[发明专利]通信系统、控制装置、策略管理装置、通信方法和程序

权利要求书

1.一种通信系统，包括：

多个转发节点，所述多个转发节点根据分组处理操作来处理接收到的分组，所述分组处理操作使用于标识流的匹配规则与将被应用于符合所述匹配规则的分组的处理内容相关联；

策略管理装置，所述策略管理装置包括使分配给用户的角色与针对每个角色而设定的接入权限相关联的接入控制策略存储单元，所述策略管理装置向控制装置提供关于与被成功认证的用户的角色相关联的接入权限的信息；以及

所述控制装置，所述控制装置基于与从所述策略管理装置接收到的接入权限相关的信息，来创建在被成功认证的所述用户的终端与所述用户能够接入的资源之间的路径，并且在所述路径中的转发节点中设定分组处理操作。

2.根据权利要求1所述的通信系统，其中所述控制装置

保持与从所述策略管理装置接收到的接入权限相关的信息，并且

在从与接收自所述用户终端的分组相关的所述转发节点接收用于设定所述分组处理操作的请求的情况下创建所述路径，并且执行对分组处理操作的设定。

3.根据权利要求1或2所述的通信系统，其中所述控制装置基于与从所述策略管理装置接收到的接入权限相关的信息，在所述转发节点中设定分组处理操作，所述分组处理操作用于丢弃针对如下资源的分组，从所述用户终端针对所述资源的接入被拒绝。

4.根据权利要求1至3中的任何一项所述的通信系统，其中

与接入权限相关的信息包括取决于所述用户终端的位置的接入权限，并且

所述控制装置基于从下述信息所标识的所述用户终端的位置以及取决于所述用户终端的位置的接入权限，来设定所述分组处理操作，所述信息被包括在从所述转发节点接收到的、用于设定分组处理操作的请求中。

5.一种控制装置，

所述控制装置连接到多个转发节点和策略管理装置，所述多个转发节点根据分组处理操作来处理接收到的分组，所述分组处理操作使用于标识流的匹配规则与将被应用于符合所述匹配规则的分组的处理内容相关联，所述策略管理装置包括使分配给用户的角色与针对每个角色而设定的接入权限相关联的接入控制策略存储单元，所述策略管理装置向所述控制装置提供关于与被成功认证的用户的角色相关联的接入权限的信息；其中

所述控制装置基于与从所述策略管理装置接收到的接入权限相关的信息，来创建在被成功认证的所述用户的终端与所述用户能够接入的资源之间的路径，并且在所述路径中的转发节点中设定分组处理操作。

6.根据权利要求5所述的控制装置，其中所述控制装置

保持与从所述策略管理装置接收到的接入权限相关的信息，并且

在从与接收自所述用户终端的分组相关的所述转发节点接收用于设定所述分组处理操作的请求的情况下创建所述路径，并且执行对分组处理操作的设定。

7.根据权利要求5或6所述的控制装置，其中所述控制装置基于与从所述策略管理装置接收到的接入权限相关的信息，在所述转发节点中设定分组处理操作，所述分组处理操作用于丢弃针对如下资源的分组，从所述用户终端针对所述资源的接入被拒绝。

8.根据权利要求5至7中的任何一项所述的控制装置，其中

与从所述策略管理装置接收到的接入权限相关的信息包括取决于所述用户终端的位置的接入权限，并且

基于从下述信息所标识的所述用户终端的位置以及取决于所述用户终端的位置的接入权限，来设定所述分组处理操作，所述信息被包括在从所述转发节点接收到的、用于设定分组处理操作的请求中。

9.一种策略管理装置，所述策略管理装置向根据权利要求5至8中的任何一项所述的控制装置提供与被成功认证的用户的角色相对应的接入权限相关的信息。