WO2024034056A1 - ネットワーク管理装置、ネットワーク管理方法およびプログラム - Google Patents
ネットワーク管理装置、ネットワーク管理方法およびプログラム Download PDFInfo
- Publication number
- WO2024034056A1 WO2024034056A1 PCT/JP2022/030575 JP2022030575W WO2024034056A1 WO 2024034056 A1 WO2024034056 A1 WO 2024034056A1 JP 2022030575 W JP2022030575 W JP 2022030575W WO 2024034056 A1 WO2024034056 A1 WO 2024034056A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- information
- policy
- disclosure
- entity
- inheritance
- Prior art date
Links
- 238000007726 management method Methods 0.000 title claims description 65
- 238000012545 processing Methods 0.000 claims description 127
- 238000000034 method Methods 0.000 claims description 39
- 230000008569 process Effects 0.000 claims description 24
- 230000008859 change Effects 0.000 claims description 12
- 230000010365 information processing Effects 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 description 24
- 238000004891 communication Methods 0.000 description 23
- 238000010586 diagram Methods 0.000 description 17
- 230000000875 corresponding effect Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 238000013500 data storage Methods 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 239000000306 component Substances 0.000 description 4
- 238000013499 data model Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 239000000470 constituent Substances 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0226—Mapping or translating multiple network management protocols
Definitions
- One aspect of the present invention relates to a network management device, a network management method, and a program, which are used, for example, to manage multiple networks or devices using the same.
- the information used for network management can be applied to any network without creating or changing it as a data model to suit each individual network.
- the information used for network management can be applied to any network without creating or changing it as a data model to suit each individual network.
- This invention has been made in view of the above-mentioned circumstances, and aims to reduce the amount of work required to define at least policy information among various management information related to network equipment that is additionally registered.
- the aim is to provide technology that makes it possible to reduce
- one aspect of the network management device or method according to the present invention is such that first specification information relating to a registered first network equipment and first specification information representing a disclosure condition thereof are registered.
- the second policy information when additionally registering second policy information representing disclosure conditions of second specification information related to second network equipment, as the second policy information, the second policy information is selected from the first policy information to the second policy information.
- Inheritance control information indicating whether or not the disclosure condition is inherited to the policy information No. 2 is registered.
- a disclosure request for entity information registered in association with the second specification information is input, it is determined whether the second policy information is the inheritance control information, and the inheritance control information is determined. If it is determined that the disclosure request is information, it is determined based on the inheritance control information whether the disclosure request satisfies the second disclosure condition.
- the second policy information when the second policy information is newly registered as the second specification information, the second policy information is the same as the registered first policy information, If the registered first specification information can be inherited by the second policy information, inheritance control information indicating the presence or absence of inheritance is defined as the second policy information. Therefore, when newly defining second policy information, it is only necessary to define disclosure conditions when no inheritable policy information is registered, and all second policy information is unconditionally Compared to the case where disclosure conditions are defined for a network administrator, it is possible to reduce the amount of definition work required by a network administrator when externally defining policy information. As a result, it is possible to reduce the work required for external definition processing of policy information.
- FIG. 1 is a diagram showing an example of the configuration of a network management system according to an embodiment of the present invention.
- FIG. 2 is a block diagram showing an example of the hardware configuration of an operator terminal used in the network management system shown in FIG.
- FIG. 3 is a block diagram showing an example of the software configuration of an operator terminal used in the network management system shown in FIG.
- FIG. 4 is a block diagram showing an example of the hardware configuration of a network management device used in the network management system shown in FIG.
- FIG. 5 is a block diagram showing an example of the software configuration of a network management device used in the network management system shown in FIG. FIG.
- FIG. 6 is a flowchart showing an example of the processing procedure and processing contents of the input reception process of various registration information and the registration request transmission process executed by the control unit of the operator terminal shown in FIGS. 2 and 3.
- FIG. 7 is a flowchart showing an example of the processing procedure and processing contents of the specification/policy information and entity information registration process executed by the control unit of the network management device shown in FIGS. 4 and 5.
- FIG. 8 is a flowchart showing an example of the processing procedure and processing contents of the entity information registration process shown in FIG.
- FIG. 9 is a flowchart showing an example of the processing procedure and processing contents of the access control processing executed by the control unit of the network management device shown in FIGS. 4 and 5.
- FIG. 10 is a diagram for explaining an example of the operation of specification/policy information registration processing.
- FIG. 11 is a diagram showing a first example of operation executed by the access control process shown in FIG. 9.
- FIG. 12 is a diagram showing a second operation example executed by the access control process shown in FIG. 9.
- FIG. 13 is a diagram showing a third example of operation executed by the access control process shown in FIG. 9.
- FIG. 14 is a diagram showing a fourth operation example executed by the access control process shown in FIG. 9.
- FIG. 1 is a diagram showing an example of the configuration of a network management system according to an embodiment of the present invention.
- the network management system of one embodiment includes a network management device NM as its core component, and includes the network management device NM, an operator terminal OT used by a network administrator, and an operator terminal OT used by other administrators or users.
- the information data can be transmitted between a plurality of user terminals UT1 to UTn via the network NW.
- the network NW includes multiple types of networks, such as an IP (Internet Protocol) network that makes up the Internet, an Ethernet (registered trademark) that makes up a LAN (Local Area Network), and other transmission networks. Any network capable of transmission may be used.
- IP Internet Protocol
- Ethernet registered trademark
- LAN Local Area Network
- Operator terminal OT 2 and 3 are block diagrams showing an example of the hardware configuration and software configuration of the operator terminal OT.
- the operator terminal OT includes a control unit 1A that uses a hardware processor such as a central processing unit (CPU).
- a storage unit having a program storage section 2A and a data storage section 3A, a communication interface (hereinafter referred to as I/F) section 4A, and an input/output I/F section 5A are connected to the control section 1A via a bus. It is connected via 6A.
- the input device 51 includes, for example, a keyboard, a mouse, and operation buttons.
- the input device 51 is used by a network administrator to input specification information, entity information, and policy information regarding a managed network or devices used in this network (hereinafter collectively referred to as network equipment).
- the specification information is expressed as a plurality of attribute information that defines the characteristics of the network equipment, associated with identification information such as the name of the specification information.
- Entity information is defined, for example, by associating the actually usable resources of the above network equipment with multiple attributes of the above specification information, and displaying the multiple attribute information in association with identification information such as the name of the entity information. be done.
- the policy information defines, for example, disclosure conditions for all, each, or a combination of a plurality of pieces of attribute information that constitute the above specification information. Note that the policy information is also referred to as an access control policy.
- the output device 52 includes, for example, a display, and displays display data necessary for input processing of the specification information and entity information.
- the communication I/F unit 4A uses a communication protocol defined by the network NW to transmit information data to and from the network management device NM under the control of the control unit 1A.
- the program storage unit 2A is configured by combining, as a storage medium, a nonvolatile memory such as an SSD (Solid State Drive) that can be written to and read at any time, and a nonvolatile memory such as a ROM (Read Only Memory).
- middleware such as OS (Operating System)
- OS Operating System
- OS Operating System
- the data storage unit 3A is, for example, a combination of a nonvolatile memory such as an SSD that can be written to and read at any time as a storage medium, and a volatile memory such as a RAM (Random Access Memory).
- a specification/policy information storage section 31A and an entity information storage section 32A are provided as main storage sections necessary for carrying out an embodiment of the invention.
- the specification/policy information storage unit 31A stores the input specification information and policy information until the transmission of the registration request is completed.
- the entity information storage unit 32A stores the input entity information until the transmission of the registration request is completed.
- the control unit 1A includes a specification information input reception processing unit 11A, a policy information input reception processing unit 12A, an entity information input reception processing unit 13A, and a specification information input reception processing unit 13A, as processing functions necessary for carrying out an embodiment of the present invention.
- a policy registration request transmission processing section 14A and an entity registration request transmission processing section 15A.
- These processing units 11A to 15A are all realized by causing the hardware processor of the control unit 1A to execute an application program stored in the program storage unit 2A.
- the application program may also be downloaded from the network management device NM or other application server or the like and stored in the program storage unit 2A when necessary. Good too.
- the specification information input reception processing unit 11A receives specification information input by the network administrator using the input device 51 via the input/output I/F unit 5A, and stores the received specification information in the specification/policy information storage unit 31A. .
- Specification information includes specification information that includes all attribute information entered when registering a new network or its device, and additional registration of similar networks or devices that share some of the attribute information with registered networks or devices. There is differential specification information that is input when performing the operations, and an example of this information will be described in the operation example.
- the policy information input reception processing unit 12A receives policy information that is input by the network administrator through the input device 51 and defines the conditions for disclosing the specification information, via the input/output I/F unit 5A. Then, the received policy information is stored in the specification/policy information storage section 31A in a state where it is associated with the corresponding specification information.
- the entity information input reception processing unit 13A receives entity information input by the network administrator using the input device 51 and includes a plurality of pieces of attribute information defining resources actually used in the network equipment, via the input/output I/F unit 5A.
- the received entity information is received and stored in the entity information storage section 32A.
- the specification/policy registration request transmission processing unit 14A reads specification information and policy information from the specification/policy information storage unit 31A in response to the input of the transmission instruction, and registers the specification/policy including the read specification information and policy information. A request is generated and the generated specification/policy registration request is transmitted from the communication I/F unit 4A to the network management device NM.
- the entity registration request transmission processing unit 15A reads the entity information from the entity information storage unit 32A, generates a registration request for the read entity information, and communicates the generated entity registration request. It is transmitted from the I/F section 4A to the network management device NM.
- Network management device NM 4 and 5 are block diagrams showing an example of the hardware configuration and software configuration of the network management device NM.
- the network management device NM consists of a server computer installed on the web or in the cloud, for example. Note that the network management device NM may be a personal computer or the like used by an administrator.
- the network management device NM includes a control section 1B using a hardware processor such as a CPU, and for this control section 1B, a storage unit having a program storage section 2B and a data storage section 3B, and a communication I/F section 4B. are connected via bus 5B.
- a hardware processor such as a CPU
- the communication I/F section 4B under the control of the control section 1B, sends and receives information data between the operator terminal OT and the user terminals UT1 to UTn, respectively, using a communication protocol defined by the network NW. .
- the program storage unit 2B is configured by combining a non-volatile memory such as an HDD or SSD that can be written to and read from at any time as a storage medium, and a non-volatile memory such as a ROM, in addition to middleware such as an OS. , stores programs necessary for executing various control processes according to an embodiment of the present invention.
- a non-volatile memory such as an HDD or SSD that can be written to and read from at any time as a storage medium
- a non-volatile memory such as a ROM
- middleware such as an OS
- the data storage unit 3B is, for example, a combination of a nonvolatile memory such as an HDD or SSD that can be written to and read from at any time as a storage medium, and a volatile memory such as a RAM.
- a storage unit necessary for implementing the above it is provided with a specification/policy information database (hereinafter referred to as DB) 31B and an entity information DB 32B.
- DB specification/policy information database
- the specification information DB 31B stores specification information that defines the characteristics of the network equipment to be managed, which is sent from the operator terminal OT in response to a specification registration request.
- the entity information DB 32B stores entity information that defines the actual resources of the network equipment and is sent by the entity registration request from the operator terminal OT.
- the control unit 1B includes a specification/policy registration request reception processing unit 11B, a specification/policy information registration processing unit 12B, an entity registration request reception processing unit 13B, and an entity information registration processing unit 11B as processing functions according to an embodiment of the present invention.
- a processing section 14B is provided, and an access control processing section 15B is further provided.
- These processing units 11B to 15B are all realized by causing the hardware processor of the control unit 1B to execute an application program stored in the program storage unit 2B.
- processing units 11B to 15B may be realized using hardware such as LSI (Large Scale Integration) or ASIC (Application Specific Integrated Circuit).
- the specification/policy registration request reception processing unit 11B receives the specification/policy registration request transmitted from the operator terminal OT via the communication I/F unit 4B, and converts the received specification/policy registration request into specification/policy information. It is passed to the registration processing section 12B.
- the specification/policy information registration processing unit 12B registers the specification/policy information and policy information included in the specification/policy registration request passed from the specification/policy registration request receiving processing unit 11B in a mutually correlated manner. Register in the information DB 31B.
- the entity registration request reception processing unit 13B receives the entity registration request transmitted from the operator terminal OT via the communication I/F unit 4B, and passes the received entity registration request to the entity information registration processing unit 14B.
- the entity information registration processing unit 14B determines whether or not the entity information represented by the received entity registration request satisfies the registration conditions, and if the registration conditions are satisfied, the entity information is stored in the entity information DB 32B. Register.
- all entity information is Processing is performed to generate complete specification information including attribute information, and to determine whether or not the entity information satisfies registration conditions based on the generated complete specification information.
- the access control processing section 15B transmits the disclosure request via the communication I/F section 4B. and receive it. Then, the access control processing unit 15B determines whether or not the entity information specified by the received disclosure request satisfies the disclosure conditions based on the policy information linked to the corresponding specification information, and discloses the entity information. If the conditions are met, processing is performed to transmit the entity information from the communication I/F unit 4B to the requesting user terminals UT1 to UTn. An example of this access control processing will be described in the operation example.
- the specification/policy information DB 31B of the network management device NM already contains specification information regarding the communication termination point (TPE) of a network using Ethernet, and policy information representing the conditions for disclosing this specification information. The explanation will be given assuming that it is registered.
- FIG. 12 is a flowchart illustrating an example of the processing procedure and processing contents of information input reception processing and registration request transmission processing.
- control unit 1A of the operator terminal OT determines which of the specification/policy information input mode and the entity information input mode is set in steps S10 and S20, respectively.
- the network administrator when attempting to additionally register specification information regarding network equipment provided by another vendor with the above specification/policy information input mode set, the network administrator first registers the network equipment of the other vendor to be registered. determines whether some of the characteristics are similar to the registered network equipment. If the characteristics are similar, the network administrator determines the difference between the specification information of the network equipment to be registered and the specification information of the registered network equipment, that is, among the multiple attribute information included in the specification information. Generate unique attribute information with different attribute names or possible ranges.
- the network administrator also selects the attribute information that has the same attribute name and possible values from among the plurality of attribute information in the specification information of the registered network equipment, to the specification information of the network equipment to be registered.
- inheritance relationship information representing the inheritance relationship between the specification information of the registered network equipment and the specification information of the network equipment to be registered is generated.
- the network administrator inputs the generated attribute information specific to the network equipment to be registered and the inheritance relationship information from the input device 51 to the operator terminal OT.
- the process of defining the above-mentioned unique attribute information and inheritance relationship information is performed by, for example, obtaining specification information regarding registered network equipment from a database independently managed by the network administrator, or from the specification/policy information DB 31B of the network management device NM. This is done by acquiring the specification information and referring to the acquired specification information.
- the above inheritance relationship information is automatically generated by the operator terminal OT based on information regarding the first and second network equipment selected by the network administrator when defining attribute information specific to the network equipment to be registered. It is also possible to do so.
- the control unit 1A of the operator terminal OT processes the attribute information and inheritance relationship information unique to the network equipment to be registered, which are input through the input device 51, in steps S11 and S12, respectively, under the control of the specification information input reception processing unit 11A. Incorporate by Then, the imported attribute information and inheritance relationship information specific to the network equipment to be registered are temporarily stored in the specification/policy information storage unit 31A as differential specification information representing the difference with respect to the specification information of the inheritance source.
- the network administrator When the input of the differential specification information is completed, the network administrator next defines policy information for the differential specification information. This policy information is then input from the input device 51 to the network management device NM.
- policy information is defined to include a specification information name that represents the destination to which the policy is applied, disclosure conditions, and actions that represent the content of the process.
- inheritance control information or policy change information is defined as the policy information.
- the inheritance control information is information that specifies whether or not to permit inheritance of the policy information associated with the inheritance source specification information to the differential specification information.
- the policy change information is for changing the policy information associated with the inheritance source specification information, and includes the contents of the changed policy information.
- the control unit 1A of the operator terminal OT inputs the above policy information to the input/output I/F unit 5A using the input device 51 in step S13 under the control of the policy information input reception processing unit 12A. Import via. Then, the imported policy information is temporarily stored in the specification/policy information storage section 31A in association with the previously acquired differential specification information.
- the control unit 1A of the operator terminal OT detects the input operation of the network administrator's transmission instruction in step S14, under the control of the specification/policy registration request transmission processing unit 14A, the control unit 1A of the operator terminal OT sends the specification/policy
- the differential specification information and policy information are read from the information storage unit 31A, and a specification/policy registration request including the read information is transmitted from the communication I/F unit 4A to the network management device NM.
- step S16 the control unit 1A determines whether there is the next network equipment to be registered. If so, the process returns to step S11 and executes the above-described series of specification information input reception and transmission processing in steps S11 to S16. Then, when an instruction to finish registering the specification/policy information is input, the device returns to the standby state.
- FIG. It is a flowchart which shows an example.
- control unit 1B of the network management device NM monitors the reception of a specification/policy registration request and an entity registration request in steps S30 and S40, respectively.
- step S31 the specification/policy information registration processing unit 12B associates the differential specification information and policy information included in the specification/policy registration request with identification information representing the name of the specification information to be registered, and registers the specification/policy information. Register in the information DB 31B.
- FIG. 10 is a diagram showing an example of the registration result of the differential specification information and policy information.
- TPE_Ethernet_Spec representing specification information and policy information defining its disclosure conditions have already been registered in the specification/policy information DB 31B, and in this state, the specifications of network equipment provided by vendors A, B, and C, respectively.
- a case is shown in which differential specification information of TPE_Ethernet_A company_Spec, TPE_Ethernet_B company_Spec, and TPE_Ethernet_C company_Spec representing information and their policy information are additionally registered.
- the registered specification information TPE_Ethernet_Spec includes four attribute information.
- Each attribute information is represented by a pair of Resource Spec Characteristic (RSC) representing the name of the attribute and Resource Spec Characteristic Value (RSCV) representing the range that the attribute can take.
- RSC Resource Spec Characteristic
- RSCV Resource Spec Characteristic Value
- policy information associated with the registered specification information has application destination, disclosure conditions, and action defined as attributes. These attributes are e.g. Applies to: TPE_Ethernet_Spec Condition: "Requester equals owner” Action: “Can be disclosed” It is written like this.
- the differential specification information of the additionally registered network equipment of Company A, Company B, and Company C all include only unique attribute information.
- the differential specification information of each company mentioned above includes inheritance relationship information.
- FIG. 10 shows an example in which the inheritance relationship is represented by lines and arrows for simplicity.
- ⁇ TPE_Ethernet_Spec ⁇ TPE_Ethernet_CompanyA_Spec ⁇ TPE_Ethernet_Spec ⁇ TPE_Ethernet_Company B_Spec ⁇ TPE_Ethernet_Spec ⁇ TPE_Ethernet_CompanyC_Spec
- the inheritance relationship information may be expressed using other symbols or text data, and may be written in any manner as long as it is recognizable by the control unit 1B.
- the disclosure conditions defined in the policy information may also set whether or not attributes that define VLAN, band, number of wavelengths, IP address of the device, etc. It may also be possible to set whether or not disclosure is possible for all attributes. Further, as the disclosure condition, for example, AND conditions or OR conditions may be used alone or in combination to set whether or not disclosure is possible for a plurality of attributes.
- Entity information registration (2-1) Entity information input reception and transmission by operator terminal OT With the entity information input mode set, the network administrator will then actually use the network equipment to be added. Entity information representing the resource to be used is defined, and the defined entity information is input using the input device 51.
- the control unit 1A of the operator terminal OT takes in the entity information input through the input device 51 in step S21 under the control of the entity information input reception processing unit 13A, and temporarily stores it in the entity information storage unit 32A.
- control unit 1A of the operator terminal OT detects the input operation of the transmission instruction by the network administrator in step S22
- the control unit 1A of the operator terminal OT converts the entity information into the entity information in step S23 under the control of the entity registration request transmission processing unit 15A. It reads from the storage section 32A and transmits a registration request for the read entity information from the communication I/F section 4A to the network management device NM.
- control unit 1A of the operator terminal OT completes the input reception and transmission processing of entity information regarding one of the added network equipment, it determines in step S16 whether there is any other entity information to be registered. , if so, the process returns to step S11 and executes the above-described series of entity information input reception and transmission processing in steps S11 to S16. Then, when an instruction to end the registration of the entity information is input, the device returns to the standby state.
- step S40 Registration of entity information by network management device NM
- the entity information registration processing unit 14B Upon receiving the entity registration request, the entity information registration processing unit 14B executes a series of processes for registering entity information as follows in step S41.
- FIG. 8 is a flowchart illustrating an example of the processing procedure and processing contents of the entity information registration process executed by the entity information registration processing section 14B.
- step S411 the entity information registration processing unit 14B first reads the differential specification information of the network equipment specified by the entity registration request from the specification/policy information DB 31B.
- step S412 the entity information registration processing unit 14B reads specification information regarding the network equipment that is the inheritance source from the specification/policy information DB 31B, based on the inheritance relationship information included in the read differential specification information.
- step S413 the entity information registration processing unit 14B synthesizes the attribute information included in the read specification information of the network equipment serving as the inheritance source and the unique attribute information included in the difference specification information, and This method generates complete specification information that includes all the attribute information necessary to define the characteristics of network equipment.
- step S414 the entity information registration processing unit 14B compares the attribute information defined by the entity information included in the entity registration request with the attribute information included in the generated complete specification information. Then, in step S415, the possible values of the attribute requested by the entity registration request are within the range that an attribute with a matching name can take among each attribute information included in the complete specification information of the network equipment to be registered. Determine whether it is included in That is, it is determined whether the content of the entity registration request satisfies the registration conditions defined by the attributes of the specification information of the network equipment to be registered.
- step S416 if the content of the entity registration request satisfies the registration conditions, the entity information registration processing unit 14B moves to step S416 and registers the entity information included in the entity registration request in the entity information DB 32B. Finally, in step S417, a registration completion message is transmitted from the communication I/F unit 4B to the requesting operator terminal OT.
- the entity information includes a plurality of attribute information corresponding to the above specification information.
- Each piece of attribute information is represented by a pair of RSC, which represents the name of the attribute, and Resource Characteristic Value (RCV), which represents the value for the attribute.
- RSC Resource Characteristic Value
- RCV Resource Characteristic Value
- the inheritance source specification information is read from the specification/policy information DB 31B based on the inheritance relationship information included in the specification/policy registration request, and the inheritance source specification information is It is also possible to generate complete specification information based on the differential specification information included in the specification/policy registration request and register it in the specification/policy information DB 31B.
- the entity information registration processing unit 14B does not need to perform the generation process of the complete specification information, and acquires the complete specification information from the specification/policy information DB 31B when determining whether entity information can be registered. It is possible to determine whether entity information can be registered.
- FIG. 9 is a flowchart showing an example of the access control processing procedure and processing contents executed by the control unit 1B of the network management device NM.
- FIG. 11 is a diagram showing an example of access control when policy is not inherited and the disclosure request is unconditionally rejected.
- the network administrator of company X transmits a disclosure request for specification information registered in the network management device NM using the terminal UTi, which is one of the user terminals UT1 to UTn.
- control unit 1B of the network management device NM detects reception of the disclosure request in step S50 under the control of the access control processing unit 15B.
- the access control processing unit 15B first obtains entity information corresponding to the entity name specified in the disclosure request from the entity information DB 32B in step S51.
- the access control processing unit 15B retrieves the entity information indicated by TPE_Ethernet 1 from the entity information DB 32B, as shown in (1) of FIG. get.
- step S52 the access control processing unit 15B reads the policy information associated with the differential specification information that is the generation source of the entity information requested to be disclosed from the specification/policy information DB 31B.
- TPE_Ethernet_CompanyA_spec is described as generation source difference specification information in the entity information TPE_Ethernet 1 that was requested to be disclosed. Therefore, as shown in (2) in FIG. 11, the access control processing unit 15B first searches for the differential specification information TPE_Ethernet_CompanyA_spec, and finds the information that is associated with the searched differential specification information TPE_Ethernet_CompanyA_spec. Policy information is acquired from the specification/policy information DB 31B.
- the access control processing unit 15B After acquiring the policy information, the access control processing unit 15B then determines in step S53 whether the content of the policy information is "inheritance control information" or "policy change information.” If the result of this determination is "inheritance control information", the access control processing unit 15B further determines in step S54 whether the "inheritance control information" is "inherited” or "not inherited”.
- the access control processing unit 15B determines that policy information is not set in the differential specification information TPE_Ethernet_CompanyA_spec corresponding to the entity information TPE_Ethernet 1 requested for disclosure. do. Based on the result of this determination, the access control processing unit 15B disallows disclosure of the entity information TPE_Ethernet 1 specified by the disclosure request. Then, instead, a disclosure prohibition message is generated in step S58, and the generated disclosure prohibition message is sent back from the communication I/F unit 4B to the requesting user terminal UTi.
- FIG. 12 is a diagram showing an example of access control when a policy is inherited and a disclosure request satisfies the disclosure conditions of the inherited policy. be.
- step S50 to step S54 is the same as in the case (3-1) described above, so the description thereof will be omitted.
- step S55 the access control processing unit 15B searches for the specification information TPE_Ethernet_Spec that is the inheritance source of the differential specification information TPE_Ethernet_CompanyB_Spec, and retrieves the policy information that is associated with the inheritance source specification information. As shown in (3) of FIG. 12, it is acquired from the specification/policy information DB 31B. Then, in step S56, the access control processing unit 15B determines whether the request contents of the disclosure request satisfy the disclosure conditions defined by the inherited policy information.
- the inherited policy information has a disclosure condition defined as "requester is equal to owner", whereas the requester stated in the disclosure request is "Company X”. ing. Therefore, as shown in (4) in FIG. 12, the access control processing unit 15B determines that the requesting company It is determined that the following is satisfied.
- the access control processing unit 15B transmits the entity information specified by the disclosure request from the communication I/F unit 4B to the requesting user terminal UTi in step S57.
- the entity information TPE_Ethernet 1 is disclosed.
- Figure 13 is a diagram showing an example of access control when the policy is continued but the disclosure request does not satisfy the disclosure information of the inherited policy. It is.
- step S50 to step S55 is the same as in the case (3-2) described above, so the description thereof will be omitted.
- step S55 the access control processing unit 15B acquires the inherited policy information from the specification/policy information DB 31B, as shown in (3) of FIG. It is determined whether the request content of the request satisfies the disclosure conditions defined by the inherited policy information.
- the requester listed in the disclosure request is "Company Y", and in the inherited policy information, "requester is equal to owner” is defined as a disclosure condition. . Therefore, the requesting company Y does not match the owner of the entity information to be requested, and the access control processing unit 15B determines that the request content of the disclosure request is not defined in the policy, as shown in (4) of FIG. It is determined that the disclosure conditions are not met.
- the access control processing unit 15B disallows the disclosure of the entity information TPE_Ethernet 1 specified by the disclosure request, instead generates a disclosure prohibition message in step S58, and sends this disclosure prohibition message to the communication I/O.
- the F unit 4B returns the request to the requesting user terminal UTi.
- step S50 the processing from step S50 to step S52 is the same as in the cases (3-1) and (3-2) described above, so a description thereof will be omitted.
- step S56 it is determined whether the request contents of the disclosure request sent from the user terminal UTi satisfy the changed disclosure conditions defined in the policy change information.
- the access control processing unit 15B transmits the entity information specified by the disclosure request from the communication I/F unit 4B to the requesting user terminal UTi in step S57.
- the entity information TPE_Ethernet 2 is disclosed.
- step S56 if the contents of the disclosure request do not satisfy the disclosure conditions of the changed policy information, the access control processing unit 15B moves to step S58. Then, in step S58, disclosure of the entity information TPE_Ethernet 2 is not permitted, and instead a disclosure prohibition message is generated, and this disclosure prohibition message is returned from the communication I/F section 4B to the requesting user terminal UTi.
- the network management device NM when externally defining specification information that defines the characteristics of network equipment similar to registered network equipment and policy information that defines the disclosure conditions, the above-mentioned Difference specification information representing the difference is defined using the specification information of the registered network equipment as the inheritance source, and information representing the presence or absence of inheritance is defined for the policy information, and these pieces of information are registered.
- the policy information associated with the differential specification information corresponding to the information to be disclosed is set to "Inherit" or "Do not inherit.” ”. If it is determined that the information will not be inherited, the disclosure of the information to be disclosed will be refused, and if it is determined that the information will be inherited, it will be determined whether the disclosure request satisfies the disclosure conditions based on the policy information of the inheritance source. is further determined, and if the disclosure conditions are met, the disclosure target information is transmitted to the disclosure request source.
- policy change information is defined in the policy information associated with the above differential specification information. It is determined whether the above disclosure request satisfies the disclosure conditions based on this policy change information. However, if the disclosure conditions are met, the information to be disclosed is sent to the requester.
- the policy information to be set is the same as the policy information associated with registered specification information, and this registered policy information If it is possible to inherit the policy information, inheritance control information indicating the presence or absence of inheritance is defined as second policy information. Therefore, when setting new policy information, you only need to define disclosure conditions when no inheritable policy information has already been registered. Compared to defining disclosure conditions for policy information, it is possible to reduce the amount of definition work for a network administrator when externally defining policy information. As a result, it is possible to reduce the work required for external definition processing of policy information.
- the policy information is inherited from the specification information of the inheritance source, so it is determined whether or not to disclose information. can be done without any problems.
- specification information, entity information, and policy information registration operations are performed from one operator terminal OT, but specification information registration operations, entity information registration operations, and policy information registration operations The registration operation may be performed from separate operator terminals.
- the specification/policy information DB 31B and the entity information DB 32B are provided in the network management device NM has been described as an example.
- the specification/policy information DB 31B and entity information DB 32B are provided in a database server etc. separate from the network management device NM, and the network management device NM is provided with the specification/policy information DB 31B and entity information DB 32B provided in the database server etc. It may also be possible to access and register specification information, entity information, and policy information.
- the specification information registration processing function, the entity information registration processing function, and the policy information registration function may be distributed and arranged in a plurality of information processing apparatuses.
- the present invention is not limited to the above-described embodiments as they are, but can be embodied by modifying the constituent elements at the implementation stage without departing from the spirit of the invention.
- various inventions can be formed by appropriately combining the plurality of components disclosed in the above embodiments. For example, some components may be deleted from all the components shown in the embodiments. Furthermore, components from different embodiments may be combined as appropriate.
- NM...Network management device OT...Operator terminal UT1-UTn...User terminal NW...Network 1A, 1B...Control unit 2A, 2B...Program storage unit 3A, 3B...Data storage unit 4A, 4B...Communication I/F unit 5A...
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
この発明の一態様は、登録済の第1のネットワーク設備に係る第1の仕様情報とその開示条件を表す第1の仕様情報が登録された状態で、第2のネットワーク設備に係る第2の仕様情報の開示条件を表す第2のポリシー情報を追加登録する際に、前記第2のポリシー情報として、前記第1のポリシー情報から前記第2のポリシー情報への開示条件の継承の有無を表す継承制御情報を登録する。そして、前記第2の仕様情報に対応付けて登録されたエンティティ情報に対する開示要求が入力された場合に、前記第2のポリシー情報が前記継承制御情報であるか否かを判定し、前記継承制御情報であると判定された場合には、前記継承制御情報に基づいて、前記開示要求が前記第2の開示条件を満たすか否かを判定する。
Description
この発明の一態様は、例えば複数のネットワークまたはそれを使用する装置を管理するために使用されるネットワーク管理装置、ネットワーク管理方法およびプログラムに関する。
種類の異なるネットワークやそれを使用する装置を管理する手法として、管理対象のネットワークまたは装置ごとにデータモデルを構築し管理する手法が提案されている。この種の手法では、ネットワークの種類ごとにデータモデルを構築する必要があるため、ネットワーク管理システムの開発およびその後の管理に多くの稼働が必要となる。
そこで、例えば、ネットワーク管理システムを構築または運用する際に、各種ネットワークまたはそれを使用する装置の特性を、所定の共通するモデル形式に従い複数の属性を用いて定義し、上記複数の属性により表される仕様情報とエンティティ情報をシステム内のデータベースに登録することで、ネットワークの管理を行う技術が提案されている(例えば特許文献1を参照)。
特許文献1に示される技術を適用すれば、ネットワーク管理に用いる情報をデータモデルとして個々のネットワークに合わせて作成および変更することなく、どのようなネットワークに対しても適用できるようになる。すなわち、管理対象のネットワークが複数種類あっても、ネットワークまたは装置の種類ごとにデータモデルを定義する必要がなくなり、これによりネットワーク管理システムの開発およびその後の管理に要する稼働を大幅に削減することができる。
一方、一般に共有データベースを用いて情報を管理する場合、例えば情報の種類や管理者の資格等によっては、情報を無条件で開示できない場合がある。これはネットワーク管理システムにおいても例外ではない。そこで、本発明者は、各ネットワークまたはその装置に係る仕様情報を作成する際に、上記仕様情報に対し開示条件を定義することを検討している。このようにすれば、各ネットワークまたはその装置、つまりネットワーク設備に係る仕様情報またはエンティティ情報の開示動作を適切に制御することが可能となる。
ところが、特許文献1に記載されたシステムでは、例えばシステムの運用開始後にネットワークまたはそれを使用する装置を新たな管理対象として追加する場合に、追加するネットワークまたはその装置の種類にかかわらず、仕様情報をすべて新しく作成しなければならない。すなわち、新たに追加するネットワークまたは装置の各々について、仕様情報を構成するすべての属性を漏れなく定義する必要がある。このため、仕様情報の作成作業に、依然として多くの稼働が必要となる。
また、特許文献1に記載されたシステムにおいて、ネットワークや装置等の仕様情報に対し開示条件を定義しようとする場合にも、新たな仕様情報を作成するごとに開示条件を定義しなければならず、その作業にも多くの稼働が必要となる。
この発明は上記事情に着目してなされたもので、追加登録されるネットワーク設備に係る各種管理情報のうち、少なくともポリシー情報を定義する際の作業量を減らして、ポリシー情報の定義作業に係る稼働の削減を可能にする技術を提供しようとするものである。
上記課題を解決するためにこの発明に係るネットワーク管理装置または方法の一態様は、登録済の第1のネットワーク設備に係る第1の仕様情報とその開示条件を表す第1の仕様情報が登録された状態で、第2のネットワーク設備に係る第2の仕様情報の開示条件を表す第2のポリシー情報を追加登録する際に、前記第2のポリシー情報として、前記第1のポリシー情報から前記第2のポリシー情報への開示条件の継承の有無を表す継承制御情報を登録する。そして、前記第2の仕様情報に対応付けて登録されたエンティティ情報に対する開示要求が入力された場合に、前記第2のポリシー情報が前記継承制御情報であるか否かを判定し、前記継承制御情報であると判定された場合には、前記継承制御情報に基づいて、前記開示要求が前記第2の開示条件を満たすか否かを判定するようにしたものである。
この発明の一態様によれば、新たに第2の仕様情報にする第2のポリシー情報を追加登録する際に、上記第2のポリシー情報が登録済の上記第1のポリシー情報と同一で、登録済の第1の仕様情報を第2のポリシー情報に継承可能な場合には、上記継承の有無を表す継承制御情報が第2のポリシー情報として定義される。このため、新たに第2のポリシー情報を定義する場合に、継承可能なポリシー情報が登録されていないときのみ開示条件の定義を行えばよいことになり、無条件にすべての第2のポリシー情報に対し開示条件を定義する場合に比べ、ポリシー情報を外部定義する際のネットワーク管理者の定義作業量を減らすことが可能となる。その結果、ポリシー情報の外部定義処理に掛かる稼働を削減することが可能となる。
すなわちこの発明の一態様によれば、追加登録されるネットワーク設備に係る各種管理情報のうち、少なくともポリシー情報を定義する際の作業量を減らして、ポリシー情報の定義作業に係る稼働の削減を可能にする技術を提供することができる。
以下、図面を参照してこの発明に係わる実施形態を説明する。
[一実施形態]
(構成例)
(1)システム
図1は、この発明の一実施形態に係るネットワーク管理システムの構成の一例を示す図である。
(構成例)
(1)システム
図1は、この発明の一実施形態に係るネットワーク管理システムの構成の一例を示す図である。
一実施形態のネットワーク管理システムは、その中核となる構成要素としてネットワーク管理装置NMを備え、このネットワーク管理装置NMと、ネットワーク管理者が使用するオペレータ端末OT、および他の管理者または利用者が使用する複数の利用者端末UT1~UTnとの間で、ネットワークNWを介して情報データの伝送を行えるようにしたものである。
ネットワークNWは、例えばインターネットを構成するIP(Internet Protocol)ネットワーク、LAN(Local Area Network)を構成するEthernet(登録商標)、およびその他の伝送ネットワーク等の複数種のネットワークを含むが、上記情報データの伝送が可能なものであればどのようなネットワークが使用されてもよい。
(2)装置
(2-1)オペレータ端末OT
図2および図3は、オペレータ端末OTのハードウェア構成およびソフトウェア構成の一例を示すブロック図である。
(2-1)オペレータ端末OT
図2および図3は、オペレータ端末OTのハードウェア構成およびソフトウェア構成の一例を示すブロック図である。
オペレータ端末OTは、中央処理ユニット(Central Processing Unit:CPU)等のハードウェアプロセッサを使用した制御部1Aを備える。そして、この制御部1Aに対し、プログラム記憶部2Aおよびデータ記憶部3Aを有する記憶ユニットと、通信インタフェース(以後インタフェースをI/Fと称する)部4A、および入出力I/F部5Aを、バス6Aを介して接続したものとなっている。
入出力I/F部5Aには、入力デバイス51および出力デバイス52が接続される。入力デバイス51は、例えばキーボードやマウス、操作ボタンを備える。入力デバイス51は、ネットワーク管理者が、管理対象のネットワークまたはこのネットワークで使用する装置(以後まとめてネットワーク設備とも称する)に関する仕様情報、エンティティ情報およびポリシー情報を入力するために使用される。
仕様情報は、ネットワーク設備の特性を定義する複数の属性情報を、上記仕様情報の名前などの識別情報と関連付けたものとして表される。エンティティ情報は、例えば上記ネットワーク設備について実際に使用可能なリソースを上記仕様情報の複数の属性と対応付けて定義し、この複数の属性情報をエンティティ情報の名前などの識別情報と関連付けたものとして表される。ポリシー情報は、例えば上記仕様情報を構成する複数の属性情報の全体または各々或いは組合せに対し、その開示条件を定義するものである。なお、ポリシー情報をアクセス制御ポリシーとも言う。
出力デバイス52は、例えばディスプレイを備え、上記仕様情報およびエンティティ情報の入力処理に必要な表示データを表示する。
通信I/F部4Aは、制御部1Aの制御の下、ネットワークNWにより定義される通信プロトコルを使用して、ネットワーク管理装置NMとの間で情報データの伝送を行う。
プログラム記憶部2Aは、例えば、記憶媒体としてSSD(Solid State Drive)等の随時書込みおよび読出しが可能な不揮発性メモリと、ROM(Read Only Memory)等の不揮発性メモリとを組み合わせて構成したもので、OS(Operating System)等のミドルウェアに加えて、一実施形態のネットワーク管理に必要な上記各情報の入力およびその登録要求を送信するために必要なアプリケーション・プログラムを格納する。なお、以後OSと各アプリケーション・プログラムとをまとめてプログラムと称する。
データ記憶部3Aは、例えば、記憶媒体として、SSD等の随時書込みおよび読出しが可能な不揮発性メモリと、RAM(Random Access Memory)等の揮発性メモリと組み合わせたもので、その記憶領域に、この発明の一実施形態を実施するために必要な主たる記憶部として、仕様・ポリシー情報記憶部31Aと、エンティティ情報記憶部32Aとを備える。
仕様・ポリシー情報記憶部31Aは、入力された上記仕様情報およびポリシー情報を、その登録要求の送信が終了するまで保存する。エンティティ情報記憶部32Aは、入力された上記エンティティ情報を、その登録要求の送信が終了するまで保存する。
制御部1Aは、この発明の一実施形態を実施するために必要な処理機能として、仕様情報入力受付処理部11Aと、ポリシー情報入力受付処理部12Aと、エンティティ情報入力受付処理部13Aと、仕様・ポリシー登録要求送信処理部14Aと、エンティティ登録要求送信処理部15Aとを備える。これらの処理部11A~15Aは、何れもプログラム記憶部2Aに格納されたアプリケーション・プログラムを制御部1Aのハードウェアプロセッサに実行させることにより実現される。
なお、上記アプリケーション・プログラムは、プログラム記憶部2Aに事前に格納しておく以外に、必要時にネットワーク管理装置NMまたはその他のアプリケーション・サーバ等からダウンロードしてプログラム記憶部2Aに記憶されるようにしてもよい。
仕様情報入力受付処理部11Aは、入力デバイス51においてネットワーク管理者が入力した仕様情報を入出力I/F部5Aを介して受け取り、受け取った上記仕様情報を仕様・ポリシー情報記憶部31Aに保存する。
仕様情報には、新規ネットワークまたはその装置を登録する際に入力されるすべての属性情報を含む仕様情報と、登録済のネットワークまたは装置と属性情報の一部が共通する類似ネットワークまたは装置を追加登録する際に入力される差分仕様情報とがあるが、その一例については動作例において述べる。
ポリシー情報入力受付処理部12Aは、入力デバイス51においてネットワーク管理者が入力した、上記仕様情報の開示条件を定義するポリシー情報を、入出力I/F部5Aを介して受け取る。そして、受け取った上記ポリシー情報を対応する上記仕様情報に対応付けた状態で上記仕様・ポリシー情報記憶部31Aに保存する。
エンティティ情報入力受付処理部13Aは、入力デバイス51においてネットワーク管理者が入力した、ネットワーク設備において実際に使用するリソースを定義した複数の属性情報を含むエンティティ情報を入出力I/F部5Aを介して受け取り、受け取ったエンティティ情報をエンティティ情報記憶部32Aに保存する。
仕様・ポリシー登録要求送信処理部14Aは、送信指示の入力に応じて、仕様情報およびポリシー情報を上記仕様・ポリシー情報記憶部31Aから読み出し、読み出した上記仕様情報およびポリシー情報を含む仕様・ポリシー登録要求を生成して、生成した仕様・ポリシー登録要求を通信I/F部4Aからネットワーク管理装置NMへ送信する。
エンティティ登録要求送信処理部15Aは、送信指示の入力に応じて、上記エンティティ情報を上記エンティティ情報記憶部32Aから読み出し、読み出した上記エンティティ情報の登録要求を生成して、生成したエンティティ登録要求を通信I/F部4Aからネットワーク管理装置NMへ送信する。
なお、上記仕様情報、ポリシー情報およびエンティティ情報の一例については、動作例において述べる。
(2-2)ネットワーク管理装置NM
図4および図5は、ネットワーク管理装置NMのハードウェア構成およびソフトウェア構成の一例を示すブロック図である。
図4および図5は、ネットワーク管理装置NMのハードウェア構成およびソフトウェア構成の一例を示すブロック図である。
ネットワーク管理装置NMは、例えば、ウェブ上またはクラウド上に設置されるサーバコンピュータからなる。なお、ネットワーク管理装置NMは、管理者が使用するパーソナルコンピュータ等であってもよい。
ネットワーク管理装置NMは、CPU等のハードウェアプロセッサを使用した制御部1Bを備え、この制御部1Bに対し、プログラム記憶部2Bおよびデータ記憶部3Bを有する記憶ユニットと、通信I/F部4Bとを、バス5Bを介して接続したものとなっている。
通信I/F部4Bは、制御部1Bの制御の下、ネットワークNWにより定義される通信プロトコルを使用して、オペレータ端末OTおよび利用者端末UT1~UTnとの間でそれぞれ情報データの送受信を行う。
プログラム記憶部2Bは、例えば、記憶媒体としてHDDまたはSSD等の随時書込みおよび読出しが可能な不揮発性メモリと、ROM等の不揮発性メモリとを組み合わせて構成したもので、OS等のミドルウェアに加えて、この発明の一実施形態に係る各種制御処理を実行するために必要なプログラムを格納する。
データ記憶部3Bは、例えば、記憶媒体としてHDDまたはSSD等の随時書込みおよび読出しが可能な不揮発性メモリとRAM等の揮発性メモリと組み合わせたもので、その記憶領域に、この発明の一実施形態を実施するために必要な記憶部として、仕様・ポリシー情報データベース(以後データベースをDBと称する)31Bと、エンティティ情報DB32Bとを備えている。
仕様情報DB31Bは、上記オペレータ端末OTから仕様登録要求により送られる、管理対象のネットワーク設備の特性を定義する仕様情報を記憶する。エンティティ情報DB32Bは、上記オペレータ端末OTからエンティティ登録要求により送られる、ネットワーク設備の実際のリソースを定義するエンティティ情報を記憶する。
制御部1Bは、この発明の一実施形態に係る処理機能として、仕様・ポリシー登録要求受信処理部11Bと、仕様・ポリシー情報登録処理部12Bと、エンティティ登録要求受信処理部13Bと、エンティティ情報登録処理部14Bとを備え、さらにアクセス制御処理部15Bを備えている。これらの処理部11B~15Bは、何れもプログラム記憶部2Bに格納されたアプリケーション・プログラムを制御部1Bのハードウェアプロセッサに実行させることにより実現される。
なお、上記処理部11B~15Bの一部または全部は、LSI(Large Scale Integration)やASIC(Application Specific Integrated Circuit)等のハードウェアを用いて実現されてもよい。
仕様・ポリシー登録要求受信処理部11Bは、上記オペレータ端末OTから送信された仕様・ポリシー登録要求を通信I/F部4Bを介して受信し、受信した上記仕様・ポリシー登録要求を仕様・ポリシー情報登録処理部12Bに渡す。
仕様・ポリシー情報登録処理部12Bは、上記仕様・ポリシー登録要求受信処理部11Bから渡された上記仕様・ポリシー登録要求に含まれる仕様情報およびポリシー情報を、相互に対応付けた状態で仕様・ポリシー情報DB31Bに登録する。
エンティティ登録要求受信処理部13Bは、上記オペレータ端末OTから送信されたエンティティ登録要求を通信I/F部4Bを介して受信し、受信した上記エンティティ登録要求をエンティティ情報登録処理部14Bに渡す。
エンティティ情報登録処理部14Bは、受信された上記エンティティ登録要求により表されるエンティティ情報について、登録条件を満たしているか否かを判定し、登録条件を満たしている場合に当該エンティティ情報をエンティティ情報DB32Bに登録する。
上記エンティティ情報が登録条件を満たしているか否かの判定では、仕様・ポリシー情報DB31Bに登録された対応する差分仕様情報と、その継承元となるネットワークまたは装置の仕様情報とをもとに、すべての属性情報を含む完全な仕様情報を生成し、生成した上記完全な仕様情報に基づいて上記エンティティ情報が登録条件を満たしているか否かを判定する処理が行われるが、その一例は動作例において述べる。
アクセス制御処理部15Bは、利用者端末UT1~UTnから、例えば所望のネットワークまたは装置に対し定義されたエンティティ情報の開示要求が送信された場合に、この開示要求を通信I/F部4Bを介して受信する。そして、アクセス制御処理部15Bは、受信した上記開示要求により指定されるエンティティ情報について、対応する仕様情報に紐付けられているポリシー情報をもとに開示条件を満たすか否かを判定し、開示条件を満たしている場合に、上記エンティティ情報を通信I/F部4Bから要求元の利用者端末UT1~UTnへ送信する処理を行う。このアクセス制御処理の一例は動作例において述べる。
(動作例)
次に、以上のように構成されたネットワーク管理システムの動作例を説明する。
この例では、ネットワーク管理装置NMの仕様・ポリシー情報DB31Bに、例えばEthernetを使用するネットワークの通信終端点(Termination Point Encapsulation:TPE)に関する仕様情報と、この仕様情報の開示条件を表すポリシー情報が既に登録されているものとして説明を行う。
次に、以上のように構成されたネットワーク管理システムの動作例を説明する。
この例では、ネットワーク管理装置NMの仕様・ポリシー情報DB31Bに、例えばEthernetを使用するネットワークの通信終端点(Termination Point Encapsulation:TPE)に関する仕様情報と、この仕様情報の開示条件を表すポリシー情報が既に登録されているものとして説明を行う。
(1)仕様情報およびポリシー情報の登録
(1-1)オペレータ端末OTによる仕様情報およびポリシー情報の入力受付と送信
図6は、オペレータ端末OTの制御部1Aが実行する仕様情報、ポリシー情報およびエンティティ情報の入力受付処理とその登録要求送信処理の処理手順と処理内容の一例を示すフローチャートである。
(1-1)オペレータ端末OTによる仕様情報およびポリシー情報の入力受付と送信
図6は、オペレータ端末OTの制御部1Aが実行する仕様情報、ポリシー情報およびエンティティ情報の入力受付処理とその登録要求送信処理の処理手順と処理内容の一例を示すフローチャートである。
オペレータ端末OTの制御部1Aは、待受状態において、ステップS10,S20によりそれぞれ仕様・ポリシー情報入力モードおよびエンティティ情報入力モードのいずれが設定されたかを判定する。
上記仕様・ポリシー情報入力モードが設定された状態で、例えば他のベンダが提供するネットワーク設備に関する仕様情報を追加登録しようとする場合、ネットワーク管理者は先ず上記登録対象となる他のベンダのネットワーク設備が、登録済の上記ネットワーク設備と特性の一部が類似するかどうかを判断する。そして、特性が類似する場合、ネットワーク管理者は、上記登録対象のネットワーク設備の仕様情報のうち、上記登録済のネットワーク設備の仕様情報との差分、つまり仕様情報に含まれる複数の属性情報のうち属性の名称または取り得る範囲が異なる特有の属性情報を生成する。
また、それと共にネットワーク管理者は、上記登録済のネットワーク設備の仕様情報の複数の属性情報のうち、属性の名称と属性の取り得る値が共通する属性情報を上記登録対象のネットワーク設備の仕様情報に継承させるため、上記登録済のネットワーク設備の仕様情報と上記登録対象のネットワーク設備の仕様情報との継承関係を表す継承関係情報を生成する。
そして、ネットワーク管理者は、生成した上記登録対象のネットワーク設備特有の属性情報および上記継承関係情報を、入力デバイス51からオペレータ端末OTに入力する。
なお、上記特有の属性情報および継承関係情報を定義する処理は、例えばネットワーク管理者が独自に管理しているデータベース、またはネットワーク管理装置NMの仕様・ポリシー情報DB31Bから登録済のネットワーク設備に関する仕様情報を取得し、取得した仕様情報を参照することにより行われる。また、上記継承関係情報は、登録対象のネットワーク設備特有の属性情報を定義する際に、ネットワーク管理者が選択した第1および第2のネットワーク設備に関する情報をもとに、オペレータ端末OTにより自動生成されるようにしてもよい。
オペレータ端末OTの制御部1Aは、上記入力デバイス51において入力された上記登録対象のネットワーク設備特有の属性情報および継承関係情報を、仕様情報入力受付処理部11Aの制御の下、それぞれステップS11,S12により取り込む。そして、取り込んだ上記登録対象のネットワーク設備特有の属性情報および継承関係情報を、継承元の仕様情報に対する差分を表す差分仕様情報として仕様・ポリシー情報記憶部31Aに一旦保存する。
上記差分仕様情報の入力が終了するとネットワーク管理者は、次に、上記差分仕様情報に対しポリシー情報を定義する。そして、このポリシー情報を入力デバイス51からネットワーク管理装置NMに入力する。
ポリシー情報は、通常であれば、ポリシーの適用先を表す仕様情報名と、開示条件と、処理の内容を表すアクションとを含むように定義される。但し、この発明の一実施形態では、ポリシー情報として、継承制御情報またはポリシーの変更情報が定義される。このうち継承制御情報は、継承元の仕様情報に対応付けられているポリシー情報の差分仕様情報への継承を許可するか否かを指定する情報である。これに対しポリシー変更情報は、継承元の仕様情報に対応付けられているポリシー情報を変更するもので、変更後のポリシー情報の内容を含んでいる。
上記ポリシー情報が入力されると、オペレータ端末OTの制御部1Aは、ポリシー情報入力受付処理部12Aの制御の下、ステップS13において、入力デバイス51により上記ポリシー情報を入出力I/F部5Aを介して取り込む。そして、取り込んだ上記ポリシー情報を、先に取得した上記差分仕様情報と対応付けて仕様・ポリシー情報記憶部31Aに一旦保存する。
次に、オペレータ端末OTの制御部1Aは、ネットワーク管理者の送信指示の入力操作をステップS14で検出すると、仕様・ポリシー登録要求送信処理部14Aの制御の下、ステップS15において、上記仕様・ポリシー情報記憶部31Aから上記差分仕様情報およびポリシー情報を読み込み、読み込んだ上記各情報を含む仕様・ポリシー登録要求を通信I/F部4Aからネットワーク管理装置NMへ送信する。
なお、オペレータ端末OTの制御部1Aは、追加対象のネットワーク設備の1台について仕様情報およびポリシー情報の入力受付および送信処理が終了すると、ステップS16において登録対象として次のネットワーク設備があるか否かを判定し、あればステップS11に戻って、ステップS11~S16による上記した一連の仕様情報の入力受付と送信処理を実行する。そして、上記仕様・ポリシー情報の登録終了指示が入力されると、待受状態に戻る。
(1-2)ネットワーク管理装置NMによる仕様情報およびポリシー情報の登録
図7は、ネットワーク管理装置NMの制御部1Bが実行する仕様情報、ポリシー情報およびエンティティ情報の登録処理の処理手順と処理内容の一例を示すフローチャートである。
図7は、ネットワーク管理装置NMの制御部1Bが実行する仕様情報、ポリシー情報およびエンティティ情報の登録処理の処理手順と処理内容の一例を示すフローチャートである。
ネットワーク管理装置NMの制御部1Bは、待受状態において、ステップS30,S40によりそれぞれ仕様・ポリシー登録要求およびエンティティ登録要求の受信を監視している。
この状態で、オペレータ端末OTから仕様・ポリシー登録要求が送信され、この仕様・ポリシー登録要求が通信I/F部4Bにより受信されると、仕様・ポリシー登録要求受信処理部11BはステップS30において上記仕様・ポリシー登録要求を取り込み、取り込んだ上記仕様登録要求を仕様・ポリシー情報登録処理部12Bに渡す。
仕様・ポリシー情報登録処理部12Bは、ステップS31において、上記仕様・ポリシー登録要求に含まれる差分仕様情報およびポリシー情報を、登録対象の仕様情報の名前を表す識別情報と対応付けて、仕様・ポリシー情報DB31Bに登録する。
図10は、上記差分仕様情報およびポリシー情報の登録結果の一例を示す図である。
この例では、仕様・ポリシー情報DB31Bに、仕様情報を表すTPE_Ethernet_Specおよびその開示条件を定義するポリシー情報が既に登録され、この状態でベンダA社、B社およびC社がそれぞれ提供するネットワーク設備の仕様情報を表すTPE_Ethernet_A社_Spec、TPE_Ethernet_B社_SpecおよびTPE_Ethernet_C社_Specの差分仕様情報およびそのポリシー情報が追加登録された場合を示している。
この例では、仕様・ポリシー情報DB31Bに、仕様情報を表すTPE_Ethernet_Specおよびその開示条件を定義するポリシー情報が既に登録され、この状態でベンダA社、B社およびC社がそれぞれ提供するネットワーク設備の仕様情報を表すTPE_Ethernet_A社_Spec、TPE_Ethernet_B社_SpecおよびTPE_Ethernet_C社_Specの差分仕様情報およびそのポリシー情報が追加登録された場合を示している。
この例では、登録済の仕様情報TPE_Ethernet_Specは4つの属性情報を含んでいる。各属性情報は、属性の名称を表すResource Spec Characteristic(RSC)と、属性が取り得る範囲を表すResource Spec Characteristic Value(RSCV)とのペアで表される。
そして仕様情報は、例えば
TPE_Ethernet_Spec
・RSC:vlan/RSCV:1-4096
・RSC:帯域/RSCV:1-1000Mbps
・RSC:physicalpor/RSCV:ppの名前
・RSC:owner/RSCV:所有者名
のように定義される。
TPE_Ethernet_Spec
・RSC:vlan/RSCV:1-4096
・RSC:帯域/RSCV:1-1000Mbps
・RSC:physicalpor/RSCV:ppの名前
・RSC:owner/RSCV:所有者名
のように定義される。
また、上記登録済の仕様情報に対応付けられるポリシー情報は、属性として、適用先、開示の条件およびアクションが定義される。これらの属性は、例えば
適用先:TPE_ Ethernet_Spec
条件:「要求者がownerと等しい」
アクション:「開示可能」
のように記載される。
適用先:TPE_ Ethernet_Spec
条件:「要求者がownerと等しい」
アクション:「開示可能」
のように記載される。
一方、追加登録されたA社、B社およびC社の各ネットワーク設備の差分仕様情報は、いずれも特有の属性情報のみを含んでいる。そして、例えば
TPE_Ethernet_A社_Spec
・RSC:vlan/RSCV:1-1000
TPE_Ethernet_B社_Spec
・RSC:帯域/RSCV:1-500Mbps
TPE_Ethernet_C社_Spec
・RSC:帯域/RSCV:1-500Mbps
のように定義される。
TPE_Ethernet_A社_Spec
・RSC:vlan/RSCV:1-1000
TPE_Ethernet_B社_Spec
・RSC:帯域/RSCV:1-500Mbps
TPE_Ethernet_C社_Spec
・RSC:帯域/RSCV:1-500Mbps
のように定義される。
また、上記各社の差分仕様情報には継承関係情報が含まれている。この継承関係を表す情報について、図10では、簡単のため、継承関係を線と矢印とにより表した例を示している。しかし、実際には例えば
・TPE_ Ethernet_Spec→TPE_Ethernet_A社_Spec
・TPE_ Ethernet_Spec→TPE_Ethernet_B社_Spec
・TPE_ Ethernet_Spec→TPE_Ethernet_C社_Spec
のように定義される。なお、継承関係情報は、その他の記号またはテキストデータを用いて表されてもよく、その記載方法は制御部1Bが認識可能なものであればとのようなものであってもよい。
・TPE_ Ethernet_Spec→TPE_Ethernet_A社_Spec
・TPE_ Ethernet_Spec→TPE_Ethernet_B社_Spec
・TPE_ Ethernet_Spec→TPE_Ethernet_C社_Spec
のように定義される。なお、継承関係情報は、その他の記号またはテキストデータを用いて表されてもよく、その記載方法は制御部1Bが認識可能なものであればとのようなものであってもよい。
さらに、上記各差分仕様情報のうち、A社およびB社の差分仕様情報に対しては、それぞれ継承制御情報として「ポリシー継承しない」、「ポリシー継承する」が定義され、またC社の差分仕様情報に対しては、仕様の変更内容を表す情報として、
適用先:TPE_Ethernet_C社_Spec
条件:「要求者が誰でも」
アクション:「開示可能」
が定義されている。
適用先:TPE_Ethernet_C社_Spec
条件:「要求者が誰でも」
アクション:「開示可能」
が定義されている。
なお、ポリシー情報で定義される開示条件は、他にvlan、帯域、波長数、装置のIPアドレス等を定義する属性に対する開示の可否を設定するものであってもよく、さらには仕様情報を構成するすべての属性に対し開示の可否を設定するものであってもよい。また、開示条件として、複数の属性に対し、例えばアンド条件またはオア条件を単独または組み合わせることで開示の可否を設定するものであってもよい。
(2)エンティティ情報の登録
(2-1)オペレータ端末OTによるエンティティ情報の入力受付と送信
エンティティ情報入力モードが設定した状態で、ネットワーク管理者は、続いて上記追加対象のネットワーク設備について実際に使用するリソースを表すエンティティ情報を定義し、定義したエンティティ情報を入力デバイス51において入力する。
(2-1)オペレータ端末OTによるエンティティ情報の入力受付と送信
エンティティ情報入力モードが設定した状態で、ネットワーク管理者は、続いて上記追加対象のネットワーク設備について実際に使用するリソースを表すエンティティ情報を定義し、定義したエンティティ情報を入力デバイス51において入力する。
オペレータ端末OTの制御部1Aは、上記入力デバイス51において入力されたエンティティ情報を、エンティティ情報入力受付処理部13Aの制御の下、ステップS21により取り込んで、エンティティ情報記憶部32Aに一旦保存する。
次に、オペレータ端末OTの制御部1Aは、ネットワーク管理者の送信指示の入力操作をステップS22で検出すると、エンティティ登録要求送信処理部15Aの制御の下、ステップS23において、上記エンティティ情報をエンティティ情報記憶部32Aから読み出し、読み出した上記エンティティ情報の登録要求を通信I/F部4Aからネットワーク管理装置NMに向け送信する。
なお、オペレータ端末OTの制御部1Aは、追加したネットワーク設備の1つについてのエンティティ情報の入力受付および送信処理が終了すると、ステップS16において登録対象のエンティティ情報が他にあるか否かを判定し、あればステップS11に戻って、ステップS11~S16による上記した一連のエンティティ情報の入力受付と送信処理を実行する。そして、上記エンティティ情報の登録終了指示が入力されると、待受状態に戻る。
(2-2)ネットワーク管理装置NMによるエンティティ情報の登録
オペレータ端末OTからエンティティ登録要求が送信され、このエンティティ登録要求が通信I/F部4Bにより受信されると、エンティティ登録要求受信処理部13BはステップS40において上記エンティティ登録要求を取り込み、取り込んだ上記エンティティ登録要求をエンティティ情報登録処理部14Bに渡す。
オペレータ端末OTからエンティティ登録要求が送信され、このエンティティ登録要求が通信I/F部4Bにより受信されると、エンティティ登録要求受信処理部13BはステップS40において上記エンティティ登録要求を取り込み、取り込んだ上記エンティティ登録要求をエンティティ情報登録処理部14Bに渡す。
エンティティ情報登録処理部14Bは、上記エンティティ登録要求を受け取ると、ステップS41において、エンティティ情報を登録するための一連の処理を以下のように実行する。
図8は、上記エンティティ情報登録処理部14Bが実行するエンティティ情報登録処理の処理手順と処理内容の一例を示すフローチャートである。
すなわち、エンティティ情報登録処理部14Bは、先ずステップS411により、上記エンティティ登録要求により指定されるネットワーク設備の差分仕様情報を仕様・ポリシー情報DB31Bから読み込む。エンティティ情報登録処理部14Bは、次にステップS412において、読み込んだ上記差分仕様情報に含まれる継承関係情報をもとに、仕様・ポリシー情報DB31Bから継承元となるネットワーク設備に関する仕様情報を読み込む。
エンティティ情報登録処理部14Bは、続いてステップS413において、読み込んだ上記継承元となるネットワーク設備の仕様情報に含まれる属性情報と、上記差分仕様情報に含まれる特有の属性情報とを合成し、これによりネットワーク設備の特性を定義するために必要なすべての属性情報を含んだ完全な仕様情報を生成する。
エンティティ情報登録処理部14Bは、次にステップS414において、上記エンティティ登録要求に含まれるエンティティ情報により定義される属性情報を、上記生成した完全な仕様情報に含まれる属性情報と比較する。そして、ステップS415において、上記エンティティ登録要求により要求された属性の取り得る値が、上記登録先のネットワーク設備の完全な仕様情報に含まれる各属性情報のうち、名前が一致する属性が取り得る範囲に含まれるか否かを判定する。すなわち、エンティティ登録要求の内容が、登録先のネットワーク設備の仕様情報の属性により定義される登録条件を満たしているか否かを判定する。
この判定の結果、エンティティ登録要求の内容が登録条件を満たしていれば、エンティティ情報登録処理部14BはステップS416に移行し、上記エンティティ登録要求に含まれるエンティティ情報をエンティティ情報DB32Bに登録する。そして、最後にステップS417により、登録完了メッセージを要求元のオペレータ端末OTへ通信I/F部4Bから送信する。
なお、エンティティ情報は、上記仕様情報に対応する複数の属性情報を含む。各属性情報は、いずれも属性の名称を表すRSC と、属性に対する値を表すResource Characteristic Value(RCV)とのペアにより表される。その一例はアクセス制御において示す。
なお、仕様・ポリシー登録要求が受信されたときに、当該仕様・ポリシー登録要求に含まれる継承関係情報をもとに継承元の仕様情報を仕様・ポリシー情報DB31Bから読み出し、この継承元の仕様情報と上記仕様・ポリシー登録要求に含まれる差分仕様情報をもとに完全な仕様情報を生成して仕様・ポリシー情報DB31Bに登録しておくことも可能である。この場合、エンティティ情報登録処理部14Bは、エンティティ情報の登録可否を判定する際に、上記完全な仕様情報の生成処理を行う必要がなく、仕様・ポリシー情報DB31Bから上記完全な仕様情報を取得してエンティティ情報の登録の可否を判定することができる。
(3)登録された仕様情報に対するアクセス制御
図9は、ネットワーク管理装置NMの制御部1Bが実行するアクセス制御の処理手順と処理内容の一例を示すフローチャートである。
図9は、ネットワーク管理装置NMの制御部1Bが実行するアクセス制御の処理手順と処理内容の一例を示すフローチャートである。
(3-1)ポリシーが継承されない場合
図11は、ポリシーが継承されず、開示要求が無条件で拒否される場合のアクセス制御の一例を示す図である。
図11は、ポリシーが継承されず、開示要求が無条件で拒否される場合のアクセス制御の一例を示す図である。
ネットワーク管理装置NMに登録済の仕様情報に対し、例えばX社のネットワーク管理者が、利用者端末UT1~UTnの1つである端末UTiを用いて開示要求を送信したとする。
これに対し、ネットワーク管理装置NMの制御部1Bは、アクセス制御処理部15Bの制御の下、ステップS50により上記開示要求の受信を検出する。上記開示要求が受信されるとアクセス制御処理部15Bは、先ずステップS51において、開示要求で指定されるエンティティ名に対応するエンティティ情報をエンティティ情報DB32Bから取得する。
図11に示す例では、開示要求でTPE_Ethernet 1が指定されているため、アクセス制御処理部15Bは、図11の(1) に示すように、エンティティ情報DB32Bから上記TPE_Ethernet 1で示されるエンティティ情報を取得する。
続いて、アクセス制御処理部15Bは、ステップS52において、開示を要求された上記エンティティ情報の生成元となる差分仕様情報に対応付けられているポリシー情報を、仕様・ポリシー情報DB31Bから読み込む。
図11に示す例では、開示を要求された上記エンティティ情報TPE_Ethernet 1に、生成元の差分仕様情報としてTPE_Ethernet_A社_specが記載されている。このため、アクセス制御処理部15Bは、図11中の(2) に示すように、先ず差分仕様情報TPE_Ethernet_A社_specを検索し、検索した上記差分仕様情報TPE_Ethernet_A社_specに対応付けられているポリシー情報を仕様・ポリシー情報DB31Bから取得する。
上記ポリシー情報を取得するとアクセス制御処理部15Bは、次にステップS53において、上記ポリシー情報の内容は「継承制御情報」であるか、または「ポリシー変更情報」であるかを判定する。この判定の結果、「継承制御情報」であれば、アクセス制御処理部15BはさらにステップS54において、上記「継承制御情報」は「継承する」であるか「継承しない」であるかを判定する。
図11に示す例では、「継承制御情報」は「継承しない」となっている。このため、アクセス制御処理部15Bは、図11の(3) に示すように、上記開示要求されたエンティティ情報TPE_Ethernet 1に対応する差分仕様情報TPE_Ethernet_A社_specにはポリシー情報が設定されていない判定する。そして、この判定の結果に基づいて、アクセス制御処理部15Bは、上記開示要求により指定されたエンティティ情報TPE_Ethernet 1の開示を不許可とする。そして、代わりにステップS58において開示不可メッセージを生成し、生成した上記開示不可メッセージを通信I/F部4Bから要求元の利用者端末UTiへ返送する。
(3-2)継承されたポリシーの開示条件を開示要求が満たす場合
図12は、ポリシーが継承され、かつ継承されたポリシーの開示条件を開示要求が満たす場合のアクセス制御の一例を示す図である。
図12は、ポリシーが継承され、かつ継承されたポリシーの開示条件を開示要求が満たす場合のアクセス制御の一例を示す図である。
なお、図9においてステップS50からステップS54までの処理は、先に述べた(3-1)の場合と同一であるため、その説明は省略する。
図12の(2) に示すように、開示要求されたエンティティ情報TPE_Ethernet_1に対応する差分仕様情報TPE_Ethernet_B社_Specに対応付けられたポリシー情報に、「継承する」が記載されていたとする。この場合、アクセス制御処理部15Bは、ステップS55において、上記差分仕様情報TPE_Ethernet_B社_Specの継承元となる仕様情報TPE_Ethernet_Specを検索し、この継承元の仕様情報に対応付けられているポリシー情報を、図12の(3) に示すように仕様・ポリシー情報DB31Bから取得する。そして、アクセス制御処理部15Bは、ステップS56において、上記開示要求の要求内容が、上記継承されたポリシー情報で定義される開示条件を満たしているか否かを判定する。
図12に示す例では、継承された上記ポリシー情報に、開示条件として「要求者がownerと等しい」と定義されており、これに対し開示要求に記載された要求者は「X社」となっている。このため、アクセス制御処理部15Bは、図12の(4) に示すように、要求者X社は要求対象となるエンティティ情報の所有者と一致することから、上記開示要求の要求内容は開示条件を満たすと判定する。
アクセス制御処理部15Bは、上記判定結果に基づいて、ステップS57において上記開示要求により指定されたエンティティ情報を、通信I/F部4Bから要求元の上記利用者端末UTiへ送信する。かくして、図12の(5) に示すように、エンティティ情報TPE_Ethernet 1が開示される。
(3-3)継承されたポリシーの開示条件を満たさない場合
図13は、ポリシーは継続されたものの、開示要求が継承された上記ポリシーの開示情報を満たさない場合のアクセス制御の一例を示す図である。
図13は、ポリシーは継続されたものの、開示要求が継承された上記ポリシーの開示情報を満たさない場合のアクセス制御の一例を示す図である。
なお、図9においてステップS50からステップS55までの処理は、先に述べた(3-2)の場合と同一であるため、その説明は省略する。
アクセス制御処理部15Bは、ステップS55において、図13の(3) に示すように、継承されたポリシー情報を仕様・ポリシー情報DB31Bから取得すると、ステップS56において、利用者端末UTiから送られた開示要求の要求内容が、上記継承されたポリシー情報で定義される開示条件を満たしているか否かを判定する。
図13に示す例では、開示要求に記載された要求者が「Y社」であり、これに対し継承された上記ポリシー情報には開示条件として「要求者がownerと等しい」が定義されている。このため、要求者Y社は要求対象となるエンティティ情報のownerと一致せず、アクセス制御処理部15Bは、図13の(4) に示すように、上記開示要求の要求内容はポリシーに定義される開示条件を満たさないと判定する。
この判定の結果アクセス制御処理部15Bは、上記開示要求により指定されたエンティティ情報TPE_Ethernet 1の開示を不許可とし、代わりにステップS58において開示不可メッセージを生成して、この開示不可メッセージを通信I/F部4Bから要求元の利用者端末UTiへ返送する。
(3-4)変更されたポリシーの開示条件を開示要求が満たす場合
図14は、ポリシーが変更され、その結果変更後のポリシーの開示条件を開示要求が満たすようになった場合のアクセス制御の一例を示す図である。
図14は、ポリシーが変更され、その結果変更後のポリシーの開示条件を開示要求が満たすようになった場合のアクセス制御の一例を示す図である。
なお、図9においてステップS50からステップS52までの処理は、先に述べた(3-1)、(3-2)の場合と同一であるため、その説明は省略する。
アクセス制御処理部15Bは、開示を要求されたエンティティ情報に対応する差分仕様情報に対応付けられているポリシー情報の内容が「ポリシー変更情報」だったとすると、ステップS56に移行する。そして、ステップS56において、利用者端末UTiから送られた開示要求の要求内容が、上記ポリシー変更情報に定義されている変更後の開示条件を満たすか否かを判定する。
図14に示す例では、ポリシー情報の登録時に、差分仕様情報のTPE_Ethernet_C社_Specに対し、継承元の仕様情報のTPE_Ethernet_Specに対応付けられているポリシー情報とは異なるポリシー情報が定義されている場合、つまり継承元の仕様情報のポリシー情報を継承せずにポリシー情報を定義し直した場合を示している。
この状態で、要求者Y社がエンティティ情報TPE_Ethernet 2の開示を要求すると、このエンティティ情報TPE_Ethernet 2に定義されているownerは「X社」となっており、この要求者「X社」は上記エンティティ情報TPE_Ethernet 2に対応する差分仕様情報の変更後のポリシー情報に定義された開示条件とアクション、つまり「要求者が誰でも開示可能」の条件を満たす。
この結果、アクセス制御処理部15Bは、上記判定結果に基づいて、ステップS57において上記開示要求により指定されたエンティティ情報を、通信I/F部4Bから要求元の上記利用者端末UTiへ送信する。かくして、図12の(5) に示すように、エンティティ情報TPE_Ethernet 2が開示される。
なお、上記ステップS56による開示条件の判定において、開示要求の内容が上記変更後のポリシー情報の開示条件を満たさなかった場合、アクセス制御処理部15Bは、ステップS58に移行する。そして、ステップS58において、エンティティ情報TPE_Ethernet 2の開示を不許可とし、代わりに開示不可メッセージを生成して、この開示不可メッセージを通信I/F部4Bから要求元の利用者端末UTiへ返送する。
(作用・効果)
以上述べたように一実施形態に係るネットワーク管理装置NMでは、登録済のネットワーク設備と類似するネットワーク設備の特性を定義する仕様情報およびその開示条件を定義するポリシー情報を外部定義する際に、上記登録済のネットワーク設備の仕様情報を継承元としてその差分を表す差分仕様情報を定義すると共に、ポリシー情報については継承の有無を表す情報を定義し、これらの情報を登録する。
以上述べたように一実施形態に係るネットワーク管理装置NMでは、登録済のネットワーク設備と類似するネットワーク設備の特性を定義する仕様情報およびその開示条件を定義するポリシー情報を外部定義する際に、上記登録済のネットワーク設備の仕様情報を継承元としてその差分を表す差分仕様情報を定義すると共に、ポリシー情報については継承の有無を表す情報を定義し、これらの情報を登録する。
また、この状態で利用者から登録済の情報に対する開示要求が送られた場合に、先ず開示対象の情報に対応する差分仕様情報に対応付けられているポリシー情報が「継承する」または「継承しない」のいずれであるかを判定する。そして、継承しないと判定した場合には上記開示対象の情報の開示を拒否し、継承すると判定された場合には継承元のポリシー情報をもとに上記開示要求が開示条件を満たしているか否かをさらに判定して、開示条件を満たす場合に上記開示対象情報を開示要求元へ送信するようにしている。
さらに、上記差分仕様情報に対応付けられたポリシー情報に「ポリシー変更情報」が定義されている場合には、このポリシー変更情報をもとに上記開示要求が開示条件を満たしているか否かを判定し、開示条件を満たせば上記開示対象の情報を要求元に送信するようにしている。
従って、一実施形態によれば、差分仕様情報に対しポリシー情報を設定する場合、この設定対象のポリシー情報が登録済の仕様情報に対応付けられたポリシー情報と同一で、この登録済のポリシー情報をポリシー情報に継承可能な場合には、継承の有無を表す継承制御情報が第2のポリシー情報として定義される。このため、新たにポリシー情報を設定する場合には、継承可能なポリシー情報が既に登録されていないときのみ開示条件を定義すればよいことになり、ポリシー情報の設定ごとに、無条件にすべてのポリシー情報に対し開示条件を定義する場合に比べ、ポリシー情報を外部定義する際のネットワーク管理者の定義作業量を減らすことが可能となる。その結果、ポリシー情報の外部定義処理に掛かる稼働を削減することが可能となる。
しかも、開示要求に対し情報の開示の有無を判定する際に、ポリシー情報に開示条件が定義されていなくても、継承元の仕様情報からポリシー情報が継承されることで、開示の可否の判定を何ら問題なく行うことができる。
すなわち、一実施形態によれば、ポリシー情報の外部定義処理に掛かる稼働を削減した上で、開示可否の判定を確実に行うことが可能となる。
[その他の実施形態]
(1)一実施形態では、仕様情報およびポリシー情報の入力から登録までの一連の処理を同時に行う場合を例にとって説明した。しかし、この発明はそれに限定されるものではなく、仕様情報の入力から登録までの一連の処理と、ポリシー情報の入力から登録までの一連の処理とを独立して行えるようにしてもよい。このようにすると、ネットワーク管理者は、例えば仕様情報の登録後、任意のタイミングでポリシー情報を登録することが可能となる。
(1)一実施形態では、仕様情報およびポリシー情報の入力から登録までの一連の処理を同時に行う場合を例にとって説明した。しかし、この発明はそれに限定されるものではなく、仕様情報の入力から登録までの一連の処理と、ポリシー情報の入力から登録までの一連の処理とを独立して行えるようにしてもよい。このようにすると、ネットワーク管理者は、例えば仕様情報の登録後、任意のタイミングでポリシー情報を登録することが可能となる。
(2)一実施形態では、ネットワーク管理者がオペレータ端末OTを用いて、ネットワーク管理装置NMに対し遠隔地から仕様情報、エンティティ情報およびポリシー情報の登録操作を行う場合を例にとって説明した。しかし、この発明はそれに限るものではなく、ネットワーク管理装置NMの機能が、例えばオフィス内等に配置されたパーソナルコンピュータ等の情報処理装置に備えられている場合には、上記仕様情報、エンティティ情報およびポリシー情報を上記情報処理装置に対し直接の登録できるようにしてもよい。
(3)一実施形態では、1台のオペレータ端末OTから仕様情報、エンティティ情報およびポリシー情報の登録操作を行うようにしたが、仕様情報の登録操作とエンティティ情報の登録操作、さらにはポリシー情報の登録操作を別々のオペレータ端末から行えるようにしてもよい。
(4)一実施形態では、ネットワーク管理装置NM内に仕様・ポリシー情報DB31Bおよびエンティティ情報DB32Bを備えた場合を例にとって説明した。しかし、仕様・ポリシー情報DB31Bおよびエンティティ情報DB32Bを、ネットワーク管理装置NMとは別のデータベースサーバ等に設け、ネットワーク管理装置NMが上記データベースサーバ等に設けられた仕様・ポリシー情報DB31Bおよびエンティティ情報DB32Bに対しアクセスして仕様情報、エンティティ情報およびポリシー情報の登録処理を行えるようにしてもよい。また、仕様情報の登録処理機能、エンティティ情報の登録処理機能およびポリシー情報の登録機能が、複数の情報処理装置に分散配置されていてもよい。
(5)その他、ネットワーク管理装置が備える機能、処理手順と処理内容、仕様情報、エンティティ情報およびポリシー情報のフォーマットやデータ構造等についても、この発明の要旨を逸脱しない範囲で種々変形して実施可能である。
以上、この発明の実施形態を詳細に説明してきたが、前述までの説明はあらゆる点においてこの発明の例示に過ぎない。この発明の範囲を逸脱することなく種々の改良や変形を行うことができることは言うまでもない。つまり、この発明の実施にあたって、実施形態に応じた具体的構成が適宜採用されてもよい。
要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
NM…ネットワーク管理装置
OT…オペレータ端末
UT1~UTn…利用者端末
NW…ネットワーク
1A,1B…制御部
2A,2B…プログラム記憶部
3A,3B…データ記憶部
4A,4B…通信I/F部
5A…入出力I/F部
6A,5B…バス
51…入力デバイス
52…出力デバイス
11A…仕様情報入力受付処理部
12A…ポリシー情報入力受付処理部
13A…エンティティ情報入力受付処理部
14A…仕様・ポリシー登録要求送信処理部
15A…エンティティ登録要求送信処理部
11B…仕様・ポリシー登録要求受信処理部
12B…仕様・ポリシー情報登録処理部
13B…エンティティ登録要求受信処理部
14B…エンティティ情報登録処理部
15B…アクセス制御処理部
31A…仕様・ポリシー情報記憶部
32A…エンティティ情報記憶部
31B…仕様・ポリシー情報DB
32B…エンティティ情報DB
OT…オペレータ端末
UT1~UTn…利用者端末
NW…ネットワーク
1A,1B…制御部
2A,2B…プログラム記憶部
3A,3B…データ記憶部
4A,4B…通信I/F部
5A…入出力I/F部
6A,5B…バス
51…入力デバイス
52…出力デバイス
11A…仕様情報入力受付処理部
12A…ポリシー情報入力受付処理部
13A…エンティティ情報入力受付処理部
14A…仕様・ポリシー登録要求送信処理部
15A…エンティティ登録要求送信処理部
11B…仕様・ポリシー登録要求受信処理部
12B…仕様・ポリシー情報登録処理部
13B…エンティティ登録要求受信処理部
14B…エンティティ情報登録処理部
15B…アクセス制御処理部
31A…仕様・ポリシー情報記憶部
32A…エンティティ情報記憶部
31B…仕様・ポリシー情報DB
32B…エンティティ情報DB
Claims (7)
- 管理対象となる第1のネットワーク設備の特性を定義した第1の仕様情報と、前記第1の仕様情報に係る第1の開示条件を定義する第1のポリシー情報とが、相互に対応付けられた状態で登録された記憶部と、
前記第1の仕様情報とその一部が共通する第2のネットワーク設備の特性を定義した第2の仕様情報を、前記記憶部に追加登録する第1の登録処理部と、
前記第2のネットワーク設備に対し設定する実際のリソースを前記第2の仕様情報に含まれる複数の属性情報に対応して定義したエンティティ情報を、エンティティ情報記憶部に登録する第2の登録処理部と、
前記第2の仕様情報に係る第2の開示条件を定義する第2のポリシー情報を、前記第2の仕様情報に対応付けた状態で前記記憶部に登録する第3の登録処理部と、
前記エンティティ情報に対する開示要求が入力された場合に、前記エンティティ情報に対応する前記第2の仕様情報に対応付けられた前記第2のポリシー情報に基づいて、前記開示要求が前記第2の開示条件を満たすか否かを判定するアクセス制御処理部と
を具備し、
前記第2の登録処理部は、
前記第1のポリシー情報から前記第2のポリシー情報への開示条件の継承の有無を表す継承制御情報を、前記第2のポリシー情報として追加登録し、
前記アクセス制御処理部は、
前記第2のポリシー情報が前記継承制御情報であるか否かを判定し、前記継承制御情報であると判定された場合には、前記継承制御情報に基づいて、前記開示要求が前記第2の開示条件を満たすか否かを判定する
ネットワーク管理装置。 - 前記アクセス制御処理部は、
前記第2のポリシー情報が前記継承制御情報であると判定された場合に、前記継承制御情報が継承有りを示すものか継承無しを示すものかを判定する処理と、
前記継承無しと判定された場合には、前記開示要求が前記第2の開示条件を満たさないと判定する処理と、
前記継承有りと判定された場合には、継承元となる前記第1のポリシー情報に基づいて、前記開示要求が前記第1の開示条件を満たすか否かを判定する処理と
を行う
請求項1に記載のネットワーク管理装置。 - 前記第2のポリシー情報により表される前記第2の開示条件の少なくとも一部を変更した第3の開示条件を表すポリシー変更情報を前記第2のポリシー情報として、前記第2の仕様情報と対応付けた状態で前記記憶部に追加登録する第3の登録処理部を、さらに具備し、
前記アクセス制御処理部は、前記エンティティ情報に対する前記開示要求が入力された場合に、前記エンティティ情報に対応する前記第2の仕様情報に対応付けられた前記第2のポリシー情報が、前記継承制御情報であるか前記ポリシー変更情報であるかを判定し、前記ポリシー変更情報であると判定された場合には、前記ポリシー変更情報に基づいて、前記開示要求が前記第3の開示条件を満たすか否かを判定する
請求項1に記載のネットワーク管理装置。 - 前記アクセス制御処理部は、前記開示要求が前記第2のポリシー情報により定義される前記第1の開示条件、前記第2の開示条件または前記第3の開示条件を満たすと判定された場合に、前記エンティティ情報を前記開示要求の送信元へ送信する、請求項1乃至3のいずれかに記載のネットワーク管理装置。
- 前記アクセス制御処理部は、前記開示要求が前記第2のポリシー情報により定義される前記第1の開示条件、前記第2の開示条件または前記第3の開示条件を満たさないと判定された場合に、開示不可メッセージを生成して前記開示要求の送信元へ返送する、
請求項1乃至3のいずれかに記載のネットワーク管理装置。 - 情報処理装置が実行するネットワーク管理方法であって、
管理対象となる第1のネットワーク設備の特性を定義した第1の仕様情報と、前記第1の仕様情報に係る第1の開示条件を定義する第1のポリシー情報とを、相互に対応付けた状態で記憶部に登録する第1の過程と、
前記第1の仕様情報とその一部が共通する第2のネットワーク設備の特性を定義した第2の仕様情報を前記記憶部に追加登録する第2の過程と、
前記第2のネットワーク設備に対し設定する実際のリソースを前記第2の仕様情報に含まれる複数の属性情報に対応して定義したエンティティ情報をエンティティ情報記憶部に登録する第3の過程と、
前記第2の仕様情報に係る第2の開示条件を定義する第2のポリシー情報を、前記第2の仕様情報に対応付けた状態で前記記憶部に登録する第4の過程と、
前記エンティティ情報に対する開示要求が入力された場合に、前記エンティティ情報に対応する前記第2の仕様情報に対応付けられた前記第2のポリシー情報に基づいて、前記開示要求が前記第2の開示条件を満たすか否かを判定する第5の過程と
を具備し、
前記第4の過程は、
前記第1のポリシー情報から前記第2のポリシー情報への開示条件の継承の有無を表す継承制御情報を、前記第2のポリシー情報として追加登録し、
前記第5の過程は、
前記第2のポリシー情報が前記継承制御情報であるか否かを判定し、前記継承制御情報であると判定された場合には、前記継承制御情報に基づいて、前記開示要求が前記第2の開示条件を満たすか否かを判定する
ネットワーク管理方法。 - 請求項1乃至3のいずれかに記載されたネットワーク管理装置が具備する各処理部の少なくとも1つの処理を、前記ネットワーク管理装置が備えるプロセッサに実行させるプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2022/030575 WO2024034056A1 (ja) | 2022-08-10 | 2022-08-10 | ネットワーク管理装置、ネットワーク管理方法およびプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2022/030575 WO2024034056A1 (ja) | 2022-08-10 | 2022-08-10 | ネットワーク管理装置、ネットワーク管理方法およびプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2024034056A1 true WO2024034056A1 (ja) | 2024-02-15 |
Family
ID=89851184
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2022/030575 WO2024034056A1 (ja) | 2022-08-10 | 2022-08-10 | ネットワーク管理装置、ネットワーク管理方法およびプログラム |
Country Status (1)
Country | Link |
---|---|
WO (1) | WO2024034056A1 (ja) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0969077A (ja) * | 1995-07-03 | 1997-03-11 | Sun Microsyst Inc | コンピュータ・システム管理に階層的ポリシーを実施するためのシステム及び方法 |
JPH11504145A (ja) * | 1996-02-07 | 1999-04-06 | ブル・エス・アー | アプリケーションまたはアプリケーションユーザによる、通信の下部構造を介する管理情報ベースへのアクセスを管理する方法 |
JP2018078523A (ja) * | 2016-11-11 | 2018-05-17 | 日本電信電話株式会社 | ネットワーク管理装置、方法及びプログラム |
-
2022
- 2022-08-10 WO PCT/JP2022/030575 patent/WO2024034056A1/ja unknown
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0969077A (ja) * | 1995-07-03 | 1997-03-11 | Sun Microsyst Inc | コンピュータ・システム管理に階層的ポリシーを実施するためのシステム及び方法 |
JPH11504145A (ja) * | 1996-02-07 | 1999-04-06 | ブル・エス・アー | アプリケーションまたはアプリケーションユーザによる、通信の下部構造を介する管理情報ベースへのアクセスを管理する方法 |
JP2018078523A (ja) * | 2016-11-11 | 2018-05-17 | 日本電信電話株式会社 | ネットワーク管理装置、方法及びプログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220239649A1 (en) | Technologies for securely extending cloud service apis in a cloud service marketplace | |
WO2020062582A1 (zh) | 信息引流、请求发送、通信加速方法、引流及节点服务器 | |
JP7097958B2 (ja) | 自動ユニバーサルコネクタパッケージを使用してクラウドアプリケーションをクラウドサービスブローカプラットフォームに統合するためのシステムおよび方法 | |
WO2021119010A1 (en) | Method and apparatus for implementing a role-based access control clustering machine learning model execution module | |
JP2018530214A (ja) | ネットワークサービスをデプロイするための方法及び装置 | |
JP2022020946A (ja) | 情報処理装置、情報処理システム、通信形式決定方法およびプログラム | |
US8732281B2 (en) | Actively updating clients with selected data | |
US9053327B2 (en) | Method and system for distributed control of user privacy preferences | |
JPWO2007148562A1 (ja) | 共有管理システム、共有管理方法およびプログラム | |
WO2017045450A1 (zh) | 资源的操作处理方法及装置 | |
US9363294B2 (en) | Management server, tenant pattern validation method, and computer system | |
WO2024034056A1 (ja) | ネットワーク管理装置、ネットワーク管理方法およびプログラム | |
JP4516594B2 (ja) | メッセージ送信制御方法、メッセージ送信制御装置、及びメッセージ送信制御プログラム | |
WO2024029084A1 (ja) | ネットワーク管理装置、ネットワーク管理方法およびプログラム | |
US10712980B2 (en) | Terminal device and communication system for device registration | |
WO2024034055A1 (ja) | ネットワーク管理装置、ネットワーク管理方法およびプログラム | |
JP6670263B2 (ja) | 情報処理装置、情報処理方法、及びプログラム | |
JP6947129B2 (ja) | 管理装置およびネットワーク管理方法 | |
WO2024034057A1 (ja) | ネットワーク管理装置、ネットワーク管理方法及びプログラム | |
JP6721844B2 (ja) | 情報処理装置、情報処理方法、及びコンピュータプログラム | |
US7302507B2 (en) | Reestablishing connections when a block/device at one end is re-initialized | |
JP2017175373A (ja) | 設定情報生成装置、ネットワーク制御装置、方法、及び、プログラム | |
JP6837939B2 (ja) | 管理装置、管理システム、ネットワーク機器設定方法、及びプログラム | |
CN113556374A (zh) | 一种获取制造商使用说明mud文件的方法、设备和系统 | |
US7548965B2 (en) | System and method for organizing network management information |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 22954973 Country of ref document: EP Kind code of ref document: A1 |