CN103404093A - 通信***、数据库、控制装置、通信方法以及程序 - Google Patents
通信***、数据库、控制装置、通信方法以及程序 Download PDFInfo
- Publication number
- CN103404093A CN103404093A CN201280009911XA CN201280009911A CN103404093A CN 103404093 A CN103404093 A CN 103404093A CN 201280009911X A CN201280009911X A CN 201280009911XA CN 201280009911 A CN201280009911 A CN 201280009911A CN 103404093 A CN103404093 A CN 103404093A
- Authority
- CN
- China
- Prior art keywords
- access
- processing rule
- resource
- user
- transmission source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/80—Actions related to the user profile or the type of traffic
- H04L47/808—User-type aware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
- H04L45/308—Route determination based on user's profile, e.g. premium users
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明能以简单的结构来实现与赋予给各用户的访问权限相应的极细的访问控制。通信***包括:多个转发节点,其根据处理规则处理接收数据包;数据库,其保持有用于根据与发送源有关的信息来特定相当于发送源的用户的角色的第1表和对每个角色定义了能访问或不能访问的资源的第2表,根据来自控制装置的请求,响应相当于发送源的用户能访问或不能访问的资源;和控制装置,其在从所述转发节点接收到所述处理规则的设定请求的情况下,使用与所述处理规则的设定请求所包含的发送源有关的信息,对所述数据库查询相当于所述发送源的用户能访问或不能访问的资源,基于来自所述数据库的响应,生成所述处理规则并设定到所述转发节点。
Description
技术领域
[关于相关申请的记载]
本发明基于日本国专利申请:特愿2011-034407号(2011年2月21日申请)主张优先权,该申请的全部记载内容被引用并记载到本说明书中。
本发明涉及通信***、数据库、控制装置、通信方法以及程序,尤其涉及通过配置于网络的转发节点转发数据包来实现通信的通信***、数据库、控制装置、通信方法以及程序。
背景技术
近年来,提出了OpenFlow这一技术(参照专利文献1、非专利文献1、2)。OpenFlow将通信作为端对端的流而掌握,以流单位进行路径控制、障碍恢复、负载分散、最佳化。非专利文献2中被标准化的OpenFlow交换机,具有与相当于控制装置的OpenFlow控制器进行通信用的安全通道,按照从OpenFlow控制器适当指示追加或重写的流表(flow table)进行工作。在流表中,按每个流定义了与数据包报头(packet header)进行匹配的匹配规则(报头字段)、流统计信息(计数器,Counters)、和定义了处理内容的动作(Actions)的组(参照图15)。
例如,OpenFlow交换机在接收到数据包时,从流表中检索具有符合接收数据包的报头信息的匹配规则(参照图15的报头字段)的条目(entry)。在检索的结果为找到了符合接收数据包的条目的情况下,OpenFlow交换机更新流统计信息(counter),并对接收数据包实施记载在该条目的动作字段中的处理内容(来自指定端口的数据包发送、洪泛(flooding)、废弃等)。另一方面,在所述检索的结果为没有找到符合接收数据包的条目的情况下,OpenFlow交换机经由安全通道对OpenFlow控制器转发接收数据包,委托基于接收数据包的发送源/发送目标的数据包的路径的确定,受理用于实现该路径的确定的流条目并更新流表。如此,OpenFlow交换机使用存储在流表中的条目作为处理规则来进行数据包转发。
现有技术文献
专利文献
专利文献1:国际公开第2008/095010号
非专利文献
非专利文献1:Nick McKeown及其他7名,“OpenFlow:EnablingInnovation in Campus Networks”、[online]、[平成22(2010)年12月1日检索]、因特网<URL:http://www.openflowswitch.org//documents/openflow-wp-latest.pdf>
非专利文献2:“OpenFlow Switch Specification”Version1.0.0.(Wire Protocol0x01)[平成22(2010)年12月1日检索]、因特网<URL:http://www.openflowswitch.org/documents/openflow-spec-v1.0.0.pdf>
发明内容
以下的分析是由本发明提供的。
专利文献1的OpenFlow控制器,在产生新的流时参照策略文件进行权限检查,然后,通过计算路径来进行访问控制(参照专利文献1的[0052])。因此,在专利文献1的结构中,存在局限于基于终端进行访问控制而无法基于用户进行访问控制这一问题。例如,在多个用户共用同一终端这种情形下,可能产生如下的不良情况:若对一个用户允许了向某网络资源的访问,则之后使用同一终端的其他用户也能够访问该网络资源。
另外,虽然也考虑将基于已有的用户认证装置等进行的认证结果提供给OpenFlow控制器来进行基于用户的访问控制的方法,但在OpenFlow控制器中并没有掌握对该认证成功的用户授予了怎样的访问权限,因此还存在无法实现与按每个用户确定的策略等相应的极细的访问控制这样的问题。另外,假设在使OpenFlow控制器保持每个用户的访问权限信息的情况下,也会产生为此的资源和/或负载的问题、大量用户的访问权限管理问题。
进而,当将多个OpenFlow控制器分担不同地域、通信量而进行集中控制的结构纳入考虑范围时,可能会产生如何将访问权限信息分布到这些OpenFlow控制器的问题、使OpenFlow控制器间的访问权限信息同步的问题。
本发明是鉴于上述情况而完成的发明,其目的在于提供一种通信***、控制装置、策略管理装置、通信方法以及程序,在如上述OpenFlow那样的控制装置集中控制转发节点的通信***中,能够以简单的结构进行与赋予给各用户的访问权限相应的极细访问控制。
根据本发明的第1观点,提供一种通信***,包括:多个转发节点,其根据处理规则来处理接收数据包,所述处理规则将用于特定流的匹配规则和适用于符合所述匹配规则的数据包的处理内容建立了对应;数据库,其保持有用于根据与发送源有关的信息来特定相当于发送源的用户的角色的第1表和对每个角色定义了能访问或不能访问的资源的第2表,根据来自控制装置的请求,响应相当于发送源的用户能访问或不能访问的资源;和控制装置,其在从所述转发节点接收到所述处理规则的设定请求的情况下,使用与所述处理规则的设定请求所包含的发送源有关的信息,对所述数据库查询相当于所述发送源的用户能访问或不能访问的资源,基于来自所述数据库的响应,生成所述处理规则并设定到所述转发节点。
根据本发明的第2观点,提供一种数据库,与控制装置连接,所述控制装置对根据处理规则来处理接收数据包的多个转发节点设定所述处理规则,所述处理规则将用于特定流的匹配规则和适用于符合所述匹配规则的数据包的处理内容建立了对应,所述数据库保持有用于根据与发送源有关的信息来特定相当于发送源的用户的角色的第1表和对每个角色定义了能访问或不能访问的资源的第2表,所述数据库根据来自所述控制装置的请求,响应相当于发送源的用户能访问或不能访问的资源。
根据本发明的第3观点,提供一种控制装置,与多个转发节点和数据库连接,所述多个转发节点根据处理规则来处理接收数据包,所述处理规则将用于特定流的匹配规则和适用于符合所述匹配规则的数据包的处理内容建立了对应,所述数据库保持有用于根据与发送源有关的信息来特定相当于发送源的用户的角色的第1表、和对每个角色定义了能访问或不能访问的资源的第2表,根据来自控制装置的请求,响应相当于发送源的用户能访问或不能访问的资源,所述控制装置在从所述转发节点接收到所述处理规则的设定请求的情况下,使用与所述处理规则的设定请求所包含的发送源有关的信息,对所述数据库查询相当于所述发送源的用户能访问或不能访问的资源,基于来自所述数据库的响应,生成所述处理规则并设定到所述转发节点。
根据本发明的第4观点,提供一种通信方法,是包含多个转发节点、数据库和控制装置的通信***中的通信方法,所述多个转发节点根据处理规则来处理接收数据包,所述处理规则将用于特定流的匹配规则和适用于符合所述匹配规则的数据包的处理内容建立了对应,所述数据库保持有用于根据与发送源有关的信息来特定相当于发送源的用户的角色的第1表、和对每个角色定义了能访问或不能访问的资源的第2表,根据来自控制装置的请求,响应相当于发送源的用户能访问或不能访问的资源,所述控制装置对所述转发节点设定所述处理规则,所述通信方法包括如下步骤:所述控制装置在从所述转发节点接收到所述处理规则的设定请求的情况下,对所述数据库查询相当于所述发送源的用户能访问或不能访问的资源的步骤;和所述控制装置基于来自所述数据库的响应,生成所述处理规则并设定到所述转发节点的步骤。本方法与对处理接收数据包的多个转发节点进行控制的控制装置这样的特定的设备结合。
根据本发明的第5观点,提供一种程序,是由搭载于控制装置的计算机执行的程序,所述控制装置与多个转发节点和数据库连接并对所述转发节点设定处理规则,所述多个转发节点根据所述处理规则来处理接收数据包,所述处理规则将用于特定流的匹配规则和适用于符合所述匹配规则的数据包的处理内容建立了对应,所述数据库保持有用于根据与发送源有关的信息来特定相当于发送源的用户的角色的第1表和对每个角色定义了能访问或不能访问的资源的第2表,根据来自控制装置的请求,响应相当于发送源的用户能访问或不能访问的资源,所述程序使所述计算机执行如下处理:在从所述转发节点接收到所述处理规则的设定请求的情况下,对所述数据库查询相当于所述发送源的用户能访问或不能访问的资源的处理;和基于来自所述数据库的响应,生成所述处理规则并设定到所述转发节点的处理。该程序能够记录在计算机可读取的存储介质中。即,本发明也能够作为计算机程序产品来实现。
发明的效果
根据本发明,不仅能够进行基于流的路径控制,还能够进行基于赋予给各用户的角色的极细的访问控制。
附图说明
图1是本发明的概要说明图。
图2是表示本发明的第1实施方式的通信***的结构的图。
图3是表示本发明的第1实施方式的IAM的详细结构的图。
图4是保存在本发明的第1实施方式的访问控制策略存储部中的策略信息的一例。
图5是保存在本发明的第1实施方式的资源信息存储部中的资源信息的一例。
图6是保持在本发明的第1实施方式的ACL数据库中的访问控制策略信息表的一例。
图7是保持在本发明的第1实施方式的ACL数据库中的认证信息表的一例。
图8是表示本发明的第1实施方式的控制装置的结构的框图。
图9是表示本发明的第1实施方式的动作的顺序图。
图10是表示本发明的第1实施方式的动作的另一顺序图。
图11是用于说明由本发明的第1实施方式的结构进行的访问控制的一例的图。
图12是用于说明由本发明的第1实施方式的结构进行的访问控制的另一例的图。
图13是用于说明由本发明的第1实施方式的结构进行的访问控制的又一例的图。
图14是表示本发明的第2实施方式的通信***的结构的图。
图15是表示非专利文献2所记载的流条目的结构的图。
具体实施方式
首先参照附图对本发明的概要进行说明。如图1所示,本发明能够通过多个转发节点200A、200B、数据库330A和控制装置300来实现,所述多个转发节点200A、200B根据处理规则来处理接收数据包,所述处理规则将用于特定流的匹配规则和适用于符合所述匹配规则的数据包的处理内容建立对应,所述数据库330A保持第1、第2表331、332,所述控制装置300对转发节点200A、200B设定带有效期限的处理规则。此外,该概要所标注的附图标记,是作为用于帮助理解的一例为了方便起见而标注在各要素上的,并不意图将本发明限定于图示的形态。
在所述数据库330A的第1表331中,针对通过与用户进行用户认证的认证装置310成功完成了认证手续的用户,保存有用于根据与其发送源有关的信息来特定该用户的角色(Role)的条目组。此外,第1表331的条目,优选通过用户的登录或经过预定的认证手续而追加,通过用户的注销或经过一定时间而删除。
在所述数据库330A的第2表332中,保存有通过受理来自网络管理者等的访问控制策略信息的输入的策略管理终端340对每个角色定义了能访问或不能访问的资源的条目组(访问控制策略)。
转发节点200A在从用户终端100接收到数据包时,检索具有符合该数据包的匹配规则的处理规则。此时,在没有保持具有符合接收数据包的匹配规则的处理规则的情况下,转发节点200A向控制装置300发送处理规则的设定请求消息(参照图1的(1)处理规则设定请求)。
控制装置300在从管理对象的转发节点200A或200B受理了处理规则的设定请求后,提取处理规则的设定请求所包含的IP地址和/或MAC(Media Access Control:媒体访问控制)地址等有关发送源的信息,向数据库330A查询从该发送源能访问的资源或不能访问的资源的列表(参照图1的(2)查询)。
接受所述查询的数据库330A,首先参照第1表331来特定从控制装置300接受查询的相当于发送源的用户的角色。接着,数据库330A参照第2表332来提取所述特定的角色能访问的资源或不能访问的资源的列表,并响应给控制装置300。
接收了所述列表的控制装置300,通过对所述列表与接受处理规则的设定请求的发送目标进行核对,判断是否可以生成到接受处理规则的设定请求的发送目标为止的路径。在此,例如在所述处理规则的设定请求为寻求从相当于发送源的用户向其访问权限内的发送目标(例如网络资源600)的路径生成和用于实现该路径生成的处理规则的设定的情况下,控制装置300生成相当于发送源的用户的用户终端100与网络资源600之间的路径,对该路径上的转发节点设定处理规则(图1的(3A)、(3B)处理规则设定)。另一方面,在所述处理规则的设定请求超出相当于发送源的用户的访问权限的情况下,拒绝所述处理规则的设定请求。在该情况下,控制装置300可以对转发节点200A设定将来自该用户的后续数据包废弃的处理规则。
通过以上所述,在接收到处理规则的设定请求时,能够特定相当于其发送源的用户的角色,根据另行由策略管理终端340设定的访问控制策略,判别是否可以允许向网络资源600的访问。此外,对处理规则设置有效期限,在从设定到转发节点200A、200B起、或从最后接收到符合匹配规则的数据包起经过了所述有效期限的情况下,可以删除该处理规则。
另外,在从所述数据库330A响应来的列表中明确有禁止从该用户访问的资源的情况下,控制装置300可以对转发节点200A和/或转发节点200B设定将来自该用户的数据包废弃的处理规则。由此,能够抑制之后的因来自该用户的数据包接收所产生的处理规则的设定请求,能够降低控制装置300的负载。
[第1实施方式]
接着,参照附图详细说明本发明的第1实施方式。图2是表示本发明的第1实施方式的通信***的结构图。参照图2,示出了:多个转发节点200A、200B、200C;对这些转发节点设定处理规则的控制装置300;根据来自控制装置300的查询来响应访问控制列表信息(ACL信息)的ACL数据库330;进行与用户终端100A的认证手续并将认证结果登记到ACL数据库330中的认证装置310;对ACL数据库330提供基于角色的ACL信息的综合访问管理装置(Integrated Access Manager;以下记为“IAM”。)320。
转发节点200A、200B、200C是根据处理规则来处理接收数据包的交换机装置,所述处理规则将用于特定流的匹配规则和适用于所述匹配规则的处理内容建立对应。作为这样的转发节点200A、200B、200C,也可以使用将图15所示的流条目作为处理规则进行动作的非专利文献2的OpenFlow交换机。另外,在本实施方式中,转发节点200A配置于东京总公司,受理从东京总公司的用户终端100A向业务服务器600A、管理工具600B的数据包。同样,转发节点200B配置于大阪分公司,受理从大阪分公司的用户终端100B向业务服务器600A、管理工具600B的数据包。
另外,转发节点200C连接有业务服务器600A和管理工具600B。业务服务器600A是提供东京总公司和/或大阪分公司的用户在日常业务中使用的服务的服务器。管理工具600B提供这些业务服务器的设定和/或用于更新ACL数据库的各表的管理工具。在以下的说明中,对业务服务器600A赋予resource_group_0001作为资源组ID,对管理工具600B赋予resource_group_0002作为资源组ID。
认证装置310是使用密码或生物特征认证信息等与用户终端100A、100B进行用户认证手续的认证服务器等。认证装置310将表示与用户终端100A、100B的用户认证手续的结果的认证信息发送到ACL数据库330。这样的认证装置310能够使用被称为LDAP(Lightweight Directory Access Protocol:轻量目录访问协议)服务器或RADIUS认证服务器的设备来实现。
图3是表示IAM320的详细结构的框图。参照图3,示出了包括访问控制策略存储部321、资源信息存储部322和访问控制策略管理部323的结构。
访问控制策略管理部323从网络管理者等操作的策略管理终端340受理向访问控制策略存储部321和/或资源信息存储部322登记的内容,并登记到访问控制策略存储部321或资源信息存储部322中。
图4是保存在访问控制策略存储部321中的策略信息的一例。在图4的例子中,按以角色ID识别的每个角色,示出了对资源的组赋予的资源组ID和设定了访问权限的策略信息。例如,持有角色ID:role_0001的用户被允许(allow)向资源组ID:resource_group_0001、resource_group_0002双方的访问。另一方面,角色ID:role_0002的用户被禁止(deny)向资源组ID:resource_group_0001的访问,并被允许向resource_group_0002的访问。
图5是保存在资源信息存储部322中的资源信息的一例。在图5的例子中,成为将上述的属于资源组ID的资源的资源ID和其详细属性相对应的内容。例如,在由资源组ID:resource_group_0001特定的组中,包含持有resource_0001、resource_0002、resource_0003的资源,能够特定各自的IP地址、MAC地址和/或用于服务的端口号等。
图6是保持在ACL数据库330中的访问控制策略信息表332的一例。参照图6,示出了按每个角色ID保存将IP地址和/或MAC地址等发送目标信息、EtherType、Protocol、端口号的范围(下限值~上限值)等条件(通信条件)、访问权限、优先级建立了对应的条目的访问控制策略信息表。例如,持有角色ID:role0001的用户,在EtherType=4(IPv4)、Protocol=6(TCP)、端口号=80这种条件下,被允许(allow)向具有IP地址=192.168.0.1、MAC地址=00-00-00-11-22-33的资源的访问。这样的条目能够通过将与图4所示的策略信息的条目的资源ID对应的详细数据从资源信息存储部322中取出来生成。此外,访问控制策略信息表332的优先级字段,在设定有在同一个或2个以上的角色ID间进行竞争的条目的情况下在决定向控制装置300侧回答的内容时使用。具体的优先级例如通过各角色的优劣和/或包含关系来决定即可。
图7是保持在ACL数据库330中的认证信息表331的一例。例如,在用户ID为user1的用户的认证成功的情况下,认证装置310在认证信息表331中登记具有user1、IP地址:192.168.100.1、MAC地址:00-00-00-44-55-66这样的发送源信息、角色ID:role0001、适当设定的有效期限的条目。同样,在用户ID为user10的用户的认证成功的情况下,认证装置310在认证信息表331中登记user10、IP地址:192.168.100.10这种属性、角色ID:role_00l0这样的user10的条目。此外,图7的发送源信息的用户ID字段可以适当省略。另外,作为发送源信息不必需使用IP地址和MAC地址的组,也可以省略其中一方,或取代它们而使用与该用户终端100连接的转发节点的ID。另外,在本实施方式中,认证信息表331的各条目在该用户注销时或超过在有效期限字段中设定的有效期限(过期)时被删除。
另外,在上述的访问控制策略存储部321或资源信息存储部322的内容被更新时,访问控制策略管理部323从ACL数据库330的访问控制策略信息表332(参照图6)中提取应反映所述更新内容的条目,并进行反映该内容的处理。例如,在从持有角色ID:role_0001的用户能访问的资源中删除了资源组ID:resource_group_0002的情况下,访问控制策略管理部323参照资源信息存储部322来特定属于资源组ID:resource_group_0002的资源,在图6的访问控制策略信息表332的持有角色ID:role_0001的条目中,删除定义了向属于资源组ID:resource_group_0002的资源的访问权限的条目或将该条目的访问权限变更为deny。
同样,例如在资源组ID:resource_group_0002中添加了新资源的情况下,访问控制策略管理部323参照访问控制策略存储部321来特定允许或禁止向资源组ID:resource_group_0002的访问的角色,在图6的访问控制策略信息表332中,作为从角色ID:role_0001能够访问或禁止访问的资源,添加定义了所述新资源的条目。
ACL数据库330在被从控制装置300请求从任意的发送源能访问的资源或不能访问的资源的列表时,确认在认证信息表331中是否登记了相当于发送源信息的用户(是否正确地进行了认证)。在所述发送源已登记在认证信息表331中的情况下,将与该发送源关联的角色ID作为关键字,检索访问控制策略信息表332,响应表示设定为相当于该发送源的用户能访问或不能访问的资源和其条件的列表。
控制装置300在从转发节点200A~200C接收到处理规则的设定请求时,向上述那样的ACL数据库330查询相当于所述发送源的用户能访问或不能访问的资源,基于其结果生成处理规则,并设定到转发节点200A~200C。
图8是表示本实施方式的控制装置300的详细结构的框图。参照图8,控制装置300构成为包括:与转发节点200A~200C进行通信的节点通信部11、控制消息处理部12、处理规则管理部13、处理规则存储部14、转发节点管理部15、处理规则生成部16、拓扑管理部17、终端位置管理部18、ACL信息查询部19。它们分别如下述这样进行动作。
控制消息处理部12对从转发节点200A~200C接收到的控制消息进行解析,并将控制消息信息交付给控制装置300内的对应的处理单元。
处理规则管理部13管理对哪个转发节点设定怎样的处理规则。具体而言,将由处理规则生成部16生成的处理规则登记到处理规则存储部14中,设定到转发节点,并通过来自转发节点的处理规则删除通知等更新处理规则存储部14的登记信息,还应对于对转发节点设定的处理规则发生了变更的情况来更新处理规则存储部14的登记信息。
转发节点管理部15管理由控制装置300控制的转发节点的能力(例如,端口的数量和/或种类、所支持的动作的种类等)。
处理规则生成部16经由ACL信息查询部19向ACL数据库330查询与预定规则的设定请求的相当于发送源的用户的角色对应的访问控制策略信息表332的条目,基于其响应内容判断是否设定处理规则。在所述判断的结果是判断为能够设定处理规则的情况下,处理规则生成部16生成基于该内容的路径,并生成实现该路径的处理规则。
更具体而言,处理规则生成部16基于由终端位置管理部18管理的通信终端的位置信息和由拓扑管理部17构筑的网络拓扑信息,计算从用户终端向有访问权的资源转发数据包的转发路径。接着,处理规则生成部16从转发节点管理部15获得所述转发路径上的转发节点的端口信息等,求出为了实现所述计算出的转发路径而使路径上的转发节点执行的动作和用于特定适用该动作的流的匹配规则。此外,所述匹配规则能够使用处理规则的设定请求所包含的发送源IP地址、发送目标IP地址、条件(选项)等来生成。
例如,在因图6的持有角色ID:role_0001的用户发向管理工具600B的数据包的接收而接收到处理规则的设定请求的情况下,首先,处理规则生成部16基于来自ACL数据库330的响应,确认是否允许向管理工具600B的访问。然后,处理规则生成部16生成确定使从所述用户发向管理工具600B的数据包从成为下一个转发点(hop)的转发节点200C或转发节点200C的与管理工具600B连接的端口转发的动作的各处理规则。
另外,针对没有访问权的资源,处理规则生成部16基于由终端位置管理部18管理的用户终端的位置信息,对与该用户终端连接的转发节点生成制定了将从该用户终端向没有访问权的资源的数据包废弃的动作和匹配规则的处理规则。例如,由于持有角色ID:role_0001的用户向IP地址192.168.0.3的访问权限被设定为“deny”,所以生成并设定将发向IP地址192.168.0.3的数据包废弃的处理规则。
拓扑管理部17基于经由节点通信部11收集到的转发节点200A~200C的连接关系来构筑网络拓扑信息。
终端位置管理部18管理用于特定与通信***连接的用户终端的位置的信息。在本实施方式中,作为用于识别用户终端的信息而使用IP地址,作为用于特定用户终端的位置的信息而使用与用户终端连接的转发节点的转发节点标识符及其端口的信息来进行说明。当然也可以取代这些信息而使用例如从认证装置310带来的信息等来确定终端及其位置。
ACL信息查询部19基于来自处理规则生成部16的请求,对ACL数据库330查询被设定为预定规则的设定请求的发送源所对应的用户能访问或不能访问的发送目标的列表。
以上那样的控制装置300,也能够通过对非专利文献1、2的OpenFlow控制器添加上述的ACL信息查询部19和基于其响应结果的处理规则(流条目)的生成功能来实现。
另外,图3所示的控制装置300的各部(处理单元),也能够通过使用构成控制装置300的计算机的硬件来存储上述的各信息并使计算机执行上述的各处理的计算机程序来实现。
接着,参照附图对本实施方式的动作进行详细说明。首先,参照图9说明由认证装置310进行的认证信息表331的更新处理以及由IAM320进行的访问控制策略信息表332的更新处理。
当从用户终端100接收到登记请求时(图9的S001),认证装置310与用户终端100进行预定的手续来进行用户认证(图9的S002)。
在此,假定为用户认证成功的情况来说明。在该情况下,认证装置310生成向图6所示的认证信息表331登记的条目,更新ACL数据库330的认证信息表331(图9的S003、S004)。通过以上的处理,在图6的认证信息表331中添加具有新的用户、其角色ID以及有效期限的条目。
与上述用户认证手续相独立地,通过网络管理者等经由策略管理终端340对保持在IAM320的访问控制策略存储部321和/或资源信息存储部322中的数据进行更新(图9的S005)。
受理了所述数据的更新的IAM320基于更新后的内容,决定图6的访问控制策略信息表332的更新内容(图9的S006)。此处的更新内容如上述那样,根据策略信息中的各角色的权限内容的变更和/或资源信息的详细内容的变更来决定。
接着,IAM320根据所述决定的内容对ACL数据库330更新访问控制策略信息表332(图9的S007、S008)。
接着,参照图10对使用如上述那样更新的ACL数据库330的内容的处理规则的设定处理的流程进行详细说明。参照图10,首先用户终端100在发送发向业务服务器600A的数据包时(图10的S101),转发节点200A检索与该数据包对应的处理规则,并试图进行数据包处理。
在此,由于没有对转发节点200A设定与该数据包对应的处理规则,所以转发节点200A对控制装置300请求处理规则的设定(图10的S102)。
接收到所述处理规则的设定请求的控制装置300,利用所述处理规则的设定请求所包含的IP地址和/或MAC地址等来特定发送源(图10的S103)。然后,控制装置300从ACL数据库330获取与相当于所述特定的发送源的用户的角色对应的访问控制策略信息表332的条目(图10的S104)。
控制装置300通过对所述访问控制策略信息表332的条目和接收到处理规则的设定请求的发送目标进行核对,判断是否可以生成路径。在此,在判断为可生成路径的情况下,控制装置300进行路径计算并生成制定各转发节点的数据包处理内容的处理规则(图10的S105)。
当控制装置300对路径上的转发节点设定了处理规则后(图10的S106-1、S106-2),能够实现用户终端与业务服务器间的通信(图10的“通信开始”)。
如上所述,由于由IAM320管理的内容及认证装置310中的认证处理的结果由ACL数据库来统一管理,并使控制装置300根据需要参照该结果来生成处理规则,所以,例如如图11所示,对于管理者和一般职员,仅通过管理持有角色ID:role_0001、角色ID:role_0002这2个角色ID就能够进行恰当的访问控制。进而,此时,也能够根据图6所示的访问控制策略信息表332的条件字段的各项目,添加端口号的范围和/或协议的制限。
另外,通过在图6所示的访问控制策略信息表332中添加允许访问的位置信息字段,除了接收到所述处理规则的设定请求的转发节点以外,也能够对与所述位置信息字段对应的转发节点设定处理规则。由此,还能够实现与位置相应的访问制限,例如如图12所示,在持有角色ID:role_0001的管理者从东京总公司进行访问的情况下,允许向业务服务器、管理工具双方的访问,而在因出差等从大阪分公司进行访问的情况下,限制向管理工具的访问等这样的与位置相应的访问制限。当然也能够全面禁止从大阪分公司的访问,这能够通过经由IAM320重写访问控制策略存储部321的数据,或经由管理工具600B重写访问控制策略信息表332来实现。
另外,例如如图13所示,通过对大阪分公司的转发节点组201设定允许从一般职员的用户终端向业务服务器600A的访问的处理规则,也能够允许持有角色ID:role_0002的一般职员因出差等从大阪分公司进行访问。这样的控制也能够通过经由IAM320重写访问控制策略存储部321的数据,或经由管理工具600B重写访问控制策略信息表332来实现。
另外,控制装置300也可以以预定的时间间隔访问ACL数据库330,并确认是否需要设定处理规则或确认已有的处理规则的妥当性。如此一来,也能够实施如下这样的访问限制:例如在某期间(例如,2011/04/01~2011/06/01)或某时间段(例如,10:00~17:30)中,允许向管理工具600B的访问,在此以外的期间或时间限制向管理工具600B的访问。另外,在这些期间中,在临时对访问权限进行了修正的情况下,也能够将其内容反映在处理规则上。当然也能够实施组合了上述的位置、时间、期间的访问制限。
[第2实施方式]
接着,参照附图对配置有多个控制装置的本发明的第2实施方式进行详细说明。图14是表示本发明的第2实施方式的通信***的结构的图。以下,在本发明的第2实施方式中,因为能够通过与第1实施方式同样的构成要素来实现,所以以下以不同点为中心来说明。
参照图14,示出了如下结构:通过3台控制装置300D~300F和按照从这些控制装置300D~300F设定的处理规则进行动作的转发节点200D~200F分别构成关东数据中心、北海道数据中心、冲绳数据中心,并将这三个中心彼此连接。此外,图14中的控制装置及转发节点的数量,是用于简单地说明本实施方式的例示,并不限定于这些数量。另外,虽然图14中进行了省略,但也可以在北海道数据中心和/或冲绳数据中心配置认证装置310。
认证装置310及IAM320的基本功能与上述的第1实施方式的认证装置及IAM相同。不同点在于:本实施方式的认证装置310与利用关东数据中心、北海道数据中心、冲绳数据中心的用户进行认证手续,将其结果登记在ACL数据库330的认证信息表331中。
控制装置300D~300F能够分别访问ACL数据库330,在从下属的转发节点200D~200F接收到处理规则的设定请求时,向ACL数据库330查询与相当于其发送源的用户对应的访问权限,并基于该结果设定处理规则。此外,在图14的例子中,虽然示出了控制装置300D~300F与ACL数据库330之间直接进行查询及响应,但也可以经由转发节点200D~200F转发控制装置300D~300F与ACL数据库330间的查询及其响应。
如以上的本实施方式所示,本发明也能够容易地应对转发节点、用户的增多和随之的控制装置的扩展(scale out)。
以上说明了本发明的各实施方式,但本发明并不限定于上述的实施方式,在不脱离本发明的基本技术思想的范围内,能够进行进一步的变形、替换、调整。例如,在上述的各实施方式中,说明了控制装置300、认证装置310、IAM320分别独立地设置的结构,但也可以采用将它们适当整合的结构。
另外,在上述的实施方式中,说明了用户终端100A、100B向认证装置310直接进行认证手续的结构,但也可以采用将认证手续涉及的认证用数据包经由转发节点转发到认证装置来实施认证手续的结构。例如,能够通过对与用户终端100A、100B连接的转发节点设定用于特定认证用数据包的匹配规则和制定了将该数据包转发到认证装置310的动作的处理规则来实现。
最后,简要说明本发明优选的方式。
[方式1]
如所述第1观点所记载的通信***那样。
[方式2]
在所述方式1中,优选的是,
所述第2表的条目使用对赋予给用户的每个角色定义了能访问或不能访问的资源的组的访问控制策略信息和定义了属于所述各组的资源的详细内容的资源信息来生成。
[方式3]
在所述方式2中,优选的是,
还具备访问策略管理部,该访问策略管理部在访问控制策略信息和资源信息的至少一方被更新的情况下,更新所述第2表的与所述被更新的位置对应的条目。
[方式4]
在所述方式1~方式3的任一方式中,优选的是,
所述第1表登记有认证成功的用户的条目,通过所述用户注销,从所述第1表中删除所述用户的条目。
[方式5]
在所述方式1~方式4的任一方式中,优选的是,
在所述第1表的各条目中设定有有效期限,所述数据库是将经过了所述有效期限的条目从所述第1表中删除的数据库。
[方式6]
在所述方式1~方式5的任一方式中,优选的是,还包括:
进行用户认证并更新所述第1表的认证装置;和
受理所述第2表的更新内容的输入并更新所述第2表的策略管理终端。
[方式7]
在所述方式1~方式6的任一方式中,优选的是,
所述控制装置基于来自所述数据库的响应,对预定的转发节点设定将从相当于所述发送源的用户向被禁止访问的资源的数据包废弃的处理规则。
[方式8]
在所述方式1~方式7的任一方式中,优选的是,
在来自所述数据库的响应中,包含相当于所述发送源的用户能否访问所述资源的位置信息,
所述控制装置在从所述转发节点接收到所述处理规则的设定请求的情况下,不仅对接收到所述处理规则的设定请求的转发节点,还对与所述位置信息对应的转发节点设定访问所述资源或禁止访问所述资源的处理规则。
[方式9]
如所述第2观点所记载的数据库那样。
[方式10]
如所述第3观点所记载的控制装置那样。
[方式11]
如所述第4观点所记载的通信方法那样。
[方式12]
如所述第5观点所记载的程序那样。
此外,所述数据库、控制装置、通信方法以及程序,能够如方式1的通信***那样,同样地展开成方式2~方式8。
此外,将上述的专利文献及非专利文献的公开内容引用于本说明书中。在本发明的全部公开(包含权利要求书)的框架内,进而基于其基本的技术思想能够进行实施方式的变更、调整。另外,在本发明的权利要求书的框架内能够进行各种公开要素(包含各权利要求的各要素、各实施例的各要素、各附图的各要素等)的多种组合乃至选择。也就是说,本发明当然包含本领域技术人员根据包含权利要求书在内的全部公开、技术思想所能够想到的各种变形、修正。
附图标记说明
11 节点通信部
12 控制消息处理部
13 处理规则管理部
14 处理规则存储部
15 转发节点管理部
16 处理规则生成部
17 拓扑管理部
18 终端位置管理部
19 ACL信息查询部
100、100A、100B 用户终端
200A~200F 转发节点
201 转发节点组
300、300D~300F 控制装置
310 认证装置
320 综合访问管理装置(IAM)
321 访问控制策略存储部
322 资源信息存储部
323 访问控制策略管理部
330 ACL数据库
330A 数据库
331 认证信息表(第1表)
332 访问控制策略信息表(第2表)
340 策略管理终端
600 网络资源
600A 业务服务器
600B 管理工具
Claims (12)
1.一种通信***,包括:
多个转发节点,其根据处理规则来处理接收数据包,所述处理规则将用于特定流的匹配规则和适用于符合所述匹配规则的数据包的处理内容建立了对应;
数据库,其保持有第1表和第2表,并根据来自控制装置的请求,响应相当于发送源的用户能访问或不能访问的资源,其中,所述第1表用于根据与发送源有关的信息来特定相当于发送源的用户的角色,所述第2表按每个角色定义了能访问或不能访问的资源;和
控制装置,其在从所述转发节点接收到所述处理规则的设定请求的情况下,使用与所述处理规则的设定请求所包含的发送源有关的信息,对所述数据库查询相当于所述发送源的用户能访问或不能访问的资源,基于来自所述数据库的响应,生成所述处理规则并设定到所述转发节点。
2.根据权利要求1所述的通信***,其中,
所述第2表的条目使用访问控制策略信息和资源信息而生成,其中,所述访问控制策略信息按赋予给用户的每个角色定义了能访问或不能访问的资源的组,所述资源信息定义了属于所述各组的资源的详细内容。
3.根据权利要求2所述的通信***,其中,
还具有访问策略管理部,该访问策略管理部在访问控制策略信息和资源信息的至少一方被更新的情况下,更新所述第2表的所述被更新的位置所对应的条目。
4.根据权利要求1~3中任一项所述的通信***,其中,
在所述第1表中登记有认证成功的用户的条目,通过注销所述用户,从所述第1表中删除所述用户的条目。
5.根据权利要求1~4中任一项所述的通信***,其中,
在所述第1表的各条目中设定有有效期限,所述数据库从所述第1表中删除经过了所述有效期限的条目。
6.根据权利要求1~5中任一项所述的通信***,其中,
还包括:
进行用户认证并更新所述第1表的认证装置;和
受理所述第2表的更新内容的输入并更新所述第2表的策略管理终端。
7.根据权利要求1~6中任一项所述的通信***,其中,
所述控制装置基于来自所述数据库的响应,对预定的转发节点设定使从相当于所述发送源的用户发向被禁止访问的资源的数据包废弃的处理规则。
8.根据权利要求1~7中任一项所述的通信***,其中,
在来自所述数据库的响应中,包含有相当于所述发送源的用户能访问或不能访问所述资源的位置信息,
所述控制装置在从所述转发节点接收到所述处理规则的设定请求的情况下,不仅对接收到所述处理规则的设定请求的转发节点,还对与所述位置信息对应的转发节点设定访问所述资源或禁止访问所述资源的处理规则。
9.一种数据库,与控制装置连接,所述控制装置对按照处理规则处理接收数据包的多个转发节点设定所述处理规则,所述处理规则将用于特定流的匹配规则和适用于符合所述匹配规则的数据包的处理内容建立了对应,
所述数据库保持有第1表和第2表,其中,所述第1表用于根据与发送源有关的信息来特定相当于发送源的用户的角色,所述第2表按每个角色定义了能访问或不能访问的资源,
所述数据库根据来自所述控制装置的请求,响应相当于发送源的用户能访问或不能访问的资源。
10.一种控制装置,与多个转发节点和数据库连接,
所述多个转发节点根据处理规则处理接收数据包,所述处理规则将用于特定流的匹配规则和适用于符合所述匹配规则的数据包的处理内容建立了对应,
所述数据库保持有第1表和第2表,并根据来自控制装置的请求,响应相当于发送源的用户能访问或不能访问的资源,其中,所述第1表用于根据与发送源有关的信息来特定相当于发送源的用户的角色,所述第2表按每个角色定义了能访问或不能访问的资源,
所述控制装置在从所述转发节点接收到所述处理规则的设定请求的情况下,使用与所述处理规则的设定请求所包含的发送源有关的信息,对所述数据库查询相当于所述发送源的用户能访问或不能访问的资源,基于来自所述数据库的响应,生成所述处理规则并设定到所述转发节点。
11.一种通信方法,是包含多个转发节点、数据库和控制装置的通信***中的通信方法,其中,
所述多个转发节点根据处理规则来处理接收数据包,所述处理规则将用于特定流的匹配规则和适用于符合所述匹配规则的数据包的处理内容建立了对应,
所述数据库保持有第1表和第2表,并根据来自控制装置的请求,响应相当于发送源的用户能访问或不能访问的资源,所述第1表用于根据与发送源有关的信息来特定相当于发送源的用户的角色,所述第2表按每个角色定义了能访问或不能访问的资源,
所述控制装置对所述转发节点设定所述处理规则,
所述通信方法包括如下步骤:
所述控制装置在从所述转发节点接收到所述处理规则的设定请求的情况下,对所述数据库查询相当于所述发送源的用户能访问或不能访问的资源的步骤;和
所述控制装置基于来自所述数据库的响应,生成所述处理规则并设定到所述转发节点的步骤。
12.一种程序,是由搭载于控制装置的计算机执行的程序,
所述控制装置与多个转发节点和数据库连接并对所述转发节点设定处理规则,
所述多个转发节点根据所述处理规则来处理接收数据包,所述处理规则将用于特定流的匹配规则和适用于符合所述匹配规则的数据包的处理内容建立了对应,
所述数据库保持有第1表和第2表,并根据来自控制装置的请求,响应相当于发送源的用户能访问或不能访问的资源,其中,所述第1表用于根据与发送源有关的信息来特定相当于发送源的用户的角色,所述第2表按每个角色定义了能访问或不能访问的资源,
所述程序使所述计算机执行如下处理:
在从所述转发节点接收到所述处理规则的设定请求的情况下,对所述数据库查询相当于所述发送源的用户能访问或不能访问的资源的处理;和
基于来自所述数据库的响应,生成所述处理规则并设定到所述转发节点的处理。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011-034407 | 2011-02-21 | ||
| JP2011034407 | 2011-02-21 | ||
| PCT/JP2012/054013 WO2012115058A1 (ja) | 2011-02-21 | 2012-02-20 | 通信システム、データベース、制御装置、通信方法およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103404093A true CN103404093A (zh) | 2013-11-20 |
| CN103404093B CN103404093B (zh) | 2016-09-07 |
Family
ID=46720835
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280009911.XA Active CN103404093B (zh) | 2011-02-21 | 2012-02-20 | 通信***、数据库、控制装置、通信方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20130329738A1 (zh) |
| EP (1) | EP2680506A4 (zh) |
| JP (1) | JP5811171B2 (zh) |
| CN (1) | CN103404093B (zh) |
| BR (1) | BR112013021228A2 (zh) |
| RU (1) | RU2013143020A (zh) |
| WO (1) | WO2012115058A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105592066A (zh) * | 2015-11-05 | 2016-05-18 | 杭州华三通信技术有限公司 | 资源访问控制方法及装置 |
| CN106817300A (zh) * | 2015-12-01 | 2017-06-09 | 阿尔卡特朗讯 | 在sdn网络中控制及辅助控制用户数据流的方法和装置 |
| WO2017101627A1 (zh) * | 2015-12-17 | 2017-06-22 | 电信科学技术研究院 | 一种内容访问控制方法及相关设备 |
| CN112564946A (zh) * | 2020-11-23 | 2021-03-26 | 浪潮思科网络科技有限公司 | 一种基于sdn的应用程序终端组通信方法及装置 |
| CN113728600A (zh) * | 2019-09-11 | 2021-11-30 | Oppo广东移动通信有限公司 | 访问控制方法、设备及存储介质 |
| CN113824673A (zh) * | 2020-06-18 | 2021-12-21 | 应急管理部化学品登记中心 | 危化品公共信息服务平台细粒度操作控制方法和*** |
| CN113973116A (zh) * | 2020-07-22 | 2022-01-25 | 拉扎斯网络科技(上海)有限公司 | 资源管理方法、资源传播方法、装置、***、设备及介质 |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SG194457A1 (en) * | 2011-04-18 | 2013-12-30 | Nec Corp | Terminal, control device, communication method, communication system, communication module,program, and information processing device |
| WO2014061583A1 (ja) * | 2012-10-15 | 2014-04-24 | 日本電気株式会社 | 通信ノード、制御装置、通信システム、パケット処理方法及びプログラム |
| US9002982B2 (en) * | 2013-03-11 | 2015-04-07 | Amazon Technologies, Inc. | Automated desktop placement |
| WO2015008780A1 (ja) * | 2013-07-17 | 2015-01-22 | 日本電気株式会社 | 機器管理システム、機器管理方法及びプログラム |
| JP6244774B2 (ja) * | 2013-09-24 | 2017-12-13 | 日本電気株式会社 | アクセス制御装置、アクセス制御方法、及びアクセス制御プログラム |
| US10313397B2 (en) * | 2015-04-10 | 2019-06-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and devices for access control of data flows in software defined networking system |
| FR3060790A1 (fr) * | 2016-12-16 | 2018-06-22 | Orange | Procede d'utilisation d'un poste de travail etendu, et systeme d'utilisation d'un poste de travail etendu associe |
| CN109728930A (zh) * | 2017-10-31 | 2019-05-07 | ***通信有限公司研究院 | 一种网络访问方法、终端及网络设备 |
| JP6974737B2 (ja) * | 2018-07-27 | 2021-12-01 | 日本電信電話株式会社 | 情報処理装置、その設定方法及びプログラム |
| CN110958334B (zh) * | 2019-11-25 | 2022-08-09 | 新华三半导体技术有限公司 | 报文处理方法及装置 |
| US11520909B1 (en) * | 2020-03-04 | 2022-12-06 | Wells Fargo Bank, N.A. | Role-based object identifier schema |
| US11902282B2 (en) | 2021-05-28 | 2024-02-13 | Capital One Services, Llc | Validating compliance of roles with access permissions |
| US11562082B2 (en) * | 2021-05-28 | 2023-01-24 | Capital One Services, Llc | Crafting effective policies for identity and access management roles |
| CN114363428B (zh) * | 2022-01-06 | 2023-10-17 | 齐鲁空天信息研究院 | 基于socket的数据传递方法 |
| WO2023162147A1 (ja) * | 2022-02-25 | 2023-08-31 | 日本電信電話株式会社 | 通信装置、通信システム、通信方法、及びプログラム |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080189769A1 (en) * | 2007-02-01 | 2008-08-07 | Martin Casado | Secure network switching infrastructure |
| US20090138577A1 (en) * | 2007-09-26 | 2009-05-28 | Nicira Networks | Network operating system for managing and securing networks |
| US20100048165A1 (en) * | 2006-10-20 | 2010-02-25 | Caldwell Christopher E | System and method for rating an ip-based wireless telecommunications based on access point |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7814311B2 (en) * | 2006-03-10 | 2010-10-12 | Cisco Technology, Inc. | Role aware network security enforcement |
| JP5159571B2 (ja) * | 2008-11-13 | 2013-03-06 | 三菱電機株式会社 | アクセス制御装置、アクセス制御装置のアクセス制御方法およびアクセス制御プログラム |
| WO2011081104A1 (ja) * | 2010-01-04 | 2011-07-07 | 日本電気株式会社 | 通信システム、認証装置、制御サーバ、通信方法およびプログラム |
| JP5862577B2 (ja) * | 2010-12-24 | 2016-02-16 | 日本電気株式会社 | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム |
-
2012
- 2012-02-20 BR BR112013021228-4A patent/BR112013021228A2/pt not_active IP Right Cessation
- 2012-02-20 US US14/000,541 patent/US20130329738A1/en not_active Abandoned
- 2012-02-20 CN CN201280009911.XA patent/CN103404093B/zh active Active
- 2012-02-20 RU RU2013143020/08A patent/RU2013143020A/ru not_active Application Discontinuation
- 2012-02-20 EP EP12749663.6A patent/EP2680506A4/en not_active Withdrawn
- 2012-02-20 WO PCT/JP2012/054013 patent/WO2012115058A1/ja active Application Filing
- 2012-02-20 JP JP2013501034A patent/JP5811171B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100048165A1 (en) * | 2006-10-20 | 2010-02-25 | Caldwell Christopher E | System and method for rating an ip-based wireless telecommunications based on access point |
| US20080189769A1 (en) * | 2007-02-01 | 2008-08-07 | Martin Casado | Secure network switching infrastructure |
| US20090138577A1 (en) * | 2007-09-26 | 2009-05-28 | Nicira Networks | Network operating system for managing and securing networks |
Non-Patent Citations (1)
| Title |
|---|
| CASADO 等: "Ethane: Taking Control of the Enterprise", 《SIGCOMM’07》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105592066A (zh) * | 2015-11-05 | 2016-05-18 | 杭州华三通信技术有限公司 | 资源访问控制方法及装置 |
| CN105592066B (zh) * | 2015-11-05 | 2019-01-08 | 新华三技术有限公司 | 资源访问控制方法及装置 |
| CN106817300A (zh) * | 2015-12-01 | 2017-06-09 | 阿尔卡特朗讯 | 在sdn网络中控制及辅助控制用户数据流的方法和装置 |
| WO2017101627A1 (zh) * | 2015-12-17 | 2017-06-22 | 电信科学技术研究院 | 一种内容访问控制方法及相关设备 |
| CN106899543A (zh) * | 2015-12-17 | 2017-06-27 | 电信科学技术研究院 | 一种内容访问控制方法及相关设备 |
| CN113728600A (zh) * | 2019-09-11 | 2021-11-30 | Oppo广东移动通信有限公司 | 访问控制方法、设备及存储介质 |
| CN113728600B (zh) * | 2019-09-11 | 2023-10-24 | Oppo广东移动通信有限公司 | 访问控制方法、设备及存储介质 |
| CN113824673A (zh) * | 2020-06-18 | 2021-12-21 | 应急管理部化学品登记中心 | 危化品公共信息服务平台细粒度操作控制方法和*** |
| CN113973116A (zh) * | 2020-07-22 | 2022-01-25 | 拉扎斯网络科技(上海)有限公司 | 资源管理方法、资源传播方法、装置、***、设备及介质 |
| CN112564946A (zh) * | 2020-11-23 | 2021-03-26 | 浪潮思科网络科技有限公司 | 一种基于sdn的应用程序终端组通信方法及装置 |
| CN112564946B (zh) * | 2020-11-23 | 2022-11-11 | 浪潮思科网络科技有限公司 | 一种基于sdn的应用程序终端组通信方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103404093B (zh) | 2016-09-07 |
| US20130329738A1 (en) | 2013-12-12 |
| JPWO2012115058A1 (ja) | 2014-07-07 |
| RU2013143020A (ru) | 2015-03-27 |
| EP2680506A1 (en) | 2014-01-01 |
| EP2680506A4 (en) | 2015-08-12 |
| BR112013021228A2 (pt) | 2020-10-27 |
| WO2012115058A1 (ja) | 2012-08-30 |
| JP5811171B2 (ja) | 2015-11-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103404093A (zh) | 通信***、数据库、控制装置、通信方法以及程序 | |
| KR101685471B1 (ko) | 단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체, 및 정보 처리 디바이스 | |
| JP5370592B2 (ja) | 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置 | |
| JP5943006B2 (ja) | 通信システム、制御装置、通信方法およびプログラム | |
| JP5862577B2 (ja) | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム | |
| JP5811179B2 (ja) | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム | |
| JP5812108B2 (ja) | 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置 | |
| JP2014516215A (ja) | 通信システム、制御装置、処理規則設定方法およびプログラム | |
| JP6424820B2 (ja) | 機器管理システム、機器管理方法及びプログラム | |
| CN103119902A (zh) | 通信***、策略管理装置、通信方法及程序 | |
| CN103299589A (zh) | 通信***、控制装置、通信方法以及程序 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |