知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-07-24
(45)【発行日】2024-08-01
(54)【発明の名称】サービス伝送方法、装置、ネットワーク機器及び記憶媒体
(51)【国際特許分類】
H04L 41/0654 20220101AFI20240725BHJP
【FI】
H04L41/0654
【請求項の数】
12
(21)【出願番号】P 2022579805
(86)(22)【出願日】2021-06-28
(65)【公表番号】
(43)【公表日】2023-07-20
(86)【国際出願番号】 CN2021102693
(87)【国際公開番号】W WO2022001937
(87)【国際公開日】2022-01-06
【審査請求日】2022-12-22
(31)【優先権主張番号】202010610244.7
(32)【優先日】2020-06-29
(33)【優先権主張国・地域又は機関】CN
(73)【特許権者】
【識別番号】511151662
【氏名又は名称】中興通訊股▲ふん▼有限公司
【氏名又は名称原語表記】ZTE CORPORATION
【住所又は居所原語表記】ZTE Plaza,Keji Road South,Hi-Tech Industrial Park,Nanshan Shenzhen,Guangdong 518057 China
(74)【代理人】
【識別番号】110000914
【氏名又は名称】弁理士法人WisePlus
(72)【発明者】
【氏名】李鋭
(72)【発明者】
【氏名】呉水華
(72)【発明者】
【氏名】李保軍
【審査官】前田 健人
(56)【参考文献】
【文献】国際公開第2014/177170(WO,A1)
【文献】特表2013-539285(JP,A)
【文献】特開2013-009259(JP,A)
【文献】特開2009-200984(JP,A)
【文献】特開2003-338836(JP,A)
【文献】特開2010-081226(JP,A)
【文献】韓国公開特許第10-2007-0041841(KR,A)
【文献】特開2018-019232(JP,A)
【文献】特表2014-522605(JP,A)
【文献】キーパーソン・インタビュー 新技術の登場や攻撃手法の進化に対応 全セキュリティ製品の統合管理が可能に,NETWORK WORLD 第10巻 第8号 ,日本,(株)IDGジャパン,2005年08月01日,第10巻,p41
(58)【調査した分野】(Int.Cl.,DB名)
H04L 41/0654
(57)【特許請求の範囲】
【請求項1】
現在リンクの障害を検出すると、現在のネットワーク構成を調整し、現在のセキュリティルールを変更するステップと、調整後のネットワーク構成に基づいて一時インターフェースを決定するステップと、
外部機器が現在の機器と一時リンクを確立するために使用される前記一時インターフェースを前記外部機器に開放するステップと、
前記一時リンク上で、変更後のセキュリティルールを使用してサービス伝送を行うステップと、を含み、
前記一時インターフェースを前記外部機器に開放する前記ステップの後に、さらに、調整後のネットワーク構成、変更後のセキュリティルール、およびサービスリストを保存するステップと、次のリンク障害の際、保存された前記変更後のネットワーク構成、前記変更後のセキュリティルール、および前記サービスリストを呼び出すステップを含む、
サービス伝送方法。
【請求項2】
現在のネットワーク構成を調整する前記ステップは、既定プロトコルに対応するループバックインターネットプロトコルIPアドレスを物理ネットワークインターフェースIPアドレスに切り替えるステップ、
仮想ローカルエリアネットワークVLAN構成を調整するステップ、および
集中アクセス機器のアドレス変換ポリシーを調整するステップ、のうちの一つまたは複数を含む請求項1に記載の方法。
【請求項3】
前記集中アクセス機器のアドレス変換ポリシーは、集中アクセス機器に対して、内部アドレスと外部アドレスの変換関係、一時リンクのルーティングテーブル、およびアクセス制御リスト構成のうちの一つまたは複数を追加することを含む請求項2に記載の方法。
【請求項4】
既定プロトコルに対応するループバックインターネットプロトコルIPアドレスを物理ネットワークインターフェースIPアドレスに切り替える場合、調整後のネットワーク構成に基づいて一時インターフェースを決定する前記ステップは、前記物理ネットワークインターフェースIPアドレスに基づいて、対応する一時インターフェースを決定するステップを含む請求項2に記載の方法。
【請求項5】
現在のセキュリティルールを変更する前記ステップは、重要サービスのセキュリティルールを暗号化なし通過に設定するステップ、
現在のインターフェースを暗号化グループから削除するステップ、
現在のパケットに対する暗号化処理をスキップするステップ、および、
現在のパケットにVLANタグが構成されている場合、通常のVLAN構成を復元するステップ、のうちの一つまたは複数を含む請求項1に記載の方法。
【請求項6】
前記重要サービスは、管理プレーンサービス、制御プレーンサービス、およびユーザ定義サービスのうちの一つまたは複数を含む請求項5に記載の方法。
【請求項7】
前記一時リンクは、中間転送機器または集中アクセス機器のアドレス変換プロトコルと、迂回する一時チャネルとを含み、前記一時リンク上で、変更後のセキュリティルールを使用してサービス伝送を行う前記ステップは、前記外部機器が内部ネットワークを介して前記現在の機器にアクセスする場合、中間転送機器または集中アクセス機器のアドレス変換プロトコルを介してサービス伝送を行うステップ、または、
前記外部機器が前記迂回する一時チャネルを介して前記現在の機器にアクセスする場合、前記迂回する一時チャネルを介してサービス伝送を行うステップを含む請求項1に記載の方法。
【請求項8】
前記一時インターフェースを前記外部機器に開放する前記ステップの後に、さらに、設定周期に従って、前記現在のネットワーク構成に切り替えるステップと、
切替失敗回数が設定回数を超えた場合、リセット操作を行うステップと、を含む請求項1に記載の方法。
【請求項9】
一時インターフェースを前記外部機器に開放する前記ステップの後に、さらに、前記現在リンクの復旧を検出すると、前記現在のネットワーク構成と前記現在のセキュリティルールに切り替えるステップと、
前記現在のネットワーク構成と前記現在のセキュリティルールを使用して、前記外部機器にサービスを提供するステップと、を含む請求項1に記載の方法。
【請求項10】
現在リンクの障害を検出すると、現在のネットワーク構成を調整し、現在のセキュリティルールを変更するように構成されている検出モジュールと、調整後のネットワーク構成に基づいて一時インターフェースを決定するように構成されている決定モジュールと、
外部機器が現在の機器と一時リンクを確立するために使用される前記一時インターフェースを前記外部機器に開放するように構成されているインターフェースモジュールと、
前記一時リンク上で、変更後のセキュリティルールを使用してサービス伝送を行うように構成されている伝送モジュールと、
調整後のネットワーク構成、変更後のセキュリティルール、およびサービスリストを保存するモジュールと、次のリンク障害の際、保存された前記変更後のネットワーク構成、前記変更後のセキュリティルール、および前記サービスリストを呼び出すモジュールと
を備えるサービス伝送装置。
【請求項11】
1つまたは複数のプロセッサと、1つまたは複数のプログラムを記憶するメモリと、
を備え、
前記1つまたは複数のプログラムが前記1つまたは複数のプロセッサにより実行された場合、前記1つまたは複数のプロセッサに請求項1~9の何れか一項に記載の方法を実現させるネットワーク機器。
【請求項12】
コンピュータプログラムを記憶している記憶媒体であって、前記コンピュータプログラムがプロセッサにより実行された場合、請求項1~9の何れか一項に記載の方法を実現することを特徴とする記憶媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本願は出願番号が202010610244.7で、出願日が2020年6月29日である中国特許出願に基づいて提出され、その中国特許出願の優先権を主張し、その中国特許出願の全ての内容を参考として本願に援用する。
【0002】
本願は、通信技術の分野に関し、特に、サービス伝送方法、装置、ネットワーク機器及び記憶媒体に関する。
【背景技術】
【0003】
ネットワークセキュリティプロトコルの実現原理は、プロトコルにより鍵をネゴシエーションし、セキュリティルールを設定し、ルールを満たしたユーザのデータパケットの暗号化および整合性チェックの追加などを行う。一部の集中的なアクセスポイントについて、さらに追加のパケットヘッダを付け加えて、ユーザパケットをトンネルにカプセル化する。典型的なものとして、IPsecのカプセル化セキュリティペイロード(Encapsulating Security Payload,ESP)プロトコルのトンネルモードがある。また、MACsecプロトコルも、ユーザの仮想ローカルエリアネットワーク(Virtual Local Area Network、VLAN)タグおよび内部イーサネットパケットを暗号化してカプセル化することにより、外部機器が通信されるパケットを完全に知覚できなくして、通信リンクのセキュリティを保護する。
【0004】
従来のネットワークセキュリティプロトコルのセキュリティポリシーは、IPsecであろうとMACsecであろうと、いずれも静的に構成しており、ユーザ構成が有効になった後にルールが変更されないため、安全性が高く、完全にユーザのルールに従ってセキュリティ要求を実装することができる。
【0005】
しかしながら、ネットワークに障害が発生すると、セキュリティ機器の障害であれ、対応するソフトウェアや機能の障害であれ、通信する双方のリンクの切断が引き起こされ、サービスの伝送ができなくなる。
【発明の概要】
【発明が解決しようとする課題】
【0006】
本願の実施例はサービス伝送方法、装置、ネットワーク機器及び記憶媒体を提案する。
【課題を解決するための手段】
【0007】
第1の態様において、本願の実施例はサービス伝送方法を提供し、前記サービス伝送方法は、
現在リンクの障害を検出すると、現在のネットワーク構成を調整し、現在のセキュリティルールを変更するステップと、
調整後のネットワーク構成に基づいて一時インターフェースを決定するステップと、
外部機器が現在の機器と一時リンクを確立するために使用される前記一時インターフェースを前記外部機器に開放するステップと、
前記一時リンク上で、変更後のセキュリティルールを使用してサービス伝送を行うステップと、を含む。
現在リンクの障害を検出すると、現在のネットワーク構成を調整し、現在のセキュリティルールを変更するステップと、
調整後のネットワーク構成に基づいて一時インターフェースを決定するステップと、
外部機器が現在の機器と一時リンクを確立するために使用される前記一時インターフェースを前記外部機器に開放するステップと、
前記一時リンク上で、変更後のセキュリティルールを使用してサービス伝送を行うステップと、を含む。
【0008】
第2の態様において、本願の実施例はサービス伝送装置を提供し、前記サービス伝送装置は、
現在リンクの障害を検出すると、現在のネットワーク構成を調整し、現在のセキュリティルールを変更するように構成されている検出モジュールと、
調整後のネットワーク構成に基づいて一時インターフェースを決定するように構成されている決定モジュールと、
外部機器が現在の機器と一時リンクを確立するために使用される前記一時インターフェースを前記外部機器に開放するように構成されているインターフェースモジュールと、
前記一時リンク上で、変更後のセキュリティルールを使用してサービス伝送を行うように構成されている伝送モジュールと、を備える。
現在リンクの障害を検出すると、現在のネットワーク構成を調整し、現在のセキュリティルールを変更するように構成されている検出モジュールと、
調整後のネットワーク構成に基づいて一時インターフェースを決定するように構成されている決定モジュールと、
外部機器が現在の機器と一時リンクを確立するために使用される前記一時インターフェースを前記外部機器に開放するように構成されているインターフェースモジュールと、
前記一時リンク上で、変更後のセキュリティルールを使用してサービス伝送を行うように構成されている伝送モジュールと、を備える。
【0009】
第3の態様において、本願の実施例はネットワーク機器を提供し、前記ネットワーク機器は、
1つまたは複数のプロセッサと、
1つまたは複数のプログラムを記憶するメモリと、
を備え、
前記1つまたは複数のプログラムが前記1つまたは複数のプロセッサにより実行された場合、前記1つまたは複数のプロセッサに本願の実施例によって提供される何れか一つの方法を実現させる。
1つまたは複数のプロセッサと、
1つまたは複数のプログラムを記憶するメモリと、
を備え、
前記1つまたは複数のプログラムが前記1つまたは複数のプロセッサにより実行された場合、前記1つまたは複数のプロセッサに本願の実施例によって提供される何れか一つの方法を実現させる。
【0010】
第4の態様において、本願の実施例は記憶媒体を提供し、前記記憶媒体にはコンピュータプログラムが記憶されており、前記コンピュータプログラムがプロセッサにより実行された場合、本願の実施例によって提供される何れか一つの方法を実現する。
【0011】
本願の以上の実施例およびその他の側面、ならびにその実現方法については、図面の簡単な説明、発明を実施するための形態、および特許請求の範囲において、さらに説明する。
【図面の簡単な説明】
【0012】
【図1】セキュリティプロトコルの応用シナリオの概略図である。
【図2】本願の実施例によって提供されるサービス伝送方法のフローチャートである。
【図3】本願の実施例によって提供される、有効化された一時リンクを介してトラフィックデータを伝送するフローチャートである。
【図4】本願の実施例によって提供されるサービス伝送スキームのフローチャートである。
【図5】本願の実施例によって提供されるサービス伝送装置の構成模式図である。
【図6】本願の実施例によって提供されるネットワーク機器の構成模式図である。
【発明を実施するための形態】
【0013】
本願の目的、技術案及び利点をより明らかで明確にするために、以下では、添付図面を組み合わせて本願の実施例を詳しく説明する。矛盾しない限り、本願における実施例及び実施例における特徴は互いと任意に組み合わせてもよい。
【0014】
添付図面のフローチャートに示されたステップは、一組のコンピュータ実行可能な命令のようなコンピュータシステム内で実行してもよい。また、フローチャートには論理的順序が示されているが、いくつかの場合では、こことは異なる順序で図示または説明されたステップを実行してもよい。
【0015】
ネットワークセキュリティは今日まで発展してきて、比較的成熟した枠組みと理論を持つようになり、例えば、暗号学、アクセス制御、認証管理、伝送セキュリティ、敏感データ保護など、関わる場面と方法も非常に多くなっている。その中で伝送セキュリティは、信頼できないネットワーク環境におけるデータ伝送の機密性と整合性を解決する主要な技術である。伝送セキュリティ技術には主に、媒体アクセス制御セキュリティ(Media Access Control Security、MACsec)、インターネットプロトコルセキュリティ(Internet Protocol Security、IPsec)、セキュアソケッツレイヤプロトコル(Secure Socket Layer、SSL)、トランスポートレイヤセキュリティプロトコル(Transport Layer Security、TLS)などがある。その中で、IPsecプロトコルは最も広く応用されており、そのネットワーク層のセキュリティ問題を解決できることから、基地局からコアネットワーク間のセキュリティ伝送プロトコルに応用されている。
【0016】
ネットワークセキュリティプロトコルの実現原理は、プロトコルにより鍵をネゴシエーションし、セキュリティルールを設定し、ルールを満たしたユーザのデータパケットの暗号化および整合性チェックの追加などを行う。一部の集中的なアクセスポイントについて、さらに追加のパケットヘッダを付け加えて、ユーザパケットをトンネルにカプセル化する。例えば、IPsecのESPプロトコルのトンネルモードがある。また、MACsecプロトコルも、ユーザのVLANタグおよび内部イーサネットパケットを暗号化してカプセル化することにより、外部機器が通信されるパケットを完全に知覚できなくして、通信リンクのセキュリティを保護する。
【0017】
従来のネットワークセキュリティプロトコルのセキュリティポリシーは、IPsecであろうとMACsecであろうと、いずれも静的に構成しており、ユーザ構成が有効になった後にルールが変更されないため、安全性が比較的高く、完全にユーザのルールに従ってセキュリティ要求を実装することができるものの、ネットワークに障害が発生すると、セキュリティ機器の障害であれ、対応するソフトウェアや機能の障害であれ、通信する双方のリンクの切断が引き起こされる。セキュリティルールに従ってデータを強制的に暗号化するなどのセキュリティプロトコルの特性により、送信側の暗号化されたパケットは、障害が発生した相手側機器以外の他の機器によって復号化できないか、あるいは受信したデータを正しく復号化できずに破棄される。
【0018】
たとえば、IPsecの通信に参加する双方にセキュリティポリシーを構成し、データの管理プレーンパケットをESPトンネルモードで暗号化してカプセル化する。応答側セキュリティゲートウェイ(Security Gateway,SeGW)に障害が発生した場合、IPsec開始側は管理プレーンパケットを引き続き暗号化方式で処理して送信しても、相手側はそれを解析できない。あるいは、リンク検出でキー更新の再ネゴシエーションに失敗した場合、管理プレーンパケットが破棄され、受信側ネットワーク管理者または管理ツールのいずれもが機器に正常にアクセスできなくなる。基地局のように分散して配置される一部の機器の場合、保守担当者が現場サイト側に行って原因を究明し、現場で解決する必要があり、コストが極めて高い。
【0019】
図1はセキュリティプロトコルの応用シナリオの概略図である。図1に示すように、無線アクセスネットワークの典型的なネットワーク構成は、オペレーション保守センター(Operation and Maintenance Center,OMC)、ツール(Tools)、4Gコアネットワーク(Evolved Packet Core,EPC)あるいは5Gコアネットワーク(5G Core)、セキュリティゲートウェイ(SeGW)、基地局、ルータあるいはスイッチにより構成される。その中で、OMCはネットワーク要素管理システム(Element Management System、EMS)を含む。ツールには、リモートアクセスツールであるセキュアシェルプロトコル(Secure Shell、SSH)、ハイパーテキスト転送プロトコル(Hyper Text Transfer Protocol over SecureSocket Layer、HTTPs)が含まれる。
【0020】
基地局とOMC、Tools、およびEPC/5G Coreとの間のリンクはアプリケーションリンクである。基地局とセキュリティゲートウェイとの間のリンクは、セキュリティリンクである。
【0021】
一つの実施例において、サービス伝送方法を提供する。図2は本願の実施例によって提供されるサービス伝送方法のフローチャートである。図2に示すように、本願の実施例によって提供されるサービス伝送方法は主に、ステップS11、S12、S13、S14を含む。
【0022】
S11において、現在リンクの障害を検出すると、現在のネットワーク構成を調整し、現在のセキュリティルールを変更する。
【0023】
S12において、調整後のネットワーク構成に基づいて一時インターフェースを決定する。
【0024】
S13において、外部機器が現在の機器と一時リンクを確立するために使用される前記一時インターフェースを前記外部機器に開放する。
【0025】
S14において、前記一時リンク上で、変更後のセキュリティルールを使用してサービス伝送を行う。
【0026】
本実施例において、前記サービス伝送方法は、現在の機器によって実行される。前記現在の機器は、ネットワークセキュリティトンネルプロトコルをサポートするネットワーク機器を含み、例えば、現在の機器は、基地局やセットトップボックスなどである。
【0027】
現在リンクとは、現在の機器がセキュリティゲートウェイによる暗号化や復号化を行った後に外部機器とデータ伝送を行うリンクまたはチャネルのことである。現在のネットワーク構成とは、現在リンクの正常状態におけるネットワークの構成状態である。現在のセキュリティルールとは、現在リンクの正常状態において使用されているセキュリティルールまたはセキュリティプロトコルである。
【0028】
なお、現在リンクのセキュリティプロトコルによっては、異なる検出方式を使用することが可能である。本実施例ではリンク検出方式を限定しない。
【0029】
本実施例において、外部機器とは、図1に示すようなOMC、EMS、SSHなどのリモート管理機器またはリモート制御機器である。
【0030】
一つの例示的な実施形態において、現在のネットワーク構成を調整する前記ステップは、
既定プロトコルに対応するループバックインターネットプロトコルIPアドレスを物理ネットワークインターフェースIPアドレスに切り替えるステップ、
仮想ローカルエリアネットワークVLAN構成を調整するステップ、および
集中アクセス機器のアドレス変換ポリシーを調整するステップ、のうちの一つまたは複数を含む。
既定プロトコルに対応するループバックインターネットプロトコルIPアドレスを物理ネットワークインターフェースIPアドレスに切り替えるステップ、
仮想ローカルエリアネットワークVLAN構成を調整するステップ、および
集中アクセス機器のアドレス変換ポリシーを調整するステップ、のうちの一つまたは複数を含む。
【0031】
前記集中アクセス機器のアドレス変換ポリシーは、
集中アクセス機器に対して、内部アドレスと外部アドレスの変換関係、一時リンクのルーティングテーブル、およびアクセス制御リスト構成のうちの一つまたは複数を追加することを含む。
集中アクセス機器に対して、内部アドレスと外部アドレスの変換関係、一時リンクのルーティングテーブル、およびアクセス制御リスト構成のうちの一つまたは複数を追加することを含む。
【0032】
一つの例示的な実施形態において、既定プロトコルに対応するループバックインターネットプロトコルIPアドレスを物理ネットワークインターフェースIPアドレスに切り替える場合、調整後のネットワーク構成に基づいて一時インターフェースを決定する前記ステップは、前記物理ネットワークインターフェースIPアドレスに基づいて、対応する一時インターフェースを決定するステップを含む。
【0033】
一つの例示的な実施形態において、現在のセキュリティルールを変更する前記ステップは、重要サービスのセキュリティルールを暗号化なし通過に設定するステップ、現在のインターフェースを暗号化グループから削除するステップ、現在のパケットに対する暗号化処理をスキップするステップ、および、現在のパケットにVLANタグが構成されている場合、通常のVLAN構成を復元するステップ、のうちの一つまたは複数を含む。
【0034】
一つの例示的な実施形態において、前記重要サービスは、管理プレーンサービス、制御プレーンサービス、およびユーザ定義サービスのうちの一つまたは複数を含む。
【0035】
本実施例において、現在の機器のサービスは、現在の機器のすべてのサービスであってもよい。本実施例において、現在の機器のサービスは、現在の機器の重要サービスである。重要サービスとは、管理プレーンサービス及び/または制御プレーンサービスを含んでもよく、ユーザ定義サービスを含んでもよい。
【0036】
機器の場合、すべてのデータを回復するコストが高く、すべてのデータを回復する必要があるわけではなく、また、セキュリティプロトコルを迂回することもサービスの安全性を低下させる可能性がある。そのため、本実施例では主に、重要な管理パケット、または制御プレーンパケットに対して、セキュリティプロトコルの障害時に新たな一時的なアクセスチャネルを提供する。
【0037】
一つの例示的な実施形態において、前記現在リンクの障害は、セキュリティリンク障害とアプリケーションリンク障害とを含む。
【0038】
セキュリティ障害とは、セキュリティプロトコル層間の障害であり、アプリケーションリンク障害とは、アプリケーション層間のリンク障害である。たとえば、ネットワーク7階層アーキテクチャでは、アプリケーション層はセキュリティ層(トランスポート層、ネットワーク層、リンク層に配置される可能性がある)の上にある。
【0039】
現在リンクの障害を検出できる。一つの例示的な実施形態において、アプリケーションリンクの切断を検出した場合、セキュリティリンク検出を開始する。その後、セキュリティリンクの切断を検出した場合、現在リンクに障害が発生していると判定する。
【0040】
一つの例示的な実施形態において、前記一時リンクは、中間転送機器または集中アクセス機器のアドレス変換プロトコルと、迂回する一時チャネルとを含む。
【0041】
一つの例示的な実施形態において、前記一時リンク上で、変更後のセキュリティルールを使用してサービス伝送を行う前記ステップは、
前記外部機器が内部ネットワークを介して前記現在の機器にアクセスする場合、中間転送機器または集中アクセス機器のアドレス変換プロトコルを介してサービス伝送を行うステップを含む。
前記外部機器が内部ネットワークを介して前記現在の機器にアクセスする場合、中間転送機器または集中アクセス機器のアドレス変換プロトコルを介してサービス伝送を行うステップを含む。
【0042】
【0043】
本実施例において、現在リンクに障害が発生した後に、中間転送機器または集中アクセス機器が障害なく正常に使用できる場合、サービスパケットを、中間転送機器または集中アクセス機器のアドレス変換プロトコルを介して伝送を行ってもよい。
【0044】
アドレス変換プロトコルを介して伝送を行うことは、中間転送機器または集中アクセス機器が、復号化や暗号化などを行わずに、アドレス変換プロトコルのみに従ってサービスパケットを変換して伝送することと理解してもよい。
【0045】
一つの例示的な実施形態において、前記一時リンク上で、変更後のセキュリティルールを使用してサービス伝送を行う前記ステップは、前記外部機器が前記迂回する一時チャネルを介して前記現在の機器にアクセスする場合、前記迂回する一時チャネルを介してサービス伝送を行うステップを含む。
【0046】
本実施例において、現在リンクに障害が発生した後に、中間転送機器または集中アクセス機器が正常に使用できない場合、外部機器は迂回する一時チャネルを使用して現在の機器に直接アクセスするとともに、迂回する一時チャネルを介してサービス伝送を行う。迂回する一時チャネルとは、外部機器が中間転送機器および集中アクセス機器を迂回して、伝送到達可能なリンクを使用して前記現在の機器に直接アクセスし、中間転送機器または集中アクセス機器でのアドレス変換プロトコルを必要としないチャネルである。
【0047】
一つの例示的な実施形態において、前記一時インターフェースを前記外部機器に開放する前記ステップの後に、さらに、調整後のネットワーク構成、変更後のセキュリティルール、およびサービスリストを保存するステップと、次のリンク障害の際、保存された前記変更後のネットワーク構成、前記変更後のセキュリティルール、および前記サービスリストを呼び出すステップと、を含む。
【0048】
本実施例において、一時リンクが確立されると、この部分の一時的に生成されたネットワーク構成とセキュリティルールと、サービス関連のリストを保存し、次の障害時に優先的にこの構成を読み込むことで、障害のたびにネットワーク構成とセキュリティルールの変更することを回避する。
【0049】
一つの例示的な実施形態において、前記一時インターフェースを前記外部機器に開放する前記ステップの後に、さらに、設定周期に従って、前記現在のネットワーク構成(例えば、障害が発生する前の以前のネットワーク構成)に切り替えるステップと、切替失敗回数が設定回数を超えた場合、リセット操作を行うステップと、を含む。
【0050】
一時リンクに切り替えた後も、保護するように設定された重要サービスが復旧できない場合、所定時間経過後または所定周期に元の構成に切り替える。サービスの復旧できない状態が続く場合、切替回数が一定の閾値を超えた後に、リセット等の他の方法で自助努力を行う。
【0051】
一つの例示的な実施形態において、一時インターフェースを前記外部機器に開放する前記ステップの後に、さらに、前記現在リンクの復旧を検出すると、前記現在のネットワーク構成と前記現在のセキュリティルールに切り替えるステップと、前記現在のネットワーク構成と前記現在のセキュリティルールを使用して、前記外部機器にサービスを提供するステップと、を含む。
【0052】
ネットワークで上記のサービス伝送方法を使用すると、セキュリティプロトコルの障害時に、重要サービスの再アクセス能力を提供するために最大限の努力をして、システムの可用性を効果的に向上させることができる。
【0053】
一つの実施例において、ネットワークセキュリティプロトコルの障害に対して、現在の機器は、管理プレーンサービスや制御プレーンサービスのような重要サービスへのアクセスを保障するために最大限の努力をする必要がある。障害が検出されると、ネットワーク構成状況に応じて、対応するIP等のネットワーク伝送を切り替えると同時に、伝送構成とセキュリティポリシーを自動的に切り替え、これまで暗号化されていたパケットを非暗号化状態またはトンネルカプセル化状態に変更するとともに、対応するアドレス変換とルーティング転送ルールを中間転送機器または集中アクセス機器に事前に設定することにより、重要サービスへのアクセスを可能な限り保証する。
【0054】
通信する双方は、現在リンクを定期的にまたは自発的に検出する必要がある。
その中で、検出は異なる階層に分けられ、主にセキュリティ機器間のセキュリティプロトコルリンクの検査と、アプリケーション機器間のアプリケーションリンクの検査が含まれる。
その中で、検出は異なる階層に分けられ、主にセキュリティ機器間のセキュリティプロトコルリンクの検査と、アプリケーション機器間のアプリケーションリンクの検査が含まれる。
【0055】
一つの例示的な実施形態において、アプリケーションリンクの切断を検出した場合、さらにセキュリティリンク検出を開始する。その後、セキュリティリンクの切断を検出した場合、現在リンクに障害が発生していると判定する。さらに、セキュリティ機器とアプリケーション機器とが同一の機器である場合、検出方法を1つに合併できる。
【0056】
ユーザは、現在のネットワーク構成に基づいて、事前にネットワーク計画を行うことができる。
【0057】
現在の機器のセキュリティプロトコルに障害が発生した後、新しい伝送IPアドレスに切り替える場合、中間転送機器または集中アクセス機器(たとえばファイアウォールやSeGW)に新しいアドレス変換ポリシーを構成する必要がある。上記のアドレス変換ポリシーには、NATや新たな伝送リンクのルーティングテーブル、アクセス制御リスト(ACL)構成などが含まれる。
【0058】
リンク障害が検出されると、現在の機器は、対応するネットワーク構成を自動的に調整し、重要サービスの現在のセキュリティルールを修正するとともに、新たな一時インターフェースを外部に開放することで、現在の機器に一時的に外部機器をホストさせて、一時的なサービスを提供することができるようにする。一時インターフェースは、制御インターフェースまたは管理インターフェースである。
【0059】
図3に示すように、セキュアプロトコルリンクに障害が発生した後、集中アクセス機器を迂回する方法またはNATを用いて、現在の機器が現在の機器と直接データの伝送を行うように、新たな一時リンクを確立する。
【0060】
ここで、重要サービスは、管理プレーンサービスであってもよく、制御プレーンサービスであってもよく、またユーザ定義サービスデータであってもよい。
【0061】
ネットワーク構成とは主に、重要サービスに関連付けられるIPアドレス、および対応するゲートウェイポート、VLANなどの構成であり、また中間ネットワーク機器のアドレス変換ポリシー(たとえばNAT)、アクセス制御リスト(ACL)構成なども含まれている。例えば、セキュリティトンネル内の、以前にサービスに関連付けられたループバックIPアドレスを、指定された物理ネットワークポートのインターフェースIPアドレスに一時的にリロケーションする。また、ネットワーク集中アクセス機器(たとえばSeGWやファイアウォール)に対して、内部アドレスから外部アドレスへの変換関係、および対応するルーティングテーブルを追加して、内部ネットワークにマッピングされたパブリックネットワークIPをACLアクセスが許可されたリストに配置する。
【0062】
セキュリティルールは、現在の特徴(典型的にはファイブタプル、送信元IP、送信先IP、プロトコル、送信元ポート、送信先ポートなど)を満たすパケットに対する暗号化、拒否、直接通過などの動作を実行するルールであってもよく、あるタイプのパケットに対するユーザの特定の処理ルールであってもよい。
【0063】
新しい一時インターフェースを外部に開放するとは、新たに開始されたサービスや、以前のセキュリティプロトコルで暗号化され、またはトンネル内にカプセル化された、直接アクセスできないサービスに、新しいサービスのホスティングトを獲得させることである。
【0064】
外部機器は、現在の機器に再びアクセスし、中間転送機器または集中アクセス機器のネットワークアドレス変換を介して、パケットを現在の機器に送信する。現在の機器によって返信されたパケットは、以前のセキュリティプロトコルまたはセキュリティトンネルによってカプセル化を経ずに、新しいアクセスプロトコルを直接使用する。
【0065】
一時リンクが確立されると、この部分の一時的に生成されたネットワーク構成とセキュリティルールと、サービス関連のリストを保存し、次の障害時に優先的にこの構成を読み込む。
【0066】
現在の機器がセキュリティリンクまたはアプリケーションリンクの復旧を検出した場合、切替ルールを設定し、一時的に生成された構成とルールを削除してから、元の構成に切り替え、元のセキュリティプロトコルまたはセキュリティトンネル内に再びサービスをカプセル化する。
【0067】
一時リンクに切り替えた後も、保護するように設定された重要サービスが復旧できない場合、所定時間経過後または所定周期に元の構成に切り替える。サービスの復旧できない状態が続く場合、切替回数が一定の閾値を超えた後に、リセット等の他の方法で自助努力を行う。
【0068】
重要サービスデータフローは通常、管理データ、またはシグナリングデータである。
【0069】
システムで該機能を有効化すると、セキュリティプロトコルの障害時に、重要サービスの再アクセス能力を提供するために最大限の努力をして、システムの可用性を効果的に向上させることができる。
【0070】
一つの実施例において、セキュリティプロトコルがIPsecプロトコルである場合を例に説明する。
【0071】
現在の機器が使用するセキュリティプロトコルはIPsecプロトコル(ESPトンネルカプセル化)であり、重要なアプリケーションプロトコルは管理プレーンプロトコルであり、netconfプロトコルを使用している。セキュリティプロトコルはBFD(Bidirectional Forwarding Detection、双方向転送検出)またはDPD(Dead Peer Detection、相手側死亡検出)プロトコルをリンク検出として使用してリンク検出を行う。netconfプロトコルは、定期的なハンドシェイクを使用してリンク検出を行う。netconfのリンクが切断された場合、IPsecリンクの障害が原因でリンク切断が起こされたか否かをさらに調べる。
【0072】
ユーザは、現在のネットワーク構成に基づいて、事前にネットワーク計画を行うことができる。機器セキュリティプロトコルに障害が発生した場合、次の操作を実行できる。新たな伝送IPアドレス等を切り替え、中間ルーティング転送機器または集中アクセス機器(たとえばファイアウォールやSeGW)にNAT(ネットワーク管理者またはツールの内部ネットワークアドレスから外部ネットワークアドレスへの変換)または新たな伝送リンクのルーティングテーブル(ネットワーク管理者またはツールの外部ネットワークへのルーティング)等の新たな伝送ポリシーを構成する。
【0073】
IPsecリンクの切断が検出されると、現在の機器は、netconfに対応するループバックIPアドレスを物理ネットワークインターフェースIPアドレスに切り替え、そしてnetconfのプロトコルのセキュリティルールを暗号化しないように設定する。
【0074】
SSH/HTTPs運用保守管理インターフェースのような他の管理サービスが存在する場合、上記のnetconfプロトコルと同様に、以前に関連付けられていたループバックIPを物理ネットワークインターフェースIPに切り替え、対応するセキュリティルールを暗号化しないように設定する。
【0075】
ネットワーク管理者またはツールは、SeGWを迂回して、直接パブリックネットワークIPで機器の現在のnetconf管理インターフェースまたはSSH/HTTPsサービスにアクセスしてもよく、また、SeGW(通常動作)、SeGWまたはフロントエンドファイアウォールを介して、ネットワーク管理者またはツールの内部ネットワークアドレスをパブリックネットワークIPに訳し、このパブリックネットワークIPをACLアクセスが許可されたリストに配置してもよい。新しいプロトコルnetconf/SSH/HTTPs自体のセキュリティ保護を除き、機器とSeGWは、このようなパケットのIPsec暗号化およびトンネルカプセル化処理を行わないようにする。
【0076】
一時リンクが確立されると、この部分の一時的に生成された構成とルールと、サービス関連のリストを保存し、次の障害時に優先的にこの構成を読み込む。
【0077】
現在の機器がIPsecリンクの復旧を検出した場合、切替ルールを設定し、一時的に生成された構成とルールを削除し、元の構成に切り替え、元のIPsecトンネル内に再びサービス(netconf/SSH/HTTPs)をカプセル化する。
【0078】
一時チャネルに切り替えた後も、netconfサービスが復旧できない場合、所定時間経過後または所定周期に元の構成に切り替る。サービスの復旧できない状態が続く場合、切替回数が一定の閾値を超えた後に、リセット等の他の方法で自助努力を行う。
【0079】
該機器は、基地局、セットトップボックス、またはその他のネットワークセキュリティトンネルプロトコルをサポートするネットワーク機器であってもよい。
【0080】
システムで該機能を有効化すると、セキュリティプロトコルの障害時に、重要サービスの再アクセス能力を提供するために最大限の努力をして、システムの可用性を効果的に向上させることができる。
【0081】
一つの実施例において、図4に示すように、リンク検出モジュールは、現在リンクを検出するように構成されている。構成モジュールは、ネットワーク構成、セキュリティルールの変更およびインターフェース構成の開放を行うように構成されている。このようにして、システムは、セキュリティプロトコルの障害時に、重要サービスの再アクセス能力を提供するために最大限の努力をすることができる。
【0082】
一つの実施例において、セキュリティプロトコルがMACsecプロトコルである場合を例に説明する。
【0083】
現在の機器が使用するセキュリティプロトコルはMACsecプロトコル(VLAN tag暗号化モード)であり、重要なアプリケーションプロトコルは管理プレーンプロトコルであり、netconfプロトコルを使用している。netconfプロトコルは、定期的なハンドシェイクを使用してリンク検出を行う。netconfのリンクが切断された場合、MACsecリンクが原因でリンク切断が起こされたか否かをさらに調べる。
【0084】
ユーザは、現在のネットワーク構成に基づいて、事前にネットワーク計画を行うことができる。機器のセキュリティプロトコルに障害が発生した場合、接続されるスイッチング機器は現在の機器をMACsecグループから削除し、つまり、現在の機器のパケットについてMACsec暗号化処理を行わないようにする。
【0085】
netconfのリンク切断が検出された場合、現在の機器は、netconfプロトコルのセキュリティルールを暗号化なし通過に設定するか、または現在のポートをMACsec暗号化グループから削除するか、または現在のパケットに対してMACsec暗号化処理を行わないか、そして現在のnetconfパケットにVLANtag(MACsecプロトコル内で暗号化されている)が構成されている場合、以前のVLAN構成を復元する。
【0086】
SSH/HTTPs運用保守管理インターフェースのような他の管理サービスが存在する場合、上記のnetconfプロトコルと同様に、以前に関連付けられたセキュリティルールを変更して、現在のポートをMACsec暗号化グループから削除するか、または現在のパケットに対してMACsec暗号化処理を行わないようにする。
【0087】
ネットワーク管理者またはツールは、中間転送機器または集中アクセス機器を介して現在の機器に直接アクセスする。新しいプロトコルnetconf/SSH/HTTPs自体のセキュリティ保護を除き、集中アクセス機器とスイッチは、このようなパケットのMACsec暗号化およびVLAN tag暗号化カプセル化処理を行わないようにする。
【0088】
一時リンクが確立されると、この部分の一時的に生成された構成とルールと、サービス関連のリストを保存し、次の障害時に優先的にこの構成を読み込む。
【0089】
現在の機器がMACsecリンクの復旧を検出した場合、切替ルールを設定し、一時的に生成された構成とルールを削除し、元の構成に切り替え、元のMACsec暗号化チャネル内に再びサービス(netconf/SSH/HTTPs)をカプセル化する。
【0090】
一時リンクに切り替えた後も、netconfサービスが復旧できない場合、所定時間経過後または所定周期に元の構成に切り替える。サービスの復旧できない状態が続く場合、切替回数が一定の閾値を超えた後に、リセット等の他の方法で自助努力を行う。
【0091】
該現在の機器は、ネットワークセキュリティトンネルプロトコルをサポートするネットワーク機器、例えば、基地局、セットトップボックスなどであってもよい。
【0092】
システムで該機能を有効化すると、セキュリティプロトコルの障害時に、重要サービスの再アクセス能力を提供するために最大限の努力をして、システムの可用性を効果的に向上させることができる。
【0093】
一つの実施例において、サービス伝送装置を提供する。図5は本願の実施例によって提供されるサービス伝送装置の構成模式図である。図5に示すように、本願の実施形態で提供されるサービス伝送装置は主に、検出モジュール51と、決定モジュール52と、インターフェースモジュール53と、伝送モジュール54とを備える。
【0094】
検出モジュール51は、現在リンクの障害を検出すると、現在のネットワーク構成を調整し、現在のセキュリティルールを変更するように構成されている。
決定モジュール52は、調整後のネットワーク構成に基づいて一時インターフェースを決定するように構成されている。
インターフェースモジュール53は、外部機器が現在の機器と一時リンクを確立するために使用される前記一時インターフェースを前記外部機器に開放するように構成されている。
伝送モジュール54は、前記一時リンク上で、変更後のセキュリティルールを使用してサービス伝送を行うように構成されている。
決定モジュール52は、調整後のネットワーク構成に基づいて一時インターフェースを決定するように構成されている。
インターフェースモジュール53は、外部機器が現在の機器と一時リンクを確立するために使用される前記一時インターフェースを前記外部機器に開放するように構成されている。
伝送モジュール54は、前記一時リンク上で、変更後のセキュリティルールを使用してサービス伝送を行うように構成されている。
【0095】
一つの例示的な実施形態において、現在のネットワーク構成を調整する前記ステップは、既定プロトコルに対応するループバックインターネットプロトコルIPアドレスを物理ネットワークインターフェースIPアドレスに切り替えるステップ、仮想ローカルエリアネットワークVLAN構成を調整するステップ、および集中アクセス機器のアドレス変換ポリシーを調整するステップ、のうちの一つまたは複数を含む。
【0096】
一つの例示的な実施形態において、前記集中アクセス機器のアドレス変換ポリシーは、集中アクセス機器に対して、内部アドレスと外部アドレスの変換関係、一時リンクのルーティングテーブル、およびアクセス制御リスト構成のうちの一つまたは複数を追加することを含む。
【0097】
一つの例示的な実施形態において、既定プロトコルに対応するループバックインターネットプロトコルIPアドレスを物理ネットワークインターフェースIPアドレスに切り替える場合、調整後のネットワーク構成に基づいて一時インターフェースを決定する前記ステップは、前記物理ネットワークインターフェースIPアドレスに基づいて、対応する一時インターフェースを決定するステップを含む。
【0098】
一つの例示的な実施形態において、現在のセキュリティルールを変更する前記ステップは、重要サービスのセキュリティルールを暗号化なし通過に設定するステップ、現在のインターフェースを暗号化グループから削除するステップ、現在のパケットに対する暗号化処理をスキップするステップ、および、現在のパケットにVLANタグが構成されている場合、通常のVLAN構成を復元するステップ、のうちの一つまたは複数を含む。
【0099】
一つの例示的な実施形態において、前記重要サービスは、管理プレーンサービス、制御プレーンサービス、およびユーザ定義サービスのうちの一つまたは複数を含む。
【0100】
一つの例示的な実施形態において、前記現在リンクの障害は、セキュリティリンク障害とアプリケーションリンク障害とを含む。
【0101】
一つの例示的な実施形態において、前記一時リンクは、中間転送機器または集中アクセス機器のアドレス変換プロトコルと、迂回する一時チャネルとを含む。前記一時リンク上で、変更後のセキュリティルールを使用してサービス伝送を行う前記ステップは、
前記外部機器が内部ネットワークを介して前記現在の機器にアクセスする場合、中間転送機器または集中アクセス機器のアドレス変換プロトコルを介してサービス伝送を行うステップ、または、
前記外部機器が前記迂回する一時チャネルを介して前記現在の機器にアクセスする場合、前記迂回する一時チャネルを介してサービス伝送を行うステップを含む。
前記外部機器が内部ネットワークを介して前記現在の機器にアクセスする場合、中間転送機器または集中アクセス機器のアドレス変換プロトコルを介してサービス伝送を行うステップ、または、
前記外部機器が前記迂回する一時チャネルを介して前記現在の機器にアクセスする場合、前記迂回する一時チャネルを介してサービス伝送を行うステップを含む。
【0102】
一つの例示的な実施形態において、前記一時インターフェースを前記外部機器に開放する前記ステップの後に、さらに、調整後のネットワーク構成、変更後のセキュリティルール、およびサービスリストを保存するステップと、次のリンク障害の際、保存された前記変更後のネットワーク構成、前記変更後のセキュリティルール、および前記サービスリストを呼び出すステップと、を含む。
【0103】
一つの例示的な実施形態において、前記一時インターフェースを前記外部機器に開放する前記ステップの後に、さらに、設定周期に従って、前記現在のネットワーク構成に切り替えるステップと、切替失敗回数が設定回数を超えた場合、リセット操作を行うステップと、を含む。
【0104】
一つの例示的な実施形態において、一時インターフェースを前記外部機器に開放する前記ステップの後に、さらに、前記現在リンクの復旧を検出すると、前記現在のネットワーク構成と前記現在のセキュリティルールに切り替えるステップと、前記現在のネットワーク構成と前記現在のセキュリティルールを使用して、前記外部機器にサービスを提供するステップと、を含む。
【0105】
一つの例示的な実施形態において、前記現在の機器は、ネットワークセキュリティトンネルプロトコルをサポートするネットワーク機器を含む。
【0106】
本実施例で提供されるコントローラは、本願の任意の実施例で提供されるサービス伝送方法を実行することができるので、該方法を実行するための対応する機能モジュールおよび有益な効果を備えている。なお、本実施例では詳しく説明されていない技術的詳細については、本願の任意の実施例で提供されるサービス伝送方法を参照できる。
【0107】
なお、上記のサービス伝送装置の実施例において、含まれる各ユニットとモジュールは、機能ロジックに基づいて分類されているだけであり、対応する機能を実現できれば、上記の分類に限定されるものではない。また、各機能ユニットの具体的な名称も、相互の区別を容易にするためのものであり、本願の保護範囲を制限するものではない。
【0108】
本願の実施例はさらに、ネットワーク機器を提供する。図6は本願の実施例によって提供されるネットワーク機器の構成模式図である。図6に示すように、該ネットワーク機器はプロセッサ61と、メモリ62と、入力装置63、出力装置64と通信装置65とを含む。ネットワーク機器内のプロセッサ61の数は1つまたは複数であってもよく、図6では1つのプロセッサ61を例に挙げている。ネットワーク機器内のプロセッサ61、メモリ62、入力装置63および出力装置64はバスまたはその他の方法で接続されてもよく、図6ではバスで接続されている例を示している。
【0109】
メモリ62は、コンピュータ可読記憶媒体として、ソフトウェアプログラム、コンピュータ実行可能なプログラムおよびモジュール、例えば本願の実施例におけるサービス伝送方法に対応するプログラム命令/モジュール(例えば、サービス伝送装置内の検出モジュール51、決定モジュール52、インターフェースモジュール53および伝送モジュール54)を記憶するように構成することが可能である。プロセッサ61は、メモリ62に記憶されているソフトウェアプログラム、命令及びモジュールを実行することにより、ネットワーク機器の様々な機能アプリケーション及びデータ処理を実行し、すなわち、本願の実施例によって提供される何れか一つの方法を実現する。
【0110】
メモリ62は、プログラム記憶領域とデータ記憶領域とを主に備えてもよく、プログラム記憶領域はオペレーティングシステム、少なくとも1つの機能に必要なアプリケーションプログラムを記憶してもよく、データ記憶領域には、ネットワーク機器の使用によって作成されたデータなどを記憶してもよい。さらに、メモリ62は、高速ランダムアクセスメモリを含んでもよく、または不揮発性のメモリ、例えば少なくとも1つの磁気ディスクメモリ装置、フラッシュメモリ装置、または他の不揮発性のソリッドステートメモリ装置を含んでもよい。いくつかの実例において、メモリ62はさらに、プロセッサ61に対して遠隔地に配置されたメモリを含んでもよく、これらの遠隔メモリは、ネットワークを介してネットワーク機器に接続することができる。上記のネットワークの実例は、インターネット、社内イントラネット、ローカルエリアネットワーク、移動通信ネットワーク、及びこれらの組み合わせを含むが、これらに限定されない。
【0111】
入力装置63は、入力された数字や文字情報を受け取ったり、電子機器のユーザ設定や機能制御に関する押しキー信号入力を生成したりするために使用されてもよい。出力装置64は、ディスプレイなどの表示機器を含んでもよい。
【0112】
通信装置65は、受信機および送信機を含んでもよい。通信装置65は、プロセッサ61の制御に従って情報の送受信通信を行うように構成されている。
【0113】
一つの例示的な実施例において、本願の実施例はさらにコンピュータ実行可能な命令を含む記憶媒体を提供し、前記コンピュータ実行可能な命令は、コンピュータプロセッサによって実行された場合、サービス伝送方法を実行するように構成されており、前記サービス伝送方法は、
現在リンクの障害を検出すると、現在のネットワーク構成を調整し、現在のセキュリティルールを変更するステップと、
調整後のネットワーク構成に基づいて一時インターフェースを決定するステップと、
外部機器が現在の機器と一時リンクを確立するために使用される前記一時インターフェースを前記外部機器に開放するステップと、
前記一時リンク上で、変更後のセキュリティルールを使用してサービス伝送を行うステップと、を含む。
現在リンクの障害を検出すると、現在のネットワーク構成を調整し、現在のセキュリティルールを変更するステップと、
調整後のネットワーク構成に基づいて一時インターフェースを決定するステップと、
外部機器が現在の機器と一時リンクを確立するために使用される前記一時インターフェースを前記外部機器に開放するステップと、
前記一時リンク上で、変更後のセキュリティルールを使用してサービス伝送を行うステップと、を含む。
【0114】
もちろん、本願の実施例が提供するコンピュータ実行可能な命令を含む記憶媒体によれば、そのコンピュータ実行可能な命令は、上述のような方法の操作に限定されるものではなく、本願の任意の実施例が提供するサービス伝送方法における関連操作を実行することもできる。
【0115】
本願の実施例によって提供されるサービス伝送方法、装置、機器及び記憶媒体によれば、現在リンクの障害を検出すると、現在のネットワーク構成を調整し、現在の機器サービスの現在のセキュリティルールを変更するとともに、外部機器に一時インターフェースを開放することにより、外部機器を現在の機器に再びアクセスさせるため、一時インターフェースを介してサービスの再アクセス能力を提供することができ、ネットワークに障害が発生することによって、通信する双方のリンクの切断が引き起こされ、サービスの伝送ができなくなる事態を回避し、システムの可用性を効果的に向上させることができる。
【0116】
以上の実施形態に関する説明を通して、当業者は、本願は、ハードウェアによって実現ことも勿論可能であるが、多くの場合ではより良い実施形態であるソフトウェアおよび必要な汎用ハードウェアの方法で実現できることを明確に理解できる。このような理解に基づいて、本願の技術案の本質的な部分または従来技術に貢献した部分は、ソフトウェア製品の形で具現化されてもよい。このソフトウェア製品は、例えばコンピュータのフロッピーディスク、読み取り専用メモリ(ROM:Read-Only Memory)、ランダムアクセスメモリ(RAM:Random Access Memory)、フラッシュメモリ(FLASH)、ハードディスク又は光ディスクなどの、1台のコンピュータ機器(パーソナルコンピュータ、サーバ又はネットワーク機器などでもよく)に本願の各の実施例に記載の方法を実行させるように構成されたいくつかの命令を含む、コンピュータ読み取り可能な記憶媒体に格納できる。
【0117】
上記は本願の例示的な実施例にすぎず、本願の保護範囲を限定するためのものではない。
【0118】
当業者であれば、ユーザ端末という用語は、例えば携帯電話、携帯データ処理装置、携帯ウェブブラウザ、または車載用移動局など、あらゆる適切なタイプの無線ユーザ機器をカバーすることは理解されるだろう。
【0119】
一般的に、本願の様々な実施例は、ハードウェアまたは専用回路、ソフトウェア、論理またはそれらの任意の組合せ内で実現されてもよい。例えば、本願はそれに限定されないが、いくつかの態様はハードウェア内で実現されてもよく、一方、他の態様はコントローラ、マイクロプロセッサまたはその他のコンピューティング装置によって実行可能なファームウェアまたはソフトウェア内で実現されてもよい。
【0120】
本願の実施例は、例えば、プロセッサの実体内で、またはハードウェアによって、あるいはソフトウェアとハードウェアの組み合わせによって、モバイル装置のデータプロセッサがコンピュータプログラム命令を実行することによって実現されてもよい。コンピュータプログラム命令は、アセンブリ命令、命令セットアーキテクチャ(ISA)命令、機械命令、機械関連命令、マイクロコード、ファームウェア命令、状態設定データ、または1つまたは複数のプログラミング言語の任意の組み合わせで作成されたソースコードまたはターゲットコードであってもよい。
【0121】
本願の添付図面における任意の論理フローのブロック図は、プログラムのステップを表してもよく、または相互に接続された論理回路、モジュール、及び機能を表してもよく、または、プログラムのステップと論理回路、モジュール、及び機能との組み合わせを表してもよい。コンピュータプログラムはメモリに記憶してもよい。メモリは、ローカル技術環境に適した任意のタイプを有してもよく、かつ、任意の適切なデータ記憶技術で実現されてもよく、例えば、読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、光学メモリ装置及びシステム(デジタルバーサタイルディスクDVD又はCD光学ディスク)などを含むが、これらに限定されない。コンピュータ読み取り可能な媒体は、不揮発性の記憶媒体を含んでもよい。データプロセッサは、汎用コンピュータ、専用コンピュータ、マイクロプロセッサ、デジタル信号プロセッサ(DSP)、専用集積回路(ASIC)、プログラマブルロジックデバイス(FPGA)、及びマルチコアプロセッサアーキテクチャに基づくプロセッサなど、ローカル技術環境に適した任意のタイプであってもよいが、これらに限定されない。
【0122】
例示的かつ非限定的な例として、上記では本願の例示的な実施例の詳細な説明を提供した。しかし、添付図面及び特許請求の範囲と合わせて考えると、本願の範囲から逸脱することなく、上記実施例に対する様々な修正及び調整は当業者には自明である。したがって、本願の適切な範囲は、特許請求の範囲に基づいて確定される。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】