CN112956163B - 通信装置以及通信方法 - Google Patents
通信装置以及通信方法 Download PDFInfo
- Publication number
- CN112956163B CN112956163B CN201980068302.3A CN201980068302A CN112956163B CN 112956163 B CN112956163 B CN 112956163B CN 201980068302 A CN201980068302 A CN 201980068302A CN 112956163 B CN112956163 B CN 112956163B
- Authority
- CN
- China
- Prior art keywords
- node
- afc
- communication
- information
- field
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/34—Source routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
- H04L45/7453—Address table lookup; Address filtering using hashing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供一种通信装置,包括:通信单元,其与其他节点执行通信;以及控制单元,其控制由通信单元执行的通信。控制单元将至少指示路径信息的报头信息添加到发送源节点指向发送目的地节点的分组,该路径在位于所述发送源节点后级的本地装置和位于所述发送目的地节点前级的目标节点之间。然后,控制单元使通信单元向沿着该路径存在的其他节点发送分组。
Description
技术领域
本公开涉及通信装置、通信方法和数据结构。
就网络运营商和服务提供商而言,将网络中要转发的分组根据需要转发到未包括在原始分组转发路径中的服务器装置,并且使得在服务器装置上运行的服务功能(SF)对分组进行操作被称为服务功能链(SFC)。SF包括网络地址转换(NAT)、负载平衡器、Web应用防火墙(WAF)等。
NPL 1描述了SFC的架构。此外,PTL 1描述了一种执行装置和链路的故障检测的方法,并且以自主分布式方式执行故障恢复以提高虚拟化网络服务功能的可用性。
引文列表
专利文献
PTL 1:日本未审查专利申请公开号2016-46736
非专利文献
NPL 1:J.Halpern and C.Pignataro.服务功能链(SFC)架构,2015年10月.RFC7665.
发明内容
本发明要解决的问题
在SFC中,就网络运营商和服务提供商而言,诸如WAF和负载平衡器的SF是可用的。也就是说,根据网络运营商或服务提供商的意图来确定要经受SFC的分组的种类。
因此,本公开提出了一种新颖的和改进的通信装置、通信方法和数据结构,其允许在网络中转发分组的服务中,服务用户期望的一个或多个功能对服务用户期望的分组进行操作。
根据本公开,提供了一种通信装置,包括:通信部,其与其他节点执行通信;以及控制部,其控制通过所述通信部的通信,所述控制部向由发送源节点指向发送目的地节点的分组添加至少包含位于所述发送源节点后级的通信装置与位于所述发送目的地节点前级的目标节点之间的路径信息的报头信息,并使所述通信部朝向存在于路径中的其他节点发送所述分组。
此外,根据本公开,提供了一种通信装置,包括:通信部,其与其他节点执行通信;以及控制部,其控制通过所述通信部的通信,所述控制部删除添加到由发送源节点指向发送目的地节点的分组的报头信息,并使所述通信部发送所述分组,所述报头信息至少包含从位于所述发送源节点的后级的开始节点到位于所述发送目的地节点的前级的通信装置的路径信息。
此外,根据本公开,提供了一种通信装置,包括:通信部,其与其他节点执行通信;以及控制部,其控制通过所述通信部的通信,所述控制部参考报头信息被添加到由发送源节点指向发送目的地节点的分组中的数据来确定下一节点,并且使所述通信部朝向所确定的下一节点发送数据,所述报头信息至少包含位于所述发送源节点后级的开始节点和位于所述发送目的地节点前级的目标节点之间的路径信息。
此外,根据本公开,提供了一种通信装置,包括:通信部,其与其他节点执行通信;以及控制部,其控制通过所述通信部的通信,所述控制部生成开始节点和目标节点之间的路径信息,所述开始节点包括添加至少包含所述开始节点和所述目标节点之间的路径信息的报头信息的节点,所述目标节点包括删除所述报头信息的节点,以及所述开始节点和所述目标节点之间的路径信息至少包含关于与存在于所述开始节点和所述目标节点之间的至少一个中继节点的通信的信息、要由中继节点执行的功能的信息、以及与在所述中继节点上执行所述功能的结果相对应的处理的内容。
此外,根据本公开,提供了一种通信方法,包括:与其他节点执行通信;以及控制与所述其他节点的通信,所述控制包括:向由发送源节点指向发送目的地节点的分组添加报头信息,并将所述分组发送到存在于路径中的其他节点,所述报头信息至少包含位于所述发送源节点后级的开始节点和位于所述发送目的地节点前级的目标节点之间的路径信息。
此外,根据本公开,提供了一种通信方法,包括:与其他节点执行通信;以及控制与所述其他节点的通信,所述控制包括:删除包含在由发送源节点指向发送目的地节点的分组中的报头信息,并朝向所述其他节点发送所述分组,所述报头信息至少包含位于所述发送源节点后级的开始节点和位于所述发送目的地节点前级的目标节点之间的路径信息。
此外,根据本公开,提供了一种通信方法,包括:与其他节点执行通信;以及控制与所述其他节点的通信,所述控制包括:参考报头信息被添加到由发送源节点指向发送目的地节点的分组的数据来确定下一节点,并朝向所确定的下一节点发送所述数据,所述头信息包含位于所述发送源节点后级的开始节点和位于所述发送目的地节点前级的目标节点之间的路径信息。
此外,根据本公开,提供了一种用于通信装置的数据结构,所述通信装置包括:通信部,其与其他节点执行通信,以及控制部,其控制通过所述通信部的通信,所述控制部将报头信息添加到由发送源节点指向发送目的地节点的分组,并使通信部发送所述分组,以及所述报头信息至少包含位于所述发送源节点后级的开始节点和位于所述发送目的地节点前级的目标节点之间的路径信息,所述发送源节点在所述开始节点和所述目标节点之间。
附图说明
图1是示出SFC的架构示例的说明图。
图2是示出在本公开的实施例中提出的AFC的架构的说明图。
图3是示出AFC数据分组的结构的说明图。
图4是示出AF的设置中的安全性措施的说明图。
图5是示出在AFC的设置中的安全性措施的说明图。
图6是示出数据分组转发中的安全性措施的说明图。
图7是示出删除AFC中的安全性措施的说明图。
图8是示出删除AF中的安全性措施的说明图。
图9是示出用于在AF节点上设置AF的过程的说明图。
图10是示出AF设置请求分组的结构示例的说明图。
图11是示出AF设置响应分组的结构示例的说明图。
图12是示出AA请求分组的结构示例的说明图。
图13是示出AA响应分组的结构示例的说明图。
图14是示出AF调用请求分组的结构示例的说明图。
图15是示出AF调用响应分组的结构示例的说明图。
图16是示出Daemon(后台程序)AF表的结构示例的说明图。
图17是示出管理器用户表,管理器AF表和管理器AF节点表的结构示例的说明图。
图18是示出Daemon AF表的结构示例的说明图。
图19是示出Daemon AF表的结构示例的说明图。
图20是示出由AFC管理器保存的表的结构示例的说明图。
图21是示出用于设置AFC-1的过程的说明图。
图22是示出AFC-1的路径的说明图。
图23是示出AFC设置请求分组的结构示例的说明图。
图24是示出AFC设置响应分组的结构示例的说明图。
图25是示出由AFC管理器保持的表的结构示例的说明图。
图26是示出AFC安装请求分组的结构示例的说明图。
图27是示出AFC安装响应分组的结构示例的说明图。
图28是示出由AFC入口(AFC Ingress)保持的表的结构示例的说明图。
图29是示出分组的流程的说明图。
图30是示出数据分组的结构示例的说明图。
图31是示出AFC数据分组的结构示例的说明图。
图32是示出Daemon AFC表的结构示例的说明图。
图33是示出AFC数据分组的报头的结构示例的说明图。
图34是示出AFC数据分组的报头的结构示例的说明图。
图35是示出AFC-2的路径的说明图。
图36是示出AFC设置请求分组的结构示例的说明图。
图37是示出AFC设置响应分组的结构示例的说明图。
图38是示出AFC安装请求分组的结构示例的说明图。
图39是示出AFC安装响应分组的结构示例的说明图。
图40是示出由AFC管理器保持的表的结构示例的说明图。
图41是示出由AFC入口保持的表的结构示例的说明图。
图42是示出数据分组的结构示例的说明图。
图43是示出AFC数据分组的报头的结构示例的说明图。
图44是示出了AFC数据分组的报头的结构示例的说明图。
图45是示出删除AFC的说明图。
图46是示出AFC删除请求分组的结构示例的说明图。
图47是示出AFC删除响应分组的结构示例的说明图。
图48是示出删除AF的说明图。
图49是示出AF删除请求分组的结构示例的说明图。
图50是示出AF删除响应分组的结构示例的说明图。
图51是示出由AFC管理器保持的表的结构示例的说明图。
图52是示出AFC-3的路径的说明图。
图53是示出由AF节点保持的表的结构示例的说明图。
图54是示出由AF节点保持的表的结构示例的说明图。
图55是示出由AF节点保持的表的结构示例的说明图。
图56是示出由AF节点保持的表的结构示例的说明图。
图57是示出由AFC管理器保持的表的结构示例的说明图。
图58是示出AFC设置请求分组的结构示例的说明图。
图59是示出AFC设置响应分组的结构示例的说明图。
图60是示出AFC安装请求分组的结构示例的说明图。
图61是示出AFC安装响应分组的结构示例的说明图。
图62是示出由AFC管理器保持的表的结构示例的说明图。
图63是示出由AFC入口保持的表的结构示例的说明图。
图64是示出通过AFC入口监测AF节点的负载的说明图。
图65是示出负载监测请求分组的结构示例的说明图。
图66是示出负载监测响应分组的结构示例的说明图。
图67是示出入口AF节点表的结构示例的说明图。
图68是示出数据分组的结构示例的说明图。
图69是示出AFC数据分组的结构示例的说明图。
图70是示出了AFC数据分组的结构示例的说明图。
图71是示出了AFC数据分组的结构示例的说明图。
图72是示出AFC中的分组发送示例的说明图。
图73是示出AFC反馈分组的结构示例的说明图。
图74是示出由AFC入口保持的表的结构示例的说明图。
图75是示出了直到超时的时间扩展处理的说明图。
图76是示出超时扩展请求分组的结构示例的说明图。
图77是示出超时扩展响应分组的结构示例的说明图。
图78是示出根据本公开的实施例的被允许充当每个节点的通信装置100的功能配置示例的说明图。
具体实施方式
下面将参照附图详细描述本公开的优选实施例。应当注意,在本说明书和附图中,具有基本相同功能配置的组件由相同的附图标记表示,因此省略其冗余描述。
应当注意,按照以下顺序给出描述。
1.本发明的实施例
1.1.SFC的架构示例
1.2.AFC的具体描述
1.3.通信装置的功能配置示例
2.结论
<1.本公开的实施例>
[1.11.SFC的架构示例]
首先,在详细描述本公开的实施例之前描述SFC的架构示例。图1是NTL 1中公开的SFC的架构示例。
在如图1所示的SFC架构中,应用SFC的范围被称为SFC使能的域。分类器、服务功能转发器(SFF)、服务功能(SF)、服务器等存在于SFC使能域中。
考虑从图1中的因特网访问web服务器的情况。从因特网进入SFC使能域的分组首先到达分类器。分类器从分组的报头确定哪个SF要应用于该分组,将诸如网络服务报头(NSH)的信息插入到分组中,并且此后中继分组。例如,假设仅SF1被应用于该分组的情况。
在SFF1接收到该分组的情况下,SFF1从NSH的内容知道SF1要应用于该分组,并将该分组转发到SF1。SF1处理该分组,并将该分组发送回SFF1。SFF1将该分组转发到SFF2。在该示例中,仅SF1被应用于该分组;因此,从SFF2到SFFn的SFF简单地中继该分组,并且该分组最终到达Web服务器。
在具有这种架构的SFC中,就网络运营商和服务提供商而言,诸如WAF的SF和负载平衡器是可用的。也就是说,根据网络运营商或服务提供商的意图来确定要经受SFC的分组的种类。
相反,下面描述的架构用于在网络中转发分组的服务中,使服务用户期望的一个或多个功能对服务用户期望的分组进行操作。在本实施例中,这种架构被称为应用功能链(AFC),并且在这种AFC架构中操作的功能被称为应用功能(AF)。
[1.2.AFC的具体描述]
图2是示出在本公开的实施例中提出的AFC的架构的说明图。允许AFC的设置的网络域被称为AFC域。称为AFC入口和AFC出口(AFC Egress)的节点位于AFC域的边界处。AFC入口是用作AFC应用到其的数据分组入口AFC域的入口的节点,并且AFC出口是用作AFC域的出口的节点。相同的节点可以作为AFC入口或AFC出口操作。以移动电话网络的核心网络为例,还可以想到eNB、S-GW或P-GW起AFC入口作用的情况。在图2中,仅存在一个AFC入口和仅一个AFC出口;然而,可能存在多个AFC入口和多个AFC出口。
AFC入口和AFC出口中的每一个具有作为用于数据分组的发送和接收的端口的公知端口和用于发送和接收控制分组的端口。AFC管理器是管理AFC域中的AFC的节点。AFC用户是设置AFC域中的AFC的用户。AAA服务器是执行AFC用户的认证和授权的节点。一个或多个AF节点存在于AFC域中。AF节点是AF在其中可执行的节点。
称为AFC Daemon-p的后台进程总是在AF节点上运行。AFC Daemon-p具有公知的端口作为用于发送和接收控制分组的端口。在图2中,未示出AFC Daemon-p。在AFC用户请求调用AF的情况下,AFC Daemon-p调用AFC Daemon作为子进程,并且此后AFC Daemon执行处理。COTS(商用现货)装置是现成的通信装置,并且假设COTS装置能够改变参数等的设置,但是不能改变软件。服务器是COTS装置的通信伙伴。COTS装置上的应用与服务器上的应用通信。
在数据从COTS装置发送到服务器的情况下,AFC入口是本公开的开始节点的示例,并且AFC出口是本公开的目标节点的示例。另外,COTS装置是本公开的发送源节点的示例,并且服务器是本公开的发送目的地节点的示例。
在具有沿着路径的分支和接头的AFC或相同AF位于多个AF节点上的AFC中,转发数据分组的路径对于每个数据分组可以是不同的。数据分组在AFC上实际被转发的路径被称为AFC路径。
(用于COTS装置的AFC操作的概述)
下面(1)至(8)描述了将AFC应用于COTS装置上的应用与服务器上的应用之间的通信的过程的概述。
(1)AFC用户在期望的AF节点上设置要在AFC中使用的一个或多个AF。这项工作被称为AF设置。
(2)AFC用户将设置的AFC拼接成直线或具有分支和接头的形状,以设置AFC。AFC的结构信息由AFC入口保持。这项工作被称为AFC设置。为了从COTS装置上的应用所发送的数据分组中选择要应用AFC的数据分组,使用所谓的5元组(源IP地址、目的地IP地址、协议、源端口号和目的地端口号)。
(3)所述COTS装置上的应用通过TCP/IP或UDP/IP发送数据分组。该分组被称为原始数据分组。原始数据分组到达AFC入口。AFC入口选择要由5元组应用的AFC,并且向接收的数据分组添加IP报头、UDP报头和AFC报头以实现AFC。这个分组被称为AFC数据分组。图3是示出AFC数据分组的结构的说明图。在下文中,“IP报头”和“UDP报头”指示添加到原始数据分组的IP报头和UDP报头。
(4)AFC入口发送AFC数据分组。AFC数据分组经过包括在AFC中的AF节点,并且AF在每个AF节点上被应用于原始数据分组。AFC数据分组然后最终到达AFC出口。
(5)AFC出口从AFC数据分组中删除IP报头、UDP报头和AFC报头,以取出原始数据分组,并发送取出的分组。
(6)原始数据分组最终到达服务器上的应用。
(7)AFC用户删除不再需要的AFC。这个操作被称为AFC删除。
(8)AFC用户删除不再需要的AF。这个操作被称为AF删除。
(控制分组的字段的角色)
在本实施例中使用了以下17种控制分组。控制分组包括AF设置请求分组、AF设置响应分组、AA请求分组、AA响应分组、AF调用请求分组、AF调用响应分组、AFC设置请求分组、AFC设置响应分组、AFC安装请求分组、AFC安装响应分组、AFC删除请求分组、AFC删除响应分组、AF删除请求分组、AF删除响应分组、负载监测请求分组、负载监测响应分组和反馈分组。
控制分组的每个字段具有以下角色。类型字段指示分组类型。分组类型被广义地分类为请求操作的请求分组和作为对请求分组的响应分组。用户ID字段指示AFC用户的标识符。用户凭证指示用于AFC用户的认证和授权的信息。用于认证和授权的信息的示例包括用户名和密码。AF节点IP地址字段指示AF节点的IP地址。在本实施例中,假设AF作为可执行文件存储在AF节点中。AF文件名字段指示AF可执行文件名。AF参数字段指示调用AF中的参数。状态字段指示对由请求分组指示的处理请求的处理结果。AF ID字段指示AF的标识符。AFC Daemon数据端口字段指示AFC Daemon发送和接收AFC数据分组的端口号。AFC Daemon控制端口字段指示AFC Daemon发送和接收控制分组的端口号。
以下五个字段是用于选择要应用AFC的原始数据分组的匹配字段。源IP地址字段指示源IP地址。目的地IP地址字段指示目的地IP地址。协议字段指示一种传送层协议。源端口字段指示源端口号。目的地端口字段指示目的地端口号。
入口IP地址字段指示AFC入口的IP地址。出口IP地址字段指示AFC出口的IP地址。AF的数量(No of AF)字段指示包括在AFC中的AF的数量。
AF会话密钥字段指示关于由AFC用户设置的AF的密钥信息,该密钥信息由AFC用户、AFC管理器、AFC入口和AFC Daemon共享。AF证书字段指示从AF会话密钥产生的证书信息。下一索引长度字段指示下一索引字段的长度。下一索引字段指示AFC中包括的AF的要应用的下一AF的索引(表示AFC中的顺序的编号,从0开始)。
AFC会话密钥字段指示关于由AFC用户设置的AFC的密钥信息,该密钥信息由AFC用户、AFC管理器和AFC入口共享。AFC证书字段指示从AFC会话密钥产生的证书信息。负载字段指示AF节点的负载。输入时间戳(In Timestamp)字段指示AF节点接收AFC数据分组的时间。输出时间戳(Out Timestamp)字段指示AF节点发送AFC数据分组的时间。入口输出时间戳字段指示AFC入口发送AFC数据分组的时间。时间戳字段中的出口指示AFC出口接收AFC数据分组的时间。
(AFC报头的字段的角色)
AFC中的数据分组的报头包括IP报头、UDP报头和AFC报头。在本实施例中,对于IP报头,注意力仅集中在源IP地址(Src IP)字段和目的地IP地址(Dst IP)字段。对于UDP报头,注意力仅集中在源端口(Src Port)字段和目的地端口(Dst Port)字段。
AFC报头包括以下字段。AFC ID字段指示AFC的标识符。序列号字段指示AFC数据分组的序列号。序列号被分配给每个AFC。入口输出时间戳字段指示AFC入口发送AFC数据分组的时间。可以在标志字段中设置各种标志。在本实施例中,仅定义反馈标志。在AFC出口接收到设置有反馈标志的AFC数据分组的情况下,AFC出口将AFC反馈分组发送到AFC入口。AF的数量字段指示包括在AFC中的AF的数量。AF索引字段指示要应用的下一个AF的索引(从0开始)。AF节点IP地址字段指示AF节点的IP地址。Daemon数据端口字段指示AFC Daemon用于AFC数据分组的发送和接收的端口号。AF ID字段指示AF的标识符。AF证书字段指示从关于由AFC用户设置的AF的密钥信息生成的证书信息,该密钥信息由AFC用户和AFC Daemon共享。下一索引长度字段指示下一索引字段的长度。下一索引字段指示要应用的下一AF的索引。该字段包括一对“条件表达式:AF的索引”。输入时间戳字段指示AF节点接收AFC数据分组的时间。输出时间戳字段指示AF节点发送AFC数据分组的时间。出口IP地址指示AFC出口的IP地址。出口数据端口字段指示AFC出口接收AFC数据分组的端口号。
(管理表的字段的角色)
AFC Daemon保持Daemon AF表和Daemon AFC表作为管理表。AFC管理器保持管理器用户表、管理器AFC表、管理器AF表、管理器AF列表和管理器AF节点表作为管理表。AFC入口保持入口AFC表、入口AF表、入口AF节点表、入口AFC路径列表、入口AFC路径列表条目、以及入口AF节点TS表作为管理表。
管理表的每个字段具有以下角色。指针到下一用户表(ptr to next User Table)字段指示指向其他用户表的指针。指针到AF表(ptr to AF Table)字段指示指向其他AF表的指针。指针到下一AF表(ptr to next AF Table)字段指示指向其他AF表的指针。用户ID字段指示AFC用户的标识符。生存时间字段指示直到与AFC用户相关的设置信息超时为止的时间。AF ID字段指示AF的标识符。AF输入端口(AF In Port)字段指示在原始数据分组被输入到AF中的情况下使用的端口号。AF输出端口(AF Out Port)字段指示在从AF接收处理后的原始数据分组的情况下使用的端口号。AFC会话密钥指示关于由AFC用户设置的AFC的密钥信息,该密钥信息由AFC用户和AFC管理器共享。AF会话密钥字段指示关于由AFC用户设置的AF的密钥信息,该密钥信息由AFC用户、AFC管理器、AFC入口和AFC Daemon共享。AF节点IP地址字段指示AF节点的IP地址。Daemon数据端口字段指示AFC Daemon用于AFC数据分组的发送和接收的端口号。Daemon控制端口字段指示AFC Daemon用于发送和接收控制分组的端口号。入口IP地址字段指示AFC入口的IP地址。出口IP地址字段指示AFC出口的IP地址。序列号字段指示最近接收的AFC数据分组的序列号。下一索引长度字段指示下一索引字段的长度。下一索引字段指示要应用的下一AF的索引。该字段包括一对“条件表达式:AF的索引”。负载字段指示AF节点的负载。指针到下一AFC路径列表(ptr to Next AFC Path ListTable)字段指示指向其他AFC路径列表的指针。指针到AFC路径列表条目(ptr to AFC PathList Entry)字段指示指向AFC路径列表条目的指针。AFC路径ID字段指示AFC路径的标识符。指针到下一AFC路径列表条目(ptr to next AFC Path List Entry)字段指示指向其他AFC路径列表条目的指针。指针到AF节点TS表(ptr to AF Node TS Table)字段指示指向AF节点TS表的指针。入口输出时间戳字段指示AFC入口发送AFC数据分组的时间。出口输入时间戳字段指示AFC出口接收AFC数据分组的时间。指针到下一AF节点TS表(ptr to next AFNode TS Table)字段指示到其他AF节点TS表的指针。输入时间戳字段指示AF节点接收AFC数据分组的时间。输出时间戳字段指示AF节点发送AFC数据分组的时间。
(安全性措施)
在本实施例中,假设以下内容来保持安全性。假设预先在AFC管理器和AAA服务器之间设置安全通信路径,诸如TLS(传送层安全)。假设可以根据需要在AFC用户和AFC管理器之间、在AFC管理器和AFC入口之间、在AFC入口和AFC出口之间、以及在AFC管理器和AF节点之间设置TLS连接。此外,假设COTS装置中的参数设置使得可以通过诸如Wi-Fi中的WPA2(Wi-Fi保护接入2)的认证系统在COTS装置与AFC入口之间建立安全通信路径。
图4是示出AF的设置中的安全性措施的说明图。AFC用户建立与AFC管理器的TSL连接(步骤S101)。在AFC用户在AF节点上设置AF的情况下,AF用户将包括认证/授权信息(用户凭证)的AF设置请求分组(AF设置请求分组)发送到AFC管理器(步骤S102)。
AFC管理器将包括用户凭证的认证/授权请求分组(AA请求分组)发送到AAA服务器(步骤S103)。AAA服务器验证用户凭证,并且执行AFC用户的认证和授权(步骤S104)。AFC用户的认证和授权包括AFC用户的真实性的验证和AFC用户是否具有在特定AF节点上设置和使用特定AF的权限的验证。
AAA服务器向AFC管理器返回认证和授权的结果(步骤S105)。在认证和授权已经成功的情况下,AFC管理器生成AF会话密钥(步骤S106)。AF会话密钥可通过任何方法来生成。AF会话密钥可包括例如具有任何长度的随机数。
随后,AFC管理器建立与AFC Daemon的TLS连接(步骤S107)。AFC管理器将包括AF会话密钥的AF调用请求分组(AF调用请求分组)发送至AFC Daemon(步骤S108)。
AFC Daemon调用指定的AF(图4中未示出)。AFC Daemon随后存储AF会话密钥以共享AF会话密钥(步骤S109)。
AFC Daemon将AF的调用结果返回给AFC管理器(步骤S110)。随后,AFC管理器断开与AFC Daemon的TLS连接(步骤S111)。
随后,AFC管理器将包括AF会话密钥和AF的设置结果的分组(AF设置响应分组)返回给AFC用户(步骤S112)。AFC用户断开与AFC管理器的TLS连接(步骤S113)。AFC用户随后存储AF会话密钥以共享AF会话密钥(步骤S114)。
仅允许如上所述具有权限的AFC用户设置和使用AF。关于具有设置及使用AF的权限的AFC用户的信息由AFC用户、AFC管理器、及AFC Daemon共享为AF共享密钥。为每个设置的AF产生AF会话密钥。
(AFC设置中的安全性措施)
接下来,给出AFC设置中的安全性措施的描述。图5是示出AFC设置中的安全性措施的说明图。
对于要设置的AFC中包括的所有AF,通过图4所示的处理,AFC用户和AFC管理器共享AF会话密钥(步骤S121)。
AFC用户建立与AFC管理器的TLS连接(步骤S122)。随后,AFC用户将包括与包括在AFC中的所有AF相关的AF证书的AFC设置请求分组(AFC设置请求分组)发送到AFC管理器(步骤S123)。AF证书是从AF会话密钥产生的证书信息。可想到的生成AF证书的方法的示例包括AF证书是通过使散列函数对其中AF的标识符和AF会话密钥被链接的比特串进行操作而得到的比特串的方法等。
AFC管理器利用AFC管理器所持有的AF会话密钥来验证AFC设置请求中包括的所有AF的AF证书(步骤S124)。在包括在AFC设置请求中的所有AF的AF证书的验证已经成功的情况下,AFC管理器生成AFC会话密钥(步骤S125)。AFC会话密钥可由任何方法产生。AFC会话密钥可包括例如具有任何长度的随机数。
随后,AFC管理器建立与AFC入口的TLS连接(步骤S126)。AFC管理器随后将包括AF会话密钥和与AFC设置请求中包括的所有AF相关的AFC会话密钥的AFC设置请求分组(AFC安装请求分组)发送到AFC入口(步骤S127)。
AFC入口存储AFC设置信息(图5中未显示),并存储AF会话密钥和与AFC中包括的所有AF相关的AFC会话密钥,以共享AF会话密钥(步骤S128)。
随后,AFC入口将AFC设置处理的结果返回给AFC管理器(步骤S129)。AFC管理器断开与AFC入口的TLS连接(步骤S130)。
AFC管理器将包括AFC设置处理结果和AFC会话密钥的分组(AFC设置响应分组)返回给AFC用户(步骤S131)。AFC用户断开与AFC管理器的TLS连接(步骤S132)。AFC用户随后存储AFC会话密钥以共享AF会话密钥(步骤S133)。
在AFC用户如上所述设置AFC的情况下,确认AFC用户的权限。AFC会话密钥是为每个AFC生成的,并且由AFC用户、AFC管理器和AFC入口共享。此外,除了AFC用户、AFC管理器、以及AFC Daemon之外,AF会话密钥也被AFC入口共享。
(数据分组转发中的安全性措施)
接下来,将描述数据分组转发中的安全性措施。图6是示出数据分组转发中的安全性措施的说明图。
通过图4和图5所示的处理,AFC用户、AFC Daemon和AFC入口共享与AFC中包括的每个AF相关的AF会话密钥(步骤S141)。
COTS装置发送原始数据分组(步骤S142)。在AFC入口接收原始数据分组并发送AFC数据分组的情况下,AFC入口从与AFC中包括的每个AF相关的AF会话密钥生成AF证书,并将AF证书包括在AFC报头中(步骤S143)。可想到的生成AF证书的方法的示例包括AF证书是通过使散列函数对其中序列号、AF的标识符和AF会话密钥被链接的比特串进行操作而得到的比特串的方法等。
随后,AFC入口将AFC数据分组发送至AFC Daemon(步骤S144)。AFC Daemon验证与要在AFC Daemon上操作的AF相关的AF证书(步骤S145)。在验证成功的情况下,AFC Daemon将AF应用于AFC数据分组(图6中未示出)。AFC Daemon将AFC数据分组转发到下一个AFCDaemon(步骤S146)。
从那时起,在AFC路径中执行类似的处理。即使无效节点伪造无效AFC数据分组并将无效AFC数据分组发送到AF节点,上述处理也使得AFC Daemon能够检测到发送的AFC数据分组是无效AFC数据分组。在AFC入口接收原始数据分组并发送AFC数据分组的情况下,AFC入口增加每个分组的序列号,并将该序列号包括在AFC报头中。序列号被分配给每个AFC。同时,AFC Daemon记录接收到的AFC数据分组的序列号。因此,即使无效节点截取并存储了有效AFC数据分组,并且此后发送了所截取的分组(重放攻击),AFC Daemon也能够检测到该重放攻击。如上所述在生成AF证书时使用序列号使得还可以检测伪造的序列号。
(AFC删除中的安全性措施)
接下来,给出对AFC删除中的安全性措施的描述。图7是示出AFC删除中的安全性措施的说明图。
AFC用户、AFC管理器和AFC入口通过图5中所示的处理共享与要被删除的AFC相关的AFC会话密钥(步骤S151)。
AFC用户将包括AFC证书的AFC删除请求分组(AFC删除请求分组)发送到AFC管理器(步骤S152)。可想到的生成AFC证书的方法的示例包括AFC证书是通过使散列函数对其中AFC的标识符和AFC会话密钥被链接的比特串进行操作而得到的比特串的方法等。
AFC管理器验证AFC证书并确认AFC用户具有与目标AFC相关的权限(步骤S153)。接下来,AFC管理器将AFC删除请求分组转发到AFC入口(步骤S154)。
AFC入口验证AFC证书(步骤S155),并确认AFC用户具有与目标AFC相关的权限,并删除AFC的设置(图7中未示出)。随后,AFC入口将响应分组发送回AFC管理器(步骤S156)。AFC管理器将响应数据分组转发至AFC用户(步骤S157)。如上所述,只有具有权限的AFC用户被允许删除AFC。
(AF删除中的安全性措施)
接下来,给出对AF删除中的安全性措施的描述。图8是示出AF删除中的安全性措施的说明图。
AFC用户、AFC管理器、以及AFC Daemon通过图4所示的处理(步骤S161)共享与待删除的AF相关的AF会话密钥。
AFC用户将包括与要删除的AF相关的AF证书的AF删除请求分组(AF删除请求分组)发送到AFC管理器(步骤S162)。可想到的生成AF证书的方法的示例包括AF证书是通过使散列函数对其中AF的标识符和AF会话密钥被链接的比特串进行操作而得到的比特串的方法等。
AFC管理器利用AF会话密钥来验证AF证书(步骤S163),并且在验证成功的情况下,删除相关信息(图8中未示出)。随后,AFC管理器将AF删除请求分组转发到AFC Daemon(步骤S164)。
AFC Daemon利用AF共享密钥来验证AF证书(步骤S165),并且在验证成功的情况下,AF被删除,并且相关信息被删除(图8中未示出)。AFC入口将响应分组返回给AFC管理器(步骤S166)。AFC管理器将响应分组转发到AFC用户(步骤S167)。如上所述,仅具有权限的AFC用户被允许删除AF。
(AF节点-1上的AF-1的设置)
接下来,给出特定AF节点(称为AF节点-1)上的AF(AF-1)的设置的描述。图9是示出AFC用户-1设置AF节点-1上的AF-1的过程的说明图。AFC用户-1的标识符是USRID-1。AFC用户-1的凭证是USRCred-usr1。AF-1的可执行文件名为FName-af1。执行AF-1时的参数是Param-af1。AF节点-1的IP地址是IP-afn1。
首先,AFC用户-1建立与AFC管理器的TLS连接(步骤S171)。
随后,AFC用户-1将图10所示的AF设置请求分组发送至AFC管理器(步骤S172)。AF设置请求分组的每个字段的值如下。“AF设置请求”被设置到类型字段。USRID-1被设置到用户ID字段。USRCred-usr1被设置到用户凭证字段。IP-afn1被设置到AF节点IP地址字段。FName-af1被设置到AF文件名字段。将Param-af1设置到AF参数字段。
在AFC管理器接收到AF设置请求分组的情况下,AFC管理器将图12所示的AA请求分组发送到AAA服务器(步骤S173)。AA请求分组的每个字段的值如下。“AA请求”被设置到类型字段。作为AF设置请求分组的用户ID字段的值的USRID-1被设置到用户ID字段。作为AF设置请求分组的用户凭证字段的值的USRCred-usr1被设置到用户凭证字段。作为AF设置请求分组的AF节点IP地址字段的值的IP-afn1被设置成AF节点IP地址字段。作为AF设置请求分组的AF文件名字段的值的FName-af1被设置到AF文件名字段。
在AAA服务器接收到AA请求分组的情况下,AAA服务器利用用户凭证字段的值来确认用户-1是否具有调用AF节点-1上的AF-1的权限。在确认成功的情况下,AA服务器向AFC管理器发送图13中所示的AA响应分组(步骤S174)。AA响应分组的每个字段的值如下。“AA响应”被设置到类型字段。指示认证和授权成功的“OK”被设置到状态字段。作为AA请求分组的用户ID字段的值的USRID-1被设置到用户ID字段。
在AFC管理器接收到AA响应分组的情况下,AFC管理器从AF设置请求分组的AF节点IP地址字段知道AF节点-1的IP地址,并开始建立与AF节点-1上的AFC Daemon-1-p的TLS连接的处理(步骤S175)。在AFC Daemon-1-p接收到TLS连接建立请求的情况下,AFC Daemon-1-p生成作为子过程的AFC Daemon-1(步骤S176)。AFC Daemon-1执行后续处理。结果,在AFC管理器和AFC Daemon-1之间建立TLS连接(步骤S177)。
随后,AFC管理器将AFID-1作为标识符分配给AF-1,并产生AFKey-af1作为与AF-1相关的会话密钥。接下来,AFC管理器将图14所示的AF调用请求分组发送至AFC Daemon-1(步骤S178)。AF调用请求分组的每个字段的值如下。“AF调用请求”被设置到类型字段。作为AF设置请求分组的用户ID字段的值的USRID-1被设置到用户ID字段。AFID-1被设置到AF ID字段。AFKey-af1被设为AF会话密钥字段。作为AF设置请求分组的AF文件名字段的值的FName-af1被设置到AF文件名字段。作为AF设置请求分组的AF参数字段的值的Param-af1被设置到AF参数字段。
在AFC Daemon-1接收到AF调用请求分组的情况下,AFC Daemon-1调用由AF文件名字段指定的可执行文件,并将该可执行文件视为AF-1(步骤S179)。此时,AFC Daemon-1将AF-1的标准输入和标准输出分别耦合到作为AFC Daemon-1端口的InPt-af1和OutPt-af1。接下来,AFC Daemon-1产生DPt-afcd1作为用于发送和接收AFC数据分组的端口,并产生CPt-afcd1作为用于发送和接收控制分组的端口。
接下来,AFC Daemon-1创建图16所示的Daemon AF表。Daemon AF表的每个字段的值如下。[空值]被设置到指针到下一AF表字段。作为AF调用请求分组的AF ID字段的值的AFID-1被设置到AF ID字段。InPt-af1被设置到AF输入端口字段(AF In Port field)。OutPt-af1被设置到AF输出端口字段(AF Out Port field)。作为AF调用请求分组的USERID字段的值的USRID-1被设置到用户ID字段。作为AF调用请求分组的AF会话密钥字段的值的AFKey-af1被设置到AF会话密钥字段。
接下来,AFC Daemon-1将图15所示的AF调用响应分组发送到AFC管理器(步骤S180)。AF调用响应分组的每个字段的值如下。“AF调用响应”被设置到类型字段。指示处理成功的“OK”被设置到状态字段。作为AF调用请求分组的用户ID字段的值的USRID-1被设置到用户ID字段。作为AF调用请求分组的AF ID字段的值的AFID-1被设置到AF ID字段。DPt-afcd1被设置到AFC Daemon数据端口字段。CPt-afcd1被设置到AFC Daemon数据端口字段。
在AFC管理器接收到AF调用响应分组的情况下,AFC管理器创建图17中所示的管理器用户表、管理器AF表和管理器AF节点表。
管理器用户表的每个字段的值如下。[空值]被设置到指针到下一用户表。作为AF设置请求分组的用户ID字段的值的USRID-1被设置到用户ID字段。作为直到AFC用户-1的设置信息超时的时间的TTL-usr1被设置到生存时间字段。指向AF表的指针被设置到指针到AF表字段。[空值]被设置到指针到AFC表字段。
管理器AF表的每个字段的值如下。[空值]被设置到指针到下一AF表。AFID-1被设置到AF ID字段。AFKey-af1被设到AF会话密钥字段。指向管理器AF节点表的指针被设置到指针到AF节点表字段。
管理器AF节点表的每个字段的值如下。[空值]被设置到指针到下一AF节点表。作为AF设置请求分组的AF节点IP地址字段的值的IP-afn1被设置到AF节点IP地址字段。作为AF调用响应分组的Daemon数据端口字段的值的DPt-afcd1被设置到Daemon数据端口字段。作为AF调用响应分组的Daemon控制端口字段的值的CPt-afcd1被设置到Daemon控制端口字段。
在AFC管理器接收到AF调用响应分组的情况下,AFC管理器断开与AFC Daemon-1的TLS连接(步骤S181)。
随后,AFC管理器将图11所示的AF设置响应分组发送到AFC用户-1(步骤S182)。AF设置响应分组的每个字段的值如下。“AF设置响应”被设置到类型字段。指示处理成功的“OK”被设置到状态字段。作为AF设置请求分组的用户ID字段的值的USRID-1被设置到用户ID字段。作为AF调用响应分组的AF ID字段的值的AFID-1被设置到AF ID字段。AFKey-AF1被设置到AF会话密钥字段。
在AFC用户-1接收到AF设置响应分组的情况下,AFC用户-1断开与AFC管理器的TLS连接(步骤S183)。
(AF节点2上的AF-2的设置和AF节点3上的AF-3的设置)
接下来,假设AFC用户-1通过与上述过程类似的过程在设置AF节点-2上的AF-2并设置AF节点-3上的AF-3。AF-2的可执行文件名为FName-af2。执行AF-2的参数是Param-af2。假设分配AFID-2作为AF-2的标识符。AF节点-2的IP地址是IP-afn2。在AF节点2上操作的AFDDaemon是AFC Daemon-2。假设InPt-af2和OutPt-af2被分配为端口,在该端口中AFCDaemon-2与AF-2交换数据。假设AFKey-af2被生成为AF-2的AF会话密钥。AF-3的可执行文件名是FName-af3。执行AF-3的参数是Param-af3。假设分配AFID-3作为AF-3的标识符。AF节点-3的IP地址是IP-afn3。在AF节点3上操作的AFC Daemon是AFC Daemon-3。假设InPt-af3和OutPt-af3被分配为端口,在该端口中AFC Daemon-3与AF-3交换数据。假设AFKey-af3被生成为AF-3的AF会话密钥。
接下来,AFC节点-2上的AFC Daemon-2和AFC节点-3上的AFC Daemon-3分别保持图18和图19所示的Daemon AF表。此外,AFC管理器保持图20所示的表。除了图17中所示的表之外,图20还示出AF-2的管理器AF表、AF-3的管理器AF表、AF节点-2的管理器AF节点表以及AF节点-3的管理器AF节点表。
(线性AFC的设置:AFC-1)
此时,AFC用户-1已经设置了AF-1、AF-2和AF-3。COTS装置与之通信的服务器的IP地址是IP-svr,并且服务器上的应用所使用的端口号是Pt-svr。AFC入口的IP地址是IP-ingress。AFC出口的IP地址是IP-egress。假设AFC用户-1期望将AF1→AF3的线性AFC(称为AFC-1)应用于其中目的地IP地址是IP-svr且目的地端口号是Pt-svr的数据分组。图21是示出用于设置AFC-1的过程的说明图。图22是示出AFC-1的路径的说明图。
AFC用户-1建立与AFC管理器的TLS连接(步骤S191)。
AFC用户-1将图23所示的AFC设置请求分组发送到AFC管理器(步骤S192)。AFC设置请求分组的每个字段的值如下。“AFC设置请求”被设置到类型字段。USERID-1被设置到用户ID字段。这之后的五个字段是匹配字段,用于识别AFC将被应用到的原始数据分组。在原始数据分组的相应字段的值与匹配字段的所有值一致的情况下,AFC被应用于原始数据分组。源IP地址字段的值是[任意];因此,原始数据分组的源IP地址的任何值都满足条件。目的地IP地址字段的值是IP-svr;因此,仅在原始数据分组的目的地IP地址的值是IP-svr的情况下满足条件。源端口字段的值是[任意];因此,原始数据分组的任意源端口号满足条件。目的地端口字段的值是Pt-svr;因此,仅在原始数据分组的目的地端口号是Pt-Svr的情况下满足条件。协议字段的值是UDP;因此,只有在数据分组的传送层协议是UDP的情况下才满足条件。接下来,作为AFC入口的IP地址的IP-ingress被设置到入口IP地址字段。作为AFC出口的IP地址的IP-egress被设置到出口IP地址字段。作为包括在AFC中的AF的数量的2被设置到AF的数量字段。在此之后的四个字段包括关于AF-1的信息。AFID-1被设置到AF ID字段。作为使用AFkey-af1生成的证书信息的AFCert-af1被设置到AF证书字段。指示下一索引字段的长度的CondLen-1被设置到下一索引长度字段。在下一索引字段中,表示下一个是索引为1的AF(AF-3),而与AF-1的执行结果无关。在此之后的四个字段包括关于AF-3的信息。将AFID-3设置到AF ID字段。作为使用AFKey-af3生成的证书信息的AFCert-af3被设置到AF证书字段。指示下一索引字段的长度的CondLen-3被设置到下一索引长度字段。不管AF-3的执行结果如何,下一索引字段的值指示下一个是索引为2的AF。该值等于AF的数量字段的值;因此,索引为2指示AFC出口。
在AFC管理器从AFC用户-1接收AFC设置请求分组的情况下,AFC管理器根据与AF-1相关的AF证书字段的值和与AF-3相关的AF证书字段的值确认AFC用户-1具有使用AF-1和AF-3的权限。接下来,AFC管理器将AFCID-1作为标识符分配给从此时起将要设置的AFC(AFC-1)。此外,AFC管理器生成AFCSKey-afc1,其为与AFC用户-1共享的关于AFC-1的关键信息。
接下来,AFC管理器保持图25所示的表、该表除了图20所示的表之外还包括管理器AFC表和管理器AF列表。管理器AFC表的每个字段的值如下。[空值]被设置到指针到下一AFC表字段。AFCID-1被设置到AFC ID字段。IP-ingress被设置到入口IP地址字段。AFCKey-afc1被设置到AFC会话密钥字段。指向管理器AF列表的指针被设置到指针到AF列表字段。管理器AF列表的每个字段的值如下。作为AFC设置请求分组的AF的数量字段的值的2被设置为AF的数量字段的值。随后,作为AFC设置请求分组的两个AF ID字段的值的AFID-1和AFID-3被设置为两个随后的字段。
接下来,AFC管理器建立与AFC入口的TLS连接(步骤S193)。
接下来,AFC管理器将图26所示的AFC安装请求分组发送到AFC入口(步骤S194)。AFC安装请求分组的每个字段的值如下。“AFC安装请求”被设置到类型字段。将作为AFC设置请求分组的用户ID字段的值的USRID-1设置到用户ID字段。AFCID-1被设置到AFC ID字段。AFCKey-afc1被设置到AFC会话密钥字段。随手的五个字段是匹配字段,用于识别要应用AFC的数据分组。AFC设置请求分组的相应字段的值被设置到这些字段。IP-ingress被设置到入口IP地址字段。IP-egress被设置到出口IP地址字段。作为AFC设置请求分组的AF的数量字段的值的2被设置到AF的数量字段。在此之后的八个字段是关于AF-1的信息。AFID-1被设置到AF ID字段。作为图20所示表格中与AF-1相关的管理器AF表的AF会话密钥字段的值AFSKey-af1被设置为AF会话密钥字段。接收到的AFC设置请求分组的相应字段的值被设置为下一索引长度字段的值和下一索引字段的值。AF节点的数量字段表示在其上设置AF-1的AF节点的数量。在该示例中,设置1。作为图20中所示的表中的与AF-1相关的管理器AF节点表的AF节点IP地址字段的值的IP-afn1被设置到AF节点IP地址字段。作为图20中所示的表中的与AF-1相关的管理器AF节点表的Daemon数据端口字段的值的DPt-afcd1被设置为AFCDaemon数据端口字段。作为图20所示的表中的与AF-1相关的管理器AF节点表的Daemon控制端口字段的值的CPt-afcd1被设置为AFC Daemon控制端口字段。在此之后的八个字段是关于AF-3的信息。与关于AF-1的信息类似的信息被设置到这些字段。
在AFC入口接收到AFC安装请求分组的情况下,AFC入口保持图28中所示的入口AFC表、入口AF表和入口AF节点表。将入口AFC表分配给每个AFC。[空值]被设置到指针到下一AFC表字段。AFC安装请求分组的相应字段的值被设置到从AFC ID字段到AFC会话密钥字段的字段。将0设置为序列号字段的初始值。指向与包括在AFC中的第一AF相关的入口AF表的指针被设置到指针到AF表字段。将入口AF表分配给每个AF。在该示例中,将入口AF表分配给AF-1和AF-3中的每一个。入口AF表的每个字段的值如下。将指向AF-3的入口AF表的指针设置到指针到AF-1的入口AF表的指针到下一AF表字段。[空值]被设置到AF-3的入口AF表的指针到下一AF表字段。AFC安装请求分组的相应字段的值被设置到从AF ID字段到下一索引字段的字段。入口AF节点表被分配给每个AF节点。在该示例中,入口AF节点表被分配给AF节点-1和AF节点-3中的每个。每个字段的值如下。[空值]被设置到指针到下一AF节点表字段。AFC安装请求分组的相应字段的值被设置到从AF节点IP地址字段到Daemon控制端口字段的字段。在该时间点,负载字段的值是未定义的([undef])。
接下来,AFC入口向AFC管理器发送图27中所示的AFC安装响应分组(步骤S195)。AFC安装响应分组的每个字段的值如下。“AFC安装响应”被设置到类型字段。指示处理成功的“OK”被设置到状态字段。作为AFC安装请求分组的用户ID字段的值的USRID-1被设置到用户ID字段。作为AFC安装请求分组的AFC ID字段的值的AFCID-1被设置到AFC ID字段。
在AFC管理器接收到AF安装响应分组的情况下,AFC管理器断开与AFC入口的TLS连接(步骤S196)。
接下来,AFC管理器将图24所示的AFC设置响应分组发送到AFC用户-1(步骤S197)。AFC设置响应分组的每个字段的值如下。“AFC设置响应”被设置到类型字段。指示处理成功的“OK”被设置到状态字段。作为AFC设置请求分组的用户ID字段的值的USRID-1被设置到用户ID字段。作为AFC设置请求分组的AFC ID字段的值的AFCID-1被设置到AFC ID字段。AFCKey-afc1被设置到AFC会话密钥字段。
在AFC用户-1从AFC管理器接收到AFC设置响应分组的情况下,AFC用户-1断开与AFC管理器的TLS连接(步骤S198)。
(AFC-1应用于数据分组)
接下来,假设在图22中,COTS装置上的应用将图30中所示的原始数据分组发送到服务器上的应用。图29是在COTS装置上的应用将图30所示的原始数据分组发送给服务器上的应用的情况下的分组的流的说明图。假设COTS装置的IP地址是IP-cots,并且COTS装置上的应用所使用的端口号是Pt-cots。假设服务器的IP地址是IP-svr,并且服务器上的应用所使用的端口号是Pt-svr。在图30中,在IP报头中仅示出了源IP地址字段和目的地IP地址字段,并且在UDP报头中仅示出了源端口字段和目的地端口字段。
首先,COTS装置上的应用发送原始数据分组(步骤S201)。
在AFC入口接收到从COTS装置上的应用发送的原始数据分组的情况下,AFC入口将图28所示的入口AFC表的匹配字段的值与接收到的数据分组的字段进行比较。结果,发现该原始数据分组与AFC ID字段的值是AFCID-1的入口AFC表匹配;因此,AFC入口将IP报头、UDP报头和AFC报头添加到如图31所示的原始数据分组的报头,以生成AFC数据分组。在IP报头中,作为AFC入口的IP地址的IP-ingress被设置到Src IP字段。作为图28中左下示出的入口AF节点表的AF节点IP地址字段的值的IP-afn1被设置到Dst IP字段。在UDP报头中,作为AFC入口的数据分组的端口号的DPt-ingress被设置到Src端口字段。作为图28中左下示出的入口AF节点表的Daemon数据的值的DPt-afcd1被设置到端口字段Dst端口字段。参考图28中所示的表,AFC报头的每个字段的值被如下设置。作为入口AFC表的AFC ID字段值的AFCID-1被设置到AFC ID字段。将入口AFC表的序列号字段的值设置为序列号字段,并且增加入口AFC表的序列号字段的值。AFC入口发送AFC数据分组的时间被设置到入口输出时间戳字段。作为入口AFC表的AF的数量字段的值的2被设置到AF的数量字段。0被设置到AF索引字段。这之后的八个字段与AF-1相关。入口AF节点表的相应字段的值被设置到AF节点IP地址字段和AFC Daemon数据端口字段。将入口AF表的相应字段的值设置到AF ID字段、下一索引长度字段和下一索引字段。使用入口AF表的AF会话密钥字段生成的AF证书被设置到AF证书字段。输入时间戳字段和输出时间戳字段的值是未定义的([undef])。与AF-2相关的字段的值被类似地设置。上述AFC数据分组根据IP报头的目的地地址和UDP报头的目的地端口号到达AFC Daemon-1(步骤S202)。
AFC报头的AF索引字段的值为0,这使得AFC Daemon-1识别出其标识符为AFID-1的AF(AF-1)将被应用于包括在所接收的AFC数据分组中的原始数据分组。AFC Daemon-1利用图16所示的AF表的AF会话密钥字段的值来计算AF证书,并将该值与AFC报头的AF证书字段的值进行比较。在这些值彼此一致的情况下,可以确认该数据分组是AFC将被应用到的正常分组。在AFC Daemon-1识别出数据分组是要应用AFC的正常分组的情况下,AFC Daemon-1调用AF-1。
接下来,AFC Daemon-1检索Daemon AFC表,但AFC Daemon-1在该时间点不保持Daemon AFC表。因此,AFC Daemon-1创建图32所示的Daemon AFC表。每个字段的值如下。[空值]被设置到指针到下一AFC表字段。作为AFC报头的AFC ID字段值的AFCID-1被设置为AFCID字段。作为AFC报头的序列号字段的值的Seq-afc1被设置到序列号字段。如果与由AFC报头的AFC ID字段的值所指示的AFC相关的Daemon AFC表已经存在,并且AFC报头的序列号字段的值等于或小于Daemon AFC表的序列号字段的值,则确定所接收的AFC数据分组是来自重放攻击的分组,并且AFC Daemon-1丢弃所接收的AFC数据分组。
接下来,AFC Daemon-1从由图16所示的Daemon AF表的AF输入端口字段所指示的端口,将接收到的原始数据分组输入到被调用的AF-1中(步骤S203)。接下来,AFC Daemon-1从由Daemon AF表的AF out Port字段指示的端口接收由AF-1处理的原始数据分组。AFC报头的下一索引字段的值指定下一AF的索引为1(AF-3),而不管AF-1的执行结果如何,这使得AFC Daemon-1知道下一AF是AF-3。AFC Daemon-1参照与AFC报头的AF-3有关的字段,将作为与AFC报头的AF-3有关的AF节点IP地址字段的值的IP-afn3设置到IP报头的Dst IP字段。此外,AFC Daemon-1将作为与AFC报头的AF-3相关的AFC Daemon数据端口字段的值的DPt-afcd3设置到UDP报头的Dst端口字段。此外,AFC Daemon-1增加AF索引字段的值。结果,AFC数据分组的报头变为如图33所示的报头。
接下来,AFC Daemon-1发送该AFC数据分组(步骤S204)。此时,AFC Daemon-1将接收到AFC数据分组时的时间设置到与AFC报头的AF-1相关的输入时间戳字段,并将发送AFC数据分组时的时间设置到输出时间戳字段。根据IP报头的目的地址和UDP报头的目的地端口号,该AFC数据分组到达AFC Daemon-3。
AFC数据分组的AFC报头的AF索引字段的值为1,这使得AFC Daemon-3识别出其标识符为AFID-3的AF(AF-3)将被应用于包括在所接收的AFC数据分组中的原始数据分组。AFCDaemon-3确认AFC数据分组是正常的,并且不是如同AFC Daemon-1一样来自重放攻击的分组,并且此后调用AF-3并将AF-3应用于原始数据分组(步骤S205)。与AFC报头的AF-3相关的下一索引字段的值指定下一AF的索引为2,而不管AF-3的执行结果如何。该值等于AFC报头的AF的数量字段的值;因此,发现下一节点是AFC出口。因此,AFC Daemon-3将AFC报头的AFC出口IP地址字段的值设置为IP报头的Dst IP字段,并且将作为AFC出口的数据分组的公知端口的DPt-egress设置到UDP报头的Dst端口字段。此外,AFC Daemon-3增加AF索引字段的值。结果,AFC数据分组的报头变为如图34所示的报头。
AFC Daemon-3发送该AFC数据分组(步骤S206)。此时,AFC Daemon-3将接收到AFC数据分组时的时间设置到与AFC报头的AF-3相关的输入时间戳字段,并将发送AFC数据分组时的时间设置到输出时间戳字段。该AFC数据分组根据IP报头的目的地地址和UDP报头的目的地端口号到达AFC出口。
AFC出口从接收的AFC数据分组中取出图30所示的原始数据分组,并将原始数据分组转发给应用(步骤S207)。原始数据分组根据IP报头的目的地址和UDP报头的目的地端口号到达服务器上的应用。
(具有分支和接头的AFC的设置:AFC-2)
接下来,考虑根据AF-1中的执行结果设置AFC(称为AFC-2)分支到从AF-1直接到AF-3的AFC路径和从AF-1经由AF-2到AF-3的AFC路径的情况。
图35是示出AFC-2的路径的说明图。AFC用户-1类似于图21所示的过程,将图36所示的AFC设置请求分组发送到AFC管理器。在AFC管理器接收到AFC设置请求分组的情况下,AFC管理器将图38所示的AFC安装请求分组发送到AFC入口。在AFC入口接收到AFC安装请求分组的情况下,AFC入口向AFC管理器发送图39所示的AFC安装响应分组。
在AFC管理器接收到AFC安装响应分组的情况下,AFC管理器将图37所示的AFC设置响应分组发送到AFC用户-1。
作为上述处理的结果,AFC管理器保持图40中所示的表。与图5相比,在图40中增加了与AFC-2相关的管理器AFC表和经理AF列表。此外,AFC入口保持图41中所示的表。与图28相比,在图41中添加了与AFC-2相关的入口AF表、以及与AFC-2中包括的AF(AF-1、AF-2和AF-3)相关的入口AF节点表和入口AF节点表。
(在具有分支和接头的AFC中的数据转发)
接下来,假设在图35所示的具有分支和接头的AFC中,COTS装置上的应用将图42所示的原始数据分组发送给服务器上的应用。
假设COTS装置的IP地址是IP-cots,并且COTS装置上的应用要使用的端口号是Pt-cots。假设服务器的IP地址是IP-svr2,并且服务器上的应用要使用的端口号是Pt-svr2。
在图42中,在IP报头中仅示出了源IP地址字段和目的地IP地址字段,并且在UDP报头中仅示出了源端口字段和目的地端口字段。
在原始数据分组到达AFC入口的情况下,AFC入口将图41所示的入口AFC表的匹配字段的值与所接收的原始数据分组的字段进行比较。结果,发现该原始数据分组与其中AFCID字段的值是AFCID-2的AFC表匹配;因此,AFC入口将IP报头、UDP报头和AFC报头添加到如图43所示的原始数据分组的头部。这些报头的每个字段的值被类似于上述过程(AFC-1应用于数据分组)地设置。上述数据分组根据IP报头的目的地址和UDP报头的目的地端口号到达AFC Daemon-1。AFC Daemon-1将原始数据分组输入AF-1并获得输出数据,类似于上述过程(AFC-1应用于数据分组)。在输出结果满足条件表达式Cond-1的情况下,下一AF的索引是2(AF-3)。结果,与上述过程(AFC-1应用于数据分组)类似地生成图44所示的报头。
接下来,AFC Daemon-1发送该分组。该分组根据IP报头的目的地址和UDP报头的目的地端口号到达AFC Daemon-3。AFC Daemon-3将AF-3应用于原始数据分组。同时,在AF-1的输出结果不满足条件表达式Cond-1的情况下,下一AF的索引是1(AF-2)。此后,AFC Daemon-2将AF-2应用于原始数据分组,然后AFC Daemon-3将AF-3应用于原始数据分组。
在任何情况下,AFC数据分组到达AFC出口,并且原始数据分组最终到达服务器上的应用。
(AFC的删除)
下面描述在如上所述AFC用户-1设置AFC-1和AFC-2之后删除AFC-2的过程。图45是示出AFC的删除的说明图。
首先,AFC用户-1建立与AFC管理器的TLS会话(步骤S211)。
接下来,AFC用户-1将图46所示的AFC删除请求分组发送至AFC管理器(步骤S212)。AFC删除请求消息的每个字段的值如下。“AFC删除请求”被设置到类型字段。USRID-1被设置到用户ID字段。AFCID-2被设置到AFC ID字段。作为使用通过接收图37中所示的AFC设置响应分组而获得的AFCSKey-afc2生成的证书信息的AFCCert-afc2被设置到AFC证书字段。
在AFC管理器接收到AFC删除请求分组的情况下,AFC管理器从图40所示的管理器AFC表中获知AFC入口的IP地址,并建立与AFC入口的TLS连接(步骤S213)。
接下来,AFC管理器将接收到的AFC删除请求分组转发至AFC入口(步骤S214)。
在AFC入口接收到AFC删除请求分组的情况下,AFC入口从图41所示的表中删除与AFC-2相关的表。结果,AFC入口保持图28中所示的表。
接下来,AFC入口向AFC管理器发送图47所示的AFC删除响应分组(步骤S215)。AFC删除响应分组的每个字段的值如下。“AFC删除响应”被设置到类型字段。指示处理成功的“OK”被设置到状态字段。作为AFC删除请求分组的用户ID字段的值的USRID-1被设置到用户ID字段。作为AFC删除请求分组的AFC ID字段的值的AFCID-2被设置到AFC ID字段。
在AFC管理器接收到AFC删除响应分组的情况下,AFC管理器从图40所示的表中删除与AFC-2相关的表。结果,AFC管理器保持图25中所示的表。
接下来,AFC管理器断开与AFC入口的TLS连接(步骤S216)。
接下来,AFC管理器将接收到的AFC删除响应分组转发给AFC用户-1(步骤S217)。
在AFC用户-1接收到AFC删除响应分组的情况下,AFC用户-1断开与AFC管理器的TLS连接(步骤S218)。
(AF的删除)
接下来,将描述在如上所述AFC用户-1删除AFC-2之后AFC用户-1删除AF-2的过程。图48是示出AF的删除的说明图。
首先,AFC用户-1建立与AFC管理器的TLS连接(步骤S221)。
接下来,AFC用户-1将图49所示的AF删除请求分组发送至AFC管理器(步骤S222)。AF删除请求分组的每个字段的值如下。“AF删除请求”被设置到类型字段。USRID-1被设置到用户ID字段。AFID-2被设置到AF ID字段。作为利用通过在AF-2的设置中接收的AF设置响应分组获得的AFKey-af2而产生的证书信息的AFCert-af2被设置到AF证书字段。
在AFC管理器接收到AF删除请求分组的情况下,AFC管理器确认AFID-2未被包括在图25所示的管理器AF列表中。接下来,AFC管理器从管理器AF节点表中获知AFC Daemon-2的IP地址,并建立与AFC Daemon-2的TLS连接(步骤S223)。
接下来,AFC管理器将接收到的AF删除请求分组转发至AFC Daemon-2(步骤S224)。
在AFC Daemon-2接收到AF删除分组的情况下,AFC Daemon-2停止AF-2的执行(步骤S225)。
接下来,FC Daemon-2将图50所示的AF删除响应分组发送到AFC管理器(步骤S226)。AF删除响应分组的每个字段的值如下。“AF删除响应”被设置到类型字段。指示处理成功的“OK”被设置到状态字段。作为AF删除请求的用户ID字段的值的USRID-1被设置到用户ID字段。作为AF删除请求的AF ID字段的值的AFID-2被设置到AF ID字段。
在AFC管理器接收到AF删除响应分组的情况下,AFC管理器断开与AFC Daemon-2的TLS连接(步骤S227)。结果,在AFC Daemon-2上运行的AF不存在;因此,AFC Daemon-2也结束执行。同时,AFC管理器从图25所示的表中删除与AF-2相关的表。结果,AFC管理器保持图51所示的表。
接下来,AFC管理器将接收到的AF删除响应分组转发给AFC用户-1(步骤S228)。
在AFC用户-1接收到AFC删除响应分组的情况下,AFC用户-1断开与AFC管理器的TLS连接(步骤S229)。
(在多个AF节点上调用相同的AF)
假设此后,AFC用户-1删除AFC-1、AF-2和AF-1。假设AFC用户-1接下来通过与图9中的过程类似的过程在AF节点-4-1和AF节点-4-2上设置AF-4。结果,AFC用户-1获知AFID-4被分配为AF-4的标识符,并获得AFKey-af4作为AF会话密钥。
假设AFC用户-1还在AF节点-5-1和AF节点-5-2上设置AF-5。结果,AFC用户-1获知AFID-5被分配为AF-5的标识符,并获得AFKey-af5作为AF会话密钥。另外,AF节点-4-1、AF节点-4-2、AF节点5-1和AF节点5-2分别保持图53到56中示出的表,并且AFC管理器保持图57中示出的表。如从图57可见,两个管理器AF表各自具有包括两个管理器AF节点表的列表。相应的四个管理器AF节点表对应于AF节点-4-1、AF节点-4-2、AF节点5-1和AF节点5-2。
(AFC-3的设置)
接下来,假设AFC用户-1通过与图21中的过程类似的过程设置包括AF-4和AF-5的AFC(称为AFC-3)。图52是示出AFC-3的路径的说明图。另外,图58是示出AFC设置请求分组的说明图。AFC设置请求分组的每个字段的值如下。“AFC设置请求”被设置到类型字段。USRID-1被设置到用户ID字段。在此之后的五个字段是匹配字段,用于识别要应用AFC的数据分组。源IP地址字段的值是[任意]。目的地IP地址字段的值是IP-svr3。源端口字段的值是[任意]。目的地端口字段的值是Pt-svr3。协议字段的值是UDP。作为AFC入口的IP地址的IP-ingress被设置到入口IP地址字段。作为AFC出口的IP地址的IP-egress被设置到出口IP地址字段。接下来,作为包括在AFC中的AF的数量的2被设置到AF的数量字段。在此之后的四个字段包括关于AF-4的信息。将AFID-4设置到AF ID字段。作为使用AFKey-af4生成的证书信息的AFCert-af4被设置到AF证书字段。指示下一索引字段的长度的CondLen-4被设置到下一索引长度字段。在下一索引字段中,表示下一个是索引为1的AF(AF-6),而与AF-4的执行结果无关。在此之后的四个字段包括关于AF-5的信息。将AFID-5设置到AF ID字段。作为使用AFKey-af5生成的证书信息的AFCert-af5被设置到AF证书字段。指示下一索引字段的长度的CondLen-5被设置到下一索引长度字段。在下一索引字段中,指示下一个是索引为2AF(AF出口),而不管AF-5的执行结果如何。AFC管理器将AFCID-3作为标识符分配给AFC-3。
图60是示出AFC安装请求分组的说明图。AFC安装请求分组的每个字段的值如下。“AFC安装请求”被设置到类型字段。AFC设置请求分组的相应字段的值被设置到从用户ID字段到AF的数量字段的字段。在此之后的十一个字段与AF-4相关。作为AFC设置请求分组的AFID字段的值的AFID-4被设置到AF ID字段。作为图57中所示的管理器AF表的AF会话密钥字段的值的AFKey-af4被设置到AF会话密钥字段。AFC设置请求分组的相应字段的值被设置到下一索引长度字段和下一索引字段。图57中所示的管理器AF表具有两个管理器AF节点表;因此,2被设置到AF节点的数量字段。在此之后的三个字段是AF节点-4-1的字段。图57所示的管理器AF节点表的相应字段的值被设置到AF节点IP地址字段、AFC Daemon数据端口字段和AFC Daemon控制端口字段。在此之后的三个字段是AF节点-4-2的字段。与AF节点-4-1的字段类似地设置各个字段。在此之后的十一个字段与AF-5相关。与AF-4的字段类似地设置这些字段。图61是示出与上述AFC安装请求分组相对应的AFC安装响应分组的说明图。另外,图59是示出与上述AFC设置请求分组相对应的AFC设置响应分组的说明图。
作为上述处理的结果,AFC管理器保持图62中所示的表。如图62所示,两个管理器AF表各自具有包括两个管理器AF节点表的列表。同时,AFC入口保持图63中所示的表。如图63所示,两个入口AF表各具有包括两个入口AF节点表的列表。
(AF节点负载的监测)
AFC入口通过如上所述设置AF节点来识别存在AF-4在其上操作的两个AF节点和AF-5在其上操作的两个AF节点,并因此监测相应AF节点的负载。图64是示出通过AFC入口对AF节点的负载的监测的说明图。
AFC入口将图65所示的负载监测请求分组传送到AF节点-4-1(步骤S231)。“负载监测请求”被设置到负载监测请求分组的类型字段。
在AFC Daemon-4-1接收到负载监测请求分组的情况下,AFC Daemon-4-1向AFC入口发送图66所示的负载监测响应分组(步骤S232)。负载监测响应分组的每个字段的值如下。“负载监测响应”被设置到类型字段。指示处理成功的“OK”被设置到状态字段。作为指示AF节点-4-1的负载程度的数值的LD-4-1被设置到负载字段。
接下来,AFC入口对AF节点-4-2、AF节点-5-1和AF节点-5-2执行与上述类似的处理(步骤S233、S235和S237)。AF节点-4-2、AF节点-5-1和AF节点-5-2执行与AF节点-4-1中的处理类似的处理(步骤S234、S236和S238)。在AFC入口接收负载监测响应的情况下,AFC入口将负载字段的值设置到入口AF节点表的负载字段,如图67所示。
AFC入口定期重复上述处理。这使得AFC入口可以定期获得各个AF节点的负载并更新负载的信息。这里,要监测的负载的示例包括每个AF节点的CPU利用率、存储器使用率、存储介质使用率、温度、运行的AF的数量、网络接口使用率、网络接口的数据吞吐量、网络接口的丢弃分组量、网络接口的业务量等。可以针对发送和接收中的每一个单独地监测与网络接口有关的负载,并且在AF节点具有多个网络接口的情况下,可以针对网络接口中的每一个单独地监测负载。另外,多个负载的项目可以被设置到负载监测请求分组或负载监测响应分组的字段。
(AFC-3中的分组转发(通过负载选择AF节点))
接下来,假设在图52中,COTS装置上的应用将图68中所示的原始数据分组发送到服务器上的应用。假设COTS装置的IP地址是IP-cots,并且COTS装置上的应用要使用的端口号是Pt-cots。假设服务器的IP地址是IP-svr3,并且服务器上的应用要使用的端口号是Pt-svr3。在图68所示的原始数据分组中,在IP报头中仅示出了源IP地址字段和目的地IP地址,并且在UDP报头中仅示出了源端口字段和目的地端口字段。
在该原始数据分组到达AFC入口的情况下,AFC入口将图67所示的入口AFC表的匹配字段的值与所接收的数据分组的字段进行比较。结果,发现该原始数据分组与其中AFCID字段的值是AFCID-3的AFC表匹配;因此,AFC入口将IP报头、UDP报头和AFC报头添加到原始数据分组的头部,如图69所示,以生成AFC数据分组。在IP报头中,作为AFC入口的IP地址的IP-ingress被设置到Src IP字段。假设对于与图67中所示的AF-4相关的两个入口AF节点表的负载字段的值,LD-4-1具有小于LD-4-2的数值。也就是说,假设AF节点-4-1的负载低于AF节点-4-2的负载。类似地,假设AF节点-5-1的负载低于AF节点-5-2的负载。因此,AFC入口选择AF节点-4-1作为AF-4的AF节点,并选择AF节点-5-1作为AF-5的AF节点。作为AF节点-4-1的IP地址的IP-afn4-1被设置到IP报头的Dst IP字段。在UDP报头中,作为AFC入口的数据分组的端口号的DPt-ingress被设置到Src端口字段。作为AFC Daemon-4-1的AFC数据分组发送和接收的端口号的DPt-afcd4-1被设置到Dst端口字段。AFC报头的每个字段的值被设置成与(AFC-1应用于数据分组)中描述的过程类似。
上述AFC数据分组根据IP报头的目的地地址和UDP报头的目的地端口号到达AFCDaemon-4-1。AFC Daemon-4-1将AF-4应用于原始数据分组,并获得输出数据,类似于(AFC-1应用于数据分组)中描述的过程。AFC Daemon-4-1生成图70所示的报头,并发送该分组。上述AFC数据分组根据IP报头的目的地地址和UDP报头的目的地端口号到达AFC Daemon-5-1。AFC Daemon-5-1将AF-5应用于原始数据分组,并获得输出数据,类似于(AFC-1应用于数据分组)中描述的过程。AFC Daemon-5-1生成图71所示的报头,并发送该分组。上述AFC数据分组根据IP报头的目的地地址和UDP报头的目的地端口号到达AFC出口。AFC出口从接收的AFC数据分组中取出原始数据分组,并将该原始数据分组发送到服务器。
(AFC-3中的分组转发(轮循,随机))
在上述示例中,在由COTS装置上的应用发送的原始数据分组到达AFC入口的情况下,AFC入口基于每个AF节点的负载来选择AFC中包括的AF节点。另一种可想到的方法是以轮循方式选择AF节点的方法。在该示例中,存在(AF节点4-1和AF节点5-1)、(AF节点-4-1和AF节点-5-2)、(AF节点-4-2和AF节点-5-1)和(AF节点-4-2和AF节点-5-2)的四种组合。轮循方式是顺序使用这四种组合的方法。另外,可以使用随机选择四个组合的方法。
(AFC-3中的分组转发(从AFC出口向AFC入口的反馈))
假设在COTS装置上的应用发送的原始数据分组到达AFC入口的情况下,AFC入口选择AF节点-4-1上的AF-4和AF节点-5-1上的AF-5作为AFC-3,并且将反馈标志设置到AFC报头的标志字段。然后,如图72中的步骤S241至S247,将分组从COTS装置上的应用转发至服务器上的应用。
将反馈标志设置到AFC报头的标志字段;因此,AFC出口建立与AFC入口的TLS连接(步骤S248),将图73所示的AFC反馈分组发送到AFC入口(步骤S249),并且最后断开与AFC入口的TLS连接(步骤S250)。AFC反馈分组的每个字段的值如下。类型字段的值是“AFC反馈”。AFC ID字段的值为AFCID-3。AF的数量字段的值为2。在此之后的四个字段与AF节点-4-1相关。AF ID字段的值为AFID-4。AF节点IP地址的值为IP-afn4-1。接收到的AFC数据分组的AFC报头的对应AF的输入时间戳字段和输出时间戳字段的值分别被设置到输入时间戳字段和输出时间戳字段。四个随后字段与AF节点5-1相关,并且如上所述被设置。将所接收的AFC数据分组的对应字段的值被设置到入口输出时间戳字段。AFC出口接收到AFC数据分组的时间被设置到出口输入时间戳字段。
在AFC入口接收到AFC反馈分组的情况下,AFC入口保持图74所示的表。
入口AFC路径列表的每个字段的值如下。AFC ID字段的值是AFCID-3。AF的数量字段的值是2。指针到AFC路径列表条目字段的值是指向入口AFC路径列表条目的指针。入口输出时间戳字段的值是TSout-ingress,其是AFC反馈分组的对应字段的值。出口输入时间戳字段的值是TSin-egress,其是AFC反馈分组的对应字段的值。指针到下一AFC路径列表的值为[空值]。
入口AFC路径列表条目的每个字段的值如下。AFC入口将AFCPID-afc3-1分配为成为AFC反馈分组的目标的AFC路径的标识符,并将其存储在AFC路径ID字段中。指针到AF节点TS表的值是指向入口AF节点TS表的指针。指针到下一AFC路径列表条目的值是[空值]。在AFC入口接收到与AFC-3相关的其他AFC路径相关的AFC反馈分组的情况下,AFC入口创建新的入口AFC路径列表条目,并将指向该入口AFC路径列表条目的指针存储在上述指针到下一AFC路径列表条目。
在两个入口AFC节点TS表中,左边的一个与AF节点-4-1相关,右边的一个与AF节点-5-1相关。
与AF节点-4-1相关的入口AF节点TS表的每个字段的值如下。指针到下一AF节点TS表字段的值是指向与AF节点-5-1相关的AF节点TS表的指针。AF ID字段的值是AFID-4。AF节点IP地址字段的值是作为AF节点-4-1的IP地址的IP-afn4-1。输入时间戳字段的值是作为AFC反馈分组的对应输入时间戳字段的值的TSin-afn4-1。输出时间戳字段的值是作为AFC反馈分组的对应输出时间戳字段的值的TSout-afn4-1。
与AF节点-5-1相关的入口AF节点TS表的每个字段的值如下。指针到下一AF节点TS表字段的值为[空值]。AF ID字段的值是AFID-5。AF节点IP地址字段的值是作为AF节点-5-1的IP地址的IP-afn5-1。输入时间戳字段的值是作为AFC反馈分组的对应输入时间戳字段的值的TSin-afn5-1。输出时间戳字段的值是作为AFC反馈分组的对应输出时间戳字段的值的TSout-afn5-1。
在这个示例中,AFC-3具有四个AFC路径;因此,在AFC入口接收到与每个AFC路径相关的AFC反馈分组的情况下,AFC入口更新对应的入口AF节点TS表。当AFC入口从COTS装置上的应用接收到应用AFC-3的原始数据分组时,AFC入口可以参考入口AFC路径列表来选择AFC路径。例如,可以考虑所有AFC路径的通信时间。或者,可以仅考虑AF的处理时间。另外,也可以只考虑各个节点之间的通信时间。此外,可以组合特定AF的处理时间和特定节点之间的通信时间。
(超时和超时延长请求)
AFC管理器以有规律的间隔(例如,以一分钟为间隔)递减管理器用户表的生存时间字段的值。在生存时间字段的值由于这种递减而变为0(超时)的情况下,删除与对应的AFC用户相关的所有表。在上述状态下,在与AFC用户-1相关的管理器用户表的TTL-usr1字段的值变为0的情况下,AFC管理器删除与AFC用户-1相关的所有表。
AFC用户-1能够延长直到超时的时间。图75是示出AFC用户-1直到超时的时间扩展处理的说明图。
首先,AFC用户-1建立与AFC管理器的TLS连接(步骤S251)。
随后,AFC用户-1将图76所示的超时扩展请求分组发送到AFC管理器(步骤S252)。超时扩展请求分组的每个字段的值如下。“超时扩展请求”被设置到类型字段。USRID-1被设置到用户ID字段。AFC用户-1选择此时已经设置的AF之一,并将所选AF的标识符设置到AFID字段。在该示例中,所选AF的标识符是AFID-4。作为使用AFSKey-af4生成的证书信息的AFCert-af4被设置到AF证书字段。作为新的所需超时值的TTL-usr1-2被设置到生存时间字段。
在AFC管理器接收超时扩展请求分组的情况下,AFC管理器验证AF证书字段的值。在AFC管理器成功验证的情况下,AFC管理器确认生存时间字段的值,并确定作为新的允许瞄准值的TTL-usr1-3。接下来,AFC管理器将图77所示的超时扩展响应分组发送到AFC用户-1(步骤S253)。超时扩展响应分组的每个字段的值如下。“超时扩展响应”被设置到类型字段。指示处理成功的“OK”被设置到状态字段。作为超时扩展请求分组的用户ID字段的值的USRID-1被设置到用户ID字段。作为新的允许的瞄准值的TTL-usr1-3被设置到生存时间字段。
在AFC用户-1接收到超时扩展响应分组的情况下,AFC用户-1断开与AFC管理器的TLS连接(步骤S254)。
[1.3.通信装置的功能配置示例]
接下来,给出根据本公开的实施例的可以充当每个应用或每个节点的通信装置的功能配置示例的描述。
图78是示出根据本公开的实施例的可充当每个节点的通信装置100的功能配置示例的说明图。图78所示的通信装置100包括通信部110、存储部120和控制部130。
通信部110执行节点之间的通信。节点之间的通信可以是有线或无线的。通信部110在控制部130的控制下,在预定端口执行与其他节点之间的对上述分组和消息的发送和接收。
存储部120存储在上述AFC的架构中使用的各种信息和程序。例如,存储部120存储上述各种表。存储部120可以包括各种存储器、HDD等。
控制部130例如包括诸如CPU的处理器,并且基于上述AFC的架构执行处理。例如,控制部130执行到目标节点的路径的设置,与目标节点的通信处理,在发生AF节点的添加、改变和删除的情况下的处理等,调用AFC-daemon,AF功能的执行等。也就是说,在从AFC入口到AFC出口的路径发生改变的情况下,控制部分130生成用于新设置AF的消息。该改变的示例可以包括在AFC入口和AFC出口之间分支路径的情况下的改变。另外,该改变的示例可以包括在AFC入口和AFC出口之间删除AF节点的情况下的改变。另外,控制部130在通信装置100是AFC入口的情况下,向从COTS装置发送的分组提供AFC报头,并且在通信装置100是AFC出口的情况下,执行从具有AFC报头的分组中删除AFC报头的处理。
<3.结论>
如上所述,根据本公开的实施例,可以提供一种通信装置,该通信装置允许在网络中转发分组的服务中,对服务用户期望的分组进行服务用户期望的一个或多个功能。
由在此描述的每个装置执行的处理中的各个步骤不一定必须按照被描述为序列图或流程图的顺序在时间上执行。例如,由每个装置执行的处理中的各个步骤可以按照与描述为流程图的顺序不同的顺序进行处理,或者可以并行进行。
另外,可以制造用于使每个装置中内置的诸如CPU、ROM和RAM的硬件实现与上述每个装置的组件的功能类似的功能的计算机程序。另外,可以提供一种其中存储有计算机程序的存储介质。另外,通过硬件配置功能框图中所示的每个功能块使得可以允许硬件实现一系列处理。
以上已经参照附图详细描述了本公开的(一个或多个)优选实施例,但是本公开的技术范围不限于这样的(一个或多个)实施例。显然,本公开的本领域普通技术人员可以在随附权利要求中描述的技术思想的范围内得出各种变更和修改,并且应当理解,这样的变更和修改自然落入本公开的技术范围内。
此外,这里描述的效果仅仅是说明性和示例性的,而不是限制性的。也就是说,根据本公开的技术除了上述效果之外或者代替上述效果,还可以发挥本领域技术人员从本文的描述中显而易见的其他效果。
例如,AFC入口还可以起AFC路径的第一AF节点的作用。也就是说,AFC路径的路径上的AFC入口和第一AF节点可以被配置为物理上或逻辑上相同的通信装置。在这种情况下,例如,在该通信装置接收分组的情况下,首先,通信装置将包含AFC入口和AFC出口之间的路径信息的报头信息添加到分组,作为AFC入口的操作,然后执行作为AF节点的操作。在AFC入口和AFC节点被配置为同一通信装置的情况下,AFC入口的操作的一部分可以被省略。例如,通信装置可省略将分组发送到作为AFC入口的其他节点的操作,并且可转移到作为AF节点的操作。此外,在AFC入口和AFC节点被配置为同一通信装置的情况下,可以省略AF节点的操作的一部分。
此外,例如,路径上的AFC出口和最后的AF节点可被配置为物理上或逻辑上相同的通信装置。在这种情况下,例如,在通信装置接收到分组的情况下,首先,通信装置执行作为AF节点的操作,并且此后从分组中删除包含AFC入口和AFC出口之间的路径信息的报头信息,作为AFC出口的操作。在AFC出口和AFC节点被配置为同一通信装置的情况下,AFC出口的操作的一部分可以被省略。例如,通信装置可省略作为AF节点将分组发送到其他节点的操作,并且可转移到作为AFC出口的操作。此外,在AFC出口和AFC节点被配置为同一通信装置的情况下,AF节点的操作的一部分可以被省略。
应当注意,以下配置也落入本公开的技术范围内。
(1)一种通信装置,包括:
通信部,其与其他节点执行通信;以及
控制部,其控制通过所述通信部的通信,
所述控制部向由发送源节点指向发送目的地节点的分组添加至少包含位于所述发送源节点后级的通信装置与位于所述发送目的地节点前级的目标节点之间的路径信息的报头信息,并使所述通信部朝向存在于路径中的其他节点发送所述分组。
(2)根据(1)所述的通信装置,其中,所述通信装置和所述目标节点之间的路径信息至少包含关于与存在于所述通信装置和所述目标节点之间的至少一个中继节点的通信的信息、要由所述中继节点执行的功能的信息、以及与在所述中继节点上执行所述功能的结果相对应的处理的内容。
(3)根据(2)所述的通信装置,其中,所述处理的内容包括对所述中继节点的下一节点的选择。
(4)根据(2)或(3)所述的通信装置,其中,所述通信装置与所述目标节点之间的路径信息还包含关于所述中继节点的证书信息。
(5)根据(2)至(4)中任一项所述的通信装置,其中,所述控制部基于多个中继节点的负载的信息来从所述多个中继节点中选择一个中继节点。
(6)一种通信装置,包括:
通信部,其与其他节点执行通信;以及
控制部,其控制通过所述通信部的通信,
所述控制部删除添加到由发送源节点指向发送目的地节点的分组的报头信息,并使所述通信部发送所述分组,所述报头信息至少包含从位于所述发送源节点的后级的开始节点到位于所述发送目的地节点的前级的通信装置的路径信息。
(7)根据(6)所述的通信装置,其中,从所述开始节点到所述通信装置的路径信息至少包含关于与存在于到所述通信装置之间的至少一个中继节点的通信的信息、要由所述中继节点执行的功能的信息、以及与在所述中继节点上执行所述功能的结果相对应的处理的内容。
(8)一种通信装置,包括:
通信部,其与其他节点执行通信;以及
控制部,其控制通过所述通信部的通信,
所述控制部参考报头信息被添加到由发送源节点指向发送目的地节点的分组中的数据来确定下一节点,并且使所述通信部朝向所确定的下一节点发送数据,所述报头信息至少包含位于所述发送源节点后级的开始节点和位于所述发送目的地节点前级的目标节点之间的路径信息。
(9)根据(8)所述的通信装置,其中,所述开始节点和所述目标节点之间的路径信息至少包含关于与存在于所述开始节点和所述目标节点之间的至少一个中继节点的通信的信息、要由所述中继节点执行的功能的信息、以及与在所述中继节点上执行所述功能的结果相对应的处理的内容。
(10)根据(9)所述的通信装置,其中,所述处理的内容包括对所述中继节点的下一节点的选择。
(11)根据(9)或(10)所述的通信装置,其中,所述开始节点和所述目标节点之间的路径信息还包含关于所述中继节点的证书信息。
(12)根据(9)至(11)中任一项所述的通信装置,其中,所述控制部基于多个中继节点的负载的信息来从所述多个中继节点中选择一个中继节点。
(13)一种通信装置,包括:
通信部,其与其他节点执行通信;以及
控制部,其控制通过所述通信部的通信,
所述控制部生成开始节点和目标节点之间的路径信息,
所述开始节点包括添加至少包含所述开始节点和所述目标节点之间的路径信息的报头信息的节点,
所述目标节点包括删除所述报头信息的节点,以及
所述开始节点和所述目标节点之间的路径信息至少包含关于与存在于所述开始节点和所述目标节点之间的至少一个中继节点的通信的信息、要由中继节点执行的功能的信息、以及与在所述中继节点上执行所述功能的结果相对应的处理的内容。
(14)根据(13)所述的通信装置,其中,所述处理的内容包括选择所述中继节点的下一节点。
(15)根据(13)或(14)所述的通信装置,其中,所述开始节点和所述目标节点之间的路径信息还包含关于所述中继节点的证书信息。
(16)一种通信方法,包括:
与其他节点执行通信;以及
控制与所述其他节点的通信,
所述控制包括:向由发送源节点指向发送目的地节点的分组添加报头信息,并将所述分组发送到存在于路径中的其他节点,所述报头信息至少包含位于所述发送源节点后级的开始节点和位于所述发送目的地节点前级的目标节点之间的路径信息。
(17)一种通信方法,包括:
与其他节点执行通信;以及
控制与所述其他节点的通信,
所述控制包括:删除包含在由发送源节点指向发送目的地节点的分组中的报头信息,并朝向所述其他节点发送所述分组,所述报头信息至少包含位于所述发送源节点后级的开始节点和位于所述发送目的地节点前级的目标节点之间的路径信息。
(18)一种通信方法,包括:
与其他节点执行通信;以及
控制与所述其他节点的通信,
所述控制包括:参考报头信息被添加到由发送源节点指向发送目的地节点的分组的数据来确定下一节点,并朝向所确定的下一节点发送所述数据,所述头信息包含位于所述发送源节点后级的开始节点和位于所述发送目的地节点前级的目标节点之间的路径信息。
(19)一种用于通信装置的数据结构,所述通信装置包括
通信部,其与其他节点执行通信,以及
控制部,其控制通过所述通信部的通信,
所述控制部将报头信息添加到由发送源节点指向发送目的地节点的分组,并使通信部发送所述分组,以及
所述报头信息至少包含位于所述发送源节点后级的开始节点和位于所述发送目的地节点前级的目标节点之间的路径信息,所述发送源节点在所述开始节点和所述目标节点之间。
附图标记列表
100:通信装置
110:通信部
120:存储部
130:控制部
Claims (13)
1.一种通信装置,包括:
通信部,其与其他节点执行通信;以及
控制部,其控制通过所述通信部的通信,
所述控制部向由发送源节点指向发送目的地节点的分组添加至少包含位于所述发送源节点后级的通信装置与位于所述发送目的地节点前级的目标节点之间的路径信息的报头信息,并使所述通信部朝向存在于路径中的其他节点发送所述分组,
其中,所述通信装置和所述目标节点之间的路径信息至少包含关于与存在于所述通信装置和所述目标节点之间的至少一个中继节点的通信的信息、要由所述中继节点执行的功能的信息、以及与在所述中继节点上执行所述功能的结果相对应的处理的内容,
其中,所述通信装置与所述目标节点之间的路径信息还包含关于所述中继节点的证书信息,并且
其中,所述报头信息包括每个分组的序列号,并且所述证书信息使用序列号生成。
2.根据权利要求1所述的通信装置,其中,所述处理的内容包括对所述中继节点的下一节点的选择。
3.根据权利要求1所述的通信装置,其中,所述控制部基于多个中继节点的负载的信息来从所述多个中继节点中选择一个中继节点。
4.一种通信装置,包括:
通信部,其与其他节点执行通信;以及
控制部,其控制通过所述通信部的通信,
所述控制部删除添加到由发送源节点指向发送目的地节点的分组的报头信息,并使所述通信部发送所述分组,所述报头信息至少包含从位于所述发送源节点的后级的开始节点到位于所述发送目的地节点的前级的通信装置的路径信息,
其中,从所述开始节点到所述通信装置的路径信息至少包含关于与存在于到所述通信装置之间的至少一个中继节点的通信的信息、要由所述中继节点执行的功能的信息、以及与在所述中继节点上执行所述功能的结果相对应的处理的内容,
其中,所述开始节点到所述通信装置之间的路径信息还包含关于所述中继节点的证书信息,并且
其中,所述报头信息包括每个分组的序列号,并且所述证书信息使用序列号生成。
5.一种通信装置,包括:
通信部,其与其他节点执行通信;以及
控制部,其控制通过所述通信部的通信,
所述控制部参考报头信息被添加到由发送源节点指向发送目的地节点的分组中的数据来确定下一节点,并且使所述通信部朝向所确定的下一节点发送数据,所述报头信息至少包含位于所述发送源节点后级的开始节点和位于所述发送目的地节点前级的目标节点之间的路径信息,
其中,所述开始节点和所述目标节点之间的路径信息至少包含关于与存在于所述开始节点和所述目标节点之间的至少一个中继节点的通信的信息、要由所述中继节点执行的功能的信息、以及与在所述中继节点上执行所述功能的结果相对应的处理的内容,
其中,所述开始节点和所述目标节点之间的路径信息还包含关于所述中继节点的证书信息,并且
其中,所述报头信息包括每个分组的序列号,并且所述证书信息使用序列号生成。
6.根据权利要求5所述的通信装置,其中,所述处理的内容包括对所述中继节点的下一节点的选择。
7.根据权利要求5所述的通信装置,其中,所述控制部基于多个中继节点的负载的信息来从所述多个中继节点中选择一个中继节点。
8.一种通信装置,包括:
通信部,其与其他节点执行通信;以及
控制部,其控制通过所述通信部的通信,
所述控制部生成开始节点和目标节点之间的路径信息,
所述开始节点包括添加至少包含所述开始节点和所述目标节点之间的路径信息的报头信息的节点,
所述目标节点包括删除所述报头信息的节点,以及
所述开始节点和所述目标节点之间的路径信息至少包含关于与存在于所述开始节点和所述目标节点之间的至少一个中继节点的通信的信息、要由中继节点执行的功能的信息、以及与在所述中继节点上执行所述功能的结果相对应的处理的内容,
其中,所述开始节点和所述目标节点之间的路径信息还包含关于所述中继节点的证书信息,并且
其中,所述报头信息包括每个分组的序列号,并且所述证书信息使用序列号生成。
9.根据权利要求8所述的通信装置,其中,所述处理的内容包括选择所述中继节点的下一节点。
10.一种通信方法,包括:
与其他节点执行通信;以及
控制与所述其他节点的通信,
所述控制包括:向由发送源节点指向发送目的地节点的分组添加报头信息,并将所述分组发送到存在于路径中的其他节点,所述报头信息至少包含位于所述发送源节点后级的开始节点和位于所述发送目的地节点前级的目标节点之间的路径信息,
其中,所述开始节点和所述目标节点之间的路径信息至少包含关于与存在于所述开始节点和所述目标节点之间的至少一个中继节点的通信的信息、要由所述中继节点执行的功能的信息、以及与在所述中继节点上执行所述功能的结果相对应的处理的内容,
其中,所述开始节点与所述目标节点之间的路径信息还包含关于所述中继节点的证书信息,并且
其中,所述报头信息包括每个分组的序列号,并且所述证书信息使用序列号生成。
11.一种通信方法,包括:
与其他节点执行通信;以及
控制与所述其他节点的通信,
所述控制包括:删除包含在由发送源节点指向发送目的地节点的分组中的报头信息,并朝向所述其他节点发送所述分组,所述报头信息至少包含位于所述发送源节点后级的开始节点和位于所述发送目的地节点前级的目标节点之间的路径信息,
其中,从所述开始节点到所述目的地的路径信息至少包含关于与存在于所述开始节点和所述目标节点之间的至少一个中继节点的通信的信息、要由所述中继节点执行的功能的信息、以及与在所述中继节点上执行所述功能的结果相对应的处理的内容,
其中,所述开始节点到所述目标节点之间的路径信息还包含关于所述中继节点的证书信息,并且
其中,所述报头信息包括每个分组的序列号,并且所述证书信息使用序列号生成。
12.一种通信方法,包括:
与其他节点执行通信;以及
控制与所述其他节点的通信,
所述控制包括:参考报头信息被添加到由发送源节点指向发送目的地节点的分组的数据来确定下一节点,并朝向所确定的下一节点发送所述数据,所述头信息包含位于所述发送源节点后级的开始节点和位于所述发送目的地节点前级的目标节点之间的路径信息,
其中,所述开始节点和所述目标节点之间的路径信息至少包含关于与存在于所述开始节点和所述目标节点之间的至少一个中继节点的通信的信息、要由所述中继节点执行的功能的信息、以及与在所述中继节点上执行所述功能的结果相对应的处理的内容,
其中,所述开始节点和所述目标节点之间的路径信息还包含关于所述中继节点的证书信息,并且
其中,所述报头信息包括每个分组的序列号,并且所述证书信息使用序列号生成。
13.一种通信装置,包括:
通信部,其与其他节点执行通信,以及
控制部,其控制通过所述通信部的通信,
所述控制部将报头信息添加到由发送源节点指向发送目的地节点的分组,并使通信部发送所述分组,以及
所述报头信息至少包含位于所述发送源节点后级的开始节点和位于所述发送目的地节点前级的目标节点之间的路径信息,所述发送源节点在所述开始节点和所述目标节点之间,
其中,所述开始节点和所述目标节点之间的路径信息至少包含关于与存在于所述开始节点和所述目标节点之间的至少一个中继节点的通信的信息、要由所述中继节点执行的功能的信息、以及与在所述中继节点上执行所述功能的结果相对应的处理的内容,
其中,所述开始节点和所述目标节点之间的路径信息还包含关于所述中继节点的证书信息,并且
其中,所述报头信息包括每个分组的序列号,并且所述证书信息使用序列号生成。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018-201037 | 2018-10-25 | ||
| JP2018201037 | 2018-10-25 | ||
| PCT/JP2019/038811 WO2020085014A1 (ja) | 2018-10-25 | 2019-10-01 | 通信装置、通信方法及びデータ構造 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112956163A CN112956163A (zh) | 2021-06-11 |
| CN112956163B true CN112956163B (zh) | 2023-06-30 |
Family
ID=70331049
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980068302.3A Active CN112956163B (zh) | 2018-10-25 | 2019-10-01 | 通信装置以及通信方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20210392123A1 (zh) |
| CN (1) | CN112956163B (zh) |
| WO (1) | WO2020085014A1 (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004350267A (ja) * | 2003-04-28 | 2004-12-09 | Ricoh Co Ltd | デジタル証明書管理システム、デジタル証明書管理装置、デジタル証明書管理方法、更新手順決定方法およびプログラム |
| CN101163004A (zh) * | 2006-10-13 | 2008-04-16 | 华为技术有限公司 | 一种实现认证的方法和系统 |
| CN101449540A (zh) * | 2006-05-24 | 2009-06-03 | 艾利森电话股份有限公司 | 基于委托的移动性管理 |
| CN102498694A (zh) * | 2009-09-14 | 2012-06-13 | 日本电气株式会社 | 通信系统、转发节点、路径管理服务器、通信方法和程序 |
| CN103283190A (zh) * | 2010-12-24 | 2013-09-04 | 日本电气株式会社 | 通信系统、控制装置、策略管理装置、通信方法和程序 |
| CN105075312A (zh) * | 2013-02-22 | 2015-11-18 | 索尼公司 | 通信控制装置、通信控制方法和无线通信装置 |
| CN107078898A (zh) * | 2014-05-20 | 2017-08-18 | 神秘双八达通有限公司 | 一种在多路径网络上建立安全私人互连的方法 |
| CN108055205A (zh) * | 2018-01-26 | 2018-05-18 | 武汉理工大学 | 用于实现vdes的路由协议及路由方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE60225741T2 (de) * | 2001-02-15 | 2009-04-09 | Oki Electric Industry Co., Ltd. | Netzwerkverwaltungssystem |
| WO2006095726A1 (ja) * | 2005-03-11 | 2006-09-14 | Brother Kogyo Kabushiki Kaisha | 情報配信システム、ノード装置、及び解除データ発行方法等 |
| US9179318B2 (en) * | 2006-05-24 | 2015-11-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Delegation based mobility management |
| US20080159287A1 (en) * | 2006-12-29 | 2008-07-03 | Lucent Technologies Inc. | EFFICIENT PERFORMANCE MONITORING USING IPv6 CAPABILITIES |
| US8386776B2 (en) * | 2007-09-25 | 2013-02-26 | Nec Corporation | Certificate generating/distributing system, certificate generating/distributing method and certificate generating/distributing program |
| US20110055845A1 (en) * | 2009-08-31 | 2011-03-03 | Thyagarajan Nandagopal | Technique for balancing loads in server clusters |
| EP3075134B1 (en) * | 2013-11-26 | 2019-01-09 | Telefonaktiebolaget LM Ericsson (publ) | A method and system of supporting service chaining in a data network |
| WO2016033729A1 (zh) * | 2014-09-01 | 2016-03-10 | 华为技术有限公司 | 一种确定服务功能路径的方法及装置 |
| JP6204407B2 (ja) * | 2015-06-01 | 2017-09-27 | 日本電信電話株式会社 | サービス提供システム、サービス提供方法、およびサービス提供プログラム |
| US9787581B2 (en) * | 2015-09-21 | 2017-10-10 | A10 Networks, Inc. | Secure data flow open information analytics |
-
2019
- 2019-10-01 CN CN201980068302.3A patent/CN112956163B/zh active Active
- 2019-10-01 WO PCT/JP2019/038811 patent/WO2020085014A1/ja active Application Filing
- 2019-10-01 US US17/285,779 patent/US20210392123A1/en active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004350267A (ja) * | 2003-04-28 | 2004-12-09 | Ricoh Co Ltd | デジタル証明書管理システム、デジタル証明書管理装置、デジタル証明書管理方法、更新手順決定方法およびプログラム |
| CN101449540A (zh) * | 2006-05-24 | 2009-06-03 | 艾利森电话股份有限公司 | 基于委托的移动性管理 |
| CN101163004A (zh) * | 2006-10-13 | 2008-04-16 | 华为技术有限公司 | 一种实现认证的方法和系统 |
| CN102498694A (zh) * | 2009-09-14 | 2012-06-13 | 日本电气株式会社 | 通信系统、转发节点、路径管理服务器、通信方法和程序 |
| CN103283190A (zh) * | 2010-12-24 | 2013-09-04 | 日本电气株式会社 | 通信系统、控制装置、策略管理装置、通信方法和程序 |
| CN105075312A (zh) * | 2013-02-22 | 2015-11-18 | 索尼公司 | 通信控制装置、通信控制方法和无线通信装置 |
| CN107078898A (zh) * | 2014-05-20 | 2017-08-18 | 神秘双八达通有限公司 | 一种在多路径网络上建立安全私人互连的方法 |
| CN108055205A (zh) * | 2018-01-26 | 2018-05-18 | 武汉理工大学 | 用于实现vdes的路由协议及路由方法 |
Non-Patent Citations (5)
| Title |
|---|
| DGS/ECI-001-3.GROUP SPECIFICATION Embedded Common Interface (ECI) for exchangeable CA/DRM solutions * |
| Part 3: CA/DRM Container, Loader, Interfaces, Revocation Disclaimer The present document has been produced and approved by the Embedded Common Interface (ECI) for exchangeable CA/DRM solutions ETSI Industry Specification Group (ISG) and represents the views of those members who participated in this ISG. It does not necessarily represent the views of the entire ETSI membership..ETSI GS ECI 001-3.2017,(V1.1.1),全文. * |
| Zhiwei Gao.A New and Scalable Certification Path Discovery Model in the Emerging Global PKI.《IEEE Xplore》.2007,全文. * |
| 余哲赋.一种基于身份签密的卫星网络安全路由协议.《军事通信技术》.2012,(第第33卷第1期期),全文. * |
| 周彦萍.一种基于树结构的证书验证方法.《计算机安全》.2009,(第第2009年5期期),全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210392123A1 (en) | 2021-12-16 |
| WO2020085014A1 (ja) | 2020-04-30 |
| CN112956163A (zh) | 2021-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8146133B2 (en) | Apparatus and method for managing P2P traffic | |
| CN107113319B (zh) | 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器 | |
| US9215237B2 (en) | Communication system, control device, communication method, and program | |
| US7877506B2 (en) | System, method and program for encryption during routing | |
| KR101140475B1 (ko) | 피어 노드의 부정 행위 검출 방법 및 피어 투 피어(p2p) 네트워크 | |
| US20160105416A1 (en) | Smart router | |
| JP2008072655A (ja) | サービス通信制御方法、サービス中継装置およびサービス通信制御システム | |
| CN109698791B (zh) | 一种基于动态路径的匿名接入方法 | |
| US10027627B2 (en) | Context sharing between endpoint device and network security device using in-band communications | |
| KR20140138351A (ko) | 운영 권리들의 원격 승인을 위한 보안 방법 | |
| CN114826754A (zh) | 一种不同网络间的通信方法及系统、存储介质、电子装置 | |
| US11838854B2 (en) | 5G network slicing and resource orchestration using holochain | |
| JP3950874B2 (ja) | ネットワーク接続装置、経路情報配布プログラム及び経路情報配布方法 | |
| CN112956163B (zh) | 通信装置以及通信方法 | |
| CN110892695A (zh) | 在建立连接期间检查受密码保护的通信连接的连接参数的方法、设备和计算机程序产品 | |
| Grothoff | The gnunet system | |
| CN103023763B (zh) | 通信中继装置、数据处理系统以及通信中继方法 | |
| US11582674B2 (en) | Communication device, communication method and data structure | |
| US11743322B2 (en) | Communication device and communication method | |
| WO2019116928A1 (ja) | 通信装置、データ構造、通信方法及びコンピュータプログラム | |
| CN108574615B (zh) | 一种基于多路径mptcp的内容传输方法、设备及系统 | |
| WO2019000597A1 (zh) | 一种ip地址隐藏方法及装置 | |
| Evans | Methods for secure decentralized routing in open networks | |
| US20230084792A1 (en) | Managing decryption of network flows through a network appliance | |
| Juslenius | WebSocket vs WebRTC in the stream overlays of the Streamr Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |