JP6666863B2 - System, method and program for forming virtual closed network - Google Patents

System, method and program for forming virtual closed network Download PDF

Info

Publication number
JP6666863B2
JP6666863B2 JP2017015223A JP2017015223A JP6666863B2 JP 6666863 B2 JP6666863 B2 JP 6666863B2 JP 2017015223 A JP2017015223 A JP 2017015223A JP 2017015223 A JP2017015223 A JP 2017015223A JP 6666863 B2 JP6666863 B2 JP 6666863B2
Authority
JP
Japan
Prior art keywords
terminal
name resolution
network
address
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017015223A
Other languages
Japanese (ja)
Other versions
JP2018125647A (en
Inventor
健太 川上
健太 川上
章弘 森田
章弘 森田
則武 克誌
克誌 則武
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2017015223A priority Critical patent/JP6666863B2/en
Publication of JP2018125647A publication Critical patent/JP2018125647A/en
Application granted granted Critical
Publication of JP6666863B2 publication Critical patent/JP6666863B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、端末を収容するネットワーク上に前記端末が所属するグループ毎の仮想閉域網を形成するシステムに関する。   The present invention relates to a system for forming a virtual closed network for each group to which a terminal belongs on a network accommodating the terminal.

現在、多様な端末がネットワークに接続するIoT(Internet of Thing)に関する検討が様々な標準化団体等で議論されている。IoTネットワークでは、多様な端末が接続する事から、端末種別毎の通信の頻度や帯域の振れ幅が大きく、個々の端末の挙動(バースト的なトラヒックの送出、監視カメラによる広帯域の占有等)によって、他の正常なサービス利用が阻害される懸念がある。また、同一仕様の端末が数多く分散して配置されるため、それらの端末のセキュリティの脆弱性を付いた攻撃が行われた場合にネットワーク全体への影響が非常に大きい。   At present, various standardization organizations are discussing the Internet of Things (IoT) in which various terminals are connected to a network. In the IoT network, since various terminals are connected, the frequency of communication and the fluctuation of the bandwidth for each terminal type are large, and the behavior of each terminal (burst traffic transmission, occupation of a wide band by a monitoring camera, etc.) However, there is a concern that the use of other normal services will be hindered. Also, since many terminals having the same specifications are distributed and arranged, an attack with security vulnerabilities of those terminals has a great effect on the entire network.

これらの課題を解決するためには、個々のIoTサービス毎にVPN(Virtual Private Network)等の閉域網を構築し、サービス間での相互干渉を防止する手法が一般的である。   In order to solve these problems, it is general to construct a closed network such as a VPN (Virtual Private Network) for each IoT service and prevent mutual interference between services.

吉田誠、他、「IoTを支える無線ネットワークの運用管理技術」、2016年電子情報通信学会総合大会、BP−5−4Makoto Yoshida, et al., "Operation Management Technology of Wireless Network Supporting IoT", IEICE General Conference 2016, BP-5-4 Jungo Tsubakihara、「IoTソリューション導入の技術課題」、2016年電子情報通信学会総合大会、BP−5−6Jungo Tsubakihara, "Technical Issues of IoT Solution Introduction", IEICE General Conference 2016, BP-5-6

しかし、VPN技術による閉域網には以下に述べるような問題点がある(非特許文献1、2参照)。   However, the closed network using the VPN technology has the following problems (see Non-Patent Documents 1 and 2).

1.端末に機能追加が必要である。   1. The terminal needs additional functions.

多様な端末が簡易にネットワークに接続できるようにするためには,端末にはネットワークに接続するための必要最低限の機能を具備するだけでIoTネットワークに接続できる事が望ましい。しかし、VPNの場合は、トンネル制御のための機能を具備する必要があり、任意の端末が自由にネットワークに接続できる、というIoTの理念から乖離している。   In order to allow various terminals to easily connect to the network, it is desirable that the terminals have only the minimum necessary functions for connecting to the network and can be connected to the IoT network. However, in the case of VPN, it is necessary to provide a function for tunnel control, which deviates from the IoT philosophy that any terminal can freely connect to the network.

また、IoT端末はネットワークに定常的に接続するため、サービス提供のコスト削減の観点から、必要となるマシンリソースは小さく、消費電力が少ない事が望ましい。しかし、IPSec等のVPN技術の実装は高コストであり、かつ消費電力やマシンリソースも大きい。   Further, since the IoT terminal is constantly connected to the network, it is desirable that the required machine resources are small and the power consumption is small from the viewpoint of cost reduction of service provision. However, implementation of VPN technology such as IPSec is expensive, and power consumption and machine resources are large.

2.ネットワーク側でもトンネル制御のための機能追加が必要である。   2. The network side also needs to add a function for tunnel control.

また、IoT固有の課題として、以下に述べるような問題点がある。   In addition, as a problem unique to the IoT, there is a problem as described below.

定期的なバーストトラヒックへの対処:IoTの様な機械端末では、ネットワークの接続が特定のタイミング(例:毎時0分,毎分0秒)に集中する事が多い。その様な定期的なバーストトラヒックに対して、サーバや通信路の輻輳が発生しやすい。   Dealing with periodic burst traffic: In machine terminals such as IoT, network connections are often concentrated at specific timings (eg, 0 minutes per hour, 0 seconds per minute). Congestion of servers and communication paths is likely to occur for such periodic burst traffic.

IoTネットワークでは、端末数が膨大で広範囲に散らばっているため、全ての端末を保守者が現地で維持メンテする事が困難である。   In the IoT network, since the number of terminals is enormous and scattered over a wide area, it is difficult for a maintenance person to maintain all the terminals on site.

以上の議論より、以下の要件を設定した。   Based on the above discussion, the following requirements were set.

要件1:サービス毎のトラヒックの相互干渉の防止。通信の頻度や帯域の振れ幅が異なる多様な端末を同一ネットワークに収容し、かつ、サービス間での相互干渉を防止できる事。   Requirement 1: prevention of mutual interference of traffic for each service. Various terminals with different communication frequencies and bandwidth fluctuations can be accommodated in the same network, and mutual interference between services can be prevented.

要件2:端末への追加実装が不要。端末には要件1を実現するための固有の追加機能の実装が不要である事(ネットワークに接続するための必要最低限の機能のみを具備するだけでよい事)。   Requirement 2: No additional implementation on the terminal is required. It is not necessary for the terminal to implement a unique additional function for realizing the requirement 1 (only the minimum necessary function for connecting to the network is required).

要件3:ネットワークへの追加実装が不要。ネットワーク側においても、要件1を実現するための固有の追加機能の実装が不要である事。   Requirement 3: No additional implementation on the network is required. It is not necessary for the network to implement additional functions specific to fulfill requirement 1.

要件4:バーストトラヒックの抑止。定期的なバーストトラヒックによるトラヒックの輻輳を抑止する事ができる事。   Requirement 4: Suppression of burst traffic. The ability to suppress traffic congestion due to periodic burst traffic.

要件5:端末の保守運用の簡素化。端末が正常な動作を行わなくなった場合の保守運用稼働が低減化されている事。   Requirement 5: Simplify terminal maintenance and operation. The maintenance operation when the terminal stops operating normally is reduced.

本発明は上記事情に鑑みてなされたものであり、その目的とするところは、上記要件を満たしIoTに適した仮想閉域網の形成システム及び方法並びに提供することにある。   The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a virtual closed area network forming system and method that satisfies the above requirements and is suitable for IoT.

上記目的を達成するために、本願発明は、1以上の端末を収容するネットワーク上に前記端末が所属するグループ毎の仮想閉域網を形成する仮想閉域網の形成システムであって、前記各グループに対応して設けられ且つ自身のグループに所属する端末に名前解決サービスを提供するグループ毎の名前解決サーバと、端末に払い出すL3(Layer 3)アドレスと当該端末が属するグループ用の名前解決サーバのL3アドレスとを含む構成情報を端末毎に保持するとともにネットワークに接続しようとする端末に当該端末の構成情報を配布する構成情報配布サーバと、端末・ネットワーク間のトラヒックの中継及びパケットフィルタリングを行う中継装置と、を前記ネットワーク側に配置し、前記中継装置は、宛先及び送信元のL3アドレスの組が、構成情報配布サーバが配布した端末のL3アドレスと該端末の属するグループ用の名前解決サーバが名前解決して該端末に応答したL3アドレスとの組であるトラフィックのみを通過させるよう動的にフィルタリング設定を行うことを特徴とする。 In order to achieve the above object, the present invention is a virtual closed network forming system for forming a virtual closed network for each group to which the terminal belongs on a network accommodating one or more terminals , A name resolution server for each group provided correspondingly and providing a name resolution service to terminals belonging to its own group, an L3 (Layer 3) address to be paid out to the terminal, and a name resolution server for the group to which the terminal belongs. A configuration information distribution server that holds configuration information including an L3 address for each terminal and distributes the configuration information of the terminal to a terminal to be connected to a network, and a relay that relays traffic between the terminal and the network and performs packet filtering And the relay device are arranged on the network side, and the relay device has a set of a destination and a source L3 address, And L3 address configuration information distribution server distributes terminal dynamically filtered to name resolution server for group of the said terminal passes only traffic is a set of the L3 address in response to the terminal and name resolution The setting is performed.

本発明によれば、ネットワークに流入する端末のトラヒックは、当該端末の属するグループ毎に管理される名前解決サービスが応答したL3アドレス宛てのもののみとなるので、グループ間でのトラヒックの相互干渉を防止できる。また、端末として、構成情報配布サービスを利用した端末構成を行う一般的なものをそのまま用いることができる。また、名前解決サーバ及び構成情報配布サーバにおける各種データの管理によりトラヒック等をネットワーク側で一括して制御できるので、端末の保守運用を簡素化することができる。   According to the present invention, since the traffic of the terminal flowing into the network is only addressed to the L3 address to which the name resolution service managed for each group to which the terminal belongs, the mutual interference of traffic between the groups can be reduced. Can be prevented. In addition, a general terminal that performs a terminal configuration using a configuration information distribution service can be used as it is. In addition, since traffic and the like can be controlled collectively on the network side by managing various data in the name resolution server and the configuration information distribution server, maintenance and operation of terminals can be simplified.

本発明の世界観を説明するネットワーク図Network diagram explaining the world view of the present invention 本実施の形態に係る仮想閉域網の形成システムを説明する図FIG. 2 is a diagram illustrating a virtual closed network forming system according to the present embodiment. DNSプロセスの構成図Configuration diagram of DNS process ゲートウェイの構成図Configuration diagram of gateway 応答ドメインの限定によるトラヒックグループの区別について説明する図Diagram explaining distinction of traffic groups by limiting response domains DNSクエリの集中とTTLの関係を説明する図Diagram for explaining the relationship between DNS query concentration and TTL TTLの調整方法について説明する図FIG. 4 is a diagram for explaining a TTL adjustment method.

まず、本発明の目指す世界観について図1のネットワーク図を参照して説明する。本発明は、多様なIoT端末が、個々のサービス毎に相互干渉せずに共存できるネットワークの実現を目指すものである。   First, the world view aimed at by the present invention will be described with reference to the network diagram of FIG. The present invention aims to realize a network in which various IoT terminals can coexist without interfering with each other for each service.

本発明では、まずIoT端末10をトラヒックグループに分類する。ネットワーク200には、CPE(宅内通信設備:Customer Premises Equipment)の一部機能を仮想化した仮想CPE100を配置する。仮想CPE100は、グループ毎に仮想閉域網300を形成する。仮想CPE100は、複数の仮想閉域網300を形成することができる。なお図1では、各仮想CPE100はそれぞれ1つの仮想閉域網300を形成している。仮想閉域網300は、個々のトラヒックがグループ毎に独立しており、混ざり合う事が無い。仮想CPE100は、自身が対応する1つ以上のグループに属するIoT端末10に、CPEの一部機能を提供する。ネットワーク200側は、通常のパケット転送のみでよい。IoT端末10自身は、自分がどのトラヒックグループに属しているのかは意識しない、すなわちネットワーク200側でトラヒック制御を行う。   In the present invention, the IoT terminals 10 are first classified into traffic groups. In the network 200, a virtual CPE 100 in which some functions of CPE (Customer Premises Equipment) are virtualized is arranged. The virtual CPE 100 forms a virtual closed network 300 for each group. The virtual CPE 100 can form a plurality of virtual closed networks 300. In FIG. 1, each virtual CPE 100 forms one virtual closed area network 300. In the virtual closed area network 300, individual traffic is independent for each group and does not mix. The virtual CPE 100 provides some functions of the CPE to the IoT terminals 10 belonging to one or more groups corresponding to the virtual CPE 100. The network 200 only needs to perform normal packet transfer. The IoT terminal 10 itself does not know which traffic group it belongs to, that is, performs traffic control on the network 200 side.

ここで、図1は概念図である点に留意されたい。したがって、ネットワーク200の形態は不問である。すなわち、ネットワーク200は、1つ以上物理網により形成されていてもよいし、1つ以上の仮想網により形成されていてもよいし、1つ以上の物理網と仮想網の組み合わせであってもよい。また、物理網は、固定網であっても移動網であってもよいし、これらの組み合わせであってもよい。また、IoT端末10を収容するためのアクセス回線の形態も不問である。   Here, it should be noted that FIG. 1 is a conceptual diagram. Therefore, the form of the network 200 does not matter. That is, the network 200 may be formed by one or more physical networks, may be formed by one or more virtual networks, or may be a combination of one or more physical networks and virtual networks. Good. Further, the physical network may be a fixed network, a mobile network, or a combination thereof. Also, the form of the access line for accommodating the IoT terminal 10 does not matter.

次に、本実施の形態に係る仮想閉域網の形成システムについて図2を参照して説明する。仮想CPE100は、図2に示すように、構成情報配布サービスを提供するDHCP(Dynamic Host Configuration Protocol)プロセス110と、グループ毎に形成され当該グループに属するIoT端末10に名前解決サービスを提供する1つ以上のDNS(Domain Name System)プロセス120と、IoT端末10とネットワーク200間のトラヒックを中継するゲートウェイ130とを備えている。   Next, a virtual closed network forming system according to the present embodiment will be described with reference to FIG. As shown in FIG. 2, the virtual CPE 100 includes a DHCP (Dynamic Host Configuration Protocol) process 110 for providing a configuration information distribution service, and one for providing a name resolution service to the IoT terminals 10 formed for each group and belonging to the group. It comprises a DNS (Domain Name System) process 120 and a gateway 130 that relays traffic between the IoT terminal 10 and the network 200.

DHCPプロセス110は、図2に示すように、IoT端末10に払い出すL3アドレスと当該IoT端末が属するグループ用のDNSサーバのL3アドレスとを含む構成情報111をIoT端末10毎に保持する。なお、本実施形態では、L3アドレスの一例としてIPv6アドレスを用いる。また、IoT端末10を識別する情報としては、IoT端末10のL2アドレスであるMAC(Media Access Control)アドレスを用いる。   As shown in FIG. 2, the DHCP process 110 holds, for each IoT terminal 10, configuration information 111 including an L3 address assigned to the IoT terminal 10 and an L3 address of a DNS server for a group to which the IoT terminal belongs. In this embodiment, an IPv6 address is used as an example of the L3 address. Further, as information for identifying the IoT terminal 10, a MAC (Media Access Control) address which is an L2 address of the IoT terminal 10 is used.

DHCPプロセス110は、IoT端末10がネットワーク200に接続しようとする際に、当該IoT端末10からの要求に応じて、当該IoT端末10を識別し、当該IoT端末10用に保持している構成情報111を応答する。IoT端末10は、受信した構成情報111に基づき、自身のL3アドレス及び名前解決の際に用いるDNSサーバを設定する。   When the IoT terminal 10 tries to connect to the network 200, the DHCP process 110 identifies the IoT terminal 10 in response to a request from the IoT terminal 10, and stores the configuration information held for the IoT terminal 10. Responds 111. The IoT terminal 10 sets its own L3 address and a DNS server used for name resolution based on the received configuration information 111.

図3にDNSプロセス120の構成図を示す。DNSプロセス120は、図3に示すように、名前解決処理部121と、ゾーンファイル122と、TTL(Time To Live)調整部123とを備えている。   FIG. 3 shows a configuration diagram of the DNS process 120. As shown in FIG. 3, the DNS process 120 includes a name resolution processing unit 121, a zone file 122, and a TTL (Time To Live) adjustment unit 123.

名前解決処理部121は、IoT端末10からの名前解決要求(DNSクエリ)に対してゾーンファイル122を参照して名前解決処理を行い、要求元にIoT端末10に応答する。ゾーンファイル122は、仮想CPE100が対応する1つ以上のグループについてのゾーン情報を有している。このゾーン情報にはTTLが含まれる。また、IoT端末10への応答にはTTLが含まれる。TTL調整部123については後述する。   The name resolution processing unit 121 performs name resolution processing on the name resolution request (DNS query) from the IoT terminal 10 by referring to the zone file 122, and responds to the IoT terminal 10 to the request source. The zone file 122 has zone information about one or more groups to which the virtual CPE 100 corresponds. This zone information includes TTL. The response to the IoT terminal 10 includes TTL. The TTL adjustment unit 123 will be described later.

図4にゲートウェイ130の構成図を示す。ゲートウェイ130は、図4に示すように、IoT端末10側とネットワーク200側との間でパケットを中継するパケット中継部131を備えている。パケット中継部131は、フィルタリング処理部132と、フィルタ設定部134とを備えている。フィルタリング処理部132は、フィルタリング処理部132により動的に設定された通過トラヒック情報133を保持しており、この通過トラヒック情報133に合致するトラヒックのみを通過させ、他のトラヒックは廃棄する。フィルタ設定部134は、DHCPプロセス110が配布した構成情報111及びDNSプロセス120がIoT端末10に応答した応答情報に基づき、前記通過トラヒック情報133を動的に設定する。通過トラヒック情報133は、図4に示すように、宛先のL3アドレスと送信元のL3アドレスの組を含む。   FIG. 4 shows a configuration diagram of the gateway 130. As shown in FIG. 4, the gateway 130 includes a packet relay unit 131 that relays a packet between the IoT terminal 10 and the network 200. The packet relay unit 131 includes a filtering processing unit 132 and a filter setting unit 134. The filtering processing unit 132 holds the passing traffic information 133 dynamically set by the filtering processing unit 132, passes only the traffic that matches the passing traffic information 133, and discards other traffic. The filter setting unit 134 dynamically sets the passing traffic information 133 based on the configuration information 111 distributed by the DHCP process 110 and response information of the DNS process 120 responding to the IoT terminal 10. As shown in FIG. 4, the passing traffic information 133 includes a set of a destination L3 address and a transmission source L3 address.

また、ゲートウェイ130は、図4に示すように、廃棄トラヒック集約部135を備えている。廃棄トラヒック集約部135は、フィルタリング処理部132で廃棄したトラヒックについての各種情報を集約し、所定の端末管理サイトに通知する。   The gateway 130 includes a discarded traffic aggregating unit 135 as shown in FIG. The discarded traffic aggregation unit 135 aggregates various types of information on traffic discarded by the filtering processing unit 132 and notifies a predetermined terminal management site.

本実施の形態に係る仮想閉域網の形成システムは、図2に示すように、以下のポイントを有している。   The virtual closed network forming system according to the present embodiment has the following points as shown in FIG.

ポイント1:ゲートウェイにおける動的なトラヒックフィルタ設定
ポイント2:ゲートウェイにおける廃棄トラック関連情報の収集
ポイント3:応答ドメインの限定によるトラヒックグループの区別
ポイント4:名前解決応答におけるTTLの変更によるクエリ集中の回避
ポイント5:CPEを仮想化する事による保守運用性向上
以下に上記各ポイントについて詳述する。 Point 1: Dynamic traffic filter setting at the gateway Point 2: Collection of discard track related information at the gateway Point 3: Differentiation of traffic groups by limiting response domains Point 4: Avoidance of query concentration due to TTL change in name resolution response Points 5: Improvement of maintenance operability by virtualizing CPE Each of the above points will be described in detail below.

[ポイント1:ゲートウェイにおける動的なトラヒックフィルタ設定]
まず、図2に示すように、DHCPプロセス110に予めIoT端末10のL2アドレスと、当該IoT端末10が接続するトラヒックグループのテーブルを保持しておき、IoT端末10からのDHCP要求に対して、IoT端末のL3アドレスとDNSプロセス120のL3アドレスを回答する(ステップ(1))。IoT端末10がDHCPによる回答に係るDNSプロセス120に対してDNSクエリを送信すると(ステップ(2))、当該DNSプロセス120が応答する(ステップS(3))。IoT端末10は、DNS応答に係るL3アドレスを宛先アドレスとし、且つ、DHCP応答に係るL3アドレスを送信元アドレスとしたユーザ通信を行う。 [Point 1: Dynamic traffic filter setting at the gateway]
First, as shown in FIG. 2, the L2 address of the IoT terminal 10 and a table of a traffic group to which the IoT terminal 10 connects are stored in the DHCP process 110 in advance, and a DHCP request from the IoT terminal 10 is The L3 address of the IoT terminal and the L3 address of the DNS process 120 are answered (step (1)). When the IoT terminal 10 transmits a DNS query to the DNS process 120 related to the DHCP response (step (2)), the DNS process 120 responds (step S (3)). The IoT terminal 10 performs user communication using the L3 address related to the DNS response as the destination address and the L3 address related to the DHCP response as the source address.

そして、上記ポイント1は、ゲートウェイ130において、前記ステップ(1)とステップ(3)の情報からパケットフィルタを設定し、該当する通信のみを許容することである。   The point 1 is that the gateway 130 sets a packet filter based on the information of the steps (1) and (3), and permits only the corresponding communication.

このようにポイント1では、仮想CPE100のゲートウェイ130にて動的なトラヒックフィルタを設定し、個々のトラヒックグループへの振り分けを実施する事で、サービス毎(グループ毎)のトラヒックの相互干渉を防止できる。また、上記のトラヒックグループへの接続の可否は上記ゲートウェイ130にて一元的に管理するため、個々のIoT端末10やネットワーク200では固有機能の具備が不要である。以上より、上記要件1、2、3が解決される。   In this way, at point 1, by setting a dynamic traffic filter in the gateway 130 of the virtual CPE 100 and allocating the traffic to individual traffic groups, it is possible to prevent mutual interference of traffic for each service (for each group). . In addition, since the availability of connection to the traffic group is centrally managed by the gateway 130, each IoT terminal 10 or the network 200 does not need to have a unique function. As described above, the above requirements 1, 2, and 3 are solved.

[ポイント2:ゲートウェイにおける廃棄トラック関連情報の収集]
次に、上記ポイント2について説明する。上記ポイント2は、ゲートウェイ130において、廃棄トラヒックのデータを集約して仮想CPE100から所定の端末管理サイトに報告し、IoT端末10の保守運用に活用するものである。データ集約は、例えば通信データ(端末L3アドレス、通信内容)など端末保守での活用に有用なものを対象とすればよい。これらのデータは所謂ビッグデータとして、ビッグデータ解析に利用できる。また、保守管理の内容としては、例えば、遠隔での復旧操作、(必要に応じて)現地交換を実施、統計的な分析(セキュリティ攻撃の分析等)などが挙げられる。また、不正な動作を行っているIoT端末10の検知を行う事で、不正端末の傾向分析を行うこともできる。このようにポイント2により、上記要件5が解決される。 [Point 2: Collection of discarded truck related information at the gateway]
Next, point 2 will be described. The point 2 is that the gateway 130 collects the discarded traffic data, reports the collected data from the virtual CPE 100 to a predetermined terminal management site, and uses the data for the maintenance operation of the IoT terminal 10. The data aggregation may be for data useful for terminal maintenance such as communication data (terminal L3 address, communication contents), for example. These data can be used for big data analysis as so-called big data. Further, the contents of the maintenance management include, for example, a remote recovery operation, a field exchange (if necessary), a statistical analysis (such as an analysis of a security attack), and the like. Further, by detecting the IoT terminal 10 that is performing an unauthorized operation, it is possible to analyze the tendency of the unauthorized terminal. Thus, the above requirement 5 is solved by the point 2.

[ポイント3:応答ドメインの限定による、トラヒックグループの区別]
次に、上記ポイント3について図5を参照して説明する。IoT端末10は、人間の機械端末の操作とは異なり、名前解決の問い合わせドメインのバリエーションは限定的であると想定される。このため、本システムでは、下位プロキシでは、それぞれ特定のドメインのみの応答を行うDNSプロセスが複数設定される事を許容する(図5ではDNSプロセス1,DNSプロセス2)。各々のDNSプロセス120には、L3アドレスである所定のIPv6アドレスを付与する事とする。個々のIoT端末10は、DHCP応答にてそれぞれのIoT端末10の用途に適したDNSプロセス120のL3アドレスが通知され、そのL3アドレスに対して名前解決要求を送出する事とする。 [Point 3: Differentiating traffic groups by limiting response domains]
Next, point 3 will be described with reference to FIG. Unlike the operation of the human machine terminal, the IoT terminal 10 is assumed to have a limited range of query domains for name resolution. For this reason, in this system, the lower-level proxy allows a plurality of DNS processes that respond only to a specific domain to be set (DNS process 1 and DNS process 2 in FIG. 5). A predetermined IPv6 address, which is an L3 address, is assigned to each DNS process 120. Each IoT terminal 10 is notified of the L3 address of the DNS process 120 suitable for the use of each IoT terminal 10 in a DHCP response, and sends a name resolution request to the L3 address.

このようにポイント3では、個々のサービスに適したDNSプロセス120を提供する事で、個別端末が接続できる通信相手を限定する事ができる。以上より、上記要件1,2,3が解決できる。   In this way, at point 3, by providing the DNS process 120 suitable for each service, it is possible to limit the communication partners to which the individual terminal can connect. As described above, the above requirements 1, 2, and 3 can be solved.

[ポイント4:名前解決応答におけるTTLの変更によるクエリ集中の回避]
次に、上記ポイント4について図6及び図7を参照して説明する。図6はIoT端末のDNSクエリとTTLの関係を説明する図、図7はTTL調整方法について説明する図である。図6において、横軸は時間、縦軸はクエリ量を示す。図6に示すように、IoT端末10は、一定の間隔で繰り返しDNSクエリを送出するケースが多い。 [Point 4: Avoiding Query Concentration by Changing TTL in Name Resolution Response]
Next, the point 4 will be described with reference to FIGS. FIG. 6 is a diagram for explaining the relationship between the DNS query of the IoT terminal and TTL, and FIG. 7 is a diagram for explaining a TTL adjustment method. In FIG. 6, the horizontal axis represents time, and the vertical axis represents query volume. As shown in FIG. 6, the IoT terminal 10 often sends a DNS query repeatedly at regular intervals.

このようなケースにおいて、一定間隔でのDNSクエリの集中を回避するために、DNSプロセス120のTTL調整部123は、ドメイン単位でクエリ推移を記録し、ドメインのキャッシュ保持時間(TTL)と定期クエリ間隔の大小関係を判別する。そして、この大小関係に応じて、図7に示すようなTTLの変更を行う事で、クエリ集中の回避と、クエリ総数の削減を実現する。   In such a case, in order to avoid concentration of DNS queries at regular intervals, the TTL adjustment unit 123 of the DNS process 120 records a query transition in units of domains, and stores a cache holding time (TTL) of the domain and a periodic query. Determine the magnitude relationship of the intervals. By changing the TTL as shown in FIG. 7 according to the magnitude relationship, avoidance of query concentration and reduction of the total number of queries are realized.

図7において、横軸は時間であり、横軸から上方に延びる矢印はIoT端末10において名前解決を行うタイミングを示す。また、横軸上の長方形はIoT端末10においてTTLにより設定されたキャッシュ保持期間を示す。また、横軸下方の三角形は名前解決についてDNSプロセス120にDNSクエリを送信するタイミングを示す。   In FIG. 7, the horizontal axis represents time, and an arrow extending upward from the horizontal axis indicates the timing at which the IoT terminal 10 performs name resolution. A rectangle on the horizontal axis indicates a cache holding period set by the TTL in the IoT terminal 10. The triangle below the horizontal axis indicates the timing at which a DNS query is transmitted to the DNS process 120 for name resolution.

図7(a)はTTL>定期クエリ間隔の場合を示す。この場合「通常時」は、各IoT端末10のDNSクエリは定期的に送出され、これによりトラヒックが集中することになる。そこで、TTL調整部123はTTLを意図的に減算又は加算する。TTL調整部123は、加減算とクエリ分散の変化を繰り返し学習する事で、加減算幅を最適に変更する。この減算処理によれば、図7(a)に示すように、通常時では各IoT端末10が同じタイミングでDNSクエリを送出するところ、このタイミングがずれるのでトラヒック集中を回避できる。一方、加算処理によれば、図7(a)に示すように、DNSクエリの総数を削減することができる。   FIG. 7A shows the case of TTL> periodic query interval. In this case, in the “normal time”, the DNS query of each IoT terminal 10 is periodically transmitted, whereby the traffic is concentrated. Therefore, the TTL adjusting unit 123 intentionally subtracts or adds TTL. The TTL adjustment unit 123 optimally changes the addition / subtraction width by repeatedly learning addition / subtraction and changes in query variance. According to this subtraction processing, as shown in FIG. 7A, in normal times, each IoT terminal 10 transmits a DNS query at the same timing, but this timing is shifted, so that traffic concentration can be avoided. On the other hand, according to the addition processing, as shown in FIG. 7A, the total number of DNS queries can be reduced.

図7(b)はTTL<定期クエリ間隔の場合を示す。この場合「通常時」は、DNSクエリは各IoT端末10において名前解決を行うタイミングで毎回送出され、クエリ総数が大きくなる。そこで、TTL調整部123はTTLを意図的に加算(延長)する。TTL調整部123は、延長とクエリ減少の変化を繰り返し学習する事で、延長幅を最適に変更する。この加算処理によれば、図7(b)に示すように、DNSクエリの総数を削減することができる。   FIG. 7B shows a case where TTL <the regular query interval. In this case, in the "normal time", the DNS query is sent out each time the name resolution is performed in each IoT terminal 10, and the total number of queries increases. Therefore, the TTL adjustment unit 123 intentionally adds (extends) the TTL. The TTL adjustment unit 123 optimally changes the extension width by repeatedly learning the changes of the extension and the query decrease. According to this addition processing, as shown in FIG. 7B, the total number of DNS queries can be reduced.

このようにポイント4では、TTLを変更させる事で、定期的なクエリ要求に対するバーストトラヒックを低減させ、耐性を向上させることができる。以上より上記要件4を解決する。   As described above, at the point 4, by changing the TTL, it is possible to reduce the burst traffic for the periodic query request and improve the tolerance. As described above, the above requirement 4 is solved.

[ポイント5:CPEを仮想化する事による保守運用性向上]
次に、上記ポイント5について図2を参照して説明する。本システムにおけるCPEは、図2に示すような構成情報111が必要であり、これらの維持管理が必要となる。本システムでは、ネットワーク200側において、すなわち仮想CPE100において一括で管理するので、保守運用性の向上と、管理権限の厳格化(悪意のあるユーザが任意の操作をできないようにする)を実現する。このようにポイント5により、上記要件5を解決する。 [Point 5: Improvement of maintenance and operability by virtualizing CPE]
Next, the point 5 will be described with reference to FIG. The CPE in this system requires the configuration information 111 as shown in FIG. 2, and the maintenance and management of these are required. In the present system, since the management is performed collectively on the network 200 side, that is, in the virtual CPE 100, the maintenance and operability is improved and the management authority is stricter (to prevent a malicious user from performing any operation). Thus, the above requirement 5 is solved by the point 5.

以上本発明の一実施の形態について詳述したが本発明はこれに限定されるものではない。例えば、上記実施の形態では構成情報配布サービスとしてDHCPを例示し、名前解決サービスとしてDNSを例示したが、それぞれ他のプロトコルであっても本発明を実施できる。また、上記実施の形態ではL3アドレスとしてIPv6、L2アドレスとしてMACアドレスを例示したが、それぞれ他のプロトコルに係るアドレスであっても本発明を実施できる。また、本実施の形態ではIoT端末について説明したが、その他の端末であっても本発明を実施できる。   Although the embodiment of the present invention has been described in detail, the present invention is not limited to this. For example, in the above-described embodiment, the configuration information distribution service is exemplified by DHCP, and the name resolution service is exemplified by DNS. However, the present invention can be implemented with other protocols. Further, in the above-described embodiment, the IPv6 is used as the L3 address and the MAC address is used as the L2 address. However, the present invention can be applied to addresses related to other protocols. Further, although the embodiment has been described with respect to the IoT terminal, the present invention can be implemented with other terminals.

10…IoT端末
100…仮想CPE
110…DHCPプロセス
111…構成情報
120…DNSプロセス
121…名前解決処理部
122…ゾーンファイル
123…TTL調整部123
130…ゲートウェイ
131…パケット中継部
132…フィルタリング処理部
133…通過トラヒック情報
134…フィルタ設定部
135…廃棄トラヒック集約部
200…ネットワーク 10 IoT terminal 100 Virtual CPE
110 DHCP process 111 Configuration information 120 DNS process 121 Name resolution processing unit 122 Zone file 123 TTL adjustment unit 123
130 gateway 131 131 packet relay unit 132 filtering processing unit 133 passing traffic information 134 filter setting unit 135 discard traffic aggregating unit 200 network

Claims (7)

1以上の端末を収容するネットワーク上に前記端末が所属するグループ毎の仮想閉域網を形成する仮想閉域網の形成システムであって、
前記各グループに対応して設けられ且つ自身のグループに所属する端末に名前解決サービスを提供するグループ毎の名前解決サーバと、端末に払い出すL3アドレスと当該端末が属するグループ用の名前解決サーバのL3アドレスとを含む構成情報を端末毎に保持するとともにネットワークに接続しようとする端末に当該端末の構成情報を配布する構成情報配布サーバと、端末・ネットワーク間のトラヒックの中継及びパケットフィルタリングを行う中継装置と、を前記ネットワーク側に配置し、
前記中継装置は、宛先及び送信元のL3アドレスの組が、構成情報配布サーバが配布した端末のL3アドレスと該端末の属するグループ用の名前解決サーバが名前解決して該端末に応答したL3アドレスとの組であるトラフィックのみを通過させるよう動的にフィルタリング設定を行う
ことを特徴とする仮想閉域網の形成システム。 A virtual closed network forming system for forming a virtual closed network for each group to which the terminal belongs on a network accommodating one or more terminals,
A name resolution server for each group provided for each group and providing a name resolution service to a terminal belonging to the own group; an L3 address to be paid out to the terminal; and a name resolution server for the group to which the terminal belongs. A configuration information distribution server that holds configuration information including an L3 address for each terminal and distributes the configuration information of the terminal to a terminal to be connected to a network, and a relay that relays traffic between the terminal and the network and performs packet filtering And a device, disposed on the network side,
The relay device is configured such that the set of the destination and source L3 addresses is the L3 address of the terminal distributed by the configuration information distribution server , and the name resolution server for the group to which the terminal belongs is the name resolution server that has responded to the terminal after resolving the name. A virtual closed network forming system, wherein a filtering setting is dynamically made so as to pass only a traffic paired with an address. 前記中継装置は、廃棄したトラヒックの情報を集約する廃棄トラヒック収集部を備えた
ことを特徴とする請求項1記載の仮想閉域網の形成システム。 The virtual closed network forming system according to claim 1, wherein the relay device includes a discarded traffic collection unit that aggregates information on discarded traffic. 前記名前解決サーバは、自身のグループに対応する所定のドメイン名のみを名前解決する
ことを特徴とする請求項1又は2記載の仮想閉域網の形成システム。 The virtual closed network forming system according to claim 1, wherein the name resolution server resolves only a predetermined domain name corresponding to its own group. 4. 前記名前解決サーバは、端末からの名前解決要求の間隔に基づき当該名前解決に係るドメインのTTLをドメイン毎に調整するTTL調整部を備えた
ことを特徴とする請求項1乃至3何れか1項記載の仮想閉域網の形成システム。 The said name resolution server was equipped with the TTL adjustment part which adjusts TTL of the domain which concerns on the said name resolution for every domain based on the interval of the name resolution request from a terminal. The Claims 1 thru | or 3 characterized by the above-mentioned. A virtual closed network forming system according to claim 1. 前記名前解決サーバと、前記構成情報配布サーバと、前記中継装置とを、ネットワーク側の装置上のプロセスとして仮想化した仮想CPEとして配置した
ことを特徴とする請求項1乃至4何れか1項記載の仮想閉域網の形成システム。 The method according to any one of claims 1 to 4, wherein the name resolution server, the configuration information distribution server, and the relay device are arranged as a virtual CPE virtualized as a process on a device on a network side. Virtual closed network formation system. 1以上の端末を収容するネットワーク上に前記端末が所属するグループ毎の仮想閉域網を形成する仮想閉域網の形成方法であって
前記各グループに対応して設けられ且つ自身のグループに所属する端末に名前解決サービスを提供するグループ毎の名前解決サーバと、端末に払い出すL3アドレスと当該端末が属するグループ用の名前解決サーバのL3アドレスとを含む構成情報を端末毎に保持するとともにネットワークに接続しようとする端末に当該端末の構成情報を配布する構成情報配布サーバと、端末・ネットワーク間のトラヒックの中継及びパケットフィルタリングを行う中継装置と、を前記ネットワーク側に配置し、
前記端末が、前記ネットワークへの接続の際に前記構成情報配布サーバから受信した構成情報に基づき自身のL3アドレス及び自身が利用する名前解決サーバのL3アドレスを設定するステップと、
前記端末が、設定した名前解決サーバに名前解決要求を行うステップと、
名前解決サーバが、要求元の端末に名前解決応答を送信するステップと、
前記中継装置が、宛先及び送信元のL3アドレスの組が、前記端末に設定されたL3アドレスと前記名前解決サーバが名前解決して該端末に応答したL3アドレスとの組であるトラフィックのみを通過させるよう動的にフィルタリング設定を行うステップとを備えた
ことを特徴とする仮想閉域網の形成方法。 A method of forming a virtual closed network for forming a virtual closed network for each group to which the terminal belongs on a network accommodating one or more terminals,
A name resolution server for each group provided for each group and providing a name resolution service to a terminal belonging to the own group; an L3 address to be paid out to the terminal; and a name resolution server for the group to which the terminal belongs. A configuration information distribution server that holds configuration information including an L3 address for each terminal and distributes the configuration information of the terminal to a terminal to be connected to a network, and a relay that relays traffic between the terminal and the network and performs packet filtering And a device, disposed on the network side,
A step in which the terminal sets its own L3 address and the L3 address of a name resolution server used by the terminal based on configuration information received from the configuration information distribution server when connecting to the network;
The terminal making a name resolution request to the set name resolution server,
A name resolution server sending a name resolution response to the requesting terminal;
The relay device, destination and source L3 address set includes a L3 address set to the terminal, the traffic only the name resolution server is set of the L3 address in response to the terminal and name resolution Dynamically setting the filtering so as to pass the data. コンピュータを請求項1乃至5に記載の各部として機能させることを特徴とするプログラム。   A program that causes a computer to function as each unit according to claim 1.
JP2017015223A 2017-01-31 2017-01-31 System, method and program for forming virtual closed network Active JP6666863B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017015223A JP6666863B2 (en) 2017-01-31 2017-01-31 System, method and program for forming virtual closed network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017015223A JP6666863B2 (en) 2017-01-31 2017-01-31 System, method and program for forming virtual closed network

Publications (2)

Publication Number Publication Date
JP2018125647A JP2018125647A (en) 2018-08-09
JP6666863B2 true JP6666863B2 (en) 2020-03-18

Family

ID=63109036

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017015223A Active JP6666863B2 (en) 2017-01-31 2017-01-31 System, method and program for forming virtual closed network

Country Status (1)

Country Link
JP (1) JP6666863B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10348570B1 (en) * 2018-08-30 2019-07-09 Accenture Global Solutions Limited Dynamic, endpoint configuration-based deployment of network infrastructure
JP7349967B2 (en) * 2020-09-25 2023-09-25 デジタル・アドバタイジング・コンソーシアム株式会社 Information processing equipment, programs and systems

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1667382A4 (en) * 2003-09-11 2006-10-04 Fujitsu Ltd Packet relay device
JP4827868B2 (en) * 2008-03-11 2011-11-30 日本電信電話株式会社 Network connection control system, network connection control program, and network connection control method
JP5955811B2 (en) * 2013-05-23 2016-07-20 日本電信電話株式会社 Management device, management system, management method, and management program

Also Published As

Publication number Publication date
JP2018125647A (en) 2018-08-09

Similar Documents

Publication Publication Date Title
US11025588B2 (en) Identify assets of interest in enterprise using popularity as measure of importance
Mortier et al. Control and understanding: Owning your home network
US7590733B2 (en) Dynamic address assignment for access control on DHCP networks
EP2415224B1 (en) Methods and apparatus for routing data to nodes
US9686289B2 (en) Access enforcement at a wireless access point
US20200137021A1 (en) Using intent to access in discovery protocols in a network for analytics
US20200137115A1 (en) Smart and selective mirroring to enable seamless data collection for analytics
US20070022211A1 (en) Packet transfer system, communication network, and packet transfer method
US20130094363A1 (en) Method, network device, and network system for processing data service
CN112703717B (en) Unique identity of endpoints of a cross-layer 3network
RU2006143768A (en) AROMATIC RESTRICTION OF THE NETWORK VIOLENT
US10285038B2 (en) Method and system for discovering user equipment in a network
EP3815325A1 (en) Dynamic segmentation management
JP6666863B2 (en) System, method and program for forming virtual closed network
EP3010209A1 (en) Docsis provisioning of point-to-point ethernet
US20070033641A1 (en) Distributed Network Security System
CN115885502A (en) Diagnosing intermediate network nodes
JP6044020B2 (en) Data packet processing method, system, and device
US11134099B2 (en) Threat response in a multi-router environment
CN110830317B (en) Internet access behavior management system, equipment and method
Hock et al. Design, implementation and monitoring of the firewall system for a DNS server protection
Stanek et al. Characteristics of real open SIP-Server traffic
CN113612697A (en) Message forwarding control method and device, network equipment and wireless network system
Deri et al. An architecture for distributing and enforcing iot security at the network edge
Taniguchi et al. Design and evaluation of a proxy-based monitoring system for openflow networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181204

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190814

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190821

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191009

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200219

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200221

R150 Certificate of patent or registration of utility model

Ref document number: 6666863

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150