JP2019506662A - ネットワーク管理 - Google Patents

ネットワーク管理 Download PDF

Info

Publication number
JP2019506662A
JP2019506662A JP2018533191A JP2018533191A JP2019506662A JP 2019506662 A JP2019506662 A JP 2019506662A JP 2018533191 A JP2018533191 A JP 2018533191A JP 2018533191 A JP2018533191 A JP 2018533191A JP 2019506662 A JP2019506662 A JP 2019506662A
Authority
JP
Japan
Prior art keywords
network node
network
valid
node
list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018533191A
Other languages
English (en)
Inventor
レイシー,スティーブン
ジャルバ,ミッコ
Original Assignee
コンプテル オーユー
コンプテル オーユー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by コンプテル オーユー, コンプテル オーユー filed Critical コンプテル オーユー
Publication of JP2019506662A publication Critical patent/JP2019506662A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3604Software analysis for verifying properties of programs
    • G06F11/3612Software analysis for verifying properties of programs by runtime analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5011Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resources being hardware resources other than CPUs, Servers and Terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0823Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0896Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • H04L41/122Discovery or management of network topologies of virtualised topologies, e.g. software-defined networks [SDN] or network function virtualisation [NFV]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/40Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/20Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Social Psychology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Quality & Reliability (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Materials For Photolithography (AREA)

Abstract

本発明の例示の態様によれば、少なくとも1つのランタイム挙動パターンを特徴付ける情報を記憶するように構成された、メモリと、記憶された情報に少なくとも部分的に基づいて、ネットワークノードに関する挙動決定を実行するように構成され、かつ、挙動決定の結果に対する応答として、有効なネットワークノードのリストにそのネットワークノードが含まれるかどうかを検証するように構成された、少なくとも1つの処理コアと、を備える装置、が提供される。

Description

本発明は、たとえば通信ネットワークなどの、ネットワークの管理の分野に関する。
たとえばセルラー通信ネットワークなどの通信ネットワークは、ネットワークノードからなる。ネットワークのネットワークノードは、異なるノードタイプに細分化され得、たとえば、セルラー通信ネットワークは、基地局、基地局コントローラ、スイッチ、ゲートウェイ、およびアプリケーション機能を含み得る。インターネットプロトコル、IP、ネットワークは、ルータおよびゲートウェイを含み得る。
ネットワークを設計するとき、立案者は、ネットワークのカバレージエリア内での負荷状況を推定し得る。たとえば都市の人通りが多い区域では、中心部から離れた地域よりも通信が頻繁に、およびより高強度で発生することが推定され得る。したがって、セルラーネットワークの場合、より人通りの多い地域ではセルをより小さくすることが可能であり、これらのより小さいセルを制御するために割り当てられた基地局は、高ピーク負荷を取り扱うのに十分なデータ処理機能を備えることができる。たとえば基地局には、いくつかのデータ処理カードを装備することができる。同様に、高ピーク負荷が予想される基地局との間でデータを伝搬するタスクが与えられたネットワークノードは、これらの高負荷を取り扱うことが可能なように寸法を決定することができる。
ネットワーク保守を単純化するために、ネットワーク機能の仮想化を採用することができる。機能が少なくとも部分的に仮想化されているネットワークにおいて、仮想化されたネットワーク機能は、たとえばデータセンター内に位置し得るサーバコンピュータ上のソフトウェア・エンティティ(実体)として実行することができる。仮想化されるネットワーク機能のタイプに応じて、たとえば、機能が単純であるか複雑であるかに応じて、仮想化ネットワーク機能、VNFを、複数のVNF構成要素、VNFCに分割することができる。単純なVNFの例がファイアウォールであり、複雑なVNFの例がホームロケーションレジスタである。
ターゲットを攻撃するために、犯罪者によって悪意あるソフトウェアが採用される場合がある。攻撃の背後にある動機には、たとえば、スパイ行為、窃盗、なりすまし犯罪、復讐、サイバー戦争、およびサイバーテロなどが含まれ得る。悪意あるソフトウェアは、コンピュータウィルス、トロイの木馬、およびルートキットなどの形を取り得る。悪意あるソフトウェアに対する対抗手段は、アンチウィルスプログラム、ファイアウォール、およびデータセキュリティプロシージャなどを含む。
本発明は、独立請求項の特徴によって定義される。いくつかの特定の実施形態は従属請求項内に定義される。
本発明の第1の態様によれば、少なくとも1つのランタイム挙動パターンを特徴付ける情報を記憶するように構成された、メモリと、記憶された情報に少なくとも部分的に基づいて、ネットワークノードに関する挙動決定を実行するように構成され、かつ、挙動決定の結果に対する応答として、有効なネットワークノードのリストにそのネットワークノードが含まれるかどうかを検証するように構成された、少なくとも1つの処理コアと、を備える装置、が提供される。
第1の態様の様々な実施形態は、下記の箇条書きリストからの少なくとも1つの特徴を含むことができる。
・ネットワークノードは、仮想化ネットワーク機能または仮想化ネットワーク機能の構成要素である
・少なくとも1つの処理コアは、ネットワークノードが有効な認証を有することを検証するように構成される
・少なくとも1つの処理コアは、挙動決定の結果に対する応答として、ネットワークノードが有効な認証を有するかどうかを、ユーザの介入なしに自動的に検証するように構成される
・ランタイム挙動パターンは、第1に、ネットワークノードの能力の低下と相まったCPU負荷の増加、第2に、通信スループットの向上と同時に発生することのないメモリ使用量の増加、第3に、ネットワークノード内へのトラフィックの増加に対応することのないネットワークノードから出ていくトラフィックの増加、および第4に、ネットワークノードが第1のリストに含まれることなくインスタンス化されアクティブである、という、4つのパターンのうちの、少なくとも1つを有する
・挙動決定を実行することは、ネットワークノードを実行する計算基板にランタイム情報を要求することを含む
・ネットワークノードが有効な認証を有するかどうかを検証することは、ネットワークノードの認証を取得すること、および、検証機能から、認証が有効かどうかを照会することを含む
・検証機能は、有効な認証のリストを保有しているノードまたは機能を含む
・認証は、ネットワークノードの実行環境の少なくとも一部のハッシュ、ネットワークノードの公開鍵、ネットワークノードの秘密鍵、ネットワークノードに関するデータにおける静的特徴、および暗号トークンのうちの、少なくとも1つを含む
・ネットワークノードが有効な認証を有するかどうかを検証することは、署名要求をネットワークノードに伝送すること、それに応えてノードから暗号署名を取得すること、および、暗号署名が正しいことを検証させることを含む
・署名要求は、その秘密鍵を使用して署名するための、ネットワークノードについてのトークンを含む
本発明の第2の態様によれば、少なくとも1つのランタイム挙動パターンを特徴付ける情報を記憶すること、記憶された情報に少なくとも部分的に基づいて、ネットワークノードに関する挙動決定を実行すること、および、挙動決定の結果に対する応答として、有効なネットワークノードのリストにそのネットワークノードが含まれるかどうかを検証することを含む、方法が提供される。
第2の態様の様々な実施形態は、第1の態様に関して列挙された前述の箇条書きリストからの特徴に対応する少なくとも1つの特徴を含み得る。
本発明の第3の態様によれば、少なくとも1つのランタイム挙動パターンを特徴付ける情報を記憶するように構成された、メモリと、記憶された情報に少なくとも部分的に基づいて、ネットワークノードに関する挙動決定を実行するように構成され、かつ、挙動決定の結果に応答して、ネットワークノードを終了させるように構成された、少なくとも1つの処理コアと、を備える装置、が提供される。
第3の態様の様々な実施形態は、下記の箇条書きリストからの少なくとも1つの特徴を含み得る。
・少なくとも1つの処理コアは、有効なネットワークノードのリストにそのネットワークノードが含まれることを検証するように構成される
・少なくとも1つの処理コアは、ネットワークノードが有効な認証を有することを検証するように、および、ネットワークノードが、有効な認証を有し、有効なネットワークノードのリストに含まれる場合、終了させるようにも、構成される
・装置は、ネットワークノードのランタイム観察に基づいて、ランタイム挙動パターンを決定するように構成される
本発明の第4の態様によれば、少なくとも1つのランタイム挙動パターンを特徴付ける情報を記憶すること、記憶された情報に少なくとも部分的に基づいて、ネットワークノードに関する挙動決定を実行すること、および、挙動決定の結果に応答して、ネットワークノードを終了させることを含む、方法が提供される。
第4の態様の様々な実施形態は、第3の態様に関して列挙された前述の箇条書きリストからの特徴に対応する少なくとも1つの特徴を含み得る。
本発明の第5の態様によれば、少なくとも1つのランタイム挙動パターンを特徴付ける情報を記憶するための手段と、記憶された情報に少なくとも部分的に基づいて、ネットワークノードに関する挙動決定を実行するための手段と、挙動決定の結果に対する応答として、有効なネットワークノードのリストにそのネットワークノードが含まれるかどうかを検証するための手段とを備える、装置が提供される。
本発明の第6の態様によれば、少なくとも1つのランタイム挙動パターンを特徴付ける情報を記憶するための手段と、記憶された情報に少なくとも部分的に基づいて、ネットワークノードに関する挙動決定を実行するための手段と、挙動決定の結果に応答して、ネットワークノードを終了させるための手段とを備える、装置が提供される。
本発明の第7の態様によれば、コンピュータ読取可能な複数の命令のセットが記憶された、非一時的なコンピュータ読取可能な媒体がであって、前記複数の命令は、少なくとも1つのプロセッサによって実行されたときに、少なくとも1つのランタイム挙動パターンを特徴付ける情報を少なくとも記憶すること、記憶された情報に少なくとも部分的に基づいて、ネットワークノードに関する挙動決定を実行すること、および、挙動決定の結果に対する応答として、有効なネットワークノードのリストにそのネットワークノードが含まれるかどうかを検証することを、装置に実行させる。
本発明の第8の態様によれば、コンピュータ読取可能な複数の命令のセットが記憶された、非一時的なコンピュータ読取可能な媒体であって、前記複数の命令は、少なくとも1つのプロセッサによって実行されたときに、少なくとも1つのランタイム挙動パターンを特徴付ける情報を少なくとも記憶すること、記憶された情報に少なくとも部分的に基づいて、ネットワークノードに関する挙動決定を実行すること、および、挙動決定の結果に応答して、ネットワークノードを終了させることを、装置に実行させる。
本発明の第9の態様によれば、第2および第4の態様のうちの少なくとも1つに従った方法を実行させるように構成された、コンピュータプログラムが提供される。
本発明の少なくともいくつかの実施形態をサポートすることが可能な、例示のシステムを示す図である。 本発明の少なくともいくつかの実施形態に従った例示のネットワークアーキテクチャを示す図である。 本発明の少なくともいくつかの実施形態をサポートすることが可能な、例示の装置を示す図である。 本発明の少なくともいくつかの実施形態に従ったシグナリングを示す図である。 本発明の少なくともいくつかの実施形態に従ったシグナリングを示す図である。 本発明の少なくともいくつかの実施形態に従った方法を示すフローチャートである。 本発明の少なくともいくつかの実施形態に従った方法を示すフローチャートである。
ネットワーク内にどのようなノードが存在するかを理解できるようにするために、ネットワーク上で実行しているVNFまたは他のネットワークノードをリスト表示することができる。リスト上にないノードも存在する可能性があり、これらのリスト表示されないノードは、合法的であるが非表示のノード、および/または偽ノードを含む。リスト表示されないノードが検出されると、偽ノードと合法的な非表示のノードとを区別できるようにするために、その認証を検証することができる。合法的な非表示のノードに気付く作業員ができる限り少ないように、こうした検証は自動的である。代替または追加として、リスト上のノードがマルウェアによって危険にさらされた場合、その変更された挙動を検出することによって、その変更された挙動を検出することができ、危険にさらされたノードを終了させることが可能になる。
セルラーネットワークに関して論じたが、非セルラーネットワークも等しく例示のシステムを示す働きをする。非セルラー技術の例には、Wi−Fiとも呼ばれるワイヤレスローカルエリアネットワーク、WLAN、および、worldwide interoperability for microwave access、WiMAXが含まれる。本発明の実施形態は、好適な形で、ワイヤレスリンクが発生しないIPネットワークなどのワイヤラインネットワークにも適用可能である。
図1は、本発明の少なくともいくつかの実施形態をサポートすることが可能な、例示のシステムを示す。図1のシステムにおいて、移動体(モバイル装置)110は無線ノード122を伴うワイヤレスリンク112を有する。無線ノード122は、無線ハードウェアを備えるが、情報処理機能は少ないかまたは備えていない、縮小バージョンの基地局である。無線ノード132は、同様に、図1のシステムにおいて基地局の代わりを務める。無線ノード122および無線ノード132は、どちらも、図1の無線ノード内には見られない基地局の情報処理機能を実行できるように配置された、処理コアおよびメモリなどの、コンピューティングリソースと共に構成されたコンピュータシステムを備えるサーバ1V1に、別々に接続される。言い換えれば、基地局の情報処理機能の少なくとも一部が、図1のシステム内のサーバ1V1に配置されている。
サーバ1V1内で行われる無線ノード122に関する情報処理機能は、仮想化基地局120vとして示されている。サーバ1V1内で行われる無線ノード132に関する情報処理機能は、仮想化基地局130vとして示されている。
サーバ1V2は、図1のシステムにおいて、コアネットワークノードの仮想化バージョンを実行するように構成される。図1のシステムにおいて、サーバ1V2は、たとえばモビリティ管理エンティティ、MME、またはルータを備え得る、仮想化コアネットワークノード140vを実行する。コアネットワークノード140vはさらに、さらなるコアネットワークノード150vに動作可能に接続される。さらなるコアネットワークノード150vは、インターネット、たとえば150vなどの、さらなるネットワークへのアクセスを提供するように構成された、たとえばゲートウェイを備え得る。使用中、仮想化基地局120vは、無線ノード122から情報を受信し、受信した情報に関して処理動作を実行し得る。仮想化基地局120vは、処理した情報を、たとえばサーバ1V2内の仮想化コアネットワークノード140vに転送するように構成され得る。
サーバ1V1および1V2は、x86アーキテクチャマルチコアプロセッサのセット、または、たとえば縮小命令セットコンピューティング、RISCプロセッサなどの、汎用計算技術に基づくことができる。サーバ1V1は、必ずしもサーバ1V2と同じ計算技術に基づく必要はない。
一般に、仮想化ネットワーク機能は、汎用計算ハードウェア上の、ソフトウェア・エンティティを備えてもよく、このソフトウェア・エンティティは、対応するネットワーク機能と同じ規格に少なくとも部分的にしたがって実行されるように構成され、ネットワーク機能は、仮想化されていない、すなわち、専用ハードウェア上で実行される。汎用計算ハードウェアとは、特定タイプの仮想化ネットワーク機能を実行するように設計されていないハードウェアを意味する。言い換えれば、仮想化ネットワーク機能は、通信ネットワークの論理ネットワークノードのソフトウェア実施を含むことができる。これには、他のネットワーク要素に関して、ネットワーク要素が仮想化されているか否かをこれらの他の要素が知る必要がないという効果がある。したがって、たとえば仮想化された呼び出しセッション制御機能、CSCFは、仮想化されていないCSCFと同じ種類のメッセージが送信され得る。仮想化ネットワーク機能、VNFは、複数の仮想化ネットワーク機能構成要素、VNFCからなり得る。
図1のシステムは、仮想化ネットワーク機能が欠けているシステムを超える利点を与える。詳細には、仮想化基地局120vは必要に応じて拡縮できるが、非仮想化基地局は、常に予測される最大負荷に合わせて寸法を決定しなければならない。たとえば、負荷が軽い場合、仮想化基地局120vは、サーバ1V1内の少数の、またはわずか1つの処理コアで実行され得るが、サーバ1V1の他の処理コアは、たとえばグリッドコンピューティングなどの他の処理タスクに使用可能である。無線ノード122を介する負荷の増加に対する応答として、仮想化基地局120vに、動的ネットワーク管理アクションにおいてより多くの処理コアを割り振ることができる。
図1のシステムはネットワーク管理アクションを実行可能であり、各ネットワーク管理アクションは、少なくとも1つの仮想化ネットワーク機能または仮想化ネットワーク機能構成要素を含む。仮想化ネットワーク機能は、たとえば仮想化基地局および/または仮想化コアネットワークノードを備えることができる。ネットワーク管理アクションは、仮想化ネットワーク機能または仮想化ネットワーク機能構成要素に割り振られるリソースを増加させること、仮想化ネットワーク機能または仮想化ネットワーク機能構成要素に割り振られるリソースを減少させること、仮想化ネットワーク機能または仮想化ネットワーク機能構成要素のインスタンス(実体化、実体)を開始すること、および、仮想化ネットワーク機能または仮想化ネットワーク機能構成要素のインスタンスを終了することのうちの、少なくとも1つを含むことができる。
仮想化ネットワーク機能または仮想化ネットワーク機能構成要素のインスタンスを開始することは、たとえば、少なくとも部分的にテンプレートまたはイメージに基づいて、新しい仮想化ネットワーク機能または仮想化ネットワーク機能構成要素を初期化することを含み得る。図1に関して、これはたとえば、サーバ1V2内のさらなる仮想化コアネットワークノード「155v」を初期化することを含み得る。新しい仮想化ネットワーク機能、またはノードには、少なくとも1つのプロセッサコアおよびメモリに関して、リソースを割り振ることができる。新しい仮想ネットワーク機能は、いったん関連付けられたソフトウェアイメージ/テンプレートがアップロードされ、仮想化ネットワーク機能のリストに追加されると、仮想インフラストラクチャに搭載され、いったん計算リソースが割り当てられると、インスタンス化(実体化)されるものと、見なすことができる。通常、仮想化ネットワーク機能は、搭載およびインスタンス化の両方が実行される。
仮想化ネットワーク機能の終了は、それに応じて、仮想化ネットワーク機能を実行するプロセッサタスクを終わらせることを含み得る。終了は通常、円滑であり得、たとえば、終了されるべき仮想化ネットワーク機能によるサービスを受けているいずれのユーザも、接続の中断を回避するために、別の仮想化ネットワーク機能に引き継がれる。終了は、たとえば仮想化ネットワーク機能が不正を行っていると判断された場合、突然実行される可能性もあり、オペレータは突然の終了を選択することができる。不正行為は、VNFの挙動をたとえば挙動パターンと比較することによって判別可能である。
2つのサーバ1V1および1V2の代わりに、実施形態およびネットワークの実施に応じて、別の数のサーバを採用することができる。たとえば、1つ、3つ、または7つのサーバが使用可能である。一般に、サーバは、仮想化ネットワーク機能および/または仮想化ネットワーク機能構成要素を実行するように配置された、計算装置の一例である。こうした装置は、代替として、計算基板と呼ぶこともできる。
図1のシステムは、仮想化制御ノード160vを実行するサーバ1V3をさらに備える。制御ノードは、等しい設備を伴って、仮想されないかまたは仮想化されることができ、たとえばサーバ1V1または1V2上で実行可能である。本明細書で制御ノードについて言及する場合、簡潔に示すために、仮想化制御ノード160vは、別個の制御ノードと同様のアクションを実行し、同様の役割を想定するように構成され得る。
制御ノードは、図1のネットワークに含まれるネットワークノードの機能に関する情報を収集するように構成される。たとえば制御ノードは、他のノードにおけるエラー条件を検出するために監視機能を実行するように構成され得る。制御ノードは、制御ノードまたは別のノードが、別のノードの挙動を特徴付ける挙動パターンを導出できるようにする、ランタイム(実行時、実行に要する時間)情報を取得するように配置され得る。仮想化コアネットワークノード140vの挙動パターンは、たとえば、仮想化コアネットワークノード140vがウィルスに感染された場合に、修正される可能性がある。
制御ノードは、図1に関して前述したように、制御ノードまたは別のノードが、別のノードの挙動を特徴付ける挙動パターンを導出できるようにする、ランタイム情報を取得することができる。この情報は、たとえばネットワークノードを実行しているサーバに要求することによって取得可能である。ランタイム情報は、ノードまたは仮想化ネットワーク要素が動作している、すなわち機能している間に生成される情報に関する。同様に、ランタイム挙動パターンは、動作中の挙動を特徴付ける。
ウィルス、トロイの木馬、またはルートキットなどの悪意あるプログラムが、VIMなどのネットワーク管理機能に首尾よくアクセスした場合、この悪意あるプログラムは、適切に選択されたサーバ上で、ネットワーク内の仮想化ネットワーク機能をインスタンス化させることができる。追加または代替として、悪意あるプログラムは、ネットワーク内に既に存在しているVNFを感染させることができる。悪意あるプログラムによってインスタンス化された仮想化ネットワーク機能は、偽仮想化ネットワーク機能と呼ばれる。偽仮想化ネットワーク機能を使用して、ネットワークを介して伝搬される通信に対してスパイ行為をすること、ネットワークからスパムを伝送すること、または、たとえばオペレータまたは法的機関には不可視の秘密通信を容易にすることを含む、ネットワークオペレータの利益とは逆に働くアクションを実行することができる。偽ってインスタンス化されたVNFは、VNFMまたはNFVO層内での可視性なしに、危険にさらされたVIMを介してインスタンス化され得る。
制御ノードは、物理ノード、仮想化ネットワーク機能、またはサーバのいずれかの、ネットワークノードに関する、挙動パターンを取得することができる。挙動パターンは、下記のうちの少なくとも1つを含むことができる。
・ネットワークノードの能力の低下と相まったCPU負荷の増加
・通信スループットの向上と同時に発生することのないメモリ使用量の増加
・ネットワークノード内へのトラフィックの増加に対応することのないネットワークノードから出ていくトラフィックの増加
・またはより複雑であるが起こりそうにない、複数のメトリクスにわたって反映される確立されたパターンにおける変化
能力の低下と相まった、すなわち同時に生じる、中央処理ユニット、CPUにおける負荷の増加は、CPUリソースが偽仮想化ネットワーク機能またはノード上で消費されていることを示唆する場合がある。偽ノードは、悪意あるソフトウェアに感染した、図1に示されるようなノードを含むことができる。メモリ使用量の増加は、通常、ノードまたは仮想化ネットワーク機能をトラバースするトラフィックの増加に関連付けられるが、メモリが、通信スループットにおける同時増加なしにその他の方法で引き継がれる場合、偽のアクティビティが進行中である合図であり得る。内部へのトラフィックの増加に対応することのない外部へのトラフィックの増加は、仮想化ネットワーク機能またはノードが、適用可能であれば、トラフィックの中継ではなくトラフィックのソースになっていることを示し得る。こうしたトラフィックは、スパムまたはサービス妨害トラフィックなどの偽であり得る。サービス妨害トラフィックは、サービス妨害攻撃に含まれ得る。これらの挙動パターンに加えて、またはそれらに代わって、パターンは、たとえば警察またはマルウェア対策機関から制御ノード内で受信可能であり、こうした受信されるパターンは、特定の悪意あるソフトウェアアイテムによって生成される偽仮想化ネットワーク機能の挙動を特徴付ける。挙動パターンのさらなる例は、問題のVNFの観察によって確立されるものであり、言い換えれば、VNFが以前に確立されたそれ自体の挙動パターン特徴とは異なるような挙動を開始した場合、制御ノードは本明細書で説明するようなアクションを実行するようにトリガされ得る。パターンは、たとえば観察に基づいて確立され得る。
制御ノードは、ネットワークノード、すなわち仮想化ネットワーク機能、サーバ、またはノードが潜在的に偽である旨の決定に応答して、このネットワークノードの少なくとも1つの認証(認証情報、クレデンシャル(credential)情報)を検証するように構成可能である。この決定は、挙動パターンに従ったネットワークノード動作の決定に基づくことが可能であり、上記のようにパターンが偽って動作するネットワークノードを特徴付ける場合、または、パターンが適切に挙動するノードの挙動を特徴付ける場合、制御ノードは、ネットワークノードがパターンから逸脱していることに応答して認証を検証することができる。言い換えれば、認証の検証は、挙動パターンに関与する決定によってトリガすることができる。パターン自体を、正常または異常な挙動を特徴付けるものとして表すことができる。
検証は、ユーザの介入なしに、制御ノードによって自動的に実行することができる。言い換えれば、制御ノードは、ネットワークノード、それらの挙動、およびそれらの認証を、自動化プロセスとして監視するように構成され得る。制御ノードは、ネットワークノードが有効な認証を有さないことを示す検証に応答して、アクションを実行するように構成され得る。こうしたアクションは自動であってもよい。
認証検証に不合格である場合、すなわち、ネットワークノードが有効な認証を有さない場合、制御ノードは、ネットワークノードに対してアクションを実行するように構成され得る。たとえば、ネットワークノードを縮小する、隔離する、または終了することができる。隔離は、ネットワークノードを通信不能にすることを含むことができる。ユーザには、ネットワークノードに対して実行されたアクションを通知することができる。
認証の検証は、たとえば認証を要求し、これに応答して受信することによって、ネットワークノードから認証を取得することを含み得る。さらに制御ノードは、認証がリストに含まれるかどうかをチェックすることが可能であり、リストは、合法的なネットワークノードの認証のリストを含む。認証がリスト上にない場合、検証は不合格であると見なされ得る。認証がリストに含まれる場合、検証は合格であると見なされ得る。リストをチェックすることは、検証機能から、認証がリスト上にあるかどうかを照会することを含み得る。制御ノードから検証機能に送信される照会は、たとえば、認証または認証のハッシュを含み得る。いくつかの実施形態において、ネットワークノードが認証の提供を要求された際にそれを提供しなかった場合、検証は不合格と見なされる。
認証は、ネットワークノードの実行環境、またはその一部のハッシュを含み得る。認証は、ネットワークノードの公開暗号鍵を含み得る。公開鍵および対応する秘密鍵は、公開鍵暗号鍵ペアを形成する。代替または追加として、認証は暗号トークンまたは署名を含み得る。
いくつかの実施形態において、認証の検証は、ネットワークノードへの署名要求の伝送を含む。署名要求は、その秘密鍵を使用してネットワークノードに署名するための、ナンスなどのトークンを含み得る。代替として、ネットワークノードはどの情報に署名するかをわかっていることが想定され、たとえばネットワークノードは、署名要求のヘッダフィールドに含まれるタイムスタンプに署名することが予測され得、したがって、署名するために別のトークンを提供することを不要にする。署名は、たとえば制御ノードまたは検証機能において使用可能であり得る、ネットワークノードの公開鍵を使用して検証可能である。
いくつかのネットワークノードは、偽でないにもかかわらず、初期には偽として見られる場合がある。たとえば、電話またはデータトラフィックの合法的な傍受は、傍受型VNFをインスタンス化することによって配置可能であるが、合法的な傍受の存在を隠すために、搭載されていないかまたは有効なノードのリストに含まれていない。この場合、ネットワークオペレータの何人かの従業員でさえも、いずれのインターネットプロトコル、IPアドレス、または電話加入者が合法的な傍受の対象であるかを決定することができず、セキュリティを強化することになる。さもなければ、犯罪者が、ネットワークオペレータ要員達の中に作業員を侵入させることによって、合法的な傍受に関する情報にアクセスできるようになる可能性がある。合法的な傍受ネットワークノードには有効な認証が提供され、これを前述のように検証して、偽のノードと合法的な傍受ノードとを分離することができる。検証がユーザの介入なしに自動的に実行される場合、合法的な傍受の存在、および実際には合法的であるが非表示の他のノードの存在を、より効果的に隠すことが可能である一方で、作業員が偽のネットワークノードを発見し、これを安全化することを可能にする。
したがって、合法的傍受VNFの開始、または実行中のVNFCへの挿入は、VNFのインスタンス化、または現在実行中のVNFCの維持、およびその認証の登録を含み得るため、制御ノードが挙動パターンを使用して合法的傍受VNFまたはVNFCを選択する場合、VNFまたはVNFCは制御ノードによって実行される認証検証に合格することになる。認証の登録は、有効な認証のリストにその認証を入れること、または、暗号認証を提供することを含み得、すなわち、VNF自体に対応する秘密鍵を与えながら、有効な認証のリストに公開鍵を入力する形であり、その結果、秘密鍵を使用して生成された暗号署名が公開鍵を使用して検証できるようになる。認証は、VNFまたはVNFCに関するデータ内の静的特徴を含み得る。
いくつかの実施形態において、制御ノードは、既知のノードのリストにないノードが検出されたときに、人間のユーザに通知するように構成される。通知することは、危険にさらされたVIMを使用して偽のVNFがインスタンス化される可能性があるため、VIMが危険にさらされているという指示を含むことができる。
一般に、VNFによって、これは、特定のVNFインスタンス、あるいは、VNFインスタンスに含まれるVNFCまたはVNFCのセットと呼ばれる場合がある。VNFインスタンスは、別個の計算基板上に存在するVNFCを含み得る。
図2は、本発明の少なくともいくつかの実施形態に従った例示のネットワークアーキテクチャを示す。図2において、VNF 210は、たとえば図1に関して上記で説明したような仮想化ネットワーク機能などの、仮想化ネットワーク機能を含む。VNF 210はVNFマネージャ230とのインターフェースを有し、VNFマネージャ230は、たとえば、仮想化ネットワーク機能の負荷レベルにおける変化に応答して、または決定された障害条件に応答して、ネットワーク管理アクションを始動するように構成され得る。VNFマネージャ230は、仮想化インフラストラクチャマネージャ、すなわちVIM 220とのインターフェースを有する。VIM 220は、負荷または他の事前に定義されたしきい値を超える仮想化ネットワーク機能を検出し、それに応じてネットワーク管理アクションをトリガするための、監視機能を実施することができる。たとえば、負荷レベルが第1のしきい値を超えた場合、より多くのリソースを仮想化ネットワーク機能に割り振ること、および/または、負荷レベルが第2のしきい値よりも低下した場合、リソースを仮想化ネットワーク機能から他の用途に割り振ることが、可能である。NFVオーケストレータ、NFVO 270および/または別のノードは、機械学習プロセスによって定義された予測モデルによって計算されたスコアと結合された理由コードに応答するように構成され得、傾向スコアと結合された理由コードは、ネットワーク管理アクションをネットワークの少なくとも1つの動作条件に関連付ける。アーキテクチャは、複数のVNF 210、VIM 220、および/または、複数のVNFマネージャ230を含み得る。
VNF 210およびVIM 220はどちらも、ネットワーク機能仮想化インフラストラクチャ、すなわちNFVI 240へのインターフェースを有する。NFVI 240は、VNFが展開される環境を構築する、ハードウェアおよびソフトウェア構成要素のセットを提供することができる。VNF 210は、さらに、要素マネージャ、EM 250とのインターフェースを有する。EM 250は、複数のネットワーク要素の関連タイプのセットを管理するための、エンドユーザ機能を提供することができ、複数のネットワーク要素は、仮想化ネットワーク機能または非仮想化ネットワーク機能、あるいはその両方を備える、複数のネットワーク要素を含み得る。これらの機能は、要素管理機能およびサブネットワーク管理機能という、2つの主カテゴリに分割することができる。いくつかの実施形態において、EM 250は、ネットワーク管理アクションに関する決定を行うように、および、たとえば、決定に関するシグナリングをVNFマネージャ230に対して行うことによって、決定を実施させるように構成され得る。EM 250は、たとえば決定された障害条件への応答として、ネットワーク管理機能に関する決定を行うことができる。EM 250は、動作サポートシステムおよび/または、ビジネスサポートシステム、OSS/BSS 260とのインターフェースを有する。OSS/BSS 260は、エンドツーエンド電気通信サービスをサポートするように構成され得る。OSS/BSS 260は、たとえば負荷監視を実施することができる。次にOSS/BSS 260は、NFVオーケストレータ、NFVO 270とのインターフェースを有する。NFVO 270は、ネットワークサービス、NSライフサイクルを管理し、リソースおよび接続の最適な割り振りを保証するために、NSライフサイクル、VNFライフサイクル、およびNFVI 240リソースの管理を調整する、機能ブロックを含むことができる。NFVO 270は、NSカタログ272、VNFカタログ274、ネットワーク機能仮想化NFVインスタンス276、およびNFVIリソース278の、各々とのインターフェースを有する。VIM 220は、NFVO 270とのインターフェースをさらに有することができる。VNFマネージャ230も同様に、NFVO 270とのインターフェースを有することができる。VNFカタログ274は、上記で言及した既知のVNFのリストを含むことができる。
いくつかの実施形態において、制御ノード280は、前述のように、挙動パターンに基づいてNFVに関する決定を実行するように構成される。制御ノード280は、挙動情報を取得するためのVNF 210へのインターフェース、ならびに、VNF 210が既知のVNFのリストに含まれるかどうかをチェックするためのNFVO 270および/またはVNFM 230へのインターフェースを有する。制御ノード280は、VIM 220とのインターフェースをさらに有し得る。制御ノード280は、VNFを終了するようにVIM 220に命じることによって、VNFを終了することができる。制御ノード280は、予測機能を有し得るか、または予測機能と同じ物理ノード上で実行され得る。
いくつかの実施形態において、ネットワーク管理リソーススケーリングアクションを実施するために、NFVO 270は、少なくとも1つのVNF 210に追加のリソースを与えるようにVIM 220に命じる。VIM 220が追加のリソースについて肯定応答する場合、NFVO 270は、リソースをスケーリングするように、仮想化ネットワーク機能マネージャ、VNFM 230に通知することができる。任意選択として、NFVO 270は第1に、VNFがスケーリング可能であるかどうか、およびいずれのリソースをスケーリングする必要があるかを、VNFM 230に要求することができる。スケールダウンまたはスケールインする場合、NFVO 270は、VNFをスケーリングするようにVNFM 230に通知することが可能であり、VNFM 230はリソースをスケーリングし、それに関してNFVO 270に通知することが可能であり、次いでNFVO 270は、これらのリソースがもはや使用されない旨をVIM 220に通知することが可能であり、その後、VIM 220はそのように実行することが可能である。NFVO 270は、リソースがもはや使用できない旨を、NFVO 270に通知することもできる。
様々な実施形態において、図2に示される少なくとも2つのエンティティ(実体)は、同じハードウェアリソース上で実行するように配置されたソフトウェア・エンティティを含む。たとえば、制御ノード280は、図2に示された少なくとも1つの他の要素と同じ計算基板上で実行する、制御機能を含むことができる。
図2はアーキテクチャの一例を示しているが、本発明の異なる実施形態では他のアーキテクチャも可能である。たとえば、ネットワークがインターネットプロトコル、IPネットワークである場合、アーキテクチャは図2に示されるよりも単純であり得る。
図3は、本発明の少なくともいくつかの実施形態をサポートすることが可能な例示の装置を示す。図示されたデバイス300は、たとえば図1のサーバを含み得る。デバイス300は、たとえば、シングルコアまたはマルチコアのプロセッサを含み得る、プロセッサ310を備え、シングルコアプロセッサは1つの処理コアを備え、マルチコアプロセッサは複数の処理コアを備える。プロセッサ310は複数のプロセッサを含み得る。処理コアは、たとえばARM Holdingsによって製造されるCortex−A8処理コア、または、Advanced Micro Devices Corporationによって生産されるSteamroller処理コアを、含むことができる。プロセッサ310は、少なくとも1つのAMD Opteronおよび/またはIntel Coreプロセッサを含み得る。プロセッサ310は、少なくとも1つの特定用途向け集積回路、ASICを含み得る。プロセッサ310は、少なくとも1つのフィールドプログラマブルゲートウェイ、FPGAを含み得る。プロセッサ310は、デバイス300において方法ステップを実行するための手段であり得る。プロセッサ310は、少なくとも部分的にコンピュータ命令によってアクションを実行するように構成され得る。
デバイス300はメモリ320を備えることができる。メモリ320は、ランダムアクセスメモリおよび/または永続メモリを含み得る。メモリ320は、少なくとも1つのRAMチップを含み得る。メモリ320は、たとえばソリッドステート、磁気、光、および/またはホログラフのメモリを含み得る。メモリ320には、少なくとも部分的にプロセッサ310からアクセス可能である。メモリ320は、少なくとも部分的にプロセッサ310に含まれ得る。メモリ320は、情報を記憶するための手段であり得る。メモリ320は、プロセッサ310が実行するように構成されたコンピュータ命令を含み得る。あるアクションをプロセッサに実行させるように構成されたコンピュータ命令がメモリ320内に記憶され、デバイス300全体が、メモリ320からのコンピュータ命令を使用するプロセッサ310の指示の下で実行するように構成される場合、プロセッサ310および/またはその少なくとも1つの処理コアは、当該のあるアクションを実行するように構成されるものと見なし得る。メモリ320は、少なくとも部分的にプロセッサ310に含まれ得る。メモリ320は、少なくとも部分的にデバイス300の外部であり得るが、デバイス300からアクセス可能であり得る。
デバイス300は送信器330を備え得る。デバイス300は受信器340を備え得る。送信器330および受信器340は、少なくとも1つのセルラーまたは非セルラー規格に従って、情報を、それぞれ、送信および受信するように構成され得る。送信器330は、複数の送信器を含み得る。受信器340は、複数の受信器を含み得る。送信器330および/または受信器340は、たとえば、イーサネット(登録商標)および/またはworldwide interoperability for microwave access、WiMAX規格に従って動作するように構成され得る。
デバイス300は、ユーザインターフェース、UI 360を備え得る。UI 360は、ディスプレイ、キーボード、タッチスクリーン、デバイス300を振動させることによってユーザに合図するように配置されたバイブレータ、スピーカ、およびマイクロフォンのうちの、少なくとも1つを含み得る。ユーザは、たとえば、隔離されたネットワークノードに関するアクションを管理するために、UI 360を介してデバイス300を動作させることが可能であり得る。
プロセッサ310は、プロセッサ310からの情報を、デバイス300内部の導線を介して、デバイス300に含まれる他のデバイスに出力するように配置された、送信器を備えることができる。こうした送信器は、たとえば、少なくとも1つの導線を介して、内部に記憶するためにメモリ320に情報を出力するように配置された、シリアルバス送信器を備えることができる。送信器は、シリアルバスの代わりに、パラレルバス送信器を備えることもできる。同様にプロセッサ310は、デバイス300に含まれる他のデバイスから、デバイス300内部の導線を介して、プロセッサ310内に情報を受信するように配置された、受信器を備え得る。こうした受信器は、たとえば、プロセッサ310内で処理するために、少なくとも1つの導線を介して受信器340から情報を受信するように配置された、シリアルバス受信器を備え得る。受信器は、シリアルバスの代わりに、パラレルバス受信器を備えることもできる。
デバイス300は、図3に示されていないさらなるデバイスも含み得る。いくつかの実施形態では、デバイス300には、前述の少なくとも1つのデバイスがない。
プロセッサ310、メモリ320、送信器330、受信器340、NFC送受信器350、UI 360、および/またはユーザ識別モジュール370は、多数の異なる様式で、デバイス300内部の導線によって相互接続可能である。たとえば、前述のデバイスの各々は、デバイスが情報を交換できるようにするために、デバイス300内部のマスタバスに別々に接続可能である。しかしながら、当業者であれば理解されるように、これは単なる一例であり、本発明の範囲を逸脱することなく、実施形態に応じて、前述のデバイスのうちの少なくとも2つを相互接続する様々な様式を選択することができる。
図4は、本発明の少なくともいくつかの実施形態に従ったシグナリングを示す。縦軸上には、左から右へ、NFVI 240、VIM 220、NFVO 270、制御ノード280、および最後に検証機能「Ver」が配設されている。時間は上から下に向かって進行する。いくつかの実施形態において、検証機能「Ver」は制御ノード280に含まれる。
段階410において、新規のVNFまたはVNF構成要素、VNFCのインスタンス化の際に、VIM 220はこのように実行することをNFVI 240にシグナリングすることになる。インスタンス化は適切であるかまたは偽であり得、たとえば、VIM 220が悪意あるプログラムによってアクセスされた場合は、偽であり得る。段階420において、VIM 220はインスタンス化を制御ノード280に通知する。段階420は、図に示されるように段階410に関連して、たとえば同時に、わずかに前に、またはわずかに後に、発生し得る。段階420の通知は、実際は自動であるか、または適用可能であれば暗黙的であってよい。暗黙的な場合、制御ノード280は、たとえばNFVI 240を監視することによって、インスタンス化が実行されたことを推測することができる。
段階430において、制御ノード280は、NFVO 270によって維持されるかまたはこれを介してアクセス可能な既知のノードのリストから、新しくインスタンス化されたVNFまたはVNFCがリスト上にあるかどうかをチェックする。リストに含まれるということは、インスタンス化が許可され、偽ではないことを示す。新しくインスタンス化されたVNFまたはVNFCがリストに含まれない場合、処理は、たとえば、図5に示される段階530に対応する段階440と同時に、段階460をトリガする。そうでなければ、処理は単に段階440へと進む。
段階440において、制御ノード280は新しくインスタンス化されたVNFまたはVNFCの挙動パターンを確立する。挙動パターンは、代替または追加として、同様のタイプの別のVNFまたはVNFCの挙動を観察することによって確立され得、同様のタイプのノードの挙動は同様であると予想される。挙動パターンは観察に基づいて確立されるため、段階440は数日間あるいは数週間続く場合がある。パターンは、たとえば、通信強度、メモリ使用量、CPU負荷などのうちの、少なくとも1つに関するパターンを含むことができる。代替または追加として、挙動パターンは、たとえば既知の信頼されるマルウェア対策会社から事前に構成されるかまたは受信することができる。
段階450において、挙動パターンからの逸脱は、たとえば前述のようにCPU負荷に関して決定される。これに応答して、段階460において、新しくインスタンス化されたVNFまたはVNFCの認証は、検証機能「Ver」を用いて検証される。この検証がどのように進行されるかの例は、上記で説明している。
認証が検証に合格しない場合、言い換えれば、検証に不合格な場合、段階470において、制御ノード280は、インスタンス化されたVNFまたはVNFCに関して実行されるアクションに関する決定を行うことができる。図4に示された例では、決定はVNFを終了することである。制御ノード280は、VNFを終了するようにVIM 220に命じるために、VIM 220にシグナリングすることによって、VNFまたはVNFCを終了させる。
図5は、本発明の少なくともいくつかの実施形態に従ったシグナリングを示す。縦軸は図4の縦軸に対応する。図4に示されるように、時間は上から下に向かって進行する。
段階510において、搭載されインスタンス化されたVNFは、正常に実行する。このVNFは合法的にインスタンス化されており、ネットワークにおいてその役割を実行する。段階520は、VNFおよびそのVNF構成要素の実行が、ランタイム中に制御ノード280によってどのように監視されるかを示す。前述のように、監視されたアクティビティおよび/または他のソースに基づいて、段階530において、少なくとも1つの挙動パターンが確立される。挙動パターンは、発生した場合、正常な挙動または異常であると判別された挙動のいずれかを反映する。
イベント5xxは、VNFまたはVNF構成要素、VNFCへの未許可のアクセスを示し、その挙動を修正するためにVNFまたはVNFCに関して悪意ある要素がインストールされている。悪意ある要素の結果、VNFの実行が変化し、このように修正された実行は、段階540において制御ノード280によって監視される。これに応答して、段階550において、制御ノード280は、少なくとも部分的に挙動パターンに基づいて、挙動を決定する。任意選択として、VNFまたはVNFCの認証のチェックは検証機能「Ver」を使用して行われる。これは、段階560として示されている。
段階570において、VNFで実行する内容に関する決定が制御ノード280内で行われる。図示された例において、制御ノード280は、危険にさらされたVNFまたはVNFCを置き換えるために新しいVNFまたはVNFCをインスタンス化させ、危険にさらされたVNFまたはVNFCをシャットダウンさせる。ユーザにとって円滑な体験を保証するために、トラフィックを、危険にさらされたVNFまたはVNFCから新しいVNFまたはVNFCに引き渡すことができる。制御デバイス280は、1つまたは2つのメッセージでNFVO 270にシグナリングすることによって、段階580においてこれらの決定を実施させることができる。代替として、制御ノード280は、たとえばこれらの決定を実施するために、EM、要素マネージャ、またはVNFM、VNFマネージャにシグナリングすることができる。
図6は、本発明の少なくともいくつかの実施形態に従った方法のフローチャートである。示された方法の段階は、たとえば制御ノード280、制御機能、補助デバイス、またはサーバコンピュータにおいて、あるいは、内部に埋め込まれた場合は、それらの機能を制御するように構成された制御デバイスにおいて、実行可能である。
段階610は、少なくとも1つのランタイム挙動パターンを特徴付ける情報を記憶することを含む。段階620は、ネットワークノードに関して、記憶された情報に少なくとも部分的に基づいて挙動決定を実行することを含む。最後に、段階630は、挙動決定の結果に対する応答として、有効なネットワークノードのリストにネットワークノードが含まれているかどうかを検証することを含む。ネットワークノードは、たとえばノード、仮想化ネットワーク機能、またはサーバを含むことができる。段階630は、ネットワークノードの識別子がリストに含まれるかどうかを検証することを含み得る。
図7は、本発明の少なくともいくつかの実施形態に従った方法のフローチャートである。示された方法の段階は、たとえば制御ノード280、制御機能、補助デバイス、またはサーバコンピュータにおいて、あるいは、内部に埋め込まれた場合は、それらの機能を制御するように構成された制御デバイスにおいて、実行可能である。
段階710は、少なくとも1つのランタイム挙動パターンを特徴付ける情報を記憶することを含む。段階720は、ネットワークノードに関して、記憶された情報に少なくとも部分的に基づいて挙動決定を実行することを含む。最後に、段階730は、挙動決定の結果に応答して、ネットワークノードを終了させることを含む。
当業者であれば理解されるように、開示された本発明の実施形態は、本明細書で開示された特定の構造、処理ステップ、または材料に限定されず、それらの等価物まで拡張されることを理解されよう。本明細書で使用される用語は、特定の実施形態を説明するためにのみ使用されており、限定することは意図されていないことも理解されたい。
本明細書全体を通じて、一実施形態または実施形態という言いまわしは、実施形態に関して説明される特定の機能、構造、または特徴が、本発明の少なくとも1つの実施形態に含まれることを意味する。したがって、本明細書全体を通じて様々な場所で使われる「一実施形態において」または「実施形態において」という語句は、必ずしも同じ実施形態を指すものとは限らない。たとえば、約またはおよそなどの語句を使用して数値を言い表している場合、正確な数値も開示されている。
本明細書で使用される、複数のアイテム、構造的要素、組成要素、および/または材料は、便宜上、共通リストに提示することができる。しかしながらこれらのリストは、リストの各メンバが、別々な固有のメンバとして個々に識別されるものと解釈されるべきである。したがって、それとは反対に、指示なしに単に共通グループ内でのそれらの提示に基づいて、こうしたリストの個々のメンバのいずれも、事実上、同じリストの任意の他のメンバの等価物として解釈されるべきではない。加えて、本発明の様々な実施形態および例は、本明細書において、それらの様々な構成要素の代替と共に参照することができる。こうした実施形態、例、および代替は、事実上、互いに等価物として解釈されるものではなく、本発明の別々の自律的な表現と見なされるものであることを理解されよう。
さらに、説明された機能、構造、または特徴は、1つまたは複数の実施形態において、任意の好適な様式で組み合わせることが可能である。前述の説明では、本発明の実施形態を完全に理解できるように、長さ、幅、形状の例などの、多数の特定の詳細が提供されている。しかしながら、当業者であれば、本発明は、特定の詳細のうちの1つまたは複数を用いることなく、あるいは、他の方法、構成要素、材料などを用いて、実施可能であることを理解されよう。他の場合には、本発明の態様を不明瞭にしないために、周知の構造、材料、または動作は詳細に図示または説明していない。
前述の例は、1つまたは複数の特定の適用例における本発明の原理を例示するものであり、当業者であれば、発明的な能力を発揮することなく、および、本発明の原理および概念から逸脱することなく、実施の形式、使用例、および細部における多数の改変が可能であることが明らかとなろう。したがって本発明は、以下に記載される特許請求の範囲によって限定される場合を除き、限定されることは意図されていない。
「備える」および「含む」という動詞は、本明細書では、記載されていない特徴の存在をも排除するかまたは要求することのない、開いた制限として使用される。従属請求項に記載された特徴は、特に明示的に示されていない限り、相互に自由に組み合わせることが可能である。さらに、「a」または「an」、すなわち単数形の使用は、本明細書全体を通じて複数形を排除するものではないことを理解されよう。
本発明の少なくともいくつかの実施形態は、合法的な非表示のノードを隠しながら偽のノードを発見するために、ネットワークを管理することにおいて、産業上適用される。
頭字語のリスト
CPU 中央処理ユニット
EM 要素マネージャ
NFVI ネットワーク機能仮想化インフラストラクチャ
NFVO ネットワーク機能仮想化オーケストレータ
OSS/BSS 動作サポートシステムおよび/またはビジネスサポートシステム
VIM 仮想化インフラストラクチャマネージャ
VNF 仮想化ネットワーク機能
VNFC 仮想化ネットワーク機能構成要素
VNFM 仮想化ネットワーク機能マネージャ
WCDMA(登録商標) 広帯域符号分割多元アクセス

Claims (35)

  1. 装置であって、
    − 少なくとも1つのランタイム挙動パターンを特徴付ける情報を記憶するように構成された、メモリと、
    − 前記記憶された情報に少なくとも部分的に基づいて、ネットワークノードに関する挙動決定を実行するように、および、前記挙動決定の結果に対する応答として、有効なネットワークノードのリストに前記ネットワークノードが含まれるかどうかを検証するように、構成された、少なくとも1つの処理コアと、
    を備える、装置。
  2. 前記ネットワークノードは、仮想化ネットワーク機能または仮想化ネットワーク機能の構成要素である、請求項1に記載の装置。
  3. 前記少なくとも1つの処理コアは、前記ネットワークノードが有効な認証を有することを検証するように構成される、請求項1または2に記載の装置。
  4. 前記少なくとも1つの処理コアは、前記挙動決定の前記結果に対する応答として、前記ネットワークノードが有効な認証を有するかどうかを、ユーザの介入なしに自動的に検証するように構成される、請求項1から3のいずれかに記載の装置。
  5. 前記ランタイム挙動パターンは、第1に、前記ネットワークノードの能力の低下と相まったCPU負荷の増加、第2に、通信スループットの向上と同時に発生することのないメモリ使用量の増加、第3に、前記ネットワークノード内へのトラフィックの増加に対応することのない前記ネットワークノードから出ていくトラフィックの増加、および第4に、前記ネットワークノードが第1のリストに含まれることなくインスタンス化されアクティブである、という、4つのパターンのうちの、少なくとも1つを有する、請求項1から4のいずれかに記載の装置。
  6. 前記挙動決定を実行することは、前記ネットワークノードを実行する計算基板にランタイム情報を要求することを含む、請求項1から5のいずれかに記載の装置。
  7. 前記ネットワークノードが有効な認証を有するかどうかを検証することは、前記ネットワークノードの前記認証を取得すること、および、検証機能から、前記認証が有効かどうかを照会することを含む、請求項1から6のいずれかに記載の装置。
  8. 前記検証機能は、有効な認証のリストを保有しているノードまたは機能を含む、請求項7に記載の装置。
  9. 前記認証は、前記ネットワークノードの実行環境の少なくとも一部のハッシュ、前記ネットワークノードの公開鍵、前記ネットワークノードの秘密鍵、前記ネットワークノードに関するデータにおける静的特徴、および暗号トークンのうちの、少なくとも1つを含む、請求項1から8のいずれかに記載の装置。
  10. 前記ネットワークノードが有効な認証を有するかどうかを検証することは、署名要求を前記ネットワークノードに伝送すること、それに応えて前記ノードから暗号署名を取得すること、および、前記暗号署名が正しいことを検証させることを含む、請求項1から9のいずれかに記載の装置。
  11. 前記署名要求は、その秘密鍵を使用して署名するための、前記ネットワークノードについてのトークンを含む、請求項10に記載の装置。
  12. 方法であって、
    − 少なくとも1つのランタイム挙動パターンを特徴付ける情報を記憶すること、
    − 前記記憶された情報に少なくとも部分的に基づいて、ネットワークノードに関する挙動決定を実行すること、および、
    − 前記挙動決定の結果に対する応答として、有効なネットワークノードのリストに前記ネットワークノードが含まれるかどうかを検証すること、
    を含む、方法。
  13. 前記ネットワークノードは、仮想化ネットワーク機能または仮想化ネットワーク機能の構成要素である、請求項12に記載の方法。
  14. 前記ネットワークノードが有効な認証を有することを検証することをさらに含む、請求項12または13に記載の方法。
  15. 前記ネットワークノードが有効な認証を有するかどうかを検証することは、前記挙動決定の前記結果に対する応答として、ユーザの介入なしに自動的に実行される、請求項12から14のいずれかに記載の方法。
  16. 前記ランタイム挙動パターンは、第1に、前記ネットワークノードの能力の低下と相まったCPU負荷の増加、第2に、通信スループットの向上と同時に発生することのないメモリ使用量の増加、第3に、前記ネットワークノード内へのトラフィックの増加に対応することのない前記ネットワークノードから出ていくトラフィックの増加、および第4に、前記ネットワークノードが第1のリストに含まれることなくインスタンス化されアクティブである、という、4つのパターンのうちの、少なくとも1つを有する、請求項12から15のいずれかに記載の方法。
  17. 前記挙動決定を実行することは、前記ネットワークノードを実行する計算基板にランタイム情報を要求することを含む、請求項12から16のいずれかに記載の方法。
  18. 前記ネットワークノードが有効な認証を有するかどうかを検証することは、前記ネットワークノードの前記認証を取得すること、および、検証機能から、前記認証が有効かどうかを照会することを含む、請求項12から17のいずれかに記載の方法。
  19. 前記検証機能は、有効な認証のリストを保有しているノードまたは機能を含む、請求項18に記載の方法。
  20. 前記認証は、前記ネットワークノードの実行環境の少なくとも一部のハッシュ、前記ネットワークノードの公開鍵、前記ネットワークノードの秘密鍵、前記ネットワークノードに関するデータにおける静的特徴、および暗号トークンのうちの、少なくとも1つを含む、請求項12から19のいずれかに記載の方法。
  21. 前記ネットワークノードが有効な認証を有するかどうかを検証することは、署名要求を前記ネットワークノードに伝送すること、それに応えて前記ノードから暗号署名を取得すること、および、前記暗号署名が正しいことを検証させることを含む、請求項12から20のいずれかに記載の方法。
  22. 前記署名要求は、その秘密鍵を使用して署名するための、前記ネットワークノードについてのトークンを含む、請求項21に記載の方法。
  23. 装置であって、
    − 少なくとも1つのランタイム挙動パターンを特徴付ける情報を記憶するように構成された、メモリと、
    − 前記記憶された情報に少なくとも部分的に基づいて、ネットワークノードに関する挙動決定を実行するように、および、前記挙動決定の結果に応答して、前記ネットワークノードを終了させるように、構成された、少なくとも1つの処理コアと、
    を備える、装置。
  24. 前記少なくとも1つの処理コアは、有効なネットワークノードのリストに前記ネットワークノードが含まれることを検証するように構成される、請求項23に記載の装置。
  25. 前記少なくとも1つの処理コアは、前記ネットワークノードが有効な認証を有することを検証するように、および、前記ネットワークノードが、有効な認証を有し、有効なネットワークノードの前記リストに含まれる場合、前記終了させるようにも、構成される、請求項24に記載の装置。
  26. 前記装置は、前記ネットワークノードのランタイム観察に基づいて、前記ランタイム挙動パターンを決定するように構成される、請求項23から25のいずれかに記載の装置。
  27. 方法であって、
    − 少なくとも1つのランタイム挙動パターンを特徴付ける情報を記憶すること、
    − 前記記憶された情報に少なくとも部分的に基づいて、ネットワークノードに関する挙動決定を実行すること、および、
    − 前記挙動決定の結果に応答して、前記ネットワークノードを終了させること、
    を含む、方法。
  28. 有効なネットワークノードのリストに前記ネットワークノードが含まれることを検証することをさらに含む、請求項27に記載の方法。
  29. 前記ネットワークノードが有効な認証を有することを検証することをさらに含み、前記ネットワークノードが、有効な認証を有する場合、および有効なネットワークノードの前記リストに含まれる場合にも、前記終了が行われる、請求項28に記載の方法。
  30. 前記ネットワークノードのランタイム観察に基づいて、前記ランタイム挙動パターンを決定することをさらに含む、請求項27から29のいずれかに記載の方法。
  31. 装置であって、
    − 少なくとも1つのランタイム挙動パターンを特徴付ける情報を記憶するための手段と、
    − 前記記憶された情報に少なくとも部分的に基づいて、ネットワークノードに関する挙動決定を実行するための手段と、
    − 前記挙動決定の結果に対する応答として、有効なネットワークノードのリストに前記ネットワークノードが含まれるかどうかを検証するための手段と、
    を備える、装置。
  32. 装置であって、
    − 少なくとも1つのランタイム挙動パターンを特徴付ける情報を記憶するための手段と、
    − 前記記憶された情報に少なくとも部分的に基づいて、ネットワークノードに関する挙動決定を実行するための手段と、
    − 前記挙動決定の結果に応答して、前記ネットワークノードを終了させるための手段と、
    を備える、装置。
  33. コンピュータ読取可能な複数の命令のセットが記憶された、非一時的なコンピュータ読取可能な媒体であって、前記複数の命令は、少なくとも1つのプロセッサによって実行されたときに、少なくとも、
    − 少なくとも1つのランタイム挙動パターンを特徴付ける情報を記憶すること、
    − 前記記憶された情報に少なくとも部分的に基づいて、ネットワークノードに関する挙動決定を実行すること、および、
    − 前記挙動決定の結果に対する応答として、有効なネットワークノードのリストに前記ネットワークノードが含まれるかどうかを検証すること、
    を、装置に実行させる、コンピュータ読取可能な媒体。
  34. コンピュータ読取可能な複数の命令のセットが記憶された、非一時的なコンピュータ読取可能な媒体であって、前記複数の命令は、少なくとも1つのプロセッサによって実行されたときに、少なくとも、
    − 少なくとも1つのランタイム挙動パターンを特徴付ける情報を記憶すること、
    − 前記記憶された情報に少なくとも部分的に基づいて、ネットワークノードに関する挙動決定を実行すること、および、
    − 前記挙動決定の結果に応答して、前記ネットワークノードを終了させること、
    を、装置に実行させる、コンピュータ読取可能な媒体。
  35. 請求項12から22または27から30のうちの少なくとも一項に記載の方法を実行させるように構成された、コンピュータプログラム。
JP2018533191A 2015-12-23 2016-04-12 ネットワーク管理 Pending JP2019506662A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
MYPI2015704758 2015-12-23
MYPI2015704758 2015-12-23
PCT/FI2016/050236 WO2017109272A1 (en) 2015-12-23 2016-04-12 Network management

Publications (1)

Publication Number Publication Date
JP2019506662A true JP2019506662A (ja) 2019-03-07

Family

ID=59090338

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018533191A Pending JP2019506662A (ja) 2015-12-23 2016-04-12 ネットワーク管理

Country Status (8)

Country Link
US (1) US11122039B2 (ja)
EP (1) EP3395102B1 (ja)
JP (1) JP2019506662A (ja)
KR (1) KR20180118610A (ja)
CN (1) CN108605264B (ja)
AU (1) AU2016375359A1 (ja)
SG (1) SG11201805330VA (ja)
WO (1) WO2017109272A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024004029A1 (ja) * 2022-06-28 2024-01-04 楽天モバイル株式会社 サーバのログ取得操作の自動化

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11171905B1 (en) 2016-10-17 2021-11-09 Open Invention Network Llc Request and delivery of additional data
WO2019093932A1 (en) * 2017-11-07 2019-05-16 Telefonaktiebolaget Lm Ericsson (Publ) Lawful interception security
US11528328B2 (en) * 2017-12-15 2022-12-13 Nokia Technologies Oy Stateless network function support in the core network
US11194609B1 (en) * 2018-05-23 2021-12-07 Open Invention Network Llc Onboarding VNFs which include VNFCs that are composed of independently manageable software modules
US11150963B2 (en) * 2019-02-28 2021-10-19 Cisco Technology, Inc. Remote smart NIC-based service acceleration
US11489853B2 (en) 2020-05-01 2022-11-01 Amazon Technologies, Inc. Distributed threat sensor data aggregation and data export

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006035928A1 (ja) * 2004-09-30 2006-04-06 Tamura Corporation Ip電話端末装置、呼制御サーバ、ワクチンサーバ、保守用装置、ip電話システム、これらの制御方法及びプログラム
JP2011250335A (ja) * 2010-05-31 2011-12-08 Hitachi Ltd 効率的相互認証方法,プログラム,及び装置
WO2014068632A1 (ja) * 2012-10-29 2014-05-08 三菱電機株式会社 設備管理装置、設備管理システム及びプログラム
WO2014195890A1 (en) * 2013-06-06 2014-12-11 Topspin Security Ltd. Methods and devices for identifying the presence of malware in a network
JP2015011659A (ja) * 2013-07-02 2015-01-19 株式会社日立製作所 通信装置、アクセス制御方法およびプログラム

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7130289B2 (en) * 2002-03-14 2006-10-31 Airmagnet, Inc. Detecting a hidden node in a wireless local area network
KR101460766B1 (ko) * 2008-01-29 2014-11-11 삼성전자주식회사 무선 네트워크 시스템에서 클러스터 기능을 이용한 보안설정 시스템 및 그 제어방법
US20090262751A1 (en) * 2008-04-16 2009-10-22 Rockwood Troy D Controlling network communications using selective jamming
US8341740B2 (en) 2008-05-21 2012-12-25 Alcatel Lucent Method and system for identifying enterprise network hosts infected with slow and/or distributed scanning malware
US8488446B1 (en) 2010-10-27 2013-07-16 Amazon Technologies, Inc. Managing failure behavior for computing nodes of provided computer networks
US8683478B2 (en) * 2010-12-21 2014-03-25 International Business Machines Corporation Best fit mapping of self-virtualizing input/output device virtual functions for mobile logical partitions
US8528088B2 (en) 2011-05-26 2013-09-03 At&T Intellectual Property I, L.P. Modeling and outlier detection in threat management system data
US10033595B2 (en) 2013-08-27 2018-07-24 Futurewei Technologies, Inc. System and method for mobile network function virtualization
EP2849064B1 (en) 2013-09-13 2016-12-14 NTT DOCOMO, Inc. Method and apparatus for network virtualization
US9608874B2 (en) * 2013-12-05 2017-03-28 At&T Intellectual Property I, L.P. Methods and apparatus to identify network topologies
US9760428B1 (en) * 2013-12-19 2017-09-12 Amdocs Software Systems Limited System, method, and computer program for performing preventative maintenance in a network function virtualization (NFV) based communication network
GB2523338A (en) * 2014-02-20 2015-08-26 Ng4T Gmbh Testing a virtualised network function in a network
EP3107246B1 (en) * 2014-03-26 2019-05-22 Huawei Technologies Co., Ltd. Network function virtualization-based certificate configuration
EP2955631B1 (en) 2014-06-09 2019-05-01 Nokia Solutions and Networks Oy Controlling of virtualized network functions for usage in communication network
CN104901833B (zh) * 2015-05-19 2018-05-08 无锡天脉聚源传媒科技有限公司 一种发现异常设备的方法及装置
CN105141604B (zh) * 2015-08-19 2019-03-08 国家电网公司 一种基于可信业务流的网络安全威胁检测方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006035928A1 (ja) * 2004-09-30 2006-04-06 Tamura Corporation Ip電話端末装置、呼制御サーバ、ワクチンサーバ、保守用装置、ip電話システム、これらの制御方法及びプログラム
JP2011250335A (ja) * 2010-05-31 2011-12-08 Hitachi Ltd 効率的相互認証方法,プログラム,及び装置
WO2014068632A1 (ja) * 2012-10-29 2014-05-08 三菱電機株式会社 設備管理装置、設備管理システム及びプログラム
WO2014195890A1 (en) * 2013-06-06 2014-12-11 Topspin Security Ltd. Methods and devices for identifying the presence of malware in a network
JP2015011659A (ja) * 2013-07-02 2015-01-19 株式会社日立製作所 通信装置、アクセス制御方法およびプログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024004029A1 (ja) * 2022-06-28 2024-01-04 楽天モバイル株式会社 サーバのログ取得操作の自動化

Also Published As

Publication number Publication date
US20190014112A1 (en) 2019-01-10
CN108605264B (zh) 2022-10-18
CN108605264A (zh) 2018-09-28
WO2017109272A1 (en) 2017-06-29
US11122039B2 (en) 2021-09-14
AU2016375359A1 (en) 2018-07-19
EP3395102B1 (en) 2020-10-07
KR20180118610A (ko) 2018-10-31
EP3395102A4 (en) 2019-07-10
EP3395102A1 (en) 2018-10-31
SG11201805330VA (en) 2018-07-30

Similar Documents

Publication Publication Date Title
US11109229B2 (en) Security for network computing environment using centralized security system
JP2019506662A (ja) ネットワーク管理
US10187422B2 (en) Mitigation of computer network attacks
US9491189B2 (en) Revival and redirection of blocked connections for intention inspection in computer networks
Reynaud et al. Attacks against network functions virtualization and software-defined networking: State-of-the-art
WO2018023692A1 (en) Security-on-demand architecture
US20170063927A1 (en) User-Aware Datacenter Security Policies
US11509501B2 (en) Automatic port verification and policy application for rogue devices
US20210250771A1 (en) Method For Determining Class Information And Apparatus
US20160080323A1 (en) System and method for creating a trusted cloud security architecture
US11558364B2 (en) Authentication offload in virtualized computing environments
CN113206814B (zh) 一种网络事件处理方法、装置及可读存储介质
WO2013185483A1 (zh) 签名规则的处理方法、服务器及入侵防御系统
US8955049B2 (en) Method and a program for controlling communication of target apparatus
Tok et al. Security analysis of SDN controller-based DHCP services and attack mitigation with DHCPguard
US11784993B2 (en) Cross site request forgery (CSRF) protection for web browsers
JP2023535474A (ja) アソシエーション制御方法及び関連装置
US10931713B1 (en) Passive detection of genuine web browsers based on security parameters
CN109286494B (zh) 一种虚拟网络功能vnf的初始化凭据生成方法及设备
Müller Evaluating the Security and Resilience of Typical off the Shelf CoAP IoT Devices: Assessing CoAP and Wi-Fi vulnerabilities
Ishtiaq et al. DHCP DoS and starvation attacks on SDN controllers and their mitigation
US20220294781A1 (en) Preventing network discovery by untrusted devices
CN114339756B (zh) 无线设备的准入和访问策略控制方法、装置及系统
CN117278275A (zh) 访问权限调整方法、装置及存储介质
KR20230062861A (ko) 이종 기밀 컴퓨팅 클러스터들의 신뢰 자세들의 확인

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20190312

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190327

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20190315

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200107

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20200804