Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации

Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации

Иллюстрации

Показать все

Реферат

Область техники

[0001] (Ссылка на родственную заявку)

Эта заявка основана и притязает на приоритет заявки на патент Японии № 2011-092318, поданной 18 апреля 2011 года, раскрытие которой включено в настоящий документ по ссылке во всей своей полноте. Настоящее изобретение имеет отношение к терминалу, устройству управления, способу связи, системе связи, модулю связи, программе и устройству обработки информации и имеет отношение к технологии связи в сети, в которой устройство управления выполняет централизованное управление устройствами пересылки.

Уровень техники

[0002] В последние годы была предложена технология, известная как OpenFlow (см. патентную литературу 1 и непатентную литературу 1 и 2). В технологии OpenFlow связь рассматривается как сквозной поток, и управление трактом, восстановление после отказа, балансирование нагрузки и оптимизация выполняются в единицах потоков. Коммутатор OpenFlow, как определено в непатентной литературе 2, обеспечивается безопасным каналом для связи с контроллером OpenFlow и работает в соответствии с таблицей потоков, в которой инструкции на соответствующее дополнение или перезапись даются контроллером OpenFlow. В таблице потоков находятся определения наборов правил согласования (поля заголовка) для сопоставления с заголовками пакетов, статистическая информация потока (счетчики) и действия (действия), определяющие содержание обработки, для каждого потока (см. фиг. 24).

[0003] Например, когда коммутатор OpenFlow принимает пакет, в таблице потоков ищется запись, имеющая правило согласования (см. поле заголовка на фиг. 24), которое согласуется с информацией заголовка принятого пакета. В результате поиска, в случае, когда найдена запись, согласующаяся с принятым пакетом, коммутатор OpenFlow обновляет статистическую информацию потока (счетчики), а также реализует содержание обработки (передача пакета с указанного порта, лавинная рассылка, отбрасывание и т.п.), описанную в поле "действия" рассматриваемой записи, для принятого пакета. С другой стороны, в результате поиска, в случае, когда запись, согласующаяся с принятым пакетом, не найдена, коммутатор OpenFlow передает запрос на установку записи контроллеру OpenFlow через безопасный канал, то есть, запрос для определения тракта пакета на основе источника и адресата принятого пакета. Коммутатор OpenFlow принимает запись потока, соответствующую запросу, и обновляет таблицу потока. Таким образом, коммутатор OpenFlow использует запись, сохраненную в таблице потока в качестве правила обработки, для выполнения пересылки пакета.

Список литературы

Патентная литература

[0004] Патентная литература 1: Международная публикация № 2008/095010.

Патентная литература 2: Опубликованная непроверенная заявка на патент Японии № JP-P2004-064182A.

Непатентная литература

[0005] Непатентная литература 1: Nick McKeown, and 7 others, "OpenFlow: Enabling Innovation in Campus Networks", [online] [search conducted April 4, 2011] Internet URL: http://www.openflowswitch.org//documents/openflow-wp-latest.pdf

Непатентная литература 2: "OpenFlow: Switch Specification" Version 1.0.0. (Wire Protocol 0x01), [search conducted April 4, 2011] Internet URL: http://www.openflowswitch.org/documents/openflow-spec-v1.0.0.pdf

Сущность изобретения

[0006] Все раскрытия упомянутой выше патентной литературы 1 и 2 и непатентной литературы 1 и 2 включены в настоящий документ по ссылке. Последующий анализ дан посредством настоящего изобретения. В технологии, раскрытой в патентной литературе 1 и непатентной литературе 1 и 2, контроллер определяет запись для обработки пакета в соответствии с запросом, переданным от коммутатора, и устанавливает определенную запись относительно коммутатора. В централизованном управлении системы связи такого типа имеется проблема нагрузки на контроллер. Причина этого состоит в том, что поскольку контроллер централизованно управляет множеством коммутаторов и вычисляет запись относительно запроса, переданного от множества коммутаторов, нагрузка обработки на контроллер увеличивается.

[0007] Кроме того, контроллер может установить предписывающую запись обработку для перезаписи содержания заголовка пакета относительно коммутатора. В случае такого типа имеется проблема, в которой увеличивается нагрузка, требуемая для обработки пакета в коммутаторе.

[0008] Патентная литература 2 раскрывает устройство управления шлюзом для управления шлюзом. Однако патентная литература 2 не раскрывает мер для уменьшения нагрузки на шлюз или устройство управления шлюзом.

[0009] В соответствии с первым аспектом обеспечен терминал, выполненный с возможностью связи с сетью, включающей в себя по меньшей мере одно устройство пересылки для пересылки пакета и устройство управления для управления устройством(-ами) пересылки в соответствии с запросом от устройства пересылки, причем терминал содержит: блок связи, который принимает от устройства управления правило обработки, определяющее способ обработки пакета, который определен устройством управления; блок хранения, который хранит принятое правило обработки; и блок обработки, который в случае связи с сетью обрабатывает пакет в соответствии с правилом обработки, которое соответствует пакету, посредством обращения к правилу обработки, хранящемуся в блоке хранения.

[0010] В соответствии со вторым аспектом обеспечено устройство управления, выполненное с возможностью устанавливать правило обработки для пакета относительно по меньшей мере одного устройства пересылки для пересылки пакетов, причем устройство управления содержит: блок приема запроса, который принимает запрос доступа, переданный терминалом, выполненным с возможностью доступа к сети, в которой устройство пересылки обрабатывает пакет в соответствии с правилом обработки; блок управления, который определяет правило обработки, установленное в терминале, в соответствии с запросом доступа; и блок связи, который передает определенное правило обработки терминалу.

[0011] В соответствии с третьим аспектом обеспечен способ связи для управления терминалом, выполненным с возможностью связи с сетью, включающей в себя по меньшей мере одно устройство пересылки для пересылки пакета и устройство управления для управления устройством(-ами) пересылки в соответствии с запросом от устройства пересылки, причем способ содержит: этап приема, на котором принимают от устройства управления правило обработки, определяющее способ обработки пакета; этап, на котором сохраняют принятое правило обработки в блоке хранения; и этап обработки, на котором, в случае связи с сетью, обрабатывают пакет в соответствии с правилом обработки, которое соответствует пакету, посредством обращения к правилу обработки, хранящемуся в блоке хранения. Следует отметить, что настоящий способ связан с конкретным устройством, которое является терминалом, осуществляющим связь с сетью, включающей в себя узел пересылки и устройство управления.

[0012] В соответствии с четвертым аспектом обеспечена система связи, включающая в себя по меньшей мере одно устройство пересылки для пересылки пакета, устройство управления для управления устройством(-ами) пересылки в соответствии с запросом от устройства пересылки, и терминал, осуществляющий связь с сетью, включающей в себя устройство(-а) пересылки и устройство управления, причем устройство управления содержит блок управления, который определяет правило обработки, установленное в терминале; и терминал содержит: блок связи, который принимает от устройства управления правило обработки, определенное устройством управления; блок хранения, который хранит принятое правило обработки; и блок обработки, который в случае связи с сетью обрабатывает пакет в соответствии с правилом обработки, которое соответствует пакету, посредством обращения к правилу обработки, хранящемуся в блоке хранения.

[0013] В соответствии с пятым аспектом обеспечен модуль связи, установленный в терминале, выполненном с возможностью связи с сетью, включающей в себя по меньшей мере одно устройство пересылки для пересылки пакета и устройство управления для управления устройством(-ами) пересылки в соответствии с запросом от устройства пересылки, причем модуль содержит: блок связи, который принимает от устройства управления правило обработки, определяющее способ обработки пакета, который определен устройством управления; блок хранения, который хранит принятое правило обработки; и блок обработки, который в случае, когда терминал осуществляет связь с сетью, обрабатывает пакет в соответствии с правилом обработки, которое соответствует пакету, посредством обращения к правилу обработки, хранящемуся в блоке хранения.

[0014] В соответствии с шестым аспектом обеспечена программа для того, чтобы она побуждала терминал, выполненный с возможностью связи с сетью, включающей в себя по меньшей мере одно устройство пересылки для пересылки пакета и устройство управления для управления устройством(-ами) пересылки в соответствии с запросом от устройства пересылки, исполнять: процесс приема от устройства управления правила обработки, определяющего способ обработки пакета, который определен устройством управления; процесс сохранения принятого правила обработки; и процесс обработки пакета, при котором, в случае, когда терминал осуществляет связь с сетью, обрабатывают пакет в соответствии с правилом обработки, которое соответствует пакету, посредством обращения к правилу обработки, хранящемуся в блоке хранения. Следует отметить, что программа может быть записана на считываемом компьютером невременном носителе записи. Таким образом, настоящее изобретение может быть воплощено как компьютерный программный продукт.

[0015] В соответствии с седьмым аспектом обеспечено устройство обработки информации для передачи терминалу программы для того, чтобы она побуждала терминал, который осуществляет связь с сетью, включающей в себя по меньшей мере одно устройство пересылки для пересылки пакета и устройство управления для управления устройством пересылки в соответствии с запросом от устройства пересылки, исполнять: процесс приема от устройства управления правила обработки, определяющего способ обработки пакета, который определен устройством управления; процесс сохранения принятого правила обработки; и процесс обработки пакета, при котором, в случае, когда терминал осуществляет связь с сетью, обрабатывают пакет в соответствии с правилом обработки, которое соответствует пакету, посредством обращения к правилу обработки, хранящемуся в блоке хранения.

[0016] Обоснованные эффекты настоящего изобретения могут быть обобщены следующим образом. В соответствии с настоящим раскрытием в технологии для выполнения связи посредством устройства управления, централизованно управляющего устройствами пересылки, возможно уменьшить нагрузку на устройство управления или устройство(-а) пересылки.

Краткое описание чертежей

[0017] Фиг. 1 - схема, показывающая пример конфигурации настоящего раскрытия;

Фиг. 2 - схема, показывающая пример конфигурации настоящего раскрытия;

Фиг. 3 - схема, показывающая пример таблицы, хранящей правила обработки;

Фиг. 4 - блок-схема последовательности операций, показывающая пример операций настоящего раскрытия;

Фиг. 5 - блок-схема последовательности операций, показывающая пример операций настоящего раскрытия;

Фиг. 6 - схема, показывающая пример конфигурации первого иллюстративного варианта осуществления настоящего раскрытия;

Фиг. 7 - схема, показывающая пример, в котором конфигурация, показанная на фиг. 6, применена к системе управления доступом;

Фиг. 8 - схема, показывающая пример информации аутентификации;

Фиг. 9 - схема, показывающая пример информации политики связи;

Фиг. 10 - схема, показывающая пример информации ресурсов;

Фиг. 11 - схема, показывающая пример политики связи;

Фиг. 12 - схема, показывающая пример конфигурации устройства управления;

Фиг. 13 - схема последовательности, показывающая пример операций первого иллюстративного варианта осуществления;

Фиг. 14 - схема последовательности, показывающая пример операций первого иллюстративного варианта осуществления;

Фиг. 15 - схема последовательности, показывающая пример операций первого иллюстративного варианта осуществления;

Фиг. 16 - схема последовательности, показывающая пример операций второго иллюстративного варианта осуществления;

Фиг. 17 - схема, показывающая пример политики связи;

Фиг. 18 - схема, показывающая пример конфигурации третьего иллюстративного варианта осуществления;

Фиг. 19 - схема, показывающая пример конфигурации четвертого иллюстративного варианта осуществления;

Фиг. 20 - схема, показывающая пример конфигурации пятого иллюстративного варианта осуществления;

Фиг. 21 - схема, показывающая пример конфигурации шестого иллюстративного варианта осуществления;

Фиг. 22 - схема, показывающая пример конфигурации седьмого иллюстративного варианта осуществления;

Фиг. 23 - схема последовательности, показывающая пример операций седьмого иллюстративного варианта осуществления; и

Фиг. 24 - схема, описывающая технологию предшествующего уровня техники.

Предпочтительные варианты осуществления изобретения

[0018] Сначала в общих чертах описан иллюстративный вариант осуществления настоящего раскрытия. Фиг. 1 - схема, показывающая конфигурацию сети связи и конфигурацию терминала 1. Фиг. 2 - схема, показывающая конфигурацию узла 2 пересылки и устройства 3 управления. Следует отметить, что символы для ссылки, приложенные к чертежам, добавлены для удобства к соответствующим элементам в качестве примера, чтобы помочь пониманию. Символы для ссылки не предназначены для ограничения раскрытия вариантами, проиллюстрированными на рисунках.

[0019] При приеме пакета узел 2 пересылки обрабатывает пакет в соответствии с правилом обработки, соответствующим пакету. Правило обработки определяет содержание обработки для пакета. Пример конфигурации правила обработки показан на фиг. 3. Правило обработки, например, включает в себя правило согласования для согласования пакета и правила обработки, и содержание обработки для пакета, которое согласуется с правилом обработки. При приеме пакета блок 23 обработки ищет правило обработки, соответствующее пакету, в блоке 21 хранения. Таким образом, блок 23 обработки выполняет поиск в таблице конфигурации, проиллюстрированной на фиг. 3, которая хранится в блоке 21 хранения. Например, если пакет принадлежит "потоку A", он согласуется с правилом согласования для "потока A". Следует отметить, что "поток" представляет собой последовательность пакетов, идентифицированных в соответствии с содержанием пакетов (такой информацией, как источник и адресат пакета, комбинация нескольких информационных элементов, включенных в пакет, и т.п.). В случае, когда правило обработки, соответствующее пакету, хранится в блоке 21 хранения, блок 23 обработки обрабатывает пакет в соответствии с извлеченным правилом обработки. Например, в примере на фиг. 3, если пакет принадлежит "потоку A", блок 23 обработки исполняет содержание обработки "переслать с порта 'a' узла пересылки". В случае, когда правило обработки, соответствующее пакету, не хранится в блоке 21 хранения, блок 22 связи с устройством управления передает устройству 3 управления запрос установки правила обработки.

[0020] Устройство 3 управления управляет обработкой пакетов посредством узла 2 пересылки. Когда блок 31 связи принимает запрос установки правила обработки, от узла 2 пересылки, блок 32 управления определяет правило обработки, соответствующее запросу установки. Блок 31 связи передает правило обработки, определенное блоком 32 управления, узлу 2 пересылки. Правило обработки определяет содержание обработки для пакета, такое как, например, передача пакета с указанного порта, лавинная рассылка, отбрасывание, перезапись заголовка пакета и т.п.

[0021] Устройство 3 управления устанавливает правила обработки не только для узла(-ов) 2 пересылки, но также и для терминала 1, который осуществляет связь с сетью связи, включающей в себя по меньшей мере один узел 2 пересылки и устройство 3 управления. Кроме того, терминал 1 исполняет обработку пакета в соответствии с установленным правилом обработки.

[0022] Терминал 1 передает запрос доступа к сети связи через блок 10 связи. Следует отметить, что терминал 1 представляет собой терминал связи, такой как персональный компьютер, карманное устройство и т.п. Терминал 1 может иметь либо проводной, либо беспроводной способ связи.

[0023] При обнаружении запроса доступа от терминала 1 узел 2 пересылки передает запрос доступа устройству 3 управления. Например, устройство 3 управления заранее устанавливает правило обработки, соответствующее пакету для запроса доступа (например, пакет аутентификации или пакет входа в систему), в блок 21 хранения узла 2 пересылки. Как показано в примере на фиг. 3, устройство 3 управления устанавливает правило обработки, в котором правилом согласования является "пакет запроса доступа", и соответствующим содержанием обработки является "переслать устройству управления". Правило обработки, соответствующее пакету запроса доступа, например, определяет обработку как пересылку пакета запроса доступа устройству 3 управления. При приеме пакета запроса доступа блок 23 обработки узла 2 пересылки передает пакет запроса доступа устройству 3 управления в соответствии с правилом обработки, соответствующим пакету запроса доступа.

[0024] Когда устройство 3 управления принимает пакет запроса доступа, переданный от узла 2 пересылки, блок 32 управления устройства 3 управления обращается к блоку 33 управления политиками и извлекает политику, соответствующую пользователю терминала. Следует отметить, что блок 33 управления политиками может хранить политику, которая установлена для каждого терминала. Блок 32 управления определяет правило обработки, которое должно быть установлено в терминале 1, на основе извлеченной политики. Блок 31 связи передает определенное правило обработки терминалу 1. Следует отметить, например, что устройство 3 управления может установить период действия для определенного правила обработки и передать его терминалу 1. В случае, когда установлен период действия, правило обработки, которое было установлено в терминале 1, удаляется из терминала 1, когда период действия истекает. Следует отметить, что фиг. 2 показывает пример, в котором блок 33 управления политиками включен в устройство 3 управления, но политиками может управлять устройство, отличающееся от устройства 3 управления.

[0025] Кроме того, устройство 3 управления может определить правило обработки, которое должно быть установлено в терминале 1, на основе информации, которой управляет устройство 3 управления, без обращения к блоку 33 управления политиками.

[0026] Кроме того, устройство 3 управления, например, может установить в узле 2 пересылки правило обработки для узла пересылки, соответствующее правилу обработки для терминала, установленному в терминале. Например, в случае, когда терминал 1 исполняет обработку перезаписи для некоторых пакетов в соответствии с правилом обработки, установленным в терминале 1, блок 3 управления может установить правило обработки, согласующееся с перезаписанным содержанием в пакете, в узле 2 пересылки.

[0027] В случае, когда блок 10 связи терминала 1 принимает правило обработки от устройства 3 управления, терминал 1 устанавливает правило обработки в блоке 11 хранения. Когда блок 12 обработки терминала 1 передает или принимает пакет к или от сети связи, блок 12 обработки извлекает правило обработки, соответствующее переданному или принятому пакету. В случае, когда правило обработки, соответствующее переданному или принятому пакету, хранится в блоке 11 хранения, блок 12 обработки обрабатывает пакет в соответствии с правилом обработки. Блок 12 обработки, например, исполняет обработку для переписи некоторых пакетов, которые должны быть переданы или приняты, или отбрасывание пакета в соответствии с правилом обработки. В случае, когда правило обработки, соответствующее переданному или принятому пакету, не хранится в блоке 11 хранения, блок 12 обработки может передать или принять пакет без выполнения обработки, соответствующей пакету, или может выполнить отбрасывание (сброс) пакета. Однако обработка пакета в случае, когда правило обработки, соответствующее переданному или принятому пакету, не хранится в блоке 11 хранения, не ограничена этим.

[0028] Далее дается описание операций терминала 1 и устройства 3 управления со ссылкой на фиг. 4 и фиг. 5. Фиг. 4 - блок-схема последовательности операций, показывающая пример операций терминала 1. В случае приема правила обработки от устройства 3 управления (этап S1) терминал 1 сохраняет принятое правило обработки в блоке 11 хранения (этап S2).

[0029] В случае передачи или приема пакета по сети связи ("Да" на этапе S3) терминал 1 извлекает правило обработки, соответствующее переданному или принятому пакету (этап S4).

[0030] В случае, когда правило обработки, соответствующее переданному или принятому пакету, хранится в блоке 11 хранения, терминал 1 обрабатывает переданный или принятый пакет в соответствии с правилом обработки (этап S5).

[0031] Фиг. 5 - блок-схема последовательности операций, показывающая пример операций устройства 3 управления. При приеме запроса доступа от терминала 1 (этап S6) устройство 3 управления извлекает политику, соответствующую пользователю терминала, из блока 33 управления политиками (этап S7).

[0032] Устройство 3 управления определяет правило обработки, которое должно быть установлено в терминале 1, на основе извлеченной политики (этап S8) и передает его терминалу 1 (этап S9).

[0033] Устройство 3 управления устанавливает правило обработки для терминала 1, и сам терминал 1 исполняет обработку пакета, соответствующую правилу обработки. Поскольку терминал 1 исполняет обработку пакета, такую как перезапись некоторых пакетов, согласно правилу обработки вместо узла 2 пересылки, нагрузка обработки пакетов на узле 2 пересылки значительно уменьшается. Кроме того, поскольку устройство 3 управления может заранее установить в узле 2 пересылки правило обработки, соответствующее содержанию правила обработки для терминала, установленного для терминала 1, возможно сократить запросы к устройству 3 управления, сгенерированные вследствие того, что правило обработки не установлено в узле 2 пересылки. Таким образом, нагрузка обработки на устройство 3 управления значительно уменьшается.

[0034] Первый иллюстративный вариант осуществления

Далее в общих чертах дается описание схемы первого иллюстративного варианта осуществления настоящего раскрытия со ссылкой на чертежи. Фиг. 6 показывает пример системной конфигурации в первом иллюстративном варианте осуществления. На фиг. 6 показано, что конфигурация включает в себя терминал 100 пользователя (пользовательский терминал), множество узлов 200 пересылки, устройство 300 управления политиками и устройство 400 управления.

[0035] Множество узлов 200 пересылки выполняют обработку пакетов, переданных от терминала пользователя, в соответствии с правилом обработки, установленным устройством 400 управления.

[0036] Устройство 110 управления терминалом (функционально) в терминале 100 пользователя сохраняет правила обработки, установленные устройством 400 управления, и управляет пакетами, переданными терминалом пользователя, на основе правил обработки.

[0037] Более определенно, устройство 110 управления терминалом снабжено блоком 120 хранения правил обработки, который хранит правила обработки для определения, следует ли пересылать пакет, переданный от блока 420 определения правил обработки, и блоком 130 управления доступом для разрешения или запрещения доступа, переданного от терминала пользователя, на основе правила обработки, сохраненного в блоке 120 хранения правил обработки. Таким образом, блок 130 управления доступом подтверждает, сохранено ли правило обработки, соответствующее пакету, переданному от терминала 100, в блоке 120 хранения правил обработки. В случае, когда правило обработки, соответствующее пакету, переданному от терминала 100, сохранено, блок 130 управления доступом подтверждает содержание обработки, определенное в правиле обработки. В случае, когда содержание обработки отвергает пересылку пакета, блок 130 управления доступом не пересылает пакет в сеть связи, сконфигурированную узлами 200 пересылки, а исполняет ограничение доступа, например, отбрасывание пакета и т.п.

[0038] Устройство 300 управления политиками управляет политикой связи и уведомляет устройство 400 управления о политике связи, назначенной пользователю, для которого была успешно выполнена аутентификация.

[0039] Более определенно, устройство 300 управления политиками включает в себя блок 310 хранения политик связи, который связывает роль, назначенную пользователю, и права доступа, установленные для каждой роли. Устройство 300 управления политиками предоставляет устройству 400 управления информацию относительно прав доступа, соответствующих роли пользователя, для которого была успешно выполнена аутентификация.

[0040] Устройство 400 управления устанавливает правило обработки, определяющее содержание обработки пакета, относительно узлов 200 пересылки. Следует отметить, что ссылочные обозначения, приложенные к чертежам, добавлены для удобства к соответствующим элементам в качестве примера, чтобы помочь пониманию. Ссылочные обозначения не предназначены для ограничения раскрытия вариантами, проиллюстрированными на чертежах.

[0041] Более определенно, устройство 400 управления определяет тракт между терминалом 100 пользователя, для которого была успешно выполнена аутентификация, и сетевым ресурсом 500, к которому пользователь может получить доступ, на основе информации относительно прав доступа, принятой от устройства 300 управления политиками. Устройство 400 управления включает в себя блок 410 управления трактом, который устанавливает правило обработки в узле(-ах) 200 пересылки на определенном тракте. Относительно правила обработки, установленного блоком 410 управления трактом в узле 200 пересылки, устройство 400 управления снабжено блоком 420 определения правил обработки, который передает устройству 110 управления терминалом из терминала 100 пользователя правило обработки, определяющее, следует ли пересылать пакет от терминала 100.

[0042] Устройство 400 управления может установить период действия для правила обработки, переданного терминалу 100 пользователя. В этом случае терминал 100 удаляет правило обработки, для которого период действия прошел. Следует отметить, что в случае, когда блок 420 определения правил обработки передает правило обработки, отвергающее пересылку пакета от терминала 100, блоку 410 управления трактом не требуется устанавливать правило обработки, соответствующее определенному тракту, относительно узла(-ов) 200 пересылки.

[0043] Посредством установки правила обработки, как описано выше, возможно определить доступный сетевой ресурс 500 в соответствии с ролью, назначенной пользователю, и, кроме того, возможно установить тракт для предоставления доступа для каждого потока. Кроме того, посредством установки упомянутого выше правила обработки возможно побудить терминал 100 пользователя выполнять ограничение доступа относительно потока, для которого доступ, выполняемый пользователем, запрещен, среди пакетных потоков, переданных от пользователя.

[0044] Таким образом, поскольку пакет, для которого доступ ограничен, имеет ограничение доступа посредством терминала 100 без его передачи узлу(-ам) 200 пересылки, нагрузка обработки в узле(-ах) 200 пересылки уменьшается. Поскольку посредством ограничения доступа посредством терминала 100 имеется уменьшение количества пакетов, отправленных в случае запроса установки правила обработки, которое должно быть передано устройству управления от узла 200 пересылки, нагрузка на устройство управления значительно уменьшается.

[0045] Следует отметить, что в случае, когда период действия обеспечен в правиле обработки, и период действия прошел со времени выполнения настройки в узле 200 пересылки и блоке 130 управления доступом терминала 100 пользователя, или со времени, когда наконец был принят пакет, согласующийся с правилом согласования, после этого может быть удалено правило обработки, которое запрещает пересылку пакета.

[0046] Фиг. 7 является схемой, представляющей пример, в котором система управления доступом реализована с использованием конфигурации, показанной на фиг. 6. Конфигурация, показанная на фиг. 7, является примером системы, и настоящее раскрытие не ограничено системной конфигурацией, раскрытой на фиг. 7. На фиг. 7 показанная конфигурация включает в себя: множество узлов 200 пересылки, устройство 110 управления терминалом для управления, следует ли передавать пакет, переданный от терминала 100 пользователя, устройство 400 управления для установки правила обработки в узлах 200 пересылки и устройстве 110 управления терминалом, устройство 300 управления политиками для уведомления устройства 400 управления о политике связи, и устройство 330 аутентификации для обеспечения информации аутентификации, указывающей результат аутентификации устройству 300 управления политиками.

[0047] Узел 200 пересылки обрабатывает принятый пакет в соответствии с правилом обработки, которое связывает правило согласования, согласующееся с принятым пакетом, и содержание обработки, которое должно быть применено к пакету, согласующемуся с правилом согласования. Для узла 200 пересылки этого типа может использоваться коммутатор OpenFlow, как раскрыто в не патентной литературе 2. Однако узел 200 пересылки не ограничен коммутатором OpenFlow.

[0048] Некоторый узел 200 пересылки из множества узлов 200 пересылки соединен с сетевыми ресурсами 500A и 500B. Следует отметить, что сетевая конфигурация, показанная на фиг. 7, является лишь примером, и конфигурация соединения узла 200 пересылки и сетевого ресурса 500A и 500B не ограничена примером, показанным на фиг. 7.

[0049] Терминал 100 пользователя осуществляет связь с сетевыми ресурсами 500A и 500B через узлы 200 пересылки. В примере на фиг. 7 дано описание, в котором сетевой ресурс 500A и сетевой ресурс 500B принадлежат к разным, отличающимся друг от друга группам ресурсов, и им соответственно даны идентификаторы групп ресурсов resource_group_0001 и resource_group_0002.

[0050] Устройство 330 аутентификации является сервером аутентификации, который использует пароль или биометрическую аутентификацию и т.п., для выполнения процедуры аутентификации пользователя с терминалом 100 пользователя. Устройство 330 аутентификации передает информацию аутентификации, указывающую результат процедуры аутентификации пользователя с терминалом 100 пользователя, устройству 300 управления политиками.

[0051] Фиг. 8 является примером информации аутентификации, сохраненной в устройстве 330 аутентификации настоящего иллюстративного варианта осуществления. Например, в случае, когда аутентификация пользователя, имеющего идентификатор пользователя user1, выполняется успешно, устройство 330 аутентификации передает для user1 запись, которая включает в себя идентификатор user1; атрибуты, IP-адрес: 192.168.100.1 и MAC-адрес: 00-00-00-44-55-66; и идентификаторы ролей: role_0001 и role_0002, в качестве информации аутентификации устройству 300 управления политиками. Таким же образом, в случае, когда аутентификация пользователя, имеющего идентификатор пользователя user2, выполняется успешно, устройство 330 аутентификации передает для user2 запись, которая включает в себя идентификатор user2; атрибуты, IP-адрес: 192.168.100.2 и MAC-адрес: 00-00-00-77-88-99; и идентификатор роли: role_0002, в качестве информации аутентификации устройству 300 управления политиками.

[0052] Информация аутентификации может являться информацией, посредством которой устройство 300 управления политиками может определить политику связи, назначенную пользователю, и нет какого-либо ограничения для примера на фиг. 8. Например, информация аутентификации может являться идентификатором (ID)пользователя, для которого аутентификация успешно выполнена, идентификатором доступа, таким как идентификатор роли или MAC-адрес, полученный из рассматриваемого идентификатора пользователя, информацией местоположения терминала 100 пользователя или их комбинацией. Устройство 330 аутентификации может передать устройству 300 управления политиками информацию пользователя, для которого аутентификация не выполнена успешно, как информацию аутентификации и может передать устройству 400 управления политику связи, посредством которой устройство 300 управления политиками ограничивает доступ от рассматриваемого пользователя.

[0053] Устройство 300 управления политиками соединено с блоком 310 хранения политик связи и блоком 320 хранения информации ресурсов, определяет политику связи, соответствующую информации аутентификации, принятой от устройства 330 аутентификации, и передает определенную политику связи устройству 400 управления.

[0054] Фиг. 9 является примером информации политики связи, хранящейся в блоке 310 хранения политик связи. В примере на фиг. 9 информация политик связи имеет идентификатор группы ресурсов, данный группе ресурсов, и права доступа для каждой роли, идентифицированной идентификатором роли. Например, пользователю, имеющему идентификатор роли role_0001, разрешен доступ к обеим группам ресурсов, имеющим идентификаторы resource_group_0001 и resource_group_0002. С другой стороны, пользователь, имеющий идентификатор роли role_0002, лишен доступа к идентификатору группы ресурса resource_group_0001, но ему разрешен доступ к группе resource_group_0002.

[0055] Фиг. 10 является примером информации ресурсов, хранящейся в блоке 320 хранения информации ресурсов. В примере на фиг. 10 информация ресурсов является информацией, связанной с идентификатором ресурса, принадлежащего идентификатору группы ресурсов, или другими его подробными атрибутами (атрибуты ресурса). Например, относительно информации ресурса, ресурсы, имеющие идентификаторы resource_0001, resource_0002 и resource_0003, включены в группу, идентифицированную идентификатором группы ресурсов resource_group_0001, и включены номера портов, используемые в их соответствующих IP-адресах, MAC-адресах и службах.

[0056] Устройство 300 управления политиками ссылается на информацию политики связи и информацию ресурсов, определяет политику связи пользователя, который принял аутентификацию посредством устройства 330 аутентификации, и уведомляет устройство 400 управления. Например, на основе идентификатора роли, включенного в информацию аутентификации, принятую от устройства 330 аутентификации, устройство 300 управления политиками идентифицирует содержание идентификатора группы ресурсов и его прав доступа, присоединенное к рассматриваемому идентификатору роли, из информации политики на фиг. 9. Устройство 300 управления политиками идентифицирует информацию ресурсов, принадлежащую идентификатору группы ресурсов, из информации ресурсов на фиг. 10. Устройство 300 управления политиками создает политику связи с использованием идентифицированной информации политики и информации ресурсов.

[0057] Фиг. 11 показывает пример политики связи пользователя, имеющего идентификатор пользователя user1, созданной из информации, показанной на фиг. 8, фиг. 9 и фиг. 10. Значения информации атрибутов идентификатора пользователя user1 из информации аутентификации на фиг. 8 установлены в поле источника на фиг. 11. Кроме того, атрибуты ресурса, извлеченные из информации ресурсов на фиг. 10 на основании содержания идентификатора роли role_0001 информации политики на фиг. 9, установлены в поле адреса назначения. Права, основанные на правах доступа идентификатора роли role_0001 из информации на фиг. 9, установлены в поле прав доступа. Кроме того, содержание (например, служба и номер порта), которое было установлено в поле атрибута ресурса информации ресурсов на фиг. 10, установлено в поле условия (необязательно).

[0058] При приеме политики связи устройство 400 управления создает правило обработки, определяющее содержание обработки, чтобы передать узлу пересылки запрос для установки правила обработки для пакета от пользователя, к которому применена рассматриваемая политика связи, и устанавливает правило обработки по меньшей мере в одном узле пересылки среди множества узлов 200 пересылки. При приеме пакета от пользователя, к которому применена политика связи, узел 200 пересылки передает запрос для установки правила обработки устройству 400 управления на основе правила обработ