CN104205751A - 网络系统、控制器和分组认证方法 - Google Patents
网络系统、控制器和分组认证方法 Download PDFInfo
- Publication number
- CN104205751A CN104205751A CN201380018612.7A CN201380018612A CN104205751A CN 104205751 A CN104205751 A CN 104205751A CN 201380018612 A CN201380018612 A CN 201380018612A CN 104205751 A CN104205751 A CN 104205751A
- Authority
- CN
- China
- Prior art keywords
- grouping
- access
- switch
- controller
- stream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
Abstract
本发明执行在分组到达连接目的地主机(服务器等)之前每个连接的访问控制。具体地,管理交换机的控制器从交换机接收关于由具有不同权限的多个用户使用的访问源主机发送的未知分组的通知。控制器向访问源主机询问有关用于涉及发送分组的用户的认证信息。基于认证信息控制器向是分组的目的地的访问目的地主机询问有关访问的许可/拒绝。当访问被许可时,控制器命令交换机登记传输分组的流条目。当访问被拒绝时,控制器命令交换机登记丢弃分组的流条目。
Description
技术领域
本发明涉及一种网络系统,具体涉及其中网络设备的分组传输功能和路由控制功能分离的网络系统。
背景技术
作为计算机系统和网络的主机的使用形式中的一个,具有不同权限的多个用户登录公共主机(共享主机)并执行程序,从而从共享主机访问网络中的另一主机。下面示出了示例。
(1)内部共享托管服务
其中不同区段中的用户共享网络且在大规模组织中考虑主机的服务。作为从共享主机的访问目的地的另一服务器和网络的使用权限根据用户而不同。
(2)外部共享托管服务
考虑由运营商和互联网服务提供商提供的共享托管服务。这是其中从共享主机访问只有执行附加合同的用户才使用的服务的情况。
(3)云计算服务
考虑将为许多用户提供云计算设备中的应用软件的开发/执行的环境的服务。其为所谓的PaaS(平台即服务)的一部分。PaaS的实现形式是多种多样的且包括基本上由共享主机执行的一个。这与存在附加合同的服务等时的形式相符,类似于上述外部共享托管服务(2)的示例。
要确保此类环境中的足够的网络安全性伴随着一种困难。在从共享主机尝试连接的情况下,不能识别传输源处的用户和程序,即使以分组为单位来监视连接。也就是说,这是因为不能确定应对该分组允许的目的地。因此,难以执行用于分组传输的数据链路层(将称为L2层)和网络层(将称为L3层)上的交换机和路由器中的访问控制。
作为实现安全的方法中的一个,考虑这样的访问控制方法,其中在不在L2和L3中执行访问控制的情况下在接收侧主机的上层中执行用户的认证/许可。作为此类访问控制方法,存在每个服务所特有的访问控制方法或者一般地类似于“Kerberos”和“IDENT”(参考文献:RFC1413)的访问控制方法。
然而,在每个服务所特有的访问控制方法中,在接收侧主机的处理具有脆弱性时存在严重攻击的风险。期望在多个网络层上采取安全措施以便实现更稳健的安全性。
并且,由于一般访问控制方法被广泛地使用且得到充分的验证,所以一般访问控制方法能够预期具有比每个服务所特有的访问控制方法更高的安全等级。然而,在现有服务中,存在不对应于该一般访问控制方法的服务。为了使得该不对应服务对应于一般访问控制方法,存在要求连接程序改变的问题。请注意,目前由于诸如可靠性和数据溢流的问题而尚未使用“IDENT”。
作为另一方法,存在一种方法,其通过在物理共享主机中使用虚拟化技术而对每个用户使用虚拟主机环境。在这种情况下,可以通过向从每个虚拟主机环境发送的每个分组分配不同的“IP地址”和“VLANID”而由路由器和L2交换机容易地执行对分组的访问控制。然而,当使用虚拟主机环境时,比简单共享主机更多的硬件资源变成必需的。
要求的是在分组到达连接目的地的服务器之前的阶段中执行连接单元中的访问控制以便在没有上述弊病的情况下确保来自共享主机的通信中的高级安全。因此,在诸如路由器和交换机的具有分组的传输/中继功能的网络设备中,根据源侧用户而适当地确定许可和不许可就足够的,即使分组传输源侧的“IP地址”和“VLAN ID”是相同的。
为了达到此类目的,开放了一种技术,其中以连接为单位向防火墙设备和NAT(网络地址转换)发布连接请求并仅允许传输该连接的分组。
(专利文献1)
例如,专利文献1(JP 2008-085470A)公开了一种IP应用服务提供系统。该IP应用服务提供系统使得可以在属于内部网络且被网关单元从外部网络隐藏的内部节点与属于外部网络的外部节点之间的预定IP应用通信中从外部侧向内部侧执行入站通信,所述网关单元被设置成仅允许从内部侧到外部侧的出站通信。这时,在网关单元下面的内部节点规则地向外部网络上的连接支持设备发送用于控制信道端口的通知和控制信道路径的通信容许条目的保持的控制分组。并且,内部节点通过控制信道从连接支持设备接收对应于外部节点的连接目的地地址和端口的通知。并且,内部节点主动地向用该通知告知的连接目的地地址和端口开放IP应用的数据信道。
(专利文献2)
并且,专利文献2(JP专利号4,362,132B2)公开了地址转换方法、访问控制方法以及使用这些方法的设备。在这种技术中,针对每个传输源设备或在全局网络的一侧的传输源网络规定的访问控制规则和针对每个传输源设备规定的地址转换规则被预先记录到数据库。当从全局网络一侧接收到分组时,根据包含传输源数据的访问控制规则来限制从全局网络对私用网络的访问。并且,根据包含传输源数据的地址转换规则来转换目的地地址,以从全局网络一侧向私用网络一侧传输数据。当从私用网络一侧接收到分组时,根据包含传输源数据的地址转换规则来转换传输源地址,并且将来自私用网络一侧的数据传输至全局网络一侧。
然而,在这些技术中存在以下问题。
(第一问题)
第一问题是应向用户和应用执行不同于普通程序的连接程序。
在专利文献1(JP 2008-085480A)中,请求到布置于防火墙设备/NAT设备外面的代理节点的连接。然后,由于响应于该请求而在从通信节点到在防火墙设备/NAT设备内部的请求源的方向上建立连接,所以连接的方向与普通方向相反。
在专利文献2(日本专利4,362,132B2)中公开的技术中,在与通信末端的连接程序之前,建立与防火墙设备/NAT设备的连接以执行认证处理。
并且,在专利文献1(JP 2008-085470A)和专利文献2(日本专利4,362,132B2)中,除原始通信末端的地址之外,传输源需要知道中间节点和防火墙设备/NAT设备的地址。
(第二问题)
第二问题是能够同时地建立的连接的数目局限于由防火墙设备/NAT设备保持的条目的数目。
专利文献1(JP 2008-085470A)和专利文献2(日本专利4,362,132B2)两者都需要登记条目以使得可以在尝试连接的建立之前尝试到防火墙设备/NAT设备的分组传输并在连接的存在状态下保持条目。
(第三问题)
第三问题在于常规技术不适合于多个防火墙设备/NAT设备的多级的大规模配置。
专利文献2(日本专利4,362,132B2)必须向路线上的每个设备发出请求。这意味着通信用户和应用的负荷增加。
并且,在专利文献1(JP 2008-085470A)和专利文献2(日本专利4,362,132B2)两者中,当网络被配置成使得通信路线集中在特定单元中时,在该特定单元中使用许多条目。因此,很容易出现第二问题。由于常常使用防火墙设备/NAT设备作为网络的网关,所以此类配置是非常一般的。
考虑用过滤规则来避免此问题。例如,考虑一种当从防火墙设备/NAT设备向另一设备发送分组时在一侧执行访问控制且始终在另一侧执行通信的方法。
然而,由于设置和操作的负荷在此类避免技术中根据网络的规模而增加,所以该技术不适合于大规模多级配置。
(专利文献3)
此外,作为相关技术,专利文献3(JP 2000-295274A)公开了一种分组交换设备。此分组交换设备通过使用源IP地址和目的地IP地址作为搜索关键字而登记并保持对IP流表的路由处理的结果。并且,当接收到分组时,通过使用源IP地址和目的地IP地址作为搜索关键字来搜索IP流表(flow table)。当登记相应IP流时,基于相应IP流中的路由处理结果将分组传输到适当的输出端口而不切换至由微处理器进行的路由处理。并且,分组交换设备与网络接口相连并向接收到的分组执行底层处理。
(专利文献4)
并且,专利文献4(JP 2002-044143A)公开了通信控制性、路由器和通信控制方法。在这种相关技术中,在通过向/从单播路线表插入/删除用于每个主机的路线来执行用于到终端的单播的路线控制的通信控制方法中,通过广播想要接收到以通信控制系统的应用范围中的一个和多个多播地址为目的地的分组的终端的单播地址来管理多播群组管理表,并从上述单播路线表和多播群组管理表生成多播路线表。
(专利文献5)
并且,专利文献5(JP 2011-166700A)公开了网络系统和分组投机传输法。在相关技术中,在从网络的控制功能被分离到外部控制器的网络设备配置的网络中,投机性地传输在管理网络设备的路由数据的流表中不具有路线数据的分组并直接在发送到外部网络之前中止。网络设备基于来自控制器的流表的设置而确定投机性传输的成功或失败。并且,数据被保持在所有网络设备中,分组通过该网络设备被投机性地传输,并且当确定投机性传输失败时,通过发送投机丢弃分组来取消投机性地传输的分组,并且再次地从在目的地方面弄错的网络设备发送分组。
(专利文献6)
并且,专利文献6(JP 2007-529135A)公开了一种预测性广告钩技术。这种技术涉及在包括多个网络节点的多跳的无线电通信网络中执行高效路由的系统。在此系统中获取示出低级节点之间的链路状态的质量数据。并且,在使用预测性程序的低级节点中的路线确定过程中使用该链路质量数据。然后,根据所确定路线来发送数据分组。该链路质量数据包含链路状态的时间变化的数据,并且预测性程序在预测性程序中使用链路状态的时间变化的数据。
(CU分离型网络的说明)
作为目前的网络系统的控制系统中的一个,提出了CU(C:控制平面/U:用户平面)分离型网络,其从外部控制系统(控制平面)控制节点单元(用户平面)。
作为CU分离型网络的示例,举例说明一种使用开放流(OpenFlow)技术的开放流网络,其从控制器控制交换机以执行网络的路线控制。在非专利文献1(开放流交换机规范,1.1.0版)中描述了开放流技术的细节。请注意开放流网络仅仅是示例。
(开放流网络的描述)
诸如开放流控制器(OFC)的控制单元通过操作用于节点单元、诸如开放流网络中的开放流交换机(OFS)的节点单元的路线控制的流表来控制节点单元的行为。
在下文中,为了描述的简化,将开放流控制器写为“控制器(OFC)”,并且将开放流交换机写为“交换机(OFS)”。
控制器(OFC)和交换机(OFS)被安全信道连接以由控制器(OFC)使用开放流消息(OpenFlow消息)作为符合开放流协议(OpenFlow协议)的控制消息来控制交换机(OFS)。
开放流网络中的交换机(OFS)配置开放流网络且是在控制器(OFC)的控制下的边缘交换机和核心交换机。将从输入侧边缘交换机(入口)中的分组的接收到来自开放流网络中的输出侧边缘交换机(出口)的发送的一系列分组称为流。
可将分组作为帧读取。分组与帧之间的差异仅仅是由协议处理的数据单元(PDU:协议数据单元)的差异。分组是“TCP/IP”(传输控制协议/网际协议)的PDU。另一方面,帧是“以太网(注册商标)”的PDU。
流你报是存储流条目的表格,其定义应对符合预定匹配条件(规则)的分组(通信数据)执行的预定操作(动作)。
流条目的规则是基于目的地地址、源地址、目的地端口以及源端口中的某些的组合而定义的,其被包含在分组的每个协议分级结构的报头字段中,并且可以区别。请注意上述地址包含MAC地址(媒体接入控制地址)和IP地址(网际协议地址)。并且,除上述之外,进入端口(入口端口)的数据可用于流条目的规则。并且,能够指定表示用正常表达式和通配符“*”将流示为流条目的规则的分组的报头字段的值的一部分(或全部)的数据。
流条目的动作示出了诸如“向特定端口输出/传输分组”、“丢弃/丢弃分组(删除)”以及“重写分组的报头”的操作。例如,如果在流表的动作中示出了输出端口的识别数据(输出端口号等),则交换机(OFS)向对应于此的端口输出分组,并且如果未示出输出端口的识别数据,则交换机(OFS)丢弃该分组。或者,如果在流条目的动作中示出了报头数据,则交换机(OFS)基于报头数据来重写分组的报头。
开放流网络中的交换机(OFS)对符合流条目的规则的一组分组(一系列分组)执行流条目的动作。
引用列表
【专利文献1】JP 2008-085470A
【专利文献2】日本专利4,362,132B2
【专利文献3】JP 2000-295274A
【专利文献4】JP 2002-044143A
【专利文献5】JP 2011-166700A
【专利文献6】JP 2007-529135A
【非专利文献1】“OpenFlow switch Specification,Version 1.1.0Implemented”,
【在线】2011年2月28日
互联网(URL:http://www.openflowswitch.org/documents/openflow-spec-v1.1.0.pdf)
发明内容
在本发明中,预先假设共享托管服务的环境,提出了一种解决现有技术的上述问题的有效方法。在此类环境中,可预期共享主机和网络设备充分地被相同物质(公共管理员)管理。因此,容易介绍与从这些设备配置的闭环网络范围内的常规技术不同的连接程序。并且,可以推测诸如可靠性和数据的溢流的问题不会发生(或者发生可能性是非常低的),因为在闭环网络范围内的通信设备之间可以信任。
本发明的目的是提供一种网络系统,其中在分组到达网络设备的时间执行分组传输的许可或拒绝的确定,并且当分组传输被许可时,登记流条目,其允许分组到网络设备的传输。
在常规技术中,需要在分组到达网络设备之前预先登记条目。另一方面,在本发明中,在分组到达网络设备之后登记条目。也就是说,通过所谓的“按需”来登记条目。
根据本发明的网络系统包括:交换机,被配置成基于定义规则和动作以作为流而统一地控制分组的流条目来执行接收分组的处理;以及控制器,被配置成向所述交换机发出流条目的登记指令。控制器基于接收分组的传输源的权限来执行确定到达所述交换机处的分组的传输许可或拒绝的处理,并命令所述交换机当分组的传输被许可时登记分组传输的流条目。
根据本发明的控制包括:向交换机发出流条目的登记指令的功能部,该交换机基于定义规则和动作以作为流来统一地控制分组的流条目而执行接收分组的处理;基于分组发送源用户对到达所述交换机的分组的权限而执行确定分组传输的许可或拒绝的处理的功能部;以及命令所述交换机当分组传输被许可时登记分组传输的流条目的功能部。
在本发明的分组认证方法中,交换机基于定义规则和动作以作为流来统一地控制分组的流条目而执行接收分组的处理。控制器基于分组发送源的权限来执行确定到达所述交换机的分组传输的许可或拒绝的处理,以及当分组的传输被许可时给所述交换机的分组传输的流条目的登记指令。
根据本发明的程序是使得计算机执行以下各项的程序:命令交换机登记流条目,其中,所述交换机基于定义规则和动作以作为流而统一地控制分组的流条目来处理接收分组;执行确定到达所述交换机的分组的传输的许可或拒绝的处理;以及当分组的传输被许可时,命令所述交换机登记分组传输的流条目。请注意,可将根据本发明的程序存储在存储单元或存储介质中。
附图说明
图1是示出了根据本发明的网络系统的配置示例的图。
图2是示出了流表的初始状态的图。
图3是示出了认证/许可的处理的流的流图。
图4是示出了在具有适当权限的用户在流表的初始状态下尝试访问时的一系列操作的图。
图5是示出了在流表上登记“传输”的流条目的状态的图。
图6是示出了在不具有适当权限的用户在“传输”的流条目被登记在流表上的状态下尝试访问时的一系列操作的图。
图7是示出了“丢弃”的流条目被登记在流表上的状态的图。
图8是示出了流表被“丢弃”的许多流条目占用的状态的图。
图9是示出了在流表从被“丢弃”的许多流条目占用的状态恢复时的一系列操作的图。
具体实施方式
本发明涉及CU分离型网络。在这种情况下,将描述作为CU分离型网络中的一个的开放流网络作为示例。然而,本发明不限于开放流网络。
<示例性实施例>
下面,将参考附图来描述本发明的示例性实施例。
(系统配置)
参考图1,将描述根据本发明的网络系统的配置示例。
根据本发明的网络系统包含控制器(OFC)10、交换机(OFS)20、访问源主机30和访问目的地主机40。
控制器(OFC)10、交换机(OFS)20、访问源主机30和访问目的地主机40中的每一个都可以是多个。
控制器(OFC)10是管理交换机(OFS)20的控制单元。
交换机(OFS)20配置网络且是中继访问源主机30与访问目的地主机40之间的通信的分组传输单元。在这里,假设首先从访问源主机30接收分组的输入侧边缘交换机(入口)。当然,可将交换机(OFS)20配置为多级结构。也就是说,可在交换机(OFS)20与访问目的地主机40之间布置具有与交换机(OFS)20相同的结构的交换机(OFS)。假设这些交换机(OFS)由控制器(OFC)10集中地管理。
访问源主机30是在具有不同权限的多个用户执行登录或程序以尝试与访问目的地主机40连接时所使用的共享主机。
访问目的地主机40是用户从访问源主机30尝试连接到的目的地主机。
访问源主机30和访问目的地主机40执行通过交换机(OFS)20的网络通信。在这种情况下,访问源主机30等效于客户端终端。访问目的地主机40等效于服务器设备。为了建立客户端终端与服务器设备之间的TCP连接,客户端终端向服务器设备发送“SYN分组”,服务器设备答复客户端终端以返回“ACK分组”且客户端终端发回“ACK分组”。例如,访问源主机30向访问目的地主机40发送SYN分组。当接收到SYN分组时,访问目的地主机40答复ACK分组。当从访问目的地主机40接收到ACK分组时,访问源主机30向访问目的地主机40发回ACK分组。请注意,访问源主机30和访问目的地主机40不限于客户端终端和服务器设备,并且可以是不对应于开放流技术的网络设备。
如上所述,使用访问源主机30的多个用户中的每一个具有不同的权限。当然,可存在具有相同权限的用户。根据权限,在使用访问源主机30的用户之中,存在对访问目的地主机40的访问被许可的用户和对访问目的地主机40的访问被拒绝的用户。
控制器(OFC)10和交换机(OFS)20被“安全信道”连接,其是受到专用线和SSL(安全套接层)保护的信道。包括源信道的控制网络被称为“安全信道网络”。控制器(OFC)10和交换机(OFS)20根据开放流协议通过安全信道网络来执行通信。在这种情况下,控制器(OFC)10通过安全信道网络与交换机(OFS)20相连,以从交换机(OFS)20接收通知并向交换机(OFS)20发送指令。
控制器(OFC)10控制交换机(OFS)20应如何通过将流条目作为对应于每个分组的路由数据操作来处理到达交换机(OFS)20的分组。
控制器(OFC)10在交换机(OFS)20中登记许多流条目。以称为“流表”的表格的形式来管理一组流条目。
交换机(OFS)20是执行分组传输等的单元,并且根据已经登记在其中的流表上的流条目的控制来操作接收到的分组。作为在本发明中执行的“分组的操作”,存在三种操作,诸如分组的传输、分组的丢弃和给控制器(OFC)10的通知。也就是说,交换机(OFS)20根据已经登记在流表上的流条目的内容来执行分组的通过/分组的阻挡/流条目(路线控制请求)的询问的处理。
交换机(OFS)保持至少一个流表。控制器(OFC)10保持所有与交换机(OFS)20的流表相同的流表。也就是说,控制器(OFC)10保持每个交换机(OFS)20的流表的主表。
请注意,短语“保持流表”意指管理流表。如果可以通过网络来管理流表,则不需要将流表实际上保持在交换机中。也就是说,除管理流表的设备内部之外,流表的储存库在外面。例如,可以由控制器(OFC)10和交换机(OFS)20在网络上共享相同的流表。
在流表中登记一组流条目。比较一般网络设备,其类似于普通路由器和路由条目的路由表,或者防火墙设备/NAT设备和单独规则(条目)的一组过滤规则。
然而,在开放流的流条目中包含比一般网络设备中的路由条目和规则更多的数据。例如,包含诸如更复杂分组匹配条件、流条目的超时时间或分组的操作数据等数据。
(控制器(OFC)的配置)
接下来,将描述控制器(OFC)的配置示例。
控制器(OFC)10包括控制器控制部11和访问拒绝计数表12。
控制器控制部11执行开放流网络中的控制器(OFC)的处理。并且,控制器控制部11通过安全信道网络来执行与交换机(OFS)20、访问源主机30和访问目的地主机40的通信和协作。
访问拒绝计数表12是存储用于每个用户的访问许可的失败次数(拒绝次数)的存储区。可由数据库等来实现访问拒绝计数表12。
(交换机(OFS)的配置)
接下来,将描述交换机(OFS)20的配置示例。
交换机(OFS)20包括交换机控制部21和流表22。
交换机控制部21执行开放流网络中的交换机(OFS)的处理。并且,交换机控制部21通过安全信道网络来执行与控制器(OFC)10的通信和协作。并且,交换机控制部21通过用户网络与访问源主机30和访问目的地主机40通信。
流表22是一组流条目的。在这种情况下,流表22的每个记录是流条目。流表22可由数据库实现。
流条目包含“分组匹配条件”(规则)、“对分组的操作”(动作)以及“超时条件”的数据。
交换机控制部21使用作为“分组匹配条件”的“传输源IP地址”、“传输源端口号”、“目的地IP地址”以及“目的地端口号”的4个项目。
在接收到分组时基于作为搜索关键字的上述4个项目交换机控制部21搜索流表22,并根据在匹配流条目中指定的“对分组的操作”来操作分组。
请注意,可以使用各种值作为“超时条件”。例如,使用系统中的公共固定值或根据系统的使用情况而改变的值(空流条目值)。并且,可使用流条目显示出未使用时间的“空闲时间”和显示出从流条目登记起的时间的“硬时间”(固定时间)中的一者或两者。
在这种情况下,交换机控制部21使用“空闲超时”和“硬超时”的2个项目作为流条目的“超时条件”。
(访问源主机的配置)
接下来,将描述访问源主机30的配置示例。
访问源主机30包括认证处理部31和用户过程执行部32。
认证处理部31执行认证代理311。认证代理311是执行响应于用户数据的询问而指定用户并返回指定用户的用户数据的处理的常驻软件/程序。作为用户数据的示例,示例诸如用户ID/帐户和密码或用于指定用户/主机的某些数据的认证数据。认证代理311具有两个功能。一个是响应于询问而返回分组发送用户的数据。另一个是限制由用户根据指令而指定的访问源主机30的使用。并且,认证处理部31通过安全信道网络来执行与控制器(OFC)10的通信和协作。
用户过程执行部32执行用户的过程321。用户的过程321是尝试连接到访问目的地主机40的服务的软件/程序。作为用户的过程321的示例,举例说明需要访问控制且可由人类通过使用共享主机而有意识地操作的软件,类似于将登录到访问目的地主机的远程壳(ssh、telnet等)和用于连接到布置在访问目的地主机中的数据库的客户端软件。并且,用户过程执行部32通过用户网络与交换机(OFS)20和访问目的地主机40通信。
(访问目的地主机的配置)
接下来,将描述访问目的地主机40的配置示例。
访问目的地主机40包括许可处理部41和服务执行部42。
许可处理部41执行许可代理411。许可代理411是执行响应于访问的许可或拒绝的询问而基于用户数据来确定访问的许可或拒绝的询问并返回确定结果的处理的常驻软件/程序。许可代理411的作用是根据询问而返回用户进行的访问的许可或拒绝的确定结果。并且,许可处理部41通过安全信道网络来执行与控制器(OFC)10的通信和协作。
服务执行部42执行服务421。服务421是在与用户的过程321建立连接之后通过网络来提供某些功能的软件/程序。作为服务321的示例,举例说明安装在服务器上的应用和群组件及构建在服务器上的虚拟机(VM)。并且,服务执行部42通过用户网络与交换机(OFS)20和访问源主机30通信。
(认证和许可之间的差异)
在本发明中,“认证”意指用户的身份/来源的澄清。并且,“许可”意指用户的动作(连接)是否得到许可的确定。
(主机配置的一般化)
请注意,访问源主机30和访问目的地主机40可具有相同配置。例如,可使用具有全部的认证处理部31、用户过程执行部32、许可处理部41和服务执行部42的主机设备作为访问源主机30和访问目的地主机40。
(流表的初始状态)
参考图2,将描述流表22的初始状态。
在初始状态下只有一个流条目(默认条目)被登记在流表22上。
流条目(默认条目)包含“分组匹配条件”(规则)、“对分组的操作”(动作)以及“超时条件”的数据。
在分组匹配条件的4个项目中指定的示出可选数据的通配符“*”(“传输源IP地址”、“传输源端口号”、“目的地IP地址”以及“目的地端口号”)。
将“给控制器的通知”的操作被指定为对分组的操作。
在超时条件的2个项目(“空闲超时”和“硬超时”)中指定“否”。也就是说,不指定任何东西。
在初始状态下,到达交换机(OFS)20(可选分组)的所有分组都始终与流条目(默认条目)匹配。因此,在初始状态下,交换机(OFS)20将所有到达分组(可选分组)通知给控制器(OFS)10。
在流条目中,可在符合开放流协议的规范和表格中指定优先级。虽然未示出,但最低等级的优先级被分配给该流条目(默认条目)。当不存在与已到达交换机(OFS)20的分组匹配的任何其它流条目时,此流条目(默认条目)被施加于分组。当从控制器(OFS)10登记一个流条目且存在匹配流条目时,将另一匹配流条目施加于分组,因为具有高于该流条目(默认条目)的等级的优先级被分配给所述另一匹配流条目。
(认证/许可处理)
参考图3,将描述本发明中的认证/许可的处理的流程。
在本发明中,“按需”登记流条目以通过使得控制器(OFC)10和交换机(OFS)20协作来实现分组传输和访问控制。
(1)步骤S101
当接收到第一分组时,交换机(OFS)20向控制器(OFC)10通知。请注意,第一分组是未知分组,其中不存在除交换机(OFS)20的流表22中的默认条目之外匹配的流条目。
(2)步骤S102
控制器(OFC)10询问被通知给访问源主机30和访问目的地主机40的分组并执行认证/许可。
(3)步骤S103
控制器(OFC)10基于认证/许可的结果来确定流条目的内容并命令交换机(OFS)20将流条目登记在流表上。
(4)步骤S104
交换机(OFS)20当在流条目的登记之后接收到相同类型的分组时根据流条目的内容来操作相同类型的分组(执行其传输/丢弃)。
(5)步骤S105
交换机(OFS)20在已经发生流条目的超时时删除该流条目。
请注意,交换机(OFS)20当再次地在流条目的删除之后接收到相同类型的分组时执行(1)步骤S101和后续步骤的处理。即使分组是相同类型的,这是因为分组在流条目的删除之后再次地返回第一分组。
并且,交换机具有由重复未授权访问的用户限制使用的功能,以免交换机(OFS)20的流条目由于DoS攻击(服务拒绝攻击)而缺乏。
作为DoS攻击的一般攻击的“SYN泛洪”攻击是将通过攻击者在半途状态停止TCP连接的程序而使得服务器的资源缺乏的攻击。作为上述方法,为了在客户端与服务器之间建立TCP连接,需要执行适当的程序,其中客户端向服务器发送“SYN分组”,服务器向客户端答复“ACK分组”且最后客户端向服务器发回ACK分组。直至最后的ACK分组到达之前,服务器在“等待答复”的状态下等待,并且不能使得资源、诸如准备用于连接自由的存储区。如果具有恶意的攻击者发送巨量的SYN分组并离开而不故意地发送ACK分组,则在服务器一侧的“答复等待状态”中的连接数目超过限制,使得不能新接收连接。
(特定实例)
在以下三个情况中将描述特定操作:
(A)访问许可(“传输”的流条目的登记),
(B)访问拒绝(“丢弃”的流条目的登记),以及
(C)未认证用户的使用限制(“丢弃”的流条目的删除)。
(A)访问许可(“传输”的流条目的登记)
首先,将描述接收到应许可访问的分组时的操作。
参考图4,将描述在具有适当权限的用户在图2中所示的初始状态下尝试访问流表22时的一系列操作。
(1)步骤S101
访问源主机30的用户过程执行部32执行用户的过程321并向交换机(OFS)20发送分组以尝试与访问目的地主机40的通信。
(2)步骤S202
交换机(OFS)20的交换机控制部21在从访问源主机30接收到分组时搜索流表22,以确定与该分组匹配的流条目。在这种情况下,与分组匹配的流条目是具有用于分组匹配条件的每个项目的通配符“*”且其中对分组的操作是“给控制器的通知”的流条目(默认条目),如图2中所示。
(3)步骤S203
交换机(OFS)20的交换机控制部21根据流条目(默认条目)将分组通知给控制器(OFC)10。这时,交换机(OFS)20的交换机控制部21将分组的拷贝传输至控制器(OFC)10并中止分组本身。
(4)步骤S204
控制器(OFC)10的控制器控制部11向作为被通知分组的源的访问源主机30询问用户数据。用户数据的询问被给定分组的传输源端口号。
(5)步骤S205
访问源主机30的认证处理部31指定用户的过程321,其在接收到用户数据的询问时基于分组的传输源端口号通过认证代理311的操作而发送分组,并向控制器(OFC)10返回已执行指定过程的用户的用户数据。
(6)步骤S206
控制器(OFC)10的控制器控制部11向作为分组目的地的访问目的地主机40询问访问的许可或拒绝。向访问的许可或拒绝的询问提供用户数据。
(7)步骤S207
访问目的地主机40的许可处理部41在接收到访问的许可或拒绝的询问时通过许可代理411的操作基于用户数据来确定访问的许可或拒绝,并向控制器(OFC)10返回结果。在这种情况下,访问目的地主机40的许可处理部41确定“访问许可”并向控制器(OFC)10返回“访问许可”的数据。
(8)步骤S208
控制器(OFC)10的控制器控制部11在接收到“访问许可”的数据时命令交换机(OFS)20登记“传输”的流条目。
(9)步骤S209
交换机(OFC)20的交换机控制部21响应于来自控制器(OFC)10的指令而在流表22上登记“传输”的流条目,并且向控制器(OFC)10通知“传输”的流条目的登记已成功(完成)。
在这里,流表22变成如图5中所示的状态。被登记在流表22上的“传输”的流条目的内容如下。
(1)分组匹配条件:
“传输源IP地址”=“X1”(接收到访问许可的访问源主机的IP地址)
“传输源端口号”=“X2”(接收到访问许可的访问源主机的端口号)
“目的地IP地址”=“X3”(接收到访问许可的访问目的地主机的IP地址)
“目的地端口号”=“X4”(接收到访问许可的访问目的地主机的端口号)
(2)对分组的操作:
“动作”=“传输”(从访问源主机到访问目的主机的传输分组)
(3)超时条件
“空闲超时”=“P1”(其间“传输”流条目未使用的时间)
“硬超时”=“P2”(从“传输”流条目被登记时开始的时间)
(10)步骤S210
控制器(OFC)10的控制器控制部11命令交换机(OFS)20在登记流条目之后传输被通知分组。
(11)步骤S211
交换机(OFS)20的交换机控制部21响应于来自控制器(OFC)10的指令而将中止的分组传输至访问目的地主机40。
这样,建立了用户的过程321与服务421之前的连接。
然后,当接收到连接的分组时,交换机(OFS)20的交换机控制部21根据登记在流表22上的流条目的内容来传输分组。
交换机(OFS)20的交换机控制部21在离开的超时条件中指定的时间之后在流条目的超时已发生时从流表22删除相应流条目。
当交换机(OFS)20的交换机控制部21再次地在删除流条目之后接收连接的分组时,再一次地通过上述操作来执行流条目登记/分组传输,因为连接的分组是第一分组。
并且,为什么能够安全地执行用户数据的询问/返回的处理的原因是访问源主机30是如上所述的共享主机。
在这种情况下,假设控制器(OFC)10和访问源主机30在相同物质(公共管理员)下被充分地管理。在这种情况下,可以认为控制器(OFC)10和访问源主机30可以相互信任,使得不存在诸如用户数据的伪装和溢流的问题。
(B)访问拒绝(“丢弃”的流条目的登记)
接下来,将描述当接收到应拒绝访问的分组时的操作。
参考图6,将描述在不具有适当权限的用户在“传输”的流条目被登记在流表上的状态(如图5中所示的状态)下尝试访问时的一系列操作。
(1)步骤S301
访问源主机30的用户过程执行部32执行用户的过程321并向交换机(OFS)20发送分组以尝试与访问目的地主机40的通信。
(2)步骤S302
交换机(OFS)20的交换机控制部21在从访问源主机30接收到分组时在流表22中搜索与分组匹配的流条目。在这种情况下,与分组匹配的流条目是其中匹配条件的每个项目是如图2中所示示出了选项的通配符“*”且对分组的操作是“给控制器的通知”的流条目(默认条目)。
(3)步骤S303
交换机(OFS)20的交换机控制部21根据流条目(默认条目)将分组通知给控制器(OFC)10。这时,交换机(OFS)20的交换机控制部21将分组的拷贝传输至控制器(OFC)10并中止分组本身。
(4)步骤S304
控制器(OFC)10的控制器控制部11向在被通知分组的传输源侧的访问源主机30询问用户数据。向用户数据的询问分配分组的传输源端口号。
(5)步骤S305
访问源主机30的认证处理部31指定用户的过程321,其在接收到用户数据的询问时基于分组的传输源端口号通过认证代理311的操作而发送分组,并向控制器(OFC)10返回执行指定过程的用户的用户数据。
(6)步骤S306
控制器(OFC)10的控制器控制部11向作为分组目的地的访问目的地主机40询问访问的许可或拒绝。向访问的许可或拒绝的询问分配用户数据。
在这里的操作与“A”访问许可的情况相同(“传输”的流条目的登记)。
(7)步骤S307
访问目的地主机40的许可处理部41在接收到访问的许可或拒绝的询问时通过许可代理411的操作基于用户数据来确定访问的许可或拒绝,并向控制器(OFC)10返回结果。在这种情况下,访问目的地主机40的许可处理部41确定为“访问拒绝”并向控制器(OFC)10返回“访问拒绝”的数据。
(8)步骤S308
控制器(OFC)10的控制器控制部11参考访问拒绝计数表12以在接收到“访问拒绝”的数据时向指示访问许可的失败的拒绝的次数添加数据。也就是说,控制器(OFC)10的控制器控制部11将用户的拒绝次数求和。此外,控制器(OFC)10的控制器控制部11参考访问拒绝计数表12并将用户的拒绝次数与预定允许值相比较。在这种情况下,假设用户的拒绝次数在允许值内。
(9)步骤S309
控制器(OFC)10的控制器控制部11发出在交换机(OFS)20中的“丢弃”的流条目的登记指令。
(10)步骤S310
交换机(OFC)20的交换机控制部21响应于来自控制器(OFC)10的指令而在流表22上登记“丢弃”的流条目,并且向控制器(OFC)10通知“丢弃”的流条目的登记已成功(完成)。
在这里,流表22变成如图7中所示的状态。已经被登记在流表22上的“丢弃”的流条目的内容如下。
(1)分组匹配条件:
“传输源IP地址”=“Y1”(访问源主机的IP地址,由其进行的访问已被拒绝)
“传输源端口号”=“Y2”(访问源主机的端口号,由其进行的访问已被拒绝)
“目的地IP地址”=“Y3”(已拒绝访问的访问目的地主机的IP地址)
“目的地端口号”=“Y4”(已拒绝访问的访问目的地主机的端口号)
(2)对分组的操作:
“动作”=“丢弃”(丢弃从访问源主机到访问目的主机的分组)
(3)超时条件
“空闲超时”=“Q1”(其间“丢弃”的流条目未使用的时间)
“硬超时”=“Q2”(从“丢弃”的流条目的登记开始的时间)
在这种情况下,向“传输”的流条目分配高于“丢弃”的流条目的优先级。然而,实际上,可向“丢弃”的流条目分配高于“传输”的流条目的优先级。这是因为存在这样的情况,其中,当在必须有认证的环境中执行通信时重要性在分组的“丢弃”(阻挡)中比在“传输”(通过)中更高。
(11)步骤S311
控制器(OFC)10的控制器控制部11命令交换机(OFS)20在登记流条目之后丢弃被通知分组。
(12)步骤S312
交换机(OFS)20的交换机控制部21响应于来自控制器(OFC)10的指令而丢弃中止的分组。
然后,交换机(OFS)20的交换机控制部21根据登记在流表22上的流条目的内容而接收连接的分组并丢弃。
交换机(OFS)20的交换机控制部21在超时条件中所指定的时间过去且然后已发生流条目的超时时从流表22删除流条目。
当交换机(OFS)20的交换机控制部21再次地在删除流条目之后接收连接的分组,再一次地在上述操作中执行流条目登记/分组丢弃,因为连接的分组是第一分组。
(C)限制由非正义用户的使用(“丢弃”的流条目的删除)
接下来,将描述重复未授权访问时的操作。
当在不同的匹配条件下重复未授权访问时,如图8中所示用“丢弃”的许多流条目占用流表22。
参考图9,将描述从“丢弃”的许多流条目占用的状态恢复流表22时的一系列操作。
(1)步骤S401
访问源主机30的用户过程执行部32执行用户的过程321并向交换机(OFS)20发送分组以尝试与访问目的地主机40的通信。
(2)步骤S402
交换机(OFS)20的交换机控制部21在从访问源主机30接收到分组时在流表22中搜索与分组匹配的流条目。在这里,与分组匹配的流条目是其中匹配条件的每个项目是如图2中所示示出了选项的通配符“*”且对分组的操作是“给控制器的通知”的流条目(默认条目),并且匹配条件的每个项目是将示出选项的“*”的通配符,如图2中所示。
(3)步骤S403
交换机(OFS)20的交换机控制部21根据流条目(默认条目)将分组通知给控制器(OFC)10。这时,交换机(OFS)20的交换机控制部21将分组的拷贝传输至控制器(OFC)10并中止分组本身。
(4)步骤S404
控制器(OFC)10的控制器控制部11向作为被通知分组的源的访问源主机30询问用户数据。向用户数据的询问给定分组的传输源端口号。
(5)步骤S405
访问源主机30的认证处理部31指定用户的过程321,其在接收到用户数据的询问时基于分组的传输源端口号通过认证代理311的操作而发送分组,并向控制器(OFC)10返回执行用户的过程321的用户的用户数据。
(6)步骤S406
控制器(OFC)10的控制器控制部11向作为分组目的地的访问目的地主机40询问访问的许可或拒绝。向访问的许可或拒绝的询问给定用户数据。
(7)步骤S407
访问目的地主机40的许可处理部41在接收到访问的许可或拒绝的询问时通过许可代理411的操作基于用户数据来确定访问的许可或拒绝,并向控制器(OFC)10返回结果。在这种情况下,访问目的地主机40的许可处理部41确定为“访问拒绝”并向控制器(OFC)10返回“访问拒绝”的数据。
在这里的步骤与“(B)访问的拒绝(“丢弃”的流条目的登记)”的情况相同。
(8)步骤S408
控制器(OFC)10的控制器控制部11参考访问拒绝计数表12以在接收到“访问拒绝”的数据时向访问许可中的失败次数添加值。也就是说,控制器(OFC)10的控制器控制部11将用户的拒绝次数加和。此外,控制器(OFC)10的控制器控制部11参考访问拒绝计数表12并将用户的拒绝次数与预定允许值相比较。在这种情况下,假设用户的拒绝次数达到允许值/超过允许值。
(9)步骤S409
控制器(OFC)10的控制器控制部11命令访问源主机30通过使用访问源主机30是共享主机来执行对用户的使用限制。该使用限制是然后限制非正义访问的动作。例如,举例说明要被迫地结束用户的过程321以及要抑制用户的新的登录和过程执行。并且,可以根据用户的过程321来抑制应用本身。
(10)步骤S410
访问源主机30的认证代理311响应于来自控制器(OFC)10的指令而执行用户的使用限制。假设访问源主机30的认证代理311在与控制器(OFC)10和交换机(OFS)20相同的物质(公共管理器以便安全地对用户执行使用限制。也就是说,控制器(OFC)10和交换机(OFS)20的管理器具有与访问源主机30的管理器相同的用户权限。并且,假设在仅对访问源主机30的管理器许可的特权用户权限中执行访问源主机30的认证代理311。
(11)步骤S411
控制器(OFC)10的控制器控制部11发出删除通过由用户的过程321进行的访问而登记在交换机(OFS)20上的“丢弃”的流条目的指令。请注意当在不同的匹配条件下重复未授权访问时,针对通过未授权访问登记的“丢弃”的每个流条目发出删除指令。
(12)步骤S42
交换机(OFC)20的交换机控制部21响应于来自控制器(OFC)10的指令而在流表22中删除“丢弃”的流条目,并且向控制器(OFC)10通知“丢弃”的流条目的删除已成功(完成)。
(13)步骤S413
控制器(OFC)10的控制器控制部11命令交换机(OFS)20在登记流条目之后丢弃被通知分组。
(14)步骤S414
交换机(OFS)20的交换机控制部21响应于来自控制器(OFC)10的指令丢弃中止的分组。
因此,流表22再次地变成如图5中所示的状态且能够避免流条目的上溢。
<本发明的特征>
如上所述,在本发明中,能够在分组作为连接目的地到达服务器之前使得以连接为单位的访问控制成为可能。例如,在SYN分组传输时,通过对传输源用户和程序进行认证/许可来确定分组传输的许可或拒绝。
此外,在本发明中,由于访问源主机(共享主机)的管理器与控制器(OFC)和交换机(OFS)的管理器相同,所以可以将从访问源主机(共享主机)获得的用户认证的数据用于网络的访问控制。
并且,与常规技术相比,在本发明中存在以下优点。
(1)用户/应用的连接程序不需要从一般程序改变
在本发明中,在没有用户/应用的意识的情况下自动地执行分组的认证/许可。因此,不需要针对分组的认证/许可而改变用户/应用的连接程序。
(2)没有同时连接的连接数目方面的约束
由于即使存在连接也删除流条目,所以交换机(OFS)中的流表中的流条目的数目从不受约束。并且,如果即使流条目被删除也新接收分组,则再次地登记流条目。因此,不存在诸如通信变得不可能的问题。
(3)适合于大规模多级配置
当交换机(OFS)被配置成具有多级配置时,在控制器(OFC)下面布置多个交换机(OFS)就足够了。由于能够同时地连接比交换机(OFS)的流表中的流条目的数目更多的连接,所以可以应对其中路线集中于特定单元中的网络配置。
<用于效率的规范变化>
在本发明的示例性实施例的描述中,已描述了基本操作以阐明本发明的要点。然而,认证/许可的操作仅仅是示例,并且可选择各种其它方法。
当将本发明应用于实际系统时,减少用于认证/许可的处理时间是重要的。因此,如下举例说明执行改变/功能添加/功能切换。
(1)从认证效率的观点出发
当发送SYN分组以尝试连接时,访问源主机将用户的数据添加到SYN分组。控制器(OF)基于添加的数据来识别用户。
(2)从许可效率的观点出发
控制器(OFC)将从访问目的地主机返回的许可结果保存在高速缓存器(高速缓存器)。然后,通过参考高速缓存器来确定分组传输的许可或拒绝。因此,能够基本上减少从控制器(OFC)到访问源主机访问目的地主机的询问的机会/次数。
或者,不在访问目的地主机中布置许可代理,而是替代地,控制器(OFC)具有等效于许可代理的功能。也就是说,控制器(OFC)基于来自访问源主机的用户数据来确定访问的许可或拒绝。因此,不需要从控制器(OFC)到访问目的地主机的询问。
通过这些改变,在根据本发明的网络系统中,将可以获得与仅用交换机(OFS)和控制器(OFC)构建的普通开放流网络系统相同的处理速度。举例说明各种改变/改善/应用。
(3)从处理时间的效率的观点出发
在由用户/规则例程进行连接生成(分组传输)/登录时,访问源主机将用户数据通知给控制器(OFC)。因此,控制器(OFC)不需要向访问源主机询问。
或者,当访问源主机尝试到访问目的地主机的连接时,控制器(OFC)从访问源主机接收具有用户数据的SYN分组。例如,当尝试到访问目的地主机的连接时,访问源主机始终通过认证代理的操作向控制器(OFC)发送SYN分组和用户数据。控制器(OFC)基于来自访问源主机的SYN分组来计算路线,基于来自访问源主机的用户数据来执行认证的处理,并且当访问被许可时,控制器(OFC)命令所计算路线上的交换机(OFS)登记“传输”的流条目。请注意,关于认证的处理,将用户数据通知给访问目的地主机且控制器(OFC)本身可执行访问的许可或拒绝的询问。因此,不需要从交换机(OFS)接收第一分组的通知。
并且,当交换机(OFS)具有多级配置(在该路线上存在多个交换机(OFS))时,控制器(OFC)高速缓存分组的认证/许可结果以便为来自路线上的随后交换机(OFS)的通知做准备。如果存在来自随后交换机(OFS)的通知时,控制器(OFC)命令交换机(OFS)基于分组的认证/许可的高速缓存结果而登记流条目。
或者,当交换机(OFS)具有多级配置且从一个交换机(OFS)通知未知分组时,控制器(OFC)立即命令该路线上的每个交换机(OFS)登记流条目而不高速缓存分组的认证/许可的结果。
(4)从流条目的删除/流表的资源恢复的观点出发
在连接切断的时间,交换机(OFS)在检测到来自访问源主机的FIN分组时删除连接的流条目。
或者,控制器(OFC)监视交换机(OFS)的流表的空房间,当检测到/确定流表的空房间的减少时从控制器(OFC)向交换机(OFS)发出删除流条目的指令,并确保空房间的所需数目。
此外,当流条目的登记由于缺少交换机(OFS)的流表的空房间而失败时,控制器(OFC)发出从在该点处具有最低使用频率的流条目进行删除的指令,直至能够充分地确保流表的空房间为止。
并且,当交换机(OFS)的流表的空房间减少时,控制器(OFC)减小拒绝次数的允许值,并加速流表的删除/流表的资源恢复。
请注意,当“丢弃”的流条目进入超时状态时,控制器(OFC)可对用户的拒绝次数做减法。
(5)从许可条件的观点出发
向许可条件添加诸如“免费的存在或不存在”、“收费过程”以及“访问目的地的负荷情况”的条件。
(6)从配置的观点出发
使得安全信道网络(控制网络)和用户网络为公共的。例如,访问源主机和访问目的地主机可通过交换机(OFS)与控制器(OFC)通信。
请注意,可将上述操作组合。
<本发明的要点>
(1)按需的分组认证/许可;
(2)使用状态下的流条目的删除;以及
(3)共享主机的连接源(访问源主机)
<硬件的举例说明>
将描述用以实现根据本发明的网络系统的特定硬件的示例。
作为控制器(OFC)的示例,采取访问源主机和访问目的地主机、诸如PC(个人计算机)的计算机、电器、用于薄客户端的服务器、工作站、主机以及超级计算机。并且,举例说明访问源主机和访问目的地主机的另一示例、IP电话、便携式电话、智能电话、智能书、汽车导航系统、携带型游戏机、家用游戏机、携带型音乐播放器、手持终端、小配件(电子设备)、交互式TV、数字调谐器、数字记录仪、信息家用器械、OA(办公室自动化)设备、店面终端和高功能复印机、数字标志等。请注意,除终端和服务器之外,控制器(OFC)、访问源主机和访问目的地主机也可以是中继设备和外部设备。并且,控制器(OFC)、访问源主机和访问目的地主机的计算机可以是构建在物理机器上的虚拟机(VM)和加载在计算机上的扩展板。
作为交换机(OFS)的示例,网络交换机、路由器、代理、网关、防火墙、负荷平衡器(负荷分配单元)、带控制单元(分组成形器)、安全监视器和控制设备(SCADA:监控和数据获取)、网守、基站、接入点(AP)、通信卫星(CS)或具有多个通信端口的计算机等。并且,其可以是由构建在物理机器上的虚拟机(VM)实现的虚拟交换机。
可将控制器(OFC)、交换机(OFS)、访问源主机以及访问目的地主机加载在诸如车辆、船以及飞机的移动主体上。
虽然未示出,但控制器(OFC)、交换机(OFS)、访问源主机和访问目的地主机中的每一个是从基于将执行预定处理的程序进行操作的处理器、存储程序和各种类型的数据的存储器以及被用于与网络的通信的接口实现的。
作为上述处理器的示例,举例说明CPU(中央处理单元)、网络处理器(NP)、微处理器、微控制器或具有专用功能的半导体集成电路(LSI:大规模集成电路)。
作为上述存储器的示例,举例说明半导体存储器件,诸如RAM(随机存取存储器)、ROM(只读存储器)、EEPROM(电可擦可编程只读存储器)和闪速存储器、辅助储存器,诸如HDD(硬盘驱动器)和SSD(固态驱动器)或可移动磁盘,诸如DVD(数字多功能磁盘)以及存储介质,诸如SD存储卡(安全数字存储卡)。并且,其可以是缓冲器和登记器等。或者,其可以是使用DAS(直接附着存储)、FC-SAN(光纤信道—存储区域网)、NAS(网络附着存储)、IP-SAN(IP—存储区域网)等。
请注意,上述处理器和上述存储器可以是统一的。例如,近年来,在一个芯片上形成微型计算机。因此,举例说明单片微型计算机被加载在电子设备中并充当上述处理器和上述存储器的情况。
作为上述接口的示例举例说明对应于网络通信的基板(母板、I/O板)、诸如芯片的半导体集成电路、诸如NIC(网络接口卡)的网络适配器、类似扩展板、诸如天线的通信设备以及诸如连接口(连接器)的通信端口。
并且,作为网络的示例,举例说明互联网、LAN(局域网)、无线LAN(无线LAN)、WAN(广域网)、骨干、CATV线、固定电话网、移动电话网、WiMAX(IEEE 802.16a)、3G(第3代)、租借线、IrDA(红外数据协会)、蓝牙(注册商标)、串行通信线、数据总线。
请注意,控制器(OFC)、交换机(OFS)、访问源主机和访问目的地主机中的每一个的内部部件可以是模块、部件、专用设备或这些启动(调用)程序。
然而,实际上,本发明不限于这些示例。
<备注>
已详细地描述了本发明的示例性实施例。然而,实际上,本发明不限于上述示例性实施例,并且不脱离本发明范围的范围内的上述示例性实施例和修改被包含在本发明中。
应注意的是本申请要求基于日本专利申请号JP 2012-084718的根据公约的优先权,并且其公开被通过引用结合到本文中。
Claims (10)
1.一种网络系统,包括:
交换机,所述交换机被配置成基于流条目来执行接收分组的处理,所述流条目定义用于对作为流的分组进行统一地控制的规则和动作;以及
控制器,所述控制器被配置成发出对于所述交换机进行所述流条目的登记的指令,
其中,基于到达所述交换机的分组的传输源的权限,所述控制器对于到达分组的传输的许可或拒绝来执行确定处理,并且当所述到达分组的传输被许可时,所述控制器命令所述交换机来登记该到达分组的传输的流条目。
2.根据权利要求1所述的网络系统,
其中,所述交换机在从由具有不同权限的多个用户使用的访问源主机接收到分组时,向所述控制器通知该分组,以及
其中,所述控制器向所述访问源主机询问分组发送用户的认证数据,基于所述认证数据,向作为所述分组的目的地的访问目的地主机询问访问的许可或拒绝,当所述访问被许可时命令所述交换机来登记所述分组的传输的流条目,以及当所述访问被拒绝时命令所述交换机来登记所述分组的丢弃的流条目。
3.根据权利要求2所述的网络系统,其中,
所述控制器当所述访问被拒绝时记录访问拒绝计数,检查该访问拒绝计数是否在允许值之内,当所述访问拒绝计数在所述允许值之内时命令所述交换机来登记所述分组的丢弃的流条目,当所述访问拒绝计数达到所述允许值时命令所述访问源主机来执行所述分组发送用户的使用限制,并且命令所述交换机来删除所述分组的丢弃的流条目。
4.根据权利要求1至3中的任一项所述的网络系统,其中,
当由具有不同权限的所述多个用户使用的所述访问源主机尝试对访问目的地主机进行访问时,所述控制器从所述访问源主机获取分组发送用户的所述认证数据,基于分组发送用户的所述认证数据来确定访问的许可或拒绝,当所述访问被许可时命令所述交换机来登记所述分组的传输的流条目,并且当所述访问被拒绝时命令所述交换机来登记所述分组的丢弃的流条目。
5.一种控制器,包括:
用于发出对于交换机进行流条目的登记的指令的装置,所述交换机基于所述流条目来执行接收分组的处理,所述流条目定义用于对作为流的分组进行统一地控制的规则和动作;
用于对于到达所述交换机的分组而基于分组发送用户的权限来执行所述分组的传输的许可或拒绝的确定处理的装置;以及
用于当所述分组的传输被许可时命令所述交换机来登记所述分组的传输的流条目的装置。
6.根据权利要求5所述的控制器,还包括:
用于从所述交换机来接收从由具有不同权限的多个用户使用的访问源主机发送的分组的通知的装置;
用于向所述访问源主机询问分组发送用户的认证数据的装置;
用于基于所述认证数据向作为所述分组的目的地的所述访问目的主机询问访问的许可或拒绝的装置;
用于当所述访问被许可时命令所述交换机来登记所述分组的传输的流条目的装置;以及
用于当所述访问被拒绝时命令所述交换机来登记所述分组的丢弃的流条目的装置。
7.根据权利要求6所述的控制器,还包括:
用于当所述访问被拒绝时记录访问拒绝计数的装置;
用于检查所述访问拒绝计数是否在允许值之内的装置;
用于当所述访问拒绝计数在所述允许值之内时命令所述交换机来登记所述分组的丢弃的流条目的装置;以及
用于当所述访问拒绝计数达到所述允许值时命令所述访问源主机对所述分组发送用户执行使用限制、以及命令所述交换机来删除所述分组的丢弃的流条目的装置。
8.根据权利要求5至7中的任一项所述的控制器,还包括:
用于当具有不同权限的所述多个用户使用的所述访问源主机尝试访问所述访问目的地主机时从所述访问源主机来获取分组发送用户的所述认证数据的装置;
用于基于所述认证数据来确定访问的许可或拒绝的装置;
用于当所述访问被许可时命令所述交换机来登记所述分组的传输的流条目的装置;以及
用于当所述访问被拒绝时命令所述交换机来登记所述分组的丢弃的流条目的装置。
9.一种分组认证方法,包括:
通过交换机,基于流条目来执行接收分组的处理,所述流条目定义用于对作为流的分组进行统一地控制的规则和动作;以及
通过控制器,基于分组发送源的权限来执行到达所述交换机的分组的传输的许可或拒绝的确定处理,以及当所述分组的传输被许可时,针对所述交换机,执行对所述分组的传输的流条目进行登记的指令。
10.一种非瞬态计算机可读记录介质,其存储程序以使得计算机执行:
命令交换机来登记流条目,其中,所述交换机基于所述流条目来处理接收分组,所述流条目定义用于对作为流的分组进行统一地控制的规则和动作;
执行到达所述交换机的分组的传输的许可或拒绝的确定处理;以及
当所述分组的传输被许可时,命令所述交换机来登记所述分组的传输的流条目。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012084718 | 2012-04-03 | ||
| JP2012-084718 | 2012-04-03 | ||
| PCT/JP2013/058874 WO2013150925A1 (ja) | 2012-04-03 | 2013-03-26 | ネットワークシステム、コントローラ、及びパケット認証方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104205751A true CN104205751A (zh) | 2014-12-10 |
Family
ID=49300418
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380018612.7A Pending CN104205751A (zh) | 2012-04-03 | 2013-03-26 | 网络系统、控制器和分组认证方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US20150052576A1 (zh) |
| EP (1) | EP2835941A4 (zh) |
| JP (1) | JP5987902B2 (zh) |
| CN (1) | CN104205751A (zh) |
| WO (1) | WO2013150925A1 (zh) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9419737B2 (en) | 2013-03-15 | 2016-08-16 | Concio Holdings LLC | High speed embedded protocol for distributed control systems |
| US20150113593A1 (en) * | 2013-10-17 | 2015-04-23 | International Business Machines Corporation | Proximity based dual authentication for a wireless network |
| US10212083B2 (en) * | 2013-10-30 | 2019-02-19 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Openflow data channel and control channel separation |
| CN104660565B (zh) * | 2013-11-22 | 2018-07-20 | 华为技术有限公司 | 恶意攻击的检测方法和装置 |
| JP6364761B2 (ja) * | 2013-12-18 | 2018-08-01 | 日本電気株式会社 | ネットワークシステムおよび通信方法 |
| CN104954271B (zh) * | 2014-03-26 | 2018-11-30 | 国际商业机器公司 | Sdn网络中的数据包处理方法和装置 |
| WO2015145976A1 (ja) * | 2014-03-28 | 2015-10-01 | 日本電気株式会社 | 通信システム、制御指示装置、制御実施装置、通信制御方法およびプログラムを記憶する記憶媒体 |
| EP3166275A4 (en) * | 2014-08-11 | 2017-07-19 | Huawei Technologies Co., Ltd. | Packet control method, switch and controller |
| JP6558728B2 (ja) * | 2014-08-20 | 2019-08-14 | 国立大学法人九州工業大学 | 無線メッシュネットワークシステム |
| US10673565B2 (en) | 2014-09-30 | 2020-06-02 | Concio Holdings LLC | Confirming data accuracy in a distributed control system |
| KR102274589B1 (ko) * | 2014-10-17 | 2021-07-06 | 주식회사 케이티 | 국제전화 이상트래픽 피해 방지를 위한 시스템 및 방법 |
| US10326865B2 (en) | 2015-03-24 | 2019-06-18 | Concio Holdings LLC | Filter or bridge for communications between CAN and CAN-FD protocol modules |
| US9961076B2 (en) * | 2015-05-11 | 2018-05-01 | Genesys Telecommunications Laboratoreis, Inc. | System and method for identity authentication |
| US20160359720A1 (en) * | 2015-06-02 | 2016-12-08 | Futurewei Technologies, Inc. | Distribution of Internal Routes For Virtual Networking |
| CN107710812B (zh) * | 2015-07-16 | 2021-08-17 | 诺基亚技术有限公司 | 支持承载内子流qos区分的用户平面增强 |
| CN106385365B (zh) * | 2015-08-07 | 2019-09-06 | 新华三技术有限公司 | 基于开放流Openflow表实现云平台安全的方法和装置 |
| WO2017079250A1 (en) * | 2015-11-02 | 2017-05-11 | Concio Holdings LLC | Confirming data accuracy in a distributed control system |
| JP6614980B2 (ja) * | 2016-01-20 | 2019-12-04 | キヤノン株式会社 | 情報処理装置及びその制御方法、プログラム |
| JP6554062B2 (ja) * | 2016-05-20 | 2019-07-31 | 日本電信電話株式会社 | 流量制御方法および流量制御装置 |
| JP6731789B2 (ja) * | 2016-06-03 | 2020-07-29 | キヤノン株式会社 | ネットワークデバイス及びその制御方法、プログラム |
| JP6762298B2 (ja) * | 2016-06-22 | 2020-09-30 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法 |
| JP6838343B2 (ja) | 2016-10-07 | 2021-03-03 | 株式会社リコー | 通信制御装置、通信制御プログラムおよび通信システム |
| JP6985608B2 (ja) * | 2018-03-29 | 2021-12-22 | 株式会社バッファロー | 通信機器、通信機器の作動方法、通信機器の作動プログラム |
| JP2020072427A (ja) * | 2018-11-01 | 2020-05-07 | 日本電気株式会社 | ネットワークへの脅威の感染拡大を防ぐ制御装置、制御方法、システム、およびプログラム |
| JP6801046B2 (ja) * | 2019-05-28 | 2020-12-16 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080189769A1 (en) * | 2007-02-01 | 2008-08-07 | Martin Casado | Secure network switching infrastructure |
| WO2009042919A2 (en) * | 2007-09-26 | 2009-04-02 | Nicira Networks | Network operating system for managing and securing networks |
| US20110314517A1 (en) * | 2010-01-04 | 2011-12-22 | Nec Corporation | Communication system, authentication device, control server, communication method, and program |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000295274A (ja) | 1999-04-05 | 2000-10-20 | Nec Corp | パケット交換装置 |
| JP3833450B2 (ja) | 2000-07-27 | 2006-10-11 | 三菱電機株式会社 | 通信制御方式及びルータ |
| ES2409334T3 (es) | 2003-12-23 | 2013-06-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Ad hoc predictivo |
| WO2005101217A1 (ja) * | 2004-04-14 | 2005-10-27 | Nippon Telegraph And Telephone Corporation | アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置 |
| JP2008085470A (ja) | 2006-09-26 | 2008-04-10 | Fujitsu Ltd | Ipアプリケーションサービス提供システム |
| JP5521614B2 (ja) | 2010-02-15 | 2014-06-18 | 日本電気株式会社 | ネットワークシステム、及びパケット投機転送方法 |
| JP5679422B2 (ja) | 2010-10-13 | 2015-03-04 | 富士機械製造株式会社 | 電子部品実装方法および電子部品実装機 |
-
2013
- 2013-03-26 WO PCT/JP2013/058874 patent/WO2013150925A1/ja active Application Filing
- 2013-03-26 CN CN201380018612.7A patent/CN104205751A/zh active Pending
- 2013-03-26 US US14/390,375 patent/US20150052576A1/en not_active Abandoned
- 2013-03-26 EP EP13773152.7A patent/EP2835941A4/en not_active Withdrawn
- 2013-03-26 JP JP2014509114A patent/JP5987902B2/ja not_active Expired - Fee Related
-
2016
- 2016-07-27 US US15/220,988 patent/US20160337372A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080189769A1 (en) * | 2007-02-01 | 2008-08-07 | Martin Casado | Secure network switching infrastructure |
| WO2009042919A2 (en) * | 2007-09-26 | 2009-04-02 | Nicira Networks | Network operating system for managing and securing networks |
| US20110314517A1 (en) * | 2010-01-04 | 2011-12-22 | Nec Corporation | Communication system, authentication device, control server, communication method, and program |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160337372A1 (en) | 2016-11-17 |
| EP2835941A4 (en) | 2015-12-09 |
| WO2013150925A1 (ja) | 2013-10-10 |
| EP2835941A1 (en) | 2015-02-11 |
| JPWO2013150925A1 (ja) | 2015-12-17 |
| JP5987902B2 (ja) | 2016-09-07 |
| US20150052576A1 (en) | 2015-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104205751A (zh) | 网络系统、控制器和分组认证方法 | |
| US9712624B2 (en) | Secure virtual network platform for enterprise hybrid cloud computing environments | |
| EP3021534B1 (en) | A network controller and a computer implemented method for automatically define forwarding rules to configure a computer networking device | |
| US8081640B2 (en) | Network system, network management server, and access filter reconfiguration method | |
| US7738457B2 (en) | Method and system for virtual routing using containers | |
| EP1949644B1 (en) | Remote access to resources | |
| US9032504B2 (en) | System and methods for an alternative to network controller sideband interface (NC-SI) used in out of band management | |
| EP2760174A1 (en) | Virtual private cloud access authentication method and related apparatus | |
| US20120281698A1 (en) | Systems and methods for managing virtual switches | |
| US10491414B1 (en) | System and method of providing a controlled interface between devices | |
| US10848460B2 (en) | System and method of providing a controlled interface between devices | |
| EP3529950B1 (en) | Method for managing data traffic within a network | |
| US9787606B2 (en) | Inline network switch having serial ports for out-of-band serial console access | |
| US10868792B2 (en) | Configuration of sub-interfaces to enable communication with external network devices | |
| US10795912B2 (en) | Synchronizing a forwarding database within a high-availability cluster | |
| CN111756565A (zh) | 管理分支网络内的卫星设备 | |
| US11102172B2 (en) | Transfer apparatus | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| JP5966488B2 (ja) | ネットワークシステム、スイッチ、及び通信遅延短縮方法 | |
| US9426122B2 (en) | Architecture for network management in a multi-service network | |
| JP2010239591A (ja) | ネットワークシステム、中継装置、およびネットワーク制御方法 | |
| CN101909021A (zh) | Bgp网关设备及利用该设备实现通断网关功能的方法 | |
| JP5622088B2 (ja) | 認証システム、認証方法 | |
| CN108667832A (zh) | 基于配置信息的认证方法、服务器、交换机和存储介质 | |
| Tsai et al. | Network service connection management mechanism and network service platform |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20141210 |