CN103621028B - 控制网络访问策略的计算机系统、控制器和方法 - Google Patents
控制网络访问策略的计算机系统、控制器和方法 Download PDFInfo
- Publication number
- CN103621028B CN103621028B CN201280018455.5A CN201280018455A CN103621028B CN 103621028 B CN103621028 B CN 103621028B CN 201280018455 A CN201280018455 A CN 201280018455A CN 103621028 B CN103621028 B CN 103621028B
- Authority
- CN
- China
- Prior art keywords
- bag
- controller
- information
- stream entry
- switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
Abstract
根据本发明的计算机系统包括:控制器以及交换机,所述交换机针对符合由所述控制器设置的流条目的接收包,实施中继操作,所述中继操作使用所述流条目来调节。所述交换机向所述控制器传输不符合由所述交换机设置的流条目的接收包。所述控制器查询包括在所述接收包中的认证信息且对所述接收包进行认证。在被确定为有效的所述接收包的报头信息之中,所述控制器将所述交换机设置为调节如下包的中继操作的流条目,所述包包括识别所述接收包的传输源的信息。因而,使得开放流协议环境的计算机系统中的网络访问策略控制变得容易。
Description
技术领域
本发明涉及控制网络访问策略的计算机系统、控制器、方法以及程序,并且特别地涉及使用开放流(openflow)技术控制网络访问策略的计算机系统和方法。
背景技术
随着使用网络的信息系统的普及,诸如IP网络的网络不断大规模化和复杂化,并且另外不断需要高度灵活性。由于网络设备的设置不断复杂化且需要设置的设备的数目不断增加,针对网络的设计管理中的负担不断增加。
例如,作为用于个人计算机(此后称为PC)的广泛使用的访问控制方法之一,已知的一种方法是在与PC相邻的终端L2交换机中形成基于MAC的VLAN(虚拟局域网),以仅仅允许来自具有指定MAC地址的PC的连接。然而,在该方法中,在连接成数十万台PC的环境中,需要针对添加或删除数十万个MAC地址或数千台L2交换机的日常维护,管理员的负担增加。
作为用于解决这种问题的描述,存在由开放流联盟提议的开放技术(http://www.openflowswitch.org/)(称为非专利文献1)。在根据该技术的开放流系统中,被称为开放流控制器(OFC:OpenFlowController)的服务器能够集成、设置和管理被称为开放流交换机(OFS开放流交换机)的网络交换机。因此,通过在OFC中设置用于整体开放流系统的网络策略(此后称为策略),能够控制所有OFS。
将参考图1解释使用开放流协议的计算机系统的配置和操作。参考图1,根据本发明的相关技术的计算机系统包括开放流控制器100(此后称为OFC100)、包括多个开放流交换机2-1至2-n(此后称为OFS2-1至2-n)的交换机组20以及包括多个主机计算机3-1至3-i(此后称为主机3-1至3-i)的主机组30。此处,n和i分别是2或更大的自然数。在下面的解释中,当不区分时,OFS2-1至2-n中的每一个被称为OFS2,且当不区分时,主机3-1至3-i中的每一个被称为主机3。
OFC100执行主机3之间的通信路径的设置以及该路径上用于OFS2的转发操作(中继操作)等的设置。在这种情况中,OFC100在包括在OFS2的流表中设置流条目,流条目将用于识别流(包数据)的规则和用于限定用于该流的操作的动作关联。通信路径上的OFS2根据OFC100设置的流条目确定接收的包数据的转发目的地,并执行转发操作。因而,主机3能够使用OFC100所设置的通信路径与另一主机3传送和接收包数据。即,在使用开放流的计算机系统中,因为用于设置通信路径的OFC100和用于执行转发操作的OFS是分离的,所以整个系统中的通信能够统一地被控制和管理。
参考图1,当从主机3-1向主机3-i传输包时,OFS2-1参考从主机3-1接收的包中的传输目的地信息(报头信息:例如,目的地MAC地址或目的地IP地址),且在包括在OFS2-1的流表中搜索对应于该报头信息的条目。例如,在非专利文献1中定义了流表中设置的条目的内容。
当在流表中并未描述关于接收包数据的条目时,OFS2-1向OFC100传递包数据(此后称为第一包)或第一包的报头信息(或第一包本身)。已经从OFS2-1接收第一包的OFC100基于诸如包括在包中的源主机和目的地主机的信息确定路径40。
OFC100指示路径40上的所有OFS2设置限定包的传输目的地的流条目(发布流表更新指令)。路径40上的OFS2根据流表更新指令更新其本身管理的流表。此后,OFS2根据更新的流表开始包的传输,且经由通过由OFC100确定的路径40将包传输到目的地主机3-i。
然而,在如上所述的开放流技术中,诸如PC(个人电脑)等与开放流系统连接的主机终端通过IP地址或MAC地址被而被识别。因此,在其中连接数十万台PC的环境中,需要针对成数十万个IP地址或MAC地址中的每一个设置策略,因而负担增加。再者,因为IP地址和MAC地址能够被伪造,存在非授权访问的风险,且需要应对措施。
例如,在JP2005-4549(称为专利文献1)中描述了关于策略控制的系统。在专利文献1中,描述了一种策略服务器,其具有用于网络设备的访问控制功能或基于策略服务器本身维持的安全策略的应用服务器,然而,并未公开开放流环境的系统中的策略控制。
引用列表
[专利文献1]JP2005-4549
[非专利文献1]开放流交换机规范版本1.0.0(无线协议0x01)2009年12月31日
发明内容
鉴于从上述情况,本发明的目的是提供一种根据开放流协议环境的计算机系统,其能够容易地控制网络访问策略。
而且,本发明的另一目的是在根据开放流协议环境中的网络中增加防御非授权访问的安全性程度。
在一个方面中,根据本发明的计算机系统包括控制器和交换机,所述交换机被配置为针对与由所述控制器设置的流条目对应的接收包,执行中继操作,其所述中中继操作由所述流条目限定。所述交换机向控制器传输与交换机本身中设置的流条目不对应的接收包。所述控制器参考包括在所述接收包中的认证信息以对接收包进行认证。此处,所述控制器设置交换机中的流条目,所述流条目限定如下包的中继操作,所述包包括位于被确定为有效的所述接收包的报头信息中且用于识别所述接收包的传输源的信息。
在另一方面中,根据本发明的策略控制方法包括:控制器从交换机接收与所述交换机中设置的流条目不对应的接收包;所述控制器通过参考包括在所述接收包中的认证信息来对接收包进行认证;以及所述控制器在交换机中设置限定用于如下包的中继操作的流条目,所述包包括位于被确定为有效的接收包的报头信息中且用于识别所述接收包的传输源的信息。
在另一方面中,如上所述的策略控制方法优选地通过计算机执行的程序实现。
根据本发明,可以容易地在根据开放流协议环境的计算机系统中执行网络访问策略控制。
而且,可以改善防御未授权访问或使用欺骗地址的干扰的安全性级别。
附图说明
如上所述的本发明的目的、优点和特征将从结合附图的实施例的描述更加显现,在所述附图中:
图1是示出使用开放流协议的计算机系统的配置的示例的图示;
图2是示出根据本发明的计算机系统的配置的示例的图示;
图3是示出根据本发明的策略信息的示例的图示;
图4是示出根据本发明的策略信息的具体示例的图示;
图5A是示出根据本发明的流条目的具体示例的图示;
图5B是示出根据本发明的流条目的具体示例的图示;
图6是示出根据本发明的计算机系统中的通信操作和策略设置的示例的顺序图;以及
图7是示出由根据本发明的开放流控制器执行的策略控制操作的示例的流程图。
具体实施方式
此后,将参考附图描述本发明的实施例。在附图中,相同或相似的参考数字指示相同、相似或等效组件。
(计算机系统的配置)
同图1中示出的系统一样,根据本发明的计算机系统使用开放流技术执行通信路径的构建和传输包数据的控制。图2是示出根据本发明的计算机系统的配置的示例的图示。根据本发明的计算机系统与图1中示出的系统的不同于之处在于,开放流控制器(OFC)和主机终端(例如PC)的配置,而其他配置(例如OFS)与图1中示出的系统类似。
将参考图2解释根据本发明的第一实施例的计算机系统的配置。参考图2,根据本发明的计算机系统包括开放流控制器1(OpenFlowController此后称为OFC1),多个开放流交换机2(开放流交换机:此后称为OFS2)、多个主机终端3(例如PC)和输入终端4。
OFC1经由安全信道网络连接到多个OFS2,且通过网络更新OFS2的流表21。因而,经由OFS2彼此连接的多个主机终端3之间的通信得以控制。OFS2设置在多个主机终端3之间,且根据流表21中设置的流条目,中继从主机终端3或其他网络(未示出)向传输目的地传输的包。
OFC1根据开放流技术,控制用于在系统中传输包的通信路径的构建和包传输操作。此处,开放流技术指示这样的技术:其中OFC1根据路由策略(流条目:流+动作)在通信路径上的OFS2或OFVS33中设置关于多层和单位流的路径信息,以便执行路径控制或节点控制(详情参见非专利文献1)。因而,路径控制功能与路由器和交换机分离,且可以通过控制器的集中控制而实现最佳路由和流量管理。应用了开放流技术的OFS2和OFVS33将通信作为端对端的流来对待,而不是像常规路由器或交换机那样以包或帧为单位来处理。
参考图2,将解释根据本发明的OFC1的详细配置。OFC1优选地通过具有存储设备和CPU的计算机来实施。在OFC1中,流控制部11和策略管理部12的功能中的每一个通过执行存储在存储设备中的程序的计算机(未示出)来实现。
流控制部11根据开放流协议执行对交换机中的流条目(规则+动作)的设置或删除。因而,OFS2根据接收包的报头信息执行与规则相关的动作(例如,包的中继或撤消)。
在流条目中设置的规则中,例如,限定了关于OSI(开放系统互连)参考模型的层1至层4的地址和标识符的组合,其被包括在TCP/IP的包数据的报头信息中。例如,作为规则,设置了层1的物理端口、层2的MAC地址、VLAN标签(VLANid)、层3的IP地址和层4的端口号的组合。VLAN标签中,可以添加优先级(VLAN优先级)。
此处,可以将通过流控制部11而在规则中设置的标识符或地址等设置为预定范围。而且,优选地,目的地和源的地址等被区分,以被设置为规则。例如,作为规则,设置了MAC目的地地址的范围、用于识别连接目的地应用的目的地端口号的范围和用于识别连接源应用的源端口号的范围。此外,作为规则,可以设置用于识别数据传输协议的标识符。
作为流条目中的动作集,例如,限定了用于处理TCP/IP的包数据的方法。例如,设置了指示是否中继接收包数据的信息以及在中继情况的传输目的地。此外,作为动作,可以设置指示包数据的复制或撤消的信息。
根据本发明的流控制部11根据来自策略管理部12的指令在指令指示的OFS2中设置流条目。
策略管理部12将从输入终端4提供的策略信息130变换成容易搜索的格式,且将它记录在策略信息存储部13中。图3是指示在策略信息存储部13中记录的策略信息130的配置的图示。参考图3,在策略信息存储部13中,策略ID131、认证ID132和策略133相关联,以便作为策略信息130被记录。
策略ID131是用于唯一识别策略信息130的标识符。认证ID132是用于认证策略133是否应用于第一包(第一包的源主机或目的地主机)的信息(例如密码)。策略133是用于限定用于主机终端3的网络访问策略的信息。在策略133中,限定了用于限定源主机或目的地主机的条件、用于限定访问方法的协议和优先级等。
图4是示出策略信息130的具体示例的图示。在策略信息130中,作为策略ID131,设置了策略标识符“用于会计部门普通员工的策略”,其识别作为多个策略133“策略1至策略3,...”的应用目标,并且设置了用于认证是否应用了策略133的认证ID132“XXXXX”。此处,策略1指示允许使用HTTP(超文本传输协议)向10.11.12.1的IP地址转发包,且其优先级是“10”。策略2指示允许使用FTP(文件传输协议)向10.11.12.2的IP地址转发包,且其优先级是“20”。策略3指示允许使用RDP(原创桌面协议)来自10.11.12.0/24的IP地址的连接,且其优先级是“30”。
策略管理部12检查包括在从OFS2告知的第一包中的认证信息140,策略信息130被记录在策略信息存储部13中以对第一包进行认证。
具体而言,主机终端3在包的数据区域中添加包括策略ID的认证信息140以将其传输到目的地主机。策略管理部12通过关键字来搜索策略信息存储部13,该关键字是包括在从OFS2告知的第一包中的认证信息140的策略ID,并且提取具有与认证信息140的策略ID对应的策略ID131的策略信息130。然后,策略管理部12通过检查认证信息140的认证ID与策略信息130中的认证ID132来对第一包进行认证。
当第一包有效(认证ID匹配)时,策略管理部12指示流控制部11设置用于转发第一包的流条目。在这种情况中,流控制部11在基于报头信息而计算的通信路径上的OFS2中,设置遵循与第一包的报头信息对应的策略133的流条目。
另一方面,在与包括在第一包中的策略ID对应的策略ID131未被记录在策略信息存储部13中的情况下或在认证信息ID不匹配的情况下,策略管理部12确定认证失败。在这种情况中,策略管理部12指示流控制部11设置用于丢弃第一包的流条目。响应于该指令,流控制部11在作为第一包的通知源的OFS2中设置流条目,使得该流条目包括至少作为第一包的报头信息的一部分的规则和用于丢弃包的动作。根据非专利文献1中描述的开放流协议,执行选择作为流条目的设置目标的OFS2的方法、计算通信路径的方法以及通过流控制部11设置和管理流条目的方法。
图5A和图5B指示在终端A成功通过策略管理部12的认证且应用了图4中示出的策略1的情形中交换机中设置的流条目的一个示例。此处,将解释流条目,其在OFS2中设置,其中端口0/1与终端A连接,而端口0/2与网络服务器连接。
参考图5A和5B,在流条目中,作为规则211,限定了匹配字段和匹配字段的值(匹配值)。此外,作为动作信息212,限定了动作和优先级。在策略1中,限定允许“到10.11.12.1的HTTP连接,且优先级是10”。在OFS2中,设置用于限定关于来自经过认证的终端A且目的地为IP地址“10.11.12.1”的包的中继操作流条目(图5A),并且设置用于限定关于来自网络服务器(被分配了IP地址“10.11.12.1”)且目的地为经过认证的终端A的包的中继操作的流条目(图5B)。
参考图5A,在规则211中,“0/1”被限定为输入端口,“终端A的MAC地址”被限定为源MAC地址,“终端A的VLANID”被限定为输入VLANID,“0x0800(IPv4)”被限定为以太网类型,“6(TCP)”被限定为IP协议(协议号)、“终端A的IP地址”被限定为源IP地址、“10.11.12.1”被限定为目的地IP地址、“80(HTTP)”被限定为目的地端口号,且在其他匹配字段中限定“任意”。此外,在动作信息212中,限定了“向端口“0/2”输出接收包且其优先级为“10””。
根据图5A中示出的流条目,OFS2向连接到网络服务器的端口“0/2”输出包,该包是通过HTTP通信从经过认证的终端A传输来的,且目的地为IP地址“10.11.12.1”。
此外,参考图5B,在规则211中,“0/2”被限定为输入端口,“终端A的MAC地址”被限定为目的地MAC地址,“0x0800(IPv4)”被限定为以太网类型,“6(TCP)”被限定为IP协议(协议号)、“10.11.12.1”被限定为源IP地址、“终端A的IP地址”被限定为目的地IP地址、“80(HTTP)”被限定为目的地端口号,且在其他匹配字段中限定“任意”。此外,在动作信息212中,限定“向端口“0/1”输出接收包且其优先级为“10””。
根据图5B中示出的流条目,OFS2向连接到终端A的端口“0/1”输出包,该包是通过HTTP通信从IP地址“10.11.12.1”的网络服务器传输来的,且目的地为IP地址“终端A的IP地址”。
如上所述,根据本发明,在OFS2中设置根据与经过认证的第一包(主机终端3)对应的策略的流条目。在如上所述的一个示例中,解释了用于策略1的流条目的设置,然而,当存在需要认证的多个策略时,相应地设置流条目。
OFS2包括流表21,其中流条目通过OFC1来设置,且包控制部22根据流表21中设置的流条目转发或丢弃接收包。像常规方式一样,基于来自OFC1的流模式请求设置用于OFS2的流条目。当在流表21中没有与接收包的报头信息对应的流条目(规则)时,包控制部22向OFC1转发接收包,该接收包是第一包。因而,OFS2向OFC1发送从主机终端3传输的认证信息140。另一方面,当存在与接收包的报头信息对应的流条目时,包控制部22根据流条目的动作处理包。作为用于接收包的动作,示例了向另一OFS2或终端3转发包或者丢弃包。尽管在图2中仅示出连接到两个主机终端3的端部交换机,但是无需多言的是,如图1所指示,主机终端3经由其他OFS2与另一主机终端3连接。此外,OFS2优选地是物理交换机,但是可以通过虚拟交换机实现,只要根据开放流协议操作即可。
主机终端3优选地通过具有CPU(未示出)和RAM的计算机设备(物理服务器)实现,且包括其中记录有认证信息140的存储设备(未示出)。备选地,主机终端3可以通过虚拟机实现。主机终端3在需要传输的包的数据区域中添加认证信息140。其他配置类似于能够执行包通信的常规计算机系统或虚拟机。尽管在图2中仅指示了两个主机终端3,但是无需多言的是,如图1所示,本系统包括经由多个OFS2彼此连接的其他主机终端3。
尽管在图2中的系统中仅提供一个主机终端3,但是一般提供多个主机终端3。
输入终端4是具有策略设置UI(用户界面)41的计算机设备。策略设置UI41是用于在OFC1中设置策略信息的用户界面,且将来自用户的指令输出到OFC1的策略管理部12。因而,OFC1中设置任意策略信息130。策略信息130的设置方法并不限于此,且策略信息130可以通过使用移动存储介质来设置。
此外,诸如监控器或打印机之类的输出设备可以连接到OFC1。策略管理部12能够基于在认证中失败的第一包中的报头信息(源端口号或源MAC地址),识别包的源OFS2或目的地主机终端3。通过经由输出设备可视地输出该认证结果,不仅对非授权访问的监控而且对非授权访问的源的识别都是可能的。
根据上述配置,在根据本发明的计算机系统中,在控制器端使用符合开放流协议的第一包执行针对该包(访问)的认证,且基于认证结果控制针对该包的转发操作。根据本发明,因为通过主机终端3插入在包中的认证信息由控制流的OFC1来认证,所以OFC1能够深入控制从具有不同网络访问策略的主机终端3的通信。此外,在本发明中,应用策略133的主机终端3能够通过针对每个策略信息130而给出的认证ID132而被识别。因此,策略容易改变和管理,而无需针对IP地址和MAC地址中的每一个设置策略。而且,因为根据本发明的OFC1通过使用第一包的包认证来控制访问,非所以授权访问(例如:具有伪造地址的包的侵入)能够在作为网络入口的主机端的端部OFS2被阻断。
(操作)
接下来,参考图6和7,将详细解释根据本发明的计算机系统的通信操作和访问控制操作。
图6是示出在根据本发明的计算机系统中的策略设置和通信操作的一个示例的顺序图。图7是示出由根据本发明的OFC1执行的策略控制操作的一个示例的流程图。
参考图6,首先当计算机系统启动时,策略信息130之前已从输入终端4记录到OFC1的策略信息存储部13中(步骤S11,S12)。具体而言,经由输入终端4输入的策略信息130被提供给策略管理部12,以便作为数据库而被记录在策略信息存储部13中。因而,策略信息存储部13通过最新策略信息130来更新。此处,策略信息存储部13能够总是被策略管理部12搜索。此外,在步骤S11和S12处的策略信息存储部13的更新可以在系统的操作期间执行。
随后,将解释在从主机终端3向系统传输包的情况下的访问控制和通信操作。主机终端3向网络传输包,该包包括认证信息140,其中添加有加密策略ID和认证ID(步骤S21)。在这种情况中,来自主机终端3的包被转移到OFS2。
OFS2确定从主机终端3接收的包的报头信息是否符合(对应于)流表21中设置的流条目的规则,且当存在匹配规则(未示出)时根据与规则相关的动作处理接收包(例如,向其他OFS2转发或丢弃)。具体而言,OFS提取从主机终端3接收的包的报头信息(发送和接收IP地址、MAC地址、端口号、或协议等)。然后,OFS2比较报头信息和流表21,以确认是否存在匹配流条目。当存在匹配流条目时,OFS2执行在流条目中描述的动作(转发或丢弃),且完成转发操作。
另一方面,当在流表21中并未设置符合(对应于)接收包的报头信息的流条目(其中的规则)时,OFS2告知OFC1中的策略管理部12所述接收包,该接收包为第一包(步骤S22,PackeIN)。
在PacketIN之后,策略管理部12对第一包进行认证,且根据认证结果向流控制部11指示包处理方法(步骤S23,S24)。流控制部11根据来自策略管理部12的指令,在作为被控制目标的OFS2的流表21中设置流条目(步骤S25)。因而,OFS2根据在流表21中新设置的流条目处理在步骤S21接收的包。
参考图7,将详细解释接收第一包的策略管理部12的操作(图6中的步骤23至S25)。
OFC1分析从OFS2接收的第一包的数据区域以获得认证信息140(策略ID和认证ID)(步骤S101)。随后,OFC1将获得的认证信息140(策略ID和认证ID)与记录在策略信息存储部13中的策略信息130进行比较,以执行认证(步骤S102)。具体而言,策略管理部12在策略信息存储部13中搜索对应于认证信息140(策略ID和认证ID)的策略信息130。此时,如果对应于认证信息140的策略信息130被记录在策略信息存储部13中,则策略管理部12确定认证成功,且如果并未被记录,则确定认证失败(步骤S102)。
在步骤S102,当认证成功时,策略管理部12从策略信息存储部13获得与包括在认证信息140中的策略ID对应的策略信息130(步骤S103)。OFC1设置与作为控制目标的OFS2中所获得的策略信息130对应的流条目(步骤S104)。
具体而言,策略管理部12参考与认证成功的认证信息140对应的策略信息130,且指示流控制部11基于与第一包的报头信息对应的策略133来设置流条目。在这种情况中,和常规开放流系统的情况一样,计算通信路径,且确定作为流条目的设置目标的OFS2。通过经由安全信道的流模式请求,流控制部11基于来自策略管理部12的指令在确定的OFS2中设置流条目。在这种情况中,优选地设置包括源MAC地址的规则和与策略133对应的动作。因而,基于OFC1中原先设置的策略控制其包通过OFC1认证的主机(即经过认证的主机终端)的通信。此外,作为流条目中设置的规则,除了源MAC地址外,可以限定目的地地址或目的地端口号。因而,实现了基于认证主机终端的访问目的地的控制。
作为指定示例,将解释如下情况中的流条目的设置,其中策略管理部12响应于认证信息140获得图4中示出的策略信息130且源MAC地址“0000.0000.0001”、目的地IP地址“10.11.12.1”和协议“HTTP”被包括在第一包的报头信息中。在这种情况中,策略管理部12指示设置与图4中示出的策略1对应的流条目。因而,流控制部11在通信路径上的OFS2中设置流条目,其中在流条目中,规则包括“0000.0000.0001”的管理源MAC地址,“10.11.12.1”的目的地IP地址和“HTTP”的协议,且流条目的动作是向连接到“10.11.12.1”的端口转发包。而且,流控制部11将“10”设置为用于在OFS2中应用该流条目的优先级。
此后,其中流表21被更新的OFS2根据该流表执行包控制。
另一方面,在步骤S102,如果认证失败,则OFC1在作为第一包的告知源的OFS2的流表21中设置流条目,该流条目至少将第一包的报头信息的至少一部分限定为规则,且将包的丢弃限定为动作(步骤S105)。因此,优选地设置如下流条目,在该流条目中规则包括源MAC地址且动作是包的丢弃。这样,其包并未通过OFC1认证的源主机(非认证主机终端)的通信在作为网络入口的OFS2被阻断。此外,作为用于限定包的丢弃的流条目的规则,除了源MAC地址,可以限定目的地地址或目的地端口号。这样,能够相对于非认证主机终端的访问目的地中的每一个,限制访问。
如上所述,根据本发明的OFC1经由第一包的通知从主机终端3接收认证信息140以对它进行认证,且设置流条目,在该流条目中规则指示源是该主机终端且基于策略限定动作。因此,在根据本发明的系统中,通过预先在应用策略的主机终端3中添加认证信息140,能够针对终端中的每一个控制策略。即,在本发明中,不必准备用于针对主机终端中的每一个应用策略的配置(策略信息)。例如,尽管需要对于数十万个设备进行配置以在连接数十万台PC的网络中设计灵活的策略控制,但是在本发明中,因为不需针对PC中的每一个的配置,因此容易执行设计操作。
此外,在本发明中,在从网络终端3到网络的最初连接中执行使用认证信息的认证。因此,可以在初始访问阶段阻断使用欺骗ID地址或MAC地址的未授权访问,且可以增加开放流系统的安全性级别。
另外,在根据本发明的计算机系统中使用的OFS仅需要符合常规开放流协议(例如,开放流交换机说明书版本1.0所定义的协议),且如上述实施例所述,用于网络策略的控制或非授权访问的防止可以通过仅改变OFC或主机终端的功能实现。即,根据本发明,在现有开放流系统中,通过仅改变OFC和主机终端的功能,可以实现针对网络策略的上述控制或非授权访问的防止。因此,可以以低成本地且容易地在现有系统中添加诸如用于网络策略的控制之类的功能。
如上所述,已经详细解释了本发明的实施例,然而,指定配置不限于上述实施例,且本发明还可以包括在不偏离本发明精神的范围内修改的配置。在上面的解释中,解释了其中源MAC地址被包括在认证之后设置的流条目的规则中的一个示例,然而,本发明不限于此,只要源主机终端被识别即可。例如,作为规则,可以限定源IP地址或连接到源主机终端的端口号。
本申请基于日本专利申请NO.2011-91105,且其公开内容通过引用结合于此。
Claims (7)
1.一种计算机系统,包括:
控制器;以及
交换机,所述交换机被配置为针对符合由所述控制器设置的流条目的接收包执行中继操作,所述中继操作由所述流条目限定,
其中所述交换机被配置为向所述控制器传输不符合在所述交换机中设置的所述流条目的所述接收包,
其中所述控制器被配置为参考包括在所述接收包中的认证信息以对所述接收包进行认证,且在所述交换机中设置用于限定包的所述中继操作的所述流条目,所述流条目包括位于被确定为有效的所述接收包的报头信息中且用于识别所述接收包的源的信息,
其中所述控制器包括其中记录有用于限定中继操作策略的策略信息的存储设备,且被配置为在所述交换机中设置符合与包括在被确定为有效的所述接收包中的认证信息对应的所述策略信息的所述流条目,
其中所述认证信息包括用于识别所述策略信息的策略ID和在认证中使用的第一认证ID,
其中将用于识别所述策略信息的所述策略ID与第二认证ID相关的所述策略信息被记录在所述存储设备中;以及
其中所述控制器被配置为将如下所述接收包确定为有效接收包,在所述接收包中与被包括在所述认证信息中的所述策略ID相关的所述第二认证ID与所述第一认证ID对应。
2.根据权利要求1所述的计算机系统,其中所述控制器被配置为参考所述认证信息以对所述接收包进行认证,且在所述交换机中设置用于限定包的丢弃的所述流条目,所述流条目包括位于被确定为不正确的所述接收包的报头信息中且用于识别所述接收包的源的信息。
3.根据权利要求1所述的计算机系统,其中所述策略信息包括与用于识别所述策略信息的所述策略ID相关的多个策略,以及
其中所述控制器被配置为从所述存储设备提取在与包括在所述认证信息中的所述策略ID相关的所述多个策略之中的符合被确定为有效的所述接收包的报头信息的策略,且在所述交换机中设置符合被提取的所述策略的所述流条目。
4.一种在计算机系统中使用的控制器,其中所述计算机系统包括:
所述控制器;以及
交换机,所述交换机被配置为针对符合由所述控制器设置的流条目的接收包执行中继操作,所述中继操作由所述流条目限定,
其中所述交换机被配置为向所述控制器传输不符合在所述交换机中设置的所述流条目的所述接收包,以及
其中所述控制器被配置为参考包括在所述接收包中的认证信息以对所述接收包进行认证,且在所述交换机中设置用于限定包的所述中继操作的所述流条目,所述流条目包括位于被确定为有效的所述接收包的报头信息中且用于识别所述接收包的源的信息,
其中所述控制器包括其中记录有用于限定中继操作策略的策略信息的存储设备,且被配置为在所述交换机中设置符合与包括在被确定为有效的所述接收包中的认证信息对应的所述策略信息的所述流条目,
其中所述认证信息包括用于识别所述策略信息的策略ID和在认证中使用的第一认证ID,
其中将用于识别所述策略信息的所述策略ID与第二认证ID相关的所述策略信息被记录在所述存储设备中;以及
其中所述控制器被配置为将如下所述接收包确定为有效接收包,在所述接收包中与被包括在所述认证信息中的所述策略ID相关的所述第二认证ID与所述第一认证ID对应。
5.一种控制策略的方法,包括:
通过控制器从交换机接收不符合所述交换机中设置的流条目的接收包;
通过所述控制器参考包括在所述接收包中的认证信息,来对所述接收包进行认证;
通过所述控制器在所述交换机中设置限定包的中继操作的所述流条目,所述流条目包括位于被确定为有效的所述接收包的报头信息中且用于识别所述接收包的源的信息,
通过所述控制器来保持用于限定中继操作策略的策略信息,以及
其中所述设置限定所述中继操作的所述流条目包括:
通过所述控制器在所述交换机中设置符合与包括在被确定为有效的所述接收包中的认证信息对应的策略信息的所述流条目,
其中所述认证信息包括用于识别所述策略信息的策略ID和在认证中使用的第一认证ID,
其中将用于识别所述策略信息的所述策略ID与第二认证ID相关的所述策略信息通过所述控制器来保持;以及
其中在所述认证中,所述控制器将如下所述接收包确定为有效接收包,在所述接收包中与包括在所述认证信息中的所述策略ID相关的所述第二认证ID与所述第一认证ID对应。
6.根据权利要求5所述的方法,还包括:
通过所述控制器在所述交换机中设置限定包的丢弃的所述流条目,所述流条目包括位于被确定为不正确的所述接收包的报头信息中且用于识别所述接收包的源的信息。
7.根据权利要求5所述的方法,其中所述策略信息包括与用于识别所述策略信息的所述策略ID相关的多个策略,以及
其中所述设置限定所述中继操作的所述流条目包括:
通过所述控制器从存储设备提取在与包括在所述认证信息中的所述策略ID相关的所述多个策略之中的符合被确定为有效的所述接收包的报头信息的策略;以及
通过所述控制器在所述交换机中设置符合被提取的所述策略的所述流条目。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011-091105 | 2011-04-15 | ||
JP2011091105 | 2011-04-15 | ||
PCT/JP2012/059471 WO2012141086A1 (ja) | 2011-04-15 | 2012-04-06 | コンピュータシステム、コントローラ、及びネットワークアクセスポリシ制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103621028A CN103621028A (zh) | 2014-03-05 |
CN103621028B true CN103621028B (zh) | 2016-05-11 |
Family
ID=47009261
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280018455.5A Expired - Fee Related CN103621028B (zh) | 2011-04-15 | 2012-04-06 | 控制网络访问策略的计算机系统、控制器和方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9065815B2 (zh) |
EP (1) | EP2698952A4 (zh) |
JP (1) | JP5660202B2 (zh) |
CN (1) | CN103621028B (zh) |
WO (1) | WO2012141086A1 (zh) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5935873B2 (ja) * | 2012-03-05 | 2016-06-15 | 日本電気株式会社 | ネットワークシステム、スイッチ、及びネットワーク構築方法 |
US9444842B2 (en) | 2012-05-22 | 2016-09-13 | Sri International | Security mediation for dynamically programmable network |
US9571523B2 (en) | 2012-05-22 | 2017-02-14 | Sri International | Security actuator for a dynamically programmable computer network |
US9282118B2 (en) | 2012-11-13 | 2016-03-08 | Intel Corporation | Policy enforcement in computing environment |
JP6148458B2 (ja) * | 2012-11-30 | 2017-06-14 | 株式会社東芝 | 認証装置およびその方法、ならびにコンピュータプログラム |
US9794288B1 (en) * | 2012-12-19 | 2017-10-17 | EMC IP Holding Company LLC | Managing policy |
US9384025B2 (en) | 2013-01-28 | 2016-07-05 | Intel Corporation | Traffic and/or workload processing |
US9935841B2 (en) * | 2013-01-28 | 2018-04-03 | Intel Corporation | Traffic forwarding for processing in network environment |
US9461967B2 (en) | 2013-07-18 | 2016-10-04 | Palo Alto Networks, Inc. | Packet classification for network routing |
WO2015025848A1 (ja) * | 2013-08-21 | 2015-02-26 | 日本電気株式会社 | 通信システム、制御指示装置、通信制御方法及びプログラム |
US20150063110A1 (en) * | 2013-09-04 | 2015-03-05 | Electronics And Telecommunications Research Institute | Programmable sensor networking apparatus and sensor networking service method using the same |
CN105745886B (zh) * | 2013-09-23 | 2019-06-04 | 迈克菲有限公司 | 在两个实体之间提供快速路径 |
CN104660565B (zh) | 2013-11-22 | 2018-07-20 | 华为技术有限公司 | 恶意攻击的检测方法和装置 |
JP6076937B2 (ja) * | 2014-03-28 | 2017-02-08 | 株式会社日立製作所 | パケット伝送システムおよびネットワークコントローラ |
US20160352731A1 (en) * | 2014-05-13 | 2016-12-01 | Hewlett Packard Enterprise Development Lp | Network access control at controller |
CN113055369B (zh) | 2014-06-30 | 2023-03-21 | 上海诺基亚贝尔股份有限公司 | 软件定义网络中的安全 |
CN106506439A (zh) * | 2015-11-30 | 2017-03-15 | 杭州华三通信技术有限公司 | 一种认证终端接入网络的方法和装置 |
JP7083275B2 (ja) * | 2018-05-18 | 2022-06-10 | アライドテレシスホールディングス株式会社 | 情報処理システム |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101390342A (zh) * | 2005-11-14 | 2009-03-18 | 思科技术公司 | 基于订户感知应用代理的网络保护技术 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6141755A (en) * | 1998-04-13 | 2000-10-31 | The United States Of America As Represented By The Director Of The National Security Agency | Firewall security apparatus for high-speed circuit switched networks |
JP2005004549A (ja) | 2003-06-12 | 2005-01-06 | Fuji Electric Holdings Co Ltd | ポリシーサーバ、そのポリシー設定方法、アクセス制御方法、プログラム |
US8238241B2 (en) * | 2003-07-29 | 2012-08-07 | Citrix Systems, Inc. | Automatic detection and window virtualization for flow control |
US7836488B2 (en) * | 2005-08-18 | 2010-11-16 | Hong Kong Applied Science And Technology Research Institute Co. Ltd. | Authentic device admission scheme for a secure communication network, especially a secure IP telephony network |
US20080189769A1 (en) * | 2007-02-01 | 2008-08-07 | Martin Casado | Secure network switching infrastructure |
US8325733B2 (en) * | 2009-09-09 | 2012-12-04 | Exafer Ltd | Method and system for layer 2 manipulator and forwarder |
JP5648639B2 (ja) * | 2009-09-10 | 2015-01-07 | 日本電気株式会社 | 中継制御装置、中継制御システム、中継制御方法及び中継制御プログラム |
US8971339B2 (en) * | 2009-09-25 | 2015-03-03 | Nec Corporation | Contents base switching system and contents base switching method |
JP5465508B2 (ja) | 2009-10-20 | 2014-04-09 | 新光電気工業株式会社 | 半導体レーザ用パッケージ、半導体レーザ装置及び製造方法 |
US8675601B2 (en) * | 2010-05-17 | 2014-03-18 | Cisco Technology, Inc. | Guest access support for wired and wireless clients in distributed wireless controller system |
-
2012
- 2012-04-06 US US14/110,917 patent/US9065815B2/en not_active Expired - Fee Related
- 2012-04-06 WO PCT/JP2012/059471 patent/WO2012141086A1/ja active Application Filing
- 2012-04-06 JP JP2013509875A patent/JP5660202B2/ja not_active Expired - Fee Related
- 2012-04-06 EP EP12770700.8A patent/EP2698952A4/en not_active Withdrawn
- 2012-04-06 CN CN201280018455.5A patent/CN103621028B/zh not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101390342A (zh) * | 2005-11-14 | 2009-03-18 | 思科技术公司 | 基于订户感知应用代理的网络保护技术 |
Non-Patent Citations (1)
Title |
---|
OPENFLOW SWITCH SPECIFICATION VERSION 1.1.0 IMPLEMENTED;匿名;《http://www.openflow.org/documents/openflow-spec-v1.1.0.pdf1》;20110228;第1-56页 * |
Also Published As
Publication number | Publication date |
---|---|
EP2698952A4 (en) | 2014-12-03 |
US20140033275A1 (en) | 2014-01-30 |
JP5660202B2 (ja) | 2015-01-28 |
US9065815B2 (en) | 2015-06-23 |
CN103621028A (zh) | 2014-03-05 |
EP2698952A1 (en) | 2014-02-19 |
WO2012141086A1 (ja) | 2012-10-18 |
JPWO2012141086A1 (ja) | 2014-07-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103621028B (zh) | 控制网络访问策略的计算机系统、控制器和方法 | |
US9338090B2 (en) | Terminal, control device, communication method, communication system, communication module, program, and information processing device | |
JP5594410B2 (ja) | 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置 | |
US9887920B2 (en) | Terminal, control device, communication method, communication system, communication module, program, and information processing device | |
TWI395435B (zh) | 開放網路連接 | |
WO2011081104A1 (ja) | 通信システム、認証装置、制御サーバ、通信方法およびプログラム | |
CN105765946A (zh) | 支持数据网络中的服务链接的方法和系统 | |
WO2014142299A1 (ja) | 通信端末と通信制御装置と通信システムと通信制御方法並びにプログラム | |
CN103283190A (zh) | 通信系统、控制装置、策略管理装置、通信方法和程序 | |
WO2006095438A1 (ja) | アクセス制御方法、アクセス制御システムおよびパケット通信装置 | |
CN103262486B (zh) | 用于在转发引擎中应用客户端关联的策略的方法和装置 | |
CN102377568A (zh) | 网络中继装置及帧的中继的控制方法 | |
CN100438427C (zh) | 网络控制方法和设备 | |
US20130275620A1 (en) | Communication system, control apparatus, communication method, and program | |
JP2013070325A (ja) | 通信システム、通信装置、サーバ、通信方法 | |
US8031596B2 (en) | Router associated to a secure device | |
CN115277190A (zh) | 一种链路层透明加密系统在网络上实现邻居发现的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160511 Termination date: 20190406 |
|
CF01 | Termination of patent right due to non-payment of annual fee |