JP2019114873A - 通信装置、通信正常性確認方法、通信プログラム - Google Patents

通信装置、通信正常性確認方法、通信プログラム Download PDF

Info

Publication number
JP2019114873A
JP2019114873A JP2017245483A JP2017245483A JP2019114873A JP 2019114873 A JP2019114873 A JP 2019114873A JP 2017245483 A JP2017245483 A JP 2017245483A JP 2017245483 A JP2017245483 A JP 2017245483A JP 2019114873 A JP2019114873 A JP 2019114873A
Authority
JP
Japan
Prior art keywords
packet
terminal
communication
monitoring
communication device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017245483A
Other languages
English (en)
Other versions
JP6509317B1 (ja
Inventor
朗 小柳
Akira Koyanagi
朗 小柳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2017245483A priority Critical patent/JP6509317B1/ja
Application granted granted Critical
Publication of JP6509317B1 publication Critical patent/JP6509317B1/ja
Publication of JP2019114873A publication Critical patent/JP2019114873A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】端末が定期的な通信をしなくても、通信の正常性確認を実施できるようにする。【解決手段】第1通信装置13において、通信正常性確認部35は、第1端末からの通常パケットとは異なるデータを含み第1端末および第2端末のアドレスをそれぞれ送信元および送信先のアドレスとする監視パケットを生成してカプセル化部34に入力する。カプセル化部34は、監視パケットをカプセル化して第2通信装置へ送信する。カプセル化部34は、第2端末からの通常パケットとは異なるデータを含み第2端末および第1端末のアドレスをそれぞれ送信元および送信先のアドレスとする応答パケットをカプセル化したパケットを第2通信装置から受信し、応答パケットを通信正常性確認部35に出力する。通信正常性確認部35は、応答パケットがカプセル化部34より出力されたかどうかによって通信の正常性を確認する。【選択図】図2

Description

本発明は、通信装置、管理装置、通信正常性確認方法、通信プログラムおよび管理プログラムに関するものである。
拠点間のIPSec通信の正常性確認にはIPSec装置間の疎通確認だけでは不十分で、実際に通信する端末のネットワークアドレス体系に従った通信確認が必要である。なぜなら、IPSec装置の設定誤り、または、IPSec装置自体の故障等でIPSec装置間の疎通は正常でも、拠点の端末間の通信が不通となる場合が想定されるからである。「IPSec」は、IP Securityの略語である。「IP」は、Internet Protocolの略語である。IPSec装置の設定誤りの例としては、SPDの設定誤り、および、鍵の誤り等がある。「SPD」は、Security Policy Databaseの略語である。
特許文献1には、拠点端末間の通信の正常性を確認する方法として、端末間の特定通信が定期的に行われることを利用して該当通信の有無をモニターすることにより通信の正常性を確認する方式が記載されている。
特開2017−098666号公報
特許文献1に記載されている方法では、端末が常時通信しない機器の場合、モニタリング可能な通信がないため、正常性確認が実施できない。
拠点端末間の通信の正常性を確認する別の方法として、端末と同一ネットワークに監視機器を設置して監視機器間の通信を行うことにより通信の正常性を確認する方式が考えられる。しかし、この方法では、費用または設置場所の問題で各拠点に監視機器を設置できない場合、正常性確認が実施できない。
例として、監視機器が設置されておらず、端末としてIP電話のみが設置されたネットワークの通信を中継するIPSec装置を考える。
この例では、IP電話が通話を開始しない限り相手との通信が発生しないため、定期的通信が行われず、モニタリングによる正常性確認が実施できない。そのため、通話する際になって初めて通信が不通であることが判明する。よって、前もった障害対応ができない。
本発明は、端末が定期的な通信をしなくても、通信の正常性確認を実施できるようにすることを目的とする。
本発明の一態様に係る通信装置は、
第1端末および第2端末のアドレスをそれぞれ送信元および送信先のアドレスとする第1パケットが入力され、入力された第1パケットをカプセル化して対向装置へ送信するとともに、前記第2端末および前記第1端末のアドレスをそれぞれ送信元および送信先のアドレスとする第2パケットをカプセル化したパケットを前記対向装置から受信し、受信したパケットのカプセル化を解除して得られた第2パケットを出力するカプセル化部と、
前記第1パケットとして、前記第1端末から送信される第1通常パケットとは異なるデータを含む監視パケットを生成し、生成した監視パケットを前記カプセル化部に入力し、前記第2パケットとして、入力した監視パケットに対する、前記第2端末から送信される第2通常パケットとは異なるデータを含む応答パケットが前記カプセル化部より出力されたかどうかによって前記第1端末と前記第2端末との間の通信の正常性を確認する通信正常性確認部と
を備える。
本発明では、端末が定期的な通信をしなくても、通信装置が端末のアドレスと同一のアドレスを用いて監視パケットと応答パケットとを送受信することで、通信の正常性確認を実施することができる。
実施の形態1に係る通信システムの構成を示すブロック図。 実施の形態1に係る第1通信装置の構成を示すブロック図。 実施の形態1に係る第2通信装置の構成を示すブロック図。 実施の形態1に係る管理装置の構成を示すブロック図。 実施の形態1に係る第1通信装置および第2通信装置の動作を示す図。 実施の形態1に係る第1通信装置および管理装置の動作を示す図。 実施の形態1に係る管理装置および第1通信装置の動作を示す図。 実施の形態1の変形例に係る第1通信装置の構成を示すブロック図。 実施の形態1の変形例に係る第2通信装置の構成を示すブロック図。 実施の形態1の変形例に係る管理装置の構成を示すブロック図。
以下、本発明の実施の形態について、図を用いて説明する。各図中、同一または相当する部分には、同一符号を付している。実施の形態の説明において、同一または相当する部分については、説明を適宜省略または簡略化する。なお、本発明は、以下に説明する実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。例えば、以下に説明する実施の形態は、部分的に実施されても構わない。
実施の形態1.
本実施の形態について、図1から図7を用いて説明する。
***構成の説明***
図1を参照して、本実施の形態に係る通信システム10の構成を説明する。
通信システム10は、第1端末11と、第2端末12と、第1通信装置13と、第2通信装置14と、管理装置15とを備える。
第1端末11は、ある拠点に設置された端末である。第1端末11は、例えば、IP電話、PCまたはウェブサーバ等のサーバである。「PC」は、Personal Computerの略語である。
第2端末12は、第1端末11とは別の拠点に設置された端末である。第2端末12は、例えば、IP電話、PCまたはウェブサーバ等のサーバである。
第1通信装置13は、第1端末11と、インターネット等のネットワーク16との間に設置された通信装置である。第1通信装置13は、ネットワーク16を介して第2通信装置14と対向している。すなわち、第1通信装置13は、第2通信装置14にとっての対向装置である。第1通信装置13は、具体的には、IPSec装置である。
第2通信装置14は、第2端末12とネットワーク16との間に設置された通信装置である。第2通信装置14は、ネットワーク16を介して第1通信装置13と対向している。すなわち、第2通信装置14は、第1通信装置13にとっての対向装置である。第2通信装置14は、具体的には、IPSec装置である。
管理装置15は、ネットワーク16を介して各端末および各通信装置を管理する装置である。管理装置15は、具体的には、SPDを管理するIPSec管理装置である。
図2を参照して、本実施の形態に係る第1通信装置13の構成を説明する。
第1通信装置13は、コンピュータである。第1通信装置13は、プロセッサ31を備えるとともに、メモリ32および通信デバイス33といった他のハードウェアを備える。プロセッサ31は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
第1通信装置13は、機能要素として、カプセル化部34と、通信正常性確認部35とを備える。カプセル化部34および通信正常性確認部35の機能は、ソフトウェアにより実現される。
プロセッサ31は、第1通信プログラムを実行する装置である。第1通信プログラムは、カプセル化部34および通信正常性確認部35の機能を実現するプログラムである。プロセッサ31は、例えば、CPU、DSPまたはこれらの組み合わせである。「CPU」は、Central Processing Unitの略語である。「DSP」は、Digital Signal Processorの略語である。
メモリ32は、第1通信プログラムを記憶する装置である。メモリ32は、例えば、RAM、フラッシュメモリまたはこれらの組み合わせである。「RAM」は、Random Access Memoryの略語である。
メモリ32には、監視定義71が記憶される。監視定義71は、監視対象とする端末間の通信における送信元の端末と送信先の端末とのアドレスの組み合わせを示す情報である。監視定義71は、具体的には、エントリごとに、監視対象とする端末間のIP通信における送信元の端末と送信先の端末とのIPアドレスを示すリストである。このリストには、少なくとも、送信元の端末のIPアドレスとして第1端末11のIPアドレスを示し、送信先の端末のIPアドレスとして第2端末12のIPアドレスを示すエントリが含まれている。
通信デバイス33は、第1通信プログラムに入力されるデータを受信するレシーバと、第1通信プログラムから出力されるデータを送信するトランスミッタとを含む。通信デバイス33は、例えば、通信チップまたはNICである。「NIC」は、Network Interface Cardの略語である。
第1通信プログラムは、メモリ32からプロセッサ31に読み込まれ、プロセッサ31によって実行される。メモリ32には、第1通信プログラムだけでなく、OSも記憶されている。「OS」は、Operating Systemの略語である。プロセッサ31は、OSを実行しながら、第1通信プログラムを実行する。なお、第1通信プログラムの一部または全部がOSに組み込まれていてもよい。
第1通信プログラムおよびOSは、補助記憶装置に記憶されていてもよい。補助記憶装置は、例えば、HDD、フラッシュメモリまたはこれらの組み合わせである。「HDD」は、Hard Disk Driveの略語である。第1通信プログラムおよびOSは、補助記憶装置に記憶されている場合、メモリ32にロードされ、プロセッサ31によって実行される。
第1通信装置13は、プロセッサ31を代替する複数のプロセッサを備えていてもよい。これら複数のプロセッサは、第1通信プログラムの実行を分担する。それぞれのプロセッサは、例えば、CPU、DSPまたはこれらの組み合わせである。
第1通信プログラムにより利用、処理または出力されるデータ、情報、信号値および変数値は、メモリ32、補助記憶装置、または、プロセッサ31内のレジスタまたはキャッシュメモリに記憶される。
第1通信プログラムは、カプセル化部34および通信正常性確認部35により行われる処理をそれぞれカプセル化処理および通信正常性確認処理としてコンピュータに実行させる通信プログラムである。第1通信プログラムは、コンピュータ読取可能な媒体に記録されて提供されてもよいし、記録媒体に格納されて提供されてもよいし、プログラムプロダクトとして提供されてもよい。
第1通信装置13は、1台のコンピュータで構成されていてもよいし、複数台のコンピュータで構成されていてもよい。第1通信装置13が複数台のコンピュータで構成されている場合は、カプセル化部34および通信正常性確認部35の機能が、各コンピュータに分散されて実現されてもよい。
図3を参照して、本実施の形態に係る第2通信装置14の構成を説明する。
第2通信装置14は、コンピュータである。第2通信装置14は、プロセッサ41を備えるとともに、メモリ42および通信デバイス43といった他のハードウェアを備える。プロセッサ41は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
第2通信装置14は、機能要素として、カプセル化部44と、通信正常性確認部45とを備える。カプセル化部44および通信正常性確認部45の機能は、ソフトウェアにより実現される。
プロセッサ41は、第2通信プログラムを実行する装置である。第2通信プログラムは、カプセル化部44および通信正常性確認部45の機能を実現するプログラムである。プロセッサ41は、例えば、CPU、DSPまたはこれらの組み合わせである。
メモリ42は、第2通信プログラムを記憶する装置である。メモリ42は、例えば、RAM、フラッシュメモリまたはこれらの組み合わせである。
メモリ42には、監視定義71が記憶される。この監視定義71は、第1通信装置13のメモリ32に記憶される監視定義71と共通である。
通信デバイス43は、第2通信プログラムに入力されるデータを受信するレシーバと、第2通信プログラムから出力されるデータを送信するトランスミッタとを含む。通信デバイス43は、例えば、通信チップまたはNICである。
第2通信プログラムは、メモリ42からプロセッサ41に読み込まれ、プロセッサ41によって実行される。メモリ42には、第2通信プログラムだけでなく、OSも記憶されている。プロセッサ41は、OSを実行しながら、第2通信プログラムを実行する。なお、第2通信プログラムの一部または全部がOSに組み込まれていてもよい。
第2通信プログラムおよびOSは、補助記憶装置に記憶されていてもよい。補助記憶装置は、例えば、HDD、フラッシュメモリまたはこれらの組み合わせである。第2通信プログラムおよびOSは、補助記憶装置に記憶されている場合、メモリ42にロードされ、プロセッサ41によって実行される。
第2通信装置14は、プロセッサ41を代替する複数のプロセッサを備えていてもよい。これら複数のプロセッサは、第2通信プログラムの実行を分担する。それぞれのプロセッサは、例えば、CPU、DSPまたはこれらの組み合わせである。
第2通信プログラムにより利用、処理または出力されるデータ、情報、信号値および変数値は、メモリ42、補助記憶装置、または、プロセッサ41内のレジスタまたはキャッシュメモリに記憶される。
第2通信プログラムは、カプセル化部44および通信正常性確認部45により行われる処理をそれぞれカプセル化処理および通信正常性確認処理としてコンピュータに実行させる通信プログラムである。第2通信プログラムは、コンピュータ読取可能な媒体に記録されて提供されてもよいし、記録媒体に格納されて提供されてもよいし、プログラムプロダクトとして提供されてもよい。
第2通信装置14は、1台のコンピュータで構成されていてもよいし、複数台のコンピュータで構成されていてもよい。第2通信装置14が複数台のコンピュータで構成されている場合は、カプセル化部44および通信正常性確認部45の機能が、各コンピュータに分散されて実現されてもよい。
図4を参照して、本実施の形態に係る管理装置15の構成を説明する。
管理装置15は、コンピュータである。管理装置15は、プロセッサ51を備えるとともに、メモリ52、通信デバイス53、入力機器54およびディスプレイ55といった他のハードウェアを備える。プロセッサ51は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
管理装置15は、機能要素として、監視定義生成部56と、監視定義配信部57とを備える。監視定義生成部56および監視定義配信部57の機能は、ソフトウェアにより実現される。
プロセッサ51は、管理プログラムを実行する装置である。管理プログラムは、監視定義生成部56および監視定義配信部57の機能を実現するプログラムである。プロセッサ51は、例えば、CPUである。
メモリ52は、管理プログラムを記憶する装置である。メモリ52は、例えば、RAM、フラッシュメモリまたはこれらの組み合わせである。
メモリ52には、監視定義71と、セキュリティポリシー情報72とが記憶される。監視定義71は、第1通信装置13および第2通信装置14へ配信されるために記憶される。セキュリティポリシー情報72は、端末のアドレスと、その端末宛のパケットの転送先となる通信装置のアドレスとの対応関係を定義する情報である。セキュリティポリシー情報72は、具体的には、SPDのテーブルである。このテーブルでは、少なくとも、第2端末12のIPアドレスと第2通信装置14のIPアドレスとが対応し、第1通信装置13が第2端末12宛のパケットを暗号化して第2通信装置14へ転送することが定義されている。
通信デバイス53は、管理プログラムに入力されるデータを受信するレシーバと、管理プログラムから出力されるデータを送信するトランスミッタとを含む。通信デバイス53は、例えば、通信チップまたはNICである。
入力機器54は、管理プログラムへのデータの入力のために管理者により操作される機器である。入力機器54は、例えば、マウス、キーボード、タッチパネルまたはこれらの少なくともいずれかの組み合わせである。
ディスプレイ55は、管理プログラムから出力されるデータを画面に表示する機器である。ディスプレイ55は、例えば、LCDである。「LCD」は、Liquid Crystal Displayの略語である。
管理プログラムは、メモリ52からプロセッサ51に読み込まれ、プロセッサ51によって実行される。メモリ52には、管理プログラムだけでなく、OSも記憶されている。プロセッサ51は、OSを実行しながら、管理プログラムを実行する。なお、管理プログラムの一部または全部がOSに組み込まれていてもよい。
管理プログラムおよびOSは、補助記憶装置に記憶されていてもよい。補助記憶装置は、例えば、HDD、フラッシュメモリまたはこれらの組み合わせである。管理プログラムおよびOSは、補助記憶装置に記憶されている場合、メモリ52にロードされ、プロセッサ51によって実行される。
管理装置15は、プロセッサ51を代替する複数のプロセッサを備えていてもよい。これら複数のプロセッサは、管理プログラムの実行を分担する。それぞれのプロセッサは、例えば、CPUである。
管理プログラムにより利用、処理または出力されるデータ、情報、信号値および変数値は、メモリ52、補助記憶装置、または、プロセッサ51内のレジスタまたはキャッシュメモリに記憶される。
管理プログラムは、監視定義生成部56および監視定義配信部57により行われる処理をそれぞれ監視定義生成処理および監視定義配信処理としてコンピュータに実行させるプログラムである。管理プログラムは、コンピュータ読取可能な媒体に記録されて提供されてもよいし、記録媒体に格納されて提供されてもよいし、プログラムプロダクトとして提供されてもよい。
管理装置15は、1台のコンピュータで構成されていてもよいし、複数台のコンピュータで構成されていてもよい。管理装置15が複数台のコンピュータで構成されている場合は、監視定義生成部56および監視定義配信部57の機能が、各コンピュータに分散されて実現されてもよい。
***動作の説明***
図1から図4のほかに、図5から図7を参照して、本実施の形態に係る通信システム10の動作を説明する。通信システム10の動作は、本実施の形態に係る通信正常性確認方法に相当する。
本実施の形態では、定期的な通信が発生しないIPSecネットワーク環境においても、IPSec装置が端末のIPアドレスと同一のIPアドレスを用いて監視パケット81と応答パケット82とを送受信することで、IPSec通信の正常性確認を実施する。すなわち、本実施の形態では、端末が定期的な通信をしなくても、代わりにIPSec装置が定期的な通信を発生させることで正常性確認を実施する。
主に図5を参照して、正常性確認を実施する具体的な手順を説明する。
第1ステップにおいて、第1通信装置13の通信正常性確認部35は、第1端末11および第2端末12のアドレスをそれぞれ送信元および送信先のアドレスとする第1パケットとして、第1端末11から送信される第1通常パケットとは異なるデータを含む監視パケット81を生成する。
本実施の形態では、第1通信装置13の通信正常性確認部35は、監視定義71を参照して監視パケット81の送信元および送信先のアドレスを設定する。なお、監視定義71には、監視対象とする端末間の通信における送信元の端末と送信先の端末とのポート番号の組み合わせがさらに示されていてもよい。その場合、第1通信装置13の通信正常性確認部35は、監視定義71を参照して監視パケット81の送信元および送信先のポート番号を設定する。
具体的には、第1通信装置13の通信正常性確認部35は、監視定義71をメモリ32から読み取り、読み取った監視定義71に従い、第1端末11からの通常パケットを模擬した監視パケット81を生成する。監視パケット81は、第1端末11の通常パケットと識別するために監視パケット81専用のデータパターンがパケット本文に付与される。監視パケット81専用のデータパターンとしては、端末間の通信で使用しないデータパターンがあらかじめ定義される。本実施の形態では、監視パケット81専用のデータパターンとして全ビットが「1」のパターンが用いられるが、全ビットが「0」のパターンまたはその他のパターンが用いられてもよい。
第2ステップにおいて、第1通信装置13の通信正常性確認部35は、生成した監視パケット81を第1通信装置13のカプセル化部34へ送信する。すなわち、第1通信装置13の通信正常性確認部35は、生成した監視パケット81を第1通信装置13のカプセル化部34に入力する。
第3ステップにおいて、第1通信装置13のカプセル化部34は、監視パケット81を通常の端末間通信と同様に処理し、適切な対向IPSec装置である第2通信装置14へ送信する。すなわち、第1通信装置13のカプセル化部34は、入力された監視パケット81をカプセル化して第2通信装置14へ送信する。
本実施の形態では、第1通信装置13のカプセル化部34には、第1パケットとして、監視パケット81および第1通常パケットがそれぞれ第1通信装置13の通信正常性確認部35および第1端末11より入力される。第1通信装置13のカプセル化部34は、入力された第1パケットをカプセル化して第2通信装置14へ送信する。
第4ステップにおいて、第2通信装置14のカプセル化部44は、中継する通信から監視パケット81専用のデータパターンを持つパケットを監視パケット81として選別し、第2通信装置14の通信正常性確認部45へ転送する。すなわち、第2通信装置14のカプセル化部44は、第1パケットをカプセル化したパケットを第1通信装置13から受信し、受信したパケットのカプセル化を解除して得られた第1パケットが監視パケット81であると判定したとき、この監視パケット81を第2通信装置14の通信正常性確認部45に出力する。
本実施の形態では、第2通信装置14のカプセル化部44は、第1パケットをカプセル化したパケットとして、監視パケット81をカプセル化したパケットと第1通常パケットをカプセル化したパケットとを第1通信装置13から受信する。第2通信装置14のカプセル化部44は、受信した各パケットのカプセル化を解除して得られた第1パケットを、第2通信装置14の通信正常性確認部45および第2端末12のうち、得られた第1パケットに含まれているデータに応じた出力先に出力する。第1パケットとして、監視パケット81が第2通信装置14のカプセル化部44より出力された場合に、次の第5ステップの処理が行われる。
第5ステップにおいて、第2通信装置14の通信正常性確認部45は、第2端末12および第1端末11のアドレスをそれぞれ送信元および送信先のアドレスとする第2パケットとして、出力された監視パケット81に対する、第2端末12から送信される第2通常パケットとは異なるデータを含む応答パケット82を生成する。
具体的には、第2通信装置14の通信正常性確認部45は、受信した監視パケット81の送信元と送信先とを入れ替えた形式で、監視パケット81に対する応答パケット82を生成する。
第6ステップにおいて、第2通信装置14の通信正常性確認部45は、生成した応答パケット82を第2通信装置14のカプセル化部44へ送信する。すなわち、第2通信装置14の通信正常性確認部45は、生成した応答パケット82を第2通信装置14のカプセル化部44に入力する。
第7ステップにおいて、第2通信装置14のカプセル化部44は、応答パケット82を通常の端末間通信と同様に処理し、適切な対向IPSec装置である第1通信装置13へ送信する。すなわち、第2通信装置14のカプセル化部44は、入力された応答パケット82をカプセル化して第1通信装置13へ送信する。
本実施の形態では、第2通信装置14のカプセル化部44には、第2パケットとして、応答パケット82および第2通常パケットがそれぞれ第2通信装置14の通信正常性確認部45および第2端末12より入力される。第2通信装置14のカプセル化部44は、入力された第2パケットをカプセル化して第1通信装置13へ送信する。
第8ステップにおいて、第1通信装置13のカプセル化部34は、中継する通信から監視パケット81専用のデータパターンを持つパケットを応答パケット82として選別し、第1通信装置13の通信正常性確認部35へ転送する。すなわち、第1通信装置13のカプセル化部34は、第2パケットをカプセル化したパケットを第2通信装置14から受信し、受信したパケットのカプセル化を解除して得られた第2パケットが応答パケット82であると判定したとき、この応答パケット82を第1通信装置13の通信正常性確認部35に出力する。
本実施の形態では、第1通信装置13のカプセル化部34は、第2パケットをカプセル化したパケットとして、応答パケット82をカプセル化したパケットと第2通常パケットをカプセル化したパケットとを第2通信装置14から受信する。第1通信装置13のカプセル化部34は、受信した各パケットのカプセル化を解除して得られた第2パケットを、通信正常性確認部35および第1端末11のうち、得られた第2パケットに含まれているデータに応じた出力先に出力する。
第9ステップにおいて、第1通信装置13の通信正常性確認部35は、送信した監視パケット81に対する応答パケット82の受信の有無で該当端末間の通信の正常性を判断する。すなわち、第1通信装置13の通信正常性確認部35は、第2パケットとして、入力した監視パケット81に対する応答パケット82がカプセル化部34より出力されたかどうかによって第1端末11と第2端末12との間の通信の正常性を確認する。
具体的には、第1通信装置13の通信正常性確認部35は、監視パケット81の送信から一定時間以内に応答パケット82を受信できた場合には、該当端末間のIPSec通信が正常であると判断する。一方、第1通信装置13の通信正常性確認部35は、監視パケット81の送信から一定時間以内に応答パケット82を一定時間以内に受信できない場合には、該当端末間のIPSec通信が異常であると判断する。第1通信装置13の通信正常性確認部35は、通信異常と判断した場合は、図6に示すように、通信異常通知73を管理装置15へ送信し、管理装置15で異常発生を管理者にメール等により通報するか、ディスプレイ55の画面に表示する。通信異常通知73は、異常が検知された通信における送信元の端末と送信先の端末とのアドレスの組み合わせを示す情報である。
以降、監視定義71に従って正常性確認が繰り返される。
なお、本実施の形態におけるIPSec処理は、パケットの暗号化を伴わないカプセル化処理に置き換えてもよい。
1つの拠点に複数の端末が設置されている場合、それぞれの端末を第1端末11または第2端末12として扱うことができる。定期的に通信を行う端末については、従来の方法により正常性確認を実施し、定期的に通信を行わない端末についてのみ、本実施の形態の手順により正常性確認を実施してもよい。あるいは、重要度の高い端末についてのみ、本実施の形態の手順により正常性確認を実施してもよい。
第5ステップにおいて、第2通信装置14の通信正常性確認部45は、監視パケット81に含まれているデータが基準のデータと一致するかどうかによって第1通信装置13と第2通信装置14との間の通信のデータ誤りの有無を判定し、データ誤りがあれば第1通信装置13へ通知してもよい。基準のデータは、具体的には、監視パケット81専用のデータパターンのことである。データ誤りの通知は、応答パケット82を利用して行ってもよいし、応答パケット82とは別のパケットを送信することで行ってもよい。
第9ステップにおいて、第1通信装置13の通信正常性確認部35は、監視パケット81に対する応答パケット82の返信にかかった時間を計測し、計測結果から、第1通信装置13と第2通信装置14との間の通信の遅延を算出してもよい。その場合、第1通信装置13の通信正常性確認部35は、算出結果を管理装置15へ送信し、管理装置15で遅延を管理者にメール等により通報するか、ディスプレイ55の画面に表示する。
第9ステップにおいて、第1通信装置13の通信正常性確認部35は、応答パケット82に含まれているデータを基準のデータと比較し、比較結果から、第1通信装置13と第2通信装置14との間の通信のデータ誤り率を算出してもよい。その場合、第1通信装置13の通信正常性確認部35は、算出結果を管理装置15へ送信し、管理装置15でデータ誤り率を管理者にメール等により通報するか、ディスプレイ55の画面に表示する。
主に図7を参照して、監視定義71を管理装置15から第1通信装置13へオンラインで配送する手順を説明する。この手順は、正常性確認を実施する手順の前に行われる。
管理装置15の監視定義生成部56は、セキュリティポリシー情報72をメモリ52から読み取る。管理装置15の監視定義生成部56は、セキュリティポリシー情報72から監視定義71を生成する。なお、監視定義71は、自動生成される代わりに、管理者によって作成されてもよい。
管理装置15の監視定義配信部57は、監視定義生成部56により生成された監視定義71を第1通信装置13へ配信する。図示していないが、管理装置15の監視定義配信部57は、同じ監視定義71を第2通信装置14へも配信する。
***実施の形態の効果の説明***
本実施の形態では、端末が定期的な通信をしなくても、通信装置が端末のアドレスと同一のアドレスを用いて監視パケット81と応答パケット82とを送受信することで、通信の正常性確認を実施することができる。
本実施の形態は、第1の効果として、任意の監視間隔で正常性確認が可能となるという効果を奏する。すなわち、端末間の通信内容に関わらず、任意の間隔で正常性確認が実施できる。
本実施の形態は、第2の効果として、通信障害時にIPSec装置間の障害と端末側障害との切り分けが可能となるという効果を奏する。すなわち、通信障害が発生した際に、IPSec装置間の通信が正常に行われることを確認できるため、端末の障害とIPSec装置側の障害との切り分けができる。
本実施の形態は、第3の効果として、IPSec装置間の通信応答とあわせてIPSec装置の障害が検知可能となるという効果を奏する。すなわち、IPSec装置間の通信は正常にも関わらず、端末間の正常性確認が異常の場合は、IPSec装置が故障していると判断できる。
本実施の形態は、第4の効果として、監視機器の設置が不要となりコストが下がるという効果を奏する。
***他の構成***
本実施の形態では、第1通信装置13のカプセル化部34および通信正常性確認部35の機能がソフトウェアにより実現されるが、変形例として、カプセル化部34および通信正常性確認部35の機能がハードウェアにより実現されてもよい。この変形例について、主に本実施の形態との差異を説明する。
図8を参照して、本実施の形態の変形例に係る第1通信装置13の構成を説明する。
第1通信装置13は、電子回路36および通信デバイス33といったハードウェアを備える。
電子回路36は、カプセル化部34および通信正常性確認部35の機能を実現する専用のハードウェアである。電子回路36は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA、FPGA、ASICまたはこれらの少なくともいずれかの組み合わせである。「IC」は、Integrated Circuitの略語である。「GA」は、Gate Arrayの略語である。「FPGA」は、Field−Programmable Gate Arrayの略語である。「ASIC」は、Application Specific Integrated Circuitの略語である。
第1通信装置13は、電子回路36を代替する複数の電子回路を備えていてもよい。これら複数の電子回路は、全体としてカプセル化部34および通信正常性確認部35の機能を実現する。それぞれの電子回路は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA、FPGA、ASICまたはこれらの少なくともいずれかの組み合わせである。
別の変形例として、カプセル化部34および通信正常性確認部35の機能がソフトウェアとハードウェアとの組み合わせにより実現されてもよい。すなわち、カプセル化部34および通信正常性確認部35の機能の一部が専用のハードウェアにより実現され、残りがソフトウェアにより実現されてもよい。
プロセッサ31および電子回路36は、いずれも処理回路である。すなわち、第1通信装置13の構成が図2および図8のいずれに示した構成であっても、カプセル化部34および通信正常性確認部35の動作は、処理回路により行われる。
また、本実施の形態では、第2通信装置14のカプセル化部44および通信正常性確認部45の機能がソフトウェアにより実現されるが、変形例として、カプセル化部44および通信正常性確認部45の機能がハードウェアにより実現されてもよい。この変形例について、主に本実施の形態との差異を説明する。
図9を参照して、本実施の形態の変形例に係る第2通信装置14の構成を説明する。
第2通信装置14は、電子回路46および通信デバイス43といったハードウェアを備える。
電子回路46は、カプセル化部44および通信正常性確認部45の機能を実現する専用のハードウェアである。電子回路46は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA、FPGA、ASICまたはこれらの少なくともいずれかの組み合わせである。
第2通信装置14は、電子回路46を代替する複数の電子回路を備えていてもよい。これら複数の電子回路は、全体としてカプセル化部44および通信正常性確認部45の機能を実現する。それぞれの電子回路は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA、FPGA、ASICまたはこれらの少なくともいずれかの組み合わせである。
別の変形例として、カプセル化部44および通信正常性確認部45の機能がソフトウェアとハードウェアとの組み合わせにより実現されてもよい。すなわち、カプセル化部44および通信正常性確認部45の機能の一部が専用のハードウェアにより実現され、残りがソフトウェアにより実現されてもよい。
プロセッサ41および電子回路46は、いずれも処理回路である。すなわち、第2通信装置14の構成が図3および図9のいずれに示した構成であっても、カプセル化部44および通信正常性確認部45の動作は、処理回路により行われる。
また、本実施の形態では、管理装置15の監視定義生成部56および監視定義配信部57の機能がソフトウェアにより実現されるが、変形例として、監視定義生成部56および監視定義配信部57の機能がハードウェアにより実現されてもよい。この変形例について、主に本実施の形態との差異を説明する。
図10を参照して、本実施の形態の変形例に係る管理装置15の構成を説明する。
管理装置15は、電子回路58、通信デバイス53、入力機器54およびディスプレイ55といったハードウェアを備える。
電子回路58は、監視定義生成部56および監視定義配信部57の機能を実現する専用のハードウェアである。電子回路58は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA、FPGA、ASICまたはこれらの少なくともいずれかの組み合わせである。
管理装置15は、電子回路58を代替する複数の電子回路を備えていてもよい。これら複数の電子回路は、全体として監視定義生成部56および監視定義配信部57の機能を実現する。それぞれの電子回路は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA、FPGA、ASICまたはこれらの少なくともいずれかの組み合わせである。
別の変形例として、監視定義生成部56および監視定義配信部57の機能がソフトウェアとハードウェアとの組み合わせにより実現されてもよい。すなわち、監視定義生成部56および監視定義配信部57の機能の一部が専用のハードウェアにより実現され、残りがソフトウェアにより実現されてもよい。
プロセッサ51および電子回路58は、いずれも処理回路である。すなわち、管理装置15の構成が図4および図10のいずれに示した構成であっても、監視定義生成部56および監視定義配信部57の動作は、処理回路により行われる。
10 通信システム、11 第1端末、12 第2端末、13 第1通信装置、14 第2通信装置、15 管理装置、16 ネットワーク、31 プロセッサ、32 メモリ、33 通信デバイス、34 カプセル化部、35 通信正常性確認部、36 電子回路、41 プロセッサ、42 メモリ、43 通信デバイス、44 カプセル化部、45 通信正常性確認部、46 電子回路、51 プロセッサ、52 メモリ、53 通信デバイス、54 入力機器、55 ディスプレイ、56 監視定義生成部、57 監視定義配信部、58 電子回路、71 監視定義、72 セキュリティポリシー情報、73 通信異常通知、81 監視パケット、82 応答パケット。

Claims (16)

  1. 第1端末および第2端末のアドレスをそれぞれ送信元および送信先のアドレスとする第1パケットが入力され、入力された第1パケットをカプセル化して対向装置へ送信するとともに、前記第2端末および前記第1端末のアドレスをそれぞれ送信元および送信先のアドレスとする第2パケットをカプセル化したパケットを前記対向装置から受信し、受信したパケットのカプセル化を解除して得られた第2パケットを出力するカプセル化部と、
    前記第1パケットとして、前記第1端末から送信される第1通常パケットとは異なるデータを含む監視パケットを生成し、生成した監視パケットを前記カプセル化部に入力し、前記第2パケットとして、入力した監視パケットに対する、前記第2端末から送信される第2通常パケットとは異なるデータを含む応答パケットが前記カプセル化部より出力されたかどうかによって前記第1端末と前記第2端末との間の通信の正常性を確認する通信正常性確認部と
    を備える通信装置。
  2. 前記カプセル化部には、前記第1パケットとして、前記監視パケットおよび前記第1通常パケットがそれぞれ前記通信正常性確認部および前記第1端末より入力される請求項1に記載の通信装置。
  3. 前記カプセル化部は、前記第2パケットをカプセル化したパケットとして、前記応答パケットをカプセル化したパケットと前記第2通常パケットをカプセル化したパケットとを前記対向装置から受信し、受信した各パケットのカプセル化を解除して得られた第2パケットを、前記通信正常性確認部および前記第1端末のうち、得られた第2パケットに含まれているデータに応じた出力先に出力する請求項1または2に記載の通信装置。
  4. 前記通信正常性確認部は、監視対象とする端末間の通信における送信元の端末と送信先の端末とのアドレスの組み合わせを示す監視定義を参照して前記監視パケットの送信元および送信先のアドレスを設定する請求項1から3のいずれか1項に記載の通信装置。
  5. 前記監視定義には、監視対象とする端末間の通信における送信元の端末と送信先の端末とのポート番号の組み合わせがさらに示されており、
    前記通信正常性確認部は、前記監視定義を参照して前記監視パケットの送信元および送信先のポート番号を設定する請求項4に記載の通信装置。
  6. 前記通信正常性確認部は、前記監視パケットに対する前記応答パケットの返信にかかった時間を計測し、計測結果から、前記通信装置と前記対向装置との間の通信の遅延を算出する請求項1から5のいずれか1項に記載の通信装置。
  7. 前記通信正常性確認部は、前記応答パケットに含まれているデータを基準のデータと比較し、比較結果から、前記通信装置と前記対向装置との間の通信のデータ誤り率を算出する請求項1から6のいずれか1項に記載の通信装置。
  8. 第1端末および第2端末のアドレスをそれぞれ送信元および送信先のアドレスとする第1パケットをカプセル化したパケットを対向装置から受信し、受信したパケットのカプセル化を解除して得られた第1パケットを出力するとともに、前記第2端末および前記第1端末のアドレスをそれぞれ送信元および送信先のアドレスとする第2パケットが入力され、入力された第2パケットをカプセル化して前記対向装置へ送信するカプセル化部と、
    前記第1パケットとして、前記第1端末から送信される第1通常パケットとは異なるデータを含む監視パケットが前記カプセル化部より出力された場合に、前記第2パケットとして、出力された監視パケットに対する、前記第2端末から送信される第2通常パケットとは異なるデータを含む応答パケットを生成し、生成した応答パケットを前記カプセル化部に入力する通信正常性確認部と
    を備える通信装置。
  9. 前記カプセル化部には、前記第2パケットとして、前記応答パケットおよび前記第2通常パケットがそれぞれ前記通信正常性確認部および前記第2端末より入力される請求項8に記載の通信装置。
  10. 前記カプセル化部は、前記第1パケットをカプセル化したパケットとして、前記監視パケットをカプセル化したパケットと前記第1通常パケットをカプセル化したパケットとを前記対向装置から受信し、受信した各パケットのカプセル化を解除して得られた第1パケットを、前記通信正常性確認部および前記第2端末のうち、得られた第1パケットに含まれているデータに応じた出力先に出力する請求項8または9に記載の通信装置。
  11. 前記通信正常性確認部は、前記監視パケットに含まれているデータが基準のデータと一致するかどうかによって前記通信装置と前記対向装置との間の通信のデータ誤りの有無を判定し、データ誤りがあれば前記対向装置へ通知する請求項8から10のいずれか1項に記載の通信装置。
  12. 監視対象とする端末間の通信における送信元の端末と送信先の端末とのアドレスの組み合わせを示す監視定義を参照して、第1端末から送信される第1通常パケットとは異なるデータを含み前記第1端末および第2端末のアドレスをそれぞれ送信元および送信先のアドレスとする監視パケットを生成し、生成した監視パケットをカプセル化して第2通信装置へ送信するとともに、前記監視パケットに対する、前記第2端末から送信される第2通常パケットとは異なるデータを含み前記第2端末および前記第1端末のアドレスをそれぞれ送信元および送信先のアドレスとする応答パケットをカプセル化したパケットを前記第2通信装置から受信したかどうかによって前記第1端末と前記第2端末との間の通信の正常性を確認する第1通信装置へ、前記監視定義を配信する監視定義配信部と、
    端末のアドレスと、その端末宛のパケットの転送先となる通信装置のアドレスとの対応関係を定義するセキュリティポリシー情報から、前記監視定義配信部により配信される監視定義を生成する監視定義生成部と
    を備える管理装置。
  13. 第1通信装置が、第1端末から送信される第1通常パケットとは異なるデータを含み前記第1端末および第2端末のアドレスをそれぞれ送信元および送信先のアドレスとする監視パケットを生成し、生成した監視パケットをカプセル化して第2通信装置へ送信し、
    前記第2通信装置が、前記監視パケットをカプセル化したパケットを前記第1通信装置から受信し、受信したパケットのカプセル化を解除して得られた監視パケットに対する、前記第2端末から送信される第2通常パケットとは異なるデータを含み前記第2端末および前記第1端末のアドレスをそれぞれ送信元および送信先のアドレスとする応答パケットを生成し、生成した応答パケットをカプセル化して前記第1通信装置へ送信し、
    前記第1通信装置が、前記応答パケットをカプセル化したパケットを前記第2通信装置から受信したかどうかによって前記第1端末と前記第2端末との間の通信の正常性を確認する通信正常性確認方法。
  14. コンピュータに、
    第1端末および第2端末のアドレスをそれぞれ送信元および送信先のアドレスとする第1パケットが入力され、入力された第1パケットをカプセル化して対向装置へ送信するとともに、前記第2端末および前記第1端末のアドレスをそれぞれ送信元および送信先のアドレスとする第2パケットをカプセル化したパケットを前記対向装置から受信し、受信したパケットのカプセル化を解除して得られた第2パケットを出力するカプセル化処理と、
    前記第1パケットとして、前記第1端末から送信される第1通常パケットとは異なるデータを含む監視パケットを生成し、生成した監視パケットを前記カプセル化処理に入力し、前記第2パケットとして、入力した監視パケットに対する、前記第2端末から送信される第2通常パケットとは異なるデータを含む応答パケットが前記カプセル化処理より出力されたかどうかによって前記第1端末と前記第2端末との間の通信の正常性を確認する通信正常性確認処理と
    を実行させる通信プログラム。
  15. コンピュータに、
    第1端末および第2端末のアドレスをそれぞれ送信元および送信先のアドレスとする第1パケットをカプセル化したパケットを対向装置から受信し、受信したパケットのカプセル化を解除して得られた第1パケットを出力するとともに、前記第2端末および前記第1端末のアドレスをそれぞれ送信元および送信先のアドレスとする第2パケットが入力され、入力された第2パケットをカプセル化して前記対向装置へ送信するカプセル化処理と、
    前記第1パケットとして、前記第1端末から送信される第1通常パケットとは異なるデータを含む監視パケットが前記カプセル化処理より出力された場合に、前記第2パケットとして、出力された監視パケットに対する、前記第2端末から送信される第2通常パケットとは異なるデータを含む応答パケットを生成し、生成した応答パケットを前記カプセル化処理に入力する通信正常性確認処理と
    を実行させる通信プログラム。
  16. コンピュータに、
    監視対象とする端末間の通信における送信元の端末と送信先の端末とのアドレスの組み合わせを示す監視定義を参照して、第1端末から送信される第1通常パケットとは異なるデータを含み前記第1端末および第2端末のアドレスをそれぞれ送信元および送信先のアドレスとする監視パケットを生成し、生成した監視パケットをカプセル化して第2通信装置へ送信するとともに、前記監視パケットに対する、前記第2端末から送信される第2通常パケットとは異なるデータを含み前記第2端末および前記第1端末のアドレスをそれぞれ送信元および送信先のアドレスとする応答パケットをカプセル化したパケットを前記第2通信装置から受信したかどうかによって前記第1端末と前記第2端末との間の通信の正常性を確認する第1通信装置へ、前記監視定義を配信する監視定義配信処理と、
    端末のアドレスと、その端末宛のパケットの転送先となる通信装置のアドレスとの対応関係を定義するセキュリティポリシー情報から、前記監視定義配信処理により配信される監視定義を生成する監視定義生成処理と
    を実行させる管理プログラム。
JP2017245483A 2017-12-21 2017-12-21 通信装置、通信正常性確認方法、通信プログラム Active JP6509317B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017245483A JP6509317B1 (ja) 2017-12-21 2017-12-21 通信装置、通信正常性確認方法、通信プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017245483A JP6509317B1 (ja) 2017-12-21 2017-12-21 通信装置、通信正常性確認方法、通信プログラム

Publications (2)

Publication Number Publication Date
JP6509317B1 JP6509317B1 (ja) 2019-05-08
JP2019114873A true JP2019114873A (ja) 2019-07-11

Family

ID=66429959

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017245483A Active JP6509317B1 (ja) 2017-12-21 2017-12-21 通信装置、通信正常性確認方法、通信プログラム

Country Status (1)

Country Link
JP (1) JP6509317B1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024092655A1 (en) * 2022-11-03 2024-05-10 Telefonaktiebolaget Lm Ericsson (Publ) Method and communication device for communication using ipsec

Also Published As

Publication number Publication date
JP6509317B1 (ja) 2019-05-08

Similar Documents

Publication Publication Date Title
US9160718B2 (en) Selectively performing man in the middle decryption
US11750396B2 (en) Private data processing method, device and medium
US20130305049A1 (en) Secure message transfer and storage
WO2003107626A2 (en) Method for establishing secure network communications
CN104980397A (zh) 即时通信方法、系统和终端
US11032076B2 (en) System and method for testing authentication and reviewing implementation processes of an application programming interface in a software development platform
CN113422686B (zh) 网关层鉴权方法、系统、电子设备及存储介质
EP3855382A1 (en) Method, apparatus, medium and program for performing review based on blockchain
JP6509317B1 (ja) 通信装置、通信正常性確認方法、通信プログラム
WO2016170641A1 (ja) プログラム更新装置、複合ユニット装置、更新判定プログラム及びプログラム更新方法
CN116011590A (zh) 联邦学习方法、装置和系统
CN114326364A (zh) 用于高可用性工业控制器中的安全连接的系统和方法
KR101624221B1 (ko) 웹 브라우저와 네이티브 모듈 간의 통신 방법 및 이를 수행하기 위한 단말
CN113132320A (zh) 一种加密传输方法、装置及电子设备
US11722477B2 (en) Automated renewal of certificates across a distributed computing security system
WO2017047087A1 (ja) データ検査システム、データ検査方法とそのプログラムを格納した記憶媒体
CN115883200B (zh) 一种日志的安全管理方法、装置、平台及介质
US11368305B2 (en) Hardware security module extension
CN111193586A (zh) 一种信息处理方法、分组传送网设备及量子密钥设备
JP2020046781A (ja) 情報処理装置、情報処理システム及び情報処理方法
WO2024007860A1 (zh) 基于区块链的数据检测方法、装置、设备、存储介质及程序产品
EP2120404A1 (en) Communication terminal, terminal, communication system, communication method, and program
CN112822020B (zh) 网络请求方法、装置、计算机设备及存储介质
WO2023140128A1 (ja) 情報処理システム、情報処理方法及びプログラム
CN110806740B (zh) 分布式系统的安全检测方法及系统、电子设备、存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180821

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181005

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190305

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190402

R150 Certificate of patent or registration of utility model

Ref document number: 6509317

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250