JPWO2017138403A1 - 制御装置、制御方法及びプログラムを記憶する記憶媒体 - Google Patents

制御装置、制御方法及びプログラムを記憶する記憶媒体 Download PDF

Info

Publication number
JPWO2017138403A1
JPWO2017138403A1 JP2017566594A JP2017566594A JPWO2017138403A1 JP WO2017138403 A1 JPWO2017138403 A1 JP WO2017138403A1 JP 2017566594 A JP2017566594 A JP 2017566594A JP 2017566594 A JP2017566594 A JP 2017566594A JP WO2017138403 A1 JPWO2017138403 A1 JP WO2017138403A1
Authority
JP
Japan
Prior art keywords
communication
service
control
data communication
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017566594A
Other languages
English (en)
Inventor
靖伸 千葉
靖伸 千葉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2017138403A1 publication Critical patent/JPWO2017138403A1/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

暗号化技術が適用された通信に対する好適な通信制御手段の提供。
制御装置は、データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶部と、前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部から、前記データ通信により提供されるサービスを特定するサービス特定部と、前記制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の前記通信ノードを制御する通信ノード制御部と、を備える。

Description

本発明は、通信を制御する技術に関する。
特許文献1に、パケットに含まれる上位レイヤ情報の通信内容の情報分析の処理量を抑えながら、その通信内容に応じたトラフィック制御を行うことのできるというトラフィック制御システムが開示されている。同文献によると、このトラフィック制御システムは、パケットpt1を転送する際に、エッジルータ14aでパケットpt1に応じて得た識別子i5を当該パケットpt1に付与してコアルータ11a〜11hへ転送する。この転送以降はコアルータ11a〜11hで受信パケットpt1に付与された識別子i5を検出し、この識別子i5に対応付けられたトラフィック制御を順次行うとされている。
特許文献2に、特別なネットワーク接続装置を用いずに、通信サービス毎に通信帯域を制御できるというネットワークシステムが開示されている。同文献によると、このネットワークシステムは、共有サブネットワークに流入可能な通信サービス毎の通信帯域量に対し、優先度の低い通信サービスの通信帯域量を制限する帯域量制限手段を備える。
非特許文献1には、各種のトラフィック解析攻撃により、提案されてきた近年の防衛策(暗号化通信)を破ることができるというWebsite Fingerprintingと呼ばれる技術が開示されている。
特開2014−154937号公報 特開2004−32474号公報
Xiang Caiほか、"Touching from a Distance: Website Fingerprinting Attacks and Defenses"、[online]、[2015年10月16日検索]、インターネット〈URL:http://www3.cs.stonybrook.edu/~xcai/fp.pdf〉
以下の分析は、本発明の発明者によって与えられたものである。特許文献1〜2に開示されているように、通信サービスにおいて、利用コンテンツや利用サービスに応じてトラフィック制御を行ってユーザの体感品質を向上させたいというニーズがある。しかしながら、近年では、TLS(Transport Layer Security)やIPsec(Security Architecture for Internet Protocol)等の暗号化技術の普及により、通信内容やセッションの特定が困難になり、実効性のあるトラフィック制御が難しくなっているという問題点がある。
非特許文献1は、こうした暗号化された通信に対しても通信パケットから得られる複数の特徴量(転送レート、パケットサイズ分布、通信継続時間など)からユーザが閲覧したウェブサイトやウェブページを推定するものであるが、セキュアシェル(SSH:Secure Shell)やTor(The Onion Router)の脆弱性を指摘するに止まっている。
本発明は、暗号化技術が適用された通信に対する通信制御の豊富化に貢献できる制御装置等を提供することを目的の1つとする。
本発明の一態様に係る制御装置は、データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶手段と、前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部から、前記データ通信により提供される前記サービスを特定するサービス特定手段と、前記制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する通信ノード制御手段と、を備える。
本発明の一態様に係る制御装置は、データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶手段と、前記通信データから求めた通信データの特徴量に基づいて、サービスを推定するサービス推定手段と、前記推定したサービスに対応する制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する通信ノード制御手段と、を備える。
本発明の一態様に係る通信ノードの制御方法は、データ通信に先だって送信側と受信側で授受される情報の少なくとも一部から、前記データ通信により提供されるサービスを特定し、前記データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶部を参照して、前記特定したサービスに対応する制御規則を選択し、前記制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する。
本発明の一態様に係る通信ノードの制御方法は、通信データから求めた通信データの特徴量に基づいて、データ通信により提供されるサービスを推定し、データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶部を参照して、前記特定したサービスに対応する制御規則を選択し、前記制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する。
本発明の一態様に係る記憶媒体は、データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶部を備えるコンピュータに、前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部から、前記データ通信により提供されるサービスを特定するサービス特定処理と、前記制御規則記憶部を参照して、前記特定したサービスに対応する制御規則を選択する処理と、前記制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する通信ノード制御処理と、を実行させるプログラムを記憶する。
本発明の一態様に係る記憶媒体は、データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶部を備えるコンピュータに、前記通信データから求めた通信データの特徴量に基づいて、サービスを推定するサービス推定処理と、前記推定したサービスに対応する制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する通信ノード制御処理と、を実行させるプログラムを記憶する。
本発明の一態様は、上述の記憶媒体に記憶されたプログラムによっても実現される。
本発明によれば、暗号化技術が適用された通信に対する好適な通信制御を提供することが可能となる。
本発明の一実施形態の構成を示す図である。 本発明の一実施形態のサービス特定部の構成例を示す図である。 本発明の別の実施形態の構成を示す図である。 本発明の別の実施形態のサービス推定部の構成例を示す図である。 本発明の第1の実施形態の通信システムの構成を示す図である。 本発明の第1の実施形態の通信システムの詳細構成を示す機能ブロック図である。 本発明の第1の実施形態の通信管理装置の証明書記憶部に保持される情報の一例を示す図である。 本発明の第1の実施形態の通信管理装置の制御規則記憶部に保持される情報の一例を示す図である。 本発明の第1の実施形態の通信管理装置のセッション記憶部に保持される情報の一例を示す図である。 本発明の第1の実施形態の通信ノードの制御規則記憶部に保持される情報の一例を示す図である。 本発明の第1の実施形態の動作(新規通信発生時)を表したシーケンス図である。 本発明の第1の実施形態の動作(通信終了時)を表したシーケンス図である。 本発明の第2の実施形態の通信システムの詳細構成を示す機能ブロック図である。 本発明の第2の実施形態の動作(新規通信発生時)を表したシーケンス図である。 本発明の第3の実施形態の通信システムの詳細構成を示す機能ブロック図である。 本発明の第4の実施形態の通信管理装置の証明書記憶部に保持される情報の一例を示す図である。 本発明の第5の実施形態の構成を示す図である。 本発明の第6の実施形態の構成を示す図である。 本発明の各実施形態に係る装置を実現できるコンピュータの構成を表す図である。
はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。
本発明は、その一実施形態において、図1に示すように、制御規則記憶部11と、サービス特定部12と、通信ノード制御部13と、を備える制御装置10にて実現できる。より具体的には、制御規則記憶部11は、データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する。サービス特定部12は、前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部から、前記データ通信により提供されるサービスを特定する。
図2は、サービス特定部12の構成例を示す図である。図2の例では、証明書情報と、サービスとを対応付けたエントリを格納する証明書情報記憶部(サービス特定情報記憶部に相当)121と、エントリ検索部122と、を備えたサービス特定部12の構成が示されている。この構成によれば、エントリ検索部122は、通信ノード20やデータ通信の経路上に配置されたプローブと呼ばれる監視装置からデータ通信に先だって送信側と受信側で授受される証明書情報を受信すると、証明書情報記憶部121から受信した証明書情報に対応するサービスを特定する。なお、証明書情報記憶部121に格納するエントリは、事前に準備しておくことが望まれるが、新規の証明書情報について適宜対応するサービスを追加するように運用してもよい。
また、サービス特定部12は、制御装置10の外部に設けられていてもよい。例えば、サーバ装置等にサービス特定部12に相当する機能を設け、制御装置10、および通信ノード20がそれぞれ当該サーバ装置と通信可能な態様になっていてもよい。
そして、通信ノード制御部13は、前記特定したサービスに対応する制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノード20を制御する。例えば、制御規則記憶部11を参照して、あるサービスAに属する通信については優先度を高くし(優先)、別のサービスBに属する通信については優先度を低くするといった制御が行われる。
また、本発明は、別の実施形態において、図3に示すように、制御規則記憶部11と、サービス推定部12aと、通信ノード制御部13と、を備える制御装置10aにて実現できる。図1に示した構成との違いは、サービス特定部12に代えて、制御装置10aに、サービス推定部12aが備えられている点である。サービス推定部12aは、証明書情報ではなく、通信ノード20やデータ通信の経路上に配置されたプローブと呼ばれる監視装置にてキャプチャされた通信データの特徴量に基づいて、サービスを推定する。
図4は、サービス推定部12aの構成例を示す図である。図4の例では、サービス毎に当該サービスの判定条件を設定したエントリを格納する特徴量情報記憶部121aと、エントリ検索部122と、特徴量抽出部123とを備えたサービス推定部12aの構成が示されている。この構成によれば、特徴量抽出部123は、通信ノード20やデータ通信の経路上に配置されたプローブと呼ばれる監視装置から受信したキャプチャデータを解析して通信毎の特徴量(例えば、平均転送レートやパケットサイズ分布等)を抽出する。エントリ検索部122は、特徴量情報記憶部121aから前記抽出された特徴量に適合するサービスを選択する。なお、特徴量情報記憶部121aに格納するエントリは、非特許文献1のWebsite Fingerprintingという手法やDPI(Deep Packet Inspection)と呼ばれる手法を用いて作成することができる。
そして、通信ノード制御部13は、前記推定したサービスに対応する制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の前記通信ノードを制御する。この実施形態においても、あるサービスAに属すると推定される通信については優先度を高くし(優先)、別のサービスBに属すると推定される通信については優先度を低くするといった制御が行われる。
以上のように、上記した実施形態の構成によれば、暗号化された通信に対しても、その前に授受される証明書情報や、通信データの特徴量に基づいて、サービスを特定ないし推定し、適切に通信制御を行うことが可能となる。
また、サービス推定部12aは、制御装置10aの外部に設けられていてもよい。例えば、サーバ装置等にサービス推定部12aに相当する機能を設け、制御装置10a、および通信ノード20がそれぞれ当該サーバ装置と通信可能な態様になっていてもよい。
[第1の実施形態]
続いて、本発明の第1の実施形態について図面を参照して詳細に説明する。図5は、本発明の第1の実施形態の通信システムの構成を示す図である。図5を参照すると、通信路上に通信ノード200と、通信監視装置210とが配置され、これら通信ノード200及び通信監視装置210に通信管理装置100が接続された構成が示されている。
図6は、本発明の第1の実施形態の通信システムの詳細構成を示す機能ブロック図である。通信管理装置100は、証明書記憶部101と、制御規則記憶部102と、セッション記憶部103と、制御決定部104と、ノード通信部105と、監視装置通信部106とを備えている。この通信管理装置100は、前述の制御装置10に相当する。
証明書記憶部101は、証明書データと、サービスとの対応関係を定めた証明書情報を記憶する。図7は、証明書記憶部101に保持される情報の一例を示す図である。図7の例では、証明書情報のバージョン以下、RFC(Request for Comments)5280 (X.509 Public Key Infrastructure Certificate and CRL(Certificate Revocation List) Profile)に定められた証明書情報と、その証明書を持つサーバ等が提供するサービスとを対応付けたエントリを格納するテーブルが示されている。例えば、図7の一番上のエントリは、example.comとのCommonName(CN)を持つサーバが、ビデオストリーミングサービスを提供するサーバであることを示している。また、この証明書自体の正当性は、認証局署名(拇印)フィールドの認証局(CA:Certification Authority)のデジタル署名により確認することができる。このサーバが通信前に視聴者端末に送信する証明書情報を入手することで、その後、このサーバから視聴者端末に送信されるデータがビデオストリーミングサービスのデータであることを特定することができる。同様に、example.netとのCommonName(CN)を持つサーバから送られた証明書情報を入手することで、このサーバから通信相手に送信されるデータがファイル共有サービスのデータであることを特定することができる。なお、図7の例では、主にサービス提供側のサーバ証明書からサービスを特定することを想定しているが、クライアント側の証明書も授受される場合、サービスを受ける利用者側(クライアント側)の証明書情報を格納してユーザの識別を行うようにしてもよい。
制御規則記憶部102は、サービス毎に、そのサービスに適用する通信制御内容を記憶する。図8は、制御規則記憶部102に保持される情報の一例を示す図である。図8の例では、ビデオストリーミングサービスや、ファイル共有サービスといったサービス毎に、適用する制御方法と、その制御方法に使用する制御パラメータとを対応付けたエントリを格納するテーブルが示されている。例えば、図8の一番上のエントリは、ビデオストリーミングサービスについて、3.0Mbps(Mega bit per second)を保証する帯域保証(転送レート保証)を行うことが示されている。また、図8の上から2番目のエントリは、ファイル共有サービスについて、128kbps(kilobit per second)を上限とする帯域制限(最大転送レート制限)を行うことを示している。また、図8の一番下のエントリは、SNS(ソーシャルネットワーキングサービス;Social Networking Service)について、優先度7と優先制御を行うことを示している。なお、通信制御内容の規定の仕方は図8の例に限定されるものではない。例えば、制御方法=1(帯域保証)、パラメータ=3.0(Mbps)というように通信ノードが解釈可能な通信制御内容をそのまま設定してもよい。また、例えば、同じく証明書情報によって特定可能なユーザの種別(有料ユーザ/ゲストユーザ)に応じて、帯域保証(転送レート保証)や帯域制限(最大転送レート制限)の値を変えてもよい。このようにすれば、ビデオストリーミングサービスのユーザであっても有料ユーザと、それ以外のユーザで保証する帯域(転送レート)を変えることが可能となる。
セッション記憶部103は、アクティブなTLS(Transport Layer Security)セッションの情報を記憶する。図9は、セッション記憶部103に保持される情報の一例を示す図である。図9の例は、IP(Internet Protocol)アドレスが10.0.0.1、ポート443の送信元と、IPアドレスが176.16.0.1、ポート1000の送信先との間にTCP(Transmission Control Protocol)を用いてセッションが確立されていることを示している。通信管理装置100は、このようなセッション情報を用いて、通信を識別し、通信ノード200に該当する通信に適用する通信制御内容を指示する。なお、図9のテーブルのエントリは、通信監視装置210のセッション監視部213から通信管理装置100に送られたセッション情報により構築できる。
制御決定部104は、通信監視装置210から新規セッションの証明書情報を受け取ると、上記証明書記憶部101を参照して、当該通信セッションで提供されようとしているサービスを特定する(上記サービス特定部に相当)。また、制御決定部104は、通信監視装置210から受け取ったセッション情報をセッション記憶部103に登録した上で、制御規則記憶部102を参照して、サービスに対応付けられた通信制御内容を特定する。さらに、制御決定部104は、前記通信セッションの経路上の通信ノード200に対し、該当通信セッションでやり取りされる通信データについて、前記特定した通信制御内容を実施させる通信ノード用の制御規則(図10参照)を作成し、通信ノード200に送信する(上記通信ノード制御部に相当)。
ノード通信部105及び監視装置通信部106は、それぞれ、通信ノード200及び通信監視装置210と通信するための手段である。なお、図6の例では、ノード通信部105と監視装置通信部106とが独立して設けられているが、ノード通信部105及び監視装置通信部106とを統合することも可能である。
続いて、通信ノード200の構成について説明する。通信ノード200は、制御規則記憶部201と、管理装置通信部202と、制御部203と、セッション識別部204とを備えている。
制御規則記憶部201は、制御対象の通信を特定するためのセッション情報と、通信管理装置100にて決定された制御規則とを対応付けた通信ノード用の制御規則を記憶する。図10は、制御規則記憶部201に保持される情報の一例を示す図である。図10の例では、IPアドレス、プロトコル、ポートの組み合わせにて特定される通信セッションと、当該通信セッションに適用する制御規則とを対応付けたエントリを格納するテーブルが示されている。
管理装置通信部202は、上記通信管理装置100から、通信ノード用の制御規則や、セッション終了による通信ノード用の制御規則の削除指示(制御解除指示)を受信する。
制御部203は、管理装置通信部202を介して、通信管理装置100から受信した通信ノード用の制御規則や、制御規則の削除指示(制御解除指示)に応じて、制御規則記憶部201の内容を更新する。また、制御部203は、セッション識別部204から制御対象の通信データの受信通知を受けると、当該データについて制御規則記憶部201に定められた制御規則を適用する。
セッション識別部204は、制御規則記憶部201に定められたセッションに一致するデータを識別し、制御部203に通知する。
従って、図10の通信ノード用の制御規則が設定されている通信ノ−ド200は、送信元IPアドレスが10.0.0.1で、送信先IPアドレスが176.16.0.1、通信プロトコルがTCPかつ送信元ポートが443、送信先ポートが10000という条件に適合する通信について、3.0Mbpsを保証する帯域保証(転送レート保証)を行う。同様に、この通信ノ−ド200は、送信元IPアドレスが176.16.1.1で、送信先IPアドレスが176.16.0.2、通信プロトコルがUDPかつ送信元ポートが4433、送信先ポートが20000という条件に適合する通信について、128kbpsを上限とする帯域制限(最大転送レート制限)を行うことになる。
以上のような通信ノード200としては、通信管理装置100から指示された制御規則にそった通信制御内容を実施可能なルータやスイッチなどの機器を用いることができる。
続いて、通信監視装置210の構成について説明する。通信監視装置210は、管理装置通信部211と、証明書取得部212と、セッション監視部213と、を備えている。
管理装置通信部211は、上記通信管理装置100に対し、新規セッション検知後に入手したサーバ証明書の送信、検知したセッション終了通知等を送信する。
証明書取得部212は、新規セッション検知後、暗号化方法等について合意するためのハンドシェイク処理の中で、サーバからクライアント側に送信される証明書情報を取得する。証明書取得部212は、管理装置通信部211を介して、上記通信管理装置100に対し、取得した証明書情報を送信する。なお、証明書情報は、TLS(SSL(Secure Sockets Layer)も同様)の場合、TLSネゴシエーションでサーバからクライアントに送信されるServer Certificateメッセージから取得することができる。
セッション監視部213は、サーバとクライアント間の通信を監視し、新規セッションの開始、又はセッションの終了を検知すると、証明書取得部212及び管理装置通信部211を介して通信管理装置100に通知する。なお、新規セッションの開始、又はセッションの終了は、サーバとクライアント間で授受されるTCP SYN(Synchronize)パケット(TCPコネクション確立要求パケット)や、TCP FIN(Finish)パケット(TCPコネクション終了要求パケット)とその応答を監視することで検出できる。
以上のような通信監視装置210としては、上記セッションの監視、証明書の取得ができる各種の機器を用いることができる。例えば、プローブ等の専用機器を用いてもよいし、オープンフロースイッチなどに、特定のトラフィックの検出時に上位装置(この場合、通信管理装置100)に報告させる動作を設定することでも実現できる。
続いて、本実施形態の動作について図面を参照して詳細に説明する。図11は、本発明の第1の実施形態の動作(新規通信発生時)を表したシーケンス図である。図11は、通信ノード200と通信監視装置210が接続されたネットワークに接続するクライアント(サービス利用者)がサーバ(サービス提供者)にサービスを要求した場合の動作を示している。
図11を参照すると、まず、クライアントとサーバ間で、TCPコネクション確立要求とTCPコネクション確立応答が授受される。通信監視装置210は、上記TCP SYNパケットとその応答により、新規セッションが開始されることを検知する(ステップS001)。また、通信監視装置210は、クライアントとサーバ間で授受される情報に基づいてセッション情報を取得する。
TCPコネクションが確立され、クライアントがサーバに対し、TLSネゴシエーションの開始(Client Hello)を通知すると、サーバは、サーバ証明書、サーバ公開鍵を送信し、クライアントの証明書を要求する(図11のServer Hello 〜Server Hello Done)。通信監視装置210は、前記サーバからクライアントに送信される情報の中からサーバ証明書を抽出する(ステップS002)。
次に、通信監視装置210は、ステップS001で取得したセッション情報及びステップS002で抽出したサーバ証明書を通信管理装置100に送信する(ステップS003)。
通信管理装置100は、証明書記憶部101を参照して、通信監視装置210から受信したサーバ証明書に対応するサービスを特定する(ステップS004)。なお、ここで、通信管理装置100が、サーバ証明書の全内容が一致していることを確認する必要はなく例えば、サーバ証明書の特定フィールド、例えば、サブジェクトフィールド又は認証局署名のいずれかをキーにして、証明書記憶部101から該当するエントリを検索するようにしてもよい。
次に、通信管理装置100は、制御規則記憶部102を参照して、前記特定したサービスに適用すべき制御規則を特定する(ステップS005)。
次に、通信管理装置100は、セッション記憶部103に通信監視装置210から受信したセッション情報を保存する(ステップS006)。さらに、通信管理装置100は、通信ノード用の制御規則として、ステップS005で特定した制御規則と、通信監視装置210から受信したセッション情報との組を通信ノード200に送信する(ステップS007)。
前記制御規則と、セッション情報との組を受信した通信ノード200は、制御規則記憶部201に、前記制御規則と、セッション情報とを対応付けて保存する(ステップS008)。
一方、前述のサーバからクライアントへの証明書の送信要求を受けたクライアントは、サーバに、クライアント証明書、クライアント公開鍵を送信する。また、クライアントはサーバから受信した証明書を確認し、以降の通信を暗号化することを通知する(図11のClient Certificate〜Change Cipher Spec)。
その後は、サーバからクライアントへ以降の通信を暗号化することの通知が行われ(Change Cipher Spec)、サービスの提供が開始される。
通信ノード200は、ステップS008で保存した通信ノード200用の制御規則に従い、前記サーバとクライアント間のデータについて、サービスに対応する制御規則に従い、制御を実施する(ステップS009)。
以上のように、本実施形態によれば、暗号化された通信についても、そのサービスに応じた通信制御を実施することが可能となる。
続いて、上記サーバとクライアント間の通信が終了した場合の動作について説明する。
図12は、本実施形態の通信終了時の動作を表したシーケンス図である。図12を参照すると、まず、クライアントからTCP FINパケットが送信されたことを契機に、クライアントとサーバ間で、TCPコネクションの終了処理が完了すると、通信監視装置210がセッションの終了を検知する(ステップS101)。
次に、通信監視装置210は、通信管理装置100に対し、終了を検知したセッションのセッション情報を送信する(ステップS102)。
通信管理装置100は、セッション記憶部103を参照して、通信監視装置210から受信したセッション情報に対応するセッションを特定する(ステップS103)。
次に、通信管理装置100は、前記特定したセッション情報とともに、通信ノード200に対し、制御解除指示を送信する(ステップS104)。また、通信管理装置100は、セッション記憶部103から、前記特定したセッション情報を削除する(ステップS105)。
前記制御解除指示を受信した通信ノード200は、制御規則記憶部201から、該当するセッション情報が設定されたエントリを削除する(ステップS106)。以上により、サーバとクライアント間に適用されていた通信制御が中止される。
以上のように、本実施形態によれば、セッションを特定して、サービスに応じた通信制御を開始し、終了することが可能となる。また、本実施形態によれば、暗号化された通信についても通信制御の対象とすることができるため、暗号化されていない通信にのみ通信制御が適用されてしまうという不公平性も解消することができる。
なお、先にも述べたとおり、図11の例では、サーバ証明書を特定して通信制御を行うこととしているが、通信管理装置100がサービスを受ける利用者側(クライアント側)の証明書を取得して、サービスのみならず、クライアント(サービス利用者)の属性、サービス提供者側の契約内容等を考慮して通信制御を行うように構成することも可能である。例えば、同じビデオストリーミングサービスであっても、クライアントが有料会員ユーザやプレミアムユーザである場合には、無料会員や一般会員よりも、大きな値の帯域保証(転送レート保証)を受けられるようにしてもよく、当該通信の優先度を他の通信よりも高くしてもよい。
以上、本発明の第1の実施形態の構成及び動作について説明したが、第1の実施形態は種々の変形を加えることができる。以下、これらの変形を加えた本発明の第2〜第6の実施形態について説明する。
[第2の実施形態]
続いて、事前に証明書とサービスの対応関係を用意せずともサービスを特定できるようにした第2の実施形態について説明する。図13は、本発明の第2の実施形態の通信システムの詳細構成を示す機能ブロック図である。前記サービスを特定する仕組み以外は第1の実施形態と同様であるため、以下その相違点を中心に説明する。
図13を参照すると、本実施形態の通信監視装置210aは、証明書取得部212の代わりに、特徴抽出部212aを備えている。特徴抽出部212aは、サーバとクライアント間の特定のセッションを監視して、その特徴量を抽出し、通信管理装置100aに送信する動作を行う。
また、通信管理装置100a側には、証明書記憶部101に代えて、サービス推定部108aが備えられている。サービス推定部108aは、通信監視装置210aから受信した特徴量に基づいて、サービスを推定する。サービス推定部108aは、例えば、図4の特徴量情報記憶部121aのように、通信の特徴量からサービスを割出すテーブル等を有し、通信監視装置210aから受信した特徴量に適合するサービスを推定する構成とすることもできる。また、サービスの推定手法は、上記に限られず、例えば、非特許文献1のWebsite Fingerprintingの手法を用いてサービスを特定する仕組みを用いてもよい。
また、サービス推定部108aは、通信管理装置100aの外部に設けられていてもよい。例えば、サーバ装置等にサービス推定部108aに相当する機能を設け、通信管理装置100a、および通信ノード200がそれぞれ当該サーバ装置と通信可能な態様になっていてもよい。
サービスを推定した後の各部の動作は第1の実施形態と同様であるので、説明を省略する。
続いて、本実施形態の動作について図面を参照して詳細に説明する。図14は、本発明の第2の実施形態の動作(新規通信発生時)を表したシーケンス図である。図14も図11と同様に、通信ノード200と通信監視装置210aが接続されたネットワークに接続するクライアント(サービス利用者)がサーバ(サービス提供者)にサービスを要求した場合の動作を示している。
図14を参照すると、まず、クライアントとサーバ間で、TCPコネクション確立要求とTCPコネクション確立応答が授受される。通信監視装置210aは、上記TCP SYNパケットとその応答により、新規セッションが開始されることを検知する(ステップS201)。また、通信監視装置210aは、クライアントとサーバ間で授受される情報に基づいてセッション情報を取得する。
TCPコネクションが確立され、クライアントがサーバに対し、TLSネゴシエーションの開始(Client Hello)を通知すると、サーバは、サーバ証明書、サーバ公開鍵を送信し、クライアントの証明書を要求する(図14のServer Hello 〜Server Hello Done)。
前記サーバからクライアント証明書の送信要求を受けたクライアントは、サーバに、クライアント証明書、クライアント公開鍵を送信する。また、クライアントはサーバから受信した証明書を確認し、以降の通信を暗号化することを通知する(図14のClient Certificate〜Change Cipher Spec)。
その後は、サーバからクライアントへ以降の通信を暗号化することの通知が行われ(Change Cipher Spec)、サービスの提供が開始される。
通信監視装置210aは、前記サーバとクライアント間の通信データをキャプチャし、特徴量を抽出する(ステップS202)。
次に、通信監視装置210aは、ステップS201で取得したセッション情報及びステップS202で抽出した特徴量情報を通信管理装置100aに送信する(ステップS203)。
通信管理装置100aは、受信した特徴量をサービス推定部108aに送り、前記サーバからクライアントに提供されているサービスを推定する(ステップS204)。
次に、通信管理装置100aは、制御規則記憶部102を参照して、前記推定したサービスに適用すべき制御規則を特定する(ステップS205)。
次に、通信管理装置100aは、セッション記憶部103に通信監視装置210aから受信したセッション情報を保存する(ステップS206)。さらに、通信管理装置100aは、通信ノード用の制御規則として、ステップS205で特定した制御規則と、通信監視装置210aから受信したセッション情報との組を通信ノード200に送信する(ステップS207)。
前記制御規則と、セッション情報との組を受信した通信ノード200は、制御規則記憶部201に、前記制御規則と、セッション情報とを対応付けて保存する(ステップS208)。
以降、通信ノード200は、ステップS208で受信した通信ノード200用の制御規則に従い、前記サーバとクライアント間のデータについて、サービスに対応する制御規則に従い、制御を実施する(ステップS209)。
なお、セッションの終了の検出後の動作は第1の実施形態と同様であるため、説明を省略する。
以上のように、本実施形態によれば、事前に証明書とサービスの対応関係を用意せずとも、そのサービスに応じた通信制御を実施することが可能となる。
[第3の実施形態]
続いて、第1の実施形態と第2の実施形態を組み合わせた第3の実施形態について説明する。図15は、本発明の第3の実施形態の通信システムの詳細構成を示す機能ブロック図である。図15を参照すると、通信監視装置210bに、証明書取得部212と、特徴抽出部212aの双方が備えられている。
また、通信管理装置100b側には、証明書記憶部101と、サービス推定部108bとの双方が備えられている。本実施形態の通信管理装置100bは、通信監視装置210bから受信した証明書に対応するエントリが証明書記憶部101に記憶されている場合、第1の実施形態と同様の動作を行う(図11参照)。
一方、通信監視装置210bから受信した証明書に対応するエントリが証明書記憶部101に記憶されていない場合、本実施形態の通信管理装置100bは、通信監視装置210bに対し、クライアントとサーバの通信の特徴量情報の送信を要求する。その後の動作は第2の実施形態と同様であり、通信管理装置100bは、通信の特徴量からサービスを推定し、そのサービスに対応する制御規則を用いて通信制御を実施する。
以上のように、本実施形態によれば、サービスとの対応関係が判明している証明書を持つサーバとクライアント間の通信については、証明書記憶部101及び制御規則記憶部102を参照して、通信当初から通信制御を実施することができる。また、サービスとの対応関係が判明していない証明書を持つサーバとクライアント間の通信については、その通信の特徴量からサービスを推定し、通信制御を実施することができる。
[第4の実施形態]
また、上記した第1〜第3の実施形態では、図7に示したような証明書情報と、サービスとを対応付けたテーブルを用意するものとして説明したが、証明書情報は、サービスを特定可能な内容であれば図7の形態に限られない。
例えば図16のように、証明書のシグネチャ値(署名)と、サービスとを対応付けたエントリを証明書記憶部101に記憶することでも第1、第3の実施形態と同様の通信制御を実施することができる(第4の実施形態)。また、サーバ証明書と、サーバ証明書以外の情報を併用してサービスを特定する構成も採用することができる。このようなサーバ証明書以外の情報としては、ハンドシェイク時にクライアントからサーバに送信される、Version Number、Cipher Suiteや、サーバからクライアントに送信されるCompression Algorithm、Other validating certificatesなどが挙げられる。
また、上記した第1〜第4の実施形態では、TLSないしこれ同等のSSLを用いた通信が行われることを前提に説明したが、本発明を適用可能な通信は、TLS/SSLを用いるものに限定されない。例えば、IPsecを用いた通信においても、通信の前に、インターネット鍵交換(IKE:Internet Key Exchange)プロトコルを用いて鍵交換や相手認証が行われる。これらの鍵交換や相手認証で授受される情報(典型的には、第1の実施形態と同様に通信相手の証明書やその認証局署名)とサービスとの対応関係を保持することで、IPsecを用いた暗号化通信についても、サービスを特定し、通信制御を実施することが可能である。
以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、各図面に示したネットワーク構成、各要素の構成、メッセージの表現形態は、本発明の理解を助けるための一例であり、これらの図面に示した構成に限定されるものではない。
例えば、上記した第1〜第4の実施形態では、通信監視装置が独立して配置されているものとして説明したが、図17に示すように、通信監視装置210が通信ノード200aに内蔵されている構成も採用可能である(第5の実施形態)。
同様に、図18に示すように、通信監視装置210が通信管理装置100cに内蔵されている構成も採用可能である(第6の実施形態)。
また、各図に示した制御装置、通信管理装置、通信監視装置の各部(処理手段)は、これらの装置を構成するコンピュータに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することもできる。
すなわち、本発明の各実施形態に係る装置は、メモリと、そのメモリに格納されたプログラムを実行するプロセッサとを含む、コンピュータによって実現できる。本発明の各実施形態に係る装置は、回路等の専用のハードウェアによっても実現できる。本発明の各実施形態に係る装置は、上述のコンピュータと、専用のハードウェアとの組合せによっても実現できる。本発明の各実施形態に係る装置は、1つの装置によって実現されてもよい。本発明の各実施形態に係る装置は、互いに通信可能に接続された、複数の装置によって実現されてもよい。
図19は、本発明の各実施形態に係る装置を実現できるコンピュータ1000の構成を模式的に示すブロック図である。
図19に示すように、コンピュータ1000は、プロセッサ1001と、メモリ1002と、記憶装置1003と、I/O(Input/Output)インタフェース1004とを含む。また、コンピュータ1000は、記憶媒体1005にアクセスすることができる。メモリ1002と記憶装置1003は、例えば、RAM(Random Access Memory)、ハードディスクなどの記憶装置である。記憶媒体1005は、例えば、RAM、ハードディスクなどの記憶装置、ROM(Read Only Memory)、可搬記録媒体である。記憶装置1003が記憶媒体1005であってもよい。プロセッサ1001は、メモリ1002と、記憶装置1003に対して、データやプログラムの読み出しと書き込みを行うことができる。プロセッサ1001は、I/Oインタフェース1004を介して、例えば、他の装置にアクセスすることができる。プロセッサ1001は、記憶媒体1005にアクセスすることができる。記憶媒体1005には、コンピュータ1000を、本発明のいずれかの実施形態に係る制御装置(例えば、制御装置10、又は、10a)として動作させるプログラムが格納されていてもよい。記憶媒体1005には、コンピュータ1000を、本発明のいずれかの実施形態に係る通信管理装置(例えば、通信管理装置100、100a、100b、又は、100cとして動作させるプログラムが格納されていてもよい。記憶媒体1005には、コンピュータ1000を、本発明のいずれかの実施形態に係る通信ノード(例えば、通信ノード200、又は、200a)として動作させるプログラムが格納されていてもよい。記憶媒体1005には、コンピュータ1000を、本発明のいずれかの実施形態に係る通信監視装置(例えば、通信監視装置210、210a、又は、210b)として動作させるプログラムが格納されていてもよい。
プロセッサ1001は、記録媒体1005に格納されているプログラムを、メモリ1002にロードする。プロセッサ1001は、メモリ1002にロードされたプログラムを実行する。そして、コンピュータ1000は、上述の、制御装置、通信管理装置、通信ノード、又は、通信監視装置として動作する。
以下、第1のグループは、サービス特定部12、12a、通信ノード制御部13、制御決定部104、ノード通信部105、監視装置通信部106、サービス推定部108a、108b、エントリ探索部122、特徴量抽出部123、管理装置通信部202、制御部203、セッション識別部204、管理装置通信部211、証明書取得部212、特徴抽出部212a、及び、セッション監視部213のグループを示す。第2グループは、制御規則記憶部11、証明書記憶部101、制御規則記憶部102、セッション記憶部103、証明書情報記憶部121、121a、及び、制御規則記憶部201のグループを示す。第1グループに含まれる各部は、それぞれ、上述のメモリ1002とプロセッサ1001とによって実現できる。第2グループに含まれる各DBは、コンピュータ1000が含むメモリ1002やハードディスク装置等の記憶装置1003により実現することができる。第1グループに含まれる各部及び第2のグループに含まれる各部の一部又は全部を、専用のハードウェア(例えば、専用の回路)によって実現することもできる。
最後に、本発明の好ましい形態を要約する。
[第1の形態]
データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶部と、前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部から、前記データ通信により提供されるサービスを特定するサービス特定部と、前記制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する通信ノード制御部と、を備える制御装置。
[第2の形態]
第1の形態の制御装置において、
さらに、前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部と、サービスとを対応付けたエントリを格納するサービス特定情報記憶部を備え、
前記サービス特定部は、前記サービス特定情報記憶部から、前記送信側と受信側で授受される情報の前記少なくとも一部に対応するエントリを検索することで、サービスを特定する制御装置。
[第3の形態]
第1又は第2の形態の制御装置において、
前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部は、所定の認証局により署名された証明書又は該証明書の所定フィールドの情報である制御装置。
[第4の形態]
第3の形態の制御装置において、
前記証明書は、トランスポートレイヤーセキュリティ(TLS)、セキュアソケットレイヤー(SSL)、インターネット鍵交換(IKE)プロトコルで交換される証明書である制御装置。
[第5の形態]
第1又は第2の形態の制御装置において、
前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部は、証明書に対して付された所定の認証局の署名情報である制御装置。
[第6の形態]
第1から第5いずれか一の制御装置において、
前記サービス特定部は、所定の通信監視装置を介して、前記データ通信に先だって送信側と受信側で授受される情報を取得し、前記情報を用いて前記データ通信により提供されるサービスを特定する制御装置。
[第7の形態]
第1から第6いずれか一の制御装置において、
前記制御装置は、前記データ通信の送信側と受信側との間のセッション又は暗号化トンネルの状態を監視し、前記セッション又は暗号化トンネル単位で通信制御を実施する制御装置。
[第8の形態]
第1から第7いずれか一の制御装置において、
さらに、通信データから求めた通信データの特徴量に基づいて、サービスを推定するサービス推定部を備え、
前記サービス特定部は、サービス特定情報記憶部に該当するエントリが存在しない場合、前記サービス推定部にサービスの推定を依頼し、
前記通信ノード制御部は、前記サービス推定部が推定したサービスに対応する制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する制御装置。
[第9の形態]
データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶部と、
前記通信データから求めた通信データの特徴量に基づいて、サービスを推定するサービス推定部と、
前記推定したサービスに対応する制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する通信ノード制御部と、
を備える制御装置。
[第10の形態]
上記した制御装置に対して、前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部を送信する通信監視装置。
[第11の形態]
上記した制御装置と、上記した通信監視装置とを含む通信システム。
[第12の形態]
データ通信に先だって送信側と受信側で授受される情報の少なくとも一部から、前記データ通信により提供されるサービスを特定するステップと、前記データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶部を参照して、前記特定したサービスに対応する制御規則を選択するステップと、前記制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御するステップと、を含む通信ノードの制御方法。本方法は、通信ノードを制御する制御装置という、特定の機械に結びつけられている。
[第13の形態]
通信データから求めた通信データの特徴量に基づいて、前記データ通信により提供されるサービスを推定するステップと、
データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶部を参照して、前記特定したサービスに対応する制御規則を選択するステップと、
前記制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御するステップと、を含む通信ノードの制御方法。
[第14の形態]
制御装置の機能を実現するためのコンピュータプログラム。なお、このプログラムは、コンピュータが読み取り可能な(非トランジエントな)記憶媒体に記録することができる。即ち、本形態は、コンピュータプログラム製品として具現することも可能である。
なお、上記第11〜第12及び第14の形態は、第1の形態と同様に、第2〜第8の形態に展開することが可能である。
また、上記の実施形態及び形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶手段と、
前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部から、前記データ通信により提供される前記サービスを特定するサービス特定手段と、
前記制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する通信ノード制御手段と、
を備える制御装置。
(付記2)
さらに、前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部と、サービスとを対応付けたエントリを格納するサービス特定情報記憶手段を備え、
前記サービス特定手段は、前記サービス特定情報記憶手段から、前記送信側と受信側で授受される情報の前記少なくとも一部に対応するエントリを検索することで、前記データ通信により提供される前記サービスを特定する付記1の制御装置。
(付記3)
前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部は、所定の認証局により署名された証明書又は該証明書の所定フィールドの情報である付記1又は2の制御装置。
(付記4)
前記証明書は、トランスポートレイヤーセキュリティ(TLS)、セキュアソケットレイヤー(SSL)、インターネット鍵交換(IKE)プロトコルで交換される証明書である付記3の制御装置。
(付記5)
前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部は、証明書に対して付された所定の認証局の署名情報である付記1又は2の制御装置。
(付記6)
前記サービス特定手段は、所定の通信監視装置を介して、前記データ通信に先だって送信側と受信側で授受される情報を取得し、前記情報を用いて前記データ通信により提供される前記サービスを特定する付記1から5いずれか一の制御装置。
(付記7)
前記制御装置は、前記データ通信の送信側と受信側との間のセッション又は暗号化トンネルの状態を監視し、前記セッション又は暗号化トンネル単位で通信制御を実施する付記1から6いずれか一の制御装置。
(付記8)
さらに、通信データから求めた通信データの特徴量に基づいて、サービスを推定するサービス推定手段を備え、
前記サービス特定手段は、サービス特定情報記憶手段に該当するエントリが存在しない場合、前記サービス推定手段にサービスの推定を依頼し、
前記通信ノード制御手段は、前記サービス推定手段が推定したサービスに対応する制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する付記2の制御装置。
(付記9)
データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶手段と、
前記通信データから求めた通信データの特徴量に基づいて、サービスを推定するサービス推定手段と、
推定した前記サービスに対応する制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する通信ノード制御手段と、
を備える制御装置。
(付記10)
付記1から8いずれか一の制御装置に対して、前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部を送信する通信監視装置。
(付記11)
付記1から8いずれか一の制御装置と、
前記制御装置に対して、前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部を送信する通信監視装置と、
を含む通信システム。
(付記12)
データ通信に先だって送信側と受信側で授受される情報の少なくとも一部から、前記データ通信により提供されるサービスを特定し、
前記データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶手段を参照して、特定した前記サービスに対応する前記制御規則を選択し、
前記制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する、
通信ノードの制御方法。
(付記13)
前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部と、サービスとを対応付けたエントリを格納するサービス特定情報記憶手段から、前記送信側と受信側で授受される情報の前記少なくとも一部に対応するエントリを検索することで、前記データ通信により提供される前記サービスを特定する
付記12の制御方法。
(付記14)
前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部は、所定の認証局により署名された証明書又は該証明書の所定フィールドの情報である
付記12又は13の制御方法。
(付記15)
前記証明書は、トランスポートレイヤーセキュリティ(TLS)、セキュアソケットレイヤー(SSL)、インターネット鍵交換(IKE)プロトコルで交換される証明書である
付記14の制御方法。
(付記16)
前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部は、証明書に対して付された所定の認証局の署名情報である
付記12又は13の制御方法。
(付記17)
所定の通信監視装置を介して、前記データ通信に先だって送信側と受信側で授受される情報を取得し、前記情報を用いて前記データ通信により提供される前記サービスを特定する
付記12から16いずれか一の制御方法。
(付記18)
前記データ通信の送信側と受信側との間のセッション又は暗号化トンネルの状態を監視し、前記セッション又は暗号化トンネル単位で通信制御を実施する
付記12から17いずれか一の制御方法。
(付記19)
前記サービス特定情報記憶手段に該当するエントリが存在しない場合、通信データから求めた通信データの特徴量に基づいて、サービスを推定し、
推定した前期サービスに対応する前記制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する
付記13の制御方法。
(付記20)
通信データから求めた通信データの特徴量に基づいて、データ通信により提供されるサービスを推定し、
前記データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶手段を参照して、特定した前記サービスに対応する前記制御規則を選択し、
前記制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する、
通信ノードの制御方法。
(付記21)
付記12から20いずれか一の制御方法によって制御される通信ノードに対して、前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部を送信する
通信監視方法。
(付記22)
データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶手段を備えるコンピュータに、
前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部から、前記データ通信により提供されるサービスを特定するサービス特定処理と、
前記制御規則記憶手段を参照して、特定した前記サービスに対応する前記制御規則を選択する処理と、
前記制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する通信ノード制御処理と、
を実行させるプログラムを記憶する記憶媒体。
(付記23)
前記コンピュータは、さらに、前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部と、サービスとを対応付けたエントリを格納するサービス特定情報記憶手段を備え、
前記サービス特定処理は、前記サービス特定情報記憶手段から、前記送信側と受信側で授受される情報の前記少なくとも一部に対応するエントリを検索することで、前記データ通信により提供される前記サービスを特定する
付記22の記憶媒体。
(付記24)
前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部は、所定の認証局により署名された証明書又は該証明書の所定フィールドの情報である
付記22又は23の記憶媒体。
(付記25)
前記証明書は、トランスポートレイヤーセキュリティ(TLS)、セキュアソケットレイヤー(SSL)、インターネット鍵交換(IKE)プロトコルで交換される証明書である
付記24の記憶媒体。
(付記26)
前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部は、証明書に対して付された所定の認証局の署名情報である
付記22又は23の記憶媒体。
(付記27)
前記サービス特定処理は、所定の通信監視装置を介して、前記データ通信に先だって送信側と受信側で授受される情報を取得し、前記情報を用いて前記データ通信により提供される前記サービスを特定する
付記22から26いずれか一の記憶媒体。
(付記28)
前記プログラムは、前記コンピュータに、前記データ通信の送信側と受信側との間のセッション又は暗号化トンネルの状態を監視させ、前記セッション又は暗号化トンネル単位で通信制御を実施させる
付記22から27いずれか一の記憶媒体。
(付記29)
前記プログラムは、前記コンピュータに、さらに、通信データから求めた通信データの特徴量に基づいて、サービスを推定するサービス推定処理を実行させ、
前記サービス特定処理は、前記サービス特定情報記憶手段に該当するエントリが存在しない場合、前記サービス推定処理にサービスの推定を依頼し、
前記通信ノード制御処理は、前記サービス推定処理が推定した前記サービスに対応する前記制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する
付記23の記憶媒体。
(付記30)
データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶手段を備えるコンピュータに、
前記通信データから求めた通信データの特徴量に基づいて、前記データ通信により提供される前記サービスを推定するサービス推定処理と、
推定した前記サービスに対応する制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する通信ノード制御処理と、
を実行させるプログラムを記憶する記憶媒体。
(付記31)
付記12から21のいずれか一の制御方法をコンピュータに実行させるプログラムを記憶する記憶媒体。
なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の開示の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。
この出願は、2016年2月9日に出願された日本出願特願2016−022343を基礎とする優先権を主張し、その開示の全てをここに取り込む。
10、10a 制御装置
11 制御規則記憶部
12 サービス特定部
12a サービス推定部
13 通信ノード制御部
20 通信ノード
100、100a〜100c 通信管理装置
101 証明書記憶部
102 制御規則記憶部
103 セッション記憶部
104 制御決定部
105 ノード通信部
106 監視装置通信部
108a、108b サービス推定部
121 証明書情報記憶部
121a 特徴量情報記憶部
122 エントリ検索部
123 特徴量抽出部
200、200a 通信ノード
201 制御規則記憶部
202 管理装置通信部
203 制御部
204 セッション識別部
210、210a、210b 通信監視装置
211 管理装置通信部
212 証明書取得部
212a 特徴抽出部
213 セッション監視部
1000 コンピュータ
1001 プロセッサ
1002 メモリ
1003 記憶装置
1004 I/Oインタフェース
1005 記憶媒体

Claims (30)

  1. データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶手段と、
    前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部から、前記データ通信により提供される前記サービスを特定するサービス特定手段と、
    前記制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する通信ノード制御手段と、
    を備える制御装置。
  2. さらに、前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部と、サービスとを対応付けたエントリを格納するサービス特定情報記憶手段を備え、
    前記サービス特定手段は、前記サービス特定情報記憶手段から、前記送信側と受信側で授受される情報の前記少なくとも一部に対応するエントリを検索することで、前記データ通信により提供される前記サービスを特定する請求項1の制御装置。
  3. 前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部は、所定の認証局により署名された証明書又は該証明書の所定フィールドの情報である請求項1又は2の制御装置。
  4. 前記証明書は、トランスポートレイヤーセキュリティ(TLS)、セキュアソケットレイヤー(SSL)、インターネット鍵交換(IKE)プロトコルで交換される証明書である請求項3の制御装置。
  5. 前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部は、証明書に対して付された所定の認証局の署名情報である請求項1又は2の制御装置。
  6. 前記サービス特定手段は、所定の通信監視装置を介して、前記データ通信に先だって送信側と受信側で授受される情報を取得し、前記情報を用いて前記データ通信により提供される前記サービスを特定する請求項1から5いずれか一の制御装置。
  7. 前記制御装置は、前記データ通信の送信側と受信側との間のセッション又は暗号化トンネルの状態を監視し、前記セッション又は暗号化トンネル単位で通信制御を実施する請求項1から6いずれか一の制御装置。
  8. さらに、通信データから求めた通信データの特徴量に基づいて、サービスを推定するサービス推定手段を備え、
    前記サービス特定手段は、サービス特定情報記憶手段に該当するエントリが存在しない場合、前記サービス推定手段にサービスの推定を依頼し、
    前記通信ノード制御手段は、前記サービス推定手段が推定したサービスに対応する制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する請求項2の制御装置。
  9. データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶手段と、
    前記通信データから求めた通信データの特徴量に基づいて、サービスを推定するサービス推定手段と、
    推定した前記サービスに対応する制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する通信ノード制御手段と、
    を備える制御装置。
  10. 請求項1から8いずれか一の制御装置に対して、前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部を送信する通信監視装置。
  11. 請求項1から8いずれか一の制御装置と、
    前記制御装置に対して、前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部を送信する通信監視装置と、
    を含む通信システム。
  12. データ通信に先だって送信側と受信側で授受される情報の少なくとも一部から、前記データ通信により提供されるサービスを特定し、
    前記データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶手段を参照して、特定した前記サービスに対応する前記制御規則を選択し、
    前記制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する、
    通信ノードの制御方法。
  13. 前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部と、サービスとを対応付けたエントリを格納するサービス特定情報記憶手段から、前記送信側と受信側で授受される情報の前記少なくとも一部に対応するエントリを検索することで、前記データ通信により提供される前記サービスを特定する
    請求項12の制御方法。
  14. 前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部は、所定の認証局により署名された証明書又は該証明書の所定フィールドの情報である
    請求項12又は13の制御方法。
  15. 前記証明書は、トランスポートレイヤーセキュリティ(TLS)、セキュアソケットレイヤー(SSL)、インターネット鍵交換(IKE)プロトコルで交換される証明書である
    請求項14の制御方法。
  16. 前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部は、証明書に対して付された所定の認証局の署名情報である
    請求項12又は13の制御方法。
  17. 所定の通信監視装置を介して、前記データ通信に先だって送信側と受信側で授受される情報を取得し、前記情報を用いて前記データ通信により提供される前記サービスを特定する
    請求項12から16いずれか一の制御方法。
  18. 前記データ通信の送信側と受信側との間のセッション又は暗号化トンネルの状態を監視し、前記セッション又は暗号化トンネル単位で通信制御を実施する
    請求項12から17いずれか一の制御方法。
  19. 前記サービス特定情報記憶手段に該当するエントリが存在しない場合、通信データから求めた通信データの特徴量に基づいて、サービスを推定し、
    推定した前期サービスに対応する前記制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する
    請求項13の制御方法。
  20. 通信データから求めた通信データの特徴量に基づいて、データ通信により提供されるサービスを推定し、
    前記データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶手段を参照して、特定した前記サービスに対応する前記制御規則を選択し、
    前記制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する、
    通信ノードの制御方法。
  21. 請求項12から20いずれか一の制御方法によって制御される通信ノードに対して、前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部を送信する
    通信監視方法。
  22. データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶手段を備えるコンピュータに、
    前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部から、前記データ通信により提供されるサービスを特定するサービス特定処理と、
    前記制御規則記憶手段を参照して、特定した前記サービスに対応する前記制御規則を選択する処理と、
    前記制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する通信ノード制御処理と、
    を実行させるプログラムを記憶する記憶媒体。
  23. 前記コンピュータは、さらに、前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部と、サービスとを対応付けたエントリを格納するサービス特定情報記憶手段を備え、
    前記サービス特定処理は、前記サービス特定情報記憶手段から、前記送信側と受信側で授受される情報の前記少なくとも一部に対応するエントリを検索することで、前記データ通信により提供される前記サービスを特定する
    請求項22の記憶媒体。
  24. 前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部は、所定の認証局により署名された証明書又は該証明書の所定フィールドの情報である
    請求項22又は23の記憶媒体。
  25. 前記証明書は、トランスポートレイヤーセキュリティ(TLS)、セキュアソケットレイヤー(SSL)、インターネット鍵交換(IKE)プロトコルで交換される証明書である
    請求項24の記憶媒体。
  26. 前記データ通信に先だって送信側と受信側で授受される情報の少なくとも一部は、証明書に対して付された所定の認証局の署名情報である
    請求項22又は23の記憶媒体。
  27. 前記サービス特定処理は、所定の通信監視装置を介して、前記データ通信に先だって送信側と受信側で授受される情報を取得し、前記情報を用いて前記データ通信により提供される前記サービスを特定する
    請求項22から26いずれか一の記憶媒体。
  28. 前記プログラムは、前記コンピュータに、前記データ通信の送信側と受信側との間のセッション又は暗号化トンネルの状態を監視させ、前記セッション又は暗号化トンネル単位で通信制御を実施させる
    請求項22から27いずれか一の記憶媒体。
  29. 前記プログラムは、前記コンピュータに、さらに、通信データから求めた通信データの特徴量に基づいて、サービスを推定するサービス推定処理を実行させ、
    前記サービス特定処理は、前記サービス特定情報記憶手段に該当するエントリが存在しない場合、前記サービス推定処理にサービスの推定を依頼し、
    前記通信ノード制御処理は、前記サービス推定処理が推定した前記サービスに対応する前記制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する
    請求項23の記憶媒体。
  30. データ通信により提供されるサービスと、当該サービスに適用する通信制御内容とを対応付けた制御規則を記憶する制御規則記憶手段を備えるコンピュータに、
    前記通信データから求めた通信データの特徴量に基づいて、前記データ通信により提供される前記サービスを推定するサービス推定処理と、
    推定した前記サービスに対応する制御規則に基づいて、前記データ通信について前記サービスに対応付けられた通信制御内容を実施するよう前記データ通信の経路上の通信ノードを制御する通信ノード制御処理と、
    を実行させるプログラムを記憶する記憶媒体。
JP2017566594A 2016-02-09 2017-01-31 制御装置、制御方法及びプログラムを記憶する記憶媒体 Pending JPWO2017138403A1 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2016022343 2016-02-09
JP2016022343 2016-02-09
PCT/JP2017/003342 WO2017138403A1 (ja) 2016-02-09 2017-01-31 制御装置、制御方法及びプログラムを記憶する記憶媒体

Publications (1)

Publication Number Publication Date
JPWO2017138403A1 true JPWO2017138403A1 (ja) 2018-11-29

Family

ID=59563284

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017566594A Pending JPWO2017138403A1 (ja) 2016-02-09 2017-01-31 制御装置、制御方法及びプログラムを記憶する記憶媒体

Country Status (2)

Country Link
JP (1) JPWO2017138403A1 (ja)
WO (1) WO2017138403A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7020373B2 (ja) 2018-10-31 2022-02-16 日本電信電話株式会社 通信システム及びポリシー制御装置
JP7020374B2 (ja) 2018-10-31 2022-02-16 日本電信電話株式会社 通信システム及びポリシー制御装置
JPWO2023162147A1 (ja) * 2022-02-25 2023-08-31

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003087300A (ja) * 2001-09-11 2003-03-20 Matsushita Electric Ind Co Ltd パケット伝送装置、通信システム及びパケット伝送方法
JP4394590B2 (ja) * 2005-02-22 2010-01-06 株式会社日立コミュニケーションテクノロジー パケット中継装置および通信帯域制御方法
JP5659175B2 (ja) * 2012-03-06 2015-01-28 エヌ・ティ・ティ・コムウェア株式会社 アプリケーション種別分類装置及びアプリケーション種別分類方法並びにそのプログラム
JP5965365B2 (ja) * 2013-08-19 2016-08-03 日本電信電話株式会社 通信制御システム
JP6055104B2 (ja) * 2013-09-11 2016-12-27 フリービット株式会社 ネットワーク接続システム及びその方法

Also Published As

Publication number Publication date
WO2017138403A1 (ja) 2017-08-17

Similar Documents

Publication Publication Date Title
US11848961B2 (en) HTTPS request enrichment
Shreedhar et al. Evaluating QUIC performance over web, cloud storage, and video workloads
Velan et al. A survey of methods for encrypted traffic classification and analysis
Molavi Kakhki et al. Identifying traffic differentiation in mobile networks
US9369491B2 (en) Inspection of data channels and recording of media streams
Dos Santos et al. A DTLS-based security architecture for the Internet of Things
Liyanage et al. Enhancing security of software defined mobile networks
US9516061B2 (en) Smart virtual private network
US10389690B2 (en) Method and system for managing communications in a system comprising a receiver entity, a sender entity, and a network entity
Frolov et al. Conjure: Summoning proxies from unused address space
US20160014213A1 (en) Communication device, terminal device, and computer program product
Lei et al. SecWIR: Securing smart home IoT communications via wi-fi routers with embedded intelligence
WO2017138403A1 (ja) 制御装置、制御方法及びプログラムを記憶する記憶媒体
Touil et al. Secure and guarantee QoS in a video sequence: a new approach based on TLS protocol to secure data and RTP to ensure real-time exchanges
CN103051636B (zh) 一种数据报文的传输方法和设备
US11936634B2 (en) Method for editing messages by a device on a communication path established between two nodes
Yang et al. Hide your hackable smart home from remote attacks: The multipath onion IoT gateways
US20220141027A1 (en) Automatic distribution of dynamic host configuration protocol (dhcp) keys via link layer discovery protocol (lldp)
Kühlewind et al. A path layer for the Internet: Enabling network operations on encrypted protocols
Akpinar et al. PPNet: Privacy protected CDN-ISP collaboration for QoS-aware multi-CDN adaptive video streaming
EP3414877B1 (en) Technique for transport protocol selection and setup of a connection between a client and a server
Jimenez et al. MHCP: multimedia hybrid cloud computing protocol and architecture for mobile devices
Imran et al. Misa: Minimalist implementation of onem2m security architecture for constrained iot devices
JP2013077957A (ja) 中継装置、暗号化通信システム、暗号化通信プログラム、および暗号化通信方法
Hiller et al. The case for session sharing: relieving clients from TLS handshake overheads

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180802