JP2016025580A - Communication device, method of controlling communication device, and program - Google Patents
Communication device, method of controlling communication device, and program Download PDFInfo
- Publication number
- JP2016025580A JP2016025580A JP2014149935A JP2014149935A JP2016025580A JP 2016025580 A JP2016025580 A JP 2016025580A JP 2014149935 A JP2014149935 A JP 2014149935A JP 2014149935 A JP2014149935 A JP 2014149935A JP 2016025580 A JP2016025580 A JP 2016025580A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication device
- power state
- state
- communication apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、暗号通信を行う通信装置に関する。 The present invention relates to a communication device that performs cryptographic communication.
IPSec(Security Architecture for the Internet Protocol)により暗号通信を行う技術がある。IPSecでは、暗号通信に用いられるパラメータに有効期限が定められている。当該パラメータは、SA(Security Association)と呼ばれ、有効期限が切れるとSAを更新するまで暗号通信ができなくなる。 There is a technology for performing cryptographic communication by IPSec (Security Architecture for the Internet Protocol). In IPSec, an expiration date is set for a parameter used for encrypted communication. This parameter is called SA (Security Association). When the expiration date expires, encrypted communication cannot be performed until the SA is updated.
一方、通信機能を有したカメラなどの通信装置では省電力化が求められており、撮像などが行われていない場合には省電力状態に遷移する。省電力状態では、消費電力を低減するために多くのハードウェアモジュールへの電力提供を停止している。このとき、SAを更新するために用いられるハードウェアモジュールも電力を消費するため電力提供を停止している(特許文献1)。 On the other hand, a communication device such as a camera having a communication function is required to save power, and transitions to a power saving state when imaging is not performed. In the power saving state, power supply to many hardware modules is stopped in order to reduce power consumption. At this time, the hardware module used to update the SA also consumes power, and thus power supply is stopped (Patent Document 1).
従って、省電力状態ではSAの更新処理を行うことができないため、省電力状態である際にSAの有効期限が切れると、その後、暗号通信ができなくなってしまう。 Accordingly, since the SA update process cannot be performed in the power saving state, if the SA expiration date expires while in the power saving state, encrypted communication cannot be performed thereafter.
上記課題を鑑み、第1の電力状態で動作している際に、暗号通信に用いられるパラメータの有効期限が切れないようにすることを目的とする。 In view of the above problems, an object of the present invention is to prevent a parameter used for encryption communication from expiring when operating in a first power state.
上記課題を鑑み本発明の通信装置は、他の通信装置と暗号通信する通信手段と、前記通信装置が第1の電力状態で動作している場合、前記他の通信装置との暗号通信に用いられるパラメータの有効期限が切れる前に、前記通信装置の動作状態を前記第1の電力状態よりも前記通信装置の消費電力が高い第2の電力状態に遷移させる制御手段と、前記制御手段が前記通信装置の動作状態を前記第1の電力状態から前記第2の電力状態に遷移させたことに応じて、前記パラメータの更新処理を行う更新手段と、を有する。 In view of the above problems, the communication device of the present invention is used for encryption communication with the other communication device when the communication unit performs encryption communication with the other communication device and the communication device is operating in the first power state. Control means for causing the communication device to transition to a second power state in which the power consumption of the communication device is higher than that of the first power state before the expiration date of the parameter to be set Updating means for performing update processing of the parameter in response to transition of the operation state of the communication device from the first power state to the second power state.
本発明によれば、第1の電力状態で動作している間に、暗号通信に用いられるパラメータの有効期限が切れないようにすることができる。 ADVANTAGE OF THE INVENTION According to this invention, it can prevent the expiration date of the parameter used for encryption communication from expiring while operate | moving in a 1st electric power state.
<実施形態1>
図1に、本実施形態の通信システム構成図を示す。通信装置101は、リモートコントローラ(以下、コントローラ)102とLANやWAN等のネットワークを介して接続されている。ここで、通信装置101およびコントローラ102とは、具体的には、カメラ、プリンタ、スマートフォン、PC、サーバ、ストレージ、プロジェクタ、ディスプレイ、ルータ、ネットワークカメラ、車両等である。
<Embodiment 1>
FIG. 1 shows a configuration diagram of a communication system of the present embodiment. The
また、ネットワークは、ここではイーサネット(登録商標)であるものとして説明するが、無線ネットワークや光ファイバーネットワーク等であってもよい。無線ネットワークとして、例えば、IEEE802.11シリーズ(Wi−Fi)、Bluetooth(登録商標)、LTE、ZigBee、MBOA、UWB(WUSB、W1394、WINET)などに準拠した無線ネットワークがある。ここで、MBOAとは、Multi Band OFDM Allianceの略である。 The network is described as being Ethernet (registered trademark) here, but may be a wireless network, an optical fiber network, or the like. As a wireless network, for example, there is a wireless network compliant with IEEE 802.11 series (Wi-Fi), Bluetooth (registered trademark), LTE, ZigBee, MBOA, UWB (WUSB, W1394, WINET) and the like. Here, MBOA is an abbreviation for Multi Band OFDM Alliance.
また、通信装置101はコントローラ102とTCP/IPに準拠した通信(以下、TCP/IP通信)を行う。TCPとはTransmission Control Protocolの略であり、IPとはInternet Protocolの略である。なお、TCPに代えてUDP(User Datagram Protocol)であってもよい。以下、IPに準拠したパケットのことをIPパケットと称する。
The
通信装置101は、更にIPSec(Security Architecture for the Internet Protocol)を利用した暗号通信をコントローラ102と行うことができる。IPSecではIPに準拠した通信を暗号化する。このような暗号通信をIPSec通信と呼ぶ。IPSec通信では、IPパケットをIPSecに従って暗号化されたIPSecパケットを送受信する。
The
IPSecを利用することで、通信装置101はコントローラ102との通信の秘匿化や認証を行って、通信内容を保護することができる。
By using IPSec, the
本実施形態では、通信装置101はIPSecを利用して、通信装置101に対する操作指示をコントローラ102から受信する。また、通信装置101はIPSecを利用して、通信装置101の状態を問合せる問合せコントローラ102から受信する。そして、通信装置101はIPSecを利用して、当該問合せに対する応答をコントローラ102に送信する。
In the present embodiment, the
また、通信装置101はIPSecを利用して、コントローラ102から映像データや画像データ等の様々なデータを通信する。また、当該データに対する所定の処理の結果についても、通信装置101はIPSecを利用してコントローラ102と通信する。
The
また、通信装置101はIPSecを利用した暗号通信を複数の他の通信装置と並行して行うことができる。
Further, the
図2に、通信装置101のハードウェア構成を示す。通信装置101は、ネットワーク通信部201、アプリケーションシステム部202、および、電源制御部203を有する。
FIG. 2 shows a hardware configuration of the
まず、ネットワーク通信部201の内部構成について説明する。ネットワーク通信部201を構成するハードウェアモジュールの各々はローカルバス219を介して接続されている。
First, the internal configuration of the
通信制御部211は、ネットワーク110に接続しており、ネットワーク110を介してコントローラ102とIPパケットを含む伝送フレームを送受信する。例えば、ネットワーク110がイーサネット(登録商標)の場合、通信制御部211は、イーサネット(登録商標)のMAC処理(伝送メディア制御処理)を行って、伝送フレームを送受信する。このMACはMedia Access Controlの略である。ローカルRAM212は、ネットワーク通信部201の一時記憶メモリである。
The
DB部213は、TCP/IP通信やIPsec通信に必要な情報を管理するためのデータベースである。より具体的には、DB部213は、TCP/IP通信のコネクション情報を管理する。コネクション情報には、例えば、通信装置101とコントローラ102の各々のIPアドレスや、TCPやUDPのポート番号、TCB(TCP Control Block)などが含まれる。
The
更に、DB部213は、IPsec処理に用いられるSA(Security Association)と、複数のSAを集約したSAD(Security Association Database)とを管理する。
Further, the DB
ここで、SAとは、IPSecを利用するIPセッション(IPSecセッション)毎に生成され、通信装置101とコントローラ102とで共有されるパラメータである。通常、1つのIPSecセッションに対して、IPSecパケットを送信するために用いられるSAと、IPSecパケットを受信するために用いられるSAの2つが存在する。
Here, SA is a parameter that is generated for each IP session (IPSec session) that uses IPSec and is shared between the
SAは、当該IPセッションで用いられる暗号アルゴリズムや暗号鍵の情報を含む。更に、SAは当該SAの有効期間を示す情報を含む。また、SAは、当該SAを識別するための値であるSPI(Security Parameter Index)を含む。 SA includes information on the encryption algorithm and encryption key used in the IP session. Further, the SA includes information indicating the validity period of the SA. The SA includes an SPI (Security Parameter Index) that is a value for identifying the SA.
また、SAは、当該IPセッションにおけるIPSecのプロトコル種別を示す情報を含む。具体的には、IPパケットのペイロード部の暗号化を行うESPと、ペイロード部の暗号化を行わないAHと、のいずれのプロトコルに準拠したIPsecを行うかを示す情報である。ここで、ESPとはEncapsulating Security Payloadの略であり、AHとはAuthentication Headerの略である。 The SA includes information indicating the IPSec protocol type in the IP session. Specifically, it is information indicating which protocol conforming to the ESP that encrypts the payload portion of the IP packet or AH that does not encrypt the payload portion. Here, ESP is an abbreviation for Encapsulating Security Payload, and AH is an abbreviation for Authentication Header.
また、SAは、当該セッションにおけるIPSecのプロトコルモードを示す情報を含む。具体的には、IPパケットのIPヘッダを暗号化するトンネルモードと、IPヘッダを暗号化しないトランスポートモードと、のいずれの方式でIPSecを行うかを示す情報である。 The SA includes information indicating the IPSec protocol mode in the session. Specifically, the information indicates whether IPSec is performed in a tunnel mode in which the IP header of the IP packet is encrypted or a transport mode in which the IP header is not encrypted.
また、SAは、IPパケットの認証処理であるMAC(Message Authentication Code)処理で利用される認証アルゴリズムを示す情報と該MAC処理で利用される認証鍵を含む。 The SA includes information indicating an authentication algorithm used in a MAC (Message Authentication Code) process, which is an IP packet authentication process, and an authentication key used in the MAC process.
DB部213は、更に、IPsec処理におけるSP(Security Policy)と、複数のSPを集約したSPD(Security Policy Database)とを管理する。
The DB
ここで、SPとは、IPパケットにIPSec処理を行う条件を示す情報である。当該条件は、IPパケットの宛先のIPアドレスや、送信元のIPアドレス、IPパケットの上位層のプロトコル種別、ポート番号、および/または、それらの組み合わせによって表わされる。 Here, SP is information indicating conditions for performing IPSec processing on IP packets. The condition is expressed by the IP address of the destination of the IP packet, the IP address of the transmission source, the protocol type of the upper layer of the IP packet, the port number, and / or a combination thereof.
SPには、更に、IPパケットが所定の条件を満たす場合に行う処理の情報が含まれる。具体的には、IPsecを適用する“PROTECT”、IPsecを適用しない“BYPASS”、通信パケットを破棄する“DISCARD”の3種類がある。 The SP further includes information on processing performed when the IP packet satisfies a predetermined condition. Specifically, there are three types: “PROTECT” that applies IPsec, “BYPASS” that does not apply IPsec, and “DISCARD” that discards communication packets.
プロトコル処理部214は、通信プロトコル処理専用のハードウェア回路装置であり、TCP/IPプロトコルに準拠した通信処理を行う。より具体的には、プロトコル処理部214は、IPv4(IPバージョン4)、IPv6(IPバージョン6)、ICMP、UDP、TCPの各通信プロトコル処理や、送信フロー制御や輻輳制御、通信エラー制御等を行う。ここで、ICMPとは、Internet Control Message Protocolの略である。なお、通信プロトコル処理専用のハードウェア回路装置に代えて、通信プロトコル処理用に設計されたマイクロプロセッサや汎用プロセッサを用いてもよい。
The
更に、プロトコル処理部214は、IPパケットに対してIPSec処理を実施してIPSecパケットを生成するIPSec処理部215を有する。そして、プロトコル処理部214は、IPSec処理部215および後述する暗号処理部217を利用して、IPsecの暗号化機能で必要とする暗号アルゴリズム計算や、認証機能で必要とするMACに用いられるハッシュ値の計算を行う。このMACはMessage Authentication Codeである。また、プロトコル処理部214はIPSec処理部215を利用して、DB部213のSADに対して検索処理を実行する。そして、プロトコル処理部214は、IPsecセッションに応じたSAを参照してIPsecパケットの送信・受信処理を行う。
Further, the
また、プロトコル処理部214は、ネットワーク通信部201内のDB部213と接続している。また、プロトコル処理部214は、電源制御部203と制御信号線で接続されており、電源制御部203を制御する。プロトコル処理部214は、IPsec処理において、DB部213や、後述する暗号処理部217への制御も行う。
The
暗号処理部217は、IPsecに使用される暗号アルゴリズムによるデータ変換処理や、認証アルゴリズムによる認証処理を高速に実行するハードウェア処理回路である。ここで、暗号処理部217が処理する暗号アルゴリズムとしては例えば、DES、3DES、AESがある。
The
IKE処理部218は、IKE(Internet Key Exchange)プロトコル処理(以下、IKE処理)を実行する。IKE処理とは、SAをコントローラ102との間で共有する処理である。より詳細には、IKE処理部218は、通信相手であるコントローラ102をまず認証する。認証に成功するとIKE処理部218は、IPSec処理で用いるプロトコル種別やプロトコルモード、暗号や認証アルゴリズムの鍵データを決定するための折衝をコントローラ102と行う。IKE処理部218は、折衝の結果に基づいてコントローラ102とのIPsec通信に使用されるパラメータであるSAを作成する。このようにして、通信装置101はコントローラ102とSAを共有する。なお、上述の処理にはSAを更新する処理、即ち、新たなSAを再共有する処理も含まれる。
The
SAを新規に共有した場合、IKE処理部218は、DB部213が有するSADに対して当該SAの登録処理を行う。また、同じIPSecセッションにおいてSAを更新する処理が行われた場合、IKE処理部218は、DB部213が有するSADに対して当該SAの更新処理を行う。また、IKE処理部218は、IPSecセッション終了時に、当該IPSecに対応するSAをDB部213が有するSADから削除する処理を行う。
When the SA is newly shared, the
バスブリッジ回路216は、ネットワーク通信部201とアプリケーションシステム部202との間でバス間転送を行う。
次に、アプリケーションシステム部202の内部構成について説明する。アプリケーションシステム部202を構成するハードウェアモジュールの各々はシステムバス225を介して接続されている。
The
Next, the internal configuration of the application system unit 202 will be described. Each hardware module constituting the application system unit 202 is connected via a
通信装置101の主要な機能(主要機能)は、アプリケーションシステム部202により実現される。主要機能とは、通信装置101がカメラなら撮像機能、プロジェクタなら投影機能、プリンタなら印刷機能を指す。通信装置101における主要機能は通信装置101が実行可能な複数の機能のなかから適宜選択しておくことができるようにしてもよい。
The main functions (main functions) of the
CPU221は、ROM222に記憶されたアプリケーションプログラムやシステムプログラムを読み出して実行することで、主要機能を含む様々な機能を実現する。また、これらのアプリケーションプログラムは、ネットワーク通信を行うことが可能である。該ネットワーク通信は、TCP/IPプロトコルをベースとした通信である。該TCP/IPプロトコル処理は、ネットワーク通信部201において実行される。
The
RAM223は、CPU221がアプリケーションプログラムやシステムプログラムを読み出して実行する際に使用される一時記憶メモリである。アプリケーション機能部224は、主要機能を実行するハードウェアモジュールである。例えば、通信装置101がカメラなら撮像部であり、プロジェクタなら投影部であり、プリンタなら印刷部である。
The
電源制御部203は、ネットワーク通信部201及びアプリケーションシステム部202の電力供給を独立的に制御する。電源制御部203は、アプリケーションシステム部202全体を安全に起動・停止するためのシーケンス制御を行い、各ハードウェアモジュールに対する電源投入の制御やハードウェアリセット制御を実行する。
The
図3に、通信装置101の動作状態の遷移図を示す。なお、当該遷移の判定は、CPU221がROM222から所定のプログラムを読み出して実行することで行われる。
FIG. 3 shows a transition diagram of the operation state of the
通信装置101は、通常電力状態301と省電力状態302とを有する。通常電力状態301では、アプリケーションシステム部202を含む通信装置101全体に電力が供給される。一方、省電力状態302では、ネットワーク通信部201と電源制御部203には電力が供給されるが、アプリケーションシステム部202には電力が供給されない。従って、通常電力状態301は省電力状態302と比べて、通信装置101の消費電力が高い。
The
また、通信装置101は、通常電力状態301である場合にはIKE処理部218によるIKE処理を実行可能であるが、省電力状態302通常電力状態301である場合にはIKE処理部218によるIKE処理を実行しない。このため、電源制御部203は、IKE処理部218への電力供給を停止する。これにより、より通信装置101の消費電力を抑えることができる。
The
通常電力状態301で動作している通信装置101は、主要機能を実行中である場合には通常電力状態301を維持する(311)。通信装置101は、通常電力状態301で動作している際に、主要機能を実行していないアイドル状態が所定時間継続すると、通常電力状態301から省電力状態302に遷移する(312)。
The
一方、省電力状態302で動作している通信装置101は、主要機能の起動要求やシステムの起動要求があった場合、省電力状態302から通常電力状態301に遷移する(313)。ここでは、不図示の操作部を介したユーザの指示、もしくは、コントローラ102からの所定の信号を受信した場合に、通信装置101は、当該起動要求があったと判定する。
On the other hand, the
また、通信装置101が省電力状態302の滞在期間を経過した場合、通信装置101は省電力状態302から通常電力状態301に遷移する(314)。省電力状態302の滞在期間については後述する。
Further, when the
このようにして、通信装置101が省電力状態302から通常電力状態301に遷移した場合、電源制御部203は、IKE処理部218への電力供給を開始する。
In this way, when the
図4に、通信装置101が省電力状態302から通常電力状態301に遷移する際に、ROM222に記憶されたプログラムをCPU221が読み出すことで実現されるフローチャートを示す。図4のフローチャートにおいて、通信装置101は省電力状態302の滞在期間を設定する。
FIG. 4 shows a flowchart realized by the
通信装置101が省電力状態302から通常電力状態301に遷移する場合、通信装置101は、まず省電力状態302の滞在期間を所定の値に設定する(S401)。所定の値としては、具体的な期間のみならず無限大であってもよい。滞在期間を無限大とした場合には特定のイベントが発生した場合に省電力状態から通常電力状態に遷移させる。
When the
次に、通信装置101は省電力状態302において有効なSAを選択する(S402)。ここでは、通信装置101は、通常電力状態301において確立されているIPSecセッションに対応するSAをSADから選択する。通信装置101が複数の他の通信装置と並行してIPSec通信をしている場合など、複数のIPSecセッションを確立している場合には、複数IPSecセッションの各々に対応する複数のSAがSADから選択され得る。当該選択は、TCP/IP通信のコネクション情報、および、SPに基づいてSADを検索することで行われる。なお、所定期間内に利用されていないIPSecセッションに対応するSAについて、通信装置101は有効なSAとして選択しないようにしてもよい。
Next, the
なお、上述の方法に代えて、下記のようにして通信装置101がSAを選択するようにしてもよい。通信装置101は、予め省電力状態302において通信装置101を遠隔制御可能なコントローラの条件を設定しておく。当該設定は、通信装置101が通常電力状態301である場合に、ユーザが不図示の操作部を介して設定する。
Instead of the method described above, the
ここで、条件とは、例えば、IPアドレス、IPアドレスの範囲、遠隔制御のための通信に用いられる通信プロトコル(TCP/UDP等)、ポート番号、および/またはその組み合わせである。通信装置101は、当該条件に合致するSAをSADから選択する。なお、複数のSAが選択される場合もある。
Here, the conditions are, for example, an IP address, an IP address range, a communication protocol (TCP / UDP or the like) used for communication for remote control, a port number, and / or a combination thereof. The
次に、通信装置101は、S402において有効なSAが選択されたか否かを判定する(S403)。例えば、所定期間内に利用したIPSecセッションがない場合などは、S402において有効なSAが選択されない。
Next, the
有効なSAがないと判定された場合(S403のNo)、通信装置101は通常電力状態301から省電力状態302に遷移する(S404)。そして、通信装置101は図4に示すフローチャートを終了する。
When it is determined that there is no valid SA (No in S403), the
一方、有効なSAが存在すると判定された場合(S403のYes)、通信装置101は選択されたSAのうちの1つを抽出する(S405)。そして、通信装置101は抽出されたSAの有効期限の残存期間を判定する(S406)。ここで、残存期間とは、SAの有効期限が切れるまでの時間である。
On the other hand, when it is determined that a valid SA exists (Yes in S403), the
次に、通信装置101は、S406において判定された残存期間が、設定された滞在期間よりも短いか否かを判定する(S407)。残存期間が滞在期間よりも短い場合(S407のYes)、通信装置101は、残存期間と同じか、残存期間よりも所定期間短い期間を新たな滞在期間として設定する(S408)。即ち、通信装置101は、残存期間以下の期間を滞在期間として設定する。ここで、残存期間はSAの有効期限に基づいて判定された期間であるため、通信装置101はSAの有効期限に基づいて残存期間を設定しているとも言うことができる。
Next, the
次に、通信装置101は、S402において選択されたSAのうち未抽出のSAが存在するか否かを判定する(S409)。未抽出のSAが存在する場合、通信装置101は、未抽出のSAのうちの1つを抽出する(S410)。
Next, the
その後、通信装置101は、未抽出のSAが存在しないと判定されるまで、即ち、S402において選択された全てのSAが抽出されるまで、S406〜410の処理を繰り返す。これにより、S403において選択されたSAのうち、有効期限の残存期間が最も短いSAの残存期間に基づいて省電力状態302の滞在期間が設定される。
Thereafter, the
その後、通信装置101は通常電力状態301から省電力状態302に遷移する(S411)。そして、通信装置101は設定された滞在期間が満了するまで省電力状態302を維持する(S412のNo)。
Thereafter, the
設定された滞在期間が満了すると、通信装置101は省電力状態302から通常電力状態301に遷移する(S413)。省電力状態302から通常電力状態301に遷移すると、通信装置101は、有効期限の切れたSAを更新するためにIKE処理を実行する(S414)。その後、通信装置101は図4に示すフローチャートを終了する。
When the set stay period expires, the
上述した実施形態では、通信装置101は、省電力状態302を維持する時間を、コントローラ102とのIPsecセッションに係るSAの有効期限内に設定した。これにより、省電力状態302においてSAの有効期限が切れてしまうことを防止することができる。従って、省電力状態302において有効期限切れのSAを更新するためのIKE処理の実行が防止される。
In the embodiment described above, the
また、省電力状態302においてはIKE処理が行われないので、通信装置101は省電力状態302においてIKE処理部218への電力供給を停止させることができる。これにより、省電力状態302における省電力効果を向上させることができる。
Further, since the IKE process is not performed in the
また、通信装置101はIKE処理を行うことなく、通常電力状態301から省電力状態302に遷移するので、通常電力状態301から省電力状態302への遷移をスムーズに行うことができる。
Further, since the
なお、本実施形態では、IKE処理をネットワーク通信部201内のIKE処理部218で実行するものとしたが、アプリケーションシステム部202内のCPU221によるソフトウェア処理で実行してもよい。
In the present embodiment, the IKE processing is executed by the
また、S408において、残存期間よりも所定期間短い期間を新たな滞在期間として設定する場合、S407において、通信装置101は、残存期間から所定期間だけ差し引いた期間が、設定された滞在期間よりも短いか否かを判定するようにしてもよい。これにより、より正確に残存期間が短いSAの残存期限、もしくは、有効期限に基づいて滞在期間を設定することができる。
In S408, when a period shorter than the remaining period is set as the new stay period, in S407, the
<実施形態2>
実施形態1では、通信装置101が通常電力状態301から省電力状態302に遷移する際に、省電力状態302の滞在期間を設定した。実施形態2では、更に、通信装置101が省電力状態302である場合に、IPSec通信が発生したことに応じて滞在期間を再設定する。
<Embodiment 2>
In the first embodiment, when the
本実施形態の通信システム構成は実施形態1と同様なので同じ符号を付し、ここでは説明を省略する。また、通信装置101のハードウェア構成も実施形態1と同様なので同じ符号を付し、ここでは説明を省略する。
Since the configuration of the communication system of the present embodiment is the same as that of the first embodiment, the same reference numerals are given and the description thereof is omitted here. Further, since the hardware configuration of the
図5に、通信装置101が省電力状態302である際にIPSecパケットを受信した場合、ROM222に記憶されたプログラムをCPU221が読み出すことで実現されるフローチャートを示す。
FIG. 5 shows a flowchart realized when the
まず、通信装置101はIPSecパケットを受信すると、通信装置101は、IPSecパケットの受信処理を実行する(S501)。具体的には、通信装置101はIPSecパケットの復号化やSPに基づく条件チェック等を行う。通信装置101は、IPSecパケットを復号化により、平文のIPパケットを取得することができる。
First, when the
次に、通信装置101は、S501におけるIPSecパケットの受信処理の結果、当該IPSecパケットを破棄するか否かを判定する(S502)。例えば、受信したIPSecパケットに対応するSPが“DISCARD”であった場合、通信装置101は、当該IPSecパケットを破棄すると判定する。
Next, the
IPSecパケットを破棄すると判定された場合(S502のYes)、通信装置101は当該IPSecパケットを破棄する(S503)。その後、通信装置101は図5に示すフローチャートを終了する。
When it is determined to discard the IPSec packet (Yes in S502), the
一方、IPSecパケットを破棄しないと判定された場合(S502のNo)、通信装置101は、復号化されたIPパケットを解析する(S504)。なお、IPパケットが応答を要求するパケットであり、省電力状態302のままで当該パケットに応答可能である場合には、S504において通信装置101は応答を送信する。
On the other hand, when it is determined not to discard the IPSec packet (No in S502), the
IPSecパケットを解析すると、通信装置101は、省電力状態302から通常電力状態301に遷移するか否かを判定する(S505)。例えば、IPSecパケットが通信装置101のアプリケーションシステム部202の起動要求である場合、通信装置101は、省電力状態302から通常電力状態301に遷移すると判定する。また、例えば、IPSecパケットが応答を要求するパケットであり、省電力状態302のままでは当該パケットに応答できない場合、通信装置101は、省電力状態302から通常電力状態301に遷移すると判定する。
When the IPSec packet is analyzed, the
また、例えば、IPSecパケットがIKE処理を要求するISAKMPパケットである場合には、省電力状態302から通常電力状態301に遷移すると判定する。ここで、ISAKMPとは、Internet Security Association and Key Management Protocolの略である。ISAKMPパケットはUDPに準拠したパケットであり、ポート番号は500番が用いられる。また、ISAKMPパケットには、UDPヘッダに続いて、暗号化されていないIKEヘッダが格納されている。IKEヘッダには、IKE処理を要求することを示すフラグが格納されている。
Further, for example, when the IPSec packet is an ISAKMP packet requesting an IKE process, it is determined that the
省電力状態302から通常電力状態301に遷移すると判定された場合、通信装置101は、アプリケーションシステム部202を起動し、省電力状態302から通常電力状態301に遷移する(S506)。そして、図5に示すフローチャートを終了する。その御、必要に応じて、通信装置101は受信したIPSecパケットに応じた処理を実行する。例えば、ISAKMPパケットを受信した場合には、通信装置101はIKE処理を行う。
When it is determined to transition from the
一方、省電力状態302から通常電力状態301に遷移しないと判定された場合、通信装置101は、受信したIPSecパケットに対応するIPSecセッションを特定する(S507)。更に、通信装置101は特定されたIPSecセッションに対応するSAを抽出する(S508)。
On the other hand, when it is determined that the
そして、通信装置101は抽出されたSAの有効期限の残存期間を判定する(S509)。なお、S509において複数のSAが抽出された場合には、通信装置101は、複数のSAの各々の有効期限の残存期間のうち、最も短い残存期間を判定する。
The
そして、通信装置101は、残存期間が残っているか否か、即ち、SAの有効期限が切れているか否かを判定する(S510)。
Then, the
SAの有効期限が切れている場合には(S510のYes)、通信装置101は、省電力状態302から通常電力状態301に遷移する(S511)。省電力状態302から通常電力状態301に遷移すると、通信装置101は、有効期限の切れたSAを更新するためにIKE処理を実行する(S512)。その後、通信装置101は図5に示すフローチャートを終了する。
If the SA expiration date has expired (Yes in S510), the
SAの有効期限が切れていない場合には(S510のNo)、通信装置101は、通信装置101は、S509において判定された残存期間が、設定された滞在期間よりも短いか否かを判定する(S513)。残存期間が滞在期間よりも短い場合(S513のYes)、通信装置101は、残存期間と同じか、残存期間よりも所定期間短い期間を新たな滞在期間として設定する(S514)。
When the SA expiration date has not expired (No in S510), the
その後、通信装置101は図5に示すフローチャートを終了する。
Thereafter, the
これにより、省電力状態302の滞在期間をIPSec通信に応じて動的に変更することができる。上述したように、通常電力状態301から省電力状態302に移行する際、所定期間利用していなかったIPSecセッションに対応するSAは、通信装置101は有効なSAとして選択しないようにすることができる。このようなSAについても、当該SAを用いた暗号通信があったことに応じて、当該SAの有効期限に合わせた滞在期間を設定することができる。
Thereby, the stay period of the
なお、上述の実施形態では、実施形態1で設定された滞在期間を更新する例について説明した。しかしこれに限らず、実施形態1における滞在期間の設定を行わないようにしてもよい。このような場合には、省電力状態302において、実際にIPsec通信に使われたSAのみを対象として滞在期間を設定することができる。
In the above-described embodiment, the example in which the stay period set in the first embodiment is updated has been described. However, the present invention is not limited to this, and the stay period in the first embodiment may not be set. In such a case, in the
また、S514において、残存期間よりも所定期間短い期間を新たな滞在期間として設定する場合、S513において、通信装置101は、残存期間から所定期間だけ差し引いた期間が、設定された滞在期間よりも短いか否かを判定するようにしてもよい。これにより、より正確に残存期間が短いSAの残存期限、もしくは、有効期限に基づいて滞在期間を設定することができる。
In S514, when a period shorter than the remaining period by a predetermined period is set as a new stay period, in S513, the
また、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。 Also, a process of supplying a program that realizes one or more functions of the above-described embodiment to a system or apparatus via a network or a storage medium, and one or more processors in a computer of the system or apparatus reading and executing the program But it is feasible. It can also be realized by a circuit (for example, ASIC) that realizes one or more functions.
本発明は、上述した1つ乃至複数のうちのいくつかの効果を有する。 The present invention has several effects from one or more of the above.
101 通信装置
102 リモートコントローラ
110 LAN/WAN
101
Claims (13)
他の通信装置と暗号通信する通信手段と、
前記通信装置が第1の電力状態で動作している場合、前記他の通信装置との暗号通信に用いられるパラメータの有効期限が切れる前に、前記通信装置の動作状態を前記第1の電力状態よりも前記通信装置の消費電力が高い第2の電力状態に遷移させる制御手段と、
前記制御手段が前記通信装置の動作状態を前記第1の電力状態から前記第2の電力状態に遷移させたことに応じて、前記パラメータの更新処理を行う更新手段と、
を有することを特徴とする通信装置。 A communication device,
Communication means for performing cryptographic communication with other communication devices;
When the communication device is operating in the first power state, the operation state of the communication device is changed to the first power state before the expiration date of a parameter used for encryption communication with the other communication device expires. Control means for making a transition to a second power state in which the power consumption of the communication device is higher than
Updating means for performing update processing of the parameter in response to the control means transitioning the operating state of the communication device from the first power state to the second power state;
A communication apparatus comprising:
前記制御手段は、前記第1の期間が経過すると、前記通信装置の動作状態を前記第1の電力状態から前記第2の電力状態に遷移させることを特徴とする請求項1または2に記載の通信装置。 A setting unit that sets a first period shorter than a remaining period of an expiration date of a parameter used for encryption communication with the other communication device;
3. The control unit according to claim 1, wherein the control unit transitions the operation state of the communication device from the first power state to the second power state when the first period elapses. Communication device.
前記通信装置が第1の電力状態で動作している場合、他の通信装置との暗号通信に用いられるパラメータの有効期限が切れる前に、前記通信装置の動作状態を前記第1の電力状態よりも前記通信装置の消費電力が高い第2の電力状態に遷移させる遷移工程と、
前記通信装置の動作状態が前記第1の電力状態から前記第2の電力状態に遷移されたことに応じて、前記パラメータの更新処理を行う更新工程と、
を有することを特徴とする制御方法。 A communication device control method comprising:
When the communication device is operating in the first power state, the operation state of the communication device is changed from the first power state before the expiration date of a parameter used for encryption communication with another communication device expires. A transition step of transitioning to a second power state where the power consumption of the communication device is high
An update step of performing an update process of the parameter in response to the operation state of the communication device being changed from the first power state to the second power state;
A control method characterized by comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014149935A JP6429521B2 (en) | 2014-07-23 | 2014-07-23 | COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, PROGRAM |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014149935A JP6429521B2 (en) | 2014-07-23 | 2014-07-23 | COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, PROGRAM |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016025580A true JP2016025580A (en) | 2016-02-08 |
JP6429521B2 JP6429521B2 (en) | 2018-11-28 |
Family
ID=55271971
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014149935A Active JP6429521B2 (en) | 2014-07-23 | 2014-07-23 | COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, PROGRAM |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6429521B2 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006309438A (en) * | 2005-04-27 | 2006-11-09 | Toshiba Corp | Communication device and communication method |
JP2011039770A (en) * | 2009-08-11 | 2011-02-24 | Fuji Xerox Co Ltd | Power saving control device and program |
JP2011037174A (en) * | 2009-08-13 | 2011-02-24 | Fuji Xerox Co Ltd | Power saving control apparatus and program |
JP2012227829A (en) * | 2011-04-21 | 2012-11-15 | Canon Inc | Image processor and control method therefor |
JP2013077914A (en) * | 2011-09-29 | 2013-04-25 | Fujitsu Ltd | Base station, radio communication system and radio communication method |
-
2014
- 2014-07-23 JP JP2014149935A patent/JP6429521B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006309438A (en) * | 2005-04-27 | 2006-11-09 | Toshiba Corp | Communication device and communication method |
JP2011039770A (en) * | 2009-08-11 | 2011-02-24 | Fuji Xerox Co Ltd | Power saving control device and program |
JP2011037174A (en) * | 2009-08-13 | 2011-02-24 | Fuji Xerox Co Ltd | Power saving control apparatus and program |
JP2012227829A (en) * | 2011-04-21 | 2012-11-15 | Canon Inc | Image processor and control method therefor |
JP2013077914A (en) * | 2011-09-29 | 2013-04-25 | Fujitsu Ltd | Base station, radio communication system and radio communication method |
Also Published As
Publication number | Publication date |
---|---|
JP6429521B2 (en) | 2018-11-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11038846B2 (en) | Internet protocol security tunnel maintenance method, apparatus, and system | |
US9516061B2 (en) | Smart virtual private network | |
US10397221B2 (en) | Network controller provisioned MACsec keys | |
US20160315913A1 (en) | Scalable Intermediate Network Device Leveraging SSL Session Ticket Extension | |
US20100235500A1 (en) | Information processing apparatus, network interface apparatus, method of controlling both, and storage medium | |
US20120246473A1 (en) | Encryption information transmitting terminal | |
WO2019129201A1 (en) | Session management for communications between a device and a dtls server | |
WO2020057436A1 (en) | Method for sending message, method for receiving message, and network device | |
US9467471B2 (en) | Encrypted communication apparatus and control method therefor | |
WO2015131609A1 (en) | Method for implementing l2tp over ipsec access | |
WO2012126432A2 (en) | Method, device and system for data transmission | |
JP2013078019A (en) | Communication device, reception control method and transmission control method | |
CN113273235B (en) | Method and system for establishing a secure communication session | |
US20150100784A1 (en) | Communication apparatus and control method therefor | |
JP6429521B2 (en) | COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, PROGRAM | |
JP2012227829A (en) | Image processor and control method therefor | |
US20100275008A1 (en) | Method and apparatus for secure packet transmission | |
JP2009060245A (en) | Communication control method, program and communication device | |
JP2008199420A (en) | Gateway device and authentication processing method | |
JP2012160941A (en) | Information processing device, information processing method and program | |
US20220109694A1 (en) | Communication system, communication method, and non-transitory computer readable medium storing communication program | |
US20220255911A1 (en) | Method for Secure Communication and Device | |
JP6752578B2 (en) | Communication equipment, control methods and programs for communication equipment | |
JP2011015042A (en) | Encryption communication device, encryption communication method, and program | |
JP2019145889A (en) | Switching hub and control communication network system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170428 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180126 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180206 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180404 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20180417 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180713 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20180723 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180828 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180920 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181002 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181030 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6429521 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |