JP5370592B2 - 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置 - Google Patents

端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置 Download PDF

Info

Publication number
JP5370592B2
JP5370592B2 JP2012534882A JP2012534882A JP5370592B2 JP 5370592 B2 JP5370592 B2 JP 5370592B2 JP 2012534882 A JP2012534882 A JP 2012534882A JP 2012534882 A JP2012534882 A JP 2012534882A JP 5370592 B2 JP5370592 B2 JP 5370592B2
Authority
JP
Japan
Prior art keywords
control device
processing rule
terminal
packet
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012534882A
Other languages
English (en)
Other versions
JP2013522933A (ja
Inventor
健太郎 園田
英之 下西
政行 中江
昌也 山形
陽一郎 森田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2012534882A priority Critical patent/JP5370592B2/ja
Publication of JP2013522933A publication Critical patent/JP2013522933A/ja
Application granted granted Critical
Publication of JP5370592B2 publication Critical patent/JP5370592B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2425Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA
    • H04L47/2433Allocation of priorities to traffic types
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/302Route determination based on requested QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing

Description

(関連出願についての記載)
本発明は、日本国特許出願:特願2011−092319号(2011年4月18日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は、端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置に関し、制御装置が転送装置を集中制御するネットワークにおける通信技術に関する。
近年、オープンフロー(OpenFlow)という技術が提案されている(特許文献1、非特許文献1、2参照)。オープンフローは、通信をエンドツーエンドのフローとして捉え、フロー単位で経路制御、障害回復、負荷分散、最適化を行うものである。非特許文献2に仕様化されているオープンフロースイッチは、オープンフローコントローラとの通信用のセキュアチャネルを備え、オープンフローコントローラから適宜追加または書き換え指示されるフローテーブルに従って動作する。フローテーブルには、フロー毎に、パケットヘッダと照合するマッチングルール(ヘッダフィールド)と、フロー統計情報(Counters)と、処理内容を定義したアクション(Actions)と、の組が定義される(図24参照)。
例えば、オープンフロースイッチは、パケットを受信すると、フローテーブルから、受信パケットのヘッダ情報に適合するマッチングルール(図24のヘッダフィールド参照)を持つエントリを検索する。検索の結果、受信パケットに適合するエントリが見つかった場合、オープンフロースイッチは、フロー統計情報(カウンタ)を更新するとともに、受信パケットに対して、当該エントリのアクションフィールドに記述された処理内容(指定ポートからのパケット送信、フラッディング、廃棄等)を実施する。一方、検索の結果、受信パケットに適合するエントリが見つからなかった場合、オープンフロースイッチは、セキュアチャネルを介して、オープンフローコントローラに対してエントリ設定の要求、即ち、受信パケットの送信元・送信先に基づいたパケットの経路の決定の要求を送信する。オープンフロースイッチは、要求に対応するフローエントリを受け取ってフローテーブルを更新する。このように、オープンフロースイッチは、フローテーブルに格納されたエントリを処理規則として用いてパケット転送を行う。
国際公開第2008/095010号 特開2004−064182号公報
Nick McKeownほか7名,"OpenFlow:Enabling Innovation in Campus Networks,"[online],[平成23年4月4日検索],インターネット〈URL:http://www.openflowswitch.org//documents/openflow−wp−latest.pdf〉 "OpenFlow Switch Specification"Version 1.0.0.(Wire Protocol 0x01)[平成23年4月4日検索],インターネット〈URL:http://www.openflowswitch.org/documents/openflow−spec−v1.0.0.pdf〉
以下の分析は、本発明によって与えられたものである。特許文献1や非特許文献1、2に開示されている技術では、コントローラが、スイッチから送信された要求に応じて、パケット処理のためのエントリを決定し、決定したエントリをスイッチに対して設定している。このような集中制御型の通信方式は、コントローラに負荷がかかるという問題点がある。その理由は、コントローラは複数のスイッチを集中制御しており、これら複数のスイッチから送信される要求に対してエントリを計算するため、コントローラの処理負荷が増大するためである。
また、コントローラは、スイッチに対して、パケットのヘッダ内容を書き換える等の処理を規定したエントリを設定する場合もある。このような場合、スイッチにおけるパケット処理に要する負荷の増大が問題となる。
特許文献2には、ゲートウェイを制御するゲートウェイ制御装置が開示されている。しかしながら、特許文献2には、ゲートウェイ制御装置やゲートウェイの負荷を軽減する方策は開示されていない。
本発明の第1の視点によれば、パケット処理に関する指示をパケット転送装置に通知する制御装置を含むネットワークと通信可能な端末であって、前記制御装置から、ヘッダ情報と比較するための照合規則と、該照合規則に対応するヘッダ情報を有するパケットに通信品質に関する品質情報を付与する処理ルールとを含む処理規則を受信する通信部と、
送信パケットのヘッダ情報に対応する照合規則を有する処理規則に従って、前記送信パケットに前記品質情報を付与する処理部とを含む端末が提供される。
本発明の第2の視点によれば、パケット処理に関する指示をパケット転送装置に通知する制御装置であって、前記制御装置を含むネットワークにアクセスする端末から送信されたアクセス要求を受信する要求受付部と、ヘッダ情報と比較するための照合規則と、該照合規則に対応するヘッダ情報を有するパケットに通信品質に関する品質情報を付与する処理ルールとを含む処理規則を生成する制御部と、送信パケットのヘッダ情報に対応する照合規則を有する処理規則に従って、前記送信パケットに前記品質情報を付与することが可能な前記端末に対して、生成された前記処理規則を通知する通信部とを含む制御装置が提供される。
本発明の第3の視点によれば、パケット処理に関する指示をパケット転送装置に通知する制御装置を含むネットワークと通信可能な端末を制御する通信方法であって、前記制御装置から、ヘッダ情報と比較するための照合規則と、該照合規則に対応するヘッダ情報を有するパケットに通信品質に関する品質情報を付与する処理ルールとを含む処理規則を受信送信パケットのヘッダ情報に対応する照合規則を有する処理規則に従って、前記送信パケットに前記品質情報を付与する通信方法が提供される。なお、本方法は、転送装置と制御装置とを含むネットワークと通信する端末という、特定の機械に結びつけられている。
本発明の第4の視点によれば、パケット処理に関する指示をパケット転送装置に通知する制御装置と、前記制御装置を含むネットワークと通信可能な端末とを含む通信システムであって、前記制御装置は、ヘッダ情報と比較するための照合規則と、該照合規則に対応するヘッダ情報を有するパケットに通信品質に関する品質情報を付与する処理ルールとを含む処理規則を決定する制御部を含み、前記端末は、前記制御装置から、前記制御装置が決定した前記処理規則を受信する通信部と、送信パケットのヘッダ情報に対応する照合規則を有する処理規則に従って、前記送信パケットに前記品質情報を付与する処理部と、を含む通信システムが提供される。
本発明の第5の視点によれば、パケット処理に関する指示をパケット転送装置に送信する制御装置を含むネットワークと通信可能な端末に搭載する通信モジュールであって、
前記制御装置から、ヘッダ情報と比較するための照合規則と、該照合規則に対応するヘッダ情報を有するパケットに通信品質に関する品質情報を付与する処理ルールとを含む処理規則を受信する通信部と、送信パケットのヘッダ情報に対応する照合規則を有する処理規則に従って、前記送信パケットに前記品質情報を付与する処理部とを含む通信モジュールが提供される。
本発明の第6の視点によれば、パケット処理に関する指示をパケット転送装置に送信する制御装置を含むネットワークと通信可能な端末に、前記制御装置から、ヘッダ情報と比較するための照合規則と、該照合規則に対応するヘッダ情報を有するパケットに通信品質に関する品質情報を付与する処理ルールとを含む処理規則を受信する処理と、送信パケットのヘッダ情報に対応する照合規則を有する処理規則に従って、前記送信パケットに前記品質情報を付与する処理とを実行させることを特徴とするプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。
本発明の第7の視点によれば、パケット処理に関する指示をパケット転送装置に送信する制御装置を含むネットワークと通信可能な端末に、前記制御装置から、ヘッダ情報と比較するための照合規則と、該照合規則に対応するヘッダ情報を有するパケットに通信品質に関する品質情報を付与する処理ルールとを含む処理規則を受信する処理と、送信パケットのヘッダ情報に対応する照合規則を有する処理規則に従って、前記送信パケットに前記品質情報を付与する処理とを実行させるプログラムを前記端末に送信する情報処理装置が提供される。
本発明によれば、制御装置が転送装置を集中制御することで通信を実行する技術において、制御装置や転送装置の負荷を軽減することができる。
本発明の構成の一例を示す図である。 本発明の構成の一例を示す図である。 処理規則を格納するテーブルの一例を示す図である。 本発明の動作の一例を示すフローチャートである。 本発明の動作の一例を示すフローチャートである。 本発明の第1の実施形態の構成の一例を示す図である。 図6の構成をアクセス制御システムに適用した例を示す図である。 認証情報の一例を示す図である。 通信ポリシ情報の一例を示す図である。 リソース情報の一例を示す図である。 通信ポリシの一例を示す図である。 制御装置の構成の一例を示す図である。 第1の実施形態の動作の一例を示すシーケンス図である。 第1の実施形態の動作の一例を示すシーケンス図である。 第1の実施形態の動作の一例を示すシーケンス図である。 第2の実施形態の動作の一例を示すシーケンス図である。 通信ポリシの一例を示す図である。 第3の実施形態の構成の一例を示す図である。 第4の実施形態の構成の一例を示す図である。 第5の実施形態の構成の一例を示す図である。 第6の実施形態の構成の一例を示す図である。 第7の実施形態の構成の一例を示す図である。 第7の実施形態の動作の一例を示すシーケンス図である。 関連技術を説明する図である。
はじめに、本発明の一実施形態の概要を説明する。図1は、通信ネットワークの構成と、端末1の構成とを示す図である。また、図2は、転送ノード2と制御装置3の構成を示す図である。なお、図面に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものである。本発明を図示の態様に限定することを意図するものではない。
転送ノード2は、パケットを受信すると、パケットに対応する処理規則に従ってパケットを処理する。処理規則は、パケットの処理内容を規定するものである。処理規則の構造の一例を、図3に示す。処理規則は、例えば、パケットと処理規則とを照合するための照合規則と、照合規則に合致するパケットの処理内容とを含む。パケットを受信すると、処理部23は、パケットに対応する処理規則を記憶部21から検索する。つまり、処理部23は、記憶部21に格納された図3に例示された構造のテーブルを検索する。例えば、パケットが“フローA”に属するものであれば、照合規則の“フローA”に合致する。なお、“フロー”とは、パケットの内容(パケットの送信元や宛先等の情報、パケットに含まれる複数の情報の組み合わせ等)に応じて特定される一連のパケットである。パケットに対応する処理規則が記憶部21に格納されている場合、処理部23は検索された処理規則に従ってパケットを処理する。例えば、図3の例において、パケットが“フローA”に属するものであれば、処理部23は、“転送ノードのポートaから転送”という処理内容を実行する。パケットに対応する処理規則が記憶部21に格納されていない場合、制御装置通信部22は、制御装置3に対して、処理規則の設定要求を送信する。
制御装置3は、転送ノード2によるパケット処理を制御する。通信部31が、転送ノード2から、処理規則の設定要求を受信すると、制御部32は、設定要求に対応する処理規則を決定する。通信部31は、制御部32が決定した処理規則を転送ノード2に送信する。処理規則は、例えば、指定ポートからのパケット送信、フラッディング、廃棄、パケットヘッダの書き換え等のパケットの処理内容を規定する。
制御装置3は、転送ノード2のみでなく、転送ノード2と制御装置3を含む通信ネットワークと通信する端末1に対しても処理規則を設定する。また、端末1は、設定された処理規則に従ってパケット処理を実行する。
端末1は、通信部10を介して、通信ネットワークに対してアクセス要求を送信する。なお、端末1は、パーソナルコンピュータや携帯端末等の通信端末である。端末1の通信方式は、有線・無線のいずれであってもよい。
転送ノード2は、端末1からのアクセス要求を検出すると、そのアクセス要求を制御装置3に対して転送する。例えば、制御装置3は、転送ノード2の記憶部21に、アクセス要求用のパケット(例えば、認証用パケットやログイン用パケット)に対応する処理規則を予め設定する。図3に例示するように、制御装置3は、照合規則が“アクセス要求用パケット”であり、対応する処理内容が“制御装置に転送”である処理規則を設定する。アクセス要求用のパケットに対応する処理規則は、例えば、アクセス要求用のパケットを制御装置3に対して転送する処理を規定する。転送ノード2の処理部23は、アクセス要求用のパケットを受信した場合、アクセス要求用のパケットに対応する処理規則に従って、アクセス要求用のパケットを制御装置3に転送する。
制御装置3が転送ノード2から転送されたアクセス要求用のパケットを受信すると、制御装置3の制御部32は、ポリシ管理部33を参照し、端末のユーザに対応するポリシを検索する。なお、ポリシ管理部33は、端末毎に設定されたポリシを格納してもよい。制御部32は、検索したポリシに基づいて、端末1に設定する処理規則を決定する。通信部31は、決定された処理規則を、端末1に対して送信する。なお、例えば、制御装置3は、決定した処理規則に有効期限を設定して、端末1に送信してもよい。有効期限が設定されている場合、端末1に設定された処理規則は、有効期限の経過により端末1から消去される。なお、図2では、ポリシ管理部33は制御装置3に含まれている例を示したが、制御装置3とは異なる装置でポリシを管理してもよい。
また、制御装置3は、ポリシ管理部33を参照せずに、制御装置3が管理する情報に基づいて、端末1に設定する処理規則を決定してもよい。
また、制御装置3は、例えば、端末に設定した端末用の処理規則に対応する転送ノード用の処理規則を、転送ノード2に設定してもよい。例えば、端末1が、端末1に設定された処理規則に従ってパケットの一部の書き換え処理を実行する場合、制御装置3は、パケット中の書き換えられた内容に合致する処理規則を転送ノード2に設定してもよい。
端末1の通信部10が制御装置3から処理規則を受信した場合、端末1は処理規則を記憶部11に設定する。端末1の処理部12は、通信ネットワークとの間でパケットの送受信をする際、記憶部11から、送受信するパケットに対応する処理規則を検索する。処理部12は、送受信するパケットに対応する処理規則が記憶部11に格納されている場合、その処理規則に従ってパケットを処理する。処理部12は、処理規則に従って、例えば、パケットの一部を書き換えて送受信する処理やパケットの廃棄処理を実行する。送受信するパケットに対応する処理規則が記憶部11に格納されていない場合、処理部12は、パケットに対する処理は実行せずにパケットを送受信してもよいし、パケットを廃棄してもよい。但し、送受信するパケットに対応する処理規則が記憶部11に格納されていない場合のパケット処理は、これに限定されるものではない。
次に、図4及び図5を参照し、端末1及び制御装置3の動作を説明する。図4は、端末1の動作の一例を示すフローチャートである。端末1は、制御装置3から処理規則を受信した場合(S1)、受信した処理規則を記憶部11に格納する(S2)。
通信ネットワークとの間でパケットの送受信がある場合(S3のYes)、端末1は、送受信するパケットに対応する処理規則を検索する(S4)。
端末1は、送受信するパケットに対応する処理規則が記憶部11に格納されている場合、その処理規則に従って、送受信するパケットを処理する(S5)。
図5は、制御装置3の動作の一例を示すフローチャートである。制御装置3は、端末1からのアクセス要求を受信すると(S6)、端末のユーザに対応するポリシを、ポリシ管理部33から検索する(S7)。
制御装置3は、検索されたポリシに基づいて、端末1に設定する処理規則を決定し(S8)、端末1に送信する(S9)。
制御装置3は端末1に対して処理規則を設定し、端末1自らが処理規則に対応するパケット処理を実行する。転送ノード2に代わり、端末1が処理規則に従ってパケットの一部の書き換え等のパケット処理を実行するので、転送ノード2におけるパケット処理の負荷が大幅に軽減される。また、処理装置3は、端末1に対して設定した端末用の処理規則の内容に対応する処理規則を、転送ノード2に予め設定することができるので、転送ノード2に処理規則が設定されていないことにより発生する制御装置3への要求を抑止できる。よって、制御装置3の処理負荷が大幅に軽減される。
[第1の実施形態]
続いて、本発明の第1の実施形態の概要について図面を参照して説明する。図6は、第1の実施形態におけるシステム構成の一例を示す。図6を参照すると、ユーザの端末100と、複数の転送ノード200と、ポリシ管理装置300と、制御装置400と含んだ構成が示されている。
複数の転送ノード200は、制御装置400から設定された処理規則にしたがって、ユーザの端末から送信されたパケットを処理する。
ユーザの端末100内の端末制御装置110は、制御装置400から設定された処理規則を記憶し、処理規則に基づいてユーザの端末から送信されるパケットを制御する。
より具体的には、端末制御装置110は、処理規則判定部420から送信されたパケット転送の可否を判別する処理規則を記憶する処理規則記憶部120と、処理規則記憶部120に格納された処理規則に基づいて、ユーザの端末から発信されるアクセスを許可、または拒否するアクセス制御部130とを備える。つまり、アクセス制御部130は、端末100から送信されるパケットに対応する処理規則が処理規則記憶部120に格納されているか否かを確認する。アクセス制御部130は、端末100から送信されるパケットに対応する処理規則が格納されていた場合、その処理規則に規定された処理内容を確認する。アクセス制御部130は、処理内容がパケットの転送を拒否するものである場合、転送ノード200により構成される通信ネットワークに対してパケットを転送せず、パケットの破棄等のアクセス制限を実行する。
ポリシ管理装置300は、通信ポリシを管理し、認証に成功したユーザに付与された通信ポリシを制御装置400に通知する。
より具体的には、ポリシ管理装置300は、ユーザに付与されるロールと、各ロールに設定されたアクセス権限とを対応付けた通信ポリシ記憶部310を含む。ポリシ管理装置300は、ユーザ認証の結果に基づき、認証に成功したユーザのロールに対応するアクセス権限に関する情報を制御装置400に提供する。
制御装置400は、転送ノード200に対して、パケットの処理内容を規定した処理規則を設定する。なお、図面に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものである。本発明を図示の態様に限定することを意図するものではない。
より具体的には、制御装置400は、ポリシ管理装置300から受信したアクセス権限に関する情報に基づいて、認証に成功したユーザの端末100と、ユーザがアクセス可能なネットワーク資源500との間の経路を決定する。制御装置400は、決定された路上の転送ノード200に、処理規則を設定する経路制御部410を含む。制御装置400は、経路制御部410が転送ノード200に設定した処理規則について、端末100からのパケット転送の可否を判別する処理規則をユーザの端末100の端末制御装置110に送信する処理規則判定部420を備える。
制御装置400がユーザの端末100に送信する処理規則には有効期限を設定してもよい。この場合、端末100は、有効期限が経過した処理規則を消去する。なお、処理規則判定部420が端末100からのパケット転送を拒否する処理規則を端末制御装置110に送信する場合、経路制御部410は、転送ノード200に対して、決定した経路に対応する処理規則を設定しなくてもよい。
以上のように処理規則を設定することにより、ユーザに与えられたロールに応じ、アクセス可能なネットワーク資源500を判別し、さらに、フロー毎に経路を設定してアクセスを行わせることができる。また、上記処理規則を設定することにより、ユーザから送信されるパケットのフローのうち、該ユーザによるアクセスを拒否するフローについて、ユーザの端末100にアクセス制限を実行させることが可能になる。
よって、アクセスが制限されるパケットは、転送ノード200に送信されることなく端末100でアクセス制限されるので、転送ノード200における処理負荷が軽減される。また、端末100によりアクセス制限することで、転送ノード200から制御装置に対して送信される処理規則の設定要求の契機となるパケットが減るので、制御装置の負荷が大幅に軽減される。
なお、処理規則には、有効期限を設け、転送ノード200、およびユーザの端末100のアクセス制御部130に設定されてから、または、最後に照合規則に適合するパケットを受信してから、有効期限が経過した場合に、パケットの転送を拒否する処理規則を削除してもよい。
図7は、図6の構成を用いてアクセス制御システムを実現した例を表した図である。図7に示した構成は、システムの一例であって、本発明は図7に開示されたシステム構成に限定されない。図7を参照すると、複数の転送ノード200と、ユーザの端末100から送信されるパケットの送信可否を制御する端末制御装置110と、これら転送ノード200と端末制御装置110とに処理規則を設定する制御装置400と、制御装置400に通信ポリシを通知するポリシ管理装置300と、ポリシ管理装置300に認証結果を示す認証情報を提供する認証装置330と、を含んだ構成が示されている。
転送ノード200は、受信パケットと照合する照合規則と、照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する。このような転送ノード200としては、非特許文献2に開示されたオープンフロースイッチを用いることもできる。但し、転送ノード200は、オープンフロースイッチに限定されない。
複数の転送ノード200のうちのある転送ノード200は、ネットワーク資源500A、500Bと接続している。なお、図7に示すネットワーク構成は例示であり、転送ノード200とネットワーク資源500A、500Bとの接続構成は図7の例に限定されるものではない。
ユーザの端末100は、転送ノード200を介して、ネットワーク資源500A、500Bと通信する。図7の例では、ネットワーク資源500Aとネットワーク資源500Bとはそれぞれ異なるリソースグループに属し、それぞれリソースグループIDとしてresource_group_0001、resource_group_0002が付与されているものとして説明する。
認証装置330は、パスワードや生体認証情報等を用いてユーザの端末100とユーザ認証手続を行なう認証サーバ等である。認証装置330は、ポリシ管理装置300にユーザの端末100とのユーザ認証手続の結果を示す認証情報を送信する。
図8は、本実施形態の認証装置330に保持される認証情報の一例である。例えば、ユーザIDがuser1であるユーザの認証に成功した場合、認証装置330は、ポリシ管理装置300に対し、user1、IPアドレス:192.168.100.1、MACアドレス:00−00−00−44−55−66という属性、ロールID:role_0001、role_0002というuser1のエントリを認証情報として送信する。同様に、ユーザIDがuser2であるユーザの認証に成功した場合、ポリシ管理装置300に対し、user2、IPアドレス:192.168.100.2、MACアドレス:00−00−00−77−88−99という属性、ロールID:role_0002というuser2のエントリを認証情報として送信する。
認証情報は、ポリシ管理装置300がユーザの付与されている通信ポリシを決定可能な情報であればよく、図8の例に限定するものではない。例えば、認証に成功したユーザのユーザIDや当該ユーザIDから導出したロールID、MACアドレス等のアクセスID、ユーザの端末100の位置情報、あるいは、これらの組み合わせを認証情報としてもよい。認証装置330は、認証情報として、認証に失敗したユーザの情報をポリシ管理装置300に送信し、ポリシ管理装置300が当該ユーザからのアクセスを制限する通信ポリシを制御装置400に送信してもよい。
ポリシ管理装置300は、通信ポリシ記憶部310、リソース情報記憶部320と接続され、認証装置330から受信した認証情報に対応する通信ポリシを決定し、決定した通信ポリシを制御装置400に送信する。
図9は、通信ポリシ記憶部310に格納される通信ポリシ情報の一例である。図9の例では、通信ポリシ情報は、ロールIDで識別されるロール毎に、リソースのグループに与えられたリソースグループIDと、アクセス権限とを有する。例えば、ロールID:role_0001を持つユーザは、リソースグループID:resource_group_0001、resource_group_0002の双方へのアクセスが許可されている。他方、ロールID:role_0002のユーザは、リソースグループID:resource_group_0001へのアクセスは禁止され、resource_group_0002へのアクセスが許可されている。
図10は、リソース情報記憶部320に格納されるリソース情報の一例である。図10の例では、リソース情報は、リソースグループIDに属するリソースのリソースIDやその詳細属性(リソース属性)を対応付けた情報である。例えば、リソース情報は、リソースグループID:resource_group_0001で特定されるグループには、resource_0001、resource_0002、resource_0003を持つリソースが含まれ、それぞれのIPアドレスやMACアドレスやサービスに利用するポート番号などを含む。
ポリシ管理装置300は、通信ポリシ情報およびリソース情報を参照して、認証装置330にて認証を受けたユーザの通信ポリシを決定し、制御装置400に通知する。例えば、ポリシ管理装置300は、認証装置330から受信した認証情報に含まれるロールIDに基づいて、図9のポリシ情報から該当するロールIDに紐付けられたリソースグループIDとそのアクセス権限の内容を特定する。ポリシ管理装置300は、図10のリソース情報からリソースグループIDに属するリソース情報を特定する。ポリシ管理装置300は、特定したポリシ情報及びリソース情報を用いて通信ポリシを作成する。
図11は、図8、図9、図10に示した情報から作成されるユーザID:user1を持つユーザの通信ポリシの一例を示す。図11の送信元フィールドには、図8の認証情報のユーザID:user1の属性情報の値が設定される。また、宛先フィールドには、図9のポリシ情報のロールID:role_0001の内容を元に図10のリソース情報から抽出したリソース属性が設定される。また、アクセス権限フィールドには、図9のポリシ情報のロールID:role_0001のアクセス権限に基づく権限が設定される。また、条件(オプション)フィールドには、図10のリソース情報のリソース属性フィールドに設定されていた内容(例えば、サービスとポート番号)が設定される。
制御装置400は、通信ポリシを受信すると、当該通信ポリシを適用するユーザからのパケットに対する処理規則の設定要求を、転送ノードに送信させる処理内容を規定した処理規則を作成し、複数の転送ノード200のうちの少なくとも1つの転送ノードに設定する。転送ノード200は、通信ポリシを適用するユーザからのパケットを受信した場合、その処理規則に基づいて、制御装置400に対して処理規則の設定要求を送信する。制御装置400は、通信ポリシを適用するユーザからのパケットに対する処理規則の設定要求を受けた場合、その設定要求に含まれるパケット情報に基づいて、パケットの転送経路および該転送経路に対応する処理規則を決定し、当該パケット転送経路上の転送ノード200に設定する。制御装置400は、転送ノードに設定した処理規則について、端末100からのパケット転送の可否を判別する処理規則をユーザの端末100の端末制御装置110に送信する。
図12は、制御装置400の詳細構成を表したブロック図である。制御装置400は、転送ノード200との通信を行うノード通信部40と、制御メッセージ処理部41と、処理規則管理部42と、処理規則記憶部43と、転送ノード管理部44と、経路・アクション計算部45と、トポロジ管理部46と、端末位置管理部47と、通信ポリシ管理部48と、通信ポリシ記憶部49と、を備える。
制御メッセージ処理部41は、転送ノード200から受信した制御メッセージを解析して、解析結果に応じて、制御装置400内の対応する機能ブロックに制御メッセージ情報を引き渡す。
処理規則管理部42は、どの転送ノード200にどのような処理規則が設定されているかを管理する。具体的には、経路・アクション計算部45にて作成された処理規則を処理規則記憶部43に登録し、転送ノード200に設定すると共に、転送ノード200からの処理規則削除通知などにより、転送ノード200にて設定された処理規則に変更が生じた場合にも対応して処理規則記憶部43の登録情報をアップデートする。
転送ノード管理部44は、制御装置400によって制御されている転送ノード200の能力(例えば、ポートの数や種類、サポートする処理内容の種類など)を管理する。
経路・アクション計算部45は、通信ポリシ管理部48から通信ポリシを受信すると、当該通信ポリシに従い、当該ユーザが使用する端末から送信されたパケットに対する処理規則の設定要求を実行させる処理規則を作成する。なお、作成した処理規則の設定先とする転送ノード200は、ユーザの端末100が接続する可能性のあるすべての転送ノード200でもよいし、あるいは、通信ポリシに含まれる送信元情報に基づいていずれかの転送ノード200を選択してもよい。
経路・アクション計算部45は、ユーザが使用する端末から送信されたパケットに対する処理規則の設定要求を受けると、要求に含まれるパケット情報に基づいて、当該パケットの転送経路および該転送経路に対応する処理規則を決定する。
また、経路・アクション計算部45は、トポロジ管理部46にて構築されたネットワークトポロジ情報に基づいて、パケットの転送経路を計算する。なお、経路・アクション計算部45は、端末位置管理部47にて管理されている通信端末の位置情報も考慮してパケットの転送経路を計算してもよい。次に、経路・アクション計算部45は、転送ノード管理部44から、転送経路上の転送ノード200のポート情報等を取得して、経路上の転送ノード200に実行させる処理内容と、当該処理内容を適用するフローを特定するための照合規則を求める。なお、照合規則は、図11の通信ポリシの送信元IPアドレス、宛先IPアドレス、条件(オプション)等を用いて作成することができる。従って、図11の通信ポリシの1番目のエントリの場合、経路・アクション計算部45は、送信元IPアドレス192.168.100.1から宛先IPアドレス192.168.0.1に宛てられたパケットを、転送ノード200の所定のポートから転送する処理内容等を規定した処理規則が作成される。なお、経路・アクション計算部45は、処理規則を設定する際、処理規則の設定要求を受けたパケットだけでなく、ユーザ端末がアクセス権を有しているリソースへのパケット転送を実現する処理規則も併せて作成してもよい。
トポロジ管理部46は、ノード通信部40を介して収集された転送ノード200の接続関係に基づいてネットワークトポロジ情報を構築する。
端末位置管理部47は、通信システムに接続しているユーザ端末の位置を特定するための情報を管理する。本実施形態では、ユーザ端末を識別する情報としてIPアドレスを、ユーザ端末の位置を特定するための情報として、ユーザ端末が接続している転送ノードの転送ノード識別子とそのポートの情報を使用するものとして説明する。但し、ユーザ端末やユーザ端末の位置を特定するための情報はこれに限定されない。例えば、認証装置330から提供された情報等を用いて、端末とその位置を特定するものとしても良い。
通信ポリシ管理部48は、ポリシ管理装置300から通信ポリシ情報を受信すると、通信ポリシ記憶部49に格納するとともに、経路・アクション計算部45に送信する。
なお、制御装置400は、非特許文献1、2のオープンフローコントローラを適用してもよい。つまり、通信ポリシの受信を契機とした処理規則(フローエントリ)の作成機能を、オープンフローコントローラに追加してもよい。
処理規則判定部420は、経路・アクション計算部45によって作成された処理規則のうち、パケット転送の可否を判定するための処理規則(例えば、図11の表における送信元が「192.168.100.1」で、宛先が「192.168.0.3」で、アクセス権限が「deny」の処理規則)を端末制御装置110の処理規則記憶部120に送信する。制御装置400から端末制御装置110の処理規則記憶部120への転送方法は、有線接続であってもよいし、無線接続であってもよいし、他のどのような転送方法であってもよい。
図12に示した制御装置400の各部(処理手段)、および経路制御部410と、処理規則判定部420とは、制御装置400を構成するコンピュータに、そのハードウェアを用いて、上記した各情報を記憶し、上記した各処理を実行させるコンピュータプログラムにより実現することもできる。
図7における端末制御装置110は、図6と同様、処理規則記憶部120と、アクセス制御部130とから構成される。処理規則記憶部120は、制御装置400から、パケット転送の可否を判定するための処理規則を受信し、記録する。アクセス制御部130は、処理規則記憶部120に記録される処理規則に従って、ユーザの端末100から送信されるパケットのアクセス制御を実行する。つまり、ユーザの端末100が送信するパケットに対応する処理規則に、アクセスを拒否することが規定されていた場合、アクセス制御部130は、当該パケットの送信を制限する。
上記した端末制御装置110の処理規則記憶部120と、アクセス制御部130とは、端末制御装置110を構成するユーザ端末のコンピュータに、そのハードウェアを用いて、上記した各情報を記憶し、上記した各処理を実行させるコンピュータプログラムにより実現することもできる。
次に、本実施形態の動作について図面を参照して詳細に説明する。図13、図14及び図15は、本実施形態の一連の動作を表したシーケンス図である。図13を参照すると、ユーザ端末が、認証装置330にログイン要求すると、当該ログイン要求に対応するパケットが認証装置330へ転送される(図13のS001)。
認証装置330はユーザ認証を行う(図13のS002)。認証装置330は、ポリシ管理装置300に認証情報を送信する(図13のS003)。ポリシ管理装置300は、受信した認証情報に基づいて、通信ポリシ記憶部310とリソース情報記憶部320とを参照し、通信ポリシを決定する(図13のS004)。ポリシ管理装置300は、決定した通信ポリシを制御装置400に送信する(図13のS005)。
制御装置400は、通信ポリシを受信すると、ユーザ端末から送信されたパケットに対応する処理規則の設定要求を制御装置400に送信する処理内容を規定した処理規則を、転送ノード200に設定する(図13のS006)。制御装置400は、通信ポリシに基づき、パケット転送の可否を判定し、判定結果に対応する処理規則を作成する(図13のS007)。制御装置400は、作成した処理規則を端末制御装置110に送信する(図13のS008)。
端末制御装置110は、制御装置400が送信した処理規則を受信すると、処理規則記憶部120にその処理規則を登録する(図13のS009)。
ユーザ端末からパケットの送信が許可される場合、およびパケットの送出が拒否される場合の動作について、それぞれ図14、および図15を用いて説明する。
図14は、端末制御装置110がパケットの送出を許可する場合の一連の動作を表したシーケンス図である。ユーザ端末は、ネットワーク資源宛のパケットを送信する(図14のS101)。端末制御装置110がそのパケットを受け取り、ネットワーク資源宛にパケットを送信するか否かを判定する(図14のS102)。端末制御装置110は、ユーザ端末から送信されたパケットの宛先IPアドレス等と、処理規則記憶部120に登録されている処理規則とを比較する。端末制御装置110は、ユーザ端末から送信されたパケットに対応する処理規則に、アクセス許可を示すことが規定されていた場合、転送ノード200へパケットを送信する(図14のS103)。
転送ノード200は、端末制御装置110からパケットを受け取り、制御装置400によって登録された処理規則にしたがってパケットの転送経路を判定し(図14のS104)、パケットを転送する(図14のS105)。
図15は、端末制御装置110がパケットの送信を拒否する場合の一連の動作を表したシーケンス図である。ユーザ端末が、ネットワーク資源宛のパケットを送信すると(図15のS201)、端末制御装置110がそのパケットを受け取り、ネットワーク資源宛にパケットを送信するか否かを判定する(図15のS202)。端末制御装置110は、ユーザ端末から送出されたパケットの宛先IPアドレス等と、処理規則記憶部120に登録されている処理規則とを比較する。端末制御装置110は、ユーザ端末から送信されたパケットに対応する処理規則に、アクセスを拒否することを示す内容が規定されていた場合、そのパケットの送信を制限(パケットの廃棄等)する(図15のS203)。
なお、制御装置400が端末に対して処理規則を設定してもよいし、端末が制御装置400を定期的に参照し、端末が処理規則を取得してもよい。また、両方の仕組みを組み合わせてもよい。
また、アクセス制御部130がパケットの転送を許可、または拒否する仕組みは、転送ノードで行われている方法と同様の仕組みであってもよいし、iptablesのようなパケットフィルタリング技術を用いてもよい。また、端末制御装置110のアクセス制御部130は、パケットの転送を許可、または拒否する処理規則をユーザ端末内の物理的なNIC(Network Interface Card)に対して適用することもできるし、ユーザ端末内で稼働する複数のVM(Virtual Machine)が持つそれぞれの仮想的なNICに対して適用することもできるし、ユーザ端末内で稼働する複数の仮想スイッチに対して適用することもできる。このように、アクセス制御部130は、ユーザ端末内におけるアクセス制御を実行する場所を自由に指定することが可能である。
以上のようにして、ユーザ端末から送信されたパケットは、ユーザ端末内の端末制御装置110によって、転送ノード200に送出されることなく、ユーザ端末内でアクセス制限することができる。よって、処理規則の設定要求に伴う制御装置の負荷、および転送ノードの転送処理の負荷が大幅に削減される。
[第2の実施形態]
続いて、上記した第1の実施形態のポリシ管理装置の動作に変更を加えた本発明の第2の実施形態について説明する。本実施形態は、上記した第1の実施形態と同等の構成にて実現可能であるため、以下、その動作上の相違点を中心に説明する。
図16は、本発明の第2の実施形態の一連の動作を表したシーケンス図である。ユーザ端末が、認証装置330にログイン要求する(図16のS301)。認証装置330がユーザ認証を行う(図16のS302)。認証装置330は、ユーザ認証結果に基づいて認証情報をポリシ管理装置300に送信する(図16のS303)。
ポリシ管理装置300は、認証装置330から受け取った認証情報を元にしてユーザの通信ポリシを決定する(図16のS304)。ポリシ管理装置300は、決定した通信ポリシを制御装置400に送信する(図16のS305)。
制御装置400は、ポリシ管理装置300から受け取った通信ポリシを元にして処理規則を生成、転送ノード200に設定する(図16のS306)。これらの動作は、第1の実施形態と同様である。本実施形態では、制御装置400が転送ノード200に処理規則を設定した後、その処理規則の内容を参照し、パケット転送の可否を判定するための処理規則をポリシ管理装置300に送信する(図16のS307)。
パケット転送の可否を判定するための処理規則を受け取ったポリシ管理装置300は、通信ポリシ記憶部310と、リソース情報記憶部320との情報を用いて、その処理規則が適用される別のユーザを選出する(図16のS309)。
図17は、パケットの転送を拒否する処理規則を受け取ったポリシ管理装置300がその処理規則が適用される別のユーザを選出する一例を表す図である。例えば、図17を参照すると、送信元が「IP:192.168.100.0/24」で宛先が「192.168.0.3」であるアクセスを拒否(deny)する、という処理規則(以下、処理規則(a)とする)がある。この場合、ポリシ管理装置300は、処理規則(a)に合致する別のユーザ(リソースIDやリソースグループID)を検索し、合致した別のユーザ(例えば、送信元が「192.168.100.10」でその他の条件が処理規則(a)のユーザと同じリソースID、およびリソースグループID)を選出する。以降の説明では、図16のログイン処理(S301)を行ったユーザをAとし、ユーザAが使うユーザ端末をユーザ端末Aとし、ユーザ端末Aが持つ端末制御装置を端末制御装置Aとする。また、図16のポリシ管理装置300が制御装置400から受け取った処理規則を元に選出したユーザをBとし、ユーザBが使うユーザ端末をユーザ端末Bとし、ユーザ端末Bが持つ端末制御装置を端末制御装置Bとする。
ポリシ管理装置300は、制御装置400からユーザAに対してパケット転送の可否を判定する処理規則(a)を受け取り、処理規則(a)に合致するユーザBを選出した後、ユーザ端末Aの端末制御装置Aと、ユーザ端末Bの端末制御装置Bとにそれぞれ処理規則を設定する(図16のS310、およびS312)。なお、制御装置400が端末制御装置A、および端末制御装置Bへ処理規則を送信する順番は、どのような順番であってもよい。
端末制御装置Aは、制御装置400が送信した処理規則を受け取り、端末制御装置Aの処理規則記憶部にその処理規則を登録する(図16のS311)。同様に、端末制御装置Bは、制御装置400が送信した処理規則を受け取り、端末制御装置Bの処理規則記憶部にその処理規則を登録する(図16のS313)。
その後、ユーザ端末Aと、ユーザ端末Bとからパケットの送出が許可される場合、およびパケットの送出が拒否される場合の動作は、図14、および図15を使って説明した第1の実施形態と同様である。
以上の一連の動作の結果、あるユーザの端末に対して設定する処理規則が別のユーザに対しても適用される場合、あらかじめその別ユーザの端末制御装置にも処理規則を登録しておくことで、処理規則の設定要求に伴う制御装置の負荷、および転送ノードの転送処理の負荷を低減することが可能となる。
[第3の実施形態]
次に、図18を参照して本発明の第3の実施形態を説明する。図18中の各要素は、図中の番号が他の実施形態の要素と同じ場合、他の実施形態で説明した内容と同等である。以下、本実施形態では、構成上の詳細な説明は省略する。
制御装置400は、端末100に対して、端末の識別子をパケットに書込むことを規定した処理規則を設定する。なお、制御装置400が端末100に対して処理規則を設定する契機は任意でよい。例えば、制御装置400が、端末100が送信したアクセス要求用のパケット(例えば、認証用パケットやログイン用パケット)を受信した場合に、端末100に対して処理規則を設定してもよい。また、制御装置400が、任意のタイミングで、端末100に対して処理規則を設定してもよい。
制御装置400は、端末の識別子を書込む処理の対象となるパケットを照合するための照合規則を処理規則に含めて、端末100に設定する。
端末100は、設定された処理規則に従って、パケットの任意の領域(例えば、ヘッダの所定の領域)に端末に識別子を書込む。端末100は、識別子を書込んだパケットを、転送ノード200で構成されるネットワークへ送信する。
転送ノード200は、端末100から、端末の識別子を含むパケットを受信し、自身が保持する処理規則から、端末の識別子に対応する処理規則の有無を調べる。端末の識別子に対応する処理規則がない場合、転送ノード200は、制御装置400に対して端末の識別子に対応する処理規則の設定要求を送信する。
転送ノード200から要求を受信した制御装置400は、端末の識別子に対応する転送経路を決定し、該転送経路に対応する処理規則を転送ノード200に対して送信する。転送ノード200に設定される処理規則は、照合規則に端末の識別子が設定され、処理内容に識別子に対応するパケットの処理が設定される。処理規則が設定された後は、転送ノード200は、パケットに含まれる端末の識別子に合致する処理規則に従って、端末の識別子を含むパケットを処理する。
本実施形態によれば、制御装置400は、パケットのフローを端末単位で柔軟に制御することができる。また、制御装置400や転送ノード200が端末の識別子を認識している必要がないので、制御装置400や転送ノード200による端末の識別子の収集等に要する処理負荷が大幅に軽減される。更に、処理装置400は、端末の識別子に対応する処理規則を、転送ノード200に予め設定することができるので、転送ノード200に処理規則が設定されていないことにより発生する制御装置400への要求を抑止できる。よって、制御装置400の処理負荷が大幅に軽減される。
[第4の実施形態]
次に、図19を参照して本発明の第4の実施形態を説明する。図19中の各要素は、図中の番号が他の実施形態の要素と同じ場合、他の実施形態で説明した内容と同等である。以下、本実施形態では、構成上の詳細な説明は省略する。
制御装置400は、所定の端末100に対して、QoSに関する処理規則を設定する。なお、制御装置400が端末100に対して処理規則を設定する契機は任意でよい。例えば、制御装置400が、端末100が送信したアクセス要求用のパケット(例えば、認証用パケットやログイン用パケット)を受信した場合に、端末100に対して処理規則を設定してもよい。また、制御装置400が、任意のタイミングで、端末100に対して処理規則を設定してもよい。また、制御装置400は、所定の条件から抽出される所定の端末100のみに対して、QoS情報を送信してもよい。
QoSに関する処理規則は、例えば、所定の端末100から送信されるパケットに、該パケットのQoS情報を書込む処理を規定する。なお、QoS情報は、例えば、優先度に応じてクラス分けしたQoSクラスである。制御装置400は、QoSクラスが高いパケットについては、帯域等を融通するように、転送ノード200を制御する。また、制御装置400は、端末100に対して、低いQoSクラスをパケットに書込むことを規定した処理規則を設定し、通信頻度が高いヘビーユーザからのトラフィックを、一時的に狭帯域の経路に隔離するように、転送ノード200を制御してもよい。また、制御装置400は、端末100の通信記録や位置情報に基づいて、端末100に設定する処理規則を決定してもよい。
制御装置400は、QoS情報を書込む処理の対象となるパケットを照合するための照合規則を処理規則に含めて、端末100に設定する。
端末100は、設定された処理規則に従って、パケットの任意の領域(例えば、ヘッダの所定の領域)にQoS情報を書込む。端末100は、QoS情報を書込んだパケットを、転送ノード200で構成されるネットワークへ送信する。
転送ノード200は、端末100から、QoS情報を含むパケットを受信し、自身が保持する処理規則から、QoS情報に対応する処理規則の有無を調べる。QoS情報に対応する処理規則がない場合、転送ノード200は、制御装置400に対してパケットに含まれるQoS情報に対応する処理規則の設定要求を送信する。但し、制御装置400は、予め、QoS情報に対応する処理規則を転送ノード200に対して設定してもよい。この場合、制御装置400に対する処理規則の設定要求が大幅に削減される。
転送ノード200から要求を受信した制御装置400は、QoS情報に対応する転送経路を決定し、該転送経路に対応する処理規則を転送ノード200に対して送信する。転送ノード200に設定される処理規則は、照合規則にQoS情報が設定され、処理内容としてQoS情報に対応するパケットの処理が設定される。処理規則が設定された後は、転送ノード200は、パケットに含まれるQoS情報に合致する処理規則に従って、QoS情報を含むパケットを処理する。
本実施形態によれば、制御装置400を運営するネットワークオペレータ主導で、端末のQoS制御を実行することができる。また、制御装置400が、QoS情報に対応する処理規則を予め転送ノード200に設定しておくことができるので、転送ノード200からの処理規則の設定要求を大幅に削減できる。よって、制御装置400の処理負荷も大きく削減される。更に、転送ノード200においてQoS情報を書き込む処理を実行する必要がないので、転送ノード200におけるパケット処理の負荷も大幅に削減される。
[第5の実施形態]
次に、図20を参照して本発明の第5の実施形態を説明する。図20中の各要素は、図中の番号が他の実施形態の要素と同じ場合、他の実施形態で説明した内容と同等である。以下、本実施形態では、構成上の詳細な説明は省略する。
制御装置400は、端末100に対して、端末100のアクセス要求のリダイレクトを指示する処理規則を設定する。制御装置400は、例えば、端末100のユーザを、特定の広告サイトに導きたい場合等に、アクセス要求のリダイレクトを指示する処理規則を設定する。例えば、端末100が、あるeコマースを運営するサイトにアクセス要求をする場合に、制御装置400は、割引等の特別イベントを実施している関連サイトへアクセス要求をリダイレクトするように、端末100に対して処理規則を設定する。なお、制御装置400は、端末100の初回アクセス要求時のみをリダイレクトするように、端末100に対して処理規則を設定してもよい。制御装置400は、端末100に通信をリダイレクトさせる処理規則に有効期限を付加して、端末100に処理規則を設定してもよい。また、制御装置400は、端末100の通信記録を参照し、リダイレクト先を決定してもよい。例えば、制御装置400は通信記録に基づいてユーザの嗜好を分析し、その嗜好に対応する広告サイト等にリダイレクトする処理規則を端末100に対して設定してもよい。また、制御装置400は、端末100の位置に基づいてリダイレクト先を決定してもよい。制御装置400は、例えば、端末100から送信された位置情報(GPS等)や、端末100がネットワークにアクセスしたアクセスポイントの位置情報等に基づいて、端末100の位置を認識する。制御装置400は、端末100の位置に基づいて、その位置に関連する所定のウェブサイト等に宛先をリダイレクトすることを規定した処理規則を、端末100に設定する。
制御装置400は、例えば、端末100から送信されるアクセス要求パケットのヘッダの“宛先”領域の書き換えを実行する処理規則を、端末100に送信する。また、制御装置400は、リダイレクトする宛先に対応する転送経路を決定し、決定した経路に対応する処理規則を、転送ノード200に設定する。制御装置400は、予め、リダイレクトする宛先に対応する処理規則を転送ノード200に対して設定してもよい。この場合、制御装置400に対する処理規則の設定要求が大幅に削減される。
制御装置400は、リダイレクトの対象となるパケットを照合するための照合規則を処理規則に含めて、端末100に設定する。
端末100は、設定された処理規則に従って、パケットヘッダの宛先領域を、処理規則に設定されたリダイレクト先に書き換える。端末100は、宛先領域を書き換えたパケットを、転送ノード200で構成されるネットワークへ送信する。
転送ノード200は、リダイレクトされた宛先に対応する処理規則に従って、パケットを転送する。
本実施形態によれば、制御装置400を利用して、ネットワーク上のサービス提供者が、端末のユーザを特定のサイトに誘導することができる。また、制御装置400が、リダイレクトされた宛先に対応する処理規則を予め転送ノード200に設定しておくことができるので、転送ノード200からの処理規則の設定要求を大幅に削減できる。よって、制御装置400の処理負荷も大きく削減される。更に、転送ノード200においてパケットの宛先を書き換える処理を実行する必要がないので、転送ノード200におけるパケット処理の負荷も大幅に削減される。
[第6の実施形態]
次に、図21を参照して本発明の第6の実施形態を説明する。図21中の各要素は、図中の番号が他の実施形態の要素と同じ場合、他の実施形態で説明した内容と同等である。以下、本実施形態では、構成上の詳細な説明は省略する。
制御装置400は、所定の端末100に対して、端末ユーザの課金情報をパケットに書込むことを指示する処理規則を設定する。課金情報は、例えば、端末ユーザが通信サービスの品質等に応じてネットワークオペレータと契約した課金クラスである。なお、制御装置400が端末100に対して処理規則を設定する契機は任意でよい。例えば、制御装置400が、端末100が送信したアクセス要求用のパケット(例えば、認証用パケットやログイン用パケット)を受信した場合に、端末100に対して処理規則を設定してもよい。また、制御装置400が、任意のタイミングで、端末100に対して処理規則を設定してもよい。
制御装置400は、課金情報を書込む処理の対象となるパケットを照合するための照合規則を処理規則に含めて、端末100に設定する。
制御装置400は、課金クラスが高いパケットについては、低い課金クラスのパケットよりも高いサービス品質(帯域を優先する等)を提供するように、転送ノード200を制御する。
端末100は、設定された処理規則に従って、パケットの任意の領域(例えば、ヘッダの所定の領域)に課金情報を書込む。端末100は、課金情報を書込んだパケットを、転送ノード200で構成されるネットワークへ送信する。
転送ノード200は、端末100から、課金情報を含むパケットを受信し、自身が保持する処理規則から、課金情報に対応する処理規則の有無を調べる。課金情報に対応する処理規則がない場合、転送ノード200は、制御装置400に対してパケットに含まれる課金情報に対応する処理規則の設定要求を送信する。但し、制御装置400は、予め、課金情報に対応する処理規則を転送ノード200に対して設定してもよい。この場合、制御装置400に対する処理規則の設定要求が大幅に削減される。
転送ノード200から要求を受信した制御装置400は、課金情報に対応する転送経路を決定し、該転送経路に対応する処理規則を転送ノード200に対して送信する。転送ノード200に設定される処理規則は、照合規則に課金情報が設定され、処理内容として課金情報に対応するパケットの処理が設定される。処理規則が設定された後は、転送ノード200は、パケットに含まれる課金情報に合致する処理規則に従って、課金情報を含むパケットを処理する。
なお、本実施形態と第5の実施形態を組み合わせてもよい。制御装置400は、課金クラスが低く、通信サービスの品質が所定の閾値以下の状態が一定期間継続したユーザの端末100に対して、課金クラスのアップグレードを促すサイトへのリダイレクトを指示する処理規則を設定してもよい。
本実施形態によれば、制御装置400を運営するネットワークオペレータ主導で、端末ユーザの課金情報に応じた通信サービス品質をコントロールできる。また、制御装置400が、課金情報に対応する処理規則を予め転送ノード200に設定しておくことができるので、転送ノード200からの処理規則の設定要求を大幅に削減できる。よって、制御装置400の処理負荷も大きく削減される。更に、転送ノード200において課金情報を書き込む処理を実行する必要がないので、転送ノード200におけるパケット処理の負荷も大幅に削減される。
[第7の実施形態]
次に、第7の実施形態について説明する。図22は、本発明の第7の実施形態の構成の一例を表した図である。第7の実施形態では、制御装置400Aが改ざん判定部610を含むことが上述の実施形態と異なる。改ざん判定部610は、処理規則判定部420によって決定された、端末100に設定される処理規則のハッシュ値を保持する。
改ざん判定部610は、端末制御装置110の処理規則記憶部120に記録される処理規則のハッシュ値と、自身が保持するハッシュ値を比較する。改ざん判定部610は、ハッシュ値が異なる場合、端末100に設定された処理規則が改ざんされたと判定する。改ざん判定部610は、通信システムのセキュリティを確保するため、その端末100からのアクセスを拒否する処理規則を転送ノード200に登録する。なお、改ざん判定部610は、アクセスを拒否する処理規則を転送ノード200に設定する際、その処理規則に有効期限を設定してもよい。
次に、第7の実施形態の動作について説明する。上述の実施形態と同等の動作については、その説明を省略する。以下、動作上の相違点を中心に説明する。
図23は、本発明の第7の実施形態の一連の動作を表したシーケンス図である。ユーザ端末が、認証装置330にログイン要求する(図23のS401)。認証装置330がユーザ認証を行う(図23のS402)。認証装置330は、ユーザ認証結果に基づいて認証情報をポリシ管理装置300に送信する(図23のS403)。
ポリシ管理装置300は認証装置330から受け取った認証情報を元にしてユーザの通信ポリシを決定する(図23のS404)。ポリシ管理装置300は、決定した通信ポリシを制御装置400に送信する(図23のS405)。
制御装置400は、ポリシ管理装置300から受け取った通信ポリシを元にして処理規則を決定し、転送ノード200に設定する。制御装置400は、通信ポリシを受信すると、ユーザ端末からのパケットについての処理規則の設定要求を行わせる処理規則を転送ノード200に設定する(図23のS406)。制御装置400は、端末100に設定する処理規則を決定する(図23のS407)。制御装置400は、決定した処理規則を端末制御装置110に送信する(図23のS408)。
端末制御装置110は、制御装置400が送信した前記処理規則を受信すると、処理規則記憶部120にその処理規則を登録する(図23のS409)。
制御装置400の改ざん判定部610は、端末100に対して設定した処理規則から求めたハッシュ値を生成する(図23のS410)。
端末制御装置110は、制御装置400から設定された処理規則から求めたハッシュ値を生成し(図23のS411)、そのハッシュ値を制御装置400の改ざん判定部610に送信する(図23のS412)。
制御装置400の改ざん判定部610は、改ざん判定部610が生成したハッシュ値と、端末制御装置110から送信されたハッシュ値とを照合する(図23のS413)。制御装置400の改ざん判定部610は、ハッシュ値の照合の結果、同一の値であれば正常とみなし、一連の処理を終了する。一方、ハッシュ値の照合の結果、異なる値であれば、端末100のユーザにより処理規則が改ざんされたと判定し、その端末100からのアクセスを拒否する処理規則を生成し、その処理規則を転送ノード200に設定する(図23のS414)。なお、改ざん判定部610は、端末100からのアクセスを拒否する処理規則に有効期限を設定してもよい。
以上の一連の動作の結果、あるユーザが自身のユーザ端末に保持される処理規則を改ざんした場合、制御装置がその改ざんを検知して、そのユーザの全てのアクセスを拒否する処理規則を転送ノードに設定することで、本アクセス制御システムがユーザに意図的に制御されることを防ぐことが可能となる。
以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、上記した各実施形態では、制御装置400、認証装置330、ポリシ管理装置300、通信ポリシ記憶部310、リソース情報記憶部320をそれぞれ独立して設けるものとして説明したが、これらを適宜統合した構成も採用可能である。
また、上記した実施形態では、図8〜図11を示してユーザにロールIDを付与してアクセス制御を行うものとして説明したが、ユーザ毎に付与されているユーザIDや、MACアドレス等のアクセスID、ユーザの端末100の位置情報などを用いてアクセス制御を行うことも可能である。
また、上記した実施形態では、ユーザの端末100が、転送ノード200を介して、認証装置330と認証手続を行うものとして説明したが、ユーザの端末100が直接認証装置330と通信し、認証手続を実施する構成も採用可能である。
なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得る各種変形、修正を含むことは勿論である。
1 端末
2 転送ノード
3 制御装置
10 通信部
11 記憶部
12 処理部
21 記憶部
22 制御装置通信部
23 処理部
31 通信部
32 制御部
33 ポリシ管理部
40 ノード通信部
41 制御メッセージ処理部
42 処理規則管理部
43 処理規則記憶部
44 転送ノード管理部
45 経路・アクション計算部
46 トポロジ管理部
47 端末位置管理部
48 通信ポリシ管理部
49 通信ポリシ記憶部
100 端末
110 端末制御装置
120 処理規則記憶部
130 アクセス制御部
200 転送ノード
300 ポリシ管理装置
310 通信ポリシ記憶部
320 リソース情報記憶部
330 認証装置
400、400A 制御装置
410 経路制御部
420 処理規則判定部
500、500A、500B ネットワーク資源
610 改ざん判定部

Claims (32)

  1. パケット処理に関する指示をパケット転送装置に通知する制御装置を含むネットワークと通信可能な端末であって、
    前記制御装置から、ヘッダ情報と比較するための照合規則と、該照合規則に対応するヘッダ情報を有するパケットに通信品質に関する品質情報を付与する処理ルールとを含む処理規則を受信する通信部と、
    送信パケットのヘッダ情報に対応する照合規則を有する処理規則に従って、前記送信パケットに前記品質情報を付与する処理部とを含むことを特徴とする端末。
  2. 前記通信部は、前記制御装置が所定の条件に基づいて決定した処理規則を受信することを特徴とする請求項1に記載の端末。
  3. 前記通信部は、前記端末のユーザに対応するポリシに基づいて前記制御装置が決定した処理規則を受信することを特徴とする請求項1に記載の端末。
  4. 前記通信部は、前記端末の通信記録に基づいて前記制御装置が決定した処理規則を受信することを特徴とする請求項1に記載の端末。
  5. 前記通信部は、前記端末の位置に関する情報に基づいて前記制御装置が決定した処理規則を受信することを特徴とする請求項1に記載の端末。
  6. さらに、前記ネットワークにアクセス要求を送信する要求送信機能を含み、
    前記通信部は、前記アクセス要求に応じて前記制御装置が決定した処理規則を受信することを特徴とする請求項1から5いずれか一に記載の端末。
  7. さらに、前記ネットワークにアクセス要求を送信する要求送信機能を含み、
    前記通信部は、前記転送装置を介して転送された前記アクセス要求に応じて前記制御装置が決定した処理規則を受信することを特徴とする請求項1からいずれか一に記載の端末。
  8. 前記通信部が前記制御装置から受信した前記処理規則は、前記制御装置が前記パケット転送装置に対して設定した転送装置用の処理規則に対応することを特徴とする請求項1から7いずれか一に記載の端末。
  9. 前記処理部は、前記処理規則から求められる第1の情報を生成し、前記制御装置が前記第1の情報と前記制御装置が決定した処理規則から求められる第2の情報とを照合するために、前記第1の情報を前記ネットワークに送信することを特徴とする請求項1からいずれか一に記載の端末。
  10. パケット処理に関する指示をパケット転送装置に通知する制御装置であって、
    前記制御装置を含むネットワークにアクセスする端末から送信されたアクセス要求を受信する要求受付部と、
    ヘッダ情報と比較するための照合規則と、該照合規則に対応するヘッダ情報を有するパケットに通信品質に関する品質情報を付与する処理ルールとを含む処理規則を生成する制御部と、
    送信パケットのヘッダ情報に対応する照合規則を有する処理規則に従って、前記送信パケットに前記品質情報を付与することが可能な前記端末に対して、生成された前記処理規則を通知する通信部とを含むことを特徴とする制御装置。
  11. 前記制御部は、所定の条件に基づいて処理規則を決定することを特徴とする請求項10に記載の制御装置。
  12. 前記制御部は、前記端末のユーザに対応するポリシに基づいて処理規則を決定することを特徴とする請求項10に記載の制御装置。
  13. 前記制御部は、前記端末の通信記録に基づいて処理規則を決定することを特徴とする請求項10に記載の制御装置。
  14. 前記制御部は、前記端末の位置に関する情報に基づいて処理規則を決定することを特徴とする請求項10に記載の制御装置。
  15. 前記制御部は、前記転送装置を介して転送されたアクセス要求に応じて処理規則を決定することを特徴とする請求項10から14いずれか一に記載の制御装置。
  16. 前記制御部が決定した前記処理規則は、前記転送装置に対して設定された転送装置用の処理規則に対応し、
    前記通信部は、前記制御部により決定された前記処理規則を前記端末に送信することを特徴とする請求項10から15いずれか一に記載の制御装置。
  17. 前記制御部は、前記端末に設定するための処理規則を決定し、該処理規則から求められる第1の情報を生成し、前記端末から受信した第2の情報と前記第1の情報とを照合することを特徴とする請求項10から16いずれか一に記載の制御装置。
  18. 前記通信品質に関する品質情報は、前記端末のユーザの課金情報であることを特徴とする請求項10から17いずれか一に記載の制御装置。
  19. パケット処理に関する指示をパケット転送装置に通知する制御装置を含むネットワークと通信可能な端末を制御する通信方法であって、
    前記制御装置から、ヘッダ情報と比較するための照合規則と、該照合規則に対応するヘッダ情報を有するパケットに通信品質に関する品質情報を付与する処理ルールとを含む処理規則を受信
    送信パケットのヘッダ情報に対応する照合規則を有する処理規則に従って、前記送信パケットに前記品質情報を付与する
    ことを特徴とする通信方法。
  20. 所定の条件に基づいて前記制御装置が決定した処理規則を受信する
    ことを特徴とする請求項19に記載の通信方法。
  21. 端末のユーザに対応するポリシに基づいて前記制御装置が決定した処理規則を受信する
    ことを特徴とする請求項19に記載の通信方法。
  22. 端末の通信記録に基づいて前記制御装置が決定した処理規則を受信する
    ことを特徴とする請求項19に記載の通信方法。
  23. 端末の位置に関する情報に基づいて前記制御装置が決定した処理規則を受信する
    ことを特徴とする請求項19に記載の通信方法。
  24. 前記ネットワークにアクセス要求を送信
    前記アクセス要求に応じて前記制御装置が決定した処理規則を受信する
    ことを特徴とする請求項19に記載の通信方法。
  25. 前記ネットワークにアクセス要求を送信
    前記転送装置を介して転送された前記アクセス要求に応じて前記制御装置が決定した処理規則を受信する
    ことを特徴とする請求項19に記載の通信方法。
  26. 前記処理規則から求められる第1の情報を生成し、前記制御装置に前記第1の情報と前記制御装置が決定した処理規則から求められる第2の情報とを照合させるために、前記第1の情報を前記ネットワークに送信する
    ことを特徴とする請求項19から25いずれか一に記載の通信方法。
  27. パケット処理に関する指示をパケット転送装置に通知する制御装置と、前記制御装置を含むネットワークと通信可能な端末とを含む通信システムであって、
    前記制御装置は、
    ヘッダ情報と比較するための照合規則と、該照合規則に対応するヘッダ情報を有するパケットに通信品質に関する品質情報を付与する処理ルールとを含む処理規則を決定する制御部を含み、
    前記端末は、
    前記制御装置から、前記制御装置が決定した前記処理規則を受信する通信部と、
    送信パケットのヘッダ情報に対応する照合規則を有する処理規則に従って、前記送信パケットに前記品質情報を付与する処理部と、
    を含むことを特徴とする通信システム。
  28. パケット処理に関する指示をパケット転送装置に送信する制御装置を含むネットワークと通信可能な端末に搭載する通信モジュールであって、
    前記制御装置から、ヘッダ情報と比較するための照合規則と、該照合規則に対応するヘッダ情報を有するパケットに通信品質に関する品質情報を付与する処理ルールとを含む処理規則を受信する通信部と、
    送信パケットのヘッダ情報に対応する照合規則を有する処理規則に従って、前記送信パケットに前記品質情報を付与する処理部とを含むことを特徴とする通信モジュール。
  29. パケット処理に関する指示をパケット転送装置に送信する制御装置を含むネットワークと通信可能な端末に、
    前記制御装置から、ヘッダ情報と比較するための照合規則と、該照合規則に対応するヘッダ情報を有するパケットに通信品質に関する品質情報を付与する処理ルールとを含む処理規則を受信する処理と、
    送信パケットのヘッダ情報に対応する照合規則を有する処理規則に従って、前記送信パケットに前記品質情報を付与する処理とを実行させることを特徴とするプログラム。
  30. パケット処理に関する指示をパケット転送装置に送信する制御装置を含むネットワークと通信可能な端末に、前記制御装置から、ヘッダ情報と比較するための照合規則と、該照合規則に対応するヘッダ情報を有するパケットに通信品質に関する品質情報を付与する処理ルールとを含む処理規則を受信する処理と、送信パケットのヘッダ情報に対応する照合規則を有する処理規則に従って、前記送信パケットに前記品質情報を付与する処理とを実行させるプログラムを前記端末に送信する情報処理装置。
  31. パケット処理に関する指示をネットワークスイッチに通知する制御装置を含むネットワークと通信可能な端末であって、
    前記制御装置と、所定の制御プロトコルに従って通信可能な仮想スイッチを含み、
    前記仮想スイッチは、
    前記制御装置から、ヘッダ情報と比較するための照合規則と、該照合規則に対応するヘッダ情報を有するパケットに通信品質に関する品質情報を付与する処理ルールとを含む処理規則を受信する通信部と、
    送信パケットのヘッダ情報に対応する照合規則を有する処理規則に従って、前記送信パケットに前記品質情報を付与する処理部と、
    を含むことを特徴とする端末
  32. ネットワークスイッチに対してパケット処理に関する指示を送信する制御装置であって、
    前記制御装置を含むネットワークと通信可能であり、仮想スイッチを有する端末と、所定の制御プロトコルに従って通信可能な制御部を含み、
    前記制御部は、
    ヘッダ情報と比較するための照合規則と、該照合規則に対応するヘッダ情報を有するパケットに通信品質に関する品質情報を付与する処理ルールとを含む処理規則を生成し、
    送信パケットのヘッダ情報に対応する照合規則を有する処理規則に従って、前記送信パケットに前記品質情報を付与することが可能な前記仮想スイッチに対して、生成した処理規則を送信する
    ことを特徴とする制御装置。
JP2012534882A 2011-04-18 2012-04-16 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置 Active JP5370592B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012534882A JP5370592B2 (ja) 2011-04-18 2012-04-16 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2011092319 2011-04-18
JP2011092319 2011-04-18
PCT/JP2012/002631 WO2012144190A1 (en) 2011-04-18 2012-04-16 Terminal, control device, communication method,communication system, communication module, program, and information processing device
JP2012534882A JP5370592B2 (ja) 2011-04-18 2012-04-16 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2013155851A Division JP5594410B2 (ja) 2011-04-18 2013-07-26 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置

Publications (2)

Publication Number Publication Date
JP2013522933A JP2013522933A (ja) 2013-06-13
JP5370592B2 true JP5370592B2 (ja) 2013-12-18

Family

ID=47041324

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2012534882A Active JP5370592B2 (ja) 2011-04-18 2012-04-16 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置
JP2013155851A Active JP5594410B2 (ja) 2011-04-18 2013-07-26 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2013155851A Active JP5594410B2 (ja) 2011-04-18 2013-07-26 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置

Country Status (6)

Country Link
US (1) US9397949B2 (ja)
EP (1) EP2628281B1 (ja)
JP (2) JP5370592B2 (ja)
KR (1) KR101528825B1 (ja)
CN (1) CN103250383B (ja)
WO (1) WO2012144190A1 (ja)

Families Citing this family (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7675854B2 (en) 2006-02-21 2010-03-09 A10 Networks, Inc. System and method for an adaptive TCP SYN cookie with time validation
US8584199B1 (en) 2006-10-17 2013-11-12 A10 Networks, Inc. System and method to apply a packet routing policy to an application session
US8312507B2 (en) 2006-10-17 2012-11-13 A10 Networks, Inc. System and method to apply network traffic policy to an application session
US9960967B2 (en) 2009-10-21 2018-05-01 A10 Networks, Inc. Determining an application delivery server based on geo-location information
US9215275B2 (en) 2010-09-30 2015-12-15 A10 Networks, Inc. System and method to balance servers based on server load status
US9609052B2 (en) 2010-12-02 2017-03-28 A10 Networks, Inc. Distributing application traffic to servers based on dynamic service response time
SG194457A1 (en) 2011-04-18 2013-12-30 Nec Corp Terminal, control device, communication method, communication system, communication module,program, and information processing device
SG2014006886A (en) * 2011-09-20 2014-04-28 Nec Corp Communication system, policy management apparatus, communication method, and program
US8897154B2 (en) 2011-10-24 2014-11-25 A10 Networks, Inc. Combining stateless and stateful server load balancing
US9094364B2 (en) 2011-12-23 2015-07-28 A10 Networks, Inc. Methods to manage services over a service gateway
US10044582B2 (en) 2012-01-28 2018-08-07 A10 Networks, Inc. Generating secure name records
US9118618B2 (en) 2012-03-29 2015-08-25 A10 Networks, Inc. Hardware-based packet editor
CN103476062B (zh) * 2012-06-06 2015-05-27 华为技术有限公司 一种数据流调度的方法、设备和系统
US8782221B2 (en) 2012-07-05 2014-07-15 A10 Networks, Inc. Method to allocate buffer for TCP proxy session based on dynamic network conditions
EP2901308B1 (en) 2012-09-25 2021-11-03 A10 Networks, Inc. Load distribution in data networks
US10021174B2 (en) 2012-09-25 2018-07-10 A10 Networks, Inc. Distributing service sessions
US9843484B2 (en) 2012-09-25 2017-12-12 A10 Networks, Inc. Graceful scaling in software driven networks
US10002141B2 (en) 2012-09-25 2018-06-19 A10 Networks, Inc. Distributed database in software driven networks
US9338225B2 (en) 2012-12-06 2016-05-10 A10 Networks, Inc. Forwarding policies on a virtual service network
US9843516B2 (en) 2012-12-19 2017-12-12 Nec Corporation Communication node, control apparatus, method for management of control information entries and program
EP2940937A4 (en) * 2012-12-28 2016-08-24 Nec Corp COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION NODE CONTROL METHOD AND PROGRAM
US9531846B2 (en) 2013-01-23 2016-12-27 A10 Networks, Inc. Reducing buffer usage for TCP proxy session based on delayed acknowledgement
US9900252B2 (en) 2013-03-08 2018-02-20 A10 Networks, Inc. Application delivery controller and global server load balancer
WO2014144837A1 (en) 2013-03-15 2014-09-18 A10 Networks, Inc. Processing data packets using a policy based network path
JP6273683B2 (ja) * 2013-03-15 2018-02-07 日本電気株式会社 通信システム
WO2014179753A2 (en) 2013-05-03 2014-11-06 A10 Networks, Inc. Facilitating secure network traffic by an application delivery controller
US10027761B2 (en) 2013-05-03 2018-07-17 A10 Networks, Inc. Facilitating a secure 3 party network session by a network device
EP3002916B1 (en) * 2013-06-26 2017-08-16 Huawei Technologies Co., Ltd. Packet forwarding system, device and method
CN103595712B (zh) * 2013-11-06 2017-04-05 福建星网锐捷网络有限公司 一种Web认证方法、装置及系统
US10230770B2 (en) 2013-12-02 2019-03-12 A10 Networks, Inc. Network proxy layer for policy-based application proxies
JP6364761B2 (ja) * 2013-12-18 2018-08-01 日本電気株式会社 ネットワークシステムおよび通信方法
US9755901B2 (en) 2014-01-21 2017-09-05 Huawei Technologies Co., Ltd. System and method for a software defined protocol network node
JP6237357B2 (ja) * 2014-03-11 2017-11-29 富士通株式会社 パケット転送システムおよびパケット転送方法
US9942152B2 (en) * 2014-03-25 2018-04-10 A10 Networks, Inc. Forwarding data packets using a service-based forwarding policy
US9942162B2 (en) 2014-03-31 2018-04-10 A10 Networks, Inc. Active application response delay time
US9906422B2 (en) 2014-05-16 2018-02-27 A10 Networks, Inc. Distributed system to determine a server's health
US9986061B2 (en) 2014-06-03 2018-05-29 A10 Networks, Inc. Programming a data network device using user defined scripts
US10129122B2 (en) 2014-06-03 2018-11-13 A10 Networks, Inc. User defined objects for network devices
US9992229B2 (en) 2014-06-03 2018-06-05 A10 Networks, Inc. Programming a data network device using user defined scripts with licenses
EP3148129A4 (en) * 2014-06-26 2017-08-16 Huawei Technologies Co., Ltd. Method and device for controlling quality of service of software defined network
EP2991281B1 (en) 2014-06-30 2019-08-07 Huawei Technologies Co., Ltd. Webpage pushing method, device and terminal
US10268467B2 (en) 2014-11-11 2019-04-23 A10 Networks, Inc. Policy-driven management of application traffic for providing services to cloud-based applications
WO2017002129A1 (en) * 2015-06-29 2017-01-05 Telefonaktiebolaget Lm Ericsson (Publ) Communication policy control in a machine-to-machine communication system
US10581976B2 (en) 2015-08-12 2020-03-03 A10 Networks, Inc. Transmission control of protocol state exchange for dynamic stateful service insertion
US10243791B2 (en) 2015-08-13 2019-03-26 A10 Networks, Inc. Automated adjustment of subscriber policies
JP6701779B2 (ja) * 2016-02-15 2020-05-27 株式会社リコー 通信システム
JP6920835B2 (ja) * 2017-03-14 2021-08-18 三菱電機株式会社 設備監視装置

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3621986B2 (ja) 2001-09-07 2005-02-23 独立行政法人情報通信研究機構 無線システムのシームレス統合ネットワークシステム
JP3872717B2 (ja) 2002-05-15 2007-01-24 日本電信電話株式会社 ネットワークの品質制御方法、ネットワークシステム及び管理装置
JP3813908B2 (ja) 2002-07-25 2006-08-23 日本電信電話株式会社 プライベート網間接続方法およびゲートウェイ制御装置
JP2004235800A (ja) 2003-01-29 2004-08-19 Evolium Sas 移動無線機のハンドオーバー制御方法、基地局制御装置、及び移動無線機
US7373660B1 (en) * 2003-08-26 2008-05-13 Cisco Technology, Inc. Methods and apparatus to distribute policy information
US20050198506A1 (en) * 2003-12-30 2005-09-08 Qi Emily H. Dynamic key generation and exchange for mobile devices
KR101111099B1 (ko) 2004-09-09 2012-02-17 아바야 테크놀러지 코퍼레이션 네트워크 트래픽 보안 방법들 및 시스템들
JP2006174350A (ja) * 2004-12-20 2006-06-29 Fujitsu Ltd 通信装置
JP4357562B2 (ja) 2005-02-21 2009-11-04 富士通株式会社 通信制御システム
KR100668661B1 (ko) * 2005-10-19 2007-01-16 한국전자통신연구원 휴대 인터넷 시스템에서 트랜스포트 연결 식별자의생성/변경 방법 및 그를 위한 단말기
JP4473227B2 (ja) * 2006-02-10 2010-06-02 日本電信電話株式会社 リソース管理装置、通信システムおよび通信方法
US7970899B2 (en) * 2006-03-03 2011-06-28 Barracuda Networks Inc Integrated data flow packet admission and traffic management apparatus
CN100531051C (zh) 2006-03-13 2009-08-19 华为技术有限公司 通信网络及终端业务与网络分离的实现方法
JP2008095010A (ja) 2006-10-13 2008-04-24 Nippon Paint Co Ltd サッシュブラック塗料組成物および塗膜形成方法
US20080130601A1 (en) * 2006-12-01 2008-06-05 Electronics And Telecommunications Research Institute Method for providing network communication service with constant quality regardless of being in wired or wireless network environment
US8086216B2 (en) * 2007-01-31 2011-12-27 Alcatel Lucent Mobility aware policy and charging control in a wireless communication network
US20080189769A1 (en) 2007-02-01 2008-08-07 Martin Casado Secure network switching infrastructure
US9681336B2 (en) 2007-06-13 2017-06-13 Qualcomm Incorporated Quality of service information configuration
CN102217228B (zh) 2007-09-26 2014-07-16 Nicira股份有限公司 管理和保护网络的网络操作系统
JP4636345B2 (ja) * 2008-03-11 2011-02-23 日本電気株式会社 セキュリティポリシー制御システム、セキュリティポリシー制御方法、及びプログラム
US8798017B2 (en) * 2008-11-21 2014-08-05 At&T Intellectual Property I, L.P. Home service integration and management by employing local breakout mechanisms in a femtocell
US20100142379A1 (en) * 2008-12-05 2010-06-10 Electronics And Telecommunications Research Institute Method for classifying packet on mobile terminal
WO2010103909A1 (ja) * 2009-03-09 2010-09-16 日本電気株式会社 OpenFlow通信システムおよびOpenFlow通信方法
WO2011040511A1 (ja) * 2009-09-30 2011-04-07 日本電気株式会社 課金処理システム、ネットワークスイッチ、ネットワーク管理サーバ、課金処理方法、及び課金処理プログラム
US9100983B2 (en) * 2009-11-27 2015-08-04 Telefonaktiebolaget L M Ericsson (Publ) Telecommunications method, protocol and apparatus for improved quality of service handling
CN102934400B (zh) * 2010-06-09 2016-08-24 日本电气株式会社 通信系统、逻辑信道控制设备、控制设备、通信方法以及程序
EP2596653B1 (en) * 2010-07-21 2018-10-31 Telefonaktiebolaget LM Ericsson (publ) Technique for packet flow analysis

Also Published As

Publication number Publication date
WO2012144190A1 (en) 2012-10-26
EP2628281A4 (en) 2014-09-10
JP5594410B2 (ja) 2014-09-24
EP2628281B1 (en) 2017-08-16
KR101528825B1 (ko) 2015-06-15
JP2013522933A (ja) 2013-06-13
US20130148500A1 (en) 2013-06-13
EP2628281A1 (en) 2013-08-21
KR20130079525A (ko) 2013-07-10
JP2013236400A (ja) 2013-11-21
CN103250383B (zh) 2017-03-01
CN103250383A (zh) 2013-08-14
US9397949B2 (en) 2016-07-19

Similar Documents

Publication Publication Date Title
JP5370592B2 (ja) 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置
JP6028736B2 (ja) 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置
JP5812108B2 (ja) 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置
JP5862577B2 (ja) 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
JP5811179B2 (ja) 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
JP5811171B2 (ja) 通信システム、データベース、制御装置、通信方法およびプログラム
JP5880560B2 (ja) 通信システム、転送ノード、受信パケット処理方法およびプログラム
JP5943006B2 (ja) 通信システム、制御装置、通信方法およびプログラム
JP2014516215A (ja) 通信システム、制御装置、処理規則設定方法およびプログラム
JP2015530763A (ja) アクセス制御システム、アクセス制御方法及びプログラム
JP2015531173A (ja) ネットワークシステム、認証装置、サブネット決定方法およびプログラム

Legal Events

Date Code Title Description
A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20130515

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130528

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130726

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130820

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130902

R150 Certificate of patent or registration of utility model

Ref document number: 5370592

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150