JP2015517694A - ネットワークデバイスを制御するための方法と装置 - Google Patents

ネットワークデバイスを制御するための方法と装置 Download PDF

Info

Publication number
JP2015517694A
JP2015517694A JP2015509275A JP2015509275A JP2015517694A JP 2015517694 A JP2015517694 A JP 2015517694A JP 2015509275 A JP2015509275 A JP 2015509275A JP 2015509275 A JP2015509275 A JP 2015509275A JP 2015517694 A JP2015517694 A JP 2015517694A
Authority
JP
Japan
Prior art keywords
control command
command packet
control
network device
caused
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015509275A
Other languages
English (en)
Other versions
JP6146829B2 (ja
Inventor
寅▲ベン▼ 夏
寅▲ベン▼ 夏
▲鳳▼▲凱▼ 李
▲鳳▼▲凱▼ 李
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2015517694A publication Critical patent/JP2015517694A/ja
Application granted granted Critical
Publication of JP6146829B2 publication Critical patent/JP6146829B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Abstract

本発明は通信の分野に関連し、ネットワークデバイスを制御する方法および装置を開示する。オープンサービスプラットフォームは、ネットワークデバイスへ送信された命令パケットをインターセプトし、命令パケットの権限を識別し、命令パケットが前の命令パケットと競合するか否かを判定し、命令パケットの権限を有し、かつ、前の命令パケットと競合しない場合、ネットワークデバイスへ命令パケットを送信する。方法および装置は、ネットワークデバイスにおいて、命令パケットによって引き起こされる制御を、正確かつ適切にすることができる。

Description

本発明は、通信の分野に関し、特に、ネットワークデバイスを制御するための方法と装置とに関する。
本発明は、通信の分野に関し、特に、近隣関係を確立するための方法およびネットワークデバイスに関する。
ネットワーク技術の継続的な発展に伴い、ネットワーク帯域幅のトラフィックはますます重くなっている。しかしながら、ビットあたりの利益はますます低くなり、事業者は徐々にパイププロバイダに変わっている。事業者にとって、インターネットコンテンツプロバイダ(英語でフルネーム:Internet Content Provider、略してICP)とインターネットサービスプロバイダ(英語でフルネーム:Internet Content Provider、略してISP)とで共有する利益の能力を有するようにすることが緊急に必要であり、ネットワーク上の洗練されたオペレーションは、事業者が利益分配を実現する能力を改善するアプローチの一つである。
一般的に、多くのサービスは、同時に1ネットワークデバイスに対応したオープンサービスプラットフォーム上に展開することができ、既存のオープンサービスプラットフォームは、サービスの分析とカウントのみをし、データと制御命令との判定や修正をしない。悪質なサービスと不完全なロジックのあるサービスとが存在する。これらのサービスは、それによって、ネットワークデバイス上の悲惨な結果を引き起こし、ネットワークデバイス上の誤った制御を行うことがある。
従って、本発明の実施形態は、オープンネットワークデバイスアーキテクチャに適用することができる、ネットワークデバイスを制御するための方法および装置を提供する。
一態様において、本発明の実施形態は、ネットワークデバイスを制御するための方法であって、オープンサービスプラットフォームが、前記ネットワークデバイスに送信された第1制御命令パケットをインターセプトするステップと、前記オープンサービスプラットフォームが、前記ネットワークデバイス上の前記第1制御命令パケットによって引き起こされる制御が予め定められた規則を満たしているか否かを判定するステップと、前記オープンサービスプラットフォームが、前記制御が予め定められた規則を満たしていない場合、前記第1制御命令パケットが前記ネットワークデバイスに送信されることを防止するステップと、を有する方法を提供する。
別の態様において、本発明の実施形態は、ネットワークデバイスを制御する装置であって、認証競合制御モジュールとデータ記憶部を備え、前記データ記憶部が、前記ネットワークデバイスに送信されインターセプトされた第1制御命令パケットおよび予め定められた規則を格納するように構成されており、前記認証競合制御モジュールが、前記第1制御命令パケットおよび前記予め定められた規則を前記データ記憶部から読出し、前記ネットワークデバイス上の前記第1制御命令パケットによって引き起こされる制御が前記予め定められた規則を満たしているか否かを判定するように構成されており、前記認証競合制御モジュールが、前記ネットワークデバイス上の前記第1制御命令パケットによって引き起こされる前記制御が前記予め定められた規則を満たしていない場合、前記第1制御命令パケットが前記ネットワークデバイスに送信されることを防止する、ことを特徴とする装置を提供する。
本発明の実施形態の技術的解決策によれば、以下の技術的効果を達成することができる:サービス処理および制御の正確さを確保することができ、ネットワークデバイス上の悪質なサービスと不完全なロジックのあるサービスに起因するエラー制御を防止することができる。したがって、ネットワークデバイス上のオープンサービスシステムに起因する制御の精度および有効性が、ネットワークデバイスが堅牢かつ安全であるように、保証される。
図1は、本発明の実施形態に係る方法のフローチャートである。 図2aは、本発明の実施形態に係る方法のサブフローチャートである。 図2bは、本発明の実施形態に係る方法のサブフローチャートである。 図3aは、本発明の実施形態に係る方法のサブフローチャートである。 図3bは、本発明の実施形態に係る方法のサブフローチャートである。 図4は、本発明の実施形態に係る概略ネットワーク図である。 図5aは、本発明の実施形態に係る構成ファイルの概略図である。 図5bは、本発明の実施形態に係る構成ファイルの概略図である。 図6は、本発明の実施形態に係るシステムの概略図である。 図7は、本発明の実施形態に係る装置の概略図である。 図8は、本発明の一実施形態に係るモジュールの概略図である。
本発明の実施形態の目的、技術的なソリューション、および、メリットをより明確に説明するために、以下に、さらに、添付の図面および実施形態を参照して本発明を説明する。ここに記載した特定の実施形態は本発明を例示するためのみのものであり、本発明を限定するものではないことを理解すべきである。本発明の実施形態は、ネットワークデバイスを制御するための方法及び装置を含む。本発明の実施形態に含まれる方法は、一般的なコンピュータやネットワークサーバーなどのハードウェアデバイスによって実現されてもよい。
図1に示すように、本発明の実施形態によれば、ネットワークデバイスを制御するための方法は、下記のステップを含む。S101、オープンサービスプラットフォームが、ネットワークデバイスに送信される第1制御命令パケットをインターセプト(横取り、傍受)する;S102、オープンサービスプラットフォームが、ネットワークデバイス上の第1制御命令パケットによって引き起こされる制御が予め定められた規則を満たしているか否かを判定する;S103、制御が予め定められた規則を満たしていない場合、オープンサービスプラットフォームが、第1制御命令パケットがネットワークデバイスに送信されることを防止する(防ぐ)。
図4は、ユーザA(401)が、インターネット(internet)デバイスを介してインターネットリソース403にアクセスする、本発明のアプリケーションシナリオを示している。ネットワークデバイスに到達するユーザAの様々な要求を、図4の下段に示す。ネットワークデバイスの例は、ルータ402である。利用者の要求は、オープンサービスプラットフォーム406に送信される。さまざまな要求は、声、ビデオストリーミングダウンロード、インターネットへのアクセス、および、悪意を持ってインターネットサーバーを攻撃することもありえる。オープンサービスプラットフォーム406は、ユーザの要求を識別および分類する。例えば、音声エンハンスメントサービス、ビデオエンハンスメントサービスは、帯域幅制御サービス等である。オープンサービスプラットフォーム406の上記機能を実現するためのデバイスは、本発明において開示されたネットワークデバイスを制御する装置である。装置は、本発明で開示された制御方法を実現し、このように、予め定められた規則を満たしていない制御命令をフィルタリングすることができる。
選択的に、本発明の実施形態によれば、ネットワークデバイス上の第1制御命令パケットによって引き起こされる制御が予め定められた規則を満たしているか否かを判定することは、ネットワークデバイス上の第1制御命令パケットによって引き起こされる制御が権限を有するか否かを判定することであってもよい。
さらに、選択的に、本発明の実施形態によれば、ネットワークデバイス上の第1制御命令パケットによって引き起こされる制御が予め定められた規則を満たしているか否かを判定することは、下記を含んでもよい。
第1制御命令パケットに対応するサービス識別子(ID)を取得する。
承認されたサービスIDのリストを利用して、第1制御命令パケットに対応するサービスが権限を有するか否かを判定する。
第1制御命令パケットに対応するサービスが権限を有していない場合、ネットワークデバイス上の第1制御命令パケットによって引き起こされる制御が予め定められた規則を満たしていないと決定する。
選択的に、本発明の実施形態によれば、ネットワークデバイス上の第1制御命令パケットによって引き起こされる制御が予め定められた規則を満たしているか否かを判定することは、ネットワークデバイス上の第1制御命令パケットによって引き起こされる制御が、ネットワークデバイス上の、第1制御命令パケットの前に、オープンサービスプラットフォームによってインターセプトされた、制御命令パケットによって引き起こされる制御と競合するか否かを判定する、ことであってもよい。
表現の便宜のため、制御命令パケットは、第1制御命令パケットと呼ばれ、制御命令パケットの前に、オープンサービスプラットフォームによってインターセプトされた制御命令パケットは、第2制御命令パケットと呼ばれる。
さらに、選択的に、本発明の実施形態によれば、ネットワークデバイス上の第1制御命令パケットによって引き起こされる制御とネットワークデバイス上の第2制御命令パケットによって引き起こされる制御とが競合している場合、第1制御命令パケットの優先度と第2制御命令パケットの優先度とが比較される。
第1制御命令パケットの優先度が第2制御命令パケットの優先度よりも低い場合、ネットワークデバイス上の制御命令パケットによって引き起こされる制御が予め定められた規則を満たしていないと決定される。
選択的に、本発明の実施形態によれば、図2aに示すように、S201において、ネットワークデバイスに送信された第1制御命令パケットがインターセプトされる。S202において、ネットワークデバイス上の第1制御命令パケットによって引き起こされる制御が権限を有するか否かを判定される。制御が権限を有していない場合は、プロセスは、第1制御命令パケットがネットワークデバイスに送信されることを防止するために、S204に進む。制御が権限を有している場合、プロセスは、ネットワークデバイス上の第1制御命令パケットによって引き起こされる制御とネットワークデバイス上の第2制御命令パケットによって引き起こされる制御とが競合しているか否かを判定するために、S203に進む。ネットワークデバイス上の第1制御命令パケットによって引き起こされる制御とネットワークデバイス上の第2制御命令パケットによって引き起こされる制御とが競合している場合、プロセスは、第1制御命令パケットがネットワークデバイスに送信されることを防止するために、S204に進む。
選択的に、本発明の実施形態によれば、図2bに示すように、S1001において、ネットワークデバイスに送信された第1制御命令パケットがインターセプトされる。S1002において、ネットワークデバイス上の第1制御命令パケットによって引き起こされる制御とネットワークデバイス上の第2制御命令パケットによって引き起こされる制御とが競合しているか否かが判定される。第1制御命令パケットによって引き起こされる制御と第2制御命令パケットによって引き起こされる制御とが競合している場合、プロセスは、第1制御命令パケットがネットワークデバイスに送信されることを防止するために、S1004に進む。第1制御命令パケットによって引き起こされる制御と第2制御命令パケットによって引き起こされる制御とが競合していない場合、プロセスはS1003に進む。S1003において、第1制御命令パケットに対応するサービスが権限を有するか否かが判定される。サービスが権限を有していない場合、プロセスは、第1制御命令パケットがネットワークデバイスに送信されることを防止するために、S1004に進む。
本発明の実施形態によれば、図3aに示すように、S301において、ネットワークデバイスに送信された第1制御命令パケットがインターセプトされる。S302において、第1制御命令パケットに対応するサービス識別子IDが取得される。サービスIDは、サービスを展開するオープンサービスプラットフォームのためのシリアル番号であり、主にサービスを識別するために使用される。サービスIDは、例えば1、2、3、4、5…のような、インクリメンタルな番号であってもよい。例えば、サービス1は、ビデオエンハンスメントサービスであり、サービス2は、音声エンハンスメントサービスであり、サービス3は、グリーンインターネットサービスである。サービス1、2と3の認証は、次のようであってもよい。サービス1は、ビデオパケットの制御を許可する。サービス2は、音声パケットの制御を許可する。サービス3は、ハイパーテキスト転送プロトコルhttp(Hypertext Transfer Protocol)パケットなどの制御を許可する、など。S303において、第1制御命令パケットに対応するサービスが、承認されたサービスIDのリストに従って、権限を有するか否かが判定される。
本発明の一実施形態によれば、承認されたサービスIDのリストは、サービス権限構成ファイルとして表すことができる。したがって、S303で、サービス権限構成ファイルは、第1制御命令パケットに対応するサービスが権限を有するか否かを判定するために利用され得る。図5aに示すようには、サービス権限構成ファイルは、サービスIDと優先度とを含むことができる。サービスIDは、オープンサービスプラットフォームにおいてユニークであり、サービスのユニークな識別子である。サービスIDがサービス権限構成ファイル内にある場合のみ、サービスの制御命令が、オープンサービスプラットフォームを介してネットワークデバイスに送信されることができる。サービスIDがサービス権限構成ファイル内にない場合、サービスは、ネットワークデバイスの制御指示を送信ダウンするように認証されない。優先度は、ネットワークデバイスを制御するためのサービスの権限レベルを表すために使用され、優先度は整数であり、好ましくは、値が小さいほど、高い優先度である。
選択的に、サービス権限構成ファイルは、より複雑にすることができる。例えば、データパケットのサービスタイプがサービスによって処理することができるかを示すように、パケットのサービスタイプを追加し、サービスに関するネットワークデバイスに制御命令を送信することができる。図5bに示すように、12のサービスIDを持つサービスに対応するパケットサービスタイプがビデオであり、12のサービスIDを持つサービスの権限は、ビデオを制御することである。12のサービスIDを持つサービスによってネットワークデバイスへ送信された制御命令が、ftp(ファイル転送プロトコル)データパケットのアップロードを制御する場合、この制御命令は、権限のない(認定されていない)制御命令であると考えられる。同様に、20のサービスIDを持つサービスの許可権限は、ftpデータパケットを制御することであり、20のサービスIDを持つサービスによってネットワークデバイスへ送信された制御命令が、ポイントツーポイントP2Pデータパケットの制御である場合、この制御命令は、権限のない制御命令であると考えられる。
承認されたサービスIDのリストは、各サービスに対応する、承認された権限を含む。例えば、20のサービスIDを持つサービスの承認された権限は、ftpデータパケットを制御することである。
S303における判定結果が、第1制御命令パケットに対応するサービスが権限を有していない場合、S304において、第1制御命令パケットがネットワークデバイスに送信することが防止される。選択的に、第1制御命令パケットがネットワークデバイスに送信することが防止された後、エラー情報が第1制御命令パケットの送信者に送信される。
S303における判定結果が、第1制御命令パケットに対応するサービスが権限を有するか否かを判定する場合、S305において、グローバル制御命令リストが、第1制御命令パケットがこれまでに送信されたかどうかを判定するために、走査される。グローバル制御命令リストは、送信された制御命令パケットを含むリストである。S305における判定結果が、第1制御命令パケットが送信されていないことである場合、S308において、第1制御命令パケットは、グローバル制御命令リストに格納される。S309において、第1制御命令パケットが、ネットワークデバイスに送信される。S310において、サブプロセスは終了する。
S305における判定結果が、第1制御命令パケットがこれまでに送信されたというものである場合、S306において、ネットワークデバイス上の第1制御命令パケットによって引き起こされる制御とネットワークデバイス上の第2制御命令パケットによって引き起こされる制御とが競合しているか否かが判定される。例えば、ビデオのオンライン視聴のデータパケットについて、第1制御命令パケットが帯域幅を確保するための命令であり、第2制御命令パケットが視聴を防止するための命令である場合、ネットワークデバイス上における2つの制御命令パケットによって引き起こされる制御間に競合がある。S306における判定結果が、制御が互いに競合しないというものである場合、プロセスは、第1制御指示パケットをネットワークデバイスに送信するために、S309に進む。S306での判定結果が、制御は互いに競合しているというものである場合、S307において、第1制御命令パケットの優先度が、第2制御命令パケットの優先度と比較される。第1制御命令パケットの優先度が第2制御命令パケットの優先度よりも低い場合、プロセスは、第1制御命令パケットがネットワークデバイスに送信されることを防止するために、S304に進む。第1制御命令パケットの優先度が第2制御命令パケットの優先度よりも低くない場合、プロセスは、第1制御指示パケットをネットワークデバイスに送信するために、S309に進む。
本発明の別の実施形態によれば、図3bに示すように、S901において、ネットワークデバイスに送信される第1制御命令パケットがインターセプトされる。S902において、サービスIDが取得される。S905においては、第1制御命令パケットがこれまでに送信されたか否かを判定するために、送信グローバル制御命令リストが走査される。第1制御命令パケットがこれまでに送信されている場合、S906において、ネットワークデバイス上の第1制御命令パケットによって引き起こされる制御とネットワークデバイス上の第2制御命令パケットによって引き起こされる制御とが競合しているか否かが判定される。第1制御命令パケットがこれまでに送信されていない場合、S908において、第1制御命令パケットは、グローバル制御命令リストに格納され、プロセスはS903に進む。
S906での判定結果が、制御が互いに競合しているということである場合、プロセスは、第1制御命令パケットの優先度と第2制御命令パケットの優先度とを比較するために、S907に進む。第1制御命令パケットの優先度が第2制御命令パケットの優先度よりも低い場合、プロセスは、第1制御命令パケットがネットワークデバイスに送信されることを防止するために、S904に進む。第1制御命令パケットの優先度が第2制御命令パケットの優先度よりも低くない場合、プロセスは、第1制御命令パケットが権限を有するか否かを判定するため、S903に進む。S906での判定結果が、制御の間に競合が存在しないということである場合、プロセスはS903に進む。
S903において、サービス権限構成ファイルに従って、第1制御命令パケットが権限を有するか否かが判定される。第1制御命令パケットが権限を有していない場合、プロセスは、第1制御命令パケットがネットワークデバイスに送信されることを防止するために、S904に進む。選択的に、第1制御命令パケットがネットワークデバイスに送信することが防止された後に、エラー情報が第1制御命令パケットの送信元に送信されてもよい。第1制御命令パケットはS909で権限を有する場合、第1制御命令パケットがネットワークデバイスに送信される。
本発明の実施形態に係る方法を採用することにより、競合の判定がまず実行され、その後、権限の判定が行われる。従って、冗長な認可判定を低減することができ、これにより、オペレーティングプロセスが早くなる。
選択的に、本発明の方法はさらに、オープンサービスプラットフォームの管理者のためのネットワーク・インタフェース・プラットフォームを提供する、ことも含む。管理者は、サービス展開の要求に従って、いつでも、オープンサービスプラットフォームによって使用されるサービス権限構成ファイルなどの、承認されたサービスIDのリストを変更することができる。新たに追加されたサービス構成ファイル項目が、新たに追加されたサービスの展開の要求または展開されるサービスの優先度の変更を満たすようにするために、サービス権限構成ファイルは、また、S102において、予め定められた規則を含むことができる。図6に示すようには、管理者は、新たに追加されたサービスを開始し、構成ファイル内の新たに追加されたサービスのためのサービスID、権限及び優先度などのパラメータを設定することができる。
図7は、本発明の方法を実現するための装置、及び、本発明の方法を実行することができる装置の簡略化した例である。選択的に、装置は、例えば、ネットワーク接続を介して他の装置に接続することができる。装置は、順にまたは並列に一連の命令を実行してもよい。また、一つの装置が図7に示されているが、「装置」は、単一の装置または本発明の方法を実行するための複数の装置の集合として解釈することができることを理解すべきである。
装置700は、(例えば、中央処理装置CPUなど)プロセッサ702を含む。プロセッサ702は、例えば、本発明の方法に含まれるS303、S305およびS306という、計算、選択、または比較などの機能を実行することができる。メインメモリ704は、例えば、サービス権限構成ファイルおよび/またはグローバル内部制御命令リストなどの、本発明の方法に関連するパラメータを格納することができる。スタティックメモリ706はまた、例えば、グローバル内部制御命令リスト等の、本発明の方法に関連するパラメータを格納することができる。プロセッサ702、メインメモリ704およびスタティックメモリ706は、バス708を用いて通信する。装置700は、さらに、ディスクドライブユニット710と、ネットワークインタフェイス装置712とを含む。ディスクドライブユニット710はまた、例えばグローバル内部制御命令リストなどの、本発明の方法に関連するパラメータを格納することができる。ネットワークインタフェイス装置712は、装置700を、例えば、ステップS201において、ネットワークデバイスに送信される制御命令パケットをインターセプトし、ステップS309において、ネットワークデバイスに制御命令を送信することができるように、外部と通信するようのすることができる。
ディスクドライブユニット710は、機械可読媒体722を含む。機械可読媒体722は、1つ以上の内部制御命令と、本発明の方法を実行するためのデータ構造724(例えば、ソフトウェア)とを格納する。内部制御命令はまた、部分的にまたは完全に、メインメモリ704またはプロセッサ702内に格納することができる。上記機械可読媒体はまた、内部制御命令とメインメモリ704を含んでもよい。さらに、内部制御命令は、既存の通信プロトコルを使用して、ネットワークインタフェイス装置712を介して、ネットワーク側726に送信されてもよいし、ネットワーク側726からから受信されてもよい。
機械可読媒体722は、命令を格納するための単一の媒体または複数の媒体(たとえば、集中型または分散型データベースまたは関連するキャッシュ)を含むことができる。「機械可読媒体」という用語は、機械によって実行され、本発明の方法の命令を実現することができる命令の、任意の記憶、コーディングまたはベアリングする媒体として理解することができる。「機械可読媒体」という用語はまた、固体メモリおよび光磁気媒体を含むものとして理解することができる。
本発明の一実施形態によれば、ネットワークデバイスを制御する装置が、図8に示される。装置800は、データ記憶部801と認証競合制御モジュール802とを含む。データ記憶部801は、ネットワークデバイスに送信されインターセプトされた第1制御命令パケット、および、予め定められた規則を格納するように構成されている。認証競合制御モジュール802は、データ記憶部801と通信可能であり、認証競合制御モジュール802は、第1制御命令パケットおよび予め定められた規則をデータ記憶部801から読出し、ネットワークデバイス上の第1制御命令パケットによって引き起こされる制御が予め定められた規則を満たしているか否かを判定するように構成されている。第1制御命令パケットによって引き起こされる制御が予め定められた規則を満たしていない場合、認証競合制御モジュール802は、第1制御命令パケットがネットワークデバイスに送信されることを防止する。
選択的に、認証競合制御モジュール802はさらに、認証モジュール804、競合判定モジュール803、優先度判定モジュール806、および、制御モジュール807を含むことができる。認証モジュール804は、ネットワークデバイス上の第1制御命令パケットによって引き起こされる制御が権限を有するか否かを判定するように構成されている。競合判定モジュール803は、ネットワークデバイス上の第1制御命令パケットによって引き起こされる制御と、ネットワークデバイス上の第2制御命令パケットによって引き起こされる制御とが競合しているか否かを判定するように構成されている。優先度判定モジュール806は、ネットワークデバイス上の第1制御命令パケットによって引き起こされる制御とネットワークデバイス上の第2制御命令パケットによって引き起こされる制御とが競合していると競合判定モジュール803が判定した場合、第1制御命令パケットの優先度が第2制御命令パケットの優先度よりも低いか否かを判定するように構成されている。制御モジュール807は、ネットワークデバイス上の第1制御命令パケットによって引き起こされた制御が権限を有さないと認証モジュール804が判定した場合、または、第1制御命令パケットの優先度が第2制御命令パケットの優先度よりも低いと優先度判定モジュール806が判定した場合、第1制御命令パケットがネットワークデバイスに送信されることを防止するように構成されている。
選択的に、データ記憶部801は、さらに、認証されたサービスIDのリストを格納するように構成されていてもよい。認証モジュール804は、承認されたサービスIDのリストをデータ記憶部801から読み出し、第1制御命令パケットに対応するサービスが権限を有するか否かを判定する。
選択的に、データ記憶部801は、さらに、グローバル制御命令リストを格納するように構成されてもよい。競合判定モジュール803は、データ記憶部801からグローバル制御命令リストを読み出し、ネットワークデバイス上の第1制御命令パケットによって引き起こされる制御とネットワークデバイス上の第2制御命令パケットによって引き起こされる制御とが競合しているか否かを判定する。
選択的に、本発明の実施形態においては、第1制御命令パケットに対応するサービスが権限を有すると認証モジュール804が判定した後に、競合判定モジュール803がトリガーされる;ネットワークデバイス上の第1制御命令パケットによって引き起こされる制御はネットワークデバイス上の第2制御命令パケットによって引き起こされる制御と競合しないことを競合判定モジュール803が決定した後、認証モジュール804がトリガーされる;第1制御命令パケットの優先度が第2制御命令パケットの優先度よりも低くないことを優先度判定モジュール806が判定した後、認証モジュール804がトリガーされる;ことも可能である。
さらに選択的に、装置800は、さらに転送モジュール805を含んでもよい。転送モジュール805は、ネットワークデバイス上の第1制御命令パケットによって引き起こされる制御が予め定められた規則を満たしているか否かを判定すると認証競合制御モジュール802が判定した場合、第1制御命令をネットワークデバイスに転送するように構成されている。
例えば、認証モジュール804が第1制御命令パケットに対応するサービスが権限を有すると判定した後、競合判定モジュール803がトリガーされる。競合判定モジュール803の判定結果が、ネットワークデバイス上の第1制御命令パケットによって引き起こされる制御とネットワークデバイス上の第2制御命令パケットによって引き起こされる制御とが競合している、である場合、優先度判定モジュール806が、さらに、第1制御命令パケットの優先度と第2制御命令パケットの優先度とを比較する。第1制御命令パケットの優先度が第2制御命令パケットの優先度よりも低くない場合、転送モジュール805がトリガーされ、転送モジュール805が、第1制御命令パケットをネットワークデバイスへ転送する。
実施形態の上記の説明により、当業者は、本発明の実施形態が、ソフトウェアの手段、および必要な汎用ハードウェアプラットフォームの手段を用いて実現されてもよいことを明確に知ることができる。もちろん、実施形態はまた、ハードウェアで実現されてもよい。このような理解に基づいて、本発明の実施形態の技術的解決法は、ソフトウェア製品の形態で示すことができる。ソフトウェア製品は、ROM/RAM、磁気ディスク、光ディスク等の記憶媒体に格納されてもよいし、コンピュータデバイスまたはサーバまたは他のネットワークデバイスが、本発明の各実施形態において説明された方法、または、本発明の実施形態のある部分で説明された方法を実行することができるようにするための複数の命令を含んでもよい。
上記は単に本発明の好適な実施形態であり、本発明の保護範囲を限定するために使用されない。本発明の精神と原則内で行われるいかなる変更、均等置換、改良などは、本発明の保護範囲に含まれるべきである。
702 プロセッサ
706 スタティックメモリ
801 データ記憶部
802 認証競合制御モジュール
803 競合判定モジュール
804 認証モジュール
805 転送モジュール
806 優先度判定モジュール
807 制御モジュール
本発明は、通信の分野に関し、特に、ネットワークデバイスを制御するための方法と装置に関する。
一態様において、本発明の実施形態は、ネットワークデバイスを制御するための方法であって、オープンサービスプラットフォームが、ネットワークデバイスに送信された第1制御命令パケットをインターセプトするステップと、前記オープンサービスプラットフォームが、前記ネットワークデバイス上の前記第1制御命令パケットによって引き起こされる制御が予め定められた規則を満たしているか否かを判定するステップと、前記オープンサービスプラットフォームが、前記制御が予め定められた規則を満たしていない場合、前記第1制御命令パケットが前記ネットワークデバイスに送信されることを防止するステップと、を有する方法を提供する。
別の態様において、本発明の実施形態は、ネットワークデバイスを制御する装置であって、認証競合制御モジュールとデータ記憶部を備え、前記データ記憶部が、ネットワークデバイスに送信されインターセプトされた第1制御命令パケットおよび予め定められた規則を格納するように構成されており、前記認証競合制御モジュールが、前記第1制御命令パケットおよび前記予め定められた規則を前記データ記憶部から読出し、前記ネットワークデバイス上の前記第1制御命令パケットによって引き起こされる制御が前記予め定められた規則を満たしているか否かを判定するように構成されており、前記認証競合制御モジュールが、前記ネットワークデバイス上の前記第1制御命令パケットによって引き起こされる前記制御が前記予め定められた規則を満たしていない場合、前記第1制御命令パケットが前記ネットワークデバイスに送信されることを防止する、装置を提供する。

Claims (11)

  1. ネットワークデバイスを制御するための方法であって、
    オープンサービスプラットフォームが、前記ネットワークデバイスに送信された第1制御命令パケットをインターセプトするステップと、
    前記オープンサービスプラットフォームが、前記ネットワークデバイス上の前記第1制御命令パケットによって引き起こされる制御が予め定められた規則を満たしているか否かを判定するステップと、
    前記オープンサービスプラットフォームが、前記制御が予め定められた規則を満たしていない場合、前記第1制御命令パケットが前記ネットワークデバイスに送信されることを防止するステップと、
    を有する方法。
  2. 前記ネットワークデバイス上の前記第1制御命令パケットによって引き起こされる制御が予め定められた規則を満たしているか否かを判定するステップが、
    前記ネットワークデバイス上の前記第1制御命令パケットによって引き起こされる前記制御が権限を有するか否かを判定するステップと、
    前記ネットワークデバイス上の前記第1制御命令パケットによって引き起こされた前記制御が権限を有さない場合、前記ネットワークデバイス上の前記第1制御命令パケットによって引き起こされる前記制御が前記予め定められた規則を満たしていないと決定するステップと、
    を含む請求項1に記載の方法。
  3. 前記ネットワークデバイス上の前記第1制御命令パケットによって引き起こされる前記制御が権限を有するか否かを判定するステップが、
    前記第1制御命令パケットに対応するサービス識別子IDを取得するステップと、
    承認されたサービスIDのリストを利用して、前記第1制御命令パケットに対応するサービスが権限を有するか否かを判定するステップと、
    を含む請求項2に記載の方法。
  4. 前記第1制御命令パケットに対応する前記サービスが権限を有していない場合、前記第1制御命令パケットを前記ネットワークデバイスに送信することを停止する、請求項3に記載の方法。
  5. 前記ネットワークデバイス上の前記第1制御命令パケットによって引き起こされる制御が予め定められた規則を満たしているか否かを判定するステップが、
    前記ネットワークデバイス上の前記第1制御命令パケットによって引き起こされる前記制御と、前記ネットワークデバイス上の第2制御命令パケットによって引き起こされる制御とが競合しているか否かを判定するステップであって、前記第2制御命令パケットは、前記第1制御命令パケットの前に前記オープンサービスプラットフォームによってインターセプトされた制御命令パケットである、ステップ、
    を含む請求項1に記載の方法。
  6. 前記ネットワークデバイス上の前記第1制御命令パケットによって引き起こされる前記制御と前記ネットワークデバイス上の第2制御命令パケットによって引き起こされる制御とが競合している場合、前記第1制御命令パケットの優先度と前記第2制御命令パケットの優先度とを比較し、
    前記第1制御命令パケットの優先度が前記第2制御命令パケットの優先度よりも低い場合、前記ネットワークデバイス上の前記第1制御命令パケットによって引き起こされる前記制御が前記予め定められた規則を満たしていないと決定する、
    請求項5に記載の方法。
  7. 認証競合制御モジュールとデータ記憶部を備えた、ネットワークデバイスを制御する装置であって、
    前記データ記憶部が、前記ネットワークデバイスに送信されインターセプトされた第1制御命令パケットおよび予め定められた規則を格納するように構成されており、
    前記認証競合制御モジュールが、前記第1制御命令パケットおよび前記予め定められた規則を前記データ記憶部から読出し、前記ネットワークデバイス上の前記第1制御命令パケットによって引き起こされる制御が前記予め定められた規則を満たしているか否かを判定するように構成されており、
    前記認証競合制御モジュールが、前記ネットワークデバイス上の前記第1制御命令パケットによって引き起こされる前記制御が前記予め定められた規則を満たしていない場合、前記第1制御命令パケットが前記ネットワークデバイスに送信されることを防止するように構成されている、
    装置。
  8. 前記認証競合制御モジュールはさらに、認証モジュールを含み、
    前記認証モジュールは、ネ前記ネットワークデバイス上の前記第1制御命令パケットによって引き起こされる前記制御が権限を有するか否かを判定するように構成されている、
    請求項7に記載の装置。
  9. 前記データ記憶部は、さらに、認証されたサービスIDのリストを格納するように構成されており、
    前記認証モジュールは、前記第1制御命令パケットに対応するサービス識別子を取得するように構成されており、
    前記認証モジュールは、前記データ記憶部から前記認証されたサービスIDのリストを読み出し、前記認証されたサービスIDのリストを利用して、前記第1制御命令パケットに対応するサービスが権限を有するか否かを判定するように構成されており、
    前記認証モジュールは、前記認証モジュールの判定結果が前記第1制御命令パケットに対応する前記サービスが権限を有していない場合、前記第1制御命令パケットを前記ネットワークデバイスに送信することを停止するように構成されている、
    請求項8に記載の装置。
  10. 前記認証競合制御モジュールは、さらに、競合制御モジュールを備え、
    前記競合制御モジュールは、前記ネットワークデバイス上の前記第1制御命令パケットによって引き起こされる前記制御と、前記ネットワークデバイス上の第2制御命令パケットによって引き起こされる制御とが競合しているか否かを判定するように構成されており、
    前記第2制御命令パケットは、前記データ記憶部に記憶され、前記第1制御命令パケットの前に、インターセプトされた制御命令パケットである、
    請求項7に記載の装置。
  11. 前記競合制御モジュールは、前記ネットワークデバイス上の前記第1制御命令パケットによって引き起こされる前記制御と前記ネットワークデバイス上の第2制御命令パケットによって引き起こされる制御とが競合している場合、前記第1制御命令パケットの優先度と前記第2制御命令パケットの優先度とを比較するように構成されており、
    前記競合制御モジュールは、前記第1制御命令パケットの優先度が前記第2制御命令パケットの優先度よりも低い場合、前記ネットワークデバイス上の前記第1制御命令パケットによって引き起こされる前記制御が前記予め定められた規則を満たしていないと決定するように構成されている、
    請求項10に記載の装置。
JP2015509275A 2012-05-02 2012-05-02 ネットワークデバイスを制御するための方法と装置 Active JP6146829B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2012/074963 WO2012126413A2 (zh) 2012-05-02 2012-05-02 一种控制网络设备的方法和装置

Publications (2)

Publication Number Publication Date
JP2015517694A true JP2015517694A (ja) 2015-06-22
JP6146829B2 JP6146829B2 (ja) 2017-06-14

Family

ID=46879790

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015509275A Active JP6146829B2 (ja) 2012-05-02 2012-05-02 ネットワークデバイスを制御するための方法と装置

Country Status (5)

Country Link
US (1) US20150058922A1 (ja)
EP (1) EP2840737B1 (ja)
JP (1) JP6146829B2 (ja)
CN (1) CN102763371B (ja)
WO (1) WO2012126413A2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3001620A4 (en) 2013-06-25 2016-07-13 Huawei Tech Co Ltd ROUTING NODE, CONTROL NODE, AND PROCESSING METHOD FOR ROUTING NODE
CN105337972B (zh) * 2015-10-23 2018-05-01 上海斐讯数据通信技术有限公司 一种网络设备访问控制方法及系统
CN108134690B (zh) * 2017-12-13 2021-07-27 中盈优创资讯科技有限公司 网络业务部署流程控制方法、装置及系统
CN111447233B (zh) * 2020-03-31 2022-05-31 国家计算机网络与信息安全管理中心 基于vxlan的报文过滤方法和装置

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5950195A (en) * 1996-09-18 1999-09-07 Secure Computing Corporation Generalized security policy management system and method
JP2000267957A (ja) * 1999-03-16 2000-09-29 Hitachi Ltd 制御系用ファイアウォール
JP2001346276A (ja) * 2000-05-31 2001-12-14 Matsushita Electric Ind Co Ltd 競合解消装置、機器制御系統、媒体および情報集合体
WO2002045334A1 (en) * 2000-11-29 2002-06-06 Nortel Networks Limited Access control enhancements, network access unit and service provider server for delivery of video and other services
US6728885B1 (en) * 1998-10-09 2004-04-27 Networks Associates Technology, Inc. System and method for network access control using adaptive proxies
US20060137005A1 (en) * 2004-12-16 2006-06-22 Samsung Electronics Co., Ltd. System for and method of authenticating device and user in home network
US20090133069A1 (en) * 2007-11-21 2009-05-21 United Video Properties, Inc. Maintaining a user profile based on dynamic data
US20090132509A1 (en) * 2005-03-28 2009-05-21 Duaxes Corporation Communication control device and communication control system
US7730521B1 (en) * 2004-09-23 2010-06-01 Juniper Networks, Inc. Authentication device initiated lawful intercept of network traffic
WO2010088967A1 (en) * 2009-02-09 2010-08-12 Telefonaktiebolaget L M Ericsson (Publ) A multiple access system
US8291468B1 (en) * 2009-03-30 2012-10-16 Juniper Networks, Inc. Translating authorization information within computer networks

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4077329B2 (ja) * 2003-01-31 2008-04-16 株式会社東芝 トランザクション処理システム、並行制御方法及びプログラム
US7672317B2 (en) * 2003-12-29 2010-03-02 Nokia Corporation Method, system, and devices for transmitting information between a user equipment and an IP packet gateway
WO2006082732A1 (ja) * 2005-02-04 2006-08-10 Nec Corporation アクセス制御装置
JP4455520B2 (ja) * 2006-03-07 2010-04-21 日本電信電話株式会社 コール制御システムとコール制御サーバ装置および方法
CN101102259A (zh) * 2006-07-05 2008-01-09 鸿富锦精密工业(深圳)有限公司 网络访问控制系统及方法
US20080052397A1 (en) * 2006-08-24 2008-02-28 Ramanathan Venkataraman Future locking of resources
CN201821376U (zh) * 2010-01-08 2011-05-04 北京星网锐捷网络技术有限公司 一种全局的网络访问控制装置和网络设备
CN101800703B (zh) * 2010-03-12 2011-12-21 北京经纬恒润科技有限公司 Afdx交换机的流量控制方法及装置
CN101848122B (zh) * 2010-06-12 2012-08-15 北京星网锐捷网络技术有限公司 一种策略路由测试方法、系统及路由设备
CN101931561A (zh) * 2010-09-07 2010-12-29 建汉科技股份有限公司 远程控制网络设备管理系统及管理端与网络设备操作方法

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5950195A (en) * 1996-09-18 1999-09-07 Secure Computing Corporation Generalized security policy management system and method
US6728885B1 (en) * 1998-10-09 2004-04-27 Networks Associates Technology, Inc. System and method for network access control using adaptive proxies
JP2000267957A (ja) * 1999-03-16 2000-09-29 Hitachi Ltd 制御系用ファイアウォール
JP2001346276A (ja) * 2000-05-31 2001-12-14 Matsushita Electric Ind Co Ltd 競合解消装置、機器制御系統、媒体および情報集合体
WO2002045334A1 (en) * 2000-11-29 2002-06-06 Nortel Networks Limited Access control enhancements, network access unit and service provider server for delivery of video and other services
JP2004515158A (ja) * 2000-11-29 2004-05-20 ノーテル・ネットワークス・リミテッド ビデオ及び他のサービスを伝達するための拡張アクセス制御
US7730521B1 (en) * 2004-09-23 2010-06-01 Juniper Networks, Inc. Authentication device initiated lawful intercept of network traffic
US20060137005A1 (en) * 2004-12-16 2006-06-22 Samsung Electronics Co., Ltd. System for and method of authenticating device and user in home network
US20090132509A1 (en) * 2005-03-28 2009-05-21 Duaxes Corporation Communication control device and communication control system
US20090133069A1 (en) * 2007-11-21 2009-05-21 United Video Properties, Inc. Maintaining a user profile based on dynamic data
WO2010088967A1 (en) * 2009-02-09 2010-08-12 Telefonaktiebolaget L M Ericsson (Publ) A multiple access system
US8291468B1 (en) * 2009-03-30 2012-10-16 Juniper Networks, Inc. Translating authorization information within computer networks

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"ユーザと連携したオープンサービスプラットフォームの提案", 電子情報通信学会2010年通信ソサイエティ大会 学会予稿集, JPN7015003540, 31 August 2010 (2010-08-31), pages 52, ISSN: 0003220344 *
LAHMADI, ABDELKADER; FESTOR, OLIVIER: "SecSip: A stateful firewall for SIP-based networks", INTEGRATED NETWORK MANAGEMENT, 2009. IM '09. IFIP/IEEE INTERNATIONAL SYMPOSIUM ON, JPN6016029485, 1 June 2009 (2009-06-01), US, pages 172 - 179, XP031499095, ISSN: 0003373438 *

Also Published As

Publication number Publication date
WO2012126413A2 (zh) 2012-09-27
CN102763371A (zh) 2012-10-31
US20150058922A1 (en) 2015-02-26
EP2840737A4 (en) 2015-03-11
JP6146829B2 (ja) 2017-06-14
EP2840737B1 (en) 2019-05-01
EP2840737A2 (en) 2015-02-25
WO2012126413A3 (zh) 2013-04-11
CN102763371B (zh) 2014-12-10

Similar Documents

Publication Publication Date Title
JP6553524B2 (ja) 専用のコンピュータセキュリティサービスを利用するシステムおよび方法
US20220046088A1 (en) Systems and methods for distributing partial data to subnetworks
US11902145B2 (en) Generating and deploying security policies for microsegmentation
EP2856702B1 (en) Policy service authorization and authentication
US20120198512A1 (en) System and method for combining an access control system with a traffic management system
US8136144B2 (en) Apparatus and method for controlling communication through firewall, and computer program product
MX2011003223A (es) Acceso al proveedor de servicio.
US11792194B2 (en) Microsegmentation for serverless computing
US11546300B2 (en) Firewall system with application identifier based rules
US11706628B2 (en) Network cyber-security platform
JP6146829B2 (ja) ネットワークデバイスを制御するための方法と装置
US20220201041A1 (en) Administrative policy override in microsegmentation
WO2018092679A1 (ja) ネットワークシステム、キャッシュ方法、キャッシュプログラム、管理装置、管理方法及び管理プログラム
JP6623702B2 (ja) ネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法。
US20110289552A1 (en) Information management system
US10594657B1 (en) Methods for parameterized sub-policy evaluation for fine grain access control during a session and devices thereof
CN114866331B (zh) 一种零信任网络下动态访问鉴权方法及设备、存储介质
AU2023203129B2 (en) Systems and methods for distributing partial data to subnetworks
WO2009143750A1 (zh) 基于tnc的终端数据管理、终端安全评估方法、装置和系统
JP2009003782A (ja) サーバ、端末、サーバプログラム、端末プログラム、システムおよびサーバ制御方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20151013

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151117

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160210

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160809

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170418

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170511

R150 Certificate of patent or registration of utility model

Ref document number: 6146829

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250