JP2010283450A - Communication apparatus, and communication system - Google Patents
Communication apparatus, and communication system Download PDFInfo
- Publication number
- JP2010283450A JP2010283450A JP2009133215A JP2009133215A JP2010283450A JP 2010283450 A JP2010283450 A JP 2010283450A JP 2009133215 A JP2009133215 A JP 2009133215A JP 2009133215 A JP2009133215 A JP 2009133215A JP 2010283450 A JP2010283450 A JP 2010283450A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication device
- address
- session information
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、通信装置および通信システムに関するものである。 The present invention relates to a communication device and a communication system.
従来において、IPSec(Security Architecture for Internet Protocol)による通信システムにおいては、中継装置たる通信装置(通信装置Aという)と相手の通信装置(通信装置Bという)の間で暗号通信が行われる。また、通信システムでは、通信装置Aの故障に備えて、別の通信装置(通信装置A1という)が、暗号通信に使用されるセッション情報を逐次取得し、待機している。通信装置A、A1は、同一のIPアドレス(以下、アドレス)を有し、通信装置Bは、通信装置A、A1のどちらとも同じように暗号通信を行える。よって、通信装置A1が通信装置Aの故障を検知したら、取得しておいたセッション情報を使用して、通信装置Bに対して暗号通信を行えば、つまり、暗号通信を引き継げばよいのである。 Conventionally, in a communication system based on IPSec (Security Architecture for Internet Protocol), encryption communication is performed between a communication device (referred to as communication device A) as a relay device and a communication device as a counterpart (referred to as communication device B). In the communication system, in preparation for a failure of the communication device A, another communication device (referred to as communication device A1) sequentially acquires session information used for encrypted communication and is on standby. The communication devices A and A1 have the same IP address (hereinafter referred to as an address), and the communication device B can perform encrypted communication in the same manner as both the communication devices A and A1. Therefore, when the communication device A1 detects a failure of the communication device A, the encrypted communication is performed with respect to the communication device B using the acquired session information, that is, the encrypted communication may be taken over.
上記のセッション情報の中には、シーケンス番号が含まれる。通信装置A、Bは、このシーケンス番号を含むパケットを送受信しながら、セッション情報においてはシーケンス番号を更新していく。よって、予定外のシーケンス番号を含むパケットを不正なアクセスによるものとし、破棄することができる。 The above session information includes a sequence number. The communication devices A and B update the sequence number in the session information while transmitting and receiving packets including this sequence number. Therefore, a packet including an unscheduled sequence number can be regarded as an unauthorized access and discarded.
しかしながら、シーケンス番号がセッション情報に含まれることで、セッション情報のデータ量は多くなってしまい、通信装置A、A1間でのセッション情報の送受信が、各通信装置A、A1にとって大きな負担となる。 However, since the sequence number is included in the session information, the data amount of the session information increases, and transmission / reception of session information between the communication devices A and A1 is a heavy burden on the communication devices A and A1.
そこで、特許文献1は、シーケンス番号の送信回数を低減しつつ、不正でない通信において、上記のようにパケットが破棄されないようにできる技術を開示している。つまり、更新されるごとに送信されていたシーケンス番号を、更新間隔より長い一定時間が経過するごとに送信するようにし、その一定時間における送信側のシーケンス番号への更新で加算可能な最大数を見込んだ所定数を、受信されたシーケンス番号に予め加算しておくのである。受信側の通信装置では、送信側の通信装置が故障したら、加算後のシーケンス番号から使用し始めるのだが、そのシーケンス番号は大きな値であるから、過去に使用されたシーケンス番号に等しくなることはなく、パケットに使用されても、そのパケットは破棄されないのである。
Therefore,
しかしながら、それでも、シーケンス番号を送信する必要があり、それが依然として、通信装置に対する負担となっている。
また、大きなシーケンス番号が使用されていくと、いわゆるオーバーフローとなり、通信が切断されてしまう可能性もある。
However, it is still necessary to transmit the sequence number, which still places a burden on the communication device.
In addition, when a large sequence number is used, a so-called overflow may occur and communication may be disconnected.
本発明は、上記の課題に鑑みてなされたものであり、その目的とするところは、送受信しておく情報の量を低減し且つ暗号通信の引き継ぎを可能にする通信装置および通信システムを提供することにある。 The present invention has been made in view of the above problems, and an object of the present invention is to provide a communication device and a communication system that reduce the amount of information to be transmitted / received and can take over encrypted communication. There is.
上記の課題を解決するために、第1の本発明に係る通信装置は、対象の通信装置および相手の通信装置の間の暗号通信を前記対象の通信装置から引き継ぐ通信装置であって、前記対象の通信装置を示すアドレスを含み且つ前記暗号通信に必要なシーケンス番号を除くセッション情報を受信し、前記引き継ぐ通信装置に設けられた記憶手段に記憶させるセッション情報受信手段と、前記相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を前記相手の通信装置に送信するとともに、当該記憶手段に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更するアドレス変更処理手段と、前記相手の通信装置と交渉して当該相手の通信装置との通信に必要なシーケンス番号の初期値を含む暗号通信情報を生成して当該記憶手段に記憶させる暗号通信情報生成手段とを備えることを特徴とする。 In order to solve the above problems, a communication device according to a first aspect of the present invention is a communication device that takes over encrypted communication between a target communication device and a counterpart communication device from the target communication device, and Session information receiving means including an address indicating the communication apparatus and excluding the sequence number necessary for the encrypted communication, and storing the session information in a storage means provided in the takeover communication apparatus; and the counterpart communication apparatus In the stored session information, an address change instruction for changing the address indicating the target communication device to the address indicating the takeover communication device is transmitted to the counterpart communication device, and in the session information stored in the storage means Address change processing means for changing an address indicating a target communication device to an address indicating a communication device that takes over And encryption communication information generating means for generating encrypted communication information including an initial value of a sequence number necessary for communication with the counterpart communication apparatus by negotiating with the counterpart communication apparatus and storing the encrypted communication information in the storage means. It is characterized by.
例えば、第1の本発明に係る通信装置は、前記対象の通信装置に対するポーリングを行い、当該通信装置から応答がなかったなら、前記アドレス変更指示が送信されるように動作する状態監視手段を備える。 For example, the communication device according to the first aspect of the present invention includes a state monitoring unit that performs polling on the target communication device and operates so that the address change instruction is transmitted if there is no response from the communication device. .
第2の本発明に係る通信システムは、対象の通信装置および相手の通信装置の間の暗号通信を前記対象の通信装置から引き継ぐ通信装置と該通信装置とともに用いられる通信支援装置とを含む通信システムであって、前記通信支援装置は、前記対象の通信装置を示すアドレスを含み且つ前記暗号通信に必要なシーケンス番号を除くセッション情報を受信し、前記通信支援装置に設けられた記憶手段に記憶させるセッション情報受信手段と、当該記憶手段からセッション情報を読み出し、読み出したセッション情報とともに、前記相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を前記相手の通信装置に送信する旨の送信指示を前記引き継ぐ通信装置に送信するセッション情報送信手段とを備え、前記引き継ぐ通信装置は、前記通信支援装置から送信されたセッション情報を当該引き継ぐ通信装置に設けられた記憶手段に記憶させるセッション情報受信手段と、前記送信指示に基づいて、前記相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を前記相手の通信装置に送信するとともに、当該記憶手段に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更するアドレス変更処理手段と、前記送信指示に基づいて、前記相手の通信装置と交渉して当該相手の通信装置との通信に必要なシーケンス番号の初期値を含む暗号通信情報を生成して当該記憶手段に記憶させる暗号通信情報生成手段とを備えることを特徴とする。 A communication system according to a second aspect of the present invention includes a communication device that takes over encrypted communication between a target communication device and a partner communication device from the target communication device, and a communication support device that is used together with the communication device. The communication support apparatus receives session information including an address indicating the target communication apparatus and excluding a sequence number necessary for the encrypted communication, and stores the received session information in a storage unit provided in the communication support apparatus The session information is read from the session information receiving means and the storage means, and the address indicating the target communication device in the session information stored in the partner communication device is changed to the address indicating the succeeding communication device together with the read session information. An instruction to send to the other communication device is sent to the partner communication device. Session information transmitting means for transmitting to the communication device to be succeeded, the communication device to be handed over, session information receiving means for storing the session information transmitted from the communication support device in a storage means provided in the communication device to be succeeded, Based on the transmission instruction, an address change instruction is transmitted to the partner communication apparatus to change the address indicating the target communication apparatus in the session information stored in the partner communication apparatus to the address indicating the takeover communication apparatus. And an address change processing means for changing an address indicating the target communication apparatus in the session information stored in the storage means to an address indicating the takeover communication apparatus, and based on the transmission instruction, Initial value of sequence number required for negotiation and communication with the communication device It generates the cryptographic communication information including characterized by comprising a cryptographic communication information generating means for storing in the storage means.
例えば、前記通信支援装置は、前記対象の通信装置に対するポーリングを行い、当該通信装置から応答がなかったなら、前記セッション情報と前記送信指示が送信されるように動作する状態監視手段を備えることを特徴とする。 For example, the communication support device includes a state monitoring unit that performs polling on the target communication device and operates so that the session information and the transmission instruction are transmitted if there is no response from the communication device. Features.
例えば、前記通信支援装置のセッション情報受信手段は、前記引き継ぐ通信装置における相手の通信装置の数を計算し、当該相手の通信装置の数を前記通信支援装置に設けられた記憶手段に記憶させ、前記セッション情報送信手段は、当該記憶手段に記憶された相手の通信装置の数と前記引き継ぐ通信装置に送信されるセッション情報の数の和が予め定めた数以下になるように動作することを特徴とする。 For example, the session information receiving unit of the communication support device calculates the number of communication devices of the other party in the communication device to take over, and stores the number of communication devices of the other party in a storage unit provided in the communication support device, The session information transmitting means operates such that the sum of the number of counterpart communication devices stored in the storage means and the number of session information transmitted to the succeeding communication device is equal to or less than a predetermined number. And
第1の本発明によれば、対象の通信装置を示すアドレスを含み且つ暗号通信に必要なシーケンス番号を除くセッション情報を受信し、引き継ぐ通信装置に設けられた記憶手段に記憶させるセッション情報受信手段と、相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を相手の通信装置に送信するとともに、当該記憶手段に記憶されたセッション情報における対象の通信装置を示すアドレスを引き継ぐ通信装置を示すアドレスに変更するアドレス変更処理手段と、前記相手の通信装置と交渉して当該相手の通信装置との通信に必要なシーケンス番号の初期値を含む暗号通信情報を生成して当該記憶手段に記憶させる暗号通信情報生成手段を備えるので、送受信しておく情報の量を低減し且つ暗号通信の引き継ぎを可能にすることができる。 According to the first aspect of the present invention, session information receiving means for receiving session information including an address indicating a target communication apparatus and excluding a sequence number necessary for encrypted communication and storing the session information in a storage means provided in the succeeding communication apparatus And an address change instruction for changing the address indicating the target communication device in the session information stored in the partner communication device to the address indicating the communication device that takes over, is transmitted to the partner communication device and stored in the storage means. Address change processing means for changing the address indicating the target communication device in the session information to the address indicating the communication device, and the sequence number necessary for negotiation with the other communication device and communication with the other communication device The encryption communication information generation means for generating the encryption communication information including the initial value and storing the encryption communication information in the storage means Since obtain, may allow for reduced and the encrypted communication take over the amount of information to be transmitted and received.
第2の本発明によれば、通信支援装置は、対象の通信装置を示すアドレスを含み且つ暗号通信に必要なシーケンス番号を除くセッション情報を受信し、通信支援装置に設けられた記憶手段に記憶させるセッション情報受信手段と、当該記憶手段からセッション情報を読み出し、読み出したセッション情報とともに、相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を相手の通信装置に送信する旨の送信指示を引き継ぐ通信装置に送信するセッション情報送信手段とを備え、引き継ぐ通信装置は、通信支援装置から送信されたセッション情報を当該引き継ぐ通信装置に設けられた記憶手段に記憶させるセッション情報受信手段と、送信指示に基づいて、相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を相手の通信装置に送信するとともに、当該記憶手段に記憶されたセッション情報における対象の通信装置を示すアドレスを引き継ぐ通信装置を示すアドレスに変更するアドレス変更処理手段と、送信指示に基づいて、相手の通信装置と交渉して当該相手の通信装置との通信に必要なシーケンス番号の初期値を含む暗号通信情報を生成して当該記憶手段に記憶させる暗号通信情報生成手段とを備えるので、送受信しておく情報の量を低減し且つ暗号通信の引き継ぎを可能にすることができる。 According to the second aspect of the present invention, the communication support apparatus receives session information including an address indicating the target communication apparatus and excluding a sequence number necessary for encrypted communication, and stores the session information in a storage unit provided in the communication support apparatus. Session information receiving means to be read, and session information is read from the storage means, and the read session information is changed to an address indicating the communication apparatus that takes over the address indicating the target communication apparatus in the session information stored in the other communication apparatus And a session information transmitting means for transmitting to the communication device that takes over the transmission instruction to send an address change instruction to the other communication device, and the take over communication device takes over the session information transmitted from the communication support device. Session information receiving means to be stored in storage means provided in the apparatus, and transmission instruction Based on this, an address change instruction for changing the address indicating the target communication device in the session information stored in the other communication device to the address indicating the communication device is transferred to the other communication device, and the storage means Address change processing means for changing the address indicating the target communication device in the stored session information to the address indicating the communication device, and based on the transmission instruction, negotiate with the other communication device and negotiate with the other communication device. And encryption communication information generating means for generating encrypted communication information including an initial value of a sequence number necessary for communication and storing it in the storage means, so that the amount of information to be transmitted and received can be reduced and encryption communication can be taken over. Can be possible.
以下、本発明の実施の形態を図面を参照して説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[第1の実施の形態]
図1は、第1の実施の形態に係る通信システムの構成を示す図である。
[First Embodiment]
FIG. 1 is a diagram illustrating a configuration of a communication system according to the first embodiment.
各通信装置1、1Aは、ルータRを介してネットワークNに接続されている。また、複数の通信装置2のそれぞれが、該通信装置2に割り当てられたネットワーク3に接続されている。1つのネットワーク3内の端末装置AとネットワークN内の端末装置Bの間で双方向通信が行われる際、当該ネットワーク3に接続された通信装置2と該通信装置2に割り当てたれた通信装置1との間では暗号通信を行うこととなっている。同様に、端末装置Cを含むネットワーク3に接続された通信装置2と該通信装置2に割り当てたれた通信装置1との間でも暗号通信を行うこととなっている。ここでは、暗号通信は、IPSecの規定によるものとする。
Each
なお、通信装置2の説明においては、該通信装置2と暗号通信を行うこととなっている通信装置1を単に通信装置1という。
In the description of the
通信装置1Aは、通常は、上記のような暗号通信を行うこととなっておらず、つまり、待機中である。通信装置1Aは、通信装置1の故障などの際に、かかる暗号通信を引き継ぐようになっている。通信装置1と通信装置1Aは1対1の関係にある。
The
なお、通信装置1の説明においては、この通信装置1の暗号通信を引き継ぐ通信装置1Aのことを単に通信装置1Aといい、逆も同様とする。
In the description of the
各通信装置1、1Aは、互いに異なるサブネットワークに存在しており、各サブネットワークを示すネットワークアドレスも互いに異なる。各通信装置2も、互いに異なるサブネットワークに存在しており、各サブネットワークを示すネットワークアドレスも互いに異なる。
The
図2は、各通信装置1の構成を示すブロック図である。図3は、各通信装置1Aの構成を示すブロック図である。
FIG. 2 is a block diagram showing the configuration of each
通信装置1は、回線インタフェース101、回線インタフェース102、暗号化規則情報記憶部103、鍵交換通信情報記憶部104、暗号通信情報記憶部105、暗号関連処理適用判断部106、暗号関連処理部107、暗号鍵交換部108、セッション情報送信部109を備える。
The
通信装置1Aは、回線インタフェース101、回線インタフェース102、暗号化規則情報記憶部103、鍵交換通信情報記憶部104、暗号通信情報記憶部105、暗号関連処理適用判断部106、暗号関連処理部107、暗号鍵交換部108、セッション情報受信部109A、アドレス変更処理部111、状態監視部112を備える。
The
回線インタフェース101は、回線インタフェース102で受信された、ネットワークN内の端末装置宛のパケットをルータRに送信する。回線インタフェース102は、回線インタフェース101で受信された、いずれかのネットワーク3内の端末装置宛のパケットを当該ネットワーク3に接続された通信装置2に送信する。回線インタフェース102は、通信装置1、1A間の通信にも使用される。
The
暗号化規則情報記憶部103には、パケットの暗号化、復号が必要か否かの判断に使用される暗号化規則情報が記憶される。
鍵交換通信情報記憶部104には、パケットの暗号化、復号に使用される鍵の生成、交換に必要な鍵交換通信情報が記憶される。
The encryption rule
The key exchange communication
暗号通信情報記憶部105には、パケットの暗号化、復号に使用される鍵やパケットの順番を示すシーケンス番号などを含む暗号通信情報が記憶される。
暗号関連処理適用判断部106は、パケットの暗号化、復号が必要か否かを判断する。
暗号関連処理部107は、パケットの暗号化、復号を行う。
The encryption communication
The encryption-related process
The encryption related
セッション情報送信部109は、暗号化規則情報記憶部103および鍵交換通信情報記憶部104に分けて記憶されるセッション情報を通信装置1Aに送信する。
Session
セッション情報受信部109Aは、通信装置1から送信されたセッション情報を暗号化暗号化規則情報記憶部103および鍵交換通信情報記憶部104に分けて記憶させる。
The session
アドレス変更処理部111は、通信装置1が故障などしたら、通信装置1のアドレス等を通信装置1Aのアドレス等に変更する旨の指示(アドレス変更指示)を通信装置2に送信し、また、暗号化規則情報記憶部103等に分けて記憶されたセッション情報における通信装置1のアドレス等を通信装置1Aのアドレス等に変更する。
状態監視部112は、通信装置1の状態を監視し、故障などを検出する。
The address
The
図4は、各通信装置2の構成を示すブロック図である。
FIG. 4 is a block diagram showing the configuration of each
通信装置2は、回線インタフェース21、回線インタフェース22、暗号化規則情報記憶部23、鍵交換通信情報記憶部24、暗号通信情報記憶部25、暗号関連処理適用判断部26、暗号関連処理部27、暗号鍵交換部28、アドレス変更処理部29を備える。
The
回線インタフェース21は、回線インタフェース22で受信された、ネットワークN内の端末装置宛のパケットを通信装置1に送信する。回線インタフェース22は、回線インタフェース21で受信された、ネットワーク3内の端末装置宛のパケットを当該端末装置に送信する。
The
暗号化規則情報記憶部23には、パケットの暗号化、復号が必要か否かの判断に使用される暗号化規則情報が記憶される。
鍵交換通信情報記憶部24には、パケットの暗号化、復号に使用される鍵の生成、交換に必要な鍵交換通信情報が記憶される。
The encryption rule
The key exchange communication
暗号通信情報記憶部25には、パケットの暗号化、復号に使用される鍵やパケットの順番を示すシーケンス番号などを含む暗号通信情報が記憶される。
暗号関連処理適用判断部26は、パケットの暗号化、復号が必要か否かを判断する。
暗号関連処理部27は、パケットの暗号化、復号を行う。
The encrypted communication
The encryption-related process
The encryption related
アドレス変更処理部29は、通信装置1Aから送信されたアドレス変更指示において変更対象となっている通信装置1が現在の相手の通信装置1であるなら、暗号化規則情報記憶部23および鍵交換通信情報記憶部24に分けて記憶されたセッション情報における通信装置1のアドレス等を通信装置1Aのアドレス等に変更する。
If the
図5は、暗号化規則情報記憶部103の構成を示す図である。
FIG. 5 is a diagram illustrating a configuration of the encryption rule
通信装置1の暗号化規則情報記憶部103に記憶される暗号化規則情報は、(1)自身(通信装置1)を含むサブネットワークを示すネットワークアドレスNA1と、(2)自身(通信装置1)の相手となっている通信装置2を含むサブネットワークを示すネットワークアドレスNA2と、(3)通信の方向と、(4)自身(通信装置1)と相手の通信装置2の間の(3)の方向の通信についての規則を定めたもの、の4つを含む。別の相手、反対の通信の方向、別の規則などについては、別の暗号化規則情報が存在する。
The encryption rule information stored in the encryption rule
また、通信装置1Aの暗号化規則情報記憶部103に記憶される暗号化規則情報は、通信装置1から送信されたものであり、(1)通信装置1を含むサブネットワークを示すネットワークアドレスNA1と、(2)通信装置1の相手となっている通信装置2を含むサブネットワークを示すネットワークアドレスNA1と、(3)通信の方向と、(4)通信装置1と相手の通信装置2の間の(3)の方向の通信についての規則を定めたもの、の4つを含む。別の相手、反対の通信の方向、別の規則などについては、別の暗号化規則情報が存在する。
Also, the encryption rule information stored in the encryption rule
図示しないが、通信装置2の暗号化規則情報記憶部23に記憶される暗号化規則情報は、(1)自身(通信装置2)を含むサブネットワークを示すネットワークアドレスNA2と、(2)相手となっている通信装置1を含むサブネットワークを示すネットワークアドレスNA1と、(3)通信の方向と、(4)自身(通信装置2)と相手の通信装置1の間の(3)の方向の通信についての規則を定めたもの、の4つを含む。別の相手、反対の通信の方向、別の規則などについては、別の暗号化規則情報が存在する。
Although not shown, the encryption rule information stored in the encryption rule
図6は、鍵交換通信情報記憶部104の構成を示す図である。
FIG. 6 is a diagram illustrating a configuration of the key exchange communication
通信装置1の鍵交換通信情報記憶部104に記憶される鍵交換通信情報は、(1)この鍵交換通信情報を一意に示す識別情報、(2)自身(通信装置1)のアドレスAD1、(3)自身(通信装置1)の相手となっている通信装置2のアドレスAD2、(4)暗号化および復号の鍵を含む該鍵に関する情報、の4つを含む。別の相手、別の鍵などについては、別の鍵交換通信情報が存在する。
The key exchange communication information stored in the key exchange communication
通信装置1Aの鍵交換通信情報記憶部104に記憶される鍵交換通信情報は、(1)この鍵交換通信情報を一意に示す識別情報、(2)通信装置1のアドレスAD1、(3)通信装置1の相手となっている通信装置2のアドレスAD2、(4)暗号化および復号の鍵を含む該鍵に関する情報、の4つを含む。別の相手、別の鍵などについては、別の鍵交換通信情報が存在する。
The key exchange communication information stored in the key exchange communication
図示しないが、通信装置2の鍵交換通信情報記憶部104に記憶される鍵交換通信情報は、(1)この鍵交換通信情報を一意に示す識別情報、(2)自身(通信装置2)のアドレスAD2、(3)自身(通信装置2)相手となっている通信装置1のアドレスAD1、(4)暗号化および復号の鍵を含む該鍵に関する情報、の4つを含む。別の相手、別の鍵などについては、別の鍵交換通信情報が存在する。
Although not shown, the key exchange communication information stored in the key exchange communication
図7は、暗号通信情報記憶部105の構成を示す図である。
FIG. 7 is a diagram illustrating a configuration of the encrypted communication
通信装置1の暗号通信情報記憶部105に記憶される暗号通信情報は、(1)この暗号通信情報を一意に示す識別情報、(2)自身(通信装置1)のアドレスAD1、(3)自身(通信装置1)の相手となっている通信装置2のアドレスAD2、(4)暗号通信に関する情報、の4つを含む。(4)の暗号通信に関する情報は、鍵やシーケンス番号を含む。別の相手、別の鍵などについては、別の暗号通信情報が存在する。
The encrypted communication information stored in the encrypted communication
通信装置1Aの暗号通信情報記憶部105に記憶される暗号通信情報は、(1)この暗号通信情報を一意に示す識別情報、(2)通信装置1のアドレスAD1、(3)通信装置1の相手となっている通信装置2のアドレスAD2、(4)暗号通信に関する情報、の4つを含む。(4)の暗号通信に関する情報は、鍵やシーケンス番号を含む。別の相手、別の鍵などについては、別の暗号通信情報が存在する。
The encrypted communication information stored in the encrypted communication
図示しないが、通信装置2の暗号通信情報記憶部105に記憶される暗号通信情報は、(1)この暗号通信情報を一意に示す識別情報、(2)自身(通信装置2)のアドレスAD2、(3)自身(通信装置2)の相手となっている通信装置1のアドレスAD1、(4)暗号通信に関する情報、の4つを含む。(4)の暗号通信に関する情報は、鍵やシーケンス番号を含む。別の相手、別の鍵などについては、別の暗号通信情報が存在する。
Although not shown, the encrypted communication information stored in the encrypted communication
図8は、セッション情報の構成を示す図である。 FIG. 8 is a diagram showing a configuration of session information.
通信装置1においては、(1)1つの鍵交換情報と(2)鍵交換情報内のアドレスAD1を含むネットワークアドレスNA1および鍵交換情報内のアドレスAD2を含むネットワークアドレスNA2を含む暗号化規則情報(2つ:各方向1つ)とを含む情報をセッション情報という。
In the
セッション情報は、暗号通信情報を含まない通信情報であり、よって、シーケンス番号も含まない。
なお、セッション情報は、通信装置1A、通信装置2においても同様の情報のことをいう。
The session information is communication information that does not include encrypted communication information, and therefore does not include a sequence number.
The session information refers to the same information in the
(第1の実施の形態の動作)
図9は、第1の実施の形態の動作を示すシーケンス図である。
(Operation of the first embodiment)
FIG. 9 is a sequence diagram illustrating the operation of the first embodiment.
端末装置Aは端末装置Bと通信したい旨の通信要求を通信装置2に送信する(S1)。これに対し、通信装置2は、通信装置1に接続要求を送信する(S3)。これに対し、通信装置1は通信装置2を認証する手続きを行い、認証ができたなら、接続許可を通信装置2に送信する(S5)。また、端末装置A、B間の通信における通信装置1、2間の通信を暗号通信とする必要があるので、通信装置1、2は、そのためのセッション情報を記憶しておく。セッション情報には、通信装置1、2のアドレスが含まれる。通信装置1は、通信装置1の故障などに備えて、セッション情報を通信装置1Aに送信する(S7)。通信装置1Aは、セッション情報を記憶しておく。
The terminal device A transmits a communication request for communication with the terminal device B to the communication device 2 (S1). In response to this, the
端末装置Aが、端末装置Bのアドレスである送信先のアドレスを含むパケットを送信すると、パケットは通信装置2に到着する。通信装置2はパケットを暗号化し、記憶したセッション情報内に通信装置1のアドレスがあるので、暗号化されたパケットを通信装置1に送信する。通信装置1はパケットを復号する。復号されたパケットは、パケット内の送信先のアドレスにしたがって、通信装置1から端末装置Bに送信される。端末装置Bから端末装置Aへのパケットの送信も同様である。こうして、端末装置A、B間で双方向通信が行われる際(S11)、通信装置1、2間の通信が暗号通信となる。
When the terminal device A transmits a packet including the destination address that is the address of the terminal device B, the packet arrives at the
通信装置1は、セッション情報が追加、変更または削除されるごとに、追加等された部分を含むセッション情報や削除の指示を通信装置1Aに送信する(S15)。
Each time the session information is added, changed, or deleted, the
通信装置1Aは、通信装置1に対し、継続的にポーリングを行い(S17)、応答を受信する。
The
通信装置1が故障や輻輳した(S19)場合、通信装置1、2間および通信装置1、端末装置B間の通信が行えない(S21)。しかし、通信装置1の故障等により、通信装置1Aは応答を受信できないので、通信装置1Aは、故障等を検出することができる(S23)。
When the
通信装置1Aは、故障等を検出したなら、セッション情報における通信装置1のアドレス等を通信装置1Aのアドレス等に変更する旨の指示(アドレス変更指示100という)を通信装置2に送信する(S25)。
If the
図10は、このアドレス変更指示100の構成を示す図である。
FIG. 10 is a diagram showing the configuration of the
アドレス変更指示100は、アドレス100a、100a、および、アドレス100aをアドレス100bに変更する旨のコマンド100cとを含む。アドレス100aとしては、故障等した通信装置1のアドレスが設定される。アドレス100bとしては、故障等を検出した通信装置1Aのアドレスが設定される。
図9に戻り、通信装置2は、アドレス変更指示内のアドレス100aが、記憶しておいたセッション情報における通信装置1のアドレスAD1であるなら、そのセッション情報における通信装置1のアドレスAD1等をアドレス変更指示内のアドレス100b等に変更し、また、通信装置1Aも、記憶しておいたセッション情報における通信装置1のアドレスAD1等を通信装置1Aのアドレス等に変更し、また、通信装置1A、2は、互いに交渉し、暗号通信情報(シーケンス番号の初期値が含まれる)を新たに生成して記憶する(S27、S29)。
Returning to FIG. 9, if the
前述のように、端末装置Aが、端末装置Bのアドレスを含むパケットを送信すると、パケットは通信装置2に到着する。通信装置2はパケットを暗号化し、記憶したセッション情報内に通信装置1Aのアドレスがあるので、暗号化されたパケットを通信装置1Aに送信する。通信装置1Aはパケットを復号する。復号されたパケットは、パケット内の送信先のアドレスにしたがって、通信装置1Aから端末装置Bに送信される。端末装置Bから端末装置Aへのパケットの送信も同様である。こうして、端末装置A、B間で双方向通信が行われる際(S31)、パケットは通信装置1Aを経由し、通信装置1A、通信装置2間の通信が暗号通信となる。
As described above, when the terminal device A transmits a packet including the address of the terminal device B, the packet arrives at the
図11は、通信装置1でパケットが受信されたときの動作を示すフローチャートである。
FIG. 11 is a flowchart showing an operation when a packet is received by the
暗号関連処理適用判断部106は、回線インタフェース101、102の一方がパケットを受信したなら(START)、受信されたパケットの暗号化、復号の少なくとも一方が必要か否かを判定する(T1)。
When one of the line interfaces 101 and 102 receives a packet (START), the encryption-related process
図12は、パケットの構成を示す図である。 FIG. 12 is a diagram illustrating a packet configuration.
パケットは、(1)ヘッダ、(2)SPIインデクス、(3)シーケンス番号、(4)ペイロードを含む。ヘッダは、送信元のアドレス、送信先のアドレスを含む。(1)ヘッダ、(2)SPIインデクス、(3)シーケンス番号は暗号化されず、(4)ペイロードだけが暗号化される。 The packet includes (1) a header, (2) an SPI index, (3) a sequence number, and (4) a payload. The header includes a source address and a destination address. (1) Header, (2) SPI index, (3) Sequence number is not encrypted, (4) Only payload is encrypted.
図11に戻り、具体的には、暗号関連処理適用判断部106は、パケットが回線インタフェース101で受信されたのなら、暗号化規則情報記憶部103に、(1)自身(通信装置1)を含むサブネットワークを示すネットワークアドレスNA1と、(2)パケット内の送信先のアドレスを含むネットワークアドレスに等しいネットワークアドレスNA2と、(3)自身(通信装置1)から相手(通信装置2)へ向かう方向と、を含む暗号化規則情報があり、その(4)規則に暗号化必要の記載があれば必要、なければ暗号化および復号は不要と判断する。
Returning to FIG. 11, specifically, if the packet is received by the
一方、暗号関連処理適用判断部106は、パケットが回線インタフェース102で受信されたのなら、暗号化規則情報記憶部103に、(1)自身(通信装置1)を含むサブネットワークを示すネットワークアドレスNAと、(2)パケット内の送信元のアドレスを含むネットワークアドレスに等しいネットワークアドレスNA2と、(3)相手(通信装置2)から自身(通信装置1)へ向かう方向と、を含む暗号化規則情報があり、その(4)規則に復号必要の記載があれば必要、なければ暗号化および復号は不要と判断する。
On the other hand, if the packet is received by the
他方の回線インタフェースは、暗号化、復号とも不要と判定されたなら(T1:NO)、受信されたパケットをパケット内の送信先のアドレスを含むネットワークアドレスNA2に含まれるアドレスを有する通信装置2またはルータRに送信し(T2)、処理を終える(END)。
If it is determined that neither encryption nor decryption is necessary for the other line interface (T1: NO), the
一方、暗号関連処理適用判断部106は、パケットの暗号化、復号の少なくとも一方が必要と判定したなら(T1:YES)、パケット内のSPIインデクスに等しい識別情報を含む鍵交換通信情報および暗号通信情報が鍵交換通信情報記憶部104および暗号通信情報記憶部105にあるか否かを判定する(T7)。
On the other hand, if it is determined that at least one of packet encryption and decryption is necessary (T1: YES), the encryption-related process
暗号鍵交換部108は、鍵交換通信情報等がなければ、通信装置2の暗号鍵交換部28との間での交渉により生成された鍵および該鍵に関する情報を含む鍵交換通信情報と暗号通信情報を取得して鍵交換通信情報記憶部104と暗号通信情報記憶部105にそれぞれ記憶させる(T9)。
If there is no key exchange communication information or the like, the encryption
なお、通信装置2の暗号鍵交換部28も、生成された鍵および該鍵に関する情報を含む鍵交換通信情報と暗号通信情報を取得して鍵交換通信情報記憶部24と暗号通信情報記憶部25にそれぞれ記憶させ、該鍵を使用した暗号通信に関する情報を含む暗号通信情報を取得して暗号通信情報記憶部25に記憶させる。
The encryption
次に、暗号関連処理部107は、パケットが回線インタフェース101で受信されたのなら、パケットのペイロードを鍵(パケット内のSPIインデクスに等しい識別情報を含む鍵交換通信情報内の鍵、または、暗号通信情報内の鍵)で暗号化し、一方、パケットが回線インタフェース102で受信されたのなら、パケットのペイロードを鍵で復号する(T11)。
Next, if the packet is received by the
次に、暗号関連処理部107は、パケット内のSPIインデクスに等しい識別情報を含む暗号通信情報内のシーケンス番号を更新する(T13)。
Next, the encryption related
次に、他方の回線インタフェースが、暗号化または復号されたペイロードを含むパケットを通信装置2またはルータRに送信し(T2)、処理を終える(END)。
Next, the other line interface transmits a packet including the encrypted or decrypted payload to the
図13は、通信装置2でパケットが受信されたときの動作を示すフローチャートである。
FIG. 13 is a flowchart illustrating an operation when a packet is received by the
パケットは、図12に示したものと同様の構成を有する。
暗号関連処理適用判断部26は、回線インタフェース21、22の一方がパケットを受信したなら(START)、受信されたパケットの暗号化、復号の少なくとも一方が必要か否かを判定する(U1)。
The packet has a configuration similar to that shown in FIG.
When one of the line interfaces 21 and 22 receives a packet (START), the encryption related process
具体的には、暗号関連処理適用判断部26は、パケットが回線インタフェース21で受信されたのなら、暗号化規則情報記憶部23に、(1)自身(通信装置2)を含むサブネットワークを示すネットワークアドレスNA2と、(3)自身(通信装置2)から通信装置1へ向かう方向と、を含む暗号化規則情報があり、その(4)規則に暗号化必要の記載があれば必要、なければ暗号化および復号は不要と判断する。
Specifically, when the packet is received by the
一方、暗号関連処理適用判断部26は、パケットが回線インタフェース22で受信されたのなら、暗号化規則情報記憶部23に、(1)自身(通信装置2)を含むサブネットワークを示すネットワークアドレスNA2と、(3)通信装置1から自身(通信装置2)へ向かう方向と、を含む暗号化規則情報があり、その(4)規則に復号必要の記載があれば必要、なければ暗号化および復号は不要と判断する。
On the other hand, if the packet is received by the
他方の回線インタフェースは、暗号化、復号とも不要と判定されたなら(U1:NO)、受信されたパケットを自身(通信装置2)の通信相手である通信装置1またはパケット内の送信先のアドレスを有する端末装置に送信し(U2)、処理を終える(END)。
If it is determined that neither encryption nor decryption is necessary for the other line interface (U1: NO), the received packet is sent to the
一方、暗号関連処理適用判断部26は、パケットの暗号化、復号の少なくとも一方が必要と判定したなら(U1:YES)、パケット内のシーケンス番号がパケット内のSPIインデクスに等しい識別情報を含む暗号通信情報内のシーケンス番号より新しいか否かを判定する(U3)。
On the other hand, if it is determined that at least one of encryption and decryption of the packet is necessary (U1: YES), the encryption-related process
暗号関連処理適用判断部26は、パケット内のシーケンス番号と暗号通信情報内のシーケンス番号とが同じまたはパケット内のシーケンス番号が暗号通信情報内のシーケンス番号より古いなら(U3:NO)、パケットを破棄し(U5)、処理を終える(END)。
If the sequence number in the packet is the same as the sequence number in the encryption communication information or the sequence number in the packet is older than the sequence number in the encryption communication information (U3: NO), the encryption related process
一方、暗号関連処理部27は、パケット内のシーケンス番号が暗号通信情報内のシーケンス番号より新しいなら(U3:YES)、パケット内のSPIインデクスに等しい識別情報を含む鍵交換通信情報および暗号通信情報が鍵交換通信情報記憶部24および暗号通信情報記憶部25にあるか否かを判定する(U7)。
On the other hand, if the sequence number in the packet is newer than the sequence number in the encrypted communication information (U3: YES), the encryption related
暗号鍵交換部28は、鍵交換通信情報等がなければ、通信装置1の暗号鍵交換部108との間での交渉により生成された鍵および該鍵に関する情報を含む鍵交換通信情報と暗号通信情報を取得して鍵交換通信情報記憶部24と暗号通信情報記憶部25にそれぞれ記憶させ、該鍵を使用した暗号通信に関する情報を含む暗号通信情報を取得して暗号通信情報記憶部25に記憶させる(U9)。
If there is no key exchange communication information or the like, the encryption
なお、通信装置1の暗号鍵交換部108も、生成された鍵および該鍵に関する情報を含む鍵交換通信情報と暗号通信情報を取得して鍵交換通信情報記憶部104と暗号通信情報記憶部105にそれぞれ記憶させ、該鍵を使用した暗号通信に関する情報を含む暗号通信情報を取得して暗号通信情報記憶部105に記憶させる。
Note that the encryption
次に、暗号関連処理部27は、パケットが回線インタフェース21で受信されたのなら、パケットのペイロードを鍵(パケット内のSPIインデクスに等しい識別情報を含む鍵交換通信情報内の鍵、または、暗号通信情報内の鍵)で暗号化し、一方、パケットが回線インタフェース22で受信されたのなら、パケットのペイロードを鍵で復号する(U11)。
Next, if the packet is received by the
次に、暗号関連処理部27は、パケット内のSPIインデクスに等しい識別情報を含む暗号通信情報内のシーケンス番号を更新する(U13)。
Next, the encryption related
次に、他方の回線インタフェースが、暗号化または復号されたペイロードを含むパケットを通信装置1または端末装置に送信し(U2)、処理を終える(END)。
Next, the other line interface transmits a packet including the encrypted or decrypted payload to the
図14は、通信装置1が通信装置1Aにセッション情報等を送信するときの動作を示すフローチャートである。
FIG. 14 is a flowchart showing an operation when the
セッション情報送信部109は、暗号化規則情報記憶部103等に分けて新たにセッション情報が記憶された、または、記憶されたセッション情報のいずれかがシーケンス番号を除いて変更または削除されたなら(START)、変更等されたセッション情報や削除されたセッション情報を削除する旨の指示を回線インタフェース102から通信装置1Aに送信し(T21)、処理が終わる(END)。
The session
図15は、通信装置1Aが通信装置1からセッション情報等を受信したときの動作を示すフローチャートである。
FIG. 15 is a flowchart showing an operation when the
セッション情報受信部109Aは、回線インタフェース102がセッション情報等を受信したなら(START)、セッション情報を暗号化規則情報記憶部103等に分散させて、既存のセッション情報があれば上書きで、記憶させ、または、指示にしたがってセッション情報を削除し(V1)、処理が終わる(END)。
When the
図16は、通信装置1Aが通信装置1の暗号通信を引き継ぐときの動作を示すフローチャートである。
FIG. 16 is a flowchart illustrating an operation when the
状態監視部112は、回線インタフェース102を介して、通信装置1に対し継続的にポーリングを行う(V11)。状態監視部112は、通信装置1から応答がなかったなら(V13:NO)、その旨をアドレス変更処理部111に伝える。これにより、アドレス変更処理部111は、鍵交換通信情報記憶部104における通信装置1のアドレスAD1を含む鍵交換通信情報内の相手のアドレスAD2を読み出す。つまり、アドレス変更処理部111は、故障などで応答しなくなった通信装置1に対して暗号通信を行っている通信装置2のアドレスを読み出す(V15)。
The
次に、アドレス変更処理部111は、図10に示した構成のアドレス変更指示を該当のセッション情報内の鍵で暗号化し、これを回線インタフェース102が通信装置2に送信する(V17)。アドレス変更指示内のアドレス100aとしては、応答がなかった通信装置1のアドレスが設定される。アドレス変更指示内のアドレス100bとしては、このアドレス変更指示を送信する通信装置1A自身のアドレスが設定される。暗号化の鍵は、応答がなかった通信装置1のアドレスを含むセッション情報内に含まれる。
Next, the address
次に、アドレス変更処理部111は、アドレス等を変更した旨の応答が返ったなら、暗号化規則情報記憶部103等に分けて記憶された、応答がなかった通信装置1のアドレスAD1を含むセッション情報内の通信装置1のアドレスAD1およびネットワークアドレスNA1を、ステップV17で送信したアドレス変更指示内のアドレス100bおよびアドレス100bを含むネットワークアドレス(すなわち自身のアドレスおよびネットワークアドレス)に変更し、また、暗号鍵交換部108は、鍵交換通信情報を用いて通信装置2の暗号鍵交換部28と交渉し、暗号通信に関する情報(シーケンス番号の初期値など)を含む暗号通信情報を生成して、暗号通信情報記憶部105に記憶させ(V19)、処理が終わる(END)。
Next, when a response indicating that the address or the like has been changed is returned, the address
図17は、通信装置2がアドレス変更指示を受信したときの動作を示すフローチャートである。
FIG. 17 is a flowchart showing an operation when the
暗号関連処理部27は、図16のステップV17で送信されたアドレス変更指示が受信されたなら(START)、このアドレス変更指示をセッション情報内の鍵で復号する(U21)。
When the address change instruction transmitted in step V17 of FIG. 16 is received (START), the encryption related
次に、アドレス変更処理部29は、復号されたアドレス変更指示内のアドレス100aが、暗号化規則情報記憶部23等に分けて記憶されたセッション情報内の通信装置1のアドレスAD1であるなら、そのセッション情報内の当該アドレスAD1およびネットワークアドレスNA1を、アドレス変更指示内のアドレス100bおよびアドレス100bを含むネットワークアドレスに変更し、また、暗号鍵交換部28は、鍵交換通信情報を用いて通信装置1の暗号鍵交換部108と交渉し、暗号通信に関する情報(シーケンス番号の初期値など)を含む暗号通信情報を生成して、暗号通信情報記憶部25に記憶させ(U23)、処理が終わる(END)。
Next, the address
したがって、第1の実施の形態において、通信装置1Aは、対象の通信装置1および相手の通信装置2の間の暗号通信を通信装置1から引き継ぐ通信装置であって、通信装置1を示すアドレスを含み且つ暗号通信に必要なシーケンス番号を除くセッション情報を受信し(図15:START)、通信装置1Aに設けられた記憶手段(暗号化規則情報記憶部103および鍵交換通信情報記憶部104)に記憶させる(ステップV1)セッション情報受信手段(回線インタフェース102とセッション情報受信部109A)と、通信装置2に記憶されたセッション情報における通信装置1を示すアドレスを通信装置2を示すアドレスに変更する旨のアドレス変更指示を通信装置2に送信する(ステップV17)とともに、当該記憶手段に記憶されたセッション情報における通信装置1を示すアドレスを通信装置1Aを示すアドレスに変更する(ステップV19)アドレス変更処理手段(回線インタフェース102とアドレス変更処理部111)と、相手の通信装置2と交渉して通信装置2との通信に必要なシーケンス番号の初期値を含む暗号通信情報を生成して記憶手段(暗号通信情報記憶部105)に記憶させる(ステップV19)暗号通信情報生成手段(回線インタフェース102と鍵交換部108)とを備えるので、通信装置1、1A間で暗号通信情報を送受信しておく必要がなく、通信装置1、1A間で送受信しておく情報の量を低減し且つ暗号通信の引き継ぎを可能にすることができる。
Therefore, in the first embodiment, the
また、シーケンス番号の初期値を含む暗号通信情報を生成するので、いわゆるオーバーフローとなりにくく、通信が切断される可能性を低減することができる。 Moreover, since the encrypted communication information including the initial value of the sequence number is generated, it is difficult to cause so-called overflow, and the possibility of communication being disconnected can be reduced.
なお、通信装置1、1A間において送受信しておくセッション情報に、本来なら頻繁に更新されるシーケンス番号を含む暗号通信情報が除かれているため、情報の量をより低減することができる。
In addition, since the encrypted communication information including the sequence number that is frequently updated is excluded from the session information transmitted / received between the
また、通信装置1Aは、通信装置1に対するポーリングを行い(ステップV11)、通信装置1から応答がなかったなら(ステップV13:NO)、アドレス変更指示が送信される(ステップV17)ように動作する状態監視手段(回線インタフェース102と状態監視部112)を備えるので、通信装置1の故障等の際に、暗号通信を引き継ぐことができる。
Further, the
[第2の実施の形態]
図18は、第2の実施の形態に係る通信システムの構成を示す図である。
[Second Embodiment]
FIG. 18 is a diagram illustrating a configuration of a communication system according to the second embodiment.
第1の実施の形態の通信システムと違い、ルータRに通信支援装置4(所謂サーバ)が接続されている。その他については、第1の実施の形態と同様である。
通信装置1は、第1の実施の形態と同様の構成(図2参照)となっている。
通信装置1Aは、第1の実施の形態と構成(図3参照)から状態監視部112を除いた構成となっている。
通信装置2は、第1の実施の形態と同様の構成(図4参照)となっている。
図19は、通信支援装置4の構成を示すブロック図である。
Unlike the communication system of the first embodiment, a communication support device 4 (so-called server) is connected to the router R. About others, it is the same as that of 1st Embodiment.
The
The
The
FIG. 19 is a block diagram illustrating a configuration of the
通信支援装置4は、回線インタフェース41、暗号化規則情報記憶部43、鍵交換通信情報記憶部44、暗号通信情報記憶部45、セッション情報送信部46、セッション情報受信部47、状態監視部48を備える。
The
回線インタフェース41は、セッション情報などの送受信を行う。
暗号化規則情報記憶部43には、パケットの暗号化、復号が必要か否かの判断に使用される暗号化規則情報が記憶される。
鍵交換通信情報記憶部44には、パケットの暗号化、復号に使用される鍵の生成、交換に必要な鍵交換通信情報が記憶される。
The
The encryption rule
The key exchange communication
暗号通信情報記憶部45には、パケットの暗号化、復号に使用される鍵やパケットの順番を示すシーケンス番号などを含む暗号通信情報が記憶される。
セッション情報送信部46は、暗号化規則情報記憶部43および鍵交換通信情報記憶部44に分けて記憶されるセッション情報を通信装置1Aに送信する。
The encrypted communication
The session
セッション情報受信部47は、通信装置1から送信されたセッション情報を暗号化規則情報記憶部43等に分けて記憶させる。
状態監視部48は、他の通信装置1の状態を監視し、故障などを検出する。
The session
The
図20は、暗号化規則情報記憶部43の構成を示す図である。
FIG. 20 is a diagram illustrating a configuration of the encryption rule
暗号化規則情報は、対象の通信装置から送信されるものであり、(1)対象の通信装置を含むサブネットワークを示すネットワークアドレスNA1と、(2)対象の通信装置の相手となっている通信装置2を含むサブネットワークを示すネットワークアドレスNA2と、(3)通信の方向と、(4)その方向の通信についての規則を定めたもの、の4つを含む。別の対象、別の相手、反対の通信の方向、別の規則などについては、別の暗号化規則情報が存在する。
The encryption rule information is transmitted from the target communication device, and (1) a network address NA1 indicating a sub-network including the target communication device, and (2) communication that is a partner of the target communication device. 4 includes a network address NA2 indicating a sub-network including the
図21は、鍵交換通信情報記憶部44の構成を示す図である。
FIG. 21 is a diagram illustrating a configuration of the key exchange communication
鍵交換通信情報は、対象の通信装置から送信されるものであり、(1)対象の通信装置において鍵交換通信情報を一意に示す識別情報、(2)対象の通信装置のアドレスAD1、(3)対象の通信装置の相手となっている通信装置2のアドレスAD2、(4)暗号化および復号の鍵を含む該鍵に関する情報、の4つを含む。別の対象、別の相手、別の鍵などについては、別の鍵交換通信情報が存在する。
The key exchange communication information is transmitted from the target communication device. (1) Identification information uniquely indicating the key exchange communication information in the target communication device, (2) Address AD1 of the target communication device (3 4) the address AD2 of the
図22は、暗号通信情報記憶部45の構成を示す図である。
FIG. 22 is a diagram illustrating a configuration of the encrypted communication
暗号通信情報は、対象の通信装置から送信されるものであり、(1)対象の通信装置において暗号通信情報を一意に示す識別情報、(2)対象の通信装置のアドレスAD1、(3)対象の通信装置の相手となっている通信装置2のアドレスAD2、(4)暗号通信に関する情報、の4つを含む。(4)の暗号通信に関する情報は、鍵やシーケンス番号を含む。別の対象、別の相手、別の鍵などについては、別の暗号通信情報が存在する。◎
なお、第1の実施の形態と同様に、図8に示した構成を有する情報をセッション情報という。
The encrypted communication information is transmitted from the target communication device. (1) Identification information uniquely indicating the encrypted communication information in the target communication device, (2) Address AD1 of the target communication device, (3)
Similar to the first embodiment, information having the configuration shown in FIG. 8 is referred to as session information.
(第2の実施の形態の動作)
図23は、第2の実施の形態の動作を示すシーケンス図である。
(Operation of Second Embodiment)
FIG. 23 is a sequence diagram illustrating the operation of the second embodiment.
ステップS1〜S5については、第1の実施の形態と同様なので、説明を省略する。
また、第1の実施の形態と同様に、通信装置1、2はセッション情報を記憶しておく。セッション情報には、通信装置1、2のアドレスが含まれる。
通信装置1は、通信装置1の故障などに備えて、セッション情報を通信支援装置4に送信する(S107)。通信支援装置4は、セッション情報を記憶しておく。
Since steps S1 to S5 are the same as those in the first embodiment, the description thereof is omitted.
Further, as in the first embodiment, the
The
第1の実施の形態と同様に、端末装置A、B間で双方向通信が行われる際(S111)、通信装置1、2間の通信が暗号通信となる。
通信装置1は、セッション情報が追加、変更または削除されるごとに、追加等された部分を含むセッション情報や削除の指示を通信支援装置4に送信する(S115)。
As in the first embodiment, when two-way communication is performed between the terminal devices A and B (S111), communication between the
Each time the session information is added, changed, or deleted, the
通信支援装置4は、通信装置1に対し、継続的にポーリングを行い(S117)、応答を受信する。
通信装置1が故障や輻輳した(S119)場合、通信装置1、2間および通信装置1、端末装置B間の通信が行えない(S121)。
The
When the
通信装置1の故障等により、通信支援装置4は応答を受信できないので、通信支援装置4は、故障等を検出することができる(S123)。
通信支援装置4は、故障等を検出したなら、記憶しておいたセッション情報とともに、図10に示した構成のアドレス変更指示を通信装置2に送信する旨の指示(送信指示200という)を通信装置1Aに送信する(S125)。
Since the
When the
図24は、この送信指示200の構成を示す図である。
FIG. 24 is a diagram showing a configuration of the
送信指示200は、アドレス201、202およびコマンド203を含む。コマンド203は、アドレス201を図10に示すアドレス100aとして、当該送信指示200を受信する通信装置のアドレスを図10のアドレス100bとしてそれぞれ含むアドレス変更指示100をアドレス202を有する通信装置に送信する旨のコマンドである。アドレス201としては、故障等した通信装置1のアドレスが設定される。アドレス202としては、該当のセッション情報において通信装置1の相手となっている通信装置2のアドレスが設定される。
The
図23に戻り、通信装置1Aは、この送信指示に基づいて、アドレス変更指示を通信装置2に送信する(S126)。アドレス変更指示内のアドレス100aとしては、送信指示内のアドレス201が設定され、アドレス変更指示内のアドレス100bとしては、通信装置1Aアドレスが設定される。通信装置2は、アドレス変更指示内のアドレス100aが、記憶しておいたセッション情報における通信装置1のアドレスAD1であるなら、そのアドレスAD1等をアドレス変更指示内のアドレス100a等に変更し、また、通信装置1Aも、送信されたセッション情報における、アドレス変更指示内のアドレス100aに等しいアドレスAD1等をアドレス変更指示内のアドレス100b等に変更し、また、通信装置1A、2は、互いに交渉し、暗号通信情報(シーケンス番号の初期値が含まれる)を新たに生成して記憶する(S127、S129)。
Returning to FIG. 23, the
こうして、端末装置A、B間で双方向通信が行われる際(S131)、パケットは通信装置1Aを経由し、通信装置1A、通信装置2間の通信が暗号通信となる。
Thus, when two-way communication is performed between the terminal devices A and B (S131), the packet passes through the
通信装置1は、第1の実施の形態と同様の流れで処理を行う(図11、図14参照)が、セッション情報送信部109が、セッション情報等を通信支援装置4に送信することが異なる(図14のステップT21が異なる)。
The
図25は、通信支援装置4が通信装置1からセッション情報等を受信したときの動作を示すフローチャートである。
FIG. 25 is a flowchart showing an operation when the
セッション情報受信部47は、回線インタフェース41がセッション情報等を受信したなら(START)、セッション情報を暗号化規則情報記憶部43等に分け、既存のセッション情報があれば上書きで、記憶させ、または、指示にしたがってセッション情報を削除し(W1)、処理が終わる。
If the
図26は、通信支援装置4がステップS125(図23)の送信指示等を送信するときの動作を示すフローチャートである。
FIG. 26 is a flowchart showing an operation when the
状態監視部48は、回線インタフェース41を介し、通信装置1に対し継続的にポーリングを行う(W11)。状態監視部48は、通信装置1から応答がなかったなら(W13:NO)、その旨をセッション情報送信部46に伝える。これにより、セッション情報送信部46は、応答しない通信装置1のアドレスに等しいアドレスAD1を含むセッション情報を暗号化規則情報記憶部43等から読み出す(W15)。つまり、応答しない通信装置1から送信されたセッション情報を読み出す。
The
次に、セッション情報送信部46は、読み出したセッション情報とともに、図24に示した構成の送信指示を、回線インタフェース41を介して、通信装置1Aに送信し(W17)、処理が終わる(END)。この送信指示内のアドレス201としては、応答しない通信装置1のアドレスが設定される。この送信指示内のアドレス202としては、読み出したセッション情報において通信装置1の相手となっている通信装置2のアドレスが設定される。送信先は、応答しない通信装置1のアドレスに予め対応づけて記憶しておいたアドレスを有する通信装置つまり通信装置1Aである。
Next, the session
通信装置1Aは、第1の実施の形態と同様に、セッション情報を受信し記憶等する(図15参照)が、セッション情報を通信支援装置4から受信することとが異なる。
As in the first embodiment, the
図27は、通信装置1AがステップS125(図23)/ステップW17(図26)の送信指示等を受信したときの動作を示すフローチャートである。
FIG. 27 is a flowchart showing an operation when the
アドレス変更処理部111は、図10に示した構成のアドレス変更指示を該当のセッション情報内の鍵で暗号化し、回線インタフェース102を介して、通信装置2に送信する(V117)。アドレス変更指示内のアドレス100aとしては、送信指示内のアドレス201が設定される。アドレス変更指示内のアドレス100bとしては、このアドレス変更指示を送信する通信装置1A自身のアドレスが設定される。暗号化の鍵は、送信されたセッション情報内に含まれる。
The address
次に、アドレス変更処理部111は、アドレス等を変更した旨の応答が返ったなら、送信されたセッション情報内の、アドレス変更指示内のアドレス100aに等しいアドレスNA1およびネットワークアドレスNA1を、アドレス変更指示内のアドレス100bおよびアドレス100bを含むネットワークアドレスに変更し、暗号化規則情報記憶部103等に分けて記憶させ、また、暗号鍵交換部108は、鍵交換通信情報を用いて通信装置2の暗号鍵交換部28と交渉し、暗号通信に関する情報(シーケンス番号の初期値など)を含む暗号通信情報を生成して、暗号通信情報記憶部105に記憶させ(V119)、処理が終わる(END)。
Next, when a response indicating that the address or the like has been changed is returned, the address
通信装置2は、第1の実施の形態と同様の流れで処理を行う(図13、図17参照)。つまり、通信装置2に記憶された通信装置1(故障等した通信装置1)のアドレスを含むセッション情報内の通信装置1のアドレスおよびネットワークアドレスが通信装置1Aのアドレスおよびネットワークアドレスに変更され、新たな暗号通信情報が生成、記憶される。
The
したがって、第2の実施の形態において、通信システムは、対象の通信装置1および相手の通信装置2の間の暗号通信を通信装置1から引き継ぐ通信装置1Aと該通信装置1Aとともに用いられる通信支援装置4とを含む通信システムであって、通信支援装置4は、通信装置1を示すアドレスを含み且つ暗号通信に必要なシーケンス番号を除くセッション情報を受信し(図25:START)、通信支援装置4に設けられた記憶手段(暗号化規則情報記憶部43および鍵交換通信情報記憶部44)に記憶させる(ステップW1)セッション情報受信手段(回線インタフェース41とセッション情報受信部47)と、当該記憶手段からセッション情報を読み出し、読み出したセッション情報とともに、通信装置2に記憶されたセッション情報における通信装置1を示すアドレスを通信装置1Aを示すアドレスに変更する旨のアドレス変更指示を通信装置2に送信する旨の送信指示を通信装置1Aに送信する(ステップW17)セッション情報送信手段(回線インタフェース41とセッション情報送信部46)を備え、通信装置1Aは、通信支援装置4から送信されたセッション情報を通信装置1Aに設けられた記憶手段(暗号化規則情報記憶部103および鍵交換通信情報記憶部104)に記憶させる(ステップV1)セッション情報受信手段(回線インタフェース102とセッション情報受信部109A)と、送信指示に基づいて、通信装置2に記憶されたセッション情報における通信装置1を示すアドレスを通信装置1Aを示すアドレスに変更する旨のアドレス変更指示を通信装置2に送信する(ステップV117)とともに、当該記憶手段に記憶されたセッション情報における通信装置1を示すアドレスを通信装置1Aを示すアドレスに変更する(ステップV119)アドレス変更処理手段(回線インタフェース102とアドレス変更処理部111)と、相手の通信装置2と交渉して通信装置2との通信に必要なシーケンス番号の初期値を含む暗号通信情報を生成して記憶手段(暗号通信情報記憶部105)に記憶させる(ステップV119)暗号通信情報生成手段(回線インタフェース102と鍵交換部108)とを備えるので、通信装置1と通信支援装置4間で暗号通信情報を送受信しておく必要がなく、通信装置1と通信支援装置4間で送受信しておく情報の量を低減し且つ暗号通信の引き継ぎを可能にすることができる。
Therefore, in the second embodiment, the communication system includes a
また、シーケンス番号の初期値を含む暗号通信情報を生成するので、いわゆるオーバーフローとなりにくく、通信が切断される可能性を低減することができる。 Moreover, since the encrypted communication information including the initial value of the sequence number is generated, it is difficult to cause so-called overflow, and the possibility of communication being disconnected can be reduced.
なお、通信装置1、1A間において送受信しておくセッション情報に、本来なら頻繁に更新されるシーケンス番号を含む暗号通信情報が除かれているため、情報の量をより低減することができる。
In addition, since the encrypted communication information including the sequence number that is frequently updated is excluded from the session information transmitted / received between the
また、通信支援装置4は、通信装置1に対するポーリングを行い(ステップW11)、通信装置1から応答がなかったなら(ステップW13:NO)、セッション情報と送信指示が送信される(ステップW17)ように動作する状態監視手段(回線インタフェース41と状態監視部48)を備えるので、通信装置1の故障等の際に、暗号通信を引き継ぐことができる。
Further, the
[第3の実施の形態]
図28は、第3の実施の形態に係る通信システムの構成を示す図である。
[Third Embodiment]
FIG. 28 is a diagram illustrating a configuration of a communication system according to the third embodiment.
第2の実施の形態の通信システムと違い、ルータRには通信支援装置4Aが接続されている。また、通信装置1Aつまり、通常は暗号通信を行わずに待機している通信装置はなく、通信装置1が他の通信装置1の通信を引き継ぐようになっている。その他については、第2の実施の形態と同様である。
通信装置1は、第1、2の実施の形態と同様の構成(図2参照)となっている。
通信装置2は、第1、2の実施の形態と同様の構成(図4参照)となっている。
Unlike the communication system of the second embodiment, a
The
The
図29は、通信支援装置4Aの構成を示すブロック図である。
FIG. 29 is a block diagram showing a configuration of the
通信支援装置4Aは、通信支援装置4の各構成要素に加え、各通信装置1に関する通信装置管理情報が記憶される通信装置管理情報記憶部42を備える。なお、通信支援装置4の各構成要素については、重複となるので、説明を省略する。
4 A of communication assistance apparatuses are provided with the communication apparatus management
図30は、通信装置管理情報記憶部42の構成を示す図である。
FIG. 30 is a diagram illustrating a configuration of the communication device management
通信装置管理情報は、(1)対象の通信装置1のアドレス(監視IP)、(2)対象の通信装置1が暗号通信を行うこととなっている通信装置2の数(N)、(3)対象の通信装置1が許容できる数(N)の最大数(Nmax)、の3つを含む。
The communication device management information includes (1) the address (monitor IP) of the
(第3の実施の形態の動作)
図31は、第3の実施の形態の動作を示すシーケンス図である。
(Operation of the third embodiment)
FIG. 31 is a sequence diagram illustrating the operation of the third embodiment.
第2の実施の形態と違い、通信装置1の故障等(S119)により、通信支援装置4Aが、故障等を検出した(S123)なら、通信支援装置4Aは、故障等した通信装置1の通信を引き継ぐことができる他の通信装置1に対し、ステップS125の送信指示等を送信する。また、故障等した通信装置1が複数の通信を行っており、これらを1つの通信装置1で引き継ぐことができないなら、例えば、2つの通信装置1の一方に対し、一部の通信に関して送信指示等を送信し(S125)、他方の通信装置1に対し、残りの通信に関して送信指示等を送信する(S125)。例えば、故障等した通信装置1が2つの通信装置2と暗号通信していたなら、一方の通信装置1は一方の通信装置2と暗号通信を行い、他方の通信装置1は他方の通信装置2と暗号通信を行うこととなる。つまり、故障等した通信装置1の通信が引き継がれる。
Unlike the second embodiment, if the
その際、通信装置1は、第2の実施の形態と同様の流れで処理を行う。また、通信装置1は、第2の実施の形態の通信装置1Aと同様の流れで処理を行う(図27参照)。
At that time, the
また、通信装置2は、第1の実施の形態と同様の流れで処理を行う(図13、図17参照)。
Further, the
図32は、通信支援装置4Aが通信装置1からセッション情報等を受信したときの動作を示すフローチャートである。
FIG. 32 is a flowchart showing an operation when the
セッション情報受信部47は、第2の実施の形態と同様に(図25参照)、セッション情報を暗号化規則情報記憶部43等に記憶させ、または、指示にしたがってセッション情報を削除する(W1)。
As in the second embodiment (see FIG. 25), the session
次に、セッション情報受信部47は、今回の送信元である通信装置1のアドレスに等しいアドレスAD1を含むセッション情報の数、つまり、暗号通信を行うこととなっている通信装置2の数(N)を計算し、通信装置管理情報記憶部42における該当の数(N)を更新し(W3)、処理が終わる。
Next, the session
図33は、通信支援装置4AがステップS125(図31)の送信指示等を送信するときの動作を示すフローチャートである。
FIG. 33 is a flowchart showing an operation when the
セッション情報送信部46は、第2の実施の形態と同様に(図26参照)、通信装置1から応答がなかったなら(W13:NO)応答しない通信装置1のアドレスに等しいアドレスAD1を含むセッション情報を暗号化規則情報記憶部43等から読み出す(W15)。
As in the second embodiment (see FIG. 26), the session
セッション情報送信部46は、読み出したセッション情報に1以上の故障等していない通信装置1を割り当てる(W16)。つまり、セッション情報送信部46は、セッション情報に送信先を割り当てる。
The session
具体的には、読み出したセッション情報の数に合計が等しくなるような1個以上の数mを生成し、各数mに通信装置1(故障等していない通信装置1)を割り当て、該通信装置1のアドレスを含む通信装置管理情報内の数(N)および最大数(Nmax)を通信装置管理情報記憶部42から読み出し、数mと数(N)の和が最大数(Nmax)以下となるようにする。
Specifically, one or more numbers m such that the total is equal to the number of read session information are generated, and a communication device 1 (
仮に、故障等していない通信装置1が、2つ存在し、一方の通信装置1のアドレスを含む通信装置管理情報内の数(N)が100(N=100)であり且つ最大数(Nmax)が1000(Nmax=1000)であり、他方の通信装置1のアドレスを含む通信装置管理情報内の数(N)が200(N=200)であり且つ最大数(Nmax)が3000(Nmax=3000)であるとする。また、仮に、読み出したセッション情報の数が1000個であったとする。
If there are two
この場合、セッション情報送信部46は、2個の数mの一方である数m1「500」および他方の数mである数m2「500」を生成し、数m1「500」を前述の一方の通信装置1に割り当て、数m2「500」を前述の他方の通信装置1に割り当てる。
In this case, the session
数m1「500」と数(N=100)の和は「600」であり、和が最大数Nmax「1000」以下という条件が満たされる。また、数m2「500」と数(N=200)の和は「700」であり、和が最大数Nmax「3000」以下という条件が満たされる。 The sum of the number m1 “500” and the number (N = 100) is “600”, and the condition that the sum is not more than the maximum number Nmax “1000” is satisfied. The sum of the number m2 “500” and the number (N = 200) is “700”, and the condition that the sum is equal to or less than the maximum number Nmax “3000” is satisfied.
次に、セッション情報送信部46は、例えば、前述の例で説明すれば、一方の通信装置1については、該通信装置1に割り当てたセッション情報とともに、図24に示した構成の送信指示を当該一方の通信装置1に送信する(W17)。この送信指示内のアドレス201としては、一方の通信装置1のアドレスが設定される。この送信指示内のアドレス202としては、読み出したセッション情報において一方の通信装置1の相手となっている通信装置2のアドレスが設定される。また、他方の通信装置1についても同様とし(W17)、処理が終わる(END)。
Next, for example, as described in the above example, the session
したがって、第3の実施の形態において、通信支援装置4Aのセッション情報受信手段を構成するセッション情報受信部47は、暗号通信を引き継ぐ通信装置1における相手の通信装置2の数(N)を計算し、当該数(N)を通信支援装置4Aに設けられた記憶手段(通信装置管理情報記憶部42)に記憶させ(ステップW3)、セッション情報送信手段を構成するセッション情報送信部46は、当該記憶手段に記憶された相手の通信装置の数(N)と暗号通信を引き継ぐ通信装置1に送信されるセッション情報の数の和が予め定めた数(最大数(Nmax))以下になるように動作する(ステップW16)ので、暗号通信を行う通信装置1が別の暗号通信を行う通信装置1から暗号通信を引き継ぐことが可能になる。
Therefore, in the third embodiment, the session
以上、各実施の形態について説明したが、以下のような態様を採用してもよい。 Although each embodiment has been described above, the following aspects may be adopted.
(1)例えば、第3の実施の形態において、複数の通信装置1の中には、通常は待機している通信装置1(つまり第1の実施の形態等における通信装置1A)があってもよい。
(1) For example, in the third embodiment, even if there is a
(2)また、第3の実施の形態においては、ある通信装置1の通信を意図的に停止させる必要がある場合、例えば、通信装置1のファームウェアの更新が必要な場合、通信支援装置4Aを操作等で、図33のステップW15以降の処理を実行させればよい。故障等が契機ではないが、結果としては、通信装置1の通信が全て引き継がれ、通信装置1を停止することができるようになる。
(2) In the third embodiment, when it is necessary to intentionally stop the communication of a
(3)また、通信装置1において負荷が小さくなったとき、その通信装置1への電力供給を絶って節電をすべく、その通信装置1の通信を、許容できる負荷までに余裕のある通信装置1が引き継いでもよい。また、このようにして、複数の通信装置1の通信を1つの通信装置1に集約してもよい。
(3) In addition, when the load in the
(4)また、例えば、通信装置1において大きくなった負荷を小さくすべく、その通信装置1から、他の稼動中の通信装置1や待機中の通信装置(通信装置1A)や通信支援装置4、4Aなどに対し、通信の引き継ぎを依頼し、これを契機に通信を引き継いでもよい。
(4) Further, for example, in order to reduce the load that has increased in the
(5)また、通信支援装置4、4Aなどの機能を通信装置1や待機中の通信装置(通信装置1A)に持たせ、通信支援装置4、4Aを設けないでもよい。
(5) Further, the
なお、各実施の形態における通信システムや通信装置を汎用コンピュータやファームウェアで実現するためのコンピュータプログラムは、半導体メモリ、磁気ディスク、光ディスク、光磁気ディスク、磁気テープなどのコンピュータ読み取り可能な記録媒体に格納し、陳列などして流通させることができる。または、当該コンピュータプログラムをインターネットなどの通信網を介して伝送させてもよい。 A computer program for realizing the communication system and communication device in each embodiment by a general-purpose computer or firmware is stored in a computer-readable recording medium such as a semiconductor memory, a magnetic disk, an optical disk, a magneto-optical disk, or a magnetic tape. And can be distributed for display. Alternatively, the computer program may be transmitted via a communication network such as the Internet.
1、1A、2…通信装置
3、N…ネットワーク
4、4A…通信支援装置
21、22、41、101、102…回線インタフェース
23、43、103…暗号化規則情報記憶部
24、44、104…鍵交換通信情報記憶部
25、45、105…暗号通信情報記憶部
26、106…暗号関連処理適用判断部
27、107…暗号関連処理部
28、108…暗号鍵交換部
29、111…アドレス変更処理部
42…通信装置管理情報記憶部
46、109…セッション情報送信部
47、109A…セッション情報受信部
48、112…状態監視部
100…アドレス変更指示
200…送信指示
DESCRIPTION OF
Claims (5)
前記対象の通信装置を示すアドレスを含み且つ前記暗号通信に必要なシーケンス番号を除くセッション情報を受信し、前記引き継ぐ通信装置に設けられた記憶手段に記憶させるセッション情報受信手段と、
前記相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を前記相手の通信装置に送信するとともに、当該記憶手段に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更するアドレス変更処理手段と、
前記相手の通信装置と交渉して当該相手の通信装置との通信に必要なシーケンス番号の初期値を含む暗号通信情報を生成して当該記憶手段に記憶させる暗号通信情報生成手段とを備えることを特徴とする通信装置。 A communication device that takes over encrypted communication between a target communication device and a counterpart communication device from the target communication device,
Session information receiving means for receiving session information including an address indicating the target communication apparatus and excluding a sequence number necessary for the encrypted communication, and storing the session information in a storage means provided in the takeover communication apparatus;
An address change instruction for changing the address indicating the target communication device in the session information stored in the counterpart communication device to the address indicating the takeover communication device is transmitted to the counterpart communication device, and the storage means Address change processing means for changing an address indicating a target communication device in the stored session information to an address indicating the communication device to be taken over;
Comprising encrypted communication information generating means for negotiating with the counterpart communication apparatus and generating encrypted communication information including an initial value of a sequence number necessary for communication with the counterpart communication apparatus and storing the encrypted communication information in the storage means. A communication device.
前記通信支援装置は、
前記対象の通信装置を示すアドレスを含み且つ前記暗号通信に必要なシーケンス番号を除くセッション情報を受信し、前記通信支援装置に設けられた記憶手段に記憶させるセッション情報受信手段と、
当該記憶手段からセッション情報を読み出し、読み出したセッション情報とともに、前記相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を前記相手の通信装置に送信する旨の送信指示を前記引き継ぐ通信装置に送信するセッション情報送信手段とを備え、
前記引き継ぐ通信装置は、
前記通信支援装置から送信されたセッション情報を当該引き継ぐ通信装置に設けられた記憶手段に記憶させるセッション情報受信手段と、
前記送信指示に基づいて、前記相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を前記相手の通信装置に送信するとともに、当該記憶手段に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更するアドレス変更処理手段と、
前記送信指示に基づいて、前記相手の通信装置と交渉して当該相手の通信装置との通信に必要なシーケンス番号の初期値を含む暗号通信情報を生成して当該記憶手段に記憶させる暗号通信情報生成手段とを備えることを特徴とする通信システム。 A communication system including a communication device that takes over encrypted communication between a target communication device and a partner communication device from the target communication device, and a communication support device used together with the communication device,
The communication support device includes:
Session information receiving means for receiving session information including an address indicating the target communication apparatus and excluding a sequence number necessary for the encrypted communication, and storing the session information in a storage means provided in the communication support apparatus;
Read session information from the storage means, and together with the read session information, an address change instruction to change the address indicating the target communication device in the session information stored in the counterpart communication device to the address indicating the takeover communication device Session information transmission means for transmitting to the communication device that takes over a transmission instruction to transmit to the other communication device,
The communication device taking over is
Session information receiving means for storing the session information transmitted from the communication support apparatus in a storage means provided in the communication apparatus that takes over,
Based on the transmission instruction, an address change instruction is transmitted to the partner communication apparatus to change the address indicating the target communication apparatus in the session information stored in the partner communication apparatus to the address indicating the takeover communication apparatus. And address change processing means for changing the address indicating the target communication device in the session information stored in the storage means to the address indicating the communication device to be taken over,
Based on the transmission instruction, the encrypted communication information that is negotiated with the counterpart communication device, generates encrypted communication information including an initial value of a sequence number necessary for communication with the counterpart communication device, and is stored in the storage means A communication system comprising: generating means.
前記対象の通信装置に対するポーリングを行い、当該通信装置から応答がなかったなら、前記セッション情報と前記送信指示が送信されるように動作する状態監視手段を備えることを特徴とする請求項3記載の通信システム。 The communication support device includes:
4. The apparatus according to claim 3, further comprising state monitoring means that performs polling on the target communication device and operates so that the session information and the transmission instruction are transmitted if there is no response from the communication device. Communications system.
前記引き継ぐ通信装置における相手の通信装置の数を計算し、当該相手の通信装置の数を前記通信支援装置に設けられた記憶手段に記憶させ、
前記セッション情報送信手段は、
当該記憶手段に記憶された相手の通信装置の数と前記引き継ぐ通信装置に送信されるセッション情報の数の和が予め定めた数以下になるように動作することを特徴とする請求項3または4記載の通信システム。 Session information receiving means of the communication support device,
Calculate the number of counterpart communication devices in the takeover communication device, and store the number of counterpart communication devices in the storage means provided in the communication support device,
The session information transmission means includes
5. The operation according to claim 3, wherein the sum of the number of partner communication devices stored in the storage means and the number of session information transmitted to the succeeding communication device is equal to or less than a predetermined number. The communication system described.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009133215A JP2010283450A (en) | 2009-06-02 | 2009-06-02 | Communication apparatus, and communication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009133215A JP2010283450A (en) | 2009-06-02 | 2009-06-02 | Communication apparatus, and communication system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010283450A true JP2010283450A (en) | 2010-12-16 |
Family
ID=43539839
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009133215A Pending JP2010283450A (en) | 2009-06-02 | 2009-06-02 | Communication apparatus, and communication system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2010283450A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015177430A (en) * | 2014-03-17 | 2015-10-05 | 日本電気株式会社 | Tunnel endpoint device, communication device, communication system, communication method and program |
-
2009
- 2009-06-02 JP JP2009133215A patent/JP2010283450A/en active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015177430A (en) * | 2014-03-17 | 2015-10-05 | 日本電気株式会社 | Tunnel endpoint device, communication device, communication system, communication method and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI454112B (en) | Key management for communication networks | |
JP4159328B2 (en) | Network, IPsec setting server device, IPsec processing device, and IPsec setting method used therefor | |
US20180063079A1 (en) | Secure Tunnels for the Internet of Things | |
US20100138649A1 (en) | Transmission of packet data over a network with security protocol | |
JP5364796B2 (en) | Encryption information transmission terminal | |
EP2779589A2 (en) | Changing dynamic group VPN member reachability information | |
US11962685B2 (en) | High availability secure network including dual mode authentication | |
CN113726795B (en) | Message forwarding method and device, electronic equipment and readable storage medium | |
US8131994B2 (en) | Dual cryptographic keying | |
US20160066354A1 (en) | Communication system | |
JP2002217896A (en) | Method for cipher communication and gateway device | |
US20120254617A1 (en) | Method and system for establishing security connection between switch equipments | |
JP2011176395A (en) | IPsec COMMUNICATION METHOD AND IPsec COMMUNICATION SYSTEM | |
JP3563714B2 (en) | Network connection device | |
JP2006019975A (en) | Cipher packet communication system, receiving device and transmitting device with which same is equipped , and communication method, receiving method, transmitting method, receiving program and transmitting program for cipher packet which are applied thereto | |
JP6407598B2 (en) | Relay device, relay method, and relay program | |
US20110067089A1 (en) | method for switching a mobile terminal from a first access router to a second access router | |
WO2009109133A1 (en) | Method and apparatus for recovering the connection | |
TW201210295A (en) | Communication system, communication device, communication method, and computer program | |
JP5795591B2 (en) | Service flow encryption processing method and system | |
CN102469063B (en) | Routing protocol security alliance management method, Apparatus and system | |
CN115733683A (en) | Method for realizing Ethernet link self-organizing encryption tunnel by adopting quantum key distribution | |
JP2010283450A (en) | Communication apparatus, and communication system | |
CN115277200B (en) | Multi-node key auto-negotiation management method for link layer transparent encryption system | |
CN116112202A (en) | Method for realizing encryption and decryption of Ethernet data by adopting self-learning self-organizing mode |