JP2017106999A - Communication device, communication device control method, and computer program - Google Patents

Communication device, communication device control method, and computer program Download PDF

Info

Publication number
JP2017106999A
JP2017106999A JP2015239236A JP2015239236A JP2017106999A JP 2017106999 A JP2017106999 A JP 2017106999A JP 2015239236 A JP2015239236 A JP 2015239236A JP 2015239236 A JP2015239236 A JP 2015239236A JP 2017106999 A JP2017106999 A JP 2017106999A
Authority
JP
Japan
Prior art keywords
communication
communication device
operation state
information
parameter information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015239236A
Other languages
Japanese (ja)
Inventor
英司 今尾
Eiji Imao
英司 今尾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2015239236A priority Critical patent/JP2017106999A/en
Publication of JP2017106999A publication Critical patent/JP2017106999A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Selective Calling Equipment (AREA)
  • Power Sources (AREA)

Abstract

PROBLEM TO BE SOLVED: To allow a communication device performing cipher communication with another communication device to shift the operation state of the communication device more easily.SOLUTION: A communication device includes: communication means for performing cipher communication with another communication device in a first operation state and performing non-cipher communication in a second operation state smaller in power consumption than the first operation state; determination means for determining whether a valid period of parameter information used for cipher communication by the communication means has passed or not; determination means for determining in the first operation state whether to shift to the second operation state on the basis of at least a determination result by the determination means; and shift means for shifting from the first operation state to the second operation state when the determination means determines to shift to the second operation state.SELECTED DRAWING: Figure 5

Description

本発明は、ネットワークに接続して相互に暗号化通信が可能な通信装置、該通信装置の制御方法およびコンピュータプログラムに関する。   The present invention relates to a communication device capable of mutual encrypted communication connected to a network, a control method for the communication device, and a computer program.

従来、ネットワークに接続してIP通信を実行する情報処理装置では、その主要機能が動作していない間、装置内のシステムを構成するCPUやメモリを含む大部分のハードウェアの電源をオフにして省電力化を図ることが実現されている。ここで、IPとはInternet Protocolの略称である。
通常、このように省電力に移行した状態において、外部の通信装置(例えばリモートコントローラ)からのネットワーク通信で起動要求を受信した場合、省電力状態から、該情報処理装置の主要機能が動作可能な通常電力状態へ復帰可能に構成される。このため、情報処理装置は、省電力状態において、ネットワーク通信処理を実行可能な一部のハードウェアのみに電力を供給することによって、通常電力状態に復帰させるための起動要求を受信待機する。 Conventionally, in an information processing apparatus that performs IP communication by connecting to a network, the main hardware including a CPU and a memory constituting the system in the apparatus is turned off while the main function is not operating. Realizing power saving. Here, IP is an abbreviation for Internet Protocol.
Normally, when the activation request is received through network communication from an external communication device (for example, a remote controller) in the state of shifting to power saving in this way, the main functions of the information processing device can operate from the power saving state. It is configured to be able to return to the normal power state. For this reason, in the power saving state, the information processing apparatus waits to receive an activation request for returning to the normal power state by supplying power only to a part of hardware capable of performing network communication processing.

あるいは、情報処理装置が外部のリモートコントローラからの問合せを受信した場合、システムを通常電力状態に復帰させることなく、応答を送信することを実現しているものもある。
情報処理装置が省電力状態で受信待機する方法として、情報処理装置が備えるNIC(Network Interface Card)のみに電力を供給して動作させる方法がある。この場合、NICがネットワークから受信するフレームを検査し、特定パターンのデータを含む場合に、応答処理あるいはシステム起動処理を実行する。
ところで、近年ではIPプロトコルにおいて、IPsec(Security Architecture for Internet Protocol)通信などの暗号化通信が可能である。このIPsec通信処理では、パケットの暗号および復号処理や、IPsec通信セッションに係るデータベース検索処理などの処理を含むため、非IPsec通信処理と比較して、ソフトウェアおよびハードウェアの実装量が大きくなる。このため、IPsec通信処理に係る消費電力も高くなってしまう。 Alternatively, in some cases, when the information processing apparatus receives an inquiry from an external remote controller, a response is transmitted without returning the system to the normal power state.
As a method for the information processing apparatus to wait for reception in a power saving state, there is a method in which power is supplied only to a NIC (Network Interface Card) provided in the information processing apparatus for operation. In this case, the NIC receives a frame received from the network, and executes response processing or system activation processing when it includes data of a specific pattern.
Incidentally, in recent years, encryption communication such as IPsec (Security Architecture for Internet Protocol) communication is possible in the IP protocol. Since this IPsec communication processing includes processing such as packet encryption and decryption processing and database search processing related to an IPsec communication session, the amount of software and hardware to be installed is larger than that of non-IPsec communication processing. For this reason, the power consumption related to the IPsec communication processing is also increased.

これに対して、省電力状態で待機している間、消費電力の高いIPsec通信を行わずに平文通信のみを実行可能とする仕様とするものがある。あるいは、省電力状態で待機している間、選択的にIPsecを使用しないように制御するものもある。これにより、IPsecによる暗号化通信よりも消費電力を低く抑えることを可能としている。
しかしながら、このような情報処置装置においては、通常電力状態においてリモートコントローラとIPsec通信を実行し、待機状態(省電力状態)において平文(非暗号)通信を実行するように、動作モードの切り替えを行う必要が生じる。
特許文献1は、通常電力モードから省電力モード(スリープモード)に移行する直前に、外部装置にIPsec通信無効化の要求(暗号化通信を実行しないよう指示する要求)を出す情報処理装置を開示する。一方、情報処理装置が省電力状態のスリープモードから通常電力モードに復帰したときに、外部装置にIPsec通信の有効化の要求を出す。 On the other hand, there is a specification that allows only plaintext communication to be performed without performing IPsec communication with high power consumption while waiting in a power saving state. Alternatively, there is a control for selectively not using IPsec while waiting in a power saving state. As a result, the power consumption can be kept lower than that of encrypted communication by IPsec.
However, in such an information processing apparatus, the operation mode is switched so that IPsec communication with the remote controller is performed in the normal power state, and plaintext (non-encrypted) communication is performed in the standby state (power saving state). Need arises.
Patent Document 1 discloses an information processing apparatus that issues an IPsec communication invalidation request (a request to instruct not to execute encrypted communication) to an external device immediately before shifting from the normal power mode to the power saving mode (sleep mode). To do. On the other hand, when the information processing apparatus returns from the sleep mode in the power saving state to the normal power mode, a request for enabling IPsec communication is issued to the external apparatus.

特開2010−218011号公報JP 2010-218011 A

情報処理装置とリモートコントローラとがネットワークを介して通信する通信システムにおいて、上記のように、情報処理装置側で、通常電力状態でIPsec通信を使用し、省電力状態で非暗号通信を行うには、リモートコントローラと連携しなければならない。
具体的には、上記のような構成を採用する場合、リモートコントローラ側において、情報処理装置の通常電力状態から省電力状態への移行時にIPsec通信を無効にする必要がある。
このようにIPsec通信を無効にするために、情報処理装置とリモートコントローラとの間で折衝を行うこともできる。しかしながら、この場合は、パケットロスなどが原因で、情報処理装置が通常電力状態から省電力状態への移行に時間が掛かってしまいかねない。さらに、IPsec通信の相手方装置であるリモートコントローラへIPsec通信無効化の要求を送信し、リモートコントローラ側でセキュリティポリシーを変更し、双方が同期して省電力状態へ移行するには、煩雑な処理が必要であった。
そこで本発明の目的は、他の通信装置との間で暗号通信を行う通信装置において、通信装置の動作状態の移行をより容易に実行することが可能な技術を提供することにある。 In a communication system in which an information processing device and a remote controller communicate via a network, as described above, on the information processing device side, using IPsec communication in a normal power state and performing non-encrypted communication in a power saving state Must work with remote controller.
Specifically, when adopting the configuration as described above, it is necessary to invalidate the IPsec communication on the remote controller side when the information processing apparatus shifts from the normal power state to the power saving state.
Thus, in order to invalidate the IPsec communication, it is possible to negotiate between the information processing apparatus and the remote controller. However, in this case, it may take time for the information processing apparatus to shift from the normal power state to the power saving state due to packet loss or the like. Furthermore, sending a request for invalidating IPsec communication to the remote controller that is the counterpart device for IPsec communication, changing the security policy on the remote controller side, and making the both devices synchronize and shift to the power saving state requires complicated processing. It was necessary.
SUMMARY OF THE INVENTION An object of the present invention is to provide a technology capable of more easily executing the transition of the operation state of a communication device in a communication device that performs encrypted communication with another communication device.

上記課題を解決するために、本発明に係る通信装置の一態様は、他の通信装置との間で、第1の動作状態において暗号通信を行い、前記第1の動作状態より消費電力の小さい第2の動作状態において非暗号通信を行う通信手段と、前記通信手段が暗号通信に利用するパラメータ情報の有効期間を経過したか否かを判定する判定手段と、前記第1の動作状態において、少なくとも前記判定手段による判定結果に基づいて、前記第2の動作状態へ移行するか否かを決定する決定手段と、前記決定手段が、前記第2の動作状態へ移行すると決定した場合に、前記第1の動作状態から前記第2の動作状態へ移行する移行手段と、を有する。   In order to solve the above-described problem, an aspect of a communication device according to the present invention performs cryptographic communication with another communication device in a first operation state, and consumes less power than the first operation state. A communication means for performing non-encrypted communication in the second operation state; a determination means for determining whether or not an effective period of parameter information used by the communication means for encryption communication has elapsed; and in the first operation state, Determining means for determining whether or not to shift to the second operating state based on a determination result by at least the determining means; and when the determining means determines to shift to the second operating state, Transition means for shifting from the first operating state to the second operating state.

上記課題を解決するために、本発明に係る通信装置の他の一態様は、通信装置であって、他の通信装置との暗号通信に利用されるパラメータ情報の有効期間が経過したことを検出する検出手段と、前記検出手段が、前記パラメータ情報の有効期間が経過したことを検出した際に、前記他の通信装置の動作状態を判定する判定手段と、前記判定手段による判定結果に基づいて、前記他の通信装置と暗号通信を継続するか、非暗号通信を行うかを選択する選択手段と、前記選択手段により選択された通信方法で前記他の通信装置と通信する通信手段と、を有する。   In order to solve the above-described problem, another aspect of the communication device according to the present invention is a communication device that detects that a validity period of parameter information used for encryption communication with another communication device has elapsed. Based on the determination result by the determination means, the determination means for determining the operating state of the other communication device, when the detection means detects that the effective period of the parameter information has passed. Selection means for selecting whether to continue encryption communication or non-encryption communication with the other communication device, and communication means for communicating with the other communication device by the communication method selected by the selection means. Have.

本発明によれば、他の通信装置との間で暗号通信を行う通信装置において、通信装置の動作状態の移行をより容易に実行することが可能となる。   ADVANTAGE OF THE INVENTION According to this invention, in the communication apparatus which performs encryption communication between other communication apparatuses, it becomes possible to perform the transition of the operation state of a communication apparatus more easily.

実施形態1における通信システム100の模式図である。1 is a schematic diagram of a communication system 100 according to Embodiment 1. FIG. 情報処理装置101のハードウェア構成の一例を示すブロック図である。2 is a block diagram illustrating an example of a hardware configuration of an information processing apparatus 101. FIG. 情報処理装置101の動作モードの状態遷移図である。6 is a state transition diagram of an operation mode of the information processing apparatus 101. FIG. 省電力待機状態である通信システム100の模式図である。1 is a schematic diagram of a communication system 100 in a power saving standby state. 実施形態1における情報処理装置の処理を表すフローチャートである。3 is a flowchart illustrating processing of the information processing apparatus according to the first embodiment. 実施形態1におけるリモートコントローラの処理を表すフローチャートである。3 is a flowchart illustrating processing of a remote controller in the first embodiment. 実施形態2における情報処理装置の処理を表すフローチャートである。10 is a flowchart illustrating processing of the information processing apparatus according to the second embodiment. 実施形態2におけるリモートコントローラの処理を表すフローチャートである。10 is a flowchart illustrating processing of a remote controller in the second embodiment.

以下、添付図面を参照して、本発明を実施するための形態について詳細に説明する。
なお、以下に説明する実施の形態は、本発明の実現手段としての一例であり、本発明が適用される装置の構成や各種条件によって適宜修正又は変更されるべきものであり、本発明は以下の実施の形態に限定されるものではない。
実施形態1
図1は、本実施形態における通信システム100の構成の概要を表す模式図であり、通常電力状態(第1の動作状態)における動作の概要を表す図である。図1に示すように、情報処理装置101とリモートコントローラ201とは、LAN/WANから構成されるネットワーク301を介して通信可能に接続され、リモートコントローラ201から情報処理装置101を遠隔操作することが可能である。情報処理装置101は、ネットワーク301と通信を行うネットワーク通信部102と、情報処理装置の主要な機能を実行するアプリケーションシステム部103とを備えている。リモートコントローラ201は、情報処理装置101に対して操作指示/状態問合せ401を、ネットワーク301を介して送信する。情報処理装置101は、リモートコントローラ201に対して指示応答/処理結果/問合せ応答402を、ネットワーク301を介して送信する。 DESCRIPTION OF EMBODIMENTS Hereinafter, embodiments for carrying out the present invention will be described in detail with reference to the accompanying drawings.
The embodiment described below is an example as means for realizing the present invention, and should be appropriately modified or changed depending on the configuration and various conditions of the apparatus to which the present invention is applied. It is not limited to the embodiment.
Embodiment 1
FIG. 1 is a schematic diagram illustrating an overview of the configuration of the communication system 100 in the present embodiment, and is a diagram illustrating an overview of operation in a normal power state (first operation state). As shown in FIG. 1, the information processing apparatus 101 and the remote controller 201 are communicably connected via a network 301 configured by a LAN / WAN, and the information processing apparatus 101 can be remotely operated from the remote controller 201. Is possible. The information processing apparatus 101 includes a network communication unit 102 that communicates with the network 301 and an application system unit 103 that executes main functions of the information processing apparatus. The remote controller 201 transmits an operation instruction / status inquiry 401 to the information processing apparatus 101 via the network 301. The information processing apparatus 101 transmits an instruction response / processing result / inquiry response 402 to the remote controller 201 via the network 301.

図2は、情報処理装置101のハードウェアやソフトウェアの構成例を示すブロック図である。情報処理装置101は、ネットワーク通信部102と、アプリケーションシステム部103と、電源制御部115と、を備えている。情報処理装置101はマルチプロセッサ登載であってよく、ネットワーク通信部102とアプリケーションシステム部103とは、それぞれ別個に備えられるプロセッサ(CPU)により制御されてよい。なお、リモートコントローラ201も、図2に示すハードウェア構成の全部または一部を備えてよく、PCや携帯端末等に実装されてもよい。   FIG. 2 is a block diagram illustrating a configuration example of hardware and software of the information processing apparatus 101. The information processing apparatus 101 includes a network communication unit 102, an application system unit 103, and a power control unit 115. The information processing apparatus 101 may be installed in a multiprocessor, and the network communication unit 102 and the application system unit 103 may be controlled by a processor (CPU) provided separately. The remote controller 201 may also include all or part of the hardware configuration shown in FIG. 2, and may be mounted on a PC, a portable terminal, or the like.

(ネットワーク通信部102)
ネットワーク通信部102は、通信制御部105と、ローカルRAM106と、プロトコル処理部107と、バスブリッジ108と、ローカルバス104とを備えている。通信制御部105は、ネットワーク301に対して伝送フレームの送受信を行う。例えばネットワーク301がイーサネット(登録商標)の場合、通信制御部105は、イーサネット(登録商標)のMAC処理(伝送メディア制御処理)や、伝送フレームの送受信を行う。
なお、ネットワーク301は、例えばイーサネット(登録商標)でよいが、無線ネットワークや、光ファイバーネットワーク等であってもよい。また、情報処理装置101を操作するリモートコントローラ201は、ネットワーク301を介してTCP/IPプロトコルを用いた通信を行えるものとする。
プロトコル処理部107は、TCP/IP通信処理を実行するための通信プロトコル処理専用のハードウェア回路装置、あるいは通信プロトコル処理用に設計されたマイクロプロセッサであり、汎用的なTCP/IPプロトコルの通信処理を行う。より具体的には、プロトコル処理部107は、IPv4(IPバージョン4)、IPv6(IPバージョン6)、ICMP、UDP、TCPの各通信プロトコル処理や、送信フロー制御や輻輳制御、通信エラー制御等を行う。なお、ICMPは、Internet Control Message Protocolの略称である。UDPは、User Datagram Protocolの略称である。 (Network communication unit 102)
The network communication unit 102 includes a communication control unit 105, a local RAM 106, a protocol processing unit 107, a bus bridge 108, and a local bus 104. The communication control unit 105 transmits / receives a transmission frame to / from the network 301. For example, when the network 301 is Ethernet (registered trademark), the communication control unit 105 performs Ethernet (registered trademark) MAC processing (transmission media control processing) and transmission and reception of transmission frames.
The network 301 may be Ethernet (registered trademark), for example, but may be a wireless network, an optical fiber network, or the like. The remote controller 201 that operates the information processing apparatus 101 can perform communication using the TCP / IP protocol via the network 301.
The protocol processing unit 107 is a hardware circuit device dedicated to communication protocol processing for executing TCP / IP communication processing, or a microprocessor designed for communication protocol processing, and is a general-purpose TCP / IP protocol communication processing. I do. More specifically, the protocol processing unit 107 performs IPv4 (IP version 4), IPv6 (IP version 6), ICMP, UDP, TCP communication protocol processing, transmission flow control, congestion control, communication error control, and the like. Do. ICMP is an abbreviation for Internet Control Message Protocol. UDP is an abbreviation for User Datagram Protocol.

また、プロトコル処理部107は、電源制御部115と制御信号線で接続されており、電源制御部115の動作制御を行う。プロトコル処理部107は、制御信号線を介して電源制御部115の電源制御の状態を監視することもでき、現在どのような電源供給が行われているのかを知ることができる。
ローカルRAM106は、ネットワーク通信部102内の処理における種々のデータを一時記憶する装置であり、例えば、通信制御部105やプロトコル制御部107の処理におけるデータの一時記憶領域として使用される。バスブリッジ108は、ネットワーク通信部102のローカルバス104と、アプリケーションシステム部103のシステムバス109との間のデータ転送を行う。すなわち、ネットワーク通信部102と、アプリケーションシステム部103とは、それぞれのバス回路が相互に接続されており、通信データの入出力においてバス間転送が行われる構成を採用している。
ローカルバス104は、ネットワーク通信部102に含まれる通信制御部105と、ローカルRAMと、プロトコル処理部107と、バスブリッジ108とを相互に接続する。 The protocol processing unit 107 is connected to the power supply control unit 115 through a control signal line, and controls the operation of the power supply control unit 115. The protocol processing unit 107 can also monitor the power control state of the power control unit 115 via the control signal line, and can know what power supply is currently being performed.
The local RAM 106 is a device that temporarily stores various data in the processing in the network communication unit 102, and is used as a temporary storage area for data in the processing of the communication control unit 105 and the protocol control unit 107, for example. The bus bridge 108 performs data transfer between the local bus 104 of the network communication unit 102 and the system bus 109 of the application system unit 103. That is, the network communication unit 102 and the application system unit 103 have a configuration in which respective bus circuits are connected to each other and inter-bus transfer is performed in communication data input / output.
The local bus 104 connects the communication control unit 105 included in the network communication unit 102, the local RAM, the protocol processing unit 107, and the bus bridge 108 to each other.

(アプリケーションシステム部103)
アプリケーションシステム部103は、CPU110と、システムプログラムが格納されているROM111と、システムソフトウェアやアプリケーションソフトウェアの実行時に使用される一時記憶装置であるRAM112と、を備えている。また、アプリケーションシステム部103は、暗号処理部113と、アプリケーション機能部114と、システムバス109と、を備えている。
CPU110は、ROM111からソフトウェアプログラムを読み込み、RAM112に格納し、RAM112上に格納したそのソフトウェアプログラムを実行する。暗号処理部113およびアプリケーション機能部114は、情報処理装置101の主要なアプリケーション機能を実現するために使用するハードウェア処理部である。なお、CPU110と、ROM111と、RAM112と、暗号処理部113と、アプリケーション機能部114とはシステムバス109を介して相互に接続されている。 (Application system unit 103)
The application system unit 103 includes a CPU 110, a ROM 111 that stores system programs, and a RAM 112 that is a temporary storage device used when system software and application software are executed. The application system unit 103 includes an encryption processing unit 113, an application function unit 114, and a system bus 109.
The CPU 110 reads a software program from the ROM 111, stores it in the RAM 112, and executes the software program stored on the RAM 112. The cryptographic processing unit 113 and the application function unit 114 are hardware processing units used for realizing main application functions of the information processing apparatus 101. Note that the CPU 110, the ROM 111, the RAM 112, the encryption processing unit 113, and the application function unit 114 are connected to each other via the system bus 109.

(電源制御部115)
電源制御部115は、ネットワーク通信部102及びアプリケーションシステム部103の電力供給を独立的に制御する電源制御部である。電源制御部115は、特にアプリケーションシステム部103が備えるシステムバス109からアプリケーション機能部114までの各部に対して、電源投入の制御、ハードウェアリセット制御等を行う。さらに、電源制御部115は、アプリケーションシステム部103全体が安全に起動・停止するためのシーケンス制御を行う。 (Power control unit 115)
The power control unit 115 is a power control unit that independently controls the power supply of the network communication unit 102 and the application system unit 103. The power control unit 115 performs power-on control, hardware reset control, and the like for each unit from the system bus 109 to the application function unit 114 provided in the application system unit 103. Furthermore, the power supply control unit 115 performs sequence control for safely starting and stopping the entire application system unit 103.

(情報処理装置101の機能)
情報処理装置101の主要な機能は、アプリケーションシステム部103で実現される。また、CPU110で実行されるアプリケーションプログラムは、ネットワーク通信を行うことができる。各アプリケーションプログラムによるネットワーク通信は、TCP/IPプロトコルをベースとした通信であるものとする。前述のように、このTCP/IPプロトコル処理は、ネットワーク通信部102(通信手段)において実行することができる。
本実施形態において、ネットワーク通信部102(通信手段)は、さらにIPsec通信を実行することができる。ネットワーク通信部102内のプロトコル処理部107が、IPsecの種々のセキュリティプロトコルによるパケットの送受信処理を実行する。IPsecのセキュリティプロトコルとしては、例えば、ESP(Encapsulating Security Payload)やAH(Authentication Header)等が挙げられる。
プロトコル処理部107は、IPsecの暗号化機能で必要とする暗号アルゴリズム計算を、暗号処理部113のハードウェアで実行する。プロトコル処理部107はまた、認証機能で必要とするMAC(Message Authentication Code)に用いられるハッシュ値の計算やその他の計算を、暗号処理部113のハードウェアを利用して実行する。 (Function of information processing apparatus 101)
The main functions of the information processing apparatus 101 are realized by the application system unit 103. Further, the application program executed by the CPU 110 can perform network communication. It is assumed that network communication by each application program is communication based on the TCP / IP protocol. As described above, this TCP / IP protocol process can be executed in the network communication unit 102 (communication means).
In the present embodiment, the network communication unit 102 (communication means) can further execute IPsec communication. A protocol processing unit 107 in the network communication unit 102 executes packet transmission / reception processing using various IPsec security protocols. Examples of the IPsec security protocol include ESP (Encapsulating Security Payload) and AH (Authentication Header).
The protocol processing unit 107 executes cryptographic algorithm calculation required for the encryption function of IPsec with the hardware of the cryptographic processing unit 113. The protocol processing unit 107 also performs calculation of a hash value used for MAC (Message Authentication Code) required for the authentication function and other calculations by using the hardware of the cryptographic processing unit 113.

(セキュリティパラメータ:SA情報)
IPsecパケットの送信・受信処理(復号処理)では、IPsecセッション毎にセキュリティパラメータ情報(パラメータ情報)であるSA(Securitiy Association)情報が参照(利用)され、その内容に基づき暗号化等が行われる。
SA情報には、SA情報を検索あるいは識別するためのキーであるSPI(Security Parameter Index)や、IPsecプロトコル種別、IPsecプロトコルモードを示すパラメータが含まれる。また、SA情報には、暗号・復号処理で使用する暗号アルゴリズム、暗号鍵、MAC処理で使用する認証アルゴリズム、認証鍵なども含まれる。さらに、該SA情報の有効期間を示すパラメータも含まれる。 (Security parameter: SA information)
In the transmission / reception process (decryption process) of an IPsec packet, SA (Security Association) information, which is security parameter information (parameter information), is referenced (used) for each IPsec session, and encryption is performed based on the contents.
The SA information includes an SPI (Security Parameter Index) that is a key for searching or identifying the SA information, parameters indicating the IPsec protocol type, and the IPsec protocol mode. The SA information also includes an encryption algorithm used in encryption / decryption processing, an encryption key, an authentication algorithm used in MAC processing, an authentication key, and the like. Furthermore, a parameter indicating the validity period of the SA information is also included.

本実施形態において、情報処理装置101は、このSA情報を、RAM112上に形成したSAD(Secerutiy Association Database)を用いて管理する。すなわち、SADとは、SA情報を管理するデータベースである。そして、アプリケーションシステム部103のCPU110が、所定のソフトウェア処理を実行することによって、SADへのSA情報の登録や削除などの操作が実行される。
情報処理装置101は、通信相手とのIPsecセッションを確立するときに、IPsecセッション管理において広く利用されている標準の鍵交換プロトコルであるIKE(Internet Key Exchange)の折衝を実行する。情報処理装置101は、このIKEの折衝を実行することによって、SA情報を生成する。情報処理装置101は、そのCPU110が所定のソフトウェアを実行することによってIKEの通信処理を実現している。 In the present embodiment, the information processing apparatus 101 manages this SA information by using a SAD (Security Association Database) formed on the RAM 112. That is, the SAD is a database that manages SA information. Then, the CPU 110 of the application system unit 103 executes predetermined software processing, thereby performing operations such as registration and deletion of SA information in the SAD.
When the information processing apparatus 101 establishes an IPsec session with a communication partner, the information processing apparatus 101 negotiates IKE (Internet Key Exchange), which is a standard key exchange protocol widely used in IPsec session management. The information processing apparatus 101 generates SA information by executing this IKE negotiation. The information processing apparatus 101 realizes IKE communication processing by the CPU 110 executing predetermined software.

(セキュリティポリシー:SP情報)
プロトコル処理部107が、IPパケットに対して、IPsec処理を実行するか否かは、該IPパケットに関して特定されるSP(Security Policy)情報(暗号化ポリシー)に基づき決定される。このSP情報は、IPパケットの宛先・送信元IPアドレスや、IPパケットが運ぶ上位層プロトコルおよびポート番号に基づいて特定される。
このSP情報にはセキュリティポリシーを示すパラメータが含まれている。そのパラメータは、例えば、IPsecを適用することを示す“PROTECT”、IPsecを適用しない“BYPASS”、通信パケットを破棄する“DISCARD”等の種類がある。例えば、送信する平文(非暗号化)パケットに適用するセキュリティポリシーのパラメータが“PROTECT”である場合は、IPsec処理を実施し、平文パケットから、暗号化されたIPsecパケットを生成して送信することを表す。
本実施形態において、情報処理装置101は、セキュリティポリシー情報(SP情報)をSPD(Secerutiy Policy Database)を用いて管理する。このSPDは、例えば、RAM112上に設けてよい。そして、アプリケーションシステム部103のCPU110が実行するソフトウェア処理によって、SPDへのSP情報の登録、削除、更新などの操作が実行される。 (Security policy: SP information)
Whether or not the protocol processing unit 107 performs the IPsec process for the IP packet is determined based on SP (Security Policy) information (encryption policy) specified for the IP packet. The SP information is specified based on the destination / source IP address of the IP packet, the upper layer protocol and the port number carried by the IP packet.
This SP information includes a parameter indicating a security policy. The parameters include, for example, “PROTECT” indicating that IPsec is applied, “BYPASS” where IPsec is not applied, and “DISCARD” where communication packets are discarded. For example, when the parameter of the security policy applied to the plaintext (non-encrypted) packet to be transmitted is “PROTECT”, the IPsec processing is performed, and the encrypted IPsec packet is generated from the plaintext packet and transmitted. Represents.
In the present embodiment, the information processing apparatus 101 manages security policy information (SP information) using an SPD (Security Policy Database). This SPD may be provided on the RAM 112, for example. Then, operations such as registration, deletion, and update of SP information in the SPD are executed by software processing executed by the CPU 110 of the application system unit 103.

(通常電力状態と省電力待機状態との間の状態遷移)
以上のように構成される情報処理装置101は、主要機能が非動作であるアイドル状態において、省電力待機状態(「省電力状態」ないし「待機状態」ともいう。)(第2の動作状態)に移行することができる。
図3は、情報処理装置101の消費電力状態の遷移図である。図3において、通常電力状態501(第1の動作状態)においては、情報処理装置101の主要機能が通常通り起動し、動作状態にある間、通常電力状態が維持されている(503)。この通常電力状態501において、電源制御部115は、アプリケーションシステム部103を含む情報処理装置101全体に電力を供給するように制御を行う。また、情報処理装置101のネットワーク通信部102(通信手段)がIPsec通信を実行可能な状態である。すなわち、通常電力状態501(第1の動作状態)においては、ネットワーク通信部102(通信手段)は暗号通信をすることができる。 (State transition between normal power state and power saving standby state)
The information processing apparatus 101 configured as described above is in the power saving standby state (also referred to as “power saving state” or “standby state”) in the idle state in which the main functions are not operating (second operating state). Can be migrated to.
FIG. 3 is a transition diagram of the power consumption state of the information processing apparatus 101. In FIG. 3, in the normal power state 501 (first operation state), the main functions of the information processing apparatus 101 are activated as usual, and the normal power state is maintained while being in the operation state (503). In the normal power state 501, the power supply control unit 115 performs control to supply power to the entire information processing apparatus 101 including the application system unit 103. In addition, the network communication unit 102 (communication means) of the information processing apparatus 101 is in a state where it can execute IPsec communication. That is, in the normal power state 501 (first operation state), the network communication unit 102 (communication means) can perform encrypted communication.

一方通常電力状態501から、主要機能が非動作であるアイドル状態となる(504)と、省電力待機状態502へ移行することが可能となる。この省電力待機状態502において、電源制御部115は、ネットワーク通信部102と、電源制御部115自体とには、電力を供給するように制御を行う。
この省電力待機状態502において、電源制御部115は、アプリケーションシステム部103を電源がオフの状態に制御している。その結果、アプリケーションシステム部103のシステムバス109、CPU110、RAM112、暗号処理部113は停止している。この省電力待機状態502において、通常電力状態501となる事象が発生しない限り、この省電力待機状態502が維持される(506)。暗号処理部113が停止しているため、省電力待機状態502において、プロトコル処理部107は、暗号処理部113を用いるIPsec処理に必要なSP情報やSA情報の検索や参照、暗号化・復号化処理を実行することができない。すなわち、ネットワーク通信部102(通信手段)は、省電力待機状態502において、IPsec処理の実行が不可となり、暗号化通信に替えて平文(非暗号)通信を実行する。この省電力待機状態502(第2の動作状態)は、通常電力状態501に比べて、消費電力が小さくすることができる。なお、プロトコル処理部107は、制御信号線を介して、電源制御部115の制御の状態を知ることができ、アプリケーションシステム部103の暗号処理部113が停止していることを知ることができる。この場合、プロトコル処理部107は、暗号処理部113を用いずに(暗号化の処理を行わずに)、平文(非暗号)通信の処理を実行する。 On the other hand, when the idle state in which the main function is inactive is entered from the normal power state 501 (504), it is possible to shift to the power saving standby state 502. In the power saving standby state 502, the power supply control unit 115 performs control to supply power to the network communication unit 102 and the power supply control unit 115 itself.
In the power saving standby state 502, the power supply control unit 115 controls the application system unit 103 to be in a power-off state. As a result, the system bus 109, CPU 110, RAM 112, and encryption processing unit 113 of the application system unit 103 are stopped. In the power saving standby state 502, unless the event that becomes the normal power state 501 occurs, the power saving standby state 502 is maintained (506). Since the cryptographic processing unit 113 is stopped, in the power saving standby state 502, the protocol processing unit 107 searches and references SP information and SA information necessary for IPsec processing using the cryptographic processing unit 113, encryption / decryption, and the like. The process cannot be executed. That is, the network communication unit 102 (communication means) cannot execute the IPsec process in the power saving standby state 502, and executes plaintext (non-encrypted) communication instead of encrypted communication. In the power saving standby state 502 (second operation state), power consumption can be reduced as compared with the normal power state 501. Note that the protocol processing unit 107 can know the control state of the power control unit 115 via the control signal line, and can know that the encryption processing unit 113 of the application system unit 103 is stopped. In this case, the protocol processing unit 107 executes plaintext (non-encrypted) communication processing without using the encryption processing unit 113 (without performing encryption processing).

省電力待機状態502から通常電力状態501への移行は、種々の事象によって行われる。例えば、図3に示すように、情報処理装置101が、ネットワーク301を介してシステムの起動要求505を受信した場合、情報処理装置101をユーザが操作した場合、等が挙げられる。
図1が、通常電力状態501における通信システム100の構成とその動作の概要を示す模式図であるのに対して、図4は、省電力待機状態502における通信システム100の構成とその動作の概要を示す模式図である。図4において、リモートコントローラ201は、省電力待機状態502である情報処理装置101に対してシステム起動要求403を、ネットワーク301を介して送信する。システム起動要求403を受信したネットワーク通信部102は、アプリケーションシステム部103を起動させる(404)。具体的には、ネットワーク通信部102がシステム起動要求403を受信すると、前記ネットワーク通信部102が電源制御部115を制御して、アプリケーションシステム部103に電力を供給し、アプリケーションシステム部103の起動シーケンスを実行する。 The transition from the power saving standby state 502 to the normal power state 501 is performed by various events. For example, as illustrated in FIG. 3, the information processing apparatus 101 receives a system activation request 505 via the network 301, or the user operates the information processing apparatus 101.
FIG. 1 is a schematic diagram showing an outline of the configuration and operation of the communication system 100 in the normal power state 501, whereas FIG. 4 is an outline of the configuration and operation of the communication system 100 in the power saving standby state 502. It is a schematic diagram which shows. In FIG. 4, the remote controller 201 transmits a system activation request 403 to the information processing apparatus 101 that is in the power saving standby state 502 via the network 301. The network communication unit 102 that has received the system activation request 403 activates the application system unit 103 (404). Specifically, when the network communication unit 102 receives the system activation request 403, the network communication unit 102 controls the power supply control unit 115 to supply power to the application system unit 103, and the activation sequence of the application system unit 103 Execute.

(情報処理装置101の省電力待機状態502への移行処理)
次に、情報処理装置101が通常電力状態501から省電力待機状態502へ移行する処理について、図5を参照して説明する。図5のフローチャートが示す処理は、CPU110(図2参照)がROM111やRAM112に格納されているソフトウェアを実行することによって実現される処理である。これら処理は、通常電力状態501(図3参照)において実行される処理である。
まず、S1において、処理が開始されると、S2において、情報処理装置101のCPU110は、リモートコントローラ201との間のIPsecセッションが確立中であるか否かを判定する。この結果、CPU110が、IPsecセッションの確立中ではないと判定した場合はS3に進み、確立中であると判定した場合はS4に進む。
S3において、CPU110は、省電力待機状態502に移行可能であるか否かを判定する。S3の判定条件は、例えば、情報処理装置101の主要な機能が動作していないアイドル状態であるか否かという条件とすることができる。CPU110は、この判定条件に基づき、情報処理装置101の主要な機能が動作していないアイドル状態である場合は、省電力待機状態502に移行可能であると判定することができる。S3において、省電力待機状態502へ移行可能であると判定した場合は、S6に進み、省電力待機状態502に移行不可と判定した場合は、S2へ戻る。 (Transition processing of the information processing apparatus 101 to the power saving standby state 502)
Next, processing in which the information processing apparatus 101 shifts from the normal power state 501 to the power saving standby state 502 will be described with reference to FIG. 5 is a process realized by the CPU 110 (see FIG. 2) executing software stored in the ROM 111 or the RAM 112. These processes are executed in the normal power state 501 (see FIG. 3).
First, when the process is started in S1, the CPU 110 of the information processing apparatus 101 determines in S2 whether an IPsec session with the remote controller 201 is being established. As a result, if the CPU 110 determines that the IPsec session is not being established, the process proceeds to S3, and if it is determined that the IPsec session is being established, the process proceeds to S4.
In S <b> 3, the CPU 110 determines whether it is possible to shift to the power saving standby state 502. The determination condition of S3 can be, for example, a condition whether or not the main function of the information processing apparatus 101 is in an idle state. Based on this determination condition, the CPU 110 can determine that the transition to the power saving standby state 502 is possible when the main function of the information processing apparatus 101 is in an idle state. If it is determined in S3 that the transition to the power saving standby state 502 is possible, the process proceeds to S6. If it is determined that the transition to the power saving standby state 502 is impossible, the process returns to S2.

S4において、CPU110(判定手段)は、リモートコントローラ201へのIPsec送信処理で参照している送信SA情報(パラメータ情報)の有効期間が経過しているか否かを判定する(検出する)。もし、送信SA情報の有効期間が経過していればS5へ進み、有効期間内であればS2へ戻る。なお、送信SA情報(パラメータ情報)は、情報処理装置101からリモートコントローラ201(通信装置)への暗号化送信処理に適用される。
本実施形態においては、送信SA情報の有効期間が経過したことをトリガに省電力待機状態502への移行が行われる。このため、本実施形態においては、IPsec無効化等の通知を、ネットワーク301を介してリモートコントローラ201へ送信し、折衝を経なくとも、円滑かつ迅速に省電力待機状態502に移行することができる。また、本実施形態においては、このように送信SA情報の有効期間が経過したことをトリガに省電力待機状態502への移行を行っているので、省電力待機状態502に移行させたい時間に基づき、送信SA情報の有効期間を予め設定してもよい。 In S4, the CPU 110 (determination means) determines (detects) whether or not the valid period of the transmission SA information (parameter information) referred to in the IPsec transmission processing to the remote controller 201 has elapsed. If the valid period of the transmission SA information has elapsed, the process proceeds to S5, and if within the valid period, the process returns to S2. The transmission SA information (parameter information) is applied to an encrypted transmission process from the information processing apparatus 101 to the remote controller 201 (communication apparatus).
In the present embodiment, the transition to the power saving standby state 502 is performed when the validity period of the transmission SA information has elapsed. For this reason, in this embodiment, a notification such as IPsec invalidation can be transmitted to the remote controller 201 via the network 301, and the transition to the power saving standby state 502 can be performed smoothly and quickly without negotiation. . In the present embodiment, since the transition to the power saving standby state 502 is performed by using the elapse of the effective period of the transmission SA information as a trigger in this manner, the transition to the power saving standby state 502 is performed. The validity period of the transmission SA information may be set in advance.

S5において、CPU110(決定手段)は、省電力待機状態502に移行可能であるか否かを判定(決定)する。判定条件は前述のS3と同様である。S5において、省電力待機状態502へ移行可能であると判定した際は、CPU110は、S6に進み、移行不可と判定した際は、S7に進む。このように、CPU110(決定手段)は、送信SA情報の有効期間が経過していることが検出された場合に、省電力待機状態502に移行するか否かを判定(決定)する。これに替えて、省電力待機状態502に移行するか否かを常時判断してもよい。
S6において、CPU110は、通常電力状態501から省電力待機状態502へ移行する処理を実行する。なお、省電力待機状態502においては、CPU110は電源が供給されていないので、例えば、ネットワーク通信部102のプロトコル処理部107に、省電力待機状態502への移行を指示してもよい。プロトコル処理部107は、電源制御部115を制御し、アプリケーションシステム部103に対する電源供給を停止し、情報処理装置101を省電力待機状態502へ移行させる移行シーケンスを実行させることができる。 In S <b> 5, the CPU 110 (determination unit) determines (determines) whether or not it is possible to shift to the power saving standby state 502. The determination conditions are the same as S3 described above. If it is determined in S5 that the transition to the power saving standby state 502 is possible, the CPU 110 proceeds to S6, and if it is determined that the transition is not possible, the process proceeds to S7. As described above, the CPU 110 (determination unit) determines (determines) whether or not to shift to the power saving standby state 502 when it is detected that the effective period of the transmission SA information has elapsed. Instead of this, it may be determined at all times whether or not to shift to the power saving standby state 502.
In S <b> 6, the CPU 110 executes processing for shifting from the normal power state 501 to the power saving standby state 502. In the power saving standby state 502, since the power is not supplied to the CPU 110, for example, the protocol processing unit 107 of the network communication unit 102 may be instructed to shift to the power saving standby state 502. The protocol processing unit 107 can control the power control unit 115 to stop the power supply to the application system unit 103 and execute a transition sequence for shifting the information processing apparatus 101 to the power saving standby state 502.

S7において、CPU110は、通常電力状態501を維持すると判断されたため、リモートコントローラ201とIKE通信を実行して、送信SA情報を更新する。このIKE通信は、いわゆるIKE折衝であり、CPU110は、送信SA情報を更新し、送信SA情報中の有効期間を更新する。このIKE通信は、ネットワーク通信部102(通信手段)を解して実行される。すなわち、ネットワーク通信部102(移行手段)が、送信SA情報の有効期間を更新するために、リモートコントローラ201(通信装置)とIKE通信を実行する。S5において、省電力待機状態502に移行可能でないと判断されたため、IPsecの通信を継続させるために、すでに経過した送信SA情報の有効期間を更新する。この処理によって、CPU110は、IPsecセッションを継続するこができ、その後、S2へ戻る。S8において、CPU110は、本処理のフローを終了する。   In S7, since it is determined that the normal power state 501 is maintained, the CPU 110 executes IKE communication with the remote controller 201 to update the transmission SA information. This IKE communication is a so-called IKE negotiation, and the CPU 110 updates the transmission SA information and updates the valid period in the transmission SA information. This IKE communication is executed through the network communication unit 102 (communication means). That is, the network communication unit 102 (migration means) executes IKE communication with the remote controller 201 (communication device) in order to update the valid period of the transmission SA information. In S5, since it is determined that it is not possible to shift to the power saving standby state 502, the validity period of the already transmitted transmission SA information is updated in order to continue the IPsec communication. By this process, the CPU 110 can continue the IPsec session, and then returns to S2. In S8, the CPU 110 ends the flow of this process.

(リモートコントローラ201のIPsec通信と平文通信の切替処理)
次に、本実施形態のリモートコントローラ201が実行するIPsec通信と平文通信の切替処理について、図6のフローチャートを参照しながら説明する。なお、図6のフローチャートが示す処理は、リモートコントローラ201の処理であるが、具体的には、リモートコントローラ201のCPUが所定のソフトウェアを実行することによって実現される処理である。また、リモートコントローラ201は、情報処理装置101と暗号化通信および平文通信を行うことができる通信手段を備えている。この通信手段は、リモートコントローラ201のCPUが、所定のソフトウェアを実行して所定の通信インターフェースを制御することによって実現されている。
図6のS9において、処理が開始すると、S10において、リモートコントローラ201は、情報処理装置101との通信に係るIPsecセキュリティポリシーが“PROTECT”であるか否かを判定する。その結果、IPsec通信の適用を示す“PROTECT”であると判定した場合は、リモートコントローラ201は、S11に進み、“PROTECT”ではないと判定した場合は、S10に戻る。 (Switching process between IPsec communication and plain text communication of remote controller 201)
Next, switching processing between IPsec communication and plain text communication executed by the remote controller 201 of the present embodiment will be described with reference to the flowchart of FIG. The process shown in the flowchart of FIG. 6 is the process of the remote controller 201. Specifically, the process is realized by the CPU of the remote controller 201 executing predetermined software. In addition, the remote controller 201 includes a communication unit that can perform encrypted communication and plaintext communication with the information processing apparatus 101. This communication means is realized by the CPU of the remote controller 201 executing predetermined software to control a predetermined communication interface.
When the process starts in S <b> 9 of FIG. 6, in S <b> 10, the remote controller 201 determines whether the IPsec security policy relating to communication with the information processing apparatus 101 is “PROTECT”. As a result, when it is determined that “PROTECT” indicating application of IPsec communication is selected, the remote controller 201 proceeds to S11, and when it is determined that it is not “PROTECT”, the process returns to S10.

S11において、リモートコントローラ201は、現在、情報処理装置101とIPsecセッションを確立中であるか否かを判定する。その判定の結果、確立中であると判定した場合は、S12に進み、確立中ではないと判定した場合は、S11の処理を繰り返す。
S12において、リモートコントローラ201は、情報処理装置101からのIPsecパケットの受信処理(復号処理)に使用(利用)する受信SA情報(パラメータ情報)の有効期限が経過したか否かを判定する。具体的には、リモートコントローラ201のCPU(検出手段)が所定のプログラムを実行することによって、受信SA情報(パラメータ情報)の有効期限が経過したか否かを判定(決定)する。その判定の結果、受信SA情報の有効期間が経過している場合は、リモートコントローラ201は、S13へ進み、まだ有効期間内である場合は、S11へ戻る。すなわち、リモートコントローラ201は、受信SA情報の有効期限が経過したことを以って、情報処理装置101において、平文通信を行う省電力待機状態502(省電力待機モード)へ移行したことを判定することができる(判定手段)。この判定は、リモートコントローラ201のCPU(判定手段)が行うことができる。このように、リモートコントローラ201(のCPU)は、情報処理装置101の動作状態を判定することができ、少なくとも判定できる動作状態には、省電力待機状態502と、通常電力状態501と、を含むものである。 In step S <b> 11, the remote controller 201 determines whether an IPsec session is currently established with the information processing apparatus 101. As a result of the determination, if it is determined that it is being established, the process proceeds to S12. If it is determined that it is not being established, the process of S11 is repeated.
In step S <b> 12, the remote controller 201 determines whether the expiration date of the received SA information (parameter information) used (used) for the reception processing (decoding processing) of the IPsec packet from the information processing apparatus 101 has elapsed. Specifically, the CPU (detection means) of the remote controller 201 executes a predetermined program to determine (determine) whether the expiration date of the received SA information (parameter information) has elapsed. As a result of the determination, if the valid period of the received SA information has elapsed, the remote controller 201 proceeds to S13, and if it is still within the valid period, returns to S11. In other words, the remote controller 201 determines that the information processing apparatus 101 has shifted to the power saving standby state 502 (power saving standby mode) in which plain text communication is performed because the expiration date of the received SA information has elapsed. (Determination means). This determination can be performed by the CPU (determination means) of the remote controller 201. As described above, the remote controller 201 (CPU) can determine the operation state of the information processing apparatus 101, and at least the operation states that can be determined include the power saving standby state 502 and the normal power state 501. It is a waste.

S13において、リモートコントローラ201は、自装置内のSADから、該受信SA情報を削除するとともに、リモートコントローラ201から情報処理装置101へのIPsec送信に使用する送信SA情報も削除する。さらに、S13において、リモートコントローラ201は、自装置内のSADから、情報処理装置101とのIKE折衝の送受信に用いるSA情報についても削除する。
続いて、S14において、リモートコントローラ201は、情報処理装置101との通信に係るセキュリティポリシーを、IPSec通信を適用しないことを示す“BYPASS”に変更する(変更手段)。すなわち、リモートコントローラ201のCPU(変更手段)は、通信に用いるセキュリティポリシー(暗号化ポリシー)を変更することができる。これによって、リモートコントローラ201は、情報処理装置101との間で、IPsec通信(暗号化通信)ではなく、平文通信を実行することになる。 In S <b> 13, the remote controller 201 deletes the received SA information from the SAD in its own apparatus, and also deletes the transmission SA information used for IPsec transmission from the remote controller 201 to the information processing apparatus 101. Furthermore, in S13, the remote controller 201 also deletes SA information used for transmission / reception of the IKE negotiation with the information processing apparatus 101 from the SAD in the own apparatus.
Subsequently, in S14, the remote controller 201 changes the security policy relating to the communication with the information processing apparatus 101 to “BYPASS” indicating that IPSec communication is not applied (changing unit). That is, the CPU (changing unit) of the remote controller 201 can change the security policy (encryption policy) used for communication. As a result, the remote controller 201 executes plaintext communication with the information processing apparatus 101 instead of IPsec communication (encrypted communication).

S15において、リモートコントローラ201は、本処理フローを終了する。
なお、S14において、情報処理装置101との通信に係るセキュリティポリシーが設定されていない場合に平文通信を行うのであれば、セキュリティポリシーを変更する処理に替えて削除する処理を実行してもよい。すなわち、リモートコントローラ201のCPU(変更手段)は、通信に用いるセキュリティポリシー(暗号化ポリシー)を削除することができる。
なお、図6に示した処理フローにおいて、S12で受信SA情報の有効期限が経過したと判定された場合は、受信SA情報が有効期限切れになる前に更新されなかったことを表している。このことは、図5の処理フローにおいては、S7で送信SA情報の更新処理が実行されずに、S6で省電力待機状態502への移行処理が実行されたことを意味する。すなわち、S12で受信SA情報の有効期限が経過したと判定された場合は、情報処理装置101はIPsec通信を実行しない省電力待機状態502であることを意味すると判断することができる。
このように、本実施形態において、リモートコントローラ201は、受信SA情報の有効期限が経過したことに基づいて、情報処理装置101からの通知を要することなく、情報処理装置101が省電力待機状態502に移行したと判断することができる。その結果、IPsecの無効化等の処理を行うことなく、スムーズに情報処理装置101を省電力待機状態502に移行させることができる。 In S15, the remote controller 201 ends this processing flow.
In S14, if plain text communication is performed when a security policy related to communication with the information processing apparatus 101 is not set, a process of deleting the security policy may be executed instead of the process of changing the security policy. That is, the CPU (changing unit) of the remote controller 201 can delete the security policy (encryption policy) used for communication.
In the processing flow shown in FIG. 6, when it is determined in S12 that the expiration date of the received SA information has passed, this indicates that the received SA information has not been updated before the expiration date. This means that, in the processing flow of FIG. 5, the transmission SA information update process is not executed in S7, and the transition process to the power saving standby state 502 is executed in S6. In other words, if it is determined in S12 that the expiration date of the received SA information has passed, it can be determined that the information processing apparatus 101 means the power saving standby state 502 in which IPsec communication is not performed.
As described above, in this embodiment, the remote controller 201 determines that the information processing apparatus 101 is in the power saving standby state 502 without requiring a notification from the information processing apparatus 101 based on the expiration of the received SA information. It can be determined that it has shifted to. As a result, the information processing apparatus 101 can be smoothly shifted to the power saving standby state 502 without performing processing such as IPsec invalidation.

(SA情報の有効期間の設定)
本実施形態では、リモートコントローラ201が、情報処置装置101からの通知を要することなく、IPsec通信を実行しない省電力待機状態502へ移行したことを確実に把握するため、受信SA情報の有効期間を以下のように設定する。すなわち、情報処理装置101が決定し更新する送信SA情報の有効期間(TmS)と、リモートコントローラ201が設定する受信SA情報の有効期間(TmR)は、次の式1を満たすように設定される。
TmS<TmR (式1)
このような時間関係を満たしていれば、リモートコントローラ201においては、情報処理装置101が省電力待機状態502に移行した後で受信SA情報の有効期間が経過することになる。このような時間関係を満たすようにSA情報を設定し、情報処理装置101とリモートコントローラ201との間で交換(例えば、IKE折衝で交換)しておくことができる。この結果、図6のフローチャートで説明したように、リモートコントローラ201は、自機で保持する受信SA情報の有効期間が経過したことに基づいて、情報処理装置101が省電力待機状態502へ移行したことを検知することができる。 (Setting of valid period of SA information)
In the present embodiment, the remote controller 201 does not require notification from the information processing apparatus 101, and in order to reliably grasp that the remote controller 201 has shifted to the power saving standby state 502 in which IPsec communication is not performed, the effective period of the received SA information is set. Set as follows. That is, the validity period (TmS) of the transmission SA information determined and updated by the information processing apparatus 101 and the validity period (TmR) of the reception SA information set by the remote controller 201 are set to satisfy the following Expression 1. .
TmS <TmR (Formula 1)
If such a time relationship is satisfied, in the remote controller 201, after the information processing apparatus 101 shifts to the power saving standby state 502, the valid period of the received SA information elapses. SA information can be set so as to satisfy such a time relationship, and can be exchanged between the information processing apparatus 101 and the remote controller 201 (for example, exchanged by IKE negotiation). As a result, as described in the flowchart of FIG. 6, the remote controller 201 moves the information processing apparatus 101 to the power saving standby state 502 based on the expiration of the valid period of the received SA information held by itself. Can be detected.

IPsecセッションの確立時、あるいはSA情報の更新時に、IKEv1(IKE version1)通信を行う場合は、IKE折衝においてSA情報の有効期間を通知することが可能である。このIKE折衝の通信は、ネットワーク通信部102(交換手段)が実行し、送信SA情報の交換を行うことができる。具体的なIKEのプロトコル処理は、ネットワーク通信部102内のプロトコル処理部107が実行する。このように交換が行われる場合は、リモートコントローラ201は、情報処理装置101から通知される送信SA情報の有効期間(TmS)に基づいて、受信SA情報の有効期間(TmR)を決定するように構成してもよい。すなわち、リモートコントローラ201は、この有効期間(TmS)に基づき、上記の式1を満たすように、受信SA情報の有効期間(TmR)を決定してもよい。   When IKEv1 (IKE version 1) communication is performed when an IPsec session is established or SA information is updated, it is possible to notify the validity period of the SA information in the IKE negotiation. This IKE negotiation communication can be executed by the network communication unit 102 (exchange means) to exchange transmission SA information. Specific IKE protocol processing is executed by the protocol processing unit 107 in the network communication unit 102. When the exchange is performed in this way, the remote controller 201 determines the valid period (TmR) of the received SA information based on the valid period (TmS) of the transmitted SA information notified from the information processing apparatus 101. It may be configured. That is, the remote controller 201 may determine the valid period (TmR) of the received SA information based on this valid period (TmS) so as to satisfy Equation 1 above.

また、IKEv2(IKE version2)通信を行う場合は、IKEv2のプロトコル仕様としてはSA情報の有効期間の折衝が行われない。このため、IKEv2通信を行う場合は、IPsecセッションを確立する前に、情報処理装置101からリモートコントローラ201に対して、あらかじめ送信SA情報の有効期間(TmS)を通知するように構成してもよい。そして、リモートコントローラ201は、情報処理装置101から送信SA情報の有効期間(TmS)が通知されてから、この有効期間(TmS)に基づき、上記の関係式1を満たすように受信SA情報の有効期間(TmR)を決定するように構成してもよい。   Further, when IKEv2 (IKE version 2) communication is performed, the validity period of the SA information is not negotiated as the protocol specification of IKEv2. Therefore, when performing IKEv2 communication, the information processing apparatus 101 may notify the remote controller 201 in advance of the effective period (TmS) of transmission SA information before establishing an IPsec session. . Then, after the remote controller 201 is notified of the valid period (TmS) of the transmission SA information from the information processing apparatus 101, the remote controller 201 validates the received SA information so as to satisfy the relational expression 1 based on the valid period (TmS). You may comprise so that a period (TmR) may be determined.

(復帰の動作)
次に、本実施形態において、情報処理装置101が、省電力待機状態502から通常電力状態501に復帰した後の処理について説明する。
この場合、情報処理装置101は、通常電力状態501に復帰後、リモートコントローラ201に対して通常電力状態501へ復帰したことを通知する。リモートコントローラ201は、この復帰の通知を受信すると、情報処理装置101との通信に係るセキュリティポリシーを“BYPASS”から“PROTECT”に変更する。なお、ここで、セキュリティポリシーが無い(削除されている)場合は、“PROTECT”であるセキュリティポリシーを新たに設定する。
以上説明したように、本実施形態によれば、情報処理装置101が省電力待機状態502に移行する際に、情報処理装置101とリモートコントローラ201との間のIPsec通信をより容易に無効化し、平文通信を実行するように切り換えることができる。また、本実施形態によれば、情報処理装置101が省電力待機状態502に移行する際に、リモートコントローラ201との間で、IPsec通信の無効化に伴う折衝を省くことができる。従って、情報処理装置101は、通常電力状態501から省電力待機状態502へ容易に移行することができ、リモートコントローラ201もその移行を情報処理装置101からの通知なくして容易に把握することができる。 (Return operation)
Next, a process after the information processing apparatus 101 returns from the power saving standby state 502 to the normal power state 501 in the present embodiment will be described.
In this case, the information processing apparatus 101 notifies the remote controller 201 that it has returned to the normal power state 501 after returning to the normal power state 501. Upon receiving this return notification, the remote controller 201 changes the security policy relating to communication with the information processing apparatus 101 from “BYPASS” to “PROTECT”. If there is no security policy (deleted), a security policy of “PROTECT” is newly set.
As described above, according to the present embodiment, when the information processing apparatus 101 shifts to the power saving standby state 502, the IPsec communication between the information processing apparatus 101 and the remote controller 201 is more easily invalidated, It can be switched to execute plaintext communication. Further, according to the present embodiment, when the information processing apparatus 101 shifts to the power saving standby state 502, it is possible to omit negotiations with the remote controller 201 due to invalidation of IPsec communication. Therefore, the information processing apparatus 101 can easily shift from the normal power state 501 to the power saving standby state 502, and the remote controller 201 can easily grasp the shift without notification from the information processing apparatus 101. .

実施形態2
実施形態2は、実施形態1に対し、情報処理装置101が省電力待機状態へ移行する際に、リモートコントローラ201へ通知する機能を付加したものである。実施形態2において、実施形態1と同様の構成および処理は、実施形態1と同じ符号を付して参照され、その説明は適宜省略される。
本実施形態における通信システム100の構成は、図1、図4に示す実施形態1の構成と同様である。すなわち、情報処理装置101はリモートコントローラ201と、ネットワーク301を介して接続される。そして、リモートコントローラ201は、情報処理装置101を遠隔地から操作することができる。また、情報処理装置101が通常電力状態501のときはリモートコントローラ201とIPsec通信を行うことが可能である。また、情報処理装置101のハードウェア構成についても、図2に示す実施形態1の構成と同じである。 Embodiment 2
In the second embodiment, a function of notifying the remote controller 201 when the information processing apparatus 101 shifts to the power saving standby state is added to the first embodiment. In the second embodiment, the same configurations and processes as those in the first embodiment are referred to with the same reference numerals as those in the first embodiment, and description thereof will be omitted as appropriate.
The configuration of the communication system 100 in the present embodiment is the same as the configuration of the first embodiment shown in FIGS. That is, the information processing apparatus 101 is connected to the remote controller 201 via the network 301. The remote controller 201 can operate the information processing apparatus 101 from a remote location. Further, when the information processing apparatus 101 is in the normal power state 501, IPsec communication with the remote controller 201 is possible. Also, the hardware configuration of the information processing apparatus 101 is the same as that of the first embodiment shown in FIG.

次に、本実施形態において、情報処理装置101が通常電力状態501から省電力待機状態502へ移行する処理について、図7を参照しながら説明する。図7のフローチャートが示す処理は、図5と同様に、CPU110(図2参照)がROM111やRAM112に格納されているソフトウェアを実行することによって実現される処理であって、通常電力状態501(図3参照)において実行される処理である。
本実施形態における図7の処理が、実施形態1における図3の処理と異なる点は、主としてS5bの処理であるので、以下、このS5bの処理を中心に説明を行う。
まず、S3において、省電力待機状態502へ移行可能であると判定した場合は、CPU11は、S5bに進む。一方、S3で省電力待機状態502に移行不可と判定した場合は、S2へ戻る処理は実施形態1と同様である。同様に、S5において、省電力待機状態502へ移行可能であると判定した場合は、CPU11は、S5bに進む。また、S5で省電力待機状態502に移行不可と判定した場合は、S7に進む処理は実施形態1と同様である。 Next, in the present embodiment, a process in which the information processing apparatus 101 shifts from the normal power state 501 to the power saving standby state 502 will be described with reference to FIG. 7 is a process realized by the CPU 110 (see FIG. 2) executing software stored in the ROM 111 or RAM 112, as in FIG. 5, and is a normal power state 501 (FIG. 3).
Since the process of FIG. 7 in the present embodiment differs from the process of FIG. 3 in the first embodiment mainly in the process of S5b, the process of S5b will be mainly described below.
First, when it is determined in S3 that the power saving standby state 502 can be entered, the CPU 11 proceeds to S5b. On the other hand, when it is determined in S3 that it is not possible to shift to the power saving standby state 502, the process of returning to S2 is the same as in the first embodiment. Similarly, if it is determined in S5 that it is possible to shift to the power saving standby state 502, the CPU 11 proceeds to S5b. Further, when it is determined in S5 that the transition to the power saving standby state 502 is impossible, the process of proceeding to S7 is the same as that of the first embodiment.

S5bにおいて、CPU110は、リモートコントローラ201へのIPsec送信に係る送信SA情報(パラメータ情報)の削除通知を、リモートコントローラ201に送信する。具体的には、情報処理装置101のCPU110が、所定のプログラムを実行することによって、送信SA情報の削除通知を、リモートコントローラ201に対して実行する。実際の送信動作は、情報処理装置101のネットワーク通信部102(通知手段)が行う。
その後、S6において、実施形態1と同様に、CPU110は、通常電力状態501から省電力待機状態502へ移行する処理を実行する。
このように、本実施形態においては、情報処理装置101が省電力待機状態502に移行可能であると判断された場合は、省電力待機状態へ移行する前に(またはその後に)、リモートコントローラ201に省電力待機状態への移行を示す情報を通知している。具体的には、ネットワーク通信部102(通知手段)が送信SA情報の削除通知を行うことによって通知を行っている。このように構成することで、SA情報の有効期間の経過に基づいて省電力待機状態502への移行を検知する実施形態1と比べて、より迅速に、省電力待機状態502への移行をリモートコントローラ201に対して知らせることができる。
なお、S5bにおける送信SA情報の削除通知の方法については、例えば、IKE通信を利用できる。IKEv2では、送信側がSADから削除したSAを通信の相手側に通知するための、削除ペイロード(ペイロード番号42)が定義されているので、これを利用してもよい。 In step S <b> 5 b, the CPU 110 transmits a transmission SA information (parameter information) deletion notification related to IPsec transmission to the remote controller 201 to the remote controller 201. Specifically, the CPU 110 of the information processing apparatus 101 executes a predetermined program to execute a transmission SA information deletion notification to the remote controller 201. The actual transmission operation is performed by the network communication unit 102 (notification unit) of the information processing apparatus 101.
Thereafter, in S6, as in the first embodiment, the CPU 110 executes a process of shifting from the normal power state 501 to the power saving standby state 502.
As described above, in the present embodiment, when it is determined that the information processing apparatus 101 can shift to the power saving standby state 502, before (or after) the transition to the power saving standby state, the remote controller 201. Is notified of information indicating the transition to the power saving standby state. Specifically, the notification is performed by the network communication unit 102 (notifying unit) notifying the deletion of the transmitted SA information. With this configuration, the transition to the power saving standby state 502 can be performed more quickly than in the first embodiment in which the transition to the power saving standby state 502 is detected based on the passage of the effective period of the SA information. The controller 201 can be notified.
Note that, for example, IKE communication can be used as a method for notifying the deletion of transmission SA information in S5b. In IKEv2, a deletion payload (payload number 42) for notifying the communication side of the SA deleted from the SAD by the transmission side is defined, and this may be used.

(リモートコントローラ201のIPsec通信と平文通信の切替処理)
続いて、本実施形態のリモートコントローラ201が実行する処理について、図8のフローチャートを参照しながら説明する。図8のフローチャートが示す処理は、図6と同様に、リモートコントローラ201の処理であるが、具体的には、リモートコントローラ201のCPUが所定のソフトウェアを実行することによって実現される処理である。本実施形態における図8の処理が、実施形態1における図6の処理と異なる点は、主としてS11bの処理であるので、以下、このS11bの処理を中心に説明を行う。
S11において、実施形態1の図6の場合と同様に、リモートコントローラ201は、現在、情報処理装置101とIPsecセッションを確立中であるか否かを判定する。その判定の結果、確立中であると判定した場合は、リモートコントローラ201は、S11bに進むが、確立中ではないと判定した場合は、S11の処理を繰り返す。 (Switching process between IPsec communication and plain text communication of remote controller 201)
Next, processing executed by the remote controller 201 of the present embodiment will be described with reference to the flowchart of FIG. The process shown in the flowchart of FIG. 8 is the process of the remote controller 201 as in FIG. 6. Specifically, the process is realized by the CPU of the remote controller 201 executing predetermined software. The process of FIG. 8 in the present embodiment differs from the process of FIG. 6 in the first embodiment mainly in the process of S11b, and therefore, the process of S11b will be mainly described below.
In S11, as in the case of FIG. 6 of the first embodiment, the remote controller 201 determines whether an IPsec session is currently established with the information processing apparatus 101. As a result of the determination, if it is determined that the remote controller 201 is being established, the remote controller 201 proceeds to S11b. If it is determined that it is not being established, the process of S11 is repeated.

S11bにおいて、リモートコントローラ201は、情報処理装置101から、SA情報の削除通知(図7のS5b)を受信したか否かを判定する。受信したと判定する場合は、リモートコントローラ201は、S13に進み、受信していない場合は、S12へ進む。このような動作によって、リモートコントローラ201は、SA情報の削除通知によって、情報処理装置101が省電力待機状態502に移行することを検知することができる。したがって、実施形態1に比べて、リモートコントローラ201は、情報処理装置101が省電力待機状態502に移行することをより迅速に検知することができる。
S12において、実施形態1の図6と同様に、リモートコントローラ201は、情報処理装置101からのIPsecパケットの受信処理(復号処理)に使用(利用)する受信SA情報の有効期限が経過したか否かを判定する。SA情報の削除の通知が、何らかの障害により受信できない場合でも、実施形態1と同様に、受信SA情報の有効期間の経過によって情報処理装置101が省電力待機状態502に移行することを検出できるように構成されている。この判定の結果、受信SA情報の有効期間が経過している場合は、S13へ進み、まだ有効期間内である場合は、S11へ戻る。 In S11b, the remote controller 201 determines whether or not the SA information deletion notification (S5b in FIG. 7) has been received from the information processing apparatus 101. If it is determined that it has been received, the remote controller 201 proceeds to S13, and if it has not been received, the process proceeds to S12. By such an operation, the remote controller 201 can detect that the information processing apparatus 101 shifts to the power saving standby state 502 by the SA information deletion notification. Therefore, compared to the first embodiment, the remote controller 201 can more quickly detect that the information processing apparatus 101 shifts to the power saving standby state 502.
In S12, as in FIG. 6 of the first embodiment, the remote controller 201 determines whether or not the expiration date of the received SA information used (used) for the reception processing (decoding processing) of the IPsec packet from the information processing apparatus 101 has elapsed. Determine whether. Even when the SA information deletion notification cannot be received due to some failure, it can be detected that the information processing apparatus 101 shifts to the power saving standby state 502 due to the elapse of the valid period of the received SA information as in the first embodiment. It is configured. As a result of this determination, if the valid period of the received SA information has elapsed, the process proceeds to S13, and if it is still within the valid period, the process returns to S11.

以上説明したように、本実施形態では、情報処理装置101は、省電力待機状態502に移行しようとする際に、送信SA情報(パラメータ情報)の削除通知を送信する(図7のS5b)。リモートコントローラ201は、この通知を受信した場合は、情報処理装置101とのIPsec通信に使用する受信SA情報(パラメータ情報)の有効期間が経過していなくとも、送信SA情報と受信SA情報とを削除する(S13)。具体的には、リモートコントローラ201のCPU(通信手段)が、所定のプログラムを実行することによって、送信SA情報と受信SA情報とを削除する。   As described above, in the present embodiment, the information processing apparatus 101 transmits a deletion notification of transmission SA information (parameter information) when attempting to shift to the power saving standby state 502 (S5b in FIG. 7). When the remote controller 201 receives this notification, it transmits the transmission SA information and the reception SA information even if the validity period of the reception SA information (parameter information) used for IPsec communication with the information processing apparatus 101 has not elapsed. Delete (S13). Specifically, the CPU (communication means) of the remote controller 201 deletes the transmission SA information and the reception SA information by executing a predetermined program.

さらに、リモートコントローラ201は、この通知を受信した場合は、セキュリティポリシーを“BYPASS”に変更する(S14)。換言すれば、リモートコントローラ201のCPU(選択手段)が、所定のプログラムを実行することによって、セキュリティポリシー(通信の実行に用いるポリシー)を“BYPASS”(暗号化通信を適用しないポリシー)に変更する。このような処理によって、リモートコントローラ201側も、IPsecによる通信から平文による通信に切り替わる。換言すれば、リモートコントローラ201のCPU(選択手段、通信手段)が、所定のプログラムを実行することによって、IPsec通信(暗号化通信)ではなく、平文通信(非暗号通信)を実行する。したがって、情報処理装置101が省電力待機状態502に移行したときに、情報処理装置101とリモートコントローラ201間のIPsec通信を迅速に無効化し、迅速に平文通信(非暗号通信)を実行させることができる。   Further, when receiving this notification, the remote controller 201 changes the security policy to “BYPASS” (S14). In other words, the CPU (selection means) of the remote controller 201 changes the security policy (policy used for execution of communication) to “BYPASS” (policy that does not apply encrypted communication) by executing a predetermined program. . By such processing, the remote controller 201 also switches from IPsec communication to plain text communication. In other words, the CPU (selection means, communication means) of the remote controller 201 executes plain text communication (non-encrypted communication) instead of IPsec communication (encrypted communication) by executing a predetermined program. Therefore, when the information processing apparatus 101 shifts to the power saving standby state 502, the IPsec communication between the information processing apparatus 101 and the remote controller 201 can be quickly invalidated and plain text communication (non-encrypted communication) can be quickly performed. it can.

さらに、本実施形態2においては、情報処理装置101が送信するSA情報の削除通知を仮にロストした場合でも、リモートコントローラ201は、いずれ受信SA情報の有効期間の経過を検出することができる。すなわち、リモートコントローラ201は、受信SA情報の有効期間の経過を契機として(図8のS12)、IPsec通信から平文通信(非暗号通信)に切り替えることができる。
以上説明したように、本実施形態によれば、情報処理装置101は、通常電力状態501から省電力待機状態502へ容易に移行することができる。また、リモートコントローラ201は、情報処理装置101が通常電力状態501から省電力待機状態502へ移行したことをより迅速に検知することができる。
なお、上記各実施形態は、暗号化通信としてIPsecを例として説明した。しかしながら、他の種類の暗号化通信を利用してよく、例えばSSL(Secure Sockets Layer)やTSL(Transport Layer Security)を利用してよい。 Furthermore, in the second embodiment, even if the SA information deletion notification transmitted by the information processing apparatus 101 is lost, the remote controller 201 can detect the passage of the valid period of the received SA information. That is, the remote controller 201 can switch from IPsec communication to plaintext communication (non-encrypted communication) when the validity period of the received SA information elapses (S12 in FIG. 8).
As described above, according to the present embodiment, the information processing apparatus 101 can easily transition from the normal power state 501 to the power saving standby state 502. Further, the remote controller 201 can more quickly detect that the information processing apparatus 101 has shifted from the normal power state 501 to the power saving standby state 502.
In the above embodiments, IPsec has been described as an example of encrypted communication. However, other types of encrypted communication may be used, for example, SSL (Secure Sockets Layer) or TSL (Transport Layer Security).

(他の構成例)
また、上記各実施形態は、以下の処理を実行することによっても実現される。すなわち、上述した各実施形態の1以上の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給することによって実現してよい。その場合、当該システム或いは装置のコンピュータ(またはCPUやMPUまたは1つ以上のプロセッサ等)がプログラムを読み出して処理を実行する。また、そのプログラムをコンピュータ読み取り可能な記録媒体に記録して提供してもよい。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。 (Other configuration examples)
Each of the above embodiments can also be realized by executing the following processing. That is, it may be realized by supplying software (program) that realizes one or more functions of the above-described embodiments to a system or apparatus via a network or various storage media. In that case, the computer (or CPU, MPU, or one or more processors) of the system or apparatus reads the program and executes the process. The program may be provided by being recorded on a computer-readable recording medium. It can also be realized by a circuit (for example, ASIC) that realizes one or more functions.

100・・・通信システム、101・・・情報処理装置、102・・・ネットワーク通信部、103・・・アプリケーションシステム部、104・・・ローカルバス、105・・・通信制御部、106・・・ローカルRAM、107・・・プロトコル処理部、108・・・バスブリッジ、109・・・システムバス、110・・・CPU、111・・・ROM、112・・・RAM、113・・・暗号処理部、114・・・アプリケーション機能部、115・・・電源制御部、201・・・リモートコントローラ、301・・・ネットワーク DESCRIPTION OF SYMBOLS 100 ... Communication system 101 ... Information processing apparatus 102 ... Network communication part 103 ... Application system part 104 ... Local bus 105 ... Communication control part 106 ... Local RAM, 107 ... Protocol processing unit, 108 ... Bus bridge, 109 ... System bus, 110 ... CPU, 111 ... ROM, 112 ... RAM, 113 ... Cryptographic processing unit , 114... Application function unit, 115... Power supply control unit, 201... Remote controller, 301.

Claims (16)

他の通信装置との間で、第1の動作状態において暗号通信を行い、前記第1の動作状態より消費電力の小さい第2の動作状態において非暗号通信を行う通信手段と、
前記通信手段が暗号通信に利用するパラメータ情報の有効期間を経過したか否かを判定する判定手段と、
前記第1の動作状態において、少なくとも前記判定手段による判定結果に基づいて、前記第2の動作状態へ移行するか否かを決定する決定手段と、
前記決定手段が、前記第2の動作状態へ移行すると決定した場合に、前記第1の動作状態から前記第2の動作状態へ移行する移行手段と、
を有することを特徴とする通信装置。 Communication means for performing cryptographic communication with another communication device in the first operation state, and performing non-encryption communication in a second operation state with lower power consumption than the first operation state;
Determining means for determining whether or not the validity period of parameter information used by the communication means for encryption communication has passed;
A determination unit that determines whether or not to shift to the second operation state based on at least a determination result by the determination unit in the first operation state;
Transition means for transitioning from the first operating state to the second operating state when the determining means determines to transition to the second operating state;
A communication apparatus comprising: 前記判定手段により、前記有効期間を経過していないと判定された場合、前記決定手段は、前記第2の動作状態へ移行しないと決定することを特徴とする請求項1に記載の通信装置。   The communication apparatus according to claim 1, wherein when the determination unit determines that the valid period has not elapsed, the determination unit determines not to shift to the second operation state. 前記パラメータ情報は、前記他の通信装置から前記通信装置へ送信されたデータの復号に利用されることを特徴とする請求項1または2に記載の通信装置。   The communication apparatus according to claim 1, wherein the parameter information is used for decoding data transmitted from the other communication apparatus to the communication apparatus. 前記判定手段により前記有効期間を経過したと判定された場合であって、かつ、前記決定手段により前記第2の動作状態へ移行しないと決定された場合、前記パラメータ情報を更新する更新手段を更に有することを特徴とする請求項1から3のいずれか1項に記載の通信装置。   Update means for updating the parameter information when the determination means determines that the effective period has elapsed and the determination means determines not to shift to the second operating state. The communication apparatus according to claim 1, wherein the communication apparatus is provided. 前記暗号通信は、IPsec通信であり、前記パラメータ情報は、Security Association情報であることを特徴とする請求項1から4のいずれか1項に記載の通信装置。   5. The communication apparatus according to claim 1, wherein the encrypted communication is IPsec communication, and the parameter information is Security Association information. 6. 前記他の通信装置と、所定のプロトコルに従った通信を行うことにより、前記パラメータ情報を交換する交換手段を更に有することを特徴とする請求項1から5のいずれか1項に記載の通信装置。   6. The communication apparatus according to claim 1, further comprising an exchange unit configured to exchange the parameter information by performing communication with the other communication apparatus according to a predetermined protocol. . 前記通信装置が有する前記パラメータ情報の有効期間を、前記他の通信装置が前記通信装置との暗号通信に利用するパラメータ情報の有効期間より短い期間に設定する設定手段 を更に有することを特徴とする請求項1から6のいずれか1項に記載の通信装置。   A setting unit configured to set a validity period of the parameter information included in the communication apparatus to a period shorter than a validity period of parameter information used by the other communication apparatus for encrypted communication with the communication apparatus; The communication apparatus according to any one of claims 1 to 6. 前記移行手段が、前記第1の動作状態から前記第2の動作状態へ移行する際に、前記他の通信装置へ前記暗号通信に利用されるパラメータ情報の削除を通知する通知手段を更に有することを特徴とする請求項1から7のいずれか1項に記載の通信装置。   The transition means further comprises a notification means for notifying the other communication device of deletion of parameter information used for the encryption communication when the transition is made from the first operation state to the second operation state. The communication device according to claim 1, wherein: 通信装置であって、
他の通信装置との暗号通信に利用されるパラメータ情報の有効期間が経過したことを検出する検出手段と、
前記検出手段が、前記パラメータ情報の有効期間が経過したことを検出した際に、前記他の通信装置の動作状態を判定する判定手段と、
前記判定手段による判定結果に基づいて、前記他の通信装置と暗号通信を継続するか、非暗号通信を行うかを選択する選択手段と、
前記選択手段により選択された通信方法で前記他の通信装置と通信する通信手段と、
を有することを特徴とする通信装置。 A communication device,
Detecting means for detecting that the validity period of parameter information used for encrypted communication with another communication device has passed;
A determination unit that determines an operating state of the other communication device when the detection unit detects that an effective period of the parameter information has passed;
Selection means for selecting whether to continue encrypted communication with the other communication device or to perform non-encrypted communication based on the determination result by the determining means;
Communication means for communicating with the other communication device by the communication method selected by the selection means;
A communication apparatus comprising: 前記他の通信装置の動作状態は、暗号通信を行う第1の動作状態、および、前記第1の動作状態より消費電力の小さい第2の動作状態を少なくとも含むことを特徴とする請求項9に記載の通信装置。   The operation state of the other communication device includes at least a first operation state in which cryptographic communication is performed and a second operation state in which power consumption is lower than that in the first operation state. The communication device described. 前記パラメータ情報は、前記他の通信装置から前記通信装置へ送信されたデータの復号処理に利用されることを特徴とする請求項9または10に記載の通信装置。   The communication apparatus according to claim 9 or 10, wherein the parameter information is used for a decoding process of data transmitted from the other communication apparatus to the communication apparatus. 前記選択手段により非暗号通信を行うと判定された場合、前記他の通信装置との通信に用いる暗号化ポリシーを、暗号化通信を適用しない暗号化ポリシーに変更する変更手段を更に有することを特徴とする請求項9から11のいずれか1項に記載の通信装置。   When it is determined by the selection means that non-encrypted communication is performed, the information processing apparatus further includes a changing unit that changes an encryption policy used for communication with the other communication device to an encryption policy that does not apply the encrypted communication. The communication device according to any one of claims 9 to 11. 前記変更手段は、前記他の通信装置との通信に用いる暗号化ポリシーを削除することを特徴とする請求項12に記載の通信装置。   13. The communication apparatus according to claim 12, wherein the changing unit deletes an encryption policy used for communication with the other communication apparatus. 他の通信装置との間で通信を行う通信装置の制御方法において、
前記他の通信装置との間で、第1の動作状態において暗号通信を行い、前記第1の動作状態より消費電力の小さい第2の動作状態において非暗号通信を行うステップと、
前記暗号通信に利用するパラメータ情報の有効期間が経過したか否かを判定するステップと、
前記第1の動作状態において、少なくとも前記判定するステップにおける判定結果に基づいて、前記第2の動作状態へ移行するか否かを決定するステップと、
前記決定するステップにおいて、前記第2の動作状態へ移行すると決定した場合に、前記第1の動作状態から前記第2の動作状態へ移行するステップと、
を含むことを特徴とする通信装置の制御方法。 In a control method of a communication device that performs communication with another communication device,
Performing encrypted communication with the other communication device in a first operation state, and performing non-encryption communication in a second operation state with lower power consumption than the first operation state;
Determining whether the validity period of the parameter information used for the encrypted communication has passed;
Determining whether or not to shift to the second operating state based on at least the determination result in the determining step in the first operating state;
In the determining step, when it is determined to shift to the second operating state, the step of shifting from the first operating state to the second operating state;
A control method for a communication apparatus, comprising: 他の通信装置との間で通信を行う通信装置の制御方法であって、
前記他の通信装置との暗号通信に利用されるパラメータ情報の有効期間が経過したことを検出するステップと、
前記検出するステップにおいて、前記パラメータ情報の有効期間が経過したことを検出した際に、前記他の通信装置の動作状態を判定するステップと、
前記判定するステップにおける判定結果に基づいて、前記他の通信装置と暗号通信を継続するか、非暗号通信を行うかを選択するステップと、
前記選択するステップにおいて選択された通信方法で前記他の通信装置と通信するステップと、
を含むことを特徴とする通信装置の制御方法。 A communication device control method for communicating with other communication devices,
Detecting that the validity period of parameter information used for encrypted communication with the other communication device has passed;
In the detecting step, when it is detected that an effective period of the parameter information has passed, a step of determining an operation state of the other communication device;
Based on the determination result in the determining step, selecting whether to continue encrypted communication with the other communication device or to perform non-encrypted communication;
Communicating with the other communication device by the communication method selected in the selecting step;
A control method for a communication apparatus, comprising: コンピュータを、請求項1から13のいずれか1項に記載の通信装置の各手段として機能させるためのコンピュータプログラム。   The computer program for functioning a computer as each means of the communication apparatus of any one of Claim 1 to 13.
JP2015239236A 2015-12-08 2015-12-08 Communication device, communication device control method, and computer program Pending JP2017106999A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015239236A JP2017106999A (en) 2015-12-08 2015-12-08 Communication device, communication device control method, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015239236A JP2017106999A (en) 2015-12-08 2015-12-08 Communication device, communication device control method, and computer program

Publications (1)

Publication Number Publication Date
JP2017106999A true JP2017106999A (en) 2017-06-15

Family

ID=59060756

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015239236A Pending JP2017106999A (en) 2015-12-08 2015-12-08 Communication device, communication device control method, and computer program

Country Status (1)

Country Link
JP (1) JP2017106999A (en)

Similar Documents

Publication Publication Date Title
KR101197885B1 (en) Reduced power state network processing
US7937748B2 (en) Communication apparatus and communication method and computer readable medium
KR102050648B1 (en) Pairing Devices on Your Local Network
JP5460085B2 (en) Information processing apparatus, communication system, control method thereof, and program
JP5377012B2 (en) Information processing apparatus, information processing apparatus control method, communication system, communication system control method, and program
US8914654B2 (en) Information processing apparatus, network interface apparatus, method of controlling both, and storage medium
JP2007183797A (en) Application device and power state return method
JP2011068038A (en) Communication control device, job processing method for communication control device, and program
US20110194133A1 (en) Image forming apparatus, control method for the same, and storage medium for program
JP2009100238A (en) Communication apparatus, communication system, key re-exchange system used for the same, and program therefor
JP2018182665A (en) Communication device, communication system, and encryption communication control method
US9122482B2 (en) Image processing apparatus, control method therefor and storage medium
EP2790104B1 (en) Systems, methods, and computer program products for recording service status of applications
KR102279190B1 (en) Operating method of terminal unit, operating method of management server and portable storage
JP2012227829A (en) Image processor and control method therefor
US20150100784A1 (en) Communication apparatus and control method therefor
JP2017106999A (en) Communication device, communication device control method, and computer program
JP5762106B2 (en) COMMUNICATION DEVICE, ITS CONTROL METHOD, AND PROGRAM
CN111801921A (en) Security model for enhanced network security
US20030237003A1 (en) Method and apparatus for recovering from the failure or reset of an IKE node
JP5328875B2 (en) Communication device and method for restoring power of communication device
JP6978358B2 (en) Relay device switching system
JP2009060245A (en) Communication control method, program and communication device
JP2010081108A (en) Communication relay device, information processor, program and communication system
JP2011170157A (en) Ipsec communication device, ipsec communication method, and ipsec communication system