JP7798199B2 - Network management device, network management method and program - Google Patents
Network management device, network management method and programInfo
- Publication number
- JP7798199B2 JP7798199B2 JP2024540156A JP2024540156A JP7798199B2 JP 7798199 B2 JP7798199 B2 JP 7798199B2 JP 2024540156 A JP2024540156 A JP 2024540156A JP 2024540156 A JP2024540156 A JP 2024540156A JP 7798199 B2 JP7798199 B2 JP 7798199B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- policy
- disclosure
- entity
- processing unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0226—Mapping or translating multiple network management protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
この発明の一態様は、例えば複数のネットワークまたはそれを使用する装置を管理するために使用されるネットワーク管理装置、ネットワーク管理方法およびプログラムに関する。 One aspect of the present invention relates to a network management device, a network management method, and a program used, for example, to manage multiple networks or devices that use them.
種類の異なるネットワークやそれを使用する装置を管理する手法として、管理対象のネットワークまたは装置ごとにデータモデルを構築し管理する手法が提案されている。この種の手法では、ネットワークの種類ごとにデータモデルを構築する必要があるため、ネットワーク管理システムの開発およびその後の管理に多くの稼働が必要となる。 As a method for managing different types of networks and the devices that use them, a method has been proposed in which a data model is built and managed for each managed network or device. This type of method requires building a data model for each type of network, which requires a lot of work to develop and subsequently manage the network management system.
そこで、例えば、ネットワーク管理システムを構築または運用する際に、各種ネットワークまたはそれを使用する装置の特性を、所定の共通するモデル形式に従い複数の属性を用いて定義し、上記複数の属性により表される仕様情報とエンティティ情報をシステム内のデータベースに登録することで、ネットワークの管理を行う技術が提案されている(例えば特許文献1を参照)。 Therefore, for example, when building or operating a network management system, a technology has been proposed for managing networks by defining the characteristics of various networks or the devices that use them using multiple attributes according to a predetermined common model format, and registering the specification information and entity information represented by the multiple attributes in a database within the system (see, for example, Patent Document 1).
特許文献1に示される技術を適用すれば、ネットワーク管理に用いる情報をデータモデルとして個々のネットワークに合わせて作成および変更することなく、どのようなネットワークに対しても適用できるようになる。すなわち、管理対象のネットワークが複数種類あっても、ネットワークまたは装置の種類ごとにデータモデルを定義する必要がなくなり、これによりネットワーク管理システムの開発およびその後の管理に要する稼働を大幅に削減することができる。 By applying the technology described in Patent Document 1, the information used for network management can be applied to any network without having to be created and modified as a data model for each individual network. In other words, even if there are multiple types of networks to manage, there is no need to define a data model for each type of network or device, which can significantly reduce the work required for developing and subsequently managing a network management system.
一方、一般に共有データベースを用いて情報を管理する場合、例えば情報の種類や管理者の資格等によっては、情報を無条件で開示できない場合がある。これはネットワーク管理システムにおいても例外ではない。そこで、本発明者は、各ネットワークまたはその装置に係る仕様情報を作成する際に、上記仕様情報に対し開示条件を定義することを検討している。このようにすれば、各ネットワークまたはその装置、つまりネットワーク設備に係る仕様情報またはエンティティ情報の開示動作を適切に制御することが可能となる。 On the other hand, when managing information using a shared database, there are cases where information cannot be disclosed unconditionally, depending on, for example, the type of information or the qualifications of the administrator. This is no exception in network management systems. Therefore, the inventors are considering defining disclosure conditions for specification information when creating specification information related to each network or its devices. This will make it possible to appropriately control the disclosure behavior of specification information or entity information related to each network or its devices, i.e., network equipment.
ところが、特許文献1に記載されたシステムでは、例えばシステムの運用開始後にネットワークまたはそれを使用する装置を新たな管理対象として追加する場合に、追加するネットワークまたはその装置の種類にかかわらず、仕様情報をすべて新しく作成しなければならない。すなわち、新たに追加するネットワークまたは装置の各々について、仕様情報を構成するすべての属性を漏れなく定義する必要がある。このため、仕様情報の作成作業に、依然として多くの稼働が必要となる。However, with the system described in Patent Document 1, for example, if a network or a device that uses it is added as a new managed object after the system has started operating, all new specification information must be created, regardless of the type of network or device being added. In other words, for each newly added network or device, all attributes that make up the specification information must be defined without omission. As a result, the task of creating specification information still requires a significant amount of work.
また、特許文献1に記載されたシステムにおいて、ネットワークや装置等の仕様情報に対し開示条件を定義しようとする場合にも、新たな仕様情報を作成するごとに開示条件を定義しなければならず、その作業にも多くの稼働が必要となる。 Furthermore, in the system described in Patent Document 1, when attempting to define disclosure conditions for specification information of networks, devices, etc., the disclosure conditions must be defined each time new specification information is created, which also requires a lot of work.
この発明は上記事情に着目してなされたもので、追加登録されるネットワーク設備に係る各種管理情報のうち、少なくともポリシー情報を定義する際の作業量を減らして、ポリシー情報の定義作業に係る稼働の削減を可能にする技術を提供しようとするものである。 This invention was made with the above-mentioned circumstances in mind, and aims to provide technology that reduces the amount of work required to define at least policy information, among the various management information related to additionally registered network equipment, thereby enabling a reduction in the workload required to define policy information.
上記課題を解決するためにこの発明に係るネットワーク管理装置または方法の一態様は、登録済の第1のネットワーク設備に係る第1の仕様情報とその開示条件を表す第1の仕様情報が登録された状態で、第2のネットワーク設備に係る第2の仕様情報の開示条件を表す第2のポリシー情報を追加登録する際に、前記第2のポリシー情報として、前記第1のポリシー情報から前記第2のポリシー情報への開示条件の継承の有無を表す継承制御情報を登録する。そして、前記第2の仕様情報に対応付けて登録されたエンティティ情報に対する開示要求が入力された場合に、前記第2のポリシー情報が前記継承制御情報であるか否かを判定し、前記継承制御情報であると判定された場合には、前記継承制御情報に基づいて、前記開示要求が前記第2の開示条件を満たすか否かを判定するようにしたものである。To solve the above problem, one aspect of the network management device or method of the present invention is to register, when first specification information relating to a registered first network equipment and first specification information representing its disclosure conditions are registered, additionally registering second policy information representing disclosure conditions for second specification information relating to second network equipment, the second policy information including inheritance control information indicating whether the disclosure conditions are inherited from the first policy information to the second policy information. When a disclosure request for entity information registered in association with the second specification information is input, the device determines whether the second policy information is the inheritance control information, and if it is determined to be the inheritance control information, determines whether the disclosure request satisfies the second disclosure conditions based on the inheritance control information.
この発明の一態様によれば、新たに第2の仕様情報にする第2のポリシー情報を追加登録する際に、上記第2のポリシー情報が登録済の上記第1のポリシー情報と同一で、登録済の第1の仕様情報を第2のポリシー情報に継承可能な場合には、上記継承の有無を表す継承制御情報が第2のポリシー情報として定義される。このため、新たに第2のポリシー情報を定義する場合に、継承可能なポリシー情報が登録されていないときのみ開示条件の定義を行えばよいことになり、無条件にすべての第2のポリシー情報に対し開示条件を定義する場合に比べ、ポリシー情報を外部定義する際のネットワーク管理者の定義作業量を減らすことが可能となる。その結果、ポリシー情報の外部定義処理に掛かる稼働を削減することが可能となる。 According to one aspect of the present invention, when additionally registering second policy information to be newly used as second specification information, if the second policy information is identical to the already registered first policy information and the registered first specification information can be inherited by the second policy information, inheritance control information indicating whether or not the inheritance is possible is defined as the second policy information. Therefore, when defining new second policy information, disclosure conditions need only be defined if no inheritable policy information has been registered. This reduces the amount of work required for network administrators to define policy information externally, compared to unconditionally defining disclosure conditions for all second policy information. As a result, it is possible to reduce the workload required for external definition processing of policy information.
すなわちこの発明の一態様によれば、追加登録されるネットワーク設備に係る各種管理情報のうち、少なくともポリシー情報を定義する際の作業量を減らして、ポリシー情報の定義作業に係る稼働の削減を可能にする技術を提供することができる。 In other words, according to one aspect of this invention, it is possible to provide technology that reduces the amount of work required to define at least policy information among the various management information related to network equipment to be additionally registered, thereby enabling a reduction in the workload required to define policy information.
以下、図面を参照してこの発明に係わる実施形態を説明する。 The following describes an embodiment of the present invention with reference to the drawings.
[一実施形態]
(構成例)
(1)システム
図1は、この発明の一実施形態に係るネットワーク管理システムの構成の一例を示す図である。
[One embodiment]
(Configuration example)
(1) System FIG. 1 is a diagram showing an example of the configuration of a network management system according to an embodiment of the present invention.
一実施形態のネットワーク管理システムは、その中核となる構成要素としてネットワーク管理装置NMを備え、このネットワーク管理装置NMと、ネットワーク管理者が使用するオペレータ端末OT、および他の管理者または利用者が使用する複数の利用者端末UT1~UTnとの間で、ネットワークNWを介して情報データの伝送を行えるようにしたものである。 In one embodiment, the network management system has a network management device NM as its core component, and enables information data to be transmitted via a network NW between this network management device NM and an operator terminal OT used by the network administrator, and multiple user terminals UT1 to UTn used by other administrators or users.
ネットワークNWは、例えばインターネットを構成するIP(Internet Protocol)ネットワーク、LAN(Local Area Network)を構成するEthernet(登録商標)、およびその他の伝送ネットワーク等の複数種のネットワークを含むが、上記情報データの伝送が可能なものであればどのようなネットワークが使用されてもよい。 The network NW includes multiple types of networks, such as the IP (Internet Protocol) network that constitutes the Internet, Ethernet (registered trademark) that constitutes a LAN (Local Area Network), and other transmission networks, but any network capable of transmitting the above information data may be used.
(2)装置
(2-1)オペレータ端末OT
図2および図3は、オペレータ端末OTのハードウェア構成およびソフトウェア構成の一例を示すブロック図である。
(2) Device (2-1) Operator terminal (OT)
2 and 3 are block diagrams showing an example of the hardware configuration and software configuration of the operator terminal OT.
オペレータ端末OTは、中央処理ユニット(Central Processing Unit:CPU)等のハードウェアプロセッサを使用した制御部1Aを備える。そして、この制御部1Aに対し、プログラム記憶部2Aおよびデータ記憶部3Aを有する記憶ユニットと、通信インタフェース(以後インタフェースをI/Fと称する)部4A、および入出力I/F部5Aを、バス6Aを介して接続したものとなっている。The operator terminal OT has a control unit 1A that uses a hardware processor such as a central processing unit (CPU). A storage unit having a program storage unit 2A and a data storage unit 3A, a communications interface (hereinafter referred to as "I/F") unit 4A, and an input/output I/F unit 5A are connected to this control unit 1A via a bus 6A.
入出力I/F部5Aには、入力デバイス51および出力デバイス52が接続される。入力デバイス51は、例えばキーボードやマウス、操作ボタンを備える。入力デバイス51は、ネットワーク管理者が、管理対象のネットワークまたはこのネットワークで使用する装置(以後まとめてネットワーク設備とも称する)に関する仕様情報、エンティティ情報およびポリシー情報を入力するために使用される。An input device 51 and an output device 52 are connected to the input/output I/F unit 5A. The input device 51 includes, for example, a keyboard, a mouse, and operation buttons. The input device 51 is used by a network administrator to input specification information, entity information, and policy information related to the network to be managed or the devices used in this network (hereinafter collectively referred to as network equipment).
仕様情報は、ネットワーク設備の特性を定義する複数の属性情報を、上記仕様情報の名前などの識別情報と関連付けたものとして表される。エンティティ情報は、例えば上記ネットワーク設備について実際に使用可能なリソースを上記仕様情報の複数の属性と対応付けて定義し、この複数の属性情報をエンティティ情報の名前などの識別情報と関連付けたものとして表される。ポリシー情報は、例えば上記仕様情報を構成する複数の属性情報の全体または各々或いは組合せに対し、その開示条件を定義するものである。なお、ポリシー情報をアクセス制御ポリシーとも言う。 Specification information is expressed as multiple pieces of attribute information that define the characteristics of network equipment, associated with identification information such as the name of the specification information. Entity information, for example, defines the resources that can actually be used for the network equipment in correspondence with multiple attributes of the specification information, and is expressed as multiple pieces of attribute information associated with identification information such as the name of the entity information. Policy information, for example, defines the disclosure conditions for all, each, or a combination of the multiple attribute information that make up the specification information. Policy information is also referred to as an access control policy.
出力デバイス52は、例えばディスプレイを備え、上記仕様情報およびエンティティ情報の入力処理に必要な表示データを表示する。 The output device 52, for example, comprises a display and displays the display data required for the input processing of the above specification information and entity information.
通信I/F部4Aは、制御部1Aの制御の下、ネットワークNWにより定義される通信プロトコルを使用して、ネットワーク管理装置NMとの間で情報データの伝送を行う。 Under the control of the control unit 1A, the communication I/F unit 4A transmits information data between the network management device NM using a communication protocol defined by the network NW.
プログラム記憶部2Aは、例えば、記憶媒体としてSSD(Solid State Drive)等の随時書込みおよび読出しが可能な不揮発性メモリと、ROM(Read Only Memory)等の不揮発性メモリとを組み合わせて構成したもので、OS(Operating System)等のミドルウェアに加えて、一実施形態のネットワーク管理に必要な上記各情報の入力およびその登録要求を送信するために必要なアプリケーション・プログラムを格納する。なお、以後OSと各アプリケーション・プログラムとをまとめてプログラムと称する。 The program storage unit 2A is configured, for example, by combining a non-volatile memory such as a solid-state drive (SSD) (storage medium) that can be written to and read from at any time with a non-volatile memory such as read-only memory (ROM), and stores middleware such as an operating system (OS), as well as application programs required for inputting the above-mentioned information required for network management in one embodiment and sending registration requests for that information. Hereinafter, the OS and each application program will be collectively referred to as the "program."
データ記憶部3Aは、例えば、記憶媒体として、SSD等の随時書込みおよび読出しが可能な不揮発性メモリと、RAM(Random Access Memory)等の揮発性メモリと組み合わせたもので、その記憶領域に、この発明の一実施形態を実施するために必要な主たる記憶部として、仕様・ポリシー情報記憶部31Aと、エンティティ情報記憶部32Aとを備える。 The data storage unit 3A is, for example, a combination of a non-volatile memory such as an SSD that can be written to and read from at any time as a storage medium, and a volatile memory such as RAM (Random Access Memory), and its storage area includes a specification/policy information storage unit 31A and an entity information storage unit 32A as the main storage units required to implement one embodiment of this invention.
仕様・ポリシー情報記憶部31Aは、入力された上記仕様情報およびポリシー情報を、その登録要求の送信が終了するまで保存する。エンティティ情報記憶部32Aは、入力された上記エンティティ情報を、その登録要求の送信が終了するまで保存する。 The specification/policy information storage unit 31A stores the input specification information and policy information until the transmission of the registration request is complete. The entity information storage unit 32A stores the input entity information until the transmission of the registration request is complete.
制御部1Aは、この発明の一実施形態を実施するために必要な処理機能として、仕様情報入力受付処理部11Aと、ポリシー情報入力受付処理部12Aと、エンティティ情報入力受付処理部13Aと、仕様・ポリシー登録要求送信処理部14Aと、エンティティ登録要求送信処理部15Aとを備える。これらの処理部11A~15Aは、何れもプログラム記憶部2Aに格納されたアプリケーション・プログラムを制御部1Aのハードウェアプロセッサに実行させることにより実現される。 The control unit 1A includes the following processing functions necessary to implement one embodiment of this invention: a specification information input reception processing unit 11A, a policy information input reception processing unit 12A, an entity information input reception processing unit 13A, a specification/policy registration request transmission processing unit 14A, and an entity registration request transmission processing unit 15A. These processing units 11A to 15A are all realized by causing the hardware processor of the control unit 1A to execute application programs stored in the program storage unit 2A.
なお、上記アプリケーション・プログラムは、プログラム記憶部2Aに事前に格納しておく以外に、必要時にネットワーク管理装置NMまたはその他のアプリケーション・サーバ等からダウンロードしてプログラム記憶部2Aに記憶されるようにしてもよい。 In addition to storing the above application programs in advance in the program memory unit 2A, they may also be downloaded from the network management device NM or other application servers when needed and stored in the program memory unit 2A.
仕様情報入力受付処理部11Aは、入力デバイス51においてネットワーク管理者が入力した仕様情報を入出力I/F部5Aを介して受け取り、受け取った上記仕様情報を仕様・ポリシー情報記憶部31Aに保存する。 The specification information input reception processing unit 11A receives specification information entered by the network administrator on the input device 51 via the input/output I/F unit 5A, and stores the received specification information in the specification/policy information storage unit 31A.
仕様情報には、新規ネットワークまたはその装置を登録する際に入力されるすべての属性情報を含む仕様情報と、登録済のネットワークまたは装置と属性情報の一部が共通する類似ネットワークまたは装置を追加登録する際に入力される差分仕様情報とがあるが、その一例については動作例において述べる。 Specification information includes specification information that includes all attribute information that is entered when registering a new network or device, and differential specification information that is entered when registering a similar network or device that shares some of the attribute information with an already registered network or device. An example of this will be described in the operation example.
ポリシー情報入力受付処理部12Aは、入力デバイス51においてネットワーク管理者が入力した、上記仕様情報の開示条件を定義するポリシー情報を、入出力I/F部5Aを介して受け取る。そして、受け取った上記ポリシー情報を対応する上記仕様情報に対応付けた状態で上記仕様・ポリシー情報記憶部31Aに保存する。 The policy information input reception processing unit 12A receives policy information defining the disclosure conditions for the above specification information, entered by the network administrator on the input device 51, via the input/output I/F unit 5A. The received policy information is then stored in the specification/policy information storage unit 31A in association with the corresponding specification information.
エンティティ情報入力受付処理部13Aは、入力デバイス51においてネットワーク管理者が入力した、ネットワーク設備において実際に使用するリソースを定義した複数の属性情報を含むエンティティ情報を入出力I/F部5Aを介して受け取り、受け取ったエンティティ情報をエンティティ情報記憶部32Aに保存する。 The entity information input reception processing unit 13A receives entity information including multiple attribute information defining the resources actually used in the network equipment, entered by the network administrator on the input device 51, via the input/output I/F unit 5A, and stores the received entity information in the entity information storage unit 32A.
仕様・ポリシー登録要求送信処理部14Aは、送信指示の入力に応じて、仕様情報およびポリシー情報を上記仕様・ポリシー情報記憶部31Aから読み出し、読み出した上記仕様情報およびポリシー情報を含む仕様・ポリシー登録要求を生成して、生成した仕様・ポリシー登録要求を通信I/F部4Aからネットワーク管理装置NMへ送信する。 In response to input of a transmission instruction, the specification/policy registration request transmission processing unit 14A reads specification information and policy information from the specification/policy information storage unit 31A, generates a specification/policy registration request including the read specification information and policy information, and transmits the generated specification/policy registration request from the communication I/F unit 4A to the network management device NM.
エンティティ登録要求送信処理部15Aは、送信指示の入力に応じて、上記エンティティ情報を上記エンティティ情報記憶部32Aから読み出し、読み出した上記エンティティ情報の登録要求を生成して、生成したエンティティ登録要求を通信I/F部4Aからネットワーク管理装置NMへ送信する。 In response to input of a transmission instruction, the entity registration request transmission processing unit 15A reads the entity information from the entity information storage unit 32A, generates a registration request for the read entity information, and transmits the generated entity registration request from the communication I/F unit 4A to the network management device NM.
なお、上記仕様情報、ポリシー情報およびエンティティ情報の一例については、動作例において述べる。 Examples of the above specification information, policy information, and entity information will be described in the operational example.
(2-2)ネットワーク管理装置NM
図4および図5は、ネットワーク管理装置NMのハードウェア構成およびソフトウェア構成の一例を示すブロック図である。
(2-2) Network Management Device NM
4 and 5 are block diagrams showing an example of the hardware and software configurations of the network management device NM.
ネットワーク管理装置NMは、例えば、ウェブ上またはクラウド上に設置されるサーバコンピュータからなる。なお、ネットワーク管理装置NMは、管理者が使用するパーソナルコンピュータ等であってもよい。 The network management device NM consists of, for example, a server computer installed on the web or in the cloud. The network management device NM may also be a personal computer used by an administrator.
ネットワーク管理装置NMは、CPU等のハードウェアプロセッサを使用した制御部1Bを備え、この制御部1Bに対し、プログラム記憶部2Bおよびデータ記憶部3Bを有する記憶ユニットと、通信I/F部4Bとを、バス5Bを介して接続したものとなっている。 The network management device NM has a control unit 1B that uses a hardware processor such as a CPU, and this control unit 1B is connected to a memory unit having a program memory unit 2B and a data memory unit 3B, and a communication I/F unit 4B via a bus 5B.
通信I/F部4Bは、制御部1Bの制御の下、ネットワークNWにより定義される通信プロトコルを使用して、オペレータ端末OTおよび利用者端末UT1~UTnとの間でそれぞれ情報データの送受信を行う。 Under the control of the control unit 1B, the communication I/F unit 4B sends and receives information data between the operator terminal OT and the user terminals UT1 to UTn using a communication protocol defined by the network NW.
プログラム記憶部2Bは、例えば、記憶媒体としてHDDまたはSSD等の随時書込みおよび読出しが可能な不揮発性メモリと、ROM等の不揮発性メモリとを組み合わせて構成したもので、OS等のミドルウェアに加えて、この発明の一実施形態に係る各種制御処理を実行するために必要なプログラムを格納する。 The program memory unit 2B is configured, for example, by combining a non-volatile memory such as an HDD or SSD as a storage medium that can be written to and read from at any time with a non-volatile memory such as a ROM, and stores middleware such as an OS as well as programs necessary to execute various control processes in one embodiment of this invention.
データ記憶部3Bは、例えば、記憶媒体としてHDDまたはSSD等の随時書込みおよび読出しが可能な不揮発性メモリとRAM等の揮発性メモリと組み合わせたもので、その記憶領域に、この発明の一実施形態を実施するために必要な記憶部として、仕様・ポリシー情報データベース(以後データベースをDBと称する)31Bと、エンティティ情報DB32Bとを備えている。 The data storage unit 3B is, for example, a combination of a non-volatile memory such as an HDD or SSD as a storage medium that can be written to and read from at any time, and a volatile memory such as RAM, and its storage area includes a specification/policy information database (hereinafter the database will be referred to as DB) 31B and an entity information DB 32B as storage units necessary to implement one embodiment of this invention.
仕様情報DB31Bは、上記オペレータ端末OTから仕様登録要求により送られる、管理対象のネットワーク設備の特性を定義する仕様情報を記憶する。エンティティ情報DB32Bは、上記オペレータ端末OTからエンティティ登録要求により送られる、ネットワーク設備の実際のリソースを定義するエンティティ情報を記憶する。 The specification information DB31B stores specification information that defines the characteristics of the network equipment to be managed, which is sent from the operator terminal OT in response to a specification registration request. The entity information DB32B stores entity information that defines the actual resources of the network equipment, which is sent from the operator terminal OT in response to an entity registration request.
制御部1Bは、この発明の一実施形態に係る処理機能として、仕様・ポリシー登録要求受信処理部11Bと、仕様・ポリシー情報登録処理部12Bと、エンティティ登録要求受信処理部13Bと、エンティティ情報登録処理部14Bとを備え、さらにアクセス制御処理部15Bを備えている。これらの処理部11B~15Bは、何れもプログラム記憶部2Bに格納されたアプリケーション・プログラムを制御部1Bのハードウェアプロセッサに実行させることにより実現される。 The control unit 1B includes, as processing functions according to one embodiment of the present invention, a specification/policy registration request reception processing unit 11B, a specification/policy information registration processing unit 12B, an entity registration request reception processing unit 13B, and an entity information registration processing unit 14B, as well as an access control processing unit 15B. All of these processing units 11B to 15B are realized by causing the hardware processor of the control unit 1B to execute application programs stored in the program storage unit 2B.
なお、上記処理部11B~15Bの一部または全部は、LSI(Large Scale Integration)やASIC(Application Specific Integrated Circuit)等のハードウェアを用いて実現されてもよい。 In addition, some or all of the above processing units 11B to 15B may be realized using hardware such as an LSI (Large Scale Integration) or an ASIC (Application Specific Integrated Circuit).
仕様・ポリシー登録要求受信処理部11Bは、上記オペレータ端末OTから送信された仕様・ポリシー登録要求を通信I/F部4Bを介して受信し、受信した上記仕様・ポリシー登録要求を仕様・ポリシー情報登録処理部12Bに渡す。 The specification/policy registration request receiving processing unit 11B receives the specification/policy registration request sent from the operator terminal OT via the communication I/F unit 4B and passes the received specification/policy registration request to the specification/policy information registration processing unit 12B.
仕様・ポリシー情報登録処理部12Bは、上記仕様・ポリシー登録要求受信処理部11Bから渡された上記仕様・ポリシー登録要求に含まれる仕様情報およびポリシー情報を、相互に対応付けた状態で仕様・ポリシー情報DB31Bに登録する。 The specification/policy information registration processing unit 12B registers the specification information and policy information contained in the specification/policy registration request passed from the specification/policy registration request receiving processing unit 11B in the specification/policy information DB 31B in a mutually associated state.
エンティティ登録要求受信処理部13Bは、上記オペレータ端末OTから送信されたエンティティ登録要求を通信I/F部4Bを介して受信し、受信した上記エンティティ登録要求をエンティティ情報登録処理部14Bに渡す。 The entity registration request receiving processing unit 13B receives the entity registration request sent from the operator terminal OT via the communication I/F unit 4B and passes the received entity registration request to the entity information registration processing unit 14B.
エンティティ情報登録処理部14Bは、受信された上記エンティティ登録要求により表されるエンティティ情報について、登録条件を満たしているか否かを判定し、登録条件を満たしている場合に当該エンティティ情報をエンティティ情報DB32Bに登録する。 The entity information registration processing unit 14B determines whether the entity information represented by the received entity registration request satisfies the registration conditions, and if the registration conditions are met, registers the entity information in the entity information DB 32B.
上記エンティティ情報が登録条件を満たしているか否かの判定では、仕様・ポリシー情報DB31Bに登録された対応する差分仕様情報と、その継承元となるネットワークまたは装置の仕様情報とをもとに、すべての属性情報を含む完全な仕様情報を生成し、生成した上記完全な仕様情報に基づいて上記エンティティ情報が登録条件を満たしているか否かを判定する処理が行われるが、その一例は動作例において述べる。 To determine whether the above entity information satisfies the registration conditions, complete specification information including all attribute information is generated based on the corresponding differential specification information registered in the specification/policy information DB31B and the specification information of the network or device from which it is inherited, and a process is performed to determine whether the above entity information satisfies the registration conditions based on the generated complete specification information; an example of this is described in the operation example.
アクセス制御処理部15Bは、利用者端末UT1~UTnから、例えば所望のネットワークまたは装置に対し定義されたエンティティ情報の開示要求が送信された場合に、この開示要求を通信I/F部4Bを介して受信する。そして、アクセス制御処理部15Bは、受信した上記開示要求により指定されるエンティティ情報について、対応する仕様情報に紐付けられているポリシー情報をもとに開示条件を満たすか否かを判定し、開示条件を満たしている場合に、上記エンティティ情報を通信I/F部4Bから要求元の利用者端末UT1~UTnへ送信する処理を行う。このアクセス制御処理の一例は動作例において述べる。 When a disclosure request for entity information defined for a desired network or device is sent from a user terminal UT1 to UTn, for example, the access control processing unit 15B receives this disclosure request via the communication I/F unit 4B. The access control processing unit 15B then determines whether the entity information specified in the received disclosure request satisfies the disclosure conditions based on the policy information linked to the corresponding specification information, and if the disclosure conditions are met, performs processing to transmit the entity information from the communication I/F unit 4B to the requesting user terminal UT1 to UTn. An example of this access control processing will be described in the operation example.
(動作例)
次に、以上のように構成されたネットワーク管理システムの動作例を説明する。
この例では、ネットワーク管理装置NMの仕様・ポリシー情報DB31Bに、例えばEthernetを使用するネットワークの通信終端点(Termination Point Encapsulation:TPE)に関する仕様情報と、この仕様情報の開示条件を表すポリシー情報が既に登録されているものとして説明を行う。
(Example of operation)
Next, an example of the operation of the network management system configured as above will be described.
In this example, we will assume that specification information regarding the communication termination point (Termination Point Encapsulation: TPE) of a network that uses, for example, Ethernet, and policy information representing the disclosure conditions of this specification information have already been registered in the specification/policy information DB31B of the network management device NM.
(1)仕様情報およびポリシー情報の登録
(1-1)オペレータ端末OTによる仕様情報およびポリシー情報の入力受付と送信
図6は、オペレータ端末OTの制御部1Aが実行する仕様情報、ポリシー情報およびエンティティ情報の入力受付処理とその登録要求送信処理の処理手順と処理内容の一例を示すフローチャートである。
(1) Registration of specification information and policy information (1-1) Input acceptance and transmission of specification information and policy information by operator terminal OT FIG. 6 is a flowchart showing an example of the processing procedure and processing content of the input acceptance processing of specification information, policy information, and entity information and its registration request transmission processing executed by the control unit 1A of the operator terminal OT.
オペレータ端末OTの制御部1Aは、待受状態において、ステップS10,S20によりそれぞれ仕様・ポリシー情報入力モードおよびエンティティ情報入力モードのいずれが設定されたかを判定する。 In standby mode, the control unit 1A of the operator terminal OT determines whether the specification/policy information input mode or the entity information input mode has been set in steps S10 and S20, respectively.
上記仕様・ポリシー情報入力モードが設定された状態で、例えば他のベンダが提供するネットワーク設備に関する仕様情報を追加登録しようとする場合、ネットワーク管理者は先ず上記登録対象となる他のベンダのネットワーク設備が、登録済の上記ネットワーク設備と特性の一部が類似するかどうかを判断する。そして、特性が類似する場合、ネットワーク管理者は、上記登録対象のネットワーク設備の仕様情報のうち、上記登録済のネットワーク設備の仕様情報との差分、つまり仕様情報に含まれる複数の属性情報のうち属性の名称または取り得る範囲が異なる特有の属性情報を生成する。 When the specification/policy information input mode is set and, for example, specification information for network equipment provided by another vendor is to be registered, the network administrator first determines whether the network equipment from the other vendor to be registered has some similar characteristics to the registered network equipment. If the characteristics are similar, the network administrator generates unique attribute information from the specification information of the network equipment to be registered that is different from the specification information of the registered network equipment, i.e., unique attribute information with different attribute names or possible ranges from the multiple attribute information included in the specification information.
また、それと共にネットワーク管理者は、上記登録済のネットワーク設備の仕様情報の複数の属性情報のうち、属性の名称と属性の取り得る値が共通する属性情報を上記登録対象のネットワーク設備の仕様情報に継承させるため、上記登録済のネットワーク設備の仕様情報と上記登録対象のネットワーク設備の仕様情報との継承関係を表す継承関係情報を生成する。 In addition, the network administrator generates inheritance relationship information that represents the inheritance relationship between the specification information of the registered network equipment and the specification information of the network equipment to be registered, in order to have the specification information of the network equipment to be registered inherit attribute information that has common attribute names and possible values from the multiple attribute information in the specification information of the registered network equipment.
そして、ネットワーク管理者は、生成した上記登録対象のネットワーク設備特有の属性情報および上記継承関係情報を、入力デバイス51からオペレータ端末OTに入力する。 Then, the network administrator inputs the generated attribute information specific to the network equipment to be registered and the inheritance relationship information into the operator terminal OT from the input device 51.
なお、上記特有の属性情報および継承関係情報を定義する処理は、例えばネットワーク管理者が独自に管理しているデータベース、またはネットワーク管理装置NMの仕様・ポリシー情報DB31Bから登録済のネットワーク設備に関する仕様情報を取得し、取得した仕様情報を参照することにより行われる。また、上記継承関係情報は、登録対象のネットワーク設備特有の属性情報を定義する際に、ネットワーク管理者が選択した第1および第2のネットワーク設備に関する情報をもとに、オペレータ端末OTにより自動生成されるようにしてもよい。 The process of defining the above-mentioned unique attribute information and inheritance relationship information is performed, for example, by obtaining specification information about registered network equipment from a database independently managed by the network administrator or from the specification/policy information DB31B of the network management device NM, and then referencing the obtained specification information. Furthermore, the above-mentioned inheritance relationship information may be automatically generated by the operator terminal OT based on information about the first and second network equipment selected by the network administrator when defining the attribute information unique to the network equipment to be registered.
オペレータ端末OTの制御部1Aは、上記入力デバイス51において入力された上記登録対象のネットワーク設備特有の属性情報および継承関係情報を、仕様情報入力受付処理部11Aの制御の下、それぞれステップS11,S12により取り込む。そして、取り込んだ上記登録対象のネットワーク設備特有の属性情報および継承関係情報を、継承元の仕様情報に対する差分を表す差分仕様情報として仕様・ポリシー情報記憶部31Aに一旦保存する。The control unit 1A of the operator terminal OT, under the control of the specification information input reception processing unit 11A, imports the attribute information and inheritance relationship information specific to the network equipment to be registered that were input via the input device 51 in steps S11 and S12, respectively. The imported attribute information and inheritance relationship information specific to the network equipment to be registered is then temporarily stored in the specification/policy information storage unit 31A as differential specification information that represents the differences from the specification information from which the information is to be inherited.
上記差分仕様情報の入力が終了するとネットワーク管理者は、次に、上記差分仕様情報に対しポリシー情報を定義する。そして、このポリシー情報を入力デバイス51からネットワーク管理装置NMに入力する。 Once the input of the differential specification information is complete, the network administrator then defines policy information for the differential specification information. This policy information is then input into the network management device NM from the input device 51.
ポリシー情報は、通常であれば、ポリシーの適用先を表す仕様情報名と、開示条件と、処理の内容を表すアクションとを含むように定義される。但し、この発明の一実施形態では、ポリシー情報として、継承制御情報またはポリシーの変更情報が定義される。このうち継承制御情報は、継承元の仕様情報に対応付けられているポリシー情報の差分仕様情報への継承を許可するか否かを指定する情報である。これに対しポリシー変更情報は、継承元の仕様情報に対応付けられているポリシー情報を変更するもので、変更後のポリシー情報の内容を含んでいる。 Policy information is typically defined to include the name of the specification information to which the policy applies, the disclosure conditions, and an action that indicates the content of the processing. However, in one embodiment of the present invention, inheritance control information or policy change information is defined as policy information. Of these, inheritance control information is information that specifies whether or not to allow the inheritance of policy information associated with the specification information from which the policy is inherited to the differential specification information. In contrast, policy change information changes the policy information associated with the specification information from which the policy is inherited, and includes the content of the changed policy information.
上記ポリシー情報が入力されると、オペレータ端末OTの制御部1Aは、ポリシー情報入力受付処理部12Aの制御の下、ステップS13において、入力デバイス51により上記ポリシー情報を入出力I/F部5Aを介して取り込む。そして、取り込んだ上記ポリシー情報を、先に取得した上記差分仕様情報と対応付けて仕様・ポリシー情報記憶部31Aに一旦保存する。 When the policy information is input, the control unit 1A of the operator terminal OT, under the control of the policy information input reception processing unit 12A, imports the policy information via the input/output I/F unit 5A using the input device 51 in step S13. The imported policy information is then associated with the previously acquired differential specification information and temporarily stored in the specification/policy information storage unit 31A.
次に、オペレータ端末OTの制御部1Aは、ネットワーク管理者の送信指示の入力操作をステップS14で検出すると、仕様・ポリシー登録要求送信処理部14Aの制御の下、ステップS15において、上記仕様・ポリシー情報記憶部31Aから上記差分仕様情報およびポリシー情報を読み込み、読み込んだ上記各情報を含む仕様・ポリシー登録要求を通信I/F部4Aからネットワーク管理装置NMへ送信する。 Next, when the control unit 1A of the operator terminal OT detects the network administrator's input operation of a transmission instruction in step S14, under the control of the specification/policy registration request transmission processing unit 14A, in step S15, it reads the above differential specification information and policy information from the above specification/policy information storage unit 31A, and transmits a specification/policy registration request including the above read information from the communication I/F unit 4A to the network management device NM.
なお、オペレータ端末OTの制御部1Aは、追加対象のネットワーク設備の1台について仕様情報およびポリシー情報の入力受付および送信処理が終了すると、ステップS16において登録対象として次のネットワーク設備があるか否かを判定し、あればステップS11に戻って、ステップS11~S16による上記した一連の仕様情報の入力受付と送信処理を実行する。そして、上記仕様・ポリシー情報の登録終了指示が入力されると、待受状態に戻る。 When the control unit 1A of the operator terminal OT has completed the input acceptance and transmission process of specification information and policy information for one of the network facilities to be added, it determines in step S16 whether there is a next network facility to be registered, and if so, returns to step S11 and executes the above-mentioned series of specification information input acceptance and transmission processes in steps S11 to S16. Then, when an instruction to end the registration of the specification and policy information is input, it returns to the standby state.
(1-2)ネットワーク管理装置NMによる仕様情報およびポリシー情報の登録
図7は、ネットワーク管理装置NMの制御部1Bが実行する仕様情報、ポリシー情報およびエンティティ情報の登録処理の処理手順と処理内容の一例を示すフローチャートである。
(1-2) Registration of Specification Information and Policy Information by the Network Management Device NM FIG. 7 is a flowchart showing an example of the processing procedure and processing content of the registration processing of specification information, policy information, and entity information executed by the control unit 1B of the network management device NM.
ネットワーク管理装置NMの制御部1Bは、待受状態において、ステップS30,S40によりそれぞれ仕様・ポリシー登録要求およびエンティティ登録要求の受信を監視している。 In standby mode, the control unit 1B of the network management device NM monitors the receipt of specification/policy registration requests and entity registration requests in steps S30 and S40, respectively.
この状態で、オペレータ端末OTから仕様・ポリシー登録要求が送信され、この仕様・ポリシー登録要求が通信I/F部4Bにより受信されると、仕様・ポリシー登録要求受信処理部11BはステップS30において上記仕様・ポリシー登録要求を取り込み、取り込んだ上記仕様登録要求を仕様・ポリシー情報登録処理部12Bに渡す。 In this state, a specification/policy registration request is sent from the operator terminal OT, and when this specification/policy registration request is received by the communication I/F unit 4B, the specification/policy registration request receiving processing unit 11B captures the specification/policy registration request in step S30 and passes the captured specification registration request to the specification/policy information registration processing unit 12B.
仕様・ポリシー情報登録処理部12Bは、ステップS31において、上記仕様・ポリシー登録要求に含まれる差分仕様情報およびポリシー情報を、登録対象の仕様情報の名前を表す識別情報と対応付けて、仕様・ポリシー情報DB31Bに登録する。 In step S31, the specification/policy information registration processing unit 12B associates the differential specification information and policy information contained in the above specification/policy registration request with identification information representing the name of the specification information to be registered and registers them in the specification/policy information DB 31B.
図10は、上記差分仕様情報およびポリシー情報の登録結果の一例を示す図である。
この例では、仕様・ポリシー情報DB31Bに、仕様情報を表すTPE_Ethernet_Specおよびその開示条件を定義するポリシー情報が既に登録され、この状態でベンダA社、B社およびC社がそれぞれ提供するネットワーク設備の仕様情報を表すTPE_Ethernet_A社_Spec、TPE_Ethernet_B社_SpecおよびTPE_Ethernet_C社_Specの差分仕様情報およびそのポリシー情報が追加登録された場合を示している。
FIG. 10 is a diagram showing an example of the registration result of the differential specification information and policy information.
In this example, TPE_Ethernet_Spec, which represents specification information, and policy information defining its disclosure conditions have already been registered in specification/policy information DB31B, and in this state, differential specification information and policy information for TPE_Ethernet_A Company_Spec, TPE_Ethernet_B Company_Spec, and TPE_Ethernet_C Company_Spec, which represent specification information for network equipment provided by vendors A, B, and C, respectively, are additionally registered.
この例では、登録済の仕様情報TPE_Ethernet_Specは4つの属性情報を含んでいる。各属性情報は、属性の名称を表すResource Spec Characteristic(RSC)と、属性が取り得る範囲を表すResource Spec Characteristic Value(RSCV)とのペアで表される。 In this example, the registered specification information TPE_Ethernet_Spec contains four attribute information. Each attribute information is represented by a pair of Resource Spec Characteristic (RSC), which represents the name of the attribute, and Resource Spec Characteristic Value (RSCV), which represents the range that the attribute can take.
そして仕様情報は、例えば
TPE_Ethernet_Spec
・RSC:vlan/RSCV:1-4096
・RSC:帯域/RSCV:1-1000Mbps
・RSC:physicalpor/RSCV:ppの名前
・RSC:owner/RSCV:所有者名
のように定義される。
And the specification information, e.g.
TPE_Ethernet_Spec
・RSC: vlan / RSCV: 1-4096
・RSC: Bandwidth/RSCV: 1-1000Mbps
It is defined as follows: RSC: physicalpor/RSCV: pp name RSC: owner/RSCV: owner name
また、上記登録済の仕様情報に対応付けられるポリシー情報は、属性として、適用先、開示の条件およびアクションが定義される。これらの属性は、例えば
適用先:TPE_ Ethernet_Spec
条件:「要求者がownerと等しい」
アクション:「開示可能」
のように記載される。
The policy information associated with the registered specification information defines the application destination, disclosure conditions, and actions as attributes. These attributes are, for example,
Condition: "Requester is equal to owner"
Action: "Discloseable"
It is written as follows.
一方、追加登録されたA社、B社およびC社の各ネットワーク設備の差分仕様情報は、いずれも特有の属性情報のみを含んでいる。そして、例えば
TPE_Ethernet_A社_Spec
・RSC:vlan/RSCV:1-1000
TPE_Ethernet_B社_Spec
・RSC:帯域/RSCV:1-500Mbps
TPE_Ethernet_C社_Spec
・RSC:帯域/RSCV:1-500Mbps
のように定義される。
On the other hand, the differential specification information of the additionally registered network equipment of each of companies A, B, and C includes only unique attribute information.
TPE_Ethernet_Company A_Spec
・RSC: vlan / RSCV: 1-1000
TPE_Ethernet_Company B_Spec
・RSC: Bandwidth/RSCV: 1-500Mbps
TPE_Ethernet_CompanyC_Spec
・RSC: Bandwidth/RSCV: 1-500Mbps
It is defined as follows:
また、上記各社の差分仕様情報には継承関係情報が含まれている。この継承関係を表す情報について、図10では、簡単のため、継承関係を線と矢印とにより表した例を示している。しかし、実際には例えば
・TPE_ Ethernet_Spec→TPE_Ethernet_A社_Spec
・TPE_ Ethernet_Spec→TPE_Ethernet_B社_Spec
・TPE_ Ethernet_Spec→TPE_Ethernet_C社_Spec
のように定義される。なお、継承関係情報は、その他の記号またはテキストデータを用いて表されてもよく、その記載方法は制御部1Bが認識可能なものであればとのようなものであってもよい。
Furthermore, the differential specification information of each company includes inheritance relationship information. For simplicity, Fig. 10 shows an example of the inheritance relationship represented by lines and arrows. However, in reality, for example, TPE_Ethernet_Spec → TPE_Ethernet_Company A_Spec
・TPE_Ethernet_Spec → TPE_Ethernet_Company B_Spec
・TPE_Ethernet_Spec→TPE_Ethernet_CompanyC_Spec
The inheritance relationship information may be expressed using other symbols or text data, and the description method may be any method that can be recognized by the control unit 1B.
さらに、上記各差分仕様情報のうち、A社およびB社の差分仕様情報に対しては、それぞれ継承制御情報として「ポリシー継承しない」、「ポリシー継承する」が定義され、またC社の差分仕様情報に対しては、仕様の変更内容を表す情報として、
適用先:TPE_Ethernet_C社_Spec
条件:「要求者が誰でも」
アクション:「開示可能」
が定義されている。
Furthermore, of the above-mentioned differential specification information, for the differential specification information of company A and company B, "no policy inheritance" and "policy inheritance" are defined as inheritance control information, respectively, and for the differential specification information of company C, the following information is defined as information indicating the change content of the specification:
Applicable to: TPE_Ethernet_CompanyC_Spec
Condition: "Anyone who requests it"
Action: "Discloseable"
is defined.
なお、ポリシー情報で定義される開示条件は、他にvlan、帯域、波長数、装置のIPアドレス等を定義する属性に対する開示の可否を設定するものであってもよく、さらには仕様情報を構成するすべての属性に対し開示の可否を設定するものであってもよい。また、開示条件として、複数の属性に対し、例えばアンド条件またはオア条件を単独または組み合わせることで開示の可否を設定するものであってもよい。 The disclosure conditions defined in the policy information may also set whether or not to disclose attributes that define other attributes such as VLAN, bandwidth, number of wavelengths, and device IP address, or may even set whether or not to disclose all attributes that make up the specification information. Furthermore, the disclosure conditions may set whether or not to disclose multiple attributes by using, for example, AND or OR conditions, either alone or in combination.
(2)エンティティ情報の登録
(2-1)オペレータ端末OTによるエンティティ情報の入力受付と送信
エンティティ情報入力モードが設定した状態で、ネットワーク管理者は、続いて上記追加対象のネットワーク設備について実際に使用するリソースを表すエンティティ情報を定義し、定義したエンティティ情報を入力デバイス51において入力する。
(2) Registration of entity information (2-1) Acceptance of input of entity information by operator terminal OT and transmission thereof With the entity information input mode set, the network administrator then defines entity information representing the resources actually used for the network equipment to be added, and inputs the defined entity information into the input device 51.
オペレータ端末OTの制御部1Aは、上記入力デバイス51において入力されたエンティティ情報を、エンティティ情報入力受付処理部13Aの制御の下、ステップS21により取り込んで、エンティティ情報記憶部32Aに一旦保存する。 The control unit 1A of the operator terminal OT, under the control of the entity information input reception processing unit 13A, imports the entity information input on the input device 51 in step S21 and temporarily stores it in the entity information storage unit 32A.
次に、オペレータ端末OTの制御部1Aは、ネットワーク管理者の送信指示の入力操作をステップS22で検出すると、エンティティ登録要求送信処理部15Aの制御の下、ステップS23において、上記エンティティ情報をエンティティ情報記憶部32Aから読み出し、読み出した上記エンティティ情報の登録要求を通信I/F部4Aからネットワーク管理装置NMに向け送信する。 Next, when the control unit 1A of the operator terminal OT detects the network administrator's input operation of a transmission instruction in step S22, under the control of the entity registration request transmission processing unit 15A, in step S23, it reads the above entity information from the entity information storage unit 32A and transmits a registration request for the above read entity information from the communication I/F unit 4A to the network management device NM.
なお、オペレータ端末OTの制御部1Aは、追加したネットワーク設備の1つについてのエンティティ情報の入力受付および送信処理が終了すると、ステップS16において登録対象のエンティティ情報が他にあるか否かを判定し、あればステップS11に戻って、ステップS11~S16による上記した一連のエンティティ情報の入力受付と送信処理を実行する。そして、上記エンティティ情報の登録終了指示が入力されると、待受状態に戻る。 When the control unit 1A of the operator terminal OT has completed the input acceptance and transmission process of entity information for one of the added network devices, it determines in step S16 whether there is any other entity information to be registered. If there is, it returns to step S11 and executes the above-mentioned series of entity information input acceptance and transmission processes in steps S11 to S16. Then, when an instruction to end registration of the above-mentioned entity information is input, it returns to the standby state.
(2-2)ネットワーク管理装置NMによるエンティティ情報の登録
オペレータ端末OTからエンティティ登録要求が送信され、このエンティティ登録要求が通信I/F部4Bにより受信されると、エンティティ登録要求受信処理部13BはステップS40において上記エンティティ登録要求を取り込み、取り込んだ上記エンティティ登録要求をエンティティ情報登録処理部14Bに渡す。
(2-2) Registration of entity information by the network management device NM When an entity registration request is sent from the operator terminal OT and this entity registration request is received by the communication I/F unit 4B, the entity registration request receiving processing unit 13B captures the entity registration request in step S40 and passes the captured entity registration request to the entity information registration processing unit 14B.
エンティティ情報登録処理部14Bは、上記エンティティ登録要求を受け取ると、ステップS41において、エンティティ情報を登録するための一連の処理を以下のように実行する。 When the entity information registration processing unit 14B receives the above-mentioned entity registration request, in step S41, it performs a series of processes to register the entity information as follows.
図8は、上記エンティティ情報登録処理部14Bが実行するエンティティ情報登録処理の処理手順と処理内容の一例を示すフローチャートである。 Figure 8 is a flowchart showing an example of the processing procedure and processing content of the entity information registration processing performed by the entity information registration processing unit 14B.
すなわち、エンティティ情報登録処理部14Bは、先ずステップS411により、上記エンティティ登録要求により指定されるネットワーク設備の差分仕様情報を仕様・ポリシー情報DB31Bから読み込む。エンティティ情報登録処理部14Bは、次にステップS412において、読み込んだ上記差分仕様情報に含まれる継承関係情報をもとに、仕様・ポリシー情報DB31Bから継承元となるネットワーク設備に関する仕様情報を読み込む。 That is, in step S411, the entity information registration processing unit 14B first reads the differential specification information of the network equipment specified in the entity registration request from the specification/policy information DB 31B. Next, in step S412, the entity information registration processing unit 14B reads specification information related to the network equipment that will be the inheritance source from the specification/policy information DB 31B based on the inheritance relationship information contained in the read differential specification information.
エンティティ情報登録処理部14Bは、続いてステップS413において、読み込んだ上記継承元となるネットワーク設備の仕様情報に含まれる属性情報と、上記差分仕様情報に含まれる特有の属性情報とを合成し、これによりネットワーク設備の特性を定義するために必要なすべての属性情報を含んだ完全な仕様情報を生成する。 The entity information registration processing unit 14B then, in step S413, combines the attribute information contained in the specification information of the network equipment from which the inheritance was derived with the unique attribute information contained in the differential specification information, thereby generating complete specification information containing all the attribute information necessary to define the characteristics of the network equipment.
エンティティ情報登録処理部14Bは、次にステップS414において、上記エンティティ登録要求に含まれるエンティティ情報により定義される属性情報を、上記生成した完全な仕様情報に含まれる属性情報と比較する。そして、ステップS415において、上記エンティティ登録要求により要求された属性の取り得る値が、上記登録先のネットワーク設備の完全な仕様情報に含まれる各属性情報のうち、名前が一致する属性が取り得る範囲に含まれるか否かを判定する。すなわち、エンティティ登録要求の内容が、登録先のネットワーク設備の仕様情報の属性により定義される登録条件を満たしているか否かを判定する。 In step S414, the entity information registration processing unit 14B then compares the attribute information defined by the entity information included in the entity registration request with the attribute information included in the generated complete specification information. Then, in step S415, it determines whether the possible values of the attributes requested in the entity registration request are within the range of possible values of attributes with matching names among the attribute information included in the complete specification information of the network equipment to be registered. In other words, it determines whether the contents of the entity registration request satisfy the registration conditions defined by the attributes in the specification information of the network equipment to be registered.
この判定の結果、エンティティ登録要求の内容が登録条件を満たしていれば、エンティティ情報登録処理部14BはステップS416に移行し、上記エンティティ登録要求に含まれるエンティティ情報をエンティティ情報DB32Bに登録する。そして、最後にステップS417により、登録完了メッセージを要求元のオペレータ端末OTへ通信I/F部4Bから送信する。 If the result of this determination is that the contents of the entity registration request satisfy the registration conditions, the entity information registration processing unit 14B proceeds to step S416 and registers the entity information included in the entity registration request in the entity information DB 32B. Finally, in step S417, a registration completion message is sent from the communication I/F unit 4B to the operator terminal OT that originated the request.
なお、エンティティ情報は、上記仕様情報に対応する複数の属性情報を含む。各属性情報は、いずれも属性の名称を表すRSC と、属性に対する値を表すResource Characteristic Value(RCV)とのペアにより表される。その一例はアクセス制御において示す。 The entity information includes multiple attribute information corresponding to the above specification information. Each attribute information is represented by a pair of RSC, which represents the name of the attribute, and Resource Characteristic Value (RCV), which represents the value for the attribute. An example is shown in the access control section.
なお、仕様・ポリシー登録要求が受信されたときに、当該仕様・ポリシー登録要求に含まれる継承関係情報をもとに継承元の仕様情報を仕様・ポリシー情報DB31Bから読み出し、この継承元の仕様情報と上記仕様・ポリシー登録要求に含まれる差分仕様情報をもとに完全な仕様情報を生成して仕様・ポリシー情報DB31Bに登録しておくことも可能である。この場合、エンティティ情報登録処理部14Bは、エンティティ情報の登録可否を判定する際に、上記完全な仕様情報の生成処理を行う必要がなく、仕様・ポリシー情報DB31Bから上記完全な仕様情報を取得してエンティティ情報の登録の可否を判定することができる。 When a specification/policy registration request is received, it is also possible to read the inheritance source specification information from specification/policy information DB31B based on the inheritance relationship information included in the specification/policy registration request, and generate complete specification information based on this inheritance source specification information and the differential specification information included in the specification/policy registration request, and register this in specification/policy information DB31B. In this case, when determining whether or not to register entity information, the entity information registration processing unit 14B does not need to perform the process of generating the complete specification information, but can obtain the complete specification information from specification/policy information DB31B and determine whether or not to register the entity information.
(3)登録された仕様情報に対するアクセス制御
図9は、ネットワーク管理装置NMの制御部1Bが実行するアクセス制御の処理手順と処理内容の一例を示すフローチャートである。
(3) Access Control for Registered Specification Information FIG. 9 is a flowchart showing an example of the procedure and content of the access control process executed by the control unit 1B of the network management device NM.
(3-1)ポリシーが継承されない場合
図11は、ポリシーが継承されず、開示要求が無条件で拒否される場合のアクセス制御の一例を示す図である。
(3-1) When Policy is Not Inherited FIG. 11 is a diagram showing an example of access control when policy is not inherited and a disclosure request is unconditionally rejected.
ネットワーク管理装置NMに登録済の仕様情報に対し、例えばX社のネットワーク管理者が、利用者端末UT1~UTnの1つである端末UTiを用いて開示要求を送信したとする。 For example, suppose a network administrator from Company X sends a disclosure request using terminal UTi, one of the user terminals UT1 to UTn, for specification information registered in the network management device NM.
これに対し、ネットワーク管理装置NMの制御部1Bは、アクセス制御処理部15Bの制御の下、ステップS50により上記開示要求の受信を検出する。上記開示要求が受信されるとアクセス制御処理部15Bは、先ずステップS51において、開示要求で指定されるエンティティ名に対応するエンティティ情報をエンティティ情報DB32Bから取得する。In response to this, the control unit 1B of the network management device NM, under the control of the access control processing unit 15B, detects the receipt of the above-mentioned disclosure request in step S50. When the above-mentioned disclosure request is received, the access control processing unit 15B first obtains, in step S51, entity information corresponding to the entity name specified in the disclosure request from the entity information DB 32B.
図11に示す例では、開示要求でTPE_Ethernet 1が指定されているため、アクセス制御処理部15Bは、図11の(1) に示すように、エンティティ情報DB32Bから上記TPE_Ethernet 1で示されるエンティティ情報を取得する。 In the example shown in Figure 11, TPE_Ethernet 1 is specified in the disclosure request, so the access control processing unit 15B obtains the entity information indicated by TPE_Ethernet 1 from the entity information DB 32B, as shown in (1) of Figure 11.
続いて、アクセス制御処理部15Bは、ステップS52において、開示を要求された上記エンティティ情報の生成元となる差分仕様情報に対応付けられているポリシー情報を、仕様・ポリシー情報DB31Bから読み込む。 Next, in step S52, the access control processing unit 15B reads from the specification/policy information DB 31B the policy information associated with the differential specification information from which the entity information requested to be disclosed was generated.
図11に示す例では、開示を要求された上記エンティティ情報TPE_Ethernet 1に、生成元の差分仕様情報としてTPE_Ethernet_A社_specが記載されている。このため、アクセス制御処理部15Bは、図11中の(2) に示すように、先ず差分仕様情報TPE_Ethernet_A社_specを検索し、検索した上記差分仕様情報TPE_Ethernet_A社_specに対応付けられているポリシー情報を仕様・ポリシー情報DB31Bから取得する。 In the example shown in Figure 11, the entity information TPE_Ethernet 1 requested to be disclosed lists TPE_Ethernet_Company A_spec as the differential specification information of the source. Therefore, as shown in (2) in Figure 11, the access control processing unit 15B first searches for the differential specification information TPE_Ethernet_Company A_spec, and then obtains the policy information associated with the retrieved differential specification information TPE_Ethernet_Company A_spec from the specification/policy information DB 31B.
上記ポリシー情報を取得するとアクセス制御処理部15Bは、次にステップS53において、上記ポリシー情報の内容は「継承制御情報」であるか、または「ポリシー変更情報」であるかを判定する。この判定の結果、「継承制御情報」であれば、アクセス制御処理部15BはさらにステップS54において、上記「継承制御情報」は「継承する」であるか「継承しない」であるかを判定する。 After acquiring the policy information, the access control processing unit 15B next determines in step S53 whether the content of the policy information is "inheritance control information" or "policy change information." If the result of this determination is "inheritance control information," the access control processing unit 15B then determines in step S54 whether the "inheritance control information" is "inherit" or "not inherit."
図11に示す例では、「継承制御情報」は「継承しない」となっている。このため、アクセス制御処理部15Bは、図11の(3) に示すように、上記開示要求されたエンティティ情報TPE_Ethernet 1に対応する差分仕様情報TPE_Ethernet_A社_specにはポリシー情報が設定されていない判定する。そして、この判定の結果に基づいて、アクセス制御処理部15Bは、上記開示要求により指定されたエンティティ情報TPE_Ethernet 1の開示を不許可とする。そして、代わりにステップS58において開示不可メッセージを生成し、生成した上記開示不可メッセージを通信I/F部4Bから要求元の利用者端末UTiへ返送する。 In the example shown in Figure 11, the "inheritance control information" is set to "do not inherit." Therefore, as shown in (3) of Figure 11, the access control processing unit 15B determines that no policy information is set in the differential specification information TPE_Ethernet_Company A_spec corresponding to the entity information TPE_Ethernet 1 for which disclosure has been requested. Based on the result of this determination, the access control processing unit 15B denies disclosure of the entity information TPE_Ethernet 1 specified in the disclosure request. Instead, in step S58, it generates a disclosure-prohibited message and returns the generated disclosure-prohibited message from the communication I/F unit 4B to the requesting user terminal UTi.
(3-2)継承されたポリシーの開示条件を開示要求が満たす場合
図12は、ポリシーが継承され、かつ継承されたポリシーの開示条件を開示要求が満たす場合のアクセス制御の一例を示す図である。
(3-2) When a disclosure request satisfies the disclosure conditions of an inherited policy FIG. 12 is a diagram showing an example of access control when a policy is inherited and a disclosure request satisfies the disclosure conditions of the inherited policy.
なお、図9においてステップS50からステップS54までの処理は、先に述べた(3-1)の場合と同一であるため、その説明は省略する。 Note that the processing from step S50 to step S54 in Figure 9 is the same as in the case (3-1) described above, so its explanation will be omitted.
図12の(2) に示すように、開示要求されたエンティティ情報TPE_Ethernet_1に対応する差分仕様情報TPE_Ethernet_B社_Specに対応付けられたポリシー情報に、「継承する」が記載されていたとする。この場合、アクセス制御処理部15Bは、ステップS55において、上記差分仕様情報TPE_Ethernet_B社_Specの継承元となる仕様情報TPE_Ethernet_Specを検索し、この継承元の仕様情報に対応付けられているポリシー情報を、図12の(3) に示すように仕様・ポリシー情報DB31Bから取得する。そして、アクセス制御処理部15Bは、ステップS56において、上記開示要求の要求内容が、上記継承されたポリシー情報で定義される開示条件を満たしているか否かを判定する。 As shown in (2) of Figure 12, assume that "inherit" is entered in the policy information associated with the differential specification information TPE_Ethernet_Company_B_Spec corresponding to the entity information TPE_Ethernet_1 for which disclosure has been requested. In this case, in step S55, the access control processing unit 15B searches for the specification information TPE_Ethernet_Spec that is the inheritance source of the differential specification information TPE_Ethernet_Company_B_Spec, and obtains the policy information associated with this inheritance source specification information from the specification/policy information DB 31B, as shown in (3) of Figure 12. Then, in step S56, the access control processing unit 15B determines whether the request content of the disclosure request satisfies the disclosure conditions defined in the inherited policy information.
図12に示す例では、継承された上記ポリシー情報に、開示条件として「要求者がownerと等しい」と定義されており、これに対し開示要求に記載された要求者は「X社」となっている。このため、アクセス制御処理部15Bは、図12の(4) に示すように、要求者X社は要求対象となるエンティティ情報の所有者と一致することから、上記開示要求の要求内容は開示条件を満たすと判定する。 In the example shown in Figure 12, the inherited policy information defines the disclosure condition as "requester is equal to owner," while the requester listed in the disclosure request is "Company X." Therefore, as shown in (4) of Figure 12, the access control processing unit 15B determines that the request content of the disclosure request satisfies the disclosure condition, because requester Company X matches the owner of the entity information that is the subject of the request.
アクセス制御処理部15Bは、上記判定結果に基づいて、ステップS57において上記開示要求により指定されたエンティティ情報を、通信I/F部4Bから要求元の上記利用者端末UTiへ送信する。かくして、図12の(5) に示すように、エンティティ情報TPE_Ethernet 1が開示される。 Based on the above judgment result, the access control processing unit 15B transmits the entity information specified in the above disclosure request from the communication I/F unit 4B to the requesting user terminal UTi in step S57. Thus, the entity information TPE_Ethernet 1 is disclosed, as shown in (5) of Figure 12.
(3-3)継承されたポリシーの開示条件を満たさない場合
図13は、ポリシーは継続されたものの、開示要求が継承された上記ポリシーの開示情報を満たさない場合のアクセス制御の一例を示す図である。
(3-3) When the disclosure conditions of the inherited policy are not met Figure 13 is a diagram showing an example of access control when the policy is continued but the disclosure request does not meet the disclosure information of the inherited policy.
なお、図9においてステップS50からステップS55までの処理は、先に述べた(3-2)の場合と同一であるため、その説明は省略する。 Note that the processing from step S50 to step S55 in Figure 9 is the same as in the case (3-2) described above, so its explanation will be omitted.
アクセス制御処理部15Bは、ステップS55において、図13の(3) に示すように、継承されたポリシー情報を仕様・ポリシー情報DB31Bから取得すると、ステップS56において、利用者端末UTiから送られた開示要求の要求内容が、上記継承されたポリシー情報で定義される開示条件を満たしているか否かを判定する。 In step S55, the access control processing unit 15B obtains the inherited policy information from the specification/policy information DB 31B, as shown in (3) of Figure 13, and in step S56, determines whether the request content of the disclosure request sent from the user terminal UTi satisfies the disclosure conditions defined in the inherited policy information.
図13に示す例では、開示要求に記載された要求者が「Y社」であり、これに対し継承された上記ポリシー情報には開示条件として「要求者がownerと等しい」が定義されている。このため、要求者Y社は要求対象となるエンティティ情報のownerと一致せず、アクセス制御処理部15Bは、図13の(4) に示すように、上記開示要求の要求内容はポリシーに定義される開示条件を満たさないと判定する。 In the example shown in Figure 13, the requester listed in the disclosure request is "Company Y," and the inherited policy information defines the disclosure condition as "the requester is equal to the owner." Therefore, the requester, Company Y, does not match the owner of the entity information that is the target of the request, and the access control processing unit 15B determines that the request content of the disclosure request does not satisfy the disclosure condition defined in the policy, as shown in (4) of Figure 13.
この判定の結果アクセス制御処理部15Bは、上記開示要求により指定されたエンティティ情報TPE_Ethernet 1の開示を不許可とし、代わりにステップS58において開示不可メッセージを生成して、この開示不可メッセージを通信I/F部4Bから要求元の利用者端末UTiへ返送する。 As a result of this judgment, the access control processing unit 15B denies disclosure of the entity information TPE_Ethernet 1 specified in the above disclosure request, and instead generates a disclosure-prohibited message in step S58 and returns this disclosure-prohibited message from the communication I/F unit 4B to the requesting user terminal UTi.
(3-4)変更されたポリシーの開示条件を開示要求が満たす場合
図14は、ポリシーが変更され、その結果変更後のポリシーの開示条件を開示要求が満たすようになった場合のアクセス制御の一例を示す図である。
(3-4) When the disclosure request satisfies the disclosure conditions of the changed policy Figure 14 is a diagram showing an example of access control when a policy is changed and as a result the disclosure request satisfies the disclosure conditions of the changed policy.
なお、図9においてステップS50からステップS52までの処理は、先に述べた(3-1)、(3-2)の場合と同一であるため、その説明は省略する。 Note that the processing from step S50 to step S52 in Figure 9 is the same as in the cases (3-1) and (3-2) described above, so its explanation will be omitted.
アクセス制御処理部15Bは、開示を要求されたエンティティ情報に対応する差分仕様情報に対応付けられているポリシー情報の内容が「ポリシー変更情報」だったとすると、ステップS56に移行する。そして、ステップS56において、利用者端末UTiから送られた開示要求の要求内容が、上記ポリシー変更情報に定義されている変更後の開示条件を満たすか否かを判定する。 If the access control processing unit 15B determines that the content of the policy information associated with the differential specification information corresponding to the entity information requested for disclosure is "policy change information," it proceeds to step S56. Then, in step S56, it determines whether the request content of the disclosure request sent from the user terminal UTi satisfies the changed disclosure conditions defined in the policy change information.
図14に示す例では、ポリシー情報の登録時に、差分仕様情報のTPE_Ethernet_C社_Specに対し、継承元の仕様情報のTPE_Ethernet_Specに対応付けられているポリシー情報とは異なるポリシー情報が定義されている場合、つまり継承元の仕様情報のポリシー情報を継承せずにポリシー情報を定義し直した場合を示している。 The example shown in Figure 14 shows a case where, when registering policy information, policy information different from the policy information associated with TPE_Ethernet_Spec of the specification information from which it is inherited is defined for TPE_Ethernet_Company_Spec of the differential specification information, that is, a case where policy information is redefined without inheriting the policy information of the specification information from which it is inherited.
この状態で、要求者Y社がエンティティ情報TPE_Ethernet 2の開示を要求すると、このエンティティ情報TPE_Ethernet 2に定義されているownerは「X社」となっており、この要求者「X社」は上記エンティティ情報TPE_Ethernet 2に対応する差分仕様情報の変更後のポリシー情報に定義された開示条件とアクション、つまり「要求者が誰でも開示可能」の条件を満たす。 In this state, when requester Company Y requests disclosure of entity information TPE_Ethernet 2, the owner defined for this entity information TPE_Ethernet 2 is "Company X," and this requester "Company X" satisfies the disclosure conditions and actions defined in the policy information after the change in the differential specification information corresponding to the above entity information TPE_Ethernet 2, i.e., the condition that "anyone can disclose by any requester."
この結果、アクセス制御処理部15Bは、上記判定結果に基づいて、ステップS57において上記開示要求により指定されたエンティティ情報を、通信I/F部4Bから要求元の上記利用者端末UTiへ送信する。かくして、図12の(5) に示すように、エンティティ情報TPE_Ethernet 2が開示される。As a result, based on the above judgment result, the access control processing unit 15B transmits the entity information specified in the above disclosure request from the communication I/F unit 4B to the requesting user terminal UTi in step S57. Thus, as shown in (5) of Figure 12, the entity information TPE_Ethernet 2 is disclosed.
なお、上記ステップS56による開示条件の判定において、開示要求の内容が上記変更後のポリシー情報の開示条件を満たさなかった場合、アクセス制御処理部15Bは、ステップS58に移行する。そして、ステップS58において、エンティティ情報TPE_Ethernet 2の開示を不許可とし、代わりに開示不可メッセージを生成して、この開示不可メッセージを通信I/F部4Bから要求元の利用者端末UTiへ返送する。 If, in determining the disclosure conditions in step S56, the contents of the disclosure request do not satisfy the disclosure conditions of the changed policy information, the access control processing unit 15B proceeds to step S58. In step S58, the disclosure of the entity information TPE_Ethernet 2 is not permitted, and instead a disclosure-prohibited message is generated and returned from the communication I/F unit 4B to the requesting user terminal UTi.
(作用・効果)
以上述べたように一実施形態に係るネットワーク管理装置NMでは、登録済のネットワーク設備と類似するネットワーク設備の特性を定義する仕様情報およびその開示条件を定義するポリシー情報を外部定義する際に、上記登録済のネットワーク設備の仕様情報を継承元としてその差分を表す差分仕様情報を定義すると共に、ポリシー情報については継承の有無を表す情報を定義し、これらの情報を登録する。
(Actions and Effects)
As described above, in the network management device NM of one embodiment, when externally defining specification information that defines the characteristics of network equipment similar to registered network equipment and policy information that defines the disclosure conditions thereof, differential specification information that indicates the difference between the specification information of the registered network equipment is defined as the inheritance source, and information indicating whether or not to inherit the policy information is defined, and these pieces of information are registered.
また、この状態で利用者から登録済の情報に対する開示要求が送られた場合に、先ず開示対象の情報に対応する差分仕様情報に対応付けられているポリシー情報が「継承する」または「継承しない」のいずれであるかを判定する。そして、継承しないと判定した場合には上記開示対象の情報の開示を拒否し、継承すると判定された場合には継承元のポリシー情報をもとに上記開示要求が開示条件を満たしているか否かをさらに判定して、開示条件を満たす場合に上記開示対象情報を開示要求元へ送信するようにしている。 Furthermore, in this state, when a user sends a disclosure request for registered information, the system first determines whether the policy information associated with the differential specification information corresponding to the information to be disclosed is "inherit" or "do not inherit." If it is determined that the information to be disclosed is not to be inherited, the system refuses to disclose the information to be disclosed. If it is determined that the information to be disclosed is to be inherited, the system further determines whether the disclosure request satisfies the disclosure conditions based on the policy information from which it was inherited, and if the disclosure conditions are met, the information to be disclosed is sent to the source of the disclosure request.
さらに、上記差分仕様情報に対応付けられたポリシー情報に「ポリシー変更情報」が定義されている場合には、このポリシー変更情報をもとに上記開示要求が開示条件を満たしているか否かを判定し、開示条件を満たせば上記開示対象の情報を要求元に送信するようにしている。 Furthermore, if "policy change information" is defined in the policy information associated with the above-mentioned differential specification information, it is determined whether the above-mentioned disclosure request satisfies the disclosure conditions based on this policy change information, and if the disclosure conditions are met, the information to be disclosed is sent to the requester.
従って、一実施形態によれば、差分仕様情報に対しポリシー情報を設定する場合、この設定対象のポリシー情報が登録済の仕様情報に対応付けられたポリシー情報と同一で、この登録済のポリシー情報をポリシー情報に継承可能な場合には、継承の有無を表す継承制御情報が第2のポリシー情報として定義される。このため、新たにポリシー情報を設定する場合には、継承可能なポリシー情報が既に登録されていないときのみ開示条件を定義すればよいことになり、ポリシー情報の設定ごとに、無条件にすべてのポリシー情報に対し開示条件を定義する場合に比べ、ポリシー情報を外部定義する際のネットワーク管理者の定義作業量を減らすことが可能となる。その結果、ポリシー情報の外部定義処理に掛かる稼働を削減することが可能となる。 Therefore, according to one embodiment, when setting policy information for differential specification information, if the policy information to be set is identical to the policy information associated with registered specification information and this registered policy information can be inherited by the policy information, inheritance control information indicating whether or not inheritance is possible is defined as second policy information. Therefore, when setting new policy information, disclosure conditions only need to be defined if inheritable policy information has not already been registered. This reduces the amount of definition work required by network administrators when externally defining policy information compared to unconditionally defining disclosure conditions for all policy information each time policy information is set. As a result, it is possible to reduce the workload required for external definition processing of policy information.
しかも、開示要求に対し情報の開示の有無を判定する際に、ポリシー情報に開示条件が定義されていなくても、継承元の仕様情報からポリシー情報が継承されることで、開示の可否の判定を何ら問題なく行うことができる。 Furthermore, when determining whether or not to disclose information in response to a disclosure request, even if disclosure conditions are not defined in the policy information, the policy information is inherited from the specification information from which it is inherited, so the determination of whether or not to disclose can be made without any problems.
すなわち、一実施形態によれば、ポリシー情報の外部定義処理に掛かる稼働を削減した上で、開示可否の判定を確実に行うことが可能となる。 In other words, according to one embodiment, it is possible to reduce the workload required for external definition processing of policy information while reliably determining whether or not disclosure is permitted.
[その他の実施形態]
(1)一実施形態では、仕様情報およびポリシー情報の入力から登録までの一連の処理を同時に行う場合を例にとって説明した。しかし、この発明はそれに限定されるものではなく、仕様情報の入力から登録までの一連の処理と、ポリシー情報の入力から登録までの一連の処理とを独立して行えるようにしてもよい。このようにすると、ネットワーク管理者は、例えば仕様情報の登録後、任意のタイミングでポリシー情報を登録することが可能となる。
[Other embodiments]
(1) In one embodiment, a series of processes from inputting specification information and policy information to registering them is performed simultaneously. However, the present invention is not limited to this. The series of processes from inputting specification information to registering it and the series of processes from inputting policy information to registering it may be performed independently. In this way, the network administrator can register policy information at any time, for example, after registering specification information.
(2)一実施形態では、ネットワーク管理者がオペレータ端末OTを用いて、ネットワーク管理装置NMに対し遠隔地から仕様情報、エンティティ情報およびポリシー情報の登録操作を行う場合を例にとって説明した。しかし、この発明はそれに限るものではなく、ネットワーク管理装置NMの機能が、例えばオフィス内等に配置されたパーソナルコンピュータ等の情報処理装置に備えられている場合には、上記仕様情報、エンティティ情報およびポリシー情報を上記情報処理装置に対し直接の登録できるようにしてもよい。 (2) In one embodiment, an example was described in which a network administrator uses an operator terminal OT to remotely register specification information, entity information, and policy information in the network management device NM. However, this invention is not limited to this. If the functionality of the network management device NM is provided in an information processing device such as a personal computer located in an office, for example, the specification information, entity information, and policy information may be registered directly in the information processing device.
(3)一実施形態では、1台のオペレータ端末OTから仕様情報、エンティティ情報およびポリシー情報の登録操作を行うようにしたが、仕様情報の登録操作とエンティティ情報の登録操作、さらにはポリシー情報の登録操作を別々のオペレータ端末から行えるようにしてもよい。 (3) In one embodiment, registration operations for specification information, entity information, and policy information are performed from a single operator terminal OT, but it is also possible to perform registration operations for specification information, entity information, and policy information from separate operator terminals.
(4)一実施形態では、ネットワーク管理装置NM内に仕様・ポリシー情報DB31Bおよびエンティティ情報DB32Bを備えた場合を例にとって説明した。しかし、仕様・ポリシー情報DB31Bおよびエンティティ情報DB32Bを、ネットワーク管理装置NMとは別のデータベースサーバ等に設け、ネットワーク管理装置NMが上記データベースサーバ等に設けられた仕様・ポリシー情報DB31Bおよびエンティティ情報DB32Bに対しアクセスして仕様情報、エンティティ情報およびポリシー情報の登録処理を行えるようにしてもよい。また、仕様情報の登録処理機能、エンティティ情報の登録処理機能およびポリシー情報の登録機能が、複数の情報処理装置に分散配置されていてもよい。 (4) In one embodiment, the network management device NM is provided with the specification/policy information DB31B and entity information DB32B. However, the specification/policy information DB31B and entity information DB32B may be provided in a database server or the like separate from the network management device NM, and the network management device NM may access the specification/policy information DB31B and entity information DB32B provided in the database server or the like to perform registration processing for specification information, entity information, and policy information. Furthermore, the specification information registration processing function, entity information registration processing function, and policy information registration function may be distributed across multiple information processing devices.
(5)その他、ネットワーク管理装置が備える機能、処理手順と処理内容、仕様情報、エンティティ情報およびポリシー情報のフォーマットやデータ構造等についても、この発明の要旨を逸脱しない範囲で種々変形して実施可能である。 (5) In addition, the functions, processing procedures and processing content, format and data structure of specification information, entity information and policy information of the network management device can be modified and implemented in various ways without departing from the spirit of this invention.
以上、この発明の実施形態を詳細に説明してきたが、前述までの説明はあらゆる点においてこの発明の例示に過ぎない。この発明の範囲を逸脱することなく種々の改良や変形を行うことができることは言うまでもない。つまり、この発明の実施にあたって、実施形態に応じた具体的構成が適宜採用されてもよい。 Although the embodiments of the present invention have been described in detail above, the above description is merely an example of the present invention in every respect. It goes without saying that various improvements and modifications can be made without departing from the scope of the present invention. In other words, when implementing the present invention, specific configurations corresponding to the embodiments may be adopted as appropriate.
要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。 In short, this invention is not limited to the above-described embodiments, and can be embodied by modifying the components in the implementation stage without departing from the spirit of the invention. Furthermore, various inventions can be created by appropriately combining multiple components disclosed in the above-described embodiments. For example, some components may be deleted from all of the components shown in the embodiments. Furthermore, components from different embodiments may be appropriately combined.
NM…ネットワーク管理装置
OT…オペレータ端末
UT1~UTn…利用者端末
NW…ネットワーク
1A,1B…制御部
2A,2B…プログラム記憶部
3A,3B…データ記憶部
4A,4B…通信I/F部
5A…入出力I/F部
6A,5B…バス
51…入力デバイス
52…出力デバイス
11A…仕様情報入力受付処理部
12A…ポリシー情報入力受付処理部
13A…エンティティ情報入力受付処理部
14A…仕様・ポリシー登録要求送信処理部
15A…エンティティ登録要求送信処理部
11B…仕様・ポリシー登録要求受信処理部
12B…仕様・ポリシー情報登録処理部
13B…エンティティ登録要求受信処理部
14B…エンティティ情報登録処理部
15B…アクセス制御処理部
31A…仕様・ポリシー情報記憶部
32A…エンティティ情報記憶部
31B…仕様・ポリシー情報DB
32B…エンティティ情報DB
DESCRIPTION OF THE SYMBOLS NM...Network management device OT...Operator terminal UT1 to UTn...User terminal NW...Network 1A, 1B...Control unit 2A, 2B...Program storage unit 3A, 3B...Data storage unit 4A, 4B...Communication I/F unit 5A...Input/output I/F unit 6A, 5B...Bus 51...Input device 52...Output device 11A...Specification information input reception processing unit 12A...Policy information input reception processing unit 13A...Entity information input reception processing unit 14A...Specification/policy registration request transmission processing unit 15A...Entity registration request transmission processing unit 11B...Specification/policy registration request reception processing unit 12B...Specification/policy information registration processing unit 13B...Entity registration request reception processing unit 14B...Entity information registration processing unit 15B...Access control processing unit 31A...Specification/policy information storage unit 32A...Entity information storage unit 31B...Specification/policy information DB
32B...Entity information DB
Claims (7)
前記第1の仕様情報とその一部が共通する第2のネットワーク設備の特性を定義した第2の仕様情報を、前記記憶部に追加登録する第1の登録処理部と、
前記第2のネットワーク設備に対し設定する実際のリソースを前記第2の仕様情報に含まれる複数の属性情報に対応して定義したエンティティ情報を、エンティティ情報記憶部に登録する第2の登録処理部と、
前記第2の仕様情報に係る第2の開示条件を定義する第2のポリシー情報を、前記第2の仕様情報に対応付けた状態で前記記憶部に登録する第3の登録処理部と、
前記エンティティ情報に対する開示要求が入力された場合に、前記エンティティ情報に対応する前記第2の仕様情報に対応付けられた前記第2のポリシー情報に基づいて、前記開示要求が前記第2の開示条件を満たすか否かを判定するアクセス制御処理部と
を具備し、
前記第2の登録処理部は、
前記第1のポリシー情報から前記第2のポリシー情報への開示条件の継承の有無を表す継承制御情報を、前記第2のポリシー情報として追加登録し、
前記アクセス制御処理部は、
前記第2のポリシー情報が前記継承制御情報であるか否かを判定し、前記継承制御情報であると判定された場合には、前記継承制御情報に基づいて、前記開示要求が前記第2の開示条件を満たすか否かを判定する
ネットワーク管理装置。 a storage unit in which first specification information defining characteristics of a first network equipment to be managed and first policy information defining first disclosure conditions related to the first specification information are registered in a mutually associated state;
a first registration processing unit that additionally registers second specification information in the storage unit, the second specification information defining characteristics of second network equipment that are partially common to the first specification information;
a second registration processing unit that registers entity information, which defines actual resources to be set for the second network equipment in correspondence with a plurality of pieces of attribute information included in the second specification information, in an entity information storage unit;
a third registration processing unit that registers second policy information that defines a second disclosure condition related to the second specification information in the storage unit in a state where the second policy information is associated with the second specification information;
an access control processing unit that, when a disclosure request for the entity information is input, determines whether the disclosure request satisfies the second disclosure condition based on the second policy information associated with the second specification information corresponding to the entity information;
The second registration processing unit
additionally registering inheritance control information indicating whether or not a disclosure condition is inherited from the first policy information to the second policy information as the second policy information;
The access control processing unit
A network management device that determines whether the second policy information is the inheritance control information, and if it is determined to be the inheritance control information, determines whether the disclosure request satisfies the second disclosure condition based on the inheritance control information.
前記第2のポリシー情報が前記継承制御情報であると判定された場合に、前記継承制御情報が継承有りを示すものか継承無しを示すものかを判定する処理と、
前記継承無しと判定された場合には、前記開示要求が前記第2の開示条件を満たさないと判定する処理と、
前記継承有りと判定された場合には、継承元となる前記第1のポリシー情報に基づいて、前記開示要求が前記第1の開示条件を満たすか否かを判定する処理と
を行う
請求項1に記載のネットワーク管理装置。 The access control processing unit
a process of determining whether the inheritance control information indicates that there is inheritance or that there is no inheritance when it is determined that the second policy information is the inheritance control information;
a process of determining that the disclosure request does not satisfy the second disclosure condition when it is determined that the inheritance is not present;
The network management device according to claim 1 , further comprising: if it is determined that the inheritance is present, a process of determining whether the disclosure request satisfies the first disclosure condition based on the first policy information that is the source of inheritance.
前記アクセス制御処理部は、前記エンティティ情報に対する前記開示要求が入力された場合に、前記エンティティ情報に対応する前記第2の仕様情報に対応付けられた前記第2のポリシー情報が、前記継承制御情報であるか前記ポリシー変更情報であるかを判定し、前記ポリシー変更情報であると判定された場合には、前記ポリシー変更情報に基づいて、前記開示要求が前記第3の開示条件を満たすか否かを判定する
請求項1に記載のネットワーク管理装置。 a third registration processing unit that additionally registers policy change information representing third disclosure conditions obtained by changing at least a part of the second disclosure conditions represented by the second policy information as the second policy information in the storage unit in a state where the policy change information is associated with the second specification information;
2. The network management device of claim 1, wherein, when the disclosure request for the entity information is input, the access control processing unit determines whether the second policy information associated with the second specification information corresponding to the entity information is the inheritance control information or the policy change information, and if it is determined to be the policy change information, determines whether the disclosure request satisfies the third disclosure condition based on the policy change information.
請求項1乃至3のいずれかに記載のネットワーク管理装置。 when it is determined that the disclosure request does not satisfy the first disclosure condition, the second disclosure condition, or the third disclosure condition defined by the second policy information, the access control processing unit generates a disclosure not permitted message and returns the message to a sender of the disclosure request.
4. The network management device according to claim 1.
管理対象となる第1のネットワーク設備の特性を定義した第1の仕様情報と、前記第1の仕様情報に係る第1の開示条件を定義する第1のポリシー情報とを、相互に対応付けた状態で記憶部に登録する第1の過程と、
前記第1の仕様情報とその一部が共通する第2のネットワーク設備の特性を定義した第2の仕様情報を前記記憶部に追加登録する第2の過程と、
前記第2のネットワーク設備に対し設定する実際のリソースを前記第2の仕様情報に含まれる複数の属性情報に対応して定義したエンティティ情報をエンティティ情報記憶部に登録する第3の過程と、
前記第2の仕様情報に係る第2の開示条件を定義する第2のポリシー情報を、前記第2の仕様情報に対応付けた状態で前記記憶部に登録する第4の過程と、
前記エンティティ情報に対する開示要求が入力された場合に、前記エンティティ情報に対応する前記第2の仕様情報に対応付けられた前記第2のポリシー情報に基づいて、前記開示要求が前記第2の開示条件を満たすか否かを判定する第5の過程と
を具備し、
前記第4の過程は、
前記第1のポリシー情報から前記第2のポリシー情報への開示条件の継承の有無を表す継承制御情報を、前記第2のポリシー情報として追加登録し、
前記第5の過程は、
前記第2のポリシー情報が前記継承制御情報であるか否かを判定し、前記継承制御情報であると判定された場合には、前記継承制御情報に基づいて、前記開示要求が前記第2の開示条件を満たすか否かを判定する
ネットワーク管理方法。 A network management method executed by an information processing device, comprising:
a first step of registering, in a storage unit, first specification information that defines characteristics of a first network equipment to be managed and first policy information that defines first disclosure conditions related to the first specification information in a state in which the first specification information and the first policy information are associated with each other;
a second step of additionally registering second specification information in the storage unit, the second specification information defining characteristics of second network equipment that are partially common to the first specification information;
a third step of registering entity information, which defines actual resources to be set for the second network equipment in correspondence with a plurality of pieces of attribute information included in the second specification information, in an entity information storage unit;
a fourth step of registering second policy information, which defines second disclosure conditions related to the second specification information, in the storage unit in a state where the second policy information is associated with the second specification information;
a fifth step of determining, when a disclosure request for the entity information is input, whether or not the disclosure request satisfies the second disclosure condition based on the second policy information associated with the second specification information corresponding to the entity information;
The fourth step is
additionally registering inheritance control information indicating whether or not a disclosure condition is inherited from the first policy information to the second policy information as the second policy information;
The fifth step is
A network management method that determines whether the second policy information is the inheritance control information, and if it is determined to be the inheritance control information, determines whether the disclosure request satisfies the second disclosure condition based on the inheritance control information.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2022/030575 WO2024034056A1 (en) | 2022-08-10 | 2022-08-10 | Network management device, network management method, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2024034056A1 JPWO2024034056A1 (en) | 2024-02-15 |
| JP7798199B2 true JP7798199B2 (en) | 2026-01-14 |
Family
ID=89851184
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2024540156A Active JP7798199B2 (en) | 2022-08-10 | 2022-08-10 | Network management device, network management method and program |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP7798199B2 (en) |
| WO (1) | WO2024034056A1 (en) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018078523A (en) | 2016-11-11 | 2018-05-17 | 日本電信電話株式会社 | Network management device, method, and program |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0752652B1 (en) * | 1995-07-03 | 1998-12-16 | Sun Microsystems, Inc. | System and method for implementing a hierarchical policy for computer system administration |
| FR2744542B1 (en) * | 1996-02-07 | 1998-03-06 | Bull Sa | METHOD FOR CONTROLLING ACCESS TO THE MANAGEMENT INFORMATION BASE VIA THE COMMUNICATIONS INFRASTRUCTURE OF AN APPLICATION OR OF AN APPLICATION USER |
-
2022
- 2022-08-10 WO PCT/JP2022/030575 patent/WO2024034056A1/en not_active Ceased
- 2022-08-10 JP JP2024540156A patent/JP7798199B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018078523A (en) | 2016-11-11 | 2018-05-17 | 日本電信電話株式会社 | Network management device, method, and program |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2024034056A1 (en) | 2024-02-15 |
| JPWO2024034056A1 (en) | 2024-02-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107533483B (en) | Service orchestration | |
| US20050108169A1 (en) | Contract based enterprise application services | |
| US20080104661A1 (en) | Managing Policy Settings for Remote Clients | |
| US8732281B2 (en) | Actively updating clients with selected data | |
| US10785056B1 (en) | Sharing a subnet of a logically isolated network between client accounts of a provider network | |
| CN114780228B (en) | Hybrid cloud resource creation method and system | |
| CN112506590B (en) | Interface calling method, device and electronic device | |
| US11855802B2 (en) | Method and system for managing network-to-network interconnection | |
| CN113177179A (en) | Data request connection management method, device, equipment and storage medium | |
| JP7798199B2 (en) | Network management device, network management method and program | |
| JP7704307B2 (en) | NETWORK MANAGEMENT DEVICE, NETWORK MANAGEMENT METHOD AND PROGRAM | |
| EP1479192B1 (en) | Method and apparatus for managing configuration of a network | |
| JP2009157786A (en) | Message transmission control method, message transmission control device, and message transmission control program | |
| JP7772231B2 (en) | Network management device, network management method and program | |
| CN118433169A (en) | Read timeout configuration method, device and electronic device | |
| CN113946550B (en) | Method, device, processor and computer readable storage medium for realizing file sharing based on local area network decentralization | |
| JP2005318074A (en) | Storage group setting method and apparatus | |
| US7302507B2 (en) | Reestablishing connections when a block/device at one end is re-initialized | |
| JP7709666B2 (en) | NETWORK MANAGEMENT DEVICE, NETWORK MANAGEMENT METHOD AND PROGRAM | |
| US7548965B2 (en) | System and method for organizing network management information | |
| JP6750929B2 (en) | Method and apparatus for deploying network services | |
| JP3521188B2 (en) | Network device setting content deriving method and device, and recording medium recording program thereof | |
| CN113556374A (en) | A method, apparatus and system for obtaining a manufacturer's instruction MUD file | |
| US20030084113A1 (en) | Device management method, device management apparatus, and device management program | |
| KR102543689B1 (en) | Hybrid cloud management system and control method thereof, node deployment apparatus included in the hybrid cloud management system and control method thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20241206 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20251125 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20251208 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7798199 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |