ネットワーク装置の空き回線不正使用防止方法及び回線施錠装置
【課題】解決しようとする課題は、ネットワーク装置の空き回線を使用したDOS攻撃等、誤接続によるシステムダウンなどのセキュリティが脅かされる問題に対し、回線を治具等で遮断する方法では封止具の突起物などによる実装上の問題、あるいは遠隔での回線状態の確認ができない問題である。
【解決手段】通信ネットワークの回線毎の回線設定を行う機能を備えたネットワーク装置に回線設定を指示する回線施錠装置を接続して、回線毎に回線のロックあるいはアンロックの回線設定の制御情報の設定を行い、ネットワーク装置は指定された回線設定の制御情報の正当性の確認を行って、指示された回線のロックあるいはアンロックの回線設定を行う。
【解決手段】通信ネットワークの回線毎の回線設定を行う機能を備えたネットワーク装置に回線設定を指示する回線施錠装置を接続して、回線毎に回線のロックあるいはアンロックの回線設定の制御情報の設定を行い、ネットワーク装置は指定された回線設定の制御情報の正当性の確認を行って、指示された回線のロックあるいはアンロックの回線設定を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信ネットワークを構成するネットワーク装置のセキュリティに係わり、特にネットワーク装置の回線接続部に回線のロック、アンロックの制御を行なう回線施錠装置を接続してネットワーク装置の回線の不正使用、誤接続を防止するネットワーク装置の空き回線不正使用防止方法及び回線施錠装置に関するものである。
【背景技術】
【0002】
近年、拡大する通信ネットワークのセキュリティーを確保することは重要な課題である。ネットワークには数多くのネットワーク装置が接続されている。これらのネットワークを構成するネットワーク装置の空き回線を使用し、DOS攻撃やスヌーピングといった行為が行われる状況がある。また、ネットワーク装置の空き回線に不用意にケーブルを接続してしまいネットワーク構成のループによるシステムダウンという問題も発生している。このため、ネットワーク装置の空き回線が不用意に使用されることを防止することが重要となっている。
【0003】
ネットワーク装置への不正接続・誤接続の解決方法として、物理的にネットワーク装置のコネクタ部を塞いでしまう封止具も知られている。(例えば、
【特許文献1】)しかしながら、この場合、使用したい回線数分の封止具の購入する必要があり、その数だけの鍵も添付されるため鍵管理に負担が生じる。またこの封止具を取り付けることにより、ネットワーク製品から数センチの突起が生ずる。このため、封止具への接触によるコネクタ部の損傷、さらには、ラック搭載時にラックの全面扉が閉まらないという問題もある。
【0004】
また、コネクタ部に開閉式遮蔽カバーを設け物理的に使用できなくする方法も知られている(例えば、
【特許文献2】)が、遮蔽カバーを収納するスペースがネットワーク装置本体部に必要となり、小型化、高い回線収容数が求められる現在のネットワーク装置への実装は難しい。さらに本方法は、ネットワークのコンフィグレーション情報とはリンクしない物理的な手段であるため、コンフィグレーション情報を有しているネットワーク装置の場合、管理コンソールを使用した遠隔操作、遠隔状態確認ができないという、保守・管理面の問題もある。
【特許文献1】特開2007−66593号公報
【特許文献2】特開平11−154566号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
ネットワーク装置の空き回線を使用したDOS攻撃などへの外部からの侵入、誤接続によるシステムダウンなどのセキュリティが脅かされる問題に対し、封止具などによる物理的遮蔽では突起物などによる実装上の問題が解決できず、また、遠隔での回線状態の確認ができない。
【0006】
本発明は、ネットワーク装置の回線接続コネクタ部に回線施錠装置を接続して回線のロック/アンロックの回線設定を行って、ネットワーク装置の空き回線の不正使用・誤接続等のセキュリティー問題の解決を図ることを目的とする
【課題を解決するための手段】
【0007】
操作者からの指示に従い、通信ネットワークの回線毎の回線設定を行う機能を備えたネットワーク装置と前記ネットワーク装置に回線設定を指示する回線施錠装置によるネットワークの回線不正使用の防止方法である。
【0008】
ネットワーク装置の回線コネクタ部に接続した回線施錠装置より指定した回線のロックあるいはアンロックの回線設定の指示を制御情報により行う。ネットワーク装置は制御情報の正当性の確認を行い、指定された回線に指定のロックあるいはアンロックの回線設定を行う。
【発明の効果】
【0009】
本発明により、ネットワークの管理コンソールによる制御を行うことなく、また、封止具を必要とせず、ネットワーク装置の空き回線への不正アクセス・誤接続を防止した強固なセキュリティー機能を実現できる。さらに、回線施錠装置を常時接続する必要が無いので、突起物などによる実装上の問題が無く、また、ネットワーク装置の回線コンフィグレーションの設定変更、設定確認ができ、管理の容易さ、設定変更に係わる工数の削減ができる。
【発明を実施するための最良の形態】
【0010】
(実施例1)
図1はネットワーク構成例と回線施錠装置の接続を示す図である。構内ネットワーク1と外部ネットワーク2がネットワーク装置(ゲートウエイ)3を介して接続されたネットワーク構成例への回線施錠装置5の接続を示している。ネットワーク装置(ゲートウエイ)3以外のネットワーク装置として、ここではLANノード4−i(i=1〜3)がある。。
【0011】
操作者は、回線施錠装置5を各ネットワーク装置(ネットワーク装置3、ネットワーク装置4)に順次接続する。回線施錠装置5は操作者により設定された回線毎の回線設定(ロック、アンロック)を各ネットワーク装置3、ネットワーク装置4に備える回線設定制御部と連携して行う。各回線は設定された後は回線状態を保持するため、回線施錠装置5は各ネットワーク装置3、4より取り外す。すなわち、回線施錠装置5はネットワーク装置3、4に常時接続しておく必要はない。また、同一のネットワーク装置について複数回線の設定を行う場合は回線施錠装置を1つのポートより行う。
【0012】
図2はネットワーク装置(LANノード)ブロック構成を示す図である。ネットワーク装置一般の代表としてネットワーク装置(LANノード)4を示している。
【0013】
ネットワーク装置(LANノード)4をLANノード本体部6、回線設定制御部7、ポートコネクタ部8−i(i=1〜n)で表す。本発明に係わる回線設定制御部7の動作は図1のゲートウエイ装置3等他のネットワーク装置の場合も同一である。
【0014】
ネットワーク装置(LANノード)4はLANノード本体部6、回線設定制御部7、ポートコネクタ部8で構成し、回線設定制御部7は通信管理部10、暗号/復号化処理部11、施錠制御部12、回線状態表示部13、電子鍵内蔵部14で構成する。また、通信管理部10は通信処理部15とポート管理部16で構成する。LANノード本体部6は通常のLANノードとして知られているノードをLANノード本体部6(除くポートのコネクタ部)として代表する。説明は省略する。
【0015】
操作者は回線施錠装置5をポートコネク部8に接続し、接続したポートの回線毎の回線設定、あるいは回線状態確認の設定のための制御情報の設定を行う。
【0016】
操作者による制御情報の設定に対し、ネットワーク装置4は以下の処理を行う。なお、制御情報については図4で説明する。
1)通信処理部10は、ポートコネクタ部8を介して受信した制御情報を確認後、チェックサムを外し、回線情報を暗号/復号化処理部11に送り、メッセージ情報は施錠制御部12に送る。暗号/復号化処理部11は電子鍵内蔵部14の電子鍵を使い復号する。復号された回線情報は施錠制御部12に送られる。
2)施錠制御部12は、メッセージ情報の指示に従い、回線情報をポート管理部16に送り、ポート管理部16は対象の回線の回線設定をLANノード本体部6と連携してソフト制御で行う。あるいは回線状態(ロック、アンロック)の確認を行う。ポート管理部16は常時ポート番号毎の回線状態を保持し、更新された場合も更新情報を保持する。
3)施錠制御部12が受信した制御情報が回線状態確認情報の場合はポート管理部16から受信した指定回線の回線状態を回線状態表示部13に送り、回線状態表示部13は受信した回線状態を表示する。また、ポート管理部16で確認した対象回線の回線状態は電子鍵内蔵部14の電子鍵を使い暗号化し、通信処理部15へ送られる。
【0017】
なお、制御情報は複数回線の回線情報をも構成しているため、ポート管理部16は回線設定あるいは、回線状態の確認が複数回線の場合も回線施錠装置を付け替えることなく、指示された全てのポートの回線設定、あるいは回線状態の確認機能を持たせることができる。また回線設定は、LANノード本体部6と連携して行う。これは、通信装置一般で通常可能なソフト機能、ポート閉塞(ロック)、ポート開放(アンロック)であるので説明は省略する。
4)通信処理部15は回線施錠装置への返答のため、返信メッセージ情報と暗号化された回線情報を通信用コードに変換し、チェックサムを行い、チェックサムのビットを付加した制御情報のデータフォーマットを生成し、ポートコネクタ部8を介して回線施錠装置5に送信する。
【0018】
なお、電子鍵内蔵部14で保持する電子鍵は予め操作者が設定してメモリに記録し電子鍵内蔵部14に保持する。回線施錠装置5の電子鍵と対の暗号化鍵、復号化鍵である。データの受信時は復号化鍵で復号解読し、送信時は暗号化鍵で暗号化を行う。電子鍵は該当のネットワークのセキュリィティの度合いに応じて選択する。多くの電子鍵が知られているので説明は省略する。
【0019】
図3は回線施錠装置ブロック構成を示す図である。ネットワーク装置接続コネクタ部20、通信処理部21、暗号/復号化処理部22、施錠制御部23、電子鍵内蔵部24、回線状態表示部25、設定操作部(設定スィッチ)26で構成する。
【0020】
操作者は回線施錠装置5をポートコネク部8に接続し、接続したポートの回線毎の回線設定あるいは、回線状態確認の設定を設定操作部26の設定スイッチで行う。
【0021】
操作者による制御情報の設定に対し、回線施錠装置5は以下の処理を行う。
1)施錠制御部23は設定された制御情報の回線情報を暗号/復号化処理部22に送り、暗号/復号化処理部22は電子鍵内蔵部の暗号化鍵により暗号化する。通信処理部21はメッセージ情報、暗号化された回線情報を通信用のコードに変換しチェックサムを行い、チェックサムのビットを付加した制御情報のデータフォーマットを生成し、ネットワーク装置接続コネクタ部20を介してネットワーク装置4に送る。
2)一方、ネットワーク装置4からの返信制御情報はネットワーク装置接続コネクタ部20を介して通信処理部21が受信する。通信処理部21はチェックサムによる誤りが無いことを確認し、メッセージ情報から返信制御情報を確認して、メッセージ情報、回線情報を暗号/復号化処理部22に送る。暗号/復号化処理部22は回線情報を電子鍵内蔵部24から復号化鍵を取得し、回線情報を復号し、復号した回線情報とメッセージ情報を施錠制御部に送る。施錠制御部23は受信した回線状態確認信号を回線状態表示部25に送り、回線状態表示部25は受信した回線状態を表示する。
【0022】
なお、設定操作部(設定スィッチ)26は、ネットワーク装置4の回線を設定するスィッチによる設定操作部である。設定は回線毎のロック/アンロック設定、一括のロック/アンロック設定がある。本設定によるネットワーク装置への制御情報の通信データフォーマットは図4で説明する。設定スィッチはマニュアル設定で設定する。
【0023】
図4はネットワーク装置と回線施錠装置間通信の制御情報の通信データフォーマットを示す図である。ネットワーク装置と回線施錠装置間に通信される制御情報は、メッセージ情報、回線情報及びチェックサムで構成する。ネットワーク装置と回線施錠装置間で制御情報(メッセージ情報、回線情報)は通信用コードに変換され、チェックサムによるエラーチェックのコードが付加され通信される。
1)メッセージ情報
回線情報にリンクする要求/応答等のメッセージ種別である。暗号化はしない。
「d1」:回線施錠装置から回線設定制御部への要求メッセージであり、「回線設定指示」、「回線状態確認指示」の情報である。
「d2」:回線設定制御部から回線施錠装置への要求(「d1」に対する応答の「指示への応答」情報である。
「d3」:各メッセージのシーケンス番号である。
【0024】
例えば、ポート毎に回線施錠装置からの送信時、「d2」コードは「nullビット」で表示し、ネットワーク装置が返信する場合は、ネットワーク装置の回線設定制御部は「d1」コードを「要求メッセージの情報と同一指示内容にし」、受信したシーケンス番号をそのまま付加して返信する。
2)回線情報
回線番号情報、回線設定情報と回線状態確認情報で暗号化されるデータである。以下で構成する。
ア.「d4i」:回線番号情報を示すポート番号である。
イ.「d5i」:回線設定情報で「ロック指示」あるいは「アンロックの指示」の情報である。
ウ.「d6i」:回線状態確認情報で確認した「ロック」あるいは「アンロック」の情報である。
【0025】
また、複数回線の回線情報の設定は、(「d4i」,「d5i」,「d6i」)を対にして、目的の回線の回線設定あるいは回線状態確認をこの対情報を繰り返し設定して行う。
3)チェックサム
誤り検出、訂正データのためのデータであり、メッセージ情報と回線情報を通信用のコードに変換しその数値合計にチェックサムとして付加する。誤り確認の付加情報としては他にはCRC方式、パリィティチェックが考えられる。
【0026】
ネットワーク装置4と回線施錠装置間5で通信用コードに変換されたメッセージ情報と暗号化された回線情報に誤り訂正のチェックサムを付加された通信データフォーマットにより通信が行われる。
【0027】
図5は回線施錠装置からネットワーク装置への制御情報の送信手順を示す図である。操作者が回線施錠装置の設定操作部から設定した制御情報を生成し、ネットワーク装置に送信する手順である。
1)操作者は回線施錠装置を対象のネットワーク装置の対象のポートコネクタ部に接続すし、設定操作部より、接続したポートに対する指示内容(メッセージ情報に対応)、回線情報をスイッチにより設定する。(S1、S2)
例えば、接続したポートの回線設定を行う場合、メッセージ情報として「d1」として「回線設定指示」、「d2=null」、「d3=1」(例えばシーケンス番号=1)を設定する。
2)施錠制御部は設定された指示内容(メッセージ情報)と回線情報を判断し、回線情報は暗号/復号化処理部に送り、指示内容は通信処理部に送る。暗号化/復号化処理部は電子鍵内蔵部の暗号化鍵を使い回線情報を暗号化する。(S3、S4)
3)通信処理部はメッセージ情報と暗号化した回線情報の通信用コードを生成し、チェックサムによるパリテッィを付加した制御情報のデータフォーマット生成し、ネットワーク装置接続インタフェースを介してネットワーク装置に送信する。(S5)
図6はネットワーク装置の回線施錠装置からの指示内容の処理手順を示す図である。回線施錠装置から送信された制御情報を解読し、対応した処理を行う手順を示している。
1)通信処理部は受信したデータが制御情報であるか否かの確認をメッセージ情報で行う。制御情報である場合はS12に進む。メッセージ情報で無い場合は通常のデータであるので、通信処理部では処理を行わず、ネットワーク装置のLANノード本体部で通常の処理が行われることになる。(S10、S11)
2)暗号/復号化処理部は電子鍵内蔵部より復号化鍵を取得し、制御情報の回線情報を復号する。制御情報が指定の暗号化鍵で暗号化されていて復号可能か確認し、復号可能な場合は回線情報の復号を行う。復号できない場合は誤りの信号、あるいは外部からの擬似制御情報であるので、制御情報の処理は行わない(廃棄扱い)。(S12、S13、S14、S15、)
3)施錠制御部は復号された回線情報の内容を判断する。(S16)
ア.回線設定情報の場合:施錠制御部は、受信した回線番号情報を確認し、ポート管理部に回線設定を指示する。ポート管理部は指示を受けたポート番号のポートに指示の回線設定(ロック/アンロック)を行う。(S17、S18、S19)
イ.回線状態確認情報の場合:施錠制御部は、受信した回線番号情報を確認し、ポート管理部に回線状態の確認を指示する。ポート管理部は指示のポート番号の回線状態を確認し、確認結果を保持すると共に施錠管理部に確認結果を通知する。施錠制御部は確認結果を暗号/復号化処理部に送り、暗号/復号化処理部は回線情報を暗号化鍵により暗号化し、通信処理部に送る。通信処理部はメッセージ情報、暗号化された回線情報を通信用コードに変換し、チェックサムを付加して回線施錠装置に返信する。(S20、S21、S22、S23、S24)
ウ.回線設定情報、回線状態確認信号の両者でも無い場合はエラー情報として制御情報の処理は行わない(廃棄扱い)。(S25)
図7は回線施錠装置の状態確認回線の状態表示手順を示す図である。ネットワーク装置に回線状態の要求を行った回線の状態を受信し、回線状態表示部に表示する手順を示している。
1)通信処理部はネットワーク装置より送信した情報に対する応答情報を受信する。受信情報のメッセージ情報の内容より応答メッセージ情報であるか確認し、応答情報である場合はS32に進み、そうでない場合はS34に進む。
【0028】
なお、メッセージ情報で無い場合は通常のLANノードの通常のデータであるので、通信処理部では処理を行わない(廃棄扱い)。(S30、S31、S34)
2)暗号/復号化処理部は受信した返信回線情報を復号し、要求のポート番号の回線状態(ロック/アンロック)の情報を得て、施錠制御部に通知する。施錠制御部はポート番号に対する回線状態の表示を回線状態表示部に指示し、回線状態表示部はポート番号とその回線状態を表示する。(S32、S33)
3)受信した情報が応答メッセージでない場合は、通常のLANノードのデータであるので、通信処理部では処理を行わない。(S34)
図8は回線施錠装置接続外観を示す図である。ネットワーク装置5のポートコネクタ部8との接続箇所であるネットワーク装置接続コネクタ部20、回線状態表示部25、設定操作部(設定スィッチ)26を示している。回線状態表示部にはロック、アンロックを示す表示が示される。(ここでは分かり易く「Lock」「Unlock」で表示)
図9はネットワーク装置への回線施錠装置接続外観を示す図である。ネットワーク装置4のポートコネクタ部8に接続した状態を示している。接続した回線のロック/アンロック状態が回線状態表示部14に表示される。
【0029】
図10はネットワーク装置及び回線施錠装置接続状態(その1)を示す図である。
【0030】
1)の回線切換スィッチにより「回線ロック」設定に対し、2)に回線使用不可を示す「LINK DOWN」の表示行う。
【0031】
図11はネットワーク装置及び回線施錠装置接続状態(その2)を示す図である。
【0032】
1)の回線切換スィッチにより「回線アンロック」設定に対し、2)に回線使用可能表示を示す「LINK UP」の表示を行う。
【0033】
図12はロック/アンロック設定後のネットワーク装置への回線接続を示す図である。
1)回線施錠装置の常時接続不要
ロック/アンロック設定後は回線コネクタ部がLANノード本体部と連携して、設定した状態をソフト的に維持するので、回線施錠装置は常時接続不要となる。すなわち、一度設定後は、回線施錠装置を接続不要であり、回線施錠装置を着脱した状態においても設定した回線状態を維持する。
2)回線接続ケーブル接続無効
ロック設定により回線接続ケーブルを接続しても、物理的な設定されたポートからの信号は無視するようソフト的に処理するので、回線接続は無効扱いとなる。すなわち、実効的に接続無効である。表示部には通信不可の表示が表示される。
【図面の簡単な説明】
【0034】
【図1】図1はネットワーク構成例と回線施錠装置の接続を示す図である。
【図2】図2はネットワーク装置(LANノード)ブロック構成を示す図である。
【図3】図3は回線施錠装置ブロック構成を示す図である。
【図4】図4はネットワーク装置と回線施錠装置間通信の制御情報の通信データフォーマットを示す図である。
【図5】図5は回線施錠装置からネットワーク装置への制御情報の送信手順を示す図である。
【図6】図6はネットワーク装置の回線施錠装置からの指示内容の処理手順を示す図である。
【図7】図7は回線施錠装置の状態確認回線の状態表示手順を示す図である。
【図8】図8は回線施錠装置接続外観を示す図である。
【図9】図9はネットワーク装置への回線施錠装置接続外観を示す図である。
【図10】図10はネットワーク装置及び回線施錠装置接続状態(その1)を示す図である。
【図11】図11はネットワーク装置及び回線施錠装置接続状態(その2)を示す図である。
【図12】図12はロック/アンロック設定後のネットワーク装置への回線接続を示す図である。
【符号の説明】
【0035】
1 構内ネットワーク
2 外部ネットワーク
3 ネットワーク装置(ゲートウエイ)
4 ネットワーク装置(LANノード)
5 回線施錠装置
6 LANノード本体部
7 回線設定制御部
8、8−1、8−i、8−n ポートコネクタ部
10 通信管理部
11 暗号/復号化処理部(ネットワーク装置)
12 施錠制御部(ネットワーク装置)
13 回線状態表示部(ネットワーク装置)
14 電子鍵内蔵部(ネットワーク装置)
15 通信処理部
16 ポート管理部
20 ネットワーク装置接続コネクタ部
21 通信処理部
22 暗号/復号化処理部(回線施錠装置)
23 施錠制御部(回線施錠装置)
24 電子鍵内蔵部(回線施錠装置)
25 回線状態表示部(ネットワーク装置)
26 操作設定部(設定スィッチ)
【技術分野】
【0001】
本発明は、通信ネットワークを構成するネットワーク装置のセキュリティに係わり、特にネットワーク装置の回線接続部に回線のロック、アンロックの制御を行なう回線施錠装置を接続してネットワーク装置の回線の不正使用、誤接続を防止するネットワーク装置の空き回線不正使用防止方法及び回線施錠装置に関するものである。
【背景技術】
【0002】
近年、拡大する通信ネットワークのセキュリティーを確保することは重要な課題である。ネットワークには数多くのネットワーク装置が接続されている。これらのネットワークを構成するネットワーク装置の空き回線を使用し、DOS攻撃やスヌーピングといった行為が行われる状況がある。また、ネットワーク装置の空き回線に不用意にケーブルを接続してしまいネットワーク構成のループによるシステムダウンという問題も発生している。このため、ネットワーク装置の空き回線が不用意に使用されることを防止することが重要となっている。
【0003】
ネットワーク装置への不正接続・誤接続の解決方法として、物理的にネットワーク装置のコネクタ部を塞いでしまう封止具も知られている。(例えば、
【特許文献1】)しかしながら、この場合、使用したい回線数分の封止具の購入する必要があり、その数だけの鍵も添付されるため鍵管理に負担が生じる。またこの封止具を取り付けることにより、ネットワーク製品から数センチの突起が生ずる。このため、封止具への接触によるコネクタ部の損傷、さらには、ラック搭載時にラックの全面扉が閉まらないという問題もある。
【0004】
また、コネクタ部に開閉式遮蔽カバーを設け物理的に使用できなくする方法も知られている(例えば、
【特許文献2】)が、遮蔽カバーを収納するスペースがネットワーク装置本体部に必要となり、小型化、高い回線収容数が求められる現在のネットワーク装置への実装は難しい。さらに本方法は、ネットワークのコンフィグレーション情報とはリンクしない物理的な手段であるため、コンフィグレーション情報を有しているネットワーク装置の場合、管理コンソールを使用した遠隔操作、遠隔状態確認ができないという、保守・管理面の問題もある。
【特許文献1】特開2007−66593号公報
【特許文献2】特開平11−154566号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
ネットワーク装置の空き回線を使用したDOS攻撃などへの外部からの侵入、誤接続によるシステムダウンなどのセキュリティが脅かされる問題に対し、封止具などによる物理的遮蔽では突起物などによる実装上の問題が解決できず、また、遠隔での回線状態の確認ができない。
【0006】
本発明は、ネットワーク装置の回線接続コネクタ部に回線施錠装置を接続して回線のロック/アンロックの回線設定を行って、ネットワーク装置の空き回線の不正使用・誤接続等のセキュリティー問題の解決を図ることを目的とする
【課題を解決するための手段】
【0007】
操作者からの指示に従い、通信ネットワークの回線毎の回線設定を行う機能を備えたネットワーク装置と前記ネットワーク装置に回線設定を指示する回線施錠装置によるネットワークの回線不正使用の防止方法である。
【0008】
ネットワーク装置の回線コネクタ部に接続した回線施錠装置より指定した回線のロックあるいはアンロックの回線設定の指示を制御情報により行う。ネットワーク装置は制御情報の正当性の確認を行い、指定された回線に指定のロックあるいはアンロックの回線設定を行う。
【発明の効果】
【0009】
本発明により、ネットワークの管理コンソールによる制御を行うことなく、また、封止具を必要とせず、ネットワーク装置の空き回線への不正アクセス・誤接続を防止した強固なセキュリティー機能を実現できる。さらに、回線施錠装置を常時接続する必要が無いので、突起物などによる実装上の問題が無く、また、ネットワーク装置の回線コンフィグレーションの設定変更、設定確認ができ、管理の容易さ、設定変更に係わる工数の削減ができる。
【発明を実施するための最良の形態】
【0010】
(実施例1)
図1はネットワーク構成例と回線施錠装置の接続を示す図である。構内ネットワーク1と外部ネットワーク2がネットワーク装置(ゲートウエイ)3を介して接続されたネットワーク構成例への回線施錠装置5の接続を示している。ネットワーク装置(ゲートウエイ)3以外のネットワーク装置として、ここではLANノード4−i(i=1〜3)がある。。
【0011】
操作者は、回線施錠装置5を各ネットワーク装置(ネットワーク装置3、ネットワーク装置4)に順次接続する。回線施錠装置5は操作者により設定された回線毎の回線設定(ロック、アンロック)を各ネットワーク装置3、ネットワーク装置4に備える回線設定制御部と連携して行う。各回線は設定された後は回線状態を保持するため、回線施錠装置5は各ネットワーク装置3、4より取り外す。すなわち、回線施錠装置5はネットワーク装置3、4に常時接続しておく必要はない。また、同一のネットワーク装置について複数回線の設定を行う場合は回線施錠装置を1つのポートより行う。
【0012】
図2はネットワーク装置(LANノード)ブロック構成を示す図である。ネットワーク装置一般の代表としてネットワーク装置(LANノード)4を示している。
【0013】
ネットワーク装置(LANノード)4をLANノード本体部6、回線設定制御部7、ポートコネクタ部8−i(i=1〜n)で表す。本発明に係わる回線設定制御部7の動作は図1のゲートウエイ装置3等他のネットワーク装置の場合も同一である。
【0014】
ネットワーク装置(LANノード)4はLANノード本体部6、回線設定制御部7、ポートコネクタ部8で構成し、回線設定制御部7は通信管理部10、暗号/復号化処理部11、施錠制御部12、回線状態表示部13、電子鍵内蔵部14で構成する。また、通信管理部10は通信処理部15とポート管理部16で構成する。LANノード本体部6は通常のLANノードとして知られているノードをLANノード本体部6(除くポートのコネクタ部)として代表する。説明は省略する。
【0015】
操作者は回線施錠装置5をポートコネク部8に接続し、接続したポートの回線毎の回線設定、あるいは回線状態確認の設定のための制御情報の設定を行う。
【0016】
操作者による制御情報の設定に対し、ネットワーク装置4は以下の処理を行う。なお、制御情報については図4で説明する。
1)通信処理部10は、ポートコネクタ部8を介して受信した制御情報を確認後、チェックサムを外し、回線情報を暗号/復号化処理部11に送り、メッセージ情報は施錠制御部12に送る。暗号/復号化処理部11は電子鍵内蔵部14の電子鍵を使い復号する。復号された回線情報は施錠制御部12に送られる。
2)施錠制御部12は、メッセージ情報の指示に従い、回線情報をポート管理部16に送り、ポート管理部16は対象の回線の回線設定をLANノード本体部6と連携してソフト制御で行う。あるいは回線状態(ロック、アンロック)の確認を行う。ポート管理部16は常時ポート番号毎の回線状態を保持し、更新された場合も更新情報を保持する。
3)施錠制御部12が受信した制御情報が回線状態確認情報の場合はポート管理部16から受信した指定回線の回線状態を回線状態表示部13に送り、回線状態表示部13は受信した回線状態を表示する。また、ポート管理部16で確認した対象回線の回線状態は電子鍵内蔵部14の電子鍵を使い暗号化し、通信処理部15へ送られる。
【0017】
なお、制御情報は複数回線の回線情報をも構成しているため、ポート管理部16は回線設定あるいは、回線状態の確認が複数回線の場合も回線施錠装置を付け替えることなく、指示された全てのポートの回線設定、あるいは回線状態の確認機能を持たせることができる。また回線設定は、LANノード本体部6と連携して行う。これは、通信装置一般で通常可能なソフト機能、ポート閉塞(ロック)、ポート開放(アンロック)であるので説明は省略する。
4)通信処理部15は回線施錠装置への返答のため、返信メッセージ情報と暗号化された回線情報を通信用コードに変換し、チェックサムを行い、チェックサムのビットを付加した制御情報のデータフォーマットを生成し、ポートコネクタ部8を介して回線施錠装置5に送信する。
【0018】
なお、電子鍵内蔵部14で保持する電子鍵は予め操作者が設定してメモリに記録し電子鍵内蔵部14に保持する。回線施錠装置5の電子鍵と対の暗号化鍵、復号化鍵である。データの受信時は復号化鍵で復号解読し、送信時は暗号化鍵で暗号化を行う。電子鍵は該当のネットワークのセキュリィティの度合いに応じて選択する。多くの電子鍵が知られているので説明は省略する。
【0019】
図3は回線施錠装置ブロック構成を示す図である。ネットワーク装置接続コネクタ部20、通信処理部21、暗号/復号化処理部22、施錠制御部23、電子鍵内蔵部24、回線状態表示部25、設定操作部(設定スィッチ)26で構成する。
【0020】
操作者は回線施錠装置5をポートコネク部8に接続し、接続したポートの回線毎の回線設定あるいは、回線状態確認の設定を設定操作部26の設定スイッチで行う。
【0021】
操作者による制御情報の設定に対し、回線施錠装置5は以下の処理を行う。
1)施錠制御部23は設定された制御情報の回線情報を暗号/復号化処理部22に送り、暗号/復号化処理部22は電子鍵内蔵部の暗号化鍵により暗号化する。通信処理部21はメッセージ情報、暗号化された回線情報を通信用のコードに変換しチェックサムを行い、チェックサムのビットを付加した制御情報のデータフォーマットを生成し、ネットワーク装置接続コネクタ部20を介してネットワーク装置4に送る。
2)一方、ネットワーク装置4からの返信制御情報はネットワーク装置接続コネクタ部20を介して通信処理部21が受信する。通信処理部21はチェックサムによる誤りが無いことを確認し、メッセージ情報から返信制御情報を確認して、メッセージ情報、回線情報を暗号/復号化処理部22に送る。暗号/復号化処理部22は回線情報を電子鍵内蔵部24から復号化鍵を取得し、回線情報を復号し、復号した回線情報とメッセージ情報を施錠制御部に送る。施錠制御部23は受信した回線状態確認信号を回線状態表示部25に送り、回線状態表示部25は受信した回線状態を表示する。
【0022】
なお、設定操作部(設定スィッチ)26は、ネットワーク装置4の回線を設定するスィッチによる設定操作部である。設定は回線毎のロック/アンロック設定、一括のロック/アンロック設定がある。本設定によるネットワーク装置への制御情報の通信データフォーマットは図4で説明する。設定スィッチはマニュアル設定で設定する。
【0023】
図4はネットワーク装置と回線施錠装置間通信の制御情報の通信データフォーマットを示す図である。ネットワーク装置と回線施錠装置間に通信される制御情報は、メッセージ情報、回線情報及びチェックサムで構成する。ネットワーク装置と回線施錠装置間で制御情報(メッセージ情報、回線情報)は通信用コードに変換され、チェックサムによるエラーチェックのコードが付加され通信される。
1)メッセージ情報
回線情報にリンクする要求/応答等のメッセージ種別である。暗号化はしない。
「d1」:回線施錠装置から回線設定制御部への要求メッセージであり、「回線設定指示」、「回線状態確認指示」の情報である。
「d2」:回線設定制御部から回線施錠装置への要求(「d1」に対する応答の「指示への応答」情報である。
「d3」:各メッセージのシーケンス番号である。
【0024】
例えば、ポート毎に回線施錠装置からの送信時、「d2」コードは「nullビット」で表示し、ネットワーク装置が返信する場合は、ネットワーク装置の回線設定制御部は「d1」コードを「要求メッセージの情報と同一指示内容にし」、受信したシーケンス番号をそのまま付加して返信する。
2)回線情報
回線番号情報、回線設定情報と回線状態確認情報で暗号化されるデータである。以下で構成する。
ア.「d4i」:回線番号情報を示すポート番号である。
イ.「d5i」:回線設定情報で「ロック指示」あるいは「アンロックの指示」の情報である。
ウ.「d6i」:回線状態確認情報で確認した「ロック」あるいは「アンロック」の情報である。
【0025】
また、複数回線の回線情報の設定は、(「d4i」,「d5i」,「d6i」)を対にして、目的の回線の回線設定あるいは回線状態確認をこの対情報を繰り返し設定して行う。
3)チェックサム
誤り検出、訂正データのためのデータであり、メッセージ情報と回線情報を通信用のコードに変換しその数値合計にチェックサムとして付加する。誤り確認の付加情報としては他にはCRC方式、パリィティチェックが考えられる。
【0026】
ネットワーク装置4と回線施錠装置間5で通信用コードに変換されたメッセージ情報と暗号化された回線情報に誤り訂正のチェックサムを付加された通信データフォーマットにより通信が行われる。
【0027】
図5は回線施錠装置からネットワーク装置への制御情報の送信手順を示す図である。操作者が回線施錠装置の設定操作部から設定した制御情報を生成し、ネットワーク装置に送信する手順である。
1)操作者は回線施錠装置を対象のネットワーク装置の対象のポートコネクタ部に接続すし、設定操作部より、接続したポートに対する指示内容(メッセージ情報に対応)、回線情報をスイッチにより設定する。(S1、S2)
例えば、接続したポートの回線設定を行う場合、メッセージ情報として「d1」として「回線設定指示」、「d2=null」、「d3=1」(例えばシーケンス番号=1)を設定する。
2)施錠制御部は設定された指示内容(メッセージ情報)と回線情報を判断し、回線情報は暗号/復号化処理部に送り、指示内容は通信処理部に送る。暗号化/復号化処理部は電子鍵内蔵部の暗号化鍵を使い回線情報を暗号化する。(S3、S4)
3)通信処理部はメッセージ情報と暗号化した回線情報の通信用コードを生成し、チェックサムによるパリテッィを付加した制御情報のデータフォーマット生成し、ネットワーク装置接続インタフェースを介してネットワーク装置に送信する。(S5)
図6はネットワーク装置の回線施錠装置からの指示内容の処理手順を示す図である。回線施錠装置から送信された制御情報を解読し、対応した処理を行う手順を示している。
1)通信処理部は受信したデータが制御情報であるか否かの確認をメッセージ情報で行う。制御情報である場合はS12に進む。メッセージ情報で無い場合は通常のデータであるので、通信処理部では処理を行わず、ネットワーク装置のLANノード本体部で通常の処理が行われることになる。(S10、S11)
2)暗号/復号化処理部は電子鍵内蔵部より復号化鍵を取得し、制御情報の回線情報を復号する。制御情報が指定の暗号化鍵で暗号化されていて復号可能か確認し、復号可能な場合は回線情報の復号を行う。復号できない場合は誤りの信号、あるいは外部からの擬似制御情報であるので、制御情報の処理は行わない(廃棄扱い)。(S12、S13、S14、S15、)
3)施錠制御部は復号された回線情報の内容を判断する。(S16)
ア.回線設定情報の場合:施錠制御部は、受信した回線番号情報を確認し、ポート管理部に回線設定を指示する。ポート管理部は指示を受けたポート番号のポートに指示の回線設定(ロック/アンロック)を行う。(S17、S18、S19)
イ.回線状態確認情報の場合:施錠制御部は、受信した回線番号情報を確認し、ポート管理部に回線状態の確認を指示する。ポート管理部は指示のポート番号の回線状態を確認し、確認結果を保持すると共に施錠管理部に確認結果を通知する。施錠制御部は確認結果を暗号/復号化処理部に送り、暗号/復号化処理部は回線情報を暗号化鍵により暗号化し、通信処理部に送る。通信処理部はメッセージ情報、暗号化された回線情報を通信用コードに変換し、チェックサムを付加して回線施錠装置に返信する。(S20、S21、S22、S23、S24)
ウ.回線設定情報、回線状態確認信号の両者でも無い場合はエラー情報として制御情報の処理は行わない(廃棄扱い)。(S25)
図7は回線施錠装置の状態確認回線の状態表示手順を示す図である。ネットワーク装置に回線状態の要求を行った回線の状態を受信し、回線状態表示部に表示する手順を示している。
1)通信処理部はネットワーク装置より送信した情報に対する応答情報を受信する。受信情報のメッセージ情報の内容より応答メッセージ情報であるか確認し、応答情報である場合はS32に進み、そうでない場合はS34に進む。
【0028】
なお、メッセージ情報で無い場合は通常のLANノードの通常のデータであるので、通信処理部では処理を行わない(廃棄扱い)。(S30、S31、S34)
2)暗号/復号化処理部は受信した返信回線情報を復号し、要求のポート番号の回線状態(ロック/アンロック)の情報を得て、施錠制御部に通知する。施錠制御部はポート番号に対する回線状態の表示を回線状態表示部に指示し、回線状態表示部はポート番号とその回線状態を表示する。(S32、S33)
3)受信した情報が応答メッセージでない場合は、通常のLANノードのデータであるので、通信処理部では処理を行わない。(S34)
図8は回線施錠装置接続外観を示す図である。ネットワーク装置5のポートコネクタ部8との接続箇所であるネットワーク装置接続コネクタ部20、回線状態表示部25、設定操作部(設定スィッチ)26を示している。回線状態表示部にはロック、アンロックを示す表示が示される。(ここでは分かり易く「Lock」「Unlock」で表示)
図9はネットワーク装置への回線施錠装置接続外観を示す図である。ネットワーク装置4のポートコネクタ部8に接続した状態を示している。接続した回線のロック/アンロック状態が回線状態表示部14に表示される。
【0029】
図10はネットワーク装置及び回線施錠装置接続状態(その1)を示す図である。
【0030】
1)の回線切換スィッチにより「回線ロック」設定に対し、2)に回線使用不可を示す「LINK DOWN」の表示行う。
【0031】
図11はネットワーク装置及び回線施錠装置接続状態(その2)を示す図である。
【0032】
1)の回線切換スィッチにより「回線アンロック」設定に対し、2)に回線使用可能表示を示す「LINK UP」の表示を行う。
【0033】
図12はロック/アンロック設定後のネットワーク装置への回線接続を示す図である。
1)回線施錠装置の常時接続不要
ロック/アンロック設定後は回線コネクタ部がLANノード本体部と連携して、設定した状態をソフト的に維持するので、回線施錠装置は常時接続不要となる。すなわち、一度設定後は、回線施錠装置を接続不要であり、回線施錠装置を着脱した状態においても設定した回線状態を維持する。
2)回線接続ケーブル接続無効
ロック設定により回線接続ケーブルを接続しても、物理的な設定されたポートからの信号は無視するようソフト的に処理するので、回線接続は無効扱いとなる。すなわち、実効的に接続無効である。表示部には通信不可の表示が表示される。
【図面の簡単な説明】
【0034】
【図1】図1はネットワーク構成例と回線施錠装置の接続を示す図である。
【図2】図2はネットワーク装置(LANノード)ブロック構成を示す図である。
【図3】図3は回線施錠装置ブロック構成を示す図である。
【図4】図4はネットワーク装置と回線施錠装置間通信の制御情報の通信データフォーマットを示す図である。
【図5】図5は回線施錠装置からネットワーク装置への制御情報の送信手順を示す図である。
【図6】図6はネットワーク装置の回線施錠装置からの指示内容の処理手順を示す図である。
【図7】図7は回線施錠装置の状態確認回線の状態表示手順を示す図である。
【図8】図8は回線施錠装置接続外観を示す図である。
【図9】図9はネットワーク装置への回線施錠装置接続外観を示す図である。
【図10】図10はネットワーク装置及び回線施錠装置接続状態(その1)を示す図である。
【図11】図11はネットワーク装置及び回線施錠装置接続状態(その2)を示す図である。
【図12】図12はロック/アンロック設定後のネットワーク装置への回線接続を示す図である。
【符号の説明】
【0035】
1 構内ネットワーク
2 外部ネットワーク
3 ネットワーク装置(ゲートウエイ)
4 ネットワーク装置(LANノード)
5 回線施錠装置
6 LANノード本体部
7 回線設定制御部
8、8−1、8−i、8−n ポートコネクタ部
10 通信管理部
11 暗号/復号化処理部(ネットワーク装置)
12 施錠制御部(ネットワーク装置)
13 回線状態表示部(ネットワーク装置)
14 電子鍵内蔵部(ネットワーク装置)
15 通信処理部
16 ポート管理部
20 ネットワーク装置接続コネクタ部
21 通信処理部
22 暗号/復号化処理部(回線施錠装置)
23 施錠制御部(回線施錠装置)
24 電子鍵内蔵部(回線施錠装置)
25 回線状態表示部(ネットワーク装置)
26 操作設定部(設定スィッチ)
【特許請求の範囲】
【請求項1】
指示により通信ネットワークの回線毎の回線設定を行う機能を備えたネットワーク装置と前記ネットワーク装置に回線設定を指示する回線施錠装置によるネットワーク装置の空き回線不正使用の防止方法であって、
前記回線施錠装置を前記ネットワーク装置の回線コネクタ部に接続して、指定した回線への回線のロックあるいはアンロックの回線設定指示の制御情報の設定を行い、
前記ネットワーク装置は指示を受けた制御情報の正当性の確認を行い、
前記指示された回線に指定のロックあるいはアンロックの回線設定を行うことを特徴とするネットワーク装置の空き回線不正使用防止方法。
【請求項2】
請求項1記載の回線施錠装置はさらに、回線状態を確認する制御信号の設定を行い、
前記ネットワーク装置の回線状態情報の取得を行うことを特徴とする請求項1記載のネットワーク装置の空き回線不正使用防止方法。
【請求項3】
請求項1記載の制御情報は一括して前記ネットワーク装置の回線設定を行うことを特徴とする請求項1記載のネットワーク装置の空き回線不正使用防止方法。
【請求項4】
ネットワーク装置に回線設定を行う回線施錠装置であって、
前記回線施錠装置は、
回線毎に該回線のロックあるいはアンロックの回線設定情報と、前記ネットワーク装置に回線毎の回線状態の取得を問い合わせる回線状態確認信号の制御情報を生成する手段と、
前記制御情報を暗号化する手段と、
を備えて構成する回線施錠装置。
【請求項5】
請求項1記載の制御情報は回線名とその回線設定情報を暗号化して設定し、
前記ネットワーク装置は前記制御情報を指定の復号化方法で復号することを特徴とする請求項1記載のネットワーク装置の空き回線不正使用防止方法。
【請求項1】
指示により通信ネットワークの回線毎の回線設定を行う機能を備えたネットワーク装置と前記ネットワーク装置に回線設定を指示する回線施錠装置によるネットワーク装置の空き回線不正使用の防止方法であって、
前記回線施錠装置を前記ネットワーク装置の回線コネクタ部に接続して、指定した回線への回線のロックあるいはアンロックの回線設定指示の制御情報の設定を行い、
前記ネットワーク装置は指示を受けた制御情報の正当性の確認を行い、
前記指示された回線に指定のロックあるいはアンロックの回線設定を行うことを特徴とするネットワーク装置の空き回線不正使用防止方法。
【請求項2】
請求項1記載の回線施錠装置はさらに、回線状態を確認する制御信号の設定を行い、
前記ネットワーク装置の回線状態情報の取得を行うことを特徴とする請求項1記載のネットワーク装置の空き回線不正使用防止方法。
【請求項3】
請求項1記載の制御情報は一括して前記ネットワーク装置の回線設定を行うことを特徴とする請求項1記載のネットワーク装置の空き回線不正使用防止方法。
【請求項4】
ネットワーク装置に回線設定を行う回線施錠装置であって、
前記回線施錠装置は、
回線毎に該回線のロックあるいはアンロックの回線設定情報と、前記ネットワーク装置に回線毎の回線状態の取得を問い合わせる回線状態確認信号の制御情報を生成する手段と、
前記制御情報を暗号化する手段と、
を備えて構成する回線施錠装置。
【請求項5】
請求項1記載の制御情報は回線名とその回線設定情報を暗号化して設定し、
前記ネットワーク装置は前記制御情報を指定の復号化方法で復号することを特徴とする請求項1記載のネットワーク装置の空き回線不正使用防止方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2009−260597(P2009−260597A)
【公開日】平成21年11月5日(2009.11.5)
【国際特許分類】
【出願番号】特願2008−106423(P2008−106423)
【出願日】平成20年4月16日(2008.4.16)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成21年11月5日(2009.11.5)
【国際特許分類】
【出願日】平成20年4月16日(2008.4.16)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]