WO2013042634A1

WO2013042634A1 - 通信システム、ポリシー管理装置、通信方法およびプログラム

Info

Publication number: WO2013042634A1
Application number: PCT/JP2012/073711
Authority: WO
Inventors: 陽一郎森田; 中江　政行; 山形　昌也; 貴之佐々木; 英之下西; 健太郎園田; 洋一波多野
Original assignee: 日本電気株式会社
Priority date: 2011-09-20
Filing date: 2012-09-14
Publication date: 2013-03-28
Also published as: JP5288081B1; EP2760167A1; JPWO2013042634A1; US20130195112A1; CN103119902B; US8681803B2; CN103119902A; SG2014006886A; EP2760167A4

Abstract

　機器やユーザの接続状態が頻繁に変化する場合にリアルタイムにアクセス制御を更新する。転送ノードに接続されたホストを使用するユーザを認証する認証装置と、転送ノードまたはユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持し、アクセス制御対象のホストの識別子とホストが接続された転送ノードまたはホストを使用するユーザの識別子とを紐付けるポリシー管理装置とを備え、転送ノードは自身に接続されたホストおよび自身の識別子の組をポリシー管理装置に送信し、認証装置は転送ノードに接続されたホストおよびユーザの識別子の組をポリシー管理装置に送信し、ポリシー管理装置は転送ノードに接続されたホストがアクセス制御対象である場合、アクセス制御の内容を制御装置に通知し、制御装置は該通知に応じて処理規則を生成して転送ノードに設定する。

Description

通信システム、ポリシー管理装置、通信方法およびプログラム

　（関連出願についての記載）
　本発明は、日本国特許出願：特願２０１１－２０４４８７号（２０１１年９月２０日出願）の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。

　本発明は、通信システム、ポリシー管理装置、通信方法およびプログラムに関し、特に、ネットワークに配置された転送ノードによりパケットを転送して通信を実現する通信システム、ポリシー管理装置、通信方法およびプログラムに関する。

　特許文献１、非特許文献１、２において、オープンフロー（ＯｐｅｎＦｌｏｗ）という技術が記載されている。オープンフローでは、通信をエンドツーエンドのフローとして捉え、フロー単位で経路制御、障害回復、負荷分散および最適化が行われる。

　非特許文献２に仕様化されているオープンフロースイッチは、制御装置に相当するオープンフローコントローラとの通信用のセキュアチャネルを備えている。オープンフロースイッチは、オープンフローコントローラから追加または書き換えを適宜指示されるフローテーブルに従って動作する。

　フローテーブルには、フロー毎に、パケットヘッダと照合するマッチングルール（ヘッダフィールド、Ｈｅａｄｅｒ　Ｆｉｅｌｄ）と、フロー統計情報（カウンタ、Ｃｏｕｎｔｅｒｓ）と、処理内容を定義したアクション（Ａｃｔｉｏｎｓ）と、の組が定義される（図３参照）。

　例えば、オープンフロースイッチは、パケットを受信すると、フローテーブルから、受信パケットのヘッダ情報に適合するマッチングルール（図３のヘッダフィールド参照）を持つエントリを検索する。

　検索の結果、受信パケットに適合するエントリが見つかった場合には、オープンフロースイッチは、フロー統計情報（カウンタ）を更新するとともに、受信パケットに対して、当該エントリのアクションフィールドに記述された処理内容（例えば、指定ポートからのパケット送信、フラッディング、廃棄等）を実施する。

　一方、検索の結果、受信パケットに適合するエントリが見つからなかった場合には、オープンフロースイッチは、セキュアチャネルを介して、オープンフローコントローラに対して受信パケットを転送し、受信パケットの送信元・送信先に基づいたパケットの経路の決定を依頼する。また、オープンフロースイッチは、この経路に従ったパケット転送を実現するためのフローエントリをオープンフローコントローラから受け取って、フローテーブルを更新する。

　このように、オープンフロースイッチは、フローテーブルに格納されたエントリを処理規則として用いることで、パケット転送を行う。

国際公開第２００８／０９５０１０号

Ｎｉｃｋ　ＭｃＫｅｏｗｎほか７名、"ＯｐｅｎＦｌｏｗ：　Ｅｎａｂｌｉｎｇ　Ｉｎｎｏｖａｔｉｏｎ　ｉｎ　Ｃａｍｐｕｓ　Ｎｅｔｗｏｒｋｓ，"Ｍａｒｃｈ　１４，２００８［ｏｎｌｉｎｅ］，［平成２３年９月７日検索］，インターネット〈ＵＲＬ：ｈｔｔｐ：／／ｗｗｗ．ｏｐｅｎｆｌｏｗｓｗｉｔｃｈ．ｏｒｇ／／ｄｏｃｕｍｅｎｔｓ／ｏｐｅｎｆｌｏｗ－ｗｐ－ｌａｔｅｓｔ．ｐｄｆ〉． "ＯｐｅｎＦｌｏｗ　Ｓｗｉｔｃｈ　Ｓｐｅｃｉｆｉｃａｔｉｏｎ"　Ｖｅｒｓｉｏｎ　１．１．０　Ｉｍｐｌｅｍｅｎｔｅｄ（Ｗｉｒｅ　Ｐｒｏｔｏｃｏｌ　０ｘ０２）　Ｆｅｂｒｕａｒｙ　２８，２０１１、［ｏｎｌｉｎｅ］，［平成２３年９月７日検索］，インターネット〈ＵＲＬ：ｈｔｔｐ：／／ｗｗｗ．ｏｐｅｎｆｌｏｗｓｗｉｔｃｈ．ｏｒｇ／ｄｏｃｕｍｅｎｔｓ／ｏｐｅｎｆｌｏｗ－ｓｐｅｃ－ｖ１．１．０．ｐｄｆ〉．

　上記の特許文献および非特許文献の全開示内容は、本書に引用をもって繰り込み記載されているものとする。以下の分析は、本発明によって与えられたものである、

　特許文献１に記載されたオープンフローコントローラ、すなわち、オープンフローの制御装置は、新規フロー発生時に、アクセス制御ルールを参照してパーミッションチェックを行ない、その後、経路を計算することによりアクセス制御を行う（特許文献１の［００５２］参照）。

　ここで、新規フロー発生時に参照するアクセス制御ルールは、ポリシー管理装置によって生成されたアクセス制御リスト（ＡＣＬ：Ａｃｃｅｓｓ　Ｃｏｎｔｒｏｌ　Ｌｉｓｔ）を受け取ることで更新される。

　ポリシー管理装置がＡＣＬを生成する際には、アクセス元のホストとアクセス先のネットワーク資源の情報が必要となる。

　ネットワーク管理者やアクセス制御を要望するユーザが、これらの情報をポリシー管理装置に手作業で入力しても、アクセス制御は可能となる。しかし、かかる方法によると、ネットワーク管理者やユーザの手間が大きく、大規模なネットワークや、頻繁にホストやネットワーク資源の接続状態が変化する環境においてアクセス制御を行うことは困難となる。

　一方、これらの情報の収集作業をシステムで自動化することができれば、ネットワーク管理者やユーザの手間を大幅に削減できる。このとき、大規模なネットワークや、頻繁にホストやネットワーク資源の接続状態が変化するような環境において、簡単かつ現実的な手間および時間でアクセス制御を行うことが可能となる。

　また、ポリシー管理装置に対して、アクセス制御内容を設定するためには、ホストやネットワーク資源の情報を指定したアクセス制御ポリシーを用いる。

　ポリシー管理装置は、アクセス制御ポリシーに基づいてＡＣＬを生成する。

　アクセス制御ポリシーに対して、ホストやネットワーク資源の情報を指定する際は、ホストやネットワーク資源のネットワーク環境内での識別子となる現時点でのアドレス情報等を指定する必要がある。

　アクセス制御の対象となるホストやネットワーク資源の場所や接続状態が変化した場合には、ホストやネットワーク資源のネットワーク上からの生滅やアドレスの変化が発生する。アクセス制御を正しく行うには、その変化に応じてリアルタイムにアクセス制御ポリシーを更新し、更新されたアクセス制御ポリシーから新たにＡＣＬを生成して、制御装置の持つアクセス制御ルールを更新しなければならない。

　ネットワーク管理者やアクセス制御を要望するユーザが、これらの情報をポリシー管理装置に手作業で入力しても、アクセス制御は可能となる。しかし、かかる方法によると、ネットワーク管理者やユーザの手間が大きく、大規模なネットワークや、頻繁にホストやネットワーク資源の接続状態が変化するような環境においてアクセス制御を行うことは困難となる。

　一方、これらの情報の指定作業をシステムで半自動化することにより、一旦指定すれば、その後は自動で変化に追随するような抽象化された分かりやすい指定方法を、ネットワーク管理者やユーザに対して提供することができれば、ネットワーク管理者やユーザの手間を大幅に削減することができる。このとき、大規模なネットワークや、頻繁にホストやネットワーク資源の接続状態が変化するような環境において、簡単かつ現実的な手間および時間でアクセス制御を行うことが可能となる。

　しかしながら、上記のような解決を図るには、アクセス元のホストの情報やアクセス先のネットワーク資源の情報について、現在の接続状態をリアルタイムに収集したり、アクセス制御ポリシーに記載された抽象的な指定に基づいて、具体的なホストやネットワーク資源の情報を探し出す機能が必要とされる。

　そこで、機器が大量に存在し接続状態が頻繁に変化する場合や、ユーザが大量に存在し接続状態が頻繁に変化する場合においても、リアルタイムにアクセス制御を更新できるようにすることが要望される。本発明の目的は、かかる要望に寄与する通信システム、ポリシー管理装置、通信方法およびプログラムを提供することにある。

　本発明の第１の視点に係る通信システムは、
　処理規則に従ってパケットを処理する複数の転送ノードと、
　前記複数の転送ノードを制御する制御装置と、
　前記複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、
　アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける第１の紐付け手段、および／または、アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける第２の紐付け手段を有し、転送ノードの識別子、および／または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するポリシー管理装置と、を備え、
　前記複数の転送ノードは、それぞれ、自身に接続されたホストの識別子と自身の識別子との組を前記ポリシー管理装置に送信し、
　前記認証装置は、前記複数の転送ノードのいずれかに接続されたホストの識別子とユーザの識別子との組を前記ポリシー管理装置に送信し、
　前記ポリシー管理装置は、前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容をアクセス制御リストとして前記制御装置に通知し、
　前記制御装置は、前記アクセス制御リストに応じて前記処理規則を生成して、前記複数の転送ノードに設定する。

　本発明の第２の視点に係るポリシー管理装置は、
　処理規則に従ってパケットを処理する複数の転送ノードと、アクセス制御リストに応じて該処理規則を生成して該複数の転送ノードに設定する制御装置と、該複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、を備えた通信システムにおけるポリシー管理装置であって、
　アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける第１の紐付け手段、および／または、アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける第２の紐付け手段と、
　転送ノードの識別子、および／または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するアクセス制御ポリシー記憶部と、を備え、
　前記複数の転送ノードのそれぞれから、自身に接続されたホストの識別子と自身の識別子との組を受信し、
　前記複数の転送ノードのいずれかに接続されたホストの識別子とユーザの識別子との組を前記認証装置から受信し、
　前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容を前記アクセス制御リストとして前記制御装置に通知する。

　本発明の第３の視点に係る通信方法は、
　複数の転送ノードと、該複数の転送ノードを制御する制御装置と、該複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、転送ノードの識別子、および／または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するポリシー管理装置と、を備えた通信システムにおける通信方法であって、
　前記複数の転送ノードが、それぞれ、自身に接続されたホストの識別子と自身の識別子との組を前記ポリシー管理装置に送信する工程と、
　前記認証装置が、前記複数の転送ノードのいずれか接続されたホストの識別子とユーザの識別子との組を前記ポリシー管理装置に送信する工程と、
　前記ポリシー管理装置が、アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける工程、および／または、
　アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける工程と、
　前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容をアクセス制御リストとして前記制御装置に通知する工程と、
　前記制御装置が、前記アクセス制御リストに応じてパケットの処理規則を生成して、前記複数の転送ノードに設定する工程と、
　前記複数の転送ノードが前記処理規則に従ってパケットを処理する工程と、を含む。

　本発明の第４の視点に係る通信方法は、
　処理規則に従ってパケットを処理する複数の転送ノードと、アクセス制御リストに応じて該処理規則を生成して該複数の転送ノードに設定する制御装置と、該複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、を備えた通信システムにおいて、転送ノードの識別子、および／または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するポリシー管理装置が、
　アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける工程、および／または、
　アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける工程と、
　前記複数の転送ノードのそれぞれから、自身に接続されたホストの識別子と自身の識別子との組を受信する工程と、
　前記複数の転送ノードのいずれかに接続されたホストの識別子とユーザの識別子との組を前記認証装置から受信する工程と、
　前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容を前記アクセス制御リストとして前記制御装置に通知する工程と、を含む。

　本発明の第５の視点に係るプログラムは、
　処理規則に従ってパケットを処理する複数の転送ノードと、アクセス制御リストに応じて該処理規則を生成して該複数の転送ノードに設定する制御装置と、該複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、を備えた通信システムにおいて、転送ノードの識別子、および／または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するポリシー管理装置に設けられたコンピュータに対して、
　アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける処理、および／または、
　アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける処理と、
　前記複数の転送ノードのそれぞれから、自身に接続されたホストの識別子と自身の識別子との組を受信する処理と、
　前記複数の転送ノードのいずれかに接続されたホストの識別子とユーザの識別子との組を前記認証装置から受信する処理と、
　前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容を前記アクセス制御リストとして前記制御装置に通知する処理と、を実行させる。なお、プログラムは、非トランジエントなコンピュータ読み取り可能な記録媒体に記録されたプログラム製品として提供することができる。

　本発明に係る通信システム、ポリシー管理装置、通信方法およびプログラムによると、機器が大量に存在し接続状態が頻繁に変化する場合や、ユーザが大量に存在し接続状態が頻繁に変化する場合においても、リアルタイムにアクセス制御を更新することが可能となる。

実施形態に係る通信システムの構成を一例として示すブロック図である。実施形態に係る通信システムの動作を一例として示すシーケンス図である。オープンフロー（非特許文献２）のフローテーブルに格納されるエントリの構成を示す図である。

　はじめに、本発明の概要について説明する。なお、この概要に付記する図面参照符号は、専ら理解を助けるための例示であり、本発明を図示の態様に限定することを意図するものではない。

　図１を参照すると、本発明の通信システムは、処理規則に従ってパケットを処理する複数の転送ノード（２００Ａ～２００Ｃ）と、複数の転送ノードを制御する制御装置（３００）と、複数の転送ノードのいずれかに接続されたホスト（１００Ａ、１００Ｂ）を使用するユーザを認証する認証装置（３１０Ａ～３１０Ｃ）と、アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける第１の紐付け手段（トポロジ情報紐付け手段３２４）、および／または、アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける第２の紐付け手段（認証情報紐付け手段３２３）を有し、転送ノードの識別子、および／または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するポリシー管理装置（３２０）と、を備えている。複数の転送ノード（２００Ａ～２００Ｃ）は、それぞれ、自身に接続されたホストの識別子と自身の識別子との組をポリシー管理装置（３２０）に送信する。認証装置（３１０Ａ～３１０Ｃ）は、複数の転送ノードのいずれかに接続されたホスト（１００Ａ、１００Ｂ）の識別子とユーザの識別子との組をポリシー管理装置（３２０）に送信する。ポリシー管理装置（３２０）は、アクセス制御ポリシーを参照し、複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容をアクセス制御リストとして制御装置（３００）に通知する。制御装置（３００）は、アクセス制御リストに応じて処理規則を生成して、複数の転送ノード（２００Ａ～２００Ｃ）に設定する。

　ここで、処理規則は、処理対象パケットを特定するための照合規則と、該照合規則に適合するパケットに適用する処理内容とを対応付けたものであってもよい。また、複数の転送ノード（２００Ａ～２００Ｃ）は、それぞれ、自身に接続されたホストの識別子と自身の識別子との組を、制御装置（３００）を経由してポリシー管理装置（３２０）に送信してもよい。制御装置（３００）は、複数の転送ノード（２００Ａ～２００Ｃ）のいずれかに接続されたホストの識別子と該転送ノードの識別子との組をトポロジ情報として保持し、アクセス制御リストに応じたパケットの処理規則を該トポロジ情報に基づいて生成してもよい。

　本発明では、制御装置が転送ノードを集中制御するオープンフローのような通信システムを用いて、アクセス元のホストやアクセス先のネットワーク資源の状態を取得することで、それらの情報をポリシー管理装置に受け渡し、変化のあったホストやネットワーク資源に関するアクセス制御内容を自動的に更新し、抽象的なアクセス制御ポリシー記述に対して該当する具体的なホストやネットワーク資源を自動的に抽出してアクセス制御内容を更新する。

　本発明によれば、全く別の機能として存在する、ホストやネットワーク資源等の機器に関するネットワーク制御に必要な管理機能と、ユーザの識別に必要な管理機能とを、簡便かつ自然に繋ぐ方法を提供することができるため、機器が大量に存在し接続状態が頻繁に変化する場合や、ユーザが大量に存在し接続状態が頻繁に変化する場合においても、それら別用途の管理機能そのものを、ポリシーから生成されるＡＣＬ情報の更新のトリガ、兼、更新すべき情報の取得元として利用することで、両者を繋いで新たなアクセス元・アクセス先の指定方法を提供し、管理者や個々のユーザがアクセス制御ポリシーを多大な手間をかけて更新することなく、リアルタイムにアクセス制御を更新することが可能となる。

　本発明において、下記の形態が可能である。

［形態１］
　上記第１の視点に係る通信システムのとおりである。

［形態２］
　前記処理規則は、処理対象パケットを特定するための照合規則と、該照合規則に適合するパケットに適用する処理内容とを対応付けたものであってもよい。

［形態３］
　前記複数の転送ノードは、それぞれ、自身に接続されたホストの識別子と自身の識別子との組を、前記制御装置を経由して前記ポリシー管理装置に送信してもよい。

［形態４］
　前記制御装置は、前記複数の転送ノードのいずれかに接続されたホストの識別子と該転送ノードの識別子との組をトポロジ情報として保持し、前記アクセス制御リストに応じたパケットの処理規則を該トポロジ情報に基づいて生成してもよい。

［形態５］
　前記アクセス制御ポリシーは、アクセス制御対象のホストを特定するために、所定の場所に設置された転送ノードの識別子のリストを含んでいてもよい。

［形態６］
　前記アクセス制御ポリシーは、アクセス制御対象のホストを特定するために、所定の所属、所定の勤務地、所定の権限階層、および、所定の担当プロジェクトのうちの少なくともいずれかに該当するユーザの識別子のリストを含んでいてもよい。

［形態７］
　上記第２の視点に係るポリシー管理装置のとおりである。

［形態８］
　上記第３の視点に係る通信方法のとおりである。

［形態９］
　上記通信方法において、前記処理規則は、処理対象パケットを特定するための照合規則と、該照合規則に適合するパケットに適用する処理内容とを対応付けたものであってもよい。

［形態１０］
　上記通信方法において、前記複数の転送ノードは、それぞれ、自身に接続されたホストの識別子と自身の識別子との組を、前記制御装置を経由して前記ポリシー管理装置に送信してもよい。

［形態１１］
　上記通信方法において、前記制御装置は、前記複数の転送ノードのいずれかに接続されたホストの識別子と該転送ノードの識別子との組をトポロジ情報として保持し、前記アクセス制御リストに応じたパケットの処理規則を該トポロジ情報に基づいて生成してもよい。

［形態１２］
　上記通信方法において、前記アクセス制御ポリシーは、アクセス制御対象のホストを特定するために、所定の場所に設置された転送ノードの識別子のリストを含んでいてもよい。

［形態１３］
　上記通信方法において、前記アクセス制御ポリシーは、アクセス制御対象のホストを特定するために、所定の所属、所定の勤務地、所定の権限階層、および、所定の担当プロジェクトのうちの少なくともいずれかに該当するユーザの識別子のリストを含んでいてもよい。

［形態１４］
　上記第４の視点に係る通信方法のとおりである。

［形態１５］
　上記第５の視点に係るプログラムのとおりである。

　（実施形態）
　一実施形態に係る通信システムについて、図面を参照して説明する。図１は、本実施形態に係る通信システムの構成を一例として示す図である。

　図１を参照すると、通信システムは、認証装置３１０Ａ～３１０Ｃ、ネットワーク資源６００Ａ～６００Ｃ、ホスト１００Ａ～１００Ｃ、転送ノード２００Ａ～２００Ｃ、制御装置３００、および、ポリシー管理装置３２０を備えている。

　通信システムは、会議室群、居室群、サーバプールから成る３つの拠点を含む。認証装置３１０Ａ、ネットワーク資源６００Ａおよび転送ノード２００Ａは、会議室群に設けられている。認証装置３１０Ｂ、ネットワーク資源６００Ｂおよび転送ノード２００Ｂは、居室群に設けられている。認証装置３１０Ｃ、ネットワーク資源６００Ｃおよび転送ノード２００Ｃは、サーバプールに設けられている。ホスト１００Ａは、会議室群に設けられた転送ノード２００Ａにアクセスする。一方、ホスト１００Ｂは、居室群に設けられた転送ノード２００Ｂにアクセスする。

　まず、本実施形態における用語について説明する。ここでは、一例として、会議室群におけるホスト１００Ａ、認証装置３１０Ａ、転送ノード２００Ａ、ネットワーク資源６００Ａについて説明するが、居室群およびサーバプールについても、同様である。

　＜認証装置＞
　認証装置３１０Ａは、ホスト１００Ａや、ホスト１００Ａを使用しているユーザを認証する。認証装置３１０Ａは、認証手続の一貫として、ホスト１００Ａのアドレスを管理し、認証済みホストに対してアドレスの振出しを行うようにしてもよい。

　図１に示すように、通信システムに対して複数の認証装置３１０Ａ～３１０Ｃを設置するようにしてもよい。ただし、１つの認証装置が、ネットワーク全体の認証手続を管理するようにしてもよい。

　＜ネットワーク資源＞
　ネットワーク資源６００Ａは、ネットワーク経由で利用するアプリケーションサーバ等に相当する。ただし、ネットワーク資源６００Ａは、ユーザが有するホストを含んでいてもよい。例えば、あるユーザの端末に格納されたファイル等の資源を、他のユーザからアクセス・共有する場合には、ネットワーク資源６００Ａにホストが含まれる。また、ネットワーク資源６００Ａは、認証装置３１０Ａによる認証後でなければ利用できないプロトコルや、認証装置３１０Ａによる認証後でなければアクセス制御ルールで定義できないフローを利用するような、認証装置３１０Ａ以外の認証装置も含む。

　＜ホスト＞
　ホスト１００Ａは、拠点等のネットワークに接続して使用する、ユーザの端末となるコンピュータ、または、ネットワークに接続して使用するプリンタ、ストレージ等の周辺機器に相当する。なお、新規に接続されたネットワーク資源６００Ａも、ホスト１００Ａとして扱うことができる。

　＜ホスト管理情報＞
　制御装置３００は、「ホスト管理情報」を記憶する。ホスト管理情報は、転送ノード２００Ａに接続されているホスト１００Ａ（ネットワーク資源６００Ａを含む）に関する管理情報である。ホスト管理情報には、例えば、ホスト１００ＡのＭＡＣ（Ｍｅｄｉａ　Ａｃｃｅｓｓ　Ｃｏｎｔｒｏｌ）アドレスと、ホスト１００ＡのＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）アドレスと、ホスト１００Ａが接続されている転送ノード２００Ａの識別子と、ホスト１００Ａが接続されている転送ノード２００Ａのコネクタの識別子との組を含む。

　＜認証情報＞
　認証装置３１０Ａは、「認証情報」を収集・管理する。認証情報は、ユーザやホスト１００Ａを特定する情報である。認証情報は、ユーザがホスト１００Ａをネットワークと接続・切断するにあたって、ユーザやホスト１００Ａの認証手続を行った際に得られる。認証情報は、例えば、ホスト１００ＡのＭＡＣアドレスと、ホスト１００ＡのＩＰアドレスと、ホスト１００Ａを使用しているユーザＩＤとの組を含む。

　＜認証情報変化通知＞
　認証装置３１０Ａは、収集して得た認証情報の変化について、「認証情報変化通知」としてポリシー管理装置３２０に通知する。通知される情報は、例えば、ホスト１００ＡのＭＡＣアドレスと、ホスト１００ＡのＩＰアドレスと、ホスト１００Ａを使用しているユーザＩＤと、ホスト１００Ａの接続／切断の別との組を含む。

　また、認証装置３１０Ａは、ユーザＩＤに付随して、ユーザの所属、勤務地、権限階層、担当プロジェクト等のユーザに関する様々な情報を管理する。

　なお、上述の認証情報も、例えば、ホスト１００ＡのＭＡＣアドレスと、ホスト１００ＡのＩＰアドレスと、ホスト１００Ａを使用しているユーザＩＤとの組の他に、当該ユーザＩＤに対応するユーザに関する上述の様々な情報を含んでいてもよい。

　＜トポロジ情報＞
　制御装置３００は、「トポロジ情報」を収集する。トポロジ情報は、転送ノード２００Ａと、そこに接続および切断されたホスト１００Ａやネットワーク資源６００Ａの、設置場所や接続先を管理する情報である。トポロジ情報は、位置情報と、接続切断情報とを用いて構成される。位置情報には、例えば、転送ノード２００の識別子と、転送ノード２００のコネクタの識別子と、それらが設置された場所との組を含む。

　＜接続切断情報＞
　転送ノード２００Ａに対して他の転送ノード２００Ｂ、２００Ｃや様々なホスト１００Ａやネットワーク資源６００Ａを接続・切断した場合には、転送ノード２００Ａは、制御装置３００に対して、「接続切断情報」を通知する。接続切断情報は、例えば、転送ノード２００Ａの識別子と、機器が接続・切断された転送ノード２００Ａのコネクタの識別子と、接続・切断された機器のＭＡＣアドレスと、接続・切断された機器のＩＰアドレスと、機器の接続・切断の別との組を含む。したがって、ホスト１００Ａに関する接続切断情報は、ホスト管理情報と、ホスト１００Ａの接続・切断の別との組を含む。

　制御装置３００は、接続切断情報の通知を受けると、通知された内容を集積し、転送ノード２００Ａ～２００Ｃ同士の接続関係や、転送ノード２００Ａの先に接続されたホスト１００Ａやネットワーク資源６００Ａへ到達するための経路の計算に利用する。

　制御装置３００は、位置情報として持っている転送ノード２００Ａ、および、そのコネクタの設置場所の情報と、転送ノード２００Ａから通知された接続切断情報とを、それらに含まれる転送ノード２００Ａの識別子や転送ノード２００Ａのコネクタの識別子を用いて紐付けることで、ホスト１００Ａやネットワーク資源６００Ａが接続・切断された場所を特定でき、これらの情報を合わせてトポロジ情報として管理する。

　＜トポロジ情報変化通知＞
　制御装置３００は、収集したトポロジ情報の変化、例えば、ホスト１００Ａやネットワーク資源６００Ａの接続状態の変化（ネットワーク上における生滅や移動、アドレスの変化等）を、「トポロジ情報変化通知」としてポリシー管理装置３２０に通知する。ホスト１００Ａに関するトポロジ情報変化通知は、例えば、ホスト管理情報と、場所と、接続切断の別との組を含む。

　予め位置情報をポリシー管理装置３２０と共有することで、トポロジ情報変化通知において、場所の情報を省略することもできる。ポリシー管理装置３２０は、転送ノード２００Ａの識別子や、転送ノード２００Ａのコネクタの識別子を用いて、位置情報との紐付けを行う。このとき、トポロジ情報変化通知は、接続切断情報と同様に、ホスト管理情報と、接続切断の別との組を含む。

　＜アクセス制御ポリシー＞
　ポリシー管理装置３２０は、アクセス制御ポリシー記憶部３２１に格納された「アクセス制御ポリシー」を管理する。アクセス制御ポリシーは、アクセス制御内容を抽象的に記述した情報であり、ポリシー管理装置３２０から制御装置３００に受け渡されるＡＣＬ情報を生成する基となる。

　アクセス制御ポリシーは、アクセス元やアクセス先の指定を組み合わせて、人にとって分かりやすい抽象的な指定によって、アクセス制御内容を記述する。アクセス制御ポリシーは、アクセス元・アクセス先として、例えば、ホスト１００Ａのアドレスを指定できる。

　また、アクセス制御ポリシーは、アクセス元・アクセス先として、例えば、ホスト１００Ａを使用しているユーザを指定できる。アクセス制御ポリシーは、アクセス元・アクセス先として、例えば、ホスト１００Ａを使用しているユーザに関し、認証装置３１０Ａの持つユーザに関する情報を用いて指定できる。例えば、所属が「総務部」であること、勤務地が「拠点１」であること、権限階層が「課長」であること、担当プロジェクトが「プロジェクト１」であること、等を用いて指定できる。

　これらのユーザに関する情報を用いて、アクセス元・アクセス先を抽象的・間接的に指定することで、将来、ユーザの持つこれらの情報に変化があり、対象となるべき適切なユーザが増減・変化した場合でも、管理者等がアクセス制御の修正のためにポリシーを度々更新する必要がなくなる。

　例えば、所属を用いてアクセス元・アクセス先を指定したポリシーについては、ユーザの所属に異動があった場合、ポリシーを更新しなくとも、現在その所属に対応する適切なユーザを導出し、それらのユーザの使用しているホスト１００Ａを導出し、それらホスト１００Ａに関するアクセス制御としてＡＣＬ情報が再生成され、制御装置３００のアクセス制御ルールが更新される。

　さらに、アクセス制御ポリシーは、アクセス元・アクセス先として、例えば、ホスト１００Ａやネットワーク資源６００Ａを設置している場所を用いて指定できる。

　例えば、アクセス元・アクセス先として、「会議室１に設置されているホスト／ネットワーク資源」、「ビル１に設置されているホスト／ネットワーク資源」、「２階フロアに設置されているホスト／ネットワーク資源」、「会社１に設置されているホスト／ネットワーク資源」等の指定ができる。

　ここで、アクセス元・アクセス先にあたるホスト１００やネットワーク資源６００の設置場所が特定できるのは、制御装置３００がトポロジ情報を収集して、ポリシー管理装置３２０に通知しているからである。

　場所を用いて、アクセス元・アクセス先を抽象的・間接的に指定することで、将来、ホスト１００Ａやネットワーク資源６００Ａの場所に変化があり、対象となるべき適切なホスト１００Ａやネットワーク資源６００Ａが増減・変化した場合でも、管理者等がアクセス制御の修正のためにポリシーを度々更新する必要がなくなる。

　例えば、場所を用いてアクセス元・アクセス先を指定したポリシーについては、ホスト１００Ａやネットワーク資源６００Ａの場所に変化があった場合、ポリシーを更新しなくとも、現在その場所に対応する適切なホスト１００Ａやネットワーク資源６００Ａを導出し、それらホスト１００Ａやネットワーク資源６００Ａに関するアクセス制御としてＡＣＬ情報が再生成され、制御装置３００のアクセス制御ルールが更新される。

　また、アクセス制御ポリシーは、アクセス元・アクセス先として、例えば、ホスト１００Ａを使用しているユーザと場所の両方を複合的に用いて指定できる。

　例えば、アクセス元・アクセス先として、「ユーザ１が居る部屋に設置されているホスト／ネットワーク資源」や、「監査部門のユーザが居る部屋に設置されているホスト／ネットワーク資源」、「責任者のユーザと一緒に居る（同じ場所に居る）ユーザのホスト／ネットワーク資源」等の指定ができる。

　ここで、ユーザの場所が特定できるのは、ユーザの使用しているホスト１００を、転送ノード２００に接続し、認証装置３１０によって認証することによって、そのホスト１００に関する接続切断情報によってホスト１００の場所が判明し、認証情報によってホスト１００の使用ユーザが判明し、これを紐付けることが可能であるからである。

　他に、会議予約システム等と連携し、会議に必要なアクセス制御を簡単に指定できるように、管理者や個々のユーザは、アクセス許可の範囲についていくつかのテンプレート（例えば、参加者間アクセス許可）を与えて選択するだけで、ポリシー管理装置３２０が会議予約システムから自動的に当該会議情報を読み取って「当該会議時間、当該会議室にある当該会議参加ユーザのホストやネットワーク資源」間のみアクセスを許可するアクセス制御ポリシーを適用するような使い方も考えられる。

　＜リソース情報＞
　ポリシー管理装置３２０は、リソース情報記憶部３２２に記録された「リソース情報」を管理する。リソース情報は、ホスト１００Ａやネットワーク資源６００Ａの情報である。ポリシー管理装置３２０は、アクセス制御ポリシーからＡＣＬ情報を生成する際に、リソース情報を参照する。リソース情報は、例えば、ホスト１００やネットワーク資源６００のＭＡＣアドレスとＩＰアドレスとの組を含む。

　＜認証情報紐付け手段＞
　認証情報紐付け手段３２３は、認証情報の紐付けを行う。つまり、リソース情報に含まれるＭＡＣアドレスと、認証情報に含まれるＭＡＣアドレスとをつきあわせることで、１つのレコードとしてまとめて参照できる。これによって、認証情報に含まれるユーザＩＤをリソース情報と紐付けて利用することができるため、アクセス制御ポリシーにおいて、ユーザＩＤを用いた抽象的なアクセス元・アクセス先の指定ができ、そのようなアクセス制御ポリシーからＡＣＬ情報を生成することができる。

　＜トポロジ情報紐付け手段＞
　トポロジ情報紐付け手段３２４は、トポロジ情報変化通知の紐付けを行う。つまり、リソース情報に含まれるＭＡＣアドレスと、トポロジ情報変化通知に含まれるＭＡＣアドレスとをつきあわせることで、１つのレコードとしてまとめて参照できる。これによって、トポロジ情報変化通知に含まれる場所の情報をリソース情報と紐付けて利用することができるため、アクセス制御ポリシーにおいて、場所を用いた抽象的なアクセス元・アクセス先の指定ができ、そのようなアクセス制御ポリシーからＡＣＬ情報を生成することができる。

　さらに、上記双方の紐付けの結果、認証情報に含まれるユーザＩＤと、トポロジ情報変化通知に含まれる場所の情報とを紐付けて利用することができるため、アクセス制御ポリシーにおいて、ユーザＩＤおよび、それに付随する情報と場所の情報の両方を複合的に用いた抽象的なアクセス元・アクセス先の指定ができ、そのようなアクセス制御ポリシーからＡＣＬ情報を生成することができる。

　＜アクセス制御リスト（ＡＣＬ）情報＞
　ポリシー管理装置３２０は、「ＡＣＬ情報」を制御装置３００に受け渡す。ＡＣＬ情報は、アクセス制御内容を記述した情報であり、アクセス制御ポリシーから導出される。ＡＣＬ情報は、例えば、送信元ホスト１００のＭＡＣアドレスとＩＰアドレスとの組、送信先ネットワーク資源６００のＭＡＣアドレスとＩＰアドレスとの組、送信元と送信先の通信内容や方向とその可否、とを含む。

　＜アクセス制御ルール＞
　制御装置３００は、「アクセス制御ルール」を参照して、フローの通信可否を判定する。アクセス制御ルールは、フローを定義する、送信元のホスト管理情報と、送信先（ネットワーク資源６００）のホスト管理情報と、その間の通信内容や方向に対して、可否を定義する。

　＜経路＞
　制御装置３００は、複数の転送ノード２００Ａが接続されたネットワークにおける「経路」を算出する。経路は、フローの送信元ホスト１００から送信先ネットワーク資源６００に到達する間に経由する転送ノード２００Ａの辿り方を示す。

　＜処理規則＞
　制御装置３００は、「処理規則」を転送ノード２００に受け渡す。処理規則は、転送ノード２００Ａが、あるフローのパケットを受け取ったときに、それをどのように処理するかを定義する。

　＜処理規則設定要求＞
　転送ノード２００Ａは、「処理規則設定要求」を制御装置３００に受け渡す。処理規則設定要求は、転送ノード２００Ａに到達した未認証パケットの処理を定義する処理規則を、制御装置３００に対して要求するために使用される。転送ノード２００Ａは、例えば、パケットを受け取った転送ノード２００Ａおよびコネクタの識別子と、パケットのヘッダ情報を切り出したものと、処理規則設定要求に含める。

　以下では、本実施形態の通信システムの構成および動作について、図面を参照しつつ、さらに詳細に説明する。ここでは、一例として、会議室群におけるホスト１００Ａ、認証装置３１０Ａ、転送ノード２００Ａ、ネットワーク資源６００Ａについて説明するが、居室群およびサーバプールについても、同様である。

　ホスト１００Ａは、認証装置３１０Ａに対してパケットを送出し、認証装置３１０Ａからの応答に基づき、自身に対する認証手続を受ける。認証済みのホスト１００Ａは、ネットワーク資源６００Ａを利用するためにアクセスパケットを送出し、ネットワーク資源６００Ａからの応答に基づき、ネットワーク資源６００Ａとの通信を開始する。

　認証装置３１０Ａは、ホスト１００Ａからの要求を受けて、ホスト１００Ａおよびユーザの認証を行う。認証装置３１０Ａは、認証済みとなったホスト１００Ａおよびユーザの情報について、認証情報変化通知として、ポリシー管理装置３２０に受け渡す。

　ネットワーク資源６００Ａは、ホスト１００Ａからの要求を受けて、サービス利用のための通信を開始する。

　転送ノード２００Ａは、ホスト１００Ａと認証装置３１０Ａとネットワーク資源６００Ａが送出したパケットを取得し、制御装置３００に処理規則設定要求を行う。転送ノード２００Ａは、制御装置３００から受け渡された処理規則に従って、ホスト１００Ａと認証装置３１０Ａとネットワーク資源６００Ａが送出したパケットの処理を行う。

　制御装置３００は、転送ノード２００Ａから受け渡された処理規則設定要求について、要求に記載されたパケットの情報が、ホスト１００Ａがネットワーク資源６００Ａにアクセスするパケットであれば、アクセス制御ルールの確認と経路計算を行い、許可すべきフローの場合には、ホスト１００Ａからネットワーク資源６００Ａへの当該パケットによる通信を許可する処理規則を生成し、転送ノード２００Ａに受け渡す。制御装置３００は、転送ノード２００Ａから受け渡された接続切断情報について、これを収集し、経路計算の材料としてトポロジ情報記憶部３０１に格納するとともに、トポロジ情報変化通知を生成してポリシー管理装置３２０に受け渡す。

　ポリシー管理装置３２０は、トポロジ情報紐付け手段３２４および認証情報紐付け手段３２３を備えている。

　トポロジ情報紐付け手段３２４は、制御装置３００から受け渡されたトポロジ情報変化通知について、変化のあったトポロジ情報に含まれるＭＡＣアドレスと一致するものを、リソース情報記憶部３２２の既存のリソース情報に含まれるＭＡＣアドレスの中から探し、存在する場合には、当該リソース情報を変化のあったトポロジ情報で更新する。一方、一致するものが存在しない場合には、トポロジ情報紐付け手段３２４は、新たなリソース情報としてリソース情報記憶部３２２に追加する。また、トポロジ情報紐付け手段３２４は、トポロジ情報に含まれる位置情報の紐付けを行い、使用中のアクセス制御ポリシーにおいて使用中のリソースである場合には、使用中のアクセス制御ポリシーのリソース指定において使用されている場所のリソースとアクセス制御ポリシー記憶部３２１のアクセス制御ポリシーに基づいてＡＣＬ情報を生成し、制御装置３００に受け渡す。

　一方、認証情報紐付け手段３２３は、認証装置３１０Ａから受け渡された認証情報変化通知について、通知に記載された認証情報を用いてリソース情報記憶部３２２に対する更新を行う。使用中のアクセス制御ポリシーのリソース指定において使用されているリソースと一致する場合や、更新対象となったリソースと紐付くユーザＩＤが、その時点でアクセス制御ポリシーのリソース指定において使用されているユーザＩＤと一致する場合には、認証情報紐付け手段３２３は、アクセス制御ポリシー記憶部３２１のアクセス制御ポリシーに基づいてＡＣＬ情報を生成し、制御装置３００に受け渡す。

　本実施形態の通信システムの動作について、図面を参照して説明する。図２は、通信システム（図１）の動作を一例として示すシーケンス図である。ここでは、一例として、会議室群において、ホスト１００Ａが接続され、ネットワーク資源６００Ａとの通信を開始するまでの処理について説明する。

　まず、ホスト１００Ａは、ネットワーク接続を行うため、自身を転送ノード２００Ａに接続する（ステップＳ１）。

　次に、転送ノード２００Ａは、接続されたホスト１００Ａについて、接続切断情報を作成し、制御装置３００に受け渡す（ステップＳ２）。また、制御装置３００は、接続切断情報を読み取り、トポロジ情報記憶部３０１に格納されているトポロジ情報を更新する（ステップＳ３）。さらに、制御装置３００は、トポロジ情報変化通知を作成し、ポリシー管理装置３２０に受け渡す（ステップＳ４）。

　次に、トポロジ情報紐付け手段３２４は、トポロジ情報変化通知を読み取り、リソース情報記憶部３２２に格納されている既存のリソース情報との間で、双方に含まれるＭＡＣアドレスを比較する。同一のＭＡＣアドレスが存在する場合には、トポロジ情報紐付け手段３２４は、既存のリソース情報の内容（例えば、ＩＰアドレス）をトポロジ変化通知の内容で更新する（ステップＳ５）。一方、該当するリソース情報が無い場合には、トポロジ情報紐付け手段３２４は、新規のホスト管理情報として、リソース情報をリソース情報記憶部３２２に追加する。また、トポロジ情報紐付け手段３２４は、トポロジ情報変化通知を読み取り、リソース情報記憶部３２２に格納されているリソース情報との間で、双方に含まれるアドレス情報、例えば、ＭＡＣアドレスを比較し、同一のＭＡＣアドレスのリソース情報と、トポロジ情報変化通知との間で紐付けを行う（ステップＳ６）。この紐付けにより、リソース情報に対し、転送ノードの識別子、転送ノードのコネクタの識別子、場所の情報について、紐付けて参照できるようになる。

　次に、ホスト１００Ａは、ホスト１００Ａおよびユーザの認証を行うため、認証装置３１０Ａに対して認証手続を要求する（ステップＳ７）。

　次に、認証装置３１０Ａは、認証手続を要求したホスト１００Ａについて、ホスト１００Ａおよびユーザの認証手続を行う（ステップＳ８）。認証手続によって、ホスト１００Ａのアドレス情報と、ホスト１００Ａを使用しているユーザの情報とが組となる。また、システムによっては、認証手続において、ホスト１００Ａのアドレス情報、例えばＩＰアドレスが、変更または追加される場合もある。また、認証装置３１０Ａは、認証手続によって新たに得られた情報を、認証情報変化通知として、ポリシー管理装置３２０に受け渡す（ステップＳ９）。

　次に、認証情報紐付け手段３２３は、認証情報変化通知を読み取り、リソース情報記憶部３２２に格納されているリソース情報との間で、双方に含まれるアドレス情報、例えばＭＡＣアドレスを比較し、同一のＭＡＣアドレスのリソース情報と、認証情報変化通知との間で紐付けを行うステップ（ステップＳ１０）。この紐付けにより、リソース情報に対し、ユーザの情報、例えばユーザＩＤについて、紐付けて参照できるようになる。

　次に、ポリシー管理装置３２０は、新たに紐付けや更新の行われたリソース情報について、それら変化した内容が、アクセス制御ポリシーに記載された、アクセス元（サブジェクト）、アクセス先（リソース）の指定に関する変化か否かを、適用済み（ＡＣＬ情報の生成および制御装置３００に受け渡し済み）のアクセス制御ポリシーの指定内容と比較することで導出する（ステップＳ１１）。例えば、リソース情報に紐付けられた認証情報に、あるユーザＩＤが含まれており、当該ユーザＩＤを用いて、そのユーザＩＤのホストをアクセス制御ポリシーのリソースとして指定している場合には、ポリシー管理装置３２０は、このアクセス制御ポリシーに関する変化であると判定する。なお、ステップＳ１１は、ステップＳ６の後に行ってもよいし、両方で行ってもよい。

　ステップＳ１１において、紐付けや更新の行われたリソース情報に関係する、適用済みのアクセス制御ポリシーが見つかった場合には、ポリシー管理装置３２０は、これらのアクセス制御ポリシーに基づいて、ＡＣＬ情報を再生成する（ステップＳ１２）。これにより、アクセス制御ポリシー自体を更新することなく、アクセス制御内容を自動的に適切な内容に更新する。一方、ステップＳ１１において、対象となるアクセス制御ポリシーが見つからなかった場合には、ポリシー管理装置３２０は、ＡＣＬ情報の再生成は行わずに、終了する。その後、リソース情報に対する、さらに新たな紐付けや更新が発生し、ステップＳ１１が再度行われた場合は、その際の判定結果に従う。ポリシー管理装置３２０は、生成したＡＣＬ情報を、制御装置３００に受け渡す（ステップＳ１３）。

　次に、制御装置３００は、受け渡されたＡＣＬ情報に基づいて、アクセス制御ルールを更新し、経路計算を行って、処理規則を作成する（ステップＳ１４）。なお、制御装置３００は、この段階ではアクセス制御ルールの更新のみ行い、転送ノード２００Ａから処理規則設定要求を受け取った後に、経路計算および処理規則作成を行うようにしてもよい。制御装置３００は、作成した処理規則を、転送ノード２００Ａに受け渡す（ステップＳ１５）。

　これにより、転送ノード２００Ａは、アクセス制御ポリシーに記載されたアクセス制御を、新たな紐付け・更新が行われたリソース情報に合致した内容で設定された状態となる。

　次に、ホスト１００Ａは、転送ノード２００Ａによるアクセス制御を介して、ネットワーク資源６００Ａとの通信を行う（ステップＳ１６）。ここで、ネットワーク資源６００Ａには、ホスト１００Ａ自身およびホスト１００Ａ以外のホストも含まれ得る。

　なお、ポリシー管理装置３２０と、制御装置３００と、転送ノード２００Ａ～２００Ｃとは、図１に示すように、それぞれ別個のコンピュータシステムで構築されていてもよいし、一部または全部が同一のコンピュータシステムで実現されていてもよい。

　ホスト１００Ａ～１００Ｃは、プログラムに従って動作する情報処理装置のＣＰＵと、ＲＡＭ等の記憶媒体と、認証装置３１０とネットワーク資源６００と通信を行うための通信インタフェースによって実現し得る。

　同様に、認証装置３１０Ａ～３１０Ｃとネットワーク資源６００Ａ～６００Ｃは、プログラムに従って動作する情報処理装置のＣＰＵと、ＲＡＭ等の記憶媒体と、ホスト１００Ａ～１００Ｃと通信を行うための通信インタフェースによって実現し得る。

　また、転送ノード２００Ａ～２００Ｃは、プログラムに従って動作する情報処理装置のＣＰＵと、ＲＡＭ等の記憶媒体と、制御装置３００と通信を行うための通信インタフェースと、ホスト１００Ａ～１００Ｃと認証装置３１０Ａ～３１０Ｃとネットワーク資源６００Ａ～６００Ｃとの間の通信内容を取得するための通信インタフェースによって実現し得る。

　さらに、制御装置３００は、プログラムに従って動作する情報処理装置のＣＰＵと、ＲＡＭ等の記憶媒体と、ポリシー管理装置３２０と転送ノード２００Ａ～２００Ｃと通信を行うための通信インタフェースによって実現し得る。

　また、ポリシー管理装置３２０は、プログラムに従って動作する情報処理装置のＣＰＵと、ＲＡＭ等の記憶媒体と、制御装置３００と通信を行うための通信インタフェースと、制御装置３１０Ａ～３１０Ｃと通信を行うための通信インタフェースと、ＲＡＭやハードディスク等の記憶媒体によって実現し得る。

　以上説明したように、本実形態に係る通信システムは、
　処理対象パケットを特定するための照合規則と該照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って受信パケットを処理し、自身と、自身に接続されたホストの識別子の組を制御装置に送信する複数の転送ノードと、
　ホストに対し使用者であるユーザの認証を行い、認証手続で得たホストとユーザの識別子の組をポリシー管理装置に送信する認証装置と、
　前記転送ノードから得た転送ノードに接続されたホストの情報をポリシー管理装置に送信し、ポリシー管理装置から得られたホストに関するアクセス制御リストの記述から前記処理規則を設定する制御装置と、
　アクセス制御対象のホストの識別子と、ホストが接続された転送ノードの識別子とを紐付けるトポロジ情報紐付け手段と、
　アクセス制御対象のホストの識別子と、ホストを使用しているユーザの識別子とを紐付ける認証情報紐付け手段とを有し、
　少なくともユーザの識別子または転送ノードの識別子を用いた記載によってアクセス制御対象のホストを特定するアクセス制御ポリシーから、前記アクセス制御リストを生成して制御装置に送信するポリシー管理装置と、を備えている。

　すなわち、本実施形態に係る通信システムは、
　フローを特定するための照合規則と該照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って受信パケットを処理し、受信パケットによって検出されたホストおよびネットワーク資源の接続または切断情報をそれらホストおよびネットワーク資源のアドレス情報を伴って制御装置に通知する複数の転送ノードと、
　転送ノードに接続されたホストやホストの使用者であるユーザを認証する認証装置と、
　前記認証に成功したホストおよびネットワーク資源について検出された接続または切断情報をトリガおよび情報源として、アクセス権限に関する情報を生成して制御装置に提供するポリシー管理装置と、
　転送ノードから収集されたホストおよびネットワーク資源に関する接続または切断情報を前記ポリシー管理装置に通知するとともに、前記ポリシー管理装置から受信したアクセス権限に関する情報に基づいて、前記認証に成功したホストと前記ホストがアクセス可能な資源との間の経路を生成し、該経路上の転送ノードに処理規則を設定する制御装置と、を備えている。

　かかる通信システムによると、全く別の機能として存在する、ホストやネットワーク資源等の機器に関するネットワーク制御に必要な管理機能と、ユーザの識別に必要な管理機能とを、簡便かつ自然に繋ぐ方法を提供することができる。したがって、機器が大量に存在し接続状態が頻繁に変化する場合や、ユーザが大量に存在し接続状態が頻繁に変化する場合においても、それら別用途の管理機能そのものを、ポリシーから生成されるＡＣＬ情報の更新のトリガとして利用するとともに更新すべき情報の取得元として利用することで、両者を繋いで新たなアクセス元・アクセス先の指定方法を提供し、管理者や個々のユーザがアクセス制御ポリシーを多大な手間をかけて更新することなく、リアルタイムにアクセス制御を更新することが可能となる。

　また、本発明によれば、企業等のシステムにおけるネットワークアクセス制御において、各ユーザが、拠点等の間を自由に行き来し、用途・目的に応じて自由に、大量のユーザ、大量の機器を対象とし、頻繁に変化するアクセス制御範囲に追随したアクセス制御を行う場合に、管理者や各ユーザに多大な手間をかけることなく、抽象的なアクセス元・アクセス先の指定が可能なアクセス制御ポリシーを記載するだけで、適切なアクセス制御が実施できるシステムを構築することができる。

　なお、上記の特許文献等の先行技術文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素（各請求項の各要素、各実施形態の各要素、各図面の各要素等を含む）の多様な組み合わせ、ないし、選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。

１００、１００Ａ～１００Ｃ　　ホスト
２００、２００Ａ～２００Ｃ　　転送ノード
３００　　制御装置
３０１　　トポロジ情報記憶部
３１０、３１０Ａ～３１０Ｃ　　認証装置
３２０　　ポリシー管理装置
３２１　　アクセス制御ポリシー記憶部
３２２　　リソース情報記憶部
３２３　　認証情報紐付け手段
３２４　　トポロジ情報紐付け手段
６００、６００Ａ～６００Ｃ　　ネットワーク資源

Claims

　処理規則に従ってパケットを処理する複数の転送ノードと、
　前記複数の転送ノードを制御する制御装置と、
　前記複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、
　アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける第１の紐付け手段、および／または、アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける第２の紐付け手段を有し、転送ノードの識別子、および／または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するポリシー管理装置と、を備え、
　前記複数の転送ノードは、それぞれ、自身に接続されたホストの識別子と自身の識別子との組を前記ポリシー管理装置に送信し、
　前記認証装置は、前記複数の転送ノードのいずれかに接続されたホストの識別子とユーザの識別子との組を前記ポリシー管理装置に送信し、
　前記ポリシー管理装置は、前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容をアクセス制御リストとして前記制御装置に通知し、
　前記制御装置は、前記アクセス制御リストに応じて前記処理規則を生成して、前記複数の転送ノードに設定する、通信システム。
　前記処理規則は、処理対象パケットを特定するための照合規則と、該照合規則に適合するパケットに適用する処理内容とを対応付けたものである、請求項１に記載の通信システム。
　前記複数の転送ノードは、それぞれ、自身に接続されたホストの識別子と自身の識別子との組を、前記制御装置を経由して前記ポリシー管理装置に送信する、請求項１または２に記載の通信システム。
　前記制御装置は、前記複数の転送ノードのいずれかに接続されたホストの識別子と該転送ノードの識別子との組をトポロジ情報として保持し、前記アクセス制御リストに応じたパケットの処理規則を該トポロジ情報に基づいて生成する、請求項３に記載の通信システム。
　前記アクセス制御ポリシーは、アクセス制御対象のホストを特定するために、所定の場所に設置された転送ノードの識別子のリストを含む、請求項１ないし４のいずれか１項に記載の通信システム。
　前記アクセス制御ポリシーは、アクセス制御対象のホストを特定するために、所定の所属、所定の勤務地、所定の権限階層、および、所定の担当プロジェクトのうちの少なくともいずれかに該当するユーザの識別子のリストを含む、請求項１ないし４のいずれか１項に記載の通信システム。
　処理規則に従ってパケットを処理する複数の転送ノードと、アクセス制御リストに応じて該処理規則を生成して該複数の転送ノードに設定する制御装置と、該複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、を備えた通信システムにおけるポリシー管理装置であって、
　アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける第１の紐付け手段、および／または、アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける第２の紐付け手段と、
　転送ノードの識別子、および／または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するアクセス制御ポリシー記憶部と、を備え、
　前記複数の転送ノードのそれぞれから、自身に接続されたホストの識別子と自身の識別子との組を受信し、
　前記複数の転送ノードのいずれかに接続されたホストの識別子とユーザの識別子との組を前記認証装置から受信し、
　前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容を前記アクセス制御リストとして前記制御装置に通知する、ポリシー管理装置。
　複数の転送ノードと、該複数の転送ノードを制御する制御装置と、該複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、転送ノードの識別子、および／または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するポリシー管理装置と、を備えた通信システムにおける通信方法であって、
　前記複数の転送ノードが、それぞれ、自身に接続されたホストの識別子と自身の識別子との組を前記ポリシー管理装置に送信する工程と、
　前記認証装置が、前記複数の転送ノードのいずれか接続されたホストの識別子とユーザの識別子との組を前記ポリシー管理装置に送信する工程と、
　前記ポリシー管理装置が、アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける工程、および／または、
　アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける工程と、
　前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容をアクセス制御リストとして前記制御装置に通知する工程と、
　前記制御装置が、前記アクセス制御リストに応じてパケットの処理規則を生成して、前記複数の転送ノードに設定する工程と、
　前記複数の転送ノードが前記処理規則に従ってパケットを処理する工程と、を含む、通信方法。
　前記処理規則は、処理対象パケットを特定するための照合規則と、該照合規則に適合するパケットに適用する処理内容とを対応付けたものである、請求項８に記載の通信方法。
　前記複数の転送ノードは、それぞれ、自身に接続されたホストの識別子と自身の識別子との組を、前記制御装置を経由して前記ポリシー管理装置に送信する、請求項８または９に記載の通信方法。
　前記制御装置は、前記複数の転送ノードのいずれかに接続されたホストの識別子と該転送ノードの識別子との組をトポロジ情報として保持し、前記アクセス制御リストに応じたパケットの処理規則を該トポロジ情報に基づいて生成する、請求項１０に記載の通信方法。
　前記アクセス制御ポリシーは、アクセス制御対象のホストを特定するために、所定の場所に設置された転送ノードの識別子のリストを含む、請求項８ないし１１のいずれか１項に記載の通信方法。
　前記アクセス制御ポリシーは、アクセス制御対象のホストを特定するために、所定の所属、所定の勤務地、所定の権限階層、および、所定の担当プロジェクトのうちの少なくともいずれかに該当するユーザの識別子のリストを含む、請求項８ないし１１のいずれか１項に記載の通信方法。
　処理規則に従ってパケットを処理する複数の転送ノードと、アクセス制御リストに応じて該処理規則を生成して該複数の転送ノードに設定する制御装置と、該複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、を備えた通信システムにおいて、転送ノードの識別子、および／または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するポリシー管理装置が、
　アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける工程、および／または、
　アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける工程と、
　前記複数の転送ノードのそれぞれから、自身に接続されたホストの識別子と自身の識別子との組を受信する工程と、
　前記複数の転送ノードのいずれかに接続されたホストの識別子とユーザの識別子との組を前記認証装置から受信する工程と、
　前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容を前記アクセス制御リストとして前記制御装置に通知する工程と、を含む、通信方法。
　処理規則に従ってパケットを処理する複数の転送ノードと、アクセス制御リストに応じて該処理規則を生成して該複数の転送ノードに設定する制御装置と、該複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、を備えた通信システムにおいて、転送ノードの識別子、および／または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するポリシー管理装置に設けられたコンピュータに対して、
　アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける処理、および／または、
　アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける処理と、
　前記複数の転送ノードのそれぞれから、自身に接続されたホストの識別子と自身の識別子との組を受信する処理と、
　前記複数の転送ノードのいずれかに接続されたホストの識別子とユーザの識別子との組を前記認証装置から受信する処理と、
　前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容を前記アクセス制御リストとして前記制御装置に通知する処理と、を実行させる、プログラム。