通信系统、策略管理装置、通信方法及程序的制作方法

专利名称：通信系统、策略管理装置、通信方法及程序的制作方法
技术领域：
(关于相关申请的记载)本发明基于日本国专利申请:特愿2011-204487号(2011年9月20日申请)主张优先权，该申请的全部记载内容被引用而编入记载在本说明书中。本发明涉及通信系统、策略管理装置、通信方法及程序，尤其涉及通过配置在网络上的转发节点来转发数据包以实现通信的通信系统、策略管理装置、通信方法及程序。
背景技术：
在专利文献1、非专利文献1、2中记载有OpenFlow这一技术。在OpenFlow中，将通信作为端对端的流而掌握，基于流单位进行路径控制、障碍恢复、负载分散及最佳化。在非专利文献2中被标准化的OpenFlow交换机具有用于与相当于控制装置的OpenFlow控制器进行通信的安全通道。OpenFlow交换机根据由OpenFlow控制器适当指示追加或重写的流表而工作。在流表中，对每一个流定义与数据包报头匹配的匹配规则(报头字段:HeaderField)、流统计信息(计数器:Counters)和定义了处理内容的动作(Actions)的组(参照图3)。例如，当OpenFlow交换机接收数据包时,从流表中对具有符合接收数据包的报头信息的匹配规则(参照图3的报头字段)的条目(entry)进行检索。关于检索结果，在找到符合接收数据包的条目的情况下，OpenFlow交换机更新流统计信息(计数器)并对接收数据包实施在该条目的动作字段中记载的处理内容(例如，来自指定端口的数据包发送、洪泛(flooding)、废弃等)。另一方面，关于检索结果，在没有找到符合接收数据包的条目的情况下，OpenFlow交换机经由安全通道对OpenFlow控制器转发接收数据包，委托基于接收数据包的发送源/发送目标的数据包的路径的确定。另外，OpenFlow交换机从OpenFlow控制器接收用于实现按照该路径的数据包转发的流条目，并更新流表。像这样，OpenFlow交换机将存储在流表中的条目用作处理规则，由此进行数据包转发。现有技术文献专利文献专利文献1:国际公开第2008/095010号非专利文献非专利文献1:Nick McKeown 及其他 7 名，“OpenFlow:Enabling Innovation inCampus Networks, ” March 14, 2008 [online],[平成 23 年 9 月 7 日检索],互联网〈URLhttp://www.0penflowswitch.0rg/documents/openflow-wp-latest.pdf>。非专利文献2:“0penFlow Switch Specification，，Version
1.1.0Implemented (Wire Protocol 0 X 02)February 28,2011, [online],[平成23年 9 月 7 日检索]，互联网〈URL:http://www.0penflowswitch.0rg/documents/openflow-spec-vl.1.0.pdf>。

发明内容
上述专利文献及非专利文献的全部公开内容被本说明书引用而编入记载。以下分析是通过本发明而提供的。专利文献I所记载的OpenFlow控制器即OpenFlow的控制装置,在发生新的流时参照访问控制规则进行权限检查，然后，通过计算路径来进行访问控制(参照专利文献I的)。在此，在发生新的流时参照的访问控制规则通过接收由策略管理装置生成的访问控制列表(ACL -.Access Control List)而更新。当策略管理装置生成ACL时，需要访问源的主机和访问目标的网络资源的信息。网络管理者或要求访问控制的用户通过手动作业将这些信息输入至策略管理装置也能够进行访问控制。但是，根据所述方法，网络管理者及用户要花费大量工夫，在大规模的网络、以及主机和网络资源的连接状态频繁变化的环境下难以进行访问控制。另一方面，若能够通过系统使这些信息的收集作业自动化，则能够大幅节省网络管理者及用户的工夫。此时，在大规模的网络、以及主机和网络资源的连接状态频繁变化那样的环境下，能够简单可行地节省精力及时间来进行访问控制。另外，为了设定访问控制内容，对策略管理装置使用指定了主机及网络资源的信息的访问控制策略。策略管理装置根据访问控制策略生成ACL。在对访问控制策略指定主机及网络资源的信息时，需要指定主机及网络资源的在网络环境内成为标识符的当前时刻的地址信息等。在成为访问控制对象的主机或网络资源的场所或连接状态发生变化的情况下，在主机或网络资源的网络上发生生灭或地址变化。为了正确地进行访问控制，必须与该变化相应地实时地更新访问控制策略，并根据更新后的访问控制策略重新生成ACL，从而更新控制装置所持有的访问控制规则。网络管理者或要求访问控制的用户通过手动作业将这些信息输入至策略管理装置也能够进行访问控制。但是，根据所述方法，网络管理者和用户要花费大量工夫，在大规模的网络、以及主机和网络资源的连接状态频繁变化那样的环境下难以进行访问控制。另一方面，通过系统使这些信息的指定作业半自动化，由此，只要能够对网络管理者及用户提供一旦指定则随后自动追踪变化那样的抽象化的容易理解的指定方法，就能够大幅节省网络管理者及用户的工夫。此时，在大规模的网络、以及主机和网络资源的连接状态频繁变化那样的环境下，能够简单可行地节省精力及时间来进行访问控制。但是，为了实现上述那样的解决，需要具有对访问源的主机的信息及访问目标的网络资源的信息实时地收集当前的连接状态、根据在访问控制策略中记载的抽象的指定来查找出具体的主机及网络资源的信息的功能。因此，期望在存在大量设备且连接状态频繁变化的情况下、或存在大量用户且连接状态频繁变化的情况下也能够实时地更新访问控制。本发明的目的在于提供有助于实现所述期望的通信系统、策略管理装置、通信方法及程序。本发明的第I观点的通信系统的特征在于，具有:根据处理规则对数据包进行处理的多个转发节点；对所述多个转发节点进行控制的控制装置；对使用与所述多个转发节点中的某一个转发节点连接的主机的用户进行认证的认证装置；和策略管理装置，具有第I关联机构及/或第2关联机构，所述第I关联机构将访问控制对象的主机的标识符和主机所连接的转发节点的标识符关联在一起，所述第2关联机构将访问控制对象的主机的标识符和使用主机的用户的标识符关联在一起，所述策略管理装置保持访问控制策略，所述访问控制策略使用转发节点的标识符及/或用户的标识符来确定访问控制对象的主机，所述多个转发节点分别将与转发节点自身连接的主机的标识符和转发节点自身的标识符的组发送至所述策略管理装置，所述认证装置将与所述多个转发节点中的某一个转发节点连接的主机的标识符和用户的标识符的组发送至所述策略管理装置，所述策略管理装置参照所述访问控制策略，在与所述多个转发节点中的某一个转发节点连接的主机为访问控制对象的情况下，将访问控制的内容作为访问控制列表通知至所述控制装置，所述控制装置根据所述访问控制列表生成所述处理规则，并对所述多个转发节点进行设定。本发明的第2观点的策略管理装置位于通信系统中，所述通信系统具有:根据处理规则对数据包进行处理的多个转发节点；根据访问控制列表生成该处理规则并对该多个转发节点进行设定的控制装置；和对使用与该多个转发节点中的某一个转发节点连接的主机的用户进行认证的认证装置，所述策略管理装置的特征在于，具有:第I关联机构及/或第2关联机构，所述第I关联机构将访问控制对象的主机的标识符和主机所连接的转发节点的标识符关联在一起，所述第2关联机构将访问控制对象的主机的标识符和使用主机的用户的标识符关联在一起；和保持访问控制策略的访问控制策略存储部，所述访问控制策略使用转发节点的标识符及/或用户的标识符来确定访问控制对象的主机，所述策略管理装置分别从所述多个转发节点接收与转发节点自身连接的主机的标识符和转发节点自身的标识符的组，并从所述认证装置接收与所述多个转发节点中的某一个转发节点连接的主机的标识符和用户的标识符的组，所述策略管理装置参照所述访问控制策略，在与所述多个转发节点中的某一个转发节点连接的主机为访问控制对象的情况下，将访问控制的内容作为所述访问控制列表通知至所述控制装置。本发明的第3观点的通信方法，用于通信系统中，所述通信系统具有:多个转发节点；对该多个转发节点进行控制的控制装置；对使用与该多个转发节点中的某一个转发节点连接的主机的用户进行认证的认证装置；和保持访问控制策略的策略管理装置，其中，访问控制策略使用转发节点的标识符及/或用户的标识符来确定访问控制对象的主机，所述通信方法包含以下步骤:所述多个转发节点分别将与转发节点自身连接的主机的标识符和转发节点自身的标识符的组发送至所述策略管理装置的步骤；所述认证装置将与所述多个转发节点中的某一个转发节点连接的主机的标识符和用户的标识符的组发送至所述策略管理装置的步骤；所述策略管理装置将访问控制对象的主机的标识符和主机所连接的转发节点的标识符关联在一起的步骤，及/或所述策略管理装置将访问控制对象的主机的标识符和使用主机的用户的标识符关联在一起的步骤；所述策略管理装置参照所述访问控制策略，在与所述多个转发节点中的某一个转发节点连接的主机为访问控制对象的情况下，将访问控制的内容作为访问控制列表通知至所述控制装置的步骤；所述控制装置根据所述访问控制列表生成数据包的处理规则，并对所述多个转发节点进行设定的步骤；和所述多个转发节点根据所述处理规则对数据包进行处理的步骤。本发明的第4观点的通信方法的特征在于，用于通信系统中，所述通信系统具有:根据处理规则对数据包进行处理的多个转发节点；根据访问控制列表生成该处理规则并对该多个转发节点进行设定的控制装置；和对使用与该多个转发节点中的某一个转发节点连接的主机的用户进行认证的认证装置，所述通信方法包含:对使用转发节点的标识符及/或用户的标识符来确定访问控制对象的主机的访问控制策略进行保持的策略管理装置进行:将访问控制对象的主机的标识符和主机所连接的转发节点的标识符关联在一起的步骤，及/或将访问控制对象的主机的标识符和使用主机的用户的标识符关联在一起的步骤；分别从所述多个转发节点接收与转发节点自身连接的主机的标识符和转发节点自身的标识符的组的步骤；从所述认证装置接收与所述多个转发节点中的某一个转发节点连接的主机的标识符和用户的标识符的组的步骤；和参照所述访问控制策略，在与所述多个转发节点中的某一个转发节点连接的主机为访问控制对象的情况下，将访问控制的内容作为所述访问控制列表通知至所述控制装置的步骤。本发明的第5观点的程序的特征在于，用于通信系统中，所述通信系统具有:根据处理规则对数据包进行处理的多个转发节点；根据访问控制列表生成该处理规则并对该多个转发节点进行设定的控制装置；和对使用与该多个转发节点中的某一个转发节点连接的主机的用户进行认证的认证装置，所述程序使设置在策略管理装置中的计算机执行下述处理:其中，所述策略管理装置对使用转发节点的标识符及/或用户的标识符来确定访问控制对象的主机的访问控制策略进行保持，所述处理为:将访问控制对象的主机的标识符和主机所连接的转发节点的标识符关联在一起的处理，及/或将访问控制对象的主机的标识符和使用主机的用户的标识符关联在一起的处理；分别从所述多个转发节点接收与转发节点自身连接的主机的标识符和转发节点自身的标识符的组的处理；从所述认证装置接收与所述多个转发节点中的某一个转发节点连接的主机的标识符和用户的标识符的组的处理；和参照所述访问控制策略，在与所述多个转发节点中的某一个转发节点连接的主机为访问控制对象的情况下，将访问控制的内容作为所述访问控制列表通知至所述控制装置的处理。此外，程序能够作为记录在非暂时性的计算机能够读取的记录介质中的程序产品而提供。发明效果根据本发明的通信系统、策略管理装置、通信方法及程序，即使在存在大量设备且连接状态频繁变化的情况下、或存在大量用户且连接状态频繁变化的情况下，也能够实时地更新访问控制。


图1是将实施方式的通信系统的构成作为一例而示出的框图。图2是将实施方式的通信系统的工作作为一例而示出的顺序图。图3是表示存储在OpenFlow (非专利文献2)的流表中的条目的构成图。
具体实施例方式首先，说明本发明的概要。此外，对该概要标注的附图标记是主要用于帮助理解的例示，不具有将本发明限定于图示的方式的意图。参照图1，本发明的通信系统具有:根据处理规则对数据包进行处理的多个转发节点200A 200C ;对多个转发节点进行控制的控制装置300 ;对使用与多个转发节点中的某一个转发节点连接的主机100AU00B的用户进行认证的认证装置310A 310C ;和策略管理装置320，具有第I关联机构(拓扑信息关联机构324)及/或第2关联机构(认证信息关联机构323)，其中，第I关联机构将访问控制对象的主机的标识符和主机所连接的转发节点的标识符关联在一起，第2关联机构将访问控制对象的主机的标识符和使用主机的用户的标识符关联在一起，策略管理装置320保持访问控制策略，该访问控制策略使用转发节点的标识符及/或用户的标识符来确定访问控制对象的主机。多个转发节点200A 200C分别将与自身连接的主机的标识符和自身的标识符的组发送至策略管理装置320。认证装置310A 310C将与多个转发节点中的某一个转发节点连接的主机100AU00B的标识符和用户的标识符的组发送至策略管理装置320。策略管理装置320参照访问控制策略，在与多个转发节点中的某一个转发节点连接的主机为访问控制对象的情况下，将访问控制的内容作为访问控制列表通知至控制装置300。控制装置300根据访问控制列表生成处理规贝丨J，并设定到多个转发节点200A 200C中。在此，处理规则也可以将用于确定处理对象数据包的匹配规则和适用于符合该匹配规则的数据包的处理内容建立对应。另外，多个转发节点200A 200C也可以分别将与自身连接的主机的标识符和自身的标识符的组经由控制装置300发送至策略管理装置320。控制装置300也可以将与多个转发节点200A 200C中的某一个转发节点连接的主机的标识符和该转发节点的标识符的组作为拓扑信息而保持，并根据该拓扑信息生成与访问控制列表相应的数据包的处理规则。在本发明中，使用控制装置对转发节点进行集中控制的OpenFlow那样的通信系统来获取访问源的主机及访问目标的网络资源的状态，由此将这些信息交付至策略管理装置，自动地更新与发生变化的主机及网络资源相关的访问控制内容，并自动地提取与抽象的访问控制策略记载相符的具体的主机及网络资源来更新访问控制内容。根据本发明，能够提供一种将作为完全不同的功能而存在的、与主机及网络资源等设备相关的网络控制所需要的管理功能和用户的识别所需要的管理功能简单且自然地结合在一起的方法，因此，即使在存在大量设备且连接状态频繁变化的情况下、或存在大量用户且连接状态频繁变化的情况下，也能够通过将这些用途不同的管理功能自身用作根据策略生成的ACL信息的更新的触发器、且作为要更新的信息的获取源来结合两者而提供新的访问源/访问目标的指定方法，并能够在不使管理者及各用户花费大量工夫来更新访问控制策略的情况下实时地更新访问控制。在本发明中，能够为下述方式。[方式I]如同上述第I观点的通信系统。[方式2]也可以是，上述处理规则将用于确定处理对象数据包的匹配规则和适用于符合该匹配规则的数据包的处理内容建立对应。[方式3]也可以是，上述多个转发节点分别将与自身连接的主机的标识符和自身的标识符的组经由上述控制装置发送至上述策略管理装置。[方式4]也可以是，上述控制装置将与上述多个转发节点中的某一个转发节点连接的主机的标识符和该转发节点的标识符的组作为拓扑信息而保持，并根据该拓扑信息生成与上述访问控制列表相应的数据包的处理规则。[方式5]也可以是，上述访问控制策略包含设置在规定场所的转发节点的标识符的列表，用于确定访问控制对象的主机。[方式6]也可以是，上述访问控制策略包含与规定的人事关系、规定的工作地、规定的职权层级、以及规定的负责项目中的至少任一个相符的用户的标识符的列表，用于确定访问控制对象的主机。
[方式7]如同上述第2观点的策略管理装置。[方式8]如同上述第3观点的通信方法。[方式9]在上述通信方法中，也可以是，上述处理规则将用于确定处理对象数据包的匹配规则和适用于符合该匹配规则的数据包的处理内容建立对应。[方式10]在上述通信方法中，也可以是，上述多个转发节点分别将与自身连接的主机的标识符和自身的标识符的组经由上述控制装置发送至上述策略管理装置。[方式11]在上述通信方法中，也可以是，上述控制装置将与上述多个转发节点中的某一个转发节点连接的主机的标识符和该转发节点的标识符的组作为拓扑信息而保持，并根据该拓扑信息生成与上述访问控制列表相应的数据包的处理规则。[方式12]在上述通信方法中，也可以是，上述访问控制策略包含设置在规定场所的转发节点的标识符的列表，用于确定访问控制对象的主机。[方式I3]在上述通信方法中，也可以是，上述访问控制策略包含与规定的人事关系、规定的工作地、规定的职权层级、以及规定的负责项目中的至少任一个相符的用户的标识符的列表，用于确定访问控制对象的主机。[方式14]如同上述第4观点的通信方法。[方式15]如同上述第5观点的程序。(实施方式)参照

一个实施方式的通信系统。图1是将本实施方式的通信系统的构成作为一例而示出的图。参照图1，通信系统具有:认证装置310A 310C、网络资源600A 600C、主机100A 100C、转发节点200A 200C、控制装置300、以及策略管理装置320。通信系统包含由会议室组、办公室组、服务器池构成的三个据点。认证装置310A、网络资源600A及转发节点200A设置在会议室组中。认证装置310B、网络资源600B及转发节点200B设置在办公室组中。认证装置310C、网络资源600C及转发节点200C设置在服务器池中。主机100A对设置在会议室组中的转发节点200A进行访问。另一方面，主机100B对设置在办公室组中的转发节点200B进行访问。首先，说明本实施方式中的术语。在此，作为一例，对会议室组中的主机100A、认证装置310A、转发节点200A、网络资源600A进行说明，但对于办公室组及服务器池也是同样的。<认证装置>
认证装置310A对主机100A、使用主机100A的用户进行认证。作为认证手续的一部分，可以使认证装置310A管理主机100A的地址，并对已认证的主机进行地址发出。如图1所示，也可以对通信系统设置多个认证装置310A 310C。不过，也可以使一个认证装置管理网络整体的认证手续。〈网络资源〉网络资源600A与经由网络使用的应用服务器等相当。不过，网络资源600A可以包含用户所具有的主机。例如，在其他用户访问、共享存储在某用户的终端中的文件等资源的情况下，网络资源600A包含主机。另外，网络资源600A还包含利用不经认证装置310A认证后就无法使用的协议或不经认证装置310A认证后就无法通过访问控制规则来定义的流那样的、认证装置310A以外的认证装置。〈主机〉主机100A相当于连接在据点等的网络上而使用的作为用户终端的计算机，或者，连接在网络上而使用的打印机、存储器等周边设备。此外，也能够将新连接的网络资源600A当作主机100A。〈主机管理信息〉控制装置300存储“主机管理信息”。主机管理信息是与主机100A(包含网络资源600A)相关的管理信息，其中主机100A与转发节点200A连接。在主机管理信息中，例如，包含主机 100A 的 MAC (Media Access Control)地址、主机 100A 的 IP (Internet Protocol)地址、主机100A所连接的转发节点200A的标识符、和主机100A所连接的转发节点200A的连接器的标识符的组。〈认证信息〉认证装置310A收集、管理“认证信息”。认证信息是用于确定用户及主机100A的信息。在用户将主机100A与网络连接、断开的情况下，在进行用户及主机100A的认证手续时能够得到认证信息。认证信息例如包含主机100A的MAC地址、主机100A的IP地址、和使用主机100A的用户ID的组。<认证信息变化通知>认证装置310A将收集得到的认证信息的变化作为“认证信息变化通知”通知至策略管理装置320。所通知的信息例如包含主机100A的MAC地址、主机100A的IP地址、使用主机100A的用户ID、和主机100A的连接/断开的区别的组。另外，认证装置310A与用户ID相关联地对用户的人事关系、工作地、职权层级、负责项目等与用户相关的各种信息进行管理。此外，上述认证信息也可以不仅包含例如主机100A的MAC地址、主机100A的IP地址、和使用主机100A的用户ID的组，还包含与该用户ID对应的与用户相关的上述各种信息。〈拓扑信息〉控制装置300收集“拓扑信息”。拓扑信息是对转发节点200A、与转发节点200A连接及断开的主机100A和网络资源600A的设置场所及连接目标进行管理的信息。拓扑信息使用位置信息和连接断开信息而构成。位置信息例如包含转发节点200的标识符、转发节点200的连接器的标识符、和它们的设置场所的组。
〈连接断开信息〉在对转发节点200A连接、断开其他转发节点200B、200C、各种主机100A或网络资源600A的情况下，转发节点200A对控制装置300发出“连接断开信息”通知。连接断开信息例如包含转发节点200A的标识符、设备所连接、断开的转发节点200A的连接器的标识符、连接、断开的设备的MAC地址、连接、断开的设备的IP地址、和设备的连接、断开的区别的组。因此，与主机100A相关的连接断开信息包含主机管理信息和主机100A的连接、断开的区别的组。当控制装置300接收连接断开信息的通知后，累积所通知的内容，并将其利用于转发节点200A 200C彼此的连接关系、以及用于到达在转发节点200A的前面连接的主机100A或网络资源600A的路径的计算。控制装置300将作为位置信息而持有的转发节点200A、以及其连接器的设置场所的信息、和从转发节点200A通知的连接断开信息，使用包含在它们中的转发节点200A的标识符及转发节点200A的连接器的标识符而关联在一起，从而能够确定主机100A及网络资源600A的连接、断开的场所，并合并这些信息作为拓扑信息来管理。<拓扑信息变化通知>控制装置300将所收集的拓扑信息的变化、例如主机100A或网络资源600A的连接状态的变化(网络上的生灭或移动、地址的变化等)作为“拓扑信息变化通知”通知至策略管理装置320。与主机100A相关的拓扑信息变化通知例如包含主机管理信息、场所、和连接断开的区别的组。通过预先与策略管理装置320共享位置信息，也能够在拓扑信息变化通知中省略场所的信息。策略管理装置320使用转发节点200A的标识符及转发节点200A的连接器的标识符来进行与位置信息的关联。此时，拓扑信息变化通知与连接断开信息同样地，包含主机管理信息和连接断开的区别的组。〈访问控制策略〉策略管理装置320对存储在访问控制策略存储部321中的“访问控制策略”进行管理。访问控制策略是抽象地记载有访问控制内容的信息，是生成从策略管理装置320交付至控制装置300的ACL信息的基础。访问控制策略将访问源及访问目标的指定组合在一起,通过对人来说容易理解的抽象的指定来记载访问控制内容。访问控制策略例如能够指定主机100A的地址作为访问源/访问目标。另外，访问控制策略例如能够指定使用主机100A的用户作为访问源/访问目标。访问控制策略例如能够使用认证装置310A所持有的与用户相关的信息来指定使用主机100A的用户为访问源/访问目标。例如，能够使用人事关系为“总务部”、工作地为“据点I ”、职权层级为“课长”、负责项目为“项目I ”等来指定。由于使用这些与用户相关的信息来抽象地、间接地指定访问源/访问目标，因此，未来，即使在用户所持有的这些信息发生变化、应成为对象的合适的用户发生增减、变化的情况下，也不需要管理者等屡次更新策略来进行访问控制的修正。例如，对于使用人事关系来指定访问源/访问目标的策略，在用户的人事关系发生变动的情况下，即使不更新策略，也能够导出当前与该人事关系对应的合适的用户，并导出这些用户所使用的主机100A，作为与这些主机IOOA相关的访问控制而再次生成ACL信息，从而更新控制装置300的访问控制规则。而且，作为访问源/访问目标，访问控制策略例如能够使用主机100A及网络资源600A的设置场所来进行指定。例如，作为访问源/访问目标，能够指定“设置在会议室I中的主机/网络资源”、“设置在大厦I中的主机/网络资源”、“设置在二楼的主机/网络资源”、“设置在公司I中的主机/网络资源”等。在此，能够确定与访问源/访问目标相当的主机100及网络资源600的设置场所的原因在于，控制装置300收集拓扑信息并通知至策略管理装置320。由于使用场所来抽象地、间接地指定访问源/访问目标，因此，未来，即使在主机100A及网络资源600A的场所发生变化、应成为对象的合适的主机100A及网络资源600A发生增减、变化的情况下，也不需要管理者等屡次更新策略来进行访问控制的修正。例如，对于使用场所来指定访问源/访问目标的策略，在主机100A或网络资源600A的场所发生变化的情况下，即使不更新策略，也能够导出当前与该场所对应的合适的主机100A及网络资源600A，作为与这些主机100A及网络资源600A相关的访问控制而再次生成ACL信息，并更新控制装置300的访问控制规则。另外，作为访问源/访问目标，访问控制策略例如能够复合地利用使用主机IOOA的用户和场所双方来进行指定。例如，作为访问源/访问目标，能够指定“设置在用户I所处的房间中的主机/网络资源”、“设置在监察部门的用户所处的房间中的主机/网络资源”、“与负责人的用户在一起(处于相同场所)的用户的主机/网络资源)等。在此，能够确定用户的场所的原因在于，通过将用户所使用的主机100A与转发节点200连接并通过认证装置310进行认证，能够通过与该主机100相关的连接断开信息来明确主机100的场所，通过认证信息来明确主机100的使用用户，并将它们关联在一起。除此以外，还考虑有应用如下访问控制策略的使用方式:与会议预约系统等链接，为了能够简单地指定会议所需要的访问控制，管理者及各用户仅对允许访问的范围提供若干模板(例如，允许参加者之间的访问)并选择，策略管理装置320就会自动地从会议预约系统读取该会议信息且仅允许“该会议时间、位于该会议室的该会议参加用户的主机及网络资源”之间的访问。〈资源信息〉策略管理装置320对记录在资源信息存储部322中的“资源信息”进行管理。资源信息是主机100A及网络资源600A的信息。策略管理装置320在根据访问控制策略生成ACL信息时，参照资源信息。资源信息例如包含主机100及网络资源600的MAC地址和IP地址的组。〈认证信息关联机构〉认证信息关联机构323进行认证信息的关联。也就是说，通过核对包含于资源信息的MAC地址和包含于认证信息的MAC地址，能够汇总参照成一条记录。由此，由于能够将包含于认证信息的用户ID与资源信息关联来使用，所以在访问控制策略中，能够指定使用了用户ID的抽象的访问源/访问目标，能够根据这样的访问控制策略生成ACL信息。
<拓扑信息关联机构>拓扑信息关联机构324进行拓扑信息变化通知的关联。也就是说，通过核对包含于资源信息的MAC地址和包含于拓扑信息变化通知的MAC地址，能够汇总参照成一条记录。由此，由于能够将包含于拓扑信息变化通知的场所的信息与资源信息关联来使用，所以在访问控制策略中，能够指定使用了场所的抽象的访问源/访问目标，能够根据这样的访问控制策略生成ACL信息。而且，上述双方的关联结果均为能够将包含于认证信息的用户ID、和包含于拓扑信息变化通知的场所的信息关联来使用，所以在访问控制策略中，能够指定用户ID及复合地使用了与用户ID关联的信息和场所的信息这两者的抽象的访问源/访问目标，能够根据这样的访问控制策略生成ACL信息。<访问控制列表(ACL)信息>策略管理装置320将“ACL信息”交付至控制装置300。ACL信息是记载有访问控制内容的信息，从访问控制策略导出。ACL信息例如包含:发送源主机100的MAC地址和IP地址的组、发送目标网络资源600的MAC地址和IP地址的组、发送源与发送目标的通信内容及方向和是否允许该通信内容及方向。〈访问控制规则〉控制装置300参照“访问控制规则”来判断是否允许流的通信。访问控制规则对定义流的发送源的主机管理信息、发送目标(网络资源600)的主机管理信息、和是否允许它们之间的通信内容及方向进行定义。〈路径〉控制装置300计算多个转发节点200A所连接的网络中的“路径”。路径表示在流从发送源主机100到达发送目标网络资源600的期间经由的转发节点200A的前进方法。〈处理规则〉控制装置300将“处理规则”交付至转发节点200。处理规则定义了转发节点200A在接收到某个流的数据包时如何对其进行处理。〈处理规则设定请求〉转发节点200A将“处理规则设定请求”交付至控制装置300。处理规则设定请求用于对控制装置300请求对到达了转发节点200A的未认证数据包的处理进行定义的处理规则。转发节点200A例如将接收到数据包的转发节点200A及连接器的标识符、和提取了数据包的报头信息而得到的信息包含在处理规则设定请求中。以下，参照附图进一步详细说明本实施方式的通信系统的构成及工作。在此，作为一例，对会议室组中的主机100A、认证装置310A、转发节点200A、网络资源600A进行说明，但对于办公室组及服务器池也是同样的。主机100A对认证装置310A发送数据包，根据来自认证装置310A的响应，接收对于自身的认证手续。已认证的主机100A为了利用网络资源600A而发送访问数据包，根据来自网络资源600A的响应，开始与网络资源600A通信。认证装置310A接收来自主机100A的请求，进行主机100A及用户的认证。认证装置310A将已认证的主机100A及用户信息作为认证信息变化通知交付至策略管理装置320。网络资源600A接收来自主机100A的请求，并开始用于使用服务的通信。
转发节点200A获取主机100A、认证装置310A和网络资源600A发出的数据包，并对控制装置300进行处理规则设定请求。转发节点200A根据从控制装置300交付来的处理规则，进行主机100A、认证装置310A和网络资源600A发出的数据包的处理。对于从转发节点200A交付来的处理规则设定请求，若请求中记载的数据包的信息是主机100A访问网络资源600A的数据包，则控制装置300进行访问控制规则的确认和路径计算，在为应当允许的流的情况下，生成允许该数据包从主机100A向网络资源600A的通信的处理规则，并交付至转发节点200A。对于从转发节点200A交付来的连接断开信息，控制装置300收集连接断开信息，作为路径计算的材料而存储在拓扑信息存储部301中，并且生成拓扑信息变化通知而交付至策略管理装置320。策略管理装置320具有拓扑信息关联机构324及认证信息关联机构323。对于从控制装置300交付来的拓扑信息变化通知，拓扑信息关联机构324从包含于资源信息存储部322的现有资源信息的MAC地址中查找与包含于发生变化的拓扑信息的MAC地址一致的MAC地址，在存在一致的MAC地址的情况下，用发生变化的拓扑信息更新该资源信息。另一方面，在不存在一致的MAC地址的情况下，拓扑信息关联机构324作为新的资源信息追加于资源信息存储部322。另外，拓扑信息关联机构324进行包含于拓扑信息中的位置信息的关联，在为使用中的访问控制策略中正在使用的资源的情况下，根据在使用中的访问控制策略的资源指定中所使用的场所的资源和访问控制策略存储部321的访问控制策略生成ACL信息，并交付至控制装置300。另一方面,对于从认证装置310A交付来的认证信息变化通知,认证信息关联机构323使用通知中记载的认证信息对资源信息存储部322进行更新。在与使用中的访问控制策略的资源指定中所使用的资源一致的情况下，或在与成为更新对象的资源关联的用户ID与在该时刻访问控制策略的资源指定中所使用的用户ID —致的情况下，认证信息关联机构323根据访问控制策略存储部321的访问控制策略生成ACL信息，并交付至控制装置300。参照

本实施方式的通信系统的工作。图2是将通信系统(图1)的工作作为一例而示出的顺序图。在此，作为一例，说明在会议室组中连接主机100A来开始与网络资源600A的通信之前的处理。首先，主机100A为了进行网络连接而将自身与转发节点200A连接(步骤SI)。接下来，转发节点200A对所连接的主机100A生成连接断开信息并交付至控制装置300(步骤S2)。另外，控制装置300读取连接断开信息并更新存储在拓扑信息存储部301中的拓扑信息(步骤S3)。而且，控制装置300生成拓扑信息变化通知并交付至策略管理装置320 (步骤S4)。接下来，拓扑信息关联机构324读取拓扑信息变化通知，并在存储于资源信息存储部322的现有资源信息之间对包含于双方的MAC地址进行比较。在存在相同MAC地址的情况下，拓扑信息关联机构324用拓扑变化通知的内容来更新现有资源信息的内容(例如，IP地址)(步骤S5)。另一方面，在不存在相符的资源信息的情况下，拓扑信息关联机构324将资源信息作为新的主机管理信息追加于资源信息存储部322。另外，拓扑信息关联机构324读取拓扑信息变化通知，并在存储于资源信息存储部322的资源信息之间对包含于双方的资源信息例如MAC地址进行比较，在MAC地址相同的资源信息与拓扑信息变化通知之间进行关联(步骤S6)。通过该关联，对于资源信息，能够关联转发节点的标识符、转发节点的连接器的标识符、场所的信息而参照。接下来，主机100A为了进行主机100A及用户的认证而对认证装置310A请求认证手续(步骤S7)。接下来，认证装置310A对请求认证手续的主机100A进行主机100A及用户的认证手续(步骤S8)。通过认证手续，使主机100A的地址信息和使用主机100A的用户的信息成组。另外，根据系统还存在在认证手续中变更或追加主机100A的地址信息例如IP地址的情况。另外，认证装置310A将通过认证手续而重新得到的信息作为认证信息变化通知交付至策略管理装置320 (步骤S9)。接下来，认证信息关联机构323读取认证信息变化通知，并在存储于资源信息存储部322的资源信息之间对包含于双方的地址信息例如MAC地址进行比较，在MAC地址相同的资源信息与认证信息变化通知之间进行关联(步骤S10)。通过该关联，能够对资源信息关联用户的信息例如用户ID而参照。接下来，策略管理装置320对进行了重新关联或更新的资源信息与已应用(已生成ACL信息并交付至控制装置300)的访问控制策略的指定内容进行比较，由此导出这些变化的内容是否为在访问控制策略中记载的与访问源(主体)、访问目标(资源)的指定相关的变化(步骤Sll)。例如，在关联于资源信息的认证信息中包含某用户ID，在使用该用户ID将该用户ID的主机指定为访问控制策略的资源的情况下，策略管理装置320判断为与该访问控制策略相关的变化。此外，步骤Sll可以在步骤S6之后进行，也可以同时进行步骤S6及步骤SI I。在步骤Sll中，在找到与进行了关联或更新的资源信息相关的已应用的访问控制策略的情况下，策略管理装置320根据这些访问控制策略再次生成ACL信息(步骤S12)。由此，在不更新访问控制策略自身的情况下，将访问控制内容自动地更新成合适的内容。另一方面，在步骤Sll中，在没有找到成为对象的访问控制策略的情况下，策略管理装置320不进行ACL信息的再次生成而结束。然后，在对资源信息再次产生新的关联或更新而再次进行步骤Sll的情况下，依照此时的判定结果。策略管理装置320将生成的ACL信息交付至控制装置300(步骤S13)。接下来，控制装置300根据交付的ACL信息，更新访问控制规则，进行路径计算，并生成处理规则(步骤S14)。此外，也可以是，控制装置300在该阶段仅进行访问控制规则的更新，在从转发节点200A接收到处理规则设定请求后，进行路径计算及处理规则生成。控制装置300将生成的处理规则交付至转发节点200A (步骤S15)。由此，转发节点200A成为根据与进行了新的关联、更新的资源信息相符的内容设定了在访问控制策略中记载的访问控制的状态。接下来，主机100A经由转发节点200A的访问控制进行与网络资源600A的通信(步骤S16)。在此，在网络资源600A中，还能够包含主机100A自身及主机100A以外的主机。此外，如图1所示，策略管理装置320、控制装置300和转发节点200A 200C可以分别由不同的计算机系统构筑而成，也可以是一部分或全部由同一计算机系统来实现。主机100A 100C能够通过按照程序工作的信息处理装置的CPU、RAM等存储介质、和用于与认证装置310和网络资源600进行通信的通信接口来实现。同样地，认证装置310A 310C和网络资源600A 600C能够通过按照程序工作的信息处理装置的CPU、RAM等存储介质、和用于与主机100A 100C进行通信的通信接口来实现。另外，转发节点200A 200C能够通过按照程序工作的信息处理装置的CPU、RAM等存储介质、用于与控制装置300进行通信的通信接口、和用于获取主机IOOA 100C、认证装置3IOA 3IOC和网络资源600A 600C之间的通信内容的通信接口来实现。而且，控制装置300能够通过按照程序工作的信息处理装置的CPU、RAM等存储介质、和用于与策略管理装置320和转发节点200A 200C进行通信的通信接口来实现。另外，策略管理装置320能够通过按照程序工作的信息处理装置的CPU、RAM等存储介质、用于与控制装置300进行通信的通信接口、用于与控制装置310A 310C进行通信的通信接口、和RAM以及硬盘等存储介质来实现。如上所述，本实施方式的通信系统具有:多个转发节点，根据将用于确定处理对象数据包的匹配规则和适用于符合该匹配规则的数据包的处理内容建立对应的处理规则对接收数据包进行处理，并将转发节点自身的标识符和与转发节点自身连接的主机的标识符的组发送至控制装置；认证装置，对主机进行使用者即用户的认证，并将通过认证手续而得到的主机的标识符和用户的标识符的组发送至策略管理装置；控制装置，将从上述转发节点得到的与转发节点连接的主机的信息发送至策略管理装置，根据从策略管理装置得到的与主机相关的访问控制列表的记载来设定上述处理规则；和策略管理装置，其具有:将访问控制对象的主机的标识符和主机所连接的转发节点的标识符关联在一起的拓扑息关联机构；和将访问控制对象的主机的标识符和使用主机的用户的标识符关联在一起的认证信息关联机构，策略管理装置根据访问控制策略生成上述访问控制列表并发送至控制装置，其中，该访问控制策略根据至少使用了用户的标识符或传送节点的标识符的记载来确定访问控制对象的主机。S卩，本实施方式的通信系统具有:多个转发节点，根据将用于确定流的匹配规则和适用于符合该匹配规则的数据包的处理内容建立对应的处理规则对接收数据包进行处理，并将通过接收数据包而检测出的主机及网络资源的连接或断开信息与这些主机及网络资源的地址信息一起通知至控制装置；认证装置，对与转发节点连接的主机及主机的使用者即用户进行认证；策略管理装置，将对成功通过上述认证的主机及网络资源检测出的连接或断开信息作为触发器及信息源，生成与访问权限相关的信息并提供至控制装置；和控制装置，将与从转发节点收集到的主机及网络资源相关的连接或断开信息通知至上述策略管理装置，并且根据从上述策略管理装置接收到的与访问权限相关的信息生成成功通过上述认证的主机与上述主机能够访问的资源之间的路径，并对该路径上的转发节点设定处理规则。根据所述通信系统，能够提供一种方法，其将作为完全不同的功能而存在的、与主机及网络资源等设备相关的网络控制所需要的管理功能和用户的识别所需要的管理功能简单且自然地结合在一起。因此，即使在存在大量设备且连接状态频繁变化的情况下、或存在大量用户且连接状态频繁变化的情况下，通过将这些用途不同的管理功能自身用作根据策略生成的ACL信息的更新的触发器、并且用作应更新的信息的获取源，也能够结合两者来提供新的访问源/访问目标的指定方法，并能够使管理者及各用户在不花费大量工夫来更新访问控制策略的情况下实时地更新访问控制。另外，根据本发明，在企业等系统中的网络访问控制中，各用户在据点等之间自由地往来，根据用途、目的而自由地以大量的用户、大量的设备为对象，在进行追随着频繁变化的访问控制范围的访问控制的情况下，不使管理者及各用户花费大量工夫，仅通过记载能够指定抽象的访问源/访问目标的访问控制策略，就能够构筑可实施适当的访问控制的系统。此外，上述专利文献等现有技术文献的各公开被本书明书引用而编入。在本发明的全部公开(包含权利要求书)的限度内，还能够根据其基本技术思想来进行实施方式的变更、调整。另外，在本发明的权利要求书的限度内，能够进行各种公开要素(包含各权利要求的各要素、各实施方式的各要素、各附图的各要素等)的多种组合及选择。即，本发明当然包括包含权利要求书在内的全部公开、根据技术思想只要是本领域技术人员就能够完成的各种变形、修正。尤其是，对于本说明书中记载的数值范围，应当解释为包含在该范围内的任意数值以及小范围在没有另行记载的情况下也为被具体记载的数值范围。附图标记说明100U00A 100C 主机200、200A 200C 转发节点300控制装置301拓扑信息存储部310、310A 310C 认证装置320策略管理装置321访问控制策略存储部322资源信息存储部323认证信息关联机构324拓扑信息关联机构600、600A 600C 网络资源
权利要求
1.一种通信系统，其特征在于，具有: 根据处理规则对数据包进行处理的多个转发节点； 对所述多个转发节点进行控制的控制装置； 对使用与所述多个转发节点中的某一个转发节点连接的主机的用户进行认证的认证装置；和 策略管理装置，其具有第I关联机构及/或第2关联机构，所述第I关联机构将访问控制对象的主机的标识符和主机所连接的转发节点的标识符关联在一起，所述第2关联机构将访问控制对象的主机的标识符和使用主机的用户的标识符关联在一起，所述策略管理装置保持访问控制策略，所述访问控制策略使用转发节点的标识符及/或用户的标识符来确定访问控制对象的主机， 所述多个转发节点分别将与转发节点自身连接的主机的标识符和转发节点自身的标识符的组发送至所述策略管理装置， 所述认证装置将与所述多个转发节点中的某一个转发节点连接的主机的标识符和用户的标识符的组发送至所述策略管理装置， 所述策略管理装置参照所述访问控制策略，在与所述多个转发节点中的某一个转发节点连接的主机为访问控制对象的情况下，将访问控制的内容作为访问控制列表通知至所述控制装置， 所述控制装置根据所述访问控制列表生成所述处理规则，并对所述多个转发节点进行设定。
2.如权利要求1所述的通信系统，其特 征在于，所述处理规则将用于确定处理对象数据包的匹配规则、和适用于符合该匹配规则的数据包的处理内容建立对应。
3.如权利要求1或2所述的通信系统，其特征在于，所述多个转发节点分别将与转发节点自身连接的主机的标识符和转发节点自身的标识符的组经由所述控制装置发送至所述策略管理装置。
4.如权利要求3所述的通信系统，其特征在于，所述控制装置将与所述多个转发节点中的某一个转发节点连接的主机的标识符和该转发节点的标识符的组作为拓扑信息而保持，并根据该拓扑信息生成与所述访问控制列表相应的数据包的处理规则。
5.如权利要求1至4中任一项所述的通信系统，其特征在于，所述访问控制策略包含设置在规定场所的转发节点的标识符的列表，用于确定访问控制对象的主机。
6.如权利要求1至4中任一项所述的通信系统，其特征在于，所述访问控制策略包含与规定的人事关系、规定的工作地、规定的职权层级、以及规定的负责项目中的至少任一个相符的用户的标识符的列表，用于确定访问控制对象的主机。
7.一种策略管理装置，位于通信系统中，所述通信系统具有:根据处理规则对数据包进行处理的多个转发节点；根据访问控制列表生成该处理规则并对该多个转发节点进行设定的控制装置；和对使用与该多个转发节点中的某一个转发节点连接的主机的用户进行认证的认证装置，所述策略管理装置的特征在于，具有: 第I关联机构及/或第2关联机构，所述第I关联机构将访问控制对象的主机的标识符和主机所连接的转发节点的标识符关联在一起，所述第2关联机构将访问控制对象的主机的标识符和使用主机的用户的标识符关联在一起；和保持访问控制策略的访问控制策略存储部，所述访问控制策略使用转发节点的标识符及/或用户的标识符来确定访问控制对象的主机， 所述策略管理装置分别从所述多个转发节点接收与转发节点自身连接的主机的标识符和转发节点自身的标识符的组， 并从所述认证装置接收与所述多个转发节点中的某一个转发节点连接的主机的标识符和用户的标识符的组， 所述策略管理装置参照所述访问控制策略，在与所述多个转发节点中的某一个转发节点连接的主机为访问控制对象的情况下，将访问控制的内容作为所述访问控制列表通知至所述控制装置。
8.一种通信方法，用于通信系统中，所述通信系统具有:多个转发节点；对该多个转发节点进行控制的控制装置；对使用与该多个转发节点中的某一个转发节点连接的主机的用户进行认证的认证装置；和保持访问控制策略的策略管理装置，其中，所述访问控制策略使用转发节点的标识符及/或用户的标识符来确定访问控制对象的主机，所述通信方法的特征在于，包含以下步骤: 所述多个转发节点分别将与转发节点自身连接的主机的标识符和转发节点自身的标识符的组发送至所述策略管理装置的步骤； 所述认证装置将与所述多个转发节点中的某一个转发节点连接的主机的标识符和用户的标识符的组发送至所述策略管理装置的步骤； 所述策略管理装置将访问控制对象的主机的标识符和主机所连接的转发节点的标识符关联在一起的步骤，及/或 所述策略管理装置将访问控制对象的主机的标识符和使用主机的用户的标识符关联在一起的步骤； 所述策略管理装置参照所述访问控制策略，在与所述多个转发节点中的某一个转发节点连接的主机为访问控制对象的情况下，将访问控制的内容作为访问控制列表通知至所述控制装置的步骤； 所述控制装置根据所述访问控制列表生成数据包的处理规则，并对所述多个转发节点进行设定的步骤；和 所述多个转发节点根据所述处理规则对数据包进行处理的步骤。
9.如权利要求8所述的通信方法，其特征在于，所述处理规则将用于确定处理对象数据包的匹配规则、和适用于符合该匹配规则的数据包的处理内容建立对应。
10.如权利要求8或9所述的通信方法，其特征在于，所述多个转发节点分别将与转发节点自身连接的主机的标识符和转发节点自身的标识符的组经由所述控制装置发送至所述策略管理装置。
11.如权利要求10所述的通信方法，其特征在于，所述控制装置将与所述多个转发节点中的某一个转发节点连接的主机的标识符和该转发节点的标识符的组作为拓扑信息而保持，并根据该拓扑信息生成与所述访问控制列表相应的数据包的处理规则。
12.如权利要求8至11中任一项所述的通信方法，其特征在于，所述访问控制策略包含设置在规定场所的转发节点 的标识符的列表，用于确定访问控制对象的主机。
13.如权利要求8至11中任一项所述的通信方法，其特征在于，所述访问控制策略包含与规定的人事关系、规定的工作地、规定的职权层级、以及规定的负责项目中的至少任一个相符的用户的标识符的列表，用于确定访问控制对象的主机。
14.一种通信方法，其特征在于， 用于通信系统中，所述通信系统具有:根据处理规则对数据包进行处理的多个转发节点；根据访问控制列表生成该处理规则并对该多个转发节点进行设定的控制装置；和对使用与该多个转发节点中的某一个转发节点连接的主机的用户进行认证的认证装置， 所述通信方法包含: 对使用转发节点的标识符及/或用户的标识符来确定访问控制对象的主机的访问控制策略进行保持的策略管理装置进行: 将访问控制对象的主机的标识符和主机所连接的转发节点的标识符关联在一起的步骤，及/或 将访问控制对象的主机的标识符和使用主机的用户的标识符关联在一起的步骤；分别从所述多个转发节点接收与转发节点自身连接的主机的标识符和转发节点自身的标识符的组的步骤； 从所述认证装置接收与所述多个转发节点中的某一个转发节点连接的主机的标识符和用户的标识符的组的步骤；和 参照所述访问控制策略，在与所述多个转发节点中的某一个转发节点连接的主机为访问控制对象的情况下，将访问控制的内容作为所述访问控制列表通知至所述控制装置的步骤。
15.一种程序，其特征在于， 用于通信系统中，所述通信系统具有:根据处理规则对数据包进行处理的多个转发节点；根据访问控制列表生成该处理规则并对该多个转发节点进行设定的控制装置；和对使用与该多个转发节点中的某一个转发节点连接的主机的用户进行认证的认证装置， 所述程序使设置在策略管理装置中的计算机执行下述处理:其中，所述策略管理装置对使用转发节点的标识符及/或用户的标识符来确定访问控制对象的主机的访问控制策略进行保持，所述处理为: 将访问控制对象的主机的标识符和主机所连接的转发节点的标识符关联在一起的处理，及/或 将访问控制对象的主机的标识符和使用主机的用户的标识符关联在一起的处理；分别从所述多个转发节点接收与转发节点自身连接的主机的标识符和转发节点自身的标识符的组的处理； 从所述认证装置接收与所述多个转发节点中的某一个转发节点连接的主机的标识符和用户的标识符的组的处理；和 参照所述访问控制策略，在与所述多个转发节点中的某一个转发节点连接的主机为访问控制对象的情况下，将访问控制的内容作为所述访问控制列表通知至所述控制装置的处理。
全文摘要
在设备及用户的连接状态频繁变化的情况下实时地更新访问控制。具有认证装置，对使用与转发节点连接的主机的用户进行认证；和策略管理装置，保持使用转发节点或用户的标识符来确定访问控制对象的主机的访问控制策略，并将访问控制对象的主机的标识符和主机所连接的转发节点或使用主机的用户的标识符关联在一起，转发节点将与自身连接的主机及自身的标识符的组发送至策略管理装置，认证装置将与转发节点连接的主机及用户的标识符的组发送至策略管理装置，策略管理装置在与转发节点连接的主机为访问控制对象的情况下将访问控制的内容通知至控制装置，控制装置根据该通知生成处理规则并对转发节点进行设定。
文档编号H04L12/813GK103119902SQ201280002891
公开日2013年5月22日 申请日期2012年9月14日 优先权日2011年9月20日
发明者森田阳一郎, 中江政行, 山形昌也, 佐佐木贵之, 下西英之, 园田健太郎, 波多野洋一 申请人:日本电气株式会社