JP7191726B2 - 通信制御装置および通信システム - Google Patents
通信制御装置および通信システム Download PDFInfo
- Publication number
- JP7191726B2 JP7191726B2 JP2019038377A JP2019038377A JP7191726B2 JP 7191726 B2 JP7191726 B2 JP 7191726B2 JP 2019038377 A JP2019038377 A JP 2019038377A JP 2019038377 A JP2019038377 A JP 2019038377A JP 7191726 B2 JP7191726 B2 JP 7191726B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication control
- control device
- information
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0492—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Description
まず、各実施形態に係る通信システムのペースとなる基本的な構成例および動作例について説明する。
図1は、各実施形態に係る通信システムのベースとなる構成を有する通信システム1の構成例を示す図である。
通信システム1は、クライアント装置10(10-1~10-N)と、サーバ装置20と、クライアント側の通信制御装置30(30-1~30-N)(「第1の通信制御装置」の一例)と、サーバ側の通信制御装置31(「第1の通信制御装置」の一例)と、通信制御管理装置5(「プライベート認証局」の一例)と、ネットワーク6と、ゲートウェイ7と、を備える。以下の説明においては、ネットワーク6と、ネットワーク6とクライアント装置10等とを接続するゲートウェイ7と、をまとめて「ネットワークNW」とも称する。
クライアント装置10は、NW(ネットワーク)通信部11と、クライアント制御部12と、撮像部13とを備える。NW通信部11は、例えば、クライアント装置10のイーサネット(登録商標)のポートである。NW通信部11は、クライアント側の通信制御装置30に接続され、クライアント装置10からサーバ装置20に対して送信されるデータをクライアント側の通信制御装置30に出力する。なお、NW通信部11は、従来のシステムであれば、ネットワークNWに接続され、ネットワークNWを介して、サーバ装置20と通信を行う機能部に相当する。
撮像部13は、クライアント制御部12の指示に従い、所定箇所における風景を撮像する。撮像部13は、撮像したデータ(撮像データ)を、クライアント制御部12に出力する。
ここで、ICカード40は、「認証部」の一例である。認証部は、リーダライタ35およびICカード40で実現するものに限定されない。認証部は、制御部33が実現しても良いし、認証処理用の処理回路で実現しても良い。
NW通信部32は、ネットワークNWに接続され、ネットワークNWを介して、他方の通信制御装置30(31)と通信を行う。
ICカード40は、例えば、プラスチックのカード基材に、ICモジュール41を実装して形成されている。すなわち、ICカード40は、ICモジュール41と、ICモジュール41が埋め込まれたカード基材とを備える。また、ICカード40は、通信制御装置30(31)に着脱可能に装着され、コンタクト部36を介して通信制御装置30(31)と通信可能である。
ICカード40は、コンタクト部36と、ICチップ42とを備えたICモジュール41を備えている。そして、ICチップ42は、UART(Universal Asynchronous Recei ver Transmitter)43と、CPU44と、ROM(Read Only Memory)45と、RAM(Random Access Memory)46と、EEPROM(登録商標)(Electrically Erasable Programmable ROM)47とを備える。また、各構成(43から47)は、内部バスBSを介して接続されている。
ここで、コマンド処理部52が行う処理は、「認証処理」の一例である。また、暗号化復号部53が行う処理は、「暗号化復号処理」の一例である。
NW通信部60は、ネットワークNWに接続され、ネットワークNWを介して、通信制御装置30(31)と通信を行う。
記憶部66は、例えば、鍵情報記憶エリア67と、証明書情報記憶エリア68とを備える。鍵情報記憶エリア67は、例えば既に発行済みの公開鍵や、秘密鍵を示す情報を記憶する。証明書情報記憶エリア68は、例えば既に発行済みの証明書を示す情報を記憶する。鍵情報記憶エリア67と、証明書情報記憶エリア68とは、例えば、鍵生成部62が秘密鍵を発行する際、証明書発行部63が証明書を発行する際などに参照される。また、鍵情報記憶エリア67には、鍵生成部62が発行した秘密鍵を示す情報が記憶される。また、証明書情報記憶エリア68には、証明書発行部63が発行した証明書を示す情報が記憶される。
次に、第1の実施形態に係る通信システムについて説明する。
図8は、第1の実施形態に係る通信システム100の第1構成例を示す図である。図8に示す通信システム100は、図1に示すシステム構成において通信制御装置30を通信制御装置101に置き換えたものである。また、図8に示す構成例において、通信制御装置101は、ネットワークNWとクライアント装置10との間に、並列に設けた複数の通信デバイス111A、111Bを有する。
なお、通信システム100においては、通信制御装置31についても、通信制御装置101と同様に、ネットワークNWとサーバ装置20との間に、並列に設けた複数の通信デバイスを具備する構成としても良い。
図9は、第1の実施形態に係る通信システム100の第1の構成例における通信制御装置101の構成例を示すブロック図である。
図9に示す構成例において、通信制御装置101は、複数の通信デバイス111として並列に配置した第1通信デバイス111Aと第2通信デバイス111Bとを有する。第1通信デバイス111Aと第2通信デバイス111Bとは、通信制御装置101において、ネットワークNW側に接続するハブ114とクライアント側に接続するハブ115との間に並列に接続する。第1通信デバイス111Aおよび第2通信デバイス111Bは、それぞれが上述した図1に示す通信制御装置30と同等の通信処理を実行する構成を有する。
コントローラ120は、通信デバイス111を制御するものである。図9に示す構成例において、コントローラ120は、MPU121、RAM122、SAM123およびデータメモリ124などを有する。
データメモリ124は、プログラムおよび設定情報などを記憶する。例えば、データメモリ124は、通信を許可する宛先のリストを示すホワイトリストを記憶する。コントローラ120は、通信モードがホワイトリストにある宛先との通信を行うホワイトリスト運用モード(通常通信モード、第1の通信モード)である場合、データメモリ124に記憶するホワイトリストを参照して通信を実行する。また、コントローラ120は、データメモリ124にあるホワイトリストを通信制御管理装置5からの指示に応じて書き換えるようにしても良い。例えば、通信デバイス111は、ホワイトリストにある宛先をすべて削除することにより未通信状態とするようにしても良い。また、データメモリ124は、当該通信デバイスの動作状態を示すログ情報を記憶するようにしても良い。データメモリ124に蓄積したログ情報は、通信制御管理装置(デバイス管理サーバ)5へ送ったり、自己診断処理などに用いたりする。
ブリッジ132は、通信デバイス111におけるネットワークNW側の通信を実行する。ブリッジ132は、図3に示すNW通信部32としての通信を実現する。ブリッジ132は、ネットワークNWから受信するデータをハブ133を介してコントローラ120へ供給する。また、ブリッジ134は、コントローラ120またはICカード140で暗号化したデータをネットワークNWへ送出する。
図10は、図8に示す構成の通信システム100における動作例を説明するためのシーケンスである。
まず、通信制御装置101は、第1通信デバイス111Aがホワイトリストに基づく通常の運用モード(通常通信モード、第1の通信モード)で通信を実行し(ステップS101)、第2通信デバイス111Bが未通信状態であるものとする(ステップS102)。
図11は、第1の実施形態に係る通信システム100´の第2の構成例を示す図である。図11に示す通信システム100´は、図1に示すシステム構成において通信制御装置30を通信制御装置101´に置き換えたものである。また、図11に示す構成例において、通信制御装置101´は、ネットワークNWとクライアント装置10との間に、直列に配置した複数の通信デバイス111C、111Dを有する。
なお、通信システム100´においては、通信制御装置31についても、通信制御装置101´と同様に、ネットワークNWとサーバ装置20との間に、直列に配置した複数の通信デバイスを具備する構成としても良い。
図12は、第1の実施形態に係る通信システム100´の第2の構成例における通信制御装置101´の構成例を示すブロック図である。
図12に示す構成例において、通信制御装置101´は、複数の通信デバイス111として、直列に配置した第1通信デバイス111Cと第2通信デバイス111Dとを有する。図12に示す例では、通信制御装置101´において、ネットワークNWに接続する第1通信デバイス111Cとクライアント装置10に接続する第2通信デバイス111Dとが直列に接続される。
ただし、通信制御装置101´は、通信制御装置30と同様な構成を有する複数の通信デバイスを直列に配置したシステムとして実現しても良い。このようなシステムでは、複数の通信デバイス111´がそれぞれ電源およびメモリI/Fなどの構成を具備するものとして良い。
図13は、図11に示す構成の通信システム100´における動作例を説明するためのシーケンスである。
まず、通信制御装置101´は、第1通信デバイス111Cがホワイトリストに基づく通常の運用モード(通常通信モード)で通信を実行し(ステップS121)、第2通信デバイス111Dがパススルーモードで動作するものとする(ステップS122)。
次に、第2の実施形態に係る通信システムについて説明する。
図14は、第2の実施形態に係る通信システム200の構成例を示す図である。図14に示す通信システム200は、図1に示すシステム構成においてクライアント側の通信制御装置30を通信制御装置201に置き換えたものである。また、図14に示す構成例において、通信制御装置201は、ネットワークNWとクライアント装置10との間に、分散制御器212Aおよび212Bを介して並列に配置した複数の通信デバイス211A、211B、211Cを有する。
なお、通信システム200においては、サーバ側の通信制御装置31についても、通信制御装置201と同様に、ネットワークNWとサーバ装置20との間に、分散制御器を介して並列に配置した複数の通信デバイスを具備する構成としても良い。
図15に示す構成例において、通信制御装置201は、複数の通信デバイス211として並列に配置した3つの通信デバイス211A、211B、211Cを有する。複数の通信デバイス211A~211Cは、通信制御装置201において、ネットワークNWに接続する分散制御器212Aとクライアント装置10に接続する分散制御器212Bとの間に並列に接続する。複数の通信デバイス211A~211Cは、それぞれが上述した図1に示す通信制御装置30と同等の通信処理を実行する構成を有する。また、分散制御器212A、212Bは、通信処理の負荷を複数の通信デバイス211A~211Cに分散する制御を行う。したがって、暗号化復号処理や、証明書による相互認証処理も、それぞれの通信デバイス211A~211Cが有するコントローラが処理を行うことができる。
コントローラ220は、通信デバイス211を制御するものである。図15に示す構成例において、コントローラ220は、MPU221、RAM222、SAM223およびデータメモリ224などを有する。
データメモリ224は、プログラムおよび設定情報などを記憶する。例えば、データメモリ224は、通信を許可する宛先のリストを示すホワイトリストを記憶する。コントローラ220は、データメモリ224に記憶するホワイトリストを参照して通常通信モード(第1の通信モード)での通信を実行する。また、データメモリ224は、当該通信デバイスの動作状態を示すログ情報を記憶するようにしても良い。また、データメモリ224は、当該通信デバイスにおける通信量を示す情報を記憶するようにしても良い。また、データメモリ224は、ログデータの分析などによる自己診断処理などを実行したりする。
ブリッジ232は、通信デバイス211におけるネットワークNW側の通信を実行する。ブリッジ232は、図3に示すNW通信部32としての通信を実現する。ブリッジ232は、ネットワークNWから受信するデータをハブ233を介してコントローラ220へ供給する。また、ブリッジ234は、コントローラ220またはICカード240で暗号化したデータをネットワークNWへ送出する。
コントローラ251は、分散制御器212を制御するものである。コントローラ251は、プロセッサおよび各種のメモリなどを有する。コントローラ251においては、プロセッサがプログラムを実行することで種々の処理を実現する。例えば、コントローラ251は、プロセッサがプログラムを実行することにより各通信デバイス211A~211Cへの通信負荷の分散制御を行う。
ハブ253は、ネットワークNWまたはクライアント装置10と複数の通信デバイス211A~211Cとを接続させるインターフェースである。ハブ253は、コントローラ251によって接続先する通信デバイスが制御される。
図16は、図14及び図15に示す構成の通信システム200における分散制御器212(212A、212B)の動作例を説明するためのフローチャートである。
まず、分散制御器212は、インターフェース254などにより入力される複数の通信デバイス211A~211Cによる分散処理のための設定情報を受け付ける(S201)。分散処理のための設定情報を取得した場合(ステップS201、YES)、分散制御器212(212A又は212B)のコントローラ251は、入力される設定情報に基づいて複数の通信デバイス211A~211Cによる分散処理を決定するための閾値を設定する(ステップS202)。ここでは、1つの通信制御装置201において並列に配置される通信デバイスが3つである場合を想定するものとし、コントローラ251は、第1閾値と第2閾値とをメモリ252に保存するものとする。
例えば、複数の通信デバイスが動作している状態であれば、コントローラ251は、監視している処理の負荷が第1閾値未満となった場合に1つの通信デバイスだけで通信を実行し、通信を実行しない通信デバイスを未通信状態(スリープ状態)への遷移させる。
これにより、分散制御器212は、処理が負荷が第1閾値未満である場合に、1つの通信デバイスだけで通信処理を実行し、その他の通信デバイスを未通信状態とすることで無駄な電力消費を抑制できる。
次に、第3の実施形態に係る通信システムについて説明する。
図17は、第3の実施形態に係る通信システム300および通信制御装置301の構成例を示す図である。図17に示す通信システム300は、図1に示すシステム構成においてクライアント側の通信制御装置30を通信制御装置301に置き換えたものである。ただし、通信システム300において、ネットワークNWとサーバ装置20との間に配置されるサーバ側の通信制御装置31についても、通信制御装置301と同様の構成を有するものとして良い。なお、図17に示す構成において、通信システム300における通信制御装置301以外の各装置は、図1に示す装置と同様な構成で実現することができるため、詳細な説明を省略するものとする。
コントローラ320は、通信デバイス211を制御するものである。図17に示す構成例において、コントローラ320は、MPU321、RAM322、SAM323およびデータメモリ324などを有する。
データメモリ324は、プログラムおよび設定情報などを記憶する。例えば、データメモリ324は、通信を許可する宛先のリストを示すホワイトリストを記憶する。コントローラ320は、データメモリ324に記憶するホワイトリストを参照して通常通信モード(第1の通信モード)での通信を実行する。また、データメモリ324は、当該通信制御装置の動作状態を示すログ情報を記憶するようにしても良い。また、データメモリ324は、コントローラ320による当該通信制御装置における通信量の分析情報を記憶する。
ブリッジ332は、通信制御装置301におけるネットワークNW側の通信を実行する。ブリッジ332は、図3に示すNW通信部32としての通信を実現する。ブリッジ332は、ネットワークNWから受信するデータをハブ333を介してコントローラ320へ供給する。また、ブリッジ334は、コントローラ320またはICカード340で暗号化したデータをネットワークNWへ送出する。
図18は、図17に示す通信システム300における第1の動作例を説明するためのシーケンスである。
まず、通信制御装置301は、通常の運用において通信量を含むログ情報を蓄積する。例えば、通信制御装置301のコントローラ320は、通信インターフェースとしてのブリッジ332および334を通過するデータを監視することにより、当該通信制御装置301の通信量を示す情報をデータメモリ324に保存する。
また、自己診断を実施しない場合(ステップS311、NO)、コントローラ320は、自己診断を実施していないことを示す通知を通信制御管理装置5へ送信する(ステップS314)。この場合、自己診断を実施していないことを示す通知が、自己診断の実施要求に対する応答として通信制御管理装置5により取得される(ステップS315)。
これにより、通信制御管理装置は、通信制御装置に対して、通信量が少なく、自己診断を行っても通常の通信処理に影響がない時間に自己診断を実施させることができる。この結果として、通信制御装置の状態を確認したり、故障や通信障害などを早期に発見したりするための自己診断を本来の通信システムに負荷をかけずに効率よく実施させることができる。
図19は、図17に示す通信システム300における第2の動作例を説明するためのシーケンスである。
通信制御装置301のコントローラ320は、上述した第1の動作例と同様に、データメモリ324にログ情報として蓄積する通信量を示す情報を分析し、分析結果としての通信量の分析情報をデータメモリ324に記憶する(ステップS321)。
自己診断を実施する場合(ステップS324、YES)、コントローラ320は、自己診断を実施し(ステップS325)、自己診断の実行結果を示す情報を通信制御管理装置5へ送信する。自己診断の実行結果を示す情報は、通信制御装置301から送信され、通信制御管理装置5が取得する(ステップS326)。
また、自己診断を実施しない場合(ステップS324、NO)、コントローラ320は、自己診断を実施していないことを示す通知を通信制御管理装置5へ送信する(ステップS327)。この場合、自己診断を実施していないことを示す通知が、自己診断の実施要求に対する応答として通信制御管理装置5により取得される(ステップS328)。
次に、第4の実施形態に係る通信システムについて説明する。
第4の実施形態に係る通信システムは、上述した第3の実施形態に係る通信システム300と同様な構成を有するものとする。従って、第4の実施形態については、第3の実施形態で説明した図17に示す通信システム300に適用する例として説明する。
図20は、第4の実施形態に係る通信システム300における第1の動作例を説明するためのシーケンスである。
まず、通信制御装置301は、動作状態を示すログ情報をデータメモリ324に蓄積する。ここで、データメモリ324に蓄積するログ情報は、通信制御装置301の動作履歴を示す情報である。ただし、不正アクセスなどの緊急に通信制御管理装置5へ通知すべき情報は、ログ情報として保存しても良いが、直ちに通信制御管理装置5へ通知される。
図21は、第4の実施形態に係る通信システム300における第2の動作例を説明するためのシーケンスである。
まず、通信制御装置301のコントローラ320は、上述の第1の動作例と同様に、データメモリ324にログ情報として蓄積する通信量を示す情報を分析し、分析結果としての通信量の分析情報をデータメモリ324に記憶する(ステップS421)。
通信制御装置301のコントローラ320は、データメモリ324に記憶した通信量の分析情報に基づいて、当該通信制御装置301がログ情報を送信する送出時刻の候補を選出する(ステップS422)。送出時刻の候補は、1つであっても良いし、複数であっても良いし、時間帯で示しても良い。
図22は、第4の実施形態に係る通信システム300における第3の動作例を説明するためのシーケンスである。
まず、通信制御装置301のコントローラ320は、上述の第1の動作例と同様に、データメモリ324にログ情報として蓄積する通信量を示す情報を分析し、分析結果としての通信量の分析情報をデータメモリ324に記憶する(ステップS441)。
通信制御装置301のコントローラ320は、データメモリ324に記憶した通信量の分析情報に基づいて、当該通信制御装置301がログ情報を送信する送出予定時刻を決定する(ステップS442)。例えば、コントローラ320は、当該通信制御装置における通信量の分析情報に基づき、通信量が最も少ない時間帯で当該通信制御装置301がログ情報を送信できる時刻を送出予定時刻として選定する。
Claims (10)
- 第1の装置とネットワーク通信網との間に接続される第1の通信制御装置と、
第2の装置とネットワーク通信網との間に接続される第2の通信制御装置と、
前記第1の通信制御装置が実行した処理内容を示すログ情報を収集するデバイス管理サーバと、を備え、
前記第1の通信制御装置は、
前記第1の装置および前記ネットワーク通信網を介して接続される装置と通信する通信インターフェースと、
プライベート認証局により発行された秘密鍵、及びクライアント証明書を用いた前記第2の通信制御装置との相互認証処理により決定された共通鍵を用いて、前記第1の装置から前記第2の装置へ送信される情報を暗号化した情報を前記第2の通信制御装置に送信し、前記第2の装置から前記第1の装置へ送信される情報を復号したされた情報を前記第1の装置に送信する第1のコントローラと、
前記通信インターフェースを介してデータ通信した通信量の分析情報を記憶するメモリと、を有し、
前記第1のコントローラは、前記メモリに記憶する通信量の分析情報に基づいて設定される実行時刻にログ情報を前記デバイス管理サーバへ送信する、 前記第2の通信制御装置は、
前記プライベート認証局により発行された秘密鍵、及びサーバ証明書を用いた相互認証処理により決定された共通鍵を用いて、前記第2の装置から前記第1の装置へ送信される情報を暗号化した情報を前記第1の通信制御装置に送信し、前記第1の装置から前記第2の装置へ送信される情報を復号した情報を前記第2の装置に送信する第2のコントローラを有する
通信システム。 - 前記第1のコントローラは、前記メモリに記憶する通信量の分析情報を前記デバイス管理サーバへ送信し、前記デバイス管理サーバからの指示されるログ情報の送出時刻にログ情報を前記デバイス管理サーバへ送信する、
請求項1に記載の通信システム。 - 前記第1のコントローラは、前記メモリに記憶する通信量の分析情報に基づいて選出するログ情報の送出時刻の候補を前記デバイス管理サーバへ送信し、前記デバイス管理サーバから指示されるログ情報の送出時刻にログ情報を前記デバイス管理サーバへ送信する、
請求項1に記載の通信システム。 - 前記第1のコントローラは、前記メモリに記憶する通信量の分析情報に基づいて設定するログ情報の送出時刻にログ情報を前記デバイス管理サーバへ送信する、
請求項1に記載の通信システム。 - 前記第1のコントローラは、前記メモリに記憶する通信量の分析情報に基づいて設定するログ情報の送出時刻に前記デバイス管理サーバとの間のネットワークにおける混雑度を確認し、前記混雑度が許容範囲内であればログ情報を前記デバイス管理サーバへ送信する、
請求項4に記載の通信システム。 - 第1の装置とネットワーク通信網との間に接続される第1の通信制御装置であって、
前記第1の装置および前記ネットワーク通信網を介して接続される装置と通信する通信インターフェースと、
プライベート認証局により発行された秘密鍵、及びクライアント証明書を用いた第2の装置とネットワーク通信網との間に接続される第2の通信制御装置との相互認証処理により決定された共通鍵を用いて、前記第1の装置から前記第2の装置へ送信される情報を暗号化した情報を前記第2の通信制御装置に送信し、前記第2の装置から前記第1の装置へ送信される情報を復号したされた情報を前記第1の装置に送信するコントローラと、
前記通信インターフェースを介してデータ通信した通信量の分析情報を記憶するメモリと、を有し、
前記コントローラは、前記メモリに記憶する通信量の分析情報に基づいて設定される実行時刻にログ情報をデバイス管理サーバへ送信する、
通信制御装置。 - 前記コントローラは、前記メモリに記憶する通信量の分析情報を前記デバイス管理サーバへ送信し、前記デバイス管理サーバからの指示されるログ情報の送出時刻にログ情報を前記デバイス管理サーバへ送信する、
請求項6に記載の通信制御装置。 - 前記コントローラは、前記メモリに記憶する通信量の分析情報に基づいて選出するログ情報の送出時刻の候補を前記デバイス管理サーバへ送信し、前記デバイス管理サーバから指示されるログ情報の送出時刻にログ情報を前記デバイス管理サーバへ送信する、
請求項6に記載の通信制御装置。 - 前記コントローラは、前記メモリに記憶する通信量の分析情報に基づいて設定するログ情報の送出時刻にログ情報を前記デバイス管理サーバへ送信する、
請求項6に記載の通信制御装置。 - 前記コントローラは、前記メモリに記憶する通信量の分析情報に基づいて設定するログ情報の送出時刻に前記デバイス管理サーバとの間のネットワークにおける混雑度を確認し、前記混雑度が許容範囲内であればログ情報を前記デバイス管理サーバへ送信する、
請求項9に記載の通信制御装置。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019038377A JP7191726B2 (ja) | 2019-03-04 | 2019-03-04 | 通信制御装置および通信システム |
EP20765990.5A EP3913851B1 (en) | 2019-03-04 | 2020-02-28 | Communication control device and communication system |
SG11202109223VA SG11202109223VA (en) | 2019-03-04 | 2020-02-28 | Communication control device and communication system |
PCT/JP2020/008467 WO2020179707A1 (ja) | 2019-03-04 | 2020-02-28 | 通信制御装置および通信システム |
US17/446,637 US20210400040A1 (en) | 2019-03-04 | 2021-09-01 | Communication control device and communication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019038377A JP7191726B2 (ja) | 2019-03-04 | 2019-03-04 | 通信制御装置および通信システム |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2020145497A JP2020145497A (ja) | 2020-09-10 |
JP2020145497A5 JP2020145497A5 (ja) | 2021-10-07 |
JP7191726B2 true JP7191726B2 (ja) | 2022-12-19 |
Family
ID=72338709
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019038377A Active JP7191726B2 (ja) | 2019-03-04 | 2019-03-04 | 通信制御装置および通信システム |
Country Status (5)
Country | Link |
---|---|
US (1) | US20210400040A1 (ja) |
EP (1) | EP3913851B1 (ja) |
JP (1) | JP7191726B2 (ja) |
SG (1) | SG11202109223VA (ja) |
WO (1) | WO2020179707A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20230067897A1 (en) * | 2021-08-25 | 2023-03-02 | Paypal, Inc. | Automatic detection of proxy-based phishing sites |
JP2023135195A (ja) * | 2022-03-15 | 2023-09-28 | 株式会社東芝 | 情報処理装置および通信システム |
US11843619B1 (en) * | 2022-10-07 | 2023-12-12 | Uab 360 It | Stateless system to enable data breach notification |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001119392A (ja) | 1999-10-22 | 2001-04-27 | Hitachi Ltd | Isdn暗号アダプタおよびisdn暗号通信方法 |
JP2004328563A (ja) | 2003-04-28 | 2004-11-18 | Hitachi Ltd | 暗号通信装置および暗号通信システム |
JP2005223892A (ja) | 2004-01-09 | 2005-08-18 | Ricoh Co Ltd | デジタル証明書無効化方法、デジタル証明書無効化装置、デジタル証明書無効化システム、プログラム及び記録媒体 |
US20140108781A1 (en) | 2012-10-12 | 2014-04-17 | Huawei Technologies Co., Ltd. | Method and System for Negotiation Based on IKE Messages |
JP2017135461A (ja) | 2016-01-25 | 2017-08-03 | 三菱電機株式会社 | 加入者終端装置、局側終端装置、光信号伝送装置および通信システム |
Family Cites Families (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS63146630A (ja) * | 1986-12-10 | 1988-06-18 | Fujitsu Ltd | 暗号装置間の公開鍵交換方式 |
AU2001278879A1 (en) * | 2000-07-07 | 2002-02-05 | Science Applications International Corporation | A system or method for calling a vanity number using speech recognition |
DE10107883B4 (de) * | 2001-02-19 | 2006-02-09 | Deutsche Post Ag | Verfahren zur Übertragung von Daten, Proxy-Server und Datenübertragungssystem |
US7441119B2 (en) * | 2001-12-05 | 2008-10-21 | International Business Machines Corporation | Offload processing for secure data transfer |
US20050193103A1 (en) * | 2002-06-18 | 2005-09-01 | John Drabik | Method and apparatus for automatic configuration and management of a virtual private network |
US7069438B2 (en) * | 2002-08-19 | 2006-06-27 | Sowl Associates, Inc. | Establishing authenticated network connections |
US7590074B1 (en) * | 2004-12-02 | 2009-09-15 | Nortel Networks Limited | Method and apparatus for obtaining routing information on demand in a virtual private network |
US8250214B2 (en) * | 2004-12-20 | 2012-08-21 | Vmware, Inc. | System, method and computer program product for communicating with a private network |
US7930365B2 (en) * | 2005-02-16 | 2011-04-19 | Cisco Technology, Inc. | Method and apparatus to modify network identifiers at data servers |
JP2007049455A (ja) * | 2005-08-10 | 2007-02-22 | Toshiba Corp | 暗号鍵管理サーバ、暗号鍵管理方法および暗号鍵管理プログラム |
JP2008028867A (ja) * | 2006-07-24 | 2008-02-07 | Nomura Research Institute Ltd | 通信代理システムおよび通信代理装置 |
US8886934B2 (en) * | 2006-07-26 | 2014-11-11 | Cisco Technology, Inc. | Authorizing physical access-links for secure network connections |
JP2009117887A (ja) | 2007-11-01 | 2009-05-28 | Meidensha Corp | 電子認証装置、電子認証システム、電子認証方法およびこの方法のプログラム |
US9392462B2 (en) * | 2009-01-28 | 2016-07-12 | Headwater Partners I Llc | Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy |
US8892720B2 (en) * | 2009-02-12 | 2014-11-18 | Arcsoft, Inc. | System and method for network optimization through predictive downloading |
US9479480B2 (en) * | 2010-01-29 | 2016-10-25 | Citrix Systems, Inc. | Systems and methods of using SSL pools for WAN acceleration |
US8700892B2 (en) * | 2010-03-19 | 2014-04-15 | F5 Networks, Inc. | Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion |
JP5729179B2 (ja) * | 2011-07-04 | 2015-06-03 | 富士通株式会社 | 振分制御装置、振分制御方法および振分制御プログラム |
US9106557B2 (en) * | 2013-03-13 | 2015-08-11 | Comcast Cable Communications, Llc | Scheduled transmission of data |
GB2538931B (en) * | 2014-03-27 | 2021-08-25 | Pismo Labs Technology Ltd | Methods and systems for identifying data sessions at a VPN gateway |
US10623285B1 (en) * | 2014-05-09 | 2020-04-14 | Amazon Technologies, Inc. | Multi-mode health monitoring service |
US9680918B2 (en) * | 2014-06-30 | 2017-06-13 | Fortinet, Inc. | Socket application program interface (API) for efficient data transactions |
US9722906B2 (en) * | 2015-01-23 | 2017-08-01 | Cisco Technology, Inc. | Information reporting for anomaly detection |
US9686081B2 (en) * | 2015-07-01 | 2017-06-20 | Cisco Technology, Inc. | Detecting compromised certificate authority |
US20170054770A1 (en) * | 2015-08-23 | 2017-02-23 | Tornaditech Llc | Multimedia teleconference streaming architecture between heterogeneous computer systems |
US10469268B2 (en) * | 2016-05-06 | 2019-11-05 | Pacific Star Communications, Inc. | Unified encryption configuration management and setup system |
JP6692259B2 (ja) * | 2016-08-31 | 2020-05-13 | 株式会社東芝 | 通信装置、通信方法および通信システム |
EP3364607A1 (en) * | 2017-02-16 | 2018-08-22 | Telia Company AB | Methods and apparatuses for providing security in a roaming environment |
US10721097B2 (en) * | 2018-04-24 | 2020-07-21 | Microsoft Technology Licensing, Llc | Dynamic scaling of virtual private network connections |
-
2019
- 2019-03-04 JP JP2019038377A patent/JP7191726B2/ja active Active
-
2020
- 2020-02-28 EP EP20765990.5A patent/EP3913851B1/en active Active
- 2020-02-28 WO PCT/JP2020/008467 patent/WO2020179707A1/ja unknown
- 2020-02-28 SG SG11202109223VA patent/SG11202109223VA/en unknown
-
2021
- 2021-09-01 US US17/446,637 patent/US20210400040A1/en active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001119392A (ja) | 1999-10-22 | 2001-04-27 | Hitachi Ltd | Isdn暗号アダプタおよびisdn暗号通信方法 |
JP2004328563A (ja) | 2003-04-28 | 2004-11-18 | Hitachi Ltd | 暗号通信装置および暗号通信システム |
JP2005223892A (ja) | 2004-01-09 | 2005-08-18 | Ricoh Co Ltd | デジタル証明書無効化方法、デジタル証明書無効化装置、デジタル証明書無効化システム、プログラム及び記録媒体 |
US20140108781A1 (en) | 2012-10-12 | 2014-04-17 | Huawei Technologies Co., Ltd. | Method and System for Negotiation Based on IKE Messages |
JP2017135461A (ja) | 2016-01-25 | 2017-08-03 | 三菱電機株式会社 | 加入者終端装置、局側終端装置、光信号伝送装置および通信システム |
Non-Patent Citations (2)
Title |
---|
北川 剛,Javaネットワークプログラミング[セキュリティ編] シークレット掲示板を作ろう,SoftwareDesign,日本,(株)技術評論社,2001年12月18日,第134号,p.66-76 |
北御門 靖宏 ほか,MOBIKEを応用したIPsecGW冗長化方式の提案,電子情報通信学会2009年通信ソサイエティ大会講演論文集2,日本,社団法人電子情報通信学会,2009年09月01日,B-6-27,p. 27 |
Also Published As
Publication number | Publication date |
---|---|
EP3913851A1 (en) | 2021-11-24 |
EP3913851B1 (en) | 2024-02-28 |
JP2020145497A (ja) | 2020-09-10 |
SG11202109223VA (en) | 2021-09-29 |
US20210400040A1 (en) | 2021-12-23 |
WO2020179707A1 (ja) | 2020-09-10 |
EP3913851A4 (en) | 2022-10-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220385655A1 (en) | Communication control system and communication control device | |
WO2020179706A1 (ja) | 通信制御装置および通信システム | |
WO2020179707A1 (ja) | 通信制御装置および通信システム | |
JP7191727B2 (ja) | 通信制御装置および通信システム | |
JP7278807B2 (ja) | 通信制御装置および通信システム | |
US11736219B2 (en) | Communication control device and communication control system | |
JP7163206B2 (ja) | 通信制御装置 | |
JP7042853B2 (ja) | クライアント側通信制御装置、およびサーバ側通信制御装置 | |
JP7458470B2 (ja) | 通信制御装置 | |
WO2023176431A1 (ja) | 情報処理装置および通信システム | |
US20210345106A1 (en) | Communication control device and communication control system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210825 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210928 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221108 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221207 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7191726 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |