WO2014061583A1 - 通信ノード、制御装置、通信システム、パケット処理方法及びプログラム - Google Patents
通信ノード、制御装置、通信システム、パケット処理方法及びプログラム Download PDFInfo
- Publication number
- WO2014061583A1 WO2014061583A1 PCT/JP2013/077752 JP2013077752W WO2014061583A1 WO 2014061583 A1 WO2014061583 A1 WO 2014061583A1 JP 2013077752 W JP2013077752 W JP 2013077752W WO 2014061583 A1 WO2014061583 A1 WO 2014061583A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- packet
- information
- transmission source
- attribute
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Definitions
- the present invention is based on a Japanese patent application: Japanese Patent Application No. 2012-227922 (filed on October 15, 2012), and the entire description of the application is incorporated herein by reference.
- the present invention relates to a communication node, a control device, a communication system, a packet processing method, and a program, and more particularly, to a communication node, a control device, a communication system, a packet processing method, and a program that process a received packet according to control from the control device.
- Non-Patent Documents 1 and 2 OpenFlow captures communication as an end-to-end flow and performs path control, failure recovery, load balancing, and optimization on a per-flow basis.
- the OpenFlow switch specified in Non-Patent Document 2 includes a secure channel for communication with the OpenFlow controller, and operates according to a flow table that is appropriately added or rewritten from the OpenFlow controller. For each flow, a set of match conditions (Match Fields), flow statistical information (Counters), and instructions (Instructions) that define processing contents are defined for each flow (non-patented). (Refer to “4.1 Flow Table” in Document 2).
- the OpenFlow switch searches the flow table for an entry having a matching condition (see “4.3 Match Fields” in Non-Patent Document 2) that matches the header information of the received packet. If an entry that matches the received packet is found as a result of the search, the OpenFlow switch updates the flow statistical information (counter) and processes the processing (designated) in the instruction field of the entry for the received packet. Perform packet transmission, flooding, discard, etc. from the port. On the other hand, if no entry matching the received packet is found as a result of the search, the OpenFlow switch sends an entry setting request to the OpenFlow controller via the secure channel, that is, a control for processing the received packet. An information transmission request (Packet-In message) is transmitted. The OpenFlow switch receives a flow entry whose processing content is defined and updates the flow table. As described above, the OpenFlow switch performs packet transfer using the entry stored in the flow table as control information.
- a matching condition see “4.3 Match Fields” in Non-Patent Document 2
- the OpenFlow switch updates the flow statistical information
- Non-Patent Documents 1 and 2 are used, by setting a flow entry in consideration of the role in the open flow switch on the route, not only role-based access control as in Patent Document 1 but also route control is possible. It becomes feasible.
- Non-Patent Documents 1 and 2 when the techniques of Non-Patent Documents 1 and 2 are used, a flow entry is created for a resource accessible by a user having a certain role. For this reason, when the number of users and the number of resources increase, the flow entries corresponding to these combinations are required, and there is a problem that the load of the open flow switch and the controller increases.
- the present invention provides a control device (corresponding to the “controller”) and a communication node (corresponding to the “open flow switch”) when performing role-based access control in a centralized control network represented by the open flow.
- An object of the present invention is to provide a communication node, a control device, a communication system, a packet processing method, and a program that can contribute to reducing the load on the network.
- the first table for determining the attribute or authority of the packet transmission source by collating with the first information in the header of the received packet, and in the header of the received packet A second table for obtaining processing contents for a packet from a packet transmission source having an attribute or authority determined by using the first table by collating with the second information, and receiving a packet After determining the attribute or authority of the packet transmission source using the first table, the packet transmission source having the attribute or authority determined using the first table is used using the second table.
- a communication node is provided that includes a packet processing unit that obtains processing contents for the packet.
- control device that sets the entries in the first and second tables for the communication node described above.
- a communication system including the communication node and the control device described above is provided.
- the first table for determining the attribute or authority of the packet transmission source by collating with the first information in the header of the received packet, and in the header of the received packet A second node for obtaining processing contents for a packet from a packet transmission source having an attribute or an authority determined using the first table by collating with the second information Determining the attribute or authority of the packet transmission source using the first table, and packet transmission having the attribute or authority determined using the first table using the second table.
- a packet processing method including: a step of processing a received packet to obtain a processing content for an original packet. This method is linked to a specific machine, which is a communication node that processes received packets with reference to the first and second tables.
- the first table for determining the attribute or authority of the packet transmission source by collating with the first information in the header of the received packet, and in the header of the received packet A second node for obtaining processing contents for a packet from a packet transmission source having an attribute or an authority determined using the first table by collating with the second information
- a program is provided for executing processing for a packet from an authorized packet transmission source and applying the processing content to a received packet. .
- This program can be recorded on a computer-readable (non-transient) storage medium. That is, the present invention can be embodied as a computer program product.
- the communication node includes first and second tables 11A and 12A and a packet processing unit 13A that processes received packets with reference to these two tables.
- the first table 11A holds an entry for determining the attribute or authority (for example, “RBAC” of RBAC) of the packet transmission source by collating with the first information in the header of the received packet.
- the second table 12A is a processing content for a packet from a packet transmission source having the attribute or authority determined by using the first table by collating with the second information in the header of the received packet. Holds an entry to ask for.
- the packet processing unit 13A determines the attribute or authority of the packet transmission source using the first table, and then determines using the first table using the second table.
- the processing content for the packet from the packet transmission source having the attribute or authority is obtained, and the packet is processed according to the content.
- FIG. 1 one configuration is shown for the first table and a plurality of configurations for the second table. However, this is only an example, and there may be a plurality of first tables. There may be one table. Similarly, there may be a plurality of first and second tables.
- the first information in the header information for determining the attribute or authority of the packet transmission source represented by the transmission source address (for example, RBAC role) can be preferably used.
- the input port information is matched and collated, and even if the source address is valid, if the input port is not possible, the packet is discarded without being processed. Also good.
- a destination address of the received packet can be used as the second information in the header.
- FIG. 2 is a diagram illustrating the configuration of the communication system according to the first embodiment of this invention.
- a configuration including a communication node 10 that realizes communication between the client 40 and the server 50 and a control device 20 that controls the communication node 10 is shown.
- 2 includes an authentication server 30 that performs authentication processing in response to a request from the client 40 and notifies the control device 20 of the result.
- the communication node 10 includes a first table 11, a second table 12, a packet processing unit 13, and a storage unit 14 provided with a role determination result storage area for temporarily storing the role ID of the transmission source determined from the received packet. And.
- the configuration of each part of the communication node 10 will be described in detail later. In the example of FIG. 2, only one communication node 10 is shown, but there may be a plurality of communication nodes 10.
- the control device 20 receives an authentication result from the authentication server 30 or updates a policy database (hereinafter referred to as “policy DB”), and generates an entry to be set in the communication node 10.
- policy DB a policy database
- An entry setting unit 22 that is set in the communication node 10 and a policy DB 23 that stores a communication policy such as a table that defines a relationship between a user and a role, a relationship between a role and an access authority, and the like are provided.
- the detailed operation of the entry generation unit 21 will be described later in detail using specific examples.
- the authentication server 30 is a server that performs user authentication of a user who operates the client 40 in response to a request from the client 40.
- the authentication server 30 notifies the control device 20 of the result of user authentication.
- each unit (processing unit) of the communication node 10 and the control device 20 illustrated in FIG. 2 is realized by a computer program that causes a computer installed in these devices to execute processing to be described later using its hardware. You can also.
- FIG. 4 is a diagram showing an outline of the entry setting process to the first and second tables of the communication node by the control device 20.
- an authentication information table and an access control policy information table are stored in the policy DB 23 of the control device.
- the authentication information table is a table that stores an authentication result (role information) of a transmission source specified by an IP (Internet Protocol) address notified from the authentication server 30.
- the access control policy information table is a table that stores a destination IP address and access permission (action) for each role.
- the entry generation unit 21 of the control device 20 uses the IP address as a match condition and stores the role ID in the role determination result storage area of the storage unit 14. An entry for the first table 11 in which a bit indicating “1” is set is generated. In addition, when the access control policy information table in the upper part of FIG. 4 is updated, the entry generation unit 21 of the control device 20 updates the bit information indicating the role in the role determination result storage area of the storage unit 14 and the accessible destination IP address. Is used as a match condition, and an entry for the second table 12 that specifies the processing content is generated.
- the bit information indicating the role can be handled as “metadata” that can be used as a matching condition in Non-Patent Document 2 (see “4.1.1 Pipeline Processing” in Non-Patent Document 2).
- FIG. 5 is a diagram showing a specific example of the operation shown in FIG.
- the source IP address is set to 192.168.
- FIG. 6 is a diagram for explaining the operation of the communication node 10 assuming such a case.
- the packet processing unit 13 of the communication node 10 refers to the first table 11 and sequentially determines the roles that the user has based on the source IP address.
- a bit indicating the roll ID is set in the roll determination result storage area 141 of the storage unit 14.
- the packet processing unit 13 of the communication node 10 reads from the second table 12 the content of the roll determination result storage area 141 of the storage unit 14 (the role that the user has) and the received packet. Search for an entry that matches the destination IP address. When the corresponding entry is found, the processing content (action) defined in the entry is executed. For example, as a result of the roll determination by the first table 11, if the transmission source user has roles A and B, the result of the determination by the second table corresponds to either the roll A or the roll B. If access to the destination is permitted, packet transfer is performed.
- the transmission source user does not have a role (not authenticated by the authentication server 30), or as a result of the determination by the second table, the user has If access to the destination is not permitted by a certain role, the received packet is discarded. Although the received packet is discarded here, the process may be inquired to the control device 20 instead of discarding.
- FIG. 7 is a flowchart for explaining the operation (initial setting of the second table) of the control device according to the first embodiment of the present invention.
- the control device 20 determines which bit in the roll determination result storage area 141 represents which role (step S001). More specifically, the control device 20 secures a roll determination result storage area 141 corresponding to the number of rolls, and determines the allocation.
- control device 20 selects one role for which entry setting in the second table is not performed from the policy DB 23 (step S002). In addition, when the process of all the rolls has been completed, the control device 20 ends without performing the subsequent processes.
- the control device 20 sets the following entry in the second table using the list of IP addresses (step S004).
- FIG. 8 is a flowchart for explaining the operation (setting of the first table) of the control device according to the first embodiment of the present invention.
- the control device 20 waits for a notification of a user authentication result from the authentication server 30 (step S101).
- control device 20 Upon receiving the user authentication result from the authentication server 30, the control device 20 acquires the client IP address and the role assigned to the user from the user authentication result (step S102).
- control device 20 sets the following entry in the first table using the IP address of the client and the role assigned to the user (step S103).
- Match condition: Source IP address Client IP address Action: Set a bit corresponding to the role in the role determination result storage area 141
- role-based access control can be performed by a single communication node. That is, even if the control device 20 receives an inquiry from the communication node and determines whether or not the role-based access is permitted each time and sets an entry in the communication node, an equivalent process is performed in the communication node.
- the entry is set in the first table with the notification of the authentication result of the user from the authentication server 30 as a trigger.
- An entry for determining a role may be set in the first table with a batch or an instruction from a network administrator as a trigger.
- the roll is recorded by setting a bit, but a method of recording characters and numbers representing the roll can also be adopted. For example, it may be determined that roll A is 1 and roll B is 2, and this number is written in the storage area. Further, in this case, the number indicating the concurrent job may be determined such that the concurrent job of the roll A and the roll B is 3, for example.
- FIG. 13 is a flowchart for explaining the operation (setting of the first table) of the control device 20B according to the second embodiment of the present invention.
- the control device 20B waits for a notification of a user authentication result from the authentication server 30 (step S101).
- a second table divided for each roll The first table corresponds to the match condition that specifies the content to be checked against the first information in the header of the received packet, and the second table information to be referred to when the match condition is met. Entry is stored, The packet processing unit Search the first table for an entry that matches the first information in the header of the received packet; A communication node that selects a second table corresponding to second table information of an entry having a matching condition that matches the first information and obtains processing contents for the packet.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
集中制御型のネットワークにおいて、ロールベースのアクセス制御を行う場合の、制御装置や通信ノードの負荷を抑制する。通信ノードは、受信したパケットのヘッダ中の第1の情報と照合することにより、パケット送信元の属性又は権限を判定するための第1のテーブルと、前記受信したパケットのヘッダ中の第2の情報と照合することにより、前記第1のテーブルを用いて判定された属性又は権限を持つパケット送信元からのパケットに対する処理内容を求めるための第2のテーブルと、パケットを受信すると、前記第1のテーブルを用いてパケット送信元の属性又は権限を判定した後、前記第2のテーブルを用いて、前記第1のテーブルを用いて判定された属性又は権限を持つパケット送信元からのパケットに対する処理内容を求めるパケット処理部と、を備える。
Description
[関連出願についての記載]
本発明は、日本国特許出願:特願2012-227922号(2012年10月15日出願)に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は、通信ノード、制御装置、通信システム、パケット処理方法及びプログラムに関し、特に、制御装置からの制御に従い受信パケットを処理する通信ノード、制御装置、通信システム、パケット処理方法及びプログラムに関する。
本発明は、日本国特許出願:特願2012-227922号(2012年10月15日出願)に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は、通信ノード、制御装置、通信システム、パケット処理方法及びプログラムに関し、特に、制御装置からの制御に従い受信パケットを処理する通信ノード、制御装置、通信システム、パケット処理方法及びプログラムに関する。
近年、オープンフロー(OpenFlow)という技術が提案されている(非特許文献1、2参照)。オープンフローは、通信をエンドツーエンドのフローとして捉え、フロー単位で経路制御、障害回復、負荷分散、最適化を行うものである。非特許文献2に仕様化されているオープンフロースイッチは、オープンフローコントローラとの通信用のセキュアチャネルを備え、オープンフローコントローラから適宜追加または書き換え指示されるフローテーブルに従って動作する。フローテーブルには、フロー毎に、パケットヘッダと照合するマッチ条件(Match Fields)と、フロー統計情報(Counters)と、処理内容を定義したインストラクション(Instructions)と、の組が定義される(非特許文献2の「4.1 Flow Table」の項参照)。
例えば、オープンフロースイッチは、パケットを受信すると、フローテーブルから、受信パケットのヘッダ情報に適合するマッチ条件(非特許文献2の「4.3 Match Fields」参照)を持つエントリを検索する。検索の結果、受信パケットに適合するエントリが見つかった場合、オープンフロースイッチは、フロー統計情報(カウンタ)を更新するとともに、受信パケットに対して、当該エントリのインストラクションフィールドに記述された処理内容(指定ポートからのパケット送信、フラッディング、廃棄等)を実施する。一方、検索の結果、受信パケットに適合するエントリが見つからなかった場合、オープンフロースイッチは、セキュアチャネルを介して、オープンフローコントローラに対してエントリ設定の要求、即ち、受信パケットを処理するための制御情報の送信要求(Packet-Inメッセージ)を送信する。オープンフロースイッチは、処理内容が定められたフローエントリを受け取ってフローテーブルを更新する。このように、オープンフロースイッチは、フローテーブルに格納されたエントリを制御情報として用いてパケット転送を行う。
特許文献1には、ロールベースアクセス制御(Role-Based Access Control、以下、「RBAC」)を行うアクセス制御装置の一例が開示されている。同文献のアクセス制御装置は、ユーザ毎に属性値が設定されるユーザ情報テーブルと、属性値の組み合わせを示すロールが設定されるロール情報テーブルと、コンテンツ毎にアクセス条件としてロールIDが設定されるアクセス制御テーブルとを記憶する。そして、同文献のアクセス制御装置は、ユーザ情報テーブルとロール情報テーブルとに基づいて、属性値がロールに対応するユーザのリストをロール毎にユーザリスト情報テーブルに設定する。コンテンツへのアクセス要求が発生した場合、アクセス制御部は、アクセス制御テーブルに基づいてアクセス条件のロールを特定し、特定したロールのユーザリストにアクセスユーザが含まれるかによりアクセス権限を判定する、と記載されている。
Nick McKeownほか7名、"OpenFlow: Enabling Innovation in Campus Networks"、[online]、[平成24(2012)年9月25日検索]、インターネット〈URL:http://www.openflow.org/documents/openflow-wp-latest.pdf〉
"OpenFlow Switch Specification" Version 1.1.0 Implemented (Wire Protocol 0x02)、[online]、[平成24(2012)年9月25日検索]、インターネット〈URL:http://www.openflow.org/documents/openflow-spec-v1.1.0.pdf〉
以下の分析は、本発明によって与えられたものである。非特許文献1、2の技術を用いれば、経路上のオープンフロースイッチにロールを考慮したフローエントリを設定することで、特許文献1のようなロールベースのアクセス制御はもちろんのこと、経路制御まで実現可能となる。
その一方で、非特許文献1、2の技術を用いた場合、あるロールを持つユーザがアクセス可能なリソースに対し、フローエントリを作成することになる。このため、ユーザ数やリソースの数が増えると、これらの組み合わせの分だけのフローエントリが必要となり、オープンフロースイッチやコントローラの負荷が増大してしまうという問題点がある。
本発明は、上記オープンフローに代表される集中制御型のネットワークにおいて、ロールベースのアクセス制御を行う場合の制御装置(上記「コントローラ」に相当)や通信ノード(上記「オープンフロースイッチ」に相当)の負荷軽減に貢献できるようにした通信ノード、制御装置、通信システム、パケット処理方法及びプログラムを提供することを目的とする。
第1の視点によれば、受信したパケットのヘッダ中の第1の情報と照合することにより、パケット送信元の属性又は権限を判定するための第1のテーブルと、前記受信したパケットのヘッダ中の第2の情報と照合することにより、前記第1のテーブルを用いて判定された属性又は権限を持つパケット送信元からのパケットに対する処理内容を求めるための第2のテーブルと、パケットを受信すると、前記第1のテーブルを用いてパケット送信元の属性又は権限を判定した後、前記第2のテーブルを用いて、前記第1のテーブルを用いて判定された属性又は権限を持つパケット送信元からのパケットに対する処理内容を求めるパケット処理部と、を備えた通信ノードが提供される。
第2の視点によれば、上記した通信ノードに対し、前記第1、第2のテーブルのエントリを設定する制御装置が提供される。
第3の視点によれば、上記した通信ノードと制御装置とを含む通信システムが提供される。
第4の視点によれば、受信したパケットのヘッダ中の第1の情報と照合することにより、パケット送信元の属性又は権限を判定するための第1のテーブルと、前記受信したパケットのヘッダ中の第2の情報と照合することにより、前記第1のテーブルを用いて判定された属性又は権限を持つパケット送信元からのパケットに対する処理内容を求めるための第2のテーブルと、を備える通信ノードが、前記第1のテーブルを用いてパケット送信元の属性又は権限を判定するステップと、前記第2のテーブルを用いて、前記第1のテーブルを用いて判定された属性又は権限を持つパケット送信元からのパケットに対する処理内容を求めて受信パケットを処理するステップと、を含むパケット処理方法が提供される。
本方法は、前記第1、第2のテーブルを参照して受信パケットを処理する通信ノードという、特定の機械に結びつけられている。
本方法は、前記第1、第2のテーブルを参照して受信パケットを処理する通信ノードという、特定の機械に結びつけられている。
第5の視点によれば、受信したパケットのヘッダ中の第1の情報と照合することにより、パケット送信元の属性又は権限を判定するための第1のテーブルと、前記受信したパケットのヘッダ中の第2の情報と照合することにより、前記第1のテーブルを用いて判定された属性又は権限を持つパケット送信元からのパケットに対する処理内容を求めるための第2のテーブルと、を備える通信ノードに搭載されたコンピュータが、前記第1のテーブルを用いてパケット送信元の属性又は権限を判定する処理と、前記第2のテーブルを用いて、前記第1のテーブルを用いて判定された属性又は権限を持つパケット送信元からのパケットに対する処理内容を求めて受信パケットに前記処理内容を適用する処理と、を実行させるプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な(非トランジエントな)記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。
本発明によれば、集中制御型のネットワークにおいて、ロールベースのアクセス制御を行う場合の、制御装置や通信ノードの負荷軽減に貢献することが可能となる。
はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。
本発明は、その一実施形態において、図1に示すように、第1、第2のテーブル11A、12Aと、これら2つのテーブルを参照して受信パケットを処理するパケット処理部13Aを備える通信ノードにて実現できる。第1のテーブル11Aは、受信したパケットのヘッダ中の第1の情報と照合することにより、パケット送信元の属性又は権限(例えば、RBACの「ロール」)を判定するためのエントリを保持している。第2のテーブル12Aは、前記受信したパケットのヘッダ中の第2の情報と照合することにより、前記第1のテーブルを用いて判定された属性又は権限を持つパケット送信元からのパケットに対する処理内容を求めるためのエントリを保持している。パケット処理部13Aは、パケットを受信すると、前記第1のテーブルを用いてパケット送信元の属性又は権限を判定した後、前記第2のテーブルを用いて、前記第1のテーブルを用いて判定された属性又は権限を持つパケット送信元からのパケットに対する処理内容を求めて、その内容に従ってパケットの処理を行う。なお、図1では、第1のテーブルが1つ、第2のテーブルが複数の構成を示したが、これは一例であり、第1のテーブルが複数個であってもよいし、第2のテーブルが1つであってもよい。同様に、第1、第2のテーブルがそれぞれ複数あってもよい。
なお、前記ヘッダ中の第1の情報としては、送信元のアドレスに代表されるパケット送信元の属性又は権限(例えば、RBACのロール)を判定するための情報を好ましく用いることができる。この場合に、入力ポート情報を合わせて照合し、送信元のアドレスが正当なものであっても、その入力ポートがありえないポートである場合には、当該パケットを処理することなく廃棄するようにしてもよい。また、前記ヘッダ中の第2の情報としては、受信パケットの宛先アドレス等を用いることができる。
以上により、制御装置側にその都度判断を仰がなくとも、通信ノード単体で、ロールベースのアクセス制御を行うことが可能となる。また、通信ノードが保持するエントリの数も単純にユーザ数×リソース数とはならず、ユーザ数(第1のテーブルのエントリ数)+(第2のテーブルのエントリ数=ロール数×リソース数)と削減できるので、制御装置や通信ノードの負荷を軽減することも可能となっている。
[第1の実施形態]
続いて、本発明の第1の実施形態について図面を参照して詳細に説明する。図2は、本発明の第1の実施形態の通信システムの構成を示す図である。図2を参照すると、クライアント40とサーバ50間の通信を実現する通信ノード10と、通信ノード10を制御する制御装置20とを含む構成が示されている。また、図2の例では、クライアント40からの要求に応じて認証処理を行い、その結果を制御装置20に通知する認証サーバ30が含まれている。
続いて、本発明の第1の実施形態について図面を参照して詳細に説明する。図2は、本発明の第1の実施形態の通信システムの構成を示す図である。図2を参照すると、クライアント40とサーバ50間の通信を実現する通信ノード10と、通信ノード10を制御する制御装置20とを含む構成が示されている。また、図2の例では、クライアント40からの要求に応じて認証処理を行い、その結果を制御装置20に通知する認証サーバ30が含まれている。
通信ノード10は、第1テーブル11と、第2テーブル12と、パケット処理部13と受信パケットから判別した送信元のロールIDを一時的に記憶するロール判定結果記憶領域が設けられた記憶部14と、を備えている。通信ノード10の各部の構成については後に詳細に説明する。なお、図2の例では、1つの通信ノード10のみを示しているが、通信ノード10は複数あってもよい。
制御装置20は、認証サーバ30からの認証結果の受信や、ポリシデータベース(以下「ポリシDB」)の更新を契機として通信ノード10に設定するエントリを生成するエントリ生成部21と、生成したエントリを通信ノード10に設定するエントリ設定部22と、ユーザとロールの関係、ロールとアクセス権限の関係等を定めたテーブル等の通信ポリシを格納するポリシDB23とを備えている。エントリ生成部21の詳細な動作については後に具体的を用いて詳細に説明する。
認証サーバ30は、クライアント40からの要求に応じて、クライアント40を操作するユーザのユーザ認証を行なうサーバである。認証サーバ30は、ユーザ認証の結果を制御装置20に通知する。
クライアント40は、ユーザが操作するパーソナルコンピュータ、モバイル端末、携帯電話端末等の情報処理装置であり、サーバ50は、クライアント40に対し、サービスを提供する各種のサーバである。なお、図2の例では、それぞれ1つのクライアント40及びサーバ50を示しているが、クライアント40及びサーバ50は複数あってもよい。
なお、図2に示した通信ノード10及び制御装置20の各部(処理手段)は、これらの装置に登載されたコンピュータに、そのハードウェアを用いて、後記する処理を実行させるコンピュータプログラムにより実現することもできる。
図3は、上記通信ノード10の第1、第2テーブル11、12の模式的構成を示す図である。第1テーブル11は、例えば、送信元アドレスを元に、ロールを特定するためのエントリを保持している。第2テーブル12は、第1テーブル11により判定されたロールと宛先アドレスの組み合わせから、パケット処理内容を特定するためのエントリを保持している。例えば、ある送信元Aから宛先Bとするパケットを受信した場合、通信ノード10のパケット処理部13は、第1テーブル11から送信元Aのエントリを検索して、送信元Aのロールを特定する。そして、パケット処理部13は、第2テーブル12から前記特定したロールと宛先の組み合わせを持つエントリを検索して、当該エントリに定められた処理(インストラクション)を実行する。
図4は、制御装置20による通信ノードの第1、第2テーブルへのエントリ設定処理の概要を示す図である。図4の例では、制御装置のポリシDB23に、認証情報テーブルと、アクセス制御ポリシ情報テーブルとが格納されている。認証情報テーブルは、認証サーバ30から通知されたIP(Internet Protocol)アドレスで特定された送信元の認証結果(ロール情報)を格納するテーブルである。アクセス制御ポリシ情報テーブルは、各ロール毎に宛先IPアドレスと、アクセス可否(Action)を格納するテーブルである。
この場合、制御装置20のエントリ生成部21は、図4の上段の認証情報テーブルに新規エントリが追加されると、そのIPアドレスをマッチ条件とし、記憶部14のロール判定結果記憶領域にロールIDを示すビットを立てる第1テーブル11用のエントリを生成する。また、制御装置20のエントリ生成部21は、図4の上段のアクセス制御ポリシ情報テーブルが更新されると、記憶部14のロール判定結果記憶領域のロールを示すビット情報とアクセス可能な宛先IPアドレスをマッチ条件とし、処理内容を特定する第2テーブル12用のエントリを生成する。なお、ロールを示すビット情報は、非特許文献2においてマッチ条件として使用できるとされている「metadata」として取り扱うことができる(非特許文献2の「4.1.1 Pipeline Processing」参照)。
制御装置20のエントリ設定部22は、上記のようにして生成されたエントリを通信ノード10の第1テーブル11、第2テーブル12にそれぞれ設定する。図5は、図4に示した動作の具体例を示す図である。図5の例では、図5の上段の認証情報テーブルのエントリ(IPアドレスが192.168.100.1のユーザはロールID=role_0001を持つ)から、マッチ条件として送信元IPアドレスに192.168.100.1が設定され、このマッチ条件に適合する場合に記憶部14のロール判定結果記憶領域にロールID=role_0001を示すビットを立てるようにしたエントリが生成されている。同様に、図5の上段のアクセス制御ポリシ情報テーブルのエントリ(ロールID=role_0001は、IPアドレス=192.168.0.1の資源にアクセス権を持つ)から、マッチ条件としてロールID=role_0001と、宛先IPアドレス=192.168.0.1が設定され、処理内容として、allow(ポート#Nから転送)を設定したエントリが生成されている。ここで、ポート#Nは、通信ノードから、宛先IPアドレス=192.168.0.1にパケットを送信するための経路上の次の転送先に接続されたポートである。
なお、図5のrole_0002のように、あるロールIDからある宛先へのアクセスを禁止したい場合、ロールIDと宛先に対応するエントリのアクセス可否フィールドにDrop(パケット廃棄)を設定したエントリを作成、設定する。また、前記エントリの作成に代えて、そのようなエントリは作成せず、ロールIDと宛先に対応するエントリが無い場合には受信パケットを廃棄する設定を行うことでもよい。
以上のようにして、第1のテーブル11及び第2のテーブル12にエントリが設定されると、通信ノード10は、送信元IPアドレス=192.168.100.1、宛先IPアドレス=192.168.0.1とするパケットを受信すると、第1テーブル11に基づいて、ロールIDを判別し、第2テーブルに基づきロールIDと宛先の組み合わせからアクセス可否を判断して、パケット転送を行う。同様に、通信ノード10は、送信元IPアドレス=192.168.100.10、宛先IPアドレス=192.168.100.0/24とするパケットを受信すると、第1テーブル11に基づいて、ロールIDを判別し、第2テーブルに基づきロールIDと宛先の組み合わせからアクセス可否を判断して、パケットを転送しないと判断する。
以上が本実施形態の基本動作であるが、RBACにおいて、一人のユーザが複数のロールを付与されていることがある。図6は、そのようなケースを想定した通信ノード10の動作を説明するための図である。通信ノード10のパケット処理部13は、パケットを受信すると、第1テーブル11を参照して、送信元IPアドレスを元に、ユーザが有しているロールを順次判断していく。ここで、該当するロールを有すると判断された場合、記憶部14のロール判定結果記憶領域141にロールIDを示すビットが立てられる。
なお、図6の例では1つの第1テーブルを用いてロールの有無を判定しているが、第1のテーブルを分けて、ロール毎にテーブルを設けてもよい。非特許文献1のオープンフローの仕様では、1つのテーブルから選択できるのは1つのエントリであるので、このようにすれば、複数のテーブルを順次参照していき、ユーザに付与されているロールを記録することができる。
一連のロールの有無の判断が完了すると、通信ノード10のパケット処理部13は、第2テーブル12から、記憶部14のロール判定結果記憶領域141の内容(ユーザが有するロール)と、受信パケットの宛先IPアドレスとに適合するエントリを検索する。そして、該当するエントリが見つかった場合には、そのエントリに定められている処理内容(アクション)を実行する。例えば、第1テーブル11によるロール判定の結果、送信元のユーザがロールA、ロールBと有している場合には、第2テーブルによる判定の結果、ロールA、ロールBのいずれかで該当の宛先へのアクセスが許可されていれば、パケット転送が行われることになる。一方、第1テーブル11によるロール判定の結果、送信元のユーザがロールを有していない(認証サーバ30に認証されていない)、又は、第2テーブルによる判定の結果、当該ユーザが有しているロールで該当の宛先へのアクセスが許可されていない場合、受信パケットは廃棄されることになる。また、ここでは、受信パケットを破棄することとしているが、破棄ではなく、制御装置20に対し処理を問い合わせるようにしてもよい。
次に、制御装置20による上記第1テーブル11、第2テーブル12の設定処理について説明する。図7は、本発明の第1の実施形態の制御装置の動作(第2テーブルの初期設定)を説明するための流れ図である。図7を参照すると、まず、制御装置20は、ロール判定結果記憶領域141のどのビットがどのロールを表すかを決定する(ステップS001)。より具体的には、制御装置20がロールの数に応じたロール判定結果記憶領域141を確保し、その割当を決定する。
次に、制御装置20は、ポリシDB23から、第2テーブルへのエントリ設定が行われていないロールを1つ選択する(ステップS002)。なお、すべてのロールの処理が完了している場合、制御装置20は、以降の処理を行わず、終了する。
次に、制御装置20は、ポリシDB23から、前記選択したロールに対応するアクセス制御ポリシ情報テーブル(図4上段参照)を読み込み、当該ロールが許可されているIPアドレスの一覧を取得する(ステップS003)。
次に、制御装置20は、IPアドレスの一覧を用いて、以下のエントリを第2テーブルに設定する(ステップS004)。なお、ここで、アクションとして設定する転送先のポートは、制御装置20が、通信ノード10から取得した情報に基づいてトポロジを構築し、経路計算して求めることとしてもよいし、予め計算された経路情報を用いてもよい。
マッチ条件:ロールを示すフラグ & 宛先IPアドレス=許可IPアドレス
アクション:指定ポートから転送
マッチ条件:ロールを示すフラグ & 宛先IPアドレス=許可IPアドレス
アクション:指定ポートから転送
以上の処理をすべてのロールについて行うことで、第2テーブルの設定が完了する。なお、上記の例では通信を許可する場合のエントリの例を示したが、アクションをパケット破棄としたエントリを設定することで、通信を禁止する制御を行うことができる。
図8は、本発明の第1の実施形態の制御装置の動作(第1テーブルの設定)を説明するための流れ図である。図8を参照すると、まず、制御装置20は、認証サーバ30からのユーザ認証結果の通知を待つ(ステップS101)。
認証サーバ30からユーザ認証結果を受信すると、制御装置20は、ユーザ認証結果から、クライアントのIPアドレスとユーザに割り当てられたロールを取得する(ステップS102)。
次に、制御装置20は、クライアントのIPアドレスとユーザに割り当てられたロールを用いて、以下のエントリを第1テーブルに設定する(ステップS103)。
マッチ条件:送信元IPアドレス=クライアントのIPアドレス
アクション:ロール判定結果記憶領域141のロールに対応するビットを立てる
マッチ条件:送信元IPアドレス=クライアントのIPアドレス
アクション:ロール判定結果記憶領域141のロールに対応するビットを立てる
以上のように、第1テーブル11、第2テーブル12に必要な設定を行っておくことで、通信ノード単体で、ロールベースのアクセス制御を行うことが可能となる。すなわち、制御装置20が、通信ノードからの照会を受けてその都度ロールベースのアクセス可否の判定を行って通信ノードにエントリを設定しなくとも、同等の処理が通信ノードで行われることになる。
なお、上記の説明では、認証サーバ30からのユーザの認証結果の通知をトリガとして、第1のテーブルにエントリを設定したが、端末のIPアドレスとロールとの対応関係が分かっている場合には、バッチやネットワーク管理者の指示等をトリガとして、第1のテーブルにロールを判別するためのエントリを設定してもよい。
また、上記の説明では、ビットを立てることによってロールを記録したが、ロールを表す文字や数字を記録する方式も採用可能である。例えば、ロールAは1、ロールBは2と決めておいて、この数字を記憶領域に書き込んでおいてもよい。また、この場合、ロールAとロールBの兼務は3、のように、兼務を表す数字を決めておいてもよい。
[第2の実施形態]
以上、本発明の第1の実施形態では、第2テーブルは一つのテーブルであるものとして説明したが、例えば、図9に示すように、ロール毎に複数の第2テーブル12-1~12-N(但し、ロール数はNとする)を用意することもできる。このようにすれば、ロールの権限に変更が生じた場合等の第2テーブルの管理が容易化されるほか、第2テーブル12の全エントリではなく、第1テーブル11により判定されたロールに対応する第2テーブルを参照すれば足りるため、通信ノード10Bにおけるエントリ検索処理を高速化することができる。なお、第1テーブル11から第2テーブル12を参照する仕組みとしては、次の第2の実施形態でも用いる非特許文献2のオープンフロースイッチがサポートする「goto」インストラクションを用いることができる(非特許文献2の「4.1.1 Pipeline Processing」参照)。
以上、本発明の第1の実施形態では、第2テーブルは一つのテーブルであるものとして説明したが、例えば、図9に示すように、ロール毎に複数の第2テーブル12-1~12-N(但し、ロール数はNとする)を用意することもできる。このようにすれば、ロールの権限に変更が生じた場合等の第2テーブルの管理が容易化されるほか、第2テーブル12の全エントリではなく、第1テーブル11により判定されたロールに対応する第2テーブルを参照すれば足りるため、通信ノード10Bにおけるエントリ検索処理を高速化することができる。なお、第1テーブル11から第2テーブル12を参照する仕組みとしては、次の第2の実施形態でも用いる非特許文献2のオープンフロースイッチがサポートする「goto」インストラクションを用いることができる(非特許文献2の「4.1.1 Pipeline Processing」参照)。
続いて、非特許文献2の「goto」インストラクションと同様の仕組みを用いることを前提とした構成について図面を参照して詳細に説明する。図10は、本発明の第2の実施形態の制御装置20B及び通信ノード10Bの模式的構成を示す図である。図3に示した第1の実施形態と異なる点は、第1テーブル11においてロールを特定すると同時に参照する第2テーブルを特定している点、第2テーブル12が複数(Z個)用意されている点、第2テーブルのマッチ条件からロールが省略されている点、これらに伴う制御装置のエントリ生成部21Bの動作である。その他、基本的な構成は第1の実施形態と同様であるので、以下、第1の実施形態との相違点を中心に説明する。
図11は、第2の実施形態の通信ノード10Bの動作を説明するための図である。通信ノード10Bのパケット処理部13は、パケットを受信すると、第1テーブル11から、送信元IPアドレスがマッチ条件として設定されたIPアドレスと一致するエントリを検索する。前記検索の結果、マッチ条件と一致するエントリが見つかった場合、通信ノード10Bのパケット処理部13は、以降の第1テーブル11の検索を中止し、当該エントリに記述されているgotoインストラクションにて指定された第2テーブル(12-A~12-Zのいずれか)を検索先として決定する。
次に、通信ノード10Bのパケット処理部13は、前記決定した第2テーブル(12-A~12-Zのいずれか)から、受信パケットの宛先IPアドレスと一致するマッチ条件を持つエントリを検索する。前記検索の結果、見つかったエントリに「許可(Allow)」が設定されている場合、通信ノード10Bのパケット処理部13は、受信パケットを指定されたポートから転送する。一方、前記検索の結果、該当するエントリが見つからなかった場合や、見つかったエントリに「禁止(deny)」が設定されている場合、通信ノード10Bのパケット処理部13は、受信パケットを廃棄する。
また、第2のテーブルに、エントリが見つからなかった場合は、受信パケットを破棄するほか、制御装置20に対し、処理を問い合わせるようにしてもよい。具体的には、第2のテーブルの最後(優先順位を一番低くして)に、条件無しで、破棄もしくは制御装置に問い合わせるエントリを追加すればよい。また、エントリが見つからなかったとき用のテーブルを作成し、第2のテーブルの最後(優先度最低で)に、gotoインストラクションで、そのテーブルへジャンプするようにしてもよい。
次に、本実施形態における第1テーブル11B、第2テーブル12A~12Zの設定処理について説明する。図12は、本発明の第2の実施形態の制御装置の動作(第2テーブルの初期設定)を説明するための流れ図である。図12を参照すると、まず、制御装置20Bは、ポリシDB23から、第2テーブルへのエントリ設定が行われていないロールを1つ選択する(ステップS201)。なお、すべてのロールの処理が完了している場合、制御装置20Bは、以降の処理を行わず、終了する。
次に、制御装置20Bは、ポリシDB23から、前記選択したロールに対応するアクセス制御ポリシ情報テーブル(図4上段参照)を読み込み、当該ロールが許可されているIPアドレスの一覧を取得する(ステップS202)。
次に、制御装置20Bは、通信ノード10Bに、前記選択したロール用の第2テーブルを作成する(ステップS203)。
次に、制御装置20Bは、IPアドレスの一覧を用いて、以下のエントリを第2テーブルに設定する(ステップS204)。なお、本実施形態においても、アクションとして設定する転送先のポートは、制御装置20Bが、通信ノード10Bから取得した情報に基づいてトポロジを構築し、経路計算して求めることとしてもよいし、予め計算された経路情報を用いてもよい。
マッチ条件:宛先IPアドレス=許可IPアドレス
アクション:指定ポートから転送
マッチ条件:宛先IPアドレス=許可IPアドレス
アクション:指定ポートから転送
以上の処理をすべてのロール(Z種)について行うことで、Z個の第2テーブルの設定が完了する。なお、上記の例では通信を許可する場合のエントリの例を示したが、アクションをパケット破棄としたエントリを設定することで、通信を禁止する制御を行うことができる。
図13は、本発明の第2の実施形態の制御装置20Bの動作(第1テーブルの設定)を説明するための流れ図である。図13を参照すると、まず、制御装置20Bは、認証サーバ30からのユーザ認証結果の通知を待つ(ステップS101)。
認証サーバ30からユーザ認証結果を受信すると、制御装置20Bは、ユーザ認証結果から、クライアントのIPアドレスとユーザに割り当てられたロールを取得する(ステップS102)。ここまでは、図8に示した第1の実施形態の制御装置20の動作と同様である。
次に、制御装置20Bは、ステップS102で特定したロールに対応する第2テーブルを検索する(ステップS303)。
次に、制御装置20Bは、クライアントのIPアドレスと前記検索した第2テーブルを用いて、以下のエントリを第1テーブルに設定する(ステップS304)。
マッチ条件:送信元IPアドレス=クライアントのIPアドレス
アクション:検索した第2テーブルへgoto
マッチ条件:送信元IPアドレス=クライアントのIPアドレス
アクション:検索した第2テーブルへgoto
以上のように、複数の第2テーブルを作成しておくことで、ロールの権限に変更が生じた場合等の第2テーブルの管理が容易化される。また、ほか、第2テーブル12の全エントリではなく、第1テーブル11により判定されたロールに対応する第2テーブルを参照すれば足りるため、通信ノード10Bにおけるエントリ検索処理を高速化することができる。
なお、上記の説明では、認証サーバ30からのユーザの認証結果の通知をトリガとして、第1のテーブルにエントリを設定したが、端末のIPアドレスとロールとの対応関係が分かっている場合には、バッチやネットワーク管理者の指示等をトリガとして、第1のテーブルに、ロールに応じて参照する第2テーブルへのジャンプを指示するエントリを設定してもよい。
以上、本発明の実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、各図面に示したネットワーク構成や要素の構成は、本発明の理解を助けるための一例であり、これらの図面に示した構成に限定されるものではない。
また、上記した実施形態では、IPアドレスを用いてロールと、ロールから宛先のアクセス可否を判定するものとして説明したが、当然にIPアドレス以外の情報を用いることも可能である。例えば、IPアドレスに代えて、MAC(Media Access Contorol)アドレスを用いてもよいし、その他入力ポート情報をマッチ条件に設定することができる。
また、上記した第1の実施形態では、通信ノード10の記憶部14に、ロール判定結果記憶領域を設けてロール判定結果を保持させるものとして説明したが、その他の形態も採用可能である。例えば、非特許文献2のオープンフローの仕様では、インストラクションとして、ヘッダ書換えアクションを設定可能であるため、第1テーブルによる判定の結果に基づいて、パケットヘッダの所定の領域にロール情報(属性情報や権限情報でも良い)等を書き込む構成も採用可能である。この場合、第2テーブルのマッチ条件として、前記所定の領域に書き込まれたロール情報(属性情報や権限情報でも良い)を設定すればよい。
最後に、本発明の好ましい形態を要約する。
[第1の形態]
(上記第1の視点による通信ノード参照)
[第2の形態]
第1の形態の通信ノードにおいて、
前記受信したパケットのヘッダ中の第1の情報は、パケットの送信元に関する情報である通信ノード。
[第3の形態]
第1又は第2の形態の通信ノードにおいて、
前記受信したパケットのヘッダ中の第2の情報は、パケットの宛先に関する情報である通信ノード。
[第4の形態]
第1~第3いずれか一の形態の通信ノードにおいて、
前記第1のテーブルには、受信したパケットのヘッダ中の第1の情報と照合する内容を指定したマッチ条件と、該マッチ条件に適合するパケット送信元に付与するロール情報と、を対応付けたエントリが格納され、
前記第2のテーブルには、前記ロール情報及び前記受信したパケットのヘッダ中の第2の情報と照合する内容を指定したマッチ条件と、該マッチ条件に適合するパケット送信元からのパケットに対する処理内容とを対応付けたエントリが格納されている通信ノード。
[第5の形態]
第1~第3いずれか一の形態の通信ノードにおいて、
ロール毎に分割された第2のテーブルを有し、
前記第1のテーブルには、受信したパケットのヘッダ中の第1の情報と照合する内容を指定したマッチ条件と、該マッチ条件に適合する場合に参照すべき第2のテーブル情報と、を対応付けたエントリが格納され、
前記パケット処理部は、
前記第1のテーブルから、受信したパケットのヘッダ中の第1の情報に適合するエントリを検索し、
前記第1の情報に適合するマッチ条件を持つエントリの第2のテーブル情報に対応する第2のテーブルを選択して、パケットに対する処理内容を求める通信ノード。
[第6の形態]
第1~第3いずれか一の形態の通信ノードにおいて、
前記第1のテーブルによるパケット送信元の属性又は権限の判定結果に基づいて、受信パケットの所定の領域に、パケット送信元の属性又は権限を示す情報を書き込み、
前記第2のテーブルのマッチ条件として、受信パケットの所定の領域に書き込まれた前記パケット送信元の属性又は権限を示す情報を用いる通信ノード。
[第7の形態]
(上記第2の視点による制御装置参照)
[第8の形態]
(上記第3の視点による通信システム参照)
[第9の形態]
(上記第4の視点によるパケット処理方法参照)
[第10の形態]
(上記第5の視点によるプログラム参照)
なお、上記第7~第10の形態は、第1の形態と同様に、第2~第6の形態に展開することが可能である。
[第1の形態]
(上記第1の視点による通信ノード参照)
[第2の形態]
第1の形態の通信ノードにおいて、
前記受信したパケットのヘッダ中の第1の情報は、パケットの送信元に関する情報である通信ノード。
[第3の形態]
第1又は第2の形態の通信ノードにおいて、
前記受信したパケットのヘッダ中の第2の情報は、パケットの宛先に関する情報である通信ノード。
[第4の形態]
第1~第3いずれか一の形態の通信ノードにおいて、
前記第1のテーブルには、受信したパケットのヘッダ中の第1の情報と照合する内容を指定したマッチ条件と、該マッチ条件に適合するパケット送信元に付与するロール情報と、を対応付けたエントリが格納され、
前記第2のテーブルには、前記ロール情報及び前記受信したパケットのヘッダ中の第2の情報と照合する内容を指定したマッチ条件と、該マッチ条件に適合するパケット送信元からのパケットに対する処理内容とを対応付けたエントリが格納されている通信ノード。
[第5の形態]
第1~第3いずれか一の形態の通信ノードにおいて、
ロール毎に分割された第2のテーブルを有し、
前記第1のテーブルには、受信したパケットのヘッダ中の第1の情報と照合する内容を指定したマッチ条件と、該マッチ条件に適合する場合に参照すべき第2のテーブル情報と、を対応付けたエントリが格納され、
前記パケット処理部は、
前記第1のテーブルから、受信したパケットのヘッダ中の第1の情報に適合するエントリを検索し、
前記第1の情報に適合するマッチ条件を持つエントリの第2のテーブル情報に対応する第2のテーブルを選択して、パケットに対する処理内容を求める通信ノード。
[第6の形態]
第1~第3いずれか一の形態の通信ノードにおいて、
前記第1のテーブルによるパケット送信元の属性又は権限の判定結果に基づいて、受信パケットの所定の領域に、パケット送信元の属性又は権限を示す情報を書き込み、
前記第2のテーブルのマッチ条件として、受信パケットの所定の領域に書き込まれた前記パケット送信元の属性又は権限を示す情報を用いる通信ノード。
[第7の形態]
(上記第2の視点による制御装置参照)
[第8の形態]
(上記第3の視点による通信システム参照)
[第9の形態]
(上記第4の視点によるパケット処理方法参照)
[第10の形態]
(上記第5の視点によるプログラム参照)
なお、上記第7~第10の形態は、第1の形態と同様に、第2~第6の形態に展開することが可能である。
なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。
10、10A、10B 通信ノード
11、11A、11B 第1テーブル
12、12A、12-1~12-N、12-A~12~Z 第2テーブル
13、13A、13B パケット処理部
14 記憶部
20、20B 制御装置
21、21B エントリ生成部
22 エントリ設定部
23 ポリシDB
30 認証サーバ
40 クライアント
50 サーバ
141 ロール判定結果記憶領域
11、11A、11B 第1テーブル
12、12A、12-1~12-N、12-A~12~Z 第2テーブル
13、13A、13B パケット処理部
14 記憶部
20、20B 制御装置
21、21B エントリ生成部
22 エントリ設定部
23 ポリシDB
30 認証サーバ
40 クライアント
50 サーバ
141 ロール判定結果記憶領域
Claims (15)
- 受信したパケットのヘッダ中の第1の情報と照合することにより、パケット送信元の属性又は権限を判定するための第1のテーブルと、
前記受信したパケットのヘッダ中の第2の情報と照合することにより、前記第1のテーブルを用いて判定された属性又は権限を持つパケット送信元からのパケットに対する処理内容を求めるための第2のテーブルと、
パケットを受信すると、前記第1のテーブルを用いてパケット送信元の属性又は権限を判定した後、前記第2のテーブルを用いて、前記第1のテーブルを用いて判定された属性又は権限を持つパケット送信元からのパケットに対する処理内容を求めるパケット処理部と、
を備えた通信ノード。 - 前記受信したパケットのヘッダ中の第1の情報は、パケットの送信元に関する情報である請求項1の通信ノード。
- 前記受信したパケットのヘッダ中の第2の情報は、パケットの宛先に関する情報である請求項1又は2の通信ノード。
- 前記第1のテーブルには、受信したパケットのヘッダ中の第1の情報と照合する内容を指定したマッチ条件と、該マッチ条件に適合するパケット送信元に付与するロール情報と、を対応付けたエントリが格納され、
前記第2のテーブルには、前記ロール情報及び前記受信したパケットのヘッダ中の第2の情報と照合する内容を指定したマッチ条件と、該マッチ条件に適合するパケット送信元からのパケットに対する処理内容とを対応付けたエントリが格納されている請求項1から3いずれか一の通信ノード。 - ロール毎に分割された第2のテーブルを有し、
前記第1のテーブルには、受信したパケットのヘッダ中の第1の情報と照合する内容を指定したマッチ条件と、該マッチ条件に適合する場合に参照すべき第2のテーブル情報と、を対応付けたエントリが格納され、
前記パケット処理部は、
前記第1のテーブルから、受信したパケットのヘッダ中の第1の情報に適合するエントリを検索し、
前記第1の情報に適合するマッチ条件を持つエントリの第2のテーブル情報に対応する第2のテーブルを選択して、パケットに対する処理内容を求める請求項1から3いずれか一の通信ノード。 - 前記第1のテーブルによるパケット送信元の属性又は権限の判定結果に基づいて、受信パケットの所定の領域に、パケット送信元の属性又は権限を示す情報を書き込み、
前記第2のテーブルのマッチ条件として、受信パケットの所定の領域に書き込まれた前記パケット送信元の属性又は権限を示す情報を用いる請求項1から3いずれか一の通信ノード。 - 受信したパケットのヘッダ中の第1の情報と照合することにより、パケット送信元の属性又は権限を判定するための第1のテーブルと、前記受信したパケットのヘッダ中の第2の情報と照合することにより、前記第1のテーブルを用いて判定された属性又は権限を持つパケット送信元からのパケットに対する処理内容を求めるための第2のテーブルと、パケットを受信すると、前記第1のテーブルを用いてパケット送信元の属性又は権限を判定した後、前記第2のテーブルを用いて、前記第1のテーブルを用いて判定された属性又は権限を持つパケット送信元からのパケットに対する処理内容を求めるパケット処理部と、を備えた通信ノードに対し、
前記第1、第2のテーブルのエントリを設定する制御装置。 - 前記受信したパケットのヘッダ中の第1の情報は、パケットの送信元に関する情報である請求項7の制御装置。
- 前記受信したパケットのヘッダ中の第2の情報は、パケットの宛先に関する情報である請求項7又は8の制御装置。
- 前記第1のテーブルに、受信したパケットのヘッダ中の第1の情報と照合する内容を指定したマッチ条件と、該マッチ条件に適合するパケット送信元に付与するロール情報と、を対応付けたエントリを設定し、
前記第2のテーブルに、前記ロール情報及び前記受信したパケットのヘッダ中の第2の情報と照合する内容を指定したマッチ条件と、該マッチ条件に適合するパケット送信元からのパケットに対する処理内容とを対応付けたエントリを設定する請求項7から9いずれか一の制御装置。 - 前記通信ノードに、ロール毎に分割された第2のテーブルを設定し、
前記第1のテーブルに、受信したパケットのヘッダ中の第1の情報と照合する内容を指定したマッチ条件と、該マッチ条件に適合する場合に参照すべき第2のテーブル情報と、を対応付けたエントリを格納し、
前記通信ノードに、
前記第1のテーブルから、受信したパケットのヘッダ中の第1の情報に適合するエントリを検索させ、
前記第1の情報に適合するマッチ条件を持つエントリの第2のテーブル情報に対応する第2のテーブルから、パケットに対する処理内容を求めさせる請求項7から9いずれか一の制御装置。 - 前記通信ノードに、第1のテーブルによるパケット送信元の属性又は権限の判定結果に基づいて、受信パケットの所定の領域に、パケット送信元の属性又は権限を示す情報を書き込ませ、
前記第2のテーブルのマッチ条件として、受信パケットの所定の領域に書き込まれた前記パケット送信元の属性又は権限を示す情報を用いさせる請求項7から9いずれか一の制御装置。 - 受信したパケットのヘッダ中の第1の情報と照合することにより、パケット送信元の属性又は権限を判定するための第1のテーブルと、前記受信したパケットのヘッダ中の第2の情報と照合することにより、前記第1のテーブルを用いて判定された属性又は権限を持つパケット送信元からのパケットに対する処理内容を求めるための第2のテーブルと、パケットを受信すると、前記第1のテーブルを用いてパケット送信元の属性又は権限を判定した後、前記第2のテーブルを用いて、前記第1のテーブルを用いて判定された属性又は権限を持つパケット送信元からのパケットに対する処理内容を求めるパケット処理部と、を備えた通信ノードと、
前記通信ノードの前記第1、第2のテーブルにエントリを設定する制御装置と、
を含む通信システム。 - 受信したパケットのヘッダ中の第1の情報と照合することにより、パケット送信元の属性又は権限を判定するための第1のテーブルと、前記受信したパケットのヘッダ中の第2の情報と照合することにより、前記第1のテーブルを用いて判定された属性又は権限を持つパケット送信元からのパケットに対する処理内容を求めるための第2のテーブルと、を備える通信ノードが、
前記第1のテーブルを用いてパケット送信元の属性又は権限を判定するステップと、
前記第2のテーブルを用いて、前記第1のテーブルを用いて判定された属性又は権限を持つパケット送信元からのパケットに対する処理内容を求めて受信パケットを処理するステップと、
を含むパケット処理方法。 - 受信したパケットのヘッダ中の第1の情報と照合することにより、パケット送信元の属性又は権限を判定するための第1のテーブルと、前記受信したパケットのヘッダ中の第2の情報と照合することにより、前記第1のテーブルを用いて判定された属性又は権限を持つパケット送信元からのパケットに対する処理内容を求めるための第2のテーブルと、を備える通信ノードに搭載されたコンピュータが、
前記第1のテーブルを用いてパケット送信元の属性又は権限を判定する処理と、
前記第2のテーブルを用いて、前記第1のテーブルを用いて判定された属性又は権限を持つパケット送信元からのパケットに対する処理内容を求めて受信パケットに前記処理内容を適用する処理と、
を実行させるプログラム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP13847787.2A EP2908484A4 (en) | 2012-10-15 | 2013-10-11 | COMMUNICATION NODES, CONTROL DEVICE, COMMUNICATION SYSTEM, PACKET PROCESSING PROCESS AND PROGRAM |
| JP2014542108A JPWO2014061583A1 (ja) | 2012-10-15 | 2013-10-11 | 通信ノード、制御装置、通信システム、パケット処理方法及びプログラム |
| US14/435,725 US20150263953A1 (en) | 2012-10-15 | 2013-10-11 | Communication node, control apparatus, communication system, packet processing method and program |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012227922 | 2012-10-15 | ||
| JP2012-227922 | 2012-10-15 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2014061583A1 true WO2014061583A1 (ja) | 2014-04-24 |
Family
ID=50488149
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/JP2013/077752 Ceased WO2014061583A1 (ja) | 2012-10-15 | 2013-10-11 | 通信ノード、制御装置、通信システム、パケット処理方法及びプログラム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20150263953A1 (ja) |
| EP (1) | EP2908484A4 (ja) |
| JP (1) | JPWO2014061583A1 (ja) |
| WO (1) | WO2014061583A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11283823B1 (en) * | 2021-02-09 | 2022-03-22 | Lookingglass Cyber Solutions, Inc. | Systems and methods for dynamic zone protection of networks |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105264841B (zh) * | 2013-06-26 | 2018-03-13 | 华为技术有限公司 | 报文转发系统、设备和方法 |
| EP3021533B1 (en) * | 2013-07-19 | 2019-01-02 | Huawei Technologies Co., Ltd. | Switching device, controller, and method and system for switching device configuration and packet processing |
| DE102016213164A1 (de) * | 2016-07-19 | 2018-01-25 | Siemens Aktiengesellschaft | Speichervorrichtung, Datenübertragungsvorrichtung und Verfahren zum Übertragen von Daten |
| US12107857B2 (en) * | 2023-01-30 | 2024-10-01 | Hewlett Packard Enterprise Development Lp | Multicast traffic segmentation in an overlay network |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005051650A (ja) * | 2003-07-31 | 2005-02-24 | Nippon Telegr & Teleph Corp <Ntt> | テーブル検索装置 |
| JP2009218926A (ja) * | 2008-03-11 | 2009-09-24 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法 |
| JP2010117885A (ja) | 2008-11-13 | 2010-05-27 | Mitsubishi Electric Corp | アクセス制御装置、アクセス制御装置のアクセス制御方法およびアクセス制御プログラム |
| JP2012070225A (ja) * | 2010-09-24 | 2012-04-05 | Hitachi Cable Ltd | ネットワーク中継装置及び転送制御システム |
| WO2012115058A1 (ja) * | 2011-02-21 | 2012-08-30 | 日本電気株式会社 | 通信システム、データベース、制御装置、通信方法およびプログラム |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7356033B2 (en) * | 2002-11-21 | 2008-04-08 | Lucent Technologies Inc. | Method and apparatus for performing network routing with use of power efficient TCAM-based forwarding engine architectures |
| KR100490729B1 (ko) * | 2003-05-20 | 2005-05-24 | 한국전자통신연구원 | 보안 게이트웨이 시스템과 이를 이용한 침입 탐지 방법 |
| US7408932B2 (en) * | 2003-10-20 | 2008-08-05 | Intel Corporation | Method and apparatus for two-stage packet classification using most specific filter matching and transport level sharing |
| US8181258B2 (en) * | 2003-11-26 | 2012-05-15 | Agere Systems Inc. | Access control list constructed as a tree of matching tables |
| US8090805B1 (en) * | 2004-02-17 | 2012-01-03 | Cisco Technology, Inc. | System and method for performing cascaded lookups to forward packets |
-
2013
- 2013-10-11 JP JP2014542108A patent/JPWO2014061583A1/ja active Pending
- 2013-10-11 US US14/435,725 patent/US20150263953A1/en not_active Abandoned
- 2013-10-11 WO PCT/JP2013/077752 patent/WO2014061583A1/ja not_active Ceased
- 2013-10-11 EP EP13847787.2A patent/EP2908484A4/en not_active Withdrawn
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005051650A (ja) * | 2003-07-31 | 2005-02-24 | Nippon Telegr & Teleph Corp <Ntt> | テーブル検索装置 |
| JP2009218926A (ja) * | 2008-03-11 | 2009-09-24 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法 |
| JP2010117885A (ja) | 2008-11-13 | 2010-05-27 | Mitsubishi Electric Corp | アクセス制御装置、アクセス制御装置のアクセス制御方法およびアクセス制御プログラム |
| JP2012070225A (ja) * | 2010-09-24 | 2012-04-05 | Hitachi Cable Ltd | ネットワーク中継装置及び転送制御システム |
| WO2012115058A1 (ja) * | 2011-02-21 | 2012-08-30 | 日本電気株式会社 | 通信システム、データベース、制御装置、通信方法およびプログラム |
Non-Patent Citations (4)
| Title |
|---|
| NICK MCKEOWN, OPENFLOW: ENABLING INNOVATION IN CAMPUS NETWORKS, 25 September 2012 (2012-09-25), Retrieved from the Internet <URL:http://www.openflow.org/documents/openflow-wp-latest.pdf> |
| OPENFLOW SWITCH SPECIFICATION VERSION 1.1.0 IMPLEMENTED, 28 February 2011 (2011-02-28), XP055252304 * |
| OPENFLOW SWITCH SPECIFICATION, 25 September 2012 (2012-09-25), Retrieved from the Internet <URL:https://www.openflow.org/documents/openflow-spec-vl. I.O.pdf> |
| See also references of EP2908484A4 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11283823B1 (en) * | 2021-02-09 | 2022-03-22 | Lookingglass Cyber Solutions, Inc. | Systems and methods for dynamic zone protection of networks |
Also Published As
| Publication number | Publication date |
|---|---|
| US20150263953A1 (en) | 2015-09-17 |
| EP2908484A4 (en) | 2016-06-22 |
| EP2908484A1 (en) | 2015-08-19 |
| JPWO2014061583A1 (ja) | 2016-09-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11750614B2 (en) | Methods and systems for dynamic creation of access control lists | |
| US9178910B2 (en) | Communication system, control apparatus, policy management apparatus, communication method, and program | |
| JP5811171B2 (ja) | 通信システム、データベース、制御装置、通信方法およびプログラム | |
| KR101685471B1 (ko) | 단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체, 및 정보 처리 디바이스 | |
| JP5850068B2 (ja) | 制御装置、通信システム、通信方法およびプログラム | |
| JP5812108B2 (ja) | 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置 | |
| US9935876B2 (en) | Communication system, control apparatus, communication apparatus, communication control method, and program | |
| JP2014504811A (ja) | 通信システム、転送ノード、受信パケット処理方法およびプログラム | |
| KR20130079525A (ko) | 단말, 제어 장치, 통신 방법, 통신 시스템, 통신 모듈, 프로그램 및 정보 처리 장치 | |
| JP2014533001A (ja) | 転送装置の制御装置、転送装置の制御方法、通信システムおよびプログラム | |
| JP2014516215A (ja) | 通信システム、制御装置、処理規則設定方法およびプログラム | |
| US20150172174A1 (en) | Control apparatus, communication system, switch control method and program | |
| JPWO2014112616A1 (ja) | 制御装置、通信装置、通信システム、スイッチの制御方法及びプログラム | |
| WO2014061583A1 (ja) | 通信ノード、制御装置、通信システム、パケット処理方法及びプログラム | |
| US20130275620A1 (en) | Communication system, control apparatus, communication method, and program | |
| JP5939298B2 (ja) | 通信端末、通信方法および通信システム | |
| JP5747997B2 (ja) | 制御装置、通信システム、仮想ネットワークの管理方法およびプログラム | |
| WO2014034119A1 (en) | Access control system, access control method, and program | |
| WO2014020902A1 (en) | Communication system, control apparatus, communication method, and program | |
| WO2015145976A1 (ja) | 通信システム、制御指示装置、制御実施装置、通信制御方法およびプログラムを記憶する記憶媒体 | |
| JPWO2014010724A1 (ja) | 制御装置、通信システム、通信方法及びプログラム | |
| WO2015129727A1 (ja) | 通信端末、通信方法およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 13847787 Country of ref document: EP Kind code of ref document: A1 |
|
| ENP | Entry into the national phase |
Ref document number: 2014542108 Country of ref document: JP Kind code of ref document: A |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 14435725 Country of ref document: US |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| REEP | Request for entry into the european phase |
Ref document number: 2013847787 Country of ref document: EP |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2013847787 Country of ref document: EP |