JP2013187707A - ホスト提供システム及び通信制御方法 - Google Patents
ホスト提供システム及び通信制御方法 Download PDFInfo
- Publication number
- JP2013187707A JP2013187707A JP2012050696A JP2012050696A JP2013187707A JP 2013187707 A JP2013187707 A JP 2013187707A JP 2012050696 A JP2012050696 A JP 2012050696A JP 2012050696 A JP2012050696 A JP 2012050696A JP 2013187707 A JP2013187707 A JP 2013187707A
- Authority
- JP
- Japan
- Prior art keywords
- storage
- communication data
- communication
- access
- instance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 307
- 238000000034 method Methods 0.000 title claims description 44
- 230000005540 biological transmission Effects 0.000 claims abstract description 106
- 238000003860 storage Methods 0.000 claims description 216
- 230000004044 response Effects 0.000 claims description 5
- 230000014759 maintenance of location Effects 0.000 claims description 4
- 239000000284 extract Substances 0.000 description 13
- 238000010586 diagram Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 12
- 230000004913 activation Effects 0.000 description 7
- 230000002776 aggregation Effects 0.000 description 5
- 238000004220 aggregation Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000012423 maintenance Methods 0.000 description 4
- 230000015556 catabolic process Effects 0.000 description 2
- 238000006731 degradation reaction Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- TVEXGJYMHHTVKP-UHFFFAOYSA-N 6-oxabicyclo[3.2.1]oct-3-en-7-one Chemical compound C1C2C(=O)OC1C=CC2 TVEXGJYMHHTVKP-UHFFFAOYSA-N 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
- H04L45/308—Route determination based on user's profile, e.g. premium users
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/72—Routing based on the source address
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
- H04L49/354—Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【解決手段】ホスト提供システム1は、物理インスタンス71からの通信データに含まれる送信元を示す情報及び送信先を示す情報の各々に対応付けられるユーザを示す情報が一致するか否かにより通信可否を判定し、判定結果に基づき通信データを制御する物理ホストネットワークスイッチ9を含む。これにより、同一ユーザのインスタンス間の通信のみが許可されることとなり、物理インスタンスからの通信が適切に制御されるので、システムにおけるセキュリティの担保が可能となる。
【選択図】図2
Description
Claims (11)
- ユーザ端末からの要求に応じて所定のハードウエアリソースからなるインスタンスをホストコンピュータとして当該ユーザ端末に第1のネットワークを介して利用可能に提供し、第2のネットワークを介して互いに通信可能な複数の物理サーバを含み、前記物理サーバに単独で物理的に構成される物理インスタンスを物理ホストとして提供するホスト提供システムであって、
一の物理インスタンスから、他のインスタンスを送信先とする通信データを前記第2のネットワークを介して受け付ける通信データ受付手段と、
前記通信データ受付手段により受け付けられた通信データに含まれる送信元を示す情報及び送信先を示す情報の各々に対応付けられるユーザを示す情報が一致するか否かにより通信可否を判定する判定手段と、
前記判定手段により通信許可判定された場合には、前記送信先に対する通信を許可すると共に前記送信先に前記通信データを送出し、通信許可判定されなかった場合には、前記送信先に対する通信を不許可として前記送信先に前記通信データを送出しない、通信データ制御手段と、
を備えるホスト提供システム。 - 前記判定手段は、
送信元又は送信先を示す情報に、当該通信データを受け付けるポートのポート識別情報及びユーザのユーザ識別情報が対応付けられたテーブルを参照し、
前記送信元を示す情報に対応付けられたポートの識別情報を第1のポート識別情報として抽出し、該第1のポート識別情報に対応付けられたユーザ識別情報を第1のユーザ識別情報として抽出し、
前記送信先を示す情報に対応付けられたポートの識別情報を第2のポート識別情報として抽出し、該第2のポート識別情報に対応付けられたユーザ識別情報を第2のユーザ識別情報として抽出し、
前記第1のユーザ情報と前記第2のユーザ情報とが一致するか否かにより通信可否を判定する、
請求項1に記載のホスト提供システム。 - 前記判定手段は、前記通信データの送信元及び送信先を示す情報のうちの少なくとも一つが、前記通信データを受け付けるポートごとに予め設定された所定の認証ルールのうちの、前記一の物理インスタンスが接続されたポートに対して設定された認証ルールに該当するか否かを更に判定することにより、前記通信データの通信可否を判定する、
請求項1または2に記載のホスト提供システム。 - 複数の仮想インスタンスを仮想的に構成可能であって該仮想インスタンスを仮想ホストとして前記第1のネットワークを介してユーザ端末に提供可能であって、前記第2のネットワークを介して他のサーバと通信可能な仮想インスタンス用サーバを1以上含み、
前記通信データ制御手段は、前記第2のネットワークにおいて仮想的に一のユーザに固有に割り当てられて構成された仮想ネットワークを識別する仮想ネットワーク識別子を前記通信データに付加する、
請求項1〜3のいずれか1項に記載のホスト提供システム。 - 各インスタンスに対応付けられた複数のストレージからなり、前記第2のネットワークを介してアクセス可能なストレージ群と、
前記インスタンスからストレージに対するアクセスであって、前記インスタンスを識別するIPアドレス及びアクセス対象のストレージを識別するストレージ識別子を含むアクセスを受け付けるアクセス受付手段と、
前記ストレージ識別子に、当該ストレージを割り当てられたインスタンスのIPアドレスを対応付けて記憶しているストレージ属性記憶手段と、
前記アクセス受付手段により受け付けられたアクセスに含まれるIPアドレスが、前記ストレージ属性記憶手段において前記アクセスの対象のストレージのストレージ識別子に対応付けられたIPアドレスに該当するか否かを判定するアクセス可否判定手段と、
前記アクセス可否判定手段により、前記アクセスに含まれるIPアドレスが、前記ストレージ識別子に対応付けられたIPアドレスに該当すると判定された場合には、前記ストレージに対するアクセスを許可すると共に前記アクセスを該ストレージに送出し、前記アクセスに含まれるIPアドレスが、前記ストレージ識別子に対応付けられたIPアドレスに該当しないと判定された場合には、該ストレージに対するアクセスを不許可として該アクセスを該ストレージに送出しない、アクセス制御手段と、
を更に含む請求項1〜4のいずれか1項に記載のホスト提供システム。 - 前記認証ルールのうちの第1の認証ルールは、前記通信データ受付手段により受け付けられた通信データに含まれる、送信元のポート番号がDHCPプロトコルにおけるサーバを示す番号であって、送信先のポート番号がDHCPプロトコルにおけるクライアントを示す番号であること、であって、
前記判定手段は、前記通信データが前記第1の認証ルールに該当する場合に、該通信データの通信を不可と判定する、
請求項1〜5のいずれか1項に記載のホスト提供システム。 - 前記認証ルールのうちの第2の認証ルールは、前記通信データ受付手段により受け付けられた通信データに含まれる、送信元のポート番号がDHCPプロトコルにおけるクライアントを示す番号であって、送信先のポート番号がDHCPプロトコルにおけるサーバを示す番号であること、であって、
前記判定手段は、前記通信データが前記第2の認証ルールに該当する場合に、該通信データの通信許可判定する、
請求項1〜6のいずれか1項に記載のホスト提供システム。 - 前記認証ルールのうちの第3の認証ルールは、前記通信データ受付手段により受け付けられた通信データに含まれる、送信元のMACアドレス及び送信元のIPアドレスがそれぞれ、前記通信データを受け付けたポートに接続された物理インスタンスのMACアドレス及びIPアドレスに該当すること、であって、
前記判定手段は、前記通信データが前記第3の認証ルールに該当する場合に、該通信データの通信許可判定する、
請求項1〜7のいずれか1項に記載のホスト提供システム。 - ユーザ端末からの要求に応じて所定のハードウエアリソースからなるインスタンスをホストコンピュータとして当該ユーザ端末に第1のネットワークを介して利用可能に提供し、第2のネットワークを介して互いに通信可能な複数の物理サーバを含み、前記物理サーバに単独で物理的に構成される物理インスタンスを物理ホストとして提供するホスト提供システムにおける、前記インスタンス間の通信を制御する通信制御方法であって、
一の物理インスタンスから、他のインスタンスを送信先とする通信データを前記第2のネットワークを介して受け付ける通信データ受付ステップと、
前記通信データ受付ステップにおいて受け付けられた通信データに含まれる送信元を示す情報及び送信先を示す情報の各々に対応付けられるユーザを示す情報が一致するか否かにより通信可否を判定する判定ステップと、
前記判定ステップにおいて通信許可判定された場合には、前記送信先に対する通信を許可すると共に前記送信先に前記通信データを送出し、通信許可判定されなかった場合には、前記送信先に対する通信を不許可として前記送信先に前記通信データを送出しない、通信データ制御ステップと、
を有する通信制御方法。 - 前記判定ステップは、前記通信データの送信元及び送信先を示す情報のうちの少なくとも一つが、前記通信データを受け付けるポートごとに予め設定された所定の認証ルールのうちの、前記一の物理インスタンスが接続されたポートに対して設定された認証ルールに該当するか否かを更に判定することにより、前記通信データの通信可否を判定する、
請求項9に記載の通信制御方法。 - 前記ホスト提供システムは、
各インスタンスに対応付けられた複数のストレージからなり、前記第2のネットワークを介してアクセス可能なストレージ群と、
前記ストレージを識別するストレージ識別子に、当該ストレージを割り当てられたインスタンスのIPアドレスを対応付けて記憶しているストレージ属性記憶手段と、を含み、
当該通信制御方法は、
前記インスタンスからストレージに対するアクセスであって、前記インスタンスを識別するIPアドレス及びアクセス対象のストレージを識別するストレージ識別子を含むアクセスを受け付けるアクセス受付ステップと、
前記アクセス受付ステップにおいて受け付けられたアクセスに含まれるIPアドレスが、前記ストレージ属性記憶手段において前記アクセスの対象のストレージのストレージ識別子に対応付けられたIPアドレスに該当するか否かを判定するアクセス可否判定ステップと、
前記アクセス可否判定ステップにおいて、前記アクセスに含まれるIPアドレスが、前記ストレージ識別子に対応付けられたIPアドレスに該当すると判定された場合には、前記ストレージに対するアクセスを許可すると共に前記アクセスを該ストレージに送出し、前記アクセスに含まれるIPアドレスが、前記ストレージ識別子に対応付けられたIPアドレスに該当しないと判定された場合には、該ストレージに対するアクセスを不許可として該アクセスを該ストレージに送出しない、アクセス制御ステップと、
を更に有する請求項9または10に記載の通信制御方法。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012050696A JP5466723B2 (ja) | 2012-03-07 | 2012-03-07 | ホスト提供システム及び通信制御方法 |
US14/383,375 US9584481B2 (en) | 2012-03-07 | 2013-01-24 | Host providing system and communication control method |
EP13757511.4A EP2824872B1 (en) | 2012-03-07 | 2013-01-24 | Host providing system and communication control method |
PCT/JP2013/051429 WO2013132909A1 (ja) | 2012-03-07 | 2013-01-24 | ホスト提供システム及び通信制御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012050696A JP5466723B2 (ja) | 2012-03-07 | 2012-03-07 | ホスト提供システム及び通信制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013187707A true JP2013187707A (ja) | 2013-09-19 |
JP5466723B2 JP5466723B2 (ja) | 2014-04-09 |
Family
ID=49116396
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012050696A Active JP5466723B2 (ja) | 2012-03-07 | 2012-03-07 | ホスト提供システム及び通信制御方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9584481B2 (ja) |
EP (1) | EP2824872B1 (ja) |
JP (1) | JP5466723B2 (ja) |
WO (1) | WO2013132909A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020099058A (ja) * | 2015-09-15 | 2020-06-25 | グーグル エルエルシー | コンピュータネットワークにおいてパケットを処理するためのシステムおよび方法 |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3214805B1 (en) * | 2014-11-28 | 2020-09-02 | Huawei Technologies Co., Ltd. | Method and device for transmitting control signalling |
WO2016138612A1 (en) * | 2015-03-02 | 2016-09-09 | Microsoft Technology Licensing, Llc | Proxy service for uploading data from a source to a destination |
JP2017143497A (ja) * | 2016-02-12 | 2017-08-17 | 富士通株式会社 | パケット転送装置及びパケット転送方法 |
US10404702B1 (en) * | 2016-03-30 | 2019-09-03 | EMC IP Holding Company LLC | System and method for tenant network identity-based authentication and authorization for administrative access in a protection storage system |
CN107579948B (zh) * | 2016-07-05 | 2022-05-10 | 华为技术有限公司 | 一种网络安全的管理***、方法及装置 |
CN106911697B (zh) * | 2017-02-28 | 2018-06-01 | 北京百度网讯科技有限公司 | 访问权限设置方法、装置、服务器及存储介质 |
WO2018161010A1 (en) | 2017-03-03 | 2018-09-07 | Gentherm Incorporated | Dual voltage battery system for a vehicle |
CN110198202B (zh) * | 2019-06-03 | 2022-01-28 | 北京润科通用技术有限公司 | 一种afdx总线消息数据源的校验方法及装置 |
CN114911725A (zh) * | 2021-02-10 | 2022-08-16 | 华为技术有限公司 | 通信方法、装置及*** |
CN115085998A (zh) * | 2022-06-09 | 2022-09-20 | 陈敏琴 | 一种基于大数据的安全访问控制*** |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004032205A (ja) * | 2002-06-24 | 2004-01-29 | Fujitsu Ltd | Ip電話システム |
JP2005175635A (ja) * | 2003-12-08 | 2005-06-30 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク間接続制御方法及びシステム装置 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3996288B2 (ja) * | 1998-12-07 | 2007-10-24 | 株式会社日立製作所 | 通信ネットワークシステムの管理方法および情報中継装置 |
US20050182966A1 (en) * | 2004-02-17 | 2005-08-18 | Duc Pham | Secure interprocess communications binding system and methods |
US7443860B2 (en) * | 2004-06-08 | 2008-10-28 | Sun Microsystems, Inc. | Method and apparatus for source authentication in a communications network |
US8407366B2 (en) | 2010-05-14 | 2013-03-26 | Microsoft Corporation | Interconnecting members of a virtual network |
US8880657B1 (en) * | 2011-06-28 | 2014-11-04 | Gogrid, LLC | System and method for configuring and managing virtual grids |
WO2013147053A1 (ja) * | 2012-03-30 | 2013-10-03 | 日本電気株式会社 | 制御装置、通信装置、通信方法及びプログラム |
-
2012
- 2012-03-07 JP JP2012050696A patent/JP5466723B2/ja active Active
-
2013
- 2013-01-24 EP EP13757511.4A patent/EP2824872B1/en not_active Not-in-force
- 2013-01-24 US US14/383,375 patent/US9584481B2/en active Active
- 2013-01-24 WO PCT/JP2013/051429 patent/WO2013132909A1/ja active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004032205A (ja) * | 2002-06-24 | 2004-01-29 | Fujitsu Ltd | Ip電話システム |
JP2005175635A (ja) * | 2003-12-08 | 2005-06-30 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク間接続制御方法及びシステム装置 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020099058A (ja) * | 2015-09-15 | 2020-06-25 | グーグル エルエルシー | コンピュータネットワークにおいてパケットを処理するためのシステムおよび方法 |
Also Published As
Publication number | Publication date |
---|---|
JP5466723B2 (ja) | 2014-04-09 |
WO2013132909A1 (ja) | 2013-09-12 |
EP2824872A4 (en) | 2015-12-02 |
EP2824872B1 (en) | 2019-01-02 |
US20150026780A1 (en) | 2015-01-22 |
EP2824872A1 (en) | 2015-01-14 |
US9584481B2 (en) | 2017-02-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5466723B2 (ja) | ホスト提供システム及び通信制御方法 | |
US11088903B2 (en) | Hybrid cloud network configuration management | |
CN107690800B (zh) | 管理动态ip地址分配 | |
US8510447B2 (en) | Direct addressability and direct server return | |
US9509615B2 (en) | Managing link aggregation traffic in a virtual environment | |
US8767737B2 (en) | Data center network system and packet forwarding method thereof | |
US9756010B2 (en) | Resolving network address conflicts | |
US8948399B2 (en) | Dynamic key management | |
JP6940240B2 (ja) | 証明書取得方法、認証方法及びネットワークデバイス | |
US10447703B2 (en) | VNF package operation method and apparatus | |
US9350666B2 (en) | Managing link aggregation traffic in a virtual environment | |
JP2009540408A (ja) | 記憶装置に対するセキュア・アクセス制御のためのシステム、方法、およびコンピュータ・プログラム | |
CN106878084B (zh) | 一种权限控制方法和装置 | |
WO2014190791A1 (zh) | 一种网关设备身份设置的方法及管理网关设备 | |
US20190020656A1 (en) | Virtual address for controller in a controller cluster | |
US20170279689A1 (en) | Software defined network controller for implementing tenant specific policy | |
JP5503678B2 (ja) | ホスト提供システム及びホスト提供方法 | |
US10104015B2 (en) | Gateway/standalone fibre channel switch system | |
US10567492B1 (en) | Methods for load balancing in a federated identity environment and devices thereof | |
US9479490B2 (en) | Methods and systems for single sign-on while protecting user privacy | |
US20150244824A1 (en) | Control Method, Control Device, and Processor in Software Defined Network | |
JP2016116184A (ja) | 網監視装置および仮想ネットワーク管理方法 | |
CN108462683B (zh) | 认证方法和装置 | |
JP2016144186A (ja) | 通信情報制御装置、中継システム、通信情報制御方法、および、通信情報制御プログラム | |
CN112583655A (zh) | 数据传输方法、装置、电子设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130816 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131022 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131115 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140107 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140124 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5466723 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |