JP2016025580A - Communication device, method of controlling communication device, and program - Google Patents

Communication device, method of controlling communication device, and program Download PDF

Info

Publication number
JP2016025580A
JP2016025580A JP2014149935A JP2014149935A JP2016025580A JP 2016025580 A JP2016025580 A JP 2016025580A JP 2014149935 A JP2014149935 A JP 2014149935A JP 2014149935 A JP2014149935 A JP 2014149935A JP 2016025580 A JP2016025580 A JP 2016025580A
Authority
JP
Japan
Prior art keywords
communication
communication device
power state
state
communication apparatus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014149935A
Other languages
Japanese (ja)
Other versions
JP6429521B2 (en
Inventor
英司 今尾
Eiji Imao
英司 今尾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2014149935A priority Critical patent/JP6429521B2/en
Publication of JP2016025580A publication Critical patent/JP2016025580A/en
Application granted granted Critical
Publication of JP6429521B2 publication Critical patent/JP6429521B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To prevent the term of validity of a parameter used for cryptocommunication from expiring during an operation in a first electric power state.SOLUTION: A communication device according to the present invention includes: communication means for cryptocommunication with another communication device; control means of placing the communication device in a second electric power state in which the communication device has a higher power consumption than in a first electric power state before the term of validity of a parameter used for the cryptocommunication with the other communication device expires when the communication device operates in the first electric power state; and update means of updating the parameter once the control means changes the operation state of the communication device from the first electric power state to the second electric power state.SELECTED DRAWING: Figure 4

Description

本発明は、暗号通信を行う通信装置に関する。   The present invention relates to a communication device that performs cryptographic communication.

IPSec(Security Architecture for the Internet Protocol)により暗号通信を行う技術がある。IPSecでは、暗号通信に用いられるパラメータに有効期限が定められている。当該パラメータは、SA(Security Association)と呼ばれ、有効期限が切れるとSAを更新するまで暗号通信ができなくなる。   There is a technology for performing cryptographic communication by IPSec (Security Architecture for the Internet Protocol). In IPSec, an expiration date is set for a parameter used for encrypted communication. This parameter is called SA (Security Association). When the expiration date expires, encrypted communication cannot be performed until the SA is updated.

一方、通信機能を有したカメラなどの通信装置では省電力化が求められており、撮像などが行われていない場合には省電力状態に遷移する。省電力状態では、消費電力を低減するために多くのハードウェアモジュールへの電力提供を停止している。このとき、SAを更新するために用いられるハードウェアモジュールも電力を消費するため電力提供を停止している(特許文献1)。   On the other hand, a communication device such as a camera having a communication function is required to save power, and transitions to a power saving state when imaging is not performed. In the power saving state, power supply to many hardware modules is stopped in order to reduce power consumption. At this time, the hardware module used to update the SA also consumes power, and thus power supply is stopped (Patent Document 1).

特開2006−309438号公報JP 2006-309438 A

従って、省電力状態ではSAの更新処理を行うことができないため、省電力状態である際にSAの有効期限が切れると、その後、暗号通信ができなくなってしまう。   Accordingly, since the SA update process cannot be performed in the power saving state, if the SA expiration date expires while in the power saving state, encrypted communication cannot be performed thereafter.

上記課題を鑑み、第1の電力状態で動作している際に、暗号通信に用いられるパラメータの有効期限が切れないようにすることを目的とする。   In view of the above problems, an object of the present invention is to prevent a parameter used for encryption communication from expiring when operating in a first power state.

上記課題を鑑み本発明の通信装置は、他の通信装置と暗号通信する通信手段と、前記通信装置が第1の電力状態で動作している場合、前記他の通信装置との暗号通信に用いられるパラメータの有効期限が切れる前に、前記通信装置の動作状態を前記第1の電力状態よりも前記通信装置の消費電力が高い第2の電力状態に遷移させる制御手段と、前記制御手段が前記通信装置の動作状態を前記第1の電力状態から前記第2の電力状態に遷移させたことに応じて、前記パラメータの更新処理を行う更新手段と、を有する。   In view of the above problems, the communication device of the present invention is used for encryption communication with the other communication device when the communication unit performs encryption communication with the other communication device and the communication device is operating in the first power state. Control means for causing the communication device to transition to a second power state in which the power consumption of the communication device is higher than that of the first power state before the expiration date of the parameter to be set Updating means for performing update processing of the parameter in response to transition of the operation state of the communication device from the first power state to the second power state.

本発明によれば、第1の電力状態で動作している間に、暗号通信に用いられるパラメータの有効期限が切れないようにすることができる。   ADVANTAGE OF THE INVENTION According to this invention, it can prevent the expiration date of the parameter used for encryption communication from expiring while operate | moving in a 1st electric power state.

通信システム構成図Communication system configuration diagram 通信装置のハードウェア構成図Hardware configuration diagram of communication device 通信装置の状態遷移図State transition diagram of communication device 通信装置が実現するフローチャートFlow chart realized by communication device 通信装置が実現するフローチャートFlow chart realized by communication device

<実施形態1>
図1に、本実施形態の通信システム構成図を示す。通信装置101は、リモートコントローラ(以下、コントローラ)102とLANやWAN等のネットワークを介して接続されている。ここで、通信装置101およびコントローラ102とは、具体的には、カメラ、プリンタ、スマートフォン、PC、サーバ、ストレージ、プロジェクタ、ディスプレイ、ルータ、ネットワークカメラ、車両等である。 <Embodiment 1>
FIG. 1 shows a configuration diagram of a communication system of the present embodiment. The communication apparatus 101 is connected to a remote controller (hereinafter referred to as a controller) 102 via a network such as a LAN or a WAN. Here, the communication device 101 and the controller 102 are specifically a camera, a printer, a smartphone, a PC, a server, a storage, a projector, a display, a router, a network camera, a vehicle, and the like.

また、ネットワークは、ここではイーサネット(登録商標)であるものとして説明するが、無線ネットワークや光ファイバーネットワーク等であってもよい。無線ネットワークとして、例えば、IEEE802.11シリーズ(Wi−Fi)、Bluetooth(登録商標)、LTE、ZigBee、MBOA、UWB(WUSB、W1394、WINET)などに準拠した無線ネットワークがある。ここで、MBOAとは、Multi Band OFDM Allianceの略である。   The network is described as being Ethernet (registered trademark) here, but may be a wireless network, an optical fiber network, or the like. As a wireless network, for example, there is a wireless network compliant with IEEE 802.11 series (Wi-Fi), Bluetooth (registered trademark), LTE, ZigBee, MBOA, UWB (WUSB, W1394, WINET) and the like. Here, MBOA is an abbreviation for Multi Band OFDM Alliance.

また、通信装置101はコントローラ102とTCP/IPに準拠した通信(以下、TCP/IP通信)を行う。TCPとはTransmission Control Protocolの略であり、IPとはInternet Protocolの略である。なお、TCPに代えてUDP(User Datagram Protocol)であってもよい。以下、IPに準拠したパケットのことをIPパケットと称する。   The communication apparatus 101 performs communication with the controller 102 in accordance with TCP / IP (hereinafter, TCP / IP communication). TCP is an abbreviation for Transmission Control Protocol, and IP is an abbreviation for Internet Protocol. Note that UDP (User Datagram Protocol) may be used instead of TCP. Hereinafter, an IP-compliant packet is referred to as an IP packet.

通信装置101は、更にIPSec(Security Architecture for the Internet Protocol)を利用した暗号通信をコントローラ102と行うことができる。IPSecではIPに準拠した通信を暗号化する。このような暗号通信をIPSec通信と呼ぶ。IPSec通信では、IPパケットをIPSecに従って暗号化されたIPSecパケットを送受信する。   The communication device 101 can further perform encryption communication with the controller 102 using IPSec (Security Architecture for the Internet Protocol). IPSec encrypts communication conforming to IP. Such encryption communication is called IPSec communication. In IPSec communication, an IPSec packet obtained by encrypting an IP packet according to IPSec is transmitted and received.

IPSecを利用することで、通信装置101はコントローラ102との通信の秘匿化や認証を行って、通信内容を保護することができる。   By using IPSec, the communication apparatus 101 can conceal and authenticate communication with the controller 102 to protect communication contents.

本実施形態では、通信装置101はIPSecを利用して、通信装置101に対する操作指示をコントローラ102から受信する。また、通信装置101はIPSecを利用して、通信装置101の状態を問合せる問合せコントローラ102から受信する。そして、通信装置101はIPSecを利用して、当該問合せに対する応答をコントローラ102に送信する。   In the present embodiment, the communication apparatus 101 receives an operation instruction for the communication apparatus 101 from the controller 102 using IPSec. Further, the communication apparatus 101 receives from the inquiry controller 102 that inquires about the state of the communication apparatus 101 using IPSec. Then, the communication apparatus 101 transmits a response to the inquiry to the controller 102 using IPSec.

また、通信装置101はIPSecを利用して、コントローラ102から映像データや画像データ等の様々なデータを通信する。また、当該データに対する所定の処理の結果についても、通信装置101はIPSecを利用してコントローラ102と通信する。   The communication apparatus 101 communicates various data such as video data and image data from the controller 102 using IPSec. The communication apparatus 101 also communicates with the controller 102 using IPSec for the result of the predetermined processing for the data.

また、通信装置101はIPSecを利用した暗号通信を複数の他の通信装置と並行して行うことができる。   Further, the communication device 101 can perform encrypted communication using IPSec in parallel with a plurality of other communication devices.

図2に、通信装置101のハードウェア構成を示す。通信装置101は、ネットワーク通信部201、アプリケーションシステム部202、および、電源制御部203を有する。   FIG. 2 shows a hardware configuration of the communication apparatus 101. The communication apparatus 101 includes a network communication unit 201, an application system unit 202, and a power supply control unit 203.

まず、ネットワーク通信部201の内部構成について説明する。ネットワーク通信部201を構成するハードウェアモジュールの各々はローカルバス219を介して接続されている。   First, the internal configuration of the network communication unit 201 will be described. Each hardware module constituting the network communication unit 201 is connected via a local bus 219.

通信制御部211は、ネットワーク110に接続しており、ネットワーク110を介してコントローラ102とIPパケットを含む伝送フレームを送受信する。例えば、ネットワーク110がイーサネット(登録商標)の場合、通信制御部211は、イーサネット(登録商標)のMAC処理(伝送メディア制御処理)を行って、伝送フレームを送受信する。このMACはMedia Access Controlの略である。ローカルRAM212は、ネットワーク通信部201の一時記憶メモリである。   The communication control unit 211 is connected to the network 110 and transmits / receives a transmission frame including an IP packet to / from the controller 102 via the network 110. For example, when the network 110 is Ethernet (registered trademark), the communication control unit 211 performs MAC processing (transmission media control processing) of Ethernet (registered trademark) to transmit and receive transmission frames. This MAC is an abbreviation for Media Access Control. The local RAM 212 is a temporary storage memory of the network communication unit 201.

DB部213は、TCP/IP通信やIPsec通信に必要な情報を管理するためのデータベースである。より具体的には、DB部213は、TCP/IP通信のコネクション情報を管理する。コネクション情報には、例えば、通信装置101とコントローラ102の各々のIPアドレスや、TCPやUDPのポート番号、TCB(TCP Control Block)などが含まれる。   The DB unit 213 is a database for managing information necessary for TCP / IP communication and IPsec communication. More specifically, the DB unit 213 manages connection information of TCP / IP communication. The connection information includes, for example, the IP addresses of the communication apparatus 101 and the controller 102, TCP and UDP port numbers, TCB (TCP Control Block), and the like.

更に、DB部213は、IPsec処理に用いられるSA(Security Association)と、複数のSAを集約したSAD(Security Association Database)とを管理する。   Further, the DB unit 213 manages SA (Security Association) used for IPsec processing and SAD (Security Association Database) that aggregates a plurality of SAs.

ここで、SAとは、IPSecを利用するIPセッション(IPSecセッション)毎に生成され、通信装置101とコントローラ102とで共有されるパラメータである。通常、1つのIPSecセッションに対して、IPSecパケットを送信するために用いられるSAと、IPSecパケットを受信するために用いられるSAの2つが存在する。   Here, SA is a parameter that is generated for each IP session (IPSec session) that uses IPSec and is shared between the communication apparatus 101 and the controller 102. Usually, for one IPSec session, there are two types of SA: an SA used for transmitting an IPSec packet and an SA used for receiving an IPSec packet.

SAは、当該IPセッションで用いられる暗号アルゴリズムや暗号鍵の情報を含む。更に、SAは当該SAの有効期間を示す情報を含む。また、SAは、当該SAを識別するための値であるSPI(Security Parameter Index)を含む。   SA includes information on the encryption algorithm and encryption key used in the IP session. Further, the SA includes information indicating the validity period of the SA. The SA includes an SPI (Security Parameter Index) that is a value for identifying the SA.

また、SAは、当該IPセッションにおけるIPSecのプロトコル種別を示す情報を含む。具体的には、IPパケットのペイロード部の暗号化を行うESPと、ペイロード部の暗号化を行わないAHと、のいずれのプロトコルに準拠したIPsecを行うかを示す情報である。ここで、ESPとはEncapsulating Security Payloadの略であり、AHとはAuthentication Headerの略である。   The SA includes information indicating the IPSec protocol type in the IP session. Specifically, it is information indicating which protocol conforming to the ESP that encrypts the payload portion of the IP packet or AH that does not encrypt the payload portion. Here, ESP is an abbreviation for Encapsulating Security Payload, and AH is an abbreviation for Authentication Header.

また、SAは、当該セッションにおけるIPSecのプロトコルモードを示す情報を含む。具体的には、IPパケットのIPヘッダを暗号化するトンネルモードと、IPヘッダを暗号化しないトランスポートモードと、のいずれの方式でIPSecを行うかを示す情報である。   The SA includes information indicating the IPSec protocol mode in the session. Specifically, the information indicates whether IPSec is performed in a tunnel mode in which the IP header of the IP packet is encrypted or a transport mode in which the IP header is not encrypted.

また、SAは、IPパケットの認証処理であるMAC(Message Authentication Code)処理で利用される認証アルゴリズムを示す情報と該MAC処理で利用される認証鍵を含む。   The SA includes information indicating an authentication algorithm used in a MAC (Message Authentication Code) process, which is an IP packet authentication process, and an authentication key used in the MAC process.

DB部213は、更に、IPsec処理におけるSP(Security Policy)と、複数のSPを集約したSPD(Security Policy Database)とを管理する。   The DB unit 213 further manages SP (Security Policy) in IPsec processing and SPD (Security Policy Database) in which a plurality of SPs are aggregated.

ここで、SPとは、IPパケットにIPSec処理を行う条件を示す情報である。当該条件は、IPパケットの宛先のIPアドレスや、送信元のIPアドレス、IPパケットの上位層のプロトコル種別、ポート番号、および/または、それらの組み合わせによって表わされる。   Here, SP is information indicating conditions for performing IPSec processing on IP packets. The condition is expressed by the IP address of the destination of the IP packet, the IP address of the transmission source, the protocol type of the upper layer of the IP packet, the port number, and / or a combination thereof.

SPには、更に、IPパケットが所定の条件を満たす場合に行う処理の情報が含まれる。具体的には、IPsecを適用する“PROTECT”、IPsecを適用しない“BYPASS”、通信パケットを破棄する“DISCARD”の3種類がある。   The SP further includes information on processing performed when the IP packet satisfies a predetermined condition. Specifically, there are three types: “PROTECT” that applies IPsec, “BYPASS” that does not apply IPsec, and “DISCARD” that discards communication packets.

プロトコル処理部214は、通信プロトコル処理専用のハードウェア回路装置であり、TCP/IPプロトコルに準拠した通信処理を行う。より具体的には、プロトコル処理部214は、IPv4(IPバージョン4)、IPv6(IPバージョン6)、ICMP、UDP、TCPの各通信プロトコル処理や、送信フロー制御や輻輳制御、通信エラー制御等を行う。ここで、ICMPとは、Internet Control Message Protocolの略である。なお、通信プロトコル処理専用のハードウェア回路装置に代えて、通信プロトコル処理用に設計されたマイクロプロセッサや汎用プロセッサを用いてもよい。   The protocol processing unit 214 is a hardware circuit device dedicated to communication protocol processing, and performs communication processing conforming to the TCP / IP protocol. More specifically, the protocol processing unit 214 performs IPv4 (IP version 4), IPv6 (IP version 6), ICMP, UDP, TCP communication protocol processing, transmission flow control, congestion control, communication error control, and the like. Do. Here, ICMP is an abbreviation for Internet Control Message Protocol. Instead of a hardware circuit device dedicated to communication protocol processing, a microprocessor or general-purpose processor designed for communication protocol processing may be used.

更に、プロトコル処理部214は、IPパケットに対してIPSec処理を実施してIPSecパケットを生成するIPSec処理部215を有する。そして、プロトコル処理部214は、IPSec処理部215および後述する暗号処理部217を利用して、IPsecの暗号化機能で必要とする暗号アルゴリズム計算や、認証機能で必要とするMACに用いられるハッシュ値の計算を行う。このMACはMessage Authentication Codeである。また、プロトコル処理部214はIPSec処理部215を利用して、DB部213のSADに対して検索処理を実行する。そして、プロトコル処理部214は、IPsecセッションに応じたSAを参照してIPsecパケットの送信・受信処理を行う。   Further, the protocol processing unit 214 includes an IPSec processing unit 215 that performs IPSec processing on the IP packet to generate an IPSec packet. Then, the protocol processing unit 214 uses the IPSec processing unit 215 and an encryption processing unit 217, which will be described later, to calculate a cryptographic algorithm required for the IPsec encryption function and a hash value used for the MAC required for the authentication function. Perform the calculation. This MAC is a Message Authentication Code. In addition, the protocol processing unit 214 uses the IPSec processing unit 215 to execute search processing on the SAD of the DB unit 213. Then, the protocol processing unit 214 performs IPsec packet transmission / reception processing with reference to the SA corresponding to the IPsec session.

また、プロトコル処理部214は、ネットワーク通信部201内のDB部213と接続している。また、プロトコル処理部214は、電源制御部203と制御信号線で接続されており、電源制御部203を制御する。プロトコル処理部214は、IPsec処理において、DB部213や、後述する暗号処理部217への制御も行う。   The protocol processing unit 214 is connected to the DB unit 213 in the network communication unit 201. The protocol processing unit 214 is connected to the power supply control unit 203 through a control signal line, and controls the power supply control unit 203. The protocol processing unit 214 also controls the DB unit 213 and an encryption processing unit 217 described later in the IPsec processing.

暗号処理部217は、IPsecに使用される暗号アルゴリズムによるデータ変換処理や、認証アルゴリズムによる認証処理を高速に実行するハードウェア処理回路である。ここで、暗号処理部217が処理する暗号アルゴリズムとしては例えば、DES、3DES、AESがある。   The encryption processing unit 217 is a hardware processing circuit that executes data conversion processing using an encryption algorithm used for IPsec and authentication processing using an authentication algorithm at high speed. Here, examples of the encryption algorithm processed by the encryption processing unit 217 include DES, 3DES, and AES.

IKE処理部218は、IKE(Internet Key Exchange)プロトコル処理(以下、IKE処理)を実行する。IKE処理とは、SAをコントローラ102との間で共有する処理である。より詳細には、IKE処理部218は、通信相手であるコントローラ102をまず認証する。認証に成功するとIKE処理部218は、IPSec処理で用いるプロトコル種別やプロトコルモード、暗号や認証アルゴリズムの鍵データを決定するための折衝をコントローラ102と行う。IKE処理部218は、折衝の結果に基づいてコントローラ102とのIPsec通信に使用されるパラメータであるSAを作成する。このようにして、通信装置101はコントローラ102とSAを共有する。なお、上述の処理にはSAを更新する処理、即ち、新たなSAを再共有する処理も含まれる。   The IKE processing unit 218 executes IKE (Internet Key Exchange) protocol processing (hereinafter referred to as IKE processing). The IKE process is a process for sharing the SA with the controller 102. More specifically, the IKE processing unit 218 first authenticates the controller 102 that is the communication partner. If the authentication is successful, the IKE processing unit 218 negotiates with the controller 102 for determining the protocol type, protocol mode, encryption, and key data of the authentication algorithm used in the IPSec processing. The IKE processing unit 218 creates SA, which is a parameter used for IPsec communication with the controller 102 based on the negotiation result. In this way, the communication apparatus 101 shares the SA with the controller 102. Note that the above-described processing includes processing for updating an SA, that is, processing for re-sharing a new SA.

SAを新規に共有した場合、IKE処理部218は、DB部213が有するSADに対して当該SAの登録処理を行う。また、同じIPSecセッションにおいてSAを更新する処理が行われた場合、IKE処理部218は、DB部213が有するSADに対して当該SAの更新処理を行う。また、IKE処理部218は、IPSecセッション終了時に、当該IPSecに対応するSAをDB部213が有するSADから削除する処理を行う。   When the SA is newly shared, the IKE processing unit 218 performs registration processing of the SA for the SAD included in the DB unit 213. Further, when the SA update process is performed in the same IPSec session, the IKE processing unit 218 performs the SA update process on the SAD included in the DB unit 213. In addition, the IKE processing unit 218 performs processing of deleting the SA corresponding to the IPSec from the SAD included in the DB unit 213 when the IPSec session ends.

バスブリッジ回路216は、ネットワーク通信部201とアプリケーションシステム部202との間でバス間転送を行う。
次に、アプリケーションシステム部202の内部構成について説明する。アプリケーションシステム部202を構成するハードウェアモジュールの各々はシステムバス225を介して接続されている。 The bus bridge circuit 216 performs inter-bus transfer between the network communication unit 201 and the application system unit 202.
Next, the internal configuration of the application system unit 202 will be described. Each hardware module constituting the application system unit 202 is connected via a system bus 225.

通信装置101の主要な機能(主要機能)は、アプリケーションシステム部202により実現される。主要機能とは、通信装置101がカメラなら撮像機能、プロジェクタなら投影機能、プリンタなら印刷機能を指す。通信装置101における主要機能は通信装置101が実行可能な複数の機能のなかから適宜選択しておくことができるようにしてもよい。   The main functions (main functions) of the communication apparatus 101 are realized by the application system unit 202. The main function refers to an imaging function if the communication device 101 is a camera, a projection function if it is a projector, and a printing function if it is a printer. The main functions of the communication apparatus 101 may be appropriately selected from a plurality of functions that can be executed by the communication apparatus 101.

CPU221は、ROM222に記憶されたアプリケーションプログラムやシステムプログラムを読み出して実行することで、主要機能を含む様々な機能を実現する。また、これらのアプリケーションプログラムは、ネットワーク通信を行うことが可能である。該ネットワーク通信は、TCP/IPプロトコルをベースとした通信である。該TCP/IPプロトコル処理は、ネットワーク通信部201において実行される。   The CPU 221 implements various functions including main functions by reading and executing application programs and system programs stored in the ROM 222. These application programs can perform network communication. The network communication is communication based on the TCP / IP protocol. The TCP / IP protocol process is executed in the network communication unit 201.

RAM223は、CPU221がアプリケーションプログラムやシステムプログラムを読み出して実行する際に使用される一時記憶メモリである。アプリケーション機能部224は、主要機能を実行するハードウェアモジュールである。例えば、通信装置101がカメラなら撮像部であり、プロジェクタなら投影部であり、プリンタなら印刷部である。   The RAM 223 is a temporary storage memory used when the CPU 221 reads and executes application programs and system programs. The application function unit 224 is a hardware module that executes main functions. For example, if the communication device 101 is a camera, it is an imaging unit, if it is a projector, it is a projection unit, and if it is a printer, it is a printing unit.

電源制御部203は、ネットワーク通信部201及びアプリケーションシステム部202の電力供給を独立的に制御する。電源制御部203は、アプリケーションシステム部202全体を安全に起動・停止するためのシーケンス制御を行い、各ハードウェアモジュールに対する電源投入の制御やハードウェアリセット制御を実行する。   The power control unit 203 independently controls the power supply of the network communication unit 201 and the application system unit 202. The power supply control unit 203 performs sequence control for safely starting and stopping the entire application system unit 202, and executes power-on control and hardware reset control for each hardware module.

図3に、通信装置101の動作状態の遷移図を示す。なお、当該遷移の判定は、CPU221がROM222から所定のプログラムを読み出して実行することで行われる。   FIG. 3 shows a transition diagram of the operation state of the communication apparatus 101. The determination of the transition is performed by the CPU 221 reading a predetermined program from the ROM 222 and executing it.

通信装置101は、通常電力状態301と省電力状態302とを有する。通常電力状態301では、アプリケーションシステム部202を含む通信装置101全体に電力が供給される。一方、省電力状態302では、ネットワーク通信部201と電源制御部203には電力が供給されるが、アプリケーションシステム部202には電力が供給されない。従って、通常電力状態301は省電力状態302と比べて、通信装置101の消費電力が高い。   The communication apparatus 101 has a normal power state 301 and a power saving state 302. In the normal power state 301, power is supplied to the entire communication apparatus 101 including the application system unit 202. On the other hand, in the power saving state 302, power is supplied to the network communication unit 201 and the power supply control unit 203, but power is not supplied to the application system unit 202. Therefore, the power consumption of the communication apparatus 101 is higher in the normal power state 301 than in the power saving state 302.

また、通信装置101は、通常電力状態301である場合にはIKE処理部218によるIKE処理を実行可能であるが、省電力状態302通常電力状態301である場合にはIKE処理部218によるIKE処理を実行しない。このため、電源制御部203は、IKE処理部218への電力供給を停止する。これにより、より通信装置101の消費電力を抑えることができる。   The communication apparatus 101 can execute the IKE processing by the IKE processing unit 218 when the normal power state 301 is in the normal power state 301, but can execute the IKE processing by the IKE processing unit 218 when the power saving state 302 is in the normal power state 301. Do not execute. For this reason, the power supply control unit 203 stops the power supply to the IKE processing unit 218. Thereby, the power consumption of the communication apparatus 101 can be further suppressed.

通常電力状態301で動作している通信装置101は、主要機能を実行中である場合には通常電力状態301を維持する(311)。通信装置101は、通常電力状態301で動作している際に、主要機能を実行していないアイドル状態が所定時間継続すると、通常電力状態301から省電力状態302に遷移する(312)。   The communication device 101 operating in the normal power state 301 maintains the normal power state 301 when the main function is being executed (311). When the communication apparatus 101 operates in the normal power state 301 and the idle state in which the main function is not executed continues for a predetermined time, the communication apparatus 101 transitions from the normal power state 301 to the power saving state 302 (312).

一方、省電力状態302で動作している通信装置101は、主要機能の起動要求やシステムの起動要求があった場合、省電力状態302から通常電力状態301に遷移する(313)。ここでは、不図示の操作部を介したユーザの指示、もしくは、コントローラ102からの所定の信号を受信した場合に、通信装置101は、当該起動要求があったと判定する。   On the other hand, the communication device 101 operating in the power saving state 302 transitions from the power saving state 302 to the normal power state 301 when there is a main function start request or system start request (313). Here, when receiving a user instruction via an operation unit (not shown) or a predetermined signal from the controller 102, the communication apparatus 101 determines that the activation request has been made.

また、通信装置101が省電力状態302の滞在期間を経過した場合、通信装置101は省電力状態302から通常電力状態301に遷移する(314)。省電力状態302の滞在期間については後述する。   Further, when the communication device 101 has passed the stay period of the power saving state 302, the communication device 101 transitions from the power saving state 302 to the normal power state 301 (314). The stay period in the power saving state 302 will be described later.

このようにして、通信装置101が省電力状態302から通常電力状態301に遷移した場合、電源制御部203は、IKE処理部218への電力供給を開始する。   In this way, when the communication apparatus 101 transitions from the power saving state 302 to the normal power state 301, the power supply control unit 203 starts supplying power to the IKE processing unit 218.

図4に、通信装置101が省電力状態302から通常電力状態301に遷移する際に、ROM222に記憶されたプログラムをCPU221が読み出すことで実現されるフローチャートを示す。図4のフローチャートにおいて、通信装置101は省電力状態302の滞在期間を設定する。   FIG. 4 shows a flowchart realized by the CPU 221 reading the program stored in the ROM 222 when the communication apparatus 101 transitions from the power saving state 302 to the normal power state 301. In the flowchart of FIG. 4, the communication apparatus 101 sets a stay period of the power saving state 302.

通信装置101が省電力状態302から通常電力状態301に遷移する場合、通信装置101は、まず省電力状態302の滞在期間を所定の値に設定する(S401)。所定の値としては、具体的な期間のみならず無限大であってもよい。滞在期間を無限大とした場合には特定のイベントが発生した場合に省電力状態から通常電力状態に遷移させる。   When the communication apparatus 101 transitions from the power saving state 302 to the normal power state 301, the communication apparatus 101 first sets the stay period of the power saving state 302 to a predetermined value (S401). The predetermined value may be infinite as well as a specific period. When the stay period is infinite, when a specific event occurs, the power saving state is changed to the normal power state.

次に、通信装置101は省電力状態302において有効なSAを選択する(S402)。ここでは、通信装置101は、通常電力状態301において確立されているIPSecセッションに対応するSAをSADから選択する。通信装置101が複数の他の通信装置と並行してIPSec通信をしている場合など、複数のIPSecセッションを確立している場合には、複数IPSecセッションの各々に対応する複数のSAがSADから選択され得る。当該選択は、TCP/IP通信のコネクション情報、および、SPに基づいてSADを検索することで行われる。なお、所定期間内に利用されていないIPSecセッションに対応するSAについて、通信装置101は有効なSAとして選択しないようにしてもよい。   Next, the communication apparatus 101 selects a valid SA in the power saving state 302 (S402). Here, the communication apparatus 101 selects the SA corresponding to the IPSec session established in the normal power state 301 from the SAD. In a case where a plurality of IPSec sessions are established, such as when the communication device 101 performs IPSec communication in parallel with a plurality of other communication devices, a plurality of SAs corresponding to each of the plurality of IPSec sessions are obtained from the SAD. Can be selected. The selection is performed by searching SAD based on connection information of TCP / IP communication and SP. Note that the communication apparatus 101 may not select an SA corresponding to an IPSec session that is not used within a predetermined period as a valid SA.

なお、上述の方法に代えて、下記のようにして通信装置101がSAを選択するようにしてもよい。通信装置101は、予め省電力状態302において通信装置101を遠隔制御可能なコントローラの条件を設定しておく。当該設定は、通信装置101が通常電力状態301である場合に、ユーザが不図示の操作部を介して設定する。   Instead of the method described above, the communication apparatus 101 may select SA as follows. The communication apparatus 101 sets conditions for a controller that can remotely control the communication apparatus 101 in the power saving state 302 in advance. The setting is set by the user via an operation unit (not shown) when the communication apparatus 101 is in the normal power state 301.

ここで、条件とは、例えば、IPアドレス、IPアドレスの範囲、遠隔制御のための通信に用いられる通信プロトコル(TCP/UDP等)、ポート番号、および/またはその組み合わせである。通信装置101は、当該条件に合致するSAをSADから選択する。なお、複数のSAが選択される場合もある。   Here, the conditions are, for example, an IP address, an IP address range, a communication protocol (TCP / UDP or the like) used for communication for remote control, a port number, and / or a combination thereof. The communication apparatus 101 selects an SA that matches the condition from the SAD. A plurality of SAs may be selected.

次に、通信装置101は、S402において有効なSAが選択されたか否かを判定する(S403)。例えば、所定期間内に利用したIPSecセッションがない場合などは、S402において有効なSAが選択されない。   Next, the communication apparatus 101 determines whether a valid SA is selected in S402 (S403). For example, when there is no IPSec session used within a predetermined period, a valid SA is not selected in S402.

有効なSAがないと判定された場合(S403のNo)、通信装置101は通常電力状態301から省電力状態302に遷移する(S404)。そして、通信装置101は図4に示すフローチャートを終了する。   When it is determined that there is no valid SA (No in S403), the communication apparatus 101 transitions from the normal power state 301 to the power saving state 302 (S404). And the communication apparatus 101 complete | finishes the flowchart shown in FIG.

一方、有効なSAが存在すると判定された場合(S403のYes)、通信装置101は選択されたSAのうちの1つを抽出する(S405)。そして、通信装置101は抽出されたSAの有効期限の残存期間を判定する(S406)。ここで、残存期間とは、SAの有効期限が切れるまでの時間である。   On the other hand, when it is determined that a valid SA exists (Yes in S403), the communication apparatus 101 extracts one of the selected SAs (S405). Then, the communication apparatus 101 determines the remaining period of the expiration date of the extracted SA (S406). Here, the remaining period is the time until the expiration date of the SA expires.

次に、通信装置101は、S406において判定された残存期間が、設定された滞在期間よりも短いか否かを判定する(S407)。残存期間が滞在期間よりも短い場合(S407のYes)、通信装置101は、残存期間と同じか、残存期間よりも所定期間短い期間を新たな滞在期間として設定する(S408)。即ち、通信装置101は、残存期間以下の期間を滞在期間として設定する。ここで、残存期間はSAの有効期限に基づいて判定された期間であるため、通信装置101はSAの有効期限に基づいて残存期間を設定しているとも言うことができる。   Next, the communication apparatus 101 determines whether or not the remaining period determined in S406 is shorter than the set stay period (S407). If the remaining period is shorter than the stay period (Yes in S407), the communication apparatus 101 sets a new stay period that is the same as the remaining period or a predetermined period shorter than the remaining period (S408). That is, the communication apparatus 101 sets a period equal to or less than the remaining period as the stay period. Here, since the remaining period is a period determined based on the SA expiration date, it can also be said that the communication apparatus 101 sets the remaining period based on the SA expiration date.

次に、通信装置101は、S402において選択されたSAのうち未抽出のSAが存在するか否かを判定する(S409)。未抽出のSAが存在する場合、通信装置101は、未抽出のSAのうちの1つを抽出する(S410)。   Next, the communication apparatus 101 determines whether there is an unextracted SA among the SAs selected in S402 (S409). If there is an unextracted SA, the communication apparatus 101 extracts one of the unextracted SAs (S410).

その後、通信装置101は、未抽出のSAが存在しないと判定されるまで、即ち、S402において選択された全てのSAが抽出されるまで、S406〜410の処理を繰り返す。これにより、S403において選択されたSAのうち、有効期限の残存期間が最も短いSAの残存期間に基づいて省電力状態302の滞在期間が設定される。   Thereafter, the communication apparatus 101 repeats the processes of S406 to 410 until it is determined that there is no unextracted SA, that is, until all the SAs selected in S402 are extracted. Thereby, the stay period of the power saving state 302 is set based on the remaining period of the SA with the shortest remaining period of the expiration date among the SAs selected in S403.

その後、通信装置101は通常電力状態301から省電力状態302に遷移する(S411)。そして、通信装置101は設定された滞在期間が満了するまで省電力状態302を維持する(S412のNo)。   Thereafter, the communication apparatus 101 transitions from the normal power state 301 to the power saving state 302 (S411). Then, the communication device 101 maintains the power saving state 302 until the set stay period expires (No in S412).

設定された滞在期間が満了すると、通信装置101は省電力状態302から通常電力状態301に遷移する(S413)。省電力状態302から通常電力状態301に遷移すると、通信装置101は、有効期限の切れたSAを更新するためにIKE処理を実行する(S414)。その後、通信装置101は図4に示すフローチャートを終了する。   When the set stay period expires, the communication apparatus 101 transitions from the power saving state 302 to the normal power state 301 (S413). When the state transitions from the power saving state 302 to the normal power state 301, the communication apparatus 101 executes an IKE process in order to update an expired SA (S414). Thereafter, the communication apparatus 101 ends the flowchart shown in FIG.

上述した実施形態では、通信装置101は、省電力状態302を維持する時間を、コントローラ102とのIPsecセッションに係るSAの有効期限内に設定した。これにより、省電力状態302においてSAの有効期限が切れてしまうことを防止することができる。従って、省電力状態302において有効期限切れのSAを更新するためのIKE処理の実行が防止される。   In the embodiment described above, the communication apparatus 101 sets the time for maintaining the power saving state 302 within the validity period of the SA related to the IPsec session with the controller 102. Thereby, it is possible to prevent the SA expiration date from being expired in the power saving state 302. Therefore, execution of the IKE process for updating the expired SA in the power saving state 302 is prevented.

また、省電力状態302においてはIKE処理が行われないので、通信装置101は省電力状態302においてIKE処理部218への電力供給を停止させることができる。これにより、省電力状態302における省電力効果を向上させることができる。   Further, since the IKE process is not performed in the power saving state 302, the communication apparatus 101 can stop the power supply to the IKE processing unit 218 in the power saving state 302. Thereby, the power saving effect in the power saving state 302 can be improved.

また、通信装置101はIKE処理を行うことなく、通常電力状態301から省電力状態302に遷移するので、通常電力状態301から省電力状態302への遷移をスムーズに行うことができる。   Further, since the communication apparatus 101 transitions from the normal power state 301 to the power saving state 302 without performing the IKE process, the transition from the normal power state 301 to the power saving state 302 can be performed smoothly.

なお、本実施形態では、IKE処理をネットワーク通信部201内のIKE処理部218で実行するものとしたが、アプリケーションシステム部202内のCPU221によるソフトウェア処理で実行してもよい。   In the present embodiment, the IKE processing is executed by the IKE processing unit 218 in the network communication unit 201, but may be executed by software processing by the CPU 221 in the application system unit 202.

また、S408において、残存期間よりも所定期間短い期間を新たな滞在期間として設定する場合、S407において、通信装置101は、残存期間から所定期間だけ差し引いた期間が、設定された滞在期間よりも短いか否かを判定するようにしてもよい。これにより、より正確に残存期間が短いSAの残存期限、もしくは、有効期限に基づいて滞在期間を設定することができる。   In S408, when a period shorter than the remaining period is set as the new stay period, in S407, the communication apparatus 101 subtracts the predetermined period from the remaining period and is shorter than the set stay period. It may be determined whether or not. As a result, the stay period can be set more accurately based on the remaining period or the expiration period of the SA having a short remaining period.

<実施形態2>
実施形態1では、通信装置101が通常電力状態301から省電力状態302に遷移する際に、省電力状態302の滞在期間を設定した。実施形態2では、更に、通信装置101が省電力状態302である場合に、IPSec通信が発生したことに応じて滞在期間を再設定する。 <Embodiment 2>
In the first embodiment, when the communication apparatus 101 transits from the normal power state 301 to the power saving state 302, the stay period of the power saving state 302 is set. In the second embodiment, when the communication apparatus 101 is in the power saving state 302, the stay period is reset according to the occurrence of IPSec communication.

本実施形態の通信システム構成は実施形態1と同様なので同じ符号を付し、ここでは説明を省略する。また、通信装置101のハードウェア構成も実施形態1と同様なので同じ符号を付し、ここでは説明を省略する。   Since the configuration of the communication system of the present embodiment is the same as that of the first embodiment, the same reference numerals are given and the description thereof is omitted here. Further, since the hardware configuration of the communication apparatus 101 is the same as that of the first embodiment, the same reference numerals are given and the description thereof is omitted here.

図5に、通信装置101が省電力状態302である際にIPSecパケットを受信した場合、ROM222に記憶されたプログラムをCPU221が読み出すことで実現されるフローチャートを示す。   FIG. 5 shows a flowchart realized when the CPU 221 reads the program stored in the ROM 222 when the IPSec packet is received when the communication apparatus 101 is in the power saving state 302.

まず、通信装置101はIPSecパケットを受信すると、通信装置101は、IPSecパケットの受信処理を実行する(S501)。具体的には、通信装置101はIPSecパケットの復号化やSPに基づく条件チェック等を行う。通信装置101は、IPSecパケットを復号化により、平文のIPパケットを取得することができる。   First, when the communication apparatus 101 receives an IPSec packet, the communication apparatus 101 executes an IPSec packet reception process (S501). Specifically, the communication apparatus 101 performs decoding of the IPSec packet, condition check based on SP, and the like. The communication apparatus 101 can obtain a plaintext IP packet by decrypting the IPSec packet.

次に、通信装置101は、S501におけるIPSecパケットの受信処理の結果、当該IPSecパケットを破棄するか否かを判定する(S502)。例えば、受信したIPSecパケットに対応するSPが“DISCARD”であった場合、通信装置101は、当該IPSecパケットを破棄すると判定する。   Next, the communication apparatus 101 determines whether or not to discard the IPSec packet as a result of the IPSec packet reception process in S501 (S502). For example, when the SP corresponding to the received IPSec packet is “DISCARD”, the communication apparatus 101 determines to discard the IPSec packet.

IPSecパケットを破棄すると判定された場合(S502のYes)、通信装置101は当該IPSecパケットを破棄する(S503)。その後、通信装置101は図5に示すフローチャートを終了する。   When it is determined to discard the IPSec packet (Yes in S502), the communication apparatus 101 discards the IPSec packet (S503). Thereafter, the communication apparatus 101 ends the flowchart shown in FIG.

一方、IPSecパケットを破棄しないと判定された場合(S502のNo)、通信装置101は、復号化されたIPパケットを解析する(S504)。なお、IPパケットが応答を要求するパケットであり、省電力状態302のままで当該パケットに応答可能である場合には、S504において通信装置101は応答を送信する。   On the other hand, when it is determined not to discard the IPSec packet (No in S502), the communication apparatus 101 analyzes the decrypted IP packet (S504). If the IP packet is a packet for requesting a response and can be responded to in the power saving state 302, the communication apparatus 101 transmits a response in S504.

IPSecパケットを解析すると、通信装置101は、省電力状態302から通常電力状態301に遷移するか否かを判定する(S505)。例えば、IPSecパケットが通信装置101のアプリケーションシステム部202の起動要求である場合、通信装置101は、省電力状態302から通常電力状態301に遷移すると判定する。また、例えば、IPSecパケットが応答を要求するパケットであり、省電力状態302のままでは当該パケットに応答できない場合、通信装置101は、省電力状態302から通常電力状態301に遷移すると判定する。   When the IPSec packet is analyzed, the communication apparatus 101 determines whether or not to transition from the power saving state 302 to the normal power state 301 (S505). For example, when the IPSec packet is an activation request for the application system unit 202 of the communication apparatus 101, the communication apparatus 101 determines to transition from the power saving state 302 to the normal power state 301. Further, for example, when the IPSec packet is a packet for requesting a response and cannot respond to the packet in the power saving state 302, the communication apparatus 101 determines to transition from the power saving state 302 to the normal power state 301.

また、例えば、IPSecパケットがIKE処理を要求するISAKMPパケットである場合には、省電力状態302から通常電力状態301に遷移すると判定する。ここで、ISAKMPとは、Internet Security Association and Key Management Protocolの略である。ISAKMPパケットはUDPに準拠したパケットであり、ポート番号は500番が用いられる。また、ISAKMPパケットには、UDPヘッダに続いて、暗号化されていないIKEヘッダが格納されている。IKEヘッダには、IKE処理を要求することを示すフラグが格納されている。   Further, for example, when the IPSec packet is an ISAKMP packet requesting an IKE process, it is determined that the power saving state 302 transits to the normal power state 301. Here, ISAKMP is an abbreviation for Internet Security Association and Key Management Protocol. The ISAKMP packet is a packet conforming to UDP, and a port number of 500 is used. The ISAKMP packet stores an unencrypted IKE header following the UDP header. The IKE header stores a flag indicating that IKE processing is requested.

省電力状態302から通常電力状態301に遷移すると判定された場合、通信装置101は、アプリケーションシステム部202を起動し、省電力状態302から通常電力状態301に遷移する(S506)。そして、図5に示すフローチャートを終了する。その御、必要に応じて、通信装置101は受信したIPSecパケットに応じた処理を実行する。例えば、ISAKMPパケットを受信した場合には、通信装置101はIKE処理を行う。   When it is determined to transition from the power saving state 302 to the normal power state 301, the communication apparatus 101 activates the application system unit 202 and transitions from the power saving state 302 to the normal power state 301 (S506). Then, the flowchart shown in FIG. As necessary, the communication apparatus 101 executes processing according to the received IPSec packet. For example, when an ISAKMP packet is received, the communication apparatus 101 performs an IKE process.

一方、省電力状態302から通常電力状態301に遷移しないと判定された場合、通信装置101は、受信したIPSecパケットに対応するIPSecセッションを特定する(S507)。更に、通信装置101は特定されたIPSecセッションに対応するSAを抽出する(S508)。   On the other hand, when it is determined that the power saving state 302 does not transit to the normal power state 301, the communication apparatus 101 identifies an IPSec session corresponding to the received IPSec packet (S507). Further, the communication apparatus 101 extracts the SA corresponding to the specified IPSec session (S508).

そして、通信装置101は抽出されたSAの有効期限の残存期間を判定する(S509)。なお、S509において複数のSAが抽出された場合には、通信装置101は、複数のSAの各々の有効期限の残存期間のうち、最も短い残存期間を判定する。   The communication apparatus 101 determines the remaining period of the expiration date of the extracted SA (S509). When a plurality of SAs are extracted in S509, the communication apparatus 101 determines the shortest remaining period among the remaining periods of the expiration dates of the plurality of SAs.

そして、通信装置101は、残存期間が残っているか否か、即ち、SAの有効期限が切れているか否かを判定する(S510)。   Then, the communication apparatus 101 determines whether or not the remaining period remains, that is, whether or not the SA expiration date has expired (S510).

SAの有効期限が切れている場合には(S510のYes)、通信装置101は、省電力状態302から通常電力状態301に遷移する(S511)。省電力状態302から通常電力状態301に遷移すると、通信装置101は、有効期限の切れたSAを更新するためにIKE処理を実行する(S512)。その後、通信装置101は図5に示すフローチャートを終了する。   If the SA expiration date has expired (Yes in S510), the communication apparatus 101 transitions from the power saving state 302 to the normal power state 301 (S511). When the state transitions from the power saving state 302 to the normal power state 301, the communication apparatus 101 executes an IKE process in order to update the expired SA (S512). Thereafter, the communication apparatus 101 ends the flowchart shown in FIG.

SAの有効期限が切れていない場合には(S510のNo)、通信装置101は、通信装置101は、S509において判定された残存期間が、設定された滞在期間よりも短いか否かを判定する(S513)。残存期間が滞在期間よりも短い場合(S513のYes)、通信装置101は、残存期間と同じか、残存期間よりも所定期間短い期間を新たな滞在期間として設定する(S514)。   When the SA expiration date has not expired (No in S510), the communication apparatus 101 determines whether the remaining period determined in S509 is shorter than the set stay period. (S513). When the remaining period is shorter than the stay period (Yes in S513), the communication apparatus 101 sets a new stay period that is the same as the remaining period or a predetermined period shorter than the remaining period (S514).

その後、通信装置101は図5に示すフローチャートを終了する。   Thereafter, the communication apparatus 101 ends the flowchart shown in FIG.

これにより、省電力状態302の滞在期間をIPSec通信に応じて動的に変更することができる。上述したように、通常電力状態301から省電力状態302に移行する際、所定期間利用していなかったIPSecセッションに対応するSAは、通信装置101は有効なSAとして選択しないようにすることができる。このようなSAについても、当該SAを用いた暗号通信があったことに応じて、当該SAの有効期限に合わせた滞在期間を設定することができる。   Thereby, the stay period of the power saving state 302 can be dynamically changed according to IPSec communication. As described above, when transitioning from the normal power state 301 to the power saving state 302, the SA corresponding to the IPSec session that has not been used for a predetermined period can be prevented from being selected by the communication apparatus 101 as a valid SA. . For such SAs, it is possible to set a stay period in accordance with the expiration date of the SA in response to the encrypted communication using the SA.

なお、上述の実施形態では、実施形態1で設定された滞在期間を更新する例について説明した。しかしこれに限らず、実施形態1における滞在期間の設定を行わないようにしてもよい。このような場合には、省電力状態302において、実際にIPsec通信に使われたSAのみを対象として滞在期間を設定することができる。   In the above-described embodiment, the example in which the stay period set in the first embodiment is updated has been described. However, the present invention is not limited to this, and the stay period in the first embodiment may not be set. In such a case, in the power saving state 302, the stay period can be set only for the SA actually used for IPsec communication.

また、S514において、残存期間よりも所定期間短い期間を新たな滞在期間として設定する場合、S513において、通信装置101は、残存期間から所定期間だけ差し引いた期間が、設定された滞在期間よりも短いか否かを判定するようにしてもよい。これにより、より正確に残存期間が短いSAの残存期限、もしくは、有効期限に基づいて滞在期間を設定することができる。   In S514, when a period shorter than the remaining period by a predetermined period is set as a new stay period, in S513, the communication apparatus 101 subtracts the predetermined period from the remaining period and is shorter than the set stay period. It may be determined whether or not. As a result, the stay period can be set more accurately based on the remaining period or the expiration period of the SA having a short remaining period.

また、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。   Also, a process of supplying a program that realizes one or more functions of the above-described embodiment to a system or apparatus via a network or a storage medium, and one or more processors in a computer of the system or apparatus reading and executing the program But it is feasible. It can also be realized by a circuit (for example, ASIC) that realizes one or more functions.

本発明は、上述した1つ乃至複数のうちのいくつかの効果を有する。   The present invention has several effects from one or more of the above.

101 通信装置
102 リモートコントローラ
110 LAN/WAN 101 Communication device 102 Remote controller 110 LAN / WAN

Claims (13)

通信装置であって、
他の通信装置と暗号通信する通信手段と、
前記通信装置が第1の電力状態で動作している場合、前記他の通信装置との暗号通信に用いられるパラメータの有効期限が切れる前に、前記通信装置の動作状態を前記第1の電力状態よりも前記通信装置の消費電力が高い第2の電力状態に遷移させる制御手段と、
前記制御手段が前記通信装置の動作状態を前記第1の電力状態から前記第2の電力状態に遷移させたことに応じて、前記パラメータの更新処理を行う更新手段と、
を有することを特徴とする通信装置。 A communication device,
Communication means for performing cryptographic communication with other communication devices;
When the communication device is operating in the first power state, the operation state of the communication device is changed to the first power state before the expiration date of a parameter used for encryption communication with the other communication device expires. Control means for making a transition to a second power state in which the power consumption of the communication device is higher than
Updating means for performing update processing of the parameter in response to the control means transitioning the operating state of the communication device from the first power state to the second power state;
A communication apparatus comprising: 前記通信装置が第1の電力状態で動作している場合、前記通信装置は、前記パラメータの更新処理を行わないことを特徴とする請求項1に記載の通信装置。   The communication device according to claim 1, wherein when the communication device is operating in a first power state, the communication device does not perform the parameter update process. 前記他の通信装置との暗号通信に用いられるパラメータの有効期限の残存期間よりも短い第1の期間を設定する設定手段を更に有し、
前記制御手段は、前記第1の期間が経過すると、前記通信装置の動作状態を前記第1の電力状態から前記第2の電力状態に遷移させることを特徴とする請求項1または2に記載の通信装置。 A setting unit that sets a first period shorter than a remaining period of an expiration date of a parameter used for encryption communication with the other communication device;
3. The control unit according to claim 1, wherein the control unit transitions the operation state of the communication device from the first power state to the second power state when the first period elapses. Communication device. 前記通信装置の動作状態が前記第2の電力状態から前記第1の電力状態に遷移する際に、前記設定手段は前記第1の期間を設定することを特徴とする請求項3に記載の通信装置。   4. The communication according to claim 3, wherein the setting unit sets the first period when an operation state of the communication device transitions from the second power state to the first power state. 5. apparatus. 前記通信装置が前記第1の電力状態である場合に、前記通信手段が前記他の通信装置と所定の暗号通信を行った際に、前記設定手段は前記第1の期間を設定することを特徴とする請求項3または4に記載の通信装置。   When the communication device is in the first power state, the setting unit sets the first period when the communication unit performs predetermined cryptographic communication with the other communication device. The communication device according to claim 3 or 4. 前記通信手段は、IP(Internet Protocol)に準拠した通信を暗号化して前記他の通信装置と通信することを特徴とする請求項1から5のいずれか1項に記載の通信装置。   6. The communication apparatus according to claim 1, wherein the communication unit encrypts communication conforming to IP (Internet Protocol) and communicates with the other communication apparatus. 前記制御手段は、前記他の通信装置とのIPSec(Security Architecture for the Internet Protocol)に準拠した暗号通信に用いられるパラメータの有効期限が切れる前に、前記通信装置の動作状態を前記第1の電力状態から前記第2の電力状態に遷移させることを特徴とする請求項1から6のいずれか1項に記載の通信装置。   The control means sets the operation state of the communication device to the first power before the expiration date of a parameter used for encryption communication in conformity with IPSec (Security Architecture for the Internet Protocol) with the other communication device. The communication apparatus according to any one of claims 1 to 6, wherein a transition is made from a state to the second power state. 前記パラメータは、SA(Security Association)であることを特徴とする請求項1から7のいずれか1項に記載の通信装置。   The communication apparatus according to any one of claims 1 to 7, wherein the parameter is SA (Security Association). 前記更新手段は、IKE(Internet Key Exchange)プロトコルに準拠した更新処理を行うことを特徴とする請求項1から8のいずれか1項に記載の通信装置。   9. The communication apparatus according to claim 1, wherein the update unit performs update processing based on an IKE (Internet Key Exchange) protocol. 10. 前記通信手段は、複数の他の通信装置と並行して暗号通信することを特徴とする請求項1から9のいずれか1項に記載の通信装置。   The communication device according to claim 1, wherein the communication unit performs cryptographic communication in parallel with a plurality of other communication devices. 前記制御手段は、前記複数の他の通信装置の各々との暗号通信に用いられるパラメータの有効期限のうち、残存期間が最も短い有効期限が切れる前に、前記通信装置の動作状態を前記第1の電力状態から前記第2の電力状態に遷移させることを特徴とする請求項10に記載の通信装置。   The control means sets the operating state of the communication device before the expiration date with the shortest remaining period expires among the expiration dates of parameters used for encryption communication with each of the plurality of other communication devices. The communication apparatus according to claim 10, wherein transition is made from the power state of the second power state to the second power state. 通信装置の制御方法であって、
前記通信装置が第1の電力状態で動作している場合、他の通信装置との暗号通信に用いられるパラメータの有効期限が切れる前に、前記通信装置の動作状態を前記第1の電力状態よりも前記通信装置の消費電力が高い第2の電力状態に遷移させる遷移工程と、
前記通信装置の動作状態が前記第1の電力状態から前記第2の電力状態に遷移されたことに応じて、前記パラメータの更新処理を行う更新工程と、
を有することを特徴とする制御方法。 A communication device control method comprising:
When the communication device is operating in the first power state, the operation state of the communication device is changed from the first power state before the expiration date of a parameter used for encryption communication with another communication device expires. A transition step of transitioning to a second power state where the power consumption of the communication device is high
An update step of performing an update process of the parameter in response to the operation state of the communication device being changed from the first power state to the second power state;
A control method characterized by comprising: コンピュータを請求項1から11のいずれか1項に記載の通信装置として動作させるためのプログラム。   The program for operating a computer as a communication apparatus of any one of Claim 1 to 11.
JP2014149935A 2014-07-23 2014-07-23 COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, PROGRAM Active JP6429521B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014149935A JP6429521B2 (en) 2014-07-23 2014-07-23 COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, PROGRAM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014149935A JP6429521B2 (en) 2014-07-23 2014-07-23 COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, PROGRAM

Publications (2)

Publication Number Publication Date
JP2016025580A true JP2016025580A (en) 2016-02-08
JP6429521B2 JP6429521B2 (en) 2018-11-28

Family

ID=55271971

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014149935A Active JP6429521B2 (en) 2014-07-23 2014-07-23 COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, PROGRAM

Country Status (1)

Country Link
JP (1) JP6429521B2 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006309438A (en) * 2005-04-27 2006-11-09 Toshiba Corp Communication device and communication method
JP2011039770A (en) * 2009-08-11 2011-02-24 Fuji Xerox Co Ltd Power saving control device and program
JP2011037174A (en) * 2009-08-13 2011-02-24 Fuji Xerox Co Ltd Power saving control apparatus and program
JP2012227829A (en) * 2011-04-21 2012-11-15 Canon Inc Image processor and control method therefor
JP2013077914A (en) * 2011-09-29 2013-04-25 Fujitsu Ltd Base station, radio communication system and radio communication method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006309438A (en) * 2005-04-27 2006-11-09 Toshiba Corp Communication device and communication method
JP2011039770A (en) * 2009-08-11 2011-02-24 Fuji Xerox Co Ltd Power saving control device and program
JP2011037174A (en) * 2009-08-13 2011-02-24 Fuji Xerox Co Ltd Power saving control apparatus and program
JP2012227829A (en) * 2011-04-21 2012-11-15 Canon Inc Image processor and control method therefor
JP2013077914A (en) * 2011-09-29 2013-04-25 Fujitsu Ltd Base station, radio communication system and radio communication method

Also Published As

Publication number Publication date
JP6429521B2 (en) 2018-11-28

Similar Documents

Publication Publication Date Title
US11038846B2 (en) Internet protocol security tunnel maintenance method, apparatus, and system
US9516061B2 (en) Smart virtual private network
US10397221B2 (en) Network controller provisioned MACsec keys
US20160315913A1 (en) Scalable Intermediate Network Device Leveraging SSL Session Ticket Extension
US20100235500A1 (en) Information processing apparatus, network interface apparatus, method of controlling both, and storage medium
US20120246473A1 (en) Encryption information transmitting terminal
WO2019129201A1 (en) Session management for communications between a device and a dtls server
WO2020057436A1 (en) Method for sending message, method for receiving message, and network device
US9467471B2 (en) Encrypted communication apparatus and control method therefor
WO2015131609A1 (en) Method for implementing l2tp over ipsec access
WO2012126432A2 (en) Method, device and system for data transmission
JP2013078019A (en) Communication device, reception control method and transmission control method
CN113273235B (en) Method and system for establishing a secure communication session
US20150100784A1 (en) Communication apparatus and control method therefor
JP6429521B2 (en) COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, PROGRAM
JP2012227829A (en) Image processor and control method therefor
US20100275008A1 (en) Method and apparatus for secure packet transmission
JP2009060245A (en) Communication control method, program and communication device
JP2008199420A (en) Gateway device and authentication processing method
JP2012160941A (en) Information processing device, information processing method and program
US20220109694A1 (en) Communication system, communication method, and non-transitory computer readable medium storing communication program
US20220255911A1 (en) Method for Secure Communication and Device
JP6752578B2 (en) Communication equipment, control methods and programs for communication equipment
JP2011015042A (en) Encryption communication device, encryption communication method, and program
JP2019145889A (en) Switching hub and control communication network system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170428

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180126

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180404

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180417

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180713

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20180723

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180828

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180920

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181002

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181030

R151 Written notification of patent or utility model registration

Ref document number: 6429521

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151