JP5939298B2 - 通信端末、通信方法および通信システム - Google Patents

通信端末、通信方法および通信システム Download PDF

Info

Publication number
JP5939298B2
JP5939298B2 JP2014512204A JP2014512204A JP5939298B2 JP 5939298 B2 JP5939298 B2 JP 5939298B2 JP 2014512204 A JP2014512204 A JP 2014512204A JP 2014512204 A JP2014512204 A JP 2014512204A JP 5939298 B2 JP5939298 B2 JP 5939298B2
Authority
JP
Japan
Prior art keywords
communication terminal
processing
packet
communication
processing rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014512204A
Other languages
English (en)
Other versions
JP2014526811A (ja
Inventor
健太郎 園田
健太郎 園田
康博 水越
康博 水越
英之 下西
英之 下西
洋一 波多野
洋一 波多野
中江 政行
政行 中江
山形 昌也
昌也 山形
陽一郎 森田
陽一郎 森田
貴之 佐々木
貴之 佐々木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2014512204A priority Critical patent/JP5939298B2/ja
Publication of JP2014526811A publication Critical patent/JP2014526811A/ja
Application granted granted Critical
Publication of JP5939298B2 publication Critical patent/JP5939298B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/34Signalling channels for network management communication
    • H04L41/342Signalling channels for network management communication between virtual entities, e.g. orchestrators, SDN or NFV entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/20Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/04Registration at HLR or HSS [Home Subscriber Server]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

(関連出願についての記載)
本発明は、日本国特許出願:特願2011−203276号(2011年9月16日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は、制御装置がネットワーク上のパケット処理を集中制御する通信技術に関する。
サーバやモバイル端末等の通信端末は、様々なパケット処理を実行する。通信端末が実行するパケット処理の負荷を軽減するための様々な技術が提案されている。例えば、特許文献1に開示されているように、通信端末は、パケットフィルタリング処理を、ソフトウェアによる処理とハードウェアによる処理とに分割することにより、自身が実行するパケットフィルタリング処理の負荷を軽減している。特許文献1の通信端末は、このようにパケットフィルタリング処理を分割することにより、パケットフィルタリング処理の負荷を軽減している。
特開2008−294895号
Nick McKeownほか7名、"OpenFlow: Enabling Innovation in Campus Networks"、[online]、[平成23(2011)年9月8日検索]、インターネット〈URL: http://www.openflow.org/documents/openflow-wp-latest.pdf〉 "OpenFlow Switch Specification" Version 1.1.0 Implemented (Wire Protocol 0x02)、[online]、[平成23(2011)年9月8日検索]、インターネット〈URL:http://www.openflow.org/documents/openflow-spec-v1.1.0.pdf〉
以下の分析は、本発明によって与えられたものである。特許文献1に開示されている技術により、通信端末自体で実行されるパケットフィルタリング処理に要する負荷を軽減することはできる。
しかしながら、特許文献1の方法では、通信端末におけるパケットフィルタリング処理の負荷は軽減されるが、通信端末におけるパケットフィルタリング処理自体を避けることはできない。よって、特許文献1に開示される技術では、通信端末で実行されるパケット処理の負荷軽減としては十分ではなく、改善の余地がある。
同様の問題は、パケットフィルタリング処理だけではなく、アドレス付け替え、ヘッダの書き換えやパケット解析等の各種のパケット処理を行う通信端末においても起こりうる。
本発明は、上記した事情に鑑みてなされたものであって、その目的とするところは、通信端末におけるパケット処理の負荷をより大きく削減できる通信端末、通信方法および通信システムを提供することにある。
本発明の第1の視点によれば、パケットを転送する転送装置と、該転送装置に対して、パケットの処理方法を規定した処理規則を通知する制御装置とを含むネットワークと通信する第一の手段と、前記通信端末で実行すべきパケット処理のうち、前記ネットワークに実行させる処理を決定する第二の手段と、前記転送装置に対し、前記決定した処理に対応する処理規則を通知する第三の手段とを備える通信端末が提供される。
本発明の第2の視点によれば、パケットを転送する転送装置と、該転送装置に対して、パケットの処理方法を規定した処理規則を通知する制御装置とを含むネットワークと通信する通信端末による通信方法であって、前記通信端末で実行すべきパケット処理のうち、前記ネットワークに実行させる処理を決定し、前記転送装置に対し、前記決定した処理に対応する処理規則を通知する通信方法が提供される。本方法は、上記したネットワークに接続された通信端末という、特定の機械に結びつけられている。
本発明の第3の視点によれば、パケットを転送する転送装置と、前記転送装置に対して、パケットの処理方法を規定した処理規則を通知する制御装置と、前記ネットワークと通信するための第一の手段と、前記通信端末で実行すべきパケット処理のうち、前記ネットワークに実行させる処理を決定する第二の手段と、前記転送装置に対し、前記決定した処理に対応する処理規則を通知する第三の手段とを備える通信端末と、を含むことを特徴とする通信システムが提供される。
本発明によれば、通信端末で実行されるべきパケット処理を、ネットワーク側に代行させ、通信端末側のパケット処理による負荷を大幅に削減できる。
本発明の一実施形態のシステム構成の例を示す図である。 本発明の第1の実施形態のシステム構成の例を示す図である。 処理規則の例を示す図である。 アクセスログの例を示す図である。 アクセス制限の判定に用いる判定基準表の例を示す図である。 制御装置400の構成例を示す図である。 第1の実施形態の動作例を示す図である。 第1の実施形態の動作例を示す図である。 本発明の第2の実施形態のシステム構成の例を示す図である。 本発明の第3の実施形態のシステム構成の例を示す図である。 関連技術を説明するための図である。
はじめに本発明の一実施形態の概要を説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。
本発明の通信端末(図1の符号1)は、制御装置(図1の符号400)がスイッチやルータ等の転送装置(図1の転送ノード200〜220)によるパケット転送を集中制御するアーキテクチャを有するネットワーク(図1の符号2)に接続可能となっている。そして、本発明の通信端末(図1の符号1)は、ネットワーク(図1の符号2)に、通信端末(図1の符号1)で実行されるべきパケット処理を代理で実行させる。よって、本発明により、通信端末(図1の符号1)上で実行されるパケット処理の負荷が、大幅に削減される。
集中制御型のアーキテクチャの一例として、オープンフロー(OpenFlow)という技術がある(非特許文献1、2参照)。オープンフローは、通信をエンドツーエンドのフローとして捉え、フロー単位で経路制御、障害回復等を行うものである。非特許文献2に仕様化されているオープンフロースイッチは、制御装置であるオープンフローコントローラとの通信用のセキュアチャネルを備え、オープンフローコントローラから追加または書き換え指示されるフローテーブルに従って動作する。フローテーブルには、フロー毎に、パケットヘッダと照合する条件が定められたマッチフィールド(Match Fields;照合規則)と、フロー統計情報(Counters)と、処理内容を定義したインストラクション(Instructions;指示)と、の組が定義される(図11参照)。
例えば、オープンフロースイッチは、パケットを受信すると、フローテーブルから、受信パケットのヘッダ情報に適合するマッチフィールドを持つエントリを検索する。検索の結果、受信パケットに適合するエントリが見つかった場合、オープンフロースイッチは、フロー統計情報(カウンタ)を更新するとともに、受信パケットに対して、該エントリのインストラクションフィールドに記述された処理内容(指定ポートからのパケット送信、フラッディング、廃棄等)を実施する。一方、前記検索の結果、受信パケットに適合するエントリが見つからなかった場合、オープンフロースイッチは、セキュアチャネルを介して、オープンフローコントローラに対して受信パケットを転送する。オープンフローコントローラは、受信パケットの送信元・送信先等の情報に基づいたパケットの経路の決定し、決定した経路に対応するフローエントリをオープンフロースイッチに設定する。このように、オープンフロースイッチは、フローテーブルに格納されたエントリを処理規則として用いてパケット転送を行っている。
なお、集中制御型のアーキテクチャとしては上記オープンフローに限定されない。本発明は、集中管理型のネットワークアーキテクチャであれば実施可能である。
図1を参照し、本発明のシステム構成例を説明する。図1は例示であり、本発明のシステム構成は、図1の記載に限定されない。
ネットワーク2は、制御装置400に集中制御される転送ノード200〜220で構成される。なお、ネットワーク2は、制御装置400により制御されないノードを含んでいてもよい。
制御装置400は、転送ノード200〜220の少なくとも1つに対して、パケットの処理方法を規定した処理規則を設定する。制御装置400は、転送ノードに対して処理規則を設定することで、転送ノードによるパケットの転送処理等を集中管理する。
通信端末1は、上記した第一の手段に相当する通信機能を備え、制御装置400による集中制御される転送ノードで構成されるネットワーク2と通信を行う。通信端末1がネットワーク2と通信する方式は、有線、無線を問わずどのような方式であってもよい。即ち、通信端末1は、サーバ、パーソナルコンピュータ、モバイル端末、ルータ、モバイルルータ等の様々なネットワークアプライアンスの形態を採ることができる。
決定部10は、上記した第二の手段に相当し、通信端末1で実行すべきパケット処理のうち、ネットワーク2に実行させる処理を決定する。例えば、決定部10は、特定の送信元から通信端末1宛てに送信されたパケットを廃棄する処理を、ネットワーク2に実行させる処理として決定する。
通知部11は、上記した第三の手段に相当し、決定部10が決定した処理に関連する処理規則を、転送ノード200〜220の少なくとも1つに通知する。通知部11は、例えば、ある識別条件に合致するパケットを廃棄するという処理が決定されている場合、転送ノード200〜220の少なくとも1つに、廃棄するパケットの識別条件と、その識別条件に合致するパケットを廃棄する指示とを含む処理規則を、通知する。
また、例えば、決定部10は、通信端末1が送受信するパケットの通信量に基づいてトラフィックを制御する処理(例えば、通信量が所定の閾値を超過した場合にパケットを廃棄する処理)を、ネットワーク2に実行させる処理と決定する。この場合、通知部11は、通信端末1の識別情報(端末のアドレス等)、通信量に関する条件(閾値等)及びトラフィック制御方法(パケットの廃棄等)に基づいて、以下のような処理規則を生成する。第1に、通知部11は、例えば、転送ノード200〜220の少なくとも1つに対して、通信端末1が送受信するパケットの識別条件を特定した照合規則と、その照合規則に合致するパケットの通信量をモニタすることを規定した処理規則を通知する。第2に、通知部11は、転送ノード200〜220の少なくとも1つに対して、モニタした通信量に応じた処理を規定した処理規則を通知する。これら処理規則が設定された転送ノード200〜220の少なくとも1つは、前記処理規則に従って、通信量が所定の閾値を超過した場合に、パケットを廃棄する処理や、パケットの通信経路を狭帯域の経路に変更する、等の処理を実行する。
決定部10が決定する例として記載した上記の処理は例示であり、決定部10が決定する処理は上記に限らない。
決定部10は、上記の処理を、所定のポリシ(通信端末1の負荷、通信端末1の通信量、通信端末1を使用している時間帯、所定の条件に合致するパケット等)に基づいて決定してもよい。例えば、決定部10は、通信端末1の負荷に応じて、特定の送信元から通信端末1宛てに送信されたパケットを廃棄する処理を、ネットワーク2に実行させる処理として決定する。
通知部11は、転送ノード200〜220の少なくとも1つに通知する処理規則に有効期限を設定し、有効期限が経過後は処理規則が無効になるようにしてもよい。
以上説明したように、本発明の通信端末1は、通信端末1で実行されるべきパケット処理をネットワーク上で代替実行させる。よって、本発明により、通信端末1上で実行されるパケット処理の負荷が、大幅に削減される。
また、通信端末1が、制御装置400に代わって処理規則を生成し、生成した処理規則を転送ノードに通知するので、制御装置400の負荷も削減される。
[第1の実施形態]
本発明の第1の実施形態について、図2を用いて説明する。本発明の第1の実施形態では、通信端末1が、アクセス元装置100からのアクセス状況に応じて、ネットワーク2にアクセス制御処理を実行させる。
図2を参照すると、アクセス元装置100から通信端末1に送信されるパケットの転送処理を行う複数の転送ノード200、210、220と、これらの転送ノードに処理規則を設定する制御装置400を含む構成が示されている。なお、図2のシステム構成は例示であり、本発明の構成は図2に記載されたものに限定されない。
転送ノード200、210、220は、例えば、受信パケットと照合する照合規則と前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する。
図3に処理規則の例を示す。転送ノード200、210、220は、例えば、受信したパケットが照合規則に規定された条件(例えば、送信元アドレスがAで、宛先アドレスがa)に合致するパケットか否かを、処理規則が格納されたテーブルを参照して判定する。転送ノード200、210、220は、照合規則に合致する処理規則が見つかった場合、その照合規則に対応する処理内容に従ってパケットを処理する。
転送ノード200、210、220としては、図11に示すフローエントリを処理規則として動作する非特許文献2のオープンフロースイッチを用いてもよい。
図2の例では、通信端末1は転送ノード220に接続し、アクセス元装置100は、転送ノード200、210、220を介して、通信端末1と通信する。
通信端末1は、アクセス元装置100のアクセス先である。例えば、通信端末1は、Webサーバやデータベース、移動体通信端末、PC、およびPC内部で稼働するVM(Virtual Machine)等、あらゆる通信機器が該当する。
通信端末1の決定部10は、通信端末1に対するアクセス数やパケット量等のログ情報等を用いて、多量の送信履歴があるアクセス元装置100を特定する。決定部10は、特定されたアクセス元装置100のIPアドレス、およびMACアドレス、マシン名等、アクセス元装置100を一意に特定するためのアクセス元情報を特定する。
通知部11は、特定されたアクセス元情報に基づいて、転送ノードに通知する処理規則を生成する。
図4と図5とを用いて、決定部10の動作例を示す。図4は、通信装置1に対するアクセスログの一例を示す。図5は、決定部10がネットワーク2に実行させる処理を決定するための判定基準の例を示す。
図4を参照すると、通信端末1に対するアクセスの履歴を時系列に記録したアクセスログ500が示されている。例えば、アクセスログ500の01行目の「99.99.99.99」は、通信端末1にアクセスする装置のIPアドレスである。また、01行目の「[15/Jun/2011:10:40:31 +0900]は、通信端末1がIPアドレス(99.99.99.99)の装置からアクセスされた時刻である。01行目の“GET /index.html”は、アクセス元の装置がアクセスした通信端末1内のHTMLページのURLを表す。図4のアクセスログ500の記載フォーマットは一例であり、他のどのようなフォーマットであってもよい。例えば、アクセス元のIPアドレスに加えて、アクセス元のMACアドレスやマシン名等が一緒に記載されていてもよい。
図5は、決定部10が、図4のアクセスログ500を用いて、ネットワーク2に実行させる処理を決定するための判定基準の例を示す。図5の判定基準表600は、決定部10がアクセスを拒否するアクセス元を判定するために用いる基準値を予め登録した表である。例えば、判定基準表600の1行目は、「アクセス元は任意、アクセス先が“/index.html”、アクセス数は5回、時間範囲はなし」という条件である。決定部10は、この条件にヒットするアクセス元装置が存在するか否かを図4のアクセスログ500を参照して調べる。なお、判定基準表600の“−”は、条件となる特定の値を設定しない(つまり、条件には用いない)という意味である。なお、通信端末1のユーザが判定基準表600の値を自由に追加・修正・削除できるようにしてもよい。
図4のアクセスログ500によると、IPアドレス“99.99.99.99”を有するアクセス元装置から“/index.html”に対するアクセスが繰り返し行われている。この場合、決定部10は、アクセスログ500を01行目から順に調査し、アクセスログ500の06行目において、図5の判定基準表の1行目の条件に合致すると判定する。決定部10は、通信端末1へのアクセスを拒否するために、アクセス元のIPアドレス「99.99.99.99」を通知部11へ送信する。
決定部10は、上記のような判定基準表600を用いる代わりに、サーバ管理者等のユーザがアクセスログを監視して特定したアクセス元のIPアドレス等の情報を、制御装置400に送信してもよい。
通信端末1がWebサーバ等のコンピュータである場合、アクセスログ500に代わり、パケットフィルタリングを実現するためのソフトウェアであるIPTables(Linux(登録商標)のソフトウェア)の情報を用いてもよい。通信端末1がファイアウォールである場合、ファイアウォールが持つアクセスログ情報を用いてもよいし、その他、アクセス元を特定するためのどのような情報を用いてもよい。
通知部11は、決定部10からアクセスを拒否するIPアドレス等の情報を受信すると、受信したIPアドレスのアクセス元と通信端末1との間のパケットの転送を拒否する処理規則を作成し、転送ノード200、210、220の少なくとも一つに設定する。
前記作成した処理規則は、転送ノード200、210、220の中から適宜選択された1つ以上の転送ノードに設定される。例えば、通知部11は、通信端末1に最も近い転送ノード(図2では、転送ノード220)に処理規則を設定してもよい。また、各転送ノードの位置関係を把握できている場合、通知部11は、アクセス元装置100に最も近い転送ノード(図2では、転送ノード210)に処理規則を設定してもよい。
通知部11は、処理規則に有効期限を付与して、転送ノードに送信してもよい。処理規則は、有効期限経過後、無効となる。また、通知部11は、所定の期間経過後、転送ノードに対して、設定した処理規則の削除を指示してもよい。転送ノードに設定された処理規則が無効化若しくは削除されることにより、アクセス元装置100の通信端末1に対するアクセス制限が解除される。
図6は、本発明の第1の実施形態の制御装置400の構成例を示す図である。図6を参照すると、制御装置400は、転送ノード200、210、220との通信を行うノード通信部401と、制御メッセージ処理部402と、処理規則管理部403と、処理規則記憶部404と、転送ノード管理部405と、経路・アクション計算部406と、トポロジ管理部407と、端末位置管理部408を含む。
制御メッセージ処理部402は、転送ノードから受信した制御メッセージを解析して、制御装置400内の該当する処理手段に制御メッセージ情報を引き渡す。
処理規則管理部403は、どの転送ノードにどのような処理規則が設定されているかを管理する。経路・アクション計算部406にて作成された処理規則を処理規則記憶部404に登録し、転送ノードに設定すると共に、転送ノードからの処理規則削除通知などにより、転送ノードにて設定された処理規則に変更が生じた場合にも対応して処理規則記憶部404の登録情報をアップデートする。
転送ノード管理部405は、制御装置400によって制御されている転送ノードの能力(例えば、ポートの数や種類、サポートするアクションの種類など)を管理する。
経路・アクション計算部406は、転送ノードから処理規則の設定要求を受けると、処理規則の設定要求に含まれるパケット情報に基づいて、該パケットの転送経路および該転送経路に対応する処理規則を作成する。
経路・アクション計算部406は、端末位置管理部408にて管理されている通信端末の位置情報とトポロジ管理部407にて構築されたネットワークトポロジ情報に基づいて、パケットの転送経路を計算する。経路・アクション計算部406は、転送ノード管理部405から、前記転送経路上の転送ノードのポート情報等を取得して、前記計算した転送経路を実現するために経路上の転送ノードに実行させる処理内容と、該処理内容を適用するフローを特定するための照合規則を決定する。
トポロジ管理部407は、ノード通信部401を介して収集された転送ノード200、210、220の接続関係に基づいてネットワークトポロジ情報を構築する。
端末位置管理部408は、通信システムに接続している通信端末1やアクセス元装置100の位置を特定するための情報を管理する。本実施形態では、通信端末1やアクセス元装置100を識別する情報としてIPアドレスを、通信端末1やアクセス元装置100の位置を特定するための情報として、通信端末1やアクセス元装置100が接続している転送ノードの転送ノード識別子とそのポートの情報を使用するものとして説明する。通信端末1やアクセス元装置を識別するための情報や、通信端末1やアクセス元装置100の位置を特定するための情報は、上記の情報に限らない。
図6に示した制御装置400の機能は、コンピュータプログラムにより実現することもできる。コンピュータプログラムは非一時的(non-transitory)な媒体としてコンピュータ読み取り可能な記録媒体に記録することができる。
通知部11は、以下に示すような種々の形態に変更することができる。例えば、通知部11は、図6に示した制御装置400と同等の機能を備える処理手段によって構成することもできる。また例えば、通知部11が、制御装置400から転送ノードに通知することを許可された処理規則を、転送ノードに通知することとしてもよい。また例えば、通知部11は、転送ノードに処理規則を通知する際、制御装置400に対し処理規則を通知することの許可を要求し、制御装置400が許可した場合に、転送ノードに処理規則を通知することとしてもよい。制御装置400に対し許可を要求した結果、決定部10が決定した処理規則が許可されなかった場合、通知部11は、決定部10に対し、決定部10が決定した処理が許可されなかったことを通知してもよい。決定した処理が許可されなかった場合、決定部10が改めて別の処理を決定することとしてもよい。
また例えば、通知部11は、制御装置400から予め通知された処理規則の候補から、転送ノードに設定する処理規則を選択し、転送ノードに対し前記選択した処理規則を通知することとしてもよい。なお、制御装置400から予め通知された処理規則の候補の中に、決定部10が決定した処理に対応する処理規則が候補に含まれていない場合、通知部11は、決定部10に対して対応する処理規則が存在しないことを通知してもよい。この場合も、決定部10が、改めて別の処理を決定することとしてもよい。
また例えば、通知部11は、予め制御装置400から権限委譲された範囲内で、決定部10が決定した処理に対応する処理規則を生成してよい。
通信端末1は、通知部11に相当する機能を有するソフトウェアモジュールをダウンロードし、ダウンロードしたモジュールを用いて転送ノードに処理規則を通知してもよい。
続いて、本実施形態の動作について図7及び図8を参照して説明する。図7及び図8は、本発明の第1の実施形態の動作例を示す。
はじめに、図7を参照し、アクセス元装置100から送信されたパケットが通信端末1へ到達する動作を説明する。
アクセス元装置100が通信端末1へパケット送信を行うと(図7のS001)、該パケットは、転送ノード(図2の場合、転送ノード210)に届く。
転送ノードは、アクセス元装置100から受信したパケットの転送先を判定し(図7のS002)、判定した転送先へパケットを転送する(図7のS003)。前記パケットの転送先を判定する際に、転送ノードは、制御装置400から通知された処理規則から、受信パケットに対応する処理規則を検索する。転送ノードは、受信パケットに対応する処理規則が検索された場合、検索された処理規則に従って受信パケットを転送する。図2の場合、転送ノード210はアクセス元装置100から受信したパケットを転送ノード220へ転送し、転送ノード220は、転送ノード210から転送されたパケットを通信端末1に転送する。以上が、アクセス元装置100と通信端末1との間のパケット転送動作である。
次に、通信端末1が、アクセスを拒否するアクセス元装置を特定し、特定したアクセス元装置からのアクセスを制御する処理に対応する処理規則を転送ノードに設定する動作を、図8を用いて説明する。
図8を参照すると、アクセス元装置100が転送ノードへパケットを送信し(図8のS101)、転送ノードは受信したパケットの転送先を判定する(図8のS102)。
アクセス元装置100が送信したパケットは、図7のS001〜S003と同様に、転送ノードにより通信端末1まで転送される(図8のS103)。
通信端末1は、図4に示したアクセスログ500と、図5に示した判定基準表600とを用いて、アクセスを拒否すべきアクセス元装置100を判定する(図8のS104)。アクセスを拒否すべきアクセス元装置100がある場合、通信端末1は、アクセスログ500からアクセス元装置100のIPアドレスを抽出し、抽出したIPアドレスをアクセス元情報として通知部11へ送信する。通知部11は、受信したアクセス元情報に基づいて、転送ノードに設定する処理規則を生成する(図8のS105)。通知部11は、例えば、受信したアクセス元情報に対応するアクセス元装置100から通信端末1に送信されるパケットを破棄する処理規則を生成する。
通知部11は、少なくとも1つの転送ノード(ここでは、図2の転送ノード220とする。)に対し、前記生成した処理規則を送信する(図8のS106)。通知部11は、前記処理規則を転送ノード200または転送ノード210へ設定してもよい。アクセス元装置100から通信端末11までの経路上に複数の転送ノードがある場合、通知部11は、それらの転送ノードのどれに処理規則を設定してもよい。
転送ノード220は、通知部11から処理規則を受信し、受信した処理規則を記憶部の処理規則テーブルに格納する(図8のS107)。
アクセス元装置100が、再度、通信端末1宛てにパケットを送信すると(図8のS108)、転送ノードには、通信端末1により設定された処理規則に従って、アクセス元装置100から送信されたパケットを破棄する(図8のS109)。
なお、転送ノードに設定されている処理規則には、通信端末1のアクセスログを参照して、サーバ管理者等のユーザ自身が設定した処理規則が含まれていてもよい。
例えば、通信端末1がファイアウォールである時、ファイアウォールにおいてパケットを拒否しているアクセスが頻発している場合、拒否されているパケットを送信しているアクセス元のIPアドレスを含むパケットを破棄する処理規則を転送ノードに設定することで、ファイアウォールの処理負荷を低減することができる。
また、例えば、通信端末1がRADIUS等に代表される認証サーバである場合、該認証サーバにおいて常に認証に失敗しているアクセスを破棄する処理規則を作成して転送ノードに設定することで、認証サーバである通信端末1の処理負荷を低減することができる。
また例えば、通信端末1がWebサーバの場合、「Webページの閲覧処理は、1,000ビュー/秒まで認めて、それを超える場合は、Webサーバの負荷を低減するために、Webページの閲覧を拒否する」や、「Webページの更新処理は、10ビュー/秒まで認めて、それを超える場合は、Webサーバの負荷を低減するために、Webページの更新を拒否する」といった判定基準を設け、該判定基準に応じた細かな設定、および該設定に応じた制御装置400での処理規則作成と転送ノードへの設定を行うことで、通信端末1の処理負荷を低減することができる。
[第2の実施形態]
続いて、通信端末に変更を加えた本発明の第2の実施形態を説明する。本発明の第2の実施形態において、通信端末1は、通信量に基づいて、ネットワーク2に所定の処理を実行させる。
図9は、第2の実施形態のシステム構成の例を示す。図9を参照すると、第1の実施形態の通信端末1と比較して通信量測定部12が追加された通信端末1aを含む構成が示されている。図9のシステム構成は例示であり、本発明のシステム構成は図9に記載の構成に限定されない。
通信量測定部12は、通信端末1aとネットワーク2との間の通信量をモニタする。例えば、通信量測定部12は、通信端末1aが送受信するパケット数をモニタする。また、例えば、通信量測定部12は、通信端末1aが送受信したデータ量をモニタする。なお、通信量測定部12が通信量をモニタする方法は、これらの方法に限定されない。
決定部10は、通信量測定部12がモニタした通信量に基づいて、ネットワーク2に実行させる処理を決定する。
例えば、決定部10は、通信量が所定の閾値を超過した場合、ネットワーク2に実行させる処理として、パケットが通信端末1aに対して送信される通信経路を、狭帯域の通信経路に変更する処理を決定する。
通知部11は、決定部10が決定した処理に対応する処理規則を転送ノードに通知する。通知部11は、例えば、決定部10から通知された通信端末1aの識別子(例えば、IPアドレス)と通信帯域に基づいて、転送ノード200〜220の少なくとも1つに設定する処理規則を決定する。例えば、通知部11は、宛先若しくは送信元が通信端末1aであるパケット(通信端末1aの識別子が送信元若しくは宛先に設定されているパケット)が、決定部10から通知された通信帯域の通信経路で転送されるように処理規則を生成し、通信経路に対応する転送ノードに対して生成した処理規則を通知する。
通知部11は、処理規則に有効期限を付与して、転送ノードに送信してもよい。処理規則は、有効期限経過後、無効となる。また、通知部11は、所定の期間経過後、転送ノードに対して、設定した処理規則の削除を指示してもよい。転送ノードに設定された処理規則が無効化若しくは削除されることにより、通信端末1aが送受信するパケットの転送経路の帯域が、狭帯域から通常の帯域に戻る。
また例えば、決定部10は、通信量が所定の閾値を超過した場合、ネットワーク2に実行させる処理として、通信端末1aが送受信するパケットを廃棄する処理を決定してもよい。通知部11は、決定部10が決定した処理に対応する処理規則を生成する。例えば、通知部11は、通信端末1aの識別子(例えば、IPアドレス)に対応するパケットの廃棄する処理内容を規定した処理規則を生成する。
通知部11は、例えば、宛先若しくは送信元が通信端末1aであるパケット(通信端末1aのIPアドレスが宛先若しくは送信元に設定されたパケット)を廃棄することを規定した処理規則を転送ノード200〜220の少なくとも1つに設定する。転送ノードは、宛先若しくは送信元が通信端末1aであるパケットを受信した場合、設定された処理規則に従って、受信パケットを廃棄する。
この場合においても通知部11は、処理規則に有効期限を付与して、転送ノードに送信してもよい。処理規則は、有効期限経過後、無効となる。また、通知部11は、所定の期間経過後、転送ノードに対して、設定した処理規則の削除を指示してもよい。転送ノードに設定された処理規則が無効化若しくは削除されることにより、宛先若しくは送信元が通信端末1であるパケットが廃棄されずに転送される。
そのほか、決定部10は、通信量と共に、時間帯も考慮してネットワーク2に処理を実行させる処理を決定してもよい。例えば、決定部10は、通信量が所定の閾値を超過し、かつ、特定の時間帯である場合に、宛先若しくは送信元が通信端末1であるパケットを廃棄する処理や、宛先若しくは送信元が通信端末1aであるパケットを狭帯域の通信経路に退避する処理をネットワーク2に実行させてもよい。
第2の実施形態により、例えば、通信量に応じた従量制の課金契約に基づいて通信端末1aを使用するユーザは、通信量に応じた課金を容易に管理できる。例えば、ユーザが通信端末1aに通信量の閾値を設定しておけば、通信端末1aは、設定された閾値に基づいて、通信端末1aのトラフィックに関するパケットを廃棄する処理をネットワーク2に実行させることができる。ネットワーク2が通信端末1aに代わって処理を実行するので、通信端末1aは、パケットを廃棄する処理に要する負荷を軽減できる。
また、例えば、基本は通信量に応じた従量制の課金であるが、狭帯域の経路を使用する場合には定額制の課金となる契約に基づいて通信端末1aを使用するユーザは、通信量に応じた課金を容易に管理できる。例えば、ユーザが通信端末1aに通信量の閾値を設定しておけば、通信端末1aは、設定された閾値に基づいて、通信端末1aのトラフィックに関するパケットを狭帯域の通信経路に退避させる処理をネットワーク2に実行させることができる。ネットワーク2が通信端末1aに代わって処理を実行するので、通信端末1aは、パケットを廃棄する処理に要する負荷を軽減できる。
[第3の実施形態]
続いて、通信端末に変更を加えた本発明の第3の実施形態を説明する。本発明の第3の実施形態では、通信端末1は、パケットフィルタリング処理を、ネットワーク2に実行させる。
図10は、第3の実施形態のシステム構成の例を示す。図10を参照すると、第1の実施形態の通信端末1と比較してポリシ生成部13が追加された通信端末1bを含む構成が示されている。図10のシステム構成は例示であり、本発明のシステム構成は図10に記載の構成に限定されない。
ポリシ生成部13は、パケットフィルタリングのためのポリシを生成する。ポリシ生成部13は、例えば、送信元IPアドレス、宛先IPアドレス、ポート番号、プロトコル種別(例えばTPC)等のパケット識別条件について、通信の「許可」や「拒否」というフィルタリングポリシを生成する。例えば、ポリシ生成部13は、送信元IPアドレスが“10.20.30.40”であるパケットの通信を「許可」するポリシや、ポート番号が“1024”であり、かつ、送信元IPアドレスが“11.21.31.41”であるパケットの通信を「拒否」するポリシを生成する。
決定部10は、ポリシ生成部13が生成したポリシのうち、ネットワーク2にパケットフィルタリングを実行させるためのポリシを決定する。なお、決定部10は、ポリシ生成部13が生成したすべてのポリシに基づいて、ネットワーク2にパケットフィルタリング処理を実行させると決定してもよい。
通知部11は、決定部10が決定したポリシに基づいて、転送ノードに設定する処理規則を生成する。例えば、通知部11は、ポート番号が“1024”であり、かつ、送信元IPアドレスが“11.21.31.41”であるパケットをブロックする(例えば、パケットの廃棄)処理規則を生成する。通知部11は、任意の転送ノードに対し、前記生成した処理規則を通知する。例えば、通知部11は、通信端末1が接続する転送ノードに処理規則を設定する。また、例えば、通知部11は、複数のポリシの各々に対応する処理規則を複数の転送ノードに分散して設定してもよい。
またこのとき、通知部11は、決定部10が決定したポリシのうち、パケットを「拒否」するポリシに対応する処理規則のみを転送ノードに設定してもよい。
転送ノードは、設定された処理規則に従って、パケットフィルタリング処理を実行する。
以上のように、本発明の第3の実施形態では、通信端末1は、通信端末1で実行すべきパケットフィルタリング処理を、ネットワーク2に代理で実行させることができる。よって、通信端末1は、ポリシに基づいてパケットをフィルタする処理に要する負荷をオフロードすることができる。
以上、本発明の各実施形態を説明したが、本発明は、上記した各実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。また、各実施形態を適宜組み合わせて実施してもよい。
なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素(各請求項の各要素、各実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得る各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。
1、1a、1b 通信端末
2 ネットワーク
10 決定部
11 通知部
12 通信量測定部
13 ポリシ生成部
100 アクセス元装置
200、210、220 転送ノード
400 制御装置
401 ノード通信部
402 制御メッセージ処理部
403 処理規則管理部
404 処理規則記憶部
405 転送ノード管理部
406 経路・アクション計算部
407 トポロジ管理部
408 端末位置管理部
500 アクセスログ
600 判定基準表

Claims (27)

  1. パケットを転送する転送装置と、該転送装置に対して、パケットの処理方法を規定した処理規則を通知する制御装置とを含むネットワークと通信する第一の手段と、
    前記通信端末で実行すべきパケット処理のうち、前記ネットワークに実行させる処理を決定する第二の手段と、
    前記転送装置に対し、前記決定した処理に対応する処理規則を通知する第三の手段と
    を備えることを特徴とする通信端末。
  2. 前記第三の手段は、前記制御装置からの許可に応じて、前記転送装置に対し、前記決定した処理に対応する処理規則を通知する
    ことを特徴とする請求項1に記載の通信端末。
  3. 前記第三の手段は、前記転送装置に対し、前記制御装置から前記転送装置への設定を許可された所定の処理規則を通知する
    ことを特徴とする請求項1または2に記載の通信端末。
  4. 前記第三の手段は、前記制御装置から通知された所定の処理規則から、前記決定した処理に対応する処理規則を選択し、前記転送装置に対して前記選択した処理規則を通知する
    ことを特徴とする請求項1から3いずれか一に記載の通信端末。
  5. 前記第三の手段は、前記制御装置から委譲された権限に基づいて、前記転送装置に対して処理規則を通知する
    ことを特徴とする請求項1から4いずれか一に記載の通信端末。
  6. 前記第三の手段は、前記転送装置へ処理規則を設定するためのモジュールを受信し、該モジュールを用いて前記転送装置に対して処理規則を通知する
    ことを特徴とする請求項1から5いずれか一に記載の通信端末。
  7. 前記第二の手段は、所定のポリシに基づいて、前記ネットワークに実行させる処理を決定する
    ことを特徴とする請求項1から6いずれか一に記載の通信端末。
  8. 前記第二の手段は、前記通信端末の負荷に基づいて、前記ネットワークに実行させる処理を決定する
    ことを特徴とする請求項1から7いずれか一に記載の通信端末。
  9. 前記第二の手段は、前記通信端末に対するアクセス量に基づいて、前記ネットワークに実行させる処理を決定する
    ことを特徴とする請求項1から8いずれか一に記載の通信端末。
  10. 前記第二の手段は、前記通信端末の通信量に基づいて、前記ネットワークに実行させる処理を決定する
    ことを特徴とする請求項1から9いずれか一に記載の通信端末。
  11. 前記第二の手段は、前記通信端末へのアクセスを制限するための処理を、前記ネットワークに実行させる処理として決定する
    ことを特徴とする請求項1から10いずれか一に記載の通信端末。
  12. 前記第二の手段は、前記通信端末に関するパケットの通信経路の帯域を制御する処理を、前記ネットワークに実行させる処理として決定する
    ことを特徴とする請求項1から11いずれか一に記載の通信端末。
  13. 前記第二の手段は、前記通信端末に関するパケットをフィルタリングする処理を、前記ネットワークに実行させる処理として決定する
    ことを特徴とする請求項1から12いずれか一に記載の通信端末。
  14. パケットを転送する転送装置と、該転送装置に対して、パケットの処理方法を規定した処理規則を通知する制御装置とを含むネットワークと通信する通信端末による通信方法であって、
    前記通信端末で実行すべきパケット処理のうち、前記ネットワークに実行させる処理を決定し、
    前記転送装置に対し、前記決定した処理に対応する処理規則を通知する
    ことを特徴とする通信方法。
  15. 前記制御装置からの許可に応じて、前記転送装置に対し、前記決定した処理に対応する処理規則を通知する
    ことを特徴とする請求項14に記載の通信方法。
  16. 前記転送装置に対し、前記制御装置から前記転送装置への設定を許可された所定の処理規則を通知する
    ことを特徴とする請求項14または15に記載の通信方法。
  17. 前記制御装置から通知された所定の処理規則から、前記決定した処理に対応する処理規則を選択し、前記転送装置に対して前記選択した処理規則を通知する
    ことを特徴とする請求項14から16いずれか一に記載の通信方法。
  18. 前記制御装置から委譲された権限に基づいて、前記転送装置に対して処理規則を通知する
    ことを特徴とする請求項14から17いずれか一に記載の通信方法。
  19. 前記転送装置へ処理規則を設定するためのモジュールを受信し、該モジュールを用いて前記転送装置に対して処理規則を通知する
    ことを特徴とする請求項14から18いずれか一に記載の通信方法。
  20. 所定のポリシに基づいて、前記ネットワークに実行させる処理を決定する
    ことを特徴とする請求項14から19いずれか一に記載の通信方法。
  21. 前記通信端末の負荷に基づいて、前記ネットワークに実行させる処理を決定する
    ことを特徴とする請求項14から20いずれか一に記載の通信方法。
  22. 前記通信端末に対するアクセス量に基づいて、前記ネットワークに実行させる処理を決定する
    ことを特徴とする請求項14から21いずれか一に記載の通信方法。
  23. 前記通信端末の通信量に基づいて、前記ネットワークに実行させる処理を決定する
    ことを特徴とする請求項14から22いずれか一に記載の通信方法。
  24. 前記通信端末へのアクセスを制限するための処理を、前記ネットワークに実行させる処理として決定する
    ことを特徴とする請求項14から23いずれか一に記載の通信方法。
  25. 前記通信端末に関するパケットの通信経路の帯域を制御する処理を、前記ネットワークに実行させる処理として決定する
    ことを特徴とする請求項14から24いずれか一に記載の通信方法。
  26. 前記通信端末に関するパケットをフィルタリングする処理を、前記ネットワークに実行させる処理として決定する
    ことを特徴とする請求項14から25いずれか一に記載の通信方法。
  27. パケットを転送する転送装置と、
    前記転送装置に対して、パケットの処理方法を規定した処理規則を通知する制御装置と、
    前記転送装置および前記制御装置を含むネットワークと通信するための第一の手段と、前記通信端末で実行すべきパケット処理のうち、前記ネットワークに実行させる処理を決定する第二の手段と、前記転送装置に対し、前記決定した処理に対応する処理規則を通知する第三の手段とを備える通信端末と、を含むことを特徴とする通信システム。
JP2014512204A 2011-09-16 2012-09-14 通信端末、通信方法および通信システム Expired - Fee Related JP5939298B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014512204A JP5939298B2 (ja) 2011-09-16 2012-09-14 通信端末、通信方法および通信システム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2011203276 2011-09-16
JP2011203276 2011-09-16
PCT/JP2012/005916 WO2013038712A1 (en) 2011-09-16 2012-09-14 Communication terminal, method of communication and communication system
JP2014512204A JP5939298B2 (ja) 2011-09-16 2012-09-14 通信端末、通信方法および通信システム

Publications (2)

Publication Number Publication Date
JP2014526811A JP2014526811A (ja) 2014-10-06
JP5939298B2 true JP5939298B2 (ja) 2016-06-22

Family

ID=47882961

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014512204A Expired - Fee Related JP5939298B2 (ja) 2011-09-16 2012-09-14 通信端末、通信方法および通信システム

Country Status (4)

Country Link
US (1) US9755918B2 (ja)
JP (1) JP5939298B2 (ja)
CN (1) CN103797762A (ja)
WO (1) WO2013038712A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103814556A (zh) * 2011-09-16 2014-05-21 日本电气株式会社 通信终端、通信方法、通信系统和控制设备
JP5991427B2 (ja) * 2013-03-26 2016-09-14 日本電気株式会社 制御装置、通信システム、制御情報の送信方法及びプログラム
JP6949466B2 (ja) * 2016-08-24 2021-10-13 Necプラットフォームズ株式会社 中継装置、通信システム、中継方法、及び中継用プログラム
JP6822248B2 (ja) * 2017-03-21 2021-01-27 富士通株式会社 情報処理システム、情報処理方法および携帯端末
CN111277630B (zh) * 2020-01-13 2022-09-09 腾讯科技(深圳)有限公司 一种路由控制方法、装置、电子设备和存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003298628A (ja) * 2002-03-29 2003-10-17 Toshiba Corp サーバ保護ネットワークシステム、サーバおよびルータ
JP2008294895A (ja) 2007-05-28 2008-12-04 Japan Radio Co Ltd パケットフィルタリング方法
US10103939B2 (en) * 2010-07-06 2018-10-16 Nicira, Inc. Network control apparatus and method for populating logical datapath sets
CN102025622B (zh) * 2010-12-07 2012-09-26 南京邮电大学 基于认知网络的实现低功耗路由的方法

Also Published As

Publication number Publication date
WO2013038712A1 (en) 2013-03-21
JP2014526811A (ja) 2014-10-06
US20150078169A1 (en) 2015-03-19
US9755918B2 (en) 2017-09-05
CN103797762A (zh) 2014-05-14

Similar Documents

Publication Publication Date Title
KR101685471B1 (ko) 단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체, 및 정보 처리 디바이스
JP5862577B2 (ja) 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
KR101528825B1 (ko) 단말, 제어 장치, 통신 방법, 통신 시스템, 통신 모듈, 프로그램 및 정보 처리 장치
JP5811171B2 (ja) 通信システム、データベース、制御装置、通信方法およびプログラム
JP5812108B2 (ja) 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置
JP5954413B2 (ja) 通信装置、制御装置、通信システム、通信制御方法、通信端末及びプログラム
JP5939298B2 (ja) 通信端末、通信方法および通信システム
JP2014516215A (ja) 通信システム、制御装置、処理規則設定方法およびプログラム
WO2014061583A1 (ja) 通信ノード、制御装置、通信システム、パケット処理方法及びプログラム
JP5994847B2 (ja) 通信端末、通信方法、通信システムおよび制御装置
JP6007978B2 (ja) 通信装置、制御装置、通信システム、通信制御方法及びプログラム
JP6007977B2 (ja) 通信装置、制御装置、通信システム、通信制御方法及びプログラム
JP2012165335A (ja) 通信システム、制御装置、通信方法
JP6164223B2 (ja) 通信システム、制御装置、通信装置、課金サーバ、通信方法およびプログラム
JP2014530513A (ja) 通信装置、通信システム、通信制御方法及びプログラム
JP5861424B2 (ja) 通信システム、制御装置、通信方法およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150805

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160419

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160502

R150 Certificate of patent or registration of utility model

Ref document number: 5939298

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees