專利名稱:通信系統(tǒng)、策略管理裝置�、通信方法及程序的制作方法
技術(shù)領(lǐng)域:
(關(guān)于相關(guān)申請的記載)本發(fā)明基于日本國專利申請:特愿2011-204487號(2011年9月20日申請)主張優(yōu)先權(quán),該申請的全部記載內(nèi)容被引用而編入記載在本說明書中��。本發(fā)明涉及通信系統(tǒng)����、策略管理裝置、通信方法及程序�,尤其涉及通過配置在網(wǎng)絡(luò)上的轉(zhuǎn)發(fā)節(jié)點來轉(zhuǎn)發(fā)數(shù)據(jù)包以實現(xiàn)通信的通信系統(tǒng)、策略管理裝置���、通信方法及程序����。
背景技術(shù):
在專利文獻(xiàn)1���、非專利文獻(xiàn)1��、2中記載有OpenFlow這一技術(shù)。在OpenFlow中��,將通信作為端對端的流而掌握,基于流單位進(jìn)行路徑控制���、障礙恢復(fù)��、負(fù)載分散及最佳化���。在非專利文獻(xiàn)2中被標(biāo)準(zhǔn)化的OpenFlow交換機具有用于與相當(dāng)于控制裝置的OpenFlow控制器進(jìn)行通信的安全通道。OpenFlow交換機根據(jù)由OpenFlow控制器適當(dāng)指示追加或重寫的流表而工作��。在流表中���,對每一個流定義與數(shù)據(jù)包報頭匹配的匹配規(guī)則(報頭字段:HeaderField)�、流統(tǒng)計信息(計數(shù)器:Counters)和定義了處理內(nèi)容的動作(Actions)的組(參照圖3)�����。例如�����,當(dāng)OpenFlow交換機接收數(shù)據(jù)包時,從流表中對具有符合接收數(shù)據(jù)包的報頭信息的匹配規(guī)則(參照圖3的報頭字段)的條目(entry)進(jìn)行檢索��。關(guān)于檢索結(jié)果��,在找到符合接收數(shù)據(jù)包的條目的情況下,OpenFlow交換機更新流統(tǒng)計信息(計數(shù)器)并對接收數(shù)據(jù)包實施在該條目的動作字段中記載的處理內(nèi)容(例如�,來自指定端口的數(shù)據(jù)包發(fā)送、洪泛(flooding)����、廢棄等)。另一方面���,關(guān)于檢索結(jié)果���,在沒有找到符合接收數(shù)據(jù)包的條目的情況下,OpenFlow交換機經(jīng)由安全通道對OpenFlow控制器轉(zhuǎn)發(fā)接收數(shù)據(jù)包�,委托基于接收數(shù)據(jù)包的發(fā)送源/發(fā)送目標(biāo)的數(shù)據(jù)包的路徑的確定。另外��,OpenFlow交換機從OpenFlow控制器接收用于實現(xiàn)按照該路徑的數(shù)據(jù)包轉(zhuǎn)發(fā)的流條目���,并更新流表��。像這樣��,OpenFlow交換機將存儲在流表中的條目用作處理規(guī)則�����,由此進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)?���,F(xiàn)有技術(shù)文獻(xiàn)專利文獻(xiàn)專利文獻(xiàn)1:國際公開第2008/095010號非專利文獻(xiàn)非專利文獻(xiàn)1:Nick McKeown 及其他 7 名�,“OpenFlow:Enabling Innovation inCampus Networks, ” March 14, 2008 [online],[平成 23 年 9 月 7 日檢索],互聯(lián)網(wǎng)〈URLhttp://www.0penflowswitch.0rg/documents/openflow-wp-latest.pdf>。非專利文獻(xiàn)2:“0penFlow Switch Specification���,�,Version
1.1.0Implemented (Wire Protocol 0 X 02)February 28,2011, [online],[平成23年 9 月 7 日檢索]���,互聯(lián)網(wǎng)〈URL:http://www.0penflowswitch.0rg/documents/openflow-spec-vl.1.0.pdf>���。
發(fā)明內(nèi)容
上述專利文獻(xiàn)及非專利文獻(xiàn)的全部公開內(nèi)容被本說明書引用而編入記載。以下分析是通過本發(fā)明而提供的��。專利文獻(xiàn)I所記載的OpenFlow控制器即OpenFlow的控制裝置,在發(fā)生新的流時參照訪問控制規(guī)則進(jìn)行權(quán)限檢查���,然后��,通過計算路徑來進(jìn)行訪問控制(參照專利文獻(xiàn)I的)��。在此���,在發(fā)生新的流時參照的訪問控制規(guī)則通過接收由策略管理裝置生成的訪問控制列表(ACL -.Access Control List)而更新���。當(dāng)策略管理裝置生成ACL時,需要訪問源的主機和訪問目標(biāo)的網(wǎng)絡(luò)資源的信息����。網(wǎng)絡(luò)管理者或要求訪問控制的用戶通過手動作業(yè)將這些信息輸入至策略管理裝置也能夠進(jìn)行訪問控制。但是�����,根據(jù)所述方法�����,網(wǎng)絡(luò)管理者及用戶要花費大量工夫����,在大規(guī)模的網(wǎng)絡(luò)、以及主機和網(wǎng)絡(luò)資源的連接狀態(tài)頻繁變化的環(huán)境下難以進(jìn)行訪問控制����。另一方面,若能夠通過系統(tǒng)使這些信息的收集作業(yè)自動化,則能夠大幅節(jié)省網(wǎng)絡(luò)管理者及用戶的工夫�����。此時��,在大規(guī)模的網(wǎng)絡(luò)���、以及主機和網(wǎng)絡(luò)資源的連接狀態(tài)頻繁變化那樣的環(huán)境下,能夠簡單可行地節(jié)省精力及時間來進(jìn)行訪問控制�����。另外���,為了設(shè)定訪問控制內(nèi)容�����,對策略管理裝置使用指定了主機及網(wǎng)絡(luò)資源的信息的訪問控制策略��。策略管理裝置根據(jù)訪問控制策略生成ACL���。在對訪問控制策略指定主機及網(wǎng)絡(luò)資源的信息時,需要指定主機及網(wǎng)絡(luò)資源的在網(wǎng)絡(luò)環(huán)境內(nèi)成為標(biāo)識符的當(dāng)前時刻的地址信息等。在成為訪問控制對象的主機或網(wǎng)絡(luò)資源的場所或連接狀態(tài)發(fā)生變化的情況下����,在主機或網(wǎng)絡(luò)資源的網(wǎng)絡(luò)上發(fā)生生滅或地址變化。為了正確地進(jìn)行訪問控制�,必須與該變化相應(yīng)地實時地更新訪問控制策略,并根據(jù)更新后的訪問控制策略重新生成ACL�����,從而更新控制裝置所持有的訪問控制規(guī)則��。網(wǎng)絡(luò)管理者或要求訪問控制的用戶通過手動作業(yè)將這些信息輸入至策略管理裝置也能夠進(jìn)行訪問控制���。但是���,根據(jù)所述方法,網(wǎng)絡(luò)管理者和用戶要花費大量工夫�����,在大規(guī)模的網(wǎng)絡(luò)��、以及主機和網(wǎng)絡(luò)資源的連接狀態(tài)頻繁變化那樣的環(huán)境下難以進(jìn)行訪問控制�����。另一方面,通過系統(tǒng)使這些信息的指定作業(yè)半自動化��,由此����,只要能夠?qū)W(wǎng)絡(luò)管理者及用戶提供一旦指定則隨后自動追蹤變化那樣的抽象化的容易理解的指定方法,就能夠大幅節(jié)省網(wǎng)絡(luò)管理者及用戶的工夫����。此時�,在大規(guī)模的網(wǎng)絡(luò)、以及主機和網(wǎng)絡(luò)資源的連接狀態(tài)頻繁變化那樣的環(huán)境下���,能夠簡單可行地節(jié)省精力及時間來進(jìn)行訪問控制����。但是���,為了實現(xiàn)上述那樣的解決�����,需要具有對訪問源的主機的信息及訪問目標(biāo)的網(wǎng)絡(luò)資源的信息實時地收集當(dāng)前的連接狀態(tài)�、根據(jù)在訪問控制策略中記載的抽象的指定來查找出具體的主機及網(wǎng)絡(luò)資源的信息的功能。因此�����,期望在存在大量設(shè)備且連接狀態(tài)頻繁變化的情況下�、或存在大量用戶且連接狀態(tài)頻繁變化的情況下也能夠?qū)崟r地更新訪問控制。本發(fā)明的目的在于提供有助于實現(xiàn)所述期望的通信系統(tǒng)����、策略管理裝置、通信方法及程序�。本發(fā)明的第I觀點的通信系統(tǒng)的特征在于,具有:根據(jù)處理規(guī)則對數(shù)據(jù)包進(jìn)行處理的多個轉(zhuǎn)發(fā)節(jié)點�;對所述多個轉(zhuǎn)發(fā)節(jié)點進(jìn)行控制的控制裝置;對使用與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的用戶進(jìn)行認(rèn)證的認(rèn)證裝置��;和策略管理裝置�����,具有第I關(guān)聯(lián)機構(gòu)及/或第2關(guān)聯(lián)機構(gòu)�����,所述第I關(guān)聯(lián)機構(gòu)將訪問控制對象的主機的標(biāo)識符和主機所連接的轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符關(guān)聯(lián)在一起,所述第2關(guān)聯(lián)機構(gòu)將訪問控制對象的主機的標(biāo)識符和使用主機的用戶的標(biāo)識符關(guān)聯(lián)在一起����,所述策略管理裝置保持訪問控制策略,所述訪問控制策略使用轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符及/或用戶的標(biāo)識符來確定訪問控制對象的主機����,所述多個轉(zhuǎn)發(fā)節(jié)點分別將與轉(zhuǎn)發(fā)節(jié)點自身連接的主機的標(biāo)識符和轉(zhuǎn)發(fā)節(jié)點自身的標(biāo)識符的組發(fā)送至所述策略管理裝置,所述認(rèn)證裝置將與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的標(biāo)識符和用戶的標(biāo)識符的組發(fā)送至所述策略管理裝置�,所述策略管理裝置參照所述訪問控制策略,在與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機為訪問控制對象的情況下����,將訪問控制的內(nèi)容作為訪問控制列表通知至所述控制裝置,所述控制裝置根據(jù)所述訪問控制列表生成所述處理規(guī)則����,并對所述多個轉(zhuǎn)發(fā)節(jié)點進(jìn)行設(shè)定�����。本發(fā)明的第2觀點的策略管理裝置位于通信系統(tǒng)中���,所述通信系統(tǒng)具有:根據(jù)處理規(guī)則對數(shù)據(jù)包進(jìn)行處理的多個轉(zhuǎn)發(fā)節(jié)點�����;根據(jù)訪問控制列表生成該處理規(guī)則并對該多個轉(zhuǎn)發(fā)節(jié)點進(jìn)行設(shè)定的控制裝置�;和對使用與該多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的用戶進(jìn)行認(rèn)證的認(rèn)證裝置,所述策略管理裝置的特征在于�����,具有:第I關(guān)聯(lián)機構(gòu)及/或第2關(guān)聯(lián)機構(gòu)�,所述第I關(guān)聯(lián)機構(gòu)將訪問控制對象的主機的標(biāo)識符和主機所連接的轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符關(guān)聯(lián)在一起,所述第2關(guān)聯(lián)機構(gòu)將訪問控制對象的主機的標(biāo)識符和使用主機的用戶的標(biāo)識符關(guān)聯(lián)在一起�;和保持訪問控制策略的訪問控制策略存儲部,所述訪問控制策略使用轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符及/或用戶的標(biāo)識符來確定訪問控制對象的主機�����,所述策略管理裝置分別從所述多個轉(zhuǎn)發(fā)節(jié)點接收與轉(zhuǎn)發(fā)節(jié)點自身連接的主機的標(biāo)識符和轉(zhuǎn)發(fā)節(jié)點自身的標(biāo)識符的組��,并從所述認(rèn)證裝置接收與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的標(biāo)識符和用戶的標(biāo)識符的組����,所述策略管理裝置參照所述訪問控制策略,在與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機為訪問控制對象的情況下�,將訪問控制的內(nèi)容作為所述訪問控制列表通知至所述控制裝置。本發(fā)明的第3觀點的通信方法���,用于通信系統(tǒng)中����,所述通信系統(tǒng)具有:多個轉(zhuǎn)發(fā)節(jié)點;對該多個轉(zhuǎn)發(fā)節(jié)點進(jìn)行控制的控制裝置��;對使用與該多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的用戶進(jìn)行認(rèn)證的認(rèn)證裝置����;和保持訪問控制策略的策略管理裝置,其中�����,訪問控制策略使用轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符及/或用戶的標(biāo)識符來確定訪問控制對象的主機���,所述通信方法包含以下步驟:所述多個轉(zhuǎn)發(fā)節(jié)點分別將與轉(zhuǎn)發(fā)節(jié)點自身連接的主機的標(biāo)識符和轉(zhuǎn)發(fā)節(jié)點自身的標(biāo)識符的組發(fā)送至所述策略管理裝置的步驟�����;所述認(rèn)證裝置將與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的標(biāo)識符和用戶的標(biāo)識符的組發(fā)送至所述策略管理裝置的步驟;所述策略管理裝置將訪問控制對象的主機的標(biāo)識符和主機所連接的轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符關(guān)聯(lián)在一起的步驟����,及/或所述策略管理裝置將訪問控制對象的主機的標(biāo)識符和使用主機的用戶的標(biāo)識符關(guān)聯(lián)在一起的步驟���;所述策略管理裝置參照所述訪問控制策略,在與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機為訪問控制對象的情況下��,將訪問控制的內(nèi)容作為訪問控制列表通知至所述控制裝置的步驟���;所述控制裝置根據(jù)所述訪問控制列表生成數(shù)據(jù)包的處理規(guī)則���,并對所述多個轉(zhuǎn)發(fā)節(jié)點進(jìn)行設(shè)定的步驟;和所述多個轉(zhuǎn)發(fā)節(jié)點根據(jù)所述處理規(guī)則對數(shù)據(jù)包進(jìn)行處理的步驟���。本發(fā)明的第4觀點的通信方法的特征在于�,用于通信系統(tǒng)中���,所述通信系統(tǒng)具有:根據(jù)處理規(guī)則對數(shù)據(jù)包進(jìn)行處理的多個轉(zhuǎn)發(fā)節(jié)點��;根據(jù)訪問控制列表生成該處理規(guī)則并對該多個轉(zhuǎn)發(fā)節(jié)點進(jìn)行設(shè)定的控制裝置��;和對使用與該多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的用戶進(jìn)行認(rèn)證的認(rèn)證裝置�����,所述通信方法包含:對使用轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符及/或用戶的標(biāo)識符來確定訪問控制對象的主機的訪問控制策略進(jìn)行保持的策略管理裝置進(jìn)行:將訪問控制對象的主機的標(biāo)識符和主機所連接的轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符關(guān)聯(lián)在一起的步驟���,及/或?qū)⒃L問控制對象的主機的標(biāo)識符和使用主機的用戶的標(biāo)識符關(guān)聯(lián)在一起的步驟���;分別從所述多個轉(zhuǎn)發(fā)節(jié)點接收與轉(zhuǎn)發(fā)節(jié)點自身連接的主機的標(biāo)識符和轉(zhuǎn)發(fā)節(jié)點自身的標(biāo)識符的組的步驟;從所述認(rèn)證裝置接收與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的標(biāo)識符和用戶的標(biāo)識符的組的步驟�����;和參照所述訪問控制策略�,在與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機為訪問控制對象的情況下,將訪問控制的內(nèi)容作為所述訪問控制列表通知至所述控制裝置的步驟��。本發(fā)明的第5觀點的程序的特征在于��,用于通信系統(tǒng)中��,所述通信系統(tǒng)具有:根據(jù)處理規(guī)則對數(shù)據(jù)包進(jìn)行處理的多個轉(zhuǎn)發(fā)節(jié)點�;根據(jù)訪問控制列表生成該處理規(guī)則并對該多個轉(zhuǎn)發(fā)節(jié)點進(jìn)行設(shè)定的控制裝置;和對使用與該多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的用戶進(jìn)行認(rèn)證的認(rèn)證裝置�����,所述程序使設(shè)置在策略管理裝置中的計算機執(zhí)行下述處理:其中�,所述策略管理裝置對使用轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符及/或用戶的標(biāo)識符來確定訪問控制對象的主機的訪問控制策略進(jìn)行保持����,所述處理為:將訪問控制對象的主機的標(biāo)識符和主機所連接的轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符關(guān)聯(lián)在一起的處理�����,及/或?qū)⒃L問控制對象的主機的標(biāo)識符和使用主機的用戶的標(biāo)識符關(guān)聯(lián)在一起的處理�����;分別從所述多個轉(zhuǎn)發(fā)節(jié)點接收與轉(zhuǎn)發(fā)節(jié)點自身連接的主機的標(biāo)識符和轉(zhuǎn)發(fā)節(jié)點自身的標(biāo)識符的組的處理�;從所述認(rèn)證裝置接收與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的標(biāo)識符和用戶的標(biāo)識符的組的處理����;和參照所述訪問控制策略,在與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機為訪問控制對象的情況下����,將訪問控制的內(nèi)容作為所述訪問控制列表通知至所述控制裝置的處理。此外�,程序能夠作為記錄在非暫時性的計算機能夠讀取的記錄介質(zhì)中的程序產(chǎn)品而提供。發(fā)明效果根據(jù)本發(fā)明的通信系統(tǒng)��、策略管理裝置��、通信方法及程序,即使在存在大量設(shè)備且連接狀態(tài)頻繁變化的情況下�、或存在大量用戶且連接狀態(tài)頻繁變化的情況下,也能夠?qū)崟r地更新訪問控制�。
圖1是將實施方式的通信系統(tǒng)的構(gòu)成作為一例而示出的框圖。圖2是將實施方式的通信系統(tǒng)的工作作為一例而示出的順序圖�。圖3是表示存儲在OpenFlow (非專利文獻(xiàn)2)的流表中的條目的構(gòu)成圖。
具體實施例方式首先�,說明本發(fā)明的概要。此外����,對該概要標(biāo)注的附圖標(biāo)記是主要用于幫助理解的例示,不具有將本發(fā)明限定于圖示的方式的意圖���。參照圖1�,本發(fā)明的通信系統(tǒng)具有:根據(jù)處理規(guī)則對數(shù)據(jù)包進(jìn)行處理的多個轉(zhuǎn)發(fā)節(jié)點200A 200C ;對多個轉(zhuǎn)發(fā)節(jié)點進(jìn)行控制的控制裝置300 ;對使用與多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機100AU00B的用戶進(jìn)行認(rèn)證的認(rèn)證裝置310A 310C ;和策略管理裝置320��,具有第I關(guān)聯(lián)機構(gòu)(拓?fù)湫畔㈥P(guān)聯(lián)機構(gòu)324)及/或第2關(guān)聯(lián)機構(gòu)(認(rèn)證信息關(guān)聯(lián)機構(gòu)323)�,其中,第I關(guān)聯(lián)機構(gòu)將訪問控制對象的主機的標(biāo)識符和主機所連接的轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符關(guān)聯(lián)在一起����,第2關(guān)聯(lián)機構(gòu)將訪問控制對象的主機的標(biāo)識符和使用主機的用戶的標(biāo)識符關(guān)聯(lián)在一起,策略管理裝置320保持訪問控制策略�����,該訪問控制策略使用轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符及/或用戶的標(biāo)識符來確定訪問控制對象的主機。多個轉(zhuǎn)發(fā)節(jié)點200A 200C分別將與自身連接的主機的標(biāo)識符和自身的標(biāo)識符的組發(fā)送至策略管理裝置320���。認(rèn)證裝置310A 310C將與多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機100AU00B的標(biāo)識符和用戶的標(biāo)識符的組發(fā)送至策略管理裝置320。策略管理裝置320參照訪問控制策略�,在與多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機為訪問控制對象的情況下,將訪問控制的內(nèi)容作為訪問控制列表通知至控制裝置300�。控制裝置300根據(jù)訪問控制列表生成處理規(guī)貝丨J�,并設(shè)定到多個轉(zhuǎn)發(fā)節(jié)點200A 200C中。在此�����,處理規(guī)則也可以將用于確定處理對象數(shù)據(jù)包的匹配規(guī)則和適用于符合該匹配規(guī)則的數(shù)據(jù)包的處理內(nèi)容建立對應(yīng)����。另外,多個轉(zhuǎn)發(fā)節(jié)點200A 200C也可以分別將與自身連接的主機的標(biāo)識符和自身的標(biāo)識符的組經(jīng)由控制裝置300發(fā)送至策略管理裝置320����。控制裝置300也可以將與多個轉(zhuǎn)發(fā)節(jié)點200A 200C中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的標(biāo)識符和該轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符的組作為拓?fù)湫畔⒍3?����,并根?jù)該拓?fù)湫畔⑸膳c訪問控制列表相應(yīng)的數(shù)據(jù)包的處理規(guī)則。在本發(fā)明中�����,使用控制裝置對轉(zhuǎn)發(fā)節(jié)點進(jìn)行集中控制的OpenFlow那樣的通信系統(tǒng)來獲取訪問源的主機及訪問目標(biāo)的網(wǎng)絡(luò)資源的狀態(tài)����,由此將這些信息交付至策略管理裝置,自動地更新與發(fā)生變化的主機及網(wǎng)絡(luò)資源相關(guān)的訪問控制內(nèi)容���,并自動地提取與抽象的訪問控制策略記載相符的具體的主機及網(wǎng)絡(luò)資源來更新訪問控制內(nèi)容����。根據(jù)本發(fā)明��,能夠提供一種將作為完全不同的功能而存在的�、與主機及網(wǎng)絡(luò)資源等設(shè)備相關(guān)的網(wǎng)絡(luò)控制所需要的管理功能和用戶的識別所需要的管理功能簡單且自然地結(jié)合在一起的方法,因此��,即使在存在大量設(shè)備且連接狀態(tài)頻繁變化的情況下�、或存在大量用戶且連接狀態(tài)頻繁變化的情況下,也能夠通過將這些用途不同的管理功能自身用作根據(jù)策略生成的ACL信息的更新的觸發(fā)器��、且作為要更新的信息的獲取源來結(jié)合兩者而提供新的訪問源/訪問目標(biāo)的指定方法,并能夠在不使管理者及各用戶花費大量工夫來更新訪問控制策略的情況下實時地更新訪問控制��。在本發(fā)明中���,能夠為下述方式�����。[方式I]如同上述第I觀點的通信系統(tǒng)。[方式2]也可以是��,上述處理規(guī)則將用于確定處理對象數(shù)據(jù)包的匹配規(guī)則和適用于符合該匹配規(guī)則的數(shù)據(jù)包的處理內(nèi)容建立對應(yīng)�。[方式3]也可以是,上述多個轉(zhuǎn)發(fā)節(jié)點分別將與自身連接的主機的標(biāo)識符和自身的標(biāo)識符的組經(jīng)由上述控制裝置發(fā)送至上述策略管理裝置�。[方式4]也可以是,上述控制裝置將與上述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的標(biāo)識符和該轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符的組作為拓?fù)湫畔⒍3?,并根?jù)該拓?fù)湫畔⑸膳c上述訪問控制列表相應(yīng)的數(shù)據(jù)包的處理規(guī)則。[方式5]也可以是���,上述訪問控制策略包含設(shè)置在規(guī)定場所的轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符的列表��,用于確定訪問控制對象的主機���。[方式6]也可以是�����,上述訪問控制策略包含與規(guī)定的人事關(guān)系�、規(guī)定的工作地�、規(guī)定的職權(quán)層級、以及規(guī)定的負(fù)責(zé)項目中的至少任一個相符的用戶的標(biāo)識符的列表�,用于確定訪問控制對象的主機。
[方式7]如同上述第2觀點的策略管理裝置��。[方式8]如同上述第3觀點的通信方法����。[方式9]在上述通信方法中,也可以是���,上述處理規(guī)則將用于確定處理對象數(shù)據(jù)包的匹配規(guī)則和適用于符合該匹配規(guī)則的數(shù)據(jù)包的處理內(nèi)容建立對應(yīng)����。[方式10]在上述通信方法中���,也可以是��,上述多個轉(zhuǎn)發(fā)節(jié)點分別將與自身連接的主機的標(biāo)識符和自身的標(biāo)識符的組經(jīng)由上述控制裝置發(fā)送至上述策略管理裝置����。[方式11]在上述通信方法中,也可以是����,上述控制裝置將與上述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的標(biāo)識符和該轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符的組作為拓?fù)湫畔⒍3郑⒏鶕?jù)該拓?fù)湫畔⑸膳c上述訪問控制列表相應(yīng)的數(shù)據(jù)包的處理規(guī)則��。[方式12]在上述通信方法中�,也可以是,上述訪問控制策略包含設(shè)置在規(guī)定場所的轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符的列表�����,用于確定訪問控制對象的主機����。[方式I3]在上述通信方法中��,也可以是�����,上述訪問控制策略包含與規(guī)定的人事關(guān)系��、規(guī)定的工作地、規(guī)定的職權(quán)層級����、以及規(guī)定的負(fù)責(zé)項目中的至少任一個相符的用戶的標(biāo)識符的列表,用于確定訪問控制對象的主機�����。[方式14]如同上述第4觀點的通信方法���。[方式15]如同上述第5觀點的程序���。(實施方式)參照
一個實施方式的通信系統(tǒng)。圖1是將本實施方式的通信系統(tǒng)的構(gòu)成作為一例而示出的圖�����。參照圖1���,通信系統(tǒng)具有:認(rèn)證裝置310A 310C�����、網(wǎng)絡(luò)資源600A 600C���、主機100A 100C�����、轉(zhuǎn)發(fā)節(jié)點200A 200C����、控制裝置300����、以及策略管理裝置320。通信系統(tǒng)包含由會議室組�����、辦公室組�����、服務(wù)器池構(gòu)成的三個據(jù)點���。認(rèn)證裝置310A、網(wǎng)絡(luò)資源600A及轉(zhuǎn)發(fā)節(jié)點200A設(shè)置在會議室組中����。認(rèn)證裝置310B����、網(wǎng)絡(luò)資源600B及轉(zhuǎn)發(fā)節(jié)點200B設(shè)置在辦公室組中��。認(rèn)證裝置310C���、網(wǎng)絡(luò)資源600C及轉(zhuǎn)發(fā)節(jié)點200C設(shè)置在服務(wù)器池中����。主機100A對設(shè)置在會議室組中的轉(zhuǎn)發(fā)節(jié)點200A進(jìn)行訪問���。另一方面����,主機100B對設(shè)置在辦公室組中的轉(zhuǎn)發(fā)節(jié)點200B進(jìn)行訪問�。首先,說明本實施方式中的術(shù)語�����。在此,作為一例�,對會議室組中的主機100A、認(rèn)證裝置310A���、轉(zhuǎn)發(fā)節(jié)點200A�����、網(wǎng)絡(luò)資源600A進(jìn)行說明��,但對于辦公室組及服務(wù)器池也是同樣的�。<認(rèn)證裝置>
認(rèn)證裝置310A對主機100A�、使用主機100A的用戶進(jìn)行認(rèn)證。作為認(rèn)證手續(xù)的一部分�����,可以使認(rèn)證裝置310A管理主機100A的地址��,并對已認(rèn)證的主機進(jìn)行地址發(fā)出����。如圖1所示����,也可以對通信系統(tǒng)設(shè)置多個認(rèn)證裝置310A 310C����。不過����,也可以使一個認(rèn)證裝置管理網(wǎng)絡(luò)整體的認(rèn)證手續(xù)?�!淳W(wǎng)絡(luò)資源〉網(wǎng)絡(luò)資源600A與經(jīng)由網(wǎng)絡(luò)使用的應(yīng)用服務(wù)器等相當(dāng)����。不過,網(wǎng)絡(luò)資源600A可以包含用戶所具有的主機�。例如,在其他用戶訪問�、共享存儲在某用戶的終端中的文件等資源的情況下,網(wǎng)絡(luò)資源600A包含主機���。另外����,網(wǎng)絡(luò)資源600A還包含利用不經(jīng)認(rèn)證裝置310A認(rèn)證后就無法使用的協(xié)議或不經(jīng)認(rèn)證裝置310A認(rèn)證后就無法通過訪問控制規(guī)則來定義的流那樣的����、認(rèn)證裝置310A以外的認(rèn)證裝置��?!粗鳈C〉主機100A相當(dāng)于連接在據(jù)點等的網(wǎng)絡(luò)上而使用的作為用戶終端的計算機�,或者,連接在網(wǎng)絡(luò)上而使用的打印機���、存儲器等周邊設(shè)備����。此外����,也能夠?qū)⑿逻B接的網(wǎng)絡(luò)資源600A當(dāng)作主機100A?��!粗鳈C管理信息〉控制裝置300存儲“主機管理信息”���。主機管理信息是與主機100A(包含網(wǎng)絡(luò)資源600A)相關(guān)的管理信息,其中主機100A與轉(zhuǎn)發(fā)節(jié)點200A連接�。在主機管理信息中,例如����,包含主機 100A 的 MAC (Media Access Control)地址、主機 100A 的 IP (Internet Protocol)地址��、主機100A所連接的轉(zhuǎn)發(fā)節(jié)點200A的標(biāo)識符���、和主機100A所連接的轉(zhuǎn)發(fā)節(jié)點200A的連接器的標(biāo)識符的組�����?����!凑J(rèn)證信息〉認(rèn)證裝置310A收集�、管理“認(rèn)證信息”�����。認(rèn)證信息是用于確定用戶及主機100A的信息��。在用戶將主機100A與網(wǎng)絡(luò)連接��、斷開的情況下����,在進(jìn)行用戶及主機100A的認(rèn)證手續(xù)時能夠得到認(rèn)證信息�����。認(rèn)證信息例如包含主機100A的MAC地址�����、主機100A的IP地址�����、和使用主機100A的用戶ID的組��。<認(rèn)證信息變化通知>認(rèn)證裝置310A將收集得到的認(rèn)證信息的變化作為“認(rèn)證信息變化通知”通知至策略管理裝置320���。所通知的信息例如包含主機100A的MAC地址、主機100A的IP地址��、使用主機100A的用戶ID���、和主機100A的連接/斷開的區(qū)別的組��。另外��,認(rèn)證裝置310A與用戶ID相關(guān)聯(lián)地對用戶的人事關(guān)系����、工作地、職權(quán)層級�����、負(fù)責(zé)項目等與用戶相關(guān)的各種信息進(jìn)行管理���。此外,上述認(rèn)證信息也可以不僅包含例如主機100A的MAC地址��、主機100A的IP地址�、和使用主機100A的用戶ID的組,還包含與該用戶ID對應(yīng)的與用戶相關(guān)的上述各種信息�����?���!赐?fù)湫畔ⅰ悼刂蒲b置300收集“拓?fù)湫畔ⅰ薄M負(fù)湫畔⑹菍D(zhuǎn)發(fā)節(jié)點200A�����、與轉(zhuǎn)發(fā)節(jié)點200A連接及斷開的主機100A和網(wǎng)絡(luò)資源600A的設(shè)置場所及連接目標(biāo)進(jìn)行管理的信息。拓?fù)湫畔⑹褂梦恢眯畔⒑瓦B接斷開信息而構(gòu)成���。位置信息例如包含轉(zhuǎn)發(fā)節(jié)點200的標(biāo)識符�、轉(zhuǎn)發(fā)節(jié)點200的連接器的標(biāo)識符����、和它們的設(shè)置場所的組。
〈連接斷開信息〉在對轉(zhuǎn)發(fā)節(jié)點200A連接���、斷開其他轉(zhuǎn)發(fā)節(jié)點200B�、200C��、各種主機100A或網(wǎng)絡(luò)資源600A的情況下����,轉(zhuǎn)發(fā)節(jié)點200A對控制裝置300發(fā)出“連接斷開信息”通知。連接斷開信息例如包含轉(zhuǎn)發(fā)節(jié)點200A的標(biāo)識符��、設(shè)備所連接�、斷開的轉(zhuǎn)發(fā)節(jié)點200A的連接器的標(biāo)識符、連接、斷開的設(shè)備的MAC地址�����、連接����、斷開的設(shè)備的IP地址、和設(shè)備的連接��、斷開的區(qū)別的組�。因此�,與主機100A相關(guān)的連接斷開信息包含主機管理信息和主機100A的連接、斷開的區(qū)別的組��。當(dāng)控制裝置300接收連接斷開信息的通知后��,累積所通知的內(nèi)容���,并將其利用于轉(zhuǎn)發(fā)節(jié)點200A 200C彼此的連接關(guān)系��、以及用于到達(dá)在轉(zhuǎn)發(fā)節(jié)點200A的前面連接的主機100A或網(wǎng)絡(luò)資源600A的路徑的計算�?����?刂蒲b置300將作為位置信息而持有的轉(zhuǎn)發(fā)節(jié)點200A、以及其連接器的設(shè)置場所的信息��、和從轉(zhuǎn)發(fā)節(jié)點200A通知的連接斷開信息�����,使用包含在它們中的轉(zhuǎn)發(fā)節(jié)點200A的標(biāo)識符及轉(zhuǎn)發(fā)節(jié)點200A的連接器的標(biāo)識符而關(guān)聯(lián)在一起��,從而能夠確定主機100A及網(wǎng)絡(luò)資源600A的連接���、斷開的場所���,并合并這些信息作為拓?fù)湫畔砉芾怼?lt;拓?fù)湫畔⒆兓ㄖ?gt;控制裝置300將所收集的拓?fù)湫畔⒌淖兓⒗缰鳈C100A或網(wǎng)絡(luò)資源600A的連接狀態(tài)的變化(網(wǎng)絡(luò)上的生滅或移動����、地址的變化等)作為“拓?fù)湫畔⒆兓ㄖ蓖ㄖ敛呗怨芾硌b置320。與主機100A相關(guān)的拓?fù)湫畔⒆兓ㄖ绨鳈C管理信息��、場所����、和連接斷開的區(qū)別的組。通過預(yù)先與策略管理裝置320共享位置信息,也能夠在拓?fù)湫畔⒆兓ㄖ惺÷詧鏊男畔?�。策略管理裝置320使用轉(zhuǎn)發(fā)節(jié)點200A的標(biāo)識符及轉(zhuǎn)發(fā)節(jié)點200A的連接器的標(biāo)識符來進(jìn)行與位置信息的關(guān)聯(lián)�����。此時����,拓?fù)湫畔⒆兓ㄖc連接斷開信息同樣地,包含主機管理信息和連接斷開的區(qū)別的組��?����!丛L問控制策略〉策略管理裝置320對存儲在訪問控制策略存儲部321中的“訪問控制策略”進(jìn)行管理�。訪問控制策略是抽象地記載有訪問控制內(nèi)容的信息�,是生成從策略管理裝置320交付至控制裝置300的ACL信息的基礎(chǔ)。訪問控制策略將訪問源及訪問目標(biāo)的指定組合在一起,通過對人來說容易理解的抽象的指定來記載訪問控制內(nèi)容�����。訪問控制策略例如能夠指定主機100A的地址作為訪問源/訪問目標(biāo)��。另外,訪問控制策略例如能夠指定使用主機100A的用戶作為訪問源/訪問目標(biāo)�。訪問控制策略例如能夠使用認(rèn)證裝置310A所持有的與用戶相關(guān)的信息來指定使用主機100A的用戶為訪問源/訪問目標(biāo)。例如�,能夠使用人事關(guān)系為“總務(wù)部”、工作地為“據(jù)點I ”����、職權(quán)層級為“課長”、負(fù)責(zé)項目為“項目I ”等來指定�����。由于使用這些與用戶相關(guān)的信息來抽象地���、間接地指定訪問源/訪問目標(biāo)�,因此���,未來����,即使在用戶所持有的這些信息發(fā)生變化�����、應(yīng)成為對象的合適的用戶發(fā)生增減、變化的情況下�����,也不需要管理者等屢次更新策略來進(jìn)行訪問控制的修正�。例如,對于使用人事關(guān)系來指定訪問源/訪問目標(biāo)的策略�,在用戶的人事關(guān)系發(fā)生變動的情況下,即使不更新策略���,也能夠?qū)С霎?dāng)前與該人事關(guān)系對應(yīng)的合適的用戶�����,并導(dǎo)出這些用戶所使用的主機100A�,作為與這些主機IOOA相關(guān)的訪問控制而再次生成ACL信息�����,從而更新控制裝置300的訪問控制規(guī)則��。而且�����,作為訪問源/訪問目標(biāo)���,訪問控制策略例如能夠使用主機100A及網(wǎng)絡(luò)資源600A的設(shè)置場所來進(jìn)行指定����。例如�,作為訪問源/訪問目標(biāo),能夠指定“設(shè)置在會議室I中的主機/網(wǎng)絡(luò)資源”��、“設(shè)置在大廈I中的主機/網(wǎng)絡(luò)資源”��、“設(shè)置在二樓的主機/網(wǎng)絡(luò)資源”��、“設(shè)置在公司I中的主機/網(wǎng)絡(luò)資源”等��。在此�����,能夠確定與訪問源/訪問目標(biāo)相當(dāng)?shù)闹鳈C100及網(wǎng)絡(luò)資源600的設(shè)置場所的原因在于�����,控制裝置300收集拓?fù)湫畔⒉⑼ㄖ敛呗怨芾硌b置320����。由于使用場所來抽象地����、間接地指定訪問源/訪問目標(biāo)���,因此�����,未來����,即使在主機100A及網(wǎng)絡(luò)資源600A的場所發(fā)生變化��、應(yīng)成為對象的合適的主機100A及網(wǎng)絡(luò)資源600A發(fā)生增減�����、變化的情況下��,也不需要管理者等屢次更新策略來進(jìn)行訪問控制的修正��。例如���,對于使用場所來指定訪問源/訪問目標(biāo)的策略���,在主機100A或網(wǎng)絡(luò)資源600A的場所發(fā)生變化的情況下,即使不更新策略�����,也能夠?qū)С霎?dāng)前與該場所對應(yīng)的合適的主機100A及網(wǎng)絡(luò)資源600A��,作為與這些主機100A及網(wǎng)絡(luò)資源600A相關(guān)的訪問控制而再次生成ACL信息�����,并更新控制裝置300的訪問控制規(guī)則�。另外,作為訪問源/訪問目標(biāo)���,訪問控制策略例如能夠復(fù)合地利用使用主機IOOA的用戶和場所雙方來進(jìn)行指定��。例如��,作為訪問源/訪問目標(biāo)�����,能夠指定“設(shè)置在用戶I所處的房間中的主機/網(wǎng)絡(luò)資源”����、“設(shè)置在監(jiān)察部門的用戶所處的房間中的主機/網(wǎng)絡(luò)資源”、“與負(fù)責(zé)人的用戶在一起(處于相同場所)的用戶的主機/網(wǎng)絡(luò)資源)等��。在此�,能夠確定用戶的場所的原因在于,通過將用戶所使用的主機100A與轉(zhuǎn)發(fā)節(jié)點200連接并通過認(rèn)證裝置310進(jìn)行認(rèn)證��,能夠通過與該主機100相關(guān)的連接斷開信息來明確主機100的場所�����,通過認(rèn)證信息來明確主機100的使用用戶�,并將它們關(guān)聯(lián)在一起。除此以外����,還考慮有應(yīng)用如下訪問控制策略的使用方式:與會議預(yù)約系統(tǒng)等鏈接,為了能夠簡單地指定會議所需要的訪問控制����,管理者及各用戶僅對允許訪問的范圍提供若干模板(例如,允許參加者之間的訪問)并選擇,策略管理裝置320就會自動地從會議預(yù)約系統(tǒng)讀取該會議信息且僅允許“該會議時間�、位于該會議室的該會議參加用戶的主機及網(wǎng)絡(luò)資源”之間的訪問?����!促Y源信息〉策略管理裝置320對記錄在資源信息存儲部322中的“資源信息”進(jìn)行管理����。資源信息是主機100A及網(wǎng)絡(luò)資源600A的信息��。策略管理裝置320在根據(jù)訪問控制策略生成ACL信息時���,參照資源信息��。資源信息例如包含主機100及網(wǎng)絡(luò)資源600的MAC地址和IP地址的組�?����!凑J(rèn)證信息關(guān)聯(lián)機構(gòu)〉認(rèn)證信息關(guān)聯(lián)機構(gòu)323進(jìn)行認(rèn)證信息的關(guān)聯(lián)���。也就是說����,通過核對包含于資源信息的MAC地址和包含于認(rèn)證信息的MAC地址,能夠匯總參照成一條記錄���。由此��,由于能夠?qū)谡J(rèn)證信息的用戶ID與資源信息關(guān)聯(lián)來使用���,所以在訪問控制策略中,能夠指定使用了用戶ID的抽象的訪問源/訪問目標(biāo)�����,能夠根據(jù)這樣的訪問控制策略生成ACL信息����。
<拓?fù)湫畔㈥P(guān)聯(lián)機構(gòu)>拓?fù)湫畔㈥P(guān)聯(lián)機構(gòu)324進(jìn)行拓?fù)湫畔⒆兓ㄖ年P(guān)聯(lián)。也就是說�����,通過核對包含于資源信息的MAC地址和包含于拓?fù)湫畔⒆兓ㄖ腗AC地址����,能夠匯總參照成一條記錄����。由此�����,由于能夠?qū)谕負(fù)湫畔⒆兓ㄖ膱鏊男畔⑴c資源信息關(guān)聯(lián)來使用�,所以在訪問控制策略中�����,能夠指定使用了場所的抽象的訪問源/訪問目標(biāo)����,能夠根據(jù)這樣的訪問控制策略生成ACL信息。而且��,上述雙方的關(guān)聯(lián)結(jié)果均為能夠?qū)谡J(rèn)證信息的用戶ID�����、和包含于拓?fù)湫畔⒆兓ㄖ膱鏊男畔㈥P(guān)聯(lián)來使用��,所以在訪問控制策略中��,能夠指定用戶ID及復(fù)合地使用了與用戶ID關(guān)聯(lián)的信息和場所的信息這兩者的抽象的訪問源/訪問目標(biāo),能夠根據(jù)這樣的訪問控制策略生成ACL信息�����。<訪問控制列表(ACL)信息>策略管理裝置320將“ACL信息”交付至控制裝置300��。ACL信息是記載有訪問控制內(nèi)容的信息�����,從訪問控制策略導(dǎo)出��。ACL信息例如包含:發(fā)送源主機100的MAC地址和IP地址的組�����、發(fā)送目標(biāo)網(wǎng)絡(luò)資源600的MAC地址和IP地址的組�����、發(fā)送源與發(fā)送目標(biāo)的通信內(nèi)容及方向和是否允許該通信內(nèi)容及方向�����?��!丛L問控制規(guī)則〉控制裝置300參照“訪問控制規(guī)則”來判斷是否允許流的通信�。訪問控制規(guī)則對定義流的發(fā)送源的主機管理信息、發(fā)送目標(biāo)(網(wǎng)絡(luò)資源600)的主機管理信息��、和是否允許它們之間的通信內(nèi)容及方向進(jìn)行定義��?�!绰窂健悼刂蒲b置300計算多個轉(zhuǎn)發(fā)節(jié)點200A所連接的網(wǎng)絡(luò)中的“路徑”�����。路徑表示在流從發(fā)送源主機100到達(dá)發(fā)送目標(biāo)網(wǎng)絡(luò)資源600的期間經(jīng)由的轉(zhuǎn)發(fā)節(jié)點200A的前進(jìn)方法����?���!刺幚硪?guī)則〉控制裝置300將“處理規(guī)則”交付至轉(zhuǎn)發(fā)節(jié)點200。處理規(guī)則定義了轉(zhuǎn)發(fā)節(jié)點200A在接收到某個流的數(shù)據(jù)包時如何對其進(jìn)行處理��?��!刺幚硪?guī)則設(shè)定請求〉轉(zhuǎn)發(fā)節(jié)點200A將“處理規(guī)則設(shè)定請求”交付至控制裝置300�����。處理規(guī)則設(shè)定請求用于對控制裝置300請求對到達(dá)了轉(zhuǎn)發(fā)節(jié)點200A的未認(rèn)證數(shù)據(jù)包的處理進(jìn)行定義的處理規(guī)則����。轉(zhuǎn)發(fā)節(jié)點200A例如將接收到數(shù)據(jù)包的轉(zhuǎn)發(fā)節(jié)點200A及連接器的標(biāo)識符、和提取了數(shù)據(jù)包的報頭信息而得到的信息包含在處理規(guī)則設(shè)定請求中��。以下��,參照附圖進(jìn)一步詳細(xì)說明本實施方式的通信系統(tǒng)的構(gòu)成及工作��。在此���,作為一例��,對會議室組中的主機100A����、認(rèn)證裝置310A����、轉(zhuǎn)發(fā)節(jié)點200A、網(wǎng)絡(luò)資源600A進(jìn)行說明���,但對于辦公室組及服務(wù)器池也是同樣的��。主機100A對認(rèn)證裝置310A發(fā)送數(shù)據(jù)包����,根據(jù)來自認(rèn)證裝置310A的響應(yīng),接收對于自身的認(rèn)證手續(xù)���。已認(rèn)證的主機100A為了利用網(wǎng)絡(luò)資源600A而發(fā)送訪問數(shù)據(jù)包����,根據(jù)來自網(wǎng)絡(luò)資源600A的響應(yīng)����,開始與網(wǎng)絡(luò)資源600A通信�。認(rèn)證裝置310A接收來自主機100A的請求,進(jìn)行主機100A及用戶的認(rèn)證����。認(rèn)證裝置310A將已認(rèn)證的主機100A及用戶信息作為認(rèn)證信息變化通知交付至策略管理裝置320。網(wǎng)絡(luò)資源600A接收來自主機100A的請求�,并開始用于使用服務(wù)的通信。
轉(zhuǎn)發(fā)節(jié)點200A獲取主機100A�、認(rèn)證裝置310A和網(wǎng)絡(luò)資源600A發(fā)出的數(shù)據(jù)包����,并對控制裝置300進(jìn)行處理規(guī)則設(shè)定請求�。轉(zhuǎn)發(fā)節(jié)點200A根據(jù)從控制裝置300交付來的處理規(guī)則,進(jìn)行主機100A�����、認(rèn)證裝置310A和網(wǎng)絡(luò)資源600A發(fā)出的數(shù)據(jù)包的處理�����。對于從轉(zhuǎn)發(fā)節(jié)點200A交付來的處理規(guī)則設(shè)定請求���,若請求中記載的數(shù)據(jù)包的信息是主機100A訪問網(wǎng)絡(luò)資源600A的數(shù)據(jù)包����,則控制裝置300進(jìn)行訪問控制規(guī)則的確認(rèn)和路徑計算�,在為應(yīng)當(dāng)允許的流的情況下,生成允許該數(shù)據(jù)包從主機100A向網(wǎng)絡(luò)資源600A的通信的處理規(guī)則���,并交付至轉(zhuǎn)發(fā)節(jié)點200A����。對于從轉(zhuǎn)發(fā)節(jié)點200A交付來的連接斷開信息,控制裝置300收集連接斷開信息��,作為路徑計算的材料而存儲在拓?fù)湫畔⒋鎯Σ?01中����,并且生成拓?fù)湫畔⒆兓ㄖ桓吨敛呗怨芾硌b置320。策略管理裝置320具有拓?fù)湫畔㈥P(guān)聯(lián)機構(gòu)324及認(rèn)證信息關(guān)聯(lián)機構(gòu)323�����。對于從控制裝置300交付來的拓?fù)湫畔⒆兓ㄖ?�,拓?fù)湫畔㈥P(guān)聯(lián)機構(gòu)324從包含于資源信息存儲部322的現(xiàn)有資源信息的MAC地址中查找與包含于發(fā)生變化的拓?fù)湫畔⒌腗AC地址一致的MAC地址�����,在存在一致的MAC地址的情況下���,用發(fā)生變化的拓?fù)湫畔⒏略撡Y源信息�。另一方面���,在不存在一致的MAC地址的情況下,拓?fù)湫畔㈥P(guān)聯(lián)機構(gòu)324作為新的資源信息追加于資源信息存儲部322�����。另外,拓?fù)湫畔㈥P(guān)聯(lián)機構(gòu)324進(jìn)行包含于拓?fù)湫畔⒅械奈恢眯畔⒌年P(guān)聯(lián)����,在為使用中的訪問控制策略中正在使用的資源的情況下,根據(jù)在使用中的訪問控制策略的資源指定中所使用的場所的資源和訪問控制策略存儲部321的訪問控制策略生成ACL信息�����,并交付至控制裝置300���。另一方面,對于從認(rèn)證裝置310A交付來的認(rèn)證信息變化通知,認(rèn)證信息關(guān)聯(lián)機構(gòu)323使用通知中記載的認(rèn)證信息對資源信息存儲部322進(jìn)行更新�����。在與使用中的訪問控制策略的資源指定中所使用的資源一致的情況下����,或在與成為更新對象的資源關(guān)聯(lián)的用戶ID與在該時刻訪問控制策略的資源指定中所使用的用戶ID —致的情況下�,認(rèn)證信息關(guān)聯(lián)機構(gòu)323根據(jù)訪問控制策略存儲部321的訪問控制策略生成ACL信息,并交付至控制裝置300���。參照
本實施方式的通信系統(tǒng)的工作�����。圖2是將通信系統(tǒng)(圖1)的工作作為一例而示出的順序圖���。在此�,作為一例���,說明在會議室組中連接主機100A來開始與網(wǎng)絡(luò)資源600A的通信之前的處理�����。首先�����,主機100A為了進(jìn)行網(wǎng)絡(luò)連接而將自身與轉(zhuǎn)發(fā)節(jié)點200A連接(步驟SI)��。接下來����,轉(zhuǎn)發(fā)節(jié)點200A對所連接的主機100A生成連接斷開信息并交付至控制裝置300(步驟S2)��。另外����,控制裝置300讀取連接斷開信息并更新存儲在拓?fù)湫畔⒋鎯Σ?01中的拓?fù)湫畔?步驟S3)。而且�,控制裝置300生成拓?fù)湫畔⒆兓ㄖ⒔桓吨敛呗怨芾硌b置320 (步驟S4)。接下來���,拓?fù)湫畔㈥P(guān)聯(lián)機構(gòu)324讀取拓?fù)湫畔⒆兓ㄖ?,并在存儲于資源信息存儲部322的現(xiàn)有資源信息之間對包含于雙方的MAC地址進(jìn)行比較����。在存在相同MAC地址的情況下,拓?fù)湫畔㈥P(guān)聯(lián)機構(gòu)324用拓?fù)渥兓ㄖ膬?nèi)容來更新現(xiàn)有資源信息的內(nèi)容(例如�,IP地址)(步驟S5)。另一方面���,在不存在相符的資源信息的情況下����,拓?fù)湫畔㈥P(guān)聯(lián)機構(gòu)324將資源信息作為新的主機管理信息追加于資源信息存儲部322����。另外����,拓?fù)湫畔㈥P(guān)聯(lián)機構(gòu)324讀取拓?fù)湫畔⒆兓ㄖ?����,并在存儲于資源信息存儲部322的資源信息之間對包含于雙方的資源信息例如MAC地址進(jìn)行比較����,在MAC地址相同的資源信息與拓?fù)湫畔⒆兓ㄖg進(jìn)行關(guān)聯(lián)(步驟S6)。通過該關(guān)聯(lián)�����,對于資源信息���,能夠關(guān)聯(lián)轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符���、轉(zhuǎn)發(fā)節(jié)點的連接器的標(biāo)識符、場所的信息而參照����。接下來,主機100A為了進(jìn)行主機100A及用戶的認(rèn)證而對認(rèn)證裝置310A請求認(rèn)證手續(xù)(步驟S7)�����。接下來,認(rèn)證裝置310A對請求認(rèn)證手續(xù)的主機100A進(jìn)行主機100A及用戶的認(rèn)證手續(xù)(步驟S8)�����。通過認(rèn)證手續(xù)�,使主機100A的地址信息和使用主機100A的用戶的信息成組��。另外�����,根據(jù)系統(tǒng)還存在在認(rèn)證手續(xù)中變更或追加主機100A的地址信息例如IP地址的情況����。另外,認(rèn)證裝置310A將通過認(rèn)證手續(xù)而重新得到的信息作為認(rèn)證信息變化通知交付至策略管理裝置320 (步驟S9)�。接下來,認(rèn)證信息關(guān)聯(lián)機構(gòu)323讀取認(rèn)證信息變化通知���,并在存儲于資源信息存儲部322的資源信息之間對包含于雙方的地址信息例如MAC地址進(jìn)行比較�,在MAC地址相同的資源信息與認(rèn)證信息變化通知之間進(jìn)行關(guān)聯(lián)(步驟S10)��。通過該關(guān)聯(lián),能夠?qū)Y源信息關(guān)聯(lián)用戶的信息例如用戶ID而參照��。接下來���,策略管理裝置320對進(jìn)行了重新關(guān)聯(lián)或更新的資源信息與已應(yīng)用(已生成ACL信息并交付至控制裝置300)的訪問控制策略的指定內(nèi)容進(jìn)行比較���,由此導(dǎo)出這些變化的內(nèi)容是否為在訪問控制策略中記載的與訪問源(主體)、訪問目標(biāo)(資源)的指定相關(guān)的變化(步驟Sll)��。例如�,在關(guān)聯(lián)于資源信息的認(rèn)證信息中包含某用戶ID,在使用該用戶ID將該用戶ID的主機指定為訪問控制策略的資源的情況下�,策略管理裝置320判斷為與該訪問控制策略相關(guān)的變化。此外����,步驟Sll可以在步驟S6之后進(jìn)行,也可以同時進(jìn)行步驟S6及步驟SI I�����。在步驟Sll中���,在找到與進(jìn)行了關(guān)聯(lián)或更新的資源信息相關(guān)的已應(yīng)用的訪問控制策略的情況下�,策略管理裝置320根據(jù)這些訪問控制策略再次生成ACL信息(步驟S12)。由此�����,在不更新訪問控制策略自身的情況下����,將訪問控制內(nèi)容自動地更新成合適的內(nèi)容��。另一方面�,在步驟Sll中,在沒有找到成為對象的訪問控制策略的情況下���,策略管理裝置320不進(jìn)行ACL信息的再次生成而結(jié)束����。然后����,在對資源信息再次產(chǎn)生新的關(guān)聯(lián)或更新而再次進(jìn)行步驟Sll的情況下,依照此時的判定結(jié)果���。策略管理裝置320將生成的ACL信息交付至控制裝置300(步驟S13)�。接下來,控制裝置300根據(jù)交付的ACL信息���,更新訪問控制規(guī)則��,進(jìn)行路徑計算��,并生成處理規(guī)則(步驟S14)��。此外���,也可以是,控制裝置300在該階段僅進(jìn)行訪問控制規(guī)則的更新�,在從轉(zhuǎn)發(fā)節(jié)點200A接收到處理規(guī)則設(shè)定請求后,進(jìn)行路徑計算及處理規(guī)則生成��?����?刂蒲b置300將生成的處理規(guī)則交付至轉(zhuǎn)發(fā)節(jié)點200A (步驟S15)�����。由此,轉(zhuǎn)發(fā)節(jié)點200A成為根據(jù)與進(jìn)行了新的關(guān)聯(lián)�����、更新的資源信息相符的內(nèi)容設(shè)定了在訪問控制策略中記載的訪問控制的狀態(tài)����。接下來,主機100A經(jīng)由轉(zhuǎn)發(fā)節(jié)點200A的訪問控制進(jìn)行與網(wǎng)絡(luò)資源600A的通信(步驟S16)��。在此���,在網(wǎng)絡(luò)資源600A中����,還能夠包含主機100A自身及主機100A以外的主機����。此外��,如圖1所示�,策略管理裝置320�、控制裝置300和轉(zhuǎn)發(fā)節(jié)點200A 200C可以分別由不同的計算機系統(tǒng)構(gòu)筑而成,也可以是一部分或全部由同一計算機系統(tǒng)來實現(xiàn)。主機100A 100C能夠通過按照程序工作的信息處理裝置的CPU��、RAM等存儲介質(zhì)���、和用于與認(rèn)證裝置310和網(wǎng)絡(luò)資源600進(jìn)行通信的通信接口來實現(xiàn)����。同樣地�����,認(rèn)證裝置310A 310C和網(wǎng)絡(luò)資源600A 600C能夠通過按照程序工作的信息處理裝置的CPU�、RAM等存儲介質(zhì)、和用于與主機100A 100C進(jìn)行通信的通信接口來實現(xiàn)�。另外,轉(zhuǎn)發(fā)節(jié)點200A 200C能夠通過按照程序工作的信息處理裝置的CPU���、RAM等存儲介質(zhì)�����、用于與控制裝置300進(jìn)行通信的通信接口����、和用于獲取主機IOOA 100C、認(rèn)證裝置3IOA 3IOC和網(wǎng)絡(luò)資源600A 600C之間的通信內(nèi)容的通信接口來實現(xiàn)��。而且��,控制裝置300能夠通過按照程序工作的信息處理裝置的CPU�����、RAM等存儲介質(zhì)���、和用于與策略管理裝置320和轉(zhuǎn)發(fā)節(jié)點200A 200C進(jìn)行通信的通信接口來實現(xiàn)��。另外���,策略管理裝置320能夠通過按照程序工作的信息處理裝置的CPU、RAM等存儲介質(zhì)��、用于與控制裝置300進(jìn)行通信的通信接口�、用于與控制裝置310A 310C進(jìn)行通信的通信接口��、和RAM以及硬盤等存儲介質(zhì)來實現(xiàn)���。如上所述�,本實施方式的通信系統(tǒng)具有:多個轉(zhuǎn)發(fā)節(jié)點,根據(jù)將用于確定處理對象數(shù)據(jù)包的匹配規(guī)則和適用于符合該匹配規(guī)則的數(shù)據(jù)包的處理內(nèi)容建立對應(yīng)的處理規(guī)則對接收數(shù)據(jù)包進(jìn)行處理��,并將轉(zhuǎn)發(fā)節(jié)點自身的標(biāo)識符和與轉(zhuǎn)發(fā)節(jié)點自身連接的主機的標(biāo)識符的組發(fā)送至控制裝置���;認(rèn)證裝置����,對主機進(jìn)行使用者即用戶的認(rèn)證��,并將通過認(rèn)證手續(xù)而得到的主機的標(biāo)識符和用戶的標(biāo)識符的組發(fā)送至策略管理裝置��;控制裝置���,將從上述轉(zhuǎn)發(fā)節(jié)點得到的與轉(zhuǎn)發(fā)節(jié)點連接的主機的信息發(fā)送至策略管理裝置�����,根據(jù)從策略管理裝置得到的與主機相關(guān)的訪問控制列表的記載來設(shè)定上述處理規(guī)則�����;和策略管理裝置�,其具有:將訪問控制對象的主機的標(biāo)識符和主機所連接的轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符關(guān)聯(lián)在一起的拓?fù)湎㈥P(guān)聯(lián)機構(gòu)����;和將訪問控制對象的主機的標(biāo)識符和使用主機的用戶的標(biāo)識符關(guān)聯(lián)在一起的認(rèn)證信息關(guān)聯(lián)機構(gòu)�����,策略管理裝置根據(jù)訪問控制策略生成上述訪問控制列表并發(fā)送至控制裝置�����,其中�,該訪問控制策略根據(jù)至少使用了用戶的標(biāo)識符或傳送節(jié)點的標(biāo)識符的記載來確定訪問控制對象的主機��。S卩��,本實施方式的通信系統(tǒng)具有:多個轉(zhuǎn)發(fā)節(jié)點�����,根據(jù)將用于確定流的匹配規(guī)則和適用于符合該匹配規(guī)則的數(shù)據(jù)包的處理內(nèi)容建立對應(yīng)的處理規(guī)則對接收數(shù)據(jù)包進(jìn)行處理��,并將通過接收數(shù)據(jù)包而檢測出的主機及網(wǎng)絡(luò)資源的連接或斷開信息與這些主機及網(wǎng)絡(luò)資源的地址信息一起通知至控制裝置�����;認(rèn)證裝置�,對與轉(zhuǎn)發(fā)節(jié)點連接的主機及主機的使用者即用戶進(jìn)行認(rèn)證;策略管理裝置�����,將對成功通過上述認(rèn)證的主機及網(wǎng)絡(luò)資源檢測出的連接或斷開信息作為觸發(fā)器及信息源����,生成與訪問權(quán)限相關(guān)的信息并提供至控制裝置;和控制裝置�����,將與從轉(zhuǎn)發(fā)節(jié)點收集到的主機及網(wǎng)絡(luò)資源相關(guān)的連接或斷開信息通知至上述策略管理裝置�����,并且根據(jù)從上述策略管理裝置接收到的與訪問權(quán)限相關(guān)的信息生成成功通過上述認(rèn)證的主機與上述主機能夠訪問的資源之間的路徑�,并對該路徑上的轉(zhuǎn)發(fā)節(jié)點設(shè)定處理規(guī)則。根據(jù)所述通信系統(tǒng)�����,能夠提供一種方法�����,其將作為完全不同的功能而存在的、與主機及網(wǎng)絡(luò)資源等設(shè)備相關(guān)的網(wǎng)絡(luò)控制所需要的管理功能和用戶的識別所需要的管理功能簡單且自然地結(jié)合在一起���。因此�,即使在存在大量設(shè)備且連接狀態(tài)頻繁變化的情況下�、或存在大量用戶且連接狀態(tài)頻繁變化的情況下,通過將這些用途不同的管理功能自身用作根據(jù)策略生成的ACL信息的更新的觸發(fā)器���、并且用作應(yīng)更新的信息的獲取源�,也能夠結(jié)合兩者來提供新的訪問源/訪問目標(biāo)的指定方法���,并能夠使管理者及各用戶在不花費大量工夫來更新訪問控制策略的情況下實時地更新訪問控制�����。另外�����,根據(jù)本發(fā)明����,在企業(yè)等系統(tǒng)中的網(wǎng)絡(luò)訪問控制中���,各用戶在據(jù)點等之間自由地往來����,根據(jù)用途���、目的而自由地以大量的用戶�����、大量的設(shè)備為對象�����,在進(jìn)行追隨著頻繁變化的訪問控制范圍的訪問控制的情況下�����,不使管理者及各用戶花費大量工夫�,僅通過記載能夠指定抽象的訪問源/訪問目標(biāo)的訪問控制策略���,就能夠構(gòu)筑可實施適當(dāng)?shù)脑L問控制的系統(tǒng)���。此外��,上述專利文獻(xiàn)等現(xiàn)有技術(shù)文獻(xiàn)的各公開被本書明書引用而編入��。在本發(fā)明的全部公開(包含權(quán)利要求書)的限度內(nèi)�����,還能夠根據(jù)其基本技術(shù)思想來進(jìn)行實施方式的變更����、調(diào)整����。另外,在本發(fā)明的權(quán)利要求書的限度內(nèi)����,能夠進(jìn)行各種公開要素(包含各權(quán)利要求的各要素、各實施方式的各要素�����、各附圖的各要素等)的多種組合及選擇���。即����,本發(fā)明當(dāng)然包括包含權(quán)利要求書在內(nèi)的全部公開、根據(jù)技術(shù)思想只要是本領(lǐng)域技術(shù)人員就能夠完成的各種變形����、修正�����。尤其是���,對于本說明書中記載的數(shù)值范圍���,應(yīng)當(dāng)解釋為包含在該范圍內(nèi)的任意數(shù)值以及小范圍在沒有另行記載的情況下也為被具體記載的數(shù)值范圍。附圖標(biāo)記說明100U00A 100C 主機200�、200A 200C 轉(zhuǎn)發(fā)節(jié)點300控制裝置301拓?fù)湫畔⒋鎯Σ?10、310A 310C 認(rèn)證裝置320策略管理裝置321訪問控制策略存儲部322資源信息存儲部323認(rèn)證信息關(guān)聯(lián)機構(gòu)324拓?fù)湫畔㈥P(guān)聯(lián)機構(gòu)600����、600A 600C 網(wǎng)絡(luò)資源
權(quán)利要求
1.一種通信系統(tǒng),其特征在于�����,具有: 根據(jù)處理規(guī)則對數(shù)據(jù)包進(jìn)行處理的多個轉(zhuǎn)發(fā)節(jié)點��; 對所述多個轉(zhuǎn)發(fā)節(jié)點進(jìn)行控制的控制裝置�; 對使用與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的用戶進(jìn)行認(rèn)證的認(rèn)證裝置;和 策略管理裝置����,其具有第I關(guān)聯(lián)機構(gòu)及/或第2關(guān)聯(lián)機構(gòu),所述第I關(guān)聯(lián)機構(gòu)將訪問控制對象的主機的標(biāo)識符和主機所連接的轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符關(guān)聯(lián)在一起��,所述第2關(guān)聯(lián)機構(gòu)將訪問控制對象的主機的標(biāo)識符和使用主機的用戶的標(biāo)識符關(guān)聯(lián)在一起�,所述策略管理裝置保持訪問控制策略,所述訪問控制策略使用轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符及/或用戶的標(biāo)識符來確定訪問控制對象的主機�, 所述多個轉(zhuǎn)發(fā)節(jié)點分別將與轉(zhuǎn)發(fā)節(jié)點自身連接的主機的標(biāo)識符和轉(zhuǎn)發(fā)節(jié)點自身的標(biāo)識符的組發(fā)送至所述策略管理裝置, 所述認(rèn)證裝置將與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的標(biāo)識符和用戶的標(biāo)識符的組發(fā)送至所述策略管理裝置���, 所述策略管理裝置參照所述訪問控制策略��,在與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機為訪問控制對象的情況下��,將訪問控制的內(nèi)容作為訪問控制列表通知至所述控制裝置���, 所述控制裝置根據(jù)所述訪問控制列表生成所述處理規(guī)則����,并對所述多個轉(zhuǎn)發(fā)節(jié)點進(jìn)行設(shè)定����。
2.如權(quán)利要求1所述的通信系統(tǒng),其特 征在于�,所述處理規(guī)則將用于確定處理對象數(shù)據(jù)包的匹配規(guī)則、和適用于符合該匹配規(guī)則的數(shù)據(jù)包的處理內(nèi)容建立對應(yīng)���。
3.如權(quán)利要求1或2所述的通信系統(tǒng),其特征在于�����,所述多個轉(zhuǎn)發(fā)節(jié)點分別將與轉(zhuǎn)發(fā)節(jié)點自身連接的主機的標(biāo)識符和轉(zhuǎn)發(fā)節(jié)點自身的標(biāo)識符的組經(jīng)由所述控制裝置發(fā)送至所述策略管理裝置���。
4.如權(quán)利要求3所述的通信系統(tǒng)����,其特征在于���,所述控制裝置將與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的標(biāo)識符和該轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符的組作為拓?fù)湫畔⒍3?,并根?jù)該拓?fù)湫畔⑸膳c所述訪問控制列表相應(yīng)的數(shù)據(jù)包的處理規(guī)則。
5.如權(quán)利要求1至4中任一項所述的通信系統(tǒng)�����,其特征在于���,所述訪問控制策略包含設(shè)置在規(guī)定場所的轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符的列表�����,用于確定訪問控制對象的主機���。
6.如權(quán)利要求1至4中任一項所述的通信系統(tǒng),其特征在于����,所述訪問控制策略包含與規(guī)定的人事關(guān)系、規(guī)定的工作地�、規(guī)定的職權(quán)層級、以及規(guī)定的負(fù)責(zé)項目中的至少任一個相符的用戶的標(biāo)識符的列表���,用于確定訪問控制對象的主機��。
7.一種策略管理裝置�����,位于通信系統(tǒng)中�����,所述通信系統(tǒng)具有:根據(jù)處理規(guī)則對數(shù)據(jù)包進(jìn)行處理的多個轉(zhuǎn)發(fā)節(jié)點����;根據(jù)訪問控制列表生成該處理規(guī)則并對該多個轉(zhuǎn)發(fā)節(jié)點進(jìn)行設(shè)定的控制裝置;和對使用與該多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的用戶進(jìn)行認(rèn)證的認(rèn)證裝置����,所述策略管理裝置的特征在于,具有: 第I關(guān)聯(lián)機構(gòu)及/或第2關(guān)聯(lián)機構(gòu)����,所述第I關(guān)聯(lián)機構(gòu)將訪問控制對象的主機的標(biāo)識符和主機所連接的轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符關(guān)聯(lián)在一起���,所述第2關(guān)聯(lián)機構(gòu)將訪問控制對象的主機的標(biāo)識符和使用主機的用戶的標(biāo)識符關(guān)聯(lián)在一起����;和保持訪問控制策略的訪問控制策略存儲部�����,所述訪問控制策略使用轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符及/或用戶的標(biāo)識符來確定訪問控制對象的主機, 所述策略管理裝置分別從所述多個轉(zhuǎn)發(fā)節(jié)點接收與轉(zhuǎn)發(fā)節(jié)點自身連接的主機的標(biāo)識符和轉(zhuǎn)發(fā)節(jié)點自身的標(biāo)識符的組��, 并從所述認(rèn)證裝置接收與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的標(biāo)識符和用戶的標(biāo)識符的組�����, 所述策略管理裝置參照所述訪問控制策略�����,在與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機為訪問控制對象的情況下���,將訪問控制的內(nèi)容作為所述訪問控制列表通知至所述控制裝置��。
8.一種通信方法��,用于通信系統(tǒng)中��,所述通信系統(tǒng)具有:多個轉(zhuǎn)發(fā)節(jié)點���;對該多個轉(zhuǎn)發(fā)節(jié)點進(jìn)行控制的控制裝置;對使用與該多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的用戶進(jìn)行認(rèn)證的認(rèn)證裝置��;和保持訪問控制策略的策略管理裝置,其中����,所述訪問控制策略使用轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符及/或用戶的標(biāo)識符來確定訪問控制對象的主機,所述通信方法的特征在于�����,包含以下步驟: 所述多個轉(zhuǎn)發(fā)節(jié)點分別將與轉(zhuǎn)發(fā)節(jié)點自身連接的主機的標(biāo)識符和轉(zhuǎn)發(fā)節(jié)點自身的標(biāo)識符的組發(fā)送至所述策略管理裝置的步驟�; 所述認(rèn)證裝置將與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的標(biāo)識符和用戶的標(biāo)識符的組發(fā)送至所述策略管理裝置的步驟; 所述策略管理裝置將訪問控制對象的主機的標(biāo)識符和主機所連接的轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符關(guān)聯(lián)在一起的步驟���,及/或 所述策略管理裝置將訪問控制對象的主機的標(biāo)識符和使用主機的用戶的標(biāo)識符關(guān)聯(lián)在一起的步驟�����; 所述策略管理裝置參照所述訪問控制策略�,在與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機為訪問控制對象的情況下����,將訪問控制的內(nèi)容作為訪問控制列表通知至所述控制裝置的步驟�; 所述控制裝置根據(jù)所述訪問控制列表生成數(shù)據(jù)包的處理規(guī)則,并對所述多個轉(zhuǎn)發(fā)節(jié)點進(jìn)行設(shè)定的步驟��;和 所述多個轉(zhuǎn)發(fā)節(jié)點根據(jù)所述處理規(guī)則對數(shù)據(jù)包進(jìn)行處理的步驟。
9.如權(quán)利要求8所述的通信方法��,其特征在于���,所述處理規(guī)則將用于確定處理對象數(shù)據(jù)包的匹配規(guī)則�、和適用于符合該匹配規(guī)則的數(shù)據(jù)包的處理內(nèi)容建立對應(yīng)��。
10.如權(quán)利要求8或9所述的通信方法���,其特征在于,所述多個轉(zhuǎn)發(fā)節(jié)點分別將與轉(zhuǎn)發(fā)節(jié)點自身連接的主機的標(biāo)識符和轉(zhuǎn)發(fā)節(jié)點自身的標(biāo)識符的組經(jīng)由所述控制裝置發(fā)送至所述策略管理裝置��。
11.如權(quán)利要求10所述的通信方法��,其特征在于����,所述控制裝置將與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的標(biāo)識符和該轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符的組作為拓?fù)湫畔⒍3郑⒏鶕?jù)該拓?fù)湫畔⑸膳c所述訪問控制列表相應(yīng)的數(shù)據(jù)包的處理規(guī)則���。
12.如權(quán)利要求8至11中任一項所述的通信方法����,其特征在于,所述訪問控制策略包含設(shè)置在規(guī)定場所的轉(zhuǎn)發(fā)節(jié)點 的標(biāo)識符的列表��,用于確定訪問控制對象的主機��。
13.如權(quán)利要求8至11中任一項所述的通信方法����,其特征在于,所述訪問控制策略包含與規(guī)定的人事關(guān)系����、規(guī)定的工作地、規(guī)定的職權(quán)層級�����、以及規(guī)定的負(fù)責(zé)項目中的至少任一個相符的用戶的標(biāo)識符的列表�����,用于確定訪問控制對象的主機���。
14.一種通信方法,其特征在于����, 用于通信系統(tǒng)中��,所述通信系統(tǒng)具有:根據(jù)處理規(guī)則對數(shù)據(jù)包進(jìn)行處理的多個轉(zhuǎn)發(fā)節(jié)點����;根據(jù)訪問控制列表生成該處理規(guī)則并對該多個轉(zhuǎn)發(fā)節(jié)點進(jìn)行設(shè)定的控制裝置�����;和對使用與該多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的用戶進(jìn)行認(rèn)證的認(rèn)證裝置�����, 所述通信方法包含: 對使用轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符及/或用戶的標(biāo)識符來確定訪問控制對象的主機的訪問控制策略進(jìn)行保持的策略管理裝置進(jìn)行: 將訪問控制對象的主機的標(biāo)識符和主機所連接的轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符關(guān)聯(lián)在一起的步驟���,及/或 將訪問控制對象的主機的標(biāo)識符和使用主機的用戶的標(biāo)識符關(guān)聯(lián)在一起的步驟�;分別從所述多個轉(zhuǎn)發(fā)節(jié)點接收與轉(zhuǎn)發(fā)節(jié)點自身連接的主機的標(biāo)識符和轉(zhuǎn)發(fā)節(jié)點自身的標(biāo)識符的組的步驟��; 從所述認(rèn)證裝置接收與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的標(biāo)識符和用戶的標(biāo)識符的組的步驟�;和 參照所述訪問控制策略,在與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機為訪問控制對象的情況下�����,將訪問控制的內(nèi)容作為所述訪問控制列表通知至所述控制裝置的步驟。
15.一種程序����,其特征在于, 用于通信系統(tǒng)中����,所述通信系統(tǒng)具有:根據(jù)處理規(guī)則對數(shù)據(jù)包進(jìn)行處理的多個轉(zhuǎn)發(fā)節(jié)點;根據(jù)訪問控制列表生成該處理規(guī)則并對該多個轉(zhuǎn)發(fā)節(jié)點進(jìn)行設(shè)定的控制裝置�����;和對使用與該多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的用戶進(jìn)行認(rèn)證的認(rèn)證裝置����, 所述程序使設(shè)置在策略管理裝置中的計算機執(zhí)行下述處理:其中,所述策略管理裝置對使用轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符及/或用戶的標(biāo)識符來確定訪問控制對象的主機的訪問控制策略進(jìn)行保持��,所述處理為: 將訪問控制對象的主機的標(biāo)識符和主機所連接的轉(zhuǎn)發(fā)節(jié)點的標(biāo)識符關(guān)聯(lián)在一起的處理�����,及/或 將訪問控制對象的主機的標(biāo)識符和使用主機的用戶的標(biāo)識符關(guān)聯(lián)在一起的處理���;分別從所述多個轉(zhuǎn)發(fā)節(jié)點接收與轉(zhuǎn)發(fā)節(jié)點自身連接的主機的標(biāo)識符和轉(zhuǎn)發(fā)節(jié)點自身的標(biāo)識符的組的處理��; 從所述認(rèn)證裝置接收與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機的標(biāo)識符和用戶的標(biāo)識符的組的處理���;和 參照所述訪問控制策略,在與所述多個轉(zhuǎn)發(fā)節(jié)點中的某一個轉(zhuǎn)發(fā)節(jié)點連接的主機為訪問控制對象的情況下�����,將訪問控制的內(nèi)容作為所述訪問控制列表通知至所述控制裝置的處理����。
全文摘要
在設(shè)備及用戶的連接狀態(tài)頻繁變化的情況下實時地更新訪問控制。具有認(rèn)證裝置���,對使用與轉(zhuǎn)發(fā)節(jié)點連接的主機的用戶進(jìn)行認(rèn)證�����;和策略管理裝置�,保持使用轉(zhuǎn)發(fā)節(jié)點或用戶的標(biāo)識符來確定訪問控制對象的主機的訪問控制策略�����,并將訪問控制對象的主機的標(biāo)識符和主機所連接的轉(zhuǎn)發(fā)節(jié)點或使用主機的用戶的標(biāo)識符關(guān)聯(lián)在一起,轉(zhuǎn)發(fā)節(jié)點將與自身連接的主機及自身的標(biāo)識符的組發(fā)送至策略管理裝置����,認(rèn)證裝置將與轉(zhuǎn)發(fā)節(jié)點連接的主機及用戶的標(biāo)識符的組發(fā)送至策略管理裝置,策略管理裝置在與轉(zhuǎn)發(fā)節(jié)點連接的主機為訪問控制對象的情況下將訪問控制的內(nèi)容通知至控制裝置�����,控制裝置根據(jù)該通知生成處理規(guī)則并對轉(zhuǎn)發(fā)節(jié)點進(jìn)行設(shè)定�。
文檔編號H04L12/813GK103119902SQ201280002891
公開日2013年5月22日 申請日期2012年9月14日 優(yōu)先權(quán)日2011年9月20日
發(fā)明者森田陽一郎, 中江政行, 山形昌也, 佐佐木貴之, 下西英之, 園田健太郎, 波多野洋一 申請人:日本電氣株式會社