[0074] 在秘密分散法中,将想要做成秘密的数据信息分为几个(为N个。)分散信息来进行管理。然后,在其中,为如下这样的情况:当聚集几个需要最低限度的个数(为K个。在此,在本实施方式中,假设满足K
[0075] 而且,在本实施方式中,利用该Shamir的(K, N)阈值法,将过滤规则处理为秘密数据,分散这样的过滤规则,由此,将所得到的分散后的多个过滤规则的每一个作为分散信息来进行分散管理。此外,使用剩下的设备所存储的分散信息来恢复应用于负荷增大的过滤设备的过滤规则。然后,剩下的设备利用所恢复的分散信息来承包负荷增大的过滤设备的代替,由此,防止网络内的安全的显著的降低。
[0076] 此外,只要像这样做,则转移过滤规则,即使由于不正当访问而占据了停止了过滤功能的过滤设备,从该设备得到的也仅为该过滤设备所存储的一个分散信息。因此,能够防止其他的设备具有的过滤规则泄漏。由于同样的理由,过滤规则不是过滤管理服务器30总括起来存储而是由各过滤设备分散地存储,因此,即使直接访问到过滤管理服务器30,也能够防止全部过滤规则的信息泄漏。
[0077] 接着,参照图3的顺序图和图4-1以及图4-2的表示信息的收发的图,对本实施方式的工作进行说明。再有,在以下的说明中,作为一个例子,设想外部过滤设备11成为Dos攻击等的攻击对象的情况。
[0078] 首先,起因于Dos攻击等而经由外部网络40对外部过滤设备11发送大量的分组。由此,外部过滤设备11的负荷增大(图4-1的“(1)负荷”)。
[0079] 在此,本实施方式中的各过滤设备总是监视施加于自身的负荷。然后,外部过滤设备11当伴随着针对外部过滤设备11的攻击而感测到施加于外部过滤设备11自身的负荷为固定以上时(图3的步骤S101),将其意思向其他的过滤设备全部或一部分通知(图3的步骤S103、图4-1的(2-1)通知、(2-2)通知和(2-3)通知”)。
[0080] 再有,只要向一部分过滤设备进行通知即可,但是,至少作为秘密分散法需要对(K, N)阈值法中的K个过滤设备进行通知。在本说明中,将(3, 6)阈值法用作秘密分散法。这是只要在有6个(N个)的分散信息之中至少存在3个(K个)则能够恢复原本的信息这样的方法。也就是说,在本说明中,K=3,因此,外部过滤设备11需要至少对3个过滤设备进行通知。在本例子中,对位于与外部过滤设备11相比靠近子网络侧的位置的内部过滤设备21、内部过滤设备22和内部过滤设备23这3个过滤设备进行通知。
[0081] 受理了来自外部过滤设备11的负荷增大的通知的内部过滤设备21、内部过滤设备22和内部过滤设备23这3个过滤设备将自身保有的分散信息向过滤管理服务器30发送(图3的步骤S105、图4-1的(3-1)分散信息C、(3-2)分散信息D和(3-3)分散信息E)。
[0082] 从各过滤设备每一个接收了合计K个以上的分散信息的过滤管理服务器30使用秘密分散法来根据所接收的K个分散信息来进行作为秘密信息的过滤规则的恢复(图3的步骤S107、图4-1的(4)过滤规则恢复)。在本说明中,根据分散信息C、分散信息D和分散信息E这3个分散信息来进行作为秘密信息的过滤规则的恢复处理。通过这样的恢复处理,恢复包含过滤规则A的全部过滤规则。
[0083] 在此,过滤管理服务器30在步骤S103中从外部过滤设备11接收外部过滤设备11的负荷增大的意思或者在步骤S105中从内部过滤设备21、内部过滤设备22和内部过滤设备23接收负荷增大的过滤设备为外部过滤设备11的意思。然后,由此,过滤管理服务器30把握成为攻击对象的过滤设备为外部过滤设备11。
[0084] 因此,过滤管理服务器30对进行了分散信息的提供的内部过滤设备21、内部过滤设备22和内部过滤设备23这3个过滤设备发送与外部过滤设备11对应的过滤规则即过滤规则A(图3的步骤S109、图4-2的(51)过滤规则A、(52)过滤规则A和(53)过滤规则A)。
[0085] 在此,当过滤管理服务器30保持所恢复的过滤规则时,在之后不正当访问过滤管理服务器30那样的情况下,存在过滤规则泄漏的可能性。因此,过滤管理服务器30当执行步骤S109中的发送时,从过滤管理服务器30删除过滤管理服务器30自身恢复的过滤规则。
[0086] 由此,能够防止过滤规则从过滤管理服务器30泄漏。再有,为了表示这样的状态,在图4-2中,过滤管理服务器30存储的分散信息表述为“无”。
[0087] 接收了过滤规则A的内部过滤设备21、内部过滤设备22和内部过滤设备23这3个过滤设备除了当前在自身中设定的过滤规则之外,还将所接收的过滤规则A新设定在自身中(图3的步骤S111)。
[0088] 此外,内部过滤设备21、内部过滤设备22和内部过滤设备23这3个过滤设备将所接收的过滤规则A追加到自身所存储的分散信息中。
[0089] 由此,如图4-2所表示那样,在内部过滤设备21中设定有过滤规则C和过滤规则A,并且,过滤规则C和过滤规则A被存储为分散信息。此外,同样地,在内部过滤设备22中设定有过滤规则D和过滤规则A,并且,过滤规则D和过滤规则A被存储为分散信息。进而,同样地,在内部过滤设备23中设定有过滤规则E和过滤规则A,并且,过滤规则E和过滤规则A被存储为分散信息。
[0090] 然后,内部过滤设备21、内部过滤设备22和内部过滤设备23继续基于在自身过滤设备中设定的过滤规则的过滤。
[0091] 此外,内部过滤设备21、内部过滤设备22和内部过滤设备23这3个过滤设备当在自身中新追加过滤规则A时,对外部过滤设备11通知在自身中新追加了过滤规则A的意思(图3的步骤S113、图4-2的(6-1)通知、(6-2)通知和(6-3)通知)。
[0092] 从在步骤S103中进行了通知的全部过滤设备接收了步骤S113的通知的外部过滤设备11使自身的过滤功能无效(图3的步骤S115、图4-2(7)过滤无效)。
[0093] 再有,外部过滤设备11将过滤规则A存储为分散信息也可,但是,存在通过攻击源进行针对外部过滤设备11的不正当的访问而在攻击源中取得分散信息的可能性。因此,在步骤S115中,外部过滤设备11删除自身所存储的分散信息也可。再有,为了表示这样的状态,在图4-2中,外部过滤设备11所存储的分散信息和在外部过滤设备11中设定的过滤规则表述为“无”。
[0094] 此以后,能够通过内部过滤设备21、内部过滤设备22和内部过滤设备23这3个过滤设备对在不使用外部过滤设备11过滤的情况下通过的分组进行过滤。
[0095] 以上说明的本发明的实施方式起到以下所示那样的许多的效果。
[0096] 第一效果为能够避免由于通信的遮断造成的不能服务状态。
[0097] 其理由是因为,在过滤处理的处理量的增加为过滤设备的负荷增大的主要的主要要因的情况下,能够将其过滤的功能分散到其他的过滤设备中。
[0098] 第二效果为内部网络的安全不会显著地降低。
[0099] 其理由是因为,使过滤功能无效的设备的安全降低,但是,该设备具有的过滤规则被剩下的设备交接。
[0100] 第三效果为即使从受到攻击的过滤设备取得分散信息而网络整体的过滤规则也不会泄漏。
[0101] 其理由是因为,将(K, N)阈值法用作秘密分散法,即使一部分过滤规则泄漏,只要不取得K个分散信息,就不能恢复网络整体的过滤规则。
[0102] 第四效果为即使在过滤管理服务器本身中产生故障而网络整体的过滤规则也不会泄漏。
[0103] 其理由是因为,在过滤管理服务器本身中不经常保持过滤规则的信息,仅在任一个过滤设备由于攻击等而感测出负荷增大时,从各过滤设备对过滤管理服务器送出分散信息来进行过滤规则的恢复。
[0104] 第五效果为能够防止成为攻击对象的过滤设备变为不能工作的状态。
[0105] 其理由是因为,在步骤S115中停止攻击对象的过滤设备的过滤功能。由此,攻击对象的过滤设备不需要进行伴随着过滤的处理,因此,针对攻击对象的过滤设备的负荷减轻。因此,能够防止攻击对象的过滤设备变为不能工作的状态。此外,由此,攻击对象的过滤设备的CPU等能够继续进行伴随着过滤的处理以外的处理。例如,如果攻击对象的过滤设备为路由器,则能够继续进行与路由有关的处理来代替不进行伴随着过滤的处理。
[0106] 此外,上述的实施方式为本发明的优选的实施方式,但是,本发明的范围并不仅限定于上述实施方式,能够进行在不偏离本发明的主旨的范围中实施了各种变更的方式下的实施。
[0107] 作为其一个例子,在以下表示活用秘密分散法的特性的三个变形例。再有,以下的各变形例在基本的结构和工作与上述的实施方式相同。因此,为了防止说明的重复,在以下对各变形例特有的结构和工作进行说明,关于与上述的实施方式共同的部分,省略说明。
[0108] <第一变形例>
[0109] 首先,参照图5来对第一变形例进行说明。如图5所表示那样,在本变形例中,在过滤管理服务器30中也存储分散信息。
[0110] 在此,在上述的实施方式中,在步骤S109中从过滤管理服务器30对各过滤设备发送分散信息之后,从过滤管理服务器30将恢复后的过滤规则全部删除。也就是说,在过滤管理服务器30中不存储过滤规则。与此相对地,在本变形例中,在过滤管理服务器30中也不存储全部过滤规则,但是,与各过滤设备同样地存储分散信息。
[0111] 具体地,在本变形例中,过滤管理服务器30将应该应用于过滤管理系统100的过滤规则作为秘密信息来使用“秘密分散法”来分散,由此,生成分散信息A至G。
[0112] 然后,过滤管理服务器30将分散信息A至F分别存储到各过滤设备中。此外,过滤管理服务器30自身存储有分散信息G。
[0113] 由此,过滤管理服务器30也能够作为分散信息的散发对象,能够使分散信息的散发的组合具有灵活性。
[0114] 使用具体例来对该方面进行说明。在将(3, 7)阈值法用作秘密分散法的情况下,设想除了外部过滤设备11之外还针对内部过滤设备23存在攻击的情况。在该情况下,在本实施例中,不能从内部过滤设备23取得分散信息,但是,基于内部过滤设备21、内部过滤设备22和过滤管理服务器30所存储的分散信息来恢复过滤规则那样的情况是可能的。
[0115] 再有,即使代替像本变形例那样做而将(2, 6)阈值法用作秘密分散法,在除了外部过滤设备11之外还针对内部过滤设备23存在攻击的情况下,基于内部过滤设备21和内部过滤设备22所存储的分散信息来恢复过滤规则那样的情况也是可能的。但是,当像这样将(2, 6)阈值法用作秘密分散法时,在对于攻击者从外部过滤设备11和内部过滤设备21取得分散信息的情况下,在攻击者侧也能够恢复过滤规则,因此,成为问题。但是,只要像本变形那样做,则能够防止这样的问题产生。
[0116] <第二变形例>
[0117] 接着,对第二变形例进行说明。在上述的实施方式中,没有对各分散信息进行加权那样的情况,总是以均等分配来分散过滤规则,由此,生成了分散信息。与此相对地,在本实施例中,对各个分散信息加权来分散过滤规则。
[0118] 在上述的实施方式的说明中,在各分散信息的末尾附上字母(alphabet)来作为标识符,由此,识别各分散信息来进行说明。与此相对地,在本变形例中,将各分散信息说明为“分散信息XY”。在此,X为字母,Y为数字。例如,如“分散信息A1”或“分散信息C2”那样表述各分散信息来进行说明。
[0119] 在此,字母X与上述的实施方式同样地为用于识别各分散信息的标识符。此外,数字Y表示分散信息的权重。
[0120] 在此所示的权重表示如C2、D2、E2和G2具备A1的二倍的信息量、F3具有A1的三倍的信息量这样那样,与数字的量相应地信息量多。
[0121] 此时,过滤管理服务器30恢复过滤规则所需要的分散信息的数量由用于恢复的分散信息的权重来决定。例如,如果使用(5, 7)阈值法来作为恢复秘密分散法,则如果为权重为1的分散信息即分散信息X1,则为了过滤规则的恢复而需要5个量(1×5≥5)的分散信息。此外,如果是权重为2的分散信息即分散信息X2,则需要3个量(2×3≥5)的分散信息。进而,如果是权重为3的分散信息即分散信息X3,则需要2个量(3×2≥5)的分散信息。此外,也能够利用不同的权重的分散信息来恢复过滤规则。
[0122] 像这样,根据分散信息具有的信息量,在秘密恢复中最低限度需要的应该聚集的信息的个数不同。
[0123] 参照图6来对该方面进行说明。再有,在图6的例子中,在过滤管理服务器30中也存储分散信息。也就是说,图6的例子为将第一变形例和第二变形例组合的情况下的例子。再有,未必需要将第二变形例与第一变形例组合。
[0124] 如图6所示,假设在各过滤设备和过滤管理服务器30中存储分散信息。而且,假设使用(5, 7)阈值法来作为秘密分散法。
[0125] 于是,在例如外部过滤设备11或外部过滤设备12受到来自外部的攻击的情况下,关于为了恢复过滤规则而需要的分散信息的组合,例如考虑2个。
[0126] 具体地,例如,作为第一模式,考虑了使用将分散信息C2、分散信息D2和分散信息G2这三个合并后的权重6个量的信息量来恢复(图6、(8-1)分散信息C2和(8-2)分散信息D2)。
[0127] 此外,另外,作为第二模式,将使用将分散信息F3和分散信息G2这二个合并后的权重5个量的信息量来恢复的情况考虑为第二模式(图6、(8-3)分散信息F3)。
[0128] 通过像本变形例那样做,从而能够提高过滤规则的配置的自由度。例如,只要过滤管理服务器30或内部过滤设备与外部过滤设备相比受到攻击的可能性低,则优选这些过滤管理服务器30或内部过滤设备存储信息量多的分散信息。
[0129] 这是因为,只要像这样做,则这些过滤管理服务器30或内部过滤设备即使为少数只要通常地工作也能够恢复分散信息。此外,这是因为,即使攻击外部过滤设备而分散信息的一部分泄漏,这样的泄漏的分散信息的信息量也少,因此,能够将与过滤规则有关的信息的泄漏的量抑制得少。
[0130] <第三变形例>
[0131] 接着,对第三变形例进行说明。在本实施例中,在某个过滤设备受到攻击的情况下,将设定于这样的某个过滤设备的过滤规则分割为多个过滤规则。然后,将所分割的多个过滤规则分别追加地设定在不同的过滤设备中。
[0132] 参照图7来对该方面进行说明。再有,在图7的例子中,设想外部过滤设备11受到攻击。此外,在图7的例子中,在过滤管理服务器30中也存储分散信息。此外,对各分散信息进行加权。也就是说,图7的例子为将第一变形例和第二变形例与第三变形例组合的情况下的例子。再有,未必需要将第三变形例与第一变形例或第二变形例组合。
[0133] 如在上述的实施方式的说明中描述那样,当外部过滤设备11受到攻击时,内部过滤设备21、内部过滤设备22和内部过滤设备23等对过滤管理服务器30发送自身过滤设备所存储的分散信息。
[0134] 然后,过滤管理服务器30基于这些分散信息来恢复过滤规则。然后,从恢复后的过滤规则提取出作为与外部过滤设备11对应的过滤规则的过滤规则A。
[0135] 然后,对内部过滤设备22或内部过滤设备23发送所提取的过滤规则A(图7、(10-1)过滤规则A和(10-2)过滤规则A)。内部过滤设备22或内部过滤设备23将这样的过滤规则A设定在自身过滤设备中。到此,为与上述的实施方式同样的工作。
[0136] 另一方面,在本变形例中,将过滤规则A分割为过滤规则Aa和过滤规则Ab,将它们向内部过滤设备21和位于这样的内部过滤设备21的内侧的内部过滤设备24发送。
[0137] 具体地,将过滤规则Aa向内部过滤设备21发送(图7、过滤规则Aa)。此外,将过滤规则Ab向内部过滤设备24发送(图7、过滤规则Ab)。
[0138] 内部过滤设备21和内部过滤设备24将所接收的过滤规则追加地设定在自身过滤设备中。此外,内部过滤设备21和内部过滤设备24追加地存储所接收的过滤规则来作为分散信息。在此,如图中所表示那样,在本例子中,分散信息A的信息量为1。然后,将分散信息A分割后的信息相当于分散信息Aa和分散信息Ab,因此,它们的信息量为0.5。因此,在图中,表述为分散信息A1、分散信息Aa0.5和分散信息Ab0.5。
[0139] 在以上说明的本实施例中,不需要在一个过滤设备中完整地追加受到了攻击的过滤设备的过滤规则,只要在相同的网络内存在过滤设备,则能够分散并进行处理分割的配置。
[0140] 因此,例如,如专利文献1所记载的技术那样,在存在想要使信息量多的过滤规则应用于任意的过滤设备而使信息量少的过滤规则应用于其他的过滤设备那样的期望的情况下,本实施例是优选的。其理由是因为,如果是本实施例,则在应用信息量多的过滤规则的过滤设备受到攻击的情况下,分割这样的信息量多的过滤规则,由此,做成信息量少的过滤规则,能够将这样的信息量少的过滤规则应用于其他的过滤设备。
[0141] 再有,在上述的各实施方式和变形例中,分散信息的数目与过滤设备的数目为1对1的关系。对其进行变形而采用1对多的关系也可。例如,将过滤规则分散为5个分散信息。然后,向外部过滤设备11和外部过滤设备12发送同样的分散信息。由此,在外部过滤设备11和外部过滤设备12中应用同样的过滤规则。然后,将剩下的4个分散信息向内部过滤设备21至内部过滤设备24发送。通过像这样做,从而即使外部过滤设备11和外部过滤设备12双方受到攻击而从双方泄漏分散信息,也能够将泄漏的分散信息的数目抑制为1个。
[0142] 此外,在上述的各实施方式和变形例中,对进行了分散信息的提供的过滤设备发送了与受到攻击的过滤设备对应的过滤规则。但是,在受到攻击的过滤设备的内侧存在进行了分散信息的提供的过滤设备以外的过滤设备的情况下,也向这样的过滤设备发送与受到攻击的过滤设备对应的过滤规则是优选的。然后,优选在这样的过滤设备中设定所发送的过滤规则。
[0143] 再有,关于上述的过滤管理系统所包含的过滤管理服务器和过滤设备的每一个,每一个能够通过硬件、软件或它们的组合来实现。此外,利用上述的过滤管理系统所包含的过滤管理服务器和过滤设备进行的过滤管理方法也能够通过硬件、软件或它们的组合来实现。在此,通过软件实现意味着通过计算机读入程序并执行来实现。
[0144] 能够使用各种类型的非暂时的计算机可读介质(non-transitory computer readable medium)来储存程序并向计算机供给。非暂时的计算机可读介质包含各种类型的有实体的记录介质(tangible storage medium)。非暂时的计算机可读介质的例子包含:磁记录介质(例如,软盘、磁带、硬盘驱动器)、光磁记录介质(例如,光磁盘)、CD-ROM(Read Only Memory,只读存储器)、CD-R、CD-R/W、半导体存储器(例如,掩模(mask)ROM、PROM(Programmable ROM,可编程ROM)、EPROM(Erasable PROM,可擦可编程ROM)、闪速ROM、RAM(random access memory,随机存取存储器))。
[0145] 上述的实施方式的一部分或全部也能如以下的附记那样记载,但是,并不限于以下。
[0146] (附记1)一种过滤系统,具备基于过滤规则进行通信数据的过滤的多个设备、以及对所述过滤规则进行管理的管理装置,所述过滤系统的特征在于,在不经由其他的所述设备而连接于外部网络的第一所述设备为规定的状态的情况下,所述管理装置基于从经由所述第一设备而连接于外部网络的多个第二所述设备接收的多个分散过滤规则,恢复在所述第一设备中设定的分散过滤规则,将该恢复后的分散过滤规则设定在所述多个第二设备中,以能在不使用全部分散过滤规则的情况下恢复所述过滤规则的方式分散所述分散过滤规则。
[0147] (附记2)根据附记1所述的过滤系统,其特征在于,所述第一设备在自身设备为所述规定的状态的情况下对多个所述第二设备进行通知,受到所述通知的多个第二设备的每一个将所述分散过滤规则向所述管理装置发送,所述管理装置基于从所述多个第二设备的每一个接收的分散过滤规则来进行所述恢复。
[0148] (附记3)根据附记2所述的过滤系统,其特征在于,所述第一设备在起因于所述通信数据的过滤的执行而自身设备为规定的状态的情况下进行所述通知。
[0149] (附记4)根据附记1至3的任一项所述的过滤系统,其特征在于,所述第一设备在所述自身设备为所述规定的状态的情况下中止所述过滤的执行,但是,继续在所述外部网络与所述第二设备间的通信数据的收发的中继。
[0150] (附记5)根据附记1至4的任一项所述的过滤系统,其特征在于,所述管理装置如果将所述分散过滤规则设定在各设备中,则从自身管理装置删除分散前的过滤规则和分散过滤规则。
[0151] (附记6)根据附记1至5的任一项所述的过滤系统,其特征在于,所述管理装置使设定在所述第一设备中的分散过滤规则与设定在所述第二设备中的分散过滤规则不同。
[0152] (附记7)根据附记1至6的任一项所述的过滤系统,其特征在于,所述第二设备在设定有与所述第一设备对应的分散过滤规则的情况下,基于在自身设备中设定的与自身设备对应的分散过滤规则和与所述第一设备对应的分散过滤规则双方的过滤规则,执行所述过滤。
[0153] (附记8)根据附记1至7的任一项所述的过滤系统,其特征在于,所述管理装置基于从所述多个第二设备的每一个接收的分散过滤规则来恢复分散前的过滤规则,对恢复后的过滤规则进行再次分散,由此,恢复与所述第一设备对应的分散过滤规则。
[0154] (附记9)一种管理装置,以能通信的方式与基于过滤规则进行通信数据的过滤的多个设备连接,并对所述过滤规则进行管理,所述管理装置的特征在于,在不经由其他的所述设备而连接于外部网络的第一所述设备为规定的状态的情况下,基于从经由所述第一设备而连接于外部网络的多个第二所述设备接收的多个分散过滤规则,恢复在所述第一设备中设定的分散过滤规则,将该恢复后的分散过滤规则设定在所述多个第二设备中,并且,以能在不使用全部分散过滤规则的情况下恢复所述过滤规则的方式分散所述分散过滤规则。
[0155] (附记10)一种过滤方法,所述过滤方法是系统进行的过滤方法,所述系统具备基于过滤规则进行通信数据的过滤的多个设备、以及对所述过滤规则进行管理的管理装置,所述过滤方法的特征在于,在不经由其他的所述设备而连接于外部网络的第一所述设备为规定的状态的情况下,所述管理装置基于从经由所述第一设备而连接于外部网络的多个第二所述设备接收的多个分散过滤规则,恢复在所述第一设备中设定的分散过滤规则,将该恢复后的分散过滤规则设定在所述多个第二设备中,以能在不使用全部分散过滤规则的情况下恢复所述过滤规则的方式分散所述分散过滤规则。
[0156] (附记11)一种管理程序,用于使计算机作为管理装置发挥作用,所述管理装置以能通信的方式与基于过滤规则进行通信数据的过滤的多个设备连接并对所述过滤规则进行管理,所述管理程序的特征在于,使所述计算机作为管理装置发挥作用,所述管理装置在不经由其他的所述设备而连接于外部网络的第一所述设备为规定的状态的情况下,基于从经由所述第一设备而连接于外部网络的多个第二所述设备接收的多个分散过滤规则,恢复在所述第一设备中设定的分散过滤规则,将该恢复后的分散过滤规则设定在所述多个第二设备中,并且,以能在不使用全部分散过滤规则的情况下恢复所述过滤规则的方式分散所述分散过滤规则。
[0157] (附记12)一种过滤管理装置,其特征在于,具备:过滤管理单元,分散为了进行通信数据的过滤而使用的过滤规则,由此,生成多个分散后过滤规则;以及发送单元,对执行所述过滤的多个设备发送所述多个分散后过滤规则,所述过滤管理单元进行所述分散,以使只要使用规定个数以上的所述分散后的过滤规则就能够恢复所述分散前的过滤规则。
[0158] (附记13)根据附记12所述的过滤管理装置,其特征在于,从所述多个设备接收所述规定个数以上以前对所述多个设备发送的所述分散后的过滤规则,使用该接收的规定个数的过滤规则来恢复所述分散前的过滤规则。
[0159] (附记14)根据附记12或13所述的过滤管理装置,其特征在于,通过再次分散所述分散前的过滤规则,从而生成与以前向所述设备之中的第一设备发送的分散后的过滤规则相同的过滤规则,将该生成的过滤规则向所述设备之中的第二设备发送。
[0160] (附记15)根据附记14所述的过滤管理装置,其特征在于,所述第一设备为在自身设备中施加规定的重量以上的负荷的设备。
[0161] (附记16)根据附记14所述的过滤管理装置,其特征在于,所述第一设备为不经由其他设备连接于外部网络的设备,所述第二设备为经由所述第一设备连接于所述外部网络的设备。
[0162] (附记17)根据附记12至16的任一项所述的过滤管理装置,其特征在于,所述发送单元如果发送了所述分散后的所述过滤规则,则从自身过滤管理装置删除所述分散前的过滤规则和所述分散后的过滤规则。
[0163] (附记18)一种过滤管理系统,包含根据附记12至17的任一项所述的过滤管理装置、以及所述设备,所述系统的特征在于,所述设备当从所述过滤管理装置接收所述分散后的过滤规则时,基于该接收的过滤规则,执行所述过滤。
[0164] (附记19)根据附记18所述的过滤管理系统,其特征在于,所述设备当检测出在自身设备中施加规定的重量以上的负荷时,对其他的设备进行通知,受到所述通知的其他的设备将自身设备所存储的所述分散后的过滤规则向所述过滤管理装置发送,所述过滤管理装置从所述其他的设备接收所述规定个数以上的所述分散后的过滤规则,使用该接收的规定个数的过滤规则来恢复所述分散前的过滤规则。
[0165] 本申请要求以在2015年7月23日申请的日本申请特愿2015-145636为基础的优先权,将其公开内容全部引用于此。
[0166] 产业上的可利用性
[0167] 本发明在不问通信设备的类别或网络的类别的情况下广泛地适合于网络中的过滤的用途。
[0168] 附图标记的说明
[0169] 11、12 外部过滤设备
[0170] 21、22、23、24 内部过滤设备
[0171] 30 过滤管理服务器
[0172] 31 过滤管理部
[0173] 32 运算部
[0174] 33 存储部
[0175] 34 通信部
[0176] 40 外部网络
[0177] 51、52、53、54 子网络
[0178] 100 过滤管理系统。