ネットワーク装置、診断方法、及びプログラム
【課題】暗号通信にて発生した通信障害の原因を、秘匿性を失うことなく判別する。
【解決手段】任意の装置と暗号通信を行うネットワーク装置は、この任意の装置との暗号通信の方式を定めるパラメータを交換することの成否を判定し、また、暗号通信の成否を判定することにより、この装置との間に通信障害が発生した場合に、通信障害の原因を判別する。また、判別された原因をこのネットワーク装置から通知されることにより、他の装置は、直接接続されないネットワークに発生した通信障害の原因を判別する。
【解決手段】任意の装置と暗号通信を行うネットワーク装置は、この任意の装置との暗号通信の方式を定めるパラメータを交換することの成否を判定し、また、暗号通信の成否を判定することにより、この装置との間に通信障害が発生した場合に、通信障害の原因を判別する。また、判別された原因をこのネットワーク装置から通知されることにより、他の装置は、直接接続されないネットワークに発生した通信障害の原因を判別する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク装置、診断方法、及びプログラムに関する。
【背景技術】
【0002】
IP(Internet Protocol)等の規格に従うネットワークに通信障害が生じた場合、通信の復旧のために、通信障害の生じた箇所が診断される。この診断には、ICMP(Internet Control Message Protocol)等の規格に従うPing(Packet Internet Grouper)やTraceroute等のツールが一般的に使用される(例えば、特許文献1および2を参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2005−073277号公報
【特許文献2】特開2009−282707号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、障害の生じた箇所における通信が暗号化されている場合、特許文献1及び2に開示された方法等では、この通信障害の原因が伝送経路の障害であるか又は暗号通信の障害であるかを判別することが困難であった。ここで、伝送経路の障害は、例えばケーブルの破損や装置の故障である。また、暗号通信の障害は、例えば暗号化や復号の処理が正常に実行されないことである。
【0005】
また、単純に、通信の一部又は全部の暗号化を解除してから従来のツールを用いることにより、通信障害の原因を判別することができる。しかしながら、この判別では、暗号通信の通信相手や内容について秘匿性が失われてしまうおそれがあった。
【0006】
本発明は、上記問題点に鑑みてなされたものであり、暗号通信にて発生した通信障害の原因を、秘匿性を失うことなく判別することを目的とする。
【課題を解決するための手段】
【0007】
上記目的を達成するために、本発明の第1の観点に係るネットワーク装置は、
任意の装置と暗号通信を行う暗号通信手段と、
前記暗号通信の方式のパラメータを、前記装置と交換する交換手段と、
前記交換の成否を判定する交換判定手段と、
前記暗号通信の成否を判定する暗号通信判定手段と、
前記装置との間に通信障害が発生した場合に、前記交換判定手段及び前記暗号通信判定手段のうち少なくとも一方による判定の結果に基づいて、前記通信障害の原因を判別する原因判別手段と、
を備える。
【0008】
上記目的を達成するために、本発明の第2の観点に係る診断方法は、
任意の装置と暗号通信を行う暗号通信ステップと、
前記暗号通信の方式のパラメータを、前記装置と交換する交換ステップと、
前記交換の成否を判定する交換判定ステップと、
前記暗号通信の成否を判定する暗号通信判定ステップと、
前記装置との間に通信障害が発生した場合に、前記交換判定ステップ及び前記暗号通信判定ステップのうち少なくとも一方による判定の結果に基づいて、前記通信障害の原因を判別する原因判別ステップと、
を含む。
【0009】
上記目的を達成するために、本発明の第3の観点に係るプログラムは、
コンピュータを、
任意の装置と暗号通信を行う暗号通信手段、
前記暗号通信の方式のパラメータを、前記装置と交換する交換手段、
前記交換の成否を判定する交換判定手段、
前記暗号通信の成否を判定する暗号通信判定手段、
前記装置との間に通信障害が発生した場合に、前記交換判定手段及び前記暗号通信判定手段のうち少なくとも一方による判定の結果に基づいて、前記通信障害の原因を判別する原因判別手段、
として機能させる。
【発明の効果】
【0010】
本発明によれば、暗号通信の方式のパラメータを任意の装置と交換することの成否が判定され、また、暗号通信の成否が判定される。これにより、暗号通信にて発生した通信障害の原因を、秘匿性を失うことなく判別することができる。
【図面の簡単な説明】
【0011】
【図1】実施形態1に係る通信システムの構成の概要を示すブロック図である。
【図2】通信障害の原因を判別する処理を示すフロー図である。
【図3】パラメータの交換の成否を判定する処理を示すフロー図である。
【図4】暗号通信の成否を判定する処理を示すフロー図である。
【図5】通信障害の原因を判別する処理を示すフロー図である。
【図6】Pingの応答メッセージの書式を示す模式図である。
【図7】実施形態2に係る通信障害の原因を判別する処理を示すフロー図である。
【図8】ルータのハードウェア構成を示すブロック図である。
【発明を実施するための形態】
【0012】
以下、本発明の実施形態について図面を参照しながら詳細に説明する。
【0013】
(実施形態1)
図1は、本実施形態に係る通信システム10の構成を示す。図1に示されるように、通信システム10は、第1対向装置20、第2対向装置30、ルータ40、第1ネットワーク51、及び第2ネットワーク52を備える。
【0014】
第1対向装置20及び第2対向装置30は、IPに従う通信を行うネットワーク装置である。第1対向装置20は、第1ネットワーク51を介してルータ40と接続される。また、第2対向装置30は、第2ネットワーク52を介してルータ40と接続される。第1対向装置20及び第2対向装置30は、第1ネットワーク51、ルータ40及び第2ネットワーク52を介して相互に暗号通信を行う。暗号通信の方式は、例えばIPsec(Security Architecture for Internet Protocol)である。なお、暗号通信の方式はIPsecには限られず、その他の方式であってもよい。
【0015】
第1対向装置20は、送受信部21、制御部22及び記憶部23を備える。送受信部21は、第1ネットワークに接続され、データの送受信を行う。また、制御部22は、記憶部23から読み出されたプログラムを実行し、第1対向装置20の各構成要素を制御する。制御部22は、例えば、データを暗号化したり、暗号化されたデータを復号したりする。また、記憶部23は、プログラム及び通信内容のデータ等を記憶する。
【0016】
第2対向装置30は、第1対向装置と同様の構成を有する。
【0017】
ルータ40は、第1ネットワーク51及び第2ネットワーク52を相互に接続するネットワーク装置である。ルータ40は、第1対向装置20及び第2対向装置30の間の暗号通信を中継する。なお、ルータ40は、第1ネットワーク51の暗号通信に用いられる方式と、第2ネットワーク52の暗号通信に用いられる方式とを、互いに異なる方式としてもよい。例えば、第1ネットワーク51及び第2ネットワーク52がそれぞれインターネット及び無線LAN(Local Area Network)である場合に、ルータ40は、第1ネットワークの暗号方式をIPsecとして、また、第2ネットワーク52の暗号方式をWPA(Wi-Fi Protected Access、登録商標)として、暗号通信を中継してもよい。
【0018】
ルータ40は、送受信部41、制御部42及び記憶部43を備える。送受信部41は、第1ネットワーク51及び第2ネットワーク52に接続され、データの送受信を行う。記憶部43は、制御部42が実行するプログラム及び暗号通信に用いられるデータ等を記憶する。制御部42は、記憶部43から読み出されたプログラムを実行し、ルータ40の各構成要素を制御する。制御部42は、パラメータ交換部421、交換判定部422、暗号通信判定部423及び原因判別部424を備える。
【0019】
パラメータ交換部421は、暗号通信の方式のパラメータを、第1対向装置20又は第2対向装置30と交換する。暗号通信の方式のパラメータは、例えば、暗号化又は復号に用いられる鍵や、暗号化又は復号の処理のプロトコルを規定する情報又は認証のための情報等である。この交換は、暗号通信の開始前に、暗号化されていないデータを送受信することにより行われる。
【0020】
交換判定部422は、パラメータ交換部421によるパラメータの交換の成否を判定する。具体的には、交換判定部422は、パラメータ交換部421が通信相手に交換を要求してから所定の時間内に、送受信部41を介して通信相手から所定の応答を受信したか否かを判定することにより、パラメータの交換の成否を判定する。
【0021】
暗号通信判定部423は、ルータ40と第1対向装置20又は第2対向装置30との暗号通信の成否を判定する。具体的には、暗号通信判定部423は、制御部42が通信相手に暗号通信の開始を要求してから所定の時間内に、送受信部41を介して通信相手から所定の応答を受信したか否かを判定することにより、暗号通信の成否を判定する。
【0022】
原因判別部424は、第1ネットワーク51又は第2ネットワーク52に通信障害が生じた場合に、交換判定部422又は暗号通信判定部423による判定の結果に基づいて、通信障害の原因が伝送経路の障害又は暗号通信の障害のいずれであるかを判別する。
【0023】
以上のような構成要素の協働により、ルータ40は、通信障害の原因を判別する。以下、この判別の処理について、第2ネットワーク52において通信障害が生じた場合を例に、図2〜図4を用いて説明する。
【0024】
図2は、通信障害の原因を判別する処理を示すフロー図である。まず、ルータ40と第2対向装置30との間における暗号通信の準備として、パラメータ交換部421が、パラメータの交換を第2対向装置30に要求する(ステップS1)。
【0025】
第2ネットワーク52において伝送経路の障害が生じていない場合(ステップS2;No)、第2対向装置30は、ルータ40からの要求を受信することができるので、この要求に応答する(ステップS3)。具体的には、第2対向装置30は、パラメータを通知したり、要求を受信したことを通知したりする。一方、第2ネットワーク52において伝送経路の障害が生じた場合(ステップS2;Yes)、第2対向装置30は、ルータ40からの要求に応答しない。
【0026】
次に、交換判定部422は、パラメータの交換の成否を判定する(ステップS4)。図3は、この成否を判定する処理を示すフロー図である。図3に示されるように、パラメータを交換することができないと交換判定部422が判定した場合には(ステップS21;No)、原因判別部424は、通信障害の原因が伝送経路の障害であると判別する(ステップS22)。その後、原因判別部424は、この判別の結果を示すデータを記憶部43に格納する(ステップS23)。一方、交換判定部422は、パラメータを交換することができたと判定した場合には(ステップS21;Yes)、この判定の処理を終了する。
【0027】
図2に戻り、制御部42は、次に、暗号化されたデータを送信することにより、暗号通信の開始を第2対向装置30に要求する(ステップS5)。
【0028】
第2ネットワーク52において暗号通信の通信障害が生じていない場合(ステップS6;No)、第2対向装置30は、暗号化されたデータを正常に復号することができるので、ルータ40からの要求に応答する(ステップS7)。一方、第2ネットワーク52上の暗号通信に通信障害が生じた場合(ステップS6;Yes)、第2対向装置30は、ルータ40からの要求に応答しない。
【0029】
次に、暗号通信判定部423は、暗号通信の成否を判定する(ステップS8)。図4は、この成否を判定する処理を示すフロー図である。図4に示されるように、暗号通信を実行することができないと暗号通信判定部423が判定した場合には(ステップS31;No)、原因判別部424は、通信障害の原因が暗号通信の障害であると判別する(ステップS32)。その後、原因判別部424は、この判別の結果を示すデータを記憶部43に格納する(ステップS33)。ここで、ステップS23にて伝送経路の障害を示すデータが記憶部43に格納されていた場合、原因判別部424は、このデータに加えて暗号通信の障害を示すデータを格納する。一方、暗号通信判定部423は、暗号通信を実行することができると判定した場合は(ステップS31;Yes)、この判定の処理を終了する。
【0030】
以上の処理により、第2ネットワーク52にて通信障害が生じた場合には、原因判別部424が通信障害の原因を判別し、この原因を示すデータが記憶部43に記憶される。次に、第2ネットワーク52にて通信障害が生じた場合に、第1対向装置20が、第2対向装置30との間の通信障害の原因を判別する処理について、図5を用いて説明する。
【0031】
まず、第1対向装置20は、第2対向装置30との暗号通信を実行するために、暗号通信の開始を第2対向装置30に要求する(ステップS41)。ここで、第2ネットワーク52にて通信障害が生じているため、第1対向装置20は、この要求から所定の時間内に第2対向装置30からの応答を得ることができない。このため、第1対向装置20は、第2対向装置30との通信に障害が発生したと認識する(ステップS42)。
【0032】
次に、第1対向装置20は、第2対向装置30までの伝送経路のうち通信障害が発生している箇所を特定する。第1対向装置20は、まず第1ネットワーク51上の通信障害の有無を確認するために、ルータ40に対しPingの要求メッセージを送信する(ステップS43)。具体的には、第1対向装置20の制御部22は、Pingの要求メッセージを作成した後に暗号化して、送受信部21を介してルータ40へ送信する。Pingは、任意の通信相手に要求メッセージを送信し、この要求メッセージに対する応答メッセージを通信相手から受信することができるかどうかに基づいて、通信障害の有無を診断するツールである。
【0033】
ここで、第1ネットワーク51には通信障害が発生していないため、ルータ40は、第1対向装置20からPingの要求メッセージを受信する。その後、ルータ40は、Pingの応答メッセージを第1対向装置20へ送信する(ステップS44)。具体的には、制御部42は、まず暗号化されたPingの要求メッセージを、送受信部41を介して受信する。その後、制御部42は、この要求メッセージを復号する。そして、制御部42は、復号された要求メッセージに対応する応答メッセージを作成する。さらに、制御部42は、作成された応答メッセージを暗号化して、第1対向装置20へ送信する。
【0034】
第1対向装置20は、ルータ40からPingの応答メッセージを受信するため、第1ネットワーク51には通信障害が発生していないことを確認する(ステップS45)。
【0035】
次に、第1対向装置20は、第2ネットワーク52上の通信障害の有無を判定する。具体的には、第1対向装置20は、暗号化されたPingの要求メッセージを、第2対向装置30に送信する(ステップS46)。
【0036】
ルータ40は、暗号化されたPingの要求メッセージを中継する(ステップS47)。具体的には、制御部42が、送受信部41を介して受信した要求メッセージを復号する。その後、制御部42は、復号された要求メッセージを解析して、再度暗号化する。そして、制御部42は、暗号化された要求メッセージを、送受信部41を介して第2対向装置30へ送信する。
【0037】
ここで、第2ネットワーク52に通信障害が生じているため、ルータ40は、第2対向装置30からの応答メッセージを得ることができない。ステップS47にて要求メッセージが送信されてから所定の時間が経過した後、制御部42は、第2ネットワーク52の通信障害を認識する。その後、制御部42は、ステップS23又はステップS33にて記憶部43に格納された通信障害の原因を示すデータを読み出す。そして、制御部42は、この原因を示すデータを含む応答メッセージを作成する(ステップS48)。
【0038】
ステップS48にて制御部42が作成するPingの応答メッセージについて、図6を用いて説明する。図6は、Pingの応答メッセージ60の書式を示す。この書式は、RFC(Request for Comments)792にて規定される。なお、Pingの要求メッセージも応答メッセージと同様の書式を有する。図6に示されるように、応答メッセージ60は、タイプ61、コード62、チェックサム63、識別子64、シーケンス番号65、データ内容66から構成される。
【0039】
制御部42は、タイプ61及びコード62として所定の値を設定する。また、制御部42は、データ内容66に対応する値を、チェックサム63として設定する。また、制御部42は、要求メッセージに対応する値をシーケンス番号65として設定する。この値は、所定の要求メッセージに応答する応答メッセージを識別するために用いられる。また、制御部42は、要求メッセージに対応する値をデータ内容66として設定する。
【0040】
制御部42は、識別子64に、通信障害の原因を識別するための値を書き込む。例えば、制御部42は、記憶部43に伝送経路の障害を示すデータが記憶されている場合は、識別子64として「1」を設定する。一方、制御部42は、記憶部43に暗号通信の障害を示すデータのみが記憶されている場合は、識別子64として「2」を設定する。
【0041】
図5に戻り、制御部42は、作成された応答メッセージを暗号化して第1対向装置20へ送信する(ステップS49)。
【0042】
第1対向装置20の制御部22は、暗号化されたPingの応答メッセージを、送受信部21を介して受信する。次に、制御部22は、この応答メッセージを復号して、識別子に書き込まれた値を読み出す。制御部22は、この読み出された値に応じて、第2ネットワーク52にて発生した通信障害の原因を判別する(ステップS50)。
【0043】
以上説明したように、本実施形態に係るルータ40によれば、暗号化された伝送経路にて通信障害が生じた場合に、この通信障害が伝送経路の障害又は暗号通信の障害のいずれに起因するかを判別することができる。
【0044】
また、第1対向装置20が第2ネットワーク52の通信障害の有無を確認する際に、ルータ40がこの原因を示す情報を第1対向装置20に通知するので、第1対向装置20は、直接接続されていないネットワークに生じた通信障害の原因を認識することができる。これにより、通信システム10の管理者等は、第2ネットワーク52の通信障害を現地で確認する必要がないため、通信障害からの復旧を迅速に行うことができる。
【0045】
また、通信障害の原因の判別及びこの原因の通知が暗号通信により行われるので、第1対向装置20及びルータ40は、暗号通信の通信相手や通信内容について秘匿性を失うことなく通信障害の原因を判別することができる。
【0046】
(実施形態2)
次に、実施形態2について、上述の実施形態1との相違点を中心に説明する。なお、実施形態1に係る構成要素等と同一の構成要素等には各々同一の符号を付し、実施形態1と説明が重複する部分については、その説明を省略する。
【0047】
実施形態1と同様に、第2ネットワーク52にて通信障害が生じた場合を例として説明する。ルータ40が通信障害の原因を判別する処理は、実施形態1に係るステップS1〜S8と同様の処理が実行される。
【0048】
図7は、第1対向装置20が通信障害の原因を判別する処理を示すフロー図である。通信障害の原因を判別したルータ40は、第1対向装置20からの要求メッセージを受信しない状態で、この原因を示すデータを含むPingの応答メッセージを自動的に作成する(ステップS51)。
【0049】
その後、ルータ40は、作成された応答メッセージを第1対向装置20へ送信する(ステップS52)。
【0050】
第1対向装置20の制御部22は、ルータ40から応答メッセージを受信することにより、第1ネットワーク51には通信障害が発生していないことを認識する(ステップS53)。
【0051】
また、制御部22は、応答メッセージに基づいて、第2ネットワーク52に通信障害が発生していることを認識する(ステップS54)。
【0052】
さらに、制御部22は、応答メッセージの識別子に書き込まれた値に基づいて、第2ネットワークに生じた通信障害の原因を判別する(ステップS55)。
【0053】
以上説明したように、本実施形態に係るルータ40は、第2ネットワーク52に生じた通信障害の原因を判別した場合に、この原因を第1対向装置20へ自動的に通知する。これにより、第1対向装置20は、ルータ40が通信障害の原因を判別した直後に通信障害の原因を認識することができる。ひいては、ルータ40は、より迅速な復旧に寄与することができる。
【0054】
(他の実施形態)
以上、実施形態1および2について説明したが、本発明は上述の実施形態に限定されるものではない。
【0055】
例えば、上述の実施形態に係る制御部42は、識別子64として通信障害の原因を識別する情報を設定したが、その他の領域を用いて設定してもよい。例えば、制御部42は、この情報をデータ内容66に書き込んでもよい。この場合、データ内容66の領域は可変長なので、制御部42は、より詳細に通信障害に関する情報を第1対向装置20へ通知することができる。
【0056】
例えば、上述の実施形態に係る通信障害の原因の通知にはPingが用いられたが、その他のツールによりこの原因を通知してもよい。例えば、Tracerouteを用いて通信障害の原因を通知してもよい。
【0057】
例えば、上述の実施形態に係る通信障害は第2ネットワーク52で発生したが、これには限られない。具体的には、第1ネットワーク51にて通信障害が発生した場合であっても、ルータ40は通信障害の原因を判別し、この原因を第2対向装置30へ通知する。これにより、通信システム10を構成するネットワークのいずれに通信障害が発生しても、ルータ40は、通信障害を有するネットワークに直接接続されていないネットワーク装置に、通信障害が発生したネットワークの箇所と通信障害の原因とを認識させることができる。
【0058】
例えば、上述の実施形態において、ルータ40のみが通信障害の原因を判別する機能を有したが、対向装置の構成をルータ40と同様の構成として、ルータ40と同様の手順により第1対向装置又は第2対向装置が通信障害の原因を判別してもよい。
【0059】
例えば、上述の実施形態に係る通信システム10は、説明のため簡単な構成としたが、4台以上のネットワーク装置を有する構成としてもよい。また、3つ以上のネットワークを有する構成としてもよい。
【0060】
図8は、本発明の各実施形態に係るルータ40をコンピュータに実装する場合のハードウェア構成例を示すブロック図である。ルータ40は、一般的なコンピュータ装置と同様のハードウェア構成によって実現することができる。ルータ40は、プロセッサ401、主記憶部402、補助記憶部403、出力部404、入力部405及びインターフェース部406を備える。主記憶部402、補助記憶部403、出力部404、入力部405及びインターフェース部406はいずれも内部バス407を介してプロセッサ401に接続されている。
【0061】
プロセッサ401は、CPU(Central Processing Unit)等から構成され、補助記憶部403に記憶される制御プログラム408に従って、前述した各実施形態における制御部42の処理を実行する。
【0062】
主記憶部402は、RAM(Random-Access Memory)等から構成され、補助記憶部403に記憶される制御プログラム408をロードし、プロセッサ401の作業領域として用いられる。
【0063】
補助記憶部403は、フラッシュメモリ、ハードディスク、DVD−RAM(Digital Versatile Disc Random-Access Memory)、DVD−RW(Digital Versatile Disc ReWritable)等の不揮発性メモリから構成され、上述の処理をプロセッサ401に実行させるための制御プログラム408や通信内容のデータ等を予め記憶する。また、補助記憶部403は、プロセッサ401の指示に従って、この制御プログラム408が記憶するデータをプロセッサ401に供給し、プロセッサ401から供給されたデータを記憶する。また、補助記憶部403は、記憶部43を物理的に実現する。
【0064】
出力部404は、LCD(Liquid Crystal Display)等から構成される表示装置、スピーカ等から構成される音響装置又は印刷装置等を有し、種々の情報を使用者等に提供する。例えば、出力部404は、通信障害の原因と発生箇所とを通信システム10の管理者に表示する。
【0065】
入力部405は、キーボード及びマウス等のポインティングデバイス等と、キーボード及びポインティングデバイス等を内部バス407に接続するインターフェース装置等から構成される。入力部405を介して、使用者等はルータ40に指示を入力する。
【0066】
インターフェース部406は、モデム又は網終端装置、及びそれらと接続するシリアルインターフェース又はLANインターフェース等から構成される。インターフェース部406は、送受信部41を物理的に実現する。
【0067】
図1に示されるルータ40の送受信部41、制御部42、パラメータ交換部421、交換判定部422、暗号通信判定部423、原因判別部424及び記憶部43が実行する処理は、制御プログラム408が、プロセッサ401、主記憶部402、補助記憶部403、出力部404、入力部405、インターフェース部406等を資源として用いて処理することによって実行される。
【0068】
上述の実施形態に係るネットワーク装置の機能は、専用のハードウェアによっても、また、通常のコンピュータシステムによっても実現することができる。
【0069】
例えば、上述の実施形態において記憶部43に記憶されているプログラムを、フレキシブルディスク、CD−ROM(Compact Disk Read-Only Memory)、DVD(Digital Versatile Disk)、MO(Magneto-Optical disk)等のコンピュータ読み取り可能な記録媒体に格納して配布し、そのプログラムをコンピュータにインストールすることにより、上述の処理を実行する装置を構成することができる。
【0070】
また、プログラムをインターネット等の通信ネットワーク上の所定のサーバ装置が有するディスク装置等に格納しておき、例えば、搬送波に重畳させて、コンピュータにダウンロード等するようにしても良い。
【0071】
また、通信ネットワークを介してプログラムを転送しながら起動実行することによっても、上述の処理を達成することができる。
【0072】
更に、プログラムの全部又は一部をサーバ装置上で実行させ、その処理に関する情報をコンピュータが通信ネットワークを介して送受信しながらプログラムを実行することによっても、上述の処理を達成することができる。
【0073】
なお、上述の機能を、OS(Operating System)が分担して実現する場合又はOSとアプリケーションとの協働により実現する場合等には、OS以外の部分のみを媒体に格納して配布してもよく、また、コンピュータにダウンロード等しても良い。
【0074】
上述の実施形態の一部または全部は、以下の付記のようにも記載されうるが、以下には限られない。
【0075】
(付記1)
任意の装置と暗号通信を行う暗号通信手段と、
前記暗号通信の方式のパラメータを、前記装置と交換する交換手段と、
前記交換の成否を判定する交換判定手段と、
前記暗号通信の成否を判定する暗号通信判定手段と、
前記装置との間に通信障害が発生した場合に、前記交換判定手段及び前記暗号通信判定手段のうち少なくとも一方による判定の結果に基づいて、前記通信障害の原因を判別する原因判別手段と、
を備えるネットワーク装置。
【0076】
(付記2)
前記原因判別手段により判別された前記原因に関する情報を他の装置へ送信する送信手段と、
を備える付記1に記載のネットワーク装置。
【0077】
(付記3)
前記送信手段は、
前記他の装置からの要求に応答するメッセージを用いて、前記情報を前記他の装置へ送信する、
付記2に記載のネットワーク装置。
【0078】
(付記4)
前記送信手段は、
前記原因判別手段により前記原因が判別された場合は自動的に、前記情報を前記他の装置へ送信する、
付記2に記載のネットワーク装置。
【0079】
(付記5)
前記暗号通信はIPに従うネットワーク上の通信である、
付記1乃至4のいずれか一項に記載のネットワーク装置。
【0080】
(付記6)
前記パラメータは、暗号化及び復号のうち少なくとも一方の処理のプロトコルを規定する情報である、
付記1乃至5のいずれか一項に記載のネットワーク装置。
【0081】
(付記7)
任意の装置と暗号通信を行う暗号通信ステップと、
前記暗号通信の方式のパラメータを、前記装置と交換する交換ステップと、
前記交換の成否を判定する交換判定ステップと、
前記暗号通信の成否を判定する暗号通信判定ステップと、
前記装置との間に通信障害が発生した場合に、前記交換判定ステップ及び前記暗号通信判定ステップのうち少なくとも一方による判定の結果に基づいて、前記通信障害の原因を判別する原因判別ステップと、
を含む診断方法。
【0082】
(付記8)
コンピュータを、
任意の装置と暗号通信を行う暗号通信手段、
前記暗号通信の方式のパラメータを、前記装置と交換する交換手段、
前記交換の成否を判定する交換判定手段、
前記暗号通信の成否を判定する暗号通信判定手段、
前記装置との間に通信障害が発生した場合に、前記交換判定手段及び前記暗号通信判定手段のうち少なくとも一方による判定の結果に基づいて、前記通信障害の原因を判別する原因判別手段、
として機能させるためのプログラム。
【符号の説明】
【0083】
10 通信システム
20 第1対向装置
21、41 送受信部
22、42 制御部
23、43 記憶部
30 第2対向装置
40 ルータ
401 プロセッサ
402 主記憶部
403 補助記憶部
404 出力部
405 入力部
406 インターフェース部
407 内部バス
408 制御プログラム
421 パラメータ交換部
422 交換判定部
423 暗号通信判定部
424 原因判別部
51 第1ネットワーク
52 第2ネットワーク
60 応答メッセージ
61 タイプ
62 コード
63 チェックサム
64 識別子
65 シーケンス番号
66 データ内容
【技術分野】
【0001】
本発明は、ネットワーク装置、診断方法、及びプログラムに関する。
【背景技術】
【0002】
IP(Internet Protocol)等の規格に従うネットワークに通信障害が生じた場合、通信の復旧のために、通信障害の生じた箇所が診断される。この診断には、ICMP(Internet Control Message Protocol)等の規格に従うPing(Packet Internet Grouper)やTraceroute等のツールが一般的に使用される(例えば、特許文献1および2を参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2005−073277号公報
【特許文献2】特開2009−282707号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、障害の生じた箇所における通信が暗号化されている場合、特許文献1及び2に開示された方法等では、この通信障害の原因が伝送経路の障害であるか又は暗号通信の障害であるかを判別することが困難であった。ここで、伝送経路の障害は、例えばケーブルの破損や装置の故障である。また、暗号通信の障害は、例えば暗号化や復号の処理が正常に実行されないことである。
【0005】
また、単純に、通信の一部又は全部の暗号化を解除してから従来のツールを用いることにより、通信障害の原因を判別することができる。しかしながら、この判別では、暗号通信の通信相手や内容について秘匿性が失われてしまうおそれがあった。
【0006】
本発明は、上記問題点に鑑みてなされたものであり、暗号通信にて発生した通信障害の原因を、秘匿性を失うことなく判別することを目的とする。
【課題を解決するための手段】
【0007】
上記目的を達成するために、本発明の第1の観点に係るネットワーク装置は、
任意の装置と暗号通信を行う暗号通信手段と、
前記暗号通信の方式のパラメータを、前記装置と交換する交換手段と、
前記交換の成否を判定する交換判定手段と、
前記暗号通信の成否を判定する暗号通信判定手段と、
前記装置との間に通信障害が発生した場合に、前記交換判定手段及び前記暗号通信判定手段のうち少なくとも一方による判定の結果に基づいて、前記通信障害の原因を判別する原因判別手段と、
を備える。
【0008】
上記目的を達成するために、本発明の第2の観点に係る診断方法は、
任意の装置と暗号通信を行う暗号通信ステップと、
前記暗号通信の方式のパラメータを、前記装置と交換する交換ステップと、
前記交換の成否を判定する交換判定ステップと、
前記暗号通信の成否を判定する暗号通信判定ステップと、
前記装置との間に通信障害が発生した場合に、前記交換判定ステップ及び前記暗号通信判定ステップのうち少なくとも一方による判定の結果に基づいて、前記通信障害の原因を判別する原因判別ステップと、
を含む。
【0009】
上記目的を達成するために、本発明の第3の観点に係るプログラムは、
コンピュータを、
任意の装置と暗号通信を行う暗号通信手段、
前記暗号通信の方式のパラメータを、前記装置と交換する交換手段、
前記交換の成否を判定する交換判定手段、
前記暗号通信の成否を判定する暗号通信判定手段、
前記装置との間に通信障害が発生した場合に、前記交換判定手段及び前記暗号通信判定手段のうち少なくとも一方による判定の結果に基づいて、前記通信障害の原因を判別する原因判別手段、
として機能させる。
【発明の効果】
【0010】
本発明によれば、暗号通信の方式のパラメータを任意の装置と交換することの成否が判定され、また、暗号通信の成否が判定される。これにより、暗号通信にて発生した通信障害の原因を、秘匿性を失うことなく判別することができる。
【図面の簡単な説明】
【0011】
【図1】実施形態1に係る通信システムの構成の概要を示すブロック図である。
【図2】通信障害の原因を判別する処理を示すフロー図である。
【図3】パラメータの交換の成否を判定する処理を示すフロー図である。
【図4】暗号通信の成否を判定する処理を示すフロー図である。
【図5】通信障害の原因を判別する処理を示すフロー図である。
【図6】Pingの応答メッセージの書式を示す模式図である。
【図7】実施形態2に係る通信障害の原因を判別する処理を示すフロー図である。
【図8】ルータのハードウェア構成を示すブロック図である。
【発明を実施するための形態】
【0012】
以下、本発明の実施形態について図面を参照しながら詳細に説明する。
【0013】
(実施形態1)
図1は、本実施形態に係る通信システム10の構成を示す。図1に示されるように、通信システム10は、第1対向装置20、第2対向装置30、ルータ40、第1ネットワーク51、及び第2ネットワーク52を備える。
【0014】
第1対向装置20及び第2対向装置30は、IPに従う通信を行うネットワーク装置である。第1対向装置20は、第1ネットワーク51を介してルータ40と接続される。また、第2対向装置30は、第2ネットワーク52を介してルータ40と接続される。第1対向装置20及び第2対向装置30は、第1ネットワーク51、ルータ40及び第2ネットワーク52を介して相互に暗号通信を行う。暗号通信の方式は、例えばIPsec(Security Architecture for Internet Protocol)である。なお、暗号通信の方式はIPsecには限られず、その他の方式であってもよい。
【0015】
第1対向装置20は、送受信部21、制御部22及び記憶部23を備える。送受信部21は、第1ネットワークに接続され、データの送受信を行う。また、制御部22は、記憶部23から読み出されたプログラムを実行し、第1対向装置20の各構成要素を制御する。制御部22は、例えば、データを暗号化したり、暗号化されたデータを復号したりする。また、記憶部23は、プログラム及び通信内容のデータ等を記憶する。
【0016】
第2対向装置30は、第1対向装置と同様の構成を有する。
【0017】
ルータ40は、第1ネットワーク51及び第2ネットワーク52を相互に接続するネットワーク装置である。ルータ40は、第1対向装置20及び第2対向装置30の間の暗号通信を中継する。なお、ルータ40は、第1ネットワーク51の暗号通信に用いられる方式と、第2ネットワーク52の暗号通信に用いられる方式とを、互いに異なる方式としてもよい。例えば、第1ネットワーク51及び第2ネットワーク52がそれぞれインターネット及び無線LAN(Local Area Network)である場合に、ルータ40は、第1ネットワークの暗号方式をIPsecとして、また、第2ネットワーク52の暗号方式をWPA(Wi-Fi Protected Access、登録商標)として、暗号通信を中継してもよい。
【0018】
ルータ40は、送受信部41、制御部42及び記憶部43を備える。送受信部41は、第1ネットワーク51及び第2ネットワーク52に接続され、データの送受信を行う。記憶部43は、制御部42が実行するプログラム及び暗号通信に用いられるデータ等を記憶する。制御部42は、記憶部43から読み出されたプログラムを実行し、ルータ40の各構成要素を制御する。制御部42は、パラメータ交換部421、交換判定部422、暗号通信判定部423及び原因判別部424を備える。
【0019】
パラメータ交換部421は、暗号通信の方式のパラメータを、第1対向装置20又は第2対向装置30と交換する。暗号通信の方式のパラメータは、例えば、暗号化又は復号に用いられる鍵や、暗号化又は復号の処理のプロトコルを規定する情報又は認証のための情報等である。この交換は、暗号通信の開始前に、暗号化されていないデータを送受信することにより行われる。
【0020】
交換判定部422は、パラメータ交換部421によるパラメータの交換の成否を判定する。具体的には、交換判定部422は、パラメータ交換部421が通信相手に交換を要求してから所定の時間内に、送受信部41を介して通信相手から所定の応答を受信したか否かを判定することにより、パラメータの交換の成否を判定する。
【0021】
暗号通信判定部423は、ルータ40と第1対向装置20又は第2対向装置30との暗号通信の成否を判定する。具体的には、暗号通信判定部423は、制御部42が通信相手に暗号通信の開始を要求してから所定の時間内に、送受信部41を介して通信相手から所定の応答を受信したか否かを判定することにより、暗号通信の成否を判定する。
【0022】
原因判別部424は、第1ネットワーク51又は第2ネットワーク52に通信障害が生じた場合に、交換判定部422又は暗号通信判定部423による判定の結果に基づいて、通信障害の原因が伝送経路の障害又は暗号通信の障害のいずれであるかを判別する。
【0023】
以上のような構成要素の協働により、ルータ40は、通信障害の原因を判別する。以下、この判別の処理について、第2ネットワーク52において通信障害が生じた場合を例に、図2〜図4を用いて説明する。
【0024】
図2は、通信障害の原因を判別する処理を示すフロー図である。まず、ルータ40と第2対向装置30との間における暗号通信の準備として、パラメータ交換部421が、パラメータの交換を第2対向装置30に要求する(ステップS1)。
【0025】
第2ネットワーク52において伝送経路の障害が生じていない場合(ステップS2;No)、第2対向装置30は、ルータ40からの要求を受信することができるので、この要求に応答する(ステップS3)。具体的には、第2対向装置30は、パラメータを通知したり、要求を受信したことを通知したりする。一方、第2ネットワーク52において伝送経路の障害が生じた場合(ステップS2;Yes)、第2対向装置30は、ルータ40からの要求に応答しない。
【0026】
次に、交換判定部422は、パラメータの交換の成否を判定する(ステップS4)。図3は、この成否を判定する処理を示すフロー図である。図3に示されるように、パラメータを交換することができないと交換判定部422が判定した場合には(ステップS21;No)、原因判別部424は、通信障害の原因が伝送経路の障害であると判別する(ステップS22)。その後、原因判別部424は、この判別の結果を示すデータを記憶部43に格納する(ステップS23)。一方、交換判定部422は、パラメータを交換することができたと判定した場合には(ステップS21;Yes)、この判定の処理を終了する。
【0027】
図2に戻り、制御部42は、次に、暗号化されたデータを送信することにより、暗号通信の開始を第2対向装置30に要求する(ステップS5)。
【0028】
第2ネットワーク52において暗号通信の通信障害が生じていない場合(ステップS6;No)、第2対向装置30は、暗号化されたデータを正常に復号することができるので、ルータ40からの要求に応答する(ステップS7)。一方、第2ネットワーク52上の暗号通信に通信障害が生じた場合(ステップS6;Yes)、第2対向装置30は、ルータ40からの要求に応答しない。
【0029】
次に、暗号通信判定部423は、暗号通信の成否を判定する(ステップS8)。図4は、この成否を判定する処理を示すフロー図である。図4に示されるように、暗号通信を実行することができないと暗号通信判定部423が判定した場合には(ステップS31;No)、原因判別部424は、通信障害の原因が暗号通信の障害であると判別する(ステップS32)。その後、原因判別部424は、この判別の結果を示すデータを記憶部43に格納する(ステップS33)。ここで、ステップS23にて伝送経路の障害を示すデータが記憶部43に格納されていた場合、原因判別部424は、このデータに加えて暗号通信の障害を示すデータを格納する。一方、暗号通信判定部423は、暗号通信を実行することができると判定した場合は(ステップS31;Yes)、この判定の処理を終了する。
【0030】
以上の処理により、第2ネットワーク52にて通信障害が生じた場合には、原因判別部424が通信障害の原因を判別し、この原因を示すデータが記憶部43に記憶される。次に、第2ネットワーク52にて通信障害が生じた場合に、第1対向装置20が、第2対向装置30との間の通信障害の原因を判別する処理について、図5を用いて説明する。
【0031】
まず、第1対向装置20は、第2対向装置30との暗号通信を実行するために、暗号通信の開始を第2対向装置30に要求する(ステップS41)。ここで、第2ネットワーク52にて通信障害が生じているため、第1対向装置20は、この要求から所定の時間内に第2対向装置30からの応答を得ることができない。このため、第1対向装置20は、第2対向装置30との通信に障害が発生したと認識する(ステップS42)。
【0032】
次に、第1対向装置20は、第2対向装置30までの伝送経路のうち通信障害が発生している箇所を特定する。第1対向装置20は、まず第1ネットワーク51上の通信障害の有無を確認するために、ルータ40に対しPingの要求メッセージを送信する(ステップS43)。具体的には、第1対向装置20の制御部22は、Pingの要求メッセージを作成した後に暗号化して、送受信部21を介してルータ40へ送信する。Pingは、任意の通信相手に要求メッセージを送信し、この要求メッセージに対する応答メッセージを通信相手から受信することができるかどうかに基づいて、通信障害の有無を診断するツールである。
【0033】
ここで、第1ネットワーク51には通信障害が発生していないため、ルータ40は、第1対向装置20からPingの要求メッセージを受信する。その後、ルータ40は、Pingの応答メッセージを第1対向装置20へ送信する(ステップS44)。具体的には、制御部42は、まず暗号化されたPingの要求メッセージを、送受信部41を介して受信する。その後、制御部42は、この要求メッセージを復号する。そして、制御部42は、復号された要求メッセージに対応する応答メッセージを作成する。さらに、制御部42は、作成された応答メッセージを暗号化して、第1対向装置20へ送信する。
【0034】
第1対向装置20は、ルータ40からPingの応答メッセージを受信するため、第1ネットワーク51には通信障害が発生していないことを確認する(ステップS45)。
【0035】
次に、第1対向装置20は、第2ネットワーク52上の通信障害の有無を判定する。具体的には、第1対向装置20は、暗号化されたPingの要求メッセージを、第2対向装置30に送信する(ステップS46)。
【0036】
ルータ40は、暗号化されたPingの要求メッセージを中継する(ステップS47)。具体的には、制御部42が、送受信部41を介して受信した要求メッセージを復号する。その後、制御部42は、復号された要求メッセージを解析して、再度暗号化する。そして、制御部42は、暗号化された要求メッセージを、送受信部41を介して第2対向装置30へ送信する。
【0037】
ここで、第2ネットワーク52に通信障害が生じているため、ルータ40は、第2対向装置30からの応答メッセージを得ることができない。ステップS47にて要求メッセージが送信されてから所定の時間が経過した後、制御部42は、第2ネットワーク52の通信障害を認識する。その後、制御部42は、ステップS23又はステップS33にて記憶部43に格納された通信障害の原因を示すデータを読み出す。そして、制御部42は、この原因を示すデータを含む応答メッセージを作成する(ステップS48)。
【0038】
ステップS48にて制御部42が作成するPingの応答メッセージについて、図6を用いて説明する。図6は、Pingの応答メッセージ60の書式を示す。この書式は、RFC(Request for Comments)792にて規定される。なお、Pingの要求メッセージも応答メッセージと同様の書式を有する。図6に示されるように、応答メッセージ60は、タイプ61、コード62、チェックサム63、識別子64、シーケンス番号65、データ内容66から構成される。
【0039】
制御部42は、タイプ61及びコード62として所定の値を設定する。また、制御部42は、データ内容66に対応する値を、チェックサム63として設定する。また、制御部42は、要求メッセージに対応する値をシーケンス番号65として設定する。この値は、所定の要求メッセージに応答する応答メッセージを識別するために用いられる。また、制御部42は、要求メッセージに対応する値をデータ内容66として設定する。
【0040】
制御部42は、識別子64に、通信障害の原因を識別するための値を書き込む。例えば、制御部42は、記憶部43に伝送経路の障害を示すデータが記憶されている場合は、識別子64として「1」を設定する。一方、制御部42は、記憶部43に暗号通信の障害を示すデータのみが記憶されている場合は、識別子64として「2」を設定する。
【0041】
図5に戻り、制御部42は、作成された応答メッセージを暗号化して第1対向装置20へ送信する(ステップS49)。
【0042】
第1対向装置20の制御部22は、暗号化されたPingの応答メッセージを、送受信部21を介して受信する。次に、制御部22は、この応答メッセージを復号して、識別子に書き込まれた値を読み出す。制御部22は、この読み出された値に応じて、第2ネットワーク52にて発生した通信障害の原因を判別する(ステップS50)。
【0043】
以上説明したように、本実施形態に係るルータ40によれば、暗号化された伝送経路にて通信障害が生じた場合に、この通信障害が伝送経路の障害又は暗号通信の障害のいずれに起因するかを判別することができる。
【0044】
また、第1対向装置20が第2ネットワーク52の通信障害の有無を確認する際に、ルータ40がこの原因を示す情報を第1対向装置20に通知するので、第1対向装置20は、直接接続されていないネットワークに生じた通信障害の原因を認識することができる。これにより、通信システム10の管理者等は、第2ネットワーク52の通信障害を現地で確認する必要がないため、通信障害からの復旧を迅速に行うことができる。
【0045】
また、通信障害の原因の判別及びこの原因の通知が暗号通信により行われるので、第1対向装置20及びルータ40は、暗号通信の通信相手や通信内容について秘匿性を失うことなく通信障害の原因を判別することができる。
【0046】
(実施形態2)
次に、実施形態2について、上述の実施形態1との相違点を中心に説明する。なお、実施形態1に係る構成要素等と同一の構成要素等には各々同一の符号を付し、実施形態1と説明が重複する部分については、その説明を省略する。
【0047】
実施形態1と同様に、第2ネットワーク52にて通信障害が生じた場合を例として説明する。ルータ40が通信障害の原因を判別する処理は、実施形態1に係るステップS1〜S8と同様の処理が実行される。
【0048】
図7は、第1対向装置20が通信障害の原因を判別する処理を示すフロー図である。通信障害の原因を判別したルータ40は、第1対向装置20からの要求メッセージを受信しない状態で、この原因を示すデータを含むPingの応答メッセージを自動的に作成する(ステップS51)。
【0049】
その後、ルータ40は、作成された応答メッセージを第1対向装置20へ送信する(ステップS52)。
【0050】
第1対向装置20の制御部22は、ルータ40から応答メッセージを受信することにより、第1ネットワーク51には通信障害が発生していないことを認識する(ステップS53)。
【0051】
また、制御部22は、応答メッセージに基づいて、第2ネットワーク52に通信障害が発生していることを認識する(ステップS54)。
【0052】
さらに、制御部22は、応答メッセージの識別子に書き込まれた値に基づいて、第2ネットワークに生じた通信障害の原因を判別する(ステップS55)。
【0053】
以上説明したように、本実施形態に係るルータ40は、第2ネットワーク52に生じた通信障害の原因を判別した場合に、この原因を第1対向装置20へ自動的に通知する。これにより、第1対向装置20は、ルータ40が通信障害の原因を判別した直後に通信障害の原因を認識することができる。ひいては、ルータ40は、より迅速な復旧に寄与することができる。
【0054】
(他の実施形態)
以上、実施形態1および2について説明したが、本発明は上述の実施形態に限定されるものではない。
【0055】
例えば、上述の実施形態に係る制御部42は、識別子64として通信障害の原因を識別する情報を設定したが、その他の領域を用いて設定してもよい。例えば、制御部42は、この情報をデータ内容66に書き込んでもよい。この場合、データ内容66の領域は可変長なので、制御部42は、より詳細に通信障害に関する情報を第1対向装置20へ通知することができる。
【0056】
例えば、上述の実施形態に係る通信障害の原因の通知にはPingが用いられたが、その他のツールによりこの原因を通知してもよい。例えば、Tracerouteを用いて通信障害の原因を通知してもよい。
【0057】
例えば、上述の実施形態に係る通信障害は第2ネットワーク52で発生したが、これには限られない。具体的には、第1ネットワーク51にて通信障害が発生した場合であっても、ルータ40は通信障害の原因を判別し、この原因を第2対向装置30へ通知する。これにより、通信システム10を構成するネットワークのいずれに通信障害が発生しても、ルータ40は、通信障害を有するネットワークに直接接続されていないネットワーク装置に、通信障害が発生したネットワークの箇所と通信障害の原因とを認識させることができる。
【0058】
例えば、上述の実施形態において、ルータ40のみが通信障害の原因を判別する機能を有したが、対向装置の構成をルータ40と同様の構成として、ルータ40と同様の手順により第1対向装置又は第2対向装置が通信障害の原因を判別してもよい。
【0059】
例えば、上述の実施形態に係る通信システム10は、説明のため簡単な構成としたが、4台以上のネットワーク装置を有する構成としてもよい。また、3つ以上のネットワークを有する構成としてもよい。
【0060】
図8は、本発明の各実施形態に係るルータ40をコンピュータに実装する場合のハードウェア構成例を示すブロック図である。ルータ40は、一般的なコンピュータ装置と同様のハードウェア構成によって実現することができる。ルータ40は、プロセッサ401、主記憶部402、補助記憶部403、出力部404、入力部405及びインターフェース部406を備える。主記憶部402、補助記憶部403、出力部404、入力部405及びインターフェース部406はいずれも内部バス407を介してプロセッサ401に接続されている。
【0061】
プロセッサ401は、CPU(Central Processing Unit)等から構成され、補助記憶部403に記憶される制御プログラム408に従って、前述した各実施形態における制御部42の処理を実行する。
【0062】
主記憶部402は、RAM(Random-Access Memory)等から構成され、補助記憶部403に記憶される制御プログラム408をロードし、プロセッサ401の作業領域として用いられる。
【0063】
補助記憶部403は、フラッシュメモリ、ハードディスク、DVD−RAM(Digital Versatile Disc Random-Access Memory)、DVD−RW(Digital Versatile Disc ReWritable)等の不揮発性メモリから構成され、上述の処理をプロセッサ401に実行させるための制御プログラム408や通信内容のデータ等を予め記憶する。また、補助記憶部403は、プロセッサ401の指示に従って、この制御プログラム408が記憶するデータをプロセッサ401に供給し、プロセッサ401から供給されたデータを記憶する。また、補助記憶部403は、記憶部43を物理的に実現する。
【0064】
出力部404は、LCD(Liquid Crystal Display)等から構成される表示装置、スピーカ等から構成される音響装置又は印刷装置等を有し、種々の情報を使用者等に提供する。例えば、出力部404は、通信障害の原因と発生箇所とを通信システム10の管理者に表示する。
【0065】
入力部405は、キーボード及びマウス等のポインティングデバイス等と、キーボード及びポインティングデバイス等を内部バス407に接続するインターフェース装置等から構成される。入力部405を介して、使用者等はルータ40に指示を入力する。
【0066】
インターフェース部406は、モデム又は網終端装置、及びそれらと接続するシリアルインターフェース又はLANインターフェース等から構成される。インターフェース部406は、送受信部41を物理的に実現する。
【0067】
図1に示されるルータ40の送受信部41、制御部42、パラメータ交換部421、交換判定部422、暗号通信判定部423、原因判別部424及び記憶部43が実行する処理は、制御プログラム408が、プロセッサ401、主記憶部402、補助記憶部403、出力部404、入力部405、インターフェース部406等を資源として用いて処理することによって実行される。
【0068】
上述の実施形態に係るネットワーク装置の機能は、専用のハードウェアによっても、また、通常のコンピュータシステムによっても実現することができる。
【0069】
例えば、上述の実施形態において記憶部43に記憶されているプログラムを、フレキシブルディスク、CD−ROM(Compact Disk Read-Only Memory)、DVD(Digital Versatile Disk)、MO(Magneto-Optical disk)等のコンピュータ読み取り可能な記録媒体に格納して配布し、そのプログラムをコンピュータにインストールすることにより、上述の処理を実行する装置を構成することができる。
【0070】
また、プログラムをインターネット等の通信ネットワーク上の所定のサーバ装置が有するディスク装置等に格納しておき、例えば、搬送波に重畳させて、コンピュータにダウンロード等するようにしても良い。
【0071】
また、通信ネットワークを介してプログラムを転送しながら起動実行することによっても、上述の処理を達成することができる。
【0072】
更に、プログラムの全部又は一部をサーバ装置上で実行させ、その処理に関する情報をコンピュータが通信ネットワークを介して送受信しながらプログラムを実行することによっても、上述の処理を達成することができる。
【0073】
なお、上述の機能を、OS(Operating System)が分担して実現する場合又はOSとアプリケーションとの協働により実現する場合等には、OS以外の部分のみを媒体に格納して配布してもよく、また、コンピュータにダウンロード等しても良い。
【0074】
上述の実施形態の一部または全部は、以下の付記のようにも記載されうるが、以下には限られない。
【0075】
(付記1)
任意の装置と暗号通信を行う暗号通信手段と、
前記暗号通信の方式のパラメータを、前記装置と交換する交換手段と、
前記交換の成否を判定する交換判定手段と、
前記暗号通信の成否を判定する暗号通信判定手段と、
前記装置との間に通信障害が発生した場合に、前記交換判定手段及び前記暗号通信判定手段のうち少なくとも一方による判定の結果に基づいて、前記通信障害の原因を判別する原因判別手段と、
を備えるネットワーク装置。
【0076】
(付記2)
前記原因判別手段により判別された前記原因に関する情報を他の装置へ送信する送信手段と、
を備える付記1に記載のネットワーク装置。
【0077】
(付記3)
前記送信手段は、
前記他の装置からの要求に応答するメッセージを用いて、前記情報を前記他の装置へ送信する、
付記2に記載のネットワーク装置。
【0078】
(付記4)
前記送信手段は、
前記原因判別手段により前記原因が判別された場合は自動的に、前記情報を前記他の装置へ送信する、
付記2に記載のネットワーク装置。
【0079】
(付記5)
前記暗号通信はIPに従うネットワーク上の通信である、
付記1乃至4のいずれか一項に記載のネットワーク装置。
【0080】
(付記6)
前記パラメータは、暗号化及び復号のうち少なくとも一方の処理のプロトコルを規定する情報である、
付記1乃至5のいずれか一項に記載のネットワーク装置。
【0081】
(付記7)
任意の装置と暗号通信を行う暗号通信ステップと、
前記暗号通信の方式のパラメータを、前記装置と交換する交換ステップと、
前記交換の成否を判定する交換判定ステップと、
前記暗号通信の成否を判定する暗号通信判定ステップと、
前記装置との間に通信障害が発生した場合に、前記交換判定ステップ及び前記暗号通信判定ステップのうち少なくとも一方による判定の結果に基づいて、前記通信障害の原因を判別する原因判別ステップと、
を含む診断方法。
【0082】
(付記8)
コンピュータを、
任意の装置と暗号通信を行う暗号通信手段、
前記暗号通信の方式のパラメータを、前記装置と交換する交換手段、
前記交換の成否を判定する交換判定手段、
前記暗号通信の成否を判定する暗号通信判定手段、
前記装置との間に通信障害が発生した場合に、前記交換判定手段及び前記暗号通信判定手段のうち少なくとも一方による判定の結果に基づいて、前記通信障害の原因を判別する原因判別手段、
として機能させるためのプログラム。
【符号の説明】
【0083】
10 通信システム
20 第1対向装置
21、41 送受信部
22、42 制御部
23、43 記憶部
30 第2対向装置
40 ルータ
401 プロセッサ
402 主記憶部
403 補助記憶部
404 出力部
405 入力部
406 インターフェース部
407 内部バス
408 制御プログラム
421 パラメータ交換部
422 交換判定部
423 暗号通信判定部
424 原因判別部
51 第1ネットワーク
52 第2ネットワーク
60 応答メッセージ
61 タイプ
62 コード
63 チェックサム
64 識別子
65 シーケンス番号
66 データ内容
【特許請求の範囲】
【請求項1】
任意の装置と暗号通信を行う暗号通信手段と、
前記暗号通信の方式のパラメータを、前記装置と交換する交換手段と、
前記交換の成否を判定する交換判定手段と、
前記暗号通信の成否を判定する暗号通信判定手段と、
前記装置との間に通信障害が発生した場合に、前記交換判定手段及び前記暗号通信判定手段のうち少なくとも一方による判定の結果に基づいて、前記通信障害の原因を判別する原因判別手段と、
を備えるネットワーク装置。
【請求項2】
前記原因判別手段により判別された前記原因に関する情報を他の装置へ送信する送信手段と、
を備える請求項1に記載のネットワーク装置。
【請求項3】
前記送信手段は、
前記他の装置からの要求に応答するメッセージを用いて、前記情報を前記他の装置へ送信する、
請求項2に記載のネットワーク装置。
【請求項4】
前記送信手段は、
前記原因判別手段により前記原因が判別された場合は自動的に、前記情報を前記他の装置へ送信する、
請求項2に記載のネットワーク装置。
【請求項5】
前記暗号通信はIPに従うネットワーク上の通信である、
請求項1乃至4のいずれか一項に記載のネットワーク装置。
【請求項6】
前記パラメータは、暗号化及び復号のうち少なくとも一方の処理のプロトコルを規定する情報である、
請求項1乃至5のいずれか一項に記載のネットワーク装置。
【請求項7】
任意の装置と暗号通信を行う暗号通信ステップと、
前記暗号通信の方式のパラメータを、前記装置と交換する交換ステップと、
前記交換の成否を判定する交換判定ステップと、
前記暗号通信の成否を判定する暗号通信判定ステップと、
前記装置との間に通信障害が発生した場合に、前記交換判定ステップ及び前記暗号通信判定ステップのうち少なくとも一方による判定の結果に基づいて、前記通信障害の原因を判別する原因判別ステップと、
を含む診断方法。
【請求項8】
コンピュータを、
任意の装置と暗号通信を行う暗号通信手段、
前記暗号通信の方式のパラメータを、前記装置と交換する交換手段、
前記交換の成否を判定する交換判定手段、
前記暗号通信の成否を判定する暗号通信判定手段、
前記装置との間に通信障害が発生した場合に、前記交換判定手段及び前記暗号通信判定手段のうち少なくとも一方による判定の結果に基づいて、前記通信障害の原因を判別する原因判別手段、
として機能させるためのプログラム。
【請求項1】
任意の装置と暗号通信を行う暗号通信手段と、
前記暗号通信の方式のパラメータを、前記装置と交換する交換手段と、
前記交換の成否を判定する交換判定手段と、
前記暗号通信の成否を判定する暗号通信判定手段と、
前記装置との間に通信障害が発生した場合に、前記交換判定手段及び前記暗号通信判定手段のうち少なくとも一方による判定の結果に基づいて、前記通信障害の原因を判別する原因判別手段と、
を備えるネットワーク装置。
【請求項2】
前記原因判別手段により判別された前記原因に関する情報を他の装置へ送信する送信手段と、
を備える請求項1に記載のネットワーク装置。
【請求項3】
前記送信手段は、
前記他の装置からの要求に応答するメッセージを用いて、前記情報を前記他の装置へ送信する、
請求項2に記載のネットワーク装置。
【請求項4】
前記送信手段は、
前記原因判別手段により前記原因が判別された場合は自動的に、前記情報を前記他の装置へ送信する、
請求項2に記載のネットワーク装置。
【請求項5】
前記暗号通信はIPに従うネットワーク上の通信である、
請求項1乃至4のいずれか一項に記載のネットワーク装置。
【請求項6】
前記パラメータは、暗号化及び復号のうち少なくとも一方の処理のプロトコルを規定する情報である、
請求項1乃至5のいずれか一項に記載のネットワーク装置。
【請求項7】
任意の装置と暗号通信を行う暗号通信ステップと、
前記暗号通信の方式のパラメータを、前記装置と交換する交換ステップと、
前記交換の成否を判定する交換判定ステップと、
前記暗号通信の成否を判定する暗号通信判定ステップと、
前記装置との間に通信障害が発生した場合に、前記交換判定ステップ及び前記暗号通信判定ステップのうち少なくとも一方による判定の結果に基づいて、前記通信障害の原因を判別する原因判別ステップと、
を含む診断方法。
【請求項8】
コンピュータを、
任意の装置と暗号通信を行う暗号通信手段、
前記暗号通信の方式のパラメータを、前記装置と交換する交換手段、
前記交換の成否を判定する交換判定手段、
前記暗号通信の成否を判定する暗号通信判定手段、
前記装置との間に通信障害が発生した場合に、前記交換判定手段及び前記暗号通信判定手段のうち少なくとも一方による判定の結果に基づいて、前記通信障害の原因を判別する原因判別手段、
として機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2012−209906(P2012−209906A)
【公開日】平成24年10月25日(2012.10.25)
【国際特許分類】
【出願番号】特願2011−76117(P2011−76117)
【出願日】平成23年3月30日(2011.3.30)
【出願人】(390010179)埼玉日本電気株式会社 (1,228)
【Fターム(参考)】
【公開日】平成24年10月25日(2012.10.25)
【国際特許分類】
【出願日】平成23年3月30日(2011.3.30)
【出願人】(390010179)埼玉日本電気株式会社 (1,228)
【Fターム(参考)】
[ Back to top ]