JP5660202B2 - コンピュータシステム、コントローラ、及びネットワークアクセスポリシ制御方法 - Google Patents
コンピュータシステム、コントローラ、及びネットワークアクセスポリシ制御方法 Download PDFInfo
- Publication number
- JP5660202B2 JP5660202B2 JP2013509875A JP2013509875A JP5660202B2 JP 5660202 B2 JP5660202 B2 JP 5660202B2 JP 2013509875 A JP2013509875 A JP 2013509875A JP 2013509875 A JP2013509875 A JP 2013509875A JP 5660202 B2 JP5660202 B2 JP 5660202B2
- Authority
- JP
- Japan
- Prior art keywords
- policy
- information
- received packet
- authentication
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 24
- 230000005540 biological transmission Effects 0.000 claims description 24
- 239000000284 extract Substances 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 29
- 238000004891 communication Methods 0.000 description 23
- 238000012546 transfer Methods 0.000 description 23
- 230000009471 action Effects 0.000 description 20
- 238000010586 diagram Methods 0.000 description 11
- 201000006284 orofacial cleft 1 Diseases 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- RTZKZFJDLAIYFH-UHFFFAOYSA-N Diethyl ether Chemical compound CCOCC RTZKZFJDLAIYFH-UHFFFAOYSA-N 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000010187 selection method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、コンピュータシステム、コントローラ、ネットワークアクセスポリシ制御方法、及びプログラムに関し、特に、オープンフロー(オープンフロー)技術を利用したコンピュータシステム、及びネットワークポリシ制御方法に関する。
ネットワークを利用した情報システムの普及により、IP網などのネットワークは大規模かつ複雑になり、加えて高い柔軟性が求められている。このため、ネットワーク機器の設定は複雑になり、さらに設定すべき台数も膨大な数になっているため、ネットワークの設計管理の負担が大きくなっている。
例えば、広く普及しているパーソナルコンピュータ(以下、PCと称す)に対するアクセス制御方法の1つに、PCに隣接する末端のL2スイッチにMACベースVLAN(Virtual Local Area Network)を作成し、指定したMACアドレスを持つPCからの接続のみを許可するという方法がある。しかしこの方法では、数十万台のPCが接続される環境において、数千台のL2スイッチと数十万のMACアドレスの追加や削除を日々メンテナンスする必要があり、管理者に大きな負担がかかってしまう。
このような問題を解決するため記述として、OpenFlow Consortium(http://www.openflowswitch.org/)が提案しているオープンフロー技術がある(非特許文献1参照)。この技術に対応したオープンフローシステムでは、オープンフローコントローラ(OFC:Open Flow Controller)と呼ばれるサーバが、オープンフロースイッチ(OFS:Open Flow Switch)と呼ばれるネットワークスイッチを一元的に設定管理することが可能である。このため、OFCに対し、OpenFlowシステム全体のネットワークアクセスポリシ(以下、ポリシと称す)を設定することで、全てのOFSの制御が可能となる。
図1を参照して、オープンフロープロトコルを利用したコンピュータシステムの構成及び動作を説明する。図1を参照して、本発明の関連技術によるコンピュータシステムは、オープンフローコントローラ100(以下、OFC100と称す)、複数のオープンスイッチ2−1〜2−n(以下、OFS2−1〜2−nと称す)を有するスイッチ群20、複数のホストコンピュータ3−1〜3−i(以下、ホスト3−1〜3−iと称す)を有するホスト群30を具備する。ただし、n、iは2以上の自然数である。以下、OFS2−1〜2−nを区別せずに総称する場合はOFS2と称し、ホスト3−1〜3−iを区別せずに総称する場合はホスト3と称して説明する。
OFC100は、ホスト3間の通信経路の設定や、経路上におけるOFS2に対する転送動作(中継動作)等の設定を行う。この際、OFC100は、OFS2が保持するフローテーブルに、フロー(パケットデータ)を特定するルールと、当該フローに対する動作を規定するアクションとを対応付けたフローエントリを設定する。通信経路上のOFS2は、OFC100によって設定されたフローエントリに従って受信パケットデータの転送先を決定し、転送処理を行う。これにより、ホスト3は、OFC100によって設定された通信経路を利用して他のホスト3との間でパケットデータの送受信が可能となる。すなわち、オープンフローを利用したコンピュータシステムでは、通信経路を設定するOFC100と、転送処理を行うOFS2とが分離されているため、システム全体の通信を一元的に制御及び管理することが可能となる。
図1を参照して、ホスト3−1からホスト3−iへパケット送信を行う場合、OFS2−1はホスト3−1から受け取ったパケット内にある送信先情報(ヘッダ情報:例えば宛先MACアドレスや宛先IPアドレス)を参照し、OFS2−1内部で保持しているフローテーブルから当該ヘッダ情報に適合するエントリを探す。フローテーブルに設定されるエントリの内容については、例えば非特許文献1で規定されている。
OFS2−1は、受信パケットデータについてのエントリがフローテーブルに記載されていない場合、当該パケットデータ(以下、ファーストパケットと称す)、又はファーストパケットのヘッダ情報(あるいはファーストパケットそのもの)をOFC100に転送する。OFS2−1からファーストパケットを受け取ったOFC100はパケット内に含まれている送信元ホストや送信先ホストという情報を元に経路40を決定する。
OFC100は、経路40上の全てのOFS2に対して、パケットの転送先を規定するフローエントリの設定を指示する(フローテーブル更新指示を発行)。経路40上のOFS2は、フローテーブル更新指示に応じて、自身で管理しているフローテーブルを更新する。この後OFS2は、更新したフローテーブルに従い、パケットの転送を開始することで、OFC100が決定した経路40を経由して、宛先のホスト3−iへパケットが到達するようになる。
しかし、上記のOpenFlow技術では、OpenFlowシステムに接続するPC(Personal Computer)等のホスト端末を、IPアドレスやMACアドレスで識別している。このため、数十万台のPCが接続されるような環境では、数十万のIPアドレスやMACアドレスの1つ1つに対してポリシを設定する必要があり、大きな負担となっている。又、IPアドレスやMACアドレスは偽装することが可能であるため、不正アクセスの危険があり対策が求められている。
ポリシ制御に関するシステムが、例えば特開2005−4549に記載されている(特許文献1参照)。特許文献1には、自身が保持するセキュリティポリシに基づいてネットワーク機器やアプリケーションサーバへのアクセス制御機能を有するポリシサーバが記載されているが、オープンフロー環境のシステムにおけるポリシ制御については開示されていない。
OpenFlow Switch Specification Version 1.0.0 (Wire Protocol 0x01) December 31, 2009
以上のことから、本発明による目的は、ネットワークアクセスポリシ制御を容易に行うことが可能なオープンフロープロトコル環境のコンピュータシステムを提供することにある。
又、本発明による他の目的は、オープンフロープロトコル環境のネットワークにおける不正アクセスに対するセキュリティ強度を向上させることにある。
一の観点において、本発明によるコンピュータシステムは、コントローラと、コントローラによって設定されたフローエントリに適合する受信パケットに対し、フローエントリで規定された中継動作を行うスイッチとを具備する。スイッチは、自身に設定されたフローエントリに適合しない受信パケットを、コントローラに送信する。コントローラは、受信パケットに含まれる認証情報を参照して当該受信パケットを認証する。ここで、コントローラは、正当と判断した受信パケットのヘッダ情報のうち、受信パケットの送信元を特定する情報を含むパケットに対する中継動作を規定したフローエントリを、スイッチに設定する。
他の観点において、本発明によるポリシ制御方法は、スイッチに設定されたフローエントリに適合しない受信パケットを当該スイッチからコントローラが受信するステップと、コントローラが、受信パケットに含まれる認証情報を参照して受信パケットを認証するステップと、コントローラが、認証において正当と判断した受信パケットのヘッダ情報のうち、受信パケットの送信元を特定する情報を含むパケットに対する中継動作を規定したフローエントリを、スイッチに設定するステップとを具備する。
更に他の観点おいて、上述のポリシ制御方法は、コンピュータによって実行されるプログラムによって実現されることが好ましい。
本発明によれば、オープンフロープロトコル環境のコンピュータシステムにおけるネットワークアクセスポリシ制御を容易に行うことが可能となる。
又、詐称アドレスを利用した不正アクセスや妨害に対するセキュリティ強度を向上させることができる。
上記発明の目的、効果、特徴は、添付される図面と連携して実施の形態の記述から、より明らかになる。
図1は、オープンフロープロトコルを利用したコンピュータシステムの構成の一例を示す図である。
図2は、本発明によるコンピュータシステムの構成の一例を示す図である。
図3は、本発明に係るポリシ情報の一例を示す図である。
図4は、本発明に係るポリシ情報の具体例を示す図である。
図5Aは、本発明に係るフローエントリの具体例を示す図である。
図5Bは、本発明に係るフローエントリの具体例を示す図である。
図6は、本発明によるコンピュータシステムにおけるポリシ設定及び通信動作の一例を示すシーケンス図である。
図7は、本発明によるオープンフローコントローラよるポリシ制御動作の一例を示すフロー図である。
以下、添付図面を参照しながら本発明の実施の形態を説明する。図面において同一、又は類似の参照符号は、同一、類似、又は等価な構成要素を示す。
(コンピュータシステムの構成)
本発明によるコンピュータシステムは、図1に示すシステムと同様にオープンフロー技術を利用して通信経路の構築及びパケットデータの転送制御を行う。図2は、本発明によるコンピュータシステムの構成の一例を示す図である。本発明によるコンピュータシステムは、図1に示すシステムとは、オープンフローコントローラ(OFC)とホスト端末(例えばPC)の構成が相違し、他の構成(例えばOFS)は同様である。
本発明によるコンピュータシステムは、図1に示すシステムと同様にオープンフロー技術を利用して通信経路の構築及びパケットデータの転送制御を行う。図2は、本発明によるコンピュータシステムの構成の一例を示す図である。本発明によるコンピュータシステムは、図1に示すシステムとは、オープンフローコントローラ(OFC)とホスト端末(例えばPC)の構成が相違し、他の構成(例えばOFS)は同様である。
図2を参照して、本発明によるコンピュータシステムの第1の実施の形態における構成を説明する。図2を参照して、本発明によるコンピュータシステムは、オープンフローコントローラ1(OpenFlow Controller:以下、OFC1と称す)、複数のオープンフロースイッチ2(Open Flow Switch:以下、OFS2と称す)、複数のホスト端末3(例示:PC)、入力端末4を具備する。
OFC1は、セキュアチャネルネットワークを介して複数のOFS2に接続され、当該ネットワークを介してOFS2のフローテーブル21を更新する。これにより、OFS2を介して接続される複数のホスト端末3間の通信は制御される。OFS2は、複数のホスト端末3間に設けられ、ホスト端末3や図示しない他のネットワークから転送されるパケットを、フローテーブル21に設定されたフローエントリに従った転送先に中継する。
OFC1は、オープンフロー技術により、システム内におけるパケット転送に係る通信経路の構築及びパケット転送処理を制御する。ここで、オープンフロー技術とは、OFC1が、ルーティングポリシ(フローエントリ:フロー+アクション)に従い、マルチレイヤ及びフロー単位の経路情報を通信経路上のOFS2やOFVS33に設定し、経路制御やノード制御を行う技術を示す(詳細は、非特許文献1を参照)。これにより、経路制御機能がルータやスイッチから分離され、コントローラによる集中制御によって最適なルーティング、トラフィック管理が可能となる。オープンフロー技術が適用されるOFS2やOFVS33は、従来のルータやスイッチのようにパケットやフレームの単位ではなく、END2ENDのフローとして通信を取り扱う。
図2を参照して、本発明によるOFC1の構成の詳細を説明する。OFC1は、CPU及び記憶装置を備えるコンピュータによって実現されることが好適である。OFC1では、図示しないCPUが記憶装置に格納されたプログラムを実行することで、図2に示すフロー制御部11及びポリシ管理部12の各機能が実現される。
フロー制御部11は、オープンフロープロトコルに従ったスイッチ(ここではOFS2)に対してフローエントリ(ルール+アクション)の設定又は削除を行う。これにより、OFS2は、受信パケットのヘッダ情報に応じたルールに対応するアクション(例えばパケットデータの中継や破棄)を実行する。
フローエントリに設定されるルールには、例えば、TCP/IPのパケットデータにおけるヘッダ情報に含まれる、OSI(Open Systems Interconnection)参照モデルのレイヤ1からレイヤ4のアドレスや識別子の組み合わせが規定される。例えば、レイヤ1の物理ポート、レイヤ2のMACアドレス、VLANタグ(VLAN id)、レイヤ3のIPアドレス、レイヤ4のポート番号のそれぞれの組み合わせがルールとして設定される。尚、VLANタグには、優先順位(VLAN Priority)が付与されていても良い。
ここで、フロー制御部11によってルールに設定されるポート番号等の識別子やアドレス等は、所定の範囲で設定されても構わない。又、宛先や送信元のアドレス等を区別してルールとして設定されルことが好ましい。例えば、MAC宛先アドレスの範囲や、接続先のアプリケーションを特定する宛先ポート番号の範囲、接続元のアプリケーションを特定する送信元ポート番号の範囲がルールとして設定される。更に、データ転送プロトコルを特定する識別子をルールとして設定してもよい。
フローエントリに設定されるアクションには、例えばTCP/IPのパケットデータを処理する方法が規定される。例えば、受信パケットデータを中継するか否かを示す情報や、中継する場合はその送信先が設定される。又、アクションとして、パケットデータの複製や、破棄することを指示する情報が設定されてもよい。
本発明に係るフロー制御部11は、ポリシ管理部12からの指示に応じたフローエントリを、当該指示によって指定されたOFS2に設定する。
ポリシ管理部12は、入力端末4から供給されたポリシ情報130を、検索し易い形式に変換してポリシ情報記憶部13に記録する。図3は、ポリシ情報記憶部13に記録されるポリシ情報130の構造を示す図である。図3を参照して、ポリシ情報記憶部13には、ポリシID131、認証ID132、ポリシ133が対応付けられてポリシ情報130として記録される。
ポリシID131は、ポリシ情報130を一意に特定するための識別子である。認証ID132は、ファーストパケット(の送信元ホスト又は宛先ホスト)に対しポリシ133を適用してよいかを認証するための情報(例示:パスワード)である。ポリシ133は、ホスト端末3のネットワークアクセスポリシを規定する情報である。ポリシ133には、送信元ホスト又は送信先ホストを規定する条件、アクセス方法を規定するプロトコル、優先度等が規定される。
図4は、ポリシ情報130の具体例を示す図である。図3に示すポリシ情報130は、ポリシID131として、複数のポリシ133“ポリシ1〜ポリシ3、・・・”の適用対象となる端末を特定する識別子“経理部一般職員用ポリシ”が設定され、当該ポリシ133を適用するか否かの認証に用いられる認証ID132“XXXXX”が設定される。ここで、ポリシ1は、HTTP(Hypertext Transfer Protocol)を利用したIPアドレス10.11.12.1宛のパケット転送を許可するとともにその優先度を“10”とすることを示す。ポリシ2は、FTP(File Transfer Protocol )を利用したIPアドレス10.11.12.2宛のパケット転送を許可するとともにその優先度を“20”とすることを示す。ポリシ3は、RDP(Remote Desktop Protocol )を利用したIPアドレス10.11.12.0/24宛のパケット転送を許可するとともにその優先度を“30”とすることを示す。
ポリシ管理部12は、OFS2から通知されたファーストパケットに含まれる認証情報140とポリシ情報記憶部13に記録されたポリシ情報130とを照合し、ファーストパケットの認証を行う。
詳細には、ホスト端末3は、ポリシIDと認証IDを有する認証情報140を、パケットのデータ領域に含めて宛先ホストに送信する。ポリシ管理部12は、OFS2から通知されたファーストパケットに含まれる認証情報140のポリシIDをキーとしてポリシ情報記憶部13を検索し、当該ポリシIDに一致するポリシID131のポリシ情報130を抽出する。そして、ポリシ管理部12は、認証情報140の認証IDとポリシ情報130内の認証ID132とを照合することで、当該ファーストパケットの認証を行う。
ポリシ管理部12は、ファーストパケットの認証に成功(認証IDが一致)すると、当該ファーストパケットを転送するためのフローエントリの設定指示をフロー制御部11に指示する。この場合、フロー制御部11は、当該ファーストパケットのヘッダ情報に応じたポリシ133に従ったフローエントリを、当該ヘッダ情報に応じて算出した通信経路上のOFS2に設定する。
一方、ファーストパケットに含まれるポリシIDに一致するポリシID131がポリシ情報記憶部13に登録されていない場合や、認証情報IDが一致しない場合、ポリシ管理部12は認証失敗と判定する。この場合、ポリシ管理部12は、当該ファーストパケットを破棄するためのフローエントリの設定をフロー制御部11に指示する。フロー制御部11は、当該指示に応じて、当該ファーストパケットのヘッダ情報の少なくとも一部をルールとし、パケット破棄をアクションとするフローエントリを、ファーストパケットの通知元のOFS2に設定する。尚、フローエントリの設定対象となるOFS2の選択方法、通信経路の算出方法、フロー制御部11によるフローエントリの設定及び管理方法は、非特許文献1に記載のオープンフロープロトコルに準拠して行われる。
ポリシ管理部12によって端末A(からのファーストパケット)の認証が成功し、図4に示すポリシ1を適用するときのスイッチに設定するフローエントリの一例を図5A及び図5Bに示す。ここでは、ポート0/1に端末Aが接続され、ポート0/2にWebサーバが接続されたOFS2に設定されるフローエントリについて説明する。
図5A及び図5Bを参照して、フローエントリには、ルール211として、マッチフィールド(Match Field)とマッチフィールドの値(Match Value)とが規定される。又、アクション情報212としてアクション(Action)と優先度(Priority)が規定される。ポリシ1には、“10.11.12.1へのHTTP接続を許可、優先度10”が規定されている。OFS2には、認証された端末AからIPアドレス“10.11.12.1”を宛先としたパケットに対する中継処理を規定するフローエントリ(図5A)と、IPアドレス“10.11.12.1”が割り当てられたWebサーバから、認証された端末Aを宛先としたパケットに対する中継処理を規定するフローエントリ(図5B)が設定される。
図5Aを参照して、ルール211には、入力ポートが“0/1”、送信元MACアドレスが“端末AのMACアドレス”、入力VLAN IDが“端末AのVLAN ID”、Ether Typeが“0x0800(IPv4)”、IP プロトコル(プロトコル番号)が“6(TCP)”、送信元IPアドレスが“端末AのIPアドレス”、宛先IPアドレスが“10.11.12.1”、宛先ポート番号が“80(HTTP)”が規定され、他のマッチフィールドは“ANY”が規定される。又、アクション情報212には、“受信パケットをポート“0/2”へ出力する”ことと、その優先度“10”が規定される。
OFS2は、図5Aに示すフローエントリに従うことで、認証された端末AからHTTP通信により送信された、IPアドレス“10.11.12.1”宛てのパケットを、Webサーバに接続されたポート“0/2”に出力する。
又、図5Bを参照して、ルール211には、入力ポートが“0/2”、宛先MACアドレスが“端末AのMACアドレス”、Ether Typeが“0x0800(IPv4)”、IP プロトコル(プロトコル番号)が“6(TCP)”、送信元IPアドレスが“10.11.12.1”、宛先IPアドレスが“端末AのIPアドレス”、宛先ポート番号が“80(HTTP)”が規定され、他のマッチフィールドは“ANY”が規定される。又、アクション情報212には、“受信パケットをポート“0/1”へ出力する”ことと、その優先度“10”が規定される。
OFS2は、図5Bに示すフローエントリに従うことで、IPアドレス“10.11.12.1”のWebサーバからHTTP通信により送信された、IPアドレス“端末AのIPアドレス”宛てのパケットを、端末Aに接続されたポート“0/1”に出力する。
このように、本発明では、認証に成功したファーストパケット(ホスト端末3)に対応するポリシに従ったフローエントリが、OFS2に設定される。尚、上述の一例では、ポリシ1に対するフローエントリの設定について説明したが、認証されるポリシが複数ある場合は、それぞれに対応するフローエントリが設定される。
OFS2は、OFC1によってフローエントリが設定されるフローテーブル21と、フローテーブル21に設定されたフローエントリに従って受信パケットの転送や破棄を行うパケット制御部22を備える。OFS2に対するフローエントリの設定は、従来と同様にOFC1からのFlow−mod要求によって行われる。パケット制御部22は、受信パケットのヘッダ情報に適合するフローエントリ(ルール)がフローテーブル21に無い場合、当該受信パケットをファーストパケットとしてOFC1に送信する。これにより、OFS2は、ホスト端末3から送信された認証情報140をOFC1に送信することとなる。一方、パケット制御部22は、受信パケットのヘッダ情報に適合するフローエントリがある場合、当該フローエントリのアクションに従った処理を当該パケットに対して行う。受信パケットに対するアクションとして、例えば、他のOFS2やホスト端末3への転送や、パケット破棄がある。尚、図2には、2つのホスト端末3に接続されたエンドスイッチのみが図示されているが、図1と同様に、他のOFS2を介して他のホスト端末3に接続されていることは言うまでもない。又、OFS2は物理スイッチが好適であるが、オープンフロープロトコルに従って動作すれば仮想スイッチによって実現されても構わない。
ホスト端末3は、図示しないCPUやRAMを備えるコンピュータ装置(物理サーバ)が好適であり、認証情報140が記録された記憶装置(図示なし)を備える。あるいは、ホスト端末3は、仮想マシンにより実現されても構わない。ホスト端末3は自身が保有する認証情報140をパケットのデータ領域に含めて送信する。その他の構成は、パケット通信可能な従来のコンピュータ装置や仮想マシンと同様である。尚、図2には、2つのホスト端末3のみが記載されているが、本システムは、図1と同様に複数のOFS2を介して接続された他のホスト端末3を備えることは言うまでもない。
図2には、システム内にホスト端末3が1つしか設けられていないが、これに限らず、通常、複数のホスト端末3が設けられる。
入力端末4は、ポリシ設定UI(User Interface)41を備えるコンピュータ装置である。ポリシ設定UI41は、OFC1にポリシ情報を設定するためのユーザインターフェースであり、ユーザからの指示をOFC1のポリシ管理部12に出力する。これにより、OFC1に任意のポリシ情報130が設定される。尚、ポリシ情報130の設定方法はこれに限らず、携帯可能な記録媒体を利用して設定されても良い。
更に、OFC1にはモニタやプリンタに例示される出力装置が接続されていても良い。ポリシ管理部12は、認証に失敗しファーストパケットのヘッダ情報(送信元ポート番号や送信元MACアドレス)に基づいて当該パケットの通知元のOFS2や送信元のホスト端末3を特定することができる。この特定結果を、出力装置を介して視認可能に出力することで、不正アクセスの監視のみならず不正アクセス元を特定することが可能となる。
以上のような構成により、本発明によるコンピュータシステムでは、オープンフロープロトコルに従ったファーストパケットを利用して、コントローラ側でパケット(アクセス)の認証が行われ、認証結果に応じてパケットの転送動作(アクセス先)が制御される。本発明では、ホスト端末3によってパケットに挿入された認証情報を、フローを制御OFC1において認証しているため、ネットワークアクセスポリシが異なるホスト端末3からの通信をOFC1において一元的に制御することができる。又、本発明では、ポリシ情報130毎に付与した認証ID132によってポリシ133を適用するホスト端末3を特定できる。このため、IPアドレスやMACアドレスの1つ1つに対してポリシを設定する必要がなく、容易にポリシの変更や管理を行うことが可能となる。更に、本発明によるOFC1は、ファーストパケットを利用したパケット認証によってアクセス制御しているため、ホスト側の末端のOFS2、すなわちネットワークの入口において不正アクセス(例示:アドレスを詐称したパケットの侵入)を遮断することができる。
(動作)
次に、図6及び図7を参照して、本発明によるコンピュータシステムにおける通信動作及びアクセス制御動作の詳細を説明する。
次に、図6及び図7を参照して、本発明によるコンピュータシステムにおける通信動作及びアクセス制御動作の詳細を説明する。
図6は、本発明によるコンピュータシステムにおけるポリシ設定及び通信動作の一例を示すシーケンス図である。図7は、本発明によるOFC1によるポリシ制御動作の一例を示すフロー図である。
図6を参照して、先ず、コンピュータシステムの起動に際し、予め、入力端末4からポリシ情報130がOFC1のポリシ情報記憶部13に記録される(ステップS11、S12)。詳細には、入力端末4から与えられたポリシ情報130は、ポリシ管理部12に供給され、データベース化されてポリシ情報記憶部13に格納される。これにより、ポリシ情報記憶部13は、最新のポリシ情報130によって更新される。ここで、ポリシ情報記憶部13は、ポリシ管理部12によって常時検索が可能である。又、ステップS11、S12におけるポリシ情報記憶部13の更新は、システムの運用中に行われても良い。
続いて、ホスト端末3からシステム内にパケット転送が行われたときのアクセス制御及び通信動作について説明する。ホスト端末3は、暗号化したポリシIDと認証IDを付与した認証情報140を含めたパケットを、ネットワーク内に送信する(ステップS21)。このとき、ホスト端末3からのパケットはOFS2に転送される。
OFS2は、ホスト端末3から受信したパケットのヘッダ情報が、フローテーブル21に設定されたフローエントリのルールに適合(一致)するか否かを判定し、適合するルールがある場合、当該ルールに対応するアクションに従い受信パケットを処理(例えば、他のOFS2への転送や破棄)する(図示なし)。詳細には、OFS2は、ホスト端末3から受信したパケットのヘッダ情報(送受信IPアドレス、MACアドレス、ポート番号、又はプロトコル等)を抽出する。そしてOFS2は、ヘッダ情報とフローテーブル21を比較し、マッチするフローエントリがあるかを確認する。マッチするフローエントリがある場合、OFS2は当該フローエントリに記載されたアクション(転送や破棄)を実行し、転送処理を終了する。
一方、受信パケットのヘッダ情報に適合(一致する)フローエントリ(内のルール)がフローテーブル21に設定されていない場合、OFS2は、当該受信パケットをファーストパケットとしてOFC1のポリシ管理部12に通知する(ステップS22、PacketIN)。
PacketINされたポリシ管理部12は、ファーストパケットの認証を行い、認証結果に応じたパケット処理方法をフロー制御部11に指示する(ステップS23、S24)。フロー制御部11は、ポリシ管理部12の指示に従ったフローエントリを制御対象のOFS2のフローテーブル21に設定する(ステップS25)。これにより、OFS2は、新たにフローテーブル21に設定されたフローエントリに従った処理を、ステップS21において受信したパケットに対して実行する。
図7を参照して、ファーストパケットを受信したポリシ管理部12の動作(図6におけるステップS23〜S25)の詳細を説明する。
OFC1は、OFS2から受信したファーストパケットのデータ領域を解析し、認証情報140(ポリシIDと認証ID)を取得する(ステップS101)。続いて、OFC1は、取得した認証情報140(ポリシIDと認証ID)とポリシ情報記憶部13に保存されたポリシ情報130と比較し、認証を行う(ステップS102)。詳細には、ポリシ管理部12は、認証情報140(ポリシID及び認証ID)に一致するポリシ情報130がポリシ情報記憶部13内にあるかを検索する。このとき、認証情報140に一致するポリシ情報130がポリシ情報記憶部13に記録されている場合、ポリシ管理部12は認証成功と判定し、記録されていない場合、認証失敗と判定する(ステップS102)。
ステップS102において、認証に成功した場合、ポリシ管理部12は、認証情報140内のポリシIDに該当するポリシ情報130をポリシ情報記憶部13から取得する(ステップS103)。OFC1は、取得したポリシ情報130に応じたフローエントリを制御対象のOFS2に設定する(ステップS104)。
詳細には、ポリシ管理部12は、認証に成功した認証情報140に対応するポリシ情報130を参照し、ファーストパケットのヘッダ情報に対応するポリシ133に基づいたフローエントリの設定を、フロー制御部11に指示する。この際、従来のオープンフローシステムと同様に、通信経路の算出が行われ、フローエントリの設定対象となるOFS2が指定される。フロー制御部11は、セキュアチャネルを介したFlow−mod要求によって、ポリシ管理部12からの指示に応じたフローエントリを指定されたOFS2に設定する。ここでは、送信元MACアドレスを含むルールと、ポリシ133に対応するアクションとを含むフローエントリが設定されることが好適である。これにより、OFC1によって認証されたパケットの送信元ホスト(すなわち認証されたホスト端末)の通信が、予めOFC1に設定されたポリシに基づいて制御されることとなる。尚、ここで設定されるフローエントリのルールとして、送信元MACアドレスに加えて宛先アドレスや宛先ポート番号が規定されてもよい。これにより、認証されたホスト端末のアクセス先に応じた制御も可能となる。
具体例として、ポリシ管理部12が認証情報140に応じて図4に示すポリシ情報130を取得し、ファーストパケットのヘッダ情報に、送信元MACアドレス:“0000.0000.0001”、宛て先IPアドレス:“10.11.12.1”、プロトコル:“HTTP”が含まれる場合のフローエントリの設定について説明する。この場合、ポリシ管理部12は、図4に示すポリシ1に応じたフローエントリの設定を指示する。これにより、フロー制御部11は、ポリシ管理送信元MACアドレスが“0000.0000.0001”、あて先IPアドレスが“10.11.12.1”、プロトコルが“HTTP”であることをルールとし、“10.11.12.1”が接続されたポートへパケットを転送することをアクションとするフローエントリを、通信経路上のOFS2に設定する。又、フロー制御部11は、OFS2において当該フローエントリが適用されるときの優先度を“10”に設定する。
以降、フローテーブル21が更新されたOFS2は、当該フローテーブルに従いパケット制御を行う。
一方、ステップS102において、認証に失敗した場合、OFC1は、ファーストパケットのヘッダ情報に含まれる少なくとも一部をルールとしパケット破棄をアクションとして規定したフローエントリを、ファーストパケットの通知元のOFS2のフローテーブル21へ設定する(ステップS105)。ここでは、送信元MACアドレスを含むルールが規定され、パケット破棄をアクションとするフローエントリが設定されることが好適である。これにより、OFC1によって認証されないパケットの送信元ホスト(すなわち認証されないホスト端末)の通信が、ネットワークの入口のOFS2において遮断されることとなる。尚、パケット破棄を規定するフローエントリのルールとして、送信元MACアドレスに加えて宛先アドレスや宛先ポート番号が規定されてもよい。これにより、認証されないホスト端末のアクセス先毎に、アクセスを制限することが可能となる。
以上のように本発明によるOFC1は、ホスト端末3からの認証情報140を、ファーストパケットの通知により受け取って認証するとともに、送信元が当該ホスト端末であることをルールとし、ポリシに応じたアクションを規定したフローエントリを設定する。このため、本発明によるシステムでは、ポリシを適用するホスト端末3に予め認証情報140を付与することで、端末毎のポリシ制御が可能となる。すなわち、本発明では、ポリシ適用のためのコンフィグ(ポリシ情報)をホスト端末毎に用意する必要はない。例えば、数万台規模のPCが接続されるネットワークでは、柔軟なポリシ制御を設計するために数万台分のコンフィグが必要であるが、本発明ではPC毎のコンフィグは必要ないため容易に設計運用することができる。
又、本発明では、ホスト端末3からネットワークに対する最初の接続において認証情報を用いた認証が行われる。このため、IPアドレスやMACアドレスの詐称による不正アクセスを、アクセスの最初の段階で遮断することができるため、オープンフローシステムの安全性を向上することができる。
更に、本発明によるコンピュータシステムで利用されるOFSは、従来のオープンフロープロトコル(例えばOpenFlow Switch Specification version1.0によって規定されるプロトコル)に従っていればよく、OFCやホスト端末の機能のみを上述の実施の形態のように変更することで、ネットワークポリシ制御や不正アクセスの防止を実現できる。すなわち、本発明によれば、既存のオープンフローシステムにおいて、OFC及びホスト端末の機能のみを変更することで、上述したネットワークポリシ制御や不正アクセスの防止を実現できる。このため、低コスト且つ容易に既存のシステムにネットワークポリシ制御等の機能を追加することが可能となる。
以上、本発明の実施の形態を詳述してきたが、具体的な構成は上記実施の形態に限られるものではなく、本発明の要旨を逸脱しない範囲の変更があっても本発明に含まれる。上述では、認証処理後に設定されるフローエントリのルールとして送信元MACアドレスを含む一例について説明したが、送信元ホスト端末を特定できればこれに限らない。例えば、送信元のIPアドレスや、送信元のホスト端末が接続するポート番号がルールとして規定されても良い。
尚、本出願は、日本出願番号2011−91105に基づき、日本出願番号2011−91105における開示内容は引用により本出願に組み込まれる。
Claims (8)
- コントローラと、
前記コントローラによって設定されたフローエントリに適合する受信パケットに対し、前記フローエントリで規定された中継動作を行うスイッチと
を具備し、
前記スイッチは、自身に設定されたフローエントリに適合しない受信パケットを、前記コントローラに送信し、
前記コントローラは、中継動作ポリシを規定したポリシ情報が記録された記憶装置を備え、前記受信パケットに含まれる認証情報を参照して前記受信パケットを認証し、正当と判断した前記受信パケットのヘッダ情報のうち、前記受信パケットの送信元を特定する情報を含むパケットに対する中継動作を規定したフローエントリを、前記スイッチに設定し、
認証情報は、前記ポリシ情報を識別するポリシIDと、認証に利用される第1認証IDを含み、
前記ポリシ情報を識別するポリシIDと、第2認証IDとが対応付けられて前記記憶装置に記録され、
前記コントローラは、前記認証情報に含まれるポリシIDに対応する前記第2認証IDと、前記第1認証IDとが一致する受信パケットを正当な受信パケットと判断し、前記正当と判断した受信パケットに含まれる認証情報に対応するポリシ情報に従ったフローエントリを、前記スイッチに設定する
コンピュータシステム。 - 請求項1に記載のコンピュータシステムにおいて、
前記コントローラは、前記認証情報を参照して前記受信パケットを認証し、不正と判断した前記受信パケットのヘッダ情報のうち、前記受信パケットの送信元を特定する情報を含むパケットを破棄することを規定したフローエントリを、前記スイッチに設定する
コンピュータシステム。 - 請求項1又は2に記載のコンピュータシステムにおいて、
前記ポリシ情報は、前記ポリシ情報を識別するポリシIDに対応付けられた複数のポリシを含み、
前記コントローラは、前記認証情報に含まれるポリシIDに対応する複数のポリシの中で、前記正当と判断した受信パケットのヘッダ情報に適合するポリシを前記記憶装置から抽出し、抽出されたポリシに従ったフローエントリを前記スイッチに設定する
コンピュータシステム。 - 請求項1から3のいずれか1項に記載のコンピュータシステムにおいて前記コントローラとして利用されるサーバ。
- スイッチに設定されたフローエントリに適合しない受信パケットを前記スイッチからコントローラが受信するステップと、
前記コントローラが、中継動作ポリシを規定したポリシ情報を保持するステップと、
前記コントローラが、前記受信パケットに含まれる認証情報を参照して前記受信パケットを認証するステップと、
前記コントローラが、前記認証するステップにおいて正当と判断した前記受信パケットのヘッダ情報のうち、前記受信パケットの送信元を特定する情報を含むパケットに対する中継動作を規定したフローエントリを、前記スイッチに設定するステップと
を具備し、
認証情報は、前記ポリシ情報を識別するポリシIDと、認証に利用される第1認証IDを含み、
前記ポリシ情報を識別するポリシIDと、第2認証IDとが対応付けられて前記コントローラに保持され、
前記認証するステップにおいて、前記コントローラは、前記認証情報に含まれるポリシIDに対応する前記第2認証IDと、前記第1認証IDとが一致する受信パケットを正当な受信パケットと判断し、
前記中継動作を規定したフローエントリを設定するステップは、前記コントローラが、前記正当と判断された受信パケットに含まれる認証情報に対応するポリシ情報に従ったフローエントリを前記スイッチに設定するステップを備える
ポリシ制御方法。 - 請求項5に記載のポリシ制御方法において、
コントローラが、前記認証するステップにおいて不正と判断した前記受信パケットのヘッダ情報のうち、前記受信パケットの送信元を特定する情報を含むパケットを破棄することを規定したフローエントリを、前記スイッチに設定するステップを更に具備する
ポリシ制御方法。 - 請求項5又は6に記載のポリシ制御方法において、
前記ポリシ情報は、前記ポリシ情報を識別するポリシIDに対応付けられた複数のポリシを含み、
前記中継動作を規定したフローエントリを設定するステップは、
前記コントローラが、前記認証情報に含まれるポリシIDに対応する複数のポリシの中で、前記正当と判断した受信パケットのヘッダ情報に適合するポリシを前記記憶装置から抽出するステップと、
前記コントローラが、前記抽出されたポリシに従ったフローエントリを前記スイッチに設定するステップと
を備える
ポリシ制御方法。 - 請求項5から7のいずれか1項に記載のポリシ制御方法を前記コントローラに実行させるポリシ制御プログラムが記録された記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013509875A JP5660202B2 (ja) | 2011-04-15 | 2012-04-06 | コンピュータシステム、コントローラ、及びネットワークアクセスポリシ制御方法 |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011091105 | 2011-04-15 | ||
| JP2011091105 | 2011-04-15 | ||
| JP2013509875A JP5660202B2 (ja) | 2011-04-15 | 2012-04-06 | コンピュータシステム、コントローラ、及びネットワークアクセスポリシ制御方法 |
| PCT/JP2012/059471 WO2012141086A1 (ja) | 2011-04-15 | 2012-04-06 | コンピュータシステム、コントローラ、及びネットワークアクセスポリシ制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2012141086A1 JPWO2012141086A1 (ja) | 2014-07-28 |
| JP5660202B2 true JP5660202B2 (ja) | 2015-01-28 |
Family
ID=47009261
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013509875A Expired - Fee Related JP5660202B2 (ja) | 2011-04-15 | 2012-04-06 | コンピュータシステム、コントローラ、及びネットワークアクセスポリシ制御方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9065815B2 (ja) |
| EP (1) | EP2698952A4 (ja) |
| JP (1) | JP5660202B2 (ja) |
| CN (1) | CN103621028B (ja) |
| WO (1) | WO2012141086A1 (ja) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9548933B2 (en) * | 2012-03-05 | 2017-01-17 | Nec Corporation | Network system, switch, and methods of network configuration |
| US9571523B2 (en) | 2012-05-22 | 2017-02-14 | Sri International | Security actuator for a dynamically programmable computer network |
| US9705918B2 (en) * | 2012-05-22 | 2017-07-11 | Sri International | Security mediation for dynamically programmable network |
| US9282118B2 (en) | 2012-11-13 | 2016-03-08 | Intel Corporation | Policy enforcement in computing environment |
| JP6148458B2 (ja) * | 2012-11-30 | 2017-06-14 | 株式会社東芝 | 認証装置およびその方法、ならびにコンピュータプログラム |
| US9794288B1 (en) * | 2012-12-19 | 2017-10-17 | EMC IP Holding Company LLC | Managing policy |
| US9935841B2 (en) | 2013-01-28 | 2018-04-03 | Intel Corporation | Traffic forwarding for processing in network environment |
| US9384025B2 (en) * | 2013-01-28 | 2016-07-05 | Intel Corporation | Traffic and/or workload processing |
| US9461967B2 (en) * | 2013-07-18 | 2016-10-04 | Palo Alto Networks, Inc. | Packet classification for network routing |
| WO2015025848A1 (ja) * | 2013-08-21 | 2015-02-26 | 日本電気株式会社 | 通信システム、制御指示装置、通信制御方法及びプログラム |
| US20150063110A1 (en) * | 2013-09-04 | 2015-03-05 | Electronics And Telecommunications Research Institute | Programmable sensor networking apparatus and sensor networking service method using the same |
| WO2015041706A1 (en) * | 2013-09-23 | 2015-03-26 | Mcafee, Inc. | Providing a fast path between two entities |
| CN108667853B (zh) | 2013-11-22 | 2021-06-01 | 华为技术有限公司 | 恶意攻击的检测方法和装置 |
| JP6076937B2 (ja) * | 2014-03-28 | 2017-02-08 | 株式会社日立製作所 | パケット伝送システムおよびネットワークコントローラ |
| WO2015174968A1 (en) * | 2014-05-13 | 2015-11-19 | Hewlett-Packard Development Company, L.P. | Network access control at controller |
| US10666689B2 (en) | 2014-06-30 | 2020-05-26 | Alcatel Lucent | Security in software defined network |
| CN106506439A (zh) * | 2015-11-30 | 2017-03-15 | 杭州华三通信技术有限公司 | 一种认证终端接入网络的方法和装置 |
| JP7083275B2 (ja) * | 2018-05-18 | 2022-06-10 | アライドテレシスホールディングス株式会社 | 情報処理システム |
| JP6832990B2 (ja) * | 2019-07-24 | 2021-02-24 | アルカテル・ルーセント | ソフトウェア定義ネットワークにおけるセキュリティ |
| CN115190105B (zh) * | 2021-04-06 | 2024-03-29 | 维沃移动通信有限公司 | 信息处理方法、装置和通信设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011030490A1 (ja) * | 2009-09-10 | 2011-03-17 | 日本電気株式会社 | 中継制御装置、中継制御システム、中継制御方法及び中継制御プログラム |
| WO2011037105A1 (ja) * | 2009-09-25 | 2011-03-31 | 日本電気株式会社 | コンテンツベーススイッチシステム、及びコンテンツベーススイッチ方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6141755A (en) * | 1998-04-13 | 2000-10-31 | The United States Of America As Represented By The Director Of The National Security Agency | Firewall security apparatus for high-speed circuit switched networks |
| JP2005004549A (ja) | 2003-06-12 | 2005-01-06 | Fuji Electric Holdings Co Ltd | ポリシーサーバ、そのポリシー設定方法、アクセス制御方法、プログラム |
| US8238241B2 (en) * | 2003-07-29 | 2012-08-07 | Citrix Systems, Inc. | Automatic detection and window virtualization for flow control |
| US7836488B2 (en) * | 2005-08-18 | 2010-11-16 | Hong Kong Applied Science And Technology Research Institute Co. Ltd. | Authentic device admission scheme for a secure communication network, especially a secure IP telephony network |
| US8266696B2 (en) * | 2005-11-14 | 2012-09-11 | Cisco Technology, Inc. | Techniques for network protection based on subscriber-aware application proxies |
| US20080189769A1 (en) * | 2007-02-01 | 2008-08-07 | Martin Casado | Secure network switching infrastructure |
| US8325733B2 (en) * | 2009-09-09 | 2012-12-04 | Exafer Ltd | Method and system for layer 2 manipulator and forwarder |
| JP5465508B2 (ja) | 2009-10-20 | 2014-04-09 | 新光電気工業株式会社 | 半導体レーザ用パッケージ、半導体レーザ装置及び製造方法 |
| US8675601B2 (en) * | 2010-05-17 | 2014-03-18 | Cisco Technology, Inc. | Guest access support for wired and wireless clients in distributed wireless controller system |
-
2012
- 2012-04-06 US US14/110,917 patent/US9065815B2/en not_active Expired - Fee Related
- 2012-04-06 CN CN201280018455.5A patent/CN103621028B/zh not_active Expired - Fee Related
- 2012-04-06 WO PCT/JP2012/059471 patent/WO2012141086A1/ja active Application Filing
- 2012-04-06 JP JP2013509875A patent/JP5660202B2/ja not_active Expired - Fee Related
- 2012-04-06 EP EP12770700.8A patent/EP2698952A4/en not_active Withdrawn
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011030490A1 (ja) * | 2009-09-10 | 2011-03-17 | 日本電気株式会社 | 中継制御装置、中継制御システム、中継制御方法及び中継制御プログラム |
| WO2011037105A1 (ja) * | 2009-09-25 | 2011-03-31 | 日本電気株式会社 | コンテンツベーススイッチシステム、及びコンテンツベーススイッチ方法 |
Non-Patent Citations (1)
| Title |
|---|
| JPN7014002480; Martin Casado et al: 'Ethane: taking control of the enterprise' SIGCOMM Computer Communication Review Volume 37,Issue 4, 200710, p.1-12, ACM * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20140033275A1 (en) | 2014-01-30 |
| JPWO2012141086A1 (ja) | 2014-07-28 |
| EP2698952A4 (en) | 2014-12-03 |
| US9065815B2 (en) | 2015-06-23 |
| CN103621028A (zh) | 2014-03-05 |
| WO2012141086A1 (ja) | 2012-10-18 |
| CN103621028B (zh) | 2016-05-11 |
| EP2698952A1 (en) | 2014-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5660202B2 (ja) | コンピュータシステム、コントローラ、及びネットワークアクセスポリシ制御方法 | |
| JP5532458B2 (ja) | コンピュータシステム、コントローラ、及びネットワーク監視方法 | |
| JP5062967B2 (ja) | ネットワークアクセス制御方法、およびシステム | |
| JP5862577B2 (ja) | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム | |
| JP5811179B2 (ja) | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム | |
| JP5880560B2 (ja) | 通信システム、転送ノード、受信パケット処理方法およびプログラム | |
| US8713087B2 (en) | Communication system, authentication device, control server, communication method, and program | |
| US9215237B2 (en) | Communication system, control device, communication method, and program | |
| US10044830B2 (en) | Information system, control apparatus, method of providing virtual network, and program | |
| US9516061B2 (en) | Smart virtual private network | |
| JP5143199B2 (ja) | ネットワーク中継装置 | |
| WO2013042634A1 (ja) | 通信システム、ポリシー管理装置、通信方法およびプログラム | |
| US20120054359A1 (en) | Network Relay Device and Frame Relaying Control Method | |
| US20130275620A1 (en) | Communication system, control apparatus, communication method, and program | |
| JP2008066907A (ja) | パケット通信装置 | |
| JP6440191B2 (ja) | スイッチ装置、vlan設定管理方法及びプログラム | |
| WO2014034119A1 (en) | Access control system, access control method, and program | |
| JP2017208718A (ja) | 通信装置および通信方法 | |
| WO2014119602A1 (ja) | 制御装置、スイッチ、通信システム、スイッチの制御方法及びプログラム | |
| JP6213028B2 (ja) | 通信システム、通信方法、通信プログラムおよび通信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140819 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141010 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141104 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141117 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5660202 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |