JP2019145889A - スイッチングハブ及び制御通信ネットワークシステム - Google Patents
スイッチングハブ及び制御通信ネットワークシステム Download PDFInfo
- Publication number
- JP2019145889A JP2019145889A JP2018025648A JP2018025648A JP2019145889A JP 2019145889 A JP2019145889 A JP 2019145889A JP 2018025648 A JP2018025648 A JP 2018025648A JP 2018025648 A JP2018025648 A JP 2018025648A JP 2019145889 A JP2019145889 A JP 2019145889A
- Authority
- JP
- Japan
- Prior art keywords
- controller
- data
- control
- switching hub
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【課題】制御データの送受信の際にアドレスなどを設定する作業の手間を削減できるスイッチングハブ及び制御通信ネットワークシステムを提供する。【解決手段】データ内の特定の制御コマンドの検出に応じて、スイッチングハブ101,102に相手先のコントローラ121,122のアドレスと仮想トンネルの情報とを保持することにより、以後送信される制御データを、保持された情報に基づいて送信する。【選択図】図4
Description
この発明は、スイッチングハブ及びスイッチングハブを用いた制御通信ネットワークシステムに関するものである。
発電などの重要インフラにおいてインフラ内の設備の監視・制御などに利用される制御システムは、一般に、重要インフラの設備を制御する複数のコントローラと、これらコントローラ間で制御通信を行い、ネットワークを構築するための通信装置からなる。
近年、この制御システムにおいては、IP(Internet Protocol)などの汎用技術の使用、及びインターネット等への接続によるオープン化が進んでいる。このオープン化により、サイバー攻撃を受け易くなるというセキュリティ上の脅威が高まっている。
このセキュリティ上の脅威の一つに、悪意のある第三者による通信の盗聴・改ざんがある。仮に制御通信の通信内容が改ざんされた場合、改ざんされた通信内容を受け取ったコントローラが重要インフラ内の設備を、意図と異なる方向に異常制御することにより、設備損壊等に至る可能性がある。
このような問題を回避する手法の一つとして、通信内容に電子署名を付加する改ざん防止方法が知られている(例えば、特許文献1参照)。また、他の手法として通信の暗号化が知られている。これは例えば、ルータ、又はスイッチなどのネットワークを構築する通信装置において、IPsec(RFC6071)、又はMACsec(IEEE802.1X−2010)などを使用することにより、ネットワーク上の制御通信を暗号化する方法である。
従来の電子署名を付加する手法では、改ざんを防止することはできるが、通信の盗聴を防ぐことはできない。盗聴を防ぐための手法として通信の暗号化が知られているが、暗号化対象とする制御通信の宛先・送信元IPアドレス、又は宛先・送信元MACアドレス等を、暗号化を行う通信装置に対して個別に設定する必要があり、コントローラ数が多い場合、設定作業の手間が生じるという課題があった。この発明はこのような課題を解決するためになされたものである。
この発明に係るスイッチングハブは、
マスタである第1のコントローラ、またはスレーブである第2のコントローラに接続され、データの送受信を行うものであって、
データが制御に係るデータであるか否かを識別するデータ送受信部、このデータ送受信部で制御に係るデータであると識別された制御データのみを仮想トンネルで送受信するための暗号化及び復号を行うトンネル処理部、制御データ内の特定の制御コマンドの検出に応じて、データ内の第1のコントローラ又は第2のコントローラのアドレスと仮想トンネルの情報とを保持する情報保持部を備え、
第2のコントローラに接続される場合、第2のコントローラから受信した第1のコントローラに送信するための制御データ内の特定の制御コマンドの検出に応じて、制御データ内に格納されている第1のコントローラのアドレスと仮想トンネルの情報とを情報保持部に保持し、保持された情報に基づいて以後の制御データを送信し、
第1のコントローラに接続される場合、第2のコントローラから受信した第1のコントローラに送信する制御データ内の特定の制御コマンドの検出に応じて、制御データに格納されっている第2のコントローラのアドレスと仮想トンネルの情報とを情報保持部に保持し、保持された情報に基づいて以後の制御データを送信することを特徴とする。
マスタである第1のコントローラ、またはスレーブである第2のコントローラに接続され、データの送受信を行うものであって、
データが制御に係るデータであるか否かを識別するデータ送受信部、このデータ送受信部で制御に係るデータであると識別された制御データのみを仮想トンネルで送受信するための暗号化及び復号を行うトンネル処理部、制御データ内の特定の制御コマンドの検出に応じて、データ内の第1のコントローラ又は第2のコントローラのアドレスと仮想トンネルの情報とを保持する情報保持部を備え、
第2のコントローラに接続される場合、第2のコントローラから受信した第1のコントローラに送信するための制御データ内の特定の制御コマンドの検出に応じて、制御データ内に格納されている第1のコントローラのアドレスと仮想トンネルの情報とを情報保持部に保持し、保持された情報に基づいて以後の制御データを送信し、
第1のコントローラに接続される場合、第2のコントローラから受信した第1のコントローラに送信する制御データ内の特定の制御コマンドの検出に応じて、制御データに格納されっている第2のコントローラのアドレスと仮想トンネルの情報とを情報保持部に保持し、保持された情報に基づいて以後の制御データを送信することを特徴とする。
この発明によれば、スイッチングハブで受信される制御データの特定の制御コマンドの検出に応じてアドレスと仮想トンネルの情報をスイッチングハブ内の情報保持部に保持することにより、以後の制御データの送受信の際にアドレスなどを設定する作業の手間を削減できる。
実施の形態1.
図1は、本発明の実施の形態1のネットワークシステムの接続図である。実施の形態1では、通信装置としてスイッチングハブ101、102、103を用いる。スイッチングハブ101はネットワーク111とコントローラ121とに接続され、スイッチングハブ102はネットワーク111とコントローラ122とに接続され、スイッチングハブ103はネットワーク111とコントローラ123とに接続される。制御データ以外のコントローラ間のデータ通信は、スイッチングハブ101から103で行先を判別し、ネットワーク111を経由して送受信される。
図1は、本発明の実施の形態1のネットワークシステムの接続図である。実施の形態1では、通信装置としてスイッチングハブ101、102、103を用いる。スイッチングハブ101はネットワーク111とコントローラ121とに接続され、スイッチングハブ102はネットワーク111とコントローラ122とに接続され、スイッチングハブ103はネットワーク111とコントローラ123とに接続される。制御データ以外のコントローラ間のデータ通信は、スイッチングハブ101から103で行先を判別し、ネットワーク111を経由して送受信される。
制御データは、ネットワーク111を経由するのではなく、暗号化のために構築された仮想トンネル131、132を使って送受信される。仮想トンネル131のエンドポイントはスイッチングハブ101とスイッチングハブ102であり、仮想トンネル132のエンドポイントはスイッチングハブ101とスイッチングハブ103である。実施の形態1では、仮想トンネル131と132をIPSecトンネル・モードによって構築するが、その他の暗号化方法を用いてもよい。
ここで、制御データの送受信はユニキャストで行われ、実施の形態1では、コントローラ121をマスタ、コントローラ122と123をスレーブとする。コントローラが行う制御データ通信はIPパケットにより行われ、マスタとスレーブ間でのみ行われる。
図2は、この制御データの通信のためのIPパケット201のデータ構成図である。IPパケット201は、Ethernetヘッダ部202と、IPヘッダ部203と、ペイロード部204とからなる。さらに、ペイロード部204は、制御コマンド部205と、制御データ部206とその他データ部207とからなり、IPパケット201内に制御データであることを示すフラグを格納する。実施の形態1では、ペイロード部204に制御データであることを示すフラグを格納する。IPアドレスはIPヘッダ部203に格納されている。
図3は、図1のネットワークシステムにおいて、図2で示した制御データのIPパケット201を送受信する制御通信のシーケンスである。コントローラ121とコントローラ122との制御通信を例に示したが、コントローラ121と123との間においてもシーケンスは同じである。
まず、スレーブであるコントローラ122は、IPパケット201の制御コマンド部205に、「初期化」を示す情報を格納したIPパケット301をマスタであるコントローラ121へ送信する(図3中、シーケンスP)。このIPパケットを受信したコントローラ121は、制御コマンド部205に「データ送信要求」を示す情報を格納したIPパケット302をコントローラ122へ送信する(図3中、シーケンスQ)。すると、コントローラ122は、制御コマンド部205に「応答」を示す情報を格納し、制御データ部206に要求されたデータを格納したIPパケット303をコントローラ121へ送信する(図3中、シーケンスR)。以後、この要求と応答のやりとりをマスタとスレーブとの間で繰り返す。
図3にて説明したシーケンスP、Q、Rにおけるスイッチングハブ101、102の動作を図4により詳細に説明する。
図4は、実施の形態1のスイッチングハブ101、102の接続構成図である。スイッチングハブ101において、ポート501はコントローラ122と接続するポートであり、パケット送受信部511とトンネル処理部512と接続される。パケット送受信部511はトンネル処理部512と情報保持部513とポート502と接続され、トンネル処理部512は、情報保持部513とポート502と仮想トンネル131と接続される。情報保持部513は、IPアドレスと仮想トンネルのエントリデータを保持する。ポート502は、ネットワーク111と接続される。また、スイッチングハブ102において、ポート401はコントローラ121と接続するポートであり、パケット送受信部411とトンネル処理部412と接続される。パケット送受信部411はトンネル処理部412と情報保持部413とポート402と接続され、トンネル処理部412は、情報保持部513とポート502と仮想トンネル131及び仮想トンネル132と接続される。ポート402は、ネットワーク111と接続される。仮想トンネル132は、スイッチングハブ103と接続される。スイッチングハブ103の構成はスイッチングハブ102の構成と同一である。
図4は、実施の形態1のスイッチングハブ101、102の接続構成図である。スイッチングハブ101において、ポート501はコントローラ122と接続するポートであり、パケット送受信部511とトンネル処理部512と接続される。パケット送受信部511はトンネル処理部512と情報保持部513とポート502と接続され、トンネル処理部512は、情報保持部513とポート502と仮想トンネル131と接続される。情報保持部513は、IPアドレスと仮想トンネルのエントリデータを保持する。ポート502は、ネットワーク111と接続される。また、スイッチングハブ102において、ポート401はコントローラ121と接続するポートであり、パケット送受信部411とトンネル処理部412と接続される。パケット送受信部411はトンネル処理部412と情報保持部413とポート402と接続され、トンネル処理部412は、情報保持部513とポート502と仮想トンネル131及び仮想トンネル132と接続される。ポート402は、ネットワーク111と接続される。仮想トンネル132は、スイッチングハブ103と接続される。スイッチングハブ103の構成はスイッチングハブ102の構成と同一である。
このような構成を有するスイッチングハブ101、102のハードウエアの一例を図5に示す。プロセッサ1と記憶装置2から構成され、図示していないが、記憶装置はランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを具備する。また、フラッシュメモリの代わりにハードディスクの補助記憶装置を具備してもよい。プロセッサ1は、記憶装置2から入力されたプログラムを実行し、上述したスイッチングハブ101、102の構成の一部又は全部を遂行する。この場合、補助記憶装置から揮発性記憶装置を介してプロセッサ1にプログラムが入力される。また、プロセッサ1は、演算結果等のデータを記憶装置2の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。
(1)シーケンスPでのスイッチングハブ101、102の動作
図4に示されたスイッチングハブ101、102のシーケンスPでの動作の処理フローを図6に示す。図6中、スイッチングハブ102の処理フロー6A、スイッチングハブ101の処理フロー6Bと示す。
パケット送受信部511は、コントローラ122から「初期化」を示す情報を格納したIPパケット301を受信すると(図6中、処理601)、受信したIPパケット301のペイロード部204を参照し、フラグの有無により、IPパケット301が制御通信のパケットか否かを判断する(処理602)。制御通信のパケットでなかった場合には、ポート502にIPパケットを転送する(処理604)。制御通信のパケットの場合、IPパケット301の制御コマンド部205が「初期化」を示す場合(処理603)、IPパケット301の送信先IPアドレスであるコントローラ121のIPアドレスと仮想トンネル131をエントリデータA01として情報保持部513に保持し(エントリ登録と称す。処理605及び図7参照)、トンネル処理部512にIPパケットを転送する(処理606)。制御コマンド部205が「初期化」を示さない場合、情報保持部513に情報を保持することなくトンネル処理部512にIPパケットを転送する。
スイッチングハブ102に構築される仮想トンネルは、仮想トンネル131の一つのみであることから、情報保持部513に登録されるのも仮想トンネル131の一意に決まる。
図4に示されたスイッチングハブ101、102のシーケンスPでの動作の処理フローを図6に示す。図6中、スイッチングハブ102の処理フロー6A、スイッチングハブ101の処理フロー6Bと示す。
パケット送受信部511は、コントローラ122から「初期化」を示す情報を格納したIPパケット301を受信すると(図6中、処理601)、受信したIPパケット301のペイロード部204を参照し、フラグの有無により、IPパケット301が制御通信のパケットか否かを判断する(処理602)。制御通信のパケットでなかった場合には、ポート502にIPパケットを転送する(処理604)。制御通信のパケットの場合、IPパケット301の制御コマンド部205が「初期化」を示す場合(処理603)、IPパケット301の送信先IPアドレスであるコントローラ121のIPアドレスと仮想トンネル131をエントリデータA01として情報保持部513に保持し(エントリ登録と称す。処理605及び図7参照)、トンネル処理部512にIPパケットを転送する(処理606)。制御コマンド部205が「初期化」を示さない場合、情報保持部513に情報を保持することなくトンネル処理部512にIPパケットを転送する。
スイッチングハブ102に構築される仮想トンネルは、仮想トンネル131の一つのみであることから、情報保持部513に登録されるのも仮想トンネル131の一意に決まる。
パケット送受信部511からトンネル処理部512に転送されたIPパケット301は、暗号化され、仮想トンネル131を使用して、マスタであるスイッチングハブ101に送信する(処理607)。
スイッチングハブ101は仮想トンネル131を経由して受信したIPパケット301をトンネル処理部412で復号し(処理701)、パケット送受信部411に送信する。パケット送受信部411でIPパケットのペイロード部204を参照し、IPパケット301が制御通信のパケットであり(処理702)、制御コマンド部205が「初期化」を示すため(処理703)、情報保持部413に、IPパケット301の送信元IPアドレスであるコントローラ122と仮想トンネル131のエントリデータA02をエントリ登録する(処理704、及び図7参照)。パケット送受信部411は、復号されたIPパケット301をポート401を経由してコントローラ121へ転送する(処理705)。
(2)シーケンスQでのスイッチングハブ101、102の動作
図4に示されたスイッチングハブ101、102のシーケンスQでの動作の処理フローを図8に示す。図8中、スイッチングハブ101の処理フロー8B、スイッチングハブ102の処理フロー8Aと示す。
コントローラ121が制御データの要求のためIPパケット302をコントローラ122へ送信する場合、コントローラ121から制御データの送信要求のためのIPパケット302を受信すると(図8中、処理801)、受信したIPパケット302のペイロード部204を参照し、IPパケット302が制御通信のパケットである場合(処理802)、IPパケット302は「初期化」を示す制御コマンドではないため(処理803)、情報保持部413にエントリ登録することなくトンネル処理部412にIPパケットを転送する(処理806)。パケット送受信部411は、情報保持部413に保持されているエントリデータA02を参照し(処理807)、IPパケット302の宛先がコントローラ122であるため、IPパケット302をトンネル処理部412で暗号化し、仮想トンネル131経由でスイッチングハブ102へ転送する(処理808)。
図4に示されたスイッチングハブ101、102のシーケンスQでの動作の処理フローを図8に示す。図8中、スイッチングハブ101の処理フロー8B、スイッチングハブ102の処理フロー8Aと示す。
コントローラ121が制御データの要求のためIPパケット302をコントローラ122へ送信する場合、コントローラ121から制御データの送信要求のためのIPパケット302を受信すると(図8中、処理801)、受信したIPパケット302のペイロード部204を参照し、IPパケット302が制御通信のパケットである場合(処理802)、IPパケット302は「初期化」を示す制御コマンドではないため(処理803)、情報保持部413にエントリ登録することなくトンネル処理部412にIPパケットを転送する(処理806)。パケット送受信部411は、情報保持部413に保持されているエントリデータA02を参照し(処理807)、IPパケット302の宛先がコントローラ122であるため、IPパケット302をトンネル処理部412で暗号化し、仮想トンネル131経由でスイッチングハブ102へ転送する(処理808)。
スイッチングハブ102は、仮想トンネル131を経由して受信したIPパケット302をトンネル処理部512で復号し、パケット送受信部511に送信する(処理901)。
パケット送受信部511でIPパケットのペイロード部204を参照し、IPパケット301が制御通信のパケットであるが(処理902)、制御コマンド部205が「データ送信要求」を示すもので、「初期化」を示すものでないため、情報保持部513に、エントリ登録しない(処理903)。パケット送受信部411は、復号されたIPパケット302をポート501を経由してコントローラ122へ転送する(処理905)。
パケット送受信部511でIPパケットのペイロード部204を参照し、IPパケット301が制御通信のパケットであるが(処理902)、制御コマンド部205が「データ送信要求」を示すもので、「初期化」を示すものでないため、情報保持部513に、エントリ登録しない(処理903)。パケット送受信部411は、復号されたIPパケット302をポート501を経由してコントローラ122へ転送する(処理905)。
(3)シーケンスRでのスイッチングハブ101、102の動作
図4に示されたスイッチングハブ101、102のシーケンスRでの動作の処理フローを図9に示す。図9中、スイッチングハブ102の処理フロー9A、スイッチングハブ101の処理フロー9Bと示す。
コントローラ122は、受信したIPパケット302の応答として、IPパケット303をコントローラ121へ送信する。コントローラ121から制御データの送信要求のためのIPパケット303を受信すると(図9中、処理1001)、受信したIPパケット303のペイロード部204を参照し、IPパケット302が制御通信のパケットであるが(処理1002)、IPパケット303の制御コマンド部205は「応答」を示す制御コマンドであり、「初期化」を示す制御コマンドではないため(処理1003)、情報保持部513にデータを保持することなくトンネル処理部512にIPパケットを転送する(処理1006)。パケット送受信部511は、情報保持部513に保持されているエントリデータA01を参照し、IPパケット303の宛先がコントローラ121であるため、IPパケット303をトンネル処理部512で暗号化し、仮想トンネル131経由でスイッチングハブ102へ転送する。
図4に示されたスイッチングハブ101、102のシーケンスRでの動作の処理フローを図9に示す。図9中、スイッチングハブ102の処理フロー9A、スイッチングハブ101の処理フロー9Bと示す。
コントローラ122は、受信したIPパケット302の応答として、IPパケット303をコントローラ121へ送信する。コントローラ121から制御データの送信要求のためのIPパケット303を受信すると(図9中、処理1001)、受信したIPパケット303のペイロード部204を参照し、IPパケット302が制御通信のパケットであるが(処理1002)、IPパケット303の制御コマンド部205は「応答」を示す制御コマンドであり、「初期化」を示す制御コマンドではないため(処理1003)、情報保持部513にデータを保持することなくトンネル処理部512にIPパケットを転送する(処理1006)。パケット送受信部511は、情報保持部513に保持されているエントリデータA01を参照し、IPパケット303の宛先がコントローラ121であるため、IPパケット303をトンネル処理部512で暗号化し、仮想トンネル131経由でスイッチングハブ102へ転送する。
スイッチングハブ101は仮想トンネル131を経由して受信したIPパケット303をトンネル処理部412で復号し、パケット送受信部411に送信する(処理1101)。パケット送受信部411でIPパケットのペイロード部204を参照し、IPパケット303が制御通信のパケットであり、制御コマンド部205が「応答」を示す制御コマンドで、「初期化」を示す制御コマンドでないため、情報保持部413に、エントリ登録しない(処理1103)。パケット送受信部411は、復号されたIPパケット303をポート401を経由してコントローラ121へ転送する(処理1105)。
図1で示したコントローラ121とコントローラ123との間の通信も、コントローラ121とコントローラ122との間の通信と同じである。この時、スイッチングハブ103が保持するIPアドレスと仮想トンネルのデータは図7のエントリデータA03に示す通りである。また、コントローラ121と122、121と123の間の通信が同時に行われている場合、スイッチングハブ101が保持するIPアドレスと仮想トンネルのデータは図7のエントリデータA04に示す通りである。この場合、スイッチングハブ101のパケット送受信部411は、情報保持部413のエントリデータを参照し、受信したIPパケットの宛先IPアドレスに対応するエントリデータがあれば、そのエントリが示す仮想トンネルを特定し、IPパケットを転送する。
以上のようにIPパケットの制御コマンドの「初期化」メッセージにより、エントリデータをスイッチングハブに保持するように構成することで、スイッチングハブ101、102、及び103のそれぞれに宛先・送信元IPアドレス、又は宛先・送信元MACアドレスを設定する作業は削減しつつ、制御通信のみを暗号化および復号することができる。
実施の形態2.
実施の形態1では、パケット送受信部は制御コマンド部205が初期化であることを条件に制御通信を検知した。実施の形態2では、任意の制御コマンドを使用する方法を示す。
図10は、実施の形態2におけるスイッチングハブ101、102の構成図である。図10では、図4に対し、新たに検知対象コマンド保持部421、521を追加し、パケット送受信部411、511と接続した。その他は図4と同じである。
実施の形態1では、パケット送受信部は制御コマンド部205が初期化であることを条件に制御通信を検知した。実施の形態2では、任意の制御コマンドを使用する方法を示す。
図10は、実施の形態2におけるスイッチングハブ101、102の構成図である。図10では、図4に対し、新たに検知対象コマンド保持部421、521を追加し、パケット送受信部411、511と接続した。その他は図4と同じである。
図10に示されたスイッチングハブ101、102の動作の処理フローの一例を図11に示す。図11中、スイッチングハブ102の処理フロー11A、スイッチングハブ101の処理フロー11Bと示す。
実施の形態1の図5の処理フローでは、「初期化」を検知対象としてエントリ登録を行っていたが、実施の形態2では、図12に示すように、ユーザが設定できる検知対象コマンドB01を検知対象とすることができる。
即ち、図10、図11において、パケット送受信部511は、コントローラ122からIPパケット301を受信すると(図11中、処理601)、受信したIPパケット301のペイロード部204を参照し、フラグの有無により、IPパケット301が制御通信のパケットか否かを判断する(処理602)。制御通信のパケットでなかった場合には、ポート502にIPパケット301を転送する(処理604)。制御通信のパケットの場合、IPパケット301の制御コマンド部205が、検知対象コマンド保持部521から取得した(処理1203)検知対象コマンドを示す場合(処理1204)、IPパケット301の送信先IPアドレスであるコントローラ121のIPアドレスと仮想トンネル131をエントリデータA01(図7参照)として情報保持部513にエントリ登録し(処理605)、トンネル処理部512にIPパケット301を転送する(処理606)。制御コマンド部205が検知対象コマンドを示さない場合、情報保持部513に情報を保持することなくトンネル処理部512にIPパケット301を転送する。ここで、検知対象コマンド保持部521には事前にユーザが希望する制御コマンドを登録しておく。
即ち、図10、図11において、パケット送受信部511は、コントローラ122からIPパケット301を受信すると(図11中、処理601)、受信したIPパケット301のペイロード部204を参照し、フラグの有無により、IPパケット301が制御通信のパケットか否かを判断する(処理602)。制御通信のパケットでなかった場合には、ポート502にIPパケット301を転送する(処理604)。制御通信のパケットの場合、IPパケット301の制御コマンド部205が、検知対象コマンド保持部521から取得した(処理1203)検知対象コマンドを示す場合(処理1204)、IPパケット301の送信先IPアドレスであるコントローラ121のIPアドレスと仮想トンネル131をエントリデータA01(図7参照)として情報保持部513にエントリ登録し(処理605)、トンネル処理部512にIPパケット301を転送する(処理606)。制御コマンド部205が検知対象コマンドを示さない場合、情報保持部513に情報を保持することなくトンネル処理部512にIPパケット301を転送する。ここで、検知対象コマンド保持部521には事前にユーザが希望する制御コマンドを登録しておく。
スイッチングハブ101は仮想トンネル131を経由して受信したIPパケット301をトンネル処理部412で復号し(処理701)、パケット送受信部411に送信する。パケット送受信部411でIPパケット301のペイロード部204を参照し、IPパケット301が制御通信のパケットであり(処理702)、制御コマンド部205が検知対象コマンド保持部421にエントリ登録されているコマンドを示すため(処理1303)、情報保持部413に、IPパケット301の送信元IPアドレスであるコントローラ122と仮想トンネル131のエントリデータA02(図7参照)をエントリ登録する(処理704)。パケット送受信部411は、復号されたIPパケット301をポート401を経由してコントローラ121へ転送する(処理705)。
以上のように構成することで、実施の形態1に比べ、暗号化対象とする制御通信をより柔軟に決めることができるようになった。
実施の形態3.
実施の形態2では、検知対象コマンド保持部421、521に対し、検知対象コマンドを事前にユーザが登録していた。実施の形態3では、この検知対象コマンドをスイッチングハブ間で自動的に登録する方法を示す。
実施の形態2では、検知対象コマンド保持部421、521に対し、検知対象コマンドを事前にユーザが登録していた。実施の形態3では、この検知対象コマンドをスイッチングハブ間で自動的に登録する方法を示す。
実施の形態3では、図13に示すIPパケット201aをスイッチングハブ101、102及び103が定期的に送信する。図13は、図2のIPパケット201とペイロード部204の内容のみが異なる。Ethernetヘッダ部202およびIPヘッダ部の宛先は、例えばネットワーク111を介してブロードキャストとしても良い。広告コマンド部1401には、実施の形態2で説明した検知対象コマンドを格納する。
図14は、実施の形態3におけるパケット送受信部411、511の動作の処理フローを示す図である。図14中、14Aがスイッチングハブ102の処理フロー、14Bがスイッチングハブ101の処理フローである。
図14では、実施の形態2で説明した図11の処理と同時に、または前後して、パケット送受信部511がIPパケット201aを定期的に受信する(図14中、処理601)。受信したIPパケット201aは制御通信パケットではないため、ポート502へ転送され(処理604)、ネットワーク111を介してスイッチングハブ101に送信される。
スイッチングハブ101のパケット送受信部411は、ポート401からIPパケット201aを受信する(処理1501)。IPパケット201aがコマンド広告のパケットの場合(処理1502)、IPパケット201aに格納された検知対象コマンドを検知対象コマンド保持部421に登録する(処理1503)。
これにより、例えばスイッチングハブ101にのみ事前にユーザが任意の制御コマンドを登録しておくことで、スイッチングハブ101から図13に示すパケットを定期的に送信することで、スイッチングハブ102および103へ制御コマンドを自動的に登録できる。
図14では、実施の形態2で説明した図11の処理と同時に、または前後して、パケット送受信部511がIPパケット201aを定期的に受信する(図14中、処理601)。受信したIPパケット201aは制御通信パケットではないため、ポート502へ転送され(処理604)、ネットワーク111を介してスイッチングハブ101に送信される。
スイッチングハブ101のパケット送受信部411は、ポート401からIPパケット201aを受信する(処理1501)。IPパケット201aがコマンド広告のパケットの場合(処理1502)、IPパケット201aに格納された検知対象コマンドを検知対象コマンド保持部421に登録する(処理1503)。
これにより、例えばスイッチングハブ101にのみ事前にユーザが任意の制御コマンドを登録しておくことで、スイッチングハブ101から図13に示すパケットを定期的に送信することで、スイッチングハブ102および103へ制御コマンドを自動的に登録できる。
以上のように構成することで、実施の形態2に比べ、ユーザの設定作業を削減することができるようになった。
なお、この発明は、その発明の範囲内において、各実施の形態を自由に組み合わせたり、各実施の形態を適宜、変形、省略することが可能である。また、同一符号は同一又は相当する構成を示す。
101、102,103:スイッチングハブ、111:ネットワーク、
121、122、123:コントローラ、131,132:仮想トンネル、
201、201a、301、302、303:IPパケット、
411、511:パケット送受信部、412、512:トンネル処理部、
413、513:情報保持部、421、521:検知対象コマンド保持部
121、122、123:コントローラ、131,132:仮想トンネル、
201、201a、301、302、303:IPパケット、
411、511:パケット送受信部、412、512:トンネル処理部、
413、513:情報保持部、421、521:検知対象コマンド保持部
Claims (8)
- マスタである第1のコントローラ、またはスレーブである第2のコントローラに接続され、データの送受信を行うスイッチングハブにおいて、
前記データが制御に係るデータであるか否かを識別するデータ送受信部、前記データ送受信部で制御に係るデータであると識別された制御データのみを仮想トンネルで送受信するための暗号化及び復号を行うトンネル処理部、前記制御データ内の特定の制御コマンドの検出に応じて、前記第1のコントローラ又は前記第2のコントローラのアドレスと前記仮想トンネルの情報とを保持する情報保持部を備え、
前記第2のコントローラに接続される場合、前記第2のコントローラから受信した前記第1のコントローラに送信するための制御データ内の特定の制御コマンドの検出に応じて、前記制御データ内に格納されている前記第1のコントローラのアドレスと前記仮想トンネルの情報とを前記情報保持部に保持し、保持された情報に基づいて以後の制御データを送信し、
前記第1のコントローラに接続される場合、前記第2のコントローラから受信した前記第1のコントローラに送信する前記制御データ内の前記特定の制御コマンドの検出に応じて、前記制御データ内に格納されている前記第2のコントローラのアドレスと前記仮想トンネルの情報とを前記情報保持部に保持し、保持された情報に基づいて以後の制御データを送信することを特徴とするスイッチングハブ。 - 前記データはIPパケットデータであることを特徴とする請求項1に記載のスイッチングハブ。
- 前記特定の制御コマンドは前記第1又は前記第2のコントローラを使用するユーザにより設定可能であることを特徴とする請求項1または2に記載のスイッチングハブ。
- 前記ユーザにより設定された前記特定の制御コマンドを格納する検知対象コマンド保持部を有する請求項3に記載のスイッチングハブ。
- マスタである第1のコントローラに接続された第1のスイッチングハブ、スレーブである第2のコントローラに接続された第2のスイッチングハブ、前記第1のスイッチングハブと前記第2のスイッチングハブとを接続する仮想トンネルを備えた制御通信ネットワークシステムにおいて、
前記第2のスイッチングハブは、前記第2のコントローラから受信したデータが制御に係るデータであるか否かを識別するデータ送受信部、前記データ送受信部で制御に係るデータであると識別された制御データのみを前記仮想トンネルで送受信するための暗号化を行う第2のトンネル処理部、前記第2のコントローラから受信した前記第1のコントローラに送信するための制御データ内の特定の制御コマンドの検出に応じて、前記制御データ内に格納されている前記第1のコントローラのアドレスと前記仮想トンネルの情報とを保持する第2の情報保持部を備え、
前記第1のスイッチングハブは、前記仮想トンネルから受信した前記制御データを復号する第1のトンネル処理部、前記制御データ内の前記特定の制御コマンドの検出に応じて、前記制御データ内に格納されている前記第2のコントローラのアドレスと前記仮想トンネルの情報とを保持する第1の情報保持部を備え、
特定の制御コマンドを新たに受信するまで、前記第1の情報保持部及び前記第2の情報保持部に保持された情報に基づいて制御データの送信を行うことを特徴とする制御通信ネットワークシステム。 - 前記特定の制御コマンドは前記第1又は前記第2のコントローラを使用するユーザにより設定可能であることを特徴とする請求項5に記載の制御通信ネットワークシステム。
- 前記ユーザにより設定された前記特定の制御コマンドを格納する検知対象コマンド保持部を前記第1のスイッチングハブ及び前記第2のスイッチングハブに有することを特徴とする請求項6に記載の制御通信ネットワークシステム。
- 前記第2のスイッチングハブは複数台存在し、それぞれが別々の前記仮想トンネルで前記第1のスイッチングハブと接続され、前記第1のスイッチングハブ又は複数の前記第2のスイッチングハブのいずれか1つで前記ユーザにより設定された前記特定の制御コマンドは、前記仮想トンネル以外のネットワークを経由して、それぞれのスイッチングハブの前記検知対象コマンド保持部に格納されることを特徴とする請求項7に記載の制御通信ネットワークシステム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018025648A JP2019145889A (ja) | 2018-02-16 | 2018-02-16 | スイッチングハブ及び制御通信ネットワークシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018025648A JP2019145889A (ja) | 2018-02-16 | 2018-02-16 | スイッチングハブ及び制御通信ネットワークシステム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2019145889A true JP2019145889A (ja) | 2019-08-29 |
Family
ID=67772821
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018025648A Pending JP2019145889A (ja) | 2018-02-16 | 2018-02-16 | スイッチングハブ及び制御通信ネットワークシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2019145889A (ja) |
-
2018
- 2018-02-16 JP JP2018025648A patent/JP2019145889A/ja active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11316677B2 (en) | Quantum key distribution node apparatus and method for quantum key distribution thereof | |
US8713305B2 (en) | Packet transmission method, apparatus, and network system | |
US7310424B2 (en) | Encryption key distribution and network registration system, apparatus and method | |
US7774594B2 (en) | Method and system for providing strong security in insecure networks | |
CN101299665B (zh) | 报文处理方法、系统及装置 | |
US10699031B2 (en) | Secure transactions in a memory fabric | |
JP2006101051A (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
CN112491821B (zh) | 一种IPSec报文转发的方法及装置 | |
JP2015181233A (ja) | リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法 | |
CN113055269B (zh) | 虚拟专用网络数据的传输方法及装置 | |
WO2016068942A1 (en) | Encryption for transactions in a memory fabric | |
US20180159681A1 (en) | Method for safeguarding the information security of data transmitted via a data bus and data bus system | |
JP2004056762A (ja) | 無線通信方法、無線通信装置、通信制御プログラム、通信制御装置、鍵管理プログラム、無線lanシステム、および記録媒体 | |
Farinacci et al. | Locator/ID separation protocol (LISP) data-plane confidentiality | |
CN106209401A (zh) | 一种传输方法及装置 | |
CN108924157B (zh) | 一种基于IPSec VPN的报文转发方法及装置 | |
JPH06318939A (ja) | 暗号通信システム | |
US8670565B2 (en) | Encrypted packet communication system | |
JP2005244379A (ja) | Vpnシステム、vpn装置及びそれらに用いる暗号化鍵配布方法 | |
JP2019145889A (ja) | スイッチングハブ及び制御通信ネットワークシステム | |
JP5491713B2 (ja) | 暗号化装置、暗号化プログラム及び方法 | |
KR102023416B1 (ko) | 네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법 | |
JP2003198530A (ja) | パケット通信装置及び暗号アルゴリズム設定方法 | |
KR101837064B1 (ko) | 보안 통신 장치 및 방법 | |
JP2009071481A (ja) | 通信制御システム、端末、及び、プログラム |