KR101685471B1 - 단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체, 및 정보 처리 디바이스 - Google Patents

단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체, 및 정보 처리 디바이스 Download PDF

Info

Publication number
KR101685471B1
KR101685471B1 KR1020157028518A KR20157028518A KR101685471B1 KR 101685471 B1 KR101685471 B1 KR 101685471B1 KR 1020157028518 A KR1020157028518 A KR 1020157028518A KR 20157028518 A KR20157028518 A KR 20157028518A KR 101685471 B1 KR101685471 B1 KR 101685471B1
Authority
KR
South Korea
Prior art keywords
processing rule
packet
processing
control device
terminal
Prior art date
Application number
KR1020157028518A
Other languages
English (en)
Other versions
KR20150123337A (ko
Inventor
겐타로 소노다
히데유키 시모니시
마사유키 나카에
마사야 야마가타
요이치로 모리타
Original Assignee
닛본 덴끼 가부시끼가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 닛본 덴끼 가부시끼가이샤 filed Critical 닛본 덴끼 가부시끼가이샤
Publication of KR20150123337A publication Critical patent/KR20150123337A/ko
Application granted granted Critical
Publication of KR101685471B1 publication Critical patent/KR101685471B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5041Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the time relationship between creation and deployment of a service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/302Route determination based on requested QoS
    • H04L45/308Route determination based on user's profile, e.g. premium users
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/125Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/02Traffic management, e.g. flow control or congestion control
    • H04W28/08Load balancing or load distribution
    • H04W28/09Management thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/34Signalling channels for network management communication
    • H04L41/342Signalling channels for network management communication between virtual entities, e.g. orchestrators, SDN or NFV entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/40Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/20Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV

Abstract

포워딩 노드의 중앙 집중 제어에 의해 통신을 실현하는 통신 시스템에 있어서, 포워딩 노드(들) 및 제어 디바이스에서 부하 저감이 실현된다. 패킷을 포워딩하는 적어도 하나의 포워딩 디바이스(들) 및 포워딩 디바이스(들)로부터의 요청에 따라 포워딩 디바이스(들)를 제어하는 제어 디바이스를 포함하는 네트워크와 통신하는 단말에 있어서, 제어 디바이스에 의해 판정되는, 패킷의 처리 방법을 규정하는 처리 규칙을 제어 디바이스로부터 수신하는 통신부, 및 네트워크에 대한 패킷을 송신하는 경우에, 수신한 처리 규칙을 참조함으로써 송신하는 패킷에 대응하는 처리 규칙에 따라 송신하는 패킷을 처리하는 처리부를 포함한다.

Description

단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체, 및 정보 처리 디바이스{TERMINAL, CONTROL DEVICE, COMMUNICATION METHOD, COMMUNICATION SYSTEM, COMMUNICATION MODULE, COMPUTER READABLE STORAGE MEDIUM FOR STORING PROGRAM, AND INFORMATION PROCESSING DEVICE}
(관련 출원에 대한 참조)
본 출원은 2011년 4월 18일에 출원된 일본 특허출원 제2011-092318호에 의거하여 우선권을 주장하고, 그 개시는 전체가 참조에 의해 본원에 포함된다. 본 발명은 단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램을 저장한 컴퓨터 판독가능한 저장 매체, 및 정보 처리 디바이스에 관한 것이며, 제어 디바이스가 포워딩 디바이스의 중앙 집중 제어를 행하는 네트워크에서의 통신 기술에 관한 것이다.
최근에는, OpenFlow로 알려진 기술이 제안되어 있다(특허문헌 1 및 비특허문헌 1 및 2 참조). OpenFlow에서는, 통신이 엔드-투-엔드(end-to-end) 플로우로서 처리되고, 경로 제어, 장애 복구, 부하 밸런싱, 및 최적화가 플로우 단위로 이루어진다. 비특허문헌 2에 규정된 OpenFlow 스위치는, OpenFlow 컨트롤러와 통신하기 위한 보안 채널이 마련되며, OpenFlow 컨트롤러에 의해 적절한 추가 또는 재기입이 지시되는 플로우 테이블에 따라 동작한다. 플로우 테이블에는, 각 플로우에 대해, 패킷 헤더와의 대조를 위한 매칭 규칙(Header 필드), 플로우 통계 정보(Counter), 및 처리 내용을 정의하는 액션(Action)의 세트의 정의가 있다(도 24 참조).
예를 들면, OpenFlow 스위치가 패킷을 수신할 경우, 수신된 패킷의 헤더 정보와 매칭되는 매칭 규칙(도 24의 Header fields 참조)을 갖는 엔트리를 플로우 테이블로부터 검색한다. 검색 결과로서, 수신된 패킷과 매칭되는 엔트리가 발견될 경우에, OpenFlow 스위치는, 수신된 패킷에 대해, 플로우 통계 정보(Counter)를 업데이트하고, 또한 해당 엔트리의 Action 필드에 기술된 처리 내용(지정된 포트로부터 패킷 전송, 플러딩(flooding), 드롭핑(dropping) 등)을 실시한다. 한편, 검색 결과로서, 수신된 패킷과 매칭되는 엔트리가 없을 경우에, OpenFlow 스위치는 보완 채널을 통해 OpenFlow 컨트롤러에 대해 엔트리 설정을 위한 요청을 전송하고, 즉 수신된 패킷의 소스 및 수신처에 의거하여 패킷 경로를 판정하도록 요청한다. OpenFlow 스위치는 요청에 대응하여 플로우 엔트리를 수신하고 플로우 테이블을 업데이트한다. 이와 같이, OpenFlow 스위치는 패킷 포워딩을 행하기 위한 처리 규칙으로서 플로우 테이블에 저장된 엔트리를 사용한다.
국제 공보 제2008/095010호 일본국 특개 공보 JP-P2004-064182A
Nick McKeown 외 7인, "OpenFlow: Enabling Innovation in Campus Networks", [온라인] [2011년 4월 4일 행해진 검색] Internet URL:http://www.openflowswitch.org//documents/openflow-wp-latest.pdf 'OpenFlow: Switch Specification' Version 1.0.0. (Wire Protocol 0x01), [2011년 4월 4일 행해진 검색] Internet URL:http://www.openflowswitch.org/documents/openflow-spec-v1.0.0.pdf
상술한 특허문헌 1 및 2와 비특허문헌 1 및 2의 전체 개시는 참조에 의해 본원에 포함된다. 본 발명에 의해 다음의 분석이 주어진다. 특허문헌 1 및 비특허문헌 1 및 2에 개시된 기술에서, 컨트롤러는 스위치로부터 전송된 요청에 따라 패킷 처리를 위해 엔트리를 판정하고 판정된 엔트리를 스위치에 대해 설정한다. 이러한 중앙 집중식 통신 시스템에서는, 컨트롤러에 대한 부하 문제가 있다. 그 이유는 컨트롤러가 복수의 스위치를 중앙 집중 제어하고 복수의 스위치로부터 전송된 요청에 대해 엔트리를 계산하므로, 컨트롤러에 대한 처리 부하가 증가한다.
또한, 컨트롤러는 패킷의 헤더 내용을 재기입하기 위한 처리를 지정하는 엔트리를 스위치에 대해 설정할 수 있다. 이러한 경우에, 스위치에서 패킷 처리에 필요한 부하가 증가하는 문제가 있다.
특허문헌 2에는, 게이트웨이를 제어하는 게이트웨이 제어 디바이스가 개시되어 있다. 그러나, 특허문헌 2에는 게이트웨이 또는 게이트웨이 제어 디바이스에 대한 부하를 줄이기 위한 대책이 개시되어 있지 않다.
제 1 양태에 따르면, 패킷을 포워딩하는 적어도 하나의 포워딩 디바이스 및 포워딩 디바이스로부터의 요청에 따라 포워딩 디바이스(들)를 제어하는 제어 디바이스를 포함하는 네트워크와 통신하는 단말에 제공되고, 이 단말은, 제어 디바이스에 의해 판정되는, 패킷의 처리 방법을 지정하는 처리 규칙을 제어 디바이스로부터 수신하는 통신부, 수신된 처리 규칙을 저장하는 저장부, 및 네트워크와 통신할 경우에, 저장부에 저장된 처리 규칙을 참조함으로써 패킷에 대응하는 처리 규칙에 따라 패킷을 처리하는 처리부를 포함한다.
제 2 양태에 따르면, 패킷을 포워딩하는 적어도 하나의 포워딩 디바이스에 대해 패킷에 대한 처리 규칙을 설정하는 제어 디바이스가 제공되고, 이 제어 디바이스는, 포워딩 디바이스가 처리 규칙에 따라 패킷을 처리하는 네트워크에 액세스하는 단말로부터 전송된 액세스 요청을 수신하는 요청 수신부, 액세스 요청에 따라, 단말에 설정되는 처리 규칙을 판정하는 제어부, 및 판정된 처리 규칙을 단말에 전송하는 통신부를 포함한다.
제 3 양태에 따르면, 패킷을 포워딩하는 적어도 하나의 포워딩 디바이스 및 포워딩 디바이스로부터의 요청에 따라 포워딩 디바이스(들)를 제어하는 제어 디바이스를 포함하는 네트워크와 통신하는 단말을 제어하는 통신 방법이 제공되고, 이 방법은, 제어 디바이스로부터 패킷의 처리 방법을 지정하는 처리 규칙을 수신하는 수신 단계, 수신된 처리 규칙을 저장부에 저장하는 단계, 및 네트워크와 통신할 경우에, 저장부에 저장된 처리 규칙을 참조함으로써 패킷에 대응하는 처리 규칙에 따라 패킷을 처리하는 처리 단계를 포함한다. 본 방법은, 포워딩 노드 및 제어 디바이스를 포함하는 네트워크와 통신하는 단말인 특정 장치와 관련됨을 유념한다.
제 4 양태에 따르면, 패킷을 포워딩하는 적어도 하나의 포워딩 디바이스, 포워딩 디바이스로부터의 요청에 따라 포워딩 디바이스(들)를 제어하는 제어 디바이스, 및 포워딩 디바이스(들) 및 제어 디바이스를 포함하는 네트워크와 통신하는 단말을 포함하는 통신 시스템이 제공되고, 이 제어 디바이스는 단말에 설정되는 처리 규칙을 판정하는 제어부를 포함하고, 단말은, 제어 디바이스에 의해 판정된 처리 규칙을 제어 디바이스로부터 수신하는 통신부, 수신된 처리 규칙을 저장하는 저장부, 및 네트워크와 통신할 경우에, 저장부에 저장된 처리 규칙을 참조함으로써 패킷에 대응하는 처리 규칙에 따라 패킷을 처리하는 처리부를 포함한다.
제 5 양태에 따르면, 패킷을 포워딩하는 적어도 하나의 포워딩 디바이스 및 포워딩 디바이스로부터의 요청에 따라 포워딩 디바이스(들)를 제어하는 제어 디바이스를 포함하는 네트워크와 통신하는 단말에 설치된 통신 모듈이 제공되고, 이 모듈은, 제어 디바이스에 의해 판정되는, 패킷의 처리 방법을 지정하는 처리 규칙을 제어 디바이스로부터 수신하는 통신부, 수신된 처리 규칙을 저장하는 저장부, 및 단말이 네트워크와 통신할 경우에, 저장부에 저장된 처리 규칙을 참조함으로써 패킷에 대응하는 처리 규칙에 따라 패킷을 처리하는 처리부를 포함한다.
제 6 양태에 따르면, 패킷을 포워딩하는 적어도 하나의 포워딩 디바이스 및 포워딩 디바이스로부터의 요청에 따라 포워딩 디바이스(들)를 제어하는 제어 디바이스를 포함하는 네트워크와 통신하는 단말에, 제어 디바이스에 의해 판정되는, 패킷의 처리 방법을 지정하는 처리 규칙을 제어 디바이스로부터 수신하는 프로세스, 수신된 처리 규칙을 저장하는 프로세스, 및 단말이 네트워크와 통신할 경우에, 저장부에 저장된 처리 규칙을 참조함으로써 패킷에 대응하는 처리 규칙에 따라 패킷을 처리하는 패킷 프로세스를 실행시키는 프로그램이 제공된다.
제 7 양태에 따르면, 패킷을 포워딩하는 적어도 하나의 포워딩 디바이스 및 포워딩 디바이스로부터의 요청에 따라 포워딩 디바이스를 제어하는 제어 디바이스를 포함하는 네트워크와 통신하는 단말에, 제어 디바이스에 의해 판정되는, 패킷의 처리 방법을 지정하는 처리 규칙을 제어 디바이스로부터 수신하는 프로세스, 수신된 처리 규칙을 저장하는 프로세스, 및 단말이 네트워크와 통신할 경우에, 저장부에 저장된 처리 규칙을 참조함으로써 패킷에 대응하는 처리 규칙에 따라 패킷을 처리하는 패킷 프로세스를 실행시키는 프로그램을 단말에 전송하는 정보 처리 디바이스가 제공된다.
본 발명의 이로운 효과는 다음과 같이 요약된다. 본 개시에 따르면, 포워딩 디바이스를 중앙 집중 제어하는 제어 디바이스에 의한 통신을 행하는 기술에서, 제어 디바이스 또는 포워딩 디바이스(들)에 대한 부하를 줄일 수 있다.
도 1은 본 개시의 구성의 일례를 나타내는 도면.
도 2는 본 개시의 구성의 일례를 나타내는 도면.
도 3은 처리 규칙을 저장하는 테이블의 일례를 나타내는 도면.
도 4는 본 개시의 동작의 일례를 나타내는 플로차트.
도 5는 본 개시의 동작의 일례를 나타내는 플로차트.
도 6은 본 개시의 제 1 실시예의 구성예를 나타내는 도면.
도 7은 도 6의 구성이 액세스 제어 시스템에 적용되는 일례를 나타내는 도면.
도 8은 인증 정보의 일례를 나타내는 도면.
도 9는 통신 정책 정보의 일례를 나타내는 도면.
도 10은 리소스 정보의 일례를 나타내는 도면.
도 11은 통신 정책의 일례를 나타내는 도면.
도 12는 제어 디바이스의 구성의 일례를 나타내는 도면.
도 13은 제 1 실시예의 동작의 일례를 나타내는 시퀀스도.
도 14는 제 1 실시예의 동작의 일례를 나타내는 시퀀스도.
도 15는 제 1 실시예의 동작의 일례를 나타내는 시퀀스도.
도 16은 제 2 실시예의 동작의 일례를 나타내는 시퀀스도.
도 17은 통신 정책의 일례를 나타내는 도면.
도 18은 제 3 실시예의 구성예를 나타내는 도면.
도 19는 제 4 실시예의 구성예를 나타내는 도면.
도 20은 제 5 실시예의 구성예를 나타내는 도면.
도 21은 제 6 실시예의 구성예를 나타내는 도면.
도 22는 제 7 실시예의 구성예를 나타내는 도면.
도 23은 제 7 실시예의 동작의 일례를 나타내는 시퀀스도.
도 24는 관련 기술을 설명하는 도면.
우선, 본 개시의 실시예의 개요를 설명한다. 도 1은 통신 네트워크의 구성 및 단말(1)의 구성을 나타내는 도면이다. 도 2는 포워딩 노드(2) 및 제어 디바이스(3)의 구성을 나타내는 도면이다. 도면에 부여된 참조 부호는 이해를 돕기 위해 예로서 각 요소에 편의상 부가되는 것임을 유념한다. 참조 부호는 본 개시를 도면에 나타낸 형태로 제한하고자 함은 아니다.
패킷 수신 시, 포워딩 노드(2)는 패킷에 대응하는 처리 규칙에 따라 패킷을 처리한다. 처리 규칙은 패킷에 대한 처리 내용을 지정한다. 처리 규칙의 구성의 일례를 도 3에 나타낸다. 처리 규칙은, 예를 들면 패킷과 처리 규칙을 매칭시키는 매칭 규칙 및 처리 규칙과 매칭되는 패킷에 대한 처리 내용을 포함한다. 패킷의 수신 시, 처리부(23)는 패킷에 대응하는 처리 규칙을 저장부(21)로부터 검색한다. 즉, 처리부(23)는, 저장부(21)에 저장되어 있는 도 3에 예시된 구성의 테이블에서 검색을 행한다. 예를 들면, 패킷이 "플로우 A"에 속할 경우, "플로우 A"에 대한 매칭 규칙과 매칭시킨다. "플로우"는 패킷의 내용(패킷 소스 및 수신처의 정보, 패킷에 포함된 복수의 정보 아이템의 조합 등)에 따라 식별된 일련의 패킷임을 유념한다. 패킷에 대응하는 처리 규칙이 저장부(21)에 저장되어 있을 경우, 처리부(23)는 검색된 처리 규칙에 따라 패킷을 처리한다. 예를 들면, 도 3의 예에서, 패킷이 "플로우 A"에 속할 경우, 처리부(23)는 "포워딩 노드의 포트 'a'로부터 포워딩"의 처리 내용을 실행한다. 패킷에 대응하는 처리 규칙이 저장부(21)에 저장되어 있지 않을 경우에, 제어 디바이스 통신부(22)는 처리 규칙을 설정하는 요청을 제어 디바이스(3)에 전송한다.
제어 디바이스(3)는 포워딩 노드(2)에 의한 패킷 처리를 제어한다. 통신부(31)가 포워딩 노드(2)로부터 처리 규칙을 설정하는 요청을 수신할 경우, 제어부(32)는 설정 요청에 대응하는 처리 규칙을 판정한다. 통신부(31)는 제어부(32)에 의해 판정된 처리 규칙을 포워딩 노드(2)에 전송한다. 처리 규칙은, 예를 들면 지정된 포트로부터의 패킷 전송, 플러딩, 드롭핑, 패킷 헤더 재기입 등과 같은 패킷에 대한 처리 내용을 지정한다.
제어 디바이스(3)는, 포워딩 노드(들)(2)뿐만 아니라, 적어도 하나의 포워딩 노드(2) 및 제어 디바이스(3)를 포함하는 통신 네트워크와 통신하는 단말(1)에 대해 처리 규칙을 설정한다. 또한, 단말(1)은 설정되는 처리 규칙에 따라 패킷 처리를 실행한다.
단말(1)은 액세스 요청을 통신부(10)를 통해 통신 네트워크에 전송한다. 단말(1)은 개인용 컴퓨터, 핸드헬드 디바이스 등의 통신 단말임을 유념한다. 단말(1)은 통신의 유선 또는 무선 방법의 어느 것을 가질 수 있다.
단말(1)로부터의 액세스 요청의 검출 시, 포워딩 노드(2)는 액세스 요청을 제어 디바이스(3)에 포워딩한다. 예를 들면, 제어 디바이스(3)는 액세스를 요청하는 패킷(예를 들면, 인증 패킷 또는 로그인 패킷)에 대응하는 처리 규칙을 사전에 포워딩 노드(2)의 저장부(21)에 설정한다. 도 3의 예에 나타낸 바와 같이, 제어 디바이스(3)는 매칭 규칙이 "액세스 요청 패킷"이고, 대응 처리 내용이 "제어 디바이스에의 포워딩"인 처리 규칙을 설정한다. 액세스 요청 패킷에 대응하는 처리 규칙은, 예를 들면, 액세스 요청 패킷을 제어 디바이스(3)에 포워딩하는 처리를 지정한다. 액세스 요청 패킷의 수신 시, 포워딩 노드(2)의 처리부(23)는 액세스 요청 패킷에 대응하는 처리 규칙에 따라 액세스 요청 패킷을 제어 디바이스(3)에 포워딩한다.
제어 디바이스(3)가 포워딩 노드(2)로부터 포워딩된 액세스 요청 패킷을 수신할 경우, 제어 디바이스(3)의 제어부(32)는 정책 관리부(33)를 참조하여 단말의 사용자에 대응하는 정책을 검색한다. 정책 관리부(33)는 단말마다 설정되는 정책을 저장할 수 있음을 유념한다. 제어부(32)는 검색된 정책에 의거하여 단말(1)에 설정되는 처리 규칙을 판정한다. 통신부(31)는 판정된 처리 규칙을 단말(1)에 전송한다. 예를 들면, 제어 디바이스(3)는 판정된 처리 규칙에 대한 유효 기간을 설정하고 이를 단말(1)에 전송할 수 있음을 유념한다. 유효 기간이 설정될 경우, 단말(1)에 설정된 처리 규칙은 유효 기간이 경과했을 경우 단말(1)로부터 삭제된다. 도 2는 정책 관리부(33)가 제어 디바이스(3)에 포함되어 있는 예를 나타내지만, 정책은 제어 디바이스(3) 이외의 디바이스에 의해 관리될 수 있음을 유념한다.
또한, 제어 디바이스(3)는, 정책 관리부(33)를 참조하지 않고 제어 디바이스(3)에 의해 관리되는 정보에 의거하여 단말(1)에 설정되는 처리 규칙을 판정할 수 있다.
또한, 제어 디바이스(3)는, 예를 들면, 단말에 설정되는 단말의 처리 규칙에 대응하는 포워딩 노드의 처리 규칙을 포워딩 노드(2)에 설정할 수 있다. 예를 들면, 단말(1)이 단말(1)에 설정된 처리 규칙에 따라 일부 패킷에 대한 처리의 재기입을 실행할 경우, 제어 디바이스(3)는 패킷 내의 재기입 내용과 매칭되는 처리 규칙을 포워딩 노드(2)에 설정할 수 있다.
단말(1)의 통신부(10)가 제어 디바이스(3)로부터 처리 규칙을 수신할 경우, 단말(1)은 처리 규칙을 저장부(11)에 설정한다. 단말(1)의 처리부가 통신 네트워크에 대해 패킷을 전송 또는 수신할 경우, 처리부(12)는 전송 또는 수신되는 패킷에 대응하는 처리 규칙을 검색한다. 전송 또는 수신되는 패킷에 대응하는 처리 규칙이 저장부(11)에 저장되어 있을 경우, 처리부(12)는 패킷을 처리 규칙에 따라 처리한다. 처리부(12)는, 예를 들면 처리 규칙에 따라 전송 또는 수신되는 일부 패킷을 재기입하는 처리, 패킷 드롭핑 처리를 실행한다. 전송 또는 수신되는 패킷에 대응하는 처리 규칙이 저장부(11)에 저장되어 있지 않을 경우에, 처리부(12)는 패킷에 대응하는 처리를 실행하지 않고 패킷을 전송 또는 수신하거나, 또는 패킷 드롭핑(폐기)을 행할 수 있다. 그러나, 전송 또는 수신되는 패킷에 대응하는 처리 규칙이 저장부(11)에 저장되어 있지 않을 경우의 패킷 처리는 이에 제한되는 것은 아니다.
다음으로, 도 4 및 도 5를 참조하여 단말(1) 및 제어 디바이스(3)의 동작을 설명한다. 도 4는 단말(1)의 동작의 일례를 나타내는 플로차트이다. 제어 디바이스(3)로부터 처리 규칙을 수신할 경우(S1), 단말(1)은 수신된 처리 규칙을 저장부(11)에 저장한다(S2).
통신 네트워크에 대한 패킷 전송 또는 수신 시(S3에서 Yes), 단말(1)은 전송 또는 수신되는 패킷에 대응하는 처리 규칙을 검색한다(S4).
전송 또는 수신되는 패킷에 대응하는 처리 규칙이 저장부(11)에 저장되어 있을 경우, 단말(1)은 처리 규칙에 따라 전송 또는 수신되는 패킷을 처리한다(S5).
도 5는 제어 디바이스(3)의 동작의 일례를 나타내는 플로차트이다. 단말(1)로부터의 액세스 요청의 수신 시(S6), 제어 디바이스(3)는 정책 관리부(33)로부터 단말의 사용자에 대응하는 정책을 검색한다(S7).
제어 디바이스(3)는 검색된 정책에 의거하여 단말(1)에 설정되는 처리 규칙을 판정하고(S8) 이를 단말(1)에 전송한다(S9).
제어 디바이스(3)는 단말(1)에 대해 처리 규칙을 설정하고, 단말(1) 자체는 처리 규칙에 대응하는 패킷 처리를 실행한다. 단말(1)이 포워딩 노드(2)를 대신하여, 처리 규칙에 따라 일부 패킷의 재기입 등의 패킷 처리를 실행하므로, 포워딩 노드(2)에 대한 패킷 처리 부하가 크게 줄어든다. 또한, 처리 디바이스(3)가 단말(1)에 대해 설정되는 단말에 대한 처리 규칙의 내용에 대응하여 처리 규칙을 사전에 포워딩 노드(2)에 설정할 수 있으므로, 포워딩 노드(2)에 처리 규칙이 설정되어 있지 않는 것에 기인하여 발생되는 제어 디바이스(3)에의 요청을 삭감할 수 있다. 따라서, 제어 디바이스(3)에 대한 처리 부하가 크게 줄어든다.
(제 1 실시예)
다음으로, 본 개시의 제 1 실시예의 개요를 도면을 참조하여 설명한다. 도 6은 제 1 실시예에 있어서의 시스템 구성의 일례를 나타낸다. 도 6을 참조하면, 사용자 단말(100), 복수의 포워딩 노드(200), 정책 관리 디바이스(300), 및 제어 디바이스(400)를 포함하는 구성이 나타나 있다.
복수의 포워딩 노드(200)는 제어 디바이스(400)에 의해 설정된 처리 규칙에 따라 사용자 단말로부터 전송된 패킷의 처리를 실시한다.
사용자 단말의 단말 제어 디바이스(110)(기능 상)는 제어 디바이스(400)에 의해 설정된 처리 규칙을 저장하고 처리 규칙에 의거하여 사용자 단말에 의해 전송되는 패킷을 제어한다.
보다 구체적으로, 단말 제어 디바이스(110)에는, 처리 규칙 판정부(420)로부터 전송된 패킷을 포워딩할지의 여부를 판정하는 처리 규칙을 저장하는 처리 규칙 저장부(120), 및 처리 규칙 저장부(120)에 저장된 처리 규칙에 의거하여 사용자 단말로부터 전송된 액세스를 허용하거나 거부하는 액세스 제어부(130)가 설치된다. 즉, 액세스 제어부(130)는 단말(100)로부터 전송된 패킷에 대응하는 처리 규칙이 처리 규칙 저장부(120)에 저장되어 있는지의 여부를 확인한다. 단말(100)로부터 전송된 패킷에 대응하는 처리 규칙이 내부에 저장되어 있을 경우, 액세스 제어부(130)는 처리 규칙에 지정된 처리 내용을 확인한다. 처리 내용이 패킷의 포워딩을 허용하지 않을 경우, 액세스 제어부(130)는 포워딩 노드(200)에 의해 구성되는 통신 네트워크에 패킷을 포워딩하지 않지만, 패킷의 드롭핑 등의 액세스 제한을 실행한다.
정책 관리 디바이스(300)는 통신 정책을 관리하고 인증이 성공된 사용자에게 할당된 통신 정책을 제어 디바이스(400)에 통지한다.
보다 구체적으로, 정책 관리 디바이스(300)는 사용자에게 할당된 역할과 역할마다 설정된 액세스 권한을 연관시키는 통신 정책 저장부(310)를 포함한다. 정책 관리 디바이스(300)는 인증이 성공된 사용자의 역할에 대응하는 액세스 권한에 대한 정보를 제어 디바이스(400)에 제공한다.
제어 디바이스(400)는 포워딩 노드(200)에 대해 패킷의 처리 내용을 지정하는 처리 규칙을 설정한다. 도면에 부여된 참조 부호는 이해를 돕기 위해 예로서 각 요소에 편의상 부가되는 것임을 유념한다. 참조 부호는 도면에 나타낸 형태로 본 개시를 제한하고자 함은 아니다.
보다 구체적으로, 제어 디바이스(400)는 정책 관리 디바이스(300)로부터 수신된 액세스 권한에 대한 정보에 의거하여, 인증이 성공한 사용자 단말(100)과 사용자가 액세스할 수 있는 네트워크 리소스(500) 사이의 경로를 판정한다. 제어 디바이스(400)는 판정된 경로 상의 포워딩 노드(들)(200)에 처리 규칙을 설정하는 경로 제어부(410)를 포함한다. 경로 제어부(410)에 의해 포워딩 노드(200)에 설정된 처리 규칙에 대해, 제어 디바이스(400)는, 단말(100)로부터 패킷을 포워딩할지의 여부를 판정하는 처리 규칙을 사용자 단말(100)의 단말 제어 디바이스(110)에 전송하는 처리 규칙 판정부(420)가 설치된다.
제어 디바이스(400)는 사용자 단말(100)에 전송되는 처리 규칙에 대해 유효 기간을 설정할 수 있다. 이 경우, 단말(100)은 유효 기간이 경과한 처리 규칙을 삭제한다. 처리 규칙 판정부(420)가 단말(100)로부터 패킷 포워딩을 허용하지 않는 처리 규칙을 전송할 경우에, 경로 제어부(410)는 포워딩 노드(들)(200)에 대해 판정된 경로에 대응하는 처리 규칙을 설정할 필요가 없음을 유념한다.
상술한 바와 같이 처리 규칙을 설정함으로써, 사용자에게 할당된 역할에 따라 액세스 가능한 네트워크 리소스(500)를 판정할 수 있으며, 또한 플로우마다 액세스를 허용하는 경로를 설정할 수 있다. 또한, 상술한 처리 규칙을 설정함으로써, 사용자로부터 전송된 패킷 플로 중에서 사용자에 의한 액세스가 거부된 플로우에 대해서 사용자 단말(100)에 액세스 제한을 실행하게 할 수 있다.
따라서, 액세스가 제한된 패킷이 포워딩 노드(들)(200)에 전송되지 않고 단말(100)에 의해 액세스가 제한되므로, 포워딩 노드(들)(200)에 대한 처리 부하가 줄어든다. 단말에 의한 액세스 제한에 의해 포워딩 노드(200)로부터 제어 디바이스에 전송되는 처리 규칙을 설정하는 요청 시에 송신되는 패킷이 줄어들게 되므로, 제어 디바이스에 대한 부하가 크게 줄어든다.
처리 규칙에 유효 기간이 마련되고, 포워딩 노드(200) 및 사용자 단말(130)의 액세스 제어부(100)에 설정이 행해지고 나서, 또는 최종적으로 처리 규칙과 매칭되는 패킷이 수신되고 나서 유효 기간이 경과했을 경우에, 그 후 패킷의 포워딩을 거부하는 처리 규칙은 삭제될 수 있다.
도 7은 도 6의 구성을 이용하여 액세스 제어 시스템이 실현되는 예를 나타내는 도면이다. 도 7에 나타낸 구성은 시스템의 일례이며, 본 개시는 도 7에 개시된 시스템 구성에 제한되는 것은 아니다. 도 7을 참조하면, 도시된 구성은, 복수의 포워딩 노드(200), 사용자 단말(100)로부터 전송되는 패킷을 전송할지의 여부를 제어하는 단말 제어 디바이스(110), 처리 규칙을 포워딩 노드(200) 및 단말 제어 디바이스(110)에 설정하는 제어 디바이스(400), 통신 정책을 제어 디바이스(400)에 통지하는 정책 관리 디바이스(300), 및 인증 결과를 지시하는 인증 정보를 정책 관리 디바이스(300)에 제공하는 인증 디바이스(330)를 포함한다.
포워딩 노드(200)는 수신된 패킷과 매칭되는 매칭 규칙 및 매칭 규칙으로 매칭되는 패킷에 적용되는 처리 내용을 연관시키는 처리 규칙에 따라 수신된 패킷을 처리한다. 이러한 유형의 포워딩 노드(200)에 대해, 비특허문헌 2에 개시된 OpenFlow 스위치가 사용될 수 있다. 그러나, 포워딩 노드(200)는 OpenFlow 스위치에 제한되는 것은 아니다.
복수의 포워딩 노드(200) 중에서 특정 포워딩 노드(200)는 네트워크 리소스(500A 및 500B)에 연결된다. 도 7에 나타낸 네트워크 구성은 일례일뿐이며, 포워딩 노드(200) 및 네트워크 리소스(500A 및 500B)의 연결 구성은 도 7의 예에 제한되는 것은 아님을 유념한다.
사용자 단말(100)은 포워딩 노드(200)를 통해 네트워크 리소스(500A 및 500B)와 통신한다. 도 7의 예에서는, 네트워크 리소스(500A) 및 네트워크 리소스(500B) 각각이 서로 다른 리소스 그룹에 속하고, 그들 각각에는 resource_group_0001 및 resource_group_0002의 리소스 그룹 ID가 부여됨을 설명한다.
인증 디바이스(330)는 사용자 단말(100)과의 사용자 인증 절차를 행하기 위해 패스워드 또는 생체 인식 등을 이용하는 인증 서버이다. 인증 디바이스(330)는 사용자 단말(100)과의 사용자 인증 절차의 결과를 지시하는 인증 정보를 정책 관리 디바이스(300)에 전송한다.
도 8은 본 실시예의 인증 디바이스(330)에 유지하는 인증 정보의 일례이다. 예를 들면, user1의 사용자 ID를 갖는 사용자의 인증이 성공할 경우, 인증 디바이스(330)는, 인증 정보로서, user1; 속성이 IP 어드레스 : 192.168.100.1, 및 MAC 어드레스 : 00-00-00-44-55-66; 및 역할 ID : role_0001 및 role_0002를 포함하는 user1에 대한 엔트리를 정책 관리 디바이스(300)에 전송한다. 마찬가지로, user2의 사용자 ID를 갖는 사용자 인증이 성공할 경우에, 인증 디바이스(330)는, 인증 정보로서, user2; 속성이 IP 어드레스 : 192.168.100.2, 및 MAC 어드레스 : 00-00-00-77-88-99; 및 역할 ID : role_0002를 포함하는 user2에 대한 엔트리를 정책 관리 디바이스(300)에 전송한다.
인증 정보는, 정책 관리 디바이스(300)가 사용자에게 할당된 통신 정책을 판정할 수 있는 정보일 수 있으며, 도 8의 예로 제한되지 않는다. 예를 들면, 인증 정보는, 인증이 성공된 사용자의 사용자 ID, 해당 사용자 ID로부터 얻은 역할 ID 및 MAC 어드레스, 사용자 단말(100)의 위치 정보, 또는 그 조합일 수 있다. 인증 디바이스(330)는 인증 정보로서 인증에 실패한 사용자의 정보를 정책 관리 디바이스(300)에 전송할 수 있고 인증 정책 관리 디바이스(300)가 해당 사용자로부터의 액세스를 제한하는 통신 정책을 제어 디바이스(400)에 전송할 수 있다.
정책 관리 디바이스(300)는 통신 정책 저장부(310) 및 리소스 정보 저장부(320)에 연결되며, 인증 디바이스(330)로부터 수신된 인증 정보에 대응하는 통신 정책을 판정하고, 판정된 통신 정책을 제어 디바이스(400)에 전송한다.
도 9는 통신 정책 저장부(310)에 저장된 통신 정책 정보의 일례이다. 도 9의 예에서, 통신 정책 정보는 역할 ID에 의해 식별되는 역할마다 리소스 그룹에 부여되는 리소스 그룹 ID 및 액세스 권한을 갖는다. 예를 들면, 역할 ID : role_0001을 갖는 사용자는 ID : resource_group_0001 및 resource_group_0002 양쪽에 액세스가 허용된다. 한편, 역할 ID : role_0002를 갖는 사용자는 리소스 그룹 ID : resource_group_0001에의 액세스는 거부되지만, resource_group_0002에의 액세스는 허용된다.
도 10은 리소스 정보 저장부(320)에 저장되어 있는 리소스 정보의 일례이다. 도 10의 예에서, 리소스 정보는 리소스 그룹 ID에 속하는 리소스의 리소스 ID와 연관된 정보 및 다른 상세한 속성(리소스 속성)이다. 예를 들면, 리소스 정보와 관련하여, resource_0001, resource_0002, 및 resource_0003을 갖는 리소스는 리소스 그룹 ID : resource_group_0001에 식별된 그룹에 포함되고, 각각의 IP 어드레스, MAC 어드레스, 및 그 서비스에서 사용되는 포트 번호가 포함된다.
정책 관리 디바이스(300)는 통신 정책 정보 및 리소스 정보를 참조하여, 인증 디바이스(330)에 의해 인증을 받은 사용자의 통신 정책을 판정하고, 이를 제어 디바이스(400)에 통지한다. 예를 들면, 인증 디바이스(330)로부터 수신된 인증 정보에 포함된 역할 ID에 의거하여 정책 관리 디바이스(300)는 도 9의 정책 정보로부터 리소스 그룹 ID 및 해당 역할 ID에 부여된 그 액세스 권한의 내용을 식별한다. 정책 관리 디바이스(300)는 도 10의 리소스 정보로부터 리소스 그룹 ID에 속하는 리소스 정보를 식별한다. 정책 관리 디바이스(300)는 식별된 정책 정보 및 리소스 정보를 이용하여 통신 정책을 생성한다.
도 11은 도 8, 도 9, 및 도 10에 나타난 정보로부터 생성된 사용자 ID : user1을 갖는 사용자의 통신 정책의 예를 나타내는 도면이다. 도 8의 인증 정보의 사용자 ID : user1의 속성 정보의 값은 도 11의 소스 필드에 설정된다. 또한, 도 9의 정책 정보의 역할 ID : role_0001의 내용에 의거하여 도 10의 리소스 정보로부터 추출된 리소스 속성은 수신처 필드에 설정된다. 도 9의 정보의 역할 ID : role_0001의 액세스 권한에 의거한 권한은 액세스 권한 필드에 설정된다. 또한, 도 10의 리소스 정보의 리소스 속성 필드에 설정된 내용(예를 들면, 서비스 및 포트 번호)도 조건(옵션) 필드에 설정된다.
통신 정책의 수신 시, 제어 디바이스(400)는 처리 내용을 지정하는 처리 규칙을 생성하여, 해당 통신 정책이 적용되는 사용자로부터의 패킷에 대한 처리 규칙을 설정하는 요청을 포워딩 노드에 전송하고, 복수의 포워딩 노드(200) 중에서 적어도 하나의 포워딩 노드에 처리 규칙을 설정한다. 통신 정책이 적용되는 사용자로부터의 패킷의 수신 시, 포워딩 노드(200)는 처리 규칙에 의거하여, 처리 규칙을 설정하는 요청을 제어 디바이스(400)에 전송한다. 통신 정책이 적용되는 사용자로부터의 패킷에 대해 처리 규칙을 설정하는 요청의 수신시, 제어 디바이스(400)는 설정 요청에 포함된 패킷 정보에 의거하여 패킷의 포워딩 경로 및 포워딩 경로에 대응하는 처리 규칙을 판정하고 해당 패킷의 포워딩 경로의 포워딩 노드(200)에 처리 규칙을 설정한다. 포워딩 노드에 설정된 처리 규칙에 대해, 제어 디바이스(400)는 단말(100)로부터의 패킷의 포워딩 여부를 판정하는 처리 규칙을 사용자 단말(100)의 단말 제어 디바이스(110)에 전송한다.
도 12는 제어 디바이스(400)의 상세 구성을 나타내는 블록도이다. 제어 디바이스(400)에는, 포워딩 노드(200)와 통신을 행하는 노드 통신부(40), 제어 메시지 처리부(41), 처리 규칙 관리부(42), 처리 규칙 저장부(43), 포워딩 노드 관리부(44), 경로 조치 계산부(45), 토폴로지 관리부(46), 단말 위치 관리부(47), 통신 정책 관리부(48), 및 통신 정책 저장부(49)가 설치된다.
제어 메시지 처리부(41)는 포워딩 노드(200)로부터 수신된 제어 메시지를 분석하고 분석 결과에 따라 제어 디바이스(400) 내의 대응 기능 블록에 제어 메시지 정보를 전한다.
처리 규칙 관리부(42)는 처리 규칙이 설정되는 방법 및 어느 포워딩 노드(200)에서인지를 관리한다. 구체적으로, 경로 조치 계산부(45)에 의해 생성된 처리 규칙은 처리 규칙 저장부(43)에 등록되며 포워딩 노드(200)에 설정되고 포워딩 노드(200)로부터의 처리 규칙 삭제 통지에 따라, 포워딩 노드(200)에 설정된 처리 규칙에 변화가 일어날 경우에 대응하는 처리 규칙 저장부(43)의 등록 정보의 업데이트가 행해진다.
포워딩 노드 관리부(44)는 제어 디바이스(400)에 의해 제어되는 포워딩 노드(200)의 능력(예를 들면, 포트의 수 및 유형, 지원되는 처리 내용의 유형 등)을 관리한다.
통신 정책 관리부(48)로부터의 통신 정책의 수신 시, 경로 조치 계산부(45)는 해당 통신 정책에 따라 해당 사용자에 의해 사용되는 단말로부터 전송되는 패킷에 대해 처리 규칙을 설정하는 요청을 실행하는 처리 규칙을 생성한다. 생성된 처리 규칙의 설정된 수신처인 포워딩 노드(200)는 사용자 단말(100)이 연결될 수 있는 포워딩 노드(200)의 어느 것일 수 있거나, 또는 통신 정책에 포함된 소스 정보에 의거한 임의의 포워딩 노드(들)(200) 중의 선택일 수 있음을 유념한다.
사용자에 의해 사용되는 단말로부터 전송되는 패킷에 대해 처리 규칙을 설정하는 요청의 수신 시, 경로 조치 계산부(45)는 요청에 포함된 패킷 정보에 의거하여 해당 패킷의 포워딩 경로 및 해당 포워딩 경로에 대응하는 처리 규칙을 판정한다.
또한, 경로 조치 계산부(45)는 토폴로지 관리부(46)에 의해 구축된 네트워크 토폴로지 정보에 의거하여 패킷 포워딩 경로를 계산한다. 경로 조치 계산부(45)는, 또한 단말 위치 관리부(47)에 의해 관리되는 통신 단말의 위치 정보를 고려하여 패킷의 포워딩 경로를 계산할 수 있음을 유념한다. 다음으로, 경로 조치 계산부(45)는 포워딩 노드 관리부(44)로부터 포워딩 경로의 포워딩 노드(들)(200)의 포트 정보 등을 취득하고 경로의 포워딩 노드(들)(200)에 의해 실행되는 처리 내용 및 처리 내용에 적용되는 플로우를 식별하는 매칭 규칙을 취득한다. 매칭 규칙은 도 11의 통신 정책의 소스 IP 어드레스, 수신처 어드레스, 조건(옵션) 등을 이용하여 생성될 수 있음을 유념한다. 따라서, 도 11의 통신 정책의 제 1 엔트리의 경우에, 경로 조치 계산부(45)와 관련하여, 192.168.100.1의 소스 IP 어드레스로부터 IP 192.168.0.1의 수신처에, 포워딩 노드(200)의 소정의 포트에서 패킷을 포워딩하는 처리 내용 등을 지정하는 처리 규칙을 생성한다. 경로 조치 계산부(45)는 처리 규칙을 설정할 경우 처리 규칙을 설정하도록 요청이 수신된 패킷을 생성할 수 있을 뿐만 아니라, 사용자 단말이 액세스 권한을 갖는 리소스에의 패킷 포워딩을 실현하는 처리 규칙을 생성함을 유념한다.
토폴로지 관리부(46)는 노드 통신부(40)를 통해 수집된 포워딩 노드(200)의 연결 관계에 의거하여 네트워크 토폴로지 정보를 구축한다.
단말 위치 관리부(47)는 통신 시스템에 연결되는 사용자 단말의 위치를 식별하는 정보를 관리한다. 본 실시예에서, IP 어드레스가 사용자 단말을 식별하는 정보로서 사용되고, 사용자 단말이 연결되는 포워딩 노드의 포워딩 노드 식별자 및 그 포트의 정보가 사용자 단말의 위치를 식별하는 정보로서 사용되는 것을 설명한다. 그러나, 사용자 단말 및 사용자 단말의 위치를 식별하는 정보는 이에 제한되지 않는다. 예를 들면, 단말 및 그 위치는 인증 디바이스(330)에 의해 제공되는 정보를 사용함으로써 식별될 수 있다.
정책 관리 디바이스(300)로부터 통신 정책 정보의 수신 시, 통신 정책 관리부(48)는 정보를 통신 정책 저장부(49)에 저장하고, 또한 정보를 경로 조치 계산부(45)에 전송한다.
비특허문헌 1 및 2의 OpenFlow 컨트롤러는 제어 디바이스(400)로서 적용될 수 있음을 유념한다. 즉, 통신 정책의 수신 시 처리 규칙(플로우 엔트리)의 동작 기능이 OpenFlow 컨트롤러에 추가될 수 있다. 비특허문헌의 개시는 그 전문이 참조에 의해 본원에 포함된다.
처리 규칙 판정부(420)는 단말 제어 디바이스(110)의 처리 규칙 저장부(120)에, 경로 조치 계산부(45)에 의해 생성된 처리 규칙 중에서 패킷을 포워딩할지의 여부를 판정하는 처리 규칙(예를 들면, 도 11의 테이블에서 "192.168.100.1"의 소스, "192.168.0.3"의 수신처, 및 "거부"의 액세스 권한을 갖는 처리 규칙)을 전송한다.
제어 디바이스(400)로부터 단말 제어 디바이스(110)의 처리 규칙 저장부(120)에 포워딩하는 방법은 유선 연결, 무선 연결, 또는 다른 임의의 전송 방법에 의할 수 있다.
도 12에 나타낸 제어 디바이스(400)의 각부(처리 수단) 및 경로 제어부(410) 및 처리 규칙 판정부(420)는, 제어 디바이스(400)를 구성하는 컴퓨터에서 그 하드웨어를 이용하여 상술한 각 정보를 저장하고 상술한 각 프로세스를 실행하는 컴퓨터 프로그램에 의해 실현될 수 있다.
도 7의 단말 제어 디바이스(110)는 도 6과 마찬가지로 처리 규칙 저장부(120) 및 액세스 제어부(130)로 구성된다. 처리 규칙 저장부(120)는 제어 디바이스(400)로부터, 패킷을 포워딩할지의 여부를 판정하는 처리 규칙을 수신 및 저장한다. 액세스 제어부(130)는 처리 규칙 저장부(120)에 기록된 처리 규칙에 따라 사용자 단말(100)부터 전송되는 패킷에 대한 액세스 제어를 실행한다. 즉, 사용자 단말(100)에 의해(또는 사용자 단말(100)로부터) 전송되는 패킷에 대응하는 처리 규칙에 액세스 거부가 지정되어 있을 경우에, 사용자 단말의 액세스 제어부(130)는 자체적으로 대응 패킷의 전송을 제한한다.
상술한 단말 제어 디바이스(110)의 처리 규칙 저장부(120) 및 액세스 제어부(130)는, 단말 제어 디바이스(110)를 구성하는 사용자 단말의 컴퓨터에서 그 하드웨어를 이용하여 상술한 각 정보를 저장하고 상술한 각 프로세스를 실행하는 컴퓨터 프로그램에 의해 실현될 수 있다. 컴퓨터 프로그램은 컴퓨터 판독 가능한 비일시적인 기록 매체에 기록될 수 있음을 유념한다.
다음으로, 본 실시예의 동작을 도면을 참조하여 상세히 설명한다. 도 13, 도 14, 및 도 15는 본 실시예의 동작 순서를 나타내는 시퀀스도이다. 도 13을 참조하면, 사용자 단말이 인증 디바이스(330)에 로그인 요청을 행할 경우, 로그인 요청에 대응하는 패킷이 인증 디바이스(330)에 전송된다(도 13의 도 S001).
인증 디바이스(330)는 사용자 인증을 행한다(도 13의 S002). 인증 디바이스(330)는 인증 정보를 정책 관리 디바이스(300)에 전송한다(도 13의 도 S003). 정책 관리 디바이스(300)는 수신된 인증 정보에 의거하여 통신 정책 저장부(310) 및 리소스 정보 저장부(320)를 참조하여 통신 정책을 판정한다(도 13의 도 S004). 정책 관리 디바이스(300)는 판정된 통신 정책을 제어 디바이스(400)에 전송한다(도 13의 도 S005).
통신 정책의 수신 시, 제어 디바이스(400)는 포워딩 노드(200)에, 사용자 단말로부터 전송되는 패킷에 대응하는 처리 규칙을 설정하는 요청이 제어 디바이스(400)에 전송되는 처리 내용을 지정하는 처리 규칙을 설정한다(도 13의 S006). 제어 디바이스(400)는 패킷을 전송할지의 여부를 판정하고 판정 결과에 대응하는 처리 규칙을 생성한다(도 13의 도 S007). 제어 디바이스는 생성된 처리 규칙을 단말 제어 디바이스(110)에 전송한다(도 13의 S008).
제어 디바이스(400)에 의해 전송되는 처리 규칙의 수신 시, 단말 제어 디바이스(110)는 처리 규칙을 처리 규칙 저장부(120)에 등록한다(도 13의 도 S009).
사용자 단말로부터의 패킷 포워딩이 허용될 경우, 및 패킷 전송이 거부될 경우를 도 14 및 도 15를 참조하여 각각 설명한다.
도 14는 단말 제어 디바이스(110)에 의한 패킷 전송이 허용될 경우의 동작 순서를 나타내는 시퀀스도이다. 사용자 단말은 네트워크 리소스의 수신처를 갖는 패킷을 전송한다(도 14의 도 S101). 단말 제어 디바이스(110)는 패킷을 수신하고, 패킷을 네트워크 리소스에 전송할지의 여부를 판정한다(도 14의 S102). 단말 제어 디바이스(110)는 사용자 단말과 처리 규칙 저장부(120)에 등록된 처리 규칙에서 전송되는 패킷의 대상 IP 어드레스와 비교한다. 사용자 단말로부터 전송되는 패킷에 대응하는 처리 규칙에 액세스가 허용됨을 지정되어 있을 경우에, 단말 제어 디바이스(110)는 패킷을 포워딩 노드(200)에 전송한다(도 14의 도 S103).
포워딩 노드(200)는 단말 제어 디바이스(110)로부터 패킷을 수신하며, 제어 디바이스(400)에 의해 등록된 처리 규칙에 따라 패킷의 포워딩 경로를 판정하고(도 14의 도 S104), 패킷을 전송한다(도 14의 S105).
도 15는 단말 제어 디바이스(110)에 의한 패킷 전송이 거부될 경우의 동작 순서를 나타내는 시퀀스도이다. 사용자 단말이 네트워크 리소스의 수신처를 갖는 패킷을 전송할 경우(도 15의 S201), 단말 제어 디바이스(110)는 패킷을 수신하고 네트워크 리소스에 패킷을 전송할지의 여부를 판정한다(도 15의 도 S202). 단말 제어 디바이스(110)는 사용자 단말로부터 전송되는 패킷의 수신처 IP 어드레스와 처리 규칙 저장부(120)에 등록된 처리 규칙을 비교한다. 사용자 단말로부터 전송되는 패킷에 대응하는 처리 규칙에 액세스가 거부됨을 나타내는 내용이 지정되어 있을 경우에, 단말 제어 디바이스(110)는 패킷의 전송을 제한한다(패킷이 드롭 등 됨)(도 15의 S203).
제어 디바이스(400)는 단말에 대해 처리 규칙을 설정할 수 있거나, 또는 단말은 주기적으로 단말을 참조하여 처리 규칙을 취득할 수 있음을 유념한다. 또한, 두 메커니즘의 조합도 가능하다. 전체적으로 기본적인 개념 및 원리가 유지되는 한, 필요하다면 본 개시의 전체적인 개념 및 개시 내에서 추가적인 선택 또는 조합(특정 요소(들) 또는 단계(들)의 삭제와 더불어)이 이루어질 수 있음을 유념해야 한다.
액세스 제어부(130)에 의한 패킷의 전송을 허용하거나 거부하는 메커니즘은 포워딩 노드에서 행해지는 방법과 유사한 메커니즘일 수 있거나, 아이피테이블(iptable)에서와 같은 패킷 필터링 기술이 이용될 수 있다. 또한, 단말 제어 디바이스(110)의 액세스 제어부(130)는 또한 사용자 단말 내부의 물리적 NIC(Network Interface Card)에 대해 패킷의 포워딩을 허용 또는 거부하는 처리 규칙을 적용할 수 있으며, 사용자 단말 내부에서 동작하는 복수의 VM(Virtual Machines)에 의해 유지되는 각각이 가상 NIC에 적용 가능하며, 또한 사용자 단말 내부에서 동작하는 복수의 가상 스위치에 적용 가능하다. 이러한 방식으로, 액세스 제어부(130)는 사용자 단말 내부에서 액세스 제어를 실행하는 위치를 자유롭게 지정할 수 있다.
상술한 바와 같이, 사용자 단말로부터 전송되는 패킷은 사용자 단말 내부의 단말 제어 디바이스(110)에 의해 포워딩 노드(200)로 전송되지 않고 사용자 단말 내부에서 액세스 제한을 받을 수 있다. 따라서, 처리 규칙을 설정하는 요청을 수반하는 제어 디바이스에의 부하 및 포워딩 노드의 포워딩 처리의 부하를 크게 줄일 수 있다.
(제 2 실시예)
다음으로, 상술한 제 1 실시예의 정책 관리 디바이스의 동작에 변형이 부가되는 본 개시의 제 2 실시예에 대해 설명한다. 본 실시예는 상술한 제 1 실시예에 상당하는 구성으로 실현될 수 있기 때문에, 이하에는 동작의 차이점을 중심으로 설명한다.
도 16은 본 개시의 제 2 실시예의 동작 순서를 나타내는 시퀀스도이다. 사용자 단말은 인증 디바이스(330)에 로그인 요청을 한다(도 16의 도 S301). 인증 디바이스(330)는 사용자 인증을 행한다(도 16의 S302). 인증 디바이스(330)는 사용자 인증 결과에 의거하여 정책 관리 디바이스(300)에 인증 정보를 전송한다(도 16의 S303).
정책 관리 디바이스(300)는 인증 디바이스(330)로부터 수신된 인증 정보에 의거하여 사용자에 대한 통신 정책을 판정한다(도 16의 도 S304). 정책 관리 디바이스(300)는 판정된 통신 정책을 제어 디바이스(400)에 전송한다(도 16의 도 S305).
제어 디바이스(400)는 정책 관리 디바이스(300)로부터 수신된 통신 정책에 의거하여 처리 규칙을 생성하고 처리 규칙을 포워딩 노드(200)에 설정한다(도 16의 도 S306). 이들 동작은 제 1 실시예와 동일하다. 본 실시예에서, 제어 디바이스(400)가 처리 규칙을 포워딩 노드(200)에 설정한 후에 처리 규칙의 내용에 대한 참조가 이루어지고, 패킷을 포워딩할지의 여부를 판정하는 처리 규칙이 정책 관리 디바이스(300)에 전송된다(도 16의 도 S307).
패킷을 포워딩할지의 여부를 판정하는 처리 규칙을 수신한 정책 관리 디바이스(300)는 통신 정책 저장부(310) 및 리소스 정보 저장부(320)의 정보를 사용하여 처리 규칙이 적용되는 다른 사용자를 선택한다(도 16의 S309).
도 17은, 패킷을 전송할지의 여부를 판정하는 처리 규칙을 수신한 정책 관리 디바이스(300)가 처리 규칙이 적용되는 다른 사용자를 선택하는 예를 나타내는 도면이다. 예를 들면, 도 17을 참조하면 소스가 "IP: 192.168.100.0/24"이고 수신처가 "192.168.0.3"인 액세스를 거부하는 처리 규칙(이하, 처리 규칙 (a))이 있다. 이 경우, 정책 관리 디바이스(300)는 처리 규칙 (a)와 매칭되는 다른 사용자에 대해 검색하여(리소스 ID 또는 리소스 그룹 ID), 매칭되는 다른 사용자를 선택한다(예를 들면, "192.168.100.10"의 소스와 함께, 다른 조건이 처리 규칙 (a)의 사용자와 동일한 리소스 ID 및 리소스 그룹 ID를 가짐). 다음의 설명에서, 도 16의 로그인 처리(S301)를 행하는 사용자는 A이고, 사용자 A에 의해 소유되는 단말 제어 디바이스는 단말 제어 디바이스 A이다. 또한, 도 16의 정책 관리 디바이스(300)에 의해 제어 디바이스(400)로부터 수신되는 처리 규칙에 의거하여 선택되는 사용자는 B이며, 사용자 B에 의해 사용되는 사용자 단말은 사용자 단말 B이고, 사용자 단말 B에 의해 소유되는 단말 제어 디바이스는 단말 제어 디바이스 B이다.
정책 관리 디바이스(300)는,제어 디바이스(400)로부터 사용자에게 패킷을 전송할지의 여부를 판정하는 처리 규칙 (a)을 수신하고, 처리 규칙 (a)와 매칭되는 사용자 B를 선택한 후 각 처리 규칙을 사용자 단말 A의 단말 제어 디바이스 A 및 사용자 단말 B의 단말 제어 디바이스 B에 설정한다(도 16의 S310 및 S312). 제어 디바이스(400)가 처리 규칙을 단말 제어 디바이스 A 및 단말 제어 디바이스 B에 전송하는 순서로서 임의의 순서가 이용될 수 있음을 유념한다.
제어 디바이스(400)에 의해 전송되는 처리 규칙의 수신 시, 단말 제어 디바이스 A는 처리 규칙을 단말 제어 디바이스 A의 처리 규칙 저장부에 등록한다(도 16의 S311). 마찬가지로, 제어 디바이스(400)에 의해 전송되는 처리 규칙의 수신 시, 단말 제어 디바이스 B는 처리 규칙을 단말 제어 디바이스 B의 처리 규칙 저장부에 등록한다(도 16의 S313).
그 후, 사용자 단말 A 및 사용자 단말 B로부터의 패킷 전송이 허용될 경우, 및 패킷 전송이 거부될 경우의 동작은 도 14 및 도 15를 이용하여 설명한 제 1 실시예와 마찬가지이다.
상기 동작 순서의 결과로서, 특정 사용자의 단말에 대해 설정된 처리 규칙이 또한 다른 사용자에게 적용 가능할 경우에, 다른 사용자의 단말 제어 디바이스에도 처리 규칙을 사전에 등록함으로써, 처리 규칙을 설정하는 요청을 수반하는 제어 디바이스의 부하 및 포워딩 노드의 포워딩 처리의 부하를 줄일 수 있다.
(제 3 실시예)
다음으로, 본 개시의 제 3 실시예를 도 18을 참조하여 설명한다. 도 18의 각 요소는 다른 실시예에의 요소와 동일한 참조 부호를 가질 경우, 그 요소는 다른 실시예에서 설명된 내용과 동일하다. 이하에서는, 본 실시예의 구성에 대한 상세한 설명을 생략한다.
제어 디바이스(400)는 단말(100)에 대해 패킷에 단말의 식별자의 기입을 지정하는 처리 규칙을 패킷에 설정한다. 제어 디바이스(400)에 의해 단말(100)에 대해 처리 규칙이 설정되는 경우는 임의적일 수 있음을 유념한다. 예를 들면, 제어 디바이스(400)가 단말(100)에 의해 전송되는 액세스를 요청하는 패킷(예를 들면, 인증 패킷 또는 로그인 패킷)을 수신할 경우에, 처리 규칙이 단말(100)에 대해 설정될 수 있다. 또한, 제어 디바이스(400)는 임의의 타이밍에 단말(100)에 대해 처리 규칙을 설정할 수 있다.
제어 디바이스(400)는 처리 규칙에, 단말의 식별자를 기입하는 처리 대상인 패킷과 매칭되는 매칭 규칙을 포함하고, 단말(100)에 처리 규칙을 설정한다.
단말(100)은 설정된 처리 규칙에 따라 패킷의 임의의 필드(예를 들면, 헤더의 소정의 필드)에 단말의 식별자를 기록한다. 단말(100)은 식별자가 기입된 패킷을 포워딩 노드(200)로 구성된 네트워크에 전송한다.
포워딩 노드(200)는, 단말(100)로부터 단말의 식별자를 포함하는 패킷을 수신하고, 유지하고 있는 처리 규칙으로부터 단말의 식별자에 대응하는 처리 규칙이 있는지의 여부를 검사한다. 단말의 식별자에 대응하는 처리 규칙이 없을 경우에, 포워딩 노드(200)는 단말의 식별자에 대응하는 처리 규칙을 설정하는 요청을 제어 디바이스(400)에 전송한다.
포워딩 노드(200)로부터의 요청을 수신한 제어 디바이스(400)는 단말의 식별자에 대응하는 포워딩 경로를 판정하고, 포워딩 경로에 대응하는 처리 규칙을 포워딩 노드(200)에 전송한다. 포워딩 노드(200)에 설정된 처리 규칙에서, 단말의 식별자가 매칭 규칙에 설정되고, 식별자에 대응하는 패킷의 처리가 처리 내용에 설정된다. 처리 규칙이 설정된 후, 포워딩 노드(200)는, 패킷에 포함된 단말의 식별자와 매칭되는 처리 규칙에 따라, 단말의 식별자를 포함하는 패킷을 처리한다.
본 실시예에 따르면, 제어 디바이스(400)는 단말 단위로 패킷 플로우를 유연하게 제어할 수 있다. 또한, 제어 디바이스(400) 또는 포워딩 노드(200)가 단말의 식별자를 인식할 필요가 없으므로, 제어 디바이스(400) 및 포워딩 노드(200)에 의해 단말 식별자를 수집하는 데 필요한 처리 부하가 크게 줄어든다. 또한, 처리 디바이스(400)는 단말의 식별자에 대응하는 처리 규칙을 포워딩 노드(200)에 사전에 설정할 수 있으므로, 처리 규칙이 포워딩 노드(200)에 설정되지 않음에 기인해서 발생되는 제어 디바이스(400)에 대한 요청을 줄일 수 있다. 따라서, 제어 디바이스(400)에 대한 처리 부하가 크게 줄어든다.
(제 4 실시예)
본 개시의 제 4 실시예를 도 19를 참조하여 설명한다. 도 19의 각 요소가 다른 실시예의 요소와 동일한 참조 번호를 가질 경우에, 이 요소는 다른 실시예에서 설명된 내용과 동일하다. 이하, 본 실시예의 구성의 상세한 설명을 생략한다.
제어 디바이스(400)는 소정의 단말(100)에 대해 QoS(Quality of Service)에 관한 처리 규칙을 설정한다. 제어 디바이스(400)에 의해 처리 규칙이 단말(100)에 대해 설정되는 경우는 임의적일 수 있음을 유념한다. 예를 들면, 제어 디바이스(400)는 단말(100)에 의해 전송되는 액세스를 요청하는 패킷(예를 들면, 인증 패킷 또는 로그인 패킷)을 수신할 경우에, 처리 규칙이 단말(100)에 대해 설정될 수 있다. 또한, 제어 디바이스(400)는 임의의 타이밍에 단말(100)에 대해 처리 규칙을 설정할 수 있다. 또한, 제어 디바이스(400)는 소정의 조건에 의해 선택되는 소정의 단말(100)에만 QoS 정보를 전송할 수 있다.
QoS에 대한 처리 규칙은, 예를 들면, 소정의 단말(100)로부터 전송된 패킷에 패킷의 QoS 정보를 기입하는 처리를 지정한다. QoS 정보는, 예를 들면, 우선 순위에 따라 QoS 구분이 행해진 QoS 클래스임을 유념한다. 제어 디바이스(400)는 높은 QoS 클래스를 갖는 패킷에 대해 대역 포함하도록 포워딩 노드를 제어한다. 또한, 제어 디바이스(400)는 단말(100)에 대해 패킷에 낮은 QoS 클래스의 기입을 지정하는 처리 규칙을 설정해도 되고, 협대역을 갖는 경로에서 통신 빈도가 높은 헤비 유저로부터의 트래픽을 일시적으로 분리하도록 포워딩 노드(200)를 제어할 수 있다. 제어 디바이스(400)는 단말(100)의 통신 기록이나 위치 정보에 의거하여 단말(100)에 설정되는 처리 규칙을 판정할 수 있다.
제어 디바이스(400)는 처리 규칙에, QoS 정보를 기입하는 처리의 대상이 되는 패킷과 매칭되는 매칭 규칙을 포함하고, 처리 규칙을 단말(100)에 설정한다.
단말(100)은 설정된 처리 규칙에 따라, 패킷의 임의의 필드(예를 들면, 헤더의 소정 필드)에 QoS 정보를 기입한다. 단말(100)은, QoS 정보가 기입된 패킷을 포워딩 노드(200)로 구성된 네트워크에 전송한다.
포워딩 노드(200)는 단말(100)로부터 QoS 정보를 포함하는 패킷을 수신하고, 유지하고 있는 QoS로부터 QoS 정보에 대응하는 처리 규칙이 있는지의 여부를 검사한다. QoS 정보에 대응하는 처리 규칙이 없을 경우에, 포워딩 노드(200)는 패킷에 포함된 QoS 정보에 대응하는 처리 규칙을 설정하는 요청을 제어 디바이스(400)에 전송한다. 그러나, 제어 디바이스(400)는 QoS 정보에 대응하는 처리 규칙을 포워딩 노드(200)에 사전에 설정할 수 있다. 이 경우, 제어 디바이스(400)에 대해 처리 규칙을 설정하는 요청이 크게 줄어든다.
포워딩 노드(200)로부터 요청을 수신한 제어 디바이스(400)는 QoS 정보에 대응하는 포워딩 경로를 판정하고, 포워딩 경로에 대응하는 처리 규칙을 포워딩 노드(200)에 전송한다. 포워딩 노드(200)에 설정되는 처리 규칙에서, QoS 정보는 매칭 규칙에 설정되고, QoS 정보에 대응하는 패킷의 처리는 처리 내용에 설정된다. 처리 규칙이 설정된 후, 포워딩 노드(200)는 패킷에 포함된 QoS 정보와 매칭되는 처리 규칙에 따라 QoS 정보를 포함하는 패킷을 처리한다.
본 실시예에 따르면, 제어 디바이스(400)를 관리하는 네트워크 오퍼레이터 주도로 단말에 대해 QoS 제어를 실행할 수 있다. 또한, 제어 디바이스(400)는 QoS 정보에 대응하는 처리 규칙을 포워딩 노드(200)에 사전에 설정할 수 있으므로, 포워딩 노드(200)로부터 처리 규칙을 설정하는 요청을 크게 줄일 수 있다. 따라서, 제어 디바이스(400)에의 처리 부하가 크게 줄어든다. 또한, 포워딩 노드(200)에 QoS 정보를 기입하는 처리를 실행할 필요가 없으므로, 포워딩 노드(200)에 대해 패킷 처리의 부하를 크게 줄일 수 있다.
(제 5 실시예)
다음으로, 본 개시의 제 5 실시예를 도 20을 참조하여 설명한다. 도 20의 각 요소가 다른 실시예의 요소와 동일한 참조 번호를 가질 경우, 그 요소는 다른 실시예에서 설명한 내용과 동일하다. 이하, 본 실시예의 구성에 대한 상세한 설명을 생략한다.
제어 디바이스(400)는 단말(100)의 액세스 요청의 리디렉션(redirection)을 지정하는, 소정의 단말(100)에 대한 처리 규칙을 설정한다. 예를 들면 단말(100)의 사용자를 특정 광고 사이트에 안내하는 것이 바람직할 경우에, 제어 디바이스(400)는 액세스 요청의 리디렉션을 지정하는 처리 규칙을 설정한다. 예를 들면, 단말(100)이 전자 상거래를 실시하는 특정 사이트에의 액세스를 요청할 경우에, 제어 디바이스(400)는, 디스카운트 등의 특별 이벤트를 실시하는 관련 사이트에 액세스 요청을 리디렉션하도록, 단말(100)에 대해 처리 규칙을 설정한다. 또한, 제어 디바이스(400)는, 단말(100)의 제 1 액세스 요청에 대해서만 리디렉션을 하도록, 단말(100)에 대해 처리 규칙을 설정할 수 있음을 유념한다. 제어 디바이스(400)는, 단말(100)에서 통신을 리디렉션하는 처리 규칙에 유효 기간을 추가하여 단말(100)에 처리 규칙을 설정할 수 있다. 또한, 제어 디바이스(400)는 단말(100)의 통신 기록을 참조하여 리디렉션 수신처를 판정할 수 있다. 예를 들면, 제어 디바이스(400)는 통신 기록에 의거하여 사용자 선호도를 분석해서, 단말(100)에 대한 처리 규칙을 설정할 수 있으며, 선호도에 대응하는 광고 사이트 등에 리디렉션할 수 있다. 또한, 제어 디바이스(400)는 단말(100)의 위치에 의거하여 리디렉션 수신처를 판정할 수 있다. 제어 디바이스(400)는, 예를 들면 단말(100)로부터 전송되는 위치 정보(GPS 등), 또는 단말(100)이 네트워크에 액세스하는 액세스 포인트의 위치 정보에 의거하여 단말(100)의 위치를 인식한다. 제어 디바이스(400)는, 단말(100)의 위치에 의거하여, 위치에 관련된 소정의 웹 사이트 등의 수신처에의 리디렉션을 지정하는 처리 규칙을 설정한다.
제어 디바이스(400)는, 예를 들면 단말(100)에, 단말(100)로부터 전송되는 액세스 요청 패킷의 헤더의 "수신처" 필드의 재기입을 실행하는 처리 규칙을 전송한다. 또한, 제어 디바이스(400)는 리디렉션 수신처에 대응하는 포워딩 경로를 판정하고 판정된 경로에 대응하는 처리 규칙을 포워딩 노드(200)에 설정한다. 제어 디바이스(400)는 리디렉션 수신처에 대응하는 처리 규칙을 사전에 포워딩 노드(200)에 설정할 수 있다. 이 경우, 제어 디바이스(400)에 대해 처리 규칙을 설정하기 위한 요청이 크게 줄어든다.
제어 디바이스(400)는, 처리 규칙에, 리디렉션 대상인 패킷과 매칭되는 매칭 규칙을 포함하고 처리 규칙을 단말(100)에 설정한다.
단말(100)은, 설정된 처리 규칙에 따라 패킷 헤더의 수신처 필드를 처리 규칙에 설정된 리디렉션 수신처로 재기입한다. 단말(100)은, 수신처 필드가 재기입된 패킷을 포워딩 노드(200)로 구성된 네트워크에 전송한다.
포워딩 노드(200)는 리디렉션된 수신처에 대응하는 처리 규칙에 따라 패킷을 포워딩한다.
본 실시예에 따르면, 제어 디바이스(400)를 이용함으로써, 네트워크의 서비스 제공자는 단말의 사용자를 특정 사이트에 안내할 수 있다. 제어 디바이스(400)가 리디렉션된 수신처에 대응하는 처리 규칙을 사전에 포워딩 노드(200)에 설정할 수 있으므로, 포워딩 노드(200)로부터 처리 규칙을 설정하는 요청을 크게 줄일 수 있다. 따라서, 제어 디바이스(400)에 대한 처리 부하가 크게 저감된다. 또한, 포워딩 노드(200)에서 패킷 수신처를 재기입하는 처리를 실행할 필요가 없으므로, 포워딩 노드(200)에 대한 패킷 처리가 크게 줄어든다.
(제 6 실시예)
다음으로, 본 개시의 제 6 실시예를 도 21을 참조하여 설명한다. 도 21의 각 요소가 다른 실시예에서의 요소와 동일한 참조 부호를 가질 경우, 그 요소는 다른 실시예에서 설명된 내용과 동일하다. 이하, 본 실시예의 구성에 대한 상세한 설명을 생략한다.
제어 디바이스(400)는, 소정의 단말(100)에 대해, 단말의 사용자에 대한 과금 정보의 기입을 지정하는 처리 규칙을 패킷에 설정한다. 과금 정보는, 예를 들면, 통신 서비스의 품질 등에 따라 단말의 사용자가 네트워크 오퍼레이터와 계약한 과금 클래스에 대한 것이다. 제어 디바이스(400)에 의해 처리 규칙이 단말(100)에 대해 설정되는 경우는 임의적일 수 있음을 유념한다. 예를 들면, 제어 디바이스(400)가 단말(100)에 의해 전송되는 액세스를 요청하는 패킷(예를 들면, 인증 패킷 또는 로그인 패킷)을 수신할 경우, 처리 규칙이 단말(100)에 대해 설정될 수 있다. 또한, 제어 디바이스(400)는 임의의 타이밍에 단말(100)에 대해 처리 규칙을 설정할 수 있다.
제어 디바이스(400)는, 처리 규칙에, 과금 정보를 기입하는 처리의 대상이 되는 패킷과 매칭되는 매칭 규칙을 포함하고, 단말(100)에 처리 규칙을 설정한다.
제어 디바이스(400)는, 상위 과금 클래스의 패킷에 대해서는, 하위 과금 클래스의 패킷보다 높은 서비스 품질(레인지에 우선 순위를 줌)을 제공하도록 포워딩 노드(200)를 제어한다.
단말(100)은 설정된 처리 규칙에 따라 과금 정보를 패킷의 임의의 필드(예를 들면, 헤더의 소정의 필드)에 기입한다. 단말(100)은 과금 정보가 기입된 패킷을 포워딩 노드(200)로 구성된 네트워크에 전송한다.
포워딩 노드(200)는 단말(100)로부터 과금 정보를 포함하는 패킷을 수신하고, 유지하고 있는 처리 규칙으로부터 과금 정보에 대응하는 처리 규칙이 있는지의 여부를 검사한다. 과금 정보에 대응하는 처리 규칙이 없을 경우에, 포워딩 노드(200)는, 패킷에 포함된 과금 정보에 대응하는 처리 규칙을 설정하는 요청을 제어 디바이스(400)에 전송한다. 그러나, 제어 디바이스(400)는 과금 정보에 대응하는 처리 규칙을 사전에 포워딩 노드(200)에 설정할 수 있다. 이 경우, 제어 디바이스(400)에 대해 처리 규칙을 설정하는 요청이 크게 줄어든다.
포워딩 노드(200)로부터 요청을 수신한 제어 디바이스(400)는 과금 정보에 대응하는 포워딩 경로를 판정하고 포워딩 경로에 대응하는 처리 규칙을 포워딩 노드(200)에 전송한다. 포워딩 노드(200)에 설정되는 처리 규칙에서, 과금 정보는 매칭 규칙에 설정되고 과금 정보에 대응하는 패킷의 처리는 처리 내용으로서 설정된다. 처리 규칙이 설정된 후, 포워딩 노드(200)는 패킷에 포함된 과금 정보와 매칭되는 처리 규칙에 따라 과금 정보를 포함하는 패킷을 처리한다.
또한, 본 실시예와 제 5 실시예의 조합도 가능함을 유념한다. 제어 디바이스(400)는, 과금 클래스가 낮고 일정 기간 동안 계속해도 통신 서비스 품질이 소정의 임계값 아래인 상태에 있는 사용자 단말(100)에, 과금 클래스의 업그레이드를 권장하는 사이트에의 리디렉션을 지정하는 처리 규칙을 설정할 수 있다.
본 실시예에 따르면, 제어 디바이스(400)를 관리하는 네트워크 오퍼레이터의 주도로 단말의 사용자의 과금 정보에 따라 통신 서비스 품질을 제어할 수 있다. 또한, 제어 디바이스(400)가 과금 정보에 대응하는 처리 규칙을 사전에 포워딩 노드(200)에서 설정할 수 있으므로, 포워딩 노드(200)로부터 처리 규칙을 설정하는 요청을 크게 줄일 수 있다. 따라서, 제어 디바이스(400)에 대한 처리 부하가 크게 줄어든다. 포워딩 노드(200)에 과금 정보를 기입하는 처리를 실행할 필요가 없으므로, 포워딩 노드(200)에 대해 패킷 처리의 부하를 크게 줄일 수 있다.
(제 7 실시예).
다음으로, 제 7 실시예를 설명한다. 도 22는 본 개시의 제 7 실시예의 구성예를 나타내는 도면이다. 제 7 실시예는, 제어 디바이스(400A)가 변경 판정부(610)를 포함하는 점에서, 상술한 실시예와 다르다. 변경 판정부(610)는, 처리 규칙 판정부(420)에 의해 판정되는, 단말(100)에 설정되는 처리 규칙의 해시 값(hash value)을 유지한다.
변경 판정부(610)는 단말 제어 디바이스(110)의 처리 규칙 저장부(120)에 기록된 처리 규칙의 해시 값과 자체적으로 보유하고 있는 해시 값을 비교한다. 해시 값이 서로 다를 경우에, 변경 판정부(610)는 단말(100)에 설정된 처리 규칙이 변경되었음을 판정한다. 통신 시스템의 안전을 보장하기 위해, 변경 판정부(610)는 단말(100)로부터의 액세스를 거부하는 처리 규칙을 포워딩 노드(200)에 등록한다. 액세스를 거부하는 처리 규칙을 포워딩 노드(200)에 설정할 때, 변경 판정부(610)는 유효 기간을 처리 규칙에 설정할 수 있음을 유념한다.
다음으로, 제 7 실시예의 동작을 설명한다. 상술한 실시예와 동일한 동작에 대한 설명을 생략한다. 이하에서, 동작의 차이점을 중심으로 설명한다.
도 23은 본 개시의 제 7 실시예의 동작 순서를 나타내는 시퀀스도이다. 사용자 단말은 인증 디바이스(330)에 로그인 요청을 한다(도 23의 S401). 인증 디바이스(330)는 사용자 인증을 행한다(도 23의 S402). 인증 디바이스(330)는 사용자 인증 결과에 의거하여 인증 정보를 정책 관리 디바이스(300)에 전송한다(도 23의 S403).
정책 관리 디바이스(300)는 인증 디바이스(330)로부터 수신된 인증 정보에 의거하여 사용자에 대한 통신 정책을 판정한다(도 23의 S404). 정책 관리 디바이스(300)는 판정된 통신 정책을 제어 디바이스(400)에 전송한다(도 23의 S405).
제어 디바이스(400)는 정책 관리 디바이스(300)로부터 수신된 통신 정책에 의거하여 처리 규칙을 판정하고, 처리 규칙을 포워딩 노드(200)에 설정한다. 통신 정책의 수신 시, 제어 디바이스(400)는 포워딩 노드(200)에, 사용자 단말로부터 패킷에 대한 처리 규칙을 설정하는 요청을 행하는 처리 규칙을 설정한다(도 23의 S406). 제어 디바이스(400)는 단말(100)에 설정하는 처리 규칙을 판정한다(도 23의 S407). 제어 디바이스(400)는 판정된 처리 규칙을 단말 제어 디바이스(110)에 전송한다(도 23의 S408).
제어 디바이스(400)에 의해 전송된 처리 규칙의 수신 시, 단말 제어 디바이스(110)는 처리 규칙을 처리 규칙 저장부(120)에 등록한다(도 23의 S409).
제어 디바이스(400)의 변경 판정부(610)는, 단말(100)에 대해 설정된 처리 규칙에 의해 요청된 해시 값을 생성한다(도 23의 S410).
단말 제어 디바이스(110)는 제어 디바이스(400)에 의해 설정된 처리 규칙에 의해 요청된 해시 값을 생성하고(도 23의 S411), 해시 값을 제어 디바이스(400)의 변경 판정부(610)에 전송한다(도 23의 S412).
제어 디바이스(400)의 변경 판정부(610)는 변경 판정부(610)에 의해 생성된 해시 값과 단말 제어 디바이스(110)에 의해 전송된 해시 값을 대조한다(도 23의 S413). 해시 값의 대조 결과가 값이 매칭될 경우, 제어 디바이스(400)의 변경 판정부(610)는 이를 정상으로 간주하여 일련의 프로세스를 종료한다. 한편, 해시 값의 대조 결과가 값이 서로 다를 경우, 처리 규칙이 단말(100)의 사용자에 의해 변경되었다고 판정되고, 단말(100)로부터의 액세스를 거부하는 처리 규칙이 생성되고, 처리 규칙은 포워딩 노드(200)에 설정된다(도 23의 S414). 변경 판정부(610)는 단말(100)로부터의 액세스를 거부하는 처리 규칙에 유효 기간을 설정할 수 있음을 유념한다.
상술한 동작 순서의 결과로서, 특정 사용자가 사용자 단말에 유지되는 처리 규칙을 변경했을 경우에, 제어 디바이스는 변경을 검출하고 사용자에 의한 모든 액세스를 거부하는 처리 규칙을 포워딩 노드에 설정함으로써, 해당 액세스 제어 시스템이 사용자에 의해 의도적으로 제어되는 것을 방지할 수 있다.
본 개시의 각 실시예의 설명을 상술하였지만, 본 개시는 상술한 실시예에 제한되는 것은 아니고, 본 개시의 기본적인 기술 개념으로부터 벗어나지 않는 범주 내에서 추가적인 변경, 치환, 및 조정을 부가할 수 있다. 예를 들면, 상술한 각 실시예에서, 제어 디바이스(400), 인증 디바이스(330), 정책 관리 디바이스(300), 통신 정책 저장부(310), 및 리소스 정보 저장부(320)는 각각 독립적으로 설치되는 것으로 설명되었지만, 이들은 적절하게 통합되는 구성을 채용하는 것도 가능하다.
또한, 상술한 실시예에서, 도 8 내지 도 11에 나타낸 바와 같이 사용자에게 역할 ID를 할당함으로써 액세스 제어가 행해지는 것을 설명했지만, MAC 어드레스 등의 액세스 ID, 또는 각 사용자에게 할당된 사용자 ID, 또는 사용자 단말(100)의 위치 정보 등을 사용함으로써 액세스 제어를 행할 수도 있다.
또한, 상술한 실시예에서, 사용자 단말(100)이 포워딩 노드(200)를 통해 인증 디바이스(330)와 인증 절차를 행하는 것을 설명했지만, 사용자 단말(100)이 인증 디바이스(330)와 직접 통신하고 인증 절차를 실시하는 구성을 채용하는 것도 가능하다.
상술한 특허문헌 및 비특허문헌의 각 개시는 참조에 의해 본원에 포함됨을 유념한다. 실시예의 변형 및 조정이 본 발명의 전체 개시(특허청구범위를 포함)의 범위 내에서, 또한 그 기본적인 기술 개념에 의거하여 가능하다. 또한, 다양한 개시된 요소(특히 개시된 서로 다른 실시예 또는 예의 임의의 요소 및/또는 단계)의 다양한 조합 및 선택(특정 삭제를 포함)이 본 발명의 특허청구범위의 범주 내에서 가능하다. 즉, 본 발명은 당업자가 특허청구범위에 포함된 개시 전체 및 그 기술적 개념에 따라 실현할 수 있는 모든 유형의 변형 및 변경을 포함함이 명확하다.
1 단말 2 포워딩 노드
3 제어 디바이스 10 통신부
11 저장부 12 처리부
21 저장부 22 제어 디바이스 통신부
23 처리부 31 통신부
32 제어부 33 정책 관리부
40 노드 통신부 41 제어 메시지 처리부
42 처리 규칙 관리부 43 처리 규칙 저장부
44 포워딩 노드 관리부 45 경로 조치 계산부
46 토폴로지 관리부 47 단말 위치 관리부
48 통신 정책 관리부 49 통신 정책 저장부
100 단말 110 단말 제어 디바이스
120 처리 규칙 저장부 130 액세스 제어부
200 포워딩 노드 300 정책 관리 디바이스
310 통신 정책 저장부 320 리소스 정보 저장부
330 인증 디바이스 400, 400A 제어 디바이스
410 경로 제어부 420 처리 규칙 판정부
500, 500A, 500B 네트워크 리소스 610 변경 판정부

Claims (36)

  1. 패킷을 포워딩하는 적어도 하나의 포워딩 디바이스(들) 및 상기 포워딩 디바이스(들)로부터의 요청에 따라 상기 포워딩 디바이스(들)를 제어하는 제어 디바이스를 포함하는 네트워크와 통신하는 단말에 있어서,
    상기 제어 디바이스에 의해 판정되는, 상기 패킷의 처리 방법을 규정하는 처리 규칙을 상기 제어 디바이스로부터 수신하는 통신부, 및
    상기 네트워크에 대한 패킷을 송신하는 경우에, 상기 수신한 처리 규칙을 참조함으로써 상기 송신하는 패킷에 대응하는 상기 처리 규칙에 따라 상기 송신하는 패킷을 처리하는 처리부를 포함하고,
    상기 통신부는, 상기 포워딩 디바이스에 대해 상기 제어 디바이스에 의해 설정된 제 1 처리 규칙에 대응하는 제 2 처리 규칙을 상기 제어 디바이스로부터 수신하는 것을 특징으로 하는 단말.
  2. 패킷을 포워딩하는 적어도 하나의 포워딩 디바이스(들) 및 상기 포워딩 디바이스로부터의 요청에 따라 상기 포워딩 디바이스(들)를 제어하는 제어 디바이스를 포함하는 네트워크와 통신하는 단말에 있어서,
    상기 제어 디바이스에 의해 판정되는, 상기 패킷의 처리 방법을 지정하는 처리 규칙을 상기 제어 디바이스로부터 수신하는 통신부, 및
    상기 네트워크를 통해서 패킷을 수신한 경우에, 상기 수신한 처리 규칙을 참조함으로써 상기 수신한 패킷에 대응하는 상기 처리 규칙에 따라 상기 수신한 패킷을 처리하는 처리부를 포함하고,
    상기 통신부는, 상기 포워딩 디바이스에 대해 상기 제어 디바이스에 의해 설정된 제 1 처리 규칙에 대응하는 제 2 처리 규칙을 상기 제어 디바이스로부터 수신하는 것을 특징으로 하는 단말.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 통신부는 상기 단말 자체의 사용자에 대응하는 정책에 의거하여 상기 제어 디바이스에 의해 판정된 처리 규칙을 수신하는 것을 특징으로 하는 단말.
  4. 제 1 항 또는 제 2 항에 있어서,
    상기 통신부는 인증된 사용자에 대응하는 정책에 의거하여 상기 제어 디바이스에 의해 판정된 처리 규칙을 수신하는 것을 특징으로 하는 단말.
  5. 제 1 항 또는 제 2 항에 있어서,
    상기 네트워크에 액세스 요청을 전송하는 요청 전송부를 더 포함하고,
    상기 통신부는 상기 액세스 요청에 따라 상기 제어 디바이스에 의해 판정된 처리 규칙을 수신하는 것을 특징으로 하는 단말.
  6. 제 1 항 또는 제 2 항에 있어서,
    상기 네트워크에 액세스 요청을 전송하는 요청 전송부를 더 포함하고,
    상기 통신부는, 상기 포워딩 디바이스를 통해 전송된 상기 액세스 요청에 따라 상기 제어 디바이스에 의해 판정된 처리 규칙을 수신하는 것을 특징으로 하는 단말.
  7. 삭제
  8. 제 1 항 또는 제 2 항에 있어서,
    상기 처리부는 상기 패킷에 포함된 정보와 저장부에 저장된 처리 규칙을 대조하고 상기 패킷에 포함된 정보에 대응하는 상기 처리 규칙에 따라 상기 패킷을 처리하는 것을 특징으로 하는 단말.
  9. 제 3 항에 있어서,
    상기 처리부는 저장부에 저장된 처리 규칙에 따라 상기 정책에 대응하는 정보를 상기 패킷에 추가하는 것을 특징으로 하는 단말.
  10. 제 1 항 또는 제 2항에 있어서,
    상기 처리부는 저장부에 저장된 처리 규칙에 의해 요청된 제 1 정보를 생성하고, 상기 제어 디바이스 또는 상기 포워딩 디바이스 중 적어도 하나가 상기 제어 디바이스에 의해 판정된 처리 규칙에 의해 요청된 제 2 정보를 상기 제 1 정보와 대조하도록, 상기 제 1 정보를 상기 네트워크에 전송하는 것을 특징으로 하는 단말.
  11. 패킷을 포워딩하는 적어도 하나의 포워딩 디바이스에 대해 패킷에 대한 처리 규칙을 설정하고, 상기 포워딩 디바이스가 상기 처리 규칙에 따라 상기 패킷을 처리하는 네트워크에 포함되는 상기 적어도 하나의 포워딩 디바이스를 제어하는 제어 디바이스에 있어서,
    단말이 상기 네트워크에 액세스 요청을 전송하면, 상기 액세스 요청을 상기 포워딩 디바이스로부터 수신하는 요청 수신부,
    상기 액세스 요청에 따라, 상기 단말에 설정되는 처리 규칙을 판정하는 제어부, 및
    상기 판정된 처리 규칙을 상기 단말에 전송하는 통신부를 포함하고,
    상기 제어부는 상기 포워딩 디바이스에 대해 설정된 제 1 처리 규칙에 대응하는 제 2 처리 규칙을 판정하고,
    상기 통신부는 상기 제 2 처리 규칙을 상기 단말에 전송하는 것을 특징으로 하는 제어 디바이스.
  12. 제 11 항에 있어서,
    상기 제어부는 상기 단말의 사용자에 대응하는 정책에 의거하여 처리 규칙을 판정하는 것을 특징으로 하는 제어 디바이스.
  13. 제 11 항에 있어서,
    상기 제어부는 인증된 사용자에 대응하는 정책에 의거하여 처리 규칙을 판정하는 것을 특징으로 하는 제어 디바이스.
  14. 제 11 항 내지 제 13 항 중 어느 한 항에 있어서,
    상기 제어부는 상기 포워딩 디바이스를 통해 전송된 액세스 요청에 따라 처리 규칙을 판정하는 것을 특징으로 하는 제어 디바이스.
  15. 삭제
  16. 제 12 항 또는 제 13 항에 있어서,
    상기 제어부는, 상기 정책에 대응하는 정보를 상기 패킷에 추가하기 위해 처리 규칙을 판정하고,
    상기 통신부는 상기 판정된 처리 규칙을 상기 단말에 전송하는 것을 특징으로 하는 제어 디바이스.
  17. 제 11 항 내지 제 13 항 중 어느 한 항에 있어서,
    상기 제어부는 상기 단말에 설정하는 처리 규칙을 판정하고, 상기 처리 규칙에 의해 요청된 제 1 정보를 생성하고, 상기 단말로부터 수신된 제 2 정보와 상기 제 1 정보를 대조하는 것을 특징으로 하는 제어 디바이스.
  18. 제 11 항 내지 제 13 항 중 어느 한 항에 있어서,
    상기 제어부는 상기 단말에 설정하는 처리 규칙을 판정하고, 상기 처리 규칙에 의해 요청된 제 1 정보를 생성하고,
    상기 통신부는, 상기 단말로부터 상기 포워딩 디바이스에 전송된 제 2 정보를 상기 제 1 정보와 대조하기 위해, 상기 제 1 정보를 상기 포워딩 디바이스에 전송하는 것을 특징으로 하는 제어 디바이스.
  19. 패킷을 포워딩하는 적어도 하나의 포워딩 디바이스 및 상기 포워딩 디바이스로부터의 요청에 따라 상기 포워딩 디바이스를 제어하는 제어 디바이스를 포함하는 네트워크와 통신하는 단말을 제어하는 통신 방법에 있어서,
    상기 패킷의 처리 방법을 지정하는 처리 규칙을 상기 제어 디바이스로부터 수신하는 수신 단계, 및
    상기 네트워크에 대한 패킷을 송신하는 경우에, 상기 수신한 처리 규칙을 참조함으로써 상기 송신하는 패킷에 대응하는 상기 처리 규칙에 따라 상기 송신하는 패킷을 처리하는 처리 단계를 포함하고,
    상기 수신 단계는 상기 포워딩 디바이스에 대해 상기 제어 디바이스에 의해 설정된 제 1 처리 규칙에 대응하는 제 2 처리 규칙을 수신하는 단계인 것을 특징으로 하는 통신 방법.
  20. 패킷을 포워딩하는 적어도 하나의 포워딩 디바이스 및 상기 포워딩 디바이스로부터의 요청에 따라 상기 포워딩 디바이스를 제어하는 제어 디바이스를 포함하는 네트워크와 통신하는 단말을 제어하는 통신 방법에 있어서,
    상기 패킷의 처리 방법을 지정하는 처리 규칙을 상기 제어 디바이스로부터 수신하는 수신 단계, 및
    상기 네트워크를 통해서 패킷을 수신한 경우에, 상기 수신한 처리 규칙을 참조함으로써 상기 수신한 패킷에 대응하는 상기 처리 규칙에 따라 상기 수신한 패킷을 처리하는 처리 단계를 포함하고,
    상기 수신 단계는 상기 포워딩 디바이스에 대해 상기 제어 디바이스에 의해 설정된 제 1 처리 규칙에 대응하는 제 2 처리 규칙을 수신하는 단계인 것을 특징으로 하는 통신 방법.
  21. 제 19 항 또는 제 20 항에 있어서,
    상기 수신 단계는 단말의 사용자에 대응하는 정책에 의거하여 상기 제어 디바이스에 의해 판정된 처리 규칙을 수신하는 단계인 것을 특징으로 하는 통신 방법.
  22. 제 19 항 또는 제 20 항에 있어서,
    상기 수신 단계는 인증된 사용자에 대응하는 정책에 의거하여 상기 제어 디바이스에 의해 판정된 처리 규칙을 수신하는 단계인 것을 특징으로 하는 통신 방법.
  23. 제 19항 또는 제 20 항에 있어서,
    상기 네트워크에 액세스 요청을 전송하는 요청 전송 단계를 더 포함하고,
    상기 수신 단계는 상기 액세스 요청에 따라 상기 제어 디바이스에 의해 판정된 처리 규칙을 수신하는 단계인 것을 특징으로 하는 통신 방법.
  24. 제 19 항 또는 제20 항에 있어서,
    상기 네트워크에 액세스 요청을 전송하는 요청 전송 단계를 더 포함하고,
    상기 수신 단계는 상기 포워딩 디바이스를 통해 전송된 상기 액세스 요청에 따라 상기 제어 디바이스에 의해 판정된 처리 규칙을 수신하는 단계인 것을 특징으로 하는 통신 방법.
  25. 삭제
  26. 제 19 항 또는 제 20 항에 있어서,
    상기 처리 단계는 상기 패킷에 포함된 정보와 저장부에 저장된 처리 규칙을 대조하고 상기 패킷에 포함된 정보에 대응하는 처리 규칙에 따라 상기 패킷을 처리하는 단계인 것을 특징으로 하는 통신 방법.
  27. 제 21 항에 있어서,
    상기 처리 단계는 저장부에 저장된 처리 규칙에 따라 상기 정책에 대응하는 정보를 상기 패킷에 추가하는 단계인 것을 특징으로 하는 통신 방법.
  28. 제 21 항에 있어서,
    상기 처리 단계는 저장부에 저장된 처리 규칙에 의해 요청된 제 1 정보를 생성하고, 상기 제어 디바이스 또는 상기 포워딩 디바이스 중 적어도 하나가 상기 제어 디바이스에 의해 판정된 상기 처리 규칙에 의해 요청된 제 2 정보를 상기 제 1 정보와 대조하도록, 상기 제 1 정보를 상기 네트워크에 전송하는 단계인 것을 특징으로 하는 통신 방법.
  29. 패킷을 포워딩하는 적어도 하나의 포워딩 디바이스, 상기 포워딩 디바이스로부터의 요청에 따라 상기 포워딩 디바이스를 제어하는 제어 디바이스, 및 상기 포워딩 디바이스 및 상기 제어 디바이스를 포함하는 네트워크와 통신하는 단말을 포함하는 통신 시스템에 있어서,
    상기 제어 디바이스는 상기 단말에 설정되는 처리 규칙을 판정하는 제어부를 포함하고,
    상기 단말은,
    상기 제어 디바이스에 의해 판정된 상기 처리 규칙을 상기 제어 디바이스로부터 수신하는 통신부, 및
    상기 네트워크에 대한 패킷을 송신하는 경우에, 상기 수신한 처리 규칙을 참조함으로써 상기 송신하는 패킷에 대응하는 상기 처리 규칙에 따라 상기 송신하는 패킷을 처리하는 처리부를 포함하고,
    상기 통신부는, 상기 포워딩 디바이스에 대해 상기 제어 디바이스에 의해 설정된 제 1 처리 규칙에 대응하는 제 2 처리 규칙을 상기 제어 디바이스로부터 수신하는 것을 특징으로 하는 통신 시스템.
  30. 패킷을 포워딩하는 적어도 하나의 포워딩 디바이스, 상기 포워딩 디바이스로부터의 요청에 따라 상기 포워딩 디바이스를 제어하는 제어 디바이스, 및 상기 포워딩 디바이스 및 상기 제어 디바이스를 포함하는 네트워크와 통신하는 단말을 포함하는 통신 시스템에 있어서,
    상기 제어 디바이스는 상기 단말에 설정되는 처리 규칙을 판정하는 제어부를 포함하고,
    상기 단말은,
    상기 제어 디바이스에 의해 판정된 상기 처리 규칙을 상기 제어 디바이스로부터 수신하는 통신부, 및
    상기 네트워크를 통해서 패킷을 수신한 경우에, 상기 수신한 처리 규칙을 참조함으로써 상기 수신한 패킷에 대응하는 상기 처리 규칙에 따라 상기 수신한 패킷을 처리하는 처리부를 포함하고,
    상기 통신부는, 상기 포워딩 디바이스에 대해 상기 제어 디바이스에 의해 설정된 제 1 처리 규칙에 대응하는 제 2 처리 규칙을 상기 제어 디바이스로부터 수신하는 것을 특징으로 하는 통신 시스템.
  31. 패킷을 포워딩하는 적어도 하나의 포워딩 디바이스 및 상기 포워딩 디바이스로부터의 요청에 따라 상기 포워딩 디바이스를 제어하는 제어 디바이스를 포함하는 네트워크와 통신하는 단말에 설치된 통신 모듈에 있어서,
    상기 제어 디바이스에 의해 판정되는, 상기 패킷의 처리 방법을 지정하는 처리 규칙을 상기 제어 디바이스로부터 수신하는 통신부, 및
    상기 단말이 상기 네트워크에 대한 패킷을 송신하는 경우에, 상기 수신한 처리 규칙을 참조함으로써 상기 송신하는 패킷에 대응하는 상기 처리 규칙에 따라 상기 송신하는 패킷을 처리하는 처리부를 포함하고,
    상기 통신부는, 상기 포워딩 디바이스에 대해 상기 제어 디바이스에 의해 설정된 제 1 처리 규칙에 대응하는 제 2 처리 규칙을 상기 제어 디바이스로부터 수신하는 것을 특징으로 하는 통신 모듈.
  32. 패킷을 포워딩하는 적어도 하나의 포워딩 디바이스 및 상기 포워딩 디바이스로부터의 요청에 따라 상기 포워딩 디바이스를 제어하는 제어 디바이스를 포함하는 네트워크와 통신하는 단말에 설치된 통신 모듈에 있어서,
    상기 제어 디바이스에 의해 판정되는, 상기 패킷의 처리 방법을 지정하는 처리 규칙을 상기 제어 디바이스로부터 수신하는 통신부, 및
    상기 단말이 상기 네트워크를 통해서 패킷을 수신한 경우에, 상기 수신한 처리 규칙을 참조함으로써 상기 수신한 패킷에 대응하는 상기 처리 규칙에 따라 상기 수신한 패킷을 처리하는 처리부를 포함하고,
    상기 통신부는, 상기 포워딩 디바이스에 대해 상기 제어 디바이스에 의해 설정된 제 1 처리 규칙에 대응하는 제 2 처리 규칙을 상기 제어 디바이스로부터 수신하는 것을 특징으로 하는 통신 모듈.
  33. 프로그램을 기록한 컴퓨터 판독가능한 기록 매체로서, 상기 프로그램은,
    패킷을 포워딩하는 적어도 하나의 포워딩 디바이스 및 상기 포워딩 디바이스로부터의 요청에 따라 상기 포워딩 디바이스를 제어하는 제어 디바이스를 포함하는 네트워크와 통신하는 단말에,
    상기 제어 디바이스에 의해 판정되는, 상기 패킷의 처리 방법을 지정하는 처리 규칙을 상기 제어 디바이스로부터 수신하는 프로세스, 및
    상기 단말이 상기 네트워크에 대한 패킷을 송신하는 경우에, 상기 수신한 처리 규칙을 참조함으로써 상기 송신하는 패킷에 대응하는 상기 처리 규칙에 따라 상기 송신하는 패킷을 처리하는 패킷 프로세스를 실행시키고,
    상기 수신하는 프로세스는, 상기 포워딩 디바이스에 대해 상기 제어 디바이스에 의해 설정된 제 1 처리 규칙에 대응하는 제 2 처리 규칙을 상기 제어 디바이스로부터 수신하는 것을 특징으로 하는 컴퓨터 판독가능한 기록 매체.
  34. 프로그램을 기록한 컴퓨터 판독가능한 기록 매체로서, 상기 프로그램은,
    패킷을 포워딩하는 적어도 하나의 포워딩 디바이스 및 상기 포워딩 디바이스로부터의 요청에 따라 상기 포워딩 디바이스를 제어하는 제어 디바이스를 포함하는 네트워크와 통신하는 단말에,
    상기 제어 디바이스에 의해 판정되는, 상기 패킷의 처리 방법을 지정하는 처리 규칙을 상기 제어 디바이스로부터 수신하는 프로세스, 및
    상기 단말이 상기 네트워크를 통해서 패킷을 수신한 경우에, 상기 수신한 처리 규칙을 참조함으로써 상기 수신한 패킷에 대응하는 상기 처리 규칙에 따라 상기 수신한 패킷을 처리하는 패킷 프로세스를 실행시키고,
    상기 수신하는 프로세스는, 상기 포워딩 디바이스에 대해 상기 제어 디바이스에 의해 설정된 제 1 처리 규칙에 대응하는 제 2 처리 규칙을 상기 제어 디바이스로부터 수신하는 것을 특징으로 하는 컴퓨터 판독가능한 기록 매체.
  35. 패킷을 포워딩하는 적어도 하나의 포워딩 디바이스 및 상기 포워딩 디바이스로부터의 요청에 따라 상기 포워딩 디바이스를 제어하는 제어 디바이스를 포함하는 네트워크와 통신하는 단말에,
    상기 제어 디바이스에 의해 판정되는, 상기 패킷의 처리 방법을 지정하는 처리 규칙을 상기 제어 디바이스로부터 수신하는 프로세스, 및
    상기 단말이 상기 네트워크에 대한 패킷을 송신하는 경우에, 상기 수신한 처리 규칙을 참조함으로써 상기 송신하는 패킷에 대응하는 상기 처리 규칙에 따라 상기 송신하는 패킷을 처리하는 패킷 프로세스를 실행시키는 프로그램을 단말에 전송하고,
    상기 수신하는 프로세스는, 상기 포워딩 디바이스에 대해 상기 제어 디바이스에 의해 설정된 제 1 처리 규칙에 대응하는 제 2 처리 규칙을 상기 제어 디바이스로부터 수신하는 것을 특징으로 하는 정보 처리 디바이스.
  36. 패킷을 포워딩하는 적어도 하나의 포워딩 디바이스 및 상기 포워딩 디바이스로부터의 요청에 따라 상기 포워딩 디바이스를 제어하는 제어 디바이스를 포함하는 네트워크와 통신하는 단말에,
    상기 제어 디바이스에 의해 판정되는, 상기 패킷의 처리 방법을 지정하는 처리 규칙을 상기 제어 디바이스로부터 수신하는 프로세스, 및
    상기 단말이 상기 네트워크를 통해서 패킷을 수신한 경우에, 상기 수신한 처리 규칙을 참조함으로써 상기 수신한 패킷에 대응하는 상기 처리 규칙에 따라 상기 수신한 패킷을 처리하는 패킷 프로세스를 실행시키는 프로그램을 단말에 전송하고,
    상기 수신하는 프로세스는, 상기 포워딩 디바이스에 대해 상기 제어 디바이스에 의해 설정된 제 1 처리 규칙에 대응하는 제 2 처리 규칙을 상기 제어 디바이스로부터 수신하는 것을 특징으로 하는 정보 처리 디바이스.
KR1020157028518A 2011-04-18 2012-04-17 단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체, 및 정보 처리 디바이스 KR101685471B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2011092318 2011-04-18
JPJP-P-2011-092318 2011-04-18
PCT/JP2012/002646 WO2012144194A1 (en) 2011-04-18 2012-04-17 Terminal, control device, communication method,communication system, communication module, program, and information processing device

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020137029921A Division KR20140002042A (ko) 2011-04-18 2012-04-17 단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램, 및 정보 처리 디바이스

Publications (2)

Publication Number Publication Date
KR20150123337A KR20150123337A (ko) 2015-11-03
KR101685471B1 true KR101685471B1 (ko) 2016-12-20

Family

ID=47041327

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020157028518A KR101685471B1 (ko) 2011-04-18 2012-04-17 단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체, 및 정보 처리 디바이스
KR1020137029921A KR20140002042A (ko) 2011-04-18 2012-04-17 단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램, 및 정보 처리 디바이스

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020137029921A KR20140002042A (ko) 2011-04-18 2012-04-17 단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램, 및 정보 처리 디바이스

Country Status (9)

Country Link
US (1) US9338090B2 (ko)
EP (1) EP2700205A4 (ko)
JP (1) JP6028736B2 (ko)
KR (2) KR101685471B1 (ko)
CN (1) CN103597787B (ko)
AU (1) AU2012246221B2 (ko)
BR (1) BR112013026628A2 (ko)
RU (1) RU2586587C2 (ko)
WO (1) WO2012144194A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019117404A1 (ko) * 2017-12-14 2019-06-20 삼성전자 주식회사 패킷 전송을 제어하는 서버 및 방법

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9215611B2 (en) * 2011-04-18 2015-12-15 Nec Corporation Terminal, control device, communication method, communication system, communication module, program, and information processing device
US8743885B2 (en) 2011-05-03 2014-06-03 Cisco Technology, Inc. Mobile service routing in a network environment
WO2013160423A1 (en) * 2012-04-27 2013-10-31 Nec Europe Ltd. Method and system for determining network-wide interactions between forwarding elements in a network
US9537904B2 (en) * 2013-01-24 2017-01-03 Tekelec, Inc. Methods, systems, and computer readable media for using policy knowledge of or obtained by a policy and charging rules function (PCRF) for needs based forwarding of bearer session traffic to network nodes
US9130872B2 (en) * 2013-03-15 2015-09-08 Cisco Technology, Inc. Workload based service chain insertion in a network environment
CN104125244B (zh) * 2013-04-23 2019-05-07 中兴通讯股份有限公司 一种分布式网络中转发信息的方法及系统
US11388082B2 (en) 2013-11-27 2022-07-12 Oracle International Corporation Methods, systems, and computer readable media for diameter routing using software defined network (SDN) functionality
CN105814853B (zh) * 2013-12-12 2019-10-25 华为技术有限公司 Qos提升方法、装置及系统
CN104734964B (zh) 2013-12-24 2018-12-14 华为技术有限公司 报文处理方法、节点及系统
CN104780562B (zh) * 2014-01-13 2018-09-25 中国联合网络通信集团有限公司 一种处理数据的方法、装置及系统
US9379931B2 (en) 2014-05-16 2016-06-28 Cisco Technology, Inc. System and method for transporting information to services in a network environment
US9479443B2 (en) 2014-05-16 2016-10-25 Cisco Technology, Inc. System and method for transporting information to services in a network environment
WO2015184645A1 (zh) * 2014-06-06 2015-12-10 华为技术有限公司 接入网络中的信息交互方法、装置及系统
CN110708248B (zh) * 2014-06-26 2021-08-03 华为技术有限公司 软件定义网络的服务质量控制方法及设备
EP3183831B1 (en) * 2014-08-22 2021-05-12 Level 3 Communications, LLC Software defined networking portal
CN104363254A (zh) * 2014-10-09 2015-02-18 严雪荷 数据转发系统和数据转发装置
US10417025B2 (en) 2014-11-18 2019-09-17 Cisco Technology, Inc. System and method to chain distributed applications in a network environment
US10148509B2 (en) 2015-05-13 2018-12-04 Oracle International Corporation Methods, systems, and computer readable media for session based software defined networking (SDN) management
US9762402B2 (en) 2015-05-20 2017-09-12 Cisco Technology, Inc. System and method to facilitate the assignment of service functions for service chains in a network environment
US11044203B2 (en) 2016-01-19 2021-06-22 Cisco Technology, Inc. System and method for hosting mobile packet core and value-added services using a software defined network and service chains
US10361969B2 (en) 2016-08-30 2019-07-23 Cisco Technology, Inc. System and method for managing chained services in a network environment
RU2730601C1 (ru) * 2016-10-10 2020-08-24 Хуавэй Текнолоджиз Ко., Лтд. Способ связи, сетевой элемент узла обеспечения безопасности и терминал
KR101905665B1 (ko) * 2016-12-16 2018-10-10 중앙대학교 산학협력단 Sdn에 기반한 가상 이동 통신망 사업자(mvno)의 네트워크 시스템 및 그 운용 방법
CN111294958B (zh) * 2017-11-16 2022-04-12 Oppo广东移动通信有限公司 资源指示方法、用户设备、网络设备及计算机存储介质
RU2762625C1 (ru) * 2018-01-12 2021-12-21 Гуандун Оппо Мобайл Телекоммьюникейшнз Корп., Лтд. Способ конфигурирования параметра и связанные с ним изделия
WO2019169679A1 (zh) 2018-03-05 2019-09-12 Oppo广东移动通信有限公司 终端信息的传递方法及相关产品
EP3871556B1 (en) * 2020-02-27 2023-10-11 invisibobble GmbH Device for holding hair

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002368788A (ja) * 2001-06-05 2002-12-20 Japan Telecom Holdings Co Ltd 経路制御ドメインの相互接続方法および相互接続装置
JP4327575B2 (ja) * 2002-12-04 2009-09-09 株式会社エヌ・ティ・ティ・ドコモ 動的ファイアウォールシステム
JP2009246957A (ja) * 2008-03-11 2009-10-22 Nec Corp セキュリティポリシー制御システム、セキュリティポリシー制御方法、及びプログラム

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3872717B2 (ja) * 2002-05-15 2007-01-24 日本電信電話株式会社 ネットワークの品質制御方法、ネットワークシステム及び管理装置
JP3813908B2 (ja) 2002-07-25 2006-08-23 日本電信電話株式会社 プライベート網間接続方法およびゲートウェイ制御装置
US7212828B2 (en) * 2002-12-31 2007-05-01 International Business Machines Corporation Monitoring changeable locations of client devices in wireless networks
US7836490B2 (en) * 2003-10-29 2010-11-16 Cisco Technology, Inc. Method and apparatus for providing network security using security labeling
US7277885B2 (en) * 2004-02-18 2007-10-02 Microsoft Corporation Systems and methods for filter processing using hierarchical data and data structures
JP3760167B2 (ja) * 2004-02-25 2006-03-29 株式会社日立製作所 通信制御装置、通信ネットワークおよびパケット転送制御情報の更新方法
US20050248685A1 (en) 2004-04-21 2005-11-10 Samsung Electronics Co., Ltd. Multidata processing device and method in a wireless terminal
CN1332535C (zh) 2004-06-14 2007-08-15 深圳市傲天通信有限公司 用户上网行为控制系统
DE102005021849B4 (de) * 2005-05-11 2007-08-02 Infineon Technologies Ag Embedded-Kommunikationsendgerät
CN101346968B (zh) * 2005-12-26 2011-10-12 松下电器产业株式会社 用于控制访问请求的移动网络管理设备和移动信息管理设备
EP2034731A4 (en) * 2006-06-09 2010-03-03 Huawei Tech Co Ltd MULTICAST SERVICE PROCESSES AND ACCESSORIES
JP2008095010A (ja) 2006-10-13 2008-04-24 Nippon Paint Co Ltd サッシュブラック塗料組成物および塗膜形成方法
US20080189769A1 (en) * 2007-02-01 2008-08-07 Martin Casado Secure network switching infrastructure
US20090150562A1 (en) * 2007-12-07 2009-06-11 Research In Motion Limited Apparatus and method for directing a communication session to a communication device of a group of devices having a common registration identity
EP2351333B1 (en) * 2008-11-25 2019-09-18 Citrix Systems, Inc. Systems and methods for applying transformations to ip addresses obtained by domain name service (dns)
US8743696B2 (en) * 2009-08-07 2014-06-03 Cisco Technology, Inc. Mobile transport solution for offloading to an alternate network
EP2309785B1 (en) * 2009-10-12 2014-04-30 BlackBerry Limited Call destination number mapping method, device and system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002368788A (ja) * 2001-06-05 2002-12-20 Japan Telecom Holdings Co Ltd 経路制御ドメインの相互接続方法および相互接続装置
JP4327575B2 (ja) * 2002-12-04 2009-09-09 株式会社エヌ・ティ・ティ・ドコモ 動的ファイアウォールシステム
JP2009246957A (ja) * 2008-03-11 2009-10-22 Nec Corp セキュリティポリシー制御システム、セキュリティポリシー制御方法、及びプログラム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019117404A1 (ko) * 2017-12-14 2019-06-20 삼성전자 주식회사 패킷 전송을 제어하는 서버 및 방법
KR20190071530A (ko) * 2017-12-14 2019-06-24 삼성전자주식회사 패킷 전송을 제어하는 서버 및 방법
KR102423755B1 (ko) * 2017-12-14 2022-07-21 삼성전자주식회사 패킷 전송을 제어하는 서버 및 방법
US11494218B2 (en) 2017-12-14 2022-11-08 Samsung Electronics Co., Ltd. Server and method for controlling packet transmission

Also Published As

Publication number Publication date
WO2012144194A1 (en) 2012-10-26
EP2700205A4 (en) 2014-12-17
RU2586587C2 (ru) 2016-06-10
AU2012246221A1 (en) 2013-11-07
CN103597787B (zh) 2017-06-09
US9338090B2 (en) 2016-05-10
RU2013150986A (ru) 2015-05-27
AU2012246221B2 (en) 2016-11-24
KR20150123337A (ko) 2015-11-03
JP6028736B2 (ja) 2016-11-16
KR20140002042A (ko) 2014-01-07
JP2014512109A (ja) 2014-05-19
BR112013026628A2 (pt) 2016-12-27
US20140079070A1 (en) 2014-03-20
CN103597787A (zh) 2014-02-19
EP2700205A1 (en) 2014-02-26

Similar Documents

Publication Publication Date Title
KR101685471B1 (ko) 단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체, 및 정보 처리 디바이스
KR101528825B1 (ko) 단말, 제어 장치, 통신 방법, 통신 시스템, 통신 모듈, 프로그램 및 정보 처리 장치
JP5812108B2 (ja) 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置
JP5811179B2 (ja) 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
JP5862577B2 (ja) 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
JP5811171B2 (ja) 通信システム、データベース、制御装置、通信方法およびプログラム
US20180191614A1 (en) Communication system, control apparatus, communication apparatus, communication control method, and program
JP2014516215A (ja) 通信システム、制御装置、処理規則設定方法およびプログラム
JP2014526811A (ja) 通信端末、通信方法および通信システム

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant