Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации



Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации
Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации

 


Владельцы патента RU 2586587:

НЕК КОРПОРЕЙШН (JP)

Изобретение относится к системам связи. Технический результат заключается в уменьшении нагрузки на шлюз пересылки и устройства управления. Такой результат достигается тем, что терминал, осуществляющий связь с сетью, включающей в себя устройство пересылки для пересылки пакета и устройство управления для управления устройством пересылки в соответствии с запросом от устройства пересылки, содержит: блок связи, который принимает от устройства управления правило обработки, определяющее способ обработки пакета, который определен устройством управления, блок хранения, который хранит принятое правило обработки, и блок обработки, который в случае связи с сетью обрабатывает пакет в соответствии с правилом обработки, которое соответствует пакету, посредством обращения к правилу обработки, хранящемуся в блоке хранения. 7 н. и 23 з.п. ф-лы, 24 ил.

 

Область техники

[0001] (Ссылка на родственную заявку)

Эта заявка основана и притязает на приоритет заявки на патент Японии № 2011-092318, поданной 18 апреля 2011 года, раскрытие которой включено в настоящий документ по ссылке во всей своей полноте. Настоящее изобретение имеет отношение к терминалу, устройству управления, способу связи, системе связи, модулю связи, программе и устройству обработки информации и имеет отношение к технологии связи в сети, в которой устройство управления выполняет централизованное управление устройствами пересылки.

Уровень техники

[0002] В последние годы была предложена технология, известная как OpenFlow (см. патентную литературу 1 и непатентную литературу 1 и 2). В технологии OpenFlow связь рассматривается как сквозной поток, и управление трактом, восстановление после отказа, балансирование нагрузки и оптимизация выполняются в единицах потоков. Коммутатор OpenFlow, как определено в непатентной литературе 2, обеспечивается безопасным каналом для связи с контроллером OpenFlow и работает в соответствии с таблицей потоков, в которой инструкции на соответствующее дополнение или перезапись даются контроллером OpenFlow. В таблице потоков находятся определения наборов правил согласования (поля заголовка) для сопоставления с заголовками пакетов, статистическая информация потока (счетчики) и действия (действия), определяющие содержание обработки, для каждого потока (см. фиг. 24).

[0003] Например, когда коммутатор OpenFlow принимает пакет, в таблице потоков ищется запись, имеющая правило согласования (см. поле заголовка на фиг. 24), которое согласуется с информацией заголовка принятого пакета. В результате поиска, в случае, когда найдена запись, согласующаяся с принятым пакетом, коммутатор OpenFlow обновляет статистическую информацию потока (счетчики), а также реализует содержание обработки (передача пакета с указанного порта, лавинная рассылка, отбрасывание и т.п.), описанную в поле "действия" рассматриваемой записи, для принятого пакета. С другой стороны, в результате поиска, в случае, когда запись, согласующаяся с принятым пакетом, не найдена, коммутатор OpenFlow передает запрос на установку записи контроллеру OpenFlow через безопасный канал, то есть, запрос для определения тракта пакета на основе источника и адресата принятого пакета. Коммутатор OpenFlow принимает запись потока, соответствующую запросу, и обновляет таблицу потока. Таким образом, коммутатор OpenFlow использует запись, сохраненную в таблице потока в качестве правила обработки, для выполнения пересылки пакета.

Список литературы

Патентная литература

[0004] Патентная литература 1: Международная публикация № 2008/095010.

Патентная литература 2: Опубликованная непроверенная заявка на патент Японии № JP-P2004-064182A.

Непатентная литература

[0005] Непатентная литература 1: Nick McKeown, and 7 others, "OpenFlow: Enabling Innovation in Campus Networks", [online] [search conducted April 4, 2011] Internet URL: http://www.openflowswitch.org//documents/openflow-wp-latest.pdf

Непатентная литература 2: "OpenFlow: Switch Specification" Version 1.0.0. (Wire Protocol 0x01), [search conducted April 4, 2011] Internet URL: http://www.openflowswitch.org/documents/openflow-spec-v1.0.0.pdf

Сущность изобретения

[0006] Все раскрытия упомянутой выше патентной литературы 1 и 2 и непатентной литературы 1 и 2 включены в настоящий документ по ссылке. Последующий анализ дан посредством настоящего изобретения. В технологии, раскрытой в патентной литературе 1 и непатентной литературе 1 и 2, контроллер определяет запись для обработки пакета в соответствии с запросом, переданным от коммутатора, и устанавливает определенную запись относительно коммутатора. В централизованном управлении системы связи такого типа имеется проблема нагрузки на контроллер. Причина этого состоит в том, что поскольку контроллер централизованно управляет множеством коммутаторов и вычисляет запись относительно запроса, переданного от множества коммутаторов, нагрузка обработки на контроллер увеличивается.

[0007] Кроме того, контроллер может установить предписывающую запись обработку для перезаписи содержания заголовка пакета относительно коммутатора. В случае такого типа имеется проблема, в которой увеличивается нагрузка, требуемая для обработки пакета в коммутаторе.

[0008] Патентная литература 2 раскрывает устройство управления шлюзом для управления шлюзом. Однако патентная литература 2 не раскрывает мер для уменьшения нагрузки на шлюз или устройство управления шлюзом.

[0009] В соответствии с первым аспектом обеспечен терминал, выполненный с возможностью связи с сетью, включающей в себя по меньшей мере одно устройство пересылки для пересылки пакета и устройство управления для управления устройством(-ами) пересылки в соответствии с запросом от устройства пересылки, причем терминал содержит: блок связи, который принимает от устройства управления правило обработки, определяющее способ обработки пакета, который определен устройством управления; блок хранения, который хранит принятое правило обработки; и блок обработки, который в случае связи с сетью обрабатывает пакет в соответствии с правилом обработки, которое соответствует пакету, посредством обращения к правилу обработки, хранящемуся в блоке хранения.

[0010] В соответствии со вторым аспектом обеспечено устройство управления, выполненное с возможностью устанавливать правило обработки для пакета относительно по меньшей мере одного устройства пересылки для пересылки пакетов, причем устройство управления содержит: блок приема запроса, который принимает запрос доступа, переданный терминалом, выполненным с возможностью доступа к сети, в которой устройство пересылки обрабатывает пакет в соответствии с правилом обработки; блок управления, который определяет правило обработки, установленное в терминале, в соответствии с запросом доступа; и блок связи, который передает определенное правило обработки терминалу.

[0011] В соответствии с третьим аспектом обеспечен способ связи для управления терминалом, выполненным с возможностью связи с сетью, включающей в себя по меньшей мере одно устройство пересылки для пересылки пакета и устройство управления для управления устройством(-ами) пересылки в соответствии с запросом от устройства пересылки, причем способ содержит: этап приема, на котором принимают от устройства управления правило обработки, определяющее способ обработки пакета; этап, на котором сохраняют принятое правило обработки в блоке хранения; и этап обработки, на котором, в случае связи с сетью, обрабатывают пакет в соответствии с правилом обработки, которое соответствует пакету, посредством обращения к правилу обработки, хранящемуся в блоке хранения. Следует отметить, что настоящий способ связан с конкретным устройством, которое является терминалом, осуществляющим связь с сетью, включающей в себя узел пересылки и устройство управления.

[0012] В соответствии с четвертым аспектом обеспечена система связи, включающая в себя по меньшей мере одно устройство пересылки для пересылки пакета, устройство управления для управления устройством(-ами) пересылки в соответствии с запросом от устройства пересылки, и терминал, осуществляющий связь с сетью, включающей в себя устройство(-а) пересылки и устройство управления, причем устройство управления содержит блок управления, который определяет правило обработки, установленное в терминале; и терминал содержит: блок связи, который принимает от устройства управления правило обработки, определенное устройством управления; блок хранения, который хранит принятое правило обработки; и блок обработки, который в случае связи с сетью обрабатывает пакет в соответствии с правилом обработки, которое соответствует пакету, посредством обращения к правилу обработки, хранящемуся в блоке хранения.

[0013] В соответствии с пятым аспектом обеспечен модуль связи, установленный в терминале, выполненном с возможностью связи с сетью, включающей в себя по меньшей мере одно устройство пересылки для пересылки пакета и устройство управления для управления устройством(-ами) пересылки в соответствии с запросом от устройства пересылки, причем модуль содержит: блок связи, который принимает от устройства управления правило обработки, определяющее способ обработки пакета, который определен устройством управления; блок хранения, который хранит принятое правило обработки; и блок обработки, который в случае, когда терминал осуществляет связь с сетью, обрабатывает пакет в соответствии с правилом обработки, которое соответствует пакету, посредством обращения к правилу обработки, хранящемуся в блоке хранения.

[0014] В соответствии с шестым аспектом обеспечена программа для того, чтобы она побуждала терминал, выполненный с возможностью связи с сетью, включающей в себя по меньшей мере одно устройство пересылки для пересылки пакета и устройство управления для управления устройством(-ами) пересылки в соответствии с запросом от устройства пересылки, исполнять: процесс приема от устройства управления правила обработки, определяющего способ обработки пакета, который определен устройством управления; процесс сохранения принятого правила обработки; и процесс обработки пакета, при котором, в случае, когда терминал осуществляет связь с сетью, обрабатывают пакет в соответствии с правилом обработки, которое соответствует пакету, посредством обращения к правилу обработки, хранящемуся в блоке хранения. Следует отметить, что программа может быть записана на считываемом компьютером невременном носителе записи. Таким образом, настоящее изобретение может быть воплощено как компьютерный программный продукт.

[0015] В соответствии с седьмым аспектом обеспечено устройство обработки информации для передачи терминалу программы для того, чтобы она побуждала терминал, который осуществляет связь с сетью, включающей в себя по меньшей мере одно устройство пересылки для пересылки пакета и устройство управления для управления устройством пересылки в соответствии с запросом от устройства пересылки, исполнять: процесс приема от устройства управления правила обработки, определяющего способ обработки пакета, который определен устройством управления; процесс сохранения принятого правила обработки; и процесс обработки пакета, при котором, в случае, когда терминал осуществляет связь с сетью, обрабатывают пакет в соответствии с правилом обработки, которое соответствует пакету, посредством обращения к правилу обработки, хранящемуся в блоке хранения.

[0016] Обоснованные эффекты настоящего изобретения могут быть обобщены следующим образом. В соответствии с настоящим раскрытием в технологии для выполнения связи посредством устройства управления, централизованно управляющего устройствами пересылки, возможно уменьшить нагрузку на устройство управления или устройство(-а) пересылки.

Краткое описание чертежей

[0017] Фиг. 1 - схема, показывающая пример конфигурации настоящего раскрытия;

Фиг. 2 - схема, показывающая пример конфигурации настоящего раскрытия;

Фиг. 3 - схема, показывающая пример таблицы, хранящей правила обработки;

Фиг. 4 - блок-схема последовательности операций, показывающая пример операций настоящего раскрытия;

Фиг. 5 - блок-схема последовательности операций, показывающая пример операций настоящего раскрытия;

Фиг. 6 - схема, показывающая пример конфигурации первого иллюстративного варианта осуществления настоящего раскрытия;

Фиг. 7 - схема, показывающая пример, в котором конфигурация, показанная на фиг. 6, применена к системе управления доступом;

Фиг. 8 - схема, показывающая пример информации аутентификации;

Фиг. 9 - схема, показывающая пример информации политики связи;

Фиг. 10 - схема, показывающая пример информации ресурсов;

Фиг. 11 - схема, показывающая пример политики связи;

Фиг. 12 - схема, показывающая пример конфигурации устройства управления;

Фиг. 13 - схема последовательности, показывающая пример операций первого иллюстративного варианта осуществления;

Фиг. 14 - схема последовательности, показывающая пример операций первого иллюстративного варианта осуществления;

Фиг. 15 - схема последовательности, показывающая пример операций первого иллюстративного варианта осуществления;

Фиг. 16 - схема последовательности, показывающая пример операций второго иллюстративного варианта осуществления;

Фиг. 17 - схема, показывающая пример политики связи;

Фиг. 18 - схема, показывающая пример конфигурации третьего иллюстративного варианта осуществления;

Фиг. 19 - схема, показывающая пример конфигурации четвертого иллюстративного варианта осуществления;

Фиг. 20 - схема, показывающая пример конфигурации пятого иллюстративного варианта осуществления;

Фиг. 21 - схема, показывающая пример конфигурации шестого иллюстративного варианта осуществления;

Фиг. 22 - схема, показывающая пример конфигурации седьмого иллюстративного варианта осуществления;

Фиг. 23 - схема последовательности, показывающая пример операций седьмого иллюстративного варианта осуществления; и

Фиг. 24 - схема, описывающая технологию предшествующего уровня техники.

Предпочтительные варианты осуществления изобретения

[0018] Сначала в общих чертах описан иллюстративный вариант осуществления настоящего раскрытия. Фиг. 1 - схема, показывающая конфигурацию сети связи и конфигурацию терминала 1. Фиг. 2 - схема, показывающая конфигурацию узла 2 пересылки и устройства 3 управления. Следует отметить, что символы для ссылки, приложенные к чертежам, добавлены для удобства к соответствующим элементам в качестве примера, чтобы помочь пониманию. Символы для ссылки не предназначены для ограничения раскрытия вариантами, проиллюстрированными на рисунках.

[0019] При приеме пакета узел 2 пересылки обрабатывает пакет в соответствии с правилом обработки, соответствующим пакету. Правило обработки определяет содержание обработки для пакета. Пример конфигурации правила обработки показан на фиг. 3. Правило обработки, например, включает в себя правило согласования для согласования пакета и правила обработки, и содержание обработки для пакета, которое согласуется с правилом обработки. При приеме пакета блок 23 обработки ищет правило обработки, соответствующее пакету, в блоке 21 хранения. Таким образом, блок 23 обработки выполняет поиск в таблице конфигурации, проиллюстрированной на фиг. 3, которая хранится в блоке 21 хранения. Например, если пакет принадлежит "потоку A", он согласуется с правилом согласования для "потока A". Следует отметить, что "поток" представляет собой последовательность пакетов, идентифицированных в соответствии с содержанием пакетов (такой информацией, как источник и адресат пакета, комбинация нескольких информационных элементов, включенных в пакет, и т.п.). В случае, когда правило обработки, соответствующее пакету, хранится в блоке 21 хранения, блок 23 обработки обрабатывает пакет в соответствии с извлеченным правилом обработки. Например, в примере на фиг. 3, если пакет принадлежит "потоку A", блок 23 обработки исполняет содержание обработки "переслать с порта 'a' узла пересылки". В случае, когда правило обработки, соответствующее пакету, не хранится в блоке 21 хранения, блок 22 связи с устройством управления передает устройству 3 управления запрос установки правила обработки.

[0020] Устройство 3 управления управляет обработкой пакетов посредством узла 2 пересылки. Когда блок 31 связи принимает запрос установки правила обработки, от узла 2 пересылки, блок 32 управления определяет правило обработки, соответствующее запросу установки. Блок 31 связи передает правило обработки, определенное блоком 32 управления, узлу 2 пересылки. Правило обработки определяет содержание обработки для пакета, такое как, например, передача пакета с указанного порта, лавинная рассылка, отбрасывание, перезапись заголовка пакета и т.п.

[0021] Устройство 3 управления устанавливает правила обработки не только для узла(-ов) 2 пересылки, но также и для терминала 1, который осуществляет связь с сетью связи, включающей в себя по меньшей мере один узел 2 пересылки и устройство 3 управления. Кроме того, терминал 1 исполняет обработку пакета в соответствии с установленным правилом обработки.

[0022] Терминал 1 передает запрос доступа к сети связи через блок 10 связи. Следует отметить, что терминал 1 представляет собой терминал связи, такой как персональный компьютер, карманное устройство и т.п. Терминал 1 может иметь либо проводной, либо беспроводной способ связи.

[0023] При обнаружении запроса доступа от терминала 1 узел 2 пересылки передает запрос доступа устройству 3 управления. Например, устройство 3 управления заранее устанавливает правило обработки, соответствующее пакету для запроса доступа (например, пакет аутентификации или пакет входа в систему), в блок 21 хранения узла 2 пересылки. Как показано в примере на фиг. 3, устройство 3 управления устанавливает правило обработки, в котором правилом согласования является "пакет запроса доступа", и соответствующим содержанием обработки является "переслать устройству управления". Правило обработки, соответствующее пакету запроса доступа, например, определяет обработку как пересылку пакета запроса доступа устройству 3 управления. При приеме пакета запроса доступа блок 23 обработки узла 2 пересылки передает пакет запроса доступа устройству 3 управления в соответствии с правилом обработки, соответствующим пакету запроса доступа.

[0024] Когда устройство 3 управления принимает пакет запроса доступа, переданный от узла 2 пересылки, блок 32 управления устройства 3 управления обращается к блоку 33 управления политиками и извлекает политику, соответствующую пользователю терминала. Следует отметить, что блок 33 управления политиками может хранить политику, которая установлена для каждого терминала. Блок 32 управления определяет правило обработки, которое должно быть установлено в терминале 1, на основе извлеченной политики. Блок 31 связи передает определенное правило обработки терминалу 1. Следует отметить, например, что устройство 3 управления может установить период действия для определенного правила обработки и передать его терминалу 1. В случае, когда установлен период действия, правило обработки, которое было установлено в терминале 1, удаляется из терминала 1, когда период действия истекает. Следует отметить, что фиг. 2 показывает пример, в котором блок 33 управления политиками включен в устройство 3 управления, но политиками может управлять устройство, отличающееся от устройства 3 управления.

[0025] Кроме того, устройство 3 управления может определить правило обработки, которое должно быть установлено в терминале 1, на основе информации, которой управляет устройство 3 управления, без обращения к блоку 33 управления политиками.

[0026] Кроме того, устройство 3 управления, например, может установить в узле 2 пересылки правило обработки для узла пересылки, соответствующее правилу обработки для терминала, установленному в терминале. Например, в случае, когда терминал 1 исполняет обработку перезаписи для некоторых пакетов в соответствии с правилом обработки, установленным в терминале 1, блок 3 управления может установить правило обработки, согласующееся с перезаписанным содержанием в пакете, в узле 2 пересылки.

[0027] В случае, когда блок 10 связи терминала 1 принимает правило обработки от устройства 3 управления, терминал 1 устанавливает правило обработки в блоке 11 хранения. Когда блок 12 обработки терминала 1 передает или принимает пакет к или от сети связи, блок 12 обработки извлекает правило обработки, соответствующее переданному или принятому пакету. В случае, когда правило обработки, соответствующее переданному или принятому пакету, хранится в блоке 11 хранения, блок 12 обработки обрабатывает пакет в соответствии с правилом обработки. Блок 12 обработки, например, исполняет обработку для переписи некоторых пакетов, которые должны быть переданы или приняты, или отбрасывание пакета в соответствии с правилом обработки. В случае, когда правило обработки, соответствующее переданному или принятому пакету, не хранится в блоке 11 хранения, блок 12 обработки может передать или принять пакет без выполнения обработки, соответствующей пакету, или может выполнить отбрасывание (сброс) пакета. Однако обработка пакета в случае, когда правило обработки, соответствующее переданному или принятому пакету, не хранится в блоке 11 хранения, не ограничена этим.

[0028] Далее дается описание операций терминала 1 и устройства 3 управления со ссылкой на фиг. 4 и фиг. 5. Фиг. 4 - блок-схема последовательности операций, показывающая пример операций терминала 1. В случае приема правила обработки от устройства 3 управления (этап S1) терминал 1 сохраняет принятое правило обработки в блоке 11 хранения (этап S2).

[0029] В случае передачи или приема пакета по сети связи ("Да" на этапе S3) терминал 1 извлекает правило обработки, соответствующее переданному или принятому пакету (этап S4).

[0030] В случае, когда правило обработки, соответствующее переданному или принятому пакету, хранится в блоке 11 хранения, терминал 1 обрабатывает переданный или принятый пакет в соответствии с правилом обработки (этап S5).

[0031] Фиг. 5 - блок-схема последовательности операций, показывающая пример операций устройства 3 управления. При приеме запроса доступа от терминала 1 (этап S6) устройство 3 управления извлекает политику, соответствующую пользователю терминала, из блока 33 управления политиками (этап S7).

[0032] Устройство 3 управления определяет правило обработки, которое должно быть установлено в терминале 1, на основе извлеченной политики (этап S8) и передает его терминалу 1 (этап S9).

[0033] Устройство 3 управления устанавливает правило обработки для терминала 1, и сам терминал 1 исполняет обработку пакета, соответствующую правилу обработки. Поскольку терминал 1 исполняет обработку пакета, такую как перезапись некоторых пакетов, согласно правилу обработки вместо узла 2 пересылки, нагрузка обработки пакетов на узле 2 пересылки значительно уменьшается. Кроме того, поскольку устройство 3 управления может заранее установить в узле 2 пересылки правило обработки, соответствующее содержанию правила обработки для терминала, установленного для терминала 1, возможно сократить запросы к устройству 3 управления, сгенерированные вследствие того, что правило обработки не установлено в узле 2 пересылки. Таким образом, нагрузка обработки на устройство 3 управления значительно уменьшается.

[0034] Первый иллюстративный вариант осуществления

Далее в общих чертах дается описание схемы первого иллюстративного варианта осуществления настоящего раскрытия со ссылкой на чертежи. Фиг. 6 показывает пример системной конфигурации в первом иллюстративном варианте осуществления. На фиг. 6 показано, что конфигурация включает в себя терминал 100 пользователя (пользовательский терминал), множество узлов 200 пересылки, устройство 300 управления политиками и устройство 400 управления.

[0035] Множество узлов 200 пересылки выполняют обработку пакетов, переданных от терминала пользователя, в соответствии с правилом обработки, установленным устройством 400 управления.

[0036] Устройство 110 управления терминалом (функционально) в терминале 100 пользователя сохраняет правила обработки, установленные устройством 400 управления, и управляет пакетами, переданными терминалом пользователя, на основе правил обработки.

[0037] Более определенно, устройство 110 управления терминалом снабжено блоком 120 хранения правил обработки, который хранит правила обработки для определения, следует ли пересылать пакет, переданный от блока 420 определения правил обработки, и блоком 130 управления доступом для разрешения или запрещения доступа, переданного от терминала пользователя, на основе правила обработки, сохраненного в блоке 120 хранения правил обработки. Таким образом, блок 130 управления доступом подтверждает, сохранено ли правило обработки, соответствующее пакету, переданному от терминала 100, в блоке 120 хранения правил обработки. В случае, когда правило обработки, соответствующее пакету, переданному от терминала 100, сохранено, блок 130 управления доступом подтверждает содержание обработки, определенное в правиле обработки. В случае, когда содержание обработки отвергает пересылку пакета, блок 130 управления доступом не пересылает пакет в сеть связи, сконфигурированную узлами 200 пересылки, а исполняет ограничение доступа, например, отбрасывание пакета и т.п.

[0038] Устройство 300 управления политиками управляет политикой связи и уведомляет устройство 400 управления о политике связи, назначенной пользователю, для которого была успешно выполнена аутентификация.

[0039] Более определенно, устройство 300 управления политиками включает в себя блок 310 хранения политик связи, который связывает роль, назначенную пользователю, и права доступа, установленные для каждой роли. Устройство 300 управления политиками предоставляет устройству 400 управления информацию относительно прав доступа, соответствующих роли пользователя, для которого была успешно выполнена аутентификация.

[0040] Устройство 400 управления устанавливает правило обработки, определяющее содержание обработки пакета, относительно узлов 200 пересылки. Следует отметить, что ссылочные обозначения, приложенные к чертежам, добавлены для удобства к соответствующим элементам в качестве примера, чтобы помочь пониманию. Ссылочные обозначения не предназначены для ограничения раскрытия вариантами, проиллюстрированными на чертежах.

[0041] Более определенно, устройство 400 управления определяет тракт между терминалом 100 пользователя, для которого была успешно выполнена аутентификация, и сетевым ресурсом 500, к которому пользователь может получить доступ, на основе информации относительно прав доступа, принятой от устройства 300 управления политиками. Устройство 400 управления включает в себя блок 410 управления трактом, который устанавливает правило обработки в узле(-ах) 200 пересылки на определенном тракте. Относительно правила обработки, установленного блоком 410 управления трактом в узле 200 пересылки, устройство 400 управления снабжено блоком 420 определения правил обработки, который передает устройству 110 управления терминалом из терминала 100 пользователя правило обработки, определяющее, следует ли пересылать пакет от терминала 100.

[0042] Устройство 400 управления может установить период действия для правила обработки, переданного терминалу 100 пользователя. В этом случае терминал 100 удаляет правило обработки, для которого период действия прошел. Следует отметить, что в случае, когда блок 420 определения правил обработки передает правило обработки, отвергающее пересылку пакета от терминала 100, блоку 410 управления трактом не требуется устанавливать правило обработки, соответствующее определенному тракту, относительно узла(-ов) 200 пересылки.

[0043] Посредством установки правила обработки, как описано выше, возможно определить доступный сетевой ресурс 500 в соответствии с ролью, назначенной пользователю, и, кроме того, возможно установить тракт для предоставления доступа для каждого потока. Кроме того, посредством установки упомянутого выше правила обработки возможно побудить терминал 100 пользователя выполнять ограничение доступа относительно потока, для которого доступ, выполняемый пользователем, запрещен, среди пакетных потоков, переданных от пользователя.

[0044] Таким образом, поскольку пакет, для которого доступ ограничен, имеет ограничение доступа посредством терминала 100 без его передачи узлу(-ам) 200 пересылки, нагрузка обработки в узле(-ах) 200 пересылки уменьшается. Поскольку посредством ограничения доступа посредством терминала 100 имеется уменьшение количества пакетов, отправленных в случае запроса установки правила обработки, которое должно быть передано устройству управления от узла 200 пересылки, нагрузка на устройство управления значительно уменьшается.

[0045] Следует отметить, что в случае, когда период действия обеспечен в правиле обработки, и период действия прошел со времени выполнения настройки в узле 200 пересылки и блоке 130 управления доступом терминала 100 пользователя, или со времени, когда наконец был принят пакет, согласующийся с правилом согласования, после этого может быть удалено правило обработки, которое запрещает пересылку пакета.

[0046] Фиг. 7 является схемой, представляющей пример, в котором система управления доступом реализована с использованием конфигурации, показанной на фиг. 6. Конфигурация, показанная на фиг. 7, является примером системы, и настоящее раскрытие не ограничено системной конфигурацией, раскрытой на фиг. 7. На фиг. 7 показанная конфигурация включает в себя: множество узлов 200 пересылки, устройство 110 управления терминалом для управления, следует ли передавать пакет, переданный от терминала 100 пользователя, устройство 400 управления для установки правила обработки в узлах 200 пересылки и устройстве 110 управления терминалом, устройство 300 управления политиками для уведомления устройства 400 управления о политике связи, и устройство 330 аутентификации для обеспечения информации аутентификации, указывающей результат аутентификации устройству 300 управления политиками.

[0047] Узел 200 пересылки обрабатывает принятый пакет в соответствии с правилом обработки, которое связывает правило согласования, согласующееся с принятым пакетом, и содержание обработки, которое должно быть применено к пакету, согласующемуся с правилом согласования. Для узла 200 пересылки этого типа может использоваться коммутатор OpenFlow, как раскрыто в не патентной литературе 2. Однако узел 200 пересылки не ограничен коммутатором OpenFlow.

[0048] Некоторый узел 200 пересылки из множества узлов 200 пересылки соединен с сетевыми ресурсами 500A и 500B. Следует отметить, что сетевая конфигурация, показанная на фиг. 7, является лишь примером, и конфигурация соединения узла 200 пересылки и сетевого ресурса 500A и 500B не ограничена примером, показанным на фиг. 7.

[0049] Терминал 100 пользователя осуществляет связь с сетевыми ресурсами 500A и 500B через узлы 200 пересылки. В примере на фиг. 7 дано описание, в котором сетевой ресурс 500A и сетевой ресурс 500B принадлежат к разным, отличающимся друг от друга группам ресурсов, и им соответственно даны идентификаторы групп ресурсов resource_group_0001 и resource_group_0002.

[0050] Устройство 330 аутентификации является сервером аутентификации, который использует пароль или биометрическую аутентификацию и т.п., для выполнения процедуры аутентификации пользователя с терминалом 100 пользователя. Устройство 330 аутентификации передает информацию аутентификации, указывающую результат процедуры аутентификации пользователя с терминалом 100 пользователя, устройству 300 управления политиками.

[0051] Фиг. 8 является примером информации аутентификации, сохраненной в устройстве 330 аутентификации настоящего иллюстративного варианта осуществления. Например, в случае, когда аутентификация пользователя, имеющего идентификатор пользователя user1, выполняется успешно, устройство 330 аутентификации передает для user1 запись, которая включает в себя идентификатор user1; атрибуты, IP-адрес: 192.168.100.1 и MAC-адрес: 00-00-00-44-55-66; и идентификаторы ролей: role_0001 и role_0002, в качестве информации аутентификации устройству 300 управления политиками. Таким же образом, в случае, когда аутентификация пользователя, имеющего идентификатор пользователя user2, выполняется успешно, устройство 330 аутентификации передает для user2 запись, которая включает в себя идентификатор user2; атрибуты, IP-адрес: 192.168.100.2 и MAC-адрес: 00-00-00-77-88-99; и идентификатор роли: role_0002, в качестве информации аутентификации устройству 300 управления политиками.

[0052] Информация аутентификации может являться информацией, посредством которой устройство 300 управления политиками может определить политику связи, назначенную пользователю, и нет какого-либо ограничения для примера на фиг. 8. Например, информация аутентификации может являться идентификатором (ID)пользователя, для которого аутентификация успешно выполнена, идентификатором доступа, таким как идентификатор роли или MAC-адрес, полученный из рассматриваемого идентификатора пользователя, информацией местоположения терминала 100 пользователя или их комбинацией. Устройство 330 аутентификации может передать устройству 300 управления политиками информацию пользователя, для которого аутентификация не выполнена успешно, как информацию аутентификации и может передать устройству 400 управления политику связи, посредством которой устройство 300 управления политиками ограничивает доступ от рассматриваемого пользователя.

[0053] Устройство 300 управления политиками соединено с блоком 310 хранения политик связи и блоком 320 хранения информации ресурсов, определяет политику связи, соответствующую информации аутентификации, принятой от устройства 330 аутентификации, и передает определенную политику связи устройству 400 управления.

[0054] Фиг. 9 является примером информации политики связи, хранящейся в блоке 310 хранения политик связи. В примере на фиг. 9 информация политик связи имеет идентификатор группы ресурсов, данный группе ресурсов, и права доступа для каждой роли, идентифицированной идентификатором роли. Например, пользователю, имеющему идентификатор роли role_0001, разрешен доступ к обеим группам ресурсов, имеющим идентификаторы resource_group_0001 и resource_group_0002. С другой стороны, пользователь, имеющий идентификатор роли role_0002, лишен доступа к идентификатору группы ресурса resource_group_0001, но ему разрешен доступ к группе resource_group_0002.

[0055] Фиг. 10 является примером информации ресурсов, хранящейся в блоке 320 хранения информации ресурсов. В примере на фиг. 10 информация ресурсов является информацией, связанной с идентификатором ресурса, принадлежащего идентификатору группы ресурсов, или другими его подробными атрибутами (атрибуты ресурса). Например, относительно информации ресурса, ресурсы, имеющие идентификаторы resource_0001, resource_0002 и resource_0003, включены в группу, идентифицированную идентификатором группы ресурсов resource_group_0001, и включены номера портов, используемые в их соответствующих IP-адресах, MAC-адресах и службах.

[0056] Устройство 300 управления политиками ссылается на информацию политики связи и информацию ресурсов, определяет политику связи пользователя, который принял аутентификацию посредством устройства 330 аутентификации, и уведомляет устройство 400 управления. Например, на основе идентификатора роли, включенного в информацию аутентификации, принятую от устройства 330 аутентификации, устройство 300 управления политиками идентифицирует содержание идентификатора группы ресурсов и его прав доступа, присоединенное к рассматриваемому идентификатору роли, из информации политики на фиг. 9. Устройство 300 управления политиками идентифицирует информацию ресурсов, принадлежащую идентификатору группы ресурсов, из информации ресурсов на фиг. 10. Устройство 300 управления политиками создает политику связи с использованием идентифицированной информации политики и информации ресурсов.

[0057] Фиг. 11 показывает пример политики связи пользователя, имеющего идентификатор пользователя user1, созданной из информации, показанной на фиг. 8, фиг. 9 и фиг. 10. Значения информации атрибутов идентификатора пользователя user1 из информации аутентификации на фиг. 8 установлены в поле источника на фиг. 11. Кроме того, атрибуты ресурса, извлеченные из информации ресурсов на фиг. 10 на основании содержания идентификатора роли role_0001 информации политики на фиг. 9, установлены в поле адреса назначения. Права, основанные на правах доступа идентификатора роли role_0001 из информации на фиг. 9, установлены в поле прав доступа. Кроме того, содержание (например, служба и номер порта), которое было установлено в поле атрибута ресурса информации ресурсов на фиг. 10, установлено в поле условия (необязательно).

[0058] При приеме политики связи устройство 400 управления создает правило обработки, определяющее содержание обработки, чтобы передать узлу пересылки запрос для установки правила обработки для пакета от пользователя, к которому применена рассматриваемая политика связи, и устанавливает правило обработки по меньшей мере в одном узле пересылки среди множества узлов 200 пересылки. При приеме пакета от пользователя, к которому применена политика связи, узел 200 пересылки передает запрос для установки правила обработки устройству 400 управления на основе правила обработки. При приеме запроса для установки правила обработки для пакета от пользователя, к которому применена политика связи, устройство 400 управления определяет тракт пересылки пакета и правило обработки, соответствующее тракту пересылки, на основе информации пакета, включенной в запрос установки, и устанавливает правило обработки в узле 200 пересылки в тракте пересылки рассматриваемого пакета. Относительно правила обработки, установленного в узле пересылки, устройство 400 управления передает устройству 110 управления терминалом из терминала 100 пользователя правило обработки, определяющее, следует ли переслать пакет от терминала 100.

[0059] Фиг. 12 является блок-схемой, представляющей подробную конфигурацию устройства 400 управления. Устройство 400 управления снабжено блоком 40 связи с узлом, который выполняет связь с узлом 200 пересылки, блоком 41 обработки управляющих сообщений, блоком 42 управления правилами обработки, блоком 43 хранения правил обработки, блоком 44 управления узлом пересылки, блоком 45 вычисления тракта-действия, блоком 46 управления топологией, блоком 47 управления местоположением терминала, блоком 48 управления политиками связи и блоком 49 хранения политик связи.

[0060] Блок 41 обработки управляющих сообщений анализирует управляющее сообщение, принятое от узла 200 пересылки, и доставляет информацию управляющего сообщения соответствующему функциональному блоку в устройстве 400 управления в соответствии с результатом анализа.

[0061] Блок 42 управления правилами обработки управляет тем, каким образом и в каком узле 200 пересылки устанавливается правило обработки. В частности, правило обработки, создаваемое блоком 45 вычисления тракта-действия, регистрируется в блоке 43 хранения правил обработки и устанавливается в узле 200 пересылки, и выполняется обновление информации регистрации блока 43 хранения правил обработки в соответствии со случаем, в котором происходит изменение правил обработки, установленных в узле 200 пересылки, в соответствии с уведомлением удаления правила обработки от узла 200 пересылки.

[0062] Блок 44 управления узлом пересылки управляет возможностью (например, количеством и типом портов, типом поддерживаемого содержания обработки и т.п.) узла 200 пересылки, которым управляет устройство 400 управления.

[0063] При приеме политики связи от блока управления 48 политиками связи блок 45 вычисления тракта-действия создает правило обработки для исполнения запроса для установки правила обработки относительно пакета, переданного от терминала, используемого рассматриваемым пользователем, в соответствии с указанной политикой связи. Следует отметить, что узел 200 пересылки, который является установленным адресатом созданного правила обработки, может являться любым из узлов 200 пересылки, с которыми терминал 100 пользователя может соединиться, или может являться выбором любого узла(-ов) 200 пересылки на основе информации источника, включенной в политику связи.

[0064] При приеме запроса для установки правила обработки относительно пакета, переданного от терминала, используемого пользователем, блок 45 вычисления тракта-действия определяет тракт пересылки рассматриваемого пакета и правило обработки, соответствующее рассматриваемому тракту пересылки, на основе информации пакета, включенной в запрос.

[0065] Кроме того, блок 45 вычисления тракта-действия вычисляет тракт пересылки пакета на основе информации топологии сети, созданной блоком 46 управления топологии. Следует отметить, что блок 45 вычисления тракта-действия может вычислить тракт пересылки пакета, также принимая во внимание информацию местоположения терминала связи, которым управляет блок 47 управления местоположением терминала. Затем блок 45 вычисления тракта-действия получает информацию порта и т.п. узла(-ов) 200 пересылки на тракте пересылки от блока 44 управления узла пересылки и получает содержание обработки, которое должно быть исполнено узлом(-ами) 200 пересылки на тракте, и правило согласования для идентификации потока, который должен быть применен к содержанию обработки. Следует отметить, что правило согласования может быть создано с использованием IP-адреса источника, адреса назначения, условия (варианта) и т.п. политики связи на фиг. 11. В соответствии с этим в случае первой записи политики связи на фиг. 11 относительно блока 45 вычисления тракта-действия создается правило обработки, которое определяет содержание обработки и т.п. для пересылки пакета от IP-адреса источника 192.168.100.1 к IP-адресу назначения 192.168.0.1 c предписанного порта узла 200 пересылки. Следует отметить, что блок 45 вычисления тракта-действия при установке правила обработки может не только создать пакет, для которого принят запрос для установки правила обработки, но также может создать правило обработки, реализующее пересылку пакета на ресурс, к которому у терминала пользователя есть права доступа.

[0066] Блок 46 управления топологией строит информацию топологии сети на основе отношений соединения узлов 200 пересылки, собранной через блок 40 связи с узлом.

[0067] Блок 47 управления местоположением терминала управляет информацией для идентификации местоположения терминала пользователя, соединенного с системой связи. В настоящем иллюстративном варианте осуществления дано описание, в котором в качестве информации для идентификации терминала пользователя используется IP-адрес, и идентификатор узла пересылки, с которым терминал пользователя соединен, и информация его порта используется в качестве информации для идентификации местоположения терминала пользователя. Однако информация для идентификации терминала пользователя и местоположения терминала пользователя не ограничена этим. Например, терминал и его местоположение могут быть идентифицированы посредством использования информации, предоставленной устройством 330 аутентификации.

[0068] При приеме информации политики связи от устройства 300 управления политиками блок 48 управления политиками связи сохраняет информацию в блоке 49 хранения политик связи, а также передает информацию блоку 45 вычисления тракта-действия.

[0069] Следует отметить, что контроллер OpenFlow непатентной литературы 1 и 2 может быть применен как устройство 400 управления. Таким образом, операционные функции правила обработки (записи потока) при случае приема политики связи могут быть добавлены к контроллеру OpenFlow. Раскрытия непатентной литературы включены в настоящий документ по ссылке во всей своей полноте.

[0070] Блок 420 определения правил обработки передает блоку 120 хранения правил обработки устройства 110 управления терминалом правило обработки для определения, следует ли переслать пакет (например, правило обработки с источником "192.168.100.1", адресатом "192.168.0.3" и правом доступа "отказать" в таблице на фиг. 11), среди правил обработки, созданных блоком 45 вычисления тракта-действия. Способом пересылки от устройства 400 управления к блоку 120 хранения правил обработки устройства 110 управления терминалом может являться проводное соединение, беспроводное соединение или любой другой способ пересылки.

[0071] Каждый блок (средство обработки) устройства 400 управления, показанного на фиг. 12, и блок 410 управления трактом и блок 420 определения правил обработки могут быть реализованы посредством компьютерной программы, которая сохраняет упомянутую выше соответствующую информацию и исполняет соответствующие описанные выше процессы в компьютере, формирующем устройство 400 управления, с использованием его аппаратных средств.

[0072] Устройство 110 управления терминалом на фиг. 7 сконфигурировано из блока 120 хранения правил обработки и блока 130 управления доступом, аналогично фиг. 6. Блок 120 хранения правил обработки принимает от устройства 400 управления и сохраняет правило обработки для определения, следует ли пересылать пакет. Блок 130 управления доступом исполняет управление доступом для пакета, переданного от терминала 100 пользователя, в соответствии с правилом обработки, записанным в блоке 120 хранения правил обработки. Таким образом, в случае, когда в правиле обработки, соответствующем пакету, переданному терминалом (от терминала) 100 пользователя, определен отказ доступа, блок 130 управления доступом используемого терминала сам ограничивают передачу рассматриваемого пакета.

[0073] Блок 120 хранения правил обработки и блок 130 управления доступом из упомянутого выше устройства 110 управления терминалом могут быть реализованы посредством компьютерной программы, которая сохраняет упомянутую выше соответствующую информацию и исполняет описанные выше соответствующие процессы в компьютере терминала пользователя, который конфигурирует устройство 110 управления терминалом, с использованием его аппаратных средств. Следует отметить, что компьютерная программа может быть записана на невременном носителе записи, который является считываемым компьютером.

[0074] Далее дано подробное описание, относящееся к операциям настоящего иллюстративного варианта осуществления, со ссылкой на чертежи. Фиг. 13, фиг. 14 и фиг. 15 являются схемами последовательности, представляющими последовательность операций настоящего иллюстративного варианта осуществления. Как показано на фиг. 13, когда терминал пользователя обращается с запросом входа в систему к устройству 330 аутентификации, пакет, соответствующий запросу входа в систему, пересылается устройству 330 аутентификации (этап S001 на фиг. 13).

[0075] Устройство 330 аутентификации выполняет аутентификацию пользователя (этап S002 на фиг. 13). Устройство 330 аутентификации передает информацию аутентификации устройству 300 управления политиками (этап S003 на фиг. 13). Устройство 300 управления политиками обращается к блоку 310 хранения политик связи и блоку 320 хранения информации ресурсов на основе принятой информации аутентификации и определяет политику связи (этап S004 на фиг. 13). Устройство 300 управления политиками передает определенную политику связи устройству 400 управления (этап S005 на фиг. 13).

[0076] При приеме политики связи устройство 400 управления устанавливает в узле 200 пересылки правило обработки, определяющее содержание обработки, в котором запрос установить правило обработки, соответствующее пакету, переданному от терминала пользователя, передается устройству 400 управления (этап S006 в Фиг. 13). Устройство 400 управления определяет, следует ли пересылать пакет, и создает правило обработки, соответствующее результату определения (этап S007 на фиг. 13). Устройство управления передает созданное правило обработки устройству 110 управления терминалом (этап S008 на фиг. 13).

[0077] При приеме правила обработки, переданного устройством 400 управления, устройство 110 управления терминалом записывает правило обработки в блоке 120 хранения правил обработки (этап S009 на фиг. 13).

[0078] С использованием фиг. 14 и фиг. 15 дано описание соответствующих операций в случае, когда отправление пакета от терминала пользователя разрешено, и в случае, когда передача пакета запрещена, соответственно.

[0079] Фиг. 14 является схемой последовательности, представляющей последовательность операций в случае, когда передача пакета устройством 110 управления терминалом разрешена. Терминал пользователя передает пакет с адресатом сетевого ресурса (этап S101 на фиг. 14). Устройство 110 управления терминалом принимает пакет и определяет, следует передать пакет сетевому ресурсу (этап S102 на фиг. 14). Устройство 110 управления терминалом сравнивает IP-адрес адресата пакета, переданный от терминала пользователя, и правила обработки, записанные в блоке 120 хранения правил обработки. В случае, когда определено, что доступ разрешен, в правиле обработки, соответствующем пакету, переданному от терминала пользователя, устройство 110 управления терминалом передает пакет узлу 200 пересылки (этап S103 на фиг. 14).

[0080] Узел 200 пересылки принимает пакет от устройства 110 управления терминалом, определяет тракт пересылки пакета в соответствии с правилом обработки, записанным устройством 400 управления (этап S104 на фиг. 14) и передает пакет (этап S105 на фиг. 14).

[0081] Фиг. 15 является схемой последовательности, представляющей последовательность операций в случае, когда передача пакета устройством 110 управления терминалом запрещена. Когда терминал пользователя передает пакет с адресатом сетевого ресурса (этап S201 на фиг. 15), устройство 110 управления терминалом принимает пакет и определяет, следует ли передать пакет сетевому ресурсу (этап S202 на фиг. 15). Устройство 110 управления терминалом сравнивает IP-адрес адресата пакета, переданный от терминала пользователя, и правила обработки, записанные в блоке 120 хранения правил обработки. В случае, когда определено содержание, показывающее, что доступ запрещен, в правиле обработки, соответствующем пакету, переданному от терминала пользователя, устройство 110 управления терминалом ограничивает передачу пакета (пакет отбрасывается и т.п.) (этап S203 на фиг. 15).

[0082] Следует отметить, что устройство 400 управления может установить правило обработки для терминала, или терминал может периодически обращаться к устройству 400 управления, и терминал может получить правило обработки. Кроме того, также возможна комбинация этих двух механизмов. Следует отметить, что в случае необходимости в общей концепции и раскрытии настоящего описания в целом может быть сформулирован дополнительный выбор или комбинация (с удалением некоторого элемента(-ов) или этапа(-ов)), пока сохраняются базовая концепция и принцип.

[0083] Механизм для разрешения или запрещения пересылки пакета посредством блока 130 управления доступом может являться механизмом, подобным способу, выполняемому в узле пересылки, или может использоваться технология фильтрации пакетов, такая как в iptables. Кроме того, блок 130 управления доступом устройства 110 управления терминалом также может применить правило обработки, разрешающее или запрещающее пересылку пакета относительно физической сетевой карты (NIC) в терминале пользователя; применение также возможно к соответствующим виртуальным картам NIC, поддерживаемым множеством виртуальных машин (VM), работающих в терминале пользователя; и применение также возможно ко множеству виртуальных коммутаторов, работающих в терминале пользователя. Таким образом, блок 130 управления доступом может свободно определять место для исполнения управления доступом в терминале пользователя.

[0084] Как описано выше, пакет, переданный от терминала пользователя, может быть подвергнут ограничению доступа в терминале пользователя без передачи узлу 200 пересылки посредством устройства 110 управления терминалом внутри терминала пользователя. Таким образом, нагрузка на устройство управления, сопровождающая запрос установки правила обработки, и нагрузка обработки пересылки узла пересылки могут быть значительно уменьшены.

[0085] Второй иллюстративный вариант осуществления

Далее дается описание, относящееся ко второму иллюстративному варианту осуществления настоящего раскрытия, в котором к операциям устройства управления политиками описанного выше первого иллюстративного варианта осуществления добавлена модификация. Поскольку настоящий иллюстративный вариант осуществления может быть реализован посредством конфигурации, эквивалентной описанному выше первому иллюстративному варианту осуществления, ниже дано описание, сосредоточенное на различиях в их работе.

[0086] Фиг. 16 является схемой последовательности, представляющей последовательность операций второго иллюстративного варианта осуществления настоящего раскрытия. Терминал пользователя делает запрос входа в систему к устройству 330 аутентификации (этап S301 на фиг. 16). Устройство 330 аутентификации выполняет аутентификацию пользователя (этап S302 на фиг. 16). Устройство 330 аутентификации передает информацию аутентификации устройству 300 управления политиками на основе результата аутентификации пользователя (этап S303 на фиг. 16).

[0087] Устройство 300 управления политиками определяет политику связи для пользователя на основе информации аутентификации, принятой от устройства 330 аутентификации (этап S304 на фиг. 16). Устройство 300 управления политиками передает определенную политику связи устройству 400 управления (этап S305 на фиг. 16).

[0088] Устройство 400 управления генерирует правило обработки на основе политики связи, принятой от устройства 300 управления политиками, и устанавливает правило обработки в узле 200 пересылки (этап S306 на фиг. 16). Эти операции являются такими же, как в первом иллюстративном варианте осуществления. В настоящем иллюстративном варианте осуществления после того, как устройство 400 управления установило правило обработки в узле 200 пересылки, делается ссылка на информационное содержание правила обработки, и правило обработки для определения, следует ли пересылать пакет, передается устройству 300 управления политиками (этап S307 на фиг. 16).

[0089] Устройство 300 управления политиками, которое приняло правило обработки для определения, следует ли пересылать пакет, использует информацию блока 310 хранения политик связи и блока 320 хранения информации ресурсов для выбора другого пользователя, для которого должно быть применено правило обработки (этап S309 на фиг. 16).

[0090] Фиг. 17 является схемой, представляющей пример, в котором устройство 300 управления политиками, которое приняло правило обработки для определения, следует ли пересылать пакет, выбирает другого пользователя, для которого должно быть применено правило обработки. Например, как показано на фиг. 17, имеется правило обработки (ниже правило (правила) обработки (a)), которое запрещает доступ, когда источником является "IP: 192.168.100.0/24", и адресатом является "192.168.0.3". В этом случае устройство 300 управления политиками ищет другого пользователя (идентификатор ресурса или идентификатор группы ресурсов), который согласуется с правилом (правилами) обработки, и выбирает другого пользователя, который согласуется (например, с источником "192.168.100.10", другие условия имеют тот же самый идентификатор ресурса и идентификатор группы ресурсов, как для пользователя правила (правил) обработки (a)). В описании ниже пользователь, который выполняет процесс входа в систему (этап S301) на фиг. 16, является пользователем A, терминал пользователя, используемый пользователем А, является терминалом A пользователя, и устройство управления терминалом, которым обладает терминал A пользователя, является устройством A управления терминала. Кроме того, пользователь, выбранный на основе правила обработки, принятого от устройства 400 управления устройством 300 управления политиками на фиг. 16, является пользователем B, терминал пользователя, используемый пользователем B, является терминалом B пользователя, и устройство управления терминалом, которым обладает терминал B пользователя, является устройством B управления терминала.

[0091] Устройство 300 управления политиками принимает правило обработки (a) для определения, следует ли пересылать пакет пользователю A от устройства 400 управления, и после выбора пользователя B, который согласуется с правилом обработки (a), устанавливает соответствующие правила обработки в устройстве A управления терминала из терминала A пользователя и в устройстве B управления терминала из терминала B пользователя (этапы S310 и S312 на фиг. 16). Следует отметить, что любой порядок может использоваться в качестве порядка, в котором устройство 400 управления передает правила обработки устройству A управления терминала и устройству B управления терминала.

[0092] При приеме правила обработки, переданного устройством 400 управления, устройство A управления терминала записывает правило обработки в блоке хранения правил обработки устройства A управления терминала (этап S311 на фиг. 16). Аналогичным образом, при приеме правила обработки, переданного устройством 400 управления, устройство B управления терминала записывает правило обработки в блоке хранения правил обработки устройства B управления терминала (этап S313 на фиг. 16).

[0093] После того операции в случае, когда передача пакета от терминала A пользователя и терминала B пользователя разрешена, и в случае, когда передача пакета запрещена, аналогичны первому иллюстративному варианту осуществления, описанному с использованием фиг. 14 и фиг. 15.

[0094] В результате описанной выше последовательности операций в случае, когда правило обработки, установленное для терминала некоторого пользователя, также применимо к другому пользователю, посредством заблаговременной записи правила обработки также и в устройстве управления терминала другого пользователя возможно уменьшить нагрузку устройства управления, сопровождающую запрос установки правила обработки, и нагрузку обработки пересылки узла пересылки.

[0095] Третий иллюстративный вариант осуществления

Далее дается описание третьего иллюстративного варианта осуществления настоящего раскрытия со ссылкой на фиг. 18. Когда соответствующие элементы на фиг. 18 имеют такие же номера для ссылок, как элементы в других иллюстративных вариантах осуществления, элементы являются такими же, как описанные в других иллюстративных вариантах осуществления. Ниже подробное описание конфигурации настоящего иллюстративного варианта осуществления опущено.

[0096] Устройство 400 управления устанавливает правило обработки, определяющее запись идентификатора терминала для пакета относительно терминала 100. Следует отметить, что случаи, в которых правило обработки устанавливается для терминала 100 устройством 400 управления, могут быть произвольными. Например, в случае, когда устройство 400 управления принимает пакет (например, пакет аутентификации или пакет входа в систему) для запроса доступа, переданный терминалом 100, правило обработки может быть установлено для терминала 100. Кроме того, устройство 400 управления может установить правило обработки для терминала 100 в произвольное время.

[0097] Устройство 400 управления включает в правило обработки правило согласования для согласования с пакетом, который является целью обработки, чтобы записать идентификатор терминала, и устанавливает правило обработки в терминале 100.

[0098] Терминал 100 записывает идентификатор в терминале в произвольном поле пакета (например, предписанном поле заголовка) в соответствии с установленным правилом обработки. Терминал 100 передает пакет, в котором записан идентификатор, сети, составленной из узлов 200 пересылки.

[0099] Узел 200 пересылки принимает пакет, включающий в себя идентификатор терминала, от терминала 100 и проверяет, имеется ли правило обработки, соответствующее идентификатору терминала, из правил обработки, которые он содержит. В случае, когда нет правила обработки, соответствующего идентификатору терминала, узел 200 пересылки передает запрос для установки правила обработки, соответствующего идентификатору терминала, устройству 400 управления.

[0100] Устройство 400 управления, которое принимает запрос от узла 200 пересылки, определяет тракт пересылки, соответствующий идентификатору терминала, и передает правило обработки, соответствующее тракту пересылки, узлу 200 пересылки. В правиле обработки, установленном в узле 200 пересылки, идентификатор терминала установлен в правиле согласования, и обработка пакета, соответствующего идентификатору, установлена в содержании обработки. После того, как правило обработки было установлено, узел 200 пересылки обрабатывает пакет, который включает в себя идентификатор терминала, в соответствии с правилом обработки, соответствующим идентификатору терминала, включенному в пакет.

[0101] В соответствии с настоящим иллюстративным вариантом осуществления устройство 400 управления может гибко управлять потоком пакетов в блоках терминалов. Кроме того, поскольку для устройства 400 управления или узла 200 пересылки нет необходимости распознавать идентификатор терминала, нагрузка обработки, необходимая для сбора идентификаторов терминалов устройством 400 управления и узлом 200 пересылки, значительно уменьшается. Кроме того, поскольку устройство 400 обработки может заранее установить правило обработки, которое соответствует идентификатору терминала, в узле 200 пересылки, возможно сократить запросы к устройству 400 управления, сгенерированные вследствие правила обработки, не установленного в узле 200 пересылки. Таким образом, нагрузка обработки на устройство 400 управления значительно уменьшается.

[0102] Четвертый иллюстративный вариант осуществления

Далее дается описание четвертого иллюстративного варианта осуществления настоящего раскрытия со ссылкой на фиг. 19. Когда соответствующие элементы на фиг. 19 имеют такие же номера для ссылок, как элементы в других иллюстративных вариантах осуществления, элементы являются такими же, как описанные в других иллюстративных вариантах осуществления. Ниже подробное описание конфигурации настоящего иллюстративного варианта осуществления опущено.

[0103] Устройство 400 управления устанавливает правило обработки относительно качества обслуживания (QoS) в отношении предписанного терминала 100. Следует отметить, что случаи, в которых правило обработки устанавливается для терминала 100 устройством 400 управления, могут быть произвольными. Например, в случае, когда устройство 400 управления принимает пакет (например, пакет аутентификации или пакет входа в систему) для запроса доступа, переданный терминалом 100, правило обработки может быть установлено для терминала 100. Кроме того, устройство 400 управления может установить правило обработки для терминала 100 в произвольное время. Кроме того, устройство 400 управления может передать информацию качества обслуживания только предписанному терминалу 100, выбранному посредством предписанного условия.

[0104] Правило обработки относительно качества обслуживания, например, определяет обработку для записи информации качества обслуживания пакета для пакета, который был передан от предписанного терминала 100. Следует отметить, что информация качества обслуживания представляет собой, например, класс качества обслуживания, в котором выполняется подразделение классов согласно приоритету. Устройство 400 управления управляет узлом 200 пересылки таким образом, чтобы обеспечить ширину полосы относительно пакета с высоким классом качества обслуживания. Кроме того, устройство 400 управления может установить правило обработки, определяющее запись низкого класса качества обслуживания пакета для терминала 100, и может управлять узлом 200 пересылки таким образом, чтобы временно изолировать трафик от интенсивного потребителя с высокой частотой связи на тракте с узкой полосой. Устройство 400 управления может определить правило обработки, установленное в терминале 100, на основе записей сеанса связи или информации о местоположении терминала 100.

[0105] Устройство 400 управления включает в правило обработки правило согласования для согласования пакета, который является целью для обработки, для записи информации качества обслуживания и устанавливает правило обработки в терминале 100.

[0106] Терминал 100 записывает информацию качества обслуживания в произвольном поле пакета (например, в предписанном поле заголовка) в соответствии с установленным правилом обработки. Терминал 100 передает пакет, в котором информация качества обслуживания, сети, составленной из узлов 200 пересылки.

[0107] Узел 200 пересылки принимает пакет, включающий в себя информацию качества обслуживания, от терминала 100 и проверяет, имеется ли правило обработки, соответствующее информации качества обслуживания, из правил обработки, которые он содержит. В случае, когда нет правила обработки, соответствующего информации качества обслуживания, узел 200 пересылки передает запрос установки правила обработки, соответствующего информации качества обслуживания, включенной в пакет, устройству 400 управления. Однако устройство 400 управления может заранее установить правило обработки, соответствующее информации качества обслуживания в узле 200 пересылки. В этом случае запросы установки правила обработки для устройства 400 управления значительно уменьшаются.

[0108] Устройство 400 управления, которое принимает запрос от узла 200 пересылки, определяет тракт пересылки, соответствующий информации качества обслуживания, и передает правило обработки, соответствующее тракту пересылки, узлу 200 пересылки. Во правиле обработки, установленном в узле 200 пересылки, информация качества обслуживания установлена в правиле согласования, и обработка пакета, соответствующего информации качества обслуживания, установлена в содержании обработки. После того, как правило обработки было установлено, узел 200 пересылки обрабатывает пакет, который включает в себя информацию качества обслуживания, в соответствии с правилом обработки, соответствующим информации качества обслуживания, включенной в пакет.

[0109] В соответствии с настоящим иллюстративным вариантом осуществления возможно выполнить управление качеством обслуживания для терминала посредством инициативы сетевого оператора, который администрирует устройство 400 управления. Кроме того, поскольку устройство 400 управления может заранее установить правило обработки, соответствующее информации качества обслуживания, в узле 200 пересылки, возможно значительно уменьшить запросы установки правила обработки от узлов 200 пересылки. Таким образом, нагрузка обработки на устройство 400 управления значительно уменьшается. Кроме того, поскольку нет необходимости выполнять обработку для записи информацию качества обслуживания в узлах 200 пересылки, возможно значительно уменьшить нагрузку обработки пакетов для узлов 200 пересылки.

[0110] Пятый иллюстративный вариант осуществления

Далее дается описание пятого иллюстративного варианта осуществления настоящего раскрытия со ссылкой на фиг. 20. Когда соответствующие элементы на фиг. 20 имеют такие же номера для ссылок, как элементы в других иллюстративных вариантах осуществления, элементы являются такими же, как описанные в других иллюстративных вариантах осуществления. Ниже подробное описание конфигурации настоящего иллюстративного варианта осуществления опущено.

[0111] Устройство 400 управления устанавливает правило обработки для предписанного терминала 100, определяя перенаправление запроса доступа терминала 100. Например, в случае, когда желательно привести пользователя терминала 100 на заданный рекламный сайт, устройство 400 управления устанавливает правило обработки, определяющее перенаправление запроса доступа. Например, в случае, когда терминал 100 запрашивает доступ к некоторому сайту, выполняющему электронную коммерцию, устройство 400 управления устанавливает правило обработки для терминала 100, чтобы перенаправить запрос доступа к соответствующему сайту, выполняющему специальное мероприятие, такое как скидка и т.п. Следует отметить, что устройство 400 управления может установить правило обработки для терминала 100, с тем чтобы выполнить перенаправление только для первого запроса доступа терминала 100. Устройство 400 управления может добавить период действия к правилу обработки, перенаправляющему связь в терминале 100, и установить правило обработки в терминале 100. Кроме того, устройство 400 управления может обратиться к записи сеанса связи терминала 100, чтобы определить адресат перенаправления. Например, устройство 400 управления может проанализировать предпочтения пользователя на основе записи сеанса связи и может установить правило обработки для терминала 100, перенаправляющее на рекламный сайт и т.п., в соответствии с предпочтениями. Кроме того, устройство 400 управления может определить адресат перенаправления на основе местоположения терминала 100. Например, устройство 400 управления распознает местоположение терминала 100 на основе информации о местоположении (GPS и т.п.), переданной от терминала 100, или информации о местоположении точки доступа, в которой терминал 100 получает доступ к сети. Устройство 400 управления устанавливает правило обработки, определяющее перенаправление на адресат предписанного веб-сайта и т.п., имеющего отношение к местоположению, на основе местоположения терминала 100.

[0112] Устройство 400 управления, например, передает терминалу 100 правило обработки, выполняющее перезапись поля "адресата" заголовка пакета запроса доступа, переданного от терминала 100. Кроме того, устройство 400 управления определяет тракт пересылки, соответствующий адресату перенаправления, и устанавливает правило обработки, соответствующее определенному тракту, в узле 200 пересылки. Устройство 400 управления может заранее установить правило обработки, соответствующее адресату перенаправления, в узле 200 пересылки. В этом случае запросы установки правила обработки для устройства 400 управления значительно уменьшаются.

[0113] Устройство 400 управления включает в правило обработки правило согласования для соответствия пакета, который является целью для перенаправления, и устанавливает правило обработки в терминале 100.

[0114] Терминал 100 переписывает поле адресата заголовка пакета в соответствии с правилом обработки, которое было установлено, на адресат перенаправления, установленный в правиле обработки. Терминал 100 передает пакет, в котором переписано поле адресата, сети, составленной из узлов 200 пересылки.

[0115] Узлы 200 пересылки передают пакет в соответствии с правилом обработки, соответствующим перенаправленному адресату.

[0116] В соответствии с настоящим иллюстративным вариантом осуществления посредством использования устройства 400 управления поставщик услуг в сети может привести пользователя терминала на заданный сайт. Кроме того, поскольку устройство 400 управления может заранее установить правило обработки, соответствующее перенаправленному адресату, в узлах 200 пересылки, возможно значительно уменьшить запросы установки правил обработки от узлов 200 пересылки. Таким образом, нагрузка обработки на устройство 400 управления значительно уменьшается. Кроме того, поскольку нет необходимости выполнять обработку для перезаписи адресата пакета в узлах 200 пересылки, обработка пакетов для узлов 200 пересылки значительно уменьшается.

[0117] Шестой иллюстративный вариант осуществления

Далее дается описание шестого иллюстративного варианта осуществления настоящего раскрытия со ссылкой на фиг. 21. Когда соответствующие элементы на фиг. 21 имеют такие же номера для ссылок, как элементы в других иллюстративных вариантах осуществления, элементы являются такими же, как описанные в других иллюстративных вариантах осуществления. Ниже подробное описание конфигурации настоящего иллюстративного варианта осуществления опущено.

[0118] Устройство 400 управления устанавливает правило обработки, определяющее запись информации о счете для пользователя терминала, для пакета относительно предписанного терминала 100. Информация о счете, например, имеет отношение к тарификационному классу, в котором пользователь терминала выполняет договор с оператором сети, в соответствии с качеством службы связи и т.п. Следует отметить, что случаи, в которых правило обработки устанавливается для терминала 100 устройством 400 управления, могут быть произвольными. Например, в случае, когда устройство 400 управления принимает пакет (например, пакет аутентификации или пакет входа в систему) для запроса доступа, переданный терминалом 100, правило обработки может быть установлено для терминала 100. Кроме того, устройство 400 управления может установить правило обработки для терминала 100 в произвольное время.

[0119] Устройство 400 управления включает в правило обработки правило согласования для соответствия пакета, который является целью для обработки, для записи информации о счете и устанавливает правило обработки в терминале 100.

[0120] Устройство 400 управления управляет узлами 200 пересылки, чтобы обеспечить для пакетов высокого тарификационного класса более высокое качество обслуживания (давая приоритет диапазону и т.п.), чем для пакетов в низком тарификационном классе.

[0121] Терминал 100 записывает информацию о счете в произвольном поле пакета (например, в предписанном поле заголовка) в соответствии с установленным правилом обработки. Терминал 100 передает пакет, в котором записана информация о счете, сети, составленной из узлов 200 пересылки.

[0122] Узел 200 пересылки принимает пакет, включающий в себя информацию о счете, от терминала 100 и проверяет, имеется ли правило обработки, соответствующее информации о счете, из правил обработки, которые он содержит. В случае, когда нет правила обработки, соответствующего информации о счете, узел 200 пересылки передает запрос установки правила обработки, соответствующего информации о счете, включенной в пакет, устройству 400 управления. Однако устройство 400 управления может заранее установить правило обработки, соответствующее информации о счете, в узле 200 пересылки. В этом случае запросы установки правила обработки для устройства 400 управления значительно уменьшаются.

[0123] Устройство 400 управления, которое принимает запрос от узла 200 пересылки, определяет тракт пересылки, соответствующий информации о счете, и передает правило обработки, соответствующее тракту пересылки, узлу 200 пересылки. В правиле обработки, установленном в узле 200 пересылки, информация о счете установлена в правиле согласования, и обработка пакета, соответствующего информации о счете, установлена как содержание обработки. После того, как правило обработки было установлено, узел 200 пересылки обрабатывает пакет, который включает в себя информацию о счете, в соответствии с правилом обработки, соответствующим информации о счете, включенной в пакет.

[0124] Следует отметить, что также возможна комбинация настоящего иллюстративного варианта осуществления и пятого иллюстративного варианта осуществления. Устройство 400 управления может установить правило обработки, определяющее перенаправление на сайт, рекомендующий обновление тарификационного класса, терминалу 100 пользователя, для которого тарификационный класс является низким, и который находится в состоянии качества обслуживания ниже предписанного порога, и это продолжается в течение фиксированного периода.

[0125] В соответствии с настоящим иллюстративным вариантом осуществления возможно управлять качеством службы связи в соответствии с информацией о счете пользователя терминала посредством инициативы оператора сети, который администрирует устройство 400 управления. Кроме того, поскольку устройство 400 управления может заранее установить правило обработки, соответствующее информации о счете, в узле 200 пересылки, возможно значительно уменьшить запросы установки правила обработки от узлов 200 пересылки. Таким образом, нагрузка обработки на устройстве 400 управления значительно уменьшается. Кроме того, поскольку нет необходимости выполнять обработку для записи информации о счете в узлах 200 пересылки, возможно значительно уменьшить нагрузку обработки пакетов для узлов 200 пересылки.

[0126] Седьмой иллюстративный вариант осуществления

Далее дается описание седьмого иллюстративного варианта осуществления. Фиг. 22 является схемой, представляющей пример конфигурации седьмого иллюстративного варианта осуществления настоящего раскрытия. Седьмой иллюстративный вариант осуществления отличается от описанных выше иллюстративных вариантов осуществления тем, что устройство 400A управления включает в себя блок 610 оценки изменения. Блок 610 оценки изменения содержит хеш-значение правила обработки, установленного в терминале 100, определенного блоком 420 определения правил обработки.

[0127] Блок 610 оценки изменения сравнивает хеш-значение правила обработки, записанного в блоке 120 хранения правил обработки устройства 110 управления терминалом, и хеш-значение, которое он сам содержит. В случае, когда хеш-значения отличаются, блок 610 оценки изменения решает, что правило обработки, установленное в терминале 100, было изменено. Чтобы гарантировать безопасность системы связи, блок 610 оценки изменения записывает правило обработки, запрещающее доступ от этого терминала 100, в узлах 200 пересылки. Следует отметить, что при установке правила обработки, запрещающего доступ, в узлах 200 пересылки, блок 610 оценки изменения может установить период действия в правиле обработки.

[0128] Далее дается описание, имеющее отношение к работе седьмого иллюстративного варианта осуществления. Описание, относящееся к операциям, которые являются такими же, как в описанном выше иллюстративном варианте осуществления, опущено. Ниже дается описание, сосредоточенное на различиях операций.

[0129] Фиг. 23 является схемой последовательности, представляющей последовательность операций седьмого иллюстративного варианта осуществления настоящего раскрытия. Терминал пользователя выполняет запрос входа в систему к устройству 330 аутентификации (этап S401 на фиг. 23). Устройство 330 аутентификации выполняет аутентификацию пользователя (этап S402 на фиг. 23). Устройство 330 аутентификации передает информацию аутентификации устройству 300 управления политиками на основе результата аутентификации пользователя (этап S403 на фиг. 23).

[0130] Устройство 300 управления политиками определяет политику связи для пользователя на основе информации аутентификации, принятой от устройства 330 аутентификации (этап S404 на фиг. 23). Устройство 300 управления политиками передает определенную политику связи устройству 400 управления (этап S405 на фиг. 23).

[0131] Устройство 400 управления определяет правило обработки на основе политики связи, принятой от устройства 300 управления политиками, и устанавливает правило обработки в узле 200 пересылки. При приеме политики связи устройство 400 управления устанавливает правило обработки для выполнения запроса установки правила обработки для пакета от терминала пользователя в узле 200 пересылки (этап S406 на фиг. 23). Устройство 400 управления определяет правило обработки для установки в терминале 100 (этап S407 на фиг. 23). Устройство 400 управления передает определенное правило обработки устройству 110 управления терминалом (этап S408 на фиг. 23).

[0132] При приеме правила обработки, переданного устройством 400 управления, устройство 110 управления терминалом записывает правило обработки в блоке 120 хранения правил обработки (этап S409 на фиг. 23).

[0133] Блок 610 оценки изменения устройства 400 управления генерирует хеш-значение, требуемое установленным правилом обработки для терминала 100 (этап S410 на фиг. 23).

[0134] Устройство 110 управления терминалом генерирует хеш-значение, требуемое правилом обработки, установленным устройством 400 управления (этап S411 на фиг. 23), и передает хеш-значение блоку 610 оценки изменения устройства 400 управления (этап S412 на фиг. 23).

[0135] Блок 610 оценки изменения устройства 400 управления сопоставляет хеш-значение, сгенерированное блоком 610 оценки изменения, и хеш-значение, переданное устройством 110 управления терминалом (этап S413 на фиг. 23). Если результат сопоставления хеш-значений состоит в том, что значения совпадают, блок 610 оценки изменения устройства 400 управления расценивает его как нормальный и завершает последовательность обработки. С другой стороны, если результат сопоставления хеш-значений состоит в том, что значения отличаются, делается определение, что правило обработки было изменено пользователем терминала 100, генерируется правило обработки, запрещающее доступ от этого терминала 100, и правило обработки устанавливается в узле 200 пересылки (этап S414 на фиг. 23). Следует отметить, что блок 610 оценки изменения может установить период действия в правиле обработки, запрещающем доступ от терминала 100.

[0136] В результате описанной выше последовательности операций в случае, когда некоторый пользователь изменил правило обработки, сохраненное в терминале пользователя, устройство управления обнаруживает изменение, и посредством установки правила обработки, запрещающего весь доступ этого пользователя в узлах пересылки, возможно предотвратить преднамеренный контроль пользователя над рассматриваемой системой управления доступом.

[0137] Выше были даны описания соответствующих иллюстративных вариантов осуществления настоящего раскрытия, но настоящее раскрытие не ограничено упомянутыми выше иллюстративными вариантами осуществления, и возможно добавить дополнительные модификации, изменения и корректировки в объеме, который не отступает от фундаментальных технологических концепций раскрытия. Например, в описанных выше соответствующих иллюстративных вариантах осуществления было дано описание, в котором устройство 400 управления, устройство 330 аутентификации, устройство 300 управления политиками, блок 310 хранения политик связи и блок 320 хранения информации ресурсов 320 обеспечены независимо, но также возможно использовать конфигурацию, в которой они соответствующим образом интегрированы.

[0138] Кроме того, в описанных выше иллюстративных вариантах осуществления было дано описание, в котором управление доступом выполняется посредством назначения пользователю идентификатора роли, как показано на фиг. 8-11, но также возможно выполнить управление доступом посредством использования идентификатора доступа, такого как MAC-адрес, или идентификатора пользователя, назначенного каждому пользователю, или информации о местоположении терминала 100 пользователя и т.п.

[0139] Кроме того, в упомянутых выше иллюстративных вариантах осуществления было дано описание, в котором терминал 100 пользователя выполняет процедуру аутентификации с помощью устройства 330 аутентификации через узел 200 пересылки, но также возможно использовать конфигурацию, в которой терминал 100 пользователя осуществляет связь непосредственно с устройством 330 аутентификации и реализует процедуру аутентификации.

[0140] Следует отметить, что каждое раскрытие упомянутой выше патентной литературы и непатентной литературы включено в настоящий документ по ссылке. Модификации и корректировки иллюстративных вариантов осуществления возможны в пределах границ всего раскрытия (в том числе объема формулы изобретения) настоящего изобретения, а также на основе его фундаментальных технологических концепций. Кроме того, в рамках объема формулы настоящего изобретения возможно большое разнообразие комбинаций и вариантов выбора (в том числе некоторые удаления) различных раскрытых элементов (в частности, любых элементов и/или этапов раскрытых различных иллюстративных вариантов осуществления или примеров). Таким образом, настоящее изобретение явно включает в себя каждый тип преобразования и модификации, которые специалист в области техники может реализовать в соответствии со всем раскрытием, в том числе с объемом формулы изобретения, и с его технологическими концепциями.

[0141] Список обозначений

1 терминал

2 узел пересылки

3 устройство управления

10 блок связи

11 блок хранения

12 блок обработки

21 блок хранения

22 блок связи с устройством управления

23 блок обработки

31 блок связи

32 блок управления

33 блок управления политиками

40 блок связи с узлом

41 блок обработки сообщения управления

42 блок управления правилами обработки

43 блок хранения правил обработки

44 блок управления узлом пересылки

45 блок вычисления тракта-действия

46 блок управления топологией

47 блок управления местоположением терминала

48 блок управления политиками связи

49 блок хранения политик связи

100 терминал

110 устройство управления терминалом

120 блок хранения правил обработки

130 блок управления доступом

200 узел пересылки

300 устройство управления политиками

310 блок хранения политик связи

320 блок хранения информации ресурсов

330 устройство аутентификации

400, 400A устройство управления

410 блок управления трактом

420 блок определения правил обработки

500, 500A, 500B сетевой ресурс

610 блок оценки изменения.

1. Терминал, выполненный с возможностью связи с сетью, включающей в себя по меньшей мере одно устройство пересылки для пересылки пакета и устройство управления для управления упомянутым устройством(-ами) пересылки в соответствии с запросом от упомянутого устройства пересылки, причем упомянутый терминал отличается тем, что содержит:
блок связи, который принимает от упомянутого устройства управления правило обработки, указывающее способ обработки пакета, который определен упомянутым устройством управления;
блок хранения, который сохраняет упомянутое принятое правило обработки;
блок обработки, который в случае связи с упомянутой сетью обрабатывает пакет в соответствии с упомянутым правилом обработки, которое соответствует пакету, посредством обращения к упомянутому правилу обработки, хранящемуся в упомянутом блоке хранения; и
запрашивающий блок, который отправляет запрос на установку правила обработки для пакета, в случае, когда правило обработки, которое соответствует пакету, не сохранено в блоке хранения.

2. Терминал по п. 1, отличающийся тем, что упомянутый блок связи принимает правило обработки, определенное упомянутым устройством управления на основе политики, соответствующей самому пользователю терминала.

3. Терминал по п. 1, отличающийся тем, что упомянутый блок связи принимает правило обработки, определенное упомянутым устройством управления на основе политики, соответствующей аутентифицированному пользователю.

4. Терминал по любому из пп. 1-3, отличающийся тем, что он дополнительно содержит блок передачи запроса, который передает запрос доступа упомянутой сети, причем
упомянутый блок связи принимает правило обработки, определенное упомянутым устройством управления в соответствии с упомянутым запросом доступа.

5. Терминал по любому из пп. 1-3, отличающийся тем, что он дополнительно содержит блок передачи запроса, который передает запрос доступа к упомянутой сети, причем
упомянутый блок связи принимает правило обработки, определенное упомянутым устройством управления в соответствии с упомянутым запросом доступа, переданным через упомянутое устройство пересылки.

6. Терминал по любому из пп. 1-3, отличающийся тем, что упомянутый блок связи принимает от упомянутого устройства управления второе правило обработки, соответствующее первому правилу обработки, установленному упомянутым устройством управления относительно упомянутого устройства пересылки.

7. Терминал по любому из пп. 1-3, отличающийся тем, что упомянутый блок обработки сопоставляет информацию, включенную в пакет, и правило обработки, хранящееся в упомянутом блоке хранения, и обрабатывает пакет в соответствии с упомянутым правилом обработки, соответствующим информации, включенной в пакет.

8. Терминал по любому из п. 2 или 3, отличающийся тем, что упомянутый блок обработки добавляет информацию, соответствующую упомянутой политике, к пакету в соответствии с правилом обработки, хранящимся в упомянутом блоке хранения.

9. Терминал по любому из пп. 1-3, отличающийся тем, что упомянутый блок обработки генерирует первую информацию, требуемую правилом обработки, хранящимся в упомянутом блоке хранения, и передает упомянутую первую информацию к упомянутой сети с тем, чтобы по меньшей мере одно из либо упомянутого устройства управления, либо упомянутого устройства пересылки сопоставило упомянутую первую информацию и упомянутую вторую информацию, требуемую правилом обработки, определенным упомянутым устройством управления.

10. Устройство управления, выполненное с возможностью устанавливать правило обработки для пакета относительно по меньшей мере одного устройства пересылки для пересылки пакетов, упомянутое устройство управления отличается тем, что содержит:
блок приема запроса, который принимает запрос доступа, переданный от терминала, для доступа к сети, в которой упомянутое устройство пересылки обрабатывает пакет в соответствии с упомянутым правилом обработки;
блок управления, который определяет правило обработки, установленное в упомянутом терминале, в соответствии с упомянутым запросом доступа;
блок связи, который передает упомянутое определенное правило обработки упомянутому терминалу; и
запрашивающий блок, который отправляет запрос на установку правила обработки для пакета, в случае, когда правило обработки, которое соответствует пакету, не сохранено в блоке хранения.

11. Устройство управления по п. 10, отличающееся тем, что упомянутый блок управления определяет правило обработки на основе политики, соответствующей пользователю упомянутого терминала.

12. Устройство управления по п. 10, отличающееся тем, что упомянутый блок управления определяет правило обработки на основе политики, соответствующей аутентифицированному пользователю.

13. Устройство управления по любому из пп. 10-12, отличающееся тем, что упомянутый блок управления определяет правило обработки в соответствии с запросом доступа, переданным через упомянутое(-ые) устройство(-а) пересылки.

14. Устройство управления по любому из пп. 10-12, отличающееся тем, что
упомянутый блок управления определяет второе правило обработки, соответствующее первому правилу обработки, установленному для упомянутого устройства пересылки, и
упомянутый блок связи передает упомянутое второе правило обработки упомянутому терминалу.

15. Устройство управления по любому из п. 11 или 12, отличающееся тем, что
упомянутый блок управления определяет правило обработки, чтобы добавить к пакету информацию, соответствующую упомянутой политике, и
упомянутый блок связи передает упомянутое определенное правило обработки упомянутому терминалу.

16. Устройство управления по любому из пп. 10-12, отличающееся тем, что упомянутый блок управления определяет правило обработки для установки в упомянутом терминале, генерирует первую информацию, требуемую упомянутым правилом обработки, и сопоставляет вторую информацию, принятую от упомянутого терминала, и упомянутую первую информацию.

17. Устройство управления по любому из пп. 10-12, отличающееся тем, что
упомянутый блок управления определяет правило обработки для установки в упомянутом терминале и генерирует первую информацию, требуемую упомянутым правилом обработки, и
упомянутый блок связи передает упомянутую первую информацию упомянутому устройству пересылки с тем, чтобы сопоставить вторую информацию, переданную от упомянутого терминала упомянутому устройству пересылки, и упомянутую первую информацию.

18. Способ связи для управления терминалом, осуществляющим связь с сетью, включающей в себя по меньшей мере одно устройство пересылки для пересылки пакета и устройство управления для управления упомянутым(-и) устройством(-ами) пересылки в соответствии с запросом от упомянутого устройства пересылки, упомянутый способ отличается тем, что содержит:
этап приема, на котором принимают правило обработки, указывающее способ обработки пакета, от упомянутого устройства управления;
этап, на котором сохраняют упомянутое принятое правило обработки в блоке хранения; и
этап обработки, на котором обрабатывают, в случае связи с упомянутой сетью пакет в соответствии с упомянутым правилом обработки, которое соответствует пакету, посредством обращения к упомянутому правилу обработки, хранящемуся в упомянутом блоке хранения; и
этап запроса, на котором отправляют запрос на установку правила обработки для пакета, в случае, когда правило обработки, которое соответствует пакету, не сохранено в блоке хранения.

19. Способ связи по п. 18, отличающийся тем, что упомянутый этап приема является этапом, на котором принимают правило обработки, определенное упомянутым устройством управления на основе политики, соответствующей пользователю терминала.

20. Способ связи по п. 18, отличающийся тем, что упомянутый этап приема является этапом, на котором принимают правило обработки, определенное упомянутым устройством управления на основе политики, соответствующей упомянутому пользователю, который был аутентифицирован.

21. Способ связи по п. 18, отличающийся тем, что он дополнительно содержит:
этап передачи запроса, на котором передают запрос доступа к упомянутой сети, причем
упомянутый этап приема является этапом, на котором принимают правило обработки, определенное упомянутым устройством управления в соответствии с упомянутым запросом доступа.

22. Способ связи по п. 18, отличающийся тем, что он дополнительно содержит:
этап передачи запроса, на котором передают запрос доступа к упомянутой сети, причем
упомянутый этап приема является этапом, на котором принимают правило обработки, определенное упомянутым устройством управления в соответствии с упомянутым запросом доступа, переданным через упомянутое(-ые) устройство(-а) пересылки.

23. Способ связи по п. 18, отличающийся тем, что упомянутый этап приема является этапом, на котором принимают второе правило обработки, соответствующее первому правилу обработки, установленному упомянутым устройством управления для упомянутого устройства пересылки.

24. Способ связи по любому из пп. 18-23, отличающийся тем, что упомянутый этап обработки является этапом, на котором сопоставляют информацию, включенную в пакет, и правило обработки, хранящееся в упомянутом блоке хранения, и обрабатывают пакет в соответствии с правилом обработки, соответствующим информации, включенной в пакет.

25. Способ связи по любому из пп. 19 или 20, отличающийся тем, что упомянутый этап обработки является этапом, на котором добавляют к пакету информацию, соответствующую упомянутой политике, в соответствии с правилом обработки, хранящимся в упомянутом блоке хранения.

26. Способ связи по любому из пп. 18-23, отличающийся тем, что упомянутый этап обработки является этапом, на котором генерируют первую информацию, требуемую правилом обработки, хранящимся в упомянутом блоке хранения, и передают упомянутую первую информацию упомянутой сети с тем, чтобы по меньшей мере одно из либо упомянутого устройства управления, либо упомянутого устройства пересылки сопоставило упомянутую первую информацию и
упомянутую вторую информацию, требуемую упомянутым правилом обработки, определенным упомянутым устройством управления.

27. Система связи, включающая в себя по меньшей мере одно устройство пересылки для пересылки пакета, устройство управления для управления упомянутым(-и) устройством(-ами) пересылки в соответствии с запросом от упомянутого устройства пересылки и терминал, осуществляющий связь с сетью, включающей в себя упомянутое устройство пересылки и упомянутое устройство управления, упомянутая система отличается тем, что
упомянутое устройство управления содержит блок управления, который определяет правило обработки, установленное в упомянутом терминале; и
упомянутый терминал содержит:
блок связи, который принимает от упомянутого устройства управления упомянутое правило обработки, определенное упомянутым устройством управления;
блок хранения, который сохраняет упомянутое принятое правило обработки;
блок обработки, который в случае связи с упомянутой сетью обрабатывает пакет в соответствии с упомянутым правилом обработки, которое соответствует пакету, посредством обращения к упомянутому правилу обработки, хранящемуся в упомянутом блоке хранения; и
запрашивающий блок, который отправляет запрос на установку правила обработки для пакета, в случае, когда правило обработки, которое соответствует пакету, не сохранено в блоке хранения.

28. Модуль связи, установленный в терминале, осуществляющем
связь с сетью, включающей в себя по меньшей мере одно устройство пересылки для пересылки пакета и устройство управления для управления упомянутым(-и) устройством(-ами) пересылки в соответствии с запросом от упомянутого устройства пересылки, упомянутый модуль отличается тем, что содержит:
блок связи, который принимает от упомянутого устройства управления правило обработки, указывающее способ обработки пакета, который определен упомянутым устройством управления;
блок хранения, который сохраняет упомянутое принятое правило обработки;
блок обработки, который в случае, когда упомянутый терминал осуществляет связь с упомянутой сетью, обрабатывает пакет в соответствии с упомянутым правилом обработки, которое соответствует пакету, посредством обращения к упомянутому правилу обработки, хранящемуся в упомянутом блоке хранения; и
запрашивающий блок, который отправляет запрос на установку правила обработки для пакета, в случае, когда правило обработки, которое соответствует пакету, не сохранено в блоке хранения.

29. Носитель записи, на котором записана программа, причем программа отличается тем, что она заставляет терминал, осуществляющий связь с сетью, включающей в себя по меньшей мере одно устройство пересылки для пересылки пакета и устройство управления для управления упомянутым(-и) устройством(-ами) пересылки в соответствии с запросом от упомянутого устройства пересылки, исполнять:
процесс приема от упомянутого устройства управления правила обработки, указывающего способ обработки пакета, который определен упомянутым устройством управления;
процесс сохранения упомянутого принятого правила обработки;
процесс обработки пакета, при котором, в случае, когда упомянутый терминал осуществляет связь с упомянутой сетью, обрабатывают пакет в соответствии с упомянутым правилом обработки, которое соответствует пакету, посредством обращения к упомянутому правилу обработки, хранящемуся в упомянутом блоке хранения; и
процесс запроса, на котором отправляют запрос на установку правила обработки для пакета, в случае, когда правило обработки, которое соответствует пакету, не сохранено в блоке хранения.

30. Устройство обработки информации, выполненное с возможностью передачи терминалу программы для того, чтобы заставить терминал, который осуществляет связь с сетью, включающей в себя по меньшей мере одно устройство пересылки для пересылки пакета и устройство управления для управления упомянутым(-и) устройством(-ами) пересылки в соответствии с запросом от упомянутого устройства пересылки, исполнять:
процесс приема от упомянутого устройства управления правила обработки, указывающего способ обработки пакета, который определен упомянутым устройством управления;
процесс сохранения упомянутого принятого правила обработки;
процесс обработки пакета, при котором, в случае, когда упомянутый терминал осуществляет связь с упомянутой сетью, обрабатывают пакет в соответствии с упомянутым правилом обработки, которое соответствует пакету, посредством обращения к упомянутому правилу обработки, хранящемуся в упомянутом блоке хранения; и
процесс запроса, на котором отправляют запрос на установку правила обработки для пакета, в случае, когда правило обработки, которое соответствует пакету, не сохранено в блоке хранения.



 

Похожие патенты:

Изобретение относится к технике связи и может использоваться в системах беспроводной связи. Технический результат состоит в предотвращении перегрузки устройства при передаче в сетях связи.

Изобретение относится к устройствам управления в сети. Технический результат заключается в повышении безопасности передачи данных.

Изобретение относится к системам управления связью. Технический результат заключается в повышении скорости передачи данных.

Изобретение относится к технологиям связи. Технический результат заключается в повышении скорости передачи данных.

Изобретение относится к области связи и, в частности, к обеспечению уведомления о полосе пропускания пользователя. С использованием настоящего изобретения пользователь может явно знать о том, что текущее неудовлетворительное восприятие услуги вызвано несоответствием между состоянием полосы пропускания пользователя и текущим требованием к полосе пропускания услуги, и также может принять подходящие меры для анализа и решения проблемы.

Изобретение относится к области связи. Технический результат - уменьшение количества записей, хранимых в узле связи, и уменьшение нагрузки на устройство управления в сети централизованного управления.

Изобретение относится к области электросвязи и может быть использовано в сетях передачи данных для фильтрации и маршрутизации фрагментированных дейтаграмм Интернет-протокола.

Изобретение относится к области вычислительной техники и может быть использовано для построения параллельных вычислительных систем. Техническим результатом является уменьшение задержки передачи данных и повышение числа коммутируемых абонентов сети.

Изобретение относится к сфере обеспечения информационной безопасности вычислительных сетей (ВС) и, в частности, определяет особенности организации межсетевых экранов (МЭ), применяемых для фильтрации сетевого трафика и защиты узлов ВС от несанкционированного доступа.

Изобретение относится к области геофизики и может быть использовано при регистрации сейсмических данных. Заявлена сейсмическая регистрирующая система.

Изобретение относится к управлению сетевыми устройствами в сети. Технический результат заключается в повышении скорости передачи данных. Способ содержит: определение первого пути, который соединяет сетевой узел с общим сетевым узлом источника вдоль первичного дерева сети, и определение второго пути, который соединяет сетевой узел с общим сетевым узлом источника вдоль вторичного дерева сети, причем первый путь и второй путь показывают избыточность по отношению друг к другу; прием в сетевом узле данных многоадресной передачи от общего сетевого узла источника через первый путь; инициацию, посредством сетевого узла, приема данных многоадресной передачи от общего сетевого узла источника через второй путь, если сетевой узел обнаруживает сбой первого пути, причем первичное дерево сети и вторичное дерево сети реализуются как максимально избыточные деревья. 9 н. и 13 з.п. ф-лы, 12 ил.

Изобретение относится к вещательным системам односторонней передачи информационных пакетов несколькими источниками сообщений в общей зональной сети связи, являющейся каналом коллективного пользования. Технический результат изобретения заключается в бесконфликтном использовании канала коллективного пользования для односторонней передачи сообщений различными источниками информации. Способ поочередной односторонней передачи сообщений разобщенными источниками информации в общей зональной сети связи, при котором бесконфликтное использование канала коллективного пользования для передачи сообщений разобщенными источниками обеспечивается за счет выявления занятости сети другим объектом-источником информации по приему из этой сети специального маркера, именуемого слово протокола обмена и предваряющего передачу каждого повтора сообщения по используемому методу помехоустойчивого кодирования, определения времени занятости сети и блокирования передачи своей информации на это время, установки дополнительной блокировки передачи информации на время T1i, зависящее от присвоенного каждому источнику сообщений значения приоритета pi в данной сети. 1 ил.

Изобретение относится к вещательным системам односторонней передачи информационных пакетов несколькими источниками сообщений в общей зональной сети связи. Технический результат изобретения заключается в бесконфликтном использовании канала коллективного пользования. Способ поочередной односторонней передачи сообщений разобщенными источниками информации в общей зональной сети связи с равномерным распределением временных окон, заключается в выявлении занятости сети другим объектом-источником информации по приему из этой сети специального маркера, предваряющего передачу каждого повтора сообщения по используемому методу помехоустойчивого кодирования, определении времени занятости сети и блокирования передачи передаваемой информации на это время, в установке дополнительной блокировки передачи информации на время, зависящее от присвоенного каждому источнику сообщений значения приоритета pi в данной сети. 1 ил.

Настоящее изобретение относится к сетевой системе и, в частности, к способу получения данных тега VLAN в сети стандарта OpenFlow. Техническим результатом является повышение гибкости управления за счет предоставления способа получения данных VLAN-тегов в сети OpenFlow. Это достигается за счет того, что коммутаторы выполнены с возможностью осуществления связи через сеть с контроллером, сконфигурированным виртуально обрабатывать множество VLAN посредством сопоставления данных внутреннего тега VLAN, заданных для каждого из пакетов, проходящих через сеть, и описательные данные потока, показывающие информационную запись потока, соответствующую пакету, перемещающимся в упомянутой сети. 5 н. и 5 з.п. ф-лы, 3 ил.

Изобретение относится к области связи. Технический результат - уменьшение нагрузки на соответствующие устройства в сети с централизованным управлением, когда вводится большой объем данных и прекращает инверсию порядка передачи пакетов. Для этого устройство связи снабжено блоком хранения правил обработки, выполненным с возможностью хранения первого правила обработки для неизвестных пакетов, заданного заранее, и второго правила обработки, заданного устройством управления; блоком обработки пакетов, который обрабатывает принятые пакеты на основании правил обработки, хранящихся в блоке хранения правил обработки; и блоком уведомления о состоянии, который передает заданное управляющее сообщение на устройство управления, когда пакет обработан с использованием первого правила обработки. При приеме заданного управляющего сообщения устройство управления создает второе правило обработки, которое должно быть задано в устройстве связи, и задает второе правило обработки в устройстве связи, и также отбрасывает пакеты, включенные в управляющее сообщение. Устройство связи продолжает обработку пакетов c использованием первого правила обработки до тех пор, пока второе правило обработки не будет задано устройством управления. 5 н. и 5 з.п. ф-лы, 9 ил.

Изобретение относится к области использования сетей связи, а более конкретно, к предотвращению перегрузки в области использования сетей. Способ для локализованного выявления перегрузки в пределах локального контура в сотовой сети связи выполняется принимающим узлом локализованного выявления перегрузки локального контура. Способ включает в себя прием пакетов нисходящей линии связи, предназначенных нижестоящему пользовательскому устройству. Пакеты нисходящей линии связи имеют обратную связь, которая указывает уровень перегрузки, испытываемый пакетами нисходящей линии связи. Заголовки также указывают уровень ожидаемой перегрузки в нисходящем направлении, объявленный вышестоящим узлом. Способ также включает в себя пересылку пакетов нисходящей линии связи нижестоящему пользовательскому устройству через беспроводное соединение. Способ дополнительно включает в себя посылку пакетов восходящей линии связи, имеющих обратную связь, указывающую уровень перегрузки, испытываемый пакетами нисходящей линии связи, и любую перегрузку, испытываемую в пределах принимающего узла локализованного выявления перегрузки. 3 н. и 20 з.п. ф-лы, 10 ил.

Изобретение относится к средствам конфигурирования пространства элемента управления доступом к среде (MAC) в услуге виртуальной частной LAN (VPLS). Технический результат заключается в снижении производительности обработки, вызванным исчерпанием пространства элемента MAC VPLS на UPE, и улучшении производительности пересылки UPE. Когда пограничное устройство между провайдером и пользователем (UPE) принимает сообщение со стороны сети, выполняют операцию неполучения MAC-информации сообщения со стороны сети в таблице MAC VPLS на UPE. Когда UPE принимает сообщение со стороны пользователя, выполняют операцию получения MAC-информации сообщения со стороны пользователя в таблице MAC VPLS на UPE, при этом одна сторона UPE, соединенная с сетевым устройством, является стороной сети, а другая сторона UPE, соединенная с пользовательским устройством, является стороной пользователя. Когда UPE принимает сообщение со стороны пользователя, UPE непосредственно передает сообщение со стороны пользователя на сетевое устройство на стороне сети, соединенной с UPE. 2 н. и 6 з.п. ф-лы, 4 ил., 1 табл.
Наверх