-
GEBIET DER ERFINDUNG
-
Die
vorliegende Erfindung bezieht sich auf das Management von Einrichtungen
in einem Telekommunikationssystem – und genauer auf die Vermittlung
in Managementaufträgen,
die zu den gemanagten Einrichtungen abgegeben werden.
-
HINTERGRUND
-
Ein
Telekommunikationssystem kann als ein System betrachtet werden,
das eine Vielzahl von Einrichtungen umfasst, die angeordnet sind,
zwischen ihnen zu kooperieren, um Telekommunikationsdienste für eine Vielzahl
von Benutzern bereitzustellen. Ihre Zahl und Art hängen von
den besonderen Charakteristika eines Telekommunikationssystems ab, und
hängen
allgemein zu einem großen
Ausmaß von den
implementierten Funktionen und Diensten ab, die von dem (oder durch)
das System bereitgestellt werden. Einrichtungen in einem Telekommunikationssystem
sind z.B.: öffentliche
Vermittlungen (Switches) von öffentlichen
vermittelten Telefonnetzen PSTN, mobile Vermittlungsstellen MSCs,
bedienende oder Gateway-GPRS-Unterstützungsknoten SGSNs GGSNs, Sitzungsinitiierungsprotokoll-SIP-Proxy- oder Umlenkungsserver,
Datenbanken, die Daten bezogen auf Benutzer oder Dienste speichern
(wie etwa Heimatstandortregister HRLs, Nummernportabilitätsdatenbanken,
Benutzerprofildatenbanken etc.), spezialisierte Server für Vorab- oder
Nachbezahlungsabrechnung, Anwendungsserver, Protokoll- und/oder
Medien-Gateways, Authentifizierungs-Autorisierungs-Abrechnungsserver
AAA, Datenpaket-Router etc. Benutzerendgerä te, die durch die Endbenutzer
eines Telekommunikationssystems genutzt werden, um auf die Dienste
zuzugreifen, die es bereitstellt (z.B. Mobiltelefone, Personalcomputer
etc.), können
auch als Einrichtungen in einem Telekommunikationssystem betrachtet
werden.
-
Jede
Einrichtung in einem Telekommunikationssystem kann durchführen oder
eingreifen in die Bewerkstelligung von einem oder mehr Diensten und/oder
Funktionen, und kann ein oder mehr Datenobjekte unterhalten, die
z.B. als Parameter zum Lenken eines Ausführungsaspekts der Funktion
oder des Dienstes verwendet werden können, oder als Informationselemente
zum Formen oder Charakterisieren des Inhalts der Information, die
durch die Funktion oder den Dienst bereitgestellt wird. Das Wesen
eines bestimmten Datenobjektes kann gemäß dem Wesen des spezifischen
Dienstes oder der Funktion variieren, worauf es sich bezieht. Z.B.
kann ein Datenobjekt eine einzelne Datenstruktur sein, die nur einen ganzzahligen
Wert umfasst, der z.B. einen gegebenen Zeitwert eines Protokolltimers
bestimmt, oder kann eine komplexe Datenstruktur sein, die z.B. Daten
bezogen auf einen Teilnehmer (z.B.: eine Menge von Identifikatoren,
wie etwa seine Mobilteilnehmer-ISDN-Nummern MSISDN, internationale
Mobilteilnehmeridentitäts-IMSI-Nummer,
Uniform Resource Locators URLs, erlaubte Dienste, abonnierte/aktivierte
Dienste etc.) oder auf einen Dienst (z.B.: Dienstname, verfügbare Sprachen,
zugelassene Benutzer, verfügbare
Dienstzeit pro Benutzer, dienstspezifische Daten etc.) speichert.
-
Ein
gegebener Dienst in einem Telekommunikationsnetz kann ein oder mehr
Datenobjekte enthalten, die mittels einer oder mehr Managementoperationen
gemanagt werden können,
die einem Datenobjekt ermöglichen,
anfangs eingestellt zu werden, Zugriff darauf ermöglichen,
modifiziert, gelöscht
etc. zu werden. Dies wird gewöhnlich
durch Eintragen in die gemanagte Ein richtung eines Managementauftrags
erreicht, der eine oder mehr Managementoperationen über einem
oder mehr gemanagten Datenobjekte anfordert, die die Einrichtung
hält.
-
Unter
anderen Faktoren hat es die riesige Zahl von Einrichtungen in einigen
Telekommunikationssystemen vom Stand der Technik, ebenso wie ihre
Verteilung in entfernten geografischen Standorten undurchführbar gemacht,
die Managementprozesse lokal zu handhaben (z.B. durch Eintragen
von Managementaufträgen
in die Einrichtungen mittels eines lokalen Managementendgerätes, das
mit einer lokalen Managementschnittstelle in der gemanagten Einrichtung
verbunden ist). Dies hat zu der Entwicklung von Managementrahmenwerken
geführt,
die es erlauben, den Managementprozess entfernt zu handhaben. Diese
Managementrahmenwerke umfassen gewöhnlich eine Zahl von Managementservern,
die angeordnet sind, Managementaufträge zu gewöhnlich einer Vielzahl von gemanagten
Einrichtungen entfernt abzugeben, und die Verwendung von einem oder
mehr Managementprotokollen (wie etwa das standardisierte "Simple Network Management
Protocol" SNMP, "Lightweight Directory
Access Protocol" LDAP
oder andere nicht-standardisierte – d.h. ad hoc, proprietäre Managementprotokolle),
um die Managementaufträge
zwischen einem Managementserver und einer gemanagten Einrichtung
zu übermitteln (ebenso
wie, wenn es fortfährt,
die entsprechenden Antworten von einer Managementeinrichtung zu
einem Managementserver zu übermitteln);
wobei die Managementserver und die gemanagten Einrichtungen über ein
oder mehr Kommunikationsnetze kommunizieren, womit sie verbunden
sind. Außerdem werden
zum homogeneren Handhaben der Managementprozesse gewöhnlich die
Identifikatoren und generischen Musterstrukturen der gewöhnlich gemanagten
Datenobjekte (die z.B. die Datenstruktur der Datenattribute in den
Datenobjekten zusammen mit ihren Beziehungen, ebenso wie ihre jeweiligen
Wertbereiche umfassen können),
und auch die Identifikatoren der Managementoperationen, um diese
Datenobjekte anfangs einzustellen, zu modifizieren, zu erhalten
etc., definiert.
-
Entsprechend
kann ein Managementauftrag einen Identifikator einer gemanagten
Einrichtung (z.B.: eine Internetprotokoll-IP-Adresse, ein URL etc.), einen Identifikator
eines gemanagten Datenobjektes und einen Identifikator einer Managementoperation
umfassen. In einigen Fällen,
worin z.B. eine Antwort zu einem Managementauftrag von einer gemanagten
Einrichtung gesendet werden muss (z.B.: Übermitteln eines Ergebnisses
oder Übermitteln
des Inhalts eines Datenobjektes), kann ein Managementauftrag auch
einen Identifikator (z.B.: eine Internetprotokoll-IP-Adresse, einen
URL etc.) des Managementservers umfassen, der ihn sendet, um die
Antwort zurück
zu senden.
-
Angenommen,
dass der Inhalt von Managementaufträgen, die zu dem gemanagten
Einrichtungen gesendet werden, ebenso wie der Inhalt der letztendlichen
anschließenden
Antworten von den gemanagten Einrichtungen als empfindliche Information
betrachtet werden können,
können
auch sichere Kommunikationsmechanismen genutzt werden, um eine sichere
Kommunikation zwischen einem Managementserver und einer gemanagten
Einrichtung herzustellen, die Lauschen verhindern kann.
-
Es
sind Verfahren zum Vermitteln in einem Telekommunikationssystem
zum Managen einer Zahl von Einrichtungen aus dem Stand der Technik bekannt,
als ein Beispiel kann die Veröffentlichung
WO 98/37707-A1 gefunden
werden, die jedoch auf das Management und Vermittlungsfunktionen
selbst begrenzt ist und keinerlei Sicherheit gegenüber potenziellen
Eindringlingen bereitstellt.
-
Andererseits,
und bedingt (u.a.) durch die Notwendigkeit einer Verwendung von
Mehrzweck-Plattformen und Produkten und Unterstützung der Managementprozesse,
kann es Fälle
geben, wo die gleiche Maschine (z.B.: ein Personalcomputer) als
ein Managementserver durch eine gegebene Person, um Managementaufträge zu erteilen,
ebenso wie durch andere Leute für
die gleichen oder andere Zwecke genutzt werden kann. Ähnlich kann
ein Teilnehmer eines Telekommunikationssystems sein Endbenutzerendgerät (z.B.:
ein Mobiltelefon) als einen Managementserver verwenden, um Managementaufträge zu erteilen
(z.B.: durch eine sich selbst bereitstellende Anwendung, auf die über HTTP
oder WAP zugegriffen wird), die die Ausführung von Managementoperationen über seinen
Abonnementdaten oder Dienstdaten anfordern. Entsprechend kann der
Ursprung eines Managementauftrags (hierin nachstehend als "Ursprungsmanager" bezeichnet) betrachtet
werden, nicht nur die Maschine, von der er gesendet wird, sondern,
zusätzlich
oder alternativ, den Benutzer, der die Maschine betreibt, zu umfassen.
-
Zusammengefasst
hat die beständige
Entwicklung von Produkten, Plattformen und Diensten die Telekommunikationssysteme
komplexer gemacht, wobei eine größere Zahl
und Art von Einrichtungen zu managen sind. Zur gleichen Zeit können die
Managementaufträge
von einer größeren Zahl von
Ursprungsmanagern wegen nicht nur Skalierbarkeit, Zuverlässigkeit
oder Verwendbarkeitsgründen, sondern
auch wegen der Spezialisierung und/oder Zuweisung einiger Ursprungsmanager
zum Managen einer gewissen Art von Einrichtungen und/oder einer
gewissen Art von Datenobjekten stammen (z.B.: Managementaufträge bezogen
auf Benutzerabonnementdaten in HRLs, bezogen auf Bereitstellung
von Dienstdaten in Dienstdatenbanken oder Anwendungsservern, bezogen
auf Operations- und Unterhaltungsfunktionen in gewissen Einrichtungen etc.).
-
Je
größer die
Zahl von Ursprungsmanagern ist, desto größer ist jedoch die Möglichkeit
eines Auftretens von Fehlern in den Managementprozessen; und weder
die bloße
Verwendung vor definierter (oder standardisierter) Strukturen und
Kodierung für
Managementoperationen und gemanagte Datenobjekte, noch die Verwendung
sicherer Kommunikationsmechanismen können per se verhindern, dass
z.B. eine lokale Fehlfunktion in einem Managementserver, oder ein
Fehler des Benutzers, der den Managementserver betreibt, oder ein
Missbrauch des Benutzers etc. die Ausführung einer nicht geeigneten
Managementoperation verursacht, die einen unzulässigen Zugriff auf oder eine
Modifikation von Daten in einer gegebenen Einrichtung durchführt.
-
Es
ist deshalb ein Ziel der vorliegenden Erfindung sicherzustellen,
dass nur die geeigneten Managementoperationen ausgeführt werden,
und zur gleichen Zeit den gemanagten Einrichtungen Empfang, Prüfung oder
Ausführung
unzulässiger
Managementaufträge
zu erleichtern.
-
ZUSAMMENFASSUNG DER ERFINDUNG
-
Das
zuvor erwähnte
Ziel wird durch eine Vorrichtung erreicht, wie in Anspruch 1 beansprucht. Dieses
Ziel wird auch durch ein Verfahren, wie in Anspruch 15 beansprucht,
oder durch ein Computerprogramm, wie in Anspruch 26 beansprucht,
erreicht.
-
In
einem Aspekt bezieht sich die Erfindung auf eine Vorrichtung zum
Vermitteln von Managementaufträgen
zwischen einer Vielzahl von Ursprungsmanagern und einer Vielzahl
von gemanagten Einrichtungen in einem Telekommunikationssystem.
Die Vorrichtung umfasst: eine Kommunikationsempfängerkomponente, die zum Empfangen
von Managementaufträgen
angeordnet ist, eine Kommunikationssenderkomponente, die angeordnet
ist, einen zulässigen
Managementauftrag zu einer gemanagten Einrichtung zu senden, und
eine Managementverifiziererkomponente (MVC), die angeordnet ist
zu bestimmen, ob ein empfangener Managementauftrag ein zulässiger Managementauftrag
ist. Die Managementverifiziererkomponente prüft, ob ein empfangener Managementauftrag
zu den Zugangsattributen passt, die in einer oder mehr Managementzugangsvorlagen
enthalten sind; wobei die Vorlagen gemäß ihrer Beziehung mit einem
Identifikator des Ursprungsmanagers, der den Auftrag sendet, und/oder
mit einem Identifikator eines gemanagten Datenobjektes, das durch
den Auftrag beeinflusst wird, und/oder mit einem Identifikator einer
gemanagten Einrichtung, die durch den Managementauftrag beeinflusst
wird, ausgewählt
werden.
-
In
einem weiteren Aspekt bezieht sich die Erfindung auf ein Verfahren
zum Vermitteln in dem Management einer Vielzahl von Einrichtungen
eines Telekommunikationssystems von einer Vielzahl von Ursprungsmanagern.
Ein Verfahren gemäß der Erfindung
umfasst die Schritte zum: (a) Empfangen eines Managementauftrags
in einer zentralisierten Managementvermittlungseinrichtung; (b)
Prüfen
in der Vermittlungseinrichtung, ob der Managementauftrag zu den
Zugangsattributen passt, die in einer oder mehr Managementzugangsvorlagen
enthalten sind, die gemäß seiner
Beziehung mit einem Identifikator des Ursprungsmanagers, der den
Auftrag sendet, und/oder mit einem Identifikator eines gemanagten Datenobjektes,
das durch den Auftrag beeinflusst wird, und/oder mit einem Identifikator
einer gemanagten Einrichtung, die durch den Managementauftrag beeinflusst
wird, ausgewählt
wird/werden, um zu bestimmen, ob ein empfangener Managementauftrag
ein zulässiger
Managementauftrag ist; und (c) Gewähren, dass der Managementauftrag
zu einer gemanagten Einrichtung gesendet wird, falls es ein zulässiger Managementauftrag
ist.
-
In
einem weiteren Aspekt bezieht sich die Erfindung auf ein Computerprogramm
zum Vermitteln von einer computerbasierten Vorrichtung in Managementaufträgen zwischen
einer Vielzahl von Ursprungsmanagern und einer Vielzahl von gemanagten
Einrichtungen in einem Telekommunikationssystem. Das Computer programm
umfasst: einen computerlesbaren Programmcode zum Veranlassen der computerbasierten
Vorrichtung, den Empfang eines Managementauftrags von einem Ursprungsmanager zu
verarbeiten; einen computerlesbaren Programmcode zum Veranlassen
der computerbasierten Vorrichtung zu bestimmen, ob ein empfangener
Managementauftrag ein zulässiger
Managementauftrag ist, durch Prüfen,
ob der Managementauftrag zu den Zugangsattributen passt, die in
einer oder mehr Managementzugangsvorlagen enthalten sind, die gemäß seiner
Beziehung mit einem Identifikator des Ursprungsmanagers, der den
Auftrag sendet, und/oder mit einem Identifikator eines gemanagten
Datenobjektes, das durch den Auftrag beeinflusst wird, und/oder
mit einem Identifikator einer gemanagten Einrichtung, die durch
den Managementauftrag beeinflusst wird, ausgewählt wird/werden; und einen computerlesbaren
Programmcode zum Veranlassen der computerbasierten Vorrichtung,
einen zulässigen Managementauftrag
zu einer gemanagten Einrichtung zu senden.
-
Eine
Vorrichtung, ein Verfahren oder ein Computerprogramm gemäß der Erfindung
erlaubt einen zentralisierten Managementzugangspunkt, wo zu bestimmen
ist, ob ein Managementauftrag gültig und
zulässig
ist, unter Berücksichtigung
der Zwischenbeziehungen zwischen allen Entitäten und Elementen, worauf sich
der Auftrag bezieht, wobei einige von ihnen in dem Managementauftrag
nicht explizit identifiziert sein könnten. Ferner erleichtert die
Erfindung den gemanagten Einrichtungen Aufgaben, die über ihren
spezifischen funktionalen Bereich hinaus sind und Basismanagementunterstützung, wie etwa
wie Identifikation von zulässigen
Ursprungsmanagern, und macht somit das Senden einer riesigen Zahl
von Managementaufträgen
zu einer großen Zahl
von Einrichtungen redundant, die anderenfalls gesendet werden müssten, um
die Aufgaben zu parametrisieren.
-
Der
Inhalt der Managementzugangsvorlagen, deren Zugangsattribute Elemente
und/oder Entitäten
in Beziehung mit einem Identifikator eines Elementes oder einer
Entität
identifizieren, das/die in eine Managementoperation einbezogen werden kann,
kann gemäß verschiedenen
alternativen oder komplementären
Ausführungsformen
variieren, mittels derer ein höherer
oder geringerer Grad von Granularität zum Definieren der Elemente
und Entitäten erreicht
werden kann, die in einen zulässigen
Managementauftrag einbezogen werden können.
-
Gemäß einer
Ausführungsform
der Erfindung kann eine oder mehr Managementzugangsvorlage hauptsächlich gemäß einem
oder mehr Identifikatoren ausgewählt
werden, die von einem empfangenen Managementauftrag erhalten werden,
und anschließend
kann eine oder mehr Managementzugangsvorlage auch in einer Beziehung
mit Zugangsattributen ausgewählt
werden, die in einer der hauptsächlich
ausgewählten
Vorlagen enthalten sind. Deshalb kann es die Erfindung möglich machen,
z.B. einen realen Identifikator einer gemanagten Einrichtung zu
verbergen, wie etwa eine reale IP-Adresse oder einen Alias, der
zum Weiterleiten eines Managementauftrags zu einer gemanagten Einrichtung
direkt verwendbar ist, durch Auswählen, zum Weiterleiten eines
zulässigen
Managementauftrags, eines Identifikators der entsprechenden gemanagten
Einrichtung, der in einer Managementzugangsvorlage enthalten ist,
die in Beziehung mit dem Managementauftrag ausgewählt wird,
was für
den Managementserver unbekannt sein kann, der den Managementauftrag
sendet, und kann somit als solcher in dem Managementauftrag nicht
vorhanden sein.
-
Gemäß einer
Ausführungsform
der Erfindung wird ein empfangener Managementauftrag nur bestimmt,
ein zulässiger
Managementauftrag zu sein, falls der Ursprungsmanager erfolgreich
identifiziert wird; wobei die Authentifizierung des Ursprungsmanagers
umfasst die Authentifizierung eines Identifi kators des Managementservers,
der den Managementauftrag sendet, oder eines Identifikators eines Benutzers,
der den Managementserver betreibt, oder beides. Entsprechend wird
nur verifizierten Managementservern, oder verifizierten Benutzern,
die verifizierte Managementserver betreiben, gewährt, einen zulässigen Managementauftrag
zu einer gemanagten Einrichtung zu senden.
-
Gemäß einer
Ausführungsform
der Erfindung wird eine Managementrolle aus einem Identifikator
des Ursprungsmanagers bestimmt, die einen Identifikator des Managementservers,
der den Managementauftrag sendet, oder einen Identifikator eines
Benutzers, der den Managementserver betreibt, oder beides umfassen
kann. Gemäß einer
weiteren Ausführungsform
können
eine oder mehr Managementzugangsvorlagen ausgewählt werden, die sich auf die
Rolle beziehen. Gemäß einer
weiteren Ausführungsform
umfassen eine oder mehr Managementzugangsvorlagen, als ein Zugangsattribut,
den Identifikator der zulässigen
Rollen für
die Elemente und/oder Entitäten,
auf die sich die Vorlage bezieht. Somit können einige globale Managementzugangsregeln
definiert werden, die die Art des Ursprungsmanagers mit Bezug auf
seine Art von Pflichten betrachten zusätzlich oder alternativ zu jenen,
die sich auf einen spezifischen Ursprungsmanager beziehen können.
-
Gemäß einer
Ausführungsform
der Erfindung kann ein Zugangsattribut in einer Managementzugangsvorlage
ein gemanagtes Datenobjekt sein; wobei gemäß der Erfindung verifiziert
wird, ob das Zugangsattribut als ein gemanagtes Datenobjekt durch
einen zulässigen
Managementauftrag beeinflusst wird, und falls ja, werden die entsprechenden Managementoperationen
in ihm durchgeführt.
Deshalb können
die Regeln, die lenken, welche Elemente und Entitäten in einen
zulässigen
Managementauftrag einbezogen werden können, in einem zentralen Punkt
leicht modifiziert werden.
-
Gemäß einer
Ausführungsform
der Erfindung umfassen die Vorrichtung, das Verfahren bzw. das Computerprogramm
die Mittel, Schritte und computerlesbaren Programmcode, um eine
Zugangsanforderung von einem Ursprungsmanager zu empfangen, bestimmen
eine Managementzugangsvorlagenbeziehung mit einem Identifikator
des Ursprungsmanagers, und senden ferner eine Antwort auf die Zugangsanforderung,
die ein oder mehr Zugangsattribute umfasst, die in der Vorlage enthalten
sind. Entsprechend kann der Ursprungsmanager in einer frühen Stufe
Information über
die Einrichtungen und Datenobjekte erhalten, für deren Management er hauptsächlich berechtigt
ist, ebenso wie über
die entsprechenden zulässigen
Managementoperationen, die ihm erlaubt werden kann anzufordern.
-
KURZE BESCHREIBUNG DER ZEICHNUNGEN
-
1 zeigt
eine vereinfachte physikalische Ansicht eines Telekommunikationssystems,
umfassend eine Vielzahl von gemanagten Einrichtungen, eine Vielzahl
von Ursprungsmanagern und eine Vorrichtung zum Vermitteln von Managementaufträgen gemäß der Erfindung.
-
2 zeigt
eine vereinfachte schematische Ansicht einiger funktionaler Komponenten
einer Vorrichtung zum Vermitteln von Managementaufträgen gemäß der Erfindung
ebenso wie ihre Beziehungen mit Ursprungsmanagern und gemanagten
Einrichtungen.
-
3 zeigt
ein Flussdiagramm, das einige Schritte eines vermittelten Managementprozesses gemäß der Erfindung
veranschaulicht.
-
4 zeigt
einige Beispiele von Datenstrukturen und ihrer entsprechenden Beziehung,
um einen vermittelten Managementprozess gemäß der Erfindung zu bewerkstelligen.
-
DETAILLIERTE BESCHREIBUNG
-
Es
sollen nun einige beispielhafte Ausführungsformen der Erfindung
mit Bezug auf 1 bis 4 detailliert
beschrieben werden.
-
Das
Telekommunikationssystem (1), das in 1 schematisch
veranschaulicht wird, zeigt auf dem Weg eines Beispiels einige Elemente,
die für
ein Mobilsystem vom Stand der Technik üblich sind. Diese Art eines
Telekommunikationssystems wurde gewählt, um hauptsächlich ein
komplexes Telekommunikationssystem beispielhaft darzustellen, wobei
wegen der Vielzahl unterschiedlicher Arten von Einrichtungen, die
gemanagt werden können,
ebenso wie wegen der Vielzahl unterschiedlicher Arten von Ursprungsmanagern
die Prinzipien der Erfindung vorteilhafter angewendet werden können.
-
Insbesondere
zeigt das Telekommunikationssystem (1) von 1,
miteinander verbunden mittels Kommunikationsnetzen (2),
eine Vielzahl von gemanagten Einrichtungen (HLR, GGSN, SGSN, CSD, 301, 302),
eine Vielzahl von Ursprungsmanagern (101, 102, 103, 104, 105)
und eine Managementvermittlervorrichtung (200). In diesem
Szenarium können
verschiedene Managementprozesse für die gemanagten Einrichtungen
stattfinden, die Senden von Managementaufträgen einbeziehen, die die Ausführung von
Managementoperationen über
gemanagten Datenobjekten, die in den Einrichtungen unterhalten werden,
anfordern, von denen einige nun angeführt werden.
-
Z.B.
kann das Element CSD eine übliche Abonnementdatenbank
sein, die alle Abonnementdaten der Teilnehmer speichert, die durch
das Telekommunikationssystem (1) bedient werden; wobei z.B.
nicht nur die besondere Art von Daten, die in einem Heimatstandortregister
HLR gespeichert sind, für
einen Benutzer unterhalten werden (z.B.: seine MSISDN, Daten für aktivierte
und/oder verfügbare Ergänzungsdienste,
wie etwa Rufweiterleitungsdaten, seine IMSI etc.), sondern auch
Daten bezogen auf die Bereitstellung einiger Dienste, die durch
andere Anwendungsserver (z.B. AS 302) bereitgestellt werden
können;
und somit kann es irgendeine Art von Masterdatenspeicher für Abonnementdaten
für die
Benutzer des Telekommunikationssystems sein. Einige Daten, die in
einer CSD oder in einem HLR für einen
Benutzer gespeichert sind, können
sich aus verschiedenen Gründen ändern (z.B.
neu abonnierte Dienste, Änderung
in einigen existierenden Daten, Änderung
von MSISDN, neue IMSI etc.). Auch würden für einen gegebenen Benutzer,
der als ein Teilnehmer des Systems (1) abonniert und/oder
einige spezifische Dienste abonniert, einige Datensätze anfangs
in einem HLR und/oder in einer CSD eingestellt werden müssen. Übrigens
kann das Leistungsverhalten eines gegebenen Managementprozesses,
der einen gegebenen Teilnehmer einbezieht, das Erhalten einiger
Daten anfordern, die bereits in einem HLR oder in einer CSD für den Benutzer
gespeichert sind. Entsprechend kann ein Ursprungsmanager 103 ein Kundenadministrationssystem,
CAS, sein, das berechtigt ist, Teilnehmerdaten, die in dem HLR und
in der CSD gespeichert sind, zu managen. Alternativ kann es einen
Ursprungsmanager 101 geben, der berechtigt ist, Managementaufträge auszugeben,
die das Management von Teilnehmerdaten einbeziehen, die in dem HLR
und in der CSD gespeichert sind; wobei z.B. ein gegebener Benutzer 101-1,
der als ein Benutzerdatenadministrator berechtigt ist, einen Managementserver,
z.B. Computer 101-2, betreibt, um entsprechende Managementaufträge für das HLR und/oder
die CSD auszugeben.
-
Ähnlich kann
ein Ursprungsmanager 102 berechtigt sein, Managementaufträge auszugeben,
die das Management üblicher
Betriebsdaten in einigen Telekommunikationsknoten (wie etwa HLRs,
SGSNs, GGSNs, etc.) einbeziehen, und das z.B. die Fehlerbehandlung
in den Knoten, die Konfiguration der Kommunikationsschnittstellen
etc. lenkt. Alternativ, und wie oben angegeben, kann es einen Ursprungsmanager
(z.B. 101) geben, der berechtigt sein kann, z.B. einige
Managementaufträge
zu einigen Knoten (z.B. nur jenen bezogen auf eine Alarmbehandlung
in einigen oder allen den SGSNs in dem Telekommunikationssystem 1)
auszugeben; wobei in diesem besonderen Fall der Benutzer 101-1,
der den Computer 101-2 betreibt, der gleiche Benutzer wie
der eine sein kann oder nicht, der berechtigt ist, auf teilnehmerbezogene
Daten zu managen, wobei dieser Aspekt von einer spezifischen Managementrichtlinie
abhängig ist,
die gemäß der Erfindung
vorteilhafter Weise gesteuert werden kann.
-
Wie
zuvor angegeben, kann ein Telekommunikationssystem (1)
ferner Einrichtungen umfassen, wie etwa Anwendungsserver ASs, die
gedacht sind, Dienste über
die sogenannten Basiskommunikationsdienste, die die Kerntelekommunikationsknoten bereitstellen,
hinaus bereitzustellen (z.B. öffentliche Switches,
MSCs, SGSNs, HLRs etc.), und die zu dem gleichen Netzbetreiber,
der die Kernknoten besitzt, gehören
können
oder nicht. Ein Anwendungsserver AS 302 wird in 1 in
Zusammenarbeit mit anderen Telekommunikationsknoten gezeigt, um
einigen Teilnehmern einen gegebenen Dienst bereitzustellen. Dieser
spezifische Dienst (oder Dienste), der durch den AS 302 bereitgestellt
ist, ist für
die Erfindung nicht relevant; als ein Beispiel kann aber angenommen
werden, dass er sich auf Medienabgabe für verschiedene thematische
Kanäle
bezieht. Um AS 302 zu managen, kann entsprechend ein Ursprungsmanager 104 vorgesehen
sein, dem zugewiesen ist, Managementaufträge auszugeben, die gemanagte Objekte
in dem AS beeinflussen (z.B.: Parameter, die einen Ausführungsaspekt
des bereitgestellten Dienstes steuern, wie etwa ein Parameter, der
die Dienstgüte
für alle
Benutzer des Dienstes lenkt, oder pro Benutzer des Dienstes; Informationselemente
zum Bilden oder Kennzeichnen des Inhalts der Information, die durch
die Funktion oder den Dienst bereitgestellt wird; etc.). Von dem
Ursprungsmanager 104 kann auch erwartet werden, einige
Managementaufträge
zu anderen Einrichtungen hin auszugeben. Z.B. kann es notwendig
sein, einige Teilnehmerdaten von der CSD zu lesen und/oder einige
auf einen Dienst bezogene Daten dort einzustellen.
-
Das
Aufkommen neuer Dienste hat bewirkt, dass Teilnehmerendgerät komplexer
werden; wobei einige von ihnen ähnliche
Fähigkeiten
zu einigen computerbasierten Systemen vom Stand der Technik aufweisen.
Somit kann z.B. ein mobiles Endgerät (z.B. 301) konfiguriert
sein mit einigen Betriebsdaten von einem mobilen Telekommunikationssystem über die
gleiche Funkschnittstelle, die es verwendet, um Basiskommunikationen
herzustellen. Ähnlich
kann ein gegebener Teilnehmer 105-1 sein mobiles Endgerät 105-2 als
einen Managementserver betreiben, um ein Datenobjekt, das gemanagt
werden kann, bezogen auf sein Abonnement zu managen (z.B. Einstellen
einer Dienstpräferenz,
Erhalten von Daten bezogen auf seine abonnierten Dienste etc.).
Wie in dem oben angegebenen Fall ist es, ob ein Teilnehmer einige
seiner Daten nur von seinem Endgerät (z.B. einem mobilen Endgerät, wobei
der Teilnehmer an dem System 1 angeschlossen ist) managen
kann oder nicht, eine Managementrichtlinie, die gemäß der Erfindung
vorteilhafter Weise gesteuert werden kann.
-
Die
in 1 gezeigte Managementvermittlervorrichtung 200 ist
auch mit den Kommunikationsnetzen (2) verbunden, um die
Managementaufträge zu
vermitteln, die durch die verschiedenen Ursprungsmanager für die verschiedenen
gemanagten Einrichtungen ausgegeben werden. Der interne vereinfachte
Aufbau der Managementvermittlervorrichtung 200, die in 1 gezeigt
wird, betrachtet eine mögliche
Implementierung als eine computerbasierte Vorrichtung, die, wie
in den meisten der modernen Telekommunikationssysteme, eine bevorzugte
Implementie rungsbasis für
Telekommunikationsknoten und Server ist. Entsprechend umfasst die
computerbasierte Vermittlungseinrichtung 200: eine Kommunikationsschnittstelle
COM, die angeordnet ist, Managementaufträge zu empfangen und auszugeben, einen
Datenspeicher MEM, der angeordnet ist, Bearbeitungsinstruktionen
ebenso wie andere Daten zu speichern, um ihre spezifische Operation
durchzuführen,
einen Prozessor PROC, der angeordnet ist, die Bearbeitungsinstruktionen
auszuführen,
und interne Datenbusse 20, um mit diesen Elementen zu kommunizieren.
-
Eine
vereinfachte schematische Funktionsansicht einiger Funktionskomponenten
(201, 202, 203) einer Vorrichtung zum
Vermitteln von Managementaufträgen 200 gemäß der Erfindung
ist in 2 angegeben. Die Funktionskomponenten können gemäß verschiedenen
Implementierungsalternativen hergestellt werden, die Software, Hardware
oder Kombinationen von beiden umfassen können.
-
Die
Vorrichtung 200 umfasst eine Kommunikationsempfängerkomponente
CRC 201 als eine Funktionskomponente, die angeordnet ist,
Managementaufträge
von einer Vielzahl von Ursprungsmanagern (101, 102,
..., 10x) zu empfangen. Entsprechend befolgt die CRC 201 die
Managementprotokolle, die durch die Vielzahl von Ursprungsmanagern genutzt
werden können,
um Managementaufträge auszugeben,
um so einen gemanagten Endpunktagenten zu implementieren, und ist
somit angeordnet, die Informationselemente zu extrahieren, die in
den Managementaufträgen übermittelt
werden, die sie empfängt
(d.h.: da ein gemanagter Endpunktagent hauptsächlich in einer gemanagten
Einrichtung durch Parsen des Inhalts eines Managementauftrags bewirkt,
den er empfängt,
um den Identifikator der angeforderten Operation, den Identifikator
des gemanagten Datenobjektes, auf dass die Operation verweist, etc.
zu erhalten). Wie später
beschrieben wird, kann die CRC 201 auch angeordnet sein,
eine andere Art von Kommunikationen zu empfangen, die nicht Managementaufträge sind.
-
Sobald
die Informationselemente, auf die in einem empfangenen Managementauftrag
verwiesen wird, aus dem Inhalt des Auftrags extrahiert wurden, wird
die Information zu einer Managementverifiziererkomponente MVC 202 weitergegeben,
die ein Funktionselement ist, das eine Prüfung des Inhalts des empfangenen
Auftrags gegenüber
einem oder mehr Zugangsattributen, die in einer oder mehr Managementzugangsvorlagen 50x enthalten
sind, durchführt
um zu bestimmen, ob ein empfangener Managementauftrag ein zulässiger Managementauftrag
ist, und somit, ob er zu der (den) geeigneten gemanagten Einrichtung(en)
gesendet werden kann. Wie später
beschrieben wird, kann die MVC 202 ferner einige Elemente,
die sich auf einen empfangenen Auftrag beziehen, hinzufügen und/oder
ersetzen, um ihn so zu der (den) beeinflussten gemanagten Einrichtung(en)
richtig weiterzuleiten. Wie auch später beschrieben wird, kann
die MVC 202 ferner angeordnet sein, einige Bestimmungen
durchzuführen,
die helfen können
oder zu einem gegebenen Ursprungsmanager führen können, was die Managementoperationen
betrifft, die für
den Ursprungsmanager hauptsächlich
zulässig
sein können.
-
Schließlich wird
ein bestätigter
Managementauftrag zu der (den) gemanagten Einrichtung(en), die durch
ihn beeinflusst wird (werden) (301, 302, 30x),
durch die Kommunikationssenderkomponente CSC 203 gesendet,
die das Funktionselement in der Managementvermittlungseinrichtung 200 ist,
das die äquivalenten
Umkehrfunktionen wie die CRC 201 durchführt; somit führt die
CSC 203 ähnliche
Aktionen wie die durch, die durch einen Managementagenten in einem
Managementserver durchgeführt werden
und befolgt das entsprechende Managementprotokoll, um den bestätigten Auftrag
zu senden (z.B.: Syntax, die durch das Managementprotokoll definiert
ist, Format und Ko dierung der Nachrichten, die die Managementaufträge übermitteln,
Protokolltimer, zugehörige
Zustandsmaschine etc.). Wie später
beschrieben wird, kann die CSC 202 auch angeordnet sein,
eine andere Art von Kommunikationen zu senden, die nicht Managementaufträge sind,
die zu gemanagten Einrichtungen gesendet werden.
-
Die
Zugangsattribute, um die Eignung eines gegebenen Managementauftrags
zu prüfen,
können vorteilhafter
Weise in unterschiedlichen Managementvorlagen strukturiert sein,
die sich jeweils auf die Elemente und Entitäten beziehen, die in einem
Managementprozess einbezogen sind (z.B.: Ursprungsmanager, gemanagte
Einrichtungen, gemanagte Datenobjekte und generische Managementrollen).
Somit kann der gewünschte
Grad von Granularität
so hergestellt werden, um zu erlauben, eine ausreichend detaillierte
Managementrichtlinie zu definieren und durchzusetzen, die mögliche Kombinationen
in Managementaufträgen
zwischen den Ursprungsmanagern, den gemanagten Einrichtungen und
den gemanagten Datenobjekten betrachtet. Es sollen nun einige Beispiele
gegeben werden, die den möglichen Inhalt
unterschiedlicher Arten von Managementvorlagen detailliert angeben.
-
Eine
Managementvorlage, die in Beziehung mit einem Identifikator eines
Ursprungsmanagers definiert ist, kann ein oder mehr Zugangsattribute
umfassen, die identifizieren: die zulässigen Managementoperationen,
die von dem Ursprungsmanager gesendet werden können, die Einrichtungen, zu
denen der Ursprungsmanager berechtigt ist, einen Managementauftrag
zu senden, und die Datenobjekte, die von dem Ursprungsmanager gemanagt
werden können
ebenso wie ihre entsprechende Musterstruktur; und sie kann ferner
die zulässigen
Managementoperationen von dem Ursprungsmanager pro Einrichtung und/oder
pro Datenobjekt identifizieren.
-
Eine
Managementvorlage, die in Beziehung mit einem Identifikator eines
gemanagten Datenobjektes definiert ist, kann ein oder mehr Zugangsattribute
umfassen, die identifizieren: eine gültige Musterstruktur des Datenobjektes,
die Managementoperationen, die über
dem Datenobjekt gestattet sind, und die Ursprungsmanager, denen
erlaubt ist, die Ausführung
von Managementoperationen anzufordern, die das Datenobjekt beeinflussen.
Die Managementvorlage, die in Beziehung mit einem gemanagten Datenobjekt
definiert ist, kann ferner eine Einrichtung identifizieren, die
sie speichert, ebenso wie die Menge von zulässigen Operationen pro Ursprungsmanager
und/oder pro Einrichtung.
-
Eine
Managementvorlage, die in Beziehung mit einem Identifikator einer
gemanagten Einrichtung definiert ist, kann ein oder mehr Zugangsattribute umfassen,
die identifizieren: die Ursprungsmanager, denen erlaubt ist, einen
Managementauftrag zu der Einrichtung zu senden, die Managementoperationen, die über der
Einrichtung gestattet sind, und die Datenobjekte, die in der Einrichtung
gespeichert sind; wobei sie ferner die Menge von zulässigen Operationen
pro Ursprungsmanager und/oder pro Datenobjekt identifizieren kann.
-
Es
soll nun ein funktionaler Überblick über einen
Managementprozess, der durch eine Vermittlungsvorrichtung 200 gemäß der Erfindung
vermittelt wird, mit Bezug auf den Managementschritt des Flussdiagramms
von 3 und auf die Datenstrukturen und Beziehungen,
die in 4 veranschaulicht werden, gegeben werden.
-
In
Schritt 400 wird eine Kommunikation von einem Ursprungsmanager
(10x) in der Managementvermittlungseinrichtung 200 gegeben.
Als Nächstes wird
in Schritt 401 die Art der empfangenen Kommunikation bestimmt.
Dies kann mittels verschiedener Techniken erreicht werden. Eine
Option kann zum Beispiel sein, den Transportprotokollport der Kommunikation
zu unterscheiden, die in der Vorrichtung 200 empfangen
wird (z.B. Übertragungssteuerprotokoll
TCP oder Benutzerdatagrammprotokoll UDP, vorausgesetzt, dass TCP/IP
oder UDP/IP in dem Kommunikationsnetz 2 verwendet wird).
Alternativ, oder zusätzlich,
kann eine Analyse des Inhalts der empfangenen Kommunikation 400 durchgeführt werden. In
dem Beispiel, das in dem Fluss von 3 veranschaulicht
wird, werden zwei Arten von Kommunikation betrachtet; wobei die
erste ein Managementauftrag ist, und die zweite eine Zugangsanforderung
von einem Ursprungsmanager.
-
Falls
die empfangene Kommunikation ein Managementauftrag ist, wird in
Schritt 404 eine Managementzugangsvorlage ausgewählt, wobei
die Daten, die aus dem empfangenen Managementauftrag extrahiert
werden, genutzt werden. Wie z.B. in dem Beispielfall veranschaulicht,
der in 4 gezeigt wird, umfassen die Daten, die aus dem
empfangenen Managementauftrag extrahiert werden (505),
einen Identifikator des Ursprungsmanagers (ORID), einen Identifikator
einer angeforderten Managementoperation (OPID) und einen Identifikator
eines gemanagten Datenobjektes, das die Operation betrifft (OBID).
Es soll vermerkt werden, dass der Identifikator des Ursprungsmanagers
(ORID) in dem Managementauftrag explizit empfangen werden kann oder
aus ihm abgeleitet werden kann (z.B. ein Identifikator des Senders,
der in dem Auftrag empfangen wird, eine IP-Adresse des Managementservers,
der den Auftrag sendet etc.). Entsprechend kann der ORID sein: ein
Identifikator des Managementservers, der den Managementauftrag sendet
(z.B.: ein URL, eine IP-Adresse, ein Berechtigungsnachweis, der
eine digitale Signatur umfasst etc.), ein Identifikator des Benutzers,
der den Managementserver betreibt (z.B.: ein Benutzername, der z.B.
durch eine alphanumerische Zeichenkette gebildet wird, oder eine
andere Art eines Identifikators, wie etwa ein Mail-URL, ein MSISDN,
ein Berechtigungsnachweis, der eine digitale Signatur umfasst etc.)
oder eine Kombination von beiden. In einem Fall kann die MVC 202 einen weiteren
Schritt (408) durchführen,
um einen Identifikator zu authentifizieren, der den Ursprungsmanager betrifft,
oder sogar den Benutzer, der den Managementserver betreibt, auffordern,
z.B. einen Benutzernamen (falls kein Identifikator des Ursprungsmanagers
ORID empfangen wurde) und ein Passwort einzugeben. Es soll hier
vermerkt werden, dass obwohl der Authentifizierungsschritt 408 als
ein späterer
Verarbeitungsschritt eines Managementauftrags gezeigt wird, er gleichermaßen in einer
beliebigen anderen Bearbeitungsstufe stattfinden kann, die nach
dem Empfang der Kommunikation 400 stattfindet, einschließlich einer
beliebigen Bearbeitungsstufe zum Bearbeiten einer Zugangsanforderung
(Schritte 402 und 403).
-
Obwohl
sichere Kommunikationen zwischen Managementservern und der Vermittlungsvorrichtung 200 durch
Verwenden gut bekannter Techniken bewerkstelligt werden können (wie
etwa IPSEC oder Secure Socket Layer/Transport Layer Security SSL/TLS),
um so einige Sicherheit betreffend die Managementserver zu garantieren,
die Managementaufträge
senden, kann der Authentifizierungsschritt 408, der durch
die Vermittlungsvorrichtung 200 durchgeführt wird,
nützlich
sein, wo immer gewünscht
wird, eine Richtlinie zu implementieren, um den Benutzer zu steuern,
der einen gegebenen Managementserver betreibt, und somit zu bestimmen, ob
gewisse Managementoperationen angefordert werden können, die
betrachten, wer einen gegebenen Managementserver betreibt.
-
Sobald
ein Identifikator ORID des Ursprungsmanagers aus dem empfangenen
Managementauftrag extrahiert oder anderweitig erhalten wurde, kann
eine Managementzugangsvorlage in Beziehung mit dem Identifikator
in Schritt 404 ausgewählt werden.
Um dies zu bewerkstelligen, kann das Speichermittel in der Vermittlungsvorrichtung 200 (oder
in einer anderen Vorrichtung, die angeordnet ist, Information zu
speichern und aus ihr abgerufen zu werden) eine Liste (506)
von Identifikatoren zulässiger Ursprungsmanager
unterhalten, die erlauben, die Managementvorlage(n) zu finden (510, 511),
die dem Identifikator entspricht. In dem in 4 veranschaulichten
Beispiel wird eine Managementzugangsvorlage 501 gefunden,
sich auf einen Identifikator ORID des sendenden Ursprungsmanagers
zu beziehen. In diesem besonderen Beispielfall umfasst diese Vorlage:
Identifikatoren von zwei zulässigen
Operationen (OPb, OPc) für
diesen Ursprungsmanager, Identifikatoren von drei zulässigen gemanagten
Objekten (OBx, OBy, OBz) und Identifikatoren von zwei zulässigen gemanagten
Einrichtungen (DEi, DEj). Es soll vermerkt werden, dass obwohl in 4 nur
eine Vorlage (501) als in Beziehung mit dem Identifikator
eines Ursprungsmanagers ausgewählt
dargestellt wurde, mehr als eine Vorlage ausgewählt werden kann, falls mehr
als ein Identifikator des Ursprungsmanagers erhalten wird (z.B.:
ein Identifikator des Managementservers, der den Managementauftrag
sendet, und ein Identifikator eines Benutzers, der den Managementserver
betreibt).
-
In
dem Beispiel von 4 wird in Schritt 404 auch
eine andere Managementzugangsvorlage 503 in Beziehung mit
dem Identifikator eines gemanagten Datenobjektes ausgewählt, das
in dem empfangenen Auftrag OBID angezeigt ist. Diese Vorlage wird ähnlich wie
oben für
die Managementvorlage 501 beschrieben gefunden, die gemäß einem
Identifikator des Ursprungsmanagers ORID ausgewählt wird. Es wird nämlich eine
Menge von Identifikatoren von gemanagten Datenobjekten im voraus
gespeichert (508), und der Identifikator eines Datenobjektes
in dem empfangenen Managementauftrag wird verwendet (512, 513),
um die entsprechende(n) Vorlage(n) herauszufinden. In diesem besonderen
Beispielfall umfasst diese Vorlage: Identifikatoren einer zulässigen Operation
(OPa), die erlaubt ist, von zwei Ursprungsmanagern (OR3, OR7) aufgerufen
zu werden, die Musterstruktur dieses gemanagten Datenobjektes (PS),
den Identifikator einer Einrichtung (DEj), die dieses Datenobjekt
unterhält.
Die Managementvorlage 503 zeigt auch den Identifikator
einer Managementrolle (ROm) in Beziehung mit diesem gemanagten Objekt.
-
In
Schritt 405 wird eine Rollenbestimmung durchgeführt. Diese
Rollenbestimmung wird durchgeführt
durch zuerst Nutzen (510) des Identifikators des Ursprungsmanagers
ORID, um ferner die Managementrolle herauszufinden (516),
die mit dem Identifikator in Verbindung steht (falls vorhanden).
So können
z.B. Identifikatoren bezogen auf eine Vielzahl von Teilnehmern in
einer Beziehung mit einer "Teilnehmer"-Rolle gespeichert
werden, was eine begrenzte Menge von Managementoperationen über einer
begrenzten Menge von Einrichtungen erlaubt. Ähnlich können die Identifikatoren eines
gegebenen Ursprungsmanagertyps (wie etwa eine Menge von Kundenadministrationssystemen
CASs, oder Dienstanbieter-Administrationssysteme, oder Administrationssysteme
geschäftlicher
Handelspartner etc.) gleichermaßen
jeweils der geeigneten Rolle zugewiesen werden, die wiederum eine
begrenzte Menge von Managementoperationen über einer begrenzten Menge
von Einrichtungen für
die Rollen bestimmen würde.
In dem besonderen Beispiel, das in 4 gezeigt
wird, wird dies durch Speichern einer Liste einer Menge von Rollenidentifikatoren
(507) bewerkstelligt; wobei für einen gegebenen Identifikator eines
gegebenen Ursprungsmanagers ein Verweis gespeichert werden kann,
der hilft, die entsprechende zugehörige Rolle (falls vorhanden)
zu identifizieren (516). Entsprechend dem veranschaulichten
Beispiel wird eine weitere Vorlage 502 in Beziehung mit dem
ORID ausgewählt
(510, 516, 517). In dem besonderen veranschaulichten
Beispielfall umfasst die Vorlage 502: Identifikatoren von
zwei zulässigen Operationen
(OPb, OPc) für
diese Managementrolle, Identifikatoren von drei zulässigen gemanagten
Objekten (OBx, OBy, OBz) und Identifikatoren von zwei zulässigen gemanagten
Einrichtungen (DEi, DEj).
-
Es
kann ein weiterer Schritt (in 3 nicht gezeigt)
stattfinden, um bei der Auswahl von Managementzugangsvorlage(n)
von Identifikatoren, die in einem Managementauftrag empfangen werden,
zu helfen. Somit kann ein weiterer Speicher von Information (wie
früher
angegeben: in der Vermittlungsvorrichtung 200 oder in einer
kooperierenden Speichervorrichtung) eine Beziehung zwischen den
Identifikatoren einer Menge von Managementoperationen und den Identifikatoren
von gemanagten Datenobjekten, die durch jede der Operationen beeinflusst
werden, umfassen. Alternativ, oder zusätzlich dazu, kann ferner eine
Beziehung zwischen der Menge von Managementoperationen und den gemanagten
Einrichtungen, die durch jede der Operationen beeinflusst werden,
gespeichert werden. Somit könnte
die MVC 202 in dem Schritt (in 3 nicht
gezeigt) den Identifikator einer Managementoperation verwenden,
der in einem empfangenen Managementauftrag OPID angezeigt wird,
um z.B. ein Datenobjekt zu bestimmen, das durch die Operation beeinflusst
wird, oder eine beeinflusste Einrichtung zu bestimmen; wobei dies
nützlich
ist, um entweder: diese Daten zu bestimmen, falls sie nicht in dem
Managementauftrag explizit empfangen werden (um z.B. weiter eine
entsprechende Managementvorlage auszuwählen), und auch um zu prüfen, ob
ein Identifikator eines Datenobjektes oder einer Einrichtung, der
in dem Auftrag empfangen wird, zu den einen passt, die für die angeforderte
Managementoperation gespeichert sind.
-
Schritt 406 repräsentiert
die Auswahl einer (von) weiteren Managementzugangsvorlage(n), um den
empfangenen Managementauftrag zu prüfen; wobei die weitere(n) Managementzugangsvorlage(n) aus
Daten ausgewählt
wird (werden), die nicht direkt in den Managementauftrag empfangen
werden, sondern gemäß einem
Zugangsattribut ausgewählt
werden, das in einer anderen Managementzugangsvorlage(n) enthalten
ist, die hauptsächlich
ausgewählt wird
(werden), um den empfangenen Managementauftrag zu prüfen (501, 502, 503).
Z.B. kann ein Identifikator, der weitergeleitet werden kann, einer
gemanagten Einrichtung für
einen Ursprungsmanager verborgen sein, der wiederum nur mit einem
Identifikator, der weitergeleitet werden kann, konfiguriert sein kann,
um die Vermittlungseinrichtung 200 zu bekommen. Auf eine ähnliche
Weise wie oben für
andere Identifikatoren beschrieben, können die Identifikatoren einer
Vielzahl von gemanagten Einrichtungen in Beziehung mit ihren entsprechenden
Managementzugangsvorlagen gespeichert werden (509); somit wird
erlaubt, Managementzugangsvorlagen in Beziehung mit den gemanagten
Einrichtungen zu bestimmen (514, 515). Gemäß dem Beispiel,
das in 4 veranschaulicht wird, wird ein Identifikator
der einbezogenen gemanagten Einrichtung (DEj) aus einem Zugangsattribut
erhalten, das in der Managementzugangsvorlage (503) gespeichert
ist, die für
das gemanagte Datenobjekt ausgewählt
wurde, das durch den empfangenen Auftrag beeinflusst wird, und dann
wird dieser Identifikator verwendet, um eine andere Managementzugangsvorlage 504 herauszufinden
(514, 515), die für die Einrichtung definiert
ist, um den empfangenen Managementauftrag zu verarbeiten. In diesem
besonderen Beispielfall umfasst die Vorlage 504: Identifikatoren
von zwei gemanagten Datenobjekten, die in dieser Einrichtung (OBx,
OBz) gespeichert sind, und Identifikatoren von jeweils drei zulässigen Operationen
(OPa, OPb, OPc) für
die erste eine und zwei (OPa, OPd) für die zweite eine.
-
Ferner
kann eine Managementzugangsvorlage in Schritt 406 in Beziehung
mit einer zulässigen Rolle
ausgewählt
werden, die in einer anderen ausgewählten Vorlage enthalten ist.
Somit kann z.B. eine Managementzugangsvorlage in Beziehung mit einer zulässigen Rolle
(ROm), die in der ausgewählten Vorlage
des gemanagten Objektes 503 spezifiziert ist, weiter ausgewählt werden
(518, 517). Dies kann in einem Fall nützlich sein,
in dem mehr als eine Rollenvorlage (502) in Beziehung mit
dem Identifikator des Ursprungsmanagers gefunden wurde, oder auch,
wenn keine Rollenvorlagen in Beziehung mit dem Identifikator primär gefunden
wurden.
-
In
Schritt 407 verifiziert die MVC 202, ob der Managementauftrag
gewährt
werden kann oder nicht, durch Prüfen,
ob der Inhalt 505 des empfangenen Managementauftrags 400 zu
den Zugangsattributen der ausgewählten
Vorlagen (501, 502, 503, 504)
passt, und sogar ob die Zugangsattribute einer ausgewählten Vorlage
zu den entsprechenden in einer anderen ausgewählten Vorlage passen. Z.B. kann
einem gegebenen Ursprungsmanager erlaubt sein, ein gegebenes Datenobjekt
zu managen; er kann jedoch nur berechtigt sein, den Inhalt des Datenobjektes
zu erhalten, aber nicht irgendwelche Managementoperationen aufzurufen,
die eine Modifikation oder eine anfängliche Einstellung des Datenobjektes
einbezieht. Ähnlich
kann eine gegebene Managementrolle für Teilnehmer eine Vielzahl
von Operationen über
einem gewissen Datenobjekttyp (z.B. Abonnementdienstdaten) erlauben;
für einen
bestimmten Teilnehmer, der sein Mobiltelefon als einen Managementserver
betreibt, kann jedoch nur erlaubt sein, Managementaufträge zu senden,
die Managementoperationen bezogen auf seine eigenen Abonnementdienstdaten,
oder auf eine Teilmenge der Daten aufrufen. Entsprechend gewährt die
MVC 202 in Schritt 409 nur Managementaufträge, die
zu Managementzugangsattributen passen, die in Beziehung mit Ursprungsmanagern,
gemanagten Einrichtungen und gemanagten Datenobjekten definiert sind;
anderenfalls wird der empfangene Managementauftrag zurückgewiesen
(Schritt 410). Der Zurückweisungsschritt 410 kann
beliebige Signalisierung zu dem anfordernden Managementserver umfassen,
falls er z.B. gemäß dem genutzten
Managementprotokoll verfährt.
Die MVC 202 kann auch verifizieren, ob die Struktur eines
gemanagten Datenobjektes, die in einem Managementauftrag empfangen wird
(die z.B. eine Operation aufruft, die eine Modifikation oder eine
anfängliche
Einstellung des Datenobjektes einbezieht) gemäß einer vordefinierten Musterstruktur
des Objektes ist, und somit z.B. vermeiden, dass Daten auf einen
gegebenen Wert gesetzt werden, der außerhalb des gedachten Bereiches
ist, oder dass einige Daten eine vordefinierte Syntax erfüllen etc.
-
Der
Schritt 409 zum Gewähren
des empfangenen Managementauftrags kann das Senden des Auftrags
zu der entsprechenden gemanagten Einrichtung gemäß dem spezifischen Managementprotokoll
umfassen, das genutzt wird, um den Auftrag zu der Einrichtung zu übermitteln;
wobei, wie zuvor angegeben, der Auftrag unter Verwendung von Daten gesendet
werden kann, die nicht ursprünglich
in dem Managementauftrag 400 empfangen wurden (wie etwa
eine Adresse, die weitergeleitet werden kann, der gemanagten Einrichtung),
und z.B. auch einige andere Daten umfassen, die nicht in dem Auftrag empfangen
werden (z.B. in einer ausgewählten
Managementzugangsvorlage enthalten sind). Da der Inhalt der Zugangsattribute,
die in den Managementzugangsvorlagen enthalten sind, nicht weniger
als die Datenobjekte Gegenstand ist, gemanagt zu werden, kann die
Vermittlungsvorrichtung 200 ferner eine Managementausführungskomponente
(in der Funktionsansicht von 2 nicht
gezeigt) umfassen, die angeordnet ist, Managementoperationen über dieser bestimmten
Art eines gemanagten Datenobjektes durchzuführen. In diesem Fall kann somit
die MVC ferner angeordnet sein zu erfassen, ob ein gemanagtes Datenobjekt,
das durch einen empfangenen Managementauftrag beeinflusst wird,
ein Zugangsattribut in einer Managementzugangsvorlage einbezieht (z.B.
nur ein Zugangsattribut, eine ganze Vorlage etc.); dies kann z.B.
durch Zuweisen spezifischer Datenobjekttidentifikatoren zu den Zugangsattributen (und/oder
zu den Vorlagen) oder durch Zuweisen spezifischer Operationsidentifikatoren,
um sie zu managen, bewerkstelligt werden. Wenn ein Zugangsattribut
durch einen empfangenen Management auftrag beeinflusst wird, und
vorausgesetzt, dass es ein zulässiger
Managementauftrag ist, wird entsprechend die Managementausführungskomponente
in Schritt 409 aufgerufen, um die angeforderte(n) Managementoperation(en) über dem
Attribut durchzuführen.
-
Falls
in Schritt 401 bestimmt wird, dass die empfangene Kommunikation 400 eine
Zugangsanforderung ist, können
in Schritt 402 eine oder mehr Managementzugangsvorlagen
unter Nutzung der Daten in der Zugangsanforderung ausgewählt werden.
In einem einfachen Fall kontaktiert z.B. ein Benutzer, der einen
Managementserver betreibt, die Vermittlungsvorrichtung 200 und
sendet eine Zugangsanforderung, die einen Identifikator umfasst, der
ihm zugewiesen wurde. Anschließend
kann in Schritt 402 die MVC 202 z.B. eine Managementzugangsvorlage
bezogen auf diesen Identifikator und/oder eine andere Managementzugangsvorlage bezogen
auf eine Rolle, die mit diesem Identifikator in Verbindung steht,
bestimmen. Als Nächstes
können in
Schritt 403 Zugangsattribute, die in der (den) ausgewählten Vorlage(n)
enthalten sind, zurück
zu dem zugreifenden Managementserver als eine Antwort auf die empfangene
Zugangsanforderung gesendet werden (z.B. übersetzt in ein geeignetes
Format), um als Managementoptionen angezeigt zu werden, die zulässig sind
für diesen
Benutzer, oder für
den Managementserver, oder für
diesen Benutzer von diesem Managementserver.
-
Die
Erfindung wurde hinsichtlich einiger beispielhafter Ausführungsformen
beschrieben. Einem Fachmann werden Variationen leicht offensichtlich sein.
Aus diesem Grund ist die Erfindung angesichts der Ansprüche zu interpretieren
und zu begrenzen.