JP6181577B2 - ポリシー制御システム、および、ポリシー制御プログラム - Google Patents

ポリシー制御システム、および、ポリシー制御プログラム Download PDF

Info

Publication number
JP6181577B2
JP6181577B2 JP2014034740A JP2014034740A JP6181577B2 JP 6181577 B2 JP6181577 B2 JP 6181577B2 JP 2014034740 A JP2014034740 A JP 2014034740A JP 2014034740 A JP2014034740 A JP 2014034740A JP 6181577 B2 JP6181577 B2 JP 6181577B2
Authority
JP
Japan
Prior art keywords
policy
flow
user
application
identification control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014034740A
Other languages
English (en)
Other versions
JP2015162691A (ja
Inventor
千晴 森岡
千晴 森岡
亜希 福岡
亜希 福岡
章子 久保庭
章子 久保庭
吉川 智之
智之 吉川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014034740A priority Critical patent/JP6181577B2/ja
Publication of JP2015162691A publication Critical patent/JP2015162691A/ja
Application granted granted Critical
Publication of JP6181577B2 publication Critical patent/JP6181577B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、通信網のポリシー制御技術に関し、特に、ユーザポリシーを有するユーザ同士の間の通信に対するポリシー制御技術に関する。
近年、第3世代移動体通信システムの標準規格である3GPP(3rd Generation Partnership Project)等で、通信網におけるポリシー制御アーキテクチャが議論されている(非特許文献1)。
3GPPでは、一般に、通信網において、5tuple(送信元IP(Internet Protocol)アドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号)ベースのフロー識別およびトラヒック制御を行うパケットヘッダ識別制御機能と、フローの高次レイヤ分析によりアプリケーションやURI(Uniform Resource Identifier)識別を行うアプリケーション識別制御機能と、の両方を具備するDPI(Deep Packet Inspection)装置を通信網へインラインに設置して、ポリシー制御を実現している。その際、DPI装置は、ポリシー管理装置からの指示によってパケットフローの識別や制御を実施する。
図7に示すように、DPI装置を通信事業者網のエッジに配備した場合、ポリシー管理装置は、DPI装置に対して、DPI装置配下に接続されているユーザ(回線、端末など)のポリシー(以下、「ユーザポリシー」とも称する。)を設定することが一般的である。例えば、ユーザAの端末(以下、単に「ユーザA」と称する場合もある。ユーザB、Xも同様)に接続するDPI装置♯1にはユーザAをキーとするユーザポリシーを設定し、ユーザBの端末に接続するDPI装置#2にはユーザBをキーとするユーザポリシーを設定し、ユーザXのサーバに接続するDPI装置#3にはユーザXをキーとするユーザポリシーを設定する。そして、各DPI装置は、通信事業者網外から通信事業者網内方向のフローには送信元IPアドレスに対応するユーザポリシーを適用し、また、通信事業者網内から通信事業者網外方向のフローには宛先IPアドレスに対応するユーザポリシーを適用する。
図7に示すように、ユーザA−B間通信(破線矢印)やユーザA−X間通信(実線矢印)のように、ユーザポリシーを有するユーザ同士の間の通信フローには、経由する2つのDPI装置で異なるユーザポリシーが適用される。そして、1つのフローに対して異なるユーザポリシーが適用されるため、例えば高品質通信を望むユーザに対して、通信相手のユーザポリシーが一致しない場合は、高品質通信サービスを提供できなくなる。
ここで、各ユーザポリシーに対して、通信相手毎に通信相手ユーザのポリシーと同じポリシーを登録すれば、そのような問題は解消する。しかし、登録する通信相手数の増加に伴い、ユーザポリシーの情報量が増え、必要な格納リソースが増加してしまう。また、あるユーザポリシーに変更があった場合、それに対応して他のユーザポリシーも変更する必要が生じる場合があり、対応が煩雑になってしまう。
一方、フローの高次レイヤ分析によるアプリケーション識別は、5tupleベースのフロー識別と比較して高コストであることから、大規模な通信事業者網の場合、DPI装置を全ての回線に設置すると、分割損が大量に発生して高コストになる可能性がある。
そのような高コストを回避するために、図8に示すように、パケットヘッダ識別制御装置をインラインに配備し、アプリケーション識別制御機能を有するDPI装置は複数のパケットヘッダ識別制御装置で共用する装置として通信事業者網上に配備するシステムがある。
この場合、ポリシー管理装置は、図7の各DPI装置#1〜#3に対するのと同様、各パケットヘッダ識別制御装置#1〜#3に対して、パケットヘッダ識別制御装置配下に接続されているユーザ(回線、端末など)のポリシーを設定する。また、ポリシー管理装置は、DPI装置に対して、DPI装置を共用するパケットヘッダ識別制御装置配下のユーザのポリシーを設定する。
パケットヘッダ識別制御装置では、ポリシー管理装置からの指示で設定したポリシーに基づき、アプリケーション識別対象フローを、通信事業者網への入出力方向(通信方向)を識別できる形態でDPI装置へ転送する。パケットヘッダ識別制御装置から双方向のフローをDPI装置へ転送する方式では、ユーザ間フローの送信元ユーザと宛先ユーザの両方のポリシーでアプリケーション識別対象となっている場合、そのフローはDPI装置へ2回転送されることとなり、通信品質の低下、DPI装置の処理負荷の増加、およびパケットヘッダ識別制御装置−DPI装置間のトラヒックの増加が生じてしまう。
例えば、図8で、ユーザAからユーザBへのフロー(破線矢印)に対して、パケットヘッダ識別制御装置#1からポリシーに基づいてDPI装置へフロー転送し、DPI装置で当該フローへユーザAのポリシーを適用し、その後、パケットヘッダ識別制御装置#2からポリシーに基づいてDPI装置へフロー転送し、DPI装置で当該フローへユーザBのポリシーを適用するため、当該フローはDPI装置へ2回転送される。ユーザAからユーザXへのフロー(実線矢印)についても同様である。
一方、ポリシーに基づき、通信事業者網への入力方向フローのみをパケットヘッダ識別制御装置からDPI装置へ転送し、DPI装置から宛先へ転送する方式では、ユーザ間フローの送信元ユーザと宛先ユーザの両方のポリシーでアプリケーション識別対象となっている場合、DPI装置で1つの通信に対して通信方向によって異なるユーザポリシーが適用される。両ユーザのポリシーが合致しない場合、例えば双方向フローの情報からアプリケーション識別を行う必要がある場合は正しく識別できず、ユーザ所望のサービスを提供できない。また、一方のユーザのポリシーのみでアプリケーション識別対象となっている場合、1つの通信に対して片方向のフローしかDPI装置へ転送されないため、双方向フローの情報からアプリケーション識別を行う必要がある場合は識別できない。
例えば、図8の構成において、ユーザAからBへのフローはパケットヘッダ識別制御装置#1→DPI装置→パケットヘッダ識別制御装置#2を経由し(DPI装置からパケットヘッダ識別制御装置#1へは戻さない)、ユーザBからAへのフローはパケットヘッダ識別制御装置#2→DPI装置→パケットヘッダ識別制御装置#1を経由する(DPI装置からパケットヘッダ識別制御装置#2へは戻さない)場合、ユーザAからユーザBへのフローに対して、パケットヘッダ識別制御装置#1からポリシーに基づいてDPI装置へフロー転送し、DPI装置で当該フローへユーザAのポリシーを適用し、ユーザBからユーザAへのフローに対して、パケットヘッダ識別制御装置#2からポリシーに基づいてDPI装置へフロー転送し、DPI装置で当該フローへユーザBのポリシーを適用する。当該フローに対するユーザAとユーザBのポリシーが合致していない場合、例えば双方向フローの情報からアプリケーション識別を行う必要がある場合は正しく識別できず、ユーザ所望のサービスを提供できない。
そこで、本発明は、このような背景に鑑みてなされたものであり、ポリシー制御システムにおいて、各装置の処理負荷を軽減するとともに、フローに適切なポリシーを適用することを課題とする。
前記した課題を解決するために、本発明は、フローを構成するパケットのペイロード部分まで分析してアプリケーションやURIを識別できるアプリケーション識別制御機能を有するアプリケーション識別制御装置と、設定されたポリシーに合致するフローをアプリケーション識別制御装置へ転送して、アプリケーション識別制御装置を共用する複数のパケットヘッダ識別制御装置と、複数のパケットヘッダ識別制御装置それぞれの配下のユーザのポリシーを管理するポリシー管理装置と、を通信網内に備えるポリシー制御システムであって、ポリシー管理装置は、ユーザごとのポリシーであるユーザポリシー、および、フローごとのポリシー、これらを適用ポリシーとして記憶する記憶部と、アプリケーション識別制御装置からフロー検出情報を受信した場合に、当該フローがユーザから通信網へ向かう通信網入力フローであるならば、当該フローの送信元IPアドレスに対応するユーザポリシーと宛先IPアドレスに対応するユーザポリシーとの両方に当該フローに対するアプリケーション識別があるとき、両方のアプリケーション識別が異なる際はアプリケーション識別制御装置に宛先IPアドレスに対応するユーザポリシーのアプリケーション識別を指示するとともに、両方のアプリケーション識別が異なるか否かに関係なく当該フローをアプリケーション識別制御装置に再度転送しないポリシーを設定し、当該フローが通信網からユーザへ向かう通信網出力フローであるならば、当該フローの送信元IPアドレスに対応するユーザポリシーと宛先IPアドレスに対応するユーザポリシーとの両方に当該フローに対するアプリケーション識別があるとき、両方のアプリケーション識別が異なる際はアプリケーション識別制御装置に送信元IPアドレスに対応するユーザポリシーのアプリケーション識別を指示するとともに、両方のアプリケーション識別が異なるか否かに関係なく当該フローをアプリケーション識別制御装置に再度転送しないポリシーを設定し、さらに、当該フローの送信元IPアドレスに対応するユーザポリシーと宛先IPアドレスに対応するユーザポリシーとが競合するか否かを判定し、競合しないときは、そのユーザポリシーを記憶部に適用ポリシーとして登録し、競合するときは、所定のルールに基いて適用するポリシーを決定し、当該決定したポリシーを記憶部に適用ポリシーとして登録し、登録した適用ポリシーを、アプリケーション識別制御装置およびパケットヘッダ識別制御装置に指示する処理部と、を備えることを特徴とする。
このようにすることで、フローの送信元IPアドレスに対応するユーザポリシーと宛先IPアドレスに対応するユーザポリシーとの両方でアプリケーション識別対象となっているときでも、パケットヘッダ識別制御装置からアプリケーション識別制御装置への当該フローの転送は1回で済むとともに、当該フローに適切なポリシーを適用することができる。
また、本発明は、フローを構成するパケットのペイロード部分まで分析してアプリケーションやURIを識別できるアプリケーション識別制御機能を有するアプリケーション識別制御装置と、設定されたポリシーに合致するフローをアプリケーション識別制御装置へ転送して、アプリケーション識別制御装置を共用する複数のパケットヘッダ識別制御装置と、複数のパケットヘッダ識別制御装置それぞれの配下のユーザのポリシーを管理するポリシー管理装置と、を通信網内に備えるポリシー制御システムであって、ポリシー管理装置は、ユーザごとのポリシーであるユーザポリシー、および、フローごとのポリシー、これらを適用ポリシーとして記憶する記憶部と、パケットヘッダ識別制御装置からフロー検出情報を受信した場合に、当該フローが、ユーザから通信網へ向かう通信網入力フローの場合は送信元IPアドレスに対応するユーザポリシーに、通信網からユーザへ向かう通信網出力フローの場合は宛先IPアドレスに対応するユーザポリシーに、アプリケーション識別が設定されておらず、かつ、当該フローの送信元IPアドレスに対応するユーザポリシーと宛先IPアドレスに対応するユーザポリシーが設定されているとき、当該フローの送信元IPアドレスに対応するユーザポリシーと宛先IPアドレスに対応するユーザポリシーとが競合するか否かを判定し、競合しないときは、そのユーザポリシーを記憶部に適用ポリシーとして登録し、競合するときは、所定のルールに基いて適用するポリシーを決定し、当該決定したポリシーを記憶部に適用ポリシーとして登録し、登録した適用ポリシーをアプリケーション識別制御装置およびパケットヘッダ識別制御装置に指示する処理部と、を備えることを特徴とする。
このようにすることで、フローが、通信網入力フローの場合は送信元IPアドレスに対応するユーザポリシーに、通信網出力フローの場合は宛先IPアドレスに対応するユーザポリシーに、アプリケーション識別が設定されておらず、かつ、当該フローの送信元IPアドレスに対応するユーザポリシーと宛先IPアドレスに対応するユーザポリシーが設定されているときに、当該フローに適切なポリシーを適用することができる。
また、本発明は、フローを構成するパケットのペイロード部分まで分析してアプリケーションやURIを識別できるアプリケーション識別制御機能を有するアプリケーション識別制御装置と、設定されたポリシーに合致するフローをアプリケーション識別制御装置へ転送して、アプリケーション識別制御装置を共用する複数のパケットヘッダ識別制御装置と、複数のパケットヘッダ識別制御装置それぞれの配下のユーザのポリシーを管理するポリシー管理装置と、を通信網内に備えるポリシー制御システムであって、ポリシー管理装置は、ユーザごとのポリシーであるユーザポリシー、および、フローごとのポリシー、これらを適用ポリシーとして記憶する記憶部と、アプリケーション識別制御装置からフロー検出情報を受信した場合に、当該フローがユーザから通信網へ向かう通信網入力フローであるならば、宛先IPアドレスに対応するユーザポリシーに当該フローの対になる逆向きのフローである対向フローに対するアプリケーション識別またはアプリケーション識別制御装置へのフロー転送がないときは当該対向フローをアプリケーション識別制御装置に転送するポリシーを設定し、当該フローが通信網からユーザへ向かう通信網出力フローであるならば、送信元IPアドレスに対応するユーザポリシーに当該フローの対になる逆向きのフローである対向フローに対するアプリケーション識別またはアプリケーション識別制御装置へのフロー転送がないときは当該対向フローをアプリケーション識別制御装置に転送するポリシーを設定し、さらに、当該フローの送信元IPアドレスに対応するユーザポリシーと宛先IPアドレスに対応するユーザポリシーとが競合するか否かを判定し、競合しないときは、そのユーザポリシーを記憶部に適用ポリシーとして登録し、競合するときは、所定のルールに基いて適用するポリシーを決定し、当該決定したポリシーを記憶部に適用ポリシーとして登録し、登録した適用ポリシーを、アプリケーション識別制御装置およびパケットヘッダ識別制御装置の少なくともいずれかに指示する処理部と、を備えることを特徴とする。
このようにすることで、フローの送信元IPアドレスに対応するユーザポリシーと宛先IPアドレスに対応するユーザポリシーの一方のみでアプリケーション識別対象となっているときでも、当該双方向フローがいずれもアプリケーション識別制御装置へ転送されるようになる。
本発明によれば、ポリシー制御システムにおいて、各装置の処理負荷を軽減するとともに、フローに適切なポリシーを適用することができる。
本実施形態に係るポリシー制御システムの全体構成図である。 本実施形態に係るポリシー管理装置の構成図である。 本実施形態に係るポリシー利用情報キャッシュテーブルの構成図の一例である。 本実施形態に係るポリシー管理装置の処理の流れを示すフローチャートである。 本実施形態に係るポリシー管理装置の処理の流れを示すフローチャートである。 本実施形態に係るポリシー管理装置の処理の流れを示すフローチャートである。 従来技術のポリシー制御システムの全体構成図である。 従来技術の他のポリシー制御システムの全体構成図である。
次に、本発明を実施するための形態(以下、「本実施形態」と称する。)に係るポリシー制御システムについて説明する。
図1に示すように、本実施形態のポリシー制御システム100は、物理構成が図8の場合と同様であり、通信事業者網10に、複数のパケットヘッダ識別制御装置20(#1〜#3)、アプリケーション識別制御装置30、ポリシー管理装置40を備えている。インラインに配置された複数のパケットヘッダ識別制御装置20(#1〜#3)は、フローを構成するパケットのペイロード部分まで分析できるアプリケーション識別制御機能を有するアプリケーション識別制御装置30を共用する。
ポリシー管理装置40は、パケットヘッダ識別制御装置20(#1〜#3)に対して、それぞれ、その配下に接続されているユーザAの端末50(以下、単に「ユーザA」とも称する。)、ユーザBの端末50(以下、単に「ユーザB」とも称する。)、ユーザXのサーバ60(以下、単に「ユーザX」とも称する。)のポリシーを設定する。また、ポリシー管理装置40は、アプリケーション識別制御装置30に対して、アプリケーション識別制御装置30を共用するパケットヘッダ識別制御装置20の配下のユーザのポリシーを設定する。
パケットヘッダ識別制御装置20は、ポリシー管理装置40からの指示で設定したポリシーに基づき、アプリケーション識別対象フローを、通信事業者網10への入出力方向(通信方向)を識別できる形態でアプリケーション識別制御装置30へ転送する。つまり、パケットヘッダ識別制御装置20は、通信事業者網10の外から内方向のフロー(以下、「通信事業者網入力フロー」と称する。)には送信元IPアドレスに対応するユーザポリシーを適用し、また、通信事業者網10の内から外方向のフロー(以下、「通信事業者網出力フロー」と称する。)には宛先IPアドレスに対応するユーザポリシーを適用する。
アプリケーション識別制御装置30は、パケットヘッダ識別制御装置20から受信したアプリケーション識別対象フローに対し、ポリシーに基づいてアプリケーション識別制御、及び識別結果のポリシー管理装置40への送信を行う。また、ユーザポリシーを有するユーザ通信の識別情報(例えばIPアドレス空間情報など)を保持しており、新規フローが入力されると通信事業者網入力フローの場合は宛先IPアドレス、通信事業者網出力フローの場合は送信元IPアドレスから対象通信であるかを識別する。対象通信である場合、フロー検出情報(5tuple情報(プロトコル番号は必須ではない。以下同様)、通信方向)をポリシー管理装置40へ送信する。
次に、図2を参照して、ポリシー管理装置40の構成について説明する。図2に示すように、ポリシー管理装置40は、入出力部41と、記憶部42と、処理部43と、を備えるコンピュータ装置である。
入出力部41は、パケットヘッダ識別制御装置20やアプリケーション識別制御装置30と通信回線を介して各種情報の送受信を行う通信インタフェースと、不図示のキーボード等の入力手段やモニタ等の出力手段等との間で情報の入出力を行う入出力インタフェースと、を備えて構成される。
記憶部42は、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)などから構成され、ユーザ情報421、ポリシー利用情報キャッシュテーブル422、適用ポリシー決定ルール情報423(所定のルール)、アプリケーション識別制御装置共用情報424、処理部43の動作プログラム(ポリシー制御プログラム)などの各種情報を記憶する。
ユーザ情報421は、ユーザごとの、ユーザ識別情報、ユーザポリシー情報、パケットヘッダ識別制御装置情報(そのユーザが所属するパケットヘッダ識別制御装置20の識別情報)である。
ポリシー利用情報キャッシュテーブル422は、ユーザごとの適用ポリシー、ポリシー設定装置(適用ポリシーを設定した装置)の情報と、送信元ユーザと宛先ユーザの組ごとの、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、適用ポリシー、ポリシー設定装置の情報を格納する。ポリシー利用情報キャッシュテーブル422の送信元ユーザと宛先ユーザの組ごとの一例を図3に示す。なお、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号が同じ1つのフローに対して、適用ポリシーやポリシー設定装置は複数ありえる。例えば、アプリケーション識別制御装置30とパケットヘッダ識別制御装置20それぞれのルールに従ってポリシー設定する場合などである。
図2に戻って、適用ポリシー決定ルール情報423は、送信元ユーザポリシーと宛先ユーザポリシーとが競合する場合に適用すべきポリシーに関する情報であり、例えば、高品質通信優先のルールなどである。
アプリケーション識別制御装置共用情報424は、アプリケーション識別制御装置30を共用する複数のパケットヘッダ識別制御装置20の識別情報などである。
図2に戻って、処理部43は、ポリシー管理装置40全体の制御を司り、記憶部42に格納された動作プログラム(ポリシー制御プログラム)をCPU(Central Processing Unit)がRAMに展開し実行することで実現される。
次に、図4を参照(図1〜図3も適宜参照)して、ポリシー管理装置40の処理について説明する。なお、ここでは、通信事業者網入力フローの場合を例にとって説明する。
ステップS1において、ポリシー管理装置40の処理部43は、アプリケーション識別制御装置30からフロー検出情報(5tuple情報、通信方向)を受信したか否かを判定し、Yesの場合はステップS2に進み、Noの場合はステップS1に戻る。
ステップS2において、処理部43は、フロー検出情報をその送信元のパケットヘッダ識別制御装置20の識別情報とともに保持するとともに、ポリシー利用情報キャッシュテーブル422に当該フローの情報が登録されているか否かを判定し、Yesの場合はステップS8に進み、Noの場合はステップS3に進む。
ステップS3において、処理部43は、記憶部42のユーザ情報421から、送信元IPアドレスに対応するユーザポリシーと、宛先IPアドレスに対応するユーザポリシーを取得し、ステップS4に進む。
ステップS4において、処理部43は、記憶部42のユーザ情報421を参照し、宛先IPアドレスに対応するユーザポリシーに当該フローのアプリケーション識別があるか否かを判定し、Yesの場合はステップS5に進み、Noの場合は処理を終了する。
ステップS5において、処理部43は、宛先IPアドレスに対応するユーザポリシーの識別対象アプリケーションが、送信元IPアドレスのユーザポリシーと異なるか否かを判定し、Yesの場合はステップS6に進み、Noの場合はステップS7に進む。
ステップS6において、処理部43は、アプリケーション識別制御装置30へ、宛先IPアドレスに対応するユーザポリシーのアプリケーション識別を指示し、ステップS7に進む。
ステップS7において、処理部43は、記憶部42のユーザ情報421を参照して、宛先IPアドレスに対応するユーザポリシーが設定されているパケットヘッダ識別制御装置情報を取得し、当該フローをアプリケーション識別制御装置30へ再度転送しないポリシーを設定する。
ステップS2でYesの場合、ステップS8において、処理部43は、記憶部42のポリシー利用情報キャッシュテーブル422を参照して処理を行い、必要に応じて、該当するポリシー(適用ポリシー)の設定を、対応するパケットヘッダ識別制御装置20に指示し、そのポリシー設定した装置情報(ポリシー設定装置)を記憶部42のポリシー利用情報キャッシュテーブル422に登録し、処理を終了する。
なお、図4のフローチャートでは、通信事業者網入力フローの場合を例にとって説明したが、通信事業者網出力フローの場合は、送信元IPアドレスと宛先IPアドレスを入れ替えて同様の処理を行う。つまり、例えば、図1のパケットヘッダ識別制御装置20(#1)に着目した場合、ポリシー管理装置40は、ユーザAからユーザXへのフローをパケットヘッダ識別制御装置20(#1)における通信事業者網入力フローとして図4の処理を行い、また、ユーザXからユーザAへのフローをパケットヘッダ識別制御装置20(#1)における通信事業者網出力フローとして図4の処理において送信元IPアドレスと宛先IPアドレスを入れ替えた同様の処理を行う。
次に、ポリシー管理装置40が、アプリケーション識別制御装置30からアプリケーション識別結果を受信した場合の処理について、図5を参照して説明する。
図5に示すように、ステップS11において、ポリシー管理装置40の処理部43は、アプリケーション識別制御装置30から当該アプリケーション識別結果を受信したか否かを判定し、Yesの場合はステップS12に進み、Noの場合はステップS11に戻る。
ステップS12において、処理部43は、アプリケーション識別結果と、送信元ユーザポリシーと、宛先ユーザポリシーとに基いて、両ユーザポリシーが競合するか否かを判定し、Yesの場合はステップS13に進み、Noの場合はステップS14に進む。
ステップS13において、処理部43は、適用ポリシー決定ルール情報423(所定のルール)に従って、当該フローおよび対向フロー(検出したフローの対になる逆向きのフロー)へ適用するポリシーを決定し、ステップS15に進む。
ステップS14において、処理部43は、そのポリシーを当該フローおよび対向フローへ適用するポリシーに決定し、ステップS15に進む。
ステップS15において、処理部43は、決定したポリシーを、アプリケーション識別制御装置30および該当するパケットヘッダ識別制御装置20へ指示し、ステップS16に進む。
ステップS16において、処理部43は、当該フローおよび対向フローのフロー情報、ポリシー情報(適用ポリシー)、ポリシー設定した装置情報(ポリシー設定装置)を、ポリシー利用情報キャッシュテーブル422に登録し、処理を終了する。
なお、アプリケーション識別制御装置30またはパケットヘッダ識別制御装置20で当該フローの終了を検出すると、ポリシー管理装置40へ通知する。それを受けて、ポリシー管理装置40は、ポリシー利用情報キャッシュテーブル422から当該フロー情報を削除する。
このように、本実施形態のポリシー制御システム100によれば、フローの送信元IPアドレスに対応するユーザポリシーと宛先IPアドレスに対応するユーザポリシーとの両方でアプリケーション識別対象となっているときでも、パケットヘッダ識別制御装置20からアプリケーション識別制御装置30への当該フローの転送は1回で済むとともに、当該フローに適切なポリシーを適用することができる。したがって、例えば、高品質通信を望むユーザに対して、通信相手のユーザポリシーが一致しない場合でも、その高品質通信サービスを提供することができる。また、トラヒック量やアプリケーション識別制御装置30などの処理負荷を軽減することができる。
なお、図1の構成において、ポリシーに基づき、アプリケーション識別対象の通信事業者網10への入力方向フローのみをパケットヘッダ識別制御装置20からアプリケーション識別制御装置30へ転送し、アプリケーション識別制御装置30から宛先へ転送される方式(段落0013、0014の方式)の場合、ポリシー管理装置40は、図4(通信事業者網入力フローの場合)のS7の処理は行わず、S4でNoの場合で、宛先IPアドレスに対応するユーザポリシーに当該フローの対向フローのアプリケーション識別制御装置30への転送が設定されていない場合は、宛先IPアドレスに対応するユーザポリシーが設定されているパケットヘッダ識別制御装置20へ当該フローの対向フローのアプリケーション識別制御装置30への転送を指示する。
したがって、本実施形態のポリシー制御システム100によれば、フローの送信元IPアドレスに対応するユーザポリシーと宛先IPアドレスに対応するユーザポリシーの一方のみでアプリケーション識別対象となっているときでも、双方向フローがアプリケーション識別制御装置30へ転送されるとともに、当該フローに適切なポリシーを適用することができる。したがって、双方向フロー情報を用いてアプリケーション識別を行えるとともに、例えば、高品質通信を望むユーザに対して、通信相手のユーザポリシーが合致しない場合でも、その高品質通信サービスを提供することができる。
なお、ポリシー管理装置40は、各種トリガを受信すると、適用中のポリシーの変更判定を行う。そして、ポリシー管理装置40は、記憶部42のユーザ情報421のユーザポリシー情報およびポリシー利用情報キャッシュテーブル422を参照し、変更が必要と判定し場合は、適用するポリシーを新たに決定し、新たなポリシーの設定を関連装置へ指示し、ポリシー利用情報キャッシュテーブル422のポリシー情報(適用ポリシー)を更新する。
次に、図1のネットワーク構成において、通信事業者網入力フローの場合は送信元IPアドレスに対応するユーザポリシーに、通信事業者網出力フローの場合は宛先IPアドレスに対応するユーザポリシーにアプリケーション識別が設定されておらず、ユーザポリシーを有するユーザ同士の間の通信に関連するポリシーが設定されている場合について説明する。
この場合、パケットヘッダ識別制御装置20は、接続先リストを保持している。パケットヘッダ識別制御装置20は、対象通信に関連するポリシーが設定されているユーザの新規フローを検出するとその接続先リストを参照し、通信事業者網入力フローの場合は宛先IPアドレスが、通信事業者網出力フローの場合は送信元IPアドレスが、対象通信のアドレスであるかを判定する。対象通信のアドレスである場合、パケットヘッダ識別制御装置20は、ポリシー管理装置40へフロー検出情報(5tuple情報、通信方向)を送信する。
この場合、ポリシー管理装置40は、図6のフローチャートに示す処理を行う。
図6に示すように、ステップS21において、ポリシー管理装置40の処理部43は、パケットヘッダ識別制御装置20からフロー検出情報(5tuple情報、通信方向)を受信したか否かを判定し、Yesの場合はステップS22に進み、Noの場合はステップS21に戻る。
ステップS22において、処理部43は、フロー検出情報をその送信元のパケットヘッダ識別制御装置20の識別情報とともに保持するとともに、ポリシー利用情報キャッシュテーブル422に当該フローの情報が登録されているか否かを判定し、Yesの場合はステップS29に進み、Noの場合はステップS23に進む。
ステップS23において、処理部43は、記憶部42のユーザ情報421から、送信元IPアドレスに対応するユーザポリシーと、宛先IPアドレスに対応するユーザポリシーを取得し、ステップS24に進む。
ステップS24において、処理部43は、送信元ユーザポリシーと宛先ユーザポリシーが競合するか否かを判定し、Yesの場合はステップS25に進み、Noの場合はステップS26に進む。
ステップS25において、処理部43は、適用ポリシー決定ルール情報423(所定のルール)に従って、当該フローおよび対向フローへ適用するポリシーを決定し、ステップS27に進む。
ステップS26において、処理部43は、そのポリシーを当該フローおよび対向フローへ適用するポリシーに決定し、ステップS27に進む。
ステップS27において、処理部43は、決定したポリシーを、アプリケーション識別制御装置30および該当するパケットヘッダ識別制御装置20へ指示し、ステップS28に進む。
ステップS28において、処理部43は、当該フローおよび対向フローのフロー情報、ポリシー情報(適用ポリシー)、ポリシー設定した装置情報(ポリシー設定装置)を、ポリシー利用情報キャッシュテーブル422に登録し、処理を終了する。
ステップS22でYesの場合、ステップS29において、処理部43は、図4のステップS8と同様、記憶部42のポリシー利用情報キャッシュテーブル422を参照して処理を行い、処理を終了する。
このように、本実施形態のポリシー制御システム100によれば、通信事業者網入力フローの場合は送信IPアドレスに対応するユーザポリシーに、通信事業者網出力フローの場合は宛先IPアドレスに対応するユーザポリシーにアプリケーション識別がないときでも、当該フローに適切なポリシーを適用することができる。したがって、例えば、高品質通信を望むユーザに対して、通信相手のユーザポリシーが一致しない場合でも、その高品質通信サービスを提供することができる。
また、フローの送信元IPアドレスに対応するユーザポリシーと宛先IPアドレスに対応するユーザポリシーとの両方にアプリケーション識別がないときは、図1からアプリケーション識別制御装置30を除いたネットワーク構成においても、当該フローに適切なポリシーを適用することができる。
以上で本実施形態の説明を終えるが、本発明の態様はこれらに限定されるものではない。
例えば、本実施形態では、フロー検出情報のフローおよびその対向フローに対してポリシー判定および適用ポリシー決定を行うこととしたが、フロー検出情報のフローのみに対して上記の処理を行ってもよい。
また、パケットヘッダ識別制御装置20は、機能をエッジルータに内蔵してもよい。
その他、具体的な構成や処理について、本発明の主旨を逸脱しない範囲で適宜変更が可能である。
10 通信事業者網
20 パケットヘッダ識別制御装置
30 アプリケーション識別制御装置
40 ポリシー管理装置
41 入出力部
42 記憶部
43 処理部
50 端末
60 サーバ
100 ポリシー制御システム
421 ユーザ情報
422 ポリシー利用情報キャッシュテーブル

Claims (4)

  1. フローを構成するパケットのペイロード部分まで分析してアプリケーションやURIを識別できるアプリケーション識別制御機能を有するアプリケーション識別制御装置と、
    設定されたポリシーに合致するフローを前記アプリケーション識別制御装置へ転送して、前記アプリケーション識別制御装置を共用する複数のパケットヘッダ識別制御装置と、
    前記複数のパケットヘッダ識別制御装置それぞれの配下のユーザのポリシーを管理するポリシー管理装置と、を通信網内に備えるポリシー制御システムであって、
    前記ポリシー管理装置は、
    ユーザごとのポリシーであるユーザポリシー、および、フローごとのポリシー、これらを適用ポリシーとして記憶する記憶部と、
    前記アプリケーション識別制御装置からフロー検出情報を受信した場合に、
    当該フローがユーザから前記通信網へ向かう通信網入力フローであるならば、当該フローの送信元IPアドレスに対応するユーザポリシーと宛先IPアドレスに対応するユーザポリシーとの両方に当該フローに対するアプリケーション識別があるとき、両方のアプリケーション識別が異なる際は前記アプリケーション識別制御装置に宛先IPアドレスに対応するユーザポリシーのアプリケーション識別を指示するとともに、両方のアプリケーション識別が異なるか否かに関係なく当該フローを前記アプリケーション識別制御装置に再度転送しないポリシーを設定し、
    当該フローが前記通信網からユーザへ向かう通信網出力フローであるならば、当該フローの送信元IPアドレスに対応するユーザポリシーと宛先IPアドレスに対応するユーザポリシーとの両方に当該フローに対するアプリケーション識別があるとき、両方のアプリケーション識別が異なる際は前記アプリケーション識別制御装置に送信元IPアドレスに対応するユーザポリシーのアプリケーション識別を指示するとともに、両方のアプリケーション識別が異なるか否かに関係なく当該フローを前記アプリケーション識別制御装置に再度転送しないポリシーを設定し、
    さらに、当該フローの送信元IPアドレスに対応するユーザポリシーと宛先IPアドレスに対応するユーザポリシーとが競合するか否かを判定し、
    競合しないときは、そのユーザポリシーを前記記憶部に適用ポリシーとして登録し、
    競合するときは、所定のルールに基いて適用するポリシーを決定し、当該決定したポリシーを前記記憶部に適用ポリシーとして登録し、
    登録した適用ポリシーを、前記アプリケーション識別制御装置および前記パケットヘッダ識別制御装置の少なくともいずれかに指示する処理部と、を備える
    ことを特徴とするポリシー制御システム。
  2. フローを構成するパケットのペイロード部分まで分析してアプリケーションやURIを識別できるアプリケーション識別制御機能を有するアプリケーション識別制御装置と、
    設定されたポリシーに合致するフローを前記アプリケーション識別制御装置へ転送して、前記アプリケーション識別制御装置を共用する複数のパケットヘッダ識別制御装置と、
    前記複数のパケットヘッダ識別制御装置それぞれの配下のユーザのポリシーを管理するポリシー管理装置と、を通信網内に備えるポリシー制御システムであって、
    前記ポリシー管理装置は、
    ユーザごとのポリシーであるユーザポリシー、および、フローごとのポリシー、これらを適用ポリシーとして記憶する記憶部と、
    前記パケットヘッダ識別制御装置からフロー検出情報を受信した場合に、
    当該フローが、ユーザから前記通信網へ向かう通信網入力フローの場合は送信元IPアドレスに対応するユーザポリシーに、前記通信網からユーザへ向かう通信網出力フローの場合は宛先IPアドレスに対応するユーザポリシーに、アプリケーション識別が設定されておらず、かつ、当該フローの送信元IPアドレスに対応するユーザポリシーと宛先IPアドレスに対応するユーザポリシーが設定されているとき、
    当該フローの送信元IPアドレスに対応するユーザポリシーと宛先IPアドレスに対応するユーザポリシーとが競合するか否かを判定し、
    競合しないときは、そのユーザポリシーを前記記憶部に適用ポリシーとして登録し、
    競合するときは、所定のルールに基いて適用するポリシーを決定し、当該決定したポリシーを前記記憶部に適用ポリシーとして登録し、
    登録した適用ポリシーを前記アプリケーション識別制御装置および前記パケットヘッダ識別制御装置の少なくともいずれかに指示する処理部と、を備える
    ことを特徴とするポリシー制御システム。
  3. フローを構成するパケットのペイロード部分まで分析してアプリケーションやURIを識別できるアプリケーション識別制御機能を有するアプリケーション識別制御装置と、
    設定されたポリシーに合致するフローを前記アプリケーション識別制御装置へ転送して、前記アプリケーション識別制御装置を共用する複数のパケットヘッダ識別制御装置と、
    前記複数のパケットヘッダ識別制御装置それぞれの配下のユーザのポリシーを管理するポリシー管理装置と、を通信網内に備えるポリシー制御システムであって、
    前記ポリシー管理装置は、
    ユーザごとのポリシーであるユーザポリシー、および、フローごとのポリシー、これらを適用ポリシーとして記憶する記憶部と、
    前記アプリケーション識別制御装置からフロー検出情報を受信した場合に、
    当該フローがユーザから通信網へ向かう通信網入力フローであるならば、宛先IPアドレスに対応するユーザポリシーに当該フローの対になる逆向きのフローである対向フローに対するアプリケーション識別または前記アプリケーション識別制御装置へのフロー転送がないときは当該対向フローを前記アプリケーション識別制御装置に転送するポリシーを設定し、
    当該フローが通信網からユーザへ向かう通信網出力フローであるならば、送信元IPアドレスに対応するユーザポリシーに当該フローの対になる逆向きのフローである対向フローに対するアプリケーション識別または前記アプリケーション識別制御装置へのフロー転送がないときは当該対向フローを前記アプリケーション識別制御装置に転送するポリシーを設定し、
    さらに、当該フローの送信元IPアドレスに対応するユーザポリシーと宛先IPアドレスに対応するユーザポリシーとが競合するか否かを判定し、
    競合しないときは、そのユーザポリシーを前記記憶部に適用ポリシーとして登録し、
    競合するときは、所定のルールに基いて適用するポリシーを決定し、当該決定したポリシーを前記記憶部に適用ポリシーとして登録し、
    登録した適用ポリシーを、前記アプリケーション識別制御装置および前記パケットヘッダ識別制御装置の少なくともいずれかに指示する処理部と、を備える
    ことを特徴とするポリシー制御システム。
  4. コンピュータを、請求項1から請求項3のいずれか一項に記載の前記ポリシー制御システムにおける前記ポリシー管理装置として機能させるためのポリシー制御プログラム。
JP2014034740A 2014-02-25 2014-02-25 ポリシー制御システム、および、ポリシー制御プログラム Expired - Fee Related JP6181577B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014034740A JP6181577B2 (ja) 2014-02-25 2014-02-25 ポリシー制御システム、および、ポリシー制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014034740A JP6181577B2 (ja) 2014-02-25 2014-02-25 ポリシー制御システム、および、ポリシー制御プログラム

Publications (2)

Publication Number Publication Date
JP2015162691A JP2015162691A (ja) 2015-09-07
JP6181577B2 true JP6181577B2 (ja) 2017-08-16

Family

ID=54185549

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014034740A Expired - Fee Related JP6181577B2 (ja) 2014-02-25 2014-02-25 ポリシー制御システム、および、ポリシー制御プログラム

Country Status (1)

Country Link
JP (1) JP6181577B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102472177B1 (ko) * 2018-06-20 2022-11-28 주식회사 케이티 어플리케이션별 실시간 서비스 품질 관리가 가능한 서비스 제공 시스템 및 그 방법
CN111953553B (zh) * 2019-05-16 2023-07-18 华为技术有限公司 一种报文的检测方法、设备及系统
KR102207786B1 (ko) * 2019-10-02 2021-01-26 에스케이텔레콤 주식회사 사용자 평면 장치 및 이를 이용한 어플리케이션 식별 방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3573697B2 (ja) * 2000-08-14 2004-10-06 日本電信電話株式会社 パケット通信システム
JP4346815B2 (ja) * 2000-12-28 2009-10-21 三菱電機株式会社 ネットワーク設定管理装置及びネットワークシステム並びにネットワーク設定管理方法
JP5229109B2 (ja) * 2001-03-27 2013-07-03 富士通株式会社 パケット中継処理装置
GB0517304D0 (en) * 2005-08-23 2005-10-05 Netronome Systems Inc A system and method for processing and forwarding transmitted information

Also Published As

Publication number Publication date
JP2015162691A (ja) 2015-09-07

Similar Documents

Publication Publication Date Title
US11005708B1 (en) Techniques to perform the dynamic configuration of load-balanced relay operations
US9787581B2 (en) Secure data flow open information analytics
US20160219076A1 (en) Hardware trust for integrated network function virtualization (nfv) and software defined network (sdn) systems
US20150333930A1 (en) Dynamic service function chaining
US9742659B2 (en) Multipath bandwidth usage
JP6162337B2 (ja) アプリケーションアウェアネットワーク管理
KR102276159B1 (ko) 모바일 장치 상의 애플리케이션에서 원격 웹 클라이언트를 관리하는 기술
US20210092645A1 (en) Traffic steering and policy combining
US20190158542A1 (en) Intra-carrier and inter-carrier network security system
US11089138B2 (en) Network multi-path proxy selection to route data packets
CN112566164B (zh) 一种通信系统及服务质量控制方法
US20160277971A1 (en) Centralized wireless network management system
JP6181577B2 (ja) ポリシー制御システム、および、ポリシー制御プログラム
WO2015164027A1 (en) Distributed high availability processing methods for service sessions
Nadeem et al. An ns-3 mptcp implementation
US11700568B2 (en) Dynamic mapping of nodes responsible for monitoring traffic of an evolved packet core
US10873526B2 (en) Flow aggregation and routing for multi-connectivity client devices
Wakeman et al. The fans united will always be connected: building a practical DTN in a football stadium
CN107409047A (zh) 加密会话的协调分组递送
US10785165B2 (en) Method for controlling service data flow and network device
JP2016213604A (ja) 通信装置及び管理方法
US20210281656A1 (en) Applying application-based policy rules using a programmable application cache
Urayama et al. Virtual network construction with K‐shortest path algorithm and optimization problems for robust physical networks
EP2930883A1 (en) Method for the implementation of network functions virtualization of a telecommunications network providing communication services to subscribers, telecommunications network, program and computer program product
Bull et al. A flow analysis and preemption framework for periodic traffic in an SDN network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160226

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170124

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170718

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170720

R150 Certificate of patent or registration of utility model

Ref document number: 6181577

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees