控制網(wǎng)絡(luò)訪問(wèn)策略的計(jì)算機(jī)系統(tǒng)�、控制器和方法
【專利摘要】根據(jù)本發(fā)明的計(jì)算機(jī)系統(tǒng)包括:控制器以及交換機(jī),所述交換機(jī)針對(duì)符合由所述控制器設(shè)置的流條目的接收包�,實(shí)施中繼操作,所述中繼操作使用所述流條目來(lái)調(diào)節(jié)����。所述交換機(jī)向所述控制器傳輸不符合由所述交換機(jī)設(shè)置的流條目的接收包。所述控制器查詢包括在所述接收包中的認(rèn)證信息且對(duì)所述接收包進(jìn)行認(rèn)證�。在被確定為有效的所述接收包的報(bào)頭信息之中��,所述控制器將所述交換機(jī)設(shè)置為調(diào)節(jié)如下包的中繼操作的流條目��,所述包包括識(shí)別所述接收包的傳輸源的信息�����。因而�����,使得開(kāi)放流協(xié)議環(huán)境的計(jì)算機(jī)系統(tǒng)中的網(wǎng)絡(luò)訪問(wèn)策略控制變得容易。
【專利說(shuō)明】控制網(wǎng)絡(luò)訪問(wèn)策略的計(jì)算機(jī)系統(tǒng)����、控制器和方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及控制網(wǎng)絡(luò)訪問(wèn)策略的計(jì)算機(jī)系統(tǒng)、控制器�、方法以及程序,并且特別地涉及使用開(kāi)放流(open flow)技術(shù)控制網(wǎng)絡(luò)訪問(wèn)策略的計(jì)算機(jī)系統(tǒng)和方法��。
【背景技術(shù)】
[0002]隨著使用網(wǎng)絡(luò)的信息系統(tǒng)的普及�����,諸如IP網(wǎng)絡(luò)的網(wǎng)絡(luò)不斷大規(guī)?;蛷?fù)雜化,并且另外不斷需要高度靈活性��。由于網(wǎng)絡(luò)設(shè)備的設(shè)置不斷復(fù)雜化且需要設(shè)置的設(shè)備的數(shù)目不斷增加�,針對(duì)網(wǎng)絡(luò)的設(shè)計(jì)管理中的負(fù)擔(dān)不斷增加。
[0003]例如���,作為用于個(gè)人計(jì)算機(jī)(此后稱為PC)的廣泛使用的訪問(wèn)控制方法之一�����,已知的一種方法是在與PC相鄰的終端L2交換機(jī)中形成基于MAC的VLAN (虛擬局域網(wǎng))�,以僅僅允許來(lái)自具有指定MAC地址的PC的連接。然而���,在該方法中��,在連接成數(shù)十萬(wàn)臺(tái)PC的環(huán)境中�����,需要針對(duì)添加或刪除數(shù)十萬(wàn)個(gè)MAC地址或數(shù)千臺(tái)L2交換機(jī)的日常維護(hù)����,管理員的負(fù)擔(dān)增加���。
[0004]作為用于解決這種問(wèn)題的描述�,存在由開(kāi)放流聯(lián)盟提議的開(kāi)放技術(shù)(http: //www.0penflowswitch.0rg/)(稱為非專利文獻(xiàn)I)�����。在根據(jù)該技術(shù)的開(kāi)放流系統(tǒng)中����,被稱為開(kāi)放流控制器(OFC:0pen Flow Controller)的服務(wù)器能夠集成����、設(shè)置和管理被稱為開(kāi)放流交換機(jī)(0FS開(kāi)放流交換機(jī))的網(wǎng)絡(luò)交換機(jī)。因此�,通過(guò)在OFC中設(shè)置用于整體開(kāi)放流系統(tǒng)的網(wǎng)絡(luò)策略(此后稱為策略),能夠控制所有0FS��。
[0005]將參考圖1解釋使用開(kāi)放流協(xié)議的計(jì)算機(jī)系統(tǒng)的配置和操作����。參考圖1,根據(jù)本發(fā)明的相關(guān)技術(shù)的計(jì)算機(jī)系統(tǒng)包括開(kāi)放流控制器100 (此后稱為OFC 100)�、包括多個(gè)開(kāi)放流交換機(jī)2-1至2-n (此后稱為OFS 2-1至2_n)的交換機(jī)組20以及包括多個(gè)主機(jī)計(jì)算機(jī)3-1至3-1 (此后稱為主機(jī)3-1至3-1)的主機(jī)組30。此處�����,η和i分別是2或更大的自然數(shù)���。在下面的解釋中��,當(dāng)不區(qū)分時(shí)����,OFS 2-1至2-n中的每一個(gè)被稱為OFS 2,且當(dāng)不區(qū)分時(shí)���,主機(jī)3-1至3-1中的每一個(gè)被稱為主機(jī)3����。
[0006]OFC 100執(zhí)行主機(jī)3之間的通信路徑的設(shè)置以及該路徑上用于OFS 2的轉(zhuǎn)發(fā)操作(中繼操作)等的設(shè)置�����。在這種情況中���,OFC 100在包括在OFS 2的流表中設(shè)置流條目�,流條目將用于識(shí)別流(包數(shù)據(jù))的規(guī)則和用于限定用于該流的操作的動(dòng)作關(guān)聯(lián)�。通信路徑上的OFS 2根據(jù)OFC 100設(shè)置的流條目確定接收的包數(shù)據(jù)的轉(zhuǎn)發(fā)目的地,并執(zhí)行轉(zhuǎn)發(fā)操作����。因而,主機(jī)3能夠使用OFC 100所設(shè)置的通信路徑與另一主機(jī)3傳送和接收包數(shù)據(jù)��。S卩���,在使用開(kāi)放流的計(jì)算機(jī)系統(tǒng)中����,因?yàn)橛糜谠O(shè)置通信路徑的OFC 100和用于執(zhí)行轉(zhuǎn)發(fā)操作的OFS是分離的����,所以整個(gè)系統(tǒng)中的通信能夠統(tǒng)一地被控制和管理。
[0007]參考圖1��,當(dāng)從主機(jī)3-1向主機(jī)3-1傳輸包時(shí)��,OFS 2-1參考從主機(jī)3_1接收的包中的傳輸目的地信息(報(bào)頭信息:例如��,目的地MAC地址或目的地IP地址)��,且在包括在OFS
2-1的流表中搜索對(duì)應(yīng)于該報(bào)頭信息的條目���。例如����,在非專利文獻(xiàn)I中定義了流表中設(shè)置的條目的內(nèi)容�。
[0008]當(dāng)在流表中并未描述關(guān)于接收包數(shù)據(jù)的條目時(shí),OFS 2-1向OFC 100傳遞包數(shù)據(jù)(此后稱為第一包)或第一包的報(bào)頭信息(或第一包本身)�����。已經(jīng)從OFS 2-1接收第一包的OFC 100基于諸如包括在包中的源主機(jī)和目的地主機(jī)的信息確定路徑40。
[0009]OFC 100指示路徑40上的所有OFS 2設(shè)置限定包的傳輸目的地的流條目(發(fā)布流表更新指令)���。路徑40上的OFS 2根據(jù)流表更新指令更新其本身管理的流表����。此后����,OFS 2根據(jù)更新的流表開(kāi)始包的傳輸,且經(jīng)由通過(guò)由OFC 100確定的路徑40將包傳輸?shù)侥康牡刂鳈C(jī) 3-1����。
[0010]然而,在如上所述的開(kāi)放流技術(shù)中����,諸如PC (個(gè)人電腦)等與開(kāi)放流系統(tǒng)連接的主機(jī)終端通過(guò)IP地址或MAC地址被而被識(shí)別。因此�����,在其中連接數(shù)十萬(wàn)臺(tái)PC的環(huán)境中�,需要針對(duì)成數(shù)十萬(wàn)個(gè)IP地址或MAC地址中的每一個(gè)設(shè)置策略,因而負(fù)擔(dān)增加。再者����,因?yàn)镮P地址和MAC地址能夠被偽造�����,存在非授權(quán)訪問(wèn)的風(fēng)險(xiǎn)��,且需要應(yīng)對(duì)措施����。
[0011]例如,在JP 2005-4549 (稱為專利文獻(xiàn)I)中描述了關(guān)于策略控制的系統(tǒng)��。在專利文獻(xiàn)I中�����,描述了一種策略服務(wù)器�,其具有用于網(wǎng)絡(luò)設(shè)備的訪問(wèn)控制功能或基于策略服務(wù)器本身維持的安全策略的應(yīng)用服務(wù)器,然而���,并未公開(kāi)開(kāi)放流環(huán)境的系統(tǒng)中的策略控制���。
[0012]引用列表
[0013][專利文獻(xiàn)I] JP 2005-4549
[0014][非專利文獻(xiàn)I]開(kāi)放流交換機(jī)規(guī)范版本1.0.0 (無(wú)線協(xié)議0x01)2009年12月31
曰
【發(fā)明內(nèi)容】
[0015]鑒于從上述情況�����,本發(fā)明的目的是提供一種根據(jù)開(kāi)放流協(xié)議環(huán)境的計(jì)算機(jī)系統(tǒng)�,其能夠容易地控制網(wǎng)絡(luò)訪問(wèn)策略�。
[0016]而且,本發(fā)明的另一目的是在根據(jù)開(kāi)放流協(xié)議環(huán)境中的網(wǎng)絡(luò)中增加防御非授權(quán)訪問(wèn)的安全性程度�����。
[0017]在一個(gè)方面中�����,根據(jù)本發(fā)明的計(jì)算機(jī)系統(tǒng)包括控制器和交換機(jī)�,所述交換機(jī)被配置為針對(duì)與由所述控制器設(shè)置的流條目對(duì)應(yīng)的接收包,執(zhí)行中繼操作���,其所述中中繼操作由所述流條目限定����。所述交換機(jī)向控制器傳輸與交換機(jī)本身中設(shè)置的流條目不對(duì)應(yīng)的接收包����。所述控制器參考包括在所述接收包中的認(rèn)證信息以對(duì)接收包進(jìn)行認(rèn)證�����。此處��,所述控制器設(shè)置交換機(jī)中的流條目����,所述流條目限定如下包的中繼操作��,所述包包括位于被確定為有效的所述接收包的報(bào)頭信息中且用于識(shí)別所述接收包的傳輸源的信息�。
[0018]在另一方面中����,根據(jù)本發(fā)明的策略控制方法包括:控制器從交換機(jī)接收與所述交換機(jī)中設(shè)置的流條目不對(duì)應(yīng)的接收包;所述控制器通過(guò)參考包括在所述接收包中的認(rèn)證信息來(lái)對(duì)接收包進(jìn)行認(rèn)證�;以及所述控制器在交換機(jī)中設(shè)置限定用于如下包的中繼操作的流條目,所述包包括位于被確定為有效的接收包的報(bào)頭信息中且用于識(shí)別所述接收包的傳輸源的信息��。
[0019]在另一方面中���,如上所述的策略控制方法優(yōu)選地通過(guò)計(jì)算機(jī)執(zhí)行的程序?qū)崿F(xiàn)�。
[0020]根據(jù)本發(fā)明,可以容易地在根據(jù)開(kāi)放流協(xié)議環(huán)境的計(jì)算機(jī)系統(tǒng)中執(zhí)行網(wǎng)絡(luò)訪問(wèn)策略控制����。
[0021]而且,可以改善防御未授權(quán)訪問(wèn)或使用欺騙地址的干擾的安全性級(jí)別���?����!緦@綀D】
【附圖說(shuō)明】
[0022]如上所述的本發(fā)明的目的��、優(yōu)點(diǎn)和特征將從結(jié)合附圖的實(shí)施例的描述更加顯現(xiàn)�����,在所述附圖中:
[0023]圖1是示出使用開(kāi)放流協(xié)議的計(jì)算機(jī)系統(tǒng)的配置的示例的圖示�����;
[0024]圖2是示出根據(jù)本發(fā)明的計(jì)算機(jī)系統(tǒng)的配置的示例的圖示��;
[0025]圖3是示出根據(jù)本發(fā)明的策略信息的示例的圖示�;
[0026]圖4是示出根據(jù)本發(fā)明的策略信息的具體示例的圖示�;
[0027]圖5A是示出根據(jù)本發(fā)明的流條目的具體示例的圖示���;
[0028]圖5B是示出根據(jù)本發(fā)明的流條目的具體示例的圖示;
[0029]圖6是示出根據(jù)本發(fā)明的計(jì)算機(jī)系統(tǒng)中的通信操作和策略設(shè)置的示例的順序圖�;以及
[0030]圖7是示出由根據(jù)本發(fā)明的開(kāi)放流控制器執(zhí)行的策略控制操作的示例的流程圖?��!揪唧w實(shí)施方式】
[0031]此后���,將參考附圖描述本發(fā)明的實(shí)施例。在附圖中��,相同或相似的參考數(shù)字指示相同�、相似或等效組件���。
[0032](計(jì)算機(jī)系統(tǒng)的配置)
[0033]同圖1中示出的系統(tǒng)一樣����,根據(jù)本發(fā)明的計(jì)算機(jī)系統(tǒng)使用開(kāi)放流技術(shù)執(zhí)行通信路徑的構(gòu)建和傳輸包數(shù)據(jù)的控制��。圖2是示出根據(jù)本發(fā)明的計(jì)算機(jī)系統(tǒng)的配置的示例的圖示�����。根據(jù)本發(fā)明的計(jì)算機(jī)系統(tǒng)與圖1中示出的系統(tǒng)的不同于之處在于,開(kāi)放流控制器(OFC)和主機(jī)終端(例如PC)的配置�,而其他配置(例如0FS)與圖1中示出的系統(tǒng)類似。
[0034]將參考圖2解釋根據(jù)本發(fā)明的第一實(shí)施例的計(jì)算機(jī)系統(tǒng)的配置�。參考圖2,根據(jù)本發(fā)明的計(jì)算機(jī)系統(tǒng)包括開(kāi)放流控制器KOpenFlow Controller此后稱為OFC 1)���,多個(gè)開(kāi)放流交換機(jī)2 (開(kāi)放流交換機(jī):此后稱為OFS 2)����、多個(gè)主機(jī)終端3 (例如PC)和輸入終端4��。
[0035]OFCl經(jīng)由安全信道網(wǎng)絡(luò)連接到多個(gè)OFS 2�����,且通過(guò)網(wǎng)絡(luò)更新OFS 2的流表21�。因而,經(jīng)由OFS 2彼此連接的多個(gè)主機(jī)終端3之間的通信得以控制�。OFS 2設(shè)置在多個(gè)主機(jī)終端3之間,且根據(jù)流表21中設(shè)置的流條目���,中繼從主機(jī)終端3或其他網(wǎng)絡(luò)(未示出)向傳輸目的地傳輸?shù)陌?br>
[0036]OFC I根據(jù)開(kāi)放流技術(shù)����,控制用于在系統(tǒng)中傳輸包的通信路徑的構(gòu)建和包傳輸操作。此處����,開(kāi)放流技術(shù)指示這樣的技術(shù):其中OFC I根據(jù)路由策略(流條目:流+動(dòng)作)在通信路徑上的OFS 2或OFVS 33中設(shè)置關(guān)于多層和單位流的路徑信息,以便執(zhí)行路徑控制或節(jié)點(diǎn)控制(詳情參見(jiàn)非專利文獻(xiàn)I)����。因而,路徑控制功能與路由器和交換機(jī)分離�,且可以通過(guò)控制器的集中控制而實(shí)現(xiàn)最佳路由和流量管理。應(yīng)用了開(kāi)放流技術(shù)的OFS 2和OFVS33將通信作為端對(duì)端的流來(lái)對(duì)待��,而不是像常規(guī)路由器或交換機(jī)那樣以包或幀為單位來(lái)處理���。
[0037]參考圖2����,將解釋根據(jù)本發(fā)明的OFC I的詳細(xì)配置����。OFC I優(yōu)選地通過(guò)具有存儲(chǔ)設(shè)備和CPU的計(jì)算機(jī)來(lái)實(shí)施���。在OFC I中�,流控制部11和策略管理部12的功能中的每一個(gè)通過(guò)執(zhí)行存儲(chǔ)在存儲(chǔ)設(shè)備中的程序的計(jì)算機(jī)(未示出)來(lái)實(shí)現(xiàn)。
[0038]流控制部11根據(jù)開(kāi)放流協(xié)議執(zhí)行對(duì)交換機(jī)中的流條目(規(guī)則+動(dòng)作)的設(shè)置或刪除���。因而�����,OFS 2根據(jù)接收包的報(bào)頭信息執(zhí)行與規(guī)則相關(guān)的動(dòng)作(例如��,包的中繼或撤消)���。
[0039]在流條目中設(shè)置的規(guī)則中,例如����,限定了關(guān)于OSI (開(kāi)放系統(tǒng)互連)參考模型的層I至層4的地址和標(biāo)識(shí)符的組合,其被包括在TCP/IP的包數(shù)據(jù)的報(bào)頭信息中�。例如,作為規(guī)貝U�,設(shè)置了層I的物理端口、層2的MAC地址���、VLAN標(biāo)簽(VLAN id)�����、層3的IP地址和層4的端口號(hào)的組合����。VLAN標(biāo)簽中,可以添加優(yōu)先級(jí)(VLAN優(yōu)先級(jí))�����。
[0040]此處��,可以將通過(guò)流控制部11而在規(guī)則中設(shè)置的標(biāo)識(shí)符或地址等設(shè)置為預(yù)定范圍��。而且�,優(yōu)選地,目的地和源的地址等被區(qū)分����,以被設(shè)置為規(guī)則。例如���,作為規(guī)則,設(shè)置了MAC目的地地址的范圍���、用于識(shí)別連接目的地應(yīng)用的目的地端口號(hào)的范圍和用于識(shí)別連接源應(yīng)用的源端口號(hào)的范圍��。此外��,作為規(guī)則��,可以設(shè)置用于識(shí)別數(shù)據(jù)傳輸協(xié)議的標(biāo)識(shí)符���。
[0041]作為流條目中的動(dòng)作集�,例如�����,限定了用于處理TCP/IP的包數(shù)據(jù)的方法�。例如,設(shè)置了指示是否中繼接收包數(shù)據(jù)的信息以及在中繼情況的傳輸目的地�����。此外�����,作為動(dòng)作���,可以設(shè)置指示包數(shù)據(jù)的復(fù)制或撤消的信息�����。
[0042]根據(jù)本發(fā)明的流控制部11根據(jù)來(lái)自策略管理部12的指令在指令指示的OFS 2中設(shè)置流條目��。
[0043]策略管理部12將從輸入終端4提供的策略信息130變換成容易搜索的格式��,且將它記錄在策略信息存儲(chǔ)部13中���。圖3是指示在策略信息存儲(chǔ)部13中記錄的策略信息130的配置的圖示�。參考圖3,在策略信息存儲(chǔ)部13中,策略ID 131���、認(rèn)證ID 132和策略133相關(guān)聯(lián),以便作為策略信息130被記錄。
[0044]策略ID 131是用于唯一識(shí)別策略信息130的標(biāo)識(shí)符��。認(rèn)證ID 132是用于認(rèn)證策略133是否應(yīng)用于第一包(第一包的源主機(jī)或目的地主機(jī))的信息(例如密碼)�����。策略133是用于限定用于主機(jī)終端3的網(wǎng)絡(luò)訪問(wèn)策略的信息�����。在策略133中�����,限定了用于限定源主機(jī)或目的地主機(jī)的條件�、用于限定訪問(wèn)方法的協(xié)議和優(yōu)先級(jí)等�����。
[0045]圖4是示出策略信息130的具體示例的圖示���。在策略信息130中�����,作為策略ID131����,設(shè)置了策略標(biāo)識(shí)符“用于會(huì)計(jì)部門普通員工的策略”���,其識(shí)別作為多個(gè)策略133 “策略I至策略3���,”的應(yīng)用目標(biāo)����,并且設(shè)置了用于認(rèn)證是否應(yīng)用了策略133的認(rèn)證ID132"XXXXX此處��,策略I指示允許使用HTTP(超文本傳輸協(xié)議)向10.11.12.1的IP地址轉(zhuǎn)發(fā)包���,且其優(yōu)先級(jí)是“10”�����。策略2指示允許使用FTP(文件傳輸協(xié)議)向10.11.12.2的IP地址轉(zhuǎn)發(fā)包�,且其優(yōu)先級(jí)是“20”���。策略3指示允許使用RDP(原創(chuàng)桌面協(xié)議)向10.11.12.0/24的IP地址轉(zhuǎn)發(fā)包�,且其優(yōu)先級(jí)是“30”��。
[0046]策略管理部12檢查包括在從OFS 2告知的第一包中的認(rèn)證信息140���,策略信息130被記錄在策略信息存儲(chǔ)部13中以對(duì)第一包進(jìn)行認(rèn)證����。
[0047]具體而言�����,主機(jī)終端3在包的數(shù)據(jù)區(qū)域中添加包括策略ID的認(rèn)證信息140以將其傳輸?shù)侥康牡刂鳈C(jī)。策略管理部12通過(guò)關(guān)鍵字來(lái)搜索策略信息存儲(chǔ)部13�����,該關(guān)鍵字是包括在從OFS 2告知的第一包中的認(rèn)證信息140的策略ID����,并且提取具有與認(rèn)證信息140的策略ID對(duì)應(yīng)的策略ID 131的策略信息130���。然后���,策略管理部12通過(guò)檢查認(rèn)證信息140的認(rèn)證ID與策略信息130中的認(rèn)證ID 132來(lái)對(duì)第一包進(jìn)行認(rèn)證。
[0048]當(dāng)?shù)谝话行?認(rèn)證ID匹配)時(shí)����,策略管理部12指示流控制部11設(shè)置用于轉(zhuǎn)發(fā)第一包的流條目。在這種情況中���,流控制部11在基于報(bào)頭信息而計(jì)算的通信路徑上的OFS 2中���,設(shè)置遵循與第一包的報(bào)頭信息對(duì)應(yīng)的策略133的流條目���。[0049]另一方面,在與包括在第一包中的策略ID對(duì)應(yīng)的策略ID 131未被記錄在策略信息存儲(chǔ)部13中的情況下或在認(rèn)證信息ID不匹配的情況下���,策略管理部12確定認(rèn)證失敗��。在這種情況中����,策略管理部12指示流控制部11設(shè)置用于丟棄第一包的流條目�。響應(yīng)于該指令,流控制部11在作為第一包的通知源的OFS 2中設(shè)置流條目�,使得該流條目包括至少作為第一包的報(bào)頭信息的一部分的規(guī)則和用于丟棄包的動(dòng)作。根據(jù)非專利文獻(xiàn)I中描述的開(kāi)放流協(xié)議��,執(zhí)行選擇作為流條目的設(shè)置目標(biāo)的OFS 2的方法���、計(jì)算通信路徑的方法以及通過(guò)流控制部11設(shè)置和管理流條目的方法���。
[0050]圖5A和圖5B指示在終端A成功通過(guò)策略管理部12的認(rèn)證且應(yīng)用了圖4中示出的策略I的情形中交換機(jī)中設(shè)置的流條目的一個(gè)示例。此處���,將解釋流條目����,其在OFS 2中設(shè)置,其中端口 0/1與終端A連接��,而端口 0/2與網(wǎng)絡(luò)服務(wù)器連接����。
[0051]參考圖5A和5B,在流條目中����,作為規(guī)則211���,限定了匹配字段和匹配字段的值(匹配值)�����。此外�����,作為動(dòng)作信息212����,限定了動(dòng)作和優(yōu)先級(jí)。在策略I中�,限定允許“到
10.11.12.1的HTTP連接,且優(yōu)先級(jí)是10”��。在OFS 2中�,設(shè)置用于限定關(guān)于來(lái)自經(jīng)過(guò)認(rèn)證的終端A且目的地為IP地址“10.11.12.1”的包的中繼操作流條目(圖5A),并且設(shè)置用于限定關(guān)于來(lái)自網(wǎng)絡(luò)服務(wù)器(被分配了 IP地址“10.11.12.1”)且目的地為經(jīng)過(guò)認(rèn)證的終端A的包的中繼操作的流條目(圖5B)����。
[0052]參考圖5A,在規(guī)則211中����,“0/1”被限定為輸入端口,“終端A的MAC地址”被限定為源MAC地址�,“終端A的VLAN ID”被限定為輸入VLAN ID,“0x0800 (IPv4)”被限定為以太網(wǎng)類型�,“6 (TCP)”被限定為IP協(xié)議(協(xié)議號(hào))、“終端A的IP地址”被限定為源IP地址���、“10.11.12.1”被限定為目的地IP地址����、“80 (HTTP)”被限定為目的地端口號(hào),且在其他匹配字段中限定“任意”��。此外�,在動(dòng)作信息212中,限定了“向端口“0/2”輸出接收包且其優(yōu)先級(jí)為“10””��。
[0053]根據(jù)圖5A中示出的流條目���,0FS2向連接到網(wǎng)絡(luò)服務(wù)器的端口 “0/2”輸出包���,該包是通過(guò)HTTP通信從經(jīng)過(guò)認(rèn)證的終端A傳輸來(lái)的,且目的地為IP地址“10.11.12.1”����。
[0054]此外�����,參考圖5B�,在規(guī)則211中,“0/2”被限定為輸入端口����,“終端A的MAC地址”被限定為目的地MAC地址,“0x0800 (IPv4)”被限定為以太網(wǎng)類型,“6 (TCP)”被限定為IP協(xié)議(協(xié)議號(hào))���、“10.11.12.1”被限定為源IP地址��、“終端A的IP地址”被限定為目的地IP地址��、“80 (HTTP)”被限定為目的地端口號(hào)�����,且在其他匹配字段中限定“任意”�。此外���,在動(dòng)作信息212中�,限定“向端口 “0/1”輸出接收包且其優(yōu)先級(jí)為“ 10””����。
[0055]根據(jù)圖5B中示出的流條目,OFS 2向連接到終端A的端口 “0/1”輸出包��,該包是通過(guò)HTTP通信從IP地址“10.11.12.1”的網(wǎng)絡(luò)服務(wù)器傳輸來(lái)的����,且目的地為IP地址“終端A的IP地址”。
[0056]如上所述,根據(jù)本發(fā)明��,在OFS 2中設(shè)置根據(jù)與經(jīng)過(guò)認(rèn)證的第一包(主機(jī)終端3)對(duì)應(yīng)的策略的流條目����。在如上所述的一個(gè)示例中,解釋了用于策略I的流條目的設(shè)置��,然而����,當(dāng)存在需要認(rèn)證的多個(gè)策略時(shí),相應(yīng)地設(shè)置流條目���。
[0057]OFS 2包括流表21��,其中流條目通過(guò)OFC I來(lái)設(shè)置�,且包控制部22根據(jù)流表21中設(shè)置的流條目轉(zhuǎn)發(fā)或丟棄接收包��。像常規(guī)方式一樣����,基于來(lái)自O(shè)FC I的流模式請(qǐng)求設(shè)置用于OFS 2的流條目�。當(dāng)在流表21中沒(méi)有與接收包的報(bào)頭信息對(duì)應(yīng)的流條目(規(guī)則)時(shí),包控制部22向OFC I轉(zhuǎn)發(fā)接收包,該接收包是第一包����。因而,OFS 2向OFC I發(fā)送從主機(jī)終端3傳輸?shù)恼J(rèn)證信息140��。另一方面�,當(dāng)存在與接收包的報(bào)頭信息對(duì)應(yīng)的流條目時(shí),包控制部22根據(jù)流條目的動(dòng)作處理包�。作為用于接收包的動(dòng)作,示例了向另一 OFS 2或終端3轉(zhuǎn)發(fā)包或者丟棄包�。盡管在圖2中僅示出連接到兩個(gè)主機(jī)終端3的端部交換機(jī),但是無(wú)需多言的是�,如圖1所指示,主機(jī)終端3經(jīng)由其他OFS 2與另一主機(jī)終端3連接�。此外,OFS 2優(yōu)選地是物理交換機(jī)���,但是可以通過(guò)虛擬交換機(jī)實(shí)現(xiàn)���,只要根據(jù)開(kāi)放流協(xié)議操作即可。
[0058]主機(jī)終端3優(yōu)選地通過(guò)具有CPU (未示出)和RAM的計(jì)算機(jī)設(shè)備(物理服務(wù)器)實(shí)現(xiàn)���,且包括其中記錄有認(rèn)證信息140的存儲(chǔ)設(shè)備(未示出)�����。備選地����,主機(jī)終端3可以通過(guò)虛擬機(jī)實(shí)現(xiàn)。主機(jī)終端3在需要傳輸?shù)陌臄?shù)據(jù)區(qū)域中添加認(rèn)證信息140�。其他配置類似于能夠執(zhí)行包通信的常規(guī)計(jì)算機(jī)系統(tǒng)或虛擬機(jī)。盡管在圖2中僅指示了兩個(gè)主機(jī)終端3�,但是無(wú)需多言的是,如圖1所示�����,本系統(tǒng)包括經(jīng)由多個(gè)OFS 2彼此連接的其他主機(jī)終端3�。
[0059]盡管在圖2中的系統(tǒng)中僅提供一個(gè)主機(jī)終端3,但是一般提供多個(gè)主機(jī)終端3���。
[0060]輸入終端4是具有策略設(shè)置Π (用戶界面)41的計(jì)算機(jī)設(shè)備��。策略設(shè)置Π 41是用于在OFC I中設(shè)置策略信息的用戶界面���,且將來(lái)自用戶的指令輸出到OFC I的策略管理部12�。因而��,OFC I中設(shè)置任意策略信息130�����。策略信息130的設(shè)置方法并不限于此�,且策略信息130可以通過(guò)使用移動(dòng)存儲(chǔ)介質(zhì)來(lái)設(shè)置��。
[0061]此外�����,諸如監(jiān)控器或打印機(jī)之類的輸出設(shè)備可以連接到OFC I����。策略管理部12能夠基于在認(rèn)證中失敗的第一包中的報(bào)頭信息(源端口號(hào)或源MAC地址),識(shí)別包的源OFS 2或目的地主機(jī)終端3��。通過(guò)經(jīng)由輸出設(shè)備可視地輸出該認(rèn)證結(jié)果�����,不僅對(duì)非授權(quán)訪問(wèn)的監(jiān)控而且對(duì)非授權(quán)訪問(wèn)的源的識(shí)別都是可能的���。
[0062]根據(jù)上述配置����,在根據(jù)本發(fā)明的計(jì)算機(jī)系統(tǒng)中,在控制器端使用符合開(kāi)放流協(xié)議的第一包執(zhí)行針對(duì)該包(訪問(wèn))的認(rèn)證��,且基于認(rèn)證結(jié)果控制針對(duì)該包的轉(zhuǎn)發(fā)操作����。根據(jù)本發(fā)明,因?yàn)橥ㄟ^(guò)主機(jī)終端3插入在包中的認(rèn)證信息由控制流的OFC I來(lái)認(rèn)證��,所以O(shè)FC I能夠深入控制從具有不同網(wǎng)絡(luò)訪問(wèn)策略的主機(jī)終端3的通信�。此外,在本發(fā)明中�,應(yīng)用策略133的主機(jī)終端3能夠通過(guò)針對(duì)每個(gè)策略信息130而給出的認(rèn)證ID 132而被識(shí)別。因此����,策略容易改變和管理,而無(wú)需針對(duì)IP地址和MAC地址中的每一個(gè)設(shè)置策略���。而且���,因?yàn)楦鶕?jù)本發(fā)明的OFC I通過(guò)使用第一包的包認(rèn)證來(lái)控制訪問(wèn),非所以授權(quán)訪問(wèn)(例如:具有偽造地址的包的侵入)能夠在作為網(wǎng)絡(luò)入口的主機(jī)端的端部OFS 2被阻斷���。
[0063](操作)
[0064]接下來(lái)�,參考圖6和7���,將詳細(xì)解釋根據(jù)本發(fā)明的計(jì)算機(jī)系統(tǒng)的通信操作和訪問(wèn)控制操作�。
[0065]圖6是示出在根據(jù)本發(fā)明的計(jì)算機(jī)系統(tǒng)中的策略設(shè)置和通信操作的一個(gè)示例的順序圖�。圖7是示出由根據(jù)本發(fā)明的OFC I執(zhí)行的策略控制操作的一個(gè)示例的流程圖。
[0066]參考圖6����,首先當(dāng)計(jì)算機(jī)系統(tǒng)啟動(dòng)時(shí),策略信息130之前已從輸入終端4記錄到OFC I的策略信息存儲(chǔ)部13中(步驟Sll����,S12)。具體而言����,經(jīng)由輸入終端4輸入的策略信息130被提供給策略管理部12,以便作為數(shù)據(jù)庫(kù)而被記錄在策略信息存儲(chǔ)部13中����。因而,策略信息存儲(chǔ)部13通過(guò)最新策略信息130來(lái)更新���。此處��,策略信息存儲(chǔ)部13能夠總是被策略管理部12搜索�����。此外�����,在步驟Sll和S12處的策略信息存儲(chǔ)部13的更新可以在系統(tǒng)的操作期間執(zhí)行��。
[0067]隨后���,將解釋在從主機(jī)終端3向系統(tǒng)傳輸包的情況下的訪問(wèn)控制和通信操作�。主機(jī)終端3向網(wǎng)絡(luò)傳輸包��,該包包括認(rèn)證信息140�����,其中添加有加密策略ID和認(rèn)證ID (步驟S21)��。在這種情況中,來(lái)自主機(jī)終端3的包被轉(zhuǎn)移到OFS 2����。
[0068]OFS 2確定從主機(jī)終端3接收的包的報(bào)頭信息是否符合(對(duì)應(yīng)于)流表21中設(shè)置的流條目的規(guī)則,且當(dāng)存在匹配規(guī)則(未示出)時(shí)根據(jù)與規(guī)則相關(guān)的動(dòng)作處理接收包(例如����,向其他OFS 2轉(zhuǎn)發(fā)或丟棄)�����。具體而言�,OFS提取從主機(jī)終端3接收的包的報(bào)頭信息(發(fā)送和接收IP地址、MAC地址���、端口號(hào)����、或協(xié)議等)�。然后,OFS 2比較報(bào)頭信息和流表21�����,以確認(rèn)是否存在匹配流條目。當(dāng)存在匹配流條目時(shí)�,OFS 2執(zhí)行在流條目中描述的動(dòng)作(轉(zhuǎn)發(fā)或丟棄),且完成轉(zhuǎn)發(fā)?呆作����。
[0069]另一方面,當(dāng)在流表21中并未設(shè)置符合(對(duì)應(yīng)于)接收包的報(bào)頭信息的流條目(其中的規(guī)則)時(shí)�����,OFS 2告知OFCl中的策略管理部12所述接收包���,該接收包為第一包(步驟S22, PackeIN)����。
[0070]在PacketIN之后�,策略管理部12對(duì)第一包進(jìn)行認(rèn)證,且根據(jù)認(rèn)證結(jié)果向流控制部11指示包處理方法(步驟S23�����,S24)����。流控制部11根據(jù)來(lái)自策略管理部12的指令��,在作為被控制目標(biāo)的OFS 2的流表21中設(shè)置流條目(步驟S25)���。因而,OFS 2根據(jù)在流表21中新設(shè)置的流條目處理在步驟S21接收的包����。
[0071]參考圖7,將詳細(xì)解釋接收第一包的策略管理部12的操作(圖6中的步驟23至S25)��。
[0072]OFC I分析從OFS 2接收的第一包的數(shù)據(jù)區(qū)域以獲得認(rèn)證信息140 (策略ID和認(rèn)證ID)(步驟S101)�����。隨后�����,OFC I將獲得的認(rèn)證信息140 (策略ID和認(rèn)證ID)與記錄在策略信息存儲(chǔ)部13中的策略信息130進(jìn)行比較��,以執(zhí)行認(rèn)證(步驟S102)�。具體而言����,策略管理部12在策略信息存儲(chǔ)部13中搜索對(duì)應(yīng)于認(rèn)證信息140 (策略ID和認(rèn)證ID)的策略信息130。此時(shí),如果對(duì)應(yīng)于認(rèn)證 信息140的策略信息130被記錄在策略信息存儲(chǔ)部13中���,則策略管理部12確定認(rèn)證成功�,且如果并未被記錄�����,則確定認(rèn)證失敗(步驟S102)���。
[0073]在步驟S102����,當(dāng)認(rèn)證成功時(shí)��,策略管理部12從策略信息存儲(chǔ)部13獲得與包括在認(rèn)證信息140中的策略ID對(duì)應(yīng)的策略信息130 (步驟S103)����。OFC I設(shè)置與作為控制目標(biāo)的OFS 2中所獲得的策略信息130對(duì)應(yīng)的流條目(步驟S104)。
[0074]具體而言����,策略管理部12參考與認(rèn)證成功的認(rèn)證信息140對(duì)應(yīng)的策略信息130,且指示流控制部11基于與第一包的報(bào)頭信息對(duì)應(yīng)的策略133來(lái)設(shè)置流條目�����。在這種情況中,和常規(guī)開(kāi)放流系統(tǒng)的情況一樣�����,計(jì)算通信路徑���,且確定作為流條目的設(shè)置目標(biāo)的OFS 2����。通過(guò)經(jīng)由安全信道的流模式請(qǐng)求���,流控制部11基于來(lái)自策略管理部12的指令在確定的OFS 2中設(shè)置流條目��。在這種情況中,優(yōu)選地設(shè)置包括源MAC地址的規(guī)則和與策略133對(duì)應(yīng)的動(dòng)作����。因而,基于OFC I中原先設(shè)置的策略控制其包通過(guò)OFC I認(rèn)證的主機(jī)(即經(jīng)過(guò)認(rèn)證的主機(jī)終端)的通信���。此外�,作為流條目中設(shè)置的規(guī)則,除了源MAC地址外��,可以限定目的地地址或目的地端口號(hào)��。因而�,實(shí)現(xiàn)了基于認(rèn)證主機(jī)終端的訪問(wèn)目的地的控制。
[0075]作為指定示例�����,將解釋如下情況中的流條目的設(shè)置�,其中策略管理部12響應(yīng)于認(rèn)證信息140獲得圖4中示出的策略信息130且源MAC地址“0000.0000.0001”、目的地IP地址“10.11.12.1”和協(xié)議“HTTP”被包括在第一包的報(bào)頭信息中���。在這種情況中��,策略管理部12指示設(shè)置與圖4中示出的策略I對(duì)應(yīng)的流條目�。因而��,流控制部11在通信路徑上的OFS 2中設(shè)置流條目����,其中在流條目中,規(guī)則包括“0000.0000.0001”的管理源MAC地址�����,“10.11.12.1”的目的地IP地址和“HTTP”的協(xié)議,且流條目的動(dòng)作是向連接到“10.11.12.1”的端口轉(zhuǎn)發(fā)包�����。而且����,流控制部11將“10”設(shè)置為用于在OFS 2中應(yīng)用該流條目的優(yōu)先級(jí)。
[0076]此后�,其中流表21被更新的OFS 2根據(jù)該流表執(zhí)行包控制。
[0077]另一方面���,在步驟S102��,如果認(rèn)證失敗�����,則OFC I在作為第一包的告知源的OFS 2的流表21中設(shè)置流條目,該流條目至少將第一包的報(bào)頭信息的至少一部分限定為規(guī)則����,且將包的丟棄限定為動(dòng)作(步驟S105)�����。因此�����,優(yōu)選地設(shè)置如下流條目��,在該流條目中規(guī)則包括源MAC地址且動(dòng)作是包的丟棄����。這樣��,其包并未通過(guò)OFC I認(rèn)證的源主機(jī)(非認(rèn)證主機(jī)終端)的通信在作為網(wǎng)絡(luò)入口的OFS 2被阻斷���。此外����,作為用于限定包的丟棄的流條目的規(guī)則��,除了源MAC地址����,可以限定目的地地址或目的地端口號(hào)�����。這樣���,能夠相對(duì)于非認(rèn)證主機(jī)終端的訪問(wèn)目的地中的每一個(gè),限制訪問(wèn)��。
[0078]如上所述����,根據(jù)本發(fā)明的OFC I經(jīng)由第一包的通知從主機(jī)終端3接收認(rèn)證信息140以對(duì)它進(jìn)行認(rèn)證,且設(shè)置流條目�,在該流條目中規(guī)則指示源是該主機(jī)終端且基于策略限定動(dòng)作。因此����,在根據(jù)本發(fā)明的系統(tǒng)中,通過(guò)預(yù)先在應(yīng)用策略的主機(jī)終端3中添加認(rèn)證信息140���,能夠針對(duì)終端中的每一個(gè)控制策略��。即�����,在本發(fā)明中�����,不必準(zhǔn)備用于針對(duì)主機(jī)終端中的每一個(gè)應(yīng)用策略的配置(策略信息)��。例如�����,盡管需要對(duì)于數(shù)十萬(wàn)個(gè)設(shè)備進(jìn)行配置以在連接數(shù)十萬(wàn)臺(tái)PC的網(wǎng)絡(luò)中設(shè)計(jì)靈活的策略控制��,但是在本發(fā)明中���,因?yàn)椴恍栳槍?duì)PC中的每一個(gè)的配置,因此容易執(zhí)行設(shè)計(jì)操作���。
[0079]此外�,在本發(fā)明中����,在從網(wǎng)絡(luò)終端3到網(wǎng)絡(luò)的最初連接中執(zhí)行使用認(rèn)證信息的認(rèn)證。因此,可以在初始訪問(wèn)階段阻斷使用欺騙ID地址或MAC地址的未授權(quán)訪問(wèn)�����,且可以增加開(kāi)放流系統(tǒng)的安全性級(jí)別��。
[0080]另外�,在根據(jù)本發(fā)明的計(jì)算機(jī)系統(tǒng)中使用的OFS僅需要符合常規(guī)開(kāi)放流協(xié)議(例如,開(kāi)放流交換機(jī)說(shuō)明書(shū)版本1.0所定義的協(xié)議)�,且如上述實(shí)施例所述,用于網(wǎng)絡(luò)策略的控制或非授權(quán)訪問(wèn)的防止可以通過(guò)僅改變OFC或主機(jī)終端的功能實(shí)現(xiàn)��。即����,根據(jù)本發(fā)明,在現(xiàn)有開(kāi)放流系統(tǒng)中�,通過(guò)僅改變OFC和主機(jī)終端的功能,可以實(shí)現(xiàn)針對(duì)網(wǎng)絡(luò)策略的上述控制或非授權(quán)訪問(wèn)的防止�。因此,可以以低成本地且容易地在現(xiàn)有系統(tǒng)中添加諸如用于網(wǎng)絡(luò)策略的控制之類的功能����。
[0081]如上所述,已經(jīng)詳細(xì)解釋了本發(fā)明的實(shí)施例��,然而,指定配置不限于上述實(shí)施例���,且本發(fā)明還可以包括在不偏離本發(fā)明精神的范圍內(nèi)修改的配置����。在上面的解釋中�,解釋了其中源MAC地址被包括在認(rèn)證之后設(shè)置的流條目的規(guī)則中的一個(gè)示例��,然而�����,本發(fā)明不限于此��,只要源主機(jī)終端被識(shí)別即可��。例如�����,作為規(guī)則�,可以限定源IP地址或連接到源主機(jī)終端的端口號(hào)。
[0082]本申請(qǐng)基于日本專利申請(qǐng)N0.2011-91105���,且其公開(kāi)內(nèi)容通過(guò)引用結(jié)合于此�����。
【權(quán)利要求】
1.一種計(jì)算機(jī)系統(tǒng)��,包括: 控制器���;以及 交換機(jī)�,所述交換機(jī)被配置為針對(duì)符合由所述控制器設(shè)置的流條目的接收包執(zhí)行中繼操作���,所述中繼操作由所述流條目限定�����, 其中所述交換機(jī)被配置為向所述控制器傳輸不符合在所述交換機(jī)中設(shè)置的所述流條目的所述接收包�����,以及 其中所述控制器被配置為參考包括在所述接收包中的認(rèn)證信息以對(duì)所述接收包進(jìn)行認(rèn)證���,且在所述交換機(jī)中設(shè)置用于限定如下包的所述中繼操作的所述流條目,所述包包括位于被確定為有效的所述接收包的報(bào)頭信息中且用于識(shí)別所述接收包的源的信息����。
2.根據(jù)權(quán)利要求1所述的計(jì)算機(jī)系統(tǒng)�����,其中所述控制器被配置為參考所述認(rèn)證信息以對(duì)所述接收包進(jìn)行認(rèn)證����,且在所述交換機(jī)中設(shè)置用于限定如下包的丟棄的所述流條目���,所述包包括位于被確定為不正確的所述接收包的報(bào)頭信息中且用于識(shí)別所述接收包的源的信息。
3.根據(jù)權(quán)利要求1或2所述的計(jì)算機(jī)系統(tǒng)����,其中所述控制器包括其中記錄有用于限定中繼操作策略的策略信息的存儲(chǔ)設(shè)備,且被配置為在所述交換機(jī)中設(shè)置符合與包括在被確定為有效的所述接收包中的認(rèn)證信息對(duì)應(yīng)的所述策略信息的所述流條目�����。
4.根據(jù)權(quán)利要求3所述的計(jì)算機(jī)系統(tǒng)�,其中所述認(rèn)證信息包括用于識(shí)別所述策略信息的策略ID和在認(rèn)證中使用的第一認(rèn)證ID, 其中所述策略信息被記錄在所述存儲(chǔ)設(shè)備中�,從而使用于識(shí)別所述策略信息的所述策略ID與第二認(rèn)證ID相關(guān);以及 其中所述控制器被配置為將如下所述接收包確定為有效接收包�����,在所述接收包中與被包括在所述認(rèn)證信息中的所述策略ID相關(guān)的所述第二認(rèn)證ID與所述第一認(rèn)證ID對(duì)應(yīng)。
5.根據(jù)權(quán)利要求4所述的計(jì)算機(jī)系統(tǒng)�,其中所述策略信息包括與用于識(shí)別所述策略信息的所述策略ID相關(guān)的多個(gè)策略,以及 其中所述控制器被配置為從所述存儲(chǔ)設(shè)備提取在與包括在所述認(rèn)證信息中的所述策略ID相關(guān)的所述多個(gè)策略之中的符合被確定為有效的所述接收包的報(bào)頭信息的策略���,且在所述交換機(jī)中設(shè)置符合被提取的所述策略的所述流條目���。
6.一種在根據(jù)權(quán)利要求1至5中任一項(xiàng)所述的計(jì)算機(jī)系統(tǒng)中使用的服務(wù)器。
7.一種控制策略的方法����,包括: 通過(guò)控制器從交換機(jī)接收不符合所述交換機(jī)中設(shè)置的流條目的接收包; 通過(guò)所述控制器參考包括在所述接收包中的認(rèn)證信息���,來(lái)對(duì)所述接收包進(jìn)行認(rèn)證�����;以及 通過(guò)所述控制器在所述交換機(jī)中設(shè)置限定如下包的中繼操作的所述流條目�,所述包目包括位于被確定為有效的所述接收包的報(bào)頭信息中且用于識(shí)別所述接收包的源的信息���。
8.根據(jù)權(quán)利要求7或8所述的方法�����,還包括: 通過(guò)所述控制器在所述交換機(jī)中設(shè)置限定如下包的丟棄的所述流條目�����,所述包包括位于被確定為不正確的所述接收包的報(bào)頭信息中且用于識(shí)別所述接收包的源的信息��。
9.根據(jù)權(quán)利要求7或8所述的方法���,還包括通過(guò)所述控制器來(lái)保持用于限定中繼操作策略的策略信息����,以及其中所述設(shè)置限定所述中繼操作的所述流條目包括: 通過(guò)所述控制器在所述交換機(jī)中設(shè)置符合與包括在被確定為有效的所述接收包中的認(rèn)證信息對(duì)應(yīng)的策略信息的所述流條目����。
10.根據(jù)權(quán)利要求9所述的方法���,其中所述認(rèn)證信息包括用于識(shí)別所述策略信息的策略ID和在認(rèn)證中使用的第一認(rèn)證ID����, 其中所述策略信息通過(guò)所述控制器保持�����,從而使用于識(shí)別所述策略信息的所述策略ID與第二認(rèn)證ID相關(guān);以及 其中在所述認(rèn)證中��,所述控制器將如下所述接收包確定為有效接收包�,在所述接收包中與包括在所述認(rèn)證信息中的所述策略ID相關(guān)的所述第二認(rèn)證ID與所述第一認(rèn)證ID對(duì)應(yīng)。
11.根據(jù)權(quán)利要求10所述的方法����,其中所述策略信息包括與用于識(shí)別所述策略信息的所述策略ID相關(guān)的多個(gè)策略,以及 其中所述設(shè)置限定所述中繼操作的所述流條目包括: 通過(guò)所述控制器從所述存儲(chǔ)設(shè)備提取在與包括在所述認(rèn)證信息中的所述策略ID相關(guān)的所述多個(gè)策略之中的符合被確定為有效的所述接收包的報(bào)頭信息的策略�;以及 通過(guò)所述控制器在所述交換機(jī)中設(shè)置符合被提取的所述策略的所述流條目。
12.—種記錄介質(zhì)�����,其 中記錄有策略控制程序以通過(guò)計(jì)算機(jī)實(shí)現(xiàn)根據(jù)權(quán)利要求7至11中任一項(xiàng)所述的方法��。
【文檔編號(hào)】H04L12/931GK103621028SQ201280018455
【公開(kāi)日】2014年3月5日 申請(qǐng)日期:2012年4月6日 優(yōu)先權(quán)日:2011年4月15日
【發(fā)明者】川本雅也 申請(qǐng)人:日本電氣株式會(huì)社