[发明专利]数据传送系统及数据传送方法

说明书

数据传送装置具备交换机和控制装置。所述交换机参照使得表示针对接收的数据的条件的第1信息、和表示符合该条件的情况下应当实施的处理的第2信息相关联的表，从发送源向发送目标传送数据。所述控制装置具备：设定部，其将临时表设定于所述交换机，其中，该临时表对用于将符合由所述第1信息表示的条件的数据输出至控制装置的所述第2信息进行存储；获取部，其获取表示所述发送源和所述发送目标之间的路径的路径信息；以及更新部，其将所述临时表更新为基于所述路径信息而对符合由所述第1信息表示的条件的数据的输出目标进行了变更的表。

技术领域

本发明涉及数据传送系统、数据传送方法、控制装置、控制方法以及非临时性计算机可读存储介质。

本申请主张2014年8月27日申请的日本专利申请第2014-173153 号的优先权，在这里引用其内容。

背景技术

通常，构成网络的网络设备(例如交换机)具备访问控制列表 (ACL：Access Control List)，参照该访问控制列表的内容进行数据的传送控制。在上述访问控制列表中，无论网络的具体结构如何，都能够设定抽象内容(例如，发送目标的地址、软件的端口编号等)。这种访问控制列表的内容能够通过例如Linux(注册商标)的命令“iptables”进行设定。

近年来，为了能够实现复杂的传送控制、灵活的网络结构的变更，使用了被称为开放流(OpenFlow)的技术。开放流是基于通过编程来控制网络的“Software-DefinedNetwork”这样的理念而开发的技术。对于该开放流而言，使构成网络的网络设备分离为路径控制设备(OFC：OpenFlow Controller)和数据传送设备(OFS：OpenFlow Switch)，路径控制设备集中管理设置于数据传送设备的流表(Flow Table)，由此进行传送控制。

这里，上述开放流中使用的流表能够对前述的访问控制列表进行记述。流表是对将进行传送控制的条件(match)、符合条件的情况下应当实施的处理(Action)等相关联的信息进行存储的表。日本特开 2007-74383号公报中公开有参照访问控制列表进行传送控制的现有技术的一个例子。

但是，在车间(plant)这样的被称为关键基础设施的环境中，为了确保安全性，存在要严密地控制经由网络而进行的通信的要求。例如，要求使用白名单(white list)的控制。在使用该白名单的控制中，基本上拒绝所有通信，仅容许明确指示的特定设备之间的特定应用的通信。

这里，如前所述，使用访问控制列表进行传送控制的网络设备(以下，称为“现有的网络设备”)，能够将发送目标的地址等抽象内容设定于访问控制列表中。因此，即使网络管理者未掌握网络的具体结构，也能够将访问控制列表制作成白名单而进行严密的传送控制。

但是，现有的网络设备中的访问控制列表的设定，必须使用依赖于网络设备的供应商、机种的命令而进行。因此，在由各种各样的供应商提供的网络设备混用的网络中，必须使用与设定对象的网络设备相适应的命令而进行访问控制列表的设定。因此，存在如下问题，即，需要繁琐的管理，难以适时地进行严密的传送控制。

对此，依据前述的开放流标准的网络设备，能够利用统一的协议进行流表的设定。因此，可以认为，无需使用依赖于网络设备的机种的命令，使管理简单化，因此，即使是由各种各样的供应商提供的网络设备混用的网络，也能够适时地进行严密的传送控制。

但是，流表必须基于网络的具体结构来记述。例如，在符合传送控制的条件的情况下应当实施的处理(Action)是数据的发送(输出) 的情况下，需要在流表中对输出该数据的数据传送设备的物理端口进行记述。因此，存在如下问题，即，如果网络管理者未预先掌握网络的具体结构(具体的连接状况)，则无法制作流表。

在此基础上，在针对由现有的网络设备构成的网络而将依据开放流标准的网络设备引入的情况下，能够想到现有的网络设备和依据开放流标准的网络设备混用的状况。