JP6612475B2 - ゲートウェイ装置 - Google Patents
ゲートウェイ装置 Download PDFInfo
- Publication number
- JP6612475B2 JP6612475B2 JP2018563957A JP2018563957A JP6612475B2 JP 6612475 B2 JP6612475 B2 JP 6612475B2 JP 2018563957 A JP2018563957 A JP 2018563957A JP 2018563957 A JP2018563957 A JP 2018563957A JP 6612475 B2 JP6612475 B2 JP 6612475B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- gateway device
- gateway
- resistance enhancement
- control unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims description 75
- 230000005856 abnormality Effects 0.000 claims description 74
- 238000012544 monitoring process Methods 0.000 claims description 56
- 230000005540 biological transmission Effects 0.000 claims description 43
- 238000000034 method Methods 0.000 claims description 37
- 230000008569 process Effects 0.000 claims description 36
- 238000012545 processing Methods 0.000 claims description 17
- 230000006870 function Effects 0.000 claims description 14
- 230000002159 abnormal effect Effects 0.000 description 17
- 238000012546 transfer Methods 0.000 description 14
- 230000004913 activation Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000001914 filtration Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 230000020169 heat generation Effects 0.000 description 3
- 238000005728 strengthening Methods 0.000 description 3
- 238000001816 cooling Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000725 suspension Substances 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ゲートウェイ装置に関し、特に、現用系及び待機系を備え、冗長化された通信システムで使用されるゲートウェイ装置に関する。
複数のローカル端末と、インターネット等の通信ネットワークとの接続を管理するゲートウェイ装置の冗長化が従来から行われている。
例えば、特許文献1に記載された通信システムは、一方のゲートウェイ装置を現用系として運用し、他方を待機系とするActive−Standby方式で構成することで携帯網のゲートウェイ装置のコストを抑えつつ、障害発生時のダウンタイムを縮小している。
また、特許文献2に記載された伝送装置は、冷却装置の故障による発熱を検知して現用系から待機系に切り替える。
一方、特許文献3に記載された通信システムでは、セキュリティの観点として、固定IP(Internet Protocol)アドレスを設定したサーバーに対するDoS(Denial of Service)攻撃に対する対策としてDNS(Domain Name System)サーバーとセキュリティゲートウェイとが協調する。
例えば、特許文献1に記載された通信システムは、一方のゲートウェイ装置を現用系として運用し、他方を待機系とするActive−Standby方式で構成することで携帯網のゲートウェイ装置のコストを抑えつつ、障害発生時のダウンタイムを縮小している。
また、特許文献2に記載された伝送装置は、冷却装置の故障による発熱を検知して現用系から待機系に切り替える。
一方、特許文献3に記載された通信システムでは、セキュリティの観点として、固定IP(Internet Protocol)アドレスを設定したサーバーに対するDoS(Denial of Service)攻撃に対する対策としてDNS(Domain Name System)サーバーとセキュリティゲートウェイとが協調する。
特許文献1に記載された通信システムは、現用系のセッション情報を待機系に送信する冗長構成とすることで障害によるサービス停止時間を最小限に抑えている。しかしながら、特許文献1に記載された通信システムは、通信ネットワークを介して攻撃を受けた場合のセキュリティについては考慮されておらず、ローカル端末又は通信ネットワークを介して特定の攻撃者からIPに基づく攻撃を受けた場合に課題が存在する。
また、特許文献1に記載された通信システムは、攻撃を受けてゲートウェイ装置の現用系に障害が発生し再起動すると、待機系が現用系から装置の設定情報を引き継いで動作を継続しようとする。しかしながら、特許文献1に記載された通信システムは、現用系と待機系とが同一の設定情報だと系切り替え後も攻撃を受けてしまい、待機系でも現用系と同様の障害が発生し再起動に至ってしまうという課題がある。
特許文献2に記載された伝送装置では、冷却装置の故障による発熱を検知して切り替えが行われている。しかしながら、特許文献2に記載された伝送装置は、例えば、悪意のあるプログラムからのDoS攻撃により、ゲートウェイ装置のCPU(Central Processing Unit)の負荷上昇による温度上昇で待機系ゲートウェイへの切り替えが発生した場合は、待機系でも同じDoS攻撃を受けてしまい再起動に至ってしまう課題がある。
特許文献3に記載された通信システムでは、DoS攻撃を回避するためにゲートウェイ装置がDNSサーバーと連携する必要があり、ゲートウェイ装置だけでなく、DNSサーバーへの改造が発生するという課題がある。
そこで、本発明は、現用系のゲートウェイ装置が攻撃を受けて、現用系のゲートウェイ装置から待機系のゲートウェイ装置に系切り替えを行う場合に、待機系が現用系への攻撃と同様の攻撃を受けても、再起動に至らないようにすることを目的とする。
本発明の一態様に係るゲートウェイ装置は、現用系及び待機系を備え、冗長化された通信システムにおいて、当該現用系及び当該待機系として機能する他のゲートウェイ装置とともに使用され、当該現用系及び当該待機系として機能するとともに、セキュリティに関して有効又は無効にすることのできる複数の耐性強化項目を備えるゲートウェイ装置であって、自装置が前記待機系として機能している場合に、前記現用系として機能している前記他のゲートウェイ装置から、前記複数の耐性強化項目の内、前記他のゲートウェイ装置で有効にされている耐性強化項目を示す第1の設定情報を含む第1の装置情報を受信する通信部と、自装置が前記待機系として機能している場合に、前記第1の設定情報に基づいて、前記他のゲートウェイ装置で有効にされている耐性強化項目、及び、前記複数の耐性強化項目の内、前記他のゲートウェイ装置で無効にされている耐性強化項目を有効にする装置制御部と、を備えることを特徴とする。
本発明の一態様によれば、現用系のゲートウェイ装置が攻撃を受けて、現用系のゲートウェイ装置から待機系のゲートウェイ装置に系切り替えを行う場合に、現用系から攻撃情報を待機系へ引き継ぎ、待機系でその情報を元に攻撃耐性を向上させるので、待機系が現用系への攻撃と同様の攻撃を受けても、再起動に至らないようにすることができる。
実施の形態1.
図1は、実施形態1に係るゲートウェイ装置を含む通信システム100の構成を概略的に示すブロック図である。
通信システム100は、2つのゲートウェイ装置110A、110Bを備える。
なお、2つのゲートウェイ装置110A、110Bの各々を特に区別する必要がない場合には、ゲートウェイ装置110という。
図1は、実施形態1に係るゲートウェイ装置を含む通信システム100の構成を概略的に示すブロック図である。
通信システム100は、2つのゲートウェイ装置110A、110Bを備える。
なお、2つのゲートウェイ装置110A、110Bの各々を特に区別する必要がない場合には、ゲートウェイ装置110という。
通信システム100は、現用系として機能するゲートウェイ装置110と、待機系として機能するゲートウェイ装置110とを備え、冗長化されたシステムである。ゲートウェイ装置110は、セキュリティに関して有効又は無効にすることのできる複数の耐性強化項目を備える。
ゲートウェイ装置110は、ローカル端末101A、101B、101Cと、スイッチングハブ装置102に接続されている。
ローカル端末101A、101B、101Cの各々を特に区別する必要がない場合には、ローカル端末101という。
ローカル端末101A、101B、101Cの各々を特に区別する必要がない場合には、ローカル端末101という。
ゲートウェイ装置110は、スイッチングハブ装置102を介して、ローカル端末101とネットワーク103との間の通信を可能にする。
2つのゲートウェイ装置110A、110Bは、冗長化されている。例えば、ゲートウェイ装置110Aは現用系、ゲートウェイ装置110Bは待機系として運用されている。2つのゲートウェイ装置110A、110Bの間は、有線又は無線で接続されており、これらは、情報の送受信を行うことができる。
2つのゲートウェイ装置110A、110Bは、冗長化されている。例えば、ゲートウェイ装置110Aは現用系、ゲートウェイ装置110Bは待機系として運用されている。2つのゲートウェイ装置110A、110Bの間は、有線又は無線で接続されており、これらは、情報の送受信を行うことができる。
ローカル端末101は、ノートPC等の携帯端末及びデスクトップPC等の据置装置を含む情報機器である。
ローカル端末101は、ゲートウェイ装置110とUSB(Universal Serial Bus)及びLAN(Local Area Network)等の有線又は無線で接続されており、ローカル端末101及びゲートウェイ装置110の間で通信を行うことができる。
ローカル端末101は、ゲートウェイ装置110とUSB(Universal Serial Bus)及びLAN(Local Area Network)等の有線又は無線で接続されており、ローカル端末101及びゲートウェイ装置110の間で通信を行うことができる。
スイッチングハブ装置102は、ゲートウェイ装置110とLAN等の有線又は無線で接続され、通信ネットワークであるネットワーク103に接続されている。ゲートウェイ装置110がVPN(Virtual Private Network)等を用いて直接ネットワーク103へ接続される場合は、スイッチングハブ装置102は不要である。
ネットワーク103は、LTE(Long Term Evolution)及び光回線等を用いた通信ネットワークである。
ネットワーク103は、LTE(Long Term Evolution)及び光回線等を用いた通信ネットワークである。
図2は、ゲートウェイ装置110の構成を概略的に示すブロック図である。
ゲートウェイ装置110は、データ転送部120と、情報取得部130と、装置状態監視部140と、装置情報伝達部141と、装置制御部142と、通信部143とを備える。
ゲートウェイ装置110は、データ転送部120と、情報取得部130と、装置状態監視部140と、装置情報伝達部141と、装置制御部142と、通信部143とを備える。
データ転送部120は、ローカル端末101の間、並びに、ローカル端末101及びネットワーク103の間で送受信されるデータを転送する。例えば、データ転送部120は、複数のインタフェース(以下、I/Fという)121A〜121Dを備える。複数のI/F121A〜121Dの各々は、例えば、ローカル端末101及びスイッチングハブ装置102の何れかに接続されている。
また、複数のI/F121A〜121Dの各々は、各々の温度を検出するための温度検出部としての温度センサ122A〜122Dを備えている。
ここで、複数のI/F121A〜121Dの各々を特に区別する必要がない場合には、I/F121といい、複数の温度センサ122A〜122Dの各々を特に区別する必要がない場合には、温度センサ122という。
また、複数のI/F121A〜121Dの各々は、各々の温度を検出するための温度検出部としての温度センサ122A〜122Dを備えている。
ここで、複数のI/F121A〜121Dの各々を特に区別する必要がない場合には、I/F121といい、複数の温度センサ122A〜122Dの各々を特に区別する必要がない場合には、温度センサ122という。
情報取得部130は、ゲートウェイ装置110における各種情報を取得する。
例えば、情報取得部130は、自装置における異常の判定に必要な異常判定情報を取得する。
情報取得部130は、温度情報取得部131と、CPU情報取得部132と、メモリ情報取得部133と、通信情報取得部134とを備える。
例えば、情報取得部130は、自装置における異常の判定に必要な異常判定情報を取得する。
情報取得部130は、温度情報取得部131と、CPU情報取得部132と、メモリ情報取得部133と、通信情報取得部134とを備える。
温度情報取得部131は、データ転送部120の温度を示す温度情報を取得する。例えば、温度情報取得部131は、I/F121に備えられている温度センサ122から、温度を示す温度情報を読み出す。
CPU情報取得部132は、ゲートウェイ装置110に備えられている後述するCPUのリソースの状態を示すCPUリソース情報、並びに、ゲートウェイ装置110の稼働状況及び再起動要因を取得する。ゲートウェイ装置110の再起動要因は、例えば、ゲートウェイ装置110に備えられているCPUが実行するソフトウェアからの再起動コマンドの受け取り及びソフトウェアの動作の停止等の要因である。
メモリ情報取得部133は、ゲートウェイ装置110に備えられている後述するメモリのリソースの状態を示すメモリリソース情報を取得する。
通信情報取得部134は、データ転送部120のトラフィックの状態を示すトラフィック情報を取得する。
CPU情報取得部132は、ゲートウェイ装置110に備えられている後述するCPUのリソースの状態を示すCPUリソース情報、並びに、ゲートウェイ装置110の稼働状況及び再起動要因を取得する。ゲートウェイ装置110の再起動要因は、例えば、ゲートウェイ装置110に備えられているCPUが実行するソフトウェアからの再起動コマンドの受け取り及びソフトウェアの動作の停止等の要因である。
メモリ情報取得部133は、ゲートウェイ装置110に備えられている後述するメモリのリソースの状態を示すメモリリソース情報を取得する。
通信情報取得部134は、データ転送部120のトラフィックの状態を示すトラフィック情報を取得する。
装置状態監視部140は、情報取得部130で取得された情報を受け取り、受け取った情報を定期的に確認する。例えば、装置状態監視部140は、情報取得部130で取得された異常判定情報に基づいて、自装置の状態を監視し、自装置を再起動する必要があるか否かを判定するとともに、異常の有無を判定する。具体的には、I/F121は、有線LAN、無線LAN又はUSBといった通信インタフェースであり、装置状態監視部140は、I/F121A〜121Dの各々の温度、通信速度、通信方向、接続先、機能の有効又は無効、及び、通信中のパケットデータ等を確認することができる。
装置情報伝達部141は、通信部143を介して、装置状態監視部140からの情報等の各種情報を他のゲートウェイ装置110に送信する。
例えば、装置情報伝達部141は、自装置が現用系として機能している場合には、自装置で有効にされている耐性強化項目を示す設定情報、自装置の処理を引き継ぐための引継情報、及び、自装置における異常の有無の判定に必要な異常判定情報を含む装置情報を、通信部143に、待機系として機能しているゲートウェイ装置110へ送信させる。
実施の形態1においては、装置情報伝達部141は、装置状態監視部140が再起動の必要があると判断した場合に、装置情報を通信部143に送信させる。
例えば、装置情報伝達部141は、自装置が現用系として機能している場合には、自装置で有効にされている耐性強化項目を示す設定情報、自装置の処理を引き継ぐための引継情報、及び、自装置における異常の有無の判定に必要な異常判定情報を含む装置情報を、通信部143に、待機系として機能しているゲートウェイ装置110へ送信させる。
実施の形態1においては、装置情報伝達部141は、装置状態監視部140が再起動の必要があると判断した場合に、装置情報を通信部143に送信させる。
装置制御部142は、装置情報伝達部141からの情報等の各種情報に基づいて、ゲートウェイ装置110内部の動作を制御する。
例えば、装置制御部142は、自装置が待機系として機能している場合には、通信部143を介して、現用系として機能しているゲートウェイ装置110から、そのゲートウェイ装置110で有効にされている耐性強化項目を示す設定情報、そのゲートウェイ装置110の処理を引き継ぐための引継情報、及び、そのゲートウェイ装置110における異常の有無の判定に必要な異常判定情報を含む装置情報を受信する。そして、装置制御部142は、その装置情報に基づいて、現用系のゲートウェイ装置110で有効にされている耐性強化項目、及び、そのゲートウェイ装置110で無効にされている耐性強化項目を自装置において有効にする。
実施の形態1では、現用系として機能しているゲートウェイ装置110は、再起動を行う際に装置情報を送信するようになっているため、装置制御部142は、通信部143が装置情報を受信した際に、現用系の処理を引き継ぐとともに、上述のように耐性強化項目を有効にする。
例えば、装置制御部142は、自装置が待機系として機能している場合には、通信部143を介して、現用系として機能しているゲートウェイ装置110から、そのゲートウェイ装置110で有効にされている耐性強化項目を示す設定情報、そのゲートウェイ装置110の処理を引き継ぐための引継情報、及び、そのゲートウェイ装置110における異常の有無の判定に必要な異常判定情報を含む装置情報を受信する。そして、装置制御部142は、その装置情報に基づいて、現用系のゲートウェイ装置110で有効にされている耐性強化項目、及び、そのゲートウェイ装置110で無効にされている耐性強化項目を自装置において有効にする。
実施の形態1では、現用系として機能しているゲートウェイ装置110は、再起動を行う際に装置情報を送信するようになっているため、装置制御部142は、通信部143が装置情報を受信した際に、現用系の処理を引き継ぐとともに、上述のように耐性強化項目を有効にする。
通信部143は、別のゲートウェイ装置110と通信を行うための通信インタフェースである。例えば、通信部143は、自装置が待機系として機能している場合に、現用系として機能しているゲートウェイ装置110から、装置情報を受信する。また、通信部143は、自装置が現用系として機能している場合に、待機系として機能しているゲートウェイ装置110に、装置情報を送信する。
ここで、通信部143が受信する装置情報を第1の装置情報ともいい、第1の装置情報に含まれている設定情報、引継情報及び異常判定情報をそれぞれ、第1の設定情報、第1の引継情報及び第1の異常判定情報ともいう。
さらに、通信部143から送信する装置情報を第2の装置情報ともいい、第2の装置情報に含まれている設定情報、引継情報及び異常判定情報をそれぞれ、第2の設定情報、第2の引継情報及び第2の異常判定情報ともいう。
ここで、通信部143が受信する装置情報を第1の装置情報ともいい、第1の装置情報に含まれている設定情報、引継情報及び異常判定情報をそれぞれ、第1の設定情報、第1の引継情報及び第1の異常判定情報ともいう。
さらに、通信部143から送信する装置情報を第2の装置情報ともいい、第2の装置情報に含まれている設定情報、引継情報及び異常判定情報をそれぞれ、第2の設定情報、第2の引継情報及び第2の異常判定情報ともいう。
以上に記載された情報取得部130、装置状態監視部140、装置情報伝達部141及び装置制御部142の一部又は全部は、例えば、図3(A)に示されているように、メモリ10と、メモリ10に格納されているプログラムを実行するCPU等のプロセッサ11とにより構成することができる。このようなプログラムは、ネットワークを通じて提供されてもよく、また、記録媒体に記録されて提供されてもよい。
また、情報取得部130、装置状態監視部140、装置情報伝達部141及び装置制御部142の一部又は全部は、例えば、図3(B)に示されているように、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC(Application Specific Integrated Circuits)又はFPGA(Field Programmable Gate Array)等の処理回路12で構成することもできる。
図4は、現用系として機能しているゲートウェイ装置110の動作を示すフローチャートである。
情報取得部130に含まれている各部は、装置状態監視部140に対し、定期的又は不定期的に、予め決められた固定信号を送付している。固定信号は、情報取得部130に含まれている各部が取得した情報を示す。装置状態監視部140は、CPU情報取得部132から送られてくる情報に基づいて再起動要因を監視する(S10)。
そして、装置状態監視部140は、ゲートウェイ装置110に再起動の要求があったか否かを検知する(S11)。例えば、装置状態監視部140は、CPU情報取得部132から送られてくる情報が、ソフトウェアの再起動コマンド又はソフトウェアの動作停止を示す場合に、再起動の要求があったことを検知する。再起動の要求があった場合には(S11でYes)、処理はステップS12に進む。
情報取得部130に含まれている各部は、装置状態監視部140に対し、定期的又は不定期的に、予め決められた固定信号を送付している。固定信号は、情報取得部130に含まれている各部が取得した情報を示す。装置状態監視部140は、CPU情報取得部132から送られてくる情報に基づいて再起動要因を監視する(S10)。
そして、装置状態監視部140は、ゲートウェイ装置110に再起動の要求があったか否かを検知する(S11)。例えば、装置状態監視部140は、CPU情報取得部132から送られてくる情報が、ソフトウェアの再起動コマンド又はソフトウェアの動作停止を示す場合に、再起動の要求があったことを検知する。再起動の要求があった場合には(S11でYes)、処理はステップS12に進む。
ステップS12では、装置状態監視部140は、予め記憶されている異常リストを参照することで、情報取得部130に含まれている各部が取得した情報が異常と定められた条件に合致するか否かを判定する。その結果、装置状態監視部140が、装置に異常が発生したと判定した場合には(S13でYes)、処理はステップS14に進む。
ステップS14では、装置情報伝達部141は、情報取得部130に含まれている各部から送付された情報と、装置制御部142が格納しているMACアドレスフィルタリング、パケットフィルタリング及び帯域制限等の各I/F121の制御情報とを、装置情報として通信部143を介して、待機系であるゲートウェイ装置110の装置制御部142へ送付する(S14)。
その後、装置制御部142は、ゲートウェイ装置110の動作を停止し、待機状態となる(S15)。
なお、ステップS12における装置の異常は、外部からの攻撃によるトラッフィクの増加又は減少、未使用ポートでの通信、I/F121の急激な温度変化、稼働しているアプリケーションのCPU使用率又はメモリ使用率の急激な増加又はしきい値超過等であり、何を異常とするかは使用者が事前に定義する。
図5は、待機系として機能しているゲートウェイ装置110の動作を示すフローチャートである。
待機状態の装置制御部142は、現用系のゲートウェイ装置110の装置情報伝達部141から送付された装置情報を通信部143が受信するまで待機する(S20)。そして、装置情報が届いた場合には(S21でYes)、処理はステップS22に進む。
待機状態の装置制御部142は、現用系のゲートウェイ装置110の装置情報伝達部141から送付された装置情報を通信部143が受信するまで待機する(S20)。そして、装置情報が届いた場合には(S21でYes)、処理はステップS22に進む。
ステップS22では、装置制御部142は、受信された装置情報から異常が起きている箇所の特定が可能かどうかを判定する。なお、異常が起きている箇所の特定が可能であり、そこから異常の内容が特定できる場合には、装置制御部142は、異常の内容についても特定する。
次に、装置制御部142は、予め定めておいた複数の耐性強化項目の中から、ステップS22での判定結果に対応したものを選択する(S23)。ここで、耐性強化項目は、例えば、ゲートウェイ装置110で動作しているMACアドレスフィルタリング及びパケットフィルタリング等の条件変更、アプリケーションの停止、アンインストール及び再インストール、データ転送部120の通信速度制限又は通信停止、並びに、データ転送部120そのものの電源供給停止又は縮退運転等である。
次に、装置制御部142は、予め定めておいた複数の耐性強化項目の中から、ステップS22での判定結果に対応したものを選択する(S23)。ここで、耐性強化項目は、例えば、ゲートウェイ装置110で動作しているMACアドレスフィルタリング及びパケットフィルタリング等の条件変更、アプリケーションの停止、アンインストール及び再インストール、データ転送部120の通信速度制限又は通信停止、並びに、データ転送部120そのものの電源供給停止又は縮退運転等である。
耐性強化項目については、ステップS22での判定結果に対応して予め優先順位が設けられており、装置制御部142は、優先順位に基づいて、耐性強化項目を選択する。例えば、異常箇所が特定できない場合、異常箇所は特定できたが異常内容が特定できない場合、異常箇所及び異常内容が特定できた場合のそれぞれについて、耐性強化項目に予め優先順位が定められている。
具体的には、異常箇所が特定できない場合には、「予め異常が起こりやすいI/F121を、異常が起こりやすい順番が分かるようにリストに記載しておき、リストに記載された順番で、I/F121を無効にする」、又は、「CPU負荷の高いアプリケーションを停止する」といった優先順位が設けられている。
また、異常箇所は特定できたが異常内容が特定できない場合には、特定できた異常箇所に応じて、優先順位が設けられている。
具体的には、異常箇所が特定できない場合には、「予め異常が起こりやすいI/F121を、異常が起こりやすい順番が分かるようにリストに記載しておき、リストに記載された順番で、I/F121を無効にする」、又は、「CPU負荷の高いアプリケーションを停止する」といった優先順位が設けられている。
また、異常箇所は特定できたが異常内容が特定できない場合には、特定できた異常箇所に応じて、優先順位が設けられている。
さらに、異常箇所及び異常内容が特定できた場合には、異常箇所及び異常内容の組み合わせ毎に、優先順位が設けられている。例えば、CPU使用率が異常であると判定された場合には、「CPU負荷の高いアプリケーションから順番に停止する」といった優先順位が定められている。また、特定のI/F121に異常発熱があると判定された場合には、以下の1〜4の優先順位で、耐性強化項目が選択される。
優先順位1:特定のI/F121の通信速度制限を行う。優先順位2:特定のI/F121の通信を停止する。優先順位3:特定のI/F121そのものを停止する。優先順位4:特定のI/F121の周辺のI/F121にも通信速度制限を行う。
なお、装置制御部142は、自装置で選択した耐性強化項目の履歴を保持しておき、この履歴に基づいて、選択すべき優先順位を特定し、ステップS23での選択を行えばよい。
優先順位1:特定のI/F121の通信速度制限を行う。優先順位2:特定のI/F121の通信を停止する。優先順位3:特定のI/F121そのものを停止する。優先順位4:特定のI/F121の周辺のI/F121にも通信速度制限を行う。
なお、装置制御部142は、自装置で選択した耐性強化項目の履歴を保持しておき、この履歴に基づいて、選択すべき優先順位を特定し、ステップS23での選択を行えばよい。
次に、装置制御部142は、ステップS23で選択された耐性強化項目が、装置情報を送ってきた現用系のゲートウェイ装置110で既に有効にされているか否かを判断する(S24)。有効にされていない場合、言い換えると、無効である場合には(S24でNo)、処理はステップS25に進み、有効にされている場合には(S24でYes)、処理はステップS26に進む。
ステップS25では、装置制御部142は、ステップS23で選択された耐性強化項目を有効にするとともに、ステップS21で取得された装置情報を送ってきたゲートウェイ装置110で有効にされている耐性強化項目を自装置においても有効にする。即ち、現用系のゲートウェイ装置110で既に有効にされており、自装置で未だ無効になっている耐性強化項目も有効にする。
一方、ステップS26では、装置制御部142は、予め定められた順番に従って、耐性強化項目を選択し、その耐性強化項目を有効にする。言い換えると、耐性強化項目には予め順番が定められており、装置制御部142は、未だ有効にされていない耐性強化項目の内、最も順番の早いものを有効にする。さらに、装置制御部142は、ステップS21で取得された装置情報を送ってきたゲートウェイ装置110で有効にされている耐性強化項目を自装置においても有効にする。
そして、装置制御部142は、ゲートウェイ装置110の起動を開始して、現用系として動作する(S27)。ここで、装置制御部142は、受信された装置情報に含まれている引継情報に基づいて、現用系のゲートウェイ装置110での処理を引き継ぐ。
図6は、冗長化されたゲートウェイ装置110の系切り替え動作を示すシーケンス図である。以下の説明では、ゲートウェイ装置110Aを構成する各部の符号に「#1」、ゲートウェイ装置110Bを構成する各部の符号に「#2」を付すことで、これらを区別している。
ゲートウェイ装置110Aの装置状態監視部140#1が再起動要求を検知すると(S30)、装置情報伝達部141#1は、装置情報をゲートウェイ装置110Bへ送付し、ゲートウェイ装置110Aは、待機状態となる(S31)。
ゲートウェイ装置110Bの装置制御部142#2は、受信された装置情報に基づいて、新たな耐性強化項目を追加して、耐性強化項目を有効にして起動する(S40、S41)。
次に、ゲートウェイ装置110Bの装置状態監視部140#2が再起動要求を検知すると(S42)、装置情報伝達部141#2は、装置情報を待機状態であるゲートウェイ装置110Aへ送付し、ゲートウェイ装置110Bは、待機状態へ移行する(S43)。
次に、ゲートウェイ装置110Bの装置状態監視部140#2が再起動要求を検知すると(S42)、装置情報伝達部141#2は、装置情報を待機状態であるゲートウェイ装置110Aへ送付し、ゲートウェイ装置110Bは、待機状態へ移行する(S43)。
待機状態であったゲートウェイ装置110Aの装置制御部142#1は、受信された装置情報に基づいて、新たな耐性強化項目を追加することで、ステップS40で有効化された耐性強化項目に別の耐性強化項目を追加して起動する(S32、S33)。
次に、ゲートウェイ装置110Aの装置状態監視部140#1が再起動要求を検知すると(S34)、装置情報伝達部141#1は、装置情報を待機状態であるゲートウェイ装置110Bへ送付し、ゲートウェイ装置110Aは、待機状態へ移行する(S35)。
次に、ゲートウェイ装置110Aの装置状態監視部140#1が再起動要求を検知すると(S34)、装置情報伝達部141#1は、装置情報を待機状態であるゲートウェイ装置110Bへ送付し、ゲートウェイ装置110Aは、待機状態へ移行する(S35)。
ゲートウェイ装置110Bの装置制御部142#2は、受信された装置情報に基づいて、新たな耐性強化項目を追加し、耐性強化項目を有効にして起動する(S44、S45)。
図6に示されているように、再起動を契機としてゲートウェイ装置110A及びゲートウェイ装置110Bは、耐性強化項目の追加を繰り返すことで異常に対する耐性を強固にしていく。
以上説明したように、実施の形態1のゲートウェイ装置110によれば、ゲートウェイ装置110が攻撃を受けて再起動するたびに耐性が強固となり、再起動を繰り返すことなく通信システム100を稼働し続けることができる。
実施の形態2.
図1に示されているように、実施の形態2における通信システム200は、2つのゲートウェイ装置210A、210Bを備える。
なお、2つのゲートウェイ装置210A、210Bの各々を特に区別する必要がない場合には、ゲートウェイ装置210という。
図1に示されているように、実施の形態2における通信システム200は、2つのゲートウェイ装置210A、210Bを備える。
なお、2つのゲートウェイ装置210A、210Bの各々を特に区別する必要がない場合には、ゲートウェイ装置210という。
図2に示されているように、実施の形態2に係るゲートウェイ装置210は、データ転送部120と、情報取得部130と、装置状態監視部240と、装置情報伝達部141と、装置制御部242と、通信部143とを備える。
実施の形態2に係るゲートウェイ装置210は、装置状態監視部240及び装置制御部242を除いて、実施の形態1に係るゲートウェイ装置110と同様に構成されている。
実施の形態2に係るゲートウェイ装置210は、装置状態監視部240及び装置制御部242を除いて、実施の形態1に係るゲートウェイ装置110と同様に構成されている。
装置状態監視部240は、情報取得部130で取得された情報を受け取り、受け取った情報を定期的に確認する。実施の形態1における装置状態監視部140は、情報取得部130で取得された情報に基づいて、再起動の要求があったか否かを検知した後に、以上の有無を判定しているが、実施の形態2における装置状態監視部240は、情報取得部130で取得された情報に基づいて、異常の有無を判定した後に、再起動の要求があったか否かを検知している。
装置制御部242は、装置情報伝達部141からの情報等の各種情報に基づいて、ゲートウェイ装置210内部の動作を制御する。実施の形態1における装置制御部142は、起動する際に耐性強化項目の追加及び有効化を行っているが、実施の形態2における装置制御部242は、装置状態監視部240が、異常があると判定した際にも、耐性強化項目の追加及び有効化を行っている。
具体的には、装置制御部242は、ゲートウェイ装置210の再起動の検知を待つことなく、装置状態監視部240が異常の判定をすると、耐性強化項目を追加及び有効化して、異常への対処を試みる。そして、装置制御部242は、攻撃を受け続けて再起動を検知した場合は、耐性を強化した待機系として機能しているゲートウェイ装置210に処理を移行する。言い換えると、実施の形態2は、再起動を契機に耐性強化項目を追加及び有効化するのではなく、異常を検知した段階で耐性強化項目を追加及び有効化する点が実施の形態1と異なっている。
具体的には、装置制御部242は、ゲートウェイ装置210の再起動の検知を待つことなく、装置状態監視部240が異常の判定をすると、耐性強化項目を追加及び有効化して、異常への対処を試みる。そして、装置制御部242は、攻撃を受け続けて再起動を検知した場合は、耐性を強化した待機系として機能しているゲートウェイ装置210に処理を移行する。言い換えると、実施の形態2は、再起動を契機に耐性強化項目を追加及び有効化するのではなく、異常を検知した段階で耐性強化項目を追加及び有効化する点が実施の形態1と異なっている。
図7は、現用系として機能しているゲートウェイ装置210の動作を示すフローチャートである。
装置状態監視部240は、定期的に情報取得部130から情報を収集する(S50)。
そして、装置状態監視部240は、予め記憶されている異常リストを参照することで、情報取得部130に含まれている各部が取得した情報が異常と定められた条件に合致するか否かを判定する。その結果、装置状態監視部240が、装置に異常が発生したと判定した場合には(S52でYes)、処理はステップS53に進む。
装置状態監視部240は、定期的に情報取得部130から情報を収集する(S50)。
そして、装置状態監視部240は、予め記憶されている異常リストを参照することで、情報取得部130に含まれている各部が取得した情報が異常と定められた条件に合致するか否かを判定する。その結果、装置状態監視部240が、装置に異常が発生したと判定した場合には(S52でYes)、処理はステップS53に進む。
ステップS53では、装置状態監視部240は、ゲートウェイ装置210に再起動の要求があったか否かを検知する。再起動の要求があった場合には(S53でYes)、処理はステップS54に進み、再起動の要求がなかった場合には(S53でNo)、処理はステップS56に進む。
ステップS54では、装置情報伝達部141は、装置情報を待機系であるゲートウェイ装置210の装置制御部242へ送付する。
その後、装置制御部242は、ゲートウェイ装置210の動作を停止し、待機状態となる(S55)。
その後、装置制御部242は、ゲートウェイ装置210の動作を停止し、待機状態となる(S55)。
一方、ステップS56では、装置制御部242は、装置状態監視部240で収集された情報から異常が起きている箇所の特定が可能かどうかを判定する。なお、異常が起きている箇所の特定が可能な場合には、装置制御部242は、異常の内容についても特定する。
次に、装置制御部242は、予め定めておいた複数の耐性強化項目の中から、ステップS56での判定結果に対応したものを選択する(S57)。ここで、耐性強化項目は、上述のように、ステップS56での判定結果に対して優先順位が設けられており、装置制御部242は、優先順位に基づいて、耐性強化項目を選択する。但し、ここで選択される耐性強化項目は、再起動を必要とせずに有効にできるものに限る。
次に、装置制御部242は、予め定めておいた複数の耐性強化項目の中から、ステップS56での判定結果に対応したものを選択する(S57)。ここで、耐性強化項目は、上述のように、ステップS56での判定結果に対して優先順位が設けられており、装置制御部242は、優先順位に基づいて、耐性強化項目を選択する。但し、ここで選択される耐性強化項目は、再起動を必要とせずに有効にできるものに限る。
次に、装置制御部242は、ステップS57で選択された耐性強化項目が既に有効にされているか否かを判断する(S58)。有効にされていない場合、言い換えると、無効である場合には(S58でNo)、処理はステップS59に進み、有効にされている場合には(S58でYes)、処理はステップS60に進む。
ステップS59では、装置制御部242は、ステップS57で選択された耐性強化項目を有効にする。
一方、ステップS60では、装置制御部242は、予め定められた順番に従って、耐性強化項目を選択し、その耐性強化項目を有効にする。言い換えると、耐性強化項目には予め順番が定められており、装置制御部242は、未だ有効にされていない耐性強化項目の内、最も順番の早いものを有効にする。但し、ここで有効にされる耐性強化項目は、再起動を必要とせずに有効にできるものに限る。
一方、ステップS60では、装置制御部242は、予め定められた順番に従って、耐性強化項目を選択し、その耐性強化項目を有効にする。言い換えると、耐性強化項目には予め順番が定められており、装置制御部242は、未だ有効にされていない耐性強化項目の内、最も順番の早いものを有効にする。但し、ここで有効にされる耐性強化項目は、再起動を必要とせずに有効にできるものに限る。
なお、待機系として機能しているゲートウェイ装置210の動作については、実施の形態1と同様である。
以上のように、実施の形態2では、再起動の検知を待つことなく耐性強化を有効にして早期の復旧を試みることでゲートウェイ装置210間の切り替え回数を軽減できる効果がある。また、現用系として機能しているゲートウェイ装置210で耐性強化を強固にしておくことで、待機系として機能しているゲートウェイ装置210は、より耐性を強固にした状態で起動することができる。
実施の形態3.
図1に示されているように、実施の形態3における通信システム300は、2つのゲートウェイ装置310A、310Bを備える。
なお、2つのゲートウェイ装置310A、310Bの各々を特に区別する必要がない場合には、ゲートウェイ装置310という。
図1に示されているように、実施の形態3における通信システム300は、2つのゲートウェイ装置310A、310Bを備える。
なお、2つのゲートウェイ装置310A、310Bの各々を特に区別する必要がない場合には、ゲートウェイ装置310という。
図2に示されているように、実施の形態3に係るゲートウェイ装置310は、データ転送部120と、情報取得部130と、装置状態監視部340と、装置情報伝達部141と、装置制御部342と、通信部143とを備える。
実施の形態3に係るゲートウェイ装置310は、装置状態監視部340及び装置制御部342を除いて、実施の形態1に係るゲートウェイ装置110と同様に構成されている。
実施の形態3に係るゲートウェイ装置310は、装置状態監視部340及び装置制御部342を除いて、実施の形態1に係るゲートウェイ装置110と同様に構成されている。
装置状態監視部340は、情報取得部130で取得された情報を受け取り、受け取った情報を定期的に確認する。実施の形態1における装置状態監視部140は、情報取得部130で取得された情報に基づいて、再起動の要求があったか否かを検知した後に、異常の有無を判定しているが、実施の形態3における装置状態監視部340は、情報取得部130で取得された情報に基づいて、異常の有無を判定した後に、再起動の要求があったか否かを検知している。
装置制御部342は、装置情報伝達部141からの情報等の各種情報に基づいて、ゲートウェイ装置310内部の動作を制御する。実施の形態1における装置制御部142は、起動する際に耐性強化項目の追加及び有効化を行っているが、実施の形態3における装置制御部342は、実施の形態2の装置制御部242と同様に、装置状態監視部340が、異常があると判定した際にも、耐性強化項目の追加及び有効化を行っている。但し、実施の形態2における装置制御部242は、再起動の必要のない耐性強化項目の追加及び有効化を行っているが、実施の形態3における装置制御部342は、再起動が必要な耐性強化項目も追加及び有効化を行っている。具体的には、装置制御部342は、再起動の必要がある場合には、装置情報伝達部141及び通信部143に、装置情報を待機系のゲートウェイ装置310に送信させて、現用系としての処理を、待機系のゲートウェイ装置310に引き継いでから、耐性強化項目を有効にする。
図8及び図9は、現用系として機能しているゲートウェイ装置310の動作を示すフローチャートである。
図8及び図9に示されているステップS70〜S78までの処理は、図7に示されているステップS50〜S58までの処理と同様である。但し、図9のステップS78において、選択された耐性強化項目が有効にされていない場合、言い換えると、選択された耐性強化項目が無効にされている場合には(S78でNo)、処理はステップS79に進み、選択された耐性強化項目が有効にされている場合には(S78でYes)、処理はステップS81に進む。
図8及び図9に示されているステップS70〜S78までの処理は、図7に示されているステップS50〜S58までの処理と同様である。但し、図9のステップS78において、選択された耐性強化項目が有効にされていない場合、言い換えると、選択された耐性強化項目が無効にされている場合には(S78でNo)、処理はステップS79に進み、選択された耐性強化項目が有効にされている場合には(S78でYes)、処理はステップS81に進む。
ステップS79では、装置制御部342は、ステップS77で選択された耐性強化項目が再起動を必要とするものであるか否かを判定する。再起動が不要である場合には(S79でNo)、処理はステップS80に進み、再起動が必要である場合には(S79でYes)、処理はステップS83に進む。
ステップS80では、装置制御部342は、ステップS77で選択された耐性強化項目を有効にする。そして、処理は図8のステップS70に戻る。
ステップS80では、装置制御部342は、ステップS77で選択された耐性強化項目を有効にする。そして、処理は図8のステップS70に戻る。
また、ステップS78において、選択された耐性強化項目が有効にされている場合には(S78でYes)、処理はステップS81に進む。
ステップS81では、装置制御部342は、予め定められた順番に従って、耐性強化項目を選択し、選択された耐性強化項目が再起動を必要とするものであるか否かを判定する。再起動が不要である場合には(S81でNo)、処理はステップS82に進み、再起動が必要である場合には(S81でYes)、処理はステップS83に進む。
ステップS81では、装置制御部342は、予め定められた順番に従って、耐性強化項目を選択し、選択された耐性強化項目が再起動を必要とするものであるか否かを判定する。再起動が不要である場合には(S81でNo)、処理はステップS82に進み、再起動が必要である場合には(S81でYes)、処理はステップS83に進む。
ステップS82では、装置制御部342は、ステップS81で選択された耐性強化項目を有効にする。そして、処理は図8のステップS70に戻る。
ステップS83では、装置情報伝達部141は、通信部143を介して、装置情報を待機系であるゲートウェイ装置310の装置制御部342へ送付する。
次に、装置制御部342は、待機系であるゲートウェイ装置310の状態を定期的に確認し(S84)、待機系の稼働準備が完了したか否かを判断する(S85)。待機系の稼働準備が完了した場合には(S84でYes)、処理はステップS86に進む。
ステップS86では、装置制御部342は、ゲートウェイ装置310の動作を停止し、待機状態となる。
ステップS86では、装置制御部342は、ゲートウェイ装置310の動作を停止し、待機状態となる。
実施の形態3においても、待機系として機能しているゲートウェイ装置310の動作については、実施の形態1と同様である。但し、待機系として機能しているゲートウェイ装置310の装置制御部342は、装置情報を受信すると、ゲートウェイ装置310の起動を開始する。そして、待機系として機能しているゲートウェイ装置310の装置制御部342は、予め定められた段階まで起動が完了したら、装置情報伝達部141及び通信部143を介して、現用系として機能しているゲートウェイ装置310に起動が完了したことを報告する。このような報告に基づいて、装置制御部342は、図9のステップS85の判断を行う。
以上のように、実施の形態3では、攻撃等によって再起動に至るのではなく、ゲートウェイ装置310自身が必要の有無を判定して再起動し、系切り替えを行うことで、系切り替え時の時間を短縮できる効果がある。また、ゲートウェイ装置310の起動完了を受け取ることで、系切り替え先が確実に動作していることを確認した上で系切り替え処理を行うことができる。
実施の形態4.
図1に示されているように、実施の形態4における通信システム400は、2つのゲートウェイ装置410A、410Bを備える。
なお、2つのゲートウェイ装置410A、410Bの各々を特に区別する必要がない場合には、ゲートウェイ装置410という。
図1に示されているように、実施の形態4における通信システム400は、2つのゲートウェイ装置410A、410Bを備える。
なお、2つのゲートウェイ装置410A、410Bの各々を特に区別する必要がない場合には、ゲートウェイ装置410という。
図2に示されているように、実施の形態4に係るゲートウェイ装置410は、データ転送部120と、情報取得部130と、装置状態監視部440と、装置情報伝達部441と、装置制御部442と、通信部143とを備える。
実施の形態4に係るゲートウェイ装置410は、装置状態監視部440、装置情報伝達部441及び装置制御部442を除いて、実施の形態1に係るゲートウェイ装置110と同様に構成されている。
実施の形態4に係るゲートウェイ装置410は、装置状態監視部440、装置情報伝達部441及び装置制御部442を除いて、実施の形態1に係るゲートウェイ装置110と同様に構成されている。
装置状態監視部440は、情報取得部130で取得された情報を受け取り、受け取った情報を定期的に確認する。実施の形態4における装置状態監視部440は、実施の形態1と同様に、情報取得部130で取得された情報に基づいて、再起動の要求があったか否かを検知した後に、異常の有無を判定している。
装置情報伝達部441は、系切り替え時ばかりでなく、順次、通信部143を介して、装置情報を待機系であるゲートウェイ装置410の装置制御部442へ送付する。
装置制御部442は、装置情報伝達部441からの情報等の各種情報に基づいて、ゲートウェイ装置410内部の動作を制御する。実施の形態1では、系切り替え時に、現用系として機能しているゲートウェイ装置110から装置情報が送られてきているが、実施の形態4では、系切り替え時ばかりでなく順次、装置情報が送られてくる。実施の形態4における装置制御部442は、送られてくる装置情報に基づいて、耐性強化項目を有効にするか、起動を行うかを判断する。
現用系として機能しているゲートウェイ装置410の動作については、実施の形態1と同様であるが、上述のように、装置状態監視部440は、順次、装置情報を待機系に送信している。
図10は、待機系として機能しているゲートウェイ装置410の動作を示すフローチャートである。
待機状態の装置制御部442は、現用系のゲートウェイ装置410の装置情報伝達部441から送付された装置情報を通信部143が受信すると(S90)、受信された装置情報に基づいて、現用系のゲートウェイ装置410に異常が起きているか否かを判定する(S91)。なお、ここでの異常には、実施の形態1における異常のほかに、現用系のゲートウェイ装置410からの装置情報が途絶えた場合も含まれる。例えば、装置制御部442は、現用系のゲートウェイ装置410からの装置情報が、予め定められた期間受信されない場合も、異常が起きていると判定する。異常が起きている場合には(S91でYes)、処理はステップS92に進む。
待機状態の装置制御部442は、現用系のゲートウェイ装置410の装置情報伝達部441から送付された装置情報を通信部143が受信すると(S90)、受信された装置情報に基づいて、現用系のゲートウェイ装置410に異常が起きているか否かを判定する(S91)。なお、ここでの異常には、実施の形態1における異常のほかに、現用系のゲートウェイ装置410からの装置情報が途絶えた場合も含まれる。例えば、装置制御部442は、現用系のゲートウェイ装置410からの装置情報が、予め定められた期間受信されない場合も、異常が起きていると判定する。異常が起きている場合には(S91でYes)、処理はステップS92に進む。
ステップS92では、装置制御部442は、受信された装置情報から異常が起きている箇所の特定が可能かどうかを判定する。なお、異常が起きている箇所の特定が可能な場合には、装置制御部442は、異常の内容についても特定する。ここで、例えば、装置情報が途絶えたという異常が検知された場合には、直前に受信された装置情報から、直前に動作していたI/F121及びアプリケーションが異常発生箇所と判定される。
次に、装置制御部442は、予め定めておいた複数の耐性強化項目の中から、ステップS92での判定結果に対応したものを、予め定められた優先順位に基づいて選択する(S93)。
次に、装置制御部442は、ステップS93で選択された耐性強化項目が、待機系のゲートウェイ装置310で既に有効にされているか否かを判断する(S94)。選択された耐性強化項目が有効にされていない場合、言い換えると、選択された耐性強化項目が無効である場合には(S94でNo)、処理はステップS95に進み、選択された耐性強化項目が有効にされている場合には(S94でYes)、処理はステップS96に進む。
ステップS95では、装置制御部442は、ステップS93で選択された耐性強化項目を有効にするとともに、ステップS90で取得された装置情報を送ってきたゲートウェイ装置310で有効にされている耐性強化項目を自装置においても有効にする。なお、装置情報が途絶えたという異常が検知された場合には、装置制御部442は、直前に受信された装置情報から、有効にする耐性強化項目を特定すればよい。
一方、ステップS96では、装置制御部442は、予め定められた順番に従って、耐性強化項目を選択し、その耐性強化項目を有効にする。さらに、装置制御部442は、ステップS90で取得された装置情報を送ってきたゲートウェイ装置310で有効にされている耐性強化項目を自装置においても有効にする。なお、装置情報が途絶えたという異常が検知された場合には、装置制御部442は、直前に受信された装置情報から、有効にする耐性強化項目を特定すればよい。
一方、ステップS96では、装置制御部442は、予め定められた順番に従って、耐性強化項目を選択し、その耐性強化項目を有効にする。さらに、装置制御部442は、ステップS90で取得された装置情報を送ってきたゲートウェイ装置310で有効にされている耐性強化項目を自装置においても有効にする。なお、装置情報が途絶えたという異常が検知された場合には、装置制御部442は、直前に受信された装置情報から、有効にする耐性強化項目を特定すればよい。
次に、装置制御部442は、受信された装置情報を参照して、現用系として機能しているゲートウェイ装置410が再起動するか否かを判定する(S97)。現用系として機能しているゲートウェイ装置410が再起動する場合には(S97でYes)、処理はステップS98に進み、現用系として機能しているゲートウェイ装置410が再起動しない場合には(S97でNo)、処理はステップS90に戻る。なお、装置制御部442は、装置情報が途絶えた場合にも、現用系として機能しているゲートウェイ装置410が再起動すると判定する。
ステップS98では、装置制御部442は、ゲートウェイ装置410の起動を開始して、現用系として動作する。
以上のように、実施の形態4では、待機系であるゲートウェイ装置410が再起動を契機に情報を受信するのではなく、現用系のゲートウェイ装置410の異常発生前から情報を受信する。これにより、待機系であるゲートウェイ装置410は、現用系であるゲートウェイ装置410に異常が発生し、装置情報が受信できなかった場合でも耐性を強化することができる。また、現用系であるゲートウェイ装置410が停止して装置情報が途絶えた場合もシステムを稼働し続けることができる。
実施の形態5.
図1に示されているように、実施の形態5における通信システム500は、2つのゲートウェイ装置510A、510Bを備える。
なお、2つのゲートウェイ装置510A、510Bの各々を特に区別する必要がない場合には、ゲートウェイ装置510という。
図1に示されているように、実施の形態5における通信システム500は、2つのゲートウェイ装置510A、510Bを備える。
なお、2つのゲートウェイ装置510A、510Bの各々を特に区別する必要がない場合には、ゲートウェイ装置510という。
図2に示されているように、実施の形態5に係るゲートウェイ装置510は、データ転送部120と、情報取得部130と、装置状態監視部540と、装置情報伝達部541と、装置制御部542と、通信部143とを備える。
実施の形態5に係るゲートウェイ装置510は、装置状態監視部540、装置情報伝達部541及び装置制御部542を除いて、実施の形態1に係るゲートウェイ装置110と同様に構成されている。
実施の形態5に係るゲートウェイ装置510は、装置状態監視部540、装置情報伝達部541及び装置制御部542を除いて、実施の形態1に係るゲートウェイ装置110と同様に構成されている。
装置状態監視部540は、情報取得部130で取得された情報を受け取り、受け取った情報を定期的に確認する。実施の形態1における装置状態監視部140は、情報取得部130で取得された情報に基づいて、再起動の要求があったか否かを検知した後に、異常の有無を判定しているが、実施の形態5における装置状態監視部540は、実施の形態2と同様に、情報取得部130で取得された情報に基づいて、異常の有無を判定した後に、再起動の要求があったか否かを検知する。
装置情報伝達部541は、系切り替え時ばかりでなく、装置制御部542が新たに耐性強化項目を有効にする毎に、通信部143を介して、待機系であるゲートウェイ装置510の装置制御部542へ送付する。
装置制御部542は、装置情報伝達部541からの情報等の各種情報に基づいて、ゲートウェイ装置510内部の動作を制御する。実施の形態1における装置制御部142は、起動する際に耐性強化項目の追加及び有効化を行っているが、実施の形態5における装置制御部542は、実施の形態2と同様に、装置状態監視部540が、異常があることを検知した際にも、耐性強化項目の追加及び有効化を行っている。
実施の形態1では、系切り替え時に、現用系として機能しているゲートウェイ装置110から装置情報が送られてきているが、実施の形態5では、系切り替え時ばかりでなく新たに耐性強化項目が有効にされる毎に、装置情報が送られてくる。実施の形態5における装置制御部542は、実施の形態4と同様に、送られてくる装置情報に基づいて、耐性強化項目を有効にするか、起動を行うかを判断する。
実施の形態1では、系切り替え時に、現用系として機能しているゲートウェイ装置110から装置情報が送られてきているが、実施の形態5では、系切り替え時ばかりでなく新たに耐性強化項目が有効にされる毎に、装置情報が送られてくる。実施の形態5における装置制御部542は、実施の形態4と同様に、送られてくる装置情報に基づいて、耐性強化項目を有効にするか、起動を行うかを判断する。
図11は、現用系として機能しているゲートウェイ装置510の動作を示すフローチャートである。
図11に示されているステップS100〜S110までの処理は、図7に示されているステップS50〜S60までの処理と同様である。但し、図11のステップS109及びS110の処理の後は、処理はステップS111に進む。
図11に示されているステップS100〜S110までの処理は、図7に示されているステップS50〜S60までの処理と同様である。但し、図11のステップS109及びS110の処理の後は、処理はステップS111に進む。
ステップS111では、装置情報伝達部541は、通信部143を介して、装置情報を待機系であるゲートウェイ装置510の装置制御部542へ送付する。
待機系として機能しているゲートウェイ装置510の動作は、実施の形態4と同様である。
以上のように、実施の形態5では、実施の形態2に加えて、耐性強化後に装置情報を待機系へ送信することで、現用系のゲートウェイ装置510が停止して装置情報が途絶えた場合も、待機系のゲートウェイ装置510は、耐性を強固にした状態で起動することができる。
実施の形態6.
図1に示されているように、実施の形態6における通信システム600は、2つのゲートウェイ装置610A、610Bを備える。
なお、2つのゲートウェイ装置610A、610Bの各々を特に区別する必要がない場合には、ゲートウェイ装置610という。
図1に示されているように、実施の形態6における通信システム600は、2つのゲートウェイ装置610A、610Bを備える。
なお、2つのゲートウェイ装置610A、610Bの各々を特に区別する必要がない場合には、ゲートウェイ装置610という。
図2に示されているように、実施の形態6に係るゲートウェイ装置610は、データ転送部120と、情報取得部130と、装置状態監視部640と、装置情報伝達部641と、装置制御部642と、通信部143とを備える。
実施の形態6に係るゲートウェイ装置610は、装置状態監視部640、装置情報伝達部641及び装置制御部642を除いて、実施の形態1に係るゲートウェイ装置110と同様に構成されている。
実施の形態6に係るゲートウェイ装置610は、装置状態監視部640、装置情報伝達部641及び装置制御部642を除いて、実施の形態1に係るゲートウェイ装置110と同様に構成されている。
装置状態監視部640は、情報取得部130で取得された情報を受け取り、受け取った情報を定期的に確認する。実施の形態1における装置状態監視部140は、情報取得部130で取得された情報に基づいて、再起動の要求があったか否かを検知した後に、異常の有無を判定しているが、実施の形態6における装置状態監視部640は、情報取得部130で取得された情報に基づいて、異常の有無を判定した後に、再起動の要求があったか否かを検知する。
装置情報伝達部641は、系切り替え時ばかりでなく、装置制御部642が新たに耐性強化項目を有効にする毎に、通信部143を介して、装置情報を待機系であるゲートウェイ装置610の装置制御部642へ送付する。
装置制御部642は、装置情報伝達部641からの情報等の各種情報に基づいて、ゲートウェイ装置610内部の動作を制御する。実施の形態1における装置制御部142は、起動する際に耐性強化項目の追加及び有効化を行っているが、実施の形態6における装置制御部642は、実施の形態3の装置制御部342と同様に、装置状態監視部640が、異常があることを検知した際にも、耐性強化項目の追加及び有効化を行っている。
図12及び図13は、現用系として機能しているゲートウェイ装置610の動作を示すフローチャートである。
図12及び図13に示されているステップS120〜S136までの処理は、図8及び図9に示されているステップS70〜S86までの処理と同様である。但し、図13のステップS130の処理の後は、処理はステップS137に進み、図13のステップS138の処理の後は、処理はステップS138に進む。
図12及び図13に示されているステップS120〜S136までの処理は、図8及び図9に示されているステップS70〜S86までの処理と同様である。但し、図13のステップS130の処理の後は、処理はステップS137に進み、図13のステップS138の処理の後は、処理はステップS138に進む。
ステップS137及びS138では、装置情報伝達部641は、通信部143を介して、装置情報を待機系であるゲートウェイ装置610の装置制御部642へ送付する。
待機系として機能しているゲートウェイ装置610の動作は、実施の形態4と同様である。
以上のように、実施の形態6では、実施の形態3に加えて、耐性強化後に装置情報を待機系へ送信することで、現用系のゲートウェイ装置610が停止して装置情報が途絶えた場合も、待機系のゲートウェイ装置610は耐性を強固にした状態で起動することができる。
100,200,300,400,500,600 通信システム、 110,210,310,410,510,610 ゲートウェイ装置、 120 データ転送部、 121 I/F、 130 情報取得部、 131 温度情報取得部、 132 CPU情報取得部、 133 メモリ情報取得部、 134 通信情報取得部、 140,240,340,440,540,640 装置状態監視部、 141 装置情報伝達部、 142,242,342,442,542,642 装置制御部、 143 通信部。
Claims (15)
- 現用系及び待機系を備え、冗長化された通信システムにおいて、当該現用系及び当該待機系として機能する他のゲートウェイ装置とともに使用され、当該現用系及び当該待機系として機能するとともに、セキュリティに関して有効又は無効にすることのできる複数の耐性強化項目を備えるゲートウェイ装置であって、
自装置が前記待機系として機能している場合に、前記現用系として機能している前記他のゲートウェイ装置から、前記複数の耐性強化項目の内、前記他のゲートウェイ装置で有効にされている耐性強化項目を示す第1の設定情報を含む第1の装置情報を受信する通信部と、
自装置が前記待機系として機能している場合に、前記第1の設定情報に基づいて、前記他のゲートウェイ装置で有効にされている耐性強化項目、及び、前記複数の耐性強化項目の内、前記他のゲートウェイ装置で無効にされている耐性強化項目を有効にする装置制御部と、を備えること
を特徴とするゲートウェイ装置。 - 前記第1の装置情報には、前記現用系として機能している前記他のゲートウェイ装置の処理を引き継ぐための第1の引継情報が含まれており、
前記装置制御部は、前記第1の引継情報に基づいて、前記他のゲートウェイ装置の処理を引き継ぐ際に、前記他のゲートウェイ装置で有効にされている耐性強化項目、及び、前記複数の耐性強化項目の内、前記他のゲートウェイ装置で無効にされている耐性強化項目を有効にすること
を特徴とする請求項1に記載のゲートウェイ装置。 - 前記他のゲートウェイ装置は、再起動を行う際に、前記第1の装置情報を送信し、
前記装置制御部は、前記通信部が前記第1の装置情報を受信した際に、前記第1の引継情報に基づいて、前記他のゲートウェイ装置の処理を引き継ぐこと
を特徴とする請求項2に記載のゲートウェイ装置。 - 前記第1の装置情報には、前記他のゲートウェイ装置における異常の有無の判定に必要な第1の異常判定情報が含まれており、
前記装置制御部は、前記第1の異常判定情報に基づいて、前記他のゲートウェイ装置における異常に対応して予め定められた優先順位に基づいて、前記複数の耐性強化項目から1つの耐性強化項目を選択し、当該選択された耐性強化項目が前記他のゲートウェイ装置で無効にされている場合には、当該選択された耐性強化項目を有効にし、当該選択された耐性強化項目が前記他のゲートウェイ装置で有効にされている場合には、予め定められた順番に基づいて、前記他のゲートウェイ装置で無効にされている1つの耐性強化項目を有効にすること
を特徴とする請求項2又は3に記載のゲートウェイ装置。 - 前記第1の装置情報には、前記他のゲートウェイ装置における異常の有無の判定に必要な第1の異常判定情報が含まれており、
前記他のゲートウェイ装置は、順次、前記第1の装置情報を送信し、
前記装置制御部は、前記第1の異常判定情報に基づいて、前記他のゲートウェイ装置に異常があると判定した場合には、前記第1の設定情報に基づいて、前記他のゲートウェイ装置で有効にされている耐性強化項目、及び、前記複数の耐性強化項目の内、前記他のゲートウェイ装置で無効にされている耐性強化項目を有効にすること
を特徴とする請求項1に記載のゲートウェイ装置。 - 前記第1の装置情報には、前記現用系として機能している前記他のゲートウェイ装置の処理を引き継ぐための第1の引継情報が含まれており、
前記装置制御部は、前記他のゲートウェイ装置における異常により、前記他のゲートウェイ装置に再起動が必要であると判定した場合には、前記第1の引継情報に基づいて、前記他のゲートウェイ装置の処理を引き継ぐこと
を特徴とする請求項5に記載のゲートウェイ装置。 - 前記装置制御部は、前記他のゲートウェイ装置における異常に対応して予め定められた優先順位に基づいて、前記複数の耐性強化項目から1つの耐性強化項目を選択し、当該選択された耐性強化項目が前記他のゲートウェイ装置で無効にされている場合には、当該選択された耐性強化項目を有効にし、当該選択された耐性強化項目が前記他のゲートウェイ装置で有効にされている場合には、予め定められた順番に基づいて、前記他のゲートウェイ装置で無効にされている1つの耐性強化項目を有効にすること
を特徴とする請求項5又は6に記載のゲートウェイ装置。 - 自装置が前記現用系として機能している場合に、前記通信部に、前記複数の耐性強化項目の内、自装置で有効にされている耐性強化項目を示す第2の設定情報を含む第2の装置情報を前記待機系として機能している前記他のゲートウェイ装置に送信させる装置情報伝達部をさらに備えること、
を特徴とする請求項1に記載のゲートウェイ装置。 - 前記第2の装置情報には、自装置の処理を引き継ぐための第2の引継情報が含まれていること
を特徴とする請求項8に記載のゲートウェイ装置。 - 自装置が前記現用系として機能している場合に、自装置における異常の判定に必要な第2の異常判定情報を取得する情報取得部をさらに備え、
前記第2の装置情報には、前記第2の異常判定情報が含まれること
を特徴とする請求項8又は9に記載のゲートウェイ装置。 - 前記第2の異常判定情報に基づいて、自装置の状態を監視する装置状態監視部をさらに備え、
前記装置情報伝達部は、前記装置状態監視部が、前記第2の異常判定情報に基づいて、自装置を再起動する必要があると判定した場合に、前記通信部に、前記第2の装置情報を前記待機系として機能している前記他のゲートウェイ装置に送信させること
を特徴とする請求項10に記載のゲートウェイ装置。 - 自装置が前記現用系として機能している場合に、前記装置制御部は、前記装置状態監視部が、前記第2の異常判定情報に基づいて、自装置に異常があると判定したときに、前記複数の耐性強化項目の内、自装置で無効にされている耐性強化項目を有効にすること
を特徴とする請求項11に記載のゲートウェイ装置。 - 前記装置情報伝達部は、前記装置制御部が前記耐性強化項目を有効にした場合に、前記通信部に、前記第2の装置情報を前記待機系として機能している前記他のゲートウェイ装置に送信させること、
を特徴とする請求項12に記載のゲートウェイ装置。 - 前記装置制御部は、自装置における異常に対応して予め定められた優先順位に基づいて、前記複数の耐性強化項目から1つの耐性強化項目を選択し、当該選択された耐性強化項目が自装置で無効にされている場合には、当該選択された耐性強化項目を有効にし、当該選択された耐性強化項目が自装置で有効にされている場合には、予め定められた順番に基づいて、自装置で無効にされている1つの耐性強化項目を有効にすること
を特徴とする請求項12又は13に記載のゲートウェイ装置。 - 前記装置制御部は、前記選択された耐性強化項目又は前記1つの耐性強化項目を有効にするのに、自装置の再起動が必要な場合には、前記装置情報伝達部を介して、前記通信部に、前記第2の装置情報を前記待機系として機能している前記他のゲートウェイ装置に送信させ、前記現用系としての処理を、前記待機系として機能している前記他のゲートウェイ装置に引き継いでから、前記選択された耐性強化項目又は前記1つの耐性強化項目を有効にすること
を特徴とする請求項14に記載のゲートウェイ装置。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2017/002274 WO2018138761A1 (ja) | 2017-01-24 | 2017-01-24 | ゲートウェイ装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2018138761A1 JPWO2018138761A1 (ja) | 2019-04-04 |
| JP6612475B2 true JP6612475B2 (ja) | 2019-11-27 |
Family
ID=62979118
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018563957A Active JP6612475B2 (ja) | 2017-01-24 | 2017-01-24 | ゲートウェイ装置 |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP6612475B2 (ja) |
| WO (1) | WO2018138761A1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7073976B2 (ja) * | 2018-08-07 | 2022-05-24 | 日本電信電話株式会社 | 管理装置および管理方法 |
| JP7283314B2 (ja) * | 2019-09-02 | 2023-05-30 | 富士通株式会社 | スイッチ装置及び情報処理システム |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001256138A (ja) * | 2000-03-13 | 2001-09-21 | Nippon Telegraph & Telephone East Corp | 不正アクセス対応型サーバ切替方法および装置 |
| JP5605237B2 (ja) * | 2010-06-30 | 2014-10-15 | 沖電気工業株式会社 | 通信制御装置及びプログラム、並びに、通信システム |
-
2017
- 2017-01-24 WO PCT/JP2017/002274 patent/WO2018138761A1/ja active Application Filing
- 2017-01-24 JP JP2018563957A patent/JP6612475B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2018138761A1 (ja) | 2019-04-04 |
| WO2018138761A1 (ja) | 2018-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10938710B2 (en) | Protection switching method and system, and network device | |
| EP2562970B1 (en) | Switch, and flow table control method | |
| JP5377091B2 (ja) | 情報処理装置及びその制御方法 | |
| CN106161109B (zh) | 网络异常自恢复方法 | |
| JP6612475B2 (ja) | ゲートウェイ装置 | |
| JP5003168B2 (ja) | 管理装置、及びプログラム | |
| JP2004032103A (ja) | ネットワークシステム及びサーバ切り替え方法 | |
| US8874944B2 (en) | Communication device | |
| JP5387227B2 (ja) | ネットワークマネージャ機器による設定変更方法及びプログラム、ネットワーク機器の制御方法及びプログラム、ネットワークマネージャ機器及びネットワーク機器 | |
| CN109040295A (zh) | 异常断线的确定方法及装置、终端及存储介质 | |
| CN112835749A (zh) | 一种双机热备容灾的软件自动切换控制方法 | |
| JP2004171370A (ja) | 冗長構成におけるクライアント/サーバ間のアドレス制御方式および方法 | |
| JP3859490B2 (ja) | 通信路のスイッチ接続制御システム | |
| CN109586986A (zh) | 网络设备切换的方法、装置、设备及存储介质 | |
| CN109286575B (zh) | 报文优先级配置方法、装置及网络设备 | |
| JP2009003491A (ja) | クラスタシステムにおけるサーバ切り替え方法 | |
| EP3618479B1 (en) | Controlling user access to wireless network | |
| JP2007221395A (ja) | ネットワーク端末装置 | |
| WO2015067094A1 (zh) | 基于h.248终端的通信链路异常保护方法 | |
| JP5675554B2 (ja) | ネットワーク通信機器、電子機器、およびプログラム | |
| JP6870337B2 (ja) | 画像形成装置、アクセス支援方法、およびコンピュータプログラム | |
| JP5114300B2 (ja) | ネットワークシステム、ネットワーク端末装置、及びlanスイッチ | |
| JP4692419B2 (ja) | ネットワーク装置及びそれに用いる冗長切替え方法並びにそのプログラム | |
| JP5125207B2 (ja) | Ip電話通信システムおよびip電話通信方法 | |
| JP2019087822A (ja) | ポート推定装置、ポート推定システム、ポート推定方法及びポート推定プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181204 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191001 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191030 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6612475 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |