專利名稱:用于管理網(wǎng)絡(luò)資源的裝置和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)系統(tǒng)的領(lǐng)域�。更具體地說(shuō)�,提供用于網(wǎng)絡(luò)設(shè)備和/或服務(wù)的虛 擬化和集中化管理的裝置和方法。
背景技術(shù):
高效配置并且操作計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)所需的知識(shí)層次可能是很高的����。大型組織典型 地維持相對(duì)大量的IT(信息技術(shù))員工來(lái)配置并且維護(hù)設(shè)備���,協(xié)助用戶操作他們的設(shè)備,應(yīng) 用安全策略�����、監(jiān)控網(wǎng)絡(luò)安全性等���。然而��,某些組織一尤其是較小型的組織一無(wú)法供養(yǎng)經(jīng) 驗(yàn)老到的全職IT職員來(lái)執(zhí)行所有這些功能��,并且在這種組織內(nèi)可能被委派有IT職責(zé)的任 何人可能對(duì)于可能出現(xiàn)的無(wú)數(shù)問(wèn)題和挑戰(zhàn)毫無(wú)準(zhǔn)備�。例如��,保障組織的網(wǎng)絡(luò)資源不受到非授權(quán)訪問(wèn)是一個(gè)可以通過(guò)不完全或低效方式 而得以容易地執(zhí)行的關(guān)鍵任務(wù)��。歸因于問(wèn)題的復(fù)雜性�����,缺乏效率可能直到網(wǎng)絡(luò)已經(jīng)被破壞 才對(duì)于組織變得明顯���。以電子方式存儲(chǔ)的數(shù)據(jù)量甚大并且天天在增加�,而且使得網(wǎng)絡(luò)安全 性成為頭等重要之事?����?赡茈y以充分保障網(wǎng)絡(luò)資源安全的一個(gè)原因在于在沒(méi)有不合理的難度的情況下 許可資源的合法使用的需求與防止所有非法使用的要求之間的對(duì)立性��。這種對(duì)立性隨著組 織內(nèi)所部署的資源的數(shù)量和類型增加而增加����。每一新型資源可以通過(guò)不同方式而被配置為訪問(wèn)所許可的資源,應(yīng)用期望的安全 等級(jí)等��。保障組織的網(wǎng)絡(luò)資源安全僅僅是眾多任務(wù)之一���,而且在沒(méi)有足夠的IT供職的情況 下����,在面對(duì)用戶對(duì)于實(shí)時(shí)協(xié)助的需求時(shí)�����,該任務(wù)可能受到冷遇�。因此,配置并且監(jiān)控網(wǎng)絡(luò)安 全性必須與諸如幫助用戶配置他們的設(shè)備以在組織內(nèi)使用這類任務(wù)進(jìn)行競(jìng)爭(zhēng)���。對(duì)于采用多種不同類型設(shè)備的組織而言���,資源的配置可能是特別困難的。具體地 說(shuō)���,對(duì)成本在意的小型組織可能購(gòu)買最廉價(jià)的設(shè)備來(lái)進(jìn)行特定操作����,這可能導(dǎo)致來(lái)自不同 賣家和制造商的各部件的大雜燴��。因此�����,組織可能部署不同制造商生產(chǎn)的多種接入點(diǎn)��、交換 機(jī)或其他通信部件�。每種不同類型或型號(hào)的設(shè)備典型地具有不同的配置參數(shù)或以不同方式所配置的 參數(shù)。雖然某些參數(shù)和配置方法可能在不同設(shè)備上是相同的���,但其它方面將有不同�����。在沒(méi) 有對(duì)于網(wǎng)絡(luò)部件的足夠的熟悉程度或?qū)I(yè)性的情況下�,個(gè)人可能容易不正確地配置部件或 者浪費(fèi)時(shí)間確定正確配置。某些組織選擇使用自動(dòng)化供應(yīng)操作來(lái)準(zhǔn)備新設(shè)備���,以在他們的網(wǎng)絡(luò)內(nèi)使用�����。然而���, 如果組織的安全策略不包含用于執(zhí)行自動(dòng)供應(yīng)操作的設(shè)備,或者在設(shè)備的供應(yīng)期間未得以 正確應(yīng)用�����,則安全弱點(diǎn)可能隨新設(shè)備一起被引入組織�。或者���,如果供應(yīng)操作是以偶然方式或 倉(cāng)促方式而執(zhí)行的�����,則安全策略可能并未得以正確地或者完全地應(yīng)用�����。此外��,甚至在給定的網(wǎng)絡(luò)部件被初始地配置之后���,某些參數(shù)也可能需要隨著組織 的網(wǎng)絡(luò)演進(jìn)而改變或者更新。對(duì)于具有有限的IT職員的組織��,對(duì)組織內(nèi)可能采用的無(wú)數(shù)網(wǎng) 絡(luò)資源的常規(guī)關(guān)注可能并不實(shí)際���。
管理組織的聯(lián)網(wǎng)設(shè)備和服務(wù)的現(xiàn)有解決方案傾向于僅對(duì)于單個(gè)設(shè)備或單個(gè)服務(wù) 進(jìn)行該操作�。在沒(méi)有對(duì)于小型組織需要管理多種類型設(shè)備和/或多種網(wǎng)絡(luò)服務(wù)的第三方解 決方案的情況下�,組織只能盡其所能來(lái)這樣做。因此��,在組織的網(wǎng)絡(luò)內(nèi)安全且高效地操作的部件的配置可能又難又耗時(shí)��。而且����,甚 至在部件成功地集成到網(wǎng)絡(luò)和組織的安全策略之后����,它們也需要不斷地被管理���,以允許網(wǎng) 絡(luò)良好運(yùn)轉(zhuǎn)��。
發(fā)明內(nèi)容
在此公開(kāi)了如下實(shí)施方案方案1. 一種集中管理網(wǎng)絡(luò)中的多種類型的設(shè)備的方法�,所述方法包括對(duì)于所述多種類型的設(shè)備中的每一個(gè)�,接收一組操作參數(shù);從在網(wǎng)絡(luò)內(nèi)操作的設(shè)備接收安全通信連接���;從所述設(shè)備接收對(duì)配置的請(qǐng)求���;解析所述請(qǐng)求以標(biāo)識(shí)所述設(shè)備的類型;將所述請(qǐng)求路由至與設(shè)備的類型對(duì)應(yīng)的具體管理模塊�;以及從所述具體管理模塊,將對(duì)應(yīng)的一組操作參數(shù)發(fā)送到所述設(shè)備����。方案2.方案1所述的方法,還包括為第一組織定義多個(gè)邏輯站點(diǎn)結(jié)構(gòu)�����,其中,每一所述邏輯站點(diǎn)結(jié)構(gòu)被配置為包含 位于一個(gè)物理站點(diǎn)處的第一組織的網(wǎng)絡(luò)設(shè)備�����。方案3.方案1所述的方法�,還包括對(duì)于第一組織為第一組織定義多個(gè)邏輯組織結(jié)構(gòu),其中���,每一所述邏輯組織結(jié)構(gòu)被配置為包含 位于該組織的對(duì)應(yīng)子部分內(nèi)的網(wǎng)絡(luò)設(shè)備。方案4. 一種存儲(chǔ)有指令的計(jì)算機(jī)可讀介質(zhì)�����,所述指令在被計(jì)算機(jī)執(zhí)行時(shí)使得計(jì) 算機(jī)執(zhí)行集中配置網(wǎng)絡(luò)中的多種類型的設(shè)備的方法�,所述方法包括以下步驟對(duì)于所述多種類型的設(shè)備中的每一個(gè),接收一組操作參數(shù)���;從在網(wǎng)絡(luò)內(nèi)操作的設(shè)備接收安全通信連接�����;從所述設(shè)備接收對(duì)配置的請(qǐng)求����;解析所述請(qǐng)求以標(biāo)識(shí)所述設(shè)備的類型;將所述請(qǐng)求路由至與設(shè)備的類型對(duì)應(yīng)的具體管理模塊�����;以及從所述具體管理模塊�����,將對(duì)應(yīng)的一組操作參數(shù)發(fā)送到所述設(shè)備�。在本發(fā)明的一些實(shí)施例中,提供用于提供組織的網(wǎng)絡(luò)設(shè)備和服務(wù)的統(tǒng)一管理以根 據(jù)需要而覆蓋配置����、部署、操作和/或其它任務(wù)的裝置和方法����。一個(gè)或多個(gè)組織的資源可以 由一個(gè)實(shí)體來(lái)管理。在這些實(shí)施例中�����,提供統(tǒng)一服務(wù)和設(shè)備管理系統(tǒng)來(lái)管理實(shí)際設(shè)備(physical device)和/或具體電子服務(wù)的配置���、部署和操作�。多種類型的設(shè)備/服務(wù)以及多種型號(hào)或 版本的特定設(shè)備類型可以受管理。在本發(fā)明的一些實(shí)施例中��,分層的管轄或管理域被構(gòu)造為促進(jìn)一個(gè)組織內(nèi)的不同 位置或部門內(nèi)或不同組織內(nèi)的設(shè)備和/或服務(wù)的管理���。使用這些域����,管理設(shè)備和/或服務(wù) 的責(zé)任可以委派給各個(gè)操作者或管理者����。
圖1是根據(jù)本發(fā)明一些實(shí)施例的管理一個(gè)或多個(gè)組織的網(wǎng)絡(luò)資源的集中式設(shè)施 的示圖����。圖2是說(shuō)明根據(jù)本發(fā)明一些實(shí)施例的集中管理組織的網(wǎng)絡(luò)資源的方法的流程圖。圖3是根據(jù)本發(fā)明一些實(shí)施例的用于保護(hù)對(duì)組織的網(wǎng)絡(luò)資源的訪問(wèn)的硬件裝置 的框圖��。圖4是根據(jù)本發(fā)明一些實(shí)施例的認(rèn)證服務(wù)器的框圖�。
具體實(shí)施例方式在本發(fā)明一些實(shí)施例中,提供用于集中且虛擬地管理組織的網(wǎng)絡(luò)資源的裝置和方 法��。集中化管理(centralized management)是“以云方式”(in the cloud)執(zhí)行的而在組 織方面無(wú)需專用管理資源���。更具體地說(shuō)����,管理設(shè)施可以由一個(gè)或多個(gè)組織占用以管理它們的資源。對(duì)于每一 組織���,設(shè)施保存單獨(dú)的按組織(per-organization)的HQ (公共密鑰基礎(chǔ)設(shè)施)��,用于確保 對(duì)每一組織的網(wǎng)絡(luò)的訪問(wèn)的安全���。該設(shè)施接收并且建立與大量各類型和型號(hào)的網(wǎng)絡(luò)設(shè)備(例如接入點(diǎn)、交換機(jī)��、路 由器����、網(wǎng)絡(luò)附連存儲(chǔ)設(shè)備等)的連接。除了促進(jìn)各種設(shè)備的集中化和虛擬化管理之外��,該設(shè) 施也可以用于管理組織的網(wǎng)絡(luò)內(nèi)所提供的服務(wù)����。在設(shè)施與特定設(shè)備或服務(wù)之間的通信穿越(transit)多層框架。接收到的通信 被標(biāo)準(zhǔn)化�����,之后傳遞到適用于對(duì)服務(wù)或發(fā)起通信的設(shè)備的類型/型號(hào)起作用的具體管理 層。該層調(diào)用公共管理層來(lái)實(shí)現(xiàn)特定功能(例如檢索安全策略�����、對(duì)事件記日志�、訪問(wèn)帳戶參 數(shù))。多層框架因此允許利用一組公共的功能模塊來(lái)管理多種服務(wù)和各種類型和型號(hào) 的網(wǎng)絡(luò)設(shè)備����。隨著組織開(kāi)發(fā)其網(wǎng)絡(luò),框架能夠繼續(xù)有效地管理網(wǎng)絡(luò)��,不管部件的混合情況如 何����。圖1是根據(jù)本發(fā)明一些實(shí)施例的管理一個(gè)或多個(gè)組織的網(wǎng)絡(luò)資源的集中式設(shè)施 的示圖����。圖1的集中管理設(shè)施100包括(一個(gè)或多個(gè))通信模塊110、公共管理層 (CML) 120���、一個(gè)或多個(gè)具體管理層(SML)子系統(tǒng)130����、可選用戶接口 140、以及任何數(shù)量的與 設(shè)備無(wú)關(guān)的功能模塊150�。任何數(shù)量的組織可以訂購(gòu)集中管理設(shè)施所提供的管理服務(wù)。集 中管理設(shè)施100的各種模塊可以包括硬件和/或軟件元件�,并且可以在一個(gè)或多個(gè)協(xié)作或 對(duì)等計(jì)算機(jī)服務(wù)器內(nèi)進(jìn)行操作。圖1未示出的是設(shè)施100的一個(gè)或多個(gè)存儲(chǔ)部件(例如盤)���,它們可以用于存儲(chǔ)設(shè) 備參數(shù)����、事件日志��、策略��、數(shù)字證書以及在此描述的任何其它數(shù)據(jù)�����。設(shè)施100可以集中管理的設(shè)備說(shuō)明性地包括無(wú)線接入點(diǎn)��、路由器���、交換機(jī)��、網(wǎng)絡(luò)附 連存儲(chǔ)設(shè)備�����、計(jì)算設(shè)備(例如筆記本計(jì)算機(jī)���、工作站)等��。該設(shè)施所管理的服務(wù)可以包括無(wú) 線(和/或有線)網(wǎng)絡(luò)服務(wù)�����、針對(duì)病毒和/或其它惡意軟件的防護(hù)�����、網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)等�����。在遠(yuǎn)離組織的位置處集中管理這些設(shè)備和服務(wù)資源緩和了各個(gè)組織必須將其自身的設(shè)備和時(shí)間專用于這種活動(dòng)���。組織的資源的管理可以包括各種職責(zé)��,例如促進(jìn)資源的 配置或重新配置、資源的部署和/或操作��、安全策略的應(yīng)用�、PKI證書的監(jiān)控、用戶帳戶管 理��、用戶/設(shè)備認(rèn)證���、上下文獲知(context-aware)日志記錄�����、設(shè)備/服務(wù)詳單等��。在所示的本發(fā)明實(shí)施例中���,組織網(wǎng)絡(luò)內(nèi)的各個(gè)資源能夠與一個(gè)或多個(gè)通信模塊 110進(jìn)行通信。通信模塊可以被配置為通過(guò)HTTP (超文本傳輸協(xié)議)�����、HTTPS (安全超文本 傳輸協(xié)議)��、SNMP (簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)和/或其它通信協(xié)議來(lái)接收連接。因此����,不同通信 模塊可以從相同或不同類型的設(shè)備接收不同類型的連接。來(lái)自組織資源的通信以標(biāo)準(zhǔn)格式從通信模塊110被傳遞到公共管理層(CML) 120��。 例如��,消息可以包括報(bào)頭部分��,該報(bào)頭部分被配置為標(biāo)識(shí)從其接收消息的設(shè)備——可能是 特定設(shè)備(例如包括制造商����、型號(hào)和版本)、通用類型設(shè)備(例如網(wǎng)絡(luò)附連存儲(chǔ)服務(wù)器)��、具 體類型設(shè)備(例如Linksys無(wú)線接入點(diǎn))��、特定網(wǎng)絡(luò)服務(wù)等�����。消息的凈荷部分可以標(biāo)識(shí)資源的請(qǐng)求或輸入��。例如��,設(shè)備或服務(wù)可以請(qǐng)求操作參 數(shù)、安全策略�、或某些其它信息����。公共管理層120從組織的網(wǎng)絡(luò)資源接收輸入消息,將消息分派至資源��,在與設(shè)備 無(wú)關(guān)的功能模塊150與具體管理層子系統(tǒng)130和用戶接口 140 二者之間提供接口�����,并且/ 或者執(zhí)行其它任務(wù)�����。CML定義在系統(tǒng)范圍應(yīng)用的管理屬性和服務(wù)���,而SML子系統(tǒng)130對(duì)具體 設(shè)備和網(wǎng)絡(luò)服務(wù)起作用��。CML 120也可以促進(jìn)操作和維護(hù)集中管理設(shè)施的每一組織客戶端的單獨(dú)H(I�����?����!鞍?全”或“H(I”與設(shè)備無(wú)關(guān)的功能模塊150可以在該角色上協(xié)助CML�����,或者實(shí)際上自身執(zhí)行該 角色�。更具體地說(shuō),對(duì)于每一組織客戶端�,集中管理設(shè)施保存錨定(anchor)該組織特有 的PKI的根證書授權(quán)(CA)。根CA可以發(fā)放用于在組織的網(wǎng)絡(luò)內(nèi)操作的資源的證書���,并且/ 或者可以發(fā)放一個(gè)或多個(gè)子根CA證書來(lái)允許這些資源中的一些(例如接入點(diǎn))將組織證 書發(fā)放給資源����。后一種方案允許即使集中管理設(shè)施100當(dāng)前不可用(例如在組織的互聯(lián)網(wǎng) 接入中斷的情況下)也供應(yīng)新的設(shè)備�����。具體管理層子系統(tǒng)130關(guān)聯(lián)于具體網(wǎng)絡(luò)設(shè)備�、設(shè)備類型、或服務(wù)����。設(shè)備和服務(wù)管理 子系統(tǒng)遵循一組插件指南�,來(lái)提供具體的管理特征�����。注冊(cè)過(guò)程許可管理子系統(tǒng)插入框架�����。例如����,可以對(duì)于一個(gè)或多個(gè)特定類型的設(shè)備(例如接入點(diǎn)�、網(wǎng)絡(luò)附連存儲(chǔ)服務(wù) 器)、設(shè)備型號(hào)(例如Linksys接入點(diǎn)�����、Netgear接入點(diǎn))等而實(shí)現(xiàn)面向設(shè)備的SML子系統(tǒng)���。 通過(guò)設(shè)置或者調(diào)整設(shè)備的參數(shù)�,對(duì)設(shè)備檢測(cè)到的事件記日志等����,特定SML子系統(tǒng)130因此適 用于或者被配置為對(duì)其關(guān)聯(lián)網(wǎng)絡(luò)設(shè)備起作用���。至于面向服務(wù)的SML子系統(tǒng),WLAN(無(wú)線局域網(wǎng))管理SML子系統(tǒng)可以提供管理特 征�,例如RF(射頻)覆蓋圖、RF管理����、帶寬評(píng)估、無(wú)線電發(fā)送功率調(diào)整��、客戶訪問(wèn)策略特征���、 流氓接入點(diǎn)的檢測(cè)等�。VPN(虛擬私有網(wǎng)絡(luò))SML子系統(tǒng)可以提供加密方法��、接入策略等�����。然 而�,兩種服務(wù)SML都調(diào)取同一功能模塊150。新的SML子系統(tǒng)經(jīng)由CML所暴露的注冊(cè)API (應(yīng)用編程接口)而向CML 120注冊(cè)����。 這允許CML獲知哪個(gè)SML子系統(tǒng)變?yōu)榕c特定網(wǎng)絡(luò)部件進(jìn)行交互���。當(dāng)SML子系統(tǒng)130從網(wǎng)絡(luò)設(shè)備(經(jīng)由CML 120)接收消息時(shí),其確定需要采取什么 行動(dòng)��,并且調(diào)取CML的其它適當(dāng)?shù)腁PI�����,以調(diào)用(一個(gè)或多個(gè))適當(dāng)?shù)呐c設(shè)備無(wú)關(guān)的功能模6塊150���。SML因此僅需要將原語(yǔ)發(fā)放給CML,以激勵(lì)其期望的行動(dòng)����。結(jié)果,各個(gè)SML子系統(tǒng)無(wú) 需通過(guò)所有鉤子(hook)以及入口點(diǎn)而被編程為各種功能模塊-僅CML需要這些特征��。因此�,CML 120與SML子系統(tǒng)130之間的一個(gè)差異在于,CML定義可在整個(gè)框架中 應(yīng)用的管理屬性和參數(shù)��,而SML子系統(tǒng)130定義對(duì)于它們的關(guān)聯(lián)設(shè)備和/或服務(wù)特有的屬 性和參數(shù)����。說(shuō)明性地�,CML 120接受設(shè)備/服務(wù)配置請(qǐng)求(例如經(jīng)由用戶接口 140)��,解析請(qǐng) 求����,并且將它們路由到對(duì)應(yīng)SML子系統(tǒng)130。必須被傳遞到具體設(shè)備或網(wǎng)絡(luò)服務(wù)的任何屬性 或配置參數(shù)通過(guò)CML由設(shè)備或服務(wù)的SML子系統(tǒng)所轉(zhuǎn)發(fā)���。相似地����,操作統(tǒng)計(jì)�、事件和/或其 它信息由具體設(shè)備/服務(wù)經(jīng)由CML報(bào)告給它們的SML子系統(tǒng)。配置記錄被定版本并且存儲(chǔ)在設(shè)施100處(例如在SML子系統(tǒng)和/或功能模塊 內(nèi))����,設(shè)備的固件可以自動(dòng)升級(jí)到最新或所指定的版本,或者可以回溯到先前版本����。例如,在 新的固件版本或一組參數(shù)中的致命故障的情況下��,設(shè)備可以回溯到默認(rèn)(例如出廠)設(shè)置�, 或者可以應(yīng)用最后獲知的一組良好參數(shù)����?����?蛇x用戶接口 140可以用于從客戶端組織的代表(例如系統(tǒng)管理者����、管轄者)接 收交互通信會(huì)話。例如�,用戶接口可以包括網(wǎng)頁(yè),組織可以從網(wǎng)頁(yè)訂購(gòu)設(shè)施的服務(wù)�,注冊(cè)設(shè) 備,購(gòu)買網(wǎng)絡(luò)部件等�����。在本發(fā)明一些實(shí)施例中���,用戶接口 140經(jīng)由CML 120訪問(wèn)與設(shè)備無(wú)關(guān)的功能模塊 150,以創(chuàng)建組織的賬戶��,注冊(cè)組織的網(wǎng)絡(luò)資源���,配置或者存儲(chǔ)安全策略��,瀏覽或者檢索日志 事件等��。在其它實(shí)施例中���,用戶接口可以直接訪問(wèn)功能模塊(例如無(wú)需調(diào)用公共管理層)�。 相似地�����,為了實(shí)現(xiàn)對(duì)于特定設(shè)備或設(shè)備的類型的動(dòng)作�,用戶接口 140可以與SML子系統(tǒng)直接 進(jìn)行交互(或者經(jīng)由CML 120進(jìn)行交互)。在本發(fā)明一些實(shí)施例中��,用戶接口 140可以被省略�����,或者可以包容于另一模塊(例 如公共管理層120)�����。說(shuō)明性地,在這些實(shí)施例中��,組織可以經(jīng)由計(jì)算設(shè)備上操作的應(yīng)用程 序�、經(jīng)由網(wǎng)絡(luò)資源的配置實(shí)用程序或除了網(wǎng)頁(yè)或其它集中專用用戶接口之外的某些其它通 信通道來(lái)與集中管理設(shè)施100進(jìn)行交互。例如��,CML 120可以公開(kāi)地暴露用于賬戶創(chuàng)建/管 理的API����,配置組織資源等,并且允許第三方提供用于調(diào)用這些API的軟件��。與設(shè)備無(wú)關(guān)的功能模塊150提供對(duì)于多個(gè)設(shè)備���、設(shè)備類型和/或組織共同的功能��。 對(duì)于每一組織��,可以保存關(guān)于組織的網(wǎng)絡(luò)�、用戶�、設(shè)備和服務(wù)的單獨(dú)的一組數(shù)據(jù)�����。因?yàn)閷?duì)于 每一組織保存單獨(dú)的PKI方案,并且組織的每一用戶/設(shè)備/服務(wù)必須對(duì)設(shè)施認(rèn)證自身����,所 以每一組織的數(shù)據(jù)針對(duì)其它組織的訪問(wèn)而受到保護(hù)。策略模塊150a可以被配置為存儲(chǔ)各種安全策略�����、固件策略和/或組織可能希望應(yīng) 用于某些或所有其設(shè)備和/或服務(wù)的其它操作策略��。給定的策略可以指定特定部件可以操 作或者不可以操作的時(shí)間/日期����,組織的接入點(diǎn)如何被邏輯配置,哪些設(shè)備可以用于特定 服務(wù)等���。組織的另一說(shuō)明性策略可以提供如果特定網(wǎng)絡(luò)設(shè)備在其被報(bào)告為丟失�、失竊或有 危險(xiǎn)之后連接到管理設(shè)施100����,則該設(shè)備被拒絕訪問(wèn)。此外����,策略可以指定設(shè)備應(yīng)受令為掃 除(刪除)其配置數(shù)據(jù)���,這將使得其不可用。設(shè)備可以由數(shù)字證書��、序列號(hào)����、MAC地址或其 它標(biāo)識(shí)符來(lái)標(biāo)識(shí)。又一策略可以應(yīng)用于設(shè)置組織的網(wǎng)絡(luò)的拓?fù)?。例如,如果組織采用多個(gè)無(wú)線接入點(diǎn)��,則僅它們中的一個(gè)可以耦合到因特網(wǎng)(或其它外部網(wǎng)絡(luò))��。策略可以指定哪些接入點(diǎn)可 以對(duì)哪些其它接入點(diǎn)進(jìn)行交談��?�?梢曰诮尤朦c(diǎn)的類型/型號(hào)��、它們的負(fù)載(例如連接到 它們的客戶端設(shè)備的數(shù)量)和/或其它因素來(lái)選擇用于配置接入點(diǎn)拓?fù)涞牟呗?�。日志記錄模塊150b被配置為對(duì)組織的網(wǎng)絡(luò)資源所報(bào)告的事件進(jìn)行上下文日志記 錄���。因此,該模塊可以記錄用戶登錄/注銷時(shí)間、安全告警�����、病毒檢測(cè)��、設(shè)備/服務(wù)的使用等�。 日志記錄模塊可以提供設(shè)備/服務(wù)日志的基于文本的搜索、上下文超文本能力和/或其它 特征�。例如,日志中報(bào)告的MAC地址或其它標(biāo)識(shí)符(例如序列號(hào)�����、IP地址)可以是可點(diǎn)擊 的����,并且鏈引到示出記日志的事件的其它信息的管理頁(yè)面、用于采取校正或補(bǔ)救行動(dòng)的頁(yè) 面等�。因此,在流氓接入點(diǎn)日志上報(bào)告的設(shè)備MAC地址可以被選擇為導(dǎo)航至集中管理框 架內(nèi)的流氓接入點(diǎn)管理頁(yè)面�����,而在來(lái)賓登錄事件日志中報(bào)告的MAC地址可以用于導(dǎo)航至來(lái) 賓接入管理頁(yè)面���。帳戶模塊150c被配置為保存組織和用戶的賬戶��。因此����,對(duì)于每一組織,可以分配 一個(gè)或多個(gè)登錄帳戶��,以允許該組織的用戶和資源訪問(wèn)集中管理設(shè)施100���。安全模塊150m被配置為幫助確保組織的網(wǎng)絡(luò)的安全�����。例如��,安全模塊可以管理組 織的πα��,并且負(fù)責(zé)認(rèn)證用戶/設(shè)備�����,在πα內(nèi)發(fā)放數(shù)字證書等�����。為了添加新的功能模塊150�,僅CML 120需要被編程有入口點(diǎn)、AP I或調(diào)用模塊 的其它方法�����。CML于是將公開(kāi)模塊的API���,或者另外使得模塊的功能對(duì)于SML子系統(tǒng)130可用。因?yàn)榭蚣芸梢杂糜诠芾矶鄠€(gè)組織的網(wǎng)絡(luò)�,因此每一組織用設(shè)備標(biāo)識(shí)(Dev_ID)和/ 或標(biāo)識(shí)一組組織的設(shè)備的分組標(biāo)識(shí)(Grp_ID)來(lái)注冊(cè)其設(shè)備。注冊(cè)過(guò)程可以與系統(tǒng)組合�,用 于對(duì)網(wǎng)絡(luò)資源排序,從而例如��,特定Grp_ID可以包括按此購(gòu)買一組設(shè)備的購(gòu)買順序��。當(dāng)所購(gòu)買的設(shè)備連接到組織的網(wǎng)絡(luò)時(shí)�����,其建立至集中管理設(shè)施100的安全連接�, 并且呈現(xiàn)其Dev_ID?����?蚣?例如設(shè)備的SML子系統(tǒng))認(rèn)證設(shè)備,將其綁定到組織���,并且將配 置數(shù)據(jù)下載到設(shè)備�����。在一些實(shí)施例中�,運(yùn)送到組織的設(shè)備被預(yù)加載有安全證書����。在其它實(shí)施例中,組織內(nèi)的管轄者可以將新連接的設(shè)備放置在待批準(zhǔn)為在組織的 網(wǎng)絡(luò)內(nèi)操作的設(shè)備的列表上��。一旦管轄者接受該設(shè)備���,其于是就被綁定到組織���。設(shè)備可能必須通過(guò)防火墻發(fā)起到設(shè)施100的網(wǎng)絡(luò)連接。在此情況下���,設(shè)備中預(yù)加 載的安全證書可以用于例如利用安全超文本傳輸協(xié)議(HTTPS)建立合適的安全連接���。在一些情況下��,可以建立基于用戶數(shù)據(jù)報(bào)協(xié)議(UDP)的心跳機(jī)制�,以保持通信信 道在設(shè)備與框架之間在防火墻處是開(kāi)放的���。設(shè)備周期性地通過(guò)UDP連接來(lái)發(fā)送心跳消息到 設(shè)施100。心跳用于向框架告知設(shè)備的狀態(tài)并且保持防火墻開(kāi)放�����。每當(dāng)集中管理設(shè)施100 具有設(shè)備的某些信息時(shí)�,其就可以在該UDP信道上發(fā)送短命令,以指令設(shè)備建立另一數(shù)據(jù) 信道來(lái)交換額外信息�。在設(shè)施100處創(chuàng)建或者注冊(cè)組織之前,或者在已經(jīng)將設(shè)備的Dev_ID注冊(cè)到組織之 前����,有可能部署設(shè)備。在此情況下���,設(shè)備可以嘗試多次聯(lián)系設(shè)施�。一旦設(shè)備已經(jīng)被認(rèn)證并且被接受進(jìn)入具有框架的組織�,框架就檢索對(duì)應(yīng)的設(shè)備配 置和系統(tǒng)策略�����,并且將它們下載到設(shè)備����。在實(shí)現(xiàn)配置和策略之后����,設(shè)備進(jìn)入正常操作狀態(tài), 并且開(kāi)始提供其服務(wù)�。
在本發(fā)明一些實(shí)施例中,組織可以定義與公司的不同辦公室或位置����、集團(tuán)內(nèi)的不 同公司、一個(gè)管理提供商的不同消費(fèi)者等關(guān)聯(lián)的一個(gè)或多個(gè)邏輯結(jié)構(gòu)�����。例如��,當(dāng)組織訂購(gòu)集中管理設(shè)施100時(shí)����,其可以指定組織操作三個(gè)分離的辦公室 (例如�����,在不同的城市�,具有不同的內(nèi)部網(wǎng)絡(luò))�。對(duì)于每一辦公室,組織可以指定用于在該位 置的某些或所有設(shè)備的特定操作參數(shù)——例如其無(wú)線網(wǎng)絡(luò)的SSID(服務(wù)集標(biāo)識(shí)或服務(wù)集標(biāo) 識(shí)符)����、用于無(wú)線設(shè)備的優(yōu)選安全協(xié)議、路由表����、優(yōu)選DNS (域名服務(wù))服務(wù)器的地址等���。隨 后��,對(duì)于分配給該辦公室的新網(wǎng)絡(luò)部件�,所指定的參數(shù)將得以自動(dòng)應(yīng)用����,而無(wú)需任何人來(lái)具 體地將參數(shù)與新設(shè)備關(guān)聯(lián)�����。說(shuō)明性地�����,術(shù)語(yǔ)“站點(diǎn)”可以在此用于指代將要分配給辦公室�、分支、出口或與“站 點(diǎn)”關(guān)聯(lián)的其它位置內(nèi)所部署的組織的網(wǎng)絡(luò)的所有有關(guān)資源的參數(shù)的集合�����。在站點(diǎn)級(jí)別之 上����,可以定義其它邏輯結(jié)構(gòu)。例如��,如同可以定義多個(gè)“站點(diǎn)”那樣���,可以將多個(gè)邏輯“組織”定義為屬于多組織 實(shí)體(例如集團(tuán))的不同的部分(例如分部�、部門��、附屬公司)���。如果不是較大實(shí)體的一部 分�����,則“組織”表示分離的組織(例如集中管理設(shè)施100的一個(gè)客戶端)�。與對(duì)于“站點(diǎn)”結(jié)構(gòu)定義的操作參數(shù)和數(shù)據(jù)由任何兼容設(shè)備或分配給該站點(diǎn)的部 件繼承相同的方式,對(duì)于“組織”結(jié)構(gòu)定義的參數(shù)和數(shù)據(jù)也同樣可以由任何從屬站點(diǎn)繼承��。 因此���,在各個(gè)設(shè)備或服務(wù)被添加到組織的網(wǎng)絡(luò)之時(shí)��,多數(shù)或所有操作參數(shù)可以已經(jīng)被定義����。 如果這些參數(shù)是完整的���,則無(wú)需時(shí)間或努力專用于確定新設(shè)備或服務(wù)的適當(dāng)配置。甚至可以對(duì)于多個(gè)分離組織所雇傭的實(shí)體來(lái)定義更高級(jí)別的邏輯實(shí)體(例如“管 理者”)�����,以管理它們的網(wǎng)絡(luò)���。具體地說(shuō)�����,“管理者”實(shí)體可以表示多個(gè)組織雇傭用于管理它 們的“組織”實(shí)體(并且����,通過(guò)擴(kuò)展,管理那些組織內(nèi)的任何“站點(diǎn)”)的公司或承包商��。組織可以改變管理者�����,在此情況下���,先前的“管理者�����,�����,實(shí)體失去訪問(wèn)組織的“組織�����,��, 實(shí)體的能力�,喜好新的“管理者”。例如��,可以廢除發(fā)放給受控于舊管理者的計(jì)算機(jī)系統(tǒng)的任 何數(shù)字證書����,由此防止這些系統(tǒng)訪問(wèn)組織的網(wǎng)絡(luò)。在本發(fā)明一些實(shí)施例中���,組織總是擁有用 于管理其網(wǎng)絡(luò)的能力(即使已經(jīng)雇傭了單獨(dú)的“管理者”)�����,并且可以將該角色分配給另一 實(shí)體�,或者開(kāi)除現(xiàn)有“管理者”����。因此��,集中管理設(shè)施100內(nèi)的賬戶管理可以是分等級(jí)的,以允許單個(gè)操作者管理 一個(gè)或多個(gè)組織��。例如�,操作者可以是單個(gè)組織的雇員,或者表示管理多個(gè)組織的網(wǎng)絡(luò)的實(shí) 體�。設(shè)施100內(nèi)的組織的管理/組織賬戶因此可以充當(dāng)系統(tǒng)管理中心,用于組織的網(wǎng) 絡(luò)設(shè)備和服務(wù)的配置和/或監(jiān)控��。管理多個(gè)組織/站點(diǎn)的操作者可以開(kāi)放多個(gè)實(shí)例�,以一 次監(jiān)控或者工作在多于一個(gè)的組織/站點(diǎn)內(nèi),其中��,各個(gè)實(shí)例充當(dāng)儀表板和發(fā)射臺(tái)����,以協(xié)助 它們的監(jiān)控和配置活動(dòng)。為了使組織允許另一實(shí)體對(duì)其網(wǎng)絡(luò)資源實(shí)施管轄權(quán)利����,組織可以發(fā)起請(qǐng)求來(lái)與實(shí) 體共享組織的管轄。僅組織自身可以選擇共享管轄權(quán)利�;接收組織不能進(jìn)一步共享這些權(quán) 利。組織通過(guò)發(fā)起終止請(qǐng)求來(lái)終止該安排����。為了使組織的網(wǎng)絡(luò)的新設(shè)備或服務(wù)自動(dòng)與集中管理設(shè)施100進(jìn)行交互從而檢索 配置參數(shù)���,其可以被制造或配置為自動(dòng)請(qǐng)求或者確定其可以獲得該信息的位置(例如統(tǒng)一 資源定位符或URL)。例如�����,可以設(shè)置設(shè)備的特定固件參數(shù)���,以使得設(shè)備自動(dòng)聯(lián)系所指定的實(shí)體(例如管理設(shè)施100)或請(qǐng)求(在啟動(dòng)時(shí))URL或其可以接收配置數(shù)據(jù)的實(shí)體的其它地 址���。該參數(shù)可以命名為“啟用網(wǎng)絡(luò)”或“接收遠(yuǎn)程配置”或另外的任何名稱。當(dāng)設(shè)備或服務(wù)接觸所指定或標(biāo)識(shí)的實(shí)體時(shí)�����,其將標(biāo)識(shí)自身(例如設(shè)備的型號(hào)�����、版 本����、序列號(hào)、MAC地址、服務(wù)名稱/標(biāo)識(shí)符)��,并且有可能傳遞其擁有的數(shù)字證書��。在被認(rèn)證 并且確認(rèn)為組織的網(wǎng)絡(luò)的授權(quán)部件之后�,其將接收并且應(yīng)用一組參數(shù)�����。如上所述��,即使圖1的集中管理設(shè)施100可以被采用來(lái)管理同一總體框架內(nèi)的多 個(gè)組織的網(wǎng)絡(luò)����,嚴(yán)格訪問(wèn)策略和數(shù)據(jù)隔離也防止各組織之間的數(shù)據(jù)遷移。具體地說(shuō)��,按組織 的PKI得以建立��,以保護(hù)每一組織的資源���。每一組織在設(shè)施處具有根證書授權(quán)���、以及從屬證 書授權(quán),組織的網(wǎng)絡(luò)內(nèi)的認(rèn)證才執(zhí)行本地客戶端訪問(wèn)認(rèn)證和接入策略的強(qiáng)制實(shí)施。圖2是說(shuō)明根據(jù)本發(fā)明一些實(shí)施例的集中以及遠(yuǎn)程管理組織的網(wǎng)絡(luò)資源的方法 的流程圖����。在這些實(shí)施例中,可與圖1的集中管理設(shè)施100相比的統(tǒng)一服務(wù)和設(shè)備框架向多 個(gè)組織提供服務(wù)���,例如用戶帳戶管理�����、用戶和設(shè)備認(rèn)證���、事件的上下文獲知日志記錄、設(shè)備 詳單����、固件管理、PKI管理/管轄等��。如上所述�����,分離的具體管理層子系統(tǒng)被實(shí)現(xiàn)為支持不同的服務(wù)���、具體設(shè)備和/或 各類型的設(shè)備��。每一該子系統(tǒng)遵循一組插入標(biāo)準(zhǔn)來(lái)與公共管理層進(jìn)行對(duì)接����,并且由此訪問(wèn) 與設(shè)備無(wú)關(guān)的模塊���??梢愿鶕?jù)需要來(lái)添加附加的設(shè)備特有的子系統(tǒng)���,以支持附加的設(shè)備或 服務(wù)���。在操作200中,組織訂購(gòu)集中設(shè)施的統(tǒng)一服務(wù)和設(shè)備管理�����。說(shuō)明性地�����,組織(例如 系統(tǒng)管轄者)可以連接到在由設(shè)施操作的計(jì)算機(jī)服務(wù)器處的用戶接口�����,以提交訂購(gòu)請(qǐng)求?���;蛘撸M織(例如網(wǎng)絡(luò)管轄者)可以執(zhí)行自動(dòng)與設(shè)施進(jìn)行對(duì)接并且提供與專用用 戶接口相同或相似功能的應(yīng)用或?qū)嵱贸绦?��。在操?02中����,用于組織的賬戶被配置為標(biāo)識(shí)組織���,創(chuàng)建一個(gè)或多個(gè)用戶帳戶����,標(biāo) 識(shí)組織的網(wǎng)絡(luò)中目前部署的設(shè)備����,標(biāo)識(shí)組織所需的具體服務(wù)等。操作202可以伴隨有定義多個(gè)邏輯“站點(diǎn)”和/或“組織”�����,以允許組織的資源的更 詳細(xì)化管理。如上所述���,不同“站點(diǎn)”結(jié)構(gòu)可以對(duì)應(yīng)于組織的不同分支���、辦公室或其它位置, 而不同“組織”結(jié)構(gòu)可以對(duì)應(yīng)于組織的不同分部��、附屬公司����、組織單元或其它部分�。在操作204中,組織購(gòu)買某些數(shù)量的資源(例如無(wú)線LAN控制器����、接入點(diǎn)、網(wǎng)絡(luò)附 連存儲(chǔ)單元)�����。資源可以從集中式設(shè)施或某些其它源的操作者購(gòu)買�。然而,有利的是��,賣家 可以被授權(quán)和裝配為用在資源連接到組織的網(wǎng)絡(luò)之后足以允許資源進(jìn)行與集中式設(shè)施的 初始聯(lián)系的安全證書來(lái)預(yù)加載資源?��;蛘?����,配置設(shè)備或?qū)嵱贸绦?例如客戶端設(shè)備啟用器)可以被提供有購(gòu)買的資源 (或者與之分離)��,并且可以用于配置資源�����,以用于在組織內(nèi)操作���。該配置努力可以包括加 載安全證書。即使組織將部署多種不同的設(shè)備和服務(wù)�,它們也都將可通過(guò)集中式設(shè)施管理。在操作206中�����,用于某些或所有購(gòu)買的網(wǎng)絡(luò)資源的一組操作參數(shù)由組織提交給框 架�。根據(jù)執(zhí)行該操作的組織代表的知識(shí)的級(jí)別,該人可以指定用于一個(gè)或多個(gè)設(shè)備的確切 參數(shù)���,或者可以允許設(shè)施確定合適的參數(shù)���。例如��,代表可以聲明數(shù)據(jù)安全對(duì)組織非常重要��,在此情況下�,設(shè)施可以選擇比如果安全少受關(guān)注則其將選擇的更強(qiáng)健的安全協(xié)議以及更嚴(yán)格的訪問(wèn)控制策略���,以用于組織的 無(wú)線資源����。相似地����,設(shè)施可以選擇不同的操作策略�,根據(jù)代表的輸入對(duì)需求和/或其它設(shè)置 進(jìn)行日志記錄。不同的模板可以應(yīng)用于實(shí)施不同組的參數(shù)�����。作為操作206的一部分�����,組織代表所指定的和/或設(shè)施所選擇的用于由代表所標(biāo) 識(shí)的設(shè)備/服務(wù)的配置數(shù)據(jù)由設(shè)施的集中管理層(CML)解析,并且路由到適當(dāng)?shù)木唧w管理 層(SML)子系統(tǒng)��。SML可以在子系統(tǒng)內(nèi)或者經(jīng)由一個(gè)或多個(gè)適當(dāng)?shù)呐c設(shè)備無(wú)關(guān)的功能模塊 來(lái)保存數(shù)據(jù)����。這些SML子系統(tǒng)將負(fù)責(zé)把設(shè)備配置信息發(fā)放到組織的網(wǎng)絡(luò)資源。設(shè)施可以執(zhí)行的一個(gè)配置努力是將安全證書(例如數(shù)字證書)加載在設(shè)備上����,之 后運(yùn)送到組織,并且部署在組織的網(wǎng)絡(luò)內(nèi)��。為了促進(jìn)某些網(wǎng)絡(luò)設(shè)備(例如接入點(diǎn)����、客戶端設(shè) 備啟用器)的初始部署,設(shè)備可以被配置有與集中管理設(shè)施關(guān)聯(lián)的PKI(例如���,代替組織的 PKI)內(nèi)發(fā)放的安全證書����。在設(shè)備被部署之后��,它們可以與設(shè)施進(jìn)行交互,并且接收組織的 PKI內(nèi)生成的新安全證書�����。在操作208中�����,設(shè)備被部署并且連接到組織的網(wǎng)絡(luò)���。作為其啟動(dòng)和配置的一部分���, 設(shè)備建立與設(shè)施的安全連接(例如經(jīng)由https),標(biāo)識(shí)自身(例如��,用設(shè)備ID��、MAC地址)�����,并 且可以使用預(yù)加載到設(shè)備上的安全證書來(lái)認(rèn)證自身����。在一些實(shí)施例中,客戶端設(shè)備啟用器或用于配置新設(shè)備的其它實(shí)體可以幫助建立 到設(shè)施的初始連接��。如果設(shè)備被接受為有效的(例如設(shè)施可以保持對(duì)于組織有效的設(shè)備ID列表)���,則 其被綁定到組織���。于是,配置參數(shù)���、系統(tǒng)策略����、固件和/或設(shè)備的其它信息得以下載并且應(yīng) 用��。如上所述�,配置參數(shù)可以由組織代表確切地指定,可以由設(shè)施選擇��,并且/或者可以從 “站點(diǎn)”或“組織”邏輯結(jié)構(gòu)被繼承��。在操作210中�����,設(shè)備被配置有策略和配置參數(shù),并且可以在組織的網(wǎng)絡(luò)內(nèi)開(kāi)始正 常操作��。如上所述����,這些策略、屬性和參數(shù)可以由與設(shè)備無(wú)關(guān)的功能模塊提供�,并且由對(duì)應(yīng) 的具體管理層子系統(tǒng)散播到具體設(shè)備和不同類型的設(shè)備。在操作212中����,在設(shè)備的操作期間,其將上下文日志事件提交給管理框架����。事件經(jīng) 由通信模塊和公共管理層被發(fā)送到框架,之后交付給與設(shè)備關(guān)聯(lián)的SML子系統(tǒng)�����。該設(shè)備于 是經(jīng)由公共管理層調(diào)用日志記錄模塊的功能/服務(wù)�。日志記錄模塊可以因此對(duì)用于組織的 網(wǎng)絡(luò)內(nèi)的多個(gè)不同設(shè)備的事件記日志����。在本發(fā)明一些實(shí)施例中���,集中管理設(shè)施暴露RESTful API——符合表述聲明傳遞 架構(gòu)的API。這允許容易檢索來(lái)自設(shè)施的信息——例如網(wǎng)絡(luò)業(yè)務(wù)統(tǒng)計(jì)��、無(wú)線電信號(hào)覆蓋等�。諸如結(jié)合圖2描述的方法可以用于管理例如WLAN(無(wú)線局域網(wǎng))控制器的設(shè)備。 控制器充當(dāng)用于某些或所有組織的接入點(diǎn)(AP)的集中管理點(diǎn)����,并且可以是專用設(shè)備,或者 可以嵌入另一器械(例如以太網(wǎng)交換機(jī))����。說(shuō)明性地,其提供AP管理�、用戶管理、RF (射頻)管理�,WLAN訪問(wèn)策略管理等。WLAN 控制器經(jīng)由WLAN具體管理層子系統(tǒng)而捆綁到統(tǒng)一服務(wù)和設(shè)備管理框架(例如圖1的設(shè)施 100)����。框架的公共管理層提供公共服務(wù)�����,例如用戶帳戶管理、客戶端設(shè)備供應(yīng)����、訪問(wèn)策略 等?��?蚣艿木唧w管理層內(nèi)的WLAN子系統(tǒng)提供設(shè)備特有的服務(wù)���,例如流氓AP檢測(cè)、RF管理����、 WLAN帶寬訪問(wèn)評(píng)估、AP配置和監(jiān)控等����。11
一旦WLAN控制器子系統(tǒng)注冊(cè)在框架內(nèi),其就對(duì)所有訂戶(例如�����,不僅是首先部署 WLAN控制器的組織)可用��。對(duì)于每一訂戶,單獨(dú)的WLAN控制器服務(wù)實(shí)例得以創(chuàng)建并且添加 到訂戶的賬戶�。一旦服務(wù)不再被需要��,就可以損毀實(shí)例���。圖3是根據(jù)本發(fā)明一些實(shí)施例的用于管理一個(gè)或多個(gè)組織的網(wǎng)絡(luò)資源的硬件裝 置的框圖��。管理服務(wù)器300包括(一個(gè)或多個(gè))通信機(jī)構(gòu)310�、公共管理機(jī)構(gòu)312�、(一個(gè)或多 個(gè))具體管理機(jī)構(gòu)314、(一個(gè)或多個(gè))功能機(jī)構(gòu)316����、以及(一個(gè)或多個(gè))存儲(chǔ)機(jī)構(gòu)318。 在本發(fā)明其它實(shí)施例中����,任何或所有這些機(jī)構(gòu)可以組合或者再劃分。(一個(gè)或多個(gè))通信機(jī)構(gòu)310適用于與網(wǎng)絡(luò)設(shè)備(例如接入點(diǎn)��、網(wǎng)絡(luò)附連服務(wù)器�、 交換機(jī))交換通信。通信機(jī)構(gòu)可以包括或者耦合到可操控為促進(jìn)對(duì)管理服務(wù)器的訪問(wèn)的用 戶接口�����。公共管理機(jī)構(gòu)312適用于提供管理服務(wù)器300的集中管理功能。機(jī)構(gòu)312因此將 到來(lái)的通信從(一個(gè)或多個(gè))通信機(jī)構(gòu)310路由到適當(dāng)?shù)木唧w管理機(jī)構(gòu)314��,調(diào)用代表具體 管理機(jī)構(gòu)或某些其它內(nèi)部或外部實(shí)體的功能機(jī)構(gòu)316����,并且適當(dāng)?shù)夭扇∑渌袆?dòng)。(一個(gè)或多個(gè))具體管理機(jī)構(gòu)314適用于與組織的網(wǎng)絡(luò)內(nèi)的具體服務(wù)����、設(shè)備或設(shè)備 的類型交互,以配置這些服務(wù)和/或設(shè)備��,監(jiān)控它們的操作���,故障定位等�。隨著組織的網(wǎng)絡(luò) 擴(kuò)展或者多樣化��,(一個(gè)或多個(gè))附加機(jī)構(gòu)314可以被添加到管理服務(wù)器300���。(一個(gè)或多個(gè))存儲(chǔ)機(jī)構(gòu)316適用于存儲(chǔ)管理服務(wù)器所使用的信息��。這樣的數(shù) 據(jù)可以涉及具有管理服務(wù)的組織的賬戶���、組織的設(shè)備和/或服務(wù)的配置�����、訪問(wèn)策略����、事件日 志��、安全證書等��。圖4是根據(jù)本發(fā)明一些實(shí)施例的用于管理一個(gè)或多個(gè)組織的網(wǎng)絡(luò)的部件的管理 服務(wù)器的框圖�。圖4的管理服務(wù)器400包括處理器402���、存儲(chǔ)器404和存儲(chǔ)設(shè)備406���,存儲(chǔ)設(shè)備406 可以包括一個(gè)或多個(gè)光和/或磁存儲(chǔ)部件。管理服務(wù)器400可以耦合(永久或瞬時(shí)地)到 鍵盤412��、指點(diǎn)設(shè)備414和顯示器416����。在線評(píng)級(jí)系統(tǒng)的存儲(chǔ)設(shè)備406存儲(chǔ)可以加載到存儲(chǔ)器404以用于由處理器402執(zhí) 行的邏輯�����。這種邏輯包括通信邏輯422���、集中管理邏輯424、具體管理邏輯似6和功能邏輯 428�。通信邏輯422包括處理器可執(zhí)行的指令,用于與組織的網(wǎng)絡(luò)設(shè)備和服務(wù)進(jìn)行通 信��,操作者任務(wù)是管理組織的資源和/或其它實(shí)體����。邏輯422可以包括用戶接口和/或公 開(kāi)可訪問(wèn)的API,用于調(diào)用管理服務(wù)器400上存儲(chǔ)的其它邏輯����。管理服務(wù)器可以包括多組通 信邏輯,目的是負(fù)載平衡����、接受采用不同協(xié)議的通信連接,或者出于其它原因�。集中管理邏輯似4包括處理器可執(zhí)行的指令,用于執(zhí)行集中管理任務(wù)��,包括不同 邏輯之間的通信/調(diào)用。具體管理邏輯似6包括處理器可執(zhí)行的指令����,用于促進(jìn)具體網(wǎng)絡(luò)服務(wù)、設(shè)備和/或 設(shè)備的類型的管理�。多組具體管理邏輯可以用于不同服務(wù)、設(shè)備和/或設(shè)備的類型����。功能邏輯4 包括處理器可執(zhí)行的指令����,用于執(zhí)行對(duì)組織的網(wǎng)絡(luò)內(nèi)的多個(gè)不同服 務(wù)和/或設(shè)備可以調(diào)用的與設(shè)備和/或服務(wù)無(wú)關(guān)的功能。多組功能邏輯可以用于不同的功 能區(qū)(例如帳戶管理����、事件日志記錄、策略���、安全)���。
在本發(fā)明其它實(shí)施例中,管理服務(wù)器可以包括附加邏輯��,例如用于注冊(cè)各個(gè)部件、 管理服務(wù)器的操作�,將服務(wù)器數(shù)據(jù)復(fù)制到管理服務(wù)器的其它實(shí)例,操作用戶接口等�。用于操 作并且管理按組織的PKI方案的邏輯可以是圖4所示邏輯的一部分,或者與之分離����。
權(quán)利要求
1.一種用于管理多個(gè)組織的異類網(wǎng)絡(luò)資源的裝置,所述裝置包括多個(gè)與設(shè)備無(wú)關(guān)的功能模塊����,其被配置為代表每一個(gè)組織網(wǎng)絡(luò)內(nèi)的多個(gè)不同類型的 設(shè)備執(zhí)行功能;針對(duì)每一不同類型的設(shè)備的具體功能模塊�,其被配置為管理對(duì)應(yīng)類型設(shè)備的操作;以及公共管理模塊�����,其被配置為代表所述具體功能模塊調(diào)用所述多個(gè)功能模塊��; 其中����,對(duì)于每一個(gè)組織實(shí)例化所述具體功能模塊的單獨(dú)實(shí)例。
2.權(quán)利要求1所述的裝置,還包括一個(gè)或多個(gè)通信模塊���,其被配置為建立與所述多個(gè)不同類型的設(shè)備的通信連接���。
3.權(quán)利要求1所述的裝置,其中����,所述多個(gè)功能模塊包括策略模塊,其被配置為將操作策略提供給所述多個(gè)不同類型的設(shè)備�����;日志記錄模塊����,其被配置為對(duì)所述多個(gè)不同類型的設(shè)備所報(bào)告的事件記日志�����;以及帳戶模塊���,其被配置為促進(jìn)與第一組織關(guān)聯(lián)的賬戶的管理��。
4.權(quán)利要求1所述的裝置���,還包括用戶接口��,其被配置為從組織網(wǎng)絡(luò)的管轄者接收用于所述多個(gè)不同類型的設(shè)備的配置參數(shù)�。
5.權(quán)利要求1所述的裝置�,其中,所述具體管理模塊包括 對(duì)應(yīng)于無(wú)線接入點(diǎn)的第一具體管理模塊�����;以及對(duì)應(yīng)于網(wǎng)絡(luò)附連存儲(chǔ)服務(wù)器的第二具體管理模塊�。
6.權(quán)利要求1所述的裝置,其中��,所述具體管理模塊包括對(duì)應(yīng)于第一制造商所制造的無(wú)線接入點(diǎn)的第一具體管理模塊����;以及 對(duì)應(yīng)于第二制造商所制造的無(wú)線接入點(diǎn)的第二具體管理模塊。
7.權(quán)利要求1所述的裝置�����,其中��,所述具體管理模塊包括對(duì)應(yīng)于第一制造商所制造的第一型號(hào)的無(wú)線接入點(diǎn)的第一具體管理模塊;以及 對(duì)應(yīng)于第一制造商所制造的第二型號(hào)的無(wú)線接入點(diǎn)的第二具體管理模塊�。
8.權(quán)利要求1所述的裝置,還包括對(duì)于第一組織多個(gè)邏輯站點(diǎn)結(jié)構(gòu)����,其中,每一所述邏輯站點(diǎn)結(jié)構(gòu)被配置為包含位于一個(gè)物理站點(diǎn)處 的第一組織的網(wǎng)絡(luò)資源����。
9.權(quán)利要求1所述的裝置,還包括對(duì)于第一組織多個(gè)邏輯組織結(jié)構(gòu)�,其中,每一所述邏輯組織結(jié)構(gòu)被配置為包含位于該組織的對(duì)應(yīng)子 部分內(nèi)的網(wǎng)絡(luò)資源���。
10.一種集中管理網(wǎng)絡(luò)中的多種類型的設(shè)備的方法����,所述方法包括 對(duì)于所述多種類型的設(shè)備中的每一個(gè)���,接收一組操作參數(shù); 從在網(wǎng)絡(luò)內(nèi)操作的設(shè)備接收安全通信連接��;從所述設(shè)備接收對(duì)配置的請(qǐng)求�; 解析所述請(qǐng)求以標(biāo)識(shí)所述設(shè)備的類型; 將所述請(qǐng)求路由至與設(shè)備的類型對(duì)應(yīng)的具體管理模塊;以及 從所述具體管理模塊��,將對(duì)應(yīng)的一組操作參數(shù)發(fā)送到所述設(shè)備�。
全文摘要
提供用于管理網(wǎng)絡(luò)資源的裝置和方法。操作集中統(tǒng)一服務(wù)和設(shè)備管理框架����,以代表多個(gè)組織同時(shí)管理各種類型的資源。在框架內(nèi)���,公共管理層提供對(duì)于多個(gè)不同服務(wù)和設(shè)備共同的服務(wù)(例如賬戶管理��、事件日志記錄)�����。在具體管理層內(nèi)�����,實(shí)現(xiàn)單獨(dú)的子系統(tǒng)��,以用于不同的設(shè)備或設(shè)備類型�����。設(shè)備特有的子系統(tǒng)通過(guò)公共管理層所暴露的原語(yǔ)調(diào)用與設(shè)備無(wú)關(guān)的功能模塊�����。給定的組織可以建立分層邏輯結(jié)構(gòu)�����,以對(duì)不同物理位置(例如城市���、辦公室)處或組織的不同子部分(例如子公司�����、部門)內(nèi)部署的資源進(jìn)行分組��。
文檔編號(hào)H04L12/56GK102045337SQ20101050590
公開(kāi)日2011年5月4日 申請(qǐng)日期2010年10月11日 優(yōu)先權(quán)日2009年10月12日
發(fā)明者A·佩羅, B-C·楊, J·D·阿布拉莫維奇, L-J·王, T·T·擴(kuò) 申請(qǐng)人:帕洛阿爾托研究中心公司