JP2006041593A - 暗号通信システム及び暗号装置 - Google Patents

暗号通信システム及び暗号装置 Download PDF

Info

Publication number
JP2006041593A
JP2006041593A JP2004214081A JP2004214081A JP2006041593A JP 2006041593 A JP2006041593 A JP 2006041593A JP 2004214081 A JP2004214081 A JP 2004214081A JP 2004214081 A JP2004214081 A JP 2004214081A JP 2006041593 A JP2006041593 A JP 2006041593A
Authority
JP
Japan
Prior art keywords
address
communication
ciphertext
plaintext
mac address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004214081A
Other languages
English (en)
Inventor
Yasuhisa Tokiniwa
康久 時庭
Shinobu Atozawa
忍 後沢
Toru Inada
徹 稲田
Akiko Toyokuni
明子 豊国
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2004214081A priority Critical patent/JP2006041593A/ja
Publication of JP2006041593A publication Critical patent/JP2006041593A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】 冗長化された暗号装置において、バックアップ状態からマスタ状態へ遷移した暗号装置が、ARPパケット等を送信しないようにする。
【解決手段】 暗号装置11、12に共通の仮想MACアドレスを設定し、マスタ状態の暗号装置は、平文ネットワーク側の平文側機器及び暗号文ネットワーク側の暗号文側機器のIPアドレスとMACアドレスを取得し、取得したIPアドレスとMACアドレスをバックアップ状態の暗号装置に通知し、平文ネットワークと暗号文ネットワークとの間の通信データの中継時に、送信元MACアドレスとして通信データに含まれた平文側機器又は暗号文側機器のMACアドレスを仮想MACアドレスに変換し、宛先MACアドレスとして通信データに含まれた仮想MACアドレスを宛先IPアドレスである平文側機器又は暗号文機器のIPアドレスに対応づけられている平文側機器又は暗号文機器のMACアドレスに変換して、中継を行う。
【選択図】 図1

Description

この発明は、平文ネットワークと暗号文ネットワークとの間でデータを中継する暗号装置が冗長構成を有するネットワークにおいて、暗号装置の切り替え時に、暗号装置のポートに接続されるスイッチングハブの経路の切り替えも行うことが可能な暗号通信システムおよび暗号装置などに関するものである。
平文ネットワークと暗号文ネットワークとの間でデータを中継する暗号装置として、他の暗号装置とこの暗号装置に接続される平文ネットワークのアドレスとを予め対応付けした対応付け情報を保持し、平文ネットワークから受信した平文データを暗号化し、暗号化した暗号文データを対応付け情報を参照して、宛先の端末が収容される平文ネットワークに接続される暗号装置まで送信することが可能な暗号装置が提案されている(たとえば、特許文献1参照)。
特許第3259724号明細書(第1頁、第1図)
しかし、この特許文献1に記載の暗号装置では、暗号装置に冗長性を持たせた場合の具体的構成、すなわち、平文ネットワークと暗号文ネットワークとの間に接続される暗号装置が故障した場合でも、この故障した暗号装置に代わって動作する予備の暗号装置を有する場合の構成については記載されていない。
また、セキュリティゲートウェイなどの暗号装置が何らかの原因で故障しても、IPsecなどの暗号化通信を行うことができるように暗号装置を冗長化(多重化)する場合が考えられるが、ARP(Address Resolution Protocol)パケットやICMP(Internet Control Message Protocol)(echo)に関する問題点が想定される。つまり、バックアップ状態(暗号化通信を行わない状態)からマスタ状態(暗号化通信を行う状態)へ遷移した暗号装置は、本来、端末やルータが発信することになっているARPパケットやICMP(echo)パケットを代理送信することが想定され、暗号装置が端末やルータのMAC(Media Access Control)アドレスを通信データの送信元MACアドレスに設定し送信するため、ネットワーク接続を変更した場合にMACアドレスを学習する全ての機器に対する動作を保障することが難しい。例えば配線を誤って(あるいはネットワーク構成変更時)、平文ネットワーク側に位置していた端末を暗号文ネットワーク側に配線接続(構成変更)した場合、端末は自局MACアドレスを重複MACアドレスとして検出し警告を発するという問題点が考えられる。
そこで、本発明は、このような問題を解決することを主な目的とする。
本発明に係る暗号通信システムは、
平文ネットワークと暗号文ネットワークとの間の通信を中継可能な複数の暗号装置を有し、共通の仮想通信アドレスが複数の暗号装置に設定されており、複数の暗号装置のうちのいずれかをマスタ状態とし、マスタ状態の暗号装置以外の暗号装置をバックアップ状態とする暗号通信システムであって、
マスタ状態の暗号装置は、
平文ネットワークと暗号文ネットワークとの間で送受信される通信データを受信し、受信した通信データから平文ネットワークに配置されている平文側機器の通信アドレス及び暗号文ネットワークに配置されている暗号文側機器の通信アドレスを取得し、
取得した平文側機器の通信アドレス及び暗号文側機器の通信アドレスを記憶し、
所定のタイミングで、記憶した通信アドレスをバックアップ状態にある暗号装置に通知し、
平文ネットワークと暗号文ネットワークとの間で送受信される通信データの中継の際に、平文側機器の通信アドレス及び暗号文側機器の通信アドレスのいずれかが含まれている通信データを受信し、記憶している通信アドレスに基づき、受信した通信データに含まれている平文側機器の通信アドレス及び暗号文側機器の通信アドレスのいずれかを複数の暗号装置に共通の仮想通信アドレスにアドレス変換し、アドレス変換後の通信データを中継することを特徴とする。
本発明によれば、マスタ状態にある暗号装置が、バックアップ状態にある暗号装置に平文側機器の通信アドレス及び暗号文側機器の通信アドレスを通知するとともに、通信データに含まれる平文側機器の通信アドレス又は暗号文側機器の通信アドレスを複数の暗号装置に共通の仮想通信アドレスにアドレス変換をして中継処理を行うため、バックアップ状態にあった暗号装置がマスタ状態になった際に、ARPパケットやICMP(echo)パケットを送信する必要がない。
以下に添付図面を参照して、この発明にかかる暗号通信システムおよび暗号装置の好適な実施の形態を詳細に説明する。
実施の形態1.
図1は、この暗号装置が適用される暗号通信システムのネットワーク構成の一例を示す図である。なお、この明細書では、暗号装置として、ネットワーク上に既存の各機器のネットワークパラメータを変更せずに設置可能なリピータを基本アーキテクチャとするリピータ型暗号装置を用いる場合を説明する。
図1に示されるように、IP(Internet Protocol)アドレスについて同一のサブネットマスクを有する機器からそれぞれ構成される第1と第2のIPサブネットワーク10、20が暗号文側ゲートウェイ15、22(それぞれCGW1、CGW2とも表記する)を介してインターネット30に接続されている。第1のIPサブネットワーク10には、平文側ゲートウェイ16(PGWとも表記する)を介して別のサブネットマスクを有する端末Aが接続されている。
第1のIPサブネットワーク10は、VRRPに基づいて動作し、第1と第2の暗号装置11、12(RE11、RE12とも表記する)が、2つのスイッチングハブ13、14(HUB1、HUB2とも表記する)に挟まれた構成を有している。以下では、2つのスイッチングハブのうち、平文側ゲートウェイ16に配置されるスイッチングハブを第1のスイッチングハブ13といい、暗号文側ゲートウェイ15に配置されるスイッチングハブを第2のスイッチングハブ14という。また、第1のIPサブネットワーク10には、端末Bが接続されている。第2のIPサブネットワーク20は、1つの暗号装置21(RE2とも表記する)を備え、暗号装置21を挟んで、暗号文側ゲートウェイ22とは反対側に端末Cが接続されている。インターネット30には、端末Dが接続されている。
このようなネットワーク構成において、第1のIPサブネットワーク10の暗号装置11(12)と第2のIPサブネットワーク20の暗号装置21との間で、暗号化通信が行われる暗号文ネットワークが形成され、第1および第2のIPサブネットワーク10、20の暗号装置11、12、21をはさんで暗号文ネットワークの反対側には平文ネットワークが形成される。なお、暗号装置11及び暗号装置12に対して平文ネットワーク側に配置されている第1のスイッチングハブ13、端末A、端末B、平文側ゲートウェイ16といった機器が平文側機器の例であり、暗号装置11及び暗号装置12に対して暗号文ネットワーク側に配置されている第2のスイッチングハブ14、端末C、端末D、暗号文側ゲートウェイ15、暗号文側ゲートウェイ22、暗号装置2といった機器が暗号文側機器の例である。
このような第1のIPサブネットワーク10で使用される暗号装置11、12は、図22に示されるように、平文ネットワーク側に位置する論理的な平文ポート111と、暗号文ネットワーク側に位置する論理的な暗号文ポート113と、これらのポート111、113から入力される通信データをその要求にしたがって転送処理を行う転送処理部115と、上記のポートから受信した通信データからそれぞれのポート111、113の先に接続されている機器を検出する接続状態検出部116と、VRRPに基づいたパケットなどを送信するパケット送信制御部117と、マスタ状態にある他の暗号装置から受信したそれぞれのポート111、113の先に接続されている機器のアドレス情報を含むポート情報の格納処理を行う受信情報処理部118と、マスタ状態にある他の暗号装置の故障を検知する切替検知部119と、これらの構成要素を含む暗号装置全体を制御する制御部120と、を備えて構成される。
平文ポート111は、平文ポート111側に接続される接続状態検出部116によって検出された機器のアドレス情報を含むポート情報を格納する平文ポート情報格納部112を備え、暗号文ポート113は、暗号文ポート113側に接続される接続状態検出部116によって検出された機器のアドレス情報を含むポート情報を格納する暗号文ポート情報格納部114を備える。第2層としてイーサネット(登録商標)を使用した場合に、それぞれのポート情報格納部112、114は、それぞれのポートの先に接続される機器の接続状態に関するポート情報を格納するために、その機器のMAC(Media Access Control)アドレスとIPアドレスの組合せをポート情報として格納する。ただし、その機器が暗号装置11(12)と同一のサブネットマスクを有する第1のIPサブネットワーク10内にない場合には、その機器のMACアドレスとして、第1のIPサブネットワーク10と他のネットワークとの接続点に位置する暗号文側ゲートウェイ15または平文側ゲートウェイ16のMACアドレスが格納される。なお、これらの平文ポート情報格納部112と暗号文ポート情報格納部114は、それぞれ初期状態では何も入力されていない状態にある。
転送処理部115は、たとえば平文ポート111側から入力される通信データについて、そのまま中継処理、廃棄処理、または暗号化処理のいずれかをその通信データに格納されている要求に応じて実行し、暗号文ポート113側から入力される通信データについて、そのまま中継処理、廃棄処理、または復号化処理のいずれかをその通信データに格納されている要求に応じて実行する。なお、この転送処理は、たとえば上記特許文献1などに記載されている公知の技術を使用することができる。
接続状態検出部116は、平文ポート111と暗号文ポート113を介してやり取りされる通信データを使用して、各ポートの先に接続されている機器の状態を検出し、検出した情報を平文ポート情報格納部112または暗号文ポート情報格納部114に格納する機能を有する。たとえば、第2層としてイーサネット(登録商標)を使用する場合には、イーサネット(登録商標)フレームの宛先アドレスには、IPサブネットワークの境界に位置する機器のMACアドレスが格納されており、送信元アドレスにはそのIPサブネットワーク内でそのイーサネット(登録商標)フレームを送信した機器のMACアドレスが格納されているので、イーサネット(登録商標)フレームの宛先MACアドレスおよび送信元MACアドレスと、第3層の宛先IPアドレスと送信元IPアドレスとを抽出して、それぞれのポート111、113の先に接続されている機器のアドレス情報を得ることができる。これによって、暗号装置11(12)の各ポート111、113の先に接続されている機器のMACアドレスとIPアドレスの組合せからなるポート情報が検出される。
受信情報処理部118は、自暗号装置11(12)がバックアップ状態にある場合に、マスタ状態の暗号装置12(11)から受信した後述するMACアドレス通知を、平文ポート情報格納部112と暗号文ポート情報格納部114に格納する機能を有する。これによって、マスタ状態にある暗号装置12(11)と同じポート情報が、バックアップ状態にある暗号装置11(12)に格納される。
切替検知部119は、バックアップ状態にある自暗号装置11(12)がADVERTISEMENTパケットを所定時間経過しても受信できない場合に、マスタ状態にある他の暗号装置12(11)が故障であると検知し、自暗号装置11(12)をバックアップ状態からマスタ状態に切り替える機能を有する。これによって、バックアップ状態からマスタ状態への切り替え処理が開始される。
パケット送信制御部117は、自暗号装置11(12)がマスタ状態にある場合には、予め決められた時間に定期的にADVERTISEMENTパケットを送信する機能を有する。このADVERTISEMENTパケットの送信によって、マスタ状態にある暗号装置11(12)が正常であることを他のバックアップ状態にある他の暗号装置12(11)に対して通知する。
また、パケット送信制御部117は、自暗号装置11(12)がマスタ状態にある場合には、平文ポート111と暗号文ポート113に格納されるポート情報を含むMACアドレス通知を、同じIPサブネットワーク内のバックアップ状態にある他の暗号装置12(11)に対して送信する機能も有する。このMACアドレス通知は、ブロードキャスト通知で行われる。MACアドレス通知は、前回MACアドレス通知を送信してからそれぞれのポート情報格納部112、114に新たに格納されたIPアドレスとMACアドレスの組合せであるポート情報であることが望ましい。このMACアドレス通知によって、バックアップ状態にある暗号装置12(11)の平文ポート情報格納部112と暗号文ポート情報格納部114に、マスタ状態の暗号装置11(12)の有するポート情報と同じポート情報が格納され、マスタ状態にある暗号装置11(12)とバックアップ状態にある暗号装置12(11)との間でポート情報の同期をとることができる。
また、接続状態検出部116は、上記の機能に加えて、マスタ状態にある場合に、平文ネットワークと暗号文ネットワークとの間で送受信される通信データから、平文ネットワークに配置されている平文側機器の通信アドレス(IPアドレス、MACアドレス)及び暗号文ネットワークに配置されている暗号文側機器の通信アドレス(IPアドレス、MACアドレス)を取得する。また、平文ポート情報格納部112及び暗号文ポート情報格納部114は、それぞれ、接続状態検出部116により取得された平文側機器の通信アドレス及び暗号文側機器の通信アドレスを記憶する。パケット送信制御部117は、マスタ状態にあるときに、所定のタイミングで、平文ポート情報格納部112及び暗号文ポート情報格納部114に記憶されている通信アドレスをバックアップ状態にある他の暗号装置に通知する。転送処理部115は、マスタ状態にあるときに、平文側機器の通信アドレス(MACアドレス)及び暗号文側機器の通信アドレス(MACアドレス)のいずれかが含まれている通信データを受信し、平文ポート情報格納部112及び暗号文ポート情報格納部114に記憶されている通信アドレスに基づき、受信した通信データに含まれている平文側機器の通信アドレス(MACアドレス)及び暗号文側機器の通信アドレス(MACアドレス)のいずれかを複数の暗号装置に共通の仮想通信アドレス(仮想MACアドレス)にアドレス変換し、アドレス変換後の通信データを中継する。また、転送処理部115は、マスタ状態にあるときに、複数の暗号装置に共通の仮想通信アドレス(仮想MACアドレス)が含まれた通信データを受信し、平文ポート情報格納部112及び暗号文ポート情報格納部114に記憶されている通信アドレスの中から、所定の条件に合致する平文側機器の通信アドレス及び暗号文側機器の通信アドレス(宛先IPアドレスに対応づけられたMACアドレス)のいずれかを抽出し、受信した通信データに含まれている複数の暗号装置に共通の仮想通信アドレス(仮想MACアドレス)を抽出した平文側機器の通信アドレス(MACアドレス)及び暗号文側機器の通信アドレス(MACアドレス)のいずれかにアドレス変換し、アドレス変換後の通信データを中継する。
また、転送処理部115は、バックアップ状態にあるときに、マスタ状態の他の暗号装置より、マスタ状態の他の暗号装置が取得した平文側機器の通信アドレス(IPアドレス及びMACアドレス)及び暗号文側機器の通信アドレス(IPアドレス及びMACアドレス)を通知するアドレス通知を受信する。受信したアドレス通知の内容は受信情報処理部118により平文ポート情報格納部112及び暗号文ポート情報格納部114に記憶される。また、転送処理部115は、自暗号装置がバックアップ状態からマスタ状態に移行した後に、平文側機器の通信アドレス(MACアドレス)及び暗号文側機器の通信アドレス(MACアドレス)のいずれかが含まれている通信データを受信し、平文ポート情報格納部112及び暗号文ポート情報格納部114に記憶されている通信アドレスに基づき、受信した通信データに含まれている平文側機器の通信アドレス(MACアドレス)及び暗号文側機器の通信アドレス(MACアドレス)のいずれかを複数の暗号装置に共通の仮想通信アドレス(仮想MACアドレス)にアドレス変換し、アドレス変換後の通信データを中継する。また、転送処理部115は、自暗号装置がバックアップ状態からマスタ状態に移行した後に、複数の暗号装置に共通の仮想通信アドレス(仮想MACアドレス)が含まれた通信データを受信し、平文ポート情報格納部112及び暗号文ポート情報格納部114に記憶されている通信アドレスの中から、所定の条件に合致する平文側機器の通信アドレス及び暗号文側機器の通信アドレス(宛先IPアドレスに対応づけられたMACアドレス)のいずれかを抽出し、受信した通信データに含まれている複数の暗号装置に共通の仮想通信アドレス(仮想MACアドレス)を抽出した平文側機器の通信アドレス(MACアドレス)及び暗号文側機器の通信アドレス(MACアドレス)のいずれかにアドレス変換し、アドレス変換後の通信データを中継する。
図22において、転送処理部115は中継処理部及びアドレス通知受信部の例であり、接続状態検出部116はアドレス取得部の例であり、平文ポート情報格納部112及び暗号文ポート情報格納部114はアドレス記憶部の例であり、パケット送信制御部117はアドレス通知部の例である。
次に、図1の第1のIPサブネットワーク10内のスイッチングハブ13、14の間に複数設けられた暗号通信システムにおける暗号装置の動作を、通常時と暗号装置の切り替え(遷移)時のそれぞれについて説明する。なお、第1のIPサブネットワーク10において、第1の暗号装置11がマスタ状態にあり、第2の暗号装置12がバックアップ状態にあるものとする。
図2は、通常時におけるマスタ状態の暗号装置とバックアップ状態の暗号装置の動作を示すフローチャートである。マスタ状態の暗号装置11が起動されると、予め設定された所定時間を経過したか否かを確認する(ステップS101)。予め決められた時間が経過していない場合(ステップS101でNoの場合)には、その時間が経過するまで待ち状態となる。予め決められた時間が経過すると(ステップS101でYesの場合)、ADVERTISEMENTパケットを接続されるバックアップ状態の暗号装置12にブロードキャストで送信する(ステップS102)。
その後、マスタ状態の暗号装置11は通信データの中継があるか否か判定する(ステップS103)。通信データの中継がある場合(ステップS103でYesの場合)には、その通信データに格納される要求にしたがって、たとえば平文パケットを暗号文パケットに暗号化、カプセル化したり、平文パケットをそのまま平文通信したりするなどの転送、中継処理が実行される(ステップS104)。中継処理では、送信元MACアドレスには仮想MACアドレスであるVREMACに変更し、宛先MACアドレスにはポート情報に設定してあるMACアドレスに変更し中継する。また、同時にイーサネット(登録商標)フレームのヘッダ部とIPパケットのヘッダ部から、自暗号装置11に接続される機器のIPアドレスとMACアドレスの組合せであるポート情報を取得し、ポート情報を格納する(ステップS105)。
その後、または、ステップS103で通信データの中継がない場合(ステップS103でNoの場合)には、再び所定時間が経過したか否かが判定される(ステップS106)。所定時間が経過していない場合(ステップS106でNoの場合)には、再びステップS103に戻り、上述した処理が繰り返される。また、所定時間が経過した場合(ステップS106でYesの場合)には、前回MACアドレス通知を送信したときに比べて、平文ポート情報と暗号文ポート情報に変更があるか否かを判断する(ステップS107)。これらのポート情報に変更がある場合(ステップS107でYesの場合)には、ADVERTISEMENTパケットと上記変更があった分のポート情報をMACアドレス通知として、バックアップ状態にある暗号装置12に対してブロードキャスト通知する(ステップS108)。
一方、上記ポート情報に変更がない場合(ステップS107でNoの場合)には、バックアップ状態にある暗号装置に対してADVERTISEMENTパケットをブロードキャスト通知する(ステップS109)。
その後、またはステップS108の後、処理が終了するか否かを判断し(ステップS110)、終了しない場合(ステップS110でNoの場合)には再びステップS103に戻って上述した処理が繰り返され、それ以外の場合(ステップS110でYesの場合)には、処理が終了する。
なお、ステップS108において、暗号装置11は、MACアドレス通知を、ADVERTISEMENTパケットの後半部分の付加情報として送信してもよいし、ADVERTISEMENTパケットとは異なる単独のパケットとして送信してもよい。
一方、バックアップ状態の暗号装置12は、起動されてから所定時間内にマスタ状態の暗号装置11からADVERTISEMENTパケットを受信したか否かを判定する(ステップS121)。所定時間内にADVERTISEMENTパケットを受信した場合(ステップS121でYesの場合)には、異常なしと判断され(ステップS122)、そのまま待ち状態となる。一方、所定時間内にADVERTISEMENTパケットを受信しなかった場合(ステップS121でNoの場合)には、マスタ状態の暗号装置11の異常が検知され(ステップS123)、後述する図3の切替処理が行われる。
ステップS122の後、再び所定時間内にマスタ状態の暗号装置11からADVERTISEMENTパケットを受信したか否かを判定する(ステップS124)。所定時間内にADVERTISEMENTパケットを受信した場合(ステップS124でYesの場合)には、異常なしと判断される(ステップS125)。一方、所定時間内にADVERTISEMENTパケットを受信しなかった場合(ステップS124でNoの場合)には、マスタ状態の暗号装置11の異常が検知され(ステップS129)、後述する図3の切り替え処理が行われる。
ステップS125の後、MACアドレス通知を受信したか否かが判断される(ステップS126)。MACアドレス通知を受信した場合(ステップS126でYesの場合)には、MACアドレス通知の内容を平文ポート情報および/または暗号文ポート情報に格納する(ステップS127)。
その後、またはステップS126でMACアドレス通知を受信していない場合(ステップS126でNoの場合)には、処理が終了するか否かを判断し(ステップS128)、終了しない場合(ステップS128でNoの場合)には再びステップS124に戻って上述した処理が繰り返され、それ以外の場合(ステップS128でYesの場合)には、処理が終了する。
図3は、マスタ状態に遷移した暗号装置の動作を示すフローチャートである。バックアップ状態にある暗号装置12は、マスタ状態の暗号装置11の異常を検知すると(ステップS201)、バックアップ状態からマスタ状態に切り替える(ステップS202)。その後、暗号装置12は、ADVERTISEMENTパケットをブロードキャスト通知し(ステップS203)、自暗号装置12に接続される第1と第2のスイッチングハブ13、14のポートの転送動作を切り替える。
そして、暗号装置12は、所定時間が経過したか否かを判定し(ステップS204)、所定時間が経過した場合(ステップS204でYesの場合)には、ADVERTISEMENTパケットを他のバックアップ状態の暗号装置に対してブロードキャストで送信する(ステップS205)。その後、またはステップS204で所定時間が経過していない場合(ステップS204でNoの場合)には、処理が終了するか否かを判断し(ステップS206)、終了しない場合(ステップS206でNoの場合)には再びステップS204に戻って上述した処理が繰り返され、それ以外の場合(ステップS206でYesの場合)には、処理が終了する。
以下に、図1に示される暗号通信システムにおける暗号装置11、12の切り替え処理の具体例を説明する。ここでは、まず、端末Aと端末Cとの間で暗号化通信が行われ、つぎに、端末Aと端末Dとの間で平文通信が行われ、つぎに、端末Bと端末Cとの間で暗号化通信が行われ、そして端末Bと端末Dとの間で平文通信が行われる場合を例に挙げて説明する。図4〜図9は、これらの端末間で行われるイーサネット(登録商標)フレーム(通信データ)の構成の概要を示す図であり、図4は、平文側ゲートウェイ16PGWから暗号文側ゲートウェイ15CGW1間のARPリクエストとARPリプライの構成の概要を示し、図5は、端末Aと端末Cとの間の通信データの構成の概要を示し、図6は、端末Aと端末Dとの間の通信データの構成の概要を示し、図7は、端末Bから暗号文側ゲートウェイ15CGW1間のARPリクエストとARPリプライの構成の概要を示し、図8は、端末Bと端末Cとの間の通信データの構成の概要を示し、図9は、端末Bと端末Dとの間の通信データの構成の概要を示している。
また、図10〜図13は、上記端末間の通信による第1のIPサブネットワーク10の暗号装置の各ポート情報とスイッチングハブのポートの状態を模式的に示す図である。これらの図に示されるように、第1と第2のスイッチングハブ13、14のポートaは第1の暗号装置11と接続されており、ポートbは第2の暗号装置12と接続されており、ポートcはそれぞれ平文ネットワーク、暗号文ネットワークに接続されている。また、第1と第2のスイッチングハブ13、14は、これらのポートa〜cと、これらのポートa〜cの先に接続されている機器のMACアドレスとを対応付けるアドレス対応情報を格納するアドレス対応表を内部に有している。これらの図面では、アドレス対応表のうちポートaに関するアドレス対応情報をポートaの枠内に記載し、ポートbに関するアドレス対応情報をポートbの枠内に記載し、ポートcに関するアドレス対応情報をポートcの枠内に記載している。
なお、以下の説明において、第1のスイッチングハブ13のMACアドレスとIPアドレスは「HUB1」とし、第2のスイッチングハブ14のMACアドレスとIPアドレスは「HUB2」とし、暗号文側ゲートウェイ15のMACアドレスとIPアドレスは「CGW1」とし、平文側ゲートウェイ16のMACアドレスとIPアドレスは「PGW」とし、端末AのMACアドレスとIPアドレスは「A」とし、端末BのMACアドレスとIPアドレスは「B」とし、端末CのMACアドレスとIPアドレスは「C」とし、端末DのMACアドレスとIPアドレスは「D」とし、そして、第2のIPサブネットワーク20の暗号装置21のIPアドレスは「RE2」とする。また、第1と第2の暗号装置11、12は、いずれか1つの暗号装置しか動作しないので、これらの暗号装置11、12の全体に対して1つの仮想MACアドレス「VREMAC」と仮想IPアドレス「VREIP」が付与されるものとする。
図10は、通信が開始されていない初期状態を示している。2つの暗号装置11、12の平文ポート情報格納部112と暗号文ポート情報格納部114にはポート情報が何も格納されておらず、2つのスイッチングハブ13、14の各ポートa〜cにもアドレス対応情報が何も格納されていない。なお、以下の図中では、暗号装置11、12のマスタ状態を「MR状態」と表記し、バックアップ状態を「BR状態」と表記している。
この状態で、まず、端末A発、端末C宛ての通信が行われると、平文側ゲートウェイ16は端末A発、端末C宛てのデータを内部に保持し、図4に示される形式のARPリクエストとARPリプライの通信を行い、宛先の暗号文側ゲートウェイ15のMACアドレスを得る。図4の(a)は平文側ゲートウェイ16が発信するARPリクエストのフレームの構成を示しており、(b)は暗号装置11が中継後のARPリクエストのフレームの構成を示しており、(d)は暗号文側ゲートウェイ15が返信するARPリプライのフレームの構成を示しており、(c)は暗号装置11が中継後のARPリプライのフレームの構成を示している。
端末Aと端末Cとの間で図5に示される形式の暗号化通信が行われるとする。図5の(a)は端末Aから端末Cへの平文パケットを含むフレームの構成を示しており、(b)は(a)の平文パケットが暗号化された暗号文パケットを含むフレームの構成を示しており、(c)は端末Cから端末Aへの平文パケットを含むフレームの構成を示しており、そして、(d)は端末Cから端末Aへの暗号文パケットを含むフレームの構成を示している。
第1のスイッチングハブ13は、端末Aと端末Cとの間の通信に先立ち、平文側ゲートウェイ16と暗号文側ゲートウェイ15とのARP通信において、平文側ゲートウェイ16からの図4(a)に示されるARPリクエストをポートcで受信しポートaから送信し、暗号装置11からの図4(c)に示されるARPリプライをポートaで受信しポートcから平文側ゲートウェイ16へ送信する。このとき、第1のスイッチングハブ13は、図4(a)の送信元MACアドレスから、ポートcには平文側ゲートウェイ16が接続されていることを検出する。そして、ポートcと平文側ゲートウェイ16のMACアドレス「PGW」とを対応付けて記憶する。また、図4(c)の送信元MACアドレスから、ポートaには暗号装置11が接続されていることを検出する。そして、ポートaと暗号装置11の仮想MACアドレス「VREMAC」とを対応付けて記憶する。
第1の暗号装置11は、平文側ゲートウェイ16と暗号文側ゲートウェイ15とのARP通信において、図4(a)に示すパケット形式のARPリクエストを図4(b)に示すパケット形式のARPリクエストにアドレス変換する。アドレス変換では、ARP発信MACアドレスと送信元MACアドレスを暗号装置11の仮想MACアドレス「VREMAC」に変換する。また、平文ポートから受信した図4(a)に示されるARPリクエストのARP発信IPアドレスと送信元MACアドレスから、平文ポート側に位置する平文側ゲートウェイ16のIPアドレス「PGW」と平文側ゲートウェイ16のMACアドレス「PGW」の組からなるポート情報を平文ポート情報格納部112に記憶する。
第1の暗号装置11は、平文側ゲートウェイ16と暗号文側ゲートウェイ15とのARP通信において、図4(d)に示すパケット形式のARPリプライを図4(c)に示すパケット形式のARPリプライにアドレス変換する。アドレス変換では、ARP発信MACアドレスと送信元MACアドレスを暗号装置11の仮想MACアドレス「VREMAC」に変換し、平文ポート情報格納部112を検索し、ARP宛先IPアドレスに設定されていた「PGW」と組をなすMACアドレス「PGW」を得て、ARP宛先MACアドレスと宛先MACアドレスを「PGW」に変換する。図4(d)に示されるARPリプライのARP発信IPアドレスと送信元MACアドレスから、暗号文ポート側に位置する暗号文側ゲートウェイ15のIPアドレス「CGW1」と暗号文側ゲートウェイ15のMACアドレス「CGW1」の組からなるポート情報を暗号文ポート情報格納部114に記憶する。
第2のスイッチングハブ14は、端末Aと端末Cとの間の通信に先立ち、平文側ゲートウェイ16と暗号文側ゲートウェイ15とのARP通信において、暗号装置11からの図4(b)に示されるARPリクエストをポートaで受信しポートcから送信し、暗号文側ゲートウェイ15からの図4(d)に示されるARPリプライをポートcで受信しポートaから暗号装置へ送信する。このとき、第2のスイッチングハブ14は、図4(b)の送信元MACアドレスから、ポートaには暗号装置11が接続されていることを検出する。そして、ポートaと暗号装置11のMACアドレス「VREMAC」とを対応付けて記憶する。また、図4(d)の送信元MACアドレスから、ポートcには暗号文側ゲートウェイ15が接続されていることを検出する。そして、ポートcと暗号文側ゲートウェイ15の仮想MACアドレス「CGW1」とを対応付けて記憶する。
図11は、端末Aと端末Cとの間の通信に先立ち、平文側ゲートウェイ16と暗号文側ゲートウェイ15とのARP通信が終了した時点での状態を示している。
第1のスイッチングハブ13は、端末Aと端末Cとの間の通信において、端末Aから平文側ゲートウェイ16経由の図5(a)に示される平文パケットをポートcで受信しポートaから送信し、端末Cからの図5(c)に示される平文パケットをポートaで受信しポートcから送信する。このとき、第1のスイッチングハブ13は、図5(a)の送信元MACアドレスから、ポートcには平文側ゲートウェイ16が接続されていることを検出する。そして、ポートcと平文側ゲートウェイ16のMACアドレス「PGW」とを対応付けて記憶する。また、図5(c)の送信元MACアドレスから、ポートaには暗号装置11が接続されていることを検出する。そして、ポートaと暗号装置11の仮想MACアドレス「VREMAC」とを対応付けて記憶する。
第1の暗号装置11は、端末Aから端末Cへの通信において、図5(a)に示すパケット形式の平文パケットを図5(b)に示すパケット形式の暗号文パケットに暗号化する。また、暗号装置11は、平文ポートから受信した図5(a)に示される平文パケットの送信元IPアドレスと送信元MACアドレスから、平文ポート側に位置する端末AのIPアドレス「A」と平文側ゲートウェイ16のMACアドレス「PGW」の組からなるポート情報を平文ポート情報格納部112に記憶する。また、暗号装置11は、図5(b)に示される通信データの宛先IPアドレスから、暗号文ポート側に位置する暗号装置21のIPアドレス「RE2」と組をなすMACアドレスを暗号文ポート情報格納部114から検索する。しかし、暗号装置21のIPアドレス「RE2」は登録されていないため、暗号装置21のIPアドレスが自局IPアドレスが属する第1のIPサブネットワーク10に属していれば、ARPリクエストによって暗号装置21のIPアドレスを直接問い合わせるが、暗号装置21のIPアドレス「RE2」は第1のIPサブネットワーク10に属していないため、暗号側ポートのデフォルトルートである暗号文側ゲートウェイ15のIPアドレス「CGW1」を用いて、IPアドレス「CGW1」と組をなすMACアドレスを暗号文ポート情報格納部114から検索し、MACアドレス「CGW1」を得る。図5(b)の形式の通信パケットの送信元MACアドレスに自装置のMACアドレスである「VREMAC」を設定し、宛先MACアドレスに暗号文側ゲートウェイ15のMACアドレスである「CGW1」を設定する。暗号文ポート側に位置する暗号装置21のIPアドレス「RE2」と暗号文側ゲートウェイ15のMACアドレス「CGW1」の組を暗号文ポート情報格納部114に記憶する。
また、第1の暗号装置11は、端末Cから端末Aへの通信において、図5(d)に示すパケット形式の暗号文パケットを暗号文ポートから受信し、図5(c)に示すパケット形式の平文パケットに復号化する。暗号装置11は、図5(d)に示される暗号文パケットの送信元IPアドレスと送信元MACアドレスから、暗号文ポート側に位置する暗号装置21のIPアドレス「RE2」と暗号文側ゲートウェイ15のMACアドレス「CGW1」の組からなるポート情報を暗号文ポート情報格納部114に記憶する。既に記憶されている暗号装置21の情報を改めて上書きしなくてもよい。また、暗号装置11は、図5(c)に示される通信データの宛先IPアドレスから、平文ポート側に位置する端末AのIPアドレス「A」と組をなすMACアドレス「PGW」を平文ポート情報格納部112から検索する。図5(c)の形式の通信パケットの送信元MACアドレスに自装置のMACアドレスである「VREMAC」を設定し、宛先MACアドレスに平文側ゲートウェイ16のMACアドレスである「PGW」を設定する。平文ポート側に位置する端末AのIPアドレス「A」と平文側ゲートウェイ16のMACアドレス「PGW」の組を平文ポート情報格納部112に記憶する。既に記憶されている端末Aの情報を改めて上書きしなくてもよい。
以上の暗号装置11の暗号通信において、端末Aと端末Cとの間の通信はどちら側から先に通信を開始するか分からないが、上記のように処理することによって、暗号化する時も復号化する時も同じIPアドレスとMACアドレスの組を平文ポート情報格納部112と暗号文ポート情報格納部114に記憶することが可能となる。
第2のスイッチングハブ14は、端末Aと端末Cとの間の通信において、図5(b)に示される暗号文パケットをポートaで受信しポートcから送信し、図5(d)に示される暗号文パケットをポートcで受信しポートaから送信する。このとき、図5(b)の送信元MACアドレスから、ポートaには第1の暗号装置11が接続されていることを検出する。そして、ポートaと第1の暗号装置11の仮想MACアドレス「VREMAC」とを対応付けて記憶する。また、第2のスイッチングハブ14は、図5(d)の送信元MACアドレスから、ポートcには暗号文側ゲートウェイ15が接続されていることを検出する。そして、ポートcと暗号文側ゲートウェイ15の仮想MACアドレス「CGW1」とを対応付けて記憶する。既に記憶されている暗号装置11と暗号文側ゲートウェイ15の情報を改めて上書きしなくてもよい。
図12は、端末Aと端末C間の暗号通信が終了した時点での状態を示している。
つぎに、端末Aと端末Dとの間で図6に示される通信データで平文通信が行われるとする。図6の(a)は平文側ゲートウェイ16が中継した端末Aから端末Dへの通信データの構成を示しており、(b)は暗号装置11が中継した端末Aから端末Dへの通信データの構成を示しており、(d)は暗号文側ゲートウェイ15が中継した端末Dから端末Aへの通信データの構成を示しており、(c)は暗号装置11が中継した端末Dから端末Aへの通信データの構成を示している。
第1のスイッチングハブ13は、端末Aと端末Dとの間の通信において、端末Aから発信し平文側ゲートウェイ16中継の図6(a)に示される通信データをポートcで受信しポートaから送信し、端末Dから暗号装置11が中継した図6(c)に示される通信データをポートaで受信しポートcから端末Aに送信する。このとき、第1のスイッチングハブ13は、図6(a)の送信元MACアドレスから、ポートcには平文側ゲートウェイ16が接続されていることを検出する。そして、ポートcと平文側ゲートウェイ16のMACアドレス「PGW」とを対応付けて記憶する。また、図6(c)の送信元MACアドレスから、ポートaには暗号装置11が接続されていることを検出する。そして、ポートaと暗号装置11のMACアドレス「VREMAC」とを対応付けて記憶する。しかし、このポートcと平文側ゲートウェイ16のMACアドレスとの対応付けと、ポートaと暗号装置11のMACアドレスとの対応付けは、既に記憶されているので、改めて上書きしなくてもよい。
第1の暗号装置11は、端末Aから端末Dへの通信において、図6(a)の形式の通信パケットを図6(b)の形式の通信パケットにMACアドレスの変換をして平文通信する。また、暗号装置11は、平文ポートから受信した図6(a)に示される通信データの宛先IPアドレスと宛先MACアドレスから、暗号文ポート側に位置する端末DのIPアドレス「D」と組をなすMACアドレスを暗号文ポート情報格納部114から検索する。しかし、端末DのIPアドレス「D」は登録されていないため、端末DのIPアドレスが自局IPアドレスが属する第1のIPサブネットワーク10に属していれば、ARPリクエストによって端末DのIPアドレスを直接問い合わせるが、端末DのIPアドレス「D」は第1のIPサブネットワーク10に属していないため、暗号側ポートのデフォルトルートである暗号文側ゲートウェイ15のIPアドレス「CGW1」を用いて、IPアドレス「CGW1」と組をなすMACアドレスを暗号文ポート情報格納部114から検索し、MACアドレス「CGW1」を得る。図6(a)の形式の通信パケットを図6(b)の形式の通信パケットに変換し、すなわち送信元MACアドレスを自装置のMACアドレスである「VREMAC」に変換し、宛先MACアドレスを暗号文側ゲートウェイ15のMACアドレスである「CGW1」に変換する。暗号文ポート側に位置する端末DのIPアドレス「D」と暗号文側ゲートウェイ15のMACアドレス「CGW1」の組を暗号文ポート情報格納部114に記憶する。平文ポート側に位置する端末AのIPアドレス「A」と平文側ゲートウェイ16のMACアドレス「PGW」の組を平文ポート情報格納部112に記憶する。既に記憶されている端末Aの情報を改めて上書きしなくてもよい。
また、第1の暗号装置11は、端末Dから端末Aへの通信において、図6(d)の形式の通信パケットを図6(c)の形式の通信パケットにMACアドレスの変換をして平文通信する。また、暗号装置11は、暗号文ポートから受信した図6(d)に示される通信データの宛先IPアドレスと宛先MACアドレスから、平文ポート側に位置する端末AのIPアドレス「A」と組をなすMACアドレス「PGW」を平文ポート情報格納部112から検索する。図6(d)の形式の通信パケットを図6(c)の形式の通信パケットに変換し、すなわち送信元MACアドレスを自装置のMACアドレスである「VREMAC」に変換し、宛先MACアドレスを平文側ゲートウェイ16のMACアドレスである「PGW」に変換する。暗号文ポート側に位置する端末DのIPアドレス「D」と暗号文側ゲートウェイ15のMACアドレス「CGW1」の組を暗号文ポート情報格納部114に記憶する。平文ポート側に位置する端末AのIPアドレス「A」と平文側ゲートウェイ16のMACアドレス「PGW」の組を平文ポート情報格納部112に記憶する。既に記憶されている端末Aの情報と端末Dの情報を改めて上書きしなくてもよい。
なお、以上の第1の暗号装置11において、端末Aと端末Dとの間の通信はどちら側から先に通信を開始するか分からないが、上記のように処理することによって、どちらから通信が開始されても同じIPアドレスとMACアドレスの組を記憶することが可能となる。
第2のスイッチングハブ14は、端末Aと端末Dとの間の通信において、端末Aから発信し暗号装置11が中継した図6(b)に示される通信データをポートaで受信しポートcから送信し、端末Dから発信し暗号文側ゲートウェイ15が中継した図6(d)に示される通信データをポートcで受信しポートaから端末Aに送信する。このとき、第2のスイッチングハブ14は、図6(b)の送信元MACアドレスから、ポートaには暗号装置11が接続されていることを検出する。そして、ポートaと暗号装置11のMACアドレス「VREMAC」とを対応付けて記憶する。また、図6(d)の送信元MACアドレスから、ポートcには暗号文側ゲートウェイ15が接続されていることを検出する。そして、ポートcと暗号文側ゲートウェイ15のMACアドレス「CGW1」とを対応付けて記憶する。しかし、このポートaと端末AのMACアドレスとの対応付けと、ポートcと暗号文側ゲートウェイ15のMACアドレスとの対応付けは、既に記憶されているので、改めて上書きしなくてもよい。
以上の処理によって得られる暗号装置とスイッチングハブの状態を示したものが図13である。この図13に示されるように、第1および第2のスイッチングハブ13、14のポートa、cには、これらのポートの先に接続される機器のMACアドレス(アドレス対応情報)が格納され、第1の暗号装置11の平文ポート情報格納部112と暗号文ポート情報格納部114には、平文ポートと暗号文ポートの先に接続される機器のポート情報が格納されている。
第1の暗号装置11は、マスタ状態にあるので、所定の時間間隔で定期的にADVERTISEMENTパケットを送信しているが、あわせてMACアドレス通知も送信する。前回のMACアドレス通知を送信してから新たに記憶した平文ポート情報と暗号文ポート情報のIPアドレスとMACアドレスの組を含むポート情報を、バックアップ状態である他の暗号装置(図1の場合には、第2の暗号装置12)へ通知する。ここでは、図10の状態と図13の状態とを比較して、新たに格納されたポート情報がMACアドレス通知として送信される。図14は、MACアドレス通知の内容の一例を示す図であり、図14のMACアドレス通知#1が、このときバックアップ状態の第2の暗号装置12に送信されるものである。
暗号装置11が所定の時間間隔で定期的に送信しているADVERTISEMENTパケットの宛先MACアドレスはブロードキャストアドレスであり、送信元MACアドレスは暗号装置11の仮想MACアドレスであるVREMACである。第1のスイッチングハブ13は、ADVERTISEMENTパケットの送信元MACアドレスから、ポートaにはMACアドレスがVREMACである暗号装置11が接続されていることを検出する。そして、ポートaと暗号装置11のMACアドレス「VREMAC」とを対応付けて記憶する。
第2の暗号装置12は、第1の暗号装置11からのMACアドレス通知#1を受信すると、MACアドレス通知#1に格納されているポート情報を平文ポート情報格納部112と暗号文ポート情報格納部114に格納する。これによって、マスタ状態の第1の暗号装置11の保持するポート情報と、バックアップ状態の第2の暗号装置12の保持するポート情報との間で同期を取ることができる。以上の処理によって得られる暗号装置11、12とスイッチングハブ13、14の状態を示したものが図15である。この図15に示されるように、第2の暗号装置12の平文ポート情報格納部112と暗号文ポート情報格納部114に格納されているポート情報は、第1の暗号装置11の平文ポート情報格納部112と暗号文ポート情報格納部114に格納されているポート情報と一致したものとなる。
この状態で、まず、端末B発、端末C宛ての通信が行われると、端末Bは、端末C宛てのデータを内部に保持し、図7に示される形式のARPリクエストとARPリプライの通信を行い、宛先の暗号文側ゲートウェイ15のMACアドレスを得る。図7の(a)は端末Bが発信するARPリクエストのフレームの構成を示しており、(b)は暗号装置11が中継後のARPリクエストのフレームの構成を示しており、(d)は暗号文側ゲートウェイ15が返信するARPリプライのフレームの構成を示しており、(c)は暗号装置11が中継後のARPリプライのフレームの構成を示している。
端末Bと端末Cとの間で図8に示される形式の暗号化通信が行われるとする。図8の(a)は端末Bから端末Cへの平文パケットを含むフレームの構成を示しており、(b)は(a)の平文パケットが暗号化された暗号文パケットを含むフレームの構成を示しており、(c)は端末Cから端末Bへの平文パケットを含むフレームの構成を示しており、そして、(d)は端末Cから端末Bへの暗号文パケットを含むフレームの構成を示している。
第1のスイッチングハブ13は、端末Bと端末Cとの間の通信に先立ち、端末Bと暗号文側ゲートウェイ15とのARP通信において、端末Bからの図7(a)に示されるARPリクエストをポートcで受信しポートaから送信し、暗号装置11からの図7(c)に示されるARPリプライをポートaで受信しポートcから端末Bに送信する。このとき、第1のスイッチングハブ13は、図7(a)の送信元MACアドレスから、ポートcには端末Bが接続されていることを検出する。そして、ポートcと端末BのMACアドレス「B」とを対応付けて記憶する。また、図7(c)の送信元MACアドレスから、ポートaには暗号装置11が接続されていることを検出する。そして、ポートaと暗号装置11の仮想MACアドレス「VREMAC」とを対応付けて記憶する。ポートaと暗号装置11のMACアドレスとの対応付けは、既に記憶されているので、改めて上書きしなくてもよい。
第1の暗号装置11は、端末Bと暗号文側ゲートウェイ15とのARP通信において、図7(a)に示すパケット形式のARPリクエストを図7(b)に示すパケット形式のARPリクエストにアドレス変換する。アドレス変換では、ARP発信MACアドレスと送信元MACアドレスを暗号装置11の仮想MACアドレス「VREMAC」に変換する。また、平文ポートから受信した図7(a)に示されるARPリクエストのARP発信IPアドレスと送信元MACアドレスから、平文ポート側に位置する端末BのIPアドレス「B」と端末BのMACアドレス「B」の組からなるポート情報を平文ポート情報格納部112に記憶する。
第1の暗号装置11は、端末Bと暗号文側ゲートウェイ15とのARP通信において、図7(d)に示すパケット形式のARPリプライを図7(c)に示すパケット形式のARPリプライにアドレス変換する。アドレス変換では、ARP発信MACアドレスと送信元MACアドレスを暗号装置11の仮想MACアドレス「VREMAC」に変換し、平文ポート情報格納部112を検索し、ARP宛先IPアドレスに設定されていた「B」と組をなすMACアドレス「B」を得て、ARP宛先MACアドレスと宛先MACアドレスを「B」に変換する。図7(d)に示されるARPリプライのARP発信IPアドレスと送信元MACアドレスから、暗号文ポート側に位置する暗号文側ゲートウェイ15のIPアドレス「CGW1」と暗号文側ゲートウェイ15のMACアドレス「CGW1」の組からなるポート情報を暗号文ポート情報格納部114に記憶する。暗号文側ゲートウェイ15のIPアドレス「CGW1」は既に記憶されているので、改めて上書きしなくてもよい。
第2のスイッチングハブ14は、端末Bと端末Cとの間の通信に先立ち、端末Bと暗号文側ゲートウェイ15とのARP通信において、暗号装置11からの図7(b)に示されるARPリクエストをポートaで受信しポートcから送信し、暗号文側ゲートウェイ15からの図7(d)に示されるARPリプライをポートcで受信しポートaから暗号装置に送信する。このとき、第2のスイッチングハブ14は、図7(b)の送信元MACアドレスから、ポートaには暗号装置11が接続されていることを検出する。そして、ポートaと暗号装置11のMACアドレス「VREMAC」とを対応付けて記憶する。既に記憶されているので、暗号装置11の情報を改めて上書きしなくてもよい。また、図7(d)の送信元MACアドレスから、ポートcには暗号文側ゲートウェイ15が接続されていることを検出する。そして、ポートcと暗号文側ゲートウェイ15の仮想MACアドレス「CGW1」とを対応付けて記憶する。既に記憶されているので、暗号文側ゲートウェイ15の情報を改めて上書きしなくてもよい。
第1のスイッチングハブ13は、端末Bと端末Cとの間の通信において、端末Bから図8(a)に示される平文パケットをポートcで受信しポートaから送信し、端末Cからの図8(c)に示される平文パケットをポートaで受信しポートcから端末Bへ送信する。このとき、第1のスイッチングハブ13は、図8(a)の送信元MACアドレスから、ポートcには端末Bが接続されていることを検出する。そして、ポートcと端末BのMACアドレス「B」とを対応付けて記憶する。また、図8(c)の送信元MACアドレスから、ポートaには暗号装置11が接続されていることを検出する。そして、ポートaと暗号装置11の仮想MACアドレス「VREMAC」とを対応付けて記憶する。既に記憶されているので、端末Bと暗号装置11の情報を改めて上書きしなくてもよい。
第1の暗号装置11は、端末Bから端末Cへの通信において、図8(a)に示すパケット形式の平文パケットを図8(b)に示すパケット形式の暗号文パケットに暗号化する。また、暗号装置11は、平文ポートから受信した図8(a)に示される平文パケットの送信元IPアドレスと送信元MACアドレスから、平文ポート側に位置する端末BのIPアドレス「B」と端末BのMACアドレス「B」の組からなるポート情報を平文ポート情報格納部112に記憶する。既に記憶されているので、端末Bの情報を改めて上書きしなくてもよい。また、暗号装置11は、図8(b)に示される通信データの宛先IPアドレスから、暗号文ポート側に位置する暗号装置21のIPアドレス「RE2」と組をなすMACアドレス「CGW1」を暗号文ポート情報格納部114から検索する。図8(b)の形式の通信パケットの送信元MACアドレスに自装置のMACアドレスである「VREMAC」を設定し、宛先MACアドレスに暗号文側ゲートウェイ15のMACアドレスである「CGW1」を設定する。暗号文ポート側に位置する暗号装置21のIPアドレス「RE2」と暗号文側ゲートウェイ15のMACアドレス「CGW1」の組を暗号文ポート情報格納部114に記憶する。既に記憶されているので、暗号装置21の情報を改めて上書きしなくてもよい。
また、第1の暗号装置11は、端末Cから端末Bへの通信において、図8(d)に示すパケット形式の暗号文パケットを暗号文ポートから受信し、図8(c)に示すパケット形式の平文パケットに復号化する。暗号装置11は、図8(d)に示される暗号文パケットの送信元IPアドレスと送信元MACアドレスから、暗号文ポート側に位置する暗号装置21のIPアドレス「RE2」と暗号文側ゲートウェイ15のMACアドレス「CGW1」の組からなるポート情報を暗号文ポート情報格納部114に記憶する。既に記憶されている暗号装置21の情報を改めて上書きしなくてもよい。また、暗号装置11は、図8(c)に示される通信データの宛先IPアドレスから、平文ポート側に位置する端末BのIPアドレス「B」と組をなすMACアドレス「B」を平文ポート情報格納部112から検索する。図8(c)の形式の通信パケットの送信元MACアドレスに自装置のMACアドレスである「VREMAC」を設定し、宛先MACアドレスに端末BのMACアドレスである「B」を設定する。平文ポート側に位置する端末BのIPアドレス「B」と端末BのMACアドレス「B」の組を平文ポート情報格納部112に記憶する。既に記憶されている端末Bの情報を改めて上書きしなくてもよい。
以上の暗号装置11の暗号通信において、端末Bと端末Cとの間の通信はどちら側から先に通信を開始するか分からないが、上記のように処理することによって、暗号化する時も復号化する時も同じIPアドレスとMACアドレスの組を平文ポート情報格納部112と暗号文ポート情報格納部114に記憶することが可能となる。
第2のスイッチングハブ14は、端末Bと端末Cとの間の通信において、端末B側から図8(b)に示される暗号文パケットをポートaで受信しポートcから送信し、端末Cからの図8(d)に示される暗号文パケットをポートcで受信しポートaから端末Bへ送信する。このとき、第2のスイッチングハブ14は、図8(d)の送信元MACアドレスから、ポートcには暗号文側ゲートウェイ15が接続されていることを検出する。そして、ポートcと暗号文側ゲートウェイ15のMACアドレス「CGW1」とを対応付けて記憶する。また、図8(b)の送信元MACアドレスから、ポートaには第1の暗号装置11が接続されていることを検出する。そして、ポートaと第1の暗号装置11の仮想MACアドレス「VREMAC」とを対応付けて記憶する。既に記憶されている暗号文側ゲートウェイ15と暗号装置11の情報を改めて上書きしなくてもよい。
以上の処理によって得られる暗号装置とスイッチングハブの状態を示したものが図16である。
つぎに、端末Bと端末Dとの間で図9に示される通信データで平文通信が行われるとする。図9の(a)は端末Bから端末Dへの通信データの構成を示しており、(b)は暗号装置11が中継した端末Bから端末Dへの通信データの構成を示しており、(d)は暗号文側ゲートウェイ15が中継した端末Dから端末Bへの通信データの構成を示しており、(c)は暗号装置11が中継した端末Dから端末Bへの通信データの構成を示している。
第1のスイッチングハブ13は、端末Bと端末Dとの間の通信において、端末Bから発信した図9(a)に示される通信データをポートcで受信しポートaから送信し、端末Dから暗号装置11が中継した図9(c)に示される通信データをポートaで受信しポートcから端末Bへ送信する。このとき、第1のスイッチングハブ13は、図9(a)の送信元MACアドレスから、ポートcには端末Bが接続されていることを検出する。そして、ポートcと端末BのMACアドレス「B」とを対応付けて記憶する。また、図9(c)の送信元MACアドレスから、ポートaには暗号装置11が接続されていることを検出する。そして、ポートaと暗号装置11のMACアドレス「VREMAC」とを対応付けて記憶する。しかし、このポートcと端末BのMACアドレスとの対応付けと、ポートaと暗号装置11のMACアドレスとの対応付けは、既に記憶されているので、改めて上書きしなくてもよい。
第1の暗号装置11は、端末Bから端末Dへの通信において、図9(a)の形式の通信パケットを図9(b)の形式の通信パケットにMACアドレスの変換をして平文通信する。また、暗号装置11は、平文ポートから受信した図9(a)に示される通信データの宛先IPアドレスと宛先MACアドレスから、暗号文ポート側に位置する端末DのIPアドレス「D」と組をなすMACアドレス「CGW1」を暗号文ポート情報格納部114から検索する。図9(a)の形式の通信パケットを図9(b)の形式の通信パケットに変換し、すなわち送信元MACアドレスを自装置のMACアドレスである「VREMAC」に変換し、宛先MACアドレスを暗号文側ゲートウェイ15のMACアドレスである「CGW1」に変換する。暗号文ポート側に位置する端末DのIPアドレス「D」と暗号文側ゲートウェイ15のMACアドレス「CGW1」の組を暗号文ポート情報格納部114に記憶する。既に記憶されている端末Dの情報を改めて上書きしなくてもよい。平文ポート側に位置する端末BのIPアドレス「B」と端末BのMACアドレス「B」の組を平文ポート情報格納部112に記憶する。既に記憶されている端末Bの情報を改めて上書きしなくてもよい。
また、第1の暗号装置11は、端末Dから端末Bへの通信において、図9(c)の形式の通信パケットを図9(d)の形式の通信パケットにMACアドレスの変換をして平文通信する。また、暗号装置11は、暗号文ポートから受信した図9(d)に示される通信データの宛先IPアドレスと宛先MACアドレスから、平文ポート側に位置する端末BのIPアドレス「B」と組をなすMACアドレス「B」を平文ポート情報格納部112から検索する。図9(d)の形式の通信パケットを図9(c)の形式の通信パケットに変換し、すなわち送信元MACアドレスを自装置のMACアドレスである「VREMAC」に変換し、宛先MACアドレスを端末BのMACアドレスである「B」に変換する。暗号文ポート側に位置する端末DのIPアドレス「D」と暗号文側ゲートウェイ15のMACアドレス「CGW1」の組を暗号文ポート情報格納部114に記憶する。平文ポート側に位置する端末BのIPアドレス「B」と端末BのMACアドレス「B」の組を平文ポート情報格納部112に記憶する。既に記憶されている端末Bの情報と端末Dの情報を改めて上書きしなくてもよい。
なお、以上の第1の暗号装置11において、端末Bと端末Dとの間の通信はどちら側から先に通信を開始するか分からないが、上記のように処理することによって、どちらから通信が開始されても同じIPアドレスとMACアドレスの組を記憶することが可能となる。
第2のスイッチングハブ14は、端末Bと端末Dとの間の通信において、端末Bから発信し暗号装置11が中継した図9(b)に示される通信データをポートaで受信しポートcから送信し、端末Dから発信し暗号文側ゲートウェイ15が中継した図9(d)に示される通信データをポートcで受信しポートaから端末Aに送信する。このとき、第2のスイッチングハブ14は、図9(b)の送信元MACアドレスから、ポートaには暗号装置11が接続されていることを検出する。そして、ポートaと暗号装置11のMACアドレス「VREMAC」とを対応付けて記憶する。また、図9(d)の送信元MACアドレスから、ポートcには暗号文側ゲートウェイ15が接続されていることを検出する。そして、ポートcと暗号文側ゲートウェイ15のMACアドレス「CGW1」とを対応付けて記憶する。しかし、このポートaと端末AのMACアドレスとの対応付けと、ポートcと暗号文側ゲートウェイ15のMACアドレスとの対応付けは、既に記憶されているので、改めて上書きしなくてもよい。
以上の処理によって得られる暗号装置とスイッチングハブの状態を示したものが図17である。この図17に示されるように、第1および第2のスイッチングハブ13、14のポートa、cには、これらのポートの先に接続される機器のMACアドレス(アドレス対応情報)が格納され、第1の暗号装置11の平文ポート情報格納部112と暗号文ポート情報格納部114には、平文ポートと暗号文ポートの先に接続される機器のポート情報が格納されている。この図17では、上記端末Bと端末Cとの間の通信と端末Bと端末Dとの間の暗号通信によって得られた新たなポート情報とアドレス対応情報が、点線で囲まれて表示されている。
その後、所定時間が経過すると、第1の暗号装置11はADVERTISEMENTパケットを送信するが、このときあわせてMACアドレス通知も送信する。ここでは、図13の状態と図17の状態とを比較して、図17の暗号装置11中の新たに格納された点線で囲まれている部分のポート情報が、MACアドレス通知#2として送信される。ここで通知されるMACアドレス通知#2は、図18に示されている。
第2の暗号装置12は、MACアドレス通知#2を第1の暗号装置11から受信すると、平文ポート情報格納部112と暗号文ポート情報格納部114にMACアドレス通知#2に格納されているポート情報を格納する。図17と図18の例では、平文ポート情報格納部112に、端末BのIPアドレス「B」と端末BのMACアドレス「B」の組を平文ポート情報として追加して記憶する。以上のMACアドレス通知#2の送信処理によって得られる暗号装置11、12とスイッチングハブ13、14の状態を示したものが図19である。この図19に示されるように、第2の暗号装置12の平文ポート情報格納部112と暗号文ポート情報格納部114に格納されているポート情報は、第1の暗号装置11の平文ポート情報格納部112と暗号文ポート情報格納部114のそれと一致したものとなる。
この図19に示される状態の後、第1の暗号装置11が何らかの異常によって定期的にADVERTISEMENTパケットを送信できなくなると、第2の暗号装置12が第1の暗号装置11の異常を検知して、バックアップ状態からマスタ状態に遷移し、第2の暗号装置12はADVERTISEMENTパケットを定期的に送信する。このとき送信されるADVERTISEMENTパケットの送信元MACアドレスは、第1と第2の暗号装置11、12の全体に対して仮想的に割り振られる仮想MACアドレス「VREMAC」である。
第1のスイッチングハブ13は、ADVERTISEMENTパケットをポートbで受信すると、そのADVERTISEMENTパケットの送信元MACアドレスが暗号装置の仮想MACアドレス「VREMAC」になっているため、ポートaに暗号装置が接続されていた状態から、ポートbの先に暗号装置が接続されたと判断する。そして、ポートbと暗号装置のMACアドレス「VREMAC」とを対応付けて記憶する。この結果、既に対応付けられていたポートaと暗号装置のMACアドレス「VREMAC」の組合せは削除されることになる。これ以降、第1のスイッチングハブ13は、MACアドレスが暗号装置宛のパケットをポートbへ中継するようになる。
第2のスイッチングハブ14も、同様に、ADVERTISEMENTパケットを受信すると、ポートa側からポートb側に暗号装置のMACアドレス「VREMAC」を記憶するように、アドレス対応表を変更する。そして、これ以降、第2のスイッチングハブ14は、MACアドレスが暗号装置宛のパケットをポートbへ中継する。以上の第2の暗号装置12がマスタ状態に遷移した後の処理によって得られる暗号装置11、12とスイッチングハブ13、14の状態を示したものが図20である。
このような処理によって、図5に示される形式の端末Aと端末C間の通信パケット、図8に示される形式の端末Bと端末C間の通信パケットのすべては、第2の暗号装置12経由で第1の暗号装置11と同等のMACアドレスの処理と暗号化を施し通信が可能となる。また、図9に示される形式の端末Bと端末D間の通信パケット、図6に示される端末Aと端末D間の通信パケットの全ては、第2の暗号装置12経由でMACアドレス変換して平文通信される。
この実施の形態1では、第1の暗号装置11はMACアドレス通知を平文ネットワークへ送信していたが、暗号文ネットワークへ送信するようにしてもよい。そして、暗号文ネットワークへMACアドレスを通知する時はMACアドレス通知を暗号化して送信するようにしてもよい。
また、この実施の形態1では、図15と図19で第1の暗号装置11がMACアドレス通知#1とMACアドレス通知#2を通知するポート情報(MACアドレスとIPアドレスの組み合わせ)は、前回のMACアドレス通知送信時から新規に記憶したポート情報を通知しているが、新規に記憶したポート情報ではなく、記憶されているすべてのポート情報を通知してもよい。この場合、記憶されたすべてのポート情報の通知を行うMACアドレス通知は、ADVERTISEMENTパケットを送信する度に送信するのではなく、n回(nは自然数)のADVERTISEMENTパケットの送信に一度、たとえば、5回のADVERTISEMENTパケットの送信に一度の頻度で送信するようにしてもよい。
さらに、この実施の形態1では、ADVERTISEMENTパケットとMACアドレス通知をLAN経由でマスタ状態の暗号装置からバックアップ状態の暗号装置に送信していたが、図21に示す構成で暗号装置11と暗号装置12の間を専用通信回線40で接続し、専用通信回線40経由でADVERTISEMENTパケットとMACアドレスを通知し、マスタ状態からバックアップ状態に遷移した暗号装置は送信元MACアドレスが自局MACアドレスであるデータ、例えば自装置発で自装置宛のARPリクエストを送信して第1と第2のスイッチングハブ13、14のポートの転送動作を切り替えても良い。
さらに、この実施の形態1では、第1のIPサブネットワーク10における冗長構成を成すリピータ型暗号装置11、12が2台の場合を例に挙げて説明したが、3台以上の構成であってもよい。
このように、実施の形態1で示した暗号通信システムは、平文ネットワークと暗号文ネットワークとの間で通信データを中継する1台のマスタ状態の暗号装置と、前記マスタ状態の暗号装置が故障したときのためのバックアップ状態の暗号装置が、同じサブネットマスクを有するIPサブネットワーク内の前記平文ネットワーク側と前記暗号文ネットワーク側のそれぞれに設けられる2台のスイッチングハブの間に備えられる暗号通信システムであって、前記暗号装置は、前記平文ネットワーク側に設けられる平文ポートと、前記暗号文ネットワーク側に設けられる暗号文ポートと、前記平文ポートと前記暗号文ポートの先に接続される機器のIPネットワークアドレスと物理アドレス情報を格納するポート情報格納手段と、マスタ状態にある場合に、前記平文ポートまたは前記暗号文ポートから受信する通信データのヘッダ情報から前記アドレス情報を検出し、前記ポート情報格納手段に格納する接続状態検出手段と、マスタ状態にある場合に、前記ポート情報格納手段に格納される前記アドレス情報を、所定の周期でバックアップ状態の他の暗号装置に送信し、前記アドレス情報を受信したバックアップ状態の暗号装置はポート情報格納手段に格納し、バックアップ状態からマスタ状態に切り替った場合に、前記ポート情報格納手段に格納される前記アドレス情報に基づいて、データを中継時、送信元を示す物理アドレスには仮想の暗号装置のアドレスを設定し、宛先を示す物理アドレスには前記ポート情報に格納されているIPネットワークアドレスと組を成す物理アドレスを設定し中継することを特徴とする。
この実施の形態1によれば、暗号装置11、12がマスタ状態にある場合、またはバックアップ状態からマスタ状態に切り替った場合に、暗号装置11、12がMACアドレスの変換を行うようにしたので、暗号装置11、12の平文ポート側と暗号文ポート側に接続される第1と第2のスイッチングハブ13、14のポートと、このポートの先に接続される機器のMACアドレスとの対応関係を示すアドレス対応情報の変更が、暗号装置11、12の切り替えとほぼ同時に行うことができる。その結果、暗号装置11、12が切り替った場合に、改めて第1と第2のスイッチングハブ13、14の経路の変更を行う必要がなくなるという効果を有する。また、マスタ状態からバックアップ状態へ遷移した暗号装置は、ARPパケットやICMP(echo)パケットを代理送信する必要がなく、暗号装置が端末やルータのMACアドレスを通信データの送信元MACアドレスに設定して送信する必要がない。このため、ネットワーク接続を変更した場合、例えば配線を誤って(あるいはネットワーク構成変更時)、平文ネットワーク側に位置していた端末を暗号文ネットワーク側に配線接続(構成変更)した場合に、端末は自局MACアドレスを重複MACアドレスとして検出し警告を発することを回避することができる。
なお、前述した実施の形態で、暗号装置は、コンピュータで実現できるものである。
図示していないが、暗号装置は、プログラムを実行するCPU(Central Processing Unit)を備えている。
例えば、CPUは、バスを介して、ROM(Read Only Memory)、RAM(Random Access Memory)、通信ボード、表示装置、K/B(キーボード)、マウス、FDD(Flexible Disk Drive)、CDD(コンパクトディスクドライブ)、磁気ディスク装置、光ディスク装置、プリンタ装置、スキャナ装置等と接続されている。
前述した実施の形態の暗号装置が扱うデータや情報は、記憶装置あるいは記憶部に保存され、暗号装置の各部により、記録され読み出されるものである。
また、通信ボードは、例えば、LAN、インターネット、或いはISDN等のWAN(ワイドエリアネットワーク)に接続されている。
磁気ディスク装置には、オペレーティングシステム(OS)、ウィンドウシステム、プログラム群、ファイル群(データベース)が記憶されている。
プログラム群は、CPU、OS、ウィンドウシステムにより実行される。
上記暗号装置の各部は、一部或いはすべてコンピュータで動作可能なプログラムにより構成しても構わない。或いは、ROMに記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェア或いは、ハードウェア或いは、ソフトウェアとハードウェアとファームウェアとの組み合わせで実施されても構わない。
上記プログラム群には、実施の形態の説明において「〜部」として説明した処理をCPUに実行させるプログラムが記憶される。これらのプログラムは、例えば、C言語やHTMLやSGMLやXMLなどのコンピュータ言語により作成される。
また、上記プログラムは、磁気ディスク装置、FD(Flexible Disk)、光ディスク、CD(コンパクトディスク)、MD(ミニディスク)、DVD(Digital Versatile Disk)等のその他の記録媒体に記憶され、CPUにより読み出され実行される。
この暗号装置が適用される暗号通信システムのネットワーク構成の一例を示す図である。 通常時におけるマスタ状態の暗号装置の動作を示すフローチャートである。 マスタ状態に遷移した暗号装置の動作を示すフローチャートである。 平文側ゲートウェイPGWと暗号文側ゲートウェイCGW1間のARP通信データの構成の概要を示す図である。 端末Aと端末Cとの間の通信データの構成の概要を示す図である。 端末Aと端末Dとの間の通信データの構成の概要を示す図である。 端末Bと暗号文側ゲートウェイCGW1間のARP通信データの構成の概要を示す図である。 端末Bと端末Cとの間の通信データの構成の概要を示す図である。 端末Bと端末Dとの間の通信データの構成の概要を示す図である。 第1のIPサブネットワークの暗号装置の各ポート情報とスイッチングハブのポートの状態を模式的に示す図である。 第1のIPサブネットワークの暗号装置の各ポート情報とスイッチングハブのポートの状態を模式的に示す図である。 第1のIPサブネットワークの暗号装置の各ポート情報とスイッチングハブのポートの状態を模式的に示す図である。 第1のIPサブネットワークの暗号装置の各ポート情報とスイッチングハブのポートの状態を模式的に示す図である。 MACアドレス通知の内容の一例を示す図である。 第1のIPサブネットワークの暗号装置の各ポート情報とスイッチングハブのポートの状態を模式的に示す図である。 第1のIPサブネットワークの暗号装置の各ポート情報とスイッチングハブのポートの状態を模式的に示す図である。 第1のIPサブネットワークの暗号装置の各ポート情報とスイッチングハブのポートの状態を模式的に示す図である。 MACアドレス通知の内容の一例を示す図である。 第1のIPサブネットワークの暗号装置の各ポート情報とスイッチングハブのポートの状態を模式的に示す図である。 第1のIPサブネットワークの暗号装置の各ポート情報とスイッチングハブのポートの状態を模式的に示す図である。 この暗号装置が適用される暗号通信システムのネットワーク構成の一例を示す図である。 暗号装置の構成例を示す図。
符号の説明
10 第1のIPサブネットワーク、11 暗号装置、12 暗号装置、13 スイッチングハブ、14 スイッチングハブ、15 暗号文側ゲートウェイ、16 平文側ゲートウェイ、20 第2のIPサブネットワーク、21 暗号装置、22 暗号文側ゲートウェイ、30 インターネット、40 専用通信回線、111 平文ポート、112 平文ポート情報格納部、113 暗号文ポート、114 暗号文ポート情報格納部、115 転送処理部、116 接続状態検出部、117 パケット送信制御部、118 受信情報処理部、119 切替検知部、120 制御部。

Claims (16)

  1. 平文ネットワークと暗号文ネットワークとの間の通信を中継可能な複数の暗号装置を有し、共通の仮想通信アドレスが複数の暗号装置に設定されており、複数の暗号装置のうちのいずれかをマスタ状態とし、マスタ状態の暗号装置以外の暗号装置をバックアップ状態とする暗号通信システムであって、
    マスタ状態の暗号装置は、
    平文ネットワークと暗号文ネットワークとの間で送受信される通信データを受信し、受信した通信データから平文ネットワークに配置されている平文側機器の通信アドレス及び暗号文ネットワークに配置されている暗号文側機器の通信アドレスを取得し、
    取得した平文側機器の通信アドレス及び暗号文側機器の通信アドレスを記憶し、
    所定のタイミングで、記憶した通信アドレスをバックアップ状態にある暗号装置に通知し、
    平文ネットワークと暗号文ネットワークとの間で送受信される通信データの中継の際に、平文側機器の通信アドレス及び暗号文側機器の通信アドレスのいずれかが含まれている通信データを受信し、記憶している通信アドレスに基づき、受信した通信データに含まれている平文側機器の通信アドレス及び暗号文側機器の通信アドレスのいずれかを複数の暗号装置に共通の仮想通信アドレスにアドレス変換し、アドレス変換後の通信データを中継することを特徴とする暗号通信システム。
  2. バックアップ状態の暗号装置は、
    マスタ状態の暗号装置から通知された通信アドレスを記憶し、
    マスタ状態の暗号装置が所定の状態になった場合にバックアップ状態からマスタ状態に移行し、
    マスタ状態への移行後、平文ネットワークと暗号文ネットワークとの間で送受信される通信データの中継の際に、平文側機器の通信アドレス及び暗号文側機器の通信アドレスのいずれかが含まれている通信データを受信し、記憶している通信アドレスに基づき、受信した通信データに含まれている平文側機器の通信アドレス及び暗号文側機器の通信アドレスのいずれかを複数の暗号装置に共通の仮想通信アドレスにアドレス変換し、アドレス変換後の通信データを中継することを特徴とする請求項1に記載の暗号通信システム。
  3. 前記暗号通信システムは、
    共通の仮想MAC(Media Access Control)アドレスが複数の暗号装置に設定されており、
    マスタ状態の暗号装置は、
    平文ネットワークと暗号文ネットワークとの間で送受信される通信データを受信し、受信した通信データから平文側機器のMACアドレス及び暗号文側機器のMACアドレスを取得し、
    取得した平文側機器のMACアドレス及び暗号文側機器のMACアドレスを記憶し、
    平文ネットワークと暗号文ネットワークとの間で送受信される通信データの中継の際に、平文側機器のMACアドレス及び暗号文側機器のMACアドレスのいずれかが送信元MACアドレスとして含まれている通信データを受信し、記憶しているMACアドレスに基づき、送信元MACアドレスとして通信データに含まれている平文側機器のMACアドレス及び暗号文側機器のMACアドレスのいずれかを複数の暗号装置に共通の仮想MACアドレスにアドレス変換し、アドレス変換後の通信データを中継することを特徴とする請求項1に記載の暗号通信システム。
  4. バックアップ状態の暗号装置は、
    マスタ状態の暗号装置から、平文側機器のMACアドレス及び暗号文側機器のMACアドレスを通知され、通知された平文側機器のMACアドレス及び暗号文側機器のMACアドレスを記憶し、
    マスタ状態の暗号装置が所定の状態になった場合にバックアップ状態からマスタ状態に移行し、
    マスタ状態への移行後、平文ネットワークと暗号文ネットワークとの間で送受信される通信データの中継の際に、平文側機器のMACアドレス及び暗号文側機器のMACアドレスのいずれかが送信元MACアドレスとして含まれている通信データを受信し、記憶しているMACアドレスに基づき、送信元MACアドレスとして通信データに含まれている平文側機器のMACアドレス及び暗号文側機器のMACアドレスのいずれかを複数の暗号装置に共通の仮想MACアドレスにアドレス変換し、アドレス変換後の通信データを中継することを特徴とする請求項3に記載の暗号通信システム。
  5. マスタ状態の暗号装置は、
    平文ネットワークと暗号文ネットワークとの間で送受信される通信データの中継の際に、複数の暗号装置に共通の仮想通信アドレスが含まれた通信データを受信し、記憶している通信アドレスの中から、所定の条件に合致する平文側機器の通信アドレス及び暗号文側機器の通信アドレスのいずれかを抽出し、受信した通信データに含まれている複数の暗号装置に共通の仮想通信アドレスを抽出した平文側機器の通信アドレス及び暗号文側機器の通信アドレスのいずれかにアドレス変換し、アドレス変換後の通信データを中継することを特徴とする請求項1に記載の暗号通信システム。
  6. バックアップ状態の暗号装置は、
    マスタ状態の暗号装置から通知された通信アドレスを記憶し、
    マスタ状態の暗号装置が所定の状態になった場合にバックアップ状態からマスタ状態に移行し、
    マスタ状態への移行後、平文ネットワークと暗号文ネットワークとの間で送受信される通信データの中継の際に、複数の暗号装置に共通の仮想通信アドレスが含まれた通信データを受信し、記憶している通信アドレスの中から、所定の条件に合致する平文側機器の通信アドレス及び暗号文側機器の通信アドレスのいずれかを抽出し、受信した通信データに含まれている複数の暗号装置に共通の仮想通信アドレスを抽出した平文側機器の通信アドレス及び暗号文側機器の通信アドレスのいずれかにアドレス変換し、アドレス変換後の通信データを中継することを特徴とする請求項5に記載の暗号通信システム。
  7. 前記暗号通信システムは、
    共通の仮想MACアドレスが複数の暗号装置に設定されており、
    マスタ状態の暗号装置は、
    平文ネットワークと暗号文ネットワークとの間で送受信される通信データを受信し、受信した通信データから平文側機器のIP(Internet Protocol)アドレスとMACアドレス及び暗号文側機器のIPアドレスとMACアドレスを取得し、取得した平文側機器のIPアドレスとMACアドレスとを対応づけて記憶し、取得した暗号文側機器のIPアドレスとMACアドレスとを対応づけて記憶し、
    平文ネットワークと暗号文ネットワークとの間で送受信される通信データの中継の際に、宛先IPアドレスとして平文側機器のIPアドレス及び暗号文側機器のIPアドレスのいずれかが含まれ宛先MACアドレスとして複数の暗号装置に共通の仮想MACアドレスが含まれた通信データを受信し、記憶しているMACアドレスの中から、宛先IPアドレスとして通信データに含まれているIPアドレスに対応づけられているMACアドレスを抽出し、宛先MACアドレスとして通信データに含まれている複数の暗号装置に共通の仮想MACアドレスを抽出したMACアドレスにアドレス変換し、アドレス変換後の通信データを中継することを特徴とする請求項5に記載の暗号通信システム。
  8. バックアップ状態の暗号装置は、
    マスタ状態の暗号装置から、平文側機器のIPアドレスとMACアドレス及び暗号文側機器のIPアドレスとMACアドレスを通知され、
    通知された平文側機器のIPアドレスとMACアドレスとを対応づけて記憶し、通知された暗号文側機器のIPアドレスとMACアドレスとを対応づけて記憶し、
    マスタ状態の暗号装置が所定の状態になった場合にバックアップ状態からマスタ状態に移行し、
    マスタ状態への移行後、平文ネットワークと暗号文ネットワークとの間で送受信される通信データの中継の際に、宛先IPアドレスとして平文側機器のIPアドレス及び暗号文側機器のIPアドレスのいずれかが含まれ宛先MACアドレスとして複数の暗号装置に共通の仮想MACアドレスが含まれた通信データを受信し、記憶しているMACアドレスの中から、宛先IPアドレスとして通信データに含まれているIPアドレスに対応づけられているMACアドレスを抽出し、宛先MACアドレスとして通信データに含まれている複数の暗号装置に共通の仮想MACアドレスを抽出したMACアドレスにアドレス変換し、アドレス変換後の通信データを中継することを特徴とする請求項7に記載の暗号通信システム。
  9. 平文ネットワークと暗号文ネットワークとの間の通信を中継可能な複数の暗号装置を有し、共通の仮想通信アドレスが複数の暗号装置に設定されており、複数の暗号装置のうちのいずれかをマスタ状態とし、マスタ状態の暗号装置以外の暗号装置をバックアップ状態とする暗号通信システムに含まれるいずれかの暗号装置であって、
    マスタ状態にあるときに、平文ネットワークと暗号文ネットワークとの間で送受信される通信データから、平文ネットワークに配置されている平文側機器の通信アドレス及び暗号文ネットワークに配置されている暗号文側機器の通信アドレスを取得するアドレス取得部と、
    前記アドレス取得部により取得された平文側機器の通信アドレス及び暗号文側機器の通信アドレスを記憶するアドレス記憶部と、
    マスタ状態にあるときに、所定のタイミングで、前記アドレス記憶部に記憶されている通信アドレスをバックアップ状態にある他の暗号装置に通知するアドレス通知部と、
    マスタ状態にあるときに、平文側機器の通信アドレス及び暗号文側機器の通信アドレスのいずれかが含まれている通信データを受信し、前記アドレス記憶部に記憶されている通信アドレスに基づき、受信した通信データに含まれている平文側機器の通信アドレス及び暗号文側機器の通信アドレスのいずれかを複数の暗号装置に共通の仮想通信アドレスにアドレス変換し、アドレス変換後の通信データを中継する中継処理部とを有することを特徴とする暗号装置。
  10. 前記暗号装置は、更に、
    バックアップ状態にあるときに、マスタ状態の他の暗号装置より、マスタ状態の他の暗号装置が取得した平文側機器の通信アドレス及び暗号文側機器の通信アドレスを通知するアドレス通知を受信するアドレス通知受信部を有し、
    前記アドレス記憶部は、
    前記アドレス通知受信部により受信されたアドレス通知に示された平文側機器の通信アドレス及び暗号文側機器の通信アドレスを記憶し、
    前記中継処理部は、
    マスタ状態の他の暗号装置が所定の状態になり、自暗号装置がバックアップ状態からマスタ状態に移行した後に、平文側機器の通信アドレス及び暗号文側機器の通信アドレスのいずれかが含まれている通信データを受信し、前記アドレス記憶部に記憶されている通信アドレスに基づき、受信した通信データに含まれている平文側機器の通信アドレス及び暗号文側機器の通信アドレスのいずれかを複数の暗号装置に共通の仮想通信アドレスにアドレス変換し、アドレス変換後の通信データを中継することを特徴とする請求項9に記載の暗号装置。
  11. 前記暗号装置は、
    共通の仮想MAC(Media Access Control)アドレスが複数の暗号装置に設定されている暗号通信システムに含まれており、
    前記アドレス取得部は、
    マスタ状態にあるときに、平文ネットワークと暗号文ネットワークとの間で送受信される通信データから、平文側機器のMACアドレス及び暗号文側機器のMACアドレスを取得し、
    前記アドレス記憶部は、
    前記アドレス取得部により取得された平文側機器のMACアドレス及び暗号文側機器のMACアドレスを記憶し、
    前記中継処理部は、
    マスタ状態にあるときに、平文側機器のMACアドレス及び暗号文側機器のMACアドレスのいずれかが送信元MACアドレスとして含まれている通信データを受信し、前記アドレス記憶部に記憶されているMACアドレスに基づき、送信元MACアドレスとして通信データに含まれている平文側機器のMACアドレス及び暗号文側機器のMACアドレスのいずれかを複数の暗号装置に共通の仮想MACアドレスにアドレス変換し、アドレス変換後の通信データを中継することを特徴とする請求項9に記載の暗号装置。
  12. 前記暗号装置は、更に、
    バックアップ状態にあるときに、マスタ状態の他の暗号装置より、マスタ状態の他の暗号装置が取得した平文側機器のMACアドレス及び暗号文側機器のMACアドレスを通知するアドレス通知を受信するアドレス通知受信部を有し、
    前記アドレス記憶部は、
    前記アドレス通知受信部により受信されたアドレス通知に示された平文側機器のMACアドレス及び暗号文側機器のMACアドレスを記憶し、
    前記中継処理部は、
    マスタ状態の他の暗号装置が所定の状態になり、自暗号装置がバックアップ状態からマスタ状態に移行した後に、平文側機器のMACアドレス及び暗号文側機器のMACアドレスのいずれかが送信元MACアドレスとして含まれている通信データを受信し、前記アドレス記憶部に記憶されているMACアドレスに基づき、送信元MACアドレスとして通信データに含まれている平文側機器のMACアドレス及び暗号文側機器のMACアドレスのいずれかを複数の暗号装置に共通の仮想MACアドレスにアドレス変換し、アドレス変換後の通信データを中継することを特徴とする請求項11に記載の暗号装置。
  13. 前記中継処理部は、
    マスタ状態にあるときに、複数の暗号装置に共通の仮想通信アドレスが含まれた通信データを受信し、前記アドレス記憶部に記憶されている通信アドレスの中から、所定の条件に合致する平文側機器の通信アドレス及び暗号文側機器の通信アドレスのいずれかを抽出し、受信した通信データに含まれている複数の暗号装置に共通の仮想通信アドレスを抽出した平文側機器の通信アドレス及び暗号文側機器の通信アドレスのいずれかにアドレス変換し、アドレス変換後の通信データを中継することを特徴とする請求項9に記載の暗号装置。
  14. 前記暗号装置は、更に、
    バックアップ状態にあるときに、マスタ状態の他の暗号装置より、マスタ状態の他の暗号装置が取得した平文側機器の通信アドレス及び暗号文側機器の通信アドレスを通知するアドレス通知を受信するアドレス通知受信部を有し、
    前記アドレス記憶部は、
    前記アドレス通知受信部により受信されたアドレス通知に示された平文側機器の通信アドレス及び暗号文側機器の通信アドレスを記憶し、
    前記中継処理部は、
    マスタ状態の他の暗号装置が所定の状態になり、自暗号装置がバックアップ状態からマスタ状態に移行した後に、複数の暗号装置に共通の仮想通信アドレスが含まれた通信データを受信し、前記アドレス記憶部に記憶されている通信アドレスの中から、所定の条件に合致する平文側機器の通信アドレス及び暗号文側機器の通信アドレスのいずれかを抽出し、受信した通信データに含まれている複数の暗号装置に共通の仮想通信アドレスを抽出した平文側機器の通信アドレス及び暗号文側機器の通信アドレスのいずれかにアドレス変換し、アドレス変換後の通信データを中継することを特徴とする請求項13に記載の暗号装置。
  15. 前記暗号装置は、
    共通の仮想MACアドレスが複数の暗号装置に設定されている暗号通信システムに含まれており、
    前記アドレス取得部は、
    マスタ状態にあるときに、平文ネットワークと暗号文ネットワークとの間で送受信される通信データから、平文側機器のIP(Internet Protocol)アドレスとMACアドレス及び暗号文側機器のIPアドレスとMACアドレスを取得し、
    前記アドレス記憶部は、
    前記アドレス取得部により取得された平文側機器のIPアドレスとMACアドレスとを対応づけて記憶し、前記アドレス取得部により取得された暗号文側機器のIPアドレスとMACアドレスとを対応づけて記憶し、
    前記中継処理部は、
    マスタ状態にあるときに、宛先IPアドレスとして平文側機器のIPアドレス及び暗号文側機器のIPアドレスのいずれかが含まれ宛先MACアドレスとして複数の暗号装置に共通の仮想MACアドレスが含まれた通信データを受信し、前記アドレス記憶部に記憶されているMACアドレスの中から、宛先IPアドレスとして通信データに含まれているIPアドレスに対応づけられているMACアドレスを抽出し、宛先MACアドレスとして通信データに含まれている複数の暗号装置に共通の仮想MACアドレスを抽出したMACアドレスにアドレス変換し、アドレス変換後の通信データを中継することを特徴とする請求項13に記載の暗号装置。
  16. 前記暗号装置は、更に、
    バックアップ状態にあるときに、マスタ状態の他の暗号装置より、マスタ状態の他の暗号装置が取得した平文側機器のIPアドレスとMACアドレス及び暗号文側機器のIPアドレスとMACアドレスを通知するアドレス通知を受信するアドレス通知受信部を有し、
    前記アドレス記憶部は、
    前記アドレス通知受信部により受信されたアドレス通知に示された平文側機器のIPアドレスとMACアドレスとを対応づけて記憶し、前記アドレス通知受信部により受信されたアドレス通知に示された暗号文側機器のIPアドレスとMACアドレスとを対応づけて記憶し、
    前記中継処理部は、
    マスタ状態の他の暗号装置が所定の状態になり、自暗号装置がバックアップ状態からマスタ状態に移行した後に、宛先IPアドレスとして平文側機器のIPアドレス及び暗号文側機器のIPアドレスのいずれかが含まれ宛先MACアドレスとして複数の暗号装置に共通の仮想MACアドレスが含まれた通信データを受信し、前記アドレス記憶部に記憶されているMACアドレスの中から、宛先IPアドレスとして通信データに含まれているIPアドレスに対応づけられているMACアドレスを抽出し、宛先MACアドレスとして通信データに含まれている複数の暗号装置に共通の仮想MACアドレスを抽出したMACアドレスにアドレス変換し、アドレス変換後の通信データを中継することを特徴とする請求項15に記載の暗号装置。
JP2004214081A 2004-07-22 2004-07-22 暗号通信システム及び暗号装置 Pending JP2006041593A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004214081A JP2006041593A (ja) 2004-07-22 2004-07-22 暗号通信システム及び暗号装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004214081A JP2006041593A (ja) 2004-07-22 2004-07-22 暗号通信システム及び暗号装置

Publications (1)

Publication Number Publication Date
JP2006041593A true JP2006041593A (ja) 2006-02-09

Family

ID=35906155

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004214081A Pending JP2006041593A (ja) 2004-07-22 2004-07-22 暗号通信システム及び暗号装置

Country Status (1)

Country Link
JP (1) JP2006041593A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016178392A (ja) * 2015-03-19 2016-10-06 株式会社日立製作所 暗号通信システム、暗号通信方法、暗号通信装置及び暗号通信装置登録サーバ

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016178392A (ja) * 2015-03-19 2016-10-06 株式会社日立製作所 暗号通信システム、暗号通信方法、暗号通信装置及び暗号通信装置登録サーバ

Similar Documents

Publication Publication Date Title
JP5152642B2 (ja) パケットリングネットワークシステム、パケット転送方法、およびノード
EP2523403B1 (en) Network system and network redundancy method
JP4747118B2 (ja) ルータ、通信保証方法および通信保証プログラム
JP4231773B2 (ja) Vrの機密性を維持したvrrp技術
US20050265230A1 (en) Apparatus and method for performing state transition of backup router in router redundancy system
JP4764737B2 (ja) ネットワークシステム、端末およびゲートウェイ装置
JP2009538083A (ja) 分散型ブリッジにおけるmacアドレス学習
GB2283645A (en) Digital communication systems
JP2010177752A (ja) ネットワーク通信装置
JP5029612B2 (ja) パケットリングネットワークシステム、パケット転送方法およびインタリンクノード
JP4011528B2 (ja) ネットワーク仮想化システム
WO2003101048A1 (fr) Systeme de traitement d'information
JP2006041593A (ja) 暗号通信システム及び暗号装置
CN102868616A (zh) 网络中虚mac地址表项建立的方法、路由器及系统
JP2004350025A (ja) 暗号通信システムおよび暗号装置
JP3817140B2 (ja) 暗号化通信システム
JP4106632B2 (ja) 通信装置及び通信制御方法
JP5889122B2 (ja) 制御ノード及び通信制御方法
JP2006230023A (ja) 暗号化通信方法
JP4279847B2 (ja) 通信システム、通信方法、ならびに、プログラム
JPH11313101A (ja) 二重化lanシステムのコネクション再接続の高速化方法及び方式
JP5703848B2 (ja) 通信方法、並びに通信システム、ルータ及びサーバ
JP2006054766A (ja) 冗長構成ネットワークシステムにおける制御データ共有方法
JP2010200269A (ja) 通信装置、パケット送受信装置、通信方法、及びプログラム
JP5413940B2 (ja) シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体