[发明专利]网络系统、控制器和分组认证方法

说明书

技术领域

本发明涉及一种网络系统，具体涉及其中网络设备的分组传输功能和路由控制功能分离的网络系统。

背景技术

作为计算机系统和网络的主机的使用形式中的一个，具有不同权限的多个用户登录公共主机(共享主机)并执行程序，从而从共享主机访问网络中的另一主机。下面示出了示例。

(1)内部共享托管服务

其中不同区段中的用户共享网络且在大规模组织中考虑主机的服务。作为从共享主机的访问目的地的另一服务器和网络的使用权限根据用户而不同。

(2)外部共享托管服务

考虑由运营商和互联网服务提供商提供的共享托管服务。这是其中从共享主机访问只有执行附加合同的用户才使用的服务的情况。

(3)云计算服务

考虑将为许多用户提供云计算设备中的应用软件的开发/执行的环境的服务。其为所谓的PaaS(平台即服务)的一部分。PaaS的实现形式是多种多样的且包括基本上由共享主机执行的一个。这与存在附加合同的服务等时的形式相符，类似于上述外部共享托管服务(2)的示例。

要确保此类环境中的足够的网络安全性伴随着一种困难。在从共享主机尝试连接的情况下，不能识别传输源处的用户和程序，即使以分组为单位来监视连接。也就是说，这是因为不能确定应对该分组允许的目的地。因此，难以执行用于分组传输的数据链路层(将称为L2层)和网络层(将称为L3层)上的交换机和路由器中的访问控制。

作为实现安全的方法中的一个，考虑这样的访问控制方法，其中在不在L2和L3中执行访问控制的情况下在接收侧主机的上层中执行用户的认证/许可。作为此类访问控制方法，存在每个服务所特有的访问控制方法或者一般地类似于“Kerberos”和“IDENT”(参考文献：RFC1413)的访问控制方法。

然而，在每个服务所特有的访问控制方法中，在接收侧主机的处理具有脆弱性时存在严重攻击的风险。期望在多个网络层上采取安全措施以便实现更稳健的安全性。

并且，由于一般访问控制方法被广泛地使用且得到充分的验证，所以一般访问控制方法能够预期具有比每个服务所特有的访问控制方法更高的安全等级。然而，在现有服务中，存在不对应于该一般访问控制方法的服务。为了使得该不对应服务对应于一般访问控制方法，存在要求连接程序改变的问题。请注意，目前由于诸如可靠性和数据溢流的问题而尚未使用“IDENT”。

作为另一方法，存在一种方法，其通过在物理共享主机中使用虚拟化技术而对每个用户使用虚拟主机环境。在这种情况下，可以通过向从每个虚拟主机环境发送的每个分组分配不同的“IP地址”和“VLANID”而由路由器和L2交换机容易地执行对分组的访问控制。然而，当使用虚拟主机环境时，比简单共享主机更多的硬件资源变成必需的。

要求的是在分组到达连接目的地的服务器之前的阶段中执行连接单元中的访问控制以便在没有上述弊病的情况下确保来自共享主机的通信中的高级安全。因此，在诸如路由器和交换机的具有分组的传输/中继功能的网络设备中，根据源侧用户而适当地确定许可和不许可就足够的，即使分组传输源侧的“IP地址”和“VLAN ID”是相同的。

为了达到此类目的，开放了一种技术，其中以连接为单位向防火墙设备和NAT(网络地址转换)发布连接请求并仅允许传输该连接的分组。

(专利文献1)

例如，专利文献1(JP 2008-085470A)公开了一种IP应用服务提供系统。该IP应用服务提供系统使得可以在属于内部网络且被网关单元从外部网络隐藏的内部节点与属于外部网络的外部节点之间的预定IP应用通信中从外部侧向内部侧执行入站通信，所述网关单元被设置成仅允许从内部侧到外部侧的出站通信。这时，在网关单元下面的内部节点规则地向外部网络上的连接支持设备发送用于控制信道端口的通知和控制信道路径的通信容许条目的保持的控制分组。并且，内部节点通过控制信道从连接支持设备接收对应于外部节点的连接目的地地址和端口的通知。并且，内部节点主动地向用该通知告知的连接目的地地址和端口开放IP应用的数据信道。

(专利文献2)