JP2017011618A - 通信装置、通信方法、プログラム、及び通信システム - Google Patents
通信装置、通信方法、プログラム、及び通信システム Download PDFInfo
- Publication number
- JP2017011618A JP2017011618A JP2015127926A JP2015127926A JP2017011618A JP 2017011618 A JP2017011618 A JP 2017011618A JP 2015127926 A JP2015127926 A JP 2015127926A JP 2015127926 A JP2015127926 A JP 2015127926A JP 2017011618 A JP2017011618 A JP 2017011618A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication device
- encryption
- http
- control unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】通信装置において多重暗号化を回避する。【解決手段】他の通信装置との間で特定のプロトコルを用いた通信を行う通信装置は、特定のプロトコルにおいて対応が要求されている第1の暗号化処理を行い、該第1の暗号化処理と異なる第2の暗号化処理を行い、該他の通信装置へ送信されるメッセージに対して第1の暗号化処理と第2の暗号化処理とが多重に施されないように、第1の暗号化処理の実行を制御する。【選択図】 図13
Description
本発明は、通信装置、通信方法、プログラム、及び通信システムに関する。
インターネット標準技術として一般に広く利用されているプロトコル(通信規約)の一つに、HTTP(Hyper Text Transfer Protocol)がある。現在、インターネット標準化団体(IETF:Internet Engineering Task Force)において、HTTPの新しいバージョン(HTTP/2)が策定された(非特許文献1)。また、HTTP/2で対応が必須の機能として、TLS(Transport Layer Security)による暗号化通信がある。TLSにより、サーバ・クライアント間で送受信されるHTTP/2通信メッセージの暗号化、通信相手の認証、改竄の検出が可能となる。
Hypertext Transfer Protocol version 2、 インターネット<URL:http://www.ietf.org/id/draft−ietf−httpbis−http2−15.txt>
しかしながら、通信に使用する通信プロトコルによっては、通信データが多重に暗号化される可能性がある。例えば、上記のTLSによる暗号化機能を使用したHTTP/2の通信において、他の暗号化機能(例えば、IPsecなど)を使用するネットワークでは、通信メッセージが多重に暗号化され得る。このような多重暗号化により、暗号通信を開始するための前処理と、本通信での暗号化処理に掛かる時間が増加し、通信時間が増加する可能性がある。
本発明は、上記課題に鑑みて為されたものであり、通信装置において多重暗号化を回避する技術を提供することを目的とする。
上記の目的を達成するための一手段として、本発明に係る通信装置は、以下の構成を有する。すなわち、第1の他の通信装置との間で特定のプロトコルを用いた通信を行う通信装置であって、前記特定のプロトコルにおいて対応が要求されている第1の暗号化処理を行う第1の暗号化手段と、前記第1の暗号化処理と異なる第2の暗号化処理を行う第2の暗号化手段と、前記第1の他の通信装置へ送信されるメッセージに対して前記第1の暗号化処理と前記第2の暗号化処理とが多重に施されないように前記第1の暗号化手段を制御する制御手段と、を有することを特徴とする。
本発明によれば、通信装置において多重暗号化を回避することが可能となる。
(第1実施形態)
図1は、本実施形態に係る通信システムの構成例を示す図である。第1の通信装置10は、本発明における通信装置であり、IEEE802.11に則った無線LAN通信機能を有する。なお、IEEEは、The Institute of Electrical and Electronics Engineersの略であり、LANは、Local Area Networkの略である。第1の通信装置10の具体例は、デジタルカメラ、デジタルビデオカメラ、携帯電話、スマートフォン、PC、ノートPC、サーバ、などである。なお、本実施形態における第1の通信装置10は、無線LAN通信機能を利用しているが、これに限らず、Bluetooth(登録商標)、ZigBee(登録商標)、RFID、などの他の無線LAN通信機能を利用しても良い。また、第1の通信装置10は、Ethernet(登録商標)などの有線LAN通信機能、または無線LAN通信機能と有線LAN通信機能の組合せを利用しても良い。
図1は、本実施形態に係る通信システムの構成例を示す図である。第1の通信装置10は、本発明における通信装置であり、IEEE802.11に則った無線LAN通信機能を有する。なお、IEEEは、The Institute of Electrical and Electronics Engineersの略であり、LANは、Local Area Networkの略である。第1の通信装置10の具体例は、デジタルカメラ、デジタルビデオカメラ、携帯電話、スマートフォン、PC、ノートPC、サーバ、などである。なお、本実施形態における第1の通信装置10は、無線LAN通信機能を利用しているが、これに限らず、Bluetooth(登録商標)、ZigBee(登録商標)、RFID、などの他の無線LAN通信機能を利用しても良い。また、第1の通信装置10は、Ethernet(登録商標)などの有線LAN通信機能、または無線LAN通信機能と有線LAN通信機能の組合せを利用しても良い。
第2の通信装置20は、第1の通信装置10と同じく、本発明における通信装置である。本実施形態において、第1の通信装置10と、第2の通信装置20とが、直接無線LAN接続を行う。なお、本実施形態では、第1の通信装置10と、第2の通信装置20とが、直接無線LAN接続を行うが、これに限らず、無線アクセスポイントを経由して接続しても良い。本実施形態では、第1の通信装置10と、第2の通信装置20とが、HTTP/2規格に則ったHTTP通信を行う。
次に、本実施形態に係る通信システムの構成要素を詳細に説明する。図2は、本実施形態に係る第1の通信装置10のハードウェア構成例を示すブロック図である。なお、第2の通信装置20も、第1の通信装置10と同じ構成であるため、以後は第1の通信装置10のみを説明する。
第1の通信装置10は、CPU201と、ROM202と、RAM203と、補助記憶装置204と、表示部205と、操作部206と、無線通信部207と、アンテナ208と、を備える。なお、CPUは、Central Processing Unitの略であり、ROMは、Read Only Memoryの略であり、RAMは、Random Access Memoryの略である。
CPU201は、第1の通信装置10全体を制御する。ROM202は、変更を必要としないプログラムやパラメタを格納する。RAM203は、補助記憶装置204などから供給されるプログラムやデータを一時記憶する。補助記憶装置204は、画像コンテンツや映像コンテンツなどデータを記憶する。表示部205は、ユーザが第1の通信装置10を操作するためのGUI(Graphical User Interface)を表示する。操作部206は、ユーザが第1の通信装置10を操作するための入力インタフェースである。無線通信部207は、アンテナ208を制御し、無線アクセスポイント、または第2の通信装置20と無線LAN通信する。
図3は、本実施形態に係る第1の通信装置10の機能モジュール構成例を示すブロック図である。なお、第2の通信装置20は、第1の通信装置10の構成から多重暗号判定制御部311を除いた構成であるため、以後は第1の通信装置10のみを説明する。
制御部301は、第1の通信装置10が備える個々の機能モジュール全体を制御する。無線LAN通信制御部302は、無線通信部207を制御し、第2の通信装置20との無線LAN通信方式の通信制御を行う。表示制御部303は、表示部205を制御し、第1の通信装置10におけるGUIの表示制御を行う。操作制御部304は、操作部206を制御し、第1の通信装置10におけるユーザからの操作入力制御を行う。
記憶制御部305は、RAM203または補助記憶装置204を制御し、処理データ、または画像コンテンツや映像コンテンツなどのデータを記憶または削除する。TCP/IP通信制御部306は、無線LAN通信制御部302を利用して、第2の通信装置20との間で、TCP(Transmission Control Protocol)/IP(Internet Protocol)方式の通信制御を行う。なお、本実施形態における第1の通信装置10は、TCP/IP通信を利用するが、これに限らず、UDP(User Datagram Protocol)、を利用しても良い。
HTTP通信制御部307は、TCP/IP通信制御部306を利用して、第2の通信装置20との間で、HTTP/2方式の通信制御を行う。サービス制御部308は、HTTP通信制御部307を利用して、第2の通信装置20に対するサービスの提供、または第2の通信装置20が提供するサービスの利用を制御する。本実施形態において、サービス制御部308は、DLNA、UPnP、及びWebサービス方式をそれぞれ利用する。なお、サービス制御部308は、これらに限らず、SOAP、REST、AtomPub、など他のサービス制御方式を利用しても良い。なお、UPnPは、Universal Plug and Playの略であり、DLNAは、Digital Living Network Allianceの略である。また、SOAPは、Simple Object Access Protocolの略であり、RESTは、Representational State Transferの略である。また、AtomPubは、Atom Publishing Protocolの略である。
TCP通信暗号処理部309は、第2の通信装置20との間で、TLS(Transport Layer Security)を利用し、TCP通信の暗号化処理を行う。TCP通信暗号処理部309は、HTTP通信制御部307が第2の通信装置20との間でTLSを利用したHTTP/2通信を行う際に、暗号化処理を実行する。なお、TCP通信暗号処理部309は、HTTP/2で対応が必須な(HTTP/2において要求されている)暗号化方式の処理するものであり、TLS以外にHTTP/2で対応が必須な暗号化方式がある場合は、その暗号化方式を利用してもよい。なお、TLSは、HTTP/2において対応が必須の暗号化方式であるが、使用が必須というわけではない。すなわち、TCP通信暗号処理部309は、TLSによる暗号化を行わずにHTTP/2の規格に準拠した通信を行うことができる。
IP通信暗号処理部310は、第2の通信装置20との間で、IPsec(Security Architecture for Internet Protocol)を利用したIP通信の暗号化処理を行う。なお、IP通信暗号処理部310は、IPsecに限らず、他のIP通信暗号化方式を利用してもよい。多重暗号判定制御部311は、IP通信暗号処理部310によりIP通信が暗号化されていることを検知し、HTTP通信制御部307がHTTP/2通信を開始すると多重暗号化になり得ることを判定する。この判定を受けて、多重暗号判定制御部311は、HTTP通信制御部307がTLSを使用しないHTTP/2通信を開始するように、制御する。
図5は、本実施形態に係る第1の通信装置10が、第2の通信装置20との通信接続から通信切断までを行う際のメッセージの例を示すシーケンス図である。本実施形態において、第1の通信装置10は、第2の通信装置20との通信開始時のTCP通信接続メッセージにおける暗号化の有無に基づいて、TLSを使用する、またはTLSを使用しないHTTP/2通信を開始することを判断する。
M501において、第1の通信装置10は、第2の通信装置20とIPsec通信接続を行う。該IPsec通信接続に係る詳細なシーケンスは、図6に示す。M502において、第1の通信装置10は、第2の通信装置20とHTTP/2通信を開始するために、TCP通信接続を行う。第1の通信装置10は、本TCP通信接続において、HTTP/2通信を開始した場合に多重暗号化され得ることを判定する。該判定に係る詳細なシーケンスは、図7に示す。M503において、第1の通信装置10は、第2の通信装置20とHTTPリクエストの送信、及びHTTPレスポンスの受信を行う。該受信に係る詳細なシーケンスは、図8に示す。M504において、第1の通信装置10は、第2の通信装置20とHTTP通信切断を行う。該HTTP通信切断に係る詳細なシーケンスは、図9に示す。以下、図6〜図9を参照して、図5に示される各シーケンスを説明する。
図6は、本実施形態に係る第1の通信装置10が、第2の通信装置20とIPsec通信接続を行う際のメッセージの例を示すシーケンス図である。
M601(M602〜M607)において、第1の通信装置10は、第2の通信装置20とメインモードによるISAKMP SAの確立を行う。なお、ISAKMPは、Internet Security Association and Key Management Protocolの略であり、SAは、Security Associationの略である。
M602において、第1の通信装置10は、第2の通信装置20に、ISAKMP SAに必要なパラメータを提示するためのメッセージを送信する。提示するパラメータは、セキュリティプロトコルID、ISAKMPトランスフォームID、暗号化アルゴリズム、ハッシュアルゴリズム、認証方式、Oakleyグループ、ISAKMP SAの有効期間、などである。M603において、第2の通信装置20は、第1の通信装置10に、M602で提示された各パラメータの中から決定したパラメータを送信する。
M604において、第1の通信装置10は、第2の通信装置20に、共有秘密鍵の生成に必要な情報(パラメータなど)を送信する。送信するパラメータは、DH(Diffie−Hellman)公開値、乱数値、Cookie、などである。M605では、第2の通信装置20は、第1の通信装置10に、共有秘密鍵の生成に必要な情報(パラメータなど)を送信する。M606において、第1の通信装置10は、M604で送信し、M605で受信した情報に基づき生成した共有秘密鍵を使用した認証メッセージを、第2の通信装置20に送信する。M607では、第2の通信装置20は、M604で受信し、M605で送信した情報に基づき生成した共有秘密鍵を使用した認証メッセージを、第1の通信装置10に送信する。
M608(M609〜M611)において、第1の通信装置10は、第2の通信装置20とIPsec SAの確立を行う。
M609において、第1の通信装置10は、第2の通信装置20に、IPsec SAに必要なパラメータを提示するためのメッセージを送信する。提示するパラメータは、セキュリティプロトコルID、AHトランスフォームID、ESPトランスフォームID、IPCompトランスポートID、などである。また、提示するパラメータは、認証アルゴリズム、Oakleyグループ、IPsec SAの有効期間、カプセル化モード、ECNトンネル、などであってもよい。なお、AHは、Authentication Headerの略であり、ESPは、Encapsulated Security Payloadの略である。また、IPCompは、IP Payload Compression Protocolの略である。
M610において、第2の通信装置20は、第1の通信装置10に、M609で提示された各パラメータの中から決定したパラメータを送信する。M611において、第1の通信装置10は、第2の通信装置20に、メッセージの完全性を確保するため、ハッシュペイロードを送信する。
なお、本実施形態では、第1の通信装置10は、第2の通信装置20とメインモードの一形態によるISAKMP SAの確立を行ったが、これに限らず、メインモードのその他の形態や、アグレッシブモードによるISAKMP SAの確立を行ってもよい。
図7は、本実施形態に係る第1の通信装置10が、第2の通信装置20とTCP通信接続を行う際のメッセージを使用して多重暗号化の判定を行い、TLSによる暗号化通信の開始を判断する際のメッセージの例を示すシーケンス図である。
M701(M702〜M704)において、第1の通信装置10は、第2の通信装置20とTCP通信接続を行う。
M702において、第1の通信装置10は、第2の通信装置20にTCP接続要求(SYNフレーム)を送信する。M703において、第2の通信装置20は、第1の通信装置10に対し、TCP接続要求応答(SYN/ACKフレーム)を送信する。M704において、第1の通信装置10は、第2の通信装置20に応答(ACKフレーム)を送信する。
M705において、第1の通信装置10は、M701(M702〜M704)で送信および受信したメッセージがIP通信暗号処理部310により暗号化されているか否かを判定する。該メッセージがIP通信暗号処理部310により暗号化されている場合、多重暗号判定制御部311は、TLSを使用しないHTTP/2通信を開始することをHTTP通信制御部307に通知する。該メッセージがIP通信暗号処理部310により暗号化されていない場合、多重暗号判定制御部311は、TLSを使用したHTTP/2通信を開始することをHTTP通信制御部307に通知する。本判定処理を示す詳細なフローチャートは、図13を用いて後述する。
M706(M707〜M716)において、M705の多重暗号化判定の結果、TLSを使用するHTTP/2通信を開始する場合、第1の通信装置10は、第2の通信装置20とTLS通信接続を行う。
M707において、第1の通信装置10は、第2の通信装置20に利用可能な暗号化、圧縮アルゴリズムの一覧を送信する(Client Hello)。M708において、第2の通信装置20は、第1の通信装置10に対し、決定した暗号化、圧縮アルゴリズムを送信する(Server Hello)。M709において、第2の通信装置20は、第1の通信装置10に対し、ルート証明書、サーバ証明書を送信する(Server Certificate)。M710において、第2の通信装置20は、第1の通信装置10にサーバ鍵情報を送信する(Server Key Exchange)。M711において、第2の通信装置20は、第1の通信装置10に対し、一連の処理の完了を通知する(Server Hello Done)。
M712において、第1の通信装置10は、第2の通信装置20に対し、鍵情報(プリマスターシークレット)を送信する(Client Key Exchange)。M713において、第1の通信装置10は、第2の通信装置20に対し、暗号化アルゴリズムの準備完了を通知する(Change Cipher Spec)。M714において、第1の通信装置10は、第2の通信装置20に対し、鍵交換と認証処理の完了を通知する(Finished)。M715において、第2の通信装置20は、第1の通信装置10に対し、暗号化アルゴリズムの準備完了を通知する(Change Cipher Spec)。M716において、第2の通信装置20は、第1の通信装置10に鍵交換と認証処理の成功を通知する(Finished)。
図8は、本実施形態に係る第1の通信装置10が、第2の通信装置20とHTTPリクエストの送信、及びHTTPレスポンスの受信を行う際のメッセージの例を示すシーケンス図である。
M801において、第1の通信装置10は、HTTP通信制御部307により、第2の通信装置20に送信するためのHTTPリクエストを作成する。この際、第1の通信装置10は、HTTPリクエストヘッダテーブルを利用して、HTTPリクエストヘッダを圧縮する。なお、M801において、第1の通信装置10は、TLSを使用したHTTP/2リクエストを行う場合、リクエストヘッダに含むプロトコルの識別子に、TLS上のHTTP/2通信であることを示す“h2”を用いる。一方、第1の通信装置10は、TLSを使用しないHTTP/2リクエストを行う場合、リクエストヘッダに含むプロトコルの識別子に、TCP上のHTTP/2通信であることを示す“h2c”を用いる。
M802において、第1の通信装置10のHTTP通信制御部307は、M801で作成したHTTPリクエストヘッダに基づき、HTTPリクエストヘッダテーブルを更新する。
M803(M804〜M806)において、第1の通信装置10のHTTP通信制御部307は、第2の通信装置20に対し、HTTP/2方式によるHTTPリクエストを送信する。
M804において、第1の通信装置10は、第2の通信装置20に、HTTPリクエストライン、及びHTTPリクエストヘッダを示すHEADERS+PRIORITYフレームを送信する。M805〜M806において、第1の通信装置10は、第2の通信装置20に、HTTPリクエストボディを示すDATAフレームを送信する。第1の通信装置10は、最終のDATAフレームに、FINALフラグを付与する。
M807は、第2の通信装置20において、第1の通信装置10に対するHTTPヘッダテーブルが存在しない場合に行われる処理である。M808において、第2の通信装置20は、HTTPヘッダテーブルを新規に作成する。
M809において、第2の通信装置20は、第1の通信装置10から受信したHTTPリクエスト中のHTTPリクエストヘッダに基づき、HTTPリクエストヘッダテーブルを更新する。
M810において、第2の通信装置20は、HTTP通信制御部307により、第1の通信装置10に送信するHTTPレスポンスを作成する。この際、第2の通信装置20は、HTTPレスポンスヘッダテーブルを利用して、HTTPレスポンスヘッダを圧縮する。M811において、第2の通信装置20のHTTP通信制御部307は、M810で作成したHTTPレスポンスヘッダに基づき、HTTPレスポンスヘッダテーブルを更新する。
M812(M813〜M815)において、第2の通信装置20は、第1の通信装置10に対し、HTTP/2方式によるHTTPレスポンスを送信する。
M813において、第2の通信装置20は、第1の通信装置10に対し、HTTPステータスライン、及びHTTPレスポンスヘッダを示すHEADERSフレームを送信する。M814〜M815において、第2の通信装置20は、第1の通信装置10に対し、HTTPレスポンスボディを示すDATAフレームを送信する。第2の通信装置20は、最終のDATAフレームに、FINALフラグを付与する。M816において、第1の通信装置10のHTTP通信制御部307は、第2の通信装置20から受信したHTTPレスポンス中のHTTPレスポンスヘッダに基づき、HTTPレスポンスヘッダテーブルを更新する。
図9は、本実施形態に係る第1の通信装置10が、第2の通信装置20とHTTP/2通信切断を行う際のメッセージの例を示すシーケンス図である。
M901において、第1の通信装置10は、第2の通信装置20に対し、HTTP/2におけるGOAWAYフレームを送信する。
M902(M903〜M905)において、第1の通信装置10は、TCP/IP通信制御部306とHTTP通信制御部307の制御により、第2の通信装置20とTCP通信切断を行う。M903において、第1の通信装置10は、第2の通信装置20にTCP切断要求(FINフレーム)を送信する。M904において、第2の通信装置20は、第1の通信装置10にTCP切断要求応答(FIN/ACKフレーム)を送信する。M905において、第1の通信装置10は、第2の通信装置20に応答(ACKフレーム)を送信する。
図13は、図7のM705の処理の手順を示すフローチャートである。本実施形態に係る第1の通信装置10は、第2の通信装置20とHTTP/2通信を開始する際に、HTTP/2通信におけるメッセージが多重暗号になり得るか否かを判定する。多重暗号になり得ると判定された場合、第1の通信装置10は、TLSを使用しないHTTP/2通信を開始する。
ステップS1301において、第1の通信装置10のTCP/IP通信制御部306は、第2の通信装置20とTCPコネクションを確立する。本ステップは、M701に示したシーケンスである。ステップS1302において、多重暗号判定制御部311は、HTTP通信制御部307からこれから開始するHTTP通信のバージョンの通知を受け、HTTP通信のバージョンがHTTP/2か否かを判定する。HTTP通信のバージョンがHTTP/2でない場合(S1302;NO)、処理はステップS1303に進む。ステップS1303において、多重暗号判定制御部311は、HTTP/2以外のHTTP通信を開始することをHTTP通信制御部307に通知する。そして、HTTP通信制御部307は、HTTP/2以外のHTTP通信を開始する。一方、HTTP通信のバージョンがHTTP/2であった場合(S1302;YES)、処理はステップS1304に進む。
ステップS1304において、多重暗号判定制御部311は、IP通信暗号処理部310からステップS1301のメッセージが暗号化されたか否かの通知を受け、IP通信暗号処理部310により該メッセージが暗号化されたか否かを判定する。該メッセージが暗号化されていなかった場合(S1304;NO)、処理はステップS1305に進む。一方、該メッセージが暗号化されていた場合(S1304;YES)、処理はステップS1306に進む。
ステップS1305において、多重暗号判定制御部311は、TLSを使用したHTTP/2通信を開始することをHTTP通信制御部307に通知する。HTTP通信制御部307は、TCP通信暗号処理部309を制御し、TLS通信接続(M706に示したシーケンス)およびTLSを使用したHTTP/2通信を開始する。ステップS1306において、多重暗号判定制御部311は、TLSを使用しないHTTP/2通信を開始することをHTTP通信制御部307に通知する。HTTP通信制御部307は、TLSを使用しないHTTP/2通信を開始する。
M1306による通信の結果、第1の通信装置10は、第2の通信装置20からエラーメッセージ(RST_STREAMフレーム)が返ってくるか否かを判定する。第2の通信装置20からエラーメッセージが返ってきた場合(S1307;YES)、第1の通信装置10の多重暗号判定制御部311は、第2の通信装置20がTLSを使用しないHTTP/2通信に対応していないと判断する。そして、処理はステップS1305に進む。一方、第2の通信装置20からエラーメッセージが返ってこなかった場合(S1307;NO)、処理はステップS1308に進む。なお、本ステップは、図13において、第1の通信装置10が1つ目のリクエストを送信した際に、第2の通信装置20から受信するレスポンスに対する判定である。
ステップS1308において、多重暗号判定制御部311は、TLSを使用しないHTTP/2通信を継続することをHTTP通信制御部307に通知する。これを受けて、HTTP通信制御部307は、TLSを使用しないHTTP/2通信を継続する。
次に、図3のステップS1305、ステップS1306、ステップS1308に係る、HTTP/2通信を開始する際のHTTP/2リクエスト送信を示す詳細なフローチャートを、図14を参照して説明する。図14は、本実施形態に係る第1の通信装置10が、第2の通信装置20にHTTPリクエストを送信し、第2の通信装置20からHTTPレスポンスを受信する動作の手順を示すフローチャートである。
ステップS1401において、HTTP通信制御部307は、HTTPリクエストヘッダを作成し、HTTPヘッダテーブルを利用して、HTTPリクエストヘッダを圧縮する。なお、本ステップにおいて、HTTP通信制御部307は、TLSを使用したHTTP/2リクエストを行う場合、リクエストヘッダに含むプロトコルの識別子に、TLS上のHTTP/2通信であることを示す“h2”を用いる。一方、TLSを使用しないHTTP/2リクエストを行う場合、HTTP通信制御部307は、リクエストヘッダに含むプロトコルの識別子に、TCP上のHTTP/2通信であることを示す“h2c”を用いる。
ステップS1402において、HTTP通信制御部307は、ステップS1401において圧縮したHTTPリクエストヘッダを含めたHTTPリクエストを作成する。ステップS1403において、HTTP通信制御部307は、第2の通信装置20にHEADERS+PRIORITYフレームを送信する。
ステップS1404において、HTTP通信制御部307は、ステップS1402において作成したHTTPリクエスト中にHTTPリクエストボディがあるか否かを判定する。HTTPリクエストボディがある場合(S1404;YES)、処理はステップS1405に進む。一方、HTTPリクエスト中にHTTPリクエストボディがない場合(S1404;NO)、処理はステップS1406に進む。ステップS1405において、HTTP通信制御部307は、第2の通信装置20にDATAフレームを送信する。このフレームには、ステップS1402において作成したHTTPリクエストボディの情報が含まれている。そして、HTTP通信制御部307は、HTTPリクエストボディデータのサイズ分、DATAフレームを繰り返し送信する。そして、HTTP通信制御部307は、最後のDATAフレームにFINALフラグを設定する。
ステップS1406において、HTTP通信制御部307は、第2の通信装置20へのHTTPリクエストの送信に成功した場合(S1406;YES)、処理はステップS1407に進む。一方、HTTP通信制御部307は、第2の通信装置20へのHTTPリクエストの送信に失敗した場合(S1406;NO)、処理はステップS1414に進む。ステップS1407において、HTTP通信制御部307は、第2の通信装置20からHTTPレスポンスのHEADERSフレームを受信した場合(S1407;YES)、処理はステップS1408に進む。一方、HTTP通信制御部307は、第2の通信装置20からHTTPレスポンスのHEADERSフレームを受信しなかった場合(S1407;NO)、処理はステップS1414に進む。
ステップS1408において、HTTP通信制御部307は、受信したHEADERSフレームに含まれる圧縮されたHTTPレスポンスヘッダを、HTTPヘッダテーブルを利用して展開する。ステップS1409において、HTTP通信制御部307は、第2の通信装置20から受信するHTTPレスポンスにHTTPレスポンスボディがあるか否かを判定する。HTTPレスポンスにHTTPレスポンスボディがある場合(S1409;YES)、処理はステップS1410に進む。一方、HTTPレスポンスにHTTPレスポンスボディがない場合(S1409;NO)、処理はステップS1411に進む。
ステップS1410において、HTTP通信制御部307は、第2の通信装置20からDATAフレームを受信する。このフレームには、HTTPレスポンスボディの情報が含まれている。そして、HTTP通信制御部307は、HTTPレスポンスボディデータのサイズ分、DATAフレームを繰り返し受信する。ステップS1411において、HTTP通信制御部307は、第2の通信装置20からのHTTPレスポンスの受信に成功した場合(S1411;YES)、処理はステップS1412に進む。一方、HTTP通信制御部307は、第2の通信装置20からのHTTPレスポンスの受信に失敗した場合(S1411;NO)、処理はステップS1414に進む。
ステップS1412において、HTTP通信制御部307は、ステップS1401、及びS1402において作成したHTTPリクエストヘッダに基づき、HTTPリクエストヘッダテーブルを更新する。ステップS1413において、HTTP通信制御部307は、ステップS1407において受信したHTTPレスポンスヘッダに基づき、HTTPレスポンスヘッダテーブルを更新する。そして、HTTP通信制御部307は、処理を終了する。ステップS1414において、HTTP通信制御部307は、第2の通信装置20とのHTTP通信に失敗したとして、処理を終了する。
以上、説明したように、第1の通信装置10は、第2の通信装置20とのHTTP/2通信開始時において、開始するHTTP/2通信が多重暗号化となり得るか否かを判定する。すなわち、第1の通信装置10は、HTTP/2で対応が必須である暗号化手段(TLS)以外の暗号化手段(IPsecなど)を使用して、TCP通信接続メッセージが暗号化されているか否かを確認する。HTTP/2通信が多重暗号化となり得ると判定された場合、第1の通信装置10は、HTTP/2で対応が必須である暗号化手段を使用しないHTTP/2通信を開始して、多重暗号化を回避する。これによって、暗号化に必要な処理時間を軽減し、通信時間を短縮した通信が可能となる。
また、図13を参照して説明したように、第1の通信装置10は、第2の通信装置20とHTTP/2通信を開始する場合、これから開始するHTTP/2通信がIPsecとTLSにより多重に暗号化されることを検出する。すなわち、第1の通信装置10は、TCP通信接続メッセージの暗号化の有無を確認する。それゆえ、通常の通信シーケンスに追加の通信を発生させることなく、多重暗号化の可能性を判定することが可能となる。これによって、通信時間を増加させずに多重暗号化の有無を判定することが可能となる。
また、図13を参照して説明したように、第1の通信装置10は、TLSを使用しないHTTP/2通信を開始後、第2の通信装置20からエラーメッセージが返ってきた場合、TLS通信接続を行い、TLSを使用したHTTP/2通信に切り替える。それゆえ、第1の通信装置10は、第2の通信装置20がTLSを使用しないHTTP/2通信に対応していない場合でも、TLSを使用しないHTTP/2通信を試みることができる。更にその上、TCP接続をそのまま使用してTLSを使用したHTTP/2通信を開始することが可能となる。これによって、TCP接続を切断することなくHTTP/2通信を継続させることが可能となる。
また、本実施形態では、多重暗号判定制御部311は、TCP通信接続メッセージの暗号化の有無を確認することで、これから開始するHTTP/2通信がIPsecとTLSにより多重に暗号化されるか否かを判定する。例えば、第1の通信装置10および第2の通信装置20しか属していない専用ネットワークでの通信の場合、多重暗号判定制御部311は、HTTP/2で対応が必須である暗号化手段を使用しないHTTP/2通信の開始を判定してもよい。
また、TLSを使用しないHTTP/2通信の開始を判定する手法として、以下のものも考えられる。
すなわち、第一の手法として、まず、多重暗号判定制御部311は、HTTP/2通信におけるメッセージが多重暗号になり得ることを判定した上で、SSDPを用いてネットワークを検索する。なお、SSDPは、Simple Service Discovery Protocolの略である。そして、多重暗号判定制御部311は、第1の通信装置10および第2の通信装置20が同一ネットワークに属しており、かつネットワークに属する第3の通信装置30を第1の通信装置10が認証済みであることを確認した場合、該通信の開始を判定してもよい。これは第2実施形態にて説明する。
第二の手法として、まず、多重暗号判定制御部311は、HTTP/2通信におけるメッセージが多重暗号になり得ることを判定する。そして、多重暗号判定制御部311は、HTTP/2通信がWi−Fi Directを使用した通信であり、かつネットワークに属している第3の通信装置30を第1の通信装置10が認証済みであることを確認した場合、該通信の開始を判定してもよい。これは第3実施形態にて説明する。
第三の手法として、まず、多重暗号判定制御部311は、HTTP/2通信におけるメッセージが多重暗号になり得ることを判定する。そして、多重暗号判定制御部311は、ユーザアプリからTLSを使用しない通信設定がされている場合、該通信の開始を判定してもよい。これは第4実施形態にて説明する。
(第2実施形態)
次に、第2実施形態について説明する。本実施形態において、第1実施形態における図、および図中と同じ要素に関しては説明を省略する。図4は、本実施形態に係る通信システムの構成例を示す図である。第3の通信装置30は、第1の通信装置10と同じく、本発明における通信装置であり、第1の通信装置10と同様の構成を有する。
次に、第2実施形態について説明する。本実施形態において、第1実施形態における図、および図中と同じ要素に関しては説明を省略する。図4は、本実施形態に係る通信システムの構成例を示す図である。第3の通信装置30は、第1の通信装置10と同じく、本発明における通信装置であり、第1の通信装置10と同様の構成を有する。
本実施形態において、第1の通信装置10と、第2の通信装置20とが、無線アクセスポイントを経由して、HTTP/2規格に則ったHTTP通信接続を行う。また、第3の通信装置30は、第1の通信装置10および第2の通信装置20と同一ネットワークに属しており、第1の通信装置10および第2の通信装置20および第3の通信装置30は、それぞれ無線アクセスポイントを経由した通信が可能である。なお、本実施形態では、第1の通信装置10と、第2の通信装置20とが、無線アクセスポイントを経由して接続を行ったが、これに限らず、直接無線LAN接続しても良い(第3実施形態)。
図10は、本実施形態に係る第1の通信装置10が、第2の通信装置20との通信接続から通信切断までを行う際のメッセージの例を示すシーケンス図である。M1001、M1003、およびM1004は、図5のM501、M503、およびM504に対応する。以下、図5との差分であるM1002について説明する。
M1002において、第1の通信装置10は、TCP/IP通信制御部306を制御し、第2の通信装置20とHTTP/2通信を開始するために、TCP通信接続を行う。第1の通信装置10の多重暗号判定制御部311は、本TCP通信接続において、HTTP/2通信を開始した場合に多重暗号化され得ることを判定する。さらに、多重暗号判定制御部311は、第2の通信装置20とのHTTP/2通信開始前に、SSDPを用いて、第1の通信装置10および第2の通信装置20が同一ネットワークに属しており、かつ同一ネットワークに第3の通信装置30が属することを検知する。
多重暗号判定制御部311は、第2の通信装置20とのHTTP/2通信が多重暗号化され得る通信であることを判定する。その上で、多重暗号判定制御部311は、第1の通信装置10および第2の通信装置20が同一ネットワークに属しており、かつ同一ネットワークに属す第3の通信装置30が認証済みである場合、TLSを使用しないHTTP/2通信を開始することを決定する。多重暗号判定制御部311は、TLSを使用しないHTTP/2通信を開始することをHTTP通信制御部307に通知する。M1002のシーケンスを示す詳細なフローチャートを図15に示す。
なお、本実施形態では、ネットワークおよび通信装置の情報を取得するプロトコルとしてSSDPを用いたが、これに限らず、IGMPやMLDなど、ネットワーク情報およびネットワークに属す通信装置の情報を取得できる他のプロトコルでも良い。なお、GMPは、Internet Group Management Protocolの略であり、MLDは、Multicast Listener Discoveryの略である。また、本実施形態では、第3の通信装置が1つだけ存在するネットワークを示したが、これに限らず、第3の通信装置が属していないネットワーク、または2つ以上の第3の通信装置が属すネットワークでも良い。
図15は、本実施形態に係る第1の通信装置10が、ネットワークに属している第3の通信装置30の種別に依存して、TLSを使用しないHTTP/2通信を開始する動作の手順を示すフローチャートである。該通信の開始は、第2の通信装置20とHTTP/2通信を開始する際に、多重暗号判定制御部311がHTTP/2通信におけるメッセージが多重暗号になり得ることを判定することが前提となる。なお、本フローチャートは、第1実施形態の図13に置き換わるものであり、図13との差分はS1506およびS1507である。そのため、S1506およびS1507について説明する。
ステップS1506において、第1の通信装置10の多重暗号判定制御部311は、SSDPにおけるM‐SEARCHメッセージをネットワークにマルチキャスト送信し、同一ネットワークに属する通信装置からの応答メッセージを受信する。第1の通信装置10の多重暗号判定制御部311は、本応答メッセージに基づき、第1の通信装置10と第2の通信装置20が同一のネットワークに属していることを判定する。第1の通信装置10の多重暗号判定制御部311は、第1の通信装置10と第2の通信装置20が同一のネットワークに属していない場合(S1506;NO)、ステップS1505に進む。一方、第1の通信装置10と第2の通信装置20が同一のネットワークに属している場合(S1506;YES)、ステップ1507に進む。
ステップS1507において、第1の通信装置10の多重暗号判定制御部311は、S1506において受信した応答メッセージから、第1の通信装置10および第2の通信装置20と同一のネットワークに属している第3の通信装置30を検知する。そして、多重暗号判定制御部311は、第3の通信装置30が、第1の通信装置10により認証済みの機器であることを判定する。第1の通信装置10の多重暗号判定制御部311は、第3の通信装置30が認証済みの機器でない場合(S1507;YES)、処理はステップS1505に進む。一方、第3の通信装置30が認証済みの機器である場合(S1507;NO)、処理はステップ1508に進む。
以上、説明したように、第1の通信装置10は、第2の通信装置20とのHTTP/2通信開始時において、以下の条件が満たされていることを確認した場合に、HTTP/2で対応が必須である暗号化手段を使用しないHTTP/2通信を開始する。すなわち、TCP通信接続メッセージが暗号化されており、第1の通信装置10および第2の通信装置20が同一ネットワークに属し、該ネットワークに属する第3の通信装置30を第1の通信装置10が認証済みである、という条件が満たされた場合である。なお、該TCP通信接続メッセージは、HTTP/2で対応が必須である暗号化手段以外の暗号化手段を使用して暗号化されていることが前提である。これにより、多重暗号化は回避され、また、暗号化に必要な処理時間が軽減され、通信時間を短縮した通信が可能となる。
(第3実施形態)
次に、第3実施形態について説明する。本実施形態において、第1実施形態における図、および図中と同じ要素に関しては説明を省略する。図11は、本実施形態に係る第1の通信装置10が、第2の通信装置20との通信接続から通信切断までを行う際のメッセージの例を示すシーケンス図である。M1101、M1103、およびM1104は図5のM501、M503、およびM504に対応する。以下、図5との差分であるM1102について説明する。
次に、第3実施形態について説明する。本実施形態において、第1実施形態における図、および図中と同じ要素に関しては説明を省略する。図11は、本実施形態に係る第1の通信装置10が、第2の通信装置20との通信接続から通信切断までを行う際のメッセージの例を示すシーケンス図である。M1101、M1103、およびM1104は図5のM501、M503、およびM504に対応する。以下、図5との差分であるM1102について説明する。
M1102において、第1の通信装置10は、TCP/IP通信制御部306を制御し、第2の通信装置20とHTTP/2通信を開始するために、TCP通信接続を行う。第1の通信装置10の多重暗号判定制御部311は、本TCP通信接続において、HTTP/2通信を開始した場合に多重暗号化され得ることを判定する。さらに、第1の通信装置10の多重暗号判定制御部311は、無線LAN通信制御部302からの通知を受け、第2の通信装置20との通信が、Wi‐Fi Direct通信であることを判定する。その上で、多重暗号判定制御部311は、第1の通信装置10がWi‐Fi Direct通信で接続できる第3の通信装置30が存在することを検知する。
多重暗号判定制御部311は、第2の通信装置20とのHTTP/2通信が多重暗号化され得る通信であることを判定する。その上で、多重暗号判定制御部311は、第2の通信装置20との通信がWi‐Fi Direct通信であり、かつ同一ネットワークに属す第3の通信装置30が認証済みである場合、TLSを使用しないHTTP/2通信を開始することを決定する。多重暗号判定制御部311は、TLSを使用しないHTTP/2通信を開始することをHTTP通信制御部307に通知する。M1102のシーケンスを示す詳細なフローチャートを図16に示す。なお、Wi‐Fi Direct通信では、暗号方式として、例えばAESが利用される。
なお、本実施形態では、第1の通信装置10と第2の通信装置20が直接無線LAN接続する方式としてWi‐Fi Direct通信を用いたが、これに限らず、その他の直接無線LAN接続する通信方式でも良い。ピア・ツー・ピアの通信経路で確実に暗号化が施された方式であれば、同様の効果が得られる。また、本実施形態では、第3の通信装置が1つだけ存在するネットワークを示したが、これに限らず、第3の通信装置が属していないネットワーク、または2つ以上の第3の通信装置が属すネットワークでも良い。これは、セッション毎に異なる暗号鍵によって複数通信装置間で通信傍受を防止することができるのが理由である。また、危殆化した暗号アルゴリズム(RC4など)が利用される直接無線LAN接続も存在する。その場合には、TLSを使用するHTTP/2通信を開始することで安全性が確保される。
図16は、本実施形態に係る第1の通信装置10が、ネットワークに属している第3の通信装置30の種別に依存して、TLSを使用しないHTTP/2通信を開始する動作の手順を示すフローチャートである。第1の通信装置10は、第2の通信装置20とHTTP/2通信を開始する際に、多重暗号判定制御部311が、HTTP/2通信におけるメッセージが多重暗号になり得ることを判定した上で、Wi−Fi Directを使用した通信であることを確認する。なお、本フローチャートは、第1実施形態の図13に置き換わるものであり、図13との差分はS1606およびS1607である。そのため、S1606およびS1607について説明する。
ステップS1606において、第1の通信装置10の多重暗号判定制御部311は、無線LAN通信制御部302に対して、S1601のメッセージがWi‐Fi Direct通信により送信されたか否かを問い合わせる。無線LAN通信制御部302は、サービス制御部308から制御されて、Wi‐Fi Direct通信を開始している場合、Wi‐Fi Direct通信を使用していることを多重暗号判定制御部311に通知する。第1の通信装置10の多重暗号判定制御部311は、Wi‐Fi Direct通信を使用していない場合(S1606;NO)、処理はステップS1505に進む。一方、Wi‐Fi Direct通信を使用している場合(S1606;YES)、処理はステップ1607に進む。
ステップS1607において、第1の通信装置10の多重暗号判定制御部311は、無線LAN通信制御部302に対して、形成したWi‐Fi Direct通信グループに、第3の通信装置30が属していないかを問い合わせる。無線LAN通信制御部302は、該通信グループに第3の通信装置30が属していた場合、第3の通信装置30を認証済みであるかを多重暗号判定制御部311に通知する。多重暗号判定制御部311は、該通信グループに未認証の第3の通信装置30が属している場合(S1607;YES)、処理はステップS1605に進む。一方、該通信グループに認証済みの第3の通信装置30が属している場合(S1606;YES)、処理はステップ1608に進む。
以上、説明したように、第1の通信装置10は、第2の通信装置20とのHTTP/2通信開始時において、以下の条件が満たされていることを確認した場合に、HTTP/2で対応が必須である暗号化手段を使用しないHTTP/2通信を開始する。すなわち、TCP通信接続メッセージが暗号化されており、かつWi−Fi Directを使用した通信であり、かつネットワークに属している第3の通信装置30を第1の通信装置10が認証済み、という条件が満たされた場合である。なお、該TCP通信接続メッセージは、HTTP/2で対応が必須である暗号化手段以外の暗号化手段を使用して暗号化されていることが前提である。これにより、多重暗号化は回避され、また、暗号化に必要な処理時間が軽減され、通信時間を短縮した通信が可能となる。
(第4実施形態)
次に、第4実施形態について説明する。本実施形態において、第1実施形態における図、および図中と同じ要素に関しては説明を省略する。なお、本実施形態に係る通信システムの構成例を示す図は図1である。
次に、第4実施形態について説明する。本実施形態において、第1実施形態における図、および図中と同じ要素に関しては説明を省略する。なお、本実施形態に係る通信システムの構成例を示す図は図1である。
図12は、本実施形態に係る第1の通信装置10が、第2の通信装置20との通信接続から通信切断までを行う際のメッセージの例を示すシーケンス図である。M1201、M1203、およびM1204は図5のM501、M503、およびM504に対応する。以下、図5との差分であるM1202について説明する。
M1202において、第1の通信装置10はTCP/IP通信制御部306を制御し、第2の通信装置20とHTTP/2通信を開始するために、TCP通信接続を行う。第1の通信装置10の多重暗号判定制御部311は、本TCP通信接続において、HTTP/2通信を開始した場合に多重暗号化され得ることを判定する。さらに、第1の通信装置10の多重暗号判定制御部311は、サービス制御部308にユーザアプリからTLSを使用しない通信設定がされていないかを問い合わせる。
多重暗号判定制御部311は、第2の通信装置20とのHTTP/2通信が多重暗号化され得る通信であり、かつユーザアプリからTLSを使用しない通信設定の通知を受けた場合、TLSを使用しないHTTP/2通信を開始することを決定する。多重暗号判定制御部311は、TLSを使用しないHTTP/2通信を開始することをHTTP通信制御部307に通知する。M1202のシーケンスを示す詳細なフローチャートを図17に示す。
図17は、ユーザアプリからの通知に依存してTLSを使用しないHTTP/2通信を開始する動作の手順を示すフローチャートである。本実施形態に係る第1の通信装置10は、第2の通信装置20とHTTP/2通信を開始する際に、多重暗号判定制御部311でHTTP/2通信におけるメッセージが多重暗号になり得ることを判定する。なお、本フローチャートは、第1実施形態の図13に置き換わるものであり、図13との差分はS1706である。そのため、S1706について説明する。
ステップS1706において、第1の通信装置10の多重暗号判定制御部311は、サービス制御部308に対し、ユーザアプリからTLSを使用しない通信設定をされていないかを問い合わせる。多重暗号判定制御部311は、TLSを使用する通信設定となっている場合(S1706;NO)、処理はステップS1705に進む。一方、多重暗号判定制御部311は、TLSを使用しない通信設定となっている場合(S1706;YES)、処理はステップS1707に進む。
以上、説明したように、第1の通信装置10は、以下の条件が満たされていることを確認した場合に、HTTP/2で対応が必須である暗号化手段を使用しないHTTP/2通信を開始する。すなわち、TCP通信接続メッセージが暗号化されており、かつ第1の通信装置10がユーザアプリからTLSを使用しない通信設定の通知を受けた、という条件が満たされた場合である。なお、該TCP通信接続メッセージは、HTTP/2で対応が必須である暗号化手段以外の暗号化手段を使用して暗号化されていることが前提である。これにより、多重暗号化は回避され、また、暗号化に必要な処理時間が軽減され、通信時間を短縮した通信が可能となる。
このように、本発明によれば、HTTP/2通信において、クライアントが多重暗号となり得ることを検知し、HTTP/2で対応が必須である第一のメッセージ暗号化手段を使用しないHTTP/2通信を開始することで、多重暗号化を回避することが可能である。これによって、HTTP/2通信において、第一のメッセージ暗号化手段により暗号通信を開始するための前処理と、本通信での暗号化処理とに掛かる時間を削減することができるため、通信時間を短縮することが可能となる。なお、上記においては、特定のプロトコルとしてHTTP/2を用いて説明したが、上記実施形態が適用できるプロトコルであれば、他の通信プロトコルも利用可能である。例えば、HTTP/2の代わりにSPDYやQUICを用いても良い。
[その他の実施形態]
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
10 第1の通信装置、20 第2の通信装置、30 第3の通信装置、301 制御部、302 無線LAN通信制御部、303 表示制御部、304 操作制御部、305 記憶制御部、306 TCP/IP通信制御部、307 HTTP通信制御部、308 サービス制御部、309 TCP通信暗号処理部、310 IP通信暗号処理部、311 多重暗号判定制御部
Claims (12)
- 第1の他の通信装置との間で特定のプロトコルを用いた通信を行う通信装置であって、
前記特定のプロトコルにおいて対応が要求されている第1の暗号化処理を行う第1の暗号化手段と、
前記第1の暗号化処理と異なる第2の暗号化処理を行う第2の暗号化手段と、
前記第1の他の通信装置へ送信されるメッセージに対して前記第1の暗号化処理と前記第2の暗号化処理とが多重に施されないように前記第1の暗号化手段を制御する制御手段と、
を有することを特徴とする通信装置。 - 前記制御手段は、前記第2の暗号化手段により前記第1の他の通信装置へ送信されるメッセージに対して前記第2の暗号化処理が行われた場合、前記第1の暗号化処理を行わないように前記第1の暗号化手段を制御することを特徴とする請求項1に記載の通信装置。
- 前記制御手段は、さらに、前記第1の他の通信装置が前記通信装置と同一のネットワークに属し、前記通信装置により認証済みの前記ネットワークに属する第2の他の通信装置が存在する場合に、前記第1の暗号化処理を行わないように前記第1の暗号化手段を制御することを特徴とする請求項2に記載の通信装置。
- 前記ネットワークは、無線のネットワークであることを特徴とする請求項3に記載の通信装置。
- 前記制御手段は、さらに、ユーザにより前記第1の暗号化手段を使用しない設定がされていた場合に、前記第1の暗号化処理を行わないように前記第1の暗号化手段を制御することを特徴とする請求項2に記載の通信装置。
- 前記第2の暗号化処理が行われた前記メッセージが通信された後に、前記第1の他の通信装置からエラーが返された場合に、前記制御手段は、前記第2の暗号化処理が行われた前記メッセージに対して前記第1の暗号化処理を行うように前記第1の暗号化手段を制御することを特徴とする請求項2から5のいずれか1項に記載の通信装置。
- 前記第2の暗号化処理が行われた前記メッセージが通信された後に、前記第1の他の通信装置からエラーが返されない場合に、前記第2の暗号化処理が行われた前記メッセージを用いた通信を継続することを特徴とする請求項6に記載の通信装置。
- 前記第2の暗号化手段により前記第1の他の通信装置へ送信されるメッセージに対して前記第2の暗号化処理が行われていない場合、前記制御手段は、該メッセージに対して前記第1の暗号化処理を行うように前記第1の暗号化処理を制御することを特徴とする請求項1から7のいずれか1項に記載の通信装置。
- 前記特定のプロトコルは、HTTP/2であり、前記第1の暗号化処理は、TLS(Transport Layer Security)を利用した暗号化方式による処理であることを特徴とする請求項1から8のいずれか1項に記載の通信装置。
- 他の通信装置との間で特定のプロトコルを用いた通信を行う通信方法であって、
前記特定のプロトコルにおいて対応が要求されている第1の暗号化処理を行う第1の暗号化工程と、
前記第1の暗号化処理と異なる第2の暗号化処理を行う第2の暗号化工程と、
前記他の通信装置へ送信されるメッセージに対して前記第1の暗号化処理と前記第2の暗号化処理とが多重に施されないように前記第1の暗号化処理の実行を制御する制御工程と、
を有することを特徴とする通信方法。 - コンピュータを、請求項1から9のいずれか1項に記載の通信装置の各手段として機能させるためのプログラム。
- 通信装置と、該通信装置との間で特定のプロトコルを用いた通信を行う他の通信装置を含む通信システムであって、
前記特定のプロトコルにおいて対応が要求されている第1の暗号化処理を行う第1の暗号化手段と、
前記第1の暗号化処理と異なる第2の暗号化処理を行う第2の暗号化手段と、
相手の通信装置へ送信されるメッセージに対して前記第1の暗号化処理と前記第2の暗号化処理とが多重に施されないように前記第1の暗号化手段を制御する制御手段と、
を有することを特徴とする通信システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015127926A JP2017011618A (ja) | 2015-06-25 | 2015-06-25 | 通信装置、通信方法、プログラム、及び通信システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015127926A JP2017011618A (ja) | 2015-06-25 | 2015-06-25 | 通信装置、通信方法、プログラム、及び通信システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2017011618A true JP2017011618A (ja) | 2017-01-12 |
Family
ID=57762028
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015127926A Pending JP2017011618A (ja) | 2015-06-25 | 2015-06-25 | 通信装置、通信方法、プログラム、及び通信システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2017011618A (ja) |
-
2015
- 2015-06-25 JP JP2015127926A patent/JP2017011618A/ja active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11432347B2 (en) | Peer to peer networking and sharing systems and methods | |
US10880294B2 (en) | End-to-end authentication at the service layer using public keying mechanisms | |
CN113596828B (zh) | 端对端服务层认证 | |
EP3286896B1 (en) | Scalable intermediate network device leveraging ssl session ticket extension | |
EP3668048B1 (en) | Methods and apparatuses for bootstrapping machine-to-machine service | |
CN105684344B (zh) | 一种密钥配置方法和装置 | |
JP6311021B2 (ja) | エンドツーエンドm2mサービス層セッション | |
WO2019178942A1 (zh) | 一种进行ssl握手的方法和系统 | |
KR101688118B1 (ko) | 사물인터넷 환경에서의 보안 통신 장치 및 그 방법 | |
WO2017031691A1 (zh) | 业务处理方法及装置 | |
US10243741B2 (en) | Key exchange and mutual authentication in low performance devices | |
WO2017091987A1 (zh) | 一种终端间的安全交互方法及装置 | |
EP3462666B1 (en) | Service processing method and device | |
US9596326B2 (en) | Communication apparatus, communication method, and non-transitory computer-readable medium | |
Trabalza et al. | INDIGO: Secure CoAP for Smartphones: Enabling E2E Secure Communication in the 6IoT | |
JP2017011618A (ja) | 通信装置、通信方法、プログラム、及び通信システム | |
CN102904861B (zh) | 一种基于isakmp的扩展认证方法及系统 | |
CN115967717B (zh) | 基于中继集群的通信方法和装置 | |
Mouri | Iot protocols and security |