通信装置および通信システム
【課題】互いに異なるサブネットワーク間での暗号通信の引き継ぎを可能にする。
【解決手段】通信装置1は、セッション情報が追加、変更または削除されるごとに、追加等された部分を含むセッション情報や削除の指示を通信装置1Aに送信する(S15)。通信装置1Aは、故障等を検出したなら(S23)、セッション情報における通信装置1のアドレス等を通信装置1Aのアドレス等に変更する旨のアドレス変更指示を通信装置2に送信する(S25)。通信装置2は、セッション情報における通信装置1のアドレス等を通信装置1Aのアドレス等に変更する(S27)。また、通信装置1Aも、セッション情報における通信装置1のアドレス等を通信装置1Aのアドレス等に変更する(S29)。
【解決手段】通信装置1は、セッション情報が追加、変更または削除されるごとに、追加等された部分を含むセッション情報や削除の指示を通信装置1Aに送信する(S15)。通信装置1Aは、故障等を検出したなら(S23)、セッション情報における通信装置1のアドレス等を通信装置1Aのアドレス等に変更する旨のアドレス変更指示を通信装置2に送信する(S25)。通信装置2は、セッション情報における通信装置1のアドレス等を通信装置1Aのアドレス等に変更する(S27)。また、通信装置1Aも、セッション情報における通信装置1のアドレス等を通信装置1Aのアドレス等に変更する(S29)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信装置および通信システムに関するものである。
【背景技術】
【0002】
従来において、IPSec(Security Architecture for Internet Protocol)による通信システムにおいては、中継装置たる通信装置(通信装置Aという)と相手の通信装置(通信装置Bという)の間で暗号通信が行われる。また、通信システムでは、通信装置Aの故障に備えて、別の通信装置(通信装置A1という)が、通信装置Aから暗号通信のパラメータを逐次取得し、待機している。通信装置A、A1は、同一のIPアドレス(以下、アドレス)を有し、通信装置Bは、通信装置A、A1のどちらとも同じように暗号通信を行える。よって、通信装置A1が通信装置Aの故障を検知したら、取得しておいたパラメータを使用して、通信装置Bに対して暗号通信を行えば、つまり、暗号通信を引き継げばよいのである。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2008−199421号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、通信装置A、A1は、同一のアドレスを有する必要があり、つまり、通信装置A、A1は、同一のサブネットワークに設けられている必要がある。そのため、互いに異なるサブネットワーク間で暗号通信を引き継ぐことができないという問題があった。
【0005】
本発明は、上記の課題に鑑みてなされたものであり、その目的とするところは、互いに異なるサブネットワーク間での暗号通信の引き継ぎを可能にする通信装置および通信システムを提供することにある。
【課題を解決するための手段】
【0006】
上記の課題を解決するために、第1の本発明に係る通信装置は、対象の通信装置および相手の通信装置の間の暗号通信を前記対象の通信装置から引き継ぐ通信装置であって、前記対象の通信装置を示すアドレスを含み且つ前記暗号通信に必要なセッション情報を受信し、前記引き継ぐ通信装置に設けられた記憶手段に記憶させるセッション情報受信手段と、前記相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を前記相手の通信装置に送信するとともに、当該記憶手段に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更するアドレス変更処理手段とを備えることを特徴とする。
【0007】
例えば、第1の本発明に係る通信装置は、前記対象の通信装置に対するポーリングを行い、当該通信装置から応答がなかったなら、前記アドレス変更指示が送信されるように動作する状態監視手段を備える。
【0008】
第2の本発明に係る通信システムは、対象の通信装置および相手の通信装置の間の暗号通信を前記対象の通信装置から引き継ぐ通信装置と該通信装置とともに用いられる通信支援装置とを含む通信システムであって、前記通信支援装置は、前記対象の通信装置を示すアドレスを含み且つ前記暗号通信に必要なセッション情報を受信し、前記通信支援装置に設けられた記憶手段に記憶させるセッション情報受信手段と、当該記憶手段からセッション情報を読み出し、読み出したセッション情報とともに、前記相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を前記相手の通信装置に送信する旨の送信指示を前記引き継ぐ通信装置に送信するセッション情報送信手段とを備え、前記引き継ぐ通信装置は、前記通信支援装置から送信されたセッション情報を当該引き継ぐ通信装置に設けられた記憶手段に記憶させるセッション情報受信手段と、前記送信指示に基づいて、前記相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を前記相手の通信装置に送信するとともに、当該記憶手段に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更するアドレス変更処理手段とを備えることを特徴とする。
【0009】
例えば、前記通信支援装置は、前記対象の通信装置に対するポーリングを行い、当該通信装置から応答がなかったなら、前記セッション情報と前記送信指示が送信されるように動作する状態監視手段を備える。
【0010】
例えば、前記通信支援装置のセッション情報受信手段は、前記引き継ぐ通信装置における相手の通信装置の数を計算し、当該相手の通信装置の数を前記通信支援装置に設けられた記憶手段に記憶させ、前記セッション情報送信手段は、当該記憶手段に記憶された相手の通信装置の数と前記引き継ぐ通信装置に送信されるセッション情報の数の和が予め定めた数以下になるように動作することを特徴とする。
【発明の効果】
【0011】
第1の本発明によれば、対象の通信装置および相手の通信装置の間の暗号通信を対象の通信装置から引き継ぐ通信装置であって、対象の通信装置を示すアドレスを含み且つ暗号通信に必要なセッション情報を受信し、引き継ぐ通信装置に設けられた記憶手段に記憶させるセッション情報受信手段と、相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を相手の通信装置に送信するとともに、当該記憶手段に記憶されたセッション情報における対象の通信装置を示すアドレスを引き継ぐ通信装置を示すアドレスに変更するアドレス変更処理手段とを備えるので、互いに異なるサブネットワーク間での暗号通信の引き継ぎを可能にすることができる。
【0012】
第2の本発明によれば、通信支援装置は、対象の通信装置を示すアドレスを含み且つ暗号通信に必要なセッション情報を受信し、通信支援装置に設けられた記憶手段に記憶させるセッション情報受信手段と、当該記憶手段からセッション情報を読み出し、読み出したセッション情報とともに、相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を相手の通信装置に送信する旨の送信指示を引き継ぐ通信装置に送信するセッション情報送信手段とを備え、引き継ぐ通信装置は、通信支援装置から送信されたセッション情報を当該引き継ぐ通信装置に設けられた記憶手段に記憶させるセッション情報受信手段と、送信指示に基づいて、相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を相手の通信装置に送信するとともに、当該記憶手段に記憶されたセッション情報における対象の通信装置を示すアドレスを引き継ぐ通信装置を示すアドレスに変更するアドレス変更処理手段とを備えるので、互いに異なるサブネットワーク間での暗号通信の引き継ぎを可能にすることができる。
【図面の簡単な説明】
【0013】
【図1】第1の実施の形態に係る通信システムの構成を示す図である。
【図2】各通信装置1の構成を示すブロック図である。
【図3】各通信装置1Aの構成を示すブロック図である。
【図4】各通信装置2の構成を示すブロック図である。
【図5】暗号化規則情報記憶部103の構成を示す図である。
【図6】鍵交換通信情報記憶部104の構成を示す図である。
【図7】暗号通信情報記憶部105の構成を示す図である。
【図8】セッション情報の構成を示す図である。
【図9】第1の実施の形態の動作を示すシーケンス図である。
【図10】アドレス変更指示の構成を示す図である。
【図11】通信装置1でパケットが受信されたときの動作を示すフローチャートである。
【図12】パケットの構成を示す図である。
【図13】通信装置2でパケットが受信されたときの動作を示すフローチャートである。
【図14】通信装置1が通信装置1Aにセッション情報等を送信するときの動作を示すフローチャートである。
【図15】通信装置1Aが通信装置1からセッション情報等を受信したときの動作を示すフローチャートである。
【図16】通信装置1Aが通信装置1の暗号通信を引き継ぐときの動作を示すフローチャートである。
【図17】通信装置2がアドレス変更指示を受信したときの動作を示すフローチャートである。
【図18】第2の実施の形態に係る通信システムの構成を示す図である。
【図19】通信支援装置4の構成を示すブロック図である。
【図20】暗号化規則情報記憶部43の構成を示す図である。
【図21】鍵交換通信情報記憶部44の構成を示す図である。
【図22】暗号通信情報記憶部45の構成を示す図である。
【図23】第2の実施の形態の動作を示すシーケンス図である。
【図24】送信指示の構成を示す図である。
【図25】通信支援装置4が通信装置1からセッション情報等を受信したときの動作を示すフローチャートである。
【図26】通信支援装置4が送信指示等を送信するときの動作を示すフローチャートである。
【図27】通信装置1Aがの送信指示等を受信したときの動作を示すフローチャートである。
【図28】第3の実施の形態に係る通信システムの構成を示す図である。
【図29】通信支援装置4Aの構成を示すブロック図である。
【図30】通信装置管理情報記憶部42の構成を示す図である。
【図31】第3の実施の形態の動作を示すシーケンス図である。
【図32】通信支援装置4Aが通信装置1からセッション情報等を受信したときの動作を示すフローチャートである。
【図33】通信支援装置4Aが送信指示等を送信するときの動作を示すフローチャートである。
【発明を実施するための形態】
【0014】
以下、本発明の実施の形態を図面を参照して説明する。
【0015】
[第1の実施の形態]
図1は、第1の実施の形態に係る通信システムの構成を示す図である。
【0016】
各通信装置1、1Aは、ルータRを介してネットワークNに接続されている。また、複数の通信装置2のそれぞれが、該通信装置2に割り当てられたネットワーク3に接続されている。1つのネットワーク3内の端末装置AとネットワークN内の端末装置Bの間で双方向通信が行われる際、当該ネットワーク3に接続された通信装置2と該通信装置2に割り当てたれた通信装置1との間では暗号通信を行うこととなっている。同様に、端末装置Cを含むネットワーク3に接続された通信装置2と該通信装置2に割り当てたれた通信装置1との間でも暗号通信を行うこととなっている。ここでは、暗号通信は、IPSecの規定によるものとする。
【0017】
なお、通信装置2の説明においては、該通信装置2と暗号通信を行うこととなっている通信装置1を単に通信装置1という。
【0018】
通信装置1Aは、通常は、上記のような暗号通信を行うこととなっておらず、つまり、待機中である。通信装置1Aは、通信装置1の故障などの際に、かかる暗号通信を引き継ぐようになっている。通信装置1と通信装置1Aは1対1の関係にある。
【0019】
なお、通信装置1の説明においては、この通信装置1の暗号通信を引き継ぐ通信装置1Aのことを単に通信装置1Aといい、逆も同様とする。
【0020】
各通信装置1、1Aは、互いに異なるサブネットワークに存在しており、各サブネットワークを示すネットワークアドレスも互いに異なる。各通信装置2も、互いに異なるサブネットワークに存在しており、各サブネットワークを示すネットワークアドレスも互いに異なる。
【0021】
図2は、各通信装置1の構成を示すブロック図である。図3は、各通信装置1Aの構成を示すブロック図である。
【0022】
通信装置1は、回線インタフェース101、回線インタフェース102、暗号化規則情報記憶部103、鍵交換通信情報記憶部104、暗号通信情報記憶部105、暗号関連処理適用判断部106、暗号関連処理部107、暗号鍵交換部108、セッション情報送信部109を備える。
【0023】
通信装置1Aは、回線インタフェース101、回線インタフェース102、暗号化規則情報記憶部103、鍵交換通信情報記憶部104、暗号通信情報記憶部105、暗号関連処理適用判断部106、暗号関連処理部107、暗号鍵交換部108、セッション情報受信部109A、アドレス変更処理部111、状態監視部112を備える。
【0024】
回線インタフェース101は、回線インタフェース102で受信された、ネットワークN内の端末装置宛のパケットをルータRに送信する。回線インタフェース102は、回線インタフェース101で受信された、いずれかのネットワーク3内の端末装置宛のパケットを当該ネットワーク3に接続された通信装置2に送信する。回線インタフェース102は、通信装置1、1A間の通信にも使用される。
【0025】
暗号化規則情報記憶部103には、パケットの暗号化、復号が必要か否かの判断に使用される暗号化規則情報が記憶される。
鍵交換通信情報記憶部104には、パケットの暗号化、復号に使用される鍵の生成、交換に必要な鍵交換通信情報が記憶される。
【0026】
暗号通信情報記憶部105には、パケットの暗号化、復号に使用される鍵やパケットの順番を示すシーケンス番号などを含む暗号通信情報が記憶される。
暗号関連処理適用判断部106は、パケットの暗号化、復号が必要か否かを判断する。
暗号関連処理部107は、パケットの暗号化、復号を行う。
【0027】
セッション情報送信部109は、暗号化規則情報記憶部103、鍵交換通信情報記憶部104および暗号通信情報記憶部105に分けて記憶されるセッション情報を通信装置1Aに送信する。
【0028】
セッション情報受信部109Aは、通信装置1から送信されたセッション情報を暗号化規則情報記憶部103、鍵交換通信情報記憶部104および暗号通信情報記憶部105に分けて記憶させる。
【0029】
アドレス変更処理部111は、通信装置1が故障などしたら、通信装置1のアドレス等を通信装置1Aのアドレス等に変更する旨の指示(アドレス変更指示)を通信装置2に送信し、また、暗号化規則情報記憶部103等に分けて記憶されたセッション情報における通信装置1のアドレス等を通信装置1Aのアドレス等に変更する。
状態監視部112は、通信装置1の状態を監視し、故障などを検出する。
【0030】
図4は、各通信装置2の構成を示すブロック図である。
【0031】
通信装置2は、回線インタフェース21、回線インタフェース22、暗号化規則情報記憶部23、鍵交換通信情報記憶部24、暗号通信情報記憶部25、暗号関連処理適用判断部26、暗号関連処理部27、暗号鍵交換部28、アドレス変更処理部29を備える。
【0032】
回線インタフェース21は、回線インタフェース22で受信された、ネットワークN内の端末装置宛のパケットを通信装置1に送信する。回線インタフェース22は、回線インタフェース21で受信された、ネットワーク3内の端末装置宛のパケットを当該端末装置に送信する。
【0033】
暗号化規則情報記憶部23には、パケットの暗号化、復号が必要か否かの判断に使用される暗号化規則情報が記憶される。
鍵交換通信情報記憶部24には、パケットの暗号化、復号に使用される鍵の生成、交換に必要な鍵交換通信情報が記憶される。
【0034】
暗号通信情報記憶部25には、パケットの暗号化、復号に使用される鍵やパケットの順番を示すシーケンス番号などを含む暗号通信情報が記憶される。
暗号関連処理適用判断部26は、パケットの暗号化、復号が必要か否かを判断する。
暗号関連処理部27は、パケットの暗号化、復号を行う。
【0035】
アドレス変更処理部29は、通信装置1Aから送信されたアドレス変更指示において変更対象となっている通信装置1が現在の相手の通信装置1であるなら、暗号化規則情報記憶部23、鍵交換通信情報記憶部24および暗号通信情報記憶部25に分けて記憶されたセッション情報における通信装置1のアドレス等を通信装置1Aのアドレス等に変更する。
【0036】
図5は、暗号化規則情報記憶部103の構成を示す図である。
【0037】
通信装置1の暗号化規則情報記憶部103に記憶される暗号化規則情報は、(1)自身(通信装置1)を含むサブネットワークを示すネットワークアドレスNA1と、(2)自身(通信装置1)の相手となっている通信装置2を含むサブネットワークを示すネットワークアドレスNA2と、(3)通信の方向と、(4)自身(通信装置1)と相手の通信装置2の間の(3)の方向の通信についての規則を定めたもの、の4つを含む。別の相手、反対の通信の方向、別の規則などについては、別の暗号化規則情報が存在する。
【0038】
また、通信装置1Aの暗号化規則情報記憶部103に記憶される暗号化規則情報は、通信装置1から送信されたものであり、(1)通信装置1を含むサブネットワークを示すネットワークアドレスNA1と、(2)通信装置1の相手となっている通信装置2を含むサブネットワークを示すネットワークアドレスNA1と、(3)通信の方向と、(4)通信装置1と相手の通信装置2の間の(3)の方向の通信についての規則を定めたもの、の4つを含む。別の相手、反対の通信の方向、別の規則などについては、別の暗号化規則情報が存在する。
【0039】
図示しないが、通信装置2の暗号化規則情報記憶部23に記憶される暗号化規則情報は、(1)自身(通信装置2)を含むサブネットワークを示すネットワークアドレスNA2と、(2)相手となっている通信装置1を含むサブネットワークを示すネットワークアドレスNA1と、(3)通信の方向と、(4)自身(通信装置2)と相手の通信装置1の間の(3)の方向の通信についての規則を定めたもの、の4つを含む。別の相手、反対の通信の方向、別の規則などについては、別の暗号化規則情報が存在する。
【0040】
図6は、鍵交換通信情報記憶部104の構成を示す図である。
【0041】
通信装置1の鍵交換通信情報記憶部104に記憶される鍵交換通信情報は、(1)この鍵交換通信情報を一意に示す識別情報、(2)自身(通信装置1)のアドレスAD1、(3)自身(通信装置1)の相手となっている通信装置2のアドレスAD2、(4)暗号化および復号の鍵を含む該鍵に関する情報、の4つを含む。別の相手、別の鍵などについては、別の鍵交換通信情報が存在する。
【0042】
通信装置1Aの鍵交換通信情報記憶部104に記憶される鍵交換通信情報は、(1)この鍵交換通信情報を一意に示す識別情報、(2)通信装置1のアドレスAD1、(3)通信装置1の相手となっている通信装置2のアドレスAD2、(4)暗号化および復号の鍵を含む該鍵に関する情報、の4つを含む。別の相手、別の鍵などについては、別の鍵交換通信情報が存在する。
【0043】
図示しないが、通信装置2の鍵交換通信情報記憶部104に記憶される鍵交換通信情報は、(1)この鍵交換通信情報を一意に示す識別情報、(2)自身(通信装置2)のアドレスAD2、(3)自身(通信装置2)相手となっている通信装置1のアドレスAD1、(4)暗号化および復号の鍵を含む該鍵に関する情報、の4つを含む。別の相手、別の鍵などについては、別の鍵交換通信情報が存在する。
【0044】
図7は、暗号通信情報記憶部105の構成を示す図である。
【0045】
通信装置1の暗号通信情報記憶部105に記憶される暗号通信情報は、(1)この暗号通信情報を一意に示す識別情報、(2)自身(通信装置1)のアドレスAD1、(3)自身(通信装置1)の相手となっている通信装置2のアドレスAD2、(4)暗号通信に関する情報、の4つを含む。(4)の暗号通信に関する情報は、鍵やシーケンス番号を含む。別の相手、別の鍵などについては、別の暗号通信情報が存在する。
【0046】
通信装置1Aの暗号通信情報記憶部105に記憶される暗号通信情報は、(1)この暗号通信情報を一意に示す識別情報、(2)通信装置1のアドレスAD1、(3)通信装置1の相手となっている通信装置2のアドレスAD2、(4)暗号通信に関する情報、の4つを含む。(4)の暗号通信に関する情報は、鍵やシーケンス番号を含む。別の相手、別の鍵などについては、別の暗号通信情報が存在する。
【0047】
図示しないが、通信装置2の暗号通信情報記憶部105に記憶される暗号通信情報は、(1)この暗号通信情報を一意に示す識別情報、(2)自身(通信装置2)のアドレスAD2、(3)自身(通信装置2)の相手となっている通信装置1のアドレスAD1、(4)暗号通信に関する情報、の4つを含む。(4)の暗号通信に関する情報は、鍵やシーケンス番号を含む。別の相手、別の鍵などについては、別の暗号通信情報が存在する。
【0048】
図8は、セッション情報の構成を示す図である。
【0049】
通信装置1においては、(1)1つの暗号通信情報と、(2)該暗号通信情報内のアドレスAD1、AD2に等しいアドレスAD1、AD2を含む鍵交換通信情報(1つ)と、(3)暗号通信情報内のアドレスAD1を含むネットワークアドレスNA1および暗号通信情報内のアドレスAD2を含むネットワークアドレスNA2を含む暗号化規則情報(2つ:各方向1つ)とを含む情報をセッション情報という。
【0050】
セッション情報は、該セッション情報内の暗号通信情報に含まれるシーケンス番号を更新しながら行う一連の暗号通信についての通信情報である。
なお、セッション情報は、通信装置1A、通信装置2においても同様の情報のことをいう。
【0051】
(第1の実施の形態の動作)
図9は、第1の実施の形態の動作を示すシーケンス図である。
【0052】
端末装置Aは端末装置Bと通信したい旨の通信要求を通信装置2に送信する(S1)。これに対し、通信装置2は、通信装置1に接続要求を送信する(S3)。これに対し、通信装置1は通信装置2を認証する手続きを行い、認証ができたなら、接続許可を通信装置2に送信する(S5)。また、端末装置A、B間の通信における通信装置1、2間の通信を暗号通信とする必要があるので、通信装置1、2は、そのためのセッション情報を記憶しておく。セッション情報には、通信装置1、2のアドレスが含まれる。通信装置1は、通信装置1の故障などに備えて、セッション情報を通信装置1Aに送信する(S7)。通信装置1Aは、セッション情報を記憶しておく。
【0053】
端末装置Aが、端末装置Bのアドレスである送信先のアドレスを含むパケットを送信すると、パケットは通信装置2に到着する。通信装置2はパケットを暗号化し、記憶したセッション情報内に通信装置1のアドレスがあるので、暗号化されたパケットを通信装置1に送信する。通信装置1はパケットを復号する。復号されたパケットは、パケット内の送信先のアドレスにしたがって、通信装置1から端末装置Bに送信される。端末装置Bから端末装置Aへのパケットの送信も同様である。こうして、端末装置A、B間で双方向通信が行われる際(S11)、通信装置1、2間の通信が暗号通信となる。
【0054】
通信装置1は、セッション情報が追加、変更または削除されるごとに、追加等された部分を含むセッション情報や削除の指示を通信装置1Aに送信する(S15)。
【0055】
通信装置1Aは、通信装置1に対し、継続的にポーリングを行い(S17)、応答を受信する。
【0056】
通信装置1が故障や輻輳した(S19)場合、通信装置1、2間および通信装置1、端末装置B間の通信が行えない(S21)。しかし、通信装置1の故障等により、通信装置1Aは応答を受信できないので、通信装置1Aは、故障等を検出することができる(S23)。
【0057】
通信装置1Aは、故障等を検出したなら、セッション情報における通信装置1のアドレス等を通信装置1Aのアドレス等に変更する旨の指示(アドレス変更指示100という)を通信装置2に送信する(S25)。
【0058】
図10は、このアドレス変更指示100の構成を示す図である。
【0059】
アドレス変更指示100は、アドレス100a、100b、および、アドレス100aをアドレス100bに変更する旨のコマンド100cとを含む。アドレス100aとしては、故障等した通信装置1のアドレスが設定される。アドレス100bとしては、故障等を検出した通信装置1Aのアドレスが設定される。
【0060】
図9に戻り、通信装置2は、アドレス変更指示内のアドレス100aが、記憶しておいたセッション情報における通信装置1のアドレスAD1であるなら、そのセッション情報における通信装置1のアドレスAD1等をアドレス変更指示内のアドレス100b等に変更する(S27)。また、通信装置1Aも、記憶しておいたセッション情報における通信装置1のアドレスAD1等を通信装置1Aのアドレス等に変更する(S29)。
【0061】
前述のように、端末装置Aが、端末装置Bのアドレスを含むパケットを送信すると、パケットは通信装置2に到着する。通信装置2はパケットを暗号化し、記憶したセッション情報内に通信装置1Aのアドレスがあるので、暗号化されたパケットを通信装置1Aに送信する。通信装置1Aはパケットを復号する。復号されたパケットは、パケット内の送信先のアドレスにしたがって、通信装置1Aから端末装置Bに送信される。端末装置Bから端末装置Aへのパケットの送信も同様である。こうして、端末装置A、B間で双方向通信が行われる際(S31)、パケットは通信装置1Aを経由し、通信装置1A、通信装置2間の通信が暗号通信となる。
【0062】
図11は、通信装置1でパケットが受信されたときの動作を示すフローチャートである。
【0063】
暗号関連処理適用判断部106は、回線インタフェース101、102の一方がパケットを受信したなら(START)、受信されたパケットの暗号化、復号の少なくとも一方が必要か否かを判定する(T1)。
【0064】
図12は、パケットの構成を示す図である。
【0065】
パケットは、(1)ヘッダ、(2)SPIインデクス、(3)シーケンス番号、(4)ペイロードを含む。ヘッダは、送信元のアドレス、送信先のアドレスを含む。(1)ヘッダ、(2)SPIインデクス、(3)シーケンス番号は暗号化されず、(4)ペイロードだけが暗号化される。
【0066】
図11に戻り、具体的には、暗号関連処理適用判断部106は、パケットが回線インタフェース101で受信されたのなら、暗号化規則情報記憶部103に、(1)自身(通信装置1)を含むサブネットワークを示すネットワークアドレスNA1と、(2)パケット内の送信先のアドレスを含むネットワークアドレスに等しいネットワークアドレスNA2と、(3)自身(通信装置1)から相手(通信装置2)へ向かう方向と、を含む暗号化規則情報があり、その(4)規則に暗号化必要の記載があれば必要、なければ暗号化および復号は不要と判断する。
【0067】
一方、暗号関連処理適用判断部106は、パケットが回線インタフェース102で受信されたのなら、暗号化規則情報記憶部103に、(1)自身(通信装置1)を含むサブネットワークを示すネットワークアドレスNAと、(2)パケット内の送信元のアドレスを含むネットワークアドレスに等しいネットワークアドレスNA2と、(3)相手(通信装置2)から自身(通信装置1)へ向かう方向と、を含む暗号化規則情報があり、その(4)規則に復号必要の記載があれば必要、なければ暗号化および復号は不要と判断する。
【0068】
他方の回線インタフェースは、暗号化、復号とも不要と判定されたなら(T1:NO)、受信されたパケットをパケット内の送信先のアドレスを含むネットワークアドレスNA2に含まれるアドレスを有する通信装置2またはルータRに送信し(T2)、処理を終える(END)。
【0069】
一方、暗号関連処理適用判断部106は、パケットの暗号化、復号の少なくとも一方が必要と判定したなら(T1:YES)、パケット内のSPIインデクスに等しい識別情報を含む鍵交換通信情報および暗号通信情報が鍵交換通信情報記憶部104および暗号通信情報記憶部105にあるか否かを判定する(T7)。
【0070】
暗号鍵交換部108は、鍵交換通信情報等がなければ、通信装置2の暗号鍵交換部28との間での交渉により生成された鍵および該鍵に関する情報を含む鍵交換通信情報と暗号通信情報を取得して鍵交換通信情報記憶部104と暗号通信情報記憶部105にそれぞれ記憶させる(T9)。
【0071】
なお、通信装置2の暗号鍵交換部28も、生成された鍵および該鍵に関する情報を含む鍵交換通信情報と暗号通信情報を取得して鍵交換通信情報記憶部24と暗号通信情報記憶部25にそれぞれ記憶させる。
【0072】
次に、暗号関連処理部107は、パケットが回線インタフェース101で受信されたのなら、パケットのペイロードを鍵(パケット内のSPIインデクスに等しい識別情報を含む鍵交換通信情報内の鍵、または、暗号通信情報内の鍵)で暗号化し、一方、パケットが回線インタフェース102で受信されたのなら、パケットのペイロードを鍵で復号する(T11)。
【0073】
次に、暗号関連処理部107は、パケット内のSPIインデクスに等しい識別情報を含む暗号通信情報内のシーケンス番号を更新する(T13)。
【0074】
次に、他方の回線インタフェースが、暗号化または復号されたペイロードを含むパケットを通信装置2またはルータRに送信し(T2)、処理を終える(END)。
【0075】
図13は、通信装置2でパケットが受信されたときの動作を示すフローチャートである。
【0076】
パケットは、図12に示したものと同様の構成を有する。
暗号関連処理適用判断部26は、回線インタフェース21、22の一方がパケットを受信したなら(START)、受信されたパケットの暗号化、復号の少なくとも一方が必要か否かを判定する(U1)。
【0077】
具体的には、暗号関連処理適用判断部26は、パケットが回線インタフェース21で受信されたのなら、暗号化規則情報記憶部23に、(1)自身(通信装置2)を含むサブネットワークを示すネットワークアドレスNA2と、(3)自身(通信装置2)から通信装置1へ向かう方向と、を含む暗号化規則情報があり、その(4)規則に暗号化必要の記載があれば必要、なければ暗号化および復号は不要と判断する。
【0078】
一方、暗号関連処理適用判断部26は、パケットが回線インタフェース22で受信されたのなら、暗号化規則情報記憶部23に、(1)自身(通信装置2)を含むサブネットワークを示すネットワークアドレスNA2と、(3)通信装置1から自身(通信装置2)へ向かう方向と、を含む暗号化規則情報があり、その(4)規則に復号必要の記載があれば必要、なければ暗号化および復号は不要と判断する。
【0079】
他方の回線インタフェースは、暗号化、復号とも不要と判定されたなら(U1:NO)、受信されたパケットを自身(通信装置2)の通信相手である通信装置1またはパケット内の送信先のアドレスを有する端末装置に送信し(U2)、処理を終える(END)。
【0080】
一方、暗号関連処理適用判断部26は、パケットの暗号化、復号の少なくとも一方が必要と判定したなら(U1:YES)、パケット内のシーケンス番号がパケット内のSPIインデクスに等しい識別情報を含む暗号通信情報内のシーケンス番号より新しいか否かを判定する(U3)。
【0081】
暗号関連処理適用判断部26は、パケット内のシーケンス番号と暗号通信情報内のシーケンス番号とが同じまたはパケット内のシーケンス番号が暗号通信情報内のシーケンス番号より古いなら(U3:NO)、パケットを破棄し(U5)、処理を終える(END)。
【0082】
一方、暗号関連処理部27は、パケット内のシーケンス番号が暗号通信情報内のシーケンス番号より新しいなら(U3:YES)、パケット内のSPIインデクスに等しい識別情報を含む鍵交換通信情報および暗号通信情報が鍵交換通信情報記憶部24および暗号通信情報記憶部25にあるか否かを判定する(U7)。
【0083】
暗号鍵交換部28は、鍵交換通信情報等がなければ、通信装置1の暗号鍵交換部108との間での交渉により生成された鍵および該鍵に関する情報を含む鍵交換通信情報と暗号通信情報を取得して鍵交換通信情報記憶部24と暗号通信情報記憶部25にそれぞれ記憶させる(U9)。
【0084】
なお、通信装置1の暗号鍵交換部108も、生成された鍵および該鍵に関する情報を含む鍵交換通信情報と暗号通信情報を取得して鍵交換通信情報記憶部104と暗号通信情報記憶部105にそれぞれ記憶させる。
【0085】
次に、暗号関連処理部27は、パケットが回線インタフェース21で受信されたのなら、パケットのペイロードを鍵(パケット内のSPIインデクスに等しい識別情報を含む鍵交換通信情報内の鍵、または、暗号通信情報内の鍵)で暗号化し、一方、パケットが回線インタフェース22で受信されたのなら、パケットのペイロードを鍵で復号する(U11)。
【0086】
次に、暗号関連処理部27は、パケット内のSPIインデクスに等しい識別情報を含む暗号通信情報内のシーケンス番号を更新する(U13)。
【0087】
次に、他方の回線インタフェースが、暗号化または復号されたペイロードを含むパケットを通信装置1または端末装置に送信し(U2)、処理を終える(END)。
【0088】
図14は、通信装置1が通信装置1Aにセッション情報等を送信するときの動作を示すフローチャートである。
【0089】
セッション情報送信部109は、暗号化規則情報記憶部103等に分けて新たにセッション情報が記憶された、または、記憶されたセッション情報のいずれかが変更または削除されたなら(START)、変更等されたセッション情報や削除されたセッション情報を削除する旨の指示を回線インタフェース102から通信装置1Aに送信し(T21)、処理が終わる(END)。
【0090】
図15は、通信装置1Aが通信装置1からセッション情報等を受信したときの動作を示すフローチャートである。
【0091】
セッション情報受信部109Aは、回線インタフェース102がセッション情報等を受信したなら(START)、セッション情報を暗号化規則情報記憶部103等に分散させて、既存のセッション情報があれば上書きで、記憶させ、または、指示にしたがってセッション情報を削除し(V1)、処理が終わる(END)。
【0092】
図16は、通信装置1Aが通信装置1の暗号通信を引き継ぐときの動作を示すフローチャートである。
【0093】
状態監視部112は、回線インタフェース102を介して、通信装置1に対し継続的にポーリングを行う(V11)。状態監視部112は、通信装置1から応答がなかったなら(V13:NO)、その旨をアドレス変更処理部111に伝える。これにより、アドレス変更処理部111は、鍵交換通信情報記憶部104における通信装置1のアドレスAD1を含む鍵交換通信情報内の相手のアドレスAD2を読み出す。つまり、アドレス変更処理部111は、故障などで応答しなくなった通信装置1に対して暗号通信を行っている通信装置2のアドレスを読み出す(V15)。
【0094】
次に、アドレス変更処理部111は、図10に示した構成のアドレス変更指示を該当のセッション情報内の鍵で暗号化し、これを回線インタフェース102が通信装置2に送信する(V17)。アドレス変更指示内のアドレス100aとしては、応答がなかった通信装置1のアドレスが設定される。アドレス変更指示内のアドレス100bとしては、このアドレス変更指示を送信する通信装置1A自身のアドレスが設定される。暗号化の鍵は、応答がなかった通信装置1のアドレスを含むセッション情報内に含まれる。
【0095】
次に、アドレス変更処理部111は、アドレス等を変更した旨の応答が返ったなら、暗号化規則情報記憶部103等に分けて記憶された、応答がなかった通信装置1のアドレスAD1を含むセッション情報内の通信装置1のアドレスAD1およびネットワークアドレスNA1を、ステップV17で送信したアドレス変更指示内のアドレス100bおよびアドレス100bを含むネットワークアドレス(すなわち自身のアドレスおよびネットワークアドレス)に変更し(V19)、処理が終わる(END)。
【0096】
図17は、通信装置2がアドレス変更指示を受信したときの動作を示すフローチャートである。
【0097】
暗号関連処理部27は、図16のステップV17で送信されたアドレス変更指示が受信されたなら(START)、このアドレス変更指示をセッション情報内の鍵で復号する(U21)。
【0098】
次に、アドレス変更処理部29は、復号されたアドレス変更指示内のアドレス100aが、暗号化規則情報記憶部23等に分けて記憶されたセッション情報内の通信装置1のアドレスAD1であるなら、そのセッション情報内の当該アドレスAD1およびネットワークアドレスNA1を、アドレス変更指示内のアドレス100bおよびアドレス100bを含むネットワークアドレスに変更し(U23)、処理が終わる(END)。
【0099】
したがって、第1の実施の形態において、通信装置1Aは、対象の通信装置1および相手の通信装置2の間の暗号通信を通信装置1から引き継ぐ通信装置であって、通信装置1を示すアドレスを含み且つ暗号通信に必要なセッション情報を受信し(図15:START)、通信装置1Aに設けられた記憶手段(暗号化規則情報記憶部103、鍵交換通信情報記憶部104および暗号通信情報記憶部105)に記憶させる(ステップV1)セッション情報受信手段(回線インタフェース102とセッション情報受信部109A)と、通信装置2に記憶されたセッション情報における通信装置1を示すアドレスを通信装置1Aを示すアドレスに変更する旨のアドレス変更指示を通信装置2に送信する(ステップV17)とともに、当該記憶手段に記憶されたセッション情報における通信装置1を示すアドレスを通信装置1Aを示すアドレスに変更する(ステップV19)アドレス変更処理手段(回線インタフェース102とアドレス変更処理部111)を備えるので、互いに異なるサブネットワーク間での暗号通信の引き継ぎを可能にすることができる。
【0100】
また、通信装置1Aは、通信装置1に対するポーリングを行い(ステップV11)、通信装置1から応答がなかったなら(ステップV13:NO)、アドレス変更指示が送信される(ステップV17)ように動作する状態監視手段(回線インタフェース102と状態監視部112)を備えるので、通信装置1の故障等の際に、暗号通信を引き継ぐことができる。
【0101】
[第2の実施の形態]
図18は、第2の実施の形態に係る通信システムの構成を示す図である。
【0102】
第1の実施の形態の通信システムと違い、ルータRに通信支援装置4(所謂サーバ)が接続されている。その他については、第1の実施の形態と同様である。
通信装置1は、第1の実施の形態と同様の構成(図2参照)となっている。
通信装置1Aは、第1の実施の形態と構成(図3参照)から状態監視部112を除いた構成となっている。
【0103】
通信装置2は、第1の実施の形態と同様の構成(図4参照)となっている。
図19は、通信支援装置4の構成を示すブロック図である。
【0104】
通信支援装置4は、回線インタフェース41、暗号化規則情報記憶部43、鍵交換通信情報記憶部44、暗号通信情報記憶部45、セッション情報送信部46、セッション情報受信部47、状態監視部48を備える。
【0105】
回線インタフェース41は、セッション情報などの送受信を行う。
暗号化規則情報記憶部43には、パケットの暗号化、復号が必要か否かの判断に使用される暗号化規則情報が記憶される。
鍵交換通信情報記憶部44には、パケットの暗号化、復号に使用される鍵の生成、交換に必要な鍵交換通信情報が記憶される。
【0106】
暗号通信情報記憶部45には、パケットの暗号化、復号に使用される鍵やパケットの順番を示すシーケンス番号などを含む暗号通信情報が記憶される。
セッション情報送信部46は、暗号化規則情報記憶部43、鍵交換通信情報記憶部44および暗号通信情報記憶部45に分けて記憶されるセッション情報を通信装置1Aに送信する。
【0107】
セッション情報受信部47は、通信装置1から送信されたセッション情報を暗号化規則情報記憶部43等に分けて記憶させる。
状態監視部48は、他の通信装置1の状態を監視し、故障などを検出する。
【0108】
図20は、暗号化規則情報記憶部43の構成を示す図である。
【0109】
暗号化規則情報は、対象の通信装置から送信されるものであり、(1)対象の通信装置を含むサブネットワークを示すネットワークアドレスNA1と、(2)対象の通信装置の相手となっている通信装置2を含むサブネットワークを示すネットワークアドレスNA2と、(3)通信の方向と、(4)その方向の通信についての規則を定めたもの、の4つを含む。別の対象、別の相手、反対の通信の方向、別の規則などについては、別の暗号化規則情報が存在する。
【0110】
図21は、鍵交換通信情報記憶部44の構成を示す図である。
【0111】
鍵交換通信情報は、対象の通信装置から送信されるものであり、(1)対象の通信装置において鍵交換通信情報を一意に示す識別情報、(2)対象の通信装置のアドレスAD1、(3)対象の通信装置の相手となっている通信装置2のアドレスAD2、(4)暗号化および復号の鍵を含む該鍵に関する情報、の4つを含む。別の対象、別の相手、別の鍵などについては、別の鍵交換通信情報が存在する。
【0112】
図22は、暗号通信情報記憶部45の構成を示す図である。
【0113】
暗号通信情報は、対象の通信装置から送信されるものであり、(1)対象の通信装置において暗号通信情報を一意に示す識別情報、(2)対象の通信装置のアドレスAD1、(3)対象の通信装置の相手となっている通信装置2のアドレスAD2、(4)暗号通信に関する情報、の4つを含む。(4)の暗号通信に関する情報は、鍵やシーケンス番号を含む。別の対象、別の相手、別の鍵などについては、別の暗号通信情報が存在する。
なお、第1の実施の形態と同様に、図8に示した構成を有する情報をセッション情報という。
【0114】
(第2の実施の形態の動作)
図23は、第2の実施の形態の動作を示すシーケンス図である。
【0115】
ステップS1〜S5については、第1の実施の形態と同様なので、説明を省略する。
また、第1の実施の形態と同様に、通信装置1、2はセッション情報を記憶しておく。セッション情報には、通信装置1、2のアドレスが含まれる。
通信装置1は、通信装置1の故障などに備えて、セッション情報を通信支援装置4に送信する(S107)。通信支援装置4は、セッション情報を記憶しておく。
【0116】
第1の実施の形態と同様に、端末装置A、B間で双方向通信が行われる際(S111)、通信装置1、2間の通信が暗号通信となる。
通信装置1は、セッション情報が追加、変更または削除されるごとに、追加等された部分を含むセッション情報や削除の指示を通信支援装置4に送信する(S115)。
【0117】
通信支援装置4は、通信装置1に対し、継続的にポーリングを行い(S117)、応答を受信する。
通信装置1が故障や輻輳した(S119)場合、通信装置1、2間および通信装置1、端末装置B間の通信が行えない(S121)。
【0118】
通信装置1の故障等により、通信支援装置4は応答を受信できないので、通信支援装置4は、故障等を検出することができる(S123)。
通信支援装置4は、故障等を検出したなら、記憶しておいたセッション情報とともに、図10に示した構成のアドレス変更指示を通信装置2に送信する旨の指示(送信指示200という)を通信装置1Aに送信する(S125)。
【0119】
図24は、この送信指示200の構成を示す図である。
【0120】
送信指示200は、アドレス201、202およびコマンド203を含む。コマンド203は、アドレス201を図10に示すアドレス100aとして、当該送信指示200を受信する通信装置のアドレスを図10のアドレス100bとしてそれぞれ含むアドレス変更指示100をアドレス202を有する通信装置に送信する旨のコマンドである。アドレス201としては、故障等した通信装置1のアドレスが設定される。アドレス202としては、該当のセッション情報において通信装置1の相手となっている通信装置2のアドレスが設定される。
【0121】
図25に戻り、通信装置1Aは、この送信指示に基づいて、アドレス変更指示を通信装置2に送信する(S126)。アドレス変更指示内のアドレス100aとしては、送信指示内のアドレス201が設定され、アドレス変更指示内のアドレス100bとしては、通信装置1Aアドレスが設定される。通信装置2は、アドレス変更指示内のアドレス100aが、記憶しておいたセッション情報における通信装置1のアドレスAD1であるなら、そのアドレスAD1等をアドレス変更指示内のアドレス100a等に変更する(S127)。また、通信装置1Aも、送信されたセッション情報における、アドレス変更指示内のアドレス100aに等しいアドレスAD1等をアドレス変更指示内のアドレス100b等に変更し、記憶する(S129)。
【0122】
こうして、端末装置A、B間で双方向通信が行われる際(S131)、パケットは通信装置1Aを経由し、通信装置1A、通信装置2間の通信が暗号通信となる。
【0123】
通信装置1は、第1の実施の形態と同様の流れで処理を行う(図11、図14参照)が、セッション情報送信部109が、セッション情報等を通信支援装置4に送信することが異なる(図14のステップT21が異なる)。
【0124】
図25は、通信支援装置4が通信装置1からセッション情報等を受信したときの動作を示すフローチャートである。
【0125】
セッション情報受信部47は、回線インタフェース41がセッション情報等を受信したなら(START)、セッション情報を暗号化規則情報記憶部43等に分け、既存のセッション情報があれば上書きで、記憶させ、または、指示にしたがってセッション情報を削除し(W1)、処理が終わる。
【0126】
図26は、通信支援装置4がステップS125(図23)の送信指示等を送信するときの動作を示すフローチャートである。
【0127】
状態監視部48は、回線インタフェース41を介し、通信装置1に対し継続的にポーリングを行う(W11)。状態監視部48は、通信装置1から応答がなかったなら(W13:NO)、その旨をセッション情報送信部46に伝える。これにより、セッション情報送信部46は、応答しない通信装置1のアドレスに等しいアドレスAD1を含むセッション情報を暗号化規則情報記憶部43等から読み出す(W15)。つまり、応答しない通信装置1から送信されたセッション情報を読み出す。
【0128】
次に、セッション情報送信部46は、読み出したセッション情報とともに、図24に示した構成の送信指示を、回線インタフェース41を介して、通信装置1Aに送信し(W17)、処理が終わる(END)。この送信指示内のアドレス201としては、応答しない通信装置1のアドレスが設定される。この送信指示内のアドレス202としては、読み出したセッション情報において通信装置1の相手となっている通信装置2のアドレスが設定される。送信先は、応答しない通信装置1のアドレスに予め対応づけて記憶しておいたアドレスを有する通信装置つまり通信装置1Aである。
【0129】
通信装置1Aは、第1の実施の形態と同様に、セッション情報を受信し記憶等する(図15参照)が、セッション情報を通信支援装置4から受信することとが異なる。
【0130】
図27は、通信装置1AがステップS125(図23)/ステップW17(図26)の送信指示等を受信したときの動作を示すフローチャートである。
【0131】
アドレス変更処理部111は、図10に示した構成のアドレス変更指示を該当のセッション情報内の鍵で暗号化し、回線インタフェース102を介して、通信装置2に送信する(V117)。アドレス変更指示内のアドレス100aとしては、送信指示内のアドレス201が設定される。アドレス変更指示内のアドレス100bとしては、このアドレス変更指示を送信する通信装置1A自身のアドレスが設定される。暗号化の鍵は、送信されたセッション情報内に含まれる。
【0132】
次に、アドレス変更処理部111は、アドレス等を変更した旨の応答が返ったなら、送信されたセッション情報内の、アドレス変更指示内のアドレス100aに等しいアドレスAD1およびネットワークアドレスNA1を、アドレス変更指示内のアドレス100bおよびアドレス100bを含むネットワークアドレスに変更し、暗号化規則情報記憶部103等に分けて記憶させ(V119)、処理が終わる(END)。
【0133】
通信装置2は、第1の実施の形態と同様の流れで処理を行う(図13、図17参照)。つまり、通信装置2に記憶された通信装置1(故障等した通信装置1)のアドレスを含むセッション情報内の通信装置1のアドレスおよびネットワークアドレスが通信装置1Aのアドレスおよびネットワークアドレスに変更される。
【0134】
したがって、第2の実施の形態において、通信システムは、対象の通信装置1および相手の通信装置2の間の暗号通信を通信装置1から引き継ぐ通信装置1Aと該通信装置1Aとともに用いられる通信支援装置4とを含む通信システムであって、通信支援装置4は、通信装置1を示すアドレスを含み且つ暗号通信に必要なセッション情報を受信し(図25:START)、通信支援装置4に設けられた記憶手段(暗号化規則情報記憶部43、鍵交換通信情報記憶部44および暗号通信情報記憶部45)に記憶させる(ステップW1)セッション情報受信手段(回線インタフェース41とセッション情報受信部47)と、当該記憶手段からセッション情報を読み出し、読み出したセッション情報とともに、通信装置2に記憶されたセッション情報における通信装置1を示すアドレスを通信装置1Aを示すアドレスに変更する旨のアドレス変更指示を通信装置2に送信する旨の送信指示を通信装置1Aに送信する(ステップW17)セッション情報送信手段(回線インタフェース41とセッション情報送信部46)とを備え、通信装置1Aは、通信支援装置4から送信されたセッション情報を通信装置1Aに設けられた記憶手段(暗号化規則情報記憶部103、鍵交換通信情報記憶部104および暗号通信情報記憶部105)に記憶させる(ステップV1)セッション情報受信手段(回線インタフェース102とセッション情報受信部109A)と、送信指示に基づいて、通信装置2に記憶されたセッション情報における通信装置1を示すアドレスを通信装置1Aを示すアドレスに変更する旨のアドレス変更指示を通信装置2に送信する(ステップV117)とともに、当該記憶手段に記憶されたセッション情報における通信装置1を示すアドレスを通信装置1Aを示すアドレスに変更する(ステップV119)アドレス変更処理手段(回線インタフェース102とアドレス変更処理部111)とを備えるので、互いに異なるサブネットワーク間での暗号通信の引き継ぎを可能にすることができる。
【0135】
また、通信支援装置4は、通信装置1に対するポーリングを行い(ステップW11)、通信装置1から応答がなかったなら(ステップW13:NO)、セッション情報と送信指示が送信される(ステップW17)ように動作する状態監視手段(回線インタフェース41と状態監視部48)を備えるので、通信装置1の故障等の際に、暗号通信を引き継ぐことができる。
【0136】
[第3の実施の形態]
図28は、第3の実施の形態に係る通信システムの構成を示す図である。
【0137】
第2の実施の形態の通信システムと違い、ルータRには通信支援装置4Aが接続されている。また、通信装置1Aつまり、通常は暗号通信を行わずに待機している通信装置はなく、通信装置1が他の通信装置1の通信を引き継ぐようになっている。その他については、第2の実施の形態と同様である。
通信装置1は、第1、2の実施の形態と同様の構成(図2参照)となっている。
通信装置2は、第1、2の実施の形態と同様の構成(図4参照)となっている。
【0138】
図29は、通信支援装置4Aの構成を示すブロック図である。
【0139】
通信支援装置4Aは、通信支援装置4の各構成要素に加え、各通信装置1に関する通信装置管理情報が記憶される通信装置管理情報記憶部42を備える。なお、通信支援装置4の各構成要素については、重複となるので、説明を省略する。
【0140】
図30は、通信装置管理情報記憶部42の構成を示す図である。
【0141】
通信装置管理情報は、(1)対象の通信装置1のアドレス(監視IP)、(2)対象の通信装置1が暗号通信を行うこととなっている通信装置2の数(N)、(3)対象の通信装置1が許容できる数(N)の最大数(Nmax)、の3つを含む。
【0142】
(第3の実施の形態の動作)
図31は、第3の実施の形態の動作を示すシーケンス図である。
【0143】
第2の実施の形態と違い、通信装置1の故障等(S119)により、通信支援装置4Aが、故障等を検出した(S123)なら、通信支援装置4Aは、故障等した通信装置1の通信を引き継ぐことができる他の通信装置1に対し、ステップS125の送信指示等を送信する。また、故障等した通信装置1が複数の通信を行っており、これらを1つの通信装置1で引き継ぐことができないなら、例えば、2つの通信装置1の一方に対し、一部の通信に関して送信指示等を送信し(S125)、他方の通信装置1に対し、残りの通信に関して送信指示等を送信する(S125)。例えば、故障等した通信装置1が2つの通信装置2と暗号通信していたなら、一方の通信装置1は一方の通信装置2と暗号通信を行い、他方の通信装置1は他方の通信装置2と暗号通信を行うこととなる。つまり、故障等した通信装置1の通信が引き継がれる。
【0144】
その際、通信装置1は、第2の実施の形態と同様の流れで処理を行う。また、通信装置1は、第2の実施の形態の通信装置1Aと同様の流れで処理を行う(図27参照)。
【0145】
また、通信装置2は、第1の実施の形態と同様の流れで処理を行う(図13、図17参照)。
【0146】
図32は、通信支援装置4Aが通信装置1からセッション情報等を受信したときの動作を示すフローチャートである。
【0147】
セッション情報受信部47は、第2の実施の形態と同様に(図25参照)、セッション情報を暗号化規則情報記憶部43等に記憶させ、変更し、または、指示にしたがってセッション情報を削除する(W1)。
【0148】
次に、セッション情報受信部47は、今回の送信元である通信装置1に関するセッション情報の数、つまり、暗号通信を行うこととなっている通信装置2の数(N)を計算し、通信装置管理情報記憶部42における該当の数(N)を更新し(W3)、処理が終わる。
【0149】
図33は、通信支援装置4AがステップS125(図31)の送信指示等を送信するときの動作を示すフローチャートである。
【0150】
セッション情報送信部46は、第2の実施の形態と同様に(図26参照)、通信装置1から応答がなかったなら(W13:NO)、応答しない通信装置1のアドレスに等しいアドレスAD1を含むセッション情報を暗号化規則情報記憶部43等から読み出す(W15)。
【0151】
セッション情報送信部46は、読み出したセッション情報に1以上の故障等していない通信装置1を割り当てる(W16)。つまり、セッション情報送信部46は、セッション情報に送信先を割り当てる。
【0152】
具体的には、読み出したセッション情報の数に合計が等しくなるような1個以上の数mを生成し、各数mに通信装置1(故障等していない通信装置1)を割り当て、該通信装置1のアドレスを含む通信装置管理情報内の数(N)および最大数(Nmax)を通信装置管理情報記憶部42から読み出し、数mと数(N)の和が最大数(Nmax)以下となるようにする。
【0153】
仮に、故障等していない通信装置1が、2つ存在し、一方の通信装置1のアドレスを含む通信装置管理情報内の数(N)が100(N=100)であり且つ最大数(Nmax)が1000(Nmax=1000)であり、他方の通信装置1のアドレスを含む通信装置管理情報内の数(N)が200(N=200)であり且つ最大数(Nmax)が3000(Nmax=3000)であるとする。また、仮に、読み出したセッション情報の数が1000個であったとする。
【0154】
この場合、セッション情報送信部46は、2個の数mの一方である数m1「500」および他方の数mである数m2「500」を生成し、数m1「500」を前述の一方の通信装置1に割り当て、数m2「500」を前述の他方の通信装置1に割り当てる。
【0155】
数m1「500」と数(N=100)の和は「600」であり、和が最大数Nmax「1000」以下という条件が満たされる。また、数m2「500」と数(N=200)の和は「700」であり、和が最大数Nmax「3000」以下という条件が満たされる。
【0156】
次に、セッション情報送信部46は、例えば、前述の例で説明すれば、一方の通信装置1については、該通信装置1に割り当てたセッション情報とともに、図24に示した構成の送信指示を当該一方の通信装置1に送信する(W17)。この送信指示内のアドレス201としては、一方の通信装置1のアドレスが設定される。この送信指示内のアドレス202としては、読み出したセッション情報において一方の通信装置1の相手となっている通信装置2のアドレスが設定される。また、他方の通信装置1についても同様とし(W17)、処理が終わる(END)。
【0157】
したがって、第3の実施の形態において、通信支援装置4Aのセッション情報受信手段を構成するセッション情報受信部47は、暗号通信を引き継ぐ通信装置1における相手の通信装置2の数(N)を計算し、当該数(N)を通信支援装置4Aに設けられた記憶手段(通信装置管理情報記憶部42)に記憶させ(ステップW3)、セッション情報送信手段を構成するセッション情報送信部46は、当該記憶手段に記憶された相手の通信装置の数(N)と暗号通信を引き継ぐ通信装置1に送信されるセッション情報の数の和が予め定めた数(最大数(Nmax))以下になるように動作する(ステップW16)ので、暗号通信を行う通信装置1が別の暗号通信を行う通信装置1から暗号通信を引き継ぐことが可能になる。
【0158】
以上、各実施の形態について説明したが、以下のような態様を採用してもよい。
【0159】
(1)例えば、第3の実施の形態において、複数の通信装置1の中には、通常は待機している通信装置1(つまり第1の実施の形態等における通信装置1A)があってもよい。
【0160】
(2)また、第3の実施の形態においては、ある通信装置1の通信を意図的に停止させる必要がある場合、例えば、通信装置1のファームウェアの更新が必要な場合、通信支援装置4Aを操作等で、図33のステップW15以降の処理を実行させればよい。故障等が契機ではないが、結果としては、通信装置1の通信が全て引き継がれ、通信装置1を停止することができるようになる。
【0161】
(3)また、通信装置1において負荷が小さくなったとき、その通信装置1への電力供給を絶って節電をすべく、その通信装置1の通信を、許容できる負荷までに余裕のある通信装置1が引き継いでもよい。また、このようにして、複数の通信装置1の通信を1つの通信装置1に集約してもよい。
【0162】
(4)また、例えば、通信装置1において大きくなった負荷を小さくすべく、その通信装置1から、他の稼動中の通信装置1や待機中の通信装置(通信装置1A)や通信支援装置4、4Aなどに対し、通信の引き継ぎを依頼し、これを契機に通信を引き継いでもよい。
【0163】
(5)また、通信支援装置4、4Aなどの機能を通信装置1や待機中の通信装置(通信装置1A)に持たせ、通信支援装置4、4Aを設けないでもよい。
【0164】
なお、各実施の形態における通信システムや通信装置を汎用コンピュータやファームウェアで実現するためのコンピュータプログラムは、半導体メモリ、磁気ディスク、光ディスク、光磁気ディスク、磁気テープなどのコンピュータ読み取り可能な記録媒体に格納し、陳列などして流通させることができる。または、当該コンピュータプログラムをインターネットなどの通信網を介して伝送させてもよい。
【符号の説明】
【0165】
1、1A、2…通信装置
3、N…ネットワーク
4、4A…通信支援装置
21、22、41、101、102…回線インタフェース
23、43、103…暗号化規則情報記憶部
24、44、104…鍵交換通信情報記憶部
25、45、105…暗号通信情報記憶部
26、106…暗号関連処理適用判断部
27、107…暗号関連処理部
28、108…暗号鍵交換部
29、111…アドレス変更処理部
42…通信装置管理情報記憶部
46、109…セッション情報送信部
47、109A…セッション情報受信部
48、112…状態監視部
100…アドレス変更指示
200…送信指示
【技術分野】
【0001】
本発明は、通信装置および通信システムに関するものである。
【背景技術】
【0002】
従来において、IPSec(Security Architecture for Internet Protocol)による通信システムにおいては、中継装置たる通信装置(通信装置Aという)と相手の通信装置(通信装置Bという)の間で暗号通信が行われる。また、通信システムでは、通信装置Aの故障に備えて、別の通信装置(通信装置A1という)が、通信装置Aから暗号通信のパラメータを逐次取得し、待機している。通信装置A、A1は、同一のIPアドレス(以下、アドレス)を有し、通信装置Bは、通信装置A、A1のどちらとも同じように暗号通信を行える。よって、通信装置A1が通信装置Aの故障を検知したら、取得しておいたパラメータを使用して、通信装置Bに対して暗号通信を行えば、つまり、暗号通信を引き継げばよいのである。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2008−199421号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、通信装置A、A1は、同一のアドレスを有する必要があり、つまり、通信装置A、A1は、同一のサブネットワークに設けられている必要がある。そのため、互いに異なるサブネットワーク間で暗号通信を引き継ぐことができないという問題があった。
【0005】
本発明は、上記の課題に鑑みてなされたものであり、その目的とするところは、互いに異なるサブネットワーク間での暗号通信の引き継ぎを可能にする通信装置および通信システムを提供することにある。
【課題を解決するための手段】
【0006】
上記の課題を解決するために、第1の本発明に係る通信装置は、対象の通信装置および相手の通信装置の間の暗号通信を前記対象の通信装置から引き継ぐ通信装置であって、前記対象の通信装置を示すアドレスを含み且つ前記暗号通信に必要なセッション情報を受信し、前記引き継ぐ通信装置に設けられた記憶手段に記憶させるセッション情報受信手段と、前記相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を前記相手の通信装置に送信するとともに、当該記憶手段に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更するアドレス変更処理手段とを備えることを特徴とする。
【0007】
例えば、第1の本発明に係る通信装置は、前記対象の通信装置に対するポーリングを行い、当該通信装置から応答がなかったなら、前記アドレス変更指示が送信されるように動作する状態監視手段を備える。
【0008】
第2の本発明に係る通信システムは、対象の通信装置および相手の通信装置の間の暗号通信を前記対象の通信装置から引き継ぐ通信装置と該通信装置とともに用いられる通信支援装置とを含む通信システムであって、前記通信支援装置は、前記対象の通信装置を示すアドレスを含み且つ前記暗号通信に必要なセッション情報を受信し、前記通信支援装置に設けられた記憶手段に記憶させるセッション情報受信手段と、当該記憶手段からセッション情報を読み出し、読み出したセッション情報とともに、前記相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を前記相手の通信装置に送信する旨の送信指示を前記引き継ぐ通信装置に送信するセッション情報送信手段とを備え、前記引き継ぐ通信装置は、前記通信支援装置から送信されたセッション情報を当該引き継ぐ通信装置に設けられた記憶手段に記憶させるセッション情報受信手段と、前記送信指示に基づいて、前記相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を前記相手の通信装置に送信するとともに、当該記憶手段に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更するアドレス変更処理手段とを備えることを特徴とする。
【0009】
例えば、前記通信支援装置は、前記対象の通信装置に対するポーリングを行い、当該通信装置から応答がなかったなら、前記セッション情報と前記送信指示が送信されるように動作する状態監視手段を備える。
【0010】
例えば、前記通信支援装置のセッション情報受信手段は、前記引き継ぐ通信装置における相手の通信装置の数を計算し、当該相手の通信装置の数を前記通信支援装置に設けられた記憶手段に記憶させ、前記セッション情報送信手段は、当該記憶手段に記憶された相手の通信装置の数と前記引き継ぐ通信装置に送信されるセッション情報の数の和が予め定めた数以下になるように動作することを特徴とする。
【発明の効果】
【0011】
第1の本発明によれば、対象の通信装置および相手の通信装置の間の暗号通信を対象の通信装置から引き継ぐ通信装置であって、対象の通信装置を示すアドレスを含み且つ暗号通信に必要なセッション情報を受信し、引き継ぐ通信装置に設けられた記憶手段に記憶させるセッション情報受信手段と、相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を相手の通信装置に送信するとともに、当該記憶手段に記憶されたセッション情報における対象の通信装置を示すアドレスを引き継ぐ通信装置を示すアドレスに変更するアドレス変更処理手段とを備えるので、互いに異なるサブネットワーク間での暗号通信の引き継ぎを可能にすることができる。
【0012】
第2の本発明によれば、通信支援装置は、対象の通信装置を示すアドレスを含み且つ暗号通信に必要なセッション情報を受信し、通信支援装置に設けられた記憶手段に記憶させるセッション情報受信手段と、当該記憶手段からセッション情報を読み出し、読み出したセッション情報とともに、相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を相手の通信装置に送信する旨の送信指示を引き継ぐ通信装置に送信するセッション情報送信手段とを備え、引き継ぐ通信装置は、通信支援装置から送信されたセッション情報を当該引き継ぐ通信装置に設けられた記憶手段に記憶させるセッション情報受信手段と、送信指示に基づいて、相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を相手の通信装置に送信するとともに、当該記憶手段に記憶されたセッション情報における対象の通信装置を示すアドレスを引き継ぐ通信装置を示すアドレスに変更するアドレス変更処理手段とを備えるので、互いに異なるサブネットワーク間での暗号通信の引き継ぎを可能にすることができる。
【図面の簡単な説明】
【0013】
【図1】第1の実施の形態に係る通信システムの構成を示す図である。
【図2】各通信装置1の構成を示すブロック図である。
【図3】各通信装置1Aの構成を示すブロック図である。
【図4】各通信装置2の構成を示すブロック図である。
【図5】暗号化規則情報記憶部103の構成を示す図である。
【図6】鍵交換通信情報記憶部104の構成を示す図である。
【図7】暗号通信情報記憶部105の構成を示す図である。
【図8】セッション情報の構成を示す図である。
【図9】第1の実施の形態の動作を示すシーケンス図である。
【図10】アドレス変更指示の構成を示す図である。
【図11】通信装置1でパケットが受信されたときの動作を示すフローチャートである。
【図12】パケットの構成を示す図である。
【図13】通信装置2でパケットが受信されたときの動作を示すフローチャートである。
【図14】通信装置1が通信装置1Aにセッション情報等を送信するときの動作を示すフローチャートである。
【図15】通信装置1Aが通信装置1からセッション情報等を受信したときの動作を示すフローチャートである。
【図16】通信装置1Aが通信装置1の暗号通信を引き継ぐときの動作を示すフローチャートである。
【図17】通信装置2がアドレス変更指示を受信したときの動作を示すフローチャートである。
【図18】第2の実施の形態に係る通信システムの構成を示す図である。
【図19】通信支援装置4の構成を示すブロック図である。
【図20】暗号化規則情報記憶部43の構成を示す図である。
【図21】鍵交換通信情報記憶部44の構成を示す図である。
【図22】暗号通信情報記憶部45の構成を示す図である。
【図23】第2の実施の形態の動作を示すシーケンス図である。
【図24】送信指示の構成を示す図である。
【図25】通信支援装置4が通信装置1からセッション情報等を受信したときの動作を示すフローチャートである。
【図26】通信支援装置4が送信指示等を送信するときの動作を示すフローチャートである。
【図27】通信装置1Aがの送信指示等を受信したときの動作を示すフローチャートである。
【図28】第3の実施の形態に係る通信システムの構成を示す図である。
【図29】通信支援装置4Aの構成を示すブロック図である。
【図30】通信装置管理情報記憶部42の構成を示す図である。
【図31】第3の実施の形態の動作を示すシーケンス図である。
【図32】通信支援装置4Aが通信装置1からセッション情報等を受信したときの動作を示すフローチャートである。
【図33】通信支援装置4Aが送信指示等を送信するときの動作を示すフローチャートである。
【発明を実施するための形態】
【0014】
以下、本発明の実施の形態を図面を参照して説明する。
【0015】
[第1の実施の形態]
図1は、第1の実施の形態に係る通信システムの構成を示す図である。
【0016】
各通信装置1、1Aは、ルータRを介してネットワークNに接続されている。また、複数の通信装置2のそれぞれが、該通信装置2に割り当てられたネットワーク3に接続されている。1つのネットワーク3内の端末装置AとネットワークN内の端末装置Bの間で双方向通信が行われる際、当該ネットワーク3に接続された通信装置2と該通信装置2に割り当てたれた通信装置1との間では暗号通信を行うこととなっている。同様に、端末装置Cを含むネットワーク3に接続された通信装置2と該通信装置2に割り当てたれた通信装置1との間でも暗号通信を行うこととなっている。ここでは、暗号通信は、IPSecの規定によるものとする。
【0017】
なお、通信装置2の説明においては、該通信装置2と暗号通信を行うこととなっている通信装置1を単に通信装置1という。
【0018】
通信装置1Aは、通常は、上記のような暗号通信を行うこととなっておらず、つまり、待機中である。通信装置1Aは、通信装置1の故障などの際に、かかる暗号通信を引き継ぐようになっている。通信装置1と通信装置1Aは1対1の関係にある。
【0019】
なお、通信装置1の説明においては、この通信装置1の暗号通信を引き継ぐ通信装置1Aのことを単に通信装置1Aといい、逆も同様とする。
【0020】
各通信装置1、1Aは、互いに異なるサブネットワークに存在しており、各サブネットワークを示すネットワークアドレスも互いに異なる。各通信装置2も、互いに異なるサブネットワークに存在しており、各サブネットワークを示すネットワークアドレスも互いに異なる。
【0021】
図2は、各通信装置1の構成を示すブロック図である。図3は、各通信装置1Aの構成を示すブロック図である。
【0022】
通信装置1は、回線インタフェース101、回線インタフェース102、暗号化規則情報記憶部103、鍵交換通信情報記憶部104、暗号通信情報記憶部105、暗号関連処理適用判断部106、暗号関連処理部107、暗号鍵交換部108、セッション情報送信部109を備える。
【0023】
通信装置1Aは、回線インタフェース101、回線インタフェース102、暗号化規則情報記憶部103、鍵交換通信情報記憶部104、暗号通信情報記憶部105、暗号関連処理適用判断部106、暗号関連処理部107、暗号鍵交換部108、セッション情報受信部109A、アドレス変更処理部111、状態監視部112を備える。
【0024】
回線インタフェース101は、回線インタフェース102で受信された、ネットワークN内の端末装置宛のパケットをルータRに送信する。回線インタフェース102は、回線インタフェース101で受信された、いずれかのネットワーク3内の端末装置宛のパケットを当該ネットワーク3に接続された通信装置2に送信する。回線インタフェース102は、通信装置1、1A間の通信にも使用される。
【0025】
暗号化規則情報記憶部103には、パケットの暗号化、復号が必要か否かの判断に使用される暗号化規則情報が記憶される。
鍵交換通信情報記憶部104には、パケットの暗号化、復号に使用される鍵の生成、交換に必要な鍵交換通信情報が記憶される。
【0026】
暗号通信情報記憶部105には、パケットの暗号化、復号に使用される鍵やパケットの順番を示すシーケンス番号などを含む暗号通信情報が記憶される。
暗号関連処理適用判断部106は、パケットの暗号化、復号が必要か否かを判断する。
暗号関連処理部107は、パケットの暗号化、復号を行う。
【0027】
セッション情報送信部109は、暗号化規則情報記憶部103、鍵交換通信情報記憶部104および暗号通信情報記憶部105に分けて記憶されるセッション情報を通信装置1Aに送信する。
【0028】
セッション情報受信部109Aは、通信装置1から送信されたセッション情報を暗号化規則情報記憶部103、鍵交換通信情報記憶部104および暗号通信情報記憶部105に分けて記憶させる。
【0029】
アドレス変更処理部111は、通信装置1が故障などしたら、通信装置1のアドレス等を通信装置1Aのアドレス等に変更する旨の指示(アドレス変更指示)を通信装置2に送信し、また、暗号化規則情報記憶部103等に分けて記憶されたセッション情報における通信装置1のアドレス等を通信装置1Aのアドレス等に変更する。
状態監視部112は、通信装置1の状態を監視し、故障などを検出する。
【0030】
図4は、各通信装置2の構成を示すブロック図である。
【0031】
通信装置2は、回線インタフェース21、回線インタフェース22、暗号化規則情報記憶部23、鍵交換通信情報記憶部24、暗号通信情報記憶部25、暗号関連処理適用判断部26、暗号関連処理部27、暗号鍵交換部28、アドレス変更処理部29を備える。
【0032】
回線インタフェース21は、回線インタフェース22で受信された、ネットワークN内の端末装置宛のパケットを通信装置1に送信する。回線インタフェース22は、回線インタフェース21で受信された、ネットワーク3内の端末装置宛のパケットを当該端末装置に送信する。
【0033】
暗号化規則情報記憶部23には、パケットの暗号化、復号が必要か否かの判断に使用される暗号化規則情報が記憶される。
鍵交換通信情報記憶部24には、パケットの暗号化、復号に使用される鍵の生成、交換に必要な鍵交換通信情報が記憶される。
【0034】
暗号通信情報記憶部25には、パケットの暗号化、復号に使用される鍵やパケットの順番を示すシーケンス番号などを含む暗号通信情報が記憶される。
暗号関連処理適用判断部26は、パケットの暗号化、復号が必要か否かを判断する。
暗号関連処理部27は、パケットの暗号化、復号を行う。
【0035】
アドレス変更処理部29は、通信装置1Aから送信されたアドレス変更指示において変更対象となっている通信装置1が現在の相手の通信装置1であるなら、暗号化規則情報記憶部23、鍵交換通信情報記憶部24および暗号通信情報記憶部25に分けて記憶されたセッション情報における通信装置1のアドレス等を通信装置1Aのアドレス等に変更する。
【0036】
図5は、暗号化規則情報記憶部103の構成を示す図である。
【0037】
通信装置1の暗号化規則情報記憶部103に記憶される暗号化規則情報は、(1)自身(通信装置1)を含むサブネットワークを示すネットワークアドレスNA1と、(2)自身(通信装置1)の相手となっている通信装置2を含むサブネットワークを示すネットワークアドレスNA2と、(3)通信の方向と、(4)自身(通信装置1)と相手の通信装置2の間の(3)の方向の通信についての規則を定めたもの、の4つを含む。別の相手、反対の通信の方向、別の規則などについては、別の暗号化規則情報が存在する。
【0038】
また、通信装置1Aの暗号化規則情報記憶部103に記憶される暗号化規則情報は、通信装置1から送信されたものであり、(1)通信装置1を含むサブネットワークを示すネットワークアドレスNA1と、(2)通信装置1の相手となっている通信装置2を含むサブネットワークを示すネットワークアドレスNA1と、(3)通信の方向と、(4)通信装置1と相手の通信装置2の間の(3)の方向の通信についての規則を定めたもの、の4つを含む。別の相手、反対の通信の方向、別の規則などについては、別の暗号化規則情報が存在する。
【0039】
図示しないが、通信装置2の暗号化規則情報記憶部23に記憶される暗号化規則情報は、(1)自身(通信装置2)を含むサブネットワークを示すネットワークアドレスNA2と、(2)相手となっている通信装置1を含むサブネットワークを示すネットワークアドレスNA1と、(3)通信の方向と、(4)自身(通信装置2)と相手の通信装置1の間の(3)の方向の通信についての規則を定めたもの、の4つを含む。別の相手、反対の通信の方向、別の規則などについては、別の暗号化規則情報が存在する。
【0040】
図6は、鍵交換通信情報記憶部104の構成を示す図である。
【0041】
通信装置1の鍵交換通信情報記憶部104に記憶される鍵交換通信情報は、(1)この鍵交換通信情報を一意に示す識別情報、(2)自身(通信装置1)のアドレスAD1、(3)自身(通信装置1)の相手となっている通信装置2のアドレスAD2、(4)暗号化および復号の鍵を含む該鍵に関する情報、の4つを含む。別の相手、別の鍵などについては、別の鍵交換通信情報が存在する。
【0042】
通信装置1Aの鍵交換通信情報記憶部104に記憶される鍵交換通信情報は、(1)この鍵交換通信情報を一意に示す識別情報、(2)通信装置1のアドレスAD1、(3)通信装置1の相手となっている通信装置2のアドレスAD2、(4)暗号化および復号の鍵を含む該鍵に関する情報、の4つを含む。別の相手、別の鍵などについては、別の鍵交換通信情報が存在する。
【0043】
図示しないが、通信装置2の鍵交換通信情報記憶部104に記憶される鍵交換通信情報は、(1)この鍵交換通信情報を一意に示す識別情報、(2)自身(通信装置2)のアドレスAD2、(3)自身(通信装置2)相手となっている通信装置1のアドレスAD1、(4)暗号化および復号の鍵を含む該鍵に関する情報、の4つを含む。別の相手、別の鍵などについては、別の鍵交換通信情報が存在する。
【0044】
図7は、暗号通信情報記憶部105の構成を示す図である。
【0045】
通信装置1の暗号通信情報記憶部105に記憶される暗号通信情報は、(1)この暗号通信情報を一意に示す識別情報、(2)自身(通信装置1)のアドレスAD1、(3)自身(通信装置1)の相手となっている通信装置2のアドレスAD2、(4)暗号通信に関する情報、の4つを含む。(4)の暗号通信に関する情報は、鍵やシーケンス番号を含む。別の相手、別の鍵などについては、別の暗号通信情報が存在する。
【0046】
通信装置1Aの暗号通信情報記憶部105に記憶される暗号通信情報は、(1)この暗号通信情報を一意に示す識別情報、(2)通信装置1のアドレスAD1、(3)通信装置1の相手となっている通信装置2のアドレスAD2、(4)暗号通信に関する情報、の4つを含む。(4)の暗号通信に関する情報は、鍵やシーケンス番号を含む。別の相手、別の鍵などについては、別の暗号通信情報が存在する。
【0047】
図示しないが、通信装置2の暗号通信情報記憶部105に記憶される暗号通信情報は、(1)この暗号通信情報を一意に示す識別情報、(2)自身(通信装置2)のアドレスAD2、(3)自身(通信装置2)の相手となっている通信装置1のアドレスAD1、(4)暗号通信に関する情報、の4つを含む。(4)の暗号通信に関する情報は、鍵やシーケンス番号を含む。別の相手、別の鍵などについては、別の暗号通信情報が存在する。
【0048】
図8は、セッション情報の構成を示す図である。
【0049】
通信装置1においては、(1)1つの暗号通信情報と、(2)該暗号通信情報内のアドレスAD1、AD2に等しいアドレスAD1、AD2を含む鍵交換通信情報(1つ)と、(3)暗号通信情報内のアドレスAD1を含むネットワークアドレスNA1および暗号通信情報内のアドレスAD2を含むネットワークアドレスNA2を含む暗号化規則情報(2つ:各方向1つ)とを含む情報をセッション情報という。
【0050】
セッション情報は、該セッション情報内の暗号通信情報に含まれるシーケンス番号を更新しながら行う一連の暗号通信についての通信情報である。
なお、セッション情報は、通信装置1A、通信装置2においても同様の情報のことをいう。
【0051】
(第1の実施の形態の動作)
図9は、第1の実施の形態の動作を示すシーケンス図である。
【0052】
端末装置Aは端末装置Bと通信したい旨の通信要求を通信装置2に送信する(S1)。これに対し、通信装置2は、通信装置1に接続要求を送信する(S3)。これに対し、通信装置1は通信装置2を認証する手続きを行い、認証ができたなら、接続許可を通信装置2に送信する(S5)。また、端末装置A、B間の通信における通信装置1、2間の通信を暗号通信とする必要があるので、通信装置1、2は、そのためのセッション情報を記憶しておく。セッション情報には、通信装置1、2のアドレスが含まれる。通信装置1は、通信装置1の故障などに備えて、セッション情報を通信装置1Aに送信する(S7)。通信装置1Aは、セッション情報を記憶しておく。
【0053】
端末装置Aが、端末装置Bのアドレスである送信先のアドレスを含むパケットを送信すると、パケットは通信装置2に到着する。通信装置2はパケットを暗号化し、記憶したセッション情報内に通信装置1のアドレスがあるので、暗号化されたパケットを通信装置1に送信する。通信装置1はパケットを復号する。復号されたパケットは、パケット内の送信先のアドレスにしたがって、通信装置1から端末装置Bに送信される。端末装置Bから端末装置Aへのパケットの送信も同様である。こうして、端末装置A、B間で双方向通信が行われる際(S11)、通信装置1、2間の通信が暗号通信となる。
【0054】
通信装置1は、セッション情報が追加、変更または削除されるごとに、追加等された部分を含むセッション情報や削除の指示を通信装置1Aに送信する(S15)。
【0055】
通信装置1Aは、通信装置1に対し、継続的にポーリングを行い(S17)、応答を受信する。
【0056】
通信装置1が故障や輻輳した(S19)場合、通信装置1、2間および通信装置1、端末装置B間の通信が行えない(S21)。しかし、通信装置1の故障等により、通信装置1Aは応答を受信できないので、通信装置1Aは、故障等を検出することができる(S23)。
【0057】
通信装置1Aは、故障等を検出したなら、セッション情報における通信装置1のアドレス等を通信装置1Aのアドレス等に変更する旨の指示(アドレス変更指示100という)を通信装置2に送信する(S25)。
【0058】
図10は、このアドレス変更指示100の構成を示す図である。
【0059】
アドレス変更指示100は、アドレス100a、100b、および、アドレス100aをアドレス100bに変更する旨のコマンド100cとを含む。アドレス100aとしては、故障等した通信装置1のアドレスが設定される。アドレス100bとしては、故障等を検出した通信装置1Aのアドレスが設定される。
【0060】
図9に戻り、通信装置2は、アドレス変更指示内のアドレス100aが、記憶しておいたセッション情報における通信装置1のアドレスAD1であるなら、そのセッション情報における通信装置1のアドレスAD1等をアドレス変更指示内のアドレス100b等に変更する(S27)。また、通信装置1Aも、記憶しておいたセッション情報における通信装置1のアドレスAD1等を通信装置1Aのアドレス等に変更する(S29)。
【0061】
前述のように、端末装置Aが、端末装置Bのアドレスを含むパケットを送信すると、パケットは通信装置2に到着する。通信装置2はパケットを暗号化し、記憶したセッション情報内に通信装置1Aのアドレスがあるので、暗号化されたパケットを通信装置1Aに送信する。通信装置1Aはパケットを復号する。復号されたパケットは、パケット内の送信先のアドレスにしたがって、通信装置1Aから端末装置Bに送信される。端末装置Bから端末装置Aへのパケットの送信も同様である。こうして、端末装置A、B間で双方向通信が行われる際(S31)、パケットは通信装置1Aを経由し、通信装置1A、通信装置2間の通信が暗号通信となる。
【0062】
図11は、通信装置1でパケットが受信されたときの動作を示すフローチャートである。
【0063】
暗号関連処理適用判断部106は、回線インタフェース101、102の一方がパケットを受信したなら(START)、受信されたパケットの暗号化、復号の少なくとも一方が必要か否かを判定する(T1)。
【0064】
図12は、パケットの構成を示す図である。
【0065】
パケットは、(1)ヘッダ、(2)SPIインデクス、(3)シーケンス番号、(4)ペイロードを含む。ヘッダは、送信元のアドレス、送信先のアドレスを含む。(1)ヘッダ、(2)SPIインデクス、(3)シーケンス番号は暗号化されず、(4)ペイロードだけが暗号化される。
【0066】
図11に戻り、具体的には、暗号関連処理適用判断部106は、パケットが回線インタフェース101で受信されたのなら、暗号化規則情報記憶部103に、(1)自身(通信装置1)を含むサブネットワークを示すネットワークアドレスNA1と、(2)パケット内の送信先のアドレスを含むネットワークアドレスに等しいネットワークアドレスNA2と、(3)自身(通信装置1)から相手(通信装置2)へ向かう方向と、を含む暗号化規則情報があり、その(4)規則に暗号化必要の記載があれば必要、なければ暗号化および復号は不要と判断する。
【0067】
一方、暗号関連処理適用判断部106は、パケットが回線インタフェース102で受信されたのなら、暗号化規則情報記憶部103に、(1)自身(通信装置1)を含むサブネットワークを示すネットワークアドレスNAと、(2)パケット内の送信元のアドレスを含むネットワークアドレスに等しいネットワークアドレスNA2と、(3)相手(通信装置2)から自身(通信装置1)へ向かう方向と、を含む暗号化規則情報があり、その(4)規則に復号必要の記載があれば必要、なければ暗号化および復号は不要と判断する。
【0068】
他方の回線インタフェースは、暗号化、復号とも不要と判定されたなら(T1:NO)、受信されたパケットをパケット内の送信先のアドレスを含むネットワークアドレスNA2に含まれるアドレスを有する通信装置2またはルータRに送信し(T2)、処理を終える(END)。
【0069】
一方、暗号関連処理適用判断部106は、パケットの暗号化、復号の少なくとも一方が必要と判定したなら(T1:YES)、パケット内のSPIインデクスに等しい識別情報を含む鍵交換通信情報および暗号通信情報が鍵交換通信情報記憶部104および暗号通信情報記憶部105にあるか否かを判定する(T7)。
【0070】
暗号鍵交換部108は、鍵交換通信情報等がなければ、通信装置2の暗号鍵交換部28との間での交渉により生成された鍵および該鍵に関する情報を含む鍵交換通信情報と暗号通信情報を取得して鍵交換通信情報記憶部104と暗号通信情報記憶部105にそれぞれ記憶させる(T9)。
【0071】
なお、通信装置2の暗号鍵交換部28も、生成された鍵および該鍵に関する情報を含む鍵交換通信情報と暗号通信情報を取得して鍵交換通信情報記憶部24と暗号通信情報記憶部25にそれぞれ記憶させる。
【0072】
次に、暗号関連処理部107は、パケットが回線インタフェース101で受信されたのなら、パケットのペイロードを鍵(パケット内のSPIインデクスに等しい識別情報を含む鍵交換通信情報内の鍵、または、暗号通信情報内の鍵)で暗号化し、一方、パケットが回線インタフェース102で受信されたのなら、パケットのペイロードを鍵で復号する(T11)。
【0073】
次に、暗号関連処理部107は、パケット内のSPIインデクスに等しい識別情報を含む暗号通信情報内のシーケンス番号を更新する(T13)。
【0074】
次に、他方の回線インタフェースが、暗号化または復号されたペイロードを含むパケットを通信装置2またはルータRに送信し(T2)、処理を終える(END)。
【0075】
図13は、通信装置2でパケットが受信されたときの動作を示すフローチャートである。
【0076】
パケットは、図12に示したものと同様の構成を有する。
暗号関連処理適用判断部26は、回線インタフェース21、22の一方がパケットを受信したなら(START)、受信されたパケットの暗号化、復号の少なくとも一方が必要か否かを判定する(U1)。
【0077】
具体的には、暗号関連処理適用判断部26は、パケットが回線インタフェース21で受信されたのなら、暗号化規則情報記憶部23に、(1)自身(通信装置2)を含むサブネットワークを示すネットワークアドレスNA2と、(3)自身(通信装置2)から通信装置1へ向かう方向と、を含む暗号化規則情報があり、その(4)規則に暗号化必要の記載があれば必要、なければ暗号化および復号は不要と判断する。
【0078】
一方、暗号関連処理適用判断部26は、パケットが回線インタフェース22で受信されたのなら、暗号化規則情報記憶部23に、(1)自身(通信装置2)を含むサブネットワークを示すネットワークアドレスNA2と、(3)通信装置1から自身(通信装置2)へ向かう方向と、を含む暗号化規則情報があり、その(4)規則に復号必要の記載があれば必要、なければ暗号化および復号は不要と判断する。
【0079】
他方の回線インタフェースは、暗号化、復号とも不要と判定されたなら(U1:NO)、受信されたパケットを自身(通信装置2)の通信相手である通信装置1またはパケット内の送信先のアドレスを有する端末装置に送信し(U2)、処理を終える(END)。
【0080】
一方、暗号関連処理適用判断部26は、パケットの暗号化、復号の少なくとも一方が必要と判定したなら(U1:YES)、パケット内のシーケンス番号がパケット内のSPIインデクスに等しい識別情報を含む暗号通信情報内のシーケンス番号より新しいか否かを判定する(U3)。
【0081】
暗号関連処理適用判断部26は、パケット内のシーケンス番号と暗号通信情報内のシーケンス番号とが同じまたはパケット内のシーケンス番号が暗号通信情報内のシーケンス番号より古いなら(U3:NO)、パケットを破棄し(U5)、処理を終える(END)。
【0082】
一方、暗号関連処理部27は、パケット内のシーケンス番号が暗号通信情報内のシーケンス番号より新しいなら(U3:YES)、パケット内のSPIインデクスに等しい識別情報を含む鍵交換通信情報および暗号通信情報が鍵交換通信情報記憶部24および暗号通信情報記憶部25にあるか否かを判定する(U7)。
【0083】
暗号鍵交換部28は、鍵交換通信情報等がなければ、通信装置1の暗号鍵交換部108との間での交渉により生成された鍵および該鍵に関する情報を含む鍵交換通信情報と暗号通信情報を取得して鍵交換通信情報記憶部24と暗号通信情報記憶部25にそれぞれ記憶させる(U9)。
【0084】
なお、通信装置1の暗号鍵交換部108も、生成された鍵および該鍵に関する情報を含む鍵交換通信情報と暗号通信情報を取得して鍵交換通信情報記憶部104と暗号通信情報記憶部105にそれぞれ記憶させる。
【0085】
次に、暗号関連処理部27は、パケットが回線インタフェース21で受信されたのなら、パケットのペイロードを鍵(パケット内のSPIインデクスに等しい識別情報を含む鍵交換通信情報内の鍵、または、暗号通信情報内の鍵)で暗号化し、一方、パケットが回線インタフェース22で受信されたのなら、パケットのペイロードを鍵で復号する(U11)。
【0086】
次に、暗号関連処理部27は、パケット内のSPIインデクスに等しい識別情報を含む暗号通信情報内のシーケンス番号を更新する(U13)。
【0087】
次に、他方の回線インタフェースが、暗号化または復号されたペイロードを含むパケットを通信装置1または端末装置に送信し(U2)、処理を終える(END)。
【0088】
図14は、通信装置1が通信装置1Aにセッション情報等を送信するときの動作を示すフローチャートである。
【0089】
セッション情報送信部109は、暗号化規則情報記憶部103等に分けて新たにセッション情報が記憶された、または、記憶されたセッション情報のいずれかが変更または削除されたなら(START)、変更等されたセッション情報や削除されたセッション情報を削除する旨の指示を回線インタフェース102から通信装置1Aに送信し(T21)、処理が終わる(END)。
【0090】
図15は、通信装置1Aが通信装置1からセッション情報等を受信したときの動作を示すフローチャートである。
【0091】
セッション情報受信部109Aは、回線インタフェース102がセッション情報等を受信したなら(START)、セッション情報を暗号化規則情報記憶部103等に分散させて、既存のセッション情報があれば上書きで、記憶させ、または、指示にしたがってセッション情報を削除し(V1)、処理が終わる(END)。
【0092】
図16は、通信装置1Aが通信装置1の暗号通信を引き継ぐときの動作を示すフローチャートである。
【0093】
状態監視部112は、回線インタフェース102を介して、通信装置1に対し継続的にポーリングを行う(V11)。状態監視部112は、通信装置1から応答がなかったなら(V13:NO)、その旨をアドレス変更処理部111に伝える。これにより、アドレス変更処理部111は、鍵交換通信情報記憶部104における通信装置1のアドレスAD1を含む鍵交換通信情報内の相手のアドレスAD2を読み出す。つまり、アドレス変更処理部111は、故障などで応答しなくなった通信装置1に対して暗号通信を行っている通信装置2のアドレスを読み出す(V15)。
【0094】
次に、アドレス変更処理部111は、図10に示した構成のアドレス変更指示を該当のセッション情報内の鍵で暗号化し、これを回線インタフェース102が通信装置2に送信する(V17)。アドレス変更指示内のアドレス100aとしては、応答がなかった通信装置1のアドレスが設定される。アドレス変更指示内のアドレス100bとしては、このアドレス変更指示を送信する通信装置1A自身のアドレスが設定される。暗号化の鍵は、応答がなかった通信装置1のアドレスを含むセッション情報内に含まれる。
【0095】
次に、アドレス変更処理部111は、アドレス等を変更した旨の応答が返ったなら、暗号化規則情報記憶部103等に分けて記憶された、応答がなかった通信装置1のアドレスAD1を含むセッション情報内の通信装置1のアドレスAD1およびネットワークアドレスNA1を、ステップV17で送信したアドレス変更指示内のアドレス100bおよびアドレス100bを含むネットワークアドレス(すなわち自身のアドレスおよびネットワークアドレス)に変更し(V19)、処理が終わる(END)。
【0096】
図17は、通信装置2がアドレス変更指示を受信したときの動作を示すフローチャートである。
【0097】
暗号関連処理部27は、図16のステップV17で送信されたアドレス変更指示が受信されたなら(START)、このアドレス変更指示をセッション情報内の鍵で復号する(U21)。
【0098】
次に、アドレス変更処理部29は、復号されたアドレス変更指示内のアドレス100aが、暗号化規則情報記憶部23等に分けて記憶されたセッション情報内の通信装置1のアドレスAD1であるなら、そのセッション情報内の当該アドレスAD1およびネットワークアドレスNA1を、アドレス変更指示内のアドレス100bおよびアドレス100bを含むネットワークアドレスに変更し(U23)、処理が終わる(END)。
【0099】
したがって、第1の実施の形態において、通信装置1Aは、対象の通信装置1および相手の通信装置2の間の暗号通信を通信装置1から引き継ぐ通信装置であって、通信装置1を示すアドレスを含み且つ暗号通信に必要なセッション情報を受信し(図15:START)、通信装置1Aに設けられた記憶手段(暗号化規則情報記憶部103、鍵交換通信情報記憶部104および暗号通信情報記憶部105)に記憶させる(ステップV1)セッション情報受信手段(回線インタフェース102とセッション情報受信部109A)と、通信装置2に記憶されたセッション情報における通信装置1を示すアドレスを通信装置1Aを示すアドレスに変更する旨のアドレス変更指示を通信装置2に送信する(ステップV17)とともに、当該記憶手段に記憶されたセッション情報における通信装置1を示すアドレスを通信装置1Aを示すアドレスに変更する(ステップV19)アドレス変更処理手段(回線インタフェース102とアドレス変更処理部111)を備えるので、互いに異なるサブネットワーク間での暗号通信の引き継ぎを可能にすることができる。
【0100】
また、通信装置1Aは、通信装置1に対するポーリングを行い(ステップV11)、通信装置1から応答がなかったなら(ステップV13:NO)、アドレス変更指示が送信される(ステップV17)ように動作する状態監視手段(回線インタフェース102と状態監視部112)を備えるので、通信装置1の故障等の際に、暗号通信を引き継ぐことができる。
【0101】
[第2の実施の形態]
図18は、第2の実施の形態に係る通信システムの構成を示す図である。
【0102】
第1の実施の形態の通信システムと違い、ルータRに通信支援装置4(所謂サーバ)が接続されている。その他については、第1の実施の形態と同様である。
通信装置1は、第1の実施の形態と同様の構成(図2参照)となっている。
通信装置1Aは、第1の実施の形態と構成(図3参照)から状態監視部112を除いた構成となっている。
【0103】
通信装置2は、第1の実施の形態と同様の構成(図4参照)となっている。
図19は、通信支援装置4の構成を示すブロック図である。
【0104】
通信支援装置4は、回線インタフェース41、暗号化規則情報記憶部43、鍵交換通信情報記憶部44、暗号通信情報記憶部45、セッション情報送信部46、セッション情報受信部47、状態監視部48を備える。
【0105】
回線インタフェース41は、セッション情報などの送受信を行う。
暗号化規則情報記憶部43には、パケットの暗号化、復号が必要か否かの判断に使用される暗号化規則情報が記憶される。
鍵交換通信情報記憶部44には、パケットの暗号化、復号に使用される鍵の生成、交換に必要な鍵交換通信情報が記憶される。
【0106】
暗号通信情報記憶部45には、パケットの暗号化、復号に使用される鍵やパケットの順番を示すシーケンス番号などを含む暗号通信情報が記憶される。
セッション情報送信部46は、暗号化規則情報記憶部43、鍵交換通信情報記憶部44および暗号通信情報記憶部45に分けて記憶されるセッション情報を通信装置1Aに送信する。
【0107】
セッション情報受信部47は、通信装置1から送信されたセッション情報を暗号化規則情報記憶部43等に分けて記憶させる。
状態監視部48は、他の通信装置1の状態を監視し、故障などを検出する。
【0108】
図20は、暗号化規則情報記憶部43の構成を示す図である。
【0109】
暗号化規則情報は、対象の通信装置から送信されるものであり、(1)対象の通信装置を含むサブネットワークを示すネットワークアドレスNA1と、(2)対象の通信装置の相手となっている通信装置2を含むサブネットワークを示すネットワークアドレスNA2と、(3)通信の方向と、(4)その方向の通信についての規則を定めたもの、の4つを含む。別の対象、別の相手、反対の通信の方向、別の規則などについては、別の暗号化規則情報が存在する。
【0110】
図21は、鍵交換通信情報記憶部44の構成を示す図である。
【0111】
鍵交換通信情報は、対象の通信装置から送信されるものであり、(1)対象の通信装置において鍵交換通信情報を一意に示す識別情報、(2)対象の通信装置のアドレスAD1、(3)対象の通信装置の相手となっている通信装置2のアドレスAD2、(4)暗号化および復号の鍵を含む該鍵に関する情報、の4つを含む。別の対象、別の相手、別の鍵などについては、別の鍵交換通信情報が存在する。
【0112】
図22は、暗号通信情報記憶部45の構成を示す図である。
【0113】
暗号通信情報は、対象の通信装置から送信されるものであり、(1)対象の通信装置において暗号通信情報を一意に示す識別情報、(2)対象の通信装置のアドレスAD1、(3)対象の通信装置の相手となっている通信装置2のアドレスAD2、(4)暗号通信に関する情報、の4つを含む。(4)の暗号通信に関する情報は、鍵やシーケンス番号を含む。別の対象、別の相手、別の鍵などについては、別の暗号通信情報が存在する。
なお、第1の実施の形態と同様に、図8に示した構成を有する情報をセッション情報という。
【0114】
(第2の実施の形態の動作)
図23は、第2の実施の形態の動作を示すシーケンス図である。
【0115】
ステップS1〜S5については、第1の実施の形態と同様なので、説明を省略する。
また、第1の実施の形態と同様に、通信装置1、2はセッション情報を記憶しておく。セッション情報には、通信装置1、2のアドレスが含まれる。
通信装置1は、通信装置1の故障などに備えて、セッション情報を通信支援装置4に送信する(S107)。通信支援装置4は、セッション情報を記憶しておく。
【0116】
第1の実施の形態と同様に、端末装置A、B間で双方向通信が行われる際(S111)、通信装置1、2間の通信が暗号通信となる。
通信装置1は、セッション情報が追加、変更または削除されるごとに、追加等された部分を含むセッション情報や削除の指示を通信支援装置4に送信する(S115)。
【0117】
通信支援装置4は、通信装置1に対し、継続的にポーリングを行い(S117)、応答を受信する。
通信装置1が故障や輻輳した(S119)場合、通信装置1、2間および通信装置1、端末装置B間の通信が行えない(S121)。
【0118】
通信装置1の故障等により、通信支援装置4は応答を受信できないので、通信支援装置4は、故障等を検出することができる(S123)。
通信支援装置4は、故障等を検出したなら、記憶しておいたセッション情報とともに、図10に示した構成のアドレス変更指示を通信装置2に送信する旨の指示(送信指示200という)を通信装置1Aに送信する(S125)。
【0119】
図24は、この送信指示200の構成を示す図である。
【0120】
送信指示200は、アドレス201、202およびコマンド203を含む。コマンド203は、アドレス201を図10に示すアドレス100aとして、当該送信指示200を受信する通信装置のアドレスを図10のアドレス100bとしてそれぞれ含むアドレス変更指示100をアドレス202を有する通信装置に送信する旨のコマンドである。アドレス201としては、故障等した通信装置1のアドレスが設定される。アドレス202としては、該当のセッション情報において通信装置1の相手となっている通信装置2のアドレスが設定される。
【0121】
図25に戻り、通信装置1Aは、この送信指示に基づいて、アドレス変更指示を通信装置2に送信する(S126)。アドレス変更指示内のアドレス100aとしては、送信指示内のアドレス201が設定され、アドレス変更指示内のアドレス100bとしては、通信装置1Aアドレスが設定される。通信装置2は、アドレス変更指示内のアドレス100aが、記憶しておいたセッション情報における通信装置1のアドレスAD1であるなら、そのアドレスAD1等をアドレス変更指示内のアドレス100a等に変更する(S127)。また、通信装置1Aも、送信されたセッション情報における、アドレス変更指示内のアドレス100aに等しいアドレスAD1等をアドレス変更指示内のアドレス100b等に変更し、記憶する(S129)。
【0122】
こうして、端末装置A、B間で双方向通信が行われる際(S131)、パケットは通信装置1Aを経由し、通信装置1A、通信装置2間の通信が暗号通信となる。
【0123】
通信装置1は、第1の実施の形態と同様の流れで処理を行う(図11、図14参照)が、セッション情報送信部109が、セッション情報等を通信支援装置4に送信することが異なる(図14のステップT21が異なる)。
【0124】
図25は、通信支援装置4が通信装置1からセッション情報等を受信したときの動作を示すフローチャートである。
【0125】
セッション情報受信部47は、回線インタフェース41がセッション情報等を受信したなら(START)、セッション情報を暗号化規則情報記憶部43等に分け、既存のセッション情報があれば上書きで、記憶させ、または、指示にしたがってセッション情報を削除し(W1)、処理が終わる。
【0126】
図26は、通信支援装置4がステップS125(図23)の送信指示等を送信するときの動作を示すフローチャートである。
【0127】
状態監視部48は、回線インタフェース41を介し、通信装置1に対し継続的にポーリングを行う(W11)。状態監視部48は、通信装置1から応答がなかったなら(W13:NO)、その旨をセッション情報送信部46に伝える。これにより、セッション情報送信部46は、応答しない通信装置1のアドレスに等しいアドレスAD1を含むセッション情報を暗号化規則情報記憶部43等から読み出す(W15)。つまり、応答しない通信装置1から送信されたセッション情報を読み出す。
【0128】
次に、セッション情報送信部46は、読み出したセッション情報とともに、図24に示した構成の送信指示を、回線インタフェース41を介して、通信装置1Aに送信し(W17)、処理が終わる(END)。この送信指示内のアドレス201としては、応答しない通信装置1のアドレスが設定される。この送信指示内のアドレス202としては、読み出したセッション情報において通信装置1の相手となっている通信装置2のアドレスが設定される。送信先は、応答しない通信装置1のアドレスに予め対応づけて記憶しておいたアドレスを有する通信装置つまり通信装置1Aである。
【0129】
通信装置1Aは、第1の実施の形態と同様に、セッション情報を受信し記憶等する(図15参照)が、セッション情報を通信支援装置4から受信することとが異なる。
【0130】
図27は、通信装置1AがステップS125(図23)/ステップW17(図26)の送信指示等を受信したときの動作を示すフローチャートである。
【0131】
アドレス変更処理部111は、図10に示した構成のアドレス変更指示を該当のセッション情報内の鍵で暗号化し、回線インタフェース102を介して、通信装置2に送信する(V117)。アドレス変更指示内のアドレス100aとしては、送信指示内のアドレス201が設定される。アドレス変更指示内のアドレス100bとしては、このアドレス変更指示を送信する通信装置1A自身のアドレスが設定される。暗号化の鍵は、送信されたセッション情報内に含まれる。
【0132】
次に、アドレス変更処理部111は、アドレス等を変更した旨の応答が返ったなら、送信されたセッション情報内の、アドレス変更指示内のアドレス100aに等しいアドレスAD1およびネットワークアドレスNA1を、アドレス変更指示内のアドレス100bおよびアドレス100bを含むネットワークアドレスに変更し、暗号化規則情報記憶部103等に分けて記憶させ(V119)、処理が終わる(END)。
【0133】
通信装置2は、第1の実施の形態と同様の流れで処理を行う(図13、図17参照)。つまり、通信装置2に記憶された通信装置1(故障等した通信装置1)のアドレスを含むセッション情報内の通信装置1のアドレスおよびネットワークアドレスが通信装置1Aのアドレスおよびネットワークアドレスに変更される。
【0134】
したがって、第2の実施の形態において、通信システムは、対象の通信装置1および相手の通信装置2の間の暗号通信を通信装置1から引き継ぐ通信装置1Aと該通信装置1Aとともに用いられる通信支援装置4とを含む通信システムであって、通信支援装置4は、通信装置1を示すアドレスを含み且つ暗号通信に必要なセッション情報を受信し(図25:START)、通信支援装置4に設けられた記憶手段(暗号化規則情報記憶部43、鍵交換通信情報記憶部44および暗号通信情報記憶部45)に記憶させる(ステップW1)セッション情報受信手段(回線インタフェース41とセッション情報受信部47)と、当該記憶手段からセッション情報を読み出し、読み出したセッション情報とともに、通信装置2に記憶されたセッション情報における通信装置1を示すアドレスを通信装置1Aを示すアドレスに変更する旨のアドレス変更指示を通信装置2に送信する旨の送信指示を通信装置1Aに送信する(ステップW17)セッション情報送信手段(回線インタフェース41とセッション情報送信部46)とを備え、通信装置1Aは、通信支援装置4から送信されたセッション情報を通信装置1Aに設けられた記憶手段(暗号化規則情報記憶部103、鍵交換通信情報記憶部104および暗号通信情報記憶部105)に記憶させる(ステップV1)セッション情報受信手段(回線インタフェース102とセッション情報受信部109A)と、送信指示に基づいて、通信装置2に記憶されたセッション情報における通信装置1を示すアドレスを通信装置1Aを示すアドレスに変更する旨のアドレス変更指示を通信装置2に送信する(ステップV117)とともに、当該記憶手段に記憶されたセッション情報における通信装置1を示すアドレスを通信装置1Aを示すアドレスに変更する(ステップV119)アドレス変更処理手段(回線インタフェース102とアドレス変更処理部111)とを備えるので、互いに異なるサブネットワーク間での暗号通信の引き継ぎを可能にすることができる。
【0135】
また、通信支援装置4は、通信装置1に対するポーリングを行い(ステップW11)、通信装置1から応答がなかったなら(ステップW13:NO)、セッション情報と送信指示が送信される(ステップW17)ように動作する状態監視手段(回線インタフェース41と状態監視部48)を備えるので、通信装置1の故障等の際に、暗号通信を引き継ぐことができる。
【0136】
[第3の実施の形態]
図28は、第3の実施の形態に係る通信システムの構成を示す図である。
【0137】
第2の実施の形態の通信システムと違い、ルータRには通信支援装置4Aが接続されている。また、通信装置1Aつまり、通常は暗号通信を行わずに待機している通信装置はなく、通信装置1が他の通信装置1の通信を引き継ぐようになっている。その他については、第2の実施の形態と同様である。
通信装置1は、第1、2の実施の形態と同様の構成(図2参照)となっている。
通信装置2は、第1、2の実施の形態と同様の構成(図4参照)となっている。
【0138】
図29は、通信支援装置4Aの構成を示すブロック図である。
【0139】
通信支援装置4Aは、通信支援装置4の各構成要素に加え、各通信装置1に関する通信装置管理情報が記憶される通信装置管理情報記憶部42を備える。なお、通信支援装置4の各構成要素については、重複となるので、説明を省略する。
【0140】
図30は、通信装置管理情報記憶部42の構成を示す図である。
【0141】
通信装置管理情報は、(1)対象の通信装置1のアドレス(監視IP)、(2)対象の通信装置1が暗号通信を行うこととなっている通信装置2の数(N)、(3)対象の通信装置1が許容できる数(N)の最大数(Nmax)、の3つを含む。
【0142】
(第3の実施の形態の動作)
図31は、第3の実施の形態の動作を示すシーケンス図である。
【0143】
第2の実施の形態と違い、通信装置1の故障等(S119)により、通信支援装置4Aが、故障等を検出した(S123)なら、通信支援装置4Aは、故障等した通信装置1の通信を引き継ぐことができる他の通信装置1に対し、ステップS125の送信指示等を送信する。また、故障等した通信装置1が複数の通信を行っており、これらを1つの通信装置1で引き継ぐことができないなら、例えば、2つの通信装置1の一方に対し、一部の通信に関して送信指示等を送信し(S125)、他方の通信装置1に対し、残りの通信に関して送信指示等を送信する(S125)。例えば、故障等した通信装置1が2つの通信装置2と暗号通信していたなら、一方の通信装置1は一方の通信装置2と暗号通信を行い、他方の通信装置1は他方の通信装置2と暗号通信を行うこととなる。つまり、故障等した通信装置1の通信が引き継がれる。
【0144】
その際、通信装置1は、第2の実施の形態と同様の流れで処理を行う。また、通信装置1は、第2の実施の形態の通信装置1Aと同様の流れで処理を行う(図27参照)。
【0145】
また、通信装置2は、第1の実施の形態と同様の流れで処理を行う(図13、図17参照)。
【0146】
図32は、通信支援装置4Aが通信装置1からセッション情報等を受信したときの動作を示すフローチャートである。
【0147】
セッション情報受信部47は、第2の実施の形態と同様に(図25参照)、セッション情報を暗号化規則情報記憶部43等に記憶させ、変更し、または、指示にしたがってセッション情報を削除する(W1)。
【0148】
次に、セッション情報受信部47は、今回の送信元である通信装置1に関するセッション情報の数、つまり、暗号通信を行うこととなっている通信装置2の数(N)を計算し、通信装置管理情報記憶部42における該当の数(N)を更新し(W3)、処理が終わる。
【0149】
図33は、通信支援装置4AがステップS125(図31)の送信指示等を送信するときの動作を示すフローチャートである。
【0150】
セッション情報送信部46は、第2の実施の形態と同様に(図26参照)、通信装置1から応答がなかったなら(W13:NO)、応答しない通信装置1のアドレスに等しいアドレスAD1を含むセッション情報を暗号化規則情報記憶部43等から読み出す(W15)。
【0151】
セッション情報送信部46は、読み出したセッション情報に1以上の故障等していない通信装置1を割り当てる(W16)。つまり、セッション情報送信部46は、セッション情報に送信先を割り当てる。
【0152】
具体的には、読み出したセッション情報の数に合計が等しくなるような1個以上の数mを生成し、各数mに通信装置1(故障等していない通信装置1)を割り当て、該通信装置1のアドレスを含む通信装置管理情報内の数(N)および最大数(Nmax)を通信装置管理情報記憶部42から読み出し、数mと数(N)の和が最大数(Nmax)以下となるようにする。
【0153】
仮に、故障等していない通信装置1が、2つ存在し、一方の通信装置1のアドレスを含む通信装置管理情報内の数(N)が100(N=100)であり且つ最大数(Nmax)が1000(Nmax=1000)であり、他方の通信装置1のアドレスを含む通信装置管理情報内の数(N)が200(N=200)であり且つ最大数(Nmax)が3000(Nmax=3000)であるとする。また、仮に、読み出したセッション情報の数が1000個であったとする。
【0154】
この場合、セッション情報送信部46は、2個の数mの一方である数m1「500」および他方の数mである数m2「500」を生成し、数m1「500」を前述の一方の通信装置1に割り当て、数m2「500」を前述の他方の通信装置1に割り当てる。
【0155】
数m1「500」と数(N=100)の和は「600」であり、和が最大数Nmax「1000」以下という条件が満たされる。また、数m2「500」と数(N=200)の和は「700」であり、和が最大数Nmax「3000」以下という条件が満たされる。
【0156】
次に、セッション情報送信部46は、例えば、前述の例で説明すれば、一方の通信装置1については、該通信装置1に割り当てたセッション情報とともに、図24に示した構成の送信指示を当該一方の通信装置1に送信する(W17)。この送信指示内のアドレス201としては、一方の通信装置1のアドレスが設定される。この送信指示内のアドレス202としては、読み出したセッション情報において一方の通信装置1の相手となっている通信装置2のアドレスが設定される。また、他方の通信装置1についても同様とし(W17)、処理が終わる(END)。
【0157】
したがって、第3の実施の形態において、通信支援装置4Aのセッション情報受信手段を構成するセッション情報受信部47は、暗号通信を引き継ぐ通信装置1における相手の通信装置2の数(N)を計算し、当該数(N)を通信支援装置4Aに設けられた記憶手段(通信装置管理情報記憶部42)に記憶させ(ステップW3)、セッション情報送信手段を構成するセッション情報送信部46は、当該記憶手段に記憶された相手の通信装置の数(N)と暗号通信を引き継ぐ通信装置1に送信されるセッション情報の数の和が予め定めた数(最大数(Nmax))以下になるように動作する(ステップW16)ので、暗号通信を行う通信装置1が別の暗号通信を行う通信装置1から暗号通信を引き継ぐことが可能になる。
【0158】
以上、各実施の形態について説明したが、以下のような態様を採用してもよい。
【0159】
(1)例えば、第3の実施の形態において、複数の通信装置1の中には、通常は待機している通信装置1(つまり第1の実施の形態等における通信装置1A)があってもよい。
【0160】
(2)また、第3の実施の形態においては、ある通信装置1の通信を意図的に停止させる必要がある場合、例えば、通信装置1のファームウェアの更新が必要な場合、通信支援装置4Aを操作等で、図33のステップW15以降の処理を実行させればよい。故障等が契機ではないが、結果としては、通信装置1の通信が全て引き継がれ、通信装置1を停止することができるようになる。
【0161】
(3)また、通信装置1において負荷が小さくなったとき、その通信装置1への電力供給を絶って節電をすべく、その通信装置1の通信を、許容できる負荷までに余裕のある通信装置1が引き継いでもよい。また、このようにして、複数の通信装置1の通信を1つの通信装置1に集約してもよい。
【0162】
(4)また、例えば、通信装置1において大きくなった負荷を小さくすべく、その通信装置1から、他の稼動中の通信装置1や待機中の通信装置(通信装置1A)や通信支援装置4、4Aなどに対し、通信の引き継ぎを依頼し、これを契機に通信を引き継いでもよい。
【0163】
(5)また、通信支援装置4、4Aなどの機能を通信装置1や待機中の通信装置(通信装置1A)に持たせ、通信支援装置4、4Aを設けないでもよい。
【0164】
なお、各実施の形態における通信システムや通信装置を汎用コンピュータやファームウェアで実現するためのコンピュータプログラムは、半導体メモリ、磁気ディスク、光ディスク、光磁気ディスク、磁気テープなどのコンピュータ読み取り可能な記録媒体に格納し、陳列などして流通させることができる。または、当該コンピュータプログラムをインターネットなどの通信網を介して伝送させてもよい。
【符号の説明】
【0165】
1、1A、2…通信装置
3、N…ネットワーク
4、4A…通信支援装置
21、22、41、101、102…回線インタフェース
23、43、103…暗号化規則情報記憶部
24、44、104…鍵交換通信情報記憶部
25、45、105…暗号通信情報記憶部
26、106…暗号関連処理適用判断部
27、107…暗号関連処理部
28、108…暗号鍵交換部
29、111…アドレス変更処理部
42…通信装置管理情報記憶部
46、109…セッション情報送信部
47、109A…セッション情報受信部
48、112…状態監視部
100…アドレス変更指示
200…送信指示
【特許請求の範囲】
【請求項1】
対象の通信装置および相手の通信装置の間の暗号通信を前記対象の通信装置から引き継ぐ通信装置であって、
前記対象の通信装置を示すアドレスを含み且つ前記暗号通信に必要なセッション情報を受信し、前記引き継ぐ通信装置に設けられた記憶手段に記憶させるセッション情報受信手段と、
前記相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を前記相手の通信装置に送信するとともに、当該記憶手段に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更するアドレス変更処理手段とを備えることを特徴とする通信装置。
【請求項2】
前記対象の通信装置に対するポーリングを行い、当該通信装置から応答がなかったなら、前記アドレス変更指示が送信されるように動作する状態監視手段を備えることを特徴とする請求項1記載の通信装置。
【請求項3】
対象の通信装置および相手の通信装置の間の暗号通信を前記対象の通信装置から引き継ぐ通信装置と該通信装置とともに用いられる通信支援装置とを含む通信システムであって、
前記通信支援装置は、
前記対象の通信装置を示すアドレスを含み且つ前記暗号通信に必要なセッション情報を受信し、前記通信支援装置に設けられた記憶手段に記憶させるセッション情報受信手段と、
当該記憶手段からセッション情報を読み出し、読み出したセッション情報とともに、前記相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を前記相手の通信装置に送信する旨の送信指示を前記引き継ぐ通信装置に送信するセッション情報送信手段とを備え、
前記引き継ぐ通信装置は、
前記通信支援装置から送信されたセッション情報を当該引き継ぐ通信装置に設けられた記憶手段に記憶させるセッション情報受信手段と、
前記送信指示に基づいて、前記相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を前記相手の通信装置に送信するとともに、当該記憶手段に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更するアドレス変更処理手段とを備えることを特徴とする通信システム。
【請求項4】
前記通信支援装置は、
前記対象の通信装置に対するポーリングを行い、当該通信装置から応答がなかったなら、前記セッション情報と前記送信指示が送信されるように動作する状態監視手段を備えることを特徴とする請求項3記載の通信システム。
【請求項5】
前記通信支援装置のセッション情報受信手段は、
前記引き継ぐ通信装置における相手の通信装置の数を計算し、当該相手の通信装置の数を前記通信支援装置に設けられた記憶手段に記憶させ、
前記セッション情報送信手段は、
当該記憶手段に記憶された相手の通信装置の数と前記引き継ぐ通信装置に送信されるセッション情報の数の和が予め定めた数以下になるように動作することを特徴とする請求項3または4記載の通信システム。
【請求項1】
対象の通信装置および相手の通信装置の間の暗号通信を前記対象の通信装置から引き継ぐ通信装置であって、
前記対象の通信装置を示すアドレスを含み且つ前記暗号通信に必要なセッション情報を受信し、前記引き継ぐ通信装置に設けられた記憶手段に記憶させるセッション情報受信手段と、
前記相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を前記相手の通信装置に送信するとともに、当該記憶手段に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更するアドレス変更処理手段とを備えることを特徴とする通信装置。
【請求項2】
前記対象の通信装置に対するポーリングを行い、当該通信装置から応答がなかったなら、前記アドレス変更指示が送信されるように動作する状態監視手段を備えることを特徴とする請求項1記載の通信装置。
【請求項3】
対象の通信装置および相手の通信装置の間の暗号通信を前記対象の通信装置から引き継ぐ通信装置と該通信装置とともに用いられる通信支援装置とを含む通信システムであって、
前記通信支援装置は、
前記対象の通信装置を示すアドレスを含み且つ前記暗号通信に必要なセッション情報を受信し、前記通信支援装置に設けられた記憶手段に記憶させるセッション情報受信手段と、
当該記憶手段からセッション情報を読み出し、読み出したセッション情報とともに、前記相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を前記相手の通信装置に送信する旨の送信指示を前記引き継ぐ通信装置に送信するセッション情報送信手段とを備え、
前記引き継ぐ通信装置は、
前記通信支援装置から送信されたセッション情報を当該引き継ぐ通信装置に設けられた記憶手段に記憶させるセッション情報受信手段と、
前記送信指示に基づいて、前記相手の通信装置に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更する旨のアドレス変更指示を前記相手の通信装置に送信するとともに、当該記憶手段に記憶されたセッション情報における対象の通信装置を示すアドレスを前記引き継ぐ通信装置を示すアドレスに変更するアドレス変更処理手段とを備えることを特徴とする通信システム。
【請求項4】
前記通信支援装置は、
前記対象の通信装置に対するポーリングを行い、当該通信装置から応答がなかったなら、前記セッション情報と前記送信指示が送信されるように動作する状態監視手段を備えることを特徴とする請求項3記載の通信システム。
【請求項5】
前記通信支援装置のセッション情報受信手段は、
前記引き継ぐ通信装置における相手の通信装置の数を計算し、当該相手の通信装置の数を前記通信支援装置に設けられた記憶手段に記憶させ、
前記セッション情報送信手段は、
当該記憶手段に記憶された相手の通信装置の数と前記引き継ぐ通信装置に送信されるセッション情報の数の和が予め定めた数以下になるように動作することを特徴とする請求項3または4記載の通信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【公開番号】特開2010−283428(P2010−283428A)
【公開日】平成22年12月16日(2010.12.16)
【国際特許分類】
【出願番号】特願2009−132905(P2009−132905)
【出願日】平成21年6月2日(2009.6.2)
【出願人】(399041158)西日本電信電話株式会社 (215)
【Fターム(参考)】
【公開日】平成22年12月16日(2010.12.16)
【国際特許分類】
【出願日】平成21年6月2日(2009.6.2)
【出願人】(399041158)西日本電信電話株式会社 (215)
【Fターム(参考)】
[ Back to top ]