JP6175971B2 - 情報処理装置、情報処理方法及び情報処理プログラム - Google Patents

情報処理装置、情報処理方法及び情報処理プログラム Download PDF

Info

Publication number
JP6175971B2
JP6175971B2 JP2013169258A JP2013169258A JP6175971B2 JP 6175971 B2 JP6175971 B2 JP 6175971B2 JP 2013169258 A JP2013169258 A JP 2013169258A JP 2013169258 A JP2013169258 A JP 2013169258A JP 6175971 B2 JP6175971 B2 JP 6175971B2
Authority
JP
Japan
Prior art keywords
information processing
case
information
processing element
additional
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013169258A
Other languages
English (en)
Other versions
JP2015036966A (ja
Inventor
雅人 中川
雅人 中川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2013169258A priority Critical patent/JP6175971B2/ja
Priority to EP14177796.1A priority patent/EP2840525A1/en
Priority to US14/339,781 priority patent/US20150052356A1/en
Publication of JP2015036966A publication Critical patent/JP2015036966A/ja
Application granted granted Critical
Publication of JP6175971B2 publication Critical patent/JP6175971B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices

Description

この発明は、情報処理装置、情報処理方法及び情報処理プログラムに関する。
複数の情報処理要素を接続することで、大規模な情報処理装置を実現するビルディング・ブロックシステム(以下、BBシステムと呼ぶことがある。)が知られている。BBシステムの各情報処理要素は、プロセッサ、メモリを含み、それぞれ情報を処理することができる。また、各情報処理要素は、通信機能を有し、他の情報処理要素と連携して情報を処理できる。なお、各情報処理要素は、個々に独立して筐体に収容されている。よって、以下では、1つの情報処理要素のことを「筐体」と呼ぶことがある。
BBシステムの情報処理装置は、既に稼動している筐体を含むネットワークに新たに筐体を追加する作業を行うことで、更に、規模を大きくすることができる。BBシステムに新たな筐体を追加する場合、管理者は、新たな筐体に対して通信に用いられるパラメータ等を手動で設定する。その後、管理者は、新たな筐体とBBシステムのネットワークとのアクセス確認を行う。
設定情報の登録に関連する技術として、複数のサーバが接続されたネットワークにおいて、環境定義をサーバ間で問い合わせ及び互いに登録する技術が知られている。(例えば特許文献1参照)。
特開2000−29808号公報
多数の筐体を含む稼働中のBBシステムに新たなBBを追加する場合する場合、管理者のネットワークに関する設定情報の登録作業は煩雑である。 1つの側面においては、本発明の目的は、複数の情報処理要素を含む情報処理装置に新たな情報処理要素を追加する処理を簡単にすることである。
複数の情報処理要素を含む情報処理装置は、情報処理装置に新たに接続された第1の情報処理要素に設けられた送信部と第2の制御部を有する。情報処理装置は、複数の情報処理要素の中の第2の情報処理要素に設けられた第1の制御部を有する。送信部は、第2の情報処理要素との間に一時的に設けられる第1の通信路を用いて所定の信号を第2の情報処理要素へ送信すると共に、所定の信号の送信に続く第1の情報処理要素の識別情報を第2の情報処理要素へ送信を、第2の情報処理要素との間に構築される暗号化された通信路であって第1の通信路とは別の通信路である第2の通信路を用いて行う。第1の制御部は、所定の信号の受信に応じて第2の通信路を構築し、第2の通信路を用いて第1の情報処理要素から送られてくる第1の情報処理要素の識別情報を受信したときに、第1の情報処理要素の識別情報に対してアドレス情報を割り当てる。第1の制御部は、情報処理装置に既に実装されている各情報処理要素の識別情報と第1の情報処理要素の識別情報とに対応したアドレス情報とを含む要素情報を生成し、第2の通信路を用いて要素情報を前記第1の情報処理要素に返信する。第2の制御部は、第2の情報処理要素から受信した前記要素情報に含まれているアドレス情報を通信元として、情報処理装置に既に実装されている情報処理要素と通信を行う。
複数の情報処理要素を含む情報処理装置に新たな情報処理要素を追加する処理を簡単にすることである。
BBシステムに筐体を追加する方法の例を説明する図である。 BBシステムに筐体を追加する方法の例を説明する図である。 筐体のハードウェア構成の例を示す図である。 BBシステムに筐体を追加する方法の例を説明するシーケンス図である。 BBシステムに筐体を追加する方法の例を説明するシーケンス図である。 暗号化通信を確立する処理の例を示すシーケンス図である。 ネットワーク設定の処理の例を説明するシーケンス図である。 追加筐体の検知に関する処理の例を説明する図である。 暗号化通信で使用される設定情報の例を示す図である。 電源投入後の追加筐体の処理の例を説明するフローチャートである。 通信路を形成する処理の例を説明するフローチャートである。 追加筐体のネットワークに関する情報の設定処理の例を説明するフローチャートである。 追加筐体に対するIPアドレスの割り当て処理の例を説明するフローチャートである。 追加筐体からのアクセス確認処理の例を説明するフローチャートである。 BBシステムに属する筐体側のアクセス確認処理の例を説明するフローチャートである。 故障時のマスター筐体が切り替わる処理の例を説明する図である。
以下、本実施形態について、図面を参照しながら詳細に説明する。
図1Aは、BBシステムに筐体を追加する方法の例を説明する図である。管理端末150は、BBシステム160に対して管理者が何らかの作業を行う際に用いられる。BBシステム160は、筐体110a〜110cが組み込まれたシステムである。筐体110a〜110cは、ネットワーク140を介して相互に連携する。ネットワーク140は、暗号化された通信路である。追加筐体120は、BBシステム160に新しく組み込まれる筐体である。追加筐体120は、筐体110a〜110cの何れかと通信を行い、BBシステムへの組み込み設定を自動的に実施する。図1Aの追加筐体120は、シリアルケーブル130によって筐体110aと接続される。図1の追加筐体120は、筐体110aとの通信を行い、BBシステムへの組み込み設定を自動的に実施する。
筐体は、送受信部111(111a〜111d)、制御部112(112a〜112d)、記憶部113(113a〜113d)を備える。送受信部111は、筐体に入力される信号を受信し、出力する信号を送信する。制御部112は、追加筐体120のBBシステムへの組み込み設定の処理を制御する。記憶部113は、筐体リスト114及びIPアドレス情報、ホスト認証鍵を記憶している。筐体リストは、BBシステムに組み込み済みの筐体に関する情報を有する。筐体110a〜110cが有する筐体リスト114(114a〜114c)は、筐体110a〜110cの各々に対応づけられた筐体ID(Identification)、IPアドレス、ホスト公開鍵、アクセス確認、などの情報を備える。なお、追加筐体120はBBシステムに組み込まれていないため、筐体リストを有さず、IPアドレスは設定がされていない。以下にBBシステムへの組み込み設定の自動化処理を順に説明する。
(1)追加筐体120の制御部112dは、追加筐体120の電源が投入されると、所定の信号を生成する。制御部112dは、送受信部111dに所定の信号を送る。
(2)追加筐体120の送受信部111dは、シリアルケーブル130を介して、所定の信号を筐体110aに送信する。
(3)筐体110aの送受信部111aは、所定の信号を受信し、制御部112aに送る。
(4)筐体110aの制御部112aは、追加筐体120から所定の信号を受信することにより、BBシステム160に新たに追加された筐体(すなわち、追加筐体120)を検出する。そうすると、筐体110aの制御部112aおよび追加筐体120の制御部112dは、例えばPPPにより、TCP/IP経路を構築し、筐体110aと追加筐体120との間の暗号化通信のための共通鍵を共有する。
(5)制御部112dは、装置ID及びホスト公開鍵を含む追加筐体120に関する情報を送受信部111dに送る。
(6)送受信部111dは、追加筐体120に関する情報を、共通鍵を用いた暗号化された通信で、筐体110aに送信する。
(7)送受信部111aは、追加筐体120に関する情報を受信し、制御部112aに送る。
(8)制御部112aは、追加筐体120にIPアドレスを割り当てる。
(9)制御部112aは、追加筐体120のIPアドレス・筐体ID・ホスト公開鍵を関連づけて、記憶部113aの筐体リスト114aに追加・登録する。
(10)制御部112aは、送受信部111aに筐体リスト114aを送る。
(11)送受信部111aは、筐体リスト114aを追加筐体120に送る。
(12)送受信部111dは、筐体リスト114aを受信すると、制御部112dに送る。
(13)制御部112dは、筐体リスト114aに含まれている情報を、記憶部113dに記憶させる。この処理により、筐体リスト114dが生成される。
(14)制御部112dは、筐体リスト114dに含まれる追加筐体120に対応したIPアドレス情報を抽出する。
(15)制御部112dは、記憶部113に抽出したIPアドレス情報を設定する。
なお、(5)〜(15)の処理における筐体110aと追加筐体120との間の通信は、共通鍵を用いた暗号化された通信である。(1)〜(15)の処理により、管理者は、手動で追加筐体120に対してのIPアドレスや暗号化に関する設定作業を省くことができる。管理者が、追加筐体120や筐体110にアクセスして、IPアドレスやホスト公開鍵に関する設定を行う処理では、IPアドレスやホスト公開鍵は暗号化されずに通信されてしまう。しかし、共通鍵を予め共有して暗号化された通信で、公開鍵や筐体情報を送ることで、より安全な通信ができる。(9)で登録される筐体IDは、追加筐体に対応した識別情報である。識別情報は、筐体の固体毎に異なる。また、(9)で登録されるホスト公開鍵は、筐体間の通信をする際のホスト認証で使用される。ホスト公開鍵は、筐体の初期起動でホスト秘密鍵と関連づけられて生成される。ホスト公開鍵とホスト秘密鍵は、それらを生成した筐体内に保持される。ユーザの所定の操作によるホスト認証鍵の更新指示があると、新しいホスト公開鍵とホスト秘密鍵が生成される。
BBシステムに属する全筐体は、筐体リスト114内で筐体IDに関する情報を共有している。筐体IDは、BBシステムに属している筐体に対応した筐体の識別情報である。BBシステムに属する全筐体は、筐体リスト114内でIPアドレスに関する情報を共有している。IPアドレスに関する情報には、更に、ネットマスクなどのネットワークに関する情報を有してもよい。BBシステムに属する全筐体は、筐体リスト114内でホスト公開鍵に関する情報を共有している。ホスト公開鍵は、筐体IDに関連づけて筐体リスト114に登録されている。筐体毎にホスト認証鍵は異なる。そのため、各筐体はBBシステムに属する全筐体に対応したホスト公開鍵を保持している。BBシステムに属する筐体毎に、筐体リスト114内にアクセス確認情報を有する。アクセス確認情報として、筐体と他の筐体とのアクセス確認の結果が記憶されている。アクセス確認は、BBシステムの起動時、筐体間のアクセス確認時、運用中の通信失敗時に更新される。
図1Bは、BBシステムに筐体を追加する方法の例を説明する図である。図1Bは、図1Aと同一のものは、同一の番号を付している。追加筐体120にIPアドレスが設定されると、追加筐体120は、筐体110a〜110cとの通信ができるようになる。追加筐体120は、筐体110a〜110cとのアクセス確認を行う。アクセス確認に関する処理を、以下に記す。
(16)制御部112dは、筐体リスト114dを、送受信部111dに送る。
(17)送受信部111dは、暗号化された通信によって筐体リスト114dを、筐体110a〜110cに送る。
(18)筐体110aの送受信部111aは、受信した筐体リスト114dを、制御部112aに送る。
(19)制御部112aは、受信した筐体リスト114dに含まれる情報から、追加筐体120に関する情報を抽出し、筐体リスト114aに登録する。制御部112aは、筐体リスト114aを送受信部111aに送る。
(20)送受信部111aは、追加筐体120に筐体リスト114aを送る。
(21)送受信部111dは、筐体リスト114aを受信する。送受信部111dは、受信した筐体リスト114aを制御部112dに送る。
(22)制御部112dは、筐体110aとのアクセス確認ができたことを、筐体リスト114dに登録する。更に、筐体110aの筐体リスト114aにも、アクセス確認ができたことを登録する。
追加筐体120は、(18)〜(22)の処理を筐体110b、筐体110cとも行う。図1Bは、追加筐体120と筐体110aの処理を矢印1で示す。図1Bは、追加筐体120と筐体110bの処理を矢印2で示す。図1Bは、追加筐体120と筐体110cの処理を矢印3で示す。
(23)筐体全てとのアクセス確認が終了すると、追加筐体120は、処理を終了する。
BBシステムに属する筐体の数が多い場合、管理者が手動でアクセス確認の作業を行うことは手間である。(16)〜(23)の処理によって、追加筐体120がBBシステムに正常に組み込まれたことを自動的に診断することができる。また、筐体リストを双方向に送付することにより、双方向の診断が行われる。
図2は、筐体のハードウェア構成の例を示す図である。筐体110a〜110c及び追加筐体120は、プロセッサ11、メモリ12、バス13、外部記憶装置14、ネットワーク接続装置15を備える。さらにオプションとして、筐体110a〜110c及び追加筐体120は、入力装置16、出力装置17、媒体駆動装置18を備えても良い。筐体110a〜110c及び追加筐体120は、例えば、コンピュータなどで実現されることがある。また、筐体110a〜110c及び追加筐体120は、システムボードなどで実現されることがある。
プロセッサ11は、Central Processing Unit(CPU)を含む任意の処理回路とすることができる。プロセッサ11は、制御部112で実行される各処理を行う。なお、プロセッサ11は、例えば、外部記憶装置14に記憶されたプログラムを実行することができる。メモリ12は、記憶部113として動作し、プロセッサ11の動作により得られたデータや、プロセッサ11の処理に用いられるデータも、適宜、記憶する。ネットワーク接続装置15は、他の装置との通信に使用される。
入力装置16は、例えば、ボタン、キーボード、マウス等として実現され、出力装置17は、ディスプレイなどとして実現される。バス13は、プロセッサ11、メモリ12、入力装置16、出力装置17、外部記憶装置14、媒体駆動装置18、ネットワーク接続装置15の間を相互にデータの受け渡しが行えるように接続する。外部記憶装置14は、プログラムやデータなどを格納し、格納している情報を、適宜、プロセッサ11などに提供する。媒体駆動装置18は、メモリ12や外部記憶装置14のデータを可搬記憶媒体19に出力することができ、また、可搬記憶媒体19からプログラムやデータ等を読み出すことができる。ここで、可搬記憶媒体19は、フロッピイディスク、Magnet-Optical(MO)ディスク、Compact Disc Recordable(CD−R)やDigital Versatile Disk Recordable(DVD−R)を含む、持ち運びが可能な任意の記憶媒体とすることができる。
図3Aは、BBシステムに筐体を追加する方法の例を説明するシーケンス図である。図3のシーケンス図は、図1の追加筐体120、筐体110a、筐体110b間の通信処理を示している。筐体110aは、BBシステムのマスター筐体として設定されており、新しく追加される筐体との通信を代表して受け持つ。以下に、BBシステムに筐体を追加する処理を順に説明する。
<追加筐体の検知と設定>
追加筐体120と筐体110aとの間は、シリアルケーブルによって接続される。追加筐体120は、電源が投入されると、所定の信号を筐体110aに送る。筐体110aは、所定の信号を受信すると、追加筐体120の電源が投入されたことを検知する。筐体110aは、追加筐体120の電源の投入を検知すると、追加筐体120との間に、PPP(Point−to−Point Protocol)を用いたTCP/IP経路を形成する。筐体110aと追加筐体120は、通信用の共通鍵を共有することで、互いに暗号化通信ができるようになる。
追加筐体120は、筐体IDやホスト公開鍵などの追加筐体120に関する情報を筐体110aに送る。筐体IDとホスト公開鍵は、通信用の共通鍵を用いて暗号化されて送られる。次に、筐体110aは、追加筐体120にIPアドレスを割り当てる。追加筐体120に割り当てられるIPアドレスは、BBシステム内で他の筐体で使用されておらず、BBシステムに用いられる予め決められたアドレスの範囲内から選ばれる。
筐体110aは、追加筐体120のIPアドレス、筐体IDとホスト公開鍵とを関連づけた情報を筐体リストに登録する。筐体110aは、筐体リストを追加筐体120に送る。追加筐体120は、受け取った筐体リストから追加筐体120に対応したIPアドレスを抽出し、設定する。
図3Bは、BBシステムに筐体を追加する方法の例を説明するシーケンス図である。
<アクセス確認>
アクセス確認の処理は、図3Aで説明した「追加筐体の検知と設定」の後に行われる。追加筐体120は、BBシステムに組み込まれている全筐体に対してアクセス確認を行う。追加筐体120は、筐体リストからBBシステムに組み込まれている筐体の情報を抽出する。図3の例では、筐体110aと筐体110bがBBシステムに組み込まれている筐体である。アクセス確認処理について、筐体110a、筐体110bの順で説明するが、処理の順番を何ら限定するものではない。
追加筐体120は、筐体110aに対して暗号化された通信路の形成要求を送る。この暗号化された通信路は、ホスト公開鍵及びホスト認証鍵が用いられる。筐体110aは、追加筐体120と筐体110aとの間に暗号化された通信路を形成する。追加筐体120は、筐体リストを筐体110aに配布する。筐体110aは、受信した筐体リストから追加筐体120のIPアドレスとホスト公開鍵の情報を、筐体110aの筐体リストに追加する。筐体110aの筐体リストには、追加筐体120は、アクセス確認が未確認として登録される。その後、筐体110aは、暗号化された通信路を切断する。追加筐体120は、筐体110aへの送信確認がOKであると判定する。
次に、筐体110aは、追加筐体120に対して暗号化された通信路の形成要求を送る。追加筐体120は、追加筐体120と筐体110aとの間に暗号化された通信路を形成する。筐体110aは、筐体リストを追加筐体120に送る。追加筐体120は、筐体リストを受信する。追加筐体120は、筐体110aからの受信確認がOKであると判定する。追加筐体120は、筐体110aとの送受信のアクセス確認がOKであることを、追加筐体120の筐体リストに登録する。これにより、双方向のアクセス確認及び暗号化された通信経路の形成が正常に行われるかのテストを行うことができる。
追加筐体120は、筐体110bに対して暗号化された通信路の形成要求を送る。筐体110bは、追加筐体120と筐体110bとの間に暗号化された通信路を形成する。追加筐体120は、筐体リストを筐体110bに配布する。筐体110bは、受信した筐体リストから追加筐体120のIPアドレスとホスト公開鍵の情報を、筐体110bの筐体リストに追加する。筐体110bの筐体リストには、追加筐体120は、アクセス確認が未確認として登録される。その後、筐体110bは、暗号化された通信路を切断する。追加筐体120は、筐体110bへの送信確認がOKであると判定する。
次に、筐体110bは、追加筐体120に対して暗号化された通信路の形成要求を送る。追加筐体120は、追加筐体120と筐体110bとの間に暗号化された通信路を形成する。筐体110bは、筐体リストを追加筐体120に送る。追加筐体120は、筐体リストを受信する。追加筐体120は、筐体110bからの受信確認がOKであると判定する。追加筐体120は、筐体110bとの送受信のアクセス確認がOKであることを、追加筐体120の筐体リストに登録する。
追加筐体120は、筐体110aの筐体リストに、追加筐体120と筐体110aとの送受信のアクセス確認がOKであることを登録する。更に、追加筐体120は、筐体110bの筐体リストに、追加筐体120と筐体110bとの送受信のアクセス確認がOKであることを登録する。これにより、追加筐体のハードウェアが、BBシステムに組み込まれる。
<システム設定更新>
管理者は、追加筐体120がBBシステムに組み込まれると、シリアルケーブルを抜く。筐体110aに対して、管理者が何らかのシステム設定を行った場合、設定の変更情報は、追加筐体120及び筐体110bに共有され、設定が反映される。
図4は、暗号化通信を確立する処理の例を示すシーケンス図である。図4は、図1の追加筐体120と筐体110との間に暗号化通信を確立する処理の例である。筐体110は、BBシステムに属する筐体であればよく、図1の筐体110a、筐体110bのどちらでもよい。
追加筐体120は、筐体110の状態確認を行う。追加筐体120は、筐体110に対して起動しているかの確認信号を出力する。筐体110は、起動している場合、動作中を示す応答信号を追加筐体120に出力する。追加筐体120は、筐体110が動作中であることを示す応答信号を受信する。
次に、追加筐体120は、筐体110に対して接続要求を出力する。筐体110は、筐体110に対応したホスト公開鍵を、追加筐体120に送付する。追加筐体120は、ホスト公開鍵を受信する。なお、追加筐体120は、接続要求に対応するホスト公開鍵の送付を、所定の時間待つ。所定の時間経過した場合、追加筐体120は、筐体110との接続が失敗したと判定し、接続処理を終了する。
追加筐体120は、筐体110のホスト公開鍵を受信すると、筐体110がホスト秘密鍵を持っているかを確認する。ホスト秘密鍵の確認は、チャレンジ・レスポンス認証によって行われる。追加筐体120は、乱数を生成する。追加筐体120は、生成した乱数をホスト公開鍵で暗号化し、暗号化した乱数を筐体110に通知する。筐体110は、暗号化された乱数をホスト秘密鍵で復号化し、復号化された乱数を追加筐体120に通知する。追加筐体120は、筐体110から通知された乱数を受け取り、生成した乱数と合致するかを判定する。なお、追加筐体120は、筐体110で復号化された乱数の受信を所定時間待ち。所定の時間経過した場合、追加筐体120は、筐体110との接続が失敗したと判定し、接続処理を終了する。
追加筐体120は、暗号化通信用の共通秘密鍵を追加筐体120と筐体110との間で共有させる。追加筐体120は、共通秘密鍵を生成する。追加筐体120は、ホスト公開鍵を用いて生成した共通秘密鍵を暗号化し、筐体110に送付する。筐体110は、暗号化された共通秘密鍵を、ホスト秘密鍵で復号する。これにより、追加筐体120と筐体110との間は、暗号化通信が可能となる。
図5は、ネットワーク設定の処理の例を説明するシーケンス図である。図5は、図3Aの処理をより詳細に説明しており、筐体110と追加筐体120との間にPPPを用いたTCP/IP経路が形成された後の処理についてのシーケンス図である。図5は、追加筐体120と筐体110の間の通信処理を説明している。なお、図5中にある、PPP経路を形成する際に用いられるマジックコードとは、(1)の処理で生成される所定の信号のことである。
追加筐体120は、筐体110に対して追加筐体120に関する筐体情報を登録する要求を通知する。筐体情報を登録する要求には、筐体IDやホスト公開鍵などが含まれる。追加筐体120は、筐体情報を登録する要求に対する応答を待つ。
筐体110は、筐体情報を登録する要求に応じて、追加筐体に関する情報を筐体リストに追加する。筐体110は、筐体情報を登録する要求に対応する応答として、更新後の筐体リストを追加筐体120に対して送る。追加筐体120は、受信した筐体リストから追加筐体120の筐体IDに対応付けられているIPアドレスを抽出する。追加筐体120は、IPアドレスを設定する。
図6は、追加筐体の検知に関する処理の例を説明する図である。図6は、追加筐体120をBBシステムに追加する際に、筐体110が追加筐体120を検知する処理に関する例である。図6の追加筐体120は、生成部211a、送受信部212a、バッファ213a、比較部214aを備える。筐体110は、生成部211b、送受信部212b、バッファ213b、比較部214bを備える。
追加筐体120をBBシステムに追加する際に、生成部211aは、期待値を含む所定の信号を生成する。期待値は、筐体のシリーズ、機種、メーカーに対応付けて予め決められたパラメータ、コード、値などである。生成部211aは、図3の制御部112に含まれる。追加筐体120と筐体110は、シリアルケーブルで接続されている。送受信部212aは、送受信部212bに対してシリアルケーブルを通して所定の信号を送る。送受信部212bは、所定の信号を受信すると、所定の信号を受信バッファ213bに記憶させる。比較部214bは、受信バッファ213bから所定の信号を読み出し、予め筐体110が記憶している期待値と比較する。比較部214bは、比較結果を用いて追加筐体120の筐体のシリーズ、機種、メーカーなどを特定する。これらの処理によって、筐体110は、追加筐体120が接続されたことを検知する。
図7は、暗号化通信で使用される設定情報の例を示す図である。筐体#nのホスト秘密鍵は、筐体の初期設定がされる際に、筐体#nによって生成される。ホスト秘密鍵は、筐体#nによって保持される。次に、筐体#nのホスト公開鍵は、筐体の初期設定がされる際に、ホスト秘密鍵の対として筐体#nによって生成される。ホスト公開鍵は、BBシステムに属する全筐体に保持される。ホスト公開鍵及びホスト秘密鍵は、新しいホスト鍵が生成されるまで同じものが使用される。図4のチャレンジ・レスポンス認証の乱数は、認証時に筐体#mによって生成される。また、乱数は、認証が終了するまで筐体#mが保持する。筐体#mと筐体#n間の共通秘密鍵は、筐体#mによって生成される。共通秘密鍵は、暗号化通信が終了するまで筐体#m、筐体#nによって保持される。
図8は、電源投入後の追加筐体の処理の例を説明するフローチャートである。図8の各ステップの処理は、図1の追加筐体120の制御部112dによって実行される。なお、筐体110は、BBシステムに属する筐体であればよく、図1の筐体110a、筐体110bのどちらでもよい。制御部112dは、ネットワークに関する設定がされているかを判定する(ステップS101)。追加筐体120のネットワークに関する設定が設定済みの場合、制御部112dは、BBシステムに属する筐体として追加筐体120を起動する(ステップS102、ステップS101でNO)。制御部112dは、所定の信号を生成し、シリアルケーブルに所定の信号(マジックコード)を送信する(ステップS103、ステップS101でYES)。制御部112dは、所定の時間、筐体110からPPP経路の形成要求が送られてくるのを待つ(ステップS104)。制御部112dは、S104の所定の時間が経過したかを判定する(ステップS105)。制御部112dは、処理を終了する(ステップS106、ステップS105でYES)。
制御部112dは、追加筐体120と筐体110との間に、データリンク層にPPPを用いたTCP/IP経路を形成する(ステップS107)。制御部112dは、Diffie−Hellmanアルゴリズムを用いて、追加筐体120と筐体110とに通信用の共通鍵を共有させる(ステップS108)。制御部112dは、通過筐体120と筐体110との間で、共通鍵を用いた暗号化通信を開始する(ステップS109)。
なお、S108の通信用の共通鍵を共有する処理として、Diffie−Hellmanアルゴリズムを例示しているものの、共通鍵の共有方法を何ら限定するものではない。S105の所定の時間は、管理者によって変更できるようにしてもよく、特定の時間に限定されるものではない。
図9は、通信路を形成する処理の例を説明するフローチャートである。図9の各ステップの処理は、図1の筐体110a〜110cの制御部112a〜112cの何れかで行われる。図9の処理は、BBシステムに組み込み済みの筐体によって実施されればよい。図9の例では、追加筐体120との通信を、BBシステムの代表として筐体110aが行う。
制御部112aは、シリアルケーブルから入力された信号があるかを判定する(ステップS201)。制御部112aは、S201の処理を実行する(ステップS201でNO)。制御部112aは、筐体110aの受信バッファに所定の信号があるかを判定する(ステップS202、ステップS201でYES)。制御部112aは、処理を終了し、コンソールからの制御によって処理をする(ステップS203、ステップS202でNO)。制御部112aは、PPP経路の形成要求を追加筐体120に送付する(ステップS204、ステップS202でYES)。制御部112aは、追加筐体120と筐体110との間に、データリンク層にPPPを用いたTCP/IP経路を形成する(ステップS205)。制御部112aは、Diffie−Hellmanアルゴリズムを用いて、追加筐体120と筐体110とに通信用の共通鍵を共有させる(ステップS206)。制御部112aは、通過筐体120と筐体110との間で、共通鍵を用いた暗号化通信を開始する(ステップS207)。
図10は、追加筐体のネットワークに関する情報の設定処理の例を説明するフローチャートである。図10は、図8のS109の処理後、追加筐体120で実行される処理を説明するフローチャートである。図10の各ステップの処理は、図1の追加筐体120の制御部112dによって実行される。
制御部112dは、筐体110に対して追加筐体120に関する筐体情報を登録する要求を通知する(ステップS301)。制御部112dは、筐体情報を登録する要求に対する応答を待つ(ステップS302)。制御部112dは、筐体情報を登録する要求に対する応答を待つ時間が所定の時間経過したかを判定する(ステップS303)。制御部112dは、処理を終了する(ステップS304、ステップS303でYES)。制御部112dは、筐体情報を登録する要求に対する応答に含まれている追加筐体120に対応したネットワークに関する情報を取得する(ステップS305、ステップS303でNO)。制御部112dは、追加筐体120のネットワーク設定を行う(ステップS306)。制御部112dは、追加筐体120のネットワーク設定を完了する。
なお、S303の所定の時間は、管理者によって変更できるようにしてもよく、特定の時間に限定されるものではない。
図11は、追加筐体に対するIPアドレスの割り当て処理の例を説明するフローチャートである。図11は、図9のS207の処理後、筐体110で実行される処理を説明するフローチャートである。図11の各ステップの処理は、図1の筐体110a〜110cの制御部112a〜112cの何れかで行われる。図11の処理は、BBシステムに組み込み済みの筐体によって実施されればよい。図11の例では、追加筐体120との通信を、BBシステムの代表として筐体110aが行う。
制御部112aは、追加筐体120に関する筐体情報を登録する要求を待つ(ステップS401)。制御部112aは、筐体情報を登録する要求を待つ時間が所定の時間経過したかを判定する(ステップS402)。制御部112aは、追加筐体120にIPアドレスを割り当てる処理を終了する(ステップS403、ステップS402でYES)。制御部112aは、追加筐体120に関する筐体情報を登録する要求に含まれる、筐体IDとホスト公開鍵を取得する(ステップS404、ステップS402でNO)。制御部112aは、追加筐体に割り当てるIPアドレスを、予め設定されたIPアドレスの範囲から選択する(ステップS405)。制御部112aは、筐体110の筐体リストに、追加筐体120のIPアドレス、筐体ID,ホスト公開鍵に関する情報を登録する(ステップS406)。制御部112aは、更新した筐体リストを追加筐体120に送付する(ステップS407)。
なお、S402の所定の時間は、管理者によって変更できるようにしてもよく、特定の時間に限定されるものではない。
図12は、追加筐体からのアクセス確認処理の例を説明するフローチャートである。図12は、図10のS306の処理後、追加筐体120で実行される処理を説明するフローチャートである。図12の各ステップの処理は、図1の追加筐体120の制御部112dによって実行される。
制御部112dは、筐体110に対して暗号化経路の形成処理を行う(ステップS501)。制御部112dは、S501の暗号化経路の形成処理が失敗したかを判定する(ステップS502)。制御部112dは、筐体リストを筐体110に送付する(ステップS503)。制御部112dは、暗号化経路を切断する(ステップS504)。筐体110と追加筐体120との間に暗号化経路が形成される(ステップS505)。制御部112dは、筐体110からの筐体リストの応答を待つ(ステップS506)。制御部112dは、筐体リストの応答がないかを判定する(ステップS507)。制御部112dは、S507で受け取る筐体リストと、S503で送付した筐体リストとが異なるかを判定する(ステップS508、ステップS507でNO)。制御部112dは、保持している筐体リストの筐体110とのアクセス確認の状態を成功とする(ステップS509、ステップS508でNO)。制御部112dは、保持している筐体リストの筐体110とのアクセス確認の状態を失敗とする(ステップS511、S502でYES、S507でYES、S508でYES)。制御部112dは、暗号化経路を切断する(ステップS510)。
図13は、BBシステムに属する筐体側のアクセス確認処理の例を説明するフローチャートである。図13は、図11のS407の処理後、筐体110で実行される処理を説明するフローチャートである。図13の各ステップの処理は、図1の筐体110a〜110cの制御部112a〜112cの何れかで行われる。図13の処理は、BBシステムに組み込み済みの筐体によって実施されればよい。図13の例では、追加筐体120との通信を、BBシステムの代表として筐体110aが行う。
筐体110と追加筐体120との間に暗号化経路が形成される(ステップS601)。制御部112aは、筐体リストが配布されてくるのを待つ(ステップS602)。制御部112aは、筐体110aが保持している筐体リストに追加筐体120に関する情報が含まれているかを判定する(ステップS603)。制御部112aは、追加筐体120に関する情報を筐体リストに登録する(ステップS604、ステップS603でYES)。制御部112aは、暗号化経路を切断する(ステップS605、ステップS603でNO)。
制御部112aは、追加筐体120に対して暗号化経路の形成処理を行う(ステップS606)。制御部112aは、暗号化経路の形成に失敗したかを判定する(ステップS607)。制御部112aは、筐体リストを追加筐体120に送付する(ステップS608、ステップS607でNO)。制御部112aは、筐体リストの送付が失敗したかを判定する(ステップS609)。制御部112aは、筐体110が保持している筐体リストの追加筐体とのアクセス確認の状態を失敗とする(ステップS610、ステップS609でYES)。制御部112aは、筐体110が保持している筐体リストの追加筐体とのアクセス確認の状態を成功とする(ステップS611、ステップS609でNO)。制御部112aは、暗号化経路を切断する(ステップS612)。
以上、説明したように、実施形態にかかる方法では、追加筐体120のIPアドレスが自動的に設定され、BBシステムに属するすべての筐体との双方向のアクセス確認までを自動化することができる。
<その他>
図14は、故障時のマスター筐体が切り替わる処理の例を説明する図である。図14は、図1と同じものは同じ符号を付す。図1では、追加筐体120は、筐体110aと通信していた。筐体110aが故障し、追加筐体120と筐体110aとがシリアルケーブル130を介した通信ができない場合の例を示す。筐体110aが故障した場合、筐体110aの処理は、筐体110bが引き継ぐ。図14のようにマスター筐体が入れ替わることがあるため、ホスト公開鍵は、すべての筐体で保持される。
11 プロセッサ
12 メモリ
13 バス
14 外部記憶装置
15 ネットワーク接続装置
16 入力装置
17 出力装置
18 媒体駆動装置
110 筐体
111 送受信部
112 制御部
113 記憶部
114 筐体リスト
120 追加筐体
130 シリアルケーブル
140 ネットワーク
150 管理端末
160 BBシステム
211 生成部
212 送受信部
213 バッファ
214 比較部

Claims (6)

  1. 複数の情報処理要素を含む情報処理装置であって、
    前記情報処理装置に新たに接続された第1の情報処理要素に設けられる送信部であって前記複数の情報処理要素の中の第2の情報処理要素との間に一時的に設けられる第1の通信路を用いて所定の信号を前記第2の情報処理要素へ送信すると共に、前記所定の信号の送信に続く前記第1の情報処理要素の識別情報の前記第2の情報処理要素へ送信を、前記第2の情報処理要素との間に構築される暗号化された通信路であって前記第1の通信路とは別の通信路である第2の通信路を用いて行う該送信部と、
    前記第2の情報処理要素に設けられ、前記所定の信号の受信に応じて前記第2の通信路を構築し、前記第2の通信路を用いて前記第1の情報処理要素から送られてくる前記第1の情報処理要素の識別情報を受信したときに、前記第1の情報処理要素の識別情報に対してアドレス情報を割り当て、前記情報処理装置に既に実装されている各情報処理要素の識別情報と前記第1の情報処理要素の識別情報とに対応したアドレス情報とを含む要素情報を生成し、前記第2の通信路を用いて前記要素情報を前記第1の情報処理要素に返信する第1の制御部と、
    前記第1の情報処理要素に設けられ、前記第2の情報処理要素から受信した前記要素情報に含まれているアドレス情報を通信元として、前記情報処理装置に既に実装されている情報処理要素と通信を行う第2の制御部と、を有する
    ことを特徴とする情報処理装置。
  2. 前記情報処理装置に既に実装されている情報処理要素は、前記第2の制御部から前記要素情報を受け取ることで、前記第1の情報処理要素との通信状態を確認する
    ことを特徴とする請求項記載の情報処理装置。
  3. 前記第2の情報処理要素が故障すると、前記複数の情報処理要素の中の第3の情報処理要素が前記第2の情報処理要素の処理を引き継ぐ
    ことを特徴とする請求項1又は2に記載の情報処理装置。
  4. 複数の情報処理要素を含む情報処理装置における該複数の情報処理要素の中の1の情報処理要素である第2の情報処理要素で実行される情報処理プログラムであって、
    前記情報処理装置に新たに接続された第1の情報処理要素との間に一時的に設けられる第1の通信路を用いて前記第1の情報処理要素から送られてくる所定の信号の受信に応じて、前記第1の情報処理要素との間の暗号化された通信路であって前記第1の通信路とは別の通信路である第2の通信路を構築し
    前記所定の信号に続いて前記第1の情報処理要素から前記第2の通信路を用いて送られてくる前記第1の情報処理要素の識別情報を受信し、
    前記第1の情報処理要素の識別情報を受信したときに、前記情報処理装置に既に実装されている各情報処理要素の識別情報と前記第1の情報処理要素の識別情報とに対応したアドレス情報含む要素情報を生成し、
    前記第2の通信路を用いて前記要素情報を前記第1の情報処理要素に返信する、
    処理を前記第2の情報処理要素に実行させることを特徴とする情報処理プログラム。
  5. 複数の情報処理要素で実行される情報処理方法であって、
    情報処理装置に新たに接続された第1の情報処理要素において、前記複数の情報処理要素の中の第2の情報処理要素との間に一時的に設けられる第1の通信路を用いて所定の信号を前記第2の情報処理要素へ送信すると共に、前記所定の信号の送信に続く前記第1の情報処理要素の識別情報の前記第2の情報処理要素へ送信を、前記第2の情報処理要素との間に構築される暗号化された通信路であって前記第1の通信路とは別の通信路である第2の通信路を用いて行い
    前記第2の情報処理要素において、前記所定の信号の受信に応じて前記第2の通信路を構築し、前記第2の通信路を用いて前記第1の情報処理要素から送られてくる前記第1の情報処理要素の識別情報を受信したときに、前記第1の情報処理要素の識別情報に対してアドレス情報を割り当て、前記情報処理装置に既に実装されている各情報処理要素の識別情報と前記第1の情報処理要素の識別情報とに対応したアドレス情報とを含む要素情報を生成し、前記第2の通信路を用いて前記要素情報を前記第1の情報処理要素に返信し、
    前記第1の情報処理要素において、前記第2の情報処理要素から受信した前記要素情報に含まれているアドレス情報を通信元として、前記情報処理装置に既に実装されている情報処理要素と通信を行う
    ことを特徴とする情報処理方法。
  6. 前記情報処理装置に既に実装されている情報処理要素は、前記第1の情報処理要素から前記要素情報を受け取ることで、前記第1の情報処理要素との通信状態を確認する
    ことを特徴とする請求項記載の情報処理方法。
JP2013169258A 2013-08-16 2013-08-16 情報処理装置、情報処理方法及び情報処理プログラム Active JP6175971B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2013169258A JP6175971B2 (ja) 2013-08-16 2013-08-16 情報処理装置、情報処理方法及び情報処理プログラム
EP14177796.1A EP2840525A1 (en) 2013-08-16 2014-07-21 Information processing apparatus, method, and program
US14/339,781 US20150052356A1 (en) 2013-08-16 2014-07-24 Information processing apparatus and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013169258A JP6175971B2 (ja) 2013-08-16 2013-08-16 情報処理装置、情報処理方法及び情報処理プログラム

Publications (2)

Publication Number Publication Date
JP2015036966A JP2015036966A (ja) 2015-02-23
JP6175971B2 true JP6175971B2 (ja) 2017-08-09

Family

ID=51224740

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013169258A Active JP6175971B2 (ja) 2013-08-16 2013-08-16 情報処理装置、情報処理方法及び情報処理プログラム

Country Status (3)

Country Link
US (1) US20150052356A1 (ja)
EP (1) EP2840525A1 (ja)
JP (1) JP6175971B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3361408B1 (en) * 2017-02-10 2019-08-21 Michael Mertens Verifiable version control on authenticated and/or encrypted electronic documents

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3486043B2 (ja) * 1996-03-11 2004-01-13 株式会社東芝 ソフトウエア流通システムの動作方法及びソフトウエアシステム
JP3587000B2 (ja) * 1996-11-01 2004-11-10 ヤマハ株式会社 不正コピー防止システム、監視ノード及び送受信ノード
JP3909152B2 (ja) 1998-07-14 2007-04-25 富士通株式会社 サーバ装置および記録媒体
JP3680783B2 (ja) * 2001-11-01 2005-08-10 ソニー株式会社 電子機器、通信システムおよび方法、情報処理端末および方法、情報処理装置および方法、並びにプログラム
US7194621B1 (en) * 2002-02-28 2007-03-20 Cisco Technology, Inc. Method and apparatus for encrypting data communicated between a client and a server that use an unencrypted data transfer protocol
JP2005295403A (ja) * 2004-04-02 2005-10-20 Toshiba Corp ノード情報自動設定装置及びノード情報自動設定システム
JP4707992B2 (ja) * 2004-10-22 2011-06-22 富士通株式会社 暗号化通信システム
US20070083723A1 (en) * 2005-09-23 2007-04-12 Dey Jayanta K Highly-available blade-based distributed computing system
DE102006026972B3 (de) * 2006-06-01 2007-10-25 Sew-Eurodrive Gmbh & Co. Kg Gerät und Verfahren zur Adressierung und Umrichter
JP5464794B2 (ja) * 2006-07-24 2014-04-09 コニカミノルタ株式会社 ネットワーク管理方法およびネットワーク管理システム
JP2008181178A (ja) * 2007-01-23 2008-08-07 Matsushita Electric Ind Co Ltd ネットワーク出力システム、認証情報登録方法、および認証情報登録プログラム
US8255684B2 (en) * 2007-07-19 2012-08-28 E.F. Johnson Company Method and system for encryption of messages in land mobile radio systems
JP5217541B2 (ja) * 2008-03-18 2013-06-19 富士通株式会社 コピープロテクト方法、コンテンツ再生装置およびicチップ
JP5403061B2 (ja) * 2009-09-24 2014-01-29 日本電気株式会社 仮想サーバ間通信識別システム、及び仮想サーバ間通信識別方法
EP2735972B1 (en) * 2011-11-10 2017-11-22 Kabushiki Kaisha Square Enix (also trading as Square Enix Co., Ltd.) Data transmission and reception system
US9338126B2 (en) * 2012-05-29 2016-05-10 Openet Telecom Ltd. System and method for communicating in a telecommunication network via independent key routing and data locality tables

Also Published As

Publication number Publication date
JP2015036966A (ja) 2015-02-23
EP2840525A1 (en) 2015-02-25
US20150052356A1 (en) 2015-02-19

Similar Documents

Publication Publication Date Title
JP5030681B2 (ja) 機器設定装置、ネットワーク機器、機器名設定方法および機器名設定プログラム
EP2154825A1 (en) Systems and methods for provisioning network devices
JP6282779B2 (ja) 管理装置、プログラム、システムおよび方法
ES2804575T3 (es) Sistema y procedimiento de gestión móvil para gestionar una red de área local
CN111787540A (zh) 接入物联网的方法、装置、电子设备及可读存储介质
US11638149B2 (en) Instant secure wireless network setup
JP6911411B2 (ja) 通信装置、通信システム、通信制御方法、及びプログラム
CN102165736B (zh) 使用网络连接安全系统的系统和方法
WO2016207927A1 (ja) リモートメンテナンスシステム
EP3920466A1 (en) Device configuration method, system, and apparatus
WO2020066627A1 (ja) 通信機器及び通信システム
JP6175971B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
CN116034364A (zh) 半导体装置中的功能的客户特定激活
JP6229368B2 (ja) アクセス制御方法、アクセス制御システム及びアクセス制御装置
JP6676709B2 (ja) IoT機器とクラウドサービスとのペアリング方法
JP6577546B2 (ja) リモートアクセス制御システム
CN107483203B (zh) 物联网接入点接收数据的分时段加密方法及装置
CN113660645B (zh) 设备配置方法、装置、电子设备及存储介质
CN102822840B (zh) 使用管理系统和使用管理方法
CN107659621A (zh) 一种raid控制卡配置方法及装置
US10732591B2 (en) Apparatus and method for establishing communication between an operation terminal and a controller when only one controller is connected
KR20170141207A (ko) 네트워크 상에서 접속된 디바이스를 보호하는 방법
JP7234725B2 (ja) 通信接続設定装置、通信接続設定システム、通信接続設定方法、及び、通信接続設定プログラム
JP6789021B2 (ja) 監視装置
JP6615074B2 (ja) 切替タイミング調整方法、通信装置及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160510

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170324

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170404

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170511

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170613

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170626

R150 Certificate of patent or registration of utility model

Ref document number: 6175971

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150