JP5288081B1 - 通信システム、ポリシー管理装置、通信方法およびプログラム - Google Patents
通信システム、ポリシー管理装置、通信方法およびプログラム Download PDFInfo
- Publication number
- JP5288081B1 JP5288081B1 JP2013511449A JP2013511449A JP5288081B1 JP 5288081 B1 JP5288081 B1 JP 5288081B1 JP 2013511449 A JP2013511449 A JP 2013511449A JP 2013511449 A JP2013511449 A JP 2013511449A JP 5288081 B1 JP5288081 B1 JP 5288081B1
- Authority
- JP
- Japan
- Prior art keywords
- host
- identifier
- access control
- forwarding nodes
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
機器やユーザの接続状態が頻繁に変化する場合にリアルタイムにアクセス制御を更新する。転送ノードに接続されたホストを使用するユーザを認証する認証装置と、転送ノードまたはユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持し、アクセス制御対象のホストの識別子とホストが接続された転送ノードまたはホストを使用するユーザの識別子とを紐付けるポリシー管理装置とを備え、転送ノードは自身に接続されたホストおよび自身の識別子の組をポリシー管理装置に送信し、認証装置は転送ノードに接続されたホストおよびユーザの識別子の組をポリシー管理装置に送信し、ポリシー管理装置は転送ノードに接続されたホストがアクセス制御対象である場合、アクセス制御の内容を制御装置に通知し、制御装置は該通知に応じて処理規則を生成して転送ノードに設定する。
Description
(関連出願についての記載)
本発明は、日本国特許出願:特願2011−204487号(2011年9月20日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は、日本国特許出願:特願2011−204487号(2011年9月20日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は、通信システム、ポリシー管理装置、通信方法およびプログラムに関し、特に、ネットワークに配置された転送ノードによりパケットを転送して通信を実現する通信システム、ポリシー管理装置、通信方法およびプログラムに関する。
特許文献1、非特許文献1、2において、オープンフロー(OpenFlow)という技術が記載されている。オープンフローでは、通信をエンドツーエンドのフローとして捉え、フロー単位で経路制御、障害回復、負荷分散および最適化が行われる。
非特許文献2に仕様化されているオープンフロースイッチは、制御装置に相当するオープンフローコントローラとの通信用のセキュアチャネルを備えている。オープンフロースイッチは、オープンフローコントローラから追加または書き換えを適宜指示されるフローテーブルに従って動作する。
フローテーブルには、フロー毎に、パケットヘッダと照合するマッチングルール(ヘッダフィールド、Header Field)と、フロー統計情報(カウンタ、Counters)と、処理内容を定義したアクション(Actions)と、の組が定義される(図3参照)。
例えば、オープンフロースイッチは、パケットを受信すると、フローテーブルから、受信パケットのヘッダ情報に適合するマッチングルール(図3のヘッダフィールド参照)を持つエントリを検索する。
検索の結果、受信パケットに適合するエントリが見つかった場合には、オープンフロースイッチは、フロー統計情報(カウンタ)を更新するとともに、受信パケットに対して、当該エントリのアクションフィールドに記述された処理内容(例えば、指定ポートからのパケット送信、フラッディング、廃棄等)を実施する。
一方、検索の結果、受信パケットに適合するエントリが見つからなかった場合には、オープンフロースイッチは、セキュアチャネルを介して、オープンフローコントローラに対して受信パケットを転送し、受信パケットの送信元・送信先に基づいたパケットの経路の決定を依頼する。また、オープンフロースイッチは、この経路に従ったパケット転送を実現するためのフローエントリをオープンフローコントローラから受け取って、フローテーブルを更新する。
このように、オープンフロースイッチは、フローテーブルに格納されたエントリを処理規則として用いることで、パケット転送を行う。
Nick McKeownほか7名、"OpenFlow: Enabling Innovation in Campus Networks,"March 14,2008[online],[平成23年9月7日検索],インターネット〈URL:http://www.openflowswitch.org//documents/openflow−wp−latest.pdf〉.
"OpenFlow Switch Specification" Version 1.1.0 Implemented(Wire Protocol 0x02) February 28,2011、[online],[平成23年9月7日検索],インターネット〈URL:http://www.openflowswitch.org/documents/openflow−spec−v1.1.0.pdf〉.
上記の特許文献および非特許文献の全開示内容は、本書に引用をもって繰り込み記載されているものとする。以下の分析は、本発明によって与えられたものである、
特許文献1に記載されたオープンフローコントローラ、すなわち、オープンフローの制御装置は、新規フロー発生時に、アクセス制御ルールを参照してパーミッションチェックを行ない、その後、経路を計算することによりアクセス制御を行う(特許文献1の[0052]参照)。
ここで、新規フロー発生時に参照するアクセス制御ルールは、ポリシー管理装置によって生成されたアクセス制御リスト(ACL:Access Control List)を受け取ることで更新される。
ポリシー管理装置がACLを生成する際には、アクセス元のホストとアクセス先のネットワーク資源の情報が必要となる。
ネットワーク管理者やアクセス制御を要望するユーザが、これらの情報をポリシー管理装置に手作業で入力しても、アクセス制御は可能となる。しかし、かかる方法によると、ネットワーク管理者やユーザの手間が大きく、大規模なネットワークや、頻繁にホストやネットワーク資源の接続状態が変化する環境においてアクセス制御を行うことは困難となる。
一方、これらの情報の収集作業をシステムで自動化することができれば、ネットワーク管理者やユーザの手間を大幅に削減できる。このとき、大規模なネットワークや、頻繁にホストやネットワーク資源の接続状態が変化するような環境において、簡単かつ現実的な手間および時間でアクセス制御を行うことが可能となる。
また、ポリシー管理装置に対して、アクセス制御内容を設定するためには、ホストやネットワーク資源の情報を指定したアクセス制御ポリシーを用いる。
ポリシー管理装置は、アクセス制御ポリシーに基づいてACLを生成する。
アクセス制御ポリシーに対して、ホストやネットワーク資源の情報を指定する際は、ホストやネットワーク資源のネットワーク環境内での識別子となる現時点でのアドレス情報等を指定する必要がある。
アクセス制御の対象となるホストやネットワーク資源の場所や接続状態が変化した場合には、ホストやネットワーク資源のネットワーク上からの生滅やアドレスの変化が発生する。アクセス制御を正しく行うには、その変化に応じてリアルタイムにアクセス制御ポリシーを更新し、更新されたアクセス制御ポリシーから新たにACLを生成して、制御装置の持つアクセス制御ルールを更新しなければならない。
ネットワーク管理者やアクセス制御を要望するユーザが、これらの情報をポリシー管理装置に手作業で入力しても、アクセス制御は可能となる。しかし、かかる方法によると、ネットワーク管理者やユーザの手間が大きく、大規模なネットワークや、頻繁にホストやネットワーク資源の接続状態が変化するような環境においてアクセス制御を行うことは困難となる。
一方、これらの情報の指定作業をシステムで半自動化することにより、一旦指定すれば、その後は自動で変化に追随するような抽象化された分かりやすい指定方法を、ネットワーク管理者やユーザに対して提供することができれば、ネットワーク管理者やユーザの手間を大幅に削減することができる。このとき、大規模なネットワークや、頻繁にホストやネットワーク資源の接続状態が変化するような環境において、簡単かつ現実的な手間および時間でアクセス制御を行うことが可能となる。
しかしながら、上記のような解決を図るには、アクセス元のホストの情報やアクセス先のネットワーク資源の情報について、現在の接続状態をリアルタイムに収集したり、アクセス制御ポリシーに記載された抽象的な指定に基づいて、具体的なホストやネットワーク資源の情報を探し出す機能が必要とされる。
そこで、機器が大量に存在し接続状態が頻繁に変化する場合や、ユーザが大量に存在し接続状態が頻繁に変化する場合においても、リアルタイムにアクセス制御を更新できるようにすることが要望される。本発明の目的は、かかる要望に寄与する通信システム、ポリシー管理装置、通信方法およびプログラムを提供することにある。
本発明の第1の視点に係る通信システムは、
処理規則に従ってパケットを処理する複数の転送ノードと、
前記複数の転送ノードを制御する制御装置と、
前記複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、
アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける第1の紐付け手段、および/または、アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける第2の紐付け手段を有し、転送ノードの識別子、および/または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するポリシー管理装置と、を備え、
前記複数の転送ノードは、それぞれ、自身に接続されたホストの識別子と自身の識別子との組を前記ポリシー管理装置に送信し、
前記認証装置は、前記複数の転送ノードのいずれかに接続されたホストの識別子とユーザの識別子との組を前記ポリシー管理装置に送信し、
前記ポリシー管理装置は、前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容をアクセス制御リストとして前記制御装置に通知し、
前記制御装置は、前記アクセス制御リストに応じて前記処理規則を生成して、前記複数の転送ノードに設定する。
処理規則に従ってパケットを処理する複数の転送ノードと、
前記複数の転送ノードを制御する制御装置と、
前記複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、
アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける第1の紐付け手段、および/または、アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける第2の紐付け手段を有し、転送ノードの識別子、および/または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するポリシー管理装置と、を備え、
前記複数の転送ノードは、それぞれ、自身に接続されたホストの識別子と自身の識別子との組を前記ポリシー管理装置に送信し、
前記認証装置は、前記複数の転送ノードのいずれかに接続されたホストの識別子とユーザの識別子との組を前記ポリシー管理装置に送信し、
前記ポリシー管理装置は、前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容をアクセス制御リストとして前記制御装置に通知し、
前記制御装置は、前記アクセス制御リストに応じて前記処理規則を生成して、前記複数の転送ノードに設定する。
本発明の第2の視点に係るポリシー管理装置は、
処理規則に従ってパケットを処理する複数の転送ノードと、アクセス制御リストに応じて該処理規則を生成して該複数の転送ノードに設定する制御装置と、該複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、を備えた通信システムにおけるポリシー管理装置であって、
アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける第1の紐付け手段、および/または、アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける第2の紐付け手段と、
転送ノードの識別子、および/または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するアクセス制御ポリシー記憶部と、を備え、
前記複数の転送ノードのそれぞれから、自身に接続されたホストの識別子と自身の識別子との組を受信し、
前記複数の転送ノードのいずれかに接続されたホストの識別子とユーザの識別子との組を前記認証装置から受信し、
前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容を前記アクセス制御リストとして前記制御装置に通知する。
処理規則に従ってパケットを処理する複数の転送ノードと、アクセス制御リストに応じて該処理規則を生成して該複数の転送ノードに設定する制御装置と、該複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、を備えた通信システムにおけるポリシー管理装置であって、
アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける第1の紐付け手段、および/または、アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける第2の紐付け手段と、
転送ノードの識別子、および/または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するアクセス制御ポリシー記憶部と、を備え、
前記複数の転送ノードのそれぞれから、自身に接続されたホストの識別子と自身の識別子との組を受信し、
前記複数の転送ノードのいずれかに接続されたホストの識別子とユーザの識別子との組を前記認証装置から受信し、
前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容を前記アクセス制御リストとして前記制御装置に通知する。
本発明の第3の視点に係る通信方法は、
複数の転送ノードと、該複数の転送ノードを制御する制御装置と、該複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、転送ノードの識別子、および/または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するポリシー管理装置と、を備えた通信システムにおける通信方法であって、
前記複数の転送ノードが、それぞれ、自身に接続されたホストの識別子と自身の識別子との組を前記ポリシー管理装置に送信する工程と、
前記認証装置が、前記複数の転送ノードのいずれか接続されたホストの識別子とユーザの識別子との組を前記ポリシー管理装置に送信する工程と、
前記ポリシー管理装置が、アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける工程、および/または、
アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける工程と、
前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容をアクセス制御リストとして前記制御装置に通知する工程と、
前記制御装置が、前記アクセス制御リストに応じてパケットの処理規則を生成して、前記複数の転送ノードに設定する工程と、
前記複数の転送ノードが前記処理規則に従ってパケットを処理する工程と、を含む。
複数の転送ノードと、該複数の転送ノードを制御する制御装置と、該複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、転送ノードの識別子、および/または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するポリシー管理装置と、を備えた通信システムにおける通信方法であって、
前記複数の転送ノードが、それぞれ、自身に接続されたホストの識別子と自身の識別子との組を前記ポリシー管理装置に送信する工程と、
前記認証装置が、前記複数の転送ノードのいずれか接続されたホストの識別子とユーザの識別子との組を前記ポリシー管理装置に送信する工程と、
前記ポリシー管理装置が、アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける工程、および/または、
アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける工程と、
前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容をアクセス制御リストとして前記制御装置に通知する工程と、
前記制御装置が、前記アクセス制御リストに応じてパケットの処理規則を生成して、前記複数の転送ノードに設定する工程と、
前記複数の転送ノードが前記処理規則に従ってパケットを処理する工程と、を含む。
本発明の第4の視点に係る通信方法は、
処理規則に従ってパケットを処理する複数の転送ノードと、アクセス制御リストに応じて該処理規則を生成して該複数の転送ノードに設定する制御装置と、該複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、を備えた通信システムにおいて、転送ノードの識別子、および/または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するポリシー管理装置が、
アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける工程、および/または、
アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける工程と、
前記複数の転送ノードのそれぞれから、自身に接続されたホストの識別子と自身の識別子との組を受信する工程と、
前記複数の転送ノードのいずれかに接続されたホストの識別子とユーザの識別子との組を前記認証装置から受信する工程と、
前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容を前記アクセス制御リストとして前記制御装置に通知する工程と、を含む。
処理規則に従ってパケットを処理する複数の転送ノードと、アクセス制御リストに応じて該処理規則を生成して該複数の転送ノードに設定する制御装置と、該複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、を備えた通信システムにおいて、転送ノードの識別子、および/または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するポリシー管理装置が、
アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける工程、および/または、
アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける工程と、
前記複数の転送ノードのそれぞれから、自身に接続されたホストの識別子と自身の識別子との組を受信する工程と、
前記複数の転送ノードのいずれかに接続されたホストの識別子とユーザの識別子との組を前記認証装置から受信する工程と、
前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容を前記アクセス制御リストとして前記制御装置に通知する工程と、を含む。
本発明の第5の視点に係るプログラムは、
処理規則に従ってパケットを処理する複数の転送ノードと、アクセス制御リストに応じて該処理規則を生成して該複数の転送ノードに設定する制御装置と、該複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、を備えた通信システムにおいて、転送ノードの識別子、および/または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するポリシー管理装置に設けられたコンピュータに対して、
アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける処理、および/または、
アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける処理と、
前記複数の転送ノードのそれぞれから、自身に接続されたホストの識別子と自身の識別子との組を受信する処理と、
前記複数の転送ノードのいずれかに接続されたホストの識別子とユーザの識別子との組を前記認証装置から受信する処理と、
前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容を前記アクセス制御リストとして前記制御装置に通知する処理と、を実行させる。なお、プログラムは、非トランジエントなコンピュータ読み取り可能な記録媒体に記録されたプログラム製品として提供することができる。
処理規則に従ってパケットを処理する複数の転送ノードと、アクセス制御リストに応じて該処理規則を生成して該複数の転送ノードに設定する制御装置と、該複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、を備えた通信システムにおいて、転送ノードの識別子、および/または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するポリシー管理装置に設けられたコンピュータに対して、
アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける処理、および/または、
アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける処理と、
前記複数の転送ノードのそれぞれから、自身に接続されたホストの識別子と自身の識別子との組を受信する処理と、
前記複数の転送ノードのいずれかに接続されたホストの識別子とユーザの識別子との組を前記認証装置から受信する処理と、
前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容を前記アクセス制御リストとして前記制御装置に通知する処理と、を実行させる。なお、プログラムは、非トランジエントなコンピュータ読み取り可能な記録媒体に記録されたプログラム製品として提供することができる。
本発明に係る通信システム、ポリシー管理装置、通信方法およびプログラムによると、機器が大量に存在し接続状態が頻繁に変化する場合や、ユーザが大量に存在し接続状態が頻繁に変化する場合においても、リアルタイムにアクセス制御を更新することが可能となる。
はじめに、本発明の概要について説明する。なお、この概要に付記する図面参照符号は、専ら理解を助けるための例示であり、本発明を図示の態様に限定することを意図するものではない。
図1を参照すると、本発明の通信システムは、処理規則に従ってパケットを処理する複数の転送ノード(200A〜200C)と、複数の転送ノードを制御する制御装置(300)と、複数の転送ノードのいずれかに接続されたホスト(100A、100B)を使用するユーザを認証する認証装置(310A〜310C)と、アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける第1の紐付け手段(トポロジ情報紐付け手段324)、および/または、アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける第2の紐付け手段(認証情報紐付け手段323)を有し、転送ノードの識別子、および/または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するポリシー管理装置(320)と、を備えている。複数の転送ノード(200A〜200C)は、それぞれ、自身に接続されたホストの識別子と自身の識別子との組をポリシー管理装置(320)に送信する。認証装置(310A〜310C)は、複数の転送ノードのいずれかに接続されたホスト(100A、100B)の識別子とユーザの識別子との組をポリシー管理装置(320)に送信する。ポリシー管理装置(320)は、アクセス制御ポリシーを参照し、複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容をアクセス制御リストとして制御装置(300)に通知する。制御装置(300)は、アクセス制御リストに応じて処理規則を生成して、複数の転送ノード(200A〜200C)に設定する。
ここで、処理規則は、処理対象パケットを特定するための照合規則と、該照合規則に適合するパケットに適用する処理内容とを対応付けたものであってもよい。また、複数の転送ノード(200A〜200C)は、それぞれ、自身に接続されたホストの識別子と自身の識別子との組を、制御装置(300)を経由してポリシー管理装置(320)に送信してもよい。制御装置(300)は、複数の転送ノード(200A〜200C)のいずれかに接続されたホストの識別子と該転送ノードの識別子との組をトポロジ情報として保持し、アクセス制御リストに応じたパケットの処理規則を該トポロジ情報に基づいて生成してもよい。
本発明では、制御装置が転送ノードを集中制御するオープンフローのような通信システムを用いて、アクセス元のホストやアクセス先のネットワーク資源の状態を取得することで、それらの情報をポリシー管理装置に受け渡し、変化のあったホストやネットワーク資源に関するアクセス制御内容を自動的に更新し、抽象的なアクセス制御ポリシー記述に対して該当する具体的なホストやネットワーク資源を自動的に抽出してアクセス制御内容を更新する。
本発明によれば、全く別の機能として存在する、ホストやネットワーク資源等の機器に関するネットワーク制御に必要な管理機能と、ユーザの識別に必要な管理機能とを、簡便かつ自然に繋ぐ方法を提供することができるため、機器が大量に存在し接続状態が頻繁に変化する場合や、ユーザが大量に存在し接続状態が頻繁に変化する場合においても、それら別用途の管理機能そのものを、ポリシーから生成されるACL情報の更新のトリガ、兼、更新すべき情報の取得元として利用することで、両者を繋いで新たなアクセス元・アクセス先の指定方法を提供し、管理者や個々のユーザがアクセス制御ポリシーを多大な手間をかけて更新することなく、リアルタイムにアクセス制御を更新することが可能となる。
本発明において、下記の形態が可能である。
[形態1]
上記第1の視点に係る通信システムのとおりである。
上記第1の視点に係る通信システムのとおりである。
[形態2]
前記処理規則は、処理対象パケットを特定するための照合規則と、該照合規則に適合するパケットに適用する処理内容とを対応付けたものであってもよい。
前記処理規則は、処理対象パケットを特定するための照合規則と、該照合規則に適合するパケットに適用する処理内容とを対応付けたものであってもよい。
[形態3]
前記複数の転送ノードは、それぞれ、自身に接続されたホストの識別子と自身の識別子との組を、前記制御装置を経由して前記ポリシー管理装置に送信してもよい。
前記複数の転送ノードは、それぞれ、自身に接続されたホストの識別子と自身の識別子との組を、前記制御装置を経由して前記ポリシー管理装置に送信してもよい。
[形態4]
前記制御装置は、前記複数の転送ノードのいずれかに接続されたホストの識別子と該転送ノードの識別子との組をトポロジ情報として保持し、前記アクセス制御リストに応じたパケットの処理規則を該トポロジ情報に基づいて生成してもよい。
前記制御装置は、前記複数の転送ノードのいずれかに接続されたホストの識別子と該転送ノードの識別子との組をトポロジ情報として保持し、前記アクセス制御リストに応じたパケットの処理規則を該トポロジ情報に基づいて生成してもよい。
[形態5]
前記アクセス制御ポリシーは、アクセス制御対象のホストを特定するために、所定の場所に設置された転送ノードの識別子のリストを含んでいてもよい。
前記アクセス制御ポリシーは、アクセス制御対象のホストを特定するために、所定の場所に設置された転送ノードの識別子のリストを含んでいてもよい。
[形態6]
前記アクセス制御ポリシーは、アクセス制御対象のホストを特定するために、所定の所属、所定の勤務地、所定の権限階層、および、所定の担当プロジェクトのうちの少なくともいずれかに該当するユーザの識別子のリストを含んでいてもよい。
前記アクセス制御ポリシーは、アクセス制御対象のホストを特定するために、所定の所属、所定の勤務地、所定の権限階層、および、所定の担当プロジェクトのうちの少なくともいずれかに該当するユーザの識別子のリストを含んでいてもよい。
[形態7]
上記第2の視点に係るポリシー管理装置のとおりである。
上記第2の視点に係るポリシー管理装置のとおりである。
[形態8]
上記第3の視点に係る通信方法のとおりである。
上記第3の視点に係る通信方法のとおりである。
[形態9]
上記通信方法において、前記処理規則は、処理対象パケットを特定するための照合規則と、該照合規則に適合するパケットに適用する処理内容とを対応付けたものであってもよい。
上記通信方法において、前記処理規則は、処理対象パケットを特定するための照合規則と、該照合規則に適合するパケットに適用する処理内容とを対応付けたものであってもよい。
[形態10]
上記通信方法において、前記複数の転送ノードは、それぞれ、自身に接続されたホストの識別子と自身の識別子との組を、前記制御装置を経由して前記ポリシー管理装置に送信してもよい。
上記通信方法において、前記複数の転送ノードは、それぞれ、自身に接続されたホストの識別子と自身の識別子との組を、前記制御装置を経由して前記ポリシー管理装置に送信してもよい。
[形態11]
上記通信方法において、前記制御装置は、前記複数の転送ノードのいずれかに接続されたホストの識別子と該転送ノードの識別子との組をトポロジ情報として保持し、前記アクセス制御リストに応じたパケットの処理規則を該トポロジ情報に基づいて生成してもよい。
上記通信方法において、前記制御装置は、前記複数の転送ノードのいずれかに接続されたホストの識別子と該転送ノードの識別子との組をトポロジ情報として保持し、前記アクセス制御リストに応じたパケットの処理規則を該トポロジ情報に基づいて生成してもよい。
[形態12]
上記通信方法において、前記アクセス制御ポリシーは、アクセス制御対象のホストを特定するために、所定の場所に設置された転送ノードの識別子のリストを含んでいてもよい。
上記通信方法において、前記アクセス制御ポリシーは、アクセス制御対象のホストを特定するために、所定の場所に設置された転送ノードの識別子のリストを含んでいてもよい。
[形態13]
上記通信方法において、前記アクセス制御ポリシーは、アクセス制御対象のホストを特定するために、所定の所属、所定の勤務地、所定の権限階層、および、所定の担当プロジェクトのうちの少なくともいずれかに該当するユーザの識別子のリストを含んでいてもよい。
上記通信方法において、前記アクセス制御ポリシーは、アクセス制御対象のホストを特定するために、所定の所属、所定の勤務地、所定の権限階層、および、所定の担当プロジェクトのうちの少なくともいずれかに該当するユーザの識別子のリストを含んでいてもよい。
[形態14]
上記第4の視点に係る通信方法のとおりである。
上記第4の視点に係る通信方法のとおりである。
[形態15]
上記第5の視点に係るプログラムのとおりである。
上記第5の視点に係るプログラムのとおりである。
(実施形態)
一実施形態に係る通信システムについて、図面を参照して説明する。図1は、本実施形態に係る通信システムの構成を一例として示す図である。
一実施形態に係る通信システムについて、図面を参照して説明する。図1は、本実施形態に係る通信システムの構成を一例として示す図である。
図1を参照すると、通信システムは、認証装置310A〜310C、ネットワーク資源600A〜600C、ホスト100A〜100C、転送ノード200A〜200C、制御装置300、および、ポリシー管理装置320を備えている。
通信システムは、会議室群、居室群、サーバプールから成る3つの拠点を含む。認証装置310A、ネットワーク資源600Aおよび転送ノード200Aは、会議室群に設けられている。認証装置310B、ネットワーク資源600Bおよび転送ノード200Bは、居室群に設けられている。認証装置310C、ネットワーク資源600Cおよび転送ノード200Cは、サーバプールに設けられている。ホスト100Aは、会議室群に設けられた転送ノード200Aにアクセスする。一方、ホスト100Bは、居室群に設けられた転送ノード200Bにアクセスする。
まず、本実施形態における用語について説明する。ここでは、一例として、会議室群におけるホスト100A、認証装置310A、転送ノード200A、ネットワーク資源600Aについて説明するが、居室群およびサーバプールについても、同様である。
<認証装置>
認証装置310Aは、ホスト100Aや、ホスト100Aを使用しているユーザを認証する。認証装置310Aは、認証手続の一貫として、ホスト100Aのアドレスを管理し、認証済みホストに対してアドレスの振出しを行うようにしてもよい。
認証装置310Aは、ホスト100Aや、ホスト100Aを使用しているユーザを認証する。認証装置310Aは、認証手続の一貫として、ホスト100Aのアドレスを管理し、認証済みホストに対してアドレスの振出しを行うようにしてもよい。
図1に示すように、通信システムに対して複数の認証装置310A〜310Cを設置するようにしてもよい。ただし、1つの認証装置が、ネットワーク全体の認証手続を管理するようにしてもよい。
<ネットワーク資源>
ネットワーク資源600Aは、ネットワーク経由で利用するアプリケーションサーバ等に相当する。ただし、ネットワーク資源600Aは、ユーザが有するホストを含んでいてもよい。例えば、あるユーザの端末に格納されたファイル等の資源を、他のユーザからアクセス・共有する場合には、ネットワーク資源600Aにホストが含まれる。また、ネットワーク資源600Aは、認証装置310Aによる認証後でなければ利用できないプロトコルや、認証装置310Aによる認証後でなければアクセス制御ルールで定義できないフローを利用するような、認証装置310A以外の認証装置も含む。
ネットワーク資源600Aは、ネットワーク経由で利用するアプリケーションサーバ等に相当する。ただし、ネットワーク資源600Aは、ユーザが有するホストを含んでいてもよい。例えば、あるユーザの端末に格納されたファイル等の資源を、他のユーザからアクセス・共有する場合には、ネットワーク資源600Aにホストが含まれる。また、ネットワーク資源600Aは、認証装置310Aによる認証後でなければ利用できないプロトコルや、認証装置310Aによる認証後でなければアクセス制御ルールで定義できないフローを利用するような、認証装置310A以外の認証装置も含む。
<ホスト>
ホスト100Aは、拠点等のネットワークに接続して使用する、ユーザの端末となるコンピュータ、または、ネットワークに接続して使用するプリンタ、ストレージ等の周辺機器に相当する。なお、新規に接続されたネットワーク資源600Aも、ホスト100Aとして扱うことができる。
ホスト100Aは、拠点等のネットワークに接続して使用する、ユーザの端末となるコンピュータ、または、ネットワークに接続して使用するプリンタ、ストレージ等の周辺機器に相当する。なお、新規に接続されたネットワーク資源600Aも、ホスト100Aとして扱うことができる。
<ホスト管理情報>
制御装置300は、「ホスト管理情報」を記憶する。ホスト管理情報は、転送ノード200Aに接続されているホスト100A(ネットワーク資源600Aを含む)に関する管理情報である。ホスト管理情報には、例えば、ホスト100AのMAC(Media Access Control)アドレスと、ホスト100AのIP(Internet Protocol)アドレスと、ホスト100Aが接続されている転送ノード200Aの識別子と、ホスト100Aが接続されている転送ノード200Aのコネクタの識別子との組を含む。
制御装置300は、「ホスト管理情報」を記憶する。ホスト管理情報は、転送ノード200Aに接続されているホスト100A(ネットワーク資源600Aを含む)に関する管理情報である。ホスト管理情報には、例えば、ホスト100AのMAC(Media Access Control)アドレスと、ホスト100AのIP(Internet Protocol)アドレスと、ホスト100Aが接続されている転送ノード200Aの識別子と、ホスト100Aが接続されている転送ノード200Aのコネクタの識別子との組を含む。
<認証情報>
認証装置310Aは、「認証情報」を収集・管理する。認証情報は、ユーザやホスト100Aを特定する情報である。認証情報は、ユーザがホスト100Aをネットワークと接続・切断するにあたって、ユーザやホスト100Aの認証手続を行った際に得られる。認証情報は、例えば、ホスト100AのMACアドレスと、ホスト100AのIPアドレスと、ホスト100Aを使用しているユーザIDとの組を含む。
認証装置310Aは、「認証情報」を収集・管理する。認証情報は、ユーザやホスト100Aを特定する情報である。認証情報は、ユーザがホスト100Aをネットワークと接続・切断するにあたって、ユーザやホスト100Aの認証手続を行った際に得られる。認証情報は、例えば、ホスト100AのMACアドレスと、ホスト100AのIPアドレスと、ホスト100Aを使用しているユーザIDとの組を含む。
<認証情報変化通知>
認証装置310Aは、収集して得た認証情報の変化について、「認証情報変化通知」としてポリシー管理装置320に通知する。通知される情報は、例えば、ホスト100AのMACアドレスと、ホスト100AのIPアドレスと、ホスト100Aを使用しているユーザIDと、ホスト100Aの接続/切断の別との組を含む。
認証装置310Aは、収集して得た認証情報の変化について、「認証情報変化通知」としてポリシー管理装置320に通知する。通知される情報は、例えば、ホスト100AのMACアドレスと、ホスト100AのIPアドレスと、ホスト100Aを使用しているユーザIDと、ホスト100Aの接続/切断の別との組を含む。
また、認証装置310Aは、ユーザIDに付随して、ユーザの所属、勤務地、権限階層、担当プロジェクト等のユーザに関する様々な情報を管理する。
なお、上述の認証情報も、例えば、ホスト100AのMACアドレスと、ホスト100AのIPアドレスと、ホスト100Aを使用しているユーザIDとの組の他に、当該ユーザIDに対応するユーザに関する上述の様々な情報を含んでいてもよい。
<トポロジ情報>
制御装置300は、「トポロジ情報」を収集する。トポロジ情報は、転送ノード200Aと、そこに接続および切断されたホスト100Aやネットワーク資源600Aの、設置場所や接続先を管理する情報である。トポロジ情報は、位置情報と、接続切断情報とを用いて構成される。位置情報には、例えば、転送ノード200の識別子と、転送ノード200のコネクタの識別子と、それらが設置された場所との組を含む。
制御装置300は、「トポロジ情報」を収集する。トポロジ情報は、転送ノード200Aと、そこに接続および切断されたホスト100Aやネットワーク資源600Aの、設置場所や接続先を管理する情報である。トポロジ情報は、位置情報と、接続切断情報とを用いて構成される。位置情報には、例えば、転送ノード200の識別子と、転送ノード200のコネクタの識別子と、それらが設置された場所との組を含む。
<接続切断情報>
転送ノード200Aに対して他の転送ノード200B、200Cや様々なホスト100Aやネットワーク資源600Aを接続・切断した場合には、転送ノード200Aは、制御装置300に対して、「接続切断情報」を通知する。接続切断情報は、例えば、転送ノード200Aの識別子と、機器が接続・切断された転送ノード200Aのコネクタの識別子と、接続・切断された機器のMACアドレスと、接続・切断された機器のIPアドレスと、機器の接続・切断の別との組を含む。したがって、ホスト100Aに関する接続切断情報は、ホスト管理情報と、ホスト100Aの接続・切断の別との組を含む。
転送ノード200Aに対して他の転送ノード200B、200Cや様々なホスト100Aやネットワーク資源600Aを接続・切断した場合には、転送ノード200Aは、制御装置300に対して、「接続切断情報」を通知する。接続切断情報は、例えば、転送ノード200Aの識別子と、機器が接続・切断された転送ノード200Aのコネクタの識別子と、接続・切断された機器のMACアドレスと、接続・切断された機器のIPアドレスと、機器の接続・切断の別との組を含む。したがって、ホスト100Aに関する接続切断情報は、ホスト管理情報と、ホスト100Aの接続・切断の別との組を含む。
制御装置300は、接続切断情報の通知を受けると、通知された内容を集積し、転送ノード200A〜200C同士の接続関係や、転送ノード200Aの先に接続されたホスト100Aやネットワーク資源600Aへ到達するための経路の計算に利用する。
制御装置300は、位置情報として持っている転送ノード200A、および、そのコネクタの設置場所の情報と、転送ノード200Aから通知された接続切断情報とを、それらに含まれる転送ノード200Aの識別子や転送ノード200Aのコネクタの識別子を用いて紐付けることで、ホスト100Aやネットワーク資源600Aが接続・切断された場所を特定でき、これらの情報を合わせてトポロジ情報として管理する。
<トポロジ情報変化通知>
制御装置300は、収集したトポロジ情報の変化、例えば、ホスト100Aやネットワーク資源600Aの接続状態の変化(ネットワーク上における生滅や移動、アドレスの変化等)を、「トポロジ情報変化通知」としてポリシー管理装置320に通知する。ホスト100Aに関するトポロジ情報変化通知は、例えば、ホスト管理情報と、場所と、接続切断の別との組を含む。
制御装置300は、収集したトポロジ情報の変化、例えば、ホスト100Aやネットワーク資源600Aの接続状態の変化(ネットワーク上における生滅や移動、アドレスの変化等)を、「トポロジ情報変化通知」としてポリシー管理装置320に通知する。ホスト100Aに関するトポロジ情報変化通知は、例えば、ホスト管理情報と、場所と、接続切断の別との組を含む。
予め位置情報をポリシー管理装置320と共有することで、トポロジ情報変化通知において、場所の情報を省略することもできる。ポリシー管理装置320は、転送ノード200Aの識別子や、転送ノード200Aのコネクタの識別子を用いて、位置情報との紐付けを行う。このとき、トポロジ情報変化通知は、接続切断情報と同様に、ホスト管理情報と、接続切断の別との組を含む。
<アクセス制御ポリシー>
ポリシー管理装置320は、アクセス制御ポリシー記憶部321に格納された「アクセス制御ポリシー」を管理する。アクセス制御ポリシーは、アクセス制御内容を抽象的に記述した情報であり、ポリシー管理装置320から制御装置300に受け渡されるACL情報を生成する基となる。
ポリシー管理装置320は、アクセス制御ポリシー記憶部321に格納された「アクセス制御ポリシー」を管理する。アクセス制御ポリシーは、アクセス制御内容を抽象的に記述した情報であり、ポリシー管理装置320から制御装置300に受け渡されるACL情報を生成する基となる。
アクセス制御ポリシーは、アクセス元やアクセス先の指定を組み合わせて、人にとって分かりやすい抽象的な指定によって、アクセス制御内容を記述する。アクセス制御ポリシーは、アクセス元・アクセス先として、例えば、ホスト100Aのアドレスを指定できる。
また、アクセス制御ポリシーは、アクセス元・アクセス先として、例えば、ホスト100Aを使用しているユーザを指定できる。アクセス制御ポリシーは、アクセス元・アクセス先として、例えば、ホスト100Aを使用しているユーザに関し、認証装置310Aの持つユーザに関する情報を用いて指定できる。例えば、所属が「総務部」であること、勤務地が「拠点1」であること、権限階層が「課長」であること、担当プロジェクトが「プロジェクト1」であること、等を用いて指定できる。
これらのユーザに関する情報を用いて、アクセス元・アクセス先を抽象的・間接的に指定することで、将来、ユーザの持つこれらの情報に変化があり、対象となるべき適切なユーザが増減・変化した場合でも、管理者等がアクセス制御の修正のためにポリシーを度々更新する必要がなくなる。
例えば、所属を用いてアクセス元・アクセス先を指定したポリシーについては、ユーザの所属に異動があった場合、ポリシーを更新しなくとも、現在その所属に対応する適切なユーザを導出し、それらのユーザの使用しているホスト100Aを導出し、それらホスト100Aに関するアクセス制御としてACL情報が再生成され、制御装置300のアクセス制御ルールが更新される。
さらに、アクセス制御ポリシーは、アクセス元・アクセス先として、例えば、ホスト100Aやネットワーク資源600Aを設置している場所を用いて指定できる。
例えば、アクセス元・アクセス先として、「会議室1に設置されているホスト/ネットワーク資源」、「ビル1に設置されているホスト/ネットワーク資源」、「2階フロアに設置されているホスト/ネットワーク資源」、「会社1に設置されているホスト/ネットワーク資源」等の指定ができる。
ここで、アクセス元・アクセス先にあたるホスト100やネットワーク資源600の設置場所が特定できるのは、制御装置300がトポロジ情報を収集して、ポリシー管理装置320に通知しているからである。
場所を用いて、アクセス元・アクセス先を抽象的・間接的に指定することで、将来、ホスト100Aやネットワーク資源600Aの場所に変化があり、対象となるべき適切なホスト100Aやネットワーク資源600Aが増減・変化した場合でも、管理者等がアクセス制御の修正のためにポリシーを度々更新する必要がなくなる。
例えば、場所を用いてアクセス元・アクセス先を指定したポリシーについては、ホスト100Aやネットワーク資源600Aの場所に変化があった場合、ポリシーを更新しなくとも、現在その場所に対応する適切なホスト100Aやネットワーク資源600Aを導出し、それらホスト100Aやネットワーク資源600Aに関するアクセス制御としてACL情報が再生成され、制御装置300のアクセス制御ルールが更新される。
また、アクセス制御ポリシーは、アクセス元・アクセス先として、例えば、ホスト100Aを使用しているユーザと場所の両方を複合的に用いて指定できる。
例えば、アクセス元・アクセス先として、「ユーザ1が居る部屋に設置されているホスト/ネットワーク資源」や、「監査部門のユーザが居る部屋に設置されているホスト/ネットワーク資源」、「責任者のユーザと一緒に居る(同じ場所に居る)ユーザのホスト/ネットワーク資源」等の指定ができる。
ここで、ユーザの場所が特定できるのは、ユーザの使用しているホスト100を、転送ノード200に接続し、認証装置310によって認証することによって、そのホスト100に関する接続切断情報によってホスト100の場所が判明し、認証情報によってホスト100の使用ユーザが判明し、これを紐付けることが可能であるからである。
他に、会議予約システム等と連携し、会議に必要なアクセス制御を簡単に指定できるように、管理者や個々のユーザは、アクセス許可の範囲についていくつかのテンプレート(例えば、参加者間アクセス許可)を与えて選択するだけで、ポリシー管理装置320が会議予約システムから自動的に当該会議情報を読み取って「当該会議時間、当該会議室にある当該会議参加ユーザのホストやネットワーク資源」間のみアクセスを許可するアクセス制御ポリシーを適用するような使い方も考えられる。
<リソース情報>
ポリシー管理装置320は、リソース情報記憶部322に記録された「リソース情報」を管理する。リソース情報は、ホスト100Aやネットワーク資源600Aの情報である。ポリシー管理装置320は、アクセス制御ポリシーからACL情報を生成する際に、リソース情報を参照する。リソース情報は、例えば、ホスト100やネットワーク資源600のMACアドレスとIPアドレスとの組を含む。
ポリシー管理装置320は、リソース情報記憶部322に記録された「リソース情報」を管理する。リソース情報は、ホスト100Aやネットワーク資源600Aの情報である。ポリシー管理装置320は、アクセス制御ポリシーからACL情報を生成する際に、リソース情報を参照する。リソース情報は、例えば、ホスト100やネットワーク資源600のMACアドレスとIPアドレスとの組を含む。
<認証情報紐付け手段>
認証情報紐付け手段323は、認証情報の紐付けを行う。つまり、リソース情報に含まれるMACアドレスと、認証情報に含まれるMACアドレスとをつきあわせることで、1つのレコードとしてまとめて参照できる。これによって、認証情報に含まれるユーザIDをリソース情報と紐付けて利用することができるため、アクセス制御ポリシーにおいて、ユーザIDを用いた抽象的なアクセス元・アクセス先の指定ができ、そのようなアクセス制御ポリシーからACL情報を生成することができる。
認証情報紐付け手段323は、認証情報の紐付けを行う。つまり、リソース情報に含まれるMACアドレスと、認証情報に含まれるMACアドレスとをつきあわせることで、1つのレコードとしてまとめて参照できる。これによって、認証情報に含まれるユーザIDをリソース情報と紐付けて利用することができるため、アクセス制御ポリシーにおいて、ユーザIDを用いた抽象的なアクセス元・アクセス先の指定ができ、そのようなアクセス制御ポリシーからACL情報を生成することができる。
<トポロジ情報紐付け手段>
トポロジ情報紐付け手段324は、トポロジ情報変化通知の紐付けを行う。つまり、リソース情報に含まれるMACアドレスと、トポロジ情報変化通知に含まれるMACアドレスとをつきあわせることで、1つのレコードとしてまとめて参照できる。これによって、トポロジ情報変化通知に含まれる場所の情報をリソース情報と紐付けて利用することができるため、アクセス制御ポリシーにおいて、場所を用いた抽象的なアクセス元・アクセス先の指定ができ、そのようなアクセス制御ポリシーからACL情報を生成することができる。
トポロジ情報紐付け手段324は、トポロジ情報変化通知の紐付けを行う。つまり、リソース情報に含まれるMACアドレスと、トポロジ情報変化通知に含まれるMACアドレスとをつきあわせることで、1つのレコードとしてまとめて参照できる。これによって、トポロジ情報変化通知に含まれる場所の情報をリソース情報と紐付けて利用することができるため、アクセス制御ポリシーにおいて、場所を用いた抽象的なアクセス元・アクセス先の指定ができ、そのようなアクセス制御ポリシーからACL情報を生成することができる。
さらに、上記双方の紐付けの結果、認証情報に含まれるユーザIDと、トポロジ情報変化通知に含まれる場所の情報とを紐付けて利用することができるため、アクセス制御ポリシーにおいて、ユーザIDおよび、それに付随する情報と場所の情報の両方を複合的に用いた抽象的なアクセス元・アクセス先の指定ができ、そのようなアクセス制御ポリシーからACL情報を生成することができる。
<アクセス制御リスト(ACL)情報>
ポリシー管理装置320は、「ACL情報」を制御装置300に受け渡す。ACL情報は、アクセス制御内容を記述した情報であり、アクセス制御ポリシーから導出される。ACL情報は、例えば、送信元ホスト100のMACアドレスとIPアドレスとの組、送信先ネットワーク資源600のMACアドレスとIPアドレスとの組、送信元と送信先の通信内容や方向とその可否、とを含む。
ポリシー管理装置320は、「ACL情報」を制御装置300に受け渡す。ACL情報は、アクセス制御内容を記述した情報であり、アクセス制御ポリシーから導出される。ACL情報は、例えば、送信元ホスト100のMACアドレスとIPアドレスとの組、送信先ネットワーク資源600のMACアドレスとIPアドレスとの組、送信元と送信先の通信内容や方向とその可否、とを含む。
<アクセス制御ルール>
制御装置300は、「アクセス制御ルール」を参照して、フローの通信可否を判定する。アクセス制御ルールは、フローを定義する、送信元のホスト管理情報と、送信先(ネットワーク資源600)のホスト管理情報と、その間の通信内容や方向に対して、可否を定義する。
制御装置300は、「アクセス制御ルール」を参照して、フローの通信可否を判定する。アクセス制御ルールは、フローを定義する、送信元のホスト管理情報と、送信先(ネットワーク資源600)のホスト管理情報と、その間の通信内容や方向に対して、可否を定義する。
<経路>
制御装置300は、複数の転送ノード200Aが接続されたネットワークにおける「経路」を算出する。経路は、フローの送信元ホスト100から送信先ネットワーク資源600に到達する間に経由する転送ノード200Aの辿り方を示す。
制御装置300は、複数の転送ノード200Aが接続されたネットワークにおける「経路」を算出する。経路は、フローの送信元ホスト100から送信先ネットワーク資源600に到達する間に経由する転送ノード200Aの辿り方を示す。
<処理規則>
制御装置300は、「処理規則」を転送ノード200に受け渡す。処理規則は、転送ノード200Aが、あるフローのパケットを受け取ったときに、それをどのように処理するかを定義する。
制御装置300は、「処理規則」を転送ノード200に受け渡す。処理規則は、転送ノード200Aが、あるフローのパケットを受け取ったときに、それをどのように処理するかを定義する。
<処理規則設定要求>
転送ノード200Aは、「処理規則設定要求」を制御装置300に受け渡す。処理規則設定要求は、転送ノード200Aに到達した未認証パケットの処理を定義する処理規則を、制御装置300に対して要求するために使用される。転送ノード200Aは、例えば、パケットを受け取った転送ノード200Aおよびコネクタの識別子と、パケットのヘッダ情報を切り出したものと、処理規則設定要求に含める。
転送ノード200Aは、「処理規則設定要求」を制御装置300に受け渡す。処理規則設定要求は、転送ノード200Aに到達した未認証パケットの処理を定義する処理規則を、制御装置300に対して要求するために使用される。転送ノード200Aは、例えば、パケットを受け取った転送ノード200Aおよびコネクタの識別子と、パケットのヘッダ情報を切り出したものと、処理規則設定要求に含める。
以下では、本実施形態の通信システムの構成および動作について、図面を参照しつつ、さらに詳細に説明する。ここでは、一例として、会議室群におけるホスト100A、認証装置310A、転送ノード200A、ネットワーク資源600Aについて説明するが、居室群およびサーバプールについても、同様である。
ホスト100Aは、認証装置310Aに対してパケットを送出し、認証装置310Aからの応答に基づき、自身に対する認証手続を受ける。認証済みのホスト100Aは、ネットワーク資源600Aを利用するためにアクセスパケットを送出し、ネットワーク資源600Aからの応答に基づき、ネットワーク資源600Aとの通信を開始する。
認証装置310Aは、ホスト100Aからの要求を受けて、ホスト100Aおよびユーザの認証を行う。認証装置310Aは、認証済みとなったホスト100Aおよびユーザの情報について、認証情報変化通知として、ポリシー管理装置320に受け渡す。
ネットワーク資源600Aは、ホスト100Aからの要求を受けて、サービス利用のための通信を開始する。
転送ノード200Aは、ホスト100Aと認証装置310Aとネットワーク資源600Aが送出したパケットを取得し、制御装置300に処理規則設定要求を行う。転送ノード200Aは、制御装置300から受け渡された処理規則に従って、ホスト100Aと認証装置310Aとネットワーク資源600Aが送出したパケットの処理を行う。
制御装置300は、転送ノード200Aから受け渡された処理規則設定要求について、要求に記載されたパケットの情報が、ホスト100Aがネットワーク資源600Aにアクセスするパケットであれば、アクセス制御ルールの確認と経路計算を行い、許可すべきフローの場合には、ホスト100Aからネットワーク資源600Aへの当該パケットによる通信を許可する処理規則を生成し、転送ノード200Aに受け渡す。制御装置300は、転送ノード200Aから受け渡された接続切断情報について、これを収集し、経路計算の材料としてトポロジ情報記憶部301に格納するとともに、トポロジ情報変化通知を生成してポリシー管理装置320に受け渡す。
ポリシー管理装置320は、トポロジ情報紐付け手段324および認証情報紐付け手段323を備えている。
トポロジ情報紐付け手段324は、制御装置300から受け渡されたトポロジ情報変化通知について、変化のあったトポロジ情報に含まれるMACアドレスと一致するものを、リソース情報記憶部322の既存のリソース情報に含まれるMACアドレスの中から探し、存在する場合には、当該リソース情報を変化のあったトポロジ情報で更新する。一方、一致するものが存在しない場合には、トポロジ情報紐付け手段324は、新たなリソース情報としてリソース情報記憶部322に追加する。また、トポロジ情報紐付け手段324は、トポロジ情報に含まれる位置情報の紐付けを行い、使用中のアクセス制御ポリシーにおいて使用中のリソースである場合には、使用中のアクセス制御ポリシーのリソース指定において使用されている場所のリソースとアクセス制御ポリシー記憶部321のアクセス制御ポリシーに基づいてACL情報を生成し、制御装置300に受け渡す。
一方、認証情報紐付け手段323は、認証装置310Aから受け渡された認証情報変化通知について、通知に記載された認証情報を用いてリソース情報記憶部322に対する更新を行う。使用中のアクセス制御ポリシーのリソース指定において使用されているリソースと一致する場合や、更新対象となったリソースと紐付くユーザIDが、その時点でアクセス制御ポリシーのリソース指定において使用されているユーザIDと一致する場合には、認証情報紐付け手段323は、アクセス制御ポリシー記憶部321のアクセス制御ポリシーに基づいてACL情報を生成し、制御装置300に受け渡す。
本実施形態の通信システムの動作について、図面を参照して説明する。図2は、通信システム(図1)の動作を一例として示すシーケンス図である。ここでは、一例として、会議室群において、ホスト100Aが接続され、ネットワーク資源600Aとの通信を開始するまでの処理について説明する。
まず、ホスト100Aは、ネットワーク接続を行うため、自身を転送ノード200Aに接続する(ステップS1)。
次に、転送ノード200Aは、接続されたホスト100Aについて、接続切断情報を作成し、制御装置300に受け渡す(ステップS2)。また、制御装置300は、接続切断情報を読み取り、トポロジ情報記憶部301に格納されているトポロジ情報を更新する(ステップS3)。さらに、制御装置300は、トポロジ情報変化通知を作成し、ポリシー管理装置320に受け渡す(ステップS4)。
次に、トポロジ情報紐付け手段324は、トポロジ情報変化通知を読み取り、リソース情報記憶部322に格納されている既存のリソース情報との間で、双方に含まれるMACアドレスを比較する。同一のMACアドレスが存在する場合には、トポロジ情報紐付け手段324は、既存のリソース情報の内容(例えば、IPアドレス)をトポロジ変化通知の内容で更新する(ステップS5)。一方、該当するリソース情報が無い場合には、トポロジ情報紐付け手段324は、新規のホスト管理情報として、リソース情報をリソース情報記憶部322に追加する。また、トポロジ情報紐付け手段324は、トポロジ情報変化通知を読み取り、リソース情報記憶部322に格納されているリソース情報との間で、双方に含まれるアドレス情報、例えば、MACアドレスを比較し、同一のMACアドレスのリソース情報と、トポロジ情報変化通知との間で紐付けを行う(ステップS6)。この紐付けにより、リソース情報に対し、転送ノードの識別子、転送ノードのコネクタの識別子、場所の情報について、紐付けて参照できるようになる。
次に、ホスト100Aは、ホスト100Aおよびユーザの認証を行うため、認証装置310Aに対して認証手続を要求する(ステップS7)。
次に、認証装置310Aは、認証手続を要求したホスト100Aについて、ホスト100Aおよびユーザの認証手続を行う(ステップS8)。認証手続によって、ホスト100Aのアドレス情報と、ホスト100Aを使用しているユーザの情報とが組となる。また、システムによっては、認証手続において、ホスト100Aのアドレス情報、例えばIPアドレスが、変更または追加される場合もある。また、認証装置310Aは、認証手続によって新たに得られた情報を、認証情報変化通知として、ポリシー管理装置320に受け渡す(ステップS9)。
次に、認証情報紐付け手段323は、認証情報変化通知を読み取り、リソース情報記憶部322に格納されているリソース情報との間で、双方に含まれるアドレス情報、例えばMACアドレスを比較し、同一のMACアドレスのリソース情報と、認証情報変化通知との間で紐付けを行うステップ(ステップS10)。この紐付けにより、リソース情報に対し、ユーザの情報、例えばユーザIDについて、紐付けて参照できるようになる。
次に、ポリシー管理装置320は、新たに紐付けや更新の行われたリソース情報について、それら変化した内容が、アクセス制御ポリシーに記載された、アクセス元(サブジェクト)、アクセス先(リソース)の指定に関する変化か否かを、適用済み(ACL情報の生成および制御装置300に受け渡し済み)のアクセス制御ポリシーの指定内容と比較することで導出する(ステップS11)。例えば、リソース情報に紐付けられた認証情報に、あるユーザIDが含まれており、当該ユーザIDを用いて、そのユーザIDのホストをアクセス制御ポリシーのリソースとして指定している場合には、ポリシー管理装置320は、このアクセス制御ポリシーに関する変化であると判定する。なお、ステップS11は、ステップS6の後に行ってもよいし、両方で行ってもよい。
ステップS11において、紐付けや更新の行われたリソース情報に関係する、適用済みのアクセス制御ポリシーが見つかった場合には、ポリシー管理装置320は、これらのアクセス制御ポリシーに基づいて、ACL情報を再生成する(ステップS12)。これにより、アクセス制御ポリシー自体を更新することなく、アクセス制御内容を自動的に適切な内容に更新する。一方、ステップS11において、対象となるアクセス制御ポリシーが見つからなかった場合には、ポリシー管理装置320は、ACL情報の再生成は行わずに、終了する。その後、リソース情報に対する、さらに新たな紐付けや更新が発生し、ステップS11が再度行われた場合は、その際の判定結果に従う。ポリシー管理装置320は、生成したACL情報を、制御装置300に受け渡す(ステップS13)。
次に、制御装置300は、受け渡されたACL情報に基づいて、アクセス制御ルールを更新し、経路計算を行って、処理規則を作成する(ステップS14)。なお、制御装置300は、この段階ではアクセス制御ルールの更新のみ行い、転送ノード200Aから処理規則設定要求を受け取った後に、経路計算および処理規則作成を行うようにしてもよい。制御装置300は、作成した処理規則を、転送ノード200Aに受け渡す(ステップS15)。
これにより、転送ノード200Aは、アクセス制御ポリシーに記載されたアクセス制御を、新たな紐付け・更新が行われたリソース情報に合致した内容で設定された状態となる。
次に、ホスト100Aは、転送ノード200Aによるアクセス制御を介して、ネットワーク資源600Aとの通信を行う(ステップS16)。ここで、ネットワーク資源600Aには、ホスト100A自身およびホスト100A以外のホストも含まれ得る。
なお、ポリシー管理装置320と、制御装置300と、転送ノード200A〜200Cとは、図1に示すように、それぞれ別個のコンピュータシステムで構築されていてもよいし、一部または全部が同一のコンピュータシステムで実現されていてもよい。
ホスト100A〜100Cは、プログラムに従って動作する情報処理装置のCPUと、RAM等の記憶媒体と、認証装置310とネットワーク資源600と通信を行うための通信インタフェースによって実現し得る。
同様に、認証装置310A〜310Cとネットワーク資源600A〜600Cは、プログラムに従って動作する情報処理装置のCPUと、RAM等の記憶媒体と、ホスト100A〜100Cと通信を行うための通信インタフェースによって実現し得る。
また、転送ノード200A〜200Cは、プログラムに従って動作する情報処理装置のCPUと、RAM等の記憶媒体と、制御装置300と通信を行うための通信インタフェースと、ホスト100A〜100Cと認証装置310A〜310Cとネットワーク資源600A〜600Cとの間の通信内容を取得するための通信インタフェースによって実現し得る。
さらに、制御装置300は、プログラムに従って動作する情報処理装置のCPUと、RAM等の記憶媒体と、ポリシー管理装置320と転送ノード200A〜200Cと通信を行うための通信インタフェースによって実現し得る。
また、ポリシー管理装置320は、プログラムに従って動作する情報処理装置のCPUと、RAM等の記憶媒体と、制御装置300と通信を行うための通信インタフェースと、制御装置310A〜310Cと通信を行うための通信インタフェースと、RAMやハードディスク等の記憶媒体によって実現し得る。
以上説明したように、本実形態に係る通信システムは、
処理対象パケットを特定するための照合規則と該照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って受信パケットを処理し、自身と、自身に接続されたホストの識別子の組を制御装置に送信する複数の転送ノードと、
ホストに対し使用者であるユーザの認証を行い、認証手続で得たホストとユーザの識別子の組をポリシー管理装置に送信する認証装置と、
前記転送ノードから得た転送ノードに接続されたホストの情報をポリシー管理装置に送信し、ポリシー管理装置から得られたホストに関するアクセス制御リストの記述から前記処理規則を設定する制御装置と、
アクセス制御対象のホストの識別子と、ホストが接続された転送ノードの識別子とを紐付けるトポロジ情報紐付け手段と、
アクセス制御対象のホストの識別子と、ホストを使用しているユーザの識別子とを紐付ける認証情報紐付け手段とを有し、
少なくともユーザの識別子または転送ノードの識別子を用いた記載によってアクセス制御対象のホストを特定するアクセス制御ポリシーから、前記アクセス制御リストを生成して制御装置に送信するポリシー管理装置と、を備えている。
処理対象パケットを特定するための照合規則と該照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って受信パケットを処理し、自身と、自身に接続されたホストの識別子の組を制御装置に送信する複数の転送ノードと、
ホストに対し使用者であるユーザの認証を行い、認証手続で得たホストとユーザの識別子の組をポリシー管理装置に送信する認証装置と、
前記転送ノードから得た転送ノードに接続されたホストの情報をポリシー管理装置に送信し、ポリシー管理装置から得られたホストに関するアクセス制御リストの記述から前記処理規則を設定する制御装置と、
アクセス制御対象のホストの識別子と、ホストが接続された転送ノードの識別子とを紐付けるトポロジ情報紐付け手段と、
アクセス制御対象のホストの識別子と、ホストを使用しているユーザの識別子とを紐付ける認証情報紐付け手段とを有し、
少なくともユーザの識別子または転送ノードの識別子を用いた記載によってアクセス制御対象のホストを特定するアクセス制御ポリシーから、前記アクセス制御リストを生成して制御装置に送信するポリシー管理装置と、を備えている。
すなわち、本実施形態に係る通信システムは、
フローを特定するための照合規則と該照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って受信パケットを処理し、受信パケットによって検出されたホストおよびネットワーク資源の接続または切断情報をそれらホストおよびネットワーク資源のアドレス情報を伴って制御装置に通知する複数の転送ノードと、
転送ノードに接続されたホストやホストの使用者であるユーザを認証する認証装置と、
前記認証に成功したホストおよびネットワーク資源について検出された接続または切断情報をトリガおよび情報源として、アクセス権限に関する情報を生成して制御装置に提供するポリシー管理装置と、
転送ノードから収集されたホストおよびネットワーク資源に関する接続または切断情報を前記ポリシー管理装置に通知するとともに、前記ポリシー管理装置から受信したアクセス権限に関する情報に基づいて、前記認証に成功したホストと前記ホストがアクセス可能な資源との間の経路を生成し、該経路上の転送ノードに処理規則を設定する制御装置と、を備えている。
フローを特定するための照合規則と該照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って受信パケットを処理し、受信パケットによって検出されたホストおよびネットワーク資源の接続または切断情報をそれらホストおよびネットワーク資源のアドレス情報を伴って制御装置に通知する複数の転送ノードと、
転送ノードに接続されたホストやホストの使用者であるユーザを認証する認証装置と、
前記認証に成功したホストおよびネットワーク資源について検出された接続または切断情報をトリガおよび情報源として、アクセス権限に関する情報を生成して制御装置に提供するポリシー管理装置と、
転送ノードから収集されたホストおよびネットワーク資源に関する接続または切断情報を前記ポリシー管理装置に通知するとともに、前記ポリシー管理装置から受信したアクセス権限に関する情報に基づいて、前記認証に成功したホストと前記ホストがアクセス可能な資源との間の経路を生成し、該経路上の転送ノードに処理規則を設定する制御装置と、を備えている。
かかる通信システムによると、全く別の機能として存在する、ホストやネットワーク資源等の機器に関するネットワーク制御に必要な管理機能と、ユーザの識別に必要な管理機能とを、簡便かつ自然に繋ぐ方法を提供することができる。したがって、機器が大量に存在し接続状態が頻繁に変化する場合や、ユーザが大量に存在し接続状態が頻繁に変化する場合においても、それら別用途の管理機能そのものを、ポリシーから生成されるACL情報の更新のトリガとして利用するとともに更新すべき情報の取得元として利用することで、両者を繋いで新たなアクセス元・アクセス先の指定方法を提供し、管理者や個々のユーザがアクセス制御ポリシーを多大な手間をかけて更新することなく、リアルタイムにアクセス制御を更新することが可能となる。
また、本発明によれば、企業等のシステムにおけるネットワークアクセス制御において、各ユーザが、拠点等の間を自由に行き来し、用途・目的に応じて自由に、大量のユーザ、大量の機器を対象とし、頻繁に変化するアクセス制御範囲に追随したアクセス制御を行う場合に、管理者や各ユーザに多大な手間をかけることなく、抽象的なアクセス元・アクセス先の指定が可能なアクセス制御ポリシーを記載するだけで、適切なアクセス制御が実施できるシステムを構築することができる。
なお、上記の特許文献等の先行技術文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素(各請求項の各要素、各実施形態の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし、選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。
100、100A〜100C ホスト
200、200A〜200C 転送ノード
300 制御装置
301 トポロジ情報記憶部
310、310A〜310C 認証装置
320 ポリシー管理装置
321 アクセス制御ポリシー記憶部
322 リソース情報記憶部
323 認証情報紐付け手段
324 トポロジ情報紐付け手段
600、600A〜600C ネットワーク資源
200、200A〜200C 転送ノード
300 制御装置
301 トポロジ情報記憶部
310、310A〜310C 認証装置
320 ポリシー管理装置
321 アクセス制御ポリシー記憶部
322 リソース情報記憶部
323 認証情報紐付け手段
324 トポロジ情報紐付け手段
600、600A〜600C ネットワーク資源
Claims (15)
- 処理規則に従ってパケットを処理する複数の転送ノードと、
前記複数の転送ノードを制御する制御装置と、
前記複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、
アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける第1の紐付け手段、および/または、アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける第2の紐付け手段を有し、転送ノードの識別子、および/または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するポリシー管理装置と、を備え、
前記複数の転送ノードは、それぞれ、自身に接続されたホストの識別子と自身の識別子との組を前記ポリシー管理装置に送信し、
前記認証装置は、前記複数の転送ノードのいずれかに接続されたホストの識別子とユーザの識別子との組を前記ポリシー管理装置に送信し、
前記ポリシー管理装置は、前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容をアクセス制御リストとして前記制御装置に通知し、
前記制御装置は、前記アクセス制御リストに応じて前記処理規則を生成して、前記複数の転送ノードに設定する、通信システム。 - 前記処理規則は、処理対象パケットを特定するための照合規則と、該照合規則に適合するパケットに適用する処理内容とを対応付けたものである、請求項1に記載の通信システム。
- 前記複数の転送ノードは、それぞれ、自身に接続されたホストの識別子と自身の識別子との組を、前記制御装置を経由して前記ポリシー管理装置に送信する、請求項1または2に記載の通信システム。
- 前記制御装置は、前記複数の転送ノードのいずれかに接続されたホストの識別子と該転送ノードの識別子との組をトポロジ情報として保持し、前記アクセス制御リストに応じたパケットの処理規則を該トポロジ情報に基づいて生成する、請求項3に記載の通信システム。
- 前記アクセス制御ポリシーは、アクセス制御対象のホストを特定するために、所定の場所に設置された転送ノードの識別子のリストを含む、請求項1ないし4のいずれか1項に記載の通信システム。
- 前記アクセス制御ポリシーは、アクセス制御対象のホストを特定するために、所定の所属、所定の勤務地、所定の権限階層、および、所定の担当プロジェクトのうちの少なくともいずれかに該当するユーザの識別子のリストを含む、請求項1ないし4のいずれか1項に記載の通信システム。
- 処理規則に従ってパケットを処理する複数の転送ノードと、アクセス制御リストに応じて該処理規則を生成して該複数の転送ノードに設定する制御装置と、該複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、を備えた通信システムにおけるポリシー管理装置であって、
アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける第1の紐付け手段、および/または、アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける第2の紐付け手段と、
転送ノードの識別子、および/または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するアクセス制御ポリシー記憶部と、を備え、
前記複数の転送ノードのそれぞれから、自身に接続されたホストの識別子と自身の識別子との組を受信し、
前記複数の転送ノードのいずれかに接続されたホストの識別子とユーザの識別子との組を前記認証装置から受信し、
前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容を前記アクセス制御リストとして前記制御装置に通知する、ポリシー管理装置。 - 複数の転送ノードと、該複数の転送ノードを制御する制御装置と、該複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、転送ノードの識別子、および/または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するポリシー管理装置と、を備えた通信システムにおける通信方法であって、
前記複数の転送ノードが、それぞれ、自身に接続されたホストの識別子と自身の識別子との組を前記ポリシー管理装置に送信する工程と、
前記認証装置が、前記複数の転送ノードのいずれか接続されたホストの識別子とユーザの識別子との組を前記ポリシー管理装置に送信する工程と、
前記ポリシー管理装置が、アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける工程、および/または、
アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける工程と、
前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容をアクセス制御リストとして前記制御装置に通知する工程と、
前記制御装置が、前記アクセス制御リストに応じてパケットの処理規則を生成して、前記複数の転送ノードに設定する工程と、
前記複数の転送ノードが前記処理規則に従ってパケットを処理する工程と、を含む、通信方法。 - 前記処理規則は、処理対象パケットを特定するための照合規則と、該照合規則に適合するパケットに適用する処理内容とを対応付けたものである、請求項8に記載の通信方法。
- 前記複数の転送ノードは、それぞれ、自身に接続されたホストの識別子と自身の識別子との組を、前記制御装置を経由して前記ポリシー管理装置に送信する、請求項8または9に記載の通信方法。
- 前記制御装置は、前記複数の転送ノードのいずれかに接続されたホストの識別子と該転送ノードの識別子との組をトポロジ情報として保持し、前記アクセス制御リストに応じたパケットの処理規則を該トポロジ情報に基づいて生成する、請求項10に記載の通信方法。
- 前記アクセス制御ポリシーは、アクセス制御対象のホストを特定するために、所定の場所に設置された転送ノードの識別子のリストを含む、請求項8ないし11のいずれか1項に記載の通信方法。
- 前記アクセス制御ポリシーは、アクセス制御対象のホストを特定するために、所定の所属、所定の勤務地、所定の権限階層、および、所定の担当プロジェクトのうちの少なくともいずれかに該当するユーザの識別子のリストを含む、請求項8ないし11のいずれか1項に記載の通信方法。
- 処理規則に従ってパケットを処理する複数の転送ノードと、アクセス制御リストに応じて該処理規則を生成して該複数の転送ノードに設定する制御装置と、該複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、を備えた通信システムにおいて、転送ノードの識別子、および/または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するポリシー管理装置が、
アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける工程、および/または、
アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける工程と、
前記複数の転送ノードのそれぞれから、自身に接続されたホストの識別子と自身の識別子との組を受信する工程と、
前記複数の転送ノードのいずれかに接続されたホストの識別子とユーザの識別子との組を前記認証装置から受信する工程と、
前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容を前記アクセス制御リストとして前記制御装置に通知する工程と、を含む、通信方法。 - 処理規則に従ってパケットを処理する複数の転送ノードと、アクセス制御リストに応じて該処理規則を生成して該複数の転送ノードに設定する制御装置と、該複数の転送ノードのいずれかに接続されたホストを使用するユーザを認証する認証装置と、を備えた通信システムにおいて、転送ノードの識別子、および/または、ユーザの識別子を用いてアクセス制御対象のホストを特定するアクセス制御ポリシーを保持するポリシー管理装置に設けられたコンピュータに対して、
アクセス制御対象のホストの識別子とホストが接続された転送ノードの識別子とを紐付ける処理、および/または、
アクセス制御対象のホストの識別子とホストを使用するユーザの識別子とを紐付ける処理と、
前記複数の転送ノードのそれぞれから、自身に接続されたホストの識別子と自身の識別子との組を受信する処理と、
前記複数の転送ノードのいずれかに接続されたホストの識別子とユーザの識別子との組を前記認証装置から受信する処理と、
前記アクセス制御ポリシーを参照し、前記複数の転送ノードにいずれかに接続されたホストがアクセス制御対象である場合には、アクセス制御の内容を前記アクセス制御リストとして前記制御装置に通知する処理と、を実行させる、プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013511449A JP5288081B1 (ja) | 2011-09-20 | 2012-09-14 | 通信システム、ポリシー管理装置、通信方法およびプログラム |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011204487 | 2011-09-20 | ||
| JP2011204487 | 2011-09-20 | ||
| JP2013511449A JP5288081B1 (ja) | 2011-09-20 | 2012-09-14 | 通信システム、ポリシー管理装置、通信方法およびプログラム |
| PCT/JP2012/073711 WO2013042634A1 (ja) | 2011-09-20 | 2012-09-14 | 通信システム、ポリシー管理装置、通信方法およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP5288081B1 true JP5288081B1 (ja) | 2013-09-11 |
| JPWO2013042634A1 JPWO2013042634A1 (ja) | 2015-03-26 |
Family
ID=47914401
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013511449A Expired - Fee Related JP5288081B1 (ja) | 2011-09-20 | 2012-09-14 | 通信システム、ポリシー管理装置、通信方法およびプログラム |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8681803B2 (ja) |
| EP (1) | EP2760167A4 (ja) |
| JP (1) | JP5288081B1 (ja) |
| CN (1) | CN103119902B (ja) |
| SG (1) | SG2014006886A (ja) |
| WO (1) | WO2013042634A1 (ja) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9215611B2 (en) * | 2011-04-18 | 2015-12-15 | Nec Corporation | Terminal, control device, communication method, communication system, communication module, program, and information processing device |
| EP3002916B1 (en) * | 2013-06-26 | 2017-08-16 | Huawei Technologies Co., Ltd. | Packet forwarding system, device and method |
| CN103491129B (zh) * | 2013-07-05 | 2017-07-14 | 华为技术有限公司 | 一种业务节点配置方法、业务节点池注册器及系统 |
| WO2015022908A1 (ja) * | 2013-08-12 | 2015-02-19 | 日本電気株式会社 | ストレージ提供システム、ストレージ選択装置、ストレージ提供方法及びプログラム |
| US9544331B2 (en) * | 2013-10-31 | 2017-01-10 | Aruba Networks, Inc. | Method and system for controlling access to shared devices |
| JP6008412B1 (ja) * | 2015-07-07 | 2016-10-19 | Necプラットフォームズ株式会社 | 通信制御装置、通話制御方法及び通話制御プログラム |
| CN107294856B (zh) * | 2016-03-31 | 2020-01-21 | 华为技术有限公司 | 确定拓扑变化的方法、设备及系统 |
| JP6830161B2 (ja) * | 2017-09-21 | 2021-02-17 | 日本電信電話株式会社 | アクセス管理装置、アクセス管理方法、及びプログラム |
| JP7024290B2 (ja) * | 2017-09-29 | 2022-02-24 | 日本電気株式会社 | 無線通信システム、基地局、無線通信方法、およびプログラム |
| US11206262B2 (en) * | 2019-06-12 | 2021-12-21 | International Business Machines Corporation | Policy-based triggering of revision of access control information |
| US12107900B2 (en) * | 2021-03-16 | 2024-10-01 | International Business Machines Corporation | Revision of access control system triggered by policies based on risks and/or countermeasures thereof |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004062417A (ja) * | 2002-07-26 | 2004-02-26 | Nippon Telegr & Teleph Corp <Ntt> | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 |
| JP2010541426A (ja) * | 2007-09-26 | 2010-12-24 | ニシラ・ネットワークス | ネットワークを管理する及び安全にするためのネットワークオペレーティングシステム |
| WO2011081104A1 (ja) * | 2010-01-04 | 2011-07-07 | 日本電気株式会社 | 通信システム、認証装置、制御サーバ、通信方法およびプログラム |
| WO2012086816A1 (ja) * | 2010-12-24 | 2012-06-28 | 日本電気株式会社 | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6088451A (en) * | 1996-06-28 | 2000-07-11 | Mci Communications Corporation | Security system and method for network element access |
| US7225263B1 (en) * | 2002-12-04 | 2007-05-29 | Cisco Technology, Inc. | Method and apparatus for retrieving access control information |
| US20080189769A1 (en) | 2007-02-01 | 2008-08-07 | Martin Casado | Secure network switching infrastructure |
| CN101568164B (zh) * | 2009-06-08 | 2011-01-05 | 北京邮电大学 | 一种Ad hoc网络机会路由的实现方法 |
| CN101945432B (zh) * | 2010-09-16 | 2016-11-23 | 北京邮电大学 | 一种用于无线mesh网络的多速率机会路由方法 |
| KR101528825B1 (ko) * | 2011-04-18 | 2015-06-15 | 닛본 덴끼 가부시끼가이샤 | 단말, 제어 장치, 통신 방법, 통신 시스템, 통신 모듈, 프로그램 및 정보 처리 장치 |
-
2012
- 2012-09-14 US US13/822,547 patent/US8681803B2/en not_active Expired - Fee Related
- 2012-09-14 EP EP12833098.2A patent/EP2760167A4/en not_active Withdrawn
- 2012-09-14 SG SG2014006886A patent/SG2014006886A/en unknown
- 2012-09-14 CN CN201280002891.3A patent/CN103119902B/zh not_active Expired - Fee Related
- 2012-09-14 JP JP2013511449A patent/JP5288081B1/ja not_active Expired - Fee Related
- 2012-09-14 WO PCT/JP2012/073711 patent/WO2013042634A1/ja active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004062417A (ja) * | 2002-07-26 | 2004-02-26 | Nippon Telegr & Teleph Corp <Ntt> | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 |
| JP2010541426A (ja) * | 2007-09-26 | 2010-12-24 | ニシラ・ネットワークス | ネットワークを管理する及び安全にするためのネットワークオペレーティングシステム |
| WO2011081104A1 (ja) * | 2010-01-04 | 2011-07-07 | 日本電気株式会社 | 通信システム、認証装置、制御サーバ、通信方法およびプログラム |
| WO2012086816A1 (ja) * | 2010-12-24 | 2012-06-28 | 日本電気株式会社 | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013042634A1 (ja) | 2013-03-28 |
| CN103119902B (zh) | 2014-03-26 |
| SG2014006886A (en) | 2014-04-28 |
| CN103119902A (zh) | 2013-05-22 |
| JPWO2013042634A1 (ja) | 2015-03-26 |
| EP2760167A1 (en) | 2014-07-30 |
| EP2760167A4 (en) | 2015-09-09 |
| US20130195112A1 (en) | 2013-08-01 |
| US8681803B2 (en) | 2014-03-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5288081B1 (ja) | 通信システム、ポリシー管理装置、通信方法およびプログラム | |
| JP5862577B2 (ja) | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム | |
| JP5811179B2 (ja) | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム | |
| JP5811171B2 (ja) | 通信システム、データベース、制御装置、通信方法およびプログラム | |
| KR101685471B1 (ko) | 단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체, 및 정보 처리 디바이스 | |
| US20180191614A1 (en) | Communication system, control apparatus, communication apparatus, communication control method, and program | |
| JP6337947B2 (ja) | ネットワーク管理サービスシステム、制御装置、方法およびプログラム | |
| JP2014516215A (ja) | 通信システム、制御装置、処理規則設定方法およびプログラム | |
| JP2013236400A (ja) | 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置 | |
| JPWO2012141086A1 (ja) | コンピュータシステム、コントローラ、及びネットワークアクセスポリシ制御方法 | |
| JP6424820B2 (ja) | 機器管理システム、機器管理方法及びプログラム | |
| JP5440740B2 (ja) | 通信システム、制御装置、通信方法及びプログラム | |
| CN103814556A (zh) | 通信终端、通信方法、通信系统和控制设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130507 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130520 |
|
| LAPS | Cancellation because of no payment of annual fees |