JP2018516000A - 通信装置、システム、方法、及びプログラム - Google Patents
通信装置、システム、方法、及びプログラム Download PDFInfo
- Publication number
- JP2018516000A JP2018516000A JP2017559142A JP2017559142A JP2018516000A JP 2018516000 A JP2018516000 A JP 2018516000A JP 2017559142 A JP2017559142 A JP 2017559142A JP 2017559142 A JP2017559142 A JP 2017559142A JP 2018516000 A JP2018516000 A JP 2018516000A
- Authority
- JP
- Japan
- Prior art keywords
- switch
- controller
- flow
- rule
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/42—User authentication using separate channels for security data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
を備え、前記スイッチは、各々がそれぞれに対応するフローに対してスイッチ処理を実行する複数のスイッチプロセスを備え、前記複数のスイッチプロセスの各々は、前記スイッチプロセスごとに割り当てられた環境で実行され、前記環境は、残りの1つ又は複数のスイッチプロセスに対して配置された1つ又は複数の環境の各々から隔離されており、さらに、ネットワークに接続されるように構成された複数のネットワークインタフェースと、前記ネットワークインタフェースからパケットを受信し、フローとディスパッチされるスイッチプロセスとの関連付けを定義するディスパッチルールに基づいて、関連するスイッチプロセスに前記パケットをディスパッチするディスパッチャと、を備えた通信システムが提供される。
前記スイッチに含まれる複数のスイッチプロセスのうち前記関連するスイッチプロセスは対応するフローに対してスイッチ処理を行い、
各スイッチプロセスは、前記スイッチプロセスごとに割り当てられた環境で実行され、
各スイッチプロセスに配置される前記環境は、残りの1つ又は複数のスイッチプロセスに対して配置される1つ又は複数の環境の各々から隔離されている、通信方法が提供される。
前記ネットワークインタフェースからパケットを受信し、フローとディスパッチされる通信プロセスとの関連付けを定義するディスパッチルールに基づいて、関連する通信プロセスに前記パケットをディスパッチするディスパッチプロセスと、をコンピュータに実行させるプログラムが提供される。さらに、上記プログラムを格納した半導体記憶装置、CD(Compact Disk)、DVD(Digital Versatile Disk)などの非一時的なコンピュータ読み取り可能な記録媒体(a non-transitory computer readable recording medium)が提供される。
本発明のさらに他の特徴及び利点は、本発明を実施することが企図されている形態を図示及び説明した添付の図面と併せて以下の詳細な説明から当業者には容易に明らかになるであろう。理解されるように、本発明は、他の異なる実施形態が可能であり、そのいくつかの詳細は、本発明から逸脱することなく、様々な明白な点において変更可能である。したがって、図面及び説明は、本質的に例示的であるとみなされるべきであり、限定的ではないとみなされるべきである。
受信したパケットヘッダの宛先IPアドレスフィールドがXであれば、スイッチプロセスAにパケットをディスパッチする。
受信したパケットヘッダの宛先IPアドレスフィールドがYであれば、スイッチ処理Bにパケットをディスパッチする。
受信したパケットヘッダの宛先IPアドレスフィールドがZであれば、パケットはスイッチプロセスCにディスパッチされる。
この例では、ディスパッチャ120は宛先IPアドレス:Xの受信IPパケットをスイッチプロセスAにディスパッチする。
− BGP−LS:Border Gateway Protocol−Link Status、
ボーダーゲートウェイプロトコル(BGP)は、インターネット上の自律システム(AS)間で、ルーティング及び到達可能性情報を交換するように設計された標準化された外部ゲートウェイプロトコルである。
− PCEP:Path Computation Element (PCE)Communication Protocol(IETF (Internet Engineering Task Force) RFC(Request for Comments) 5440).
− OF x.y:OpenFlowプロトコルバージョンx.y(1.0や1.3など)。
− OF−Config:OpenFlow管理及び設定プロトコル。
− OVSDB:Open vSwitch Database Management Protocol、
特にOpen vSwitchの実装を管理するオープンソースのコンポーネントOpen vSwitch(仮想スイッチ)。
− NETCONF:ネットワーク構成プロトコル(IETF RF6241)。NETCONFは、ネットワークデバイスの設定をインストール、操作、及び削除するためのメカニズムを提供する。
− RESTCONFは、REST形式でデータストアにアクセスするためのプロトコル。
− NB REST API:ノースバウンドREST APIはOpenDaylight APIである。
12 プロセス2
20 マシンメモリ
21 分離領域1
22 分離領域2
23 OS/ハイパーバイザ領域
30 論理アドレス
31 ページテーブル
32 物理アドレス
33 マシンメモリ
51−53 ノード/フロー
100 スイッチ
100−1 スイッチ−1
100−2 スイッチ−2
101、101A−101C 隔離された環境(isolated environment)
102、102A−102C スイッチプロセス
102−1A、102−2A テナントA用のスイッチプロセス
102−1B、102−2B テナントB用のスイッチプロセス
103、103A−103C フローテーブル(状態)
104 ストレージ(フローエントリ)
105 マルウェア(汚染)
106A テナントネットワークA
106B テナントネットワークB
110 ハイパーバイザ
120 ディスパッチャ
121 ディスパッチルールテーブル
122 ストレージ(ディスパッチルール)
130 NIC
170 アクセス制御モジュール
180 ストレージ(共有情報)
190 ストレージ(アクセス制御情報)
200 コントローラ
201A−201C 隔離された環境
202A−202C コントローラプロセス
202−A テナントAのコントローラプロセス
202−B テナントBのコントローラプロセス
203A−203C サウスバウンドAPI
204A−204C ノースバウンドAPI
210 ハイパーバイザ
220 ディスパッチャ
222 ストレージ(ディスパッチルール)
230 サウスバウンドAPIディスパッチャ
240 ノースバウンドAPIディスパッチャ
250A−250C アプリケーション
260 ストレージ(テナント情報)
270 アクセス制御モジュール
280 ストレージ(共有情報)
290 ストレージ(アクセス制御情報)
301−1A、301−2A テナントAのホスト
301−1B、301−2B テナントBのホスト
401A−401C 隔離された環境
402A−402C 管理プロセス
410 パケット処理ハードウェア
420 ディスパッチャ
Claims (26)
- 各々がそれぞれに対応するフローに対して通信処理を実行する複数の通信プロセスを備え、
前記複数の通信プロセスの各々は、前記通信プロセスごとに割り当てられた環境で実行され、前記環境は、残りの1つ又は複数の通信プロセスに対して配置された1つ又は複数の環境の各々から隔離されており、
さらに、
ネットワークに接続されるように構成された複数のネットワークインタフェースと、
前記ネットワークインタフェースからパケットを受信し、フローと、前記フローがディスパッチされる通信プロセスとの関連付けを定義するディスパッチルールに基づいて、前記パケットを関連する通信プロセスにディスパッチするディスパッチャと、
を備えた通信装置。 - 前記通信プロセスは、
前記ディスパッチャによってディスパッチされたパケットを受信すると、前記パケットのヘッダフィールド情報と、フローを処理するためのルールと、を照合し、照合結果に基づいて前記パケットを処理するスイッチプロセスを含み、
前記ルールは、パケットのヘッダフィールド情報と照合されるマッチフィールドと、前記マッチフィールドと一致するパケットの処理を規定するアクションフィールドとを含む請求項1に記載の通信装置。 - 前記ネットワークインタフェースから受信したパケットのヘッダフィールド情報が示すフローに対するディスパッチルールが存在しない場合、前記フローに対するディスパッチルールの問い合わせを、前記通信装置を制御するコントローラに送信する送信部と、
前記コントローラから送信された、前記フローに対するディスパッチルールを受け取ると、隔離された環境を作り、前記隔離された環境内に前記フローに関連するスイッチプロセスを起動し、前記コントローラに応答を送る制御部と、
を備え、
前記スイッチプロセスは、前記コントローラから前記フローを処理するためのルールを受信すると、前記ルールに基づいて前記フローに関連する1つまたは複数のパケットを処理する請求項2に記載の通信装置。 - 前記通信プロセスは、
暗号文の復号時に測定されたシステムインテグリティが、平文の暗号化時に測定されたシステムインテグリティと同一であると判断した場合に、前記暗号文の平文への復号を可能にする制御を行うインテグリティ制御部を備えた請求項1乃至3のいずれか1項に記載の通信装置。 - 前記通信プロセスは、
前記通信装置を制御するコントローラと通信を行う管理プロセスと、
前記ネットワークインタフェースと前記ディスパッチャとの間に配置され、フローを処理するためのルールに従ってパケット処理を行うパケット処理部と、
を備え、
前記ディスパッチャは、フローを処理するための前記ルールを監視する請求項1に記載の通信装置。 - 前記通信プロセスは、
スイッチからのメッセージを受信すると、フローのパス上の各スイッチに適用される前記フローを処理するためのルールを生成し、生成した前記ルールを前記パス上の各スイッチに送信するコントローラプロセスを備え、
前記ルールは、前記スイッチが受信したパケットのヘッダフィールド情報と照合されるマッチフィールドと、一致したパケットの前記スイッチによる取り扱いを規定するアクションフィールドとを含む、請求項1に記載の通信装置。 - 前記通信プロセスから前記複数の通信プロセスで共有される共有リソースへのアクセスを制御するアクセス制御モジュールを備えた請求項1乃至6のいずれか1項に記載の通信装置。
- 各々がそれぞれに対応するフローに対してスイッチ処理を実行する複数のスイッチプロセスを備え、
前記複数のスイッチプロセスの各々は、前記スイッチプロセスごとに割り当てられた環境で実行され、前記環境は、残りの1つ又は複数のスイッチプロセスに対して配置された1つ又は複数の環境の各々から隔離されており、
さらに、
ネットワークに接続されるように構成された複数のネットワークインタフェースと、
前記ネットワークインタフェースからパケットを受信し、フローとディスパッチされるスイッチプロセスとの関連付けを定義するディスパッチルールに基づいて、前記パケットを対応するスイッチプロセスにディスパッチするディスパッチャと、
を備えたスイッチ装置。 - 各々が1つまたは複数の関連するスイッチプロセスを制御する複数のコントローラプロセスを備え、
前記複数のコントローラプロセスの各々は、前記コントローラプロセスごとに割り当てられた環境で実行され、前記環境は、残りの1つ又は複数のコントローラプロセスに対して配置された1つ又は複数の環境の各々から隔離されており、
さらに、
スイッチと、前記スイッチからのメッセージがディスパッチされるコントローラプロセスとの関連付けを定義するディスパッチルールに基づいて、スイッチからのメッセージを、関連するコントローラプロセスにディスパッチするディスパッチャと、
を備えたコントローラ装置。 - スイッチと、
前記スイッチを制御するコントローラと、
を備え、
前記スイッチは、
各々がそれぞれに対応するフローに対してスイッチ処理を実行する複数のスイッチプロセスを備え、
前記複数のスイッチプロセスの各々は、前記スイッチプロセスごとに割り当てられた環境で実行され、前記環境は、残りの1つ又は複数のスイッチプロセスに対して配置された1つ又は複数の環境の各々から隔離されており、
さらに、
ネットワークに接続されるように構成された複数のネットワークインタフェースと、
前記ネットワークインタフェースからパケットを受信し、フローとディスパッチされるスイッチプロセスとの関連付けを定義するディスパッチルールに基づいて、関連するスイッチプロセスに前記パケットをディスパッチするディスパッチャと、
を備えた通信システム。 - 前記スイッチプロセスは、前記ディスパッチャからディスパッチされたパケットを受信し、前記パケットのヘッダフィールド情報を、フローを処理するためのルールと照合し、照合結果に基づいて、前記パケットを処理するように構成され、
前記ルールは、パケットのヘッダフィールド情報と照合されるマッチフィールドと、前記マッチフィールドと一致するパケットの処理を規定するアクションフィールドとを含む請求項10に記載の通信システム。 - 前記スイッチは、
前記ネットワークインタフェースと前記ディスパッチャとの間に配置され、フローを扱うためのルールに従ってパケット処理を行うパケット処理部を備え、
前記ディスパッチャは、フローを扱うための前記ルールを監視する請求項10に記載の通信システム。 - 前記コントローラは、
各々が1つまたは複数の関連するスイッチプロセスを制御する複数のコントローラプロセスを備え、
前記複数のコントローラプロセスの各々は、前記コントローラプロセスごとに割り当てられた環境で実行され、前記環境は、残りの1つ又は複数のコントローラプロセスに対して配置された1つ又は複数の環境の各々から隔離されており、
さらに、
スイッチと前記スイッチからのメッセージがディスパッチされるコントローラプロセスとの関連付けを定義するディスパッチルールに基づいて、スイッチからのメッセージを、関連するコントローラプロセスにディスパッチする第1のディスパッチャを備えた請求項10乃至12のいずれか1項に記載の通信システム。 - 前記コントローラは、
前記第1のディスパッチャと前記コントローラプロセスとの間の第1のインタフェースを備え、
前記メッセージは前記第1のインタフェースを介して前記コントローラプロセスにディスパッチされ、前記第1のインタフェースと前記コントローラプロセスは共通に前記隔離された環境に配置され、さらに、
アプリケーションと、前記アプリケーションからのメッセージがディスパッチされるコントローラプロセスとの関連付けを定義する第2ディスパッチルールに基づいて、アプリケーションまたは上位レイヤからのメッセージを関連するコントローラプロセスにディスパッチする第2のディスパッチャと、
前記第2のディスパッチャと前記コントローラプロセスとの間の第2のインタフェースと、
を含み、
前記アプリケーションからの前記メッセージは、前記第2のインタフェースを介して前記コントローラプロセスにディスパッチされ、前記第2のインタフェースと前記コントローラプロセスは共通に前記隔離された環境に配置される請求項13に記載の通信システム。 - 前記コントローラは、
前記スイッチプロセスからの予め定められたメッセージを受信すると、前記フローのパス上の各スイッチプロセスに適用されるフローを取り扱うためのルールを生成し、
前記ルールは、前記スイッチプロセスで受信されたパケットのパケットフィールド情報と照合されるマッチフィールドと、一致したパケットの前記スイッチプロセスによる取扱いを規定するアクションフィールドと、
を含み、
前記ルールを前記フローの前記パス上の各スイッチプロセスに送信する送信部を備えた請求項10乃至14のいずれか1項に記載の通信システム。 - 制御部は、
前記ネットワークインタフェースから受信したパケットのヘッダフィールド情報が示すフローのディスパッチルールが前記スイッチに存在しない場合に、前記スイッチから送信されたクエリを受信すると、前記フローのディスパッチルールを作成するディスパッチルール生成部と、
前記フローの前記ディスパッチルールをスイッチに送信する送信部と、を備えた請求項10乃至15のいずれか1項に記載の通信システム。 - 前記スイッチの前記ディスパッチャが、前記ネットワークインタフェースからパケットを受信し、
受信したパケットのヘッダフィールド情報によって示されるフローが前記ディスパッチルールに登録されていないことを発見すると、前記スイッチは、前記フローのディスパッチルールの問い合わせを前記コントローラに送信し、
前記コントローラは、前記スイッチから問い合わせを受信すると、前記フローのディスパッチルールを作成して前記ディスパッチルールを前記スイッチに送信し、
前記スイッチは、前記コントローラから送信された前記ディスパッチルールを受信すると、隔離された環境を作成し、必要に応じて隔離された環境内でスイッチプロセスを呼び出し、前記コントローラに応答を送信し、
前記コントローラは、前記スイッチから前記応答を受信すると、パケットのヘッダフィールド情報と照合されるマッチフィールドと、一致するパケットの取り扱いを指示するアクションフィールドとを含むルールを作成し、前記ルールを、前記隔離された環境で起動された前記スイッチプロセスに送信し、
前記スイッチプロセスは、前記コントローラから前記フローの前記ルールを受信すると、前記ルールに基づいて、前記フローに関連付けられる1つまたは複数のパケットを処理する請求項10に記載の通信システム。 - 前記スイッチプロセスおよび前記コントローラプロセスの少なくとも一方は、
暗号文の復号時に測定されたシステムインテグリティが、平文の暗号化時に測定されたシステムインテグリティであると判断した場合に、前記暗号文の平文への復号を可能にする制御を行うインテグリティ制御部を備えた請求項13に記載の通信システム。 - 前記コントローラに含まれる前記第1のディスパッチャは、第1のディスパッチルールとして、テナント情報を用いて、スイッチプロセスから関連するコントローラプロセスへのディスパッチを実行する、請求項13乃至17のいずれか1項に記載の通信システム。
- フローと、前記フローがディスパッチされるスイッチプロセスとの関連付けを定義するディスパッチルールに基づいて、スイッチで受信したパケットを、前記スイッチに含まれる関連するスイッチプロセスにディスパッチし、
前記スイッチに含まれる複数のスイッチプロセスのうち前記関連するスイッチプロセスは対応するフローに対してスイッチ処理を行い、
各スイッチプロセスは、前記スイッチプロセスごとに割り当てられた環境で実行され、
各スイッチプロセスに配置される前記環境は、残りの1つ又は複数のスイッチプロセスに対して配置される1つ又は複数の環境の各々から隔離されている、通信方法。 - 前記スイッチプロセスから受信したメッセージを、前記スイッチプロセスと前記スイッチプロセスからのメッセージがディスパッチされるコントローラプロセスとの関連付けを規定するディスパッチルールに基づいて、関連するコントローラプロセスにディスパッチし、
前記コントローラに含まれる複数のコントローラプロセスのうち前記関連するコントローラプロセスは、前記メッセージに基づき、前記スイッチプロセスに対して制御処理を実行し、
前記コントローラプロセスの各々は、前記コントローラプロセスごとに割り当てられた環境で実行され、一つのコントローラプロセスに配置される前記環境は、他の1つ又は複数のコントローラプロセスに対して配置される1つ又は複数の環境の各々から隔離されている、請求項20に記載の通信方法。 - 前記スイッチは、受信したパケットをディスパッチするにあたり、前記受信したパケットのヘッダフィールド情報が示すフローがディスパッチルールに登録されていないと判断した場合に、
前記フローのディスパッチルールの問い合わせを前記コントローラに送信し、
前記コントローラは、前記スイッチから問い合わせを受信すると、前記フローのディスパッチルールを作成し、前記ディスパッチルールを前記スイッチに送信し、
前記スイッチは、前記コントローラから送信された前記ディスパッチルールを受信すると、隔離された環境を作成し、必要に応じて前記隔離された環境でスイッチプロセスを起動し、前記コントローラに応答を送信し、
前記コントローラは、前記スイッチから前記応答を受信すると、フローを扱うためのルールを作成し、前記ルールを、前記隔離された環境で起動されたスイッチプロセスに送信し、
前記ルールは、パケットのヘッダフィールド情報と照合されるマッチフィールドと、一致するパケットの取り扱いを規定するアクションフィールドとを含み、
前記スイッチは、前記コントローラから前記フローに対するルールを受信すると、前記ルールに基づいて、前記フローに関連する1つまたは複数のパケットを処理する請求項20または21に記載の通信方法。 - 前記スイッチプロセスおよび前記コントローラプロセスのうちの少なくとも1つは、インテグリティの測定を行い、インテグリティ制御部で、暗号文の復号時に測定されたシステムインテグリティが、平文の暗号化時に測定されたシステムインテグリティと同一であると判断した場合に、前記暗号文の平文への復号を可能にする制御を行う請求項21に記載の通信方法。
- 各々が、それぞれに対応するフローに対して通信処理を実行する複数の通信プロセスと、
前記複数の通信プロセスの各々は、前記通信プロセスごとに割り当てられた環境で実行され、前記環境は、残りの1つ又は複数の通信プロセスに対して配置された1つ又は複数の環境の各々から隔離されており、
さらに、
ネットワークインタフェースからパケットを受信し、フローとディスパッチされる通信プロセスとの関連付けを定義するディスパッチルールに基づいて、前記パケットを関連する通信プロセスにディスパッチするディスパッチプロセスと、
をコンピュータに実行させるプログラム。 - 前記通信プロセスは、
ディスパッチャによってディスパッチされたパケットを受信し、前記パケットのヘッダフィールド情報と、フローを処理するためのルールとを照合し、照合結果に基づいて前記パケットを処理するスイッチプロセスを含み、
前記ルールは、パケットのヘッダフィールド情報と照合されるマッチフィールドと、前記マッチフィールドと一致するパケットの処理を規定するアクションフィールドとを含む請求項24に記載のプログラム。 - 前記通信プロセスは、スイッチからのメッセージを受信すると、フローのパス上の各スイッチに適用される前記フローを処理するためのルールを生成し、生成したルールを、前記パス上の各スイッチに送信するコントローラプロセスを備え、
前記ルールは、前記スイッチが受信したパケットのヘッダフィールド情報と照合されるマッチフィールドと、一致したパケットの前記スイッチによる取り扱いを規定するアクションフィールドとを含む請求項24に記載のプログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2015/002385 WO2016181423A1 (en) | 2015-05-11 | 2015-05-11 | Communication apparaus, system, method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018516000A true JP2018516000A (ja) | 2018-06-14 |
JP6569741B2 JP6569741B2 (ja) | 2019-09-04 |
Family
ID=53276219
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017559142A Active JP6569741B2 (ja) | 2015-05-11 | 2015-05-11 | 通信装置、システム、方法、及びプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US10601632B2 (ja) |
JP (1) | JP6569741B2 (ja) |
WO (1) | WO2016181423A1 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10699003B2 (en) * | 2017-01-23 | 2020-06-30 | Hysolate Ltd. | Virtual air-gapped endpoint, and methods thereof |
US10872145B2 (en) * | 2017-10-25 | 2020-12-22 | International Business Machines Corporation | Secure processor-based control plane function virtualization in cloud systems |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8892878B2 (en) | 2003-05-09 | 2014-11-18 | Oracle America, Inc. | Fine-grained privileges in operating system partitions |
US20070174429A1 (en) | 2006-01-24 | 2007-07-26 | Citrix Systems, Inc. | Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment |
US7738457B2 (en) * | 2006-12-20 | 2010-06-15 | Oracle America, Inc. | Method and system for virtual routing using containers |
US8336094B2 (en) | 2008-03-27 | 2012-12-18 | Juniper Networks, Inc. | Hierarchical firewalls |
US8516241B2 (en) * | 2011-07-12 | 2013-08-20 | Cisco Technology, Inc. | Zone-based firewall policy model for a virtualized data center |
WO2014160479A1 (en) * | 2013-03-13 | 2014-10-02 | Arizona Board Of Regents, A Body Corporate Of The State Of Arizona, Acting For And On Behalf Of Arizone State University | Systems and apparatuses for a secure mobile cloud framework for mobile computing and communication |
EP3072263B1 (en) * | 2013-11-18 | 2017-10-25 | Telefonaktiebolaget LM Ericsson (publ) | Multi-tenant isolation in a cloud environment using software defined networking |
US20150180769A1 (en) * | 2013-12-20 | 2015-06-25 | Alcatel-Lucent Usa Inc. | Scale-up of sdn control plane using virtual switch based overlay |
US10367725B2 (en) * | 2013-12-21 | 2019-07-30 | Hewlett Packard Enterprise Development Lp | Network programming |
EP3162017B1 (en) * | 2014-06-30 | 2021-11-24 | Alcatel Lucent | Security in software defined network |
US20170223060A1 (en) * | 2014-08-28 | 2017-08-03 | Hewlett Packard Enterprise Development Lp | Security control |
US10425282B2 (en) * | 2014-11-28 | 2019-09-24 | Hewlett Packard Enterprise Development Lp | Verifying a network configuration |
-
2015
- 2015-05-11 US US15/572,871 patent/US10601632B2/en active Active
- 2015-05-11 WO PCT/JP2015/002385 patent/WO2016181423A1/en active Application Filing
- 2015-05-11 JP JP2017559142A patent/JP6569741B2/ja active Active
Non-Patent Citations (3)
Title |
---|
CHRISTIAN ESTEVE ROTHENBERG: "RouteFlow: Virtualized IP Routing Services in OpenFlow networks", CHANGE & OFELIA SUMMER SCHOOL, JPN6018030765, 13 May 2014 (2014-05-13) * |
JAN MEDVED ET AL.: "OpenDaylight: Towards a Model-Driven SDN Controller Architecture", PROCEEDINGS OF IEEE INTERNATIONAL SYMPOSIUM ON A WORLD OF WIRELESS, MOBILE AND MULTIMEDIA NETWORKS 2, JPN6018030762, 19 June 2014 (2014-06-19) * |
JONATHAN M. MCCUNE, ET AL.: "TrustVisor: Efficient TCB Reduction and Attestation", 2010 IEEE SYMPOSIUM ON SECURITY AND PRIVACY, JPN6018030764, 16 May 2010 (2010-05-16) * |
Also Published As
Publication number | Publication date |
---|---|
JP6569741B2 (ja) | 2019-09-04 |
US10601632B2 (en) | 2020-03-24 |
WO2016181423A1 (en) | 2016-11-17 |
US20180159716A1 (en) | 2018-06-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7009014B2 (ja) | ネットワーク制御システムのパブリッククラウドへの拡張 | |
US11893409B2 (en) | Securing a managed forwarding element that operates within a data compute node | |
JP7273899B2 (ja) | サービスルール処理のための、サービスノードへのリモートデバイス管理属性の分配 | |
US10805330B2 (en) | Identifying and handling threats to data compute nodes in public cloud | |
CN106575338B (zh) | 加密体系架构 | |
US8856518B2 (en) | Secure and efficient offloading of network policies to network interface cards | |
US11297070B2 (en) | Communication apparatus, system, method, and non-transitory medium | |
US10810034B2 (en) | Transparent deployment of meta visor into guest operating system network traffic | |
US20190250938A1 (en) | Computer system architecture and computer network infrastructure including a plurality of such computer system architectures | |
EP2920940B1 (en) | Method and device for data flow processing | |
US11252183B1 (en) | System and method for ransomware lateral movement protection in on-prem and cloud data center environments | |
Bian et al. | A survey on software-defined networking security | |
JP6569741B2 (ja) | 通信装置、システム、方法、及びプログラム | |
Yu et al. | Security: a Killer App for SDN | |
US11916957B1 (en) | System and method for utilizing DHCP relay to police DHCP address assignment in ransomware protected network | |
Vallese | Guidelines for Reference Monitors in Embedded INFOSEC Applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20171110 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180821 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181022 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190326 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190524 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190709 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190722 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6569741 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |