JP2005101741A - Communication apparatus, method, apparatus controller, controlling method and program - Google Patents

Communication apparatus, method, apparatus controller, controlling method and program Download PDF

Info

Publication number
JP2005101741A
JP2005101741A JP2003330060A JP2003330060A JP2005101741A JP 2005101741 A JP2005101741 A JP 2005101741A JP 2003330060 A JP2003330060 A JP 2003330060A JP 2003330060 A JP2003330060 A JP 2003330060A JP 2005101741 A JP2005101741 A JP 2005101741A
Authority
JP
Japan
Prior art keywords
control
protocol
communication
phase
security policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003330060A
Other languages
Japanese (ja)
Other versions
JP3840215B2 (en
Inventor
Takashi Hirata
隆 平田
Kenichi Fujii
憲一 藤井
Masaki Shimono
雅樹 下野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2003330060A priority Critical patent/JP3840215B2/en
Priority to US10/926,438 priority patent/US7631181B2/en
Priority to CN200410079172.9A priority patent/CN1602018B/en
Priority to EP04255707A priority patent/EP1517513A3/en
Publication of JP2005101741A publication Critical patent/JP2005101741A/en
Application granted granted Critical
Publication of JP3840215B2 publication Critical patent/JP3840215B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To overcome the problem that a security policy provides a method being set for each user but each phase of an apparatus control protocol is not taken into account. <P>SOLUTION: A security policy A110 is applied to a finding protocol 114 for use in the finding phase of an apparatus control protocol 113, and a security policy B111 is applied to a control protocol 115 for use in the control phase. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、通信装置、方法、機器制御装置、方法、及び、プログラムに関する。   The present invention relates to a communication device, a method, a device control device, a method, and a program.

電子計算機技術の進歩により、オフィス機器や一般の家庭用機器においても、ネットワークを通じた結合と処理の連携といった機能が実現されてくるようになった。   Due to advances in computer technology, functions such as linkage and processing linkage through networks have been realized in office equipment and general household equipment.

このような機器制御装置のネットワーク通じた融合を実現するネットワーク技術として、UPnP(Universal Plug and Play)、Jini、Jxtaなどの機器制御用プロトコルが知られている。   As network technologies for realizing such integration of device control apparatuses through a network, device control protocols such as UPnP (Universal Plug and Play), Jini, and Jxta are known.

ここでは、代表例としてUPnPについて述べる。UPnPはIP(Internet Protocol)、TCP(Transfer Control Protocol)、UDP(User Datagram Protocol)、HTTP(Hyper Text Transfer Protocol)及びXML(eXtensible Markup Language)など、インターネットの世界で事実上のディファクトスタンダードとなったプロトコルをサポートするネットワーク上で用いられる機器制御用プロトコルである。   Here, UPnP will be described as a representative example. UPnP is an IP (Internet Protocol), TCP (Transfer Control Protocol), UDP (User Datagram Protocol), HTTP (Hyper Text Transfer Protocol) and XML (Extensible World on the Internet). This is a device control protocol used on a network that supports other protocols.

UPnPでは、ネットワーク上に接続された機器の発見と機能の把握に、SSDP(Simple Service Discover Protocol)を用いる。SSDPは、UPnPを構成するための基幹部分であり、IETFから標準仕様が発行されている。機器の発見には、IPブロードキャストを用いる。たとえば「デジタルビデオストリームを再生できる機器は?」とブロードキャストすると、条件に合う機器が自主的に問い合わせ元に対してIPアドレスとホスト名を送信する。また、具体的にどのような機能を持っているかなど、機器固有の情報もこのときに交換する。情報交換に使われるデータ形式はXMLであり、HTTPにより通信される。   In UPnP, SSDP (Simple Service Discover Protocol) is used to discover devices connected to the network and grasp their functions. SSDP is a basic part for configuring UPnP, and standard specifications are issued from IETF. IP broadcast is used for device discovery. For example, when broadcasting “Which device can play a digital video stream?”, A device that meets the conditions voluntarily transmits an IP address and a host name to the inquiry source. Also, information specific to the device, such as what functions it has, is also exchanged at this time. The data format used for information exchange is XML and is communicated by HTTP.

機器の制御には、SOAP(Simple Object Access Protocol)を用いる。SOAPは、XML Webサービスのやり取りを円滑に行うために取り決められた、RPCベースのインターネット通信の業界標準プロトコルである。SOAPを使用して制御メッセージを機器に送信し、リザルトまたはエラーを取得する。UPnP制御要求は、パラメータを指定して呼び出すアクションを含んでいるSOAPメッセージであり、レスポンスもSOAPメッセージでステータスが含まれており、値とパラメータが返却される。   For control of the device, SOAP (Simple Object Access Protocol) is used. SOAP is an industry standard protocol for RPC-based Internet communication that is negotiated to facilitate the exchange of XML Web services. Send a control message to the device using SOAP to get a result or error. The UPnP control request is a SOAP message including an action to be called by specifying a parameter, the response is also a SOAP message and the status is included, and a value and a parameter are returned.

UPnPに代表されるようなネットワークを通じて機器を相互に接続するために用いる機器制御用プロトコルは、大きく分けてネットワークに接続している機器を探索する発見フェーズと、発見フェーズで発見された機器をコントロールする制御フェーズから構成されており、発見フェーズではブロードキャスト通信を行い、制御フェーズではユニキャスト通信を行うといったように、各フェーズで異なった通信方式を採用しているケースが多い。   The device control protocol used to connect devices to each other through a network such as UPnP is roughly divided into a discovery phase for searching for devices connected to the network, and a control for devices discovered in the discovery phase. In many cases, different communication methods are adopted in each phase, such as broadcast communication in the discovery phase and unicast communication in the control phase.

また、セキュリティポリシーに関しては、制御機器との通信開始時にセキュリティポリシーを動的に決定する方法(システムごとに1つのセキュリティポリシーを持つ)や、制御機器を使用しているユーザを認証することによりセキュリティポリシーを動的に決定する方法(ユーザごとに1つのセキュリティポリシーを持つ)(特許文献1参照)が存在する。
特開2001−298449号公報 In addition, regarding security policies, security is determined by dynamically determining the security policy at the start of communication with the control device (having one security policy for each system) or by authenticating the user using the control device. There is a method for dynamically determining a policy (having one security policy for each user) (see Patent Document 1).
JP 2001-298449 A

しかしながら、現状では、セキュリティポリシーは、機器制御プロトコルのフェーズごとには、考慮されていなかった。   However, at present, the security policy is not considered for each phase of the device control protocol.

本発明はこのような問題点に鑑みてなされたものであって、機器制御用プロトコルの発見および制御といったフェーズごとに適したセキュリティポリシーを適用することにより、よりセキュアなネットワークを提供することにある。   The present invention has been made in view of such problems, and is to provide a more secure network by applying a security policy suitable for each phase such as discovery and control of device control protocol. .

上記目的を達成するため、本発明に係る通信装置は以下のような構成を備える。すなわち、所定のプロトコルにしたがって他の機器を通信する通信手段と、前記通信手段による通信のフェーズに対応するセキュリティポリシーを、前記通信手段の通信に適用する適用手段とを有することを特徴とする通信装置である。   In order to achieve the above object, a communication apparatus according to the present invention has the following configuration. In other words, the communication includes communication means for communicating with another device according to a predetermined protocol, and application means for applying a security policy corresponding to a communication phase by the communication means to communication of the communication means. Device.

また、本発明に係る機器制御用装置は以下のような構成を備える。すなわち、機器を発見し、発見された機器を制御する制御手段と、前記制御手段により機器を発見か、発見された機器を制御するかに応じて、セキュリティポリシーを適用する適用手段とを有することを特徴とする機器制御装置である。   The device control device according to the present invention has the following configuration. That is, it has a control unit that discovers a device and controls the discovered device, and an application unit that applies a security policy depending on whether the control unit discovers the device or controls the discovered device. Is a device control device characterized by

また、本発明に係る通信装置は以下のような構成を備える。すなわち、機器を探索する探索手段と、ブロードキャスト通信で機器を探索するか、ディレクトリサービスを使用して機器を探索するかに応じて、セキュリティポリシーを適用する適用手段とを有することを特徴とする通信装置である。   The communication apparatus according to the present invention has the following configuration. That is, a communication comprising: a search unit that searches for a device; and an application unit that applies a security policy depending on whether the device is searched by broadcast communication or a device is searched using a directory service. Device.

以上詳細に説明したように、本発明によれば、機器制御の発見および制御といったフェーズごとに適したセキュリティポリシーを適用することが可能となる。   As described above in detail, according to the present invention, it is possible to apply a security policy suitable for each phase, such as discovery and control of device control.

また、さらに、複数の機器制御用プロトコルを取り扱い可能な場合に、機器制御の発見および制御といった各フェーズと使用している機器制御用プロトコルの組み合わせに適したセキュリティポリシーを適用することが可能となる。   Furthermore, when a plurality of device control protocols can be handled, it is possible to apply a security policy suitable for a combination of each phase such as device control discovery and control and the device control protocol used. .

以下に、本発明を実施するための形態について図面を用いて説明する。   EMBODIMENT OF THE INVENTION Below, the form for implementing this invention is demonstrated using drawing.

図1及び図2は、本発明の従来技術との差異を示すための構成図である。   FIG. 1 and FIG. 2 are configuration diagrams for showing differences from the prior art of the present invention.

図1に記載の従来技術では、プロトコル制御部102と制御対象機器104との通信に使用される機器制御用プロトコル105にセキュリティポリシー103を適用する際に、発見用プロトコル106と制御用プロトコル107を区別することなく、機器制御用プロトコル105全体に1つのセキュリティポリシーが適用されている。   In the prior art described in FIG. 1, when applying the security policy 103 to the device control protocol 105 used for communication between the protocol control unit 102 and the control target device 104, the discovery protocol 106 and the control protocol 107 are used. Without distinction, one security policy is applied to the entire device control protocol 105.

それに対して、図2に記載の本実施形態の機器制御装置(通信装置)は、機器制御アプリケーション108、プロトコル制御部109、セキュリティポリシー110、111を有し、プロトコル制御部109と制御対象機器112との通信に使用される機器制御用プロトコル113にセキュリティポリシーを適用するのではなく、機器制御用プロトコル113の発見フェーズで使用されるプロトコルである発見用プロトコル114にセキュリティポリシーA110を適用し、制御フェーズで使用されるプロトコルである制御用プロトコル115にセキュリティポリシーB111を適用している。   On the other hand, the device control apparatus (communication device) of the present embodiment illustrated in FIG. 2 includes a device control application 108, a protocol control unit 109, and security policies 110 and 111. The protocol control unit 109 and the control target device 112 are included. The security policy A110 is applied to the discovery protocol 114, which is a protocol used in the discovery phase of the device control protocol 113, instead of applying the security policy to the device control protocol 113 used for communication with the device. The security policy B111 is applied to the control protocol 115 which is a protocol used in the phase.

このように、機器制御装置において複数のセキュリティポリシー110、111を保持し、機器制御用プロトコル113における発見フェーズで使用されるプロトコル114と制御フェーズで使用されるプロトコル115とに、それぞれ適したセキュリティポリシー110、111を適用する。例えば、機器制御用プロトコルであるUPnPの場合、発見フェーズで使用されるプロトコルSSDPと、制御フェーズで使用されるプロトコルSOAPにおいて、それぞれ適したセキュリティポリシーを適用することが可能となる。   In this way, the device control apparatus holds a plurality of security policies 110 and 111, and the security policies suitable for the protocol 114 used in the discovery phase and the protocol 115 used in the control phase in the device control protocol 113, respectively. 110 and 111 are applied. For example, in the case of UPnP, which is a device control protocol, it is possible to apply appropriate security policies to the protocol SSDP used in the discovery phase and the protocol SOAP used in the control phase.

このように本発明の実施形態では、機器制御用プロトコルの発見フェーズと制御フェーズにおいてそれぞれ適したセキュリティポリシー110、111を設定するので、例えば、発見フェーズにおいて適用されるセキュリティポリシーにおいて、発見される機器を選定(セキュリティポリシーが合致した機器のみ発見される)し、さらに制御フェーズにおいて適用されるセキュリティポリシーにおいてさらなる機器の選定(セキュリティポリシーが合致した機器のみ制御可能)が可能となるので、よりセキュアな機器制御を実施することが可能となる。   As described above, in the embodiment of the present invention, the security policies 110 and 111 suitable for the discovery phase and the control phase of the device control protocol are set, so that, for example, a device to be discovered in the security policy applied in the discovery phase. (Only devices that match the security policy are discovered), and further devices can be selected in the security policy applied in the control phase (only devices that match the security policy can be controlled). Device control can be performed.

また、発見フェーズにおいてさまざまなセキュリティポリシーを適用することにより、セキュリティポリシーが合致した機器制御装置同士が発見しあうことが可能となり、機器制御装置ネットワーク内で、発見フェーズのセキュリティポリシーによるグループ形成を行うことができる。   Also, by applying various security policies in the discovery phase, it becomes possible for device control devices that match the security policy to discover each other, and form groups based on the security policy in the discovery phase within the device control device network be able to.

図3に記載した本発明の他の実施形態は、機器制御用プロトコルを複数取り扱えるように構成されている機器制御装置(通信装置)の実施形態である。   Another embodiment of the present invention described in FIG. 3 is an embodiment of a device control device (communication device) configured to handle a plurality of device control protocols.

機器制御アプリケーション201は、機器制御に必要とされる機能を一般化した手段を提供するための仮想プロトコルを介して仮想プロトコル処理部202を介して、複数の機器制御プロトコルを制御するプロトコル制御部203、204により実際の機器制御用プロトコル固有の処理を行い、制御対象機器210、216へと接続している。   The device control application 201 controls a plurality of device control protocols via a virtual protocol processing unit 202 via a virtual protocol for providing a means for generalizing functions required for device control. , 204 performs processing specific to the actual device control protocol and connects to the control target devices 210 and 216.

機器制御アプリケーション201があるコマンド(仮想プロトコルにおいて用いられるコマンド)を発行すると、仮想プロトコル処理部202は、機器制御アプリケーション201が発行したコマンドを、機器制御用プロトコルA205(及び/又は機器制御用プロトコルB211)において用いられるコマンドに変換して、プロトコルA制御部203(及び/又はプロトコル制御部204)に与える。仮想プロトコル処理部202は、機器制御用プロトコルA205とB211の両方により機器を探す場合、あるいは、両方により機器を制御する場合には、発見あるいは制御のためのコマンドを、プロトコルA制御部203とプロトコル制御部B204の両方に与える。機器制御用プロトコルA205とB211の一方により機器を探す場合、あるいは、一方により機器を制御する場合には、発見あるいは制御のためのコマンドを、プロトコルA制御部203とプロトコル制御部B204の一方に与える。   When the device control application 201 issues a command (a command used in the virtual protocol), the virtual protocol processing unit 202 changes the command issued by the device control application 201 to the device control protocol A 205 (and / or the device control protocol B 211). ) And used for the protocol A control unit 203 (and / or the protocol control unit 204). When the virtual protocol processing unit 202 searches for a device using both the device control protocols A 205 and B 211, or controls the device using both, the virtual protocol processing unit 202 sends a discovery or control command to the protocol A control unit 203 and the protocol. It gives to both control part B204. When searching for a device by one of the device control protocols A205 and B211, or when controlling a device by one, a command for discovery or control is given to one of the protocol A control unit 203 and the protocol control unit B204. .

なお、図3では、プロトコルAとプロトコルBの2種類を扱うように記載しているが、同時に扱うプロトコルの数に制限はなく、何個でもかまわない。   In FIG. 3, two types of protocol A and protocol B are described. However, the number of protocols handled at the same time is not limited, and any number may be used.

図3のように機器制御用プロトコルを複数取り扱えるように構成されている機器制御装置では、機器制御用プロトコルの各フェーズだけでなく、各機器制御用プロトコルによって、適用すべきセキュリティレベルが異なるものと考える。よって、図3に記載の形態においては、プロトコルA制御部203と制御対象機器A210との通信に使用される機器制御用プロトコルA205の発見フェーズで使用されるプロトコルである発見用プロトコルA206にセキュリティポリシーA208を適用し、制御フェーズで使用されるプロトコルである制御用プロトコルA207にセキュリティポリシーB209を適用している。また、プロトコルB制御部204と制御対象機器B216との通信に使用される機器制御用プロトコルB211の発見フェーズで使用されるプロトコルである発見用プロトコルB212にセキュリティポリシーC214を適用し、制御フェーズで使用されるプロトコルである制御用プロトコルB213にセキュリティポリシーD215を適用している。   In the device control apparatus configured to handle a plurality of device control protocols as shown in FIG. 3, the security level to be applied differs depending on each device control protocol as well as each phase of the device control protocol. Think. Therefore, in the form described in FIG. 3, the security policy is set to the discovery protocol A206 which is a protocol used in the discovery phase of the device control protocol A205 used for communication between the protocol A control unit 203 and the control target device A210. A208 is applied, and the security policy B209 is applied to the control protocol A207 that is a protocol used in the control phase. In addition, the security policy C214 is applied to the discovery protocol B212 that is used in the discovery phase of the device control protocol B211 used for communication between the protocol B control unit 204 and the control target device B216, and used in the control phase. The security policy D215 is applied to the control protocol B213 that is the protocol to be executed.

このように、機器制御用プロトコルを複数取り扱えるように構成されている機器制御装置において複数のセキュリティポリシーを保持し、機器制御装置が取り扱う各機器制御用プロトコルにおける発見フェーズで使用されるプロトコルと、制御フェーズで使用されるプロトコルとに、それぞれ適したセキュリティポリシーを適用することが可能となる。   In this way, the device control device configured to handle a plurality of device control protocols holds a plurality of security policies, and the protocol used in the discovery phase in each device control protocol handled by the device control device, and the control It is possible to apply a security policy suitable for each protocol used in the phase.

例えば、プロトコルA制御部203が使用する機器制御用プロトコルA205がUPnPであり、プロトコルB制御部204が使用する機器制御用プロトコルB211がWebサービスに基づくプロトコル(UDDIで機器を検索しSOAPで制御する)である場合、機器制御用プロトコルA205であるUPnPの発見フェーズで使用されるプロトコルSSDP(A206)と、制御フェーズで使用されるプロトコルSOAP(A207)において、それぞれ適したセキュリティポリシー208、209を適用し、さらに機器制御用プロトコルB211の発見フェーズで使用されるSOAPによるUDDIへの検索要求(B212)と、制御フェーズで使用されるSOAPによる制御(B213)において、それぞれ適したセキュリティポリシー214、215を適用することが可能となる。   For example, the device control protocol A 205 used by the protocol A control unit 203 is UPnP, and the device control protocol B 211 used by the protocol B control unit 204 is a protocol based on a Web service (searches a device using UDDI and controls it using SOAP. ), The appropriate security policies 208 and 209 are applied to the protocol SSDP (A206) used in the UPnP discovery phase, which is the device control protocol A205, and the protocol SOAP (A207) used in the control phase, respectively. Further, in the search request to UDDI by SOAP used in the discovery phase of the device control protocol B211 (B212) and the control by SOAP used in the control phase (B213), appropriate security policies are respectively used. It is possible to apply the Sea 214 and 215.

すなわち、本形態では、UPnPにおけるSSDPのように、ブロードキャスト通信で機器を探索するか、SOAPによるUDDIへの検索要求のように、ディレクトリサービスを提供するデータベースを使用して機器を探索するかに応じて、セキュリティポリシーを適用する。   That is, in this embodiment, depending on whether a device is searched for by broadcast communication as in SSDP in UPnP, or a device that searches a device using a database that provides a directory service, such as a search request to UDDI by SOAP. And apply the security policy.

このように本形態では、機器制御用プロトコルを複数取り扱えるように構成されている機器制御装置において、機器制御装置が取り扱う機器制御用プロトコルごとの発見フェーズと制御フェーズにおいてそれぞれ適したセキュリティポリシーを設定するので、例えば、各機器制御用プロトコルの発見フェーズにおいて適用されるセキュリティポリシーにおいて、発見される機器を選定(セキュリティポリシーが合致した機器のみ発見される)し、さらに制御フェーズにおいて適用されるセキュリティポリシーにおいてさらなる機器の選定(セキュリティポリシーが合致した機器のみ制御可能)が可能となり、よりセキュアな機器制御が実施することが可能となる。また、各機器制御用プロトコルの発見フェーズにおいてさまざまなセキュリティポリシーを適用することにより、セキュリティポリシーが合致した機器制御装置同士が発見しあうことが可能となり、機器制御装置ネットワーク内で、機器制御用プロトコルごとに発見フェーズのセキュリティポリシーによるグループ形成を行うことができる。   As described above, in this embodiment, in the device control apparatus configured to handle a plurality of device control protocols, appropriate security policies are set in the discovery phase and the control phase for each device control protocol handled by the device control apparatus. So, for example, in the security policy applied in the discovery phase of each device control protocol, the devices to be discovered are selected (only devices that match the security policy are found), and further in the security policy applied in the control phase Further device selection (controllable only for devices that meet the security policy) becomes possible, and more secure device control can be performed. In addition, by applying various security policies in the discovery phase of each device control protocol, it becomes possible for device control devices that match the security policy to discover each other. Each group can be formed according to the security policy of the discovery phase.

図4は、本発明の実施例に係る機器制御装置(通信装置)をPC(パーソナルコンピュータ)などのコンピュータシステムで構成した場合のブロック図である。   FIG. 4 is a block diagram when the device control apparatus (communication apparatus) according to the embodiment of the present invention is configured by a computer system such as a PC (personal computer).

なお、機器制御装置(通信装置)は、PC(パーソナルコンピュータ)以外に、ワークステーション、ノートブックPC、パームトップPC、コンピュータを内蔵したテレビ等の各種家電製品、通信機能を有するゲーム機、電話、FAX、携帯電話、PHS、電子手帳、等を含む他の機器制御装置と通信するための通信機能を有する端末、または、これらの組み合わせによっても実施可能である。   In addition to the PC (personal computer), the device control device (communication device) includes a workstation, a notebook PC, a palmtop PC, various home appliances such as a television with a built-in computer, a game machine, a telephone, The present invention can also be implemented by a terminal having a communication function for communicating with other device control apparatuses including a FAX, a mobile phone, a PHS, an electronic notebook, etc., or a combination thereof.

図4の301は、コンピュータシステムの制御をつかさどる中央演算装置(以下CPUと記す)である。   Reference numeral 301 in FIG. 4 denotes a central processing unit (hereinafter referred to as a CPU) that controls the computer system.

302は、ランダムアクセスメモリ(以下RAMと記す)であり、CPU301の主メモリとして、及び実行プログラムの領域や該プログラムの実行エリアならびにデータエリアとして機能する。   Reference numeral 302 denotes a random access memory (hereinafter referred to as a RAM), which functions as a main memory of the CPU 301, an execution program area, an execution area of the program, and a data area.

303は、CPU301の動作処理手順を記録しているリードオンリーメモリー(以下ROMと記す)である。ROM303には、コンピュータシステムの機器制御を行うシステムプログラムである基本ソフト(OS)を記録したプログラムROMとシステムを稼動するために必要な情報などが記録されたデータROMがある。ROM303の代わりに後述のHDD309を用いる場合もある。   Reference numeral 303 denotes a read-only memory (hereinafter referred to as ROM) in which the operation processing procedure of the CPU 301 is recorded. The ROM 303 includes a program ROM that records basic software (OS), which is a system program for controlling the equipment of the computer system, and a data ROM that records information necessary for operating the system. An HDD 309 described later may be used instead of the ROM 303.

304は、ネットワークインターフェース(以下NETIFと記す)であり、ネットワークを介してコンピュータシステム間のデータ転送を行うための制御や接続状況の診断を行う。NETIF304は、所定のプロトコルにしたがって他の機器と通信する通信手段である。また、CPU301は、この通信手段であるNETIF304による通信のフェーズに対応するセキュリティポリシーを、適用する。このセキュリティポリシーは、RAM302あるいはHDD309に格納されている。適用手段であるCPU301は、後述するように、機器を発見する発見フェーズと、発見された機器を制御する制御フェーズに対応するセキュリティポリシーを適用する。   Reference numeral 304 denotes a network interface (hereinafter referred to as NETIF), which performs control for transferring data between computer systems via the network and diagnoses connection status. The NETIF 304 is a communication unit that communicates with other devices according to a predetermined protocol. Further, the CPU 301 applies a security policy corresponding to a communication phase by the NETIF 304 as the communication means. This security policy is stored in the RAM 302 or the HDD 309. As will be described later, the CPU 301 which is an application unit applies a security policy corresponding to a discovery phase for discovering a device and a control phase for controlling the discovered device.

305は、ビデオRAM(以下VRAMと記す)であり、コンピュータシステムの稼動状態を示す後述するCRT306の画面に表示される画像を展開し、その表示の制御を行う。306は、表示装置であって、例えば、ディスプレイである。以下CRTと記す。   Reference numeral 305 denotes a video RAM (hereinafter referred to as VRAM), which expands an image displayed on a screen of a CRT 306, which will be described later, indicating the operating state of the computer system, and controls its display. Reference numeral 306 denotes a display device, for example, a display. Hereinafter referred to as CRT.

307は、後述する外部入力装置308からの入力信号を制御するコントローラである。308は、コンピュータシステムの利用者がコンピュータシステムに対して行う操作を受け付けるための外部入力装置であり、例えば、キーボードなどである。   A controller 307 controls an input signal from an external input device 308 described later. Reference numeral 308 denotes an external input device for accepting operations performed by the computer system user on the computer system, such as a keyboard.

309は、記憶装置を示し、例えば、ハードディスクなどである。アプリケーションプログラムや、画像情報などのデータ保存用に用いられる。本実施例におけるアプリケーションプログラムとは、本実施例を構成する各種機器制御手段を実行するソフトウェアプログラムなどである。   Reference numeral 309 denotes a storage device, such as a hard disk. Used for storing data such as application programs and image information. The application program in the present embodiment is a software program that executes various device control means constituting the present embodiment.

310は、外部入出力装置であって、例えばフロッピー(登録商標)ディスクドライブ、CD−ROMドライブなどのリムーバブル(登録商標)を入出力するものであり、上述したアプリケーションプログラムの媒体からの読み出しなどに用いられる。以下、FDDと記す。なお、HDD309に格納するアプリケーションプログラムやデータをFDD310に格納して使用することも可能である。   Reference numeral 310 denotes an external input / output device that inputs and outputs removable (registered trademark) such as a floppy (registered trademark) disk drive and CD-ROM drive. Used. Hereinafter referred to as FDD. Note that application programs and data stored in the HDD 309 can be stored in the FDD 310 and used.

300は、上述した各ユニット間の接続するための入出力バス(アドレスバス、データバス、及び制御バス)である。   Reference numeral 300 denotes an input / output bus (address bus, data bus, and control bus) for connecting the above-described units.

次に図5を用いて、本発明の実施例に係る機器制御装置(通信装置)のアプリケーションモジュールの説明を行う。   Next, the application module of the device control apparatus (communication apparatus) according to the embodiment of the present invention will be described with reference to FIG.

なお、以下に述べるアプリケーションモジュールは、該機能を実現するソフトウェアのプログラムコードを記録した記録媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(CPUやMPU)が記憶媒体に格納されたプログラムコードを読み出し実行することによって実現される。この場合、記録媒体から読み出されたプログラムコード自体が前述した実施形態(あるいは、後述する実施例)の機能を実現することになり、そのプログラムコードを記録した記憶媒体は、本発明を構成することになる。   The application module described below supplies a recording medium in which a program code of software realizing the function is recorded to the system or apparatus, and the computer (CPU or MPU) of the system or apparatus is stored in the storage medium. This is realized by reading and executing the program code. In this case, the program code itself read from the recording medium realizes the functions of the above-described embodiments (or examples described later), and the storage medium on which the program code is recorded constitutes the present invention. It will be.

また、コンピュータが読み出したプログラムコードを実行することにより、前述した実施形態(あるいは、後述する実施例)の機能が実現されるだけでなく、そのプログラムコードの指示に基づき、コンピュータ上で稼動しているOS(オペレーションシステム)などが実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれる。さらに、記憶媒体から読み出されたプログラムコードがコンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれたあと、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれる。   Further, by executing the program code read out by the computer, not only the functions of the above-described embodiment (or an example described later) are realized, but the computer is operated on the basis of the instruction of the program code. The case where the OS (operation system) or the like performs part or all of the actual processing and the functions of the above-described embodiments are realized by the processing is also included. Furthermore, after the program code read from the storage medium is written in the memory of the function expansion board inserted in the computer or the function expansion unit connected to the computer, the function expansion board is based on the instruction of the program code. Also included is a case where the CPU or the like provided in the function expansion unit performs part or all of the actual processing, and the functions of the above-described embodiments are realized by the processing.

図5に戻る。機器制御装置(通信装置)は、機器制御装置アプリケーション401、機器制御機能提供部402、機器制御用プロトコル制御部403、フェーズ判定部404、セキュリティ適用部405、セキュリティポリシー保持部406、およびメッセージ送受信部407を有する。   Returning to FIG. The device control device (communication device) includes a device control device application 401, a device control function providing unit 402, a device control protocol control unit 403, a phase determination unit 404, a security application unit 405, a security policy holding unit 406, and a message transmission / reception unit. 407.

機器制御装置アプリケーション401は、外部入力装置308、表示装置306と、機器制御機能提供部402との間のデータの入出力制御を司る。   The device control device application 401 manages data input / output control between the external input device 308, the display device 306, and the device control function providing unit 402.

機器制御機能提供部402は、プロファイル情報操作部402a、機器集合情報操作部402bを含む構成である。機器制御機能提供部402は、プロファイル(機器の仕様、設定)の内容を表現するXML形式のファイルを保持するプロファイル情報表現手段(不図示)を有する。このプロファイル情報は、発見フェーズにおいて、発見された機器から取得される。プロファイル情報操作部402aは、このプロファイル情報表現手段に保持されたプロファイルを読み出して操作する。   The device control function providing unit 402 includes a profile information operation unit 402a and a device set information operation unit 402b. The device control function providing unit 402 includes profile information expression means (not shown) that holds an XML file that represents the contents of a profile (device specifications and settings). This profile information is acquired from the discovered device in the discovery phase. The profile information operation unit 402a reads and operates the profile held in the profile information expression means.

機器制御アプリケーション401が所有者別に編集した機器リストを要求した場合、機器集合情報操作部402bは、機器を探し、発見された機器の一覧から、所有者別に編集された機器リストを作成し、機器制御アプリケーション401に返す。機器制御アプリケーション401は、機器集合情報操作部402bからもらった機器リストを表示装置306に表示する。   When the device control application 401 requests a device list edited by owner, the device set information operation unit 402b searches for a device and creates a device list edited by owner from the list of discovered devices. Return to the control application 401. The device control application 401 displays the device list received from the device set information operation unit 402 b on the display device 306.

機器制御機能提供部402は、更に、機器制御手段(不図示)を有し、表示された一覧に含まれる特定の機器のステータスの取得を機器制御アプリケーション401から要求された場合、この機器制御手段は、その特定の機器のステータスを要求し、その特定の機器からステータスを受け取る。   The device control function providing unit 402 further includes a device control unit (not shown). When the device control application 401 requests acquisition of the status of a specific device included in the displayed list, the device control unit 401 Requests the status of that particular device and receives the status from that particular device.

また、メッセージ送受信部407は、メッセージ送信部407a、メッセージ受信部407bを含む構成である。   The message transmitting / receiving unit 407 includes a message transmitting unit 407a and a message receiving unit 407b.

機器制御プロトコルとしてUPnPを用いる場合、発見フェーズでは、プロトコルとしてSSDPを使い、制御フェーズでは、プロトコルとしてSOAPを使うので、フェーズによって使用しているプロトコルが異なる。よって、プロトコルからフェーズの判定を行うことができる。機器制御用プロトコル制御部403は、SSDPからSOAPにプロトコルが変わったことを察知して、イベントを発行する。フェーズ判定部404は、機器制御用プロトコル制御部403からのフェーズが変わったというイベント通知を受けてフェーズを判定する。   When UPnP is used as the device control protocol, SSDP is used as the protocol in the discovery phase, and SOAP is used as the protocol in the control phase. Therefore, the protocol used differs depending on the phase. Therefore, the phase can be determined from the protocol. The device control protocol control unit 403 detects that the protocol has changed from SSDP to SOAP, and issues an event. The phase determination unit 404 determines the phase upon receiving an event notification from the device control protocol control unit 403 that the phase has changed.

セキュリティ適用部405は、フェーズ判定部404により判定されたフェーズに対応するセキュリティポリシーをセキュリティポリシー保持部406から読み出し、機器制御用プロトコル制御部403に適用する。機器制御用プロトコル制御部403は、セキュリティポリシー適用部405により適用されたセキュリティポリシーにしたがい、メッセージ送受信部407によりメッセージの送受信を行う。   The security application unit 405 reads the security policy corresponding to the phase determined by the phase determination unit 404 from the security policy holding unit 406 and applies it to the device control protocol control unit 403. The device control protocol control unit 403 performs message transmission / reception by the message transmission / reception unit 407 in accordance with the security policy applied by the security policy application unit 405.

機器制御用プロトコル制御部403は、機器を発見し、発見された機器を制御する制御手段であり、セキュリティ設定部406は、制御手段である機器制御用プロトコル制御部403が機器を発見するとき(発見フェーズ)と、発見された機器を制御するとき(制御フェーズ)のそれぞれに、対応するセキュリティポリシー(フェーズに対応するセキュリティポリシー)を適用する適用手段である。   The device control protocol control unit 403 is a control unit that discovers a device and controls the discovered device, and the security setting unit 406 is when the device control protocol control unit 403 that is a control unit discovers a device ( It is an application means for applying a corresponding security policy (a security policy corresponding to a phase) to each of a discovery phase) and when a discovered device is controlled (control phase).

次に図6を用いて、本発明の実施例に係る複数の機器制御用プロトコルを取り扱うことが可能な機器制御装置(通信装置)のアプリケーションモジュールの説明を行う。   Next, an application module of a device control apparatus (communication device) capable of handling a plurality of device control protocols according to an embodiment of the present invention will be described with reference to FIG.

複数の機器制御用プロトコルを取り扱うことが可能な機器制御装置(通信装置)は、機器制御用アプリケーション501、機器制御機能提供部502、仮想プロトコル処理部503、機器制御用プロトコル制御部504、フェーズ判定部505、機器制御用プロトコル判定部506、セキュリティ適用部507、セキュリティポリシー保持部508、およびメッセージ送受信部509を有する。   A device control device (communication device) capable of handling a plurality of device control protocols includes a device control application 501, a device control function providing unit 502, a virtual protocol processing unit 503, a device control protocol control unit 504, and a phase determination. A unit 505, a device control protocol determination unit 506, a security application unit 507, a security policy holding unit 508, and a message transmission / reception unit 509.

機器制御装置アプリケーション501は、外部入力装置308、表示装置306と、仮想プロトコル処理部503との間のデータの入出力制御を司る。   The device control device application 501 manages data input / output control between the external input device 308, the display device 306, and the virtual protocol processing unit 503.

機器制御機能提供部502は、プロファイル情報操作部502a、機器集合情報操作部502bを含む構成である。機器制御機能提供部502は、プロファイル(機器の内容)の内容を表現するXML形式のファイルを保持するプロファイル情報表現手段を有する。このプロファイル情報は、発見フェーズにおいて、発見された機器から取得される。プロファイル情報操作部502aは、このプロファイル情報表現手段に保持されたプロファイルを読み出して操作する。   The device control function providing unit 502 includes a profile information operation unit 502a and a device set information operation unit 502b. The device control function providing unit 502 includes profile information expression means for holding an XML format file that represents the contents of a profile (device contents). This profile information is acquired from the discovered device in the discovery phase. The profile information operation unit 502a reads and operates the profile held in the profile information expression means.

機器制御アプリケーション501が所有者別に編集した機器リストを要求した場合、機器集合情報操作部502bは、上記のようにして機器を発見し、発見された機器の一覧から、所有者別に編集された機器リストを作成し、機器制御アプリケーション501に返す。機器制御アプリケーション501は、機器集合情報操作部502bからもらった機器リストを表示装置306に表示する。   When the device control application 501 requests a device list edited by owner, the device set information operation unit 502b finds the device as described above, and the device edited by owner from the list of discovered devices. A list is created and returned to the device control application 501. The device control application 501 displays the device list received from the device set information operation unit 502 b on the display device 306.

機器制御機能提供部502は、更に、機器制御手段(不図示)を有し、表示された一覧に含まれる特定の機器のステータスの取得を機器制御アプリケーション501から要求された場合、この機器制御手段は、仮想プロトコル処理部503を介して、その特定の機器のステータスを要求し、その特定の機器からステータスを受け取る。   The device control function providing unit 502 further includes device control means (not shown). When the device control application 501 requests acquisition of the status of a specific device included in the displayed list, the device control means 501 Requests the status of the specific device via the virtual protocol processing unit 503 and receives the status from the specific device.

また、機器制御用プロトコル制御部504は、プロトコルA処理部504a、プロトコルB処理部504b、プロトコルC処理部504cを含む構成である。なお、図6では、機器制御用プロトコル制御部504は、3つのプロトコル処理部を保持しているが、プロトコル処理部の数は、3つに限定されるものではなく、取り扱うことが可能な機器制御用プロトコルの数に順ずる。   The device control protocol control unit 504 includes a protocol A processing unit 504a, a protocol B processing unit 504b, and a protocol C processing unit 504c. In FIG. 6, the device control protocol control unit 504 holds three protocol processing units, but the number of protocol processing units is not limited to three and can be handled. Follow the number of control protocols.

また、メッセージ送受信部509は、メッセージ送信部509a、メッセージ受信部509bを含む構成である。   The message transmitting / receiving unit 509 includes a message transmitting unit 509a and a message receiving unit 509b.

仮想プロトコル処理部503は、実際にどの機器制御用プロトコルを使うかどうかが決定し、機器制御用プロトコル制御部504に対して、機器制御用プロトコルが決定したというイベントを通知する。   The virtual protocol processing unit 503 determines which device control protocol is actually used, and notifies the device control protocol control unit 504 of an event that the device control protocol is determined.

イベントの通知を受けた機器制御用プロトコル制御部504は、どの機器制御用プロトコルが使用されることになったかを理解する。機器制御プロトコルとしてUPnPが用いられる場合、機器制御用プロトコル制御部504は、SSDPからSOAPにプロトコルが変わったことを察知して、イベントを発行する。フェーズ判定部505は、機器制御用プロトコル制御部504からのフェーズが変わったというイベント通知を受けてフェーズを判定する。   Upon receiving the event notification, the device control protocol control unit 504 understands which device control protocol is to be used. When UPnP is used as the device control protocol, the device control protocol control unit 504 detects that the protocol has changed from SSDP to SOAP and issues an event. The phase determination unit 505 receives the event notification that the phase has changed from the device control protocol control unit 504 and determines the phase.

セキュリティ適用部507は、機器制御用プロトコル判定部606により判定された機器制御用プロトコル及びフェーズ判定部505により判定されたフェーズに対応するセキュリティポリシーをセキュリティポリシー保持部508から読み出し、機器制御用プロトコル制御部504に適用する。   The security application unit 507 reads out the device control protocol determined by the device control protocol determination unit 606 and the security policy corresponding to the phase determined by the phase determination unit 505 from the security policy holding unit 508, and controls the device control protocol. Part 504 is applied.

仮想プロトコル処理部503が使用すると決定した機器制御プロトコルを処理するプロトコル処理部(例えば、504a)は、その機器制御プロトコルにおける機器発見のためのコマンドを仮想プロトコル処理部503から受け取り、セキュリティポリシー適用部507により適用されたセキュリティポリシーを用いて、そのコマンドを、メッセージ送信部509aから送信する。   A protocol processing unit (for example, 504a) that processes a device control protocol determined to be used by the virtual protocol processing unit 503 receives a device discovery command in the device control protocol from the virtual protocol processing unit 503, and receives a security policy application unit. The command is transmitted from the message transmission unit 509a using the security policy applied by 507.

機器制御用プロトコル制御部504は、複数の機器制御用プロトコルの取り扱いが可能であり、その複数の機器制御用プロトコルを用いて、機器を発見し、発見された機器を制御する制御手段であり、セキュリティ設定部507は、制御手段である機器制御用プロトコル制御部504が機器を発見するとき(発見フェーズ)と、発見された機器を制御するとき(制御フェーズ)のそれぞれに、用いる機器制御用プロトコルに応じて、対応するセキュリティポリシー(機器制御用プロトコルとフェーズに対応するセキュリティポリシー)を適用する適用手段である。   The device control protocol control unit 504 is a control unit that can handle a plurality of device control protocols, discover devices using the plurality of device control protocols, and control the discovered devices. The security setting unit 507 is a device control protocol used when the device control protocol control unit 504, which is a control unit, discovers a device (discovery phase) and when it controls a discovered device (control phase). The application means applies a corresponding security policy (a security policy corresponding to the device control protocol and phase).

また、機器制御用プロトコル制御部504は、機器を探索する探索手段であり、セキュリティ適用部507は、UPnPにおけるSSDPのように、ブロードキャスト通信で機器を探索するか、SOAPによるUDDIへの検索要求のように、ディレクトリサービスを提供するデータベースを使用して機器を探索するかに応じて、セキュリティポリシーを適用する適用手段である。   The device control protocol control unit 504 is a search unit that searches for a device. The security application unit 507 searches for a device by broadcast communication, such as SSDP in UPnP, or requests a search request to UDDI by SOAP. In this way, the application means applies a security policy depending on whether a device is searched using a database that provides a directory service.

図7は、図5の実施例による機器制御装置におけるセキュリティポリシー適用時のフローチャートである。このフローチャートは、記憶装置309に記憶されたアプリケーションプログラムの一部を示す。   FIG. 7 is a flowchart when the security policy is applied in the device control apparatus according to the embodiment of FIG. This flowchart shows a part of the application program stored in the storage device 309.

まず、ステップS601で、機器制御機能提供部402が、機器制御アプリケーション401から処理要求を受信する。次に機器制御機能提供部402は、ステップS602において、制御内容を決定し機器制御用プロトコル制御部403に対してコマンドを発行する。   First, in step S <b> 601, the device control function providing unit 402 receives a processing request from the device control application 401. Next, in step S <b> 602, the device control function providing unit 402 determines the control content and issues a command to the device control protocol control unit 403.

そして、ステップS603において、フェーズ判定部404は、機器制御用プロトコル制御部403が、現在発見フェーズを実行中なのか、あるいは制御フェーズを実行中なのかを判定する。例えば、UPnPの場合、発見フェーズでは、プロトコルとしてSSDPを使い、制御フェーズでは、プロトコルとしてSOAPを使うので、フェーズによって使用しているプロトコルが異なる。よって、フェーズ判定部404は、プロトコルからフェーズの判定を行う。   In step S603, the phase determination unit 404 determines whether the device control protocol control unit 403 is currently executing the discovery phase or the control phase. For example, in the case of UPnP, SSDP is used as a protocol in the discovery phase, and SOAP is used as a protocol in the control phase. Therefore, the protocol used differs depending on the phase. Therefore, the phase determination unit 404 determines the phase from the protocol.

そして、ステップS604において、セキュリティ適用部406は、フェーズ判定部404によって判定されたフェーズに適したセキュリティポリシーをセキュリティポリシー保持部406から取得する。例えば、セキュリティポリシー保持部406が発見フェーズ用のセキュリティポリシーAと制御フェーズ用のセキュリティポリシーBを保持している場合、ステップS604で、セキュリティ適用部406は、現在実行中のフェーズに応じて、セキュリティポリシーAとBの一方を、セキュリティ保持部406から取得する。   In step S <b> 604, the security application unit 406 obtains a security policy suitable for the phase determined by the phase determination unit 404 from the security policy holding unit 406. For example, when the security policy holding unit 406 holds the security policy A for the discovery phase and the security policy B for the control phase, in step S604, the security application unit 406 determines whether the security policy is in accordance with the currently executed phase. One of the policies A and B is acquired from the security holding unit 406.

セキュリティポリシーAは、例えば、以下の通りである。すなわち、セキュリティポリシーAは、UPnPの発見フェーズで用いられる。また、使用プロトコルは、SSDPであり、タイプは、ブロードキャストである。暗号化タイプは、IPsec、レベルは、useであり、プロトコルでは、AH(Authentication Header;ユーザ認証ための認証ヘッダー)を用いる。レベルがuseの場合、IPsecが使用可能ならば、IPsec有りの状態で通信し、不可能ならば、IPsecなしの状態で通信する。   The security policy A is as follows, for example. That is, the security policy A is used in the UPnP discovery phase. The protocol used is SSDP and the type is broadcast. The encryption type is IPsec, the level is use, and the protocol uses AH (Authentication Header; an authentication header for user authentication). When the level is “use”, if IPsec is usable, communication is performed with IPsec, and if impossible, communication is performed without IPsec.

また、セキュリティポリシーBは、以下の通りである。すなわち、セキュリティポリシーBは、UPnPの制御フェーズで用いられる。また、使用プロトコルは、SOAPであり、タイプは、ユニキャストである。暗号化タイプは、IPsec、レベルは、requireであり、プロトコルでは、AH(Authentication Header;認証ヘッダー)及びESP(Encapsulating Security Payload;IPパケットの暗号化)を用いる。レベルがrequireの場合、IPsecが使用可能ならば、IPsec有りの状態で通信し、不可能ならば、通信しない。このセキュリティポリシーBは、セキュリティポリシーAよりも、高いセキュリティレベルを有する。   Security policy B is as follows. That is, the security policy B is used in the UPnP control phase. The protocol used is SOAP and the type is unicast. The encryption type is IPsec, the level is “require”, and the protocol uses AH (Authentication Header) and ESP (Encapsulating Security Payload). When the level is “require”, if IPsec is usable, communication is performed with IPsec, and if impossible, communication is not performed. This security policy B has a higher security level than the security policy A.

そして、ステップS605において、セキュリティポリシー適用部405は、セキュリティポリシー保持部406から取得したセキュリティポリシーを機器制御用プロトコル制御部403に対して適用する。   In step S 605, the security policy application unit 405 applies the security policy acquired from the security policy holding unit 406 to the device control protocol control unit 403.

そして、ステップS606において、メッセージ送信部407aからIPSec、SSLなどのセキュリティポリシーに従った暗号化が施されたメッセージが制御対象機器に対して送信される。なお、メッセージ送信部407aから送信される際には、インターネットプロトコル(IP)が用いられる。この場合IPのバージョンはIPv4とIPv6の双方が使用可能である。また、実際に通信経路として使用される媒体は、有線あるいは無線を用いることができる。機器制御用プロトコルによっては、さらにTCP、UDP、HTTP、SMTP、SNMP、FTPなどの通信プロトコルが用いられる場合もある。   In step S606, the message transmitting unit 407a transmits a message encrypted according to a security policy such as IPSec or SSL to the control target device. Note that the Internet protocol (IP) is used when the message is transmitted from the message transmission unit 407a. In this case, both IPv4 and IPv6 can be used as the IP version. In addition, a medium that is actually used as a communication path can be wired or wireless. Depending on the device control protocol, a communication protocol such as TCP, UDP, HTTP, SMTP, SNMP, or FTP may be further used.

以上説明した実施例によれば、機器制御用プロトコルの発見フェーズと制御フェーズにおいてそれぞれ適したセキュリティポリシーを設定することにより、例えば、発見フェーズにおいて適用されるセキュリティポリシーにおいて、発見される機器を選定(セキュリティポリシーが合致した機器のみ発見される)し、さらに制御フェーズにおいて適用されるセキュリティポリシーにおいてさらなる機器の選定(セキュリティポリシーが合致した機器のみ制御可能)が可能となるので、よりセキュアな機器制御が実施することが可能となる。   According to the embodiment described above, by setting appropriate security policies in the discovery phase and control phase of the device control protocol, for example, the devices to be discovered are selected in the security policy applied in the discovery phase ( Since only devices that match the security policy are discovered), and further devices can be selected in the security policy applied in the control phase (only devices that match the security policy can be controlled), more secure device control is possible. It becomes possible to carry out.

すなわち、発見フェーズと制御フェーズのセキュリティポリシーを、発見フェーズのセキュリティポリシーが、制御フェーズのセキュリティポリシーよりも、低くなるように(あるいは、セキュリティをかけない)、セキュリティポリシー保持部406に設定しておく。   That is, the security policies of the discovery phase and the control phase are set in the security policy holding unit 406 so that the security policy of the discovery phase is lower (or no security is applied) than the security policy of the control phase. .

例えば、機器制御アプリケーション401が所有者別に編集した機器リストを要求した場合(ステップS601)、機器制御機能提供部402は、機器を発見するためのコマンドを生成し(ステップS602)、生成したコマンドを機器制御用プロトコル制御部403に渡す。ここで、機器制御用プロトコルにしたがって行われる通信のフェーズを検出するが(ステップS603)、この場合は、発見フェーズであるので、発見フェーズのセキュリティポリシーをセキュリティポリシー保持部406から取得し(ステップS604)、取得したセキュリティポリシーをこの通信に適用して(ステップS605)、上記の発見のためのコマンドを送信し(ステップS606)、このコマンドを受信した機器からの応答を受信する。   For example, when the device control application 401 requests a device list edited for each owner (step S601), the device control function providing unit 402 generates a command for discovering a device (step S602), and the generated command is displayed. The data is transferred to the device control protocol control unit 403. Here, the phase of communication performed in accordance with the device control protocol is detected (step S603). In this case, since it is the discovery phase, the security policy of the discovery phase is acquired from the security policy holding unit 406 (step S604). ), Applying the acquired security policy to this communication (step S605), transmitting the above discovery command (step S606), and receiving a response from the device that received this command.

機器制御用プロトコルがUPnPで、発見フェーズでは、上記のセキュリティポリシーAを適用する場合、IPsecが使用可能な機器とは、IPsecを用いて、IPsecが使用不可能な機器との通信は、IPsecを用いずに、通信する。なお、このセキュリティポリシーAでは、IPsecのAH(Authentication Header;ユーザ認証ための認証ヘッダー)を用いる。   When the device control protocol is UPnP and the security policy A is applied in the discovery phase, when IPsec is used, communication with a device that cannot use IPsec is performed using IPsec. Communicate without using it. In this security policy A, IPsec AH (Authentication Header; authentication header for user authentication) is used.

このようにして機器を発見し、発見された機器の一覧から、所有者別に編集された機器リストを作成し、機器制御アプリケーション401に返す。機器制御アプリケーション401は、機器制御機能提供部402からもらった機器リストを表示装置306に表示する。   In this way, a device is discovered, a device list edited for each owner is created from the list of discovered devices, and the device list is returned to the device control application 401. The device control application 401 displays the device list received from the device control function providing unit 402 on the display device 306.

更に、表示された一覧に含まれる特定の機器のステータスの取得を機器制御アプリケーション401から要求された場合(ステップS601)、機器制御機能提供部402は、その特定の機器のステータスを取得するためのコマンドを生成し(ステップS602)、生成したコマンドを機器制御用プロトコル制御部403に渡す。ここで、機器制御用プロトコルにしたがって行われる通信のフェーズを検出するが(ステップS603)、この場合は、発見フェーズではなく制御フェーズであるので、制御フェーズのセキュリティポリシーをセキュリティポリシー保持部406から取得し(ステップS604)、取得したセキュリティポリシーをこの通信に適用して(ステップS605)、上記の機器のステータス取得のためのコマンドを送信し(ステップS606)、その特定の機器からステータスを受け取る。   Furthermore, when the device control application 401 requests acquisition of the status of a specific device included in the displayed list (step S601), the device control function providing unit 402 acquires the status of the specific device. A command is generated (step S602), and the generated command is passed to the device control protocol control unit 403. Here, the phase of communication performed according to the device control protocol is detected (step S603). In this case, since it is not the discovery phase but the control phase, the security policy of the control phase is acquired from the security policy holding unit 406. (Step S604), the acquired security policy is applied to this communication (Step S605), the above-mentioned command for acquiring the status of the device is transmitted (Step S606), and the status is received from the specific device.

機器制御用プロトコルがUPnPで、制御フェーズでは、上記のセキュリティポリシーBを適用する場合、上記の特定の機器がIPsecを使用可能な場合、IPsecを用いて通信し、上記の特定の機器がIPsecを使用不可能な場合、通信しない。なお、このセキュリティポリシーBでは、IPsecのAH(Authentication Header;ユーザ認証ための認証ヘッダー)及びESP(Encapsulating Security Payload;IPパケットの暗号化)を用いる。   When the device control protocol is UPnP and the security policy B is applied in the control phase, when the specific device can use IPsec, the device communicates using IPsec, and the specific device uses IPsec. If not available, do not communicate. This security policy B uses IPsec AH (Authentication Header; authentication header for user authentication) and ESP (Encapsulating Security Payload: encryption of IP packet).

また、発見フェーズにおいてさまざまなセキュリティポリシーを適用することにより、セキュリティポリシーが合致した機器制御装置同士が発見しあうことが可能となり、機器制御装置ネットワーク内で、発見フェーズのセキュリティポリシーによるグループ形成を行うことができる。   Also, by applying various security policies in the discovery phase, it becomes possible for device control devices that match the security policy to discover each other, and form groups based on the security policy in the discovery phase within the device control device network be able to.

図8は、図6の実施例による複数の機器制御用プロトコルを取り扱うことが可能な機器制御装置におけるセキュリティポリシー適用時のフローチャートである。このフローチャートは、記憶装置309に記憶されたアプリケーションプログラムの一部を示す。   FIG. 8 is a flowchart when a security policy is applied in a device control apparatus capable of handling a plurality of device control protocols according to the embodiment of FIG. This flowchart shows a part of the application program stored in the storage device 309.

まず、ステップS701で、機器制御機能提供部502が、機器制御アプリケーション501から処理要求を受信する。次に機器制御機能提供部502は、ステップS702において、制御内容を決定する。   First, in step S701, the device control function providing unit 502 receives a processing request from the device control application 501. Next, the device control function providing unit 502 determines the control content in step S702.

そして、ステップS703において、仮想プロトコル処理部503は、ステップS702で決定された制御内容にしたがって、複数の機器制御用プロトコルを抽象化している仮想プロトコルから実際に使用する機器制御用プロトコルへのプロトコル変換を行い、機器制御用プロトコル制御部504に対してコマンドを発行する。   In step S703, the virtual protocol processing unit 503 converts the protocol from the virtual protocol abstracting a plurality of device control protocols to the actually used device control protocol in accordance with the control content determined in step S702. And issues a command to the device control protocol control unit 504.

例えば、機器制御アプリケーション501が所有者別に編集した機器リストを要求した場合(ステップS701)、機器制御機能提供部502は、機器を発見するためのコマンド(仮想プロトコルにおけるコマンド)を生成し(ステップS702)、生成したコマンドを仮想プロトコル処理部503に渡す。ここでは、プロトコルA、B、Cを順次用いて、機器を発見するものとする。機器制御機能提供部502は、どの機器制御プロトコルを使用するかを、仮想プロトコル処理部503に通知する。仮想プロトコル処理部503は、機器制御機能提供部502から受け取ったコマンドを、まず、プロトコルAにおいて用いられるコマンドに変換して、機器制御用プロトコル制御部504に渡す(プロトコルAを用いた機器の発見処理の終了後、プロトコルBを用いた機器の発見を行い、その後、プロトコルCを用いて、機器の発見を行う)。   For example, when the device control application 501 requests a device list edited for each owner (step S701), the device control function providing unit 502 generates a command (command in the virtual protocol) for discovering the device (step S702). ), And passes the generated command to the virtual protocol processing unit 503. Here, it is assumed that the devices are discovered using the protocols A, B, and C sequentially. The device control function providing unit 502 notifies the virtual protocol processing unit 503 which device control protocol to use. The virtual protocol processing unit 503 first converts the command received from the device control function providing unit 502 into a command used in the protocol A and passes the command to the device control protocol control unit 504 (discovering a device using the protocol A) After the processing is completed, the device is discovered using the protocol B, and then the device is discovered using the protocol C).

そして、ステップS704において、機器制御用プロトコル判定部506は、機器制御用プロトコル制御部504においてステップS703で発行されたコマンドによりどの機器制御プロトコルが使用されているかを判定する。   In step S704, the device control protocol determination unit 506 determines which device control protocol is used by the device control protocol control unit 504 according to the command issued in step S703.

そして、ステップS705において、フェーズ判定部505は、機器制御用プロトコル制御部504が、現在発見フェーズを実行中なのか、あるいは制御フェーズを実行中なのかを判定する。例えば、機器制御用プロトコルがUPnPの場合、発見フェーズでは、プロトコルとしてSSDPを使い、制御フェーズでは、プロトコルとしてSOAPを使うので、フェーズによって使用しているプロトコルが異なる。よって、フェーズ判定部505は、プロトコルからフェーズの判定を行う。   In step S705, the phase determination unit 505 determines whether the device control protocol control unit 504 is currently executing the discovery phase or the control phase. For example, when the device control protocol is UPnP, SSDP is used as the protocol in the discovery phase, and SOAP is used as the protocol in the control phase. Therefore, the protocol used differs depending on the phase. Therefore, the phase determination unit 505 determines the phase from the protocol.

そして、ステップS706において、セキュリティ適用部507は、ステップS704とステップS705の判定結果をもとに、現在使用中の機器制御用プロトコルの現在のフェーズに適したセキュリティポリシーをセキュリティポリシー保持部508から取得する。   In step S706, the security application unit 507 acquires from the security policy holding unit 508 a security policy suitable for the current phase of the currently used device control protocol based on the determination results in steps S704 and S705. To do.

現在使用中の機器制御用プロトコルがUPnPならば、現在のフェーズに応じて、図7のステップS604と同様に、セキュリティポリシーA又はBをセキュリティポリシー保持部508から取得する。   If the device control protocol currently in use is UPnP, the security policy A or B is acquired from the security policy holding unit 508 according to the current phase, as in step S604 of FIG.

また、現在使用中の機器制御用プロトコルがWebサービスならば、現在のフェーズに応じて、セキュリティポリシーCとDの一方をセキュリティ保持部508から取得する。   If the device control protocol currently in use is a Web service, one of the security policies C and D is acquired from the security holding unit 508 according to the current phase.

セキュリティポリシーCは、例えば、以下の通りである。すなわち、セキュリティポリシーCは、Webサービスの発見フェーズで用いられる。また、使用プロトコルは、SOAP(UDDI(Webサービスを検索するためのデータベース)へのアクセス)であり、タイプは、ユニキャストである。暗号化タイプは、IPsec、レベルは、requireであり、プロトコルでは、AH(Authentication Header;認証ヘッダー)を用いる。レベルがrequireの場合、IPsecが使用可能ならば、IPsec有りの状態で通信し、不可能ならば、通信しない。   The security policy C is, for example, as follows. That is, the security policy C is used in the Web service discovery phase. The protocol used is SOAP (UDDI (access to a database for searching Web services)), and the type is unicast. The encryption type is IPsec, the level is “require”, and the protocol uses AH (Authentication Header). When the level is “require”, if IPsec is usable, communication is performed with IPsec, and if impossible, communication is not performed.

また、セキュリティポリシーDは、以下の通りである。すなわち、セキュリティポリシーDは、Webサービルの制御フェーズで用いられる。また、使用プロトコルは、SOAP(制御対象機器へのアクセス)であり、タイプは、ユニキャストである。暗号化タイプは、IPsecであり、レベルは、requireであり、プロトコルでは、AH(Authentication Header;認証ヘッダー)及びESP(Encapsulating Security Payload;IPパケットの暗号化)を用いる。レベルがrequireの場合、IPsecが使用可能ならば、IPsec有りの状態で通信し、不可能ならば、通信しない。   The security policy D is as follows. That is, the security policy D is used in the control phase of the web service. The protocol used is SOAP (access to the control target device), and the type is unicast. The encryption type is IPsec, the level is “require”, and the protocol uses AH (Authentication Header) and ESP (Encapsulating Security Payload). When the level is “require”, if IPsec is usable, communication is performed with IPsec, and if impossible, communication is not performed.

また、現在使用中の機器制御用プロトコルがJini(Java(R) intelligent network infrastructure)ならば、現在のフェーズに応じて、セキュリティポリシーEとFの一方をセキュリティ保持部508から取得する。   If the device control protocol currently in use is Jini (Java (R) intelligent network infrastructure), one of the security policies E and F is acquired from the security holding unit 508 according to the current phase.

セキュリティポリシーEは、例えば、以下の通りである。すなわち、セキュリティポリシーEは、Jiniの発見フェーズで用いられる。また、使用プロトコルは、RMI(Remote Method Invocation、Lookupサービス(ネットワークに接続された機器が提供する機能が登録され、所望の機能を備えた機器を検索するサービス)へのアクセス)であり、タイプは、ブロードキャスト又はユニキャストである。暗号化タイプは、IPsec、レベルは、useであり、プロトコルでは、AH(Authentication Header;認証ヘッダー)及びESP(Encapsulating Security Payload;IPパケットの暗号化)を用いる。レベルがuseの場合、IPsecが使用可能ならば、IPsec有りの状態で通信し、不可能ならば、IPsecなしの状態で通信する。   The security policy E is, for example, as follows. That is, the security policy E is used in the Jini discovery phase. In addition, the protocol used is RMI (Remote Method Invocation, Lookup service (access to a service in which a function provided by a device connected to a network is registered and a device having a desired function is searched)), and the type is Broadcast or unicast. The encryption type is IPsec, the level is use, and the protocol uses AH (Authentication Header) and ESP (Encapsulating Security Payload). When the level is “use”, if IPsec is usable, communication is performed with IPsec, and if impossible, communication is performed without IPsec.

また、セキュリティポリシーFは、以下の通りである。すなわち、セキュリティポリシーFは、Jiniの制御フェーズで用いられる。また、使用プロトコルは、RMI(制御対象機器へのアクセス)であり、タイプは、ユニキャストである。暗号化タイプは、IPsecであり、レベルは、requireであり、プロトコルでは、AH(Authentication Header;認証ヘッダー)及びESP(Encapsulating Security Payload;IPパケットの暗号化)を用いる。レベルがrequireの場合、IPsecが使用可能ならば、IPsec有りの状態で通信し、不可能ならば、通信しない。   The security policy F is as follows. That is, the security policy F is used in the Jini control phase. The protocol used is RMI (access to the control target device), and the type is unicast. The encryption type is IPsec, the level is “require”, and the protocol uses AH (Authentication Header) and ESP (Encapsulating Security Payload). When the level is “require”, if IPsec is usable, communication is performed with IPsec, and if impossible, communication is not performed.

本実施例のように、機器制御用プロトコルを複数取り扱えるように構成されている場合、機器制御用プロトコルの各フェーズだけでなく、各機器制御用プロトコルによって、異なるセキュリティレベルを適用する。例えば、UPnPの発見フェーズのように近傍の制御可能な機器をブロードキャスト通信で探索する場合と、UDDI(Universal Description Discovery and Integration、(Webサービスを検索するためのデータベース))のようなディレクトリサービスを使用して制御可能な機器を探索する場合では、送受信されるデータの特徴および送信方法が異なるので、異なるセキュリティレベルを適用する(ブロードキャスト通信で探索する場合には、より低いセキュリティレベルを適用する)。   When configured to handle a plurality of device control protocols as in this embodiment, different security levels are applied not only for each phase of the device control protocol but also for each device control protocol. For example, when a nearby controllable device is searched for by broadcast communication as in the UPnP discovery phase, a directory service such as UDDI (Universal Description Discovery and Integration, (database for searching Web services)) is used. Thus, when searching for a controllable device, the characteristics and transmission method of the transmitted / received data are different, so different security levels are applied (when searching by broadcast communication, a lower security level is applied).

そして、ステップS707において、セキュリティポリシー適用部507は、セキュリティポリシー保持部508から取得したセキュリティポリシーを機器制御用プロトコル制御部504に対して適用する。   In step S 707, the security policy application unit 507 applies the security policy acquired from the security policy holding unit 508 to the device control protocol control unit 504.

そして、ステップS708において、メッセージ送信部509aからIPSec、SSLなどのセキュリティポリシーに従った暗号化が施されたメッセージが制御対象機器に対して送信される。なお、メッセージ送信部509aから送信される際には、インターネットプロトコル(IP)が用いられる。この場合IPのバージョンはIPv4とIPv6の双方が使用可能である。また、実際に通信経路として使用される媒体は、有線あるいは無線を用いることができる。機器制御用プロトコルによっては、さらにTCP、UDP、HTTP、SMTP、SNMP、FTPなどの通信プロトコルが用いられる場合もある。   In step S708, the message transmission unit 509a transmits a message subjected to encryption according to a security policy such as IPSec or SSL to the control target device. Note that the Internet protocol (IP) is used when the message is transmitted from the message transmission unit 509a. In this case, both IPv4 and IPv6 can be used as the IP version. In addition, a medium that is actually used as a communication path can be wired or wireless. Depending on the device control protocol, a communication protocol such as TCP, UDP, HTTP, SMTP, SNMP, or FTP may be further used.

以上説明した実施例によれば、複数の機器制御用プロトコルを取り扱うことが可能な機器制御装置において、機器制御装置が取り扱う各機器制御用プロトコルの発見フェーズと制御フェーズにおいてそれぞれ適したセキュリティポリシーを設定することにより、例えば、各機器制御用プロトコルの発見フェーズにおいて適用されるセキュリティポリシーにおいて、発見される機器を選定(セキュリティポリシーが合致した機器のみ発見される)し、さらに制御フェーズにおいて適用されるセキュリティポリシーにおいてさらなる機器の選定(セキュリティポリシーが合致した機器のみ制御可能)が可能となり、よりセキュアな機器制御が実施することが可能となる。   According to the embodiment described above, in a device control apparatus capable of handling a plurality of device control protocols, appropriate security policies are set in the discovery phase and control phase of each device control protocol handled by the device control device. For example, in the security policy applied in the discovery phase of each device control protocol, the devices to be discovered are selected (only devices that match the security policy are discovered), and the security applied in the control phase. It is possible to select more devices in the policy (only devices that match the security policy can be controlled), and more secure device control can be performed.

すなわち、複数の機器制御用プロトコルのそれぞれについて、発見フェーズと制御フェーズのセキュリティポリシーを、発見フェーズのセキュリティポリシーが、制御フェーズのセキュリティポリシーよりも、低くなるように(あるいは、セキュリティをかけない)、セキュリティポリシー保持部406に設定しておく。   That is, for each of a plurality of device control protocols, the security policy of the discovery phase and the control phase is set so that the security policy of the discovery phase is lower than the security policy of the control phase (or security is not applied). This is set in the security policy holding unit 406.

例えば、機器制御アプリケーション501が所有者別に編集した機器リストを要求した場合(ステップS701)、機器制御機能提供部502は、機器を発見するためのコマンドを生成し(ステップS702)、生成したコマンドを仮想プロトコル制御部503に渡す。ここでは、プロトコルA、B、Cを順次用いて、機器を発見するものとする。機器制御機能提供部502は、どの機器制御プロトコルを使用するかを、仮想プロトコル処理部503に通知する。仮想プロトコル処理部503は、機器制御機能提供部502から受け取ったコマンドを、まず、プロトコルAにおいて用いられるコマンドに変換して(ステップS703)、機器制御用プロトコル制御部504に渡す(プロトコルAを用いた機器の発見処理の終了後、プロトコルBを用いた機器の発見を行い、その後、プロトコルCを用いて、機器の発見を行う)。   For example, when the device control application 501 requests a device list edited for each owner (step S701), the device control function providing unit 502 generates a command for discovering a device (step S702), and the generated command is displayed. It passes to the virtual protocol control unit 503. Here, it is assumed that the devices are discovered using the protocols A, B, and C sequentially. The device control function providing unit 502 notifies the virtual protocol processing unit 503 which device control protocol to use. The virtual protocol processing unit 503 first converts the command received from the device control function providing unit 502 into a command used in the protocol A (step S703), and passes it to the device control protocol control unit 504 (using the protocol A). After the device discovery process is completed, the device is discovered using the protocol B, and then the device is discovered using the protocol C).

ここで、使用される機器制御用プロトコル、及び、この使用される機器制御用プロトコルにおけるフェーズを検出するが、この場合は、機器制御用プロトコルはプロトコルAであり(ステップS704)、フェーズは発見フェーズであるので(ステップS705)、プロトコルAの発見フェーズのセキュリティポリシーをセキュリティポリシー保持部508から取得し(ステップS706)、取得したセキュリティポリシーをこの通信に適用して(ステップS707)、上記の発見のためのコマンドを送信し(ステップS708)、このコマンドを受信した機器からの応答を受信する。   Here, the device control protocol used and the phase in the device control protocol used are detected. In this case, the device control protocol is protocol A (step S704), and the phase is the discovery phase. Therefore (step S705), the security policy for the discovery phase of protocol A is acquired from the security policy holding unit 508 (step S706), and the acquired security policy is applied to this communication (step S707). Command is transmitted (step S708), and a response from the device that has received the command is received.

機器制御用プロトコルがUPnPで、発見フェーズでは、上記のセキュリティポリシーAを適用する場合、IPsecが使用可能な機器とは、IPsecを用いて、IPsecが使用不可能な機器との通信は、IPsecを用いずに、通信する。なお、このセキュリティポリシーAでは、IPsecのAH(Authentication Header;ユーザ認証ための認証ヘッダー)を用いる。   When the device control protocol is UPnP and the security policy A is applied in the discovery phase, when IPsec is used, communication with a device that cannot use IPsec is performed using IPsec. Communicate without using it. In this security policy A, IPsec AH (Authentication Header; authentication header for user authentication) is used.

このようにして機器を発見し、発見された機器の一覧から、所有者別に編集された機器リストを作成し、機器制御アプリケーション501に返す。機器制御アプリケーション501は、機器制御機能提供部502からもらった機器リストを表示装置306に表示する。   In this way, a device is discovered, a device list edited for each owner is created from the list of discovered devices, and returned to the device control application 501. The device control application 501 displays the device list received from the device control function providing unit 502 on the display device 306.

更に、表示された一覧に含まれる特定の機器のステータスの取得を機器制御アプリケーション501から要求された場合(ステップS701)、機器制御機能提供部502は、その特定の機器のステータスを取得するためのコマンドを生成し(ステップS702)、生成したコマンドを仮想プロトコル処理部503に渡す。また、機器制御機能提供部502は、どの機器制御プロトコルを使用するかを、仮想プロトコル処理部503に通知する。ここでは、この特定の機器を発見したときの機器制御プロトコルを用いる。すなわち、機器制御プロトコルとしてUPnPを用いて発見された機器を制御する場合には、UPnPを用いる(UPnPの発見フェーズでは、SSDPを用い、制御フェーズでは、SOAPを用いる)。仮想プロトコル処理部503は、その特定の機器のステータスを取得するためのSOAPのコマンドを機器制御用プロトコル制御部504に渡す。   Furthermore, when the device control application 501 requests acquisition of the status of a specific device included in the displayed list (step S701), the device control function providing unit 502 acquires the status of the specific device. A command is generated (step S702), and the generated command is passed to the virtual protocol processing unit 503. In addition, the device control function providing unit 502 notifies the virtual protocol processing unit 503 which device control protocol to use. Here, the device control protocol when this specific device is found is used. That is, when a device discovered using UPnP as a device control protocol is controlled, UPnP is used (in the UPnP discovery phase, SSDP is used, and in the control phase, SOAP is used). The virtual protocol processing unit 503 passes a SOAP command for acquiring the status of the specific device to the device control protocol control unit 504.

そして、機器制御用プロトコルを判定し(ステップS704、例えば、UPnP)、また、この場合は、発見フェーズではなく制御フェーズであるので(ステップS705)、その機器制御用プロトコルの制御フェーズのセキュリティポリシーをセキュリティポリシー保持部508から取得し(ステップS706)、取得したセキュリティポリシーをこの通信に適用して(ステップS707)、上記の機器のステータス取得のためのコマンドを送信し(ステップS708)、その特定の機器からステータスを受け取る。   Then, the device control protocol is determined (step S704, for example, UPnP). In this case, since it is not the discovery phase but the control phase (step S705), the security policy of the control phase of the device control protocol is set. Obtained from the security policy holding unit 508 (step S706), applies the obtained security policy to this communication (step S707), transmits a command for obtaining the status of the device (step S708), Receive status from the device.

機器制御用プロトコルがUPnPで、制御フェーズでは、上記のセキュリティポリシーBを適用する場合、上記の特定の機器がIPsecを使用可能な場合、IPsecを用いて通信し、上記の特定の機器がIPsecを使用不可能な場合、通信しない。なお、このセキュリティポリシーBでは、IPsecのAH(Authentication Header;ユーザ認証ための認証ヘッダー)及びESP(Encapsulating Security Payload;IPパケットの暗号化)を用いる。   When the device control protocol is UPnP and the security policy B is applied in the control phase, when the specific device can use IPsec, the device communicates using IPsec, and the specific device uses IPsec. If not available, do not communicate. This security policy B uses IPsec AH (Authentication Header; authentication header for user authentication) and ESP (Encapsulating Security Payload: encryption of IP packet).

また、各機器制御用プロトコルの発見フェーズにおいてさまざまなセキュリティポリシーを適用することにより、セキュリティポリシーが合致した機器制御装置同士が発見しあうことが可能となり、機器制御装置ネットワーク内で、機器制御用プロトコルごとに発見フェーズのセキュリティポリシーによるグループ形成を行うことができる。   In addition, by applying various security policies in the discovery phase of each device control protocol, it becomes possible for device control devices that match the security policy to discover each other. Each group can be formed according to the security policy of the discovery phase.

従来技術における機器制御装置の構成を示す図である。It is a figure which shows the structure of the apparatus control apparatus in a prior art. 本発明の実施形態に係る機器制御装置の構成を示す図である。It is a figure which shows the structure of the apparatus control apparatus which concerns on embodiment of this invention. 本発明の実施形態に係る複数の機器制御用プロトコルを取り扱うことが可能な機器制御装置の構成を示す図である。It is a figure which shows the structure of the apparatus control apparatus which can handle the some protocol for apparatus control which concerns on embodiment of this invention. 本発明の実施例に係る機器制御装置をPC(パーソナルコンピュータ)を使用して実現した場合のシステムブロック図である。It is a system block diagram at the time of implement | achieving the apparatus control apparatus which concerns on the Example of this invention using PC (personal computer). 本発明の実施例に係る機器制御装置のモジュール構成を示す図である。It is a figure which shows the module structure of the apparatus control apparatus which concerns on the Example of this invention. 本発明の実施例に係る複数の機器制御用プロトコルを取り扱うことが可能な機器制御装置のモジュール構成を示す図である。It is a figure which shows the module structure of the apparatus control apparatus which can handle the some protocol for apparatus control concerning the Example of this invention. 本発明の実施例に係る機器制御装置におけるセキュリティポリシー適用処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the security policy application process in the apparatus control apparatus which concerns on the Example of this invention. 本発明の一実施形態に係る複数の機器制御用プロトコルを取り扱うことが可能な機器制御装置におけるセキュリティポリシー適用処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the security policy application process in the apparatus control apparatus which can handle the some protocol for apparatus control which concerns on one Embodiment of this invention.

符号の説明Explanation of symbols

205 機器制御用プロトコル
206 発見用プロトコル
207 制御用プロトコル
211 機器制御用プロトコル
212 発見用プロトコル
213 制御用プロトコル 205 Device Control Protocol 206 Discovery Protocol 207 Control Protocol 211 Device Control Protocol 212 Discovery Protocol 213 Control Protocol

Claims (15)

所定のプロトコルにしたがって他の機器と通信する通信手段と、
前記通信手段による通信のフェーズに対応するセキュリティポリシーを、前記通信手段の通信に適用する適用手段とを有することを特徴とする通信装置。 Communication means for communicating with other devices according to a predetermined protocol;
A communication apparatus comprising: an application unit that applies a security policy corresponding to a phase of communication by the communication unit to communication of the communication unit. 前記適用手段は、機器を発見する発見フェーズと、発見された機器を制御する制御フェーズに対応するセキュリティポリシーを適用することを特徴とする請求項1に記載の通信装置。   The communication device according to claim 1, wherein the applying unit applies a security policy corresponding to a discovery phase for discovering a device and a control phase for controlling the discovered device. 前記通信手段は、複数の機器制御用プロトコルの取り扱いが可能であり、前記適用手段は、前記通信手段が用いる機器制御用プロトコルと前記機器制御用プロトコルにおけるフェーズの組み合わせに対応するセキュリティポリシーを、前記通信手段の通信に適用することを特徴とする請求項1に記載の通信装置。   The communication unit is capable of handling a plurality of device control protocols, and the application unit is configured to provide a security policy corresponding to a combination of a device control protocol used by the communication unit and a phase in the device control protocol, The communication apparatus according to claim 1, wherein the communication apparatus is applied to communication by a communication unit. 所定のプロトコルにしたがって他の機器と通信する通信ステップと、
前記通信ステップでの通信のフェーズに対応するセキュリティポリシーを、前記通信ステップの通信に適用する適用ステップとを有することを特徴とする通信方法。 A communication step of communicating with another device according to a predetermined protocol;
A communication method comprising: applying a security policy corresponding to a communication phase in the communication step to communication in the communication step. 所定のプロトコルにしたがって行われる通信のフェーズを検出する検出モジュールと、
前記通信のフェーズに対応するセキュリティポリシーを、前記通信に適用する適用モジュールとを有することを特徴とするプログラム。 A detection module for detecting a phase of communication performed according to a predetermined protocol;
An application module that applies a security policy corresponding to the communication phase to the communication. 前記検出モジュールは、機器を発見する発見フェーズと、発見された機器を制御する制御フェーズを検出することを特徴とする請求項5に記載のプログラム。   The program according to claim 5, wherein the detection module detects a discovery phase for discovering a device and a control phase for controlling the discovered device. 前記検出モジュールは、使用される機器制御用プロトコル、及び、前記使用される機器制御用プロトコルにおけるフェーズを検出し、前記適用モジュールは、前記使用される機器制御用プロトコルと前記機器制御用プロトコルにおけるフェーズの組み合わせに対応するセキュリティポリシーを、前記通信に適用することを特徴とする請求項5に記載のプログラム。   The detection module detects a device control protocol to be used and a phase in the device control protocol to be used, and the application module detects a phase in the device control protocol to be used and the device control protocol. 6. The program according to claim 5, wherein a security policy corresponding to a combination of the above is applied to the communication. 機器を発見し、発見された機器を制御する制御手段と、
前記制御手段により機器を発見か、発見された機器を制御するかに応じて、セキュリティポリシーを適用する適用手段とを有することを特徴とする機器制御装置。 Control means for discovering the device and controlling the discovered device;
An apparatus control apparatus comprising: an application unit that applies a security policy according to whether a device is discovered or controlled by the control unit. 前記制御手段は、複数の機器制御用プロトコルの取り扱いが可能であり、前記適用手段は、前記制御手段が用いる機器制御用プロトコルに応じて、前記制御手段により機器を発見するか、発見された機器を制御するかに応じて、セキュリティポリシーを適用することを特徴とする請求項8に記載の機器制御装置。   The control means can handle a plurality of device control protocols, and the application means discovers a device by the control means or a discovered device in accordance with a device control protocol used by the control means. The device control apparatus according to claim 8, wherein a security policy is applied according to whether to control the device. 機器を発見し、
発見された機器を制御し、
前記機器を発見するフェーズか、前記発見された機器を制御するフェーズかに応じて、セキュリティポリシーを適用することを特徴とする機器制御方法。 Discover the equipment,
Control the discovered equipment,
A device control method, wherein a security policy is applied depending on whether the device is in the phase of discovering the device or in the phase of controlling the discovered device. 機器を発見し、
発見された機器を制御し、
前記機器を発見するフェーズか、前記発見された機器を制御するフェーズかに応じて、セキュリティポリシーを適用することを特徴とする機器制御プログラム。 Discover the equipment,
Control the discovered equipment,
A device control program that applies a security policy according to a phase of discovering the device or a phase of controlling the discovered device. 複数の機器制御用プロトコルの取り扱いが可能であり、前記適用手段は、機器制御用プロトコル、及び、前記機器を発見するフェーズか、前記発見された機器を制御するかに応じて、セキュリティポリシーを適用することを特徴とする請求項11に記載の機器制御プログラム。   It is possible to handle a plurality of device control protocols, and the application means applies a security policy according to the device control protocol and whether to detect the device or control the discovered device. The apparatus control program according to claim 11, wherein: 機器を探索する探索手段と、
ブロードキャスト通信で機器を探索するか、ディレクトリサービスを使用して機器を探索するかに応じて、セキュリティポリシーを適用する適用手段とを有することを特徴とする通信装置。 Search means for searching for devices;
A communication apparatus comprising: an application unit that applies a security policy according to whether a device is searched for by broadcast communication or a device is searched using a directory service. ブロードキャスト通信で機器を探索するか、ディレクトリサービスを使用して機器を探索するか、判定する判定ステップと、
前記判定ステップでの判定に応じて、セキュリティポリシーを機器の探索に適用する適用ステップとを有することを特徴とするセキュリティポリシー適用方法。 A determination step for determining whether to search for a device by broadcast communication or to search for a device using a directory service;
A security policy application method comprising: an application step of applying a security policy to a device search according to the determination in the determination step. ブロードキャスト通信で機器を探索するか、ディレクトリサービスを使用して機器を探索するか、判定する判定モジュールと、
前記判定モジュールでの判定に応じて、セキュリティポリシーを機器の探索に適用する適用モジュールとを有することを特徴とするプログラム。 A determination module for determining whether to search for a device by broadcast communication or to search for a device using a directory service;
An application module that applies a security policy to device search according to the determination by the determination module.
JP2003330060A 2003-09-22 2003-09-22 COMMUNICATION DEVICE, METHOD, DEVICE CONTROL DEVICE, METHOD, AND PROGRAM Expired - Fee Related JP3840215B2 (en)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2003330060A JP3840215B2 (en) 2003-09-22 2003-09-22 COMMUNICATION DEVICE, METHOD, DEVICE CONTROL DEVICE, METHOD, AND PROGRAM
US10/926,438 US7631181B2 (en) 2003-09-22 2004-08-26 Communication apparatus and method, and program for applying security policy
CN200410079172.9A CN1602018B (en) 2003-09-22 2004-09-15 Communication apparatus and method
EP04255707A EP1517513A3 (en) 2003-09-22 2004-09-20 Communication apparatus and method, and program for applying security policy

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003330060A JP3840215B2 (en) 2003-09-22 2003-09-22 COMMUNICATION DEVICE, METHOD, DEVICE CONTROL DEVICE, METHOD, AND PROGRAM

Publications (2)

Publication Number Publication Date
JP2005101741A true JP2005101741A (en) 2005-04-14
JP3840215B2 JP3840215B2 (en) 2006-11-01

Family

ID=34459141

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003330060A Expired - Fee Related JP3840215B2 (en) 2003-09-22 2003-09-22 COMMUNICATION DEVICE, METHOD, DEVICE CONTROL DEVICE, METHOD, AND PROGRAM

Country Status (1)

Country Link
JP (1) JP3840215B2 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8156329B2 (en) 2008-06-10 2012-04-10 Canon Kabushiki Kaisha Network device management apparatus and control method thereof
US8799638B2 (en) 2010-04-01 2014-08-05 Seiko Epson Corporation Communication system, communication device, and communication method with a security policy for communication between devices
JP2015503136A (en) * 2011-10-24 2015-01-29 シュネーデル、エレクトリック、インダストリーズ、エスアーエスSchneider Electric Industries Sas System and method for managing industrial processes
JP2017147728A (en) * 2016-02-17 2017-08-24 ソニー株式会社 Network security for internet of things

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8156329B2 (en) 2008-06-10 2012-04-10 Canon Kabushiki Kaisha Network device management apparatus and control method thereof
US8799638B2 (en) 2010-04-01 2014-08-05 Seiko Epson Corporation Communication system, communication device, and communication method with a security policy for communication between devices
JP2015503136A (en) * 2011-10-24 2015-01-29 シュネーデル、エレクトリック、インダストリーズ、エスアーエスSchneider Electric Industries Sas System and method for managing industrial processes
JP2017147728A (en) * 2016-02-17 2017-08-24 ソニー株式会社 Network security for internet of things
CN107094132A (en) * 2016-02-17 2017-08-25 索尼公司 The internet security of Internet of Things

Also Published As

Publication number Publication date
JP3840215B2 (en) 2006-11-01

Similar Documents

Publication Publication Date Title
US7631181B2 (en) Communication apparatus and method, and program for applying security policy
KR101055048B1 (en) Information communication system, information processing apparatus and method, and recording medium
EP2104317B1 (en) Information processing unit, information playback unit, information processing method, information playback method, information processing system and program
EP1738562B1 (en) Server apparatus, client apparatus and network system
US7827235B2 (en) Service providing system, service providing method, and program of the same
EP2151095B1 (en) Method and apparatus for discovering universal plug and play device using resource information
US20150052235A1 (en) Information processing apparatus and method for controlling the same
JP2009124483A (en) Control apparatus for services, and method thereof
JP5425167B2 (en) Communication apparatus having imaging means and control method thereof
JP2009157729A (en) Device-managing apparatus and program
JP2013118534A (en) Imaging apparatus
JP2010004344A (en) Method, device, system, and program for conducting remote accessing
JP3840215B2 (en) COMMUNICATION DEVICE, METHOD, DEVICE CONTROL DEVICE, METHOD, AND PROGRAM
JP3649440B2 (en) Server for routing connections to client devices
US20080177869A1 (en) System and method for configuring consumer electronics device for home network using the internet
JP2010114721A (en) Content transmitting method and system for transmitting content from terminal in home network to wide area network
JP2009098977A (en) Peripheral device connection system
JP4541994B2 (en) Control device, control method and program
JP2013200694A (en) Information processing system, information processing method, server, and control method and control program therefor
JP2010061306A (en) Information processing apparatus, content management server, information processing method, connection management method, and information processing system
JP5313367B2 (en) Information processing system and method for providing remote access
JP4900169B2 (en) Network system, relay device, and relay program
JP3742390B2 (en) Communication method, communication apparatus, and program using HTTP tunneling server
KR100578549B1 (en) Composite Service Discovering System for Wires/Wireless Communications and Method thereof
RU2574775C1 (en) Communication device and such device control method

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060120

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060207

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060310

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060404

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060428

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20060705

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060725

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060804

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090811

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100811

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110811

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120811

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120811

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130811

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees