JP2006191207A - 通信装置 - Google Patents

通信装置 Download PDF

Info

Publication number
JP2006191207A
JP2006191207A JP2004382039A JP2004382039A JP2006191207A JP 2006191207 A JP2006191207 A JP 2006191207A JP 2004382039 A JP2004382039 A JP 2004382039A JP 2004382039 A JP2004382039 A JP 2004382039A JP 2006191207 A JP2006191207 A JP 2006191207A
Authority
JP
Japan
Prior art keywords
encryption
communication
processing
information
communication data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004382039A
Other languages
English (en)
Inventor
Hiroshi Sakatani
洋志 坂谷
Tei Satake
禎 佐竹
Satoshi Ookage
聡 大景
Mitsuyo Ishida
美津代 石田
Kenji Kuramae
健治 藏前
Tomiichi Imai
富一 今井
Tomohiro Oda
智宏 織田
Makoto Wada
真 和田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Electric Works Co Ltd
Original Assignee
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Works Ltd filed Critical Matsushita Electric Works Ltd
Priority to JP2004382039A priority Critical patent/JP2006191207A/ja
Publication of JP2006191207A publication Critical patent/JP2006191207A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】 暗号化通信を長時間に亘って中断させることなく動的に設定変更をして処理負荷を低減させることができる通信装置を提供する。
【解決手段】 通信装置1は、複数の暗号鍵情報及び暗号化アルゴリズムを記憶するROM13と、セキュリティ処理部21と、少なくともセキュリティ処理部21での処理負荷を監視する負荷監視部22とを備え、負荷監視部22で監視している処理負荷が、予め設定した所定のレベルに達した場合に、例えば端末装置2毎又は通信データ毎に、暗号化情報又は暗号化アルゴリズムを変更させること、又は、暗号化処理を停止させて暗号化処理手段の処理負荷を低下させる。
【選択図】 図1

Description

本発明は、暗号化や認証等のセキュリティ処理を行うことによってセキュア通信を行う通信装置に関する。
近年、個人情報や企業等の機密情報保護の観点から、セキュリティ関連技術の必要性が増している。しかしながら、これらの技術の導入そのものや、セキュリティレベルの上昇によって、当該セキュリティ処理を行う通信装置に対しては新たな負荷がかかることとなる。更に、複数の通信機器と接続されて、同時に複数の通信データを扱う必要がある場合には、急激に処理負荷が上昇してしまうこともあり、その結果、送信パフォーマンスが低下して通信が遅延するといった事態体を招いてしまうこともある。一方、通信装置のセキュリティ設定は、一度決定して運用を開始してしまうと、運用を中断しない限り、その内容を変更することはできないことが多い。
これに対し、従来では、下記の特許文献1に記載されているように、暗号化アルゴリズムを折衝するに際して、CPUの処理負荷が高い場合には、低負荷の暗号化アルゴリズムを選択し、CPUの処理負荷が低い場合には、高負荷の暗号化アルゴリズムを選択することによって、処理のリアルタイム性を保持することが知られている。
特開2004−254286号公報
しかしながら、上述の特許文献1に記載された技術では、暗号化アルゴリズムの折衝時であって、暗号化アルゴリズムを決定する時のCPUの処理負荷を監視しており、一時的に通信相手とのデータ通信を中断させている。
そこで、本発明は、上述した実情に鑑みて提案されたものであり、暗号化通信を長時間に亘って中断させることなく動的に設定変更をして処理負荷を低減させることができる通信装置を提供することを目的とする。
本発明に係る通信装置は、複数の通信機器が接続され、通信データを送受信する通信インターフェースと、通信データに暗号化処理を施すために用いられる複数の暗号化情報及び暗号化情報を用いた暗号化アルゴリズムを記述した複数の暗号化アルゴリズム情報とを記憶する記憶手段と、通信インターフェースで受信した通信データに対して、何れかの暗号化情報を用い、何れかの暗号化アルゴリズムに従って暗号化処理を施す暗号化処理手段と、少なくとも暗号化処理手段での処理負荷を監視する負荷監視手段と、暗号化処理手段を制御する制御手段とを備える。
このような通信装置は、負荷監視手段で監視している処理負荷が、予め設定した所定のレベルに達した場合に、制御手段により、暗号化処理手段で使用する暗号化情報又は暗号化アルゴリズムを変更させ、又は、暗号化処理手段による暗号化処理を停止させて、暗号化処理手段の処理負荷を低下させることによって、上述の課題を解決する。
本発明に係る通信装置によれば、処理負荷が所定のレベルに達した場合に、通信機器ごと又は通信データごとに暗号化情報又は暗号化アルゴリズム情報を変更させることや、通信機器ごと又は通信データごとに暗号化情報又は暗号化アルゴリズム情報を変更させるので、通信データの中継を継続しつつ暗号化通信を長時間に亘って中断させることなく動的に設定変更をして処理負荷を低減させることができる。
以下、本発明の実施の形態について図面を参照して説明する。
本発明を適用した通信装置1は、図1に示すように、例えば、一又は複数のハブや端末装置2−1,2−2,・・・,2−n(以下、総称する場合には、単に「端末装置2」と呼ぶ。)を有するLANネットワークやインターネット等の汎用のネットワークなどに接続され、端末装置2から送信された通信データを送受信することによって中継すると共に、当該中継時に適宜セキュリティ処理としての暗号化処理を施すものである。そして、この通信装置1は、通信データの中継動作を維持しつつ、中継処理や暗号化処理の処理負荷が、予め設定した所定のレベルに達した場合に、端末装置2毎や通信データ毎に、暗号化処理手段で使用する暗号鍵情報又は暗号化アルゴリズムを動的に変更させることによって、処理負荷を低下させることを特徴とするものである。
[第1実施形態]
まず、本発明を適用した第1実施形態に係る通信装置1について説明する。
この通信装置1は、図1に示すように、各端末装置2に接続された複数の通信インターフェース11−1,11−2,・・・,11−n(以下、総称する場合には、単に「通信インターフェース11」と呼ぶ。)と、通信装置1の動作を統括するCPU12と、プログラムや各種の設定情報等が記憶されている不揮発性メモリのROM13と、データの演算時や一時保存時に用いられる揮発性メモリのRAM14とが、通信装置1の内部バス1aを介して接続されて構成されている。この第1実施形態に係る通信装置1は、各通信インターフェース11が各端末装置2に接続されて、端末装置2間で伝送される通信データを中継するものを示しているが、通信装置1と端末装置2とがインターネット等の汎用ネットワークやLANネットワークの何れで接続されていても良い。
CPU12は、暗号化及び復号化、認証等のセキュア通信に必要なセキュリティ処理を行うセキュリティ処理部21と、CPU12自身にかかる処理負荷を監視する負荷監視部22と、ROM13に格納されたプログラム従ってセキュリティ処理部21及び負荷監視部22の動作を制御する制御部23とを有する。このCPU12の処理負荷は、主として、通信インターフェース11で伝送する通信データに対する暗号化処理に要する。なお、セキュリティ処理部21、負荷監視部22については、CPU12で行う場合のみならず、別のハードウェアによって処理させる構成であっても良い。
セキュリティ処理部21は、暗号化処理を行うに際して、ROM13に記憶された処理プログラム及び暗号化アルゴリズム情報を読み出すと共に、当該暗号化アルゴリズムで使用する暗号鍵情報を読み出し、当該暗号化アルゴリズムに従って暗号鍵情報を使用した暗号化処理を行う。ここで、ROM13には、セキュリティ処理部21での処理負荷及び暗号化強度が異なる複数の暗号鍵情報、複数の暗号化アルゴリズム情報が記憶されている。このROM13に記憶される複数の暗号鍵情報としては、暗号鍵のデータ長がそれぞれ異なるものであり、複数の暗号化アルゴリズム情報としては、DES(Data Encryption Standard )、当該DESよりも暗号化強度が高い3DES、AES(Advanced Encryption Standard)等の暗号化処理の処理量が異なるものが挙げられる。
負荷監視部22は、CPU12の一定時間間隔における処理量を監視し、当該処理量と、一定時間間隔におけるCPU12の最大処理量との比率であるCPU12の使用率を監視している。このとき、負荷監視部22は、通信装置1のOS(Operation System)のAPI(Application Program Interface)を介してCPU12の使用率を監視することによって、処理負荷を求める。
そして、負荷監視部22は、監視しているCPU12の使用率と予め設定しておいた所定レベルとを比較し、CPU12の使用率が所定レベルを超えたと判定した場合には、その旨を制御部23に通知する。ここで、所定レベルとは、例えば80%などの、通信装置1において通信データ中継の遅れ、CPU12が行う他の処理の遅れが発生する可能性がある一定値が設定されている。
このように構成された通信装置1は、通信インターフェース11に接続された端末装置2間の通信について、セキュリティ処理を施した上で中継して端末装置2間のセキュア通信を実現すると同時に、CPU12に処理負荷がかかりすぎる状態になった際には、自ら動的に暗号化処理等のセキュリティ強度を低下させたり、セキュリティ処理自体を停止するなどの制御を行って、CPU12の処理負荷の調整を行う。これにより、通信装置1のデータ通信の遅延を抑制する。
例えば、通信インターフェース11−1に接続されている端末装置2−1が暗号化及び復号化処理機能を持たない機器であるとし、通信インターフェース11−2に接続されている端末装置2−2が暗号化及び復号化処理機能を持つ機器である場合の通信装置1の動作を説明する。
通信装置1は、端末装置2−1から端末装置2−2宛に通信データが送信された場合には、通信インターフェース11−1によって通信データを受信し、当該通信データをRAM14に転送させて保存させる。そして、制御部23は、通信データの内容から平文の通信データであると認識すると共に、通信データの宛先情報から暗号化及び復号化処理機能を持つ端末装置2−2が送信先であると認識する。これに応じ、制御部23は、RAM14に記憶されている平文の通信データに対してセキュリティ処理部21によって暗号化処理を行わせて、通信インターフェース11−2に転送させ、通信インターフェース11−2から端末装置2−2に送信させる。
一方、通信装置1は、端末装置2−2から端末装置2−1宛に通信データが送信された場合には、通信インターフェース11−2によって通信データを受信し、当該通信データをRAM14に転送させて保存させる。そして、制御部23は、RAM14に記憶された通信データの内容から暗号化された通信データであると認識すると共に、通信データの宛先情報から暗号化及び復号化処理機能を持たない端末装置2−1が送信先と認識する。これに応じ、制御部23は、RAM14に記憶されている通信データに対してセキュリティ処理部21によって復号化処理を行わせて、通信インターフェース11−1に転送させ、通信インターフェース11−1から端末装置2−1に送信させる。
ここで、通信装置1に多数の端末装置2が接続され、同時に多数のセキュリティ処理がセキュリティ処理部21で実行されると、CPU12にかかる処理負荷が高くなり、セキュリティ処理部21でのセキュリティ処理の遅れや、通信インターフェース11とRAM14との間のデータ転送に遅れが生じて、通信自体に遅延が生じてしまう恐れがある。
これに対し、制御部23は、セキュリティ処理を伴うデータ中継時において、CPU12の処理負荷を負荷監視部22で監視させて、CPU12の使用率と所定レベルとの比較を行わせている。そして、制御部23は、CPU12の使用率が所定レベル以下である場合には、例えば初期設定された暗号化アルゴリズムである3DES、初期設定された64bitの暗号鍵情報でセキュリティ処理部21による暗号化処理を継続させるが、CPU12の使用率が所定レベルを超えた場合には、初期設定されている暗号化アルゴリズム及び暗号鍵情報の双方を変更させることや、端末装置2ごと又は通信データごとに暗号化処理を停止させてCPU12の使用率の低下を図る。また、制御部23は、暗号化アルゴリズム及び暗号鍵情報の変更又は暗号化処理の停止したことを通信インターフェース11を介して端末装置2に通知する。
このとき、制御部23は、CPU12の使用率が所定レベルを超えたと判定された時点においてRAM14に記憶されている通信データに対するセキュリティ処理のレベルを低下させることや、セキュリティ処理部21によるセキュリティ処理自体を停止させる。例えば、CPU12の使用率が所定レベルを超えた場合には、暗号化アルゴリズムを3DESから、当該3DESよりも暗号化強度が低いが1/3の処理量であるDESに変更させる。
ここで、セキュリティ処理部21の暗号化アルゴリズムを3DESからDESに変更させた場合、端末装置2−1から送信されてDESで暗号化された通信データが端末装置2−2で受信されることになる。しかし、暗号鍵情報又は暗号化アルゴリズムの変更後の暗号化アルゴリズム及び暗号鍵情報の内容が、暗号化及び復号化機能を持つ端末装置2−2には通知されていないため、端末装置2−2では、変更前の3DESで復号化を開始するが、復号化が行えないことになる。これに対し、端末装置2−2の図示しないCPUは、複数回に亘って復号化が完了しないことを検知すると、予め設定されている複数の暗号化アルゴリズムを順次試行する。そして、例えばAES、DESの順で暗号化アルゴリズムを試行した場合には、2度目のDESで復号化が完了することになる。その後、端末装置2−2では、通信装置1で中継された通信データについては、変更後のDESで暗号化及び復号化処理を行うとの設定変更を行う。
また、通信装置1において、暗号化アルゴリズムとしてAESを使用している場合であって、処理負荷が所定レベルを超えた時の暗号鍵情報のデータ長(例えば128bit)よりも通信装置1で暗号鍵情報のデータ長を短く変更した場合(例えば64bit)、端末装置2−2は、AESにおける暗号鍵情報を変更して復号化の試行をして、通信装置1での変更後の暗号鍵情報で復号化させることなる。更に、通信装置1で暗号鍵情報のデータ長及び暗号化アルゴリズムの双方を変更した場合にも、端末装置2−2は、暗号化アルゴリズムの試行と共に、暗号鍵情報を変更して復号化の試行をして、通信装置1での変更後の暗号化アルゴリズム及び暗号鍵情報で復号化させることなる。
なお、通信装置1は、暗号化アルゴリズムの変更及び暗号鍵情報の変更を行ってCPU12の処理負荷の低下を図っても、CPU12の使用率が所定レベル以下にならない場合には、セキュリティ処理部21の暗号化及び復号化処理を停止させても良い。
そして、通信装置1は、中継すべき通信データの数が減った場合や、上述のように暗号化アルゴリズム及び暗号鍵情報の変更やセキュリティ処理の停止等を行うことによって、CPU12の使用率が所定の低いレベル(例えば20%)となった場合には、CPU12の使用率が所定レベルを超えた時点での暗号化アルゴリズム及び暗号鍵情報に再度設定する。これに対し、端末装置2−2は、上述と同様に暗号化アルゴリズム及び暗号鍵情報の試行を行うことによって、通信装置1で再度設定された暗号化アルゴリズム及び暗号鍵情報に再設定することができる。
このように、第1実施形態に係る通信装置1によれば、中継する全通信データについて、セキュリティ処理で使用する暗号鍵又は暗号化アルゴリズムを変更させて、CPU12の処理負荷を低下させることができる。すなわち、通信装置1によれば、通信データの送信元又は宛先が暗号化及び復号化機能を有する端末装置2−2となっていると認識して、変更後の暗号化アルゴリズム及び暗号鍵情報で通信を行うことができる。
したがって、この通信装置1によれば、通信データの中継を維持しつつ、暗号化アルゴリズム又は暗号鍵情報を動的に変更して、CPU12の処理負荷の低減を実現することができ、通信データの暗号化通信を長時間に亘って中断することなくすことができる。
[第2実施形態]
つぎに、本発明を適用した第2実施形態に係る通信装置1について説明する。なお、以下の説明において、第1実施形態と同様の部分については、同一符号及び名称を使用することによってその詳細な説明を省略する。
第1実施形態に係る通信装置1は、暗号化アルゴリズム及び暗号鍵情報の変更後の暗号化アルゴリズム及び暗号鍵情報の内容を端末装置2側で検知して、端末装置2で暗号化アルゴリズム及び暗号鍵情報を変更させたが、第2実施形態に係る通信装置1は、暗号化アルゴリズム及び暗号鍵情報の変更の内容を端末装置2側に通知して、端末装置2で暗号化アルゴリズム及び暗号鍵情報を変更させることを特徴とするものである。
ここで、第1実施形態に係る通信装置1は、暗号化及び復号化機能を持つ端末装置2−2から図2に示すような構造のIP(Internet Protocol)パケットを通信データとして受信し、端末装置2−2に図2に示すような構造のIPパケットを送信している。このIPパケットは、所定の暗号化アルゴリズム及び暗号鍵情報による暗号化処理によって暗号化された暗号化データ111の先頭側に、SPI及びシーケンス番号からなるESP(IP Encapsulating Security Payload)ヘッダ112,IPアドレスに基づく経路制御をさせるためのIPヘッダ113が付加され、暗号化データ111の末尾側に、認証処理を行うためのESPパケット部分に対する完全性チェック値(ICV)を含むESP認証値114が付加されている。
これに対し、第2実施形態に係る通信装置1は、端末装置2との間で送受信するIPパケットを、図3又は図4のように変更している。このIPパケットは、ESPヘッダ112の先頭側であってIPヘッダ113の末尾側に、暗号化アルゴリズム及び暗号鍵情報の変更を認識させるための設定変更通知情報121が挿入されている。この設定変更通知情報121は、1ビット分のフィールドであって、通信装置1で暗号化アルゴリズム及び暗号鍵情報の変更を端末装置2に通知する場合には、値が「1」とされ、それ以外の通常時には値が「0」とされる。
通信装置1は、暗号化アルゴリズム及び暗号鍵情報の変更を行っていない場合には、設定変更通知情報121の値を「0」とし、暗号化及び復号化機能を持つ端末装置2−2との間で送受信するIPパケットを、図3のように構成する。これによって端末装置2では、設定変更通知情報121を参照することによって、その後の通信もそれまでの設定通りで、現在の暗号化アルゴリズム及び暗号化鍵情報に変更がないことを認知できる。
また、図4に示すように、設定変更通知情報121の値を「1」とした場合には、暗号化データ111に代えて、変更後又は変更したい暗号化アルゴリズム及び暗号鍵情報を示す変更設定情報131を格納する。例えば、通信装置1と端末装置2−2との間で、予め設定された暗号化アルゴリズムと暗号鍵情報との組み合わせごとに識別番号が設定されている場合に、当該識別番号を変更設定情報131とする。ここで、通信装置1は、既に変更済の暗号化アルゴリズム及び暗号鍵情報を識別する変更設定情報131としても良く、変更前に、変更後の暗号化アルゴリズム及び暗号鍵情報を前通知する変更設定情報131としても良い。
一方、端末装置2−2は、通信データとしてIPパケットを通信装置1から受信すると、設定変更通知情報121の値を参照して、値が「1」である場合には、即座に現在の暗号化アルゴリズム及び暗号鍵情報から、変更設定情報131を読み出して、変更後又は変更したい暗号化アルゴリズム及び暗号鍵情報を認識する。そして、次に通信装置1から受信した通信データについては、変更後の暗号化アルゴリズム及び暗号鍵情報で復号化を行うことができる。
これにより、通信装置1と端末装置2−2との間で、新たな通信路を確立して、暗号化アルゴリズム及び暗号鍵情報の変更前に確立させていた通信路を破棄させる。なお、変更前の通信路を破棄するに際して、通信装置1及び端末装置2−2は、通信路の生存時間が過ぎるまで放置しても良い。
このように、第2実施形態によれば、通信装置1で暗号化アルゴリズム及び暗号鍵情報を変更したことによって、端末装置2−2で複数回に亘って復号化できない場合に、他の暗号化アルゴリズム及び暗号鍵情報に変更させて復号化を試行する処理と比較して、効率よく復号化を完了させることができる。すなわち、第1実施形態のように、暗号化アルゴリズム及び暗号鍵情報を試行するために復号化が完了するまでにある程度の時間を要するが、変更後の暗号化アルゴリズム及び暗号鍵情報を通知して、新たな暗号化アルゴリズム及び暗号鍵情報を使用した復号化及び暗号化への移行を容易とすることができる。
[第3実施形態]
つぎに、本発明を適用した第3実施形態に係る通信装置1について説明する。なお、以下の説明において、第1実施形態と同様の部分については、同一符号及び名称を使用することによってその詳細な説明を省略する。
上述の第1実施形態及び第2実施形態では、端末装置2−2と端末装置2−1との間で送受信される通信データを通信装置1で中継する場合であって、全通信データについてセキュリティ処理を施す場合について説明したが、第3実施形態に係る通信装置1は、通信インターフェース11に接続された端末装置2に応じて中継する通信データにセキュリティ処理を施すか否かを制御することを特徴とし、一部の端末装置2についてはセキュア通信を行わせ、他の端末装置2についてはセキュア通信を行わせないようにする。
この第3実施形態に係る通信装置1は、図5に示すように、CPU12に、通信インターフェース11と接続された端末装置2の情報を取得するための端末接続検出部24を備えている。
この端末接続検出部24は、指定した範囲内のIPアドレスに対してpingデータ等を所定のタイミングでそれぞれの通信インターフェース11から順次送信して、当該pingデータに対する応答パケットから、通信装置1に接続されて通信可能な生存している端末装置2を確認する。ここで、通信装置1に接続されている端末装置2−1〜2−nに割り当てられているIPアドレスの範囲が、限定されているものとする。
そして、端末接続検出部24は、一又は複数の応答パケットの送信元IPアドレス領域から各端末装置2のIPアドレスを読み出して、当該読み出したIPアドレスをRAM14に格納する。ここで、ROM13には、予めセキュリティ処理の対象となる端末装置2のIPアドレスが記述されているテーブルを記憶しており、制御部23は、応答パケットから取得してRAM14に格納されているIPアドレスと、ROM13に記憶されているセキュリティ処理の対象となるIPアドレスとを比較する。そして、合致するIPアドレスの端末装置2についてはセキュア通信を行わせ、合致しないIPアドレスの端末装置2についてはセキュア通信を行わせないよう区別する。
また、端末接続検出部24は、pingデータに代えて、予め指定した範囲内のIPアドレスの端末装置2に対して要求フレームをそれぞれの通信インターフェース11から順次送信し、当該要求フレームに対する応答フレームを返信する。そして、応答フレームに含まれるMAC(Media Access Control)アドレスを取得して、RAM14に記憶させても良い。
そして、端末接続検出部24は、応答フレームから取得してRAM14に格納されているMACアドレスと、ROM13に記憶されているセキュリティ処理の対象となるMACアドレスとを比較して、合致するMACアドレスの端末装置2についてはセキュア通信を行わせ、合致しないMACアドレスの端末装置2についてはセキュア通信を行わせないよう区別する。
また、端末装置2の生存を確認するためにMACアドレスを取得した場合に、通常、MACアドレスの上位24bitで端末装置2の製造メーカーを表現するため、端末接続検出部24は、例えば端末装置2として特定の製造元が接続されていることを検出して、特定の製造元の端末装置2に対してのみセキュア通信を行わせるようにしても良い。
更に、上述した説明では、それぞれの通信インターフェース11から順次pingデータ又は要求フレームを送信させ、通信インターフェース11に接続されている各端末装置2について生存確認を行う場合について説明したが、一度のpingデータ又は要求フレームの送信で通信装置1に接続されている全端末装置2の生存確認を行うようにしても良い。
すなわち、MACアドレスを使用することを例に挙げて説明すると、各端末装置2−1〜2−nを識別するためのユニークなMACアドレスA−1〜A−nの他に、通信装置1に接続されている全ての端末装置2で共通なMACアドレスBを割り当てておく。そして、接続端末検出部24からMACアドレスB宛の要求パケットを送信して、全端末装置2で受信させる。これに応じ、各端末装置2では、それぞれが通信装置1に応答フレームを返信するが、当該応答フレームの送信元MACアドレスとして、自身のユニークなMACアドレスに変更させる。
これにより、接続端末検出部24は、全端末装置2からの応答フレームを受信することで、全端末装置2をそれぞれ識別できるMACアドレスを知ることができ、1回の要求フレームの送信処理のみによって接続されている端末装置2の生存確認を行うことができる。なお、この例の場合において、個々の端末装置2が通信装置1との間で通信を行う際には、ユニークなMACアドレスA1〜Anを用いるものとする。
そして、通信装置1は、通信装置1に接続された複数の端末装置2に優先順位を設定しておき、CPU12の処理負荷が所定レベルを超えた場合に、当該優先順位の高い端末装置2に対して優先順位の低い端末装置2から先に暗号化アルゴリズム及び暗号鍵情報を変更又はセキュア通信の停止をさせることを特徴とするものである。
この第3実施形態に係る通信装置1は、図1に示した構成に適用した場合には、ROM13に、通信装置1に接続される個々の端末装置2ごとの重要度に従った優先順位が記憶されている。
例えば、端末装置2−1の優先順位を1位、端末装置2−2の優先順位を2位としておく。そして、負荷監視部22によってCPU12の処理負荷が所定レベルを超えたと判定された場合には、ROM13に記憶された優先順位を参照して、優先順位の低い端末装置2−2で送受信される通信データに対する暗号化アルゴリズム及び暗号鍵情報を変更又はセキュア通信を停止させて、処理負荷の低下を図る。
このように第3実施形態に係る通信装置1によれば、優先順位の低い端末装置2から先に暗号化アルゴリズム及び暗号鍵情報を変更させて暗号化レベルを低下させ、又はセキュア通信の停止を行うので、全ての通信データに対する暗号化レベルの低下をさせずに一部の端末装置2に対するセキュア通信の暗号化レベルのみを低下させてCPU12の処理負荷の調整を行うことができる。なお、優先順位に対する端末装置2の識別子としては、第3実施形態で説明したように、IPアドレスを用いても構わないし、MACアドレスを用いても構わない。
[第4実施形態]
つぎに、本発明を適用した第4実施形態に係る通信装置1について説明する。なお、以下の説明において、実施形態と同様の部分については、同一符号及び名称を使用することによってその詳細な説明を省略する。
第4実施形態に係る通信装置1は、アプリケーションの種類や、プロトコルの種類に優先順位を設定しておき、CPU12の処理負荷が所定レベルを超えた場合に、当該優先順位の高いアプリケーションやプロトコルに対して優先順位の低いアプリケーションやプロトコルから先に、当該アプリケーションやプロトコルを使用した通信データに対する暗号化アルゴリズム及び暗号鍵情報を変更又はセキュア通信の停止をさせることを特徴とするものである。
この第4実施形態に係る通信装置1は、図1に示した構成に適用した場合には、ROM13に、通信データのアプリケーションの種類や、通信データを伝送するためのプロトコルごとの重要度に従った優先順位が記憶されている。
そして、負荷監視部22によってCPU12の処理負荷が所定レベルを超えたと判定された場合には、制御部23は、ROM13に記憶された優先順位を参照して、通信データに含まれるアプリケーションデータ又は通信データのヘッダ部分のプロトコル識別子を通信データごとに確認する。そして、制御部23は、優先順位の低いアプリケーションデータやプロトコル識別子を含む通信データに対する暗号化アルゴリズム及び暗号鍵情報を変更又はセキュア通信を停止させて、処理負荷の低下を図る。
例えば、アプリケーションデータとしてのメールデータ及びプロトコルとしてSMTP(Simple Mail Transfer Protocol)の優先順位を1位、アプリケーションデータとしてのWebページ及びプロトコルとしてのHTTP(HyperText Transfer Protocol)の優先順位を2位としておく。そして、制御部23は、負荷監視部22によってCPU12の処理負荷が所定レベルを超えたと判定された場合、メールデータを含む又はプロトコルとしてSMTPを使用している通信データよりも先に、Webページ又はHTTPを使用している通信データに対する暗号化レベルを低下させるように暗号化アルゴリズム及び暗号鍵情報を変更又はセキュア通信を停止させて、処理負荷の低下を図ることになる。
このように第4実施形態に係る通信装置1によれば、通信データ毎のアプリケーションの種類又はプロトコルの種類が、優先順位の低いアプリケーションやプロトコルに該当する場合には、当該通信データに対するセキュリティ処理で使用する暗号化アルゴリズム及び暗号鍵情報を変更させて暗号化レベルを低下させ、又はセキュア通信の停止を行うことができる。したがって、この通信装置1によれば、全ての通信データに対する暗号化レベルの低下をさせずに一部の通信データに対する暗号化レベルのみを低下させてCPU12の処理負荷の調整を行うことができ、重要なアプリケーションデータやプロトコルを使用した通信データについて暗号化レベルの高いセキュア通信を提供することができる。
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
本発明を適用した第1実施形態に係る通信装置の構成を示すブロック図である。 本発明を適用した通信装置によって中継されるIPパケットの構造を示す図である。 本発明を適用した通信装置で暗号化アルゴリズム及び暗号鍵情報を変更させることを通知するためのIPパケットの構造を示す図であって、設定変更通知情報の値が「0」である場合について説明するための図である。 暗号化データに代えて、変更する暗号化アルゴリズム及び暗号鍵情報を示す変更設定情報を含むIPパケットの構造を示す図である。 本発明を適用した第3実施形態に係る通信装置の構成を示すブロック図である。
符号の説明
1 通信装置
2 端末装置
11 通信インターフェース
12 CPU
13 ROM
14 RAM
21 セキュリティ処理部
22 負荷監視部
23 制御部
24 端末接続検出部
121 設定変更通知情報
131 変更設定情報

Claims (6)

  1. 複数の通信機器が接続され、通信データを送受信する通信インターフェースと、
    前記通信データに暗号化処理を施すために用いられる複数の暗号化情報及び前記暗号化情報を用いた暗号化アルゴリズムを記述した複数の暗号化アルゴリズム情報とを記憶する記憶手段と、
    前記通信インターフェースで受信した通信データに対して、前記何れかの暗号化情報を用い、前記何れかの暗号化アルゴリズムに従って暗号化処理を施す暗号化処理手段と、
    少なくとも前記暗号化処理手段での処理負荷を監視する負荷監視手段と、
    前記負荷監視手段で監視している処理負荷が、予め設定した所定のレベルに達した場合に、前記暗号化処理手段で使用する前記暗号化情報又は前記暗号化アルゴリズムを変更させ、又は、前記暗号化処理手段による暗号化処理を停止させて、前記暗号化処理手段の処理負荷を低下させる制御手段と
    を備えることを特徴とする通信装置。
  2. 前記制御手段は、前記暗号化情報又は前記暗号化アルゴリズムを変更させる場合には、前記記憶手段に記憶された暗号化情報である暗号鍵のうち前記処理負荷が所定のレベルに達した時のデータ長よりも短い暗号鍵に変更、又は、前記記憶手段に記憶された暗号化アルゴリズムのうち前記処理負荷が所定のレベルに達した時の暗号化アルゴリズムよりも処理量が少ない暗号化アルゴリズムに変更させ、当該変更後の暗号化情報又は暗号化アルゴリズムを前記通信インターフェースに接続された通信機器に通知すること
    を特徴とする請求項1に記載の通信装置。
  3. 前記通信インターフェースに接続されていて通信データの送受信が可能な通信機器を検出する通信機器検出手段を更に備え、
    前記記憶手段には、前記通信インターフェースに接続されて通信データの送受信を行う通信機器ごとの優先順位が記憶されており、
    前記制御手段は、前記負荷監視手段で監視している処理負荷が、予め設定した所定のレベルに達した場合に、前記通信機器検出手段で検出された通信機器で送受信される通信データのうち、前記優先順位が低い通信機器で送受信される通信データに対して、暗号化処理を行うための暗号鍵情報又は暗号化アルゴリズムを変更させ、又は、前記暗号化処理手段による暗号化処理を停止させること
    を特徴とする請求項1又は請求項2に記載の通信装置。
  4. 前記記憶手段には、前記通信インターフェースで送受信される通信データに含まれるアプリケーションデータの種類ごとの優先順位又は通信データを伝送させるためのプロトコルごとの優先順位が記憶されており、
    前記制御手段は、前記負荷監視手段で監視している処理負荷が、予め設定した所定のレベルに達した場合に、前記通信インターフェースで送受信される通信データのうち、前記優先順位が低いアプリケーションデータを含む通信データに対して暗号化処理を行うための暗号鍵情報又は暗号化アルゴリズムを変更させ又は前記暗号化処理手段による暗号化処理を停止させ、又は、前記通信インターフェースで送受信される通信データのうち、前記優先順位が低いプロトコルで伝送される通信データに対して暗号化処理を行うための暗号鍵情報又は暗号化アルゴリズムを変更させ、又は、前記暗号化処理手段による暗号化処理を停止させること
    を特徴とする請求項1又は請求項2に記載の通信装置。
  5. 前記制御手段は、前記暗号化処理手段で使用する前記暗号化情報又は前記暗号化アルゴリズムを変更させた後に、継続して前記処理負荷が予め設定した所定のレベルに達していることが前記負荷監視手段で監視されている場合には、前記暗号化処理手段による暗号化処理を停止させること
    を特徴とする請求項1乃至請求項4の何れか一項に記載の通信装置。
  6. 前記通信インターフェースに接続されていて通信データの送受信が可能な通信機器を検出する通信機器検出手段を更に備え、
    前記制御手段は、前記通信機器検出手段で検出された通信機器のうち、予め設定されている暗号化通信を行う通信機器を記述したテーブルに含まれている通信機器で送受信される通信データのみについて前記暗号化処理手段によって暗号化処理を行わせること
    を特徴とする請求項1乃至請求項5の何れか一項に記載の通信装置。
JP2004382039A 2004-12-28 2004-12-28 通信装置 Pending JP2006191207A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004382039A JP2006191207A (ja) 2004-12-28 2004-12-28 通信装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004382039A JP2006191207A (ja) 2004-12-28 2004-12-28 通信装置

Publications (1)

Publication Number Publication Date
JP2006191207A true JP2006191207A (ja) 2006-07-20

Family

ID=36797945

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004382039A Pending JP2006191207A (ja) 2004-12-28 2004-12-28 通信装置

Country Status (1)

Country Link
JP (1) JP2006191207A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8081761B2 (en) 2006-08-08 2011-12-20 Canon Kabushiki Kaisha Communication encryption processing apparatus
JP2012049609A (ja) * 2010-08-24 2012-03-08 Buffalo Inc ネットワーク通信装置、および、データの転送方法
JP2015095757A (ja) * 2013-11-12 2015-05-18 富士通株式会社 情報処理装置、情報処理システム、情報処理方法、および情報処理プログラム
KR102056224B1 (ko) * 2019-07-25 2019-12-16 한화시스템(주) 부하 적응형 dds 보안 적용 시스템 및 그 방법
JP2021502014A (ja) * 2017-11-03 2021-01-21 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 確立したセッション内で暗号および鍵を変更するための方法およびシステム(確立したセッション内での暗号および鍵の変更)
US11283607B2 (en) 2018-07-19 2022-03-22 British Telecommunications Public Limited Company Dynamic data encryption

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8081761B2 (en) 2006-08-08 2011-12-20 Canon Kabushiki Kaisha Communication encryption processing apparatus
JP2012049609A (ja) * 2010-08-24 2012-03-08 Buffalo Inc ネットワーク通信装置、および、データの転送方法
JP2015095757A (ja) * 2013-11-12 2015-05-18 富士通株式会社 情報処理装置、情報処理システム、情報処理方法、および情報処理プログラム
JP2021502014A (ja) * 2017-11-03 2021-01-21 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 確立したセッション内で暗号および鍵を変更するための方法およびシステム(確立したセッション内での暗号および鍵の変更)
JP7232827B2 (ja) 2017-11-03 2023-03-03 インターナショナル・ビジネス・マシーンズ・コーポレーション 確立したセッション内で暗号および鍵を変更するための方法およびシステム(確立したセッション内での暗号および鍵の変更)
US11283607B2 (en) 2018-07-19 2022-03-22 British Telecommunications Public Limited Company Dynamic data encryption
KR102056224B1 (ko) * 2019-07-25 2019-12-16 한화시스템(주) 부하 적응형 dds 보안 적용 시스템 및 그 방법

Similar Documents

Publication Publication Date Title
Belshe et al. Hypertext transfer protocol version 2 (HTTP/2)
US8984268B2 (en) Encrypted record transmission
EP2850776B1 (en) Tls abbreviated session identifier protocol
US6947483B2 (en) Method, apparatus, and system for managing data compression in a wireless network
TWI530123B (zh) Communication devices and communication methods
US8626122B2 (en) Un-ciphered network operation solution
WO2017050117A1 (zh) 网络负载均衡处理系统及其方法和装置
JP4912075B2 (ja) 復号装置
JP3515551B2 (ja) 無線データ通信の中継機能を有する電子機器
WO2008108821A4 (en) Virtual security interface
US9185130B2 (en) Transmission apparatus, reception apparatus, communication system, transmission method, and reception method
JP2005117246A (ja) パケット判定装置
JP2004064652A (ja) 通信機器
US9313655B2 (en) Location privacy in communication networks
CN106161386B (zh) 一种实现IPsec分流的方法和装置
JP2006191207A (ja) 通信装置
US20180152355A1 (en) Neighbor Establishment Method and System, and Device
WO2017131767A1 (en) Mobile virtual private network configuration
US9261948B2 (en) Image forming apparatus and control method for executing a proxy in response to a heartbeat
TWI335160B (en) Access-controlling method, pepeater, and sever
US7437548B1 (en) Network level protocol negotiation and operation
JP6668960B2 (ja) 情報処理装置及びプログラム
JP2004247857A (ja) 中継装置、認証システム及びプログラム
JP4649242B2 (ja) 端末アダプタ装置
CN116996476B (zh) 信息处理方法、电子设备以及存储介质