JP7278807B2 - 通信制御装置および通信システム - Google Patents
通信制御装置および通信システム Download PDFInfo
- Publication number
- JP7278807B2 JP7278807B2 JP2019038378A JP2019038378A JP7278807B2 JP 7278807 B2 JP7278807 B2 JP 7278807B2 JP 2019038378 A JP2019038378 A JP 2019038378A JP 2019038378 A JP2019038378 A JP 2019038378A JP 7278807 B2 JP7278807 B2 JP 7278807B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication control
- control device
- network
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Description
まず、各実施形態に係る通信システムのペースとなる基本的な構成例および動作例について説明する。
図1は、各実施形態に係る通信システムのベースとなる構成を有する通信システム1の構成例を示す図である。
通信システム1は、クライアント装置10(10-1~10-N)と、サーバ装置20と、クライアント側の通信制御装置30(30-1~30-N)(「第1の通信制御装置」の一例)と、サーバ側の通信制御装置31(「第1の通信制御装置」の一例)と、通信制御管理装置5(「プライベート認証局」の一例)と、ネットワーク6と、ゲートウェイ7と、を備える。以下の説明においては、ネットワーク6と、ネットワーク6とクライアント装置10等とを接続するゲートウェイ7と、をまとめて「ネットワークNW」とも称する。
クライアント装置10は、NW(ネットワーク)通信部11と、クライアント制御部12と、撮像部13とを備える。NW通信部11は、例えば、クライアント装置10のイーサネット(登録商標)のポートである。NW通信部11は、クライアント側の通信制御装置30に接続され、クライアント装置10からサーバ装置20に対して送信されるデータをクライアント側の通信制御装置30に出力する。なお、NW通信部11は、従来のシステムであれば、ネットワークNWに接続され、ネットワークNWを介して、サーバ装置20と通信を行う機能部に相当する。
撮像部13は、クライアント制御部12の指示に従い、所定箇所における風景を撮像する。撮像部13は、撮像したデータ(撮像データ)を、クライアント制御部12に出力する。
ここで、ICカード40は、「認証部」の一例である。認証部は、リーダライタ35およびICカード40で実現するものに限定されない。認証部は、制御部33が実現しても良いし、認証処理用の処理回路で実現しても良い。
NW通信部32は、ネットワークNWに接続され、ネットワークNWを介して、他方の通信制御装置30(31)と通信を行う。
ICカード40は、例えば、プラスチックのカード基材に、ICモジュール41を実装して形成されている。すなわち、ICカード40は、ICモジュール41と、ICモジュール41が埋め込まれたカード基材とを備える。また、ICカード40は、通信制御装置30(31)に着脱可能に装着され、コンタクト部36を介して通信制御装置30(31)と通信可能である。
ICカード40は、コンタクト部36と、ICチップ42とを備えたICモジュール41を備えている。そして、ICチップ42は、UART(Universal Asynchronous Recei ver Transmitter)43と、CPU44と、ROM(Read Only Memory)45と、RAM(Random Access Memory)46と、EEPROM(登録商標)(Electrically Erasable Programmable ROM)47とを備える。また、各構成(43から47)は、内部バスBSを介して接続されている。
ここで、コマンド処理部52が行う処理は、「認証処理」の一例である。また、暗号化復号部53が行う処理は、「暗号化復号処理」の一例である。
NW通信部60は、ネットワークNWに接続され、ネットワークNWを介して、通信制御装置30(31)と通信を行う。
記憶部66は、例えば、鍵情報記憶エリア67と、証明書情報記憶エリア68とを備える。鍵情報記憶エリア67は、例えば既に発行済みの公開鍵や、秘密鍵を示す情報を記憶する。証明書情報記憶エリア68は、例えば既に発行済みの証明書を示す情報を記憶する。鍵情報記憶エリア67と、証明書情報記憶エリア68とは、例えば、鍵生成部62が秘密鍵を発行する際、証明書発行部63が証明書を発行する際などに参照される。また、鍵情報記憶エリア67には、鍵生成部62が発行した秘密鍵を示す情報が記憶される。また、証明書情報記憶エリア68には、証明書発行部63が発行した証明書を示す情報が記憶される。
次に、第1の実施形態に係る通信システムについて説明する。
図8は、第1の実施形態に係る通信システム100の第1構成例を示す図である。図8に示す通信システム100は、図1に示すシステム構成において通信制御装置30を通信制御装置101に置き換えたものである。また、図8に示す構成例において、通信制御装置101は、ネットワークNWとクライアント装置10との間に、並列に設けた複数の通信デバイス111A、111Bを有する。
なお、通信システム100においては、通信制御装置31についても、通信制御装置101と同様に、ネットワークNWとサーバ装置20との間に、並列に設けた複数の通信デバイスを具備する構成としても良い。
図9は、第1の実施形態に係る通信システム100の第1の構成例における通信制御装置101の構成例を示すブロック図である。
図9に示す構成例において、通信制御装置101は、複数の通信デバイス111として並列に配置した第1通信デバイス111Aと第2通信デバイス111Bとを有する。第1通信デバイス111Aと第2通信デバイス111Bとは、通信制御装置101において、ネットワークNW側に接続するハブ114とクライアント側に接続するハブ115との間に並列に接続する。第1通信デバイス111Aおよび第2通信デバイス111Bは、それぞれが上述した図1に示す通信制御装置30と同等の通信処理を実行する構成を有する。
コントローラ120は、通信デバイス111を制御するものである。図9に示す構成例において、コントローラ120は、MPU121、RAM122、SAM123およびデータメモリ124などを有する。
データメモリ124は、プログラムおよび設定情報などを記憶する。例えば、データメモリ124は、通信を許可する宛先のリストを示すホワイトリストを記憶する。コントローラ120は、通信モードがホワイトリストにある宛先との通信を行うホワイトリスト運用モード(通常通信モード、第1の通信モード)である場合、データメモリ124に記憶するホワイトリストを参照して通信を実行する。また、コントローラ120は、データメモリ124にあるホワイトリストを通信制御管理装置5からの指示に応じて書き換えるようにしても良い。例えば、通信デバイス111は、ホワイトリストにある宛先をすべて削除することにより未通信状態とするようにしても良い。また、データメモリ124は、当該通信デバイスの動作状態を示すログ情報を記憶するようにしても良い。データメモリ124に蓄積したログ情報は、通信制御管理装置(デバイス管理サーバ)5へ送ったり、自己診断処理などに用いたりする。
ブリッジ132は、通信デバイス111におけるネットワークNW側の通信を実行する。ブリッジ132は、図3に示すNW通信部32としての通信を実現する。ブリッジ132は、ネットワークNWから受信するデータをハブ133を介してコントローラ120へ供給する。また、ブリッジ134は、コントローラ120またはICカード140で暗号化したデータをネットワークNWへ送出する。
図10は、図8に示す構成の通信システム100における動作例を説明するためのシーケンスである。
まず、通信制御装置101は、第1通信デバイス111Aがホワイトリストに基づく通常の運用モード(通常通信モード、第1の通信モード)で通信を実行し(ステップS101)、第2通信デバイス111Bが未通信状態であるものとする(ステップS102)。
図11は、第1の実施形態に係る通信システム100´の第2の構成例を示す図である。図11に示す通信システム100´は、図1に示すシステム構成において通信制御装置30を通信制御装置101´に置き換えたものである。また、図11に示す構成例において、通信制御装置101´は、ネットワークNWとクライアント装置10との間に、直列に配置した複数の通信デバイス111C、111Dを有する。
なお、通信システム100´においては、通信制御装置31についても、通信制御装置101´と同様に、ネットワークNWとサーバ装置20との間に、直列に配置した複数の通信デバイスを具備する構成としても良い。
図12は、第1の実施形態に係る通信システム100´の第2の構成例における通信制御装置101´の構成例を示すブロック図である。
図12に示す構成例において、通信制御装置101´は、複数の通信デバイス111として、直列に配置した第1通信デバイス111Cと第2通信デバイス111Dとを有する。図12に示す例では、通信制御装置101´において、ネットワークNWに接続する第1通信デバイス111Cとクライアント装置10に接続する第2通信デバイス111Dとが直列に接続される。
ただし、通信制御装置101´は、通信制御装置30と同様な構成を有する複数の通信デバイスを直列に配置したシステムとして実現しても良い。このようなシステムでは、複数の通信デバイス111´がそれぞれ電源およびメモリI/Fなどの構成を具備するものとして良い。
図13は、図11に示す構成の通信システム100´における動作例を説明するためのシーケンスである。
まず、通信制御装置101´は、第1通信デバイス111Cがホワイトリストに基づく通常の運用モード(通常通信モード)で通信を実行し(ステップS121)、第2通信デバイス111Dがパススルーモードで動作するものとする(ステップS122)。
次に、第2の実施形態に係る通信システムについて説明する。
図14は、第2の実施形態に係る通信システム200の構成例を示す図である。図14に示す通信システム200は、図1に示すシステム構成においてクライアント側の通信制御装置30を通信制御装置201に置き換えたものである。また、図14に示す構成例において、通信制御装置201は、ネットワークNWとクライアント装置10との間に、分散制御器212Aおよび212Bを介して並列に配置した複数の通信デバイス211A、211B、211Cを有する。
なお、通信システム200においては、サーバ側の通信制御装置31についても、通信制御装置201と同様に、ネットワークNWとサーバ装置20との間に、分散制御器を介して並列に配置した複数の通信デバイスを具備する構成としても良い。
図15に示す構成例において、通信制御装置201は、複数の通信デバイス211として並列に配置した3つの通信デバイス211A、211B、211Cを有する。複数の通信デバイス211A~211Cは、通信制御装置201において、ネットワークNWに接続する分散制御器212Aとクライアント装置10に接続する分散制御器212Bとの間に並列に接続する。複数の通信デバイス211A~211Cは、それぞれが上述した図1に示す通信制御装置30と同等の通信処理を実行する構成を有する。また、分散制御器212A、212Bは、通信処理の負荷を複数の通信デバイス211A~211Cに分散する制御を行う。したがって、暗号化復号処理や、証明書による相互認証処理も、それぞれの通信デバイス211A~211Cが有するコントローラが処理を行うことができる。
コントローラ220は、通信デバイス211を制御するものである。図15に示す構成例において、コントローラ220は、MPU221、RAM222、SAM223およびデータメモリ224などを有する。
データメモリ224は、プログラムおよび設定情報などを記憶する。例えば、データメモリ224は、通信を許可する宛先のリストを示すホワイトリストを記憶する。コントローラ220は、データメモリ224に記憶するホワイトリストを参照して通常通信モード(第1の通信モード)での通信を実行する。また、データメモリ224は、当該通信デバイスの動作状態を示すログ情報を記憶するようにしても良い。また、データメモリ224は、当該通信デバイスにおける通信量を示す情報を記憶するようにしても良い。また、データメモリ224は、ログデータの分析などによる自己診断処理などを実行したりする。
ブリッジ232は、通信デバイス211におけるネットワークNW側の通信を実行する。ブリッジ232は、図3に示すNW通信部32としての通信を実現する。ブリッジ232は、ネットワークNWから受信するデータをハブ233を介してコントローラ220へ供給する。また、ブリッジ234は、コントローラ220またはICカード240で暗号化したデータをネットワークNWへ送出する。
コントローラ251は、分散制御器212を制御するものである。コントローラ251は、プロセッサおよび各種のメモリなどを有する。コントローラ251においては、プロセッサがプログラムを実行することで種々の処理を実現する。例えば、コントローラ251は、プロセッサがプログラムを実行することにより各通信デバイス211A~211Cへの通信負荷の分散制御を行う。
ハブ253は、ネットワークNWまたはクライアント装置10と複数の通信デバイス211A~211Cとを接続させるインターフェースである。ハブ253は、コントローラ251によって接続先する通信デバイスが制御される。
図16は、図14及び図15に示す構成の通信システム200における分散制御器212(212A、212B)の動作例を説明するためのフローチャートである。
まず、分散制御器212は、インターフェース254などにより入力される複数の通信デバイス211A~211Cによる分散処理のための設定情報を受け付ける(S201)。分散処理のための設定情報を取得した場合(ステップS201、YES)、分散制御器212(212A又は212B)のコントローラ251は、入力される設定情報に基づいて複数の通信デバイス211A~211Cによる分散処理を決定するための閾値を設定する(ステップS202)。ここでは、1つの通信制御装置201において並列に配置される通信デバイスが3つである場合を想定するものとし、コントローラ251は、第1閾値と第2閾値とをメモリ252に保存するものとする。
例えば、複数の通信デバイスが動作している状態であれば、コントローラ251は、監視している処理の負荷が第1閾値未満となった場合に1つの通信デバイスだけで通信を実行し、通信を実行しない通信デバイスを未通信状態(スリープ状態)への遷移させる。
これにより、分散制御器212は、処理が負荷が第1閾値未満である場合に、1つの通信デバイスだけで通信処理を実行し、その他の通信デバイスを未通信状態とすることで無駄な電力消費を抑制できる。
次に、第3の実施形態に係る通信システムについて説明する。
図17は、第3の実施形態に係る通信システム300および通信制御装置301の構成例を示す図である。図17に示す通信システム300は、図1に示すシステム構成においてクライアント側の通信制御装置30を通信制御装置301に置き換えたものである。ただし、通信システム300において、ネットワークNWとサーバ装置20との間に配置されるサーバ側の通信制御装置31についても、通信制御装置301と同様の構成を有するものとして良い。なお、図17に示す構成において、通信システム300における通信制御装置301以外の各装置は、図1に示す装置と同様な構成で実現することができるため、詳細な説明を省略するものとする。
コントローラ320は、通信デバイス211を制御するものである。図17に示す構成例において、コントローラ320は、MPU321、RAM322、SAM323およびデータメモリ324などを有する。
データメモリ324は、プログラムおよび設定情報などを記憶する。例えば、データメモリ324は、通信を許可する宛先のリストを示すホワイトリストを記憶する。コントローラ320は、データメモリ324に記憶するホワイトリストを参照して通常通信モード(第1の通信モード)での通信を実行する。また、データメモリ324は、当該通信制御装置の動作状態を示すログ情報を記憶するようにしても良い。また、データメモリ324は、コントローラ320による当該通信制御装置における通信量の分析情報を記憶する。
ブリッジ332は、通信制御装置301におけるネットワークNW側の通信を実行する。ブリッジ332は、図3に示すNW通信部32としての通信を実現する。ブリッジ332は、ネットワークNWから受信するデータをハブ333を介してコントローラ320へ供給する。また、ブリッジ334は、コントローラ320またはICカード340で暗号化したデータをネットワークNWへ送出する。
図18は、図17に示す通信システム300における第1の動作例を説明するためのシーケンスである。
まず、通信制御装置301は、通常の運用において通信量を含むログ情報を蓄積する。例えば、通信制御装置301のコントローラ320は、通信インターフェースとしてのブリッジ332および334を通過するデータを監視することにより、当該通信制御装置301の通信量を示す情報をデータメモリ324に保存する。
また、自己診断を実施しない場合(ステップS311、NO)、コントローラ320は、自己診断を実施していないことを示す通知を通信制御管理装置5へ送信する(ステップS314)。この場合、自己診断を実施していないことを示す通知が、自己診断の実施要求に対する応答として通信制御管理装置5により取得される(ステップS315)。
これにより、通信制御管理装置は、通信制御装置に対して、通信量が少なく、自己診断を行っても通常の通信処理に影響がない時間に自己診断を実施させることができる。この結果として、通信制御装置の状態を確認したり、故障や通信障害などを早期に発見したりするための自己診断を本来の通信システムに負荷をかけずに効率よく実施させることができる。
図19は、図17に示す通信システム300における第2の動作例を説明するためのシーケンスである。
通信制御装置301のコントローラ320は、上述した第1の動作例と同様に、データメモリ324にログ情報として蓄積する通信量を示す情報を分析し、分析結果としての通信量の分析情報をデータメモリ324に記憶する(ステップS321)。
自己診断を実施する場合(ステップS324、YES)、コントローラ320は、自己診断を実施し(ステップS325)、自己診断の実行結果を示す情報を通信制御管理装置5へ送信する。自己診断の実行結果を示す情報は、通信制御装置301から送信され、通信制御管理装置5が取得する(ステップS326)。
また、自己診断を実施しない場合(ステップS324、NO)、コントローラ320は、自己診断を実施していないことを示す通知を通信制御管理装置5へ送信する(ステップS327)。この場合、自己診断を実施していないことを示す通知が、自己診断の実施要求に対する応答として通信制御管理装置5により取得される(ステップS328)。
次に、第4の実施形態に係る通信システムについて説明する。
第4の実施形態に係る通信システムは、上述した第3の実施形態に係る通信システム300と同様な構成を有するものとする。従って、第4の実施形態については、第3の実施形態で説明した図17に示す通信システム300に適用する例として説明する。
図20は、第4の実施形態に係る通信システム300における第1の動作例を説明するためのシーケンスである。
まず、通信制御装置301は、動作状態を示すログ情報をデータメモリ324に蓄積する。ここで、データメモリ324に蓄積するログ情報は、通信制御装置301の動作履歴を示す情報である。ただし、不正アクセスなどの緊急に通信制御管理装置5へ通知すべき情報は、ログ情報として保存しても良いが、直ちに通信制御管理装置5へ通知される。
図21は、第4の実施形態に係る通信システム300における第2の動作例を説明するためのシーケンスである。
まず、通信制御装置301のコントローラ320は、上述の第1の動作例と同様に、データメモリ324にログ情報として蓄積する通信量を示す情報を分析し、分析結果としての通信量の分析情報をデータメモリ324に記憶する(ステップS421)。
通信制御装置301のコントローラ320は、データメモリ324に記憶した通信量の分析情報に基づいて、当該通信制御装置301がログ情報を送信する送出時刻の候補を選出する(ステップS422)。送出時刻の候補は、1つであっても良いし、複数であっても良いし、時間帯で示しても良い。
図22は、第4の実施形態に係る通信システム300における第3の動作例を説明するためのシーケンスである。
まず、通信制御装置301のコントローラ320は、上述の第1の動作例と同様に、データメモリ324にログ情報として蓄積する通信量を示す情報を分析し、分析結果としての通信量の分析情報をデータメモリ324に記憶する(ステップS441)。
通信制御装置301のコントローラ320は、データメモリ324に記憶した通信量の分析情報に基づいて、当該通信制御装置301がログ情報を送信する送出予定時刻を決定する(ステップS442)。例えば、コントローラ320は、当該通信制御装置における通信量の分析情報に基づき、通信量が最も少ない時間帯で当該通信制御装置301がログ情報を送信できる時刻を送出予定時刻として選定する。
以下、本願の出願当初の特許請求の範囲に記載した内容を付記する。
[1]
第1の装置とネットワーク通信網との間に接続される第1の通信制御装置と、
第2の装置とネットワーク通信網との間に接続される第2の通信制御装置と、を備え、
前記第1の通信制御装置は、
前記第1の装置と前記ネットワーク通信網との間に並列に接続される複数の通信系統と、
前記第1の装置または前記ネットワーク通信網と前記複数の通信系統との間に設け、前記第1の装置または前記ネットワーク通信網からのデータに対する処理の負荷に応じた数の通信系統で分散して通信処理を実行させる分散制御器と、を具備し、
前記複数の通信系統は、
プライベート認証局により発行された秘密鍵、及びクライアント証明書を用いた前記第2の通信制御装置との相互認証処理により決定された共通鍵を用いて、前記第1の装置から前記第2の装置へ送信される情報を暗号化した情報を前記第2の通信制御装置へ送信し、前記第2の装置から前記第1の装置へ送信される情報を復号した情報を前記第1の装置に送信する通信処理を実行する第1のコントローラをそれぞれ有し、
前記第2の通信制御装置は、
前記プライベート認証局により発行された秘密鍵、及びサーバ証明書を用いた前記第1の通信制御装置との相互認証処理により決定された共通鍵を用いて、前記第2の装置から前記第1の装置へ送信される情報を暗号化した情報を前記第1の通信制御装置に送信し、前記第1の装置から前記第2の装置へ送信された情報を復号した情報を前記第2の装置に送信する通信処理を実行する第2のコントローラを有する
通信システム。
[2]
前記分散制御器は、前記複数の通信系統に含まれる第1の通信系統で通信処理を実行中に前記第1の装置または前記ネットワーク通信網からのデータ量が閾値以上となる場合、前記複数の通信系統に含まれる第1の通信系統とは異なる第2の通信系統を起動させて前記第1の通信系統と前記第2の通信系統とで分散して通信処理を実行させる、
[1]に記載の通信システム。
[3]
前記分散制御器は、前記複数の通信系統に含まれる2つの通信系統で通信処理を実行中に前記第1の装置または前記ネットワーク通信網からのデータ量が閾値未満となる場合、何れか一方の通信系統を未通信状態し、他方の通信系統での通信処理を継続して実行させる、
[1]に記載の通信システム。
[4]
前記第1の通信制御装置は、
前記閾値を記憶するメモリと、
前記メモリに記憶する閾値を入力するインターフェースと、を有する、
[2]または[3]の何れか1つに記載の通信システム。
[5]
第1の装置とネットワーク通信網との間に並列に接続される複数の通信系統と、
前記第1の装置または前記ネットワーク通信網と前記複数の通信系統との間に設け、前記第1の装置または前記ネットワーク通信網からのデータに対する処理の負荷に応じた数の通信系統で分散して通信処理を実行させる分散制御器と、を備え、
前記複数の通信系統は、
プライベート認証局により発行された秘密鍵、及びクライアント証明書を用いた第2の装置とネットワーク通信網との間に接続される第2の通信制御装置との相互認証処理により決定された共通鍵を用いて、前記第1の装置から前記第2の装置へ送信される情報を暗号化した情報を前記第2の通信制御装置へ送信し、前記第2の装置から前記第1の装置へ送信される情報を復号した情報を前記第1の装置に送信する通信処理を実行するコントローラをそれぞれ有する、
通信制御装置。
[6]
前記分散制御器は、前記複数の通信系統に含まれる第1の通信系統で通信処理を実行中に前記第1の装置または前記ネットワーク通信網からのデータ量が閾値以上となる場合、前記複数の通信系統に含まれる第1の通信系統とは異なる第2の通信系統を起動させて前記第1の通信系統と前記第2の通信系統とで分散して通信処理を実行させる、
[5]に記載の通信制御装置。
[7]
前記分散制御器は、前記複数の通信系統に含まれる2つの通信系統で通信処理を実行中に前記第1の装置または前記ネットワーク通信網からのデータ量が閾値未満となる場合、何れか一方の通信系統を未通信状態し、他方の通信系統での通信処理を継続して実行させる、
[5]に記載の通信制御装置。
[8]
前記閾値を記憶するメモリと、
前記メモリに記憶する閾値を入力するインターフェースと、を有する、
[6]または[7]の何れか1つに記載の通信制御装置。
Claims (8)
- 第1の装置とネットワーク通信網との間に接続される第1の通信制御装置と、
第2の装置とネットワーク通信網との間に接続される第2の通信制御装置と、を備え、
前記第1の通信制御装置は、
前記第1の装置と前記ネットワーク通信網との間に並列に接続される複数の通信系統と、
前記第1の装置または前記ネットワーク通信網と前記複数の通信系統との間に設け、前記第1の装置または前記ネットワーク通信網からのデータに対する処理の負荷に応じた数の通信系統で分散して通信処理を実行させる分散制御器と、を具備し、
前記複数の通信系統は、
第1の認証部と、
前記第1の認証部に、プライベート認証局により発行された秘密鍵、及びクライアント証明書を用いた前記第2の通信制御装置との相互認証処理と、前記第1の装置から前記第2の装置へ送信される情報を前記第1の装置と前記第2の装置との間で決定された共通鍵を用いて暗号化するとともに、前記第2の装置から前記第1の装置へ送信される情報を復号する暗号化復号化処理とのうち少なくとも一方の処理を依頼し、前記第1の装置との間では平文のデータを送受信する通信処理を実行する第1のコントローラと、をそれぞれ有し、
前記第2の通信制御装置は、
第2の認証部と、
前記第2の認証部に、前記プライベート認証局により発行された秘密鍵、及びサーバ証明書を用いた前記第1の通信制御装置との相互認証処理と、前記第2の装置から前記第1の装置へ送信される情報を前記第1の装置と前記第2の装置との間で決定された共通鍵を用いて暗号化するとともに、前記第1の装置から前記第2の装置へ送信された情報を復号する暗号化復号化処理とのうち少なくとも一方の処理を依頼し、前記第2の装置との間では平文のデータを送受信する通信処理を実行する第2のコントローラと、を有する
通信システム。 - 前記分散制御器は、前記複数の通信系統に含まれる第1の通信系統で通信処理を実行中に前記第1の装置または前記ネットワーク通信網からのデータ量が閾値以上となる場合、前記複数の通信系統に含まれる第1の通信系統とは異なる第2の通信系統を起動させて前記第1の通信系統と前記第2の通信系統とで分散して通信処理を実行させる、
請求項1に記載の通信システム。 - 前記分散制御器は、前記複数の通信系統に含まれる2つの通信系統で通信処理を実行中に前記第1の装置または前記ネットワーク通信網からのデータ量が閾値未満となる場合、何れか一方の通信系統を未通信状態し、他方の通信系統での通信処理を継続して実行させる、
請求項1に記載の通信システム。 - 前記第1の通信制御装置は、
前記閾値を記憶するメモリと、
前記メモリに記憶する閾値を入力するインターフェースと、を有する、
請求項2または3の何れか1項に記載の通信システム。 - 第1の装置とネットワーク通信網との間に並列に接続される複数の通信系統と、
前記第1の装置または前記ネットワーク通信網と前記複数の通信系統との間に設け、前記第1の装置または前記ネットワーク通信網からのデータに対する処理の負荷に応じた数の通信系統で分散して通信処理を実行させる分散制御器と、を備え、
前記複数の通信系統は、
認証部と、
前記認証部に、プライベート認証局により発行された秘密鍵、及びクライアント証明書を用いた第2の装置とネットワーク通信網との間に接続される第2の通信制御装置との相互認証処理と、前記第1の装置から前記第2の装置へ送信される情報を前記第1の装置と前記第2の装置との間で決定された共通鍵を用いて暗号化するとともに、前記第2の装置から前記第1の装置へ送信される情報を復号する暗号化復号化処理とのうち少なくとも一方の処理を依頼し、前記第1の装置との間では平文のデータを送受信する通信処理を実行するコントローラと、をそれぞれ有する、
通信制御装置。 - 前記分散制御器は、前記複数の通信系統に含まれる第1の通信系統で通信処理を実行中に前記第1の装置または前記ネットワーク通信網からのデータ量が閾値以上となる場合、前記複数の通信系統に含まれる第1の通信系統とは異なる第2の通信系統を起動させて前記第1の通信系統と前記第2の通信系統とで分散して通信処理を実行させる、
請求項5に記載の通信制御装置。 - 前記分散制御器は、前記複数の通信系統に含まれる2つの通信系統で通信処理を実行中に前記第1の装置または前記ネットワーク通信網からのデータ量が閾値未満となる場合、何れか一方の通信系統を未通信状態し、他方の通信系統での通信処理を継続して実行させる、
請求項5に記載の通信制御装置。 - 前記閾値を記憶するメモリと、
前記メモリに記憶する閾値を入力するインターフェースと、を有する、
請求項6または7の何れか1項に記載の通信制御装置。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019038378A JP7278807B2 (ja) | 2019-03-04 | 2019-03-04 | 通信制御装置および通信システム |
SG11202109227SA SG11202109227SA (en) | 2019-03-04 | 2020-02-28 | Communication control device and communication system |
EP20765856.8A EP3917071B1 (en) | 2019-03-04 | 2020-02-28 | Communication control device and communication system |
PCT/JP2020/008468 WO2020179708A1 (ja) | 2019-03-04 | 2020-02-28 | 通信制御装置および通信システム |
US17/464,209 US20210400028A1 (en) | 2019-03-04 | 2021-09-01 | Communication control device and communication control system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019038378A JP7278807B2 (ja) | 2019-03-04 | 2019-03-04 | 通信制御装置および通信システム |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2020145498A JP2020145498A (ja) | 2020-09-10 |
JP2020145498A5 JP2020145498A5 (ja) | 2021-10-14 |
JP7278807B2 true JP7278807B2 (ja) | 2023-05-22 |
Family
ID=72336965
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019038378A Active JP7278807B2 (ja) | 2019-03-04 | 2019-03-04 | 通信制御装置および通信システム |
Country Status (5)
Country | Link |
---|---|
US (1) | US20210400028A1 (ja) |
EP (1) | EP3917071B1 (ja) |
JP (1) | JP7278807B2 (ja) |
SG (1) | SG11202109227SA (ja) |
WO (1) | WO2020179708A1 (ja) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001119392A (ja) | 1999-10-22 | 2001-04-27 | Hitachi Ltd | Isdn暗号アダプタおよびisdn暗号通信方法 |
JP2004328563A (ja) | 2003-04-28 | 2004-11-18 | Hitachi Ltd | 暗号通信装置および暗号通信システム |
JP2005196695A (ja) | 2004-01-09 | 2005-07-21 | Sony Corp | 制御装置および方法、記録媒体、並びにプログラム |
JP2005223892A (ja) | 2004-01-09 | 2005-08-18 | Ricoh Co Ltd | デジタル証明書無効化方法、デジタル証明書無効化装置、デジタル証明書無効化システム、プログラム及び記録媒体 |
JP2007049455A (ja) | 2005-08-10 | 2007-02-22 | Toshiba Corp | 暗号鍵管理サーバ、暗号鍵管理方法および暗号鍵管理プログラム |
JP2008028867A (ja) | 2006-07-24 | 2008-02-07 | Nomura Research Institute Ltd | 通信代理システムおよび通信代理装置 |
JP2013016041A (ja) | 2011-07-04 | 2013-01-24 | Fujitsu Ltd | 振分制御装置、振分制御方法および振分制御プログラム |
US20140108781A1 (en) | 2012-10-12 | 2014-04-17 | Huawei Technologies Co., Ltd. | Method and System for Negotiation Based on IKE Messages |
JP2017135461A (ja) | 2016-01-25 | 2017-08-03 | 三菱電機株式会社 | 加入者終端装置、局側終端装置、光信号伝送装置および通信システム |
JP2018037888A (ja) | 2016-08-31 | 2018-03-08 | 株式会社東芝 | 通信装置、通信方法および通信システム |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS63146630A (ja) * | 1986-12-10 | 1988-06-18 | Fujitsu Ltd | 暗号装置間の公開鍵交換方式 |
DE10107883B4 (de) * | 2001-02-19 | 2006-02-09 | Deutsche Post Ag | Verfahren zur Übertragung von Daten, Proxy-Server und Datenübertragungssystem |
US7610631B2 (en) * | 2004-11-15 | 2009-10-27 | Alexander Frank | Method and apparatus for provisioning software |
JP2009117887A (ja) | 2007-11-01 | 2009-05-28 | Meidensha Corp | 電子認証装置、電子認証システム、電子認証方法およびこの方法のプログラム |
US8700892B2 (en) * | 2010-03-19 | 2014-04-15 | F5 Networks, Inc. | Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion |
-
2019
- 2019-03-04 JP JP2019038378A patent/JP7278807B2/ja active Active
-
2020
- 2020-02-28 SG SG11202109227SA patent/SG11202109227SA/en unknown
- 2020-02-28 WO PCT/JP2020/008468 patent/WO2020179708A1/ja unknown
- 2020-02-28 EP EP20765856.8A patent/EP3917071B1/en active Active
-
2021
- 2021-09-01 US US17/464,209 patent/US20210400028A1/en active Pending
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001119392A (ja) | 1999-10-22 | 2001-04-27 | Hitachi Ltd | Isdn暗号アダプタおよびisdn暗号通信方法 |
JP2004328563A (ja) | 2003-04-28 | 2004-11-18 | Hitachi Ltd | 暗号通信装置および暗号通信システム |
JP2005196695A (ja) | 2004-01-09 | 2005-07-21 | Sony Corp | 制御装置および方法、記録媒体、並びにプログラム |
JP2005223892A (ja) | 2004-01-09 | 2005-08-18 | Ricoh Co Ltd | デジタル証明書無効化方法、デジタル証明書無効化装置、デジタル証明書無効化システム、プログラム及び記録媒体 |
JP2007049455A (ja) | 2005-08-10 | 2007-02-22 | Toshiba Corp | 暗号鍵管理サーバ、暗号鍵管理方法および暗号鍵管理プログラム |
JP2008028867A (ja) | 2006-07-24 | 2008-02-07 | Nomura Research Institute Ltd | 通信代理システムおよび通信代理装置 |
JP2013016041A (ja) | 2011-07-04 | 2013-01-24 | Fujitsu Ltd | 振分制御装置、振分制御方法および振分制御プログラム |
US20140108781A1 (en) | 2012-10-12 | 2014-04-17 | Huawei Technologies Co., Ltd. | Method and System for Negotiation Based on IKE Messages |
JP2017135461A (ja) | 2016-01-25 | 2017-08-03 | 三菱電機株式会社 | 加入者終端装置、局側終端装置、光信号伝送装置および通信システム |
JP2018037888A (ja) | 2016-08-31 | 2018-03-08 | 株式会社東芝 | 通信装置、通信方法および通信システム |
Non-Patent Citations (2)
Title |
---|
北川 剛,Javaネットワークプログラミング[セキュリティ編] シークレット掲示板を作ろう,SoftwareDesign,日本,(株)技術評論社,2001年12月18日,第134号,p.66-76 |
北御門 靖宏 ほか,MOBIKEを応用したIPsecGW冗長化方式の提案,電子情報通信学会2009年通信ソサイエティ大会講演論文集2,日本,社団法人電子情報通信学会,2009年09月01日,B-6-27,p. 27 |
Also Published As
Publication number | Publication date |
---|---|
EP3917071B1 (en) | 2024-02-28 |
WO2020179708A1 (ja) | 2020-09-10 |
US20210400028A1 (en) | 2021-12-23 |
JP2020145498A (ja) | 2020-09-10 |
EP3917071A4 (en) | 2022-10-12 |
EP3917071A1 (en) | 2021-12-01 |
SG11202109227SA (en) | 2021-09-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220385655A1 (en) | Communication control system and communication control device | |
WO2020179706A1 (ja) | 通信制御装置および通信システム | |
WO2020179707A1 (ja) | 通信制御装置および通信システム | |
JP7278807B2 (ja) | 通信制御装置および通信システム | |
JP7191727B2 (ja) | 通信制御装置および通信システム | |
US11736219B2 (en) | Communication control device and communication control system | |
US20210345106A1 (en) | Communication control device and communication control system | |
JP7163206B2 (ja) | 通信制御装置 | |
JP7042853B2 (ja) | クライアント側通信制御装置、およびサーバ側通信制御装置 | |
JP7458470B2 (ja) | 通信制御装置 | |
WO2023176431A1 (ja) | 情報処理装置および通信システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210825 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210928 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221108 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221226 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20230105 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230411 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230510 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7278807 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |