JP2015530763A - アクセス制御システム、アクセス制御方法及びプログラム - Google Patents
アクセス制御システム、アクセス制御方法及びプログラム Download PDFInfo
- Publication number
- JP2015530763A JP2015530763A JP2015511530A JP2015511530A JP2015530763A JP 2015530763 A JP2015530763 A JP 2015530763A JP 2015511530 A JP2015511530 A JP 2015511530A JP 2015511530 A JP2015511530 A JP 2015511530A JP 2015530763 A JP2015530763 A JP 2015530763A
- Authority
- JP
- Japan
- Prior art keywords
- resource
- identification information
- information
- control information
- control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Abstract
【課題】オープンフローを用いたネットワークにおけるリソース間のアクセス制御の管理負担の軽減、利便性向上。【解決手段】アクセス制御システムは、受信パケットに適用する処理内容を定めた制御情報を生成し、転送ノードに設定する制御装置と、前記制御情報を参照して、受信パケットを処理する転送ノードと、前記転送ノードに接続するリソースから取得した識別情報を用いて前記リソースを認証する認証装置と、前記認証結果及び前記識別情報を用いて、前記リソースの通信ポリシを決定するポリシ管理装置と、を含む。前記制御装置は、前記通信ポリシに対応する制御情報を生成し、前記転送ノードに設定する。【選択図】図1
Description
(関連出願についての記載)
本発明は、日本国特許出願:特願2012−190316号(2012年8月30日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は、アクセス制御システム、アクセス制御方法及びプログラムに関し、特に、転送ノードを集中制御する制御装置が配置されているネットワークのアクセス制御システム、アクセス制御方法及びプログラムに関する。
本発明は、日本国特許出願:特願2012−190316号(2012年8月30日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は、アクセス制御システム、アクセス制御方法及びプログラムに関し、特に、転送ノードを集中制御する制御装置が配置されているネットワークのアクセス制御システム、アクセス制御方法及びプログラムに関する。
近年、オープンフロー(OpenFlow)という技術が提案されている(非特許文献1、2参照)。オープンフローは、通信をエンドツーエンドのフローとして捉え、フロー単位で経路制御、障害回復、負荷分散、最適化を行うものである。非特許文献2に仕様化されているオープンフロースイッチは、オープンフローコントローラとの通信用のセキュアチャネルを備え、オープンフローコントローラから適宜追加または書き換え指示されるフローテーブルに従って動作する。フローテーブルには、フロー毎に、パケットヘッダと照合するマッチ条件(Match Fields)と、フロー統計情報(Counters)と、処理内容を定義したインストラクション(Instructions)と、の組が定義される(非特許文献2の「4.1 Flow Table」の項参照)。
例えば、オープンフロースイッチは、パケットを受信すると、フローテーブルから、受信パケットのヘッダ情報に適合するマッチ条件(非特許文献2の「4.3 Match Fields」参照)を持つエントリを検索する。検索の結果、受信パケットに適合するエントリが見つかった場合、オープンフロースイッチは、フロー統計情報(カウンタ)を更新するとともに、受信パケットに対して、当該エントリのインストラクションフィールドに記述された処理内容(指定ポートからのパケット送信、フラッディング、廃棄等)を実施する。一方、検索の結果、受信パケットに適合するエントリが見つからなかった場合、オープンフロースイッチは、セキュアチャネルを介して、オープンフローコントローラに対してエントリ設定の要求、即ち、受信パケットを処理するための制御情報の送信要求(Packet−Inメッセージ)を送信する。オープンフロースイッチは、処理内容が定められたフローエントリを受け取ってフローテーブルを更新する。このように、オープンフロースイッチは、フローテーブルに格納されたエントリを制御情報として用いてパケット転送を行う。
特許文献1の[0052]には、オープンフローコントローラが、新規フロー発生時にポリシーファイルを参照してパーミッションチェックを行い、その後に、経路を計算することによりアクセス制御を行っていると記載されている。
また、特許文献2には、外部ネットワークのサーバに認証要求を転送する必要や管理管轄外の情報端末に対するアクセス制御ポリシを時限的に設定する必要がなく、しかも、管理管轄に属していない情報端末あるいは利用者が対象ネットワークを利用することができるというネットワークアクセス制御システムが開示されている。同文献によると、このネットワークアクセス制御システムは、アクセス要求装置が認証処理装置に直接要求するのではなく、アクセス要求装置の要請を受けて代理要求装置が認証処理装置に自己の認証データで要求し、認証処理装置がその要請を受けて認証処理結果に基づくアクセス制御データをアクセス制御装置に配布する。従って、管理管轄外の情報端末であるアクセス要求装置であっても、このアクセス要求装置が管理管轄内の情報端末である代理要求装置にアクセス要求して代理要求装置、アクセス制御装置及び認証処理装置の処理が実行された後であれば、アクセス要求したアクセス要求装置からのネットワークのアクセスに対してアクセス制御装置の制御が変わってネットワークへアクセスすることができる、と記載されている。
このような特許文献2のネットワークアクセス制御システムによれば、例えば、社員IDといったユーザを一意に特定できる情報を使ってユーザ認証を行い、その認証結果を元にしてユーザの端末とサーバとの間の通信を制御することができる。
Nick McKeownほか7名、"OpenFlow: Enabling Innovation in Campus Networks"、[online]、[平成24(2012)年7月13日検索]、インターネット〈URL:http://www.openflow.org/documents/openflow-wp-latest.pdf〉
"OpenFlow Switch Specification" Version 1.1.0 Implemented (Wire Protocol 0x02)、[online]、[平成24(2012)年7月13日検索]、インターネット〈URL:http://www.openflow.org/documents/openflow-spec-v1.1.0.pdf〉
上記特許文献及び非特許文献の開示を、本書に引用をもって繰り込むものとする。以下の分析は、本発明によって与えられたものである。特許文献1及び非特許文献1、2に記載のオープンフローを用いたネットワークに、サーバ等のリソースが複数接続され、これらリソース間で通信が発生することがある。この場合、新規通信が発生する毎に、オープンフローコントローラがフローエントリを設定する方法も考えられるが、なるべくリソース間の通信に関する設定に掛かる管理負担やオープンフローコントローラの負荷を軽減したいという要請がある。
例えば、特許文献2のシステムでは、ユーザが持つID(たとえば、社員ID)を元にして、そのユーザのユーザ端末のアクセス制御を実現しているため、この種のIDを持たないリソース間のアクセス制御にそのまま適用することはできない。このようなリソース間のアクセス制御を実現するには、例えば、管理者がそのサーバに設定されたIP(Internet Protocol)アドレスやMAC(Media Access Control)アドレスを上記IDとして用いて、アクセス制御ルールを作成することになる。しかしながら、この場合、管理対象とするすべてのリソースのIPアドレス及びMACアドレスを把握していなければ、管理者が当該リソースからアクセス可能/不可能な範囲を網羅したアクセス制御ルールを作成できないという問題点がある。
また、上記方式の場合、リソースが持つIPアドレスやMACアドレスに変更が生じた場合、その都度、アクセス制御ルールを変更する必要があり、管理が非常に煩雑になるという問題点がある。従って、特許文献2に開示されたアプローチは、特許文献1及び非特許文献1、2に記載のオープンフローを用いたネットワークにおけるリソース間のアクセス制御には向いていない。
本発明の目的は、特許文献1及び非特許文献1、2に記載のオープンフローを用いたネットワークにおける、上記サーバに代表されるリソース間のアクセス制御の管理負担の軽減、利便性向上に貢献できるアクセス制御システム、アクセス制御方法及びプログラムを提供することにある。
第1の視点によれば、受信パケットに適用する処理内容を定めた制御情報を生成し、転送ノードに設定する制御装置と、前記制御情報を参照して、受信パケットを処理する転送ノードと、前記転送ノードに接続するリソースから取得した識別情報を用いて前記リソースを認証する認証装置と、前記認証結果及び前記識別情報を用いて、前記リソースの通信ポリシを決定するポリシ管理装置と、を含み、前記制御装置が、前記通信ポリシに対応する制御情報を生成し、前記転送ノードに設定するアクセス制御システムが提供される。
第2の視点によれば、受信パケットに適用する処理内容を定めた制御情報を生成し、転送ノードに設定する制御装置と、前記制御情報を参照して、受信パケットを処理する転送ノードと、を含む通信システムに接続された装置が、前記転送ノードに接続するリソースから取得した識別情報を用いて前記リソースを認証するステップと、前記認証結果及び前記識別情報を用いて、前記リソースの通信ポリシを決定するステップと、前記通信ポリシに対応する制御情報を生成し、前記転送ノードに設定するステップと、を含むアクセス制御方法が提供される。本方法は、リソースの認証、通信ポリシの決定、制御情報の生成・設定を行う一以上の装置という、特定の機械に結びつけられている。
第3の視点によれば、受信パケットに適用する処理内容を定めた制御情報を生成し、転送ノードに設定する制御装置と、前記制御情報を参照して、受信パケットを処理する転送ノードと、を含む通信システムに接続された装置に搭載されたコンピュータに、前記転送ノードに接続するリソースから取得した識別情報を用いて前記リソースを認証する処理と、前記認証結果及び前記識別情報を用いて、前記リソースの通信ポリシを決定する処理と、前記通信ポリシに対応する制御情報を生成し、前記転送ノードに設定する処理と、を実行させるプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な(非トランジエントな)記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。
本発明によれば、特許文献1及び非特許文献1、2に記載のオープンフローを用いたネットワークにおけるリソース間のアクセス制御の管理負担の軽減、利便性向上に貢献することが可能となる。
はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。
本発明は、その一実施形態において、受信パケットに適用する処理内容を定めた制御情報を生成し、転送ノード(図1の200)に設定する制御装置(図1の100)と、前記制御情報を参照して、受信パケットを処理する転送ノード(図1の200)と、前記転送ノードに接続するリソースから取得した識別情報を用いて前記リソースを認証する認証装置(図1の600)と、前記認証結果及び前記識別情報を用いて、前記リソースの通信ポリシを決定するポリシ管理装置(図1の310)と、を含む構成にて実現できる。
より具体的には、前記制御装置(図1の100)は、ポリシ管理装置(図1の310)にて前記リソースの通信ポリシが決定されると、前記通信ポリシに対応する制御情報を生成し、前記転送ノード(図1の200)に設定する。
以上により、リソース間の通信設定が完了する。そして、一旦設定が完了すれば、リソース間の通信は制御情報によってフローベース制御されることになる。また設定後、リソースが持つIPアドレスやMACアドレスに変更が生じたとしても、認証装置(図1の600)において、正しい認証処理がなされるよう修正を行えばよいため、管理が煩雑になるという問題も生じ難い。
また、前記認証装置(図1の600)がリソースの認証を行うタイミングは、リソースの接続時とすることができる。このようにすれば、新しいリソースが転送ノードに接続される都度、その識別情報に基づいて自動的に通信ポリシの決定と制御情報の設定が完了することになる。
なお、制御情報に有効期限を設け、転送ノード(図1の200)が、使われていない制御情報等を整理する構成とすることもできる。例えば、設定後所定時間の経過(ハードタイムアウト)や、最後にその制御情報に適合するパケットを受信してから所定時間の経過(アイドルタイムアウト)等の条件が成立したときに、転送ノード(図1の200)が制御情報を削除する形態等が考えられる。
[第1の実施形態]
続いて、本発明の第1の実施形態について図面を参照して詳細に説明する。図2は、本発明の第1の実施形態のアクセス制御システムの構成を示す図である。図2を参照すると、転送ノード200と、転送ノード200を制御する制御装置100と、制御装置100に通信ポリシを通知するポリシ管理装置310と、リソースの認証を行う認証装置600と、識別情報記憶装置700と、を含んだ構成が示されている。
続いて、本発明の第1の実施形態について図面を参照して詳細に説明する。図2は、本発明の第1の実施形態のアクセス制御システムの構成を示す図である。図2を参照すると、転送ノード200と、転送ノード200を制御する制御装置100と、制御装置100に通信ポリシを通知するポリシ管理装置310と、リソースの認証を行う認証装置600と、識別情報記憶装置700と、を含んだ構成が示されている。
転送ノード200は、受信パケットと照合するマッチ条件と前記マッチ条件に適合するパケットに適用する処理内容(アクション)とを対応付けた制御情報に従って、受信パケットを処理するスイッチング装置である。このような転送ノードとしては、オープンフローコントローラから設定されたフローエントリを制御情報として用いて動作する非特許文献2のオープンフロースイッチを用いることもできる。また、図2の転送ノード200には、リソース410と420とが接続されており、リソース410と420とは、転送ノード200を介して通信可能となっている。また、図2の例では、転送ノードは1台であるものとしているが、複数接続されていてもよい。
リソース410、420は、サーバやPC(Personal Computer)等に代表されるコンピュータであり、それぞれのリソースは、リソース自身を一意に特定するための識別情報510、520を保有している。識別情報は、例えば、コンピュータ名やMACアドレスと任意の文字列による組み合わせ等で表される。識別情報は、リソースを一意に特定できる文字列であればどのようなものであってもよい。また、本実施形態では、リソース410、420は、転送ノード200と有線で接続される機器であるものとして説明するが、転送ノード200と無線で接続されるタブレット端末やスマートフォン等のモバイル端末であってもよい。
図3は、リソースが持つ識別情報の例を示す図である。図3の上段は、リソース410の識別情報510の例を示し、図3の下段は、リソース420の識別情報520の例を示している。それぞれの情報は同じ形式であり、リソース名と、MACアドレスと、IPアドレスとの対で構成される。例えば、リソース410の識別情報510は、リソース名が「aaa」で、MACアドレスが「aa:aa:aa:aa:aa:aa」で、IPアドレスが「1.1.1.1」となっている。各リソースの識別情報は、リソース名が必須であり、MACアドレスとIPアドレスは任意である。例えば、図3のリソース420の識別情報520は、リソース名「bbb」のみで構成されている。
認証装置600は、識別情報記憶装置700に保持されている各リソースの識別情報を参照して、リソースの認証を行い、その結果をポリシ管理装置310に送信する。本実施形態では、認証装置600は、リソース410、420が転送ノード200に接続された時、転送ノード200を介して、リソース410、420からそれぞれ保有する識別情報510、520を受け取る。そして、認証装置600は、識別情報記憶装置700に保持されているリソースの識別情報と、前記リソースから受け取った識別情報とを照合して、それぞれのリソースがネットワークに接続できる正当なリソースであるか否かを判定(認証)する。そして、認証装置600は、その結果をポリシ管理装置310に送信する。なお、図2の例では、認証装置600と識別情報記憶装置700とを別個に設けているが、認証装置600に備えられたハードディスク等の記憶装置を識別情報記憶装置700として用いることもできる。
図4は、識別情報記憶装置700に保持されている識別情報(リソース識別情報)の構成を示す図である。図4を参照すると、リソース名と、ロールIDと、MACアドレスと、IPアドレスと、接続スイッチと、接続ポートとを対応付けたリソース識別情報が示されている。例えば、図4のリソース名aaaを持つリソースは、MACアドレスがaa:aa:aa:aa:aa:aaで、IPアドレスが1.1.1.1で、接続スイッチがswitch1で、接続ポートが1であることが確認された場合に、認証成功となり、role_0001のロールIDが与えられる。同様に、リソース名がdddのリソース、IPアドレスが4.4.4.4で、接続ポートが2であることが確認された場合に、認証成功となり、role_0004のロールIDが与えられる。なお、図4の例では、MACアドレス、IPアドレス、接続スイッチ、接続ポートは、任意項目であり、値が設定されている場合にのみ、認証処理に用いられることになる。このため、リソース名がdddのリソースの認証時には、MACアドレスや接続スイッチの値は使用されないことになる。
ポリシ管理装置310は、ポリシ記憶装置320に保持されている情報を参照して、接続してきたリソースの通信ポリシを決定し、その結果を制御装置100に送信する。本実施形態では、ポリシ管理装置310は、認証装置600からの認証情報及び識別情報の受信又は制御装置100からの通信ポリシの送信要求等のタイミングで、該当するリソースの通信ポリシを決定する。なお、図2の例では、ポリシ管理装置310とポリシ記憶装置320とを別個に設けているが、ポリシ管理装置310に備えられたハードディスク等の記憶装置をポリシ記憶装置320として用いることもできる。
図5は、ポリシ記憶装置320に保持されている通信ポリシの一例を示す図である。図5の例では、ロールIDにて識別されるロール毎に、リソースのグループに与えられたリソースグループIDと、アクセス権限とを設定したエントリを格納するテーブルが示されている。例えば、ロールID:role_0001を持つユーザは、リソースグループID:resource_group_0001、resource_group_0002の双方へのアクセスが許可されている。他方、ロールID:role_0002のユーザは、リソースグループID:resource_group_0001へのアクセスは禁止され、resource_group_0002へのアクセスが許可されている。
また、図6は、ポリシ記憶装置320に保持されているリソース情報の一例を示す図である。図6の例では、上記したリソースグループIDに属するリソースのリソースIDやその詳細属性を対応付けた内容となっている。例えば、リソースグループID:resource_group_0001で特定されるグループには、resource_0001、resource_0002、resource_0003を持つリソースが含まれ、それぞれのリソース名、IPアドレスやMACアドレスやサービスに利用するポート番号などを特定できるようになっている。
ポリシ管理装置310は、上記のような通信ポリシ及びリソース情報を参照して、認証装置600にて認証を受けたリソースの通信ポリシを決定し、制御装置100に通知する。例えば、認証装置600から受信した認証情報に含まれるロールIDにて、図5のポリシ情報から該当するロールIDに紐付けられたリソースグループIDと、そのアクセス権限の内容を特定することができる。そして、図6のリソース情報からリソースグループIDに属するリソースの情報を用いて、あるリソースからアクセス可能なリソースやアクセスが禁止されているリソースを特定することができる。
図7は、図4、図5、図6に示した情報から作成され、制御装置100に提供される通信ポリシの例である。図7の1番目のエントリの送信元リソース名欄には、今回ネットワークに接続したリソース名「aaa」が設定されている。また、宛先リソース名欄には、当該リソースのロールIDに基づきアクセス可能またはアクセス不可能であるリソース名(「bbb」、「ppp」、「qqq」、「sss」)が設定されている。また、アクセス権限欄には、図5のポリシ情報のロールID:role_0001のアクセス権限と同じ値が設定されている。また、条件(オプション)欄には、図6のリソース情報のリソース属性欄に設定されていたサービスとポート番号が設定されている。なお、図7の条件(オプション)フィールドは任意に設定できる項目であり、適宜省略することができる。
また、ポリシ管理装置310は、ユーザからの通信ポリシの作成や設定変更等を受け付け、その結果を制御装置100へ提供する仕組み(以下、通信ポリシ編集機能と称す)を持つ。通信ポリシ編集機能は、例えば、通信ポリシの編集機能を実現するアプリケーションプログラムであり、ユーザは、通信ポリシを自由に作成、修正、削除することができる。ポリシ管理装置310は、更新された通信ポリシ情報をポリシ記憶装置320に記録するとともに、更新された通信ポリシ情報、およびリソース情報に基づいてリソースの通信ポリシを作成し、制御装置100に送信する。
このように、本実施形態のポリシ管理装置310及びポリシ記憶装置320によれば、ユーザは、自由に通信ポリシの作成や修正、削除等の管理業務を行えるようになっている。このようなポリシ管理の仕組みは、Webベースのシステムとしてユーザに提供してもよいし、独立したPC上で動くアプリケーションとして提供してもよいし、GUI(Graphical User Interface)を用いたアプリケーションではなく、CLI(Command Line Interface)を提供してもよいし、どのような形態であってもよい。
制御装置100は、ポリシ管理装置310から上記したリソースの通信ポリシを受信すると、まず、当該通信ポリシの適用対象となるリソースからのパケットを処理するための制御情報の設定要求(非特許文献2のPacket−Inメッセージ)を送信させる制御情報を作成し、転送ノード200に設定する。また、制御装置100は、前記制御情報により、転送ノード200から制御情報の設定要求を受けた場合、当該制御情報の設定要求に含まれるパケット情報に基づいて、通信ポリシにて定められた端点間のパケットの転送経路を計算する。そして、制御装置100は、この転送経路上の転送ノードに転送経路に沿ったパケット転送を実行させる制御情報を作成し、転送経路上の転送ノードに設定する。
図8は、本実施形態の制御装置100の詳細構成を表したブロック図である。図8を参照すると、制御装置100は、転送ノード200との通信を行うノード通信部11と、制御メッセージ処理部12と、制御情報管理部13と、制御情報記憶部14と、転送ノード管理部15と、経路・アクション計算部16と、トポロジ管理部17と、リソース位置管理部18と、通信ポリシ管理部19と、通信ポリシ記憶部20と、を備えて構成される。これらはそれぞれ次のように動作する。
制御メッセージ処理部12は、転送ノードから受信した制御メッセージを解析して、制御装置100内の該当する処理手段に制御メッセージ情報を引き渡す。
制御情報管理部13は、どの転送ノードにどのような制御情報が設定されているかを管理する。具体的には、経路・アクション計算部16にて作成された制御情報を制御情報記憶部14に登録し、転送ノードに設定すると共に、転送ノードからの制御情報削除通知などにより、転送ノードにて設定した制御情報に変更が生じた場合にも対応して制御情報記憶部14の登録情報をアップデートする。
転送ノード管理部15は、制御装置100の制御対象の転送ノードの能力(例えば、ポートの数や種類、サポートするアクションの種類など)を管理する。
経路・アクション計算部16は、通信ポリシ管理部19からリソースの通信ポリシを受信すると、まず、トポロジ管理部17に保持されているネットワークトポロジを参照し、該当リソースからのパケットを受信する転送ノード200に、当該リソースからのパケットについて制御情報の設定要求を実行させる制御情報を作成し、設定する。
また、経路・アクション計算部16は、上記した制御情報に基づき、制御情報の設定要求を受けると、当該制御情報の設定要求に含まれるパケット情報に基づいて、当該パケットの転送経路および該転送経路を実現する制御情報を作成する。具体的には、経路・アクション計算部16は、リソース位置管理部18にて管理されているリソースの位置情報とトポロジ管理部17にて構築されたネットワークトポロジ情報に基づいて、リソース間のパケットの転送経路を計算する。次に、経路・アクション計算部16は、転送ノード管理部15から、前記転送経路上の転送ノードのポート情報等を取得して、前記計算した転送経路を実現するために経路上の転送ノードに実行させるアクションと、当該アクションを適用するフローを特定するためのマッチ条件を求める。なお、前記マッチ条件は、制御情報の設定要求に含まれるパケット情報や図7の条件(オプション)等を用いて作成することができる。
従って、図7の通信ポリシの1番目のエントリの場合、送信元リソース名:aaaから宛先リソース名:bbbに宛てられたパケットを、次ホップとなる転送ノードやリソースが接続されたポートから転送させるアクションを定めた各制御情報が作成される。なお、上記制御情報の設定の際に、制御情報の設定要求を受けたパケットだけでなく、リソースがアクセス権を有しているすべてのリソースへのパケット転送を実現する制御情報を作成し、設定するようにしてもよい(必要に応じて、識別情報記憶装置やポリシ管理装置310に宛先リソースの情報等を問い合わせる構成としてもよい。)。
トポロジ管理部17は、ノード通信部11を介して収集された転送ノード200の接続関係に基づいてネットワークトポロジ情報を構築する。
リソース位置管理部18は、通信システムに接続しているリソースの位置を特定するための情報を管理する。本実施形態では、リソースを識別する情報としてリソース名を用い、リソースの位置を特定するための情報として、リソースが接続している転送ノードの転送ノード識別子とそのポートの情報を使用するものとして説明する。もちろん、これらの情報に代えて、例えば、ポリシ管理装置310や認証装置600からもたらされる情報等を用いて、リソースとその位置を特定するものとしても良い。
通信ポリシ管理部19は、ポリシ管理装置310から通信ポリシを受信すると、通信ポリシ記憶部20に格納するとともに、経路・アクション計算部16に送信する。通信ポリシ記憶部20には、図7に示した通信ポリシが格納され、経路・アクション計算部16からの要求に応じて、該当するリソースの通信ポリシを提供できるようになっている。
以上のような制御装置100は、非特許文献1、2のオープンフローコントローラをベースに、上記した通信ポリシの受信を契機とした処理規則(フローエントリ)の作成機能を追加することでも実現できる。
なお、図8に示した制御装置100の各部(処理手段)は、制御装置100を構成するコンピュータに、そのハードウェアを用いて、上記した各情報を記憶し、上記した各処理を実行させるコンピュータプログラムにより実現することもできる。
続いて、本実施形態の動作について図面を参照して詳細に説明する。図9と図10は、本実施形態の一連の動作を表したシーケンス図である。ここでは、リソース410が新たに転送ノード200に接続され、リソース410からリソース420へパケットを送信するための設定が自動的に行われる過程を説明する。
図9を参照すると、まず、リソース410が転送ノードに接続されると認証装置600へのパケット転送が行われる(図9のS001)。この時、リソース410は、リソース410が持つ識別情報510の情報を転送ノードを介して認証装置600へ渡す。
認証装置600は、リソース410の識別情報510を受け取り、識別情報記憶装置700に格納されているリソース識別情報を参照して、ネットワークにリソース410を接続させて良いか否かを判定するための認証処理を行う(図9のS002)。
前記認証処理の結果、ネットワークにリソース410を接続させて良いと判定した場合(認証OK)、認証装置600は、ポリシ管理装置310に対し、識別情報記憶装置700のリソース410に該当する情報(認証情報)を送信する(図9のS003)。なお、前記認証処理の結果、認証失敗であった場合、認証装置600が、制御装置100に対し、その旨を通知するようにしてもよい。このようにすることで、制御装置100に、該当するリソースからのパケットを破棄する制御情報を設定させることができる。
ポリシ管理装置310は、認証装置600からリソース410の情報を受け取ると、ポリシ記憶装置320に保持されている情報を参照してリソース410の通信ポリシを決定し(図9のS004)、制御装置100に送信する(図9のS005)。
制御装置100は、ポリシ管理装置310からリソース410に関する通信ポリシを受け取ると、リソース410を送信元又は宛先とするパケットについて制御情報の設定要求を行わせる制御情報を作成する(図9のS006)。そして、制御装置100は、転送ノード200に対して、前記制御情報の設定を指示する制御メッセージを送信する(図9のS007)。転送ノード200は、制御装置100からの制御メッセージに従い、前記制御情報を設定して(図9のS008)、一連の処理を終了する。
続いて、その後、リソース410からリソース420へパケットが送信される場合の処理の動作について、図10を用いて説明する。図10を参照すると、まず、リソース410が、リソース420宛のパケットを送信する(図10のS101)。リソース410から送信されたパケットは、転送ノード200へ届く。転送ノード200は、図9のS008で設定した制御情報に従い、制御装置100に制御情報の設定を要求する(図10のS103)。
前記制御情報の設定要求を受けた制御装置100は、トポロジ記憶部17、リソース位置管理部18、通信ポリシ記憶部20に記憶されている情報を参照し、リソース410からリソース420宛てのパケットの転送経路の計算を行う。さらに、制御装置100は、計算した転送経路上の転送ノード200に、リソース410からリソース420宛てのパケットを転送させる制御情報を作成する(図10のS104)。
図11は、図10のS104で作成される制御情報の一例である。図11の例では、リソース410からリソース420宛てのパケットをそれぞれのMACアドレスとIPアドレスの組み合わせで特定するマッチ条件と、このマッチ条件に適合するパケットに適用するアクションが設定されている。これにより、転送ノード200が、リソース410からリソース420宛てのパケットを受信すると、図11の制御情報に従い、転送ノード200の接続ポート2から該当パケットを転送する処理が行われる。これにより、リソース410からリソース420宛てのパケットがリソース420に転送される。
そして、制御装置100は、転送ノード200に対して、前記制御情報の設定とリソース410から受信したパケットの転送を指示する制御メッセージを送信する(図10のS105)。転送ノード200は、制御装置100からの制御メッセージに従い、前記制御情報を設定するとともに(図10のS106)、リソース410から受信したパケットをリソース420に送信する(図10のS107)。
その後、リソース410が、リソース420宛てのパケットを送信すると(図10のS201)、転送ノード200は、図10のS106で設定した制御情報を参照して、受信したパケットの転送先を判定し(図10のS202)、パケットを転送する(図10のS203)。以上のようにして、リソース410とリソース420間の通信が可能となる。
以上のように、本実施形態によれば、新たにネットワークに接続されるリソースについて、予めネットワークの環境に合わせてIPアドレスを設定したり、MACアドレスを通知したりしなくてもリソース名による認証を行うだけで、必要な通信設定を完了することが可能となる。また、本実施形態によれば、予め定められた通信ポリシ(図5のロール別通信ポリシ)に従って自動的に前記リソースの通信ポリシを決定できるようになり、ネットワーク管理者等の管理業務の負荷を軽減することが可能となる。
以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、上記した各実施形態では、制御装置100と、ポリシ管理装置310と、ポリシ記憶装置320と、認証装置600と、識別情報記憶装置700とをそれぞれ独立して設けるものとして説明したが、これらを適宜統合した構成も採用可能である。
また、上記した実施形態では、図3〜図7を示してリソースのロールIDを割り出してアクセス制御を行うものとして説明したが、ロールIDを用いない構成も採用可能である。例えば、リソース毎に付与されているリソース名や、MACアドレス等のアクセスID、リソースの位置情報などについて、アクセス可否を定めた通信ポリシを決めておき、これに基づいて、アクセス制御を行うことも可能である。
また、上記した実施形態では、リソース410が、転送ノード200を介して認証装置600と認証手続きを行うものとして説明したが、リソース410が直接認証装置600と通信し、認証手続きを実施する構成も採用可能である。
また、上記した実施形態では、リソース410の接続時に、リソース410からのパケットについて制御情報の設定要求を行わせる制御情報のみを設定しておき(図9参照)、その後、実際の通信フローが発生した段階で制御情報を設定するものとしていたが(図10参照)、図9のS006〜S008の段階で、通信ポリシに基づき、必要な(リソース410を起点又は終点とする)経路の計算や制御情報を作成し、転送ノード200に設定することでもよい。
なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。
最後に、本発明の好ましい形態を要約する。
[第1の形態]
(上記第1の視点によるアクセス制御システム参照)
[第2の形態]
第1の形態のアクセス制御システムにおいて、
さらに、リソースの識別情報とロールIDとを紐付けて記憶する識別情報記憶装置を含み、
前記認証装置は、前記リソースから取得した識別情報と、識別情報記憶装置に記憶されている内容とを照合して認証処理を行い、認証に成功した場合、前記ポリシ管理装置に対し、前記ロールIDを送信し、
前記ポリシ管理装置は、前記ロールID毎に定められたアクセス可否情報を用いて、前記リソースの通信ポリシを決定するアクセス制御システム。
[第3の形態]
第2の形態のアクセス制御システムにおいて、
前記アクセス可否情報には、リソースをグループ化したリソースグループへのアクセス可否が含まれており、
前記ポリシ管理装置は、前記各リソースグループへのアクセス可否を参照して、前記リソースの通信ポリシを決定するアクセス制御システム。
[第4の形態]
第1〜第3いずれか一の形態のアクセス制御システムにおいて、
前記制御装置は、
前記ポリシ管理装置からリソースの通信ポリシを受信すると、前記リソースに接続されている転送ノードに、前記リソースを送信元又は宛先とするパケットについて前記制御装置に対し制御情報の設定要求を行わせる制御情報を設定し、
前記リソースを送信元又は宛先とする通信が発生したときに、前記リソースの通信ポリシに基づいて、前記リソースを送信元又は宛先とするパケットの転送経路上の転送ノードに、前記リソースを送信元又は宛先とするパケットを転送させる制御情報を設定するアクセス制御システム。
[第5の形態]
第1〜第3いずれか一の形態のアクセス制御システムにおいて、
前記制御装置は、前記ポリシ管理装置からリソースの通信ポリシを受信すると、前記リソースの通信ポリシに基づいて、前記リソースを起点又は終点とするリソース間のパケットの転送経路を計算し、前記転送経路上の転送ノードに、前記リソース間のパケットを転送させる制御情報を設定するアクセス制御システム。
[第6の形態]
(上記第2の視点によるアクセス制御方法参照)
[第7の形態]
(上記第3の視点によるプログラム参照)
なお、前記第6、第7の形態は、第1の形態と同様に第2〜第5の形態に展開することが可能である。
[第1の形態]
(上記第1の視点によるアクセス制御システム参照)
[第2の形態]
第1の形態のアクセス制御システムにおいて、
さらに、リソースの識別情報とロールIDとを紐付けて記憶する識別情報記憶装置を含み、
前記認証装置は、前記リソースから取得した識別情報と、識別情報記憶装置に記憶されている内容とを照合して認証処理を行い、認証に成功した場合、前記ポリシ管理装置に対し、前記ロールIDを送信し、
前記ポリシ管理装置は、前記ロールID毎に定められたアクセス可否情報を用いて、前記リソースの通信ポリシを決定するアクセス制御システム。
[第3の形態]
第2の形態のアクセス制御システムにおいて、
前記アクセス可否情報には、リソースをグループ化したリソースグループへのアクセス可否が含まれており、
前記ポリシ管理装置は、前記各リソースグループへのアクセス可否を参照して、前記リソースの通信ポリシを決定するアクセス制御システム。
[第4の形態]
第1〜第3いずれか一の形態のアクセス制御システムにおいて、
前記制御装置は、
前記ポリシ管理装置からリソースの通信ポリシを受信すると、前記リソースに接続されている転送ノードに、前記リソースを送信元又は宛先とするパケットについて前記制御装置に対し制御情報の設定要求を行わせる制御情報を設定し、
前記リソースを送信元又は宛先とする通信が発生したときに、前記リソースの通信ポリシに基づいて、前記リソースを送信元又は宛先とするパケットの転送経路上の転送ノードに、前記リソースを送信元又は宛先とするパケットを転送させる制御情報を設定するアクセス制御システム。
[第5の形態]
第1〜第3いずれか一の形態のアクセス制御システムにおいて、
前記制御装置は、前記ポリシ管理装置からリソースの通信ポリシを受信すると、前記リソースの通信ポリシに基づいて、前記リソースを起点又は終点とするリソース間のパケットの転送経路を計算し、前記転送経路上の転送ノードに、前記リソース間のパケットを転送させる制御情報を設定するアクセス制御システム。
[第6の形態]
(上記第2の視点によるアクセス制御方法参照)
[第7の形態]
(上記第3の視点によるプログラム参照)
なお、前記第6、第7の形態は、第1の形態と同様に第2〜第5の形態に展開することが可能である。
なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。
11 ノード通信部
12 制御メッセージ処理部
13 制御情報管理部
14 制御情報記憶部
15 転送ノード管理部
16 経路・アクション計算部
17 トポロジ管理部
18 リソース位置管理部
19 通信ポリシ管理部
20 通信ポリシ記憶部
100 制御装置
200 転送ノード
310 ポリシ管理装置
320 ポリシ記憶装置
410、420 リソース
510、520 識別情報
600 認証装置
700 識別情報記憶装置
12 制御メッセージ処理部
13 制御情報管理部
14 制御情報記憶部
15 転送ノード管理部
16 経路・アクション計算部
17 トポロジ管理部
18 リソース位置管理部
19 通信ポリシ管理部
20 通信ポリシ記憶部
100 制御装置
200 転送ノード
310 ポリシ管理装置
320 ポリシ記憶装置
410、420 リソース
510、520 識別情報
600 認証装置
700 識別情報記憶装置
Claims (13)
- 受信パケットに適用する処理内容を定めた制御情報を生成し、転送ノードに設定する制御装置と、
前記制御情報を参照して、受信パケットを処理する転送ノードと、
前記転送ノードに接続するリソースから取得した識別情報を用いて前記リソースを認証する認証装置と、
前記認証結果及び前記識別情報を用いて、前記リソースの通信ポリシを決定するポリシ管理装置と、を含み、
前記制御装置が、前記通信ポリシに対応する制御情報を生成し、前記転送ノードに設定するアクセス制御システム。 - さらに、リソースの識別情報とロールIDとを紐付けて記憶する識別情報記憶装置を含み、
前記認証装置は、前記リソースから取得した識別情報と、前記識別情報記憶装置に記憶されている内容とを照合して認証処理を行い、認証に成功した場合、前記ポリシ管理装置に対し、前記ロールIDを送信し、
前記ポリシ管理装置は、前記ロールID毎に定められたアクセス可否情報を用いて、前記リソースの通信ポリシを決定する請求項1のアクセス制御システム。 - 前記アクセス可否情報には、リソースをグループ化したリソースグループへのアクセス可否が含まれており、
前記ポリシ管理装置は、前記各リソースグループへのアクセス可否を参照して、前記リソースの通信ポリシを決定する請求項2のアクセス制御システム。 - 前記制御装置は、
前記ポリシ管理装置からリソースの通信ポリシを受信すると、前記リソースに接続されている転送ノードに、前記リソースを送信元又は宛先とするパケットについて前記制御装置に対し制御情報の設定要求を行わせる制御情報を設定し、
前記リソースを送信元又は宛先とする通信が発生したときに、前記リソースの通信ポリシに基づいて、前記リソースを送信元又は宛先とするパケットの転送経路上の転送ノードに、前記リソースを送信元又は宛先とするパケットを転送させる制御情報を設定する請求項1から3いずれか一のアクセス制御システム。 - 前記制御装置は、前記ポリシ管理装置からリソースの通信ポリシを受信すると、前記リソースの通信ポリシに基づいて、前記リソースを起点又は終点とするリソース間のパケットの転送経路を計算し、前記転送経路上の転送ノードに、前記リソース間のパケットを転送させる制御情報を設定する請求項1から3いずれか一のアクセス制御システム。
- 受信パケットに適用する処理内容を定めた制御情報を生成し、転送ノードに設定する制御装置と、
前記制御情報を参照して、受信パケットを処理する転送ノードと、を含む通信システムに接続された装置が、
前記転送ノードに接続するリソースから取得した識別情報を用いて前記リソースを認証するステップと、
前記認証結果及び前記識別情報を用いて、前記リソースの通信ポリシを決定するステップと、
前記通信ポリシに対応する制御情報を生成し、前記転送ノードに設定するステップと、を含むアクセス制御方法。 - 前記転送ノードに接続するリソースから取得した識別情報を用いて前記リソースを認証するステップにおいて、
前記リソースから取得した識別情報と、リソースの識別情報とロールIDとを紐付けて記憶する識別情報記憶装置に記憶されている内容とを照合して認証処理を行い、認証に成功した場合、前記ロールIDを特定し、
前記認証結果及び前記識別情報を用いて、前記リソースの通信ポリシを決定するステップにおいて、
前記ロールID毎に定められたアクセス可否情報を用いて、前記リソースの通信ポリシを決定する請求項6のアクセス制御方法。 - 前記アクセス可否情報には、リソースをグループ化したリソースグループへのアクセス可否が含まれており、
前記各リソースグループへのアクセス可否を参照して、前記リソースの通信ポリシを決定する請求項7のアクセス制御方法。 - さらに、前記制御装置が、
前記リソースの通信ポリシに基づいて、前記リソースに接続されている転送ノードに、前記リソースを送信元又は宛先とするパケットについて前記制御装置に対し制御情報の設定要求を行わせる制御情報を設定するステップと、
前記リソースを送信元又は宛先とする通信が発生したときに、前記リソースの通信ポリシに基づいて、前記リソースを送信元又は宛先とするパケットの転送経路上の転送ノードに、前記リソースを送信元又は宛先とするパケットを転送させる制御情報を設定するステップと、を含む請求項6から8いずれか一のアクセス制御方法。 - さらに、前記制御装置が、
前記リソースの通信ポリシに基づいて、前記リソースを起点又は終点とするリソース間のパケットの転送経路を計算し、前記転送経路上の転送ノードに、前記リソース間のパケットを転送させる制御情報を設定するステップと、を含む請求項6から8いずれか一のアクセス制御方法。 - 受信パケットに適用する処理内容を定めた制御情報を生成し、転送ノードに設定する制御装置と、
前記制御情報を参照して、受信パケットを処理する転送ノードと、を含む通信システムに接続された装置に搭載されたコンピュータに、
前記転送ノードに接続するリソースから取得した識別情報を用いて前記リソースを認証する処理と、
前記認証結果及び前記識別情報を用いて、前記リソースの通信ポリシを決定する処理と、
前記通信ポリシに対応する制御情報を生成し、前記転送ノードに設定する処理と、を実行させるプログラム。 - 前記転送ノードに接続するリソースから取得した識別情報を用いて前記リソースを認証する処理として、
前記リソースから取得した識別情報と、リソースの識別情報とロールIDとを紐付けて記憶する識別情報記憶装置に記憶されている内容とを照合して認証処理を行い、認証に成功した場合、前記ロールIDを特定する処理、
前記認証結果及び前記識別情報を用いて、前記リソースの通信ポリシを決定する処理として、
前記ロールID毎に定められたアクセス可否情報を用いて、前記リソースの通信ポリシを決定する処理を実行させる請求項11のプログラム。 - 前記アクセス可否情報には、リソースをグループ化したリソースグループへのアクセス可否が含まれており、
前記各リソースグループへのアクセス可否を参照して、前記リソースの通信ポリシを決定する請求項12のプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015511530A JP2015530763A (ja) | 2012-08-30 | 2013-08-29 | アクセス制御システム、アクセス制御方法及びプログラム |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012190316 | 2012-08-30 | ||
| JP2012190316 | 2012-08-30 | ||
| PCT/JP2013/005109 WO2014034119A1 (en) | 2012-08-30 | 2013-08-29 | Access control system, access control method, and program |
| JP2015511530A JP2015530763A (ja) | 2012-08-30 | 2013-08-29 | アクセス制御システム、アクセス制御方法及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2015530763A true JP2015530763A (ja) | 2015-10-15 |
Family
ID=50182953
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015511530A Pending JP2015530763A (ja) | 2012-08-30 | 2013-08-29 | アクセス制御システム、アクセス制御方法及びプログラム |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP2015530763A (ja) |
| WO (1) | WO2014034119A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101763653B1 (ko) * | 2016-01-04 | 2017-08-14 | 아토리서치(주) | 네트워크 자원을 인식하고 관리하는 방법 및 장치 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10313397B2 (en) | 2015-04-10 | 2019-06-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and devices for access control of data flows in software defined networking system |
| CN111385278B (zh) * | 2018-12-29 | 2021-11-30 | 西安华为技术有限公司 | 一种报文转发方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080168532A1 (en) * | 2007-01-10 | 2008-07-10 | Novell, Inc. | Role policy management |
| WO2012077603A1 (ja) * | 2010-12-09 | 2012-06-14 | 日本電気株式会社 | コンピュータシステム、コントローラ、及びネットワーク監視方法 |
| WO2012086816A1 (ja) * | 2010-12-24 | 2012-06-28 | 日本電気株式会社 | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム |
-
2013
- 2013-08-29 JP JP2015511530A patent/JP2015530763A/ja active Pending
- 2013-08-29 WO PCT/JP2013/005109 patent/WO2014034119A1/en active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080168532A1 (en) * | 2007-01-10 | 2008-07-10 | Novell, Inc. | Role policy management |
| WO2012077603A1 (ja) * | 2010-12-09 | 2012-06-14 | 日本電気株式会社 | コンピュータシステム、コントローラ、及びネットワーク監視方法 |
| WO2012086816A1 (ja) * | 2010-12-24 | 2012-06-28 | 日本電気株式会社 | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101763653B1 (ko) * | 2016-01-04 | 2017-08-14 | 아토리서치(주) | 네트워크 자원을 인식하고 관리하는 방법 및 장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014034119A1 (en) | 2014-03-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5862577B2 (ja) | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム | |
| KR101528825B1 (ko) | 단말, 제어 장치, 통신 방법, 통신 시스템, 통신 모듈, 프로그램 및 정보 처리 장치 | |
| JP5811171B2 (ja) | 通信システム、データベース、制御装置、通信方法およびプログラム | |
| JP6028736B2 (ja) | 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置 | |
| JP5811179B2 (ja) | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム | |
| JP5494668B2 (ja) | 情報システム、制御サーバ、仮想ネットワーク管理方法およびプログラム | |
| JP5660202B2 (ja) | コンピュータシステム、コントローラ、及びネットワークアクセスポリシ制御方法 | |
| JP5812108B2 (ja) | 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置 | |
| US9935876B2 (en) | Communication system, control apparatus, communication apparatus, communication control method, and program | |
| JP6036815B2 (ja) | ネットワーク管理サービスシステム、制御装置、方法およびプログラム | |
| JP2014516215A (ja) | 通信システム、制御装置、処理規則設定方法およびプログラム | |
| JP2015530763A (ja) | アクセス制御システム、アクセス制御方法及びプログラム | |
| WO2014061583A1 (ja) | 通信ノード、制御装置、通信システム、パケット処理方法及びプログラム | |
| WO2014119602A1 (ja) | 制御装置、スイッチ、通信システム、スイッチの制御方法及びプログラム | |
| JP6314970B2 (ja) | 通信システム、制御装置、通信方法およびプログラム | |
| JPWO2015129727A1 (ja) | 通信端末、通信方法およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160705 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170606 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20170808 |