TOP > 国内特許検索 > ネットワーク制御システム及び方法

ネットワーク制御システム及び方法 新技術説明会

国内特許コード P130010127
整理番号 TDU-246
掲載日 2013年12月6日
出願番号 特願2013-242470
公開番号 特開2015-103933
出願日 平成25年11月25日(2013.11.25)
公開日 平成27年6月4日(2015.6.4)
発明者
  • 宮保 憲治
  • 上野 洋一郎
  • 鈴木 秀一
  • 古川 雅大
出願人
  • 学校法人東京電機大学
発明の名称 ネットワーク制御システム及び方法 新技術説明会
発明の概要 【課題】本発明は、ホスト間またはホスト-サーバ間での暗号化及び復号化を行う方式から脱却し、SDNの通信ノード内のスイッチで暗号化等の処理を自律的に、かつ第3者には秘密の方法で実施することにより、第3者に対する通信の機密性を確保するとともに、ユーザ端末の負荷を減らすことを目的とする。
【解決手段】本発明に係るネットワーク制御システム及びネットワーク制御方法は、SDNの通信ノード内のスイッチで暗号化等の通信の機密性を確保するための処理を行い、スイッチと専用通信ネットワークで接続されたSDNのコントローラにおいてスイッチの行った処理に関するパラメータやメタデータを管理する。
【選択図】図5
従来技術、競合技術の概要



ソフトウェア制御が可能なネットワーク(SDN:Software Defined Network)の一つの技術要素として、ネットワークノードの機能をネットワークルーチング機構(ノードのデータ転送機能)とコントローラ機構(ノードでの制御ソフトウェア・ルーチング制御機能)とに、分離できるようにインタフェースを公開し、ネットワーク制御をプログラマブルにすることにより、柔軟な経路制御や構成変更、ならびに新しい通信サービス等を実現可能とするネットワーク制御機構が注目されている。SDNではコントローラがネットワーク内の全情報を集め、一元的に定義し、ソフトウェアを活用した集中制御処理に基づいて、ネットワーク全体を制御できる特徴を持つ。コントローラは、スイッチ制御用のソフトウェアを配備することにより、スイッチの動作を制御できる。





SDNの実現方法の1つとして、オープンフロー(OpenFlow:非特許文献1、2)と呼ばれるネットワークプラットフォームの標準化が進められ、オープンソースによる実装と同時に企業によるシステム/製品群が市場に普及しつつある。SDNを実現するスイッチやコントローラに関しては、オープンソースとして公開したTremaやスタンフォード大学で開発されたBeacon、Niciria Network社が開発したNOX等がある。SDNを実現する上での課題の一つは、ネットワークで提供されるサービスに対して、セキュリティを高めるための有効な技術を提供することであり、このメカニズムを開示することが本発明の目的である。しかしながら、高いセキュリティを確保した高信頼なデータ配信サービスをSDNの機構を適切に用いて、ネットワーク内で新たなセキュリティ基準のもとに、新しい制御機構技術として組み込んだ例は開示されていない。本発明で開示する技術は、いずれのスイッチやコントローラに対しても、同様に適用することが可能であり、高信頼のネットワークサービスを実現する上での技術基盤を提供できる。





特許文献1では、データファイルを分割し、当該分割された断片データを複数のクライアント端末に分散転送するバックアップ技術を用い、データファイルを保有する管理ユーザのサービス要求に見合ったセキュリティレベルでのバックアップを可能にするための技術が開示されている。

特許文献2では、各種のPC端末、モバイル端末等の遊休リソースを積極的に活用し、ファイルの暗号化・分割・複製・分散化技術を組み合わせる事により、信頼性の高いディザスタリカバリを実現可能とする基本技術およびファイル一体化と呼ばれるファイルデータの撹拌技術が開示されている。





非特許文献1は、オープンフローコントローラが備えるべきデータを分散データベース上に構築し、オープンフローコントローラを介して実装されるネットワークアプリケーションに対して適切なAPI(Application Programming Interface)を提供することで、オープンフローコントローラの分散化を実現している。

非特許文献2は、データを分散データベース上で管理すると共に、複数のオープンフローコントローラ間で通信を行うことで同期をとる方法が示されている。





ソフトウェア制御を用いてスイッチの出力経路を制御するSDN内のスイッチと、スイッチ制御用のコントローラにより構成されるネットワーク制御システムを活用して、ファイルバックアップサービスを行う際の暗号化、分散転送、復号化をネットワーク制御装置のみにより、効率的に実施するメカニズムを開示している。具体的には、ユーザ端末(ホスト端末)が送出するパケットデータの中に、ネットワークに対して要求するセキュリティサービス種別をフラグ情報として含め、前記のスイッチに、フラグ情報を識別する機構を持たせることにより、SDNアーキテクチャを活用して、バックアップ用のサービスの中の特定のサービスレベル種別を識別し、ユーザの創出するユーザパケットを、スイッチ内で、当該のサービスレベルの程度に合わせて、適切な、暗号処理化や複製を行う。このことにより、ユーザ端末やゲートウェイでの暗号化等に関わる符号処理を大幅に削減し、ユーザ端末の通信処理用のスループットを大幅に向上することができる。このメカニズムは、ユーザ端末側での暗号処理メカニズムを全く活用せずに、ネットワーク制御装置での当該処理メカニズムを用いることにより、第3者の盗聴が不可能な、秘密データ転送サービにも活用できる。





現在、ホストとなるユーザ端末やサーバの処理能力は向上しつつあるものの、セキュリティの高い通信を実現するためには、例えばユーザ端末で、共通鍵暗号の1つであるAES暗号による処理を行う方法がある。この場合、暗号鍵の長さや送信するデータ容量が増加するにしたがって、計算量は一般的に、指数関数的に増加する。近年、通信で扱うデータ容量は増加しつつあり、セキュリティ強度を上げるためには、暗号鍵の長さを長く設定し、暗号処理に必要な計算量が増大する傾向がある。この結果、ユーザ端末での暗号処理に関わるオーバヘッドが、通信スループット等の低下に対する影響が無視できなくなる状況が生じつつある。





通常、ホスト-サーバ間、あるいはホスト-ホスト間における通信で、セキュリティを高めるためにIPSecやSSL/TSL等のセキュリティプロトコルが導入されている。しかし、いずれのセキュリティプロトコルも、ユーザ端末における通信スループットの低下を来す。例えば、IPsecはIPパケットのレベルで暗号化を行うことにより、2台のユーザ端末間の通信を、盗聴や改ざんから保護するためのセキュリティ技術として活用されている。





図1に示すようなゲートウェイをユーザ端末に隣接して設ける方法か、または、図2に示すようなPC内蔵ソフトウェアをユーザ端末に組み込む用いる方法が利用されている。例えば、Windows(登録商標)2000以上ではIPSec機能をIPレイヤに標準で組み込んでいる。特に、後者の形態は、暗号化処理に起因するユーザ端末の処理能力を消費するため、高性能の通信スループットが要求される場合には、当該ゲートウェイ装置の導入コストは増加するものの、前者の使用形態が用いられる。IPsecはIP層で暗号化/復号化を行うため、他の暗号処理用のセキュリティプロトコルと比べて、既存のLANやインターネット対応のアプリケーションを変更すること無しに、暗号化が行える点が優れているが、通信確立までの処理オーバヘッドが大きく、ホスト-サーバ間、またはホスト-ホスト間の通信スループットが劣化するという問題点があった。





IPsecではAES等の共通鍵暗号を使用し、ネットワーク機器で暗号化処理を実施する手法が利用されているが、いくつかの問題点が存在する。一つは、通信開始時における設定手順が複雑な点である。IPsecの通信開始時におけるシーケンスを図2、図3に示す。IPsecでは、共通鍵暗号を使用してパケットデータを暗号化するため、共通鍵を事前に共有する必要がある。共通鍵情報、通信ノード間の認証を行うために、使用するパラメータを提案、鍵情報の交換をする。





図3はIPsecにおけるIKE(Internet Key Exchange)のフェーズ1の通信シーケンスである。フェーズ1では、継続して実施する次の通信シーケンス(フェーズ2)で行うIPsecに必要な共通鍵を安全に交換するためにSA(Session Association)を確立する。図4はIKEのフェーズ2の通信シーケンスである。フェーズ2では実際にIPsecで使用するパラメータや鍵情報を交換する。安全な通信路を確保した後に、鍵を共有する方であるため、フェーズが2段階に別れ、通信開始時までのコストが大きくなり、通信スループットを低下させる原因にもなっている。一方、共通鍵を第3者に予測される危険性が少なくするため、ホスト側では鍵情報を定期的に交換する必要があるが、上記の手法を用いる必要がある。





これに対して、SDN内のスイッチ(OFS)、コントローラ(OFC)は、予め決められた端末との接続を対象とし、かつ端末接続時には、認証を行うと共に、規定された仕様を満足していないパケットは異常と見なし、スイッチ(OFS)で廃棄する処理を組み込むことが容易である。このため、第3者による盗聴は困難であると共に、不正侵入等による(スイッチ動作を規定する)ファイルの改竄を起こす危険性は少ない。

産業上の利用分野



本発明は、SDNスイッチを用いたネットワーク制御システム及び方法に関する。

特許請求の範囲 【請求項1】
コントローラからのソフトウェア制御を用いてスイッチの出力経路を制御するネットワーク制御システムにおいて、
前記スイッチは、ユーザ端末からの通信データを受信すると、当該通信データを複数の断片データに分割して断片データの配列順を変更し、配列順を変更後の各断片データを、出力経路を制御するためのフローテーブルに従った出力経路に向けて出力するとともに、
専用通信ネットワークを用いて変更後の前記断片データの配列順を前記コントローラに出力し、
前記コントローラは、変更後の前記断片データの配列順を格納する、
ネットワーク制御システム。

【請求項2】
前記スイッチは、ユーザ端末から通信のデータを符号化して当該通信データを複数の断片データに分割するか、或いはユーザ端末からの通信データを複数の断片データに分割して各断片データを符号化するとともに、前記専用通信ネットワークを用いて前記スイッチで行った符号化を復号化するために必要なメタデータを前記コントローラに出力し、
前記コントローラは、前記スイッチで符号化された通信データを復号化するために必要なメタデータをさらに格納する
ことを特徴とする請求項1に記載のネットワーク制御システム。

【請求項3】
前記スイッチは、ユーザ認証の完了したユーザ端末から通信データの取得要求を受信すると、前記コントローラに格納されている前記メタデータに従って前記通信データ又は前記断片データを復号化する
請求項2に記載のネットワーク制御システム。

【請求項4】
前記スイッチは、ユーザ認証の完了したユーザ端末から通信データの取得要求を受信すると、前記コントローラに格納されている前記メタデータを当該ユーザ端末へ送信し、
当該ユーザ端末は、前記スイッチから取得するメタデータを用いて前記通信データ又は前記断片データを復号化する
請求項2に記載のネットワーク制御システム。

【請求項5】
前記スイッチは、ユーザ端末から通信データの取得要求を受信すると、当該通信データを構成する複数の断片データの配列順を前記コントローラに格納されている配列順に従って変更し、配列順を変更後の断片データの集合を、当該ユーザ端末へ送信する
ことを特徴とする請求項1から4のいずれかに記載のネットワーク制御システム。

【請求項6】
前記スイッチは、
ネットワークに対して要求するセキュリティサービス種別を、ユーザ端末からの前記通信データに含まれるフラグ種別情報から識別し、
前記セキュリティサービス種別がバックアップ用のサービスである場合、前記フローテーブルに従った1以上のストレージ端末に向けて、前記断片データを出力するとともに、前記専用通信ネットワークを用いて前記断片データの送信先を前記コントローラに出力し、
前記コントローラは、前記断片データの送信先をさらに格納する
請求項1から5のいずれかに記載のネットワーク制御システム。

【請求項7】
コントローラからのソフトウェア制御を用いてスイッチの出力経路を制御するネットワーク制御方法において、
ユーザ端末からの通信データを受信した前記スイッチが、出力経路を制御するためのフローテーブルを参照し、当該通信データを複数の断片データに分割して断片データの配列順を変更し、配列順を変更後の各断片データを前記フローテーブルに従った出力経路に向けて出力するとともに、専用通信ネットワークを用いて変更後の前記断片データの配列順を前記コントローラに格納するデータ送信手順を有するネットワーク制御方法。

【請求項8】
前記データ送信手順において、ユーザ端末からの通信データを受信した前記スイッチが、ユーザ端末からの通信データを符号化して当該通信データを複数の断片データに分割するか、或いはユーザ端末からの通信データを複数の断片データに分割して各断片データを符号化するとともに、前記専用通信ネットワークを用いて当該スイッチで符号化された通信データを復号化するために必要なメタデータを前記コントローラに格納する
ことを特徴とする請求項7に記載のネットワーク制御方法。

【請求項9】
ユーザ認証の完了したユーザ端末から通信データの取得要求を受信した前記スイッチが前記断片データの集合を当該ユーザ端末へ送信するデータ受信手順を、前記データ送信手順の後にさらに有し、
前記データ受信手順において、当該スイッチが、前記コントローラに格納されている前記メタデータに従って前記通信データ又は前記断片データを復号化する
ことを特徴とする請求項8に記載のネットワーク制御方法。

【請求項10】
ユーザ認証の完了したユーザ端末から通信データの取得要求を受信した前記スイッチが前記断片データの集合を当該ユーザ端末へ送信するデータ受信手順を、前記データ送信手順の後にさらに有し、
前記データ受信手順において、当該スイッチが、前記コントローラに格納されている前記メタデータを当該ユーザ端末へ送信し、前記スイッチからメタデータを取得した当該ユーザ端末が当該メタデータを用いて前記通信データ又は前記断片データを復号化する
ことを特徴とする請求項8に記載のネットワーク制御方法。

【請求項11】
ユーザ認証の完了したユーザ端末から通信データの取得要求を受信した前記スイッチが前記断片データの集合を当該ユーザ端末へ送信するデータ受信手順を、前記データ送信手順の後にさらに有し、
前記データ受信手順において、当該スイッチが、当該通信データを構成する複数の断片データの配列順を前記コントローラに格納されている配列順に従って変更し、配列順を変更後の断片データの集合を、当該ユーザ端末へ送信する
ことを特徴とする請求項7から10のいずれかに記載のネットワーク制御方法。

【請求項12】
前記データ送信手順において、
ユーザ端末からの通信データを受信した前記スイッチが、ネットワークに対して要求するセキュリティサービス種別を当該通信データに含まれるフラグ種別情報から識別し、
前記セキュリティサービス種別がバックアップ用のサービスである場合、前記フローテーブルに従った1以上のストレージ端末に向けて、前記断片データを出力するとともに、専用通信ネットワークを用いて前記断片データの送信先を前記コントローラに格納する
ことを特徴とする請求項7から11のいずれかに記載のネットワーク制御方法。
国際特許分類(IPC)
Fターム
画像

※ 画像をクリックすると拡大します。

JP2013242470thum.jpg
出願権利状態 公開
ライセンスご希望の方、またシーズの詳細に関することについては、下記「問合せ先」まで直接お問い合わせくださいますよう,お願い申し上げます。


PAGE TOP

close
close
close
close
close
close
close