JP2007324726A - File share server apparatus, client apparatus, printer, file share system, and file share program - Google Patents
File share server apparatus, client apparatus, printer, file share system, and file share program Download PDFInfo
- Publication number
- JP2007324726A JP2007324726A JP2006150191A JP2006150191A JP2007324726A JP 2007324726 A JP2007324726 A JP 2007324726A JP 2006150191 A JP2006150191 A JP 2006150191A JP 2006150191 A JP2006150191 A JP 2006150191A JP 2007324726 A JP2007324726 A JP 2007324726A
- Authority
- JP
- Japan
- Prior art keywords
- file sharing
- encryption
- client device
- packet
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
Description
本発明は、クライアント装置と、ファイル共有サーバ装置、印刷装置間のファイル通信において、上位アプリケーションを変更することなく相互認証と暗号化を行うことができる、盗聴、漏洩、なりすまし、改ざん等に対する防御に強いファイル共有サーバ装置、クライアント装置、印刷装置に関する。 The present invention protects against eavesdropping, leakage, spoofing, falsification, etc., in which mutual authentication and encryption can be performed without changing the host application in file communication between a client device, a file sharing server device, and a printing device. The present invention relates to a strong file sharing server device, a client device, and a printing device.
近年、インターネットを利用した通信は、パソコンさえあれば、それをネットワークに接続するだけで、誰でもネットワーク上のコンピュータにアクセスできるため、社会の中で急速に普及拡大している。一方、このインターネット通信の普及拡大に伴って、ハッカー(hacker)やクラッカー(Cracker)が他人のコンピュータシステムに侵入して、ソフトウエアやデータを盗み見たり、改竄や破壊を行ったりするという社会問題も大きくなっている。 In recent years, communication using the Internet is rapidly spreading in society because anyone can access a computer on a network by connecting it to a network as long as it has a personal computer. On the other hand, with the spread of Internet communication, there are social problems such as hackers and crackers intruding into other people's computer systems to steal software, data, tamper and destroy. It is getting bigger.
具体的な不正妨害のケースとしては、まず第1に、中心的なシステムが使えなくなるように、ネットワークから大量のメッセージを送りつけコンピュータシステムの運用を妨害するシステム妨害がある。この妨害によってホストが過負荷になるとシステムダウンに陥ってしまうことも起こりうる。 As a specific example of unauthorized tampering, first, there is a system tampering that sends a large number of messages from the network and hinders the operation of the computer system so that the central system can no longer be used. If the host is overloaded due to this interference, the system may go down.
また、ホストのパスワードを入手し、機密情報を盗んだり、情報の改竄や破壊を行ったりする「不正アクセスとなりすまし」の不正妨害がある。この妨害にはコンピュータが保有する情報を勝手に書き換え、人を陥れる卑劣のものもある。また、特定のパソコンに忍び込み、メールアドレスやパスワードなど個人の機密データを搾取するスパイウエアといわれる不正行為も発生している。このようにネットワークに接続したコンピュータが持つデータベースの内容を不正に盗み見る、いわゆる盗聴行為も頻繁に行われている可能性も否定できない。 In addition, there is an illegal interception of “illegal access and impersonation” that obtains a host password, steals confidential information, or alters or destroys information. Some of these obstructions mean that the information held by the computer can be rewritten and the person can fall. In addition, fraudulent acts called spyware that sneak into specific computers and exploit personal sensitive data such as email addresses and passwords have also occurred. In this way, it is impossible to deny the possibility that so-called eavesdropping is frequently performed in which the contents of a database held by a computer connected to a network are illegally stolen.
また、サイト若しくはサーバの運営元で、意図的に個人情報を盗むといった行為や、社内に潜むスパイなどによるサイバーテロ(Cyber terrorism)といった危機も全くないとはいえない状況である。 In addition, there is no risk of cyber terrorism caused by intentional stealing of personal information or cyber terrorism lurking inside the company at the site or server operator.
さらに、他人のコンピュータにコンピュータ障害をもたらすプログラムである「ウイルス」を送り込むという不正妨害が最近多くなっている。この送り込まれたウイルスに、メールなどを自宅で使用したパソコンが感染し、それを社内に接続した瞬間に社内のパソコン全体が感染したり、ウイルスがコンピュータの中のファイルを破壊させたり、更には、ネットワーク全体をダウンさせたりするといった問題も生じている。 In addition, fraudulent disturbances such as sending "viruses" that are programs that cause computer problems to other people's computers have recently been increasing. This sent virus infects a computer that used e-mail at home, and when it is connected to the company, the entire company computer is infected, or the virus destroys files in the computer. There are also problems such as bringing down the entire network.
このため、従来のTCP/IP(Transmission Control Protocol/Internet Protocol)やUDP(User Datagram Protocol)を利用したインターネット上での通信においては、データの「漏洩」「改竄」等を防ぐ機能として、IPsec(アイピーセック:Security Architecture for Internet Protocol)やSSL(Secure Socket Layer)と呼ばれる暗号化通信が利用されている。 Therefore, in communication over the Internet using conventional TCP / IP (Transmission Control Protocol / Internet Protocol) or UDP (User Datagram Protocol), IPsec ( Encrypted communication called IPSEC: Security Architecture for Internet Protocol (SSL) or Secure Socket Layer (SSL) is used.
IPsecの特徴は、単に特定のアプリケーションだけを暗号化するのではなく、ホストから送信されるあらゆる通信をIPレベルで暗号化する点にある。これによりユーザはアプリケーションを意識することなく安全な通信を可能とすることができる。また、IPsecは、将来にわたって使えるように、それ自体の仕組みを変えることなく使用する暗号アルゴリズムを変更することを可能としている。 A feature of IPsec is that not only a specific application is encrypted but all communications transmitted from the host are encrypted at the IP level. As a result, the user can perform secure communication without being aware of the application. In addition, IPsec can change the encryption algorithm to be used without changing its own mechanism so that it can be used in the future.
また、SSLを利用することにより、クライアントとサーバは、ネットワーク上でお互いを認証できるようになり、クレジットカード情報などの機密性の高い情報を暗号化してやり取りすることが可能となる。これにより、データの盗聴、再送攻撃(ネットワーク上に流れたデータを盗聴して何度も繰り返して送ってくる攻撃)、なりすまし(本人の振りをして通信する)、データの改竄などを防止することができる。 Further, by using SSL, the client and the server can authenticate each other on the network, and it is possible to exchange highly confidential information such as credit card information. This prevents data eavesdropping, replay attacks (attack of eavesdropping on data flowing over the network and repeatedly sending data), spoofing (communication by pretending to be the person), data tampering, etc. be able to.
本発明に用いられる暗号化通信では、トランスポート層(OSIの第4層)にあるTCP層に暗号化機能を追加している。このトランスポート層は、各ノード上で実行されている2つのプロセス間で、エラーのない、仮想的な通信路を実現するためのプロトコル層である。なお、ネットワーク層ではデータを送ることはできるが、そのデータが確実に相手に届くという保証はない。また、送信した順に正しくデータが届くという保証もない。 In the encrypted communication used in the present invention, an encryption function is added to the TCP layer in the transport layer (OSI fourth layer). This transport layer is a protocol layer for realizing an error-free virtual communication path between two processes executed on each node. Although data can be sent at the network layer, there is no guarantee that the data will reach the other party. There is no guarantee that the data will arrive correctly in the order of transmission.
そこで、アプリケーションにとって使いやすくするために、エラーのない通信路を提供するのがトランスポート層である。そして、このような第4層のトランスポート層に暗号化機能を追加して、外部からの不正侵入に強い通信システムを実現した例は、本発明者らが世界に先駆けて提案したものである。本発明者らはこの暗号化通信システムを「TCP2」と命名している(特許文献1参照)。 Therefore, the transport layer provides an error-free communication path for ease of use for applications. An example in which an encryption function is added to the transport layer of the fourth layer and a communication system that is strong against unauthorized intrusion from the outside is realized by the present inventors before the world. . The inventors have named this encrypted communication system “TCP2” (see Patent Document 1).
しかしながら、特許文献1に記載の発明は、TCP2を利用した一般的な暗号化通信システム、通信方法、通信装置及び通信プログラムにとどまり、このTCP2を搭載したファイル共有システムはいまだに実現されていない。本発明の目的は、発明者らが先に提案した「TCP2」を利用した通信システムを用いて、暗号化機能を付加したファイル共有サーバ装置、クライアント装置、印刷装置を提供することにある。すなわち、ファイル共有の送信側クライアントと、受信側のファイル共有サーバ装置、印刷装置にTCP2を実装し、End-to-Endで暗号化されたファイルの送受信を可能とするファイル共有サーバ装置、クライアント装置、印刷装置を提供することである。
However, the invention described in
上記の課題を解決し、本発明の目的を達成するため、請求項1に記載された発明は、クライアント装置で生成された情報を、ネットワークを介して保存する際に用いられるファイル共有サーバ装置であって、クライアント装置でトランスポート層に位置するTCP又はUDPプロトコルに暗号化機能を追加して電子化情報の通信を行う場合に、少なくともクライアント装置との間で対応する暗号化及び復号化ロジックを取り決める取決め手段と、クライアント装置からの情報単位としてのパケットを取決め手段で取り決めた復号化ロジックに従って復号化して受信する通信手段と、復号化された情報単位としてのパケットを保存する保存手段とを備え、クライアント装置との間でトランスポート層のTCP又はUDPプロトコルを用いて暗号化及び復号化ロジックに基づいた通信を行うことを特徴とするファイル共有サーバ装置である。
In order to solve the above problems and achieve the object of the present invention, the invention described in
本発明の目的を達成するため、請求項2に記載された発明は、クライアント装置で生成された情報を、ネットワークを介して保存する際に用いられるファイル共有サーバ装置であって、クライアント装置でトランスポート層に位置するTCP又はUDPプロトコルに暗号化機能を追加して電子化情報の通信を行う場合に、少なくともクライアント装置との間で対応する暗号化及び復号化ロジックを取り決める取決め手段と、クライアント装置からの情報単位としてのパケットのうち、ファイルデータ部分を取決め手段で取り決めた復号化ロジックに従った復号化をしないで暗号文のまま受信する通信手段と、復号化しなかった情報単位としてのパケットを暗号文のまま保存する保存手段とを備え、クライアント装置との間でトランスポート層のTCP又はUDPプロトコルを用いて暗号化及び復号化ロジックに基づいた通信を行うことを特徴とするファイル共有サーバ装置である。
In order to achieve the object of the present invention, the invention described in
本発明の目的を達成するため、請求項3に記載された発明は、クライアント装置で生成された情報を、ネットワークを介して保存する際に用いられるファイル共有サーバ装置であって、クライアント装置でトランスポート層に位置するTCP又はUDPプロトコルに暗号化機能を追加して電子化情報の通信を行う場合に、少なくともクライアント装置との間で対応する暗号化及び復号化ロジックを取り決める取決め手段と、クライアント装置からの情報単位としてのパケットのうち、ファイルデータ部分を取決め手段で取り決めた復号化ロジックに従った復号化をしないで暗号文のまま受信する通信手段と、復号化しなかった情報単位としてのパケットを暗号文のまま保存する保存手段とを備え、取決め手段の認証を受けたアプリケーションが復号化しなかった情報単位としてのパケットを含むファイルデータを使用する時に、取決め手段で取り決めた復号化ロジックに従って復号化して使用することを特徴とするファイル共有サーバ装置である。
In order to achieve the object of the present invention, the invention described in
本発明の目的を達成するため、請求項4に記載された発明は、クライアント装置で生成された情報を、ネットワークを介して印刷する際に用いられるファイル共有サーバ装置であって、クライアント装置でトランスポート層に位置するTCP又はUDPプロトコルに暗号化機能を追加して電子化情報の通信を行う場合に、少なくともクライアント装置との間で対応する暗号化及び復号化ロジックを取り決める取決め手段と、クライアント装置からの情報単位としてのパケットを取決め手段で取り決めた復号化ロジックに従って復号化して受信する通信手段と、復号化された情報単位としてのパケットを印刷する印刷手段とを備え、クライアント装置との間でトランスポート層のTCP又はUDPプロトコルを用いて暗号化及び復号化ロジックに基づいた通信を行うことを特徴とするファイル共有サーバ装置である。
In order to achieve the object of the present invention, the invention described in
さらに、請求項5に記載のファイル共有サーバ装置においては、暗号化及び復号化ロジックの取決め手段による取決め候補となりうる暗号化及び復号化ロジックをメモリに記憶ないし回路に実装し、記憶ないし実装した取決め候補となりうる暗号化及び復号化ロジックを定期的に変更するロジック変更手段をさらに備えたことを特徴とするものである。
Furthermore, in the file sharing server device according to
請求項6に記載のファイル共有サーバ装置においては、暗号化及び復号化ロジックの取決め手段が、暗号化及び復号化ロジックに関連して、暗号化をしないで平文を取り扱う旨を取り決めることができるようにしたものである。
In the file sharing server device according to
また、本発明の目的を達成するため、請求項7に記載された発明は、ファイル共有サーバ装置に保存された情報を、ネットワークを介してダウンロードするクライアント装置であって、ファイル共有サーバ装置でトランスポート層に位置するTCP又はUDPプロトコルに暗号化機能を追加して電子化情報の通信を行う場合に、少なくともファイル共有サーバ装置との間で対応する暗号化及び復号化ロジックを取り決める取決め手段と、ファイル共有サーバ装置からの情報単位としてのパケットを取決め手段で取り決めた復号化ロジックに従って復号化して受信する通信手段と、復号化した情報単位としてのパケットを保存する保存手段とを備え、ファイル共有サーバ装置との間でトランスポート層のTCP又はUDPプロトコルを用いて暗号化及び復号化ロジックに基づいた通信を行うことを特徴とするクライアント装置である。
In order to achieve the object of the present invention, the invention described in
本発明の目的を達成するため、請求項8に記載された発明は、ファイル共有サーバ装置に保存された情報を、ネットワークを介してダウンロードするクライアント装置であって、ファイル共有サーバ装置でトランスポート層に位置するTCP又はUDPプロトコルに暗号化機能を追加して電子化情報の通信を行う場合に、少なくともファイル共有サーバ装置との間で対応する暗号化及び復号化ロジックを取り決める取決め手段と、ファイル共有サーバ装置からの情報単位としてのパケットのうち、ファイルデータ部分を取決め手段で取り決めた復号化ロジックに従った復号化をしないで暗号文のまま受信する通信手段と、復号化しなかった情報単位としてのパケットを暗号文のまま保存する保存手段とを備え、ファイル共有サーバ装置との間でトランスポート層のTCP又はUDPプロトコルを用いて暗号化及び復号化ロジックに基づいた通信を行うことを特徴とするクライアント装置である。
In order to achieve an object of the present invention, an invention described in
本発明の目的を達成するため、請求項9に記載された発明は、ファイル共有サーバ装置に保存された情報を、ネットワークを介してダウンロードするクライアント装置であって、ファイル共有サーバ装置でトランスポート層に位置するTCP又はUDPプロトコルに暗号化機能を追加して電子化情報の通信を行う場合に、少なくともファイル共有サーバ装置との間で対応する暗号化及び復号化ロジックを取り決める取決め手段と、ファイル共有サーバ装置からの情報単位としてのパケットのうち、ファイルデータ部分を取決め手段で取り決めた復号化ロジックに従った復号化をしないで暗号文のまま受信する通信手段と、復号化しなかった情報単位としてのパケットを暗号文のまま保存する保存手段とを備え、取決め手段の認証を受けたアプリケーションが復号化しなかった情報単位としてのパケットを含むファイルデータを使用する時に、取決め手段で取り決めた復号化ロジックに従って復号化して使用することを特徴とするクライアント装置である。
In order to achieve the object of the present invention, an invention described in
さらに、請求項10に記載のクライアント装置においては、暗号化及び復号化ロジックの取決め手段による取決め候補となりうる暗号化及び復号化ロジックをメモリに記憶ないし回路に実装し、記憶ないし実装した取決め候補となりうる暗号化及び復号化ロジックを定期的に変更するロジック変更手段をさらに備えたことを特徴とするものである。
Furthermore, in the client device according to
請求項11に記載のクライアント装置においては、暗号化及び復号化ロジックの取決め手段が、暗号化及び復号化ロジックに関連して、暗号化をしないで平文を取り扱う旨を取り決めることができるようにしたものである。
In the client device according to
また、本発明の目的を達成するため、請求項12に記載された発明は、クライアント装置で生成された情報を、ネットワークを介して印刷する際に用いられる印刷装置であって、クライアント装置でトランスポート層に位置するTCP又はUDPプロトコルに暗号化機能を追加して電子化情報の通信を行う場合に、少なくともクライアント装置との間で対応する暗号化及び復号化ロジックを取り決める取決め手段と、クライアント装置からの情報単位としてのパケットを取決め手段で取り決めた復号化ロジックに従って復号化して受信する通信手段と、復号化した情報単位としてのパケットを保存する保存手段と、復号化された情報単位としてのパケットを印刷する印刷手段とを備え、クライアント装置との間でトランスポート層のTCP又はUDPプロトコルを用いて暗号化及び復号化ロジックに基づいた通信を行うことを特徴とする印刷装置である。
In order to achieve the object of the present invention, an invention described in
本発明の目的を達成するため、請求項13に記載された発明は、クライアント装置で生成された情報を、ネットワークを介して印刷する際に用いられる印刷装置であって、クライアント装置でトランスポート層に位置するTCP又はUDPプロトコルに暗号化機能を追加して電子化情報の通信を行う場合に、少なくともクライアント装置との間で対応する暗号化及び復号化ロジックを取り決める取決め手段と、クライアント装置からの情報単位としてのパケットのうち、ファイルデータ部分を取決め手段で取り決めた復号化ロジックに従った復号化をしないで暗号文のまま受信する通信手段と、復号化しなかった情報単位としてのパケットを暗号文のまま保存する保存手段と、復号化しなかった情報単位としてのパケットを含むファイルデータを印刷する際に取決め手段の認証を受けたアプリケーションを使用して復号化し、印刷する印刷手段とを備え、クライアント装置との間でトランスポート層のTCP又はUDPプロトコルを用いて暗号化及び復号化ロジックに基づいた通信を行うことを特徴とする印刷装置である。 In order to achieve the object of the present invention, a thirteenth aspect of the present invention is a printing device used when printing information generated by a client device via a network, wherein the client device uses a transport layer. When an encryption function is added to the TCP or UDP protocol located in the network and communication of digitized information is performed, an agreement means for negotiating corresponding encryption and decryption logic with at least the client device, and from the client device Of the packets as information units, the communication means for receiving the encrypted data without decrypting the file data portion according to the decryption logic decided by the decision means, and the packet as the information unit not decrypted in the ciphertext Storage means for storing the file as it is, and file data including a packet as an information unit that has not been decrypted. And printing means for decrypting and printing using an application that has been authenticated by the agreement means when printing, and encrypting and decrypting with the client device using TCP or UDP protocol of the transport layer A printing apparatus that performs communication based on logic.
また、請求項14に記載の印刷装置においては、暗号化及び復号化ロジックの取決め手段による取決め候補となりうる暗号化及び復号化ロジックをメモリに記憶ないし回路に実装し、記憶ないし実装した取決め候補となりうる暗号化及び復号化ロジックを定期的に変更するロジック変更手段をさらに備えたことを特徴とするものである。
In the printing apparatus according to
請求項15に記載の印刷装置においては、暗号化及び復号化ロジックの取決め手段が、暗号化及び復号化ロジックに関連して、暗号化をしないで平文を取り扱う旨を取り決めることができるようにしたものである。
In the printing apparatus according to
請求項16に記載のファイル共有システムは、ネットワークを介してクライアント装置とファイル共有サーバ装置との間でファイル共有及び共有プリントを行うファイル共有システムであって、クライアント装置及びファイル共有サーバ装置には、既存のファイル共有アプリケーション部に加えて、TCP2コアとファイル共有システムコアを備えたTCP2ドライバと、ファイル共有システム管理アプリケーション部が設けられており、TCP2ドライバのTCP2コアは、クライアント装置あるいはファイル共有サーバ装置から送信されるファイル共有コマンド及びファイル共有応答コードのパケットを確認して、ファイル共有システムコアに送り、ファイル共有システムコアは、クライアント装置とファイル共有サーバ装置間で鍵交換を行うとともに、記憶メディアに保存された種々の設定情報に基づいて、クライアント装置あるいはファイル共有サーバ装置から送られるファイル共有コマンド及びファイル共有応答コードの暗号化または復号化を行って、クライアント装置及びファイル共有サーバ装置との間で暗号文によりファイル転送を行い、ファイル共有システム管理アプリケーション部は、ファイル共有システムコアに送られる暗号化されたファイルデータに対して復号化するか、あるいは復号化しないかを設定する設定部を有し、この設定部で設定した復号化するかしないかの情報を設定情報としてファイル共有システムコアの前記記憶メディアに格納することを特徴としている。 A file sharing system according to a sixteenth aspect is a file sharing system that performs file sharing and shared printing between a client device and a file sharing server device via a network, and the client device and the file sharing server device include: In addition to the existing file sharing application unit, a TCP2 driver having a TCP2 core and a file sharing system core and a file sharing system management application unit are provided. The TCP2 core of the TCP2 driver is a client device or a file sharing server device. The file sharing command and the file sharing response code packet sent from is confirmed and sent to the file sharing system core. The file sharing system core exchanges the key between the client device and the file sharing server device. And performing encryption or decryption of a file sharing command and a file sharing response code sent from the client device or the file sharing server device based on various setting information stored in the storage medium. File transfer is performed with the ciphertext from the server device, and the file sharing system management application unit sets whether or not to decrypt the encrypted file data sent to the file sharing system core And setting information stored in the storage medium of the file sharing system core is stored as information indicating whether or not to perform decoding set by the setting unit.
請求項17に記載のファイル共有プログラムは、TCP2ドライバを実装したクライアント装置とTCP2ドライバを実装したファイル共有サーバ装置との間でファイル共有及び共有プリントを行うファイル共有システムに用いられるプログラムである。すなわち、本発明のファイル共有プログラムは、クライアント装置及びファイル共有サーバ装置のコンピュータに、以下のような手順を実行させることを特徴としている。
(a)受信した暗号ファイルデータの複号化または非複号化を設定する手順、
(b)前記設定情報を基に、クライアント装置あるいはファイル共有サーバ装置自身が保有する鍵元値を作成する手順、
(c)受信したファイル共有コマンドメッセージあるいはファイル共有応答メッセージに付加されている鍵元値と前記装置自身が保有する鍵元値から前記クライアント装置及び前記ファイル共有サーバ装置の双方で新たな鍵を生成し、交換する手順、
(d)前記ファイル共有サーバ装置から前記クライアント装置に対して、ファイル共有応答コード及びファイルデータを暗号文で送る手順。
(e)前記クライアント装置から前記ファイル共有サーバ装置に対して、ファイル共有コマンド及びファイルデータを暗号文で送る手順。
A file sharing program according to a seventeenth aspect is a program used in a file sharing system that performs file sharing and shared printing between a client device mounted with a TCP2 driver and a file sharing server device mounted with a TCP2 driver. That is, the file sharing program of the present invention is characterized by causing the computer of the client device and the file sharing server device to execute the following procedure.
(A) a procedure for setting the decryption or decryption of the received encrypted file data;
(B) A procedure for creating a key element value held by the client device or the file sharing server device itself based on the setting information;
(C) A new key is generated in both the client device and the file sharing server device from the key source value added to the received file sharing command message or file sharing response message and the key source value held by the device itself. And replacement procedure,
(D) A procedure for sending a file sharing response code and file data in encrypted form from the file sharing server device to the client device.
(E) A procedure for sending a file sharing command and file data in encrypted form from the client device to the file sharing server device.
本発明のファイル共有サーバ装置、クライアント装置、印刷装置によれば、TCP2機能を使用して、クライアント装置と、ファイル共有サーバ装置、印刷装置との間のファイルデータを暗号化したまま転送することができるので、他人に知られることなく、権限のあるものだけがファイルの内容を知ることができるようになる。 According to the file sharing server device, the client device, and the printing device of the present invention, the file data between the client device, the file sharing server device, and the printing device can be transferred while encrypted using the TCP2 function. Because it is possible, only the authorized person can know the contents of the file without being known to others.
以下、図面を参照しながら本発明の実施の形態の例を説明する。
図1は、本発明のファイル共有サーバ装置、クライアント装置、印刷装置に適用される暗号化通信システムに用いられるTCP2のプロトコルスタックを示すものである。
Hereinafter, exemplary embodiments of the present invention will be described with reference to the drawings.
FIG. 1 shows a TCP2 protocol stack used in an encrypted communication system applied to a file sharing server apparatus, client apparatus, and printing apparatus of the present invention.
<TCP2プロトコルスタックの説明>
このプロトコルスタックには、OSIの7階層の物理層(第1層)とデータリンク層(第2層)に相当する階層に、NIC(Network Interface Card)のドライバ11が配列されている。このドライバは、コンピュータなどのハードウエアをネットワークに接続するためのドライバであり、その内容はデータ送受信制御ソフトウエアである。例えばEthernet(登録商標)に接続するためのLANボードまたはLANカードがこれに相当する。
<Description of TCP2 protocol stack>
In this protocol stack, NIC (Network Interface Card)
第3層のネットワーク層には、一部がトランスポート層(第4層)まで伸びたIPエミュレータ(emulator)13が存在している。上記トランスポート層に延びた部分には、トランスポートとしての機能は実装しておらず、セッション層(第5層)にネットワーク層の機能を提供しているだけある。このIPエミュレータ13は、暗号化通信を行うプロトコルである「IPsec on CP」13bと、「IP on CP」13aを用途に応じて切り換えて使う働きをするものである。ここで、「on CP」とは、クラッキング・プロテクタ(CP)による、「進入」「攻撃」の監視、破棄、切断ないし通過制限の対象となっていること、又は、設定によりなりうることを示している。
In the third network layer, there is an
また、ネットワーク層にはARP on CP(Address Resolution Protocol on Cracking Protector)が配列されている。このARP on CPは、クラッカー(Cracker)への保護対策を具備したIPアドレスからEthernet(登録商標)の物理アドレスであるMAC(Media Access Control)アドレスを求めるのに使われるプロトコルである。MACは、媒体アクセス制御と呼ばれる、LANなどで利用される伝送制御技術であり、データの送受信単位であるフレームの送受信方法やフレームの形式、誤り訂正などを規定する技術として利用されている。 Further, ARP on CP (Address Resolution Protocol on Cracking Protector) is arranged in the network layer. This ARP on CP is a protocol used to obtain a MAC (Media Access Control) address, which is a physical address of Ethernet (registered trademark), from an IP address provided with protection measures against a cracker. The MAC is a transmission control technique used in a LAN or the like called medium access control, and is used as a technique for specifying a frame transmission / reception method, a frame format, error correction, and the like as a data transmission / reception unit.
ここで、IPエミュレータ13は、本発明による各種のセキュリティ機能を、従来のIP周辺のスタックに整合させるためのソフトウエア又はファームウエアである。すなわち、IPエミュンレータ13は、ICMP(Internet Control Message Protocol)14a、IGMP(Internet Group Management Protocol)14b、TCP15、UDP16さらにソケット(Socket)インターフェース17に整合させるためのソフトウエア、又はファームウエア、ないしはハードウエア(電子回路、電子部品)である。
Here, the
このIPエミュレータ13により、IPsecの暗号化・復号化及び必要な認証情報付加・認証等の前後の適合処理を行うことができる。なお、ICMPは、IPのエラーメッセージや制御メッセージを転送するプロトコルであり、IGMPは、同一のデータを複数のホストに効率よく配送するための又は配送を受けるために構成されるホストのグループを制御するためのプロトコルである。
This
さらにIPエミュレータ13の上層のトランスポート層(第4層)には、TCPエミュレータ15とUDPエミュレータ16が配置されている。TCPエミュレータ15は、暗号化通信を行うプロトコルである「TCPsec on CP」15bと、通常の通信プロトコルである「TCP on CP」15aを用途に応じて切り換えて使う働きをする。同様に、UDPエミュレータ16は、暗号化通信を行うプロトコルである「UDPsec on CP」16bと、通常の通信プロトコルである「UDP on CP」16aを用途に応じて切り換えて使う働きをする。
Further, a
また、TCP2の最も特徴とされる点は、トランスポート層(第4層)に、TCPsec15bと、UDPsec16bの暗号化通信プロトコルを搭載したことである。 The most characteristic feature of TCP2 is that TCPsec15b and UDPsec16b encrypted communication protocols are installed in the transport layer (fourth layer).
このトランスポート層(第4層)の上層のセッション層(第5層)には、TCP及びUDP等のプロトコルとデータのやりとりを行うソケット(socket)インターフェース17が設けられている。このソケットの意味は、既に述べたようにコンピュータが持つネットワーク内の住所に当たるIPアドレスと、IPアドレスのサブアドレスであるポート番号を組み合わせたネットワークアドレスを意味している。実際には、一連のヘッダの追加ないし削除をまとめて行う、単一のソフトウエアプログラムモジュール(実行プログラム等)あるいは単一のハードウエアモジュール(電子回路、電子部品等)から構成されている。
In the upper session layer (fifth layer) of the transport layer (fourth layer), a
TCPエミュレータ15は、トランスポート層において、データの漏洩・改竄の防止の機能、すなわち暗号化、完全性認証及び相手認証等の機能を持つTCPsec15bと、このような暗号化、完全性認証、及び相手認証等の機能を持たない通常のプロトコルTCP15aのいずれかにパケットを振り分ける働きをもっている。また、TCPsec15b及びTCP15aのいずれもクラッキング・プロテクタ(CP)を備えているため、そのいずれを選択した場合でも、クラッカーによる「進入」「攻撃」に対して防御する機能を実現することができる。TCPエミュレータ15は上位層であるソケットとのインターフェースの役割も果たしている。
The
また、既に述べたようにTCPがエラー補償機能を有するのに対して、UDPはエラー補償機能を持たないが、その分転送速度が速く、かつブロードキャスト機能を備えているという特徴がある。UDPエミュレータ16は、TCPエミュレータ15と同様に、データの漏洩・改竄の防止の機能、すなわち暗号化、完全性認証及び相手認証等の機能を持つUDPsec16bと、このような暗号化、完全性認証、及び相手認証等の機能を持たない通常のプロトコルUDP16aのいずれかにパケットを振り分ける働きを持っている。
Further, as described above, TCP has an error compensation function, whereas UDP does not have an error compensation function, but has a feature that the transfer speed is correspondingly faster and a broadcast function is provided. As with the
図1に示すように、ソケット17、TCPエミュレータ15、UDPエミュレータ16、「TCPsec on CP」15b、「UDPsec on CP」16b、「TCP on CP」15a、「UDP on CP」16a、「ICMP on CP」14a、「IGMP on CP」14b、IPエミュレータ13、「IP on CP」13a、及び「ARPonCP」12からなるプロトコルスタックが本発明に適用される暗号化処理を行うためのプロトコルスタックであり、以下、このプロトコルスタックを総称してTCP2と呼んでいる(特許文献1参照)。
As shown in FIG. 1,
本発明のファイル共有サーバ装置、クライアント装置、印刷装置に適用されるファイル共有システムにおいて中心的な役割を果たすTCP2は、TCP、UDP、IP、IPsec、ICMP、IGMP、ARPの標準プロトコルにCP(クラッキング・プロテクト)を実装し、各プロトコルスタックに対する通信からの攻撃、及び、アプリケーション・プログラムからの攻撃(トロイの木馬、プログラムの改竄、正規ユーザの不正使用)を防御することができる。 TCP2, which plays a central role in the file sharing system applied to the file sharing server device, client device, and printing device of the present invention, is a CP (cracking) standard protocol of TCP, UDP, IP, IPsec, ICMP, IGMP, and ARP. (Protect) can be implemented to prevent attacks from communication on each protocol stack and attacks from application programs (Trojan horses, program tampering, unauthorized use by authorized users).
また、TCP2では、TCPエミュレータ15を実装し、このTCPエミュレータ15は、セッション層にあるソケット(Socket)17、及びネットワーク層にあるIPエミュレータ13から見て、互換性を保つため、外向きには標準TCPと同じに見せることができる。実際は、TCP2の機能として、TCPとTCPsecを切り替えて実行する。TCPsecは、トランスポート層での暗号化及び認証機能である。
Also, in TCP2, a
同様に、TCP2では、UDPエミュレータ16を実装しており、UDPエミュレータ16は、セッション層であるソケット(Socket)17、及び、ネットワーク層であるIPエミュレータ13から見て、互換性を保つため、外部からは標準UDPとして見せることができる。実際は、TCP2の機能として、UDP、UDPsecを切り替えて実行する。但し、UDPsecは、本発明のファイル共有サーバ装置、クライアント装置、印刷装置には利用されない機能であるので、これ以降の説明では触れない。
Similarly, in
次に、TCP2において、特に重要な機能である「データ漏洩」を防ぐ機能であるTCPsec15bについて説明する。TCPsec15bのための暗号化・復号化の方法(アルゴリズム、ロジック(論理))としては、公知の秘密鍵(共通鍵)暗号アルゴリズムが用いられる。 Next, TCPsec15b, which is a function that prevents “data leakage”, which is a particularly important function in TCP2, will be described. As an encryption / decryption method (algorithm, logic (logic)) for TCPsec15b, a known secret key (common key) encryption algorithm is used.
また、本発明のファイル共有サーバ装置、クライアント装置、印刷装置に用いられるTCPsec15bの暗号方式として、FEAL(Fast data Encipherment Algorithm)、MISTY、AES(Advanced Encryption Standard)といった暗号方式も利用されるほか、また、独自に作成した秘密の暗号化・復号化アルゴリズムを利用することもできる。ここで、FEALは、日本電信電話株式会社(当時)が開発した暗号方式で、暗号化と復号化に同じ鍵をもちいる秘密鍵型の暗号方式である。 In addition, as a TCPsec15b encryption method used in the file sharing server device, client device, and printing device of the present invention, encryption methods such as FEAL (Fast Data Encipherment Algorithm), MISTY, and AES (Advanced Encryption Standard) are also used. It is also possible to use a secret encryption / decryption algorithm created independently. Here, FEAL is an encryption method developed by Nippon Telegraph and Telephone Corporation (at that time), and is a secret key type encryption method that uses the same key for encryption and decryption.
次に、同じくTCP2に利用される暗号方式は、例えばMISTYが用いられるが、このMISTYは、IDEAと同様にデータを64ビットのブロックに区切って暗号化する。鍵の長さは128ビットである。暗号化と復号化には同じプログラムが使われる点はDESなどと同じである。このように、本発明に適用されるTCPsec15bの暗号方式としては、既に知られているさまざまな秘密鍵の暗号アルゴリズムを採用することができるほか、ユーザが独自に開発した秘密鍵(共通鍵)暗号方式も利用することが可能である。 Next, for example, MISTY is used as an encryption method used for TCP2. This MISTY encrypts data divided into 64-bit blocks in the same manner as IDEA. The key length is 128 bits. The same program is used for encryption and decryption as in DES. As described above, as the encryption method of TCPsec15b applied to the present invention, various known secret key encryption algorithms can be adopted, and a secret key (common key) encryption developed independently by the user. A scheme can also be used.
さらに、いわゆる「なりすまし」及び「データの改竄」などを防ぐための「相手認証」及び「完全性認証」の方法として、公開鍵や事前秘密共有(Pre-shared)を利用したアルゴリズム、例えば、MD5(Message Digest 5)、SHA1(Secure Hash Algorithm 1)などの認証アルゴリズムが用いられる。また、このような公知の認証アルゴリズムに代えて独自の一方向関数を利用したアルゴリズムを採用することもできる。 Furthermore, as a method of “party authentication” and “integrity authentication” to prevent so-called “spoofing” and “data falsification”, an algorithm using a public key or pre-shared, for example, MD5 Authentication algorithms such as (Message Digest 5) and SHA1 (Secure Hash Algorithm 1) are used. An algorithm using a unique one-way function may be employed instead of such a known authentication algorithm.
このMD5は、認証やデジタル署名に用いられるハッシュ関数(一方向要約関数)の一つであり、原文を元に固定長のハッシュ値を発生し、これを通信経路の両端で比較することにより、通信途中で原文が改竄されていないかを検出することができるものである。このハッシュ値は擬似的な乱数のような値をとり、これを基にしては原文を再生できないようになっている。また、同じハッシュ値を生成する別のメッセージを作成することも困難になっている。 This MD5 is one of hash functions (one-way summarization functions) used for authentication and digital signatures, generates a fixed-length hash value based on the original text, and compares it at both ends of the communication path. It is possible to detect whether the original text has been tampered with during communication. This hash value takes a value like a pseudo random number, and based on this value, the original text cannot be reproduced. It is also difficult to create another message that generates the same hash value.
SHA1も、認証やデジタル署名などに使われるハッシュ関数の一つであり、2の64乗ビット以下の原文から160ビットのハッシュ値を生成し、通信経路の両端で比較することにより、通信途上の原文の改竄を検出するものである。この認証アルゴリズムは従来のインターネットの暗号化通信の代表的なものであるIPsecにも採用されている。 SHA1 is also one of hash functions used for authentication, digital signatures, etc., and generates a 160-bit hash value from the original text of 2 <64> bits or less and compares it at both ends of the communication path. It detects the alteration of the original text. This authentication algorithm is also employed in IPsec, which is a typical example of conventional encrypted communication on the Internet.
なお、これらの認証アルゴリズムについては、DH(Diffie-Hellman)公開鍵配送法や、IPsecと同様のIKE(Internet Key Exchange)プロトコル(UDPの500番)などにより安全な鍵交換ができるように設計され、しかも、定期的に暗号化/完全性認証アルゴリズム(論理)自体やそのための鍵の集合/定義域が変更されるように、プロトコルドライバープログラム(TCPsec15b、UDPsec16bなど)によりスケジュールされている。 These authentication algorithms are designed to enable secure key exchange using the DH (Diffie-Hellman) public key distribution method or the IKE (Internet Key Exchange) protocol (UDP 500) similar to IPsec. Moreover, it is scheduled by a protocol driver program (TCPsec15b, UDPsec16b, etc.) so that the encryption / integrity authentication algorithm (logic) itself and the key set / domain for that purpose are changed periodically.
<TCP2データパケット構造の説明>
次に、図2に基づいて、本発明のファイル共有サーバ装置、クライアント装置、印刷装置で用いられるデータのパケット構造と、その暗号化範囲及び完全性認証の適用範囲について説明しておく。
<Description of TCP2 data packet structure>
Next, a packet structure of data used in the file sharing server apparatus, client apparatus, and printing apparatus of the present invention, its encryption range, and application range of integrity authentication will be described with reference to FIG.
図2は、TCPsec/IPのパケット構造と暗号化範囲及び完全性認証の適用範囲を示したものである。図2に示すように、IPヘッダ21のすぐ後に、TCPヘッダ22及びTCPsec付加情報23が続き、更にアプリケーションデータ24が続く構造になっている。そして、アプリケーションデータ24の後には、TCPsecの付加トレーラ25とTCPsecの付加認証データ26が配列される構造となっている。TCPsecの付加トレーラ25は、ブロック暗号で発生するデータのブランクやそのブランクの長さ、次のヘッダの番号などの暗号データをサポートする情報である。
FIG. 2 shows the TCPsec / IP packet structure, encryption range, and application range of integrity authentication. As shown in FIG. 2, the
TCPsecの特徴であるこれらの情報は、採用する暗号化/認証アルゴリズムによっては、TCPsec/IPの使用していないヘッダフィールド部分などに分散したり、個々のパケットからは逆算・推測できない独立した事前取決め(ネゴシエーション)により省略したりできるものである。 Depending on the encryption / authentication algorithm used, this information, which is a characteristic of TCPsec, can be distributed to header fields that are not used by TCPsec / IP, etc., or an independent prior arrangement that cannot be calculated or estimated from individual packets. (Negotiation) can be omitted.
また、IP層の上層に当たるTCP及びIPを使用していないプロトコルフィールドを用いて、図2に示すようなTCPsec/IPパケットを構成することにより、より下層のIPのみに着目したIPsecパケットよりもパケット長を簡単に削減することができるようになる。なお、ここで暗号化範囲は、図示の通り、アプリケーションデータ24、TCPsec付加トレーラ25であり、認証範囲は上記暗号化範囲の他に、TCPsecの付加情報26が加えられる。
Further, by constructing a TCPsec / IP packet as shown in FIG. 2 using TCP corresponding to the upper layer of the IP layer and a protocol field not using IP, the packet is more packetized than the IPsec packet focusing only on the lower layer IP. The length can be easily reduced. Here, the encryption range is
<TCP2を用いたファイル共有システムの機能ブロック図の説明>
次に、本発明に適用されるTCP2を用いたファイル共有システム、特にクライアント装置とファイル共有サーバ装置との間で通信を行うファイル共有システムの第1の実施の形態について図面を参照して説明する。
<Description of Functional Block Diagram of File Sharing System Using TCP2>
Next, a first embodiment of a file sharing system using TCP2 applied to the present invention, particularly a file sharing system for performing communication between a client device and a file sharing server device will be described with reference to the drawings. .
図3は、本発明に適用されるファイル共有システムに用いられるクライアント装置とファイル共有サーバ装置の実施形態例のブロック構成図である。クライアント装置とファイル共有サーバ装置とは、同じブロック構成図であるが、これらを区別するために、クライアント装置では、記号“A”を、ファイル共有サーバ装置では、記号“B”を付加することにする。クライアント装置Aとファイル共有サーバ装置Bは、ネットワーク40に接続されている。
FIG. 3 is a block diagram of an embodiment of a client device and a file sharing server device used in the file sharing system applied to the present invention. The client device and the file sharing server device have the same block configuration diagram, but in order to distinguish them, the symbol “A” is added to the client device, and the symbol “B” is added to the file sharing server device. To do. The client device A and the file sharing server device B are connected to the
クライアント装置Aについて、まずその構成を説明する。クライアント装置Aは、入力装置31A、出力装置(表示装置)32A、既存のファイル共有アプリケーション部33Aの他に、ファイル共有システム管理アプリケーション部34AとTCP2ドライバ35Aを備えている。また、ファイル共有サーバ装置Bから受信したファイルを保存する記憶メディア36Aを備えている。
First, the configuration of the client device A will be described. The client device A includes a file sharing system
TCP2ドライバ35Aは、図4で説明するTCP2コア37Aと、図5で説明するファイル共有システムコア38A及び記憶メディア39Aから構成されている。記憶メディア39Aは、クライアント装置Aが通常有する記憶メディア36Aとは異なる記憶メディアであり、ファイル共有システムコア38Aが持っている秘密鍵で暗号化された状態で、後述する種々の情報を記憶するものである。
The
ここで、クライアント装置Aが接続されるネットワーク40には、ファイル共有サーバ装置Bも接続されており、ネットワーク40を介してクライアント装置Aとファイル共有サーバ装置B間でファイルの転送が行われる。ファイル共有サーバ装置Bの構成もクライアント装置Aと同じになるので、その説明は省略する。
Here, the file sharing server apparatus B is also connected to the
次に、図3に示すクライアント装置Aにおける動作を簡単に説明しておく。詳しくは図4〜図6で説明する。 Next, the operation of the client apparatus A shown in FIG. 3 will be briefly described. Details will be described with reference to FIGS.
まず、ファイル共有サーバ装置Bからネットワーク40を介して送信される暗号化されたファイルデータは、クライアント装置Aに搭載されたTCP2ドライバ35AのTCP2コア37AAに送られる。そして、このTCP2コア37Aでファイル共有ポートのパケットであることを確認した後、このファイルデータをファイル共有システムコア38Aに送る。そしてファイル共有システムコア38Aで後述する処理がなされて既存のファイル共有アプリケーション部33Aに送られる。
First, the encrypted file data transmitted from the file sharing server apparatus B via the
このファイル共有システムコア38Aは、ファイル共有サーバ装置Bから送られるファイル共有メッセージを分析し、このメッセージの暗号化または復号化を行う部分である。さらに、このファイル共有システムコア38Aにおいて、鍵の生成と鍵交換が行われる。さらに、ファイル共有システムコア38Aは記憶メディア39Aに接続されており、この記憶メディア39Aにファイル共有サーバ装置のIPアドレスとポート番号が保存される。
The file
また、この記憶メディア39Aには、種々の設定情報、ユーザIDとパスワード、鍵情報が保存される。ファイル共有サーバ装置Bの記憶メディア39Bにも、同様な情報が保存されるが、クライアント装置Aのポート番号は保存されない。クライアント装置AのIPアドレスのみが保存される。
The storage medium 39A stores various setting information, user IDs and passwords, and key information. Similar information is stored in the
さらにファイル共有システムコア38Aは、ファイル共有システム管理アプリケーション部34Aに接続されている。このファイル共有システム管理アプリケーション部34Aは、通信相手の情報を管理する部分であり、ファイル共有サーバ装置Bから受信したファイルデータのうち、ディレクトリ情報以外のファイル情報を「復号化するか、しないか」を設定する。
Further, the file
以上、本発明のクライアント装置Aの実施形態例の構成と動作を説明したが、ファイル共有サーバ装置Bも、クライアント装置Aとほぼ同じ動作をするので、ここでは説明を省略する。
次に、クライアント装置Aを構成する各要素の具体例を、図4〜図6のブロック図と図7〜図14のフローチャートに基づいて説明する。
The configuration and operation of the embodiment of the client device A according to the present invention have been described above. However, the file sharing server device B operates almost the same as the client device A, and thus the description thereof is omitted here.
Next, specific examples of each element constituting the client apparatus A will be described based on the block diagrams of FIGS. 4 to 6 and the flowcharts of FIGS. 7 to 14.
図4は、TCP2ドライバ35の構成要素であるTCP2コア37をより詳細に説明するための機能ブロック図である。クライアント装置Aとファイル共有サーバ装置Bで同じ構成なので、図3で付加したA,Bは省略して同一番号の符号を付している。
FIG. 4 is a functional block diagram for explaining the
図4に示すように、TCP2コア37は、ファイル共有システムコア38からのポートサーチ要求を受けて指定ポートをサーチする指定ポートサーチ部42と、同じくファイル共有システムコア38からのフック要求を受けて要求に合致するパケットをフックするフック処理部43を備えている。
As shown in FIG. 4, the
クライアント装置Aの既存のファイル共有アプリケーション部33からのファイル共有コマンドのメッセージパケットを受信し、それがファイル共有コマンドのメッセージパケットであることを確認するファイル共有コマンドメッセージパケット確認部44とその応答メッセージを確認するためのファイル共有応答メッセージパケットを確認部45とを備えている。さらに、これらファイル共有コマンドメッセージ確認部44とファイル共有応答メッセージパケット確認部45をファイル共有システムコア38に接続するパケットインターセプト部46を有している。
A file sharing command message
フック処理部43は、ファイル共有システムコア38からのフック要求(所定のパケットを受信したらそれを捕まえなさいという要求)があったものを補足する処理を行う部分である。すなわち、フック処理部43では、ファイル共有コマンドメッセージパケット確認部44と連携して、予めフック要求があるIPアドレスやポートが確認されたらこれを捕捉して、ファイル共有システムコア38に送る。
The
また、ファイル共有応答メッセージパケットの確認部45も同様にそれぞれのメッセージパケットを確認すると、それをフック処理部43で捕捉し、その結果を、パケットインターセプト部46を経由してファイル共有システムコア38に送る。以上がTCP2コア37の構成と動作である。
Similarly, when the
次に、図5に基づいて、ファイル共有システムコア38の構成と動作について説明する。図3、図4と同一の構成は同一符号を付し、説明は省略する。
Next, the configuration and operation of the file
ファイル共有システムコア38は、TCP2コア37から送られるファイル共有コマンドメッセージパケットの分析と認証を行う認証/分析部50と、この認証/分析部50で分析されかつ認証されたファイル共有コマンドメッセージパケットを暗号化する暗号化部51と、同様に認証/分析部50で分析されかつ認証されたファイル共有コマンドメッセージパケットを復号化する復号化部52と、クライアント装置間で鍵交換を行う鍵交換部53を備えている。
The file
また、上述したように、クライアント装置Aでは、ファイル共有システムコア38Aに接続される記憶メディア39Aには、各種設定情報、ユーザIDとパスワード、ファイル共有サーバのIPアドレスとポート番号、及び鍵情報等が暗号化した状態で保存されている。ここで、記憶メディア39Aとしてファイル共有サーバ装置Bの記憶メディア39Bと区別したのは、ファイル共有サーバ装置Bの記憶メディア39Bには、クライアントのIPアドレスは保存されるが、そのポート番号は保存されないからである。
Further, as described above, in the client device A, the storage medium 39A connected to the file
また、ファイル共有システムコア38は、ファイル共有システム管理アプリケーション部34と接続するためのインターフェース部54を具備している。このインターフェース部54を介してファイル共有システムコア38の記憶メディア39がファイル共有システム管理アプリケーション部34と接続されるようになっている。
Further, the file
以下、図5に示すファイル共有システムコア38の動作の説明を行う。上述したように、ファイル共有システムコア38からのフック要求に基づいて、TCP2コア37でフックされたコマンドメッセージパケットは、TCP2コア37からファイル共有システムコア38の認証/分析部50に送られる。
The operation of the file
ファイル共有システムコア38の暗号化部51は、認証/分析部50で分析されたファイル共有コマンドメッセージパケットを暗号化し、このファイル共有コマンドメッセージパケットを、TCP2コア37を介してファイル共有サーバ装置B(又はクライアント装置A)に送る。
The
復号化部52は、認証/分析部50で認証されたファイル共有コマンドメッセージを復号化して、TCP2コア37を介して、不図示の既存のファイル共有アプリケーション部33又はファイル共有サーバ装置B(又はクライアント装置A)に送信する。また、鍵交換部53は、クライアント装置Aとファイル共有サーバ装置Bとの間で鍵交換を行う部分である。
The decrypting
次に、図6に基づいてファイル共有システム管理アプリケーション部34の構成と動作について説明する。ファイル共有システム管理アプリケーション部34もクライアント装置Aとファイル共有サーバ装置Bとで構成が変わらないので、単に番号のみを示しクライアントを表す‘A’とサーバを表す‘B’は付加しないで説明する。
Next, the configuration and operation of the file sharing system
ファイル共有システム管理アプリケーション部34は、ファイル共有システムコア38と入力装31、出力装置32とを接続するソフトウエアであり、インターフェース61、ユーザ登録部62、通信相手情報管理部63、暗号文ファイルを平文表示する表示部64及び入出力制御部65から構成されている。
The file sharing system
入出力制御部65からインターフェース61を介してファイル共有システムコア38でユーザ登録を行い、ユーザ登録が完了すると、ファイル共有システムコア38からユーザ登録完了通知が、インターフェース61を介してユーザ登録部62に送られ、ユーザ登録と鍵交換が完了していることを認識する。
また、平文での表示部64は、記憶メディア39に暗号文で保存されているファイルを平文に変えて、出力装置32の表示画面に表示させる機能を有している。
When the user registration is performed by the file
The plain
また、通信相手情報管理部63は、ファイル共有システムコア38からの通信相手情報を受け取り、これを管理する。また、設定部66は、ファイル共有サーバ装置Bから受信したファイルデータのうち、ディレクトリ情報以外のファイル情報も復号化するかしないかの設定を行う。
In addition, the communication partner
<ファイル共有システムの流れ(クライアント側:初回)の説明>
次に、図7、図8に基づいて、クライアント側のファイル共有システムの流れ(初回)を説明する。ここで、「初回」としたのは、2回目以降、この手続は不要となることを意味している。ここで説明するのは、クライアント装置A側のTCP2ドライバ35Aの動作説明が中心となるので、クライアント側を表す‘A’を付けて説明し、後述するファイル共有サーバ側のシステムの説明(‘B’を付加)と区別することとする。
<Description of file sharing system flow (client side: first time)>
Next, the flow (first time) of the file sharing system on the client side will be described with reference to FIGS. Here, “first time” means that this procedure is not necessary after the second time. The description here is centered on the description of the operation of the
最初に、クライアント装置Aのファイル共有システム管理アプリケーション部34Aの設定部66Aにおいて、ファイル共有サーバ装置Bから受信したデータの復号化/非復号化が設定される(ステップS1)。なお、この設定は、TCP2のダウンロードサーバから取得することもできる。また、設定データを保存したFD、CD、USBメモリから取得することも可能である。
First, in the setting unit 66A of the file sharing system
ファイル共有システムコア38Aは、ファイル共有システム管理アプリケーション部34Aから送られる設定情報を基に、鍵元値を作成し、これを記憶メディア39Aに保存する(ステップS2)。そして、ファイル共有システムコア38AからTCP2コア37Aに対して指定通信ポートのサーチ要求がなされる。このサーチ要求を受けて、TCP2コア37Aは、指定通信ポートをサーチする(ステップS3)。
The file
ここで、ファイル共有アプリケーション部33Aは、ファイル共有サーバ装置Bへの接続を行い(ステップS4)、さらにファイル共有サーバ装置Bとの間でSMB/CIFS(Server Message Block/Common Internet File System)プロトコルのネゴシエーションを行う。このネゴシエーションのメッセージにより、TCP2コア37Aはこのメッセージを受信し、ファイル共有のポートであることを認識し、サーチ結果をファイル共有システムコア38Aに通知する(ステップS5)。また、ネゴシエーションのパケットをファイル共有システムコア38Aに送る。
Here, the file
ファイル共有システムコア38Aは、TCP2コア37Aのサーチ結果を受けて、TCP2コア37Aにパケットのインターセプトを要求するとともに、ネゴシエーションのパケットに鍵元値を付加してファイル共有サーバ装置Bに送る(ステップS6)。
The file
TCP2コア37Aはファイル共有システムコア38Aからの要求を受けて、パケットのインターセプトを開始する(ステップS7)。続いて、ファイル共有サーバ装置Bからクライアント装置Aに、ネゴシエーション応答のメッセージが発せられる。TCP2コア37Aは、ネゴシエーション応答のメッセージパケットを確認し、その結果をファイル共有システムコア38Aに送る(ステップS8)。
In response to the request from the file
ファイル共有システムコア38Aは、その認証/分析部50Aでネゴシエーションの応答メッセージを分析し、応答メッセージに付加されている鍵元値とファイル共有システムコアに保存されている鍵元値から、新たな鍵を生成する。この鍵の生成は、ファイル共有システムコア38Aの中の鍵交換部53Aで行われる。この新たに生成された鍵は記憶メディア39Aに保存される。また、ファイル共有サーバ装置BのIPアドレスとポート番号を記憶メディア39Aに保存する(ステップS9)。そして、ファイル共有サーバ装置Bから送られたネゴシエーション応答をファイル共有アプリケーション部33Aに送る。
The file
次に、ファイル共有アプリケーション部33Aから、ファイル共有サーバ装置Bに対して、セッションセットアップ(サーバへのログオン)のメッセージが送信される。この時、TCP2コア37Aは、このセッションセットアップメッセージのパケットを確認し(ステップS10)、ファイル共有アプリケーション部33Aからのセッションセットアップメッセージをファイル共有システムコア38Aに送る。
Next, a message for session setup (logon to the server) is transmitted from the file
ファイル共有システムコア38Aは、このセッションセットアップメッセージを分析し、記憶メディア39A(図5参照)に、ユーザIDとパスワードを一時的に保存(仮保存)しておく(ステップS11)。ここで、一時的に保存とは、パスワードの確認等によって認証ができていない段階、すなわち、認証後の正式な保存の前段階の保存を意味している。そして、セッションセットアップメッセージのパケットを暗号化してファイル共有サーバ装置Bに送る。
The file
次に、このセッションセットアップメッセージを受け取ったファイル共有サーバ装置Bからは、クライアント装置Aに対してセッションセットアップ応答が出される。この時、TCP2コア37Aは、このセッションセットアップ応答のパケットを確認し、これをファイル共有システムコア38Aに送る(ステップS12)。ファイル共有システムコア38Aは、このセッションセットアップ応答メッセージを分析し、暗号文を復号化する(ステップS13)。そして、記憶メディア39Aに保存されたユーザIDとパスワードを正式に保存する。さらに、セッションセットアップ応答をファイル共有アプリケーション部33Aに送る。
Next, the file sharing server apparatus B that has received this session setup message issues a session setup response to the client apparatus A. At this time, the
続いて、ファイル共有アプリケーション部33Aは、ツリーセットアップを開始する。すなわち共有サーバの公開リソースが、例えば図9に示すようであった場合には、SERVER01リソースへの接続が行われる。このツリーセットアップのメッセージがファイル共有サーバ装置Bに送信され、TCP2コア37Aでこれを確認する(ステップS14)。そして、TCP2コア37Aは確認したメッセージをファイル共有システムコア38Aに送る。
Subsequently, the file
ファイル共有システムコア38Aは、ツリーセットアップメッセージを分析し、パケットを暗号化する(ステップS15)。そしてファイル共有システムコア38Aは、暗号化されたツリーセットアップメッセージをファイル共有サーバ装置Bに送る。
The file
これを受けてファイル共有サーバ装置Bは、SERVER01リソースの接続を確立し、ツリーセットアップ応答をクライアント装置Aに送る。この時、TCP2コア37Aは、この応答のパケットを確認し、これをファイル共有システムコア38Aに送る(ステップS16)。ファイル共有システムコア38Aは、ツリーセットアップ応答のメッセージを分析し、パケットを復号化する(ステップS17)。そして、ファイル共有アプリケーション部33Aに複号化したパケットを送る。
In response to this, the file sharing server apparatus B establishes connection of the SERVER01 resource and sends a tree setup response to the client apparatus A. At this time, the
続いて、ファイル共有アプリケーション部33Aは、セッションセットアップ応答に対してツリーセットアップを継続する。すなわち共有サーバの公開リソースが、上述の図9に示すようであった場合には、今回はSERVER01の次のshare1リソースへの接続が行われる。このツリーセットアップのメッセージがファイル共有サーバ装置Bに送信され、TCP2コア37Aでこれを確認する(ステップS18)。そして、TCP2コア37Aは確認したメッセージをファイル共有システムコア38Aに送る。
Subsequently, the file
ファイル共有システムコア38Aは、ツリーセットアップメッセージを分析し、パケットを暗号化する(ステップS19)。そしてファイル共有システムコア38Aは、暗号化されたツリーセットアップメッセージをファイル共有サーバ装置Bに送る。
The file
これを受けてファイル共有サーバ装置Bは、Share1リソースの接続を確立し、ツリーセットアップ応答をクライアント装置Aに送る。この時、TCP2コア37Aは、この応答のパケットを確認し、これをファイル共有システムコア38Aに送る(ステップS20)。ファイル共有システムコア38Aは、ツリーセットアップ応答のメッセージを分析し、パケットを復号化する(ステップS21)。そして、ファイル共有アプリケーション部33Aに複号化したパケットを送る。
In response to this, the file sharing server apparatus B establishes a connection for the Share1 resource and sends a tree setup response to the client apparatus A. At this time, the
ここまでの処理によってツリーセットアップが行われる。なお、ツリーの階層が3以上の場合には、ステップS14〜17、あるいはステップS18〜21に示される処理を繰り返すことにより、必要な数の階層のツリーセットアップが行われる。そして、以上のツリーセットアップの処理の後、クライアント側のファイル共有システムの流れ(初回)は図8に続く。 The tree setup is performed by the processing so far. When the number of tree hierarchies is three or more, the tree setup of a necessary number of hierarchies is performed by repeating the processes shown in steps S14 to S17 or steps S18 to S21. Then, after the above tree setup process, the flow (first time) of the file sharing system on the client side continues in FIG.
次に、ファイル共有アプリケーション部33Aは、共有ファイルサーバ装置Bに対して、ファイル作成要求のコマンドを送る。この時、TCP2コア37Aでこのコマンドを受け、TCP2コア37Aは、ファイル作成要求メッセージのパケットを確認し、これをファイル共有システムコア38Aに送る(ステップS22)。ファイル共有システムコア38Aは、ファイル作成要求メッセージを分析し、暗号化する。そして、この暗号化されたファイル作成要求メッセージをファイル共有サーバ装置Bに送る(ステップS23)。
Next, the file
これを受けてファイル共有サーバ装置Bは、ファイル作成応答を発生する。TCP2コア37Aはこのファイル作成応答メッセージのパケットを確認し、これをファイル共有システムコア38Aに送る(ステップS24)。ファイル共有システムコア38Aは、認証/分析部50でファイル作成応答メッセージを分析し、復号化部52で暗号化されたメッセージの復号化処理を行う(ステップS25)。そして、この応答メッセージをファイル共有アプリケーション部33Aに送る。
In response to this, the file sharing server apparatus B generates a file creation response. The
次に、ファイル共有アプリケーション部33Aはファイルデータの書き込みを行う。この時、TCP2コア37Aは、このファイルデータの中の書き込みメッセージのパケットの確認を行い、ファイル共有システムコア38Aに送る(ステップS26)。ファイル共有システムコア38Aは、その認証/分析部50Aでファイルデータの書き込みメッセージを分析し、パケット(ファイルデータ)の暗号化処理を行う(ステップS27)。そして、このパケット(ファイルデータ)をファイル共有サーバ装置Bに送る。
Next, the file
これを受けてファイル共有サーバ装置Bは、ファイルデータの書き込み応答を送信する。TCP2コア37Aは、応答コードメッセージ確認部45Aで、このファイルデータの書き込み応答メッセージのパケットを確認し、これをファイル共有システムコア38Aに送る(ステップS28)。ファイル共有システムコア38Aは、その認証/分析部50Aで書き込み応答メッセージを分析し、暗号パケットを復号化し、ファイル共有アプリケーション部33Aに送る(ステップS29)。
In response to this, the file sharing server apparatus B transmits a file data write response. In the response code message confirmation unit 45A, the
以上によってファイルデータの書き込みが完了される。そこで最後に、ファイル共有アプリケーション部33Aからファイル共有サーバ装置Bに向けて終了の処理が行われる。この終了の処理では、まず、ファイル共有アプリケーション部33Aからツリー切断のコマンドが送られ、TCP2コア37Aはこのコマンドをそのファイル共有コマンドメッセージ確認部44Aで確認し、これをファイル共有システムコア38Aに送る(ステップS30)。
Thus, the writing of the file data is completed. Therefore, finally, a termination process is performed from the file
ファイル共有システムコア38Aは、その認証/分析部50Aで、このツリー切断メッセージを分析し、メッセージを暗号化してネットワーク40に接続されているファイル共有サーバBに送る(ステップS30)。これに対し、ファイル共有サーバ装置Bからツリー切断応答がTCP2コア37Aに送られる。TCP2コア37Aは、このツリー切断応答のパケットを確認し(ステップS32)、この結果をファイル共有システムコア38Aに送る。
The file
ファイル共有システムコア38Aは、TCP2コア37Aからのツリー切断応答メッセージを分析して復号化し、ファイル共有アプリケーション部33Aに送る(ステップS33)。これに対し、クライアント装置Aはセッション切断応答をTCP2コア37Aに送る。TCP2コア37Aは、このセッション切断応答のパケットを確認し(ステップS34)、この結果をファイル共有システムコア38Aに送る。
The file
ファイル共有システムコア38Aは、TCP2コア37Aからのセッション切断応答メッセージを分析して暗号化し、ファイル共有サーバBに送る(ステップS35)。そして、ファイル共有サーバ装置Bからセッション切断応答がTCP2コア37Aに送られる。TCP2コア37Aは、このセッション切断応答のパケットを確認し(ステップS36)、この結果をファイル共有システムコア38Aに送る。
The file
ファイル共有システムコア38Aは、TCP2コア37Aからのセッション切断応答メッセージを分析して復号化し、ファイル共有アプリケーション部33Aに送る(ステップS37)。この段階で、クライアント装置Aとファイル共有サーバ装置B間のTCP通信の制御セッションが切断される。
以上が、ファイル共有システムのクライアント側の流れ(初回のみ)の説明である。
The file
The above is the description of the flow (first time only) on the client side of the file sharing system.
<ファイル共有システムの流れ(サーバ側:初回)の説明>
次に、図10、図11に基づいて、サーバ側のファイル共有システムの流れ(初回)について説明する。ここでの説明は、略図7、図8で説明したクライアント側の説明と同じであるが、ここで説明するのは、ファイル共有サーバ装置B側のTCP2ドライバ35Bの動作説明が中心となるので、サーバ側を表す‘B’を付けて説明する。また、図7、図8後の対応関係を解り易くするため、ステップのS番号をS41〜S77として、図7、図8のステップS1〜S37に40を加算したものが対応するようにした。
<Description of file sharing system flow (server side: first time)>
Next, the flow (first time) of the file sharing system on the server side will be described based on FIG. 10 and FIG. The explanation here is the same as the explanation on the client side explained in FIG. 7 and FIG. 8, but the explanation here is mainly about the operation of the TCP2 driver 35B on the file sharing server apparatus B side. A description will be given with 'B' representing the server side. Further, in order to make it easy to understand the correspondence relationship after FIG. 7 and FIG.
そこで最初に、ファイル共有サーバ装置Bのファイル共有システム管理アプリケーション部34Bの設定部66Bにおいて、データの復号化/非復号化が設定される(ステップS41)。なお、この設定は、TCP2のダウンロードサーバから取得することもできる。また、設定データを保存したFD、CD、USBメモリから取得することも可能である。
Therefore, first, the data decryption / non-decryption is set in the setting unit 66B of the file sharing system
ファイル共有システムコア38Bは、ファイル共有システム管理アプリケーション部34Bから送られる設定情報を基に、鍵元値を作成し、これを記憶メディア39Bに保存する(ステップS42)。そして、ファイル共有システムコア38BからTCP2コア37Bに対して指定通信ポートのサーチ要求がなされる。このサーチ要求を受けて、TCP2コア37Bは、指定通信ポートをサーチする(ステップS43)。
The file
ここでネットワーク上のクライアント装置Aとファイル共有サーバ装置Bの間で、SMB/CIFS(Server Message Block/Common Internet File System)プロトコルのネゴシエーションが行われる(ステップS44)。このネゴシエーションのメッセージにより、TCP2コア37Bはファイル共有のポートであることを認識し、サーチ結果をファイル共有システムコア38Bに通知する(ステップS45)。また、ネゴシエーションのパケットをファイル共有システムコア38Bに送る。
Here, the SMB / CIFS (Server Message Block / Common Internet File System) protocol is negotiated between the client apparatus A and the file sharing server apparatus B on the network (step S44). Based on this negotiation message, the
ファイル共有システムコア38Bは、TCP2コア37Bのサーチ結果を受けて、TCP2コア37Bにパケットのインターセプトを要求するとともに、メッセージに付加されている鍵元値とファイル共有システムコアに保存されている鍵元値から、新たな鍵を生成する。この鍵の生成は、ファイル共有システムコア38Bの中の鍵交換部53Bで行われる。この新たに生成された鍵は記憶メディア39Bに保存される。また、クライアント装置AのIPアドレスを記憶メディア39Bに保存する(ステップS46)。そして、ファイル共有アプリケーション部33Bにパケットを送る。
The file
TCP2コア37Bはファイル共有システムコア38Bからの要求を受けて、パケットのインターセプトを開始する(ステップS47)。続いて、ファイル共有アプリケーション部33Bからネゴシエーション応答のメッセージが発せられる。TCP2コア37Bは、ネゴシエーション応答のメッセージパケットを確認し、その結果をファイル共有システムコア38Bに送る(ステップS48)。
In response to the request from the file
ファイル共有システムコア38Bは、その認証/分析部50Bでネゴシエーションの応答メッセージを分析し、パケットに記憶メディア39Bに保存された鍵元値を付加する(ステップS49)。そして、ネゴシエーション応答をクライアント装置Aに送る。
The file
次に、クライアント装置Aからのセッションセットアップ(サーバへのログオン)のメッセージが、TCP2コア37Bで受信される。TCP2コア37Bは、このセッションセットアップメッセージのパケットを確認し(ステップS50)、ファイル共有アプリケーション部33Bからのセッションセットアップメッセージをファイル共有システムコア38Bに送る。
Next, a session setup (logon to the server) message from the client apparatus A is received by the
ファイル共有システムコア38Bは、このセッションセットアップメッセージを分析し、記憶メディア39B(図5参照)に、ユーザIDとパスワードを一時的に保存(仮保存)しておく(ステップS51)。ここで、一時的に保存とは、パスワードの確認等によって認証ができていない段階、すなわち、認証後の正式な保存の前段階の保存を意味している。そして、セッションセットアップメッセージのパケットを復号化してファイル共有アプリケーション部33Bに送る。
The file
これを受けてファイル共有アプリケーション部33Bからは、セッションセットアップ応答が出される。TCP2コア37Bは、このセッションセットアップ応答のパケットを確認し、これをファイル共有システムコア38Bに送る(ステップS52)。ファイル共有システムコア38Bは、このネゴシエーションの応答メッセージを分析し、暗号化する(ステップS53)。そして、記憶メディア39Bに保存されたユーザIDとパスワードを正式に保存する。さらに、セッションセットアップ応答をクライアント装置Aに送る。
In response to this, the file
次に、クライアント装置Aは、セッションセットアップ応答に対してツリーセットアップを開始する。すなわち共有サーバの公開リソースが、例えば図9に示すようであった場合には、SERVER01リソースへの接続が行われる。このツリーセットアップのメッセージが送信され、TCP2コア37Bでこれを確認する(ステップS54)。そして、TCP2コア37Bは確認したメッセージをファイル共有システムコア38Bに送る。
Next, the client apparatus A starts tree setup in response to the session setup response. That is, when the shared resource of the shared server is as shown in FIG. 9, for example, connection to the SERVER01 resource is performed. This tree setup message is transmitted and confirmed by the
ファイル共有システムコア38Bは、ツリーセットアップメッセージを分析し、暗号パケットを復号化する(ステップS55)。そして復号化されたツリーセットアップメッセージをファイル共有アプリケーション部33Bに送る。
The file
これを受けてファイル共有アプリケーション部33Bは、SERVER01リソースへの接続を確立し、ツリーセットアップ応答をクライアント装置Aに送る。この時、TCP2コア37Bは、この応答のパケットを確認し、これをファイル共有システムコア38Bに送る(ステップS56)。ファイル共有システムコア38Bは、ツリーセットアップ応答のメッセージを分析し、パケットを暗号化する(ステップS57)。そして、クライアント装置Aにツリーセットアップ応答のパケットを送る。
In response, the file
続いて、クライアント装置Aは、セッションセットアップ応答に対してツリーセットアップを継続する。すなわち共有サーバの公開リソースが、上述の図9に示すようであった場合には、今回はSERVER01の次のshare1リソースへの接続が行われる。このツリーセットアップのメッセージが送信され、TCP2コア37Bでこれを確認する(ステップS58)。そして、TCP2コア37Bは確認したメッセージをファイル共有システムコア38Bに送る。
Subsequently, the client apparatus A continues the tree setup in response to the session setup response. That is, when the shared resource of the shared server is as shown in FIG. 9 described above, this time, connection to the next share1 resource of SERVER01 is performed. This tree setup message is transmitted and confirmed by the
ファイル共有システムコア38Bは、ツリーセットアップメッセージを分析し、パケットを復号化する(ステップS59)。そしてファイル共有システムコア38Bは、復号化されたツリーセットアップメッセージをファイル共有アプリケーション部33Bに送る。
The file
これを受けてファイル共有アプリケーション部33Bは、share1リソースへの接続を確立し、ツリーセットアップ応答をクライアント装置Aに送る。この時、TCP2コア37Bは、この応答のパケットを確認し、これをファイル共有システムコア38Bに送る(ステップS60)。ファイル共有システムコア38Bは、ツリーセットアップ応答のメッセージを分析し、パケットを暗号化する(ステップS61)。そして、クライアント装置Aにツリーセットアップ応答のパケットを送る。
In response, the file
ここまでの処理によってツリーセットアップが行われる。なお、ツリーの階層が3以上の場合には、ステップS54〜57、あるいはステップS58〜61に示される処理を繰り返すことにより、必要な数の階層のツリーセットアップが行われる。そして、以上のツリーセットアップの処理の後、ファイル共有サーバ側のファイル共有システムの流れ(初回)は図11に続く。 The tree setup is performed by the processing so far. When the number of tree hierarchies is three or more, the tree setup of a necessary number of hierarchies is performed by repeating the processes shown in steps S54 to 57 or steps S58 to 61. Then, after the above tree setup process, the flow (first time) of the file sharing system on the file sharing server side continues in FIG.
次に、クライアント装置Aは、共有サーバ装置Bに対して、ファイル作成要求のコマンドを送る。この時、TCP2コア37Bはこのコマンドを受信し、ファイル作成要求メッセージのパケットを確認し、これをファイル共有システムコア38Bに送る(ステップS62)。ファイル共有システムコア38Bは、ファイル作成要求メッセージを分析し、復号化する。そして、この復号化されたファイル作成要求メッセージをファイル共有アプリケーション部33Bに送る(ステップS63)。
Next, the client apparatus A sends a file creation request command to the shared server apparatus B. At this time, the
これを受けてファイル共有アプリケーション部33Bは、ファイル作成応答を発生する。TCP2コア37Bはこのファイル作成応答メッセージのパケットを確認し、これをファイル共有システムコア38Bに送る(ステップS64)。ファイル共有システムコア38Bは、認証/分析部50でファイル作成応答メッセージを分析し、メッセージの暗号化処理を行う(ステップS65)。そして、この応答メッセージをクライアント装置Aに送る。
In response, the file
次に、クライアント装置Aはファイルデータの書き込みを行う。TCP2コア37Bは、このファイルデータの中の書き込みメッセージのパケットの確認を行い、ファイル共有システムコア38Bに送る(ステップS66)。ファイル共有システムコア38Bは、その認証/分析部50Bでファイルデータの書き込みメッセージを分析し、設定にしたがってパケット(ファイルデータ)の復号化する/しないの処理を行う(ステップS67)。そして、このパケット(ファイルデータ)をファイル共有アプリケーション部33Bに送る。
Next, the client apparatus A writes file data. The
これを受けてファイル共有アプリケーション部33Bは、ファイルデータの書き込み応答を送信する。TCP2コア37Bは、応答コードメッセージ確認部45Bで、このファイルデータの書き込み応答メッセージのパケットを確認し、これをファイル共有システムコア38Bに送る(ステップS68)。ファイル共有システムコア38Bは、その認証/分析部50Bで書き込み応答メッセージを分析し、パケットを暗号化してクライアント装置Aに送る(ステップS69)。
In response to this, the file
以上によってファイルデータの書き込みが完了される。そこで最後に、クライアント装置Aからファイル共有アプリケーション部33Bに向けて終了の処理が行われる。この終了の処理では、まず、クライアント装置Aからツリー切断のコマンドが送られ、TCP2コア37Bはこのコマンドをそのファイル共有コマンドメッセージ確認部44Bで確認し、これをファイル共有システムコア38Bに送る(ステップS70)。
Thus, the writing of the file data is completed. Therefore, finally, a termination process is performed from the client apparatus A toward the file
ファイル共有システムコア38Bは、その認証/分析部50Bで、このツリー切断メッセージを分析し、メッセージを復号化してファイル共有アプリケーション部33Bに送る(ステップS71)。これに対し、ファイル共有アプリケーション部33Bからツリー切断応答がTCP2コア37Bに送られる。TCP2コア37Bは、このツリー切断応答のパケットを確認し(ステップS72)、この結果をファイル共有システムコア38Bに送る。
The file
ファイル共有システムコア38Bは、TCP2コア37Bからのツリー切断応答メッセージを分析して暗号化し、クライアント装置Aに送る(ステップS73)。これに対し、クライアント装置Aはセッション切断応答をTCP2コア37Bに送る。TCP2コア37Bは、このセッション切断応答のパケットを確認し(ステップS74)、この結果をファイル共有システムコア38Bに送る。
The file
ファイル共有システムコア38Bは、TCP2コア37Bからのセッション切断応答メッセージを分析して復号化し、ファイル共有アプリケーション部33Bに送る(ステップS75)。そして、ファイル共有アプリケーション部33Bからセッション切断応答がTCP2コア37Bに送られる。TCP2コア37Bは、このセッション切断応答のパケットを確認し(ステップS76)、この結果をファイル共有システムコア38Bに送る。
The file
ファイル共有システムコア38Bは、TCP2コア37Bからのセッション切断応答メッセージを分析して暗号化し、クライアント装置Aに送る(ステップS77)。この段階で、クライアント装置Aとファイル共有サーバ装置B間のTCP通信の制御セッションが切断される。
以上が、ファイル共有システムのサーバ側の流れ(初回のみ)の説明である。
The file
The above is the description of the flow (first time only) on the server side of the file sharing system.
以上、ファイル共有システムのクライアント側(図7、図8)とサーバ側(図10、図11)の初回の流れを説明した。次に、2回目以降の流れを説明する。なお、2回目以降の流れについては、ほとんどの部分は図7、図8、図10、図11の流れと同様であるので、以下の説明では異動のある部分のみを説明する。 The first flow on the client side (FIGS. 7 and 8) and the server side (FIGS. 10 and 11) of the file sharing system has been described above. Next, the flow after the second time will be described. Since most of the flow after the second time is the same as the flow of FIGS. 7, 8, 10, and 11, only the changed portion will be described in the following description.
<ファイル共有システムの流れ(クライアント側:2回目以降)の説明>
まず、図12、図13に基づいて、クライアント側のファイル共有システムの流れ(2回目以降)について説明する。初回のときと同様に、クライアント装置A側のTCP2ドライバ35、TCP2コア37、ファイル共有システムコア38等には、クライアント側を表す‘A’を付けて説明し、後述するファイル共有サーバ側のシステムには‘B’を付加して説明する。
<Description of file sharing system flow (client side: second and later)>
First, the flow (second and subsequent times) of the file sharing system on the client side will be described with reference to FIGS. Similarly to the first time, the
ここで、2回目以降はステップS1、S2は不要であり、まず、クライアント装置Aのファイル共有システムコア38AからTCP2コア37Aに対してファイル共有のフック要求が出される。TCP2コア37Aは、このフック要求を受けて、登録してある全ユーザのファイル共有サーバのIPアドレスとポート番号を捕捉(フック)する(ステップS3′)。
Here, steps S1 and S2 are unnecessary after the second time, and first, a file sharing hook request is issued from the file
そこで、ファイル共有アプリケーション部33Aは、ファイル共有サーバ装置Bへの接続を行い(ステップS4)、さらにファイル共有サーバ装置Bとの間でSMB/CIFS(Server Message Block/Common Internet File System)プロトコルのネゴシエーションを行う。このネゴシエーションのメッセージにより、TCP2コア37Aはファイル共有のメッセージであることを認識してパケットをフックし、ファイル共有システムコア38Aに通知する(ステップS5′)。また、ネゴシエーションのパケットをファイル共有システムコア38Aに送る。
Therefore, the file
ファイル共有システムコア38Aは、TCP2コア37Aの通知を受けて、TCP2コア37Aにパケットのインターセプトを要求するとともに、パケットを暗号化してファイル共有サーバ装置Bに送る(ステップS6′)。
Upon receiving the notification from the
TCP2コア37Aはファイル共有システムコア38Aからの要求を受けて、パケットのインターセプトを開始する(ステップS7)。続いて、ファイル共有サーバ装置Bからクライアント装置Aに、ネゴシエーション応答のメッセージが発せられる。TCP2コア37Aは、ネゴシエーション応答のメッセージパケットを確認し、その結果をファイル共有システムコア38Aに送る(ステップS8)。
In response to the request from the file
ファイル共有システムコア38Aは、その認証/分析部50Aでネゴシエーションの応答メッセージを分析し、暗号パケットを復号化する(ステップS9′)。そして、ファイル共有サーバ装置Bから送られたネゴシエーション応答をファイル共有アプリケーション部33Aに送る。次に、ファイル共有アプリケーション部33Aから、ファイル共有サーバ装置Bに対して、セッションセットアップ(サーバへのログオン)のメッセージが送信される。
The file
この時、TCP2コア37Aは、このセッションセットアップメッセージのパケットを確認し(ステップS10)、ファイル共有アプリケーション部33Aからのセッションセットアップメッセージをファイル共有システムコア38Aに送る。ファイル共有システムコア38Aは、このセッションセットアップメッセージを分析し、セッションセットアップメッセージのパケットを暗号化してファイル共有サーバ装置Bに送る(ステップS11′)。
At this time, the
これを受けてファイル共有サーバ装置Bからは、セッションセットアップ応答が出される。TCP2コア37Aは、このセッションセットアップ応答のパケットを確認し、これをファイル共有システムコア38Aに送る(ステップS12)。ファイル共有システムコア38Aは、このネゴシエーションの応答メッセージを分析し、暗号パケットを復号化する(ステップS13′)。そして、セッションセットアップ応答をファイル共有アプリケーション部33Aに送る。
In response to this, the file sharing server apparatus B issues a session setup response. The
ファイル共有アプリケーション部33Aは、セッションセットアップ応答に対してツリーセットアップを開始する。以下、ステップS14〜S37の処理は図7、図8と同じである。これによって、ツリーセットアップ(ステップS14〜S21)と、ファイル作成要求(ステップS22〜S25)が行われ、ファイルデータが書き込まれる(ステップS26〜S29)。さらにツリー切断(ステップS30〜S33)、セッション切断(ステップS34〜S37)が行われ、処理は終了される。
以上が、ファイル共有システムのクライアント側の流れ(2回目以降)の説明である。
The file
The above is the description of the flow (second and subsequent times) on the client side of the file sharing system.
<ファイル共有システムのサーバ側の流れ(2回目以降)の説明>
次に、ファイル共有システムのサーバ側の流れ(2回目以降)について、図14、図15に基づいて説明する。ここでの説明は、図12、図13で説明したクライアント側の説明(2回目以降)とほぼ同じであるが、その説明の中心は、ファイル共有サーバ装置B側のTCP2ドライバ35Bの動作説明となるので、ファイル共有サーバ側を表す‘B’を付けて説明する。
<Description of server-side flow of file sharing system (second and later)>
Next, the flow on the server side of the file sharing system (from the second time on) will be described with reference to FIGS. The explanation here is almost the same as the explanation on the client side (second and subsequent times) explained in FIG. 12 and FIG. 13, but the explanation centers on the explanation of the operation of the TCP2 driver 35B on the file sharing server apparatus B side. Therefore, a description will be given with 'B' representing the file sharing server side.
ここで、2回目以降はステップS41、S42は不要であり、まず、ファイル共有サーバ装置Bのファイル共有システムコア38BからTCP2コア37Bに対してファイル共有のフック要求が出される。TCP2コア37Bは、このフック要求を受けて、登録してある全ユーザのクライアントのIPアドレスを捕捉(フック)する(ステップS43′)。
Here, steps S41 and S42 are unnecessary after the second time. First, a file sharing hook request is issued from the file
そこでクライアント装置Aは、ファイル共有サーバ装置Bへの接続を行い(ステップS44)、ファイル共有サーバ装置Bとの間でSMB/CIFS(Server Message Block/Common Internet File System)プロトコルのネゴシエーションを行う。このネゴシエーションのメッセージにより、TCP2コア37Bはファイル共有のメッセージであることを認識してパケットをフックし、ファイル共有システムコア38Bに通知する(ステップS45′)。また、ネゴシエーションのパケットをファイル共有システムコア38Bに送る。
Therefore, the client apparatus A connects to the file sharing server apparatus B (step S44), and negotiates the SMB / CIFS (Server Message Block / Common Internet File System) protocol with the file sharing server apparatus B. By this negotiation message, the
ファイル共有システムコア38Bは、TCP2コア37Bの通知を受けて、TCP2コア37Bにパケットのインターセプトを要求する(ステップS46′)。
Upon receiving the notification from the
TCP2コア37Bはファイル共有システムコア38Bからの要求を受けて、パケットのインターセプトを開始する(ステップS47)。続いて、ファイル共有アプリケーション部33Bからネゴシエーション応答のメッセージが発せられる。TCP2コア37Bは、ネゴシエーション応答のメッセージパケットを確認し、その結果をファイル共有システムコア38Bに送る(ステップS48)。
In response to the request from the file
ファイル共有システムコア38Bは、その認証/分析部50Bでネゴシエーションの応答メッセージを分析し、パケットを暗号化する(ステップS49′)。そして、ファイル共有アプリケーション部33Bから送られたネゴシエーション応答をクライアント装置Aに送る。次に、クライアント装置Aから、ファイル共有サーバ装置Bに対して、セッションセットアップ(サーバへのログオン)のメッセージが送信される。
The file
この時、TCP2コア37Bは、このセッションセットアップメッセージのパケットを確認し(ステップS50)、クライアント装置Aからのセッションセットアップメッセージをファイル共有システムコア38Bに送る。ファイル共有システムコア38Bは、このセッションセットアップメッセージを分析し、セッションセットアップメッセージのパケットを復号化してファイル共有アプリケーション部33Bに送る(ステップS51′)。
At this time, the
これを受けてファイル共有アプリケーション部33Bからは、セッションセットアップ応答が出される。TCP2コア37Bは、このセッションセットアップ応答のパケットを確認し、これをファイル共有システムコア38Bに送る(ステップS52)。ファイル共有システムコア38Bは、このネゴシエーションの応答メッセージを分析し、パケットを暗号化する(ステップS53′)。そして、セッションセットアップ応答をクライアント装置Aに送る。
In response to this, the file
クライアント装置Aは、セッションセットアップ応答に対してツリーセットアップを開始する。以下、ステップS14〜S37の処理は図10、図11と同じである。これによって、ツリーセットアップ(ステップS54〜S61)と、ファイル作成要求(ステップS62〜S65)が行われ、ファイルデータが書き込まれる(ステップS66〜S69)。さらにツリー切断(ステップS70〜S73)、セッション切断(ステップS74〜S77)が行われ、処理は終了される。
以上が、ファイル共有システムのサーバ側の流れ(2回目以降)の説明である。
The client apparatus A starts tree setup in response to the session setup response. Hereinafter, the processes of steps S14 to S37 are the same as those in FIGS. Thereby, a tree setup (steps S54 to S61) and a file creation request (steps S62 to S65) are performed, and file data is written (steps S66 to S69). Further, tree cutting (steps S70 to S73) and session cutting (steps S74 to S77) are performed, and the process ends.
The above is the description of the flow (second and subsequent times) on the server side of the file sharing system.
<ファイル共有システムの応用例の説明>
最後に、ファイル共有システムの応用例として印刷を行う場合のファイル共有システムの流れについて説明する。すなわち、本発明を応用して印刷を行うための実施形態は、例えば図3に示されるブロック図において、サーバ装置Bの出力装置32Bとして印刷手段(プリンタ)が設けられているものである。
<Description of application examples of file sharing system>
Finally, a flow of the file sharing system when printing is described as an application example of the file sharing system. That is, in the embodiment for printing by applying the present invention, for example, in the block diagram shown in FIG. 3, a printing means (printer) is provided as the
まず、図16に基づいて、クライアント側のファイル共有システムの流れ(印刷の場合)について説明する。なお、これまでの説明と同様に、クライアント装置A側のTCP2ドライバ35、TCP2コア37、ファイル共有システムコア38等には、クライアント側を表す‘A’を付けて説明し、後述するファイル共有サーバ側のシステムには‘B’を付加して説明する。また、ツリーセットアップ(ステップS21)までの処理は図7、図12と同じであるので、重複の説明は省略する。従って、以下の処理は、初回と2回目以降に共通するものである。
First, the flow (in the case of printing) of the file sharing system on the client side will be described with reference to FIG. Similarly to the description so far, the
図16において、ファイル共有アプリケーション部33Aは、ファイル共有サーバ装置Bに対して、プリントスプールオープン要求のコマンドを送る。この時、TCP2コア37Aは、プリントスプールオープン要求メッセージのパケットを確認し、これをファイル共有システムコア38Aに送る(ステップS82)。ファイル共有システムコア38Aは、プリントスプールオープン要求メッセージを分析し、暗号化する。そして、この暗号化されたプリントスプールオープン要求メッセージをファイル共有サーバ装置Bに送る(ステップS83)。
In FIG. 16, the file
これを受けてファイル共有サーバ装置Bは、プリントスプールオープン応答を発生する。TCP2コア37Aはこのプリントスプールオープン応答メッセージのパケットを確認し、これをファイル共有システムコア38Aに送る(ステップS84)。ファイル共有システムコア38Aは、認証/分析部50でプリントスプールオープン応答メッセージを分析し、復号化部52で暗号化されたメッセージの復号化処理を行う(ステップS85)。そして、この応答メッセージをファイル共有アプリケーション部33Aに送る。
In response to this, the file sharing server apparatus B generates a print spool open response. The
次に、ファイル共有アプリケーション部33Aはプリントデータの書き込みを行う。TCP2コア37Aは、このプリントデータの中の書き込みメッセージのパケットの確認を行い、ファイル共有システムコア38Aに送る(ステップS86)。ファイル共有システムコア38Aは、その認証/分析部50Aでプリントデータの書き込みメッセージを分析し、パケット(プリントデータ)の暗号化処理を行う(ステップS87)。そして、このパケット(プリントデータ)をファイル共有サーバ装置Bに送る。
Next, the file
これを受けてファイル共有サーバ装置Bは、プリントデータの書き込み応答を送信する。TCP2コア37Aは、応答コードメッセージ確認部45Aで、このプリントデータの書き込み応答メッセージのパケットを確認し、これをファイル共有システムコア38Aに送る(ステップS88)。ファイル共有システムコア38Aは、その認証/分析部50Aで書き込み応答メッセージを分析し、暗号パケットを復号化し、ファイル共有アプリケーション部33Aに送る(ステップS89)。
In response to this, the file sharing server apparatus B transmits a print data write response. The
以上によってプリントデータの書き込みが完了される。さらに、以降のツリー切断(ステップS30〜S33)、セッション切断(ステップS34〜S37)の処理は図8、図13と同じになるので重複する説明は省略する。
以上が、ファイル共有システムのクライアント側の流れ(印刷の場合)の説明である。
Thus, the print data writing is completed. Furthermore, the subsequent tree cutting (steps S30 to S33) and session cutting (steps S34 to S37) processing is the same as in FIG. 8 and FIG.
The above is the description of the flow (in the case of printing) on the client side of the file sharing system.
続いて、図17に基づいて、サーバ側のファイル共有システムの流れ(印刷の場合)について説明する。ここでの説明は、ファイル共有サーバ装置B側のTCP2ドライバ35Bの動作説明が中心となるので、サーバ側を表す‘B’を付けて説明する。また、ツリーセットアップ(ステップS61)までの処理は図10、図14と同じであるので、重複の説明は省略する。従って、以下の処理は、初回と2回目以降に共通するものである。 Next, the flow of the file sharing system on the server side (in the case of printing) will be described based on FIG. Since the description here is centered on the operation of the TCP2 driver 35B on the file sharing server apparatus B side, it will be described with “B” representing the server side. The processing up to the tree setup (step S61) is the same as that in FIGS. Accordingly, the following processing is common to the first time and the second time and thereafter.
図17において、クライアント装置Aは、ファイル共有サーバ装置Bに対して、プリントスプールオープン要求のコマンドを送る。この時、TCP2コア37Bは、プリントスプールオープン要求メッセージのパケットを確認し、これをファイル共有システムコア38Bに送る(ステップS92)。ファイル共有システムコア38Bは、プリントスプールオープン要求メッセージを分析し、復号化する。そして、この復号化されたプリントスプールオープン要求メッセージをファイル共有アプリケーション部33Bに送る(ステップS93)。
In FIG. 17, the client apparatus A sends a print spool open request command to the file sharing server apparatus B. At this time, the
これを受けてファイル共有アプリケーション部33Bは、プリントスプールオープン応答を発生する。TCP2コア37Bはこのプリントスプールオープン応答メッセージのパケットを確認し、これをファイル共有システムコア38Bに送る(ステップS94)。ファイル共有システムコア38Bは、認証/分析部50でプリントスプールオープン応答メッセージを分析し、メッセージの暗号化処理を行う(ステップS95)。そして、この応答メッセージをクライアント装置Aに送る。
In response, the file
次に、クライアント装置Aはプリントデータの書き込みを行う。TCP2コア37Bは、このプリントデータの中の書き込みメッセージのパケットの確認を行い、ファイル共有システムコア38Bに送る(ステップS96)。ファイル共有システムコア38Bは、その認証/分析部50Bでプリントデータの書き込みメッセージを分析し、複号化処理を行う(ステップS97)。そして、このパケット(プリントデータ)をファイル共有アプリケーション部33Bに送る。
Next, the client apparatus A writes print data. The
これを受けてファイル共有アプリケーション部33Bは、プリントデータの書き込み応答を送信する。TCP2コア37Bは、応答コードメッセージ確認部45Bで、このプリントデータの書き込み応答メッセージのパケットを確認し、これをファイル共有システムコア38Bに送る(ステップS98)。ファイル共有システムコア38Bは、その認証/分析部50Bで書き込み応答メッセージを分析し、パケットを暗号化してクライアント装置Aに送る(ステップS99)。
In response to this, the file
以上によってプリントデータの書き込みが完了される。さらに、以降のツリー切断(ステップS70〜S73)、セッション切断(ステップS74〜S77)の処理は図11、図15と同じになるので重複する説明は省略する。そして、この印刷の場合においては、セッション切断の処理の終了後に、ファイル共有アプリケーション部33Bは、プリントデータを印刷手段(プリンタ)に送って印刷を行う(ステップS100)。
以上が、ファイル共有システムのサーバ側の流れ(印刷の場合)の説明である。
Thus, the print data writing is completed. Further, the subsequent tree cutting (steps S70 to S73) and session cutting (steps S74 to S77) are the same as those in FIG. 11 and FIG. In the case of this printing, after the session disconnection process is completed, the file
This completes the description of the flow (in the case of printing) on the server side of the file sharing system.
以上説明したように、本発明のファイル共有サーバ装置、クライアント装置、印刷装置では、高いセキュリティ機能を持つTCP2を用いてファイル転送を行うので、既存の暗号化処理によるファイル共有通信と比べても、特にデータの漏洩、改ざん、なりすまし、進入そして攻撃に対して極めて強力な防御機能を発揮する。 As described above, since the file sharing server device, client device, and printing device of the present invention perform file transfer using TCP2 having a high security function, compared with file sharing communication by existing encryption processing, In particular, it provides extremely powerful defenses against data leaks, tampering, impersonation, intrusion and attacks.
本発明は、以上説明した実施の形態に限定されるものではなく、特許請求の範囲に記載した本発明の要旨を逸脱しない範囲において、さらに多くの実施形態を含むものであることは言うまでもない。 It goes without saying that the present invention is not limited to the embodiment described above, and includes more embodiments without departing from the gist of the present invention described in the claims.
31…入力装置、32…出力装置、33…既存のファイル共有アプリケーション部、34…ファイル共有システム管理アプリケーション部、35…TCP2ドライバ、36,39…記憶メディア、37…TCP2コア、38…ファイル共有システムコア、40…ネットワーク、50…認証/分析部、51…暗号化部、52…復号化部、53…鍵交換部、54,61…インターフェース、62…ユーザ登録部、63…通信相手情報管理部、65…入出力制御部、66…設定部
DESCRIPTION OF
Claims (17)
前記クライアント装置でトランスポート層に位置するTCP又はUDPプロトコルに暗号化機能を追加して電子化情報の通信を行う場合に、
少なくとも前記クライアント装置との間で対応する暗号化及び復号化ロジックを取り決める取決め手段と、
前記クライアント装置からの情報単位としてのパケットを前記取決め手段で取り決めた復号化ロジックに従って復号化して受信する通信手段と、
前記復号化された前記情報単位としてのパケットを前記保存する保存手段と、を備え、
前記クライアント装置との間で前記トランスポート層のTCP又はUDPプロトコルを用いて前記暗号化及び復号化ロジックに基づいた通信を行う
ことを特徴とするファイル共有サーバ装置。 A file sharing server device used when storing information generated by a client device via a network,
When performing encryption information communication by adding an encryption function to the TCP or UDP protocol located in the transport layer in the client device,
Means for negotiating corresponding encryption and decryption logic with at least the client device;
A communication means for decoding and receiving a packet as an information unit from the client device according to the decoding logic negotiated by the agreement means;
Storage means for storing the decrypted packet as the information unit,
A file sharing server apparatus that performs communication based on the encryption and decryption logic using the transport layer TCP or UDP protocol with the client apparatus.
前記クライアント装置でトランスポート層に位置するTCP又はUDPプロトコルに暗号化機能を追加して電子化情報の通信を行う場合に、
少なくとも前記クライアント装置との間で対応する暗号化及び復号化ロジックを取り決める取決め手段と、
前記クライアント装置からの情報単位としてのパケットのうち、ファイルデータ部分を前記取決め手段で取り決めた復号化ロジックに従った復号化をしないで暗号文のまま受信する通信手段と、
前記復号化しなかった前記情報単位としてのパケットを暗号文のまま前記保存する保存手段と、を備え、
前記クライアント装置との間で前記トランスポート層のTCP又はUDPプロトコルを用いて前記暗号化及び復号化ロジックに基づいた通信を行う
ことを特徴とするファイル共有サーバ装置。 A file sharing server device used when storing information generated by a client device via a network,
When performing encryption information communication by adding an encryption function to the TCP or UDP protocol located in the transport layer in the client device,
Means for negotiating corresponding encryption and decryption logic with at least the client device;
Communication means for receiving the file data portion as a ciphertext without decryption according to the decryption logic negotiated by the agreement means in the packet as an information unit from the client device;
Storage means for storing the packet as the information unit that has not been decrypted in the form of ciphertext, and
A file sharing server apparatus that performs communication based on the encryption and decryption logic using the transport layer TCP or UDP protocol with the client apparatus.
前記クライアント装置でトランスポート層に位置するTCP又はUDPプロトコルに暗号化機能を追加して電子化情報の通信を行う場合に、
少なくとも前記クライアント装置との間で対応する暗号化及び復号化ロジックを取り決める取決め手段と、
前記クライアント装置からの情報単位としてのパケットのうち、ファイルデータ部分を前記取決め手段で取り決めた復号化ロジックに従った復号化をしないで暗号文のまま受信する通信手段と、
前記復号化しなかった前記情報単位としてのパケットを暗号文のまま前記保存する保存手段と、を備え、
前記取決め手段の認証を受けたアプリケーションが前記復号化しなかった前記情報単位としてのパケットを含むファイルデータを使用する時に、前記取決め手段で取り決めた復号化ロジックに従って復号化して使用する
ことを特徴とするファイル共有サーバ装置。 A file sharing server device used when storing information generated by a client device via a network,
When performing encryption information communication by adding an encryption function to the TCP or UDP protocol located in the transport layer in the client device,
Means for negotiating corresponding encryption and decryption logic with at least the client device;
Communication means for receiving the file data portion as a ciphertext without decryption according to the decryption logic negotiated by the agreement means in the packet as an information unit from the client device;
Storage means for storing the packet as the information unit that has not been decrypted in the form of ciphertext, and
When the application that has been authenticated by the agreement means uses the file data including the packet as the information unit that has not been decrypted, the application is decrypted and used according to the decryption logic decided by the agreement means. File sharing server device.
前記クライアント装置でトランスポート層に位置するTCP又はUDPプロトコルに暗号化機能を追加して電子化情報の通信を行う場合に、
少なくとも前記クライアント装置との間で対応する暗号化及び復号化ロジックを取り決める取決め手段と、
前記クライアント装置からの情報単位としてのパケットを前記取決め手段で取り決めた復号化ロジックに従って復号化して受信する通信手段と、
前記復号化された前記情報単位としてのパケットを前記印刷する印刷手段と、を備え、
前記クライアント装置との間で前記トランスポート層のTCP又はUDPプロトコルを用いて前記暗号化及び復号化ロジックに基づいた通信を行う
ことを特徴とするファイル共有サーバ装置。 A file sharing server device used when printing information generated by a client device via a network,
When performing encryption information communication by adding an encryption function to the TCP or UDP protocol located in the transport layer in the client device,
Means for negotiating corresponding encryption and decryption logic with at least the client device;
A communication means for decoding and receiving a packet as an information unit from the client device according to the decoding logic negotiated by the agreement means;
Printing means for printing the decrypted packet as the information unit,
A file sharing server apparatus that performs communication based on the encryption and decryption logic using the transport layer TCP or UDP protocol with the client apparatus.
該記憶ないし実装した取決め候補となりうる暗号化及び復号化ロジックを定期的に変更するロジック変更手段をさらに備えた
ことを特徴とする請求項1〜4のいずれかに記載のファイル共有サーバ装置。 The encryption and decryption logic that can be an agreement candidate by the encryption and decryption logic agreement means is stored in a memory or a circuit,
The file sharing server apparatus according to any one of claims 1 to 4, further comprising: a logic changing unit that periodically changes encryption and decryption logic that can be stored or implemented arrangement candidates.
ことができるようにした請求項1〜5のいずれかに記載のファイル共有サーバ装置。 6. The encryption / decryption logic decision means can decide to handle plaintext without encryption in relation to the encryption / decryption logic. The file sharing server device described.
前記ファイル共有サーバ装置でトランスポート層に位置するTCP又はUDPプロトコルに暗号化機能を追加して電子化情報の通信を行う場合に、
少なくとも前記ファイル共有サーバ装置との間で対応する暗号化及び復号化ロジックを取り決める取決め手段と、
前記ファイル共有サーバ装置からの情報単位としてのパケットを前記取決め手段で取り決めた復号化ロジックに従って復号化して受信する通信手段と、
前記復号化した前記情報単位としてのパケットを前記保存する保存手段と、を備え、
前記ファイル共有サーバ装置との間で前記トランスポート層のTCP又はUDPプロトコルを用いて前記暗号化及び復号化ロジックに基づいた通信を行う
ことを特徴とするクライアント装置。 A client device that downloads information stored in a file sharing server device via a network,
In the case where communication of digitized information is performed by adding an encryption function to the TCP or UDP protocol located in the transport layer in the file sharing server device,
Arranging means for negotiating corresponding encryption and decryption logic with at least the file sharing server device;
Communication means for decoding and receiving a packet as an information unit from the file sharing server device according to the decoding logic negotiated by the agreement means;
Storing means for storing the decrypted packet as the information unit,
A client device that performs communication based on the encryption and decryption logic using the transport layer TCP or UDP protocol with the file sharing server device.
前記ファイル共有サーバ装置でトランスポート層に位置するTCP又はUDPプロトコルに暗号化機能を追加して電子化情報の通信を行う場合に、
少なくとも前記ファイル共有サーバ装置との間で対応する暗号化及び復号化ロジックを取り決める取決め手段と、
前記ファイル共有サーバ装置からの情報単位としてのパケットのうち、ファイルデータ部分を前記取決め手段で取り決めた復号化ロジックに従った復号化をしないで暗号文のまま受信する通信手段と、
前記復号化しなかった前記情報単位としてのパケットを暗号文のまま前記保存する保存手段と、を備え、
前記ファイル共有サーバ装置との間で前記トランスポート層のTCP又はUDPプロトコルを用いて前記暗号化及び復号化ロジックに基づいた通信を行う
ことを特徴とするクライアント装置。 A client device that downloads information stored in a file sharing server device via a network,
In the case where communication of digitized information is performed by adding an encryption function to the TCP or UDP protocol located in the transport layer in the file sharing server device,
Arranging means for negotiating corresponding encryption and decryption logic with at least the file sharing server device;
Communication means for receiving the file data part as it is without decryption according to the decryption logic negotiated by the agreement means, out of the packet as an information unit from the file sharing server device,
Storage means for storing the packet as the information unit that has not been decrypted in the form of ciphertext, and
A client device that performs communication based on the encryption and decryption logic using the transport layer TCP or UDP protocol with the file sharing server device.
前記ファイル共有サーバ装置でトランスポート層に位置するTCP又はUDPプロトコルに暗号化機能を追加して電子化情報の通信を行う場合に、
少なくとも前記ファイル共有サーバ装置との間で対応する暗号化及び復号化ロジックを取り決める取決め手段と、
前記ファイル共有サーバ装置からの情報単位としてのパケットのうち、ファイルデータ部分を前記取決め手段で取り決めた復号化ロジックに従った復号化をしないで暗号文のまま受信する通信手段と、
前記復号化しなかった前記情報単位としてのパケットを暗号文のまま前記保存する保存手段と、を備え、
前記取決め手段の認証を受けたアプリケーションが前記復号化しなかった前記情報単位としてのパケットを含むファイルデータを使用する時に、前記取決め手段で取り決めた復号化ロジックに従って復号化して使用する
ことを特徴とするクライアント装置。 A client device that downloads information stored in a file sharing server device via a network,
In the case where communication of digitized information is performed by adding an encryption function to the TCP or UDP protocol located in the transport layer in the file sharing server device,
Arranging means for negotiating corresponding encryption and decryption logic with at least the file sharing server device;
Communication means for receiving the file data part as it is without decryption according to the decryption logic negotiated by the agreement means, out of the packet as an information unit from the file sharing server device,
Storage means for storing the packet as the information unit that has not been decrypted in the form of ciphertext, and
When the application that has been authenticated by the agreement means uses the file data including the packet as the information unit that has not been decrypted, the application is decrypted and used according to the decryption logic decided by the agreement means. Client device.
該記憶ないし実装した取決め候補となりうる暗号化及び復号化ロジックを定期的に変更するロジック変更手段をさらに備えた
ことを特徴とする請求項7〜9のいずれかに記載のクライアント装置。 The encryption and decryption logic that can be an agreement candidate by the encryption and decryption logic agreement means is stored in a memory or a circuit,
10. The client device according to claim 7, further comprising logic changing means for periodically changing encryption and decryption logic that can be stored or implemented arrangement candidates.
ことができるようにした請求項7〜10のいずれかに記載のクライアント装置。 11. The encryption / decryption logic agreement means according to claim 7, wherein the encryption / decryption logic agreement means can decide to handle plaintext without encryption in relation to the encryption / decryption logic. The client device described.
前記クライアント装置でトランスポート層に位置するTCP又はUDPプロトコルに暗号化機能を追加して電子化情報の通信を行う場合に、
少なくとも前記クライアント装置との間で対応する暗号化及び復号化ロジックを取り決める取決め手段と、
前記クライアント装置からの情報単位としてのパケットを前記取決め手段で取り決めた復号化ロジックに従って復号化して受信する通信手段と、
前記復号化した前記情報単位としてのパケットを前記保存する保存手段と、
前記復号化された前記情報単位としてのパケットを前記印刷する印刷手段と、を備え、
前記クライアント装置との間で前記トランスポート層のTCP又はUDPプロトコルを用いて前記暗号化及び復号化ロジックに基づいた通信を行う
ことを特徴とする印刷装置。 A printing device used when printing information generated by a client device via a network,
When performing encryption information communication by adding an encryption function to the TCP or UDP protocol located in the transport layer in the client device,
Means for negotiating corresponding encryption and decryption logic with at least the client device;
A communication means for decoding and receiving a packet as an information unit from the client device according to the decoding logic negotiated by the agreement means;
Storage means for storing the decrypted packet as the information unit;
Printing means for printing the decrypted packet as the information unit,
A printing apparatus that performs communication based on the encryption and decryption logic using the transport layer TCP or UDP protocol with the client apparatus.
前記クライアント装置でトランスポート層に位置するTCP又はUDPプロトコルに暗号化機能を追加して電子化情報の通信を行う場合に、
少なくとも前記クライアント装置との間で対応する暗号化及び復号化ロジックを取り決める取決め手段と、
前記クライアント装置からの情報単位としてのパケットのうち、ファイルデータ部分を前記取決め手段で取り決めた復号化ロジックに従った復号化をしないで暗号文のまま受信する通信手段と、
前記復号化しなかった前記情報単位としてのパケットを暗号文のまま前記保存する保存手段と、
前記復号化しなかった前記情報単位としてのパケットを含むファイルデータを印刷する際に前記取決め手段の認証を受けたアプリケーションを使用して復号化し、前記印刷する印刷手段と、を備え、
前記クライアント装置との間で前記トランスポート層のTCP又はUDPプロトコルを用いて前記暗号化及び復号化ロジックに基づいた通信を行う
ことを特徴とする印刷装置。 A printing device used when printing information generated by a client device via a network,
When performing encryption information communication by adding an encryption function to the TCP or UDP protocol located in the transport layer in the client device,
Means for negotiating corresponding encryption and decryption logic with at least the client device;
Communication means for receiving the file data portion as a ciphertext without decryption according to the decryption logic negotiated by the agreement means in the packet as an information unit from the client device;
Storage means for storing the packet as the information unit that has not been decrypted in the form of ciphertext;
Printing means for decoding and printing using an application authenticated by the agreement means when printing file data including a packet as the information unit that has not been decrypted, and
A printing apparatus that performs communication based on the encryption and decryption logic using the transport layer TCP or UDP protocol with the client apparatus.
該記憶ないし実装した取決め候補となりうる暗号化及び復号化ロジックを定期的に変更するロジック変更手段をさらに備えた
ことを特徴とする請求項12または13に記載の印刷装置。 The encryption and decryption logic that can be an agreement candidate by the encryption and decryption logic agreement means is stored in a memory or a circuit,
14. The printing apparatus according to claim 12, further comprising logic changing means for periodically changing encryption and decryption logic that can be stored or implemented arrangement candidates.
ことができるようにした請求項12〜14のいずれかに記載の印刷装置。 15. The means for negotiating encryption and decryption logic can negotiate that plain text is handled without encryption in relation to the encryption and decryption logic. The printing apparatus as described.
前記クライアント装置及び前記サーバ装置には、
既存のファイル共有アプリケーション部に加えて、TCP2コアとファイル共有システムコアを備えたTCP2ドライバと、ファイル共有システム管理アプリケーション部が設けられ、
前記TCP2ドライバの前記TCP2コアは、前記クライアント装置あるいは前記サーバ装置から送信されるファイル共有コマンド及びファイル共有応答コードのパケットを確認して、前記ファイル共有システムコアに送信し、
前記ファイル共有システムコアは、
前記クライアント装置と前記サーバ装置間で鍵交換を行うとともに、記憶メディアに保存された種々の設定情報に基づいて、前記クライアント装置あるいは前記サーバ装置から送られるファイル共有コマンド及びファイル共有応答コードの暗号化または復号化を行って、前記クライアント装置及び前記サーバ装置との間で暗号文によりファイル転送を行い、
前記ファイル共有システム管理アプリケーション部は、
前記ファイル共有システムコアに送られる暗号化されたファイルデータに対して復号化するか、あるいは復号化しないかを設定する設定部を有し、前記設定部により設定した復号化するかしないかの情報を設定情報として前記ファイル共有システムコアの前記記憶メディアに格納し、
前記ファイル共有アプリケーション部で受信して保存した暗号文のファイルデータを平文で表示させる
ことを特徴とするファイル共有システム。 A file sharing system that performs file sharing and shared printing between a client device and a file sharing server device via a network,
In the client device and the server device,
In addition to the existing file sharing application part, a TCP2 driver having a TCP2 core and a file sharing system core, and a file sharing system management application part are provided,
The TCP2 core of the TCP2 driver confirms a file sharing command and a file sharing response code packet transmitted from the client device or the server device, and transmits the packet to the file sharing system core.
The file sharing system core is:
Key exchange between the client device and the server device, and encryption of a file sharing command and a file sharing response code sent from the client device or the server device based on various setting information stored in a storage medium Or, performing decryption, performing file transfer by ciphertext between the client device and the server device,
The file sharing system management application unit
Information about whether to decrypt or not to decrypt the encrypted file data sent to the file sharing system core, and whether to decrypt or not set by the setting unit Is stored in the storage medium of the file sharing system core as setting information,
A file sharing system characterized in that ciphertext file data received and stored by the file sharing application unit is displayed in plaintext.
前記クライアント装置及び前記ファイル共有サーバ装置のコンピュータに、以下のような手順を実行させるコンピュータプログラム。
(a)受信したファイルデータの複号化または非複号化を設定する手順、
(b)前記設定情報を基に、クライアント装置あるいはファイル共有サーバ装置自身が保有する鍵元値を作成する手順、
(c)受信したファイル共有コマンドメッセージあるいはファイル共有応答メッセージに付加されている鍵元値と前記装置自身が保有する鍵元値から前記クライアント装置及び前記ファイル共有サーバ装置の双方で新たな鍵を生成し、交換する手順、
(d)前記ファイル共有サーバ装置から前記クライアント装置に対して、ファイル共有応答コード及びファイルデータを暗号文で送る手順、
(e)前記クライアント装置から前記ファイル共有サーバ装置に対して、ファイル共有コマンド及びファイルデータを暗号文で送る手順。 A program used in a file sharing system that performs file sharing and shared printing between a client device that implements a TCP2 driver and a file sharing server device that implements a TCP2 driver,
A computer program for causing a computer of the client device and the file sharing server device to execute the following procedure.
(A) a procedure for setting the decryption or decryption of the received file data;
(B) A procedure for creating a key element value held by the client device or the file sharing server device itself based on the setting information;
(C) A new key is generated in both the client device and the file sharing server device from the key source value added to the received file sharing command message or file sharing response message and the key source value held by the device itself. And replacement procedure,
(D) a procedure for sending a file sharing response code and file data in encrypted form from the file sharing server device to the client device;
(E) A procedure for sending a file sharing command and file data in encrypted form from the client device to the file sharing server device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006150191A JP2007324726A (en) | 2006-05-30 | 2006-05-30 | File share server apparatus, client apparatus, printer, file share system, and file share program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006150191A JP2007324726A (en) | 2006-05-30 | 2006-05-30 | File share server apparatus, client apparatus, printer, file share system, and file share program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007324726A true JP2007324726A (en) | 2007-12-13 |
Family
ID=38857166
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006150191A Pending JP2007324726A (en) | 2006-05-30 | 2006-05-30 | File share server apparatus, client apparatus, printer, file share system, and file share program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007324726A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4843116B1 (en) * | 2011-08-22 | 2011-12-21 | 株式会社Into | Network gateway device |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0515827A (en) * | 1991-07-10 | 1993-01-26 | Toshiba Corp | Adhesive applying device |
JPH07245606A (en) * | 1994-03-02 | 1995-09-19 | Nec Corp | Interface converter |
JP2000124900A (en) * | 1998-10-16 | 2000-04-28 | Nec Corp | Charge-collecting method, device therefor and communication system |
JP2006115418A (en) * | 2004-10-18 | 2006-04-27 | Ttt Kk | Copyright data distribution system, copyright data distribution method, and communication program for copyright data distribution |
JP2006121440A (en) * | 2004-10-21 | 2006-05-11 | Ttt Kk | Medical system, medical data management method and communications program for medical data management |
-
2006
- 2006-05-30 JP JP2006150191A patent/JP2007324726A/en active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0515827A (en) * | 1991-07-10 | 1993-01-26 | Toshiba Corp | Adhesive applying device |
JPH07245606A (en) * | 1994-03-02 | 1995-09-19 | Nec Corp | Interface converter |
JP2000124900A (en) * | 1998-10-16 | 2000-04-28 | Nec Corp | Charge-collecting method, device therefor and communication system |
JP2006115418A (en) * | 2004-10-18 | 2006-04-27 | Ttt Kk | Copyright data distribution system, copyright data distribution method, and communication program for copyright data distribution |
JP2006121440A (en) * | 2004-10-21 | 2006-05-11 | Ttt Kk | Medical system, medical data management method and communications program for medical data management |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4843116B1 (en) * | 2011-08-22 | 2011-12-21 | 株式会社Into | Network gateway device |
WO2013027302A1 (en) * | 2011-08-22 | 2013-02-28 | 株式会社Into | Network gateway apparatus |
US9264356B2 (en) | 2011-08-22 | 2016-02-16 | Into Co., Ltd. | Network gateway apparatus |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI362859B (en) | ||
US7039713B1 (en) | System and method of user authentication for network communication through a policy agent | |
US8275989B2 (en) | Method of negotiating security parameters and authenticating users interconnected to a network | |
US8904178B2 (en) | System and method for secure remote access | |
US9166782B2 (en) | Dynamic distributed key system and method for identity management, authentication servers, data security and preventing man-in-the-middle attacks | |
US8886934B2 (en) | Authorizing physical access-links for secure network connections | |
US20170012949A1 (en) | Dynamic identity verification and authentication continuous, dynamic one-time-pad/one-time passwords and dynamic distributed key infrastructure for secure communications with a single key for any key-based network security controls | |
US20130227286A1 (en) | Dynamic Identity Verification and Authentication, Dynamic Distributed Key Infrastructures, Dynamic Distributed Key Systems and Method for Identity Management, Authentication Servers, Data Security and Preventing Man-in-the-Middle Attacks, Side Channel Attacks, Botnet Attacks, and Credit Card and Financial Transaction Fraud, Mitigating Biometric False Positives and False Negatives, and Controlling Life of Accessible Data in the Cloud | |
JP4855147B2 (en) | Client device, mail system, program, and recording medium | |
Bellovin et al. | Security mechanisms for the Internet | |
KR20110043371A (en) | Attack detection method and system with secure sip protocol | |
JP4866150B2 (en) | FTP communication system, FTP communication program, FTP client device, and FTP server device | |
JP2007324726A (en) | File share server apparatus, client apparatus, printer, file share system, and file share program | |
JP4757088B2 (en) | Relay device | |
JP2006121440A (en) | Medical system, medical data management method and communications program for medical data management | |
JP2007329750A (en) | Encrypted communication system | |
JP4783665B2 (en) | Mail server device | |
JP2008060817A (en) | Communication system, web server device, client device, communication program for performing communication, and recording medium recording the program | |
KR20010063809A (en) | Method of processing ldp messages for assigning a authorized label switching path in multiprotocol label switching | |
CN114257437A (en) | Remote access method, device, computing equipment and storage medium | |
JP2007329751A (en) | Encrypted communication system | |
JP2007019633A (en) | Relay connector device and semiconductor circuit device | |
JP2006295401A (en) | Relaying apparatus | |
Bellovin et al. | RFC3631: Security Mechanisms for the Internet | |
JP2006115417A (en) | Electronic commercial transaction system, electronic commercial transaction method, and communication program for electronic commercial transaction |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20080313 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20090507 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20090515 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090529 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20101216 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110107 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110208 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120410 |