異常事象発生原因特定機能を含む通信システム
【課題】複数の通信装置が自律的にかつ協働して異常事象の発生原因を特定可能にする。
【解決手段】第1の通信装置は、変更処理を施した第1処理後信号及び第1処理後信号に変更処理を施す前の第1処理前信号を、変更処理を行う通信装置識別情報及び復元処理を行う通信装置識別情報をそれぞれ含むログとして保存し、前記識別情報の双方を含む第1処理後信号を通信回線に送信する。第2の通信装置は、通信回線を通して受信した第1処理後信号に復元処理を施した第2処理後信号及び第2処理後信号に復元処理を施す前の第2処理前信号を、前記識別情報の双方をそれぞれ含むログとして保存し、前記識別情報の双方を含む第2処理前信号を第1の通信装置に送信する。第1の通信装置及び第2の通信装置は、異常事象の発生原因が通信回線にあるか、第1の通信装置にあるか、第2の通信装置にあるか、変更処理または復元処理の論理的な再現性異常であるかを特定する。
【解決手段】第1の通信装置は、変更処理を施した第1処理後信号及び第1処理後信号に変更処理を施す前の第1処理前信号を、変更処理を行う通信装置識別情報及び復元処理を行う通信装置識別情報をそれぞれ含むログとして保存し、前記識別情報の双方を含む第1処理後信号を通信回線に送信する。第2の通信装置は、通信回線を通して受信した第1処理後信号に復元処理を施した第2処理後信号及び第2処理後信号に復元処理を施す前の第2処理前信号を、前記識別情報の双方をそれぞれ含むログとして保存し、前記識別情報の双方を含む第2処理前信号を第1の通信装置に送信する。第1の通信装置及び第2の通信装置は、異常事象の発生原因が通信回線にあるか、第1の通信装置にあるか、第2の通信装置にあるか、変更処理または復元処理の論理的な再現性異常であるかを特定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、異常事象発生原因特定機能を含む通信システムに関する。
【背景技術】
【0002】
複数のネットワーク装置(例えば、VPN(Virtual Private Network)ルータ)がイ
ンターネットなどのネットワークを介して安全な通信を実施するためには、送信側のネットワーク装置は、暗号処理を施した暗号パケットをネットワークの通信回線に送信する。一方、受信側のネットワーク装置は、ネットワークの通信回線を通して受信した暗号パケットに復号処理を施して復号パケットを生成する。
【0003】
このような複数のネットワーク装置及びネットワークを含む暗号通信システムにおいては、これらネットワーク装置間での暗号パケットの送受信過程で、暗号パケットを正常に復号できない異常事象が発生する場合がある。
【発明の概要】
【発明が解決しようとする課題】
【0004】
通常、VPNルータなどのネットワーク装置(通信装置)は通過する送受信対象のパケットを自装置内に保存しないので、ネットワーク運用者は異常事象の発生原因(発生箇所を含む)を早期かつ簡単に特定できない。この結果、一時的に異常事象を放置することになり、この状態で運用を続けていると、異常が顕在化し、システム運用ができなくなることを免れない。
【0005】
課題は、通信システムにおける複数の通信装置が自律的にかつ協働して異常事象の発生原因を特定可能にする技術を提供することにある。
【課題を解決するための手段】
【0006】
上記課題を解決するために、異常事象発生原因特定機能を含む通信システムは、
受信信号に変更処理を施した第1処理後信号及び前記第1処理後信号に前記変更処理を施す前の第1処理前信号を、前記変更処理を行う通信装置識別情報及び復元処理を行う通信装置識別情報をそれぞれ含むログとして保存する第1のログ保存手段と、前記識別情報の双方を含む前記第1処理後信号を生成して通信回線に送信させる第1の処理手段とを含む第1の通信装置と;
前記通信回線を通して受信した前記第1処理後信号に前記復元処理を施した第2処理後信号及び前記第2処理後信号に前記復元処理を施す前の第2処理前信号を、前記識別情報の双方をそれぞれ含むログとして保存する第2のログ保存手段と、前記第2処理後信号を生成するとともに前記識別情報の双方を含む前記第2処理前信号を前記第1の通信装置への通信回線に送信させる第2の処理手段とを含む第2の通信装置とを備え;
前記第2の通信装置の前記第2の処理手段は、
前記受信した第1処理後信号に初回の復元処理を施した前記第2処理後信号の異常復元を検出したときを契機に、
前記第2のログ保存手段と協働して、前記受信した第1処理後信号対応の前記第2処理前信号に再度の復元処理を施し、
前記再度の復元処理を施した前記第2処理後信号の正常復元を検出したときは、異常事象の発生原因が前記第2の通信装置にあることを特定し;
前記第1の通信装置の前記第1の処理手段は、
前記第2の通信装置から前記第1処理後信号対応の前記第2処理前信号を受信したときを契機に、
前記第1のログ保存手段と協働して、前記異常事象の発生原因が、前記通信回線にあるか、前記第1の通信装置にあるか、前記第1の通信装置における変更処理または前記第2の通信装置における復元処理の論理的な再現性異常であるかを特定する。
【発明の効果】
【0007】
開示した通信システムによれば、複数の通信装置は自律的にかつ協働して異常事象の発生原因を特定することができる。
【0008】
他の課題、特徴及び利点は、図面及び特許請求の範囲とともに取り上げられる際に、以下に記載される発明を実施するための形態を読むことにより明らかになるであろう。
【図面の簡単な説明】
【0009】
【図1】一実施の形態の暗号通信システムの構成を示すブロック図。
【図2】一実施の形態の暗号通信システムにおける通信装置の構成を示すブロック図。
【図3】一実施の形態の暗号通信システムにおける異常事象発生原因特定処理を説明するための図。
【図4】一実施の形態の暗号通信システムにおける異常事象発生原因特定処理を説明するためのフローチャート。
【図5】一実施の形態の暗号通信システムにおける異常事象発生原因特定処理を説明するための図。
【図6】一実施の形態の暗号通信システムにおける異常事象発生原因特定処理を説明するためのフローチャート。
【発明を実施するための形態】
【0010】
以下、添付図面を参照して、さらに詳細に説明する。図面には好ましい実施形態が示されている。しかし、多くの異なる形態で実施されることが可能であり、本明細書に記載される実施形態に限定されると解釈されてはならない。
【0011】
[システム構成及び機能]
一実施の形態におけるシステム構成を示す図1を参照すると、異常事象発生原因特定機能を含む暗号通信システムSYSは、平文パケットデータを含む暗号前パケット(原信号)に変更処理として暗号処理を施した暗号後パケットを生成し、暗号文パケットデータを含むこの暗号後パケットを例えばVPN(Virtual Private Network)であるネットワー
クNWの通信回線に送信する第1の通信装置(暗号装置)10を含む。第1の通信装置10はルータなどのネットワーク装置である。
【0012】
この暗号通信システムSYSは、ネットワークNWの通信回線を通して受信した暗号後パケット(復号前パケット)に復元処理として復号処理を施した復号後パケットを平文パケットデータを含む原信号として生成する第2の通信装置(復号装置)20を更に含む。第2の通信装置20はルータなどのネットワーク装置である。
【0013】
また、この暗号通信システムSYSは、ネットワーク運用者によって運用され、後に詳述する処理により特定された異常事象の発生原因を収集して対処するためのSNMP(簡易ネットワーク管理プロトコル:Simple Network Management Protocol)マネージャとしてのネットワーク管理サーバSVを含む。
【0014】
この暗号通信システムSYSにおいては、第1の通信装置10及び第2の通信装置20は、自律的かつ協働して次に示す4つの異常事象の発生原因のいずれかを特定し、ネットワーク管理サーバSVに報告(通知)する。
(a)異常事象発生原因1:パケットの暗号処理を行う第1の通信装置に一時的または偶発的な異常がある。
(b)異常事象発生原因2:パケットの復号処理を行う第2の通信装置に一時的または偶発的な異常がある。
(c)異常事象発生原因3:第1の通信装置及び第2の通信装置間の通信回線(伝送路)で異常が発生した。
(d)異常事象発生原因4:暗号処理または復号処理に論理的な再現性異常(ロジック異常)がある。
【0015】
図2に示すように、暗号通信システムSYSにおいては、上記異常事象の発生原因1,2,3,4のいずれかを特定可能にするために、第1の通信装置10は、パケット受信処理部11、暗号処理部12、パケット送信処理部13、検証処理部14及び記憶部15,16を備える。記憶部15,16は、暗号前パケット及び暗号後パケットをログとして保存するログ保存領域をそれぞれ有する。これらの記憶部15,16のログ保存領域には、各種識別情報及びパケットデータを含むログ情報が一時的に保存される。このログ情報は暗号前パケット及び暗号後パケットのペイロードデータである。
【0016】
また、第2の通信装置20は、パケット受信処理部21、復号処理部22、パケット送信処理部23、検証処理部24及び記憶部25,26を備える。記憶部25,26は、復号前パケット及び復号後パケットをログとして保存するログ保存領域をそれぞれ有する。これらの記憶部25,26のログ保存領域には、各種識別情報及びパケットデータを含むログ情報が一時的に保存される。このログ情報は復号前パケット及び復号後パケットのペイロードデータである。
【0017】
なお、第1の通信装置10の暗号処理部12及び第2の通信装置20における復号処理部22は、共通鍵及び公開鍵を併用する暗号・復号技術を採用可能である。
【0018】
この暗号通信システムSYSにおいては、暗号装置である第1の通信装置10と復号装置である第2の通信装置20との間でネットワーク通信にかかる時間を例えばping(Packet Internet Grouper/Groper)で定期的に計測し、ログの保存時間を決定する。また、通信負荷の増大により、予め定めた数のログが保存できない場合は、帯域制御を行って、暗号化パケットフレームの流量を制限する必要がある。
【0019】
第1の通信装置10及び第2の通信装置20における記憶部15,16,25,26は、各パケットをログとして保存するログ保存領域にリングバッファをそれぞれ使用する。各リングバッファは、最大保存数を超えると、最も古いログ情報を上書きするものとする。通信負荷が増大し、保存時間が満了するよりも前にログ情報が上書きされそうな場合は、帯域制御を実施する。
【0020】
また、記憶部15,16,25,26におけるログ保存領域の代替構成として、次のような手法を採ることが可能である。第1の代替構成においては、固定サイズのログファイルを複数保存可能なバッファを設け、各ログファイルにパケットをログとして保存する。保存できるファイル数が最大になった場合は、最も古いファイルを消去する。ファイルを消去する際に、保存時間を確認し、帯域制御の必要性を判断する。
【0021】
第2の代替構成においては、2つのログファイル0及びログファイル1を実装し、切り替えて使用する。つまり、ログファイル0のパケットのログ保存数が最大になった場合は、ログファイル1に切り替えてログを保存する。また、ログファイル1のログ保存数が最大になった場合は、ログファイル0に切り替えてログ保存を行う。2つのログファイルを切り替える際に、ログ保存時間を確認し、帯域制御の必要性を判断する。
【0022】
[異常事象発生原因特定処理]
次に、図1及び図2に示す一実施の形態の暗号通信システムSYSにおける動作例について関連図を併せ参照して説明する。
【0023】
(第2の通信装置における処理)
図1、図3及び図4を参照すると、復号装置である第2の通信装置20においては、パケット受信処理部21は、ネットワークNWの通信回線を通して暗号後パケットを受信して、復号処理部22に送出する。また、パケット受信処理部21は、受信した暗号後パケットを復号前パケットとして記憶部25のログ保存領域に保存する。この記憶部25のログ保存領域に保存される復号前パケットのログ情報は、暗号装置識別子(ID)、復号装置識別子(ID)、データの順序を示すシーケンス番号、及び復号前データを含む。ここで、暗号装置ID、復号装置ID及びシーケンス番号は第1の通信装置10において付与された識別情報である。
【0024】
復号処理部22は、パケット受信処理部21により受信された暗号後パケットに初回の復号処理を施した後、復号後パケットを記憶部26のログ保存領域に保存する。この記憶部26のログ保存領域に保存される復号後パケットのログ情報は、暗号装置ID、復号装置ID、シーケンス番号、及び復号後データを含む。
【0025】
検証処理部24は、復号処理部22により復号処理を施された復号後パケットの異常をチェックサムに基づく計算により検出したときを契機に、この復号後パケットのログ情報を記憶部26のログ保存領域から取得する(図4中の処理S41,S42)。
【0026】
検証処理部24は、取得した復号後パケットのログ情報と一致するログ情報、ここでは暗号装置ID:10、復号装置ID:20、及びシーケンス番号:0x00100001に基づいて、受信した暗号後パケット対応の復号前パケット(厳密には、パケットデータのみ)を記憶部25から取得し、復号処理部22に再度の復号(再復号)処理を実行させる(S43,S44)。
【0027】
検証処理部24は、再度の復号処理を施された復号後パケットの正常性をチェックサムに基づく計算により検出したときは、上記異常事象の発生原因2と特定し、復号装置である第2の通信装置20の異常をパケット送信処理部23を介してネットワーク管理サーバSVに通知する(S44,S45)。
【0028】
一方、検証処理部24は、再度の復号処理を施された復号後パケットの異常(再度の異常発生)を検出したときは、この復号後パケットのログ情報を記憶部26から取得し、取得したログ情報と一致するログ情報に基づいて、受信した暗号後パケット対応の復号前パケットを記憶部25から取得して、暗号装置である第1の通信装置10に送信させる(S44,S46)。このとき、検証処理部24が記憶部25から取得した復号前パケットは、復号処理部22を通過した後、パケット送信処理部23から第1の通信装置10に送信される。
【0029】
なお、検証処理部24は、処理S41において、初回の復号処理を施された復号後パケットの正常性を検出したときは、この復号後パケットを平文パケットデータを含む原信号としてパケット送信処理部23から所定の宛先の通信端末に送信させる(S47)。
【0030】
(第1の通信装置における処理)
図1、図5及び図6を参照すると、暗号装置である第1の通信装置10においては、通常処理として、パケット受信処理部11が送信元の通信端末からの平文パケットデータを
含む暗号前パケット(原信号)を受信する。暗号処理部12は、受信された暗号前パケットに変更処理として暗号処理を施した暗号後パケットを生成する。パケット送信処理部13は、暗号文パケットデータを含むこの暗号後パケットをネットワークNWの通信回線に送信する。
【0031】
また、第1の通信装置10においては、上記異常事象の発生原因1,2,3,4のいずれかを特定可能にするために、パケット受信処理部11は暗号前パケットのログ情報を記憶部15のログ保存領域に保存し、暗号処理部12は暗号後パケットのログ情報を記憶部16のログ保存領域に保存する。パケット受信処理部11及び暗号処理部12は、暗号前パケットのヘッダ情報に基づいて、ログ情報の暗号装置ID及び復号装置IDを生成可能である。
【0032】
第1の通信装置10におけるパケット受信処理部11が、ネットワークNWの通信回線を通して、第2の通信装置20から送信された暗号後パケット対応の復号前パケットを受信したときを契機に(図6中の処理S61)、検証処理部14は、次の処理手順によって異常事象の発生原因1,3,4のいずれかを特定する。
【0033】
パケット受信処理部11が暗号後パケット対応の復号前パケットを受信したことを復号前パケットにログ情報として付加されている識別情報(暗号装置ID、復号装置ID、シーケンス番号)に基づいて検出したとき、暗号処理部12はこの受信状態を検証処理部14に通知する。
【0034】
暗号処理部12からの通知を受けた検証処理部14は、受信された復号前パケットのログ情報、ここでは暗号装置ID:10、復号装置ID:20、及びシーケンス番号:0x00100001に基づいて、復号前パケット対応の暗号後パケット(厳密には、パケットデータ)を記憶部16から取得する(S62)。
【0035】
検証処理部14は、記憶部16から取得した暗号後パケットと受信した復号前パケットとを比較する(S63)。検証処理部14は、不一致であることを検出したときは、上記異常事象の発生原因3と特定し、第1の通信装置10及び第2の通信装置20間の通信回線(伝送路)で異常が発生したことをパケット送信処理部13を介してネットワーク管理サーバSVに通知する(S64)。
【0036】
一方、検証処理部14は、一致していることを検出したときは、暗号後パケットのログ情報と一致するログ情報に基づいて、暗号前パケットを記憶部15から取得する(S65)。取得されたこの暗号前パケット(厳密には、パケットデータ)は、暗号処理部12において、再度暗号(再暗号)される(S66)。再暗号された暗号後パケットは、検証処理部14において、記憶部16から取得した暗号後パケットと比較される(S66)。
【0037】
この結果、不一致であることが検出されたときは、上記異常事象の発生原因1と特定し、パケットの暗号処理を行った第1の通信装置10の異常がネットワーク管理サーバSVに通知される(S67)。また、一致していることが検出されたときは、上記異常事象の発生原因4と特定し、第1の通信装置10における暗号処理または第2の通信装置20における復号処理に論理的な再現性異常(ロジック異常)があることがネットワーク管理サーバSVに通知される(S68)。
【0038】
上述した一実施の形態の暗号通信システムSYSにおいては、第1の通信装置10及び第2の通信装置20が自律的にかつ協働して異常事象発生原因特定処理を実行することにより、異常が発生した箇所についての特定情報をネットワーク管理サーバSVに通知する。ネットワーク管理サーバSVの運用者は、通知された特定情報に基づいて、必要とされ
る対処法を採ることができる。
【0039】
[変形例]
上述した一実施の形態においては、第1の通信装置10が暗号処理を施した暗号後パケットを生成し、第2の通信装置20は受信した暗号後パケットに復号処理を施した復号後パケットを生成している。しかし、第1の通信装置10が他の変更処理を施した第1処理後信号を生成し、第2の通信装置20は他の変更処理に応じた復元処理を施した第2処理後信号を生成してもよい。
【0040】
上述した一実施の形態における処理はコンピュータで実行可能なプログラムとして提供され、CD−ROMやフレキシブルディスクなどの非一時的コンピュータ可読媒体(記録媒体)、さらには通信回線を経て提供可能である。
【0041】
また、上述した一実施の形態における各処理はその任意の複数または全てを選択し組合せて実施することもできる。
【符号の説明】
【0042】
SYS 暗号通信システム
NW ネットワーク
SV ネットワーク管理サーバ
10 第1の通信装置(暗号装置)
11 パケット受信処理部
12 暗号処理部
13 パケット送信処理部
14 検証処理部
15 記憶部
16 記憶部
20 第2の通信装置(復号装置)
21 パケット受信処理部
22 復号処理部
23 パケット送信処理部
24 検証処理部
25 記憶部
26 記憶部
【技術分野】
【0001】
本発明は、異常事象発生原因特定機能を含む通信システムに関する。
【背景技術】
【0002】
複数のネットワーク装置(例えば、VPN(Virtual Private Network)ルータ)がイ
ンターネットなどのネットワークを介して安全な通信を実施するためには、送信側のネットワーク装置は、暗号処理を施した暗号パケットをネットワークの通信回線に送信する。一方、受信側のネットワーク装置は、ネットワークの通信回線を通して受信した暗号パケットに復号処理を施して復号パケットを生成する。
【0003】
このような複数のネットワーク装置及びネットワークを含む暗号通信システムにおいては、これらネットワーク装置間での暗号パケットの送受信過程で、暗号パケットを正常に復号できない異常事象が発生する場合がある。
【発明の概要】
【発明が解決しようとする課題】
【0004】
通常、VPNルータなどのネットワーク装置(通信装置)は通過する送受信対象のパケットを自装置内に保存しないので、ネットワーク運用者は異常事象の発生原因(発生箇所を含む)を早期かつ簡単に特定できない。この結果、一時的に異常事象を放置することになり、この状態で運用を続けていると、異常が顕在化し、システム運用ができなくなることを免れない。
【0005】
課題は、通信システムにおける複数の通信装置が自律的にかつ協働して異常事象の発生原因を特定可能にする技術を提供することにある。
【課題を解決するための手段】
【0006】
上記課題を解決するために、異常事象発生原因特定機能を含む通信システムは、
受信信号に変更処理を施した第1処理後信号及び前記第1処理後信号に前記変更処理を施す前の第1処理前信号を、前記変更処理を行う通信装置識別情報及び復元処理を行う通信装置識別情報をそれぞれ含むログとして保存する第1のログ保存手段と、前記識別情報の双方を含む前記第1処理後信号を生成して通信回線に送信させる第1の処理手段とを含む第1の通信装置と;
前記通信回線を通して受信した前記第1処理後信号に前記復元処理を施した第2処理後信号及び前記第2処理後信号に前記復元処理を施す前の第2処理前信号を、前記識別情報の双方をそれぞれ含むログとして保存する第2のログ保存手段と、前記第2処理後信号を生成するとともに前記識別情報の双方を含む前記第2処理前信号を前記第1の通信装置への通信回線に送信させる第2の処理手段とを含む第2の通信装置とを備え;
前記第2の通信装置の前記第2の処理手段は、
前記受信した第1処理後信号に初回の復元処理を施した前記第2処理後信号の異常復元を検出したときを契機に、
前記第2のログ保存手段と協働して、前記受信した第1処理後信号対応の前記第2処理前信号に再度の復元処理を施し、
前記再度の復元処理を施した前記第2処理後信号の正常復元を検出したときは、異常事象の発生原因が前記第2の通信装置にあることを特定し;
前記第1の通信装置の前記第1の処理手段は、
前記第2の通信装置から前記第1処理後信号対応の前記第2処理前信号を受信したときを契機に、
前記第1のログ保存手段と協働して、前記異常事象の発生原因が、前記通信回線にあるか、前記第1の通信装置にあるか、前記第1の通信装置における変更処理または前記第2の通信装置における復元処理の論理的な再現性異常であるかを特定する。
【発明の効果】
【0007】
開示した通信システムによれば、複数の通信装置は自律的にかつ協働して異常事象の発生原因を特定することができる。
【0008】
他の課題、特徴及び利点は、図面及び特許請求の範囲とともに取り上げられる際に、以下に記載される発明を実施するための形態を読むことにより明らかになるであろう。
【図面の簡単な説明】
【0009】
【図1】一実施の形態の暗号通信システムの構成を示すブロック図。
【図2】一実施の形態の暗号通信システムにおける通信装置の構成を示すブロック図。
【図3】一実施の形態の暗号通信システムにおける異常事象発生原因特定処理を説明するための図。
【図4】一実施の形態の暗号通信システムにおける異常事象発生原因特定処理を説明するためのフローチャート。
【図5】一実施の形態の暗号通信システムにおける異常事象発生原因特定処理を説明するための図。
【図6】一実施の形態の暗号通信システムにおける異常事象発生原因特定処理を説明するためのフローチャート。
【発明を実施するための形態】
【0010】
以下、添付図面を参照して、さらに詳細に説明する。図面には好ましい実施形態が示されている。しかし、多くの異なる形態で実施されることが可能であり、本明細書に記載される実施形態に限定されると解釈されてはならない。
【0011】
[システム構成及び機能]
一実施の形態におけるシステム構成を示す図1を参照すると、異常事象発生原因特定機能を含む暗号通信システムSYSは、平文パケットデータを含む暗号前パケット(原信号)に変更処理として暗号処理を施した暗号後パケットを生成し、暗号文パケットデータを含むこの暗号後パケットを例えばVPN(Virtual Private Network)であるネットワー
クNWの通信回線に送信する第1の通信装置(暗号装置)10を含む。第1の通信装置10はルータなどのネットワーク装置である。
【0012】
この暗号通信システムSYSは、ネットワークNWの通信回線を通して受信した暗号後パケット(復号前パケット)に復元処理として復号処理を施した復号後パケットを平文パケットデータを含む原信号として生成する第2の通信装置(復号装置)20を更に含む。第2の通信装置20はルータなどのネットワーク装置である。
【0013】
また、この暗号通信システムSYSは、ネットワーク運用者によって運用され、後に詳述する処理により特定された異常事象の発生原因を収集して対処するためのSNMP(簡易ネットワーク管理プロトコル:Simple Network Management Protocol)マネージャとしてのネットワーク管理サーバSVを含む。
【0014】
この暗号通信システムSYSにおいては、第1の通信装置10及び第2の通信装置20は、自律的かつ協働して次に示す4つの異常事象の発生原因のいずれかを特定し、ネットワーク管理サーバSVに報告(通知)する。
(a)異常事象発生原因1:パケットの暗号処理を行う第1の通信装置に一時的または偶発的な異常がある。
(b)異常事象発生原因2:パケットの復号処理を行う第2の通信装置に一時的または偶発的な異常がある。
(c)異常事象発生原因3:第1の通信装置及び第2の通信装置間の通信回線(伝送路)で異常が発生した。
(d)異常事象発生原因4:暗号処理または復号処理に論理的な再現性異常(ロジック異常)がある。
【0015】
図2に示すように、暗号通信システムSYSにおいては、上記異常事象の発生原因1,2,3,4のいずれかを特定可能にするために、第1の通信装置10は、パケット受信処理部11、暗号処理部12、パケット送信処理部13、検証処理部14及び記憶部15,16を備える。記憶部15,16は、暗号前パケット及び暗号後パケットをログとして保存するログ保存領域をそれぞれ有する。これらの記憶部15,16のログ保存領域には、各種識別情報及びパケットデータを含むログ情報が一時的に保存される。このログ情報は暗号前パケット及び暗号後パケットのペイロードデータである。
【0016】
また、第2の通信装置20は、パケット受信処理部21、復号処理部22、パケット送信処理部23、検証処理部24及び記憶部25,26を備える。記憶部25,26は、復号前パケット及び復号後パケットをログとして保存するログ保存領域をそれぞれ有する。これらの記憶部25,26のログ保存領域には、各種識別情報及びパケットデータを含むログ情報が一時的に保存される。このログ情報は復号前パケット及び復号後パケットのペイロードデータである。
【0017】
なお、第1の通信装置10の暗号処理部12及び第2の通信装置20における復号処理部22は、共通鍵及び公開鍵を併用する暗号・復号技術を採用可能である。
【0018】
この暗号通信システムSYSにおいては、暗号装置である第1の通信装置10と復号装置である第2の通信装置20との間でネットワーク通信にかかる時間を例えばping(Packet Internet Grouper/Groper)で定期的に計測し、ログの保存時間を決定する。また、通信負荷の増大により、予め定めた数のログが保存できない場合は、帯域制御を行って、暗号化パケットフレームの流量を制限する必要がある。
【0019】
第1の通信装置10及び第2の通信装置20における記憶部15,16,25,26は、各パケットをログとして保存するログ保存領域にリングバッファをそれぞれ使用する。各リングバッファは、最大保存数を超えると、最も古いログ情報を上書きするものとする。通信負荷が増大し、保存時間が満了するよりも前にログ情報が上書きされそうな場合は、帯域制御を実施する。
【0020】
また、記憶部15,16,25,26におけるログ保存領域の代替構成として、次のような手法を採ることが可能である。第1の代替構成においては、固定サイズのログファイルを複数保存可能なバッファを設け、各ログファイルにパケットをログとして保存する。保存できるファイル数が最大になった場合は、最も古いファイルを消去する。ファイルを消去する際に、保存時間を確認し、帯域制御の必要性を判断する。
【0021】
第2の代替構成においては、2つのログファイル0及びログファイル1を実装し、切り替えて使用する。つまり、ログファイル0のパケットのログ保存数が最大になった場合は、ログファイル1に切り替えてログを保存する。また、ログファイル1のログ保存数が最大になった場合は、ログファイル0に切り替えてログ保存を行う。2つのログファイルを切り替える際に、ログ保存時間を確認し、帯域制御の必要性を判断する。
【0022】
[異常事象発生原因特定処理]
次に、図1及び図2に示す一実施の形態の暗号通信システムSYSにおける動作例について関連図を併せ参照して説明する。
【0023】
(第2の通信装置における処理)
図1、図3及び図4を参照すると、復号装置である第2の通信装置20においては、パケット受信処理部21は、ネットワークNWの通信回線を通して暗号後パケットを受信して、復号処理部22に送出する。また、パケット受信処理部21は、受信した暗号後パケットを復号前パケットとして記憶部25のログ保存領域に保存する。この記憶部25のログ保存領域に保存される復号前パケットのログ情報は、暗号装置識別子(ID)、復号装置識別子(ID)、データの順序を示すシーケンス番号、及び復号前データを含む。ここで、暗号装置ID、復号装置ID及びシーケンス番号は第1の通信装置10において付与された識別情報である。
【0024】
復号処理部22は、パケット受信処理部21により受信された暗号後パケットに初回の復号処理を施した後、復号後パケットを記憶部26のログ保存領域に保存する。この記憶部26のログ保存領域に保存される復号後パケットのログ情報は、暗号装置ID、復号装置ID、シーケンス番号、及び復号後データを含む。
【0025】
検証処理部24は、復号処理部22により復号処理を施された復号後パケットの異常をチェックサムに基づく計算により検出したときを契機に、この復号後パケットのログ情報を記憶部26のログ保存領域から取得する(図4中の処理S41,S42)。
【0026】
検証処理部24は、取得した復号後パケットのログ情報と一致するログ情報、ここでは暗号装置ID:10、復号装置ID:20、及びシーケンス番号:0x00100001に基づいて、受信した暗号後パケット対応の復号前パケット(厳密には、パケットデータのみ)を記憶部25から取得し、復号処理部22に再度の復号(再復号)処理を実行させる(S43,S44)。
【0027】
検証処理部24は、再度の復号処理を施された復号後パケットの正常性をチェックサムに基づく計算により検出したときは、上記異常事象の発生原因2と特定し、復号装置である第2の通信装置20の異常をパケット送信処理部23を介してネットワーク管理サーバSVに通知する(S44,S45)。
【0028】
一方、検証処理部24は、再度の復号処理を施された復号後パケットの異常(再度の異常発生)を検出したときは、この復号後パケットのログ情報を記憶部26から取得し、取得したログ情報と一致するログ情報に基づいて、受信した暗号後パケット対応の復号前パケットを記憶部25から取得して、暗号装置である第1の通信装置10に送信させる(S44,S46)。このとき、検証処理部24が記憶部25から取得した復号前パケットは、復号処理部22を通過した後、パケット送信処理部23から第1の通信装置10に送信される。
【0029】
なお、検証処理部24は、処理S41において、初回の復号処理を施された復号後パケットの正常性を検出したときは、この復号後パケットを平文パケットデータを含む原信号としてパケット送信処理部23から所定の宛先の通信端末に送信させる(S47)。
【0030】
(第1の通信装置における処理)
図1、図5及び図6を参照すると、暗号装置である第1の通信装置10においては、通常処理として、パケット受信処理部11が送信元の通信端末からの平文パケットデータを
含む暗号前パケット(原信号)を受信する。暗号処理部12は、受信された暗号前パケットに変更処理として暗号処理を施した暗号後パケットを生成する。パケット送信処理部13は、暗号文パケットデータを含むこの暗号後パケットをネットワークNWの通信回線に送信する。
【0031】
また、第1の通信装置10においては、上記異常事象の発生原因1,2,3,4のいずれかを特定可能にするために、パケット受信処理部11は暗号前パケットのログ情報を記憶部15のログ保存領域に保存し、暗号処理部12は暗号後パケットのログ情報を記憶部16のログ保存領域に保存する。パケット受信処理部11及び暗号処理部12は、暗号前パケットのヘッダ情報に基づいて、ログ情報の暗号装置ID及び復号装置IDを生成可能である。
【0032】
第1の通信装置10におけるパケット受信処理部11が、ネットワークNWの通信回線を通して、第2の通信装置20から送信された暗号後パケット対応の復号前パケットを受信したときを契機に(図6中の処理S61)、検証処理部14は、次の処理手順によって異常事象の発生原因1,3,4のいずれかを特定する。
【0033】
パケット受信処理部11が暗号後パケット対応の復号前パケットを受信したことを復号前パケットにログ情報として付加されている識別情報(暗号装置ID、復号装置ID、シーケンス番号)に基づいて検出したとき、暗号処理部12はこの受信状態を検証処理部14に通知する。
【0034】
暗号処理部12からの通知を受けた検証処理部14は、受信された復号前パケットのログ情報、ここでは暗号装置ID:10、復号装置ID:20、及びシーケンス番号:0x00100001に基づいて、復号前パケット対応の暗号後パケット(厳密には、パケットデータ)を記憶部16から取得する(S62)。
【0035】
検証処理部14は、記憶部16から取得した暗号後パケットと受信した復号前パケットとを比較する(S63)。検証処理部14は、不一致であることを検出したときは、上記異常事象の発生原因3と特定し、第1の通信装置10及び第2の通信装置20間の通信回線(伝送路)で異常が発生したことをパケット送信処理部13を介してネットワーク管理サーバSVに通知する(S64)。
【0036】
一方、検証処理部14は、一致していることを検出したときは、暗号後パケットのログ情報と一致するログ情報に基づいて、暗号前パケットを記憶部15から取得する(S65)。取得されたこの暗号前パケット(厳密には、パケットデータ)は、暗号処理部12において、再度暗号(再暗号)される(S66)。再暗号された暗号後パケットは、検証処理部14において、記憶部16から取得した暗号後パケットと比較される(S66)。
【0037】
この結果、不一致であることが検出されたときは、上記異常事象の発生原因1と特定し、パケットの暗号処理を行った第1の通信装置10の異常がネットワーク管理サーバSVに通知される(S67)。また、一致していることが検出されたときは、上記異常事象の発生原因4と特定し、第1の通信装置10における暗号処理または第2の通信装置20における復号処理に論理的な再現性異常(ロジック異常)があることがネットワーク管理サーバSVに通知される(S68)。
【0038】
上述した一実施の形態の暗号通信システムSYSにおいては、第1の通信装置10及び第2の通信装置20が自律的にかつ協働して異常事象発生原因特定処理を実行することにより、異常が発生した箇所についての特定情報をネットワーク管理サーバSVに通知する。ネットワーク管理サーバSVの運用者は、通知された特定情報に基づいて、必要とされ
る対処法を採ることができる。
【0039】
[変形例]
上述した一実施の形態においては、第1の通信装置10が暗号処理を施した暗号後パケットを生成し、第2の通信装置20は受信した暗号後パケットに復号処理を施した復号後パケットを生成している。しかし、第1の通信装置10が他の変更処理を施した第1処理後信号を生成し、第2の通信装置20は他の変更処理に応じた復元処理を施した第2処理後信号を生成してもよい。
【0040】
上述した一実施の形態における処理はコンピュータで実行可能なプログラムとして提供され、CD−ROMやフレキシブルディスクなどの非一時的コンピュータ可読媒体(記録媒体)、さらには通信回線を経て提供可能である。
【0041】
また、上述した一実施の形態における各処理はその任意の複数または全てを選択し組合せて実施することもできる。
【符号の説明】
【0042】
SYS 暗号通信システム
NW ネットワーク
SV ネットワーク管理サーバ
10 第1の通信装置(暗号装置)
11 パケット受信処理部
12 暗号処理部
13 パケット送信処理部
14 検証処理部
15 記憶部
16 記憶部
20 第2の通信装置(復号装置)
21 パケット受信処理部
22 復号処理部
23 パケット送信処理部
24 検証処理部
25 記憶部
26 記憶部
【特許請求の範囲】
【請求項1】
異常事象発生原因特定機能を含む通信システムであって;
受信信号に変更処理を施した第1処理後信号及び前記第1処理後信号に前記変更処理を施す前の第1処理前信号を、前記変更処理を行う通信装置識別情報及び復元処理を行う通信装置識別情報をそれぞれ含むログとして保存する第1のログ保存手段と、前記識別情報の双方を含む前記第1処理後信号を生成して通信回線に送信させる第1の処理手段とを含む第1の通信装置と;
前記通信回線を通して受信した前記第1処理後信号に前記復元処理を施した第2処理後信号及び前記第2処理後信号に前記復元処理を施す前の第2処理前信号を、前記識別情報の双方をそれぞれ含むログとして保存する第2のログ保存手段と、前記第2処理後信号を生成するとともに前記識別情報の双方を含む前記第2処理前信号を前記第1の通信装置への通信回線に送信させる第2の処理手段とを含む第2の通信装置とを備え;
前記第2の通信装置の前記第2の処理手段は、
前記受信した第1処理後信号に初回の復元処理を施した前記第2処理後信号の異常復元を検出したときを契機に、
前記第2のログ保存手段と協働して、前記受信した第1処理後信号対応の前記第2処理前信号に再度の復元処理を施し、
前記再度の復元処理を施した前記第2処理後信号の正常復元を検出したときは、異常事象の発生原因が前記第2の通信装置にあることを特定し;
前記第1の通信装置の前記第1の処理手段は、
前記第2の通信装置から前記第1処理後信号対応の前記第2処理前信号を受信したときを契機に、
前記第1のログ保存手段と協働して、前記異常事象の発生原因が、前記通信回線にあるか、前記第1の通信装置にあるか、前記第1の通信装置における変更処理または前記第2の通信装置における復元処理の論理的な再現性異常であるかを特定する;
ことを特徴とする通信システム。
【請求項2】
前記第2の通信装置の前記第2の処理手段は、
前記契機に、前記第2のログ保存手段から取得した前記第2処理後信号の前記識別情報に基づいて、前記受信した第1処理後信号対応の前記第2処理前信号を取得し、この第2処理前信号に再度の復元処理を施し、
前記再度の復元処理を施した前記第2処理後信号の異常復元を検出したときは、前記受信した第1処理後信号対応の前記第2処理前信号を前記第1の通信装置への通信回線に送信させる
請求項1記載の通信システム。
【請求項3】
前記第1の通信装置の前記第1の処理手段は、
前記契機に、前記受信した第2処理前信号に含まれている識別情報に基づいて、前記第2処理前信号対応の前記第1処理後信号を前記第1のログ保存手段から取得し、
取得した前記第1処理後信号と前記受信した第2処理前信号とを比較し、不一致であるときは、前記異常事象の発生原因が前記通信回線にあることを特定し、一致しているときは、前記第1処理後信号の識別情報と一致する識別情報を含む前記第1処理前信号を前記第1のログ保存手段から取得して再度の変更処理を施し、
前記再度の変更処理を施した前記第1処理後信号と前記第1のログ保存手段から取得した前記第1処理後信号とを比較し、不一致であるときは、前記異常事象の発生原因が前記第1の通信装置にあると特定し、一致しているときは、前記異常事象の発生原因が前記第1の通信装置における変更処理または前記第2の通信装置における復元処理の論理的な再現性異常であることを特定する
請求項1または2記載の通信システム。
【請求項4】
前記第1のログ保存手段は、前記第1処理前信号及び前記第1処理後信号を、前記変更処理を行う通信装置識別情報及び前記復元処理を行う通信装置識別情報をそれぞれ含むログとして一時的に保存し、
前記第2のログ保存手段は、前記第2処理前信号及び前記第2処理後信号を、前記変更処理を行う通信装置識別情報及び前記復元処理を行う通信装置識別情報をそれぞれ含むログとして一時的に保存し、
前記各ログは、シーケンス番号を更に含む
請求項1記載の通信システム。
【請求項5】
受信信号に変更処理を施した第1処理後信号及び前記第1処理後信号に前記変更処理を施す前の第1処理前信号を、前記変更処理を行う通信装置識別情報及び復元処理を行う通信装置識別情報をそれぞれ含むログとして保存する第1のログ保存手段と、前記識別情報の双方を含む前記第1処理後信号を生成して通信回線に送信させる第1の処理手段とを含む第1の通信装置と;
前記通信回線を通して受信した前記第1処理後信号に前記復元処理を施した第2処理後信号及び前記第2処理後信号に前記復元処理を施す前の第2処理前信号を、前記識別情報の双方をそれぞれ含むログとして保存する第2のログ保存手段と、前記第2処理後信号を生成するとともに前記識別情報の双方を含む前記第2処理前信号を前記第1の通信装置への通信回線に送信させる第2の処理手段とを含む第2の通信装置とを備える通信システムにおける異常事象発生原因特定方法であって;
前記第2の通信装置の前記第2の処理手段は、
前記受信した第1処理後信号に初回の復元処理を施した前記第2処理後信号の異常復元を検出したときを契機に、
前記第2のログ保存手段と協働して、前記受信した第1処理後信号対応の前記第2処理前信号に再度の復元処理を施し、
前記再度の復元処理を施した前記第2処理後信号の正常復元を検出したときは、異常事象の発生原因が前記第2の通信装置にあることを特定し;
前記第1の通信装置の前記第1の処理手段は、
前記第2の通信装置から前記第1処理後信号対応の前記第2処理前信号を受信したときを契機に、
前記第1のログ保存手段と協働して、前記異常事象の発生原因が、前記通信回線にあるか、前記第1の通信装置にあるか、前記第1の通信装置における変更処理または前記第2の通信装置における復元処理の論理的な再現性異常であるかを特定する;
ことを特徴とする異常事象発生原因特定方法。
【請求項1】
異常事象発生原因特定機能を含む通信システムであって;
受信信号に変更処理を施した第1処理後信号及び前記第1処理後信号に前記変更処理を施す前の第1処理前信号を、前記変更処理を行う通信装置識別情報及び復元処理を行う通信装置識別情報をそれぞれ含むログとして保存する第1のログ保存手段と、前記識別情報の双方を含む前記第1処理後信号を生成して通信回線に送信させる第1の処理手段とを含む第1の通信装置と;
前記通信回線を通して受信した前記第1処理後信号に前記復元処理を施した第2処理後信号及び前記第2処理後信号に前記復元処理を施す前の第2処理前信号を、前記識別情報の双方をそれぞれ含むログとして保存する第2のログ保存手段と、前記第2処理後信号を生成するとともに前記識別情報の双方を含む前記第2処理前信号を前記第1の通信装置への通信回線に送信させる第2の処理手段とを含む第2の通信装置とを備え;
前記第2の通信装置の前記第2の処理手段は、
前記受信した第1処理後信号に初回の復元処理を施した前記第2処理後信号の異常復元を検出したときを契機に、
前記第2のログ保存手段と協働して、前記受信した第1処理後信号対応の前記第2処理前信号に再度の復元処理を施し、
前記再度の復元処理を施した前記第2処理後信号の正常復元を検出したときは、異常事象の発生原因が前記第2の通信装置にあることを特定し;
前記第1の通信装置の前記第1の処理手段は、
前記第2の通信装置から前記第1処理後信号対応の前記第2処理前信号を受信したときを契機に、
前記第1のログ保存手段と協働して、前記異常事象の発生原因が、前記通信回線にあるか、前記第1の通信装置にあるか、前記第1の通信装置における変更処理または前記第2の通信装置における復元処理の論理的な再現性異常であるかを特定する;
ことを特徴とする通信システム。
【請求項2】
前記第2の通信装置の前記第2の処理手段は、
前記契機に、前記第2のログ保存手段から取得した前記第2処理後信号の前記識別情報に基づいて、前記受信した第1処理後信号対応の前記第2処理前信号を取得し、この第2処理前信号に再度の復元処理を施し、
前記再度の復元処理を施した前記第2処理後信号の異常復元を検出したときは、前記受信した第1処理後信号対応の前記第2処理前信号を前記第1の通信装置への通信回線に送信させる
請求項1記載の通信システム。
【請求項3】
前記第1の通信装置の前記第1の処理手段は、
前記契機に、前記受信した第2処理前信号に含まれている識別情報に基づいて、前記第2処理前信号対応の前記第1処理後信号を前記第1のログ保存手段から取得し、
取得した前記第1処理後信号と前記受信した第2処理前信号とを比較し、不一致であるときは、前記異常事象の発生原因が前記通信回線にあることを特定し、一致しているときは、前記第1処理後信号の識別情報と一致する識別情報を含む前記第1処理前信号を前記第1のログ保存手段から取得して再度の変更処理を施し、
前記再度の変更処理を施した前記第1処理後信号と前記第1のログ保存手段から取得した前記第1処理後信号とを比較し、不一致であるときは、前記異常事象の発生原因が前記第1の通信装置にあると特定し、一致しているときは、前記異常事象の発生原因が前記第1の通信装置における変更処理または前記第2の通信装置における復元処理の論理的な再現性異常であることを特定する
請求項1または2記載の通信システム。
【請求項4】
前記第1のログ保存手段は、前記第1処理前信号及び前記第1処理後信号を、前記変更処理を行う通信装置識別情報及び前記復元処理を行う通信装置識別情報をそれぞれ含むログとして一時的に保存し、
前記第2のログ保存手段は、前記第2処理前信号及び前記第2処理後信号を、前記変更処理を行う通信装置識別情報及び前記復元処理を行う通信装置識別情報をそれぞれ含むログとして一時的に保存し、
前記各ログは、シーケンス番号を更に含む
請求項1記載の通信システム。
【請求項5】
受信信号に変更処理を施した第1処理後信号及び前記第1処理後信号に前記変更処理を施す前の第1処理前信号を、前記変更処理を行う通信装置識別情報及び復元処理を行う通信装置識別情報をそれぞれ含むログとして保存する第1のログ保存手段と、前記識別情報の双方を含む前記第1処理後信号を生成して通信回線に送信させる第1の処理手段とを含む第1の通信装置と;
前記通信回線を通して受信した前記第1処理後信号に前記復元処理を施した第2処理後信号及び前記第2処理後信号に前記復元処理を施す前の第2処理前信号を、前記識別情報の双方をそれぞれ含むログとして保存する第2のログ保存手段と、前記第2処理後信号を生成するとともに前記識別情報の双方を含む前記第2処理前信号を前記第1の通信装置への通信回線に送信させる第2の処理手段とを含む第2の通信装置とを備える通信システムにおける異常事象発生原因特定方法であって;
前記第2の通信装置の前記第2の処理手段は、
前記受信した第1処理後信号に初回の復元処理を施した前記第2処理後信号の異常復元を検出したときを契機に、
前記第2のログ保存手段と協働して、前記受信した第1処理後信号対応の前記第2処理前信号に再度の復元処理を施し、
前記再度の復元処理を施した前記第2処理後信号の正常復元を検出したときは、異常事象の発生原因が前記第2の通信装置にあることを特定し;
前記第1の通信装置の前記第1の処理手段は、
前記第2の通信装置から前記第1処理後信号対応の前記第2処理前信号を受信したときを契機に、
前記第1のログ保存手段と協働して、前記異常事象の発生原因が、前記通信回線にあるか、前記第1の通信装置にあるか、前記第1の通信装置における変更処理または前記第2の通信装置における復元処理の論理的な再現性異常であるかを特定する;
ことを特徴とする異常事象発生原因特定方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2013−3203(P2013−3203A)
【公開日】平成25年1月7日(2013.1.7)
【国際特許分類】
【出願番号】特願2011−131306(P2011−131306)
【出願日】平成23年6月13日(2011.6.13)
【出願人】(000237156)株式会社富士通アドバンストエンジニアリング (100)
【Fターム(参考)】
【公開日】平成25年1月7日(2013.1.7)
【国際特許分類】
【出願日】平成23年6月13日(2011.6.13)
【出願人】(000237156)株式会社富士通アドバンストエンジニアリング (100)
【Fターム(参考)】
[ Back to top ]