Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6364761B2 - ネットワークシステムおよび通信方法 - Google Patents
[go: Go Back, main page]

JP6364761B2 - ネットワークシステムおよび通信方法 - Google Patents

ネットワークシステムおよび通信方法 Download PDF

Info

Publication number
JP6364761B2
JP6364761B2 JP2013261562A JP2013261562A JP6364761B2 JP 6364761 B2 JP6364761 B2 JP 6364761B2 JP 2013261562 A JP2013261562 A JP 2013261562A JP 2013261562 A JP2013261562 A JP 2013261562A JP 6364761 B2 JP6364761 B2 JP 6364761B2
Authority
JP
Japan
Prior art keywords
packet
switch
information
user
management table
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013261562A
Other languages
English (en)
Other versions
JP2015119345A (ja
Inventor
由也 木津
由也 木津
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2013261562A priority Critical patent/JP6364761B2/ja
Priority to US14/570,002 priority patent/US20150172186A1/en
Publication of JP2015119345A publication Critical patent/JP2015119345A/ja
Application granted granted Critical
Publication of JP6364761B2 publication Critical patent/JP6364761B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/34Source routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/302Route determination based on requested QoS
    • H04L45/308Route determination based on user's profile, e.g. premium users

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、複数のユーザが共用の端末を介して組織内のシステムを利用するネットワークシステムおよび通信方法に関する。
組織外のネットワークからインターネットを介して組織内のリソースを利用する際、セキュリティの対策やマシンリソースの削減のため、複数のユーザが共用の端末を介して組織内のシステムを利用する場合が増えている。1台の端末を複数のユーザが共用している場合、端末を発信元とする通信が、どのユーザの発信したものかを特定することは困難である。
特にユーザ認証を伴わないHTTP(Hypertext Transfer Protocol)やFTP(File Transfer Protocol)のanonymous通信、NTP(Network Time Protocol)・DNS(Domain Name System)などのUDP(User Datagram Protocol)通信などでは、ユーザを特定することは困難である。
複数のユーザが使用している端末がワームに感染するなどのセキュリティインシデントが発生した場合、サーバのログなどを確認しても、どのユーザが行った通信か判別できず、原因を追跡することができないという問題が生じる。このため、発生したセキュリティインシデントに対して、全てのユーザの通信を止めるなどの過剰な対策が実施されてきた。
上記の問題に対して、通信を行ったユーザを一意に特定可能とするための技術が、特許文献1に開示されている。特許文献1では、ネットワーク上に設けた装置に専用のソフトウェアを組み込むことによって、通信の発生時に通信ごとにユーザ情報を埋め込む技術を開示している。
特開2001−44992号公報
しかしながら、特許文献1に開示された技術には、以下の課題があった。
特許文献1では、ネットワーク上に設けた装置に専用のソフトウェアを組み込むことによって、通信の発生時に通信ごとにユーザ情報を埋め込んでいる。しかしながら、そのためには、モニタリング装置の設置や各装置へのエージェントソフトウェアの追加導入が必要であり、新たな設備投資の負担が生じてしまうという課題があった。
本発明は、上記の課題を鑑みてなされたものであり、その目的は、複数のユーザが共用の端末を介して組織内のシステムを利用するネットワークシステムにおいて、端末からの通信を参照することで、ユーザ名などの通信の発信元情報の特定と発信元情報ごとの通信経路の指定とを、新たな装置の導入なしに可能とすることにある。
本発明によるネットワークシステムは、端末からパケットを受け、前記パケットの発信元情報を特定し、指示に基づいて前記発信元情報を前記パケットに付与し、前記指示に基づく通信経路に前記発信元情報を付与した前記パケットを送信する、スイッチと、前記スイッチに前記指示を出すコントローラと、を備えたネットワークシステムである。
本発明による通信方法は、端末から受信したパケットに基づいて、前記パケットの発信元情報を特定し、指示に基づいて、前記発信元情報を前記パケットに付与し、前記指示に基づく通信経路に前記発信元情報を付与した前記パケットを送信する、通信方法である。
本発明によれば、複数のユーザが共用の端末を介して組織内のシステムを利用するネットワークシステムにおいて、端末からの通信を参照することで、ユーザ名などの通信の発信元情報の特定と発信元情報ごとの通信経路の指定とが、新たな装置の導入なしに可能となる。
本発明の第1の実施形態のネットワークシステムの構成図である。 本発明の第1の実施形態のネットワークシステムのコントローラの構成図である。 本発明の第1の実施形態のパケットの構造を示す図である。 本発明の第1の実施形態のネットワークシステムの動作を示すタイムチャートである。 本発明の第1の実施形態のネットワークシステムのコントローラの動作を示すフローチャートである。 本発明の第1の実施形態のユーザ情報管理テーブルを示す表である。 本発明の第1の実施形態の制御ルール管理テーブルを示す表である。 本発明の第1の実施形態のユーザCが通信を行った場合の経路情報管理テーブルを示す表である。 本発明の第1の実施形態のユーザAが通信を行った場合の経路情報管理テーブルを示す表である。 本発明の第1の実施形態のセッション履歴管理テーブルを示す表である。 本発明の第2の実施形態のアプリケーションを識別するユーザ情報管理テーブルを示す表である。 本発明の第2の実施形態のアプリケーションの情報を変換する表である。 本発明の第2の実施形態のアプリケーションを識別する制御ルール管理テーブルを示す表である。 本発明の第2の実施形態のアプリケーションIDの埋め込みを可能にした経路情報管理テーブルを示す表である。 本発明の第2の実施形態のアプリケーションを識別するセッション履歴管理テーブルを示す表である。
以下、図を参照しながら、本発明の実施形態を詳細に説明する。但し、以下に述べる実施形態には、本発明を実施するために技術的に好ましい限定がされているが、発明の範囲を以下に限定するものではない。
(第1の実施形態)
(構成の説明)
図1は、本発明の第1の実施形態のネットワークシステムの構成図である。本実施形態のネットワークシステム100は、コントローラ101とスイッチ(スイッチ1(102)、スイッチ2(103)、スイッチ3(104))とを備える。
スイッチ(スイッチ1(102)、スイッチ2(103)、スイッチ3(104))は、共用端末105や業務サーバ106などに接続し、コントローラ101からの指示を受けて、ネットワーク上を流れるパケットの内容および経路の制御が可能な装置である。本実施形態では、図1に示す複数のスイッチ構成を用いて説明を進めるが、スイッチの構成としては図1に限定されない。
前記スイッチは、当該パケットが、当該スイッチの有する、後述する経路情報管理テーブルに基づいたフローテーブルに登録されたパケットであるか否かを判定する。当該パケットが登録されたパケットである場合、当該スイッチは、当該パケットにフローテーブルが特定するユーザ名を付与し、フローテーブルテーブルが指定する経路に当該パケットを送信する。当該パケットがフローテーブルに登録されていないパケットである場合、当該スイッチはコントローラ101に、当該パケットの経路について問い合わせる。
なお、経路情報管理テーブルはコントローラからスイッチに送信される。スイッチは、経路情報管理テーブルを受信すると、経路情報管理テーブルに基づいて当該スイッチの有するフローテーブルを更新する。本実施形態では、各スイッチの保有するフローテーブルは、Open Flowの仕様に従うものとする。
スイッチ1(102)は、共用端末105に接続されたスイッチである。スイッチ2(103)は、IPS(111)(Intrusion Prevention System)に接続されたスイッチである。スイッチ3(104)は、ユーザに対してサービスを提供する業務サーバ106に接続されたスイッチである。
スイッチ1、スイッチ2、スイッチ3は、コントローラ101からの指示を受けてネットワーク上を流れるパケットの内容および経路を制御可能な、SDN(Software Defined Networking)に対応したスイッチとすることができ、特に、Open Flowに対応したスイッチとすることができる。図1中のp1からp10は、各スイッチのネットワークに対する口を一意に識別可能なIDを示す記号である。
コントローラ101は、当該スイッチに対して、当該パケットの経路を指定する経路情報管理テーブルを作成し送信することができる。図2に、コントローラ101の構成を示す。
コントローラ101は、スイッチ制御部201、通信制御部202、端末情報取得部203を備える。さらに、各スイッチでのパケットの経路をユーザごとに指定する経路情報管理テーブル204、パケットの経路の制御ルールをユーザごとに規定する制御ルール管理テーブル205、通信を行っているユーザを特定するための情報を保持しているユーザ情報管理テーブル206、パケットの通信履歴を保存するセッション履歴管理テーブル207を備える。
スイッチ制御部201は、スイッチ(スイッチ1(102)、スイッチ2(103)、スイッチ3(104))から通信履歴を定期的もしくは任意のタイミングで取得し、セッション履歴管理テーブル207を更新する機能を有する。また、各スイッチから転送されたパケットを受信して通信制御部202に中継する機能と、通信制御部202で作成された経路情報管理テーブル204を受けて、各スイッチに送信する機能を有する。
通信制御部202は、スイッチ制御部201から転送されたパケットの内容とユーザ情報管理テーブル206と制御ルール管理テーブル205とを照らし合わせ、当該パケットのユーザの通信経路を決定して経路情報管理テーブル204を作成する機能を有する。作成された経路情報管理テーブル204はスイッチ制御部201に送られる。さらに、通信制御部202は、端末情報取得部203に指示して、共用端末105から、共通端末105にログイン中のユーザ情報などを取得させる機能を有する。
端末情報取得部203は、定期的に、もしくは通信制御部202からの指示を受けて、共用端末105から、共用端末105にログイン中のユーザを特定する情報などのユーザ情報を取得し、ユーザ情報管理テーブル206を更新する機能を有する。また、外部の管理端末107から、ユーザ情報管理テーブル206や制御ルール管理テーブル205を更新する情報を入手し、ユーザ情報管理テーブル206や制御ルール管理テーブル205を更新する機能を有する。
共用端末105は、複数のユーザが同時にログインし、マシンリソースを共有して利用することのできるネットワーク上の装置である。
業務サーバ106は、共用端末105からの要求に応じてサービスを提供することのできるネットワーク上の装置である。
管理端末107は、コントローラ101と接続され、コントローラ101の管理機能を有する装置である。
端末1(108)、端末2(109)、端末3(110)は、業務サーバ106の提供するサービスを利用する各ユーザの端末である。例えば、ユーザCが端末1から共用端末105にログインし、業務サーバ106で動作するWebサービスを受けることができる、などである。
IPS(111)は、流れるパケットのヘッダ部やペイロード部を参照して、予め設定されているルールに基づいて通信を破棄するなどの制御が可能な侵入検知防御機能を有する装置である。
図3に、ネットワーク上を流れるパケットの構造を示す。パケット300は、イーサネット(登録商標)ヘッダ、MPLSヘッダ、IPヘッダ、データを有する。イーサネットヘッダは、MACアドレスやプロトコル番号を有する。IPヘッダは、IPアドレスを有する。データは、TCP(Transmission Control Protocol)もしくはUDPの通信の場合、ポート番号などを有する。
MPLSヘッダは、ラベルフィールド(Label)、Experimental Useフィールド(EXP)、S(Bottom of Label Stack)フィールド(S)、Time to Liveフィールド(TTL)を有する。MPLSヘッダが付くのはスイッチを経由してからである。
ラベルフィールドは、MPLSラベルがマッピングされるフィールドである。本実施形態では、ユーザIDなどのユーザを特定する情報を、MPLSヘッダのラベルフィールドの20ビットの中に格納することができる。
Experimental Useフィールドは、CoS(Class of Service)情報を運ぶためのフィールドである。Sフィールドは、スタックされたラベルの最後を示すフィールドで、0は後続ラベル有りを、1は後続ラベル無しを示す。TTLフィールドは、TTL値を格納するフィールドである。なお、本実施形態のパケットの構造は、図9に示す構造に限定されない。
(動作の説明)
図4は、図1に示す本実施形態のネットワークシステムの動作を示すタイムチャートである。図4のタイムチャートを用いて動作を説明する。
ここでは、ユーザCが、端末1(108)からIPアドレス10.1.1.1を持つ共用端末105にログインして、IPアドレス10.1.1.200を持つ業務サーバ106上で動作するWebサービスに対してリクエスト(宛先ポート番号tcp/443の通信)を行う場合を例として説明する。
スイッチ1は、共用端末105からの要求パケットを受信すると、要求パケットの有する情報(入力ポート、送信元MACアドレス、宛先MACアドレス、プロトコル番号、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号など)を手掛かりとして、スイッチ1の持つフローテーブルを検索し、要求パケットのユーザのフローテーブルが存在するかどうかを確認する。
この時点では当該パケットは、ユーザを特定する情報、例えば、ユーザIDなどは有していない。しかしながら、各スイッチの有するフローテーブルは、各スイッチでの生存期間が短く設定されており(後述のIdle Timeoutに相当)、この生存期間内で当該パケットの上記の情報と一致するフローテーブルであれば、当該フローテーブルのユーザによるパケットと判定することができる。すなわち、ユーザを特定することができる。
なお、後述のように、パケットは、ネットワークシステム100の外からネットワークシステム100の内に入る際には、ユーザを特定する情報を有さない場合がある。よって、パケットがユーザを特定する情報を有さない場合、スイッチ1に限らず、各スイッチは、上記の方法でユーザを特定することができる。ただし、この方法でユーザを特定するためには、複数の項目の照合が必要となる。
スイッチ1は、スイッチ1に当該パケットに該当するフローテーブルが存在しない場合、当該パケットを、一旦、スイッチ1の有する受信バッファへ格納する。そして、コントローラ101に対して未登録の通信として当該パケットを送信し、コントローラに当該パケットおよびその後続パケットの通信経路について指示を仰ぐ(ステップ401)。
一方、スイッチ1は、スイッチ1に該当するフローテーブルが存在する場合、当該パケットにユーザを特定する情報を付与し、当該フローテーブルの指定に基づく通信経路に当該パケットを送信する。ここでは、スイッチ2に向けて当該パケットを送信することになる。これは後述のステップ407に相当する。
コントローラ101は、当該パケットを受信すると、当該パケットのヘッダ情報(送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル番号)を手掛かりとして、共用端末105から入手している、当該パケットのユーザを特定する情報、を有するユーザ情報管理テーブル206を検索する(ステップ402)。
コントローラ101は、ユーザ情報管理テーブル206に登録されたユーザのパケットであることが確認された場合、当該パケットの経路情報管理テーブル204の作成を行う。この時、コントローラ101は、当該ユーザのパケットの経路の制御ルールを規定する制御ルール管理テーブル205に基づいて、当該パケットの経路情報管理テーブル204の作成を行う(ステップ403)。
制御ルール管理テーブル205は、管理端末107から入力し更新することができる。
コントローラ101は、スイッチごとの経路情報管理テーブル204を作成し、それぞれの経路情報管理テーブル204をスイッチ1、スイッチ2、スイッチ3ごとに送信する(ステップ404)。
スイッチ1、スイッチ2、スイッチ3は、それぞれの経路情報管理テーブル204を受信すると、経路情報管理テーブル204に基づいて、それぞれのスイッチが保有するフローテーブルを更新する(ステップ405)。
コントローラ101は、スイッチ1、スイッチ2、スイッチ3に経路情報管理テーブル204を送信後、スイッチ1に対して、スイッチ1の受信バッファに格納された該当パケットを送信するよう指示する(ステップ406)。
スイッチ1は、ステップ406の指示を受けて、スイッチ1の保有するフローテーブルに基づいて、スイッチ1のp2ポートから当該パケットを送信する。このとき、当該パケットのヘッダ部にユーザを特定する情報を付与してから送信する(ステップ407)。
次に、コントローラ101からの視点でステップ402〜404の動作フローを整理すると、図5のようになる。図5は、コントローラ101の動作を示すフローチャートである。図5を用いて、本実施形態のコントローラ101の動作を説明する。
コントローラ101は、スイッチ1から未登録の当該パケットを受信すると、ステップ501で、図6に示すユーザ情報管理テーブル206−1を参照し、共用端末105から定期的に取得しているユーザ情報が、ユーザ情報管理テーブル206−1に存在するかどうかを確認する。
図6に、ユーザ情報管理テーブル206−1を示す。図6のユーザ情報管理テーブル206−1の各カラム、すなわち、User ID、Name、Logon Time、Logoff Flag、Elapsed Time、Host Id、Src Port、Dst Ip、Dst Port、Protocolは、それぞれ、ユーザを一意に識別可能な識別子、ユーザ名、ログオン時刻、ログオフしたことを示すフラグ、情報を取得してからの経過時間、ログオン先ホストを一意に識別可能な識別子、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル番号を示す。
具体的には、コントローラ101は、Logoff Flagのカラムが0、すなわちユーザがログオン中で、かつHost Idのカラムに当該パケットの送信元IPアドレス、すなわち共用端末105のIPアドレスが格納された行が存在するかどうかを確認する。このとき、正確な情報を参照できるようにするため、Elapsed Timeのカラムが、例えば、60秒以上の行は無視するとする。Elapsed Timeとは、コントローラ101が共用端末105からユーザ情報を取得してからの経過時間である。ユーザ情報が存在している場合(Y)は、ステップ503に進む。ユーザ情報が存在しない場合(N)は、ステップ502に進む。なお、Elapsed Timeが、上記の60秒以上の行が存在した場合、Nと判定することもできる。
ステップ502で、コントローラ101は、共用端末105から、共用端末105にログイン中のユーザ情報と、ログイン中のユーザが行っている通信の情報を取得する。具体的には、ユーザID、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル番号の組を取得し、取得した情報でユーザ情報管理テーブル206−1を更新する。図6は、更新後のユーザ情報管理テーブル206−1を示す。
コントローラ101は、エージェントなどのソフトウェアを共用端末105に導入することなく、共用端末105から情報取得することが可能である。例えば、Remote RegistoryやMS−RPCを利用して取得する方法や、SSHの公開鍵認証を使いリモートからコマンドを実行して取得する方法が可能である。情報取得後、ステップ503に進む。
ステップ503で、コントローラ101は、スイッチ1からの当該パケットの情報に基づいてユーザ情報管理テーブル206−1を検索する。具体的には、ユーザ情報管理テーブル206−1のLogoff Flagカラムの値が0、すなわち、ユーザがログイン中で、かつ、Host Id、Src Port、Dst Ip、Dst Port、Protocolの各カラムの内容と、当該パケットの情報(送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル番号)が一致する行を抽出する。該当する行が存在する場合(Y)は、ステップ505に進む。該当する行が存在しない場合(N)は、ステップ504に進む。
ステップ504で、コントローラ101は、スイッチ1に、スイッチ1の受信バッファに格納された該当パケットおよびその後続パケットの破棄を指示し、処理終了とする。
ステップ505で、コントローラ101は、ステップ503で抽出した行を順番に参照し、制御ルール管理テーブル205から一致する行があるかどうか検索する。
図7に、制御ルール管理テーブル205−1を示す。図7の制御ルール管理テーブル205−1の各カラム、すなわち、ID、User ID、Src IP、Src Port、Dst IP、Dst Port、Protocol、往路、復路、Idle Timeoutは、それぞれ、ルールを一意に識別可能な識別子、ユーザを一意に特定可能な識別子、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル番号、通信の往路を特定可能な情報、通信の復路を特定可能な情報、無通信状態となってから経路情報管理テーブル204を削除するまでの時間を示す。
具体的には、コントローラ101は、ユーザ情報管理テーブル206−1のUser ID、Host Id、Src Port、Dst Ip、Dst Port、Protocolの各カラムの内容と、制御ルール管理テーブル205−1のUser ID、Src IP、Dst IP、Dst Port、Protocolの各カラムの内容を照合し、一致する行があるかどうかを確認する。一致する行が存在する場合(Y)は、ステップ506に進む。一致する行が存在しない場合(N)は、ステップ504に進む。
ステップ506で、コントローラ101は、ステップ505で抽出したユーザ情報管理テーブル206−1の情報を参照して、経路情報管理テーブル204を作成する。当該パケットがOpenFlowの制御下に入ってから出るまでの間、当該パケットにMPLSヘッダを付与しユーザIDを格納するように、経路情報管理テーブル204を作成する。すなわち、本実施形態では、パケットが、ネットワークシステム100の内にあるときにはユーザIDを付与し、ネットワークシステム100の外に出るときにはユーザIDを取り外す。
OpenFlowの制御下から出るタイミングでMPLSのヘッダを取り外すのは、OpenFlowの制御下にない共用端末105や業務サーバ106、IPS111は、MPLSヘッダの付いたパケットを受信しても解釈できず、パケットを破棄してしまうためである。
経路情報管理テーブル204の作成方法の具体的な説明の前に、図7を用いて制御ルール管理テーブル205−1の往路と復路のカラムの内容について説明する。制御ルール管理テーブル205−1の往路と復路のカラムのデータは以下のフォーマットとなっており、カンマ区切りで複数指定可能となっている。
入口側スイッチ:入口側ポート−出口側スイッチ:出口側ポート
入口側スイッチ、入口側ポートには、それぞれOpenFlowネットワークへの入口となるスイッチの識別子、パケットが流入してくる側のネットワークの口を示す識別子を指定する。入口側ポートが制御ルール管理テーブル205−1のSrc IPの情報から一意に特定可能な場合は、入口側ポートの指定を省略可能とする。
出口側スイッチ、出口側ポートには、それぞれOpenFlowネットワークからの出口となるスイッチの識別子、パケットが流出する側のネットワークの口を示す識別子を指定する。出口側ポートが制御ルール管理テーブル205−1のDst IPの情報から一意に特定可能な場合は、出口側ポートの指定を省略可能とする。
経路情報管理テーブル204は、この往路、復路のカラムに記載のカンマ区切りのデータを順番に辿り、制御ルール管理テーブル205−1の該当行の他のパラメータも参照して作成して行くことになる。以降、具体的な経路情報管理テーブル204の作成方法を、該当行の往路のカラムに存在するスイッチ1−スイッチ2:p5の場合を例とし、図7および図8を用いて説明する。
図8は、ここで作成される経路情報管理テーブル204−1を示す。経路情報管理テーブル204−1は、スイッチごとに作成される。経路情報管理テーブル204−1の各カラム、すなわち、Match列のIngress Port、MPLS、Cookie、Src IP、Src Port、Dst IP、Dst Port、Protocol、Dl Type、Action列のEgress Port、MPLS、Idle Timeoutは、それぞれ、入力ポート、MPLSヘッダの照合条件、フローを一意に識別可能な識別子(フローの一括削除、一括更新の目的で使用)、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル番号、イーサネットタイプ番号、出口ポート、MPLSのアクション、無通信状態となってから経路情報管理テーブル204を削除するまでの時間を示す。
図7において、ユーザCは、該当する制御ルール管理テーブル205−1のIDが2の場合であることから、IDが2の行の往路と復路のカラムを参照して通信経路を決定する。具体的には、制御ルール管理テーブル205−1の往路と復路のカラムのカンマで区切られた情報を順番に参照し、経路情報管理テーブル204−1の情報を作成する。
SW1−SW2:p5という情報からスイッチ1とスイッチ2に対してそれぞれ1つずつ経路情報管理テーブルを生成する。以下、SW1はスイッチ1に、SW2はスイッチ2に、また、SW3はスイッチ3に対応する。
まず、経路情報管理テーブル204−1のIngress PortとEgress Portのカラムへ登録する値を決定する。スイッチ1の入口側ポートの情報が省略されているため、制御ルール管理テーブル205−1のSrc IPの情報から入口側ポートの識別子がp1であることを特定する。スイッチ1の出力側ポートはスイッチ2と接続されている口であるためp2と特定される。同様にスイッチ2の入口側ポートはp4、出口側ポートはp5と特定される。
次に、Action列の値を決定する。OpenFlowの制御下に入るタイミングでMPLSヘッダを付与し、OpenFlowの制御下から出るタイミングでMPLSヘッダを除去する処理を登録する。
スイッチ1側にMPLSヘッダを付与するアクションを、スイッチ2側にMPLSヘッダを除去するアクションを登録する。MPLSヘッダを付与する際、制御ルール管理テーブル205−1の内容を参照し、MPLSヘッダのラベルフィールドにユーザCを示す識別子である103を埋め込む。スイッチ2側のMatch列のMPLSカラムにはユーザCを示す識別子(103)がMPLSラベルに付与されていることを示す条件を登録する。
次に、制御ルール管理テーブル205−1の各カラムの値(User ID、Src IP、Dst IP、Dst Port、Protocol、往路、復路、Idle Timeout)を参照して、経路情報管理テーブル204−1の残りのカラムを作成する。Cookieのカラムには一連の経路を一意に特定可能なIDを登録する。Cookieのカラムは、経路情報管理テーブル204−1の一括更新および一括削除の目的で使用する。Dl TypeのカラムにはIPv4パケットであることを示す0x0800もしくはMPLS unicastを示す0x8847を、Ingress Portのカラムから入ってくるパケットの内容に合わせて登録する。
ここまでで、SW1−SW2:p5の情報に基づいて、スイッチ1とスイッチ2のフローテーブルへ登録する経路情報管理テーブル204−1をそれぞれ作成できたことになる。同様に往路と復路のカラムに記載のカンマ区切りのデータを順番に処理して経路情報管理テーブル204−1を作成して行く。往路、復路の情報をすべて辿って作成した経路情報管理テーブル204−1を図8に示す。
ステップ507で、コントローラ101は、各スイッチに登録する経路情報管理テーブル204−1が作成できているかどうかを確認する。経路情報管理テーブル204−1が生成できていなかった場合(N)は、ステップ504に進む。経路情報管理テーブル204が作成できていた場合(Y)は、ステップ508に進む。
ステップ508で、コントローラ101は、ステップ506で作成したスイッチ1、スイッチ2、スイッチ3ごとの経路情報管理テーブル204−1を、スイッチ1、スイッチ2、スイッチ3ごとに送信し、処理終了とする。すなわち、コントローラ101から、例えば、スイッチ1に送信する経路情報管理テーブルは、スイッチ1に該当するテーブルとする。各スイッチは、コントローラ101が作成した経路情報管理テーブルの内、各スイッチに該当するテーブルを受信し、各々のフローテーブルを更新する。経路情報管理テーブル204−1は、スイッチ1、スイッチ2、スイッチ3が当該パケットの通信経路を指定する指示となる。
以上がコントローラ101の動作である。
経路情報管理テーブル204−1のIdle Timeoutの時間を過ぎると、該当する経路情報管理テーブル204−1は削除される。そのため、コントローラ101は、スイッチからの要求に基づいて、経路情報管理テーブル204の作成を、再び図5に示すステップで行う。
図5の動作の後、コントローラ101は、スイッチ1に指示して、要求パケットを送信するように指示する(ステップ406)。
スイッチ1は、ステップ406の指示を受けて、スイッチ1の保有するフローテーブルに基づいて、スイッチ1のp2ポートから要求パケットを送信する。このとき、要求パケットにMPLSヘッダのラベルを付加し、MPLSヘッダのラベルにユーザIDを格納して送信する(ステップ407)。このユーザIDの付与により、各スイッチは、要求パケットのヘッダを参照することで要求パケットのユーザを特定でき、かつ、ユーザごとの通信経路の指定が可能となる。
スイッチ2は、要求パケットのMPLSヘッダのラベルのユーザIDを確認し、スイッチ2の保有するフローテーブルに基づいて、Egress Portのカラムに記載のp5ポートよりパケットをIPS111に送信する。このとき経路情報管理テーブル204−1のAction列のMPLSカラムの通り、ユーザIDを格納したMPLSヘッダのラベルを取り外して当該パケットを送信する(ステップ408)。
IPS111は、受信した要求パケットのヘッダ部と、予め設定されていたフィルタ設定とを比較して、通信の転送可否を判断する(ステップ409)。以降では、IPS111において、転送が許可されていたものとして説明を進める。IPS111は、要求パケットのヘッダ部および自身のルーティングテーブルを参照して、スイッチ2に当該パケットを送信する(ステップ410)。
スイッチ2は、要求パケットの有する情報(入力ポート、送信元MACアドレス、宛先MACアドレス、プロトコル番号、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号など)を手掛かりとして、スイッチ2の保有するフローテーブルを検索し、当該パケットのユーザを特定する。次いで、フローテーブルに基づいて、Egress Portのカラムに記載のp7ポートより当該パケットをスイッチ3に送信する。このとき当該パケットに対してMPLSヘッダのラベルを付加し、ユーザIDをMPLSヘッダのラベルに格納して送信する(ステップ411)。
スイッチ3は、要求パケットのMPLSヘッダのラベルのユーザIDを確認し、スイッチ3の保有するフローテーブルに基づいて、Egress Portのカラムに記載のp10ポートより当該パケットを業務サーバ106に送信する。このとき経路情報管理テーブル204−1の通り、ユーザIDを格納したMPLSヘッダのラベルを取り外して当該パケットを送信する(ステップ412)。
業務サーバ106は、クライアントからの要求に応じ、応答パケットをスイッチ3に送信する(ステップ413)。
スイッチ3は、応答パケットの有する情報(入力ポート、送信元MACアドレス、宛先MACアドレス、プロトコル番号、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号など)を手掛かりとして、フローテーブルを検索し、当該パケットのユーザを特定する。次いで、フローテーブルに基づいて、Egress Portのカラムに記載のp9ポートより当該パケットをスイッチ2に送信する。このとき当該パケットに対してMPLSヘッダのラベルを付加し、ユーザIDをMPLSヘッダのラベルに格納して送信する(ステップ414)。
スイッチ2は、応答パケットのMPLSヘッダのラベルのユーザIDを確認し、フローテーブルに基づいて、Egress Portのカラムに記載のp6ポートより当該パケットをIPS111に送信する。このときフローテーブルの通り、ユーザIDを格納したMPLSヘッダのラベルを取り外して当該パケットを送信する(ステップ415)。
IPS111は、応答パケットのヘッダ部および自身のルーティングテーブルを参照して、スイッチ2に当該パケットを送信する(ステップ416)。
スイッチ2は、応答パケットの有する情報を手掛かりとして、フローテーブルを検索し、当該パケットのユーザを特定する。次いで、フローテーブルに基づいて、Egress Portのカラムに記載のp4ポートより当該パケットをスイッチ1に送信する。このとき当該パケットに対してMPLSヘッダのラベルを付加し、ユーザIDをMPLSヘッダのラベルに格納して送信する(ステップ417)。
スイッチ1は、応答パケットのMPLSヘッダのラベルのユーザIDを確認し、フローテーブルに基づいて、Egress Portのカラムに記載のp1ポートより当該パケットを共用端末105に送信する。このときフローテーブルの通り、ユーザIDを格納したMPLSヘッダのラベルを取り外して当該パケットを送信する(ステップ418)。
後続パケットは、ステップ405で設定された経路情報管理テーブル204−1に基づくフローテーブルに基づいて配送される。スイッチ1、スイッチ2、スイッチ3のフローテーブルが削除されるまでは、ステップ407〜ステップ418と同様に処理される。
経路情報管理テーブル204−1のIdle Timeoutの時間である15秒を過ぎると、該当するフローテーブルは削除される。削除後は、スイッチからの要求に基づいて、コントローラ101は経路情報管理テーブル204の作成を、図5に示すステップで行う。
スイッチ1、スイッチ2、スイッチ3のフローテーブルが削除されるタイミング、すなわち、経路情報管理テーブル204−1のIdle Timeoutを過ぎるタイミングで、各スイッチは通信履歴をコントローラ101に送信する。コントローラ101は当該通信履歴に基づいて、図10に示すセッション履歴管理テーブル207−1を更新する。各スイッチが、通信履歴をコントローラ101に送信するタイミングは、経路情報管理テーブル204−1が削除されるタイミングに限定されず、例えば、コントローラ101から送信の指示を受けてのタイミングであってもよい。
図10にセッション履歴管理テーブル207−1を示す。セッション履歴管理テーブル207−1の各カラム、すなわち、Flow ID、User ID、Src IP、Src Port、Dst IP、Dst Port、Protocol、n−packets、n−bytes、往路、復路、Start Time、End Timeは、それぞれ、セッションを一意に識別可能な識別子、通信を行ったユーザを一意に識別可能な識別子、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル番号、やり取りされたパケットの数、やり取りされたパケットの量、通信の往路を特定可能な情報、通信の復路を特定可能な情報、セッションの開始時刻、セッションの終了時刻を示す。
セッション履歴管理テーブル207−1に通信履歴を記録することにより、通信終了後であっても、例えば、業務サーバ106のアクセスログとセッション履歴管理テーブル207−1の内容とを照合することで、通信を行ったユーザの特定と通信履歴情報を得ることとが可能となる。
本実施形態では、ユーザCが発信した通信を例に説明したが、ユーザAが端末1(108)からIPアドレス10.1.1.1を持つ共用端末105にログインしてIPアドレス10.1.1.200を持つ業務サーバ106上で動作するWebサービスに対してリクエスト(宛先ポート番号tcp/443の通信)を行った場合についても同様に処理することができる。
ユーザCは一般ユーザであり、ファイアウォールであるIPS111を経由して業務サーバ106へパケットが送られる場合を示した。一方、ユーザAは、図7の制御ルール管理テーブル205−1に示すように特定ユーザであり、パケットは、ファイアウォールを経由せずに直接業務サーバ106へ送られる。ユーザごとに通信の経路の使い分けをすることで、SDNにおいてセキュリティレベルの使い分けができる。
図9に、ユーザAが発信した通信を処理する経路情報管理テーブル204−2を示す。ユーザAが発信したパケットは、スイッチ1から直接スイッチ3に送信され、ファイアウォールを経由するスイッチ2には往路も復路も経由されない。制御ルール管理テーブル205に基づいた経路情報管理テーブル204の更新で、ユーザごとに通信経路を変えることが可能である。
本実施形態では、MPLSヘッダを用いてIPデータグラムをカプセル化することができるため、IPsecなどで暗号化されている場合でも、暗号化の影響を受けることがない。通信が暗号化されていても、パケットのヘッダ情報に基づいて発信元のユーザの特定が可能である。すなわち、本実施形態は暗号化通信に対しても有効である。
MPLSの場合、通常、スイッチは、パケットがスイッチを経由する度にラベルの付け替え処理を行う。しかしながら、ラベルを付け替えると通信経路上で通信とユーザとの紐付けが即時に行えなくなる。そのため、本実施形態では、通常のラベルの付け替えをスイッチでは実施しない方法で説明を行った。一方、ラベルとユーザとの対応付けが必要となるが、MPLSの仕様通り、ラベルの付け替えをスイッチで行うようにすることもできる。
本実施形態では、ユーザ情報の埋め込み先としてMPLSヘッダのラベルを利用したが、ユーザ情報の埋め込み領域を確保することによって、MPLSヘッダのラベル以外の使用が可能である。例えば、IPv6ヘッダのフローラベルやIPv4ヘッダのTOSフィールドなどを利用する方法がある。
IPv6ヘッダやIPv4ヘッダを使用する場合は、パケットがOpenFlowの制御下から出る際にもユーザ情報を取り外す必要がない。すなわち、パケットに一度付与したユーザ情報は、その後、保持され続けるため、各スイッチは付与されたユーザ情報によってユーザを特定することができる。また、各スイッチは、ユーザ情報の付与されたパケットに重複してユーザ情報を付与する必要はない。
本実施形態のネットワークシステム100を構成するコントローラ101とスイッチ(スイッチ1(102)、スイッチ2(103)、スイッチ3(104))は、OpenFlowに対応したネットワークを構成する機器である。本実施形態はOpenFlowに対応したネットワークであることから、実施にあたり新たな機器は必要としない。
以上のように、本実施形態によれば、複数のユーザが共用の端末を介して組織内のシステムを利用するネットワークシステムにおいて、端末からの通信を参照することで、ユーザ名などの通信の発信元情報の特定とユーザ名ごとの通信経路の指定とが、新たな装置の導入なしに可能となる。さらに、ユーザ名ごとの通信履歴を辿ることが可能となる。
(第2の実施形態)
本発明の第2の実施形態として、通信とユーザの紐付けだけでなく、通信経路上を流れるパケット情報で、通信を行ったアプリケーションを一意に特定可能にする方法を説明する。
これは、図1と図2に示す構成を用いて、コントローラ101内のユーザ情報管理テーブル206、制御ルール管理テーブル205、経路情報管理テーブル204、セッション履歴管理テーブル207の、それぞれの一部を拡張することで実現可能である。
図11に、拡張後のユーザ情報管理テーブル206−2を示す。点線枠内が拡張したApp Nameのカラムである。カラムの値は端末情報取得部203が共用端末105からアプリケーションのプロセス名を取得して格納する。パケットに埋め込める情報量は制限されており、プロセス名のままでは情報量が膨らんでしまうため、パケットの情報を埋め込む前にアプリケーションを一意に識別可能な識別子に変換することができる。
図12に、変換のための情報を格納したテーブルを示す。コントローラ101の通信制御部202を拡張し、経路情報管理テーブル204の作成時に、図11および図12のテーブルを参照してApp Nameのカラムの値を、アプリケーションを一意に特定可能な識別子App IDに変換することができる。
図13に、アプリケーションごとの通信制御を実現するため、ユーザ情報管理テーブル206の拡張に伴い拡張した制御ルール管理テーブル205−2を示す。点線枠内が拡張したカラムである。App IDカラムにアプリケーションを識別可能な識別子を格納して、アプリケーションごとの制御を可能にする。
パケットにアプリケーションを一意に特定可能な情報を埋め込む処理は、第1の実施形態で説明したステップ506の動作を拡張して実現する。経路情報管理テーブル204を作成する際に、ユーザ情報管理テーブル206−2と制御ルール管理テーブル205−2に追加したアプリケーションを一意に識別可能な識別子を取得して、MPLSヘッダのラベルとしてユーザIDと共にパケットへ付与することで実現する。図14に、スイッチごとに作成した経路情報管理テーブル204−3を示す。図14は図9を更新したものであり、スイッチごとのテーブルの点線枠内が、アプリケーションの識別子を加えて更新したセルである。
通信の完了後に、ユーザIDだけでなく、使用アプリケーションの情報も追跡可能とするため、セッション履歴管理テーブル207も制御ルール管理テーブル205−2と同様に拡張する。図15に、拡張後のセッション履歴管理テーブル207−2を示す。点線枠内が拡張したカラムである。App IDカラムにアプリケーションを識別可能な識別子を格納することで、使用アプリケーションの追跡を可能にする。
本発明の第2の実施形態として、アプリケーションの識別子を追加でパケットへ埋め込む方法を説明した。パケットに情報を埋め込む際に、MPLSヘッダのラベルの仕組みを利用して、ユーザ名やアプリケーション名の場合と同様に、国籍、職業、年齢、出身地などの個人情報や、アプリケーションが参照した機密情報のファイルの識別子などの個別情報を、パケットへ複数多段に埋め込むことも可能である。
これは、アプリケーション名の場合と同様に、共用端末105が前記の個人情報や個別情報を有し、コントローラ101が前記の個人情報や個別情報を共用端末105から取得することで可能となる。このとき、コントローラ101は、図11に対応するユーザ情報管理テーブル、図12に対応する変換のための個人情報や個別情報を格納したテーブル、図13に対応する制御ルール管理テーブルを有し、図14に対応する経路情報管理テーブルを作成し、図15に対応するセッション履歴管理テーブルを保存すればよい。
本実施形態によれば、パケットのヘッダ部の参照で、通信の発信元情報であるユーザ名やアプリケーション名や個人情報や個別情報の特定が可能となる。よって、前記の複数の情報を組み合わせての通信制御が可能となるため、ネットワークセキュリティの面での活用も可能である。
以上のように、本実施形態によれば、複数のユーザが共用の端末を介して組織内のシステムを利用するネットワークシステムにおいて、端末からの通信を参照することで、通信の発信元情報であるユーザ名やアプリケーション名や個人情報や個別情報の特定と、発信元情報ごとの通信経路の指定とが、新たな装置の導入なしに可能となる。さらに、発信元情報ごとの通信履歴を辿ることが可能となる。
本発明は上記実施形態に限定されることなく、特許請求の範囲に記載した発明の範囲内で、種々の変形が可能であり、それらも本発明の範囲内に含まれるものであることはいうまでもない。
また、上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
付記
(付記1)
端末からパケットを受け、前記パケットの発信元情報を特定し、指示に基づいて前記発信元情報を前記パケットに付与し、前記指示に基づく通信経路に前記発信元情報を付与した前記パケットを送信するスイッチと、前記スイッチに前記指示を出すコントローラと、を備えたネットワークシステム。
(付記2)
前記発信元情報は、ユーザ名およびアプリケーション名の少なくともひとつを特定する情報である、付記1記載のネットワークシステム。
(付記3)
前記指示は、前記発信元情報を前記パケットに付与する指示、および、前記発信元情報ごとの前記通信経路を指定する指示、を有する、付記1または2記載のネットワークシステム。
(付記4)
前記スイッチは、前記パケットの情報に基づいて前記発信元情報を特定し、前記発信元情報を特定できない場合は前記コントローラに前記パケットについての前記指示を求める、付記1から3の内の1項記載のネットワークシステム。
(付記5)
前記コントローラは、前記端末から得られる情報と前記パケットの情報とから、前記発信元情報を特定する、付記1から4の内の1項記載のネットワークシステム。
(付記6)
前記コントローラは、前記発信元情報ごとに予め定められた、前記通信経路の制御ルールに基づいて前記指示を出す、付記1から5の内の1項記載のネットワークシステム。
(付記7)
前記スイッチは、前記パケットの前記通信経路の履歴を前記コントローラに送信し、前記コントローラは、前記履歴を保存する、付記1から6の内の1項記載のネットワークシステム。
(付記8)
前記スイッチは、前記発信元情報を前記パケットのヘッダ部に付与する、付記1から7の内の1項記載のネットワークシステム。
(付記9)
端末から受信したパケットに基づいて前記パケットの発信元情報を特定し、指示に基づいて前記発信元情報を前記パケットに付与し、前記指示に基づく通信経路に前記発信元情報を付与した前記パケットを送信する、通信方法。
(付記10)
前記発信元情報は、ユーザ名およびアプリケーション名の少なくともひとつを特定する、付記9記載の通信方法。
(付記11)
前記指示は、前記発信元情報を前記パケットに付与する指示、および、前記発信元情報ごとの前記通信経路を指定する指示、を有する、付記9または10記載の通信方法。
(付記12)
前記発信元情報を特定できない場合、前記端末から得られる情報と前記パケットの情報とに基づいて、前記発信元情報を特定する、付記9から11の内の1項記載の通信方法。
(付記13)
前記指示は、前記発信元情報ごとに予め定められた、前記通信経路の制御ルールに基づいて出される、付記9から12の内の1項記載の通信方法。
(付記14)
前記パケットの前記通信経路の履歴を保存する、付記9から13の内の1項記載の通信方法。
(付記15)
前記発信元情報を前記パケットのヘッダ部に付与する、付記9から14の内の1項記載の通信方法。
100 ネットワークシステム
101 コントローラ
102 スイッチ1
103 スイッチ2
104 スイッチ3
105 共用端末
106 業務サーバ
107 管理端末
108 端末1
109 端末2
110 端末3
111 IPS
201 スイッチ制御部
202 通信制御部
203 端末情報取得部
204、204−1、204−2、204−3 経路情報管理テーブル
205、205−1、205−2 制御ルール管理テーブル
206、206−1、206−2 ユーザ情報管理テーブル
207、207−1、207−2 セッション履歴管理テーブル
300 パケット

Claims (9)

  1. 端末からパケットを受け、前記パケットの発信元情報を特定し、指示に基づいて前記発信
    元情報を付与したMPLSヘッダのラベルを多段に前記パケットに付与し、前記指示に基
    づく通信経路に前記MPLSヘッダのラベルを付与した前記パケットを送信する、第1の
    スイッチと、
    前記MPLSヘッダのラベルが付与された前記パケットを受け、前記パケットの発信元情
    報を特定し、前記指示に基づく前記パケットの通信経路を特定し、前記指示に基づいて多
    段に付与された前記MPLSヘッダのラベルを前記パケットから除去する、第2のスイッ
    チと、
    前記第1と第2のスイッチに前記指示を出すコントローラと、
    を備えたネットワークシステム。
  2. 前記発信元情報は、ファイル、ユーザ名およびアプリケーション名の少なくともひとつを
    特定する情報である、請求項1記載のネットワークシステム。
  3. 前記指示は、前記発信元情報を付与したMPLSヘッダのラベルを前記パケットに付与も
    しくは除去する指示、および、前記発信元情報ごとの前記通信経路を指定する指示、を有
    する、請求項1または2記載のネットワークシステム。
  4. 前記スイッチは、前記パケットの情報に基づいて前記発信元情報を特定し、前記発信元情
    報を特定できない場合は前記コントローラに前記パケットについての前記指示を求める、
    請求項1から3の内の1項記載のネットワークシステム。
  5. 前記コントローラは、前記端末から得られる情報と前記パケットの情報とから、前記発信
    元情報を特定する、請求項1から4の内の1項記載のネットワークシステム。
  6. 前記コントローラは、前記発信元情報ごとに予め定められた、前記通信経路の制御ルール
    に基づいて前記指示を出す、請求項1から5の内の1項記載のネットワークシステム。
  7. 前記スイッチは、前記パケットの前記通信経路の履歴を前記コントローラに送信し、前記
    コントローラは、前記履歴を保存する、請求項1から6の内の1項記載のネットワークシ
    ステム。
  8. コントローラが第1と第2のスイッチに指示を出し、
    第1のスイッチが、端末からパケットを受け、前記パケットの発信元情報を特定し、前記
    指示に基づいて前記発信元情報を付与したMPLSヘッダのラベルを多段に前記パケット
    に付与し、前記指示に基づく通信経路に前記MPLSヘッダのラベルを付与した前記パケ
    ットを送信し、
    第2のスイッチが、前記MPLSヘッダのラベルが付与された前記パケットを受け、前記
    パケットの発信元情報を特定し、前記指示に基づく前記パケットの通信経路を特定し、前
    記指示に基づいて多段に付与された前記MPLSヘッダのラベルを前記パケットから除去
    する、通信方法。
  9. 前記発信元情報は、ファイル、ユーザ名およびアプリケーション名の少なくともひとつを
    特定する、請求項8記載の通信方法。
JP2013261562A 2013-12-18 2013-12-18 ネットワークシステムおよび通信方法 Expired - Fee Related JP6364761B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2013261562A JP6364761B2 (ja) 2013-12-18 2013-12-18 ネットワークシステムおよび通信方法
US14/570,002 US20150172186A1 (en) 2013-12-18 2014-12-15 Network system and communication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013261562A JP6364761B2 (ja) 2013-12-18 2013-12-18 ネットワークシステムおよび通信方法

Publications (2)

Publication Number Publication Date
JP2015119345A JP2015119345A (ja) 2015-06-25
JP6364761B2 true JP6364761B2 (ja) 2018-08-01

Family

ID=53369854

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013261562A Expired - Fee Related JP6364761B2 (ja) 2013-12-18 2013-12-18 ネットワークシステムおよび通信方法

Country Status (2)

Country Link
US (1) US20150172186A1 (ja)
JP (1) JP6364761B2 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9479409B2 (en) * 2014-08-18 2016-10-25 Telefonaktiebolaget L M Ericsson (Publ) Passive reachability measurement for inline service chaining
US9705775B2 (en) 2014-11-20 2017-07-11 Telefonaktiebolaget Lm Ericsson (Publ) Passive performance measurement for inline service chaining
US9838286B2 (en) 2014-11-20 2017-12-05 Telefonaktiebolaget L M Ericsson (Publ) Passive performance measurement for inline service chaining
US10536549B2 (en) * 2015-12-15 2020-01-14 Nxp Usa, Inc. Method and apparatus to accelerate session creation using historical session cache
CN108259338B (zh) 2017-06-20 2021-06-29 新华三技术有限公司 一种私网应用识别方法及装置
JP6705857B2 (ja) * 2018-03-28 2020-06-03 日本電信電話株式会社 通信装置、通信制御システム、通信制御方法及び通信制御プログラム
CN110391982B (zh) * 2018-04-20 2022-03-11 伊姆西Ip控股有限责任公司 传输数据的方法、设备和计算机程序产品
CN111200664B (zh) * 2018-11-16 2021-06-08 中国科学院声学研究所 一种网络实体移动事件消息的传播方法
US11102169B2 (en) * 2019-06-06 2021-08-24 Cisco Technology, Inc. In-data-plane network policy enforcement using IP addresses
US11991086B2 (en) 2021-12-31 2024-05-21 Uab 360 It Device-enabled access control in a mesh network

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7424744B1 (en) * 2002-03-05 2008-09-09 Mcafee, Inc. Signature based network intrusion detection system and method
US7586851B2 (en) * 2004-04-26 2009-09-08 Cisco Technology, Inc. Programmable packet parsing processor
US7656812B2 (en) * 2006-07-27 2010-02-02 Cisco Technology, Inc. Monitoring of data packets in a fabric
JP5621781B2 (ja) * 2009-10-06 2014-11-12 日本電気株式会社 ネットワークシステムとコントローラと方法とプログラム
US8599692B2 (en) * 2009-10-14 2013-12-03 Vss Monitoring, Inc. System, apparatus and method for removing unwanted information from captured data packets
WO2011053299A1 (en) * 2009-10-29 2011-05-05 Hewlett-Packard Development Company, L.P. Switch that monitors for fingerprinted packets
US8897134B2 (en) * 2010-06-25 2014-11-25 Telefonaktiebolaget L M Ericsson (Publ) Notifying a controller of a change to a packet forwarding configuration of a network element over a communication channel
US9397949B2 (en) * 2011-04-18 2016-07-19 Nec Corporation Terminal, control device, communication method, communication system, communication module, program, and information processing device
JP5987902B2 (ja) * 2012-04-03 2016-09-07 日本電気株式会社 ネットワークシステム、コントローラ、及びパケット認証方法

Also Published As

Publication number Publication date
JP2015119345A (ja) 2015-06-25
US20150172186A1 (en) 2015-06-18

Similar Documents

Publication Publication Date Title
JP6364761B2 (ja) ネットワークシステムおよび通信方法
US9871766B2 (en) Secure path determination between devices
US8116307B1 (en) Packet structure for mirrored traffic flow
US7730521B1 (en) Authentication device initiated lawful intercept of network traffic
EP3890251B1 (en) Service processing method, device and system
EP3076612B1 (en) Packet processing methods and nodes
US10749922B2 (en) Method and telecommunications arrangement for transferring media data having differing media types via a network sensitive to quality of service
JP7095102B2 (ja) ネットワークデバイス間にグループネットワークを作成するためのシステムおよび方法
CN113132342A (zh) 方法、网络装置、隧道入口点装置及存储介质
EP3366020B1 (en) Sdn controller assisted intrusion prevention systems
US20150135178A1 (en) Modifying virtual machine communications
EP2753030A1 (en) Flow identification method, device, and system
US20140241368A1 (en) Control apparatus for forwarding apparatus, control method for forwarding apparatus, communication system, and program
US9515926B2 (en) Communication system, upper layer switch, control apparatus, switch control method, and program
CN106161225B (zh) 用于处理vxlan报文的方法、装置及系统
CN102571613A (zh) 一种转发报文的方法及网络设备
US10038669B2 (en) Path control system, control device, and path control method
EP3113425B1 (en) Encapsulation method for service routing packet, service forwarding entity and control plane
US20250233772A1 (en) X-over-y tunnel signaling and configuration, and use of configured x-over-y tunnel(s)
JP2008236275A (ja) 通信システム、パケット転送処理装置及びそれらに用いる通信セッション制御方法
JP7028543B2 (ja) 通信システム
KR20130032396A (ko) 라우팅 방법 및 관련 라우팅 장치 및 목적지 장치
CN119788602B (zh) Vpn网关流量转发方法、装置、电子设备及存储介质
JP2006050433A (ja) トラヒック監視装置、通信ネットワークトラヒック監視システム、および監視方法
JP4934393B2 (ja) ネットワーク通信におけるセッション交換方法及び装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170801

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170929

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20171121

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180215

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20180222

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180320

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180517

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180605

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180618

R150 Certificate of patent or registration of utility model

Ref document number: 6364761

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees