JP2016025478A - Relay device, relay method, and relay program - Google Patents

Relay device, relay method, and relay program Download PDF

Info

Publication number
JP2016025478A
JP2016025478A JP2014148312A JP2014148312A JP2016025478A JP 2016025478 A JP2016025478 A JP 2016025478A JP 2014148312 A JP2014148312 A JP 2014148312A JP 2014148312 A JP2014148312 A JP 2014148312A JP 2016025478 A JP2016025478 A JP 2016025478A
Authority
JP
Japan
Prior art keywords
port
communication
state
link
attribute
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014148312A
Other languages
Japanese (ja)
Other versions
JP6407598B2 (en
Inventor
広康 寳來
Hiroyasu Horai
広康 寳來
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Seiko Solutions Inc.
Original Assignee
Seiko Solutions Inc.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Seiko Solutions Inc. filed Critical Seiko Solutions Inc.
Priority to JP2014148312A priority Critical patent/JP6407598B2/en
Publication of JP2016025478A publication Critical patent/JP2016025478A/en
Application granted granted Critical
Publication of JP6407598B2 publication Critical patent/JP6407598B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Abstract

PROBLEM TO BE SOLVED: To provide a relay device, a relay method and a relay program that make difficult eavesdropping.SOLUTION: A relay device 100 includes a detector 114 for detecting change from the linking-up state where communication has been established to the linking-down state where communication has not been established between at least one port 140 and a communication device 200 connected therewith, an attribute setting section 112 for setting the attributes indicating to perform non-encrypted communication in a port 140, to which non-encrypted data flows, out of the at least one port 140, and a port control section 113 for bringing the port 140, in which the attributes indicating to perform non-encrypted communication is set by the attribute setting section 112, into unavailable state, when the detector 114 detects change from the linking-up state to the linking-down state.SELECTED DRAWING: Figure 3

Description

本発明は、中継装置、中継方法、及び中継プログラムに関する。   The present invention relates to a relay device, a relay method, and a relay program.

通信装置(例えば、サーバとPCとの)間のデータ通信を中継する中継装置が広く用いられている。
中継装置には、平文のデータを暗号化する暗号化機能と、暗号文のデータを復号化する復号化機能と、を備えた暗号化・復号化機能を有するものもある。例えば、特許文献1には、暗号化・復号化機能を有する中継装置として、リピータが開示されている。 A relay device that relays data communication between communication devices (for example, a server and a PC) is widely used.
Some relay apparatuses have an encryption / decryption function including an encryption function for encrypting plaintext data and a decryption function for decrypting ciphertext data. For example, Patent Document 1 discloses a repeater as a relay apparatus having an encryption / decryption function.

特開2010−135979号公報JP 2010-135799 A

特許文献1に記載の中継装置は複数のポートを備え、このポートに接続可能なケーブル(例えば、LANケーブルなど)により、データ通信を中継する。中継装置は、暗号化・復号化機能を有する場合、その設定に応じて、送信元の通信装置から受信した暗号文のデータを復号化して、送信先の通信装置に平文のデータを送信する。この場合、例えば、悪意ある者が、平文のデータが流れるポートに接続されたケーブルの接続先を物理的に変更することにより、データが盗聴されてしまう虞がある。
このことから、データの盗聴を防ぐことが可能な中継装置が所望されている。 The relay device described in Patent Literature 1 includes a plurality of ports, and relays data communication using a cable (for example, a LAN cable) connectable to the ports. When the relay device has an encryption / decryption function, the relay device decrypts ciphertext data received from the transmission source communication device according to the setting, and transmits plaintext data to the transmission destination communication device. In this case, for example, when a malicious person physically changes the connection destination of a cable connected to a port through which plaintext data flows, there is a possibility that the data is wiretapped.
Therefore, a relay device that can prevent data eavesdropping is desired.

本発明は、このような実情に鑑みてなされたものであり、データの盗聴を困難にする中継装置、中継方法及び、中継プログラムを提供することを目的とする。   The present invention has been made in view of such circumstances, and an object thereof is to provide a relay device, a relay method, and a relay program that make it difficult to wiretap data.

上記目的を達成するために、本発明の第1の観点に係る中継装置は、
少なくとも1つのポートと該ポートに接続されている通信装置との間において、通信が確立しているリンクアップの状態から通信が確立していないリンクダウンの状態への変化を検出する検出手段と、
前記少なくとも1つのポートのうち、暗号化されていないデータが流れるポートに、非暗号化通信を行うことを示す属性を設定する属性設定手段と、
前記属性設定手段が前記非暗号化通信を行うことを示す属性を設定したポートに対して、前記検出手段が前記リンクアップの状態から前記リンクダウンの状態への変化を検出した場合、該ポートを利用不可の状態にするポート制御手段と、
を備えたことを特徴とする。 In order to achieve the above object, a relay device according to the first aspect of the present invention provides:
Detecting means for detecting a change from a link-up state in which communication is established to a link-down state in which communication is not established between at least one port and a communication device connected to the port;
Attribute setting means for setting an attribute indicating performing unencrypted communication to a port through which unencrypted data flows among the at least one port;
If the detection means detects a change from the link-up state to the link-down state with respect to the port in which the attribute setting means sets an attribute indicating that the unencrypted communication is performed, the port is A port control means for disabling,
It is provided with.

本発明の第2の観点に係る中継方法は、
ポートと該ポートに接続されている通信装置との間において、リンクアップの状態からリンクダウンの状態への変化を検出し、
暗号化されていないデータが流れるポートに非暗号化通信を行うことを示す属性を設定し、
非暗号化通信を行うことを示す属性が設定されたポートに対して、リンクアップの状態からリンクダウンの状態への変化を検出した場合に、該ポートを利用不可の状態に制御する。 The relay method according to the second aspect of the present invention is:
Detecting a change from a link-up state to a link-down state between a port and a communication device connected to the port;
Set an attribute indicating that unencrypted communication is performed on the port through which unencrypted data flows,
When a change from a link-up state to a link-down state is detected for a port in which an attribute indicating non-encrypted communication is set, the port is controlled to an unusable state.

本発明の第3の観点に係る中継プログラムは、
通信用のポートを備えるコンピュータに、
ポートと該ポートに接続されている通信装置との間において、リンクアップの状態からリンクダウンの状態への変化を検出する処理、
暗号化されていないデータが流れるポートに非暗号化通信を行うことを示す属性を設定する処理、
非暗号化通信を行うことを示す属性が設定されたポートに対して、リンクアップの状態からリンクダウンの状態への変化を検出した場合に、該ポートを利用不可の状態に制御する処理、
を実行させる。 The relay program according to the third aspect of the present invention is:
To a computer with a communication port,
A process for detecting a change from a link-up state to a link-down state between a port and a communication device connected to the port;
A process for setting an attribute indicating that unencrypted communication is performed on a port through which unencrypted data flows,
When a change from a link-up state to a link-down state is detected for a port for which an attribute indicating performing unencrypted communication is set, a process of controlling the port to an unusable state;
Is executed.

本発明によれば、データの盗聴を困難にすることができる。   According to the present invention, wiretapping of data can be made difficult.

本発明の実施形態に係る中継装置とこの中継装置に接続された通信装置とから構成される通信システムの構成図。The block diagram of the communication system comprised from the relay apparatus which concerns on embodiment of this invention, and the communication apparatus connected to this relay apparatus. 本発明の実施形態に係る中継装置のハードウェア構成図。The hardware block diagram of the relay apparatus which concerns on embodiment of this invention. 本発明の実施形態に係る中継装置の機能ブロック図。The functional block diagram of the relay apparatus which concerns on embodiment of this invention. 識別情報記憶部の構成例を示す図。The figure which shows the structural example of an identification information storage part. (a)初期状態における属性記憶部の構成例を示す図。(b)通信属性自動設定処理及び、ポート制御処理を実行した後における属性記憶部の構成例を示す図。(A) The figure which shows the structural example of the attribute memory | storage part in an initial state. (B) The figure which shows the structural example of the attribute memory | storage part after performing a communication attribute automatic setting process and a port control process. (a)中継装置が通信装置に送信するARPリクエストの構成例を示す図。(b)通信装置が中継装置に送信するARPレスポンスの構成例を示す図。(A) The figure which shows the structural example of the ARP request which a relay apparatus transmits to a communication apparatus. (B) The figure which shows the structural example of the ARP response which a communication apparatus transmits to a relay apparatus. 通信属性自動設定処理を示すフローチャート。The flowchart which shows a communication attribute automatic setting process. 利用可否設定変更処理を示すフローチャート。The flowchart which shows use availability setting change processing. ポート制御処理を示すフローチャート。The flowchart which shows a port control process.

以下、本発明の実施形態に係る中継装置、中継装置及び中継プログラムについて、図面を参照して説明する。   Hereinafter, a relay device, a relay device, and a relay program according to an embodiment of the present invention will be described with reference to the drawings.

本実施の形態に係る中継装置100は、サーバ装置やクライアント装置等の通信装置を接続するための複数のポートを備える装置であり、図1に示すように、接続された通信装置200(200a〜200x)間の通信を中継する。   The relay device 100 according to the present embodiment is a device having a plurality of ports for connecting communication devices such as a server device and a client device, and as shown in FIG. 200x).

中継装置100は、通信データを暗号化又は復号化する機能を有しており、設定に応じて、受信データを復号化し、特定のポートから暗号化されていない平文のデータを出力する。このとき、悪意ある者がそのポートの接続先を物理的に変更して、平文のデータを流出させることがないように、中継装置100は、平文のデータが流れるポートについて、例えばLANケーブルが物理的に外されたことによりリンクダウンした際に、そのポートを利用不可の状態に設定する。   The relay device 100 has a function of encrypting or decrypting communication data, decrypts received data according to settings, and outputs unencrypted plaintext data from a specific port. At this time, in order to prevent a malicious person from physically changing the connection destination of the port and causing plaintext data to flow out, the relay device 100 uses, for example, a LAN cable for the port through which plaintext data flows. When the link goes down due to being removed, the port is set to an unusable state.

中継装置100は、図2に示すように、制御部110と、記憶部120と、メモリ130と、ポート140と、管理インタフェース150と、から構成され、これら各部はバス160により接続されている。   As shown in FIG. 2, the relay device 100 includes a control unit 110, a storage unit 120, a memory 130, a port 140, and a management interface 150, and these units are connected by a bus 160.

制御部110は、CPU(Central Processing Unit)等から構成され、記憶部120内の各種プログラムを実行することにより、中継装置100の全体動作を制御する。   The control unit 110 includes a CPU (Central Processing Unit) and the like, and controls the overall operation of the relay device 100 by executing various programs in the storage unit 120.

記憶部120は、フラッシュROM(Read Only Memory)等から構成される不揮発性メモリであり、プログラム領域とデータ領域とを有する。記憶部120のデータ領域には、図4に示す識別情報記憶部121や図5に示す属性記憶部122等が格納される。記憶部120のプログラム領域には、後述する図7〜図9に示す動作手順に応じて本実施形態を実現するためのプログラムや、通信データを暗号化及び復号化する暗号化・復号化機能を実現するためのプログラムが格納される。   The storage unit 120 is a non-volatile memory including a flash ROM (Read Only Memory) or the like, and has a program area and a data area. In the data area of the storage unit 120, the identification information storage unit 121 shown in FIG. 4 and the attribute storage unit 122 shown in FIG. 5 are stored. The program area of the storage unit 120 includes a program for realizing the present embodiment in accordance with operation procedures shown in FIGS. 7 to 9 described later, and an encryption / decryption function for encrypting and decrypting communication data. A program to be realized is stored.

メモリ130は、RAM(Random Access Memory)等から構成される揮発性メモリであり、CPUが処理を行う際に使用する作業領域を有する。   The memory 130 is a volatile memory including a RAM (Random Access Memory) or the like, and has a work area used when the CPU performs processing.

ポート140は、LANポートやシリアルポート等から構成されるネットワークインタフェースであり、それぞれケーブルを介して、通信装置200と接続される。本実施形態では、理解を容易にするために、ポート140をn個とし、いずれかのポート140を特定する必要がある場合には、ポートi(iはn以下の自然数)と呼ぶ。各ポート140にはそれぞれ固有のポート番号が付されているため、中継装置100の各部は、ポート番号によりそれぞれのポート140を識別することができる。ポート140は、中継装置100に1個または複数個備えられている。   The port 140 is a network interface including a LAN port, a serial port, and the like, and is connected to the communication device 200 via a cable. In this embodiment, in order to facilitate understanding, when there are n ports 140 and any one of the ports 140 needs to be specified, it is called a port i (i is a natural number equal to or less than n). Since each port 140 is assigned a unique port number, each unit of the relay apparatus 100 can identify each port 140 by the port number. One or a plurality of ports 140 are provided in the relay device 100.

管理インタフェース150は、シリアルポートであり、各ポート140を管理するための設定情報を登録・更新する操作を受け付ける管理端末(コンピュータ)を接続する。   The management interface 150 is a serial port, and connects a management terminal (computer) that accepts an operation for registering / updating setting information for managing each port 140.

制御部110は、記憶部120に格納されているプログラムを読み出し、メモリ130に展開した後、そのプログラムに従って中継装置100を制御する。これにより、図2に示す各部は協働して、図3の機能ブロック図に示すような、取得部111、属性設定部112、ポート制御部113及び、検出部114として機能する。また、記憶部120は、識別情報記憶部121と、属性記憶部122と、を備える。   The control unit 110 reads the program stored in the storage unit 120 and develops it in the memory 130, and then controls the relay device 100 according to the program. Accordingly, the units illustrated in FIG. 2 function together as the acquisition unit 111, the attribute setting unit 112, the port control unit 113, and the detection unit 114 as illustrated in the functional block diagram of FIG. The storage unit 120 includes an identification information storage unit 121 and an attribute storage unit 122.

識別情報記憶部121は、図4に示すように、通信装置200の機器識別情報と、暗号化/非暗号化識別情報と、を紐付けて記憶するものである。機器識別情報は、例えば、MAC(Media Access Control)アドレス、IP(Internet Protocol)アドレス等、中継装置100に接続された通信装置200を一意に識別することができる情報のことである。暗号化/非暗号化識別情報は、中継装置100が通信装置200とデータを送受信する際に、暗号化通信を行うか非暗号化通信(平文での通信)を行うか否かを示す情報であり、「1」は非暗号化通信を行うことを示し、「0」は暗号化通信を行うことを示す。
管理者は、管理インタフェース150に接続された管理端末を操作し、機器識別情報と暗号化/非暗号化識別情報とを識別情報記憶部121にあらかじめ設定しておく。 As shown in FIG. 4, the identification information storage unit 121 stores the device identification information of the communication device 200 and the encrypted / unencrypted identification information in association with each other. The device identification information is information that can uniquely identify the communication device 200 connected to the relay device 100, such as a MAC (Media Access Control) address and an IP (Internet Protocol) address. The encrypted / unencrypted identification information is information indicating whether to perform encrypted communication or non-encrypted communication (communication in plain text) when the relay device 100 transmits / receives data to / from the communication device 200. Yes, “1” indicates that unencrypted communication is performed, and “0” indicates that encrypted communication is performed.
The administrator operates a management terminal connected to the management interface 150 to set device identification information and encrypted / unencrypted identification information in the identification information storage unit 121 in advance.

識別情報記憶部121は、通信装置200の識別情報毎に、通信装置200が非暗号化通信を行うか否かを示す情報を記憶する記憶手段として機能する。   The identification information storage unit 121 functions as a storage unit that stores information indicating whether or not the communication device 200 performs unencrypted communication for each piece of identification information of the communication device 200.

図3に示す属性記憶部122は、図5に示すように、それぞれのポート140について、ポート番号iと、そのポート140に接続された通信装置200の機器識別情報と、そのポート140の通信属性と、利用可否設定と、を紐付けて記憶するものである。
通信属性は、そのポート140から通信装置200にデータを送信する際に、暗号化通信を行うか非暗号化通信を行うかを示すものであり、「1」は非暗号化通信を行うことを示し、「0」はこと非暗号化通信を行わない(暗号化通信を行う)ことを示すものである。
利用可否設定は、そのポート140が利用可能(通信が可能)か不可(通信が不可)かを示すものである。管理者は、管理インタフェース150に接続された管理端末を操作し、ポート140の利用可否設定を変更することができる。
なお、ポート140が利用不可に設定されていても、ARP(Address Resolution Protocol)リクエストやARPレスポンス等、接続先の通信装置200から機器識別情報を取得するためのデータは送受信できる。 As illustrated in FIG. 5, the attribute storage unit 122 illustrated in FIG. 3 includes, for each port 140, the port number i, the device identification information of the communication device 200 connected to the port 140, and the communication attribute of the port 140. And the availability setting are stored in association with each other.
The communication attribute indicates whether encrypted communication or non-encrypted communication is performed when data is transmitted from the port 140 to the communication apparatus 200. “1” indicates that non-encrypted communication is performed. “0” indicates that non-encrypted communication is not performed (encrypted communication is performed).
The availability setting indicates whether the port 140 can be used (communication is possible) or not (communication is impossible). An administrator can operate the management terminal connected to the management interface 150 to change the availability setting of the port 140.
Even if the port 140 is set to be unavailable, data for acquiring device identification information from the connection destination communication device 200 such as an ARP (Address Resolution Protocol) request or an ARP response can be transmitted and received.

属性記憶部122の初期設定では、図5(a)に示すように、機器識別情報及び通信属性に「N/A」が、利用可否設定に「利用不可」が設定されている。
記憶部120に記憶されている通信属性自動設定処理、及び、利用可否設定変更処理が実行された後は、そのプログラムによって、図5(b)に示すように各設定値の値が格納・更新される。 In the initial setting of the attribute storage unit 122, as shown in FIG. 5A, “N / A” is set in the device identification information and communication attribute, and “unusable” is set in the availability setting.
After the communication attribute automatic setting process and the availability setting change process stored in the storage unit 120 are executed, the setting values are stored and updated by the program as shown in FIG. 5B. Is done.

図3へ戻り、取得部111は、ポート140に接続された通信装置200からその機器識別情報を取得する。
取得部111は、ポート140に通信装置200が接続されたことを検知すると、図6(a)に示すようなARP要求パケットを作成する。ARP要求パケットは、送信元のMACアドレスと、送信元のIPアドレスと、宛先のMACアドレスと、宛先のIPアドレスと、を格納するためのフィールドを有する。取得部111は、送信元のMACアドレスに中継装置100のMACアドレスを、送信元のIPアドレスに中継装置100のIPアドレスを、宛先のMACアドレスに「N/A」を、宛先のIPアドレスにポート140に接続されている通信装置200のIPアドレスを格納する。 Returning to FIG. 3, the acquisition unit 111 acquires the device identification information from the communication device 200 connected to the port 140.
When the acquisition unit 111 detects that the communication apparatus 200 is connected to the port 140, the acquisition unit 111 creates an ARP request packet as illustrated in FIG. The ARP request packet has fields for storing a source MAC address, a source IP address, a destination MAC address, and a destination IP address. The acquisition unit 111 sets the MAC address of the relay device 100 as the source MAC address, the IP address of the relay device 100 as the source IP address, “N / A” as the destination MAC address, and the destination IP address as the destination IP address. The IP address of the communication device 200 connected to the port 140 is stored.

ARP要求パケットは、データリンク層でヘッダ部が付加された後、ポート140に接続された通信装置200に送信される。ヘッダ部は、宛先のMACアドレスと、送信元のMACアドレスと、を格納するためのフィールドを有する。ここでは、宛先のMACアドレスにブロードキャストアドレスが、送信元のMACアドレスに中継装置100のMACアドレスが格納される。宛先のMACアドレスにブロードキャストアドレスが格納されるのは、宛先のMACアドレスが未知だからである。   The ARP request packet is transmitted to the communication device 200 connected to the port 140 after the header portion is added in the data link layer. The header part has fields for storing the destination MAC address and the source MAC address. Here, the broadcast address is stored in the destination MAC address, and the MAC address of the relay device 100 is stored in the source MAC address. The broadcast address is stored in the destination MAC address because the destination MAC address is unknown.

ARPリクエストを受信した通信装置200は、ARPリクエストの宛先のIPアドレスに格納されているIPアドレスが、自身のIPアドレスと一致すれば、中継装置100に自身のMACアドレスを通知するためのARP応答パケットを作成する。ARP応答パケットは、図6(b)に示すように、送信元のMACアドレスと、送信元のIPアドレスと、宛先のMACアドレスと、宛先のIPアドレスと、を格納するためのフィールドを有する。通信装置200は、送信元のMACアドレスに自身のMACアドレスを、送信元のIPアドレスに自身のIPアドレスを、宛先のMACアドレスに中継装置のMACアドレスを、宛先のIPアドレスに中継装置100のIPアドレスを格納する。   The communication device 200 that has received the ARP request returns an ARP response for notifying the relay device 100 of its own MAC address if the IP address stored in the destination IP address of the ARP request matches its own IP address. Create a packet. As illustrated in FIG. 6B, the ARP response packet includes fields for storing a source MAC address, a source IP address, a destination MAC address, and a destination IP address. The communication device 200 has its own MAC address as the source MAC address, its own IP address as the source IP address, the MAC address of the relay device as the destination MAC address, and the relay device 100 as the destination IP address. Stores the IP address.

ARP応答パケットは、データリンク層でヘッダ部が付加された後、中継装置100に送信される。ヘッダ部は、宛先のMACアドレスと、送信元のMACアドレスと、を格納するためのフィールドを有する。ここでは、宛先のMACアドレスには中継装置100のMACアドレスが、送信元のMACアドレスには通信装置200のMACアドレスが格納される。   The ARP response packet is transmitted to the relay device 100 after the header portion is added in the data link layer. The header part has fields for storing the destination MAC address and the source MAC address. Here, the MAC address of relay device 100 is stored in the destination MAC address, and the MAC address of communication device 200 is stored in the source MAC address.

図3に示す取得部111は、受信したARP応答パケットを解析し、通信装置200のMACアドレスを読み出すことによって、通信装置200の機器識別情報を取得する。   The acquisition unit 111 illustrated in FIG. 3 acquires the device identification information of the communication device 200 by analyzing the received ARP response packet and reading the MAC address of the communication device 200.

取得部111は、少なくとも一つのポート140のうち、通信装置200が接続されたポート140について通信装置200から識別情報を取得する取得手段として機能する。   The acquisition unit 111 functions as an acquisition unit that acquires identification information from the communication device 200 for the port 140 to which the communication device 200 is connected among at least one port 140.

属性設定部112は、暗号化されていない平文のデータが流れるポート140に、非暗号化通信を行うことを示す通信属性を設定する。
属性設定部112は、取得部111が機器識別情報を取得すると、識別情報記憶部121を参照し、その機器識別情報に紐付けられた暗号化/非暗号化識別情報が「1」である場合、その機器識別情報を有する通信装置200が接続されたポート140に非暗号化通信を行うことを示す通信属性「1」を設定する。また、属性設定部112は、その機器識別情報に紐付けられた暗号化/非暗号化識別情報が「0」である場合、その機器識別情報を有する通信装置200が接続されたポート140に非暗号化通信を行わないことを示す通信属性「0」を設定する。これらの設定情報は、属性記憶部122に記憶される。 The attribute setting unit 112 sets a communication attribute indicating that unencrypted communication is performed in the port 140 through which plaintext data that is not encrypted flows.
When the acquisition unit 111 acquires the device identification information, the attribute setting unit 112 refers to the identification information storage unit 121 and the encrypted / unencrypted identification information associated with the device identification information is “1”. Then, a communication attribute “1” indicating that unencrypted communication is performed is set to the port 140 to which the communication device 200 having the device identification information is connected. In addition, when the encrypted / unencrypted identification information associated with the device identification information is “0”, the attribute setting unit 112 does not connect to the port 140 to which the communication device 200 having the device identification information is connected. A communication attribute “0” indicating that encrypted communication is not performed is set. Such setting information is stored in the attribute storage unit 122.

例えば、ポート1に接続した通信装置200から取得した機器識別情報がMAC_cであった場合、属性設定部112は、識別情報記憶部121を参照して、MAC_cに紐付けられている暗号化/非暗号化識別情報の値「1」を取得する。暗号化/非暗号化識別情報の値が「1」であるので、属性設定部112は、図5(b)に示すように、ポート1に通信属性「1」を設定する。また、このとき属性設定部112は、ポート1を利用することが許可される機器識別情報にMAC_cを設定し、利用可否設定は「利用可能」にする。   For example, when the device identification information acquired from the communication device 200 connected to the port 1 is MAC_c, the attribute setting unit 112 refers to the identification information storage unit 121 and performs encryption / non-connection associated with MAC_c. The value “1” of the encryption identification information is acquired. Since the value of the encrypted / unencrypted identification information is “1”, the attribute setting unit 112 sets the communication attribute “1” for the port 1 as shown in FIG. At this time, the attribute setting unit 112 sets MAC_c in the device identification information permitted to use the port 1, and sets the availability setting to “available”.

また、例えば、通信属性に「1」が設定されているポート2が、MAC_dの識別情報を持つ通信装置200とデータを送受信している最中に、ケーブルが抜かれる等の原因によりリンクダウンした場合、検出部114はポート2がリンクダウンしたことを検出する。この検出に応答し、属性設定部122は、図5(b)に示すように、ポート2の利用可否設定を「利用不可」に設定する。なお、ポート2が再びリンクアップし、接続先の通信装置200の機器識別情報がMAC_dの機器識別情報を持つ場合、属性設定部112は、管理者の操作によらないで利用可否設定を「利用可能」に設定する。   In addition, for example, the port 2 in which “1” is set in the communication attribute is linked down due to a cable being disconnected or the like while transmitting / receiving data to / from the communication device 200 having the identification information of MAC_d. In this case, the detection unit 114 detects that the port 2 is linked down. In response to this detection, the attribute setting unit 122 sets the availability setting of the port 2 to “unusable” as shown in FIG. If the port 2 is linked up again and the device identification information of the connection destination communication device 200 has the device identification information of MAC_d, the attribute setting unit 112 sets the availability setting without using the administrator's operation. Set to possible.

また、例えば、ポート3に接続した通信装置200から取得した機器識別情報がMAC_bであった場合、属性設定部112は、識別情報記憶部121を参照して、MAC_bに紐付けられている暗号化/非暗号化識別情報の値「0」を取得する。暗号化/非暗号化識別情報の値が「0」であるので、属性設定部112は、ポート3に通信属性「0」を設定する。また、このとき属性設定部112は、ポート3を利用することが許可される機器識別情報に、どの通信装置200でもそのポート140と通信することを許可されることを示す「ANY」を、利用可否設定に「利用可能」を設定する。「ANY」はいずれの機器識別情報でも良いことを示す識別子である。この場合、ポート3の通信がリンクダウンしても、属性設定部112は、利用可否設定を「利用可能」のままにする。   Further, for example, when the device identification information acquired from the communication device 200 connected to the port 3 is MAC_b, the attribute setting unit 112 refers to the identification information storage unit 121 and encrypts associated with MAC_b. / The value “0” of the unencrypted identification information is acquired. Since the value of the encrypted / unencrypted identification information is “0”, the attribute setting unit 112 sets the communication attribute “0” to the port 3. At this time, the attribute setting unit 112 uses “ANY” indicating that any communication device 200 is allowed to communicate with the port 140 in the device identification information permitted to use the port 3. Set “Available” in the availability setting. “ANY” is an identifier indicating that any device identification information may be used. In this case, even if the communication of the port 3 is linked down, the attribute setting unit 112 keeps the availability setting “available”.

属性設定部112は、少なくとも一つのポート140のうち、暗号化されていないデータが流れるポート140に、非暗号化通信を行うことを示す属性を設定する属性設定手段として機能する。   The attribute setting unit 112 functions as an attribute setting unit that sets an attribute indicating that unencrypted communication is performed to a port 140 through which unencrypted data flows out of at least one port 140.

ポート制御部113は、ポート140それぞれについて、利用可能か利用不可かを制御する。
ポート制御部113は、属性記憶部122を参照し、利用可否設定が「利用可能」であるポート番号を有するポート140を利用可能な状態にし、「利用不可」であるポート番号を有するポート140を利用不可の状態にする。 The port control unit 113 controls whether each port 140 can be used or not.
The port control unit 113 refers to the attribute storage unit 122 to make the port 140 having the port number whose use permission setting is “available” available, and to change the port 140 having the port number “unavailable”. Make it unavailable.

ポート制御部113は、属性設定部112が非暗号化通信を行うことを示す属性を設定したポート140に対して、検出部114がリンクアップの状態からリンクダウンの状態への変化を検出した場合、そのポート140を利用不可の状態にするポート制御手段として機能する。   When the port controller 113 detects a change from the link-up state to the link-down state for the port 140 for which the attribute setting unit 112 has set an attribute indicating that unencrypted communication is performed. The port 140 functions as a port control means for disabling the port 140.

検出部114は、ポート140それぞれのリンク状態を監視し、その状態が、リンクアップからリンクダウンへ、又はリンクダウンからリンクアップへ変化したときに、その変化を検出する。
なお、リンクアップとは通信が確立されている状態のことであり、リンクダウンとは通信が確立されていない状態のことである。 The detection unit 114 monitors the link state of each port 140 and detects the change when the state changes from link up to link down or from link down to link up.
Note that the link-up is a state where communication is established, and the link-down is a state where communication is not established.

検出部114が、リンク状態を監視する方法としては、例えば、LANポートを構成する特定のピン(例えばGNDピンや電源ピン)がハイインピーダンス状態であること、ウォッチドッグタイマー(Watchdog Timer)が一定時間以上通信が行われないことを検出したこと、LANポートに備えられたマイクロスイッチや光スイッチ等がLANケーブルの抜けを検出したこと、等をリンクダウン状態として検出する方法がある。   As a method for the detection unit 114 to monitor the link state, for example, a specific pin (for example, a GND pin or a power supply pin) constituting the LAN port is in a high impedance state, and a watchdog timer (Watchdog Timer) is set for a predetermined time. There is a method for detecting that a communication is not performed as described above, and detecting that a micro switch or an optical switch provided in a LAN port detects a disconnection of a LAN cable as a link-down state.

検出部114は、少なくとも一つのポート140とそのポート140に接続されている通信装置200との間において、通信が確立しているリンクアップの状態から通信が確立していないリンクダウンの状態への変化を検出する検出手段として機能する。   The detection unit 114 switches from a link-up state in which communication is established to a link-down state in which communication is not established between at least one port 140 and the communication device 200 connected to the port 140. It functions as detection means for detecting a change.

次に、この実施形態に係る中継装置の動作を図7〜図9に示すフローチャートを参照して説明する。ここで、これらのフローチャートに記述されている各機能は、読み取り可能なプログラムコードの形態で記憶部120に格納されており、制御部110により、このプログラムコードにしたがった動作が逐次実行される。   Next, the operation of the relay apparatus according to this embodiment will be described with reference to the flowcharts shown in FIGS. Here, each function described in these flowcharts is stored in the storage unit 120 in the form of a readable program code, and the controller 110 sequentially executes operations according to the program code.

(設定動作)
管理者は、中継装置100を介して通信を行う通信装置200を追加・変更する場合及び通信の形態(暗号化通信であるか、非暗号化通信であるか)を変更する場合には、管理端末を操作して、図4に示す識別情報記憶部121の内容を更新する。
例えば、通信装置200を新たに中継装置100に接続する場合には、通信装置200の機器識別情報と暗号化/非暗号化識別情報の対を識別情報記憶部121に登録する。また、例えば、機器識別情報がMAC_aの通信装置200aについては、それまで非暗号化通信を行う設定(暗号化/非暗号化識別情報が1)だったものを、暗号化通信を行う設定に変更する場合には、機器識別情報がMAC_aに対応する暗号化/非暗号化識別情報を「0」に更新する。 (Setting operation)
When the administrator adds / changes the communication device 200 that performs communication via the relay device 100 and changes the communication mode (whether encrypted communication or non-encrypted communication), the administrator The contents of the identification information storage unit 121 shown in FIG. 4 are updated by operating the terminal.
For example, when the communication device 200 is newly connected to the relay device 100, a pair of device identification information and encrypted / unencrypted identification information of the communication device 200 is registered in the identification information storage unit 121. Also, for example, for the communication device 200a whose device identification information is MAC_a, the setting for performing unencrypted communication (encrypted / unencrypted identification information is 1) is changed to the setting for performing encrypted communication. In this case, the encrypted / unencrypted identification information whose device identification information corresponds to MAC_a is updated to “0”.

また、通信装置を追加・交換等する場合は、空いているポート140と通信装置200とをLANケーブルで接続する。   In addition, when adding or exchanging a communication device, the vacant port 140 and the communication device 200 are connected by a LAN cable.

このような動作を行った後、管理者は、情報を更新したポートiを指定して、通信属性自動設定プログラムを起動する。
通信属性自動設定プログラムは、起動されると、図7に示す処理を開始する。まず、取得部111は、機器識別情報を問い合わせるARPリクエストを生成し、指定されたポートiから送信し(ステップS101)、ARPレスポンスを受信するまで待機する(ステップS102;No)。
取得部111は、ポートiに接続された通信装置200からARPレスポンスを受信すると(ステップS102;Yes)、機器識別情報、即ち、送信元のMACアドレスを抽出する。
属性設定部112は、識別情報記憶部121(図4参照)にアクセスして、その機器識別情報に紐付けられた暗号化/非暗号化識別情報を読み出し、その値がいずれの値であるかを判断する(ステップS103)。 After performing such an operation, the administrator designates the port i whose information has been updated and starts the communication attribute automatic setting program.
When the communication attribute automatic setting program is activated, it starts the process shown in FIG. First, the acquisition unit 111 generates an ARP request for inquiring about device identification information, transmits it from the designated port i (step S101), and waits until an ARP response is received (step S102; No).
When the acquisition unit 111 receives an ARP response from the communication device 200 connected to the port i (step S102; Yes), the acquisition unit 111 extracts the device identification information, that is, the source MAC address.
The attribute setting unit 112 accesses the identification information storage unit 121 (see FIG. 4), reads the encrypted / unencrypted identification information associated with the device identification information, and which value is the value? Is determined (step S103).

機器識別情報に紐付けられた暗号化/非暗号化識別情報が「1」である場合(ステップS103;Yes)、属性設定部112は、属性記憶部122(図5参照)にアクセスし、そのポートiについて、通信属性を「1」に、機器識別情報を接続された通信装置200の機器識別情報に、利用可否設定を「利用可能」に設定する(ステップS104)。   If the encrypted / unencrypted identification information associated with the device identification information is “1” (step S103; Yes), the attribute setting unit 112 accesses the attribute storage unit 122 (see FIG. 5), and For port i, the communication attribute is set to “1”, the device identification information is set to “usable” in the device identification information of the connected communication device 200 (step S104).

機器識別情報に紐付けられた暗号化/非暗号化識別情報が「0」である場合(ステップS103;No)、属性設定部112は、属性記憶部122にアクセスし、そのポートiについて、通信属性を「0」に、機器識別情報を「ANY」に、利用可否設定を「利用可能」に設定する(ステップS104)。
属性取得部141が、通信装置200が接続されたポート140にいずれかの通信属性を設定すると、通信属性自動設定処理は終了する。 When the encrypted / unencrypted identification information associated with the device identification information is “0” (step S103; No), the attribute setting unit 112 accesses the attribute storage unit 122 and communicates with the port i. The attribute is set to “0”, the device identification information is set to “ANY”, and the availability setting is set to “available” (step S104).
When the attribute acquisition unit 141 sets any communication attribute to the port 140 to which the communication device 200 is connected, the communication attribute automatic setting process ends.

管理者は、任意のポートの利用可否設定を「利用不可」から「利用可能」に変更する場合、及び、「利用可能」から「利用不可」に変更する場合、対象ポートiを指定して、利用可否設定を「利用可能」又は「利用不可」に変更することを管理端末から指示する。指示に応答し、制御部110は、記憶部120に記憶されている利用可否設定変更プログラムを起動する。   When changing the availability setting of an arbitrary port from “unavailable” to “available” and when changing from “available” to “unusable”, the administrator specifies the target port i, The management terminal instructs to change the availability setting to “available” or “unusable”. In response to the instruction, the control unit 110 activates the availability setting change program stored in the storage unit 120.

利用可否設定変更プログラムは、起動されると、図8に示す処理を開始し、まず、属性設定部112が、利用可否設定の変更先の設定が「利用可能」であるか否かを判断する(ステップS201)。利用可否設定の変更先の設定が「利用可能」であれば(ステップS201;Yes)、属性設定部112は、属性記憶部122にアクセスして、そのポートiの利用可否設定を「利用可能」に設定する(ステップS202)。利用可否設定が「利用可能」に設定されると、ポート制御部113は、ポートiとポートiに接続された通信装置200との通信を開始する(ステップS203)。通信が開始されると、利用可否設定変更処理は終了する。   When activated, the availability setting change program starts the processing shown in FIG. 8. First, the attribute setting unit 112 determines whether or not the setting for changing the availability setting is “available”. (Step S201). If the setting of the change destination of the availability setting is “available” (step S201; Yes), the attribute setting unit 112 accesses the attribute storage unit 122 and sets the availability setting of the port i to “available”. (Step S202). When the availability setting is set to “available”, the port control unit 113 starts communication between the port i and the communication device 200 connected to the port i (step S203). When communication is started, the availability setting change process ends.

利用可否設定の変更先の設定が「利用不可」であれば(ステップS203;No)、属性設定部112は、属性記憶部122にアクセスして、そのポートiの利用可否設定を「利用不可」に設定する(ステップS204)。利用可否設定が「利用不可」に設定されると、ポート制御部113は、ポートiとポートiに接続された通信装置200との通信を終了する(ステップS205)。通信が終了すると、利用可否設定変更処理は終了する。   If the setting of the change destination of the availability setting is “unusable” (step S203; No), the attribute setting unit 112 accesses the attribute storage unit 122 and sets the availability setting of the port i to “unusable”. (Step S204). When the availability setting is set to “unusable”, the port control unit 113 ends the communication between the port i and the communication device 200 connected to the port i (step S205). When the communication ends, the availability setting change process ends.

(通信動作)
中継装置100は、属性記憶部122に通信属性が「1」で利用可否設定が「利用可能」に設定されているポート140については、非暗号化通信を接続先の通信装置200との間で行い、属性記憶部122に通信属性が「0」で利用可否設定が「利用可能」に設定されているポート140については、暗号化通信を接続先の通信装置200との間で行う。
ただし、属性記憶部122で「利用不可」に設定されているポート140については、通信を行なわず、通信を遮断する。ここでの通信の遮断とは、前述のように、ARPパケットなどの交信等は可能だが、他の通信装置200から送信されたデータ等を送らないことである。 (Communication operation)
The relay apparatus 100 performs non-encrypted communication with the connection destination communication apparatus 200 for the port 140 in which the communication attribute is set to “1” in the attribute storage unit 122 and the availability setting is set to “available”. For the port 140 in which the communication attribute is set to “0” and the availability setting is set to “available” in the attribute storage unit 122, the encrypted communication is performed with the connection destination communication apparatus 200.
However, for the port 140 set to “unusable” in the attribute storage unit 122, communication is not performed and communication is blocked. The interruption of communication here means that, as described above, communication such as an ARP packet is possible, but data transmitted from another communication apparatus 200 is not sent.

この間、ポート制御部113は、情報漏洩を防ぐため、図9に示す制御するポート制御処理を、割り込み処理で実行したり、所定の時間毎(例えば、10msecに1回)などに実行したりする。   During this time, the port control unit 113 executes the port control process to be controlled shown in FIG. 9 as an interrupt process or every predetermined time (for example, once every 10 msec) in order to prevent information leakage. .

まず、検出部114は、属性記憶部122上で通信属性として「1」が設定されている(即ち、非暗号化通信が設定されている)ポート140それぞれについて、リンク状態の変化があるか否かを監視する(ステップS301)。検出部114は、リンク状態の変化を検出しない場合(ステップS301;No)、今回の処理を終了する。
一方、検出部114がいずれかのポート140についてリンク状態の変化を検出すると(ステップS301;Yes)、検出部114は、そのリンク状態の変化を検出したポート140がいずれのポート140であるかと特定する(ステップS302)。検出部114がリンク状態の変化を検出したポート140を特定すると、その変化がリンクアップからリンクダウンへの変化であるか否かを判別する(ステップS303)。リンクダウンであると判別した場合(ステップS303;No)、属性設定部112は、属性記憶部122上で、そのポート140の利用可否設定に「利用不可」を設定する(ステップS304)と共にそのポート140を介した通信を遮断する(ステップS305)。これにより、そのポート140を介した非暗号化通信は遮断され、通信できなくなる。 First, the detection unit 114 determines whether or not there is a link state change for each port 140 for which “1” is set as a communication attribute on the attribute storage unit 122 (that is, unencrypted communication is set). Is monitored (step S301). When the detection unit 114 does not detect a change in the link state (step S301; No), the current process ends.
On the other hand, when the detection unit 114 detects a change in the link state for any one of the ports 140 (Step S301; Yes), the detection unit 114 identifies which port 140 is the port 140 that has detected the change in the link state. (Step S302). When the detection unit 114 identifies the port 140 that has detected the change in the link state, it is determined whether or not the change is a change from link up to link down (step S303). If it is determined that the link is down (step S303; No), the attribute setting unit 112 sets “unusable” in the availability setting of the port 140 on the attribute storage unit 122 (step S304) and the port. The communication via 140 is blocked (step S305). As a result, unencrypted communication via the port 140 is blocked and communication is impossible.

一方、検出部114がいずれかのポート140についてリンクダウンからリンクアップへの変化を検出した場合(ステップS303;Yes)、取得部111は、その変化を検出したポート140に接続されている通信装置200の機器識別情報を取得する。取得部111が接続先の通信装置200の機器識別情報を取得すると、属性設定部112は、属性記憶部122を参照し、取得した機器識別情報がそのポートに141に設定されている機器識別情報であるか否かを判定する(ステップS306)。取得した機器識別情報が、そのポート140に設定されている機器識別情報であれば(ステップS306;Yes)、属性設定部112は、そのポート140の利用可否設定を「利用可能」に設定し(ステップS307)そのポート140を介した非暗号化通信は開始される(ステップS308)。
取得した機器識別情報が、そのポート140に設定されている機器識別情報でなければ(ステップS306;No)、属性設定部112は、そのポート140の利用可否設定を「利用不可」のままにし、そのポート140を介した非暗号化通信は遮断され、通信はできなくなる(ステップS309)。 On the other hand, when the detection unit 114 detects a change from link-down to link-up for any of the ports 140 (step S303; Yes), the acquisition unit 111 is a communication device connected to the port 140 that has detected the change. 200 pieces of device identification information are acquired. When the acquisition unit 111 acquires the device identification information of the connection destination communication device 200, the attribute setting unit 112 refers to the attribute storage unit 122, and the device identification information in which the acquired device identification information is set to 141 for the port. It is determined whether or not (step S306). If the acquired device identification information is the device identification information set for the port 140 (step S306; Yes), the attribute setting unit 112 sets the availability setting of the port 140 to “available” ( Step S307) Unencrypted communication via the port 140 is started (Step S308).
If the acquired device identification information is not the device identification information set for the port 140 (step S306; No), the attribute setting unit 112 keeps the availability setting of the port 140 as “unusable” Unencrypted communication through the port 140 is blocked, and communication cannot be performed (step S309).

こうして、中継装置100と通信装置200との間で、平文での通信を行っている途中で、何らかの原因により、ケーブルが外れた場合、ケーブルが切断された場合、等の事態が発生すると、以降、通信ができなくなる。これにより、情報の漏洩が防止される。   In this way, when a situation such as when the cable is disconnected or when the cable is disconnected for some reason during the plaintext communication between the relay apparatus 100 and the communication apparatus 200, Communication is not possible. Thereby, leakage of information is prevented.

通信できなくなった通信装置200の利用者からの申し出などに応じて、管理者が通信ができなくなった原因を調査し、改めて、通信を可能に設定する場合には、管理者は、管理端末を操作して、図8の利用可否設定変更処理により属性記憶部122の情報を更新する。   In response to an offer from the user of the communication device 200 that has become unable to communicate, the administrator investigates the cause of the communication failure and sets the communication terminal to enable communication again. By operating, the information in the attribute storage unit 122 is updated by the availability setting change process of FIG.

以上説明したように、本実施形態によれば、平文のデータが流れるポート140がリンクダウンすると、そのポート140を利用できない状態にする。これによって、そのポート140に接続されたケーブルの接続先を物理的に変更すること等により、悪意のある者によって平文のデータが盗聴されることを防ぐことができる。   As described above, according to the present embodiment, when the port 140 through which plaintext data flows is linked down, the port 140 is made unavailable. As a result, it is possible to prevent eavesdropping of plaintext data by a malicious person by physically changing the connection destination of the cable connected to the port 140.

また、本実施形態によれば、各ポートに接続されている通信装置200を自動的に特定し、特定した通信装置200に予め設定されている通信形態(非暗号化通信又は暗号化通信)をそのポートに設定する。従って、ケーブルとポートの接続関係が変更されたとしても、各ポートの通信形態が、接続先の通信装置に応じた形態に自動的に変更される。従って、通信形態の設定処理が容易であり、また、ケーブルとポートの組み合わせが容易となる。   Further, according to the present embodiment, the communication device 200 connected to each port is automatically specified, and the communication mode (unencrypted communication or encrypted communication) preset in the specified communication device 200 is selected. Set to that port. Therefore, even if the connection relationship between the cable and the port is changed, the communication mode of each port is automatically changed to a mode corresponding to the communication device of the connection destination. Therefore, the communication mode setting process is easy, and the combination of the cable and the port is easy.

以上、本発明の実施形態を説明したが、この発明は上記の実施形態に限定されず、種々の変形及び応用が可能である。   As mentioned above, although embodiment of this invention was described, this invention is not limited to said embodiment, A various deformation | transformation and application are possible.

例えば、中継装置100が接続する通信装置200は、サーバ装置やクライアント装置等であると説明したが、これらに限定されず、セキュリティ装置や他の中継装置等であっても良い。   For example, the communication device 200 to which the relay device 100 is connected has been described as a server device, a client device, or the like, but is not limited thereto, and may be a security device or another relay device.

また、本実施形態では、ポート140に接続された通信装置200の機器識別情報を取得する方法として、ARPプロトコルを利用した方法を説明したが、この方法に限定されない。機器識別情報を取得する方法がARPプロトコルと異なるMACアドレス解決手段を利用する方法であってもよい。また、機器識別情報を取得する方法として、通信装置200がポート140に接続したことを検知すると、その通信装置200側から自身の機器識別情報を中継装置100に通知するように設計されても良い。   In the present embodiment, a method using the ARP protocol has been described as a method for acquiring the device identification information of the communication device 200 connected to the port 140. However, the method is not limited to this method. The method for acquiring the device identification information may be a method using a MAC address resolution means different from the ARP protocol. Further, as a method for acquiring the device identification information, it may be designed such that when it detects that the communication device 200 is connected to the port 140, the communication device 200 notifies the relay device 100 of its own device identification information. .

また、ケーブル等が抜かれる等の原因によりポート140がリンクダウンした場合に、中継装置100がそのポート140からARPリクエストを送信すること等により、疎通確認を所定の回数だけ試みるように設計しても良い。なお、そのポート140がARPレスポンスを受信した際に、受信したARPレスポンスに含まれる通信装置200の機器識別情報が、リンクダウンする前の機器識別情報とは異なるものだった場合、ポート制御部113はそのポート140を利用不可の状態にし、通信を終了する。   In addition, when the port 140 is linked down due to a cable being disconnected or the like, the relay device 100 tries to check the communication a predetermined number of times by transmitting an ARP request from the port 140. Also good. When the port 140 receives the ARP response, if the device identification information of the communication device 200 included in the received ARP response is different from the device identification information before the link down, the port control unit 113 Makes the port 140 unusable and ends the communication.

また、本実施形態では、ポート制御処理において、非暗号化通信を行うことを示す通信属性が設定されているポート140がリンクダウンからリンクアップへ変化した際に、属性設定部112が属性記憶部122を参照し、そのポート140に接続された通信装置200の機器識別情報がそのポート140に設定されているか否かを判定すると説明したが、この判定は、属性設定部112とは異なる判定部を設け、判定部が行っても良い。   Further, in this embodiment, in the port control process, when the port 140 in which the communication attribute indicating non-encrypted communication is set changes from link-down to link-up, the attribute setting unit 112 displays the attribute storage unit. 122, it has been described that it is determined whether or not the device identification information of the communication device 200 connected to the port 140 is set in the port 140. This determination is different from the attribute setting unit 112. May be provided by the determination unit.

判定部は、ポート制御部113が非暗号化通信を行うことを示す属性が設定されたポート140を利用可能な状態から利用不可の状態にした後、検出部114がリンクダウンの状態からリンクアップの状態への変化を検出した場合において、そのポート140に接続された通信装置200が、ポート制御部113がそのポート140を利用可能な状態から利用不可の状態にする前にそのポート140に接続されていた通信装置200とは異なる通信装置200になったか否かを判定する判定手段として機能する。なお、本実施形態においては、属性設定部112が判定手段として機能する。   The determination unit changes the port 140 in which the attribute indicating that the port control unit 113 performs non-encrypted communication from the available state to the unusable state, and then the detection unit 114 performs the link up from the link down state. When a change to the state is detected, the communication device 200 connected to the port 140 is connected to the port 140 before the port control unit 113 changes the port 140 from an available state to an unavailable state. It functions as a determination unit that determines whether or not the communication apparatus 200 is different from the communication apparatus 200 that has been used. In the present embodiment, the attribute setting unit 112 functions as a determination unit.

上記実施の形態においては、通信属性として非暗号化通信が設定されているポート140でリンクダウンが発生した際に、そのポート140を介したARPリクエストやARPレスポンス等を除いた通信を禁止した。この発明はこれに限定されない。例えば、本発明の目的は情報の漏洩に主眼があるので、通信相手の通信装置200から取得した平文の情報が漏洩しない範囲において、他の一部の情報(例えば、中継装置100に関する情報)を通信可能としてもよい。また、非暗号化通信を遮断する一方で暗号化通信を行うようにしてもよい。これらの場合も、本願発明の「ポート140を利用不可の状態にする」に含まれるものである。   In the above embodiment, when a link down occurs in a port 140 for which unencrypted communication is set as a communication attribute, communication excluding an ARP request, an ARP response, and the like via the port 140 is prohibited. The present invention is not limited to this. For example, since the object of the present invention is focused on information leakage, other pieces of information (for example, information on the relay device 100) may be used within a range in which plaintext information acquired from the communication device 200 of the communication partner is not leaked. Communication may be possible. Further, encrypted communication may be performed while blocking unencrypted communication. These cases are also included in “making the port 140 unusable” of the present invention.

また、本実施形態では、検出部114は、ポート140それぞれのリンク状態がリンクアップからリンクダウンへ、又はリンクダウンからリンクアップへ変化したときに、その変化を検出することを記載したが、検出部114は、リンクアップからリンクダウンへの変化のみを検出するように設計されても良い。   In the present embodiment, it has been described that the detection unit 114 detects the change when the link state of each port 140 changes from link-up to link-down or from link-down to link-up. Unit 114 may be designed to detect only changes from link up to link down.

また、図7〜図9に示した処理は一例であり、同様の機能を実現できるならば、どのような処理を採用しても構わない。例えば、図7の通信属性自動設定処理を、定期的に起動して実行するようにしてもよい。また、特定のポートiについての、機器識別情報を収集するだけでなく、例えば、全ポート140をスキャンして、そこに接続されている通信装置の機器識別情報を取得して、通信属性を設定するようにしてもよい。また、図8に例示した、利用可否設定変更処理では、例えば、属性記憶部122の利用可否設定欄が更新されたことを検出したときに、自動的に起動するようにしてもよい。また、暗号化通信が設定されたポート140をスキャンの対象としてもよい。   The processes shown in FIGS. 7 to 9 are examples, and any process may be adopted as long as the same function can be realized. For example, the communication attribute automatic setting process of FIG. 7 may be periodically started and executed. In addition to collecting device identification information for a specific port i, for example, scanning all ports 140 to obtain device identification information of communication devices connected to the port 140 and setting communication attributes You may make it do. Further, in the availability setting change process illustrated in FIG. 8, for example, it may be automatically started when it is detected that the availability setting column of the attribute storage unit 122 has been updated. Further, the port 140 for which encrypted communication is set may be a scan target.

なお、この発明の中継装置100は、通常のPC等のコンピュータによっても実現することができる。
具体的には、本実施形態では、中継装置100のプログラムが、記憶部120に予め記憶されているものとして説明した。しかし、記憶部120のプログラムをコンピュータにインストールして、上述の各部機能を実行することができるコンピュータを構成してもよい。なお、プログラムは、記憶部120に限らず、その他のコンピュータ読み取り可能な記録媒体(例えば、フレキシブルディスク、CD−ROM、DVD及びMO等)に格納してコンピュータに配布してもよいことはもちろんである。 Note that the relay device 100 of the present invention can also be realized by a computer such as a normal PC.
Specifically, in the present embodiment, the program of the relay device 100 has been described as being stored in the storage unit 120 in advance. However, a computer capable of executing the functions of the above-described units by installing the program of the storage unit 120 in the computer may be configured. The program is not limited to the storage unit 120, and may be stored in other computer-readable recording media (for example, a flexible disk, CD-ROM, DVD, MO, etc.) and distributed to computers. is there.

また、プログラムをインターネット等の通信ネットワーク上のサーバ装置が有するディスク装置等に格納しておき、例えば、コンピュータにダウンロード等するようにしてもよい。さらに、通信ネットワークを介してプログラムを転送しながら起動実行することによっても、上述の中継装置100の処理を達成することができる。   Further, the program may be stored in a disk device or the like of a server device on a communication network such as the Internet, and may be downloaded to a computer, for example. Furthermore, the above-described processing of the relay device 100 can also be achieved by starting and executing a program while transferring it via a communication network.

100:中継装置
110:制御部
111:取得部
112:属性設定部
113:ポート制御部
114:検出部
120:記憶部
121:識別情報記憶部
122:属性記憶部
130:メモリ
140:ポート
150:管理インタフェース
160:バス
200a〜200x:通信装置 100: Relay device 110: Control unit 111: Acquisition unit 112: Attribute setting unit 113: Port control unit 114: Detection unit 120: Storage unit 121: Identification information storage unit 122: Attribute storage unit 130: Memory 140: Port 150: Management Interface 160: Buses 200a to 200x: Communication device

Claims (7)

少なくとも1つのポートと該ポートに接続されている通信装置との間において、通信が確立しているリンクアップの状態から通信が確立していないリンクダウンの状態への変化を検出する検出手段と、
前記少なくとも1つのポートのうち、暗号化されていないデータが流れるポートに、非暗号化通信を行うことを示す属性を設定する属性設定手段と、
前記属性設定手段が前記非暗号化通信を行うことを示す属性を設定したポートに対して、前記検出手段が前記リンクアップの状態から前記リンクダウンの状態への変化を検出した場合、該ポートを利用不可の状態にするポート制御手段と、
を備えたことを特徴とする中継装置。 Detecting means for detecting a change from a link-up state in which communication is established to a link-down state in which communication is not established between at least one port and a communication device connected to the port;
Attribute setting means for setting an attribute indicating performing unencrypted communication to a port through which unencrypted data flows among the at least one port;
If the detection means detects a change from the link-up state to the link-down state with respect to the port in which the attribute setting means sets an attribute indicating that the unencrypted communication is performed, the port is A port control means for disabling,
A relay apparatus comprising: 前記通信装置の識別情報に、該通信装置が前記非暗号化通信を行うか否かを示す情報を記憶する記憶手段と、
前記少なくとも1つのポートのうち、前記通信装置が接続されたポートについて、該通信装置から識別情報を取得する取得手段と、を備え、
前記属性設定手段は、前記取得手段が取得した識別情報について前記記憶手段を参照し、非暗号化通信を行うことを示す情報が記憶されている場合、該識別情報を有する前記通信装置が接続されたポートに前記非暗号化通信を行うことを示す属性を設定する、
ことを特徴とする請求項1に記載の中継装置。 Storage means for storing, in the identification information of the communication device, information indicating whether or not the communication device performs the unencrypted communication;
Obtaining means for obtaining identification information from the communication device for the port connected to the communication device among the at least one port;
The attribute setting means refers to the storage means for the identification information acquired by the acquisition means, and stores information indicating that non-encrypted communication is performed, the communication apparatus having the identification information is connected. Set an attribute indicating that the non-encrypted communication is to be performed on the selected port,
The relay apparatus according to claim 1. 前記ポート制御手段は、前記非暗号化通信を行うことを示す属性が設定されたポートを利用可能な状態から利用不可の状態にした後、前記検出手段が前記リンクダウンの状態から前記リンクアップの状態への変化を検出した場合、前記非暗号化通信を行うことを示す属性が設定されたポートを利用不可の状態のままにする、
ことを特徴とする請求項1または2に記載の中継装置。 The port control means changes the link-up state from the link-down state after the port having the attribute indicating that the unencrypted communication is performed is changed from an available state to an unusable state. When a change to the state is detected, the port set with the attribute indicating that the unencrypted communication is performed is left in an unusable state.
The relay apparatus according to claim 1 or 2, characterized in that 前記ポート制御手段は、前記非暗号化通信を行うことを示す属性が設定されたポートを利用可能な状態から利用不可の状態にした後、ユーザ操作に基づいて該ポートを利用不可の状態から利用可能な状態にする、
ことを特徴とする請求項1乃至3の何れか一項に記載の中継装置。 The port control means uses the port from an unusable state based on a user operation after changing the port set with an attribute indicating performing unencrypted communication from an available state to an unusable state. Make it possible,
The relay device according to claim 1, wherein the relay device is a relay device. 前記ポート制御手段が前記非暗号化通信を行うことを示す属性が設定されたポートを利用可能な状態から利用不可の状態にした後、前記検出手段が前記リンクダウンの状態から前記リンクアップの状態への変化を検出した場合において、該ポートに接続された通信装置が、前記ポート制御手段が該ポートを利用可能な状態から利用不可の状態にする前に該ポートに接続されていた通信装置とは異なる通信装置になったか否かを判定する判定手段を備え、
前記ポート制御手段は、前記判定手段が前記異なる通信装置になっていないと判定した場合、前記利用不可の状態にしたポートを利用可能な状態にする、
ことを特徴とする請求項1又は2に記載の中継装置。 After the port control unit changes the port set with the attribute indicating that the unencrypted communication is performed from the available state to the unusable state, the detection unit changes from the link down state to the link up state. A communication device connected to the port before the port control means changes the port from an available state to an unusable state. Comprises determination means for determining whether or not the communication device has become different,
The port control means, when it is determined that the determination means is not the different communication device, the port that has been disabled is made available.
The relay apparatus according to claim 1 or 2, wherein ポートと該ポートに接続されている通信装置との間において、リンクアップの状態からリンクダウンの状態への変化を検出し、
暗号化されていないデータが流れるポートに非暗号化通信を行うことを示す属性を設定し、
非暗号化通信を行うことを示す属性が設定されたポートに対して、リンクアップの状態からリンクダウンの状態への変化を検出した場合に、該ポートを利用不可の状態に制御する、
中継方法。 Detecting a change from a link-up state to a link-down state between a port and a communication device connected to the port;
Set an attribute indicating that unencrypted communication is performed on the port through which unencrypted data flows,
When a change from a link-up state to a link-down state is detected for a port for which an attribute indicating performing unencrypted communication is set, the port is controlled to an unusable state.
Relay method. 通信用のポートを備えるコンピュータに、
ポートと該ポートに接続されている通信装置との間において、リンクアップの状態からリンクダウンの状態への変化を検出する処理、
暗号化されていないデータが流れるポートに非暗号化通信を行うことを示す属性を設定する処理、
非暗号化通信を行うことを示す属性が設定されたポートに対して、リンクアップの状態からリンクダウンの状態への変化を検出した場合に、該ポートを利用不可の状態に制御する処理、
を実行させる中継プログラム。 To a computer with a communication port,
A process for detecting a change from a link-up state to a link-down state between a port and a communication device connected to the port;
A process for setting an attribute indicating that unencrypted communication is performed on a port through which unencrypted data flows,
When a change from a link-up state to a link-down state is detected for a port for which an attribute indicating performing unencrypted communication is set, a process of controlling the port to an unusable state;
A relay program that executes
JP2014148312A 2014-07-18 2014-07-18 Relay device, relay method, and relay program Active JP6407598B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014148312A JP6407598B2 (en) 2014-07-18 2014-07-18 Relay device, relay method, and relay program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014148312A JP6407598B2 (en) 2014-07-18 2014-07-18 Relay device, relay method, and relay program

Publications (2)

Publication Number Publication Date
JP2016025478A true JP2016025478A (en) 2016-02-08
JP6407598B2 JP6407598B2 (en) 2018-10-17

Family

ID=55271897

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014148312A Active JP6407598B2 (en) 2014-07-18 2014-07-18 Relay device, relay method, and relay program

Country Status (1)

Country Link
JP (1) JP6407598B2 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020010159A (en) * 2018-07-06 2020-01-16 株式会社リコー Apparatus management device, apparatus management system, and program
US11388133B2 (en) 2018-11-13 2022-07-12 Denso Corporation Network switch
WO2022254710A1 (en) * 2021-06-04 2022-12-08 日本電信電話株式会社 Communication device, communication system, communication method, and communication program
WO2023242318A1 (en) * 2022-06-16 2023-12-21 Orange Method for communication between a first device and a remote server, corresponding method for managing communications, first device, remote server and computer program

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004304470A (en) * 2003-03-31 2004-10-28 Nec Corp Method and system for linking up respective ports of switching hub
JP2009522684A (en) * 2006-01-05 2009-06-11 ヴィゼル、トーマス・エイ A method for incorporating psychological temperament into the electronic emulation of the human brain
JP2010135979A (en) * 2008-12-03 2010-06-17 Mitsubishi Electric Corp Encryption device, program, and recording medium
JP2011147046A (en) * 2010-01-18 2011-07-28 Oki Data Corp Image processing apparatus

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004304470A (en) * 2003-03-31 2004-10-28 Nec Corp Method and system for linking up respective ports of switching hub
JP2009522684A (en) * 2006-01-05 2009-06-11 ヴィゼル、トーマス・エイ A method for incorporating psychological temperament into the electronic emulation of the human brain
JP2010135979A (en) * 2008-12-03 2010-06-17 Mitsubishi Electric Corp Encryption device, program, and recording medium
JP2011147046A (en) * 2010-01-18 2011-07-28 Oki Data Corp Image processing apparatus

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020010159A (en) * 2018-07-06 2020-01-16 株式会社リコー Apparatus management device, apparatus management system, and program
JP7040326B2 (en) 2018-07-06 2022-03-23 株式会社リコー Equipment management equipment, equipment management systems, and programs
US11388133B2 (en) 2018-11-13 2022-07-12 Denso Corporation Network switch
WO2022254710A1 (en) * 2021-06-04 2022-12-08 日本電信電話株式会社 Communication device, communication system, communication method, and communication program
WO2023242318A1 (en) * 2022-06-16 2023-12-21 Orange Method for communication between a first device and a remote server, corresponding method for managing communications, first device, remote server and computer program
FR3136922A1 (en) * 2022-06-16 2023-12-22 Orange Method of communication between a first piece of equipment and a remote server, method of managing communications, first piece of equipment, remote server and corresponding computer program.

Also Published As

Publication number Publication date
JP6407598B2 (en) 2018-10-17

Similar Documents

Publication Publication Date Title
CN109074251B (en) Local over-the-air update for embedded systems
US9450929B2 (en) Communication device, communication system, and computer program product
JP4829554B2 (en) Firewall that protects a group of devices, device that participates in the system, and method for updating firewall rules in the system
EP3300331B1 (en) Response method, apparatus and system in virtual network computing authentication, and proxy server
JP5607655B2 (en) Unencrypted network operation solution
US20170295018A1 (en) System and method for securing privileged access to an electronic device
JP6407598B2 (en) Relay device, relay method, and relay program
KR101538147B1 (en) Distributive automation system applied to security module and method using the thereof
US20190014081A1 (en) Apparatus for supporting communication between separate networks and method for the same
JP4914075B2 (en) Encryption key setting method, network system, wireless LAN repeater, wireless LAN adapter, and encryption key setting program
EP3398297A1 (en) Establishment of a connection between two local devices connected to different networks
US20160105407A1 (en) Information processing apparatus, terminal, information processing system, and information processing method
JP4775154B2 (en) COMMUNICATION SYSTEM, TERMINAL DEVICE, PROGRAM, AND COMMUNICATION METHOD
WO2017163665A1 (en) Communication processing system, communication processing method, communication processing device, communication management device, and control methods and control programs therefor
CN105357670B (en) A kind of router
JP2009177239A (en) Network relay apparatus
JP2006261937A (en) Communication profile automatic distribution setting system and method, and management device, and program
KR102067186B1 (en) Apparatus for supporting communication between seperate networks and method for the same
US9461999B2 (en) Relay device
WO2019000595A1 (en) Secure internet data transmission method and device
JP6571615B2 (en) Authentication server, distribution device, client terminal authentication system, and client terminal authentication method
JP2009017471A (en) Information communication method
JP2010192959A (en) System, method and apparatus for managing self-decrypting type encrypted file, and method and apparatus for decryption control of the same
CN100525298C (en) Pipe communication method based on IGRS protocol
JP5904220B2 (en) Wireless LAN device, method for connecting to wireless LAN access point, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170511

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180228

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180313

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180510

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180911

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180919

R150 Certificate of patent or registration of utility model

Ref document number: 6407598

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250