(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024085855
(43)【公開日】2024-06-27
(54)【発明の名称】通信路確立システム及び方法
(51)【国際特許分類】
H04L 41/0803 20220101AFI20240620BHJP
【FI】
H04L41/0803
【審査請求】未請求
【請求項の数】12
【出願形態】OL
(21)【出願番号】P 2022200631
(22)【出願日】2022-12-15
(71)【出願人】
【識別番号】000233295
【氏名又は名称】株式会社日立情報通信エンジニアリング
(74)【代理人】
【識別番号】110002365
【氏名又は名称】弁理士法人サンネクスト国際特許事務所
(72)【発明者】
【氏名】村中 延之
(72)【発明者】
【氏名】田澤 功
(72)【発明者】
【氏名】飯島 智之
(72)【発明者】
【氏名】高瀬 誠由
(72)【発明者】
【氏名】金子 拓朗
(72)【発明者】
【氏名】森 久斗
(57)【要約】
【課題】エッジデバイスや遠隔拠点が多様化した環境においてセキュアな通信路を確立する。
【解決手段】システムは、個々のエッジデバイスについて、認証要件が満たされているか否かを判定する。システムは、当該判定の結果が真の場合に、当該エッジデバイスと当該エッジデバイスが通信する遠隔拠点間の通信路の確立のために当該通信路についてエッジ側中継部に設定される通信路情報を出力する。エッジ側中継部は、設定されているネットワーク制御情報に基づき複数のエッジ拠点における複数のエッジデバイスと複数の遠隔拠点間の通信のネットワーク制御を行うようになっている。ネットワーク制御情報は、通信路毎に通信路情報を含む。通信路毎に、通信路情報は、当該通信路を表す情報と、当該通信路経由での通信を行うエッジデバイスと遠隔拠点とを表す情報とを含む。
【選択図】図1
【解決手段】システムは、個々のエッジデバイスについて、認証要件が満たされているか否かを判定する。システムは、当該判定の結果が真の場合に、当該エッジデバイスと当該エッジデバイスが通信する遠隔拠点間の通信路の確立のために当該通信路についてエッジ側中継部に設定される通信路情報を出力する。エッジ側中継部は、設定されているネットワーク制御情報に基づき複数のエッジ拠点における複数のエッジデバイスと複数の遠隔拠点間の通信のネットワーク制御を行うようになっている。ネットワーク制御情報は、通信路毎に通信路情報を含む。通信路毎に、通信路情報は、当該通信路を表す情報と、当該通信路経由での通信を行うエッジデバイスと遠隔拠点とを表す情報とを含む。
【選択図】図1
【特許請求の範囲】
【請求項1】
インターフェース装置と、
複数のエッジ拠点と複数の遠隔拠点との通信路要件及び認証要件を表す制御管理情報を含んだ管理情報が格納される記憶装置と、
前記インターフェース装置及び前記記憶装置に接続されており、エッジ側中継部に設定される通信路情報を前記インターフェース装置を通じて出力するプロセッサと
を備え、
前記エッジ側中継部は、前記エッジ側中継部に設定されているネットワーク制御情報に基づき前記複数のエッジ拠点における複数のエッジデバイスと前記複数の遠隔拠点間の通信のネットワーク制御を行うようになっており、
前記ネットワーク制御情報は、通信路毎に通信路情報を含み、
通信路毎に、通信路情報は、当該通信路を表す情報と、当該通信路経由での通信を行うエッジデバイスと遠隔拠点とを表す情報とを含み、
前記プロセッサが、個々のエッジデバイスについて、
認証要件が満たされているか否かの判定である要件判定を前記管理情報に基づき行い、
当該要件判定の結果が真の場合に、当該エッジデバイスと当該エッジデバイスが通信する遠隔拠点間の通信路の確立のために当該通信路について前記エッジ側中継部に設定される通信路情報を、前記インターフェース装置を通じて出力する、
通信路確立システム。
複数のエッジ拠点と複数の遠隔拠点との通信路要件及び認証要件を表す制御管理情報を含んだ管理情報が格納される記憶装置と、
前記インターフェース装置及び前記記憶装置に接続されており、エッジ側中継部に設定される通信路情報を前記インターフェース装置を通じて出力するプロセッサと
を備え、
前記エッジ側中継部は、前記エッジ側中継部に設定されているネットワーク制御情報に基づき前記複数のエッジ拠点における複数のエッジデバイスと前記複数の遠隔拠点間の通信のネットワーク制御を行うようになっており、
前記ネットワーク制御情報は、通信路毎に通信路情報を含み、
通信路毎に、通信路情報は、当該通信路を表す情報と、当該通信路経由での通信を行うエッジデバイスと遠隔拠点とを表す情報とを含み、
前記プロセッサが、個々のエッジデバイスについて、
認証要件が満たされているか否かの判定である要件判定を前記管理情報に基づき行い、
当該要件判定の結果が真の場合に、当該エッジデバイスと当該エッジデバイスが通信する遠隔拠点間の通信路の確立のために当該通信路について前記エッジ側中継部に設定される通信路情報を、前記インターフェース装置を通じて出力する、
通信路確立システム。
【請求項2】
前記制御管理情報は、複数の通信要件の各々について当該通信要件を表し、
前記複数の通信要件の各々は、エッジ拠点、遠隔拠点、通信路要件及び認証要件の組を含み、
前記個々のエッジデバイスについて、
前記プロセッサが、前記制御管理情報に基づき、当該エッジデバイスを含むエッジ拠点と、当該エッジデバイスが通信する遠隔拠点とを含む通信要件を特定し、
前記要件判定の対象の認証要件は、当該特定された通信要件における認証要件であり、
前記要件判定の結果が真の場合に出力される通信路情報は、当該特定された通信要件における通信路要件を満たす通信路を表す情報である、
請求項1に記載の通信路確立システム。
前記複数の通信要件の各々は、エッジ拠点、遠隔拠点、通信路要件及び認証要件の組を含み、
前記個々のエッジデバイスについて、
前記プロセッサが、前記制御管理情報に基づき、当該エッジデバイスを含むエッジ拠点と、当該エッジデバイスが通信する遠隔拠点とを含む通信要件を特定し、
前記要件判定の対象の認証要件は、当該特定された通信要件における認証要件であり、
前記要件判定の結果が真の場合に出力される通信路情報は、当該特定された通信要件における通信路要件を満たす通信路を表す情報である、
請求項1に記載の通信路確立システム。
【請求項3】
前記管理情報は、前記複数のエッジデバイスの各々についての認証に関する情報である認証情報を含んだデバイス管理情報を含み、
前記個々のエッジデバイスについて、前記要件判定は、当該エッジデバイスに対応の認証情報が、前記特定された通信要件における認証要件を満たすか否かの判定である、
請求項2に記載の通信路確立システム。
前記個々のエッジデバイスについて、前記要件判定は、当該エッジデバイスに対応の認証情報が、前記特定された通信要件における認証要件を満たすか否かの判定である、
請求項2に記載の通信路確立システム。
【請求項4】
前記複数の通信要件の各々について、
当該通信要件における認証要件は、ハードウェア認証要件とデスティネーション認証要件とを含み、
前記ハードウェア認証要件は、エッジデバイスを識別するための情報であるハードウェア情報についての要件であり、
前記デスティネーション認証要件は、当該通信要件における遠隔拠点との通信が許可されるための認証方法に関する情報であるデスティネーション認証情報についての要件であり、
前記複数のエッジデバイスの各々について、前記認証情報は、当該エッジデバイスのハードウェア情報と、当該エッジデバイスが通信し得る遠隔拠点に対応したデスティネーション認証情報とを含み、
前記個々のエッジデバイスについて、
前記要件判定は、
当該エッジデバイスのハードウェア情報が、前記特定された通信要件におけるハードウェア認証要件を満たすか否かの第1の判定と、
当該エッジデバイスのデスティネーション認証情報が、前記特定された通信要件におけるデスティネーション認証要件を満たすか否かの第2の判定と
を含み、
前記要件判定の結果が真であるとは、前記第1の判定の結果が真であり、且つ、前記第2の判定の結果が真であることである、
請求項3に記載の通信路確立システム。
当該通信要件における認証要件は、ハードウェア認証要件とデスティネーション認証要件とを含み、
前記ハードウェア認証要件は、エッジデバイスを識別するための情報であるハードウェア情報についての要件であり、
前記デスティネーション認証要件は、当該通信要件における遠隔拠点との通信が許可されるための認証方法に関する情報であるデスティネーション認証情報についての要件であり、
前記複数のエッジデバイスの各々について、前記認証情報は、当該エッジデバイスのハードウェア情報と、当該エッジデバイスが通信し得る遠隔拠点に対応したデスティネーション認証情報とを含み、
前記個々のエッジデバイスについて、
前記要件判定は、
当該エッジデバイスのハードウェア情報が、前記特定された通信要件におけるハードウェア認証要件を満たすか否かの第1の判定と、
当該エッジデバイスのデスティネーション認証情報が、前記特定された通信要件におけるデスティネーション認証要件を満たすか否かの第2の判定と
を含み、
前記要件判定の結果が真であるとは、前記第1の判定の結果が真であり、且つ、前記第2の判定の結果が真であることである、
請求項3に記載の通信路確立システム。
【請求項5】
前記個々のエッジデバイスに関し、前記プロセッサが、当該エッジデバイスに関し認証に関する情報を受け付けるUI(User Interface)を提供する、
請求項1に記載の通信路確立システム。
請求項1に記載の通信路確立システム。
【請求項6】
少なくとも一つの通信路は、VPN(Virtual Private Network)経由の通信路、LBO(Local Break Out)に従う通信のための通信路、又は、ネットワーク制御を行うサービス経由の通信路である、
請求項1に記載の通信路確立システム。
請求項1に記載の通信路確立システム。
【請求項7】
少なくとも一つの認証要件は、遠隔拠点に対応の証明書のインストール、又は、認証代行のサービスの利用である、
請求項1に記載の通信路確立システム。
請求項1に記載の通信路確立システム。
【請求項8】
前記管理情報は、前記複数のエッジデバイスの各々についての認証に関する情報である認証情報を含んだデバイス管理情報を含み、
前記デバイス管理情報は、前記UIを介して入力された情報を含み、
少なくとも一つのエッジデバイスについて、
前記プロセッサが、当該エッジデバイスから接続された前記エッジ側中継部から、当該エッジデバイスに関する情報を受け、
前記デバイス管理情報のうち当該エッジデバイスに関する情報は、前記プロセッサが受けた当該情報を含む、
請求項5に記載の通信路確立システム。
前記デバイス管理情報は、前記UIを介して入力された情報を含み、
少なくとも一つのエッジデバイスについて、
前記プロセッサが、当該エッジデバイスから接続された前記エッジ側中継部から、当該エッジデバイスに関する情報を受け、
前記デバイス管理情報のうち当該エッジデバイスに関する情報は、前記プロセッサが受けた当該情報を含む、
請求項5に記載の通信路確立システム。
【請求項9】
前記管理情報が、
前記複数のエッジデバイスの各々について当該エッジデバイスの期待される回線利用量を表す情報を含んだデバイス管理情報と、
複数の回線の各々について当該回線経由の通信を行うエッジ拠点と遠隔拠点との組と回線利用量に関する閾値である利用閾値とを表す情報を含んだ回線管理情報と
を含み、
前記個々のエッジデバイスについて、前記プロセッサが、
前記管理情報を基に、当該エッジデバイスを含むエッジ拠点と当該エッジデバイスが通信する遠隔拠点との組に対応した回線を特定し、
前記管理情報を基に、当該特定した回線経由の通信路が確立済である全てのエッジデバイスの回線利用量を基に得られた値が、当該特定した回線の利用閾値未満であるか否かの判定である利用判定を行い、
前記要件判定の結果が真であり、且つ、前記利用判定の結果が真である場合に、当該エッジデバイスと当該エッジデバイスが通信する遠隔拠点間の前記特定された回線経由の通信路について前記エッジ側中継部に設定される通信路情報を、前記インターフェース装置を通じて出力する、
請求項1に記載の通信路確立システム。
前記複数のエッジデバイスの各々について当該エッジデバイスの期待される回線利用量を表す情報を含んだデバイス管理情報と、
複数の回線の各々について当該回線経由の通信を行うエッジ拠点と遠隔拠点との組と回線利用量に関する閾値である利用閾値とを表す情報を含んだ回線管理情報と
を含み、
前記個々のエッジデバイスについて、前記プロセッサが、
前記管理情報を基に、当該エッジデバイスを含むエッジ拠点と当該エッジデバイスが通信する遠隔拠点との組に対応した回線を特定し、
前記管理情報を基に、当該特定した回線経由の通信路が確立済である全てのエッジデバイスの回線利用量を基に得られた値が、当該特定した回線の利用閾値未満であるか否かの判定である利用判定を行い、
前記要件判定の結果が真であり、且つ、前記利用判定の結果が真である場合に、当該エッジデバイスと当該エッジデバイスが通信する遠隔拠点間の前記特定された回線経由の通信路について前記エッジ側中継部に設定される通信路情報を、前記インターフェース装置を通じて出力する、
請求項1に記載の通信路確立システム。
【請求項10】
前記エッジ側中継部は、SD-WAN(Software Defined-Wide Area Network)のゲートウェイである、
請求項1に記載の通信路確立システム。
請求項1に記載の通信路確立システム。
【請求項11】
個々のエッジデバイスについて、
コンピュータが、認証要件が満たされているか否かの判定である要件判定を管理情報に基づき行い、
コンピュータが、当該要件判定の結果が真の場合に、当該エッジデバイスと当該エッジデバイスが通信する遠隔拠点間の通信路の確立のために当該通信路についてエッジ側中継部に設定される通信路情報を、出力し、
前記管理情報は、複数のエッジ拠点と複数の遠隔拠点との通信路要件及び認証要件を表す制御管理情報を含んだ情報であり、
前記エッジ側中継部は、前記エッジ側中継部に設定されているネットワーク制御情報に基づき前記複数のエッジ拠点における複数のエッジデバイスと前記複数の遠隔拠点間の通信のネットワーク制御を行うようになっており、
前記ネットワーク制御情報は、通信路毎に通信路情報を含み、
通信路毎に、通信路情報は、当該通信路を表す情報と、当該通信路経由での通信を行うエッジデバイスと遠隔拠点とを表す情報とを含む、
通信路確立方法。
コンピュータが、認証要件が満たされているか否かの判定である要件判定を管理情報に基づき行い、
コンピュータが、当該要件判定の結果が真の場合に、当該エッジデバイスと当該エッジデバイスが通信する遠隔拠点間の通信路の確立のために当該通信路についてエッジ側中継部に設定される通信路情報を、出力し、
前記管理情報は、複数のエッジ拠点と複数の遠隔拠点との通信路要件及び認証要件を表す制御管理情報を含んだ情報であり、
前記エッジ側中継部は、前記エッジ側中継部に設定されているネットワーク制御情報に基づき前記複数のエッジ拠点における複数のエッジデバイスと前記複数の遠隔拠点間の通信のネットワーク制御を行うようになっており、
前記ネットワーク制御情報は、通信路毎に通信路情報を含み、
通信路毎に、通信路情報は、当該通信路を表す情報と、当該通信路経由での通信を行うエッジデバイスと遠隔拠点とを表す情報とを含む、
通信路確立方法。
【請求項12】
個々のエッジデバイスについて、
認証要件が満たされているか否かの判定である要件判定を管理情報に基づき行い、
当該要件判定の結果が真の場合に、当該エッジデバイスと当該エッジデバイスが通信する遠隔拠点間の通信路の確立のために当該通信路についてエッジ側中継部に設定される通信路情報を、出力する、
ことをコンピュータに実行させ、
前記管理情報は、複数のエッジ拠点と複数の遠隔拠点との通信路要件及び認証要件を表す制御管理情報を含んだ情報であり、
前記エッジ側中継部は、前記エッジ側中継部に設定されているネットワーク制御情報に基づき前記複数のエッジ拠点における複数のエッジデバイスと前記複数の遠隔拠点間の通信のネットワーク制御を行うようになっており、
前記ネットワーク制御情報は、通信路毎に通信路情報を含み、
通信路毎に、通信路情報は、当該通信路を表す情報と、当該通信路経由での通信を行うエッジデバイスと遠隔拠点とを表す情報とを含む、
コンピュータプログラム。
認証要件が満たされているか否かの判定である要件判定を管理情報に基づき行い、
当該要件判定の結果が真の場合に、当該エッジデバイスと当該エッジデバイスが通信する遠隔拠点間の通信路の確立のために当該通信路についてエッジ側中継部に設定される通信路情報を、出力する、
ことをコンピュータに実行させ、
前記管理情報は、複数のエッジ拠点と複数の遠隔拠点との通信路要件及び認証要件を表す制御管理情報を含んだ情報であり、
前記エッジ側中継部は、前記エッジ側中継部に設定されているネットワーク制御情報に基づき前記複数のエッジ拠点における複数のエッジデバイスと前記複数の遠隔拠点間の通信のネットワーク制御を行うようになっており、
前記ネットワーク制御情報は、通信路毎に通信路情報を含み、
通信路毎に、通信路情報は、当該通信路を表す情報と、当該通信路経由での通信を行うエッジデバイスと遠隔拠点とを表す情報とを含む、
コンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、概して、拠点間の通信路の確立に関する。
【背景技術】
【0002】
産業、物流又は電力等の様々なIoTシステムではIoTデバイスが多様化及び増大している。また、IoTデバイスが取得するデータも多様化及び増大している。これらの理由から、データの通信や処理の負荷も増大している。IoTデバイスはエッジ拠点にある。
【0003】
そのため、データの処理を、エッジ拠点に代えて又は加えて、データの種類や用途に応じて遠隔拠点が行うことが考えられている。遠隔拠点の例としては、オンプレミスのデータセンタ、パブリッククラウド、エッジ近傍のデータセンタ(例えば、5Gネットワークのコア内に存在するMEC(Multi Access Edge Computing))が挙げられる。
【0004】
特許文献1では、端末装置間の仲介サーバ装置が設けられ、仲介サーバ装置が、双方の端末装置のIDを認証することで、セキュアな通信路を確立する。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2019-165291号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
IoTデバイスや遠隔拠点が多様化しており、IoTデバイスの認証に関するデファクトの形態は決まっていない。IoTシステムでは、特許文献1に開示の認証に加えて又は代えて他の認証が必要なケースがあり得る。例えば、どこから発行されたIDであるかの認証に加え、想定されたIoTデバイスからIDが使われているかの認証が必要なケースが考えられる。このようなケースに特許文献1に開示の技術は対応することはできない。
【0007】
このような問題は、IoTシステム以外のシステム、すなわち、IoTデバイス以外のエッジデバイスを有するシステムについてもあり得る。
【課題を解決するための手段】
【0008】
システムは、個々のエッジデバイスについて、認証要件が満たされているか否かを判定する。システムは、当該判定の結果が真の場合に、当該エッジデバイスと当該エッジデバイスが通信する遠隔拠点間の通信路の確立のために当該通信路についてエッジ側中継部に設定される通信路情報を出力する。エッジ側中継部は、設定されているネットワーク制御情報に基づき複数のエッジ拠点における複数のエッジデバイスと複数の遠隔拠点間の通信のネットワーク制御を行うようになっている。ネットワーク制御情報は、通信路毎に通信路情報を含む。通信路毎に、通信路情報は、当該通信路を表す情報と、当該通信路経由での通信を行うエッジデバイスと遠隔拠点とを表す情報とを含む。
【発明の効果】
【0009】
本発明によれば、エッジデバイスや遠隔拠点が多様化した環境においてセキュアな通信路を確立することができる。
【図面の簡単な説明】
【0010】
【図1】第1の実施形態に係るシステム全体の構成例を示す。
【図2】第1の実施形態に係る制御管理テーブルの構成例を示す。
【図3】第1の実施形態に係るデバイス管理テーブルの構成例を示す。
【図4】第1の実施形態に係るSD-WAN GWに対して設定されるネットワーク制御テーブルの構成例を示す。
【図5】第1の実施形態に係るシーケンスの例を示す。
【図6】第1の実施形態に係る情報入力UIの例を示す。
【図7】第1の実施形態に係る連携部が行う処理の流れの例を示す。
【図8】第2の実施形態に係るシーケンスの例を示す。
【図9】第2の実施形態に係る情報入力UIの例を示す。
【図10】第2の実施形態に係るデバイス管理テーブルの構成例を示す。
【図11】第3の実施形態に係るデバイス管理テーブルの構成例を示す。
【図12】第3の実施形態に係る回線管理テーブルの構成例を示す。
【図13】第3の実施形態に係る連携部が行う処理の流れの例を示す。
【発明を実施するための形態】
【0011】
以下の説明では、「インターフェース装置」は、一つ以上のインターフェースデバイスでよい。当該一つ以上のインターフェースデバイスは、下記のうちの少なくとも一つでよい。
・一つ以上のI/O(Input/Output)インターフェースデバイス。I/O(Input/Output)インターフェースデバイスは、I/Oデバイスと遠隔の表示用計算機とのうちの少なくとも一つに対するインターフェースデバイスである。表示用計算機に対するI/Oインターフェースデバイスは、通信インターフェースデバイスでよい。少なくとも一つのI/Oデバイスは、ユーザインターフェースデバイス、例えば、キーボード及びポインティングデバイスのような入力デバイスと、表示デバイスのような出力デバイスとのうちのいずれでもよい。
・一つ以上の通信インターフェースデバイス。一つ以上の通信インターフェースデバイスは、一つ以上の同種の通信インターフェースデバイス(例えば一つ以上のNIC(Network Interface Card))であってもよいし二つ以上の異種の通信インターフェースデバイス(例えばNICとHBA(Host Bus Adapter))であってもよい。
・一つ以上のI/O(Input/Output)インターフェースデバイス。I/O(Input/Output)インターフェースデバイスは、I/Oデバイスと遠隔の表示用計算機とのうちの少なくとも一つに対するインターフェースデバイスである。表示用計算機に対するI/Oインターフェースデバイスは、通信インターフェースデバイスでよい。少なくとも一つのI/Oデバイスは、ユーザインターフェースデバイス、例えば、キーボード及びポインティングデバイスのような入力デバイスと、表示デバイスのような出力デバイスとのうちのいずれでもよい。
・一つ以上の通信インターフェースデバイス。一つ以上の通信インターフェースデバイスは、一つ以上の同種の通信インターフェースデバイス(例えば一つ以上のNIC(Network Interface Card))であってもよいし二つ以上の異種の通信インターフェースデバイス(例えばNICとHBA(Host Bus Adapter))であってもよい。
【0012】
また、以下の説明では、「メモリ」は、一つ以上の記憶デバイスの一例である一つ以上のメモリデバイスであり、典型的には主記憶デバイスでよい。メモリにおける少なくとも一つのメモリデバイスは、揮発性メモリデバイスであってもよいし不揮発性メモリデバイスであってもよい。
【0013】
また、以下の説明では、「永続記憶装置」は、一つ以上の記憶デバイスの一例である一つ以上の永続記憶デバイスでよい。永続記憶デバイスは、典型的には、不揮発性の記憶デバイス(例えば補助記憶デバイス)でよく、具体的には、例えば、HDD(Hard Disk Drive)、SSD(Solid State Drive)、NVME(Non-Volatile Memory Express)ドライブ、又は、SCM(Storage Class Memory)でよい。
【0014】
また、以下の説明では、「記憶装置」は、メモリと永続記憶装置の少なくともメモリでよい。
【0015】
また、以下の説明では、「プロセッサ」は、一つ以上のプロセッサデバイスでよい。少なくとも一つのプロセッサデバイスは、典型的には、CPU(Central Processing Unit)のようなマイクロプロセッサデバイスでよいが、GPU(Graphics Processing Unit)のような他種のプロセッサデバイスでもよい。少なくとも一つのプロセッサデバイスは、シングルコアでもよいしマルチコアでもよい。少なくとも一つのプロセッサデバイスは、プロセッサコアでもよい。少なくとも一つのプロセッサデバイスは、処理の一部又は全部を行うハードウェア記述言語によりゲートアレイの集合体である回路(例えばFPGA(Field-Programmable Gate Array)、CPLD(Complex Programmable Logic Device)又はASIC(Application Specific Integrated Circuit))といった広義のプロセッサデバイスでもよい。
【0016】
また、以下の説明では、「xxxテーブル」といった表現にて、入力に対して出力が得られる情報を説明することがあるが、当該情報は、どのような構造のデータでもよいし(例えば、構造化データでもよいし非構造化データでもよいし)、入力に対する出力を発生するニューラルネットワーク、遺伝的アルゴリズムやランダムフォレストに代表されるような学習モデルでもよい。従って、「xxxテーブル」を「xxx情報」と言うことができる。また、以下の説明において、各テーブルの構成は一例であり、一つのテーブルは、二つ以上のテーブルに分割されてもよいし、二つ以上のテーブルの全部又は一部が一つのテーブルであってもよい。
【0017】
また、以下の説明では、「yyy部」の表現にて機能を説明することがあるが、機能は、一つ以上のコンピュータプログラムがプロセッサによって実行されることで実現されてもよいし、一つ以上のハードウェア回路(例えばFPGA又はASIC)によって実現されてもよいし、それらの組合せによって実現されてもよい。プログラムがプロセッサによって実行されることで機能が実現される場合、定められた処理が、適宜に記憶装置及び/又はインターフェース装置等を用いながら行われるため、機能はプロセッサの少なくとも一部とされてもよい。機能を主語として説明された処理は、プロセッサあるいはそのプロセッサを有する装置が行う処理としてもよい。プログラムは、プログラムソースからインストールされてもよい。プログラムソースは、例えば、プログラム配付計算機又は計算機が読み取り可能な記憶媒体(例えば非一時的な記憶媒体)であってもよい。各機能の説明は一例であり、複数の機能が一つの機能にまとめられたり、一つの機能が複数の機能に分割されたりしてもよい。
【0018】
また、以下の説明では、同種の要素を区別しないで説明する場合には、参照符号のうちの共通符号を使用し、同種の要素を区別して説明する場合には、参照符号を使用することがある。
[第1の実施形態]
[第1の実施形態]
【0019】
図1は、第1の実施形態に係るシステム全体の構成例を示す。
【0020】
エッジデバイスや遠隔拠点を有するシステムの例としてIoTシステムが採用されている。工場現場170に、SD-WAN(Software Defined-Wide Area Network)のエッジシステムと、当該エッジシステムとインターネット105に接続されたSD-WAN GW171(SD-WANのゲートウェイ)とが備えられている。SD-WAN GW171は、物理的な中継装置17(例えば物理的なルータのような物理的なネットワーク接続機器)の物理的な計算リソース(例えば、複数のポートを含むインターフェース装置、メモリを含む記憶装置、及び、インターフェース装置及び記憶装置に接続されたプロセッサ)に基づき実現される。
【0021】
SD-WANのエッジシステムは、SD-WAN GW171に接続されたファイアウォール172U(例えばフロントエンド側のファイアウォール)と、ファイアウォール172Uに接続されたスイッチシステム173(一つ以上のネットワークスイッチ)と、スイッチシステム173に接続されたファイアウォール172D(例えばバックエンド側のファイアウォール)とを含む。また、SD-WANのエッジシステムは、複数のエッジデバイス191を含む複数のエッジ拠点181が設けられている。具体的には、例えば、エッジ拠点181として、OT(Operational Technology)ネットワーク181D、OTデータセグメント181C、センサセグメント181B、及びDMZ(DeMilitarized Zone)181Aがある。エッジ拠点は、「セグメント」或いは「ネットワークセグメント」と呼ばれてもよい。
【0022】
OTネットワーク181Dは、ファイアウォール172Dに接続されており、LAN(Local Area Network)又はその他のネットワークでよい。OTネットワーク181Dには、モータ等の産業機器176を制御するPLC(Programmable Logic Controller)175と、PLC175に指示を出したりPLC175からデータを取得したりするSCADA(Supervisory Control And Data Acquisition)174が接続されている。PLC175及びSCADA174の少なくとも一つがエッジデバイスの一例でよい。
【0023】
OTデータセグメント181Cは、ファイアウォール172Dに接続されたネットワーク(例えばLAN又はその他のネットワーク)と、当該ネットワークに接続された集約サーバ191Cとを含んだセグメントでよい。OTデータセグメント181Cは、OTネットワーク181D(例えばSCADA174)からデータが集約されるセグメントでよい。この収集されたデータが「OTデータ」と呼ばれてよい。集約サーバ191Cが、OTデータを集約する。集約サーバ191Cがエッジデバイスの一例でよい。
【0024】
センサセグメント181Bは、スイッチシステム173に接続されたネットワーク(例えばLAN又はその他のネットワーク)と、当該ネットワークに接続されたセンサデバイス191Bc、カメラデバイス191Bb及び集約サーバ191Baとを含んだセグメントでよい。センサデバイス191Bcは、センサデータを出力する。カメラデバイス191Bbは、静止画又は動画データを出力する。集約サーバ191Baは、センサデータを集約する。「センサデータ」は、センサセグメント181Bにおいて送受信されるデータであり、静止画又は動画データも該当する。センサデバイス191Bc、カメラデバイス191Bb及び集約サーバ191Baの少なくとも一つがエッジデバイスの一例でよい。
【0025】
DMZ181Aは、ファイアウォール172Uに接続されたネットワーク(例えばLAN又はその他のネットワーク)と、当該ネットワークに接続されたIoTサーバ191Aとを含んだセグメントでよい。IoTサーバ191Aが、工場現場170内におけるデータ(例えば、複数種類のエッジ拠点の少なくとも一つにおける少なくとも一部のデータ)を収集する。IoTサーバ191Aがエッジデバイスの一例でよい。
【0026】
インターネット105には、複数(又は一つ)の遠隔拠点101、クラウドセキュリティサービス150、認証代行サービス140及び管理拠点110が接続される。
【0027】
各遠隔拠点101は、遠隔側中継部(ネットワーク接続ポイント)102と、データ処理サービス103とを有する。これらの要素102及び103は、物理的な計算リソース(典型的には、インターフェース装置、記憶装置及びプロセッサを含んだ計算リソース)に基づく。遠隔側中継部102は、物理的なネットワーク接続機器でもよいし、論理的な(例えばソフトウェアデファインドの)ネットワーク接続機器でもよい。データ処理サービス103は、プログラムでもよいしプログラムがプロセッサに実行されることで実現される機能でもよい。
【0028】
具体的には、例えば、遠隔拠点101として、パブリッククラウド101A、オンプレDC(データセンタ)101B及びエッジDC101Cがある。
【0029】
パブリッククラウド101Aは、SD-WANポイント(SD-WANの接続ポイント)102Aと、クラウドサービス103Aとを有する。パブリッククラウド101Aは、インターネット105を介したサービス接続を提供する。
【0030】
オンプレDC101Bは、SD-WAN GW102Bと、DCアプリ103Bとを有する。オンプレDC101Bは、インターネット105を介した拠点接続を提供する。
【0031】
エッジDC101Cは、SD-WAN GW102Cと、DCアプリ103Cとを有する。エッジDC101Cは、インターネット105を介さない近傍への拠点接続を提供する。
【0032】
クラウドセキュリティサービス150は、エッジデバイスのクラウドへのアクセスのセキュリティソリューションを提供する計算機システム(又は、計算機システム上で実現される機能)である。クラウドセキュリティサービス150として、CASB(Cloud Access Security Broker)のようなソリューションを提供するブローカサービス150Aや、SWG(Secure Web Gateway)のようなソリューションを提供するゲートウェイサービス150Bがある。クラウドセキュリティサービス150(例えば、サービス150A及び150Bの各々)は、外部のネットワーク制御機能の一例である。
【0033】
認証代行サービス140は、認証代行を行う計算機システム(又は、計算機システム上で実現される機能)である。例えば、認証代行サービス140として、IDaaSが採用されてよい。
【0034】
管理拠点110は、NW(ネットワーク)制御システム111及び通信路確立システム112を備える。NW制御システム111及び通信路確立システム112の各々は、本実施形態では物理的な計算機システム(一つ以上の物理的な計算機)であるが、物理的な計算機システムに基づく論理的な計算機システムでもよい。
【0035】
NW制御システム111は、エッジデバイス191と当該エッジデバイス191が通信する遠隔拠点101間の通信路の確立のために当該通信路についてSD-WAN GW171に通信路情報を設定する。NW制御システム111としての機能は、通信路確立システム112の外部の機能(例えば、通信路確立システム112を提供するベンダと異なるベンダが提供する機能)であるが、通信路確立システム112の内部の機能とされてもよい。また、通信路情報は、インターネット105経由で又は専用ネットワーク経由でSD-WAN GW171に設定されてよい。
【0036】
通信路確立システム112は、エッジデバイス191と遠隔拠点101との間の通信路を確立するために当該通信路の通信路情報を出力する。出力された通信路情報をNW制御システム111が受信し、NW制御システム111が、当該通信路情報をSD-WAN GW171に設定する。NW制御システム111としての機能が通信路確立システム112の内部にある場合、通信路確立システム112が、SD-WAN GW171に通信路情報を設定してよい(SD-WAN GW171に通信路情報を設定するために当該通信路情報を出力してよい)。
【0037】
通信路確立システム112は、インターフェース装置121と、記憶装置122と、インターフェース装置121及び記憶装置122に接続されたプロセッサ123とを備える。
【0038】
インターフェース装置121は、NW制御システム111と、UI(User Interface)装置113とに接続される。つまり、通信路確立システム112は、NW制御システム111をインターフェースとして、管理拠点110の外部のデバイスと通信してよい。なお、インターフェース装置121は、図示のようにインターネット105に接続されていてよく、NW制御システム111非経由で、管理拠点110の外部のデバイスと通信してよい。また、UI装置113は、パーソナルコンピュータやスマートフォンのような入出力コンソール(計算機)である。管理者が、UI装置113経由で、通信路確立システム112に情報を設定する。UI装置113がクライアントであって通信路確立システム112がサーバであってよい。
【0039】
記憶装置122は、情報やプログラムを記憶する。情報として、制御管理テーブル132とデバイス管理テーブル131とがある。プロセッサ123に実行されるプログラムとして、連携プログラムがある。プロセッサ123が連携プログラムを実行することで、連携部133といった機能が実現される。NW制御システム111としての機能が通信路確立システム112の内部に実現されるために、プロセッサ123に実行されることでNW制御システム111としての機能を実現するためのプログラムが記憶装置122に記憶され、当該プログラムがプロセッサ123に実行されてもよい。
【0040】
本実施形態において、SD-WAN GW171は、エッジ側中継部の一例である。エッジ側中継部は、SD-WAN GW171以外の中継部(例えば物理的な又は仮想的なルータ)でもよいが、本実施形態のようにSD-WAN GW171であることが好ましい(詳細は、図4を参照して後に説明する)。また、エッジ側中継部がSD-WAN GW171であるとしても、遠隔拠点101における遠隔側中継部102がSD-WAN GWである必要は無い。例えば、SD-WAN GW171のLBO(Local Break Out)の振分けでCASB経由の通信がされればよい場合、遠隔側中継部102はSD-WAN GWでなくてよい。
【0041】
図2は、制御管理テーブル132の構成例を示す。
【0042】
制御管理テーブル132は、複数の通信要件を表す。各通信要件は、エッジ拠点181と遠隔拠点101との組と、当該組についての通信路確立のための要件とを含む。通信路確立のための要件として、通信路要件と認証要件とがある。それらの要件が満たされている場合に、通信路が確立される。
【0043】
例えば、制御管理テーブル132は、通信要件毎にエントリを有する。エントリは、ソース201、デスティネーション202、通信路要件203、HW認証要件204及びデスティネーション認証要件205といった情報を有する。
【0044】
ソース201は、接続元のエッジ拠点181のID(例えばIPアドレス)を表す。デスティネーション202は、接続先の遠隔拠点101のID(例えばIPアドレス又はホスト名)を表す。通信路要件203は、通信路の要件を表す。HW認証要件204は、接続元のエッジ拠点181におけるエッジデバイス191のHW(ハードウェア)認証の要件(例えば、どのような種類の情報を用いたHW認証が必要か、及び/又は、その種の情報を用いてどのようなHW認証が必要か)を表す。デスティネーション認証要件205は、接続先の遠隔拠点101が求める認証要件(例えば、どのような種類の情報(例えば、どこから発行されたクライアント証明書)を用いた認証が必要か、及び/又は、その種の情報を用いてどのような認証が必要か)を表す。
【0045】
本実施形態によれば、例えば、通信路として、VPN(Virtual Private Network)経由の通信路と、LBO(Local Break Out)に従う通信のための通信路と、クラウドセキュリティサービス(ネットワーク制御を行うサービスの一例)経由の通信路との三種類がある。
【0046】
図2に例示の制御管理テーブル132によれば、例えば以下の通りである。
・DMZ181AからはVPNかLBOを利用して遠隔拠点101にアクセスされる。例えば、通信量は小さいが高いセキュリティが求められる通信はVPN経由で行われ、データ量が大きい通信はLBOで行われる。
・ローカルで直接通信を許可するVPN接続を行う場合は、HW及びSW(ソフトウェア)共に高い信頼を要する。例えば、二番目のエントリが表す通り、VPNという閉域網での直接接続がされるため、接続が許可されておりかつ改変されていないハードウェアであることを証明する必要性がある。
・センサセグメント181BからはLBOあるいはクラウドセキュリティサービス経由によるインターネットアクセスがされる。例えば、センサからのデータの量が多く、閉域網とは分けた通信路が望ましい場合がある。また、送信先のパブリッククラウド101Aが汎用通信プロトコルを受け入れており、LBOでの通信(又は外部のネットワーク制御サービス経由での通信)が可能である。
・接続先に対応する証明を用いてセキュアな通信が可能な場合は、LBOによる直接の接続が許可される。一方、センサデバイス191Bc等への証明書格納が困難な場合は、プロトコルの制限はあるがクラウドセキュリティサービス経由による接続が許可される。
・エッジDC101Cへの接続はインターネット105を経由しないのでLBOのみ許可する。
・OTデータセグメント181Cからは、インターネット105を介さない接続先であるエッジDC101Cの接続のみが許可される。通信対象のデータがOTデータのためである。
・エッジデバイス191の高い信頼性が求められる場合、耐タンパ証明相当の信頼性が求められる。HWの耐タンパ証明の実現例としては、HSM(Hardware Security Module)等のセキュアな領域に信頼の起点となる証明書を配備すること、或いは、SIM(Subscriber Identity Module)カード等の複製が困難なHWを採用すること、等が採用されてよい。
・DMZ181AからはVPNかLBOを利用して遠隔拠点101にアクセスされる。例えば、通信量は小さいが高いセキュリティが求められる通信はVPN経由で行われ、データ量が大きい通信はLBOで行われる。
・ローカルで直接通信を許可するVPN接続を行う場合は、HW及びSW(ソフトウェア)共に高い信頼を要する。例えば、二番目のエントリが表す通り、VPNという閉域網での直接接続がされるため、接続が許可されておりかつ改変されていないハードウェアであることを証明する必要性がある。
・センサセグメント181BからはLBOあるいはクラウドセキュリティサービス経由によるインターネットアクセスがされる。例えば、センサからのデータの量が多く、閉域網とは分けた通信路が望ましい場合がある。また、送信先のパブリッククラウド101Aが汎用通信プロトコルを受け入れており、LBOでの通信(又は外部のネットワーク制御サービス経由での通信)が可能である。
・接続先に対応する証明を用いてセキュアな通信が可能な場合は、LBOによる直接の接続が許可される。一方、センサデバイス191Bc等への証明書格納が困難な場合は、プロトコルの制限はあるがクラウドセキュリティサービス経由による接続が許可される。
・エッジDC101Cへの接続はインターネット105を経由しないのでLBOのみ許可する。
・OTデータセグメント181Cからは、インターネット105を介さない接続先であるエッジDC101Cの接続のみが許可される。通信対象のデータがOTデータのためである。
・エッジデバイス191の高い信頼性が求められる場合、耐タンパ証明相当の信頼性が求められる。HWの耐タンパ証明の実現例としては、HSM(Hardware Security Module)等のセキュアな領域に信頼の起点となる証明書を配備すること、或いは、SIM(Subscriber Identity Module)カード等の複製が困難なHWを採用すること、等が採用されてよい。
【0047】
図3は、デバイス管理テーブル131の構成例を示す。
【0048】
デバイス管理テーブル131は、エッジデバイス191と遠隔拠点101との組についての通信路要件に関する情報と認証情報とを保持する。例えば、デバイス管理テーブル131は、エッジデバイス191、デスティネーション、通信路要件及び認証情報の組毎にエントリを有する。エントリは、エッジデバイス301、ソース302、デスティネーション303、通信路要件304、HW情報305及びデスティネーション認証306といった情報を有する。
【0049】
エッジデバイス301は、接続元のエッジデバイス191のID(例えばIPアドレス又はホスト名)を表す。ソース302は、接続元のエッジデバイス191を含むエッジ拠点181のID(例えばIPアドレス)を表す。デスティネーション303は、接続先の遠隔拠点101のID(例えばIPアドレス)を表す。通信路要件304は、通信路の要件を表す。HW情報305は、エッジデバイス191を含むエッジ拠点181について定義されたHW認証要件に従うHW認証で使用される認証情報である。デスティネーション認証306は、接続先の遠隔拠点101が求める認証要件に従う認証の方法(例えば、いずれの認証代行サービス140が認証を行うか)を表す。
【0050】
通信路確立システム112は、上述した制御管理テーブル132及びデバイス管理テーブル131を有する。これらのテーブル132及び131を基に、連携部133により、通信路情報が生成され出力される。
【0051】
制御管理テーブル132は、静的な情報である。すなわち、エッジ拠点181と遠隔拠点101との組毎に、通信路要件203、HW認証要件204及びデスティネーション認証要件205は、エッジ拠点181と遠隔拠点101間の通信のポリシーに相当し、通常、特段の理由が無ければ、変更されない。また、エッジ拠点181に新たなエッジデバイス191が加わっても、当該エッジ拠点181と、接続先の遠隔拠点101との間のポリシーに変更が無ければ、制御管理テーブル132の更新は不要である。
【0052】
一方、デバイス管理テーブル131は、動的な情報である。すなわち、エッジ拠点181におけるエッジデバイス191の追加や削除に応じて、デバイス管理テーブル131は更新される。
【0053】
図4は、SD-WAN GW171に設定されるネットワーク制御テーブルの構成例を示す。
【0054】
ネットワーク制御テーブル41は、通信路毎にエントリを有する。エントリが、通信路情報の一例である。エントリは、ソース401、デスティネーション402、通信詳細403及び通信路404といった情報を有する。
【0055】
ソース401は、エッジデバイス191のIPアドレス、ホスト名及びポート番号を表す。デスティネーション402は、遠隔拠点101のIPアドレス、ホスト名及びポート番号を表す。
【0056】
通信詳細403は、通信の詳細を表し、具体的には、例えば、通信に使用されるプロトコルを表す情報、通信するアプリケーションプログラムを表す情報、及び、通信路が経由するネットワーク制御サービスが属するサービスの種類(例えば、クラウド)、のうちの少なくとも一つを表す。
【0057】
通信路404は、通信路のIDを表す。当該IDは通信路の種類(例えば、VPN経由の通信路、LBOに従う通信のための通信路)を表す情報を含んでよい。
【0058】
SD-WAN GW171は、SD-WAN GW171(具体的には、例えば、SD-WAN GW171が実現される中継装置17の記憶装置)に設定されているネットワーク制御テーブル41に基づき複数のエッジ拠点181における複数のエッジデバイス191と複数の遠隔拠点101間の通信のネットワーク制御を行うようになっている。具体的には、例えば、SD-WAN GW171は、接続元のエッジデバイス191の情報と、接続先の遠隔拠点101の情報と、当該エッジデバイス191による通信の詳細に関する情報とに一致するエントリをネットワーク制御テーブル41から探し、一致するエントリが表す通信路経由で、当該エッジデバイス191と当該遠隔拠点101間の通信のネットワーク制御(具体的には、通信の中継)を行う。つまり、SD-WAN GW171は、どのエッジデバイス191からどの遠隔拠点101への通信であるかに応じて、通信路を切り換える。
【0059】
SD-WANの技術を適用することで、物理的な通信路に、ソフトウェアデファインドの仮想的な通信路をオーバレイで適用し、通信要件毎の通信路を仮想的に定義することができる。通信路の仮想的な定義に必要な情報は、通信路情報であり、具体例が、ネットワーク制御テーブル41における一つのエントリである。各エントリは、yamlやJSONファイルにおける一つのエントリ相当でよい。すなわち、ソース401(エッジデバイス191のIPアドレス、ホスト名及びポート番号)、デスティネーション402(遠隔拠点101のIPアドレス、ホスト名及びポート番号)、及び、通信詳細403(プロトコル、アプリ又はサービス等を表す情報)に応じて、通信路を、エッジデバイス191と遠隔拠点101との組に割り当てる。
【0060】
一比較例として、SD-WANの適用が無い例が考えられる。しかし、その場合、新たな通信要件の通信路が必要になる度に、物理的又は仮想的なGW(ゲートウェイ)相当を個別に用意し通信路情報の設定が必要である。個別のGW相当を用意する方法としては、物理的なスイッチ(例えばルータ)を並べる、物理的なスイッチを論理的に分割する、仮想的なスイッチのアプライアンスをデプロイする等の方法はあるが、通信路が増える度に設定の規模や管理が煩雑になる。
【0061】
図5は、第1の実施形態に係るシーケンスの例を示す。
【0062】
UI装置113に情報入力UI500(図6参照)が表示される。図6に示すように、情報入力UI500は、典型的にはGUI(Graphical User Interface)である。情報入力UI500は、UI装置113にアプリケーションが実行されることにより表示されたUIであってもよいし、通信路確立システム112から提供されたUI(例えば、UI装置113のブラウザによって表示されたUI)でもよい。情報入力UI500は、制御管理UI501と、デバイス管理UI502とを含む。制御管理UI501は、制御管理テーブル132におけるエントリの情報201~205の入力を受け付ける。デバイス管理UI502は、デバイス管理テーブル131におけるエントリの情報301~306の入力を受け付ける。
【0063】
制御管理UI501経由で入力された情報201~205が、制御管理テーブル132に登録される(S501)。デバイス管理UI502経由で入力された情報301~306が、デバイス管理テーブル131に登録される(S502)。なお、制御管理テーブル132及びデバイス管理テーブル131のいずれについても、エントリにおける全ての情報が情報入力UI500経由で入力されなくてもよい。例えば、エッジデバイス191のIDが入力されたならば、そのIDをキーに、エッジデバイス191とエッジ拠点181との対応関係を表すテーブルからエッジ拠点181の情報が取得され、取得された情報が、デバイス管理テーブル131にソース302として登録されてもよい。
【0064】
SD-WAN GW171が、各遠隔拠点101における遠隔側中継部102に接続される(S511)。S511での接続は、インターネット105経由での接続もあれば、インターネット105非経由での接続もある。
【0065】
以下、一つのエッジ拠点181における一つのエッジデバイス191を、一つの接続元のエッジデバイス191として例に取る。また、以下の説明では、便宜上、デバイス管理テーブル131におけるエントリを「デバイスエントリ」と言い、制御管理テーブル132におけるエントリを「制御エントリ」と言う。
【0066】
接続元のエッジデバイス191が、SD-WAN GW171に接続される(S512)。ここで言う接続は、SD-WAN GW171が接続元のエッジデバイス191から情報を受けることである。例えば、接続元のエッジデバイス191が、接続先の遠隔拠点101へのリクエストを送信し、SD-WAN GW171が、当該リクエストを受ける。
【0067】
SD-WAN GW171が、例えばNW制御システム111を通じて、連携部133に、接続元のエッジデバイス191と接続先の遠隔拠点101とを表す情報を含んだ接続情報を通知する(S513)。連携部133が、SD-WAN GW171から接続情報を受け、当該情報を基に、接続元のエッジデバイス191からSD-WAN GW171に接続があったことを検出する。
【0068】
連携部133が、接続情報から特定される接続元エッジデバイス191及び接続先遠隔拠点101の情報(例えばIPアドレスやホスト名)に対応のデバイスエントリ(以下、該当デバイスエントリ)をデバイス管理テーブル131から特定し、該当デバイスエントリから通信路要件304を特定する(S514)。連携部133が、特定された通信路要件304と、接続情報から特定される接続元エッジデバイス191及び接続先遠隔拠点101の情報(例えばIPアドレスやホスト名)とに該当の制御エントリ(以下、該当制御エントリ)を制御管理テーブル132から特定し、該当制御エントリからHW認証要件204及びデスティネーション認証要件205を特定する(S515)。
【0069】
その後、特定された該当制御エントリにおけるHW認証要件204及びデスティネーション認証要件205と、該当デバイスエントリにおけるHW情報305及びデスティネーション認証306とに基づき、連携部133が、通信路確立を実施するか否かを判定し、当該判定の結果が真の場合に通信路情報を出力する(S551)。NW制御システム111が、当該通信路情報を、SD-WAN GW171に設定する(S552)。これにより、接続元エッジデバイス191と接続先遠隔拠点101と間の通信路が確立される。通信路確立を実施するか否かの判定は、該当制御エントリにおけるHW認証要件204を、該当デバイスエントリにおけるHW情報305が満たすか否かの判定を含んでよい。
【0070】
通信路確立後は、連携部133無しに、接続元エッジデバイス191と接続先遠隔拠点101間のSD-WAN GW171経由の通信が可能である(S560)。
【0071】
S514及びS515と、S551及びS552との間では、特定された該当制御エントリ及び該当デバイスエントリに基づき、例えば下記処理1又は処理2のうちのいずれかが行われ得る。処理1及び処理2のいずれも、通信路確立を実施するか否かの判定に含まれてよい。具体的には、処理1及び処理2のいずれも、該当制御エントリにおけるデスティネーション認証要件205を、該当デバイスエントリにおけるデスティネーション認証306が満たすか否かの判定を含んでよい。
【0072】
処理1は、破線で示す処理である。すなわち、該当制御エントリにおけるデスティネーション認証要件205が認証代行サーバによる認証を表している場合、連携部133が、接続元エッジデバイス191の情報(例えばIPアドレスやホスト名)を含んだリクエスト(例えば証明書リクエスト)を、該当デバイスエントリにおけるデスティネーション認証306が表す認証代行サービス140に送信する(S521)。連携部133が、当該リクエストに対するレスポンスを認証代行サービス140から受信する(S522)。連携部133が、当該レスポンスにおける証明書を、接続元エッジデバイス191にインストールする(S523)。例えば、連携部133は、当該証明書が、該当制御エントリにおけるデスティネーション認証要件205を満たすか否かを判定し、この判定の結果が真の場合にS523を行ってよい。
【0073】
処理2は、一点鎖線で示す処理である。すなわち、該当制御エントリにおけるデスティネーション認証要件205が遠隔拠点対応のクライアント認証を表している場合、連携部133が、接続元エッジデバイス191の情報(例えばIPアドレスやホスト名)を含んだリクエスト(例えば証明書リクエスト)を接続先遠隔拠点101に送信する(S531)。連携部133が、当該リクエストに対するレスポンスを遠隔拠点101から受信し(S532)、当該レスポンスにおける証明書を、接続元エッジデバイス191にインストールする(S533)。例えば、連携部133は、当該証明書が、該当制御エントリにおけるデスティネーション認証要件205を満たすか否かを判定し、この判定の結果が真の場合にS533を行ってよい。
【0074】
S531~S533に代えて、二点鎖線が示す処理3が行われてもよい(例えば、処理3は、図5が示すシーケンスが走る前に行われてよい)。すなわち、連携部133が、UI装置113に、認証情報の入力及び確認を受け付けるUIを提供し、当該UIを介して認証情報を受け付け(S541)、当該認証情報を接続元エッジデバイス191に設定してもよい(S542)。なお、この処理に関し、連携部133は、該当制御エントリにおけるデスティネーション認証要件205が満たされるか否かの判定として、証明書が接続元エッジデバイス191にインストールされているか否かの判定を行ってよい。
【0075】
図7は、第1の実施形態に係る連携部133が行う処理の流れの例を示す。
【0076】
連携部133は、SD-WAN GW171からの上述の接続情報から接続元エッジデバイス191及び接続先遠隔拠点101を検出する(S701)。S701では、当該接続情報を基に、接続元エッジデバイス191のエッジ拠点181も検出されてよい。
【0077】
連携部133は、デバイス管理テーブル131を参照し、S701での検出(接続元エッジデバイス191及び接続先遠隔拠点)に対応のデバイスエントリである該当デバイスエントリを特定する(S702)。
【0078】
連携部133は、制御管理テーブル132を参照し、該当デバイスエントリにおけるソース302、デスティネーション303及び通信路要件304に対応の制御エントリである該当制御エントリを特定する(S703)。
【0079】
連携部133は、該当制御エントリのHW認証要件204を該当デバイスエントリにおけるHW情報305が満たすか否かを判定する(S704)。該当制御エントリが存在しない、又は、該当制御エントリのHW認証要件204を該当デバイスエントリにおけるHW情報305が満たさない場合、S704の判定結果は偽である。
【0080】
S704の判定結果が偽の場合(S704:No)、連携部133は、通信路を確立せず、管理者に連絡する(S708)。管理者への連絡は、電子メールやメッセンジャーサービス等の利用により行われてよい。
【0081】
S704の判定結果が真の場合(S704:Yes)、連携部133は、該当デバイスエントリにおけるデスティネーション認証306が認証代行サービスを表す場合、該当の認証代行サービス140から、例えば責任者のアカウント情報を用い、接続先遠隔拠点101に対する接続元エッジデバイスの証明を取得する(S705)。
【0082】
連携部133は、S705で取得された証明書が、該当制御エントリにおけるデスティネーション認証要件205が表す要件を満たすか否かを判定する(S706)。S706の判定結果が偽の場合(S706:No)、S708が行われる。
【0083】
S706の判定結果が真の場合(S706:Yes)、連携部133は、接続元エッジデバイスと接続先遠隔拠点101との通信路の通信路情報を出力する(S707)。
[第2の実施形態]
[第2の実施形態]
【0084】
第2の実施形態を説明する。その際、第1の実施形態との相違点を主に説明し、第1の実施形態との共通点については説明を省略又は簡略する。
【0085】
図8は、第2の実施形態に係るシーケンスの例を示す。
【0086】
S501と同様の処理が行われる(S801)。また、S511~S513と同様の処理が行われる(S811~S813)。
【0087】
連携部133は、SD-WAN GW171からの接続情報に含まれているデバイス接続情報をUI装置113に表示する(S814)。例えば、図9に例示の情報入力UI900は、デバイス管理テーブル131に登録される情報の入力UIである(制御管理テーブル131に登録される情報の入力UIは、別に存在してよく、例えばS801の入力のためのUIでよい)。情報入力UI900には、SD-WAN GW171からの接続情報における接続デバイス情報のうちの少なくとも一部としてのデバイス情報921が表示される。管理者は、接続を許可する場合、接続許可ボタン911を押し(S815)、接続を許可しない場合、切り離しボタン912を押す。
【0088】
接続許可の場合、連携部133が、デバイス情報921をデバイス管理テーブル131に登録する(S816)。例えば、連携部133が、デバイス情報921のうちのIPアドレス(及びホスト名)をエッジデバイス301として登録し、デバイス情報921のうちの接続セグメントの情報をソース302として登録し、デバイス情報921のうちのIPアドレス(及びホスト名)をエッジデバイス301として登録し、デバイス情報921のうちの接続先の情報をデスティネーション303として登録する。このため、図9が示すように、デバイス管理UI502は、エッジデバイス301、ソース302及びデスティネーション303としての情報の入力UI(例えばGUI部品)を持たない。
【0089】
S816の後、図示しないが、図5のS514以降と同様の処理が行われる。
【0090】
図10は、第2の実施形態に係るデバイス管理テーブル131の構成例を示す。
【0091】
デバイス管理テーブル131におけるデバイスエントリは、上述した情報301~306に加えて、接続時間901、承認者902及び承認時間903が含まれる。接続時間901、承認者902及び承認時間903は、通信路を確立するか否かの判定に影響する情報であってもよいし影響しない情報であってもよい。例えば、接続時間901、承認者902及び承認時間903は、一種のログ情報として使用されてよい。
【0092】
接続時間901は、エッジデバイス191が接続された時刻を表す。接続時間901は、SD-WAN GW171からの接続情報から特定された時刻(SD-WAN GW171がエッジデバイス191から接続された時刻)を表す情報でよい。
【0093】
承認者902は、エッジデバイス191の接続を許可した管理者のIDを表す。承認時間1003は、当該管理者により接続が許可された時刻を表す。
[第3の実施形態]
[第3の実施形態]
【0094】
第3の実施形態を説明する。その際、第1の実施形態との相違点を主に説明し、第1の実施形態との共通点については説明を省略又は簡略する。
【0095】
図11は、第3の実施形態に係るデバイス管理テーブル131の構成例を示す。
【0096】
デバイス管理テーブル131におけるデバイスエントリは、上述した情報301~306に加えて、利用平均帯域1101及び利用ピーク帯域1102が含まれる。例えば、帯域が多いセンサデータ集約サーバ191Baからは、振動センサ等の情報量が多いセンサデータを集約して送信することが考えられる。
【0097】
利用平均帯域1101及び利用ピーク帯域1102の各々は、回線利用量を表す情報の一例であり、予め登録される。利用平均帯域1101は、エッジデバイス191と遠隔拠点101間の通信で使用される帯域の期待される平均値を表す。利用ピーク帯域1102は、エッジデバイス191と遠隔拠点101間の通信で使用される帯域の期待されるピーク値を表す。
【0098】
図12は、第3の実施形態に係る回線管理テーブルの構成例を示す。
【0099】
通信路確立システム112の記憶装置122には、デバイス管理テーブル131及び制御管理テーブル132に加えて、図示の回線管理テーブル1200が格納される。
【0100】
回線管理テーブル1200は、インターネット105に含まれる複数の回線の各々の回線に関する情報を保持する。回線管理テーブル1200は、ソース、デスティネーション及び通信路の組毎に、エントリがある。エントリは、ソース1201、デスティネーション1202、通信路1203、主系回線1204、回線帯域1205、使用平均帯域1206、使用ピーク帯域1207、平均帯域閾値1208及びピーク帯域閾値1209といった情報を有する。
【0101】
ソース1201は、エッジ拠点181を表す。デスティネーション1202は、遠隔拠点101を表す。通信路1203は、エッジ拠点181と遠隔拠点101間の通信路を表す。主系回線1204は、複数の回線のうち通信路が経由する回線を表す。回線帯域1205は、回線の帯域を表す。
【0102】
使用平均帯域1206は、回線についての一つ以上の利用平均帯域1101に基づく値(例えば、一つ以上の利用平均帯域1101の合計)を表す。ここで言う「利用平均帯域1101」は、当該回線に対応のソース1201とデスティネーション1202との組に適合するソース302とデスティネーション303との組に対応した利用平均帯域1101である。
【0103】
使用ピーク帯域1207は、回線についての一つ以上の利用ピーク帯域1102に基づく値(例えば、一つ以上の利用ピーク帯域1102の合計)を表す。ここで言う「利用ピーク帯域1102」は、当該回線に対応のソース1201とデスティネーション1202との組に適合するソース302とデスティネーション303との組に対応した利用ピーク帯域1102である。
【0104】
平均帯域閾値1208は、使用平均帯域1206の閾値のベースであり、具体的には、当該閾値は、回線帯域1205と平均帯域閾値1208とを基に決定される値(例えば、1Gbps×30%=300Mbps)である。
【0105】
ピーク帯域閾値1209は、使用ピーク帯域1207の閾値のベースであり、具体的には、当該閾値は、回線帯域1205とピーク帯域閾値1209とを基に決定される値(例えば、1Gbps×80%=800Mbps)である。
【0106】
使用平均帯域1206及び使用ピーク帯域1207の各々が、回線経由の通信路が確立済である全てのエッジデバイスの回線利用量を基に得られた値の一例である。
【0107】
回線帯域1205と平均帯域閾値1208とに基づき得られる閾値、及び、回線帯域1205とピーク帯域閾値1209とに基づき得られる閾値の各々が、利用閾値の一例である。
【0108】
回線経由の通信路が増える都度に、当該回線について、増えた通信路に対応のエッジデバイス191に対応の利用平均帯域1101及び利用ピーク帯域1102が増えるため、当該回線に対応する使用平均帯域1206及び使用ピーク帯域1207が増えることになる。回線の管理は、例えば下記の三通りでよい。
・VPN等の拠点間のセキュア接続。
・LBO、クラウドセキュアサービス経由のインターネット経由通信全般の経路。
・エッジDCへの、キャリアのコア網直結へのアクセス(特定のエッジDCにアクセスする場合は、特定のキャリアの回線の使用要)。
・VPN等の拠点間のセキュア接続。
・LBO、クラウドセキュアサービス経由のインターネット経由通信全般の経路。
・エッジDCへの、キャリアのコア網直結へのアクセス(特定のエッジDCにアクセスする場合は、特定のキャリアの回線の使用要)。
【0109】
図13は、第3の実施形態に係る連携部133が行う処理の流れの例を示す。
【0110】
S806:Yesの後、連携部133が、回線管理テーブル1200を参照し、通信路が確立されても主系回線の使用平均帯域1206及び使用ピーク帯域1207はそれぞれの閾値以下か否かを判定する(S1300)。S1300の判定は、下記二つの判定を含む。下記二つの判定のうちの少なくとも一つの判定の結果が偽の場合、S1300の判定の結果は偽である。
・連携部133が、該当デバイスエントリに対応の主系回線1204について、当該主系回線1204に対応の使用平均帯域1206に、該当デバイスエントリにおける利用平均帯域1101を加算することで、使用平均帯域1206を更新する。連携部133が、更新後の使用平均帯域1206が、回線帯域1205と平均帯域閾値1208とに基づき得られる閾値以下か否かを判定する。
・連携部133が、該当デバイスエントリに対応の主系回線1204について、当該主系回線1204に対応の使用ピーク帯域1207に、該当デバイスエントリにおける利用ピーク帯域1102を加算することで、使用ピーク帯域1207を更新する。連携部133が、更新後の使用ピーク帯域1207が、回線帯域1205とピーク帯域閾値1209とに基づき得られる閾値以下か否かを判定する。
・連携部133が、該当デバイスエントリに対応の主系回線1204について、当該主系回線1204に対応の使用平均帯域1206に、該当デバイスエントリにおける利用平均帯域1101を加算することで、使用平均帯域1206を更新する。連携部133が、更新後の使用平均帯域1206が、回線帯域1205と平均帯域閾値1208とに基づき得られる閾値以下か否かを判定する。
・連携部133が、該当デバイスエントリに対応の主系回線1204について、当該主系回線1204に対応の使用ピーク帯域1207に、該当デバイスエントリにおける利用ピーク帯域1102を加算することで、使用ピーク帯域1207を更新する。連携部133が、更新後の使用ピーク帯域1207が、回線帯域1205とピーク帯域閾値1209とに基づき得られる閾値以下か否かを判定する。
【0111】
S1300の判定結果が偽の場合(S1300:No)、S808が行われる。S1300の判定結果が真の場合(S1300:Yes)、S807が行われる。
【0112】
以上、幾つかの実施形態を説明したが、これらは本発明の説明のための例示であって、本発明の範囲をこれらの実施形態にのみ限定する趣旨ではない。本発明は、他の種々の形態でも実施することが可能である。
【0113】
上述の説明を、例えば下記の通り総括することができる。下記の総括は、上述の説明の補足説明や変形例の説明を含んでよい。
【0114】
通信路確立システム112が、インターフェース装置121と、記憶装置122と、インターフェース装置121及び記憶装置122に接続されたプロセッサ123とを有する。
【0115】
記憶装置122は、管理情報を記憶する。管理情報は、複数のエッジ拠点181と複数の遠隔拠点101との通信路要件及び認証要件を表す制御管理情報(例えば制御管理テーブル132)を含む。
【0116】
エッジ側中継部(例えばSD-WAN GW17)は、エッジ側中継部に設定されているネットワーク制御情報(例えばネットワーク制御テーブル41)に基づき複数のエッジ拠点181における複数のエッジデバイス191と複数の遠隔拠点101間の通信のネットワーク制御を行うようになっている。ネットワーク制御情報は、通信路毎に通信路情報を含む。通信路毎に、通信路情報(例えば、ネットワーク制御テーブル41のエントリ)は、当該通信路を表す情報(例えば通信詳細403及び通信路404)と、当該通信路経由での通信を行うエッジデバイスと遠隔拠点とを表す情報(例えばソース401及びデスティネーション402)とを含む。
【0117】
個々のエッジデバイス191について、プロセッサ123が、認証要件が満たされているか否かの判定である要件判定を管理情報に基づき行う。当該要件判定の結果が真の場合に、当該エッジデバイス191と当該エッジデバイス191が通信する遠隔拠点101間の通信路の確立のために当該通信路についてエッジ側中継部に設定される通信路情報を、プロセッサ123が、インターフェース装置121を通じて出力する。NW制御システム111(又はNW制御システム111としての機能)が、出力された通信路情報を受け、当該通信路情報を、エッジ側中継部に設定する。
【0118】
これにより、エッジデバイス191や遠隔拠点108が多様化した環境においてセキュアな通信路を確立することができる。
【0119】
また、このような環境では、エッジデバイス191と遠隔拠点101との組によって通信要件は様々であるが、本実施形態では、通信要件が、通信路要件と認証要件とに分離されており、エッジデバイス191と遠隔拠点101との組に応じて、通信路要件と認証要件それぞれの設定が可能である。また、通信路要件については、外部のネットワーク制御サービス経由といった要件の採用が可能であり、認証要件については、認証代行サービスの利用といった要件の採用が可能である。すなわち、通信路要件を満たす制御と認証要件を満たす認証との全てを通信路確立システム112が担う必要が無い。
【0120】
制御管理情報は、複数の通信要件の各々について当該通信要件を表してよい。複数の通信要件の各々は、エッジ拠点、遠隔拠点、通信路要件及び認証要件の組を含んでよい。個々のエッジデバイス191について、プロセッサが、制御管理情報に基づき、当該エッジデバイス191を含むエッジ拠点181と、当該エッジデバイス191が通信する遠隔拠点101とを含む通信要件を特定してよい(例えば、該当制御エントリの特定)。要件判定の対象の認証要件は、当該特定された通信要件における認証要件でよい。要件判定の結果が真の場合に出力される通信路情報は、当該特定された通信要件における通信路要件を満たす通信路を表す情報でよい。このようにして、認証要件及び通信路要件を満たした通信路を確立することができる。
【0121】
管理情報は、複数のエッジデバイス191の各々についての認証に関する情報である認証情報を含んだデバイス管理情報(例えばデバイス管理テーブル131)を含んでよい。個々のエッジデバイス191について、要件判定は、当該エッジデバイス191に対応の認証情報が、特定された通信要件における認証要件を満たすか否かの判定でよい。このようにして、エッジデバイス191が認証要件を満たすか否かを判定できる。
【0122】
複数の通信要件の各々について、次の通りでよい。すなわち、当該通信要件における認証要件は、ハードウェア認証要件とデスティネーション認証要件とを含んでよい。ハードウェア認証要件は、エッジデバイスを識別するための情報であるハードウェア情報についての要件でよい。デスティネーション認証要件は、当該通信要件における遠隔拠点との通信が許可されるための認証方法に関する情報であるデスティネーション認証情報についての要件でよい。複数のエッジデバイス191の各々について、認証情報は、当該エッジデバイス191のハードウェア情報と、当該エッジデバイス191が通信し得る遠隔拠点101に対応したデスティネーション認証情報とを含んでよい。個々のエッジデバイス191について、要件判定は、第1の判定と第2の判定とを含んでよい。第1の判定は、当該エッジデバイス191のハードウェア情報が、特定された通信要件におけるハードウェア認証要件を満たすか否かの判定でよい。第2の判定は、当該エッジデバイス191のデスティネーション認証情報が、特定された通信要件におけるデスティネーション認証要件を満たすか否かの判定でよい。要件判定の結果が真であるとは、第1の判定の結果が真であり、且つ、第2の判定の結果が真であることでよい。このようにして、エッジデバイス191が認証要件を満たすか否かを判定できる。
【0123】
管理情報におけるデバイス管理情報が、複数のエッジデバイス191の各々について当該エッジデバイス191の期待される回線利用量を表す情報(例えば利用平均帯域1101及び利用ピーク帯域1102の少なくとも一方)を含んでよい。
【0124】
管理情報が、回線管理情報(例えば回線管理テーブル1200)を含んでよい。回線管理情報は、複数の回線の各々について当該回線経由の通信を行うエッジ拠点181と遠隔拠点101との組と回線利用量に関する閾値である利用閾値とを表す情報を含んでよい。利用閾値を表す情報は、例えば、回線帯域1205及び平均帯域閾値1208、及び/又は、回線帯域1205及びピーク帯域閾値1209でよい。
【0125】
個々のエッジデバイス191について、プロセッサ123が、管理情報を基に、当該エッジデバイス191を含むエッジ拠点181と当該エッジデバイス191が通信する遠隔拠点101との組に対応した回線を特定してよい。プロセッサ123が、管理情報を基に、当該特定した回線経由の通信路が確立済である全てのエッジデバイス191の回線利用量を基に得られた値(例えば、使用平均帯域1206及び/又は使用ピーク帯域1207)が、当該特定した回線の利用閾値未満であるか否かの判定である利用判定を行ってよい。要件判定の結果が真であり、且つ、利用判定の結果が真である場合に、プロセッサ123が、エッジデバイス191と当該エッジデバイス191が通信する遠隔拠点101間の特定された回線経由の通信路についてエッジ側中継部に設定される通信路情報を、インターフェース装置121を通じて出力してよい。これにより、回線別に、回線利用量が当該回線の利用閾値以下である範囲で、当該回線経由の通信路を増やすことができる。
【符号の説明】
【0126】
112:通信路確立システム
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】