[发明专利]通信系统、数据库、控制装置、通信方法以及程序

说明书

技术领域

[关于相关申请的记载]

本发明基于日本国专利申请：特愿2011-034407号(2011年2月21日申请)主张优先权，该申请的全部记载内容被引用并记载到本说明书中。

本发明涉及通信系统、数据库、控制装置、通信方法以及程序，尤其涉及通过配置于网络的转发节点转发数据包来实现通信的通信系统、数据库、控制装置、通信方法以及程序。

背景技术

近年来，提出了OpenFlow这一技术(参照专利文献1、非专利文献1、2)。OpenFlow将通信作为端对端的流而掌握，以流单位进行路径控制、障碍恢复、负载分散、最佳化。非专利文献2中被标准化的OpenFlow交换机，具有与相当于控制装置的OpenFlow控制器进行通信用的安全通道，按照从OpenFlow控制器适当指示追加或重写的流表(flow table)进行工作。在流表中，按每个流定义了与数据包报头(packet header)进行匹配的匹配规则(报头字段)、流统计信息(计数器，Counters)、和定义了处理内容的动作(Actions)的组(参照图15)。

例如，OpenFlow交换机在接收到数据包时，从流表中检索具有符合接收数据包的报头信息的匹配规则(参照图15的报头字段)的条目(entry)。在检索的结果为找到了符合接收数据包的条目的情况下，OpenFlow交换机更新流统计信息(counter)，并对接收数据包实施记载在该条目的动作字段中的处理内容(来自指定端口的数据包发送、洪泛(flooding)、废弃等)。另一方面，在所述检索的结果为没有找到符合接收数据包的条目的情况下，OpenFlow交换机经由安全通道对OpenFlow控制器转发接收数据包，委托基于接收数据包的发送源/发送目标的数据包的路径的确定，受理用于实现该路径的确定的流条目并更新流表。如此，OpenFlow交换机使用存储在流表中的条目作为处理规则来进行数据包转发。

现有技术文献

专利文献

专利文献1：国际公开第2008/095010号

非专利文献

非专利文献1：Nick McKeown及其他7名，“OpenFlow：Enabling Innovation in Campus Networks”、[online]、[平成22(2010)年12月1日检索]、因特网<URL：http://www.openflowswitch.org//documents/openflow-wp-latest.pdf>

非专利文献2：“OpenFlow Switch Specification”Version1.0.0.(Wire Protocol0x01)[平成22(2010)年12月1日检索]、因特网<URL：http://www.openflowswitch.org/documents/openflow-spec-v1.0.0.pdf>

发明内容

以下的分析是由本发明提供的。

专利文献1的OpenFlow控制器，在产生新的流时参照策略文件进行权限检查，然后，通过计算路径来进行访问控制(参照专利文献1的[0052])。因此，在专利文献1的结构中，存在局限于基于终端进行访问控制而无法基于用户进行访问控制这一问题。例如，在多个用户共用同一终端这种情形下，可能产生如下的不良情况：若对一个用户允许了向某网络资源的访问，则之后使用同一终端的其他用户也能够访问该网络资源。

另外，虽然也考虑将基于已有的用户认证装置等进行的认证结果提供给OpenFlow控制器来进行基于用户的访问控制的方法，但在OpenFlow控制器中并没有掌握对该认证成功的用户授予了怎样的访问权限，因此还存在无法实现与按每个用户确定的策略等相应的极细的访问控制这样的问题。另外，假设在使OpenFlow控制器保持每个用户的访问权限信息的情况下，也会产生为此的资源和/或负载的问题、大量用户的访问权限管理问题。

进而，当将多个OpenFlow控制器分担不同地域、通信量而进行集中控制的结构纳入考虑范围时，可能会产生如何将访问权限信息分布到这些OpenFlow控制器的问题、使OpenFlow控制器间的访问权限信息同步的问题。

本发明是鉴于上述情况而完成的发明，其目的在于提供一种通信系统、控制装置、策略管理装置、通信方法以及程序，在如上述OpenFlow那样的控制装置集中控制转发节点的通信系统中，能够以简单的结构进行与赋予给各用户的访问权限相应的极细访问控制。