JP2005303784A - サーバ装置、要求発行機器、要求受諾機器、通信システム、通信方法及びプログラム - Google Patents

サーバ装置、要求発行機器、要求受諾機器、通信システム、通信方法及びプログラム Download PDF

Info

Publication number
JP2005303784A
JP2005303784A JP2004118812A JP2004118812A JP2005303784A JP 2005303784 A JP2005303784 A JP 2005303784A JP 2004118812 A JP2004118812 A JP 2004118812A JP 2004118812 A JP2004118812 A JP 2004118812A JP 2005303784 A JP2005303784 A JP 2005303784A
Authority
JP
Japan
Prior art keywords
request
communication
common key
connection
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004118812A
Other languages
English (en)
Inventor
Junji Yoshida
順二 吉田
信二 ▲浜▼井
Shinji Hamai
Chiyoko Matsumi
知代子 松見
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP2004118812A priority Critical patent/JP2005303784A/ja
Publication of JP2005303784A publication Critical patent/JP2005303784A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 LANを介してインターネットに接続された機器同士で、不正アクセスができないピアツーピア通信を容易に実現する。
【解決手段】 要求受諾機器103は、要求受諾機器103の接続許可機器リストをサーバ装置101に予め送信し、サーバ装置101は、送信された要求受諾機器103の接続許可機器リストを記憶する。要求発行機器102は、要求発行機器102の機器IDを含む接続要求パケット227をサーバ装置101に送信し、サーバ装置101は、記憶された要求受諾機器103の接続許可機器リストが要求発行機器102を含むとき、要求受諾機器103に接続要求パケット236を送信する。要求受諾機器103は、接続要求パケット236に応答してTCP接続開始パケット213を要求発行機器102に送信し、要求発行機器102は、TCP接続開始パケット213に応答して要求受諾機器103との間の通信を受諾して通信を開始する。
【選択図】図2

Description

本発明は、TCP/IPプロトコル群を用いた通信システムであり、例えばインターネット等のネットワークに接続された機器間においてピアツーピア接続による通信を行うためのサーバ装置と、接続要求信号を発行する要求発行機器と、接続要求信号を受諾する要求受諾機器と、サーバ装置、要求発行機器及び要求受諾機器を含む通信システムと、通信方法とに関する。本発明はさらに、上記通信方法に係る各ステップを含むプログラムに関する。
近年、xDSLや光ファイバケーブルなどのブロードバンド環境が整ったことにより、企業、一般家庭を問わずインターネットが急速に普及してきている。また、パーソナルコンピュータ(PC)だけでなく、テレビジョン受像機やDVDレコーダなどのAV機器や、エアコンディショナー、冷蔵庫のような白物家庭電気製品もインターネットに接続できるようになってきている。本願明細書では、上記インターネットなどのネットワークに接続されて通信を行う機器を、「通信機器」又は「機器」という。
家庭や企業内のローカルエリアネットワーク(以下、LANという。)からインターネットに接続する場合には、ネットワーク・アドレス変換(Network Address Translation;以下、NATという。)機能やネットワーク・アドレス・ポート変換(Network Address Port Translation;以下、NAPTという。)機能を有するルータ装置を用いるのが一般的になっている。
インターネットに接続された機器間において通信を行う場合には、機器毎に一意に割り当てられたグローバルIPアドレスが使用される。しかし、インターネットに接続する機器の急増により、グローバルIPアドレスの数が不足する傾向にある。そのため、インターネットに直接的には接続されずにLANを介してインターネットに接続された機器においては、RFC1918により規定されたLAN内においてのみ一意であるプライベートIPアドレスが使用されることが多い。ただし、プライベートIPアドレスはインターネット上においては一意ではなく、またその使用を許されていないため、プライベートIPアドレスを有する機器は、そのままではインターネットに接続された他の機器との通信ができない。
NATもしくはNAPT機能は、こうした問題を解決するもので、プライベートIPアドレスとグローバルIPアドレスの相互変換を行い、LANに接続されかつプライベートIPアドレスが割り当てられた機器が、インターネットに接続された他の機器と通信を行えるようにする。
以下、NAPT機能の仕組みについて、図15乃至図17を用いて説明する。
図15は、従来技術に係る通信システムのネットワーク構成の一例を示すブロック図である。図15において、要求受諾機器13とNAPT機能を有するルータ装置104とはLAN106を介して接続され、ルータ装置104は、そのWAN側のポートにおいてインターネット(WAN)105に接続されている。サーバ装置11と、要求発行機器12もまた、インターネット(WAN)105に接続されている。
本願明細書では、いわゆるインターネットをLANと明確に区別するために、インターネットをWAN(Wide Area Network)と表記することにする。
図16は、NAPT機能を用いた通信の通信シーケンス図の一例である。図16において、パケット21は、要求受諾機器13からルータ装置104に送信されるパケットであり、パケット23は、ルータ装置104においてパケット21に対して往路変換処理のステップS22を実行することにより、ルータ装置104からサーバ装置11に送信されるパケットである。同様に、パケット25は、サーバ装置11からルータ装置104に送信されるパケットであり、パケット27は、ルータ装置104においてパケット25に対して復路変換処理のステップS26を実行することにより、ルータ装置104から要求受諾機器13に送信されるパケットである。また、図17は、ルータ装置104のNAPTテーブルの一例を示す表であり、ルータ装置104内のテーブルメモリ(図示せず。)には、このNAPTテーブルの内容が記憶されている。
ここで、図15に示されたように、サーバ装置11にはグローバルIPアドレス“130.74.23.6”が割り当てられ、ルータ装置104のWAN側にはグローバルIPアドレス“202.204.16.13”が割り当てられており、また要求受諾機器13にはプライベートIPアドレス“192.168.1.3”が割り当てられているものとする。
インターネット上においての通信に用いられるIPパケットには、送信元(ソース)を特定する発信元IPアドレスフィールド(以下、SAという。)と、宛先(ディスティネーション)を指定する宛先IPアドレスフィールド(以下、DAという。)が含まれている。また、通信プロトコルとして、TCP(Transmission Control Protocol)やUDP(User Datagram Protocol)を使用する場合には、IPパケットには、さらに送信元(ソース)のポート番号である発信元ポート番号フィールド(以下、SPという。)と宛先(ディスティネーション)のポート番号である宛先ポート番号フィールド(以下、DPという。)が含まれる。
要求受諾機器13が、サーバ装置11とTCP通信する場合には、例えば図16のようなパケット21をルータ装置104に送信する。パケット21には、発信元を特定するSA“192.168.1.3”及びSP“2000”と、宛先を示すDA“130.743.23.6”及びDP“1200”とが含まれている。
ルータ装置104は、受信したパケット21に往路変換処理のステップS22を実行し、処理後のパケット23を、宛先であるサーバ装置11に送信する。往路変換処理のステップS22において、ルータ装置104は、プライベートIPアドレスであるSA“192.168.1.3”を、ルータ装置104のWAN側グローバルIPアドレスである“202.204.16.13”に置換し、同時にSP“2000”をルータ装置104のWAN側ポート番号“3400”に置換する。このとき、ルータ装置104は、図17のように、IPアドレス“192.168.1.3”及び“202.204.16.13”とポート番号“2000”及び“3400”との組を、NAPTテーブルに保存しておく。
さて、サーバ装置11はパケット23を受信すると、所定の応答処理のステップS24を行った後、パケット23に対する応答として、パケット25をルータ装置104に送信する。パケット25には、発信元を特定するSA“130.743.23.6”及びSP“1200”と、宛先を示すDA“202.204.16.13”及びDP“3400”とが含まれている。
ルータ装置104は、パケット25を受信すると、NAPTテーブルを参照し、パケット25に復路変換処理のステップS26を実行し、処理後のパケット27を要求受諾機器13に送信する。復路変換処理のステップS26において、ルータ装置104は、まずNAPTテーブルからDA“202.204.16.13”とDP“3400”の組を参照する。ここではこの組は存在しているので、ルータ装置104は、パケット25上のDAを“202.204.16.13”から“192.168.1.3”に置換し、パケット25上のDPを“3400”から“2000”に置換する。
NAPTテーブル内のデータは、その通信が行われている間中は保持され、通信が終了すると破棄される。
以上の動作により、LANに接続されかつプライベートIPアドレスを持つ機器から、インターネットに接続された他の機器への通信を行うことができる。ただし、この場合だと、反対にインターネットに接続された機器から、LANに接続されかつプライベートIPアドレスを持つ機器への通信を開始することができない。
そこでこれを解決するために、静的NAPTと呼ばれる機能がある。すなわち、予め静的なNAPTテーブルをルータ装置104上に設定しておく。静的なNAPTテーブルの内容は、図17のNAPTテーブルと同様であるが、この場合WAN側のポート番号は、設定時に未使用のポート番号を指定しなければならない。静的NAPT機能を用いると、例えばインターネット側の機器から、設定されたグローバルIPアドレスとポート番号に対してパケットを送信すると、ルータ装置104が図16と同様にIPアドレスとポート番号の変換を行うことにより、LANに接続されかつプライベートIPアドレスを持つ要求受諾機器13にパケットが到達することになる。これにより、インターネットに接続された機器から、LANに接続されかつプライベートIPアドレスを持つ機器への通信を行えるようになる。
ところで、ルータ装置104のグローバルIPアドレスは常に一定であるとは限らない。例えば、PPP(Point-to-Point Protocol)を用いてインターネットサービスプロバイダと接続し、又はDHCP(Dynamic Host Configuration Protocol)によりIPアドレスが動的に割り当てられる場合には、インターネットに接続する毎にグローバルIPアドレスが変わることがある。このため、接続先機器のグローバルIPアドレスを把握しておくのは困難となる。また、静的NAPTを用いていると、通信していない間も、LANに接続された機器へのアクセスが可能となるため、セキュリティが低くなってしまう。
こうした課題を解決するための通信システムが、特許文献1において提案されており、以下、図15乃至図18を用いて、特許文献1において提案されている通信システムについて説明する。
図18は、図15の通信システムの通信シーケンスの一例を示すシーケンス図である。ここで、図15に示されたように、要求発行機器12には、グローバルIPアドレスとして“8.117.12.109”が割り当てられているものとする。また要求受諾機器13は、一意に割り当てられた機器IDを内部のメモリ(図示せず。)に格納しているものとする。
要求受諾機器13は、定期的に、機器IDをペイロードに持つ機器登録パケット31を、UDPを用いてサーバ装置11に送信する。UDPパケットである機器登録パケット31のSAには、要求受諾機器13のプライベートIPアドレスである“192.168.1.3”が書き込まれているが、機器登録パケット31がルータ装置104を通るときに、上記説明したようにNAPT機能によって機器登録パケット31のSAとSPが変換され、サーバ装置11に送信される。サーバ装置11は、受信した機器登録パケット31を参照し、ステップS32において要求受諾機器13の機器ID、グローバルIPアドレス及びポート番号の組を保存しておく。
要求受諾機器13は、定期的に機器登録パケット31をサーバ装置11に送信するため、ルータ装置104のグローバルIPアドレスもしくはWAN側ポート番号が変更になった場合でも、ステップS32や、同様のステップS32Aなどが実行されることにより、サーバ装置11に保存された要求受諾機器13の機器ID、グローバルIPアドレス及びポート番号の組は自動的に更新される。
一方、要求発行機器12が要求受諾機器13との通信を行いたい場合には、要求発行機器12は、まずサーバ装置11にTCP接続開始パケット33を送信することによってサーバ装置11とのTCP接続を確立し、接続相手である要求受諾機器13の機器IDを書き込んだ接続要求パケット34をサーバ装置11に送信する。サーバ装置11は、接続要求パケット34を受信すると、ステップS35において、内部のメモリ(図示せず。)に格納している機器IDリストを参照し、接続要求パケット34内に含まれた機器IDの情報と同じ機器IDの情報が存在すれば、この機器IDに関連付けられているIPアドレス及びポート番号が示す機器に対して、UDPを用いて接続要求通知パケット36を送信する。接続要求通知パケット36は、機器登録パケット31に対する応答としてルータ装置104に送信されるため、ルータ装置104においてIPアドレスとポート番号の変換が行われ、要求受諾機器13に到達できる。要求受諾機器13は、接続要求通知パケット36を受信すると、サーバ装置11に対してTCP接続開始パケット37を送信することによってサーバ装置11とのTCP接続を確立する。
以降、要求発行機器12が、TCP接続開始パケット33により開始されたTCP接続を用いてコマンド信号38をサーバ装置11に送信すると、サーバ装置11は、TCP接続開始パケット37により開始されたTCP接続を用いてコマンド信号38を要求受諾機器13に転送できるようになる。同様にして、要求受諾機器13が、TCP接続開始パケット37により開始されたTCP接続を用いてサーバ装置11にパケットを送信すると、サーバ装置11は、TCP接続開始パケット33により開始されたTCP接続を用いてこのパケットを要求発行機器12に転送する。
以上のようにして、サーバ装置11を中継することにより、インターネットに接続されかつグローバルIPアドレスを持つ機器である要求発行機器12と、LANに接続されかつプライベートIPアドレスを持つ機器である要求受諾機器13との間において、通信を行うことができるようになる。別のLANに接続された要求発行機器12が存在しかつ別のルータ装置を通してインターネットに接続されている場合でも、同様の動作により要求受諾機器13との通信を行える。
また、特許文献2では、インターネットに接続されかつグローバルIPアドレスをそれぞれ有するが、互いのグローバルIPアドレスを知らない機器間において直接伝送を行うための、すなわちピアツーピア伝送を行うための情報処理システムが開示されている。グローバルIPアドレスを有するクライアント間であるパーソナルコンピュータ同士の接続をピアツーピア接続とし、その他のクライアント間の接続を、サーバを経由したクライアント・サーバ型接続とさせる。ピアツーピア接続はサーバから取得した互いのグローバルIPアドレスに基づいて確立され、クライアント・サーバ型接続からピアツーピア型接続への一部遷移によって、サーバに対するトラフィックの一局集中を避けることができる。
特許3445986号公報。 特開2003−203023号公報。
上記説明した特許文献1記載の通信システムは、常にサーバ装置11経由により通信を行うため、例えば機器間において動画データのように大容量のデータを伝送しようとすると、サーバ装置11に多大な負荷がかかるという問題があった。特に複数組の通信が同時に行われると、複数台のサーバ装置により分散処理を行っても対応できない可能性もある。
また、特許文献2記載の情報処理システムは、グローバルIPアドレスを持つ機器同士でのみピアツーピア伝送を行うようになっており、LANに接続されかつプライベートIPアドレスを持つ機器の場合はピアツーピア伝送を行わないようになっている。
本発明の目的は以上の問題点を解決し、プライベートIPアドレスをそれぞれ有しかつ異なるLANを介してそれぞれインターネットに接続された機器間においてピアツーピア伝送を実現し、かつ不正アクセスを許さないサーバ装置、要求発行機器、要求受諾機器、通信システム及び通信方法を提供することにある。また、本発明の別の目的は、上記通信方法に係る各ステップを含むプログラムを提供することにある。
本願の第1の発明に係るサーバ装置は、ネットワークにそれぞれ接続された要求発行機器と要求受諾機器とを含む複数の機器と、上記ネットワークに接続されたサーバ装置とを備えた通信システムにおいて設けられ、上記要求発行機器から上記要求受諾機器への接続要求信号を転送するサーバ装置であって、
上記複数の機器のそれぞれについて、当該機器との接続の確立を許可する機器の機器IDにてなる接続許可機器リストを格納するための接続許可機器リスト格納手段を備え、
上記要求受諾機器から送信された上記要求受諾機器の接続許可機器リストを受信し、上記受信された上記要求受諾機器の接続許可機器リストを上記接続許可機器リスト格納手段に格納し、
上記要求受諾機器から定期的に送信される機器登録信号を受信し、
上記要求発行機器から送信される第1のTCP接続開始信号を受信することにより上記要求発行機器との間の第1のTCP接続を確立し、
上記確立された第1のTCP接続を用いて、上記要求発行機器の機器IDを含みかつ上記要求受諾機器との接続の確立を要求する第1の接続要求信号を上記要求発行機器から受信し、
上記受信された第1の接続要求信号に応答して、上記接続許可機器リスト格納手段に格納された上記要求受諾機器の接続許可機器リストが上記要求発行機器の機器IDを含むときに、上記機器登録信号に対する応答信号として上記要求受諾機器に第2の接続要求信号を送信することを特徴とする。
上記本願の第1の発明に係るサーバ装置において、
上記機器登録信号は上記要求受諾機器の機器IDを含み、
上記第1の接続要求信号は、上記要求受諾機器の機器IDと、上記要求発行機器に関連付けられたIPアドレス及びポート番号とをさらに含み、
上記サーバ装置は、
上記複数の機器にそれぞれ関連付けられたIPアドレス及びポート番号と、上記各機器の機器IDとからなる上記各機器に係る機器情報の組を含む機器情報リストを格納するための機器情報格納手段を備え、
上記機器登録信号に含まれた上記要求受諾機器の機器IDと、上記機器登録信号の発信元IPアドレス及び発信元ポート番号とを、上記要求受諾機器に係る機器情報の組として上記機器情報格納手段に格納し、
上記第1の接続要求信号に応答した後でありかつ上記第2の接続要求信号を送信する前に、上記接続許可機器リスト格納手段に格納された上記要求受諾機器の接続許可機器リストが上記要求発行機器の機器IDを含むときに、上記第1の接続要求信号に含まれた上記要求受諾機器の機器IDを、上記機器情報格納手段に格納している機器情報リストから検索し、上記機器情報リスト上で、上記第1の接続要求信号に含まれる要求受諾機器の機器IDと一致した機器IDを含む機器情報の組に係る機器を上記要求受諾機器として識別し、上記機器情報リスト上で、上記識別された要求受諾機器に係る機器情報の組に含まれるIPアドレス及びポート番号を上記要求受諾機器に関連付けられたIPアドレス及びポート番号として識別し、
上記識別された要求受諾機器に対して、上記識別されたIPアドレス及びポート番号を宛先として、上記受信された第1の接続要求信号に含まれる上記要求発行機器に関連付けられたIPアドレス及びポート番号を含む第2の接続要求信号を送信することを特徴とする。
上記本願の第1の発明に係るサーバ装置において、
上記識別された要求受諾機器に係る機器情報の組に含まれるIPアドレス及びポート番号を上記要求受諾機器に関連付けられたIPアドレス及びポート番号として識別した後であって、かつ上記要求受諾機器に上記第2の接続要求信号を送信する前に、上記要求受諾機器に第3の接続要求信号を送信し、上記第3の接続要求信号に対する応答信号として第2のTCP接続開始信号を上記要求受諾機器から受信することにより上記要求受諾機器との間において第2のTCP接続を確立し、
上記確立された第2のTCP接続を用いて、上記要求受諾機器に上記第2の接続要求信号を送信することを特徴とする。
上記本願の第1の発明に係るサーバ装置において、
送受信する信号を暗号化しかつ復号化するための第1及び第2の通信用共通鍵を生成し、上記第1の通信用共通鍵を用いて受信する信号の復号化を実行し、上記第2の通信用共通鍵を用いて送信する信号の暗号化を実行する第1の暗号通信手段と、上記サーバ装置の正当性を証明するためのサーバ証明書情報を格納した証明書情報格納手段とを備え、
上記第1の接続要求信号を受信する前に、上記要求発行機器に上記サーバ証明書情報を送信し、
上記要求発行機器から、上記サーバ証明書情報に応答して生成された第1の共通鍵作成情報を上記第1のTCP接続を用いて受信し、上記第1の共通鍵作成情報に応答して上記第1の暗号通信手段により第2の共通鍵作成情報を生成し、上記第1の共通鍵作成情報及び上記第2の共通鍵作成情報に基づいて上記第1の暗号通信手段により第1の通信用共通鍵を生成する一方、上記第2の共通鍵作成情報を上記要求発行機器に上記第1のTCP接続を用いて送信し、上記第1の通信用共通鍵と同一の通信用共通鍵を上記第1の共通鍵作成情報及び上記第2の共通鍵作成情報に基づいて上記要求発行機器に生成させることにより上記第1の通信用共通鍵を上記要求発行機器との間で共有し、
上記要求発行機器から、上記第1の通信用共通鍵を用いて暗号化された上記第1の接続要求信号を、上記第1のTCP接続を用いて受信し、上記受信された第1の接続要求信号を、上記第1の通信用共通鍵を用いて上記第1の暗号通信手段により復号化し、
上記第2の接続要求信号を送信する前に、上記要求受諾機器に上記サーバ証明書情報を送信し、
上記要求受諾機器から、上記サーバ証明書情報に応答して生成された第3の共通鍵作成情報を上記第2のTCP接続を用いて受信し、上記第3の共通鍵作成情報に応答して上記第1の暗号通信手段により第4の共通鍵作成情報を生成し、上記第3の共通鍵作成情報及び上記第4の共通鍵作成情報に基づいて上記第1の暗号通信手段により第2の通信用共通鍵を生成する一方、上記第4の共通鍵作成情報を上記要求受諾機器に上記第2のTCP接続を用いて送信し、上記第2の通信用共通鍵と同一の通信用共通鍵を上記第3の共通鍵作成情報及び上記第4の共通鍵作成情報に基づいて上記要求受諾機器に生成させることにより上記第2の通信用共通鍵を上記要求受諾機器との間で共有し、
上記第1の接続要求信号を受信した後であってかつ上記第2の接続要求信号を送信する前に、上記第2の通信用共通鍵を用いて上記第1の暗号通信手段により上記第2の接続要求信号を暗号化することを特徴とする。
本願の第2の発明に係る要求発行機器は、ネットワークにそれぞれ接続された要求発行機器と要求受諾機器とを含む複数の機器と、上記ネットワークに接続されたサーバ装置とを備えた通信システムにおいて設けられ、上記サーバ装置及び上記要求受諾機器と通信する要求発行機器であって、
上記サーバ装置に第1のTCP接続開始信号を送信することによって上記サーバ装置との間の第1のTCP接続を確立し、
上記確立された第1のTCP接続を用いて、上記要求発行機器の機器IDを含みかつ上記要求受諾機器との接続の確立を要求する第1の接続要求信号を上記サーバ装置に送信し、
上記要求受諾機器から送信されかつ上記要求発行機器と上記要求受諾機器との間の通信を要求する通信要求信号を受信し、上記受信された通信要求信号に応答して上記要求発行機器と上記要求受諾機器との間の通信を受諾し、上記要求受諾機器との間の通信を開始することを特徴とする。
上記本願の第2の発明に係る要求発行機器において、
上記第1の接続要求信号は、上記要求受諾機器の機器IDと、上記要求発行機器に関連付けられたIPアドレス及びポート番号とをさらに含むことを特徴とする。
上記本願の第2の発明に係る要求発行機器において、
上記要求受諾機器のパスワード情報を格納したパスワード情報格納手段を備え、
上記要求受諾機器との通信を開始した後に、上記要求発行機器のパスワード情報格納手段に格納された上記パスワード情報を上記要求受諾機器に送信することを特徴とする。
上記本願の第2の発明に係る要求発行機器において、
送受信する信号を暗号化しかつ復号化するための第1の通信用共通鍵を生成し、上記第1の通信用共通鍵を用いて送信する信号の暗号化を実行する第2の暗号通信手段と、上記サーバ装置の正当性を証明するためのサーバ証明書情報を認証する第1の証明書情報認証手段とを備え、
上記第1の接続要求信号を送信する前に、上記サーバ装置から上記サーバ証明書情報を受信し、
上記受信されたサーバ証明書情報を上記第1の証明書情報認証手段により認証し、上記受信されたサーバ証明書情報が正規であるか否かを確認し、
上記受信されたサーバ証明書情報を正規であると確認したとき、上記第2の暗号通信手段により第1の共通鍵作成情報を生成し、上記生成された第1の共通鍵作成情報を上記第1のTCP接続を用いて上記サーバ装置に送信し、上記サーバ装置から、上記第1の共通鍵作成情報に応答して生成された第2の共通鍵作成情報を上記第1のTCP接続を用いて受信し、上記第1の共通鍵作成情報及び上記第2の共通鍵作成情報に基づいて上記第2の暗号通信手段により第1の通信用共通鍵を生成する一方、上記第1の通信用共通鍵と同一の通信用共通鍵を上記第1の共通鍵作成情報及び上記第2の共通鍵作成情報に基づいて上記サーバ装置に生成させることにより上記第1の通信用共通鍵を上記サーバ装置との間で共有し、
上記第1の接続要求信号を送信する前に、上記第1の通信用共通鍵を用いて上記第2の暗号通信手段により上記第1の接続要求信号を暗号化し、
上記暗号化された上記第1の接続要求信号を上記第1のTCP接続を用いて上記サーバ装置に送信することを特徴とする。
本願の第3の発明に係る要求発行機器は、ネットワークにそれぞれ接続された要求発行機器と要求受諾機器とを含む複数の機器と、上記ネットワークに接続されたサーバ装置とを備えた通信システムにおいて設けられ、上記サーバ装置及び上記要求発行機器と通信する要求受諾機器であって、
上記要求受諾機器との接続の確立を許可する機器の機器IDにてなる上記要求受諾機器の接続許可機器リストを上記サーバ装置に予め送信し、
機器登録信号を上記サーバ装置に定期的に送信し、
上記機器登録信号に対する応答信号として第2の接続要求信号を上記サーバ装置から受信し、
上記受信された第2の接続要求信号に応答して、上記要求受諾機器と上記要求発行機器との間の通信を要求する通信要求信号を上記要求発行機器に送信し、
上記要求発行機器が上記通信要求信号に応答して上記要求受諾機器と上記要求発行機器との間の通信を受諾した後に、上記要求発行機器との通信を開始することを特徴とする。
上記本願の第3の発明に係る要求受諾機器において、
上記要求受諾機器は、上記機器登録信号に上記要求受諾機器の機器IDを付加して上記サーバ装置に送信し、
上記第2の接続要求信号は、上記要求発行機器に関連付けられたIPアドレス及びポート番号を含み、
上記要求受諾機器は、上記サーバ装置から受信された上記第2の接続要求信号に含まれる上記要求発行機器に関連付けられたIPアドレス及びポート番号を宛先として上記通信要求信号を送信することを特徴とする。
上記本願の第3の発明に係る要求受諾機器において、
上記機器登録信号を上記サーバ装置に送信した後であって上記第2の接続要求信号を受信する前に、上記機器登録信号に対する応答信号として上記サーバ装置から第3の接続要求信号を受信し、上記第3の接続要求信号に対する応答信号として第2のTCP接続開始信号を上記サーバ装置に送信することにより上記サーバ装置との間において第2のTCP接続を確立し、
上記確立された第2のTCP接続を用いて上記サーバ装置から上記第2の接続要求信号を受信することを特徴とする。
上記本願の第3の発明に係る要求受諾機器において、
上記要求受諾機器のパスワード情報を格納したパスワード情報格納手段を備え、
上記要求発行機器との間の通信を開始した後に、上記要求発行機器から送信されたパスワード情報を受信し、
上記受信されたパスワード情報が、上記要求受諾機器のパスワード情報格納手段に格納された上記パスワード情報と一致しているときに上記要求発行機器との通信を継続する一方、一致しないときには上記通信を中止することを特徴とする。
上記本願の第3の発明に係る要求受諾機器において、
送受信する信号を暗号化しかつ復号化するための第2の通信用共通鍵を生成し、上記第2の通信用共通鍵を用いて受信する信号の復号化を実行する第3の暗号通信手段と、上記サーバ装置の正当性を証明するためのサーバ証明書情報を認証する第2の証明書情報認証手段とを備え、
上記第2の接続要求信号を受信する前に、上記サーバ装置から上記サーバ証明書情報を受信し、
上記受信されたサーバ証明書情報を上記第2の証明書情報認証手段により認証し、上記受信されたサーバ証明書情報が正規であるか否かを確認し、
上記受信されたサーバ証明書情報を正規であると確認したとき、上記第3の暗号通信手段により第3の共通鍵作成情報を生成し、上記生成された第3の共通鍵作成情報を上記第2のTCP接続を用いて上記サーバ装置に送信し、上記サーバ装置から、上記第3の共通鍵作成情報に応答して生成された第4の共通鍵作成情報を上記第2のTCP接続を用いて受信し、上記第2の共通鍵作成情報及び上記第4の共通鍵作成情報に基づいて上記第3の暗号通信手段により第2の通信用共通鍵を生成する一方、上記第2の通信用共通鍵と同一の通信用共通鍵を上記第3の共通鍵作成情報及び上記第4の共通鍵作成情報に基づいて上記サーバ装置に生成させることにより上記第2の通信用共通鍵を上記サーバ装置との間で共有し、
上記サーバ装置から、上記第2の通信用共通鍵を用いて暗号化された上記第2の接続要求信号を、上記第2のTCP接続を用いて受信し、上記受信された第2の接続要求信号を、上記第2の通信用共通鍵を用いて上記第3の暗号通信手段により復号化することを特徴とする。
本願の第4の発明に係る通信システムは、本願の第1の発明に係るサーバ装置と、本願の第2の発明に係る要求発行機器及び本願の第3の発明に係る要求受諾機器を含む複数の機器とを備えた通信システムであって、
上記複数の機器と上記サーバ装置とはそれぞれネットワークに接続されたことを特徴とする。
本願の第5の発明に係るサーバ装置の通信方法は、ネットワークにそれぞれ接続された要求発行機器と要求受諾機器とを含む複数の機器と、上記ネットワークに接続されたサーバ装置とを備えた通信システムにおいて設けられ、上記要求発行機器から上記要求受諾機器への接続要求信号を転送するサーバ装置の通信方法であって、
上記サーバ装置は、上記複数の機器のそれぞれについて、当該機器との接続の確立を許可する機器の機器IDにてなる接続許可機器リストを格納するための接続許可機器リスト格納手段を備え、
上記通信方法は、
上記要求受諾機器から送信された上記要求受諾機器の接続許可機器リストを受信し、上記受信された上記要求受諾機器の接続許可機器リストを上記接続許可機器リスト格納手段に格納するステップと、
上記要求受諾機器から定期的に送信される機器登録信号を受信するステップと、
上記要求発行機器から送信される第1のTCP接続開始信号を受信することにより上記要求発行機器との間の第1のTCP接続を確立するステップと、
上記確立された第1のTCP接続を用いて、上記要求発行機器の機器IDを含みかつ上記要求受諾機器との接続の確立を要求する第1の接続要求信号を上記要求発行機器から受信するステップと、
上記受信された第1の接続要求信号に応答して、上記接続許可機器リスト格納手段に格納された上記要求受諾機器の接続許可機器リストが上記要求発行機器の機器IDを含むときに、上記機器登録信号に対する応答信号として上記要求受諾機器に第2の接続要求信号を送信するステップとを含むことを特徴とする。
上記本願の第5の発明に係る通信方法において、
上記機器登録信号は上記要求受諾機器の機器IDを含み、
上記第1の接続要求信号は、上記要求受諾機器の機器IDと、上記要求発行機器に関連付けられたIPアドレス及びポート番号とをさらに含み、
上記サーバ装置は、上記複数の機器にそれぞれ関連付けられたIPアドレス及びポート番号と、上記各機器の機器IDとからなる上記各機器に係る機器情報の組を含む機器情報リストを格納するための機器情報格納手段を備え、
上記通信方法は、
上記機器登録信号に含まれた上記要求受諾機器の機器IDと、上記機器登録信号の発信元IPアドレス及び発信元ポート番号とを、上記要求受諾機器に係る機器情報の組として上記機器情報格納手段に格納するステップと、
上記第1の接続要求信号に応答した後でありかつ上記第2の接続要求信号を送信する前に、上記接続許可機器リスト格納手段に格納された上記要求受諾機器の接続許可機器リストが上記要求発行機器の機器IDを含むときに、上記第1の接続要求信号に含まれた上記要求受諾機器の機器IDを、上記機器情報格納手段に格納している機器情報リストから検索し、上記機器情報リスト上で、上記第1の接続要求信号に含まれる要求受諾機器の機器IDと一致した機器IDを含む機器情報の組に係る機器を上記要求受諾機器として識別し、上記機器情報リスト上で、上記識別された要求受諾機器に係る機器情報の組に含まれるIPアドレス及びポート番号を上記要求受諾機器に関連付けられたIPアドレス及びポート番号として識別するステップと、
上記識別された要求受諾機器に対して、上記識別されたIPアドレス及びポート番号を宛先として、上記受信された第1の接続要求信号に含まれる上記要求発行機器に関連付けられたIPアドレス及びポート番号を含む第2の接続要求信号を送信するステップとをさらに含むことを特徴とする。
上記本願の第5の発明に係る通信方法において、
上記識別された要求受諾機器に係る機器情報の組に含まれるIPアドレス及びポート番号を上記要求受諾機器に関連付けられたIPアドレス及びポート番号として識別した後であって、かつ上記要求受諾機器に上記第2の接続要求信号を送信する前に、上記要求受諾機器に第3の接続要求信号を送信し、上記第3の接続要求信号に対する応答信号として第2のTCP接続開始信号を上記要求受諾機器から受信することにより上記要求受諾機器との間において第2のTCP接続を確立するステップと、
上記確立された第2のTCP接続を用いて、上記要求受諾機器に上記第2の接続要求信号を送信するステップとをさらに含むことを特徴とする。
上記本願の第5の発明に係る通信方法において、
上記サーバ装置は、送受信する信号を暗号化しかつ復号化するための第1及び第2の通信用共通鍵を生成し、上記第1の通信用共通鍵を用いて受信する信号の復号化を実行し、上記第2の通信用共通鍵を用いて送信する信号の暗号化を実行する第1の暗号通信手段と、上記サーバ装置の正当性を証明するためのサーバ証明書情報を格納した証明書情報格納手段とを備え、
上記通信方法は、
上記第1の接続要求信号を受信する前に、上記要求発行機器に上記サーバ証明書情報を送信するステップと、
上記要求発行機器から、上記サーバ証明書情報に応答して生成された第1の共通鍵作成情報を上記第1のTCP接続を用いて受信し、上記第1の共通鍵作成情報に応答して上記第1の暗号通信手段により第2の共通鍵作成情報を生成し、上記第1の共通鍵作成情報及び上記第2の共通鍵作成情報に基づいて上記第1の暗号通信手段により第1の通信用共通鍵を生成する一方、上記第2の共通鍵作成情報を上記要求発行機器に上記第1のTCP接続を用いて送信し、上記第1の通信用共通鍵と同一の通信用共通鍵を上記第1の共通鍵作成情報及び上記第2の共通鍵作成情報に基づいて上記要求発行機器に生成させることにより上記第1の通信用共通鍵を上記要求発行機器との間で共有するステップと、
上記要求発行機器から、上記第1の通信用共通鍵を用いて暗号化された上記第1の接続要求信号を、上記第1のTCP接続を用いて受信し、上記受信された第1の接続要求信号を、上記第1の通信用共通鍵を用いて上記第1の暗号通信手段により復号化するステップと、
上記第2の接続要求信号を送信する前に、上記要求受諾機器に上記サーバ証明書情報を送信するステップと、
上記要求受諾機器から、上記サーバ証明書情報に応答して生成された第3の共通鍵作成情報を上記第2のTCP接続を用いて受信し、上記第3の共通鍵作成情報に応答して上記第1の暗号通信手段により第4の共通鍵作成情報を生成し、上記第3の共通鍵作成情報及び上記第4の共通鍵作成情報に基づいて上記第1の暗号通信手段により第2の通信用共通鍵を生成する一方、上記第4の共通鍵作成情報を上記要求受諾機器に上記第2のTCP接続を用いて送信し、上記第2の通信用共通鍵と同一の通信用共通鍵を上記第3の共通鍵作成情報及び上記第4の共通鍵作成情報に基づいて上記要求受諾機器に生成させることにより上記第2の通信用共通鍵を上記要求受諾機器との間で共有するステップと、
上記第1の接続要求信号を受信した後であってかつ上記第2の接続要求信号を送信する前に、上記第2の通信用共通鍵を用いて上記第1の暗号通信手段により上記第2の接続要求信号を暗号化するステップとをさらに含むことを特徴とする。
本願の第6の発明に係る要求発行機器の通信方法は、ネットワークにそれぞれ接続された要求発行機器と要求受諾機器とを含む複数の機器と、上記ネットワークに接続されたサーバ装置とを備えた通信システムにおいて設けられ、上記サーバ装置及び上記要求受諾機器と通信する要求発行機器の通信方法であって、
上記サーバ装置に第1のTCP接続開始信号を送信することによって上記サーバ装置との間の第1のTCP接続を確立するステップと、
上記確立された第1のTCP接続を用いて、上記要求発行機器の機器IDを含みかつ上記要求受諾機器との接続の確立を要求する第1の接続要求信号を上記サーバ装置に送信するステップと、
上記要求受諾機器から送信されかつ上記要求発行機器と上記要求受諾機器との間の通信を要求する通信要求信号を受信し、上記受信された通信要求信号に応答して上記要求発行機器と上記要求受諾機器との間の通信を受諾し、上記要求受諾機器との間の通信を開始するステップとを含むことを特徴とする。
上記本願の第6の発明に係る通信方法において、
上記第1の接続要求信号は、上記要求受諾機器の機器IDと、上記要求発行機器に関連付けられたIPアドレス及びポート番号とをさらに含むことを特徴とする。
上記本願の第6の発明に係る通信方法において、
上記要求発行機器は、上記要求受諾機器のパスワード情報を格納したパスワード情報格納手段を備え、
上記通信方法は、上記要求受諾機器との通信を開始した後に、上記要求発行機器のパスワード情報格納手段に格納された上記パスワード情報を上記要求受諾機器に送信するステップをさらに含むことを特徴とする。
上記本願の第6の発明に係る通信方法において、
上記要求発行機器は、送受信する信号を暗号化しかつ復号化するための第1の通信用共通鍵を生成し、上記第1の通信用共通鍵を用いて送信する信号の暗号化を実行する第2の暗号通信手段と、上記サーバ装置の正当性を証明するためのサーバ証明書情報を認証する第1の証明書情報認証手段とを備え、
上記通信方法は、
上記第1の接続要求信号を送信する前に、上記サーバ装置から上記サーバ証明書情報を受信するステップと、
上記受信されたサーバ証明書情報を上記第1の証明書情報認証手段により認証し、上記受信されたサーバ証明書情報が正規であるか否かを確認するステップと、
上記受信されたサーバ証明書情報を正規であると確認したとき、上記第2の暗号通信手段により第1の共通鍵作成情報を生成し、上記生成された第1の共通鍵作成情報を上記第1のTCP接続を用いて上記サーバ装置に送信し、上記サーバ装置から、上記第1の共通鍵作成情報に応答して生成された第2の共通鍵作成情報を上記第1のTCP接続を用いて受信し、上記第1の共通鍵作成情報及び上記第2の共通鍵作成情報に基づいて上記第2の暗号通信手段により第1の通信用共通鍵を生成する一方、上記第1の通信用共通鍵と同一の通信用共通鍵を上記第1の共通鍵作成情報及び上記第2の共通鍵作成情報に基づいて上記サーバ装置に生成させることにより上記第1の通信用共通鍵を上記サーバ装置との間で共有するステップと、
上記第1の接続要求信号を送信する前に、上記第1の通信用共通鍵を用いて上記第2の暗号通信手段により上記第1の接続要求信号を暗号化するステップと、
上記暗号化された上記第1の接続要求信号を上記第1のTCP接続を用いて上記サーバ装置に送信するステップとをさらに含むことを特徴とする。
本願の第7の発明に係る要求受諾機器の通信方法は、ネットワークにそれぞれ接続された要求発行機器と要求受諾機器とを含む複数の機器と、上記ネットワークに接続されたサーバ装置とを備えた通信システムにおいて設けられ、上記サーバ装置及び上記要求発行機器と通信する要求受諾機器の通信方法であって、
上記要求受諾機器との接続の確立を許可する機器の機器IDにてなる上記要求受諾機器の接続許可機器リストを上記サーバ装置に予め送信するステップと、
機器登録信号を上記サーバ装置に定期的に送信するステップと、
上記機器登録信号に対する応答信号として第2の接続要求信号を上記サーバ装置から受信するステップと、
上記受信された第2の接続要求信号に応答して、上記要求受諾機器と上記要求発行機器との間の通信を要求する通信要求信号を上記要求発行機器に送信するステップと、
上記要求発行機器が上記通信要求信号に応答して上記要求受諾機器と上記要求発行機器との間の通信を受諾した後に、上記要求発行機器との通信を開始するステップとを含むことを特徴とする。
上記本願の第7の発明に係る通信方法において、
上記機器登録信号は上記要求受諾機器の機器IDを含み、
上記第2の接続要求信号は、上記要求発行機器に関連付けられたIPアドレス及びポート番号を含み、
上記通信方法は、上記サーバ装置から受信された上記第2の接続要求信号に含まれる上記要求発行機器に関連付けられたIPアドレス及びポート番号を宛先として上記通信要求信号を送信するステップをさらに含むことを特徴とする。
上記本願の第7の発明に係る通信方法において、
上記機器登録信号を上記サーバ装置に送信した後であって上記第2の接続要求信号を受信する前に、上記機器登録信号に対する応答信号として上記サーバ装置から第3の接続要求信号を受信し、上記第3の接続要求信号に対する応答信号として第2のTCP接続開始信号を上記サーバ装置に送信することにより上記サーバ装置との間において第2のTCP接続を確立するステップと、
上記確立された第2のTCP接続を用いて上記サーバ装置から上記第2の接続要求信号を受信するステップとをさらに含むことを特徴とする。
上記本願の第7の発明に係る通信方法において、
上記要求受諾機器は、上記要求受諾機器のパスワード情報を格納したパスワード情報格納手段を備え、
上記通信方法は、
上記要求発行機器との間の通信を開始した後に、上記要求発行機器から送信されたパスワード情報を受信するステップと、
上記受信されたパスワード情報が、上記要求受諾機器のパスワード情報格納手段に格納された上記パスワード情報と一致しているときに上記要求発行機器との通信を継続する一方、一致しないときには上記通信を中止するステップとをさらに含むことを特徴とする。
上記本願の第7の発明に係る通信方法において、
上記要求受諾機器は、送受信する信号を暗号化しかつ復号化するための第2の通信用共通鍵を生成し、上記第2の通信用共通鍵を用いて受信する信号の復号化を実行する第3の暗号通信手段と、上記サーバ装置の正当性を証明するためのサーバ証明書情報を認証する第2の証明書情報認証手段とを備え、
上記通信方法は、
上記第2の接続要求信号を受信する前に、上記サーバ装置から上記サーバ証明書情報を受信するステップと、
上記受信されたサーバ証明書情報を上記第2の証明書情報認証手段により認証し、上記受信されたサーバ証明書情報が正規であるか否かを確認するステップと、
上記受信されたサーバ証明書情報を正規であると確認したとき、上記第3の暗号通信手段により第3の共通鍵作成情報を生成し、上記生成された第3の共通鍵作成情報を上記第2のTCP接続を用いて上記サーバ装置に送信し、上記サーバ装置から、上記第3の共通鍵作成情報に応答して生成された第4の共通鍵作成情報を上記第2のTCP接続を用いて受信し、上記第2の共通鍵作成情報及び上記第4の共通鍵作成情報に基づいて上記第3の暗号通信手段により第2の通信用共通鍵を生成する一方、上記第2の通信用共通鍵と同一の通信用共通鍵を上記第3の共通鍵作成情報及び上記第4の共通鍵作成情報に基づいて上記サーバ装置に生成させることにより上記第2の通信用共通鍵を上記サーバ装置との間で共有するステップと、
上記サーバ装置から、上記第2の通信用共通鍵を用いて暗号化された上記第2の接続要求信号を、上記第2のTCP接続を用いて受信し、上記受信された第2の接続要求信号を、上記第2の通信用共通鍵を用いて上記第3の暗号通信手段により復号化するステップとをさらに含むことを特徴とする。
本願の第8の発明に係る通信システムの通信方法は、上記サーバ装置と、上記要求発行機器及び上記要求受諾機器を含む複数の機器とを備えた通信システムの通信方法であって、
上記複数の機器と上記サーバ装置とはそれぞれネットワークに接続され、
本願の第5の発明に係る通信方法における各ステップと、本願の第6の発明に係る通信方法における各ステップと、本願の第7の発明に係る通信方法における各ステップとを含むことを特徴とする。
また、本願の第9の発明に係るプログラムは、上記通信方法のうちの1つに係る各ステップを含むことを特徴とする。
従って、本発明によれば、サーバ装置を利用することにより、プライベートIPアドレスをそれぞれ有しかつ異なったLANを介してそれぞれインターネットに接続された機器である要求発行機器と要求受諾機器との間において、ピアツーピア通信を実現でき、かつ不正アクセスを許さないサーバ装置、要求発行機器、要求受諾機器、通信システム及び通信方法を容易に提供することができる。本発明はさらに、インターネットに接続されたコンピュータ又は機器に読み込まれたときに上記通信方法に係る各ステップを当該コンピュータ又は機器に実行させる、上記通信方法に係る各ステップを含むプログラムとして提供することもできる。
以下、本発明の実施形態について図1乃至図10を参照して説明する。
図1は、本発明の実施形態に係る通信システムのネットワーク構成の一例を示すブロック図である。要求発行機器102とNAPT機能を有するルータ装置104aとは要求発行側LAN106aを介して接続され、ルータ装置104aは、そのWAN側のポートにおいてインターネット(WAN)105に接続されている。同様に、要求受諾機器103とNAPT機能を有するルータ装置104bとは要求受諾側LAN106bを介して接続され、ルータ装置104bは、そのWAN側のポートにおいてインターネット(WAN)105に接続されている。サーバ装置101もまたインターネット(WAN)105に接続されている。
本実施形態の通信システムによれば、インターネット105にそれぞれ接続された要求発行機器102と要求受諾機器103とを含む複数の機器と、インターネット105に接続されたサーバ装置101とを備え、要求発行機器102から要求受諾機器103への接続要求信号をサーバ装置101が転送し、要求発行機器102と要求受諾機器103との間で通信を行う通信システムが提供される。この通信システムにおいて、サーバ装置101は、上記複数の機器にそれぞれ関連付けられたIPアドレス及びポート番号と、上記各機器の機器IDとからなる上記各機器に係る機器情報の組を含む図10の機器情報リストを格納するための機器情報格納手段又はテーブルメモリ(図示せず。)を備え、要求受諾機器103は、要求受諾機器103に係る機器情報の組を含む機器登録パケット201をサーバ装置101に定期的に送信し、サーバ装置101は、機器登録パケット201を受信し、図2のステップS202において、この受信された機器登録パケット201に含まれる要求受諾機器103に係る機器情報の組を上記機器情報格納手段に格納する。要求受諾機器103は、要求受諾機器103との接続の確立を許可する機器の機器IDにてなる要求受諾機器103の接続許可機器リストを含む接続許可機器登録パケット204をサーバ装置101に予め送信し、サーバ装置101は、接続許可機器リスト格納手段を有し(本実施形態では、機器情報リストと同じテーブルメモリを共用する。)、要求受諾機器103から送信された接続許可機器登録パケット204に含まれる要求受諾機器103の接続許可機器リストを接続許可機器リスト格納手段に格納する。要求発行機器102は、要求受諾機器103との通信を行う際に、まず、第1の接続要求シーケンスのステップS206を実行し、ステップS206では、サーバ装置101にTCP接続開始パケット221を送信することによってサーバ装置101との間の第1のTCP接続を確立し、確立された第1のTCP接続を用いて、要求発行機器102の機器IDを含みかつ要求受諾機器103との接続の確立を要求する接続要求パケット227をサーバ装置101に送信する。サーバ装置101は、要求発行機器102から送信された接続要求パケット227に応答して、接続許可機器リスト格納手段に格納された要求受諾機器103の接続許可機器リストが要求発行機器102の機器IDを含むときに、機器登録パケット201に対する応答信号として要求受諾機器103に接続要求パケット236を送信する。要求受諾機器103は、サーバ装置101から送信された接続要求パケット236に応答して、要求発行機器102と要求受諾機器103との間の通信を要求する通信要求信号としてTCP接続要求パケット213を要求発行機器102に送信し、要求発行機器102が、要求受諾機器103から送信されたTCP接続開始パケット213に応答して要求発行機器102と要求受諾機器103との間の通信を受諾すると、要求受諾機器103と要求発行機器102との間の通信を開始する。
本実施形態において、サーバ装置101、要求発行機器102及び要求受諾機器103は、専用の通信機器として構成されてもよく、又は、以下に説明される複数のステップを実行するためのプログラムによって動作される汎用のコンピュータとして構成されてもよい。
本実施形態においては、図1に示すように、サーバ装置101にはグローバルIPアドレスとして“130.74.23.6”が割り当てられ、サーバ装置101は、それ自体のグローバルIPアドレスを格納したメモリ(図示せず。)と、機器情報リストを格納したテーブルメモリ(図示せず。)とを備えているものとする。要求発行機器102にはプライベートIPアドレスとして“192.168.1.11”が割り当てられ、要求受諾機器103にはプライベートIPアドレスとして“192.168.1.3”が割り当てられ、要求発行機器102は、それ自体のプライベートIPアドレス及びポート番号を格納したメモリ(図示せず。)を備え、要求受諾機器103は、それ自体のプライベートIPアドレス及びポート番号を格納したメモリ(図示せず。)を備えているものとする。ルータ装置104aにはグローバルIPアドレスとして“4.17.168.2”が割り当てられ、ルータ装置104bにはグローバルIPアドレスとして“202.204.16.13”が割り当てられているものとする。ルータ装置104aは、そのWAN側のポート番号及びそのグローバルIPアドレスと、要求発行機器102のプライベートIPアドレス及びポート番号とを含む、図17と同様のNAPTテーブル(図6を参照)の内容をその内部のテーブルメモリ(図示せず。)に格納している。ルータ装置104bもまた、そのWAN側のポート番号及びそのグローバルIPアドレスと、要求受諾機器103のプライベートIPアドレス及びポート番号とを含むNAPTテーブルの内容をその内部のテーブルメモリ(図示せず。)に格納している。
また、要求発行機器102は、一意に割り当てられた機器ID“1051”をその内部のメモリに格納し、要求受諾機器103は、一意に割り当てられた機器ID“2133”をその内部のメモリに格納しているものとする。この機器IDは、ピアツーピア通信を行う本実施形態の各機器に対して一意に定められた識別情報であって、例えば、当該機器の製造業者によって割り当てられた識別番号、又はMACアドレスを用いることが可能であるが、それらに限定されない。
さらに要求受諾機器103は、秘密情報であるパスワードをその内部のメモリに格納しているものとする。後述するように要求受諾機器103とのピアツーピア通信を行うことを希望する要求発行機器102は、要求受諾機器102のパスワード及び機器IDと、ルータ装置104aのグローバルIPアドレス及びWAN側ポート番号とを予め取得して内部のメモリに格納しておく必要がある。
図2乃至図4は、図1の通信システムにおいて実行される通信シーケンスの一例を示すシーケンス図である。また、図7乃至図9に、図2乃至図4の通信シーケンスにおいて用いるいくつかのパケットの一例が示されている。
要求受諾機器103は、定期的に、又は所定の周期を有して周期的に、機器IDをペイロードに持つ機器登録パケット201を、UDPを用いてサーバ装置101に送信する。図7(a)に示すように、要求受諾側LAN106b内において、機器登録パケット201のSAには“192.168.1.3”が書き込まれ、SPには“2000”が書き込まれている。機器登録パケット201はルータ装置104bを介してサーバ装置101に送信され、機器登録パケット201がルータ装置104bを通るときに、ルータ装置104bは、そのNAPT機能により、機器登録パケット201上のSAを“202.204.16.13”に変換し、機器登録パケット201上のSPを“3400”に変換する。図7(b)に示された、NAPT機能によって変換された後の機器登録パケット201は、インターネット(WAN)105経由によりサーバ装置101に送信される。
サーバ装置101は、インターネット(WAN)105に接続された複数の機器にそれぞれ関連付けられたIPアドレス及びポート番号、並びに上記各機器の機器IDからなる上記各機器に係る機器情報の組を含む機器情報リストを格納するためのテーブルメモリ(図示せず。)を備えている。サーバ装置101は、受信した機器登録パケット201のSA、SP及びペイロードを参照し、ステップS202において、要求受諾機器103の機器IDと、ルータ装置104bのグローバルIPアドレスと、ルータ装置104bのWAN側のポート番号との組を、要求受諾機器103に対応する機器情報の組(すなわち機器情報リストの項目)として、サーバ装置101内のテーブルメモリに格納して保存する。本実施形態では、ルータ装置104bのグローバルIPアドレスとWAN側のポート番号とを、要求受諾機器103に関連付けられたIPアドレス及びポート番号として参照する。すなわち、サーバ装置101が要求受諾機器103に対してパケットを送信するときに、要求受諾機器103をインターネット105に接続するルータ装置104bのグローバルIPアドレス及びWAN側のポート番号を宛先として参照する。図10に、サーバ装置101内のテーブルメモリに格納した機器情報リストの一例を示す。
要求受諾機器103は、定期的に機器登録パケット201をサーバ装置101に送信するので、ルータ装置104bのグローバルIPアドレスもしくはWAN側ポート番号が変更になった場合でも、ステップS202が定期的に実行されることにより、サーバ装置101上の機器情報リストは自動的に更新される。
また、要求受諾機器103は、当該要求受諾機器103との接続の確立を許可する機器(以下、接続許可機器という。)のリストを、必要に応じてサーバ装置101に登録しておく。本実施形態では、図10の機器情報リストが各機器に係る機器情報の組に加えて各機器の接続許可機器のリストも含んでいるが、接続許可機器のリストは、機器情報の組とは別のメモリに格納されてもよい。本実施形態において、要求受諾機器103は、要求受諾機器103の接続許可機器として、要求発行機器102を含む。要求受諾機器103は、要求発行機器102を要求受諾機器103の接続許可機器として登録するため、サーバ装置101に対してTCP接続開始パケット203を送信することによってサーバ装置101との間のTCP接続を確立し、この確立されたTCP接続を用いて、例えば図7(c)及び(d)に示すような接続許可機器登録パケット204をサーバ装置101に送信する。接続許可機器登録パケット204には、要求受諾機器103の接続許可機器の機器IDリストが付加されており、図7(c)及び(d)に示されたパケット204には、要求発行機器102の機器IDである“1051”が付加されている。
本実施形態において、機器情報リストは、図10のように、登録された各機器毎に、当該機器の接続許可機器の機器IDリストをさらに含む。サーバ装置101は、接続許可機器登録パケット204を受信すると、ステップS205において、図10のように、機器情報リストにすでに登録されている要求受諾機器103の接続許可機器の機器IDの項目に、要求発行機器102の機器IDである“1051”を登録する。
一方、要求発行機器102が要求受諾機器103とのデータ通信を所望する場合には、このことを通知する接続要求メッセージを、サーバ装置101を介して要求受諾機器103に伝達する。要求発行機器102は、接続要求メッセージを要求受諾機器103に伝達するために、最初に、要求発行機器102とサーバ装置101との間において第1の接続要求シーケンスのステップS206を実行する。
第1の接続要求シーケンスのステップS206は、要求発行機器102及び要求受諾機器103の各機器ID、要求発行機器102に関連付けられたIPアドレス及びポート番号のような秘密情報を伝送する必要があるので、本実施形態ではSSLを用いて暗号化される。まず、後述の接続要求パケット227の送信などを暗号化するために用いられるSSL通信について図3及び図5を用いて説明する。
図5は、要求発行機器102及び要求受諾機器103に対してサーバ装置101の正当性を認証するための認証局装置51を示すブロック図であって、特に、サーバ装置101の正当性を証明するためのサーバ証明書データ65の配付及び認証方法を示す図である。図5では、ルータ装置104a及び104bなどは認証に関する説明では本質的ではないので省略した。図5において、認証局装置(CA)51は、固有のCA公開鍵52及びCA秘密鍵53のペアを認証局装置51のメモリ(図示せず。)に格納し、また、サーバ装置101は、固有のサーバ秘密鍵61及びサーバ公開鍵62のペアと、認証局装置51によって発行されたサーバ証明書データ65とを、サーバ装置101のメモリ(図示せず。)に格納している。サーバ証明書データ65は、サーバ公開鍵62と、認証局装置51によって生成された署名64とを備えて構成される。
図2の第1の接続要求シーケンスのステップS206及び第2の接続要求シーケンスのステップS212の処理を実行するために、まず予め、サーバ装置101は、以下に説明する処理に従って、認証局装置51からサーバ証明書データ65を発行してもらう必要がある。
認証局装置51は、予めCA公開鍵52とCA秘密鍵53のペアを格納したメモリ(図示せず。)を備えている。サーバ装置101は、まずサーバ公開鍵62とサーバ秘密鍵61のペアを生成する。サーバ装置101は、サーバ公開鍵62とサーバ装置101に関する情報とを、サーバ証明書データ要求パケット63として認証局装置51に送信し、サーバ証明書データ65の発行を依頼する。認証局装置51は、サーバ証明書データ要求パケット63を受信すると、CA秘密鍵53を用いて、サーバ装置101から受信した情報やその他必要な情報から署名64を生成し、サーバ装置101から受信した情報やその他必要な情報及び署名64を組み合わせたデータをサーバ証明書データ65としてサーバ装置101に対して発行する。発行されたサーバ証明書データ65は、サーバ証明書データ発行パケット54として、認証局装置51からサーバ装置101に送信される。サーバ装置101は、受信したサーバ証明書データ65をサーバ装置101の内部のメモリに格納しておく。
また、クライアント装置である要求発行機器102及び要求受諾機器103は、予め認証局装置51からCA公開鍵52を取得し、内部のメモリに格納しておく。なお、一般に、CA公開鍵52は、認証局装置51の情報などと合わせたCA証明書データパケット55の形態でクライアント装置(すなわちサーバ装置101と通信する他の機器)などに配布される。要求発行機器102及び要求受諾機器103は、後述のように、サーバ装置101からのサーバ証明書データパケット224を介してサーバ証明書データ65を受信すると、要求発行機器102及び要求受諾機器103のそれぞれの証明書情報認証処理部(図示せず。)を用いて、内部のメモリに格納しているCA公開鍵52でサーバ証明書データ65内の署名64を認証することにより、サーバ証明書データ65内のサーバ公開鍵62の正当性を確認することができる。
実際に、要求発行機器102とサーバ装置101の間においての秘密通信である第1の接続要求シーケンスのステップS206は、以下説明するように実行される。
図3は、第1の接続要求シーケンスS206の詳細な処理を示すシーケンス図であり、SSL通信を用いて接続要求パケット227を送信するためのフローを示す図である。図3において、参照番号73は秘密通信に用いる通信用共通鍵を示す。
サーバ装置101は、送受信する信号を暗号化しかつ復号化するための通信用共通鍵73及び83を生成し、生成した通信用共通鍵73を用いて、要求発行機器102との間で送受信する信号の暗号化及び復号化を実行し、通信用共通鍵83を用いて、要求受諾機器103との間で送受信する信号の暗号化及び復号化を実行する暗号通信処理部をさらに備えるものとする(図示せず。)。要求発行機器102は、送受信する信号を暗号化しかつ復号化するための通信用共通鍵73を生成し、生成した通信用共通鍵73を用いて、サーバ装置101との間で送受信する信号の暗号化及び復号化を実行する暗号通信処理部と、サーバ証明書データ65を認証する証明書情報認証処理部とをさらに備えるものとする(いずれも図示せず。)。
SSL通信において、クライアント側である要求発行機器102は、まず、TCP接続開始パケット221を、ルータ装置104aを介してサーバ装置101に送信することによって、TCP接続によるサーバ装置101との通信開始を要求する。ここで、図6に、ルータ装置104aの内部のメモリに格納しているNAPTテーブルの一例を示す。TCP接続開始パケット221がルータ装置104aを通るときに、ルータ装置104aは、そのNAPT機能を用いて、上記NAPTテーブルに従って、TCP接続開始パケット221上のSAを“192.168.1.11”から“4.17.168.2”に変換し、TCP接続開始パケット221上のSPを“1500”から“7000”に変換する。また、ルータ装置104aが要求発行機器102宛のパケットを受信するとき、当該パケットのDAに対して上記の変換と逆の変換を実行し、当該パケットのDPに対しても別の変換を実行して要求発行機器102に送信する。以下、本願明細書では、説明の簡単化のためにルータ装置104aのNAPT処理動作について言及することを省略するが、実際に要求発行機器102がインターネット(WAN)105上のサーバ装置101又は他の機器との間でパケットを送受信する際には、常にルータ装置104aを介して送受信し、常にルータ装置104aが当該パケットに対してNAPT処理を実行するものとする。
次いで、要求発行機器102とサーバ装置101は、暗号化仕様交渉のステップを実行することにより、秘密通信で用いる暗号化方式の仕様を相互に確認する。要求発行機器102は、最初に、TCP接続開始パケット221で確立されたTCP接続(以下、第1のTCP接続という。)を用いて、暗号化通信開始要求パケット(client_helloパケットともいう。)222をサーバ装置101に送信する。暗号化通信開始要求パケット222の中には、使用可能なSSLのバージョン、使用可能な暗号化方式のリスト、セッションIDなどが書き込まれ、その中に、要求発行機器102が生成した乱数ClientHello.randamも含まれている。サーバ装置101は、暗号化通信開始要求パケット222を受信し、通信を開始することを了承すると、第1のTCP接続を用いて暗号化通信開始応答パケット(server_helloパケットともいう。)223を要求発行機器102に送信する。この暗号化通信開始応答パケット223は、使用するSSLのバージョン(要求発行機器102とサーバ装置101との両方がサポートする中で最も高いバージョン)、セッションID、使用する暗号化方式などを含み、さらに、サーバ装置101において乱数ClientHello.randamと同様に生成された乱数ServerHello.randamを含んでいる。以下この第1の接続要求シーケンスのステップS206では、暗号化通信開始応答パケット223において指定されたSSLのバージョン及び暗号化方式が使用される。これらの乱数ClientHello.randam及びServerHello.randamは、32ビットのタイムスタンプと、28バイトの乱数(もしくは十分安全な疑似乱数)として、要求発行機器102とサーバ装置101それぞれが独立に生成する。これらの乱数ClientHello.randam及びServerHello.randamをそれぞれ含む暗号化通信開始要求パケット222及び暗号化通信開始応答パケット223は、暗号化されずに送信される。
次にサーバ装置101は、要求発行機器102にサーバ証明書データパケット224を送信する。要求発行機器102へのサーバ証明書データパケット224の送信は、暗号化通信開始応答パケット223送信の後に限らず、後述される要求発行機器側通信用共通鍵作成情報パケット225の受信の前であれば(例えば、第1の接続要求シーケンスのステップS206の前)、いつでもよい。要求発行機器102の証明書情報認証処理部は、上記説明したように、内部に格納しているCA公開鍵52を用いて、送信されたサーバ証明書データパケット224内のサーバ証明書データ65が正規のものであるか否かを確認する。
要求発行機器102は、その証明書情報認証処理部を用いて、送信されたサーバ証明書データ65が正規のものであると確認すると、要求発行機器側通信用共通鍵作成情報71及びサーバ装置側通信用共通鍵作成情報72の送受信を含む、共通鍵作成情報交換のステップを開始する。
共通鍵作成情報交換のステップにおいて、最初に、要求発行機器102は、要求発行機器102の暗号通信処理部により要求発行機器側通信用共通鍵作成情報71を生成して内部のメモリ(図示せず。)に格納するとともに、この生成された共通鍵作成情報71を含む要求発行機器側通信用共通鍵作成情報パケット225を、第1のTCP接続を用いてサーバ装置101に送信する。サーバ装置101は、送信された要求発行機器側通信用共通鍵作成情報パケット225に応答して、サーバ装置101の暗号通信処理部により、サーバ装置側通信用共通鍵作成情報72を生成して内部のメモリ(図示せず。)に格納するとともに、この生成された共通鍵作成情報72を含むサーバ装置側通信用共通鍵作成情報パケット226を、第1のTCP接続を用いて要求発行機器102に送信する。要求発行機器102及びサーバ装置101は、双方の共通鍵作成情報71及び72に基づいて、それぞれの暗号通信処理部により同一の通信用共通鍵73をそれぞれ生成する。これにより、要求発行機器102とサーバ装置101とで通信用共通鍵73を共有することができる。
共通鍵作成情報交換の実施形態は、SSLの鍵交換において使用される暗号化方式によって変化する。RSA暗号化方式を使用する場合において、要求発行機器102の暗号通信処理部は、要求発行機器側通信用共通鍵作成情報71として、プリマスタシークレット(Pre Master Secret:PMS)と呼ばれる48バイトの乱数を生成し、サーバ証明書データ65に含まれるサーバ公開鍵62を用いて上記生成されたPMSを暗号化する。次いで、要求発行機器102は、第1のTCP接続を用いて、暗号化されたPMSをサーバ装置101に送信する。サーバ装置101は暗号通信処理部を使用し、暗号化された状態で受信したPMSを、自分の持っているサーバ秘密鍵61を用いて復号化することによって、送信されたPMSを取得する。一方、サーバ装置側通信用共通鍵作成情報72の生成及び送信は省略される。サーバ装置101及び要求発行機器102は、このPMSを使って通信用共通鍵73を作成する(詳細後述)ことにより鍵共有を行う。
ディフィー−ヘルマン(Diffie-Hellman)暗号化方式を使用する場合は、要求発行機器102及びサーバ装置101は、ディフィー−ヘルマン鍵共有に用いるための2つのパラメータ(すなわち素数pとその素数の原始根g)について予め同意している。サーバ証明書パケット224を受信した後、要求発行機器102は乱数aを生成し、pを法とするgの最小の正の剰余を要求発行機器側通信用共通鍵作成情報71として計算し、この共通鍵作成情報71を含む要求発行機器側通信用共通鍵作成情報パケット225をサーバ装置101に送信する一方、サーバ装置101は乱数bを生成し、pを法とするgの最小の正の剰余をサーバ装置側通信用共通鍵作成情報72として計算し、この共通鍵作成情報72を含むサーバ装置側通信用共通鍵作成情報パケット226を要求発行機器102に送信する。従って、互いに送信されるこれらの共通鍵作成情報が、ディフィー−ヘルマン公開鍵として用いられる。さらに、これらの共通鍵作成情報71及び72を送信するときに、要求発行機器102及びサーバ装置101のそれぞれの署名を付加してもよい。
また、同じディフィー−ヘルマン暗号化方式でも、固定ディフィー−ヘルマン暗号化方式の場合には、サーバ装置101からの情報はサーバ証明書データ65に含まれる値を使用するので、この場合はサーバ装置側通信用共通鍵作成情報72の生成及び送信は省略される。
以上のように、要求発行機器102及びサーバ装置101の間において共通鍵作成情報71及び72が交換されると、これらの共通鍵作成情報71及び72を用いることによって、後の通信において秘密鍵として用いるための通信用共通鍵73が生成される。通信用共通鍵73を生成するためには、互いに交換された共通鍵作成情報71及び72から、最初にプリマスタシークレット(PMS)を生成する。RSA暗号化方式の場合には、PMSは、上述のように要求発行機器側通信用共通鍵作成情報71である。ディフィー−ヘルマン暗号化方式の場合には、両者のディフィー−ヘルマン公開鍵を用いてPMSを生成する。すなわち、サーバ装置101は、受信したpを法とするgの最小の正の剰余をb乗した値の、pを法とする最小の正の剰余を計算してPMSとし、要求発行機器102は、受信したpを法とするgの最小の正の剰余をa乗した値の、pを法とする最小の正の剰余を計算してPMSとする。ディフィー−ヘルマン暗号化方式を用いた場合において、要求発行機器102及びサーバ装置101のそれぞれにおいて計算されたPMSは、pを法とするgabの最小の正の剰余に等しい。
PMSから通信用共通鍵73を作成するためには、MD5(Message Digest 5)とSHA(Secure Hash Algorithm)との2つのハッシュアルゴリズムを使用し、以下のように計算する。
[数1]
共通鍵master_secret
= MD5(PMS || SHA('A' || PMS || ClientHello.randam || ServerHello.randam)) ||
MD5(PMS || SHA('BB' || PMS || ClientHello.randam || ServerHello.randam)) ||
MD5(PMS || SHA('CCC' || PMS || ClientHello.randam || ServerHello.randam))
ここで「||」はビット列の連結を表す。
以降、要求発行機器102及びサーバ装置101は、数1を用いて計算された共通鍵master_secretを通信用共通鍵73として用いて、接続要求パケット227の暗号化及び復号化を行うことにより、秘密通信を行うことが可能となる。すなわち、要求発行機器102及びサーバ装置101の間での通信用共通鍵73の共有が完了すると、要求発行機器102は、第1の接続要求パケット227を送信する前に、接続相手である要求受諾機器103の機器IDと、要求発行機器102の機器IDと、要求発行機器102に関連付けられかつ通信に用いるためのIPアドレス及びポート番号とを含むデータを通信用共通鍵73を用いて要求発行機器102の暗号通信手段により暗号化する。ここで、要求発行機器102に関連付けられたIPアドレス及びポート番号は、要求発行機器102をインターネット105に接続するルータ装置104aのグローバルIPアドレス及びWAN側ポート番号である。要求発行機器102は、この暗号化されたデータをペイロードとする接続要求パケット227を生成し、生成された接続要求パケット227を、第1のTCP接続を用いてサーバ装置101に送信する。詳しくは、要求発行機器102は、図7(c)に示された接続要求パケット227をルータ装置104aに送信し、ルータ装置104aは受信した接続要求パケット227に対してNAPT処理を実行し、図7(d)に示されたNAPT処理後の接続要求パケット227をサーバ装置101に送信する。一方、サーバ装置101は、秘密情報として暗号化されたデータを含む接続要求パケット227を、第1のTCP接続を用いて要求発行機器102から受信すると、通信用共通鍵73を用いて、上記暗号化されたデータをサーバ装置101の暗号通信処理部により復号化する。
接続要求パケット227に書き込まれたルータ装置104aのWAN側グローバルIPアドレスとWAN側ポート番号は、後のTCP接続開始パケット213とデータ通信シーケンスのステップS216に係るパケットとを送受信する際に使用される。すなわち、要求受諾機器103が要求発行機器102にTCP接続開始パケット213を送信するとき、ルータ装置104aのWAN側グローバルIPアドレス及びWAN側ポート番号はこの送信されたパケットに書き込まれており、このパケットに書き込まれたルータ装置104aのWAN側グローバルIPアドレス及びWAN側ポート番号は、ルータ装置104aのNAPT機能を用いて要求発行機器102のプライベートIPアドレス及びポート番号に変換できるものとする。要求発行機器102と要求受諾機器103が、TCP接続開始パケット213によって確立されたTCP接続上においてデータ通信シーケンスのステップS216に係るパケットを送受信する際(後述)にも、このパケットに書き込まれたルータ装置104aのWAN側グローバルIPアドレス及びWAN側ポート番号は、ルータ装置104aのNAPT機能を用いて要求発行機器102のプライベートIPアドレス及びポート番号と相互変換できるものとする。
例えば、要求発行機器102が要求受諾機器103からのTCP接続開始パケット213を受信するためのポート番号を“1600”とすると、このときのルータ装置104aのNAPTテーブルは図6のようになる。
図6のNAPTテーブルの2行目が、要求発行機器102が要求受諾機器103からのTCP接続開始パケット213とその後のデータ通信シーケンスのステップS216におけるパケットとを受信するための変換テーブルである。要求受諾機器103は、グローバルIPアドレス“4.17.168.2”及びポート番号“5000”を有するルータ装置104aに対してTCP接続を確立するためにTCP接続開始パケット213を送信すると、ルータ装置104aのNAPT機能により、TCP接続開始パケット213上に書き込まれたルータ装置104aのIPアドレスとポート番号が要求発行機器102のプライベートIPアドレスとポート番号とに変換されて、最終的に、要求受諾機器103は、要求発行機器102に対してTCP接続を確立することができる。
サーバ装置101は、接続要求パケット227を受信すると、ステップS207において、内部のテーブルメモリに格納している図10の機器情報リストを参照し、受信された接続要求パケット227に含まれている接続相手である要求受諾機器103の機器ID“2133”を機器情報リストから検索する。機器情報リスト上で“2133”と一致した機器IDが見つかると、サーバ装置101は、この機器ID“2133”を有する機器を接続相手の要求受諾機器103として識別し、次に、機器ID“2133”を有する機器の接続許可機器の機器IDリストを検索する。要求受諾機器の接続許可機器の機器IDリストに、接続要求パケット227に含まれている要求発行機器102の機器ID“1051”が含まれていれば、サーバ装置101は、ステップS210において、機器情報リスト上で、識別された要求受諾機器103に係る機器情報の組に含まれるIPアドレス及びポート番号を要求受諾機器103に関連付けられたIPアドレス及びポート番号として識別する。サーバ装置101は、受信された接続要求パケット227に含まれた要求発行機器102に関連付けられたIPアドレス及びポート番号を要求受諾機器103に対してすぐには送信せず、まず、要求受諾機器103に関連付けられている(すなわち、機器ID“2133”と同じ機器情報の組に含まれた)IPアドレス“202.204.16.13”及びポート番号“3400”を宛先として有する接続要求通知パケット211をUDPを用いて送信する。接続要求通知パケット211は、機器登録パケット201に対する応答信号としてルータ装置104bに送信されるため、ルータ装置104bにおいてIPアドレス及びポート番号の変換が行われ、要求受諾機器103に到達できる。図9(a)及び(b)に示すように、接続要求通知パケット211は、接続要求通知を示すパケットであることを示す接続要求通知フラグを含んでいる。
一方、ステップS207において、要求発行機器102の機器IDが接続許可機器の機器IDとして機器情報リストに登録されていない場合には、サーバ装置はエラー通知パケット208を要求発行機器102に送信し、要求発行機器102は、エラー通知パケットを受信すると、ステップS209において処理の中断を決定する。
要求受諾機器103は、接続要求通知パケット211を受信すると、サーバ装置101との間において第2の接続要求シーケンスS212を実行する。
図4は、第2の接続要求シーケンスS212の詳細な処理を示すシーケンス図である。第2の接続要求シーケンスのステップS212もまた、第1の接続要求シーケンスのステップS206と同様に、要求発行機器102に関連付けられたIPアドレス及びポート番号のような秘密情報を伝送する必要があるので、本実施形態ではSSLを用いて暗号化される。ここで、要求受諾機器103は、送受信する信号を暗号化しかつ復号化するための通信用共通鍵83を生成し、生成した通信用共通鍵83を用いて、サーバ装置101との間で送受信する信号の暗号化及び復号化を実行する暗号通信処理部と、サーバ証明書データ65を認証する証明書情報認証処理部とをさらに備えるものとする(いずれも図示せず。)。サーバ装置101と要求受諾機器103との間での秘密通信である第2の接続要求シーケンスのステップS212は、以下説明するように実行される。
SSL通信において、クライアント側である要求受諾機器103は、まず、TCP接続開始パケット231を、ルータ装置104bを介してサーバ装置101に送信することによって、TCP接続によるサーバ装置101との通信開始を要求する。TCP接続開始パケット231がルータ装置104bを通るときに、ルータ装置104bは、機器登録パケット201の送信時に用いたNAPT機能を使用し、TCP接続開始パケット231上のSA及びSPを変換する。また、ルータ装置104bが要求受諾機器103宛のパケットを受信するとき、当該パケットのDAに対して上記の変換と逆の変換を実行し、当該パケットのDPに対しても別の変換を実行して要求受諾機器103に送信する。以下、本願明細書では、説明の簡単化のためにルータ装置104bのNAPT処理動作について言及することを省略するが、実際に要求受諾機器103がパケットを送受信する際には、常にルータ装置104bを介して送受信し、常にルータ装置104bが当該パケットに対してNAPT処理を実行するものとする。
次いで、要求受諾機器103とサーバ装置101は、暗号化仕様交渉のステップを実行することにより、秘密通信で用いる暗号化方式の仕様を相互に確認する。要求受諾機器103は、最初に、TCP接続開始パケット231で確立されたTCP接続(以下、第2のTCP接続という。)を用いて、暗号化通信開始要求パケット(client_helloパケットともいう。)232をサーバ装置101に送信する。暗号化通信開始要求パケット232の中には、使用可能なSSLのバージョン、使用可能な暗号化方式のリスト、セッションIDなどが書き込まれ、その中に、要求受諾機器103が生成した乱数ClientHello.randamも含まれている。サーバ装置101は、要求受諾機器103から暗号化通信開始要求パケット232を受信すると、第2のTCP接続を用いて暗号化通信開始応答パケット(server_helloパケットともいう。)233を要求受諾機器103に送信する。この暗号化通信開始応答パケット233は、使用するSSLのバージョン(要求発行機器102とサーバ装置101との両方がサポートする中で最も高いバージョン)、セッションID、使用する暗号化方式などを含み、さらに、サーバ装置101において生成された乱数ServerHello.randamを含んでいる。以下この第2の接続要求シーケンスのステップS212では、暗号化通信開始応答パケット233において指定されたSSLのバージョン及び暗号化方式が使用される。これらの乱数ClientHello.randam及びServerHello.randamは、32ビットのタイムスタンプと、28バイトの乱数(もしくは十分安全な疑似乱数)として、要求受諾機器103とサーバ装置101それぞれが独立に生成する。これらの乱数ClientHello.randam及びServerHello.randamをそれぞれ含む暗号化通信開始要求パケット232及び暗号化通信開始応答パケット233は、暗号化されずに送信される。
次にサーバ装置101は、要求受諾機器103にサーバ証明書データパケット224を送信する。要求受諾機器103へのサーバ証明書データパケット224の送信は、暗号化通信開始応答パケット233送信の後に限らず、後述される要求受諾機器側通信用共通鍵作成情報パケット234の受信の前であれば(例えば、第2の接続要求シーケンスのステップS212の前)、いつでもよい。要求受諾機器103の証明書情報認証処理部は、図5を参照して要求発行機器102の場合について説明したときと同様に、内部に格納しているCA公開鍵52を用いて、送信されたサーバ証明書データパケット224内のサーバ証明書データ65が正規のものであるか否かを確認する。
要求受諾機器103は、その証明書情報認証処理部を用いて、送信されたサーバ証明書データ65が正規のものであると確認すると、以下、要求受諾機器側通信用共通鍵作成情報81及びサーバ装置側通信用共通鍵作成情報82の送受信を含む、共通鍵作成情報交換のステップを開始する。
共通鍵作成情報交換のステップにおいて、最初に、要求受諾機器103は、要求受諾機器103の暗号通信処理部により要求受諾機器側通信用共通鍵作成情報81を生成して内部のメモリ(図示せず。)に格納するとともに、この生成された共通鍵作成情報81を含む要求受諾機器側通信用共通鍵作成情報パケット234を、第2のTCP接続を用いてサーバ装置101に送信する。サーバ装置101は、送信された要求受諾機器側通信用共通鍵作成情報パケット234に応答して、サーバ装置101の暗号通信処理部により、サーバ装置側通信用共通鍵作成情報82を生成して内部のメモリ(図示せず。)に格納するとともに、この生成された共通鍵作成情報82を含むサーバ装置側通信用共通鍵作成情報パケット235を、第2のTCP接続を用いて要求受諾機器103に送信する。要求受諾機器103及びサーバ装置101は、双方の共通鍵作成情報81及び82に基づいて、それぞれの暗号通信処理部により同一の通信用共通鍵83をそれぞれ生成する。通信用共通鍵83を生成するためには、第1の接続要求シーケンスのステップS206の場合について説明されたときと同様にRSA暗号化方式又はディフィー−ヘルマン暗号化方式などを用いて、生成された共通鍵作成情報81及び82を互いに交換し、サーバ装置101及び要求受諾機器103の各暗号通信処理部は、これらの共通鍵作成情報81及び82を用いることによって、後の通信で秘密鍵として用いるための通信用共通鍵83をそれぞれ生成する。
これにより、サーバ装置101及び要求受諾機器103の間において通信用共通鍵83を共有することができ、サーバ装置101及び要求受諾機器103は、通信用共通鍵83を用いて、接続要求パケット236の暗号化及び復号化を行うことで、秘密通信を行うことが可能となる。すなわち、第1の接続要求パケット227を受信した後であってかつ第2の接続要求パケット236を送信する前に、サーバ装置101及び要求受諾機器103の間での通信用共通鍵83の共有が完了すると、サーバ装置101は、接続要求パケット227に含まれた、通信に用いるルータ装置104aのグローバルIPアドレス“4.17.168.2”とポート番号“5000”とを含むデータを通信用共通鍵83を用いてサーバ装置101の暗号通信処理部により暗号化する。サーバ装置101は、この暗号化されたデータをペイロードとして含む接続要求パケット236を生成し、生成された接続要求パケット236を、機器登録パケット201に対する応答信号として、第2のTCP接続を用いて要求受諾機器103に送信する。詳しくは、サーバ装置101は、図2のステップS210においてサーバ装置101の機器情報リスト内で要求受諾機器103のものとして識別されたIPアドレス及びポート番号を宛先として、図9(b)に示された接続要求パケット236をルータ装置104bに送信し、ルータ装置104bは受信した接続要求パケット236に対してNAPT処理を実行し、図9(a)に示されたNAPT処理後の接続要求パケット236を要求受諾機器103に送信する。一方、要求受諾機器103は、秘密情報として暗号化されたデータを含む接続要求パケット236をサーバ装置から第2のTCP接続を用いて受信すると、通信用共通鍵83を用いて、上記暗号化されたデータを要求受諾機器103の暗号通信処理部により復号化する。以上のようにして、要求発行機器102が要求受諾機器103とのデータ通信を所望することを伝達する接続要求メッセージが、要求発行機器102から要求受諾機器103に伝達される。
要求受諾機器103は、接続要求パケット236を受信すると、接続要求パケット236に含まれているIPアドレス“4.17.168.2”とポート番号“5000”に関連付けられた機器に対してTCP接続開始パケット213を送信する。パケット213は、前述のようにルータ装置104aのNAPT機能により要求発行機器102に到達し、それによって、要求受諾機器103は、要求発行機器102とのTCP接続(以下、第3のTCP接続という。)を確立することができる。
要求発行機器102は、要求受諾機器103からのTCP接続開始パケット213を受信することによって第3のTCP接続を確立すると、このTCP接続を用いて、要求受諾機器103に、予め取得された要求受諾機器103のパスワードを含むパスワード伝送パケット214を送信する。
要求受諾機器103は、ステップS215において、パケット214によって受信したパスワードが、要求受諾機器103内のメモリに格納された要求受諾機器103のパスワードと一致した正しいものであるか否かを認証する。パスワードが正しければ、要求受諾機器103は要求発行機器102との間の第3のTCP接続を継続し、以降、要求発行機器102と要求受諾機器103との間でデータ通信シーケンスのステップS216を行う。もしパケット214で受信したパスワードが不正なものであれば、第3のTCP接続を切断する。
以上のようにして、サーバ装置101を利用することで、プライベートIPアドレスをそれぞれ有しかつ異なったLAN106a,106bに接続された機器である要求発行機器102と要求受諾機器103との間で、データ通信を行うことができるようになる。
なお、要求発行機器102がグローバルIPアドレスを保有し、直接インターネット(WAN)105に接続されている場合でも、同様の動作で要求発行機器102と要求受諾機器103との間において通信を行うことができる。また、要求受諾機器103がグローバルIPアドレスを保有し、直接インターネット(WAN)105に接続されている場合でも、同様の動作で要求発行機器102と要求受諾機器103との間において通信を行うことができる。いずれの場合でも、ルータ装置によってIPアドレスやポート番号の変換が行われないだけで、それ以外の動作は上記説明と同様の動作となる。
本実施形態では、サーバ装置101、要求発行機器102及び要求受諾機器103はインターネット(WAN)105に接続されているが、本発明の実施形態はそれに限定されず、サーバ装置101、要求発行機器102及び要求受諾機器103は、その他の公開されたネットワーク及び/又は専用のネットワークに接続されるように構成されてもよい。
また、ルータ装置104aやルータ装置104bが、NAPT機能ではなくNAT機能のみ有している場合でも同様の動作で要求発行機器102と要求受諾機器103との間における通信を行うことができる。この場合、ルータ装置においてポート番号の変換は行われない。
また、要求発行機器102は、TCP接続開始パケット213を受信するためのIPアドレスとポート番号の組み合わせを常に図6のようなNAPTテーブルに設定したままでもよいし、又は、第1の接続要求シーケンスS206においてTCP接続開始パケット221を送信する際にこの組み合わせをNAPTテーブルに設定し、データ通信シーケンスのステップS216が終了するとこの組み合わせをNAPTテーブルから削除するようにしてもよい。NAPTテーブルの設定は、静的NAPTを用いてもよいし、ユニバーサル・プラグ・アンド・プレイ(Universal Plug and Play)などの機能を用いてもよい。
また、第1の接続要求シーケンスのステップS206におけるTCP接続開始パケット221により開始されるTCP接続を介した通信と、第2の接続要求シーケンスのステップS212におけるTCP接続開始パケット231により開始されるTCP接続を介した通信とは、SSL(Secure Sockets Layer)とは異なる暗号化通信を用いてもよい。又は、これらステップS206及びS212におけるTCP通信の暗号化は省略されてもよい。この場合、ステップS206において、要求発行機器102は、TCP接続開始パケット221を送信してTCP接続を確立した後すぐに接続要求パケット227を送信し、ステップS212において、サーバ装置101は、TCP接続開始パケット231を受信した後すぐに接続要求パケット236を送信してもよい。
また、データ通信シーケンスのステップS216の処理は、ステップS206及びS212と同様に、SSLなどの暗号化通信を用いて実行してもよい。また、ステップS216におけるデータの送受信は、UDPなど他の伝送プロトコルを用いて実行してもよい。
また、図7乃至図9に示す機器登録パケット201、接続許可機器登録パケット204、接続要求パケット227、接続要求通知パケット211及び接続要求パケット236は一例であって、他のフィールドが含まれていてもよいし、各フィールドの順序が異なっていてもよい。
また、図1から図10で用いているIPアドレス、ポート番号及び機器IDは一例であって、他の値であっても構わない。
以上説明したように、本実施形態では、異なるLANを介してそれぞれインターネット(WAN)に接続された機器同士で、不正アクセスができないピアツーピア通信を容易に実現する通信システムを提供する。この通信システムにおいて、要求受諾機器103は、予め接続を許可する機器の機器IDをサーバ装置101に登録しておく。サーバ装置101は、要求発行機器102から接続要求パケット227を受信すると、接続要求パケット227に含まれる要求発行機器102の機器IDが、要求受諾機器103の接続許可機器リストに登録されている場合のみ、接続要求パケット236を要求受諾機器103に中継する。接続要求パケット236には、要求発行機器102にパケットを到達させることができるルータ装置104aのIPアドレス及びポート番号が付加されている。要求受諾機器103は、接続要求パケット236に含まれているIPアドレス及びポート番号宛に接続を行うことで、要求発行機器102と要求受諾機器103との間でピアツーピア通信を行うことができる。また要求発行機器102は、要求受諾機器103との通信開始時に、要求受諾機器103のパスワードを含むパスワード伝送パケット214を送信し、要求受諾機器103がパスワードの確認を行うことで、不正な機器からの接続要求を受け付けないようにする。
<変形例>
ここで、以上説明した本発明の実施形態に対する変形例について図11乃至図14を参照して説明する。図2に示された通信シーケンスでは、要求発行機器102は、TCP接続開始パケット213によって第3のTCP接続を確立した後に、要求受諾機器103のパスワードを含むパスワード伝送パケット214を要求受諾機器103に送信するとしたが、このパスワードは、接続要求パケット227及び接続要求パケット236に付加して送信してもよい。この場合、要求受諾機器103は、接続要求パケット236を受信した時にパケット236に含まれたパスワードが正しいか否かの判定を行い、当該パスワードが正当なものであれば要求発行機器102にTCP接続開始パケット213を送信し、当該パスワードが不正なものであればTCP接続開始パケット213を送信しないようにすればよい。
図11において、通信シーケンスの開始から第2の接続要求シーケンスのステップS212aまでは、図2の通信シーケンスの開始からステップS212までと同様である。ただし、第1の接続要求シーケンスのステップS206a(図12を参照)における最後の接続要求パケット227aと、第2の接続要求シーケンスのステップS212a(図13を参照)における最後の接続要求パケット236aとがパスワードをさらに含むという点で、図2乃至図4で説明した実施形態と異なっている。
パケット227a及び236aを介して、要求発行機器102が送ったパスワードが要求受諾機器103に到達すると、要求受諾機器102は、ステップS215において、パケット236aによって受信したパスワードが、要求受諾機器103内のメモリに格納された要求受諾機器103のパスワードと一致した正しいものであるか否かを認証する。パスワードが正しければ、要求受諾機器103は、TCP接続開始パケット213を要求発行機器102に送信することにより第3のTCP接続を確立し、以降、要求発行機器102と要求受諾機器103との間でデータ通信シーケンスのステップS216を行う。もしパケット214で受信したパスワードが不正なものであれば、要求受諾機器103はパケット213を送信せず、処理を終了する。
本発明に係る実施形態のこの変形例によれば、要求受諾機器103は、パケット213の送信前にもパスワードを用いて要求発行機器102を認証することができる。
本発明はさらに別の実施形態として、図2乃至図4に示された処理又は図11乃至図13に示された処理に係る各ステップを含むプログラムとして提供してもよく、あるいは、上記プログラムを記録し、コンピュータが読み取り可能な記録媒体として提供してもよい。この場合、上記プログラムを、インターネットに接続されたコンピュータ又は機器に読み込ませて、上記プログラム中の各ステップを当該コンピュータ又は機器に実行させることにより、当該コンピュータ又は機器を、以上説明された実施形態におけるサーバ装置101、要求発行機器102、及び/又は要求受諾機器103として動作させることができる。上記プログラムを記録した記録媒体の例として、CD−ROM及びDVD−ROM等の光記録媒体、フレキシブルディスク及びハードディスク等の磁気記録媒体、又は半導体記憶装置などが可能であるが、それらに制限されない。また、上記プログラムは、インターネットなどのネットワークを介して分配されてもよい。
以上説明したように、本発明によれば、異なるLANを介してそれぞれインターネット(WAN)に接続された機器同士で、不正アクセスができないピアツーピア通信を容易に実現する通信システムを提供することができる。
本発明の実施形態に係る通信システムのネットワーク構成を示すブロック図である。 図1の通信システムにおいて実行される通信シーケンスの一例を示すシーケンス図である。 図2の第1の接続要求シーケンスS206の詳細な処理を示すシーケンス図である。 図2の第2の接続要求シーケンスS212の詳細な処理を示すシーケンス図である。 図1の要求発行機器102及び要求受諾機器103に対してサーバ装置101の正当性を認証するための認証局装置51を示すブロック図である。 図1のルータ装置104aの内部のメモリに格納しているNAPTテーブルの一例を示す表である。 (a)は図2のLAN側での機器登録パケット201の構成を示す図であり、(b)は図2のWAN側での機器登録パケット201の構成を示す図であり、(c)は図2のLAN側での接続許可機器登録パケット204の構成を示す図であり、(d)は図2のWAN側での接続許可機器登録パケット204の構成を示す図である。 (a)は図3のLAN側での接続要求パケット227の構成を示す図であり、(b)は図3のWAN側での接続要求パケット227の構成を示す図である。 (a)は図2のLAN側での接続要求通知パケット211の構成を示す図であり、(b)は図2のWAN側での接続要求通知パケット211の構成を示す図であり、(c)は図4のLAN側での接続要求パケット236の構成を示す図であり、(d)は図4のWAN側での接続要求パケット236の構成を示す図である。 図1のサーバ装置101で保存している機器情報リストの一例を示す表である。 本発明の実施形態の変形例に係る通信シーケンスの一例を示すシーケンス図である。 図11の第1の接続要求シーケンスS206aの詳細な処理を示すシーケンス図である。 図11の第2の接続要求シーケンスS212aの詳細な処理を示すシーケンス図である。 (a)は図12のLAN側での接続要求パケット227aの構成を示す図であり、(b)は図12のWAN側での接続要求パケット227aの構成を示す図であり、(c)は図12のLAN側での接続要求パケット236aの構成を示す図であり、(d)は図12のWAN側での接続要求パケット236aの構成を示す図である。 従来技術に係る通信システムのネットワーク構成の一例を示すブロック図である。 ルータ装置104のNAPT機能を用いた通信の通信シーケンスの一例を示すシーケンス図である。 ルータ装置104のNAPTテーブルの一例を示す表である。 図15の通信システムの通信シーケンスの一例を示すシーケンス図である。
符号の説明
51…認証局(CA)装置、
52…CA公開鍵、
53…CA秘密鍵、
54…サーバ証明書データ発行パケット、
55…CA証明書データパケット、
61…サーバ秘密鍵、
62…サーバ公開鍵、
63…サーバ証明書データ要求パケット、
64…署名、
65…サーバ証明書データ、
71…要求発行機器側通信用共通鍵作成情報、
72…サーバ装置側通信用共通鍵作成情報、
81…要求受諾機器側通信用共通鍵作成情報、
82…サーバ装置側通信用共通鍵作成情報、
73,83…通信用共通鍵、
101…サーバ装置、
102…要求発行機器、
103…要求受諾機器、
104a,104b…ルータ装置、
105…インターネット(WAN)、
106a,106b…LAN、
201…機器登録パケット、
203,213,221,231…TCP接続開始パケット、
204…接続許可機器登録パケット、
211…接続要求通知パケット、
214…パスワード伝送パケット、
222,232…暗号化通信開始要求パケット、
223,233…暗号化通信開始応答パケット、
224…サーバ証明書データパケット、
225…要求発行機器側通信用共通鍵作成情報パケット、
226,235…サーバ装置側通信用共通鍵作成情報パケット、
227,227a,236,236a…接続要求パケット、
234…要求受諾機器側通信用共通鍵作成情報パケット。

Claims (40)

  1. ネットワークにそれぞれ接続された要求発行機器と要求受諾機器とを含む複数の機器と、上記ネットワークに接続されたサーバ装置とを備えた通信システムにおいて設けられ、上記要求発行機器から上記要求受諾機器への接続要求信号を転送するサーバ装置であって、
    上記複数の機器のそれぞれについて、当該機器との接続の確立を許可する機器の機器IDにてなる接続許可機器リストを格納するための接続許可機器リスト格納手段を備え、
    上記要求受諾機器から送信された上記要求受諾機器の接続許可機器リストを受信し、上記受信された上記要求受諾機器の接続許可機器リストを上記接続許可機器リスト格納手段に格納し、
    上記要求受諾機器から定期的に送信される機器登録信号を受信し、
    上記要求発行機器から送信される第1のTCP接続開始信号を受信することにより上記要求発行機器との間の第1のTCP接続を確立し、
    上記確立された第1のTCP接続を用いて、上記要求発行機器の機器IDを含みかつ上記要求受諾機器との接続の確立を要求する第1の接続要求信号を上記要求発行機器から受信し、
    上記受信された第1の接続要求信号に応答して、上記接続許可機器リスト格納手段に格納された上記要求受諾機器の接続許可機器リストが上記要求発行機器の機器IDを含むときに、上記機器登録信号に対する応答信号として上記要求受諾機器に第2の接続要求信号を送信することを特徴とするサーバ装置。
  2. 上記機器登録信号は上記要求受諾機器の機器IDを含み、
    上記第1の接続要求信号は、上記要求受諾機器の機器IDと、上記要求発行機器に関連付けられたIPアドレス及びポート番号とをさらに含み、
    上記サーバ装置は、
    上記複数の機器にそれぞれ関連付けられたIPアドレス及びポート番号と、上記各機器の機器IDとからなる上記各機器に係る機器情報の組を含む機器情報リストを格納するための機器情報格納手段を備え、
    上記機器登録信号に含まれた上記要求受諾機器の機器IDと、上記機器登録信号の発信元IPアドレス及び発信元ポート番号とを、上記要求受諾機器に係る機器情報の組として上記機器情報格納手段に格納し、
    上記第1の接続要求信号に応答した後でありかつ上記第2の接続要求信号を送信する前に、上記接続許可機器リスト格納手段に格納された上記要求受諾機器の接続許可機器リストが上記要求発行機器の機器IDを含むときに、上記第1の接続要求信号に含まれた上記要求受諾機器の機器IDを、上記機器情報格納手段に格納している機器情報リストから検索し、上記機器情報リスト上で、上記第1の接続要求信号に含まれる要求受諾機器の機器IDと一致した機器IDを含む機器情報の組に係る機器を上記要求受諾機器として識別し、上記機器情報リスト上で、上記識別された要求受諾機器に係る機器情報の組に含まれるIPアドレス及びポート番号を上記要求受諾機器に関連付けられたIPアドレス及びポート番号として識別し、
    上記識別された要求受諾機器に対して、上記識別されたIPアドレス及びポート番号を宛先として、上記受信された第1の接続要求信号に含まれる上記要求発行機器に関連付けられたIPアドレス及びポート番号を含む第2の接続要求信号を送信することを特徴とする請求項1記載のサーバ装置。
  3. 上記識別された要求受諾機器に係る機器情報の組に含まれるIPアドレス及びポート番号を上記要求受諾機器に関連付けられたIPアドレス及びポート番号として識別した後であって、かつ上記要求受諾機器に上記第2の接続要求信号を送信する前に、上記要求受諾機器に第3の接続要求信号を送信し、上記第3の接続要求信号に対する応答信号として第2のTCP接続開始信号を上記要求受諾機器から受信することにより上記要求受諾機器との間において第2のTCP接続を確立し、
    上記確立された第2のTCP接続を用いて、上記要求受諾機器に上記第2の接続要求信号を送信することを特徴とする請求項2記載のサーバ装置。
  4. 送受信する信号を暗号化しかつ復号化するための第1及び第2の通信用共通鍵を生成し、上記第1の通信用共通鍵を用いて受信する信号の復号化を実行し、上記第2の通信用共通鍵を用いて送信する信号の暗号化を実行する第1の暗号通信手段と、上記サーバ装置の正当性を証明するためのサーバ証明書情報を格納した証明書情報格納手段とを備え、
    上記第1の接続要求信号を受信する前に、上記要求発行機器に上記サーバ証明書情報を送信し、
    上記要求発行機器から、上記サーバ証明書情報に応答して生成された第1の共通鍵作成情報を上記第1のTCP接続を用いて受信し、上記第1の共通鍵作成情報に応答して上記第1の暗号通信手段により第2の共通鍵作成情報を生成し、上記第1の共通鍵作成情報及び上記第2の共通鍵作成情報に基づいて上記第1の暗号通信手段により第1の通信用共通鍵を生成する一方、上記第2の共通鍵作成情報を上記要求発行機器に上記第1のTCP接続を用いて送信し、上記第1の通信用共通鍵と同一の通信用共通鍵を上記第1の共通鍵作成情報及び上記第2の共通鍵作成情報に基づいて上記要求発行機器に生成させることにより上記第1の通信用共通鍵を上記要求発行機器との間で共有し、
    上記要求発行機器から、上記第1の通信用共通鍵を用いて暗号化された上記第1の接続要求信号を、上記第1のTCP接続を用いて受信し、上記受信された第1の接続要求信号を、上記第1の通信用共通鍵を用いて上記第1の暗号通信手段により復号化し、
    上記第2の接続要求信号を送信する前に、上記要求受諾機器に上記サーバ証明書情報を送信し、
    上記要求受諾機器から、上記サーバ証明書情報に応答して生成された第3の共通鍵作成情報を上記第2のTCP接続を用いて受信し、上記第3の共通鍵作成情報に応答して上記第1の暗号通信手段により第4の共通鍵作成情報を生成し、上記第3の共通鍵作成情報及び上記第4の共通鍵作成情報に基づいて上記第1の暗号通信手段により第2の通信用共通鍵を生成する一方、上記第4の共通鍵作成情報を上記要求受諾機器に上記第2のTCP接続を用いて送信し、上記第2の通信用共通鍵と同一の通信用共通鍵を上記第3の共通鍵作成情報及び上記第4の共通鍵作成情報に基づいて上記要求受諾機器に生成させることにより上記第2の通信用共通鍵を上記要求受諾機器との間で共有し、
    上記第1の接続要求信号を受信した後であってかつ上記第2の接続要求信号を送信する前に、上記第2の通信用共通鍵を用いて上記第1の暗号通信手段により上記第2の接続要求信号を暗号化することを特徴とする請求項3記載のサーバ装置。
  5. ネットワークにそれぞれ接続された要求発行機器と要求受諾機器とを含む複数の機器と、上記ネットワークに接続されたサーバ装置とを備えた通信システムにおいて設けられ、上記サーバ装置及び上記要求受諾機器と通信する要求発行機器であって、
    上記サーバ装置に第1のTCP接続開始信号を送信することによって上記サーバ装置との間の第1のTCP接続を確立し、
    上記確立された第1のTCP接続を用いて、上記要求発行機器の機器IDを含みかつ上記要求受諾機器との接続の確立を要求する第1の接続要求信号を上記サーバ装置に送信し、
    上記要求受諾機器から送信されかつ上記要求発行機器と上記要求受諾機器との間の通信を要求する通信要求信号を受信し、上記受信された通信要求信号に応答して上記要求発行機器と上記要求受諾機器との間の通信を受諾し、上記要求受諾機器との間の通信を開始することを特徴とする要求発行機器。
  6. 上記第1の接続要求信号は、上記要求受諾機器の機器IDと、上記要求発行機器に関連付けられたIPアドレス及びポート番号とをさらに含むことを特徴とする請求項5記載の要求発行機器。
  7. 上記要求受諾機器のパスワード情報を格納したパスワード情報格納手段を備え、
    上記要求受諾機器との通信を開始した後に、上記要求発行機器のパスワード情報格納手段に格納された上記パスワード情報を上記要求受諾機器に送信することを特徴とする請求項6記載の要求発行機器。
  8. 送受信する信号を暗号化しかつ復号化するための第1の通信用共通鍵を生成し、上記第1の通信用共通鍵を用いて送信する信号の暗号化を実行する第2の暗号通信手段と、上記サーバ装置の正当性を証明するためのサーバ証明書情報を認証する第1の証明書情報認証手段とを備え、
    上記第1の接続要求信号を送信する前に、上記サーバ装置から上記サーバ証明書情報を受信し、
    上記受信されたサーバ証明書情報を上記第1の証明書情報認証手段により認証し、上記受信されたサーバ証明書情報が正規であるか否かを確認し、
    上記受信されたサーバ証明書情報を正規であると確認したとき、上記第2の暗号通信手段により第1の共通鍵作成情報を生成し、上記生成された第1の共通鍵作成情報を上記第1のTCP接続を用いて上記サーバ装置に送信し、上記サーバ装置から、上記第1の共通鍵作成情報に応答して生成された第2の共通鍵作成情報を上記第1のTCP接続を用いて受信し、上記第1の共通鍵作成情報及び上記第2の共通鍵作成情報に基づいて上記第2の暗号通信手段により第1の通信用共通鍵を生成する一方、上記第1の通信用共通鍵と同一の通信用共通鍵を上記第1の共通鍵作成情報及び上記第2の共通鍵作成情報に基づいて上記サーバ装置に生成させることにより上記第1の通信用共通鍵を上記サーバ装置との間で共有し、
    上記第1の接続要求信号を送信する前に、上記第1の通信用共通鍵を用いて上記第2の暗号通信手段により上記第1の接続要求信号を暗号化し、
    上記暗号化された上記第1の接続要求信号を上記第1のTCP接続を用いて上記サーバ装置に送信することを特徴とする請求項5乃至7のうちのいずれか1つに記載の要求発行機器。
  9. ネットワークにそれぞれ接続された要求発行機器と要求受諾機器とを含む複数の機器と、上記ネットワークに接続されたサーバ装置とを備えた通信システムにおいて設けられ、上記サーバ装置及び上記要求発行機器と通信する要求受諾機器であって、
    上記要求受諾機器との接続の確立を許可する機器の機器IDにてなる上記要求受諾機器の接続許可機器リストを上記サーバ装置に予め送信し、
    機器登録信号を上記サーバ装置に定期的に送信し、
    上記機器登録信号に対する応答信号として第2の接続要求信号を上記サーバ装置から受信し、
    上記受信された第2の接続要求信号に応答して、上記要求受諾機器と上記要求発行機器との間の通信を要求する通信要求信号を上記要求発行機器に送信し、
    上記要求発行機器が上記通信要求信号に応答して上記要求受諾機器と上記要求発行機器との間の通信を受諾した後に、上記要求発行機器との通信を開始することを特徴とする要求受諾機器。
  10. 上記要求受諾機器は、上記機器登録信号に上記要求受諾機器の機器IDを付加して上記サーバ装置に送信し、
    上記第2の接続要求信号は、上記要求発行機器に関連付けられたIPアドレス及びポート番号を含み、
    上記要求受諾機器は、上記サーバ装置から受信された上記第2の接続要求信号に含まれる上記要求発行機器に関連付けられたIPアドレス及びポート番号を宛先として上記通信要求信号を送信することを特徴とする請求項9記載の要求受諾機器。
  11. 上記機器登録信号を上記サーバ装置に送信した後であって上記第2の接続要求信号を受信する前に、上記機器登録信号に対する応答信号として上記サーバ装置から第3の接続要求信号を受信し、上記第3の接続要求信号に対する応答信号として第2のTCP接続開始信号を上記サーバ装置に送信することにより上記サーバ装置との間において第2のTCP接続を確立し、
    上記確立された第2のTCP接続を用いて上記サーバ装置から上記第2の接続要求信号を受信することを特徴とする請求項10記載の要求受諾機器。
  12. 上記要求受諾機器のパスワード情報を格納したパスワード情報格納手段を備え、
    上記要求発行機器との間の通信を開始した後に、上記要求発行機器から送信されたパスワード情報を受信し、
    上記受信されたパスワード情報が、上記要求受諾機器のパスワード情報格納手段に格納された上記パスワード情報と一致しているときに上記要求発行機器との通信を継続する一方、一致しないときには上記通信を中止することを特徴とする請求項11記載の要求受諾機器。
  13. 送受信する信号を暗号化しかつ復号化するための第2の通信用共通鍵を生成し、上記第2の通信用共通鍵を用いて受信する信号の復号化を実行する第3の暗号通信手段と、上記サーバ装置の正当性を証明するためのサーバ証明書情報を認証する第2の証明書情報認証手段とを備え、
    上記第2の接続要求信号を受信する前に、上記サーバ装置から上記サーバ証明書情報を受信し、
    上記受信されたサーバ証明書情報を上記第2の証明書情報認証手段により認証し、上記受信されたサーバ証明書情報が正規であるか否かを確認し、
    上記受信されたサーバ証明書情報を正規であると確認したとき、上記第3の暗号通信手段により第3の共通鍵作成情報を生成し、上記生成された第3の共通鍵作成情報を上記第2のTCP接続を用いて上記サーバ装置に送信し、上記サーバ装置から、上記第3の共通鍵作成情報に応答して生成された第4の共通鍵作成情報を上記第2のTCP接続を用いて受信し、上記第2の共通鍵作成情報及び上記第4の共通鍵作成情報に基づいて上記第3の暗号通信手段により第2の通信用共通鍵を生成する一方、上記第2の通信用共通鍵と同一の通信用共通鍵を上記第3の共通鍵作成情報及び上記第4の共通鍵作成情報に基づいて上記サーバ装置に生成させることにより上記第2の通信用共通鍵を上記サーバ装置との間で共有し、
    上記サーバ装置から、上記第2の通信用共通鍵を用いて暗号化された上記第2の接続要求信号を、上記第2のTCP接続を用いて受信し、上記受信された第2の接続要求信号を、上記第2の通信用共通鍵を用いて上記第3の暗号通信手段により復号化することを特徴とする請求項11又は12記載の要求受諾機器。
  14. 請求項1記載のサーバ装置と、請求項5記載の要求発行機器及び請求項9記載の要求受諾機器を含む複数の機器とを備えた通信システムであって、
    上記複数の機器と上記サーバ装置とはそれぞれネットワークに接続されたことを特徴とする通信システム。
  15. 請求項2記載のサーバ装置と、請求項6記載の要求発行機器及び請求項10記載の要求受諾機器を含む複数の機器とを備えた通信システムであって、
    上記複数の機器と上記サーバ装置とはそれぞれネットワークに接続されたことを特徴とする通信システム。
  16. 請求項3記載のサーバ装置と、請求項6記載の要求発行機器及び請求項11記載の要求受諾機器を含む複数の機器とを備えた通信システムであって、
    上記複数の機器と上記サーバ装置とはそれぞれネットワークに接続されたことを特徴とする通信システム。
  17. 請求項3記載のサーバ装置と、請求項7記載の要求発行機器及び請求項12記載の要求受諾機器を含む複数の機器とを備えた通信システムであって、
    上記複数の機器と上記サーバ装置とはそれぞれネットワークに接続されたことを特徴とする通信システム。
  18. 請求項4記載のサーバ装置と、請求項8記載の要求発行機器及び請求項13記載の要求受諾機器を含む複数の機器とを備えた通信システムであって、
    上記複数の機器と上記サーバ装置とはそれぞれネットワークに接続されたことを特徴とする通信システム。
  19. ネットワークにそれぞれ接続された要求発行機器と要求受諾機器とを含む複数の機器と、上記ネットワークに接続されたサーバ装置とを備えた通信システムにおいて設けられ、上記要求発行機器から上記要求受諾機器への接続要求信号を転送するサーバ装置の通信方法であって、
    上記サーバ装置は、上記複数の機器のそれぞれについて、当該機器との接続の確立を許可する機器の機器IDにてなる接続許可機器リストを格納するための接続許可機器リスト格納手段を備え、
    上記通信方法は、
    上記要求受諾機器から送信された上記要求受諾機器の接続許可機器リストを受信し、上記受信された上記要求受諾機器の接続許可機器リストを上記接続許可機器リスト格納手段に格納するステップと、
    上記要求受諾機器から定期的に送信される機器登録信号を受信するステップと、
    上記要求発行機器から送信される第1のTCP接続開始信号を受信することにより上記要求発行機器との間の第1のTCP接続を確立するステップと、
    上記確立された第1のTCP接続を用いて、上記要求発行機器の機器IDを含みかつ上記要求受諾機器との接続の確立を要求する第1の接続要求信号を上記要求発行機器から受信するステップと、
    上記受信された第1の接続要求信号に応答して、上記接続許可機器リスト格納手段に格納された上記要求受諾機器の接続許可機器リストが上記要求発行機器の機器IDを含むときに、上記機器登録信号に対する応答信号として上記要求受諾機器に第2の接続要求信号を送信するステップとを含むことを特徴とする通信方法。
  20. 上記機器登録信号は上記要求受諾機器の機器IDを含み、
    上記第1の接続要求信号は、上記要求受諾機器の機器IDと、上記要求発行機器に関連付けられたIPアドレス及びポート番号とをさらに含み、
    上記サーバ装置は、上記複数の機器にそれぞれ関連付けられたIPアドレス及びポート番号と、上記各機器の機器IDとからなる上記各機器に係る機器情報の組を含む機器情報リストを格納するための機器情報格納手段を備え、
    上記通信方法は、
    上記機器登録信号に含まれた上記要求受諾機器の機器IDと、上記機器登録信号の発信元IPアドレス及び発信元ポート番号とを、上記要求受諾機器に係る機器情報の組として上記機器情報格納手段に格納するステップと、
    上記第1の接続要求信号に応答した後でありかつ上記第2の接続要求信号を送信する前に、上記接続許可機器リスト格納手段に格納された上記要求受諾機器の接続許可機器リストが上記要求発行機器の機器IDを含むときに、上記第1の接続要求信号に含まれた上記要求受諾機器の機器IDを、上記機器情報格納手段に格納している機器情報リストから検索し、上記機器情報リスト上で、上記第1の接続要求信号に含まれる要求受諾機器の機器IDと一致した機器IDを含む機器情報の組に係る機器を上記要求受諾機器として識別し、上記機器情報リスト上で、上記識別された要求受諾機器に係る機器情報の組に含まれるIPアドレス及びポート番号を上記要求受諾機器に関連付けられたIPアドレス及びポート番号として識別するステップと、
    上記識別された要求受諾機器に対して、上記識別されたIPアドレス及びポート番号を宛先として、上記受信された第1の接続要求信号に含まれる上記要求発行機器に関連付けられたIPアドレス及びポート番号を含む第2の接続要求信号を送信するステップとをさらに含むことを特徴とする請求項19記載の通信方法。
  21. 上記識別された要求受諾機器に係る機器情報の組に含まれるIPアドレス及びポート番号を上記要求受諾機器に関連付けられたIPアドレス及びポート番号として識別した後であって、かつ上記要求受諾機器に上記第2の接続要求信号を送信する前に、上記要求受諾機器に第3の接続要求信号を送信し、上記第3の接続要求信号に対する応答信号として第2のTCP接続開始信号を上記要求受諾機器から受信することにより上記要求受諾機器との間において第2のTCP接続を確立するステップと、
    上記確立された第2のTCP接続を用いて、上記要求受諾機器に上記第2の接続要求信号を送信するステップとをさらに含むことを特徴とする請求項20記載の通信方法。
  22. 上記サーバ装置は、送受信する信号を暗号化しかつ復号化するための第1及び第2の通信用共通鍵を生成し、上記第1の通信用共通鍵を用いて受信する信号の復号化を実行し、上記第2の通信用共通鍵を用いて送信する信号の暗号化を実行する第1の暗号通信手段と、上記サーバ装置の正当性を証明するためのサーバ証明書情報を格納した証明書情報格納手段とを備え、
    上記通信方法は、
    上記第1の接続要求信号を受信する前に、上記要求発行機器に上記サーバ証明書情報を送信するステップと、
    上記要求発行機器から、上記サーバ証明書情報に応答して生成された第1の共通鍵作成情報を上記第1のTCP接続を用いて受信し、上記第1の共通鍵作成情報に応答して上記第1の暗号通信手段により第2の共通鍵作成情報を生成し、上記第1の共通鍵作成情報及び上記第2の共通鍵作成情報に基づいて上記第1の暗号通信手段により第1の通信用共通鍵を生成する一方、上記第2の共通鍵作成情報を上記要求発行機器に上記第1のTCP接続を用いて送信し、上記第1の通信用共通鍵と同一の通信用共通鍵を上記第1の共通鍵作成情報及び上記第2の共通鍵作成情報に基づいて上記要求発行機器に生成させることにより上記第1の通信用共通鍵を上記要求発行機器との間で共有するステップと、
    上記要求発行機器から、上記第1の通信用共通鍵を用いて暗号化された上記第1の接続要求信号を、上記第1のTCP接続を用いて受信し、上記受信された第1の接続要求信号を、上記第1の通信用共通鍵を用いて上記第1の暗号通信手段により復号化するステップと、
    上記第2の接続要求信号を送信する前に、上記要求受諾機器に上記サーバ証明書情報を送信するステップと、
    上記要求受諾機器から、上記サーバ証明書情報に応答して生成された第3の共通鍵作成情報を上記第2のTCP接続を用いて受信し、上記第3の共通鍵作成情報に応答して上記第1の暗号通信手段により第4の共通鍵作成情報を生成し、上記第3の共通鍵作成情報及び上記第4の共通鍵作成情報に基づいて上記第1の暗号通信手段により第2の通信用共通鍵を生成する一方、上記第4の共通鍵作成情報を上記要求受諾機器に上記第2のTCP接続を用いて送信し、上記第2の通信用共通鍵と同一の通信用共通鍵を上記第3の共通鍵作成情報及び上記第4の共通鍵作成情報に基づいて上記要求受諾機器に生成させることにより上記第2の通信用共通鍵を上記要求受諾機器との間で共有するステップと、
    上記第1の接続要求信号を受信した後であってかつ上記第2の接続要求信号を送信する前に、上記第2の通信用共通鍵を用いて上記第1の暗号通信手段により上記第2の接続要求信号を暗号化するステップとをさらに含むことを特徴とする請求項21記載の通信方法。
  23. ネットワークにそれぞれ接続された要求発行機器と要求受諾機器とを含む複数の機器と、上記ネットワークに接続されたサーバ装置とを備えた通信システムにおいて設けられ、上記サーバ装置及び上記要求受諾機器と通信する要求発行機器の通信方法であって、
    上記サーバ装置に第1のTCP接続開始信号を送信することによって上記サーバ装置との間の第1のTCP接続を確立するステップと、
    上記確立された第1のTCP接続を用いて、上記要求発行機器の機器IDを含みかつ上記要求受諾機器との接続の確立を要求する第1の接続要求信号を上記サーバ装置に送信するステップと、
    上記要求受諾機器から送信されかつ上記要求発行機器と上記要求受諾機器との間の通信を要求する通信要求信号を受信し、上記受信された通信要求信号に応答して上記要求発行機器と上記要求受諾機器との間の通信を受諾し、上記要求受諾機器との間の通信を開始するステップとを含むことを特徴とする通信方法。
  24. 上記第1の接続要求信号は、上記要求受諾機器の機器IDと、上記要求発行機器に関連付けられたIPアドレス及びポート番号とをさらに含むことを特徴とする請求項23記載の通信方法。
  25. 上記要求発行機器は、上記要求受諾機器のパスワード情報を格納したパスワード情報格納手段を備え、
    上記通信方法は、上記要求受諾機器との通信を開始した後に、上記要求発行機器のパスワード情報格納手段に格納された上記パスワード情報を上記要求受諾機器に送信するステップをさらに含むことを特徴とする請求項24記載の通信方法。
  26. 上記要求発行機器は、送受信する信号を暗号化しかつ復号化するための第1の通信用共通鍵を生成し、上記第1の通信用共通鍵を用いて送信する信号の暗号化を実行する第2の暗号通信手段と、上記サーバ装置の正当性を証明するためのサーバ証明書情報を認証する第1の証明書情報認証手段とを備え、
    上記通信方法は、
    上記第1の接続要求信号を送信する前に、上記サーバ装置から上記サーバ証明書情報を受信するステップと、
    上記受信されたサーバ証明書情報を上記第1の証明書情報認証手段により認証し、上記受信されたサーバ証明書情報が正規であるか否かを確認するステップと、
    上記受信されたサーバ証明書情報を正規であると確認したとき、上記第2の暗号通信手段により第1の共通鍵作成情報を生成し、上記生成された第1の共通鍵作成情報を上記第1のTCP接続を用いて上記サーバ装置に送信し、上記サーバ装置から、上記第1の共通鍵作成情報に応答して生成された第2の共通鍵作成情報を上記第1のTCP接続を用いて受信し、上記第1の共通鍵作成情報及び上記第2の共通鍵作成情報に基づいて上記第2の暗号通信手段により第1の通信用共通鍵を生成する一方、上記第1の通信用共通鍵と同一の通信用共通鍵を上記第1の共通鍵作成情報及び上記第2の共通鍵作成情報に基づいて上記サーバ装置に生成させることにより上記第1の通信用共通鍵を上記サーバ装置との間で共有するステップと、
    上記第1の接続要求信号を送信する前に、上記第1の通信用共通鍵を用いて上記第2の暗号通信手段により上記第1の接続要求信号を暗号化するステップと、
    上記暗号化された上記第1の接続要求信号を上記第1のTCP接続を用いて上記サーバ装置に送信するステップとをさらに含むことを特徴とする請求項23乃至25のうちのいずれか1つに記載の通信方法。
  27. ネットワークにそれぞれ接続された要求発行機器と要求受諾機器とを含む複数の機器と、上記ネットワークに接続されたサーバ装置とを備えた通信システムにおいて設けられ、上記サーバ装置及び上記要求発行機器と通信する要求受諾機器の通信方法であって、
    上記要求受諾機器との接続の確立を許可する機器の機器IDにてなる上記要求受諾機器の接続許可機器リストを上記サーバ装置に予め送信するステップと、
    機器登録信号を上記サーバ装置に定期的に送信するステップと、
    上記機器登録信号に対する応答信号として第2の接続要求信号を上記サーバ装置から受信するステップと、
    上記受信された第2の接続要求信号に応答して、上記要求受諾機器と上記要求発行機器との間の通信を要求する通信要求信号を上記要求発行機器に送信するステップと、
    上記要求発行機器が上記通信要求信号に応答して上記要求受諾機器と上記要求発行機器との間の通信を受諾した後に、上記要求発行機器との通信を開始するステップとを含むことを特徴とする通信方法。
  28. 上記機器登録信号は上記要求受諾機器の機器IDを含み、
    上記第2の接続要求信号は、上記要求発行機器に関連付けられたIPアドレス及びポート番号を含み、
    上記通信方法は、上記サーバ装置から受信された上記第2の接続要求信号に含まれる上記要求発行機器に関連付けられたIPアドレス及びポート番号を宛先として上記通信要求信号を送信するステップをさらに含むことを特徴とする請求項27記載の通信方法。
  29. 上記機器登録信号を上記サーバ装置に送信した後であって上記第2の接続要求信号を受信する前に、上記機器登録信号に対する応答信号として上記サーバ装置から第3の接続要求信号を受信し、上記第3の接続要求信号に対する応答信号として第2のTCP接続開始信号を上記サーバ装置に送信することにより上記サーバ装置との間において第2のTCP接続を確立するステップと、
    上記確立された第2のTCP接続を用いて上記サーバ装置から上記第2の接続要求信号を受信するステップとをさらに含むことを特徴とする請求項28記載の通信方法。
  30. 上記要求受諾機器は、上記要求受諾機器のパスワード情報を格納したパスワード情報格納手段を備え、
    上記通信方法は、
    上記要求発行機器との間の通信を開始した後に、上記要求発行機器から送信されたパスワード情報を受信するステップと、
    上記受信されたパスワード情報が、上記要求受諾機器のパスワード情報格納手段に格納された上記パスワード情報と一致しているときに上記要求発行機器との通信を継続する一方、一致しないときには上記通信を中止するステップとをさらに含むことを特徴とする請求項29記載の通信方法。
  31. 上記要求受諾機器は、送受信する信号を暗号化しかつ復号化するための第2の通信用共通鍵を生成し、上記第2の通信用共通鍵を用いて受信する信号の復号化を実行する第3の暗号通信手段と、上記サーバ装置の正当性を証明するためのサーバ証明書情報を認証する第2の証明書情報認証手段とを備え、
    上記通信方法は、
    上記第2の接続要求信号を受信する前に、上記サーバ装置から上記サーバ証明書情報を受信するステップと、
    上記受信されたサーバ証明書情報を上記第2の証明書情報認証手段により認証し、上記受信されたサーバ証明書情報が正規であるか否かを確認するステップと、
    上記受信されたサーバ証明書情報を正規であると確認したとき、上記第3の暗号通信手段により第3の共通鍵作成情報を生成し、上記生成された第3の共通鍵作成情報を上記第2のTCP接続を用いて上記サーバ装置に送信し、上記サーバ装置から、上記第3の共通鍵作成情報に応答して生成された第4の共通鍵作成情報を上記第2のTCP接続を用いて受信し、上記第2の共通鍵作成情報及び上記第4の共通鍵作成情報に基づいて上記第3の暗号通信手段により第2の通信用共通鍵を生成する一方、上記第2の通信用共通鍵と同一の通信用共通鍵を上記第3の共通鍵作成情報及び上記第4の共通鍵作成情報に基づいて上記サーバ装置に生成させることにより上記第2の通信用共通鍵を上記サーバ装置との間で共有するステップと、
    上記サーバ装置から、上記第2の通信用共通鍵を用いて暗号化された上記第2の接続要求信号を、上記第2のTCP接続を用いて受信し、上記受信された第2の接続要求信号を、上記第2の通信用共通鍵を用いて上記第3の暗号通信手段により復号化するステップとをさらに含むことを特徴とする請求項29又は30記載の通信方法。
  32. 上記サーバ装置と、上記要求発行機器及び上記要求受諾機器を含む複数の機器とを備えた通信システムの通信方法であって、
    上記複数の機器と上記サーバ装置とはそれぞれネットワークに接続され、
    請求項19記載の通信方法に係る各ステップと、請求項23記載の通信方法に係る各ステップと、請求項27記載の通信方法に係る各ステップとを含むことを特徴とする通信方法。
  33. 上記サーバ装置と、上記要求発行機器及び上記要求受諾機器を含む複数の機器とを備えた通信システムの通信方法であって、
    上記複数の機器と上記サーバ装置とはそれぞれネットワークに接続され、
    請求項20記載の通信方法に係る各ステップと、請求項24記載の通信方法に係る各ステップと、請求項28記載の通信方法に係る各ステップとを含むことを特徴とする通信方法。
  34. 上記サーバ装置と、上記要求発行機器及び上記要求受諾機器を含む複数の機器とを備えた通信システムの通信方法であって、
    上記複数の機器と上記サーバ装置とはそれぞれネットワークに接続され、
    請求項21記載の通信方法に係る各ステップと、請求項24記載の通信方法に係る各ステップと、請求項29記載の通信方法に係る各ステップとを含むことを特徴とする通信方法。
  35. 上記サーバ装置と、上記要求発行機器及び上記要求受諾機器を含む複数の機器とを備えた通信システムの通信方法であって、
    上記複数の機器と上記サーバ装置とはそれぞれネットワークに接続され、
    請求項21記載の通信方法に係る各ステップと、請求項25記載の通信方法に係る各ステップと、請求項30記載の通信方法に係る各ステップとを含むことを特徴とする通信方法。
  36. 上記サーバ装置と、上記要求発行機器及び上記要求受諾機器を含む複数の機器とを備えた通信システムの通信方法であって、
    上記複数の機器と上記サーバ装置とはそれぞれネットワークに接続され、
    請求項22記載の通信方法に係る各ステップと、請求項26記載の通信方法に係る各ステップと、請求項31記載の通信方法に係る各ステップとを含むことを特徴とする通信方法。
  37. 請求項19乃至22のうちの1つの通信方法に係る各ステップを含むことを特徴とするプログラム。
  38. 請求項23乃至26のうちの1つの通信方法に係る各ステップを含むことを特徴とするプログラム。
  39. 請求項27乃至31のうちの1つの通信方法に係る各ステップを含むことを特徴とするプログラム。
  40. 請求項32乃至36のうちの1つの通信方法に係る各ステップを含むことを特徴とするプログラム。
JP2004118812A 2004-04-14 2004-04-14 サーバ装置、要求発行機器、要求受諾機器、通信システム、通信方法及びプログラム Pending JP2005303784A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004118812A JP2005303784A (ja) 2004-04-14 2004-04-14 サーバ装置、要求発行機器、要求受諾機器、通信システム、通信方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004118812A JP2005303784A (ja) 2004-04-14 2004-04-14 サーバ装置、要求発行機器、要求受諾機器、通信システム、通信方法及びプログラム

Publications (1)

Publication Number Publication Date
JP2005303784A true JP2005303784A (ja) 2005-10-27

Family

ID=35334778

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004118812A Pending JP2005303784A (ja) 2004-04-14 2004-04-14 サーバ装置、要求発行機器、要求受諾機器、通信システム、通信方法及びプログラム

Country Status (1)

Country Link
JP (1) JP2005303784A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10149157B2 (en) 2016-01-13 2018-12-04 Omnitracs, Llc Device communication management in a communication system
US11888840B2 (en) 2017-11-09 2024-01-30 Mitsubishi Electric Corporation Apparatus and method for selection and transmission of server certificate

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10149157B2 (en) 2016-01-13 2018-12-04 Omnitracs, Llc Device communication management in a communication system
US11888840B2 (en) 2017-11-09 2024-01-30 Mitsubishi Electric Corporation Apparatus and method for selection and transmission of server certificate

Similar Documents

Publication Publication Date Title
JP4729602B2 (ja) サーバ装置、通信機器、通信システム、プログラム及び記録媒体
JP4081724B1 (ja) クライアント端末、中継サーバ、通信システム、及び通信方法
JP4033868B2 (ja) IPv6ネットワークで認証を処理する方法及びその装置
KR102068367B1 (ko) 사물인터넷을 위한 데이터그램 전송에서 경량 인증을 위한 컴퓨터 구현 시스템 및 방법
EP1719324A1 (en) Method and system for proxy-based secure end-to-end tcp/ip communications
US8392716B2 (en) Communication apparatus, digital signature issuance method and apparatus, and digital signature transmission method
JP2006005909A (ja) 情報処理装置、情報処理方法および情報処理プログラム
JP2002247047A (ja) セッション共有鍵共有方法、無線端末認証方法、無線端末および基地局装置
US20090327730A1 (en) Apparatus and method for encrypted communication processing
JP5012173B2 (ja) 暗号通信処理方法及び暗号通信処理装置
US20030188012A1 (en) Access control system and method for a networked computer system
WO2009082950A1 (fr) Procédé, dispositif et système de distribution de clés
JP6056970B2 (ja) 情報処理装置、端末機、情報処理システム及び情報処理方法
JP2004254271A (ja) ネットワーク機器、ネットワークシステム、および、グループ管理方法
JP2006109152A (ja) ネットワーク上で通信を行う接続要求機器、応答機器、接続管理装置、及び通信システム
JP4837470B2 (ja) Vpnサーバホスティングシステム、vpn構築方法、およびコンピュータプログラム
JP2005303784A (ja) サーバ装置、要求発行機器、要求受諾機器、通信システム、通信方法及びプログラム
JP4707325B2 (ja) 情報処理装置
JP2007166552A (ja) 通信装置及び暗号通信方法
JP2005311747A (ja) サーバ装置、要求発行機器、要求受諾機器、通信システム及びプログラム
KR20070017329A (ko) 프록시에 의한 안전한 단말간 tcp/ip 통신 방법 및통신 시스템
JP2002247023A (ja) セッション共有鍵共有方法、ネットワーク端末認証方法、ネットワーク端末および中継装置
JP2009081710A (ja) 通信機器及び通信機器に用いられる通信方法
JP2004056325A (ja) ホームゲートウェイおよびホームネットワークの通信方法
JP2023138927A (ja) データファイル送信及びデータファイルへのアクセス権を管理するためのシステム及び方法