(相关申请的引用)本申请根据并且要求于2011年4月18日提交的日本专利申请No.2011-092318的优先权的权益,其公开通过引用整体地结合在本文中。本发明涉及一种终端、一种控制装置、一种通信方法、一种通信系统、一种通信模块、一种程序以及一种信息处理装置,并且涉及其中控制装置执行转发装置的集中式控制的网络中的通信技术。
背景技术:
::近年来,已经提出了称为开放流(OpenFlow)的技术(参考专利文献1以及非专利文献1和2)。在开放流中,通信被视为端到端流,并且路径控制、从故障恢复、负荷平衡以及优化在流单元中被执行。如在非专利文献2中所指定的开放流交换机配备有用于与开放流控制器通信的安全信道,并且根据其中适当的添加或重写由开放流控制器来指令的流表而操作。在流表中的是针对每个流的用于与分组报头、流统计信息(计数器)以及定义处理内容的动作(动作)的成组匹配规则(报头字段)的定义(参考图24)。例如,当开放流交换机接收分组时,从流表搜索具有和所接收到的分组的报头信息匹配的匹配规则(参考图24中的报头字段)的条目。作为搜索的结果,在其中和所接收到的分组匹配的条目被发现的情况下,开放流交换机更新流统计信息(计数器)并且还针对所接收到的分组实现在讨论中的条目的动作字段中描述的处理内容(从指定端口的分组传输、洪泛、丢弃等等)。另一方面,作为搜索的结果,在其中和所接收到的分组匹配的条目未被发现的情况下,开放流交换机对经由安全信道关于开放流控制器发送用于条目设定的请求,也就是说,基于所接收到的分组的源和目的地来确定分组的路径的请求。开放流交换机接收与所述请求相对应的流条目并且更新流表。以这种方式,开放流交换机将在流表中存储的条目用作为处理规则以执行分组转发。引用列表专利文献专利文献1:国际公开号2008/095010专利文献2:日本专利东海公开号JP-P2004-064182A非专利文献非专利文献1:NickMcKeown和7个其他人的“OpenFlow:EnablingInnovationinCampusNetworks”,[在线][2011年4月4日进行的搜索]互联网URL:http://www.openflowswitch.org//documents/openflow-wp-latest.pdf非专利文献2:‘OpenFlow:SwitchSpecification’Version1.0.0.(WireProtocol0x01),[2011年4月4日进行的搜索]互联网URL:http://www.openflowswitch.org/documents/openflow-spec-v1.0.0.pdf技术实现要素:上述的专利文献1和2以及非专利文献1和2的整个公开通过引用结合在本文中。以下分析由本发明给出。在专利文献1以及非专利文献1和2中所公开的技术中,控制器根据从交换机发送的请求来确定分组处理的条目,并且关于交换机设定所确定的条目。在这样的集中式控制类型的通信系统中,在控制器上存在负荷的问题。此原因是,因为控制器集中地控制多个交换机并且关于从所述多个交换机发送的请求来计算条目,所以控制器上的处理负荷增加。此外,控制器可以设定规定用于关于交换机重写分组的报头内容的处理的条目。在这种类型的情况下,问题在于交换机中分组处理所需要的负荷增加。专利文献2公开了一种用于控制网关的网关控制装置。然而,专利文献2未公开用于减少网关或网关控制装置上的负荷的措施。根据第一方面,提供了一种终端,适于与包括用于转发分组的至少一个转发装置以及用于根据来自所述转发装置的请求来控制一个或多个转发装置的控制装置的网络进行通信,其中所述终端包括:通信单元,所述通信单元从控制装置接收由控制装置所确定的指定处理分组的方法的处理规则;存储单元,所述存储单元存储所接收到的处理规则;以及处理单元,所述处理单元在与网络进行通信的情况下,通过参考在存储单元中存储的处理规则根据对应于分组的处理规则来处理分组。根据第二方面,提供了一种控制装置,适于关于用于转发分组的至少一个转发装置来设定分组的处理规则,其中所述控制装置包括:请求接收单元,所述请求接收单元接收由适于接入网络的终端所发送的接入请求,在所述网络中转发装置根据处理规则处理分组;控制单元,所述控制单元根据接入请求确定在终端中设定的处理规则;以及通信单元,所述通信单元将所确定的处理规则发送到终端。根据第三方面,提供了一种用于控制适于与网络进行通信的终端的通信方法,所述网络包括用于转发分组的至少一个转发装置以及用于根据来自所述转发装置的请求来控制一个或多个转发装置的控制装置,其中所述方法包括:从控制装置接收指定处理分组的方法的处理规则的接收步骤;将所接收到的处理规则存储在存储单元中的步骤;以及在与网络进行通信的情况下,通过参考在存储单元中存储的处理规则根据对应于分组的处理规则来处理分组的处理步骤。应当注意的是,本方法与特定设备有关,所述特定设备是与包括转发节点和控制装置的网络进行通信的终端。根据第四方面,提供了一种通信系统,所述通信系统包括用于转发分组的至少一个转发装置、用于根据来自所述转发装置的请求来控制一个或多个转发装置的控制装置以及与包括一个或多个转发装置和控制装置的网络进行通信的终端,其中所述控制装置包括确定在终端中设定的处理规则的控制单元;并且所述终端包括:通信单元,所述通信单元从控制装置接收由控制装置所确定的处理规则;存储单元,所述存储单元存储所接收到的处理规则;以及处理单元,所述处理单元在与网络进行通信的情况下,通过参考在存储单元中存储的处理规则根据对应于分组的处理规则来处理分组。根据第五方面,提供了一种安装在适于与网络进行通信的终端中的通信模块,所述网络包括用于转发分组的至少一个转发装置以及用于根据来自所述转发装置的请求来控制一个或多个转发装置的控制装置,其中所述模块包括:通信单元,所述通信单元从控制装置接收由控制装置所确定的指定处理分组的方法的处理规则;存储单元,所述存储单元存储所接收到的处理规则;以及处理单元,所述处理单元在与网络进行通信的情况下,通过参考在存储单元中存储的处理规则根据对应于分组的处理规则来处理分组。根据第六方面,提供了一种用于使适于与包括用于转发分组的至少一个转发装置以及用于根据来自所述转发装置的请求来控制一个或多个转发装置的控制装置的网络进行通信的终端执行以下各项的程序:从控制装置接收由控制装置所确定的指定处理分组的方法的处理规则的处理;存储所接收到的处理规则的处理;以及在与网络进行通信的情况下,通过参考在存储单元中存储的处理规则根据对应于分组的处理规则来处理分组的分组处理。应当注意的是,所述程序能够被记录在计算机可读的、非暂时性记录介质中。也就是说,本发明能够被实现为计算机程序产品。根据第七方面,提供了一种用于向终端发送用于使与包括用于转发分组的至少一个转发装置以及用于根据来自所述转发装置的请求来控制一个或多个转发装置的控制装置的网络进行通信的终端执行以下各项的程序的信息处理装置:从控制装置接收由控制装置所确定的指定处理分组的方法的处理规则的处理;存储所接收到的处理规则的处理;以及在其中终端与网络进行通信的情况下,通过参考在存储单元中存储的处理规则根据对应于分组的处理规则来处理分组的分组处理。本发明的有利效果总结如下。根据本公开,在用于通过控制装置集中地控制转发装置来执行通信的技术中,可以减少控制装置或一个或多个转发装置上的负荷。附图说明图1是示出本公开的配置示例的图;图2是示出本公开的配置示例的图;图3是示出存储处理规则的表的示例的图;图4是示出本公开的操作示例的流程图;图5是示出本公开的操作示例的流程图;图6是示出本公开的第一示例性实施例的配置示例的图;图7是示出其中图6的配置被应用于接入控制系统的示例的图;图8是示出认证信息的示例的图;图9是示出通信策略信息的示例的图;图10是示出资源信息的示例的图;图11是示出通信策略的示例的图;图12是示出控制装置的配置示例的图;图13是示出第一示例性实施例的操作示例的顺序图;图14是示出第一示例性实施例的操作示例的顺序图;图15是示出第一示例性实施例的操作示例的顺序图;图16是示出第二示例性实施例的操作示例的顺序图;图17是示出通信策略的示例的图;图18是示出第三示例性实施例的配置示例的图;图19是示出第四示例性实施例的配置示例的图;图20是示出第五示例性实施例的配置示例的图;图21是示出第六示例性实施例的配置示例的图;图22是示出第七示例性实施例的配置示例的图;图23是示出第七示例性实施例的操作示例的顺序图;以及图24是描述相关技术的图。具体实施方式首先,对本公开的示例性实施例的概要进行描述。图1是示出通信网络的配置和终端1的配置的图。图2是示出转发节点2和控制装置3的配置的图。应当注意的是,附加到图的附图标记出于方便而被添加到相应元件作为示例以便帮助理解。附图标记不旨在将本公开限于如图中所图示的模式。在接收到分组时,转发节点2根据与该分组相对应的处理规则来处理分组。处理规则指定该分组的处理内容。处理规则的配置示例在图3中被示出。处理规则例如包括用于匹配分组和该处理规则的匹配规则,以及用于和处理规则匹配的分组的处理内容。在接收到该分组时,处理单元23从存储单元21搜索与分组相对应的处理规则。也就是说,处理单元23在被存储在存储单元21中的图3中举例说明的配置的表中执行搜索。例如,如果分组属于“流A”,则它和“流A”的匹配规则匹配。应当注意的是,“流”是根据分组内容(诸如分组源和目的地的信息、包括在分组中的多个信息项的组合等等)所标识的分组的序列。在其中与分组相对应的处理规则被存储在存储单元21中的情况下,处理单元23根据所检索到的处理规则来处理分组。例如,在图3中的示例中,如果分组属于“流A”,则处理单元23执行“从转发节点的端口‘a’转发”的处理内容。在其中与分组相对应的处理规则未被存储在存储单元21中的情况下,控制装置通信单元22将设定处理规则的请求发送到控制装置3。控制装置3通过转发节点2控制分组处理。当通信单元31从转发节点2接收到设定处理规则的请求时,控制单元32确定与设定请求相对应的处理规则。通信单元31将由控制单元32所确定的处理规则发送到转发节点2。处理规则指定分组的处理内容,诸如例如从指定端口的分组传输、洪泛、丢弃、分组报头重写等等。控制装置3不仅为一个或多个转发节点2而且为与包括至少一个转发节点2和控制装置3的通信网络进行通信的终端1设定处理规则。此外,终端1根据如设定的处理规则来执行分组处理。终端1经由通信单元10将接入请求发送到通信网络。应当注意的是,终端1是诸如个人计算机、手持式装置等等的通信终端。终端1可以具有有线或无线通信方法。在检测到来自终端1的接入请求时,转发节点2将该接入请求转发到控制装置3。例如,控制装置3提前将与用于请求接入的分组(例如,认证分组或登录分组)相对应的处理规则设定到转发节点2的存储单元21。如在图3中的示例中所示,控制装置3设定其中匹配规则是“接入请求分组”并且对应的处理内容是“转发到控制装置”的处理规则。与接入请求分组相对应的处理规则例如指定用于将该接入请求分组转发到控制装置3的处理。在接收到接入请求分组时,转发节点2的处理单元23根据与该接入请求分组相对应的处理规则将接入请求分组转发到控制装置3。当控制装置3接收到从转发节点2转发的接入请求分组时,控制装置3的控制单元32参考策略管理单元33并且检索与终端的用户相对应的策略。应当注意的是,策略管理单元33可以存储针对每个终端设定的策略。控制单元32基于所检索到的策略来确定待设定在终端1中的处理规则。通信单元31将所确定的处理规则发送到终端1。例如,应当注意的是,控制装置3可以为所确定的处理规则设定有效期并且将这个发送到终端1。在其中有效期被设定的情况下,当该有效期已消逝时已被设定在终端1中的处理规则被从终端1删除。应当注意的是,图2示出其中策略管理单元33被包括在控制装置3中但策略可以由除控制装置3以外的装置来管理的示例。此外,控制装置3可以基于由控制装置3所管理的信息来确定待设定在终端1中的处理规则,而不用参考策略管理单元33。此外,控制装置3例如可以在转发节点2中设定与在终端中设定的针对终端的处理规则相对应的针对转发节点的处理规则。例如,在其中终端1根据在终端1中所设定的处理规则对一些分组执行重写处理的情况下,控制终端3可以在转发节点2中设定和分组内的重写内容匹配的处理规则。在其中终端1的通信单元10从控制装置3接收到处理规则的情况下,终端1将处理规则设定在存储单元11中。当终端1的处理单元12将分组发送到通信网络或者从通信网络接收到分组时,处理单元12检索与所发送或者接收的分组相对应的处理规则。在其中与所发送或者接收的分组相对应的处理规则被存储在存储单元11中的情况下,处理单元12根据该处理规则来处理分组。处理单元12例如根据处理规则来执行用于重写待发送或者接收的一些分组的处理或分组丢弃处理。在其中与所发送或者接收的分组相对应的处理规则未被存储在存储单元11中的情况下,处理单元12可以发送或者接收分组而不用执行与该分组相对应的处理,或者可以执行分组丢弃(放弃)。然而,在其中与所发送或者接收的分组相对应的处理规则未被存储在存储单元11中的情况下的分组处理不限于此。接下来,参考图4和图5,给出终端1和控制装置3的操作的描述。图4是示出终端1的操作示例的流程图。在从控制装置3接收到处理规则(S1)的情况下,终端1将所接收到的处理规则存储在存储单元11中(S2)。在涉及通信网络的分组传输或接收的情况下(S3中的是),终端1检索与所发送或者接收的分组相对应的处理规则(S4)。在其中与所发送或者接收的分组相对应的处理规则被存储在存储单元11中的情况下,终端1根据该处理规则来处理所发送或者接收的分组(S5)。图5是示出控制装置3的操作示例的流程图。在从终端1接收到接入请求时(S6),控制装置3从策略管理单元33检索与终端的用户相对应的策略(S7)。控制装置3基于所检索到的策略确定待设定在终端1中的处理规则(S8),并且将它发送到终端1(S9)。控制装置3设定关于终端1的处理规则,而终端1本身执行与该处理规则相对应的分组处理。因为终端1代替转发节点2根据处理规则执行诸如一些分组的重写的分组处理,所以转发节点2上的分组处理负荷被大大地减少。此外,因为控制装置3能够提前在转发节点2中设定与针对终端1所设定的终端的处理规则的内容相对应的处理规则,所以可以缩减由于处理规则未被设定在转发节点2中而生成的对控制装置3的请求。因此,控制装置3上的处理负荷被大大地减少。(第一示例性实施例)接下来,参考附图给出关于本公开的第一示例性实施例的概要的描述。图6示出第一示例性实施例中的系统配置的示例。参考图6,所述配置被示出成包括用户终端100、多个转发节点200、策略管理装置300以及控制装置400。所述多个转发节点200根据由控制装置400所设定的处理规则来执行从用户终端发送的分组的处理。用户终端100中的终端控制装置110(功能地)存储由控制装置400所设定的处理规则,并且控制基于处理规则由用户终端所发送的分组。更具体地,终端控制装置110配备有存储处理规则以确定是否转发从处理规则确定单元420发送的分组的处理规则存储单元120以及用于基于在处理规则存储单元120中存储的处理规则允许或者拒绝从用户终端发送的接入的接入控制单元130。也就是说,接入控制单元130确认与从终端100发送的分组相对应的处理规则是否被存储在处理规则存储单元120中。在其中与从终端100发送的分组相对应的处理规则被存储在其中的情况下,接入控制单元130确认在该处理规则中所指定的处理内容。在其中处理内容不允许分组的转发的情况下,接入控制单元130不会将分组转发到由转发节点200所配置的通信网络,而是执行诸如丢弃分组等等的接入限制。策略管理装置300管理通信策略,并且向控制装置400通知分配给对其来说认证已成功的用户的通信策略。更具体地,策略管理装置300包括使分配给用户的角色与针对每个角色而设定的接入权限相关联的通信策略存储单元310。策略管理装置300将关于与对其来说认证已成功的用户的角色相对应的接入权限的信息提供给控制装置400。控制装置400关于转发节点200来设定指定分组的处理内容的处理规则。应当注意的是,附加到图的附图标记出于方便而被添加到相应元件作为示例以便帮助理解。附图标记不旨在将本公开限于如所图示的图的模式。更具体地,控制装置400基于关于从策略管理装置300接收到的接入权限的信息来确定对其来说认证已成功的用户的终端100与用户能够接入的网络资源500之间的路径。控制装置400包括将处理规则设定在确定路径上的一个或多个转发节点200中的路径控制单元410。关于由路径控制单元410在转发节点200中所设定的处理规则,控制装置400配备有将确定是否转发来自终端100的分组的处理规则发送到用户终端100的终端控制装置110的处理规则确定单元420。控制装置400可以为发送到用户终端100的处理规则设定有效期。在这种情况下,终端100删除对其来说有效期已过去的处理规则。应当注意的是,在其中处理规则确定单元420发送不允许来自终端100的分组转发的处理规则的情况下,关于一个或多个转发节点200,路径控制单元410不需要设定与确定路径相对应的处理规则。通过设定如上所述的处理规则,可以根据分配给用户的角色来确定可接入的网络资源500,并且此外,可以针对每个流设定允许接入的路径。此外,通过设定上述的处理规则,可以使用户终端100对于在从用户发送的分组流之中通过用户的接入被拒绝的流执行接入限制。因此,因为接入被限制的分组具有受终端100限制的接入而不用被发送到一个或多个转发节点200,所以一个或多个转发节点200中的处理负荷被减少。因为通过由终端100的接入限制,在设定待从转发节点200发送到控制装置的处理规则的请求之际,发送的分组减少,所以控制装置上的负荷被大大的降低。应当注意的是,在其中有效期在处理规则中被提供并且有效期自设定在转发节点200和用户终端100的接入控制单元130中正被执行起、或者自和匹配规则匹配的分组最后被接收起已消逝的情况下,其后拒绝该分组的转发的处理规则可以被删除。图7是表示其中接入控制系统使用图6的配置来实现的示例的图。图7中所示出的配置是本系统的示例,并且本公开不限于在图7中所公开的系统配置。参考图7,所示出的配置包括:多个转发节点200、用于控制是否发送从用户终端100发送的分组的终端控制装置110、用于将处理规则设定在转发节点200和终端控制装置110中的控制装置400、用于将通信策略通知给控制装置400的策略管理装置300以及用于将指示认证结果的认证信息提供给策略管理装置300的认证装置330。转发节点200根据使和所接收到的分组匹配的匹配规则与待应用于和该匹配规则相匹配的分组的处理内容相关联的处理规则来处理接收到的分组。对于这种类型的转发节点200,可以使用如在非专利文献2中所公开的开放流交换机。然而,转发节点200不限于所述开放流交换机。所述多个转发节点200之中的特定转发节点200被连接到网络资源500A和500B。应当注意的是,图7中所示出的网络配置仅仅是示例,并且转发节点200以及网络资源500A和500B的连接配置不限于图7的示例。用户终端100经由转发节点200与网络资源500A和500B进行通信。在图7的示例中,给出了其中网络资源500A和网络资源500B各属于彼此不同的资源组并且它们被分别赋予资源_组_0001和资源_组_0002的资源组ID的描述。认证装置330是使用密码或生物认证等等来执行与用户终端100的用户认证处理的认证服务器。认证装置330将指示与用户终端100的用户认证处理的结果的认证信息发送到策略管理装置300。图8是在本示例性实施例的认证装置330中保持的认证信息的示例。例如,在其中具有用户1的用户ID的用户的认证成功的情况下,认证装置330将用户1的条目作为认证信息发送到策略管理装置300,所述条目包括用户1;作为IP地址:192.168.100.1和MAC地址:00-00-00-44-55-66的属性;以及角色ID:角色_0001和角色_0002。以相同的方式,在其中具有用户2的用户ID的用户的认证成功的情况下,认证装置330将用户2的条目作为认证信息发送到策略管理装置300,所述条目包括用户2;作为IP地址:192.168.100.2,和MAC地址:00-00-00-77-88-99的属性;以及角色ID:角色_0002。认证信息可以为通过其策略管理装置300能够确定分配给用户的通信策略的信息,并且不限于图8的示例。例如,认证信息可以为对其来说认证已成功的用户的用户ID、诸如从讨论中的用户ID推导的角色ID或MAC地址的接入ID、用户终端100的位置信息或这些的组合。认证装置330可以将对其来说认证已失败的用户的信息作为认证信息发送到策略管理装置300,并且可以将通过其策略管理装置300限制来自讨论中的用户的接入的通信策略发送到控制装置400。策略管理装置300被连接到通信策略存储单元310和资源信息存储单元320,确定与从认证装置330接收到的认证信息相对应的通信策略,并且将所确定的通信策略发送到控制装置400。图9是在通信策略存储单元310中存储的通信策略信息的示例。在图9的示例中,通信策略信息具有赋予给一组资源的资源组ID以及针对由角色ID所标识的每个角色的接入权限。例如,具有角色ID:角色_0001的用户被允许接入具有ID:资源_组_0001和资源_组_0002的两个资源组。另一方面,具有角色ID:角色_0002的用户被拒绝接入资源组ID:资源_组_0001,但被允许接入资源_组_0002。图10是在资源信息存储单元320中存储的资源信息的示例。在图10的示例中,资源信息是与属于资源组ID的资源的资源ID或其其它具体属性(资源属性)相关联的信息。例如,关于资源信息,具有资源_0001、资源_0002以及资源_0003的资源被包括在由资源组ID:资源_组_0001所标识的组中,并且在相应IP地址、MAC地址及其服务中使用的端口号被包括。策略管理装置300对通信策略信息和资源信息进行参考,确定已通过认证装置330接收到认证的用户的通信策略,并且通知控制装置400。例如,基于在从认证装置330接收到的认证信息中包括的角色ID,策略管理装置300标识资源组ID的内容及其从图9的策略信息附加到讨论中的角色ID的接入权限。策略管理装置300根据图10的资源信息来标识属于资源组ID的资源信息。策略管理装置300使用经标识的策略信息和资源信息来创建通信策略。图11示出从图8、图9以及图10中所示出的信息创建的具有用户ID:用户1的用户的通信策略的示例。图8的认证信息的用户ID:用户1的属性信息的值被设定在图11的资源字段中。此外,基于图9的策略信息的角色ID:角色_0001的内容从图10的资源信息中提取的资源属性被设定在目的地字段中。基于图9的信息的角色ID:角色_0001的接入权限的权限被设定在接入权限字段中。此外,已被设定在图10的资源信息的资源属性字段中的内容(例如,服务和端口号)被设定在条件(选项)字段中。在接收到通信策略时,控制装置400创建指定向转发节点发送为来自讨论中的通信策略被应用于其的用户的分组设定处理规则的请求的处理内容的处理规则,并且将该处理规则设定在所述多个转发节点200之中的至少一个转发节点中。在从通信策略被应用于其的用户接收到分组时,转发节点200基于处理规则将设定处理规则的请求发送到控制装置400。在从通信策略被应用于其的用户接收到为分组设定处理规则的请求时,控制装置400基于在设定请求中包括的分组信息来确定分组的转发路径和与该转发路径相对应的处理规则,并且将处理规则设定在讨论中分组的转发路径中的转发节点200中。关于在转发节点中设定的处理规则,控制装置400将确定是否转发来自终端100的分组的处理规则发送到用户终端100的终端控制装置110。图12是表示控制装置400的具体配置的框图。控制装置400配备有执行与转发节点200通信的节点通信单元40、控制消息处理单元41、处理规则管理单元42、处理规则存储单元43、转发节点管理单元44、路径动作计算单元45、拓扑管理单元46、终端位置管理单元47、通信策略管理单元48以及通信策略存储单元49。控制消息处理单元41分析从转发节点200接收到的控制消息,并且根据分析的结果将控制消息信息递送到控制装置400内部的对应功能块。处理规则管理单元42管理处理规则如何被设定并且在哪一个转发节点200中。具体地,由路径动作计算单元45所创建的处理规则被登记在处理规则存储单元43中并且设定在转发节点200中,而且根据来自转发节点200的处理规则删除通知,执行与其中改变发生在设定在转发节点200中的处理规则中的情况相对应的处理规则存储单元43的登记信息的更新。转发节点管理单元44管理由控制装置400所控制的转发节点200的能力(例如,端口的数目和类型、支持的处理内容的类型等等)。在从通信策略管理单元48接收到通信策略时,路径动作计算单元45根据所涉及的通信策略来创建处理规则以执行关于从由讨论中的用户所使用的终端发送的分组来设定处理规则的请求。应当注意的是,作为所创建的处理规则的设定目的地的转发节点200可以为用户终端100能够连接到其的转发节点200的任一个,或者可以为任何一个或多个转发节点200基于在通信策略中包括的源信息的选择。在接收到关于从由用户所使用的终端发送的分组来设定处理规则的请求时,路径动作计算单元45基于在请求中包括的分组信息来确定讨论中的分组的转发路径和与讨论中的转发路径相对应的处理规则。此外,路径动作计算单元45基于由拓扑管理单元46所建立的网络拓扑信息来计算分组转发路径。应当注意的是,路径动作计算单元45可以还考虑到由终端位置管理单元47所管理的通信终端的位置信息来计算分组的转发路径。接下来,路径动作计算单元45从转发节点管理单元44获取转发路径中的一个或多个转发节点200的端口信息等等,并且获得待由路径中的一个或多个转发节点200执行的处理内容和用于标识待应用于该处理内容的流的匹配规则。应当注意的是,匹配规则能够使用图11的通信策略的源IP地址、目的地址、条件(选项)等等来创建。因此,在图11的通信策略的第一条目情况下,相对于路径动作计算单元45,创建了指定用于从转发节点200的规定端口将来自192.168.100.1的源IP地址的分组转发到IP192.168.0.1的目的地的处理内容等等的处理规则。应当注意的是,路径动作计算单元45在设定处理规则时,可以不仅创建请求被接收以设定处理规则所针对的分组,而且还可以创建实现分组转发到用户终端对其有接入权限的资源的处理规则。拓扑管理单元46基于经由节点通信单元40收集到的转发节点200的连接关系来建立网络拓扑信息。终端位置管理单元47管理用于标识连接到通信系统的用户终端的位置的信息。在本示例性实施例中,给出了其中IP地址被用作为用于标识用户终端的信息并且用户终端被连接到其的转发节点的转发节点标识符及其端口的信息被用作为用于标识用户终端的位置的信息的描述。然而,用于标识用户终端和该用户终端的位置的信息不限于此。例如,终端及其位置可以通过使用由认证装置330所提供的信息来标识。在从策略管理装置300接收到通信策略信息时,通信策略管理单元48将该信息存储在通信策略存储单元49中,并且还将该信息发送到路径动作计算单元45。应当注意的是,非专利文献1和2的开放流控制器可以被应用作为控制装置400。也就是说,在接收通信策略之际的处理规则(流条目)的操作功能可以被添加到开放流控制器。非专利文献的公开通过引用整体地结合在本文中。处理规则确定单元420向终端控制装置110的处理规则存储单元120发送在由路径动作计算单元45所创建的处理规则之中用于确定是否转发分组的处理规则,(例如,图11的表中的具有源为“192.168.100.1”、目的地为“192.168.0.3”以及接入权限为“拒绝”的处理规则)。从控制装置400转发到终端控制装置110的处理规则存储单元120的方法可能是通过有线连接、无线连接或任何其它转发方法。图12中所示出的控制装置400的每个单元(处理装置)以及路径控制单元410和处理规则确定单元420能够通过存储上述的相应信息并且在使用其硬件配置控制装置400的计算机中执行上面所描述的相应处理的计算机程序来实现。图7中的终端控制装置110被从处理规则存储单元120和接入控制单元130配置,与图6类似。处理规则存储单元120从控制装置400接收并且存储用于确定是否转发分组的处理规则。接入控制单元130根据在处理规则存储单元120中记录的处理规则对从用户终端100发送的分组执行接入控制。也就是说,在其中拒绝接入在与通过(从)用户终端100发送的分组相对应的处理规则中被指定的情况下,用户终端的接入控制单元130独自限制讨论中的分组的传输。上述的终端控制装置110的处理规则存储单元120和接入控制单元130能够通过存储上述的相应信息并且在使用其硬件配置终端控制装置110的用户终端的计算机中执行上面所描述的相应处理的计算机程序来实现。注意,计算机程序可以被存储在为计算机可读的非暂时性记录介质上。接下来参考附图给出关于本示例性实施例的操作的具体描述。图13、图14以及图15是表示本示例性实施例的操作序列的顺序图。参考图13,当用户终端对认证装置330进行登录请求时,与登录请求相对应的分组被转发到认证装置330(图13中的S001)。认证装置330执行用户认证(图13中的S002)。认证装置330将认证信息发送到策略管理装置300(图13中的S003)。策略管理装置300基于所接收到的认证信息来参考通信策略存储单元310和资源信息存储单元320,并且确定通信策略(图13中的S004)。策略管理装置300将所确定的通信策略发送到控制装置400(图13中的S005)。在接收到通信策略时,控制装置400在转发节点200中设定指定其中设定与从用户终端发送的分组相对应的处理规则的请求被发送到控制单元400的处理内容的处理规则(图13中的S006)。控制装置400确定是否转发该分组并且创建与确定的所述结果相对应的处理规则(图13中的S007)。控制装置将所创建的处理规则发送到终端控制装置110(图13中的S008)。在接收到由控制装置400所发送的处理规则时,终端控制装置110将该处理规则登记在处理规则存储单元120中(图13中的S009)。分别使用图14和图15给出关于在其中来自用户终端的分组的转发被允许的情况和其中分组的传输被拒绝的情况下的操作的描述。图14是表示在其中通过终端控制装置110的分组传输被允许的情况下的操作的序列的顺序图。用户终端发送具有网络资源的目的地的分组(图14中的S101)。终端控制装置110接收该分组,并且确定是否将该分组发送到网络资源(图14中的S102)。终端控制装置110比较从用户终端发送的分组的目的地IP地址和在处理规则存储单元120中登记的处理规则。在其中在与从用户终端发送的分组相对应的处理规则中指定接入被允许的情况下,终端控制装置110将分组发送到转发节点200(图14中的S103)。转发节点200从终端控制装置110接收分组,根据由控制装置400所登记的处理规则来确定分组的转发路径(图14中的S104),并且转发该分组(图14中的S105)。图15是表示在其中通过终端控制装置110的分组传输被拒绝的情况下的操作的序列的顺序图。当用户终端发送具有网络资源的目的地的分组时(图15中的S201),终端控制装置110接收该分组并且确定是否将该分组发送到网络资源(图15中的S202)。终端控制装置110比较从用户终端发送的分组的目的地IP地址和在处理规则存储单元120中登记的处理规则。在其中在与从用户终端发送的分组相对应的处理规则中指定了示出接入被拒绝的内容的情况下,终端控制装置110限制分组的传输(分组被丢弃等等)(图15中的S203)。应当注意的是,控制装置400可以为终端设定处理规则,或者终端可以周期性地参考控制装置400并且终端可以获得处理规则。此外,两个机制的组合也是可能的。应该进一步注意的是,选择或组合(在特定一个或多个元件或一个或多个步骤的删除情况下)必要时可以被整体地形成在本公开的整个构思和公开内,只要基本构思和原理被维持。用于允许或者拒绝通过接入控制单元130的分组转发的机制可以为与在转发节点中执行的方法类似的机制,或者可以使用如在iptables中一样的分组过滤技术。此外,终端控制装置110的接入控制单元130还能够应用允许或者拒绝关于用户终端内部的物理NIC(网络接口卡)的分组转发的处理规则;应用对于由在用户终端内部操作的多个VM(虚拟机)所保持的相应虚拟NIC而言也是可能的;并且应用对于在用户终端内部操作的多个虚拟交换机而言也是可能的。以这种方式,接入控制单元130能够自由地指定用于在用户终端内部执行接入控制的地方。如上所述,从用户终端发送的分组能够经受用户终端内部的接入限制,而不用通过用户终端内部的终端控制装置110而被发送到转发节点。因此,能够大大地减少伴有设定处理规则的请求的控制装置上的负荷和转发节点的转发处理的负荷。(第二示例性实施例)接下来,给出关于本公开的第二示例性实施例的描述,其中修改被添加到上面所描述的第一示例性实施例的策略管理装置的操作。因为本示例性实施例能够通过相当于上面所描述的第一示例性实施例的配置来实现,所以给出在下面集中于其操作中的差异点的描述。图16是表示本公开的第二示例性实施例的操作序列的顺序图。用户终端对认证装置330进行登录请求(图16中的S301)。认证装置330执行用户认证(图16中的S302)。认证装置330基于用户认证的结果将认证信息发送到策略管理装置300(图16中的S303)。策略管理装置300基于从认证装置330接收到的认证信息来确定用于用户的通信策略(图16的S304)。策略管理装置300将所确定的通信策略发送到控制装置400(图16中的S305)。控制装置400基于从策略管理装置300接收到的通信策略生成处理规则,并且将该处理规则设定在转发节点200中(图16中的S306)。这些操作与第一示例性实施例相同。在本示例性实施例中,在控制装置400已将处理规则设定在转发节点200中之后,对处理规则的内容进行参考,并且用于确定是否转发分组的处理规则被发送到策略管理装置300(图16中的S307)。已接收到用于确定是否转发分组的处理规则的策略管理装置300使用通信策略存储单元310和资源信息存储单元320的信息来选择处理规则将被适用于其的另一用户(图16中的S309)。图17是表示其中已接收到用于确定是否转发分组的处理规则的策略管理装置300选择处理规则将适用于其的另一用户的示例的图。例如,参考图17,存在拒绝其中源是“IP:192.168.100.0/24”并且目的地是“192.168.0.3”的接入的处理规则(在下面,处理规则(a))。在这种情况下,策略管理装置300搜索和处理规则(a)匹配的另一用户(资源ID或资源组ID),并且选择匹配的另一用户(例如,经由源为“192.168.100.10”,其它条件具有与针对处理规则(a)的用户相同的资源ID和资源组ID)。在以下描述中,执行图16的登录处理(S301)的用户是A,由用户A所使用的用户终端是用户终端A,并且由用户终端A所支配的终端控制装置是终端控制装置A。此外,由图16的策略管理装置300基于从控制装置400接收到的处理规则所选择的用户是B,由用户B所使用的用户终端是用户终端B,并且由用户终端B所支配的终端控制装置是终端控制装置B。策略管理装置300接收用于确定是否从控制装置400将分组转发到用户A的处理规则(a),并且在选择了和处理规则(a)匹配的用户B之后,将相应的处理规则设定在用户终端A的终端控制装置A和用户终端B的终端控制装置B中(图16的S310和S312)。应当注意的是,任何顺序可以被用作为控制装置400将处理规则发送到终端控制装置A和终端控制装置B的顺序。在接收到由控制装置400所发送的处理规则时,终端控制装置A将该处理规则登记在终端控制装置A的处理规则存储单元中(图16中的S311)。类似地,在接收到由控制装置400所发送的处理规则时,终端控制装置B将该处理规则登记在终端控制装置B的处理规则存储单元中(图16中的S313)。其后,在其中来自用户终端A和用户终端B的分组传输被允许的情况下以及在分组传输被拒绝的情况下的操作与使用图14和图15所描述的第一示例性实施例的类似。作为操作的上述序列的结果,在其中针对特定用户的终端而设定的处理规则也适用于另一用户的情况下,通过同样提前在另一个用户的终端控制装置中登记处理规则,可以减少伴有设定处理规则的请求的控制装置的负荷和转发节点的转发处理的负荷。(第三示例性实施例)接下来,参考图18给出本公开的第三示例性实施例的描述。在图18中的相应元件具有与其它示例性实施例中的元件相同的参考标号情况下,元件与在其它示例性实施例中所描述的内容相同。在下面,本示例性实施例的配置的具体描述被省略。控制装置400相对于终端100来设定指定将终端的标识符写入分组的处理规则。应当注意的是,由控制装置400为终端100设定处理规则的时机可能是任意的。例如,在其中控制装置400接收到由终端100所发送的用于请求接入的分组(例如,认证分组或登录分组)的情况下,可以为终端100设定处理规则。此外,控制装置400可以在任意定时处为终端100设定处理规则。控制装置400在处理规则中包括用于和作为处理的目标以写入终端的标识符的分组匹配的匹配规则,并且将该处理规则设定在终端100中。终端100根据所设定的处理规则在分组的任意字段(例如,报头的规定字段)中写入终端的标识符。终端100将其中标识符被写入的分组发送到由转发节点200组成的网络。转发节点200从终端100接收包括该终端的标识符的分组,并且根据它保持的处理规则来检查是否存在与终端的标识符相对应的处理规则。在其中不存在与终端的标识符相对应的处理规则的情况下,转发节点200将设定与终端的标识符相对应的处理规则的请求发送到控制装置400。从转发节点200接收到请求的控制装置400确定与终端的标识符相对应的转发路径,并且将与该转发路径相对应的处理规则发送到转发节点200。在设定在转发节点200中的处理规则中,终端的标识符被设定在匹配规则中,而与标识符相对应的分组的处理被设定在处理内容中。在处理规则已被设定之后,转发节点200根据和在分组中包括的终端的标识符匹配的处理规则来处理包括终端的标识符的分组。根据本示例性实施例,控制装置400能够灵活地控制终端单元中的分组流。此外,因为对于控制装置400或转发节点200来说没有必要识别终端的标识符,所以通过控制装置400和转发节点200收集终端标识符所需的处理负荷被大大地减少。此外,因为处理装置400能够提前在转发节点200中设定对应于终端的标识符的处理规则,所以可以缩减由于处理规则未被设定在转发节点200中而生成的对控制装置400的请求。因此,控制装置400上的处理负荷被大大地减少。(第四示例性实施例)接下来,参考图19给出本公开的第四示例性实施例的描述。在图19中的相应元件具有与其它示例性实施例中的元件相同的参考标号情况下,元件与在其它示例性实施例中所描述的内容相同。在下面,本示例性实施例的配置的具体描述被省略。控制装置400关于规定终端100来设定关于服务质量(QoS)的处理规则。应当注意的是,由控制装置400为终端100设定处理规则的时机可能是任意的。例如,在其中控制装置400接收到由终端100所发送的用于请求接入的分组(例如,认证分组或登录分组)的情况下,可以为终端100设定处理规则。此外,控制装置400可以在任意定时处为终端100设定处理规则。此外,控制装置400可以将QoS信息发送到仅由规定条件所选择的规定终端100。关于QoS的处理规则例如指定用于将分组的QoS信息写入从规定终端100已被发送的分组的处理。应当注意的是,QoS信息是例如其中类别划分根据优先级来进行的QoS类别。控制装置400关于具有高QoS类别的分组来控制转发节点200以便适应频带。此外,控制装置400可以为终端100设定指定将低QoS类别写入分组的处理规则,并且可以控制转发节点200以便在具有窄带的路径中临时地隔离来自具有通信的高频率的重负荷用户的流量。控制装置400可以基于终端100的通信记录和位置信息来确定在终端100中设定的处理规则。控制装置400在处理规则中包括用于和作为处理目标以写入QoS信息的分组匹配的匹配规则,并且将处理规则设定在终端100中。终端100根据所设定的处理规则在分组的任意字段(例如,报头的规定字段)中写入QoS信息。终端100将其中QoS信息被写入的分组发送到由转发节点200组成的网络。转发节点200从终端100接收包括QoS信息的分组,并且根据它保持的处理规则来检查是否存在与QoS信息相对应的处理规则。在其中不存在与QoS信息相对应的处理规则的情况下,转发节点200将设定与在分组中包括的QoS信息相对应的处理规则的请求发送到控制装置400。然而,控制装置400可以提前在转发节点200中设定与QoS信息相对应的处理规则。在这种情况下,关于控制装置400设定处理规则的请求被大大地降低。从转发节点200接收请求的控制装置400确定与QoS信息相对应的转发路径,并且将与该转发路径相对应的处理规则发送到转发节点200。在设定在转发节点200中的处理规则中,QoS信息被设定在匹配规则中,而与QoS信息相对应的分组的处理被设定在处理内容中。在处理规则已被设定之后,转发节点200根据和在分组中包括的QoS信息匹配的处理规则来处理包括该QoS信息的分组。根据本示例性实施例,可以通过管理控制装置400的网络运营商的主动性对终端执行QoS控制。此外,因为控制装置400能够提前在转发节点200中设定与QoS信息相对应的处理规则,所以可以大大地减少从转发节点200设定处理规则的请求。因此,控制装置400上的处理负荷被大大地减少。此外,因为没有必要执行将QoS信息写入转发节点200中的处理,所以可以大大地减少关于转发节点200的分组处理的负荷。(第五示例性实施例)接下来,参考图20给出本公开的第五示例性实施例的描述。在图20中的相应元件具有与其它示例性实施例中的元件相同的参考标号情况下,元件与在其它示例性实施例中所描述的内容相同。在下面,本示例性实施例的配置的具体描述被省略。控制装置400设定指定终端100的接入请求的重新定向的规定终端100的处理规则。例如在其中期望将终端100的用户导向特定广告站点的情况下,控制装置400设定指定接入请求的重新定向的处理规则。例如,在其中终端100请求接入执行电子商务的特定站点的情况下,控制装置400为终端100设定处理规则以便将接入请求重新定向到执行诸如折扣等等的特殊事件的相关站点。应当注意的是,控制装置400可以为终端100设定处理规则,以便仅针对终端100的第一接入请求进行重新定向。控制装置400可以将有效期添加到重新定向终端100中的通信的处理规则,并且将该处理规则设定在终端100中。此外,控制装置400可以参考终端100的通信记录以确定重新定向目的地。例如,控制装置400可以基于通信记录分析用户偏好,并且可以设定与偏好相对应、重新定向到广告站点等等的用于终端100的处理规则。此外,控制装置400可以基于终端100的位置来确定重新定向目的地。控制装置400基于例如从终端100发送的位置信息(GPS等等)或终端100接入网络的接入点的位置信息来识别终端100的位置。控制装置400基于终端100的位置来设定指定重新定向到与所述位置相关的规定网站等等的目的地的处理规则。控制装置400例如向终端100发送执行从终端100发送的接入请求分组的报头的“目的地”字段的写入的处理规则。此外,控制装置400确定与重新定向目的地相对应的转发路径,并且将与所确定的路径相对应的处理规则设定在转发节点200中。控制装置400可以提前在转发节点200中设定与重新定向目的地相对应的处理规则。在这种情况下,关于控制装置400设定处理规则的请求被大大地降低。控制装置400在处理规则中包括用于和作为重新定向目标的分组匹配的匹配规则,并且将该处理规则设定在终端100中。终端100根据已被设定的处理规则将分组报头的目的地字段重写为在处理规则中所设定的重新定向目的地。终端100将其中目的地字段已被重写的分组发送到由转发节点200组成的网络。转发节点200根据与经重新定向的目的地相对应的处理规则来转发分组。根据本示例性实施例,通过使用控制装置400,网络中的服务提供商能够将终端的用户导向特定站点。此外,因为控制装置400能够提前在转发节点200中设定与重新定向的目的地相对应的处理规则,所以可以大大地减少从转发节点200设定处理规则的请求。因此,控制装置400上的处理负荷被大大地减少。此外,因为在转发节点200中没有必要执行重写分组目的地的处理,所以关于转发节点200的分组处理被大大地减少。(第六示例性实施例)接下来,参考图21给出本公开的第六示例性实施例的描述。在图21中的相应元件具有与其它示例性实施例中的元件相同的参考标号情况下,元件与在其它示例性实施例中所描述的内容相同。在下面,本示例性实施例的配置的具体描述被省略。控制装置400关于指定终端100来设定指定将终端用户的计费(billing)信息写入分组的处理规则。计费信息例如涉及计费类别,其中终端用户根据通信服务的质量等等与网络运营商订立契约。应当注意的是,由控制装置400为终端100设定处理规则的时机可能是任意的。例如,在其中控制装置400接收到由终端100所发送的用于请求接入的分组(例如,认证分组或登录分组)的情况下,可以为终端100设定处理规则。此外,控制装置400可以在任意定时处为终端100设定处理规则。控制装置400在处理规则中包括用于和作为写入计费信息的处理的目标的分组匹配的匹配规则,并且将该处理规则设定在终端100中。控制装置400控制转发节点200以便为高计费类别的分组提供比低计费类别中的分组更高的服务质量(给出范围内的优先级等等)。终端100根据所设定的处理规则在分组的任意字段(例如,报头的规定字段)中写入计费信息。终端100将其中计费信息被写入的分组发送到由转发节点200组成的网络。转发节点200从终端100接收包括计费信息的分组,并且根据它保持的处理规则来检查是否存在与计费信息相对应的处理规则。在其中不存在与计费信息相对应的处理规则的情况下,转发节点200将设定与在分组中包括的计费信息相对应的处理规则的请求发送到控制装置400。然而,控制装置400可以提前在转发节点200中设定与计费信息相对应的处理规则。在这种情况下,关于控制装置400设定处理规则的请求被大大地降低。从转发节点200接收到请求的控制装置400确定与计费信息相对应的转发路径,并且将与该转发路径相对应的处理规则发送到转发节点200。在设定在转发节点200中的处理规则中,计费信息被设定在匹配规则中,而与计费信息相对应的分组的处理被设定在处理内容中。在处理规则已被设定之后,转发节点200根据和在分组中包括的计费信息匹配的处理规则来处理包括该计费信息的分组。应当注意的是,本示例性实施例和第五示例性实施例的组合也是可能的。控制装置400可以设定指定重新定向到建议计费类别的升级的站点、到计费类别为低并且处于具有持续固定周期的低于规定阈值的通信服务质量的状态的用户终端100的处理规则。根据本示例性实施例,可以通过管理控制装置400的网络运营商的主动性根据终端用户的计费信息来控制通信服务质量。此外,因为控制装置400能够提前在转发节点200中设定与计费信息相对应的处理规则,所以可以大大地减少从转发节点200设定处理规则的请求。因此,控制装置400上的处理负荷被大大地减少。此外,因为没有必要执行将计费信息写入转发节点200中的处理,所以可以大大地减少关于转发节点200的分组处理的负荷。(第七示例性实施例)接下来,给出关于第七示例性实施例的描述。图22是表示本公开的第七示例性实施例的配置示例的图。第七示例性实施例不同于上面所描述的示例性实施例之处在于控制装置400A包括改变判断单元610。改变判断单元610保持由处理规则确定单元420所确定的在终端100中设定的处理规则的哈希值。改变判断单元610比较在终端控制装置110的处理规则存储单元120中记录的处理规则的哈希值和本身保持的哈希值。在其中哈希值是不同的情况下,改变判断单元610判断在终端100中设定的处理规则已被改变了。为了确保通信系统的安全性,改变判断单元610将拒绝来自该终端100的接入的处理规则登记在转发节点200中。应当注意的是,当将拒绝接入的处理规则设定在转发节点200中时,改变判断单元610可以在处理规则中设定有效期。接下来,给出关于第七示例性实施例的操作的描述。关于与上面所描述的示例性实施例相同的操作的描述被省略。在下面,给出集中于操作中的差异点的描述。图23是表示本公开的第七示例性实施例的操作序列的顺序图。用户终端对认证装置330进行登录请求(图23中的S401)。认证装置330执行用户认证(图23中的S402)。认证装置330基于用户认证的结果将认证信息发送到策略管理装置300(图23中的S403)。策略管理装置300基于从认证装置330接收到的认证信息来确定针对用户的通信策略(图23的S404)。策略管理装置300将所确定的通信策略发送到控制装置400(图23中的S405)。控制装置400基于从策略管理装置300接收到的通信策略来确定处理规则,并且将该处理规则设定在转发节点200中。在接收到通信策略时,控制装置400在转发节点200中设定执行设定关于来自用户终端的分组的处理规则的请求的处理规则(图23中的S406)。控制装置400确定用于在终端100中进行设定的处理规则(图23中的S407)。控制装置400将所确定的处理规则发送到终端控制装置110(图23中的S408)。在接收到由控制装置400所发送的处理规则时,终端控制装置110将该处理规则登记在处理规则存储单元120中(图23中的S409)。控制装置400的改变判断单元610生成关于终端100的由设定处理规则所请求的哈希值(图23中的S410)。终端控制装置110生成通过由控制单元400所设定的处理规则所请求的哈希值(图23中的S411),并且将该哈希值发送到控制装置400的改变判断单元610(图23中的S412)。控制装置400的改变判断单元610对照由改变判断单元610所生成的哈希值和由终端控制装置110所发送的哈希值(图23中的S413)。如果哈希值的对照的结果是值匹配,则控制装置400的改变判断单元610将这个视为正常,并且结束处理的序列。另一方面,如果哈希值的对照的结果是值为不同,则执行处理规则已被终端100的用户改变的确定,拒绝来自终端100的接入的处理规则被生成,并且该处理规则被设定在转发节点200中(图23中的S414)。应当注意的是,改变判断单元610可以在拒绝来自终端100的接入的处理规则中设定有效期。作为操作的上述序列的结果,在其中特定用户已经改变了在用户终端中保持的处理规则的情况下,控制装置检测该改变,并且通过将拒绝通过该用户的所有接入的处理规则设定在转发节点中,可以防止讨论中的接入控制系统被用户故意地控制。上面已经给出了本公开的相应示例性实施例的描述,但是本公开不限于上述的示例性实施例,并且在不背离本公开的基本技术构思的范围内可以添加另外的修改、取代以及调整。例如,在上面描述的相应示例性实施例中已经给出了其中控制装置400、认证装置330、策略管理装置300、通信策略存储单元310以及资源信息存储单元320各被独立地提供的描述,但采用其中这些被适当地集成的配置也是可能的。此外,在上述示例性实施例中,已经给出了其中接入控制通过将角色ID分配给用户来执行的描述,如图8至图11中所示,但通过使用诸如MAC地址的接入ID、或分配给每个用户的用户ID、或用户终端100的位置信息等等来执行接入控制也是可能的。此外,在上述的示例性实施例中,已经给出了其中用户终端100经由转发节点200执行与认证装置330的认证处理的描述,但是采用其中用户终端100直接地与认证装置330进行通信并且实现认证处理的配置也是可能的。应当注意的是,上述的专利文献和非专利文献的每个公开都通过引用结合在本文中。示例性实施例的修改和调整在本发明的整个公开(包括权利要求的范围)的边界内是可能的,并且还基于其基本技术构思。此外,各种公开的元件(尤其是所公开的不同示例性实施例或示例的任何元件和/或步骤)的各式各样组合和选择(包括特定删除)在本发明的权利要求的范围内是可能的。也就是说,本发明清楚地包括本领域的技术人员能够根据包括权利要求的范围的整个公开并且根据其技术构思实现的每种类型的变换和修改。参考标记列表1终端2转发节点3控制装置10通信单元11存储单元12处理单元21存储单元22控制装置通信单元23处理单元31通信单元32控制单元33策略管理单元40节点通信单元41控制消息处理单元42处理规则管理单元43处理规则存储单元44转发节点管理单元45路径动作计算单元46拓扑管理单元47终端位置管理单元48通信策略管理单元49通信策略存储单元100终端110终端控制装置120处理规则存储单元130接入控制单元200转发节点300策略管理装置310通信策略存储单元320资源信息存储单元330认证装置400、400A控制装置410路径控制单元420处理规则确定单元500、500A、500B网络资源610改变判断单元当前第1页1 2 3 当前第1页1 2 3