JP2010086121A - セキュア通信装置 - Google Patents

セキュア通信装置 Download PDF

Info

Publication number
JP2010086121A
JP2010086121A JP2008252147A JP2008252147A JP2010086121A JP 2010086121 A JP2010086121 A JP 2010086121A JP 2008252147 A JP2008252147 A JP 2008252147A JP 2008252147 A JP2008252147 A JP 2008252147A JP 2010086121 A JP2010086121 A JP 2010086121A
Authority
JP
Japan
Prior art keywords
communication
data
update
unit
storage unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008252147A
Other languages
English (en)
Other versions
JP5055237B2 (ja
Inventor
Tsutomu Yamada
勉 山田
Tatsuya Maruyama
龍也 丸山
Hiromichi Endo
浩通 遠藤
Hideaki Suzuki
英明 鈴木
Tsukasa Kyoso
司 京増
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2008252147A priority Critical patent/JP5055237B2/ja
Publication of JP2010086121A publication Critical patent/JP2010086121A/ja
Application granted granted Critical
Publication of JP5055237B2 publication Critical patent/JP5055237B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Abstract

【課題】
従来の情報共有を行うゲートウェイ装置では、例えば一方のネットワークに監視用PC、他方のネットワークに制御用計算機を配した構成において、制御用計算機からの通知データを監視用PCが把握するためには、定期的に通知データをポーリングしにいく必要があった。
【解決手段】
通信装置1は、通信IF10,11と、経路制御部20,21と、データアクセス部30と、記憶部40とから構成される。データアクセス部30は、更新検出手段31と、検出ルール32,更新通知手段33,通知先データベース34を有する。更新検出手段31は、記憶部40へ更新する動作が、検出ルール32の有する条件に該当するか検査する。記憶部40への操作が検出ルールに該当した場合、更新検出手段31は検出したことを更新通知手段33に通知し、更新通知部33は、通知先DB34から該当する通知先を検索し、通知用データを作成して発行する。
【選択図】図1

Description

本発明は、複数の計算機相互で安全にデータを交換する方法とその装置構成に関する。特に、汎用計算機と装置組込み計算機との間でデータ交換する際に、リアルタイム性に優れ安全にデータを交換する方式と装置構成に関する。
複数の計算機相互にデータを交換する技術が〔特許文献1〕に開示されている。
〔特許文献1〕に開示されているゲートウェイは異なるネットワークの間に接続される。このゲートウェイは、二つの計算機と、二つの共有メモリ、各計算機につながる二つのディスクから構成される。共有メモリは、二つの計算機相互を橋渡しするよう構成される。それぞれの共有メモリは、一方の計算機のみから読み書が可能とし、もう一方の計算機からは読み込みのみ可能として構成される。データ転送の方向に応じて異なる共有メモリを介してデータ転送が行われる。そのため、一方のネットワークの端末から他方のネットワーク端末に対してリモートアクセスすることが不可能となり、ネットワーク経由の不法侵入を防止している。
特開平7−200433号公報
近年、汎用のパーソナルコンピュータ(PC)とPCを取り巻く通信技術は、その利便性と導入コストの観点から、これまで独自に構築されていた計算機システム分野に多く導入されつつある。例えば、工場や発・変電所,化学プラントに用いられる制御用計算機システムが例として挙げられる。
これらの制御用計算機は一度設置されると数年から十数年と、オフィスで使用されるPCと比べて長く使用される傾向にある。汎用PC技術が進歩するにつれ、制御用計算機システムにおける技術もさまざまに活用されてきた。たとえば無線LANや携帯パケット通信網などの無線通信技術により、遠隔から制御用計算機の動作を確認することが容易となった。
ところで、汎用PCとその応用製品には様々なセキュリティの脅威が存在する。脅威の内容も、ウイルス感染によるPC内部のデータ破壊や使用不能に至らせるものから、ひそかに感染しPCを乗っ取るもの、PC内部データをインターネット上の他PCへ無尽蔵に配布するものなどがある。
尚、PCそのものに権限のない人物が近寄る、あるいはPCを分解してハードディスクやメモリを直接読み取ったり、直接破壊したりといった、物理的なセキュリティ(フィジカルセキュリティ)への懸念も存在する。本願で解決する課題は主に情報セキュリティ(サイバーセキュリティ)を対象とする。以降では特に断らない限り「セキュリティ」はサイバーセキュリティを意味する。
さて、PC周辺技術の制御用計算機システムへの導入が進展するにつれ、PC環境で発生していたセキュリティの脅威が制御用計算機システムでも同様の問題として浮上している。制御用計算機システムで制御される対象は、不測の動作によって、人命や環境へ大きな影響を与える可能性がある。製造ライン異常や秘密の製造技術情報漏洩などによる経済的な損失も懸念される。
以上より、制御用計算機システムにおけるセキュリティ対策は、今後のPC技術活用を進めるにあたり重点的に対応されるべきテーマとして、産業界が注目している。セキュリティ対策の例として、制御用計算機システムを構成する制御用ネットワークと、それとつながる情報系ネットワークとの間に、ゲートウェイやルータなどを配されるのが一般的である。二つのネットワーク上の計算機装置同士で直接通信をさせず、認める通信プロトコルや認められるユーザのみ通信可能とさせる対策が用いられ、その際、前述の〔特許文献1〕に開示されるゲートウェイも対策技術となりうる。
しかしながら、上述の公知例では次に述べる点で課題がある。
即ち、〔特許文献1〕に開示されるゲートウェイは、一方のネットワークに属する計算機からデータの更新が有った場合でも、他方のネットワークに属する計算機が更新を把握するための技術が開示されていない。このため、例えば一方のネットワークに監視用PC、他方のネットワークに制御用計算機を配した構成において、制御用計算機からの通知データを監視用PCが把握するためには、定期的に通知データを確認(ポーリング)しにいく必要がある。データ量が多い場合や、監視対象が多数のゲートウェイ装置にまたがる場合には、リアルタイム性を高く監視することが困難である。また、一般のゲートウェイやルータを用いてネットワークを分離する解決方法は、通信プロトコルやユーザの認証に問題が無ければ通信を許可し、それ以外は遮断する技術である。そのため、許可された手順に従った悪意のある通信により、制御用計算機は被害をうけることも想定される。例えば、信頼できるネットワークにつながったウイルスに汚染されたPCから、サービス不能攻撃を仕掛けられる可能性がある。
以上を鑑みた本発明の目的は、保護すべき計算機に対して、安全かつリアルタイム性のあるデータ交換方式を開示し、データ交換を実現する方法及びその装置を提示することにある。
上記課題を達成するために、本発明は複数の通信I/Fを有する通信装置において、第1の通信I/Fと第2の通信I/Fとの間で、通信データの交換と遮断,変更を行う経路制御部と、前記通信データの一部を記憶する記憶部と、前記経路制御部からの通信データを解釈して前記通信データの一部を前記記憶部への書き込みあるいは読み出しに変換するデータアクセス部と、前記記憶部に対するデータの書き込みあるいは読み出しを検出する更新検出手段と、前記更新検出手段より通知され前記第1あるいは第2の通信I/Fを介して所定の計算機にデータ更新の有無を通知する更新通知手段とを備えたことを特徴とするものである。
更に、本発明の通信装置において、前記更新検出手段は、前記データアクセス部による前記記憶部へのアクセスパターンの組み合わせを保持する検出ルールデータベースを有し、該検出ルールデータベースに記録されるアクセスパターンに合致の有無を検出することを特徴とするものである。
更に、本発明の通信装置において、前記更新通知手段は、更新通知を連絡するあて先を保持する通知先データベースを有し、前記更新検出手段より通知された情報に従い、前記通知先データベースのあて先に更新通知を送信することを特徴とするものである。
更に、本発明の通信装置において、前記記憶部は前記通信装置の外部の記憶素子へデータを送受信するデータインターフェースを備えることを特徴とするものである。
また、上記課題を達成するために、本発明は複数の通信I/Fを有する通信装置において、第1の通信I/Fからの通信において通信相手を認証する第1の認証部と、第2の通信I/Fからの通信において通信相手を認証する第2の認証部と、前記第1の認証部と前記第2の認証部との間で、通信データの交換と遮断,変更を行う経路制御部と、前記通信データの一部を記憶する記憶部と、前記経路制御部からの通信データを解釈して前記通信データの一部を前記記憶部への書き込みあるいは読み出しに変換するデータアクセス部と、前記記憶部に対するデータの書き込みあるいは読み出しを検出する更新検出手段と、前記更新検出手段より通知され前記第1あるいは第2の通信I/Fを介して所定の計算機にデータ更新の有無を通知する更新通知手段とを備えたことを特徴とするものである。
また、上記課題を達成するために、本発明は複数の計算機が属する複数のネットワークをつなぐ通信システムにおいて、前記複数のネットワークを接続する通信装置は複数の通信I/Fを有し、第1の通信I/Fと第2の通信I/Fとの間で、通信データの交換と遮断,変更を行う経路制御部と、前記通信データの一部を記憶する記憶部と、前記経路制御部からの通信データを解釈して前記通信データの一部を前記記憶部への書き込みあるいは読み出しに変換するデータアクセス部と、前記記憶部に対するデータの書き込みあるいは読み出しを検出する更新検出手段と、前記更新検出手段より通知され前記第1あるいは第2の通信I/Fを介して所定の計算機にデータ更新の有無を通知する更新通知手段とを備え、前記複数のネットワークに属する少なくとも1つの計算機は所定の時間間隔で前記通信装置へ通信データを送信し、該通信装置は所定の計算機へ前記データ更新の通知を送信することを特徴とするものである。
更に、本発明の通信システムにおいて、前記更新検出手段は、前記データアクセス部による前記記憶部へのアクセスパターンの組み合わせを保持する検出ルールデータベースを有し、該検出ルールデータベースに記録されるアクセスパターンに合致の有無を検出することを特徴とするものである。
更に、本発明の通信システムにおいて、前記更新通知手段は、更新通知を連絡するあて先を保持する通知先データベースを有し、前記更新検出手段より通知された情報に従い、前記通知先データベースのあて先に更新通知を送信することを特徴とするものである。
更に、本発明の通信システムにおいて、前記記憶部は前記通信装置の外部の記憶素子へデータを送受信するデータインターフェースを備えることを特徴とするものである。
また、上記課題を達成するために、本発明は複数の通信I/Fを有する通信装置において、第1の通信I/Fと第2の通信I/Fとの間で、通信データの交換と遮断,変更を行う経路制御部と、前記通信データの一部を記憶する記憶部と、前記経路制御部からの通信データを解釈して前記通信データの一部を前記記憶部への書き込みあるいは読み出しに変換するデータアクセス部と、前記記憶部に対するデータの書き込みあるいは読み出しを検出する更新検出手段と、前記更新検出手段より通知され前記1あるいは2の通信I/Fを介して所定の計算機にデータ更新の有無を通知する更新通知手段と、前記記憶部に所定の時間間隔で所定データの書き込みあるいは読み出しを実行するハートビート生成手段とを備えることを特徴とするものである。
更に、本発明の通信装置において、前記ハートビート生成手段の前記記憶部に対するデータアクセスを前記更新検出手段が検知することにより、前記通信装置は所定の計算機へ前記データ更新の通知を送信することを特徴とするものである。
また、上記課題を達成するために、本発明は複数の通信I/Fを有する通信装置において、第1の通信I/Fと第2の通信I/Fとの間で、通信データの交換と遮断,変更を行う経路制御部と、前記通信データの一部を記憶し、又は記憶を消去する記憶部と、前記経路制御部からの通信データを解釈して前記通信データの一部を前記記憶部への書き込みあるいは読み出しに変換するデータアクセス部と、所定の計算機にハートビートを送信するハートビート通知手段とを備え、前記計算機からのハートビートの応答が所定時間以内に得られない場合、前記ハートビート通知手段は前記記憶部へ記憶消去の指示を発行することを特徴とするものである。
更に、本発明の通信装置において、前記記憶部に対するデータの書き込みあるいは読み出しを検出する更新検出手段と、該更新検出手段より通知され前記第1あるいは第2の通信I/Fを介して所定の計算機にデータ更新の有無を通知する更新通知手段と、前記記憶部に所定の時間間隔で所定データの書き込みあるいは読み出しを実行するハートビート生成手段とを備え、前記計算機からのハートビートの応答が所定時間以内に得られない場合、前記ハートビート通知手段は前記記憶部へ記憶消去の指示を発行することを特徴とするものである。
また、上記課題を達成するために、本発明は複数の計算機が属する複数のネットワークをつなぐ通信システムにおいて、前記複数のネットワークを接続する通信装置は複数の通信I/Fを有し、第1の通信I/Fと第2の通信I/Fとの間で、通信データの交換と遮断,変更を行う経路制御部と、記憶素子に前記通信データを記憶する記憶手段と、前記記憶素子の内容を消去する記憶消去手段を有する記憶部と、前記経路制御部からの通信データを解釈して前記通信データの一部を前記記憶部への書き込みあるいは読み出しに変換するデータアクセス部と、前記記憶部に対するデータの書き込みあるいは読み出しを検出する更新検出手段と、該更新検出手段より通知され前記第1あるいは第2の通信I/Fを介して所定の計算機にデータ更新の有無を通知する更新通知手段と、前記記憶部に所定の時間間隔で所定データの書き込みあるいは読み出しを実行するハートビート生成手段とを備え、前記計算機からのハートビートの応答が所定時間以内に得られない場合、前記ハートビート通知手段は前記記憶部へ記憶消去の指示を発行することを特徴とするものである。
また、上記課題を達成するために、本発明は複数の通信I/Fを有する通信装置において、第1の通信I/Fと第2の通信I/Fとの間で、通信データの交換と遮断,変更を行う経路制御部と、複数の記憶素子を有して前記通信データの一部を記憶する記憶部と、前記経路制御部からの通信データを解釈して前記通信データの一部を前記記憶部への書き込みあるいは読み出しに変換するデータアクセス部と、前記記憶部に対するデータの書き込みあるいは読み出しを検出する更新検出手段と、前記更新検出手段より通知され前記第1あるいは第2の通信I/Fを介して所定の計算機にデータ更新の有無を通知する更新通知手段とを備え、前記記憶部は、記憶するデータの重要度に応じて前記複数の記憶素子を選択することを特徴とするものである。
更に、本発明の通信装置において、前記記憶部は前記通信装置の外部の記憶素子へデータを送受信するデータインターフェースを備えることを特徴とするものである。
本発明のセキュア通信装置により、一方のネットワークに属するコントローラは適切なタイミングでデータを通信装置に送信し、もう一方のネットワークに属するPCは書込みされるなどの条件が整ったことを通知されて通信装置へアクセスすることが可能となるので、コントローラとPCとの間で安全かつリアルタイムに情報の共有をすることが可能となる。
また、本発明では上記機能と合わせて通信データのフィルタリングを行うことが可能なので、一方のネットワークからの頻繁なアクセスでもう一方のネットワークにあるコントローラの動作が不安定になるのを防ぐことが可能となる。
また、本発明の別の効果として、コントローラあるいは通信装置が異常により停止した場合、通信装置とは別の管理用サーバが異常を検知することが可能となる点にある。
更に、例えば通信装置が盗難に有った場合でも、通信装置内のデータを消去することが可能となり、重要度の高いデータを安全に保管することが実現出来る。
本発明は、汎用計算機と装置組込み計算機との間でデータ交換する際に、リアルタイム性に優れ安全にデータを交換する方法とその装置に関する。始に、リアルタイム性が高くかつ安全にデータ交換を実現する本発明の装置構成を説明する。その後、安全に通信装置を運用する方法について説明する。
図1は、本発明による第一の実施形態におけるセキュア通信装置の構成を表すブロック構成図と、システムの概要を現したものである。
セキュア通信装置を現す通信装置1は、複数のPC2−1〜2−m(m:PCの台数に対応)とネットワーク3を介して接続する。また、同様に通信装置1は、複数のコントローラ5−1〜5−n(n:コントローラの台数に対応)とネットワーク4を介して接続する。本実施例において、PC,コントローラと便宜上種類を分けているが、これらはネットワークを介して通信を行う計算機であれば、これら種類に限定されるものではない。また、台数n,mがいずれも1台以上で本発明を適用可能である。
本発明が適用可能なネットワークとして特に制限されるものはなく、Ethernet(登録商標)をはじめとして、FDDIやRS485,IEEE802.11a/b/gに準拠する無線LAN,CAN(Controller Area Network),Fibre Channelなど、各種ネットワーク物理層に適用可能である。各ネットワークにおいて利用されるプロトコルも制限は無く、TCP/UDP/IP,iSCSIなど、物理層に応じたプロトコルに対応可能である。本実施例では、ネットワークにEthernet、プロトコルにIPを前提して説明するが、本発明の適用範囲はこれらに限定されるものではない。
図1を用いて通信装置1の構成を説明する。通信装置1は、通信インターフェース(以下、インターフェースはIFと称す)10,11と、経路制御部20,21と、データアクセス部30と、記憶部40とから構成される。
通信IF10,11は、それぞれネットワーク3,4とのデータ送受信を行う。経路制御部20は、通信IF10に関する送受信データの経路制御を行う。また、経路制御部21は、通信IF11に関する送受信データの経路制御を行う。
例えばネットワーク3から受信したデータは、通信IF10を介して通信装置1に取り込まれる。通信IF10から入力された受信データは、経路制御部20によってネットワーク4にあるコントローラに転送するか、通信装置1自身によって利用されるか、あるいは破棄するかを受信データに応じて判別する。具体的には例えば受信データに記載されたあて先IPアドレスとTCPあるいはUDPのポート番号によって判別する。
当該受信データをコントローラに転送する場合、経路制御部20は受信データを経路制御部21に送信することで、通信IF11を介してネットワーク4に出力され、あて先のコントローラに配送される。当該受信データを通信装置1自身で利用する場合、経路制御部20はデータアクセス部30に転送する。当該受信データを破棄する場合は、経路制御部20はどこにも転送せず、受信データを消去する。経路制御部20は、受信データを転送する際に、必要に応じて受信データの一部を変更することが可能であるが詳細は後述する。
そして、経路制御部21の構成、及び動作は経路制御部20と同様であるため説明は省略する。
記憶部40は、データアクセス部30からの要求に応じて、データの書込み,読み出し,消去,書込み・読み出し禁止などの保護を行う記憶手段である。データに対するこれらの操作は記憶素子41に対して行われる。記憶素子41は揮発性でも不揮発性でもよい。記憶素子41として、ハードディスクドライブで採用される磁気ディスク,CD−ROMのような光磁気ディスク,フラッシュメモリ,EEPROM,SRAM,DRAM,MRAM,FeRAM,フリップフロップなど各種記憶素子が本発明において適用可能である。
データアクセス部30は、経路制御部20,21からの要求に応じて、記憶部40に対してデータに対する操作を要求する。データアクセス部30は、更新検出手段31と、検出ルール32,更新通知手段33,通知先データベース(以下、データベースをDBと称す)34を有する。更新検出手段31は、記憶部40へ更新する動作が、検出ルール32の有する条件に該当するか検査する機能を有する。記憶部40への操作が検出ルール32に該当した場合、更新検出手段31は検出したことを更新通知手段33に通知する。更新通知手段33は、更新検出手段31より通知を受けると、通知先DB34から該当する通知先を検索し、通知用データを作成して、適切な経路制御部20,21に送信する機能を有する。次に図1を用いて本発明によるデータ交換システムの動作を説明する。
本システムでは、コントローラ5−1〜nに対して、各コントローラ自身が定期的に所定のデータを通信装置1へ送信するよう設定する。また、PC2−1〜mを利用するユーザは、通信装置1に対してデータを要求する。
このとき、例えばあるPC上で、コントローラの監視画面を閲覧するアプリケーションを考える。コントローラからはそれぞれのタイミングでデータを通信装置1に対して送信する。通信装置1は、通信IF11を介してデータを受信し、経路制御部21に転送する。経路制御部21は、当該データが通信装置1自身あてのデータであると判定して、データアクセス部30に転送する。データアクセス部30は、当該データを記憶部40に書き込み指示と共に転送する。このとき、更新検出手段31は検出ルール32に合致したアクセスか否か検査する。
ルールに合致した場合、更新通知手段33は通知先DB34に従いあて先を指定し、通知データを作成して、経路制御部20へ送信する。経路制御部20は、通信IF10を介してネットワーク3のあて先PC(図示なし)へ通知データを送信する。通知データを受信したあて先PCは、必要な条件が整ったことを知り、通信装置1の所定のデータへアクセスする。
別の例として、PCがコントローラへ直接操作をする場合を説明する。コントローラの動作条件や設定を変更するために、PCから直接操作する状況を想定する。PCからの操作要求パケットを通信装置1は受信する。通信IF10は受信したパケットを経路制御20に転送する。経路制御20は、コントローラへ転送すべきパケットと判断し、経路制御21へ転送する。経路制御21は操作要求パケットを、通信IF11を介してネットワーク4に送出する。以上より、最終あて先のコントローラは当該操作要求パケットを受信することが可能となる。
以上のように構成することにより、コントローラは自身で制御可能な適切なタイミングでデータを通信装置1に送信し、PCは書込みされるなどの条件が整ったことを通知されて通信装置1へアクセスすることが可能となる。
よって、コントローラとPCとの間で情報の共有が可能となる。コントローラはランダムにアクセスされることがなくなるため、自身の制御を乱されることがなくなり、安全な運用をすることが可能となる。PCは対象とするデータの更新をリアルタイムに通知されるので、情報更新有無を確認するための過剰な負荷をコントローラにかけることなく、迅速にデータを受信可能となる。また、必要に応じて直接通信をすることも可能であり、柔軟にシステムを構築すること実現できる。
図2に、通信装置1の構成例を示す。通信装置1は、CPU50,RAM52,通信IF10,通信IF11,記憶素子41,不揮発メモリ53などの要素を有する。これら要素は内部バス51により結合して相互にデータを交換する。CPU50は、不揮発メモリ53に保持されているOS54や、経路制御部20,21,記憶部40,データアクセス部30などを実現するプログラムの命令や定数を読み出し、これら命令や定数を必要に応じてRAM52へ格納し、読み出しあるいは書き出しを行い、ソフトウェア処理を実行する。不揮発メモリ53として、電気的に消去や書き込み可能なEEPROMやフラッシュメモリ,ハードディスク装置やCD−ROMなどの光磁気メディアが例として挙げられる。
通信IF10,11は、内部バス51を介してCPU50から要求されたデータをネットワーク3,4へ送信する処理や、ネットワーク3,4から受信した処理をCPU50へ報告する処理を行う。ネットワーク3,4として利用するネットワーク技術により、本発明は制限されない。
通信IF10,11は、自身の状態変化や処理要求が発生したことをCPU50へ割込み信号(図示なし)で通知する。CPU50は、上記ソフトウェアの実行、通信IF10,11からの割込みの処理を行い、目的とする機能を実現する。図3に、経路制御部20の動作のフローチャートを示す。
尚、経路制御部21の動作についても、図3中記述の通信IF10と11を入れ替え、経路動作部20と21を入れ替えることで、図3の動作風呂チャートと同様に説明できる。
図3のフローチャートに従い、各ステップの動作を説明する。
はじめに、経路制御部20へ転送されてきた入力データがどの経路から入力されてきたか判断する(ステップ100)。
ステップ100において経路制御部21からと判定した場合、送信元アドレスを必要に応じて変更する(ステップ110)。これは、Source NAT(Network Address Translation)と呼ばれる技術であり、IPプロトコルで送信元のIPアドレスを変更することを意味する。ステップ110の処理は、Source NATが不要、あるいは入力データがIPプロトコルに基づいてなければ省略可能である。ステップ110の後、通信IF10へ入力データを転送(ステップ111)し、経路制御を終了する。
ステップ100においてデータアクセス部30からと判定した場合、あて先アドレスを必要に応じて変更する(ステップ101)。これは、Destination NATと呼ばれる技術であり、IPプロトコルであて先のIPアドレスを変更することを意味する。Destination NATが不要、あるいは入力データがIPプロトコルに基づいてなければ、ステップ101は省略可能である。次に、データの破棄を判定する(ステップ108)。これは、送信すべきでないデータを、経路制御部20にてフィルタリングすることを意味する。経路制御部20には、予めデータの通過可否を判定するルールを設定しておくものとする。データ破棄しないと判定した場合、ステップ110に遷移する。データ破棄すると判定した場合、データを破棄(ステップ109)し、経路制御を終了する。
ステップ100において通信IF10からと判定した場合、必要があればDestination NATを実行する(ステップ102)。本ステップは、ステップ101の場合と同様に省略可能である。次に、入力データのあて先を判定する(ステップ103)。
ステップ103においてあて先をデータアクセス部30と判定した場合、次にデータの破棄を判定する(ステップ105)。データを破棄する場合、ステップ109に遷移する。データを破棄しない場合、データアクセス部30に入力データを転送(ステップ107)し、経路制御を終了する。
ステップ103においてあて先を経路制御部21と判定した場合、次にデータの破棄を判定する(ステップ104)。データを破棄する場合、ステップ109に遷移する。データを破棄しない場合、経路制御部21に入力データを転送(ステップ106)し、経路制御を終了する。
図4に、検出ルール32のDBの構成を示す。
検出ルール32は、入力データのソースアドレス200,データ更新先エリア201,アクセスタイプ202,アクション203という属性を持つDBである。図4では、これらの属性を有するタプル205,206,207の例を示す。
タプル205は、「IPアドレスが“192.168.0.1”の計算機から、更新先エリアが“Area−A”に対してデータの“ライト”が有った場合には、アクションNo.“1”」を実行することを意味する。ここで、アクションNo.は、後述する通知先DB34のインデックスを表す。
タプル206において、アクション203に複数のインデックス記述があるが、これは通知先DB34の複数のインデックスを実行することを意図する。
また、タプル207は、ソースアドレスは192.168.10.0(サブネットマスク24ビット)のサブネットを持つ複数の計算機を指定していることを意味する。
図5に、通知先DB34のデータベースの構成を示す。
通知先DB34は、アクション220,通知先IPアドレス221,メッセージ222という属性を持つデータベースである。図5では、これらの属性を持つタプル223〜226の例を示す。
タプル223は、「アクションNo.”1”では、あて先のIPアドレス“192.168.100.1”の計算機に、メッセージ“Area−A is updated”というメッセージ」を送信することを意味する。タプル224から226も同様である。
更新通知手段33は、要求されたインデックスに対応したデータから、あて先のIPアドレスと送信する内容のメッセージを構築する。
本実施例ではメッセージ222を固定のメッセージとしたが、メッセージ内により詳細なデータを含めることも可能である。その場合には、例えばC言語のprintf()関数の書式に従い、メッセージや引数を設計するのが好適である。
図6に、データアクセス部30の動作のフローチャートを示し、各ステップの動作を説明する。
はじめに、データアクセス部30は受信した入力データの内容を解釈して、記憶部40に発行する(ステップ120)。ここで、データアクセス部30は、入力データ内容を記憶部40が解することのできる命令列に変換する。例えば、外部からの要求内容に具体的な記憶素子名まで含まれていない場合、通信装置1に実装されている記憶素子名(例えば/dev/sd0)を追加する。また、データを格納しにくる計算機に応じた記憶領域を事前に割り当てておき、入力データの送信元に応じて記憶領域へのアクセスに変換しても良い。
記憶部40は、本実施例においては、指示された領域に指示されたデータアクセス(読み込みまたは書き込み)を実施する。
記憶部40からの応答が得られた後に、当該データアクセス内容が、更新検出ルールに該当するか検査するために、更新検出手段31は検出ルール32から検出ルールを取得する(ステップ121)。その後、更新検出手段31は当該データアクセスが取得したルールと一致するか検査する(ステップ122)。本実施例では、図4に示されたソースアドレス200とデータ更新先エリア201,アクセスタイプ202の三つについて、当該データアクセスの内容を検査する。
その後、当該データアクセスが検査ルールと該当するか判定する(ステップ123)。該当した場合、検出ルール32に応じて、更新通知手段33は通知先を通知先DB34から取得する(ステップ124)。そして、更新通知手段33は通知先DB34で取得したメッセージ内容を、通知先DB34で指定されたあて先に発行する(ステップ125)。その後ステップ126に遷移する。
ステップ123で該当しなかった場合、検出ルール32で検査すべき残りの更新検出ルールがあるか確認する(ステップ126)。もし有ればステップ121に遷移し、無ければデータアクセス部30の処理は終了する。
図7に、本発明による通信装置の動作を表すシーケンス図を示す。ここでは、コントローラからデータの格納要求が発せられた場合の動作を説明する。
コントローラ5から、データの格納要求が発行される(ステップ240)。通信IF11は格納要求を受信し、経路制御部21へ転送する(ステップ241)。その後、通信IF11はコントローラ5へ格納要求を受理したと応答する(ステップ250)。
格納要求を受信した経路制御部21は、格納要求のあて先を図3のフローに従い判定し、データアクセス部30へ格納要求を転送する(ステップ242)。データアクセス部は、図6のフローに従い、記憶部40に格納要求を発行する(ステップ243)。その後、記憶部40から完了通知を受信(ステップ244)したデータアクセス部30は、更新検査を行い、検査ルールに該当したか判定する(ステップ245)。その結果、該当した場合には、データアクセス部は更新通知手段33により経路制御部20に更新通知を発行する(ステップ246)。データアクセス部30から更新通知を受信した経路制御部20は、図3のフローに従って通信IF10に転送する(ステップ247)。
最後に通信IF10は、更新通知をPC2へ転送して、処理を終了する(ステップ248)。
上述のフローの通り、データアクセス部30における更新検出手段31と更新通知手段33により、コントローラから格納要求されたデータから当該データと関連付けられたPCへの更新通知が発行されることが分かる。すなわち、PCはデータの更新をポーリングせずとも、データの更新を知ることが可能となる。
また、経路制御部20,21により、通信データのフィルタリングを行うことが可能となる。例えば、コントローラが属するネットワーク4からのアクセスは通過させ、PCが属するネットワーク3からのアクセスを遮断させる設定を経路制御部20,21に施すことにより、PC2からコントローラ5へのアクセスを通信装置1にてブロックすることが可能となる。その効果として、PCからの頻繁なアクセスでコントローラの動作が不安定になるのを防ぐことが可能となる。また、本発明により、ウイルスやワームのような悪意のあるアクセスや、サービス不能攻撃(DoS;Denial of Service)からコントローラを守ることが可能となる。
図8は、本発明による第二の実施の形態におけるセキュア通信装置の構成例である。
実施例に使用する符号が同一である機能や要素等は、特に断りのない限り、実施例1で説明した機能や要素等と同一であることを意味する。
実施例1と比べて、本実施例における通信装置は、記憶素子41を有さず、代わりにデータIF55を有する。記憶素子41は、通信装置1′とは別の記憶装置6の中に構成される。
データIF55として、記憶装置6と接続するためのインターフェースを選択する。例えば、記憶装置6としてUSB(Universal Serial Bus)によりアクセス可能なUSBメモリやUSBハードディスクを用いるのであれば、データIF55はUSB−IFとするのが適切である。また、データIF55にSerial ATA(SATA)−IFを用いれば、外部のSATAハードディスクを利用することが可能である。データIF55にEthernet−IFを用いることにより、外部のNAS(Network Attached Storage)を記憶装置6として利用することが可能となる。
データIF55を適切に構成することにより、Compact Flash(登録商標)や各種メモリカードを利用することも可能となる。
本実施例では、記憶部40はデータIF55へアクセスする機能を有する。記憶部40は、上記で示したような様々な記憶装置6を通信装置から記憶装置として一意に扱うことができるように、インターフェースの抽象化を行う。そのようにすることにより、実施例1に述べた各種構成をそのまま本実施例にて適用可能となる。
本発明により、実施例1の効果に加えて、様々な記憶素子を利用可能となる。例えばハードディスクのような記憶素子の場合、長期間の利用で機械的に磨耗する事故が発生しうる。また、フラッシュメモリを用いた記憶素子も書込み回数に制限があるため、保守により交換することが望ましい。以上のような場合にも、データIF55により、記憶装置6が交換可能であれば保守性が向上する。
記憶装置6を外付けとすることによるリスクとして、データの盗難が考えられる。しかしながら、例えば本通信装置を盗難が困難な場所に設置するのであれば、本実施例の構成の適用に問題は無い。
図9は、本発明による第三の実施の形態におけるセキュア通信装置の構成を表すブロック図である。実施例に使用する符号が同一である機能や要素等は、特に断りのない限り、実施例1乃至実施例2で説明した機能や要素等と同一であることを意味する。
本実施例による通信装置7は、実施例1,2と比べて、新たに認証部12,13を有する。
認証部12,13は、通信装置7と接続して通信をするPCやコントローラなどの通信機器について、ネットワークを介して真正性を確認する機能を有する。本実施例では、真正性が認められた機器のみ、通信装置7と通信可能とする。
ネットワークを介して接続される機器が信頼の置ける機器であるか確認することで、信頼の度合いに応じたデータの提供が可能となる。例えば、管理者権限を有するPCからのデータ要求であれば全てのデータを開示するが、通常オペレータ権限のPCからのデータ要求であれば監視データの一部を開示し、権限を認めないPCからのデータ要求は拒絶することが可能となる。
通信機器の真正性を確認する手段として、様々な認証技術が存在する。たとえば、公開鍵暗号による認証や、事前共通鍵による認証である。本発明では、それらも含めた公知の認証技術を適用できる。また、真正性を確認する通信プロトコルの実装として、IPsec(Security Architecture for Internet Protocol)を利用することが可能である。
本実施例による、通信動作について説明する。基本的な動作フローは図7に示したとおりである。本実施例が実施例1と異なるのは、定常的な通信処理に入る前に、認証処理を行う点である。すなわち「コントローラと通信装置7との間」と「PCと通信装置7との間」との双方で認証処理を事前に終えるよう処理する。
本発明により、実施例1と実施例2の効果に加え、接続する機器を認証することにより、データの開示範囲を制限できるようになる。信頼の置けない機器に対しては、データを開示しないことが可能となる。
一方、既存のコントローラとの接続を考えると、IPsecによる認証は困難な場合が多い。その場合、通信装置7とコントローラとの間は物理的にセキュリティを保てるように設置し、外部から接続を変更できないようにすることで、認証部12のみ有効にし認証部13を無効にして運用しても安全にデータ交換を行うことができる。
図10は、本発明による第四の実施の形態におけるセキュア通信装置の構成を表すブロック図である。実施例に使用する符号が同一である機能や要素等は、特に断りのない限り、実施例1乃至実施例3で説明した機能や要素等と同一であることを意味する。
本実施例の特徴は、通信装置8から特定の計算機、望ましくは管理用サーバ(図示なし)へ、自身が正常に動作していることを示すハートビートを送信することにある。ハートビートを受信している限り、管理用サーバは通信装置8の動作は健全であると判定できる。ハートビートを生成する方式によっては、通信装置8のみならず、通信装置8がサポートするコントローラ5の健全性をも確認できる。
ハートビートを生成する方式について、2つの例を説明する。第1例はコントローラからハートビートを生成する方式、第2例は通信装置8自身からハートビートを生成する方式である。図10は第2例を実現するための構成例であり、その内容の詳細は後述する。
はじめに、第1例より説明する。第1例は、コントローラが定期的に特定エリアをアクセスするように設定し、さらに通信装置1において特定エリアへのアクセスを監視するように検出ルール32と通知先DB34を設定することで実現する。
例えば、コントローラ5−1(IPアドレスは192.168.0.10)に対して、定期的にArea−Xを読み込み(Read)アクセスするよう設定する。
このとき、通信装置1の検出ルール32について、ソースアドレス200=“192.168.0.10”、データ更新先エリア201=“Area−X”,アクセスタイプ202=“Read”,アクション203=“10”と設定する。
さらに、通知先DB34について、アクション220=“10”,通知先IPアドレス221=“管理用サーバのIPアドレス”,メッセージ222=“HeartBeat from CNT5:Time=現在時刻”と設定する。
以上のように構成することで、コントローラが正常に動作し設定通りにArea−Xへ読み込みアクセスを続ける限り、通信装置1は当該エリアへのアクセスを検知し、管理用サーバへタイムスタンプ付きのハートビートを送信し続けることが可能となる。
本実施例の第1例の効果として、コントローラ5あるいは通信装置1が異常により停止した場合、管理用サーバが異常を検知することが可能となる点にある。この為、本発明によれば迅速に異常を検知することが可能となるため、システムの可用性を向上することができる。
次に、第二例を、図10を用いて説明する。
図10の通信装置8は、図1の通信装置1と比べて、データアクセス部30がハートビート生成手段35を有する点で異なる。
ハートビート生成手段35は、設定された時間間隔で、設定されたエリアを設定されたアクセスタイプでアクセスすることが可能となるよう構成される。
さらに、検出ルール32と通知先DB34を次の例の通り設定することで、管理用サーバにハートビートを通知することが可能となる。
通信装置8の検出ルール32において、ソースアドレス200=“自分自身(例えば127.0.0.1)”、データ更新先エリア201=“Area−Y”,アクセスタイプ202=“Read”,アクション203=“11”と設定する。
通知先DB34においては、アクション220=“11”,通知先IPアドレス221=“管理用サーバのIPアドレス”,メッセージ222=“HeartBeat from SEC−RT:Time=現在時刻”と設定する。
以上の通り設定することで、ハートビート生成手段が設定間隔通りに記憶部40に対するアクセスを生成するたびに、更新検出手段31が当該アクセスを検出し、更新通知手段33が管理用サーバにハートビートに該当する更新通知を発行することが可能となる。
このように、ハートビート生成手段35を通信装置8が持つことにより、コントローラ5を変更せず、負荷をかけることなくハートビートを管理用サーバに通知することが可能となる。
また、別の効果として、第1例と第2例を組み合わせて実行することで、異常発生時にコントローラ5または通信装置8のいずれで異常が発生したか切り分けることが可能となる。例えば、ハートビート生成手段35から生成されるハートビートが到達するのに、コントローラ5から生成されるハートビートが到達しない場合、通信装置8は正常でコントローラ5が異常であると判別できる。そのため異常診断を迅速に行うことが可能となり、システムの可用性向上に貢献できる。
図11は、本発明による第五の実施の形態におけるセキュア通信装置の構成を表すブロック図である。実施例に使用する符号が同一である機能や要素等は、特に断りのない限り、実施例1乃至実施例4で説明した機能や要素等と同一であることを意味する。
本実施例の特徴は、記憶部40における記憶素子を複数に分割しレベル分けをしたことと、記憶部40に記憶消去手段42を設けたことにある。本実施例により、格納するデータの重要度に応じて記憶素子を変えて格納可能となり、通信装置9の盗難などの場合でも重要度の高いデータを消去することが可能となる。
図12に、記憶部40の回路例を示す。記憶素子43−1は記憶消去手段42により記憶素子への電源を遮断できるよう構成される。記憶消去手段42へ記憶消去指示が与えられると、記憶消去手段42は、FETやリレーなどのスイッチ手段により、記憶素子43−1への電源を遮断する。記憶素子43−1には揮発性の高いメモリ、例えばSRAMやDRAMなどを用いる。また、記憶素子43−kは常時電源が供給されている記憶素子とする。
図12のように構成することで、記憶消去手段42は記憶消去指示により、特定の記憶素子への電源供給を停止し、記憶素子の記憶内容を確実に消去することが可能となる。
この為、運用する際には、重要度の高いデータを記憶消去可能な記憶素子43−1に格納し、内容が揮発しては不便なデータや重要度の低いデータを常時電源供給される43−1以外の記憶素子に格納するのが望ましい。
次に、本実施例による記憶消去動作について、図13のシーケンス図を用いて説明する。
はじめに、管理用サーバ(PC2)から通信装置9の認証部12に対して認証要求が到達する(ステップ260)。認証部12は管理用サーバの真正性を確認する処理を行った後、通信装置が認める装置であると確認できた場合に認証応答を発行する(ステップ261)。管理用サーバを認証する処理を行うことで、「なりすまし」による盗難検知不能を回避することが可能となる。
通信装置9が定常動作状態となった際に、データアクセス部30はハートビートを発行するために、実施例4に従ってハートビートアクセスを記憶部40に発行する(ステップ270)。記憶部40からの正常応答(ステップ271)の後、データアクセス部30の更新検出手段31によりアクセスがあったことを検知する(ステップ272)。その後、更新通知手段33はハートビート通知を管理用サーバへ発行する(ステップ273)。
このとき、更新通知手段33は、ハートビートを発行してから、それに対する応答までの時間を計測するタイマ(図示なし)をセットする。タイマが一定時間を計時する前に、管理用サーバからの応答が得られなかった場合、管理用サーバ停止あるいは盗難などの異常と認識する。
ステップ273の応答に対しては、ハートビート応答がステップ274で得られたので、更新通知手段33はタイマを初期化して処理は終了する。
次に、ハートビート異常の例を示す。
データアクセス部30は実施例4に従ってハートビートアクセスを記憶部40に発行する(ステップ280)。記憶部40からの正常応答(ステップ281)の後、データアクセス部30の更新検出手段31によりアクセスがあったことを検知する(ステップ283)。その後、更新通知手段33はハートビート通知を管理用サーバへ発行する(ステップ284)。
更新通知手段33は、ハートビートを発行してから、一定時間以内の応答を待つ。このとき、ネットワーク途中でネットワークパケットが欠損することも考えられるので、数回はハートビートを発行することが望ましい。その上で応答が得られなかった場合、更新通知手段33は異常と判定する。更新通知手段33は記憶消去指示を記憶部40に発行し(ステップ285)、記憶部40は記憶消去を実行する(ステップ286)。
以上により、管理サーバとの通信が途絶するような場合、例えば通信装置9が盗難に有った場合でも、通信装置9内のデータを消去することが可能となり、重要度の高いデータを安全に保管することが可能となる。
仮に盗難者が管理用サーバとの接続を偽装しながら通信装置9を持ち出そうとしても、認証されていない管理用サーバからの応答は受信できないよう構成するため、やはり通信装置9の重要なデータを消去することが可能となる。
尚、ハートビート生成手段35と更新通知手段33を一体としてハートビート通知手段としても良い。その場合にハートビート通知手段は、更新検出手段31によらずにハートビートを所定の時間間隔で送出し、ハートビートへの応答が所定時間内に得られない場合には、上述した実施例と同様記憶消去を記憶部40へ指示することが可能となる。
本発明による第一の実施の形態におけるセキュア通信装置の構成を表すブロック図と、システムの概要を示す。 実施例1による通信装置の構成例を示す。 実施例1による経路制御部20の動作のフローチャートを示す。 実施例1による検出ルールのデータベースの構成を示す。 実施例1による通知先DBのデータベースの構成を表す。 実施例1によるデータアクセス部30の動作のフローチャートを示す。 実施例1による通信装置の動作を表すシーケンス図を示す。 本発明による第二の実施の形態におけるセキュア通信装置の構成例を示す。 本発明による第三の実施の形態におけるセキュア通信装置の構成を表すブロック図を示す。 本発明による第四の実施の形態におけるセキュア通信装置の構成を表すブロック図を示す。 本発明による第五の実施の形態におけるセキュア通信装置の構成を表すブロック図を示す。 実施例5による記憶部40の回路例を示す。 実施例5による通信装置の動作のシーケンス図を示す。
符号の説明
1,1′,7,8,9 通信装置
2 PC
3,4 ネットワーク
5 コントローラ
6 記憶装置
10,11 通信IF
12,13 認証部
20,21 経路制御部
30 データアクセス部
31 更新検出手段
32 検出ルール
33 更新通知手段
34 通知先DB
35 ハートビート生成手段
40 記憶部
41,43 記憶素子
42 記憶消去手段
50 CPU
51 内部バス
52 RAM
53 不揮発メモリ
54 OS
55 データIF

Claims (16)

  1. 複数の通信I/Fを有する通信装置において、
    第1の通信I/Fと第2の通信I/Fとの間で、通信データの交換と遮断,変更を行う経路制御部と、
    前記通信データの一部を記憶する記憶部と、
    前記経路制御部からの通信データを解釈して前記通信データの一部を前記記憶部への書き込みあるいは読み出しに変換するデータアクセス部と、
    前記記憶部に対するデータの書き込みあるいは読み出しを検出する更新検出手段と、
    前記更新検出手段より通知され前記第1あるいは第2の通信I/Fを介して所定の計算機にデータ更新の有無を通知する更新通知手段と
    を備えたことを特徴とする通信装置。
  2. 請求項1の通信装置において、
    前記更新検出手段は、
    前記データアクセス部による前記記憶部へのアクセスパターンの組み合わせを保持する検出ルールデータベースを有し、
    該検出ルールデータベースに記録されるアクセスパターンに合致の有無を検出することを特徴とする通信装置。
  3. 請求項1又は請求項2の通信装置において、
    前記更新通知手段は、
    更新通知を連絡するあて先を保持する通知先データベースを有し、
    前記更新検出手段より通知された情報に従い、前記通知先データベースのあて先に更新通知を送信する
    ことを特徴とする通信装置。
  4. 請求項1から請求項3のうちの1つの通信装置において、
    前記記憶部は前記通信装置の外部の記憶素子へデータを送受信するデータインターフェースを備えることを特徴とする通信装置。
  5. 複数の通信I/Fを有する通信装置において、
    第1の通信I/Fからの通信において通信相手を認証する第1の認証部と、
    第2の通信I/Fからの通信において通信相手を認証する第2の認証部と、
    前記第1の認証部と前記第2の認証部との間で、通信データの交換と遮断,変更を行う経路制御部と、
    前記通信データの一部を記憶する記憶部と、
    前記経路制御部からの通信データを解釈して前記通信データの一部を前記記憶部への書き込みあるいは読み出しに変換するデータアクセス部と、
    前記記憶部に対するデータの書き込みあるいは読み出しを検出する更新検出手段と、
    前記更新検出手段より通知され前記第1あるいは第2の通信I/Fを介して所定の計算機にデータ更新の有無を通知する更新通知手段と
    を備えたことを特徴とする通信装置。
  6. 複数の計算機が属する複数のネットワークをつなぐ通信システムにおいて、
    前記複数のネットワークを接続する通信装置は複数の通信I/Fを有し、
    第1の通信I/Fと第2の通信I/Fとの間で、通信データの交換と遮断,変更を行う経路制御部と、
    前記通信データの一部を記憶する記憶部と、
    前記経路制御部からの通信データを解釈して前記通信データの一部を前記記憶部への書き込みあるいは読み出しに変換するデータアクセス部と、
    前記記憶部に対するデータの書き込みあるいは読み出しを検出する更新検出手段と、
    前記更新検出手段より通知され前記第1あるいは第2の通信I/Fを介して所定の計算機にデータ更新の有無を通知する更新通知手段とを備え、
    前記複数のネットワークに属する少なくとも1つの計算機は所定の時間間隔で前記通信装置へ通信データを送信し、
    該通信装置は所定の計算機へ前記データ更新の通知を送信する
    ことを特徴とする通信システム。
  7. 請求項6の通信システムにおいて、
    前記更新検出手段は、
    前記データアクセス部による前記記憶部へのアクセスパターンの組み合わせを保持する検出ルールデータベースを有し、
    該検出ルールデータベースに記録されるアクセスパターンに合致の有無を検出することを特徴とする通信システム。
  8. 請求項6又は請求項7の通信システムにおいて、
    前記更新通知手段は、
    更新通知を連絡するあて先を保持する通知先データベースを有し、
    前記更新検出手段より通知された情報に従い、前記通知先データベースのあて先に更新通知を送信する
    ことを特徴とする通信システム。
  9. 請求項6から請求項8のうちの1つの通信システムにおいて、
    前記記憶部は前記通信装置の外部の記憶素子へデータを送受信するデータインターフェースを備えることを特徴とする通信システム。
  10. 複数の通信I/Fを有する通信装置において、
    第1の通信I/Fと第2の通信I/Fとの間で、通信データの交換と遮断,変更を行う経路制御部と、
    前記通信データの一部を記憶する記憶部と、
    前記経路制御部からの通信データを解釈して前記通信データの一部を前記記憶部への書き込みあるいは読み出しに変換するデータアクセス部と、
    前記記憶部に対するデータの書き込みあるいは読み出しを検出する更新検出手段と、
    前記更新検出手段より通知され前記1あるいは2の通信I/Fを介して所定の計算機にデータ更新の有無を通知する更新通知手段と、
    前記記憶部に所定の時間間隔で所定データの書き込みあるいは読み出しを実行するハートビート生成手段と
    を備えることを特徴とする通信装置。
  11. 請求項10の通信装置において、
    前記ハートビート生成手段の前記記憶部に対するデータアクセスを前記更新検出手段が検知することにより、
    前記通信装置は所定の計算機へ前記データ更新の通知を送信する
    ことを特徴とする通信装置。
  12. 複数の通信I/Fを有する通信装置において、
    第1の通信I/Fと第2の通信I/Fとの間で、通信データの交換と遮断,変更を行う経路制御部と、
    前記通信データの一部を記憶し、又は記憶を消去する記憶部と、
    前記経路制御部からの通信データを解釈して前記通信データの一部を前記記憶部への書き込みあるいは読み出しに変換するデータアクセス部と、
    所定の計算機にハートビートを送信するハートビート通知手段とを備え、
    前記計算機からのハートビートの応答が所定時間以内に得られない場合、前記ハートビート通知手段は前記記憶部へ記憶消去の指示を発行する
    ことを特徴とする通信装置。
  13. 請求項12の通信装置において、
    前記記憶部に対するデータの書き込みあるいは読み出しを検出する更新検出手段と、
    該更新検出手段より通知され前記第1あるいは第2の通信I/Fを介して所定の計算機にデータ更新の有無を通知する更新通知手段と、
    前記記憶部に所定の時間間隔で所定データの書き込みあるいは読み出しを実行するハートビート生成手段とを備え、
    前記計算機からのハートビートの応答が所定時間以内に得られない場合、前記ハートビート通知手段は前記記憶部へ記憶消去の指示を発行する
    ことを特徴とする通信装置。
  14. 複数の計算機が属する複数のネットワークをつなぐ通信システムにおいて、
    前記複数のネットワークを接続する通信装置は複数の通信I/Fを有し、
    第1の通信I/Fと第2の通信I/Fとの間で、通信データの交換と遮断,変更を行う経路制御部と、
    記憶素子に前記通信データを記憶する記憶手段と、前記記憶素子の内容を消去する記憶消去手段を有する記憶部と、
    前記経路制御部からの通信データを解釈して前記通信データの一部を前記記憶部への書き込みあるいは読み出しに変換するデータアクセス部と、
    前記記憶部に対するデータの書き込みあるいは読み出しを検出する更新検出手段と、
    該更新検出手段より通知され前記第1あるいは第2の通信I/Fを介して所定の計算機にデータ更新の有無を通知する更新通知手段と
    前記記憶部に所定の時間間隔で所定データの書き込みあるいは読み出しを実行するハートビート生成手段とを備え、
    前記計算機からのハートビートの応答が所定時間以内に得られない場合、前記ハートビート通知手段は前記記憶部へ記憶消去の指示を発行する
    ことを特徴とする通信システム。
  15. 複数の通信I/Fを有する通信装置において、
    第1の通信I/Fと第2の通信I/Fとの間で、通信データの交換と遮断,変更を行う経路制御部と、
    複数の記憶素子を有して前記通信データの一部を記憶する記憶部と、
    前記経路制御部からの通信データを解釈して前記通信データの一部を前記記憶部への書き込みあるいは読み出しに変換するデータアクセス部と、
    前記記憶部に対するデータの書き込みあるいは読み出しを検出する更新検出手段と、
    前記更新検出手段より通知され前記第1あるいは第2の通信I/Fを介して所定の計算機にデータ更新の有無を通知する更新通知手段とを備え、
    前記記憶部は、記憶するデータの重要度に応じて前記複数の記憶素子を選択することを特徴とする通信装置。
  16. 請求項15の通信装置において、
    前記記憶部は前記通信装置の外部の記憶素子へデータを送受信するデータインターフェースを備える
    ことを特徴とする通信装置。
JP2008252147A 2008-09-30 2008-09-30 セキュア通信装置 Expired - Fee Related JP5055237B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008252147A JP5055237B2 (ja) 2008-09-30 2008-09-30 セキュア通信装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008252147A JP5055237B2 (ja) 2008-09-30 2008-09-30 セキュア通信装置

Publications (2)

Publication Number Publication Date
JP2010086121A true JP2010086121A (ja) 2010-04-15
JP5055237B2 JP5055237B2 (ja) 2012-10-24

Family

ID=42250050

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008252147A Expired - Fee Related JP5055237B2 (ja) 2008-09-30 2008-09-30 セキュア通信装置

Country Status (1)

Country Link
JP (1) JP5055237B2 (ja)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003050755A (ja) * 2001-08-07 2003-02-21 Konica Corp 管理システム
JP2005236908A (ja) * 2004-02-23 2005-09-02 Yamaha Corp データ中継装置
JP2006031097A (ja) * 2004-07-12 2006-02-02 Matsushita Electric Ind Co Ltd 通信システムならびにそれに用いられる通信端末、認証情報管理方法、認証情報管理プログラムおよび認証情報管理プログラムを格納する記録媒体
JP2006114991A (ja) * 2004-10-12 2006-04-27 Matsushita Electric Ind Co Ltd ファイアウォールシステム及びファイアウォール制御方法
JP2006352286A (ja) * 2005-06-14 2006-12-28 Hitachi Ltd ホームゲートウェイ装置、及びホームネットワークへのアクセス制御システム

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003050755A (ja) * 2001-08-07 2003-02-21 Konica Corp 管理システム
JP2005236908A (ja) * 2004-02-23 2005-09-02 Yamaha Corp データ中継装置
JP2006031097A (ja) * 2004-07-12 2006-02-02 Matsushita Electric Ind Co Ltd 通信システムならびにそれに用いられる通信端末、認証情報管理方法、認証情報管理プログラムおよび認証情報管理プログラムを格納する記録媒体
JP2006114991A (ja) * 2004-10-12 2006-04-27 Matsushita Electric Ind Co Ltd ファイアウォールシステム及びファイアウォール制御方法
JP2006352286A (ja) * 2005-06-14 2006-12-28 Hitachi Ltd ホームゲートウェイ装置、及びホームネットワークへのアクセス制御システム

Also Published As

Publication number Publication date
JP5055237B2 (ja) 2012-10-24

Similar Documents

Publication Publication Date Title
US8990923B1 (en) Protection against unauthorized access to automated system for control of technological processes
EP2885739B1 (en) System and method for providing a secure computational environment
US9734094B2 (en) Computer security system and method
US9450929B2 (en) Communication device, communication system, and computer program product
KR102195788B1 (ko) 호스트 컴퓨팅 디바이스와 주변기기의 데이터의 보안을 강화하기 위한 장치 및 방법
US9245147B1 (en) State machine reference monitor for information system security
JP2008015786A (ja) アクセス制御システム及びアクセス制御サーバ
JP5972995B2 (ja) 多数の中継サーバを有する保安管理システム及び保安管理方法
CN110601889B (zh) 实现安全反溯源深度加密受控网络链路资源调度管理的系统及方法
CN113660224A (zh) 基于网络漏洞扫描的态势感知防御方法、装置及系统
KR102407136B1 (ko) 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
Banerjee et al. Blockchain-based security layer for identification and isolation of malicious things in IoT: A conceptual design
KR102379720B1 (ko) 가상화 단말에서 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법
CN101833620A (zh) 一种基于自定义安全jdbc驱动的数据库防护方法
WO2020179706A1 (ja) 通信制御装置および通信システム
WO2020179707A1 (ja) 通信制御装置および通信システム
KR102377248B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
CN104113453A (zh) 一种局域网异常并机接入监测告警的方法及系统
WO2019070456A1 (en) DEVICE FOR PERIPHERAL CYBERSECURITY
WO2016106661A1 (zh) 一种存储装置的访问控制方法、存储装置以及控制系统
JP4095076B2 (ja) セキュリティ情報交換による評価指標算出に基いたセキュリティ管理装置、セキュリティ管理方法、およびセキュリティ管理プログラム
CN109474560A (zh) 网络访问的控制方法、装置和计算机可读存储介质
JP5055237B2 (ja) セキュア通信装置
KR102495373B1 (ko) 애플리케이션 검사 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
JP4728871B2 (ja) 機器検疫方法、検疫機器、集約クライアント管理機器、集約クライアント管理プログラム、ネットワーク接続機器およびユーザ端末

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100326

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111014

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120124

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120326

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120703

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120730

R151 Written notification of patent or utility model registration

Ref document number: 5055237

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150803

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees