CN103329489B - 通信系统、控制设备、策略管理设备、通信方法和程序 - Google Patents
通信系统、控制设备、策略管理设备、通信方法和程序 Download PDFInfo
- Publication number
- CN103329489B CN103329489B CN201180065565.2A CN201180065565A CN103329489B CN 103329489 B CN103329489 B CN 103329489B CN 201180065565 A CN201180065565 A CN 201180065565A CN 103329489 B CN103329489 B CN 103329489B
- Authority
- CN
- China
- Prior art keywords
- forward node
- processing rule
- control appliance
- user
- grouping
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/34—Signalling channels for network management communication
- H04L41/342—Signalling channels for network management communication between virtual entities, e.g. orchestrators, SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种通信系统包括:控制设备;转发节点,根据由控制设备设定的处理规则来处理从用户终端传送的分组;以及策略管理设备,管理通信策略并且向控制设备通知与认证已经成功的用户相对应的通信策略通,其中,控制设备进一步包括:设定请求传输允许单元,基于来自策略管理设备的通知来对从用户终端接收分组的转发节点设定第一处理规则,该第一处理规则使得转发节点关于从用户终端传送的分组作出处理规则的设定请求;以及路径控制单元,在从被设定了第一处理规则的转发节点接收到设定请求的情况下,根据通信策略来确定从用户终端到接入目的地的路径,并且将沿着该路径的转发节点设定与该路径相对应的第二处理规则。
Description
技术领域
(相关申请的描述)
本发明要求2011年1月20日提交的日本专利申请No.2011-009817的优先权权益,其全部内容通过引用合并于此。本发明涉及通信系统、控制设备、策略管理设备、通信方法和程序,并且具体地,涉及通过经由布置在网络中的转发节点对分组进行转发来实现通信的通信系统、控制设备、策略管理设备、通信方法和程序。
背景技术
近年来,已经提出了称为开放流(Openflow)的技术(参见专利文献1以及非专利文献1和2)。在开放流中,通信被视作端对端流,并且以流为单位执行路径控制、故障恢复、负载平衡和优化。在非专利文献2中规定的开放流交换机设置有用于与视作控制设备的开放流控制器进行通信的安全信道,并且根据流表来进行操作,在该流表中,由开放流控制器指令适当的添加或改写。在流表中,针对每个流定义了称为分组报头的匹配规则的集合(报头字段)、流统计信息(计数器)和定义处理内容的动作(Action)(参考图24)。
例如,当开放流交换机接收到分组时,从流表中搜索具有与接收到的分组的报头信息匹配的匹配规则(图24的报头字段)的条目。作为搜索的结果,在找到与接收到的分组匹配的条目的情况下,开放流交换机针对接收到的分组来更新流统计信息(计数器),并且还实现在该条目的动作字段中描述的处理内容(从特定端口的分组传输、洪泛、丢弃等)。另一方面,作为搜索的结果,在没有找到与接收到的分组匹配的条目情况下,开放流交换机经由安全信道将接收到的分组转发到开放流控制器,请求基于接收到的分组的源和目的地的分组路径的确定,接收用于实现此的流条目,并且更新流表。以该方式,开放流交换机使用包含在流表中的条目作为用于执行分组转发的处理规则。
此外,专利文献2描述了与上述开放流控制器相对应的控制设备搜索认证的主机或组策略,参考该策略,并且仅在属于该接收到的分组的流被允许的情况下,根据该策略来执行路径的确定和设定(参见专利文献2的图6以及[0076]至[0077])。
引用列表
专利文献
PTL1:国际公开No.WO2008/095010A1
PTL2:美国专利申请公开No.US2009/0138577A1
非专利文献
NPL1:NickMcKeown和其他7人的“OpenFlow:EnablingInnovationinCampusNetworks(开放流:支持校园网络的创新》”[在线],[2010年12月22日进行的搜索]因特网<URL:http://www.openflowswitch.org//documents/openflow-wp-latest.pdf>。
NPL2:“OpenFlow:SwitchSpecification(开放流:交换机规范)”版本1.0.0.(有线协议0x01),[2010年12月22日进行的搜索]因特网<URL:
http://www.openflowswitch.org/documents/openflow-spec-v1.0.0.pdf>
发明内容
技术问题
本发明给出了下述分析。当生成新的流时,专利文献1的开放流控制器参考策略文件,执行允许检查,并且此后通过计算路径来执行接入控制(参见专利文献1中的[0052]以及专利文献2中的图6和[0076]至[0077])。
以基本上类似的方式,在根据输入端口、MAC(媒体访问控制)地址或IP地址来确认源主机是否是认证的主机之后,每当从下级交换机接收到分组时,专利文献2的NOX(控制器)都基于给予用户或主机的名称或组来搜索策略,并且根据该结果来执行对于认证的系统的分组转发、根据该策略的路径确定和设定以及分组丢弃。
因此,存在的问题在于,利用专利文献1或2的配置,响应于来自下级交换机的路径设定请求的控制设备的负载增加。此外,还必须考虑对使用该类型的布置的控制设备的DoS(服务拒绝)攻击的可能性。
鉴于上述情况作出本发明,并且其目的在于提供一种通信系统、控制设备、策略管理设备、通信方法和程序,从而能够根据如上所述的来自转发节点的请求来减少执行对转发节点的策略检查和路径控制的控制设备上的负载。
对问题的解决方案
根据本发明的第一方面,提供了一种通信(网络)系统包括:控制设备;转发节点,该转发节点根据由控制设备设定的处理规则来处理(或操作)从用户终端传送的分组;以及策略管理设备,该策略管理设备管理通信策略,并且向控制设备通知与认证已经成功的用户相对应的通信策略,其中,该控制设备进一步包括:设定请求传输允许单元,该设定请求传输允许单元基于来自策略管理设备的通知来对从用户终端接收分组的转发节点设定第一处理规则,该第一处理规则使得转发节点关于从用户终端传送的分组作出处理规则的设定请求;以及路径控制单元,在从被设定了第一处理规则的转发节点接收到设定请求的情况下,该路径控制单元根据通信策略来确定从用户终端到接入目的地的路径,并且对沿着该路径的转发节点设定与该路径相对应的第二处理规则。
根据本发明的第二方面,提供了一种控制设备,该控制设备连接到:转发节点,该转发节点根据由控制设备设定的处理规则处理从用户终端传送的分组;以及策略管理设备,该策略管理设备管理通信策略,并且向控制设备通知与认证已经成功的用户相对应的通信策略,其中,该控制设备进一步包括:设定请求传输允许单元,该设定请求传输允许单元基于来自策略管理设备的通知来对从用户终端接收分组的转发节点设定第一处理规则,该第一处理规则使得转发节点关于从用户终端传送的分组作出处理规则的设定请求;以及路径控制单元,在从被设定了第一处理规则的转发节点接收到设定请求的情况下,该路径控制单元根据通信策略来确定从用户终端到接入目的地的路径,并且对沿着该路径的转发节点设定与该路径相对应的第二处理规则。
根据本发明的第三方面,提供了一种策略管理设备,该策略管理设备向上述控制设备提供与认证已经成功的用户相对应的通信策略。
根据本发明的第四方面,提供了一种由控制设备执行的通信方法,该控制设备连接到:转发节点,该转发节点根据由控制设备设定的处理规则来处理从用户终端传送的分组;以及策略管理设备,该策略管理设备管理通信策略,并且向控制设备通知与认证已经成功的用户相对应的通信策略,其中,该通信方法包括:基于来自策略管理设备的通知,对从用户终端接收分组的转发节点设定第一策略,该第一策略使得转发节点关于从用户终端传送的分组作出处理规则的设定请求;以及在从被设定了第一处理规则的转发节点接收到设定请求的情况下,根据通信策略来确定从用户终端到接入目的地的路径,并且对沿着该路径的转发节点设定与该路径相对应的第二处理规则。
本发明与控制上述转发节点的称为控制设备的特定装置相关。
根据本发明的第五方面,提供了一种程序,该程序使得包括控制设备中的计算机执行下述处理,该控制设备连接到:转发节点,该转发节点根据由控制设备设定的处理规则来处理从用户终端传送的分组;以及策略管理设备,该策略管理设备管理通信策略,并且向控制设备通知与认证已经成功的用户相对应的通信策略,所述处理是:基于来自策略管理设备的通知来对从用户终端接收分组的转发节点设定第一处理规则,该第一处理规则使得转发节点关于从用户终端传送的分组作出处理规则的设定请求;以及在从对其设定了第一处理规则的转发节点接收到设定请求的情况下,根据通信策略来确定从用户终端到接入目的地的路径,并且对沿着该路径的转发节点设定与该路径相对应的第二处理规则。
应当注意,该程序可以被记录在计算机可读存储介质中。即,本发明还可以被实施为计算机程序产品。
本发明的有益效果
根据本发明,能够根据来自转发节点的请求来减少执行转发节点的策略检查和路径控制的控制设备上的负载。
附图说明
图1是用于描述本发明的概要的图。
图2是表示本发明的第一示例性实施例的通信系统的配置的图。
图3是本发明的第一示例性实施例的认证设备中所存储的认证信息的示例。
图4是本发明的第一示例性实施例的通信策略存储单元中所存储的通信策略信息的示例。
图5是本发明的第一示例性实施例的资源信息存储单元中所存储的资源信息的示例。
图6是从本发明的第一示例性实施例的策略管理设备向控制设备通知的通信策略的示例。
图7是表示本发明的第一示例性实施例的控制设备的配置的框图。
图8是表示本发明的第一示例性实施例的操作序列的序列图。
图9是表示本发明的第一示例性实施例的转发节点中所存储的处理规则存储表的图。
图10是用于描述直到使用本发明的第一示例性实施例的通信系统的用户从认证设备接收到用户认证之前的操作的图。
图11是图10的接续图。
图12是示出将第一处理规则添加到图9的处理规则存储表的状态的图。
图13是图11的接续图。
图14是图13的接续图。
图15是示出将第二处理规则添加到图12的处理规则存储表的状态的图。
图16是图14的接续图。
图17是表示当本发明的第一示例性实施例接收到未认证用户的数据分组时的操作的序列图。
图18是表示当本发明的第一示例性实施例的通信系统从用户接收超过用户接入权限的数据分组时的操作的序列图。
图19是表示本发明的第二示例性实施例的操作的序列图。
图20是用于描述本发明的第三示例性实施例的通信系统配置的图。
图21是表示本发明的第三示例性实施例的操作的序列图。
图22是在本发明的第四示例性实施例的通信策略存储单元中所存储的通信策略信息的示例。
图23是用于描述本发明的第四示例性实施例的操作的图。
图24是表示在非专利文献2中描述的流条目的配置的图。
具体实施方式
首先,将参考附图来给出关于本发明的概要的描述。如图1中所示,本发明通过转发节点200A和200B、策略管理设备320和控制设备300来实现,该转发节点200A和200B根据由控制设备300设定的处理规则来转发从用户终端传送的分组;策略管理设备320管理通信策略并且向控制设备300通知已经被授权给其认证已经成功的用户的通信策略;控制设备300设定转发节点200A和200B中的处理规则。应当注意,出于方便,与在本概要相关的附图中的附图标记作为示例被附连到各个元件以便于促进理解,但是不使本发明限制为附图中所示的模式。
更具体地,控制设备300包括设定请求传输允许单元301和路径控制单元302。设定请求传输允许单元301基于在规定触发(例如,图1的(1)用户认证协议)时发送的来自策略管理设备320的通知(图1的(2)通信策略)来设定第一处理规则,该第一处理规则使得接收来自用户终端100的分组的转发节点(例如,图1的转发节点200A)关于从用户终端100传送的分组作出处理规则的设定请求(图1的(3)第一处理规则设定)。
此后,当接收到来自用户终端100的数据分组(图1的(4)数据分组)时,转发节点(例如,图1的转发节点200A)对控制设备300根据第一处理规则来关于从用户终端100传送的分组作出用于设定处理规则的请求。
在如上所述的从转发节点接收用于设定处理规则的请求(图1的(5)对于第二处理规则的设定请求)的情况下,控制设备300的路径控制单元302根据通信策略来生成从用户终端100到接入目的地(例如,网络资源600)的路径,并且设定实现该路径的第二处理规则(图1的(6)第二处理规则的设定)。
此外,在接收到第一或者第二处理规则都不与之相关的分组的情况下,转发节点200A和200B执行用于丢弃(放弃)该分组的处理。
如上所述,因为设定第一处理规则的条件必须被满足,以便于请求控制设备300设定处理实际流的第二处理规则,所以能够具有一种布置以使得用于设定处理规则的请求不集中在该控制设备中,并且还可以促进对于DoS攻击的抵抗。
应当注意,图1的示例示出了如在稍后描述的示例性实施例中采用的配置,在该配置中,控制设备300包括设定请求传输允许单元301和路径控制设备302,设定请求传输允许单元301和路径控制设备302中的每一个都是独立的,但是因为二者的共同点在于二者都生成和设定处理规则,所以能够通过具有分立功能的两个处理装置来实现,一个装置用于生成处理规则(如下文描述的第一示例性实施例的路径和动作计算单元),并且一个装置用于设定处理规则(如下文描述的第一示例性实施例的处理规则管理单元)。
(第一示例性实施例)
接下来,参考附图来给出关于本发明的第一示例性实施例的详细描述。图2是表示本发明的第一示例性实施例的通信系统的配置的图。参考图2,所示出的配置包括多个转发节点201至204、设定这些转发节点中的处理规则的控制设备300、向控制设备300通知通信策略的策略管理设备320、以及向策略管理设备320提供示出认证结果的认证信息的认证设备310。
转发节点201至204是根据处理规则来处理接收到的分组的交换设备,该处理规则使涉及接收到的分组的匹配规则与应用于与匹配规则相匹配的分组的处理内容相关联。对于这些转发节点201至204,能够使用如非专利文献2中的开放流交换机,由此图24中示出的流条目作为处理规则进行操作。
此外,网络资源600A和600B连接到转发节点204,并且用户终端100可以经由转发节点201至204与网路资源600A和600B进行通信。在下面的示例性实施例中,网络资源600A和网络资源600B分别属于不同的资源组,并且与之相关的资源_组_0001和资源_组_0002作为相应的资源组ID。
认证设备310是使用密码或生物认证信息来执行对于用户终端100的用户认证协议的认证服务器等。认证设备310向策略管理设备320传送指示对于用户终端100的用户认证协议的结果的认证信息。
图3是本示例性实施例的认证设备310中所存储的认证信息的示例。例如,在对用户ID是用户1的用户的认证成功的情况下,认证设备310向策略管理设备320传送IP地址:192.168.100.1和MAC地址:00-00-00-44-55-66的用户1的属性以及角色ID:角色_0001和角色_0002的用户1条目作为认证信息。类似地,在对用户ID是用户2的用户的认证成功的情况下,向策略管理设备320传送IP地址:192.168.100.2和MAC地址:00-00-00-77-88-99的用户2的属性以及角色ID:角色_0002的用户2条目作为认证信息。
应当注意,认证信息可以是策略管理设备320可以由此确定给予用户的通信策略的信息,并且不限于图3的示例。例如,能够使用对其的认证已经成功的用户的用户ID、从用户ID得到的角色ID、诸如MAC地址等的接入ID、用户终端100的位置信息或其组合来作为认证信息。清楚地,关于对其的认证已经失败的用户的信息可以作为认证信息被传送到策略管理设备320,并且可以向控制设备300传送策略管理设备320由此限制从该用户的接入的通信策略。
策略管理设备320是连接到通信策略存储单元321和资源信息存储单元322的设备;响应于从认证设备310接收的认证信息来确定通信策略;并且传送到控制设备300。
图4是通信策略存储单元321中存储的通信策略信息的示例。在图4的示例中,对于由角色ID标识的每个角色,示出了设定给予资源组的资源组ID和接入权限的通信策略信息。例如,允许具有角色ID:角色_0001的用户接入资源组ID:资源_组_0001和资源_组_0002。另一方面,不允许具有角色ID:角色_0002的用户接入资源组ID:资源_组_0001,但是允许接入资源_组_0002。
图5是资源信息存储单元322中所存储的资源信息的示例。图5的示例具有使属于上述资源组ID的资源的资源ID与其具体属性相关联的内容。例如,在由资源组ID:资源_组_0001标识的组中包括资源_0001、资源_0002和资源_0003的资源,并且能够针对其中的每一个来标识在服务中使用的端口号、IP地址和MAC地址。
参考如上所述的通信策略信息和资源信息,策略管理设备320确定用于已经在认证设备310中接收到认证的用户的通信策略,并且对控制设备300给出通知。例如,利用包括在从认证设备310接收到的认证信息中的角色ID,能够从图4的策略信息来标识与相应的角色ID及其接入权限相关的资源组ID的内容。使用属于图5的资源信息中的资源组ID的资源的信息来生成通信策略。
图6图示了具有从图3、图4和图5中示出的信息生成的用户ID:user1的用户的通信策略。在图6的源字段中设定了图3的认证信息的用户ID:user1的属性信息的值。此外,在目的地字段中基于图4的策略信息的角色ID:角色_0001的内容设定了从图5的资源信息中提取的资源属性。此外,在接入权限字段中设定了与图4的策略信息的角色ID:角色_0001的接入权限相同的值。此外,在图5的资源信息的资源属性字段中设定的服务和端口号被设定在条件(选项)字段中。
在如上所述接收通信策略时,控制设备300首先生成第一处理规则,通过该第一处理规则传送用于关于来自作为通信策略的应用的对象的用户的分组设定处理的请求,并且该第一处理规则要被设定在从转发节点201至204中选择的转发节点中。此外,在接收到用于设定处理规则的请求的情况下,根据第一处理规则,控制设备300基于包括在设定处理规则的请求的中的分组信息来生成用于分组的转发路径以及实现该转发路径的处理规则,该处理规则要被设定在沿着该分组转发路径的转发节点中。
图7是表示本示例性实施例的控制设备300的具体配置的框图。参考图7,控制设备300包括:执行与转发节点201至204的通信的节点通信单元11、控制消息处理单元12、处理规则管理单元13、处理规则存储单元14、转发节点管理单元15、路径和动作计算单元16、拓扑管理单元17、终端位置管理单元18、通信策略管理单元19以及通信策略存储单元20。这些分别如下进行操作。
控制消息处理单元12分析从转发节点接收到的控制消息,并且将该控制消息信息传递到控制设备300中的相关处理装置。
处理规则管理单元13管理如何设定处理规则并且将处理规则设定在哪个转发节点中。具体地,在路径和动作计算单元16中生成的处理规则被登记在处理规则存储单元14中并且被设定在转发节点中,并且响应于在转发节点中已经设定的处理规则发生改变的情况,根据来自转发节点的处理规则删除通知等来更新在处理规则存储单元14中的登记的信息。
转发节点管理单元15管理由控制设备300控制的转发节点的性能(例如,端口的数目和类型、支持的动作的类型等)。
在从通信策略管理单元19接收到通信策略时,路径和动作计算单元16首先根据通信策略来参考存储在拓扑管理单元17中的网络拓扑,并且生成执行用于关于来自用户的分组设定处理的请求的处理规则(第一处理规则)。应当注意,具有处理规则(第一处理规则)的设定目的地的转发节点可以是用户终端100能够连接到的所有转发节点,或者可以是基于包括在通信策略中的源信息而从终端位置管理单元18选择的转发节点(例如,图1的转发节点201)。
此外,在接收到用于设定处理规则的请求时,基于上述处理规则(第一处理规则),路径和动作计算单元16基于包括在用于设定处理规则的请求中的分组信息来生成用于分组的转发路径和实现该转发路径的处理规则。
具体地,路径和动作计算单元16基于由终端位置管理单元18管理的通信终端的位置信息和在拓扑管理单元17中配置的网络拓扑信息来计算分组的转发路径。接下来,路径和动作计算单元16从转发节点管理单元15获取转发路径中的转发节点的端口信息等,并且获得在该路径中的转发节点中执行以便于实现所计算的转发路径的动作、以及标识该动作所应用于的流的匹配规则。应当注意,可以使用图6的通信策略的源IP地址、目的地IP地址、条件(选项)等来生成匹配规则。因此,在图6的通信策略的第一条目的情况下,对于从源IP192.168.100.1到目的地IP192.168.0.1的分组,生成决定作为后一跳的转发节点或者用于从网络资源600A和600B所连接到的端口进行转发的动作的相应处理规则。应当注意,在设定上述处理规则时,可以不仅对已经接收到的处理规则的设定的请求的分组,而且还对实现分组转发到用户终端具有接入权限的资源的分组生成处理规则。
拓扑管理单元17基于经由节点通信单元11收集的转发节点201至204的连接关系来配置网络拓扑信息。
终端位置管理单元18管理标识连接到通信系统的用户终端的位置的信息。在本示例性实施例中,给出下述描述:在IP地址作为用于标识用户终端的信息的情况下,用户终端所连接到的转发节点的转发节点标识符及其端口的信息用作用于标识用户终端的位置的信息。明显地,作为这些信息项目的替代,例如由认证设备310提供的信息等可以用于标识终端及其位置。
在从策略管理设备320接收到通信策略信息时,通信策略管理单元19将该信息存储在通信策略存储单元20中,并且还将该信息传送到路径和动作计算单元16。
基于非专利文献1和2的开放流控制器,可以通过添加用于在接收到上述通信策略作为触发的情况下生成第一处理规则(流条目)的功能来实现上述类型的控制设备300。
此外,图7中所示的控制设备300的各个单元(处理装置)可以通过在通过使用其硬件来形成控制设备300的计算机中的计算机程序来实现,该计算机程序存储上述各个信息项目并且执行上述处理中的每一个。
接下来,参考附图来给出关于本示例性实施例的操作的详细描述。在下文中,将描述在连接到用户终端的转发节点201中设定如图8中所示的处理规则。最上面的条目是将属于流#A的分组转发到转发节点203的处理规则。从顶部开始的第三个条目是将认证的分组转发到认证设备310的处理规则。此外,最下面的条目是如上所述丢弃与最高优先级处理规则不相关的其他分组的处理规则。此外,为了搜索具有与接收到的分组匹配的匹配规则的处理规则,从上按顺序对转发节点给予优先级,其中位置越高优先级越高。
图9是表示本示例性实施例的操作序列的序列图。参考图9,首先,当用户终端作出对认证设备310的登入请求,如图10中所示,转发节点201根据图8中所示的用于认证的分组的处理规则来执行对认证设备310的分组转发(图9中的S001)。
当认证设备310执行用户认证(在图9的S002)并且将认证信息传送到策略管理设备320(图9中的S003)时,策略管理设备320基于接收到的认证信息来参考通信策略存储单元321和资源信息存储单元322,确定通信策略(图9中的S004),并且传送到控制设备300(参考图9的S005和图11)。
在接收到通信策略时,控制设备300在转发节点201中设定第一处理规则,该第一处理规则用于关于来自用户终端的分组作出处理的设定请求(参考图9的S006和图11)。
图12是示出在设定第一处理规则之后在转发节点201中设定的处理规则的图。在图12的示例中,对具有比认证的分组更低优先级的位置设定处理规则(第一处理规则),该处理规则使得接收到的分组从认证的终端被转发到控制设备300。
此后,当用户终端传送具有网络资源的目的地的分组(图9中的S007)时,如图13中所示,已经设定了第一处理规则的转发节点201向控制设备300传送用于设定处理规则的请求(图9中的S008)。
已经接收到用于设定处理规则的请求的控制设备300根据通信策略来执行已经对于其接收处理规则的设定的请求的分组的转发路径的计算,并且如图14中所示,在相应的转发节点中生成和设定规定分组处理内容的处理规则(图9中的S009)。
图15是示出在设定第二处理规则之后在转发节点201中设定的处理规则的图。在图15的示例中,处理规则(第二处理规则)使得用户终端将具有网络资源的目的地的分组(流#B)转发到转发节点202。
如上所述,当控制设备300在转发路径中的转发节点中设定处理规则时,如图16中所示,能够在用户终端和网络资源之间进行通信(图9中的“开始通信”)。
图17是表示在不通过用户认证的情况下由用户终端传送具有网络资源的目的地的分组的操作的序列图。如图8中所示,由于已经在转发节点201中设定了丢弃(放弃)与已经设定的处理规则不匹配的分组(图8中的其他分组),所以转发节点201丢弃接收到的分组(图17中的S009)。
图18是表示已经通过了用户认证但是由用户终端传送具有没有接入权限的网络资源目的地的分组(例如,流#C)的情况下的操作的序列图。在该情况下,如图15中所示,由于在转发节点201中设定了丢弃与已经设定的处理规则不匹配的分组(图15中的其他分组)的处理规则,所以转发节点201丢弃接收到的分组(图18中的S009)。此外,通过将目的地或端口指定为第一处理规则的匹配规则,能够减少对控制设备300请求设定处理规则的分组的数目并且丢弃其他分组。
如上所述,通过下述配置能够减少由转发节点发出的对于设定处理规则的请求数目,在该配置中,当接收到未知分组时使得转发节点丢弃该分组,并且在接收到通信策略作为触发的情况下,控制设备300首先设定允许请求本身用于设定处理规则的第一处理规则。结果,能够减少伴随设定处理规则的请求而对控制设备的负载。
(第二示例性实施例)
接下来,给出关于本发明的第二示例性实施例的描述,其中,如上所述的第一示例性实施例的认证设备和策略管理设备的操作添加了修改。由于可以利用与上文所述的第一示例性实施例等同的配置来实现本示例性实施例,所以下文的描述主要集中于其操作上的不同之处。
图19是表示本示例性实施例的操作序列的序列图。直到用户终端对认证设备310作出登入请求(图19中的S101)以及在认证设备301中执行用户认证的操作与第一实施例类似。在本示例性实施例中,如果用户认证失败(图19中的S102),则认证设备310将认证信息(未通过)传送到策略管理设备320(图19中的S103-1)。
接收认证NG信息的策略管理设备320将接收到的认证NG信息传送到控制设备300(图19中的S103-2)。此处,将指定对其的认证已经失败的用户终端的信息(关于连接的转发节点的信息或MAC地址)包括在接收到的认证NG信息中。
接收认证NG信息的控制设备300在转发节点201中并且还在可能连接到该用户终端的转发节点中设定用于丢弃来自用户终端的分组的处理规则。应当注意,期望对该处理规则给予比其他处理规则更高的优先级。
此后,当用户终端传送分组以试图再次登入时(图19中的S101A),转发节点201执行用于丢弃从该用户终端传输的分组的处理(图19中的S109)。
如上所述,根据本示例性实施例,除了上述第一示例性实施例的效果之外,能够缩减将来自其认证已经失败一次的用户的分组转发到认证设备310,并且防止来自恶意用户的未认证接入。此外,在上述示例性实施例中已经给出了丢弃来自用户终端的分组,但是可以设定处理规则,这使得对于特定服务器的接入显示用户终端不可接入的消息。应当注意,在上文描述中,传送认证已经失败的用户(终端)信息,但是可以使得上文所描述的第一示例性实施例的通信策略保持禁止设定第一处理规则的标记等,并且可以给出丢弃来自用户终端的分组的指令。
(第三示例性实施例)
接下来,给出与本发明的第三示例性实施例相关的描述,其中,上述第一示例性实施例的安全功能被强化。由于能够以与上述第一示例性实施例大致相同的配置来实现本示例性实施例,下文的描述集中于不同之处。
图20是用于描述本发明的第三示例性实施例的通信系统的配置的图。相对于图2中表示的第一实施例的配置的不同点在于,第二认证设备311被并行地添加到(第一)认证设备310。与认证设备310类似的第二认证设备311可以经由转发节点201向策略管理设备320传送关于用户终端100的用户认证的结果。
图21是表示本发明的第三示例性实施例的操作的序列图。用户终端向认证设备310作出登入请求(图21中的S201),并且在认证设备310中执行用户认证协议(图21中的S202)。认证设备310将其结果传送到策略管理设备320和第二认证设备311(图21中的S203)。
在确认了认证信息的源是认证设备310时,策略管理设备320生成指示用户终端没有完成与认证设备311的用户认证协议的通信策略,并且传送到控制设备300(图21中的S204和S205)。
接收通信策略的控制设备300对转发节点201设定将从用户终端发送的下一分组重新定向到第二认证设备311的处理规则(图21中的S206)。
此后,在从用户终端接收到分组时,转发节点201根据处理规则来重新定向到第二认证设备(图21中的S207-1和S207-2)。第二认证设备311向用户终端作出对于用户认证协议的请求(图21的S208)。
此后,在用户终端与认证设备311之间执行用户认证协议(图21中的S209和S210),并且将其结果传送到策略管理设备320(图21的S211)。
在确认了认证信息的源是认证设备311时,与第一实施例类似,策略管理设备320基于接收到的认证信息来参考通信策略存储单元321和资源信息存储单元322,确定通信策略(图21的S212),并且将该策略传送到控制设备300(图21的S213)。
后面的操作与第一示例性实施例类似:在接收到通信策略时,控制设备300在转发节点201中设定用于关于来自用户终端的分组作出处理设定的请求的第一处理规则(图21中的S214)。
以该方式,能够请求对于从用户终端接收到的分组设定处理规则,并且此后基于从用户终端接收到的分组来对控制设备300作出设定处理规则的请求(图21的S215和S216),并且在控制设备300中执行路径计算和处理规则设定(图21中的S217)。
如上所述,根据本示例性实施例,可以进一步减少由恶意用户设定第一和第二处理规则的可能性。
应当注意,在上述第三示例性实施例中,已经描述了使用两种认证设备,认证设备310和311,但是还可以采用使用3个或更多个认证设备的配置。此外,还可以使用修改的示例性实施例,其中,根据初始认证结果,将重新定向目的地指配给第二认证设备311或其他认证设备。
此外,在上述的第三示例性实施例中,已经描述了策略管理设备320确定用户终端是否已经完成了与预定的多个认证设备的用户认证协议。然而,一种配置也是可能的,其中,在策略管理设备320侧提供管理各个用户的认证状态的表等。以该方式,能够使用下述方法,在该方法中在第一次执行与认证设备311的用户认证协议之后,执行与认证设备310的用户认证协议。此外,下述布置是可能的,在该配置中,如果通过提供从各个认证设备获取的认证结果的验证的适当时段来执行管理并且对有效时段已经过期的认证设备执行用户认证协议就足够了。
(第四示例性实施例)
此外,在上文所述的示例性实施例中,已经描述了控制设备300在转发节点201中设定第一处理规则。然而,在多个转发节点中设定第一处理规则的布置是可能的。下文描述了第四示例性实施例,其中,控制设备300在多个转发节点中设定第一处理规则。由于可以利用与上文所述的第一示例性实施例等同的配置来实现本示例性实施例,所以下文的描述集中于不同之处。
图22是本发明的第四示例性实施例的通信策略存储单元中所存储的通信策略信息的示例。与第一实施例的通信策略存储单元中所存储的通信策略信息不同点在于,添加了指示用户终端的可能的移动范围的移动范围限制字段。
整体操作与上文所述的第一示例性实施例类似。然而,策略管理设备320基于如上所述的通信策略信息来对控制设备300给予指令,以在转发节点中设定在移动范围限制字段中确定的第一处理规则,如图23中所示。
以该方式,除了转发节点201之外,还能够通过用户终端移动来在能够与之连接的转发节点中设定第一处理规则(例如,图23中的转发节点203),并且有限制地允许用户移动。此外,在用户实际移动到这些转发节点的情况下,能够省略从用户认证协议(图9中的S001“登入”)直至控制设备300设定第一处理规则(图9中的S006)的处理。
应当注意,如图22中所示,可以根据各个用户的角色或资源组来适当地设定在移动范围限制字段中设定的转发节点的数目。此外,如图22中,除了描述对其设定第一处理规则的转发节点之外,在网络拓扑中,可以在移动范围限制字段中指定当前用户终端与之连接的转发节点的距离(跳数),并且可以在固定的距离范围内的转发节点中设定第一处理规则。
上文已经描述了本发明的优选示例性实施例,但是本发明不限于上述示例性实施例,并且可以在不脱离本发明的基本技术原理的范围内作出进一步修改、替换和调整。例如,在上述各个示例性实施例中,已经描述了独立提供的控制设备300、认证设备310、策略管理设备320、通信策略存储单元321以及资源信息存储单元322,但是能够使用这些被适当地整合的配置。
此外,在上述示例性实施例中,已经描述了使用具有关于接入是否可能的信息作为主成分的通信策略,如图6中所示。然而,在通信策略中还能够包括诸如通信属性的信息,诸如QoS等、可以在路径中使用的转发节点、能够接入的时间段等。通过使用这种类型的通信策略以生成第一处理规则,能够精确地设定可以对控制设备作出设定处理规则的请求的范围和时间。除了策略管理设备320对紧接在用户认证之后对控制设备300给予通信策略通知的时刻之外,策略管理设备320可以根据时间、用户位置等来更新通信策略,并且再次通知控制设备300。此外,下述模式也是可能的,在该模式中,诸如时间、用户位置等的具体控制内容被包括在通信策略本身中,并且在控制设备300侧执行第一和第二处理规则的具体设定、修改和删除。
此外,在上述实施例中,已经描述了如图3至6所示的对用户给予角色ID以执行接入控制。然而,能够通过使用对每个用户给予的用户ID、诸如MAC地址的接入ID、用户终端100的位置信息等来执行接入控制。
此外,在示例性实施例中,已经描述了控制设备300基于第一处理规则来关于已经接收到设定处理规则的请求的分组生成和设定第二处理。然而,接收到对于处理规则设定的请求作为触发,控制设备300参考通信策略并且计算到允许用户接入的所有目的地的路径,并且预先设定实现这些路径的处理规则。如此以来,能够进一步缩减设定处理规则的请求出现频率。
此外,在上述示例性实施例中,已经描述了用户终端100经由转发节点201来执行与认证设备310的认证协议。然而,还能够使用用户终端100与认证设备310直接通信并且实现认证协议的配置。
应当注意,上述专利文献和非专利文献通过引用整体并入本文。在本发明的整体公开(包含权利要求的范围)的界限内,对示例性实施例的修改和调整是可能的,并且也是基于其基础性技术概念。此外,在本发明的权利要求范围内,各种公开要素的多种组合和选择是可能的。即,本发明明确地包含本领域的技术人员根据包含权利要求范围和其技术概念在内的整体公开所能够实现的每种变更和修改。
11节点通信单元
12控制消息处理单元
13处理规则管理单元
14处理规则存储单元
15转发节点管理单元
16路径和动作计算单元
17拓扑管理单元
18终端位置管理单元
19通信策略管理单元
20通信策略存储单元
100用户终端
200A、200B、201至204转发节点(网络节点)
300控制设备
301设定请求传输允许单元
302路径控制单元
310、311认证设备
320策略管理设备
321通信设备存储单元
322资源信息存储单元
600、600A、600B网络资源
Claims (14)
1.一种通信系统,包括:
控制设备;
转发节点,所述转发节点根据由所述控制设备设定的处理规则来处理从用户终端传送的分组;以及
策略管理设备,所述策略管理设备管理通信策略,并且向所述控制设备通知与认证已经成功的用户相对应的通信策略,其中,所述控制设备进一步包括:
设定请求传输允许单元,所述设定请求传输允许单元基于来自所述策略管理设备的通知,来对从所述用户终端接收分组的转发节点设定第一处理规则,所述第一处理规则使得所述转发节点关于从所述用户终端传送的分组作出处理规则的设定请求;以及
路径控制单元,所述路径控制单元在从被设定了所述第一处理规则的转发节点接收到所述设定请求的情况下,根据所述通信策略来确定从所述用户终端到接入目的地的路径,并且对沿着所述路径的转发节点设定与所述路径相对应的第二处理规则,其中
仅当所述第一处理规则设置给所述转发节点时,所述转发节点发送所述设定请求。
2.根据权利要求1所述的通信系统,其中:
所述通信策略包括为所述第一处理规则生成标识处理规则的设定请求被允许的分组的匹配规则的策略;并且
所述设定请求传输允许单元参考所述通信策略,并且在从所述用户终端接收到与所述匹配规则匹配的分组的情况下,设定导致对所述控制设备的处理规则的设定请求的第一处理规则。
3.根据权利要求1或2所述的通信系统,其中:
所述通信策略包括所述用户能够接入的资源或者所述用户不能接入的资源的信息;并且
在与从所述转发节点接收到的处理规则的设定请求相关的分组的目的地是所述用户能够接入的目的地的情况下,所述路径控制单元设定所述第二处理规则。
4.根据权利要求1或2所述的通信系统,其中:
所述策略管理设备进一步向所述控制设备通知检测到认证已经失败的用户;并且
所述控制设备基于所述通知来对预定转发节点设定处理规则,所述处理规则防止分组从所述用户转发到预定认证设备。
5.根据权利要求1或2所述的通信系统,其中:
对所述控制设备给予关于对所有预定认证设备的用户认证过程是否已经完成的通知,并且
在从所述策略管理设备接收到的通信策略指示对所有预定认证设备的用户认证过程没有完成的情况下,所述控制设备对预定转发节点设定处理规则,所述处理规则使得所述预定转发节点开始在所述用户和预定认证设备之间的用户认证过程。
6.根据权利要求1或2所述的通信系统,其中:
所述通信策略包括用于确定所述第一处理规则要被设定到的转发节点的信息;并且
所述设定请求传输允许单元参考所述通信策略来对多个转发节点设定所述第一处理规则。
7.一种控制设备,所述控制设备连接到:
转发节点,所述转发节点根据由所述控制设备设定的处理规则来处理从用户终端传送的分组;以及
策略管理设备,所述策略管理设备管理通信策略,并且向所述控制设备通知与认证已经成功的用户相对应的通信策略,其中,所述控制设备包括:
设定请求传输允许单元,所述设定请求传输允许单元基于来自所述策略管理设备的通知来对从所述用户终端接收分组的转发节点设定第一处理规则,所述第一处理规则使得所述转发节点关于从所述用户终端传送的分组作出处理规则的设定请求;以及
路径控制单元,所述路径控制单元在从被设定了所述第一处理规则的转发节点接收到所述设定请求的情况下,根据所述通信策略来确定从所述用户终端到接入目的地的路径,并且对沿着所述路径的转发节点设定与所述路径相对应的第二处理规则,其中
仅当所述第一处理规则设置给所述转发节点时,所述转发节点发送所述设定请求。
8.根据权利要求7所述的控制设备,其中:
所述通信策略包括生成标识在所述第一处理规则中规定的处理内容被应用到的分组的匹配规则的策略;并且
所述设定请求传输允许单元参考所述通信策略,并且在从所述用户终端接收到与所述匹配规则匹配的分组的情况下,设定导致对所述控制设备的处理规则的设定请求的第一处理规则。
9.根据权利要求7或8所述的控制设备,其中:
所述通信策略包括所述用户能够接入的资源或者所述用户不能接入的资源的信息;并且
在与从所述转发节点接收到的处理规则的设定请求相关的分组的目的地是所述用户能够接入的目的地的情况下,所述路径控制单元设定所述第二处理规则。
10.根据权利要求7或8所述的控制设备,其中:
在所述控制设备从所述策略管理设备接收检测到认证已经失败的用户的通知时,所述控制设备对预定转发节点设定处理规则,所述处理规则防止分组从所述用户转发到预定认证设备。
11.根据权利要求7或8所述的控制设备,其中:
在从所述策略管理设备接收到的通信策略指示对所有预定认证设备的用户认证过程没有完成的情况下,所述控制设备对预定转发节点设定处理规则,所述处理规则使得所述预定转发节点开始在所述用户和预定认证设备之间的用户认证过程。
12.根据权利要求7或8所述的控制设备,其中:
所述通信策略包括用于确定所述第一处理规则要被设定到的转发节点的信息;并且
所述设定请求传输允许单元参考所述通信策略来对多个转发节点设定所述第一处理规则。
13.一种策略管理设备,所述策略管理设备向根据权利要求7或8所述的控制设备提供与认证已经成功的用户相对应的通信策略。
14.一种由控制设备执行的通信方法,所述控制设备连接到:
转发节点,所述转发节点根据由所述控制设备设定的处理规则来处理从用户终端传送的分组;以及
策略管理设备,所述策略管理设备管理通信策略,并且向所述控制设备通知与认证已经成功的用户相对应的通信策略,其中,所述通信方法包括:
基于来自所述策略管理设备的通知来对从所述用户终端接收分组的转发节点设定第一处理规则,所述第一处理规则使得所述转发节点关于从所述用户终端传送的分组作出处理规则的设定请求;以及
在从被设定了所述第一处理规则的转发节点接收到所述设定请求的情况下,根据所述通信策略来确定从所述用户终端到接入目的地的路径,并且对沿着所述路径的转发节点设定与所述路径相对应的第二处理规则,其中
仅当所述第一处理规则设置给所述转发节点时,所述转发节点发送所述设定请求。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011-009817 | 2011-01-20 | ||
| JP2011009817 | 2011-01-20 | ||
| PCT/JP2011/004817 WO2012098596A1 (en) | 2011-01-20 | 2011-08-30 | Communication system, control device, policy management device, communication method, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103329489A CN103329489A (zh) | 2013-09-25 |
| CN103329489B true CN103329489B (zh) | 2016-04-27 |
Family
ID=46515251
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180065565.2A Expired - Fee Related CN103329489B (zh) | 2011-01-20 | 2011-08-30 | 通信系统、控制设备、策略管理设备、通信方法和程序 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9363182B2 (zh) |
| EP (1) | EP2666264B1 (zh) |
| JP (1) | JP5811179B2 (zh) |
| CN (1) | CN103329489B (zh) |
| ES (1) | ES2630014T3 (zh) |
| WO (1) | WO2012098596A1 (zh) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2700206A4 (en) * | 2011-04-18 | 2014-12-17 | Nec Corp | END DEVICE, CONTROL DEVICE, COMMUNICATION METHOD, COMMUNICATION SYSTEM, COMMUNICATION MODULE, PROGRAM AND INFORMATION PROCESSING DEVICE |
| US9705813B2 (en) | 2012-02-14 | 2017-07-11 | Airwatch, Llc | Controlling distribution of resources on a network |
| US10404615B2 (en) | 2012-02-14 | 2019-09-03 | Airwatch, Llc | Controlling distribution of resources on a network |
| US10257194B2 (en) | 2012-02-14 | 2019-04-09 | Airwatch Llc | Distribution of variably secure resources in a networked environment |
| US9680763B2 (en) | 2012-02-14 | 2017-06-13 | Airwatch, Llc | Controlling distribution of resources in a network |
| US9363152B2 (en) * | 2012-06-11 | 2016-06-07 | Microsoft Technology Licensing, Llc | Large-scale passive network monitoring using multiple tiers of ordinary network switches |
| US20140280955A1 (en) | 2013-03-14 | 2014-09-18 | Sky Socket, Llc | Controlling Electronically Communicated Resources |
| CN104125244B (zh) * | 2013-04-23 | 2019-05-07 | 中兴通讯股份有限公司 | 一种分布式网络中转发信息的方法及系统 |
| JP5938004B2 (ja) * | 2013-05-09 | 2016-06-22 | 日本電信電話株式会社 | 通信ポリシー制御システムおよび通信制御装置 |
| WO2015074258A1 (zh) * | 2013-11-22 | 2015-05-28 | 华为技术有限公司 | 一种控制业务数据在虚拟网络中转发的方法、装置及系统 |
| US9705921B2 (en) | 2014-04-16 | 2017-07-11 | Cisco Technology, Inc. | Automated synchronized domain wide transient policy |
| BR112016030581B1 (pt) * | 2014-06-26 | 2023-02-28 | Huawei Technologies Co., Ltd | Dispositivo de plano de controle, dispositivo de plano de encaminhamento e método de controle de qualidade de serviço para rede definida por software |
| CN104035831A (zh) * | 2014-07-01 | 2014-09-10 | 浪潮(北京)电子信息产业有限公司 | 一种高端容错计算机管理系统及方法 |
| US9961059B2 (en) * | 2014-07-10 | 2018-05-01 | Red Hat Israel, Ltd. | Authenticator plugin interface |
| US20170063927A1 (en) * | 2015-08-28 | 2017-03-02 | Microsoft Technology Licensing, Llc | User-Aware Datacenter Security Policies |
| US11303636B2 (en) | 2015-08-28 | 2022-04-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Systems and methods for routing traffic originating from a communication device |
| TW201721498A (zh) * | 2015-12-01 | 2017-06-16 | Chunghwa Telecom Co Ltd | 具安全與功能擴充性的有線區域網路使用者管理系統及方法 |
| CN109314649A (zh) * | 2016-06-23 | 2019-02-05 | 英特尔Ip公司 | 用于nfv生命周期管理的设备和方法 |
| CN107547565B (zh) * | 2017-09-28 | 2020-08-14 | 新华三技术有限公司 | 一种网络接入认证方法及装置 |
| JP6610908B2 (ja) * | 2018-03-09 | 2019-11-27 | Kddi株式会社 | 通信システム |
| JP6610907B2 (ja) * | 2018-03-09 | 2019-11-27 | Kddi株式会社 | 通信システム |
| US11552953B1 (en) * | 2018-06-18 | 2023-01-10 | Amazon Technologies, Inc. | Identity-based authentication and access control mechanism |
| US11201854B2 (en) | 2018-11-30 | 2021-12-14 | Cisco Technology, Inc. | Dynamic intent-based firewall |
| CN112202750B (zh) * | 2020-09-25 | 2023-01-24 | 统信软件技术有限公司 | 策略执行的控制方法、策略执行系统及计算设备 |
| CN112564946B (zh) * | 2020-11-23 | 2022-11-11 | 浪潮思科网络科技有限公司 | 一种基于sdn的应用程序终端组通信方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004318582A (ja) * | 2003-04-17 | 2004-11-11 | Nippon Telegraph & Telephone East Corp | ネットワークアクセスシステム及び方法、認証装置、エッジルータ、アクセス制御装置、ならびに、コンピュータプログラム |
| JP2009135805A (ja) * | 2007-11-30 | 2009-06-18 | Fujitsu Ltd | 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE405110T1 (de) * | 2000-11-17 | 2008-08-15 | Sony Deutschland Gmbh | Informationsübertragung via einem ad hoc netz |
| US7340531B2 (en) * | 2002-09-27 | 2008-03-04 | Intel Corporation | Apparatus and method for data transfer |
| US20040213172A1 (en) * | 2003-04-24 | 2004-10-28 | Myers Robert L. | Anti-spoofing system and method |
| JP4357401B2 (ja) | 2004-10-13 | 2009-11-04 | 日本電信電話株式会社 | フィルタリング方法 |
| US8627490B2 (en) * | 2005-12-29 | 2014-01-07 | Nextlabs, Inc. | Enforcing document control in an information management system |
| US20080189769A1 (en) | 2007-02-01 | 2008-08-07 | Martin Casado | Secure network switching infrastructure |
| CN102217228B (zh) | 2007-09-26 | 2014-07-16 | Nicira股份有限公司 | 管理和保护网络的网络操作系统 |
| US8046378B1 (en) * | 2007-09-26 | 2011-10-25 | Network Appliance, Inc. | Universal quota entry identification |
| US8646067B2 (en) * | 2008-01-26 | 2014-02-04 | Citrix Systems, Inc. | Policy driven fine grain URL encoding mechanism for SSL VPN clientless access |
| US8583781B2 (en) * | 2009-01-28 | 2013-11-12 | Headwater Partners I Llc | Simplified service network architecture |
| US8023504B2 (en) * | 2008-08-27 | 2011-09-20 | Cisco Technology, Inc. | Integrating security server policies with optimized routing control |
| US8248958B1 (en) * | 2009-12-09 | 2012-08-21 | Juniper Networks, Inc. | Remote validation of network device configuration using a device management protocol for remote packet injection |
| JPWO2011081104A1 (ja) * | 2010-01-04 | 2013-05-09 | 日本電気株式会社 | 通信システム、認証装置、制御サーバ、通信方法およびプログラム |
| US8935384B2 (en) * | 2010-05-06 | 2015-01-13 | Mcafee Inc. | Distributed data revocation using data commands |
-
2011
- 2011-08-30 WO PCT/JP2011/004817 patent/WO2012098596A1/en active Application Filing
- 2011-08-30 JP JP2013532759A patent/JP5811179B2/ja active Active
- 2011-08-30 ES ES11856261.0T patent/ES2630014T3/es active Active
- 2011-08-30 US US13/980,029 patent/US9363182B2/en active Active
- 2011-08-30 CN CN201180065565.2A patent/CN103329489B/zh not_active Expired - Fee Related
- 2011-08-30 EP EP11856261.0A patent/EP2666264B1/en not_active Not-in-force
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004318582A (ja) * | 2003-04-17 | 2004-11-11 | Nippon Telegraph & Telephone East Corp | ネットワークアクセスシステム及び方法、認証装置、エッジルータ、アクセス制御装置、ならびに、コンピュータプログラム |
| JP2009135805A (ja) * | 2007-11-30 | 2009-06-18 | Fujitsu Ltd | 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法 |
Non-Patent Citations (1)
| Title |
|---|
| Ethane:Taking Control of the Enterprise;Martin Casado 等;《Proceedings of the 2007 conference on Applications,technologies,architectures,and protocols for computer communications》;20070831;第37卷(第4期);正文第1页左栏倒数第1段 * |
Also Published As
| Publication number | Publication date |
|---|---|
| ES2630014T3 (es) | 2017-08-17 |
| JP5811179B2 (ja) | 2015-11-11 |
| EP2666264A1 (en) | 2013-11-27 |
| WO2012098596A1 (en) | 2012-07-26 |
| US20130322257A1 (en) | 2013-12-05 |
| EP2666264B1 (en) | 2017-04-19 |
| JP2014503135A (ja) | 2014-02-06 |
| EP2666264A4 (en) | 2015-01-21 |
| CN103329489A (zh) | 2013-09-25 |
| US9363182B2 (en) | 2016-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103329489B (zh) | 通信系统、控制设备、策略管理设备、通信方法和程序 | |
| KR101528825B1 (ko) | 단말, 제어 장치, 통신 방법, 통신 시스템, 통신 모듈, 프로그램 및 정보 처리 장치 | |
| KR101685471B1 (ko) | 단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체, 및 정보 처리 디바이스 | |
| EP2658183A1 (en) | Communication system, control device, policy management device, communication method, and program | |
| EP2832058B1 (en) | Communication system, control apparatus, communication apparatus, communication control method, and program | |
| EP2680506A1 (en) | Communication system, database, control device, communication method and program | |
| WO2012160809A1 (en) | Communication system, control device, communication method, and program | |
| CN103493442B (zh) | 终端、控制设备以及通信方法 | |
| JP2014516215A (ja) | 通信システム、制御装置、処理規則設定方法およびプログラム | |
| CN103119902A (zh) | 通信系统、策略管理装置、通信方法及程序 | |
| US20130275620A1 (en) | Communication system, control apparatus, communication method, and program | |
| JP2018093246A (ja) | ネットワークシステム、制御装置、制御方法及びプログラム | |
| JP2018093245A (ja) | ネットワークシステム、制御装置、制御方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160427 Termination date: 20180830 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |