JP7619610B2 - Communication equipment and communication device - Google Patents
Communication equipment and communication device Download PDFInfo
- Publication number
- JP7619610B2 JP7619610B2 JP2021004822A JP2021004822A JP7619610B2 JP 7619610 B2 JP7619610 B2 JP 7619610B2 JP 2021004822 A JP2021004822 A JP 2021004822A JP 2021004822 A JP2021004822 A JP 2021004822A JP 7619610 B2 JP7619610 B2 JP 7619610B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- port
- communication device
- data
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 388
- 230000005540 biological transmission Effects 0.000 description 30
- 238000010586 diagram Methods 0.000 description 16
- 238000012546 transfer Methods 0.000 description 8
- 238000000034 method Methods 0.000 description 6
- 238000011160 research Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
特許法第30条第2項適用 MS TODAY エムエスツデー 第29巻 第4号 通巻258号(令和2年10月1日発行)株式会社エム・システム技研発行第6ページ乃至第7ページに発表Application of Article 30, Paragraph 2 of the Patent Act MS TODAY Volume 29, No. 4, Issue 258 (published October 1, 2020) Published by M-Systems Research Institute Co., Ltd., Published on pages 6 to 7
特許法第30条第2項適用 ウェブサイトhttps://www.m-system.co.jp/mstoday/pdf/mst2020.pdf/mst2010.pdf(令和2年9月24日掲載)株式会社エム・システム技研公開Article 30, paragraph 2 of the Patent Act applies Website https://www. m-system. co. jp/mstday/pdf/mst2020.pdf/mst2010.pdf (Published on September 24, 2020) Published by M-System Engineering Co., Ltd.
特許法第30条第2項適用 ウェブサイトhttps://www.m-system.co.jp/mstoday/backnum/2020/10/product1/index.html(令和2年9月24日掲載)株式会社エム・システム技研公開Article 30, paragraph 2 of the Patent Act applies. Website: https://www. m-system. co. jp/mstday/backnum/2020/10/product1/index. html (Published on September 24, 2020) Published by M-System Engineering Co., Ltd.
特許法第30条第2項適用 ウェブサイトhttps://www.m-system.co.jp/P_release/PR_sg6/sg6_201007.html(令和2年10月7日掲載)株式会社エム・システム技研公開Article 30, paragraph 2 of the Patent Act applies. Website https://www. m-system. co. jp/P_release/PR_sg6/sg6_201007. html (published on October 7, 2020) M-System Engineering Co., Ltd.
特許法第30条第2項適用 セキュリティゲートウェイ SG6 カタログ 2020-12 初版 第1刷発行 NC-8591 500662(令和2年12月18日発行)株式会社エム・システム技研発行第1ページ乃至第4ページに発表Applicable to Article 30, Paragraph 2 of the Patent Act Security Gateway SG6 Catalog 2020-12 First Edition First Printing NC-8591 500662 (Published on December 18, 2020) Published by M-Systems Research Institute Co., Ltd. Announced on pages 1 to 4
特許法第30条第2項適用 ウェブサイトhttps://www.m-system.co.jp/pub/catalog_j/data_pdf/F/500662.pdf(令和2年12月21日掲載)株式会社エム・システム技研公開Article 30, paragraph 2 of the Patent Law applies Website https://www. m-system. co. jp/pub/catalog_j/data_pdf/F/500662.pdf (Published on December 21, 2020) M-System Engineering Co., Ltd.
特許法第30条第2項適用 ウェブサイトhttps://www.m-system.co.jp/mssjapanese/PDF/NS/S/nssg6.pdf(令和2年10月8日掲載)株式会社エム・システム技研公開Article 30, paragraph 2 of the Patent Law applies Website https://www. m-system. co. jp/mssjapanese/PDF/NS/S/nssg6.pdf (Published on October 8, 2020) M-System Engineering Co., Ltd.
特許法第30条第2項適用 ウェブサイトhttps://www.m-system.co.jp/koho/searchproducts/DispDetail.aspx?id=31617(令和2年10月8日掲載)株式会社エム・システム技研公開Article 30, paragraph 2 of the Patent Act applies Website https://www. m-system. co. jp/koho/searchproducts/DispDetail. aspx? id=31617 (published on October 8, 2020) M-System Engineering Co., Ltd.
特許法第30条第2項適用 ウェブサイトhttps://www.m-system.co.jp/mssjapanese/PDF/NM/S/nmsg6_a.pdf(令和2年10月8日掲載)株式会社エム・システム技研公開Article 30, paragraph 2 of the Patent Law applies Website https://www. m-system. co. jp/mssjapanese/PDF/NM/S/nmsg6_a. pdf (Published on October 8, 2020) M-System Engineering Co., Ltd.
特許法第30条第2項適用 ウェブサイトhttps://www.m-system.co.jp/mssjapanese/PDF/NM/S/nmsg6_b.pdf(令和2年10月8日掲載)株式会社エム・システム技研公開Article 30, paragraph 2 of the Patent Law applies Website https://www. m-system. co. jp/mssjapanese/PDF/NM/S/nmsg6_b. pdf (Published on October 8, 2020) M-System Engineering Co., Ltd.
特許法第30条第2項適用 ウェブサイトhttps://www.m-system.co.jp/mssjapanese/PDF/NM/S/nmsg6_c.pdf(令和2年10月8日掲載)株式会社エム・システム技研公開Article 30, paragraph 2 of the Patent Law applies Website https://www. m-system. co. jp/mssjapanese/PDF/NM/S/nmsg6_c. pdf (Published on October 8, 2020) M-System Engineering Co., Ltd.
特許法第30条第2項適用 ウェブサイトhttps://www.m-system.co.jp/mssjapanese/PDF/NG/S/ngsg6.pdf(令和2年10月8日掲載)株式会社エム・システム技研公開Article 30, paragraph 2 of the Patent Law applies Website https://www. m-system. co. jp/mssjapanese/PDF/NG/S/ngsg6.pdf (Published on October 8, 2020) M-System Engineering Co., Ltd.
特許法第30条第2項適用 ウェブサイトhttps://www.m-system.co.jp/mssjapanese/PDF/NS/S/nssg6.pdf(令和2年12月24日掲載)株式会社エム・システム技研公開Article 30, paragraph 2 of the Patent Law applies Website https://www. m-system. co. jp/mssjapanese/PDF/NS/S/nssg6.pdf (Published on December 24, 2020) M-System Engineering Co., Ltd.
特許法第30条第2項適用 ウェブサイトhttps://www.m-system.co.jp/mssjapanese/PDF/NM/S/nmsg6_b.pdf(令和2年12月24日掲載)株式会社エム・システム技研公開Article 30, paragraph 2 of the Patent Law applies Website https://www. m-system. co. jp/mssjapanese/PDF/NM/S/nmsg6_b. pdf (Published on December 24, 2020) M-System Engineering Co., Ltd.
特許法第30条第2項適用 株式会社エフ・エー・テクノ 東京西営業所にて、株式会社エム・システム技研が販売Applicable under Article 30, Paragraph 2 of the Patent Law. Sold by M-Systems Engineering Co., Ltd. at F.A. Techno Co., Ltd.'s Tokyo West Sales Office.
本発明は、通信機器、及び、通信装置に関する。 The present invention relates to a communication device and a communication apparatus.
特許文献1には、インターネットなどのセキュアな通信ネットワークで使用するためのブローカがセキュアなソケットレイヤ(SSL)リンクなどのセキュアなネットワークリンクで受信するクライアントのトランザクションを仲介するように構成されることが記載されている。 Patent document 1 describes a broker for use in a secure communications network such as the Internet that is configured to mediate client transactions received over a secure network link, such as a secure socket layer (SSL) link.
解決しようとする課題は、好適な通信制御を実現できる通信機器、及び、通信装置を提供することである。 The problem to be solved is to provide a communication device and a communication apparatus that can realize suitable communication control.
本発明の第1の観点に係る通信機器は、第1通信規格を用いたコネクションの成立が可能な第1ポート群と、前記第1通信規格よりも安全性が高い第2通信規格を用いたコネクションの成立が可能な第2ポート群と、前記第1通信規格を用いたコネクション、及び、前記第2通信規格を用いたコネクションが成立した後、前記第1通信規格を用いて送られてきた第1データを前記第1ポート群から受信し前記第1データを前記第2通信規格を用いて前記第2ポート群から送信し、前記第2通信規格を用いて送られてきた第2データを前記第2ポート群から受信し前記第2データを前記第1通信規格を用いて前記第1ポート群から送信する制御をする制御部とを有し、前記制御部は、前記第1ポート群側にクライアントが備えらえた場合には第1モードで制御動作が可能であり、前記第1ポート群側にサーバが備えらえた場合には第2モードで制御動作が可能であり、前記制御部が前記第1モードで制御動作をする場合、前記クライアントのコネクション要求を前記第1ポート群から受信して前記コネクション要求を前記第2ポート群から送信し、前記制御部が前記第2モードで制御動作をする場合、前記コネクション要求を前記第2ポート群から受信して前記コネクション要求を前記第1ポート群から送信する。
A communications device according to a first aspect of the present invention includes a first port group capable of establishing a connection using a first communication standard, and a second port group capable of establishing a connection using a second communication standard that is more secure than the first communication standard, and after a connection using the first communication standard and a connection using the second communication standard are established, receives first data transmitted using the first communication standard from the first port group and transmits the first data from the second port group using the second communication standard, receives second data transmitted using the second communication standard from the second port group and transmits the second data using the first communication standard. and a control unit that controls transmission from the first port group, wherein the control unit is capable of control operation in a first mode when a client is provided on the first port group side, and is capable of control operation in a second mode when a server is provided on the first port group side, and when the control unit controls operation in the first mode, it receives a connection request from the client from the first port group and transmits the connection request from the second port group, and when the control unit controls operation in the second mode, it receives the connection request from the second port group and transmits the connection request from the first port group.
本発明によれば、好適な通信制御を実現できる通信機器、及び、通信装置を提供することができる。 The present invention provides a communication device and a communication apparatus that can realize suitable communication control.
(第1実施形態(標準モード)) (First embodiment (standard mode))
図1は第1実施形態の通信装置を説明するための図、図2は第1実施形態の通信機器を説明するための図、図3は第1実施形態の通信機器を説明するための別の図である。 Figure 1 is a diagram for explaining the communication device of the first embodiment, Figure 2 is a diagram for explaining the communication equipment of the first embodiment, and Figure 3 is another diagram for explaining the communication equipment of the first embodiment.
図1において、通信装置1は、例えば、複数のネットワークを跨いで情報の受け渡しをする装置である。ここで、ネットワークとは、例えば、通信回線を用いたコネクション(論理的な通信路)を形成して複数のコンピュータ間でデータのやりとりを行えるようにしたものである。 In FIG. 1, communication device 1 is, for example, a device that transfers information across multiple networks. Here, a network is, for example, a device that forms a connection (logical communication path) using a communication line to enable data exchange between multiple computers.
図1において、通信装置1は、クライアント装置10と、第1通信機器20と、第1ルータ30と、第2ルータ50と、第2通信機器60と、サーバ装置70とを有する。 In FIG. 1, the communication device 1 includes a client device 10, a first communication device 20, a first router 30, a second router 50, a second communication device 60, and a server device 70.
本実施形態において、クライアント装置10、第1通信機器20、及び、第1ルータ30は、第1ネットワーク41内に備えられている。 In this embodiment, the client device 10, the first communication device 20, and the first router 30 are provided within the first network 41.
第1ネットワーク41内において、クライアント装置10と第1通信機器20とは、第1通信規格を用いたコネクション(論理的な通信路)の成立が可能である。第1通信規格は、例えば、TCP/IP(Transmission Control Protocol/Internet Protocol)をベースにしたLAN環境下で各端末にローカルIPアドレスが設定される構内LAN環境で使用される産業用プロトコルとすることができる。 In the first network 41, the client device 10 and the first communication device 20 can establish a connection (logical communication path) using a first communication standard. The first communication standard can be, for example, an industrial protocol used in an in-house LAN environment in which a local IP address is set for each terminal in a LAN environment based on TCP/IP (Transmission Control Protocol/Internet Protocol).
第1通信規格としては、例えば、TCP、Modbus/TCP、Modbus/RTU(remote terminal unit)、SLMP(Seamless Message Protocol)、HTTP(Hyper Text Transfer Protocol)等を挙げることができる。第1ネットワーク41内には、クライアント装置10及び第1通信機器20以外の第1通信規格を用いたコネクションが可能な装置が備えられていてもよい。 Examples of the first communication standard include TCP, Modbus/TCP, Modbus/RTU (remote terminal unit), SLMP (Seamless Message Protocol), and HTTP (Hyper Text Transfer Protocol). The first network 41 may include devices other than the client device 10 and the first communication device 20 that are capable of connecting using the first communication standard.
第1通信機器20と第1ルータ30とは、第1通信規格よりも安全性が高い第2通信規格を用いたコネクションの成立が可能である。第2通信規格は、例えば、通信を行う装置同士が保持する電子証明書を交換する通信規格や、ログイン/パスワード認証よりも安全な通信規格とすることができる。また、第2通信規格は、暗号化が実施されることも好ましい。 The first communication device 20 and the first router 30 can establish a connection using a second communication standard that is more secure than the first communication standard. The second communication standard can be, for example, a communication standard in which electronic certificates held by the devices performing communication are exchanged, or a communication standard that is more secure than login/password authentication. It is also preferable that encryption is implemented for the second communication standard.
第2通信規格としては、例えば、TLS(Transport Layer Security)、SSL(Secure Sockets Layer)等を挙げることができる。第1ネットワーク41内には、第1通信機器20及び第1ルータ30以外の第2通信規格を用いたコネクションが可能な装置が備えられていてもよい。 Examples of the second communication standard include TLS (Transport Layer Security) and SSL (Secure Sockets Layer). The first network 41 may include devices other than the first communication device 20 and the first router 30 that are capable of connecting using the second communication standard.
図1に示した第2ルータ50、第2通信機器60、及び、サーバ装置70は、第2ネットワーク42内に備えられている。 The second router 50, the second communication device 60, and the server device 70 shown in FIG. 1 are provided within the second network 42.
第2ネットワーク42内において、第2通信機器60とサーバ装置70とは、第1通信規格を用いたコネクションの成立が可能である。第2ネットワーク42内には、第2通信機器60及びサーバ装置70以外の第1通信規格を用いたコネクションが可能な装置が備えられていてもよい。 In the second network 42, the second communication device 60 and the server device 70 can establish a connection using the first communication standard. The second network 42 may include devices other than the second communication device 60 and the server device 70 that can establish a connection using the first communication standard.
第2ルータ50と第2通信機器60とは、第2通信規格を用いたコネクションの成立が可能である。第2ネットワーク42内には、第2ルータ50及び第2通信機器60以外の第2通信規格を用いたコネクションが可能な装置が備えられていてもよい。 The second router 50 and the second communication device 60 can establish a connection using the second communication standard. The second network 42 may include devices other than the second router 50 and the second communication device 60 that can establish a connection using the second communication standard.
第1ネットワーク41(第1ルータ30)及び第2ネットワーク42(第2ルータ50)は、インターネット40を介して隣接している。第1ルータ30とインターネット40、及び、第2ルータ50とインターネット40は、第2通信規格を用いたコネクションの成立が可能である。 The first network 41 (first router 30) and the second network 42 (second router 50) are adjacent to each other via the Internet 40. A connection can be established between the first router 30 and the Internet 40, and between the second router 50 and the Internet 40, using the second communication standard.
クライアント装置10は、例えば、クライアントPC(personal computer)等である。 The client device 10 is, for example, a client PC (personal computer).
クライアント装置は、1つであってもよいし、第1ネットワーク41内に備えられたクライアント装置11(図示せず)、クライアント装置12(図示せず)、クライアント装置13(図示せず)等の複数のクライアント装置を有していてもよい。複数のクライアント装置11~13のそれぞれは、クライアント装置10と同様にサーバ装置70との通信が可能である。
通信装置1は、第1ネットワーク41とは異なるネットワーク内に備えられ、サーバ装置70との通信が可能なクライアント装置(図示せず)を有していてもよい。複数のクライアント装置のそれぞれは、同一のネットワーク内に備えられていてもよいし、異なるネットワーク内に備えられていてもよい
The number of client devices may be one, or the first network 41 may include a plurality of client devices such as client device 11 (not shown), client device 12 (not shown), and client device 13 (not shown). Each of the plurality of client devices 11 to 13 is capable of communicating with the server device 70 in the same manner as the client device 10.
The communication device 1 may include a client device (not shown) that is provided in a network different from the first network 41 and is capable of communicating with the server device 70. Each of the multiple client devices may be provided in the same network or in different networks.
第1通信機器20は、クライアント装置10とのコネクションが可能な通信機器である。第1通信機器20は、クライアント装置10とのコネクションをするためのクライアント用モードで動作する。 The first communication device 20 is a communication device capable of connecting to the client device 10. The first communication device 20 operates in a client mode to connect to the client device 10.
第1ルータ30は、第1通信機器20及び第2ルータ50とのコネクションが可能なルータである。ルータ(router)とは、例えば、複数の異なるネットワーク間のコネクション(接続や中継)が可能な装置である。 The first router 30 is a router capable of connecting to the first communication device 20 and the second router 50. A router is, for example, a device capable of connecting (connecting or relaying) between multiple different networks.
サーバ装置70は、例えば、工場に備えられた機器を制御する現場機器、サーバコンピュータ等である。サーバ装置は、1つであってもよいし、第2ネットワーク42内に備えられたサーバ装置71(図示せず)、サーバ装置72(図示せず)、サーバ装置73(図示せず)等の複数のサーバ装置を有していてもよい。複数のサーバ装置71~73のそれぞれは、サーバ装置70と同様にクライアント装置10~13との通信が可能である。
通信装置1は、第2ネットワーク42とは異なるネットワーク内に備えられ、クライアント装置10との通信が可能なサーバ装置(図示せず)を有していてもよい。複数のサーバ装置のそれぞれは、同一のネットワーク内に備えられていてもよいし、異なるネットワーク内に備えられていてもよい
The server device 70 is, for example, a field device that controls devices provided in a factory, a server computer, etc. There may be one server device, or there may be multiple server devices such as a server device 71 (not shown), a server device 72 (not shown), and a server device 73 (not shown) provided in the second network 42. Each of the multiple server devices 71 to 73 is capable of communicating with the client devices 10 to 13 in the same manner as the server device 70.
The communication device 1 may include a server device (not shown) that is provided in a network different from the second network 42 and is capable of communicating with the client device 10. Each of the multiple server devices may be provided in the same network or in different networks.
第2通信機器60は、サーバ装置70とのコネクションが可能な通信機器である。
第2通信機器60は、サーバ装置70とのコネクションをするためのサーバ装置用モードで動作する。第1通信機器20及び第2通信機器60は、互いに異なる回路部品や電気回路を有する機器であってもよいし、互いに同一の回路部品や電気回路を有する機器であってもよい。
本実施形態において、第1通信機器20及び第2通信機器60は、互いに同一の回路部品や電気回路を有する機器であり、後述する設定を行うことにより、第1通信機器20をクライアント用モードで動作させ、第2通信機器60をサーバ装置用モードで動作させている。
The second communication device 60 is a communication device capable of connecting to a server device 70 .
The second communication device 60 operates in a server device mode for connecting to the server device 70. The first communication device 20 and the second communication device 60 may be devices having different circuit components and electric circuits, or may be devices having the same circuit components and electric circuits.
In this embodiment, the first communication device 20 and the second communication device 60 are devices having the same circuit components and electrical circuits, and by making the settings described below, the first communication device 20 is made to operate in a client mode and the second communication device 60 is made to operate in a server device mode.
第2ルータ50は、第2通信機器60及び第1ルータ30とのコネクションが可能である。 The second router 50 can connect to the second communication device 60 and the first router 30.
図2を参照して、本実施形態の第1通信機器20について説明する。 The first communication device 20 of this embodiment will be described with reference to Figure 2.
第1通信機器20は、制御部210と、メモリ220と、第1ポート群P21と、第2ポート群P22とを有する。 The first communication device 20 has a control unit 210, a memory 220, a first port group P21, and a second port group P22.
第1ポート群P21は、第1通信規格を用いたコネクション(論理的な通信路)の成立が可能なポート群である。第1ポート群P21は、第1通信用第1ポートP21aと、第1通信用第2ポートP21bと、第1通信用第3~4ポートP21c~P21dとを有する。 The first port group P21 is a port group that can establish a connection (logical communication path) using the first communication standard. The first port group P21 has a first port P21a for the first communication, a second port P21b for the first communication, and third and fourth ports P21c to P21d for the first communication.
第2ポート群P22は、第1通信規格よりも安全性が高い第2通信規格を用いたコネクションの成立が可能なポート群である。第2ポート群P22は、第2通信用第1ポートP22aと、第2通信用第2ポートP22bと、第2通信用第3~4ポートP22c~P22dとを有する。 The second port group P22 is a port group that can establish a connection using a second communication standard that is more secure than the first communication standard. The second port group P22 has a first port P22a for second communication, a second port P22b for second communication, and third and fourth ports P22c to P22d for second communication.
制御部210は、クライアント装置10~13のポートとのコネクションを成立させるための制御、第1ルータ30及びその他のルータ(図示せず)とのコネクションを成立させるための制御、コネクション成立後のデータ転送制御、コネクションの切断制御、暗号化、復号化などの制御を行う。 The control unit 210 performs control for establishing connections with the ports of the client devices 10 to 13, control for establishing connections with the first router 30 and other routers (not shown), data transfer control after the connection is established, connection cutoff control, encryption, decryption, etc.
メモリ220には、制御部210の制御に必要な情報が記憶されている。例えば、メモリ220には、コネクションを成立させるための制御、コネクション成立後のデータ転送制御、コネクションの切断制御、暗号化、復号化などに必要な情報等が記憶されている。 The memory 220 stores information necessary for the control of the control unit 210. For example, the memory 220 stores information necessary for control to establish a connection, data transfer control after the connection is established, connection disconnection control, encryption, decryption, etc.
制御部210は、第2通信用第1ポートP22aから受信したデータ等を第1通信用第1ポートP21aから送信する制御を行う。また、制御部210は、第1通信用第1ポートP21aが受信したデータ等を第2通信用第1ポートP22aから送信する制御を行う。 The control unit 210 controls the transmission of data etc. received from the second communication first port P22a from the first communication first port P21a. The control unit 210 also controls the transmission of data etc. received by the first communication first port P21a from the second communication first port P22a.
同様に、制御部210は、第2通信用第2ポートP22bから受信したデータ等を第1通信用第2ポートP21bから送信し、第1通信用第2ポートP21bから受信したデータ等を第2通信用第2ポートP22bから送信する制御を行う。 Similarly, the control unit 210 controls the transmission of data etc. received from the second port for second communication P22b from the second port for first communication P21b, and the transmission of data etc. received from the second port for first communication P21b from the second port for second communication P22b.
同様に、制御部210は、第2通信用第3~4ポートP22c~22dから受信したデータ等を第1通信用第3~4ポートP21c~21dから送信し、第1通信用第3~4ポートP21c~21dから受信したデータ等を第2通信用第3~4ポートP22c~22dから送信する制御を行う。 Similarly, the control unit 210 controls the transmission of data etc. received from the third and fourth ports P22c to 22d for the second communication from the third and fourth ports P21c to 21d for the first communication, and the transmission of data etc. received from the third and fourth ports P21c to 21d for the first communication from the third and fourth ports P22c to 22d for the second communication.
クライアント装置10は、種々の制御を行う制御部110と、第1通信規格を用いて第1通信機器20の第1通信用第1ポートP21aにコネクション可能な第1ポートP11aを有する。
制御部110は、第1通信機器20の第1通信用第1ポートP21aから供給されるデータ等を第1ポートP11aで受信し、第1ポートP11aから第1通信用第1ポートP21aにデータ等を送信する制御を行うことができる。
The client device 10 has a control unit 110 that performs various controls, and a first port P11a that can be connected to a first communication first port P21a of a first communication device 20 using a first communication standard.
The control unit 110 can control the reception of data, etc. supplied from the first port P21a for first communication of the first communication device 20 at the first port P11a, and the transmission of data, etc. from the first port P11a to the first port P21a for first communication.
第1ルータ30は、種々の制御を行う制御部310と、第2通信規格を用いて第1通信機器20の第2通信用第1ポートP22aにコネクション可能な第1ポートP31aと、第2ポートP32aとを有する。 The first router 30 has a control unit 310 that performs various controls, a first port P31a that can be connected to the first port P22a for second communication of the first communication device 20 using the second communication standard, and a second port P32a.
制御部310は、第1通信機器20の第2通信用第1ポートP22aから供給されたデータ等を第1ポートP31aで受信し、第2ポートP32aからインターネット40に送信する制御を行うことができる。また、制御部310は、インターネット40から供給されたデータ等を第2ポートP32aで受信し、第1ポートP31aから第2通信用第1ポートP22aに送信する制御を行うことができる。 The control unit 310 can control the reception of data, etc. supplied from the first port P22a for second communication of the first communication device 20 at the first port P31a and the transmission of the data from the second port P32a to the Internet 40. The control unit 310 can also control the reception of data, etc. supplied from the Internet 40 at the second port P32a and the transmission of the data from the first port P31a to the first port P22a for second communication.
図3を参照して、本実施形態の第2通信機器60について説明する。 The second communication device 60 of this embodiment will be described with reference to Figure 3.
第2通信機器60は、制御部610と、メモリ620と、第1ポート群P61と、第2ポート群P62とを有する。 The second communication device 60 has a control unit 610, a memory 620, a first port group P61, and a second port group P62.
第1ポート群P61は、第1通信規格を用いたコネクションの成立が可能なポート群である。第1ポート群P61は、第1通信用第1ポートP61aと、第1通信用第2ポートP61bと、第1通信用第3~4ポートP61c~P61dとを有する。 The first port group P61 is a port group that can establish a connection using the first communication standard. The first port group P61 has a first port P61a for the first communication, a second port P61b for the first communication, and third and fourth ports P61c to P61d for the first communication.
第2ポート群P62は、第1通信規格よりも安全性が高い第2通信規格を用いたコネクションの成立が可能なポート群である。第2ポート群P62は、第2通信用第1ポートP62aと、第2通信用第2ポートP62bと、第2通信用第3~4ポートP62c~P62dを有する。 The second port group P62 is a port group that can establish a connection using a second communication standard that is more secure than the first communication standard. The second port group P62 has a first port P62a for second communication, a second port P62b for second communication, and third and fourth ports P62c to P62d for second communication.
制御部610は、サーバ装置70~73のポートとのコネクションを成立させるための制御、第2ルータ50及びその他のルータ(図示せず)とのコネクションを成立させるための制御、コネクション成立後のデータ転送制御、コネクションの切断制御、暗号化、復号化などの制御を行う。 The control unit 610 performs control for establishing connections with ports of server devices 70 to 73, control for establishing connections with the second router 50 and other routers (not shown), data transfer control after the connections are established, connection cutoff control, encryption, decryption, etc.
メモリ620には、制御部610の制御に必要な情報が記憶されている。例えば、メモリ620には、コネクションを成立させるための制御、コネクション成立後のデータ転送制御、コネクションの切断制御、暗号化、復号化などに必要な情報等が記憶されている。
制御部610は、第2通信用第1ポートP62aから受信したデータ等を第1通信用第1ポートP61aから送信する制御を行う。また、制御部610は、第1通信用第1ポートP61aから受信したデータ等を第2通信用第1ポートP62aから送信する制御を行う。
The memory 620 stores information necessary for the control of the control unit 610. For example, the memory 620 stores information necessary for control to establish a connection, data transfer control after the connection is established, connection cutoff control, encryption, decryption, and the like.
The control unit 610 controls the transmission of data received from the second communication first port P62a from the first communication first port P61a. The control unit 610 also controls the transmission of data received from the first communication first port P61a from the second communication first port P62a.
同様に、制御部610は、第2通信用第2~4ポートP62b~62dから受信したデータ等を第1通信用第2~4ポートP61b~61dから送信する制御を行う。また、制御部610は、第1通信用第2~4ポートP61b~61dから受信したデータ等を第2通信用第2~4ポートP62b~62dから送信する制御を行う。 Similarly, the control unit 610 controls the transmission of data etc. received from the second to fourth ports P62b to 62d for the second communication from the second to fourth ports P61b to 61d for the first communication. The control unit 610 also controls the transmission of data etc. received from the second to fourth ports P61b to 61d for the first communication from the second to fourth ports P62b to 62d for the second communication.
図3において、第2ルータ50は、種々の制御を行う制御部510と、第2通信規格を用いて第1ルータ30の第2ポートP32aにコネクション可能な第1ポートP51aと、第2通信規格を用いて第2通信機器60の第2通信用第1ポートP62aにコネクション可能な第2ポートP52aとを有する。 In FIG. 3, the second router 50 has a control unit 510 that performs various controls, a first port P51a that can be connected to the second port P32a of the first router 30 using the second communication standard, and a second port P52a that can be connected to the first second communication port P62a of the second communication device 60 using the second communication standard.
制御部510は、第1ルータ30の第2ポートP32aからインターネット40に供給されたデータ等を第1ポートP51aで受信し、第2ポートP52aから第2通信機器60の第2通信用第1ポートP62aに送信する制御を行う。また、制御部510は、第2通信機器60の第2通信用第1ポートP62aから供給されたデータ等を第2ポートP52aで受信し、第1ポートP51aから(インターネット40を介して)第1ルータ30の第2ポートP32aに送信する制御を行う。 The control unit 510 controls the reception of data, etc. supplied from the second port P32a of the first router 30 to the Internet 40 at the first port P51a, and the transmission of the data from the second port P52a to the second communication first port P62a of the second communication device 60. The control unit 510 also controls the reception of data, etc. supplied from the second communication first port P62a of the second communication device 60 at the second port P52a, and the transmission of the data from the first port P51a (via the Internet 40) to the second port P32a of the first router 30.
サーバ装置70は、種々の制御を行う制御部710と、第1通信規格を用いて第2通信機器60の第1通信用第1ポートP61aにコネクション可能な第1ポートP71aを有する。制御部710は、第2通信機器60の第1通信用第1ポートP61aから供給されるデータ等を第1ポートP71aで受信し、第1ポートP71aから第1通信用第1ポートP61aにデータ等を送信する制御を行うことができる。 The server device 70 has a control unit 710 that performs various controls, and a first port P71a that can be connected to the first communication first port P61a of the second communication device 60 using the first communication standard. The control unit 710 can receive data, etc. supplied from the first communication first port P61a of the second communication device 60 at the first port P71a, and can control the transmission of data, etc. from the first port P71a to the first communication first port P61a.
図4は第1実施形態の通信装置の動作を説明するための図、図5は第1実施形態の通信装置の動作を説明するための別の図である。 Figure 4 is a diagram for explaining the operation of the communication device of the first embodiment, and Figure 5 is another diagram for explaining the operation of the communication device of the first embodiment.
以下、図4及び図5を用いて、本実施形態の通信装置1の動作を説明する。図4~図5において、図1~図3に示した構成と同様の構成には同一の参照符号を付し、重複した説明を省略する。 The operation of the communication device 1 of this embodiment will be described below with reference to Figures 4 and 5. In Figures 4 and 5, the same components as those shown in Figures 1 to 3 are given the same reference numerals, and duplicate descriptions will be omitted.
(STEP1)設定
ステップ1では、第1通信機器20、第2通信機器60及び第2ルータ50が下記の設定動作を行う。
(1)第1通信機器20の設定
第1通信機器20は、コネクションを成立させるために第1モード(以下、標準モードと称する)、又は、第2モード(以下、逆接続モードと称する)で設定動作をすることができる。標準モードで設定動作をさせる場合、ユーザは、標準モードである旨の情報を第1通信機器20に送信する。
(STEP 1) Setting In step 1, the first communication device 20, the second communication device 60 and the second router 50 perform the following setting operations.
(1) Setting of the first communication device 20 The first communication device 20 can perform a setting operation in a first mode (hereinafter referred to as a standard mode) or a second mode (hereinafter referred to as a reverse connection mode) in order to establish a connection. When performing a setting operation in the standard mode, the user transmits information to the first communication device 20 indicating that the mode is the standard mode.
制御部210は、標準モードである旨の情報を受信した場合、標準モードである旨の情報をメモリ220に記憶させ、メモリ220に記憶された標準モードである旨の情報を参照して設定動作を開始する。 When the control unit 210 receives information indicating that the mode is standard mode, it stores the information indicating that the mode is standard mode in the memory 220, and starts the setting operation by referring to the information indicating that the mode is standard mode stored in the memory 220.
次に、ユーザは、TCP接続の待受けポート数(例えば、1、2、4、8)の情報を第1通信機器20に送信する。制御部210は、TCP接続の待受けポート数の情報を受信した場合、TCP接続の待受けポート数の情報をメモリ220に記憶させ、TCP接続の待受けポート数の設定動作を行う。 Next, the user transmits information on the number of listening ports for TCP connections (e.g., 1, 2, 4, 8) to the first communication device 20. When the control unit 210 receives the information on the number of listening ports for TCP connections, it stores the information on the number of listening ports for TCP connections in the memory 220 and performs the operation of setting the number of listening ports for TCP connections.
次に、ユーザは、TCP接続の待受けポート数分のクライアント情報を第1通信機器20に供給する。制御部210は、供給された情報に基づいてクライアント設定をする。具体的には、例えば、制御部210は、図5に示したように、(ア)TCP接続の待受けポート番号502(P21a)をメモリ220に記憶し、(イ)TLS接続の接続先ポート番号802(P62a)をメモリ220に記憶し、(ウ)TLS接続の接続先のIPアドレス又はドメインネーム(server1.jp)をメモリ220に記憶し、メモリ220に記憶された情報に基づいてクライアント設定をする。 Next, the user supplies client information for the number of listening ports for the TCP connection to the first communication device 20. The control unit 210 sets up the client based on the supplied information. Specifically, for example, as shown in FIG. 5, the control unit 210 (a) stores in the memory 220 the listening port number 502 (P21a) for the TCP connection, (b) stores in the memory 220 the destination port number 802 (P62a) for the TLS connection, and (c) stores in the memory 220 the IP address or domain name (server1.jp) of the destination of the TLS connection, and sets up the client based on the information stored in the memory 220.
(2)第2通信機器60の設定
第2通信機器60も、第1通信機器20と同様に、コネクションを成立させるために第1モード(以下、標準モードと称する)、又は、第2モード(以下、逆接続モードと称する)で設定動作をすることができる。標準モードで設定動作をさせる場合、ユーザは、標準モードである旨の情報を第2通信機器60に送信する。
(2) Setting of the second communication device 60 The second communication device 60 can also perform a setting operation in the first mode (hereinafter referred to as the standard mode) or the second mode (hereinafter referred to as the reverse connection mode) to establish a connection, similar to the first communication device 20. When performing a setting operation in the standard mode, the user transmits information to the second communication device 60 indicating that the mode is the standard mode.
制御部610は、標準モードである旨の情報を受信した場合、標準モードである旨の情報をメモリ620に記憶させ、メモリ620に記憶された標準モードである旨の情報を参照して設定動作を開始する。 When the control unit 610 receives information indicating that the mode is standard mode, it stores the information indicating that the mode is standard mode in the memory 620, and starts the setting operation by referring to the information indicating that the mode is standard mode stored in the memory 620.
次に、ユーザは、TLS接続の待受けポート数(例えば、1、2、4、8)の情報を第2通信機器60に送信する。制御部610は、TLS接続の待受けポート数の情報を受信した場合、TLS接続の待受けポート数の情報をメモリ620に記憶させ、TLS接続の待受けポート数の設定動作を行う。 Next, the user transmits information on the number of standby ports for TLS connections (e.g., 1, 2, 4, 8) to the second communication device 60. When the control unit 610 receives the information on the number of standby ports for TLS connections, it stores the information on the number of standby ports for TLS connections in the memory 620 and performs the operation of setting the number of standby ports for TLS connections.
次に、ユーザは、TLS接続の待受けポート数分のサーバ情報を第2通信機器60に供給する。制御部610は、供給された情報に基づいてサーバ設定をする。具体的には、例えば、制御部610は、図5に示したように、(ア)クライアント認証の有効をメモリ620に記憶し、(イ)TLS接続の待受けポート番号802(P62a)をメモリ620に記憶し、(ウ)TCP接続の接続先ポート番号502(P71a)をメモリ620に記憶し、(エ)サーバ装置70のIPアドレス又はドメインネーム(192.168.1.200)をメモリ620に記憶し、メモリ620に記憶された情報に基づいてサーバ設定をする。 Next, the user supplies server information for the number of waiting ports for the TLS connection to the second communication device 60. The control unit 610 sets the server based on the supplied information. Specifically, for example, as shown in FIG. 5, the control unit 610 (a) stores in memory 620 that the client authentication is valid, (b) stores in memory 620 the waiting port number 802 (P62a) for the TLS connection, (c) stores in memory 620 the destination port number 502 (P71a) for the TCP connection, and (d) stores in memory 620 the IP address or domain name (192.168.1.200) of the server device 70, and sets the server based on the information stored in memory 620.
(3)第2ルータ50の設定
ユーザは、設定に必要な情報を第2ルータ50に送信する。これにより、第2ルータ50の制御部510は、(ア)第2通信機器60のサーバ機能のTLS受付ポート802(P62a)に設定したポートを開放し第2通信機器60に通し、(イ)固定IPアドレス又はDDNSにて外部から宛先を特定可能にする。
(3) Setting of the second router 50 The user transmits information required for setting to the second router 50. As a result, the control unit 510 of the second router 50 (a) opens the port set in the TLS reception port 802 (P62a) of the server function of the second communication device 60, and passes it through to the second communication device 60, and (b) makes it possible to identify the destination from outside using a fixed IP address or DDNS.
(STEP2)接続
ステップ2では、クライアント装置10、第1通信機器20、第2通信機器60及び第2ルータ50が下記の接続動作を行う。
クライアント装置10が第1通信機器20にTCP接続する。次に、第1通信機器20が(第1ルータ30及び第2ルータ50を介して)第2通信機器60にTLS接続する。次に、第2通信機器60がサーバ装置70にTCP接続する。これにより、クライアント装置10は、サーバ装置70に接続することができる。
(STEP 2) Connection In step 2, the client device 10, the first communication device 20, the second communication device 60, and the second router 50 perform the following connection operations.
The client device 10 establishes a TCP connection to the first communication device 20. Next, the first communication device 20 establishes a TLS connection to the second communication device 60 (via the first router 30 and the second router 50). Next, the second communication device 60 establishes a TCP connection to the server device 70. This allows the client device 10 to connect to the server device 70.
クライアント装置10がサーバ装置70に接続中、例えば、下記動作をすることが好ましい。
(ア)第1通信機器20は第2通信機器60にサーバ証明書を要求し、これへの署名が信頼できる認証局によるものであるかを検証する(サーバ認証)。
(イ)第2通信機器60は第1通信機器20にクライアント証明書を要求し、これへの署名が信頼できる認証局によるものであるかを検証する(クライアント認証)。なお、第2通信機器60が行うクライアント認証は省略してもよい。
(ウ)第1通信機器20及び第2通信機器60は、証明書に添付された公開鍵を用いた公開鍵暗号通信を開始する。ここで、双方の共通鍵情報(公開鍵や秘密鍵ではない)を交換する通信(鍵交換)が行われる。この通信は公開鍵暗号により暗号化されているため、盗み見られるおそれが極めて低い。
(エ)第1通信機器20及び第2通信機器60は、共通鍵を用いた共通鍵暗号通信を開始する。なお、上位アプリケーションプロトコルは、この状態から開始する。
While the client device 10 is connected to the server device 70, it is preferable for the client device 10 to perform the following operations, for example.
(A) The first communication device 20 requests a server certificate from the second communication device 60 and verifies whether the signature on the certificate is from a trusted certificate authority (server authentication).
(a) The second communication device 60 requests a client certificate from the first communication device 20 and verifies whether the signature on the client certificate is from a reliable certificate authority (client authentication). Note that the client authentication performed by the second communication device 60 may be omitted.
(c) The first communication device 20 and the second communication device 60 start public key cryptography communication using the public key attached to the certificate. Here, communication (key exchange) is performed to exchange common key information (not a public key or a private key) between the two devices. Because this communication is encrypted using public key cryptography, there is an extremely low risk of it being intercepted.
(d) The first communication device 20 and the second communication device 60 start common key cryptographic communication using a common key. Note that the upper layer application protocol starts from this state.
ここで、TLS接続時の相互認証(サーバ認証、クライアント認証)について、更に詳細に説明する。 Here we will explain in more detail about mutual authentication (server authentication, client authentication) during a TLS connection.
相互認証を行うには、システム管理者は最初にローカル認証局(LCA)を構築する必要がある。具体的には、例えば、1台のPC内にLCA構築できる。LCAの構築によりLCAの証明書が作成され、電子データとしてPC内に保存される。なお、LCAの構築には、例えば、LCAの構築作成支援ツール等の所定のプログラムを用いてもよい。 To perform mutual authentication, the system administrator must first set up a local certification authority (LCA). Specifically, for example, an LCA can be set up within one PC. By setting up an LCA, an LCA certificate is created and stored as electronic data within the PC. Note that a specific program, such as an LCA construction support tool, may be used to set up an LCA.
次に、所定のプログラム等を用いて作成した本体用の証明書を第1通信機器20及び第2通信機器60に転送する。TLS接続時に第1通信機器20及び第2通信機器60がお互いに交換する証明書にはLCAの署名が入っている。これが間違いなく先に構築したLCAの署名であることを確認するには、そのLCAの証明書が必要になる。このため、第1通信機器20及び第2通信機器60への本体証明書転送時には、LCAの証明書も合わせて転送される。 Next, the certificate for the main body, created using a specified program or the like, is transferred to the first communication device 20 and the second communication device 60. The certificate exchanged between the first communication device 20 and the second communication device 60 during TLS connection contains the signature of the LCA. To confirm that this is definitely the signature of the LCA previously constructed, the certificate of that LCA is required. For this reason, when the main body certificate is transferred to the first communication device 20 and the second communication device 60, the LCA certificate is also transferred.
第1通信機器20及び第2通信機器60への本体証明書転送時には、暗号通信時に必要な本体秘密鍵(ファイル形式)も転送される。このように、第1通信機器20及び第2通信機器60には、本体証明書、LCAの証明書、本体秘密鍵が転送される。 When the main certificate is transferred to the first communication device 20 and the second communication device 60, the main private key (file format) required for encrypted communication is also transferred. In this way, the main certificate, the LCA certificate, and the main private key are transferred to the first communication device 20 and the second communication device 60.
(STEP3)転送
ステップ3では、第1通信機器20及び第2通信機器60が下記の転送動作を行う。
(ア)第1通信機器20は、TCP接続されたクライアント装置10から受信したデータをTLS接続された第2通信機器60に(第1ルータ30及び第2ルータ50を介して)送信し、反対に第2通信機器60から受信したデータをクライアント装置10に送信する。
(イ)第2通信機器60は、TCP接続されたサーバ装置70から受信したデータをTLS接続された第1通信機器20に(第1ルータ30及び第2ルータ50を介して)送信し、反対に第1通信機器20から受信したデータをサーバ装置70に送信する。
(STEP 3) Transfer In step 3, the first communication device 20 and the second communication device 60 perform the following transfer operation.
(a) The first communication device 20 transmits data received from a TCP-connected client device 10 to a TLS-connected second communication device 60 (via the first router 30 and the second router 50), and conversely transmits data received from the second communication device 60 to the client device 10.
(i) The second communication device 60 transmits data received from the TCP-connected server device 70 to the TLS-connected first communication device 20 (via the first router 30 and the second router 50), and conversely, transmits data received from the first communication device 20 to the server device 70.
(STEP4)切断
ステップ4では、下記の切断動作を行う。
(STEP 4) Disconnection In step 4, the following disconnection operation is performed.
通信装置1は、クライアント装置10-第1通信機器20間のTCP接続、第1通信機器20-第2通信機器60間のTLS接続、及び、第2通信機器60-サーバ装置70間のTCP接続の何れかが切断されたとき、通信が切断される。 When any of the TCP connection between the client device 10 and the first communication device 20, the TLS connection between the first communication device 20 and the second communication device 60, and the TCP connection between the second communication device 60 and the server device 70 is disconnected, communication with the communication device 1 is disconnected.
上述した本実施形態の第1通信機器20は、第1通信規格(TCP)を用いたコネクション(論理的な通信路)の成立が可能な第1ポート群P21(P21a~P21d)と、第1通信規格よりも安全性が高い第2通信規格(TLS)を用いたコネクションの成立が可能な第2ポート群P22(P22a~P22d)と、第1通信規格(TCP)を用いたコネクション、及び、第2通信規格(TLS)を用いたコネクションが成立した後、第1通信規格(TCP)を用いて送られてきた第1データを第1ポート群P21から受信し第1データを第2通信規格(TLS)を用いて第2ポート群P22から送信し、第2通信規格(TLS)を用いて送られてきた第2データを第2ポート群P22から受信し第2データを第1通信規格(TCP)を用いて第1ポート群P21から送信する制御をする制御部210とを有する。 The first communication device 20 of the present embodiment described above has a first port group P21 (P21a to P21d) capable of establishing a connection (logical communication path) using a first communication standard (TCP), a second port group P22 (P22a to P22d) capable of establishing a connection using a second communication standard (TLS) that is more secure than the first communication standard, and a control unit 210 that performs control to receive first data sent using the first communication standard (TCP) from the first port group P21 and transmit the first data from the second port group P22 using the second communication standard (TLS) after a connection using the first communication standard (TCP) and a connection using the second communication standard (TLS) have been established, and to receive second data sent using the second communication standard (TLS) from the second port group P22 and transmit the second data from the first port group P21 using the first communication standard (TCP).
第1通信機器20は、第2ポート群P22(P22a~P22d)が安全性の高い第2通信規格(TLS)に対応しているため、第2ポート群P22(P22a~P22d)がインターネット40に繋がっている場合でも、十分な情報セキュリティを確保することができる。 The first communication device 20 has a second port group P22 (P22a to P22d) that supports the highly secure second communication standard (TLS), so sufficient information security can be ensured even when the second port group P22 (P22a to P22d) is connected to the Internet 40.
また、第1通信機器20は、第1ポート群P21(P21a~P21d)が第1通信規格(TCP)に対応しているため、第2通信規格(TLS)よりも安全性が低い第1ネットワーク41内のクライアント装置10等に容易に接続することができる。 In addition, because the first port group P21 (P21a to P21d) of the first communication device 20 supports the first communication standard (TCP), the first communication device 20 can easily connect to a client device 10 or the like in the first network 41, which is less secure than the second communication standard (TLS).
上述した第1通信機器20は、第2ポート群P22(P22a~P22d)を用いた安全性が高い通信と、第1ポート群P21(P21a~P21d)を用いた第1ネットワーク41への容易接続性とを同時に実現した好適な通信が実現できる。 The first communication device 20 described above can realize suitable communication that simultaneously achieves highly secure communication using the second port group P22 (P22a to P22d) and easy connectivity to the first network 41 using the first port group P21 (P21a to P21d).
上述した本実施形態の第2通信機器60は、第1通信規格(TCP)を用いたコネクション(論理的な通信路)の成立が可能な第1ポート群P61(P61a~P61d)と、第1通信規格よりも安全性が高い第2通信規格(TLS)を用いたコネクションの成立が可能な第2ポート群P62(P62a~P62d)と、第1通信規格(TCP)を用いたコネクション、及び、第2通信規格(TLS)を用いたコネクションが成立した後、第1通信規格(TCP)を用いて送られてきた第1データを第1ポート群P61から受信し第1データを第2通信規格(TLS)を用いて第2ポート群P62から送信し、第2通信規格(TLS)を用いて送られてきた第2データを第2ポート群P62から受信し第2データを第1通信規格(TCP)を用いて第1ポート群P61から送信する制御をする制御部610とを有する。 The second communication device 60 of the present embodiment described above has a first port group P61 (P61a to P61d) capable of establishing a connection (logical communication path) using a first communication standard (TCP), a second port group P62 (P62a to P62d) capable of establishing a connection using a second communication standard (TLS) that is more secure than the first communication standard, and a control unit 610 that performs control to receive first data sent using the first communication standard (TCP) from the first port group P61 and transmit the first data from the second port group P62 using the second communication standard (TLS) after a connection using the first communication standard (TCP) and a connection using the second communication standard (TLS) have been established, and to receive second data sent using the second communication standard (TLS) from the second port group P62 and transmit the second data from the first port group P61 using the first communication standard (TCP).
第2通信機器60は、第2ポート群P62(P62a~P62d)が安全性の高い第2通信規格(TLS)に対応しているため、第2ポート群P62(P62a~P62d)がインターネット40に繋がっている場合でも、十分な情報セキュリティを確保することができる。 The second communication device 60 has a second port group P62 (P62a to P62d) that supports the highly secure second communication standard (TLS), so sufficient information security can be ensured even when the second port group P62 (P62a to P62d) is connected to the Internet 40.
また、第2通信機器60は、第1ポート群P61(P61a~P61d)が第1通信規格(TCP)に対応しているため、第2通信規格(TLS)よりも安全性が低い第2ネットワーク42内のサーバ装置70等に容易に接続することができる。 In addition, because the first port group P61 (P61a to P61d) of the second communication device 60 supports the first communication standard (TCP), the second communication device 60 can easily connect to a server device 70 or the like in the second network 42, which is less secure than the second communication standard (TLS).
上述した第2通信機器60は、第2ポート群P62(P62a~P62d)を用いた安全性が高い通信と、第1ポート群P61(P61a~P61d)を用いた第2ネットワーク42への容易接続性とを同時に実現した好適な通信が実現できる。 The second communication device 60 described above can realize suitable communication that simultaneously achieves highly secure communication using the second port group P62 (P62a to P62d) and easy connectivity to the second network 42 using the first port group P61 (P61a to P61d).
上述した本実施形態の通信装置1は、第1通信機器20及び第2通信機器60がインターネット40に直接さらされ、クライアント装置10及びサーバ装置70がインターネット40に直接さらされることがない。このため、クライアント装置10及びサーバ装置70に対する直接攻撃を回避できるため、通信の安全性が向上する。 In the communication device 1 of the present embodiment described above, the first communication device 20 and the second communication device 60 are directly exposed to the Internet 40, but the client device 10 and the server device 70 are not directly exposed to the Internet 40. This makes it possible to avoid direct attacks on the client device 10 and the server device 70, improving the security of communications.
本実施形態のTLS相互認証は、第1通信機器20及び第2通信機器60の双方が保持する電子証明書を交換する通信であるため、ログイン/パスワード認証よりも安全である。したがって、本実施形態の通信装置1を用いることで、認証した相手(第1通信機器20及び第2通信機器60)からの接続を許容しつつ、外部の攻撃者によるなりすまし接続を拒否することができ、通信の安全性が向上する。 The TLS mutual authentication of this embodiment is more secure than login/password authentication because it is a communication in which electronic certificates held by both the first communication device 20 and the second communication device 60 are exchanged. Therefore, by using the communication device 1 of this embodiment, it is possible to reject spoofed connections by external attackers while allowing connections from authenticated parties (the first communication device 20 and the second communication device 60), improving the security of communications.
本実施形態の通信装置1は、第1通信機器20-第2通信機器60間において、TLSの暗号化が行われているので、盗聴、改ざんのリスクを低減することができる。 In the communication device 1 of this embodiment, TLS encryption is performed between the first communication device 20 and the second communication device 60, so the risk of eavesdropping and tampering can be reduced.
上述した本実施形態の通信装置1は、第1通信機器20及び第2通信機器60により通信の安全性が確保されるから、第1通信機器20よりもクライアント側、及び、第2通信機器60よりもサーバ側の回線や装置に変更を加える必要がない。このため、回線や装置を暗号化するためのシステム変更をする必要がなくなる。 In the communication device 1 of the present embodiment described above, the security of communication is ensured by the first communication device 20 and the second communication device 60, so there is no need to make any changes to the lines or devices on the client side of the first communication device 20 or on the server side of the second communication device 60. This eliminates the need to make system changes to encrypt lines or devices.
本実施形態では、クライアント装置11~13又はサーバ装置71~73を用いることにより、クライアント装置10又はサーバ装置70により得られる効果と同様の効果を得ることができる。 In this embodiment, by using client devices 11 to 13 or server devices 71 to 73, it is possible to obtain the same effects as those obtained by client device 10 or server device 70.
(第2実施形態(逆接続モード)) (Second embodiment (reverse connection mode))
図6は第2実施形態の通信装置2の動作を説明するための図である。以下の説明において、図1~図5に示した構成と同様の構成には同一の参照符号を付し、重複した説明を省略する。 Figure 6 is a diagram for explaining the operation of the communication device 2 of the second embodiment. In the following explanation, the same reference numerals are used for configurations similar to those shown in Figures 1 to 5, and duplicate explanations will be omitted.
本実施形態の通信装置2は、図1に示した通信装置1と同様に、クライアント装置10と、第1通信機器20と、第1ルータ30と、第2ルータ50と、第2通信機器60と、サーバ装置70とを有する。 The communication device 2 of this embodiment has a client device 10, a first communication device 20, a first router 30, a second router 50, a second communication device 60, and a server device 70, similar to the communication device 1 shown in FIG. 1.
本実施形態の通信装置2は、図1に示した通信装置1と同様に、クライアント装置10、第1通信機器20、及び、第1ルータ30は、第1ネットワーク41内に備えられ、第2ルータ50、第2通信機器60、及び、サーバ装置70は、第2ネットワーク42内に備えられている。 In the communication device 2 of this embodiment, similar to the communication device 1 shown in FIG. 1, the client device 10, the first communication device 20, and the first router 30 are provided in the first network 41, and the second router 50, the second communication device 60, and the server device 70 are provided in the second network 42.
本実施形態の通信装置2は、第1通信規格及び第2通信規格を用いたコネクションの方法が図1に示した通信装置1とは異なるので、この点について図4及び図6を用いて詳細に説明する。 The communication device 2 of this embodiment differs from the communication device 1 shown in FIG. 1 in the method of connection using the first and second communication standards, so this point will be described in detail using FIG. 4 and FIG. 6.
(STEP1)設定
ステップ1では、第1通信機器20、第2通信機器60及び第1ルータ30が下記の設定動作を行う。
(STEP 1) Setting In step 1, the first communication device 20, the second communication device 60, and the first router 30 perform the following setting operations.
(1)第1通信機器20の設定
上述したように、第1通信機器20は、コネクションを成立させるために第1モード(標準モード)、又は、第2モード(逆接続モード)で設定動作をすることができる。逆接続モードで設定動作をさせる場合、ユーザは、逆接続モードである旨の情報を第1通信機器20に送信する。
(1) Setting of the first communication device 20 As described above, the first communication device 20 can perform a setting operation in the first mode (standard mode) or the second mode (reverse connection mode) to establish a connection. When performing a setting operation in the reverse connection mode, the user transmits information to the first communication device 20 indicating that the mode is the reverse connection mode.
制御部210は、逆接続モードである旨の情報を受信した場合、逆接続モードである旨の情報をメモリ220に記憶させ、メモリ220に記憶された逆接続モードである旨の情報を参照して設定動作を開始する。 When the control unit 210 receives information indicating that the mode is reverse connection mode, it stores the information indicating that the mode is reverse connection mode in the memory 220, and starts the setting operation by referring to the information indicating that the mode is reverse connection mode stored in the memory 220.
次に、ユーザは、第1通信機器20をクライアント用モードで動作させるためにクライアント用情報を第1通信機器20に送信する。制御部210は、クライアント用情報を受信した場合、クライアント用情報をメモリ220に記憶させ、メモリ220に記憶されたクライアント用情報を参照して設定動作をする。 Next, the user transmits client information to the first communication device 20 to operate the first communication device 20 in client mode. When the control unit 210 receives the client information, it stores the client information in the memory 220 and performs setting operations by referring to the client information stored in the memory 220.
次に、ユーザは、TCP接続の待受けポート番号502(P21a)の情報を第1通信機器20に送信する。制御部210は、TCP接続の待受けポート番号の情報を受信した場合、TCP接続の待受けポート番号502(P21a)の情報をメモリ220に記憶させ、メモリ220に記憶された情報に基づいて設定動作を行う。 Next, the user transmits information on the waiting port number 502 (P21a) for the TCP connection to the first communication device 20. When the control unit 210 receives the information on the waiting port number for the TCP connection, it stores the information on the waiting port number 502 (P21a) for the TCP connection in the memory 220, and performs a setting operation based on the information stored in the memory 220.
次に、ユーザは、TLS接続の待受けポート番号802(P22a)の情報を第1通信機器20に供給する。制御部210は、TLS接続の待受けポート番号の情報を受信した場合、TLS接続の待受けポート番号802(P22a)の情報をメモリ220に記憶させ、メモリ220に記憶された情報に基づいて設定動作を行う。 Next, the user supplies information on the standby port number 802 (P22a) for the TLS connection to the first communication device 20. When the control unit 210 receives the information on the standby port number for the TLS connection, it stores the information on the standby port number 802 (P22a) for the TLS connection in the memory 220, and performs a setting operation based on the information stored in the memory 220.
(2)第2通信機器60の設定
上述したように、第2通信機器60は、コネクションを成立させるために第1モード(標準モード)、又は、第2モード(逆接続モード)で設定動作をすることができる。逆接続モードで設定動作をさせる場合、ユーザは、逆接続モードである旨の情報を第2通信機器60に送信する。
(2) Setting of the second communication device 60 As described above, the second communication device 60 can perform a setting operation in the first mode (standard mode) or the second mode (reverse connection mode) to establish a connection. When performing a setting operation in the reverse connection mode, the user transmits information to the second communication device 60 indicating that the mode is the reverse connection mode.
制御部610は、逆接続モードである旨の情報を受信した場合、逆接続モードである旨の情報をメモリ620に記憶させ、メモリ620に記憶された逆接続モードである旨の情報を参照して設定動作を開始する。 When the control unit 610 receives information indicating that the mode is reverse connection mode, it stores the information indicating that the mode is reverse connection mode in the memory 620, and starts the setting operation by referring to the information indicating that the mode is reverse connection mode stored in the memory 620.
次に、ユーザは、第2通信機器60をサーバ装置用モードで動作させるためにサーバ装置用情報を第2通信機器60に送信する。制御部610は、サーバ装置用情報を受信した場合、サーバ装置用情報をメモリ620に記憶させ、メモリ220に記憶されたサーバ装置用情報に基づいて設定動作を行う。 Next, the user transmits the server device information to the second communication device 60 in order to operate the second communication device 60 in the server device mode. When the control unit 610 receives the server device information, it stores the server device information in the memory 620 and performs a setting operation based on the server device information stored in the memory 220.
次に、ユーザは、TLS接続の接続先ポート番号802(P22a)の情報を第2通信機器60に供給する。制御部610は、TLS接続の接続先ポート番号の情報を受信した場合、TLS接続の接続先ポート番号802(P22a)の情報をメモリ620に記憶させ、メモリ620に記憶された情報に基づいて設定動作を行う。 Next, the user supplies information on the destination port number 802 (P22a) of the TLS connection to the second communication device 60. When the control unit 610 receives the information on the destination port number of the TLS connection, it stores the information on the destination port number 802 (P22a) of the TLS connection in the memory 620, and performs a setting operation based on the information stored in the memory 620.
次に、ユーザは、TLS接続の接続先のIPアドレス又はドメインネーム(server2.jp)の情報を第2通信機器60に供給する。制御部610は、TLS接続の接続先のIPアドレス又はドメインネームの情報を受信した場合、TLS接続の接続先のIPアドレス又はドメインネーム(server2.jp)の情報をメモリ620に記憶させ、メモリ620に記憶された情報に基づいて設定動作を行う。 Next, the user supplies information on the IP address or domain name (server2.jp) of the destination of the TLS connection to the second communication device 60. When the control unit 610 receives the information on the IP address or domain name of the destination of the TLS connection, it stores the information on the IP address or domain name (server2.jp) of the destination of the TLS connection in memory 620, and performs a setting operation based on the information stored in memory 620.
次に、ユーザは、TCP接続の接続先ポート番号502(P71a)の情報を第2通信機器60に供給する。制御部610は、TCP接続の接続先ポート番号の情報を受信した場合、TCP接続の接続先ポート番号502(P71a)の情報をメモリ620に記憶させ、メモリ620に記憶された情報に基づいて設定動作を行う。 Next, the user supplies information on the destination port number 502 (P71a) of the TCP connection to the second communication device 60. When the control unit 610 receives the information on the destination port number of the TCP connection, it stores the information on the destination port number 502 (P71a) of the TCP connection in memory 620 and performs a setting operation based on the information stored in memory 620.
次に、ユーザは、サーバ装置70のIPアドレス又はドメインネーム(192.168.1.200)の情報を第2通信機器60に供給する。制御部610は、サーバ装置70のIPアドレス又はドメインネームの情報を受信した場合、サーバ装置70のIPアドレス又はドメインネーム(192.168.1.200)の情報をメモリ620に記憶させ、メモリ620に記憶された情報に基づいて設定動作を行う。 Next, the user supplies the IP address or domain name (192.168.1.200) information of the server device 70 to the second communication device 60. When the control unit 610 receives the IP address or domain name information of the server device 70, it stores the IP address or domain name (192.168.1.200) information of the server device 70 in the memory 620 and performs a setting operation based on the information stored in the memory 620.
(3)第1ルータ30の設定
ユーザは、設定に必要な情報を第1ルータ30に送信する。これにより、第1ルータ30の制御部310は、(ア)受付ポートを開き、パケットを第1通信機器20のローカルアドレスポート(P22a)に通し、(イ)固定IPアドレス又はDDNSにて外部から宛先を特定可能にする。
(3) Setting of the first router 30 The user transmits information required for setting to the first router 30. As a result, the control unit 310 of the first router 30 (a) opens a reception port and passes the packet to the local address port (P22a) of the first communication device 20, and (b) makes the destination identifiable from outside by a fixed IP address or DDNS.
上述した本実施形態の通信装置2は、サーバ装置70側のルータ(第2ルータ50)のポートを開ける必要がないことから、現場機器等であるサーバ装置70が攻撃の対象となり難くなる。 The communication device 2 of the present embodiment described above does not need to open a port on the router (second router 50) on the server device 70 side, so the server device 70, which is a field device, etc., is less likely to be the target of attacks.
第1実施形態の通信装置1は、標準モードであるため、例えば、サーバ装置の数だけ固定IPアドレスもしくはDDNSの契約が必要となり、本実施形態の通信装置2は、逆接続モードであるため、例えば、クライアント装置の数だけ固定IPアドレスやDDNSの契約手続等が必要となる。
例えば、サーバ装置(70~73)が4つ、クライアント装置(10)が1つである場合、標準モードでは契約手続等が4つ必要であり、逆接続モードでは契約手続等が1つ必要である。
Since the communication device 1 of the first embodiment is in standard mode, for example, a fixed IP address or DDNS contract is required for each server device, and since the communication device 2 of the present embodiment is in reverse connection mode, for example, a fixed IP address and DDNS contract procedures are required for each client device.
For example, if there are four server devices (70 to 73) and one client device (10), four contract procedures, etc. are required in the standard mode, and one contract procedure, etc. is required in the reverse connection mode.
例えば、工場に備えられた現場機器がサーバ装置であり、サーバ装置を監視するPCがクライアント装置である場合、サーバ装置の数がクライアント装置の数よりも多くなる場合が多いので、標準モードではなく逆接続モードを選択することにより、契約手続等の数を低減させることができる。
なお、クライアント装置の数がサーバ装置の数よりも多い場合は、逆接続モードではなく標準モードを選択することにより、契約手続等の数を低減させることができることは言うまでもない。
For example, when the field equipment installed in a factory is a server device and the PC monitoring the server device is a client device, the number of server devices will often be greater than the number of client devices, so by selecting the reverse connection mode instead of the standard mode, the number of contract procedures, etc. can be reduced.
It goes without saying that when the number of client devices is greater than the number of server devices, the number of contract procedures can be reduced by selecting the standard mode instead of the reverse connection mode.
(第3実施形態) (Third embodiment)
図7は第3実施形態の通信機器を説明するための図、図8は第3実施形態の通信機器を説明するための別の図である。以下の説明において、図1~図6に示した構成と同様の構成には同一の参照符号を付し、重複した説明を省略する。 Figure 7 is a diagram for explaining a communication device of the third embodiment, and Figure 8 is another diagram for explaining a communication device of the third embodiment. In the following explanation, the same reference numerals are used for configurations similar to those shown in Figures 1 to 6, and duplicate explanations will be omitted.
図7及び図8に示した通信装置3は、クライアント装置10に加えてクライアント装置11(図7ご参照)を有し、サーバ装置70に加えてサーバ装置71(図8ご参照)を有する点で、図1~図6に示した通信装置と相違する。 The communication device 3 shown in Figures 7 and 8 differs from the communication devices shown in Figures 1 to 6 in that it has a client device 11 (see Figure 7) in addition to client device 10, and has a server device 71 (see Figure 8) in addition to server device 70.
図7において、クライアント装置11は、クライアント装置10と同様に、種々の制御を行う制御部111と、第1通信規格を用いて第1通信機器20の第1通信用第2ポートP21bにコネクション可能な第1ポートP11bを有する。 In FIG. 7, like client device 10, client device 11 has a control unit 111 that performs various controls, and a first port P11b that can be connected to a first communication second port P21b of the first communication device 20 using a first communication standard.
制御部111は、第1通信機器20の第1通信用第2ポートP21bから供給されるデータ等を第1ポートP11bで受信し、第1ポートP11bから第1通信用第2ポートP21bにデータ等を送信することができる。 The control unit 111 can receive data, etc. supplied from the first communication second port P21b of the first communication device 20 at the first port P11b, and transmit data, etc. from the first port P11b to the first communication second port P21b.
第1通信機器20の制御部210は、第2通信用第1ポートP22aから受信したデータ等を第1通信用第1ポートP21aから送信し、第2通信用第2ポートP22bから受信したデータ等を第1通信用第2ポートP21bから送信するように制御する。 The control unit 210 of the first communication device 20 controls the data etc. received from the first port for second communication P22a to be transmitted from the first port for first communication P21a, and the data etc. received from the second port for second communication P22b to be transmitted from the second port for first communication P21b.
また、制御部210は、第1通信用第1ポートP21aが受信したデータ等を第2通信用第1ポートP22aから送信し、第1通信用第2ポートP21bが受信したデータ等を第2通信用第2ポートP22bから送信するように制御する。 The control unit 210 also controls the transmission of data etc. received by the first communication first port P21a from the second communication first port P22a, and the transmission of data etc. received by the first communication second port P21b from the second communication second port P22b.
第1ルータ30は、図1~図6に示した構成に加えて、第2通信規格を用いて第1通信機器20の第2通信用第2ポートP22bにコネクション可能な第1ポートP31bと、第2ポートP32bとを有する。 In addition to the configuration shown in Figures 1 to 6, the first router 30 has a first port P31b and a second port P32b that can be connected to the second communication second port P22b of the first communication device 20 using the second communication standard.
第1ルータ30の制御部310は、第1通信機器20の第2通信用第1ポートP22aから供給されたデータ等を第1ポートP31aで受信して第2ポートP32aからインターネット40に送信し、第1通信機器20の第2通信用第2ポートP22bから供給されたデータ等を第1ポートP31bで受信して第2ポートP32bからインターネット40に送信する制御を行う。 The control unit 310 of the first router 30 controls the reception of data, etc. supplied from the first port for second communication P22a of the first communication device 20 at the first port P31a and transmission of the data, etc. from the second port P32a to the Internet 40, and the reception of data, etc. supplied from the second port for second communication P22b of the first communication device 20 at the first port P31b and transmission of the data, etc. from the second port P32b to the Internet 40.
また、制御部310は、インターネット40から供給されたデータ等を第2ポートP32aで受信して第1ポートP31aから第2通信用第1ポートP22aに送信し、
インターネット40から供給されたデータ等を第2ポートP32bで受信して第1ポートP31bから第2通信用第2ポートP22bに送信する制御を行う。
In addition, the control unit 310 receives data and the like supplied from the Internet 40 at the second port P32a and transmits the data from the first port P31a to the second communication first port P22a,
The control unit 10 performs control so that data etc. supplied from the Internet 40 is received at the second port P32b and transmitted from the first port P31b to the second communication second port P22b.
図8において、第2ルータ50の制御部510は、第1ルータ30の第2ポートP32aからインターネット40に供給されたデータ等を第1ポートP51aで受信して第2ポートP52aから第2通信機器60の第2通信用第1ポートP62aに送信し、第1ルータ30の第2ポートP32bからインターネット40に供給されたデータ等を第1ポートP51bで受信して第2ポートP52bから第2通信機器60の第2通信用第2ポートP62bに送信する制御を行う。 In FIG. 8, the control unit 510 of the second router 50 controls the receiving of data, etc. supplied from the second port P32a of the first router 30 to the Internet 40 at the first port P51a and transmission from the second port P52a to the first port for second communication P62a of the second communication device 60, and the receiving of data, etc. supplied from the second port P32b of the first router 30 to the Internet 40 at the first port P51b and transmission from the second port P52b to the second port for second communication P62b of the second communication device 60.
また、制御部510は、第2通信機器60の第2通信用第1ポートP62aから供給されたデータ等を第2ポートP52aで受信して第1ポートP51aから(インターネット40を介して)第1ルータ30の第2ポートP32aに送信し、第2通信機器60の第2通信用第2ポートP62bから供給されたデータ等を第2ポートP52bで受信して第1ポートP51bから(インターネット40を介して)第1ルータ30の第2ポートP32bに送信する制御を行う。 The control unit 510 also controls the receiving of data, etc. supplied from the second communication first port P62a of the second communication device 60 at the second port P52a and transmission from the first port P51a (via the Internet 40) to the second port P32a of the first router 30, and the receiving of data, etc. supplied from the second communication second port P62b of the second communication device 60 at the second port P52b and transmission from the first port P51b (via the Internet 40) to the second port P32b of the first router 30.
第2通信機器60の制御部610は、第2通信用第1ポートP62aから受信したデータ等を第1通信用第1ポートP61aから送信し、第2通信用第2ポートP62bから受信したデータ等を第1通信用第2ポートP61bから送信する制御を行う。 The control unit 610 of the second communication device 60 controls the transmission of data etc. received from the second communication first port P62a from the first communication first port P61a, and the transmission of data etc. received from the second communication second port P62b from the first communication second port P61b.
また、制御部610は、第1通信用第1ポートP61aから受信したデータ等を第2通信用第1ポートP62aから送信し、第1通信用第2ポートP61bから受信したデータ等を第2通信用第2ポートP62bから送信する制御を行う。 The control unit 610 also controls the transmission of data etc. received from the first port for first communication P61a from the first port for second communication P62a, and the transmission of data etc. received from the second port for first communication P61b from the second port for second communication P62b.
サーバ装置71は、サーバ装置70と同様に、種々の制御を行う制御部711と、第1通信規格を用いて第2通信機器60の第1通信用第2ポートP61bにコネクション可能な第1ポートP71bを有する。第1ポートP71bは、第1通信用第2ポートP61bからデータ等を受信し、第1通信用第2ポートP61bにデータ等を送信することができる。 Similar to server device 70, server device 71 has a control unit 711 that performs various controls, and a first port P71b that can be connected to the first communication second port P61b of the second communication device 60 using the first communication standard. The first port P71b can receive data, etc. from the first communication second port P61b and transmit data, etc. to the first communication second port P61b.
上述した本実施形態の通信装置3は、クライアント装置10及びサーバ装置70に加えてクライアント装置11及びサーバ装置71を有するので、クライアント装置10、11及びサーバ装置70、71を用いた好適な制御をすることができる。 The communication device 3 of the present embodiment described above has a client device 11 and a server device 71 in addition to a client device 10 and a server device 70, and therefore can perform suitable control using the client devices 10, 11 and the server devices 70, 71.
本実施形態では、2個のクライアント装置と2個のサーバ装置70とを用いる場合を例にして説明したがこれに限定されるものではない。例えば、1個のクライアント装置と複数個のサーバ装置70とを用いても良いし、複数個のクライアント装置と1個のサーバ装置70とを用いても良いし、1個のクライアント装置と1個のサーバ装置70とを用いても良い。 In this embodiment, the case where two client devices and two server devices 70 are used has been described as an example, but the present invention is not limited to this. For example, one client device and multiple server devices 70 may be used, multiple client devices and one server device 70 may be used, or one client device and one server device 70 may be used.
また、上述した実施形態では、1個の第1ルータ30と、1個の第2ルータ50とを用いる場合を例にして説明したがこれに限定されるものではない。第1ルータ30及び第2ルータ50の少なくとも一方が複数であっても良いことは言うまでもない。 In addition, in the above embodiment, a case where one first router 30 and one second router 50 are used has been described as an example, but the present invention is not limited to this. It goes without saying that at least one of the first router 30 and the second router 50 may be multiple.
上述した各実施形態の構成は互いに組み合わせることができる。上記では、種々の実施の形態及び変形例を説明したが、本発明はこれらの内容に限定されるものではない。例えば、上述した各実施形態の構成を互いに組み合わせたもの、本発明の技術的思想の範囲内で考えられるその他の態様も本発明の範囲内に含まれる。 The configurations of the above-mentioned embodiments can be combined with each other. Although various embodiments and variations have been described above, the present invention is not limited to these. For example, combinations of the configurations of the above-mentioned embodiments and other aspects that are conceivable within the scope of the technical concept of the present invention are also included within the scope of the present invention.
本発明によれば、好適な通信制御を実現できる通信機器、及び、通信装置を提供することができる。 The present invention provides a communication device and a communication apparatus that can realize suitable communication control.
1 通信装置
10 クライアント装置
20 第1通信機器
30 第1ルータ
50 第2ルータ
60 第2通信機器
70 サーバ装置
1 Communication device 10 Client device 20 First communication device 30 First router 50 Second router 60 Second communication device 70 Server device
Claims (3)
前記第1通信規格よりも安全性が高い第2通信規格を用いたコネクションの成立が可能な第2ポート群と、
前記第1通信規格を用いたコネクション、及び、前記第2通信規格を用いたコネクションが成立した後、
前記第1通信規格を用いて送られてきた第1データを前記第1ポート群から受信し前記第1データを前記第2通信規格を用いて前記第2ポート群から送信し、前記第2通信規格を用いて送られてきた第2データを前記第2ポート群から受信し前記第2データを前記第1通信規格を用いて前記第1ポート群から送信する制御をする制御部とを有し、
前記制御部は、前記第1ポート群側にクライアントが備えらえた場合には第1モードで制御動作が可能であり、前記第1ポート群側にサーバが備えらえた場合には第2モードで制御動作が可能であり、
前記制御部が前記第1モードで制御動作をする場合、前記クライアントのコネクション要求を前記第1ポート群から受信して前記コネクション要求を前記第2ポート群から送信し、
前記制御部が前記第2モードで制御動作をする場合、前記コネクション要求を前記第2ポート群から受信して前記コネクション要求を前記第1ポート群から送信する通信機器。 a first port group capable of establishing a connection using a first communication standard;
a second port group capable of establishing a connection using a second communication standard having higher security than the first communication standard;
After the connection using the first communication standard and the connection using the second communication standard are established,
a control unit that performs control to receive first data transmitted using the first communication standard from the first port group and transmit the first data from the second port group using the second communication standard, and to receive second data transmitted using the second communication standard from the second port group and transmit the second data from the first port group using the first communication standard ,
the control unit is capable of performing a control operation in a first mode when a client is provided on the first port group side, and is capable of performing a control operation in a second mode when a server is provided on the first port group side,
When the control unit performs a control operation in the first mode, the control unit receives a connection request from the client through the first port group and transmits the connection request through the second port group;
A communications device that receives the connection request from the second port group and transmits the connection request from the first port group when the control unit performs a control operation in the second mode .
前記第1ポート群は、
前記第1データを受信し前記第2データを送信する第1通信用第1ポートと、
前記第1データとは異なる第3データを受信し前記第2データとは異なる第4データを送信する第1通信用第2ポートとを有し、
前記第2ポート群は、
前記第2データを受信し前記第1データを送信する第2通信用第1ポートと、
前記第4データを受信し前記第3データを送信する第2通信用第2ポートとを有する通信機器。 2. A communication device according to claim 1,
The first port group includes:
a first communication first port for receiving the first data and transmitting the second data;
a first communication second port for receiving third data different from the first data and transmitting fourth data different from the second data,
The second port group includes:
a second communication first port for receiving the second data and transmitting the first data;
a second port for second communication for receiving the fourth data and for transmitting the third data.
前記第1ポート群側に前記クライアントが備えらえた第1通信機器と、前記第1ポート群側に前記サーバが備えらえた第2通信機器とを有し、
前記第1通信機器と前記第2通信機器とが、前記第2通信規格でコネクション時に、双方が証明書の送受信を行って相手方の証明書の署名を確認し、双方が認証した場合のみコネクション成立とする通信装置。
A communication device including the communication device according to claim 1 or 2 ,
a first communication device provided by the client on the side of the first port group, and a second communication device provided by the server on the side of the first port group,
A communication device in which, when the first communication device and the second communication device connect using the second communication standard, each device sends and receives certificates to verify the signature of the other device's certificate, and the connection is established only if both devices are authenticated.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021004822A JP7619610B2 (en) | 2021-01-15 | 2021-01-15 | Communication equipment and communication device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021004822A JP7619610B2 (en) | 2021-01-15 | 2021-01-15 | Communication equipment and communication device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022109482A JP2022109482A (en) | 2022-07-28 |
| JP7619610B2 true JP7619610B2 (en) | 2025-01-22 |
Family
ID=82560545
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021004822A Active JP7619610B2 (en) | 2021-01-15 | 2021-01-15 | Communication equipment and communication device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7619610B2 (en) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020162026A1 (en) | 2001-02-06 | 2002-10-31 | Michael Neuman | Apparatus and method for providing secure network communication |
| JP2003504714A (en) | 1999-06-30 | 2003-02-04 | インテル コーポレイション | Method and system for managing secure client-server transactions |
| JP2009094609A (en) | 2007-10-04 | 2009-04-30 | National Institute Of Information & Communication Technology | Communication management system, socket management server, and communication management method |
-
2021
- 2021-01-15 JP JP2021004822A patent/JP7619610B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003504714A (en) | 1999-06-30 | 2003-02-04 | インテル コーポレイション | Method and system for managing secure client-server transactions |
| US20020162026A1 (en) | 2001-02-06 | 2002-10-31 | Michael Neuman | Apparatus and method for providing secure network communication |
| JP2005503047A (en) | 2001-02-06 | 2005-01-27 | エン ガルデ システムズ、インコーポレイテッド | Apparatus and method for providing a secure network |
| JP2009094609A (en) | 2007-10-04 | 2009-04-30 | National Institute Of Information & Communication Technology | Communication management system, socket management server, and communication management method |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2022109482A (en) | 2022-07-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3646553B1 (en) | Introducing middleboxes into secure communications between a client and a server | |
| US9560142B2 (en) | Accessing enterprise communication systems from external networks | |
| CN107113319B (en) | A method, device, system and proxy server for response in virtual network computing authentication | |
| CN100508517C (en) | Selecting a security format conversion for wired and wireless devices | |
| WO2014065634A1 (en) | Method and apparatus for accelerating web service with proxy server | |
| CN111226418B (en) | Enable zero-touch boot for devices across network perimeter firewalls | |
| WO2006006324A1 (en) | Communication system | |
| WO2001037068A2 (en) | Method and apparatus for providing secure communication in a network | |
| JP2013523050A (en) | Proxy SSL handoff via intermediate stream renegotiation | |
| CN107306214A (en) | Terminal connects method, system and the relevant device of Virtual Private Network | |
| CN110191052B (en) | Cross-protocol network transmission method and system | |
| CN102811225B (en) | A kind of SSL middle-agent accesses method and the switch of WEB resource | |
| WO2009082950A1 (en) | Key distribution method, device and system | |
| CN102377731A (en) | Virtual private network system and network device thereof | |
| US10958625B1 (en) | Methods for secure access to services behind a firewall and devices thereof | |
| Taylor et al. | Validating security protocols with cloud-based middleboxes | |
| JP2005026856A (en) | Remote access system | |
| JP7619610B2 (en) | Communication equipment and communication device | |
| JP4619059B2 (en) | Terminal device, firewall device, method for firewall device control, and program | |
| US20150381387A1 (en) | System and Method for Facilitating Communication between Multiple Networks | |
| US8046820B2 (en) | Transporting keys between security protocols | |
| JP2009177239A (en) | Network relay device | |
| JP2007181123A (en) | Digital certificate exchange method, terminal device, and program | |
| Matama et al. | Extension mechanism of overlay network protocol to support digital authenticates | |
| KR101239217B1 (en) | High availability system, method for synchronizing devices in the same, and method for managing devices in the same |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A80 | Written request to apply exceptions to lack of novelty of invention |
Free format text: JAPANESE INTERMEDIATE CODE: A80 Effective date: 20210210 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20231218 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240913 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20241029 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20241203 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20241224 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20241226 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7619610 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |