ホーム > 特許ランキング > 株式会社エム・システム技研
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022109482
(43)【公開日】2022-07-28
(54)【発明の名称】通信機器、及び、通信装置
(51)【国際特許分類】
H04L 12/22 20060101AFI20220721BHJP
【FI】
H04L12/66 B
【審査請求】未請求
【請求項の数】4
【出願形態】OL
(21)【出願番号】P 2021004822
(22)【出願日】2021-01-15
【新規性喪失の例外の表示】新規性喪失の例外適用申請有り
(71)【出願人】
【識別番号】390001166
【氏名又は名称】株式会社エム・システム技研
(72)【発明者】
【氏名】前田 康之
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030HA08
5K030HC14
5K030HD03
5K030JA11
5K030LB05
5K030LD19
(57)【要約】
【課題】好適な通信制御を実現できる通信機器、及び、通信装置を提供する。
【解決手段】
第1通信規格を用いたコネクションの成立が可能な第1ポート群21と、第1通信規格よりも安全性が高い第2通信規格を用いたコネクションの成立が可能な第2ポート群22と、第1通信規格を用いたコネクション、及び、第2通信規格を用いたコネクションが成立した後、第1通信規格を用いて送られてきた第1データを第1ポート群21から受信し第1データを第2通信規格を用いて第2ポート群22から送信し、第2通信規格を用いて送られてきた第2データを第2ポート群22から受信し第2データを第1通信規格を用いて第1ポート群21から送信する制御をする制御部210とを有する通信機器。
【選択図】図1
【解決手段】
第1通信規格を用いたコネクションの成立が可能な第1ポート群21と、第1通信規格よりも安全性が高い第2通信規格を用いたコネクションの成立が可能な第2ポート群22と、第1通信規格を用いたコネクション、及び、第2通信規格を用いたコネクションが成立した後、第1通信規格を用いて送られてきた第1データを第1ポート群21から受信し第1データを第2通信規格を用いて第2ポート群22から送信し、第2通信規格を用いて送られてきた第2データを第2ポート群22から受信し第2データを第1通信規格を用いて第1ポート群21から送信する制御をする制御部210とを有する通信機器。
【選択図】図1
【特許請求の範囲】
【請求項1】
第1通信規格を用いたコネクションの成立が可能な第1ポート群と、
前記第1通信規格よりも安全性が高い第2通信規格を用いたコネクションの成立が可能な第2ポート群と、
前記第1通信規格を用いたコネクション、及び、前記第2通信規格を用いたコネクションが成立した後、
前記第1通信規格を用いて送られてきた第1データを前記第1ポート群から受信し前記第1データを前記第2通信規格を用いて前記第2ポート群から送信し、前記第2通信規格を用いて送られてきた第2データを前記第2ポート群から受信し前記第2データを前記第1通信規格を用いて前記第1ポート群から送信する制御をする制御部とを有する通信機器。
前記第1通信規格よりも安全性が高い第2通信規格を用いたコネクションの成立が可能な第2ポート群と、
前記第1通信規格を用いたコネクション、及び、前記第2通信規格を用いたコネクションが成立した後、
前記第1通信規格を用いて送られてきた第1データを前記第1ポート群から受信し前記第1データを前記第2通信規格を用いて前記第2ポート群から送信し、前記第2通信規格を用いて送られてきた第2データを前記第2ポート群から受信し前記第2データを前記第1通信規格を用いて前記第1ポート群から送信する制御をする制御部とを有する通信機器。
【請求項2】
請求項1に記載された通信機器であって、
前記第1ポート群は、
前記第1データを受信し前記第2データを送信する第1通信用第1ポートと、
前記第1データとは異なる第3データを受信し前記第2データとは異なる第4データを送信する第1通信用第2ポートとを有し、
前記第2ポート群は、
前記第2データを受信し前記第1データを送信する第2通信用第1ポートと、
前記第4データを受信し前記第3データを送信する第2通信用第2ポートとを有する通信機器。
前記第1ポート群は、
前記第1データを受信し前記第2データを送信する第1通信用第1ポートと、
前記第1データとは異なる第3データを受信し前記第2データとは異なる第4データを送信する第1通信用第2ポートとを有し、
前記第2ポート群は、
前記第2データを受信し前記第1データを送信する第2通信用第1ポートと、
前記第4データを受信し前記第3データを送信する第2通信用第2ポートとを有する通信機器。
【請求項3】
請求項1又は請求項2に記載された通信機器であって、
前記制御部は、前記第1ポート群側にクライアントが備えらえた場合には第1モードで制御動作が可能であり、前記第1ポート群側にサーバが備えらえた場合には第2モードで制御動作が可能であり、
前記制御部が前記第1モードで制御動作をする場合、前記クライアントのコネクション要求を前記第1ポート群から受信して前記コネクション要求を前記第2ポート群から送信し、
前記制御部が前記第2モードで制御動作をする場合、前記コネクション要求を前記第2ポート群から受信して前記コネクション要求を前記第1ポート群から送信する通信機器。
前記制御部は、前記第1ポート群側にクライアントが備えらえた場合には第1モードで制御動作が可能であり、前記第1ポート群側にサーバが備えらえた場合には第2モードで制御動作が可能であり、
前記制御部が前記第1モードで制御動作をする場合、前記クライアントのコネクション要求を前記第1ポート群から受信して前記コネクション要求を前記第2ポート群から送信し、
前記制御部が前記第2モードで制御動作をする場合、前記コネクション要求を前記第2ポート群から受信して前記コネクション要求を前記第1ポート群から送信する通信機器。
【請求項4】
請求項3に記載された通信機器を含む通信装置であって、
前記第1ポート群側に前記クライアントが備えらえた第1通信機器と、前記第1ポート群側に前記サーバが備えらえた第2通信機器とを有し、
前記第1通信機器と前記第2通信機器とが、前記第2通信規格でコネクション時に、双方が証明書の送受信を行って相手方の証明書の署名を確認し、双方が認証した場合のみコネクション成立とする通信装置。
前記第1ポート群側に前記クライアントが備えらえた第1通信機器と、前記第1ポート群側に前記サーバが備えらえた第2通信機器とを有し、
前記第1通信機器と前記第2通信機器とが、前記第2通信規格でコネクション時に、双方が証明書の送受信を行って相手方の証明書の署名を確認し、双方が認証した場合のみコネクション成立とする通信装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信機器、及び、通信装置に関する。
【背景技術】
【0002】
特許文献1には、インターネットなどのセキュアな通信ネットワークで使用するためのブローカがセキュアなソケットレイヤ(SSL)リンクなどのセキュアなネットワークリンクで受信するクライアントのトランザクションを仲介するように構成されることが記載されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特表2003-504714
【発明の概要】
【発明が解決しようとする課題】
【0004】
解決しようとする課題は、好適な通信制御を実現できる通信機器、及び、通信装置を提供することである。
【課題を解決するための手段】
【0005】
本発明の第1の観点に係る通信機器は、第1通信規格を用いたコネクションの成立が可能な第1ポート群と、前記第1通信規格よりも安全性が高い第2通信規格を用いたコネクションの成立が可能な第2ポート群と、前記第1通信規格を用いたコネクション、及び、前記第2通信規格を用いたコネクションが成立した後、前記第1通信規格を用いて送られてきた第1データを前記第1ポート群から受信し前記第1データを前記第2通信規格を用いて前記第2ポート群から送信し、前記第2通信規格を用いて送られてきた第2データを前記第2ポート群から受信し前記第2データを前記第1通信規格を用いて前記第1ポート群から送信する制御をする制御部とを有する。
【発明の効果】
【0006】
本発明によれば、好適な通信制御を実現できる通信機器、及び、通信装置を提供することができる。
【図面の簡単な説明】
【0007】
【発明を実施するための形態】
【0008】
(第1実施形態(標準モード))
【0009】
【0010】
図1において、通信装置1は、例えば、複数のネットワークを跨いで情報の受け渡しをする装置である。ここで、ネットワークとは、例えば、通信回線を用いたコネクション(論理的な通信路)を形成して複数のコンピュータ間でデータのやりとりを行えるようにしたものである。
【0011】
図1において、通信装置1は、クライアント装置10と、第1通信機器20と、第1ルータ30と、第2ルータ50と、第2通信機器60と、サーバ装置70とを有する。
【0012】
本実施形態において、クライアント装置10、第1通信機器20、及び、第1ルータ30は、第1ネットワーク41内に備えられている。
【0013】
第1ネットワーク41内において、クライアント装置10と第1通信機器20とは、第1通信規格を用いたコネクション(論理的な通信路)の成立が可能である。第1通信規格は、例えば、TCP/IP(Transmission Control Protocol/Internet Protocol)をベースにしたLAN環境下で各端末にローカルIPアドレスが設定される構内LAN環境で使用される産業用プロトコルとすることができる。
【0014】
第1通信規格としては、例えば、TCP、Modbus/TCP、Modbus/RTU(remote terminal unit)、SLMP(Seamless Message Protocol)、HTTP(Hyper Text Transfer Protocol)等を挙げることができる。第1ネットワーク41内には、クライアント装置10及び第1通信機器20以外の第1通信規格を用いたコネクションが可能な装置が備えられていてもよい。
【0015】
第1通信機器20と第1ルータ30とは、第1通信規格よりも安全性が高い第2通信規格を用いたコネクションの成立が可能である。第2通信規格は、例えば、通信を行う装置同士が保持する電子証明書を交換する通信規格や、ログイン/パスワード認証よりも安全な通信規格とすることができる。また、第2通信規格は、暗号化が実施されることも好ましい。
【0016】
第2通信規格としては、例えば、TLS(Transport Layer Security)、SSL(Secure Sockets Layer)等を挙げることができる。第1ネットワーク41内には、第1通信機器20及び第1ルータ30以外の第2通信規格を用いたコネクションが可能な装置が備えられていてもよい。
【0017】
図1に示した第2ルータ50、第2通信機器60、及び、サーバ装置70は、第2ネットワーク42内に備えられている。
【0018】
第2ネットワーク42内において、第2通信機器60とサーバ装置70とは、第1通信規格を用いたコネクションの成立が可能である。第2ネットワーク42内には、第2通信機器60及びサーバ装置70以外の第1通信規格を用いたコネクションが可能な装置が備えられていてもよい。
【0019】
第2ルータ50と第2通信機器60とは、第2通信規格を用いたコネクションの成立が可能である。第2ネットワーク42内には、第2ルータ50及び第2通信機器60以外の第2通信規格を用いたコネクションが可能な装置が備えられていてもよい。
【0020】
第1ネットワーク41(第1ルータ30)及び第2ネットワーク42(第2ルータ50)は、インターネット40を介して隣接している。第1ルータ30とインターネット40、及び、第2ルータ50とインターネット40は、第2通信規格を用いたコネクションの成立が可能である。
【0021】
クライアント装置10は、例えば、クライアントPC(personal computer)等である。
【0022】
クライアント装置は、1つであってもよいし、第1ネットワーク41内に備えられたクライアント装置11(図示せず)、クライアント装置12(図示せず)、クライアント装置13(図示せず)等の複数のクライアント装置を有していてもよい。複数のクライアント装置11~13のそれぞれは、クライアント装置10と同様にサーバ装置70との通信が可能である。
通信装置1は、第1ネットワーク41とは異なるネットワーク内に備えられ、サーバ装置70との通信が可能なクライアント装置(図示せず)を有していてもよい。複数のクライアント装置のそれぞれは、同一のネットワーク内に備えられていてもよいし、異なるネットワーク内に備えられていてもよい
通信装置1は、第1ネットワーク41とは異なるネットワーク内に備えられ、サーバ装置70との通信が可能なクライアント装置(図示せず)を有していてもよい。複数のクライアント装置のそれぞれは、同一のネットワーク内に備えられていてもよいし、異なるネットワーク内に備えられていてもよい
【0023】
第1通信機器20は、クライアント装置10とのコネクションが可能な通信機器である。第1通信機器20は、クライアント装置10とのコネクションをするためのクライアント用モードで動作する。
【0024】
第1ルータ30は、第1通信機器20及び第2ルータ50とのコネクションが可能なルータである。ルータ(router)とは、例えば、複数の異なるネットワーク間のコネクション(接続や中継)が可能な装置である。
【0025】
サーバ装置70は、例えば、工場に備えられた機器を制御する現場機器、サーバコンピュータ等である。サーバ装置は、1つであってもよいし、第2ネットワーク42内に備えられたサーバ装置71(図示せず)、サーバ装置72(図示せず)、サーバ装置73(図示せず)等の複数のサーバ装置を有していてもよい。複数のサーバ装置71~73のそれぞれは、サーバ装置70と同様にクライアント装置10~13との通信が可能である。
通信装置1は、第2ネットワーク42とは異なるネットワーク内に備えられ、クライアント装置10との通信が可能なサーバ装置(図示せず)を有していてもよい。複数のサーバ装置のそれぞれは、同一のネットワーク内に備えられていてもよいし、異なるネットワーク内に備えられていてもよい
通信装置1は、第2ネットワーク42とは異なるネットワーク内に備えられ、クライアント装置10との通信が可能なサーバ装置(図示せず)を有していてもよい。複数のサーバ装置のそれぞれは、同一のネットワーク内に備えられていてもよいし、異なるネットワーク内に備えられていてもよい
【0026】
第2通信機器60は、サーバ装置70とのコネクションが可能な通信機器である。
第2通信機器60は、サーバ装置70とのコネクションをするためのサーバ装置用モードで動作する。第1通信機器20及び第2通信機器60は、互いに異なる回路部品や電気回路を有する機器であってもよいし、互いに同一の回路部品や電気回路を有する機器であってもよい。
本実施形態において、第1通信機器20及び第2通信機器60は、互いに同一の回路部品や電気回路を有する機器であり、後述する設定を行うことにより、第1通信機器20をクライアント用モードで動作させ、第2通信機器60をサーバ装置用モードで動作させている。
第2通信機器60は、サーバ装置70とのコネクションをするためのサーバ装置用モードで動作する。第1通信機器20及び第2通信機器60は、互いに異なる回路部品や電気回路を有する機器であってもよいし、互いに同一の回路部品や電気回路を有する機器であってもよい。
本実施形態において、第1通信機器20及び第2通信機器60は、互いに同一の回路部品や電気回路を有する機器であり、後述する設定を行うことにより、第1通信機器20をクライアント用モードで動作させ、第2通信機器60をサーバ装置用モードで動作させている。
【0027】
第2ルータ50は、第2通信機器60及び第1ルータ30とのコネクションが可能である。
【0028】
図2を参照して、本実施形態の第1通信機器20について説明する。
【0029】
第1通信機器20は、制御部210と、メモリ220と、第1ポート群P21と、第2ポート群P22とを有する。
【0030】
第1ポート群P21は、第1通信規格を用いたコネクション(論理的な通信路)の成立が可能なポート群である。第1ポート群P21は、第1通信用第1ポートP21aと、第1通信用第2ポートP21bと、第1通信用第3~4ポートP21c~P21dとを有する。
【0031】
第2ポート群P22は、第1通信規格よりも安全性が高い第2通信規格を用いたコネクションの成立が可能なポート群である。第2ポート群P22は、第2通信用第1ポートP22aと、第2通信用第2ポートP22bと、第2通信用第3~4ポートP22c~P22dとを有する。
【0032】
制御部210は、クライアント装置10~13のポートとのコネクションを成立させるための制御、第1ルータ30及びその他のルータ(図示せず)とのコネクションを成立させるための制御、コネクション成立後のデータ転送制御、コネクションの切断制御、暗号化、復号化などの制御を行う。
【0033】
メモリ220には、制御部210の制御に必要な情報が記憶されている。例えば、メモリ220には、コネクションを成立させるための制御、コネクション成立後のデータ転送制御、コネクションの切断制御、暗号化、復号化などに必要な情報等が記憶されている。
【0034】
制御部210は、第2通信用第1ポートP22aから受信したデータ等を第1通信用第1ポートP21aから送信する制御を行う。また、制御部210は、第1通信用第1ポートP21aが受信したデータ等を第2通信用第1ポートP22aから送信する制御を行う。
【0035】
同様に、制御部210は、第2通信用第2ポートP22bから受信したデータ等を第1通信用第2ポートP21bから送信し、第1通信用第2ポートP21bから受信したデータ等を第2通信用第2ポートP22bから送信する制御を行う。
【0036】
同様に、制御部210は、第2通信用第3~4ポートP22c~22dから受信したデータ等を第1通信用第3~4ポートP21c~21dから送信し、第1通信用第3~4ポートP21c~21dから受信したデータ等を第2通信用第3~4ポートP22c~22dから送信する制御を行う。
【0037】
クライアント装置10は、種々の制御を行う制御部110と、第1通信規格を用いて第1通信機器20の第1通信用第1ポートP21aにコネクション可能な第1ポートP11aを有する。
制御部110は、第1通信機器20の第1通信用第1ポートP21aから供給されるデータ等を第1ポートP11aで受信し、第1ポートP11aから第1通信用第1ポートP21aにデータ等を送信する制御を行うことができる。
制御部110は、第1通信機器20の第1通信用第1ポートP21aから供給されるデータ等を第1ポートP11aで受信し、第1ポートP11aから第1通信用第1ポートP21aにデータ等を送信する制御を行うことができる。
【0038】
第1ルータ30は、種々の制御を行う制御部310と、第2通信規格を用いて第1通信機器20の第2通信用第1ポートP22aにコネクション可能な第1ポートP31aと、第2ポートP32aとを有する。
【0039】
制御部310は、第1通信機器20の第2通信用第1ポートP22aから供給されたデータ等を第1ポートP31aで受信し、第2ポートP32aからインターネット40に送信する制御を行うことができる。また、制御部310は、インターネット40から供給されたデータ等を第2ポートP32aで受信し、第1ポートP31aから第2通信用第1ポートP22aに送信する制御を行うことができる。
【0040】
図3を参照して、本実施形態の第2通信機器60について説明する。
【0041】
第2通信機器60は、制御部610と、メモリ620と、第1ポート群P61と、第2ポート群P62とを有する。
【0042】
第1ポート群P61は、第1通信規格を用いたコネクションの成立が可能なポート群である。第1ポート群P61は、第1通信用第1ポートP61aと、第1通信用第2ポートP61bと、第1通信用第3~4ポートP61c~P61dとを有する。
【0043】
第2ポート群P62は、第1通信規格よりも安全性が高い第2通信規格を用いたコネクションの成立が可能なポート群である。第2ポート群P62は、第2通信用第1ポートP62aと、第2通信用第2ポートP62bと、第2通信用第3~4ポートP62c~P62dを有する。
【0044】
制御部610は、サーバ装置70~73のポートとのコネクションを成立させるための制御、第2ルータ50及びその他のルータ(図示せず)とのコネクションを成立させるための制御、コネクション成立後のデータ転送制御、コネクションの切断制御、暗号化、復号化などの制御を行う。
【0045】
メモリ620には、制御部610の制御に必要な情報が記憶されている。例えば、メモリ620には、コネクションを成立させるための制御、コネクション成立後のデータ転送制御、コネクションの切断制御、暗号化、復号化などに必要な情報等が記憶されている。
制御部610は、第2通信用第1ポートP62aから受信したデータ等を第1通信用第1ポートP61aから送信する制御を行う。また、制御部610は、第1通信用第1ポートP61aから受信したデータ等を第2通信用第1ポートP62aから送信する制御を行う。
制御部610は、第2通信用第1ポートP62aから受信したデータ等を第1通信用第1ポートP61aから送信する制御を行う。また、制御部610は、第1通信用第1ポートP61aから受信したデータ等を第2通信用第1ポートP62aから送信する制御を行う。
【0046】
同様に、制御部610は、第2通信用第2~4ポートP62b~62dから受信したデータ等を第1通信用第2~4ポートP61b~61dから送信する制御を行う。また、制御部610は、第1通信用第2~4ポートP61b~61dから受信したデータ等を第2通信用第2~4ポートP62b~62dから送信する制御を行う。
【0047】
図3において、第2ルータ50は、種々の制御を行う制御部510と、第2通信規格を用いて第1ルータ30の第2ポートP32aにコネクション可能な第1ポートP51aと、第2通信規格を用いて第2通信機器60の第2通信用第1ポートP62aにコネクション可能な第2ポートP52aとを有する。
【0048】
制御部510は、第1ルータ30の第2ポートP32aからインターネット40に供給されたデータ等を第1ポートP51aで受信し、第2ポートP52aから第2通信機器60の第2通信用第1ポートP62aに送信する制御を行う。また、制御部510は、第2通信機器60の第2通信用第1ポートP62aから供給されたデータ等を第2ポートP52aで受信し、第1ポートP51aから(インターネット40を介して)第1ルータ30の第2ポートP32aに送信する制御を行う。
【0049】
サーバ装置70は、種々の制御を行う制御部710と、第1通信規格を用いて第2通信機器60の第1通信用第1ポートP61aにコネクション可能な第1ポートP71aを有する。制御部710は、第2通信機器60の第1通信用第1ポートP61aから供給されるデータ等を第1ポートP71aで受信し、第1ポートP71aから第1通信用第1ポートP61aにデータ等を送信する制御を行うことができる。
【0050】
【0051】
【0052】
(STEP1)設定
ステップ1では、第1通信機器20、第2通信機器60及び第2ルータ50が下記の設定動作を行う。
(1)第1通信機器20の設定
第1通信機器20は、コネクションを成立させるために第1モード(以下、標準モードと称する)、又は、第2モード(以下、逆接続モードと称する)で設定動作をすることができる。標準モードで設定動作をさせる場合、ユーザは、標準モードである旨の情報を第1通信機器20に送信する。
ステップ1では、第1通信機器20、第2通信機器60及び第2ルータ50が下記の設定動作を行う。
(1)第1通信機器20の設定
第1通信機器20は、コネクションを成立させるために第1モード(以下、標準モードと称する)、又は、第2モード(以下、逆接続モードと称する)で設定動作をすることができる。標準モードで設定動作をさせる場合、ユーザは、標準モードである旨の情報を第1通信機器20に送信する。
【0053】
制御部210は、標準モードである旨の情報を受信した場合、標準モードである旨の情報をメモリ220に記憶させ、メモリ220に記憶された標準モードである旨の情報を参照して設定動作を開始する。
【0054】
次に、ユーザは、TCP接続の待受けポート数(例えば、1、2、4、8)の情報を第1通信機器20に送信する。制御部210は、TCP接続の待受けポート数の情報を受信した場合、TCP接続の待受けポート数の情報をメモリ220に記憶させ、TCP接続の待受けポート数の設定動作を行う。
【0055】
次に、ユーザは、TCP接続の待受けポート数分のクライアント情報を第1通信機器20に供給する。制御部210は、供給された情報に基づいてクライアント設定をする。具体的には、例えば、制御部210は、図5に示したように、(ア)TCP接続の待受けポート番号502(P21a)をメモリ220に記憶し、(イ)TLS接続の接続先ポート番号802(P62a)をメモリ220に記憶し、(ウ)TLS接続の接続先のIPアドレス又はドメインネーム(server1.jp)をメモリ220に記憶し、メモリ220に記憶された情報に基づいてクライアント設定をする。
【0056】
(2)第2通信機器60の設定
第2通信機器60も、第1通信機器20と同様に、コネクションを成立させるために第1モード(以下、標準モードと称する)、又は、第2モード(以下、逆接続モードと称する)で設定動作をすることができる。標準モードで設定動作をさせる場合、ユーザは、標準モードである旨の情報を第2通信機器60に送信する。
第2通信機器60も、第1通信機器20と同様に、コネクションを成立させるために第1モード(以下、標準モードと称する)、又は、第2モード(以下、逆接続モードと称する)で設定動作をすることができる。標準モードで設定動作をさせる場合、ユーザは、標準モードである旨の情報を第2通信機器60に送信する。
【0057】
制御部610は、標準モードである旨の情報を受信した場合、標準モードである旨の情報をメモリ620に記憶させ、メモリ620に記憶された標準モードである旨の情報を参照して設定動作を開始する。
【0058】
次に、ユーザは、TLS接続の待受けポート数(例えば、1、2、4、8)の情報を第2通信機器60に送信する。制御部610は、TLS接続の待受けポート数の情報を受信した場合、TLS接続の待受けポート数の情報をメモリ620に記憶させ、TLS接続の待受けポート数の設定動作を行う。
【0059】
次に、ユーザは、TLS接続の待受けポート数分のサーバ情報を第2通信機器60に供給する。制御部610は、供給された情報に基づいてサーバ設定をする。具体的には、例えば、制御部610は、図5に示したように、(ア)クライアント認証の有効をメモリ620に記憶し、(イ)TLS接続の待受けポート番号802(P62a)をメモリ620に記憶し、(ウ)TCP接続の接続先ポート番号502(P71a)をメモリ620に記憶し、(エ)サーバ装置70のIPアドレス又はドメインネーム(192.168.1.200)をメモリ620に記憶し、メモリ620に記憶された情報に基づいてサーバ設定をする。
【0060】
(3)第2ルータ50の設定
ユーザは、設定に必要な情報を第2ルータ50に送信する。これにより、第2ルータ50の制御部510は、(ア)第2通信機器60のサーバ機能のTLS受付ポート802(P62a)に設定したポートを開放し第2通信機器60に通し、(イ)固定IPアドレス又はDDNSにて外部から宛先を特定可能にする。
ユーザは、設定に必要な情報を第2ルータ50に送信する。これにより、第2ルータ50の制御部510は、(ア)第2通信機器60のサーバ機能のTLS受付ポート802(P62a)に設定したポートを開放し第2通信機器60に通し、(イ)固定IPアドレス又はDDNSにて外部から宛先を特定可能にする。
【0061】
(STEP2)接続
ステップ2では、クライアント装置10、第1通信機器20、第2通信機器60及び第2ルータ50が下記の接続動作を行う。
クライアント装置10が第1通信機器20にTCP接続する。次に、第1通信機器20が(第1ルータ30及び第2ルータ50を介して)第2通信機器60にTLS接続する。次に、第2通信機器60がサーバ装置70にTCP接続する。これにより、クライアント装置10は、サーバ装置70に接続することができる。
ステップ2では、クライアント装置10、第1通信機器20、第2通信機器60及び第2ルータ50が下記の接続動作を行う。
クライアント装置10が第1通信機器20にTCP接続する。次に、第1通信機器20が(第1ルータ30及び第2ルータ50を介して)第2通信機器60にTLS接続する。次に、第2通信機器60がサーバ装置70にTCP接続する。これにより、クライアント装置10は、サーバ装置70に接続することができる。
【0062】
クライアント装置10がサーバ装置70に接続中、例えば、下記動作をすることが好ましい。
(ア)第1通信機器20は第2通信機器60にサーバ証明書を要求し、これへの署名が信頼できる認証局によるものであるかを検証する(サーバ認証)。
(イ)第2通信機器60は第1通信機器20にクライアント証明書を要求し、これへの署名が信頼できる認証局によるものであるかを検証する(クライアント認証)。なお、第2通信機器60が行うクライアント認証は省略してもよい。
(ウ)第1通信機器20及び第2通信機器60は、証明書に添付された公開鍵を用いた公開鍵暗号通信を開始する。ここで、双方の共通鍵情報(公開鍵や秘密鍵ではない)を交換する通信(鍵交換)が行われる。この通信は公開鍵暗号により暗号化されているため、盗み見られるおそれが極めて低い。
(エ)第1通信機器20及び第2通信機器60は、共通鍵を用いた共通鍵暗号通信を開始する。なお、上位アプリケーションプロトコルは、この状態から開始する。
(ア)第1通信機器20は第2通信機器60にサーバ証明書を要求し、これへの署名が信頼できる認証局によるものであるかを検証する(サーバ認証)。
(イ)第2通信機器60は第1通信機器20にクライアント証明書を要求し、これへの署名が信頼できる認証局によるものであるかを検証する(クライアント認証)。なお、第2通信機器60が行うクライアント認証は省略してもよい。
(ウ)第1通信機器20及び第2通信機器60は、証明書に添付された公開鍵を用いた公開鍵暗号通信を開始する。ここで、双方の共通鍵情報(公開鍵や秘密鍵ではない)を交換する通信(鍵交換)が行われる。この通信は公開鍵暗号により暗号化されているため、盗み見られるおそれが極めて低い。
(エ)第1通信機器20及び第2通信機器60は、共通鍵を用いた共通鍵暗号通信を開始する。なお、上位アプリケーションプロトコルは、この状態から開始する。
【0063】
ここで、TLS接続時の相互認証(サーバ認証、クライアント認証)について、更に詳細に説明する。
【0064】
相互認証を行うには、システム管理者は最初にローカル認証局(LCA)を構築する必要がある。具体的には、例えば、1台のPC内にLCA構築できる。LCAの構築によりLCAの証明書が作成され、電子データとしてPC内に保存される。なお、LCAの構築には、例えば、LCAの構築作成支援ツール等の所定のプログラムを用いてもよい。
【0065】
次に、所定のプログラム等を用いて作成した本体用の証明書を第1通信機器20及び第2通信機器60に転送する。TLS接続時に第1通信機器20及び第2通信機器60がお互いに交換する証明書にはLCAの署名が入っている。これが間違いなく先に構築したLCAの署名であることを確認するには、そのLCAの証明書が必要になる。このため、第1通信機器20及び第2通信機器60への本体証明書転送時には、LCAの証明書も合わせて転送される。
【0066】
第1通信機器20及び第2通信機器60への本体証明書転送時には、暗号通信時に必要な本体秘密鍵(ファイル形式)も転送される。このように、第1通信機器20及び第2通信機器60には、本体証明書、LCAの証明書、本体秘密鍵が転送される。
【0067】
(STEP3)転送
ステップ3では、第1通信機器20及び第2通信機器60が下記の転送動作を行う。
(ア)第1通信機器20は、TCP接続されたクライアント装置10から受信したデータをTLS接続された第2通信機器60に(第1ルータ30及び第2ルータ50を介して)送信し、反対に第2通信機器60から受信したデータをクライアント装置10に送信する。
(イ)第2通信機器60は、TCP接続されたサーバ装置70から受信したデータをTLS接続された第1通信機器20に(第1ルータ30及び第2ルータ50を介して)送信し、反対に第1通信機器20から受信したデータをサーバ装置70に送信する。
ステップ3では、第1通信機器20及び第2通信機器60が下記の転送動作を行う。
(ア)第1通信機器20は、TCP接続されたクライアント装置10から受信したデータをTLS接続された第2通信機器60に(第1ルータ30及び第2ルータ50を介して)送信し、反対に第2通信機器60から受信したデータをクライアント装置10に送信する。
(イ)第2通信機器60は、TCP接続されたサーバ装置70から受信したデータをTLS接続された第1通信機器20に(第1ルータ30及び第2ルータ50を介して)送信し、反対に第1通信機器20から受信したデータをサーバ装置70に送信する。
【0068】
(STEP4)切断
ステップ4では、下記の切断動作を行う。
ステップ4では、下記の切断動作を行う。
【0069】
通信装置1は、クライアント装置10-第1通信機器20間のTCP接続、第1通信機器20-第2通信機器60間のTLS接続、及び、第2通信機器60-サーバ装置70間のTCP接続の何れかが切断されたとき、通信が切断される。
【0070】
上述した本実施形態の第1通信機器20は、第1通信規格(TCP)を用いたコネクション(論理的な通信路)の成立が可能な第1ポート群P21(P21a~P21d)と、第1通信規格よりも安全性が高い第2通信規格(TLS)を用いたコネクションの成立が可能な第2ポート群P22(P22a~P22d)と、第1通信規格(TCP)を用いたコネクション、及び、第2通信規格(TLS)を用いたコネクションが成立した後、第1通信規格(TCP)を用いて送られてきた第1データを第1ポート群P21から受信し第1データを第2通信規格(TLS)を用いて第2ポート群P22から送信し、第2通信規格(TLS)を用いて送られてきた第2データを第2ポート群P22から受信し第2データを第1通信規格(TCP)を用いて第1ポート群P21から送信する制御をする制御部210とを有する。
【0071】
第1通信機器20は、第2ポート群P22(P22a~P22d)が安全性の高い第2通信規格(TLS)に対応しているため、第2ポート群P22(P22a~P22d)がインターネット40に繋がっている場合でも、十分な情報セキュリティを確保することができる。
【0072】
また、第1通信機器20は、第1ポート群P21(P21a~P21d)が第1通信規格(TCP)に対応しているため、第2通信規格(TLS)よりも安全性が低い第1ネットワーク41内のクライアント装置10等に容易に接続することができる。
【0073】
上述した第1通信機器20は、第2ポート群P22(P22a~P22d)を用いた安全性が高い通信と、第1ポート群P21(P21a~P21d)を用いた第1ネットワーク41への容易接続性とを同時に実現した好適な通信が実現できる。
【0074】
上述した本実施形態の第2通信機器60は、第1通信規格(TCP)を用いたコネクション(論理的な通信路)の成立が可能な第1ポート群P61(P61a~P61d)と、第1通信規格よりも安全性が高い第2通信規格(TLS)を用いたコネクションの成立が可能な第2ポート群P62(P62a~P62d)と、第1通信規格(TCP)を用いたコネクション、及び、第2通信規格(TLS)を用いたコネクションが成立した後、第1通信規格(TCP)を用いて送られてきた第1データを第1ポート群P61から受信し第1データを第2通信規格(TLS)を用いて第2ポート群P62から送信し、第2通信規格(TLS)を用いて送られてきた第2データを第2ポート群P62から受信し第2データを第1通信規格(TCP)を用いて第1ポート群P61から送信する制御をする制御部610とを有する。
【0075】
第2通信機器60は、第2ポート群P62(P62a~P62d)が安全性の高い第2通信規格(TLS)に対応しているため、第2ポート群P62(P62a~P62d)がインターネット40に繋がっている場合でも、十分な情報セキュリティを確保することができる。
【0076】
また、第2通信機器60は、第1ポート群P61(P61a~P61d)が第1通信規格(TCP)に対応しているため、第2通信規格(TLS)よりも安全性が低い第2ネットワーク42内のサーバ装置70等に容易に接続することができる。
【0077】
上述した第2通信機器60は、第2ポート群P62(P62a~P62d)を用いた安全性が高い通信と、第1ポート群P61(P61a~P61d)を用いた第2ネットワーク42への容易接続性とを同時に実現した好適な通信が実現できる。
【0078】
上述した本実施形態の通信装置1は、第1通信機器20及び第2通信機器60がインターネット40に直接さらされ、クライアント装置10及びサーバ装置70がインターネット40に直接さらされることがない。このため、クライアント装置10及びサーバ装置70に対する直接攻撃を回避できるため、通信の安全性が向上する。
【0079】
本実施形態のTLS相互認証は、第1通信機器20及び第2通信機器60の双方が保持する電子証明書を交換する通信であるため、ログイン/パスワード認証よりも安全である。したがって、本実施形態の通信装置1を用いることで、認証した相手(第1通信機器20及び第2通信機器60)からの接続を許容しつつ、外部の攻撃者によるなりすまし接続を拒否することができ、通信の安全性が向上する。
【0080】
本実施形態の通信装置1は、第1通信機器20-第2通信機器60間において、TLSの暗号化が行われているので、盗聴、改ざんのリスクを低減することができる。
【0081】
上述した本実施形態の通信装置1は、第1通信機器20及び第2通信機器60により通信の安全性が確保されるから、第1通信機器20よりもクライアント側、及び、第2通信機器60よりもサーバ側の回線や装置に変更を加える必要がない。このため、回線や装置を暗号化するためのシステム変更をする必要がなくなる。
【0082】
本実施形態では、クライアント装置11~13又はサーバ装置71~73を用いることにより、クライアント装置10又はサーバ装置70により得られる効果と同様の効果を得ることができる。
【0083】
(第2実施形態(逆接続モード))
【0084】
【0085】
本実施形態の通信装置2は、図1に示した通信装置1と同様に、クライアント装置10と、第1通信機器20と、第1ルータ30と、第2ルータ50と、第2通信機器60と、サーバ装置70とを有する。
【0086】
本実施形態の通信装置2は、図1に示した通信装置1と同様に、クライアント装置10、第1通信機器20、及び、第1ルータ30は、第1ネットワーク41内に備えられ、第2ルータ50、第2通信機器60、及び、サーバ装置70は、第2ネットワーク42内に備えられている。
【0087】
【0088】
(STEP1)設定
ステップ1では、第1通信機器20、第2通信機器60及び第1ルータ30が下記の設定動作を行う。
ステップ1では、第1通信機器20、第2通信機器60及び第1ルータ30が下記の設定動作を行う。
【0089】
(1)第1通信機器20の設定
上述したように、第1通信機器20は、コネクションを成立させるために第1モード(標準モード)、又は、第2モード(逆接続モード)で設定動作をすることができる。逆接続モードで設定動作をさせる場合、ユーザは、逆接続モードである旨の情報を第1通信機器20に送信する。
上述したように、第1通信機器20は、コネクションを成立させるために第1モード(標準モード)、又は、第2モード(逆接続モード)で設定動作をすることができる。逆接続モードで設定動作をさせる場合、ユーザは、逆接続モードである旨の情報を第1通信機器20に送信する。
【0090】
制御部210は、逆接続モードである旨の情報を受信した場合、逆接続モードである旨の情報をメモリ220に記憶させ、メモリ220に記憶された逆接続モードである旨の情報を参照して設定動作を開始する。
【0091】
次に、ユーザは、第1通信機器20をクライアント用モードで動作させるためにクライアント用情報を第1通信機器20に送信する。制御部210は、クライアント用情報を受信した場合、クライアント用情報をメモリ220に記憶させ、メモリ220に記憶されたクライアント用情報を参照して設定動作をする。
【0092】
次に、ユーザは、TCP接続の待受けポート番号502(P21a)の情報を第1通信機器20に送信する。制御部210は、TCP接続の待受けポート番号の情報を受信した場合、TCP接続の待受けポート番号502(P21a)の情報をメモリ220に記憶させ、メモリ220に記憶された情報に基づいて設定動作を行う。
【0093】
次に、ユーザは、TLS接続の待受けポート番号802(P22a)の情報を第1通信機器20に供給する。制御部210は、TLS接続の待受けポート番号の情報を受信した場合、TLS接続の待受けポート番号802(P22a)の情報をメモリ220に記憶させ、メモリ220に記憶された情報に基づいて設定動作を行う。
【0094】
(2)第2通信機器60の設定
上述したように、第2通信機器60は、コネクションを成立させるために第1モード(標準モード)、又は、第2モード(逆接続モード)で設定動作をすることができる。逆接続モードで設定動作をさせる場合、ユーザは、逆接続モードである旨の情報を第2通信機器60に送信する。
上述したように、第2通信機器60は、コネクションを成立させるために第1モード(標準モード)、又は、第2モード(逆接続モード)で設定動作をすることができる。逆接続モードで設定動作をさせる場合、ユーザは、逆接続モードである旨の情報を第2通信機器60に送信する。
【0095】
制御部610は、逆接続モードである旨の情報を受信した場合、逆接続モードである旨の情報をメモリ620に記憶させ、メモリ620に記憶された逆接続モードである旨の情報を参照して設定動作を開始する。
【0096】
次に、ユーザは、第2通信機器60をサーバ装置用モードで動作させるためにサーバ装置用情報を第2通信機器60に送信する。制御部610は、サーバ装置用情報を受信した場合、サーバ装置用情報をメモリ620に記憶させ、メモリ220に記憶されたサーバ装置用情報に基づいて設定動作を行う。
【0097】
次に、ユーザは、TLS接続の接続先ポート番号802(P22a)の情報を第2通信機器60に供給する。制御部610は、TLS接続の接続先ポート番号の情報を受信した場合、TLS接続の接続先ポート番号802(P22a)の情報をメモリ620に記憶させ、メモリ620に記憶された情報に基づいて設定動作を行う。
【0098】
次に、ユーザは、TLS接続の接続先のIPアドレス又はドメインネーム(server2.jp)の情報を第2通信機器60に供給する。制御部610は、TLS接続の接続先のIPアドレス又はドメインネームの情報を受信した場合、TLS接続の接続先のIPアドレス又はドメインネーム(server2.jp)の情報をメモリ620に記憶させ、メモリ620に記憶された情報に基づいて設定動作を行う。
【0099】
次に、ユーザは、TCP接続の接続先ポート番号502(P71a)の情報を第2通信機器60に供給する。制御部610は、TCP接続の接続先ポート番号の情報を受信した場合、TCP接続の接続先ポート番号502(P71a)の情報をメモリ620に記憶させ、メモリ620に記憶された情報に基づいて設定動作を行う。
【0100】
次に、ユーザは、サーバ装置70のIPアドレス又はドメインネーム(192.168.1.200)の情報を第2通信機器60に供給する。制御部610は、サーバ装置70のIPアドレス又はドメインネームの情報を受信した場合、サーバ装置70のIPアドレス又はドメインネーム(192.168.1.200)の情報をメモリ620に記憶させ、メモリ620に記憶された情報に基づいて設定動作を行う。
【0101】
(3)第1ルータ30の設定
ユーザは、設定に必要な情報を第1ルータ30に送信する。これにより、第1ルータ30の制御部310は、(ア)受付ポートを開き、パケットを第1通信機器20のローカルアドレスポート(P22a)に通し、(イ)固定IPアドレス又はDDNSにて外部から宛先を特定可能にする。
ユーザは、設定に必要な情報を第1ルータ30に送信する。これにより、第1ルータ30の制御部310は、(ア)受付ポートを開き、パケットを第1通信機器20のローカルアドレスポート(P22a)に通し、(イ)固定IPアドレス又はDDNSにて外部から宛先を特定可能にする。
【0102】
上述した本実施形態の通信装置2は、サーバ装置70側のルータ(第2ルータ50)のポートを開ける必要がないことから、現場機器等であるサーバ装置70が攻撃の対象となり難くなる。
【0103】
第1実施形態の通信装置1は、標準モードであるため、例えば、サーバ装置の数だけ固定IPアドレスもしくはDDNSの契約が必要となり、本実施形態の通信装置2は、逆接続モードであるため、例えば、クライアント装置の数だけ固定IPアドレスやDDNSの契約手続等が必要となる。
例えば、サーバ装置(70~73)が4つ、クライアント装置(10)が1つである場合、標準モードでは契約手続等が4つ必要であり、逆接続モードでは契約手続等が1つ必要である。
例えば、サーバ装置(70~73)が4つ、クライアント装置(10)が1つである場合、標準モードでは契約手続等が4つ必要であり、逆接続モードでは契約手続等が1つ必要である。
【0104】
例えば、工場に備えられた現場機器がサーバ装置であり、サーバ装置を監視するPCがクライアント装置である場合、サーバ装置の数がクライアント装置の数よりも多くなる場合が多いので、標準モードではなく逆接続モードを選択することにより、契約手続等の数を低減させることができる。
なお、クライアント装置の数がサーバ装置の数よりも多い場合は、逆接続モードではなく標準モードを選択することにより、契約手続等の数を低減させることができることは言うまでもない。
なお、クライアント装置の数がサーバ装置の数よりも多い場合は、逆接続モードではなく標準モードを選択することにより、契約手続等の数を低減させることができることは言うまでもない。
【0105】
(第3実施形態)
【0106】
図7は第3実施形態の通信機器を説明するための図、図8は第3実施形態の通信機器を説明するための別の図である。以下の説明において、図1~図6に示した構成と同様の構成には同一の参照符号を付し、重複した説明を省略する。
【0107】
図7及び図8に示した通信装置3は、クライアント装置10に加えてクライアント装置11(図7ご参照)を有し、サーバ装置70に加えてサーバ装置71(図8ご参照)を有する点で、図1~図6に示した通信装置と相違する。
【0108】
図7において、クライアント装置11は、クライアント装置10と同様に、種々の制御を行う制御部111と、第1通信規格を用いて第1通信機器20の第1通信用第2ポートP21bにコネクション可能な第1ポートP11bを有する。
【0109】
制御部111は、第1通信機器20の第1通信用第2ポートP21bから供給されるデータ等を第1ポートP11bで受信し、第1ポートP11bから第1通信用第2ポートP21bにデータ等を送信することができる。
【0110】
第1通信機器20の制御部210は、第2通信用第1ポートP22aから受信したデータ等を第1通信用第1ポートP21aから送信し、第2通信用第2ポートP22bから受信したデータ等を第1通信用第2ポートP21bから送信するように制御する。
【0111】
また、制御部210は、第1通信用第1ポートP21aが受信したデータ等を第2通信用第1ポートP22aから送信し、第1通信用第2ポートP21bが受信したデータ等を第2通信用第2ポートP22bから送信するように制御する。
【0112】
【0113】
第1ルータ30の制御部310は、第1通信機器20の第2通信用第1ポートP22aから供給されたデータ等を第1ポートP31aで受信して第2ポートP32aからインターネット40に送信し、第1通信機器20の第2通信用第2ポートP22bから供給されたデータ等を第1ポートP31bで受信して第2ポートP32bからインターネット40に送信する制御を行う。
【0114】
また、制御部310は、インターネット40から供給されたデータ等を第2ポートP32aで受信して第1ポートP31aから第2通信用第1ポートP22aに送信し、
インターネット40から供給されたデータ等を第2ポートP32bで受信して第1ポートP31bから第2通信用第2ポートP22bに送信する制御を行う。
インターネット40から供給されたデータ等を第2ポートP32bで受信して第1ポートP31bから第2通信用第2ポートP22bに送信する制御を行う。
【0115】
図8において、第2ルータ50の制御部510は、第1ルータ30の第2ポートP32aからインターネット40に供給されたデータ等を第1ポートP51aで受信して第2ポートP52aから第2通信機器60の第2通信用第1ポートP62aに送信し、第1ルータ30の第2ポートP32bからインターネット40に供給されたデータ等を第1ポートP51bで受信して第2ポートP52bから第2通信機器60の第2通信用第2ポートP62bに送信する制御を行う。
【0116】
また、制御部510は、第2通信機器60の第2通信用第1ポートP62aから供給されたデータ等を第2ポートP52aで受信して第1ポートP51aから(インターネット40を介して)第1ルータ30の第2ポートP32aに送信し、第2通信機器60の第2通信用第2ポートP62bから供給されたデータ等を第2ポートP52bで受信して第1ポートP51bから(インターネット40を介して)第1ルータ30の第2ポートP32bに送信する制御を行う。
【0117】
第2通信機器60の制御部610は、第2通信用第1ポートP62aから受信したデータ等を第1通信用第1ポートP61aから送信し、第2通信用第2ポートP62bから受信したデータ等を第1通信用第2ポートP61bから送信する制御を行う。
【0118】
また、制御部610は、第1通信用第1ポートP61aから受信したデータ等を第2通信用第1ポートP62aから送信し、第1通信用第2ポートP61bから受信したデータ等を第2通信用第2ポートP62bから送信する制御を行う。
【0119】
サーバ装置71は、サーバ装置70と同様に、種々の制御を行う制御部711と、第1通信規格を用いて第2通信機器60の第1通信用第2ポートP61bにコネクション可能な第1ポートP71bを有する。第1ポートP71bは、第1通信用第2ポートP61bからデータ等を受信し、第1通信用第2ポートP61bにデータ等を送信することができる。
【0120】
上述した本実施形態の通信装置3は、クライアント装置10及びサーバ装置70に加えてクライアント装置11及びサーバ装置71を有するので、クライアント装置10、11及びサーバ装置70、71を用いた好適な制御をすることができる。
【0121】
本実施形態では、2個のクライアント装置と2個のサーバ装置70とを用いる場合を例にして説明したがこれに限定されるものではない。例えば、1個のクライアント装置と複数個のサーバ装置70とを用いても良いし、複数個のクライアント装置と1個のサーバ装置70とを用いても良いし、1個のクライアント装置と1個のサーバ装置70とを用いても良い。
【0122】
また、上述した実施形態では、1個の第1ルータ30と、1個の第2ルータ50とを用いる場合を例にして説明したがこれに限定されるものではない。第1ルータ30及び第2ルータ50の少なくとも一方が複数であっても良いことは言うまでもない。
【0123】
上述した各実施形態の構成は互いに組み合わせることができる。上記では、種々の実施の形態及び変形例を説明したが、本発明はこれらの内容に限定されるものではない。例えば、上述した各実施形態の構成を互いに組み合わせたもの、本発明の技術的思想の範囲内で考えられるその他の態様も本発明の範囲内に含まれる。
【産業上の利用可能性】
【0124】
本発明によれば、好適な通信制御を実現できる通信機器、及び、通信装置を提供することができる。
【符号の説明】
【0125】
1 通信装置
10 クライアント装置
20 第1通信機器
30 第1ルータ
50 第2ルータ
60 第2通信機器
70 サーバ装置
10 クライアント装置
20 第1通信機器
30 第1ルータ
50 第2ルータ
60 第2通信機器
70 サーバ装置
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
