TW201141126A - Apparatus and methods for managing network resources - Google Patents

Apparatus and methods for managing network resources Download PDF

Info

Publication number
TW201141126A
TW201141126A TW099134290A TW99134290A TW201141126A TW 201141126 A TW201141126 A TW 201141126A TW 099134290 A TW099134290 A TW 099134290A TW 99134290 A TW99134290 A TW 99134290A TW 201141126 A TW201141126 A TW 201141126A
Authority
TW
Taiwan
Prior art keywords
organization
devices
management
network
different
Prior art date
Application number
TW099134290A
Other languages
English (en)
Inventor
Ted T Kuo
Li-Jen Wang
Bo-Chieh Yang
Jeffrey D Abramowitz
Andrea Peiro
Original Assignee
Palo Alto Res Ct Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Palo Alto Res Ct Inc filed Critical Palo Alto Res Ct Inc
Publication of TW201141126A publication Critical patent/TW201141126A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Tourism & Hospitality (AREA)
  • Economics (AREA)
  • Strategic Management (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Theoretical Computer Science (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Educational Administration (AREA)
  • Health & Medical Sciences (AREA)
  • Development Economics (AREA)
  • Primary Health Care (AREA)
  • General Health & Medical Sciences (AREA)
  • Game Theory and Decision Science (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

201141126 六、發明說明: 【發明所屬之技術領域】 本發明係關於電腦系統領域。尤其,提供設備及方法 以虛擬化且集中化管理網路裝置及/或服務。 【先前技術】 有效配置並操作電腦系統網路所需的知識水準相當 高。大型組織通常雇用相對大量的 IT(Inf〇rmati〇n Technology:資訊技術)員工來配置與維護設備、協助用戶 操作設備、套用安全政策、監控網路安全等。然而,某些 組織,尤其是小型組織,因爲無法雇用經驗豐富的全職IT 員工來執行所有這些工作,所以在這種組織內被交與IT職 責的人對於可能發生的無數問題與挑戰可能是沒有準備好 的。 例如,防範組織網路資源遭遇未授權存取是一項可輕 易被以不完整或無效率之方式執行的重要工作。由於問題 複雜’所以要到網路被侵害,組織才會清楚獲悉缺乏有效 性。因爲以電子方式儲存的資料量與日俱增,所以讓網路 安全更加重要。 難以充分保全網路資源的一項原因是合理允許正當使 用資源的需求、與避免所有不正當使用之要求間之拉鋸。 此拉鋸隨著組織內運用的資源數量與類型增加而提高。 每一種新類型的資源都可用不同方式配置來存取允許 的資源、套用所要求的安全等級等。保全一個組織的網路 資源只是許多工作中的一項,並且在】T員工不夠的情況 下’面臨用戶需要即時援助時可能需要盡速解決。因此, 201141126 配置與監控網路安全會與像是幫助用戶配置在組織內所使 用的設備這類的工作發生爭持。 對於使用多種不同類型的設備的組織而言’資源的配 置可能特別困難。尤其,有成本意識的小組織可能會爲特 定的作業採購最便宜的設備,而此可能導致混雜來自不同 供應商與製造商的組件。如此,組織可能會運用多個由不 同製造商生產的存取點、交換器或其他通訊組件。 每一種不同類型或模型的設備通常具備不同的可配置 參數、或以不同方式配置的參數。雖然某些配置的參數與 方法在不同的裝置內可能都一樣,但是其他則會不同。若 對網路組件沒有足夠的熟悉度或專業知識’則非常容易錯 誤配置組件、或浪費時間判定正確配置。 某些組織選擇利用自動設置,來籌備在其網路內所使 用的新裝置。不過,若組織的安全政策未涵蓋執行自動設 置之設備、或在裝置設置期間未正確套用,則安全漏洞會 隨新裝置被引進組織內。或者,若以隨意或匆忙的方式執 行設置,則可能會無法正確或完全地套用安全政策。 此外,在初次設置已知網路組件之後,實際上可能仍 需要隨組織網路發展來更動或更新某些參數。對於IT員工 人數有限的組織來說,定期注意組織內運用的無數網路資 源可能是不切實際的。 針對組織的網路裝置或服務的管理之現有解決方案傾 向只針對單一裝置或單一服務。在第三方沒有依小組織之 需求,而提供關於管理多種類型之裝置及/或多數個網路服 務的解決方案時,該組織還是要盡其所能自己解決。 201141126 如此,要配置爲在組織的網路內安全與有效操作組件 是相當困難並且耗時。並且已經成功將組件與網路及組織 的安全政策整合之後,實際上還是需要以持續的方式爲基 礎管理這些組件來允許網路正常運作。 【發明內容】 在本發明的某些具體實施例內,提供設備與方法來爲 組織網路裝置與服務提供統一管理,依照需求涵蓋配置、 運用、操作及/或其他工作。一或多個組織的資源可由一個 實體管理。 在這些具體實施例內,設置統一的服務與裝置管理系 統,以管理實體裝置及/或特定電子服務的配置、運用以及 操作。可以管理多種類型的裝置/服務、以及特定類型的裝 置的多種機型或版本。 在本發明的某些具體實施例內,建構分層管理或管理 領域,來幫助管理一個組織內的不同地點或部門、或不同 組織內之裝置及/或服務。運用這些範圍,管理裝置及/或 服務的職責可以分派給不同操作員或管理員。 【實施方式】 以下說明係提示以使任何熟習本技術人士可作成與使 用本發明,並且呈現在特定應用例及其需求條件之情境 中。對所揭載之具體實施例之各種修改對於熟習本技術人 士應是容易明白的’而且只要不超出本發明之範圍,此處 所界定的通則可套用於其他具體實施例和應用例。因此, 並不打算使本發明受限於此處所示的具體實施例,而係符 合與此處所揭載之原則及特徵一致之最廣範疇。 201141126 在本發明的某些具體實施例內,提供集中與實際管理 組織之網路資源之設備與方法。就組織而言,集中管理係 「在雲端內」執行,不需要專屬的管理資源》 更詳細而言,一個管理設施可被一或多個機構使用來 管理其等之資源。針對每一個組織,該設施維護每一個組 織的PKI(PublicKey Infrastructure:公鑰基礎設施),以保 障對每一組織之網路的存取之安全。 該設施接收並建立與無數類型與機型之網路設備的連 線,例如存取點、交換器、路由器、連接網路的儲存裝置 等。除了增進各種裝置的,集中與實際管理以外,該設施也 可用於在管理組織網路內所提供的服務。 該設施與特定裝置或服務之間的通訊係經由一多層架 構。經接收之通訊信號係在遞送至被以與發出此通訊信號 之伺服器或該類型/機型之設備協作的方式'構成的特定管 理層之前被規格化。該層援用一共用管理層以達成特定功 能(例如,擷取安全政策、記錄事件、存取帳戶參數)。 此多層架構因而允許利用功能性模組之共用組合來管 理多種服務、以及各種類型與機型之網路裝置。當組織發 展自己的網路時,此架構可忽略組件之混用繼續有效管理 網路。 第1圖爲根據本發明某些具體實施例之用來管理一或 多個組織的網路資源之集中式設施的圖。 第1圖的集中管理設施100包含通訊模組110、共用 管理層(CML)120、一或多個特定管理層(SML)子系統130、 選擇性用戶介面140以及任意數量的無關裝置功能模組 201141126 1 5 0。任何數量的組織都可預訂集中管理設施所提供的管理 服務。集中管理設施100的各種模組可包含硬體及/或軟體 元件,並且可在一或多個合作的或同等的電腦伺服器內操 作。 第1圖內未顯示設施1 〇〇的一或多個儲存組件(例如磁 碟),其可用來儲存裝置參數、事件記錄、政策、數位認證 以及此處所述的其他任何資料。 設施100可集中管理的裝置在圖示中包含無線存取 點、路由器、交換器、連接網路的儲存裝置、計算裝置(例 如筆記型電腦、工作站)等等。該設施所管理的服務可包含 無線(及/或有線)網路服務、對抗病毒及/或其他惡意軟體的 保護、網路資料儲存等。 集中管理這些遠離組織的裝置與服務資源減輕各組織 投入其設備以及時間至該作業之必要性。組織資源的管理 可包含職務如幫助配置或重新配置資源、運用及/或操作資 源、套用安全政策、監督ΡΚΙ認證、管理用戶帳戶、鑑定 用戶/裝置、記錄情境感知、清點裝置/服務等。 在本發明的例示具體實施例內,組織網路內的個別資 源可與一或多個通訊模組1 1 0通訊。通訊模組可設置成透 過 HTTP(Hypertext Transport Protocol :超文件傳輸協定)、 HTTPS(Hypertext Transport Protocol Secure:安全超文件 傳輸協定)、SNMP(Simple Network Management Protocol : 簡易網路管理協定)以及其他通訊協定來接收連線。如此, 不同通訊模組可接收來自相同或不同類型裝置的不同類型 之連線。 201141126 來自組織資源的通訊信號以標準格式,從通訊模組1 1 ο 傳遞至共用管理層(c M L) 1 2 0。例如,·一個訊息可包含配置 以識別接收該訊息的裝置之標題部分,可能是特定裝置(例 如包含製造商、機型與版本)、一般類型的裝置(例如連接 網路的儲存伺服器)、特定類型裝置(例如Linksys無線存取 點)、特定網路服務等。 訊息的酬載部分可識別資源的要求或輸入。例如,裝 置或服務可要求操作參數、安全政策或某些其他資訊。 共用管理層1 20接收從組織的網路資源傳入的訊息、 將訊息分配給資源、提供無關裝置功能模組1 5 0.與特定管 理層子系統130和用戶介面140之間的介面,及/或執行其 他任務。CML定義整個系統都適用的管理屬性與服務,而 S ML子系統130則配合特定裝置與網路服務。 CML 120也可幫助操作與維護集中管理設施的每一組 織用戶端中的不同PKI。「安全」或「PKI」無關裝置功能 模組150可協助CML扮演此角色,或實際上自行扮演該角 色。 更詳細而言,對於每一組織用戶端來說,集中管理設 施維護最高層認證機構(CA),其錨定將指定給該組織的 PKI,該最高層CA可發出認證給在組織網路內運作的資 源,及/或可發出一或多個次高層CA認證,以允許某些資 源(例如存取點)發出組織認證給資源。後者架構允許即使 目前無法使用集中管理設施100(例如在組織的網際網路存 取中斷時),還是可設置新裝置。 特定管理層子系統130與特定網路裝置、裝置類型或 201141126 服務連接’該等裝置與服務管理子系統依附至—組外掛指 南’以提供特定管理特徵。註冊程序允許管理子系統與本 架構連接。 例如’可套用裝置導向的SML子系統於一或多個特定 類型的裝置(例如存取點、連接網路的儲存伺服器)、特定 機型的裝置(例如Linksys存取點、Netgear存取點)等。因 此’特定SML子系統130藉由設定或調整裝置的參數、記 錄裝置所偵測到的事件等而被適用或配置以與其連接之網 路裝置一起工作。 ..關於服務導向的SML子系統,WLAN(Wireless Local AreaNetwork:無線區域網路)管理SmL子系統可提供管理 特徵,像是RF(Radio frequency:射頻)涵蓋地圖、RF管理、 頻寬評估、無線電傳輸功率調整、訪客存取政策特徵、惡 意存取點偵測等。VPN(Virtual Private Network:虛擬私人 網路)SML子系統可提供加密方法、存取政策等等。不過, 這兩種服務SML都要求相同功能模組150。 新 SML 子系統透過 CML 所透露的註冊 API(Application Programming Interface :應用程式化介面) 向CML 120註冊。此允許CML知道要轉向哪個SML子系 統,以與特定網路組件互動。 當SML子系統130接收來自網路裝置的訊息時(透過 CML 12 0),其判定需要採取哪種動作或那些動作,並呼叫 CML的其他適當API,以便援用適當的無關裝置功能模組 150。如此SML因此只需要發出基元(primitive)給CML, 以產生所要的動作。結果,個別SML子系統不需要將所有 -10- .201141126 鉤點(hook)和入口點程式化爲各種功能模組,只有CML需 要這些特徵。 因此,CML 120與SML子系統130之間的一個差異爲, CML定義是用於整個架構的管理屬性與參數,而S ML子系 統130定義相連之裝置及/或服務專用的屬性與參數。 例如,CML 120接受裝置/服務配置要求(例如,透過 用戶介面140),並解析該等要求而確定傳送到對應的SML 子系統1 3 0之傳送路線。任何必須傳遞至特定裝置或網路 服務的屬性或配置參數都經由CML並由裝置或服務的S ML 子系統來轉送。同樣地,特定裝置/服務經由CML將操作 統計資料、事件及/或其他資訊回報給其SML子系統。 配置記錄在設施1〇〇上(例如在SML子系統及/或功能 模組內)加上版本並儲存,並且裝置的韌體可自動升級至最 新或指定版本、或可回到之前的版本。例如,在新的軔體 版本或新一組參數有重大缺陷的情況下,裝置可回到預設 (例如原廠)設定、或可套用一組最後已知的良好參數。 選擇性用戶介面1 40可用來接收用戶端組織的代表(例 如系統管理員、管理者)所發出的互動通訊作業。例如,用 戶介面可包含讓組織可預訂設施服務、註冊設備、採購網 路組件等之網頁。 在本發明的某些具體實施例內,用戶介面140透過 CML 120存取無關裝置功能模組150,以便爲組織建立帳 戶、註冊該組織的網路資源、配置或儲存安全政策、檢閱 或擷取登入的事件等。在其他具體實施例內,用戶介面可 直接存取功能模組(例如,不援用共用管理層)。同樣地, -11- 201141126 若要讓特定裝置或裝置類型的動作生效,用戶介面140可 直接與SML子系統互動(或透過CML 120互動)。 在本發明的某些具體實施例內,用戶介面140可省略 或可納入另一模組之內(例如共用管理層1 20)。例如,在這 些具體實施例內,組織可透過在計算裝置上操作的應用程 式、透過網路資源的配置公用程式、或#網頁或其他集中 與專屬的用戶介面的某些其他通訊管道,以與集中管理設 施100互動。例如,CM L 120可公開透露用於帳戶建立/ 管理、配置組織資源等之API,並且允許第三方提供軟體 來援用那些API。 - . 無關裝置功能模組150提供多個裝置、裝置類型及/或 組織所共用的功能。每一組織,可能會針對組織的網路、 用戶、裝置與服務維護個別的資料群。因爲針對每一組織 維護個別的PKI架構,並且組織的每一用戶/裝置/服務都 必須通過設施的驗證,所以每一組織的資料都受到保護而 免於其他組織存取。 政策模組1 5 0a係被配置成儲存組織想要套用至其某 些或全部裝置及/或服務的各種安全政策、防火牆政策及/ 或其他操作政策。已知的政策可指定特定組件可以或不可 操作的時間/日期、組織的存取點將要如何邏輯配置、哪個 裝置可用於特定服務等。 另一例示用於組織的政策係若特定網路裝置在連接至 管理設施100之後回報遺失、遭竊或遭破解時,則會將該 裝置設置爲拒絕存取。另外,此政策可指定是否指示該裝 置抹除(刪除)其配置資料,以使其無法使用。該裝置可用 -12- 201141126 數位認證、序號、媒體存取控制(MAC)位址或其他識別碼 來識別。 還可套用另一政策來設定組織網路的形狀結構。例 如’若組織運用多個存取點,只有其中一個可連上網際網 路(或其他外部網路)。政策可指定哪個存取點可與其他存 取點交流。可根據存取點的類型/機型、負載(例如所連接 的用戶端裝置數量)及/或其他因素,來選擇用於配置存取 點形狀結構的政策。 記錄模組1 5 Ob係被配置成以情境方式記錄組織網路 資源所回報的事件。因此,此模組可記:錄用戶的登入/登出 時間、安全警報、病毒偵測、裝置/服務的使用等。記錄模 組可提供裝置/服務記錄基於文字的搜尋、情境超文件能力 及/或其他特徵。例如,可以點擊記錄內所回報的MAC位 址或其他識別碼(例如序號、網際網路協定(IP.位址),並且 讓管理網頁顯示所記錄事件的進一步資訊、用於採取修正 或矯正措施的網頁等。 因此,可選擇惡意存取點記錄上所回報的裝置MAC位 址,以便導覽至集中管理本架構內的惡意存取點管理頁 面,同時可使用訪客記錄事件記錄內所回報的MAC位址, 來導覽至訪客存取管理頁面。 帳戶模組1 50c係被配置成維護組織與用戶的帳戶。因 此,每一組織,可分配一或多個登入帳戶,以允許該組織 的用戶與資源使用集中管理設施100。 安全模組1 5 0m係被配置成幫助保全組織的網路。例 如,安全模組可管理組織的PKI,並且負責驗證用戶/裝置、 -13- 201141126 發出PKI內的數位認證等。 若要新增功能模組1 5 0,只需要將入口點、API或援用 模組的其他方法於CML 120程式化。然後CML會發佈模 組的A PI、或者讓模組的功能可在S M :L子系統1 3 0使用。 因爲本架構可能會被用來管理多個組織網路,所以每 —組織要同其裝置登錄裝置識別物件(Dev_ID)及/或識別 —組該組織裝置的群組識別物件(Grp_ID)。註冊程序可與 訂購網路資源的系統結合,使得例如特定Grp_ID可包含~ 訂單,其中根據該訂單訂購一組裝置》 當所訂購之裝置已經連接至組織網路時,則該裝置會 建立安全連線至集中管理設施100,並且呈現其Dev_ID。 架構(例如,用於該裝置的SML子系統)會驗證該裝置、連 結至該組織並且將配置資料下載至該裝置。在某些具體實 施例內,裝運給組織的裝置預載有安全憑證。 在其他具體實施例內,組織內的管理者可將最近連接 的裝置放入一清單內,而此清單係組織網路內待准予操作 之裝置的清單。一旦管理者接受該裝置,該裝置即可連結 至該組織。 裝置必須通過防火牆而將對設施100的網路連線初始 化。在此案例中,裝置內所預載的安全憑證可用來建立合 適的安全連線,像是使用安全超文件傳輸協定(HTTPS)。 在某些案例中,可建立用戶數據報協定(UDP)式心跳機 制,以維持裝置與本架構之間防火牆上的通訊通道開啓。 該裝置透過UDP連線定期傳送心跳訊息至設施1〇〇,該心 跳用來將裝置狀態告知本架構,並且維持防火牆開啓。每 -14- 201141126 當集中管理設施100擁有該裝置的某些資訊’其可透過此 UDP通道傳送簡短指令,以指示該裝置建立另一資料通道 來交換其他資訊。 可在設施1〇〇上建立或註冊組織之前或裝置的DevJD 已經註冊至組織之前,運用裝置。在此案例中,該裝置可 多次嘗試接觸該設施。 一旦具有架構的組織已經驗證並接受一個裝置,該架 構擷取對應的裝置配置與系統政策,並且將這些下載至該 裝置。在實施該等配置與政策之後,該裝置進入正常操作 狀態並開始提供服務》 在本發明的某些具體實施例內,組織可定義一或多個 與公司之不同辦公室或位置、企業集團內不同公司、一個 管理供應商的不同客戶等等相連之邏輯結構。 例如,一個組織預訂集中管理設施100時,其可指定 該組織營運三個分散的辦公室(例如在不同城市、具有不同 內部網路)》針對每一個辦公室,該組織可指定特定操作參 數給該位置上的某些或全部裝置,像是無線網路的 SSID(Service Set Identification or Service Set Identifier : 服務集識別或服務集識別碼)、無線裝置的較佳安全協定、 路由表、較佳DNS (Domain Name Service :網域名稱服務) 伺服器的位址等。接著,對於指派給該辦公室的新網路組 件’將自動套用指定的參數,不用任何人具體使參數與該 新裝置結合。 例如,此處可使用的「站台」一詞表示要指派至辦公 室、分公司、展售會或與該「站台」相關其他位置內運用 -15- 201141126 的所有組織網路中相關資源的參數集合。超過站台等級, 可定義其他邏輯結構。 例如,就如同可定義多個「站台」一樣’可定義多個 邏輯「組織」來附屬於一多組織實體(例如企業集團)的不 同部分(例如部門、分部、子公司)。若非較大實體之一部 分,則「組織」代表分散的組織(例如集中管理設施1 〇 〇的 一個用戶端)。 與針對「站台」結構所定義之操作參數及資料由任何 指派給該站台的相容裝置或組件繼承的方式相同,則針對 「組織」結構所.定義的參數與資料可由任何從屬站台繼 承。因此在個別裝置或服務新增至組織網路之時,大多數 或所有操作參數都已經定義。若已經完成那些參數,則不 需要投入時間或努力來判定新裝置或服務的適用配置。 像是.「管理員」這類較高等級邏輯實體可針對實體而 定義,該實體係由多個分散組織雇用來管理其網路,具體 而言,「管理員」實體可代表多個組織雇用來管理其「組 織」實體(延伸意思就是那些組織內的任何「站台」)之公 司或承包商。 組織可更換管理員,在此情況下,前一個「管理員」 實體喪失存取組織的「組織」實體之能力,由新「管理員」 接手。例如,可撤回發出給舊管理員所控制電腦系統的任 何數位認證,藉以避免那些系·統存取組織的網路。在本發 明的某些具體實施例內,組織總是擁有管理其網路的能力 (即使已經雇用個別「管理員」),並且可指派該角色給另 一實體或解雇現有「管理員」。 -16- 201141126 因此,集中管理設施100內的帳戶管理可爲階層式, 允許單一操作員管理一或多個組織。例如,操作員可爲單 —組織的員工,或代表管理多個組織網路的實體。 因此,設施100內組織的管理/組織帳戶可作爲系統管 理中心,用於組織的網路裝置與服務之配置及/或監控。管 理多個組織/站台的操作員可開啓多個實例,來同時在超過 一個組織/站台內監控或運作,其中個別實例作爲儀表板與 發射台,協助其監控與配置活動。 爲了讓組織允許另一實體在其網路資源上行使管理權 限,該組織可發出與該實體共享該組織的管理之要求。只 有組織本身可選擇共享管理權限,該接收組織無法進一步 共享那些權限。該組織利用發出終止要求,終止該配置。 爲了讓組織網路的新裝置或服務自動與集中管理設施 .100互動來擷取配置參數,則可製造或配置成自動要求或 判定可獲得這種資訊的位置(例如 Uniform Resource Locator:—致資源定位器或URL)。例如,裝置的特定韌 體參數可設定成讓裝置自動聯絡特定實體(例如管理設施 1〇〇),或要求(在啓動時)其可接收配置資料的實體之URL 或其他位址。此參數名爲「啓用網路」或「接收遠端配置」 或其他名稱。 裝置或服務聯絡特定或一致實體時,將可識別本身(例 如設備機型、版本、序號、MAC位址、服務名稱/識別碼), 並且可傳遞所擁有的數位認證。在驗證並確認爲組織網路 的授權組件之後,將接收並套用一組參數。 如上述,即使運用第1圖的集中管理設施100來管理 -17- 201141126 相同總架構內多個組織的網路,嚴格的存取政策與資料隔 離避免資料在組織之間遷徙。更詳細而言,建立每一組織 PKI來保護每一組織的資源,每一組織都具有設施上的最 高層驗證機構,並且組織網路內的從屬驗證機構和認證者 執行區域用戶端存取驗證以及實施存取政策。 第2圖爲根據本發明某些具體實施例之展示用於一個 組織中網路資源的集中與遠端管理之方法流程圖。 在這些具體實施例內,將可與第1圖的集中管理設施 1 〇〇比較之一致服務與裝置架構提供給多個組織服務,像 是用戶帳戶管理、用戶與裝置認證、事件的情境感知記錄、 裝置清點、韌體管理、PKI管理等。 如上述,實施個別特定管理層子系統,來支援不同服 務、特定裝置及/或裝置類型。每一這種子系統都依附於一 組外掛標準,來與共用管理層介接,並藉此存取無關裝置 功能模組。依照需求可加入額外裝置特定子系統,來支援 額外裝置或服務。 在操作200內,組織預訂集中設施的一致服務與裝置 管理。例如,組織(例如系統管理者)可連接至由該設施所 運作電腦伺服器上的用戶介面,來提交預訂要求。 另外,該組織(例如網路管理者)可執行自動與設施介 接並提供與專屬用戶介面相同或類似功能性之應用程式或 公用程式。 在操作202內,該組織的帳戶設置成識別該組織、建 立一或多個用戶帳戶、識別組織網路內目前運用的裝置、 識別該組織所需的特定服務等。 -18- 201141126 操作202必然定義多個邏輯「站台 允許更特別的組織資源管理。如上述, 造可對應至不同分公司、辦公室或組織 的「組織」構造可對應至不同部門、子 組織其他部分。 在操作204內,該組織採購一些數』 區域網路(LAN)控制器、存取點、連接糸 該等資源可購自集中設施的操作員或某 優點在於,該供應商可經過授權並有能 足以讓該等資源可在連線至組織網路之 接觸的安全憑證。 另外,配置裝置或公用程式(例如戶 可裝有(或與其分開)所採購之資源,並 資源用於在該組織內的運作。此配置成 憑證。 即使該組織將運用多個不同裝置與 集中設施來管理。 在操作206內,由該組織將某些或 源的一組操作參數提交給架構。根據執 表之知識水準,此人可指定正確參數給 可允許該設施判定合適的參數。 例如,該代表可陳述資料安全對該 案例中該設施可針對該組織的無線資源 較不重要的情況下更堅固的安全協定以 制政策。同樣地,該設施可根據代表的 及/或「組織」, 不同的「站台」構 其他位置,而不同 公司、組織單位或 I的資源(例如無線 專路的儲存單元), 些其他來源。不過 力使該等資源預載 後開始與集中設施 3戶端裝置啓用碼) 且可用來配置該等 果可包含載入安全 服務,還是可透過 全部採購之網路資 行此操作的組織代 一或多個裝置,或 組織非常重要,該 ,選擇比安全考量 及更嚴格的存取控 輸入,選擇不同的 -19- 201141126 操作政策、記錄需求及/或其他設定。不同樣本可套用來實 施不同的參數集合。 在部分操作206之中,組織代表所指定及/或設施所選 擇,用於該代表所識別裝置/服務的配置資料可由設施的集 中管理層(CML)所解析,並且路由至適當特定管理層(SML) 子系統。SML可將該資料儲存在子系統內,或透過一或多 個適當無關裝置功能模組儲存該資料。這些SML子系統將 負責發出裝置配置資訊給組織的網路資源。 該設施可執行的一個配置成果會在裝運到該組織並運 用於該4且織網路內之前,將安全憑證(例如數位認證)載入 裝置上。爲了促進開始運用某些網路裝置(例如存取點、用 戶端裝置啓用碼),可用與該集中管理設施相關聯的PKI內 所發出之安全憑證來配置該裝置(例如取代組織的PKI)。在 運用裝置之後,可與設施互動並接收組織PKI內產生的新 安全憑證。 在操作208內,運用裝置並連線至組織的網路。在啓 動與配置的部份當中,該裝置建立與該設施的安全連線(例 如透過https) '識別本身(例如使用裝置ID、MAC位址)並 可使用預載入裝置的安全憑證驗證本身。 在某些具體實施例內,用戶端裝置啓用碼或用來配置 新裝置的其他實體可幫助建立與該設施的初始連線。 若接受該裝置爲合法裝置(例如該設施可保有該組織 的合法裝置ID清單),則可連接至該組織。然後下載並套 用該裝置的配置參數、系統政策、韌體及/或其他資訊。如 上述,該組織參數可由組織代表確切指定、由該設施選擇 -20- 201141126 及/或可繼承自「站台」或「組織」邏輯構造。 在操作210內,使用政策與配置參數配置該裝置,並 且可開始在組織網路內的正常操作。如上述,無關裝置功 能模組可提供這些政策、屬性和參數,並且由對應的特定 管理層子系統傳播至特定裝置與不同類型的裝置。 在操作2 1 2內,在該裝置操作期間,提交情境記錄事 件給該管理架構。在事件傳遞至與該裝置相關聯的SML子 系統之前,可透過通訊模組以及共用管理層傳輸給該架 構。然後該裝置透過共用管理層援用記錄模組的功能/服 務,因而記錄模組可記錄組織網路內多個不同裝置的事件。 在本發明的某些具體實.施例內,集中管理設施露出 RESTful API,艮P 符合代表狀態傳輸(Representational State Transfer)架構的API。這樣可輕鬆擷取來自該設施的資訊, 像是網路流量統計、無線電信號涵蓋等。. 與第2圖結合描述的方法可用來管理像是WLAN(無線 區域網路)控制器這類裝置,該控制器作爲組織中某些或全 部存取點(AP)的集中管理點,並且可爲專屬裝置或內嵌於 另一設施內(例如乙太網路交換器)。 例如,提供AP管理、用戶管理、RF (射頻)管理、WLAN 存取政策管理等等。WLAN控制器透過WLAN特定管理層 子系統,連結至一致服務與裝置管理架構(例如第1圖的設 施 1 00)。 該架構的共用管理層提供共用服務,像是用戶帳戶管 理、用戶端裝置供應、存取政策等。該架構中該特定管理 層內的WLAN子系統提供無關裝置服務,像是惡意AP偵 -21- 201141126 測、RF管理、WLAN頻寬存取評估、AP配置與監控等。 一旦該WLAN控制器子系統在'該架構內註冊,所有訂 戶都可使用(例如不只是首先運用WLAN控制器的組織)。 針對每一訂戶而言,建立個別WLAN控制器服務實例並新 增至訂戶的帳戶。一旦不再需要該服務,則可銷毀該實例。 第3圖爲根據本發明某些具體實施例之用來管理一或 多個組織中網路資源的硬體設備方塊圖。 管理伺.服器300包含通訊機構310、共用管理機構 312、特定管理機構314、功能機構316以及儲存機構318。 在本發明的其他具體實施例內-.,這些機構之任一者或全部 都結合或再細分。 通訊機構3 1 0經過調整來與網路裝置(例如存取點、連 接網路的伺服器、交換器)交換通訊。通訊機構可包含或連 結至用戶介面,該介面可操作來幫助存取管理伺服器。 共用管理機構312經過調整,以提供管理伺服器300 的集中管理功能。如此機構312將傳入的通訊從通訊機構 31〇路由至適當的特定管理機構314,代表特定管理機構或 某些其他內部或外部實體援用功能機構316,並且視情況 採取其他動作。 特定管理機構314經過調整,與組織網路內特定服 務、裝置或裝置類型互動,以配置那些服務及/或裝置、監 控其操作、疑難排解等。隨組.織網路擴充或多樣化,額外 機構314可新增至管理伺服器300。 儲存機構316經過調整,儲存管理伺服器所使用的資 訊。這種資料可能關於具管理服務、組織裝置及/或服務的 -22- 201141126 配置、存取政策、事件記錄、安全憑證等的組織帳戶。 第4圖爲根據本發明某些具體實施例之用來管理一或 多個組織中網路組件的管理伺服器之方塊圖。 第4圖的管理伺服器400包含處理器402、記億體404 和儲存裝置406,該儲存裝置可包含一或多種光學及/或磁 性儲存組件。管理伺服器400可連接(永久或暫時)至鍵盤 412、定點裝置414和顯示器416。 線上評分系統的儲存裝置406儲存可載入記憶體404 內,由處理器402執行的邏輯,這種邏輯包含通訊邏輯 422、集中管理邏輯424、特定管理邏輯426以及功能邏輯 428。 通訊邏輯4 22包含處理器可執行的指令,用來與組織 的網路裝置和服務、管理組織資源的操作員及/或其他實體 通訊。邏輯422可包含用戶介面及/或公開可存取API,用 來援用管理伺服器400上儲存的其他邏輯。管理伺服器可 包含多組通訊邏輯,因爲負載平衡、接受運用不同通訊協 定的通訊連線的目的或因爲其他因素。 集中管理邏輯424包含處理器可執行的指令,用來執 行集中管理工作,包含不同邏輯之間的通訊/呼叫。 特定管理邏輯426包含處理器可執行指令,用來幫助 管理特定網路服務、裝置及/或裝置類型。多組特定管理邏 輯可用於不同服務、裝置及/或裝置類型。 功能邏輯428包含處理器可執行指令,用來執行裝置 及/或服務專屬功能’這些指令可援用於組織網路內的多種 不同服務及/或裝置。多組功能邏輯可用於不同功能區(例 -23- 201141126 如帳戶管理、事件記錄、政策、安全)。 在本發明的其他具體實施例內’管理伺服器可包含額 外邏輯,像是用來註冊個別組件、管理伺服器的操作、複 製伺服器資料至管理伺服器的其他實例、操作用戶介面 等。操作與管理每一組織PKI架構的邏輯可爲第4圖內例 示之邏輯的一部分或自其分離。 【圖式簡單說明】 第1圖爲根據本發明某些具體實施例之用來管理一或 多個組織的網路資源之集中式設施圖。 、 第2圖爲根據本發明某些具體實施例之展示集中管理 一個組織中網路資源的方法之流程圖。 第3圖爲根據本發明某些具體實施例之用來保護對於 一個組織中網路資源的存取之硬體設備方塊圖。 第4圖爲根據本發明某些具體實施例的認證伺服器之 方塊圖。 【主要元件符號說明】 100 集 中 管 理 設 施 110 通 訊 模 組 120 共 用 管 理 層 13 0 特 定 管 理 層 子 系 統 130a- 1 3 On 特 定 管 理 層 子 系 統 140 用 戶 介 面 1 50 ΛΠΤ ΙΙΙΓ y»\\ 關 裝 置 功 能 模 組 150a 政 策 模 組 -24 - 201141126 1 50b 記 錄 模 組 15 0c 帳 戶 模 組 15 0m 安 全 模 組 3 00 管 理 伺 服 器 3 10 通 訊 機 構 3 12 共 用 管 理 機 構 3 14 特 定 管 理 機 構 3 16 功 能 機 構 3 1 8 儲 存 機 構 400 管 理 伺 服 器 402 處 理 器 404 記 憶 體 406 儲 存 裝 置 4 12 鍵 盤 4 14 定 點 裝 置 416 顯 示 器 422 通 訊 邏 輯 424 集 中 管 理 邏 輯 426 特 定 管 理 邏 輯 428 功 能 邏 輯 -25

Claims (1)

  1. 201141126 七、申請專利範圍: 1. 一種用於管理多個組織之不同種網路資源之設備,該設 備包括: 多個無關裝置功能模組,係配置以代表該等組織'之 網路中每一者內之多個不同類型之裝置而執行功能; 一特定功能模組,係配置以針對每一個不同類型之 裝置,管理對應類型之裝置的操作:以及 一共用管理模組,係配置以代表該等特定功能模組 援用該等多個功能模組; 其中爲該等組織中之每一者例示該特定功能模組的 一個別實例。 2. 如申請專利範圍第1項之設備,其更包括: 一或多個通訊模組,係配置以建立與該等多個不同 類型之裝置之通訊連線。 3 ·如申請專利範圍第1項之設備,其中 該等多個功能模組包括: 一政策模組,係配置以提供操作方針給該等多個不 同類型之裝置; 一記錄模組,係配置以記錄該等多個不同類型之裝 置所回報的事件;以及 一帳戶模組,係配置以幫助管理與該第一組織相連 之帳戶。 4 ·如申請專利範圍第1項之設備,其更包括: 一用戶介面,係配置以從一組織網路的管理員接收 該等多個不同類型之裝置之配置參數。 -26-
TW099134290A 2009-10-12 2010-10-08 Apparatus and methods for managing network resources TW201141126A (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US12/577,674 US8131850B2 (en) 2009-10-12 2009-10-12 Apparatus and methods for managing network resources

Publications (1)

Publication Number Publication Date
TW201141126A true TW201141126A (en) 2011-11-16

Family

ID=43773273

Family Applications (1)

Application Number Title Priority Date Filing Date
TW099134290A TW201141126A (en) 2009-10-12 2010-10-08 Apparatus and methods for managing network resources

Country Status (6)

Country Link
US (1) US8131850B2 (zh)
EP (1) EP2320362A1 (zh)
JP (1) JP2011081809A (zh)
KR (1) KR20110040691A (zh)
CN (1) CN102045337A (zh)
TW (1) TW201141126A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI456963B (zh) * 2011-11-23 2014-10-11 Ind Tech Res Inst 網路服務之連線管理方法及應用其之網路服務平台
US9602523B2 (en) 2012-06-07 2017-03-21 Proofpoint, Inc. Dashboards for displaying threat insight information
US10382399B2 (en) 2014-03-10 2019-08-13 Hewlett-Packard Development Company, L.P. Providing an operating system session

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8131850B2 (en) * 2009-10-12 2012-03-06 Palo Alto Research Center Incorporated Apparatus and methods for managing network resources
US8555054B2 (en) 2009-10-12 2013-10-08 Palo Alto Research Center Incorporated Apparatus and methods for protecting network resources
JP2011170693A (ja) * 2010-02-19 2011-09-01 Telefon Ab L M Ericsson ネットワーク事業者と開発者とを仲介する方法
EP2537129A4 (en) * 2010-02-19 2013-07-31 Ericsson Telefon Ab L M INTERMEDIATE DEVICE BETWEEN NETWORK OPERATORS AND DEVELOPERS
US9092605B2 (en) 2011-04-11 2015-07-28 NSS Lab Works LLC Ongoing authentication and access control with network access device
US8904473B2 (en) * 2011-04-11 2014-12-02 NSS Lab Works LLC Secure display system for prevention of information copying from any display screen system
US9047464B2 (en) 2011-04-11 2015-06-02 NSS Lab Works LLC Continuous monitoring of computer user and computer activities
CN102196049B (zh) * 2011-05-31 2013-06-26 北京大学 适用于存储云内数据安全迁移的方法
US8621630B2 (en) * 2011-06-17 2013-12-31 Microsoft Corporation System, method and device for cloud-based content inspection for mobile devices
ES2561663T3 (es) 2011-07-11 2016-02-29 Tanaza S.R.L. Método y sistema para gestionar dispositivos de red de distribuidores y fabricantes genéricos
US9390255B2 (en) 2011-09-29 2016-07-12 Oracle International Corporation Privileged account manager, dynamic policy engine
US8984145B2 (en) * 2011-10-28 2015-03-17 Yokogawa Electric Corporation Network management interface for heterogeneous data network and system using the same
US9207988B2 (en) * 2012-06-29 2015-12-08 Intel Corporation Method, system, and device for managing server hardware resources in a cloud scheduling environment
CN102843422B (zh) * 2012-07-31 2014-11-26 郑州信大捷安信息技术股份有限公司 基于云服务的账户管理系统及管理方法
US20140067466A1 (en) 2012-08-31 2014-03-06 Yue Xiao Methods and apparatus to forecast new product launch sourcing
JP6007075B2 (ja) * 2012-11-16 2016-10-12 任天堂株式会社 サービス提供システム、サービス提供方法、サーバシステムおよびサービス提供プログラム
US9852275B2 (en) 2013-03-15 2017-12-26 NSS Lab Works LLC Security device, methods, and systems for continuous authentication
US9674168B2 (en) 2013-09-19 2017-06-06 Oracle International Corporation Privileged account plug-in framework-step-up validation
JP6412122B2 (ja) * 2013-10-24 2018-10-24 コンヴィーダ ワイヤレス, エルエルシー サービス対象範囲管理システムおよび方法
CN103701642A (zh) * 2013-12-23 2014-04-02 国云科技股份有限公司 一种集中管理网络设备的方法
US9602545B2 (en) 2014-01-13 2017-03-21 Oracle International Corporation Access policy management using identified roles
US9160724B2 (en) 2014-01-27 2015-10-13 Canon Kabushiki Kaisha Devices, systems, and methods for device provisioning
EP2977914A1 (en) 2014-07-25 2016-01-27 Hewlett-Packard Development Company, L.P. Website framework
US9578063B1 (en) * 2015-11-20 2017-02-21 International Business Machines Corporation Application self-service for assured log management in cloud environments
US10673855B2 (en) * 2018-04-10 2020-06-02 Sap Se Consolidated identity management system provisioning to manage access across landscapes
US10938701B2 (en) * 2018-07-19 2021-03-02 EMC IP Holding Company LLC Efficient heartbeat with remote servers by NAS cluster nodes
CN111935832A (zh) * 2020-07-15 2020-11-13 北京自如信息科技有限公司 一种网络资源的分配方法、装置及计算机设备

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5491796A (en) * 1992-10-23 1996-02-13 Net Labs, Inc. Apparatus for remotely managing diverse information network resources
US7325140B2 (en) * 2003-06-13 2008-01-29 Engedi Technologies, Inc. Secure management access control for computers, embedded and card embodiment
JP2004102558A (ja) * 2002-09-09 2004-04-02 Murata Mach Ltd サーバ装置
JP2005107707A (ja) * 2003-09-29 2005-04-21 Canon Inc 情報処理装置
US20070086449A1 (en) * 2005-10-18 2007-04-19 Aten International Co., Ltd System and method for remote management
US8225313B2 (en) * 2005-10-19 2012-07-17 Ca, Inc. Object-based virtual infrastructure management
GB2435362B (en) * 2006-02-20 2008-11-26 Cramer Systems Ltd Method of configuring devices in a telecommunications network
US7904909B1 (en) * 2006-03-31 2011-03-08 Emc Corporation Architecture for using a model-based approach for managing resources in a networked environment
US7483978B2 (en) * 2006-05-15 2009-01-27 Computer Associates Think, Inc. Providing a unified user interface for managing a plurality of heterogeneous computing environments
JP2009048329A (ja) * 2007-08-16 2009-03-05 Canon Inc ネットワーク装置の制御方法及びそのシステムと、該システムを構成するネットワーク装置
US8131850B2 (en) * 2009-10-12 2012-03-06 Palo Alto Research Center Incorporated Apparatus and methods for managing network resources

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI456963B (zh) * 2011-11-23 2014-10-11 Ind Tech Res Inst 網路服務之連線管理方法及應用其之網路服務平台
US9602523B2 (en) 2012-06-07 2017-03-21 Proofpoint, Inc. Dashboards for displaying threat insight information
US9912694B2 (en) 2012-06-07 2018-03-06 Proofpoint, Inc. Dashboards for displaying threat insight information
US10243991B2 (en) 2012-06-07 2019-03-26 Proofpoint, Inc. Methods and systems for generating dashboards for displaying threat insight information
US10382399B2 (en) 2014-03-10 2019-08-13 Hewlett-Packard Development Company, L.P. Providing an operating system session

Also Published As

Publication number Publication date
US20110087766A1 (en) 2011-04-14
CN102045337A (zh) 2011-05-04
KR20110040691A (ko) 2011-04-20
US8131850B2 (en) 2012-03-06
JP2011081809A (ja) 2011-04-21
EP2320362A1 (en) 2011-05-11

Similar Documents

Publication Publication Date Title
TW201141126A (en) Apparatus and methods for managing network resources
US11237861B2 (en) Managing virtual infrastructure resources in cloud environments
US9003485B2 (en) Systems and methods for the rapid deployment of network security devices
KR101561306B1 (ko) Usb 키를 이용한 네트워크 컴포넌트 관리
WO2018095416A1 (zh) 信息处理方法、装置及系统
US8144692B2 (en) Automation of IP phone provisioning with self-service voice application
US7356601B1 (en) Method and apparatus for authorizing network device operations that are requested by applications
US10659441B2 (en) Dynamically managing, from a centralized service, valid cipher suites allowed for secured sessions
JP2009538100A (ja) 自動ポリシーに基づくネットワーク装置構成およびネットワーク配備
WO2007009350A1 (fr) Système universel de gestion de la sécurité réseau et équipement et méthode pour celui-ci
JP2019514090A (ja) ユーザアカウントと企業ワークスペースとの関連付け
JP4915182B2 (ja) 情報の管理方法及び情報処理装置
CN106535089B (zh) 机器对机器虚拟私有网络
US11233696B1 (en) Preconfiguring a device for a network
JP3746782B2 (ja) ネットワークシステム
KR20070037148A (ko) 네트워크 장치 제어 관리 시스템 및 그 방법
US11343676B1 (en) Configuring devices to connect to a network
JP2023551837A (ja) 通信要求に基づく要求元の真正性評価
WO2018004407A1 (en) Systems and methods for service access control
US20230394126A1 (en) Computer system and user management method
US20230283593A1 (en) Systems and methods for providing access to applications and services running on a private network
Schwiderski-Grosche et al. Towards the secure initialisation of a personal distributed environment
CN113660283A (zh) 一种合法性认证方法以及装置
FAIZAL Optimization of virtual network quality through protocol analysis
KR20150000377A (ko) M2m 시스템에서 정보 제공을 선택적으로 제어하는 방법 및 장치