JP2004350025A - 暗号通信システムおよび暗号装置 - Google Patents
暗号通信システムおよび暗号装置 Download PDFInfo
- Publication number
- JP2004350025A JP2004350025A JP2003144676A JP2003144676A JP2004350025A JP 2004350025 A JP2004350025 A JP 2004350025A JP 2003144676 A JP2003144676 A JP 2003144676A JP 2003144676 A JP2003144676 A JP 2003144676A JP 2004350025 A JP2004350025 A JP 2004350025A
- Authority
- JP
- Japan
- Prior art keywords
- port
- encryption device
- state
- plaintext
- ciphertext
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Abandoned
Links
Images
Abstract
【課題】冗長化構成を有する複数の暗号装置がスイッチングハブに挟まれて構成される暗号通信システムにおいて、マスタ状態の暗号装置の切り替えが生じた際に、それまでマスタ状態にあった暗号装置に接続されるスイッチングハブの通信経路の情報を、切り替え後の暗号装置に接続されるスイッチングハブに引き継ぐことが可能な暗号通信システムを得ること。
【解決手段】バックアップ状態にある暗号装置11が、マスタ状態に切り替ったときに、平文ポート111側に接続される機器のアドレス情報を格納する平文ポート情報格納部112と、暗号文ポート113側に接続される機器のアドレス情報を格納する暗号文ポート情報格納部114に格納されるアドレス情報に基づいて、自暗号装置11に接続されるスイッチングハブのポートに、このポートの先に接続される機器を認識させるための情報を送信するパケット送信制御部117を備える。
【選択図】 図1
【解決手段】バックアップ状態にある暗号装置11が、マスタ状態に切り替ったときに、平文ポート111側に接続される機器のアドレス情報を格納する平文ポート情報格納部112と、暗号文ポート113側に接続される機器のアドレス情報を格納する暗号文ポート情報格納部114に格納されるアドレス情報に基づいて、自暗号装置11に接続されるスイッチングハブのポートに、このポートの先に接続される機器を認識させるための情報を送信するパケット送信制御部117を備える。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
この発明は、平文ネットワークと暗号文ネットワークとの間でデータを中継する暗号装置が冗長構成を有するネットワークにおいて、暗号装置の切り替え時に、暗号装置のポートに接続されるスイッチングハブの経路の切り替えも行うことが可能な暗号通信システムおよび暗号装置に関するものである。
【0002】
【従来の技術】
平文ネットワークと暗号文ネットワークとの間でデータを中継する暗号装置として、他の暗号装置とこの暗号装置に接続される平文ネットワークのアドレスとを予め対応付けした対応付け情報を保持し、平文ネットワークから受信した平文データを暗号化し、暗号化した暗号文データを対応付け情報を参照して、宛先の端末が収容される平文ネットワークに接続される暗号装置まで送信することが可能な暗号装置が提案されている(たとえば、特許文献1参照)。
【0003】
しかし、この特許文献1に記載の暗号装置では、暗号装置に冗長性を持たせた場合の具体的構成、すなわち、平文ネットワークと暗号文ネットワークとの間に接続される暗号装置が故障した場合でも、この故障した暗号装置に代わって動作する予備の暗号装置を有する場合の構成については記載されていない。
【0004】
これに対して、セキュリティゲートウェイなどの暗号装置が何らかの原因で故障しても、IPsecなどの暗号化通信を行うことができるように暗号装置を冗長化(多重化)した暗号化通信システムが提案されている(たとえば、特許文献2参照)。この特許文献2では、現在稼動中の暗号装置が利用不可能となり、予備の暗号装置に切替える場合に、IP(Internet Protocol)アドレスの変化を伴わないVRRP(Virtual Router Redundancy Protocol)に基づいた暗号装置の多重化方式において、各暗号装置同士を専用線で接続して共通鍵に関する情報を現在稼動中の暗号装置から冗長化のために備えられる予備の暗号装置に送信するようにしている。これによって、暗号装置の切り替えが行なわれても、切り替えが行なわれた新たな暗号装置と通信相手先の暗号装置との間で暗号化通信を行うための共通鍵に関する情報の交換を再度実施する必要がなく、スムーズな切り替えが達成される。なお、VRRPに基づいた冗長化構成を有する複数の暗号装置において、暗号化通信を行うのは1台の暗号装置のみであり、この状態をマスタ状態にあるといい、その他の暗号化装置はバックアップ状態にあるという。
【0005】
【特許文献1】
特許第3259724号公報(第1頁、第1図)
【特許文献2】
特開2002−247113号公報(第8頁、第1図)
【0006】
【発明が解決しようとする課題】
しかしながら、特許文献2に記載の暗号化通信システムにおけるマスタ状態の暗号装置とバックアップ状態の暗号装置との間では、共通鍵の情報のみをやり取りしており、経路に関する情報については何ら記載されていない。そのため、暗号装置間で切り替えが行なわれた場合には、新たにマスタ状態になった暗号装置は、故障する前まで稼動していた暗号装置との間で行なわれていた経路の変更を行なわなければならないという問題点があった。
【0007】
この発明は、上記に鑑みてなされたもので、冗長化構成を有する複数の暗号装置がスイッチングハブに挟まれて構成される暗号通信システムにおいて、マスタ状態の暗号装置の切り替えが生じた際に、それまでマスタ状態にあった暗号装置に接続されるスイッチングハブの通信経路の情報を、切り替え後の暗号装置に接続されるスイッチングハブに引き継ぐことが可能な暗号通信システムおよび暗号装置を得ることを目的とする。
【0008】
【課題を解決するための手段】
上記目的を達成するため、この発明にかかる暗号通信システムは、平文ネットワークと暗号文ネットワークとの間で通信データを中継する1台のマスタ状態の暗号装置と、前記マスタ状態の暗号装置が故障したときのためのバックアップ状態の暗号装置が、同じサブネットマスクを有するIPサブネットワーク内の前記平文ネットワーク側と前記暗号文ネットワーク側のそれぞれに設けられる2台のスイッチングハブの間に備えられる暗号通信システムであって、前記暗号装置は、前記平文ネットワーク側に設けられる平文ポートと、前記暗号文ネットワーク側に設けられる暗号文ポートと、前記平文ポートと前記暗号文ポートの先に接続される機器のアドレス情報を格納するポート情報格納手段と、マスタ状態にある場合に、前記平文ポートまたは前記暗号文ポートから受信する通信データのヘッダ情報から前記アドレス情報を検出し、前記ポート情報格納手段に格納する接続状態検出手段と、マスタ状態にある場合に、前記ポート情報格納手段に格納される前記アドレス情報を、所定の周期でバックアップ状態の他の暗号装置に送信し、バックアップ状態からマスタ状態に切り替った場合に、前記ポート情報格納手段に格納される前記アドレス情報に基づいて、自暗号装置に接続される前記スイッチングハブのポートに、このポートの先に接続される機器を認識させるための情報を送信するパケット送信制御手段と、バックアップ状態にある場合に、マスタ状態の他の暗号装置から送信される前記アドレス情報を、前記ポート情報格納手段に格納する受信情報処理手段と、を備えることを特徴とする。
【0009】
【発明の実施の形態】
以下に添付図面を参照して、この発明にかかる暗号通信システムおよび暗号装置の好適な実施の形態を詳細に説明する。
【0010】
実施の形態1.
図1は、この発明にかかる暗号装置の実施の形態1の概略構成を示すブロック図であり、図2は、この暗号装置が適用される暗号通信システムのネットワーク構成の一例を示す図である。なお、この明細書では、暗号装置として、ネットワーク上に既存の各機器のネットワークパラメータを変更せずに設置可能なリピータを基本アーキテクチャとするリピータ型暗号装置を用いる場合を説明する。
【0011】
図2に示されるように、IPアドレスについて同一のサブネットマスクを有する機器からそれぞれ構成される第1と第2のIPサブネットワーク10,20が暗号文側ゲートウェイ15,22(図中では、それぞれCGW1,CGW2と表記)を介してインターネット30に接続されている。第1のIPサブネットワーク10には、平文側ゲートウェイ16(図中では、PGWと表記)を介して別のサブネットマスクを有する端末Aが接続されている。
【0012】
第1のIPサブネットワーク10は、VRRPに基づいて動作し、後述する構成を有する第1と第2の暗号装置11,12(図中では、RE11,RE12と表記)が、2つのスイッチングハブ13,14(図中では、HUB1,HUB2と表記)に挟まれた構成を有している。以下では、2つのスイッチングハブのうち、平文側ゲートウェイ16に配置されるスイッチングハブを第1のスイッチングハブ13といい、暗号文側ゲートウェイ15に配置されるスイッチングハブを第2のスイッチングハブ14という。また、第1のIPサブネットワーク10には、端末Bが接続されている。第2のIPサブネットワーク20は、1つの暗号装置21(図中では、RE2と表記)を備え、暗号装置21を挟んで、暗号文側ゲートウェイ22とは反対側に端末Cが接続されている。インターネット30には、端末Dが接続されている。
【0013】
このようなネットワーク構成において、第1のIPサブネットワーク10の暗号装置11(12)と第2のIPサブネットワーク20の暗号装置21との間で、暗号化通信が行われる暗号文ネットワークが形成され、第1および第2のIPサブネットワーク10,20の暗号装置11,12,21をはさんで暗号文ネットワークの反対側には平文ネットワークが形成される。
【0014】
このような第1のIPサブネットワーク10で使用される暗号装置11,12は、図1に示されるように、平文ネットワーク側に位置する論理的な平文ポート111と、暗号文ネットワーク側に位置する論理的な暗号文ポート113と、これらのポート111,113から入力される通信データをその要求にしたがって転送処理を行う転送処理部115と、上記のポートから受信した通信データからそれぞれのポート111,113の先に接続されている機器を検出する接続状態検出部116と、VRRPに基づいたパケットなどを送信するパケット送信制御部117と、マスタ状態にある他の暗号装置から受信したそれぞれのポート111,113の先に接続されている機器のアドレス情報を含むポート情報の格納処理を行う受信情報処理部118と、マスタ状態にある他の暗号装置の故障を検知する切替検知部119と、これらの構成要素を含む暗号装置全体を制御する制御部120と、を備えて構成される。
【0015】
平文ポート111は、平文ポート111側に接続される接続状態検出部116によって検出された機器のアドレス情報を含むポート情報を格納する平文ポート情報格納部112を備え、暗号文ポート113は、暗号文ポート113側に接続される接続状態検出部116によって検出された機器のアドレス情報を含むポート情報を格納する暗号文ポート情報格納部114を備える。図3は、平文ポート情報格納部と暗号文ポート情報格納部に格納されるポート情報の一例を示す図である。この図3では、第2層としてイーサネット(登録商標)を使用した場合を例示しており、それぞれのポート情報格納部112,114は、それぞれのポートの先に接続される機器の接続状態に関するポート情報を格納するために、その機器のMAC(Media Access Control)アドレスとIPアドレスの組合せをポート情報として格納する。ただし、その機器が暗号装置11(12)と同一のサブネットマスクを有する第1のIPサブネットワーク10内にない場合には、その機器のMACアドレスとして、第1のIPサブネットワーク10と他のネットワークとの接続点に位置する暗号文側ゲートウェイ15または平文側ゲートウェイ16のMACアドレスが格納される。なお、これらの平文ポート情報格納部112と暗号文ポート情報格納部114は、それぞれ初期状態では何も入力されていない状態にある。
【0016】
転送処理部115は、たとえば平文ポート111側から入力される通信データについて、そのまま中継処理、廃棄処理、または暗号化処理のいずれかをその通信データに格納されている要求に応じて実行し、暗号文ポート113側から入力される通信データについて、そのまま中継処理、廃棄処理、または復号化処理のいずれかをその通信データに格納されている要求に応じて実行する。なお、この転送処理は、たとえば上記特許文献1などに記載されている公知の技術を使用することができる。
【0017】
接続状態検出部116は、平文ポート111と暗号文ポート113を介してやり取りされる通信データを使用して、各ポートの先に接続されている機器の状態を検出し、検出した情報を平文ポート情報格納部112または暗号文ポート情報格納部114に格納する機能を有する。たとえば、第2層としてイーサネット(登録商標)を使用する場合には、イーサネット(登録商標)フレームの宛先アドレスには、IPサブネットワークの境界に位置する機器のMACアドレスが格納されており、送信元アドレスにはそのIPサブネットワーク内でそのイーサネット(登録商標)フレームを送信した機器のMACアドレスが格納されているので、イーサネット(登録商標)フレームの宛先MACアドレスおよび送信元MACアドレスと、第3層の宛先IPアドレスと送信元IPアドレスとを抽出して、それぞれのポート111,113の先に接続されている機器のアドレス情報を得ることができる。これによって、暗号装置11(12)の各ポート111,113の先に接続されている機器のMACアドレスとIPアドレスの組合せからなるポート情報が検出される。
【0018】
受信情報処理部118は、自暗号装置11(12)がバックアップ状態にある場合に、マスタ状態の暗号装置12(11)から受信した後述するMACアドレス通知を、平文ポート情報格納部112と暗号文ポート情報格納部114に格納する機能を有する。これによって、マスタ状態にある暗号装置12(11)と同じポート情報が、バックアップ状態にある暗号装置11(12)に格納される。
【0019】
切替検知部119は、バックアップ状態にある自暗号装置11(12)がADVERTISEMENTパケットを所定時間経過しても受信できない場合に、マスタ状態にある他の暗号装置12(11)が故障であると検知し、自暗号装置11(12)をバックアップ状態からマスタ状態に切り替える機能を有する。これによって、バックアップ状態からマスタ状態への切り替え処理が開始される。
【0020】
パケット送信制御部117は、自暗号装置11(12)がマスタ状態にある場合には、予め決められた時間に定期的にADVERTISEMENTパケットを送信する機能を有する。このADVERTISEMENTパケットの送信によって、マスタ状態にある暗号装置11(12)が正常であることを他のバックアップ状態にある他の暗号装置12(11)に対して通知する。
【0021】
また、パケット送信制御部117は、自暗号装置11(12)がマスタ状態にある場合には、平文ポート111と暗号文ポート113に格納されるポート情報を含むMACアドレス通知を、同じIPサブネットワーク内のバックアップ状態にある他の暗号装置12(11)に対して送信する機能も有する。このMACアドレス通知は、ブロードキャスト通知で行われる。MACアドレス通知は、前回MACアドレス通知を送信してからそれぞれのポート情報格納部112,114に新たに格納されたIPアドレスとMACアドレスの組合せであるポート情報であることが望ましい。このMACアドレス通知によって、バックアップ状態にある暗号装置12(11)の平文ポート情報格納部112と暗号文ポート情報格納部114に、マスタ状態の暗号装置11(12)の有するポート情報と同じポート情報が格納され、マスタ状態にある暗号装置11(12)とバックアップ状態にある暗号装置12(11)との間でポート情報の同期をとることができる。
【0022】
さらに、パケット送信制御部117は、バックアップ状態からマスタ状態に切り替ったときに、自暗号装置11(12)に接続されるスイッチングハブ13,14のポートに、そのスイッチングハブ13,14の先に接続される機器のMACアドレスを認識させるための通信データ(パケット)を送信する機能も有する。
【0023】
たとえば、平文ポート111に接続されるスイッチングハブ13のポートに、自暗号装置11(12)の暗号文ポート113側に接続される機器のMACアドレスが格納されるように、暗号文ポート情報格納部114に格納されるMACアドレスを送信元MACアドレスとするpingパケット(ICMP(Internet Control Message Protocol) Echoリクエストパケット)やARP(Address Resolution Protocol)リクエストパケットを送信し、暗号文ポート113に接続されるスイッチングハブ14のポートに、自暗号装置11(12)の平文ポート111側に接続される機器のMACアドレスが格納されるように、平文ポート情報格納部112に格納されるMACアドレスを送信元MACアドレスとするpingパケットやARPリクエストパケットを送信する。これによって、暗号装置11(12)の切り替え時に、暗号装置11(12)の各ポート111,113に接続されるスイッチングハブ13,14のアドレス対応情報も変更される。
【0024】
このような構成を有する暗号装置が図2の第1のIPサブネットワーク10内のスイッチングハブ13,14の間に複数設けられた暗号通信システムにおける暗号装置の動作を、通常時と暗号装置の切り替え(遷移)時のそれぞれについて説明する。なお、第1のIPサブネットワーク10において、第1の暗号装置11がマスタ状態にあり、第2の暗号装置12がバックアップ状態にあるものとする。
【0025】
図4は、通常時におけるマスタ状態の暗号装置とバックアップ状態の暗号装置の動作を示すフローチャートである。マスタ状態の暗号装置11が起動されると、パケット送信制御部117は、予め設定された所定時間を経過したか否かを確認する(ステップS101)。予め決められた時間が経過していない場合(ステップS101でNoの場合)には、その時間が経過するまで待ち状態となる。予め決められた時間が経過すると(ステップS101でYesの場合)、パケット送信制御部117は、ADVERTISEMENTパケットを接続されるバックアップ状態の暗号装置12にブロードキャストで送信する(ステップS102)。
【0026】
その後、平文ポート111または暗号文ポート113から入力した通信データの中継があるか否かが判定される(ステップS103)。通信データの中継がある場合(ステップS103でYesの場合)には、転送処理部115によってその通信データに格納される要求にしたがって、たとえば平文パケットを暗号文パケットに暗号化、カプセル化したり、平文パケットをそのまま平文通信したりするなどの転送、中継処理が実行される(ステップS104)。また、同時に接続状態検出部116によって、イーサネット(登録商標)フレームのヘッダ部とIPパケットのヘッダ部から、自暗号装置11の入出力されるポート111,113に接続される機器のIPアドレスとMACアドレスの組合せであるポート情報を取得し、平文ポート情報格納部112と暗号文ポート情報格納部114に対応するポート情報を格納する(ステップS105)。
【0027】
その後、または、ステップS103で通信データの中継がない場合(ステップS103でNoの場合)には、パケット送信制御部117によって、再び所定時間が経過したか否かが判定される(ステップS106)。所定時間が経過していない場合(ステップS106でNoの場合)には、再びステップS103に戻り、上述した処理が繰り返される。また、所定時間が経過した場合(ステップS106でYesの場合)には、パケット送信制御部117は、前回MACアドレス通知を送信したときに比べて、平文ポート情報格納部112の平文ポート情報と、暗号文ポート情報格納部114の暗号文ポート情報に変更があるか否かを判断する(ステップS107)。これらのポート情報に変更がある場合(ステップS107でYesの場合)には、ADVERTISEMENTパケットと上記変更があった分のポート情報をMACアドレス通知として、バックアップ状態にある暗号装置12に対してブロードキャスト通知する(ステップS108)。
【0028】
一方、上記ポート情報に変更がない場合(ステップS107でNoの場合)には、パケット送信制御部117は、バックアップ状態にある暗号装置に対してADVERTISEMENTパケットをブロードキャスト通知する(ステップS109)。
【0029】
その後、またはステップS108の後、処理が終了するか否かを判断し(ステップS110)、終了しない場合(ステップS110でNoの場合)には再びステップS103に戻って上述した処理が繰り返され、それ以外の場合(ステップS110でYesの場合)には、処理が終了する。
【0030】
なお、ステップS108において、パケット送信制御部117は、MACアドレス通知を、ADVERTISEMENTパケットの後半部分の付加情報として送信してもよいし、ADVERTISEMENTパケットとは異なる単独のパケットとして送信してもよい。
【0031】
一方、バックアップ状態の暗号装置12は、起動されてから所定時間内にマスタ状態の暗号装置11からADVERTISEMENTパケットを受信したか否かを判定する(ステップS121)。所定時間内にADVERTISEMENTパケットを受信した場合(ステップS121でYesの場合)には、異常なしと判断され(ステップS122)、そのまま待ち状態となる。一方、所定時間内にADVERTISEMENTパケットを受信しなかった場合(ステップS121でNoの場合)には、切替検知部119によってマスタ状態の暗号装置11の異常が検知され(ステップS123)、後述する図5の切替処理が行われる。
【0032】
ステップS122の後、再び所定時間内にマスタ状態の暗号装置11からADVERTISEMENTパケットを受信したか否かを判定する(ステップS124)。所定時間内にADVERTISEMENTパケットを受信した場合(ステップS124でYesの場合)には、異常なしと判断される(ステップS125)。一方、所定時間内にADVERTISEMENTパケットを受信しなかった場合(ステップS124でNoの場合)には、切替検知部119によってマスタ状態の暗号装置11の異常が検知され(ステップS129)、後述する図5の切り替え処理が行われる。
【0033】
ステップS125の後、MACアドレス通知を受信したか否かが判断される(ステップS126)。MACアドレス通知を受信した場合(ステップS126でYesの場合)には、受信情報処理部118は、MACアドレス通知の内容を平文ポート情報格納部112および/または暗号文ポート情報格納部114に格納する(ステップS127)。
【0034】
その後、またはステップS126でMACアドレス通知を受信していない場合(ステップS126でNoの場合)には、処理が終了するか否かを判断し(ステップS128)、終了しない場合(ステップS128でNoの場合)には再びステップS124に戻って上述した処理が繰り返され、それ以外の場合(ステップS128でYesの場合)には、処理が終了する。
【0035】
図5は、マスタ状態に遷移した暗号装置の動作を示すフローチャートである。バックアップ状態にある暗号装置12の切替検知部119は、マスタ状態の暗号装置11の異常を検知すると(ステップS201)、バックアップ状態からマスタ状態に切り替える(ステップS202)。その後、パケット送信制御部117は、ADVERTISEMENTパケットをブロードキャスト通知し(ステップS203)、さらに、自暗号装置12に接続される第1と第2のスイッチングハブ13,14のポートに、そのポートに接続される機器のMACアドレスを認識できる情報を送信する(ステップS204)。この情報として、たとえば、送信するポート111,113とは逆側のポート情報格納部114,112に格納されるMACアドレスを送信元MACアドレスに設定したpingパケットやARPリクエストパケットなどを送信することができる。なお、このとき送信されるpingパケットやARPリクエストパケットなどは、送信するポート111,113とは逆側のポート情報格納部114,112に格納されているMACアドレスの種類の数だけ送信する必要がある。
【0036】
そして、パケット送信制御部117は、所定時間が経過したか否かを判定し(ステップS205)、所定時間が経過した場合(ステップS205でYesの場合)には、ADVERTISEMENTパケットを他のバックアップ状態の暗号装置に対してブロードキャストで送信する(ステップS206)。その後、またはステップS205で所定時間が経過していない場合(ステップS205でNoの場合)には、処理が終了するか否かを判断し(ステップS207)、終了しない場合(ステップS207でNoの場合)には再びステップS205に戻って上述した処理が繰り返され、それ以外の場合(ステップS207でYesの場合)には、処理が終了する。
【0037】
以下に、図2に示される暗号通信システムにおける暗号装置11,12の切り替え処理の具体例を説明する。ここでは、まず、端末Aと端末Cとの間で暗号化通信が行われ、つぎに、端末Aと端末Dとの間で平文通信が行われ、つぎに、端末Bと端末Dとの間で平文通信が行われ、そして、端末Bと端末Cとの間で暗号化通信が行われる場合を例に挙げて説明する。図6〜図9は、これらの端末間で行われるイーサネット(登録商標)フレーム(通信データ)の構成の概要を示す図であり、図6は、端末Aと端末Cとの間の通信データの構成の概要を示し、図7は、端末Aと端末Dとの間の通信データの構成の概要を示し、図8は、端末Bと端末Dとの間の通信データの構成の概要を示し、図9は、端末Bと端末Cとの間の通信データの構成の概要を示している。
【0038】
また、図10〜図16は、上記端末間の通信による第1のIPサブネットワーク10の暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。これらの図に示されるように、第1と第2のスイッチングハブ13,14のポートaは第1の暗号装置11と接続されており、ポートbは第2の暗号装置12と接続されており、ポートcはそれぞれ平文ネットワーク、暗号文ネットワークに接続されている。また、第1と第2のスイッチングハブ13,14は、これらのポートa〜cと、これらのポートa〜cの先に接続されている機器のMACアドレスとを対応付けるアドレス対応情報を格納するアドレス対応表を内部に有している。これらの図面では、アドレス対応表のうちポートaに関するアドレス対応情報をポートaの枠内に記載し、ポートbに関するアドレス対応情報をポートbの枠内に記載し、ポートcに関するアドレス対応情報をポートcの枠内に記載している。
【0039】
なお、以下の説明において、第1のスイッチングハブ13のMACアドレスとIPアドレスは「HUB1」とし、第2のスイッチングハブ14のMACアドレスとIPアドレスは「HUB2」とし、暗号文側ゲートウェイ15のMACアドレスとIPアドレスは「CGW1」とし、平文側ゲートウェイ16のMACアドレスとIPアドレスは「PGW」とし、端末AのMACアドレスとIPアドレスは「A」とし、端末BのMACアドレスとIPアドレスは「B」とし、端末CのMACアドレスとIPアドレスは「C」とし、端末DのMACアドレスとIPアドレスは「D」とし、そして、第2のIPサブネットワーク20の暗号装置21のIPアドレスは「RE2」とする。また、第1と第2の暗号装置11,12は、いずれか1つの暗号装置しか動作しないので、これらの暗号装置11,12の全体に対して1つの仮想MACアドレス「VREMAC」と仮想IPアドレス「VREIP」が付与されるものとする。
【0040】
図10は、通信が開始されていない初期状態を示している。2つの暗号装置11,12の平文ポート情報格納部112と暗号文ポート情報格納部114にはポート情報が何も格納されておらず、2つのスイッチングハブ13,14の各ポートa〜cにもアドレス対応情報が何も格納されていない。なお、以下の図中では、暗号装置11,12のマスタ状態を「MR状態」と表記し、バックアップ状態を「BR状態」と表記している。
【0041】
この状態で、まず、端末Aと端末Cとの間で図6に示される形式の暗号化通信が行われるとする。図6の(a)は端末Aから端末Cへの平文パケットを含むフレームの構成を示しており、(b)は(a)の平文パケットが暗号化された暗号文パケットを含むフレームの構成を示しており、(c)は端末Cから端末Aへの平文パケットを含むフレームの構成を示しており、そして、(d)は端末Cから端末Aへの暗号文パケットを含むフレームの構成を示している。
【0042】
第1のスイッチングハブ13は、端末Aと端末Cとの間の通信において、端末Aからの図6(a)に示される平文パケットを受信し、端末Cからの図6(c)に示される平文パケットを端末Aに送信する。このとき、第1のスイッチングハブ13は、図6(a)の送信元MACアドレスまたは図6(c)の宛先MACアドレスから、ポートcには平文側ゲートウェイ16が接続されていること検出する。そして、ポートcと平文側ゲートウェイ16のMACアドレス「PGW」とを対応付けて記憶する。また、図6(a)の宛先MACアドレスまたは図6(c)の送信元MACアドレスから、ポートaには暗号文側ゲートウェイ15が接続されていることを検出する。そして、ポートaと暗号文側ゲートウェイ15のMACアドレス「CGW1」とを対応付けて記憶する。
【0043】
第1の暗号装置11の転送処理部115は、端末Aから端末Cへの通信において、図6(a)に示すパケット形式の平文パケットを図6(b)に示すパケット形式の暗号文パケットに暗号化する。また、接続状態検出部116は、平文ポート111から受信した図6(a)に示される平文パケットの送信元IPアドレスと送信元MACアドレスから、平文ポート111側に位置する端末AのIPアドレス「A」と平文側ゲートウェイ16のMACアドレス「PGW」の組からなるポート情報を平文ポート情報格納部112に記憶する。同様に図6(a)に示される平文パケットの宛先IPアドレスと宛先MACアドレスから、暗号文ポート113側に位置する端末CのIPアドレス「C」と暗号文側ゲートウェイ15のMACアドレス「CGW1」の組からなるポート情報を暗号文ポート情報格納部114に記憶する。
【0044】
また、第1の暗号装置の転送処理部115は、端末Cから端末Aへの通信において、図6(d)に示すパケット形式の暗号文パケットを暗号文ポート113から受信し、図6(c)に示すパケット形式の平文パケットに復号化する。さらに、接続状態検出部116は、図6(c)に示される復号後の平文パケットの宛先IPアドレスと宛先MACアドレスから、平文ポート111側に位置する端末AのIPアドレス「A」と平文側ゲートウェイ16のMACアドレス「PGW」の組からなるポート情報を平文ポート情報格納部112に記憶する。同様に図6(c)に示される平文パケットの送信元IPアドレスと送信元MACアドレスから、暗号文ポート113側に位置する端末CのIPアドレス「C」と暗号文側ゲートウェイ15のMACアドレス「CGW1」の組からなるポート情報を暗号文ポート情報格納部114に記憶する。
【0045】
以上の暗号装置の接続状態検出部116による接続状態の検出において、端末Aと端末Cとの間の通信はどちら側から先に通信を開始するか分からないが、上記のように処理することによって、暗号化する時も復号化する時も同じIPアドレスとMACアドレスの組を平文ポート情報格納部112と暗号文ポート情報格納部114に記憶することが可能となる。
【0046】
第2のスイッチングハブ14は、端末Aと端末Cとの間の通信において、端末A側から図6(b)に示される暗号文パケットを受信し、端末Cからの図6(d)に示される暗号文パケットを端末Aに送信する。このとき、第2のスイッチングハブ14は、図6(b)の宛先MACアドレスまたは図6(d)の送信元MACアドレスから、ポートcには暗号文側ゲートウェイ15が接続されていることを検出する。そして、ポートcと暗号文側ゲートウェイ15のMACアドレス「CGW1」とを対応付けて記憶する。また、図6(b)の送信元MACアドレスまたは図6(d)の宛先MACアドレスから、ポートaには第1の暗号装置11が接続されていることを検出する。そして、ポートaと第1の暗号装置11の仮想MACアドレス「VREMAC」とを対応付けて記憶する。
【0047】
つぎに、端末Aと端末Dとの間で図7に示される通信データで平文通信が行われるとする。図7の(a)は端末Aから端末Dへの通信データの構成を示しており、(b)は端末Dから端末Aへの通信データの構成を示している。
【0048】
第1のスイッチングハブは、端末Aと端末Dとの間の通信において、端末Aからの図7(a)に示される通信データを受信し、端末Dからの図7(b)に示される通信データを端末Aに送信する。このとき、第1のスイッチングハブ13は、図7(a)の送信元MACアドレスまたは図7(b)の宛先MACアドレスから、ポートcには平文側ゲートウェイ16が接続されていることを検出する。そして、ポートcと平文側ゲートウェイ16のMACアドレス「PGW」とを対応付けて記憶する。また、図7(a)の宛先MACアドレスまたは図7(b)の送信元MACアドレスから、ポートaには暗号文側ゲートウェイ15が接続されていることを検出する。そして、ポートaと暗号文側ゲートウェイ15のMACアドレス「CGW1」とを対応付けて記憶する。しかし、このポートcと平文側ゲートウェイ16のMACアドレスとの対応付けと、ポートaと暗号文側ゲートウェイ15のMACアドレスとの対応付けは、既に記憶されているので、改めて上書きしなくてもよい。
【0049】
第1の暗号装置11の転送処理部115は、端末Aから端末Dへの通信において、図7(a)の形式の通信パケットを平文通信する。また、接続状態検出部116は、平文ポート111から受信した図7(a)に示される通信データの宛先IPアドレスと宛先MACアドレスから、暗号文ポート113側に位置する端末DのIPアドレス「D」と暗号文側ゲートウェイ15のMACアドレス「CGW1」の組を暗号文ポート情報格納部114に格納する。
【0050】
また、第1の暗号装置11の転送処理部115は、端末Dから端末Aへの通信において、図7(b)の形式の通信パケットを平文通信する。また、接続状態検出部116は、平文ポート111へ送信する図7(b)に示される通信データの送信元IPアドレスと送信元MACアドレスから、暗号文ポート113側に位置する端末DのIPアドレス「D」と暗号文側ゲートウェイ15のMACアドレス「CGW1」の組を暗号文ポート情報格納部114に記憶する。
【0051】
なお、以上の第1の暗号装置11の接続状態検出部116による接続状態の検出において、端末Aと端末Dとの間の通信はどちら側から先に通信を開始するか分からないが、上記のように処理することによって、どちらから通信が開始されても同じIPアドレスとMACアドレスの組を記憶することが可能となる。
【0052】
第2のスイッチングハブ14は、端末Aと端末Dとの間の通信において、端末A側から図7(a)の通信データを受信し、端末Dからの図7(b)の通信データを端末Aに送信する。このとき、第2のスイッチングハブ14は、図7(a)の宛先MACアドレスまたは図7(b)の送信元MACアドレスから、ポートcには暗号文側ゲートウェイ15が接続されていることを検出する。そして、ポートcと暗号文側ゲートウェイ15のMACアドレス「CGW1」とを対応付けて記憶する。また、図7(a)の送信元MACアドレスまたは図7(b)の宛先MACアドレスから、ポートaには平文側ゲートウェイ16が接続されていることを検出する。そして、ポートaと平文側ゲートウェイ16のMACアドレス「PGW」とを対応付けて記憶する。しかし、このポートcと平文側ゲートウェイ16のMACアドレスとの対応付けは、既に記憶されているので、改めて上書きしなくてもよい。
【0053】
以上の処理によって得られる暗号装置とスイッチングハブの状態を示したものが図11である。この図11に示されるように、第1および第2のスイッチングハブ13,14のポートa,cには、これらのポートの先に接続される機器のMACアドレス(アドレス対応情報)が格納され、第1の暗号装置11の平文ポート情報格納部112と暗号文ポート情報格納部114には、平文ポート111と暗号文ポート113の先に接続される機器のポート情報が格納されている。
【0054】
第1の暗号装置11は、マスタ状態にあるので、所定の時間間隔で定期的にADVERTISEMENTパケットを送信しているが、あわせてMACアドレス通知も送信する。前回のMACアドレス通知を送信してから新たに記憶した平文ポート情報格納部112と暗号文ポート情報格納部114のIPアドレスとMACアドレスの組を含むポート情報を、バックアップ状態である他の暗号装置(図2の場合には、第2の暗号装置12)へ通知する。ここでは、図10の状態と図11の状態とを比較して、新たに格納されたポート情報がMACアドレス通知として送信される。図17は、MACアドレス通知の内容の一例を示す図であり、図17(a)のMACアドレス通知#1が、このときバックアップ状態の第2の暗号装置12に送信されるものである。
【0055】
暗号装置11が所定の時間間隔で定期的に送信しているADVERTISEMENTパケットの宛先MACアドレスはブロードキャストアドレスであり、送信元MACアドレスは暗号装置11の仮想MACアドレスであるVREMACである。第1のスイッチングハブ13は、ADVERTISEMENTパケットの送信元MACアドレスから、ポートaにはMACアドレスがVREMACである暗号装置11が接続されていることを検出する。そして、ポートaと暗号装置11のMACアドレス「VREMAC」とを対応付けて記憶する。
【0056】
第2の暗号装置12の受信情報処理部118は、第1の暗号装置11からのMACアドレス通知#1を受信すると、MACアドレス通知#1に格納されているポート情報を平文ポート情報格納部112と暗号文ポート情報格納部114に格納する。これによって、マスタ状態の第1の暗号装置11の保持するポート情報と、バックアップ状態の第2の暗号装置12の保持するポート情報との間で同期を取ることができる。以上の処理によって得られる暗号装置11,12とスイッチングハブ13,14の状態を示したものが図12である。この図12に示されるように、第2の暗号装置12の平文ポート情報格納部112と暗号文ポート情報格納部114に格納されているポート情報は、第1の暗号装置11の平文ポート情報格納部112と暗号文ポート情報格納部114に格納されているポート情報と一致したものとなる。
【0057】
この後に、端末Bと端末Dとの間で図8に示される形式の平文通信が行われるとする。図8の(a)は端末Bから端末Dへの通信データの構成を示しており、(b)は端末Dから端末Bへの通信データの構成を示している。
【0058】
第1のスイッチングハブ13は、端末Bと端末Dとの間の通信において、端末Bからの図8(a)に示される通信データを受信し、端末Dからの図8(b)に示される通信データを端末Aへ送信する。このとき、第1のスイッチングハブ13は、図8(a)の送信元MACアドレスまたは図8(b)の宛先MACアドレスから、ポートcには端末Bが接続されていることを検出する。そして、ポートcと端末BのMACアドレス「B」とを対応付けて記憶する。また、図8(a)の宛先MACアドレスまたは図8(b)の送信元MACアドレスから、ポートaには暗号文側ゲートウェイ15が接続されていることを検出する。そして、ポートaと暗号文側ゲートウェイ15のMACアドレス「CGW1」とを対応付けて記憶する。しかし、ポートaと暗号文側ゲートウェイ15のMACアドレス「CGW1」との対応付けは、既に記憶されているので、改めて記憶しなくてもよい。
【0059】
第1の暗号装置11の転送処理部115は、端末Bから端末Dへの通信において、図8(a)の形式の通信パケットを平文通信する。また、接続状態検出部116は、平文ポート111から受信した図8(a)に示される通信データの送信元IPアドレスと送信元MACアドレスから、平文ポート111側に位置する端末BのIPアドレス「B」と端末BのMACアドレス「B」の組からなるポート情報を平文ポート情報格納部112に格納する。
【0060】
また、第1の暗号装置の転送処理部115は、端末Dから端末Bへの通信において、図8(b)の形式の通信パケットを平文通信する。また、接続状態検出部116は、平文ポート111へ送信する図8(b)に示される通信データの宛先IPアドレスと宛先MACアドレスから、平文ポート111側に位置する端末BのIPアドレス「B」と端末BのMACアドレス「B」の組からなるポート情報を平文ポート情報格納部112に記憶する。
【0061】
なお、以上の暗号装置の接続状態検出部116による接続状態の検出において、端末Bと端末D間の通信はどちら側から先に通信を開始するか分からないが、上記のような処理を行うことによって、どちら側からの通信でも同じIPアドレスとMACアドレスの組を記憶することが可能となる。
【0062】
第2のスイッチングハブ14は、端末Bと端末Dとの間の通信において、端末B側から図8(a)の通信データを受信し、端末Dからの図8(b)の通信データを端末Bへ送信する。このとき、第2のスイッチングハブ14は、図8(a)の宛先MACアドレスまたは図8(b)の送信元MACアドレスから、ポートcには暗号文側ゲートウェイ15が接続されていることを検出する。そして、ポートcと暗号文側ゲートウェイ15のMACアドレス「CGW1」とを対応付けて記憶する。ただし、既にこの組合せは記憶されているので、改めて記憶しなおさなくてもよい。また、図8(a)の送信元MACアドレスまたは図8(b)の宛先MACアドレスから、ポートaには端末Bが接続されていることを検出する。そして、ポートaと端末BのMACアドレス「B」とを対応付けて記憶する。
【0063】
つぎに、端末Bと端末Cとの間で図9に示される形式の暗号通信が行われるとする。図9の(a)は端末Bから端末Cへの平文パケットの構成を示しており、(b)は(a)の平文パケットが暗号化された暗号文パケットの構成を示しており、(c)は端末Cから端末Bへの平文パケットの構成を示しており、そして、(d)は端末Cから端末Bへの暗号文パケットの構成を示している。しかし、この端末Bと端末Cとの間の暗号通信で得られる第1と第2のスイッチングハブ13,14のポートa,cに格納されるアドレス対応情報や、第1の暗号装置11の平文ポート情報格納部112と暗号文ポート情報格納部114に格納されるポート情報は、既に検出されているものであるので、その説明を省略する。ただし、第1と第2のスイッチングハブ13,14によるアドレス対応情報の抽出や、第1の暗号装置11の接続状態検出部116によるポート情報の検出は、上述した端末Aと端末Cとの間の暗号通信の場合と同様である。
【0064】
以上の処理によって得られる暗号装置11,12とスイッチングハブ13,14の状態を示したものが図13である。この図13では、上記端末Bと端末Dとの間の通信と端末Bと端末Cとの間の暗号通信によって得られた新たなポート情報とアドレス対応情報が、点線で囲まれて表示されている。
【0065】
その後、所定時間が経過すると、第1の暗号装置11はADVERTISEMENTパケットを送信するが、このときあわせてMACアドレス通知も送信する。ここでは、図12の状態と図13の状態とを比較して、図13の暗号装置11中の新たに格納された点線で囲まれている部分のポート情報が、MACアドレス通知#2として送信される。ここで通知されるMACアドレス通知#2は、図17(b)に示されている。
【0066】
第2の暗号装置12の受信情報処理部118は、MACアドレス通知#2を第1の暗号装置11から受信すると、平文ポート情報格納部112と暗号文ポート情報格納部114にMACアドレス通知#2に格納されているポート情報を格納する。図13と図17(b)の例では、平文ポート情報格納部112に、端末BのIPアドレス「B」と端末BのMACアドレス「B」の組を平文ポート情報として追加して記憶する。以上のMACアドレス通知#2の送信処理によって得られる暗号装置11,12とスイッチングハブ13,14の状態を示したものが図14である。この図14に示されるように、第2の暗号装置12の平文ポート情報格納部112と暗号文ポート情報格納部114に格納されているポート情報は、第1の暗号装置11の平文ポート情報格納部112と暗号文ポート情報格納部114のそれと一致したものとなる。
【0067】
この図14に示される状態の後、第1の暗号装置11が何らかの異常によって定期的にADVERTISMENTパケットを送信できなくなると、第2の暗号装置12の切替検知部119が第1の暗号装置11の異常を検知して、バックアップ状態からマスタ状態に遷移し、パケット送信制御部117は、ADVERTISEMENTパケットを定期的に送信する。このとき送信されるADVERTISEMENTパケットの送信元MACアドレスは、第1と第2の暗号装置11,12の全体に対して仮想的に割り振られる仮想MACアドレス「VREMAC」である。
【0068】
第1のスイッチングハブ13は、ADVERTISEMENTパケットをポートbで受信すると、そのADVERTISEMENTパケットの送信元MACアドレスが暗号装置の仮想MACアドレス「VREMAC」になっているため、ポートaに暗号装置が接続されていた状態から、ポートbの先に暗号装置が接続されたと判断する。そして、ポートbと暗号装置のMACアドレス「VREMAC」とを対応付けて記憶する。この結果、既に対応付けられていたポートaと暗号装置のMACアドレス「VREMAC」の組合せは削除されることになる。これ以降、第1のスイッチングハブ13は、MACアドレスが暗号装置宛のパケットをポートbへ中継するようになる。
【0069】
第2のスイッチングハブ14も、同様に、ADVERTISEMENTパケットを受信すると、ポートa側からポートb側に暗号装置のMACアドレス「VREMAC」を記憶するように、アドレス対応表を変更する。そして、これ以降、第2のスイッチングハブ14は、MACアドレスが暗号装置宛のパケットをポートbへ中継する。以上の第2の暗号装置12がマスタ状態に遷移した後の処理によって得られる暗号装置11,12とスイッチングハブ13,14の状態を示したものが図15である。
【0070】
バックアップ状態からマスタ状態に遷移した第2の暗号装置12のパケット送信制御部117は、暗号文ポート情報格納部114に記憶されているMACアドレスを送信元MACアドレスとするpingパケットを平文ポート111側へ送信する。図18は、第2の暗号装置12のパケット送信制御部117によって送信されるpingパケットの構成を模式的に示す図である。上述したように、暗号文ポート情報格納部114のMACアドレスには、暗号文側ゲートウェイのMACアドレス「CGW1」のみが格納されているので、パケット送信制御部117は、図18(a)に示される送信元MACアドレス「CGW1(送信元IPアドレスは暗号装置の仮想IPアドレス「VREIP」である)」を設定したpingパケットのみを平文ポート111側から送信する。なお、この図18(a)の宛先は端末Bとなっているが、このpingパケットの目的は、第1のスイッチングハブ13の第2の暗号装置12と接続されるポートbに、このポートbの先に接続されている機器のMACアドレスを認識させることであるので、平文ポート情報格納部112に格納されているIPアドレスとMACアドレスの組のいずれを宛先としてもよい。
【0071】
このpingパケットを受信した第1のスイッチングハブ13は、受信したパケットの送信元MACアドレスが暗号文側ゲートウェイ15のMACアドレス「CGW1」になっているので、ポートaに暗号文側ゲートウェイ15が接続されていた状態から、ポートbの先に暗号文側ゲートウェイ15が接続されたと判断する。そして、ポートbと暗号文側ゲートウェイ15のMACアドレス「CGW1」とを対応付けて記憶するようにアドレス対応表を変更する。これ以降、第1のスイッチングハブ13は、MACアドレスが暗号文側ゲートウェイ15宛のパケットをポートbへ中継する。
【0072】
同様に、第2の暗号装置12のパケット送信制御部117は、平文ポート情報格納部112に記憶されているMACアドレスを送信元MACアドレス(送信元IPアドレスは暗号装置の仮想IPアドレスである)とするpingパケットを暗号文ポート113側へ送信する。図15の第2の暗号装置12の平文ポート情報格納部112を見ると、平文側ゲートウェイ16のMACアドレス「PGW」と端末BのMACアドレス「B」が格納されているので、2種類のpingパケットを暗号文ポート113側へ送信する。このとき送信されるpingパケットの例が図18(b),(c)に示されている。この場合も、pingパケットの宛先には暗号文ポート情報格納部114に格納されているアドレスのうち任意のものを選択することができる。
【0073】
図18(b)に示されるpingパケットを受信した第2のスイッチングハブ14は、受信したパケットの送信元MACアドレスが平文側ゲートウェイ16のMACアドレス「PGW」になっているので、ポートaに平文側ゲートウェイ16が接続されていた状態から、ポートbの先に平文側ゲートウェイ16が接続されたと判断する。そして、ポートbと平文側ゲートウェイ16のMACアドレス「PGW」とを対応付けて記憶するようにアドレス対応表を変更する。これ以降、第2のスイッチングハブ14は、MACアドレスが平文側ゲートウェイ16宛のパケットをポートbへ中継する。
【0074】
同様に、図18(c)に示されるpingパケットを受信した第2のスイッチングハブ14は、ポートaに端末Bが接続されていた状態から、ポートbの先に端末Bが接続されたと判断する。そして、ポートbと端末BのMACアドレス「B」とを対応付けて記憶するようにアドレス対応表を変更する。これ以降、第2のスイッチングハブ14は、MACアドレスが端末B宛のパケットをポートbへ中継する。以上の第2の暗号装置12によるpingパケットの送信処理によって得られる暗号装置11,12とスイッチングハブ13,14の状態を示したものが図16である。これによって、第1と第2のスイッチングハブ13,14のポートaのアドレス対応情報はなくなり、ポートbにそれまでポートaに格納されていたMACアドレス(アドレス対応情報)が格納される。
【0075】
なお、図16では、第1と第2のスイッチングハブのアドレス対応表を変更するためにpingパケットを送信するようにしているが、上述したように、ARPリクエストパケットを送信することもできる。図19は、第2の暗号装置のパケット送信制御部によって送信されるARPリクエストパケットの構成を模式的に示す図であり、(a)は平文ポート側から送信されるARPリクエストパケットの構成を示し、(b)と(c)は暗号文ポート側から送信されるARPリクエストパケットの構成を示している。このARPリクエストパケットでも、pingパケットの場合と同様に、送信元MACアドレスには、平文ポート111側に送信する場合には暗号文ポート情報格納部114に格納されているMACアドレスを設定し、暗号文ポート113側に送信する場合には平文ポート情報格納部112に格納されているMACアドレスを設定する。宛先MACアドレスにはブロードキャストアドレスが設定され、送信元IPアドレスには暗号装置の仮想IPアドレス「VREIP」が設定され、ARP宛先MACアドレスには「0」が設定される。また、ARP宛先IPアドレスには、平文ポート111側に送信する場合には平文ポート情報格納部112に格納されているどれか一つの組を選択すればよく、暗号文ポート113側に送信する場合には暗号文ポート情報格納部114に格納されているどれか一つの組を選択すればよい。
【0076】
これらのARPリクエストパケットを受信した第1と第2のスイッチングハブ13,14は、上述したpingパケットの場合と同様にして、ポートbとそのポートbの先に接続されている機器のMACアドレスとの対応関係を格納するアドレス対応表の変更を行う。図20は、このARPリクエストパケットの送信によって変更された暗号装置11,12とスイッチングハブ13,14の状態を示図である。
【0077】
このような処理によって、図6に示される形式の端末Aと端末C間の通信パケット、図9に示される形式の端末Bと端末C間の通信パケットのすべては、第2の暗号装置12経由で暗号化通信が可能となる。また、図8に示される形式の端末Bと端末D間の通信パケット、図7に示される端末Aと端末D間の通信パケットの全ては、第2の暗号装置12経由で平文通信される。
【0078】
この実施の形態1では、第1の暗号装置11はMACアドレス通知を平文ネットワークへ送信していたが、暗号文ネットワークへ送信するようにしてもよい。そして、暗号文ネットワークへMACアドレスを通知する時はMACアドレス通知を暗号化して送信するようにしてもよい。
【0079】
また、この実施の形態1では、図12と図14で第1の暗号装置11がMACアドレス通知#1とMACアドレス通知#2を通知するポート情報(MACアドレスとIPアドレスの組み合わせ)は、前回のMACアドレス通知送信時から新規に記憶したポート情報を通知しているが、新規に記憶したポート情報ではなく、記憶されているすべてのポート情報を通知してもよい。この場合、記憶されたすべてのポート情報の通知を行うMACアドレス通知は、ADVERTISEMENTパケットを送信する度に送信するのではなく、n回(nは自然数)のADVERTISEMENTパケットの送信に一度、たとえば、5回のADVERTISEMENTパケットの送信に一度の頻度で送信するようにしてもよい。
【0080】
さらに、この実施の形態1では、第1のIPサブネットワーク10における冗長構成を成すリピータ型暗号装置11,12が2台の場合を例に挙げて説明したが、3台以上の構成であってもよい。
【0081】
この実施の形態1によれば、暗号装置11,12に、バックアップ状態からマスタ状態に切り替った場合に、平文ポート111側には、暗号文ポート情報格納部114に格納されているMACアドレスを送信元MACアドレスとするメッセージを送信し、暗号文ポート113側には、平文ポート情報格納部112に格納されているMACアドレスを送信元MACアドレスとするメッセージを送信するパケット送信制御部117を備えるように構成したので、暗号装置11,12の平文ポート111側と暗号文ポート113側に接続される第1と第2のスイッチングハブ13,14のポートと、このポートの先に接続される機器のMACアドレスとの対応関係を示すアドレス対応情報の変更が、暗号装置11,12の切り替えとほぼ同時に行うことができる。その結果、暗号装置11,12が切り替った場合に、改めて第1と第2のスイッチングハブ13,14の経路の変更を行う必要がなくなるという効果を有する。
【0082】
以上の説明では、第1の暗号装置11が平文ネットワークから平文データを受信し平文データを暗号化して新規IPヘッダを付加し、暗号文ネットワークへ送信する時に平文データのIPヘッダよりIPアドレスとMACアドレスの組を記憶するようにしているが、第1の暗号装置11が暗号文ネットワークから暗号文データを受信し暗号文データを復号化し、平文ネットワークへ送信する時に平文データのIPヘッダよりIPアドレスとMACアドレスの組を記憶するようにしても同様の効果を得ることができる。
【0083】
実施の形態2.
図21は、この発明にかかる暗号装置の実施の形態2の構成を示すブロック図であり、図22は、この暗号装置が適用される暗号通信システムのネットワーク構成の一例を示す図である。この暗号装置11(12)は、実施の形態1の図1の暗号装置11(12)において、暗号化通信において使用される暗号アルゴリズムや認証アルゴリズム、暗号鍵や認証鍵などを含むSA(Security Association)付属情報を格納するSA情報格納部121と、冗長構成をなす他の暗号装置12(11)と専用通信回線40で接続してSA付属情報の通信を他の暗号装置12(11)との間で行う通信部122と、をさらに備えている。専用通信回線40は、図22に示されるように、第1のIPサブネットワーク10内の第1の暗号装置11と第2の暗号装置12との間を接続している。なお、SA情報格納部121に格納されるSA付属情報は、端末同士で行われる暗号化通信に先立って、それらの端末間の経路に存在する2つの暗号装置が、IKE(Internet Key Exchange)によってSAを確立したときに、両者間で共有されるものである。
【0084】
また、パケット送信制御部117は、SA付属情報をバックアップ状態にある暗号装置に送信するためのSA情報通知も送信する機能を有する。そして、パケット送信制御部117は、MACアドレス通知とSA情報通知に関しては、通信部122と専用通信回線40を介して送信し、ADVERTISEMENTパケットに関しては、平文ポート111または暗号文ポート113と、通信部122の両方を介して送信し、暗号装置11,12の切り替え時に送信されるpingパケットまたはARPリクエストパケットなどに関しては、平文ポート111および暗号文ポート113を介して送信するように制御する点が、実施の形態1の場合と異なる。
【0085】
受信情報処理部118は、専用通信回線40と通信部122を介して受信したSA情報通知を、SA情報格納部121に格納する機能をさらに有する。なお、図1,2と同一の構成要素については同一の符号を付して、その説明を省略している。
【0086】
つぎに、動作について説明する。図23は、通常時におけるマスタ状態の暗号装置とバックアップ状態の暗号装置の動作処理手順を示すフローチャートである。マスタ状態の暗号装置11(12)が起動されると、まず、パケット送信制御部117は、予め設定された所定の時間が経過したか否かを判定する(ステップS301)。所定の時間が経過していない場合(ステップS301でNoの場合)には、その時間が経過するまで待ち状態となる。予め決められた時間が経過すると(ステップS301でYesの場合)、パケット送信制御部117は、専用通信回線40で接続されるバックアップ状態の暗号装置12(11)に通信部122からADVERTISEMENTパケットを送信する(ステップS302)。
【0087】
その後、実施の形態1の図4で説明したステップS103〜S106と同じ処理を行って、ADVERTISEMENTパケットを送信してから所定時間が経過したか否かを確認する(ステップS303〜S306)。すなわち、通信データがある場合にはその通信データの転送、中継処理を行い、同時にその通信データからポート情報を検出して、平文ポート情報格納部112および/または暗号文ポート情報格納部114に格納し、その後に所定時間経過したか否かを確認する。
【0088】
所定時間が経過していない場合(ステップS306でNoの場合)には、再びステップS303へ戻り、所定時間が経過した場合(ステップS306でYesの場合)には、パケット送信制御部117は、前回MACアドレス通知を送信したときに比べて、平文ポート情報格納部112の平文ポート情報と、暗号文ポート情報格納部114の暗号文ポート情報に変更があるか否かを判断する(ステップS307)。いずれかのポート情報に変更がある場合(ステップS307でYesの場合)には、パケット送信制御部117は、専用通信回線40で接続されるバックアップ状態にある暗号装置12(11)に、通信部122を介してADVERTISEMENTパケットと、上記変更した分のポート情報を含むMACアドレス通知を送信する(ステップS308)。
【0089】
また、MACアドレス通知と同時に、パケット送信制御部117は、上記ステップS304での暗号化通信の転送処理を行った際に使用される暗号アルゴリズムや認証アルゴリズムと暗号鍵や認証鍵などのSA付属情報を含むSA情報通知を、専用通信回線40を介して、バックアップ状態にある暗号装置12(11)に送信する(ステップS309)。SA情報通知は、たとえば図22の端末Aと端末Cとの間で暗号化通信を行う際に、第1の暗号装置11と第2のIPサブネットワーク20内の暗号装置21との間で共有されるSA付属情報の内容に基づいている。SA情報通知には、このSA情報通知に含まれるSA付属情報の個数と、平文側ポートに接続される端末のIPアドレスと、暗号文側ポートに接続される端末のIPアドレスと、暗号鍵、認証鍵、SAの寿命などのSA付属情報とを含む情報が格納される。
【0090】
一方、上記ポート情報に変更がない場合(ステップS307でNoの場合)には、パケット送信制御部117は、専用通信回線40で接続されるバックアップ状態にある暗号装置12(11)に、通信部122からADVERTISEMENTパケットを送信する(ステップS310)。
【0091】
その後、またはステップS309の後、処理が終了するか否かを判断し(ステップS311)、終了しない場合(ステップS311でNoの場合)には再びステップS303に戻って上述した処理が繰り返され、それ以外の場合(ステップS311でYesの場合)には、処理が終了する。
【0092】
なお、ステップS308において、パケット送信制御部117は、MACアドレス通知を、ADVERTISEMENTパケットの後半部分の付加情報として送信してもよいし、ADVERTISEMENTパケットとは異なる単独のパケットとして送信してもよい。
【0093】
一方、バックアップ状態の暗号装置12(11)は、実施の形態1の図4で説明したステップS121〜S125,S129と同じ処理を行って、マスタ状態の暗号装置11(12)の異常の有無を判断する(ステップS321〜S325,S330)。すなわち、起動されてから所定時間内にマスタ状態の暗号装置11(12)からADVERTISEMENTパケットを受信したか否かを判定し、所定時間内にADVERTISEMENTパケットを受信すればマスタ状態の暗号装置11(12)に異常がないと判断し、所定時間内にADVERTISEMENTパケットを受信しなければマスタ状態の暗号装置11(12)の異常を検知して、上述した図5の切り替え処理が実行される。
【0094】
ADVERTISEMENTパケットを受信した後に、マスタ状態の暗号装置11(12)からMACアドレス通知を受信したか否かが判断される(ステップS326)。MACアドレス通知を受信した場合(ステップS326でYesの場合)には、受信情報処理部118は、MACアドレス通知の内容を平文ポート情報格納部112および/または暗号文ポート情報格納部114に格納する(ステップS327)。また、受信情報処理部118は、マスタ状態の暗号装置11(12)から受信したSA情報通知の内容を、SA情報格納部121に格納する(ステップS328)。
【0095】
その後、またはステップS326でMACアドレス通知を受信していない場合(ステップS326でNoの場合)には、処理が終了するか否かを判断し(ステップS329)、終了しない場合(ステップS329でNoの場合)には再びステップS324に戻って上述した処理が繰り返され、それ以外の場合(ステップS329でYesの場合)には、処理が終了する。
【0096】
なお、この実施の形態2の暗号通信システムにおける暗号装置の切り替えについては、実施の形態1の場合と同一であるので、説明を省略する。
【0097】
つぎに、図22に示される暗号通信システムにおける暗号装置の切り替え処理の具体例を説明する。ここでは、まず、端末Aと端末Cとの間で暗号化通信が行われ、つぎに、端末Aと端末Dとの間で平文通信が行われ、つぎに、端末Bと端末Dとの間で平文通信が行われ、そして、端末Bと端末Cとの間で暗号化通信が行われる場合を例に挙げて説明する。なお、これらの端末間の通信による暗号装置11,12とスイッチングハブ13,14の処理は、実施の形態1で説明した具体例とほとんど同じであるので、詳細な説明は省略する。
【0098】
図24〜図27は、上記端末間の通信による第1のIPサブネットワーク10の第1と第2の暗号装置11,12の平文ポート情報格納部112、暗号文ポート情報格納部114、SA情報格納部121と、第1と第2のスイッチングハブ13,14のポートa〜cの状態を模式的に示す図である。実施の形態1の図10〜図16との違いは、第1と第2の暗号装置11,12に、SA情報格納部121が設けられている点である。
【0099】
図24は、通信が開始されていない初期状態を示している。第1と第2の暗号装置11,12の平文ポート情報格納部112と暗号文ポート情報格納部114にはポート情報が何も格納されておらず、SA情報格納部121にもSA付属情報が何も格納されていない。また、第1と第2のスイッチングハブ13,14の各ポートa〜cにもアドレス対応情報が何も格納されていない。
【0100】
この状態で、まず、端末Aと端末Cとの間で暗号化通信が開始されるが、端末Aと端末Cとの間の暗号化通信に先立って、第1の暗号装置11と端末Cに接続される暗号装置21は、IKEによってSAを確立し、使用する暗号アルゴリズムや認証アルゴリズムと暗号鍵や認証鍵などのSA付属情報を、これらの第1の暗号装置11と暗号装置21との間で共有している。そして、端末Aと端末Cとの間で図6に示される形式で暗号化通信が行われる。つぎに、端末Aと端末Dとの間で図7に示される形式で平文通信が行われる。その後、所定時間の経過によって、第1の暗号装置11から第2の暗号装置12に向けてADVERTISEMENTパケットが専用通信回線40を介して送信される。このとき、図17(a)に示されるMACアドレス通知#1と、SA情報通知#1も送信される。図28は、マスタ状態の暗号装置11から送信されるSA情報通知の構成の一例を示す図であり、図28(a)に示される端末Aと端末Cとの間で行われる暗号化通信のSA付属情報を含むSA情報通知#1が、ここでは送信される。そして、これらのMACアドレス情報通知#1とSA情報通知#1の内容が第2の暗号装置12に格納される。これらの処理の結果得られる暗号装置11,12とスイッチングハブ13,14の状態が、図25に示されている。
【0101】
つぎに、端末Bと端末Dとの間で平文通信が行われ、端末Bと端末Cとの間で暗号化通信が行われる。なお、端末Bと端末Cとの間の暗号化通信に先立って、第1の暗号装置11と端末Cが接続される暗号装置21は、IKEによってSAを確立し、使用するアルゴリズムや認証アルゴリズムと暗号鍵や認証鍵などのSA付属情報を、これらの第1の暗号装置11と暗号装置21との間で共有している。その後、所定時間の経過によって、第1の暗号装置11から第2の暗号装置12に向けてADVERTISEMENTパケットが専用通信回線40を介して送信される。このとき、図17(b)に示されるMACアドレス通知#2と、図28(b)に示されるSA情報通知#2も送信される。図28(b)に示されるSA情報通知#2には、端末Bと端末Cとの間で行われる暗号化通信のSA付属情報が含まれている。そして、これらのMACアドレス情報通知#2とSA情報通知#2の内容が第2の暗号装置12に格納される。これらの処理の結果得られる暗号装置11,12とスイッチングハブ13,14の状態が、図26に示されている。
【0102】
その後、第1の暗号装置11がなんらかの原因によってADVERTISEMENTパケットを送信できなくなると、第2の暗号装置12がマスタ状態となる切り替え処理を行って、ADVERTISEMENTパケットを送信する。その後、第2の暗号装置12は、図18に示されるようなpingパケット(または図19に示されるようなARPリクエストパケット)を送信して、第1と第2のスイッチングハブ13,14の暗号装置側に接続されるポートa,bのアドレス対応情報が変更される。これらの処理の結果得られる暗号装置11,12とスイッチングハブ13,14の状態が、図27に示されている。以上のようにして、第1と第2の暗号装置11,12の間でポート情報とSA付属情報の通知が行われ、暗号装置11,12の切り替えが生じた場合でも、切り替った第2の暗号装置12と通信相手の暗号装置21との間でSA情報の交換をすることなく、スムーズに暗号化通信を継続することが可能となる。
【0103】
この実施の形態2によれば、暗号装置11,12同士を専用通信回線40で接続したので、暗号化通信ではセキュリティの関係でネットワーク上に流すことが危険な暗号化通信を行う端末間の暗号装置11(12),21同士で必要になる、暗号化に使用される暗号アルゴリズムや認証アルゴリズムと暗号鍵や認証鍵などのSA付属情報を、冗長構成をなす暗号装置11,12間で共有することが可能となる。その結果、暗号装置11(12)の故障による切り替えが生じた場合でも、新たにマスタ状態となった暗号装置12(11)と、通信相手の暗号装置21との間で新たなIKEによるSAの確立処理を行うことなく、暗号化通信を引き継ぐことが可能となる。
【0104】
なお、上述した説明では、冗長構成を成す暗号装置11,12が2台の場合を例に挙げて説明したが、3台以上の構成であっても全く同様の効果を得ることができる。
【0105】
実施の形態3.
図29は、この発明にかかる暗号装置の構成を示すブロック図である。この暗号装置11(12)は、実施の形態1の図1の暗号装置において、平文ポート111と暗号文ポート113の先に接続される機器のMACアドレスとIPアドレスの組合せからなるポート情報を格納していた平文ポート情報格納部112と暗号文ポート情報格納部114が、平文ポート111と暗号文ポート113の先に接続される機器のIPアドレスのみを格納する平文ポートIPアドレス情報格納部131と暗号文ポートIPアドレス情報格納部132に置き換わり、接続状態検出部116と受信情報処理部118が削除された構成を有している。平文ポートIPアドレス情報格納部131と暗号文ポートIPアドレス情報格納部132には、平文ポート111と暗号文ポート113の先にそれぞれ接続されている機器のIPアドレスが、たとえば暗号装置の管理者によって予め設定されている。そのために、暗号装置11(12)によって転送、中継処理される通信データからポート情報を得る必要がなく、それらの情報をバックアップ状態の暗号装置12(11)に送信する必要がないので、接続状態検出部116と受信情報処理部118を設けなくてもよい。
【0106】
また、パケット送信制御部117は、MACアドレス通知をバックアップ状態の暗号装置12(11)に送信する機能を有しない点を除いては、基本的に実施の形態1の図1で説明した機能と同じ機能を有する。ただし、自暗号装置11(12)がバックアップ状態からマスタ状態に切り替ったときに、ARPリクエストパケットを送信する方法が異なる。この実施の形態3では、平文ポートIPアドレス情報格納部131と暗号文ポートIPアドレス情報格納部132に格納されているIPアドレスにARPリクエストパケットを送信し、その応答であるARPレスポンスパケットを受信すると、反対側のポートに接続されているスイッチングハブ13,14に中継する。このARPレスポンスパケットをスイッチングハブ13,14が受け取ることによって、その送信元MACアドレスからスイッチングハブ13,14は、ポートとMACアドレスとの対応付けを変更することができる。
【0107】
なお、この暗号装置11(12)は、実施の形態1の図2に示されるようなネットワークシステムに適用して、暗号通信システムを構成することができる。
【0108】
つぎに、この暗号装置11(12)の動作について説明する。上述したように、この実施の形態3における暗号装置11(12)は、上述した実施の形態1の図1や実施の形態2の図21に示される暗号装置11(12)のように、接続状態検出部116と受信情報処理部118を有さない。そのため、この暗号装置11(12)の通常時の動作は、基本的には、暗号装置11(12)に入力される通信データの転送処理と、ADVERTISEMENTパケットの所定の時間間隔での送信のみである。また、異常時の暗号装置11,12の切り替え動作の概要は、実施の形態1の図5と同様であるので、説明を省略する。ただし、上述したように、平文ポートIPアドレス情報格納部131と暗号文ポートIPアドレス情報格納部132に格納されているIPアドレスにARPリクエストパケットを送信し、その応答であるARPレスポンスパケットを受信すると、反対側のポートに接続されているスイッチングハブ13,14に中継する点が実施の形態1とは異なる。この点については、以下の具体例で詳述する。
【0109】
つぎに、図29の暗号装置を有する暗号通信システムにおける暗号装置の切り替え処理の具体例を説明する。なお、ここで適用される暗号通信システムは、図2に示されるネットワーク構成を有するものとする。また、ここでは、まず、端末Aと端末Cとの間で暗号化通信が行われ、つぎに、端末Aと端末Dとの間で平文通信が行われ、つぎに、端末Bと端末Dとの間で平文通信が行われ、そして、端末Bと端末Cとの間で暗号化通信が行われる場合を例に挙げて説明する。なお、これらの端末間の通信による暗号装置11,12とスイッチングハブ13,14の処理は、実施の形態1で説明した具体例とほとんど同じであるので、詳細な説明は省略する。
【0110】
図30〜図35は、上記端末間の通信による第1のIPサブネットワーク10の第1と第2の暗号装置11,12の平文ポートIPアドレス情報格納部131、暗号文ポートIPアドレス情報格納部132と、第1と第2のスイッチングハブ13,14のポートa〜cの状態を模式的に示す図である。実施の形態1の図10〜図16との違いは、第1と第2の暗号装置11,12は、平文ポート情報格納部112ではなく平文ポートIPアドレス情報格納部131を有し、暗号文ポート情報格納部114ではなく暗号文ポートIPアドレス情報格納部132を有する点であり、そして、これらの平文ポートIPアドレス情報格納部131と暗号文ポートIPアドレス情報格納部132には予めこれらの平文ポート111と暗号文ポート113の側に接続される機器のIPアドレスが格納されている点である。
【0111】
図30は、通信が開始されていない初期状態を示している。第1と第2のスイッチングハブ13,14の各ポートa〜cにはアドレス対応情報が何も格納されていない。
【0112】
この状態で、まず、端末Aと端末Cとの間で暗号化通信が開始されるが、端末Aと端末Cとの間の暗号化通信に先立って、第1の暗号装置11と端末Cに接続される暗号装置21は、IKEによってSAを確立し、使用するアルゴリズムや認証アルゴリズムと暗号鍵や認証鍵などのSA付属情報を、これらの第1の暗号装置11と暗号装置21との間で共有している。そして、端末Aと端末Cとの間で図6に示される形式で暗号化通信が行われる。つぎに、端末Aと端末Dとの間で図7に示される形式でデータ通信が行われる。このとき、第1と第2のスイッチングハブ13,14では、通信データを基に、ポートa,cと、これらのポートa,cの先に接続される機器のMACアドレスを取得し、アドレス対応表に格納する。その後、所定時間の経過によって、第1の暗号装置11から第2の暗号装置12に向けてADVERTISEMENTパケットが平文ネットワークを介して送信される。
【0113】
つぎに、端末Bと端末Dとの間で平文通信が行われ、端末Bと端末Cとの間で暗号化通信が行われる。なお、端末Bと端末Cとの間の暗号化通信に先立って、第1の暗号装置11と端末Cに接続される暗号装置21は、IKEによってSAを確立し、使用する暗号アルゴリズムや認証アルゴリズムと暗号鍵や認証鍵などのSA付属情報を、これらの暗号装置11,21間で共有している。これらの通信によって、第1と第2のスイッチングハブ13,14では、通信データを基に、ポートa,cと、これらのポートa,cの先に接続される機器のMACアドレスを取得し、アドレス対応表に格納する。その後、所定時間の経過によって、第1の暗号装置11から第2の暗号装置12に向けてADVERTISEMENTパケットが平文ネットワークを介して送信される。これらの処理の結果得られる暗号装置11,12とスイッチングハブ13,14の状態が、図31に示されている。
【0114】
その後、第1の暗号装置11がなんらかの原因によってADVERTISEMENTパケットを送信できなくなると、第2の暗号装置12がマスタ状態となる切り替え処理を行って、ADVERTISEMENTパケットを送信する。このADVERTISEMENTパケットを受信した第1と第2のスイッチングハブ13,14は、それぞれのポートbの先に暗号装置が接続されたと判断して、ポートb側に暗号装置の仮想MACアドレス「VREMAC」を記憶するようにアドレス対応表を変更する。この処理の結果得られる暗号装置11,12とスイッチングハブ13,14の状態が図32に示されている。
【0115】
バックアップ状態からマスタ状態に遷移した第2の暗号装置12は、暗号文ポートIPアドレス情報格納部132に記憶しているIPアドレスを宛先とするARPリクエストを暗号文ポート113側へ送信する。図36(a)は、第2の暗号装置から暗号文側ゲートウェイに送信されるARPリクエストパケットの構成の一例を示す図である。この図36(a)に示されるように、ARP宛先IPアドレスには暗号文側ゲートウェイ15のIPアドレス「CGW1」を設定し、ARP宛先MACアドレスには「0」を設定し、ARP送信元IPアドレスには暗号装置の仮想IPアドレス「VREIP」を設定し、ARP送信元MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定し、送信元MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定し、宛先MACアドレスにはブロードキャストアドレスを設定する。
【0116】
ARPリクエストパケットを受信した暗号文側ゲートウェイ15は、第2の暗号装置12宛のARPレスポンスパケットを送信する。図36(b)は、暗号文側ゲートウェイから第2の暗号装置に送信されるARPレスポンスパケットの構成の一例を示す図である。この図36(b)に示されるように、ARP宛先IPアドレスには暗号装置の仮想IPアドレス「VREIP」を設定し、ARP宛先MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定し、ARP送信元IPアドレスには暗号文側ゲートウェイ15のIPアドレス「CGW1」を設定し、ARP送信元MACアドレスには暗号文側ゲートウェイ15のMACアドレス「CGW1」を設定し、送信元MACアドレスには暗号文側ゲートウェイ15のMACアドレス「CGW1」を設定し、宛先MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定する。
【0117】
第2の暗号装置12は、ARPレスポンスパケットを受信すると、平文ポート111から平文ネットワーク側に中継する。
【0118】
図36(b)に示される形式のARPレスポンスパケットを受信した第1のスイッチングハブ13は、受信したパケットの送信元MACアドレスが暗号文側ゲートウェイ15のMACアドレス「CGW1」になっているため、ポートaの先に暗号文側ゲートウェイ15が接続されていた状態から、ポートbの先に暗号文側ゲートウェイ15が接続されたと判断する。そして、ポートb側に暗号文側ゲートウェイ15のMACアドレス「CGW1」を記憶するようにアドレス対応表を変更する。これ以降、第1のスイッチングハブ13は、MACアドレスが暗号文側ゲートウェイ15宛のパケットをポートbへ中継する。
【0119】
第2の暗号装置12は、この処理を暗号文ポートIPアドレス情報格納部132に記憶しているIPアドレスの数だけ実行する。図32の例では、暗号文ポートIPアドレス情報格納部132には、1つのIPアドレスしか格納されていないので、ここでの処理は終了する。この処理の結果得られる暗号装置11,12とスイッチングハブ13,14の状態が、図33に示されている。
【0120】
同様に、バックアップ状態からマスタ状態に遷移した第2の暗号装置12は、平文ポートIPアドレス情報格納部131に記憶しているIPアドレスを宛先とするARPリクエストパケットを平文ネットワーク側へ送信する。図37(a)は、第2の暗号装置から平文側ゲートウェイに送信されるARPリクエストパケットの構成の一例を示す図である。この図37(a)に示されるように、ARP宛先IPアドレスには平文側ゲートウェイ16のIPアドレス「PGW」を設定し、ARP宛先MACアドレスには「0」を設定し、ARP送信元IPアドレスには暗号装置の仮想IPアドレス「VREIP」を設定し、ARP送信元MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定し、送信元MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定し、宛先MACアドレスにはブロードキャストアドレスを設定する。
【0121】
ARPリクエストパケットを受信した平文側ゲートウェイ16は、第2の暗号装置12宛のARPレスポンスパケットを送信する。図37(b)は、平文側ゲートウェイから第2の暗号装置に送信されるARPレスポンスパケットの構成の一例を示す図である。この図37(b)に示されるように、ARP宛先IPアドレスには暗号装置の仮想IPアドレス「VREIP」を設定し、ARP宛先MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定し、ARP送信元IPアドレスには平文側ゲートウェイ16のIPアドレス「PGW」を設定し、ARP送信元MACアドレスには平文側ゲートウェイ16のMACアドレス「PGW」を設定し、送信元MACアドレスには平文側ゲートウェイ16のMACアドレス「PGW」を設定し、宛先MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定する。
【0122】
第2の暗号装置12は、ARPレスポンスパケットを受信すると、暗号文ポート113から暗号文ネットワーク側に中継する。
【0123】
図37(b)に示される形式のARPレスポンスパケットを受信した第2のスイッチングハブ14は、受信したパケットの送信元MACアドレスが平文側ゲートウェイ16のMACアドレス「PGW」になっているため、ポートaの先に平文側ゲートウェイ16が接続されていた状態から、ポートbの先に平文側ゲートウェイ16が接続されたと判断する。そして、ポートb側に平文側ゲートウェイ16のMACアドレス「PGW」を記憶するようにアドレス対応表を変更する。これ以降、第2のスイッチングハブ14は、MACアドレスが平文側ゲートウェイ16宛のパケットをポートbへ中継する。この処理の結果得られる暗号装置11,12とスイッチングハブ13,14の状態が、図34に示されている。
【0124】
第2の暗号装置12は、この処理を平文ポートIPアドレス情報格納部131に記憶しているIPアドレスの数だけ実行する。この図32の例では、平文ポートIPアドレス情報格納部131には、他のIPアドレスとして端末Bのものが格納されているので、この端末BのIPアドレスに対しても同様の処理を行う。
【0125】
すなわち、第2の暗号装置12は、端末B宛のARPリクエストパケットを平文ポート111側へ送信する。図38(a)は、第2の暗号装置12から端末Bに送信されるARPリクエストパケットの構成の一例を示す図である。この図38(a)に示されるように、ARP宛先IPアドレスには端末BのIPアドレス「B」を設定し、ARP宛先MACアドレスには「0」を設定し、ARP送信元IPアドレスには暗号装置の仮想IPアドレス「VREIP」を設定し、ARP送信元MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定し、送信元MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定し、宛先MACアドレスにはブロードキャストアドレスを設定する。
【0126】
ARPリクエストパケットを受信した端末Bは、第2の暗号装置12宛のARPレスポンスパケットを送信する。図38(b)は、端末Bから第2の暗号装置に送信されるARPレスポンスパケットの構成の一例を示す図である。この図38(b)に示されるように、ARP宛先IPアドレスには暗号装置の仮想IPアドレス「VREIP」を設定し、ARP宛先MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定し、ARP送信元IPアドレスには端末BのIPアドレス「B」を設定し、ARP送信元MACアドレスには端末BのMACアドレス「B」を設定し、送信元MACアドレスには端末BのMACアドレス「B」を設定し、宛先MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定する。
【0127】
第2の暗号装置12は、ARPレスポンスパケットを受信すると、暗号文ポート113から暗号文ネットワーク側に中継する。
【0128】
図38(b)に示される形式のARPレスポンスパケットを受信した第2のスイッチングハブ14は、受信したパケットの送信元MACアドレスが端末BのMACアドレス「B」になっているため、ポートaの先に端末Bが接続されていた状態から、ポートbの先に端末Bが接続されたと判断する。そして、ポートb側に端末BのMACアドレスを記憶するようにアドレス対応表を変更する。これ以降、第2のスイッチングハブ14は、MACアドレスが端末B宛のパケットをポートbへ中継する。この処理の結果得られる暗号装置11,12とスイッチングハブ13,14の状態が、図35に示されている。
【0129】
このような処理によって、図6に示される形式の端末Aと端末C間の通信パケット、図9に示される形式の端末Bと端末C間の通信パケットのすべては、第2の暗号装置12経由で暗号化通信が可能となる。また、図8に示される形式の端末Bと端末D間の通信パケット、図7に示される端末Aと端末D間の通信パケットの全ては、第2の暗号装置12経由で平文通信される。
【0130】
この実施の形態3では、暗号装置11,12の平文ポート111と暗号文ポート113の先に接続される機器のIPアドレスを予めそれぞれの暗号装置11,12に登録しておき、暗号装置11,12の間で切り替えが生じたときに、登録したIPアドレスの端末やルータなどの機器からの応答データを、端末やルータなどの機器のアドレス対応情報が格納されていないスイッチングハブ13,14のポートへ中継することによって、スイッチングハブ13,14のアドレス対応情報を変更させているが、暗号装置11,12の平文ポート111と暗号文ポート113の先に接続される機器のIPアドレスとMACアドレスの組からなるポート情報を予めそれぞれの暗号装置11,12に設定しておき、暗号装置11,12がバックアップ状態からマスタ状態に切り替ったときに、端末やルータが存在しないポートへ、上記登録されたIPアドレスを送信元IPアドレスとし、上記登録されたMACアドレスを送信元MACアドレスとした通信パケットを送信して、スイッチングハブ13,14のアドレス対応情報を変更するようにしてもよい。
【0131】
この実施の形態3によれば、暗号装置11(12)がバックアップ状態からマスタ状態に切り替ったときに、平文ポートIPアドレス情報格納部131と暗号文ポートIPアドレス情報格納部132に格納されているIPアドレスに対してARPリクエストパケットを送信し、その応答であるARPレスポンスパケットを受信すると、受信したポートと反対側のポートに中継するように構成したので、切り替え後のマスタ状態の暗号装置11(12)に接続されるスイッチングハブ13,14のアドレス対応情報が格納されていないポートに、暗号装置11(12)の切り替えとほぼ同時にアドレス対応情報を通知することができるという効果を有する。
【0132】
この実施の形態3では、冗長構成を成すリピータ型暗号装置は2台の場合を例に挙げて説明したが、3台以上の構成であっても全く同様の効果を得ることができる。
【0133】
【発明の効果】
以上説明したように、この発明によれば、冗長化構成を有する複数の暗号装置がスイッチングハブに挟まれて構成される暗号通信システムにおいて、マスタ状態の暗号装置の切り替えが生じた際に、平文ポート側に接続される機器のアドレス情報を格納する平文ポート情報格納部と、暗号文ポート側に接続される機器のアドレス情報を格納する暗号文ポート情報格納部に格納されるアドレス情報に基づいて、自暗号装置に接続されるスイッチングハブのポートに、このポートの先に接続される機器を認識させるための情報を送信するパケット送信制御部を備えるように暗号装置を構成したので、暗号装置の切り替りとほぼ同時に、それまでマスタ状態にあった暗号装置に接続されるスイッチングハブのポートの有するアドレス情報を、切り替え後の暗号装置に接続されるスイッチングハブのポートに引き継ぐことができる。その結果、暗号装置の切り替えが生じた場合でも、暗号装置を介した通信をスムーズに行うことが可能になるという効果を有する。
【図面の簡単な説明】
【図1】この発明による暗号装置の実施の形態1の概略構成を示すブロック図である。
【図2】この暗号装置が適用される暗号通信システムのネットワーク構成の一例を示す図である。
【図3】平文ポート情報格納部と暗号文ポート情報格納部に格納されるポート情報の一例を示す図である。
【図4】通常時におけるマスタ状態の暗号装置の動作を示すフローチャートである。
【図5】マスタ状態に遷移した暗号装置の動作を示すフローチャートである。
【図6】端末Aと端末Cとの間の通信データの構成の概要を示す図である。
【図7】端末Aと端末Dとの間の通信データの構成の概要を示す図である。
【図8】端末Bと端末Dとの間の通信データの構成の概要を示す図である。
【図9】端末Bと端末Cとの間の通信データの構成の概要を示す図である。
【図10】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図11】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図12】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図13】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図14】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図15】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図16】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図17】MACアドレス通知の内容の一例を示す図である。
【図18】第2の暗号装置によって送信されるpingパケットの構成を模式的に示す図である。
【図19】第2の暗号装置によって送信されるARPリクエストパケットの構成を模式的に示す図である。
【図20】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図21】この発明による暗号装置の実施の形態2の構成を示すブロック図である。
【図22】この暗号装置が適用される暗号通信システムのネットワーク構成の一例を示す図である。
【図23】通常時における暗号装置の動作処理手順を示すフローチャートである。
【図24】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図25】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図26】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図27】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図28】マスタ状態の暗号装置から送信されるSA情報通知の構成の一例を示す図である。
【図29】この発明による暗号装置の構成を示すブロック図である。
【図30】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図31】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図32】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図33】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図34】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図35】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図36】第2の暗号装置と暗号文側ゲートウェイとで通信されるARPリクエストパケットとARPレスポンスパケットの構成の一例を示す図である。
【図37】第2の暗号装置と平文側ゲートウェイとで通信されるARPリクエストパケットとARPレスポンスパケットの構成の一例を示す図である。
【図38】第2の暗号装置と端末Bとの間で通信されるARPリクエストパケットとARPレスポンスパケットの構成の一例を示す図である。
【符号の説明】
10,20 第1のIPサブネットワーク、11,12,21 暗号装置、13,14 スイッチングハブ、15,22 暗号文側ゲートウェイ、16 平文側ゲートウェイ、30 インターネット、40 専用通信回線、111 平文ポート、112 平文ポート情報格納部、113 暗号文ポート、114 暗号文ポート情報格納部、115 転送処理部、116 接続状態検出部、117 パケット送信制御部、118 受信情報処理部、119 切替検知部、120 制御部、121 SA情報格納部、122 通信部、131 平文ポートIPアドレス情報格納部、132 暗号文ポートIPアドレス情報格納部。
【発明の属する技術分野】
この発明は、平文ネットワークと暗号文ネットワークとの間でデータを中継する暗号装置が冗長構成を有するネットワークにおいて、暗号装置の切り替え時に、暗号装置のポートに接続されるスイッチングハブの経路の切り替えも行うことが可能な暗号通信システムおよび暗号装置に関するものである。
【0002】
【従来の技術】
平文ネットワークと暗号文ネットワークとの間でデータを中継する暗号装置として、他の暗号装置とこの暗号装置に接続される平文ネットワークのアドレスとを予め対応付けした対応付け情報を保持し、平文ネットワークから受信した平文データを暗号化し、暗号化した暗号文データを対応付け情報を参照して、宛先の端末が収容される平文ネットワークに接続される暗号装置まで送信することが可能な暗号装置が提案されている(たとえば、特許文献1参照)。
【0003】
しかし、この特許文献1に記載の暗号装置では、暗号装置に冗長性を持たせた場合の具体的構成、すなわち、平文ネットワークと暗号文ネットワークとの間に接続される暗号装置が故障した場合でも、この故障した暗号装置に代わって動作する予備の暗号装置を有する場合の構成については記載されていない。
【0004】
これに対して、セキュリティゲートウェイなどの暗号装置が何らかの原因で故障しても、IPsecなどの暗号化通信を行うことができるように暗号装置を冗長化(多重化)した暗号化通信システムが提案されている(たとえば、特許文献2参照)。この特許文献2では、現在稼動中の暗号装置が利用不可能となり、予備の暗号装置に切替える場合に、IP(Internet Protocol)アドレスの変化を伴わないVRRP(Virtual Router Redundancy Protocol)に基づいた暗号装置の多重化方式において、各暗号装置同士を専用線で接続して共通鍵に関する情報を現在稼動中の暗号装置から冗長化のために備えられる予備の暗号装置に送信するようにしている。これによって、暗号装置の切り替えが行なわれても、切り替えが行なわれた新たな暗号装置と通信相手先の暗号装置との間で暗号化通信を行うための共通鍵に関する情報の交換を再度実施する必要がなく、スムーズな切り替えが達成される。なお、VRRPに基づいた冗長化構成を有する複数の暗号装置において、暗号化通信を行うのは1台の暗号装置のみであり、この状態をマスタ状態にあるといい、その他の暗号化装置はバックアップ状態にあるという。
【0005】
【特許文献1】
特許第3259724号公報(第1頁、第1図)
【特許文献2】
特開2002−247113号公報(第8頁、第1図)
【0006】
【発明が解決しようとする課題】
しかしながら、特許文献2に記載の暗号化通信システムにおけるマスタ状態の暗号装置とバックアップ状態の暗号装置との間では、共通鍵の情報のみをやり取りしており、経路に関する情報については何ら記載されていない。そのため、暗号装置間で切り替えが行なわれた場合には、新たにマスタ状態になった暗号装置は、故障する前まで稼動していた暗号装置との間で行なわれていた経路の変更を行なわなければならないという問題点があった。
【0007】
この発明は、上記に鑑みてなされたもので、冗長化構成を有する複数の暗号装置がスイッチングハブに挟まれて構成される暗号通信システムにおいて、マスタ状態の暗号装置の切り替えが生じた際に、それまでマスタ状態にあった暗号装置に接続されるスイッチングハブの通信経路の情報を、切り替え後の暗号装置に接続されるスイッチングハブに引き継ぐことが可能な暗号通信システムおよび暗号装置を得ることを目的とする。
【0008】
【課題を解決するための手段】
上記目的を達成するため、この発明にかかる暗号通信システムは、平文ネットワークと暗号文ネットワークとの間で通信データを中継する1台のマスタ状態の暗号装置と、前記マスタ状態の暗号装置が故障したときのためのバックアップ状態の暗号装置が、同じサブネットマスクを有するIPサブネットワーク内の前記平文ネットワーク側と前記暗号文ネットワーク側のそれぞれに設けられる2台のスイッチングハブの間に備えられる暗号通信システムであって、前記暗号装置は、前記平文ネットワーク側に設けられる平文ポートと、前記暗号文ネットワーク側に設けられる暗号文ポートと、前記平文ポートと前記暗号文ポートの先に接続される機器のアドレス情報を格納するポート情報格納手段と、マスタ状態にある場合に、前記平文ポートまたは前記暗号文ポートから受信する通信データのヘッダ情報から前記アドレス情報を検出し、前記ポート情報格納手段に格納する接続状態検出手段と、マスタ状態にある場合に、前記ポート情報格納手段に格納される前記アドレス情報を、所定の周期でバックアップ状態の他の暗号装置に送信し、バックアップ状態からマスタ状態に切り替った場合に、前記ポート情報格納手段に格納される前記アドレス情報に基づいて、自暗号装置に接続される前記スイッチングハブのポートに、このポートの先に接続される機器を認識させるための情報を送信するパケット送信制御手段と、バックアップ状態にある場合に、マスタ状態の他の暗号装置から送信される前記アドレス情報を、前記ポート情報格納手段に格納する受信情報処理手段と、を備えることを特徴とする。
【0009】
【発明の実施の形態】
以下に添付図面を参照して、この発明にかかる暗号通信システムおよび暗号装置の好適な実施の形態を詳細に説明する。
【0010】
実施の形態1.
図1は、この発明にかかる暗号装置の実施の形態1の概略構成を示すブロック図であり、図2は、この暗号装置が適用される暗号通信システムのネットワーク構成の一例を示す図である。なお、この明細書では、暗号装置として、ネットワーク上に既存の各機器のネットワークパラメータを変更せずに設置可能なリピータを基本アーキテクチャとするリピータ型暗号装置を用いる場合を説明する。
【0011】
図2に示されるように、IPアドレスについて同一のサブネットマスクを有する機器からそれぞれ構成される第1と第2のIPサブネットワーク10,20が暗号文側ゲートウェイ15,22(図中では、それぞれCGW1,CGW2と表記)を介してインターネット30に接続されている。第1のIPサブネットワーク10には、平文側ゲートウェイ16(図中では、PGWと表記)を介して別のサブネットマスクを有する端末Aが接続されている。
【0012】
第1のIPサブネットワーク10は、VRRPに基づいて動作し、後述する構成を有する第1と第2の暗号装置11,12(図中では、RE11,RE12と表記)が、2つのスイッチングハブ13,14(図中では、HUB1,HUB2と表記)に挟まれた構成を有している。以下では、2つのスイッチングハブのうち、平文側ゲートウェイ16に配置されるスイッチングハブを第1のスイッチングハブ13といい、暗号文側ゲートウェイ15に配置されるスイッチングハブを第2のスイッチングハブ14という。また、第1のIPサブネットワーク10には、端末Bが接続されている。第2のIPサブネットワーク20は、1つの暗号装置21(図中では、RE2と表記)を備え、暗号装置21を挟んで、暗号文側ゲートウェイ22とは反対側に端末Cが接続されている。インターネット30には、端末Dが接続されている。
【0013】
このようなネットワーク構成において、第1のIPサブネットワーク10の暗号装置11(12)と第2のIPサブネットワーク20の暗号装置21との間で、暗号化通信が行われる暗号文ネットワークが形成され、第1および第2のIPサブネットワーク10,20の暗号装置11,12,21をはさんで暗号文ネットワークの反対側には平文ネットワークが形成される。
【0014】
このような第1のIPサブネットワーク10で使用される暗号装置11,12は、図1に示されるように、平文ネットワーク側に位置する論理的な平文ポート111と、暗号文ネットワーク側に位置する論理的な暗号文ポート113と、これらのポート111,113から入力される通信データをその要求にしたがって転送処理を行う転送処理部115と、上記のポートから受信した通信データからそれぞれのポート111,113の先に接続されている機器を検出する接続状態検出部116と、VRRPに基づいたパケットなどを送信するパケット送信制御部117と、マスタ状態にある他の暗号装置から受信したそれぞれのポート111,113の先に接続されている機器のアドレス情報を含むポート情報の格納処理を行う受信情報処理部118と、マスタ状態にある他の暗号装置の故障を検知する切替検知部119と、これらの構成要素を含む暗号装置全体を制御する制御部120と、を備えて構成される。
【0015】
平文ポート111は、平文ポート111側に接続される接続状態検出部116によって検出された機器のアドレス情報を含むポート情報を格納する平文ポート情報格納部112を備え、暗号文ポート113は、暗号文ポート113側に接続される接続状態検出部116によって検出された機器のアドレス情報を含むポート情報を格納する暗号文ポート情報格納部114を備える。図3は、平文ポート情報格納部と暗号文ポート情報格納部に格納されるポート情報の一例を示す図である。この図3では、第2層としてイーサネット(登録商標)を使用した場合を例示しており、それぞれのポート情報格納部112,114は、それぞれのポートの先に接続される機器の接続状態に関するポート情報を格納するために、その機器のMAC(Media Access Control)アドレスとIPアドレスの組合せをポート情報として格納する。ただし、その機器が暗号装置11(12)と同一のサブネットマスクを有する第1のIPサブネットワーク10内にない場合には、その機器のMACアドレスとして、第1のIPサブネットワーク10と他のネットワークとの接続点に位置する暗号文側ゲートウェイ15または平文側ゲートウェイ16のMACアドレスが格納される。なお、これらの平文ポート情報格納部112と暗号文ポート情報格納部114は、それぞれ初期状態では何も入力されていない状態にある。
【0016】
転送処理部115は、たとえば平文ポート111側から入力される通信データについて、そのまま中継処理、廃棄処理、または暗号化処理のいずれかをその通信データに格納されている要求に応じて実行し、暗号文ポート113側から入力される通信データについて、そのまま中継処理、廃棄処理、または復号化処理のいずれかをその通信データに格納されている要求に応じて実行する。なお、この転送処理は、たとえば上記特許文献1などに記載されている公知の技術を使用することができる。
【0017】
接続状態検出部116は、平文ポート111と暗号文ポート113を介してやり取りされる通信データを使用して、各ポートの先に接続されている機器の状態を検出し、検出した情報を平文ポート情報格納部112または暗号文ポート情報格納部114に格納する機能を有する。たとえば、第2層としてイーサネット(登録商標)を使用する場合には、イーサネット(登録商標)フレームの宛先アドレスには、IPサブネットワークの境界に位置する機器のMACアドレスが格納されており、送信元アドレスにはそのIPサブネットワーク内でそのイーサネット(登録商標)フレームを送信した機器のMACアドレスが格納されているので、イーサネット(登録商標)フレームの宛先MACアドレスおよび送信元MACアドレスと、第3層の宛先IPアドレスと送信元IPアドレスとを抽出して、それぞれのポート111,113の先に接続されている機器のアドレス情報を得ることができる。これによって、暗号装置11(12)の各ポート111,113の先に接続されている機器のMACアドレスとIPアドレスの組合せからなるポート情報が検出される。
【0018】
受信情報処理部118は、自暗号装置11(12)がバックアップ状態にある場合に、マスタ状態の暗号装置12(11)から受信した後述するMACアドレス通知を、平文ポート情報格納部112と暗号文ポート情報格納部114に格納する機能を有する。これによって、マスタ状態にある暗号装置12(11)と同じポート情報が、バックアップ状態にある暗号装置11(12)に格納される。
【0019】
切替検知部119は、バックアップ状態にある自暗号装置11(12)がADVERTISEMENTパケットを所定時間経過しても受信できない場合に、マスタ状態にある他の暗号装置12(11)が故障であると検知し、自暗号装置11(12)をバックアップ状態からマスタ状態に切り替える機能を有する。これによって、バックアップ状態からマスタ状態への切り替え処理が開始される。
【0020】
パケット送信制御部117は、自暗号装置11(12)がマスタ状態にある場合には、予め決められた時間に定期的にADVERTISEMENTパケットを送信する機能を有する。このADVERTISEMENTパケットの送信によって、マスタ状態にある暗号装置11(12)が正常であることを他のバックアップ状態にある他の暗号装置12(11)に対して通知する。
【0021】
また、パケット送信制御部117は、自暗号装置11(12)がマスタ状態にある場合には、平文ポート111と暗号文ポート113に格納されるポート情報を含むMACアドレス通知を、同じIPサブネットワーク内のバックアップ状態にある他の暗号装置12(11)に対して送信する機能も有する。このMACアドレス通知は、ブロードキャスト通知で行われる。MACアドレス通知は、前回MACアドレス通知を送信してからそれぞれのポート情報格納部112,114に新たに格納されたIPアドレスとMACアドレスの組合せであるポート情報であることが望ましい。このMACアドレス通知によって、バックアップ状態にある暗号装置12(11)の平文ポート情報格納部112と暗号文ポート情報格納部114に、マスタ状態の暗号装置11(12)の有するポート情報と同じポート情報が格納され、マスタ状態にある暗号装置11(12)とバックアップ状態にある暗号装置12(11)との間でポート情報の同期をとることができる。
【0022】
さらに、パケット送信制御部117は、バックアップ状態からマスタ状態に切り替ったときに、自暗号装置11(12)に接続されるスイッチングハブ13,14のポートに、そのスイッチングハブ13,14の先に接続される機器のMACアドレスを認識させるための通信データ(パケット)を送信する機能も有する。
【0023】
たとえば、平文ポート111に接続されるスイッチングハブ13のポートに、自暗号装置11(12)の暗号文ポート113側に接続される機器のMACアドレスが格納されるように、暗号文ポート情報格納部114に格納されるMACアドレスを送信元MACアドレスとするpingパケット(ICMP(Internet Control Message Protocol) Echoリクエストパケット)やARP(Address Resolution Protocol)リクエストパケットを送信し、暗号文ポート113に接続されるスイッチングハブ14のポートに、自暗号装置11(12)の平文ポート111側に接続される機器のMACアドレスが格納されるように、平文ポート情報格納部112に格納されるMACアドレスを送信元MACアドレスとするpingパケットやARPリクエストパケットを送信する。これによって、暗号装置11(12)の切り替え時に、暗号装置11(12)の各ポート111,113に接続されるスイッチングハブ13,14のアドレス対応情報も変更される。
【0024】
このような構成を有する暗号装置が図2の第1のIPサブネットワーク10内のスイッチングハブ13,14の間に複数設けられた暗号通信システムにおける暗号装置の動作を、通常時と暗号装置の切り替え(遷移)時のそれぞれについて説明する。なお、第1のIPサブネットワーク10において、第1の暗号装置11がマスタ状態にあり、第2の暗号装置12がバックアップ状態にあるものとする。
【0025】
図4は、通常時におけるマスタ状態の暗号装置とバックアップ状態の暗号装置の動作を示すフローチャートである。マスタ状態の暗号装置11が起動されると、パケット送信制御部117は、予め設定された所定時間を経過したか否かを確認する(ステップS101)。予め決められた時間が経過していない場合(ステップS101でNoの場合)には、その時間が経過するまで待ち状態となる。予め決められた時間が経過すると(ステップS101でYesの場合)、パケット送信制御部117は、ADVERTISEMENTパケットを接続されるバックアップ状態の暗号装置12にブロードキャストで送信する(ステップS102)。
【0026】
その後、平文ポート111または暗号文ポート113から入力した通信データの中継があるか否かが判定される(ステップS103)。通信データの中継がある場合(ステップS103でYesの場合)には、転送処理部115によってその通信データに格納される要求にしたがって、たとえば平文パケットを暗号文パケットに暗号化、カプセル化したり、平文パケットをそのまま平文通信したりするなどの転送、中継処理が実行される(ステップS104)。また、同時に接続状態検出部116によって、イーサネット(登録商標)フレームのヘッダ部とIPパケットのヘッダ部から、自暗号装置11の入出力されるポート111,113に接続される機器のIPアドレスとMACアドレスの組合せであるポート情報を取得し、平文ポート情報格納部112と暗号文ポート情報格納部114に対応するポート情報を格納する(ステップS105)。
【0027】
その後、または、ステップS103で通信データの中継がない場合(ステップS103でNoの場合)には、パケット送信制御部117によって、再び所定時間が経過したか否かが判定される(ステップS106)。所定時間が経過していない場合(ステップS106でNoの場合)には、再びステップS103に戻り、上述した処理が繰り返される。また、所定時間が経過した場合(ステップS106でYesの場合)には、パケット送信制御部117は、前回MACアドレス通知を送信したときに比べて、平文ポート情報格納部112の平文ポート情報と、暗号文ポート情報格納部114の暗号文ポート情報に変更があるか否かを判断する(ステップS107)。これらのポート情報に変更がある場合(ステップS107でYesの場合)には、ADVERTISEMENTパケットと上記変更があった分のポート情報をMACアドレス通知として、バックアップ状態にある暗号装置12に対してブロードキャスト通知する(ステップS108)。
【0028】
一方、上記ポート情報に変更がない場合(ステップS107でNoの場合)には、パケット送信制御部117は、バックアップ状態にある暗号装置に対してADVERTISEMENTパケットをブロードキャスト通知する(ステップS109)。
【0029】
その後、またはステップS108の後、処理が終了するか否かを判断し(ステップS110)、終了しない場合(ステップS110でNoの場合)には再びステップS103に戻って上述した処理が繰り返され、それ以外の場合(ステップS110でYesの場合)には、処理が終了する。
【0030】
なお、ステップS108において、パケット送信制御部117は、MACアドレス通知を、ADVERTISEMENTパケットの後半部分の付加情報として送信してもよいし、ADVERTISEMENTパケットとは異なる単独のパケットとして送信してもよい。
【0031】
一方、バックアップ状態の暗号装置12は、起動されてから所定時間内にマスタ状態の暗号装置11からADVERTISEMENTパケットを受信したか否かを判定する(ステップS121)。所定時間内にADVERTISEMENTパケットを受信した場合(ステップS121でYesの場合)には、異常なしと判断され(ステップS122)、そのまま待ち状態となる。一方、所定時間内にADVERTISEMENTパケットを受信しなかった場合(ステップS121でNoの場合)には、切替検知部119によってマスタ状態の暗号装置11の異常が検知され(ステップS123)、後述する図5の切替処理が行われる。
【0032】
ステップS122の後、再び所定時間内にマスタ状態の暗号装置11からADVERTISEMENTパケットを受信したか否かを判定する(ステップS124)。所定時間内にADVERTISEMENTパケットを受信した場合(ステップS124でYesの場合)には、異常なしと判断される(ステップS125)。一方、所定時間内にADVERTISEMENTパケットを受信しなかった場合(ステップS124でNoの場合)には、切替検知部119によってマスタ状態の暗号装置11の異常が検知され(ステップS129)、後述する図5の切り替え処理が行われる。
【0033】
ステップS125の後、MACアドレス通知を受信したか否かが判断される(ステップS126)。MACアドレス通知を受信した場合(ステップS126でYesの場合)には、受信情報処理部118は、MACアドレス通知の内容を平文ポート情報格納部112および/または暗号文ポート情報格納部114に格納する(ステップS127)。
【0034】
その後、またはステップS126でMACアドレス通知を受信していない場合(ステップS126でNoの場合)には、処理が終了するか否かを判断し(ステップS128)、終了しない場合(ステップS128でNoの場合)には再びステップS124に戻って上述した処理が繰り返され、それ以外の場合(ステップS128でYesの場合)には、処理が終了する。
【0035】
図5は、マスタ状態に遷移した暗号装置の動作を示すフローチャートである。バックアップ状態にある暗号装置12の切替検知部119は、マスタ状態の暗号装置11の異常を検知すると(ステップS201)、バックアップ状態からマスタ状態に切り替える(ステップS202)。その後、パケット送信制御部117は、ADVERTISEMENTパケットをブロードキャスト通知し(ステップS203)、さらに、自暗号装置12に接続される第1と第2のスイッチングハブ13,14のポートに、そのポートに接続される機器のMACアドレスを認識できる情報を送信する(ステップS204)。この情報として、たとえば、送信するポート111,113とは逆側のポート情報格納部114,112に格納されるMACアドレスを送信元MACアドレスに設定したpingパケットやARPリクエストパケットなどを送信することができる。なお、このとき送信されるpingパケットやARPリクエストパケットなどは、送信するポート111,113とは逆側のポート情報格納部114,112に格納されているMACアドレスの種類の数だけ送信する必要がある。
【0036】
そして、パケット送信制御部117は、所定時間が経過したか否かを判定し(ステップS205)、所定時間が経過した場合(ステップS205でYesの場合)には、ADVERTISEMENTパケットを他のバックアップ状態の暗号装置に対してブロードキャストで送信する(ステップS206)。その後、またはステップS205で所定時間が経過していない場合(ステップS205でNoの場合)には、処理が終了するか否かを判断し(ステップS207)、終了しない場合(ステップS207でNoの場合)には再びステップS205に戻って上述した処理が繰り返され、それ以外の場合(ステップS207でYesの場合)には、処理が終了する。
【0037】
以下に、図2に示される暗号通信システムにおける暗号装置11,12の切り替え処理の具体例を説明する。ここでは、まず、端末Aと端末Cとの間で暗号化通信が行われ、つぎに、端末Aと端末Dとの間で平文通信が行われ、つぎに、端末Bと端末Dとの間で平文通信が行われ、そして、端末Bと端末Cとの間で暗号化通信が行われる場合を例に挙げて説明する。図6〜図9は、これらの端末間で行われるイーサネット(登録商標)フレーム(通信データ)の構成の概要を示す図であり、図6は、端末Aと端末Cとの間の通信データの構成の概要を示し、図7は、端末Aと端末Dとの間の通信データの構成の概要を示し、図8は、端末Bと端末Dとの間の通信データの構成の概要を示し、図9は、端末Bと端末Cとの間の通信データの構成の概要を示している。
【0038】
また、図10〜図16は、上記端末間の通信による第1のIPサブネットワーク10の暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。これらの図に示されるように、第1と第2のスイッチングハブ13,14のポートaは第1の暗号装置11と接続されており、ポートbは第2の暗号装置12と接続されており、ポートcはそれぞれ平文ネットワーク、暗号文ネットワークに接続されている。また、第1と第2のスイッチングハブ13,14は、これらのポートa〜cと、これらのポートa〜cの先に接続されている機器のMACアドレスとを対応付けるアドレス対応情報を格納するアドレス対応表を内部に有している。これらの図面では、アドレス対応表のうちポートaに関するアドレス対応情報をポートaの枠内に記載し、ポートbに関するアドレス対応情報をポートbの枠内に記載し、ポートcに関するアドレス対応情報をポートcの枠内に記載している。
【0039】
なお、以下の説明において、第1のスイッチングハブ13のMACアドレスとIPアドレスは「HUB1」とし、第2のスイッチングハブ14のMACアドレスとIPアドレスは「HUB2」とし、暗号文側ゲートウェイ15のMACアドレスとIPアドレスは「CGW1」とし、平文側ゲートウェイ16のMACアドレスとIPアドレスは「PGW」とし、端末AのMACアドレスとIPアドレスは「A」とし、端末BのMACアドレスとIPアドレスは「B」とし、端末CのMACアドレスとIPアドレスは「C」とし、端末DのMACアドレスとIPアドレスは「D」とし、そして、第2のIPサブネットワーク20の暗号装置21のIPアドレスは「RE2」とする。また、第1と第2の暗号装置11,12は、いずれか1つの暗号装置しか動作しないので、これらの暗号装置11,12の全体に対して1つの仮想MACアドレス「VREMAC」と仮想IPアドレス「VREIP」が付与されるものとする。
【0040】
図10は、通信が開始されていない初期状態を示している。2つの暗号装置11,12の平文ポート情報格納部112と暗号文ポート情報格納部114にはポート情報が何も格納されておらず、2つのスイッチングハブ13,14の各ポートa〜cにもアドレス対応情報が何も格納されていない。なお、以下の図中では、暗号装置11,12のマスタ状態を「MR状態」と表記し、バックアップ状態を「BR状態」と表記している。
【0041】
この状態で、まず、端末Aと端末Cとの間で図6に示される形式の暗号化通信が行われるとする。図6の(a)は端末Aから端末Cへの平文パケットを含むフレームの構成を示しており、(b)は(a)の平文パケットが暗号化された暗号文パケットを含むフレームの構成を示しており、(c)は端末Cから端末Aへの平文パケットを含むフレームの構成を示しており、そして、(d)は端末Cから端末Aへの暗号文パケットを含むフレームの構成を示している。
【0042】
第1のスイッチングハブ13は、端末Aと端末Cとの間の通信において、端末Aからの図6(a)に示される平文パケットを受信し、端末Cからの図6(c)に示される平文パケットを端末Aに送信する。このとき、第1のスイッチングハブ13は、図6(a)の送信元MACアドレスまたは図6(c)の宛先MACアドレスから、ポートcには平文側ゲートウェイ16が接続されていること検出する。そして、ポートcと平文側ゲートウェイ16のMACアドレス「PGW」とを対応付けて記憶する。また、図6(a)の宛先MACアドレスまたは図6(c)の送信元MACアドレスから、ポートaには暗号文側ゲートウェイ15が接続されていることを検出する。そして、ポートaと暗号文側ゲートウェイ15のMACアドレス「CGW1」とを対応付けて記憶する。
【0043】
第1の暗号装置11の転送処理部115は、端末Aから端末Cへの通信において、図6(a)に示すパケット形式の平文パケットを図6(b)に示すパケット形式の暗号文パケットに暗号化する。また、接続状態検出部116は、平文ポート111から受信した図6(a)に示される平文パケットの送信元IPアドレスと送信元MACアドレスから、平文ポート111側に位置する端末AのIPアドレス「A」と平文側ゲートウェイ16のMACアドレス「PGW」の組からなるポート情報を平文ポート情報格納部112に記憶する。同様に図6(a)に示される平文パケットの宛先IPアドレスと宛先MACアドレスから、暗号文ポート113側に位置する端末CのIPアドレス「C」と暗号文側ゲートウェイ15のMACアドレス「CGW1」の組からなるポート情報を暗号文ポート情報格納部114に記憶する。
【0044】
また、第1の暗号装置の転送処理部115は、端末Cから端末Aへの通信において、図6(d)に示すパケット形式の暗号文パケットを暗号文ポート113から受信し、図6(c)に示すパケット形式の平文パケットに復号化する。さらに、接続状態検出部116は、図6(c)に示される復号後の平文パケットの宛先IPアドレスと宛先MACアドレスから、平文ポート111側に位置する端末AのIPアドレス「A」と平文側ゲートウェイ16のMACアドレス「PGW」の組からなるポート情報を平文ポート情報格納部112に記憶する。同様に図6(c)に示される平文パケットの送信元IPアドレスと送信元MACアドレスから、暗号文ポート113側に位置する端末CのIPアドレス「C」と暗号文側ゲートウェイ15のMACアドレス「CGW1」の組からなるポート情報を暗号文ポート情報格納部114に記憶する。
【0045】
以上の暗号装置の接続状態検出部116による接続状態の検出において、端末Aと端末Cとの間の通信はどちら側から先に通信を開始するか分からないが、上記のように処理することによって、暗号化する時も復号化する時も同じIPアドレスとMACアドレスの組を平文ポート情報格納部112と暗号文ポート情報格納部114に記憶することが可能となる。
【0046】
第2のスイッチングハブ14は、端末Aと端末Cとの間の通信において、端末A側から図6(b)に示される暗号文パケットを受信し、端末Cからの図6(d)に示される暗号文パケットを端末Aに送信する。このとき、第2のスイッチングハブ14は、図6(b)の宛先MACアドレスまたは図6(d)の送信元MACアドレスから、ポートcには暗号文側ゲートウェイ15が接続されていることを検出する。そして、ポートcと暗号文側ゲートウェイ15のMACアドレス「CGW1」とを対応付けて記憶する。また、図6(b)の送信元MACアドレスまたは図6(d)の宛先MACアドレスから、ポートaには第1の暗号装置11が接続されていることを検出する。そして、ポートaと第1の暗号装置11の仮想MACアドレス「VREMAC」とを対応付けて記憶する。
【0047】
つぎに、端末Aと端末Dとの間で図7に示される通信データで平文通信が行われるとする。図7の(a)は端末Aから端末Dへの通信データの構成を示しており、(b)は端末Dから端末Aへの通信データの構成を示している。
【0048】
第1のスイッチングハブは、端末Aと端末Dとの間の通信において、端末Aからの図7(a)に示される通信データを受信し、端末Dからの図7(b)に示される通信データを端末Aに送信する。このとき、第1のスイッチングハブ13は、図7(a)の送信元MACアドレスまたは図7(b)の宛先MACアドレスから、ポートcには平文側ゲートウェイ16が接続されていることを検出する。そして、ポートcと平文側ゲートウェイ16のMACアドレス「PGW」とを対応付けて記憶する。また、図7(a)の宛先MACアドレスまたは図7(b)の送信元MACアドレスから、ポートaには暗号文側ゲートウェイ15が接続されていることを検出する。そして、ポートaと暗号文側ゲートウェイ15のMACアドレス「CGW1」とを対応付けて記憶する。しかし、このポートcと平文側ゲートウェイ16のMACアドレスとの対応付けと、ポートaと暗号文側ゲートウェイ15のMACアドレスとの対応付けは、既に記憶されているので、改めて上書きしなくてもよい。
【0049】
第1の暗号装置11の転送処理部115は、端末Aから端末Dへの通信において、図7(a)の形式の通信パケットを平文通信する。また、接続状態検出部116は、平文ポート111から受信した図7(a)に示される通信データの宛先IPアドレスと宛先MACアドレスから、暗号文ポート113側に位置する端末DのIPアドレス「D」と暗号文側ゲートウェイ15のMACアドレス「CGW1」の組を暗号文ポート情報格納部114に格納する。
【0050】
また、第1の暗号装置11の転送処理部115は、端末Dから端末Aへの通信において、図7(b)の形式の通信パケットを平文通信する。また、接続状態検出部116は、平文ポート111へ送信する図7(b)に示される通信データの送信元IPアドレスと送信元MACアドレスから、暗号文ポート113側に位置する端末DのIPアドレス「D」と暗号文側ゲートウェイ15のMACアドレス「CGW1」の組を暗号文ポート情報格納部114に記憶する。
【0051】
なお、以上の第1の暗号装置11の接続状態検出部116による接続状態の検出において、端末Aと端末Dとの間の通信はどちら側から先に通信を開始するか分からないが、上記のように処理することによって、どちらから通信が開始されても同じIPアドレスとMACアドレスの組を記憶することが可能となる。
【0052】
第2のスイッチングハブ14は、端末Aと端末Dとの間の通信において、端末A側から図7(a)の通信データを受信し、端末Dからの図7(b)の通信データを端末Aに送信する。このとき、第2のスイッチングハブ14は、図7(a)の宛先MACアドレスまたは図7(b)の送信元MACアドレスから、ポートcには暗号文側ゲートウェイ15が接続されていることを検出する。そして、ポートcと暗号文側ゲートウェイ15のMACアドレス「CGW1」とを対応付けて記憶する。また、図7(a)の送信元MACアドレスまたは図7(b)の宛先MACアドレスから、ポートaには平文側ゲートウェイ16が接続されていることを検出する。そして、ポートaと平文側ゲートウェイ16のMACアドレス「PGW」とを対応付けて記憶する。しかし、このポートcと平文側ゲートウェイ16のMACアドレスとの対応付けは、既に記憶されているので、改めて上書きしなくてもよい。
【0053】
以上の処理によって得られる暗号装置とスイッチングハブの状態を示したものが図11である。この図11に示されるように、第1および第2のスイッチングハブ13,14のポートa,cには、これらのポートの先に接続される機器のMACアドレス(アドレス対応情報)が格納され、第1の暗号装置11の平文ポート情報格納部112と暗号文ポート情報格納部114には、平文ポート111と暗号文ポート113の先に接続される機器のポート情報が格納されている。
【0054】
第1の暗号装置11は、マスタ状態にあるので、所定の時間間隔で定期的にADVERTISEMENTパケットを送信しているが、あわせてMACアドレス通知も送信する。前回のMACアドレス通知を送信してから新たに記憶した平文ポート情報格納部112と暗号文ポート情報格納部114のIPアドレスとMACアドレスの組を含むポート情報を、バックアップ状態である他の暗号装置(図2の場合には、第2の暗号装置12)へ通知する。ここでは、図10の状態と図11の状態とを比較して、新たに格納されたポート情報がMACアドレス通知として送信される。図17は、MACアドレス通知の内容の一例を示す図であり、図17(a)のMACアドレス通知#1が、このときバックアップ状態の第2の暗号装置12に送信されるものである。
【0055】
暗号装置11が所定の時間間隔で定期的に送信しているADVERTISEMENTパケットの宛先MACアドレスはブロードキャストアドレスであり、送信元MACアドレスは暗号装置11の仮想MACアドレスであるVREMACである。第1のスイッチングハブ13は、ADVERTISEMENTパケットの送信元MACアドレスから、ポートaにはMACアドレスがVREMACである暗号装置11が接続されていることを検出する。そして、ポートaと暗号装置11のMACアドレス「VREMAC」とを対応付けて記憶する。
【0056】
第2の暗号装置12の受信情報処理部118は、第1の暗号装置11からのMACアドレス通知#1を受信すると、MACアドレス通知#1に格納されているポート情報を平文ポート情報格納部112と暗号文ポート情報格納部114に格納する。これによって、マスタ状態の第1の暗号装置11の保持するポート情報と、バックアップ状態の第2の暗号装置12の保持するポート情報との間で同期を取ることができる。以上の処理によって得られる暗号装置11,12とスイッチングハブ13,14の状態を示したものが図12である。この図12に示されるように、第2の暗号装置12の平文ポート情報格納部112と暗号文ポート情報格納部114に格納されているポート情報は、第1の暗号装置11の平文ポート情報格納部112と暗号文ポート情報格納部114に格納されているポート情報と一致したものとなる。
【0057】
この後に、端末Bと端末Dとの間で図8に示される形式の平文通信が行われるとする。図8の(a)は端末Bから端末Dへの通信データの構成を示しており、(b)は端末Dから端末Bへの通信データの構成を示している。
【0058】
第1のスイッチングハブ13は、端末Bと端末Dとの間の通信において、端末Bからの図8(a)に示される通信データを受信し、端末Dからの図8(b)に示される通信データを端末Aへ送信する。このとき、第1のスイッチングハブ13は、図8(a)の送信元MACアドレスまたは図8(b)の宛先MACアドレスから、ポートcには端末Bが接続されていることを検出する。そして、ポートcと端末BのMACアドレス「B」とを対応付けて記憶する。また、図8(a)の宛先MACアドレスまたは図8(b)の送信元MACアドレスから、ポートaには暗号文側ゲートウェイ15が接続されていることを検出する。そして、ポートaと暗号文側ゲートウェイ15のMACアドレス「CGW1」とを対応付けて記憶する。しかし、ポートaと暗号文側ゲートウェイ15のMACアドレス「CGW1」との対応付けは、既に記憶されているので、改めて記憶しなくてもよい。
【0059】
第1の暗号装置11の転送処理部115は、端末Bから端末Dへの通信において、図8(a)の形式の通信パケットを平文通信する。また、接続状態検出部116は、平文ポート111から受信した図8(a)に示される通信データの送信元IPアドレスと送信元MACアドレスから、平文ポート111側に位置する端末BのIPアドレス「B」と端末BのMACアドレス「B」の組からなるポート情報を平文ポート情報格納部112に格納する。
【0060】
また、第1の暗号装置の転送処理部115は、端末Dから端末Bへの通信において、図8(b)の形式の通信パケットを平文通信する。また、接続状態検出部116は、平文ポート111へ送信する図8(b)に示される通信データの宛先IPアドレスと宛先MACアドレスから、平文ポート111側に位置する端末BのIPアドレス「B」と端末BのMACアドレス「B」の組からなるポート情報を平文ポート情報格納部112に記憶する。
【0061】
なお、以上の暗号装置の接続状態検出部116による接続状態の検出において、端末Bと端末D間の通信はどちら側から先に通信を開始するか分からないが、上記のような処理を行うことによって、どちら側からの通信でも同じIPアドレスとMACアドレスの組を記憶することが可能となる。
【0062】
第2のスイッチングハブ14は、端末Bと端末Dとの間の通信において、端末B側から図8(a)の通信データを受信し、端末Dからの図8(b)の通信データを端末Bへ送信する。このとき、第2のスイッチングハブ14は、図8(a)の宛先MACアドレスまたは図8(b)の送信元MACアドレスから、ポートcには暗号文側ゲートウェイ15が接続されていることを検出する。そして、ポートcと暗号文側ゲートウェイ15のMACアドレス「CGW1」とを対応付けて記憶する。ただし、既にこの組合せは記憶されているので、改めて記憶しなおさなくてもよい。また、図8(a)の送信元MACアドレスまたは図8(b)の宛先MACアドレスから、ポートaには端末Bが接続されていることを検出する。そして、ポートaと端末BのMACアドレス「B」とを対応付けて記憶する。
【0063】
つぎに、端末Bと端末Cとの間で図9に示される形式の暗号通信が行われるとする。図9の(a)は端末Bから端末Cへの平文パケットの構成を示しており、(b)は(a)の平文パケットが暗号化された暗号文パケットの構成を示しており、(c)は端末Cから端末Bへの平文パケットの構成を示しており、そして、(d)は端末Cから端末Bへの暗号文パケットの構成を示している。しかし、この端末Bと端末Cとの間の暗号通信で得られる第1と第2のスイッチングハブ13,14のポートa,cに格納されるアドレス対応情報や、第1の暗号装置11の平文ポート情報格納部112と暗号文ポート情報格納部114に格納されるポート情報は、既に検出されているものであるので、その説明を省略する。ただし、第1と第2のスイッチングハブ13,14によるアドレス対応情報の抽出や、第1の暗号装置11の接続状態検出部116によるポート情報の検出は、上述した端末Aと端末Cとの間の暗号通信の場合と同様である。
【0064】
以上の処理によって得られる暗号装置11,12とスイッチングハブ13,14の状態を示したものが図13である。この図13では、上記端末Bと端末Dとの間の通信と端末Bと端末Cとの間の暗号通信によって得られた新たなポート情報とアドレス対応情報が、点線で囲まれて表示されている。
【0065】
その後、所定時間が経過すると、第1の暗号装置11はADVERTISEMENTパケットを送信するが、このときあわせてMACアドレス通知も送信する。ここでは、図12の状態と図13の状態とを比較して、図13の暗号装置11中の新たに格納された点線で囲まれている部分のポート情報が、MACアドレス通知#2として送信される。ここで通知されるMACアドレス通知#2は、図17(b)に示されている。
【0066】
第2の暗号装置12の受信情報処理部118は、MACアドレス通知#2を第1の暗号装置11から受信すると、平文ポート情報格納部112と暗号文ポート情報格納部114にMACアドレス通知#2に格納されているポート情報を格納する。図13と図17(b)の例では、平文ポート情報格納部112に、端末BのIPアドレス「B」と端末BのMACアドレス「B」の組を平文ポート情報として追加して記憶する。以上のMACアドレス通知#2の送信処理によって得られる暗号装置11,12とスイッチングハブ13,14の状態を示したものが図14である。この図14に示されるように、第2の暗号装置12の平文ポート情報格納部112と暗号文ポート情報格納部114に格納されているポート情報は、第1の暗号装置11の平文ポート情報格納部112と暗号文ポート情報格納部114のそれと一致したものとなる。
【0067】
この図14に示される状態の後、第1の暗号装置11が何らかの異常によって定期的にADVERTISMENTパケットを送信できなくなると、第2の暗号装置12の切替検知部119が第1の暗号装置11の異常を検知して、バックアップ状態からマスタ状態に遷移し、パケット送信制御部117は、ADVERTISEMENTパケットを定期的に送信する。このとき送信されるADVERTISEMENTパケットの送信元MACアドレスは、第1と第2の暗号装置11,12の全体に対して仮想的に割り振られる仮想MACアドレス「VREMAC」である。
【0068】
第1のスイッチングハブ13は、ADVERTISEMENTパケットをポートbで受信すると、そのADVERTISEMENTパケットの送信元MACアドレスが暗号装置の仮想MACアドレス「VREMAC」になっているため、ポートaに暗号装置が接続されていた状態から、ポートbの先に暗号装置が接続されたと判断する。そして、ポートbと暗号装置のMACアドレス「VREMAC」とを対応付けて記憶する。この結果、既に対応付けられていたポートaと暗号装置のMACアドレス「VREMAC」の組合せは削除されることになる。これ以降、第1のスイッチングハブ13は、MACアドレスが暗号装置宛のパケットをポートbへ中継するようになる。
【0069】
第2のスイッチングハブ14も、同様に、ADVERTISEMENTパケットを受信すると、ポートa側からポートb側に暗号装置のMACアドレス「VREMAC」を記憶するように、アドレス対応表を変更する。そして、これ以降、第2のスイッチングハブ14は、MACアドレスが暗号装置宛のパケットをポートbへ中継する。以上の第2の暗号装置12がマスタ状態に遷移した後の処理によって得られる暗号装置11,12とスイッチングハブ13,14の状態を示したものが図15である。
【0070】
バックアップ状態からマスタ状態に遷移した第2の暗号装置12のパケット送信制御部117は、暗号文ポート情報格納部114に記憶されているMACアドレスを送信元MACアドレスとするpingパケットを平文ポート111側へ送信する。図18は、第2の暗号装置12のパケット送信制御部117によって送信されるpingパケットの構成を模式的に示す図である。上述したように、暗号文ポート情報格納部114のMACアドレスには、暗号文側ゲートウェイのMACアドレス「CGW1」のみが格納されているので、パケット送信制御部117は、図18(a)に示される送信元MACアドレス「CGW1(送信元IPアドレスは暗号装置の仮想IPアドレス「VREIP」である)」を設定したpingパケットのみを平文ポート111側から送信する。なお、この図18(a)の宛先は端末Bとなっているが、このpingパケットの目的は、第1のスイッチングハブ13の第2の暗号装置12と接続されるポートbに、このポートbの先に接続されている機器のMACアドレスを認識させることであるので、平文ポート情報格納部112に格納されているIPアドレスとMACアドレスの組のいずれを宛先としてもよい。
【0071】
このpingパケットを受信した第1のスイッチングハブ13は、受信したパケットの送信元MACアドレスが暗号文側ゲートウェイ15のMACアドレス「CGW1」になっているので、ポートaに暗号文側ゲートウェイ15が接続されていた状態から、ポートbの先に暗号文側ゲートウェイ15が接続されたと判断する。そして、ポートbと暗号文側ゲートウェイ15のMACアドレス「CGW1」とを対応付けて記憶するようにアドレス対応表を変更する。これ以降、第1のスイッチングハブ13は、MACアドレスが暗号文側ゲートウェイ15宛のパケットをポートbへ中継する。
【0072】
同様に、第2の暗号装置12のパケット送信制御部117は、平文ポート情報格納部112に記憶されているMACアドレスを送信元MACアドレス(送信元IPアドレスは暗号装置の仮想IPアドレスである)とするpingパケットを暗号文ポート113側へ送信する。図15の第2の暗号装置12の平文ポート情報格納部112を見ると、平文側ゲートウェイ16のMACアドレス「PGW」と端末BのMACアドレス「B」が格納されているので、2種類のpingパケットを暗号文ポート113側へ送信する。このとき送信されるpingパケットの例が図18(b),(c)に示されている。この場合も、pingパケットの宛先には暗号文ポート情報格納部114に格納されているアドレスのうち任意のものを選択することができる。
【0073】
図18(b)に示されるpingパケットを受信した第2のスイッチングハブ14は、受信したパケットの送信元MACアドレスが平文側ゲートウェイ16のMACアドレス「PGW」になっているので、ポートaに平文側ゲートウェイ16が接続されていた状態から、ポートbの先に平文側ゲートウェイ16が接続されたと判断する。そして、ポートbと平文側ゲートウェイ16のMACアドレス「PGW」とを対応付けて記憶するようにアドレス対応表を変更する。これ以降、第2のスイッチングハブ14は、MACアドレスが平文側ゲートウェイ16宛のパケットをポートbへ中継する。
【0074】
同様に、図18(c)に示されるpingパケットを受信した第2のスイッチングハブ14は、ポートaに端末Bが接続されていた状態から、ポートbの先に端末Bが接続されたと判断する。そして、ポートbと端末BのMACアドレス「B」とを対応付けて記憶するようにアドレス対応表を変更する。これ以降、第2のスイッチングハブ14は、MACアドレスが端末B宛のパケットをポートbへ中継する。以上の第2の暗号装置12によるpingパケットの送信処理によって得られる暗号装置11,12とスイッチングハブ13,14の状態を示したものが図16である。これによって、第1と第2のスイッチングハブ13,14のポートaのアドレス対応情報はなくなり、ポートbにそれまでポートaに格納されていたMACアドレス(アドレス対応情報)が格納される。
【0075】
なお、図16では、第1と第2のスイッチングハブのアドレス対応表を変更するためにpingパケットを送信するようにしているが、上述したように、ARPリクエストパケットを送信することもできる。図19は、第2の暗号装置のパケット送信制御部によって送信されるARPリクエストパケットの構成を模式的に示す図であり、(a)は平文ポート側から送信されるARPリクエストパケットの構成を示し、(b)と(c)は暗号文ポート側から送信されるARPリクエストパケットの構成を示している。このARPリクエストパケットでも、pingパケットの場合と同様に、送信元MACアドレスには、平文ポート111側に送信する場合には暗号文ポート情報格納部114に格納されているMACアドレスを設定し、暗号文ポート113側に送信する場合には平文ポート情報格納部112に格納されているMACアドレスを設定する。宛先MACアドレスにはブロードキャストアドレスが設定され、送信元IPアドレスには暗号装置の仮想IPアドレス「VREIP」が設定され、ARP宛先MACアドレスには「0」が設定される。また、ARP宛先IPアドレスには、平文ポート111側に送信する場合には平文ポート情報格納部112に格納されているどれか一つの組を選択すればよく、暗号文ポート113側に送信する場合には暗号文ポート情報格納部114に格納されているどれか一つの組を選択すればよい。
【0076】
これらのARPリクエストパケットを受信した第1と第2のスイッチングハブ13,14は、上述したpingパケットの場合と同様にして、ポートbとそのポートbの先に接続されている機器のMACアドレスとの対応関係を格納するアドレス対応表の変更を行う。図20は、このARPリクエストパケットの送信によって変更された暗号装置11,12とスイッチングハブ13,14の状態を示図である。
【0077】
このような処理によって、図6に示される形式の端末Aと端末C間の通信パケット、図9に示される形式の端末Bと端末C間の通信パケットのすべては、第2の暗号装置12経由で暗号化通信が可能となる。また、図8に示される形式の端末Bと端末D間の通信パケット、図7に示される端末Aと端末D間の通信パケットの全ては、第2の暗号装置12経由で平文通信される。
【0078】
この実施の形態1では、第1の暗号装置11はMACアドレス通知を平文ネットワークへ送信していたが、暗号文ネットワークへ送信するようにしてもよい。そして、暗号文ネットワークへMACアドレスを通知する時はMACアドレス通知を暗号化して送信するようにしてもよい。
【0079】
また、この実施の形態1では、図12と図14で第1の暗号装置11がMACアドレス通知#1とMACアドレス通知#2を通知するポート情報(MACアドレスとIPアドレスの組み合わせ)は、前回のMACアドレス通知送信時から新規に記憶したポート情報を通知しているが、新規に記憶したポート情報ではなく、記憶されているすべてのポート情報を通知してもよい。この場合、記憶されたすべてのポート情報の通知を行うMACアドレス通知は、ADVERTISEMENTパケットを送信する度に送信するのではなく、n回(nは自然数)のADVERTISEMENTパケットの送信に一度、たとえば、5回のADVERTISEMENTパケットの送信に一度の頻度で送信するようにしてもよい。
【0080】
さらに、この実施の形態1では、第1のIPサブネットワーク10における冗長構成を成すリピータ型暗号装置11,12が2台の場合を例に挙げて説明したが、3台以上の構成であってもよい。
【0081】
この実施の形態1によれば、暗号装置11,12に、バックアップ状態からマスタ状態に切り替った場合に、平文ポート111側には、暗号文ポート情報格納部114に格納されているMACアドレスを送信元MACアドレスとするメッセージを送信し、暗号文ポート113側には、平文ポート情報格納部112に格納されているMACアドレスを送信元MACアドレスとするメッセージを送信するパケット送信制御部117を備えるように構成したので、暗号装置11,12の平文ポート111側と暗号文ポート113側に接続される第1と第2のスイッチングハブ13,14のポートと、このポートの先に接続される機器のMACアドレスとの対応関係を示すアドレス対応情報の変更が、暗号装置11,12の切り替えとほぼ同時に行うことができる。その結果、暗号装置11,12が切り替った場合に、改めて第1と第2のスイッチングハブ13,14の経路の変更を行う必要がなくなるという効果を有する。
【0082】
以上の説明では、第1の暗号装置11が平文ネットワークから平文データを受信し平文データを暗号化して新規IPヘッダを付加し、暗号文ネットワークへ送信する時に平文データのIPヘッダよりIPアドレスとMACアドレスの組を記憶するようにしているが、第1の暗号装置11が暗号文ネットワークから暗号文データを受信し暗号文データを復号化し、平文ネットワークへ送信する時に平文データのIPヘッダよりIPアドレスとMACアドレスの組を記憶するようにしても同様の効果を得ることができる。
【0083】
実施の形態2.
図21は、この発明にかかる暗号装置の実施の形態2の構成を示すブロック図であり、図22は、この暗号装置が適用される暗号通信システムのネットワーク構成の一例を示す図である。この暗号装置11(12)は、実施の形態1の図1の暗号装置11(12)において、暗号化通信において使用される暗号アルゴリズムや認証アルゴリズム、暗号鍵や認証鍵などを含むSA(Security Association)付属情報を格納するSA情報格納部121と、冗長構成をなす他の暗号装置12(11)と専用通信回線40で接続してSA付属情報の通信を他の暗号装置12(11)との間で行う通信部122と、をさらに備えている。専用通信回線40は、図22に示されるように、第1のIPサブネットワーク10内の第1の暗号装置11と第2の暗号装置12との間を接続している。なお、SA情報格納部121に格納されるSA付属情報は、端末同士で行われる暗号化通信に先立って、それらの端末間の経路に存在する2つの暗号装置が、IKE(Internet Key Exchange)によってSAを確立したときに、両者間で共有されるものである。
【0084】
また、パケット送信制御部117は、SA付属情報をバックアップ状態にある暗号装置に送信するためのSA情報通知も送信する機能を有する。そして、パケット送信制御部117は、MACアドレス通知とSA情報通知に関しては、通信部122と専用通信回線40を介して送信し、ADVERTISEMENTパケットに関しては、平文ポート111または暗号文ポート113と、通信部122の両方を介して送信し、暗号装置11,12の切り替え時に送信されるpingパケットまたはARPリクエストパケットなどに関しては、平文ポート111および暗号文ポート113を介して送信するように制御する点が、実施の形態1の場合と異なる。
【0085】
受信情報処理部118は、専用通信回線40と通信部122を介して受信したSA情報通知を、SA情報格納部121に格納する機能をさらに有する。なお、図1,2と同一の構成要素については同一の符号を付して、その説明を省略している。
【0086】
つぎに、動作について説明する。図23は、通常時におけるマスタ状態の暗号装置とバックアップ状態の暗号装置の動作処理手順を示すフローチャートである。マスタ状態の暗号装置11(12)が起動されると、まず、パケット送信制御部117は、予め設定された所定の時間が経過したか否かを判定する(ステップS301)。所定の時間が経過していない場合(ステップS301でNoの場合)には、その時間が経過するまで待ち状態となる。予め決められた時間が経過すると(ステップS301でYesの場合)、パケット送信制御部117は、専用通信回線40で接続されるバックアップ状態の暗号装置12(11)に通信部122からADVERTISEMENTパケットを送信する(ステップS302)。
【0087】
その後、実施の形態1の図4で説明したステップS103〜S106と同じ処理を行って、ADVERTISEMENTパケットを送信してから所定時間が経過したか否かを確認する(ステップS303〜S306)。すなわち、通信データがある場合にはその通信データの転送、中継処理を行い、同時にその通信データからポート情報を検出して、平文ポート情報格納部112および/または暗号文ポート情報格納部114に格納し、その後に所定時間経過したか否かを確認する。
【0088】
所定時間が経過していない場合(ステップS306でNoの場合)には、再びステップS303へ戻り、所定時間が経過した場合(ステップS306でYesの場合)には、パケット送信制御部117は、前回MACアドレス通知を送信したときに比べて、平文ポート情報格納部112の平文ポート情報と、暗号文ポート情報格納部114の暗号文ポート情報に変更があるか否かを判断する(ステップS307)。いずれかのポート情報に変更がある場合(ステップS307でYesの場合)には、パケット送信制御部117は、専用通信回線40で接続されるバックアップ状態にある暗号装置12(11)に、通信部122を介してADVERTISEMENTパケットと、上記変更した分のポート情報を含むMACアドレス通知を送信する(ステップS308)。
【0089】
また、MACアドレス通知と同時に、パケット送信制御部117は、上記ステップS304での暗号化通信の転送処理を行った際に使用される暗号アルゴリズムや認証アルゴリズムと暗号鍵や認証鍵などのSA付属情報を含むSA情報通知を、専用通信回線40を介して、バックアップ状態にある暗号装置12(11)に送信する(ステップS309)。SA情報通知は、たとえば図22の端末Aと端末Cとの間で暗号化通信を行う際に、第1の暗号装置11と第2のIPサブネットワーク20内の暗号装置21との間で共有されるSA付属情報の内容に基づいている。SA情報通知には、このSA情報通知に含まれるSA付属情報の個数と、平文側ポートに接続される端末のIPアドレスと、暗号文側ポートに接続される端末のIPアドレスと、暗号鍵、認証鍵、SAの寿命などのSA付属情報とを含む情報が格納される。
【0090】
一方、上記ポート情報に変更がない場合(ステップS307でNoの場合)には、パケット送信制御部117は、専用通信回線40で接続されるバックアップ状態にある暗号装置12(11)に、通信部122からADVERTISEMENTパケットを送信する(ステップS310)。
【0091】
その後、またはステップS309の後、処理が終了するか否かを判断し(ステップS311)、終了しない場合(ステップS311でNoの場合)には再びステップS303に戻って上述した処理が繰り返され、それ以外の場合(ステップS311でYesの場合)には、処理が終了する。
【0092】
なお、ステップS308において、パケット送信制御部117は、MACアドレス通知を、ADVERTISEMENTパケットの後半部分の付加情報として送信してもよいし、ADVERTISEMENTパケットとは異なる単独のパケットとして送信してもよい。
【0093】
一方、バックアップ状態の暗号装置12(11)は、実施の形態1の図4で説明したステップS121〜S125,S129と同じ処理を行って、マスタ状態の暗号装置11(12)の異常の有無を判断する(ステップS321〜S325,S330)。すなわち、起動されてから所定時間内にマスタ状態の暗号装置11(12)からADVERTISEMENTパケットを受信したか否かを判定し、所定時間内にADVERTISEMENTパケットを受信すればマスタ状態の暗号装置11(12)に異常がないと判断し、所定時間内にADVERTISEMENTパケットを受信しなければマスタ状態の暗号装置11(12)の異常を検知して、上述した図5の切り替え処理が実行される。
【0094】
ADVERTISEMENTパケットを受信した後に、マスタ状態の暗号装置11(12)からMACアドレス通知を受信したか否かが判断される(ステップS326)。MACアドレス通知を受信した場合(ステップS326でYesの場合)には、受信情報処理部118は、MACアドレス通知の内容を平文ポート情報格納部112および/または暗号文ポート情報格納部114に格納する(ステップS327)。また、受信情報処理部118は、マスタ状態の暗号装置11(12)から受信したSA情報通知の内容を、SA情報格納部121に格納する(ステップS328)。
【0095】
その後、またはステップS326でMACアドレス通知を受信していない場合(ステップS326でNoの場合)には、処理が終了するか否かを判断し(ステップS329)、終了しない場合(ステップS329でNoの場合)には再びステップS324に戻って上述した処理が繰り返され、それ以外の場合(ステップS329でYesの場合)には、処理が終了する。
【0096】
なお、この実施の形態2の暗号通信システムにおける暗号装置の切り替えについては、実施の形態1の場合と同一であるので、説明を省略する。
【0097】
つぎに、図22に示される暗号通信システムにおける暗号装置の切り替え処理の具体例を説明する。ここでは、まず、端末Aと端末Cとの間で暗号化通信が行われ、つぎに、端末Aと端末Dとの間で平文通信が行われ、つぎに、端末Bと端末Dとの間で平文通信が行われ、そして、端末Bと端末Cとの間で暗号化通信が行われる場合を例に挙げて説明する。なお、これらの端末間の通信による暗号装置11,12とスイッチングハブ13,14の処理は、実施の形態1で説明した具体例とほとんど同じであるので、詳細な説明は省略する。
【0098】
図24〜図27は、上記端末間の通信による第1のIPサブネットワーク10の第1と第2の暗号装置11,12の平文ポート情報格納部112、暗号文ポート情報格納部114、SA情報格納部121と、第1と第2のスイッチングハブ13,14のポートa〜cの状態を模式的に示す図である。実施の形態1の図10〜図16との違いは、第1と第2の暗号装置11,12に、SA情報格納部121が設けられている点である。
【0099】
図24は、通信が開始されていない初期状態を示している。第1と第2の暗号装置11,12の平文ポート情報格納部112と暗号文ポート情報格納部114にはポート情報が何も格納されておらず、SA情報格納部121にもSA付属情報が何も格納されていない。また、第1と第2のスイッチングハブ13,14の各ポートa〜cにもアドレス対応情報が何も格納されていない。
【0100】
この状態で、まず、端末Aと端末Cとの間で暗号化通信が開始されるが、端末Aと端末Cとの間の暗号化通信に先立って、第1の暗号装置11と端末Cに接続される暗号装置21は、IKEによってSAを確立し、使用する暗号アルゴリズムや認証アルゴリズムと暗号鍵や認証鍵などのSA付属情報を、これらの第1の暗号装置11と暗号装置21との間で共有している。そして、端末Aと端末Cとの間で図6に示される形式で暗号化通信が行われる。つぎに、端末Aと端末Dとの間で図7に示される形式で平文通信が行われる。その後、所定時間の経過によって、第1の暗号装置11から第2の暗号装置12に向けてADVERTISEMENTパケットが専用通信回線40を介して送信される。このとき、図17(a)に示されるMACアドレス通知#1と、SA情報通知#1も送信される。図28は、マスタ状態の暗号装置11から送信されるSA情報通知の構成の一例を示す図であり、図28(a)に示される端末Aと端末Cとの間で行われる暗号化通信のSA付属情報を含むSA情報通知#1が、ここでは送信される。そして、これらのMACアドレス情報通知#1とSA情報通知#1の内容が第2の暗号装置12に格納される。これらの処理の結果得られる暗号装置11,12とスイッチングハブ13,14の状態が、図25に示されている。
【0101】
つぎに、端末Bと端末Dとの間で平文通信が行われ、端末Bと端末Cとの間で暗号化通信が行われる。なお、端末Bと端末Cとの間の暗号化通信に先立って、第1の暗号装置11と端末Cが接続される暗号装置21は、IKEによってSAを確立し、使用するアルゴリズムや認証アルゴリズムと暗号鍵や認証鍵などのSA付属情報を、これらの第1の暗号装置11と暗号装置21との間で共有している。その後、所定時間の経過によって、第1の暗号装置11から第2の暗号装置12に向けてADVERTISEMENTパケットが専用通信回線40を介して送信される。このとき、図17(b)に示されるMACアドレス通知#2と、図28(b)に示されるSA情報通知#2も送信される。図28(b)に示されるSA情報通知#2には、端末Bと端末Cとの間で行われる暗号化通信のSA付属情報が含まれている。そして、これらのMACアドレス情報通知#2とSA情報通知#2の内容が第2の暗号装置12に格納される。これらの処理の結果得られる暗号装置11,12とスイッチングハブ13,14の状態が、図26に示されている。
【0102】
その後、第1の暗号装置11がなんらかの原因によってADVERTISEMENTパケットを送信できなくなると、第2の暗号装置12がマスタ状態となる切り替え処理を行って、ADVERTISEMENTパケットを送信する。その後、第2の暗号装置12は、図18に示されるようなpingパケット(または図19に示されるようなARPリクエストパケット)を送信して、第1と第2のスイッチングハブ13,14の暗号装置側に接続されるポートa,bのアドレス対応情報が変更される。これらの処理の結果得られる暗号装置11,12とスイッチングハブ13,14の状態が、図27に示されている。以上のようにして、第1と第2の暗号装置11,12の間でポート情報とSA付属情報の通知が行われ、暗号装置11,12の切り替えが生じた場合でも、切り替った第2の暗号装置12と通信相手の暗号装置21との間でSA情報の交換をすることなく、スムーズに暗号化通信を継続することが可能となる。
【0103】
この実施の形態2によれば、暗号装置11,12同士を専用通信回線40で接続したので、暗号化通信ではセキュリティの関係でネットワーク上に流すことが危険な暗号化通信を行う端末間の暗号装置11(12),21同士で必要になる、暗号化に使用される暗号アルゴリズムや認証アルゴリズムと暗号鍵や認証鍵などのSA付属情報を、冗長構成をなす暗号装置11,12間で共有することが可能となる。その結果、暗号装置11(12)の故障による切り替えが生じた場合でも、新たにマスタ状態となった暗号装置12(11)と、通信相手の暗号装置21との間で新たなIKEによるSAの確立処理を行うことなく、暗号化通信を引き継ぐことが可能となる。
【0104】
なお、上述した説明では、冗長構成を成す暗号装置11,12が2台の場合を例に挙げて説明したが、3台以上の構成であっても全く同様の効果を得ることができる。
【0105】
実施の形態3.
図29は、この発明にかかる暗号装置の構成を示すブロック図である。この暗号装置11(12)は、実施の形態1の図1の暗号装置において、平文ポート111と暗号文ポート113の先に接続される機器のMACアドレスとIPアドレスの組合せからなるポート情報を格納していた平文ポート情報格納部112と暗号文ポート情報格納部114が、平文ポート111と暗号文ポート113の先に接続される機器のIPアドレスのみを格納する平文ポートIPアドレス情報格納部131と暗号文ポートIPアドレス情報格納部132に置き換わり、接続状態検出部116と受信情報処理部118が削除された構成を有している。平文ポートIPアドレス情報格納部131と暗号文ポートIPアドレス情報格納部132には、平文ポート111と暗号文ポート113の先にそれぞれ接続されている機器のIPアドレスが、たとえば暗号装置の管理者によって予め設定されている。そのために、暗号装置11(12)によって転送、中継処理される通信データからポート情報を得る必要がなく、それらの情報をバックアップ状態の暗号装置12(11)に送信する必要がないので、接続状態検出部116と受信情報処理部118を設けなくてもよい。
【0106】
また、パケット送信制御部117は、MACアドレス通知をバックアップ状態の暗号装置12(11)に送信する機能を有しない点を除いては、基本的に実施の形態1の図1で説明した機能と同じ機能を有する。ただし、自暗号装置11(12)がバックアップ状態からマスタ状態に切り替ったときに、ARPリクエストパケットを送信する方法が異なる。この実施の形態3では、平文ポートIPアドレス情報格納部131と暗号文ポートIPアドレス情報格納部132に格納されているIPアドレスにARPリクエストパケットを送信し、その応答であるARPレスポンスパケットを受信すると、反対側のポートに接続されているスイッチングハブ13,14に中継する。このARPレスポンスパケットをスイッチングハブ13,14が受け取ることによって、その送信元MACアドレスからスイッチングハブ13,14は、ポートとMACアドレスとの対応付けを変更することができる。
【0107】
なお、この暗号装置11(12)は、実施の形態1の図2に示されるようなネットワークシステムに適用して、暗号通信システムを構成することができる。
【0108】
つぎに、この暗号装置11(12)の動作について説明する。上述したように、この実施の形態3における暗号装置11(12)は、上述した実施の形態1の図1や実施の形態2の図21に示される暗号装置11(12)のように、接続状態検出部116と受信情報処理部118を有さない。そのため、この暗号装置11(12)の通常時の動作は、基本的には、暗号装置11(12)に入力される通信データの転送処理と、ADVERTISEMENTパケットの所定の時間間隔での送信のみである。また、異常時の暗号装置11,12の切り替え動作の概要は、実施の形態1の図5と同様であるので、説明を省略する。ただし、上述したように、平文ポートIPアドレス情報格納部131と暗号文ポートIPアドレス情報格納部132に格納されているIPアドレスにARPリクエストパケットを送信し、その応答であるARPレスポンスパケットを受信すると、反対側のポートに接続されているスイッチングハブ13,14に中継する点が実施の形態1とは異なる。この点については、以下の具体例で詳述する。
【0109】
つぎに、図29の暗号装置を有する暗号通信システムにおける暗号装置の切り替え処理の具体例を説明する。なお、ここで適用される暗号通信システムは、図2に示されるネットワーク構成を有するものとする。また、ここでは、まず、端末Aと端末Cとの間で暗号化通信が行われ、つぎに、端末Aと端末Dとの間で平文通信が行われ、つぎに、端末Bと端末Dとの間で平文通信が行われ、そして、端末Bと端末Cとの間で暗号化通信が行われる場合を例に挙げて説明する。なお、これらの端末間の通信による暗号装置11,12とスイッチングハブ13,14の処理は、実施の形態1で説明した具体例とほとんど同じであるので、詳細な説明は省略する。
【0110】
図30〜図35は、上記端末間の通信による第1のIPサブネットワーク10の第1と第2の暗号装置11,12の平文ポートIPアドレス情報格納部131、暗号文ポートIPアドレス情報格納部132と、第1と第2のスイッチングハブ13,14のポートa〜cの状態を模式的に示す図である。実施の形態1の図10〜図16との違いは、第1と第2の暗号装置11,12は、平文ポート情報格納部112ではなく平文ポートIPアドレス情報格納部131を有し、暗号文ポート情報格納部114ではなく暗号文ポートIPアドレス情報格納部132を有する点であり、そして、これらの平文ポートIPアドレス情報格納部131と暗号文ポートIPアドレス情報格納部132には予めこれらの平文ポート111と暗号文ポート113の側に接続される機器のIPアドレスが格納されている点である。
【0111】
図30は、通信が開始されていない初期状態を示している。第1と第2のスイッチングハブ13,14の各ポートa〜cにはアドレス対応情報が何も格納されていない。
【0112】
この状態で、まず、端末Aと端末Cとの間で暗号化通信が開始されるが、端末Aと端末Cとの間の暗号化通信に先立って、第1の暗号装置11と端末Cに接続される暗号装置21は、IKEによってSAを確立し、使用するアルゴリズムや認証アルゴリズムと暗号鍵や認証鍵などのSA付属情報を、これらの第1の暗号装置11と暗号装置21との間で共有している。そして、端末Aと端末Cとの間で図6に示される形式で暗号化通信が行われる。つぎに、端末Aと端末Dとの間で図7に示される形式でデータ通信が行われる。このとき、第1と第2のスイッチングハブ13,14では、通信データを基に、ポートa,cと、これらのポートa,cの先に接続される機器のMACアドレスを取得し、アドレス対応表に格納する。その後、所定時間の経過によって、第1の暗号装置11から第2の暗号装置12に向けてADVERTISEMENTパケットが平文ネットワークを介して送信される。
【0113】
つぎに、端末Bと端末Dとの間で平文通信が行われ、端末Bと端末Cとの間で暗号化通信が行われる。なお、端末Bと端末Cとの間の暗号化通信に先立って、第1の暗号装置11と端末Cに接続される暗号装置21は、IKEによってSAを確立し、使用する暗号アルゴリズムや認証アルゴリズムと暗号鍵や認証鍵などのSA付属情報を、これらの暗号装置11,21間で共有している。これらの通信によって、第1と第2のスイッチングハブ13,14では、通信データを基に、ポートa,cと、これらのポートa,cの先に接続される機器のMACアドレスを取得し、アドレス対応表に格納する。その後、所定時間の経過によって、第1の暗号装置11から第2の暗号装置12に向けてADVERTISEMENTパケットが平文ネットワークを介して送信される。これらの処理の結果得られる暗号装置11,12とスイッチングハブ13,14の状態が、図31に示されている。
【0114】
その後、第1の暗号装置11がなんらかの原因によってADVERTISEMENTパケットを送信できなくなると、第2の暗号装置12がマスタ状態となる切り替え処理を行って、ADVERTISEMENTパケットを送信する。このADVERTISEMENTパケットを受信した第1と第2のスイッチングハブ13,14は、それぞれのポートbの先に暗号装置が接続されたと判断して、ポートb側に暗号装置の仮想MACアドレス「VREMAC」を記憶するようにアドレス対応表を変更する。この処理の結果得られる暗号装置11,12とスイッチングハブ13,14の状態が図32に示されている。
【0115】
バックアップ状態からマスタ状態に遷移した第2の暗号装置12は、暗号文ポートIPアドレス情報格納部132に記憶しているIPアドレスを宛先とするARPリクエストを暗号文ポート113側へ送信する。図36(a)は、第2の暗号装置から暗号文側ゲートウェイに送信されるARPリクエストパケットの構成の一例を示す図である。この図36(a)に示されるように、ARP宛先IPアドレスには暗号文側ゲートウェイ15のIPアドレス「CGW1」を設定し、ARP宛先MACアドレスには「0」を設定し、ARP送信元IPアドレスには暗号装置の仮想IPアドレス「VREIP」を設定し、ARP送信元MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定し、送信元MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定し、宛先MACアドレスにはブロードキャストアドレスを設定する。
【0116】
ARPリクエストパケットを受信した暗号文側ゲートウェイ15は、第2の暗号装置12宛のARPレスポンスパケットを送信する。図36(b)は、暗号文側ゲートウェイから第2の暗号装置に送信されるARPレスポンスパケットの構成の一例を示す図である。この図36(b)に示されるように、ARP宛先IPアドレスには暗号装置の仮想IPアドレス「VREIP」を設定し、ARP宛先MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定し、ARP送信元IPアドレスには暗号文側ゲートウェイ15のIPアドレス「CGW1」を設定し、ARP送信元MACアドレスには暗号文側ゲートウェイ15のMACアドレス「CGW1」を設定し、送信元MACアドレスには暗号文側ゲートウェイ15のMACアドレス「CGW1」を設定し、宛先MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定する。
【0117】
第2の暗号装置12は、ARPレスポンスパケットを受信すると、平文ポート111から平文ネットワーク側に中継する。
【0118】
図36(b)に示される形式のARPレスポンスパケットを受信した第1のスイッチングハブ13は、受信したパケットの送信元MACアドレスが暗号文側ゲートウェイ15のMACアドレス「CGW1」になっているため、ポートaの先に暗号文側ゲートウェイ15が接続されていた状態から、ポートbの先に暗号文側ゲートウェイ15が接続されたと判断する。そして、ポートb側に暗号文側ゲートウェイ15のMACアドレス「CGW1」を記憶するようにアドレス対応表を変更する。これ以降、第1のスイッチングハブ13は、MACアドレスが暗号文側ゲートウェイ15宛のパケットをポートbへ中継する。
【0119】
第2の暗号装置12は、この処理を暗号文ポートIPアドレス情報格納部132に記憶しているIPアドレスの数だけ実行する。図32の例では、暗号文ポートIPアドレス情報格納部132には、1つのIPアドレスしか格納されていないので、ここでの処理は終了する。この処理の結果得られる暗号装置11,12とスイッチングハブ13,14の状態が、図33に示されている。
【0120】
同様に、バックアップ状態からマスタ状態に遷移した第2の暗号装置12は、平文ポートIPアドレス情報格納部131に記憶しているIPアドレスを宛先とするARPリクエストパケットを平文ネットワーク側へ送信する。図37(a)は、第2の暗号装置から平文側ゲートウェイに送信されるARPリクエストパケットの構成の一例を示す図である。この図37(a)に示されるように、ARP宛先IPアドレスには平文側ゲートウェイ16のIPアドレス「PGW」を設定し、ARP宛先MACアドレスには「0」を設定し、ARP送信元IPアドレスには暗号装置の仮想IPアドレス「VREIP」を設定し、ARP送信元MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定し、送信元MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定し、宛先MACアドレスにはブロードキャストアドレスを設定する。
【0121】
ARPリクエストパケットを受信した平文側ゲートウェイ16は、第2の暗号装置12宛のARPレスポンスパケットを送信する。図37(b)は、平文側ゲートウェイから第2の暗号装置に送信されるARPレスポンスパケットの構成の一例を示す図である。この図37(b)に示されるように、ARP宛先IPアドレスには暗号装置の仮想IPアドレス「VREIP」を設定し、ARP宛先MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定し、ARP送信元IPアドレスには平文側ゲートウェイ16のIPアドレス「PGW」を設定し、ARP送信元MACアドレスには平文側ゲートウェイ16のMACアドレス「PGW」を設定し、送信元MACアドレスには平文側ゲートウェイ16のMACアドレス「PGW」を設定し、宛先MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定する。
【0122】
第2の暗号装置12は、ARPレスポンスパケットを受信すると、暗号文ポート113から暗号文ネットワーク側に中継する。
【0123】
図37(b)に示される形式のARPレスポンスパケットを受信した第2のスイッチングハブ14は、受信したパケットの送信元MACアドレスが平文側ゲートウェイ16のMACアドレス「PGW」になっているため、ポートaの先に平文側ゲートウェイ16が接続されていた状態から、ポートbの先に平文側ゲートウェイ16が接続されたと判断する。そして、ポートb側に平文側ゲートウェイ16のMACアドレス「PGW」を記憶するようにアドレス対応表を変更する。これ以降、第2のスイッチングハブ14は、MACアドレスが平文側ゲートウェイ16宛のパケットをポートbへ中継する。この処理の結果得られる暗号装置11,12とスイッチングハブ13,14の状態が、図34に示されている。
【0124】
第2の暗号装置12は、この処理を平文ポートIPアドレス情報格納部131に記憶しているIPアドレスの数だけ実行する。この図32の例では、平文ポートIPアドレス情報格納部131には、他のIPアドレスとして端末Bのものが格納されているので、この端末BのIPアドレスに対しても同様の処理を行う。
【0125】
すなわち、第2の暗号装置12は、端末B宛のARPリクエストパケットを平文ポート111側へ送信する。図38(a)は、第2の暗号装置12から端末Bに送信されるARPリクエストパケットの構成の一例を示す図である。この図38(a)に示されるように、ARP宛先IPアドレスには端末BのIPアドレス「B」を設定し、ARP宛先MACアドレスには「0」を設定し、ARP送信元IPアドレスには暗号装置の仮想IPアドレス「VREIP」を設定し、ARP送信元MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定し、送信元MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定し、宛先MACアドレスにはブロードキャストアドレスを設定する。
【0126】
ARPリクエストパケットを受信した端末Bは、第2の暗号装置12宛のARPレスポンスパケットを送信する。図38(b)は、端末Bから第2の暗号装置に送信されるARPレスポンスパケットの構成の一例を示す図である。この図38(b)に示されるように、ARP宛先IPアドレスには暗号装置の仮想IPアドレス「VREIP」を設定し、ARP宛先MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定し、ARP送信元IPアドレスには端末BのIPアドレス「B」を設定し、ARP送信元MACアドレスには端末BのMACアドレス「B」を設定し、送信元MACアドレスには端末BのMACアドレス「B」を設定し、宛先MACアドレスには暗号装置の仮想MACアドレス「VREMAC」を設定する。
【0127】
第2の暗号装置12は、ARPレスポンスパケットを受信すると、暗号文ポート113から暗号文ネットワーク側に中継する。
【0128】
図38(b)に示される形式のARPレスポンスパケットを受信した第2のスイッチングハブ14は、受信したパケットの送信元MACアドレスが端末BのMACアドレス「B」になっているため、ポートaの先に端末Bが接続されていた状態から、ポートbの先に端末Bが接続されたと判断する。そして、ポートb側に端末BのMACアドレスを記憶するようにアドレス対応表を変更する。これ以降、第2のスイッチングハブ14は、MACアドレスが端末B宛のパケットをポートbへ中継する。この処理の結果得られる暗号装置11,12とスイッチングハブ13,14の状態が、図35に示されている。
【0129】
このような処理によって、図6に示される形式の端末Aと端末C間の通信パケット、図9に示される形式の端末Bと端末C間の通信パケットのすべては、第2の暗号装置12経由で暗号化通信が可能となる。また、図8に示される形式の端末Bと端末D間の通信パケット、図7に示される端末Aと端末D間の通信パケットの全ては、第2の暗号装置12経由で平文通信される。
【0130】
この実施の形態3では、暗号装置11,12の平文ポート111と暗号文ポート113の先に接続される機器のIPアドレスを予めそれぞれの暗号装置11,12に登録しておき、暗号装置11,12の間で切り替えが生じたときに、登録したIPアドレスの端末やルータなどの機器からの応答データを、端末やルータなどの機器のアドレス対応情報が格納されていないスイッチングハブ13,14のポートへ中継することによって、スイッチングハブ13,14のアドレス対応情報を変更させているが、暗号装置11,12の平文ポート111と暗号文ポート113の先に接続される機器のIPアドレスとMACアドレスの組からなるポート情報を予めそれぞれの暗号装置11,12に設定しておき、暗号装置11,12がバックアップ状態からマスタ状態に切り替ったときに、端末やルータが存在しないポートへ、上記登録されたIPアドレスを送信元IPアドレスとし、上記登録されたMACアドレスを送信元MACアドレスとした通信パケットを送信して、スイッチングハブ13,14のアドレス対応情報を変更するようにしてもよい。
【0131】
この実施の形態3によれば、暗号装置11(12)がバックアップ状態からマスタ状態に切り替ったときに、平文ポートIPアドレス情報格納部131と暗号文ポートIPアドレス情報格納部132に格納されているIPアドレスに対してARPリクエストパケットを送信し、その応答であるARPレスポンスパケットを受信すると、受信したポートと反対側のポートに中継するように構成したので、切り替え後のマスタ状態の暗号装置11(12)に接続されるスイッチングハブ13,14のアドレス対応情報が格納されていないポートに、暗号装置11(12)の切り替えとほぼ同時にアドレス対応情報を通知することができるという効果を有する。
【0132】
この実施の形態3では、冗長構成を成すリピータ型暗号装置は2台の場合を例に挙げて説明したが、3台以上の構成であっても全く同様の効果を得ることができる。
【0133】
【発明の効果】
以上説明したように、この発明によれば、冗長化構成を有する複数の暗号装置がスイッチングハブに挟まれて構成される暗号通信システムにおいて、マスタ状態の暗号装置の切り替えが生じた際に、平文ポート側に接続される機器のアドレス情報を格納する平文ポート情報格納部と、暗号文ポート側に接続される機器のアドレス情報を格納する暗号文ポート情報格納部に格納されるアドレス情報に基づいて、自暗号装置に接続されるスイッチングハブのポートに、このポートの先に接続される機器を認識させるための情報を送信するパケット送信制御部を備えるように暗号装置を構成したので、暗号装置の切り替りとほぼ同時に、それまでマスタ状態にあった暗号装置に接続されるスイッチングハブのポートの有するアドレス情報を、切り替え後の暗号装置に接続されるスイッチングハブのポートに引き継ぐことができる。その結果、暗号装置の切り替えが生じた場合でも、暗号装置を介した通信をスムーズに行うことが可能になるという効果を有する。
【図面の簡単な説明】
【図1】この発明による暗号装置の実施の形態1の概略構成を示すブロック図である。
【図2】この暗号装置が適用される暗号通信システムのネットワーク構成の一例を示す図である。
【図3】平文ポート情報格納部と暗号文ポート情報格納部に格納されるポート情報の一例を示す図である。
【図4】通常時におけるマスタ状態の暗号装置の動作を示すフローチャートである。
【図5】マスタ状態に遷移した暗号装置の動作を示すフローチャートである。
【図6】端末Aと端末Cとの間の通信データの構成の概要を示す図である。
【図7】端末Aと端末Dとの間の通信データの構成の概要を示す図である。
【図8】端末Bと端末Dとの間の通信データの構成の概要を示す図である。
【図9】端末Bと端末Cとの間の通信データの構成の概要を示す図である。
【図10】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図11】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図12】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図13】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図14】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図15】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図16】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図17】MACアドレス通知の内容の一例を示す図である。
【図18】第2の暗号装置によって送信されるpingパケットの構成を模式的に示す図である。
【図19】第2の暗号装置によって送信されるARPリクエストパケットの構成を模式的に示す図である。
【図20】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図21】この発明による暗号装置の実施の形態2の構成を示すブロック図である。
【図22】この暗号装置が適用される暗号通信システムのネットワーク構成の一例を示す図である。
【図23】通常時における暗号装置の動作処理手順を示すフローチャートである。
【図24】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図25】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図26】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図27】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図28】マスタ状態の暗号装置から送信されるSA情報通知の構成の一例を示す図である。
【図29】この発明による暗号装置の構成を示すブロック図である。
【図30】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図31】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図32】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図33】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図34】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図35】第1のIPサブネットワークの暗号装置の各ポート情報格納部とスイッチングハブのポートの状態を模式的に示す図である。
【図36】第2の暗号装置と暗号文側ゲートウェイとで通信されるARPリクエストパケットとARPレスポンスパケットの構成の一例を示す図である。
【図37】第2の暗号装置と平文側ゲートウェイとで通信されるARPリクエストパケットとARPレスポンスパケットの構成の一例を示す図である。
【図38】第2の暗号装置と端末Bとの間で通信されるARPリクエストパケットとARPレスポンスパケットの構成の一例を示す図である。
【符号の説明】
10,20 第1のIPサブネットワーク、11,12,21 暗号装置、13,14 スイッチングハブ、15,22 暗号文側ゲートウェイ、16 平文側ゲートウェイ、30 インターネット、40 専用通信回線、111 平文ポート、112 平文ポート情報格納部、113 暗号文ポート、114 暗号文ポート情報格納部、115 転送処理部、116 接続状態検出部、117 パケット送信制御部、118 受信情報処理部、119 切替検知部、120 制御部、121 SA情報格納部、122 通信部、131 平文ポートIPアドレス情報格納部、132 暗号文ポートIPアドレス情報格納部。
Claims (6)
- 平文ネットワークと暗号文ネットワークとの間で通信データを中継する1台のマスタ状態の暗号装置と、前記マスタ状態の暗号装置が故障したときのためのバックアップ状態の暗号装置が、同じサブネットマスクを有するIPサブネットワーク内の前記平文ネットワーク側と前記暗号文ネットワーク側のそれぞれに設けられる2台のスイッチングハブの間に備えられる暗号通信システムであって、
前記暗号装置は、
前記平文ネットワーク側に設けられる平文ポートと、
前記暗号文ネットワーク側に設けられる暗号文ポートと、
前記平文ポートと前記暗号文ポートの先に接続される機器のアドレス情報を格納するポート情報格納手段と、
マスタ状態にある場合に、前記平文ポートまたは前記暗号文ポートから受信する通信データのヘッダ情報から前記アドレス情報を検出し、前記ポート情報格納手段に格納する接続状態検出手段と、
マスタ状態にある場合に、前記ポート情報格納手段に格納される前記アドレス情報を、所定の周期でバックアップ状態の他の暗号装置に送信し、バックアップ状態からマスタ状態に切り替った場合に、前記ポート情報格納手段に格納される前記アドレス情報に基づいて、自暗号装置に接続される前記スイッチングハブのポートに、このポートの先に接続される機器を認識させるための情報を送信するパケット送信制御手段と、
バックアップ状態にある場合に、マスタ状態の他の暗号装置から送信される前記アドレス情報を、前記ポート情報格納手段に格納する受信情報処理手段と、
を備えることを特徴とする暗号通信システム。 - 前記暗号装置は、互いに専用通信回線を介して接続され、
前記暗号装置は、
マスタ状態にある場合に、前記暗号文ネットワークを介して接続される暗号化通信機能を備える通信端末との間で行われる暗号化通信に必要なセキュリティアソシエーション(以下、SAという)付属情報を格納するSA情報格納手段をさらに備え、
前記パケット送信制御手段は、マスタ状態にある場合に、前記ポート情報と前記SA付属情報を、前記専用通信回線を介して、所定の周期で前記バックアップ状態の暗号装置に送信し、
前記受信情報処理手段は、バックアップ状態にある場合に、前記マスタ状態の暗号装置から前記専用通信回線を介して受信する前記ポート情報を前記ポート情報格納手段に格納し、前記SA付属情報を前記SA情報格納手段に格納することを特徴とする請求項1に記載の暗号通信システム。 - 平文ネットワークと暗号文ネットワークとの間で通信データを中継する1台のマスタ状態の暗号装置と、前記マスタ状態の暗号装置が故障したときのためのバックアップ状態の暗号装置が、同じサブネットマスクを有するIPサブネットワーク内の前記平文ネットワーク側と前記暗号文ネットワーク側のそれぞれに設けられる2台のスイッチングハブの間に備えられる暗号通信システムであって、
前記暗号装置は、
前記平文ネットワーク側に設けられる平文ポートと、
前記暗号文ネットワーク側に設けられる暗号文ポートと、
前記平文ポートと前記暗号文ポートの先に接続される機器のアドレス情報が予め格納されるポート情報格納手段と、
バックアップ状態からマスタ状態に切り替った場合に、前記ポート情報格納手段に格納される前記アドレス情報を宛先とするARPリクエストパケットを前記平文ポートまたは前記暗号文ポートから送信するパケット送信制御手段と、
を備え、前記ARPリクエストパケットに対するARPレスポンスパケットを受信すると、前記ARPリクエストパケットを送信したポートとは逆のポートに接続される前記スイッチングハブに前記ARPレスポンスパケットを中継することを特徴とする暗号通信システム。 - 平文ネットワークと暗号文ネットワークとの間で通信データを中継する1台のマスタ状態の暗号装置と、前記マスタ状態の暗号装置が故障したときのためのバックアップ状態の暗号装置が、同じサブネットマスクを有するIPサブネットワーク内の前記平文ネットワーク側と前記暗号文ネットワーク側のそれぞれに設けられる2台のスイッチングハブの間に備えられる暗号通信システムに使用される暗号装置であって、
前記平文ネットワーク側に設けられる平文ポートと、
前記暗号文ネットワーク側に設けられる暗号文ポートと、
前記平文ポートと前記暗号文ポートの先に接続される機器のアドレス情報を格納するポート情報格納手段と、
マスタ状態にある場合に、前記平文ポートまたは前記暗号文ポートから受信する通信データのヘッダ情報から前記アドレス情報を検出し、前記ポート情報格納手段に格納する接続状態検出手段と、
マスタ状態にある場合に、前記ポート情報格納手段に格納される前記アドレス情報を、所定の周期でバックアップ状態の他の暗号装置に送信し、バックアップ状態からマスタ状態に切り替った場合に、前記ポート情報格納手段に格納される前記アドレス情報に基づいて、自暗号装置に接続される前記スイッチングハブのポートに、このポートの先に接続される機器を認識させるための情報を送信するパケット送信制御手段と、
バックアップ状態にある場合に、マスタ状態の他の暗号装置から送信される前記アドレス情報を、前記ポート情報格納手段に格納する受信情報処理手段と、
を備えることを特徴とする暗号装置。 - 前記2台のスイッチングハブの間に接続される他の暗号装置と専用通信回線を介して通信する通信手段と、
マスタ状態にある場合に、前記暗号文ネットワークを介して接続される暗号化通信機能を備える通信端末との間で行われる暗号化通信に必要なSA付属情報を格納するSA情報格納手段と、
をさらに備え、
前記パケット送信制御手段は、マスタ状態にある場合に、前記ポート情報と前記SA付属情報を、前記通信手段を介して、所定の周期で前記バックアップ状態の暗号装置に送信し、
前記受信情報処理手段は、バックアップ状態にある場合に、前記マスタ状態の暗号装置から前記通信手段を介して受信する前記ポート情報を前記ポート情報格納手段に格納し、前記SA付属情報を前記SA情報格納手段に格納することを特徴とする請求項4に記載の暗号装置。 - 平文ネットワークと暗号文ネットワークとの間で通信データを中継する1台のマスタ状態の暗号装置と、前記マスタ状態の暗号装置が故障したときのためのバックアップ状態の暗号装置が、同じサブネットマスクを有するIPサブネットワーク内の前記平文ネットワーク側と前記暗号文ネットワーク側のそれぞれに設けられる2台のスイッチングハブの間に備えられる暗号通信システムに使用される暗号装置であって、
前記平文ネットワーク側に設けられる平文ポートと、
前記暗号文ネットワーク側に設けられる暗号文ポートと、
前記平文ポートと前記暗号文ポートの先に接続される機器のアドレス情報が予め格納されるポート情報格納手段と、
バックアップ状態からマスタ状態に切り替った場合に、前記ポート情報格納手段に格納される前記アドレス情報を宛先とするARPリクエストパケットを前記平文ポートまたは前記暗号文ポートから送信するパケット送信制御手段と、
を備え、前記ARPリクエストパケットに対するARPレスポンスパケットを受信すると、前記ARPリクエストパケットを送信したポートとは逆のポートに接続される前記スイッチングハブに前記ARPレスポンスパケットを中継することを特徴とする暗号装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003144676A JP2004350025A (ja) | 2003-05-22 | 2003-05-22 | 暗号通信システムおよび暗号装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003144676A JP2004350025A (ja) | 2003-05-22 | 2003-05-22 | 暗号通信システムおよび暗号装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004350025A true JP2004350025A (ja) | 2004-12-09 |
Family
ID=33532073
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003144676A Abandoned JP2004350025A (ja) | 2003-05-22 | 2003-05-22 | 暗号通信システムおよび暗号装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004350025A (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009135577A (ja) * | 2007-11-28 | 2009-06-18 | Oki Electric Ind Co Ltd | 情報中継システム、情報中継装置、方法及びプログラム |
CN101572633B (zh) * | 2009-05-05 | 2012-01-11 | 北京系统工程研究所 | 网络取证方法及系统 |
JP2013027020A (ja) * | 2011-07-26 | 2013-02-04 | Nippon Telegr & Teleph Corp <Ntt> | 暗号化通信方法、要求元装置、要求先装置、及びプログラム |
US8631234B2 (en) | 2010-03-17 | 2014-01-14 | Fujitsu Limited | Apparatus and method for establishing encryption information common to a plurality of communication paths coupling two apparatuses |
US11882100B2 (en) | 2019-03-04 | 2024-01-23 | Kabushiki Kaisha Toshiba | Communication control device and communication system |
-
2003
- 2003-05-22 JP JP2003144676A patent/JP2004350025A/ja not_active Abandoned
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009135577A (ja) * | 2007-11-28 | 2009-06-18 | Oki Electric Ind Co Ltd | 情報中継システム、情報中継装置、方法及びプログラム |
CN101572633B (zh) * | 2009-05-05 | 2012-01-11 | 北京系统工程研究所 | 网络取证方法及系统 |
US8631234B2 (en) | 2010-03-17 | 2014-01-14 | Fujitsu Limited | Apparatus and method for establishing encryption information common to a plurality of communication paths coupling two apparatuses |
JP2013027020A (ja) * | 2011-07-26 | 2013-02-04 | Nippon Telegr & Teleph Corp <Ntt> | 暗号化通信方法、要求元装置、要求先装置、及びプログラム |
US11882100B2 (en) | 2019-03-04 | 2024-01-23 | Kabushiki Kaisha Toshiba | Communication control device and communication system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5641444B2 (ja) | ネットワークシステム、及びネットワーク冗長化方法 | |
US8296839B2 (en) | VPN discovery server | |
US7000121B2 (en) | Computer systems, in particular virtual private networks | |
US7506065B2 (en) | Remote mirroring using IP encapsulation | |
US20130061034A1 (en) | Transparent Mode Encapsulation | |
JP6107498B2 (ja) | 通信方法、通信装置及び通信プログラム | |
US11134066B2 (en) | Methods and devices for providing cyber security for time aware end-to-end packet flow networks | |
EP1559245A1 (en) | Methods and apparatus for broadcast domain interworking | |
WO2001082097A1 (en) | A method and apparatus for integrating tunneling protocols with standard routing protocols | |
US8027248B2 (en) | Access port adoption to multiple wireless switches | |
JP2006101051A (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
US20050220091A1 (en) | Secure remote mirroring | |
US6775769B1 (en) | Cryptographic apparatus, encryptor, and decryptor | |
CN114172750B (zh) | 基于加密机制的网络通信方法、装置及存储介质 | |
JP2004350025A (ja) | 暗号通信システムおよび暗号装置 | |
JP4011528B2 (ja) | ネットワーク仮想化システム | |
JP2004328563A (ja) | 暗号通信装置および暗号通信システム | |
JP4043997B2 (ja) | 暗号装置及びプログラム | |
JP2002271417A (ja) | トンネリング装置 | |
JP3717802B2 (ja) | ネットワーク中継装置およびリングネットワークシステム | |
JP2006041593A (ja) | 暗号通信システム及び暗号装置 | |
Cheng et al. | MPLS-TP Shared-Ring protection (MSRP) mechanism for ring topology | |
JP5149740B2 (ja) | 中継端末および通信システム | |
CN114124617A (zh) | 一种通信方法、装置、设备及系统 | |
van Helvoort et al. | Internet Engineering Task Force (IETF) W. Cheng Request for Comments: 8227 L. Wang Category: Standards Track H. Li |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060116 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080407 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080415 |
|
A762 | Written abandonment of application |
Free format text: JAPANESE INTERMEDIATE CODE: A762 Effective date: 20080523 |