CN103283190A - 通信***、控制装置、策略管理装置、通信方法和程序 - Google Patents
通信***、控制装置、策略管理装置、通信方法和程序 Download PDFInfo
- Publication number
- CN103283190A CN103283190A CN2011800622502A CN201180062250A CN103283190A CN 103283190 A CN103283190 A CN 103283190A CN 2011800622502 A CN2011800622502 A CN 2011800622502A CN 201180062250 A CN201180062250 A CN 201180062250A CN 103283190 A CN103283190 A CN 103283190A
- Authority
- CN
- China
- Prior art keywords
- control device
- management device
- information
- user
- forward node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/80—Actions related to the user profile or the type of traffic
- H04L47/808—User-type aware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明通过简单配置来根据对用户授予的接入权限执行细粒的接入控制。一种通信***包括:多个转发节点,该多个转发节点根据处理规则(分组处理操作)来处理接收到的分组,该处理规则使用于标识流的匹配规则与将应用于符合匹配规则的分组的处理内容相关联;策略管理装置,该策略管理装置设置有使分配给用户的角色与针对每个角色设定的接入权限相关联的接入控制策略存储单元,该策略管理装置向控制装置提供关于与被成功认证的用户的角色相关联的接入权限的信息;以及控制装置,该控制装置基于与从策略管理装置接收到的接入权限相关的信息来创建在被成功认证的用户的终端和用户能够接入的资源之间的路径,并且在讨论中的路径中的转发节点中设定处理规则。
Description
技术领域
(相关申请的交叉引用)
本申请要求(2010年12月24日提交的)日本专利申请No.JP2010-287908的优先权,其内容通过引用整体合并至本说明书中。
本发明涉及通信***、控制装置、策略管理装置、通信方法和程序,并且具体地,涉及通过位于网络中的转发节点来转发分组以实现通信的通信***、节点、控制服务器、通信方法和程序。
背景技术
近来,已经提出了称为开流(OpenFlow)的技术(参见专利文献1和非专利文献1和2)。在开流中,通信被视作端对端流,并且在每个流的基础上执行路径控制、故障恢复、负载平衡和优化。如在非专利文献2中说明的开流交换机设置有用于与定位为控制装置的开流控制器进行通信的安全信道,并且根据流表来进行操作,根据来自开流控制器的指令对该流表添加信息,并且在必要时重写该流表的内容。在流表中,针对每个流定义了下述内容的集合:分组报头与之匹配的匹配规则(报头字段)、流统计信息(计数器)以及定义处理内容的动作(Action)(参见图12)。
例如,当接收到分组时,开流交换机在流表中搜索具有符合接收到的分组的报头信息的匹配规则(参见图12中的报头字段)的条目。如果作为搜索结果找到了符合接收到的分组的条目,则开流交换机更新流统计信息(计数器),并且还针对接收到的分组执行讨论中的条目的动作字段中描述的处理内容(来自指定端口的分组传输、洪泛(flooding)、丢弃等)。另一方面,如果作为搜索的结果没有找到符合接收到的分组的条目,则开流交换机经由安全信道将接收到的分组转发到开流控制器,请求基于接收到的分组的发射源和目的地来确定分组的路径,接收对此进行实施的流条目,并且更新流表。以这种方式,开流交换机使用存储在流表中的条目作为用于执行分组转发的处理规则(分组处理操作)。
引用列表
专利文献
专利文献1:PCT国际公开No.2008/095010
非专利文献
非专利文献1:[2010年12月1日检索到的]Nick McKeown和其他七人的“OpenFlow:Enabling Innovation in Campus Networks”[在线],因特网<URL:http://www.openflowswitch.org//documents/openflow-wp-latest.pdf>
非专利文献2:[2010年12月1日检索到的]“OpenFlow SwitchSpecification”版本1.0.0.(Wire Protocol 0x01),因特网<URL:http://www.openflowswitch.org/documents/openflow-spec-v1.0.0.pdf>
发明内容
技术问题
上述专利文献和非专利文献的相应公开内容通过引用并入本说明书中。根据本发明给出以下分析。
专利文献1的开流控制器在生成新的流时通过参考策略文件来执行许可检查,并且此后通过计算路径来执行接入控制(参见专利文献1的[0052])。结果,存在下述问题:专利文献1的配置在终端的基础上执行接入控制时停止,并且不可能在用户的基础上执行接入控制。例如,在多个用户共享相同终端的情况下,可能的缺点是,当对于一个用户允许对特定网络资源的接入时,此后使用相同终端的另一用户可以接入讨论中的网络资源。
可以考虑一种方法,在该方法中,向开流控制器提供由用户认证装置等做出的现有认证结果,并且基于用户来执行接入控制,但是用开流控制器存在的问题为,因为没有掌握对成功认证的用户授予了何种接入权限,所以不能完成符合基于每个用户确定的策略的具体接入控制。即使在开流控制器中保持了针对每个用户的接入权限信息的情况下,也存在资源及其负载的问题以及对于多个用户的接入权限的管理的问题。
鉴于上述情况而构建本发明,并且本发明的目的在于,相对于如在上述开流中的控制装置执行转发节点的集中控制的通信***,提供一种通过简单配置来根据对各个用户所授予的接入权限执行具体接入控制的通信***、控制装置、策略管理装置、通信方法和程序。
问题的解决方案
根据本发明的第一方面,提供了一种通信***,包括:多个转发节点,该多个转发节点根据处理规则(分组处理操作)来处理接收到的分组,该处理规则使用于标识流的匹配规则与将应用于符合匹配规则的分组的处理内容相关联;策略管理装置,该策略管理装置包括使分配给用户的角色与针对每个角色设定的接入权限相关联的接入控制策略存储单元,该策略管理装置向控制装置提供关于与被成功认证的用户的角色相关联的接入权限的信息;以及控制装置,该控制装置基于与从策略管理装置接收到的接入权限相关的信息来创建在被成功认证的用户的终端和用户能够接入的资源之间的路径,并且在讨论的路径中的转发节点中设定处理规则。
根据本发明的第二方面,提供了一种控制装置,该控制装置连接到多个转发节点和策略管理装置,该多个转发节点根据处理规则(分组处理操作)来处理接收到的分组,该处理规则使用于标识流的匹配规则与将应用于符合匹配规则的分组的处理内容相关联,该策略管理装置包括使分配给用户的角色与针对每个角色设定的接入权限相关联的接入控制策略存储单元,该策略管理装置向控制装置提供关于与被成功认证的用户的角色相关联的接入权限的信息;其中,该控制装置基于与从策略管理装置接收到的接入权限相关的信息来创建在被成功认证的用户的终端和用户能够接入的资源之间的路径,并且在讨论的路径中的转发节点中设定处理规则。
根据本发明的第三方面,提供了一种策略管理装置,该策略管理装置向上述控制装置提供与被成功认证的用户的角色相对应的接入权限相关的信息。
根据本发明的第四方面,提供了一种通信方法,其中,控制装置连接到多个转发节点和策略管理装置,该多个转发节点根据处理规则(分组处理操作)来处理接收到的分组,该处理规则使用于标识流的匹配规则与要应用于符合匹配规则的分组的处理内容相关联,该策略管理装置包括使分配给用户的角色与针对每个角色设定的接入权限相关联的接入控制策略存储单元,该策略管理装置向控制装置提供关于与被成功认证的用户的角色相关联的接入权限的信息;该控制装置执行下述步骤:基于与从策略管理装置接收到的接入权限相关的信息来创建在被成功认证的用户的终端和用户能够接入的资源之间的路径的步骤,以及在讨论的路径中的转发节点中设定处理规则的步骤。该方法与称为控制装置的特定机器相关联,该控制装置控制对接收到的分组进行处理的多个转发节点。
根据本发明的第五方面,提供了一种程序,该程序在构成控制装置的计算机上执行以下定义的过程,该控制装置连接到多个转发节点和策略管理装置,该多个转发节点根据处理规则(分组处理操作)来处理接收到的分组,该处理规则使用于标识流的匹配规则与将应用于符合匹配规则的分组的处理内容相关联,该策略管理装置包括使分配给用户的角色与针对每个角色设定的接入权限相关联的接入控制策略存储单元,该策略管理装置向控制装置提供关于与被成功认证的用户的角色相关联的接入权限的信息:基于与从策略管理装置接收到的接入权限相关的信息来创建在被成功认证的用户的终端和用户能够接入的资源之间的路径的过程,以及在讨论的路径中的转发节点中设定处理规则的过程。该程序被记录在计算机可读存储介质上。即,本发明可以被实施为计算机程序产品。
本发明的有利效果
根据本发明,可以不仅执行基于流的路径控制,还能够执行基于授予相应用户的角色来执行具体的接入控制。
附图说明
图1是描述本发明的概况的示图。
图2是表示本发明的第一示例性实施例的通信***的配置的示图。
图3是在本发明的第一示例性实施例的认证装置中保存的认证信息的示例。
图4是本发明的第一示例性实施例的接入控制策略存储单元中存储的策略信息的示例。
图5是本发明的第一示例性实施例的资源信息存储单元中存储的资源信息的示例。
图6是本发明的第一示例性实施例的来自策略管理装置的保存在控制装置中的接入控制列表的示例。
图7是表示本发明的第一示例性实施例的控制装置的配置的框图。
图8是本发明的第一示例性实施例的操作序列的序列图。
图9是用于描述根据本发明的第一示例性实施例的配置的接入控制的示例的示图。
图10是用于描述根据本发明的第一示例性实施例的配置的接入控制的另一示例的示图。
图11是用于描述根据本发明的第一示例性实施例的配置的接入控制的另一示例的示图。
图12是表示如在非专利文献2中描述的流条目配置的示图。
具体实施方式
首先参考附图来给出关于本发明的示例性实施例的概况的描述。如图1中所示,可以通过多个转发节点200A和200B、策略管理装置320以及控制装置300在本发明的示例性实施例中实现本发明,该多个转发节点200A和200B根据处理规则来对接收到的分组进行处理,该处理规则使用于标识流的匹配规则与将应用于符合匹配规则的分组的处理内容相关联,该控制装置300在转发节点200A和200B中设定具有有效期限的处理规则。应当注意的是,为了方便,附加到本概要的附图中的附图标记被添加至作为示例的相应元件,以便于辅助理解,并且并不旨在将本发明限制为附图中示出的模式。
更具体地,策略管理装置320设置有接入控制策略存储单元321,该接入控制策略存储单元321使分配给用户的角色与针对每个角色设定的接入权限相关联,并且策略管理装置320基于由认证装置310等提供的认证结果来向控制装置提供关于与被成功认证的用户的角色相关联的接入权限的信息。控制装置300基于与从策略管理装置320接收到的接入权限相关的信息来创建在被成功认证的用户的终端100与用户可以接入的网络资源600之间的路径,并且在讨论的路径中的转发节点中设定处理规则。
以该方式,能够根据对用户所赋予的角色来区分可接入的网络资源600,并且此外能够通过设定用于相应流的路径来实现接入。应当注意的是,对于处理规则提供了有效期限,并且从在转发节点200A和200B中设定开始或者从接收到符合匹配规则的分组的最后时间开始已经度过了该有效期限的情况下,可以删除讨论中的处理规则。
在用户认证失败的情况下,在用户认证成功但用户尝试接入超出用户角色的资源的情况下,期望使得控制装置300在路径的起点侧(图1中的转发节点200A)设定丢弃尝试接入其允许范围外的资源的分组的处理规则。以该方式,能够减少控制装置300上的负载。
(第一示例性实施例)
接下来,参考附图给出了关于本发明的第一示例性实施例的详细描述。图2是表示本发明的第一示例性实施例的通信***的配置的示图。图2示出了多个转发节点200A、200B和200C、用这些转发节点设定处理规则的控制装置300、向控制装置300提供接入控制列表信息(ACL信息)的策略管理装置320、以及向策略管理装置320提供指示认证结果的认证信息的认证装置310。
转发节点200A、200B和200C是根据处理规则来对接收到的分组进行处理的交换设备,该处理规则使用于标识流的匹配规则与将应用于符合匹配规则的分组的处理内容相关联。按照处理规则对图12中示出的流条目进行操作的非专利文献2的开流交换机可以用作转发节点200A、200B和200C。在本示例性实施例中,转发节点200A被布置在东京总公司,并且从东京总公司中的用户终端100A接收分组至操作服务器600A和/或管理工具600B。以相同的方式,转发节点200B被布置在大阪分公司,并且从大阪分公司中的用户终端100B接收分组至操作服务器600A和/或管理工具600B。
操作服务器600A和管理工具600B连接到转发节点200C。操作服务器600A是提供由在东京总公司或大阪分公司中的用户日常操作中使用的服务的服务器。管理工具600B提供用于管理操作服务器的设定或者在接入控制策略存储单元321中或资源信息存储单元322中保存的信息的管理工具。在下面的描述中,资源_组_001作为资源组ID被分配给操作服务器600A,并且资源_组_002作为资源组ID被分配给管理工具600B。
认证装置310是认证服务器等,其使用密码、生物统计认证信息等利用用户终端100A和100B来执行用户认证过程。认证装置310向策略管理装置320传送指示利用用户终端100A和/或100B的用户认证过程的结果的认证信息。
图3是第一示例性实施例的认证装置310中保持的认证信息的示例。例如,在对于具有用户1的用户ID的用户的认证成功的情况下,认证装置310向策略管理装置320传送具有下述属性的用户1的条目作为认证信息:用户1、IP地址:192.168.100.1、以及MAC地址00-00-00-44-55-66、以及角色ID:角色_0001。类似地,在对于具有用户2的用户ID的用户的认证成功的情况下,向策略管理装置320传送具有下述属性的用户2的条目作为认证信息:用户2、IP地址:192.168.100.2、以及MAC地址00-00-00-77-88-99、以及角色ID:角色_0002。在用户认证失败的情况下,认证装置310可以向策略管理装置320传送指示具有讨论中的属性的用户终端的认证中的失败的认证信息。在转发节点200A至200C中设定了丢弃用于未知流的分组的处理规则的情况下,当存在失败时,可以省略认证信息的传输。
策略管理装置320是连接到接入控制策略存储单元321和资源信息存储单元322、并且创建与从认证装置310接收到的认证信息相对应的接入控制列表信息(ACL信息)用以使该接入控制列表信息被传送到控制装置300的设备。
图4是存储在接入控制策略存储单元321中的策略信息的示例。图4的示例示出了策略信息,其中,针对通过角色ID区分的每个角色设定分配给资源组的资源组ID和接入权限。例如,允许具有角色ID:角色_0001的用户接入具有ID:资源_组_0001和资源_组_0002的两个资源组。另一方面,拒绝具有角色ID:角色_0002的用户对资源组ID:资源_组_0001的接入,但是允许其对资源_组_0002的接入。
图5是存储在资源信息存储单元322中的资源信息的示例。图5的示例示出了使资源ID与属于上述资源组ID的资源的其他详细属性相关联的内容。例如,由资源组ID:资源_组_0001标识的组包括具有资源_0001、资源_0002、资源_0003的资源,并且可以标识其中的每一个的IP地址、MAC地址、用于服务的端口号等。
参考上述策略信息和资源信息,策略管理装置320向控制装置300提供已经通过认证装置310认证的用户的接入控制列表信息(ACL信息)。具体地,利用包括在从认证装置310接收到的认证信息中的角色ID,能够从图4的策略信息标识资源组ID及其附连到讨论中的角色ID的接入权限的内容。使用属于图5的资源信息中的资源组ID的资源的信息来创建接入控制列表信息(ACL信息)。在从认证装置310接收到指示用户终端的认证失败的认证信息的情况下,策略管理装置320在控制装置300中创建具有拒绝对路径的起点侧(图1中的转发节点200A)的相应的资源组的接入的内容的控制列表信息(ACL信息)。
图6是从图3、图4和图5中示出的信息所创建的具有用户ID:用户1的用户的接入控制列表信息(ACL信息)。在图6的发送源字段中设定图3的认证信息的用户ID:用户1的属性信息的值。在目的地字段中设定基于图4的策略信息的角色ID:角色_0001的内容从图5的资源信息中提取的资源属性。在接入权限字段中设定与图4的策略信息的角色ID:角色_0001的接入权限相同的值。在条件(选项)字段中设定在图5的资源信息的资源属性字段中所设定的服务和端口号。
控制装置300创建实现以上接入控制列表信息(ACL信息)的处理规则,并且在转发节点200A至200C中设定处理规则。
图7是表示本示例性实施例的控制装置300的详细配置的框图。参考图7,控制装置300被配置为设置有:与转发节点200A至200C进行通信的节点通信单元11、控制消息处理单元12、处理规则管理单元13、处理规则存储单元14、转发节点管理单元15、处理规则创建单元16、拓扑管理单元17、终端位置管理单元18、ACL信息管理单元19以及ACL信息存储单元20。这些以下面的相应的方式进行操作。
控制消息处理单元12对从转发节点接收到的控制消息进行分析,并且将控制消息信息递送到控制装置300内的相关处理部件。
处理规则管理单元13对在哪个转发节点中设定哪个处理规则进行管理。具体地,由处理规则创建单元16创建的处理规则被记录在处理规则存储单元14中,并且在转发节点中设定,并且通过来自转发节点的处理规则删除通知等,响应于在转发节点中设定的处理规则中出现变化的情况来更新处理规则存储单元14的记录的信息。
转发节点管理单元15对由控制装置300控制的转发节点的能力(例如,端口的类型和数目、所支持的动作的类型等)进行管理。
当从ACL信息管理单元19接收接入控制列表信息(ACL信息)时,处理规则创建单元16基于其内容来创建路径,并且创建实现该路径的处理规则。具体地,处理规则创建单元16基于由终端位置管理单元18管理的通信终端的位置信息和由拓扑管理单元17所配置的网络拓扑信息来对资源计算分组转发路径,针对该资源保持来自用户终端的接入权限。接下来,处理规则创建单元16从转发节点管理单元15获得转发路径中的转发节点的端口信息,并且获得将要在路径的转发节点中执行的动作,以便于实现所计算的转发路径以及用于标识应用讨论中的动作的流匹配规则。应当注意的是,可以使用图6的接入控制列表信息(ACL信息)的发送源IP地址、目的地IP地址、条件(选项)等来创建匹配规则。因此,在图6的接入控制列表信息(ACL信息)的第一条目的情况下,创建确定动作的相应的处理规则,通过该动作,从连接到操作服务器600A或管理工具600B或者作为下一跳的转发节点200C的端口转发从源IP地址192.168.100.1到目的地IP地址192.168.0.1的分组。
此外,关于对于其没有保持接入权限的资源,处理规则创建单元16基于由终端位置管理单元18管理的用户终端的位置信息,在用户终端连接到的转发节点中创建下述处理规则,该处理规则确定用以丢弃针对讨论中的用户终端没有保持对其的接入权限的资源的分组的动作以及匹配规则。
拓扑管理单元17基于经由节点通信单元11收集的转发节点200A至200C的连接关系来配置网络拓扑信息。
终端位置管理单元18管理用于标识连接到通信***的用户终端的位置的信息。在本示例性实施例中,使用IP地址作为用于区分用户终端的信息,并且使用用户终端连接到的转发节点的转发节点标识符及其端口信息作为用于标识用户终端的位置的信息来给出描述。明显地,作为这些信息项的替代,可以使用例如来自认证装置310的信息来标识终端及其位置。
在从策略管理装置320接收到接入控制列表信息(ACL信息)时,ACL信息管理单元19将该信息存储在ACL信息存储单元20中,并且还将该信息传送到处理规则创建单元16。
还可以基于非专利文献1或2的开流控制器,通过添加在接收上述接入控制列表信息(ACL信息)的时候创建处理规则(流条目)的功能来实现以上控制装置300。
图3中示出的控制装置300的各个单元(处理部件)还可以通过下述计算机程序来实现,该计算机程序程序存储上述相应的信息项并且使用其硬件来在配置(即,构成)控制装置300的计算机上执行上述相应的过程。
接下来,参考附图来给出关于本示例性实施例的操作的详细描述。图8是表示本示例性实施例的操作的序列的序列图。首先参考图8。当用户终端向认证装置310作出登录请求(图8中的S001)时,认证装置310执行用户认证(图8中的S002)。
当认证装置310向策略管理装置320传送认证信息(图8中的S003)时,策略管理装置基于接收到的认证信息来查阅接入控制策略存储单元321和资源信息存储单元322,并且创建接入控制列表信息(ACL信息)(图8中的S004),以被传送到控制装置300(图8中的S005)。
控制装置300确认接入控制列表信息(ACL信息),执行用于实现其内容的路径计算,并且在每个转发节点中创建用于确定分组处理内容的处理规则(图8中的S006)。
当控制装置300在路径中的转发节点中设定处理规则(图8中的S007)时,在用户终端和操作服务器之间的通信成为可能(图8中的“通信开始”)。
如上所述,通过向控制装置300提供基于策略信息所创建的接入控制列表信息(ACL信息),并且基于其创建处理规则,如图9中所示,例如对于管理者和一般的雇员,能够通过仅管理2个角色ID,角色ID:角色_0001和角色ID:角色_0002,来执行准确的接入控制。
通过对图4中所示的策略信息添加允许接入的位置信息字段,在具有角色ID:角色_0001的管理者执行从东京总公司的接入的情况下,如图10中所示,允许对操作服务器和管理工具二者的接入,但是在商务旅行等执行从大阪分公司的接入的情况下,能够根据位置来实现接入限制,诸如限制对管理工具等的接入。明显地,还能够完全拒绝从大阪分公司的接入,并且在这点上,能够经由管理工具600B仅通过重写与策略信息相关联的角色ID的条目来简单地执行改变。
通过对图4中所示的策略信息添加用于允许接入的位置信息字段或者时段信息或时间信息字段,对于控制装置300还可能在考虑到位置、或时段或时间的情况下执行处理规则的设定。例如,如在图10中所示,通过在大阪分公司的转发节点200B中设定用于丢弃针对管理工具600B的分组的处理规则,在具有角色ID:角色_0001的管理者执行从东京总公司的接入的情况下,允许对操作服务器和管理工具二者的接入,但是在商务旅行等中执行从大阪分公司的接入的情况下,能够根据位置来实现接入限制,诸如限制对管理工具等的接入。明显地,还能够完全拒绝从大阪分公司的接入,并且在这点上,能够经由管理工具600B仅通过重写与策略信息相关联的角色ID的条目来简单地执行改变。
此外,例如,如图11中所示,通过在使大阪分公司的转发节点200B作为起始点的路径中的转发节点中设定允许从一般雇员的用户终端对操作服务器600A的接入的处理规则,能够允许在商务旅行等时由具有角色ID:角色_0002的一般雇员从大阪分总司的接入。通过该控制,还能够经由管理工具600B通过仅重写与策略信息相关的角色ID的条目来简单地执行改变。
以相同的方式,对于特定时段(例如2011/04/01至2011/06/01)或者特定时隙(例如,10:00至17:30),通过控制装置300以规定时间间隔通过参考策略信息来更新处理规则,对于每个角色来说,能够允许对管理工具600B的接入,并且对于其他时段和时间,能够应用接入限制以限制对管理工具600B的接入。还能够实现合并了上述位置、时间和时段的接入限制。
以上已经给出了本发明的各个示例性实施例的描述,但是本发明不限于上述示例性实施例,并且在不背离本发明的基本技术概念的范围内可以添加其他修改、替换和调整。例如,在上述各个示例性实施例中,给出了单独提供控制装置300、认证装置310、策略管理装置320、接入控制策略存储单元321和资源信息存储单元322中的每一个的描述,但是还可能视情况而定使用这些被集成在其中的配置。
在上述示例性实施例中,给出了下述描述,其中控制装置300在接收到接入控制列表信息(ACL信息)的时候,设定处理规则以实现在接入控制列表信息(ACL信息)中确定的内容,但是对于控制装置300还能够在生成流并且从已经接收到第一分组的转发节点接收到用于设定处理规则的请求的时候创建和设定处理规则。以该方式,能够缩减在转发节点中的每一个中设定的处理规则的数目。
在上述示例性实施例中,给出下述内容,其中用户终端100A和100B在认证装置310中执行直接认证过程,但是能够经由转发节点使用转发用于与对认证装置的认证过程相关的认证的分组的配置,并且实现认证过程。例如,还能够在连接到用户终端100A和100B的转发节点中,通过设定确定用于向认证装置310转发标识用于认证的分组的匹配规则和所讨论的分组的动作的处理规则来实现。以相同的方式,还能够通过设定在转发节点之间的路径以及设定用于转发这些的处理规则来在认证装置310、策略管理装置320和控制装置300之间交换给出和接收到的信息。
最后,总结了本发明的优选模式。
<第一模式>
如在第一方面中描述的通信***。
<第二模式>
控制装置优选地保存与从策略管理装置接收到的接入权限相关的信息,并且在从与从用户终端接收到的分组相关的转发节点接收到用于设定处理规则的请求的时候创建路径,并且执行处理规则的设定。
<第三模式>
控制装置优选地基于与从策略管理装置接收到的接入权限相关的信息,在转发节点中设定用于丢弃针对如下资源的分组的处理规则,用户终端针对所述资源的接入被拒绝。
<第四模式>
与接入权限相关的信息优选地包括取决于用户终端的位置的接入权限,并且控制装置优选地基于从包括在从转发节点接收到的对设定处理规则的请求中的信息标识的用户终端的位置以及取决于用户终端的位置的接入权限来设定处理规则。
<第五模式>
如第二方面中描述的控制装置。
<第六模式>
控制装置优选地保存与从策略管理装置接收到的接入权限相关的信息,并且优选地在从与从用户终端接收到的分组相关的转发节点接收到用于设定处理规则的请求的时候创建路径,并且执行对处理规则的设定。
<第七模式>
控制装置优选地基于与从策略管理装置接收到的接入权限相关的信息,在转发节点中设定用于丢弃针对如下资源的分组的处理规则,用户终端针对所述资源的接入被拒绝。
<第八模式>
与从策略管理装置接收到的接入权限相关的信息优选地包括取决于用户终端的位置的接入权限,并且控制装置优选地基于从包括在从转发节点接收到的用于设定处理规则的请求中的信息所标识的用户终端的位置、以及取决于用户终端的位置的接入权限来设定处理规则。
<第九模式>
如在第三方面中描述的策略管理装置。
<第十模式>
如在第四方面中描述的通信方法。
<第十一模式>
如在第五方面中描述的程序。
应当注意的是,分别与第一模式的通信***类似的通信方法和程序中的组成元素和步骤可以以与第二至第四模式相同的方式来扩展。
应当注意的是,上述专利文献和非专利文献的各种公开内容通过引用合并于此。可以在本发明的整个公开内容的限制(包括权利要求的范围)内,并且还基于本发明的基本技术概念对示例性实施例进行修改和调整。此外,在本发明的权利要求的范围内,各种公开的元件(包括各个权利要求的各个元件、各个示例性实施例的各个元件、各个附图的各个元件等)的各种组合和选择是可能的。即,本发明明显包括本领域的技术人员可以根据包括本发明的权利要求的范围的整个公开内容以及本发明的技术原理所认识到各种类型的变换和修改。
[附图标记列表]
11 节点通信单元
12 控制消息处理单元
13 处理规则管理单元
14 处理规则存储单元
15 转发节点管理单元
16 处理规则创建单元
17 拓扑管理单元
18 终端位置管理单元
19 ACL信息管理单元
20 ACL信息存储单元
100A、100B 用户终端
200A至200C 转发节点
300 控制装置
310 认证装置
320 策略管理装置
321 接入控制策略存储单元
322 资源信息存储单元
600 网络资源
600A 操作服务器
600B 管理工具资源
Claims (11)
1.一种通信***,包括:
多个转发节点,所述多个转发节点根据分组处理操作来处理接收到的分组,所述分组处理操作使用于标识流的匹配规则与将被应用于符合所述匹配规则的分组的处理内容相关联;
策略管理装置,所述策略管理装置包括使分配给用户的角色与针对每个角色而设定的接入权限相关联的接入控制策略存储单元,所述策略管理装置向控制装置提供关于与被成功认证的用户的角色相关联的接入权限的信息;以及
所述控制装置,所述控制装置基于与从所述策略管理装置接收到的接入权限相关的信息,来创建在被成功认证的所述用户的终端与所述用户能够接入的资源之间的路径,并且在所述路径中的转发节点中设定分组处理操作。
2.根据权利要求1所述的通信***,其中所述控制装置
保持与从所述策略管理装置接收到的接入权限相关的信息,并且
在从与接收自所述用户终端的分组相关的所述转发节点接收用于设定所述分组处理操作的请求的情况下创建所述路径,并且执行对分组处理操作的设定。
3.根据权利要求1或2所述的通信***,其中所述控制装置基于与从所述策略管理装置接收到的接入权限相关的信息,在所述转发节点中设定分组处理操作,所述分组处理操作用于丢弃针对如下资源的分组,从所述用户终端针对所述资源的接入被拒绝。
4.根据权利要求1至3中的任何一项所述的通信***,其中
与接入权限相关的信息包括取决于所述用户终端的位置的接入权限,并且
所述控制装置基于从下述信息所标识的所述用户终端的位置以及取决于所述用户终端的位置的接入权限,来设定所述分组处理操作,所述信息被包括在从所述转发节点接收到的、用于设定分组处理操作的请求中。
5.一种控制装置,
所述控制装置连接到多个转发节点和策略管理装置,所述多个转发节点根据分组处理操作来处理接收到的分组,所述分组处理操作使用于标识流的匹配规则与将被应用于符合所述匹配规则的分组的处理内容相关联,所述策略管理装置包括使分配给用户的角色与针对每个角色而设定的接入权限相关联的接入控制策略存储单元,所述策略管理装置向所述控制装置提供关于与被成功认证的用户的角色相关联的接入权限的信息;其中
所述控制装置基于与从所述策略管理装置接收到的接入权限相关的信息,来创建在被成功认证的所述用户的终端与所述用户能够接入的资源之间的路径,并且在所述路径中的转发节点中设定分组处理操作。
6.根据权利要求5所述的控制装置,其中所述控制装置
保持与从所述策略管理装置接收到的接入权限相关的信息,并且
在从与接收自所述用户终端的分组相关的所述转发节点接收用于设定所述分组处理操作的请求的情况下创建所述路径,并且执行对分组处理操作的设定。
7.根据权利要求5或6所述的控制装置,其中所述控制装置基于与从所述策略管理装置接收到的接入权限相关的信息,在所述转发节点中设定分组处理操作,所述分组处理操作用于丢弃针对如下资源的分组,从所述用户终端针对所述资源的接入被拒绝。
8.根据权利要求5至7中的任何一项所述的控制装置,其中
与从所述策略管理装置接收到的接入权限相关的信息包括取决于所述用户终端的位置的接入权限,并且
基于从下述信息所标识的所述用户终端的位置以及取决于所述用户终端的位置的接入权限,来设定所述分组处理操作,所述信息被包括在从所述转发节点接收到的、用于设定分组处理操作的请求中。
9.一种策略管理装置,所述策略管理装置向根据权利要求5至8中的任何一项所述的控制装置提供与被成功认证的用户的角色相对应的接入权限相关的信息。
10.一种通信方法,包括:
使用控制装置,所述控制装置连接到多个转发节点和策略管理装置,所述多个转发节点根据分组处理操作来处理接收到的分组,所述分组处理操作使用于标识流的匹配规则与将被应用于符合所述匹配规则的分组的处理内容相关联,所述策略管理装置包括使分配给用户的角色与针对每个角色而设定的接入权限相关联的接入控制策略存储单元,所述策略管理装置向所述控制装置提供关于与被成功认证的用户的角色相关联的接入权限的信息;
所述控制装置执行:
基于与从所述策略管理装置接收到的接入权限相关的信息,来创建在被成功认证的所述用户的终端与所述用户能够接入的资源之间的路径的步骤;以及
在所述路径中的转发节点中设定分组处理操作的步骤。
11.一种程序,所述程序执行如下定义的过程:
其中执行在计算机上进行,所述计算机构成控制装置,所述控制装置连接到多个转发节点和策略管理装置,所述多个转发节点根据分组处理操作来处理接收到的分组,所述分组处理操作使用于标识流的匹配规则与将被应用于符合所述匹配规则的分组的处理内容相关联,所述策略管理装置包括使分配给用户的角色与针对每个角色而设定的接入权限相关联的接入控制策略存储单元,所述策略管理装置向所述控制装置提供关于与被成功认证的用户的角色相关联的接入权限的信息;
基于与从所述策略管理装置接收到的接入权限相关的信息,来创建在被成功认证的所述用户的终端与所述用户能够接入的资源之间的路径的过程;以及
在所述路径中的转发节点中设定分组处理操作的过程。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010287908 | 2010-12-24 | ||
| JP2010-287908 | 2010-12-24 | ||
| PCT/JP2011/079938 WO2012086816A1 (ja) | 2010-12-24 | 2011-12-22 | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103283190A true CN103283190A (zh) | 2013-09-04 |
Family
ID=46314081
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011800622502A Pending CN103283190A (zh) | 2010-12-24 | 2011-12-22 | 通信***、控制装置、策略管理装置、通信方法和程序 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9178910B2 (zh) |
| EP (1) | EP2658183A4 (zh) |
| JP (1) | JP5862577B2 (zh) |
| CN (1) | CN103283190A (zh) |
| WO (1) | WO2012086816A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016078260A1 (zh) * | 2014-11-19 | 2016-05-26 | 中国科学院声学研究所 | 一种从控制平面和数据平面访问交换机外存的方法 |
| CN106817300A (zh) * | 2015-12-01 | 2017-06-09 | 阿尔卡特朗讯 | 在sdn网络中控制及辅助控制用户数据流的方法和装置 |
| CN112956163A (zh) * | 2018-10-25 | 2021-06-11 | 索尼公司 | 通信装置、通信方法以及数据结构 |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012115058A1 (ja) * | 2011-02-21 | 2012-08-30 | 日本電気株式会社 | 通信システム、データベース、制御装置、通信方法およびプログラム |
| US9215611B2 (en) * | 2011-04-18 | 2015-12-15 | Nec Corporation | Terminal, control device, communication method, communication system, communication module, program, and information processing device |
| WO2013042634A1 (ja) * | 2011-09-20 | 2013-03-28 | 日本電気株式会社 | 通信システム、ポリシー管理装置、通信方法およびプログラム |
| JP2015523749A (ja) * | 2012-07-30 | 2015-08-13 | 日本電気株式会社 | 通信システム、制御装置、通信方法及びプログラム |
| WO2014034119A1 (en) * | 2012-08-30 | 2014-03-06 | Nec Corporation | Access control system, access control method, and program |
| US20150222544A1 (en) * | 2012-08-31 | 2015-08-06 | Nec Corporation | Rule distribution apparatus, event processing system, rule distribution method, and rule distribution program |
| JP2014179860A (ja) * | 2013-03-15 | 2014-09-25 | Nec Corp | 通信システム |
| CN103581018B (zh) * | 2013-07-26 | 2017-08-11 | 北京华为数字技术有限公司 | 报文发送方法、路由器以及业务交换器 |
| CN104780147B (zh) * | 2014-01-14 | 2019-05-07 | 新华三技术有限公司 | 一种byod访问控制的方法及装置 |
| JPWO2015145976A1 (ja) * | 2014-03-28 | 2017-04-13 | 日本電気株式会社 | 通信システム、制御指示装置、制御実施装置、通信制御方法およびプログラムを記憶する記憶媒体 |
| US9819699B1 (en) * | 2016-10-13 | 2017-11-14 | Fortress Cyber Security, LLC | Systems and methods for network security memory reduction via distributed rulesets |
| CN108074116B (zh) * | 2016-11-09 | 2022-02-22 | 阿里巴巴集团控股有限公司 | 信息提供方法及装置 |
| US10891370B2 (en) * | 2016-11-23 | 2021-01-12 | Blackberry Limited | Path-based access control for message-based operating systems |
| JP6493426B2 (ja) * | 2017-02-02 | 2019-04-03 | 日本電気株式会社 | 通信システム、通信制御方法および通信プログラム |
| JP7095339B2 (ja) * | 2018-03-19 | 2022-07-05 | 株式会社リコー | 情報処理システム、情報処理方法および情報処理プログラム |
| US10931528B2 (en) * | 2018-05-04 | 2021-02-23 | VCE IP Holding Company LLC | Layer-based method and system for defining and enforcing policies in an information technology environment |
| CN111787094B (zh) * | 2020-06-29 | 2022-01-28 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、存储介质及设备 |
| CN112383511B (zh) * | 2020-10-27 | 2021-11-26 | 广州锦行网络科技有限公司 | 一种流量转发方法及*** |
| CN114726639B (zh) * | 2022-04-24 | 2023-08-22 | 国网河南省电力公司信息通信公司 | 一种访问控制策略自动编排方法及*** |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004318582A (ja) * | 2003-04-17 | 2004-11-11 | Nippon Telegraph & Telephone East Corp | ネットワークアクセスシステム及び方法、認証装置、エッジルータ、アクセス制御装置、ならびに、コンピュータプログラム |
| US20080189769A1 (en) * | 2007-02-01 | 2008-08-07 | Martin Casado | Secure network switching infrastructure |
| JP2009135805A (ja) * | 2007-11-30 | 2009-06-18 | Fujitsu Ltd | 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7440573B2 (en) * | 2002-10-08 | 2008-10-21 | Broadcom Corporation | Enterprise wireless local area network switching system |
| US7530112B2 (en) * | 2003-09-10 | 2009-05-05 | Cisco Technology, Inc. | Method and apparatus for providing network security using role-based access control |
| JP4253569B2 (ja) * | 2003-12-03 | 2009-04-15 | 株式会社日立コミュニケーションテクノロジー | 接続制御システム、接続制御装置、及び接続管理装置 |
| US7526792B2 (en) * | 2004-06-09 | 2009-04-28 | Intel Corporation | Integration of policy compliance enforcement and device authentication |
| JP4173866B2 (ja) * | 2005-02-21 | 2008-10-29 | 富士通株式会社 | 通信装置 |
| CN100389575C (zh) * | 2005-07-13 | 2008-05-21 | 华为技术有限公司 | 一种实现网上设备接入管理的方法 |
| US20070022474A1 (en) * | 2005-07-21 | 2007-01-25 | Mistletoe Technologies, Inc. | Portable firewall |
| US8626953B2 (en) * | 2006-03-03 | 2014-01-07 | St. Louis University | System and method of communicating data for a hospital |
| CN101299660B (zh) * | 2007-04-30 | 2010-12-08 | 华为技术有限公司 | 一种执行安全控制的方法、***及设备 |
| US9083609B2 (en) * | 2007-09-26 | 2015-07-14 | Nicira, Inc. | Network operating system for managing and securing networks |
| US8572717B2 (en) * | 2008-10-09 | 2013-10-29 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
| US8875221B2 (en) * | 2009-02-10 | 2014-10-28 | Nec Corporation | Policy management apparatus, policy management system, and method and program used for the same |
-
2011
- 2011-12-22 CN CN2011800622502A patent/CN103283190A/zh active Pending
- 2011-12-22 EP EP11851466.0A patent/EP2658183A4/en not_active Withdrawn
- 2011-12-22 JP JP2012549898A patent/JP5862577B2/ja active Active
- 2011-12-22 US US13/991,588 patent/US9178910B2/en active Active
- 2011-12-22 WO PCT/JP2011/079938 patent/WO2012086816A1/ja active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004318582A (ja) * | 2003-04-17 | 2004-11-11 | Nippon Telegraph & Telephone East Corp | ネットワークアクセスシステム及び方法、認証装置、エッジルータ、アクセス制御装置、ならびに、コンピュータプログラム |
| US20080189769A1 (en) * | 2007-02-01 | 2008-08-07 | Martin Casado | Secure network switching infrastructure |
| JP2009135805A (ja) * | 2007-11-30 | 2009-06-18 | Fujitsu Ltd | 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法 |
Non-Patent Citations (1)
| Title |
|---|
| MARTIN CASADO 等: "Ethane:Taking Control of the Enterprise", 《PROCEEDINGS OF THE 2007 CONFERENCE ON APPLICATIONS,TECHNOLOGIES,ARCHITECTURES,AND PROTOCOLS FOR COMPUTER COMMUNICATIONS》, vol. 37, no. 4, 31 August 2007 (2007-08-31), XP002531272 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016078260A1 (zh) * | 2014-11-19 | 2016-05-26 | 中国科学院声学研究所 | 一种从控制平面和数据平面访问交换机外存的方法 |
| CN105635086A (zh) * | 2014-11-19 | 2016-06-01 | 中国科学院声学研究所 | 一种从控制平面和数据平面访问交换机外存的方法 |
| JP2017536766A (ja) * | 2014-11-19 | 2017-12-07 | 中国科学院声学研究所Institute Of Acoustics, Chinese Academy Of Sciences | 制御プレーン及びデータプレーンからスイッチの外部メモリへアクセスする方法 |
| CN105635086B (zh) * | 2014-11-19 | 2020-02-04 | 中国科学院声学研究所 | 一种从控制平面和数据平面访问交换机外存的方法 |
| CN106817300A (zh) * | 2015-12-01 | 2017-06-09 | 阿尔卡特朗讯 | 在sdn网络中控制及辅助控制用户数据流的方法和装置 |
| CN112956163A (zh) * | 2018-10-25 | 2021-06-11 | 索尼公司 | 通信装置、通信方法以及数据结构 |
| CN112956163B (zh) * | 2018-10-25 | 2023-06-30 | 索尼公司 | 通信装置以及通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5862577B2 (ja) | 2016-02-16 |
| JPWO2012086816A1 (ja) | 2014-06-05 |
| WO2012086816A1 (ja) | 2012-06-28 |
| EP2658183A1 (en) | 2013-10-30 |
| US9178910B2 (en) | 2015-11-03 |
| EP2658183A4 (en) | 2017-06-21 |
| US20130263214A1 (en) | 2013-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103283190A (zh) | 通信***、控制装置、策略管理装置、通信方法和程序 | |
| EP2628281B1 (en) | Terminal, control device, communication method,communication system, communication module, program, and information processing device | |
| KR101685471B1 (ko) | 단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체, 및 정보 처리 디바이스 | |
| CN103329489B (zh) | 通信***、控制设备、策略管理设备、通信方法和程序 | |
| CN103493442B (zh) | 终端、控制设备以及通信方法 | |
| EP2680506A1 (en) | Communication system, database, control device, communication method and program | |
| WO2012169164A1 (en) | Communication system, control device, and processing rule setting method and program | |
| CN103299589A (zh) | 通信***、控制装置、通信方法以及程序 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130904 |