網(wǎng)絡(luò)系統(tǒng)、控制器和分組認(rèn)證方法【專利摘要】本發(fā)明執(zhí)行在分組到達(dá)連接目的地主機(jī)(服務(wù)器等)之前每個(gè)連接的訪問控制����。具體地,管理交換機(jī)的控制器從交換機(jī)接收關(guān)于由具有不同權(quán)限的多個(gè)用戶使用的訪問源主機(jī)發(fā)送的未知分組的通知�。控制器向訪問源主機(jī)詢問有關(guān)用于涉及發(fā)送分組的用戶的認(rèn)證信息�����?��;谡J(rèn)證信息控制器向是分組的目的地的訪問目的地主機(jī)詢問有關(guān)訪問的許可/拒絕��。當(dāng)訪問被許可時(shí)��,控制器命令交換機(jī)登記傳輸分組的流條目��。當(dāng)訪問被拒絕時(shí)���,控制器命令交換機(jī)登記丟棄分組的流條目����?����!緦@f明】網(wǎng)絡(luò)系統(tǒng)�����、控制器和分組認(rèn)證方法【
技術(shù)領(lǐng)域:
】[0001]本發(fā)明涉及一種網(wǎng)絡(luò)系統(tǒng)��,具體涉及其中網(wǎng)絡(luò)設(shè)備的分組傳輸功能和路由控制功能分離的網(wǎng)絡(luò)系統(tǒng)���?!?br>背景技術(shù):
】[0002]作為計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的主機(jī)的使用形式中的一個(gè),具有不同權(quán)限的多個(gè)用戶登錄公共主機(jī)(共享主機(jī))并執(zhí)行程序,從而從共享主機(jī)訪問網(wǎng)絡(luò)中的另一主機(jī)����。下面示出了示例。[0003](I)內(nèi)部共享托管服務(wù)[0004]其中不同區(qū)段中的用戶共享網(wǎng)絡(luò)且在大規(guī)模組織中考慮主機(jī)的服務(wù)�。作為從共享主機(jī)的訪問目的地的另一服務(wù)器和網(wǎng)絡(luò)的使用權(quán)限根據(jù)用戶而不同。[0005](2)外部共享托管服務(wù)[0006]考慮由運(yùn)營商和互聯(lián)網(wǎng)服務(wù)提供商提供的共享托管服務(wù)�。這是其中從共享主機(jī)訪問只有執(zhí)行附加合同的用戶才使用的服務(wù)的情況。[0007](3)云計(jì)算服務(wù)[0008]考慮將為許多用戶提供云計(jì)算設(shè)備中的應(yīng)用軟件的開發(fā)/執(zhí)行的環(huán)境的服務(wù)��。其為所謂的PaaS(平臺(tái)即服務(wù))的一部分�。PaaS的實(shí)現(xiàn)形式是多種多樣的且包括基本上由共享主機(jī)執(zhí)行的一個(gè)�����。這與存在附加合同的服務(wù)等時(shí)的形式相符��,類似于上述外部共享托管服務(wù)⑵的示例�。[0009]要確保此類環(huán)境中的足夠的網(wǎng)絡(luò)安全性伴隨著一種困難。在從共享主機(jī)嘗試連接的情況下����,不能識(shí)別傳輸源處的用戶和程序,即使以分組為單位來監(jiān)視連接。也就是說��,這是因?yàn)椴荒艽_定應(yīng)對(duì)該分組允許的目的地�����。因此����,難以執(zhí)行用于分組傳輸?shù)臄?shù)據(jù)鏈路層(將稱為L2層)和網(wǎng)絡(luò)層(將稱為L3層)上的交換機(jī)和路由器中的訪問控制。[0010]作為實(shí)現(xiàn)安全的方法中的一個(gè)��,考慮這樣的訪問控制方法���,其中在不在L2和L3中執(zhí)行訪問控制的情況下在接收側(cè)主機(jī)的上層中執(zhí)行用戶的認(rèn)證/許可�����。作為此類訪問控制方法�����,存在每個(gè)服務(wù)所特有的訪問控制方法或者一般地類似于“Kerberos”和“IDENT”(參考文獻(xiàn):RFC1413)的訪問控制方法����。[0011]然而,在每個(gè)服務(wù)所特有的訪問控制方法中�����,在接收側(cè)主機(jī)的處理具有脆弱性時(shí)存在嚴(yán)重攻擊的風(fēng)險(xiǎn)���。期望在多個(gè)網(wǎng)絡(luò)層上采取安全措施以便實(shí)現(xiàn)更穩(wěn)健的安全性����。[0012]并且�����,由于一般訪問控制方法被廣泛地使用且得到充分的驗(yàn)證���,所以一般訪問控制方法能夠預(yù)期具有比每個(gè)服務(wù)所特有的訪問控制方法更高的安全等級(jí)。然而�,在現(xiàn)有服務(wù)中,存在不對(duì)應(yīng)于該一般訪問控制方法的服務(wù)��。為了使得該不對(duì)應(yīng)服務(wù)對(duì)應(yīng)于一般訪問控制方法����,存在要求連接程序改變的問題。請(qǐng)注意,目前由于諸如可靠性和數(shù)據(jù)溢流的問題而尚未使用“IDENT”�����。[0013]作為另一方法����,存在一種方法,其通過在物理共享主機(jī)中使用虛擬化技術(shù)而對(duì)每個(gè)用戶使用虛擬主機(jī)環(huán)境���。在這種情況下�,可以通過向從每個(gè)虛擬主機(jī)環(huán)境發(fā)送的每個(gè)分組分配不同的“IP地址”和“VLANID”而由路由器和L2交換機(jī)容易地執(zhí)行對(duì)分組的訪問控制��。然而���,當(dāng)使用虛擬主機(jī)環(huán)境時(shí)�����,比簡單共享主機(jī)更多的硬件資源變成必需的�。[0014]要求的是在分組到達(dá)連接目的地的服務(wù)器之前的階段中執(zhí)行連接單元中的訪問控制以便在沒有上述弊病的情況下確保來自共享主機(jī)的通信中的高級(jí)安全����。因此��,在諸如路由器和交換機(jī)的具有分組的傳輸/中繼功能的網(wǎng)絡(luò)設(shè)備中����,根據(jù)源側(cè)用戶而適當(dāng)?shù)卮_定許可和不許可就足夠的����,即使分組傳輸源側(cè)的“IP地址”和“VLANID”是相同的。[0015]為了達(dá)到此類目的�����,開放了一種技術(shù)��,其中以連接為單位向防火墻設(shè)備和NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)發(fā)布連接請(qǐng)求并僅允許傳輸該連接的分組���。[0016](專利文獻(xiàn)I)[0017]例如���,專利文獻(xiàn)I(JP2008-085470A)公開了一種IP應(yīng)用服務(wù)提供系統(tǒng)。該IP應(yīng)用服務(wù)提供系統(tǒng)使得可以在屬于內(nèi)部網(wǎng)絡(luò)且被網(wǎng)關(guān)單元從外部網(wǎng)絡(luò)隱藏的內(nèi)部節(jié)點(diǎn)與屬于外部網(wǎng)絡(luò)的外部節(jié)點(diǎn)之間的預(yù)定IP應(yīng)用通信中從外部側(cè)向內(nèi)部側(cè)執(zhí)行入站通信�,所述網(wǎng)關(guān)單元被設(shè)置成僅允許從內(nèi)部側(cè)到外部側(cè)的出站通信�����。這時(shí),在網(wǎng)關(guān)單元下面的內(nèi)部節(jié)點(diǎn)規(guī)則地向外部網(wǎng)絡(luò)上的連接支持設(shè)備發(fā)送用于控制信道端口的通知和控制信道路徑的通信容許條目的保持的控制分組����。并且,內(nèi)部節(jié)點(diǎn)通過控制信道從連接支持設(shè)備接收對(duì)應(yīng)于外部節(jié)點(diǎn)的連接目的地地址和端口的通知����。并且,內(nèi)部節(jié)點(diǎn)主動(dòng)地向用該通知告知的連接目的地地址和端口開放IP應(yīng)用的數(shù)據(jù)信道����。[0018](專利文獻(xiàn)2)[0019]并且,專利文獻(xiàn)2(JP專利號(hào)4���,362����,132B2)公開了地址轉(zhuǎn)換方法�、訪問控制方法以及使用這些方法的設(shè)備。在這種技術(shù)中�����,針對(duì)每個(gè)傳輸源設(shè)備或在全局網(wǎng)絡(luò)的一側(cè)的傳輸源網(wǎng)絡(luò)規(guī)定的訪問控制規(guī)則和針對(duì)每個(gè)傳輸源設(shè)備規(guī)定的地址轉(zhuǎn)換規(guī)則被預(yù)先記錄到數(shù)據(jù)庫�。當(dāng)從全局網(wǎng)絡(luò)一側(cè)接收到分組時(shí)��,根據(jù)包含傳輸源數(shù)據(jù)的訪問控制規(guī)則來限制從全局網(wǎng)絡(luò)對(duì)私用網(wǎng)絡(luò)的訪問�。并且��,根據(jù)包含傳輸源數(shù)據(jù)的地址轉(zhuǎn)換規(guī)則來轉(zhuǎn)換目的地地址��,以從全局網(wǎng)絡(luò)一側(cè)向私用網(wǎng)絡(luò)一側(cè)傳輸數(shù)據(jù)��。當(dāng)從私用網(wǎng)絡(luò)一側(cè)接收到分組時(shí)�����,根據(jù)包含傳輸源數(shù)據(jù)的地址轉(zhuǎn)換規(guī)則來轉(zhuǎn)換傳輸源地址�����,并且將來自私用網(wǎng)絡(luò)一側(cè)的數(shù)據(jù)傳輸至全局網(wǎng)絡(luò)一側(cè)��。[0020]然而�����,在這些技術(shù)中存在以下問題���。[0021](第一問題)[0022]第一問題是應(yīng)向用戶和應(yīng)用執(zhí)行不同于普通程序的連接程序���。[0023]在專利文獻(xiàn)I(JP2008-085480A)中,請(qǐng)求到布置于防火墻設(shè)備/NAT設(shè)備外面的代理節(jié)點(diǎn)的連接�。然后,由于響應(yīng)于該請(qǐng)求而在從通信節(jié)點(diǎn)到在防火墻設(shè)備/NAT設(shè)備內(nèi)部的請(qǐng)求源的方向上建立連接�����,所以連接的方向與普通方向相反��。[0024]在專利文獻(xiàn)2(日本專利4���,362���,132B2)中公開的技術(shù)中,在與通信末端的連接程序之前��,建立與防火墻設(shè)備/NAT設(shè)備的連接以執(zhí)行認(rèn)證處理�。[0025]并且,在專利文獻(xiàn)I(JP2008-085470A)和專利文獻(xiàn)2(日本專利4�,362,132B2)中�����,除原始通信末端的地址之外,傳輸源需要知道中間節(jié)點(diǎn)和防火墻設(shè)備/NAT設(shè)備的地址����。[0026](第二問題)[0027]第二問題是能夠同時(shí)地建立的連接的數(shù)目局限于由防火墻設(shè)備/NAT設(shè)備保持的條目的數(shù)目。[0028]專利文獻(xiàn)I(JP2008-085470A)和專利文獻(xiàn)2(日本專利4�����,362�,132B2)兩者都需要登記條目以使得可以在嘗試連接的建立之前嘗試到防火墻設(shè)備/NAT設(shè)備的分組傳輸并在連接的存在狀態(tài)下保持條目。[0029](第三問題)[0030]第三問題在于常規(guī)技術(shù)不適合于多個(gè)防火墻設(shè)備/NAT設(shè)備的多級(jí)的大規(guī)模配置�。[0031]專利文獻(xiàn)2(日本專利4,362����,132B2)必須向路線上的每個(gè)設(shè)備發(fā)出請(qǐng)求。這意味著通信用戶和應(yīng)用的負(fù)荷增加����。[0032]并且,在專利文獻(xiàn)I(JP2008-085470A)和專利文獻(xiàn)2(日本專利4��,362����,132B2)兩者中���,當(dāng)網(wǎng)絡(luò)被配置成使得通信路線集中在特定單元中時(shí),在該特定單元中使用許多條目���。因此,很容易出現(xiàn)第二問題����。由于常常使用防火墻設(shè)備/NAT設(shè)備作為網(wǎng)絡(luò)的網(wǎng)關(guān),所以此類配置是非常一般的�����。[0033]考慮用過濾規(guī)則來避免此問題����。例如,考慮一種當(dāng)從防火墻設(shè)備/NAT設(shè)備向另一設(shè)備發(fā)送分組時(shí)在一側(cè)執(zhí)行訪問控制且始終在另一側(cè)執(zhí)行通信的方法�。[0034]然而,由于設(shè)置和操作的負(fù)荷在此類避免技術(shù)中根據(jù)網(wǎng)絡(luò)的規(guī)模而增加��,所以該技術(shù)不適合于大規(guī)模多級(jí)配置�。[0035](專利文獻(xiàn)3)[0036]此外,作為相關(guān)技術(shù),專利文獻(xiàn)3(JP2000-295274A)公開了一種分組交換設(shè)備��。此分組交換設(shè)備通過使用源IP地址和目的地IP地址作為搜索關(guān)鍵字而登記并保持對(duì)IP流表的路由處理的結(jié)果���。并且����,當(dāng)接收到分組時(shí)����,通過使用源IP地址和目的地IP地址作為搜索關(guān)鍵字來搜索IP流表(flowtable)。當(dāng)?shù)怯浵鄳?yīng)IP流時(shí)�,基于相應(yīng)IP流中的路由處理結(jié)果將分組傳輸?shù)竭m當(dāng)?shù)妮敵龆丝诙磺袚Q至由微處理器進(jìn)行的路由處理。并且�����,分組交換設(shè)備與網(wǎng)絡(luò)接口相連并向接收到的分組執(zhí)行底層處理���。[0037](專利文獻(xiàn)4)[0038]并且�,專利文獻(xiàn)4(JP2002-044143A)公開了通信控制性��、路由器和通信控制方法�。在這種相關(guān)技術(shù)中��,在通過向/從單播路線表插入/刪除用于每個(gè)主機(jī)的路線來執(zhí)行用于到終端的單播的路線控制的通信控制方法中����,通過廣播想要接收到以通信控制系統(tǒng)的應(yīng)用范圍中的一個(gè)和多個(gè)多播地址為目的地的分組的終端的單播地址來管理多播群組管理表���,并從上述單播路線表和多播群組管理表生成多播路線表����。[0039](專利文獻(xiàn)5)[0040]并且���,專利文獻(xiàn)5(JP2011-166700A)公開了網(wǎng)絡(luò)系統(tǒng)和分組投機(jī)傳輸法。在相關(guān)技術(shù)中�����,在從網(wǎng)絡(luò)的控制功能被分離到外部控制器的網(wǎng)絡(luò)設(shè)備配置的網(wǎng)絡(luò)中����,投機(jī)性地傳輸在管理網(wǎng)絡(luò)設(shè)備的路由數(shù)據(jù)的流表中不具有路線數(shù)據(jù)的分組并直接在發(fā)送到外部網(wǎng)絡(luò)之前中止。網(wǎng)絡(luò)設(shè)備基于來自控制器的流表的設(shè)置而確定投機(jī)性傳輸?shù)某晒蚴?����。并且,?shù)據(jù)被保持在所有網(wǎng)絡(luò)設(shè)備中�����,分組通過該網(wǎng)絡(luò)設(shè)備被投機(jī)性地傳輸����,并且當(dāng)確定投機(jī)性傳輸失敗時(shí),通過發(fā)送投機(jī)丟棄分組來取消投機(jī)性地傳輸?shù)姆纸M��,并且再次地從在目的地方面弄錯(cuò)的網(wǎng)絡(luò)設(shè)備發(fā)送分組�。[0041](專利文獻(xiàn)6)[0042]并且,專利文獻(xiàn)6(JP2007-529135A)公開了一種預(yù)測性廣告鉤技術(shù)���。這種技術(shù)涉及在包括多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的多跳的無線電通信網(wǎng)絡(luò)中執(zhí)行高效路由的系統(tǒng)�����。在此系統(tǒng)中獲取示出低級(jí)節(jié)點(diǎn)之間的鏈路狀態(tài)的質(zhì)量數(shù)據(jù)��。并且�����,在使用預(yù)測性程序的低級(jí)節(jié)點(diǎn)中的路線確定過程中使用該鏈路質(zhì)量數(shù)據(jù)�����。然后��,根據(jù)所確定路線來發(fā)送數(shù)據(jù)分組���。該鏈路質(zhì)量數(shù)據(jù)包含鏈路狀態(tài)的時(shí)間變化的數(shù)據(jù)����,并且預(yù)測性程序在預(yù)測性程序中使用鏈路狀態(tài)的時(shí)間變化的數(shù)據(jù)����。[0043](⑶分離型網(wǎng)絡(luò)的說明)[0044]作為目前的網(wǎng)絡(luò)系統(tǒng)的控制系統(tǒng)中的一個(gè)����,提出了CU(C:控制平面/U:用戶平面)分離型網(wǎng)絡(luò),其從外部控制系統(tǒng)(控制平面)控制節(jié)點(diǎn)單元(用戶平面)���。[0045]作為⑶分離型網(wǎng)絡(luò)的示例��,舉例說明一種使用開放流(OpenFlow)技術(shù)的開放流網(wǎng)絡(luò)�����,其從控制器控制交換機(jī)以執(zhí)行網(wǎng)絡(luò)的路線控制����。在非專利文獻(xiàn)I(開放流交換機(jī)規(guī)范,1.1.0版)中描述了開放流技術(shù)的細(xì)節(jié)����。請(qǐng)注意開放流網(wǎng)絡(luò)僅僅是示例。[0046](開放流網(wǎng)絡(luò)的描述)[0047]諸如開放流控制器(OFC)的控制單元通過操作用于節(jié)點(diǎn)單元��、諸如開放流網(wǎng)絡(luò)中的開放流交換機(jī)(OFS)的節(jié)點(diǎn)單元的路線控制的流表來控制節(jié)點(diǎn)單元的行為�����。[0048]在下文中����,為了描述的簡化,將開放流控制器寫為“控制器(OFC)”���,并且將開放流交換機(jī)寫為“交換機(jī)(OFS)”�。[0049]控制器(OFC)和交換機(jī)(OFS)被安全信道連接以由控制器(OFC)使用開放流消息(OpenFlow消息)作為符合開放流協(xié)議(OpenFlow協(xié)議)的控制消息來控制交換機(jī)(OFS)�����。[0050]開放流網(wǎng)絡(luò)中的交換機(jī)(OFS)配置開放流網(wǎng)絡(luò)且是在控制器(OFC)的控制下的邊緣交換機(jī)和核心交換機(jī)。將從輸入側(cè)邊緣交換機(jī)(入口)中的分組的接收到來自開放流網(wǎng)絡(luò)中的輸出側(cè)邊緣交換機(jī)(出口)的發(fā)送的一系列分組稱為流�����。[0051]可將分組作為幀讀取�����。分組與幀之間的差異僅僅是由協(xié)議處理的數(shù)據(jù)單元(PDU:協(xié)議數(shù)據(jù)單元)的差異��。分組是“TCP/IP”(傳輸控制協(xié)議/網(wǎng)際協(xié)議)的rou�����。另一方面���,幀是“以太網(wǎng)(注冊(cè)商標(biāo))”的rou。[0052]流你報(bào)是存儲(chǔ)流條目的表格��,其定義應(yīng)對(duì)符合預(yù)定匹配條件(規(guī)則)的分組(通信數(shù)據(jù))執(zhí)行的預(yù)定操作(動(dòng)作)�����。[0053]流條目的規(guī)則是基于目的地地址����、源地址�、目的地端口以及源端口中的某些的組合而定義的��,其被包含在分組的每個(gè)協(xié)議分級(jí)結(jié)構(gòu)的報(bào)頭字段中����,并且可以區(qū)別。請(qǐng)注意上述地址包含MAC地址(媒體接入控制地址)和IP地址(網(wǎng)際協(xié)議地址)����。并且,除上述之夕卜��,進(jìn)入端口(入口端口)的數(shù)據(jù)可用于流條目的規(guī)則�。并且,能夠指定表示用正常表達(dá)式和通配符將流示為流條目的規(guī)則的分組的報(bào)頭字段的值的一部分(或全部)的數(shù)據(jù)�����。[0054]流條目的動(dòng)作示出了諸如“向特定端口輸出/傳輸分組”�、“丟棄/丟棄分組(刪除)”以及“重寫分組的報(bào)頭”的操作。例如����,如果在流表的動(dòng)作中示出了輸出端口的識(shí)別數(shù)據(jù)(輸出端口號(hào)等)����,則交換機(jī)(OFS)向?qū)?yīng)于此的端口輸出分組����,并且如果未示出輸出端口的識(shí)別數(shù)據(jù),則交換機(jī)(OFS)丟棄該分組�����?���;蛘撸绻诹鳁l目的動(dòng)作中示出了報(bào)頭數(shù)據(jù)���,則交換機(jī)(OFS)基于報(bào)頭數(shù)據(jù)來重寫分組的報(bào)頭���。[0055]開放流網(wǎng)絡(luò)中的交換機(jī)(OFS)對(duì)符合流條目的規(guī)則的一組分組(一系列分組)執(zhí)行流條目的動(dòng)作。[0056]引用列表[0057]【專利文獻(xiàn)I】JP2008-085470A[0058]【專利文獻(xiàn)2】日本專利4��,362�,132B2[0059]【專利文獻(xiàn)3】JP2000-295274A[0060]【專利文獻(xiàn)4】JP2002-044143A[0061]【專利文獻(xiàn)5】JP2011-166700A[0062]【專利文獻(xiàn)6】JP2007-529135A[0063]【非專利文獻(xiàn)II^OpenFlowswitchSpecificat1n,Vers1n1.1.0lmplemented�,���,,[0064]【在線】2011年2月28日[0065]互聯(lián)網(wǎng)(URL:http://www.0penflowswitch.0rg/documents/openflow-spec-vl.1.0.pdf)【
發(fā)明內(nèi)容】[0066]在本發(fā)明中����,預(yù)先假設(shè)共享托管服務(wù)的環(huán)境,提出了一種解決現(xiàn)有技術(shù)的上述問題的有效方法����。在此類環(huán)境中,可預(yù)期共享主機(jī)和網(wǎng)絡(luò)設(shè)備充分地被相同物質(zhì)(公共管理員)管理��。因此�,容易介紹與從這些設(shè)備配置的閉環(huán)網(wǎng)絡(luò)范圍內(nèi)的常規(guī)技術(shù)不同的連接程序。并且��,可以推測諸如可靠性和數(shù)據(jù)的溢流的問題不會(huì)發(fā)生(或者發(fā)生可能性是非常低的)���,因?yàn)樵陂]環(huán)網(wǎng)絡(luò)范圍內(nèi)的通信設(shè)備之間可以信任��。[0067]本發(fā)明的目的是提供一種網(wǎng)絡(luò)系統(tǒng)�,其中在分組到達(dá)網(wǎng)絡(luò)設(shè)備的時(shí)間執(zhí)行分組傳輸?shù)脑S可或拒絕的確定���,并且當(dāng)分組傳輸被許可時(shí)�,登記流條目,其允許分組到網(wǎng)絡(luò)設(shè)備的傳輸�����。[0068]在常規(guī)技術(shù)中���,需要在分組到達(dá)網(wǎng)絡(luò)設(shè)備之前預(yù)先登記條目�。另一方面�,在本發(fā)明中,在分組到達(dá)網(wǎng)絡(luò)設(shè)備之后登記條目�����。也就是說�����,通過所謂的“按需”來登記條目�����。[0069]根據(jù)本發(fā)明的網(wǎng)絡(luò)系統(tǒng)包括:交換機(jī)����,被配置成基于定義規(guī)則和動(dòng)作以作為流而統(tǒng)一地控制分組的流條目來執(zhí)行接收分組的處理;以及控制器����,被配置成向所述交換機(jī)發(fā)出流條目的登記指令?��?刂破骰诮邮辗纸M的傳輸源的權(quán)限來執(zhí)行確定到達(dá)所述交換機(jī)處的分組的傳輸許可或拒絕的處理�����,并命令所述交換機(jī)當(dāng)分組的傳輸被許可時(shí)登記分組傳輸?shù)牧鳁l目�����。[0070]根據(jù)本發(fā)明的控制包括:向交換機(jī)發(fā)出流條目的登記指令的功能部�����,該交換機(jī)基于定義規(guī)則和動(dòng)作以作為流來統(tǒng)一地控制分組的流條目而執(zhí)行接收分組的處理�;基于分組發(fā)送源用戶對(duì)到達(dá)所述交換機(jī)的分組的權(quán)限而執(zhí)行確定分組傳輸?shù)脑S可或拒絕的處理的功能部����;以及命令所述交換機(jī)當(dāng)分組傳輸被許可時(shí)登記分組傳輸?shù)牧鳁l目的功能部���。[0071]在本發(fā)明的分組認(rèn)證方法中,交換機(jī)基于定義規(guī)則和動(dòng)作以作為流來統(tǒng)一地控制分組的流條目而執(zhí)行接收分組的處理�。控制器基于分組發(fā)送源的權(quán)限來執(zhí)行確定到達(dá)所述交換機(jī)的分組傳輸?shù)脑S可或拒絕的處理���,以及當(dāng)分組的傳輸被許可時(shí)給所述交換機(jī)的分組傳輸?shù)牧鳁l目的登記指令��。[0072]根據(jù)本發(fā)明的程序是使得計(jì)算機(jī)執(zhí)行以下各項(xiàng)的程序:命令交換機(jī)登記流條目���,其中,所述交換機(jī)基于定義規(guī)則和動(dòng)作以作為流而統(tǒng)一地控制分組的流條目來處理接收分組��;執(zhí)行確定到達(dá)所述交換機(jī)的分組的傳輸?shù)脑S可或拒絕的處理����;以及當(dāng)分組的傳輸被許可時(shí),命令所述交換機(jī)登記分組傳輸?shù)牧鳁l目�。請(qǐng)注意,可將根據(jù)本發(fā)明的程序存儲(chǔ)在存儲(chǔ)單元或存儲(chǔ)介質(zhì)中����。【專利附圖】【附圖說明】[0073]圖1是示出了根據(jù)本發(fā)明的網(wǎng)絡(luò)系統(tǒng)的配置示例的圖��。[0074]圖2是示出了流表的初始狀態(tài)的圖。[0075]圖3是示出了認(rèn)證/許可的處理的流的流圖���。[0076]圖4是示出了在具有適當(dāng)權(quán)限的用戶在流表的初始狀態(tài)下嘗試訪問時(shí)的一系列操作的圖�����。[0077]圖5是示出了在流表上登記“傳輸”的流條目的狀態(tài)的圖。[0078]圖6是示出了在不具有適當(dāng)權(quán)限的用戶在“傳輸”的流條目被登記在流表上的狀態(tài)下嘗試訪問時(shí)的一系列操作的圖���。[0079]圖7是示出了“丟棄”的流條目被登記在流表上的狀態(tài)的圖�。[0080]圖8是示出了流表被“丟棄”的許多流條目占用的狀態(tài)的圖�。[0081]圖9是示出了在流表從被“丟棄”的許多流條目占用的狀態(tài)恢復(fù)時(shí)的一系列操作的圖?����!揪唧w實(shí)施方式】[0082]本發(fā)明涉及CU分離型網(wǎng)絡(luò)���。在這種情況下���,將描述作為CU分離型網(wǎng)絡(luò)中的一個(gè)的開放流網(wǎng)絡(luò)作為示例。然而��,本發(fā)明不限于開放流網(wǎng)絡(luò)。[0083]<示例性實(shí)施例>[0084]下面�����,將參考附圖來描述本發(fā)明的示例性實(shí)施例����。[0085](系統(tǒng)配置)[0086]參考圖1,將描述根據(jù)本發(fā)明的網(wǎng)絡(luò)系統(tǒng)的配置示例���。[0087]根據(jù)本發(fā)明的網(wǎng)絡(luò)系統(tǒng)包含控制器(OFC)10��、交換機(jī)(OFS)20��、訪問源主機(jī)30和訪問目的地主機(jī)40�����。[0088]控制器(OFC)10���、交換機(jī)(OFS)20、訪問源主機(jī)30和訪問目的地主機(jī)40中的每一個(gè)都可以是多個(gè)���。[0089]控制器(OFC)10是管理交換機(jī)(OFS)20的控制單元��。[0090]交換機(jī)(OFS)20配置網(wǎng)絡(luò)且是中繼訪問源主機(jī)30與訪問目的地主機(jī)40之間的通信的分組傳輸單元���。在這里��,假設(shè)首先從訪問源主機(jī)30接收分組的輸入側(cè)邊緣交換機(jī)(入口)���。當(dāng)然,可將交換機(jī)(OFS)20配置為多級(jí)結(jié)構(gòu)��。也就是說����,可在交換機(jī)(OFS)20與訪問目的地主機(jī)40之間布置具有與交換機(jī)(OFS)20相同的結(jié)構(gòu)的交換機(jī)(OFS)����。假設(shè)這些交換機(jī)(OFS)由控制器(OFC)10集中地管理。[0091]訪問源主機(jī)30是在具有不同權(quán)限的多個(gè)用戶執(zhí)行登錄或程序以嘗試與訪問目的地主機(jī)40連接時(shí)所使用的共享主機(jī)����。[0092]訪問目的地主機(jī)40是用戶從訪問源主機(jī)30嘗試連接到的目的地主機(jī)。[0093]訪問源主機(jī)30和訪問目的地主機(jī)40執(zhí)行通過交換機(jī)(OFS)20的網(wǎng)絡(luò)通信��。在這種情況下�,訪問源主機(jī)30等效于客戶端終端�����。訪問目的地主機(jī)40等效于服務(wù)器設(shè)備���。為了建立客戶端終端與服務(wù)器設(shè)備之間的TCP連接,客戶端終端向服務(wù)器設(shè)備發(fā)送“SYN分組”��,服務(wù)器設(shè)備答復(fù)客戶端終端以返回“ACK分組”且客戶端終端發(fā)回“ACK分組”��。例如���,訪問源主機(jī)30向訪問目的地主機(jī)40發(fā)送SYN分組�。當(dāng)接收到SYN分組時(shí)���,訪問目的地主機(jī)40答復(fù)ACK分組���。當(dāng)從訪問目的地主機(jī)40接收到ACK分組時(shí),訪問源主機(jī)30向訪問目的地主機(jī)40發(fā)回ACK分組��。請(qǐng)注意���,訪問源主機(jī)30和訪問目的地主機(jī)40不限于客戶端終端和服務(wù)器設(shè)備����,并且可以是不對(duì)應(yīng)于開放流技術(shù)的網(wǎng)絡(luò)設(shè)備。[0094]如上所述���,使用訪問源主機(jī)30的多個(gè)用戶中的每一個(gè)具有不同的權(quán)限��。當(dāng)然��,可存在具有相同權(quán)限的用戶�����。根據(jù)權(quán)限,在使用訪問源主機(jī)30的用戶之中�����,存在對(duì)訪問目的地主機(jī)40的訪問被許可的用戶和對(duì)訪問目的地主機(jī)40的訪問被拒絕的用戶�����。[0095]控制器(OFC)10和交換機(jī)(OFS)20被“安全信道”連接���,其是受到專用線和SSL(安全套接層)保護(hù)的信道��。包括源信道的控制網(wǎng)絡(luò)被稱為“安全信道網(wǎng)絡(luò)”�。控制器(OFC)1和交換機(jī)(OFS)20根據(jù)開放流協(xié)議通過安全信道網(wǎng)絡(luò)來執(zhí)行通信��。在這種情況下�,控制器(OFC)10通過安全信道網(wǎng)絡(luò)與交換機(jī)(OFS)20相連,以從交換機(jī)(OFS)20接收通知并向交換機(jī)(OFS)20發(fā)送指令�。[0096]控制器(OFC)10控制交換機(jī)(OFS)20應(yīng)如何通過將流條目作為對(duì)應(yīng)于每個(gè)分組的路由數(shù)據(jù)操作來處理到達(dá)交換機(jī)(OFS)20的分組。[0097]控制器(OFC)10在交換機(jī)(OFS)20中登記許多流條目���。以稱為“流表”的表格的形式來管理一組流條目���。[0098]交換機(jī)(0FS)20是執(zhí)行分組傳輸?shù)鹊膯卧⑶腋鶕?jù)已經(jīng)登記在其中的流表上的流條目的控制來操作接收到的分組�����。作為在本發(fā)明中執(zhí)行的“分組的操作”��,存在三種操作�����,諸如分組的傳輸、分組的丟棄和給控制器(OFC)10的通知�����。也就是說����,交換機(jī)(OFS)20根據(jù)已經(jīng)登記在流表上的流條目的內(nèi)容來執(zhí)行分組的通過/分組的阻擋/流條目(路線控制請(qǐng)求)的詢問的處理����。[0099]交換機(jī)(OFS)保持至少一個(gè)流表�?�?刂破?OFC)10保持所有與交換機(jī)(OFS)20的流表相同的流表�����。也就是說�����,控制器(OFC)10保持每個(gè)交換機(jī)(OFS)20的流表的主表���。[0100]請(qǐng)注意,短語“保持流表”意指管理流表。如果可以通過網(wǎng)絡(luò)來管理流表�,則不需要將流表實(shí)際上保持在交換機(jī)中。也就是說�,除管理流表的設(shè)備內(nèi)部之外,流表的儲(chǔ)存庫在外面����。例如,可以由控制器(OFC)10和交換機(jī)(OFS)20在網(wǎng)絡(luò)上共享相同的流表�����。[0101]在流表中登記一組流條目��。比較一般網(wǎng)絡(luò)設(shè)備�,其類似于普通路由器和路由條目的路由表,或者防火墻設(shè)備/NAT設(shè)備和單獨(dú)規(guī)則(條目)的一組過濾規(guī)則�。[0102]然而,在開放流的流條目中包含比一般網(wǎng)絡(luò)設(shè)備中的路由條目和規(guī)則更多的數(shù)據(jù)����。例如,包含諸如更復(fù)雜分組匹配條件�����、流條目的超時(shí)時(shí)間或分組的操作數(shù)據(jù)等數(shù)據(jù)。[0103](控制器(OFC)的配置)[0104]接下來����,將描述控制器(OFC)的配置示例。[0105]控制器(OFC)10包括控制器控制部11和訪問拒絕計(jì)數(shù)表12����。[0106]控制器控制部11執(zhí)行開放流網(wǎng)絡(luò)中的控制器(OFC)的處理。并且�,控制器控制部11通過安全信道網(wǎng)絡(luò)來執(zhí)行與交換機(jī)(OFS)20、訪問源主機(jī)30和訪問目的地主機(jī)40的通信和協(xié)作��。[0107]訪問拒絕計(jì)數(shù)表12是存儲(chǔ)用于每個(gè)用戶的訪問許可的失敗次數(shù)(拒絕次數(shù))的存儲(chǔ)區(qū)���?�?捎蓴?shù)據(jù)庫等來實(shí)現(xiàn)訪問拒絕計(jì)數(shù)表12���。[0108](交換機(jī)(OFS)的配置)[0109]接下來,將描述交換機(jī)(OFS)20的配置示例��。[0110]交換機(jī)(OFS)20包括交換機(jī)控制部21和流表22���。[0111]交換機(jī)控制部21執(zhí)行開放流網(wǎng)絡(luò)中的交換機(jī)(OFS)的處理����。并且�,交換機(jī)控制部21通過安全信道網(wǎng)絡(luò)來執(zhí)行與控制器(OFC)10的通信和協(xié)作。并且��,交換機(jī)控制部21通過用戶網(wǎng)絡(luò)與訪問源主機(jī)30和訪問目的地主機(jī)40通信�。[0112]流表22是一組流條目的。在這種情況下���,流表22的每個(gè)記錄是流條目����。流表22可由數(shù)據(jù)庫實(shí)現(xiàn)����。[0113]流條目包含“分組匹配條件”(規(guī)則)、“對(duì)分組的操作”(動(dòng)作)以及“超時(shí)條件”的數(shù)據(jù)�。[0114]交換機(jī)控制部21使用作為“分組匹配條件”的“傳輸源IP地址”、“傳輸源端口號(hào)”���、“目的地IP地址”以及“目的地端口號(hào)”的4個(gè)項(xiàng)目����。[0115]在接收到分組時(shí)基于作為搜索關(guān)鍵字的上述4個(gè)項(xiàng)目交換機(jī)控制部21搜索流表22,并根據(jù)在匹配流條目中指定的“對(duì)分組的操作”來操作分組�����。[0116]請(qǐng)注意���,可以使用各種值作為“超時(shí)條件”����。例如��,使用系統(tǒng)中的公共固定值或根據(jù)系統(tǒng)的使用情況而改變的值(空流條目值)�����。并且�����,可使用流條目顯示出未使用時(shí)間的“空閑時(shí)間”和顯示出從流條目登記起的時(shí)間的“硬時(shí)間”(固定時(shí)間)中的一者或兩者����。[0117]在這種情況下,交換機(jī)控制部21使用“空閑超時(shí)”和“硬超時(shí)”的2個(gè)項(xiàng)目作為流條目的“超時(shí)條件”�。[0118](訪問源主機(jī)的配置)[0119]接下來����,將描述訪問源主機(jī)30的配置示例�����。[0120]訪問源主機(jī)30包括認(rèn)證處理部31和用戶過程執(zhí)行部32�����。[0121]認(rèn)證處理部31執(zhí)行認(rèn)證代理311�����。認(rèn)證代理311是執(zhí)行響應(yīng)于用戶數(shù)據(jù)的詢問而指定用戶并返回指定用戶的用戶數(shù)據(jù)的處理的常駐軟件/程序����。作為用戶數(shù)據(jù)的示例�����,示例諸如用戶ID/帳戶和密碼或用于指定用戶/主機(jī)的某些數(shù)據(jù)的認(rèn)證數(shù)據(jù)����。認(rèn)證代理311具有兩個(gè)功能���。一個(gè)是響應(yīng)于詢問而返回分組發(fā)送用戶的數(shù)據(jù)。另一個(gè)是限制由用戶根據(jù)指令而指定的訪問源主機(jī)30的使用����。并且,認(rèn)證處理部31通過安全信道網(wǎng)絡(luò)來執(zhí)行與控制器(OFC)10的通信和協(xié)作��。[0122]用戶過程執(zhí)行部32執(zhí)行用戶的過程321�。用戶的過程321是嘗試連接到訪問目的地主機(jī)40的服務(wù)的軟件/程序。作為用戶的過程321的示例�����,舉例說明需要訪問控制且可由人類通過使用共享主機(jī)而有意識(shí)地操作的軟件�,類似于將登錄到訪問目的地主機(jī)的遠(yuǎn)程殼(ssKtelnet等)和用于連接到布置在訪問目的地主機(jī)中的數(shù)據(jù)庫的客戶端軟件。并且�,用戶過程執(zhí)行部32通過用戶網(wǎng)絡(luò)與交換機(jī)(OFS)20和訪問目的地主機(jī)40通信。[0123](訪問目的地主機(jī)的配置)[0124]接下來��,將描述訪問目的地主機(jī)40的配置示例�。[0125]訪問目的地主機(jī)40包括許可處理部41和服務(wù)執(zhí)行部42。[0126]許可處理部41執(zhí)行許可代理411�。許可代理411是執(zhí)行響應(yīng)于訪問的許可或拒絕的詢問而基于用戶數(shù)據(jù)來確定訪問的許可或拒絕的詢問并返回確定結(jié)果的處理的常駐軟件/程序。許可代理411的作用是根據(jù)詢問而返回用戶進(jìn)行的訪問的許可或拒絕的確定結(jié)果。并且�,許可處理部41通過安全信道網(wǎng)絡(luò)來執(zhí)行與控制器(OFC)10的通信和協(xié)作。[0127]服務(wù)執(zhí)行部42執(zhí)行服務(wù)421�����。服務(wù)421是在與用戶的過程321建立連接之后通過網(wǎng)絡(luò)來提供某些功能的軟件/程序��。作為服務(wù)321的示例�����,舉例說明安裝在服務(wù)器上的應(yīng)用和群組件及構(gòu)建在服務(wù)器上的虛擬機(jī)(VM)��。并且��,服務(wù)執(zhí)行部42通過用戶網(wǎng)絡(luò)與交換機(jī)(OFS)20和訪問源主機(jī)30通信�����。[0128](認(rèn)證和許可之間的差異)[0129]在本發(fā)明中����,“認(rèn)證”意指用戶的身份/來源的澄清��。并且,“許可”意指用戶的動(dòng)作(連接)是否得到許可的確定��。[0130](主機(jī)配置的一般化)[0131]請(qǐng)注意����,訪問源主機(jī)30和訪問目的地主機(jī)40可具有相同配置。例如����,可使用具有全部的認(rèn)證處理部31、用戶過程執(zhí)行部32��、許可處理部41和服務(wù)執(zhí)行部42的主機(jī)設(shè)備作為訪問源主機(jī)30和訪問目的地主機(jī)40��。[0132](流表的初始狀態(tài))[0133]參考圖2�����,將描述流表22的初始狀態(tài)���。[0134]在初始狀態(tài)下只有一個(gè)流條目(默認(rèn)條目)被登記在流表22上���。[0135]流條目(默認(rèn)條目)包含“分組匹配條件”(規(guī)則)、“對(duì)分組的操作”(動(dòng)作)以及“超時(shí)條件”的數(shù)據(jù)����。[0136]在分組匹配條件的4個(gè)項(xiàng)目中指定的示出可選數(shù)據(jù)的通配符(“傳輸源IP地址”�����、“傳輸源端口號(hào)”�����、“目的地IP地址”以及“目的地端口號(hào)”)�����。[0137]將“給控制器的通知”的操作被指定為對(duì)分組的操作。[0138]在超時(shí)條件的2個(gè)項(xiàng)目(“空閑超時(shí)”和“硬超時(shí)”)中指定“否”����。也就是說,不指定任何東西�����。[0139]在初始狀態(tài)下�����,到達(dá)交換機(jī)(OFS)20(可選分組)的所有分組都始終與流條目(默認(rèn)條目)匹配。因此���,在初始狀態(tài)下�����,交換機(jī)(OFS)20將所有到達(dá)分組(可選分組)通知給控制器(OFS)10����。[0140]在流條目中����,可在符合開放流協(xié)議的規(guī)范和表格中指定優(yōu)先級(jí)。雖然未示出���,但最低等級(jí)的優(yōu)先級(jí)被分配給該流條目(默認(rèn)條目)�。當(dāng)不存在與已到達(dá)交換機(jī)(OFS)20的分組匹配的任何其它流條目時(shí)��,此流條目(默認(rèn)條目)被施加于分組�。當(dāng)從控制器(OFS)1登記一個(gè)流條目且存在匹配流條目時(shí),將另一匹配流條目施加于分組����,因?yàn)榫哂懈哂谠摿鳁l目(默認(rèn)條目)的等級(jí)的優(yōu)先級(jí)被分配給所述另一匹配流條目��。[0141](認(rèn)證/許可處理)[0142]參考圖3�,將描述本發(fā)明中的認(rèn)證/許可的處理的流程�。[0143]在本發(fā)明中,“按需”登記流條目以通過使得控制器(OFC)1和交換機(jī)(0FS)20協(xié)作來實(shí)現(xiàn)分組傳輸和訪問控制���。[0144](I)步驟SlOl[0145]當(dāng)接收到第一分組時(shí)���,交換機(jī)(0FS)20向控制器(OFC)10通知。請(qǐng)注意�����,第一分組是未知分組���,其中不存在除交換機(jī)(OFS)20的流表22中的默認(rèn)條目之外匹配的流條目。[0146]⑵步驟SlO2[0147]控制器(OFC)10詢問被通知給訪問源主機(jī)30和訪問目的地主機(jī)40的分組并執(zhí)行認(rèn)證/許可����。[0148]⑶步驟SlO3[0149]控制器(OFC)10基于認(rèn)證/許可的結(jié)果來確定流條目的內(nèi)容并命令交換機(jī)(OFS)20將流條目登記在流表上。[0150](4)步驟S104[0151]交換機(jī)(0FS)20當(dāng)在流條目的登記之后接收到相同類型的分組時(shí)根據(jù)流條目的內(nèi)容來操作相同類型的分組(執(zhí)行其傳輸/丟棄)����。[0152](5)步驟SlO5[0153]交換機(jī)(OFS)20在已經(jīng)發(fā)生流條目的超時(shí)時(shí)刪除該流條目�。[0154]請(qǐng)注意��,交換機(jī)(OFS)20當(dāng)再次地在流條目的刪除之后接收到相同類型的分組時(shí)執(zhí)行(I)步驟SlOl和后續(xù)步驟的處理���。即使分組是相同類型的���,這是因?yàn)榉纸M在流條目的刪除之后再次地返回第一分組。[0155]并且����,交換機(jī)具有由重復(fù)未授權(quán)訪問的用戶限制使用的功能,以免交換機(jī)(0FS)20的流條目由于DoS攻擊(服務(wù)拒絕攻擊)而缺乏�����。[0156]作為DoS攻擊的一般攻擊的“SYN泛洪”攻擊是將通過攻擊者在半途狀態(tài)停止TCP連接的程序而使得服務(wù)器的資源缺乏的攻擊����。作為上述方法,為了在客戶端與服務(wù)器之間建立TCP連接�����,需要執(zhí)行適當(dāng)?shù)某绦?���,其中客戶端向服?wù)器發(fā)送“SYN分組”�����,服務(wù)器向客戶端答復(fù)“ACK分組”且最后客戶端向服務(wù)器發(fā)回ACK分組�。直至最后的ACK分組到達(dá)之前��,服務(wù)器在“等待答復(fù)”的狀態(tài)下等待�����,并且不能使得資源�、諸如準(zhǔn)備用于連接自由的存儲(chǔ)區(qū)。如果具有惡意的攻擊者發(fā)送巨量的SYN分組并離開而不故意地發(fā)送ACK分組���,則在服務(wù)器一側(cè)的“答復(fù)等待狀態(tài)”中的連接數(shù)目超過限制�,使得不能新接收連接��。[0157](特定實(shí)例)[0158]在以下三個(gè)情況中將描述特定操作:[0159](A)訪問許可(“傳輸”的流條目的登記)�����,[0160](B)訪問拒絕(“丟棄”的流條目的登記)����,以及[0161](C)未認(rèn)證用戶的使用限制(“丟棄”的流條目的刪除)。[0162](A)訪問許可(“傳輸”的流條目的登記)[0163]首先��,將描述接收到應(yīng)許可訪問的分組時(shí)的操作�����。[0164]參考圖4����,將描述在具有適當(dāng)權(quán)限的用戶在圖2中所示的初始狀態(tài)下嘗試訪問流表22時(shí)的一系列操作。[0165](I)步驟SlOl[0166]訪問源主機(jī)30的用戶過程執(zhí)行部32執(zhí)行用戶的過程321并向交換機(jī)(OFS)20發(fā)送分組以嘗試與訪問目的地主機(jī)40的通信��。[0167](2)步驟S202[0168]交換機(jī)(OFS)20的交換機(jī)控制部21在從訪問源主機(jī)30接收到分組時(shí)搜索流表22����,以確定與該分組匹配的流條目。在這種情況下����,與分組匹配的流條目是具有用于分組匹配條件的每個(gè)項(xiàng)目的通配符且其中對(duì)分組的操作是“給控制器的通知”的流條目(默認(rèn)條目),如圖2中所示�����。[0169]⑶步驟S2O3[0170]交換機(jī)(OFS)20的交換機(jī)控制部21根據(jù)流條目(默認(rèn)條目)將分組通知給控制器(OFC)10。這時(shí)��,交換機(jī)(OFS)20的交換機(jī)控制部21將分組的拷貝傳輸至控制器(OFC)10并中止分組本身�。[0171](4)步驟S204[0172]控制器(OFC)10的控制器控制部11向作為被通知分組的源的訪問源主機(jī)30詢問用戶數(shù)據(jù)。用戶數(shù)據(jù)的詢問被給定分組的傳輸源端口號(hào)�。[0173](5)步驟S205[0174]訪問源主機(jī)30的認(rèn)證處理部31指定用戶的過程321,其在接收到用戶數(shù)據(jù)的詢問時(shí)基于分組的傳輸源端口號(hào)通過認(rèn)證代理311的操作而發(fā)送分組�����,并向控制器(OFC)1返回已執(zhí)行指定過程的用戶的用戶數(shù)據(jù)�����。[0175](6)步驟S2O6[0176]控制器(OFC)10的控制器控制部11向作為分組目的地的訪問目的地主機(jī)40詢問訪問的許可或拒絕���。向訪問的許可或拒絕的詢問提供用戶數(shù)據(jù)����。[0177](7)步驟S207[0178]訪問目的地主機(jī)40的許可處理部41在接收到訪問的許可或拒絕的詢問時(shí)通過許可代理411的操作基于用戶數(shù)據(jù)來確定訪問的許可或拒絕����,并向控制器(OFC)10返回結(jié)果。在這種情況下����,訪問目的地主機(jī)40的許可處理部41確定“訪問許可”并向控制器(OFC)1返回“訪問許可”的數(shù)據(jù)。[0179](8)步驟S208[0180]控制器(OFC)10的控制器控制部11在接收到“訪問許可”的數(shù)據(jù)時(shí)命令交換機(jī)(OFS)20登記“傳輸”的流條目�����。[0181](9)步驟S2O9[0182]交換機(jī)(OFC)20的交換機(jī)控制部21響應(yīng)于來自控制器(OFC)10的指令而在流表22上登記“傳輸”的流條目��,并且向控制器(OFC)10通知“傳輸”的流條目的登記已成功(完成)�����。[0183]在這里�����,流表22變成如圖5中所示的狀態(tài)�����。被登記在流表22上的“傳輸”的流條目的內(nèi)容如下��。[0184](I)分組匹配條件:[0185]“傳輸源IP地址”=“XI”(接收到訪問許可的訪問源主機(jī)的IP地址)[0186]“傳輸源端口號(hào)”=“X2”(接收到訪問許可的訪問源主機(jī)的端口號(hào))[0187]“目的地IP地址”=“X3”(接收到訪問許可的訪問目的地主機(jī)的IP地址)[0188]“目的地端口號(hào)”=“X4”(接收到訪問許可的訪問目的地主機(jī)的端口號(hào))[0189](2)對(duì)分組的操作:[0190]“動(dòng)作”=“傳輸”(從訪問源主機(jī)到訪問目的主機(jī)的傳輸分組)[0191](3)超時(shí)條件[0192]“空閑超時(shí)”=“P1”(其間“傳輸”流條目未使用的時(shí)間)[0193]“硬超時(shí)”=“P2”(從“傳輸”流條目被登記時(shí)開始的時(shí)間)[0194](10)步驟S210[0195]控制器(OFC)10的控制器控制部11命令交換機(jī)(OFS)20在登記流條目之后傳輸被通知分組�。[0196](11)步驟S211[0197]交換機(jī)(OFS)20的交換機(jī)控制部21響應(yīng)于來自控制器(OFC)10的指令而將中止的分組傳輸至訪問目的地主機(jī)40。[0198]這樣,建立了用戶的過程321與服務(wù)421之前的連接��。[0199]然后��,當(dāng)接收到連接的分組時(shí)�,交換機(jī)(OFS)20的交換機(jī)控制部21根據(jù)登記在流表22上的流條目的內(nèi)容來傳輸分組。[0200]交換機(jī)(OFS)20的交換機(jī)控制部21在離開的超時(shí)條件中指定的時(shí)間之后在流條目的超時(shí)已發(fā)生時(shí)從流表22刪除相應(yīng)流條目����。[0201]當(dāng)交換機(jī)(0FS)20的交換機(jī)控制部21再次地在刪除流條目之后接收連接的分組時(shí),再一次地通過上述操作來執(zhí)行流條目登記/分組傳輸�����,因?yàn)檫B接的分組是第一分組��。[0202]并且��,為什么能夠安全地執(zhí)行用戶數(shù)據(jù)的詢問/返回的處理的原因是訪問源主機(jī)30是如上所述的共享主機(jī)�����。[0203]在這種情況下��,假設(shè)控制器(OFC)10和訪問源主機(jī)30在相同物質(zhì)(公共管理員)下被充分地管理����。在這種情況下��,可以認(rèn)為控制器(OFC)10和訪問源主機(jī)30可以相互信任���,使得不存在諸如用戶數(shù)據(jù)的偽裝和溢流的問題��。[0204](B)訪問拒絕(“丟棄”的流條目的登記)[0205]接下來��,將描述當(dāng)接收到應(yīng)拒絕訪問的分組時(shí)的操作���。[0206]參考圖6��,將描述在不具有適當(dāng)權(quán)限的用戶在“傳輸”的流條目被登記在流表上的狀態(tài)(如圖5中所示的狀態(tài))下嘗試訪問時(shí)的一系列操作���。[0207](I)步驟S301[0208]訪問源主機(jī)30的用戶過程執(zhí)行部32執(zhí)行用戶的過程321并向交換機(jī)(OFS)20發(fā)送分組以嘗試與訪問目的地主機(jī)40的通信。[0209](2)步驟S:302[0210]交換機(jī)(OFS)20的交換機(jī)控制部21在從訪問源主機(jī)30接收到分組時(shí)在流表22中搜索與分組匹配的流條目�����。在這種情況下���,與分組匹配的流條目是其中匹配條件的每個(gè)項(xiàng)目是如圖2中所示示出了選項(xiàng)的通配符且對(duì)分組的操作是“給控制器的通知”的流條目(默認(rèn)條目)��。[0211]⑶步驟S3O3[0212]交換機(jī)(OFS)20的交換機(jī)控制部21根據(jù)流條目(默認(rèn)條目)將分組通知給控制器(OFC)10����。這時(shí),交換機(jī)(OFS)20的交換機(jī)控制部21將分組的拷貝傳輸至控制器(OFC)10并中止分組本身���。[0213](4)步驟S:304[0214]控制器(OFC)10的控制器控制部11向在被通知分組的傳輸源側(cè)的訪問源主機(jī)30詢問用戶數(shù)據(jù)��。向用戶數(shù)據(jù)的詢問分配分組的傳輸源端口號(hào)��。[0215](5)步驟S305[0216]訪問源主機(jī)30的認(rèn)證處理部31指定用戶的過程321�,其在接收到用戶數(shù)據(jù)的詢問時(shí)基于分組的傳輸源端口號(hào)通過認(rèn)證代理311的操作而發(fā)送分組�,并向控制器(OFC)1返回執(zhí)行指定過程的用戶的用戶數(shù)據(jù)。[0217](6)步驟S306[0218]控制器(OFC)10的控制器控制部11向作為分組目的地的訪問目的地主機(jī)40詢問訪問的許可或拒絕�。向訪問的許可或拒絕的詢問分配用戶數(shù)據(jù)。[0219]在這里的操作與“A”訪問許可的情況相同(“傳輸”的流條目的登記)�����。[0220](7)步驟S307[0221]訪問目的地主機(jī)40的許可處理部41在接收到訪問的許可或拒絕的詢問時(shí)通過許可代理411的操作基于用戶數(shù)據(jù)來確定訪問的許可或拒絕����,并向控制器(OFC)10返回結(jié)果。在這種情況下���,訪問目的地主機(jī)40的許可處理部41確定為“訪問拒絕”并向控制器(OFC)10返回“訪問拒絕”的數(shù)據(jù)��。[0222](8)步驟S308[0223]控制器(OFC)10的控制器控制部11參考訪問拒絕計(jì)數(shù)表12以在接收到“訪問拒絕”的數(shù)據(jù)時(shí)向指示訪問許可的失敗的拒絕的次數(shù)添加數(shù)據(jù)�����。也就是說�����,控制器(OFC)10的控制器控制部11將用戶的拒絕次數(shù)求和��。此外��,控制器(OFC)10的控制器控制部11參考訪問拒絕計(jì)數(shù)表12并將用戶的拒絕次數(shù)與預(yù)定允許值相比較���。在這種情況下,假設(shè)用戶的拒絕次數(shù)在允許值內(nèi)�。[0224](9)步驟S3O9[0225]控制器(OFC)1的控制器控制部11發(fā)出在交換機(jī)(OFS)20中的“丟棄”的流條目的登記指令。[0226](10)步驟S310[0227]交換機(jī)(OFC)20的交換機(jī)控制部21響應(yīng)于來自控制器(OFC)10的指令而在流表22上登記“丟棄”的流條目����,并且向控制器(OFC)10通知“丟棄”的流條目的登記已成功(完成)。[0228]在這里����,流表22變成如圖7中所示的狀態(tài)��。已經(jīng)被登記在流表22上的“丟棄”的流條目的內(nèi)容如下�。[0229](I)分組匹配條件:[0230]“傳輸源IP地址”=“Y1”(訪問源主機(jī)的IP地址���,由其進(jìn)行的訪問已被拒絕)[0231]“傳輸源端口號(hào)”=“Y2”(訪問源主機(jī)的端口號(hào)����,由其進(jìn)行的訪問已被拒絕)[0232]“目的地IP地址”=“Y3”(已拒絕訪問的訪問目的地主機(jī)的IP地址)[0233]“目的地端口號(hào)”=“Y4”(已拒絕訪問的訪問目的地主機(jī)的端口號(hào))[0234](2)對(duì)分組的操作:[0235]“動(dòng)作”=“丟棄”(丟棄從訪問源主機(jī)到訪問目的主機(jī)的分組)[0236](3)超時(shí)條件[0237]“空閑超時(shí)”=“Q1”(其間“丟棄”的流條目未使用的時(shí)間)[0238]“硬超時(shí)”=“Q2”(從“丟棄”的流條目的登記開始的時(shí)間)[0239]在這種情況下�,向“傳輸”的流條目分配高于“丟棄”的流條目的優(yōu)先級(jí)。然而�,實(shí)際上,可向“丟棄”的流條目分配高于“傳輸”的流條目的優(yōu)先級(jí)�。這是因?yàn)榇嬖谶@樣的情況,其中�����,當(dāng)在必須有認(rèn)證的環(huán)境中執(zhí)行通信時(shí)重要性在分組的“丟棄”(阻擋)中比在“傳輸”(通過)中更高�。[0240](11)步驟S311[0241]控制器(OFC)10的控制器控制部11命令交換機(jī)(OFS)20在登記流條目之后丟棄被通知分組。[0242](12)步驟S312[0243]交換機(jī)(OFS)20的交換機(jī)控制部21響應(yīng)于來自控制器(OFC)10的指令而丟棄中止的分組��。[0244]然后�����,交換機(jī)(OFS)20的交換機(jī)控制部21根據(jù)登記在流表22上的流條目的內(nèi)容而接收連接的分組并丟棄。[0245]交換機(jī)(OFS)20的交換機(jī)控制部21在超時(shí)條件中所指定的時(shí)間過去且然后已發(fā)生流條目的超時(shí)時(shí)從流表22刪除流條目��。[0246]當(dāng)交換機(jī)(OFS)20的交換機(jī)控制部21再次地在刪除流條目之后接收連接的分組���,再一次地在上述操作中執(zhí)行流條目登記/分組丟棄����,因?yàn)檫B接的分組是第一分組���。[0247](C)限制由非正義用戶的使用(“丟棄”的流條目的刪除)[0248]接下來,將描述重復(fù)未授權(quán)訪問時(shí)的操作��。[0249]當(dāng)在不同的匹配條件下重復(fù)未授權(quán)訪問時(shí)�����,如圖8中所示用“丟棄”的許多流條目占用流表22����。[0250]參考圖9,將描述從“丟棄”的許多流條目占用的狀態(tài)恢復(fù)流表22時(shí)的一系列操作��。[0251](I)步驟S401[0252]訪問源主機(jī)30的用戶過程執(zhí)行部32執(zhí)行用戶的過程321并向交換機(jī)(OFS)20發(fā)送分組以嘗試與訪問目的地主機(jī)40的通信。[0253](2)步驟S402[0254]交換機(jī)(OFS)20的交換機(jī)控制部21在從訪問源主機(jī)30接收到分組時(shí)在流表22中搜索與分組匹配的流條目�。在這里,與分組匹配的流條目是其中匹配條件的每個(gè)項(xiàng)目是如圖2中所示示出了選項(xiàng)的通配符且對(duì)分組的操作是“給控制器的通知”的流條目(默認(rèn)條目)���,并且匹配條件的每個(gè)項(xiàng)目是將示出選項(xiàng)的的通配符�,如圖2中所示�。[0255](3)步驟S403[0256]交換機(jī)(OFS)20的交換機(jī)控制部21根據(jù)流條目(默認(rèn)條目)將分組通知給控制器(OFC)10。這時(shí)����,交換機(jī)(OFS)20的交換機(jī)控制部21將分組的拷貝傳輸至控制器(OFC)10并中止分組本身。[0257](4)步驟S404[0258]控制器(OFC)10的控制器控制部11向作為被通知分組的源的訪問源主機(jī)30詢問用戶數(shù)據(jù)����。向用戶數(shù)據(jù)的詢問給定分組的傳輸源端口號(hào)。[0259](5)步驟S405[0260]訪問源主機(jī)30的認(rèn)證處理部31指定用戶的過程321����,其在接收到用戶數(shù)據(jù)的詢問時(shí)基于分組的傳輸源端口號(hào)通過認(rèn)證代理311的操作而發(fā)送分組,并向控制器(OFC)1返回執(zhí)行用戶的過程321的用戶的用戶數(shù)據(jù)���。[0261](6)步驟S406[0262]控制器(OFC)10的控制器控制部11向作為分組目的地的訪問目的地主機(jī)40詢問訪問的許可或拒絕���。向訪問的許可或拒絕的詢問給定用戶數(shù)據(jù)����。[0263](7)步驟S407[0264]訪問目的地主機(jī)40的許可處理部41在接收到訪問的許可或拒絕的詢問時(shí)通過許可代理411的操作基于用戶數(shù)據(jù)來確定訪問的許可或拒絕���,并向控制器(OFC)10返回結(jié)果�����。在這種情況下���,訪問目的地主機(jī)40的許可處理部41確定為“訪問拒絕”并向控制器(OFC)10返回“訪問拒絕”的數(shù)據(jù)。[0265]在這里的步驟與“(B)訪問的拒絕(“丟棄”的流條目的登記)”的情況相同����。[0266](8)步驟S408[0267]控制器(OFC)10的控制器控制部11參考訪問拒絕計(jì)數(shù)表12以在接收到“訪問拒絕”的數(shù)據(jù)時(shí)向訪問許可中的失敗次數(shù)添加值。也就是說�,控制器(OFC)10的控制器控制部11將用戶的拒絕次數(shù)加和���。此外�����,控制器(OFC)10的控制器控制部11參考訪問拒絕計(jì)數(shù)表12并將用戶的拒絕次數(shù)與預(yù)定允許值相比較�。在這種情況下,假設(shè)用戶的拒絕次數(shù)達(dá)到允許值/超過允許值�。[0268](9)步驟S409[0269]控制器(OFC)10的控制器控制部11命令訪問源主機(jī)30通過使用訪問源主機(jī)30是共享主機(jī)來執(zhí)行對(duì)用戶的使用限制。該使用限制是然后限制非正義訪問的動(dòng)作����。例如,舉例說明要被迫地結(jié)束用戶的過程321以及要抑制用戶的新的登錄和過程執(zhí)行���。并且�����,可以根據(jù)用戶的過程321來抑制應(yīng)用本身�。[0270](10)步驟S410[0271]訪問源主機(jī)30的認(rèn)證代理311響應(yīng)于來自控制器(OFC)10的指令而執(zhí)行用戶的使用限制���。假設(shè)訪問源主機(jī)30的認(rèn)證代理311在與控制器(OFC)10和交換機(jī)(OFS)20相同的物質(zhì)(公共管理器以便安全地對(duì)用戶執(zhí)行使用限制�。也就是說��,控制器(OFC)10和交換機(jī)(OFS)20的管理器具有與訪問源主機(jī)30的管理器相同的用戶權(quán)限����。并且,假設(shè)在僅對(duì)訪問源主機(jī)30的管理器許可的特權(quán)用戶權(quán)限中執(zhí)行訪問源主機(jī)30的認(rèn)證代理311。[0272](11)步驟S411[0273]控制器(OFC)10的控制器控制部11發(fā)出刪除通過由用戶的過程321進(jìn)行的訪問而登記在交換機(jī)(OFS)20上的“丟棄”的流條目的指令�����。請(qǐng)注意當(dāng)在不同的匹配條件下重復(fù)未授權(quán)訪問時(shí)��,針對(duì)通過未授權(quán)訪問登記的“丟棄”的每個(gè)流條目發(fā)出刪除指令�。[0274](12)步驟S42[0275]交換機(jī)(OFC)20的交換機(jī)控制部21響應(yīng)于來自控制器(OFC)10的指令而在流表22中刪除“丟棄”的流條目,并且向控制器(OFC)10通知“丟棄”的流條目的刪除已成功(完成)����。[0276](13)步驟S413[0277]控制器(OFC)10的控制器控制部11命令交換機(jī)(OFS)20在登記流條目之后丟棄被通知分組。[0278](14)步驟S414[0279]交換機(jī)(OFS)20的交換機(jī)控制部21響應(yīng)于來自控制器(OFC)10的指令丟棄中止的分組���。[0280]因此��,流表22再次地變成如圖5中所示的狀態(tài)且能夠避免流條目的上溢����。[0281]<本發(fā)明的特征>[0282]如上所述����,在本發(fā)明中��,能夠在分組作為連接目的地到達(dá)服務(wù)器之前使得以連接為單位的訪問控制成為可能。例如�,在SYN分組傳輸時(shí),通過對(duì)傳輸源用戶和程序進(jìn)行認(rèn)證/許可來確定分組傳輸?shù)脑S可或拒絕���。[0283]此外�,在本發(fā)明中����,由于訪問源主機(jī)(共享主機(jī))的管理器與控制器(OFC)和交換機(jī)(OFS)的管理器相同,所以可以將從訪問源主機(jī)(共享主機(jī))獲得的用戶認(rèn)證的數(shù)據(jù)用于網(wǎng)絡(luò)的訪問控制����。[0284]并且,與常規(guī)技術(shù)相比��,在本發(fā)明中存在以下優(yōu)點(diǎn)��。[0285](I)用戶/應(yīng)用的連接程序不需要從一般程序改變[0286]在本發(fā)明中�,在沒有用戶/應(yīng)用的意識(shí)的情況下自動(dòng)地執(zhí)行分組的認(rèn)證/許可。因此�����,不需要針對(duì)分組的認(rèn)證/許可而改變用戶/應(yīng)用的連接程序�����。[0287](2)沒有同時(shí)連接的連接數(shù)目方面的約束[0288]由于即使存在連接也刪除流條目,所以交換機(jī)(OFS)中的流表中的流條目的數(shù)目從不受約束���。并且���,如果即使流條目被刪除也新接收分組,則再次地登記流條目�。因此,不存在諸如通信變得不可能的問題��。[0289](3)適合于大規(guī)模多級(jí)配置[0290]當(dāng)交換機(jī)(OFS)被配置成具有多級(jí)配置時(shí)����,在控制器(OFC)下面布置多個(gè)交換機(jī)(OFS)就足夠了。由于能夠同時(shí)地連接比交換機(jī)(OFS)的流表中的流條目的數(shù)目更多的連接�����,所以可以應(yīng)對(duì)其中路線集中于特定單元中的網(wǎng)絡(luò)配置�����。[0291]<用于效率的規(guī)范變化>[0292]在本發(fā)明的示例性實(shí)施例的描述中���,已描述了基本操作以闡明本發(fā)明的要點(diǎn)���。然而,認(rèn)證/許可的操作僅僅是示例�,并且可選擇各種其它方法。[0293]當(dāng)將本發(fā)明應(yīng)用于實(shí)際系統(tǒng)時(shí)��,減少用于認(rèn)證/許可的處理時(shí)間是重要的����。因此,如下舉例說明執(zhí)行改變/功能添加/功能切換����。[0294](I)從認(rèn)證效率的觀點(diǎn)出發(fā)[0295]當(dāng)發(fā)送SYN分組以嘗試連接時(shí),訪問源主機(jī)將用戶的數(shù)據(jù)添加到SYN分組���?�?刂破?OF)基于添加的數(shù)據(jù)來識(shí)別用戶���。[0296](2)從許可效率的觀點(diǎn)出發(fā)[0297]控制器(OFC)將從訪問目的地主機(jī)返回的許可結(jié)果保存在高速緩存器(高速緩存器)。然后�,通過參考高速緩存器來確定分組傳輸?shù)脑S可或拒絕��。因此����,能夠基本上減少從控制器(OFC)到訪問源主機(jī)訪問目的地主機(jī)的詢問的機(jī)會(huì)/次數(shù)����。[0298]或者,不在訪問目的地主機(jī)中布置許可代理��,而是替代地���,控制器(OFC)具有等效于許可代理的功能����。也就是說���,控制器(OFC)基于來自訪問源主機(jī)的用戶數(shù)據(jù)來確定訪問的許可或拒絕����。因此����,不需要從控制器(OFC)到訪問目的地主機(jī)的詢問�。[0299]通過這些改變���,在根據(jù)本發(fā)明的網(wǎng)絡(luò)系統(tǒng)中�����,將可以獲得與僅用交換機(jī)(OFS)和控制器(OFC)構(gòu)建的普通開放流網(wǎng)絡(luò)系統(tǒng)相同的處理速度。舉例說明各種改變/改善/應(yīng)用�。[0300](3)從處理時(shí)間的效率的觀點(diǎn)出發(fā)[0301]在由用戶/規(guī)則例程進(jìn)行連接生成(分組傳輸)/登錄時(shí),訪問源主機(jī)將用戶數(shù)據(jù)通知給控制器(OFC)��。因此�����,控制器(OFC)不需要向訪問源主機(jī)詢問����。[0302]或者,當(dāng)訪問源主機(jī)嘗試到訪問目的地主機(jī)的連接時(shí)�����,控制器(OFC)從訪問源主機(jī)接收具有用戶數(shù)據(jù)的SYN分組���。例如�,當(dāng)嘗試到訪問目的地主機(jī)的連接時(shí),訪問源主機(jī)始終通過認(rèn)證代理的操作向控制器(OFC)發(fā)送SYN分組和用戶數(shù)據(jù)���?���?刂破?OFC)基于來自訪問源主機(jī)的SYN分組來計(jì)算路線�,基于來自訪問源主機(jī)的用戶數(shù)據(jù)來執(zhí)行認(rèn)證的處理,并且當(dāng)訪問被許可時(shí)��,控制器(OFC)命令所計(jì)算路線上的交換機(jī)(OFS)登記“傳輸”的流條目�。請(qǐng)注意,關(guān)于認(rèn)證的處理����,將用戶數(shù)據(jù)通知給訪問目的地主機(jī)且控制器(OFC)本身可執(zhí)行訪問的許可或拒絕的詢問。因此�����,不需要從交換機(jī)(OFS)接收第一分組的通知����。[0303]并且����,當(dāng)交換機(jī)(OFS)具有多級(jí)配置(在該路線上存在多個(gè)交換機(jī)(OFS))時(shí)���,控制器(OFC)高速緩存分組的認(rèn)證/許可結(jié)果以便為來自路線上的隨后交換機(jī)(OFS)的通知做準(zhǔn)備����。如果存在來自隨后交換機(jī)(OFS)的通知時(shí)����,控制器(OFC)命令交換機(jī)(OFS)基于分組的認(rèn)證/許可的高速緩存結(jié)果而登記流條目�����。[0304]或者�����,當(dāng)交換機(jī)(OFS)具有多級(jí)配置且從一個(gè)交換機(jī)(OFS)通知未知分組時(shí)�����,控制器(OFC)立即命令該路線上的每個(gè)交換機(jī)(OFS)登記流條目而不高速緩存分組的認(rèn)證/許可的結(jié)果。[0305](4)從流條目的刪除/流表的資源恢復(fù)的觀點(diǎn)出發(fā)[0306]在連接切斷的時(shí)間���,交換機(jī)(OFS)在檢測到來自訪問源主機(jī)的FIN分組時(shí)刪除連接的流條目����。[0307]或者�����,控制器(OFC)監(jiān)視交換機(jī)(OFS)的流表的空房間����,當(dāng)檢測到/確定流表的空房間的減少時(shí)從控制器(OFC)向交換機(jī)(OFS)發(fā)出刪除流條目的指令,并確?��?辗块g的所需數(shù)目�����。[0308]此外�����,當(dāng)流條目的登記由于缺少交換機(jī)(OFS)的流表的空房間而失敗時(shí)����,控制器(OFC)發(fā)出從在該點(diǎn)處具有最低使用頻率的流條目進(jìn)行刪除的指令,直至能夠充分地確保流表的空房間為止�。[0309]并且,當(dāng)交換機(jī)(OFS)的流表的空房間減少時(shí)��,控制器(OFC)減小拒絕次數(shù)的允許值����,并加速流表的刪除/流表的資源恢復(fù)。[0310]請(qǐng)注意����,當(dāng)“丟棄”的流條目進(jìn)入超時(shí)狀態(tài)時(shí),控制器(OFC)可對(duì)用戶的拒絕次數(shù)做減法����。[0311](5)從許可條件的觀點(diǎn)出發(fā)[0312]向許可條件添加諸如“免費(fèi)的存在或不存在”���、“收費(fèi)過程”以及“訪問目的地的負(fù)荷情況”的條件����。[0313](6)從配置的觀點(diǎn)出發(fā)[0314]使得安全信道網(wǎng)絡(luò)(控制網(wǎng)絡(luò))和用戶網(wǎng)絡(luò)為公共的��。例如,訪問源主機(jī)和訪問目的地主機(jī)可通過交換機(jī)(OFS)與控制器(OFC)通信����。[0315]請(qǐng)注意,可將上述操作組合����。[0316]<本發(fā)明的要點(diǎn)>[0317](I)按需的分組認(rèn)證/許可;[0318](2)使用狀態(tài)下的流條目的刪除���;以及[0319](3)共享主機(jī)的連接源(訪問源主機(jī))[0320]<硬件的舉例說明>[0321]將描述用以實(shí)現(xiàn)根據(jù)本發(fā)明的網(wǎng)絡(luò)系統(tǒng)的特定硬件的示例�����。[0322]作為控制器(OFC)的示例�,采取訪問源主機(jī)和訪問目的地主機(jī)����、諸如PC(個(gè)人計(jì)算機(jī))的計(jì)算機(jī)、電器��、用于薄客戶端的服務(wù)器����、工作站�、主機(jī)以及超級(jí)計(jì)算機(jī)�。并且,舉例說明訪問源主機(jī)和訪問目的地主機(jī)的另一示例�、IP電話、便攜式電話��、智能電話�����、智能書�、汽車導(dǎo)航系統(tǒng)、攜帶型游戲機(jī)��、家用游戲機(jī)�����、攜帶型音樂播放器���、手持終端、小配件(電子設(shè)備)����、交互式TV���、數(shù)字調(diào)諧器、數(shù)字記錄儀���、信息家用器械��、0A(辦公室自動(dòng)化)設(shè)備�����、店面終端和高功能復(fù)印機(jī)��、數(shù)字標(biāo)志等���。請(qǐng)注意,除終端和服務(wù)器之外����,控制器(OFC)、訪問源主機(jī)和訪問目的地主機(jī)也可以是中繼設(shè)備和外部設(shè)備�。并且,控制器(OFC)���、訪問源主機(jī)和訪問目的地主機(jī)的計(jì)算機(jī)可以是構(gòu)建在物理機(jī)器上的虛擬機(jī)(VM)和加載在計(jì)算機(jī)上的擴(kuò)展板��。[0323]作為交換機(jī)(OFS)的示例��,網(wǎng)絡(luò)交換機(jī)�����、路由器��、代理���、網(wǎng)關(guān)����、防火墻���、負(fù)荷平衡器(負(fù)荷分配單元)�、帶控制單元(分組成形器)��、安全監(jiān)視器和控制設(shè)備(SCADA:監(jiān)控和數(shù)據(jù)獲取)�、網(wǎng)守、基站����、接入點(diǎn)(AP)、通信衛(wèi)星(CS)或具有多個(gè)通信端口的計(jì)算機(jī)等����。并且,其可以是由構(gòu)建在物理機(jī)器上的虛擬機(jī)(VM)實(shí)現(xiàn)的虛擬交換機(jī)�����。[0324]可將控制器(OFC)��、交換機(jī)(OFS)��、訪問源主機(jī)以及訪問目的地主機(jī)加載在諸如車輛�、船以及飛機(jī)的移動(dòng)主體上。[0325]雖然未示出�,但控制器(0FC)、交換機(jī)(OFS)�����、訪問源主機(jī)和訪問目的地主機(jī)中的每一個(gè)是從基于將執(zhí)行預(yù)定處理的程序進(jìn)行操作的處理器����、存儲(chǔ)程序和各種類型的數(shù)據(jù)的存儲(chǔ)器以及被用于與網(wǎng)絡(luò)的通信的接口實(shí)現(xiàn)的。[0326]作為上述處理器的示例���,舉例說明CPU(中央處理單元)�����、網(wǎng)絡(luò)處理器(NP)�、微處理器、微控制器或具有專用功能的半導(dǎo)體集成電路(LS1:大規(guī)模集成電路)�����。[0327]作為上述存儲(chǔ)器的示例���,舉例說明半導(dǎo)體存儲(chǔ)器件���,諸如RAM(隨機(jī)存取存儲(chǔ)器)、ROM(只讀存儲(chǔ)器)���、EEPROM(電可擦可編程只讀存儲(chǔ)器)和閃速存儲(chǔ)器�、輔助儲(chǔ)存器���,諸如HDD(硬盤驅(qū)動(dòng)器)和SSD(固態(tài)驅(qū)動(dòng)器)或可移動(dòng)磁盤��,諸如DVD(數(shù)字多功能磁盤)以及存儲(chǔ)介質(zhì)����,諸如SD存儲(chǔ)卡(安全數(shù)字存儲(chǔ)卡)����。并且,其可以是緩沖器和登記器等���?���;蛘?���,其可以是使用DAS(直接附著存儲(chǔ))、FC-SAN(光纖信道一存儲(chǔ)區(qū)域網(wǎng))����、NAS(網(wǎng)絡(luò)附著存儲(chǔ))、IP-SAN(IP—存儲(chǔ)區(qū)域網(wǎng))等����。[0328]請(qǐng)注意,上述處理器和上述存儲(chǔ)器可以是統(tǒng)一的。例如��,近年來�����,在一個(gè)芯片上形成微型計(jì)算機(jī)����。因此,舉例說明單片微型計(jì)算機(jī)被加載在電子設(shè)備中并充當(dāng)上述處理器和上述存儲(chǔ)器的情況�。[0329]作為上述接口的示例舉例說明對(duì)應(yīng)于網(wǎng)絡(luò)通信的基板(母板、I/O板)�、諸如芯片的半導(dǎo)體集成電路、諸如NIC(網(wǎng)絡(luò)接口卡)的網(wǎng)絡(luò)適配器�����、類似擴(kuò)展板���、諸如天線的通信設(shè)備以及諸如連接口(連接器)的通信端口��。[0330]并且���,作為網(wǎng)絡(luò)的示例���,舉例說明互聯(lián)網(wǎng)、LAN(局域網(wǎng))����、無線LAN(無線LAN)、WAN(廣域網(wǎng))��、骨干���、CATV線、固定電話網(wǎng)�����、移動(dòng)電話網(wǎng)����、WiMAX(IEEE802.16a)、3G(第3代)�����、租借線���、IrDA(紅外數(shù)據(jù)協(xié)會(huì))�����、藍(lán)牙(注冊(cè)商標(biāo))���、串行通信線����、數(shù)據(jù)總線�。[0331]請(qǐng)注意,控制器(0FC)�、交換機(jī)(OFS)、訪問源主機(jī)和訪問目的地主機(jī)中的每一個(gè)的內(nèi)部部件可以是模塊���、部件�����、專用設(shè)備或這些啟動(dòng)(調(diào)用)程序��。[0332]然而��,實(shí)際上�,本發(fā)明不限于這些示例。[0333]<備注>[0334]已詳細(xì)地描述了本發(fā)明的示例性實(shí)施例�。然而,實(shí)際上���,本發(fā)明不限于上述示例性實(shí)施例��,并且不脫離本發(fā)明范圍的范圍內(nèi)的上述示例性實(shí)施例和修改被包含在本發(fā)明中����。[0335]應(yīng)注意的是本申請(qǐng)要求基于日本專利申請(qǐng)?zhí)朖P2012-084718的根據(jù)公約的優(yōu)先權(quán)��,并且其公開被通過引用結(jié)合到本文中��?���!緳?quán)利要求】1.一種網(wǎng)絡(luò)系統(tǒng)�,包括:交換機(jī),所述交換機(jī)被配置成基于流條目來執(zhí)行接收分組的處理���,所述流條目定義用于對(duì)作為流的分組進(jìn)行統(tǒng)一地控制的規(guī)則和動(dòng)作����;以及控制器,所述控制器被配置成發(fā)出對(duì)于所述交換機(jī)進(jìn)行所述流條目的登記的指令�,其中,基于到達(dá)所述交換機(jī)的分組的傳輸源的權(quán)限�,所述控制器對(duì)于到達(dá)分組的傳輸?shù)脑S可或拒絕來執(zhí)行確定處理,并且當(dāng)所述到達(dá)分組的傳輸被許可時(shí)����,所述控制器命令所述交換機(jī)來登記該到達(dá)分組的傳輸?shù)牧鳁l目。2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)系統(tǒng)�,其中,所述交換機(jī)在從由具有不同權(quán)限的多個(gè)用戶使用的訪問源主機(jī)接收到分組時(shí)���,向所述控制器通知該分組�,以及其中���,所述控制器向所述訪問源主機(jī)詢問分組發(fā)送用戶的認(rèn)證數(shù)據(jù)��,基于所述認(rèn)證數(shù)據(jù)���,向作為所述分組的目的地的訪問目的地主機(jī)詢問訪問的許可或拒絕,當(dāng)所述訪問被許可時(shí)命令所述交換機(jī)來登記所述分組的傳輸?shù)牧鳁l目��,以及當(dāng)所述訪問被拒絕時(shí)命令所述交換機(jī)來登記所述分組的丟棄的流條目��。3.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)系統(tǒng),其中��,所述控制器當(dāng)所述訪問被拒絕時(shí)記錄訪問拒絕計(jì)數(shù)���,檢查該訪問拒絕計(jì)數(shù)是否在允許值之內(nèi)����,當(dāng)所述訪問拒絕計(jì)數(shù)在所述允許值之內(nèi)時(shí)命令所述交換機(jī)來登記所述分組的丟棄的流條目��,當(dāng)所述訪問拒絕計(jì)數(shù)達(dá)到所述允許值時(shí)命令所述訪問源主機(jī)來執(zhí)行所述分組發(fā)送用戶的使用限制���,并且命令所述交換機(jī)來刪除所述分組的丟棄的流條目���。4.根據(jù)權(quán)利要求1至3中的任一項(xiàng)所述的網(wǎng)絡(luò)系統(tǒng)�����,其中��,當(dāng)由具有不同權(quán)限的所述多個(gè)用戶使用的所述訪問源主機(jī)嘗試對(duì)訪問目的地主機(jī)進(jìn)行訪問時(shí)�����,所述控制器從所述訪問源主機(jī)獲取分組發(fā)送用戶的所述認(rèn)證數(shù)據(jù),基于分組發(fā)送用戶的所述認(rèn)證數(shù)據(jù)來確定訪問的許可或拒絕���,當(dāng)所述訪問被許可時(shí)命令所述交換機(jī)來登記所述分組的傳輸?shù)牧鳁l目����,并且當(dāng)所述訪問被拒絕時(shí)命令所述交換機(jī)來登記所述分組的丟棄的流條目�。5.—種控制器,包括:用于發(fā)出對(duì)于交換機(jī)進(jìn)行流條目的登記的指令的裝置�,所述交換機(jī)基于所述流條目來執(zhí)行接收分組的處理,所述流條目定義用于對(duì)作為流的分組進(jìn)行統(tǒng)一地控制的規(guī)則和動(dòng)作����;用于對(duì)于到達(dá)所述交換機(jī)的分組而基于分組發(fā)送用戶的權(quán)限來執(zhí)行所述分組的傳輸?shù)脑S可或拒絕的確定處理的裝置;以及用于當(dāng)所述分組的傳輸被許可時(shí)命令所述交換機(jī)來登記所述分組的傳輸?shù)牧鳁l目的>j-Uρ?α裝直��。6.根據(jù)權(quán)利要求5所述的控制器����,還包括:用于從所述交換機(jī)來接收從由具有不同權(quán)限的多個(gè)用戶使用的訪問源主機(jī)發(fā)送的分組的通知的裝置;用于向所述訪問源主機(jī)詢問分組發(fā)送用戶的認(rèn)證數(shù)據(jù)的裝置����;用于基于所述認(rèn)證數(shù)據(jù)向作為所述分組的目的地的所述訪問目的主機(jī)詢問訪問的許可或拒絕的裝置;用于當(dāng)所述訪問被許可時(shí)命令所述交換機(jī)來登記所述分組的傳輸?shù)牧鳁l目的裝置;以及用于當(dāng)所述訪問被拒絕時(shí)命令所述交換機(jī)來登記所述分組的丟棄的流條目的裝置�����。7.根據(jù)權(quán)利要求6所述的控制器����,還包括:用于當(dāng)所述訪問被拒絕時(shí)記錄訪問拒絕計(jì)數(shù)的裝置;用于檢查所述訪問拒絕計(jì)數(shù)是否在允許值之內(nèi)的裝置���;用于當(dāng)所述訪問拒絕計(jì)數(shù)在所述允許值之內(nèi)時(shí)命令所述交換機(jī)來登記所述分組的丟棄的流條目的裝置�;以及用于當(dāng)所述訪問拒絕計(jì)數(shù)達(dá)到所述允許值時(shí)命令所述訪問源主機(jī)對(duì)所述分組發(fā)送用戶執(zhí)行使用限制�、以及命令所述交換機(jī)來刪除所述分組的丟棄的流條目的裝置。8.根據(jù)權(quán)利要求5至7中的任一項(xiàng)所述的控制器����,還包括:用于當(dāng)具有不同權(quán)限的所述多個(gè)用戶使用的所述訪問源主機(jī)嘗試訪問所述訪問目的地主機(jī)時(shí)從所述訪問源主機(jī)來獲取分組發(fā)送用戶的所述認(rèn)證數(shù)據(jù)的裝置;用于基于所述認(rèn)證數(shù)據(jù)來確定訪問的許可或拒絕的裝置�;用于當(dāng)所述訪問被許可時(shí)命令所述交換機(jī)來登記所述分組的傳輸?shù)牧鳁l目的裝置;以及用于當(dāng)所述訪問被拒絕時(shí)命令所述交換機(jī)來登記所述分組的丟棄的流條目的裝置���。9.一種分組認(rèn)證方法,包括:通過交換機(jī),基于流條目來執(zhí)行接收分組的處理�����,所述流條目定義用于對(duì)作為流的分組進(jìn)行統(tǒng)一地控制的規(guī)則和動(dòng)作;以及通過控制器�,基于分組發(fā)送源的權(quán)限來執(zhí)行到達(dá)所述交換機(jī)的分組的傳輸?shù)脑S可或拒絕的確定處理,以及當(dāng)所述分組的傳輸被許可時(shí)���,針對(duì)所述交換機(jī)��,執(zhí)行對(duì)所述分組的傳輸?shù)牧鳁l目進(jìn)行登記的指令���。10.一種非瞬態(tài)計(jì)算機(jī)可讀記錄介質(zhì),其存儲(chǔ)程序以使得計(jì)算機(jī)執(zhí)行:命令交換機(jī)來登記流條目��,其中�,所述交換機(jī)基于所述流條目來處理接收分組,所述流條目定義用于對(duì)作為流的分組進(jìn)行統(tǒng)一地控制的規(guī)則和動(dòng)作�;執(zhí)行到達(dá)所述交換機(jī)的分組的傳輸?shù)脑S可或拒絕的確定處理;以及當(dāng)所述分組的傳輸被許可時(shí)���,命令所述交換機(jī)來登記所述分組的傳輸?shù)牧鳁l目���。【文檔編號(hào)】H04L12/70GK104205751SQ201380018612【公開日】2014年12月10日申請(qǐng)日期:2013年3月26日優(yōu)先權(quán)日:2012年4月3日【發(fā)明者】戶川修申請(qǐng)人:日本電氣株式會(huì)社