[发明专利]控制网络访问策略的计算机系统、控制器和方法

权利要求书

1.一种计算机系统，包括：

控制器；以及

交换机，所述交换机被配置为针对符合由所述控制器设置的流条目的接收包执行中继操作，所述中继操作由所述流条目限定，

其中所述交换机被配置为向所述控制器传输不符合在所述交换机中设置的所述流条目的所述接收包，以及

其中所述控制器被配置为参考包括在所述接收包中的认证信息以对所述接收包进行认证，且在所述交换机中设置用于限定如下包的所述中继操作的所述流条目，所述包包括位于被确定为有效的所述接收包的报头信息中且用于识别所述接收包的源的信息。

2.根据权利要求1所述的计算机系统，其中所述控制器被配置为参考所述认证信息以对所述接收包进行认证，且在所述交换机中设置用于限定如下包的丢弃的所述流条目，所述包包括位于被确定为不正确的所述接收包的报头信息中且用于识别所述接收包的源的信息。

3.根据权利要求1或2所述的计算机系统，其中所述控制器包括其中记录有用于限定中继操作策略的策略信息的存储设备，且被配置为在所述交换机中设置符合与包括在被确定为有效的所述接收包中的认证信息对应的所述策略信息的所述流条目。

4.根据权利要求3所述的计算机系统，其中所述认证信息包括用于识别所述策略信息的策略ID和在认证中使用的第一认证ID，

其中所述策略信息被记录在所述存储设备中，从而使用于识别所述策略信息的所述策略ID与第二认证ID相关；以及

其中所述控制器被配置为将如下所述接收包确定为有效接收包，在所述接收包中与被包括在所述认证信息中的所述策略ID相关的所述第二认证ID与所述第一认证ID对应。

5.根据权利要求4所述的计算机系统，其中所述策略信息包括与用于识别所述策略信息的所述策略ID相关的多个策略，以及

其中所述控制器被配置为从所述存储设备提取在与包括在所述认证信息中的所述策略ID相关的所述多个策略之中的符合被确定为有效的所述接收包的报头信息的策略，且在所述交换机中设置符合被提取的所述策略的所述流条目。

6.一种在根据权利要求1至5中任一项所述的计算机系统中使用的服务器。

7.一种控制策略的方法，包括：

通过控制器从交换机接收不符合所述交换机中设置的流条目的接收包；

通过所述控制器参考包括在所述接收包中的认证信息，来对所述接收包进行认证；以及

通过所述控制器在所述交换机中设置限定如下包的中继操作的所述流条目，所述包目包括位于被确定为有效的所述接收包的报头信息中且用于识别所述接收包的源的信息。

8.根据权利要求7或8所述的方法，还包括：

通过所述控制器在所述交换机中设置限定如下包的丢弃的所述流条目，所述包包括位于被确定为不正确的所述接收包的报头信息中且用于识别所述接收包的源的信息。

9.根据权利要求7或8所述的方法，还包括通过所述控制器来保持用于限定中继操作策略的策略信息，以及

其中所述设置限定所述中继操作的所述流条目包括：

通过所述控制器在所述交换机中设置符合与包括在被确定为有效的所述接收包中的认证信息对应的策略信息的所述流条目。

10.根据权利要求9所述的方法，其中所述认证信息包括用于识别所述策略信息的策略ID和在认证中使用的第一认证ID，

其中所述策略信息通过所述控制器保持，从而使用于识别所述策略信息的所述策略ID与第二认证ID相关；以及

其中在所述认证中，所述控制器将如下所述接收包确定为有效接收包，在所述接收包中与包括在所述认证信息中的所述策略ID相关的所述第二认证ID与所述第一认证ID对应。

11.根据权利要求10所述的方法，其中所述策略信息包括与用于识别所述策略信息的所述策略ID相关的多个策略，以及

其中所述设置限定所述中继操作的所述流条目包括：

通过所述控制器从所述存储设备提取在与包括在所述认证信息中的所述策略ID相关的所述多个策略之中的符合被确定为有效的所述接收包的报头信息的策略；以及

通过所述控制器在所述交换机中设置符合被提取的所述策略的所述流条目。

12.一种记录介质，其中记录有策略控制程序以通过计算机实现根据权利要求7至11中任一项所述的方法。