JP2007189742A - Transmission mediation device - Google Patents
Transmission mediation device Download PDFInfo
- Publication number
- JP2007189742A JP2007189742A JP2007088333A JP2007088333A JP2007189742A JP 2007189742 A JP2007189742 A JP 2007189742A JP 2007088333 A JP2007088333 A JP 2007088333A JP 2007088333 A JP2007088333 A JP 2007088333A JP 2007189742 A JP2007189742 A JP 2007189742A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- key
- client
- mediation
- secret key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ネットワークを介してセキュリティ通信を行う技術に関する。 The present invention relates to a technique for performing security communication via a network.
近年ではネットワーク技術の普及により、コンピュータ等のクライアントをネットワークに接続し、同じくネットワークに接続されたクライアントと通信しつつ利用する形態が広まっている。例えば、ネットワークを介して接続されたサービス装置に対するサービス依頼を行う技術が実現されつつある。 In recent years, with the spread of network technology, a form in which a client such as a computer is connected to a network and used while communicating with a client connected to the network is also widespread. For example, a technique for making a service request for a service device connected via a network is being realized.
また、セキュリティ通信に関する技術も実現されつつある。例えば、DES(Data Encryption Standard)などの共通鍵暗号技術に加えて、RSA(Rivest Shamir Adleman)、SSL(Secure Sockets Layer)などの公開鍵暗号方式を利用する技術が利用されつつある。セキュリティ通信によれば、ネットワークを介した通信における、データの盗聴や改ざん、なりすまし等が不可能な安全な通信を実現することができる。 In addition, technologies related to security communication are being realized. For example, in addition to a common key encryption technique such as DES (Data Encryption Standard), a technique using a public key encryption method such as RSA (Rivest Shamir Adleman) or SSL (Secure Sockets Layer) is being used. According to the security communication, it is possible to realize a safe communication in which data can not be wiretapped, falsified, and impersonated in communication via a network.
共通鍵暗号方式では、データを暗号化するための鍵は、暗号化されたデータを復号する鍵と同一である。これに対して公開鍵暗号方式では、組となった公開鍵と秘密鍵とを利用する。暗号化を行う公開鍵と復号を行う秘密鍵とを利用する場合や、暗号化を行う秘密鍵と復号を行う秘密鍵とを利用する場合がある。公開鍵暗号方式は非対称暗号方式とも呼ばれている。 In the common key cryptosystem, the key for encrypting data is the same as the key for decrypting the encrypted data. On the other hand, in the public key cryptosystem, a paired public key and secret key are used. There are cases where a public key for encryption and a secret key for decryption are used, and a secret key for encryption and a secret key for decryption are used. Public key cryptography is also called asymmetric cryptography.
図1は、公開鍵暗号方式を利用してセキュリティ通信を確立する処理の一例を示す説明図である。サーバ側では、復号を行う秘密鍵を用意している。他方クライアント側では、共通鍵を用意しているとともに、サーバの持つ秘密鍵と対応した、復号を行う公開鍵を用意している。ここで共通鍵は、他方、公開鍵は、サーバ等から通常の通信を利用して取得したものである。 FIG. 1 is an explanatory diagram illustrating an example of processing for establishing security communication using a public key cryptosystem. On the server side, a secret key for decryption is prepared. On the other hand, a common key is prepared on the client side, and a public key for decryption corresponding to the secret key held by the server is prepared. Here, the common key is obtained on the other hand, and the public key is obtained from a server or the like using normal communication.
タイミングSa101でサーバは、公開鍵をクライアント側に送付する。タイミングSa103でクライアントは、取得した公開鍵で共通鍵を暗号化し、サーバ側に送付する。タイミングSa05でサーバはこれの復号を行う。以上により、サーバとクライアントとで共通鍵の共有が完了する。 At timing Sa101, the server sends the public key to the client side. At timing Sa103, the client encrypts the common key with the acquired public key and sends it to the server side. The server decrypts this at timing Sa05. Thus, sharing of the common key is completed between the server and the client.
共有された共通鍵を利用して、サーバからクライアントへのセキュリティ通信がタイミングSa201〜Sa203で行われる。タイミングSa201で、サーバは、通信データを暗号化してクライアント側に送付する。タイミングSa203でクライアントはこれを復号して通信データを得ることができる。タイミングSa301〜Sa303では、クライアントが同様のセキュリティ通信手法でデータ送付を行う場合を示している。 Using the shared common key, security communication from the server to the client is performed at timings Sa201 to Sa203. At timing Sa201, the server encrypts the communication data and sends it to the client side. At timing Sa203, the client can decode this and obtain communication data. Timings Sa301 to Sa303 indicate a case where the client sends data using the same security communication method.
しかし、セキュリティ通信を利用する場合にあっては、秘密鍵の管理に係る煩雑さの問題があった。これには、鍵をインストールしたり新しいバージョンに更新したりする手間に加えて、鍵管理のセキュリティに関する問題を含む。鍵の管理はセキュリティを確保して厳重に行わなければならない。第三者に鍵を知られた場合には、データの盗聴や改ざん、なりすまし等の不正の危険が生じる。 However, when security communication is used, there is a problem of complexity related to the management of secret keys. This includes the key management security issues in addition to the hassle of installing keys and updating to new versions. Key management must be done strictly with security. If the key is known by a third party, there is a risk of fraud such as data eavesdropping, falsification, and impersonation.
ここで、鍵管理におけるセキュリティの高度化がとりわけ困難な場合がある。例えば印刷装置の場合、通常のパーソナルコンピュータと比べて、一般的にはユーザが常に立ち会わない場所に設置することが多い。また、低コスト要請などから、物理的な不正操作を防ぐハードウェア的防御機構や、ネットワークを介した攻撃などを防ぐソフトウェア的防御機構に限界のある場合も多い。 Here, it may be particularly difficult to enhance the security in key management. For example, in the case of a printing apparatus, compared to a normal personal computer, it is generally installed in a place where a user is not always present. Moreover, there are many cases where there is a limit to a hardware defense mechanism that prevents physical unauthorized operation or a software defense mechanism that prevents attacks via the network due to low cost requirements.
さらに、複数の装置をセキュリティ通信に利用する場合、装置ごとに鍵の管理を行う必要があった。この場合、鍵管理に係る煩雑さはますます大なものとなる。 Furthermore, when a plurality of devices are used for security communication, it is necessary to manage keys for each device. In this case, the complexity associated with key management becomes even greater.
本発明は、これらの課題を解決するためになされたものであり、ネットワークを介してセキュリティ通信を行う技術の実用性の向上を目的とする。 The present invention has been made to solve these problems, and aims to improve the practicality of a technique for performing security communication via a network.
上記課題の少なくとも一部を解決するために、本発明では、次の構成を適用した。
本発明の仲介装置は、
ネットワークを介して接続された2つのクライアント間での通信を仲介する仲介装置であって、
前記クライアントとの通信で使用する秘密鍵を少なくとも一つ記憶する鍵記憶部と、
第1のクライアントから前記秘密鍵に対応した公開鍵又は前記秘密鍵と前記公開鍵とを用いた通信で設定された鍵を用いて暗号化された暗号化データを取得する取得部と、
該暗号化データを対応する鍵を用いて復号するとともに、前記秘密鍵と前記公開鍵とを用いた通信で設定された鍵で再び暗号化するデータ処理部と、
該暗号化されたデータを該第2のクライアントに送付する送付部とを備えることを要旨とする。
In order to solve at least a part of the above problems, the following configuration is applied in the present invention.
The intermediary device of the present invention is
An intermediary device that mediates communication between two clients connected via a network,
A key storage unit for storing at least one secret key used in communication with the client;
An acquisition unit for acquiring encrypted data encrypted using a public key corresponding to the secret key or a key set by communication using the secret key and the public key from a first client;
A data processing unit that decrypts the encrypted data using a corresponding key and encrypts the encrypted data again with a key set by communication using the secret key and the public key;
The gist of the present invention is to provide a sending unit that sends the encrypted data to the second client.
このようにすることで、秘密鍵を管理しない第1及び第2のクライアント間のセキュリティ通信の仲介を実現することができる。第1及び第2のクライアントにおける、セキュリティ通信に係る処理負担を軽減することができる。クライアントは、秘密鍵を管理する特別な機構が不要となる。また、多数のクライアントをセキュリティ通信に利用する場合であっても、仲介装置が統合的な秘密鍵管理を行うのみで足りる。また、ユーザは、各クライアントへの秘密鍵のインストールやアップデートの煩雑さから逃れることができる。 By doing so, mediation of security communication between the first and second clients that do not manage the secret key can be realized. The processing load related to the security communication in the first and second clients can be reduced. The client does not need a special mechanism for managing the secret key. Further, even when a large number of clients are used for security communication, it is only necessary for the mediation apparatus to perform integrated secret key management. In addition, the user can escape from the complexity of installing and updating the private key in each client.
なお、セキュリティ通信としては、データの盗聴、改ざん、なりすまし等の不正アクセスに対抗する効果を有するセキュリティ通信について、種々のものが適用可能である。 Note that various types of security communication can be applied to security communication that has an effect against unauthorized access such as data eavesdropping, falsification, and impersonation.
本発明の仲介装置において、
前記秘密鍵は、前記2つのクライアントに共通であるものとしてもよい。
In the mediation apparatus of the present invention,
The secret key may be common to the two clients.
このようにすることで、仲介装置の機構を簡潔にしつつ、第1及び第2のクライアント間のセキュリティ通信を実現することができる。例えば、秘密鍵にかかる暗号化及び復号の機構や、公開鍵の送付機構を簡潔にすることができる。なお、第1及び第2のクライアントが利用する公開鍵は共通のものであってもよいし、異なるものであってもよい。 By doing in this way, the security communication between the 1st and 2nd client is realizable, simplifying the mechanism of a mediation apparatus. For example, it is possible to simplify the encryption and decryption mechanism relating to the secret key and the public key sending mechanism. The public keys used by the first and second clients may be the same or different.
本発明の仲介装置において、
前記第2のクライアントとの通信を利用して、そのステータス情報を取得するものとしてもよい。
In the mediation apparatus of the present invention,
The status information may be acquired using communication with the second client.
このようにすることで、仲介装置は、第2のクライアントのステータス情報に応じた処理を行うことができる。例えば第2のクライアントがサービス装置であって、第1のクライアントがサービス依頼を行う装置である場合、仲介装置は、第1のクライアントに対して、サービス依頼を行うために必要な情報を送付することができる。 By doing so, the mediation apparatus can perform processing according to the status information of the second client. For example, when the second client is a service device and the first client is a device that makes a service request, the mediation device sends information necessary for making a service request to the first client. be able to.
なお、ステータス情報としては種々のものが考えられる。例えば、第2のクライアントの稼動状況に関する情報を含めてもよい。また、第2のクライアントがサービス装置である場合、サービス依頼を実行可能か否かという情報の他に、過去に依頼を行ったサービス依頼の実行に係る情報を含めてもよい。 Various types of status information can be considered. For example, information regarding the operating status of the second client may be included. When the second client is a service device, information related to the execution of a service request that has been requested in the past may be included in addition to the information indicating whether or not the service request can be executed.
本発明の仲介装置において、
前記第1のクライアントは、サービス要求を発信する要求クライアントであり、
前記第2のクライアントは、該サービス要求に応じてサービスを提供するサービス装置であり、
前記第2のクライアントから受信したデータについては、前記第1のクライアントに暗号化せずに転送するものとしてもよい。
In the mediation apparatus of the present invention,
The first client is a requesting client that originates a service request;
The second client is a service device that provides a service in response to the service request;
The data received from the second client may be transferred to the first client without being encrypted.
このようにすることで、仲介装置並びに第1及び第2のクライアントにおける、暗号化/復号に係る処理負担を軽減することができる。 By doing so, it is possible to reduce the processing load related to encryption / decryption in the mediation device and the first and second clients.
なお、転送を行うデータの全てについて暗号化せずに転送してもよいし、一部については暗号化して転送してもよい。 Note that all data to be transferred may be transferred without being encrypted, or a part of the data may be transferred after being encrypted.
本発明の仲介装置において、
前記データ処理部はデータの内容に応じて前記暗号化と前記復号との態様を切り替えるものとしてもよい。
In the mediation apparatus of the present invention,
The data processing unit may switch between the encryption mode and the decryption mode according to the content of data.
このようにすることで、データの内容に応じて、仲介するセキュリティ通信を所望のものに切り替えることができる。 By doing in this way, according to the content of data, the security communication which mediates can be switched to a desired thing.
なお、データ処理部は、暗号化又は復号の処理を行わなず、仲介装置が仲介する通信はセキュリティ通信でない場合があってもよい。 The data processing unit may not perform encryption or decryption processing, and the communication mediated by the mediation device may not be security communication.
本発明の仲介装置において、印刷に係るサービス依頼を仲介するものとしてもよい。 In the mediation apparatus of the present invention, a service request related to printing may be mediated.
印刷装置においては、秘密鍵の管理におけるセキュリティの高度化が困難な場合があり、印刷装置に対するセキュリティ通信を仲介する場合は有用である。 In the printing apparatus, it may be difficult to enhance the security in managing the secret key, which is useful when mediating security communication with the printing apparatus.
本発明は、仲介装置としての態様の他、仲介方法など種々の態様で構成することが可能である。また、これらの方法をコンピュータによって実現するコンピュータプログラム自身またはこれと同視し得る信号として構成してもよい。さらに、これらのコンピュータプログラムを記録した記録媒体として構成してもよい。 The present invention can be configured in various modes such as a mediation method in addition to the mode as a mediation device. Moreover, you may comprise as a signal which can be equated with the computer program itself which implement | achieves these methods by computer, or this. Furthermore, you may comprise as a recording medium which recorded these computer programs.
ここで記憶媒体としては、フレキシブルディスクやCD−ROM、光磁気ディスク、ICカード、ROMカートリッジ、パンチカード、バーコードなどの符号が印刷された印刷物、コンピュータの内部記憶装置(RAMやROMなどのメモリ)および外部記憶装置などコンピュータが読み取り可能な種々の媒体を利用できる。 Here, the storage medium may be a flexible disk, a CD-ROM, a magneto-optical disk, an IC card, a ROM cartridge, a punch card, a printed matter on which a code such as a barcode is printed, an internal storage device of a computer (a memory such as a RAM or a ROM). ) And an external storage device can be used.
以下、本発明の実施の形態について実施例に基づき説明する。
A.印刷仲介システム:
B.通信内容に対応した処理:
Hereinafter, embodiments of the present invention will be described based on examples.
A. Print mediation system:
B. Processing corresponding to communication contents:
A.印刷仲介システム:
図2は、印刷仲介システムの全体構成を示す説明図である。このシステムで仲介サーバ200は、パーソナルコンピュータ300及び印刷装置100とネットワークを介して接続している。パーソナルコンピュータ300は印刷仲介依頼を仲介サーバ200に発する。これに基づいて仲介サーバ200は、印刷装置100に印刷依頼を発する。印刷装置100は、この印刷依頼を受け、パーソナルコンピュータ300のユーザが所望する印刷を実行する。
A. Print mediation system:
FIG. 2 is an explanatory diagram showing the overall configuration of the print mediation system. In this system, the
ここで仲介サーバ200は、セキュリティ通信におけるサーバとして機能することで、パーソナルコンピュータ300及び印刷装置100とセキュリティ通信を確立することができる。これによってパーソナルコンピュータ300のユーザは、第三者の不正なアクセスを防ぎつつ、所望する印刷依頼を印刷装置100で実現させることができる。
Here, the
なお、実施例でネットワークは、インターネットのような広域的なネットワークでもよいし、LAN(Local Area Network)やいわゆるパソコン通信などの比較的限定的なネットワークであってもよい。また、セキュリティ通信としては既述のSSLを利用して以下の説明を行うが、サーバが保持する秘密鍵と頒布された公開鍵との利用に基づくセキュリティ通信であれば、種々のものが利用可能である。 In the embodiment, the network may be a wide area network such as the Internet or a relatively limited network such as a LAN (Local Area Network) or so-called personal computer communication. In addition, as the security communication, the following description will be made using the above-described SSL, but various types of security communication can be used as long as the security communication is based on the use of the secret key held by the server and the distributed public key. It is.
さらに、図2ではパーソナルコンピュータ300と印刷装置100とのみを例示したが、仲介装置200に接続される装置はこれらに限定されるわけではない。仲介サーバ200は、図示しない複数のコンピュータや印刷装置と接続している。パーソナルコンピュータ300は、それら複数の印刷装置から選択して、仲介サーバ200に印刷仲介を行わせることができる。また、仲介サーバ200は、複数の装置からの印刷依頼を受け付けて、選択された印刷装置に印刷実行を行わせる。
2 illustrates only the
図2には、仲介サーバ200の機能ブロック構成を併せて示した。仲介サーバ200は、CPUおよびメモリ等を備えたマイクロコンピュータとして構成された制御ユニット210を備えており、図示する機能ブロックは、それぞれ制御ユニット210の機能としてソフトウェア的に構成されている。もっとも、各機能ブロックは、ハードウェア的に構成しても構わない。
FIG. 2 also shows the functional block configuration of the
通信部215は、パーソナルコンピュータ300及び印刷装置100との通信を司る。通信部215は、SSL技術を利用したセキュリティ通信を利用することができる。鍵保持部212は、セキュリティ通信に利用可能な秘密鍵と公開鍵とを保持する。
The
データ処理部213は、通信部215を介して、パーソナルコンピュータ300から印刷依頼に係る依頼データを取得するとともに、印刷装置100に対して、依頼データに基づいた印刷を指示する仲介データを送付する。このとき、パーソナルコンピュータ300及び印刷装置100との通信には、セキュリティ通信を利用することができる。パーソナルコンピュータ300によって暗号化された依頼データを復号するとともに、復号されたデータを、印刷装置100が復号可能な態様で再暗号化する。
The
なお、データ処理部213は依頼データに基づいた所定の処理や解析等を行った結果のデータを、印刷装置100への送付に利用するものとしてもよい。例えば、依頼データからは印刷対象に係るURL(Uniform Resource Locator)の情報が含まれて、仲介サーバ200は、そのURLに基づいて画像ファイル等の取得を行い、暗号化を行って印刷装置100に送付するものとしてもよい。
Note that the
また、パーソナルコンピュータ300が行う暗号化は公開鍵による暗号化であって、データ処理部213が行う復号は秘密鍵による復号であるものとしてもよい。このようにすれば、図1で示したような、セキュリティ通信の確立における共通鍵送付に係る処理を軽減することができる。
The encryption performed by the
図3は、印刷仲介を行うためのインタフェースを示す説明図である。ここでパーソナルコンピュータ300はいわゆるブラウザプログラムを実行する機能を備えるものとする。ユーザは、このプログラムを実行することで依頼データを仲介サーバ200に送付することができる。
FIG. 3 is an explanatory diagram illustrating an interface for performing print mediation. Here, it is assumed that the
依頼データを送付するブラウザ画面310は、仲介サーバ200が提供する画面である。ユーザは、コンテンツ指示部311を利用して印刷対象をURLで指定するとともに、印刷先指示部312をチェックすることで印刷先を指定することができる。ユーザが実行ボタン314をクリックすることで、ブラウザプログラムは、暗号化処理による依頼データの作成を行って、仲介サーバ200に送付する。なお、依頼データには、指定されたURLの情報を含むものとしてもよいし、URLが指定するファイルそのものをブラウザが取得して、取得したファイルを含むものとしてもよい。なお、ステータス情報表示ボタン313については後述する。
A
図4は、印刷仲介を行う処理を示すフローチャートである。これは、パーソナルコンピュータ300が行う印刷依頼処理と、仲介サーバ200が行う印刷仲介処理と、印刷装置100が行う印刷処理との処理タイミングの関係が明らかとしつつ、3つのフローチャートを並べて示したものである。
FIG. 4 is a flowchart showing processing for performing print mediation. This shows three flowcharts side by side while clarifying the relationship of the processing timings of the print request process performed by the
ステップSb101におけるパーソナルコンピュータ300の処理、及びステップSc101における仲介サーバ200の処理は、互いに通信することで、相互間のセキュリティ通信を確立する処理である。これについては、図1を用いて先に例示した通りである。パーソナルコンピュータ300は仲介サーバ200に対して共通鍵の送付を行う。
The process of the
パーソナルコンピュータ300は、ステップSb102で、暗号化処理を行って依頼データを作成する。ここで暗号化処理には、ステップSb101で仲介サーバ200に別途送付済みの共通鍵を利用する。ステップSb103では、作成した依頼データを仲介サーバ200に送付する。
In step Sb102, the
仲介サーバ200は、ステップSc103で、パーソナルコンピュータ300から依頼データを取得するとともに、ステップSc104でその復号を行う。復号にあたっては、先にステップSc101で取得した共通鍵を利用する。
The
次に、ステップSc105における仲介サーバ200の処理及びステップSd105における印刷装置100の処理は、それぞれ、ステップSc101における仲介サーバ200の処理及びステップSb101におけるパーソナルコンピュータ300の処理と同様であり、相互間のセキュリティ通信を確立する処理である。先の場合と同様にして、印刷装置100が仲介サーバ200に対して共通鍵の送付を行う。これによって、印刷装置100と仲介サーバ200相互間で、セキュリティ通信を確立する。
Next, the processing of the
仲介サーバ200は、ステップSc106で、暗号化処理を行って仲介データを作成する。ここでは、先にステップSc104で復号したデータを、共通鍵によって暗号化する。この共通鍵は、ステップSc105で別途印刷装置100から取得済みの共通鍵を利用する。ステップSc107では、作成した仲介データを印刷装置100に送付する。
In step Sc106, the
印刷装置100は、ステップSd107で仲介サーバ200から仲介データを取得するとともに、ステップSd108でその復号を行う。復号にあたっては、先にステップSd109で仲介サーバ200に送付したものと同じ共通鍵を利用する。印刷装置100は、パーソナルコンピュータ300のユーザが所望する印刷内容を、復号したデータに基づいて特定する。ステップSd109で印刷処理を実行する。
The printing apparatus 100 acquires the mediation data from the
なお、パーソナルコンピュータ300及び印刷装置100は、仲介サーバ200のいわゆる認証を行うものとしてもよい。この場合、例えば、パーソナルコンピュータ300は認証サーバから仲介サーバ200のサーバ証明書を取得して、仲介サーバ200の認証を行う。また、逆に、仲介サーバ200が、パーソナルコンピュータ300や印刷装置100の認証を行う場合も有用である。
Note that the
また、鍵保持部212に保持する秘密鍵については、一つであっても複数でよい。例えば、パーソナルコンピュータ300に対する場合と印刷装置100とに対する場合とで、異なる秘密鍵を利用することも可能である。
Further, the secret key held in the
本実施例に従って構成した印刷仲介システムを利用することにより、秘密鍵を集中管理しつつ、ネットワークを介したセキュリティ通信を利用することができる。 By using the print mediation system configured according to the present embodiment, it is possible to use security communication via a network while centrally managing secret keys.
秘密鍵を集中管理する装置は、ソフトウェア的にも、ハードウェア・物理的にも不正なアクセスに対して極めて堅牢なものとすることが容易である。また、鍵管理装置にアクセスするクライアントは独自に鍵を管理する必要が不要である。ユーザは、クライアントに対する鍵のインストールやアップデート処理の煩雑さから逃れることができる。 A device that centrally manages secret keys can be easily made extremely robust against unauthorized access in terms of software, hardware, and physical. Also, the client accessing the key management device does not need to manage the key independently. The user can escape from the complexity of key installation and update processing on the client.
B.通信内容に対応した処理:
次に第2実施例として、第1実施例の変形例について説明する。本実施例で仲介サーバは、通信内容や通信の方向に応じて、セキュリティ通信と通常通信を使い分けつつ、通信を仲介する。
B. Processing corresponding to communication contents:
Next, as a second embodiment, a modification of the first embodiment will be described. In the present embodiment, the mediation server mediates communication while properly using security communication and normal communication according to the communication content and the direction of communication.
図5は、第2実施例のシステム構成を示す説明図である。これは、図1に示した第1実施例のシステム構成と同様である。もっとも、説明の便宜のため、異なる態様で示している。 FIG. 5 is an explanatory diagram showing the system configuration of the second embodiment. This is the same as the system configuration of the first embodiment shown in FIG. However, it is shown in a different mode for convenience of explanation.
第1実施例の場合と同様に、仲介サーバ400は、パーソナルコンピュータ300及び印刷装置100相互間の通信を仲介する。ここで、仲介する通信は、パーソナルコンピュータ300から印刷装置100への通信(以下、「下り通信」と呼ぶ)と、印刷装置100からパーソナルコンピュータ300への通信(以下、「上り通信」と呼ぶ)とからなる。本実施例で仲介サーバ400は、上り通信と下り通信とを異なる態様で仲介することができる。
As in the case of the first embodiment, the mediation server 400 mediates communication between the
パーソナルコンピュータ300は、印刷装置100に印刷依頼を行う。これは、仲介サーバ400が仲介する下り通信に基づくものである。仲介サーバ400は、セキュリティ通信としてこれを実現する。他方で仲介サーバ400は、上り通信の仲介を行い、印刷装置100からそのステータス情報を取得してパーソナルコンピュータ300に転送する。仲介サーバ400は、これを通常の通信として実現する。
The
仲介サーバ400が仲介する上り通信と下り通信とは、上記の例示した場合の他にも種々の目的に利用することが可能である。仲介サーバ400はそれら通信を、仲介する通信の内容に基づいて、セキュリティ通信としたり、通常の通信としたりすることができる。例えば、印刷装置100は商用印刷サービスにおける印刷装置であるとする。仲介サーバ400は、印刷装置100がパーソナルコンピュータ300に送付する課金情報の上り通信についてはセキュリティ通信としてこれを仲介する。
The upstream communication and the downstream communication mediated by the mediation server 400 can be used for various purposes other than the case illustrated above. The mediation server 400 can make these communications security communications or normal communications based on the contents of the mediating communications. For example, it is assumed that the printing apparatus 100 is a printing apparatus in a commercial printing service. The mediation server 400 mediates upstream communication of billing information sent from the printing apparatus 100 to the
図5には、仲介サーバ400の機能ブロック構成をあわせて示している。本実施例でも、機能ブロックは、マイクロコンピュータとして構成された仲介サーバ400の制御ユニット410の機能としてソフトウェア的に構成される。
FIG. 5 also shows the functional block configuration of the mediation server 400. Also in this embodiment, the functional block is configured as software as a function of the
通信部415、鍵保持部412、データ処理部413が行う処理については、第1実施例で説明した通りである。転送部414については、仲介通信におけるデータ処理部413の機能を抑制することができる。データ処理部413は、セキュリティ通信において、復号と暗号化との処理を奏するものであった。転送部414は、パーソナルコンピュータ300又は印刷装置100から取得したデータを、直接に他方の装置に転送させる機能を奏する。つまり、セキュリティ通信を利用するか通常通信を利用するかを制御する機能を備える。
The processing performed by the
ここで、転送部414とデータ処理部413とは、それぞれ、下り通信を司る部位と上り通信を司る部位とに分かれる。下り仲介処理部416aは、転送部414及びデータ処理部413における下り通信を司る部位を含む。他方、上り仲介処理部416bはそれぞれの上り通信を司る部位を含む。
Here, each of the
すなわち、下り仲介処理部416aは、下り通信で中継するデータについて、受信データをそのまま転送したり、復号と再暗号化との処理を行って転送したりする機能を備え、また、上り仲介処理部416bは上り通信について同様の機能を備える。
That is, the downlink
通信仲介制御部417は、下り仲介処理部416aと上り仲介処理部416bとを、それぞれ制御する機能を備える。通信仲介制御部417は、下り通信における通信内容に基づいて下り仲介処理部416aを制御し、上り通信における通信内容に基づいて上り仲介処理部416bを制御する。
The communication
通信仲介制御部417は、下り通信記憶部418aと上り通信記憶部418bとを備える。これらは、通信内容の種類と、その通信をセキュリティ通信とすべきか否かの情報とを関連付けた表を記憶している。下り通信記憶部418aは下り通信について、上り通信記憶部418bは上り通信についてこの記憶を行っている。通信仲介制御部417は、通信内容を検索キーとしてこの表のサーチを行うことで、その通信をセキュリティ通信とするべきか否かを特定することができる。下り通信については下り通信記憶部418aを検索し、上り通信については上り通信記憶部418bを検索する。
The communication
図6は、ステータス情報を取得するインタフェースを示す説明図である。これも、第1実施例の場合と同様に、パーソナルコンピュータ300上で動作するブラウザプログラムが表示する画面である。
FIG. 6 is an explanatory diagram showing an interface for acquiring status information. This is also a screen displayed by the browser program operating on the
ブラウザ画面320は、印刷装置100のステータス情報を表示するブラウザ画面である。これは、第1実施例の説明で示したブラウザ画面310において、ユーザが、印刷先指示部312で印刷装置100の指定を行い、ステータス情報表示ボタン313をクリックした場合について例示したものである。これによって、指示を受ける仲介サーバ400は、印刷装置100からステータス情報を取得するとともに、取得したステータス情報に基づいて、ブラウザ画面320をパーソナルコンピュータ300に提供する。
The
ブラウザ画面320には印刷装置100のステータス情報の表示を含んでいる。ここでは、印刷依頼の受け付けが可能であるか否か、インク残量、セッティングされた用紙の種類などのステータス情報について表示している。
The
図7は、課金情報を取得するインタフェースを示す説明図である。これは、印刷装置100が商用印刷サービスにおける印刷装置である場合を考えたものである。印刷装置100のステータス情報として、その課金情報を含めて表示される場合について例示する。ブラウザ画面321の表示には、今月と先月の課金情報を含む。
FIG. 7 is an explanatory diagram showing an interface for acquiring billing information. This is a case where the printing apparatus 100 is a printing apparatus in a commercial printing service. An example in which the charging information is displayed as the status information of the printing apparatus 100 will be described. The display on the
図6に示したブラウザ画面320の表示と、図7に示したブラウザ画面321の表示とのいずれの場合においても、仲介サーバ400は、印刷装置100からパーソナルコンピュータ300への上り通信の仲介を行う。しかし、仲介サーバ400は、ブラウザ画面320では通常通信を仲介するものの、課金情報を含むブラウザ画面321を表示するときには、セキュリティ通信を仲介する。
In both cases of the display of the
図8は、第2実施例における仲介サーバ400の処理を示すフローチャートである。これは、仲介サーバ400が、上り通信又は下り通信を仲介する処理を示したものである。 FIG. 8 is a flowchart showing the processing of the mediation server 400 in the second embodiment. This shows processing in which the mediation server 400 mediates upstream communication or downstream communication.
ステップSe101では、通信仲介制御部417が、仲介すべき通信方向の情報を取得する。これにより通信仲介制御部417は、仲介すべき通信が上り通信であるか下り通信であるかを特定する。ここで通信仲介制御部417は、印刷装置300又はパーソナルコンピュータ300から受ける通信仲介の要求と、その要求が送受信のいずれであるかについて通信部415を介した取得を行う。
In step Se101, the communication
ステップSe102では、仲介通信をセキュリティ通信とするか否かを決定するための検索に利用する表データとして、下り通信記憶部418aと上り通信記憶部418bとのいずれのものを利用するかを決定する。これは、仲介を行う通信の方向に基づいて決定する。 In Step Se102, it is determined which of the downlink communication storage unit 418a and the uplink communication storage unit 418b is used as the table data used for the search for determining whether or not the mediation communication is to be the security communication. . This is determined based on the direction of communication for mediation.
ステップSe103では、通信内容データの入力を行い、ステップSe104では、入力したデータを検索キーとして表検索を行う。通信仲介制御部417は、通信部410を介して通信内容データを取得する。印刷装置100やパーソナルコンピュータ300の通信仲介要求に基づいて通信内容データを調えることができる。なお、検索を行うべき表については、ステップSe102で予め特定したものである。
In step Se103, communication content data is input, and in step Se104, a table search is performed using the input data as a search key. The communication
ここで、通信内容データが未知のものであり、表検索がミスヒットする場合には、デフォルトの通信内容データと同様の検索結果が生じたものとして(ステップSe105、Se106)、ステップSe107の処理が行われる。デフォルトの通信内容データとしては、下り通信記憶部418aにおいては印刷データ送付通信(セキュリティ通信)が、上り通信記憶部418bにおいてはステータス情報提供通信(通常通信)がそれぞれ設定されている。 Here, if the communication content data is unknown and the table search is mis-hit, it is assumed that a search result similar to the default communication content data is generated (step Se105, Se106), and the processing of step Se107 is performed. Done. As default communication content data, print data sending communication (security communication) is set in the downlink communication storage unit 418a, and status information providing communication (normal communication) is set in the uplink communication storage unit 418b.
以上の処理により、ステップSe107では、下り仲介処理部416a又は上り仲介処理部416bのいずれか一つを選択して起動するとともに、それに対してセキュリティ通信又は通常通信の別を指示する。
Through the above processing, in step Se107, either one of the downstream
この後、ステップSe108以下の処理で、データ送受信を行う。通信元装置からデータ受信を行い、通信先装置への転送を行う。セキュリティ通信を利用する場合、ステップSe109aにおいて、図1で例示したところのセキュリティ通信起動処理が通信部415によって行われる。またデータ処理部413が暗号化と復号の処理を行う。他方、通常通信を利用する場合、セキュリティ通信起動処理等は行わない(ステップSe109b)。受信するデータは、転送部414が、送信処理に直接回付する。
After this, data transmission / reception is performed in the processing after step Se108. Data is received from the communication source device and transferred to the communication destination device. When security communication is used, the
また、第1実施例の説明に利用した印刷仲介処理の場合、ステップSe104における下り通信記憶部418aの検索において、「印刷データ送付」通信が特定されることで、セキュリティ通信の仲介が行われる。 Further, in the case of the print mediation process used in the description of the first embodiment, the “communication of print data” communication is specified in the search of the downstream communication storage unit 418a in step Se104, so that the security communication is mediated.
また、先にインタフェースを例示した情報取得処理において、図6の場合には通常通信が、図7の場合にはセキュリティ通信を利用するものと説明した。これはステップSe104の表検索において仲介すべき通信の内容の特定が、前者では「ステータス情報提供」通信として、後者では「課金情報提供」通信として、それぞれ特定されることに基づくものである。 Further, in the information acquisition process exemplified by the interface, it has been described that normal communication is used in the case of FIG. 6 and security communication is used in the case of FIG. This is based on the fact that the content of the communication to be mediated in the table search in step Se104 is specified as “status information provision” communication in the former and as “billing information provision” communication in the latter.
なお、ここに、図6の場合と図7の場合とでは、仲介されるセキュリティ通信における暗号化のレベルが変更されるものとしてもよい。この場合、上り通信記憶部418bの検索によって、仲介すべきセキュリティ通信に利用すべき暗号化方法や暗号化に利用する鍵のビット長も決定される。 Here, in the case of FIG. 6 and the case of FIG. 7, the encryption level in the mediated security communication may be changed. In this case, the search in the upstream communication storage unit 418b also determines the encryption method to be used for security communication to be mediated and the bit length of the key to be used for encryption.
なお、上り通信又は下り通信について、セキュリティ通信を利用するか通常通信を利用するかが、固定的に定まっているものとしてもよい。このとき、例えば、通信仲介制御部417は、上り仲介処理部416aに対して常にセキュリティ通信を指示したり、上り仲介処理部416bに対して常にセキュリティ通信を指示したりする。
It should be noted that for uplink communication or downlink communication, whether security communication or normal communication is used may be fixedly determined. At this time, for example, the communication
また、印刷装置100やパーソナルコンピュータ300は、上り通信や下り通信の仲介においてセキュリティ通信を適用するか否かを、仲介サーバ400に対して明示的に指示し、変更するものとしてもよい。
In addition, the printing apparatus 100 and the
本実施例に従って構成した印刷仲介システムを利用することにより、仲介装置に接続するクライアントに対して、柔軟な態様で通信を仲介することができる。クライアントは、通信内容に応じて、セキュリティ通信による仲介通信と通常通信による仲介通信とを使い分けることができる。使い分けは、上り通信と下り通信とを別個に行うことが可能であり、通信内容や通信目的に応じた柔軟な処理が可能である。 By using the print mediation system configured according to the present embodiment, communication can be mediated in a flexible manner to a client connected to the mediation device. The client can selectively use the mediation communication by the security communication and the mediation communication by the normal communication according to the communication content. For proper use, uplink communication and downlink communication can be performed separately, and flexible processing according to communication contents and communication purpose is possible.
以上、本発明の種々の実施例について説明したが、本発明はこれらの実施例に限定されず、その趣旨を逸脱しない範囲で種々の構成を採ることができることはいうまでもない。例えば、以上の処理はソフトウェアで実現する他、ハードウェア的に実現するものとしてもよい。 As mentioned above, although the various Example of this invention was described, it cannot be overemphasized that this invention is not limited to these Examples, and can take a various structure in the range which does not deviate from the meaning. For example, the above processing may be realized by hardware as well as by software.
100...印刷装置
300...パーソナルコンピュータ
200...仲介サーバ
210...制御ユニット
212...鍵保持部
213...データ処理部
215...通信部
310...依頼データを送付するブラウザ画面
311...コンテンツ指示部
312...印刷先指示部
314...実行ボタン
313...ステータス情報表示ボタン
400...仲介サーバ
410...制御ユニット
412...鍵保持部
413...データ処理部
414...転送部
415...通信部
416a...下り仲介処理部
416b...上り仲介処理部
417...通信仲介制御部
418a...下り通信記憶部
418b...上り通信記憶部
320...ステータス情報を表示するブラウザ画面
321...課金情報を表示するブラウザ画面
DESCRIPTION OF SYMBOLS 100 ...
Claims (9)
前記クライアントとの通信で使用する秘密鍵を少なくとも一つ記憶する鍵記憶部と、
第1のクライアントから前記秘密鍵に対応した公開鍵、又は前記秘密鍵と前記公開鍵とを用いた通信で設定された鍵を用いて暗号化された暗号化データを取得する取得部と、
該暗号化データを対応する鍵を用いて復号するとともに、前記秘密鍵と前記公開鍵とを用いた通信で設定された鍵で再び暗号化するデータ処理部と、
該暗号化されたデータを該第2のクライアントに送付する送付部とを備える仲介装置。 An intermediary device that mediates communication between two clients connected via a network,
A key storage unit for storing at least one secret key used in communication with the client;
An acquisition unit that acquires encrypted data encrypted using a public key corresponding to the secret key from a first client or a key set by communication using the secret key and the public key;
A data processing unit that decrypts the encrypted data using a corresponding key and encrypts the encrypted data again with a key set by communication using the secret key and the public key;
An intermediary device comprising: a sending unit that sends the encrypted data to the second client;
前記秘密鍵は、前記2つのクライアントに対して共通である仲介装置。 The intermediary device according to claim 1,
The intermediary device in which the secret key is common to the two clients.
前記第2のクライアントとの通信を利用して、該第2のクライアントのステータス情報を取得する仲介装置。 The intermediary device according to claim 1,
An intermediary device that acquires status information of the second client using communication with the second client.
前記第1のクライアントは、サービス要求を発信する要求クライアントであり、
前記第2のクライアントは、該サービス要求に応じてサービスを提供するサービス装置であり、
前記第2のクライアントから受信したデータについては、前記第1のクライアントに暗号化せずに転送する転送部を備える仲介装置。 The intermediary device according to claim 1,
The first client is a requesting client that originates a service request;
The second client is a service device that provides a service in response to the service request;
An intermediary device comprising a transfer unit that transfers data received from the second client to the first client without encryption.
前記データ処理部はデータの内容に応じて前記暗号化と前記復号との態様を切り替える仲介装置。 The intermediary device according to claim 1,
The data processing unit is an intermediary device that switches between the encryption mode and the decryption mode according to data contents.
前記クライアントとの通信で使用する秘密鍵を少なくとも一つ記憶する工程と、
第1のクライアントから前記秘密鍵に対応した公開鍵、又は前記秘密鍵と前記公開鍵とを用いた通信で設定された鍵を用いて暗号化された暗号化データを取得する工程と、
該暗号化データを対応する鍵を用いて復号するとともに、前記秘密鍵と前記公開鍵とを用いた通信で設定された鍵で再び暗号化する工程と、
該暗号化されたデータを該第2のクライアントに送付する工程とを備える仲介方法。 An intermediary method for mediating communication between two clients connected via a network,
Storing at least one secret key used in communication with the client;
Obtaining encrypted data encrypted using a public key corresponding to the secret key or a key set by communication using the secret key and the public key from a first client;
Decrypting the encrypted data using a corresponding key, and re-encrypting with a key set in communication using the secret key and the public key;
Sending the encrypted data to the second client.
前記クライアントとの通信で使用する秘密鍵を少なくとも一つ記憶する機能と、
第1のクライアントから前記秘密鍵に対応した公開鍵、又は前記秘密鍵と前記公開鍵とを用いた通信で設定された鍵を用いて暗号化された暗号化データを取得する機能と、
該暗号化データを対応する鍵を用いて復号するとともに、前記秘密鍵と前記公開鍵とを用いた通信で設定された鍵で再び暗号化する機能と、
該暗号化されたデータを該第2のクライアントに送付する機能とを前記仲介装置に実現させるためのコンピュータプログラム。 A computer program for causing a mediation device to mediate communication between two clients connected via a network,
A function of storing at least one secret key used in communication with the client;
A function of acquiring encrypted data encrypted using a public key corresponding to the secret key or a key set by communication using the secret key and the public key from a first client;
A function of decrypting the encrypted data using a corresponding key and re-encrypting with a key set in communication using the secret key and the public key;
A computer program for causing the intermediary device to realize a function of sending the encrypted data to the second client.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007088333A JP2007189742A (en) | 2007-03-29 | 2007-03-29 | Transmission mediation device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007088333A JP2007189742A (en) | 2007-03-29 | 2007-03-29 | Transmission mediation device |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001364779A Division JP3960026B2 (en) | 2001-10-02 | 2001-11-29 | Communication mediation device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007189742A true JP2007189742A (en) | 2007-07-26 |
Family
ID=38344538
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007088333A Pending JP2007189742A (en) | 2007-03-29 | 2007-03-29 | Transmission mediation device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007189742A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11748497B2 (en) | 2018-09-28 | 2023-09-05 | Hewlett-Packard Development Company, L.P. | BIOS access |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS6262639A (en) * | 1985-09-13 | 1987-03-19 | Fujitsu Ltd | Communication method for privacy information |
JPH01143446A (en) * | 1987-11-30 | 1989-06-06 | Nec Corp | Security device |
JPH07245605A (en) * | 1994-03-03 | 1995-09-19 | Fujitsu Ltd | Ciphering information repeater, subscriber terminal equipment connecting thereto and ciphering communication method |
JPH088895A (en) * | 1994-06-10 | 1996-01-12 | Sun Microsyst Inc | Method for key control of internet procedure and its device |
JPH0969831A (en) * | 1995-08-31 | 1997-03-11 | Hitachi Ltd | Cipher communication system |
JPH11187008A (en) * | 1997-12-17 | 1999-07-09 | Card Call Service Kk | Delivering method for cryptographic key |
WO2000005642A1 (en) * | 1998-07-23 | 2000-02-03 | Tumbleweed Communications Corp. | Method and apparatus for effecting secure document format conversion |
JP2001237818A (en) * | 2000-02-22 | 2001-08-31 | Nec Corp | Proxy encryption communication system and method, and recoding medium having program recorded thereon |
-
2007
- 2007-03-29 JP JP2007088333A patent/JP2007189742A/en active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS6262639A (en) * | 1985-09-13 | 1987-03-19 | Fujitsu Ltd | Communication method for privacy information |
JPH01143446A (en) * | 1987-11-30 | 1989-06-06 | Nec Corp | Security device |
JPH07245605A (en) * | 1994-03-03 | 1995-09-19 | Fujitsu Ltd | Ciphering information repeater, subscriber terminal equipment connecting thereto and ciphering communication method |
JPH088895A (en) * | 1994-06-10 | 1996-01-12 | Sun Microsyst Inc | Method for key control of internet procedure and its device |
JPH0969831A (en) * | 1995-08-31 | 1997-03-11 | Hitachi Ltd | Cipher communication system |
JPH11187008A (en) * | 1997-12-17 | 1999-07-09 | Card Call Service Kk | Delivering method for cryptographic key |
WO2000005642A1 (en) * | 1998-07-23 | 2000-02-03 | Tumbleweed Communications Corp. | Method and apparatus for effecting secure document format conversion |
JP2001237818A (en) * | 2000-02-22 | 2001-08-31 | Nec Corp | Proxy encryption communication system and method, and recoding medium having program recorded thereon |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11748497B2 (en) | 2018-09-28 | 2023-09-05 | Hewlett-Packard Development Company, L.P. | BIOS access |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7697692B2 (en) | Cryptographic communication system and method | |
JP3657396B2 (en) | Key management system, key management apparatus, information encryption apparatus, information decryption apparatus, and storage medium storing program | |
US8924709B2 (en) | Print release with end to end encryption and print tracking | |
US20060269053A1 (en) | Network Communication System and Communication Device | |
US20090063860A1 (en) | Printer driver that encrypts print data | |
US20050289346A1 (en) | Print data communication with data encryption and decryption | |
KR20060045440A (en) | A method and system for recovering password protected private data via a communication network without exposing the private data | |
US20050120211A1 (en) | Server apparatus, client apparatus, object administration system, object administration method, computer program, and storage medium | |
JP2004086894A5 (en) | ||
JP2004289699A (en) | Information processing apparatus | |
EP1571545A2 (en) | Secure Printing | |
JP2007140901A (en) | Image processing system | |
JP2006191626A (en) | System and method for secure communication of electronic document | |
JP2001244925A (en) | System and method for managing enciphered data and storage medium | |
JP2007082208A (en) | System, method, and program for safely transmitting electronic document between domains in terms of security | |
KR102266654B1 (en) | Method and system for mqtt-sn security management for security of mqtt-sn protocol | |
EP1443410A1 (en) | Communication mediating device for mediating communication over network | |
JP4513272B2 (en) | Processing service provider | |
JP2006018399A (en) | Information processor, information processing method and program | |
US11314877B2 (en) | Public key encrypted network printing | |
JP3960026B2 (en) | Communication mediation device | |
US8559641B2 (en) | Application program distributing apparatus, image processing apparatus and program, allowing data communications using S/MIME at ease | |
JP2006261802A (en) | Information processing apparatus, image processing apparatus, and image forming apparatus | |
KR20220106740A (en) | Method and system for verifiable ISD-based encryption (VEA) using certificateless authentication encryption (CLA) | |
JP2012098894A (en) | Printing system and print control method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070501 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070501 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100713 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100921 |