WO2022101988A1

WO2022101988A1 - 通信装置、通信方法及び通信プログラム

Info

Publication number: WO2022101988A1
Application number: PCT/JP2020/041934
Authority: WO
Inventors: 夏樹安原; 尊広久保; 豪矢沢; 慎一吉原
Original assignee: 日本電信電話株式会社
Priority date: 2020-11-10
Filing date: 2020-11-10
Publication date: 2022-05-19
Also published as: JPWO2022101988A1; JP7476979B2

Abstract

一実施形態に係る通信装置は、ユーザ装置から受信した一連のユーザフレームを一意に識別するための識別情報を生成する識別情報生成機能部と、一連のユーザフレームを暗号キーを用いて暗号化するフレーム暗号化機能部と、複数の中継経路の数だけ暗号キーを暗号キー片に分割する暗号キー分割機能部と、暗号化されたユーザフレームを中継経路の数だけ複製するフレーム複製機能部と、埋め込み方式又は同期フレーム方式に従って、複製されたユーザフレーム、暗号キー片及び識別情報を含む複数の送信フレームを生成し、対応する中継経路に前記送信フレームを送信する送信機能部と、を備える。

Description

通信装置、通信方法及び通信プログラム

　この発明は、通信装置、通信方法、通信プログラムに関する。

　フレーム通信において、送信側の無瞬断装置が、送信するべき送信フレームを複製して２つの経路へ送信し、受信側の無瞬断装置が、両経路からそれぞれ受信した２つの送信フレームのうちの１つを選択して下流に送出する無瞬断ネットワークシステムが知られている（例えば、特許文献１を参照）。このシステムでは、障害により一方の経路による１つの送信フレームを喪失したとしても、他方の経路による対応する1つの送信フレームを受信側の無瞬断装置が正常に受信できれば、無瞬断で通信を継続することが可能となる（例えば、非特許文献１を参照）。

日本国特開２００５－１０２１５７号公報

"既存NWにアドオン可能な無瞬断冗長切替技術," つくばフォーラム2019, NTT

　従来の無瞬断ネットワークシステムでは、送信フレームの喪失回避の手段として、送信フレームに同期識別情報を付加する。そのため、例えば悪意のある第３者が１つの中継経路上で送信フレームをスヌープした場合、同期識別情報から当該フレームに紐付く複数フレーム、つまり連続情報が復元される可能性がある。

　この発明は、１中継経路上での送信フレームから連続情報を復元することの困難性を向上させることにある。

　上記課題を解決するために、この発明の通信装置は、ユーザ装置から受信した一連のユーザフレームを一意に識別するための識別情報を生成する識別情報生成機能部と、前記一連のユーザフレームを暗号キーを用いて暗号化するフレーム暗号化機能部と、複数の中継経路の数だけ前記暗号キーを暗号キー片に分割する暗号キー分割機能部と、前記暗号化されたユーザフレームを前記中継経路の数だけ複製するフレーム複製機能部と、埋め込み方式又は同期フレーム方式に従って、前記複製されたユーザフレーム、前記暗号キー片及び前記識別情報を含む複数の送信フレームを生成し、対応する中継経路に前記送信フレームを送信する送信機能部と、を備えるようにしたものである。

　この発明の一態様によれば、悪意のある第３者が中継経路上で送信フレームをスヌープすることによりフレームを復元することの困難性を向上させることができる。

図１は、本発明の第１の実施形態における無瞬断ネットワークシステムの概略構成の一例を示すブロック図である。図２は、ユーザ装置のハードウェア構成の一例を示すブロック図である。図３は、無瞬断装置のハードウェア構成の一例を示す図である。図４は、第１の実施形態における無瞬断装置の具体的な構成の一例を示す図である。図５Ａは、埋め込み方式での送信フレームを時系列的に並べた送信フレーム構成の一例を示す図である。図５Ｂは、同期フレーム方式での送信フレームを時系列的に並べた送信フレーム構成の一例を示す図である。図６は、第１の実施形態における無瞬断装置の送信部での処理動作の一例を示すフローチャートである。図７は、第１の実施形態における無瞬断装置の受信部での処理動作の一例を示すフローチャートである。図８は、第２の実施形態における無瞬断装置の具体的な構成の一例を示す図である。図９は、第２の実施形態における無瞬断装置の送信部での処理動作の一例を示すフローチャートである。図１０は、第３の実施形態における無瞬断装置の具体的な構成の一例を示す図である。図１１は、第３の実施形態における第１の無瞬断装置と第２の無瞬断装置との間の事前折衝の一例を示すシーケンス図である。

　以下、図面を参照しながら本発明に係る通信装置、方法、およびプログラムについて詳細に説明する。なお、以下の実施形態では、同一の番号を付した部分については同様の動作を行うものとして、重ねての説明を省略する。

　無瞬断ネットワークシステムは、複数の中継経路により、それぞれ本発明の実施形態に係る通信装置である無瞬断装置間で信号を多重通信する。以下、図面および説明の簡略化のために、中継ネットワークの数が２つである場合を例に説明するが、本発明は、それに限定するものではない。

　［第１の実施形態］　
　（構成）　
　図１は、本発明の第１の実施形態における無瞬断ネットワークシステムの概略構成の一例を示すブロック図である。

　無瞬断ネットワークシステムは、第１の拠点Ｂｘ１と、第２の拠点Ｂｘ２と、第３の拠点Ｂｘ３と、を備える。第１の拠点Ｂｘ１は、第１のユーザ装置ＵＥ１と、第１のユーザ装置ＵＥ１に接続された第１の無瞬断装置ＵＡ１と、を備える。第２の拠点Ｂｘ２は、第２の無瞬断装置ＵＡ２と、第２の無瞬断装置ＵＡ２に接続された第２のユーザ装置ＵＥ２と、を備える。第３の拠点Ｂｘ３は、第３の無瞬断装置ＵＡ３と、第３の無瞬断装置ＵＡ３に接続された第３のユーザ装置ＵＥ３と、を備える。第１の無瞬断装置ＵＡ１と、第２の無瞬断装置ＵＡ２及び第３の無瞬断装置ＵＡ３とはそれぞれ、第１の中継経路ＲＰ１を含む第１の中継ネットワークＲＮＷ１と、第２の中継経路ＲＰ２を含む第２の中継ネットワークＲＮＷ２とにより接続される。以下、第１のユーザ装置ＵＥ１と、第２のユーザ装置ＵＥ２と、第３のユーザ装置ＵＥ３と、を特に区別する必要がない場合は、単にユーザ装置ＵＥと記載する。同様に、第１の無瞬断装置ＵＡ１と、第２の無瞬断装置ＵＡ２と、第３の無瞬断装置ＵＡ３と、を特に区別する必要がない場合は、単に無瞬断装置ＵＡと記載し、第１の中継ネットワークＲＮＷ１と第２の中継ネットワークＲＮＷ２とを特に区別する必要がない場合は、単に中継ネットワークＲＮＷと記載する。また、第１の中継ネットワークＲＮＷ１と第２の中継ネットワークＲＮＷ２とが同一のネットワークであって、１つの中継ネットワーク内に第１の中継経路ＲＰ１と第２の中継経路ＲＰ２が含まれていても良い。また、図１では、３つの拠点が示されているが、拠点数は、これに限らず、２つ以上であれば良い。

　ユーザ装置ＵＥは、ヘッダとデータペイロードとを含むユーザフレームを無瞬断装置ＵＡに送信する、又はユーザフレームを無瞬断装置ＵＡから受信する。ここで、本実施形態に記載するユーザフレームは、単なる一例であり、例えば、保守・管理・運用（ＯＡＭ：Operation Administration Maintenance）フレームやダミーフレームでも良い。つまり、ユーザ装置ＵＥと無瞬断装置ＵＡとの間で送受信される信号は、ユーザ装置ＵＥと無瞬断装置ＵＡとの間で送受信可能な任意の信号で良いことは勿論である。

　無瞬断装置ＵＡは、第１のインタフェースＩＦ１と、第２のインタフェースＩＦ２と、第３のインタフェースＩＦ３と、を含む。また、第１の無瞬断装置ＵＡ１は、送信部Ｔｘ１及び受信部Ｒｘ１を含み、第２の無瞬断装置ＵＡ２は、送信部Ｔｘ２及び受信部Ｒｘ２を含み、第３の無瞬断装置ＵＡ３は、送信部Ｔｘ３及び受信部Ｒｘ３を含む。以下、送信部Ｔｘ１、Ｔｘ２及びＴｘ３を特に区別する必要がない場合は、単に送信部Ｔｘと記載し、受信部Ｒｘ１、Ｒｘ２及びＲｘ３を特に区別する必要がない場合は、単に受信部Ｒｘと記載する。

　第１のインタフェースＩＦ１は、ユーザ装置ＵＥから送信されたユーザフレームを受信し、当該ユーザフレームを送信部Ｔｘに転送するためのインタフェースであり、且つ、受信部Ｒｘから受信したユーザフレームをユーザ装置ＵＥに送信するインタフェースである。第２のインタフェースＩＦ２及び第３のインタフェースＩＦ３は、送信部Ｔｘから受信した送信フレームを第１の中継経路ＲＰ１及び第２の中継経路ＲＰ２に送信するためのインタフェースであり、且つ、第１の中継経路ＲＰ１及び第２の中継経路ＲＰ２を介して他の無瞬断装置ＵＡから送信された送信フレームを受信し、受信部Ｒｘに転送するためのインタフェースである。

　送信部Ｔｘは、ユーザ装置ＵＥから送信されたユーザフレームを、第１のインタフェースＩＦ１を介して受信する。送信部Ｔｘは、所定の暗号キーを用いて受信したユーザフレームを暗号化する。送信部Ｔｘは、暗号化されたユーザフレームに、所定の暗号キーを分割して生成した暗号キー片を同期識別情報に付加した送信フレームを作成する。さらに、送信部Ｔｘは、中継ネットワークＲＮＷの数に応じて当該送信フレームを複製する。そして、送信部Ｔｘは、第２のインタフェースＩＦ２及び第３のインタフェースＩＦ３を介して、各中継ネットワークＲＮＷに送信フレームを送信する。

　受信部Ｒｘは、他の無瞬断装置ＵＡから各中継ネットワークＲＮＷを経由して送信された送信フレームを、第２のインタフェースＩＦ２及び第３のインタフェースＩＦ３を介して受信する。受信部Ｒｘは、送信フレームの同期識別情報に含まれる暗号キー片から暗号キーを生成し、生成した暗号キーを用いてユーザフレームを復元する、或いは受信部に保持された暗号キーを用いてユーザフレームを復元する。その後、無瞬断装置ＵＡは、復元されたユーザフレームをユーザ装置ＵＥに送信する。なお、暗号キー片から暗号キーを生成する方法については後述する。

　第１の中継ネットワークＲＮＷ１及び第２の中継ネットワークＲＮＷ２はそれぞれ、第１の中継経路ＲＰ１および第２の中継経路ＲＰ２を介して、送信フレームを第１の無瞬断装置ＵＡ１から、第２の無瞬断装置ＵＡ２及び第３の無瞬断装置ＵＡ３のような１つ以上の他の無瞬断装置に伝送する。なお、中継ネットワークＲＮＷは、送信フレームを伝送できるものであれば、特に限定されるものではない。例えば、中継ネットワークＲＮＷは、イーサネット（登録商標）ネットワークであって良い。

　図２は、ユーザ装置ＵＥのハードウェア構成の一例を示すブロック図である。

　ユーザ装置ＵＥは、例えば、ＰＣ（Personal Computer）、タブレット型コンピュータ、スマートフォン、等の情報処理端末であり、セットトップボックス等であっても良い。ユーザ装置ＵＥは、ＣＰＵ（Central Processing Unit）やＭＰＵ（Micro Processing Unit）等のハードウェアプロセッサ２０１を有する。そして、このプロセッサ２０１に対し、プログラムメモリ２０２、データメモリ２０３、通信インタフェース２０４及び入出力インタフェース２０５が、バス２０６を介して接続されている。

　プログラムメモリ２０２は、記憶媒体として、例えば、ＥＰＲＯＭ（Erasable Programmable Read Only Memory）、ＨＤＤ（Hard Disk Drive）、ＳＳＤ（Solid State Drive）等の随時書込み及び読出しが可能な不揮発性メモリと、ＲＯＭ（Read Only Memory）等の不揮発性メモリとを組み合わせて使用することができる。プログラムメモリ２０２は、各種処理を実行するために必要なプログラムを格納している。すなわち、ユーザ装置ＵＥにおける処理機能部は、いずれも、プログラムメモリ２０２に格納されたプログラムを上記プロセッサ２０１により読み出して実行することにより実現され得る。

　データメモリ２０３は、記憶媒体として、例えば、ＨＤＤ、メモリカード等の随時書込み及び読出しが可能な不揮発性メモリと、ＲＡＭ（Random Access Memory）等の揮発性メモリとを組み合わせて使用したストレージである。データメモリ２０３は、プロセッサ２０１がプログラムを実行して各種処理を行う過程で取得及び生成されたデータを記憶するために用いられる。

　通信インタフェース２０４は、１つ以上の有線又は無線の通信モジュールを含む。例えば、通信インタフェース２０４は、無瞬断装置ＵＡと有線又は無線接続する通信モジュールを含む。さらに通信インタフェース２０４は、Ｗｉ－Ｆｉアクセスポイント及び基地局と無線接続する無線通信モジュールを含んでも良い。さらに、通信インタフェース２０４は、近距離無線技術を利用して他のユーザ装置ＵＥと無線接続するための無線通信モジュールを含んでも良い。この通信インタフェース２０４は、プロセッサ２０１の制御の下、無瞬断装置ＵＡ等との間で通信を行い、各種情報を送受信することができるものであれば一般的な通信インタフェースで良い。

　入出力インタフェース２０５には、入力部２０７及び表示部２０８が接続されている。なお、図２では、「入出力インタフェース」を「入出力ＩＦ」と記載している。

　入力部２０７は、例えば、表示部２０８である表示デバイスの表示画面上に配置された、静電方式又は圧力方式を採用した入力検知シートであり、ユーザのタッチ位置を入出力インタフェース２０５を介してプロセッサ２０１に出力する。表示部２０８は、例えば液晶、有機ＥＬ（Electro Luminescence）、等を使用した表示デバイスであり、入出力インタフェース２０５から入力された信号に応じた画像及びメッセージを表示する。

　図３は、無瞬断装置ＵＡのハードウェア構成の一例を示す図である。　
　無瞬断装置ＵＡは、ＣＰＵ等のハードウェアプロセッサ３０１を有する。そして、無瞬断装置ＵＡでは、このプロセッサ３０１に対し、プログラムメモリ３０２と、データメモリ３０３と、入出力インタフェース３０５と、通信インタフェース３０４とが、バス３０６を介して接続される。

　プログラムメモリ３０２は、非一時的な有形のコンピュータ可読記憶媒体として、例えば、ＨＤＤまたはＳＳＤ等の随時書込み及び読出しが可能な不揮発性メモリと、ＲＯＭ等の不揮発性メモリとが組み合わせて使用されたものである。このプログラムメモリ３０２には、プロセッサ３０１が本実施形態における各種制御処理を実行するために必要なプログラムが格納されている。

　データメモリ３０３は、有形のコンピュータ可読記憶媒体として、例えば、上記の不揮発性メモリと、ＲＡＭ等の揮発性メモリとが組み合わせて使用されたものである。このデータメモリ３０３は、各種処理が行われる過程で取得及び作成された各種データが記憶されるために用いられる。すなわち、データメモリ３０３には、各種処理が行われる過程で、適宜、各種データを記憶するための領域が確保される。

　入出力インタフェース３０５は、図２に示した第１のインタフェースＩＦ１を含み、当該入出力インタフェース３０５を経由してユーザ装置ＵＥと接続することが可能である。

　通信インタフェース３０４は、図２に示した第２のインタフェースＩＦ２と、第３のインタフェースＩＦ３とを含み、当該通信インタフェース３０４を経由して、他の無瞬断装置ＵＡの通信インタフェース３０４と接続することが可能である。通信インタフェース３０４は、第１の中継経路ＲＰ１および第２の中継経路ＲＰ２の通信媒体、通信方法、通信規約に応じた通信モジュールを含んでも良い。

　図４は、第１の実施形態における無瞬断装置ＵＡの具体的な構成の一例を示す図である。図４において、ユーザフレームの流れは実線で表わし、その他の情報の流れは、点線で表わしている。

　無瞬断装置ＵＡの送信部Ｔｘは、受信ＦＩＦＯ（First In First out）キュー４０１と、第１のフレーム読取機能部４０２と、暗号化周期設定機能部４０３と、ユーザフレーム数カウンタ機能部４０４と、暗号キー生成／保持機能部４０５と、フレーム暗号化機能部４０６と、フレーム複製機能部４０７と、暗号キー分割／保持機能部４０８と、同期識別情報付与機能部４０９と、送信ＦＩＦＯキュー４１０と、を備える。

　無瞬断装置ＵＡの受信部Ｒｘは、受信ＦＩＦＯキュー４１１と、第２のフレーム読取機能部４１２と、フレーム同期機能部４１３と、暗号キー統合／保持機能部４１４と、フレーム選択機能部４１５と、フレーム復号化機能部４１６と、送信ＦＩＦＯキュー４１７と、を備える。

　図４に示した送信部Ｔｘの各部及び受信部Ｒｘの各処理機能部は、いずれも、図３に示したプログラムメモリ３０２に格納されたプログラムを上記プロセッサ３０１により読み出させて実行させることにより実現されて良い。なお、これらの処理機能部の一部または全部は、特定用途向け集積回路（ＡＳＩＣ：Application Specific Integrated Circuit）またはＦＰＧＡ（field-programmable gate array）などの集積回路を含む、他の多様な形式によって実現されても良い。

　受信ＦＩＦＯキュー４０１は、第１のインタフェースＩＦ１を介して、ユーザ装置ＵＥから一連のユーザフレームを受信し、受信した順で第１のフレーム読取機能部４０２にユーザフレームを送信する。

　第１のフレーム読取機能部４０２は、受信ＦＩＦＯキュー４０１から受信したユーザフレームを読取り、読取ったユーザフレームについての情報をユーザフレーム数カウンタ機能部４０４に送信する。さらに、第１のフレーム読取機能部４０２は、受信したユーザフレームをフレーム暗号化機能部４０６に送信する。

　暗号化周期設定機能部４０３は、例えば拠点Ｂｘ内のユーザ装置ＵＥから、第１の設定情報Ｓｅｔ１を受信する。第１の設定情報Ｓｅｔ１は、どれだけの数のユーザフレーム毎に暗号キーを変更するかについての暗号キー更新周期情報である。なお、暗号キー更新周期は、例えば、ｎ個分の送信フレームであるとする。ここで、ｎは、１以上の整数である。なお、暗号化周期設定機能部４０３は、第１の設定情報Ｓｅｔ１を受信せずに、プログラムメモリ３０２に記憶された暗号キー更新周期設定プログラムを読み出し、当該プログラムにより自動的に暗号キー更新周期を決定することも可能である。また、暗号キー更新周期は、受信した第１の設定情報Ｓｅｔ１又は暗号キー更新周期設定プログラムに基づいて任意のタイミングで変更可能であって良い。暗号化周期設定機能部４０３は、暗号キー生成／保持機能部４０５に暗号キー更新周期情報を送信する。また、暗号化周期設定機能部４０３は、必要に応じてユーザフレーム数カウンタ機能部４０４に暗号キー更新周期情報を送信しても良い。

　ユーザフレーム数カウンタ機能部４０４は、第１のフレーム読取機能部４０２から受信したユーザフレームを一意に識別するための識別情報を生成する。すなわち、ユーザフレーム数カウンタ機能部４０４は、識別情報生成機能部であって良い。例えば、識別情報は、第１のフレーム読取機能部４０２から受信した情報に基づいて、ユーザフレーム数をカウントしたカウント数であって良い。ここで、カウントの仕方は、１つのユーザフレームに一意の番号を割り当てることでユーザフレームを連続番号でカウントしても良いし、暗号キー更新周期の最初のユーザフレームを０として順にカウントし、暗号化周期設定機能部４０３から受信した暗号キー更新周期情報に含まれる暗号キー更新周期毎にカウントを０にリセットしても良い。暗号キー更新周期毎にカウントを０にリセットする場合、カウント数は、暗号キー更新周期のうちの最初のユーザフレームからのフレーム差分数を表すことになる。ユーザフレーム数カウンタ機能部４０４は、ユーザフレームのカウント数を暗号キー生成／保持機能部４０５及び同期識別情報付与機能部４０９に送信する。ユーザフレーム数カウンタ機能部４０４は、カウント数と共に暗号キー更新周期との関係を把握することが可能な関係情報を同期識別情報付与機能部４０９に送信することもできる。なお、関係情報は、暗号キー更新周期が変更されない限り１度送信した後、同期識別情報付与機能部４０９に送信することを省略しても良いのは勿論である。

　暗号キー生成／保持機能部４０５は、所定の共通鍵暗号方式に基づいて暗号キーを生成する。共通鍵暗号方式で使用するアルゴリズムは、例えば、ＡＥＳ（Advanced Encryption Standard）等の一般的なアルゴリズムで良い。また、暗号キー生成／保持機能部４０５は、ユーザフレーム数カウンタ機能部４０４から受信したカウント数及び暗号化周期設定機能部４０３から受信した暗号キー更新周期に基づいて暗号キーを生成する。すなわち、暗号キー生成／保持機能部４０５は、暗号キー更新周期であるｎ個のユーザフレーム毎にユーザフレームを暗号化するための暗号キーを生成し、暗号キーを更新する。さらに、暗号キー生成／保持機能部４０５は、生成した暗号キーを保持する。なお、暗号キー生成／保持機能部４０５は、新たな暗号キーを生成した後、過去に生成した暗号キーを破棄するようにしても良い。

　フレーム暗号化機能部４０６は、第１のフレーム読取機能部４０２から受信したユーザフレームを暗号キー生成／保持機能部４０５に保持された暗号キーを用いて暗号化する。また、フレーム暗号化機能部４０６は、暗号化されたユーザフレームをフレーム複製機能部４０７に送信する。

　フレーム複製機能部４０７は、フレーム暗号化機能部４０６から受信した暗号化されたユーザフレームを、出力する経路の数に等しくなるように複製する。フレーム複製機能部４０７は、例えば、図１で示すように２つの経路がある場合、暗号化されたユーザフレームを複製して、２つの暗号化されたユーザフレームを生成する。そして、暗号化されたユーザフレームそれぞれを同期識別情報付与機能部４０９に送信する。

　暗号キー分割／保持機能部４０８は、暗号キー生成／保持機能部４０５に保持された暗号キーを取得し、暗号キーを経路の数だけ暗号キー片に分割する。例えば、暗号キー分割／保持機能部４０８は、図１で示すように２つの経路がある場合、暗号キーを２つの暗号キー片に分割する。ここで、分割方法は、一般的な分割方法で良く、ここでの詳細な説明は省略する。そして、暗号キー分割／保持機能部４０８は、分割した暗号キー片それぞれを、つまり、異なる暗号化キー片をそれぞれの同期識別情報付与機能部４０９に送信する。なお、暗号キー分割／保持機能部４０８は、分割した暗号キー片を保持することも可能である。

　同期識別情報付与機能部４０９は、所定のフレーム方式に従った、ユーザフレームを含む送信フレームを生成する。例えば、フレーム方式が埋め込み方式である場合、同期識別情報付与機能部４０９は、同期識別情報フィールドを暗号化されたユーザフレームに付加した送信フレームを生成する。また、フレーム方式が同期フレーム方式である場合、同期識別情報付与機能部４０９は、同期識別情報、暗号キー片、及び識別情報であるカウント数を含む同期識別情報フレームを生成し、同期識別情報フレームと、暗号化されたユーザフレームとを含む送信フレームを生成する。そして、同期識別情報付与機能部４０９は、生成した送信フレームを送信ＦＩＦＯキューに送信する。

　図５Ａは、埋め込み方式での送信フレーム５０３を時系列的に並べた送信フレーム構成の一例を示す図であり、図５Ｂは、同期フレーム方式での送信フレーム５０を時系列的に並べた送信フレーム構成の一例を示す図である。

　図５Ａで示す送信フレーム５０３は、ユーザ情報フィールド５０１に、同期識別情報５０４、暗号キー片５０５、識別情報５０６を搬送する同期識別情報フィールド５０２が付加されたフレームである。ここで、ユーザ情報フィールド５０１は、暗号化されたユーザフレームが備える各フィールドに対応する。ユーザ情報フィールド５０１は、プリアンブルと、宛先アドレスと、送信元アドレスと、イーサタイプと、データと、フレームチェックシーケンス（図５Ａでは、ＦＣＳ：Frame Check Sequence）と記載）と、を備える。これらのプリアンブル、宛先アドレス、送信元アドレス、イーサタイプ、データ、ＦＣＳは、一般的なもので良く、これらの詳細な説明は、省略する。同期識別情報フィールド５０２は、データフィールドとＦＣＳフィールドとの間に付加されている。そして、同期識別情報フィールド５０２は、送信側の無瞬断装置ＵＡと受信側の無瞬断装置ＵＡの間でフレームの同期を取るための情報を含む同期識別情報５０４を含む。そして、図５Ａで示されるように、暗号キー片５０５及び識別情報５０６は、この同期識別情報フィールド５０２の一部に付加されている。同期識別情報５０４は、暗号キー更新周期とは無関係に設定される各ユーザフレームを一意に識別するための例えばフレーム番号であり、識別情報５０６は、暗号キー更新周期内で各ユーザフレームを一意に識別するためのカウント数である。よって、１つの中継経路ＲＰを伝送されるユーザフレームには、識別情報５０６が同じものが存在するが、同期識別情報５０４によって区別可能となる。識別情報５０６は、カウント数に加えて、暗号キー更新周期についての関係情報を含んでも良い。或いは、この暗号キー更新周期についての関係情報は、同期識別情報５０４に含めても良い。

　図５Ｂで示す送信フレーム５０３は、暗号されたユーザフレーム５０７と、同期識別情報フレーム５０８とを備える。ユーザフレーム５０７は、上述のユーザ情報フィールド５０１と同じフィールドを備えるため、図５Ｂでは、その詳細を省略している。同期識別情報フレーム５０８は、フィールドとして、プリアンブルと、宛先アドレスと、送信元アドレスと、イーサタイプと、データと、フレームチェックシーケンス（図５Ｂでは、ＦＣＳと記載）と、を備える。ここで、同期識別情報フレーム５０８は、第１のフレーム読取機能部４０２がユーザフレーム５０７を読取った後、読取ったユーザフレーム５０７に基づいて生成される。そのため、プリアンブル、宛先アドレス、送信元アドレスは、ユーザフレーム５０７のものと同一の情報である。さらに、同期識別情報フレーム５０８のデータフィールドは、フレーム暗号化機能部４０６で暗号化されない。図５Ｂで示されるように、同期識別情報５０４、暗号キー片５０５及び識別情報５０６は、データフィールド内に付加されている。

　なお、図５Ａ及び図５Ｂで示したフレーム方式は、単なる例であり、その他のフレーム構成でユーザフレームと、同期識別情報５０４と、暗号キー片５０５と、識別情報５０６とを搬送することが可能であることは勿論である。

　送信ＦＩＦＯキュー４１０は、受信した送信フレーム５０３順に送信フレーム５０３を、第２のインタフェースＩＦ２及び第３のインタフェースＩＦ３を介して、第１の中継経路ＲＰ１及び第２の中継経路ＲＰ２に送信する。すなわち、同期識別情報付与機能部４０９及び送信ＦＩＦＯキュー４１０は、送信機能部であって良い。

　受信部Ｒｘの受信ＦＩＦＯキュー４１１は、第２のインタフェースＩＦ２及び第３のインタフェースＩＦ３を介して第１の中継経路ＲＰ１及び第２の中継経路ＲＰ２から送信フレーム５０３を受信し、受信した順に第２のフレーム読取機能部４１２に送信フレーム５０３を送信する。

　第２のフレーム読取機能部４１２は、受信ＦＩＦＯキュー４０１から受信した送信フレーム５０３内の同期識別情報フィールド５０２またはデータフィールドに付与された暗号キー片５０５及びカウント数である識別情報５０６を読取る。第２のフレーム読取機能部４１２は、読取った暗号キー片５０５及び識別情報５０６をフレーム同期機能部４１３に送信する。また、第２のフレーム読取機能部４１２は、受信した送信フレーム５０３をフレーム選択機能部４１５に送信する。

　フレーム同期機能部４１３は、同期識別情報５０４に基づいて同一のフレーム番号を有する送信フレーム５０３を識別する。更に、フレーム同期機能部４１３は、カウント数である識別情報５０６が同じ送信フレーム５０３が中継経路の数分受信している送信フレーム５０３を識別する。また、暗号キー更新周期についての関係情報が同期識別情報５０４又は識別情報５０６に含まれている場合、フレーム同期機能部４１３は、当該関係情報からカウント数と暗号キー更新周期との関係を把握する。フレーム同期機能部４１３は、中継経路分受信した送信フレーム５０３の暗号キー片５０５、カウント数及びカウント数と暗号キー更新周期との関係情報を暗号キー統合／保持機能部４１４に送信する。さらにフレーム同期機能部４１３は、カウント数及び関係情報をフレーム復号化機能部４１６に送信する。

　暗号キー統合／保持機能部４１４は、所定のルールに基づいて、フレーム同期機能部４１３から受信した暗号キー片５０５から暗号キーを合成する。ここで、所定のルールは、暗号キー分割／保持機能部４０８での分割方式に対応したルールであれば良く、ここでの詳細な説明は、省略する。暗号キー統合／保持機能部４１４は、合成した暗号キーを保持する。なお、暗号キーを保持する期間は、関係情報に基づいて決定される。また、暗号キー統合／保持機能部４１４は、フレーム同期機能部４１３からのカウント数である識別情報５０６を含む問合せを受けた場合、当該カウント数に対する送信フレーム５０３のユーザフレームを復号化可能かどうかの応答を送信することができる。

　フレーム選択機能部４１５は、２つの第２のフレーム読取機能部４１２のうちの早く到着した方からの送信フレーム５０３を採用し、採用されなかった送信フレーム５０３を破棄する。フレーム選択機能部４１５は、選択した送信フレーム５０３から同期識別情報フィールド５０２又は同期識別情報フレーム５０８を削除し、当該送信フレーム５０３のうちのユーザフレームをフレーム復号化機能部４１６に送信する。なお、送信フレーム５０３のうちの１つが喪失し、１つの送信フレーム５０３しか受信しない場合は、破棄対象が存在しないので、必然的に、受信した送信フレーム５０３のうちのユーザフレームをフレーム復号化機能部４１６に送信することとなる。

　フレーム復号化機能部４１６は、フレーム同期機能部４１３から受信した識別情報５０６及び関係情報に基づいて、暗号キー統合／保持機能部４１４から暗号キーを取得する。フレーム復号化機能部４１６は、取得した暗号キーを用いて送信フレーム５０３中のユーザフレームを復号化する。フレーム復号化機能部４１６は、復号されたユーザフレームを送信ＦＩＦＯキュー４１７に送信する。

　送信ＦＩＦＯキュー４１７は、フレーム復号化機能部４１６から受信した順にユーザフレームを第１のインタフェースＩＦ１を介してユーザ装置ＵＥに送信する。

　（動作）
　図６は、第１の実施形態における第１の無瞬断装置ＵＡ１で一連のユーザフレームを受信してから第２の無瞬断装置ＵＡ２に送信フレーム５０３を送信するまでの処理動作の一例を示すフローチャートである。第１の無瞬断装置ＵＡ１のプログラムメモリ３０２には、このフローチャートに示した制御処理を実行するために必要なプログラムが格納されており、プロセッサ３０１がそのプログラムを実行することで、プロセッサ３０１は、送信部Ｔｘ１の各キュー及び各機能部として動作することができる。

　図６のフローチャートは、ユーザ装置ＵＥから第１のインタフェースＩＦ１を介して一連のユーザフレームを受信することで開始する。

　第１の無瞬断装置ＵＡ１の第１のフレーム読取機能部４０２は、受信したユーザフレームを読取る（ステップＳ１０１）。ここで、第１のフレーム読取機能部４０２は、ユーザフレームの宛先アドレス等に含まれる情報により、第２の無瞬断装置ＵＡ２にユーザフレームを送信すると識別しても良い。第２のフレーム読取機能部４１２は、読取ったフレームについての情報をユーザフレーム数カウンタ機能部４０４に送信すると共に、受信したユーザフレームをフレーム暗号化機能部４０６に送信する。

　識別情報生成機能部であるユーザフレーム数カウンタ機能部４０４は、受信した情報に基づいて、ユーザフレームを暗号キー更新周期内で一意に識別する識別情報５０６を生成する。識別情報５０６は、例えば、受信したユーザフレームの数をカウントしたカウント数である。ユーザフレーム数カウンタ機能部４０４は、識別情報５０６を暗号キー生成／保持機能部４０５及び同期識別情報付与機能部４０９に送信する。暗号キー生成／保持機能部４０５は、ユーザフレーム数カウンタ機能部４０４から受信した識別情報５０６及び暗号化周期設定機能部４０３から受信した暗号キー更新周期ｎに基づいて暗号キーを生成する。ここで、暗号キー更新周期ｎが短ければ短いほど、よりセキュアにユーザフレームを送信することが可能である。例えば、ｎ＝１である場合、すなわち、１つのユーザフレーム毎に暗号キーを更新する場合、最もセキュアにユーザフレームを送信することが可能である。

　フレーム暗号化機能部４０６は、受信したユーザフレームのデータフィールドを暗号キー生成／保持機能部４０５に保持された暗号キーを用いて暗号化する（ステップＳ１０２）。フレーム暗号化機能部４０６は、暗号化されたユーザフレームをフレーム複製機能部４０７に送信する。

　フレーム複製機能部４０７は、暗号化されたユーザフレームを出力する経路の数に等しくなるように複製する（ステップＳ１０３）。複製されたユーザフレームはそれぞれ、同期識別情報付与機能部４０９に送信される。

　同期識別情報付与機能部４０９は、所定のフレーム方式に従って、ユーザフレームを含む送信フレーム５０３を生成する（ステップＳ１０４）。例えば、所定のフレーム方式が埋め込み方式である場合、同期識別情報付与機能部４０９は、同期識別情報フィールド５０２を暗号化されたユーザフレームに付加した送信フレーム５０３を生成する。また、所定のフレーム方式が同期フレーム方式である場合、同期識別情報付与機能部４０９は、同期識別情報５０４、暗号キー片５０５、及び識別情報５０６を含む同期識別情報フレーム５０８を生成し、同期識別情報フレーム５０８と、暗号化されたユーザフレーム５０７とを含む送信フレーム５０３を生成する。そして、同期識別情報付与機能部４０９は、生成した送信フレーム５０３を送信ＦＩＦＯキュー４１０に送信する。暗号キー片５０５は、暗号キー生成／保持機能部４０５に保持された暗号キーを、暗号キー分割／保持機能部４０８によって中継経路の数に分割した暗号キー片５０５であり、２つの同期識別情報付与機能部４０９は、互いに異なる暗号化キー片を付与する。

　送信ＦＩＦＯキュー４１０は、受信した送信フレーム５０３順に送信フレーム５０３を、第２のインタフェースＩＦ２及び第３のインタフェースＩＦ３を介して、第１の中継経路ＲＰ１及び第２の中継経路ＲＰ２に送信する（ステップＳ１０５）。

　図７は、第１の実施形態における第２の無瞬断装置ＵＡ２が、第１の無瞬断装置ＵＡ１から送信フレーム５０３を受信してからユーザフレームをユーザ装置ＵＥに送信するまでの処理動作の一例を示すフローチャートである。第２の無瞬断装置ＵＡ２のプログラムメモリ３０２には、このフローチャートに示した制御処理を実行するために必要なプログラムが格納されており、プロセッサ３０１がそのプログラムを実行することで、プロセッサ３０１は、受信部Ｒｘ２の各キュー及び各機能部として動作することができる。

　図７のフローチャートは、第２の無瞬断装置ＵＡ２の受信ＦＩＦＯキュー４１１において、第１の無瞬断装置ＵＡ１から送信された送信フレーム５０３を、第１の中継経路ＲＰ１及び第２のインタフェースＩＦ２と第２の中継経路ＲＰ２及び第３のインタフェースＩＦ３との何れか一方を介して受信することで開始する。

　第２の無瞬断装置ＵＡ２の第２のフレーム読取機能部４１２は、受信ＦＩＦＯキュー４１１で受信した送信フレーム５０３を読取る（ステップＳ２０１）。埋め込み方式で送信フレーム５０３が第１の無瞬断装置ＵＡ１から送信された場合、第２のフレーム読取機能部４１２は、受信ＦＩＦＯキュー４１１から受信した送信フレーム５０３内の同期識別情報フィールド５０２に付加された同期識別情報５０４、暗号キー片５０５及びカウント数である識別情報５０６を読取る。同期フレーム方式で送信フレーム５０３が第１の無瞬断装置ＵＡ１から送信された場合、第２のフレーム読取機能部４１２は、同期識別情報フレーム５０８のデータフィールド内に付加された同期識別情報５０４、暗号キー片５０５及びカウント数である識別情報５０６を読取る。第２のフレーム読取機能部４１２は、読取った同期識別情報５０４、暗号キー片５０５及び識別情報５０６をフレーム同期機能部４１３に送信する。

　フレーム同期機能部４１３は、送信フレーム５０３の喪失が有るかどうかを判定する（ステップＳ２０２）。送信フレーム５０３が中継ネットワークＲＮＷ上で障害等により喪失することがある。以下の説明は、２つの中継経路ＲＲ１，ＲＲ２で送信された送信フレーム５０３のうち１つの送信フレーム５０３のみが喪失する場合について説明する。フレーム同期機能部４１３は、第２のフレーム読取機能部４１２のそれぞれから受信した識別情報５０６であるカウント数を識別し、同一のカウント数を有する送信フレーム５０３が中継経路分受信しているかを判定する。当該送信フレーム５０３が中継経路分受信していない場合、フレーム同期機能部４１３は、送信フレーム５０３が喪失していると判定する。逆に、当該送信フレーム５０３が中継経路分受信している場合、フレーム同期機能部４１３は、送信フレーム５０３の喪失が無いと判定する。

　送信フレーム５０３の喪失が無いと判定した場合、フレーム同期機能部４１３は、受信した同期識別情報５０４、暗号キー片５０５及び識別情報５０６を暗号キー統合／保持機能部４１４に送信する。ここで、識別情報５０６と暗号キー更新周期との関係を示す関係情報が送信フレーム５０３に含まれている場合、フレーム同期機能部４１３は、当該関係情報から、識別情報５０６と暗号キー更新周期の関係を把握することが可能である。そして、フレーム同期機能部４１３は、関係情報から、受信した送信フレーム５０３が暗号キー更新周期の最初の送信フレーム５０３であるかないか判定することが可能である。フレーム同期機能部４１３は、送信フレーム５０３が暗号キー更新周期の最初の送信フレーム５０３でないと判定した場合、読取った暗号キー片５０５を暗号キー統合／保持機能部４１４に送信することを省略しても良い。これは暗号キー統合／保持機能部４１４が受信した送信フレーム５０３のユーザフレームを復号化可能な暗号キーを有しているためである。また、暗号キー統合／保持機能部４１４は、受信した暗号キー片５０５から暗号キーを生成し、保持する。

　送信フレーム５０３の喪失が有ると判定した場合、フレーム同期機能部４１３は、暗号キー統合／保持機能部４１４が喪失していない送信フレーム５０３のユーザフレームを復号化可能な暗号キーを有しているかどうかを判定する（ステップＳ２０３）。具体的には、フレーム同期機能部４１３は、暗号キー統合／保持機能部４１４に喪失した送信フレーム５０３のカウント数である識別情報５０６を含む問合せを送信し、問合わせに対する応答に基づいて暗号キー統合／保持機能部４１４が暗号キーを有しているかどうかを判定する。暗号キー統合／保持機能部４１４が当該ユーザフレームを復号化可能な暗号キーを有している場合、送信フレーム５０３に含まれるユーザフレームの復号化が可能であるため、処理は、ステップＳ２０５に進む。暗号キー統合／保持機能部４１４が当該ユーザフレームを復号化可能な暗号キーを有していない場合、フレーム同期機能部４１３は、フレーム選択機能部４１５にフレーム保持情報を送信する。フレーム選択機能部４１５がフレーム保持情報を受信した場合、フレーム選択機能部４１５は、受信した送信フレーム５０３を無瞬断装置ＵＡのデータメモリ３０３に保存する。そして、処理は、ステップＳ２０１に戻る。

　フレーム選択機能部４１５は、送信フレーム５０３を選択する（ステップＳ２０４）。具体的には、フレーム選択機能部４１５は、第２のフレーム読取機能部４１２の何れかから早く到着した送信フレーム５０３を採用し、採用されなかった送信フレーム５０３を破棄する。フレーム選択機能部４１５は、選択した送信フレーム５０３から同期識別情報フィールド５０２又は同期識別情報フレーム５０８を削除し、当該送信フレーム５０３のうちのユーザフレームをフレーム復号化機能部４１６に送信する。また、フレーム選択機能部４１５は、フレーム保持情報を受信したことによってデータメモリ３０３に記憶された送信フレーム５０３がある場合、当該送信フレーム５０３もフレーム復号化機能部４１６に送信しても良い。

　フレーム復号化機能部４１６は、暗号キー統合／保持機能部４１４が保持している暗号キーを使用してフレーム選択機能部４１５から受信したユーザフレームを復号化する（ステップＳ２０５）。なお、暗号キー統合／保持機能部４１４に保持された暗号キーは、フレーム同期機能部４１３から受信した暗号キー片５０５を統合して生成された暗号キーである。ここで、例えば、ある暗号キー更新周期の最初の送信フレーム５０３が正常に第２の無瞬断装置ＵＡ２で受信された場合、暗号キー統合／保持機能部４１４は、当該暗号キー更新周期で使用する暗号キーを保持することになる。そのため、当該暗号キー更新周期内の２番目以降に受信した送信フレーム５０３のユーザフレームについて、フレーム復号化機能部４１６は、当該暗号キーを使用して復号化することができる。すなわち、当該暗号キー更新周期内の２番目以降に受信した送信フレーム５０３に喪失があったとしても、フレーム復号化機能部４１６は、他方の送信フレーム５０３に含まれるユーザフレームを当該暗号キーを用いて復号することができる。しかしながら、当該暗号キー更新周期内の最初の送信フレーム５０３が喪失した場合、暗号キー統合／保持機能部４１４が暗号キーを生成することができないため、フレーム復号化機能部４１６は、他方の送信フレーム５０３を受信したとしても、そこに含まれるユーザフレームを復号化することができない。そのため、フレーム復号化機能部４１６は、当該暗号キー更新周期内の２番目以降で正常に受信した送信フレーム５０３に含まれる暗号キー片５０５から生成された暗号キーを用いて、受信した送信フレーム５０３及びそれ以前に受信した送信フレーム５０３に含まれるユーザフレームを復号化する。そして、フレーム復号化機能部４１６は、復号化されたユーザフレームを送信ＦＩＦＯキュー４１７に送信する。

　送信ＦＩＦＯキュー４１７は、フレーム復号化機能部４１６から受信した順にユーザフレームを第１のインタフェースＩＦ１を介してユーザ装置ＵＥに送信する（ステップＳ２０６）。

　（作用効果）　
　以上に示した第１の実施形態によれば、例えば悪意のある第３者が１つの中継経路上に送信された送信フレーム５０３をスヌープしたとしても、別の中継経路上の対応する暗号キー片５０５を含む送信フレーム５０３を入手できないので、暗号化された送信フレーム５０３に含まれるユーザフレームを読取ることができない。よって、その送信フレーム５０３に係わる連続情報を復元することもできない。したがって、高いセキュリを有する無瞬断装置ＵＡ間での通信が可能になる。

　また、暗号キー更新周期ｎを短くすれば、よりセキュアに送信フレーム５０３を送信することが可能になる。

　［第２の実施形態］　
　（構成）　
　図８は、第２の実施形態における無瞬断装置ＵＡの具体的な構成の一例を示す図である。本実施形態の無瞬断装置ＵＡは、先行暗号化周期設定機能部８０１を備え、先行暗号化周期設定機能部８０１が第２の設定情報Ｓｅｔ２を受信する点で第１の実施形態と異なっている。

　先行暗号化周期設定機能部８０１は、例えば拠点Ｂｘ内のユーザ装置ＵＥから、第２の設定情報Ｓｅｔ２を受信する。第２の設定情報Ｓｅｔ２は、ｍ個分だけ将来の暗号キー更新周期においてユーザフレームを暗号化するための暗号化キーである先行暗号キーを送信フレーム５０３に付加することを指示する情報である。ここで、ｍは、１以上の整数である。先行暗号キーを先に送信しておくことで、受信側の無瞬断装置ＵＡは、将来のユーザフレームを復号化するために使用する先行暗号キーを先に生成し保持することになる。すなわち、当該将来のユーザフレームを受信した際、受信側の無瞬断装置ＵＡは、既に当該ユーザフレームを復号化可能な暗号キーを保持していることになる。したがって、受信側の無瞬断装置ＵＡは、送信フレーム５０３を受信した際、暗号キーの統合する処理時間を考慮する必要が無くなり、受信側の無瞬断装置ＵＡでの情報転送遅延を低減することが可能になる。なお、先行暗号化周期設定機能部８０１は、第２の設定情報Ｓｅｔ２を受信せずに、プログラムメモリ３０２に記憶された暗号キー先行設定プログラムを読み出し、当該プログラムにより自動的に値ｍを決定することも可能である。また、値ｍは、受信した第２の設定情報Ｓｅｔ２又は暗号キー先行設定プログラムに基づいて任意のタイミングで変更可能であって良い。先行暗号化周期設定機能部８０１は、暗号キー生成／保持機能部４０５及び同期識別情報付与機能部４０９に値ｍを含む先行暗号キー情報を送信する。

　暗号キー生成／保持機能部４０５は、受信した先行暗号キー情報及び所定の共通鍵暗号方式に基づいて、ｍ個分の暗号キー更新周期だけ将来のユーザフレームを暗号化するための先行暗号キーを生成し、保持する。ここで、先行暗号キーを保持する期間は、受信した先行暗号キー情報に基づく。すなわち、ｍ個分の暗号キー更新周期だけ将来のユーザフレームを暗号化するために先行暗号キーをフレーム暗号化機能部４０６が使用した後、暗号キー生成／保持機能部４０５は、保持する先行暗号キーを破棄して良い。なお、所定の共通鍵暗号方式で使用するアルゴリズムは、第１の実施形態と同様に、一般的なアルゴリズムで良い。

　なお、暗号キー生成／保持機能部４０５は、最初に送るユーザフレームを暗号化するための暗号キーを有していない。そこで、フレーム暗号化機能部４０６は、最初に送るユーザフレームからｍ個の暗号キー更新周期中のユーザフレームまで、暗号キー生成／保持機能部４０５は、最初に生成した先行暗号キーをユーザフレームを暗号化するための暗号キーとして使用するようにしても良い。

　暗号キー分割／保持機能部４０８は、暗号キー生成／保持機能部４０５に保持された先行暗号キーを取得し、先行暗号キーを経路の数だけ先行暗号キー片に分割する。なお、分割方法は、第１の実施形態と同じである。そして、暗号キー分割／保持機能部４０８は、分割した先行暗号キー片それぞれを同期識別情報付与機能部４０９に送信する。

　同期識別情報付与機能部４０９は、第１の実施形態と同様に、所定のフレーム方式に従った、ユーザフレームを含む送信フレーム５０３を生成する。ここで、第１の実施形態との違いは、送信される暗号キー片５０５が先行暗号キー片であることである。また、同期識別情報付与機能部４０９は、受信した先行暗号キー情報を識別情報５０６と共に送信フレーム５０３に含めることが可能である。先行暗号キー情報を受信側の無瞬断装置ＵＡが読取ることにより、受信側の無瞬断装置ＵＡは、送信フレーム５０３に付与された先行暗号キーを使用するユーザフレームを判定することが可能になる。なお、先行暗号キー情報は、値ｍが変更されない限り１度送信した後、送信フレーム５０３に含めることを省略しても良いのは勿論である。

　フレーム同期機能部４１３は、第１の実施形態と同様の構成である。第１の実施形態との違いは、送信フレーム５０３に先行暗号キー情報が含まれる場合、フレーム同期機能部４１３は、先行暗号キー情報に基づいて、先行暗号キーが実際に使用されるユーザフレームに対応する送信フレーム５０３のフレーム数を決定する。そして、フレーム同期機能部４１３は、中継経路分受信した送信フレーム５０３の先行暗号キー片及び決定したフレーム数に関する情報を暗号キー統合／保持機能部４１４に送信する。さらにフレーム同期機能部４１３は、決定した情報をフレーム復号化機能部４１６に送信する。

　暗号キー統合／保持機能部４１４は、所定のルールに基づいて、フレーム同期機能部４１３から受信した先行暗号キー片から先行暗号キーを合成する。ここで、所定のルールは、第１の実施形態と同様に暗号キー分割／保持機能部４０８での分割方式に対応したルールであれば良い。暗号キー統合／保持機能部４１４は、合成した先行暗号キーを保持する。なお、暗号キーを保持する期間は、フレーム同期機能部４１３から受信した値ｍについての情報に基づいて決定される。

　（動作）　
　第２の実施形態における送信側の動作は、送信フレーム５０３に付加される暗号キー片５０５が先行暗号キーのものであり、同期識別情報フィールド５０２又は同期識別情報フレーム５０８に、識別情報５０６と共に先行暗号キー情報を含む以外、第１の実施形態の送信側の動作と同じであるため、その説明を省略する。

　図９は、第２の実施形態における第２の無瞬断装置ＵＡ２が、第１の無瞬断装置ＵＡ１から送信フレーム５０３を受信してからユーザフレームをユーザ装置ＵＥに送信するまでの処理動作の一例を示すフローチャートである。第２の無瞬断装置ＵＡ２のプログラムメモリ３０２には、このフローチャートに示した制御処理を実行するために必要なプログラムが格納されており、プロセッサ３０１がそのプログラムを実行することで、プロセッサ３０１は、受信部Ｒｘ２の各キュー及び各機能部として動作することができる。

　図９に示されるように、第２の実施形態における第２の無瞬断装置ＵＡ２の動作は、ステップＳ２０３が省略される以外、同じである。そこで、第１の実施形態との違いのみを説明する。

　ステップＳ２０２で、送信フレーム５０３の喪失が無いと判定した場合、フレーム同期機能部４１３は、受信した同期識別情報５０４、先行暗号キー片及び識別情報５０６であるカウント数を暗号キー統合／保持機能部４１４に送信する。さらに、識別情報５０６と共に先行暗号キー情報が送信フレーム５０３に含まれている場合、フレーム同期機能部４１３は、先行暗号キーがどの送信フレーム５０３に含まれるユーザフレームを復号化するかについて決定し、当該決定した情報を暗号キー統合／保持機能部４１４及びフレーム復号化機能部４１６に送信する。ここで、識別情報５０６と暗号キー更新周期との関係を示す関係情報が送信フレーム５０３に含まれている場合、フレーム同期機能部４１３は、当該関係情報から、識別情報５０６と暗号キー更新周期の関係を把握することが可能である。そして、フレーム同期機能部４１３は、関係情報から、受信した送信フレーム５０３が暗号キー更新周期の最初の送信フレーム５０３であるかないか判定することが可能である。フレーム同期機能部４１３は、送信フレーム５０３が暗号キー更新周期の最初の送信フレーム５０３でないと判定した場合、読取った先行暗号キー片を暗号キー統合／保持機能部４１４に送信することを省略しても良い。これは暗号キー統合／保持機能部４１４が、ｍ個分の暗号キー更新周期だけ将来のユーザフレームを暗号化するための先行暗号キーをすでに有しているためである。また、暗号キー統合／保持機能部４１４は、受信した先行暗号キー片から先行暗号キーを生成し、保持する。

　また、ステップＳ２０２で、送信フレーム５０３に喪失が有ると判定した場合、フレーム同期機能部４１３は、受信できた送信フレーム５０３における同期識別情報５０４及び識別情報５０６のみを暗号キー統合／保持機能部４１４に送信する。これは、すでに暗号キー統合／保持機能部４１４が送信フレーム５０３に含まれるユーザフレームを復号化可能な先行暗号キーを有しているために追加の処理が不要になっているためである。

　（作用効果）　
　以上に示した第２の実施形態によれば、例えば悪意のある第３者が１つの中継経路上に送信された送信フレーム５０３をスヌープしたとしても、第１実施形態と同様、送信フレーム５０３に含まれるユーザフレームを読取ることができない。したがって、高いセキュリを有する無瞬断装置ＵＡ間での通信が可能になる。

　さらに、第２の実施形態によれば、ユーザフレームを暗号化するための暗号キーを先行して受信側の無瞬断装置ＵＡに送ることにより、受信側の無瞬断装置ＵＡは、暗号キーの統合する処理時間を考慮する必要が無くなる。そのため、受信側の無瞬断装置ＵＡでの情報転送遅延を低減することが可能になる。

　［第３の実施形態］　
　（構成）　
　図１０は、第３の実施形態における無瞬断装置ＵＡの具体的な構成の一例を示す図である。本実施形態の無瞬断装置ＵＡは、暗号キー事前折衝処理機能部１００１を備え、暗号キー事前折衝処理機能部１００１が第３の設定情報Ｓｅｔ３を受信する点で第１の実施形態と異なっている。なお、第３の実施形態では、送信側の無瞬断装置ＵＡは、暗号化を開始する前に、受信側の無瞬断装置ＵＡと事前折衝を行い、暗号キーを事前に受信側の無瞬断装置ＵＡに送信する。

　暗号キー事前折衝処理機能部１００１は、例えば拠点Ｂｘ内のユーザ装置ＵＥから、第３の設定情報Ｓｅｔ３を受信する。第３の設定情報Ｓｅｔ３は、暗号キーをユーザデータを暗号化する前に受信側の無瞬断装置ＵＡに保持させるためのタイミングを示す情報である。なお、暗号キー事前折衝処理機能部１００１は、第３の設定情報Ｓｅｔ３を受信せずに、プログラムメモリ３０２に記憶された事前折衝プログラムを読み出し、当該プログラムにより自動的に当該情報を決定することも可能である。また、暗号キー事前折衝処理機能部１００１は、第３の設定情報Ｓｅｔ３として、どの拠点のユーザ装置ＵＥにユーザフレームを送信するかの情報を取得しても良い。この場合、暗号キー事前折衝処理機能部１００１は、これらの情報に基づいてどの無瞬断装置ＵＡと事前折衝を行うか及び事前折衝を行うタイミングを決定することが可能である。このどの拠点のユーザ装置ＵＥにユーザフレームを送信するかの情報は、第１のフレーム読取機能部４０２が、送信するべきユーザフレームから読取って、暗号キー事前折衝処理機能部１００１に与えるようにしても良い。暗号キー事前折衝処理機能部１００１は、受信した情報又は決定した情報に基づいて暗号キー送信開始要求を生成する要求を生成し、当該要求を第１のフレーム読取機能部４０２に送信する。また、暗号キー事前折衝処理機能部１００１は、他の無瞬断装置ＵＡから暗号キーの事前折衝を行うための制御フレームを含む送信フレーム５０３を受信した場合、受信部Ｒｘの第２のフレーム読取機能部４１２又は暗号キー統合／保持機能部４１４からそれぞれ所定の情報を受信する。ここで、制御フレームは、暗号キーの事前折衝を行うために必要な要求又は情報を含む。なお、この要求又は情報の詳細は、後述する。暗号キー事前折衝処理機能部１００１は、所定の情報に応じた要求を第１のフレーム読取機能部４０２に送信する。なお、所定の情報及び所定の情報に応じた要求については後述する。

　第１のフレーム読取機能部４０２は、第１の実施形態と同様に、受信ＦＩＦＯキュー４０１を介してユーザ装置ＵＥからユーザフレームを受信して、当該ユーザフレームを読取る。第１のフレーム読取機能部４０２は、受信したユーザフレームをフレーム暗号化機能部４０６に送信する。さらに、第１のフレーム読取機能部４０２は、暗号キー事前折衝処理機能部１００１にユーザフレームから読取った情報を送信しても良い。また、第１のフレーム読取機能部４０２は、暗号キー事前折衝処理機能部１００１から受信した情報に基づいて、制御フレーム、又は要求を生成する。ここで、埋め込み方式で送信フレーム５０３を送信する場合、第１のフレーム読取機能部４０２は、ユーザフレームの同期識別情報フィールド５０２に制御フレームを組み込む。同期フレーム方式の場合、第１のフレーム読取機能部４０２は、同期識別情報フレーム５０８に制御フレームを組み込み込んでも良いし、ユーザフレーム５０７に制御フレームを組み込んでも良い。そして、第１のフレーム読取機能部４０２は、生成した制御フレームを組み込んだフレームをフレーム暗号化機能部４０６、フレーム複製機能部４０７を介して同期識別情報付与機能部４０９に送信する。また、第１のフレーム読取機能部４０２は、生成した要求を、ユーザフレーム数カウンタ機能部４０４及び暗号キー生成／保持機能部４０５を介して、暗号キー分割／保持機能部４０８に送信する。要求は、ユーザフレームの暗号化のために使用する暗号キーを暗号キー片５０５に分割し、当該暗号キー片５０５を送信フレーム５０３に含ませるための要求である。

　フレーム暗号化機能部４０６は、事前折衝時、暗号キーによるユーザフレームの暗号化を行わずに、第１のフレーム読取機能から受信したフレームをフレーム複製機能部４０７に送信する。

　暗号キー分割／保持機能部４０８は、第１のフレーム読取機能部４０２から受信した要求に従って、暗号キー片５０５を生成し、同期識別情報付与機能部４０９に暗号キー片５０５を送信する。すなわち、事前折衝時、暗号キー分割／保持機能部４０８は、当該要求を受信しない限り、暗号キー片５０５を同期識別情報付与機能部４０９に送信しない。

　同期識別情報付与機能部４０９は、フレーム暗号化機能部４０６、フレーム複製機能部４０７を介して受信したフレームに同期識別情報５０４を付与して送信フレーム５０３を生成する。また、暗号キー片５０５を暗号キー分割／保持機能部４０８から受信した場合、同期識別情報付与機能部４０９は、第１の実施形態と同様に送信フレーム５０３に暗号キー片５０５を付与した送信フレーム５０３を生成する。同期識別情報付与機能部４０９は、送信ＦＩＦＯキュー４１０を介して事前折衝の相手となる無瞬断装置ＵＡに送信フレーム５０３を送信する。

　第２のフレーム読取機能部４１２は、事前折衝時、他の無瞬断装置ＵＡから送信された送信フレーム５０３を受信ＦＩＦＯキュー４１１を介して受信する。そして、第２のフレーム読取機能部４１２は、送信フレーム５０３内から制御フレーム又は暗号キー片５０５を読取る。そして、第２のフレーム読取機能部４１２は、読取った制御フレーム又は暗号キー片５０５をフレーム同期機能部４１３に送信する。また、第２のフレーム読取機能部４１２は、受信した送信フレーム５０３をフレーム選択機能部４１５に送信する。

　フレーム同期機能部４１３は、制御フレームを第２のフレーム読取機能部４１２から受信した場合、制御フレームに含まれる情報に基づいて所定の情報を生成し、当該情報を暗号キー事前折衝処理機能部１００１に送信する。また、暗号キー片５０５を第２のフレーム読取機能部４１２から受信した場合、フレーム同期機能部４１３は、当該暗号キー片５０５を暗号キー統合／保持機能部４１４に送信する。

　暗号キー統合／保持機能部４１４は、受信した暗号キー片５０５から暗号キーを生成するように試みる。暗号キー統合／保持機能部４１４は、試みの結果、暗号キーを生成できたかどうかを示す所定の情報を暗号キー事前折衝処理機能部１００１に送信する。

　（動作）　
　図１１は、第３の実施形態における第１の無瞬断装置ＵＡ１と第２の無瞬断装置ＵＡ２との間の事前折衝の一例を示すシーケンス図である。第１の無瞬断装置ＵＡ１及び第２の無瞬断装置ＵＡ２のプログラムメモリ３０２には、このシーケンス図に示した制御処理を実行するために必要なプログラムが格納されており、それぞれのプロセッサ３０１がそのプログラムを実行することで、プロセッサ３０１は、第１の無瞬断装置ＵＡ１及び第２の無瞬断装置ＵＡ２の各機能部及びキューとして動作することができる。

　この事前折衝は、第１の無瞬断装置ＵＡ１の暗号キー事前折衝処理機能部１００１が事前折衝情報を受信することにより開始する。また、事前折衝時において、ユーザフレームは、フレーム暗号化機能部４０６による暗号化は行われない。

　第１の無瞬断装置ＵＡ１は、ユーザフレーム中に事前折衝のための情報として暗号キー送信開始要求を含む送信フレーム５０３を第２の無瞬断装置ＵＡ２に送信する（ＳＴ１）。具体的には、第１の無瞬断装置ＵＡ１の暗号キー事前折衝処理機能部１００１は、第３の設定情報Ｓｅｔ３に含まれる情報又は事前折衝プログラムに生成された情報に基づいて、暗号キー送信始開始要求を生成する要求を生成する。そして、暗号キー事前折衝処理機能部１００１は、当該要求を第１のフレーム読取機能部４０２に送信する。当該要求を受信した第１のフレーム読取機能部４０２は、暗号キー送信開始要求を含む制御フレームを生成し、当該制御フレームをフレーム方式に従ってユーザフレーム又は同期識別情報フレーム５０８に組み込む。同期識別情報付与機能部４０９は、フレーム暗号化機能部４０６及びフレーム複製機能部４０７を介して制御フレームが組み込まれたフレームを受信し、受信したフレームに基づいて送信フレーム５０３を生成する。そして、同期識別情報付与機能部４０９は、送信ＦＩＦＯキュー４１０を介して、送信フレーム５０３を第２の無瞬断装置ＵＡ２に送信する。

　第２の無瞬断装置ＵＡ２は、受信した送信フレーム５０３に含まれる暗号キー送信開始要求に応答して暗号キー送信開始受領を含む送信フレーム５０３を第１の無瞬断装置ＵＡ１に送信する（ＳＴ２）。具体的には、第２の無瞬断装置ＵＡ２の第２のフレーム読取機能部４１２は、第１の無瞬断装置ＵＡ１から送信された送信フレーム５０３を受信ＦＩＦＯキュー４１１を介して受信する。そして、第２のフレーム読取機能部４１２は、送信フレーム５０３内の制御フレームを読取る。そして、第２のフレーム読取機能部４１２は、読取った制御フレームをフレーム同期機能部４１３に送信する。フレーム同期機能部４１３は、制御フレームに含まれる暗号キー送信開始要求情報を確認する。そして、フレーム同期機能部４１３は、制御フレームに暗号キー送信開始要求が含まれていたことを示す所定の情報を生成し、当該所定の情報を暗号キー事前折衝処理機能部１００１に送信する。暗号キー事前折衝処理機能部１００１は、当該所定の情報に基づいて、暗号キー送信開始受領を生成する要求を第１のフレーム読取機能部４０２に送信する。当該要求を受信した第１のフレーム読取機能部４０２は、暗号キー送信開始受領を含む制御フレームを生成し、当該制御フレームをフレーム方式に従ってユーザフレーム又は同期識別情報フレーム５０８に組み込む。同期識別情報付与機能部４０９は、フレーム暗号化機能部４０６及びフレーム複製機能部４０７を介して制御フレームが組み込まれたフレームを受信し、受信したフレームに基づいて送信フレーム５０３を生成する。そして、同期識別情報付与機能部４０９は、送信ＦＩＦＯキュー４１０を介して、送信フレーム５０３を第１の無瞬断装置ＵＡ１に送信する。

　第１の無瞬断装置ＵＡ１は、受信した暗号キー送信開始受領に応答して、暗号キー片５０５を含む送信フレーム５０３を第２の無瞬断装置ＵＡ２に送信する（ＳＴ３）。具体的には、第１の無瞬断装置ＵＡ１の第２のフレーム読取機能部４１２は、第２の無瞬断装置ＵＡ２から送信された送信フレーム５０３を受信ＦＩＦＯキュー４１１を介して受信する。そして、第２のフレーム読取機能部４１２は、送信フレーム５０３内の制御フレームを読取る。そして、第２のフレーム読取機能部４１２は、読取った制御フレームをフレーム同期機能部４１３に送信する。フレーム同期機能部４１３は、制御フレームに含まれる暗号キー送信開始受領を確認する。そして、フレーム同期機能部４１３は、制御フレームに暗号キー送信開始受領が含まれていたことを示す所定の情報を生成し、当該所定の情報を暗号キー事前折衝処理機能部１００１に送信する。暗号キー事前折衝処理機能部１００１は、当該所定の情報に基づいて、ユーザフレームの暗号化のための使用する暗号キーから分割した暗号キー片５０５を送信フレーム５０３に含ませるための要求を生成し、当該要求を第１のフレーム読取機能部４０２に送信する。当該要求を受信した第１のフレーム読取機能部４０２は、受信した要求を、ユーザフレーム数カウンタ機能部４０４及び暗号キー生成／保持機能部４０５を介して、暗号キー分割／保持機能部４０８に送信する。暗号キー分割／保持機能部４０８は、第１のフレーム読取機能部４０２から受信した要求に従って、保持していた暗号キーから暗号キー片５０５を生成し、同期識別情報付与機能部４０９に暗号キー片５０５を送信する。同期識別情報付与機能部４０９は、第１の実施形態と同様に送信フレーム５０３に暗号キー片５０５を付与した送信フレーム５０３を生成する。そして、同期識別情報付与機能部４０９は、送信ＦＩＦＯキュー４１０を介して、送信フレーム５０３を第２の無瞬断装置ＵＡ２に送信する。

　第２の無瞬断装置ＵＡ２は、受信した暗号キー片５０５から暗号キーの生成を試み、暗号キーが生成されたかどうかを示す情報を含む送信フレーム５０３を第１の無瞬断装置ＵＡ１に送信する（ＳＴ４）。具体的には、第２の無瞬断装置ＵＡ２の第２のフレーム読取機能部４１２は、第１の無瞬断装置ＵＡ１から送信された送信フレーム５０３を受信ＦＩＦＯキュー４１１を介して受信する。そして、第２のフレーム読取機能部４１２は、送信フレーム５０３内の暗号キー片５０５を読取る。そして、第２のフレーム読取機能部４１２は、読取った暗号キー片５０５をフレーム同期機能部４１３に送信する。フレーム同期機能部４１３は、暗号キー片５０５を暗号キー統合／保持機能部４１４に送信する。暗号キー統合／保持機能部４１４は、第１の実施形態と同様に、受信した暗号キー片５０５から暗号キーを生成するように試みる。暗号キー統合／保持機能部４１４は、試みの結果、暗号キーを生成できたか否かを示す所定の情報を暗号キー事前折衝処理機能部１００１に送信する。暗号キー事前折衝処理機能部１００１は、当該情報に基づいて、暗号キーが生成できたかどうかを示す情報を制御フレーム含める要求を生成し、当該要求を第１のフレーム読取機能部４０２に送信する。当該要求を受信した第１のフレーム読取機能部４０２は、暗号キーが生成できたかどうかを示す情報を含む制御フレームを生成し、当該制御フレームをフレーム方式に従ってユーザフレーム又は同期識別情報フレーム５０８に組み込む。同期識別情報付与機能部４０９は、フレーム暗号化機能部４０６及びフレーム複製機能部４０７を介して制御フレームが組み込まれたフレームを受信し、当該フレームに基づいて送信フレーム５０３を生成する。そして、同期識別情報付与機能部４０９は、送信ＦＩＦＯキュー４１０を介して、送信フレーム５０３を第１の無瞬断装置ＵＡ１に送信する。

　第１の無瞬断装置ＵＡ１は、受信した情報が暗号キー生成失敗を示す場合、再度、ＳＴ３に戻る（ＳＴ５）。具体的には、第１の無瞬断装置ＵＡ１の第２のフレーム読取機能部４１２は、第２の無瞬断装置ＵＡ２から送信された送信フレーム５０３を受信ＦＩＦＯキュー４１１を介して受信する。そして、第２のフレーム読取機能部４１２は、送信フレーム５０３内の制御フレームを読取る。そして、第２のフレーム読取機能部４１２は、読取った制御フレームをフレーム同期機能部４１３に送信する。フレーム同期機能部４１３は、制御フレームに含まれる暗号キーが生成できたかどうかを示す情報を確認する。確認の結果、当該情報が暗号キーを生成できていなかったことを示す場合、フレーム同期機能部４１３は、暗号キーが生成できていなかったことを示す所定の情報を生成し、当該情報を暗号キー事前折衝処理機能部１００１に送信する。暗号キー事前折衝処理機能部１００１は、所定の情報に基づいて再度暗号キー片５０５を送信フレーム５０３に含める要求を生成し、第１のフレーム読取機能部４０２に送信することになる。

　これに対して、第１の無瞬断装置ＵＡ１のフレーム同期機能部４１３による情報の確認の結果、当該情報が暗号キーを生成できたことを示す場合、フレーム同期機能部４１３は、暗号キーが生成できたことを示す所定の情報を生成し、当該情報を暗号キー事前折衝処理機能部１００１に送信する。その結果、暗号キー事前折衝処理機能部１００１は、暗号キーが第２の無瞬断装置ＵＡ２に記憶されたことを確認することができる。そして、第１の無瞬断装置ＵＡ１は、第１のユーザ装置ＵＥ１からのユーザデータの受信に応じてユーザフレームの暗号化を開始することができる。

　（作用効果）　
　以上に示した第３の実施形態によれば、暗号化開始時に受信側の無瞬断装置ＵＡは、暗号キーの統合する処理時間を考慮する必要が無くなる。そのため、受信側の無瞬断装置ＵＡでの情報転送遅延を低減することが可能になる。

　［他の実施形態］
　なお、この発明は上記実施形態に限定されるものではない。例えば、第２の実施形態と第３の実施形態を組み合わせることも可能である。この場合、先行暗号キーを使用してユーザフレームを暗号化する前のユーザフレームに対して、事前折衝によって受け渡された暗号キーを使用してユーザフレームを暗号化することが可能になる。

　また、事前折衝で使用するフレームは、専用フレーム又はＯＡＭフレームを使用しても良い。

　その他、等についても、この発明の要旨を逸脱しない範囲で種々変形して実施可能である。

　要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合わせてもよい。

　２０１…プロセッサ
　２０２…プログラムメモリ
　２０３…データメモリ
　２０４…通信インタフェース
　２０５…入出力インタフェース
　２０６…バス
　２０７…入力部
　２０８…表示部
　３０１…プロセッサ
　３０２…プログラムメモリ
　３０３…データメモリ
　３０４…通信インタフェース
　３０５…入出力インタフェース
　３０６…バス
　４０１…受信ＦＩＦＯキュー
　４０２…第１のフレーム読取機能部
　４０３…暗号化周期設定機能部
　４０４…ユーザフレーム数カウンタ機能部
　４０５…暗号キー生成／保持機能部
　４０６…フレーム暗号化機能部
　４０７…フレーム複製機能部
　４０８…暗号キー分割／保持機能部
　４０９…同期識別情報付与機能部
　４１０…送信ＦＩＦＯキュー
　４１１…受信ＦＩＦＯキュー
　４１２…第２のフレーム読取機能部
　４１３…フレーム同期機能部
　４１４…暗号キー統合／保持機能部
　４１５…フレーム選択機能部
　４１６…フレーム復号化機能部
　４１７…送信ＦＩＦＯキュー
　５０１…ユーザ情報フィールド
　５０２…同期識別情報フィールド
　５０３…送信フレーム
　５０４…同期識別情報
　５０５…暗号キー片
　５０６…識別情報
　５０７…ユーザフレーム
　５０８…同期識別情報フレーム
　８０１…先行暗号化周期設定機能部
　１００１…暗号キー事前折衝処理機能部
　Ｂｘ１，Ｂｘ２，Ｂｘ３…拠点
　ＩＦ１，ＩＦ２，ＩＦ３…インタフェース
　ＲＮＷ１，ＲＮＷ２…中継ネットワーク
　ＲＰ１，ＲＰ２…中継経路
　Ｒｘ１，Ｒｘ２，Ｒｘ３…受信部
　Ｓｅｔ１，Ｓｅｔ２，Ｓｅｔ３…設定情報
　Ｔｘ１，Ｔｘ２，Ｔｘ３…送信部
　ＵＡ１，ＵＡ２，ＵＡ３…無瞬断装置
　ＵＥ１，ＵＥ２，ＵＥ３…ユーザ装置

Claims

　ユーザ装置から受信した一連のユーザフレームを一意に識別するための識別情報を生成する識別情報生成機能部と、
　前記一連のユーザフレームを暗号キーを用いて暗号化するフレーム暗号化機能部と、
　複数の中継経路の数だけ前記暗号キーを暗号キー片に分割する暗号キー分割機能部と、
　前記暗号化されたユーザフレームを前記中継経路の数だけ複製するフレーム複製機能部と、
　埋め込み方式又は同期フレーム方式に従って、前記複製されたユーザフレーム、前記暗号キー片及び前記識別情報を含む複数の送信フレームを生成し、対応する中継経路に前記送信フレームを送信する送信機能部と、
　を備える、通信装置。
　前記複数の中継経路を介して送信された１つまたは複数の送信フレームを受信し、前記受信した１つまたは複数の送信フレーム中から前記識別情報を読取るフレーム読取部と、
　前記識別情報に基づいて、同一の識別情報を有する送信フレームが前記複数の中継経路の数分受信していることを識別するフレーム同期機能部と、
　前記識別された送信フレーム中に含まれる前記暗号キー片に基づいて暗号キーを生成し、保持する暗号キー統合／保持機能部と、
　前記保持された前記暗号キー及び前記読取った前記識別情報を用いて前記送信フレームに含まれる前記ユーザフレームを復号化するフレーム復号化機能部と、
　をさらに備える、請求項１に記載の通信装置。
　前記識別情報は、前記一連のユーザフレームを受信した数を示すカウント数であり、
　前記通信装置は、
　　前記一連のユーザフレームに前記暗号キーを使用する期間である暗号キー更新周期を決定する暗号化周期設定機能部と、
　　前記暗号キー更新周期及び前記カウント数に基づいて前記一連のユーザフレームを暗号化するための暗号キーを更新する暗号キー生成／保持機能部と、
をさらに備える、
　請求項１又は２に記載の通信装置。
　前記暗号キー更新周期は、１以上のユーザフレーム毎である、請求項３に記載の通信装置。
　前記暗号キー分割機能部は、前記暗号キー更新周期が設定された数だけ将来の送信フレームを暗号化するために使用する暗号キーを前記暗号キー片に分割する、請求項３に記載の通信装置。
　前記暗号キー分割／保持機能部は、前記一連のユーザフレームを送信する前に、前記一連のユーザフレームの内の前記１周期目の前記暗号キー更新周期で使用する暗号キーを、前記複数の中継経路の数だけ前記暗号キー片に分割し、
　前記送信機能部は、前記一連のユーザフレームを送信する前に、前記暗号キー片を含む送信フレームを生成し、対応する中継経路に前記送信フレームを送信する、
　請求項３乃至５のいずれか１項に記載の通信装置。
　ユーザ装置から受信した一連のユーザフレームを一意に識別するための識別情報を生成することと、
　前記一連のユーザフレームを暗号キーを用いて暗号化することと、
　複数の中継経路の数だけ前記暗号キーを暗号キー片に分割することと、
　前記暗号化されたユーザフレームを前記中継経路の数だけ複製することと、
　埋め込み方式又は同期フレーム方式に従って、前記複製されたユーザフレーム、前記暗号キー片及び前記識別情報を含む複数の送信フレームを生成し、対応する中継経路に前記送信フレームを送信することと、
　を備える、通信方法。
　請求項１乃至６のいずれか１項に記載の通信装置の前記各部としてプロセッサを機能させる通信プログラム。