[go: up one dir, main page]

JP5862577B2 - 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム - Google Patents

通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム Download PDF

Info

Publication number
JP5862577B2
JP5862577B2 JP2012549898A JP2012549898A JP5862577B2 JP 5862577 B2 JP5862577 B2 JP 5862577B2 JP 2012549898 A JP2012549898 A JP 2012549898A JP 2012549898 A JP2012549898 A JP 2012549898A JP 5862577 B2 JP5862577 B2 JP 5862577B2
Authority
JP
Japan
Prior art keywords
information
user
access
access authority
processing rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012549898A
Other languages
English (en)
Other versions
JPWO2012086816A1 (ja
Inventor
山形 昌也
昌也 山形
中江 政行
政行 中江
陽一郎 森田
陽一郎 森田
英之 下西
英之 下西
健太郎 園田
健太郎 園田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2012549898A priority Critical patent/JP5862577B2/ja
Publication of JPWO2012086816A1 publication Critical patent/JPWO2012086816A1/ja
Application granted granted Critical
Publication of JP5862577B2 publication Critical patent/JP5862577B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/40Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/80Actions related to the user profile or the type of traffic
    • H04L47/808User-type aware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

(関連出願についての記載)
本発明は、日本国特許出願:特願2010−287908号(2010年12月24日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は、通信システム、制御装置、ポリシ管理装置、通信方法およびプログラムに関し、特に、ネットワークに配置された転送ノードによりパケットを転送して通信を実現する通信システム、ノード、制御サーバ、通信方法およびプログラムに関する。
近年、オープンフロー(OpenFlow)という技術が提案されている(特許文献1、非特許文献1、2参照)。オープンフローは、通信をエンドツーエンドのフローとして捉え、フロー単位で経路制御、障害回復、負荷分散、最適化を行うものである。非特許文献2に仕様化されているオープンフロースイッチは、制御装置と位置付けられるオープンフローコントローラとの通信用のセキュアチャネルを備え、オープンフローコントローラから適宜追加または書き換え指示されるフローテーブルに従って動作する。フローテーブルには、フロー毎に、パケットヘッダと照合するマッチングルール(ヘッダフィールド)と、フロー統計情報(Counters)と、処理内容を定義したアクション(Actions)と、の組が定義される(図12参照)。
例えば、オープンフロースイッチは、パケットを受信すると、フローテーブルから、受信パケットのヘッダ情報に適合するマッチングルール(図12のヘッダフィールド参照)を持つエントリを検索する。検索の結果、受信パケットに適合するエントリが見つかった場合、オープンフロースイッチは、フロー統計情報(カウンタ)を更新するとともに、受信パケットに対して、当該エントリのアクションフィールドに記述された処理内容(指定ポートからのパケット送信、フラッディング、廃棄等)を実施する。一方、前記検索の結果、受信パケットに適合するエントリが見つからなかった場合、オープンフロースイッチは、セキュアチャネルを介して、オープンフローコントローラに対して受信パケットを転送し、受信パケットの送信元・送信先に基づいたパケットの経路の決定を依頼し、これを実現するフローエントリを受け取ってフローテーブルを更新する。このように、オープンフロースイッチは、フローテーブルに格納されたエントリを処理規則として用いてパケット転送を行っている。
国際公開第2008/095010号
Nick McKeownほか7名、"OpenFlow: Enabling Innovation in Campus Networks"、[online]、[平成22(2010)年12月1日検索]、インターネット〈URL:http://www.openflowswitch.org//documents/openflow−wp−latest.pdf〉 "OpenFlow Switch Specification" Version 1.0.0. (Wire Protocol 0x01) [平成22(2010)年12月1日検索]、インターネット〈URL:http://www.openflowswitch.org/documents/openflow−spec−v1.0.0.pdf〉
上記の特許文献及び非特許文献の各開示を、本書に引用をもって繰り込むものとする。以下の分析は、本発明によって与えられたものである。
特許文献1のオープンフローコントローラは、新規フロー発生時にポリシファイルを参照してパーミッションチェックを行ない、その後に、経路を計算することによりアクセス制御を行っている(特許文献1の[0052]参照)。このため、特許文献1の構成では、端末ベースでアクセス制御を行うに止まり、ユーザベースでアクセス制御を行うことができないという問題点がある。例えば、同一端末を複数のユーザが共用するようなケースにおいて、一方のユーザに、あるネットワーク資源へのアクセスを許容してしまうと、後に同一端末を使用する他のユーザも当該ネットワーク資源にアクセスできてしまうといった不都合が生じうる。
また、既存のユーザ認証装置等による認証結果をオープンフローコントローラに提供し、ユーザベースのアクセス制御を行う方法も考えられるが、オープンフローコントローラでは、当該認証に成功したユーザに如何なるアクセス権限が与えられているのかを把握していないため、ユーザ毎に定められたポリシ等に即したきめ細かなアクセス制御をなしえないという問題点もある。また仮に、オープンフローコントローラにユーザ毎のアクセス権限情報を保持させた場合には、そのためのリソースや負荷の問題、多数のユーザのアクセス権限の管理の問題が生じてしまう。
本発明は、上記した事情に鑑みてなされたものであって、その目的とするところは、上記オープンフローのような制御装置が転送ノードを集中制御する通信システムにおいて、簡便な構成で、各ユーザに与えられたアクセス権限に応じたきめ細かなアクセス制御を行いうる通信システム、制御装置、ポリシ管理装置、通信方法およびプログラムを提供することにある。
本発明の第1の視点によれば、フローを特定するための照合規則と、前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、ユーザに付与されるロールと、各ロールに設定されたアクセス権限とを対応付けたアクセス制御ポリシ記憶部を備え、認証に成功したユーザのロールに対応するアクセス権限に関する情報を制御装置に提供するポリシ管理装置と、前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記認証に成功したユーザの端末と、前記ユーザがアクセス可能な資源との間の経路を作成し、該経路上の転送ノードに、処理規則を設定する制御装置と、を含む通信システムが提供される。
本発明の第2の視点によれば、フローを特定するための照合規則と前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、ユーザに付与されるロールと各ロールに設定されたアクセス権限とを対応付けたアクセス制御ポリシ記憶部を備え、認証に成功したユーザのロールに対応するアクセス権限に関する情報を制御装置に提供するポリシ管理装置と、に接続され、前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記認証に成功したユーザの端末と、前記ユーザがアクセス可能な資源との間の経路を作成し、該経路上の転送ノードに、処理規則を設定する制御装置が提供される。
本発明の第3の視点によれば、上記した制御装置に対し、認証に成功したユーザのロールに対応するアクセス権限に関する情報を提供するポリシ管理装置が提供される。
本発明の第4の視点によれば、フローを特定するための照合規則と前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、ユーザに付与されるロールと各ロールに設定されたアクセス権限とを対応付けたアクセス制御ポリシ記憶部を備え、認証に成功したユーザのロールに対応するアクセス権限に関する情報を制御装置に提供するポリシ管理装置と、接続された制御装置が、前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記認証に成功したユーザの端末と、前記ユーザがアクセス可能な資源との間の経路を作成するステップと、前記経路上の転送ノードに、処理規則を設定するステップと、を含む通信方法が提供される。本方法は、受信パケットを処理する複数の転送ノードを制御する制御装置という、特定の機械に結びつけられている。
本発明の第5の視点によれば、フローを特定するための照合規則と前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、ユーザに付与されるロールと各ロールに設定されたアクセス権限とを対応付けたアクセス制御ポリシ記憶部を備え、認証に成功したユーザのロールに対応するアクセス権限に関する情報を制御装置に提供するポリシ管理装置と、接続された制御装置を構成するコンピュータに、前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記認証に成功したユーザの端末と、前記ユーザがアクセス可能な資源との間の経路を作成する処理と、前記経路上の転送ノードに、処理規則を設定する処理と、を実行させるプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。
本発明によれば、フローベースの経路制御だけでなく、各ユーザに与えられたロールベースのきめ細かなアクセス制御を行うことが可能となる。
本発明の概要を説明する図である。 本発明の第1の実施形態の通信システムの構成を表した図である。 本発明の第1の実施形態の認証装置に保持される認証情報の一例である。 本発明の第1の実施形態のアクセス制御ポリシ記憶部に格納されるポリシ情報の一例である。 本発明の第1の実施形態のリソース情報記憶部に格納されるリソース情報の一例である。 本発明の第1の実施形態のポリシ管理装置から制御装置に保持されるアクセスコントロールリストの一例である。 本発明の第1の実施形態の制御装置の構成を表わしたブロック図である。 本発明の第1の実施形態の一連の動作を表したシーケンス図である。 本発明の第1の実施形態の構成によるアクセス制御の一例を説明するための図である。 本発明の第1の実施形態の構成によるアクセス制御の別の一例を説明するための図である。 本発明の第1の実施形態の構成によるアクセス制御の別の一例を説明するための図である。 非特許文献2に記載のフローエントリの構成を表した図である。
はじめに本発明の一実施形態の概要について図面を参照して説明する。本発明は、図1に示したように、その一実施形態において、フローを特定するための照合規則と、前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノード200A、200Bと、ポリシ管理装置320と、転送ノード200A、200Bに有効期限付きの処理規則を設定する制御装置300と、により実現できる。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。
より具体的には、ポリシ管理装置320は、ユーザに付与されるロールと、各ロールに設定されたアクセス権限とを対応付けたアクセス制御ポリシ記憶部321を備え、認証装置310等から提供される認証結果に基づき、認証に成功したユーザのロールに対応するアクセス権限に関する情報を制御装置300に提供する。制御装置300は、このポリシ管理装置320から受信したアクセス権限に関する情報に基づいて、前記認証に成功したユーザの端末100と、ユーザがアクセス可能なネットワーク資源600との間の経路を作成し、該経路上の転送ノードに、処理規則を設定する。
以上により、ユーザに与えられたロールに応じ、アクセス可能なネットワーク資源600を判別し、さらに、フロー毎に経路を設定してアクセスを行わせることが可能になる。なお、処理規則には、有効期限を設け、転送ノード200A、200Bに設定されてから、または、最後に照合規則に適合するパケットを受信してから、前記有効期限が経過した場合に、当該処理規則を削除するようにしてもよい。
また、ユーザが認証に失敗した場合、認証に成功したがユーザがそのロールを超えた資源へのアクセスを試みた場合、制御装置300に、前記経路の始点側(図1の転送ノード200A)に、これら権限範囲外の資源へのアクセスを試みるパケットを破棄する処理規則が設定させることが望ましい。これにより、制御装置300の負荷を低減することが可能になる。
[第1の実施形態]
続いて、本発明の第1の実施形態について図面を参照して詳細に説明する。図2は、本発明の第1の実施形態の通信システムの構成を表した図である。図2を参照すると、複数の転送ノード200A、200B、200Cと、これら転送ノードと処理規則を設定する制御装置300と、制御装置300にアクセスコントロールリスト情報(ACL情報)を提供するポリシ管理装置320と、ポリシ管理装置320に認証結果を示す認証情報を提供する認証装置310と、が示されている。
転送ノード200A、200B、200Cは、フローを特定するための照合規則と前記照合規則に適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理するスイッチング装置である。このような転送ノード200A、200B、200Cとしては、図12に示すフローエントリを処理規則として動作する非特許文献2のオープンフロースイッチを用いることもできる。また、本実施形態では、転送ノード200Aは、東京本社に配置され、東京本社のユーザ端末100Aから業務サーバ600A、管理ツール600Bへのパケットを受け付けるものとする。同様に、転送ノード200Bは、大阪支社に配置され、大阪支社のユーザ端末100Bから業務サーバ600A、管理ツール600Bへのパケットを受け付けるものとする。
また、前記転送ノード200Cには、業務サーバ600Aと、管理ツール600Bとが接続されている。業務サーバ600Aは、東京本社や大阪支社のユーザが日常の業務に用いるサービスを提供するサーバである。管理ツール600Bは、これら業務サーバの設定やアクセス制御ポリシ記憶部321やリソース情報記憶部322に保持されている情報を管理するための管理ツールを提供する。以下の説明では、業務サーバ600Aには、リソースグループIDとしてresource_group_0001が与えられ、管理ツール600Bには、リソースグループIDとしてresource_group_0002が与えられているものとする。
認証装置310は、パスワードや生体認証情報等を用いてユーザ端末100A、100Bとユーザ認証手続を行なう認証サーバ等である。認証装置310は、ポリシ管理装置320にユーザ端末100A、100Bとのユーザ認証手続の結果を示す認証情報を送信する。
図3は、本実施形態の認証装置310に保持される認証情報の一例である。例えば、ユーザIDがuser1であるユーザの認証に成功した場合、認証装置310は、ポリシ管理装置320に対し、user1、IPアドレス:192.168.100.1、MACアドレス:00−00−00−44−55−66という属性、ロールID:role_0001というuser1のエントリを認証情報として送信する。同様に、ユーザIDがuser2であるユーザの認証に成功した場合、ポリシ管理装置320に対し、user2、IPアドレス:192.168.100.2、MACアドレス:00−00−00−77−88−99という属性、ロールID:role_0002というuser2のエントリを認証情報として送信する。また、ユーザ認証に失敗した場合、認証装置310は、ポリシ管理装置320に該当する属性を持つユーザ端末の認証に失敗したことを示す認証情報を送信するようにしてもよい。また、転送ノード200A〜200Cに、未知のフローについてパケット破棄を行う処理規則が設定されている場合には、失敗時に認証情報の送信を省略することも可能である。
ポリシ管理装置320は、アクセス制御ポリシ記憶部321、リソース情報記憶部322と接続され、認証装置310から受信した認証情報に対応するアクセスコントロールリスト情報(ACL情報)を作成し、制御装置300に送信する装置である。
図4は、アクセス制御ポリシ記憶部321に格納されるポリシ情報の一例である。図4の例では、ロールIDにて識別されるロール毎に、リソースのグループに与えられたリソースグループIDと、アクセス権限を設定したポリシ情報が示されている。例えば、ロールID:role_0001を持つユーザは、リソースグループID:resource_group_0001、resource_group_0002の双方へのアクセスが許可されている。他方、ロールID:role_0002のユーザは、リソースグループID:resource_group_0001へのアクセスは禁止され、resource_group_0002へのアクセスが許可されている。
図5は、リソース情報記憶部322に格納されるリソース情報の一例である。図5の例では、上記したリソースグループIDに属するリソースのリソースIDやその詳細属性を対応付けた内容となっている。例えば、リソースグループID:resource_group_0001で特定されるグループには、resource_0001、resource_0002、resource_0003を持つリソースが含まれ、それぞれのIPアドレスやMACアドレスやサービスに利用するポート番号などを特定できるようになっている。
上記のようなポリシ情報およびリソース情報を参照して、ポリシ管理装置320は、認証装置310にて認証を受けたユーザのアクセスコントロールリスト情報(ACL情報)を制御装置300に提供する。具体的には、認証装置310から受信した認証情報に含まれるロールIDにて、図4のポリシ情報から該当するロールIDに紐付けられたリソースグループIDとそのアクセス権限の内容を特定することができる。そして、図5のリソース情報からリソースグループIDに属するリソースの情報を用いてアクセスコントロールリスト情報(ACL情報)を作成する。また、認証装置310からユーザ端末の認証に失敗したことを示す認証情報を受信している場合、ポリシ管理装置320は、制御装置300に、前記経路の始点側(図1の転送ノード200A)に、各リソースグループへのアクセスを禁止する内容のアクセスコントロールリスト情報(ACL情報)を作成する。
図6は、図3、図4、図5に示した情報から作成されるユーザID:user1を持つユーザのアクセスコントロールリスト情報(ACL情報)である。図6の送信元フィールドには、図3の認証情報のユーザID:user1の属性情報の値が設定されている。また、宛先フィールドには、図4のポリシ情報のロールID:role_0001の内容を元に図5のリソース情報から抽出したリソース属性が設定されている。また、アクセス権限フィールドには、図4のポリシ情報のロールID:role_0001のアクセス権限と同じ値が設定されている。また、条件(オプション)フィールドには、図5のリソース情報のリソース属性フィールドに設定されていたサービスとポート番号が設定されている。
制御装置300は、上記のようなアクセスコントロールリスト情報(ACL情報)を実現する処理規則を作成し、転送ノード200A〜200Cに設定する。
図7は、本実施形態の制御装置300の詳細構成を表したブロック図である。図7を参照すると、制御装置300は、転送ノード200A〜200Cとの通信を行うノード通信部11と、制御メッセージ処理部12と、処理規則管理部13と、処理規則記憶部14と、転送ノード管理部15と、処理規則作成部16と、トポロジ管理部17と、端末位置管理部18と、ACL情報管理部19と、ACL情報記憶部20と、を備えて構成される。これらはそれぞれ次のように動作する。
制御メッセージ処理部12は、転送ノードから受信した制御メッセージを解析して、制御装置300内の該当する処理手段に制御メッセージ情報を引き渡す。
処理規則管理部13は、どの転送ノードにどのような処理規則が設定されているかを管理する。具体的には、処理規則作成部16にて作成された処理規則を処理規則記憶部14に登録し、転送ノードに設定すると共に、転送ノードからの処理規則削除通知などにより、転送ノードにて設定された処理規則に変更が生じた場合にも対応して処理規則記憶部14の登録情報をアップデートする。
転送ノード管理部15は、制御装置300によって制御されている転送ノードの能力(例えば、ポートの数や種類、サポートするアクションの種類など)を管理する。
処理規則作成部16は、ACL情報管理部19からアクセスコントロールリスト情報(ACL情報)を受信すると、その内容に基づいた経路を作成し、当該経路を実現する処理規則を作成する。具体的には、処理規則作成部16は、端末位置管理部18にて管理されている通信端末の位置情報とトポロジ管理部17にて構築されたネットワークトポロジ情報に基づいて、ユーザ端末からアクセス権を有しているリソースへのパケットの転送経路を計算する。次に、処理規則作成部16は、転送ノード管理部15から、前記転送経路上の転送ノードのポート情報等を取得して、前記計算した転送経路を実現するために経路上の転送ノードに実行させるアクションと、当該アクションを適用するフローを特定するための照合規則を求める。なお、前記照合規則は、図6のアクセスコントロールリスト情報(ACL情報)の送信元IPアドレス、宛先IPアドレス、条件(オプション)等を用いて作成することができる。従って、図6のアクセスコントロールリスト情報(ACL情報)の1番目のエントリの場合、送信元IPアドレス192.168.100.1から宛先IPアドレス192.168.0.1に宛てられたパケットを次ホップとなる転送ノード200Cや業務サーバ600A、管理ツール600Bが接続されたポートから転送させるアクションを定めた各処理規則が作成される。
また、アクセス権を有していないリソースには、処理規則作成部16は、端末位置管理部18にて管理されているユーザ端末の位置情報に基づいて、当該ユーザ端末が接続している転送ノードに、当該ユーザ端末からアクセス権を有していないリソースへのパケットを廃棄するアクションと照合規則を定めた処理規則を作成する。
トポロジ管理部17は、ノード通信部11を介して収集された転送ノード200A〜200Cの接続関係に基づいてネットワークトポロジ情報を構築する。
端末位置管理部18は、通信システムに接続しているユーザ端末の位置を特定するための情報を管理する。本実施形態では、ユーザ端末を識別する情報としてIPアドレスを、ユーザ端末の位置を特定するための情報として、ユーザ端末が接続している転送ノードの転送ノード識別子とそのポートの情報を使用するものとして説明する。もちろん、これらの情報に代えて、例えば、認証装置310からもたらされる情報等を用いて、端末とその位置を特定するものとしても良い。
ACL情報管理部19は、ポリシ管理装置320からアクセスコントロールリスト情報(ACL情報)を受信すると、ACL情報記憶部20に格納するとともに、処理規則作成部16に送信する。
以上のような制御装置300は、非特許文献1、2のオープンフローコントローラをベースに、上記したアクセスコントロールリスト情報(ACL情報)の受信を契機とした処理規則(フローエントリ)の作成機能を追加することでも実現できる。
また、図3に示した制御装置300の各部(処理手段)は、制御装置300を構成するコンピュータに、そのハードウェアを用いて、上記した各情報を記憶し、上記した各処理を実行させるコンピュータプログラムにより実現することもできる。
続いて、本実施形態の動作について図面を参照して詳細に説明する。図8の本実施形態の一連の動作を表したシーケンス図である。図8を参照すると、まず。ユーザ端末が、認証装置310にログイン要求すると(図8のS001)、認証装置310は、ユーザ認証を行なう(図8のS002)。
認証装置310がポリシ管理装置320に認証情報を送信すると(図8のS003)、ポリシ管理装置は、受信した認証情報に基づいてアクセス制御ポリシ記憶部321、リソース情報記憶部322を参照し、アクセスコントロールリスト情報(ACL情報)を作成し(図8のS004)、制御装置300に送信する(図8のS005)。
制御装置300は、前記アクセスコントロールリスト情報(ACL情報)を確認し、その内容を実現する経路計算を行い、各転送ノードにおけるパケット処理内容を定めた処理規則を作成する(図8のS006)。
制御装置300が経路上の転送ノードに処理規則を設定すると(図8のS007)、ユーザ端末と業務サーバ間の通信が可能となる(図8の「通信開始」)。
以上のように、ポリシ情報に基づいて作成したアクセスコントロールリスト情報(ACL情報)を制御装置300に提供し、これに基づいた処理規則を作成するようにすることで、例えば、図9に示すように、管理者と一般従業員について、ロールID:role_0001、ロールID:role_0002を持つ2つのロールIDを管理するだけで的確なアクセス制御を行うことが可能となる。
また、図4に示したポリシ情報に、アクセスを許容する位置情報フィールドを追加することにより、図10に示すように、ロールID:role_0001を持つ管理者が東京本社からアクセスする場合は、業務サーバ、管理ツールの双方へのアクセスを許容するが、出張等により大阪支社からアクセスする場合は、管理ツールへのアクセスを制限するなどといった位置に応じたアクセス制限も実現することができる。もちろん、大阪支社からアクセスを全面的に禁じることも可能であり、これらは、管理ツール600B経由で、ポリシ情報の該当するロールIDのエントリを書き換えるだけで簡単に変更することができる。
また、図4に示したポリシ情報に、アクセスを許容する位置情報フィールドや期間情報、時間情報フィールドを追加することにより、制御装置300に位置や期間・時間を考慮した処理規則の設定を行わせることもできる。例えば、図10に示すように、大阪支社の転送ノード200Bには、管理ツール600Bへのパケットを廃棄する処理規則を設定することで、ロールID:role_0001を持つ管理者が東京本社からアクセスする場合は、業務サーバ、管理ツールの双方へのアクセスを許容するが、出張等により大阪支社からアクセスする場合は、管理ツールへのアクセスを制限するなどといった位置に応じたアクセス制限も実現することができる。もちろん、大阪支社からアクセスを全面的に禁じることも可能であり、これらは、管理ツール600B経由で、ポリシ情報の該当するロールIDのエントリを書き換えるだけで簡単に変更することができる。
また例えば、図11に示すように、大阪支社の転送ノード200Bを始点とする経路上の転送ノードに、一般従業員のユーザ端末から業務サーバ600Aへのアクセスを許容する処理規則を設定することで、ロールID:role_0002を持つ一般従業員が出張等により大阪支社からアクセスすることを許容することもできる。このような制御も、管理ツール600B経由で、ポリシ情報の該当するロールIDのエントリを書き換えるだけで簡単に変更することができる。
同様に、制御装置300が所定の時間間隔でポリシ情報を参照して処理規則を更新することにより、ロール毎に、ある期間(例えば、2011/04/01〜2011/06/01)や、ある時間帯(例えば、10:00〜17:30)においては、管理ツール600Bへのアクセスを許容し、それ以外の期間や時間においては、管理ツール600Bへのアクセスを制限するといったアクセス制限を掛けることもできる。また、上記した位置、時間、期間を組み合わせたアクセス制限を実施することも可能である。
以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、上記した各実施形態では、制御装置300、認証装置310、ポリシ管理装置320、アクセス制御ポリシ記憶部321、リソース情報記憶部322をそれぞれ独立して設けるものとして説明したが、これらを適宜統合した構成も採用可能である。
また、上記した実施形態では、アクセスコントロールリスト情報(ACL情報)の受信を契機に制御装置300がアクセスコントロールリスト情報(ACL情報)に定められた内容を実現する処理規則を設定するものとして説明したが、フローが発生し、最初のパケットを受信した転送ノードから処理規則の設定要求を受けたことを契機に制御装置300が処理規則を作成・設定するようにしてもよい。このようにすれば、個々の転送ノードに設定する処理規則の数を抑えることが可能になる。
また、上記した実施形態では、ユーザ端末100A、100Bが認証装置310に直接認証手続を行うものとして説明したが、認証手続に係る認証用パケットを転送ノード経由で認証装置に転送し、認証手続を実施する構成も採用可能である。例えば、ユーザ端末100A、100Bに接続された転送ノードに、認証用パケットを特定する照合規則と当該パケットを認証装置310に転送するアクションを定めた処理規則を設定することで実現することが可能である。同様に、認証装置310、ポリシ管理装置320、制御装置300間で授受される情報も、転送ノード間に経路を設定し、これらを転送する処理規則を設定することでやり取りすることが可能である。
最後に、本発明の好ましい形態を要約する。
[形態1]
前記第1の視点に記載の情報システムのとおり。
[形態2]
前記制御装置は、
前記ポリシ管理装置から受信したアクセス権限に関する情報を保持しておき、
前記ユーザの端末から受信したパケットに関する前記転送ノードからの前記処理規則の設定要求の受信を契機に、前記経路の作成と、処理規則の設定を行うことが好ましい。
[形態3]
前記制御装置は、前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記転送ノードに、前記ユーザの端末からのアクセスが禁じられた資源へのパケットを廃棄させる処理規則を設定することが好ましい。
[形態4]
前記アクセス権限に関する情報には、前記ユーザの端末の位置に応じたアクセス権限が含まれており、
前記制御装置は、
前記転送ノードから受信した処理規則の設定要求に含まれる情報から特定した前記ユーザの端末の位置と、前記ユーザの端末の位置に応じたアクセス権限とに基づいて、前記処理規則を設定することが好ましい。
[形態5]
前記第2の視点に記載の制御装置のとおり。
[形態6]
前記制御装置は、
前記ポリシ管理装置から受信したアクセス権限に関する情報を保持しておき、
前記ユーザの端末から受信したパケットに関する前記転送ノードからの前記処理規則の設定要求の受信を契機に、前記経路の作成と、処理規則の設定を行うことが好ましい。
[形態7]
前記制御装置は、
前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記転送ノードに、前記ユーザの端末からのアクセスが禁じられた資源へのパケットを廃棄させる処理規則を設定することが好ましい。
[形態8]
前記ポリシ管理装置から受信するアクセス権限に関する情報には、前記ユーザの端末の位置に応じたアクセス権限が含まれており、
前記制御装置は、
前記転送ノードから受信した処理規則の設定要求に含まれる情報から特定した前記ユーザの端末の位置と、前記ユーザの端末の位置に応じたアクセス権限とに基づいて、前記処理規則を設定することが好ましい。
[形態9]
前記第3の視点に記載のポリシ管理装置のとおり。
[形態10]
前記第4の視点に記載の通信方法のとおり。
[形態11]
前記第5の視点に記載のプログラムのとおり。
なお、通信方法およびプログラムは、形態1の情報システムと同様に、それぞれの構成要素ないしステップについて、形態2〜形態4と同様に展開することが可能である。
なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素(各請求項の各要素、各実施形態の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。
11 ノード通信部
12 制御メッセージ処理部
13 処理規則管理部
14 処理規則記憶部
15 転送ノード管理部
16 処理規則作成部
17 トポロジ管理部
18 端末位置管理部
19 ACL情報管理部
20 ACL情報記憶部
100A、100B ユーザ端末
200A〜200C 転送ノード
300 制御装置
310 認証装置
320 ポリシ管理装置
321 アクセス制御ポリシ記憶部
322 リソース情報記憶部
600 ネットワーク資源
600A 業務サーバ
600B 管理ツール

Claims (11)

  1. フローを特定するための照合規則と、前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、
    ユーザに付与されるロールと、各ロールに設定されたアクセス権限とを対応付けたアクセス制御ポリシ記憶部を備え、認証に成功したユーザのロールに対応するアクセス権限に関する情報を制御装置に提供するポリシ管理装置と、
    前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記認証に成功したユーザの端末と、前記ユーザがアクセス可能な資源との間の経路を作成し、該経路上の転送ノードに、処理規則を設定する制御装置と、
    を含む通信システム。
  2. 前記制御装置は、
    前記ポリシ管理装置から受信したアクセス権限に関する情報を保持しておき、
    前記ユーザの端末から受信したパケットに関する前記転送ノードからの前記処理規則の設定要求の受信を契機に、前記経路の作成と、処理規則の設定を行う請求項1の通信システム。
  3. 前記制御装置は、前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記転送ノードに、前記ユーザの端末からのアクセスが禁じられた資源へのパケットを廃棄させる処理規則を設定する請求項1または2の通信システム。
  4. 前記アクセス権限に関する情報には、前記ユーザの端末の位置に応じたアクセス権限が含まれており、
    前記制御装置は、
    前記転送ノードから受信した処理規則の設定要求に含まれる情報から特定した前記ユーザの端末の位置と、前記ユーザの端末の位置に応じたアクセス権限とに基づいて、前記処理規則を設定する請求項1から3いずれか一の通信システム。
  5. フローを特定するための照合規則と前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、ユーザに付与されるロールと各ロールに設定されたアクセス権限とを対応付けたアクセス制御ポリシ記憶部を備え、認証に成功したユーザのロールに対応するアクセス権限に関する情報を制御装置に提供するポリシ管理装置と、接続され、
    前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記認証に成功したユーザの端末と、前記ユーザがアクセス可能な資源との間の経路を作成し、該経路上の転送ノードに、処理規則を設定する制御装置。
  6. 前記ポリシ管理装置から受信したアクセス権限に関する情報を保持しておき、
    前記ユーザの端末から受信したパケットに関する前記転送ノードからの前記処理規則の設定要求の受信を契機に、前記経路の作成と、処理規則の設定を行う請求項5の制御装置。
  7. 前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記転送ノードに、前記ユーザの端末からのアクセスが禁じられた資源へのパケットを廃棄させる処理規則を設定する請求項5または6の制御装置。
  8. 前記ポリシ管理装置から受信するアクセス権限に関する情報には、前記ユーザの端末の位置に応じたアクセス権限が含まれており、
    前記転送ノードから受信した処理規則の設定要求に含まれる情報から特定した前記ユーザの端末の位置と、前記ユーザの端末の位置に応じたアクセス権限とに基づいて、前記処理規則を設定する請求項5から7いずれか一の制御装置。
  9. 請求項5から8いずれか一の制御装置に対し、認証に成功したユーザのロールに対応するアクセス権限に関する情報を提供するポリシ管理装置。
  10. フローを特定するための照合規則と前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、ユーザに付与されるロールと各ロールに設定されたアクセス権限とを対応付けたアクセス制御ポリシ記憶部を備え、認証に成功したユーザのロールに対応するアクセス権限に関する情報を制御装置に提供するポリシ管理装置と、接続された制御装置が、
    前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記認証に成功したユーザの端末と、前記ユーザがアクセス可能な資源との間の経路を作成するステップと、
    前記経路上の転送ノードに、処理規則を設定するステップと、を含む通信方法。
  11. フローを特定するための照合規則と前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、ユーザに付与されるロールと各ロールに設定されたアクセス権限とを対応付けたアクセス制御ポリシ記憶部を備え、認証に成功したユーザのロールに対応するアクセス権限に関する情報を制御装置に提供するポリシ管理装置と、接続された制御装置を構成するコンピュータに、
    前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記認証に成功したユーザの端末と、前記ユーザがアクセス可能な資源との間の経路を作成する処理と、
    前記経路上の転送ノードに、処理規則を設定する処理と、を実行させるプログラム。
JP2012549898A 2010-12-24 2011-12-22 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム Active JP5862577B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012549898A JP5862577B2 (ja) 2010-12-24 2011-12-22 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2010287908 2010-12-24
JP2010287908 2010-12-24
JP2012549898A JP5862577B2 (ja) 2010-12-24 2011-12-22 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
PCT/JP2011/079938 WO2012086816A1 (ja) 2010-12-24 2011-12-22 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム

Publications (2)

Publication Number Publication Date
JPWO2012086816A1 JPWO2012086816A1 (ja) 2014-06-05
JP5862577B2 true JP5862577B2 (ja) 2016-02-16

Family

ID=46314081

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012549898A Active JP5862577B2 (ja) 2010-12-24 2011-12-22 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム

Country Status (5)

Country Link
US (1) US9178910B2 (ja)
EP (1) EP2658183A4 (ja)
JP (1) JP5862577B2 (ja)
CN (1) CN103283190A (ja)
WO (1) WO2012086816A1 (ja)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2680506A4 (en) * 2011-02-21 2015-08-12 Nec Corp COMMUNICATION SYSTEM, DATABASE, CONTROL DEVICE, COMMUNICATION PROCESS AND PROGRAM
US9215611B2 (en) 2011-04-18 2015-12-15 Nec Corporation Terminal, control device, communication method, communication system, communication module, program, and information processing device
US8681803B2 (en) 2011-09-20 2014-03-25 Nec Corporation Communication system, policy management apparatus, communication method, and program
WO2014020902A1 (en) * 2012-07-30 2014-02-06 Nec Corporation Communication system, control apparatus, communication method, and program
WO2014034119A1 (en) * 2012-08-30 2014-03-06 Nec Corporation Access control system, access control method, and program
WO2014034036A1 (ja) * 2012-08-31 2014-03-06 日本電気株式会社 ルール分配装置、イベント処理システム、ルール分配方法およびルール分配プログラム
JP2014179860A (ja) * 2013-03-15 2014-09-25 Nec Corp 通信システム
CN103581018B (zh) * 2013-07-26 2017-08-11 北京华为数字技术有限公司 报文发送方法、路由器以及业务交换器
CN104780147B (zh) * 2014-01-14 2019-05-07 新华三技术有限公司 一种byod访问控制的方法及装置
WO2015145976A1 (ja) * 2014-03-28 2015-10-01 日本電気株式会社 通信システム、制御指示装置、制御実施装置、通信制御方法およびプログラムを記憶する記憶媒体
CN105635086B (zh) * 2014-11-19 2020-02-04 中国科学院声学研究所 一种从控制平面和数据平面访问交换机外存的方法
CN106817300A (zh) * 2015-12-01 2017-06-09 阿尔卡特朗讯 在sdn网络中控制及辅助控制用户数据流的方法和装置
US9819699B1 (en) 2016-10-13 2017-11-14 Fortress Cyber Security, LLC Systems and methods for network security memory reduction via distributed rulesets
CN108074116B (zh) * 2016-11-09 2022-02-22 阿里巴巴集团控股有限公司 信息提供方法及装置
US10891370B2 (en) * 2016-11-23 2021-01-12 Blackberry Limited Path-based access control for message-based operating systems
JP6493426B2 (ja) * 2017-02-02 2019-04-03 日本電気株式会社 通信システム、通信制御方法および通信プログラム
JP7095339B2 (ja) * 2018-03-19 2022-07-05 株式会社リコー 情報処理システム、情報処理方法および情報処理プログラム
US10931528B2 (en) * 2018-05-04 2021-02-23 VCE IP Holding Company LLC Layer-based method and system for defining and enforcing policies in an information technology environment
US12058116B2 (en) * 2018-10-25 2024-08-06 Sony Corporation Communication device, communication method, and data structure
CN111787094B (zh) * 2020-06-29 2022-01-28 腾讯科技(深圳)有限公司 数据处理方法、装置、存储介质及设备
CN112383511B (zh) * 2020-10-27 2021-11-26 广州锦行网络科技有限公司 一种流量转发方法及系统
CN114726639B (zh) * 2022-04-24 2023-08-22 国网河南省电力公司信息通信公司 一种访问控制策略自动编排方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004318582A (ja) * 2003-04-17 2004-11-11 Nippon Telegraph & Telephone East Corp ネットワークアクセスシステム及び方法、認証装置、エッジルータ、アクセス制御装置、ならびに、コンピュータプログラム
JP2009135805A (ja) * 2007-11-30 2009-06-18 Fujitsu Ltd 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法
US20100095367A1 (en) * 2008-10-09 2010-04-15 Juniper Networks, Inc. Dynamic access control policy with port restrictions for a network security appliance

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7440573B2 (en) * 2002-10-08 2008-10-21 Broadcom Corporation Enterprise wireless local area network switching system
US7530112B2 (en) * 2003-09-10 2009-05-05 Cisco Technology, Inc. Method and apparatus for providing network security using role-based access control
JP4253569B2 (ja) * 2003-12-03 2009-04-15 株式会社日立コミュニケーションテクノロジー 接続制御システム、接続制御装置、及び接続管理装置
US7526792B2 (en) * 2004-06-09 2009-04-28 Intel Corporation Integration of policy compliance enforcement and device authentication
JP4173866B2 (ja) * 2005-02-21 2008-10-29 富士通株式会社 通信装置
CN100389575C (zh) * 2005-07-13 2008-05-21 华为技术有限公司 一种实现网上设备接入管理的方法
US20070022474A1 (en) * 2005-07-21 2007-01-25 Mistletoe Technologies, Inc. Portable firewall
US8626953B2 (en) * 2006-03-03 2014-01-07 St. Louis University System and method of communicating data for a hospital
US20080189769A1 (en) 2007-02-01 2008-08-07 Martin Casado Secure network switching infrastructure
CN101299660B (zh) * 2007-04-30 2010-12-08 华为技术有限公司 一种执行安全控制的方法、系统及设备
CN104113433B (zh) * 2007-09-26 2018-04-10 Nicira股份有限公司 管理和保护网络的网络操作系统
EP2378458A4 (en) * 2009-02-10 2013-01-09 Nec Corp POLICY MANAGEMENT DEVICE, POLICY MANAGEMENT SYSTEM, AND METHOD AND PROGRAM USED FOR THE DEVICE AND SYSTEM

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004318582A (ja) * 2003-04-17 2004-11-11 Nippon Telegraph & Telephone East Corp ネットワークアクセスシステム及び方法、認証装置、エッジルータ、アクセス制御装置、ならびに、コンピュータプログラム
JP2009135805A (ja) * 2007-11-30 2009-06-18 Fujitsu Ltd 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法
US20100095367A1 (en) * 2008-10-09 2010-04-15 Juniper Networks, Inc. Dynamic access control policy with port restrictions for a network security appliance

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6015036282; Martin Casado et.al.: 'Ethane: Taking Control of the Enterprise' Proceedings of the 2007 conference on Applications, technologies,architectures, and protocols for co Volume 37, Issue 4, 200710, pp.1-12 *

Also Published As

Publication number Publication date
US9178910B2 (en) 2015-11-03
JPWO2012086816A1 (ja) 2014-06-05
EP2658183A4 (en) 2017-06-21
US20130263214A1 (en) 2013-10-03
CN103283190A (zh) 2013-09-04
WO2012086816A1 (ja) 2012-06-28
EP2658183A1 (en) 2013-10-30

Similar Documents

Publication Publication Date Title
JP5862577B2 (ja) 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
JP5811171B2 (ja) 通信システム、データベース、制御装置、通信方法およびプログラム
JP5811179B2 (ja) 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
JP5594410B2 (ja) 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置
JP6028736B2 (ja) 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置
JP5943006B2 (ja) 通信システム、制御装置、通信方法およびプログラム
JP5812108B2 (ja) 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置
JP2014516215A (ja) 通信システム、制御装置、処理規則設定方法およびプログラム
US9935876B2 (en) Communication system, control apparatus, communication apparatus, communication control method, and program
JP5288081B1 (ja) 通信システム、ポリシー管理装置、通信方法およびプログラム
JP2015530763A (ja) アクセス制御システム、アクセス制御方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141110

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150908

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151201

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151214

R150 Certificate of patent or registration of utility model

Ref document number: 5862577

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150