JP7436090B2 - マルチクライアント管理アクセスを提供する光伝送システムの保護された区画化のための技術、及びこれを実施するネットワーク管理システム - Google Patents

マルチクライアント管理アクセスを提供する光伝送システムの保護された区画化のための技術、及びこれを実施するネットワーク管理システム Download PDF

Info

Publication number
JP7436090B2
JP7436090B2 JP2019165840A JP2019165840A JP7436090B2 JP 7436090 B2 JP7436090 B2 JP 7436090B2 JP 2019165840 A JP2019165840 A JP 2019165840A JP 2019165840 A JP2019165840 A JP 2019165840A JP 7436090 B2 JP7436090 B2 JP 7436090B2
Authority
JP
Japan
Prior art keywords
user
access
nms
user request
network element
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019165840A
Other languages
English (en)
Other versions
JP2020042821A (ja
Inventor
クラム リチャード
エム.リス ジョナサン
パラウ スシル
シオリ アントニオ
ボドナー エリック
ガウタム シュレヤ
Original Assignee
サブコム,エルエルシー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by サブコム,エルエルシー filed Critical サブコム,エルエルシー
Publication of JP2020042821A publication Critical patent/JP2020042821A/ja
Application granted granted Critical
Publication of JP7436090B2 publication Critical patent/JP7436090B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B10/00Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
    • H04B10/27Arrangements for networking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • H04Q11/0067Provisions for optical access or distribution networks, e.g. Gigabit Ethernet Passive Optical Network (GE-PON), ATM-based Passive Optical Network (A-PON), PON-Ring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • H04Q2011/0079Operation or maintenance aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • H04Q2011/0086Network resource allocation, dimensioning or optimisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/1301Optical transmission, optical switches

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Power Engineering (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Accounting & Taxation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Optical Communication System (AREA)

Description

本願は、包括的には、通信システムに関し、より詳細には、所与のクライアントの認可された機器、及びユーザーの対応するドメインに基づいた特権を反映する光伝送システムのクライアントごとの「閲覧」を可能にする、複数のクライアント/顧客のための単一のアクセスポイント(point of access)を提供する光伝送システムを論理的に区画化する技術に関する。
ネットワーク管理は、ネットワーク故障を回避するとともに、ネットワーク性能を確保するために、種々のタイプの光ネットワーク内で異なるレベルにおいて行うことができる。通信ネットワークにおいて、要素管理システム(EMS:element management system)を用いて、一ネットワーク内のネットワーク要素を監督及び管理することができる。通信ネットワークは、いくつかのEMSと通信することによってネットワーク全体を管理するネットワーク管理システム(NMS:network management system)も備えることができる。
波長分割多重化(WDM)システム等の光通信システムでは、例えば、ケーブルセグメントによって終端局又はケーブル局を相互接続して、ネットワークを形成することができる。光通信システム内のネットワーク要素は、ケーブル局に配置される機器(例えば、終端機器及び給電機器、コンピューター、電話、プリンター等)、及び、このケーブル局と関連付けられた機器(例えば、隣接するリピーター、分岐ユニット及びイコライザー)を含むことができる。そのようなシステムにおいて、EMSは、ケーブル局に(又は別個の位置に)配置するとともに、このケーブル局と関連付けられたネットワーク要素を管理するのに用いることができる。EMSは、要素管理機能を実行する1つ以上のサーバーと、ユーザーインターフェース(例えば、EMSによって管理されるネットワーク要素と関連付けられた情報を表示する)を提供する1つ以上のワークステーションとを備えることができる。NMSは、光通信システム全体又はネットワークを管理するために、複数のケーブル局のうちの1つに、又は別個の位置に配置することができる。
海底の状況における光通信システムは、多くの場合、複数の団体の共同事業体によって所有及び運用されており、これらの団体の一部又は全ては、通信システム全体のこれらの団体の部分を管理するために完全なデータ及び運用上の独立性を望む。このアクセスをサポートする従前の手法は、場合によって全ての団体がアクセスすることができる給電機器(PFE)等のシステムの共通部分のための別個のサーバー機器に加えて、団体ごとに専用の要素管理システム(EMS)及びネットワーク管理システム(NMS)のハードウェア及びソフトウェアを提供することを含む。専用のEMS及びNMSのハードウェア及びソフトウェアは、各団体が光通信システムのこれらの団体の固有部分及び共同で所有された機器のみを管理することができることと、細粒度レベルにおいて機器についてのユーザーログイン及び特権レベルを管理する能力とを確実にする。しかしながら、専用のEMSシステム及びNMSシステムを提供することにより、多数の技術的課題が生み出され、重複した複数のシステムを維持するために、ハードウェア、ソフトウェアライセンシング、及び技術者に関連したコストが著しく高まるおそれがある。
以下の図面と関連して読まれるべき以下の詳細な説明に対して参照が行われるべきであり、図面において、同様の参照符号は、同様の部分を表す。
本開示に沿った光システムの1つの例示的な実施形態の簡略化されたブロック図である。 図1の光通信システムにおける使用に適したネットワーク管理システム(NMS)の一例示の実施形態の簡略化されたブロック図である。 本開示の一実施形態に沿ったシステム区画化構成ファイルの一例である。 本開示に沿った一例のNMSアーキテクチャの簡略化されたブロック図である。 本開示の一実施形態による、保護された区画化を提供するための光通信システムをプロビジョニングする一例の方法を示す図である。 本開示の一実施形態による、保護された区画化を実施する光通信システム内のユーザー要求を処理する一例の方法を示す図である。
上述したように、専用NMSサーバーシステムを提供してマルチパーティNMSデータアクセス及び制御を許可することは、ハードウェアの比較的非効率的な使用である。なぜならば、各顧客は、本質的に、ログインクレデンシャル、機器特権を管理するために、及び、システム動作を実行するとともに、ネットワーク要素から診断データを収集する要求をハンドリングするために、重複したハードウェアを与えられるためである。理論的には単一のセットのネットワーク管理ハードウェア及びソフトウェアがこれらの非効率性を克服するものの、システム等の実施は、光通信システムの性質に起因して技術上の複雑性を生み出し、したがって、いくつかの機器は、特定の顧客に固有のものとされる場合がある一方で、他の機器は、共同で所有される場合がある。
これらのマルチパーティの課題は、簡略化された例によってより良く理解することができる。4つのファイバー対のうちの異なるファイバー対及び関連付けられた回線終端機器(LTE:端局装置)を各々所有する4つの異なる団体の共同事業体によって所有することができる4つのファイバー対ケーブルシステムを検討する。いくつかのLTEは、光ファイバーケーブルに沿って電力を提供する給電機器(PFE)等の、全ての団体によって所有される共通機器とすることができる。さらに、回線モニタリング機器(LME)等のいくつかの共通機器は、共同で所有することができるが、ファイバー対ごとにデータを記憶することができる。この例において、各団体は、動作の目的でLME機器へのアクセスを望む場合があるが、これらの団体のファイバー対に固有のデータがプライベートであるとともにシステム内の他の団体がアクセス不可能であることを望む場合もある。その上、各団体は、他の団体がユーザーログインデータテーブル及びセキュリティ特権を「見る」能力を有することなく、これらの団体の特有のユーザーログインに対する細粒度制御を有することを望む場合がある。
それゆえ、本開示は、包括的に、単一のNMSシステムがN個の顧客ドメイン(又は単にドメイン)及び関連付けられたユーザーについてのデータアクセス及び制御を管理することを可能にする手法に関する。詳細には、本開示に沿ったNMSは、ドメインによって光通信システムを論理的に区画化する方式/構成を含むことができる。ドメインごとに、区画化は、例えば、ファイバー対指定、波長指定、具体的に識別されたハードウェア要素、コンポーネントカテゴリ(例えば、リピーター、OADM、PFE等)又はこれらの任意の組み合わせによる固有の機器へのアクセスを含むユーザーごとのアクセス制約及び特権を更に規定することができる。NMSシステムは、認証に対するプロキシサーバー手法、例えば、リモート認証ダイアルインユーザーサービス(RADIUS:Remote Authentication Dial In User Service)又は、各団体/顧客が、ユーザーログイン、アクセス特権、及び機器固有制約を確立することができる別個の認証データベースを維持することを可能にする他の適した手法を利用することができる。したがって、NMSは、プロキシサーバーを介してユーザーを検証し、各ユーザーが、当該ユーザーの特定のドメインと関連付けられた光通信システムの部分のみを含む、このシステムのセキュアな「閲覧」を有するように、区画化情報を介してドメイン制約を効力化することができる。ユーザーは、グラフィカルユーザーインターフェース(GUI)を介して直接、又は、例えば、リモートオペレーションシステムサポート(OSS)プログラム管理のために、レプリゼンテーショナルステートトランスファー(ReST:Representational State Transfer)ベースアプリケーションプログラミングインターフェース(API)を介して間接的に、NMSにアクセスすることができる。
したがって、ユーザーは、所与のドメインと関連付けられた特定のファイバーケーブル、ファイバー対(複数の場合もある)、及び/又はチャネル波長に基づいて機器への細粒度アクセスを提供することができるNMSによって提供されるセキュアでトランスペアレントな区画化方式に基づいて、共同で所有される要素を含む、システムのユーザーのそれぞれの部分へのアクセスを有することができる。その上、本開示に沿ったNMSは、各ドメインが、別個の第三者サーバー内にドメイン自身のユーザークレデンシャルデータベースをリモートにホストすることを可能にし、これにより、データセキュリティ及び管理の容易さの目的でシステム要素とリモート第三者サーバーとの間の絶縁性を高めることができる。それゆえ、サーバーコンポーネントの全体数は、システムにアクセスすることを望む団体ごとに専用のNMS及び/又はEMSサーバーシステムを提供する手法に対して削減することができ、いくつかの事例において、本開示に沿ったサーバープロセスは、パブリック又はプライベートクラウドサービスを介してホストすることができる。ハードウェア及びサーバーコンポーネント/機能のこの削減の多数の利益は、本開示の観点において明らかとなり、例えば、インストール及びメンテナンスの複雑度の低下、他の機器のためのラック/サーバールームスペースの増加、訓練すべき技術者の削減、並びに、NMSサーバー機能へのAPI及びGUIアクセスの提供及び管理における柔軟性の増加を含む。
ここで図面を参照すると、図1は、本開示に沿った光通信システム100を示している。光通信システム100は、限定することなく、説明の簡潔さのために非常に簡略化された形態において示されている。光通信システム100は、複数の要素のうちの少なくとも一部が海面下に配置される海底光通信システムとして実施することができる。さらに、光通信システム100は、複数のチャネル波長を介して送信することが可能な波長分割多重化(WDM)システムとして実施することができる。図示するように、光通信システム100は、複数のケーブル陸揚局(cable landing stations)、すなわちケーブル陸揚局102-1、102-2及び102-3の間に延在する光伝送路103を備える。
図示するように、光通信100は、比較的大きな地理的距離(例えば、数十キロメートル、数百キロメートル、又は数千キロメートル)に及ぶ、共同で110として示される光ファイバーケーブルを備える。それゆえ、海底光ネットワークは、例えば、海底に沿って配置されるか、又は、海に基礎をなすプラットフォーム上に配置される、複数の「ウェット」光コンポーネントを備えることができる。しかしながら、ケーブルセグメントは、この点において必ずしも限定されず、光通信システム100は、少なくとも部分的に、或る長さの陸に基礎をなす光ファイバーセグメントを含むことができる。本明細書において開示される例及びシナリオは、ケーブル陸揚局すなわちCLSを参照しているものの、本開示は、この点において必ずしも限定されない。例えば、本明細書において開示される技術は、例えば単にいくつかの名前を挙げるだけでも、ネットワークオペレーションセンター(NOC:Network Operation Centers)及びリモートオペレーションポジション(ROP:Remote Operation Positions)を含む、光通信システム内に配置される任意の局に等しく適用可能である。
説明を続けると、光伝送路103は、1つ以上の光ファイバー対を含む少なくとも1つの光ケーブル110を含む。光伝送路103は、リピーター118-1、118-2及び1つ以上の分岐ユニット、例えばBU125を含む複数の光コンポーネントを備える。BUは、再プログラム可能光アド/ドロップマルチプレクサー(ROADM:reprogrammable optical add/drop multiplexers)、又は、分岐路、例えば分岐路114に対してチャネル波長を送受信するために好適な他の光フィルター/コンポーネント(例えば、リモートのモニタリング及び制御のための回路部を含むことができる)を含むことができる。各ケーブル陸揚局は、種々の光コンポーネントへのアクセスを提供するための、及び、システム内のコマンド/応答要素(CRE)へのインターフェースを提供するための要素管理システム(EMS)を含むことができる。
ケーブル陸揚局102-1~102-3の各々は、海岸に沿って又はプラットフォーム上に配置することができる。ケーブル陸揚局102-1~102-3の各々は、チャネルラインカード(図示せず)等の回線終端機器(LTE)、給電機器(PFE)112-1等を含むことができる。PFE112-1は、光伝送路103に沿って定電圧又は定電流を提供するように構成することができる。
更に図示するように、第1のケーブル陸揚局102-1は、NMS104-1、EMS106-1及びLME108-1を備える。NMS104-1は、図2を参照して更に詳細に論述されるNMS204として実装することができる。各NMSは、N個のEMSシステムと通信するように構成することができる。EMSシステムの各々は、所与のケーブル陸揚局にローカルの又は別の方法で隣接したリピーター及び他の要素等の光コンポーネントと通信するように構成することができる。LME機器を用いて高損失ループバック(HLLB:high loss loopback)又は他の測定を実行することで、公称性能を確実にするとともに、光伝送路103に沿った故障、例えばケーブル破断を検出することができる。
任意選択で、冗長性及び耐故障性のために、かつ、ネットワーク要素のローカル管理のために、2つ以上のケーブル陸揚局が類似のコンポーネントを含むことができる。例えば、第2のケーブル陸揚局102-2は、NMS104-2、EMS106-2及びLME108-2を備えることができる。更に以下で論述するように、NMSコンポーネント104-1、104-2の各々は、共同で単一のNMSシステム204を形成することができ、それにより、ユーザーは、任意のNMSコンポーネントに、例えばグラフィカルユーザーインターフェース(GUI)を介して直接、又は、APIを介してログインして、要求に対する処理を行わせることができる。この例において、NMSコンポーネントのうちの1つは、マスターとして動作することができ、それにより、スレーブNMSシステムが、マスターの代理としての役割を担うか、又は、別の方法でハンドリング要求をマスターに転送する。マスターNMSがオフラインに移行する場合には、光通信システム100は、スレーブNMSをマスターの役割に自動的に切り替えるように構成することができる。
図2は、本開示に沿った、一例のネットワーク管理システム(NMS)アーキテクチャ200を示している。NMSアーキテクチャ200は、限定することなく、簡潔さのために非常に簡略化された形態において示されている。NMSアーキテクチャ200は、例えば、複数のNMSサーバー、EMSサーバー、LME等を含むそれぞれ異なる構成において実施することで、NMSアーキテクチャ200を共同で提供することができる。このようにして、コンポーネントを複数のケーブル陸揚局、例えば図1のCLS102-1..CLS102-3の間に分散させることで、冗長性、耐故障性を提供するとともに、NMSアーキテクチャ200のユーザーのための複数のアクセスポイントを提供することができる。したがって、NMS204は、共同で、単一のNMSサーバー、例えばNMS104-1として実装することもできるし、図1に示すような複数のNMSシステム、例えばNMS104-1、104-2を含むこともできる。
更に図示するように、NMS204は、認証インターフェース206、システムリソースデータベース212、セキュリティマネージャー220、及びユーザーインターフェース224を含む複数の関連付けられたコンポーネントを備える。NMS204は、ハードウェア(例えば回路部)、ソフトウェア、パブリック/プライベートクラウド、又はこれらの組み合わせにおいて実施することができる。一実施形態では、NMS204は、コントローラー205(NMSコントローラーとも称される場合がある)によって実行することができる、メモリ207に記憶された複数の非一時的命令として少なくとも部分的に実施されることで、NMSプロセス、例えばそれぞれ図5及び図6のプロセス500及び600を実行することができる。本明細書において総称される場合、コントローラーは、プロセッサ(例えばx86プロセス又は仮想コンピューター)、フィールドプログラマブルゲートアレイ(FPGA)、特定用途向け集積回路(ASIC)、又は他の任意の適した処理デバイス/回路部として実装することができる。
ユーザーインターフェース224は、ユーザー、例えばユーザー229から要求を受信して処理するグラフィカルユーザーインターフェース(GUI)コンポーネント及び/又はAPIコンポーネントを含むことができる。一実施形態では、ユーザーインターフェースのAPIは、ReSTアーキテクチャを実装することができる。セキュリティマネージャー220は、ユーザーから受信された要求が、そのユーザーの関連付けられた特権及びアクセス権に基づいて許容可能であることを確実にするように構成することができる。ユーザーからの要求を処理するときにユーザーの権利の認証及び検証を実行するために、セキュリティマネージャー220は、認証インターフェース206を利用することができる。プロキシ認証インターフェースとも称される場合がある認証インターフェース206は、ワイドエリアネットワーク208、例えばインターネットを用いてリモートオーセンティケーター(remote authenticator)(複数の場合もある)214と通信することができる。
リモートオーセンティケーター214の各々は、種々の顧客ドメインに対応することができるとともに、認証インターフェース206からの認証要求を処理するように構成することができる。以下で更に詳細に論述するように、各リモートオーセンティケーターにおける認証データが、例えば所定の方式を用いて、標準化された方法において記憶されることで、各エンティティが、NMS204の要件と適合する方法においてこれらのエンティティのそれぞれのデータベースをプロビジョニングすることを可能にすることができる。それゆえ、セキュリティマネージャー220は、ユーザー229とユーザーのそれぞれのエンティティ/ドメインとの間の既知の関連付け(例えば、メモリ207に記憶される)に基づいて、特定のリモートオーセンティケーター214をトランスペアレントに選択することができる。代替的に、ユーザー229は、適切なリモートオーセンティケーターを選択することを可能にするNMS204と通信するときのエンティティ/顧客識別子を含むことができる。その場合、この事例において、セキュリティマネージャー220は、識別されたエンティティに基づいてリモートオーセンティケーター214を選択し、検証及び認証の目的で、識別されたエンティティのリモートオーセンティケーターと通信することができる。図2の実施形態がリモートオーセンティケーターとの通信を含むものの、本開示がこの点において限定されないことに留意されたい。例えば、NMS204は、認証の目的でローカルデータベースを利用することもできるとともに、ローカルデータベースを用いてユーザーを認証することもできるし、所望の構成に依存して一部のユーザーをローカルに認証する一方で、リモートオーセンティケーターを用いて他のユーザーを認可するという双方を行うこともできる。
認証データを提供することに加えて、各リモートオーセンティケーターは、ユーザーごとにアクセス属性を更に規定することができる。表1を参照して以下に更に詳細に論述されるように、アクセス属性は、例えば、ユーザーがアクセスすることができる機器の特定のカテゴリ/タイプ並びにその機器タイプについてのこれらのユーザーの権利及びアクセス特権を規定することによって、ユーザーが光通信システム1内のいずれの機器へのアクセスを有するのかを規定することができる。その場合、セキュリティマネージャー220は、ユーザー229のアクセス属性及び区画化マッピングテーブルに基づいてユーザー229から機器へのこれらの要求を許可又は拒否する。これについては、以下で更に詳細に論述される。
NMS204は、メモリ207に記憶されるシステムリソースデータベース212を備えることができる。システムリソースデータベース212は、例えば複数のNMS及びEMSを含む複数のコンポーネント間に分散させることができ、図2に示す実施形態は、これに限定することを意図するものではない。例えば、各ケーブル陸揚局は、例として、ラインカード、PFE、リピーター、LME、イコライザー、コンピューターサーバー、及び分岐ユニットを含む各関連付けられた光コンポーネントを表すデータを記憶するEMSを備えることができる。その場合、NMS204は、ケーブル陸揚局の各々からのEMSデータを利用して、共同で、かつ論理的にネットワーク要素テーブル230を形成することができるが、データは、それぞれ異なるケーブル陸揚局間に物理的に分散させることができる。システムリソースデータベース212は、構造化照会言語(SQL:structured query language)データベース、フラットファイル(例えば、ユニークユニバーサルマークアップ言語(XML))、インメモリデータ構造、又はこれらの任意の組み合わせを含むことができる。
説明を続けると、区画化マッピングテーブル232は、ネットワーク要素テーブル230からのネットワーク要素を、顧客ドメイン/エンティティと関連付けるのに利用することができる。例えば、区画化マッピングテーブル232は、ドメイン(顧客IDと称される場合がある)をケーブル陸揚局と関連付ける階層化構造を含むことができる。その場合、区画化マッピングは、機器レベル、光ファイバーケーブル、ファイバー対(複数の場合もある)、及び/又は1つ以上の目標波長までの下位の関連付けを更に規定することができる。図3を参照して以下で更に説明されるように、区画化マッピングテーブル232は、XML文書として表現される1つ以上の定義を含むことができるが、他のタイプのファイルフォーマットも本開示の範囲内にある。その場合、NMS204は、例えば、機器を、その機器のそれぞれのケーブル局、光ファイバーケーブル(複数の場合もある)、ファイバー対(複数の場合もある)、及び/又はチャネル波長(複数の場合もある)と関連付けるネットワーク要素テーブル内の対応するエントリに基づいてシステム100内の機器/要素へのユーザーアクセスを可能にするエントリを利用することができる。
各顧客ドメインをそれぞれ異なるケーブル陸揚局と関連付けることもできるし、2つ以上の顧客ドメインを1つ以上の共通ケーブル陸揚局と関連付けることもできるということに留意されたい。本明細書において開示される保護された区画化方式は、所望の構成に依存して、ドメインがチャネル波長レベルまでの下位のいずれの特定の要素へのアクセスを有するかに対する細粒度の制御を可能にすることによってそのような混合されたドメインを有利に可能にする。
それゆえ、動作時、NMS204は、ユーザー229から要求を受信し、ユーザー229を、リモートオーセンティケーターを介して認証し、このユーザーと関連付けられたアクセス属性を受信することができる。その場合、NMS204は、ユーザー229からの要求を処理し、アクセス属性及びシステムリソースデータベース212に基づいて要求を検証することができる。特に、ユーザー229と関連付けられた顧客ID(又はドメインID)を用いて、上述したように、区画化マッピングテーブル232内の1つ以上のエントリに基づいていずれの機器が認可されるかを求めることができる。
例示として、ユーザー229がユーザーインターフェース224を介して第1のファイバー対(P1)上の第1のリピーターR1についてのログデータを要求するシナリオを検討する。この例において、NMS204は、セキュリティマネージャー220によって、ユーザー229、ネットワーク要素テーブル230、及び区画化マッピングテーブル232についてのアクセス属性を検査することによって、要求が処理されるべきか否かを判断することができる。例えば、ユーザーの顧客ドメインを第1のファイバー対P1と関連付ける区画化マッピングテーブル232内のエントリ、及び、第1のリピーター(R1)を第1のファイバー対P1と関連付けるネットワーク要素テーブル230内の対応するエントリに基づいて、第1のリピーターR1がユーザーの顧客ドメインと関連付けられる場合、その要求を、NMS204によって、リピーターR1又はリピーターR1を担当するEMSと通信することによって処理することができる。NMS204によってリピーターR1から索出されるデータは、第1のファイバー対に対応するデータのみに限定される場合があるが、リピーターR1は、複数のファイバー対と関連付けることができることに留意されたい。
一実施形態では、NMS204は、ユーザー229からの要求に基づいてユーザー229にトポロジー情報を提供するように構成することができる。トポロジー情報は、ユーザー229がアクセスを有するネットワーク要素を表すデータを含むことができる。一実施形態では、トポロジー情報は、ネットワーク要素テーブル230及び区画化マッピングテーブル232から導出される。
その場合、トポロジー情報は、ユーザー229がいずれの特定の要素へのアクセスを有するのかを視覚的に提示するのに、ユーザー229のコンピューティングデバイス、例えば、スマートフォン、ラップトップ、タブレットのGUIによって利用することができる。いくつかの事例において、トポロジー情報は、ダイナミックユーザーインターフェース(図5及び図6を参照)を生成するのにユーザーデバイスによって利用することができる、共通オブジェクトリクエストブローカーアーキテクチャー(CORBA:Common Object Request Broker Architecture)メッセージとして実施することができる。さらに、ユーザー229は、視覚化されたトポロジー情報に基づいてNMSを介して固有の機器への要求を行うことができる。例えば、ユーザーがアイコン、又は、光伝送路103に沿って配置された機器を表す他の視覚インディケーターを選択することを可能にするコンピューティングデバイスのGUIを介してマップを提示することができる。その場合、ユーザー229は、診断データを要求することもできるし、設定を調整することもできるし、別の方法で、割り当てられたネットワーク要素/機器に要求をポストすることもできる。
オーセンティケーターのプロビジョニング
NMS204のための初期プロビジョニングは、オーセンティケーター、例えばリモートオーセンティケーター214ごとに認証サーバー構成を生成することを含む。認証サーバー構成は、各ユーザーがこれらのユーザーのそれぞれのエンティティの認証データベース内に記憶されたデータに対して認証することを可能にするようにして、光通信システム1つあたりに任意の数の独立したエンティティを可能にする。例えば、NMS204へのアクセスの要求は、ワイドエリアネットワーク(WAN)208を介して、例えばインターネットを介してリモートオーセンティケーター214と通信する認証インターフェース206を介してトランスペアレントにハンドリングすることができる。認証インターフェース206とリモートオーセンティケーター214との間の通信210は、認証、認可、及びアカウンティング(AAA:Authentication, Authorization, and Accounting)プロトコルを利用することができるRADIUS認証手法を利用することができる。単にいくつかの名前を挙げるだけでも、TACACS+又はRed Hatアイデンティティマネージャー(IdM:Identity Manager)等の他の認証システムを利用することができることに留意されたい。
いずれの場合でも、任意の数のリモートオーセンティケーターを利用して、N個の異なるエンティティが、NMS204を利用するとともに、それら自身のサーバーを用いて認証することを可能にすることができる。認証プロキシサーバー218は、認証(例えば、ログインアクセス)情報及び認可(例えば、アクセス属性)情報を索出するために、いずれの物理サーバー又は仮想インスタンスを(例えば、ドメインによって)アドレス指定すべきかを判断することができる。
一実施形態では、リモートオーセンティケーター214の各認証サーバーは、ユーザーが、NMS204を用いて認証するとともに、適切な機器アクセスクレデンシャルを得ることを可能にする構成を用いて構成することができる。機器アクセス属性又は単にアクセス属性は、ユーザーごとに、テーブル、フラットファイル、又は認証サーバーによる他のデータストアに記憶することができる。いくつかの事例において、アクセス属性は、事前定義された定義として表現され、この事前定義された定義は、共通定義/仕様に基づいて全ての認証サーバーにわたって一様である。アクセス属性は、所与のユーザーがアクセスすることが可能である機器のカテゴリを確立することができる。アクセス属性定義の1つの例示の仕様が表1に示されている。
Figure 0007436090000001
上記で示すように、基本アクセス属性は、3つのタイプのユーザーアクセス属性を含む。第1のタイプは、TEMSUser、WetPlantUser等のグローバルアクセス属性を含む。属性TEMSUserを割り当てられたユーザーは、NMSシステム204が利用可能な任意のリソースにアクセスすることができる。同様に、属性WetPlantUserを割り当てられたユーザーは、NMSシステム204を介して利用可能な任意のウェットプラントネットワーク要素、例えば、リピーター、イコライザー、海底電力変換ユニット、所定の波長フィルタリングユニット等にアクセスすることができる。
第2のタイプは、特定のネットワーク要素への制限されたアクセスを含む。いくつかの事例において、ユーザーは、特定のネットワーク要素、又は、要素のグループに割り当てられる。上記で提供された例示の定義において、PFEUser属性を割り当てられたユーザーは、給電機器(PFE)へのアクセスを有し、LMSUser属性を割り当てられたユーザーは、回線モニタリングシステム(LMS:Line Monitoring System)デバイスへのアクセスを有し、終端回線増幅器(TLA:Terminal Line Amplifier)属性を割り当てられたユーザーは、TLAデバイスへのアクセスを有し、CREUser属性を割り当てられたユーザーは、コマンド応答機器(CRE:Command Response Equipment)へのアクセスを有し、sWMUUserを割り当てられたユーザーは、スイッチ波長多重化ユニット(sWMU)へのアクセスを有し、WSSROADMUser属性を割り当てられたユーザーは、波長選択可能スイッチ再構成可能光アドドロップマルチプレクサー(WSSROAM:Wavelength Selectable Switched Reconfigurable Optical Add Drop Multiplexers)へのアクセスを有する。コード及びタイプ定義は、属性についての一意IDを定義し、タイプは、上記で列挙されて論述されたように属性が許可するアクセスのタイプを表す。
第3のタイプは、制約されたアクセスを含む。RestrictedUser属性を割り当てられたユーザーは、特定のケーブル局内のアクセス機器からブロックされる可能性があるが、潜在的に別のケーブル局においてアクセスが可能である。提供された例示の属性は、限定することを意図するものではなく、その上、機器タイプ及びアクセス制御カテゴリの網羅的なリストを表すものでもないことに留意されたい。多数の他のタイプの機器及びアクセスカテゴリ/挙動が本開示の範囲内にある。
説明を続けると、追加の属性定義が、表1に関して上述されたアクセス属性の各々についてのアクセス権を定義することができる。1つのそのような例が表2において提供される。
Figure 0007436090000002
各ユーザーアクセス属性値には、3つのアクセス権の能力、すなわち、閲覧、制御及びアドミンのうちの1つを割り当てることができる。表2において上記で示したように、その場合、TEMSUser属性を割り当てられたユーザーには、3つのアクセスタイプのうちの1つを更に割り当てることができる。3つのアクセスタイプとは、閲覧属性を介した読み取り専用、制御属性を介した読み取り-書き込み、及び、アドミン属性を介したファームウェアアップグレード等の読み取り-書き込みを超えた管理タスクのためのアドミンレベルである。
その場合、ユーザーエントリーを生成して、顧客ドメイン、ユーザー名、パスワード、グローバルシステムリソースアクセス又は特定のシステムリソースアクセス(例えば、表1に関して上述)、及び割り当てられたリソースへのアクセス権(例えば、表2に関して上述)を含む属性を割り当てることができる。したがって、ユーザーを生成することができ、システムは、特定のアクセス権を有する、複数のタイプのシステムリソースへの特定のアクセスを有するドメイン(顧客)によって区画化することができる。それゆえ、ユーザーは、ドメインによって区画化されるが、特定のアクセスについて、顧客及びケーブル局によって区画化されない。
NMS204について、システム区画化構成ファイルを生成して、区画化マッピングテーブル232として記憶することができる。システム区画化構成ファイルの生成は、各顧客がアクセスすることができる特定の機器、及びその機器についてのアクセス権を確立する1つ以上の規則を定義することを含むことができる。規則の生成は、1つ以上のケーブル陸揚局、光ファイバーケーブル、ファイバー対、チャネル波長、及び/又は特定の機器を識別することに基づいて、ドメインがいずれの機器へのアクセスが許可されるのかを定義することを更に含むことができる。システム区画化構成ファイルは、ドメイン及びリソースによるロバストで完全な区画化を可能にするXML記述として表現することができる。区画化構成ファイルは、システム固有とすることができ、区画化サーバー機能がシステム内でインスタンス化される/実行される場所にかかわらずユーザーインターフェース224がこのファイルにアクセスすることができるように複製することができる。
区画化マッピングテーブル232内での使用に適した1つのそのような例示のXML構成ファイル300が図3に示されている。図示するように、区画化定義ファイル300は、階層構造であり、複数のセクションに分けられている。各々の示されているセクションが順に論述されるが、限定するように意図されたものではない。システムレベル情報は、例えば、システム名、ケーブル局の数、ファイバー対の数、及び顧客/ドメインの数を含むことができる。顧客中心情報は、例えば、直接又は間接的に(例えばAPIを介して)ログインした、その顧客タイプのユーザーに関係する区画化情報を含むことができる。そのような情報は、ケーブル及びファイバー対によるそのユーザーのエンティティについてのウェットプラントアクセスを定義することができる(例えば、<Wet Plant>セクション内、WSS ROADM #3、ケーブル#1上、ADM#1及び#2へのアクセス)。さらに、この情報は、図3に示すNYCケーブル局におけるユーザーエンティティ等のユーザーエンティティについての局区画化アクセスを定義することができる。局区画化アクセス定義は、さらに、ユーザーエンティティがケーブル局内のいずれのファイバー対にアクセスすることができるのか、例えば、以下の例においてファイバー対数1を規定し、そのユーザーエンティティについてのそのケーブル局における特定のネットワーク要素数(NE)のアクセス、例えば、NYCケーブル局、ケーブル#1上のPFE#1はアクセスが制約されないこと(アクセスは、この事例において、ユーザーの通常のアクセス権によって決定することができる)、及び、LME#1はアクセスが制約されること(例えば、制約されたタイプのユーザーは、この事例において、LMSにアクセスすることができない)を規定することができる。いくつかの事例において、定義ファイルは、例えば、望まれる場合、海底ROADMにおいて波長レベル又は帯域レベルと同じ細粒度にすることができる。
保護された区画化NMS(SP-NMS)アクセスパターン及び方法論
上述したように、NMS204は、ユーザーインターフェース224とNMS204との間に配置することができるセキュリティマネージャー220を備えることができる。ユーザーインターフェース224は、ReST API又は直接アクセスのためのユーザーインターフェースを実装することができるが、他のアーキテクチャも本開示の範囲内にある。セキュリティマネージャー220は、ユーザーインターフェース224を通して行われた要求をインターセプトすることができ、その要求を検証することができる。認証の状況、例えば、ログイン中の認証の状況において、セキュリティマネージャー220は、認証インターフェースを介して、リモートオーセンティケーター、例えばリモートオーセンティケーター214と通信することができる。その場合、所与のオーセンティケーターからの応答は、例えば肯定応答(ACK)又は否定応答(NAK)の形態において、ユーザー229に返信することができる。
セキュリティマネージャー220は、メモリに、オーセンティケーターから受信されたユーザーアクセス属性をキャッシュすることもできる。セキュリティマネージャー220は、上述したように、区画化マッピングテーブル232内の区画化構成ファイルにアクセスして、これを、メモリ207にキャッシュすることもできる。ユーザーアクセス属性及び区画化構成ファイルを利用することにより、セキュリティマネージャー220は、ユーザー229が保護された区画化の方式において後続の要求を行うことを可能にする情報を含むアクセストークン242(メモリ207に記憶することができる)を生成することができる。アクセストークン242は、例えば、ALG_HS512が暗号化されたJavaScriptオブジェクトノーテーション(JSON:JavaScript Object Notation)ウェブトークン(JWT)として実施することができる。アクセストークン242は、ユーザーのドメインを表す値を含むことができ、ユーザー229は、ユーザーインターフェース224を介して要求を送信するときにアクセストークン242(又はその表現)を提供することができる。アクセストークン242は、セキュリティマネージャーに、例えばタイマーに基づいて所定の期間後にアクセストークンを無効化させる失効値を更に含むことができる。アクセストークンが失効した場合、ユーザー229は、再認証手順、例えば再ログインを通してセッションを再確立することができる。
説明を続けると、セキュリティマネージャー220は、システムリソース、及び管理データ、例えば、アラーム、性能データ、制御動作等についてのNMS204への全ての要求を検証することができる。要求を検証するために、セキュリティマネージャー220は、認証記録及びリソース認可情報を提供する、メモリ207内の一時的にキャッシュされたデータに対するアクセストークンを検証することができる。その場合、要求ごとに、セキュリティインターフェース220は、所与のドメイン/ユーザーに割り当てられた区画化を検査することができ、関連付けられた局及びリソース(複数の場合もある)への要求されているアクセスを有効化する(例えば、許可する)か、又は代替的に、その要求を(例えば、ユーザー、ドメイン、及び/又は関連付けられた区画化属性に基づいて)拒否するかのいずれかを行うことになる。要求が有効化された場合、セキュリティマネージャー220は、例えば、NMS204が要求されたトポロジー情報及び/又は要求された管理データを返送することによって、その要求を満たすことを可能にすることができる。
要求は、NMS204にローカルのユーザーインターフェース、及び/又は、NMS204への/NMS204からの外部APIネットワーク管理動作要求を介してハンドリングすることができ、NMS204は、上述したように、ユーザーごと、又は、顧客ドメインごとに全ての要求を検証する。クライアントGUIの事例において、NMS204は、システム内で利用可能である全てのリソース/機器を表示することができる非区画化システムを表示することができる。ユーザー229の観点から、セキュリティマネージャー220によって制御されるNMS204の区画化方式は、トランスペアレントであるようにみえる。言い換えれば、ユーザーは、場合によって、要求がセキュリティマネージャー220によって有効化されている状態で、又は有効化されていない状態で、ユーザーインターフェース224を介して要求を送信する。それゆえ、ユーザー229は、これらのユーザーの特定の顧客ドメインに割り当てられた機器へのアクセスを有する。
一実施形態では、そして区画化システムの状況では、ログイン又はユーザー検証のためのAPI要求が成功した後は、NMS204は、トークン242を返すことができ、クライアント又はAPIは、このトークンをキャッシュするとともに、このトークンに全てのネットワーク管理要求を供給することができる。クライアント要求、例えばアクセスシステムレベル情報のためのクライアント要求を受信すると、NMS204は、呼び出し側エンティティがアクセスを有するケーブル及びファイバー対(又はチャネル波長)に関連した情報のみを返すことができる。その場合、GUIは、NMS204から得た区画化情報、すなわちトポロジー情報に基づいたケーブル、ファイバー対及び関連したネットワーク要素リソースのみを表示することができる。
例えば、ユーザー/クライアント229要求が、ファイバー対#1へのアクセスのみを有するユーザーからである場合、NMS204は、その構成に関連した情報のみを、区画化アクセスを定義するのにインターフェース定義言語(IDL)データ構造を用いるCORBAメッセージで返すことができる。その場合、クライアントは、このIDL定義を読み取り、システムのいずれの特徴/エンティティがGUIについて利用可能であるのかを動的に「学習する」ことができる。この点から、ユーザーは、利用可能なリソースへのこれらの定義されたアクセス権(閲覧又は制御)に基づいて、更なるシステム管理動作を開始することができる。
NMS204は、同様の方式において機能することができるReST APIを含むことができる。APIが所与のユーザーを検証することへの呼び出しを行った後、トークン、例えばトークン242をそのAPI呼び出しにおいて返すことができ、そのトークンを全ての将来のReST呼び出しに渡すことができ、そうでない場合、その呼び出しは、NMS204によってリジェクトされ得る。GET動作について呼び出し側エンティティがアクセスすることができるリソースについてのみ、JavaScriptオブジェクトノーテーション(JSON)フォーマットにおける区画化情報をユーザーに渡して戻すことができる。ReST制御動作(PUT、POST及びDELETE)は、呼び出し側エンティティが要求されたリソースへの制御アクセスを有する場合にのみ許可することができる。
説明を続けると、一実施形態では、NMS204は、光通信システムの種々の異なる態様について要求を処理する複数のサーバーコンポーネントを備えることができる。図4は、ユーザー要求を処理する複数の例示のサーバーコンポーネントを示している。図4に示すように、サーバーモジュールは、ウェットプラントマネージャー404、共通シェルフマネージャー406、回線モニタリングシステムマネージャー408、回線モニタリング機器マネージャー410、給電機器マネージャー412、コマンド応答機器マネージャー414、及び回線終端機器マネージャー416を含む。各々が順にここで論述されることになるが、以下で論述される特定のサーバーコンポーネント例は、網羅的ではなく、他の実施形態が本開示の範囲内にある。
ウェットプラントマネージャー404は、リソースと、電力スイッチ分岐ユニット(PSBU)、分散補償ユニット(DCU)、スイッチ波長多重化ユニット(sWMU)及びWSS ROADM等のウェットプラント機器に関連したリソース及び構成を求める要求を管理することができる。共通シェルフマネージャー406は、回線終端機器シェルフに関連したリソースを求める要求を管理することができる。LMSマネージャー408は、回線管理システムと、高損失ループバック(HLLB)データ、光スペクトルモニタリング(OSM)データ、及び光時間ドメインリフレクトメーター(OTDR)データ等の関連データインターフェースとに関連したリソースをハンドリングすることができる。回線モニタリング機器マネージャー410は、ポート構成、ボード温度及び動作ステータス等の回線モニタリングハードウェア固有リソースを求める要求を管理することができる。PFEマネージャー412は、ハードウェア構成等の給電機器データと、システムの電圧及び電流データとを求める要求を管理することができる。LTEマネージャー416は、ドライROADM、内部負荷機器(ILE)、及び終端回線増幅器(TLA)等の全ての他の回線終端機器に関連した構成及びリソースを求める要求を管理することができる。コマンド応答機器マネージャー414は、ウェットプラントデバイスと通信するのに用いられるコマンド応答機器(CRE)の構成及び動作を求める要求を管理することができる。
前述の態様及び実施形態は、本開示に沿ったNMSシステムのコントローラー、例えば図2のコントローラー205によって実行可能な1つ以上のプロセスにおいて実施することができる。図5は、本開示に沿ったNMSシステムの構成のための1つのそのようなプロセス500を示している。
プロセス500は、オーセンティケーター、区画化構成ファイルを構成する動作と、NMSシステムをプロビジョニングする動作とを含む。動作504において、プロセス500は、オーセンティケーター(複数の場合もある)を構成することを含む。オーセンティケーター、例えばリモートオーセンティケーター214の構成は、例えばAAAプロトコルを用いてリモート認可要求をハンドリングするための1つ以上のリモートコンピューターシステムを構成することを含むことができる。オーセンティケーターの構成は、ユーザー及び関連付けられたアクセス属性を、例えば表1に関して上述したように記憶し、共通フォーマットにおいて索出することを可能にする共通データベース方式を展開することを更に含むことができる。
動作506において、プロセス500は、図3を参照して図示されるとともに上述された区画化構成XMLファイル等の区画化構成ファイルを生成することを更に含む。区画化構成は、複数のドメイン、関連付けられた機器、及びアクセス規則/プロパティを確立することができる。各顧客ドメインのアクセスは、比較的細粒度なものとすることができ、1つ以上のケーブル陸揚局、光ケーブル、光ファイバー対、チャネル波長、又はこれらの任意の組み合わせと関連付けられた機器へのアクセスを制限するための定義を含むことができる。
動作506において、プロセス500は、NMSシステム、例えばNMS204をプロビジョニングすることを更に含む。NMSシステムをプロビジョニングすることは、ネットワーク要素テーブル230にエントリを追加することを含むことができ、各エントリは、機器中心詳細、例えば、機器のタイプ、IPアドレス、ケーブル陸揚局、光ファイバー識別子、ファイバー対(複数の場合もある)、及び/又は関連付けられたチャネル波長(複数の場合もある)を定義する。動作506は、ドメインとネットワーク要素テーブル内の機器との間の関連付けを確立するために、区画化マッピングテーブル232にエントリを追加することを更に含むことができる。
図6は、本開示に沿った、NMSによってユーザー要求を処理するプロセス600の別の例示の実施形態を示している。動作602において、ユーザー要求は、NMSによって受信され、ユーザー要求は、実行すべき動作を識別するとともに、動作のための機器識別子を含むことができる。ユーザー要求は、ユーザーと関連付けられたドメイン識別子を更に含むことができ、ドメイン識別子は、NMSにおいて提供されるドメイン識別子に対応する。
動作604において、NMSは、少なくとも部分的に区画化マッピングテーブル232及びユーザー要求と関連付けられたドメイン識別子に基づいてユーザー要求が認可されるか否かを判断する。一実施形態では、NMSは、区画化マッピングテーブル232及びネットワーク要素テーブル230を検査して、ユーザーがそれぞれのドメインに基づいていずれの機器にアクセスすることができるかを判断する。上述されたように、ドメインは、1つ以上のケーブル陸揚局、ファイバーケーブル、光ファイバー対、及び/又はチャネル波長と関連付けることができる。それゆえ、NMSは、ユーザーのドメイン及びこのドメインのために規定された関連付けに基づいて機器へのアクセスを許可又は拒否することができる。いくつかの事例において、NMSは、区画化マッピングテーブル及びネットワーク要素テーブルを再検査する必要なく、ユーザーによる繰り返される要求が検証されるのを可能にするトークンを生成する。したがって、後続のユーザー要求は、データベース動作を実行することなくトークンファイルに基づいて処理することで、場合によって、ユーザーが要求された機器へのアクセスを有するべきか否かを判断することができる。
ユーザー要求が認証されたことに応答して、動作606において、NMSは、要求を処理することができる。ユーザー要求を処理することは、例えば、トポロジー情報、目標要素のログデータを有するメッセージを送信すること、及び/又は、ネットワーク要素の動作設定を調整することを含むことができる。他方、要求が認可されない場合、動作608において、NMSは、否定応答(NAK)を送信することができる。NAKメッセージは、ユーザー要求が失敗した理由を示すエラーコード又は他のデータ、例えば文字列を含むことができる。
本開示の一態様に従って、光通信システムを管理するシステムが開示される。少なくとも2つのケーブル陸揚局間に配置された光伝送路と、この光伝送路に沿って配置された複数のネットワーク要素とを有する光通信システムであって、このシステムは、光通信システムの異なるネットワーク要素を各々表す複数のネットワーク要素定義を定義するネットワーク要素テーブルと、各ネットワーク要素に割り当てられたファイバー対及び/又はチャネル波長に少なくとも部分的に基づいて、複数のネットワーク要素定義の各々を、少なくとも1つのドメイン識別子と関連付ける区画化マッピングテーブルと、ネットワーク管理システム(NMS)コントローラーであって、ユーザーからネットワーク要素にアクセスするユーザー要求を受信することであって、このユーザー要求は、第1のドメイン識別子と関連付けられているとともに、実行すべき動作の識別子を含むことと、第1のドメイン識別子がユーザー要求のネットワーク要素と関連付けられていることを示す区画化マッピングテーブルに基づいて、ユーザー要求がネットワーク要素にアクセスすることを認可されることを判断することと、ユーザー要求が認可されたことを判断したことに応答して、動作を実行することとを行う、NMSコントローラーとを備える、システム。
本開示の別の態様に従って、少なくとも2つのケーブル陸揚局間に配置された光伝送路と、この光伝送路に沿って配置された複数のネットワーク要素とを有する光通信システムを管理するコンピューター実施方法が開示される。コントローラーによって、ユーザーから複数のネットワーク要素のうちの一ネットワーク要素にアクセスするユーザー要求を受信することであって、このユーザー要求は、第1のドメイン識別子と関連付けられているとともに、実行すべき動作の識別子を含むことと、コントローラーによって、第1のドメイン識別子がユーザー要求のネットワーク要素と関連付けられていることを示す区画化マッピングテーブルに基づいて、ユーザー要求がネットワーク要素にアクセスすることを認可されることを判断するとともに、ユーザー要求が認可されることを判断したことに応答して、動作を実行することとを含む、方法。
本開示の別の態様に従って、光システムが開示される。少なくとも第1のケーブル陸揚局と第2のケーブル陸揚局との間に配置された光伝送路と、光伝送路に結合された複数の海底光コンポーネントと、ネットワーク管理システム(NMS)コントローラーであって、海底光コンポーネントにアクセスするユーザー要求を受信することであって、このユーザー要求は、第1のドメイン識別子と関連付けられているとともに、実行すべき動作の識別子を含むことと、第1のドメイン識別子がユーザー要求の海底光コンポーネントと関連付けられていることを示す区画化マッピングテーブルに基づいて、ユーザー要求が海底光コンポーネントにアクセスすることを認可されることを判断することと、ユーザー要求が認可されることを判断したことに応答して、動作を実行することとを行う、NMSコントローラーとを備える、光システム。
例示の実施形態の前述の記載は、図示及び説明の目的で提示されてきた。この記載は、網羅的であることも、開示された正確な形式に本開示を制限することも意図されていない。本開示に照らして、多くの変更形態及び変形形態が可能である。本開示の範囲は、この詳細な説明によって制限されるのではなく、本明細書に添付された特許請求の範囲によって制限されることが意図される。
本明細書において記載された方法の実施形態は、コントローラー、プロセッサ及び/又は他のプログラマブルデバイスを用いて実施することができる。このために、本明細書において記載された方法は、1つ以上のプロセッサによって実行されるとこの方法を実行する、記憶された命令を有する有形の、非一時的コンピューター可読媒体上で実施することができる。
それゆえ、例えば、NMS204は、本明細書において記載された動作を実行する(例えば、ファームウェア又はソフトウェア内の)命令を記憶する記憶媒体を含むことができる。記憶媒体は、任意のタイプの有形媒体、例えば、フロッピーディスク、光ディスク、コンパクトディスクリードオンリーメモリ(CD-ROM)、コンパクトディスクリライタブル(CD-RW)、及び磁気光ディスクを含む任意のタイプのディスク、半導体デバイス、例えば、リードオンリーメモリ(ROM)、ランダムアクセスメモリ(RAM)、例えばダイナミックRAM及びスタティックRAM、消去可能プログラマブルリードオンリーメモリ(EPROM)、電気的消去可能プログラマブルリードオンリーメモリ(EEPROM)、フラッシュメモリ、磁気カード若しくは光カード、又は電子命令を記憶するのに適した任意のタイプの媒体を含むことができる。
当業者であれば、本明細書における任意のブロック図は、本開示の原理を具現化する例示の回路構成の概念的な図を表すことが理解されるであろう。同様に、任意のブロック図、フローチャート、フロー図、状態遷移図、擬似コード等は、コンピューター可読媒体において実質的に表すことができるとともに、コンピューター又はプロセッサによって(そのようなコンピューター又はプロセッサが明示されているか否かを問わず)実行することができる種々のプロセスを表すことが理解されるであろう。ソフトウェアモジュール、又は単に、ソフトウェアであることが暗に示されるモジュールは、フローチャート要素又はプロセスステップの機能を示す他の要素及び/又は文章による説明の任意の組み合わせとして表すことができる。そのようなモジュールは、明示又は暗示されるハードウェアによって実行することができる。
「プロセッサ」として表記される任意の機能ブロックを含む、図面に示す種々の要素の機能は、専用ハードウェア、及び、適切なソフトウェアと関連付けられた、ソフトウェアを実行することが可能であるハードウェアの使用を通じて提供することができる。この機能は、単一の専用プロセッサ、単一の共有プロセッサ、又は、一部を共有することができる複数の個々のプロセッサによって提供することができる。その上、「プロセッサ」という用語の明示的な使用は、ソフトウェアを実行することが可能なハードウェアを排他的に指すように解釈されるべきではなく、ソフトウェアを記憶する、デジタル信号プロセッサ(DSP)ハードウェア、ネットワークプロセッサ、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)、リードオンリーメモリ(ROM)ランダムアクセスメモリ(RAM)、及び不揮発性ストレージを暗に含むことができるが、これに限定されるものではない。従来の及び/又は慣習的な他のハードウェアも含めることができる。
別段に指定されない限り、「実質的に」という語の使用は、正確な関係、条件、配置構成、配向、及び/又は他の特徴、及び、開示された方法及びシステムに実体的に影響を及ぼさない範囲で当業者によって理解されるようなこれらのものの偏差を含むように解釈することができる。本開示の全体を通して、名詞を修飾する数量を指定しない語の使用は、便宜的に用いられるものであるとともに、別段に指定されない限り、1つ、又は2つ以上の被修飾名詞を含むように理解することができる。「備える/含む(comprising)」、「含む/備える(including)」及び「有する(having)」という用語は、内包的であるように意図され、列挙された要素以外の追加要素が存在する場合があることを意味する。
方法及びシステムは、本発明の特定の実施形態に対して説明されてきたものの、方法及びシステムはそのように制限されない。明らかに、多くの変更形態及び変形形態が、上記の教示に照らして明示的になる。本明細書において説明及び図示された詳細、部品の材料及び配置構成において多くの追加変更を、当業者は行うことができる。

Claims (15)

  1. 少なくとも2つのケーブル陸揚局間に配置された光伝送路と、該光伝送路に沿って配置された複数のネットワーク要素とを有する光通信システムを管理するシステムであって、該システムは、
    前記光通信システムの異なるネットワーク要素を各々表す複数のネットワーク要素定義を定義するネットワーク要素テーブルと、
    各ネットワーク要素に割り当てられたファイバー対及び/又はチャネル波長に少なくとも部分的に基づいて、前記複数のネットワーク要素定義の各々を、少なくとも1つのドメイン識別子と関連付ける区画化マッピングテーブルと、
    複数のユーザーアクセスクレデンシャルと、関連付けられたユーザーアクセス属性とを記憶する複数のオーセンティケーターサーバーと、
    ネットワーク管理システム(NMS)に関連付けられるNMSコントローラーであって、
    ユーザーからネットワーク要素にアクセスするユーザー要求を受信することであって、該ユーザー要求は、第1のドメイン識別子と関連付けられているとともに、実行すべき動作の識別子を含むことと、
    前記第1のドメイン識別子が前記ユーザー要求の前記ネットワーク要素と関連付けられていることを示す前記区画化マッピングテーブルに基づいて、前記ユーザー要求が前記ネットワーク要素にアクセスすることを認可されることを判断することと、
    前記ユーザー要求が認可されることを判断したことに応答して、前記動作を実行することと、
    を行う、NMSコントローラーと、
    を備え
    前記NMSは、前記複数のオーセンティケーターサーバーと通信して、ユーザー要求内で受信されたユーザークレデンシャルを検証する認証インターフェースを含み、
    前記複数のオーセンティケーターサーバーの各々は、異なるドメイン識別子と関連付けられる、システム。
  2. 前記複数のオーセンティケーターサーバーの各々は、認証、認可、及びアカウンティング(AAA)プロトコルを実施して、前記NMSコントローラーから認証要求を受信する、請求項に記載のシステム。
  3. 前記ユーザーアクセス属性は、ユーザーがアクセスを有する第1のタイプの機器と、該第1のタイプの機器にアクセスする1つ以上の特権とを定義する、請求項1または2に記載のシステム。
  4. 前記区画化マッピングテーブルは、少なくとも1つの区画化マッピング構成ファイルを含み、該少なくとも1つの区画化マッピング構成ファイルは、各ドメイン識別子を、1つ以上のケーブル陸揚局、及び各ケーブル陸揚局と関連付けられたネットワーク要素についての機器アクセス権と関連付ける複数の規則を規定する、請求項1から3のいずれか一項に記載のシステム。
  5. 前記NMSコントローラーは、前記ユーザー要求が認可されたことを判断したことに応答してメモリ内にアクセストークンを生成し、該アクセストークンは、前記NMSコントローラーが、前記区画化マッピングテーブル及び/又は前記ネットワーク要素テーブルにアクセスすることなく、後続のユーザー要求を検証することを可能にする、請求項1から4のいずれか一項に記載のシステム。
  6. 前記区画化マッピングテーブル及び前記ネットワーク要素テーブルは、異なるケーブル陸揚局に配置された複数のNMSサーバーコンピューターにわたって分散される、請求項1から5のいずれか一項に記載のシステム。
  7. 前記ユーザー要求内の前記動作識別子は、前記ネットワーク要素からログデータを索出する及び/又は前記ネットワーク要素の設定を調整する要求の少なくとも一方を含む、請求項1から6のいずれか一項に記載のシステム。
  8. 前記NMSコントローラーは、前記区画化マッピングテーブル及び前記ユーザー要求と関連付けられたドメイン識別子に基づいて、前記ユーザーに割り当て又は制約されていない機器上の動作を実行することを試みるユーザー要求に応答して、前記ユーザーに否定応答(NAK)を送信するように構成される、請求項1から7のいずれか一項に記載のシステム。
  9. 前記複数のネットワーク要素は、海底ネットワーク要素であり、該海底ネットワーク要素は、光リピーター、分岐ユニット、及び/又は光イコライザーのうちの少なくとも1つを含む、請求項1から8のいずれか一項に記載のシステム。
  10. 少なくとも2つのケーブル陸揚局間に配置された光伝送路と、該光伝送路に沿って配置された複数のネットワーク要素とを有する光通信システムを管理するコンピューター実施方法であって、該方法は、
    コントローラーによって、ユーザーから前記複数のネットワーク要素のうちの一ネットワーク要素にアクセスするユーザー要求を受信することであって、該ユーザー要求は、第1のドメイン識別子と関連付けられているとともに、実行すべき動作の識別子を含むことと、
    前記コントローラーによって、前記第1のドメイン識別子が前記ユーザー要求の前記ネットワーク要素と関連付けられていることを示す区画化マッピングテーブルに基づいて、前記ユーザー要求が前記ネットワーク要素にアクセスすることを認可されることを判断するとともに、前記ユーザー要求が認可されることを判断したことに応答して、前記動作を実行することと、
    を含み、
    複数のオーセンティケーターサーバーを介して、前記ユーザー要求内で受信されたユーザークレデンシャルを検証し、前記複数のオーセンティケーターサーバーの各々は、異なるドメイン識別子と関連付けられ、
    前記複数のオーセンティケーターサーバーは、複数のユーザーアクセスクレデンシャルと、関連付けられたユーザーアクセス属性とを記憶する、方法。
  11. トポロジー情報を有するメッセージをユーザーデバイスに送信して、前記ユーザーデバイスのグラフィカルユーザーインターフェース(GUI)に、前記トポロジー情報を視覚的に表示させることを更に含む、請求項10に記載のコンピューター実施方法。
  12. 前記メッセージは、共通オブジェクトリクエストブローカーアーキテクチャー(CORBA)又はJavaScriptオブジェクトノーテーション(JSON)メッセージである、請求項11に記載のコンピューター実施方法。
  13. 前記ユーザー要求が認可されないことを判断したことに応答して、前記ユーザーに否定応答を送信することを更に含む、請求項10に記載のコンピューター実施方法。
  14. 前記コンピューター実施方法は、前記区画化マッピングテーブルを生成することを更に含み、前記区画化マッピングテーブルは、各ドメインを、1つ以上の認可されたケーブル陸揚局、及び各ケーブル陸揚局内の認可された機器と関連付ける、請求項10に記載のコンピューター実施方法。
  15. 少なくとも第1のケーブル陸揚局と第2のケーブル陸揚局との間に配置された光伝送路と、
    前記光伝送路に結合された複数の海底光コンポーネントと、
    複数のユーザーアクセスクレデンシャルと、関連付けられたユーザーアクセス属性とを記憶する複数のオーセンティケーターサーバーと、
    ネットワーク管理システム(NMS)コントローラーであって、
    海底光コンポーネントにアクセスするユーザー要求を受信することであって、該ユーザー要求は、第1のドメイン識別子と関連付けられているとともに、実行すべき動作の識別子を含むことと、
    前記第1のドメイン識別子が前記ユーザー要求の前記海底光コンポーネントと関連付けられていることを示す区画化マッピングテーブルに基づいて、前記ユーザー要求が前記海底光コンポーネントにアクセスすることを認可されることを判断することと、
    前記ユーザー要求が認可されることを判断したことに応答して、前記動作を実行することと、
    を行う、NMSコントローラーと、
    を備え
    前記NMSコントローラーは、前記複数のオーセンティケーターサーバーと通信して、前記ユーザー要求内で受信されたユーザークレデンシャルを検証する認証インターフェースを含み、
    前記複数のオーセンティケーターサーバーの各々は、異なるドメイン識別子と関連付けられる、光システム。
JP2019165840A 2018-09-12 2019-09-12 マルチクライアント管理アクセスを提供する光伝送システムの保護された区画化のための技術、及びこれを実施するネットワーク管理システム Active JP7436090B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/129,787 2018-09-12
US16/129,787 US11044252B2 (en) 2018-09-12 2018-09-12 Techniques for secured partitioning of an optical transmission system to provide multi-client management access and a network management system implementing same

Publications (2)

Publication Number Publication Date
JP2020042821A JP2020042821A (ja) 2020-03-19
JP7436090B2 true JP7436090B2 (ja) 2024-02-21

Family

ID=67981878

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019165840A Active JP7436090B2 (ja) 2018-09-12 2019-09-12 マルチクライアント管理アクセスを提供する光伝送システムの保護された区画化のための技術、及びこれを実施するネットワーク管理システム

Country Status (4)

Country Link
US (1) US11044252B2 (ja)
EP (1) EP3624399B1 (ja)
JP (1) JP7436090B2 (ja)
CN (1) CN110896506B (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113273103A (zh) * 2018-12-26 2021-08-17 日本电气株式会社 光传输设备和光传输方法
US11275635B2 (en) * 2019-09-10 2022-03-15 Digitalocean Llc Method and system for managing and executing serverless functions in a messaging service
WO2021245847A1 (ja) * 2020-06-03 2021-12-09 日本電気株式会社 光信号監視装置および光信号監視方法
CN116150731B (zh) * 2022-11-28 2023-09-15 深圳市富临通实业股份有限公司 一种基于uid的mcu内部程序防抄袭的方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170041690A1 (en) 2015-08-03 2017-02-09 Infinera Corporation Providing ownership-based view and management of shared optical network resources

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6202066B1 (en) * 1997-11-19 2001-03-13 The United States Of America As Represented By The Secretary Of Commerce Implementation of role/group permission association using object access type
WO2000062575A1 (en) 1999-04-14 2000-10-19 Tyco Submarine Systems, Ltd. System and method for transmitting packets over a long-haul optical network
US7103149B1 (en) 2001-04-06 2006-09-05 Cisco Technologu, Inc. Optical transport concentrator audit system and method
US6999999B2 (en) * 2001-12-28 2006-02-14 Hewlett-Packard Development Company, L.P. System and method for securing fiber channel drive access in a partitioned data library
US7848649B2 (en) * 2003-02-28 2010-12-07 Intel Corporation Method and system to frame and format optical control and data bursts in WDM-based photonic burst switched networks
CN101128827A (zh) * 2005-02-24 2008-02-20 塞朗德系统有限公司 用于交换网络中分布式数据管理的方法和装置
US8918488B2 (en) * 2009-02-04 2014-12-23 Citrix Systems, Inc. Methods and systems for automated management of virtual resources in a cloud computing environment
US8392982B2 (en) * 2009-03-20 2013-03-05 Citrix Systems, Inc. Systems and methods for selective authentication, authorization, and auditing in connection with traffic management
US8935765B2 (en) * 2013-03-15 2015-01-13 Fluke Corporation Method to enable mobile devices to rendezvous in a communication network
US10305751B2 (en) * 2013-09-30 2019-05-28 Infinera Corporation Optical bandwidth manager
US9769097B2 (en) 2014-05-29 2017-09-19 Multi Media, LLC Extensible chat rooms in a hosted chat environment
CN105306387B (zh) * 2014-07-31 2018-11-13 华为技术有限公司 一种分区方法及设备
US9998446B2 (en) * 2014-08-29 2018-06-12 Box, Inc. Accessing a cloud-based service platform using enterprise application authentication
US10110466B2 (en) * 2015-11-23 2018-10-23 Tyco Electronics Subsea Communications Llc Optical communication system with distributed wet plant manager
US10425386B2 (en) 2016-05-11 2019-09-24 Oracle International Corporation Policy enforcement point for a multi-tenant identity and data security management cloud service
US10056978B2 (en) * 2016-06-10 2018-08-21 Tyco Electronics Subsea Communications Llc Techniques for provisioning network elements of a data communications network (DCN) and an optical communication system using the same

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170041690A1 (en) 2015-08-03 2017-02-09 Infinera Corporation Providing ownership-based view and management of shared optical network resources

Also Published As

Publication number Publication date
CN110896506B (zh) 2024-03-26
CN110896506A (zh) 2020-03-20
US11044252B2 (en) 2021-06-22
JP2020042821A (ja) 2020-03-19
EP3624399B1 (en) 2021-04-14
US20200084209A1 (en) 2020-03-12
EP3624399A1 (en) 2020-03-18

Similar Documents

Publication Publication Date Title
JP7436090B2 (ja) マルチクライアント管理アクセスを提供する光伝送システムの保護された区画化のための技術、及びこれを実施するネットワーク管理システム
US10764273B2 (en) Session synchronization across multiple devices in an identity cloud service
US10362032B2 (en) Providing devices as a service
US10523514B2 (en) Secure cloud fabric to connect subnets in different network domains
US20190058709A1 (en) Tenant management method and system in a cloud computing environment
WO2018095416A1 (zh) 信息处理方法、装置及系统
US8327441B2 (en) System and method for application attestation
US10686766B2 (en) Credential management in cloud-based application deployment
US9280646B1 (en) Methods, systems, and computer readable mediums for role-based access control involving one or more converged infrastructure systems
US10659441B2 (en) Dynamically managing, from a centralized service, valid cipher suites allowed for secured sessions
CN102045337A (zh) 用于管理网络资源的装置和方法
CN107113319A (zh) 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器
CN109743373A (zh) 终端的远程协助方法、设备、系统和介质
US10560307B2 (en) Method and system for management of an openflow agent in openflow devices
US11075897B2 (en) System and method for communicating with a service processor
CN109829284A (zh) 一种整合Linux与Windows操作系统统一用户认证的方法
DeJonghe et al. Application Delivery and Load Balancing in Microsoft Azure
US9313105B2 (en) Network management using secure mesh command and control framework
US11856117B1 (en) Autonomous distributed wide area network having control plane and order management on a blockchain
Pastor-Galindo et al. A framework for dynamic configuration of TLS connections based on standards
Rauthan Covert Communication in Software Defined Wide Area Networks
CN117278562A (zh) 负载均衡方法、装置、系统、电子设备及存储介质
WO2016192765A1 (en) Authentication and authorization based on credentials and ticket

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220527

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20220527

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230718

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231013

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240109

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240202

R150 Certificate of patent or registration of utility model

Ref document number: 7436090

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150