JP6357335B2 - ネットワーク制御装置、ネットワークシステム、ネットワークシステムの制御方法、及びプログラム - Google Patents
ネットワーク制御装置、ネットワークシステム、ネットワークシステムの制御方法、及びプログラム Download PDFInfo
- Publication number
- JP6357335B2 JP6357335B2 JP2014072070A JP2014072070A JP6357335B2 JP 6357335 B2 JP6357335 B2 JP 6357335B2 JP 2014072070 A JP2014072070 A JP 2014072070A JP 2014072070 A JP2014072070 A JP 2014072070A JP 6357335 B2 JP6357335 B2 JP 6357335B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- switch
- group
- terminal
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワーク制御装置、ネットワークシステム、ネットワークシステムの制御方法、及びプログラムに関する。
近年、企業内ネットワークなどでは、ユーザの部署や役職によってアクセスできる端末等を制御するために、物理的なネットワークを独立させて、そのネットワークに接続することができるユーザを制限することを行っている。また、同様の目的のために、認証サーバが、ユーザ毎のアクセス制御を統合して行う技術が知られている(例えば、特許文献1を参照)。
しかしながら、上述した技術では、例えば、物理的なネットワークを独立させて、ユーザ毎のネットワークを構築しようとした場合に、ユーザ毎に物理的なネットワークを変更する必要があり、ユーザ毎にネットワークの構築に対応することは困難であった。また、例えば、認証サーバが、ユーザ毎のアクセス制御を統合して行う場合には、認証サーバまでは自由にアクセスできるため、悪意を持つ者から攻撃を受ける可能性があった。
このように、上述した技術では、ユーザ毎に適切な接続のネットワークを構築することは困難であった。
このように、上述した技術では、ユーザ毎に適切な接続のネットワークを構築することは困難であった。
本発明は、上記問題を解決すべくなされたもので、その目的は、ユーザ毎に適切な接続のネットワークを構築することができるネットワーク制御装置、ネットワークシステム、ネットワークシステムの制御方法、及びプログラムを提供することにある。
上記問題を解決するために、本発明の一態様は、設定情報に基づいてパケットの通過を制御可能なスイッチ装置が配置されたネットワークを制御するネットワーク制御装置であって、端末装置が接続される前記スイッチ装置を識別するスイッチ情報と、前記端末装置を識別する端末識別情報と、当該端末装置を利用するユーザがアクセス可能な論理ネットワークのグループを示すグループ情報であって、前記ユーザに対応付けられたグループ情報とを取得する取得部と、前記取得部が取得した前記スイッチ情報と前記グループ情報と前記端末識別情報とに基づいて生成された前記設定情報であって、前記端末装置と前記ネットワークに接続されている他装置との間の通信を制御する前記設定情報を前記スイッチ装置に設定する設定処理部とを備えることを特徴とするネットワーク制御装置である。
また、本発明の一態様は、上記のネットワーク制御装置において、前記スイッチ装置を識別するスイッチ情報と、当該スイッチ装置に接続されている装置を識別する装置識別情報と、当該装置に対応するグループ情報とを関連付けた装置情報を記憶する装置情報記憶部と、前記設定情報を生成する設定情報生成部とを備え、前記取得部は、取得した当該スイッチ情報と、当該端末識別情報と、当該グループ情報とを関連付けて、前記装置情報として前記装置情報記憶部に記憶させ、前記設定情報生成部は、前記装置情報記憶部が記憶する前記装置情報に基づいて、前記端末装置と前記他装置との間の通信を制御する前記設定情報を生成し、前記設定処理部は、前記設定情報生成部が生成した前記設定情報を前記スイッチ装置に設定することを特徴とする。
また、本発明の一態様は、上記のネットワーク制御装置において、前記設定処理部は、前記端末装置の前記グループ情報と一致するグループに所属する前記他装置と、当該端末装置との間の通信を許可するように生成された前記設定情報を前記スイッチ装置に設定することを特徴とする。
また、本発明の一態様は、上記のネットワーク制御装置において、前記装置情報には、前記ユーザに所定の権限を付与するアプリケーションを識別するアプリケーション識別情報が含まれ、前記取得部は、前記端末装置が接続された前記スイッチ装置から、当該スイッチ装置の前記スイッチ情報及び前記端末識別情報を取得するとともに、前記ユーザに所定の権限を付与する権限付与装置から、前記ユーザに前記所定の権限が付与された場合に、前記端末識別情報と、当該ユーザがアクセス可能な論理ネットワークのグループを示すグループ情報と、前記アプリケーション識別情報とを取得し、取得した当該スイッチ情報と、当該端末識別情報と、当該グループ情報と、前記アプリケーション識別情報とを関連付けて、前記装置情報として前記装置情報記憶部に記憶させ、前記設定処理部は、前記端末装置が接続された前記スイッチ装置から、前記取得部が、当該スイッチ装置の前記スイッチ情報及び前記端末識別情報を取得した場合に、前記端末装置と前記権限付与装置との間の通信を許可する前記設定情報を前記スイッチ装置に設定することを特徴とする。
また、本発明の一態様は、ネットワーク上に配置され、設定情報に基づいてパケットの通過を制御可能なスイッチ装置であって、自装置を識別するスイッチ情報と、端末装置を識別する端末識別情報とを送信するスイッチ装置と、前記端末装置を利用するユーザに所定の権限を付与し、当該ユーザに前記所定の権限が付与された場合に、前記端末識別情報と、当該ユーザがアクセス可能な論理ネットワークのグループを示すグループ情報であって、当該ユーザに対応付けられたグループ情報とを送信する権限付与装置と、前記スイッチ装置が配置されたネットワークを制御するネットワーク制御装置であって、前記端末装置が接続される前記スイッチ装置を識別する前記スイッチ情報と、前記端末識別情報と、前記ユーザに対応付けられた前記グループ情報とを取得するネットワーク制御装置とを備え、前記ネットワーク制御装置は、前記端末装置が接続された前記スイッチ装置が送信した当該スイッチ装置の前記スイッチ情報及び前記端末識別情報を取得するとともに、前記権限付与装置が送信した前記端末識別情報及び前記グループ情報を取得し、取得した前記スイッチ情報と前記グループ情報と前記端末識別情報とに基づいて生成された前記設定情報であって、前記端末装置と前記ネットワークに接続されている他装置との間の通信を制御する前記設定情報を前記スイッチ装置に設定することを特徴とするネットワークシステムである。
また、本発明の一態様は、ネットワーク上に配置され、設定情報に基づいてパケットの通過を制御可能なスイッチ装置と、端末装置を利用するユーザに所定の権限を付与する権限付与装置と、前記スイッチ装置が配置されたネットワークを制御するネットワーク制御装置とを備えるネットワークシステムの制御方法であって、前記スイッチ装置が、自装置を識別するスイッチ情報と、前記端末装置を識別する端末識別情報とを送信するステップと、前記権限付与装置が、前記端末装置を利用するユーザに前記所定の権限が付与された場合に、前記端末識別情報と、当該ユーザがアクセス可能な論理ネットワークのグループを示すグループ情報であって、当該ユーザに対応付けられたグループ情報とを送信するステップと、前記ネットワーク制御装置が、前記端末装置が接続される前記スイッチ装置を識別する前記スイッチ情報と、前記端末識別情報と、前記ユーザに対応付けられた前記グループ情報とを取得するステップであって、前記端末装置が接続された前記スイッチ装置が送信した当該スイッチ装置の前記スイッチ情報及び前記端末識別情報を取得するとともに、前記権限付与装置が送信した前記端末識別情報及び前記グループ情報を取得するステップと、前記ネットワーク制御装置が、取得した前記スイッチ情報と前記グループ情報と前記端末識別情報とに基づいて生成された前記設定情報であって、前記端末装置と前記ネットワークに接続されている他装置との間の通信を制御する前記設定情報を前記スイッチ装置に設定するステップとを含むことを特徴とするネットワークシステムの制御方法である。
また、本発明の一態様は、設定情報に基づいてパケットの通過を制御可能なスイッチ装置が配置されたネットワークを制御するネットワーク制御装置のコンピュータに、端末装置が接続される前記スイッチ装置を識別するスイッチ情報と、前記端末装置を識別する端末識別情報と、当該端末装置を利用するユーザがアクセス可能な論理ネットワークのグループを示すグループ情報であって、前記ユーザに対応付けられたグループ情報とを取得する取得ステップと、前記取得ステップによって取得した前記スイッチ情報と前記グループ情報と前記端末識別情報とに基づいて生成された前記設定情報であって、前記端末装置と前記ネットワークに接続されている他装置との間の通信を制御する前記設定情報を前記スイッチ装置に設定する設定処理ステップとを実行させるためのプログラムである。
本発明によれば、ユーザ毎に適切な接続のネットワークを構築することができる。
以下、本発明の一実施形態によるネットワークシステム及びネットワーク制御装置について、図面を参照して説明する。
[第1の実施形態]
図1は、本実施形態によるネットワークシステム1の一例を示す機能ブロック図である。
図1に示すように、ネットワークシステム1は、NW(Network:ネットワーク)制御サーバ10、端末装置20、スイッチ装置30(30−1〜30−N)、ポータルサーバ40、ログインサーバ50、及び中継サーバ60を備えている。
なお、スイッチ装置30−1〜30−Nは、ネットワークシステム1が備える任意のスイッチ装置を示す場合、又は特に区別しない場合には、スイッチ装置30として説明する。また、図1に示す例では、端末装置20と、ポータルサーバ40と、ログインサーバ50とは、スイッチ装置30−1を介して物理的に接続されている。
[第1の実施形態]
図1は、本実施形態によるネットワークシステム1の一例を示す機能ブロック図である。
図1に示すように、ネットワークシステム1は、NW(Network:ネットワーク)制御サーバ10、端末装置20、スイッチ装置30(30−1〜30−N)、ポータルサーバ40、ログインサーバ50、及び中継サーバ60を備えている。
なお、スイッチ装置30−1〜30−Nは、ネットワークシステム1が備える任意のスイッチ装置を示す場合、又は特に区別しない場合には、スイッチ装置30として説明する。また、図1に示す例では、端末装置20と、ポータルサーバ40と、ログインサーバ50とは、スイッチ装置30−1を介して物理的に接続されている。
端末装置20は、ネットワークシステム1に接続されるコンピュータ装置であり、例えば、パーソナルコンピュータである。端末装置20は、ユーザが本実施形態のネットワークシステム1を利用した各種サービスを受ける際にユーザによって使用される。なお、本実施形態では、端末装置20は、ネットワークN1に接続し、ログインをする装置である場合の一例について説明する。
スイッチ装置30は、例えば、SDN(Software Defined Networking)スイッチであるオープンフロースイッチなどであり、フロー(設定情報)に基づいてパケットの通過を制御可能なスイッチである。ここで、フローとは、例えば、パケットの条件と、パケットが条件を満足した際のアクションと、参照回数や生存時間などの統計情報との組からなる設定情報である。スイッチ装置30は、ネットワークN1上の各所に予め配置されている。
ポータルサーバ40は、例えば、Web(ウェブ)サーバ装置であり、端末装置20を使用するユーザに各種コンテンツを提供する。なお、本実施形態では、ポータルサーバ40は、ログインサーバ50によって、正当なユーザであることが認証された場合に、ユーザに各種コンテンツを提供する。
ログインサーバ50(認証サーバ装置)は、端末装置20を使用するユーザのログインを認証して、正当なユーザであることが認証された場合に、ユーザにチケットを発行する。また、なお、ログインサーバ50は、正当なユーザであることが認証された場合に、認証したユーザの情報(例えば、ユーザが使用している端末装置20のIP(Internet Protocol)アドレスや、ユーザが所属するグループを示すグループ情報など)を中継サーバ60に送信する。また、ログインサーバ50は、例えば、LDAP(Lightweight Directory Access Protocol)の機能を含んでいる。
なお、本実施形態において、ログインサーバ50は、正当なユーザであることを認証することで、ユーザにネットワークN1にアクセス(接続)する権限(所定の権限)を付与する権限付与装置の一例である。
また、ログインサーバ50は、ログイン記憶部51と、ログイン制御部52とを備えている。
なお、本実施形態において、ログインサーバ50は、正当なユーザであることを認証することで、ユーザにネットワークN1にアクセス(接続)する権限(所定の権限)を付与する権限付与装置の一例である。
また、ログインサーバ50は、ログイン記憶部51と、ログイン制御部52とを備えている。
ログイン記憶部51は、ログインサーバ50の各種処理に利用する情報を記憶する。ログイン記憶部51は、例えば、ユーザ情報記憶部511と、グループ情報記憶部512と、ユーザ・グループ対応記憶部513とを備えている。
ユーザ情報記憶部511は、ユーザを識別するユーザIDと、ユーザの正当性を認証するためのパスワードとを関連付けたユーザ情報を記憶している。ここで、図2を参照して、ユーザ情報記憶部511のデータ例について説明する。
図2は、本実施形態におけるユーザ情報記憶部511のデータ例を示す図である。
この図において、ユーザ情報記憶部511は、「ユーザID」と、「パスワード」とを関連付けて記憶している。ここで、「ユーザID」は、上述したユーザを識別する識別情報であり、「パスワード」は、上述したパスワードである。
なお、図2に示す例では、「ユーザID」が“U001”に対応する「パスワード」が“XX123XX”であることを示している。
図2は、本実施形態におけるユーザ情報記憶部511のデータ例を示す図である。
この図において、ユーザ情報記憶部511は、「ユーザID」と、「パスワード」とを関連付けて記憶している。ここで、「ユーザID」は、上述したユーザを識別する識別情報であり、「パスワード」は、上述したパスワードである。
なお、図2に示す例では、「ユーザID」が“U001”に対応する「パスワード」が“XX123XX”であることを示している。
図1の説明に戻り、グループ情報記憶部512は、ユーザが所属するグループ(例えば、企業内の部署や、開発プロジェクトなど)を示すグループ情報を記憶する。グループ情報記憶部512は、グループを識別するグループ情報と、グループの名称を示すグループ名とを関連付けて記憶する。ここで、図3を参照して、グループ情報記憶部512のデータ例について説明する。
図3は、本実施形態におけるグループ情報記憶部512のデータ例を示す図である。
この図において、グループ情報記憶部512は、「グループID」と「グループ名」とを関連付けて記憶する。ここで「グループID」は、上述したグループ情報の一例である。
図3に示す例では、「グループID」が“G01”であるグループは、「グループ名」が“○○部”であることを示している。
図3は、本実施形態におけるグループ情報記憶部512のデータ例を示す図である。
この図において、グループ情報記憶部512は、「グループID」と「グループ名」とを関連付けて記憶する。ここで「グループID」は、上述したグループ情報の一例である。
図3に示す例では、「グループID」が“G01”であるグループは、「グループ名」が“○○部”であることを示している。
再び、図1の説明に戻り、ユーザ・グループ対応記憶部513は、ユーザとグループとの対応を示す対応テーブルを記憶する。ユーザ・グループ対応記憶部513は、例えば、ユーザIDと、上述したグループ情報のリストとを関連付けて記憶する。ここで、図4を参照して、ユーザ・グループ対応記憶部513のデータ例について説明する。
図4は、本実施形態におけるユーザ・グループ対応記憶部513のデータ例を示す図である。
この図において、ユーザ・グループ対応記憶部513は、「ユーザID」と「グループリスト」とを関連付けて記憶する。
なお、図4に示す例では、「ユーザID」が“U001”に対応する「グループリスト」が“G01、G02、G05”であることを示している。すなわち、「ユーザID」が“U001”であるユーザが、“G01”と、“G02”と、“G05”との3つのグループに所属していることを示している。
図4は、本実施形態におけるユーザ・グループ対応記憶部513のデータ例を示す図である。
この図において、ユーザ・グループ対応記憶部513は、「ユーザID」と「グループリスト」とを関連付けて記憶する。
なお、図4に示す例では、「ユーザID」が“U001”に対応する「グループリスト」が“G01、G02、G05”であることを示している。すなわち、「ユーザID」が“U001”であるユーザが、“G01”と、“G02”と、“G05”との3つのグループに所属していることを示している。
再び、図1の説明に戻り、ログイン制御部52は、例えば、CPU(Central Processing Unit)などを含むプロセッサであり、ログインサーバ50を統括的に制御する。ログイン制御部52は、例えば、ユーザが端末装置20から入力されたユーザIDと、パスワードとを取得し、取得したユーザIDと、パスワードとの組と、ユーザ情報記憶部511が記憶する情報に基づいて、ユーザを認証する。また、ログイン制御部52は、ユーザの正当性が認証された場合に、ユーザが正当性を証明するチケットを発行するとともに、端末装置20のIPアドレス、グループリストなどを含むユーザ情報を中継サーバ60に送信する。
また、ログイン制御部52は、ユーザ認証部521と、ログイン情報送信部522とを備えている。
また、ログイン制御部52は、ユーザ認証部521と、ログイン情報送信部522とを備えている。
ユーザ認証部521は、端末装置20からユーザIDとパスワードとを取得し、取得したユーザIDと一致する「ユーザID」に関連付けられてユーザ情報記憶部511が記憶する「パスワード」が、取得したパスワードと一致するか否かを判定する。すなわち、ユーザ認証部521は、取得したユーザIDとパスワードとの組と、ユーザ情報記憶部511が記憶する「ユーザID」と「パスワード」との組とが一致するか否かを判定する。ユーザ認証部521は、この2つの組が一致した場合に、端末装置20を使用するユーザの正当性が証明されたと判定し、上述したチケットを発行する。ここで、チケットとは、ユーザの正当性を証明する認証チケットのことである。
また、ログイン情報送信部522は、認証によりユーザの正当性が証明された場合に、認証したユーザIDに基づいて、ユーザ・グループ対応記憶部513から当該ユーザIDに対応するグループリストを取得する。そして、ログイン情報送信部522は、ユーザ・グループ対応記憶部513から取得したグループリストと、ユーザが使用する端末装置20のIPアドレスと、アプリケーション識別情報と、認証されたユーザの認証結果の有効期間(例えば、Expire時刻など)とを含むログイン情報を、中継サーバ60を介してNW制御サーバ10に送信する。ここで、アプリケーション識別情報(例えば、アプリケーションID)は、ユーザに所定の権限を付与するアプリケーション(ユーザに提供するサービス)を識別する識別情報である。なお、ユーザが使用する端末装置20のIPアドレスは、例えば、端末装置20からユーザIDとパスワードとを取得した際のパケットに含まれていたものが利用される。
また、ログイン情報送信部522は、送信したログイン情報に対する応答を、NW制御サーバ10から中継サーバ60を介して受信した場合に、ユーザ認証部521が発行したチケットを端末装置20に送信する。
また、ログイン情報送信部522は、送信したログイン情報に対する応答を、NW制御サーバ10から中継サーバ60を介して受信した場合に、ユーザ認証部521が発行したチケットを端末装置20に送信する。
中継サーバ60は、ログインサーバ50とNW制御サーバ10との間の通信を中継するコンピュータ装置である。なお、ログインサーバ50と、NW制御サーバ10と、中継サーバ60とは、ネットワークN1とは異なり、スイッチ装置30を介さない専用のネットワークに接続されているものとする。また、ログインサーバ50と中継サーバ60との間のインターフェースと、中継サーバ60とNW制御サーバ10との間のインターフェースとが、異なっており、中継サーバ60は、このインターフェースの違いを吸収するように、ログインサーバ50とNW制御サーバ10との間の通信を変換して中継する。
NW制御サーバ10(ネットワーク制御装置の一例)は、スイッチ装置30を制御するコンピュータ装置である。NW制御サーバ10は、スイッチ装置30が配置されたネットワークN1を制御する。NW制御サーバ10は、例えば、ログインサーバ50から中継サーバ60を介して取得したログイン情報に含まれるグループリストに基づいて、スイッチ装置30にフローを設定し、ユーザ毎に異なるネットワークを構築する。
NW制御サーバ10は、記憶部11と、制御部12とを備えている。
NW制御サーバ10は、記憶部11と、制御部12とを備えている。
記憶部11は、NW制御サーバ10の各種処理に利用する情報を記憶する。記憶部11は、例えば、端末情報記憶部111と、グループ組合せ情報記憶部112と、物理トポロジ記憶部113とを備えている。
端末情報記憶部111(装置情報記憶部の一例)は、ネットワークN1内に配置されているスイッチ装置30に接続されている端末装置20を含む各種装置に関する情報を記憶する。端末情報記憶部111は、例えば、スイッチ装置30を識別するスイッチ情報と、装置が接続されているポート番号と、当該スイッチ装置30に接続されている装置を識別する装置識別情報と、当該装置に対応するグループ情報と、アプリケーション識別情報と、認証結果の有効期間を示す情報とを関連付けた端末情報(装置情報)を記憶する。ここで、図5を参照して、端末情報記憶部111のデータ例について説明する。
図5は、本実施形態における端末情報記憶部111のデータ例を示す図である。
この図において、端末情報記憶部111は、「接続SW」と、「接続ポート番号」と、「MACアドレス」と、「IPアドレス」と、「組合せID」と、「AppID」と、「削除する時刻」とを関連付けて端末情報として記憶している。ここで、「接続SW」は、スイッチ装置30を識別するスイッチ情報であり、「接続ポート番号」は、装置が接続されているスイッチ装置30のポート番号を示している。また、「MACアドレス」及び「IPアドレス」は、スイッチ装置30に接続されている装置のMAC(Media Access Control)アドレス及びIPアドレスを示している。なお、「MACアドレス」及び「IPアドレス」は、上述した装置識別情報の一例である。また、「組合せID」は、グループの組合せを示す識別情報であり、装置(又は、端末装置20を使用するユーザ)がアクセス可能な論理ネットワークのグループを示すグループ情報である。グループ情報は、例えば、装置(又は、端末装置20を使用するユーザ)が所属するグループを示している。また、「AppID」は、上述したアプリケーション識別情報(例えば、アプリケーションID)を示している。また、「削除する時刻」は、例えば、Expire時刻であり、認証されたユーザの認証結果の有効期限を示している。なお、「削除する時刻」は、例えば、日付と時刻とを示す時刻情報である。
この図において、端末情報記憶部111は、「接続SW」と、「接続ポート番号」と、「MACアドレス」と、「IPアドレス」と、「組合せID」と、「AppID」と、「削除する時刻」とを関連付けて端末情報として記憶している。ここで、「接続SW」は、スイッチ装置30を識別するスイッチ情報であり、「接続ポート番号」は、装置が接続されているスイッチ装置30のポート番号を示している。また、「MACアドレス」及び「IPアドレス」は、スイッチ装置30に接続されている装置のMAC(Media Access Control)アドレス及びIPアドレスを示している。なお、「MACアドレス」及び「IPアドレス」は、上述した装置識別情報の一例である。また、「組合せID」は、グループの組合せを示す識別情報であり、装置(又は、端末装置20を使用するユーザ)がアクセス可能な論理ネットワークのグループを示すグループ情報である。グループ情報は、例えば、装置(又は、端末装置20を使用するユーザ)が所属するグループを示している。また、「AppID」は、上述したアプリケーション識別情報(例えば、アプリケーションID)を示している。また、「削除する時刻」は、例えば、Expire時刻であり、認証されたユーザの認証結果の有効期限を示している。なお、「削除する時刻」は、例えば、日付と時刻とを示す時刻情報である。
図5に示す例では、「接続SW」が“SW001”であるスイッチ装置30には、「接続ポート番号」が“PORT1”に、「MACアドレス」及び「IPアドレス」が“00:11:22:33:44:01”及び“XXX.0.0.1”の装置が接続されていることを示している。また、この装置が所属するグループの「組合せID」は、“PG001”であり、「削除する時刻」が“2014/01/01 00:00:00”であることを示している。また、「AppID」(アプリケーションID)が、“AP01”であることを示している。
なお、ユーザが使用する端末装置20の端末情報は、端末装置20がスイッチ装置30に接続され、ログインサーバ50が認証処理を行う際に、端末情報記憶部111に記憶される。また、端末情報記憶部111には、例えば、ログインサーバ50など、ネットワークN1に固定に常時接続されている装置の端末情報(装置情報)が予め記憶されている。
なお、ユーザが使用する端末装置20の端末情報は、端末装置20がスイッチ装置30に接続され、ログインサーバ50が認証処理を行う際に、端末情報記憶部111に記憶される。また、端末情報記憶部111には、例えば、ログインサーバ50など、ネットワークN1に固定に常時接続されている装置の端末情報(装置情報)が予め記憶されている。
再び、図1の説明に戻り、グループ組合せ情報記憶部112は、グループの組合せを示す組合せIDとグループリストとの対応を示す対応テーブルを記憶する。グループ組合せ情報記憶部112は、例えば、組合せIDと、当該組合せIDに対応するグループリストとを関連付けて記憶する。ここで、図6を参照して、グループ組合せ情報記憶部112のデータ例について説明する。
図6は、本実施形態におけるグループ組合せ情報記憶部112のデータ例を示す図である。
この図において、グループ組合せ情報記憶部112は、「組合せID」と、「グループリスト」とを関連付けて記憶している。なお、「グループリスト」は、「組合せID」に含まれるグループIDの組(リスト)を示している。
図6に示す例では、「組合せID」が“PG001”に対応する「グループリスト」が、“G01、G02、G05”であることを示している。
このようにグループ組合せ情報記憶部112のデータを構成することにより、「組合せID」から対応するグループIDの組(リスト)を検索することができる。
この図において、グループ組合せ情報記憶部112は、「組合せID」と、「グループリスト」とを関連付けて記憶している。なお、「グループリスト」は、「組合せID」に含まれるグループIDの組(リスト)を示している。
図6に示す例では、「組合せID」が“PG001”に対応する「グループリスト」が、“G01、G02、G05”であることを示している。
このようにグループ組合せ情報記憶部112のデータを構成することにより、「組合せID」から対応するグループIDの組(リスト)を検索することができる。
再び、図1の説明に戻り、物理トポロジ記憶部113は、ネットワークN1内において、各スイッチ装置30が物理的に接続されている物理トポロジを示す情報を記憶する。物理トポロジ記憶部113は、例えば、スイッチ装置30を識別するスイッチ情報と、当該スイッチ装置30が接続されている経路の始点ノードのスイッチID及び終点ノードのスイッチIDとを関連付けて記憶する。ここで、図7を参照して、物理トポロジ記憶部113のデータ例について説明する。
図7は、本実施形態における物理トポロジ記憶部113のデータ例を示す図である。
この図において、物理トポロジ記憶部113は、ネットワークに接続されているスイッチ装置30のリストを示すスイッチテーブル(図7(a)参照)と、「始点ノード」と、「終点ノード」とを関連付けて記憶する経路テーブル(図7(b)参照)とを有している。
図7(a)に示すように、物理トポロジ記憶部113は、スイッチテーブルとして、「スイッチID」を記憶している。ここで、「スイッチID」は、当該スイッチ装置30を識別するスイッチ情報である。
また、図7(b)に示すように、物理トポロジ記憶部113は、経路テーブルとして、「始点ノード」と、「終点ノード」とを関連付けて記憶している。ここで、「始点ノード」及び「終点ノード」は、上述した当該スイッチ装置30が接続されている経路の始点ノードのスイッチID及び終点ノードのスイッチIDを示している。
図7に示す例では、「スイッチID」が“SW001”であるスイッチ装置30がネットワークに接続されており、ネットワークには、「始点ノード」が“SWXXX”のスイッチ装置30から「終点ノード」が“SWYYY”のスイッチ装置30の通信経路が存在することを示している。
この図において、物理トポロジ記憶部113は、ネットワークに接続されているスイッチ装置30のリストを示すスイッチテーブル(図7(a)参照)と、「始点ノード」と、「終点ノード」とを関連付けて記憶する経路テーブル(図7(b)参照)とを有している。
図7(a)に示すように、物理トポロジ記憶部113は、スイッチテーブルとして、「スイッチID」を記憶している。ここで、「スイッチID」は、当該スイッチ装置30を識別するスイッチ情報である。
また、図7(b)に示すように、物理トポロジ記憶部113は、経路テーブルとして、「始点ノード」と、「終点ノード」とを関連付けて記憶している。ここで、「始点ノード」及び「終点ノード」は、上述した当該スイッチ装置30が接続されている経路の始点ノードのスイッチID及び終点ノードのスイッチIDを示している。
図7に示す例では、「スイッチID」が“SW001”であるスイッチ装置30がネットワークに接続されており、ネットワークには、「始点ノード」が“SWXXX”のスイッチ装置30から「終点ノード」が“SWYYY”のスイッチ装置30の通信経路が存在することを示している。
再び、図1の説明に戻り、制御部12は、例えば、CPUなどを含むプロセッサであり、NW制御サーバ10を統括的に制御する。制御部12は、例えば、スイッチ装置30に端末装置20が接続され、ログイン要求が出された場合に、スイッチ情報と、ポート番号と、端末識別情報(例えば、MACアドレス及びIPアドレス)とを当該スイッチ装置30から取得する。また、制御部12は、例えば、ログインサーバ50からログイン情報を取得する。制御部12は、取得したログイン情報に含まれるIPアドレスから、ユーザがログインした端末装置20と、当該ログイン情報に含まれるグループ情報との対応付けを行う。そして、制御部12は、取得したスイッチ情報と、端末識別情報と、グループ情報とに基づいて、ログインしたユーザに対応するネットワークを構築するフローを生成し、スイッチ装置30に設定する。
また、制御部12は、情報取得部121と、フロー生成部122と、設定処理部123とを備えている。
また、制御部12は、情報取得部121と、フロー生成部122と、設定処理部123とを備えている。
情報取得部121(取得部の一例)は、端末装置20が接続されるスイッチ装置30のスイッチ情報と、当該端末装置20の端末識別情報と、当該端末装置20を利用するユーザがアクセス可能な論理ネットワークのグループを示すグループ情報(例えば、ユーザが所属するグループ情報)と、アプリケーション識別情報とを取得する。情報取得部121は、例えば、スイッチ装置30に端末装置20が接続され、端末装置20からログインが行われる際に、スイッチ装置30から送信されるパケットインに含まれるスイッチ情報と、ポート番号と、端末識別情報とを取得する。情報取得部121は、取得したスイッチ情報と、ポート番号と、端末識別情報とを関連付けて端末情報記憶部111に記憶させる。ここで、パケットインとは、スイッチ装置30に設定されているフローの中に、スイッチ装置30が受信した受信パケットに対応する設定がなかった場合に、スイッチ装置30が、NW制御サーバ10に送信するメッセージのことであり、このパケットインには、受信パケットの内容が含まれている。
また、情報取得部121は、ログインサーバ50が中継サーバ60を介して送信したログイン情報を取得する。なお、このログイン情報には、グループリストと、ユーザがログインに使用した端末装置20のIPアドレスと、アプリケーション識別情報と、認証されたユーザの認証結果の有効期間(例えば、Expire時刻など)とが含まれる。また、情報取得部121は、グループ組合せ情報記憶部112を参照して、取得したグループリストに対応する組合せIDが、グループ組合せ情報記憶部112に存在するか否かを判定する。
情報取得部121は、組合せIDが、グループ組合せ情報記憶部112に存在する場合に、ログイン情報として取得したIPアドレスに対応する端末情報記憶部111の端末情報に、当該組合せIDと、アプリケーション識別情報と、認証結果の有効期間を示す情報とを関連付けて追加記憶させる。
また、情報取得部121は、組合せIDが、グループ組合せ情報記憶部112に存在しない場合に、新規の組合せIDとして、グループ組合せ情報記憶部112に登録するとともに、端末情報記憶部111の端末情報に、当該組合せIDと、認証結果の有効期間を示す情報とを関連付けて追加記憶させる。なお、情報取得部121は、新規の組合せIDとして登録する場合に、新たに付与した組合せIDと、取得したグループリストとを関連付けてグループ組合せ情報記憶部112に記憶させる。
このように、情報取得部121は、端末装置20が接続されたスイッチ装置30から、当該スイッチ装置30のスイッチ情報及び端末識別情報を取得するとともに、ログインサーバ50から、ユーザの正当性が認証された場合に、端末識別情報と、当該アクセス可能な論理ネットワークのグループを示すグループ情報とを取得する。情報取得部121は、取得した当該スイッチ情報と、当該端末識別情報と、当該グループ情報(例えば、組合せID)と、アプリケーション識別情報とを関連付けて、装置情報として端末情報記憶部111に記憶させる。
また、情報取得部121は、組合せIDが、グループ組合せ情報記憶部112に存在しない場合に、新規の組合せIDとして、グループ組合せ情報記憶部112に登録するとともに、端末情報記憶部111の端末情報に、当該組合せIDと、認証結果の有効期間を示す情報とを関連付けて追加記憶させる。なお、情報取得部121は、新規の組合せIDとして登録する場合に、新たに付与した組合せIDと、取得したグループリストとを関連付けてグループ組合せ情報記憶部112に記憶させる。
このように、情報取得部121は、端末装置20が接続されたスイッチ装置30から、当該スイッチ装置30のスイッチ情報及び端末識別情報を取得するとともに、ログインサーバ50から、ユーザの正当性が認証された場合に、端末識別情報と、当該アクセス可能な論理ネットワークのグループを示すグループ情報とを取得する。情報取得部121は、取得した当該スイッチ情報と、当該端末識別情報と、当該グループ情報(例えば、組合せID)と、アプリケーション識別情報とを関連付けて、装置情報として端末情報記憶部111に記憶させる。
フロー生成部122(設定情報生成部の一例)は、スイッチ装置30を制御するフローを生成する。フロー生成部122は、例えば、端末情報記憶部111が記憶する装置情報に基づいて、端末装置20と他装置との間の通信を制御するフローを生成する。具体的に、フロー生成部122は、端末情報記憶部111が記憶する装置情報のうち、端末装置20のグループ情報と一致するグループに所属する他装置と、当該端末装置20との間の通信を許可するように、各装置が接続されているスイッチ装置30、または途中の経路に配置されているスイッチ装置30に対するフローを生成する。なお、フロー生成部122は、途中の経路に配置されているスイッチ装置30を、物理トポロジ記憶部113が記憶している情報に基づいて検出し、検出したスイッチ装置30に対するフローを生成する。
このように、フロー生成部122は、情報取得部121が取得したスイッチ情報と、グループ情報と、端末識別情報(例えば、IPアドレス)とに基づいて、フローを生成する。
このように、フロー生成部122は、情報取得部121が取得したスイッチ情報と、グループ情報と、端末識別情報(例えば、IPアドレス)とに基づいて、フローを生成する。
例えば、図1に示す例では、フロー生成部122は、スイッチ装置30−1に対して、端末装置20とポータルサーバ40との間の通信を許可するフローを生成する。
また、フロー生成部122は、パケットインを受信した場合に、当該スイッチ装置30に接続されている端末装置20とログインサーバ50との間の通信を許可するフローを生成する。例えば、図1に示す例では、端末装置20とログインサーバ50との間のスイッチ装置30−1に対する、端末装置20とログインサーバ50との間の通信を許可するフローを生成する。
また、フロー生成部122は、パケットインを受信した場合に、当該スイッチ装置30に接続されている端末装置20とログインサーバ50との間の通信を許可するフローを生成する。例えば、図1に示す例では、端末装置20とログインサーバ50との間のスイッチ装置30−1に対する、端末装置20とログインサーバ50との間の通信を許可するフローを生成する。
設定処理部123は、フロー生成部122が生成したフローを各スイッチ装置30に送信し、フローを各スイッチ装置30に設定する。すなわち、設定処理部123は、情報取得部121が取得したスイッチ情報とグループ情報と端末識別情報とに基づいて生成されたフロー(設定情報)であって、端末装置20とネットワークN1に接続されている他装置との間の通信を制御するフローをスイッチ装置30に設定する。設定処理部123は、例えば、端末装置20が接続されたスイッチ装置30から、情報取得部121が、当該スイッチ装置30のスイッチ情報及び端末識別情報を取得した場合に、端末装置20とログインサーバ50との間の通信を許可するフローをスイッチ装置30に設定する。また、設定処理部123は、パケットインを受信した場合に、当該スイッチ装置30に接続されている端末装置20とログインサーバ50との間の通信を許可するフローをスイッチ装置30に設定する。
次に、本実施形態によるネットワークシステム1及びNW制御サーバ10の動作について、図面を参照して説明する。
ここではまず、図8及び図9を参照して、本実施形態におけるネットワークシステム1の動作について説明する。
図8は、本実施形態によるネットワークシステム1の動作の一例を示す第1の図である。また、図9は、本実施形態によるネットワークシステム1の動作の一例を示す第2の図である。
ここでは、端末装置20を使用するユーザが、ポータルサーバ40にアクセスしようとして、端末装置20からログインする場合の一例について説明する。なお、図8及び図9に示す例では、端末装置20(端末装置20を使用するユーザ)と、ポータルサーバ40とが同じグループに所属しているものとして説明する。
ここではまず、図8及び図9を参照して、本実施形態におけるネットワークシステム1の動作について説明する。
図8は、本実施形態によるネットワークシステム1の動作の一例を示す第1の図である。また、図9は、本実施形態によるネットワークシステム1の動作の一例を示す第2の図である。
ここでは、端末装置20を使用するユーザが、ポータルサーバ40にアクセスしようとして、端末装置20からログインする場合の一例について説明する。なお、図8及び図9に示す例では、端末装置20(端末装置20を使用するユーザ)と、ポータルサーバ40とが同じグループに所属しているものとして説明する。
図8及び図9に示すように、ネットワークシステム1では、まず、端末装置20が、スイッチ装置30−1に接続され、ログイン要求をログインサーバ50に対して送信する(ステップS101)。なお、この状態において、スイッチ装置30−1は、端末装置20と他装置との間の通信を許可していないものとする。
スイッチ装置30−1は、ログイン要求を受信した場合に、パケットインをNW制御サーバ10に送信する(ステップS102)。すなわち、スイッチ装置30−1は、ログイン要求を受信した場合に、自装置に設定されているフローを確認し、スイッチ装置30が受信したログイン要求のパケットに対応する設定がされていないため、パケットインをNW制御サーバ10に送信する(ステップS102)。なお、このパケットインには、スイッチ装置30−1のスイッチ情報、接続ポート番号、及び端末識別情報(例えば、IPアドレス及びMACアドレス)が含まれている。
次に、NW制御サーバ10は、パケットインを受信して、IPアドレスとMACアドレスとを関連付ける(ステップS103)。すなわち、NW制御サーバ10の情報取得部121は、パケットインに含まれるスイッチ装置30−1のスイッチ情報、接続ポート番号、IPアドレス、及びMACアドレスを取得し、取得したこれらの情報を関連付けて、端末情報記憶部111に記憶させる。
次に、NW制御サーバ10は、端末装置20とログインサーバ50との接続を許可するフローを設定する(ステップS104)。すなわち、フロー生成部122は、受信したパケットインに応じて、端末装置20とログインサーバ50との間の通信(接続)を許可するフローを生成する。そして、設定処理部123は、フロー生成部122が生成した当該フローをスイッチ装置30−1に設定する。
これにより、端末装置20とログインサーバ50との間の通信が可能になり、端末装置20は、ログインサーバ50に認証アクセス要求を送信する(ステップS105)。
これにより、端末装置20とログインサーバ50との間の通信が可能になり、端末装置20は、ログインサーバ50に認証アクセス要求を送信する(ステップS105)。
次に、ログインサーバ50は、端末装置20を使用しているユーザの認証処理を実行する(ステップS106)。すなわち、ログインサーバ50のユーザ認証部521は、端末装置20から、ユーザIDと、パスワードとを取得するとともに、ユーザ情報記憶部511が記憶しているユーザ情報の中に、取得したユーザID及びパスワードの組が存在するか否かを判定する。ユーザ認証部521は、ユーザ情報記憶部511が記憶しているユーザ情報の中に、取得したユーザID及びパスワードの組が存在する場合に、正当なユーザであると認証する。そして、ユーザ認証部521は、ユーザの正当性を証明するチケットを発行する(ステップS107)。なお、ユーザ認証部521は、チケットを発行する際に、当該認証結果の有効期間を示す「削除する時刻」を決定する。
また、ログインサーバ50は、IPアドレス、グループ情報、及び「削除する時刻」を含むログイン情報を送信する(ステップS108)。すなわち、ログインサーバ50のログイン情報送信部522は、認証処理の際に取得したユーザIDに対応するグループリストをグループ情報記憶部512からグループ情報として読み出す。ログイン情報送信部522は、認証処理の際に取得した端末装置20のIPアドレスと、グループ情報記憶部512から読み出したグループリスト(グループ情報)と、「削除する時刻」とを含むログイン情報を中継サーバ60に送信する。
次に、中継サーバ60は、IPアドレス、グループ情報、及び「削除する時刻」を含むログイン情報をNW制御サーバ10に転送する(ステップS109)。ここで、中継サーバ60は、ログインサーバ50から受信したログイン情報を、NW制御サーバ10への通信インターフェースに変換してNW制御サーバ10に転送する。
NW制御サーバ10は、グループ情報を登録する(ステップS110)。すなわち、NW制御サーバ10の情報取得部121は、ログイン情報を取得し、グループ組合せ情報記憶部112を参照して、取得したログイン情報に含まれるグループリストに対応する組合せIDをグループ組合せ情報記憶部112から読み出す。そして、情報取得部121は、ログイン情報として取得したIPアドレスに対応する端末情報記憶部111の端末情報に、当該組合せIDと、「削除する時刻」とを関連付けて追加記憶させる。
次に、NW制御サーバ10は、ポータルサーバ40との接続を許可するフローを設定する(ステップS111)。すなわち、NW制御サーバ10のフロー生成部122は、端末情報記憶部111が記憶している端末情報に基づいて、端末装置20とポータルサーバ40との通信(接続)を許可するフローを生成する。つまり、端末装置20とポータルサーバ40とは、同じグループに所属しているので、端末装置20とポータルサーバ40との通信(接続)を許可するフローを生成する。そして、設定処理部123は、フロー生成部122が生成したフローをスイッチ装置30−1に設定する。
これにより、端末装置20とポータルサーバ40との間の通信が可能になる。
これにより、端末装置20とポータルサーバ40との間の通信が可能になる。
また、一方で、NW制御サーバ10は、中継サーバ60に、ログイン情報の受信に対する応答送信をし(ステップS112)、中継サーバ60は、この応答送信をログインサーバ50に転送する(ステップS113)。
次に、ログインサーバ50は、発行したチケットを端末装置20に送信する(ステップS114)。
次に、ログインサーバ50は、発行したチケットを端末装置20に送信する(ステップS114)。
次に、端末装置20は、アクセス画面要求をポータルサーバ40に送信する(ステップS115)。すなわち、端末装置20は、ログインサーバ50から受信したチケットをクッキー(cookie)に格納して、アクセス画面の要求を送信する。
次に、ポータルサーバ40は、アクセス画面を端末装置20に送信する(ステップS116)。すなわち、ポータルサーバ40は、受信したチケットにより、ユーザの正当性を確認した後、要求されたアクセス画面(コンテンツ)を端末装置20に送信する。
次に、ポータルサーバ40は、アクセス画面を端末装置20に送信する(ステップS116)。すなわち、ポータルサーバ40は、受信したチケットにより、ユーザの正当性を確認した後、要求されたアクセス画面(コンテンツ)を端末装置20に送信する。
次に、図10を参照して、本実施形態によるNW制御サーバ10の動作について説明する。
図10は、本実施形態によるNW制御サーバ10の動作の一例を示すフローチャートである。
なお、この図に示す例は、上述した図8及び図9と同様に、端末装置20を使用するユーザが、ポータルサーバ40にアクセスしようとして、端末装置20からログインする場合の一例であり、端末装置20(端末装置20を使用するユーザ)と、ポータルサーバ40とが同じグループに所属しているものとして説明する。
図10は、本実施形態によるNW制御サーバ10の動作の一例を示すフローチャートである。
なお、この図に示す例は、上述した図8及び図9と同様に、端末装置20を使用するユーザが、ポータルサーバ40にアクセスしようとして、端末装置20からログインする場合の一例であり、端末装置20(端末装置20を使用するユーザ)と、ポータルサーバ40とが同じグループに所属しているものとして説明する。
図10において、まず、NW制御サーバ10は、パケットインにより、スイッチ情報(接続SW)、接続ポート番号、MACアドレス、及びIPアドレスを取得する(ステップS201)。すなわち、情報取得部121は、スイッチ装置30−1から送信されたパケットインに含まれるスイッチ情報(接続SW)、接続ポート番号、MACアドレス、及びIPアドレスを取得する。
次に、情報取得部121は、スイッチ情報(接続SW)、接続ポート番号、MACアドレス、及びIPアドレスを端末情報記憶部111に記憶させる(ステップS202)。情報取得部121は、例えば、取得したスイッチ情報(接続SW)、接続ポート番号、MACアドレス、及びIPアドレスを関連付けて、端末情報として、端末情報記憶部111に記憶させる。
次に、設定処理部123は、取得したIPアドレスに対応する端末装置20と、ログインサーバ50との通信を許可するフローをスイッチ装置30−1に設定する(ステップS203)。すなわち、フロー生成部122が、端末装置20とログインサーバ50との間の通信を許可するフローを生成し、設定処理部123が、フロー生成部122が生成した当該フローをスイッチ装置30−1に設定する。
次に、情報取得部121は、ログインサーバ50から、認証された端末装置20のIPアドレス、グループ情報(例えば、グループリスト)、及び「削除する時刻」を取得する(ステップS204)。すなわち、情報取得部121は、ログインサーバ50から受信したログイン情報に含まれるこれらの情報(IPアドレス、グループ情報、及び「削除する時刻」)を取得する。なお、情報取得部121は、IPアドレス、グループ情報、及び「削除する時刻」の他に、ログインサーバ50から受信したログイン情報に含まれるアプリケーション識別情報を取得してもよい。
次に、情報取得部121は、取得したグループ情報(ここではグループリスト)に基づくグループの組み合わせがあるか否かを判定する(ステップS205)。すなわち、情報取得部121は、グループ組合せ情報記憶部112を参照して、取得したログイン情報に含まれるグループリストに対応する組合せIDが、グループ組合せ情報記憶部112に存在するか否かを判定する。情報取得部121は、組合せIDが、グループ組合せ情報記憶部112に存在する場合(ステップS205:YES)に、処理をステップS207に進める。また、情報取得部121は、組合せIDが、グループ組合せ情報記憶部112に存在しない場合(ステップS205:NO)に、処理をステップS206に進める。
ステップS206において、情報取得部121は、取得したグループ情報に基づく組合せIDを、グループ組合せ情報記憶部112に登録する。すなわち、情報取得部121は、新規の組合せIDと、グループリストとを関連付けてグループ組合せ情報記憶部112に記憶させる。
また、ステップS207において、情報取得部121は、取得したIPアドレスに対応する端末情報記憶部111の端末情報に、組合せID、及び「削除する時刻」を記憶させる。すなわち、情報取得部121は、ログイン情報として取得したIPアドレスに対応する端末情報記憶部111の端末情報に、当該組合せIDと、「削除する時刻」とを関連付けて追加記憶させる。なお、情報取得部121は、端末情報記憶部111に、アプリケーション識別情報を含めて追加記憶させてもよい。
次に、フロー生成部122は、端末装置20の組合せIDに対応するグループ情報と一致するグループに所属する他装置(ここでは、ポータルサーバ40)と、端末装置20との間の通信を許可するフローを生成する(ステップS208)。すなわち、フロー生成部122は、端末情報記憶部111から端末装置20の組合せIDを取得し、取得した組合せIDに対応するグループIDをグループ組合せ情報記憶部112から取得する。フロー生成部122は、取得したグループIDを含む組合せIDを、グループ組合せ情報記憶部112から全て検索し、さらに、検索した組合せIDを含む端末情報(装置情報)を端末情報記憶部111から全て検索する。フロー生成部122は、検索した端末情報(装置情報)に対応する他装置(例えば、ポータルサーバ40)と、端末装置20との間の通信を許可するフローを生成する。なお、フロー生成部122は、途中の経路に配置されているスイッチ装置30を、物理トポロジ記憶部113が記憶している情報に基づいて検出し、検出したスイッチ装置30に対するフローを生成する。例えば、フロー生成部122は、スイッチ装置30−1に対するフローを生成する。
次に、設定処理部123は、フロー生成部122が生成したフローをスイッチ装置30に設定する(ステップS209)。例えば、設定処理部123は、フロー生成部122が生成した端末装置20とポータルサーバ40との間の通信を許可するフローをスイッチ装置30−1に設定する。
以上説明したように、本実施形態によるNW制御サーバ10は、フロー(設定情報)に基づいてパケットの通過を制御可能なスイッチ装置30が配置されたネットワークN1を制御するネットワーク制御装置であって、情報取得部121(取得部)と、設定処理部123とを備えている。情報取得部121は、端末装置20が接続されるスイッチ装置30を識別するスイッチ情報と、端末装置20を識別する端末識別情報(例えば、IPアドレス、MACアドレスなど)と、当該端末装置20を利用するユーザがアクセス可能な論理ネットワークのグループを示すグループ情報(例えば、ユーザが所属するグループを示すグループ情報)とを取得する。そして、設定処理部123は、情報取得部121が取得したスイッチ情報とグループ情報と端末識別情報とに基づいて生成されたフローであって、端末装置20とネットワークN1に接続されている他装置(例えば、ポータルサーバ40)との間の通信を制御するフローをスイッチ装置30に設定する。
これにより、本実施形態によるNW制御サーバ10は、ユーザ毎に、スイッチ装置30によるネットワークの接続を変更するので、ユーザ毎に適切な接続のネットワークを構築することができる。
これにより、本実施形態によるNW制御サーバ10は、ユーザ毎に、スイッチ装置30によるネットワークの接続を変更するので、ユーザ毎に適切な接続のネットワークを構築することができる。
ここで、図11を参照して、本実施形態によるNW制御サーバ10の効果の具体例について説明する。
図11は、本実施形態によるNW制御サーバ10の効果の一例を示す図である。
この図において、スイッチ装置(30−1、30−2)を有する居室用ネットワークN11と、開発用ネットワークN12とが、スイッチ装置30−3を介して接続されて、ネットワークN1が構築されている。ここで、居室用ネットワークN11は、グループ“○○部”(G1)に所属するサーバ装置(41、42)、及び端末装置(20−1、20−2)が接続される。また、開発用ネットワークN12は、グループ“××プロジェクト”(G2)に所属するサーバ装置43が接続される。また、端末装置20−1は、グループ“○○部”(G1)及びグループ“××プロジェクト”(G2)に所属するユーザU1が利用する装置であり、端末装置20−2は、グループ“○○部”(G1)に所属するユーザU2が利用する装置である。
図11は、本実施形態によるNW制御サーバ10の効果の一例を示す図である。
この図において、スイッチ装置(30−1、30−2)を有する居室用ネットワークN11と、開発用ネットワークN12とが、スイッチ装置30−3を介して接続されて、ネットワークN1が構築されている。ここで、居室用ネットワークN11は、グループ“○○部”(G1)に所属するサーバ装置(41、42)、及び端末装置(20−1、20−2)が接続される。また、開発用ネットワークN12は、グループ“××プロジェクト”(G2)に所属するサーバ装置43が接続される。また、端末装置20−1は、グループ“○○部”(G1)及びグループ“××プロジェクト”(G2)に所属するユーザU1が利用する装置であり、端末装置20−2は、グループ“○○部”(G1)に所属するユーザU2が利用する装置である。
図11に示す例では、NW制御サーバ10は、ユーザU1が利用する端末装置20−1に対して、パケットがスイッチ装置30−1〜30−3を通過できるようにフローを設定する。そのため、端末装置20−1は、グループ“○○部”(G1)に所属する居室用ネットワークN11の各装置、及びグループ“××プロジェクト”(G2)に所属するサーバ装置43の両方との間の通信が可能である。すなわち、端末装置20−1は、例えば、端末装置20−2、及びサーバ装置(41、42)だけでなく、サーバ装置43に対しても通信することができる。
また、NW制御サーバ10は、ユーザU2が利用する端末装置20−2に対して、パケットがスイッチ装置(30−1、30−2)を通過できるようにフローを設定するとともに、スイッチ装置30−3を通過できないようにフローを設定する。そのため、端末装置20−1は、グループ“○○部”(G1)に所属する居室用ネットワークN11の各装置との間の通信が可能であるが、グループ“××プロジェクト”(G2)に所属するサーバ装置43との間の通信は、不可能である。すなわち、端末装置20−1は、例えば、サーバ装置43に対しても通信することができない。
このように、NW制御サーバ10は、ユーザU1が利用する端末装置20−1に対しては、居室用ネットワークN11と、開発用ネットワークN12との両方を利用できるネットワークを構築し、ユーザU2が利用する端末装置20−2に対しては、居室用ネットワークN11のみを利用できるネットワークを構築する。よって、NW制御サーバ10は、ユーザ毎に適切な接続のネットワークを構築することができる。
また、上述した図11に示すように、ユーザU2が利用する端末装置20−2は、スイッチ装置30−3の設定により、サーバ装置43に物理的に接続することができない。すなわち、グループに所属しない(権限のない)ユーザは、物理的なネットワークレベルで接続することができない。このため、本実施形態によるNW制御サーバ10は、悪意を持つ者からの攻撃を未然に防ぐことができ、セキュリティを向上させることができる。
また、上述した図11に示すように、ユーザU2が利用する端末装置20−2は、スイッチ装置30−3の設定により、サーバ装置43に物理的に接続することができない。すなわち、グループに所属しない(権限のない)ユーザは、物理的なネットワークレベルで接続することができない。このため、本実施形態によるNW制御サーバ10は、悪意を持つ者からの攻撃を未然に防ぐことができ、セキュリティを向上させることができる。
また、本実施形態では、NW制御サーバ10は、端末情報記憶部111(装置情報記憶部)と、フローを生成するフロー生成部122(設定情報生成部)とを備えている。ここで、端末情報記憶部111は、スイッチ装置30を識別するスイッチ情報と、当該スイッチ装置30に接続されている装置を識別する装置識別情報(端末識別情報)と、当該装置に対応するグループ情報とを関連付けた装置情報(端末情報)を記憶する。情報取得部121は、取得した当該スイッチ情報と、当該端末識別情報と、当該グループ情報とを関連付けて、装置情報として端末情報記憶部111に記憶させる。フロー生成部122は、端末情報記憶部111が記憶する装置情報に基づいて、端末装置20と他装置との間の通信を制御するフローを生成する。そして、設定処理部123は、フロー生成部122が生成したフローをスイッチ装置30に設定する。
これにより、本実施形態によるNW制御サーバ10は、端末情報記憶部111を利用した簡易な手段により、フローを生成することができるとともに、ユーザ毎に、より適切にアクセス制限されたネットワークを構築することができる。
これにより、本実施形態によるNW制御サーバ10は、端末情報記憶部111を利用した簡易な手段により、フローを生成することができるとともに、ユーザ毎に、より適切にアクセス制限されたネットワークを構築することができる。
また、本実施形態では、上述した装置情報には、ユーザに所定の権限を付与するアプリケーションを識別するアプリケーション識別情報が含まれる。情報取得部121は、スイッチ情報及び端末識別情報と、端末識別情報と、グループ情報と、アプリケーション識別情報とを取得し、取得した当該スイッチ情報と、当該端末識別情報と、当該グループ情報と、アプリケーション識別情報とを関連付けて、装置情報として端末情報記憶部111に記憶させる。
これにより、本実施形態によるNW制御サーバ10は、例えば、複数のサービス(アプリケーション)のユーザに対して、各サービスで規定されるユーザのアクセス権限に応じて、それらの権限を重ね合わせたユーザ単位での論理ネットワークを構築することができる。
これにより、本実施形態によるNW制御サーバ10は、例えば、複数のサービス(アプリケーション)のユーザに対して、各サービスで規定されるユーザのアクセス権限に応じて、それらの権限を重ね合わせたユーザ単位での論理ネットワークを構築することができる。
図12は、本実施形態によるNW制御サーバ10の別の効果の一例を示す図である。
この図において、サーバ装置44及びサーバ装置45は、例えば、社内認証システム(アプリケーション“AP01”)によってサービスが提供される(権限が付与される)“管理職用ネットワーク”(論理ネットワークN13)に含まれる。また、サーバ装置45〜サーバ装置47は、例えば、社内認証システム(アプリケーション“AP01”)によってサービスが提供される(権限が付与される)“○○部署用ネットワーク”(論理ネットワークN14)に含まれる。また、サーバ装置47及びサーバ装置48は、例えば、ネットワーク利用申請システム(アプリケーション“AP02”)によってサービスが提供される(権限が付与される)“運用保守用ネットワーク”(論理ネットワークN15)に含まれる。
この図において、サーバ装置44及びサーバ装置45は、例えば、社内認証システム(アプリケーション“AP01”)によってサービスが提供される(権限が付与される)“管理職用ネットワーク”(論理ネットワークN13)に含まれる。また、サーバ装置45〜サーバ装置47は、例えば、社内認証システム(アプリケーション“AP01”)によってサービスが提供される(権限が付与される)“○○部署用ネットワーク”(論理ネットワークN14)に含まれる。また、サーバ装置47及びサーバ装置48は、例えば、ネットワーク利用申請システム(アプリケーション“AP02”)によってサービスが提供される(権限が付与される)“運用保守用ネットワーク”(論理ネットワークN15)に含まれる。
図12に示す例では、ユーザU3が、端末装置20−3を利用して、社内認証システム(アプリケーション“AP01”)により権限を付与されてネットワークに接続した場合には、ユーザU3は、論理ネットワークN13と論理ネットワークN14との両方にアクセスできる。すなわち、この場合、NW制御サーバ10は、端末装置20−3から、社内認証システムによって許可された論理ネットワークN13に所属するサーバ装置(44、45)及び論理ネットワークN14に所属するサーバ装置(45〜47)に接続(アクセス)させるフローをスイッチ装置30に設定する。
このように、本実施形態によるNW制御サーバ10は、同一のサービス内(アプリケーション内)で、論理ネットワークを重ね合わせたネットワークをユーザ毎に構築することができる。
このように、本実施形態によるNW制御サーバ10は、同一のサービス内(アプリケーション内)で、論理ネットワークを重ね合わせたネットワークをユーザ毎に構築することができる。
また、ユーザU4が、端末装置20−4を利用して、ネットワーク利用申請システム(アプリケーション“AP02”)により権限を付与されてネットワークに接続した場合には、ユーザU4は、論理ネットワークN15にアクセスできる。すなわち、この場合、NW制御サーバ10は、端末装置20−4から、ネットワーク利用申請システムによって許可された論理ネットワークN15に所属するサーバ装置(47、48)に接続(アクセス)させるフローをスイッチ装置30に設定する。
さらに、ユーザU3が、端末装置20−3を利用して、ネットワーク利用申請システム(アプリケーション“AP02”)により権限を付与されてネットワークに接続した場合には、ユーザU3は、論理ネットワークN13及び論理ネットワークN14に加えて論理ネットワークN15にもアクセスできるようになる。すなわち、この場合、NW制御サーバ10は、端末装置20−3から、ネットワーク利用申請システムによって許可された論理ネットワークN15に所属するサーバ装置(47、48)に接続(アクセス)させるフローをスイッチ装置30に追加で設定する。
さらに、ユーザU3が、端末装置20−3を利用して、ネットワーク利用申請システム(アプリケーション“AP02”)により権限を付与されてネットワークに接続した場合には、ユーザU3は、論理ネットワークN13及び論理ネットワークN14に加えて論理ネットワークN15にもアクセスできるようになる。すなわち、この場合、NW制御サーバ10は、端末装置20−3から、ネットワーク利用申請システムによって許可された論理ネットワークN15に所属するサーバ装置(47、48)に接続(アクセス)させるフローをスイッチ装置30に追加で設定する。
これにより、ユーザU3が、サービス(アプリケーション)の異なる論理ネットワーク(論理ネットワークN13及びN14と、論理ネットワークN15と)を重ね合わせたネットワークを構築することができる。
このように、本実施形態によるNW制御サーバ10は、例えば、複数のサービス(アプリケーション)のユーザに対して、各サービスで規定されるユーザのアクセス権限に応じて、それらの権限を重ね合わせたユーザ単位での論理ネットワークを構築することができる。
このように、本実施形態によるNW制御サーバ10は、例えば、複数のサービス(アプリケーション)のユーザに対して、各サービスで規定されるユーザのアクセス権限に応じて、それらの権限を重ね合わせたユーザ単位での論理ネットワークを構築することができる。
また、本実施形態では、設定処理部123は、端末装置20のグループ情報と一致するグループに所属する他装置と、当該端末装置20との間の通信を許可するように生成されたフロー(設定情報)をスイッチ装置30に設定する。
これにより、本実施形態によるNW制御サーバ10は、端末装置20と同一のグループに所属する他装置との間の通信を、ユーザごとに許可することができる。
これにより、本実施形態によるNW制御サーバ10は、端末装置20と同一のグループに所属する他装置との間の通信を、ユーザごとに許可することができる。
また、本実施形態では、情報取得部121は、端末装置20が接続されたスイッチ装置30から、当該スイッチ装置30のスイッチ情報及び端末識別情報を取得する。そして、情報取得部121は、ユーザの正当性を認証するログインサーバ50(権限付与装置)から、ユーザの正当性が認証された場合に、端末識別情報と、当該ユーザがアクセス可能な論理ネットワークのグループを示すグループ情報とを取得する。すなわち、ログインサーバ50は、ユーザに所定の権限(例えば、ネットワークN1に接続する権限)を付与するログインサーバ50から、ユーザに所定の権限が付与された場合に、端末識別情報と、当該ユーザがアクセス可能な論理ネットワークのグループを示すグループ情報とを取得する。設定処理部123は、端末装置20が接続されたスイッチ装置30から、情報取得部121が、当該スイッチ装置30のスイッチ情報及び端末識別情報を取得した場合に、端末装置20とログインサーバ50との間の通信を許可するフローをスイッチ装置30に設定する。
これにより、ログインサーバ50によりユーザの正当性が確認された上で、スイッチ装置30を制御するので、本実施形態によるNW制御サーバ10は、ユーザの正当性を確保しつつ、ユーザ毎に、より適切にアクセス制限されたネットワークを構築することができる。
これにより、ログインサーバ50によりユーザの正当性が確認された上で、スイッチ装置30を制御するので、本実施形態によるNW制御サーバ10は、ユーザの正当性を確保しつつ、ユーザ毎に、より適切にアクセス制限されたネットワークを構築することができる。
また、本実施形態によれば、ネットワークシステム1は、ネットワーク上に配置され、フローに基づいてパケットの通過を制御可能なスイッチ装置30と、ログインサーバ50と、スイッチ装置30が配置されたネットワークを制御するNW制御サーバ10とを備えている。スイッチ装置30は、自装置を識別するスイッチ情報と、端末装置20を識別する端末識別情報とを送信する。ログインサーバ50は、端末装置20を利用するユーザの正当性を認証し、当該ユーザの正当性が認証された場合に、端末識別情報と、当該ユーザがアクセス可能な論理ネットワークのグループを示すグループ情報とを送信する。すなわち、ログインサーバ50は、端末装置20を利用するユーザに所定の権限を付与し、当該ユーザに所定の権限が付与された場合に、端末識別情報と、当該ユーザがアクセス可能な論理ネットワークのグループを示すグループ情報とを送信する。そして、NW制御サーバ10は、端末装置20が接続されたスイッチ装置30が送信した当該スイッチ装置30のスイッチ情報及び端末識別情報を取得するとともに、ログインサーバ50が送信した端末識別情報及びグループ情報を取得する。また、NW制御サーバ10は、取得したスイッチ情報とグループ情報と端末識別情報とに基づいて生成されたフローであって、端末装置20とネットワークに接続されている他装置との間の通信を制御するフローをスイッチ装置30に設定する。
これにより、本実施形態によるネットワークシステム1は、上述したNW制御サーバ10と同様に、ユーザ毎に適切な接続のネットワークを構築することができる。
これにより、本実施形態によるネットワークシステム1は、上述したNW制御サーバ10と同様に、ユーザ毎に適切な接続のネットワークを構築することができる。
また、本実施形態によるネットワークシステム1の制御方法は、第1のステップと、第2の送信ステップと、取得ステップと、設定処理ステップとを含んでいる。第1のステップにおいて、スイッチ装置30が、自装置を識別するスイッチ情報と、端末装置20を識別する端末識別情報とを送信する。第2の送信ステップにおいて、ログインサーバ50が、端末装置20を利用するユーザの正当性が認証された場合に、端末識別情報と、当該ユーザがアクセス可能な論理ネットワークのグループを示すグループ情報とを送信する。取得ステップにおいて、NW制御サーバ10が、端末装置20が接続されたスイッチ装置30が送信した当該スイッチ装置30のスイッチ情報及び端末識別情報を取得するとともに、ログインサーバ50が送信した端末識別情報及びグループ情報を取得する。設定処理ステップにおいて、NW制御サーバ10が、取得したスイッチ情報とグループ情報と端末識別情報とに基づいて生成されたフローであって、端末装置20とネットワークに接続されている他装置との間の通信を制御するフローをスイッチ装置30に設定する。
これにより、本実施形態によるネットワークシステム1の制御方法は、上述したNW制御サーバ10と同様に、ユーザ毎に適切な接続のネットワークを構築することができる。
これにより、本実施形態によるネットワークシステム1の制御方法は、上述したNW制御サーバ10と同様に、ユーザ毎に適切な接続のネットワークを構築することができる。
[第2の実施形態]
次に、図面を参照して、第2の実施形態によるネットワークシステム1及びNW制御サーバ10について説明する。
上述した第1の実施形態では、ログインサーバ50による認証処理の後に、全てのスイッチ装置30に対してフローを設定する場合を説明したが、本実施形態では、スイッチ装置30がパケットを受信した際に出力するパケットインに応じて、フローを設定する場合の一例を説明する。
なお、ネットワークシステム1及びNW制御サーバ10は、図1に示す第1の実施形態と同様であるので、ここではその説明を省略する。
次に、図面を参照して、第2の実施形態によるネットワークシステム1及びNW制御サーバ10について説明する。
上述した第1の実施形態では、ログインサーバ50による認証処理の後に、全てのスイッチ装置30に対してフローを設定する場合を説明したが、本実施形態では、スイッチ装置30がパケットを受信した際に出力するパケットインに応じて、フローを設定する場合の一例を説明する。
なお、ネットワークシステム1及びNW制御サーバ10は、図1に示す第1の実施形態と同様であるので、ここではその説明を省略する。
次に、本実施形態によるネットワークシステム1及びNW制御サーバ10の動作について、図面を参照して説明する。
なお、ネットワークシステム1の基本的な動作は、図8及び図9に示す第1の実施形態と同様であるので、その説明を省略する。ここでは、図13を参照して、本実施形態によるNW制御サーバ10の動作について説明する。
なお、ネットワークシステム1の基本的な動作は、図8及び図9に示す第1の実施形態と同様であるので、その説明を省略する。ここでは、図13を参照して、本実施形態によるNW制御サーバ10の動作について説明する。
図13は、本実施形態によるNW制御サーバ10の動作の一例を示すフローチャートである。
なお、この図に示す例は、上述した図8及び図9と同様に、端末装置20を使用するユーザが、ポータルサーバ40にアクセスしようとして、端末装置20からログインする場合の一例であり、端末装置20(端末装置20を使用するユーザ)と、ポータルサーバ40とが同じグループに所属しているものとして説明する。
なお、この図に示す例は、上述した図8及び図9と同様に、端末装置20を使用するユーザが、ポータルサーバ40にアクセスしようとして、端末装置20からログインする場合の一例であり、端末装置20(端末装置20を使用するユーザ)と、ポータルサーバ40とが同じグループに所属しているものとして説明する。
図13において、まず、NW制御サーバ10は、パケットインを受信したか否かを判定する(ステップS301)。すなわち、NW制御サーバ10の情報取得部121は、スイッチ装置30からのパケットインを受信したか否かを判定する。情報取得部121は、パケットインを受信した場合(ステップS301:YES)に、処理をステップS302に進め、パケットインを受信していない場合(ステップS301:NO)に、処理をステップS301に戻す。
ステップS302において、情報取得部121は、端末装置20が端末情報記憶部111に記憶されているか否かを判定する。すなわち、情報取得部121は、パケットインを送信したスイッチ装置30に接続されている端末装置20の端末情報が、端末情報記憶部111に記憶されているか否かを判定する。情報取得部121は、端末装置20の端末情報が、端末情報記憶部111に記憶されている場合(ステップS302:YES)に、処理をステップS310に進める。また、情報取得部121は、端末装置20の端末情報が、端末情報記憶部111に記憶されていない場合(ステップS302:NO)に、処理をステップS303に進める。
続く、ステップS303からステップS309までの処理は、上述した図10に示すステップS201からステップS207までの処理と同様であるので、ここではその説明を省略する。なお、ステップS309までの処理の後、NW制御サーバ10は、処理をステップS301に戻す。
また、端末装置20の端末情報が、端末情報記憶部111に記憶されている場合の処理であるステップS310において、設定処理部123は、端末情報記憶部111が記憶する組合せIDに基づいてパケットインを送信したスイッチ装置30を制御するフローを設定する。すなわち、フロー生成部122が、端末情報記憶部111が記憶する組合せIDに基づいてパケットインを送信したスイッチ装置30を制御するフローを生成する。そして、設定処理部123は、フロー生成部122が生成したフローを、パケットインを送信したスイッチ装置30に設定し、処理をステップS301に戻す。
以上説明したように、本実施形態によるNW制御サーバ10及びネットワークシステム1では、設定処理部123は、スイッチ装置30からの要求(例えば、パケットインなど)に応じて、スイッチ装置30にフローを設定する。
これにより、本実施形態によるNW制御サーバ10及びネットワークシステム1は、実際に通信に使用する位置に配置されているスイッチ装置30に対して、フローを設定する。そのため、本実施形態によるNW制御サーバ10及びネットワークシステム1は、フローを生成及び設定する処理量(演算量)を低減することができる。よって、本実施形態によるNW制御サーバ10及びネットワークシステム1は、処理量を低減しつつ、ユーザ毎に適切な接続のネットワークを構築することができる。
これにより、本実施形態によるNW制御サーバ10及びネットワークシステム1は、実際に通信に使用する位置に配置されているスイッチ装置30に対して、フローを設定する。そのため、本実施形態によるNW制御サーバ10及びネットワークシステム1は、フローを生成及び設定する処理量(演算量)を低減することができる。よって、本実施形態によるNW制御サーバ10及びネットワークシステム1は、処理量を低減しつつ、ユーザ毎に適切な接続のネットワークを構築することができる。
[第3の実施形態]
次に、図面を参照して、第3の実施形態によるネットワークシステム1a及びNW制御サーバ10aについて説明する。
上述した第1の実施形態では、ネットワークN1内で固有(ユニーク)に設定(付与)されるグループの組合せを利用して、スイッチ装置30を制御する場合について説明したが、本実施形態では、グループがアプリケーションごとに異なる設定がされた場合の一例について説明する。本実施形態では、グループの代わりにネットワークN1内で固有(ユニーク)に付与されるスライスの組合せを利用して、スイッチ装置30を制御する場合の一例について説明する。なお、ユーザが所属するグループを示すグループ情報には、本実施形態におけるスライス及びスライスの組合せも含まれる。
次に、図面を参照して、第3の実施形態によるネットワークシステム1a及びNW制御サーバ10aについて説明する。
上述した第1の実施形態では、ネットワークN1内で固有(ユニーク)に設定(付与)されるグループの組合せを利用して、スイッチ装置30を制御する場合について説明したが、本実施形態では、グループがアプリケーションごとに異なる設定がされた場合の一例について説明する。本実施形態では、グループの代わりにネットワークN1内で固有(ユニーク)に付与されるスライスの組合せを利用して、スイッチ装置30を制御する場合の一例について説明する。なお、ユーザが所属するグループを示すグループ情報には、本実施形態におけるスライス及びスライスの組合せも含まれる。
図14は、本実施形態によるネットワークシステム1aの一例を示す機能ブロック図である。
図14に示すように、ネットワークシステム1aは、NW制御サーバ10a、端末装置20、スイッチ装置30(30−1〜30−N)、ポータルサーバ40、ログインサーバ50、及び中継サーバ60を備えている。
また、NW制御サーバ10aは、記憶部11aと、制御部12とを備え、記憶部11aは、端末情報記憶部111aと、スライス組合せ情報記憶部112aと、物理トポロジ記憶部113と、スライス情報記憶部114とを備えている。
なお、この図において、図1に示す構成と同一の構成については同一の符号を付し、その説明を省略する。
図14に示すように、ネットワークシステム1aは、NW制御サーバ10a、端末装置20、スイッチ装置30(30−1〜30−N)、ポータルサーバ40、ログインサーバ50、及び中継サーバ60を備えている。
また、NW制御サーバ10aは、記憶部11aと、制御部12とを備え、記憶部11aは、端末情報記憶部111aと、スライス組合せ情報記憶部112aと、物理トポロジ記憶部113と、スライス情報記憶部114とを備えている。
なお、この図において、図1に示す構成と同一の構成については同一の符号を付し、その説明を省略する。
本実施形態では、NW制御サーバ10aの記憶部11aの構成が異なる点と、この記憶部11aの構成の違いによる制御部12の処理の一部が異なる点とが、第1の実施形態と異なる。これらの異なる点について以下説明する。
図15は、本実施形態における端末情報記憶部111aのデータ例を示す図である。
この図において、端末情報記憶部111a(装置情報記憶部の一例)は、「接続SW」と、「接続ポート番号」と、「MACアドレス」と、「IPアドレス」と、「組合せID」と、「AppID」と、「削除する時刻」とを関連付けて端末情報として記憶している。ここで、「組合せID」は、スライスの組合せを示しており、本実施形態では、グループの組合せの代わりに、スライスの組合せが利用される。
この図において、端末情報記憶部111a(装置情報記憶部の一例)は、「接続SW」と、「接続ポート番号」と、「MACアドレス」と、「IPアドレス」と、「組合せID」と、「AppID」と、「削除する時刻」とを関連付けて端末情報として記憶している。ここで、「組合せID」は、スライスの組合せを示しており、本実施形態では、グループの組合せの代わりに、スライスの組合せが利用される。
また、スライス組合せ情報記憶部112aは、スライスの組合せを示す組合せIDとスライスリストとの対応を示す対応テーブルを記憶する。スライス組合せ情報記憶部112aは、例えば、組合せIDと、当該組合せIDに対応するスライスリストとを関連付けて記憶する。
図16は、本実施形態におけるスライス組合せ情報記憶部112aのデータ例を示す図である。
この図において、スライス組合せ情報記憶部112aは、「組合せID」と、「スライスリスト」とを関連付けて記憶している。なお、「スライスリスト」は、「組合せID」に含まれるスライスIDの組(リスト)を示している。
このようにスライス組合せ情報記憶部112aのデータを構成することにより、「組合せID」から対応するスライスIDの組(リスト)を検索することができる。
図16は、本実施形態におけるスライス組合せ情報記憶部112aのデータ例を示す図である。
この図において、スライス組合せ情報記憶部112aは、「組合せID」と、「スライスリスト」とを関連付けて記憶している。なお、「スライスリスト」は、「組合せID」に含まれるスライスIDの組(リスト)を示している。
このようにスライス組合せ情報記憶部112aのデータを構成することにより、「組合せID」から対応するスライスIDの組(リスト)を検索することができる。
また、スライス情報記憶部114は、スライスと、アプリケーション及びグループとを対応を示す対応テーブルを記憶する。スライス情報記憶部114は、例えば、スライスを識別するスライス情報と、アプリケーションを識別するアプリケーション識別情報と、グループを識別するグループ情報とを関連付けて記憶する。ここで、図17を参照して、スライス情報記憶部114のデータ例について説明する。
図17は、本実施形態におけるスライス情報記憶部114のデータ例を示す図である。
この図において、スライス情報記憶部114は、「スライスID」と、「AppID」と、「App名」と、「グループID」と、「グループ名」とを関連付けて記憶している。なお、「スライスID」は、上述したスライス情報を示し、「AppID」及び「App名」は、アプリケーション識別情報を示している。また、「グループID」及び「グループ名」は、グループ情報を示している。
図17は、本実施形態におけるスライス情報記憶部114のデータ例を示す図である。
この図において、スライス情報記憶部114は、「スライスID」と、「AppID」と、「App名」と、「グループID」と、「グループ名」とを関連付けて記憶している。なお、「スライスID」は、上述したスライス情報を示し、「AppID」及び「App名」は、アプリケーション識別情報を示している。また、「グループID」及び「グループ名」は、グループ情報を示している。
図17に示す例では、「スライスID」が“S01”であるスライスに対応する「AppID」及び「App名」が、“AP01”及び“○○アプリ”であり、「グループID」及び「グループ名」が、“G01”及び“○○部”であることを示している。
このようにスライス情報記憶部114のデータを構成することにより、「AppID」及び「グループID」から「スライスID」を検索することができる。
なお、図17の2行目のデータに示すように、「スライスID」と「グループID」とを同一のものを使用してもよい。
このようにスライス情報記憶部114のデータを構成することにより、「AppID」及び「グループID」から「スライスID」を検索することができる。
なお、図17の2行目のデータに示すように、「スライスID」と「グループID」とを同一のものを使用してもよい。
また、本実施形態における情報取得部121及びフロー生成部122は、グループの「組合せID」及び「グループID」の代わりに、スライスの「組合せID」及び「スライスID」を用いる点を除いて、第1の実施形態と同様である。
本実施形態における情報取得部121は、例えば、「AppID」及び「グループリスト」をログインサーバ50から取得し、取得した「AppID」及び「グループリスト」を、スライス情報記憶部114を検索して、スライスIDのリストに変換する。情報取得部121は、変換したスライスIDのリストに基づくスライスの「組合せID」を端末情報記憶部111aに記憶させる。
本実施形態における情報取得部121は、例えば、「AppID」及び「グループリスト」をログインサーバ50から取得し、取得した「AppID」及び「グループリスト」を、スライス情報記憶部114を検索して、スライスIDのリストに変換する。情報取得部121は、変換したスライスIDのリストに基づくスライスの「組合せID」を端末情報記憶部111aに記憶させる。
以上説明したように、本実施形態におけるNW制御サーバ10aは、グループとは別にネットワークN1内で固有(ユニーク)に付与されるスライスの組合せに基づいて、スイッチ装置30を制御する。
これにより、本実施形態におけるNW制御サーバ10a及びネットワークシステム1aは、ネットワークN1内でグループIDがユニークでない場合であっても、ユーザ毎に適切な接続のネットワークを構築することができる。なお、ネットワークN1内でグループIDがユニークでない場合とは、例えば、アプリケーションごとにグループIDが異なる場合や、複数のログインサーバ50が存在し、アプリケーションごとに異なるログインサーバ50を利用する場合などである。
これにより、本実施形態におけるNW制御サーバ10a及びネットワークシステム1aは、ネットワークN1内でグループIDがユニークでない場合であっても、ユーザ毎に適切な接続のネットワークを構築することができる。なお、ネットワークN1内でグループIDがユニークでない場合とは、例えば、アプリケーションごとにグループIDが異なる場合や、複数のログインサーバ50が存在し、アプリケーションごとに異なるログインサーバ50を利用する場合などである。
なお、本発明は、上記の各実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で変更可能である。
例えば、上記の各実施形態において、スイッチ装置30は、オープンフロースイッチである場合の一例を説明したが、これに限定されるものではなく、設定情報に基づいてパケットの通過を制御可能なスイッチであれば、他の方式のスイッチであってもよい。
また、上記の各実施形態において、ネットワークシステム1(1a)は、中継サーバを備える例を説明したが、これに限定されるものではない。例えば、ログインサーバ50とNW制御サーバ10(10a)との間でインターフェースの変換が必要ない場合には、ネットワークシステム1(1a)は、中継サーバを備えずに構成してもよい。
例えば、上記の各実施形態において、スイッチ装置30は、オープンフロースイッチである場合の一例を説明したが、これに限定されるものではなく、設定情報に基づいてパケットの通過を制御可能なスイッチであれば、他の方式のスイッチであってもよい。
また、上記の各実施形態において、ネットワークシステム1(1a)は、中継サーバを備える例を説明したが、これに限定されるものではない。例えば、ログインサーバ50とNW制御サーバ10(10a)との間でインターフェースの変換が必要ない場合には、ネットワークシステム1(1a)は、中継サーバを備えずに構成してもよい。
また、上記の各実施形態において、ログインサーバ50及びNW制御サーバ10(10a)は、それぞれ1つのサーバ装置として構成する例を説明したが、これに限定されるものではない。例えば、ログインサーバ50及びNW制御サーバ10(10a)は、複数のサーバ装置により構成されてもよい。また、NW制御サーバ10(10a)は、ログインサーバ50の一部又は全部を含んで構成されてもよい。
また、上記の各実施形態において、ネットワークシステム1(1a)は、権限付与装置の一例として、ログインサーバ50を備える例を説明したが、これに限定されるものではない。例えば、ネットワークシステム1(1a)は、ワークフローや承認システムにおけるユーザに所定の権限を与えるサーバ装置を、権限付与装置として備えてもよい。この場合、ワークフローや承認システムの承認処理により、例えば、課長代行などの職制権限を一時的にユーザに付与し、課長が所属するグループに対応するネットワークに一時的に、接続可能にするなど、ユーザ毎のネットワークを動的に変更することが可能になる。
また、上記の各実施形態において、NW制御サーバ10(10a)は、スイッチ装置30にフローを送信する度に、フローを生成する例を説明したが、予め生成したフローを記憶部11(11a)に記憶させておいてもよい。
また、上記の実施形態において、グループ情報として、グループの組合せ、又はスライスの組合せを端末情報記憶部111(111a)に記憶させる例を説明したが、グループリスト、又はスライスリストを端末情報記憶部111(111a)に記憶させる構成としてもよい。
また、上記の実施形態において、グループ情報として、グループの組合せ、又はスライスの組合せを端末情報記憶部111(111a)に記憶させる例を説明したが、グループリスト、又はスライスリストを端末情報記憶部111(111a)に記憶させる構成としてもよい。
また、上記の各実施形態において、端末情報記憶部111(111a)が、アプリケーション識別情報(アプリケーションID)を記憶する一例を説明したが、アプリケーション識別情報(アプリケーションID)を記憶しない構成であってもよい。この場合、端末情報記憶部111(111a)には、各アプリケーションにより権限が付与される毎に、アプリケーション識別情報を含まない端末情報(装置情報)が追加される。すなわち、端末情報記憶部111(111a)には、1つの端末装置20に対して、アプリケーション毎に複数の端末情報(装置情報)が記憶される。NW制御サーバ10(10a)は、端末装置20に対応する複数の端末情報(装置情報)に含まれるグループ情報に基づいて、当該端末装置20と他装置との間の通信を制御するフローを各スイッチ装置30に設定する。
こうすることで、NW制御サーバ10(10a)は、例えば、複数のアプリケーションのユーザに対して、各アプリケーションで規定されるユーザのアクセス権限に応じて、それらの権限を重ね合わせたユーザ単位での論理ネットワークを構築することができる。
こうすることで、NW制御サーバ10(10a)は、例えば、複数のアプリケーションのユーザに対して、各アプリケーションで規定されるユーザのアクセス権限に応じて、それらの権限を重ね合わせたユーザ単位での論理ネットワークを構築することができる。
上述のように、複数のアプリケーションにより権限が付与される場合に、情報取得部121は、複数のアプリケーションに対応するグループ情報をまとめた新たなグループ情報(例えば、組合せ情報)を生成し、生成した新たなグループ情報を端末情報記憶部111(111a)に記憶させてもよい。この場合、端末情報記憶部111(111a)には、生成した新たなグループ情報(例えば、組合せ情報)を含む端末情報(装置情報)であって、アプリケーション識別情報を含まない1つの端末情報(装置情報)が記憶される。なお、ここでの組合せ情報は、グループ組合せ情報、又はスライス組合せ情報のことである。
なお、上述したネットワークシステム1(1a)が備える各構成は、内部に、コンピュータシステムを有している。そして、上述したネットワークシステム1(1a)が備える各構成の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより上述したネットワークシステム1(1a)が備える各構成における処理を行ってもよい。ここで、「記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行する」とは、コンピュータシステムにプログラムをインストールすることを含む。ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。
また、「コンピュータシステム」は、インターネットやWAN、LAN、専用回線等の通信回線を含むネットワークを介して接続された複数のコンピュータ装置を含んでもよい。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。このように、プログラムを記憶した記録媒体は、CD−ROM等の非一過性の記録媒体であってもよい。
また、「コンピュータシステム」は、インターネットやWAN、LAN、専用回線等の通信回線を含むネットワークを介して接続された複数のコンピュータ装置を含んでもよい。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。このように、プログラムを記憶した記録媒体は、CD−ROM等の非一過性の記録媒体であってもよい。
また、記録媒体には、当該プログラムを配信するために配信サーバからアクセス可能な内部又は外部に設けられた記録媒体も含まれる。なお、プログラムを複数に分割し、それぞれ異なるタイミングでダウンロードした後にネットワークシステム1(1a)が備える各構成で合体される構成や、分割されたプログラムのそれぞれを配信する配信サーバが異なっていてもよい。さらに「コンピュータ読み取り可能な記録媒体」とは、ネットワークを介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。また、上記プログラムは、上述した機能の一部を実現するためのものであってもよい。さらに、上述した機能をコンピュータシステムに既に記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
また、上述した機能の一部又は全部を、LSI(Large Scale Integration)等の集積回路として実現してもよい。上述した各機能は個別にプロセッサ化してもよいし、一部、又は全部を集積してプロセッサ化してもよい。また、集積回路化の手法はLSIに限らず専用回路、又は汎用プロセッサで実現してもよい。また、半導体技術の進歩によりLSIに代替する集積回路化の技術が出現した場合、当該技術による集積回路を用いてもよい。
1、1a ネットワークシステム
10、10a NW制御サーバ
11、11a 記憶部
12 制御部
20、20−1、20−2、20−3、20−4 端末装置
30、30−1、30−N スイッチ装置
40 ポータルサーバ
41、42、43、44、45、46、47、48 サーバ装置
50 ログインサーバ
51 ログイン記憶部
52 ログイン制御部
60 中継サーバ
111、111a 端末情報記憶部
112 グループ組合せ情報記憶部
112a スライス組合せ情報記憶部
113 物理トポロジ記憶部
114 スライス情報記憶部
121 情報取得部
122 フロー生成部
123 設定処理部
511 ユーザ情報記憶部
512 グループ情報記憶部
513 ユーザ・グループ対応記憶部
521 ユーザ認証部
522 ログイン情報送信部
N1 ネットワーク
U1、U2、U3、U4 ユーザ
10、10a NW制御サーバ
11、11a 記憶部
12 制御部
20、20−1、20−2、20−3、20−4 端末装置
30、30−1、30−N スイッチ装置
40 ポータルサーバ
41、42、43、44、45、46、47、48 サーバ装置
50 ログインサーバ
51 ログイン記憶部
52 ログイン制御部
60 中継サーバ
111、111a 端末情報記憶部
112 グループ組合せ情報記憶部
112a スライス組合せ情報記憶部
113 物理トポロジ記憶部
114 スライス情報記憶部
121 情報取得部
122 フロー生成部
123 設定処理部
511 ユーザ情報記憶部
512 グループ情報記憶部
513 ユーザ・グループ対応記憶部
521 ユーザ認証部
522 ログイン情報送信部
N1 ネットワーク
U1、U2、U3、U4 ユーザ
Claims (7)
- 設定情報に基づいてパケットの通過を制御可能なスイッチ装置が配置されたネットワークを制御するネットワーク制御装置であって、
端末装置が接続される前記スイッチ装置を識別するスイッチ情報と、前記端末装置を識別する端末識別情報と、当該端末装置を利用するユーザがアクセス可能な論理ネットワークのグループを示すグループ情報であって、前記ユーザに対応付けられたグループ情報とを取得する取得部と、
前記取得部が取得した前記スイッチ情報と前記グループ情報と前記端末識別情報とに基づいて生成された前記設定情報であって、前記端末装置と前記ネットワークに接続されている他装置との間の通信を制御する前記設定情報を前記スイッチ装置に設定する設定処理部と
を備えることを特徴とするネットワーク制御装置。 - 前記スイッチ装置を識別するスイッチ情報と、当該スイッチ装置に接続されている装置を識別する装置識別情報と、当該装置に対応するグループ情報とを関連付けた装置情報を記憶する装置情報記憶部と、
前記設定情報を生成する設定情報生成部と
を備え、
前記取得部は、
取得した当該スイッチ情報と、当該端末識別情報と、当該グループ情報とを関連付けて、前記装置情報として前記装置情報記憶部に記憶させ、
前記設定情報生成部は、
前記装置情報記憶部が記憶する前記装置情報に基づいて、前記端末装置と前記他装置との間の通信を制御する前記設定情報を生成し、
前記設定処理部は、
前記設定情報生成部が生成した前記設定情報を前記スイッチ装置に設定する
ことを特徴とする請求項1に記載のネットワーク制御装置。 - 前記設定処理部は、
前記端末装置の前記グループ情報と一致するグループに所属する前記他装置と、当該端末装置との間の通信を許可するように生成された前記設定情報を前記スイッチ装置に設定する
ことを特徴とする請求項1又は請求項2に記載のネットワーク制御装置。 - 前記装置情報には、前記ユーザに所定の権限を付与するアプリケーションを識別するアプリケーション識別情報が含まれ、
前記取得部は、
前記端末装置が接続された前記スイッチ装置から、当該スイッチ装置の前記スイッチ情報及び前記端末識別情報を取得するとともに、前記ユーザに所定の権限を付与する権限付与装置から、前記ユーザに前記所定の権限が付与された場合に、前記端末識別情報と、当該ユーザがアクセス可能な論理ネットワークのグループを示すグループ情報と、前記アプリケーション識別情報とを取得し、取得した当該スイッチ情報と、当該端末識別情報と、当該グループ情報と、前記アプリケーション識別情報とを関連付けて、前記装置情報として前記装置情報記憶部に記憶させ、
前記設定処理部は、
前記端末装置が接続された前記スイッチ装置から、前記取得部が、当該スイッチ装置の前記スイッチ情報及び前記端末識別情報を取得した場合に、前記端末装置と前記権限付与装置との間の通信を許可する前記設定情報を前記スイッチ装置に設定する
ことを特徴とする請求項2に記載のネットワーク制御装置。 - ネットワーク上に配置され、設定情報に基づいてパケットの通過を制御可能なスイッチ装置であって、自装置を識別するスイッチ情報と、端末装置を識別する端末識別情報とを送信するスイッチ装置と、
前記端末装置を利用するユーザに所定の権限を付与し、当該ユーザに前記所定の権限が付与された場合に、前記端末識別情報と、当該ユーザがアクセス可能な論理ネットワークのグループを示すグループ情報であって、当該ユーザに対応付けられたグループ情報とを送信する権限付与装置と、
前記スイッチ装置が配置されたネットワークを制御するネットワーク制御装置であって、前記端末装置が接続される前記スイッチ装置を識別する前記スイッチ情報と、前記端末識別情報と、前記ユーザに対応付けられた前記グループ情報とを取得するネットワーク制御装置と
を備え、
前記ネットワーク制御装置は、
前記端末装置が接続された前記スイッチ装置が送信した当該スイッチ装置の前記スイッチ情報及び前記端末識別情報を取得するとともに、前記権限付与装置が送信した前記端末識別情報及び前記グループ情報を取得し、
取得した前記スイッチ情報と前記グループ情報と前記端末識別情報とに基づいて生成された前記設定情報であって、前記端末装置と前記ネットワークに接続されている他装置との間の通信を制御する前記設定情報を前記スイッチ装置に設定する
ことを特徴とするネットワークシステム。 - ネットワーク上に配置され、設定情報に基づいてパケットの通過を制御可能なスイッチ装置と、端末装置を利用するユーザに所定の権限を付与する権限付与装置と、前記スイッチ装置が配置されたネットワークを制御するネットワーク制御装置とを備えるネットワークシステムの制御方法であって、
前記スイッチ装置が、自装置を識別するスイッチ情報と、前記端末装置を識別する端末識別情報とを送信するステップと、
前記権限付与装置が、前記端末装置を利用するユーザに前記所定の権限が付与された場合に、前記端末識別情報と、当該ユーザがアクセス可能な論理ネットワークのグループを示すグループ情報であって、当該ユーザに対応付けられたグループ情報とを送信するステップと、
前記ネットワーク制御装置が、前記端末装置が接続される前記スイッチ装置を識別する前記スイッチ情報と、前記端末識別情報と、前記ユーザに対応付けられた前記グループ情報とを取得するステップであって、前記端末装置が接続された前記スイッチ装置が送信した当該スイッチ装置の前記スイッチ情報及び前記端末識別情報を取得するとともに、前記権限付与装置が送信した前記端末識別情報及び前記グループ情報を取得するステップと、
前記ネットワーク制御装置が、取得した前記スイッチ情報と前記グループ情報と前記端末識別情報とに基づいて生成された前記設定情報であって、前記端末装置と前記ネットワークに接続されている他装置との間の通信を制御する前記設定情報を前記スイッチ装置に設定するステップと
を含むことを特徴とするネットワークシステムの制御方法。 - 設定情報に基づいてパケットの通過を制御可能なスイッチ装置が配置されたネットワークを制御するネットワーク制御装置のコンピュータに、
端末装置が接続される前記スイッチ装置を識別するスイッチ情報と、前記端末装置を識別する端末識別情報と、当該端末装置を利用するユーザがアクセス可能な論理ネットワークのグループを示すグループ情報であって、前記ユーザに対応付けられたグループ情報とを取得する取得ステップと、
前記取得ステップによって取得した前記スイッチ情報と前記グループ情報と前記端末識別情報とに基づいて生成された前記設定情報であって、前記端末装置と前記ネットワークに接続されている他装置との間の通信を制御する前記設定情報を前記スイッチ装置に設定する設定処理ステップと
を実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014072070A JP6357335B2 (ja) | 2014-03-31 | 2014-03-31 | ネットワーク制御装置、ネットワークシステム、ネットワークシステムの制御方法、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014072070A JP6357335B2 (ja) | 2014-03-31 | 2014-03-31 | ネットワーク制御装置、ネットワークシステム、ネットワークシステムの制御方法、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015195478A JP2015195478A (ja) | 2015-11-05 |
| JP6357335B2 true JP6357335B2 (ja) | 2018-07-11 |
Family
ID=54434169
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014072070A Active JP6357335B2 (ja) | 2014-03-31 | 2014-03-31 | ネットワーク制御装置、ネットワークシステム、ネットワークシステムの制御方法、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6357335B2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6701779B2 (ja) * | 2016-02-15 | 2020-05-27 | 株式会社リコー | 通信システム |
| CN109565470A (zh) * | 2016-08-17 | 2019-04-02 | 株式会社Ntt都科摩 | 切片分配方法 |
| JP6932133B2 (ja) * | 2016-08-17 | 2021-09-08 | 株式会社Nttドコモ | スライス割当方法 |
| JP6778146B2 (ja) * | 2017-05-31 | 2020-10-28 | 日本電信電話株式会社 | サービススライス割当装置及びサービススライス割当方法 |
| JP6977664B2 (ja) * | 2018-05-30 | 2021-12-08 | 日本電信電話株式会社 | 管理装置、管理方法及び管理プログラム |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5566952B2 (ja) * | 2011-06-14 | 2014-08-06 | 日本電信電話株式会社 | ネットワークシステム、中継制御装置、中継制御方法及び中継制御プログラム |
-
2014
- 2014-03-31 JP JP2014072070A patent/JP6357335B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015195478A (ja) | 2015-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6643373B2 (ja) | 情報処理システムと、その制御方法とプログラム | |
| JP6357335B2 (ja) | ネットワーク制御装置、ネットワークシステム、ネットワークシステムの制御方法、及びプログラム | |
| CN101064628B (zh) | 家庭网络设备安全管理系统及方法 | |
| JP5862577B2 (ja) | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム | |
| JP6124687B2 (ja) | 画像形成装置、サーバー装置、情報処理方法及びプログラム | |
| CN112995097B (zh) | 跨域访问系统及方法、装置 | |
| JP5811171B2 (ja) | 通信システム、データベース、制御装置、通信方法およびプログラム | |
| US8605582B2 (en) | IP network system and its access control method, IP address distributing device, and IP address distributing method | |
| JP4820928B1 (ja) | 認証システムおよび認証方法 | |
| JP2015005222A (ja) | 認可サーバーシステムおよびその制御方法、並びにプログラム | |
| JP2008098792A (ja) | コンピュータシステムとの暗号化通信方法及びシステム | |
| JP6258164B2 (ja) | 端末別認証払い出し制御装置、端末別認証払い出し制御方法および端末別認証払い出し制御プログラム | |
| JP2012221274A (ja) | ネットワークマネジメントシステム及びサーバ | |
| JPWO2013046336A1 (ja) | グループ定義管理システム | |
| JP2015219687A (ja) | 中継装置、システム及びプログラム | |
| JP4847483B2 (ja) | 個人属性情報提供システムおよび個人属性情報提供方法 | |
| JP4081041B2 (ja) | ネットワークシステム | |
| JP6335584B2 (ja) | ネットワーク制御装置、ネットワーク制御方法、及びプログラム | |
| TW201721498A (zh) | 具安全與功能擴充性的有線區域網路使用者管理系統及方法 | |
| JP6577546B2 (ja) | リモートアクセス制御システム | |
| JP5589034B2 (ja) | 情報流通システム、認証連携方法、装置及びそのプログラム | |
| JP2020053100A (ja) | 情報処理システムと、その制御方法とプログラム | |
| JP4760122B2 (ja) | 仮想閉域網システム、共通鍵同期配信サーバ装置及びそれらに用いる共通鍵配信方法並びにそのプログラム | |
| JP6312325B2 (ja) | 無線通信におけるクライアント端末認証システムおよびクライアント端末認証方法 | |
| JP4261146B2 (ja) | 利用者認証ネットワーク通信システム、プログラム及び方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20161205 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170831 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171003 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171121 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180522 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180618 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6357335 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |