JP7373314B2 - 通信制御装置および通信制御方法 - Google Patents
通信制御装置および通信制御方法 Download PDFInfo
- Publication number
- JP7373314B2 JP7373314B2 JP2019122708A JP2019122708A JP7373314B2 JP 7373314 B2 JP7373314 B2 JP 7373314B2 JP 2019122708 A JP2019122708 A JP 2019122708A JP 2019122708 A JP2019122708 A JP 2019122708A JP 7373314 B2 JP7373314 B2 JP 7373314B2
- Authority
- JP
- Japan
- Prior art keywords
- low
- data
- communication control
- update
- control device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 175
- 238000000034 method Methods 0.000 title description 24
- 238000012545 processing Methods 0.000 claims description 72
- 230000001360 synchronised effect Effects 0.000 claims description 16
- 230000005856 abnormality Effects 0.000 claims description 14
- 238000005192 partition Methods 0.000 claims description 4
- 230000003287 optical effect Effects 0.000 claims description 3
- 230000000903 blocking effect Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 18
- 238000012790 confirmation Methods 0.000 description 13
- 208000028399 Critical Illness Diseases 0.000 description 7
- 230000010365 information processing Effects 0.000 description 5
- 230000036541 health Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 238000012360 testing method Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明の実施形態は、通信制御装置および通信制御方法に関する。
最近、2つのネットワーク間でデータ通信により送受信されるデータに対する攻撃が問題となっている。たとえば病院では、医用画像をあつかうなどのセキュリティの高いネットワークと、受付に設置された予約設定端末が属するセキュリティの低いネットワークとの間でデータが送受信される。しかし、病院で扱うデータは個人情報が含まれることが多いためデータの情報価値が高く、フラッド型や脆弱性型のDoS攻撃の対象になりやすい。このため、2つのネットワーク間で送受信されるデータに対する攻撃に対策を講じることが好ましい。
この種の攻撃に対応するための技術として、たとえばゲートウェイのファイアーウォールを介した相互通信技術が知られている。しかし、ゲートウェイを用いる場合、問題を検知した場合や過負荷攻撃を受けた場合にゲートウェイが停止すると、ネットワーク間が分断されてしまい、データ送受信が不可能となってしまいサービスの継続提供ができなくなってしまうため、利便性が著しく損なわれてしまう。
また、この種の攻撃に対応するための技術として、たとえば光ケーブルを用いた物理的一方向通信を利用し、セキュリティの高いネットワークからセキュリティの低いネットワークへ一方向通信する技術が知られている。しかし、セキュリティの高いネットワークからセキュリティの低いネットワークへ一方向通信する場合、セキュリティの低いネットワークに対する攻撃には強固であるものの、リクエストに対する応答ができず、利便性が悪い。
本発明が解決しようとする課題は、優先度が高いネットワークのデータベースと優先度が低いネットワークのデータベースとを、優先度にもとづいて同期させることである。
実施形態に係る通信制御装置は、高側通信制御装置と、低側通信制御装置とを備える。高側通信制御装置は、優先度が高い高側ネットワークに属し、優先度が低い低側ネットワークとのデータ通信を制御する高側処理部を有する。低側通信制御装置は、低側ネットワークに属し、高側通信制御装置とのデータ通信を制御する低側処理部を有する。高側処理部と低側処理部とは、互いに協働することにより、高側ネットワークに属する高側データベースと低側ネットワークに属する低側データベースとを、優先度にもとづいて同期させる。
以下、図面を参照しながら、通信制御装置および通信制御方法の実施形態について詳細に説明する。本実施形態に係る通信制御装置は、優先度の高いネットワークと優先度の低いネットワークとの間でデータ送受信を行い、優先度の高いネットワークのデータベースと優先度の低いネットワークのデータベースとを、優先度にもとづいて同期させるものである。優先度の高低は、たとえばセキュリティの重要性に応じて設定される。
図1は、一実施形態に係る通信制御装置10を含む通信制御システム1の一例を示すブロック図である。
通信制御システム1は、優先度の高いネットワーク(以下、高側ネットワークという)20Hと、優先度の低いネットワーク(以下、低側ネットワークという)20Lと、高側ネットワーク20Hから低側ネットワーク20Lへの一方向のみのデータ通信部(以下、高低通信部という)21HLと、低側ネットワーク20Lから高側ネットワーク20Hへの一方向のみのデータ通信部(以下、低高通信部という)21LHとを有する。
高側ネットワーク20Hは、高側通信制御システム30Hを有するとともに、情報処理装置31H、モダリティ32H、画像サーバ33Hなどの装置を有する。
低側ネットワーク20Lは、低側通信制御システム30Lを有するとともに、情報処理装置31L、携帯端末32L、被検体に取りつけられて被検体の生体情報を収集するセンサ33Lなどの装置を有する。
高側通信制御システム30Hは、高側通信制御装置40Hを有するとともに、高側データベース51H、52H、・・・を有する。低側通信制御システム30Lは、低側通信制御装置40Lを有するとともに、低側データベース51L、52L、・・・を有する。
高側通信制御装置40H、低側通信制御装置40L、高低通信部21HL、および低高通信部21LHは、一実施形態に係る通信制御装置10を構成する。
高側通信制御装置40Hは、高側処理回路41H、記憶回路42H、送信回路43H、受信回路44Hを有する。低側通信制御装置40Lは、低側処理回路41L、記憶回路42L、送信回路43L、受信回路44Lを有する。
高側処理回路41Hと低側処理回路41Lは、互いに協働することにより、高側データベース51H、52H、・・・と低側データベース51L、52L、・・・とを、優先度にもとづいて同期させる。高側処理回路41Hと低側処理回路41Lについては図2を参照して後述する。
高側通信制御装置40Hの送信回路43Hは、低側通信制御装置40Lの受信回路44Lと、高低通信経路45HLを介して接続される。低側通信制御装置40Lの送信回路43Lは、高側通信制御装置40Hの受信回路44Hと、低高通信経路45LHを介して接続される。
高側通信制御装置40Hの送信回路43Hと、高低通信経路45HLと、低側通信制御装置40Lの受信回路44Lとは、高低通信部21HLを構成する。低側通信制御装置40Lの送信回路43Lと、低高通信経路45LHと、高側通信制御装置40Hの受信回路44Hとは、低高通信部21LHを構成する。
なお、通信制御システム1は、高側通信制御装置40Hから低側通信制御装置40Lへ一方向のみのデータ通信が実現されるよう構成されるとともに、低側通信制御装置40Lから高側通信制御装置40Hへ一方向のみのデータ通信が実現されるよう構成されればよい。一方向データ通信は、たとえば論理的(ソフトウェア的)に実現されてもよいし、物理的(ハードウェア的)に実現されてもよい。
一方向データ通信がソフトウェア的に実現される場合は、高側通信制御装置40Hの送信回路43Hと受信回路44Hが一体として送受信回路を構成するとともに、低側通信制御装置40Lの送信回路43Lと受信回路44Lが一体として送受信回路を構成してもよい。この場合、高低通信経路45HLと低高通信経路45LHとは一つの通信経路が兼用してもよい。
一方向データ通信がハードウェア的に実現される場合は、たとえば、高低通信部21HLと低高通信部21LHとがそれぞれ、一方向にのみデータ通信可能な光ケーブルを含んで構成されるとよい。
図2(a)は高側処理回路41Hのプロセッサによる実現機能例を説明するためのブロック図であり、(b)は低側処理回路41Lのプロセッサによる実現機能例を説明するためのブロック図である。
高側処理回路41Hのプロセッサは、同期機能61H、更新機能62H、確認機能63H、受理機能64H、時刻ID発行機能65H、および遮断機能66Hを実現する(図2(a)参照)。これらの各機能はそれぞれプログラムの形態で記憶回路42Hに記憶されている。
同期機能61Hは、高側データベース51H、52H、・・・のデータを低側データベース51L、52L、・・・に同期させる。同期機能61Hは、たとえば所定の周期で同期を実行してもよいし、ユーザによる指示に応じて同期を実行してもよい。所定の周期で同期を実行する場合は、所定の周期(たとえば1秒、1分、30分、1時間、5時間、1日など)はデータベースにアクセスするアプリケーションやデータ種に応じて設定するとよい。また、高側から低側の同期周期と低側から高側の同期周期とを異ならせてもよい。また、所定の周期は、高側ネットワーク20Hに属する装置からのみ設定可能とし、低側ネットワーク20Lに属する装置からは設定不可とする、または設定要求のみ可能とし高側通信制御装置40Hの承認が必要とするとよい。
なお、同期機能61Hは、同期対象のデータが秘匿データであると、当該データを匿名化してから低側データベースに41L、42L、・・・同期させてもよい。
更新機能62Hは、高側ネットワーク20Hに属する情報処理装置31Hなどの装置から高側データベース51H、52H、・・・のデータに対する更新要求があると、高側データベース51H、52H、・・・を更新する。すなわち、高側処理回路41Hの更新機能62Hは、高側ネットワーク20Hに属する装置から高側データベース51H、52H、・・・のデータに対する更新要求があった場合は、当該更新要求を即時に反映させる。
確認機能63Hは、低側処理回路41Lから更新情報を受けると、所定の期間内に更新機能62Hにより既に、低側処理回路41Lから受けた更新情報に含まれる更新要求対象のデータが更新されているか否かを確認する(衝突確認)。
具体的には、確認機能63Hは、高側データベース51H、52H、・・・のデータの更新履歴と、更新情報から推定される更新要求を受理した場合のデータの更新履歴と、に矛盾(衝突)がないかを確認する。たとえば、あるデータが、高側データベース51Hでデータ1からデータ2に更新されたとする。このとき、更新情報から推定される更新要求を受理した場合のデータの更新履歴が、たとえばデータ1からデータ2を経ずに直接にデータ3に更新される更新履歴となる場合は、矛盾(衝突)があるとして更新要求を拒絶する。
受理機能64Hは、低側処理回路41Lから受けた更新情報に含まれる更新要求対象のデータが、所定の期間内に更新機能62Hにより既に更新されていると、更新要求を拒絶する旨を低側処理回路41Lに通知する。一方、受理機能64Hは、低側処理回路41Lから受けた更新情報に含まれる更新要求対象のデータが、所定の期間内に更新機能62Hにより更新されていないと、更新要求を受理する旨を低側処理回路41Lに通知するとともに、更新機能62Hに、対応する高側データベース51H、52H、・・・の当該更新要求対象のデータを更新要求の更新内容で更新するよう指示する。
時刻ID発行機能65Hは、同期機能61Hによる同期が行われるとき、当該同期の時刻情報を、直接には予測困難な時刻IDに不可逆に変換して低側ネットワーク20Lに与える。なお、時刻ID発行機能65Hは備えられずともよい。高側処理回路41Hが時刻ID発行機能65Hを実現する場合は、時刻情報を時刻IDに変換することができるため、低側ネットワーク20Lにおいて時刻情報を改ざんされてしまう不具合を未然に防ぐことができる。時刻IDは、衝突検知用IDとして利用される。
遮断機能66Hは、低側通信制御装置40Lに物理的な異常またはDoS攻撃などによる負荷の異常が生じると、低高通信部21LHによるデータ通信を禁止することで、低側通信制御装置40Lから高側通信制御装置40Hへのデータ通信を遮断する。
一方、低側処理回路41Lのプロセッサは、仮更新機能61L、更新情報生成機能62L、および本更新機能63Lを実現する(図2(b)参照)。これらの各機能はそれぞれプログラムの形態で記憶回路42Lに記憶されている。
仮更新機能61Lは、低側ネットワーク20Lに属する情報処理装置31Lなどの装置から低側データベース51L、52L、・・・のデータに対する更新要求があると、更新要求の更新内容に応じたデータの仮データで低側データベース51L、52L、・・・を仮更新する。
更新情報生成機能62Lは、少なくとも、所定の期間を示す情報と更新要求の更新内容とを含む更新情報を生成し高側処理回路41Hに与える。以下の説明では、所定の期間が、更新要求対象のデータが同期された時刻から更新要求の時刻までの期間である場合の例について示す。
本更新機能63Lは、高側処理回路41Hの受理機能64Hから更新要求を拒絶する旨の通知を受けると、低側データベース51L、52L、・・・から、仮更新された仮データを破棄する。一方、本更新機能63Lは、高側処理回路41Hの受理機能64Hから更新要求を受理する旨の通知を受けると、低側データベース51L、52L、・・・に仮更新された仮データを本更新する。換言すれば、優先度の低い低側ネットワーク20Lで要求された更新内容は、優先度が高い高側ネットワーク20Hの受理機能64Hによって受理または拒絶されるまでは、仮更新の状態が続くことになる。
次に、本実施形態に係る通信制御装置10の動作の一例について説明する。なお、以下の説明では、高側データベース51Hと低側データベース51Lの同一のレコードが更新されようとしている場合の例を示す。
図3は、通信制御装置10により高側データベース51Hと低側データベース51Lとを優先度にもとづいて同期させる際の手順の一例を示すフローチャートである。図3において、Sに数字を付した符号はフローチャートの各ステップを示す。なお、以下の説明では、高側データベース51Hと低側データベース51Lとの同期例を示す。
まず、ステップS1において、高側処理回路41Hの同期機能61Hは、高側データベース51Hのデータを低側データベース51Lに同期させる。
次に、ステップS2において、低側処理回路41Lの仮更新機能61Lは、低側ネットワーク20Lに属する情報処理装置31Lなどの装置から低側データベース51Lのデータに対する更新要求があると、更新要求の更新内容に応じたデータの仮データで低側データベース51Lを仮更新する。
次に、ステップS3において、低側処理回路41Lの更新情報生成機能62Lは、少なくとも、更新要求対象のデータがステップS1で同期された時刻からステップS2で更新要求された時刻までの期間(所定の期間)を示す情報と、更新要求の更新内容とを含む更新情報を生成する。
次に、ステップS4において、高側処理回路41Hの確認機能63Hは、低側処理回路41Lから更新情報を取得し、所定の期間(更新要求対象のデータがステップS1で同期された時刻からステップS2で更新要求された時刻までの期間)内に、更新機能62Hにより既に、低側処理回路41Lから受けた更新情報に含まれる更新要求対象のデータが更新されているか否かを確認する。
低側処理回路41Lの更新情報生成機能62Lから受けた更新情報に含まれる更新要求対象のデータが更新機能62Hにより更新されていない場合は(ステップS5のNO)、高側処理回路41Hの受理機能64Hは、更新要求を受理する旨を低側処理回路41Lに通知する(ステップS6)。この場合、低側処理回路41Lの本更新機能63Lは、低側データベース51Lに仮更新された仮データを本更新する(ステップS7)。
一方、低側処理回路41Lから受けた更新情報に含まれる更新要求対象のデータが更新機能62Hにより既に更新されている場合は(ステップS5のYES)、高側処理回路41Hの受理機能64Hは、更新要求を拒絶する旨を低側処理回路41Lに通知する(ステップS8)。この場合、低側処理回路41Lの本更新機能63Lは、低側データベース51Lに仮更新された仮データを破棄する(ステップS9)。
以上の手順により、通信制御装置10により高側データベース51Hと低側データベース51Lとを優先度にもとづいて同期させることができる。
図4は、図3に示す手順のうち、更新要求が受理される場合のより詳細な手順の一例を示すシーケンスチャートである。以下の説明では、同期機能61Hが時刻t=t1、t2、t3、t4、・・・の各時刻で同期を行う場合の例を示した。
この手順は、図3のステップS1が実施されて、高側データベース51Hと低側データベース51Lにデータ1が同期されてスタートとなる。
まず、時刻t1よりも前に、高側通信制御システム30Hでデータ1が読み出されて活用され、書込みが行われた場合を仮定する。この場合、更新機能62Hは、即時に高側データベース51Hのデータ1をデータ2に更新する。
同期時刻t=t1になると、同期機能61Hはデータ2を低側データベース51Lに与え同期させる。このとき、時刻ID発行機能65Hは、時刻t1の情報を時刻t1から予測困難な時刻ID(XA)に不可逆に変換して、低側ネットワーク20Lに与える。低側データベース51Lに同期されたデータ2にはデータ2の同期時刻IDのXAが関連付けられる。
図4に示す例では、次の同期時刻t=t2まで、高側データベース51Hと低側データベース51Lは更新されない。
図4に示す例では、同期時刻t=t2から同期時刻t=t3までの間に、低側通信制御システム30Lでデータ2が読み出されて活用され、書込みが行われる。この場合、低側データベース51Lに格納された、時刻IDのXAが関連付けられたデータ2は、仮更新機能61Lにより、仮データ3(更新要求の更新内容に応じたデータ)に仮更新される。このとき仮データ3の元データ2の同期時刻IDのXAが関連付けられたままとされる。
低側データベース51Lのデータを仮データ3に仮更新しておくことで、低側ネットワーク20Lに属する装置が仮データ3に重複する更新を行う不具合を未然に防ぐことができる。たとえば、低側ネットワーク20Lに属する装置が予約受付システムのシステム操作端末であり、仮データ3が検査予約内容を示すデータである場合、仮データ3に仮更新しておくことで、ユーザは、仮データ3と同日同時刻同内容の検査予約を容易に避けて別の予約を仮登録(別の仮データを仮更新)することができる。
同期時刻t=t3になると、更新情報生成機能62Lは、仮データ3の元データ2が同期された時刻t1から、更新要求の時刻まで、すなわちt=t3まで、の期間(所定の期間)を示す情報と更新要求の更新内容とを含む更新情報を生成する。
図4に示す例では、更新要求の時刻t=t3は高側通信制御システム30Hと低側通信制御装置40Lとで共有されており既知である。このため、更新情報生成機能62Lは、所定の期間を示す情報として、仮データ3の元データ2の同期時刻IDのXAを更新情報に含めればよい。したがって、更新情報生成機能62Lは更新情報として、同期時刻IDのXAが関連付けられた仮データ3を生成すればよい。同期時刻IDのXAが関連付けられた状態で仮データ3が低側データベース51Lに仮登録されている場合は、更新情報生成機能62Lは当該仮データ3を高側処理回路41Hに与えればよい。
更新情報を受けると、確認機能63Hは、データ2の高側データベース51Hにおける更新履歴にもとづいて、時刻IDのXAに対応する時刻である時刻t1からt=t3までの期間に、更新機能62Hにより既に、高側データベース51Hのデータ2が更新されているか否かを確認する(衝突確認)。図4に示す例では高側データベース51Hのデータ2は更新されておらず、衝突は起こっていない。このため、受理機能64Hは、更新機能62Hに、高側データベース51Hのデータ2をデータ3に更新するよう指示する。
また、受理機能64Hは、更新要求を受理する旨を低側処理回路41Lに通知する。このタイミングは、衝突確認後に即時であってもよいし、次の同期時刻t=t4であってもよい。
そして、低側処理回路41Lの本更新機能63Lは、高側処理回路41Hの受理機能64Hから更新要求を受理する旨の通知を受けると、低側データベース51Lに仮更新された仮データ3を本更新する。
以上の手順により、低側データベース51Lの更新と高側データベース51Hの更新とが衝突していない場合には、高側処理回路41Hの確認と受理処理を経て、低側データベース51Lを更新することができる。
図5は、図3に示す手順のうち、更新要求が拒絶される場合のより詳細な手順の一例を示すシーケンスチャートである。図5に示す例は、図4に示す例と時刻t=t2まで同様である。
図5に示す例では、図4に示す例と異なり、同期時刻t=t2から同期時刻t=t3までの間に、低側通信制御システム30Lと並行して、高側通信制御システム30Hでも、データ2が読み出されて活用され、書込みが行われる。この場合、更新機能62Hは、即時に高側データベース51Hのデータ2をデータ3に更新する。
他方、低側データベース51Lに格納された、時刻IDのXAが関連付けられたデータ2は、仮更新機能61Lにより、データ3とは異なる仮データ4(更新要求の更新内容に応じたデータ)に仮更新される。このとき仮データ4の元データ2の同期時刻IDのXAが関連付けられたままとされる。
同期時刻t=t3になると、更新情報生成機能62Lは、更新情報として、同期時刻IDのXAが関連付けられた仮データ4を生成する。
更新情報を受けると、確認機能63Hは、データ2の高側データベース51Hにおける更新履歴にもとづいて、時刻IDのXAに対応する時刻である時刻t1からt=t3までの期間に、更新機能62Hにより既に、高側データベース51Hのデータ2が更新されているか否かを確認する(衝突確認)。
図5に示す例では高側データベース51Hのデータ2はデータ3に更新されている。一方、更新情報から推定される更新要求を受理した場合のデータの更新履歴は、たとえばデータ2からデータ3を経ずに直接にデータ4に更新される更新履歴となってしまう。このため、受理機能64Hは、更新要求を拒絶する旨を低側処理回路41Lに通知する。このタイミングは、衝突確認後に即時であってもよいし、次の同期時刻t=t4であってもよい。
そして、低側処理回路41Lの本更新機能63Lは、高側処理回路41Hの受理機能64Hから更新要求を拒絶する旨の通知を受けると、低側データベース51Lから、仮更新された仮データ4を破棄する。
以上の手順により、低側データベース51Lの更新と高側データベース51Hの更新とが衝突する場合には、優先度を考慮して、優先度の高い高側通信制御システム30Hのデータ更新を優先して高側データベース51Hと低側データベース51Lとを同期させることができる。
図6は、高側ネットワーク20Hと低側ネットワーク20Lとが分断した際のデータの可用性および一貫性を説明するための図である。
時刻t=t1で同期したあとに高側ネットワーク20Hと低側ネットワーク20Lとが分断した場合を考える。このとき低側データベース51Lに同期されたデータには、同期時刻t=t1の時刻IDのXAが関連付けられている(図4、図5参照)。
分断が発生しても、高側処理回路41Hの更新機能62Hは、高側データベース51H、52H、・・・のデータが読み出されて活用され、書込みが行われると、即時に高側データベース51H、52H、・・・のデータを更新することができる。また、分断が発生しても、低側処理回路41Lの仮更新機能61Lは、仮データで低側データベース51L、52L、・・・を仮更新することができる。このため、通信サービス停止などにより分断が発生しても、ユーザはそれぞれのネットワークのデータベースの更新を容易に継続することができる(可用性)。
また、分断から復帰した後、同期時刻t=tNになると、更新情報生成機能62Lは、仮データの元データが同期された時刻t1から、更新要求の時刻まで、すなわちt=tNまで、の期間(所定の期間)を示す情報と更新要求の更新内容とを含む更新情報を生成する。具体的には、更新情報生成機能62Lは更新情報として、同期時刻IDのXAが関連付けられた仮データiを生成する。
そして、図4および図5に示した例と同様に、確認機能63Hにより衝突が確認され、仮データiのそれぞれについて受理機能64Hによって受理する旨または拒絶する旨が低側処理回路41Lに通知されて、通知に応じて本更新機能63Lが低側データベース51Lに仮更新された仮データを本更新または破棄する。このため、分断からの復帰後も、優先度を考慮して、優先度の高い高側通信制御システム30Hのデータ更新を優先して高側データベース51Hと低側データベース51Lとを同期させることができる(一貫性)。
図7は、低側通信制御装置40Lから高側通信制御装置40Hへのデータ通信を遮断する様子の一例を示す説明図である。
遮断機能66Hは、低側通信制御装置40Lに物理的な異常またはDoS攻撃などによる負荷の異常が生じると、低高通信部21LHによるデータ通信の速度を調整し、あるいは禁止することができる。このため、遮断機能66Hは、低側通信制御装置40Lから高側通信制御装置40Hへのデータ通信を容易に遮断することができる。低側通信制御装置40Lから高側通信制御装置40Hへのデータ通信の遮断方法としては、たとえば受信回路44Hで受信したデータを全て破棄する方法や、送信回路43Lからのデータ送信を禁止する方法など、さまざまな方法が考えられる。
このため、低側通信制御装置40Lに物理的な異常またはDoS攻撃などによる負荷の異常が生じた場合であっても、低側通信制御装置40Lから高側通信制御装置40Hへのデータ通信を切断することができ、高側ネットワーク20Hに属する装置のセキュリティを高いまま維持することができる。このとき、高側データベース51H、52H、・・・の更新内容は、たとえば周期的に同期される場合は同期時刻ごとに、高低通信部21HLを介して低側ネットワーク20Lに与えられる。
本実施形態に係る通信制御装置10によれば、低側通信制御装置40Lに物理的な異常またはDoS攻撃などによる負荷の異常が生じた場合であっても、高側ネットワーク20Hを守ることができるためセキュリティが高いとともに、ユーザは高側データベース51H、52H、の更新を継続することができるため非常に利便性が高い。また、図6および図7に示すように、高側ネットワーク20Hと低側ネットワーク20Lとの接続、あるいは低側通信制御装置40Lから高側通信制御装置40Hへのデータ通信が切断されても、各ネットワークのデータベースの更新を継続することができる。したがって、データ通信の切断に不安をおぼえる必要がなく、容易にデータ通信を切断することができるため、セキュリティ上の問題を未然に防ぐことができる。
図8は、本実施形態に係る通信制御装置10のデータベースにアクセスする種々のアプリケーションによる運用の一例を示す説明図である。
本実施形態に係る通信制御装置10の低側通信制御装置40Lは、複数のデータベースを管理可能である。たとえば低側通信制御装置40Lは、被検体の検査の予約状況を調べる予約受付システムや、リハビリ支援システム、財務発注システムなどの低側ネットワーク20Lに属するシステムにより利用され、これらのシステムはそれぞれ低側データベースを有することができる。
たとえば、予約受付システムのデータベースは、システム操作端末やスマートフォンのアプリケーションによりアクセスされる。また、リハビリ支援システムのデータベースは、被検体に取付けられたリハビリ情報を取得するためのリハビリセンサのデータを用いるリハビリ支援アプリケーションによりアクセスされる。また、図8に示す財務発注システムのように、低側データベースは他のシステムと連携して利用されることも可能である。
図9は、図8に示すリハビリ支援システムのデータベースにアクセスするアプリケーションを運用する場合のデータフロー例を示す説明図である。
リハビリ支援システムのデータベースは、たとえばリハビリセンサで取得された被検体のリハビリ状況に関するデータを転送され、高側データベースと同期させることで、高側ネットワーク20Hの医師からリハビリ計画等の助言を受けることができる。
具体的には、リハビリセンサを介して取得された被検体のリハビリ実施データは、高側ネットワーク20Hの高側データベースに与えられる。高側ネットワーク20Hの医師、または学習済みモデルその他のソフトウェアは、このデータと、被検体の医用画像、検査履歴などの医用データと、にもとづいて、リハビリ計画や助言を作成する。そして、作成されたリハビリ計画や助言が低側ネットワーク20Lに与えられ、リハビリセンサに適用され、あるいはリハビリ計画や助言にもとづいてリハビリ支援システムと連携してリハビリを支援する。
通信制御装置10によれば高側ネットワーク20Hのセキュリティを維持しつつ容易に高側ネットワーク20Hの高側データベースと低側ネットワーク20Lの低側データベースとを同期させることができる。このため、図9に示す例のように、リハビリ支援する場合であっても、低側通信制御装置40Lに物理的な異常またはDoS攻撃などによる負荷の異常が生じても高側ネットワーク20Hが保持する医用データのセキュリティは守られる。
図10は、本実施形態に係る通信制御装置10のデータベースにアクセスする重篤患者監視アプリケーションによる運用の一例を示す説明図であり、図11は、図10に示す重篤患者監視アプリケーションを運用する場合のデータフロー例を示す説明図である。
重篤患者の状況がわかる脈拍等の健康データは、高側ネットワーク20Hから低側ネットワーク20Lに与えられる。低側ネットワーク20Lの現場の医療スタッフは、送付された健康データと、重篤患者の管理情報とにもとづいて診断を行い、治療計画や機器制御指示などの情報を作成する。このとき、健康データや管理情報を匿名化したうえで、外部のAIによる助言や外部の医師の助言を求めてもよい。
作成された治療計画や機器制御指示などの情報は、低側ネットワーク20Lから高側ネットワーク20Hに与えられる。そして、重篤患者の現在の健康状態にもとづいて、送付された治療計画や機器制御指示などの情報を適用することができる。
通信制御装置10によれば高側ネットワーク20Hのセキュリティを維持しつつ容易に高側ネットワーク20Hの高側データベースと低側ネットワーク20Lの低側データベースとを同期させることができる。このため、図10、図11に示す例のように、現場の医療スタッフが低側ネットワーク20Lに属する装置を操作する場合であっても、現場の医療スタッフは、高側ネットワーク20Hに属する装置に管理された重篤患者を監視することができる。
以上説明した少なくとも1つの実施形態によれば、優先度が高いネットワークのデータベースと優先度が低いネットワークのデータベースとを、優先度にもとづいて同期させることができる。
なお、上記実施形態において、「プロセッサ」という文言は、たとえば、専用または汎用のCPU(Central Processing Unit)、GPU(Graphics Processing Unit)、または、特定用途向け集積回路(Application Specific Integrated Circuit:ASIC)、プログラマブル論理デバイス(たとえば、単純プログラマブル論理デバイス(Simple Programmable Logic Device:SPLD)、複合プログラマブル論理デバイス(Complex Programmable Logic Device:CPLD)、およびFPGA)等の回路を意味するものとする。プロセッサは、記憶媒体に保存されたプログラムを読み出して実行することにより、各種機能を実現する。
また、上記実施形態では処理回路の単一のプロセッサが各機能を実現する場合の例について示したが、複数の独立したプロセッサを組み合わせて処理回路を構成し、各プロセッサが各機能を実現してもよい。また、プロセッサが複数設けられる場合、プログラムを記憶する記憶媒体は、プロセッサごとに個別に設けられてもよいし、1つの記憶媒体が全てのプロセッサの機能に対応するプログラムを一括して記憶してもよい。
なお、本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
1 通信制御システム
10 通信制御装置
20H 高側ネットワーク
20L 低側ネットワーク
21HL 高低通信部
21LH 低高通信部
30H 高側通信制御システム
30L 低側通信制御システム
40H 高側通信制御装置
40L 低側通信制御装置
45HL 高低通信経路
45LH 低高通信経路
51H、52H 高側データベース
51L、52L 低側データベース
61H 同期機能
62H 更新機能
63H 確認機能
64H 受理機能
65H 時刻ID発行機能
66H 遮断機能
61L 仮更新機能
62L 更新情報生成機能
63L 本更新機能
10 通信制御装置
20H 高側ネットワーク
20L 低側ネットワーク
21HL 高低通信部
21LH 低高通信部
30H 高側通信制御システム
30L 低側通信制御システム
40H 高側通信制御装置
40L 低側通信制御装置
45HL 高低通信経路
45LH 低高通信経路
51H、52H 高側データベース
51L、52L 低側データベース
61H 同期機能
62H 更新機能
63H 確認機能
64H 受理機能
65H 時刻ID発行機能
66H 遮断機能
61L 仮更新機能
62L 更新情報生成機能
63L 本更新機能
Claims (8)
- セキュリティの重要性にもとづいて決定される優先度が高い高側ネットワークに属し、前記優先度が低い低側ネットワークとのデータ通信を制御する高側処理部を有する高側通信制御装置と、
前記低側ネットワークに属し、前記高側通信制御装置とのデータ通信を制御する低側処理部を有する低側通信制御装置と、
を備え、
前記高側処理部と前記低側処理部とは、
互いに協働することにより、前記高側ネットワークに属する高側データベースと前記低側ネットワークに属する低側データベースとを、前記優先度にもとづいて同期させるべく、
前記低側処理部は、
前記低側ネットワークに属する装置から前記低側データベースのデータに対する更新要求があると、前記更新要求の更新内容に応じた前記データの仮データで前記低側データベースを仮更新する仮更新部と、
少なくとも、前記データが同期された時刻から前記更新要求の時刻までの期間を示す情報と前記更新要求の更新内容とを含む更新情報を生成する更新情報生成部と、
を有し、
前記高側処理部は、
前記更新情報にもとづいて、前記高側データベースの前記データに対する前記更新要求の更新内容での更新を受理するか拒絶するかを決定する、
通信制御装置。 - 前記高側処理部は、
前記高側データベースの前記データを前記低側データベースに同期させる同期部と、
前記高側ネットワークに属する装置から前記高側データベースの前記データに対する更新要求があると前記高側データベースを更新する更新部と、
前記期間内に前記更新部により前記高側データベースの前記データが更新されていると、前記更新要求を拒絶する旨を前記低側処理部に通知する一方、前記期間内に前記更新部により前記高側データベースの前記データが更新されていないと、前記更新要求を受理する旨を前記低側処理部に通知するとともに前記更新部に前記高側データベースの前記データを前記更新要求の更新内容で更新するよう指示する受理部と、
を有する、
請求項1記載の通信制御装置。 - 前記高側処理部の前記更新部は、前記高側通信制御装置と前記低側通信制御装置との通信に分断が発生しても、前記高側ネットワークに属する装置から前記高側データベースの前記データに対する更新要求があると前記高側データベースを更新し、
前記分断が発生しても、前記低側ネットワークに属する装置から前記低側データベースの前記データに対する更新要求があると、前記低側処理部の前記仮更新部は前記仮データで前記低側データベースを仮更新するとともに前記更新情報生成部は前記更新情報を生成する、
請求項2記載の通信制御装置。 - 前記高側処理部の前記受理部は、
前記分断から復帰すると、前記更新情報にもとづいて、前記高側データベースの前記データに対する前記更新要求の更新内容での更新を受理するか拒絶するかを決定する、
請求項3記載の通信制御装置。 - 前記高側処理部の前記同期部は、
前記高側データベースの前記データを前記低側データベースに同期させるとき、前記データが秘匿データであると、前記データを匿名化して前記低側データベースに同期させる、
請求項2ないし4のいずれか1項に記載の通信制御装置。 - 前記高側処理部は、
前記低側通信制御装置に物理的な異常または負荷の異常が生じると、前記低側通信制御装置から前記高側通信制御装置へのデータ通信を遮断する遮断部、
を有する、
請求項1ないし5のいずれか1項に記載の通信制御装置。 - 前記高側通信制御装置から前記低側通信制御装置へ一方向にのみデータ通信するための高低通信部と、
前記低側通信制御装置から前記高側通信制御装置へ一方向にのみデータ通信するための低高通信部と、
をさらに備え、
前記遮断部は、
前記低側通信制御装置に物理的な異常または負荷の異常が生じると、前記低高通信部によるデータ通信を遮断する、
請求項6記載の通信制御装置。 - 前記高低通信部と前記低高通信部とは、それぞれ一方向にのみデータ通信可能な光ケーブルを含む、
請求項7記載の通信制御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019122708A JP7373314B2 (ja) | 2019-07-01 | 2019-07-01 | 通信制御装置および通信制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019122708A JP7373314B2 (ja) | 2019-07-01 | 2019-07-01 | 通信制御装置および通信制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021009536A JP2021009536A (ja) | 2021-01-28 |
| JP7373314B2 true JP7373314B2 (ja) | 2023-11-02 |
Family
ID=74200003
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019122708A Active JP7373314B2 (ja) | 2019-07-01 | 2019-07-01 | 通信制御装置および通信制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7373314B2 (ja) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006033442A (ja) | 2004-07-16 | 2006-02-02 | N Ii C Tele Netsutowaakusu Kk | 光ファイバ破断監視システム及び光ファイバ破断監視方法 |
| JP2007115247A (ja) | 2005-10-18 | 2007-05-10 | Samsung Electronics Co Ltd | 多重サーバ環境に適したデバイスをクライアントをして同期化を行わせる方法及び装置 |
| JP2007183739A (ja) | 2006-01-05 | 2007-07-19 | Sony Corp | 情報処理装置および方法、並びにプログラム |
| JP2008009809A (ja) | 2006-06-30 | 2008-01-17 | Fujitsu Ltd | データベース同期処理プログラム |
| JP2014095931A (ja) | 2012-11-07 | 2014-05-22 | Okinawa Institute Of Science And Technology Graduate Univ | データ通信システム、データ解析装置、データ通信方法、および、プログラム |
| JP2017010172A (ja) | 2015-06-18 | 2017-01-12 | 富士通株式会社 | 情報処理システム、情報処理装置及び情報処理装置制御方法 |
| JP2017219910A (ja) | 2016-06-03 | 2017-12-14 | 日本電信電話株式会社 | サーバ装置、通信システム及び通信方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06348628A (ja) * | 1993-06-07 | 1994-12-22 | Nec Corp | インテリジェントネットワークシステム |
-
2019
- 2019-07-01 JP JP2019122708A patent/JP7373314B2/ja active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006033442A (ja) | 2004-07-16 | 2006-02-02 | N Ii C Tele Netsutowaakusu Kk | 光ファイバ破断監視システム及び光ファイバ破断監視方法 |
| JP2007115247A (ja) | 2005-10-18 | 2007-05-10 | Samsung Electronics Co Ltd | 多重サーバ環境に適したデバイスをクライアントをして同期化を行わせる方法及び装置 |
| JP2007183739A (ja) | 2006-01-05 | 2007-07-19 | Sony Corp | 情報処理装置および方法、並びにプログラム |
| JP2008009809A (ja) | 2006-06-30 | 2008-01-17 | Fujitsu Ltd | データベース同期処理プログラム |
| JP2014095931A (ja) | 2012-11-07 | 2014-05-22 | Okinawa Institute Of Science And Technology Graduate Univ | データ通信システム、データ解析装置、データ通信方法、および、プログラム |
| JP2017010172A (ja) | 2015-06-18 | 2017-01-12 | 富士通株式会社 | 情報処理システム、情報処理装置及び情報処理装置制御方法 |
| JP2017219910A (ja) | 2016-06-03 | 2017-12-14 | 日本電信電話株式会社 | サーバ装置、通信システム及び通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021009536A (ja) | 2021-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5706433B2 (ja) | 医療デバイスからのデータを表示する方法および装置 | |
| RU2605363C2 (ru) | Система и способ распределения значимых клинических оповещений | |
| US20160180045A1 (en) | Wireless beacon devices used to track medical information at a hospital | |
| WO2016100611A1 (en) | Telemedicine system | |
| WO2007062510A1 (en) | Method and apparatus for parallel sequencing of messages between disparate information systems | |
| CN106230975A (zh) | 基于主索引云平台的跨院数据共享、实时共享方法及系统 | |
| JP2008158622A (ja) | 在宅ヘルスケアシステム | |
| JP2008527478A (ja) | 医療情報を照会および参照するための仲介サーバ、方法およびネットワーク | |
| KR20140096044A (ko) | 건강 정보의 지능형 라우팅을 위한 방법 및 시스템 | |
| CA3036679C (en) | Computer-aided dispatch including automatic diversions | |
| KR20160113461A (ko) | 헬스케어 장치, 헬스케어 게이트웨이, 및 헬스케어 장치에 대한 검증 방법 | |
| JP7373314B2 (ja) | 通信制御装置および通信制御方法 | |
| CN111640477A (zh) | 身份信息的统一方法、装置以及电子设备 | |
| Gupta et al. | Security of IoT-based e-healthcare applications using blockchain | |
| CN112804202B (zh) | 多网间数据安全交互方法、装置、服务器及存储介质 | |
| KR102418721B1 (ko) | 원격 의료 서비스 제공 시스템 및 방법 | |
| Estudillo-Valderrama et al. | A distributed approach to alarm management in chronic kidney disease | |
| CN111445233A (zh) | 一种基于医疗区块链的智能合约的生成方法 | |
| Mendes et al. | VITASENIOR-MT: A distributed and scalable cloud-based telehealth solution | |
| EP3553735A1 (en) | Security system and node device used in same | |
| EP3874720B1 (en) | Data transmission protocol | |
| JP2015215785A (ja) | 同意支援システムおよび同意支援サーバ | |
| CN111261252B (zh) | 一种手术信息查看方法、装置、服务器和介质 | |
| CN111066089A (zh) | 用于在医疗保健环境中传输健康数据的系统和方法 | |
| JP2003337861A (ja) | 医療情報提供システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220606 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230427 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230509 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230710 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230926 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231023 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7373314 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |