WO2012086816A1 - 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム - Google Patents

Abstract

　本発明は、簡便な構成で各ユーザに与えられたアクセス権限に応じたきめ細かなアクセス制御を実現する。通信システムは、フローを特定するための照合規則と、前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、ユーザに付与されるロールと、各ロールに設定されたアクセス権限とを対応付けたアクセス制御ポリシ記憶部を備え、認証に成功したユーザのロールに対応するアクセス権限に関する情報を制御装置に提供するポリシ管理装置と、前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記認証に成功したユーザの端末と、前記ユーザがアクセス可能な資源との間の経路を作成し、該経路上の転送ノードに、処理規則を設定する制御装置と、を含む。

Description

通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム

　（関連出願についての記載）
　本発明は、日本国特許出願：特願２０１０－２８７９０８号（２０１０年１２月２４日出願）の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。

　本発明は、通信システム、制御装置、ポリシ管理装置、通信方法およびプログラムに関し、特に、ネットワークに配置された転送ノードによりパケットを転送して通信を実現する通信システム、ノード、制御サーバ、通信方法およびプログラムに関する。

　近年、オープンフロー（ＯｐｅｎＦｌｏｗ）という技術が提案されている（特許文献１、非特許文献１、２参照）。オープンフローは、通信をエンドツーエンドのフローとして捉え、フロー単位で経路制御、障害回復、負荷分散、最適化を行うものである。非特許文献２に仕様化されているオープンフロースイッチは、制御装置と位置付けられるオープンフローコントローラとの通信用のセキュアチャネルを備え、オープンフローコントローラから適宜追加または書き換え指示されるフローテーブルに従って動作する。フローテーブルには、フロー毎に、パケットヘッダと照合するマッチングルール（ヘッダフィールド）と、フロー統計情報（Ｃｏｕｎｔｅｒｓ）と、処理内容を定義したアクション（Ａｃｔｉｏｎｓ）と、の組が定義される（図１２参照）。

　例えば、オープンフロースイッチは、パケットを受信すると、フローテーブルから、受信パケットのヘッダ情報に適合するマッチングルール（図１２のヘッダフィールド参照）を持つエントリを検索する。検索の結果、受信パケットに適合するエントリが見つかった場合、オープンフロースイッチは、フロー統計情報（カウンタ）を更新するとともに、受信パケットに対して、当該エントリのアクションフィールドに記述された処理内容（指定ポートからのパケット送信、フラッディング、廃棄等）を実施する。一方、前記検索の結果、受信パケットに適合するエントリが見つからなかった場合、オープンフロースイッチは、セキュアチャネルを介して、オープンフローコントローラに対して受信パケットを転送し、受信パケットの送信元・送信先に基づいたパケットの経路の決定を依頼し、これを実現するフローエントリを受け取ってフローテーブルを更新する。このように、オープンフロースイッチは、フローテーブルに格納されたエントリを処理規則として用いてパケット転送を行っている。

国際公開第２００８／０９５０１０号

Ｎｉｃｋ　ＭｃＫｅｏｗｎほか７名、"ＯｐｅｎＦｌｏｗ：　Ｅｎａｂｌｉｎｇ　Ｉｎｎｏｖａｔｉｏｎ　ｉｎ　Ｃａｍｐｕｓ　Ｎｅｔｗｏｒｋｓ"、［ｏｎｌｉｎｅ］、［平成２２(2010)年１２月１日検索］、インターネット〈ＵＲＬ：ｈｔｔｐ：／／ｗｗｗ．ｏｐｅｎｆｌｏｗｓｗｉｔｃｈ．ｏｒｇ／／ｄｏｃｕｍｅｎｔｓ／ｏｐｅｎｆｌｏｗ－ｗｐ－ｌａｔｅｓｔ．ｐｄｆ〉 "ＯｐｅｎＦｌｏｗ　Ｓｗｉｔｃｈ　Ｓｐｅｃｉｆｉｃａｔｉｏｎ"　Ｖｅｒｓｉｏｎ　１．０．０．　（Ｗｉｒｅ　Ｐｒｏｔｏｃｏｌ　０ｘ０１）　［平成２２(2010)年１２月１日検索］、インターネット〈ＵＲＬ：ｈｔｔｐ：／／ｗｗｗ．ｏｐｅｎｆｌｏｗｓｗｉｔｃｈ．ｏｒｇ／ｄｏｃｕｍｅｎｔｓ／ｏｐｅｎｆｌｏｗ－ｓｐｅｃ－ｖ１．０．０．ｐｄｆ〉

　　上記の特許文献及び非特許文献の各開示を、本書に引用をもって繰り込むものとする。以下の分析は、本発明によって与えられたものである。

　特許文献１のオープンフローコントローラは、新規フロー発生時にポリシファイルを参照してパーミッションチェックを行ない、その後に、経路を計算することによりアクセス制御を行っている（特許文献１の［００５２］参照）。このため、特許文献１の構成では、端末ベースでアクセス制御を行うに止まり、ユーザベースでアクセス制御を行うことができないという問題点がある。例えば、同一端末を複数のユーザが共用するようなケースにおいて、一方のユーザに、あるネットワーク資源へのアクセスを許容してしまうと、後に同一端末を使用する他のユーザも当該ネットワーク資源にアクセスできてしまうといった不都合が生じうる。

　また、既存のユーザ認証装置等による認証結果をオープンフローコントローラに提供し、ユーザベースのアクセス制御を行う方法も考えられるが、オープンフローコントローラでは、当該認証に成功したユーザに如何なるアクセス権限が与えられているのかを把握していないため、ユーザ毎に定められたポリシ等に即したきめ細かなアクセス制御をなしえないという問題点もある。また仮に、オープンフローコントローラにユーザ毎のアクセス権限情報を保持させた場合には、そのためのリソースや負荷の問題、多数のユーザのアクセス権限の管理の問題が生じてしまう。

　本発明は、上記した事情に鑑みてなされたものであって、その目的とするところは、上記オープンフローのような制御装置が転送ノードを集中制御する通信システムにおいて、簡便な構成で、各ユーザに与えられたアクセス権限に応じたきめ細かなアクセス制御を行いうる通信システム、制御装置、ポリシ管理装置、通信方法およびプログラムを提供することにある。

　本発明の第１の視点によれば、フローを特定するための照合規則と、前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、ユーザに付与されるロールと、各ロールに設定されたアクセス権限とを対応付けたアクセス制御ポリシ記憶部を備え、認証に成功したユーザのロールに対応するアクセス権限に関する情報を制御装置に提供するポリシ管理装置と、前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記認証に成功したユーザの端末と、前記ユーザがアクセス可能な資源との間の経路を作成し、該経路上の転送ノードに、処理規則を設定する制御装置と、を含む通信システムが提供される。

　本発明の第２の視点によれば、フローを特定するための照合規則と前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、ユーザに付与されるロールと各ロールに設定されたアクセス権限とを対応付けたアクセス制御ポリシ記憶部を備え、認証に成功したユーザのロールに対応するアクセス権限に関する情報を制御装置に提供するポリシ管理装置と、に接続され、前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記認証に成功したユーザの端末と、前記ユーザがアクセス可能な資源との間の経路を作成し、該経路上の転送ノードに、処理規則を設定する制御装置が提供される。

　本発明の第３の視点によれば、上記した制御装置に対し、認証に成功したユーザのロールに対応するアクセス権限に関する情報を提供するポリシ管理装置が提供される。

　本発明の第４の視点によれば、フローを特定するための照合規則と前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、ユーザに付与されるロールと各ロールに設定されたアクセス権限とを対応付けたアクセス制御ポリシ記憶部を備え、認証に成功したユーザのロールに対応するアクセス権限に関する情報を制御装置に提供するポリシ管理装置と、接続された制御装置が、前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記認証に成功したユーザの端末と、前記ユーザがアクセス可能な資源との間の経路を作成するステップと、前記経路上の転送ノードに、処理規則を設定するステップと、を含む通信方法が提供される。本方法は、受信パケットを処理する複数の転送ノードを制御する制御装置という、特定の機械に結びつけられている。

　本発明の第５の視点によれば、フローを特定するための照合規則と前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、ユーザに付与されるロールと各ロールに設定されたアクセス権限とを対応付けたアクセス制御ポリシ記憶部を備え、認証に成功したユーザのロールに対応するアクセス権限に関する情報を制御装置に提供するポリシ管理装置と、接続された制御装置を構成するコンピュータに、前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記認証に成功したユーザの端末と、前記ユーザがアクセス可能な資源との間の経路を作成する処理と、前記経路上の転送ノードに、処理規則を設定する処理と、を実行させるプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。

　本発明によれば、フローベースの経路制御だけでなく、各ユーザに与えられたロールベースのきめ細かなアクセス制御を行うことが可能となる。

本発明の概要を説明する図である。 本発明の第１の実施形態の通信システムの構成を表した図である。 本発明の第１の実施形態の認証装置に保持される認証情報の一例である。 本発明の第１の実施形態のアクセス制御ポリシ記憶部に格納されるポリシ情報の一例である。 本発明の第１の実施形態のリソース情報記憶部に格納されるリソース情報の一例である。 本発明の第１の実施形態のポリシ管理装置から制御装置に保持されるアクセスコントロールリストの一例である。 本発明の第１の実施形態の制御装置の構成を表わしたブロック図である。 本発明の第１の実施形態の一連の動作を表したシーケンス図である。 本発明の第１の実施形態の構成によるアクセス制御の一例を説明するための図である。 本発明の第１の実施形態の構成によるアクセス制御の別の一例を説明するための図である。 本発明の第１の実施形態の構成によるアクセス制御の別の一例を説明するための図である。 非特許文献２に記載のフローエントリの構成を表した図である。

　はじめに本発明の一実施形態の概要について図面を参照して説明する。本発明は、図１に示したように、その一実施形態において、フローを特定するための照合規則と、前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノード２００Ａ、２００Ｂと、ポリシ管理装置３２０と、転送ノード２００Ａ、２００Ｂに有効期限付きの処理規則を設定する制御装置３００と、により実現できる。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。

　より具体的には、ポリシ管理装置３２０は、ユーザに付与されるロールと、各ロールに設定されたアクセス権限とを対応付けたアクセス制御ポリシ記憶部３２１を備え、認証装置３１０等から提供される認証結果に基づき、認証に成功したユーザのロールに対応するアクセス権限に関する情報を制御装置３００に提供する。制御装置３００は、このポリシ管理装置３２０から受信したアクセス権限に関する情報に基づいて、前記認証に成功したユーザの端末１００と、ユーザがアクセス可能なネットワーク資源６００との間の経路を作成し、該経路上の転送ノードに、処理規則を設定する。

　以上により、ユーザに与えられたロールに応じ、アクセス可能なネットワーク資源６００を判別し、さらに、フロー毎に経路を設定してアクセスを行わせることが可能になる。なお、処理規則には、有効期限を設け、転送ノード２００Ａ、２００Ｂに設定されてから、または、最後に照合規則に適合するパケットを受信してから、前記有効期限が経過した場合に、当該処理規則を削除するようにしてもよい。

　また、ユーザが認証に失敗した場合、認証に成功したがユーザがそのロールを超えた資源へのアクセスを試みた場合、制御装置３００に、前記経路の始点側（図１の転送ノード２００Ａ）に、これら権限範囲外の資源へのアクセスを試みるパケットを破棄する処理規則が設定させることが望ましい。これにより、制御装置３００の負荷を低減することが可能になる。

［第１の実施形態］
　続いて、本発明の第１の実施形態について図面を参照して詳細に説明する。図２は、本発明の第１の実施形態の通信システムの構成を表した図である。図２を参照すると、複数の転送ノード２００Ａ、２００Ｂ、２００Ｃと、これら転送ノードと処理規則を設定する制御装置３００と、制御装置３００にアクセスコントロールリスト情報（ＡＣＬ情報）を提供するポリシ管理装置３２０と、ポリシ管理装置３２０に認証結果を示す認証情報を提供する認証装置３１０と、が示されている。

　転送ノード２００Ａ、２００Ｂ、２００Ｃは、フローを特定するための照合規則と前記照合規則に適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理するスイッチング装置である。このような転送ノード２００Ａ、２００Ｂ、２００Ｃとしては、図１２に示すフローエントリを処理規則として動作する非特許文献２のオープンフロースイッチを用いることもできる。また、本実施形態では、転送ノード２００Ａは、東京本社に配置され、東京本社のユーザ端末１００Ａから業務サーバ６００Ａ、管理ツール６００Ｂへのパケットを受け付けるものとする。同様に、転送ノード２００Ｂは、大阪支社に配置され、大阪支社のユーザ端末１００Ｂから業務サーバ６００Ａ、管理ツール６００Ｂへのパケットを受け付けるものとする。

　また、前記転送ノード２００Ｃには、業務サーバ６００Ａと、管理ツール６００Ｂとが接続されている。業務サーバ６００Ａは、東京本社や大阪支社のユーザが日常の業務に用いるサービスを提供するサーバである。管理ツール６００Ｂは、これら業務サーバの設定やアクセス制御ポリシ記憶部３２１やリソース情報記憶部３２２に保持されている情報を管理するための管理ツールを提供する。以下の説明では、業務サーバ６００Ａには、リソースグループＩＤとしてｒｅｓｏｕｒｃｅ＿ｇｒｏｕｐ＿０００１が与えられ、管理ツール６００Ｂには、リソースグループＩＤとしてｒｅｓｏｕｒｃｅ＿ｇｒｏｕｐ＿０００２が与えられているものとする。

　認証装置３１０は、パスワードや生体認証情報等を用いてユーザ端末１００Ａ、１００Ｂとユーザ認証手続を行なう認証サーバ等である。認証装置３１０は、ポリシ管理装置３２０にユーザ端末１００Ａ、１００Ｂとのユーザ認証手続の結果を示す認証情報を送信する。

　図３は、本実施形態の認証装置３１０に保持される認証情報の一例である。例えば、ユーザＩＤがｕｓｅｒ１であるユーザの認証に成功した場合、認証装置３１０は、ポリシ管理装置３２０に対し、ｕｓｅｒ１、ＩＰアドレス：１９２．１６８．１００．１、ＭＡＣアドレス：００－００－００－４４－５５－６６という属性、ロールＩＤ：ｒｏｌｅ＿０００１というｕｓｅｒ１のエントリを認証情報として送信する。同様に、ユーザＩＤがｕｓｅｒ２であるユーザの認証に成功した場合、ポリシ管理装置３２０に対し、ｕｓｅｒ２、ＩＰアドレス：１９２．１６８．１００．２、ＭＡＣアドレス：００－００－００－７７－８８－９９という属性、ロールＩＤ：ｒｏｌｅ＿０００２というｕｓｅｒ２のエントリを認証情報として送信する。また、ユーザ認証に失敗した場合、認証装置３１０は、ポリシ管理装置３２０に該当する属性を持つユーザ端末の認証に失敗したことを示す認証情報を送信するようにしてもよい。また、転送ノード２００Ａ～２００Ｃに、未知のフローについてパケット破棄を行う処理規則が設定されている場合には、失敗時に認証情報の送信を省略することも可能である。

　ポリシ管理装置３２０は、アクセス制御ポリシ記憶部３２１、リソース情報記憶部３２２と接続され、認証装置３１０から受信した認証情報に対応するアクセスコントロールリスト情報（ＡＣＬ情報）を作成し、制御装置３００に送信する装置である。

　図４は、アクセス制御ポリシ記憶部３２１に格納されるポリシ情報の一例である。図４の例では、ロールＩＤにて識別されるロール毎に、リソースのグループに与えられたリソースグループＩＤと、アクセス権限を設定したポリシ情報が示されている。例えば、ロールＩＤ：ｒｏｌｅ＿０００１を持つユーザは、リソースグループＩＤ：ｒｅｓｏｕｒｃｅ＿ｇｒｏｕｐ＿０００１、ｒｅｓｏｕｒｃｅ＿ｇｒｏｕｐ＿０００２の双方へのアクセスが許可されている。他方、ロールＩＤ：ｒｏｌｅ＿０００２のユーザは、リソースグループＩＤ：ｒｅｓｏｕｒｃｅ＿ｇｒｏｕｐ＿０００１へのアクセスは禁止され、ｒｅｓｏｕｒｃｅ＿ｇｒｏｕｐ＿０００２へのアクセスが許可されている。

　図５は、リソース情報記憶部３２２に格納されるリソース情報の一例である。図５の例では、上記したリソースグループＩＤに属するリソースのリソースＩＤやその詳細属性を対応付けた内容となっている。例えば、リソースグループＩＤ：ｒｅｓｏｕｒｃｅ＿ｇｒｏｕｐ＿０００１で特定されるグループには、ｒｅｓｏｕｒｃｅ＿０００１、ｒｅｓｏｕｒｃｅ＿０００２、ｒｅｓｏｕｒｃｅ＿０００３を持つリソースが含まれ、それぞれのＩＰアドレスやＭＡＣアドレスやサービスに利用するポート番号などを特定できるようになっている。

　上記のようなポリシ情報およびリソース情報を参照して、ポリシ管理装置３２０は、認証装置３１０にて認証を受けたユーザのアクセスコントロールリスト情報（ＡＣＬ情報）を制御装置３００に提供する。具体的には、認証装置３１０から受信した認証情報に含まれるロールＩＤにて、図４のポリシ情報から該当するロールＩＤに紐付けられたリソースグループＩＤとそのアクセス権限の内容を特定することができる。そして、図５のリソース情報からリソースグループＩＤに属するリソースの情報を用いてアクセスコントロールリスト情報（ＡＣＬ情報）を作成する。また、認証装置３１０からユーザ端末の認証に失敗したことを示す認証情報を受信している場合、ポリシ管理装置３２０は、制御装置３００に、前記経路の始点側（図１の転送ノード２００Ａ）に、各リソースグループへのアクセスを禁止する内容のアクセスコントロールリスト情報（ＡＣＬ情報）を作成する。

　図６は、図３、図４、図５に示した情報から作成されるユーザＩＤ：ｕｓｅｒ１を持つユーザのアクセスコントロールリスト情報（ＡＣＬ情報）である。図６の送信元フィールドには、図３の認証情報のユーザＩＤ：ｕｓｅｒ１の属性情報の値が設定されている。また、宛先フィールドには、図４のポリシ情報のロールＩＤ：ｒｏｌｅ＿０００１の内容を元に図５のリソース情報から抽出したリソース属性が設定されている。また、アクセス権限フィールドには、図４のポリシ情報のロールＩＤ：ｒｏｌｅ＿０００１のアクセス権限と同じ値が設定されている。また、条件（オプション）フィールドには、図５のリソース情報のリソース属性フィールドに設定されていたサービスとポート番号が設定されている。

　制御装置３００は、上記のようなアクセスコントロールリスト情報（ＡＣＬ情報）を実現する処理規則を作成し、転送ノード２００Ａ～２００Ｃに設定する。

　図７は、本実施形態の制御装置３００の詳細構成を表したブロック図である。図７を参照すると、制御装置３００は、転送ノード２００Ａ～２００Ｃとの通信を行うノード通信部１１と、制御メッセージ処理部１２と、処理規則管理部１３と、処理規則記憶部１４と、転送ノード管理部１５と、処理規則作成部１６と、トポロジ管理部１７と、端末位置管理部１８と、ＡＣＬ情報管理部１９と、ＡＣＬ情報記憶部２０と、を備えて構成される。これらはそれぞれ次のように動作する。

　制御メッセージ処理部１２は、転送ノードから受信した制御メッセージを解析して、制御装置３００内の該当する処理手段に制御メッセージ情報を引き渡す。

　処理規則管理部１３は、どの転送ノードにどのような処理規則が設定されているかを管理する。具体的には、処理規則作成部１６にて作成された処理規則を処理規則記憶部１４に登録し、転送ノードに設定すると共に、転送ノードからの処理規則削除通知などにより、転送ノードにて設定された処理規則に変更が生じた場合にも対応して処理規則記憶部１４の登録情報をアップデートする。

　転送ノード管理部１５は、制御装置３００によって制御されている転送ノードの能力（例えば、ポートの数や種類、サポートするアクションの種類など）を管理する。

　処理規則作成部１６は、ＡＣＬ情報管理部１９からアクセスコントロールリスト情報（ＡＣＬ情報）を受信すると、その内容に基づいた経路を作成し、当該経路を実現する処理規則を作成する。具体的には、処理規則作成部１６は、端末位置管理部１８にて管理されている通信端末の位置情報とトポロジ管理部１７にて構築されたネットワークトポロジ情報に基づいて、ユーザ端末からアクセス権を有しているリソースへのパケットの転送経路を計算する。次に、処理規則作成部１６は、転送ノード管理部１５から、前記転送経路上の転送ノードのポート情報等を取得して、前記計算した転送経路を実現するために経路上の転送ノードに実行させるアクションと、当該アクションを適用するフローを特定するための照合規則を求める。なお、前記照合規則は、図６のアクセスコントロールリスト情報（ＡＣＬ情報）の送信元ＩＰアドレス、宛先ＩＰアドレス、条件（オプション）等を用いて作成することができる。従って、図６のアクセスコントロールリスト情報（ＡＣＬ情報）の１番目のエントリの場合、送信元ＩＰアドレス１９２．１６８．１００．１から宛先ＩＰアドレス１９２．１６８．０．１に宛てられたパケットを次ホップとなる転送ノード２００Ｃや業務サーバ６００Ａ、管理ツール６００Ｂが接続されたポートから転送させるアクションを定めた各処理規則が作成される。

　また、アクセス権を有していないリソースには、処理規則作成部１６は、端末位置管理部１８にて管理されているユーザ端末の位置情報に基づいて、当該ユーザ端末が接続している転送ノードに、当該ユーザ端末からアクセス権を有していないリソースへのパケットを廃棄するアクションと照合規則を定めた処理規則を作成する。

　トポロジ管理部１７は、ノード通信部１１を介して収集された転送ノード２００Ａ～２００Ｃの接続関係に基づいてネットワークトポロジ情報を構築する。

　端末位置管理部１８は、通信システムに接続しているユーザ端末の位置を特定するための情報を管理する。本実施形態では、ユーザ端末を識別する情報としてＩＰアドレスを、ユーザ端末の位置を特定するための情報として、ユーザ端末が接続している転送ノードの転送ノード識別子とそのポートの情報を使用するものとして説明する。もちろん、これらの情報に代えて、例えば、認証装置３１０からもたらされる情報等を用いて、端末とその位置を特定するものとしても良い。

　ＡＣＬ情報管理部１９は、ポリシ管理装置３２０からアクセスコントロールリスト情報（ＡＣＬ情報）を受信すると、ＡＣＬ情報記憶部２０に格納するとともに、処理規則作成部１６に送信する。

　以上のような制御装置３００は、非特許文献１、２のオープンフローコントローラをベースに、上記したアクセスコントロールリスト情報（ＡＣＬ情報）の受信を契機とした処理規則（フローエントリ）の作成機能を追加することでも実現できる。

　また、図３に示した制御装置３００の各部（処理手段）は、制御装置３００を構成するコンピュータに、そのハードウェアを用いて、上記した各情報を記憶し、上記した各処理を実行させるコンピュータプログラムにより実現することもできる。

　続いて、本実施形態の動作について図面を参照して詳細に説明する。図８の本実施形態の一連の動作を表したシーケンス図である。図８を参照すると、まず。ユーザ端末が、認証装置３１０にログイン要求すると（図８のＳ００１）、認証装置３１０は、ユーザ認証を行なう（図８のＳ００２）。

　認証装置３１０がポリシ管理装置３２０に認証情報を送信すると（図８のＳ００３）、ポリシ管理装置は、受信した認証情報に基づいてアクセス制御ポリシ記憶部３２１、リソース情報記憶部３２２を参照し、アクセスコントロールリスト情報（ＡＣＬ情報）を作成し（図８のＳ００４）、制御装置３００に送信する（図８のＳ００５）。

　制御装置３００は、前記アクセスコントロールリスト情報（ＡＣＬ情報）を確認し、その内容を実現する経路計算を行い、各転送ノードにおけるパケット処理内容を定めた処理規則を作成する（図８のＳ００６）。

　制御装置３００が経路上の転送ノードに処理規則を設定すると（図８のＳ００７）、ユーザ端末と業務サーバ間の通信が可能となる（図８の「通信開始」）。

　以上のように、ポリシ情報に基づいて作成したアクセスコントロールリスト情報（ＡＣＬ情報）を制御装置３００に提供し、これに基づいた処理規則を作成するようにすることで、例えば、図９に示すように、管理者と一般従業員について、ロールＩＤ：ｒｏｌｅ＿０００１、ロールＩＤ：ｒｏｌｅ＿０００２を持つ２つのロールＩＤを管理するだけで的確なアクセス制御を行うことが可能となる。

　また、図４に示したポリシ情報に、アクセスを許容する位置情報フィールドを追加することにより、図１０に示すように、ロールＩＤ：ｒｏｌｅ＿０００１を持つ管理者が東京本社からアクセスする場合は、業務サーバ、管理ツールの双方へのアクセスを許容するが、出張等により大阪支社からアクセスする場合は、管理ツールへのアクセスを制限するなどといった位置に応じたアクセス制限も実現することができる。もちろん、大阪支社からアクセスを全面的に禁じることも可能であり、これらは、管理ツール６００Ｂ経由で、ポリシ情報の該当するロールＩＤのエントリを書き換えるだけで簡単に変更することができる。

　また、図４に示したポリシ情報に、アクセスを許容する位置情報フィールドや期間情報、時間情報フィールドを追加することにより、制御装置３００に位置や期間・時間を考慮した処理規則の設定を行わせることもできる。例えば、図１０に示すように、大阪支社の転送ノード２００Ｂには、管理ツール６００Ｂへのパケットを廃棄する処理規則を設定することで、ロールＩＤ：ｒｏｌｅ＿０００１を持つ管理者が東京本社からアクセスする場合は、業務サーバ、管理ツールの双方へのアクセスを許容するが、出張等により大阪支社からアクセスする場合は、管理ツールへのアクセスを制限するなどといった位置に応じたアクセス制限も実現することができる。もちろん、大阪支社からアクセスを全面的に禁じることも可能であり、これらは、管理ツール６００Ｂ経由で、ポリシ情報の該当するロールＩＤのエントリを書き換えるだけで簡単に変更することができる。

　また例えば、図１１に示すように、大阪支社の転送ノード２００Ｂを始点とする経路上の転送ノードに、一般従業員のユーザ端末から業務サーバ６００Ａへのアクセスを許容する処理規則を設定することで、ロールＩＤ：ｒｏｌｅ＿０００２を持つ一般従業員が出張等により大阪支社からアクセスすることを許容することもできる。このような制御も、管理ツール６００Ｂ経由で、ポリシ情報の該当するロールＩＤのエントリを書き換えるだけで簡単に変更することができる。

　同様に、制御装置３００が所定の時間間隔でポリシ情報を参照して処理規則を更新することにより、ロール毎に、ある期間（例えば、２０１１／０４／０１～２０１１／０６／０１）や、ある時間帯（例えば、１０：００～１７：３０）においては、管理ツール６００Ｂへのアクセスを許容し、それ以外の期間や時間においては、管理ツール６００Ｂへのアクセスを制限するといったアクセス制限を掛けることもできる。また、上記した位置、時間、期間を組み合わせたアクセス制限を実施することも可能である。

　以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、上記した各実施形態では、制御装置３００、認証装置３１０、ポリシ管理装置３２０、アクセス制御ポリシ記憶部３２１、リソース情報記憶部３２２をそれぞれ独立して設けるものとして説明したが、これらを適宜統合した構成も採用可能である。

　また、上記した実施形態では、アクセスコントロールリスト情報（ＡＣＬ情報）の受信を契機に制御装置３００がアクセスコントロールリスト情報（ＡＣＬ情報）に定められた内容を実現する処理規則を設定するものとして説明したが、フローが発生し、最初のパケットを受信した転送ノードから処理規則の設定要求を受けたことを契機に制御装置３００が処理規則を作成・設定するようにしてもよい。このようにすれば、個々の転送ノードに設定する処理規則の数を抑えることが可能になる。

　また、上記した実施形態では、ユーザ端末１００Ａ、１００Ｂが認証装置３１０に直接認証手続を行うものとして説明したが、認証手続に係る認証用パケットを転送ノード経由で認証装置に転送し、認証手続を実施する構成も採用可能である。例えば、ユーザ端末１００Ａ、１００Ｂに接続された転送ノードに、認証用パケットを特定する照合規則と当該パケットを認証装置３１０に転送するアクションを定めた処理規則を設定することで実現することが可能である。同様に、認証装置３１０、ポリシ管理装置３２０、制御装置３００間で授受される情報も、転送ノード間に経路を設定し、これらを転送する処理規則を設定することでやり取りすることが可能である。

　最後に、本発明の好ましい形態を要約する。

［形態１］
　前記第１の視点に記載の情報システムのとおり。

［形態２］
　前記制御装置は、
　前記ポリシ管理装置から受信したアクセス権限に関する情報を保持しておき、
　前記ユーザの端末から受信したパケットに関する前記転送ノードからの前記処理規則の設定要求の受信を契機に、前記経路の作成と、処理規則の設定を行うことが好ましい。

［形態３］
　前記制御装置は、前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記転送ノードに、前記ユーザの端末からのアクセスが禁じられた資源へのパケットを廃棄させる処理規則を設定することが好ましい。

［形態４］
　前記アクセス権限に関する情報には、前記ユーザの端末の位置に応じたアクセス権限が含まれており、
　前記制御装置は、
　前記転送ノードから受信した処理規則の設定要求に含まれる情報から特定した前記ユーザの端末の位置と、前記ユーザの端末の位置に応じたアクセス権限とに基づいて、前記処理規則を設定することが好ましい。

［形態５］
　前記第２の視点に記載の制御装置のとおり。

［形態６］
　前記制御装置は、
　前記ポリシ管理装置から受信したアクセス権限に関する情報を保持しておき、
　前記ユーザの端末から受信したパケットに関する前記転送ノードからの前記処理規則の設定要求の受信を契機に、前記経路の作成と、処理規則の設定を行うことが好ましい。

［形態７］
　前記制御装置は、
　前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記転送ノードに、前記ユーザの端末からのアクセスが禁じられた資源へのパケットを廃棄させる処理規則を設定することが好ましい。

［形態８］
　前記ポリシ管理装置から受信するアクセス権限に関する情報には、前記ユーザの端末の位置に応じたアクセス権限が含まれており、
　前記制御装置は、
　前記転送ノードから受信した処理規則の設定要求に含まれる情報から特定した前記ユーザの端末の位置と、前記ユーザの端末の位置に応じたアクセス権限とに基づいて、前記処理規則を設定することが好ましい。

［形態９］
　前記第３の視点に記載のポリシ管理装置のとおり。

［形態１０］
　前記第４の視点に記載の通信方法のとおり。

［形態１１］
　前記第５の視点に記載のプログラムのとおり。

　なお、通信方法およびプログラムは、形態１の情報システムと同様に、それぞれの構成要素ないしステップについて、形態２～形態４と同様に展開することが可能である。

　なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素（各請求項の各要素、各実施形態の各要素、各図面の各要素等を含む）の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。

　１１　ノード通信部
　１２　制御メッセージ処理部
　１３　処理規則管理部
　１４　処理規則記憶部
　１５　転送ノード管理部
　１６　処理規則作成部
　１７　トポロジ管理部
　１８　端末位置管理部
　１９　ＡＣＬ情報管理部
　２０　ＡＣＬ情報記憶部
　１００Ａ、１００Ｂ　ユーザ端末
　２００Ａ～２００Ｃ　転送ノード
　３００　制御装置
　３１０　認証装置
　３２０　ポリシ管理装置
　３２１　アクセス制御ポリシ記憶部
　３２２　リソース情報記憶部
　６００　ネットワーク資源
　６００Ａ　業務サーバ
　６００Ｂ　管理ツール

Claims (11)

1. 　フローを特定するための照合規則と、前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、
   　ユーザに付与されるロールと、各ロールに設定されたアクセス権限とを対応付けたアクセス制御ポリシ記憶部を備え、認証に成功したユーザのロールに対応するアクセス権限に関する情報を制御装置に提供するポリシ管理装置と、
   　前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記認証に成功したユーザの端末と、前記ユーザがアクセス可能な資源との間の経路を作成し、該経路上の転送ノードに、処理規則を設定する制御装置と、
   　を含む通信システム。
2. 　前記制御装置は、
   　前記ポリシ管理装置から受信したアクセス権限に関する情報を保持しておき、
   　前記ユーザの端末から受信したパケットに関する前記転送ノードからの前記処理規則の設定要求の受信を契機に、前記経路の作成と、処理規則の設定を行う請求項１の通信システム。
3. 　前記制御装置は、前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記転送ノードに、前記ユーザの端末からのアクセスが禁じられた資源へのパケットを廃棄させる処理規則を設定する請求項１または２の通信システム。
4. 　前記アクセス権限に関する情報には、前記ユーザの端末の位置に応じたアクセス権限が含まれており、
   　前記制御装置は、
   　前記転送ノードから受信した処理規則の設定要求に含まれる情報から特定した前記ユーザの端末の位置と、前記ユーザの端末の位置に応じたアクセス権限とに基づいて、前記処理規則を設定する請求項１から３いずれか一の通信システム。
5. 　フローを特定するための照合規則と前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、ユーザに付与されるロールと各ロールに設定されたアクセス権限とを対応付けたアクセス制御ポリシ記憶部を備え、認証に成功したユーザのロールに対応するアクセス権限に関する情報を制御装置に提供するポリシ管理装置と、接続され、
   　前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記認証に成功したユーザの端末と、前記ユーザがアクセス可能な資源との間の経路を作成し、該経路上の転送ノードに、処理規則を設定する制御装置。
6. 　前記ポリシ管理装置から受信したアクセス権限に関する情報を保持しておき、
   　前記ユーザの端末から受信したパケットに関する前記転送ノードからの前記処理規則の設定要求の受信を契機に、前記経路の作成と、処理規則の設定を行う請求項５の制御装置。
7. 　前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記転送ノードに、前記ユーザの端末からのアクセスが禁じられた資源へのパケットを廃棄させる処理規則を設定する請求項５または６の制御装置。
8. 　前記ポリシ管理装置から受信するアクセス権限に関する情報には、前記ユーザの端末の位置に応じたアクセス権限が含まれており、
   　前記転送ノードから受信した処理規則の設定要求に含まれる情報から特定した前記ユーザの端末の位置と、前記ユーザの端末の位置に応じたアクセス権限とに基づいて、前記処理規則を設定する請求項５から７いずれか一の制御装置。
9. 　請求項５から８いずれか一の制御装置に対し、認証に成功したユーザのロールに対応するアクセス権限に関する情報を提供するポリシ管理装置。
10. 　フローを特定するための照合規則と前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、ユーザに付与されるロールと各ロールに設定されたアクセス権限とを対応付けたアクセス制御ポリシ記憶部を備え、認証に成功したユーザのロールに対応するアクセス権限に関する情報を制御装置に提供するポリシ管理装置と、接続された制御装置が、
    　前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記認証に成功したユーザの端末と、前記ユーザがアクセス可能な資源との間の経路を作成するステップと、
    　前記経路上の転送ノードに、処理規則を設定するステップと、を含む通信方法。
11. 　フローを特定するための照合規則と前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、ユーザに付与されるロールと各ロールに設定されたアクセス権限とを対応付けたアクセス制御ポリシ記憶部を備え、認証に成功したユーザのロールに対応するアクセス権限に関する情報を制御装置に提供するポリシ管理装置と、接続された制御装置を構成するコンピュータに、
    　前記ポリシ管理装置から受信したアクセス権限に関する情報に基づいて、前記認証に成功したユーザの端末と、前記ユーザがアクセス可能な資源との間の経路を作成する処理と、
    　前記経路上の転送ノードに、処理規則を設定する処理と、を実行させるプログラム。

Images