CN110896506B - 用于对光传输系统进行安全分区以提供多客户端管理访问的技术和实现其的网络管理系统 - Google Patents
用于对光传输系统进行安全分区以提供多客户端管理访问的技术和实现其的网络管理系统 Download PDFInfo
- Publication number
- CN110896506B CN110896506B CN201910867051.7A CN201910867051A CN110896506B CN 110896506 B CN110896506 B CN 110896506B CN 201910867051 A CN201910867051 A CN 201910867051A CN 110896506 B CN110896506 B CN 110896506B
- Authority
- CN
- China
- Prior art keywords
- user
- access
- nms
- user request
- network element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000003287 optical effect Effects 0.000 title claims abstract description 85
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000005540 biological transmission Effects 0.000 title claims abstract description 23
- 238000000638 solvent extraction Methods 0.000 title abstract description 10
- 238000005192 partition Methods 0.000 claims abstract description 57
- 238000004891 communication Methods 0.000 claims abstract description 43
- 239000000835 fiber Substances 0.000 claims abstract description 38
- 230000015654 memory Effects 0.000 claims description 15
- 230000004044 response Effects 0.000 claims description 15
- 238000013475 authorization Methods 0.000 claims description 6
- 238000013507 mapping Methods 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 25
- 230000008569 process Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 8
- 238000012544 monitoring process Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 201000005625 Neuroleptic malignant syndrome Diseases 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 108091027981 Response element Proteins 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000005291 magnetic effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000000899 pressurised-fluid extraction Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 238000013316 zoning Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q11/00—Selecting arrangements for multiplex systems
- H04Q11/0001—Selecting arrangements for multiplex systems using optical switching
- H04Q11/0062—Network aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B10/00—Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
- H04B10/27—Arrangements for networking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q11/00—Selecting arrangements for multiplex systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q11/00—Selecting arrangements for multiplex systems
- H04Q11/0001—Selecting arrangements for multiplex systems using optical switching
- H04Q11/0062—Network aspects
- H04Q11/0067—Provisions for optical access or distribution networks, e.g. Gigabit Ethernet Passive Optical Network (GE-PON), ATM-based Passive Optical Network (A-PON), PON-Ring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q11/00—Selecting arrangements for multiplex systems
- H04Q11/0001—Selecting arrangements for multiplex systems using optical switching
- H04Q11/0062—Network aspects
- H04Q2011/0079—Operation or maintenance aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q11/00—Selecting arrangements for multiplex systems
- H04Q11/0001—Selecting arrangements for multiplex systems using optical switching
- H04Q11/0062—Network aspects
- H04Q2011/0086—Network resource allocation, dimensioning or optimisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q2213/00—Indexing scheme relating to selecting arrangements in general and for multiplex systems
- H04Q2213/1301—Optical transmission, optical switches
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Power Engineering (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Optical Communication System (AREA)
Abstract
本申请涉及用于对光传输系统进行安全分区以提供多客户端管理访问的技术和实现其的网络管理系统。符合本公开的系统和方法允许单个NMS系统管理N个客户域和相关联的用户的数据访问和控制。具体地,符合本公开的NMS可以包括通过域对光通信系统进行分区的配置。对于每个域,分区可以通过例如光纤对指定、波长指定、特定标识的硬件元件、部件类别或其任何组合来进一步定义每用户访问约束和权限,包括对特定装备的访问。NMS系统可以利用代理服务器方法来进行认证,例如通过使用RADIUS,其允许每方/客户维护单独的认证数据库和装备特定的约束。因此,NMS可以经由分区信息验证用户并强制执行域限制,使得每个用户具有安全“视图”,该安全“视图”仅有系统的与该用户的特定域相关联的那些部分。
Description
技术领域
本申请一般涉及通信系统,并且更具体地,涉及用于对光传输系统进行逻辑分区(partitioning)以为多个客户端/客户提供单点访问的技术,其实现光传输系统的每个客户端“视图”,基于用户的对应域反映给定客户端的授权装备和权限。
背景技术
网络管理可以在各种类型的光网络中以不同级别进行,以避免网络故障并确保网络性能。在通信网络中,元件管理系统(EMS)可用于监督和管理网络内的网元。通信网络还可以包括网络管理系统(NMS),以通过与若干EMS通信来管理整个网络。
在诸如波分复用(WDM)系统的光通信系统中,例如,终端或线缆站(cablestation)可以通过线缆段互连以形成网络。光通信系统中的网元可以包括位于线缆站处的装备(例如,终端装备和馈电装备、计算机、电话、打印机等)以及与线缆站相关联的装备(例如,相邻的中继器、分支单元(branching units)和均衡器)。在这样的系统中,EMS可以位于线缆站(或在单独的位置处)并且用于管理与该线缆站相关联的网元。EMS可以包括用于执行元件管理功能的一个或多个服务器以及用于提供用户接口的一个或多个工作站(例如,用于显示与由EMS管理的网元相关联的信息)。NMS可以位于一个线缆站处或位于单独的位置处,以管理整个光通信系统或网络。
海底环境中的光通信系统通常由多方的联盟拥有和操作,其中一些或所有联盟需要完整的数据和操作独立性来管理整个通信系统的一部分。支持此访问的先前方法包括提供:可能除了诸如馈电装备(PFE)之类的所有方都能够访问的用于系统的共同部分的单独的服务器装备之外,针对每一方的专用的元件管理系统(EMS)和网络管理系统(NMS)硬件和软件。专用的EMS和NMS硬件和软件确保每一方只能够管理光通信系统的其特定部分以及共同拥有的装备以及以细粒度水平来管理装备的用户登录和权限级别的能力。但是,提供专用的EMS和NMS系统会带来许多技术挑战,并且会显着增加与硬件、软件许可和技术人员相关的维护重复系统的成本。
附图说明
应参考以下详细描述,其应结合以下附图阅读,其中相同的数字代表相同的部分:
图1是是符合本公开的光学系统的一个示例性实施例的简化框图。
图2是适用于图1的光通信系统的网络管理系统(NMS)的示例性实施例的简化框图。
图3是与本公开的实施例一致的系统分区配置文件的示例。
图4是与本公开一致的示例NMS体系结构的简化框图。
图5示出了根据本公开的实施例的用于供应光通信系统以提供安全分区的示例方法。
图6示出了根据本公开的实施例的用于在实现安全分区的光通信系统内服务用户请求的示例方法。
具体实施方式
如上所述,提供专用的NMS服务器系统以允许多方NMS数据访问和控制是对硬件的相对低效的使用,因为给予每个客户基本上重复的硬件以管理登录凭证、装备权限并处理请求以执行系统操作并从网元收集诊断数据。虽然单一的网络管理硬件和软件在理论上弥补了这些低效率,但是由于光通信系统的性质,诸如系统的实现引起了技术复杂性,其中一些装备可能是特定于特定客户的,而其他装备可能是共同拥有的。
通过简化的示例可以更好地理解这些多方挑战。考虑四光纤对线缆系统,该系统可能由四个不同方的联盟拥有,每一方拥有四个光纤对中的不同光纤对和相关联的线路终端装备(LTE)。一些LTE可以是所有方拥有的公共装备,诸如沿着光纤线缆提供电力的馈电装备(PFE)。此外,诸如线路监控装备(LME)的一些常见装备可以是共同拥有的,但是可以基于每个光纤对存储数据。在该示例中,出于操作目的,每一方可能希望访问LME装备,但是也可能希望特定于其光纤对的数据是私有的并且对于系统中的其他方是不可访问的。此外,每一方可能希望对其特定用户登录进行细粒度控制,而其他方不具有“看到”用户登录数据表和安全权限的能力。
因此,本公开一般涉及一种方法,其允许单个NMS系统管理N个客户域(或简称域)和相关联用户的数据访问和控制。具体地,与本公开一致的NMS可以包括通过域对光通信系统进行逻辑分区的方案/配置。对于每个域,分区可以通过例如光纤对指定、波长指定、特定标识的硬件元件、部件类别(例如,中继器、OADMS、PFE等)或其任何组合进一步定义每用户访问约束和权限,包括对特定装备的访问。NMS系统可以利用代理服务器方法进行认证,例如,使用远程认证拨号用户服务(RADIUS)或其他合适的方法,其允许每一方/客户维护能够建立用户登录、访问权限和装备特定约束的单独认证数据库。因此,NMS可以经由代理服务器验证用户,并且经由分区信息强制执行域限制,使得每个用户具有光通信系统的安全“视图”,其仅包括系统的与该用户的特定域相关联的那些部分。用户可以经由图形用户接口(GUI)直接访问NMS,或者经由例如用于远程操作系统支持(OSS)编程管理的基于表述性状态转移(ReST)的应用程序编程接口(API)间接访问NMS。
因此,用户可以基于由NMS提供的安全、透明的分区方案来访问系统的其相应部分,包括共同拥有的元件,该NMS能够基于特定的光纤线缆、(一个或多个)光纤对和/或与给定域相关联的信道波长提供对装备的细粒度访问。此外,符合本公开的NMS允许每个域在单独的第三方服务器中远程托管他们自己的用户凭证数据库,这可以增加系统元件和远程的第三方服务器之间的隔离性,以用于数据安全性和便于管理的目的。因此,相对于为希望访问系统的每一方提供专用NMS和/或EMS服务器系统的方法,可以减少服务器部件的总数,并且在一些情况下,与本公开一致的服务器处理可以经由公共或私人云服务托管。鉴于本公开,这种硬件和服务器部件/功能的减少的许多益处将是显而易见的,并且包括例如安装和维护的复杂性降低、用于其他装备的机架(rack)/服务器空间增加、训练更少的技术人员以及更加灵活地提供和管理对NMS服务器功能的API和GUI访问。
转到附图,图1示出了与本公开一致的光通信系统100。光通信系统100以高度简化的形式示出,以便于描述而不是限制。光通信系统100可以实现为海底光通信系统,其中元件的至少一部分位于海平面以下。此外,光通信系统100可以实现为能够经由多个信道波长进行传送的波分复用(WDM)系统。如示出的,光通信系统100包括在多个线缆登陆站(cablelanding station)(即,线缆登陆站102-1、102-2和102-3)之间延伸的光传输路径103。
如示出的,光通信100包括共同示为110的光纤线缆,其跨越相对大的地理距离(例如,数十、数百或数千公里)。因此,海底光网络可以包括多个“湿”光学部件,其例如沿着海底设置或者设置在海基平台上。然而,线缆段在这方面不一定受限制,并且光通信系统100可以至少部分地包括一些长度的陆基光纤段。虽然本文公开的示例和场景涉及线缆登陆站或CLS,但是本公开不一定限于此方面。例如,这里公开的技术同样适用于位于光通信系统内的任何站,包括例如网络操作中心(NOC)和远程操作位置(ROP),这里仅举几个例子。
继续,光传输路径103包括至少一个光纤线缆110,该光纤线缆110包括一个或多个光纤对。光传输路径103包括多个光学部件,包括中继器118-1、118-2以及一个或多个分支单元,例如BU 125。BU可以包括可重新编程的光分插复用器(ROADM)或其他合适的光学滤波器/部件(例如,可以包括用于远程监控和控制的电路),用于从分支路径(例如,分支路径114)发送和接收信道波长。每个线缆登陆站可以包括用于提供对各种光学部件的访问并用于提供到系统内的命令/响应元件(CRE)的接口的元件管理系统(EMS)。
每个线缆登陆站102-1至102-3可以沿着岸或在平台上设置。每个线缆登陆站102-1至102-3可以包括诸如信道线路卡之类的线路终端装备(LTE)(未示出)、电力馈送装备(PFE)112-1等。PFE 112-1可以被配置为沿着光传输路径103提供恒定电压或恒定电流。
如进一步所示,第一线缆登陆站102-1包括NMS 104-1、EMS 106-1和LME 108-1。NMS 104-1可以实现为参考图2进一步详细讨论的NMS 204。每个NMS可以配置为与N个EMS系统通信。每个EMS系统可以被配置为与诸如中继器之类的光学部件和本地或以其他方式与给定线缆登陆站相邻的其他元件通信。LME装备可用于执行高损耗回送(HLLB)或其他测量以确保标称性能并检测沿光传输路径103的故障,例如线缆断裂。
可选地,一个以上的线缆登陆站可以包括用于冗余和容错的以及用于网元的本地管理的类似部件。例如,第二线缆登陆站102-2可以包括NMS 104-2、EMS 106-2和LME 108-2。如下面进一步讨论的,NMS部件104-1、104-2中的每一个可以共同形成单个NMS系统204,由此用户可以例如直接经由图形用户接口(GUI)或经由API来登录任何NMS部件,并请求提供服务。在该示例中,NMS部件之一可以作为主设备操作,由此从NMS系统代理或以其他方式将请求转发给主设备以进行处理。在主NMS离线的情况下,光通信系统100可以被配置为自动将从NMS切换到主角色。
图2示出了与本公开一致的示例网络管理系统(NMS)体系结构200。为了清楚而非限制,NMS体系结构200以高度简化的形式示出。NMS体系结构200能够以不同的配置实现,该配置包括例如多个NMS服务器、EMS服务器、LME等,以共同提供NMS体系结构200。这样,部件可以分布在多个线缆登陆站(例如,图1的CLS 102-1...CLS 102-3)之间,以提供冗余、容错并为用户提供NMS体系结构200的多个访问点。NMS 204可以因此共同实现为单个NMS服务器,例如NMS 104-1,或者可以包括如图1所示的多个NMS系统,例如,NMS 104-1、104-2。
如进一步所示,NMS 204包括多个相关联的部件,包括认证接口206、系统资源数据库212、安全管理器220和用户接口224。NMS 204可以用硬件(例如,电路系统)、软件、公共/私人云或其组合实现。在一个实施例中,NMS 204可以至少部分地实现为存储在存储器207中的多个非暂时性指令,其可以由控制器205(也可以称为NMS控制器)执行以进行NMS处理,例如,分别进行图5和图6的处理500和600。如本文中一般指的控制器可以实现为处理器(例如,x86处理或虚拟计算机)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)或任何其他合适的处理设备/电路系统。
用户接口224可以包括图形用户接口(GUI)部件和/或API部件,以接收和处理来自用户(例如,用户229)的请求。在一个实施例中,用户接口的API可以实现ReST体系结构。安全管理器220可以被配置为基于用户的相关权限和访问权来确保从用户接收的请求是允许的。为了在服务来自用户的请求时执行用户权限的认证和验证,安全管理器220可以利用认证接口206。认证接口206(也可以称为代理认证接口)能够通过广域网208(例如,因特网)与(一个或多个)远程认证器214通信。
每个远程认证器214可以对应于不同的客户域并且被配置为服务来自认证接口206的认证请求。如下面进一步详细讨论的,每个远程认证器中的认证数据能够以标准化方式存储,例如使用预定义的模式,以允许每个实体以符合NMS 204的要求的方式供应它们各自的数据库。因此,安全管理器220可以基于在用户229和它们各自的实体/域之间的已知关联(例如,存储在存储器207中)透明地选择特定的远程认证器214。或者,用户229可以在与NMS 204通信时包括实体/客户标识符,允许其选择适当的远程认证器。在这种情况下,安全管理器220然后可以基于所标识的实体选择远程认证器214,并且与所标识的实体的远程认证器通信以用于验证和认证目的。注意,虽然图2的实施例包括与远程认证器的通信,但本公开不限于此。例如,NMS204可以利用本地数据库进行认证,并且可以使用本地数据库来认证用户,或者可以取决于期望的配置而在本地认证一些用户的同时使用远程认证器来授权其他用户。
除了提供认证数据之外,每个远程认证器还可以为每个用户定义访问属性。如下面参考表1更详细地讨论的,访问属性可以通过例如定义用户可以访问的特定类别/类型的装备及其权限以及该装备类型的访问权限来定义用户可以访问光通信系统1内的哪些装备。然后,安全管理器220基于它们的访问属性和将在下面进一步详细讨论的分区映射表来允许或不允许来自用户229的对设备的请求。
NMS 204可以包括存储在存储器207中的系统资源数据库212。系统资源数据库212可以例如分布在包括多个NMS和EMS的多个部件当中,并且图2中所示的实施例不旨在限制。例如,每个线缆登陆站可以包括EMS,该EMS存储代表每个相关联光学部件的数据,相关联光学部件包括例如线路卡、PFE、中继器、LME、均衡器、计算机服务器和分支单元。然后,NMS204可以利用来自每个线缆登陆站的EMS数据来共同地和逻辑地形成网元表230,尽管数据可以物理地分布在不同的线缆登陆站当中。系统资源数据库212可以包括结构化查询语言(SQL)数据库、平面文件(例如,独特通用标记语言(XML))、存储器内数据结构或其任何组合。
继续,分区映射表232可用于将来自网元表230的网元与客户域/实体相关联。例如,分区映射表232可以包括将域(可以称为客户ID)与线缆登陆站相关联的分层结构。然后,分区映射可以进一步定义直到装备级、光纤线缆、(一个或多个)光纤对和/或一个或多个目标波长的关联。如下面参考图3进一步描述的那样,分区映射表232可以包括表现为XML文档的一个或多个定义,但是其他类型的文件格式也在本公开的范围内。然后,NMS 204可以利用条目来允许用户访问系统100内的装备/元件,例如,基于网元表中的对应条目,该条目将装备与其相应的线缆站、(一个或多个)光纤线缆、(一个或多个)光纤对和/或(一个或多个)通道波长相关联。
注意,每个客户域可以与不同的线缆登陆站相关联,或者两个或更多个客户域可以与一个或多个公共线缆登陆站相关联。本文公开的分区方案通过取决于期望的配置对域可访问的特定元素进行细粒度控制,直到信道波长水平,有利地允许这样的混合域。
因此,在操作中,NMS 204可以从用户229接收请求,并经由远程认证器认证用户229并且接收与用户相关联的访问属性。然后,NMS 204可以服务来自用户229的请求并基于访问属性和系统资源数据库212来验证请求。具体地,基于如上所述的分区映射表232中的一个或多个条目,与用户229相关联的客户ID(或域ID)可以用来确定授权哪些装备。
作为示例,考虑其中用户229经由用户接口224请求第一光纤对(P1)上的第一中继器R1的日志数据的场景。在该示例中,借助于安全管理器220,NMS 204可以通过检查用户229的访问属性、网元表230和分区映射表232来确定是否应该服务该请求。如果第一中继器R1与用户的客户域相关联,例如,基于分区映射表232中将用户的客户域与第一光纤对P1相关联的条目以及网元表230中将第一中继器(R1)与第一光纤对P1相关联的对应条目,该请求然后可以由NMS 204通过与中继器R1或负责中继器R1的EMS通信来提供服务。注意,由NMS204从中继器R1检索的数据可以仅限于与第一光纤对相对应的数据,尽管中继器R1可以与多个光纤对相关联。
在一个实施例中,NMS 204可以被配置为基于来自用户229的请求向其提供拓扑信息。拓扑信息可以包括表示用户229可以访问的网元的数据。在一个实施例中,拓扑信息从网元表230和分区映射表232得出。
拓扑信息可以然后由用户229的计算设备(例如,智能电话、膝上型电脑、平板电脑)的GUI使用,以可视地呈现用户229可以访问的特定元件。在一些情况下,拓扑信息可以实现为公共对象请求代理体系结构(CORBA)消息,该消息可以由用户设备用于生成动态用户接口(参见图5和图6)。反过来,用户229可以基于可视化拓扑信息经由NMS向特定装备发出请求。例如,可以经由计算设备的GUI呈现绘制图,允许用户选择表示沿着光传输路径103设置的装备的图标或其他视觉指示符。然后,用户229可以请求诊断数据、调整设定或以其他方式将请求发布到其分配的网元/装备。
认证器供应(Provisioning)
NMS 204的初始供应包括为每个认证器(例如,远程认证器214)生成认证服务器配置。认证服务器配置以允许每个用户针对存储在其相应实体的认证数据库中的数据进行认证的方式允许每个光通信系统有任意数量的独立实体。例如,可以经由认证接口206透明地处理访问NMS 204的请求,认证接口206经由广域网(WAN)208(例如,经由因特网)与远程认证器214通信。认证接口206和远程认证器214之间的通信210可以利用RADIUS认证方法,该方法可以利用认证、授权和计费(AAA)协议。注意,可以使用其他认证系统,诸如TACACS+或红帽身份管理器(Red Hat Identity Manager,IdM),这里仅举几个例子。
在任何情况下,可以利用任何数量的远程认证器来允许N个不同的实体利用NMS204并使用他们自己的服务器进行认证。认证代理服务器218能够确定要(例如,通过域)寻址哪个物理服务器或虚拟实例以检索认证(例如,登录访问)和授权(例如,访问属性)信息。
在一个实施例中,远程认证器214的每个认证服务器可以配置有使用户能够利用NMS 204进行认证并获得适当的装备访问凭证的配置。对于每个用户,装备访问属性(或简单地,访问属性)可以由认证服务器存储在表、平面文件或其他数据存储中。在一些情况下,访问属性表示为预定义的定义,并且预定义的定义基于公共定义/规范在所有认证服务器上是统一的。访问属性可以建立给定用户能够访问的装备类别。表1中显示了访问属性定义的一个示例规范。
表1
| 属性 | 代码 | 类型 |
| TEMSUser | 0x1 | [Global Access] |
| WetPlantUser | 0x2 | [Global Access] |
| PFEUser | 0x3 | Limited Access |
| LMSUser | 0x4 | Limited Access |
| TLAUser | 0x5 | Limited Access |
| CREUser | 0x6 | Limited Access |
| sWMUUser | 0x7 | Limited Access |
| WSSROADMUser | 0x8 | Limited Access |
| #Special Restricted Attribute | ||
| RestrictedUser | 0x9 | Restricted |
如上所示,基本访问属性包括三种类型的用户访问属性。第一种类型包括全局访问属性,诸如:TEMSUser、WetPlantUser。分配有属性TEMSUser的用户能够访问NMS系统204可用的任何资源。同样,分配有属性WetPlantUser的用户能够访问经由NMS系统204可用的任何湿设施(wet plant)网元,例如,中继器、均衡器、海底电力转换单元、预定波长滤波单元等。
第二种类型包括对特定网元的有限访问。在一些情况下,用户分配给特定网元或元件组。在上面提供的示例定义中,分配有PFEUser属性的用户能够访问馈电装备(PFE);分配有LMSUser属性的用户能够访问线路监控系统(LMS)设备;分配有终端线路放大器(TLA)属性的用户能够访问TLA设备;分配有CREUser属性的用户能够访问命令响应装备(CRE),分配有sWMUUser的用户能够访问切换波长复用单元(sWMU),以及分配有WSSROADMUser属性的用户能够访问波长可选择切换可重配置光分插复用器(WSSROAM)。代码和类型定义对属性的唯一ID进行定义,并且类型表示如上面列举和讨论的访问属性授予的类型。
第三种类型包括受限访问。分配有RestrictedUser属性的用户会被阻止访问特定线缆站中的装备,但允许在另一个线缆站的访问。注意,所提供的示例属性不旨在限制,而且,不代表装备类型和访问控制类别的详尽列表。许多其他类型的装备和访问类别/行为都在本公开的范围内。
继续,附加属性定义可以定义上面关于表1讨论的每个访问属性的访问权限。表2中提供了一个这样的示例。
表2。
| 属性值 | 访问值 | 代码 |
| TEMSUser | View | 0x1 |
| TEMSUser | Control | 0x2 |
| TEMSUser | Admin | 0x3 |
可以为每个用户访问属性值分配三种访问权限可能性中的一种,即View、Control和Admin。如上面的表2所示,分配有TEMSUser属性的用户可以然后被进一步分配三种访问类型之一:经由View属性的只读、经由Control属性的读写以及经由Admin属性的用于超出读写的管理任务(诸如固件升级)的管理级别。
然后,用户条目可以被生成并且分配有属性,属性包括客户域、用户名、密码、全局或特定系统资源访问(例如,如上面关于表1所讨论的)以及对所分配的资源的访问权限(例如,如上面关于表2所讨论的)。因此,可以生成用户并且可以通过域(客户)对系统进行分区,域能够特定访问具有特定访问权限的系统资源类型。因此,用户按域进行分区,但不按客户和按线缆站进行用于特定访问的分区。
可以为NMS 204生成系统分区配置文件并将其存储为分区映射表232。系统分区配置文件的生成可以包括定义一个或多个规则,该一个或多个规则建立每个客户能够访问的特定装备,以及对于该装备的访问权限。规则生成还可以包括基于标识一个或多个线缆登陆站、光纤线缆、光纤对、信道波长和/或特定装备来定义允许域访问哪些装备。系统分区配置文件可以表现为XML描述,其允许按域和按资源进行健壮和完全分区。分区配置文件可以是系统特定的并且被复制,使得用户接口224能够访问该分区配置文件,而不管在系统中何处实例化/执行分区服务器功能。
在图3中示出适合在分区映射表232内使用的一个这样的示例XML配置文件300。如所示出的,分区定义文件300是分层的并且分成多个部分。每个示出部分将被依次讨论,但不旨在是限制性的。系统级信息可以包括例如系统名称、线缆站的数量、光纤对的数量以及客户/域的数量。以客户为中心的信息可以包括例如该客户类型的与直接或间接(例如,经由API)登录的用户有关的分区信息。这样的信息可以通过线缆和光纤对来定义该用户实体的湿设施访问(例如,在<Wet Plant>部分中,cable#1上的WSS ROADM#3访问ADMs#1和#2)。此外,该信息可以定义该用户实体的站分区访问,诸如在图3所示的NYC线缆站中。站分区访问定义可以进一步定义用户实体能够访问线缆站中的哪些光纤对,例如,以下示例中的光纤对编号1;针对该用户实体定义该线缆站中的特定网元编号(NE)访问,例如,NYC线缆站,线缆#1上的PFE#1,其具有不受限制的访问(在这种情况下,可以通过用户的正常访问权限确定访问);和具有受限访问的LME#1(例如,在这种情况下,受限类型的用户不能访问LMS)。在一些情况下,例如,如果需要,定义文件可以与海底ROADM中的波长或波段水平一样精细。
安全分区NMS(SP-NMS)访问模式和方法
如上所述,NMS 204能够包括可以布置在用户接口224和NMS 204之间的安全管理器220。用户接口224可以实现ReST API或用于直接访问的用户接口,但是其他体系结构也在本公开的范围内。安全管理器220可以拦截通过用户接口224做出的请求并且能够验证该请求。在认证的情景中,例如,在登录期间,安全管理器220可以经由认证接口与远程认证器(例如,远程认证器214)通信。然后来自给定认证器的响应可以被传送回用户229,例如,以确认(ACK)或否定确认(NAK)的形式。
安全管理器220还可以在存储器中高速缓存从认证器接收的用户访问属性。安全管理器220还可以访问如上所述的分区映射表232内的分区配置文件,并将其缓存在存储器207中。利用用户访问属性和分区配置文件,安全管理器220可以生成访问令牌242(可以存储在存储器207中),该访问令牌242包括允许用户229以安全分区方式进行后续请求的信息。访问令牌242可以实现为例如ALG_HS512加密的JavaScript对象表示法(JSON)Web令牌(JWT)。访问令牌242可以包括表示用户的域的值,并且用户229可以在经由用户接口224发送请求时提供访问令牌242(或其表示)。访问令牌242还可以包括到期值,在例如基于计时器的预定时间段之后,该到期值使得安全管理器令访问令牌无效。在访问令牌到期的情况下,用户229可以通过重新认证过程(例如,重新登录)来重新建立会话。
继续,安全管理器220可以验证对于NMS 204的所有对系统资源的请求,以及诸如警报、性能数据、控制操作等的管理数据。为了验证请求,安全管理器220可以针对存储器207内的当前高速缓存的数据来验证访问令牌,该数据提供认证记录和资源授权信息。对于每个请求,安全接口220然后可以检查分配到给定域/用户的分区,并且将或者验证(例如,允许)访问相关联的站和被请求的(一种或多种)资源,或者可选地禁止该请求(例如,基于用户、域和/或相关联的分区属性)。在验证请求的情况下,安全管理器220然后可以允许该请求被满足,通过例如NMS 204发回所请求的拓扑信息和/或所请求的管理数据。
可以经由NMS 204本地的用户接口和/或到/来自NMS 204的外部API网络管理操作请求来处理请求,该外部API网络管理操作请求基于每个用户或每个客户域依次验证所有请求,如上所述。在客户端GUI的情况下,NMS 204可以显示未分区的系统,该系统可以显示系统中可用的所有资源/装备。从用户229的角度来看,由安全管理器220控制的NMS 204的分区方案看起来是透明的。换句话说,用户经由用户接口224发送请求,这些请求由安全管理器220验证通过或没有,视情况而定。因此,用户229可以访问分配给其特定客户域的装备。
在一个实施例中,并且在分区系统的情景中,在成功的登录或用户验证的API请求之后,NMS 204能够返回令牌242,客户端或API可以高速缓存并提供每个网络管理请求该令牌242。在接收到例如对于访问系统级别信息的客户端请求时,NMS 204可以仅返回与调用实体能够访问的线缆和光纤对(或信道波长)有关的信息。然后,GUI可以仅基于其从NMS204获得的分区信息(即,拓扑信息)来显示线缆、光纤对和相关网元资源。
例如,如果用户/客户端229请求来自仅能访问光纤对#1的用户,则NMS 204可以仅在使用接口定义语言(IDL)数据结构来定义分区访问的CORBA消息中返回与该配置有关的信息。然后,客户端可以读取该IDL定义并动态地“学习”系统的哪些特征/实体在GUI上可用。从那时起,用户能够基于其对可用资源的已定义访问权限(View或control)来启动进一步的系统管理操作。
NMS 204可以包括能够以类似方式工作的ReST API。在API进行调用以验证给定用户之后,可以在API调用中返回令牌(例如,令牌242),并且该令牌可以与所有将来的ReST调用一起传递,否则该调用可能被NMS 204拒绝。JavaScript对象表示法(JSON)格式的分区信息能够传递给用户,仅对于调用实体可以访问GET操作的那些资源。只有在调用实体能够控制访问所请求资源时,才允许ReST控制操作(PUT、POST和DELETE)。
继续,在一个实施例中,NMS 204可以包括多个服务器部件,用于服务对光通信系统的不同方面的请求。图4示出了用于服务用户请求的多个示例服务器部件。如图4所示,服务器模块包括湿设施管理器404、公共架管理器406、线路监控系统管理器408、线路监控装备管理器410、馈电装备管理器412、命令响应装备管理器414和线路终端装备管理器416。现在将依次讨论每个,但是下面讨论的特定服务器部件示例不是详尽的,并且其他实施例也在本公开的范围内。
湿设施管理器404可以管理与诸如电源切换分支单元(PSBU)、色散补偿单元(DCU)、切换波长复用单元(sWMU)和WSS ROADMS之类的湿设施装备相关的资源和配置的请求。公共架管理器406可以管理与线路终端装备架相关的资源的请求。LMS管理器408可以处理与线路管理系统和相关数据接口有关的资源,诸如高损耗回送(HLLB)数据、光谱监控(OSM)数据和光时域反射计(OTDR)数据。线路监控装备管理器410可以管理对线路监控硬件特定资源(诸如端口配置、板温度和操作状态)的请求。PFE管理器412可以管理对诸如系统的硬件配置以及电压和电流数据之类的电力馈送装备数据的请求。LTE管理器416可以管理与所有其他线路终端装备(诸如干ROADM、内部装载装备(ILE)和终端线路放大器(TLA))相关的配置和资源的请求。命令响应装备管理器414可以管理对用于与湿设施设备通信的命令响应装备(CRE)的配置和操作的请求。
可以在与本公开一致的NMS系统的控制器(例如,图2的控制器205)可执行的一个或多个处理中实现前述的方面和实施例。图5示出了用于配置与本公开一致的NMS系统的一个这样的处理500。
处理500包括配置认证器、分区配置文件和供应NMS系统的动作。在动作504中,处理500包括配置(一个或多个)认证器。认证器(例如,远程认证器214)的配置可以包括配置一个或多个远程计算机系统以使用例如AAA协议来处理远程授权请求。认证器的配置可以进一步包括部署通用数据库架构,该通用数据库架构允许用户和相关联的访问属性被存储,例如,如上面关于表1所讨论的,并且以通用格式被检索。
在动作506中,处理500还包括生成分区配置文件,诸如以上参考图3示出和讨论的分区配置XML文件。分区配置可以建立多个域、相关装备和访问规则/特性。对每个客户域的访问可以是相对细粒度的,并且可以包括定义,该定义限制对与一个或多个线缆登陆站、光纤线缆、光纤对、信道波长或其任何组合相关联的装备的访问。
在动作506中,处理500还包括供应NMS系统,例如NMS 204。供应NMS系统可以包括在网元表230中添加条目,每个条目定义以装备为中心的细节,诸如装备的类型、IP地址、线缆登陆站、光纤标识符、(一个或多个)光纤对和/或相关联的(一个或多个)信道波长。动作506还可以包括在分区映射表232中添加条目以在网元表内建立域和装备之间的关联。
图6示出了与本公开一致的用于由NMS服务用户请求的处理600的另一示例实施例。在动作602中,NMS接收用户请求,用户请求可以标识要执行的操作并包括用于该操作的装备标识符。用户请求还可以包括与用户相关联的域标识符,域标识符对应于在NMS中供应的域标识符。
在动作604中,NMS至少部分地基于分区映射表232和与用户请求相关联的域标识符来确定用户请求是否被授权。在一个实施例中,NMS检查分区映射表232和网元表230,以确定用户基于其相应的域能够访问哪些装备。如上所述,域可以与一个或多个线缆登陆站、光纤线缆、光纤对和/或信道波长相关联。因此,NMS可以基于用户的域以及为其定义的关联来允许或禁止对装备的访问。在一些情况下,NMS生成令牌以允许用户的重复请求被验证,而不必重新检查分区映射和网元表。因此,视情况而定,可以基于令牌文件来服务后续用户请求,而不用执行数据库操作以确定用户是否应该能够访问所请求的装备。
响应于用户请求被认证,NMS然后可以在动作606中服务该请求。服务于用户请求可以包括,例如,发送具有拓扑信息的消息、目标元件的日志数据和/或调整网元的操作设定。另一方面,在请求未被授权的情况下,NMS可以在动作608中发送否定确认(NAK)。NAK消息可以包括错误代码或其他数据,例如字符串,以指示用户请求失败的原因。
根据本公开的一方面,公开了一种用于管理光通信系统的系统。光通信系统具有设置在至少两个线缆登陆站之间的光传输路径和沿光传输路径设置的多个网元,该系统包括:网元表,该网元表定义多个网元定义,每个网元定义代表光通信系统的不同网元;分区映射表,用于至少部分地基于分配给每个网元的光纤对和/或信道波长,将该多个网元定义中的每个与至少一个域标识符相关联;网络管理系统(NMS)控制器,用于:接收来自用户的访问网元的用户请求,该用户请求与第一域标识符相关联并包括要执行的操作的标识符;基于分区映射表指示第一域标识符与用户请求的网元相关联,确定该用户请求被授权;并且响应于确定该用户请求被授权,执行该操作。
根据本公开的另一方面,公开了一种用于管理光通信系统的计算机实现的方法,该光通信系统具有设置在至少两个线缆登陆站之间的光传输路径和沿着光传输路径设置的多个网元。该方法包括:由控制器接收来自用户的访问该多个网元中的网元的用户请求,该用户请求与第一域标识符相关联并且包括要执行的操作的标识符,并基于分区映射表指示第一域标识符与用户请求的网元相关联而通过控制器确定该用户请求被授权来访问网元,并且响应于确定该用户请求被授权,执行该操作。
根据本公开的另一方面,公开了一种光学系统。该光学系统包括:设置在至少第一线缆登陆站和第二线缆登陆站之间的光传输路径、耦合到该光传输路径的多个海底光学部件、网络管理系统(NMS)控制器,该网络管理系统(NMS)控制器用于:接收访问海底光学部件的用户请求,该用户请求与第一域标识符相关联并且包括要执行的操作的标识符;基于分区映射表指示第一域标识符与用户请求的海底光学部件相关联,确定该用户请求被授权访问;并且响应于确定该用户请求被授权,执行该操作。
已经出于例示和描述的目的呈现了示例实施例的前述描述。其并非旨在穷举或将本公开限制于所公开的精确形式。鉴于本公开,许多修改和变化都是可以的。意图是本公开的范围不受该详细描述的限制,而是受所附权利要求的限制。
可以使用控制器、处理器和/或其他可编程设备来实现本文描述的方法的实施例。为此,本文描述的方法可以在上面存储有指令的有形的非暂时性计算机可读介质上实现,该指令当由一个或多个处理器执行时,执行所述方法。
因此,例如,NMS 204可以包括存储介质以存储指令(例如,在固件或软件中)以执行本文描述的操作。存储介质可以包括任何类型的有形介质,例如,任何类型的盘(包括软盘、光盘、光盘只读存储器(CD-ROM)、光盘可重写(CD-RW)和磁光盘)、半导体器件(诸如只读存储器(ROM)、随机存取存储器(RAM)(诸如动态和静态RAM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪存)、磁卡或光卡或适用于存储电子指令的任何类型的介质。
本领域技术人员将理解,本文的任何框图表示用于体现本公开的原理的说明性电路系统的概念视图。类似地,应当理解,任何框图、流程图、流程示图、状态转换图、伪代码等表示可以基本上在计算机可读介质中表示并且由此由计算机或处理器执行的各种处理,无论是否明确示出了这种计算机或处理器。软件模块或简称的模块(暗示为软件)在本文中可以表示为流程图元件或指示处理步骤的执行的其他元素和/或文本描述的任何组合。这些模块可以由明确或隐含示出的硬件来执行。
可以通过使用专用硬件以及能够执行与适当软件相关联的软件的硬件来提供图中所示的各种元件的功能,包括标记为“处理器”的任何功能块。这些功能可以由单个专用处理器、单个共享处理器或多个单独的处理器提供,其中一些处理器可以是共享的。此外,术语“处理器”的明确使用不应被解释为专指能够执行软件的硬件,并且可以隐含地包括但不限于数字信号处理器(DSP)硬件、网络处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、用于存储软件的只读存储器(ROM)、随机存取存储器(RAM)和非易失性存储器。也可以包括其他硬件,传统的和/或定制的。
除非另有说明,否则使用词语“基本上”可以被解释为包括本领域普通技术人员所理解的精确关系、条件、布置、取向和/或其他特性及其偏差,其中偏差到了这种偏差对所公开的方法和系统没有实质性影响的程度。在整个本公开中,使用冠词“一”和/或“一个”和/或“该”来修饰名词可以被理解为用于方便并且包括所修饰名词的一个或多于一个,除非另有说明。术语“包括”、“包含”和“具有”旨在是包含性的,并且意味着可能存在除所列元素之外的其他元素。
尽管已经相对于其特定实施例描述了方法和系统,但是它们不限于此。显然,根据上述教导,许多修改和变化可以变得清楚。本领域技术人员可以对本文描述和例示的部件的细节、材料和布置进行许多其他改变。
Claims (16)
1.一种管理光通信系统的系统,所述光通信系统具有设置在至少两个线缆登陆站之间的光传输路径和沿光传输路径设置的多个网元,所述系统包括:
网元表,网元表定义多个网元定义,每个网元定义代表光通信系统的不同网元;
分区映射表,用于至少部分地基于分配给每个网元的光纤对和/或信道波长,将所述多个网元定义中的每个与至少一个域标识符相关联,其中分区映射表包括将多个客户域与光通信系统的线缆登陆站相关联的分层结构;以及
网络管理系统NMS控制器,用以:
接收来自用户的访问网元的用户请求,所述用户请求与第一域标识符相关联并包括要执行的操作的标识符;
基于分区映射表指示第一域标识符与用户请求的网元相关联,确定该用户请求被授权访问该网元;以及
响应于确定该用户请求被授权,执行所述操作。
2.根据权利要求1所述的系统,还包括多个认证器服务器,用于存储多个用户访问凭证和相关联的用户访问属性,并且其中所述NMS包括认证接口,用于与所述多个认证器服务器通信以验证所述用户请求内接收的用户凭证。
3.根据权利要求2所述的系统,其中所述多个认证器服务器中的每个与不同的域标识符相关联。
4.根据权利要求2所述的系统,其中所述多个认证器服务器中的每个实现认证、授权和计费(AAA)协议以从NMS控制器接收认证请求。
5.根据权利要求2所述的系统,其中所述用户访问属性定义用户可访问的第一类型的装备和用于访问所述第一类型的装备的一个或多个权限。
6.根据权利要求1所述的系统,其中所述分区映射表包括至少一个分区映射配置文件,所述至少一个分区映射配置文件定义将每个域标识符与一个或多个线缆登陆站相关联的多个规则,以及与每个线缆登陆站相关联的网元的装备访问权。
7.根据权利要求1所述的系统,其中所述NMS控制器响应于确定该用户请求被授权而在存储器中生成访问令牌,所述访问令牌允许所述NMS控制器在不访问所述分区映射表和/或所述网元表的情况下验证后续用户请求。
8.根据权利要求1所述的系统,其中所述分区映射表和所述网元表分布在设置于不同线缆登陆站中的多个NMS服务器计算机上。
9.根据权利要求1所述的系统,其中该用户请求内的操作标识符包括从所述网元检索日志数据和/或调整所述网元的设定的请求中的至少一个。
10.根据权利要求1所述的系统,其中,所述NMS控制器被配置为响应于以下用户请求向用户发送否定确认(NAK):尝试对未基于所述分区映射表和与该用户请求相关联的域标识符而分配或限制于所述用户的装备执行操作。
11.根据权利要求1所述的系统,其中所述多个网元是海底网元,所述海底网元包括光学中继器、分支单元和/或光学均衡器中的至少一个。
12.一种用于管理光通信系统的计算机实现的方法,所述光通信系统具有设置在至少两个线缆登陆站之间的光传输路径和沿着所述光传输路径设置的多个网元,所述方法包括:
通过控制器接收来自用户的访问所述多个网元中的网元的用户请求,该用户请求与第一域标识符相关联,并包括要执行的操作的标识符;
基于分区映射表指示第一域标识符与用户请求的网元相关联,通过控制器确定该用户请求被授权访问网元,并且
响应于确定该用户请求被授权,执行所述操作,
其中分区映射表包括将多个客户域与光通信系统的线缆登陆站相关联的分层结构。
13.根据权利要求12所述的计算机实现的方法,还包括:向用户设备发送具有拓扑信息的消息,以使得该用户设备的图形用户接口(GUI)可视地描绘该拓扑信息。
14.根据权利要求12所述的计算机实现的方法,其中响应于确定用户请求未被授权,向用户发送否定确认。
15.根据权利要求12所述的计算机实现的方法,还包括生成所述分区映射表,所述分区映射表将每个域与一个或多个授权的线缆登陆站和每个线缆登陆站内的授权装备相关联。
16.一种光通信系统,所述光通信系统包括:
光传输路径,设置在至少第一线缆登陆站和第二线缆登陆站之间;
多个海底光学部件,耦合到所述光传输路径;以及
网络管理系统NMS控制器,用于:
接收访问海底光学部件的用户请求,该用户请求与第一域标识符相关联并包括要执行的操作的标识符;
基于分区映射表指示第一域标识符与用户请求的海底光学部件相关联,确定该用户请求被授权访问该海底光学部件,其中分区映射表包括将多个客户域与光通信系统的线缆登陆站相关联的分层结构;以及
响应于确定该用户请求被授权,执行所述操作。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/129,787 US11044252B2 (en) | 2018-09-12 | 2018-09-12 | Techniques for secured partitioning of an optical transmission system to provide multi-client management access and a network management system implementing same |
| US16/129,787 | 2018-09-12 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110896506A CN110896506A (zh) | 2020-03-20 |
| CN110896506B true CN110896506B (zh) | 2024-03-26 |
Family
ID=67981878
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910867051.7A Active CN110896506B (zh) | 2018-09-12 | 2019-09-12 | 用于对光传输系统进行安全分区以提供多客户端管理访问的技术和实现其的网络管理系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11044252B2 (zh) |
| EP (1) | EP3624399B1 (zh) |
| JP (1) | JP7436090B2 (zh) |
| CN (1) | CN110896506B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020137821A1 (ja) * | 2018-12-26 | 2020-07-02 | 日本電気株式会社 | 光伝送装置及び光伝送方法 |
| US11275635B2 (en) * | 2019-09-10 | 2022-03-15 | Digitalocean Llc | Method and system for managing and executing serverless functions in a messaging service |
| JP7424484B2 (ja) | 2020-06-03 | 2024-01-30 | 日本電気株式会社 | 光信号監視装置、光装置、および光信号監視方法 |
| CN116150731B (zh) * | 2022-11-28 | 2023-09-15 | 深圳市富临通实业股份有限公司 | 一种基于uid的mcu内部程序防抄袭的方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000062575A1 (en) * | 1999-04-14 | 2000-10-19 | Tyco Submarine Systems, Ltd. | System and method for transmitting packets over a long-haul optical network |
| WO2004080110A1 (en) * | 2003-02-28 | 2004-09-16 | Intel Corporation | Method and system to frame and format optical control and data bursts in wdm-based photonic burst switched networks |
| US7103149B1 (en) * | 2001-04-06 | 2006-09-05 | Cisco Technologu, Inc. | Optical transport concentrator audit system and method |
| CN101128827A (zh) * | 2005-02-24 | 2008-02-20 | 塞朗德系统有限公司 | 用于交换网络中分布式数据管理的方法和装置 |
| CN105306387A (zh) * | 2014-07-31 | 2016-02-03 | 华为技术有限公司 | 一种分区方法及设备 |
| US9769087B2 (en) * | 2015-08-03 | 2017-09-19 | Infinera Corporation | Providing ownership-based view and management of shared optical network resources |
| CN108293007A (zh) * | 2015-11-23 | 2018-07-17 | 泰科电子海底通信有限责任公司 | 带有分布式湿式设备管理器的光学通信系统 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6202066B1 (en) * | 1997-11-19 | 2001-03-13 | The United States Of America As Represented By The Secretary Of Commerce | Implementation of role/group permission association using object access type |
| US6999999B2 (en) * | 2001-12-28 | 2006-02-14 | Hewlett-Packard Development Company, L.P. | System and method for securing fiber channel drive access in a partitioned data library |
| US8775544B2 (en) * | 2009-02-04 | 2014-07-08 | Citrix Systems, Inc. | Methods and systems for dynamically switching between communications protocols |
| US8782755B2 (en) * | 2009-03-20 | 2014-07-15 | Citrix Systems, Inc. | Systems and methods for selecting an authentication virtual server from a plurality of virtual servers |
| US8935765B2 (en) * | 2013-03-15 | 2015-01-13 | Fluke Corporation | Method to enable mobile devices to rendezvous in a communication network |
| US10305751B2 (en) * | 2013-09-30 | 2019-05-28 | Infinera Corporation | Optical bandwidth manager |
| US9769097B2 (en) | 2014-05-29 | 2017-09-19 | Multi Media, LLC | Extensible chat rooms in a hosted chat environment |
| US9998446B2 (en) * | 2014-08-29 | 2018-06-12 | Box, Inc. | Accessing a cloud-based service platform using enterprise application authentication |
| US10425386B2 (en) | 2016-05-11 | 2019-09-24 | Oracle International Corporation | Policy enforcement point for a multi-tenant identity and data security management cloud service |
| US10056978B2 (en) * | 2016-06-10 | 2018-08-21 | Tyco Electronics Subsea Communications Llc | Techniques for provisioning network elements of a data communications network (DCN) and an optical communication system using the same |
-
2018
- 2018-09-12 US US16/129,787 patent/US11044252B2/en active Active
-
2019
- 2019-09-12 CN CN201910867051.7A patent/CN110896506B/zh active Active
- 2019-09-12 JP JP2019165840A patent/JP7436090B2/ja active Active
- 2019-09-12 EP EP19197087.0A patent/EP3624399B1/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000062575A1 (en) * | 1999-04-14 | 2000-10-19 | Tyco Submarine Systems, Ltd. | System and method for transmitting packets over a long-haul optical network |
| US7103149B1 (en) * | 2001-04-06 | 2006-09-05 | Cisco Technologu, Inc. | Optical transport concentrator audit system and method |
| WO2004080110A1 (en) * | 2003-02-28 | 2004-09-16 | Intel Corporation | Method and system to frame and format optical control and data bursts in wdm-based photonic burst switched networks |
| CN101128827A (zh) * | 2005-02-24 | 2008-02-20 | 塞朗德系统有限公司 | 用于交换网络中分布式数据管理的方法和装置 |
| CN105306387A (zh) * | 2014-07-31 | 2016-02-03 | 华为技术有限公司 | 一种分区方法及设备 |
| US9769087B2 (en) * | 2015-08-03 | 2017-09-19 | Infinera Corporation | Providing ownership-based view and management of shared optical network resources |
| CN108293007A (zh) * | 2015-11-23 | 2018-07-17 | 泰科电子海底通信有限责任公司 | 带有分布式湿式设备管理器的光学通信系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200084209A1 (en) | 2020-03-12 |
| CN110896506A (zh) | 2020-03-20 |
| US11044252B2 (en) | 2021-06-22 |
| JP7436090B2 (ja) | 2024-02-21 |
| EP3624399B1 (en) | 2021-04-14 |
| EP3624399A1 (en) | 2020-03-18 |
| JP2020042821A (ja) | 2020-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110896506B (zh) | 用于对光传输系统进行安全分区以提供多客户端管理访问的技术和实现其的网络管理系统 | |
| US11088903B2 (en) | Hybrid cloud network configuration management | |
| US11082304B2 (en) | Methods, systems, and computer readable media for providing a multi-tenant software-defined wide area network (SD-WAN) node | |
| US11706102B2 (en) | Dynamically deployable self configuring distributed network management system | |
| US20200036584A1 (en) | Virtual Gateway Control and Management | |
| US20200007530A1 (en) | Session Synchronization Across Multiple Devices in an Identity Cloud Service | |
| US20220046088A1 (en) | Systems and methods for distributing partial data to subnetworks | |
| US8909053B2 (en) | Tenant isolation in a multi-tenant cloud system | |
| US11265217B2 (en) | Distributed ledger for configuration synchronization across groups of network devices | |
| US20020082818A1 (en) | Data model for automated server configuration | |
| CN102045337A (zh) | 用于管理网络资源的装置和方法 | |
| CN101217368A (zh) | 一种网络登录系统及其配置方法以及登录应用系统的方法 | |
| CN113360862A (zh) | 统一身份认证系统、方法、电子设备及存储介质 | |
| US9026632B2 (en) | Network with a network wide extended policy framework | |
| CN109743373A (zh) | 终端的远程协助方法、设备、系统和介质 | |
| US10771372B2 (en) | Transmitting test traffic on a communication link | |
| US11792556B2 (en) | Dynamic optical switching in a telecommunications network | |
| CN108366087B (zh) | 一种基于分布式文件系统的iscsi服务实现方法和装置 | |
| Bhatt et al. | A multi-controller authentication approach for SDN | |
| US20200295997A1 (en) | Device management clustering | |
| CN105407095A (zh) | 不同网络间安全通信装置及其通信方法 | |
| EP2640003B1 (en) | Network with a network wide extended policy framework | |
| CN109829284A (zh) | 一种整合Linux与Windows操作系统统一用户认证的方法 | |
| US9313105B2 (en) | Network management using secure mesh command and control framework | |
| AU2023203129B2 (en) | Systems and methods for distributing partial data to subnetworks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |