WO2022208856A1

WO2022208856A1 - 通信システム、切替装置、切替方法、及びプログラム

Info

Publication number: WO2022208856A1
Application number: PCT/JP2021/014230
Authority: WO
Inventors: 将浩白石; 弘樹長山; 知暁鷲尾; 麻美宮島
Original assignee: 日本電信電話株式会社
Priority date: 2021-04-01
Filing date: 2021-04-01
Publication date: 2022-10-06
Also published as: US20240187428A1; JPWO2022208856A1

Abstract

ブローカレス型の出版／購読型モデルにより複数のノード間で通信を行う通信システムにおいて、１以上の前記ノード上で冗長化された１以上のアプリケーションであって、出版側として機能する１以上のアプリケーションのうち、購読側で優先的に扱われる一のアプリケーションから不正なデータが配信されていることを検知し、前記不正なデータの配信が検知された場合、前記購読側で優先的に扱われるアプリケーションを、前記１以上のアプリケーションのうち、前記一のアプリケーションとは異なる他のアプリケーションに切り替える。

Description

通信システム、切替装置、切替方法、及びプログラム

　本発明は、不正データの発生に応じてＳｕｂ側で優先的に扱うＰｕｂを切り替える技術に関する。

　近年、スマートファクトリーの実現に向け、情報ＮＷ（ネットワーク）上の機器とコントロールＮＷ上の機器とを繋ぐことから進められている。今後、機器の相互接続、１対多、多対１の通信を軽量・柔軟に行う通信モデルの普及が想定される。

　上記のような軽量・柔軟に行う通信モデルとしてＰｕｂｌｉｓｈ／Ｓｕｂｓｃｒｉｂｅ通信（以降、Ｐｕｂ／Ｓｕｂ通信）モデルが提案されている。Ｐｕｂ／Ｓｕｂ通信では、ｅｖｅｎｔと呼ばれるメッセージを作成して送信（配信）する側のクライアントであるＰｕｂｌｉｓｈｅｒと、メッセージを受信（購読）する側のクライアントであるＳｕｂｓｃｒｉｂｅｒが存在する。

　Ｐｕｂ／Ｓｕｂ通信には、「空間的分離」、「時間的分離」、「非同期処理」という３つの性質がある。「空間的分離」により、ＰｕｂｌｉｓｈｅｒとＳｕｂｓｃｒｉｂｅｒは互いの存在を知る必要がない。「時間的分離」により、ＰｕｂｌｉｓｈｅｒとＳｕｂｓｃｒｉｂｅｒが同時にネットワーク上に存在しなくてもデータの送受信が可能である。また、「非同期処理」により、ｅｖｅｎｔの送信、受信はＰｕｂｌｉｓｈｅｒもしくはＳｕｂｓｃｒｉｂｅｒのその他の処理と非同期で処理することができる。

　Ｐｕｂ／Ｓｕｂ通信モデルには、ブローカ型とブローカレス型がある。ブローカ型の構成は、空間的分離、時間的分離、及び非同期処理の性質を担うブローカと呼ばれる機能をＰｕｂとＳｕｂの間に配置した構成である。ブローカレス型の構成は、全てのノード（ＰｕｂとＳｕｂ）が空間的分離、時間的分離、及び非同期処理の性質を担う機能を持った分散構成である。各ノードに、ＤＤＳ（Ｄａｔａ　Ｄｉｓｔｒｉｂｕｔｉｏｎ　Ｓｅｒｖｉｃｅ）と呼ばれる機能を配備することで、上記のブローカレス型の構成を実現することができる。なお、Ｐｕｂ／Ｓｕｂ通信モデルは出版／購読型モデルとも呼ばれる。

What's in the DDS Standard, インターネット＜ＵＲＬ：https://www.dds-foundation.org/omg-dds-standard/＞

　ＤＤＳを用いたＰｕｂ／Ｓｕｂ通信を行う通信システムでは、ＤＤＳの基本的な機能によりＰｕｂを冗長化することが可能であり、例えば、冗長化構成の複数のＰｕｂのうちいずれのＰｕｂを優先的なＰｕｂ（以降、優先Ｐｕｂ）と扱うかを自動で切り替えることができる。

　しかしながら、上記の切り替えは、優先Ｐｕｂに故障などが発生し、Ｓｕｂとの通信が無くなった場合に行われる。このため、ＤＤＳの基本的な機能では、例えば、不正な目的を有する第三者に優先Ｐｕｂが乗っ取られ、不正な内容のデータ（例えば、Ｓｕｂに対する攻撃を目的とするデータなど）を送信しているような場合には優先Ｐｕｂを自動で切り替えることができない。

　本発明は上記の点に鑑みてなされたものであり、Ｐｕｂ／Ｓｕｂ通信を行う通信システムにおいて、不正データの発生に応じてＳｕｂ側で優先的に扱うＰｕｂを切り替える技術を提供することを目的とする。

　開示の技術によれば、ブローカレス型の出版／購読型モデルにより複数のノード間で通信を行う通信システムであって、
　１以上の前記ノード上で冗長化された１以上のアプリケーションであって、出版側として機能する１以上のアプリケーションのうち、購読側で優先的に扱われる一のアプリケーションから不正なデータが配信されていることを検知する不正データ発生検知部と、
　前記不正なデータの配信が検知された場合、前記購読側で優先的に扱われるアプリケーションを、前記１以上のアプリケーションのうち、前記一のアプリケーションとは異なる他のアプリケーションに切り替える切替部と、
　を有する通信システムが提供される。

　開示の技術によれば、Ｐｕｂ／Ｓｕｂ通信を行う通信システムにおいて、不正データの発生に応じてＳｕｂ側で優先的に扱うＰｕｂを切り替えることを可能とする技術が提供される。

ＤＤＳを用いたＰｕｂ／Ｓｕｂ通信を説明するための図である。ＤＤＳが組み込まれるシステム構成例を示す図である。複数ノードを有するシステムの構成例を示す図である。実施例の概要を説明するための図である。実施例におけるシステム構成例を示す図である。構成管理を説明するための図である。実施例における検知部の構成例を示す図である。実施例における構成管理部の構成例を示す図である。実施例における対処部の構成例を示す図である。実施例におけるＤＤＳ操作機能部の構成例を示す図である。実施例における処理フローを示す図である。装置のハードウェア構成例を示す図である。

　以下、図面を参照して本発明の実施の形態（本実施の形態）を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。

　以下で説明する実施形態では、本発明を、ＤＤＳを用いたＰｕｂ／Ｓｕｂ通信を行う通信システムに適用する例を説明するが、本発明は、ＤＤＳを用いたＰｕｂ／Ｓｕｂ通信に限らずに適用可能である。

　（ＤＤＳを用いたＰｕｂ／Ｓｕｂ通信について）
　まず、本実施の形態の前提となるＤＤＳ、及びＤＤＳを用いたＰｕｂ／Ｓｕｂ通信について説明する。

　本実施の形態では、前述したブローカレス型の構成を採用しており、ＤＤＳが、ブローカに相当する機能を担うことにより、ブローカレス型を実現している。

　ここで、ＤＤＳにおける配送範囲管理について説明する。ＤＤＳではノードが持つＮＷ　Ｉ／Ｆに配送用ＮＷを追加する。利用者が設定した配送範囲はこの配送用ＮＷとＤＤＳ内部のフィルタにより動作し、Ｐｕｂ又はＳｕｂとして機能するアプリケーションに適切なデータの送受信を可能にする。

　具体的には、データバスと利用者が設定する配送範囲をもとに、ＤＤＳではノードの中で利用できるＮＷ　Ｉ／Ｆにマルチキャストアドレスを付与し、配送用ＮＷを整備する。配送範囲指定時にノードが既存で持つＩＰアドレスを利用したユニキャストで配信するか、新たに付与したマルチキャストアドレスを活用するかについても設定でき、物理的なデータ流通範囲を定めることを可能にしている。

　図１に配送範囲の一例を示す。図１の例では、配送範囲として、ドメインＡとドメインＢが設定されている。また、ドメインＡ内において、トピック［い］についての配送範囲とトピック［ろ］についての配送範囲が設定されている。また、トピック［い］の配送範囲内において、キー［ＩＩ］の配送範囲が設定されている。

　（ＤＤＳが組み込まれるシステム構成例について）
　ＤＤＳは、ノード（コンピュータ、通信装置などと呼んでもよい）においてミドルウェアとして機能するプログラムである。ＤＤＳにおける通信に必要な大元となる処理プログラムはライブラリとして用意されている。アプリケーション（「ＡＰＰ」と記述する）が送信するデータの定義（型、サイズ、名称、ＱｏＳ、など）をパラメータとして有する通信プログラム生成用データ定義ファイルから、このライブラリを利用することで、ＤＤＳのプログラムを生成することができる。ＤＤＳの生成自体は既存技術である。

　図２は、ＤＤＳが組み込まれるシステム構成例を示す図である。図２は、物理的には、センサや制御バルブが接続された複数のノード（コンピュータ）が、論理的なバス型のネットワークに接続された構成を示している。

　ノード１、２にはそれぞれセンサが接続されており、Ｐｕｂｌｉｓｈするデータを生成するＡＰＰと、ＤＤＳが搭載されている。ノード２、３にはそれぞれ制御バルブが接続されており、Ｓｕｂｓｃｒｉｂｅしたデータを活用するＡＰＰと、ＤＤＳが搭載されている。

　図２の例は、ＤＤＳにより、冗長化ＱｏＳ設定のあるＰｕｂ／Ｓｕｂ構成を実現した例を示している。具体的には、ノード１のＤＤＳにより主Ｐｕｂと副１Ｐｕｂが構成され、ノード２のＤＤＳにより副２Ｐｕｂが構成されている。また、ノード３のＤＤＳにより第１Ｓｕｂと第２Ｓｕｂが構成され、ノード４のＤＤＳにより第３Ｓｕｂが構成されている。

　なお、図２の例では、ＡＰＰがｐｙｔｈｏｎで記述され、ＤＤＳがＣ＋＋で記述されている例を示しているが、これらは一例であり、どのようなプログラミング言語で記述されていてもよい。また、Ｐｕｂ／Ｓｕｂ構成の変更をする場合、ＱｏＳなど一部動的に変更できるものと、プロセスの再起動（プログラムの修正を含む）を必要とするものとがある。

　以下、本実施の形態に係る技術の一例として、実施例について説明する。

　（本実施例においてベースとなるシステム構成例）
　次に、本実施例においてベースとなる通信システムの例について説明する。本実施例においてベースとなる通信システムでは、１つのノードは複数のドメインに所属してよい。また、１つのノードに複数のＰｕｂ／Ｓｕｂが存在してよい。なお、ここでのＰｕｂとはＰｕｂｌｉｓｈするデータを生成するアプリケーションであり、ＳｕｂとはＳｕｂｓｃｒｉｂｅしたデータを活用するアプリケーションである。Ｐｕｂ／Ｓｕｂ通信に係る機能はＤＤＳが担う。

　また、１つのノードにＰｕｂ／Ｓｕｂの両方が存在してもよく、１つのノードに複数のドメインに跨るＰｕｂ／Ｓｕｂが存在してもよい。また、１つのＡＰＰに複数のＰｕｂ又は複数のＳｕｂが存在してもよい。また、同一ＡＰＰにおける各Ｐｕｂ、各Ｓｕｂは識別可能である。また、本実施例における通信システムでは、通信は平文である。

　図３に、本実施例においてベースとなる通信システムの構成例を示す。図３に示すように、この通信システムは、ノード１０～１８、Ｌ２ＳＷ（レイヤ２スイッチ）２０、２１、Ｌ３ＳＷ（レイヤ３スイッチ）３０、パケット分析装置４０、検知部５０を有する。

　図３の例において、ノード１０、１１、１２、１５、１６、１７はドメインＤ１に属し、ノード１２、１３、１７、１８はドメインＤ２に属している。例えば、ノード１０の「ＤＤＳ＿Ｄ１」のＤ１のように、そのノードが属するドメインが示されている。ノード１２とノード１７は、ドメインＤ１とドメインＤ２の両方に属している。

　例えば、ノード１０において、「Ｐｕｂ１（ＡＰＰい）」は、トピック［い］のデータをＰｕｂｌｉｓｈするアプリケーションであり、Ｐｕｂ／Ｓｕｂ通信においてＰｕｂ１（Ｐｕｂｌｉｓｈｅｒ１）として機能する。ノード１０において、Ｐｕｂ１（ＡＰＰい）とＰｕｂ２（ＡＰＰい）として、２つのＰｕｂが存在する。これは、ＡＰＰとしては１つであるが、ＤＤＳの機能により、２つのＰｕｂとして機能することを示している。ノード１５において示されるように、Ｓｕｂについても同様である。

　また、ノード１１は、Ｐｕｂ３とＳｕｂ４として、ＰｕｂとＳｕｂの両方を備えている。ノード１２、１４には複数のＰｕｂとして機能する複数のＡＰＰが存在し、ノード１７、１８には複数のＳｕｂとして機能する複数のＡＰＰが存在する。

　また、図３に示す通信システムにおいては、Ｐｕｂ１（ＡＰＰい）～Ｐｕｂ４（ＡＰＰい）が存在し、「ＡＰＰい」のＰｕｂが冗長化されている。同様に、Ｐｕｂ５（ＡＰＰろ）～Ｐｕｂ６（ＡＰＰろ）が存在し、「ＡＰＰろ」のＰｕｂも冗長化されている。

　また、Ｌ３ＳＷ３０の先にはインターネット５５が接続されており、各ノードはインターネット５５と通信することが可能である。また、Ｌ２ＳＷ２０、２１には、パケット分析装置４０が接続されており、パケット分析結果に基づいて、検知部５０が異常検知を行うことが可能である。

　（本実施例の概要）
　例えば、或るトピックに関して、第１Ｐｕｂ、第２Ｐｕｂ、第３Ｐｕｂの３つで冗長化されており、第１Ｓｕｂ～第３Ｓｕｂの各Ｓｕｂが第１Ｐｕｂを優先Ｐｕｂと扱っている場合を考える。この場合、各Ｓｕｂには第１Ｐｕｂ～第３Ｐｕｂの各々からデータが配信されるが、第１Ｐｕｂから配信されたデータのみがＳｕｂ側のＡＰＰに渡される。

　ＤＤＳの基本的な機能では第１Ｐｕｂに故障などが発生した場合、各Ｓｕｂは、優先Ｐｕｂを第２Ｐｕｂ又は第３Ｐｕｂに切り替えることができる。しかしながら、上述したように、例えば、第１Ｐｕｂが第三者に乗っ取られ、不正な内容のデータ（例えば、Ｓｕｂに対する攻撃を目的とするデータなど）を送信しているような場合には、ＤＤＳの基本的な機能では優先Ｐｕｂを第２Ｐｕｂ又は第３Ｐｕｂに切り替えることができない。

　本実施例では、優先Ｐｕｂが不正な内容のデータ（以降、不正データ）を送信しているような場合に、優先Ｐｕｂを切り替えることができる仕組みが提供される。図４に、この仕組みの概要を示す。図４の例では、優先Ｐｕｂである第１Ｐｕｂがサイバー攻撃により乗っ取られ、不正データを送信している場合に、優先Ｐｕｂを第３Ｐｕｂに切り替える様子を表している。この切り替えにより、各Ｓｕｂでは第３Ｐｕｂから配信されたデータがＡＰＰに渡されるようになる。

　（本実施例におけるシステム構成例）
　図５に、本実施例における通信システムの構成例を示す。図５に示すように、図３に示したベースとなる通信システムに対して、各ノードにＤＤＳ操作機能部が備えられ、また、構成管理部６０、対処部７０を有する。ＤＤＳ操作機能部は対処部７０からの指示に応じて優先Ｐｕｂを切り替える機能を実現する。図５では、ノード１０～１８がそれぞれＤＤＳ操作機能部１０１～１０９を備えている例を示している。以降、ノードを区別しない場合は、ＤＤＳ操作機能部１００と表記する。

　構成管理部６０は通信システムの構成情報（ＮＷ構成情報）を管理し、対処部７０は検知部５０による不正データの検知に応じて優先Ｐｕｂを切り替えるための処理を実行する。このとき、対処部７０は、構成情報を利用して、冗長化されているＰｕｂのうちのどのＰｕｂを優先Ｐｕｂとするかを決定する。なお、検知部５０、構成管理部６０、対処部７０はパケット分析装置４０が有していてもよいし、パケット分析装置４０とは異なる装置が有していてもよい。本実施例では、パケット分析装置４０が検知部５０、構成管理部６０、対処部７０を有しているものとする。

　（構成管理について）
　構成管理部６０では通信システムの構成情報が管理されている必要がある。このような構成情報な任意の方法で作成及び管理されればよいが、本実施例では、ノード間を流れる通信（トラヒック）から作成できる複数の関係性情報を組み合わせることで、構成情報を作成及び管理するものとする。

　関係性情報としては、ＮＷの水平軸のトポロジを表す「ＩＰ関係レイヤ」、「参加者関係レイヤ」、「Ｐｕｂ／Ｓｕｂ関係レイヤ」の３つを作成する。ＩＰ関係レイヤと参加者関係レイヤが関連付けられ、参加者関係レイヤとＰｕｂ／Ｓｕｂ関係レイヤが関連付けられるため、結局３つの全てのレイヤが関連付けられることなり、これら３つのレイヤを合成することで、ＮＷの垂直軸のトポロジを表す「合成レイヤ」が得られる。この合成レイヤを複数世代分保持することで、構成情報が管理される。なお、世代とは、例えば、或る時間区切り、イベントの区切りなどで分けた区分を指す。ただし、複数世代分保持することは必須ではなく、例えば、最新の１世代分のみを保持してもよい。

　図６に、ＩＰ関係レイヤ、参加者関係レイヤ、Ｐｕｂ／Ｓｕｂ関係レイヤ、合成レイヤの一例を示す。図６に示すように、ＩＰ関係レイヤはＩＰアドレスを頂点、ＩＰレベルのデータの送受信関係を枝とするグラフ構造で表される。ＩＰ関係レイヤにおいて、頂点間に枝がある場合はその頂点が表すＩＰアドレスを持つノード間でデータの送受信関係があることを表している。なお、１つのノードが複数のＩＰアドレスを持つことがある（例えば、ユニキャスト用のＩＰアドレスに加えて、マルチキャスト用のＩＰアドレスを持つことがある。）。参加者関係レイヤはノードが持つＧＵＩＤを１つの記号（三角形又は逆三角形の記号）で表しており、各記号は各ＧＵＩＤが属するドメインとＰｕｂ又はＳｕｂのいずれであるかを表している。Ｐｕｂ／Ｓｕｂ関係レイヤはノードが持つＧＵＩＤを頂点、同一トピックに属するか否かの関係を枝としており、各ＧＵＩＤが属するトピックの関係性を表している。なお、参加者関係レイヤも上記の記号（三角形又は逆三角形の記号）を頂点とするグラフ構造で表される。図６の例では参加者関係レイヤを表すグラフ構造には枝がないが、例えば、同一ドメインに属する頂点同士を枝で繋いで表現されてもよい。

　Ｐｕｂ／Ｓｕｂ関係レイヤはデータ配信としての通信から取得される情報で作成可能であり、参加者関係レイヤはＤＤＳ動作用通信から取得される情報で作成可能である。一方で、ＩＰ関係レイヤはデータ配信としての通信とＤＤＳ動作用通信の両方から取得される情報で作成可能である。なお、ＤＤＳ動作用通信とは、ノードがＰｕｂ／Ｓｕｂ通信に参加するときに行う通信、他のノードを探索するときに行う通信、配信内容を合意するときに行う通信などのことである。

　ＩＰ関係レイヤにおいて、１つの頂点には、ノードが持つＩＰアドレスを含む５タプル（ｓｒｃ／ｄｓｔ　ＩＰアドレス、ｓｒｃ／ｄｓｔ　ｐｏｒｔ番号、ｐｒｏｔｏｃｏｌ番号）が対応付けられている。参加者関係レイヤにおいては、１つの記号（三角形又は逆三角形の記号）にはＧＵＩＤとｐｏｒｔ番号が対応付けられている。Ｐｕｂ／Ｓｕｂ関係レイヤにおいては、１つの頂点にはＧＵＩＤとトピック名が対応付けられている。ＧＵＩＤとはＤＤＳで利用される識別子であり、ＩＰアドレスやｐｏｒｔ番号等から生成される。なお、１つのノードが複数のＧＵＩＤを持つことがある（例えば、１つのノードがＰｕｂとＳｕｂの両方として機能する場合、１つのノードが複数のドメインや複数のトピックに属する場合など）。

　したがって、ＩＰ関係レイヤと参加者関係レイヤをｐｏｒｔ番号で関連付けることが可能であり、参加者関係レイヤとＰｕｂ／Ｓｕｂ関係レイヤをＧＵＩＤで関連付けることが可能である。これらの関連付けにより３つのレイヤを合成することで、Ｐｕｂ／Ｓｕｂ通信を行う通信システムのＮＷ構成情報として合成レイヤが得られる。この合成レイヤは、例えば、複数世代分保持される。

　ここで、合成レイヤにおいて、ある１つのノードに着目した場合、このノードにはＩＰ関係レイヤの１以上の頂点（ＩＰアドレスを含む５タプル）が対応し、これら１以上の頂点の各々に対して参加者関係レイヤの１以上の頂点（ｐｏｒｔ番号及びＧＵＩＤ）が関連付けられる。また、参加者関係レイヤの１以上の頂点の各々に対して、Ｐｕｂ／Ｓｕｂ関係レイヤの０以上の頂点（ＧＵＩＤ及びトピック名）が関連付けられる。すなわち、合成レイヤでは、各ノードに対して、当該ノードを頂点とするツリー構造（最上位の階層をＩＰアドレス、次の階層をｐｏｒｔ番号、その次の階層をＧＵＩＤ、最後の階層をトピック名とするツリー構造）が得られ、このツリー構造が垂直軸トポロジを表す。

　（本実施例における各部の構成例）
　本実施例では、上記の構成情報を利用して、優先Ｐｕｂが不正データを送信しているような場合に、優先Ｐｕｂを切り替えることができる仕組みが提供される。

　図７は、検知部５０の構成例を示す。図７に示すように、検知部５０は、不正データ発生検知部５１０を有する。不正データ発生検知部５１０の動作については、後述するシーケンスのところで説明される。

　図８は、構成管理部６０の構成例を示す。図８に示すように、構成管理部６０は、少なくとも１世代の構成情報（ＩＰ関係レイヤ、参加者関係レイヤ、Ｐｕｂ／Ｓｕｂ関係レイヤ、合成レイヤ）が記録された関係性記録部６１０を有する。なお、構成情報は、予め作成され、関係性記録部６１０に記録されているものとする。

　図９は、対処部７０の構成例を示す。図９に示すように、対処部７０は、切替候補選定部７１０、切替指示出力部７２０、切替候補選定条件記録部７３０を有する。これら各部の動作などについては、後述するシーケンスのところで説明される。

　図１０は、ＤＤＳ操作機能部１００の構成例を示す。図１０に示すように、ＤＤＳ操作機能部１００は、切替部１１０を有する。切替部１１０の動作については、後述するシーケンスのところで説明される。

　本実施例では、上記の各部により、不正データの発生を検知し、この検知に応じてＳｕｂ側で優先的に扱うＰｕｂを切り替える。

　（本実施例のシーケンス例）
　次に、図１１のシーケンス図を参照して、本実施例における通信システムの動作例について説明する。

　不正データ発生検知部５１０は、通信システムにおける不正データの発生とその発生箇所（つまり、当該不正データを送信したＰｕｂ）を検知する（Ｓ１０１）。不正データとは不正な内容のデータ（つまり、本来、意図しない内容のデータ）のことである。不正データとしては、例えば、悪意ある第三者によって乗っ取られたＰｕｂによって送信される、Ｓｕｂに対する攻撃を目的とするデータ、Ｐｕｂ側ＡＰＰで本来送信し得ない範囲の数値データ、Ｓｕｂ側ＡＰＰで受信しても正常に認識し得ない内容のデータなどが挙げられる。このような不正データの発生とその発生箇所の検知は既存の技術により行われる。

　不正データ発生検知部５１０は、不正データの発生箇所（つまり、当該不正データを送信したＰｕｂ）を切替候補選定部７１０に通知する（Ｓ１０２）。切替候補選定部７１０は、この発生箇所に基づいて、切替候補選定条件記録部７３０から切替条件を検索し、その検索結果として該当の切替条件を取得する（Ｓ１０３～Ｓ１０４）。

　ここで、切替候補選定条件記録部７３０には、不正データを送信しているＰｕｂを、冗長化構成の中の他のＰｕｂに切り替えるための切替条件が記録されている。このような切替条件は、例えば、Ｐｕｂ毎に記録されていてもよいし、ドメインやトピック毎に記録されていてもよい、その他の情報（例えば、ＧＵＩＤなど）毎に記録されていてもよい。

　切替条件は様々に考えられるが、例えば、以下のようなものが考えられる。

　・冗長化構成の中の他のＰｕｂのうち、予め切替対象として指定されたＰｕｂに切り替える。なお、この切替条件を用いる場合、後述するＳ１０５～Ｓ１０７の処理は実行不要である。

　・冗長化構成の中の他のＰｕｂのうち、不正データを送信しているＰｕｂとは異なるノード上のＰｕｂに切り替える。

　・冗長化構成の中の他のＰｕｂのうち、不正データを送信しているＰｕｂとは異なるノード上かつ最も配信データが少ないノード上のＰｕｂに切り替える。

　ただし、上記の切替条件は一例であって、冗長化構成の中の他のＰｕｂに切り替えるための条件であれば様々な条件を採用することが可能である。

　次に、切替候補選定部７１０は、関係性記録部６１０に記録されている構成情報を用いて切替候補のＰｕｂを検索し、その検索結果を表示する（Ｓ１０５～Ｓ１０６）。ここで、切替候補のＰｕｂは、不正データを送信しているＰｕｂと同一トピックのデータを配信するＰｕｂ（つまり、冗長化されている他のＰｕｂ）うち、上記の切替条件を満たすＰｕｂを検索すればよい。ここでは、このような切替条件を満たすＰｕｂが１つ以上検索されたものとする。

　次に、切替候補選定部７１０は、上記で検索された１以上のＰｕｂの中から切替先のＰｕｂを決定する（Ｓ１０７）。これは、上記で検索された１以上のＰｕｂの中からランダムに決定してもよいし、何等かの基準（例えば、冗長化構成のＰｕｂの中で予め決められた順番など）を用いて決定してもよい。

　続いて、切替候補選定部７１０は、上記で決定した切替先Ｐｕｂを優先Ｐｕｂとするためのコマンド生成指示を切替指示出力部７２０に送信する（Ｓ１０８）。切替指示出力部７２０は、当該コマンド生成指示を受信すると、上記のＳ１０７で決定された切替先Ｐｕｂを優先Ｐｕｂとするためのコマンド（以降、切替用コマンド）を生成し、切替部１１０に送信する（Ｓ１０９）。なお、切替候補選定部７１０は、切替先Ｐｕｂと、この切替先Ｐｕｂからのデータを受信するＳｕｂの両方の切替部１１０に対して切替用コマンドを送信する。ただし、切替先Ｐｕｂとこの切替先Ｐｕｂからのデータを受信するＳｕｂとでは、切替用コマンドの内容が異なっていてもよい。

　そして、切替部１１０は、上記の切替用コマンドを受信すると、ＤＤＳへ切替用コマンドを実行する（Ｓ１１０）。なお、このとき、必要に応じてプロセスの再起動なども行う。これにより、不正データを送信しているＰｕｂから上記の切替先Ｐｕｂへ優先Ｐｕｂが切り替わる。

　ここで、上記の切替先Ｐｕｂを優先Ｐｕｂとする具体的方法はいくつか考えられるが、例えば、以下の（１）～（３）のいずれかの方法が考えられる。

　（１）切替先ＰｕｂのＯＷＮＥＲＳＨＩＰ＿ＳＴＲＥＮＧＴＨの値を、現在の優先Ｐｕｂよりも高い値に設定する。

　（２）切替候補のＰｕｂと、現在の優先Ｐｕｂから送信されたデータを受信している全てのＳｕｂとに対して、現在のプロセスを停止し、Ｏｗｎｅｒｓｈｉｐの設定をＥｘｃｌｕｓｉｖｅからＳｈａｒｅｄに変更したプログラムを実行するように指示する。

　（３）切替候補のＰｕｂと、現在の優先Ｐｕｂから送信されたデータを受信している全てのＳｕｂとに対して、不正データの発生検知時に利用していたトピック名の配信・受信を停止し、切替候補のトピック名に変更してプログラムを実行するように指示する。このとき、切替候補を唯一の配信先として認識させるために、キー情報を更に設定してもよい。

　なお、上記の（１）の方法は不正データの発生検知に対して迅速な対処が可能である一方で、不正データを送信しているＰｕｂのＯＷＮＥＲＳＨＩＰ＿ＳＴＲＥＮＧＴＨの値がより高い値に設定された場合、再度Ｓｕｂが不正データを受信してしまう恐れがある。これに対して、上記の（２）及び（３）の方法は迅速性が上記の（１）よりも劣る一方で、対処後は、再度Ｓｕｂが不正データを受信してしまう事態はない。このため、上記の（１）～（３）の方法のいずれを採用するかは対処の迅速性等を考慮して適宜決定すればよい。又は、例えば、暫定的に（１）の方法で対処を行った後に、（２）又は（３）の方法で対処を行うようにしてもよい。

　（ハードウェア構成例）
　本実施の形態におけるＤＤＳ操作機能部１００を有するノードと、検知部５０、構成管理部６０及び対処部７０を有するパケット分析装置４０は、例えば、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現することができる。

　上記プログラムは、コンピュータが読み取り可能な記録媒体（可搬メモリ等）に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メール等、ネットワークを通して提供することも可能である。

　図１２は、上記コンピュータのハードウェア構成例を示す図である。図１２のコンピュータは、それぞれバスＢで相互に接続されているドライブ装置１０００、補助記憶装置１００２、メモリ装置１００３、ＣＰＵ１００４、インタフェース装置１００５、表示装置１００６、入力装置１００７、出力装置１００８などを有する。

　当該コンピュータでの処理を実現するプログラムは、例えば、ＣＤ－ＲＯＭ又はメモリカード等の記録媒体１００１によって提供される。プログラムを記憶した記録媒体１００１がドライブ装置１０００にセットされると、プログラムが記録媒体１００１からドライブ装置１０００を介して補助記憶装置１００２にインストールされる。但し、プログラムのインストールは必ずしも記録媒体１００１より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置１００２は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。

　メモリ装置１００３は、プログラムの起動指示があった場合に、補助記憶装置１００２からプログラムを読み出して格納する。ＣＰＵ１００４は、メモリ装置１００３に格納されたプログラムに従って、上記の各部に係る機能を実現する。インタフェース装置１００５は、ネットワークに接続するためのインタフェースとして用いられる。表示装置１００６はプログラムによるＧＵＩ（Ｇｒａｐｈｉｃａｌ　Ｕｓｅｒ　Ｉｎｔｅｒｆａｃｅ）などを表示する。入力装置１００７はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。出力装置１００８は演算結果を出力する。なお、ノード又はパケット分析装置４０において、表示装置１００６、入力装置１００７のいずれか又は両方を備えないこととしてもよい。

　（実施の形態の効果）
　本実施の形態に係る技術によれば、不正データの発生に応じてＳｕｂ側で優先的に扱うＰｕｂを切り替えることが可能となる。

　（実施の形態のまとめ）
　本明細書には、少なくとも下記各項の通信システム、切替装置、切替方法、及びプログラムが開示されている。
（第１項）
　ブローカレス型の出版／購読型モデルにより複数のノード間で通信を行う通信システムであって、
　１以上の前記ノード上で冗長化された１以上のアプリケーションであって、出版側として機能する１以上のアプリケーションのうち、購読側で優先的に扱われる一のアプリケーションから不正なデータが配信されていることを検知する不正データ発生検知部と、
　前記不正なデータの配信が検知された場合、前記購読側で優先的に扱われるアプリケーションを、前記１以上のアプリケーションのうち、前記一のアプリケーションとは異なる他のアプリケーションに切り替える切替部と、
　を有する通信システム。
（第２項）
　所定の切替条件と、前記通信システムのネットワーク構成を表す構成情報とに基づいて、前記購読側で優先的に扱われる前記他のアプリケーションを決定する決定部を有し、
　前記切替部は、
　前記不正なデータの配信が検知された場合、前記購読側で優先的に扱われるアプリケーションを、前記決定部で決定された前記他のアプリケーションに切り替える、第１項に記載の通信システム。
（第３項）
　前記切替条件は、
　前記１以上のアプリケーションのうち、前記一のアプリケーションとは異なるノード上のアプリケーションを、前記購読側で優先的に扱われるアプリケーションとすることを示す条件、又は、前記１以上のアプリケーションのうち、前記一のアプリケーションとは異なるノード上かつ最も配信データが少ないノード上のアプリケーションを、前記購読側で優先的に扱われるアプリケーションとすることを示す条件、である、第２項に記載の通信システム。
（第４項）
　ブローカレス型の出版／購読型モデルにより通信を行う複数のノードと接続される切替装置であって、
　１以上の前記ノード上で冗長化された１以上のアプリケーションであって、出版側として機能する１以上のアプリケーションのうち、購読側で優先的に扱われる一のアプリケーションから不正なデータが配信されていることを検知する不正データ発生検知部と、
　前記不正なデータの配信が検知された場合、前記購読側で優先的に扱われるアプリケーションを、前記１以上のアプリケーションのうち、前記一のアプリケーションとは異なる他のアプリケーションに切り替えるための指示を送信する切替指示部と、
　を有する切替装置。
（第５項）
　所定の切替条件と、前記複数のノードで構成される通信システムのネットワーク構成を表す構成情報とに基づいて、前記購読側で優先的に扱われる前記他のアプリケーションを決定する決定部を有し、
　前記切替指示部は、
　前記不正なデータの配信が検知された場合、前記購読側で優先的に扱われるアプリケーションを、前記決定部で決定された前記他のアプリケーションに切り替えるための指示を送信する、第４項に記載の切替装置。
（第６項）
　前記切替条件は、
　前記１以上のアプリケーションのうち、前記一のアプリケーションとは異なるノード上のアプリケーションを、前記購読側で優先的に扱われるアプリケーションとすることを示す条件、又は、前記１以上のアプリケーションのうち、前記一のアプリケーションとは異なるノード上かつ最も配信データが少ないノード上のアプリケーションを、前記購読側で優先的に扱われるアプリケーションとすることを示す条件、である、第５項に記載の切替装置。
（第７項）
　ブローカレス型の出版／購読型モデルにより通信を行う複数のノードと接続される切替装置が、
　１以上の前記ノード上で冗長化された１以上のアプリケーションであって、出版側として機能する１以上のアプリケーションのうち、購読側で優先的に扱われる一のアプリケーションから不正なデータが配信されていることを検知する不正データ発生検知手順と、
　前記不正なデータの配信が検知された場合、前記購読側で優先的に扱われるアプリケーションを、前記１以上のアプリケーションのうち、前記一のアプリケーションとは異なる他のアプリケーションに切り替えるための指示を送信する切替指示手順と、
　を実行する切替方法。
（第８項）
　コンピュータを、第４項乃至第６項の何れか一項に記載の切替装置として機能させるプログラム。

　以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。

１０～１８　ノード
２０、２１　Ｌ２ＳＷ
３０　Ｌ３ＳＷ
４０　パケット分析装置
５０　検知部
５５　インターネット
６０　構成管理部
７０　対処部
１００　ＤＤＳ操作機能部
１１０　切替部
５１０　不正データ発生検知部
６１０　関係性記録部
７１０　切替候補選定部
７２０　切替指示出力部
７３０　切替候補選定条件記録部
１０００　ドライブ装置
１００１　記録媒体
１００２　補助記憶装置
１００３　メモリ装置
１００４　ＣＰＵ
１００５　インタフェース装置
１００６　表示装置
１００７　入力装置
１００８　出力装置

Claims

　ブローカレス型の出版／購読型モデルにより複数のノード間で通信を行う通信システムであって、
　１以上の前記ノード上で冗長化された１以上のアプリケーションであって、出版側として機能する１以上のアプリケーションのうち、購読側で優先的に扱われる一のアプリケーションから不正なデータが配信されていることを検知する不正データ発生検知部と、
　前記不正なデータの配信が検知された場合、前記購読側で優先的に扱われるアプリケーションを、前記１以上のアプリケーションのうち、前記一のアプリケーションとは異なる他のアプリケーションに切り替える切替部と、
　を有する通信システム。
　所定の切替条件と、前記通信システムのネットワーク構成を表す構成情報とに基づいて、前記購読側で優先的に扱われる前記他のアプリケーションを決定する決定部を有し、
　前記切替部は、
　前記不正なデータの配信が検知された場合、前記購読側で優先的に扱われるアプリケーションを、前記決定部で決定された前記他のアプリケーションに切り替える、請求項１に記載の通信システム。
　前記切替条件は、
　前記１以上のアプリケーションのうち、前記一のアプリケーションとは異なるノード上のアプリケーションを、前記購読側で優先的に扱われるアプリケーションとすることを示す条件、又は、前記１以上のアプリケーションのうち、前記一のアプリケーションとは異なるノード上かつ最も配信データが少ないノード上のアプリケーションを、前記購読側で優先的に扱われるアプリケーションとすることを示す条件、である、請求項２に記載の通信システム。
　ブローカレス型の出版／購読型モデルにより通信を行う複数のノードと接続される切替装置であって、
　１以上の前記ノード上で冗長化された１以上のアプリケーションであって、出版側として機能する１以上のアプリケーションのうち、購読側で優先的に扱われる一のアプリケーションから不正なデータが配信されていることを検知する不正データ発生検知部と、
　前記不正なデータの配信が検知された場合、前記購読側で優先的に扱われるアプリケーションを、前記１以上のアプリケーションのうち、前記一のアプリケーションとは異なる他のアプリケーションに切り替えるための指示を送信する切替指示部と、
　を有する切替装置。
　所定の切替条件と、前記複数のノードで構成される通信システムのネットワーク構成を表す構成情報とに基づいて、前記購読側で優先的に扱われる前記他のアプリケーションを決定する決定部を有し、
　前記切替指示部は、
　前記不正なデータの配信が検知された場合、前記購読側で優先的に扱われるアプリケーションを、前記決定部で決定された前記他のアプリケーションに切り替えるための指示を送信する、請求項４に記載の切替装置。
　前記切替条件は、
　前記１以上のアプリケーションのうち、前記一のアプリケーションとは異なるノード上のアプリケーションを、前記購読側で優先的に扱われるアプリケーションとすることを示す条件、又は、前記１以上のアプリケーションのうち、前記一のアプリケーションとは異なるノード上かつ最も配信データが少ないノード上のアプリケーションを、前記購読側で優先的に扱われるアプリケーションとすることを示す条件、である、請求項５に記載の切替装置。
　ブローカレス型の出版／購読型モデルにより通信を行う複数のノードと接続される切替装置が、
　１以上の前記ノード上で冗長化された１以上のアプリケーションであって、出版側として機能する１以上のアプリケーションのうち、購読側で優先的に扱われる一のアプリケーションから不正なデータが配信されていることを検知する不正データ発生検知手順と、
　前記不正なデータの配信が検知された場合、前記購読側で優先的に扱われるアプリケーションを、前記１以上のアプリケーションのうち、前記一のアプリケーションとは異なる他のアプリケーションに切り替えるための指示を送信する切替指示手順と、
　を実行する切替方法。
　コンピュータを、請求項４乃至６の何れか一項に記載の切替装置として機能させるプログラム。