JP2017069756A - 通信システム、通信装置、および、コンピュータプログラム - Google Patents

通信システム、通信装置、および、コンピュータプログラム Download PDF

Info

Publication number
JP2017069756A
JP2017069756A JP2015192953A JP2015192953A JP2017069756A JP 2017069756 A JP2017069756 A JP 2017069756A JP 2015192953 A JP2015192953 A JP 2015192953A JP 2015192953 A JP2015192953 A JP 2015192953A JP 2017069756 A JP2017069756 A JP 2017069756A
Authority
JP
Japan
Prior art keywords
communication
encryption
service providing
encryption method
relay
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015192953A
Other languages
English (en)
Other versions
JP6679867B2 (ja
Inventor
田中 聡
Satoshi Tanaka
聡 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Brother Industries Ltd
Original Assignee
Brother Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Brother Industries Ltd filed Critical Brother Industries Ltd
Priority to JP2015192953A priority Critical patent/JP6679867B2/ja
Publication of JP2017069756A publication Critical patent/JP2017069756A/ja
Application granted granted Critical
Publication of JP6679867B2 publication Critical patent/JP6679867B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】 通信装置とサービス提供装置との間で、暗号通信が可能な状態を維持する。【解決手段】 通信装置は、中継装置を介さずに、サービス提供装置に対して通信装置が使用可能な1個以上の暗号化方式を示す方式情報を送信する送信部と、方式情報に示される1個以上の暗号化方式のうちの使用すべき特定の暗号化方式を示す方式通知と、方式情報に含まれる1個以上の暗号化方式の使用を拒否することを示す拒否通知と、のいずれかを、サービス提供装置から受信する受信部と、方式通知が受信される場合に、サービス提供装置との間に特定の暗号化方式に従う暗号通信を確立する第1確立部と、拒否通知が受信される場合に、中継装置との間に暗号通信を確立する第2確立部と、を備える。【選択図】 図4

Description

本発明は、通信装置と、通信装置に対して特定のサービスを提供するサービス提供装置と、の通信技術に関する。
特許文献1には、クライアント装置と、プリントサーバと、を含むネットワーク印刷システムが開示されている。クライアント装置は、インターネットを介して接続されたプリントサーバと通信を行って、プリントサーバが提供する印刷サービスを利用することができる。クライアント装置とプリントサーバとの間の通信には、共通鍵を用いて暗号化された通信が用いられる。
特開2006−339847号公報
しかしながら、上記技術では、クライアント装置が使用可能な暗号化方式の使用がプリントサーバによって拒否される場合には、クライアント装置と、プリントサーバとが、暗号通信を実行できない可能性があった。特に、プリントサーバが、クライアント装置に対して使用を許容する暗号化方式を変更した場合には、クライアント装置は、プリントサーバとの間で暗号通信が可能な状態から、プリントサーバとの間で暗号通信が不可能な状態となり、クライアント装置のユーザにとって不便であった。
本明細書は、通信装置が使用可能な暗号化方式の使用が、特定のサービスを提供するサービス提供装置によって拒否される場合であっても、通信装置とサービス提供装置との間で、暗号通信が可能な状態を維持することができる技術を開示する。
本明細書に開示された技術は、以下の適用例として実現することが可能である。
[適用例1]通信装置と、中継装置と、を含み、前記通信装置と前記中継装置とのそれぞれが、前記通信装置に対して特定のサービスを提供するサービス提供装置と通信を行う通信システムであって、前記通信装置は、前記中継装置を介さずに、前記サービス提供装置に対して、前記通信装置が使用可能な1個以上の暗号化方式を示す第1方式情報を送信する第1送信部と、前記第1方式情報の送信に対する応答として、前記第1方式情報に示される1個以上の暗号化方式のうちの使用すべき第1暗号化方式を示す第1方式通知と、前記第1方式情報に含まれる1個以上の暗号化方式の使用を拒否することを示す拒否通知と、のいずれかを、前記サービス提供装置から受信する第1受信部と、前記第1方式通知が受信される場合に、前記サービス提供装置との間に、前記第1暗号化方式に従う暗号通信を確立する第1確立部と、確立済の前記第1暗号化方式に従う暗号通信を用いて、前記中継装置を介さずに、前記サービス提供装置との間で、前記特定のサービスに関する対象データの通信を行う第1通信部と、前記拒否通知が受信される場合に、前記中継装置との間に、暗号通信を確立する第2確立部と、前記中継装置との間に確立済の暗号通信を用いて、前記中継装置を介して、前記サービス提供装置との間で、前記対象データの通信を行う第2通信部と、を備え、前記中継装置は、前記通信装置との間に、暗号通信を確立する第3確立部と、前記通信装置との間の暗号通信の確立後に、前記サービス提供装置に対して、前記中継装置が使用可能な複数個の暗号化方式を示す第2方式情報を送信する第2送信部であって、前記第2方式情報に含まれる1個以上の暗号化方式は、前記第1暗号化方式とは異なる暗号化方式を含む、前記第2送信部と、前記第2方式情報の送信に対する応答として、前記第2方式情報に含まれる1個以上の暗号化方式のうちの使用すべき第2暗号化方式を示す第2方式通知を、前記サービス提供装置から受信する第2受信部と、前記第2方式通知が受信される場合に、前記サービス提供装置との間に、前記第2暗号化方式に従う暗号通信を確立する第4確立部と、前記通信装置との間に確立済の暗号通信と、前記サービス提供装置との間に確立済の暗号通信とを用いて、前記通信装置と前記サービス提供装置との間の前記対象データの通信を中継する中継部と、
を備える、通信システム。
上記構成によれば、通信装置が使用可能な暗号化方式の使用がサービス提供装置に拒否される場合であっても、通信装置は、中継装置を介した暗号通信によって、サービス提供装置との間で、特定のサービスに関する対象データの通信を行うことができる。この結果、通信装置が使用可能な暗号化方式の使用がサービス提供装置に拒否される場合であっても、通信装置とサービス提供装置との間で、暗号通信が可能な状態を維持することができる。
[適用例2]通信装置であって、中継装置を介さずに、特定のサービスを提供するサービス提供装置に対して、前記通信装置が使用可能な1個以上の暗号化方式を示す方式情報を送信する送信部と、前記方式情報の送信に対する応答として、前記方式情報に示される1個以上の暗号化方式のうちの使用すべき特定の暗号化方式を示す方式通知と、前記方式情報に含まれる1個以上の暗号化方式の使用を拒否することを示す拒否通知と、のいずれかを、前記サービス提供装置から受信する受信部と、前記方式通知が受信される場合に、前記サービス提供装置との間に、前記特定の暗号化方式に従う暗号通信を確立する第1確立部と、確立済の前記特定の暗号化方式に従う暗号通信を用いて、前記サービス提供装置との間で、前記特定のサービスに関する対象データの通信を行う第1通信部と、前記拒否通知が受信される場合に、前記中継装置との間に、暗号通信を確立する第2確立部と、前記中継装置との間に確立済の暗号通信を用いて、前記中継装置を介して、前記サービス提供装置との間で、前記対象データの通信を行う第2通信部と、を備える、通信装置。
上記構成によれば、通信装置が使用可能な暗号化方式の使用がサービス提供装置に拒否される場合であっても、通信装置は、中継装置を介した暗号通信によって、サービス提供装置との間で、特定のサービスに関する対象データの通信を行うことができる。この結果、通信装置が使用可能な暗号化方式の使用がサービス提供装置に拒否される場合であっても、通信装置とサービス提供装置との間で、暗号通信が可能な状態を維持することができる。
[適用例3]中継装置のためのコンピュータプログラムであって、通信装置との間に、暗号通信を確立する第1確立機能と、前記通信装置との間の暗号通信の確立後に、特定のサービスを提供するサービス提供装置に対して、前記中継装置が使用可能な複数個の暗号化方式を示す方式情報を送信する送信機能であって、前記方式情報に含まれる1個以上の暗号化方式は、前記通信装置が使用可能な1個以上の暗号化方式とは異なる暗号化方式を含む、前記送信機能と、前記方式情報の送信に対する応答として、前記方式情報に含まれる1個以上の暗号化方式のうちの使用すべき特定の暗号化方式を示す方式通知を、前記サービス提供装置から受信する受信機能と、前記方式通知が受信される場合に、前記サービス提供装置との間に、前記特定の暗号化方式に従う暗号通信を確立する第2確立機能と、前記通信装置との間に確立済の暗号通信と、前記サービス提供装置との間に確立済の暗号通信と、を用いて、前記通信装置と前記サービス提供装置との間の前記対象データの通信を中継する中継機能と、をコンピュータに実現させる、コンピュータプログラム。
上記構成によれば、中継装置は、通信装置との間に暗号通信を確立するとともに、サービス提供サーバ300との間に暗号通信を確立する。従って、通信装置が使用可能な暗号化方式の使用がサービス提供装置に拒否される場合であっても、中継装置を介した暗号通信によって、サービス提供装置との間で、特定のサービスに関する対象データの通信を行うことができる。この結果、通信装置が使用可能な暗号化方式の使用がサービス提供装置に拒否される場合であっても、通信装置とサービス提供装置との間で、暗号通信が可能な状態を維持することができる。
なお、本発明は、種々の形態で実現することが可能であり、例えば、通信装置と、前記通信装置に対して特定のサービスを提供するサービス提供装置と、の通信を中継する中継装置、通信装置と前記通信装置に対して特定のサービスを提供するサービス提供装置と、の通信方法、通信装置のためのコンピュータプログラム、上記のコンピュータプログラムを記録した記録媒体(例えば、一時的ではない記録媒体)、等の形態で実現することができる。
本実施例としてのシステム1000の構成を示すブロック図である。 システム1000内の装置が有する情報の概念図である。 システム1000の通信の一例を示すシーケンス図である。 システム1000の通信の一例を示すシーケンス図である。 システム1000の通信の一例を示すシーケンス図である。 使用暗号化方式の選択のフローチャートである。
A.実施例:
A−1:システム1000の構成
次に、実施の形態を実施例に基づき説明する。図1は、本実施例としてのシステム1000の構成を示すブロック図である。図2は、システム1000内の装置が有する情報の概念図である。
システム1000は、通信装置としてのデバイス100と、中継サーバ200と、サービス提供サーバ300と、を備える。デバイス100は、LAN(Local Area Network)70に接続されている。LAN70は、インターネット80に接続されている。中継サーバ200、および、サービス提供サーバ300は、インターネット80に接続されている。この結果、デバイス100と中継サーバ200、および、中継サーバ200とサービス提供サーバ300は、LAN70やインターネット80を介して、互いに通信することができる。
デバイス100は、画像の印刷や画像のスキャンなどの画像処理を実行する、いわゆる複合機である。デバイス100は、複合機に限らず、スキャナ、プリンタ、デジタルカメラなどの他の画像処理デバイスであってもよく、携帯端末装置、パーソナルコンピュータなどの汎用デバイスであっても良い。デバイス100は、CPU110と、ハードディスクドライブやEEPROMなどの不揮発性記憶装置120と、RAMなどの揮発性記憶装置130と、所定の方式(例えば、レーザ方式や、インクジェット方式)で画像を印刷するプリンタ部140と、光学的に対象物(例えば、紙の文書)を読み取ることによってスキャンデータを生成するスキャナ部150と、タッチパネルやボタンなどの操作部160と、タッチパネルと重畳された液晶パネルなどの表示部170と、ネットワークインタフェース(IF)180と、を備えている。ネットワークIF180は、例えば、イーサネット(登録商標)規格に準拠したインタフェースであり、LAN70に接続するために用いられる。
不揮発性記憶装置120は、コンピュータプログラムPG1と、サーバ情報SIと、暗号化方式リストCL1と、を格納している。揮発性記憶装置130には、CPU110が処理を行う際に生成される種々の中間データを一時的に格納するバッファ領域131が設けられている。
コンピュータプログラムPG1は、デバイス100の出荷時に、予め不揮発性記憶装置120に記憶される形態で提供される。コンピュータプログラムPG1は、インターネット80を介してデバイス100に接続されたサーバからダウンロードされる形態で提供されても良く、CD−ROMやDVD−ROMなどに格納された形態で提供されても良い。
CPU110は、コンピュータプログラムPG1を実行することにより、デバイス100のコントローラーとして機能する。たとえば、CPU110は、プリンタ部140やスキャナ部150を制御して印刷やスキャンを実行する。また、CPU110は、中継サーバ200を介さずに、あるいは、中継サーバ200を介して、サービス提供サーバ300と通信を行うサーバ通信機能を実現できる。詳細は後述するが、本実施例のサーバ通信機能は、サービス提供サーバ300に対して、デバイス100において生成したスキャンデータを送信するために実行される。
サーバ情報SIは、サーバ通信機能において通信すべきサーバの情報である。サーバ情報SIは、デバイス100が、通信を行うべき中継サーバ200およびサービス提供サーバ300を示す情報、具体的には、URL(Uniform Resource Locatorの略)と、サービス提供サーバ300にログインするための認証情報(ユーザ名およびパスワード)を含む。
暗号化方式リストCL1は、デバイス100が使用可能な1個以上の暗号化方式を示すリストである。暗号化方式は、デバイス100と、デバイス100とネットワークを介して接続された外部装置(例えば、中継サーバ200やサービス提供サーバ300)と、の間の暗号通信の方式である。暗号化方式は、暗号通信に用いられる複数項目のアルゴリズムを並べて示す暗号化スイートによって定義される。
図2(A)には、暗号化方式リストCL1の一例が示されている。暗号化方式リストCL1は、暗号化方式をそれぞれ示す複数個の暗号化スイートを含んでいる。1個の暗号化方式に含まれる複数項目のアルゴリズムは、鍵交換アルゴリズムと、認証アルゴリズムと、暗号化アルゴリズムと、ハッシュアルゴリズムと、を含んでいる。
鍵交換アルゴリズムは、通信データの暗号化に用いられる暗号化鍵(共有鍵)を、通信を行う2個の装置間で交換するためのアルゴリズムである。鍵交換アルゴリズムには、例えば、「RSA」、「DHE(Diffie-Hellman key Exchangeの略)」、「ECDHE(Elliptic Curve Diffie-Hellman key Exchangeの略)」が用いられる。
RSA鍵交換アルゴリズムは、第1装置が、第2装置の公開鍵を用いて共有鍵を暗号化した暗号データを第2装置に送信するプロセスを含む。第2装置は、自信の秘密鍵を用いて、暗号データを復号することによって、共有鍵を取得する。第3者は、秘密鍵を持っていないので、盗聴した暗号通信を復号することはできない。しかし、第3者は、将来、秘密鍵を入手できた場合、それまでに盗聴した暗号通信を復号して見ることができる。したがって、RSA鍵交換アルゴリズムは、いわゆるPFS(Perfect Forward Secrecyの略)を達成できない。
一方、DHE鍵交換アルゴリズムや、ECDHE鍵交換アルゴリズムでは、セッション毎に第1装置と第2装置のそれぞれによって生成されるランダムなパラメータを用いて、共有鍵の交換を行う。これらのパラメータは、漏洩しても別のセッションでの通信のセキュリティには何ら影響を及ぼさない。したがって、DHE鍵交換アルゴリズムや、ECDHE鍵交換アルゴリズムでは、いわゆるPFSを達成できる。
この観点からは、DHE鍵交換アルゴリズムやECDHE鍵交換アルゴリズムは、RSA鍵交換アルゴリズムよりセキュリティレベルが高いということができる。
認証アルゴリズムは、通信を行う2個の装置のうち、少なくとも一方の装置の認証を行うためのアルゴリズムである。認証アルゴリズムには、例えば、「RSA」、「DSA(Digital Signature Algorithmの略)」が用いられる。
暗号化アルゴリズムは、交換された暗号化鍵(共有鍵)を用いて通信データを暗号化するためのアルゴリズムである。暗号化アルゴリズムには、例えば、「DES(Data Encryption Standardの略)」、「3DES(Triple Data Encryption Standardの略)」、「AES(Advanced Encryption Standardの略)」が用いられる。なお、暗号化アルゴリズムを示す各アルファベットの末尾に、暗号化鍵の鍵長を示す数字(例えば、128、256)を付加して、例えば、DES128、DES256と表現する。同じ種類の暗号化アルゴリズム間では、鍵長が長いほどセキュリティレベルが高い。
ハッシュアルゴリズムは、データのダイジェストを生成するためのアルゴリズムである。ハッシュアルゴリズムは、他のアルゴリズムの少なくとも一つで用いられる。ハッシュアルゴリズムは、例えば、認証アルゴリズムにおいて、署名データの生成や、電子証明書の検証などに用いられる。ハッシュアルゴリズムには、例えば、「SHA(Secure Hash Algorithmの略)1」、「SHA256」、「SHA512」などが用いられる。セキュリティレベルは、「SHA512」>「SHA256」>「SHA1」の順に高い。
ここで、本実施例では、図2に示すように、4種類の暗号化方式A〜Dが用いられる。図2には、各暗号化方式A〜Dを示す暗号化スイートが示されている。これらの暗号化スイートから解るように、暗号化方式Aの鍵交換−認証−暗号化−ハッシュのアルゴリズムの組み合わせは、「RSA」−「RSA」−「AES128」−「SHA256」である。そして、暗号化方式Bのアルゴリズムの組み合わせは、「RSA」−「RSA」−「AES256」−「SHA256」である。暗号化方式Cのアルゴリズムの組み合わせは、「DHE」−「RSA」−「AES128」−「SHA1」である。のアルゴリズムの組み合わせは、「DHE」−「RSA」−「AES256」−「SHA1」である。
図2(A)に示すように、暗号化方式リストCL1は、暗号化方式Aを示す暗号化スイートと、暗号化方式Bを示す暗号化スイートと、を含む。すなわち、デバイス100は、2個の暗号化方式A、Bを使用可能である。図2(A)に示すように、暗号化方式A、Bは、鍵交換アルゴリズムとして、「RSA」を採用しており、よりセキュリティレベルが高い「DHE」や「ECDHE」を採用していない。
中継サーバ200(図1)は、デバイス100のベンダによって提供されるサーバである。中継サーバ200は、詳細は後述するが、デバイス100を含む複数個のデバイスと、サービス提供サーバ300を含む複数個のサービス提供サーバと、の間の通信を中継する。
中継サーバ200は、CPU210と、ハードディスクドライブなどの不揮発性記憶装置220と、RAMなどの揮発性記憶装置230と、インターネット80と接続するためのネットワークIF280と、を備えている。
不揮発性記憶装置220は、コンピュータプログラムPG2と、暗号化方式リストCL2と、登録テーブルCTと、参照情報RIと、を格納している。揮発性記憶装置230には、CPU210が処理を行う際に生成される種々の中間データを一時的に格納するバッファ領域231が設けられている。
コンピュータプログラムPG2は、インターネット80を介して接続されるベンダの計算機からアップロードされる形態で提供されても良く、CD−ROMやDVD−ROMなどに格納された形態で提供されても良い。CPU210は、コンピュータプログラムPG2を実行することによって、中継サーバ200のコントローラーとしての機能を実現する。これらの機能の詳細は、後述する。
暗号化方式リストCL2は、中継サーバ200が使用可能な複数個の暗号化方式を示すリストである。図2(B)に示すように、暗号化方式リストCL2には、暗号化方式リストCL1に示される暗号化方式A、Bを示す暗号化スイートに加えて、暗号化方式リストCL1に示される暗号化方式とは異なる暗号化方式C、Dを示す暗号化スイートを含む。すなわち、中継サーバ200は、異なる4個の暗号化方式A〜Dを使用可能である。中継サーバ200は、デバイス100だけでなく、図示しない複数個のデバイス、例えば、中継サーバ200を提供するベンダが販売している複合機、スキャナ、プリンタとの通信を行う。また、中継サーバ200は、サービス提供サーバ300や、図示しない複数個のサービス提供サーバとの通信を行う。このために、中継サーバ200は、これらのデバイスやサービス提供サーバが使用し得る多数の暗号化方式を使用できることが好ましい。
登録テーブルCTは、中継サーバ200が暗号通信を確立したことがあるサービス提供サーバの情報が登録されるテーブルである。図2(C)に示すように、登録テーブルCTに登録される1個のエントリE1には、サービス提供サーバを示す識別子としてのURLと、使用暗号化方式と、が関連付けられている。使用暗号化方式は、サービス提供サーバとの間で確立された暗号通信にて用いられた暗号化方式である。
参照情報RIは、暗号化方式に含まれる複数項目のアルゴリズムのうちの特定のアルゴリズムについて、セキュリティレベルの順序を示す情報である。図2(D)の参照情報RIでは、暗号化アルゴリズムについて、「AES」>「3DES」>「DES」の順に、セキュリティレベルが高いこと示されている。
サービス提供サーバは、クライアント(例えば、デバイス100)に対して、特定のサービスを提供するサーバである。例えば、サービス提供サーバ300は、画像データを保存することができる保存サービスを提供する。保存サービスは、例えば、クライアントから送信されたデータを保存するストレージサービスや、クライアントから送信されたデータの保存と公開とを行うソーシャルネットワークサービスを含む。保存サービスは、具体的には、「Evernote(登録商標)」、「Dropbox(登録商標)」、「Facebook(登録商標)」などの公知のサービスを含む。
サービス提供サーバ300は、CPU310と、ハードディスクドライブなどの不揮発性記憶装置320と、RAMなどの揮発性記憶装置330と、インターネット80と接続するためのネットワークIF380と、を備えている。
不揮発性記憶装置320は、コンピュータプログラムPG3と、暗号化方式リストCL3と、を格納している。揮発性記憶装置330には、CPU310が処理を行う際に生成される種々の中間データを一時的に格納するバッファ領域331が設けられている。
コンピュータプログラムPG3は、インターネット80を介して接続されるサービス提供サーバ300の運営者の計算機からアップロードされる形態で提供されても良く、CD−ROMやDVD−ROMなどに格納された形態で提供されても良い。CPU310は、コンピュータプログラムPG3を実行することによって、サービス提供サーバ300のコントローラーとしての機能を実現する。これらの機能の詳細は、後述する。
暗号化方式リストCL3は、サービス提供サーバ300が使用可能な1個以上の暗号化方式を示すリストである。図2(E)に示すように、暗号化方式リストCL3は、2個の暗号化方式C、Dを2個の暗号化スイートを含む。すなわち、サービス提供サーバ300は、2個の暗号化方式C、Dを使用可能である。図2(E)に示すように、暗号化方式C、Dは、鍵交換アルゴリズムとして、「DHE」を採用しており、よりセキュリティレベルが低い「RSA」を採用していない。
A−2:システム1000の動作
A−2−1.通信プロトコル
本実施例において、デバイス100を含む複数個のデバイスと、中継サーバ200と、の間の通信のプロトコルについて説明する。各デバイスと、中継サーバ200と、の間の通信は、デバイスおよび中継サーバ200のそれぞれのアプリケーション層のプログラム(以下、単に、アプリケーションと呼ぶ)に従って、各デバイスをクライアント、中継サーバ200をサーバとして、行われる。各デバイスと中継サーバ200のアプリケーションは、アプリケーション層のプロトコルであるHTTP(Hypertext Transfer Protocolの略)に従う通信を行う。アプリケーションの下位のトランスポート層の通信は、TCP(Transmission Control Protocolの略)に従って行われる。そして、アプリケーション層のHTTPより下位で、トランスポート層のTCPより上位の層で、SSL/TLS(Secure Sockets Layer/Transport Layer Securityの略)に従う通信によって、暗号化されたセキュアな通信路(以下、単に、暗号通信とも呼ぶ)が確立される。
本実施例において、中継サーバ200と、サービス提供サーバ300を含むサービス提供サーバと、の間の通信は、中継サーバ200をクライアント、サービス提供サーバをサーバとして、行われる。中継サーバ200とサービス提供サーバとの間の通信は、上述したデバイスと中継サーバ200との間の通信と同じプロトコル、すなわち、HTTPと、TCPと、TCPとHTTPとの間の層のSSL/TLSと、に従って行われる。
すなわち、デバイスと中継サーバ200との間と、中継サーバ200とサービス提供サーバとの間と、において、アプリケーションデータ(例えば、後述する画像データ)の送受信は、SSL/TLSに従って確立された暗号通信を用いて、行われる。これによって、ユーザのアプリケーションデータのセキュリティが保たれている。
A−2−2:システム1000の通信
デバイス100、中継サーバ200、サービス提供サーバ300間の通信を具体例として、システム1000の動作について説明する。図3〜図5は、システム1000の通信の一例を示すシーケンス図である。図3〜図5の通信は、デバイス100が、原稿を光学的に読み取ることによって、原稿を示す画像データを生成し、該画像データをサービス提供サーバ300に送信(アップロード)するために行われる。ユーザは、例えば、デバイス100のスキャナ部150の原稿台に、原稿を載置したうえで、操作部160を介して、開始指示を入力する。図3〜図5の通信は、デバイス100のCPU110が、ユーザからの開始指示を受け付けたときに開始される。
まず、デバイス100は、中継サーバ200を介さずに、サービス提供サーバ300にアクセスして、サービス提供サーバ300との間に、暗号通信を確立することを試みる。具体的には、S10にて、デバイス100のCPU110は、通信開始要求を、サービス提供サーバ300に対して送信する。送信先のサービス提供サーバ300は、上述したサーバ情報SIに含まれるURLに基づいて特定される。通信開始要求には、図2(A)の暗号化方式リストCL1が含められる。
サービス提供サーバ300が暗号化方式リストCL1を受信すると、S12にて、サービス提供サーバ300のCPU310は、暗号化方式リストCL1に示される複数個の暗号化方式の中から、使用すべき1個の暗号化方式(以下、使用暗号化方式と呼ぶ。)を選択する。具体的には、暗号化方式リストCL1に示される暗号化方式であって、かつ、サービス提供サーバ300自身も使用できる暗号化方式(すなわち、図2(E))の暗号化方式リストCL3に示される暗号化方式のうちの1つ)が、使用暗号化方式として、選択される。
なお、このS12において、使用暗号化方式の選択は、成功する場合と、失敗する場合とがある。例えば、デバイス100の暗号化方式リストCL1が、図2(A)に示すように、暗号化方式A、Bのみを含み、サービス提供サーバ300の暗号化方式リストCL3が、図2(E)に示すように、暗号化方式C、Dのみを含む場合を考える。この場合には、暗号化方式リストCL1に示される暗号化方式であって、かつ、サービス提供サーバ300自身も使用できる暗号化方式は、存在しないので、使用暗号化方式の選択は失敗する。
仮に、デバイス100の暗号化方式リストCL1が、図2(A)に示すものとは異なり、暗号化方式Cを含んでいる場合には、暗号化方式リストCL1に示される暗号化方式であって、かつ、サービス提供サーバ300自身も使用できる暗号化方式として、暗号化方式Cが存在するので、使用暗号化方式の選択は、成功する。
使用暗号化方式の選択に、成功した場合には(S14:YES)、S16にて、CPU310は、通信開始要求に対する応答として、使用暗号化方式(例えば、暗号化方式C)の通知を、デバイス100に対して送信する。
デバイス100が使用暗号化方式の通知を受信すると、S18にて、通信確立処理が行われる。すなわち、S18では、デバイス100と、サービス提供サーバ300との間で、使用暗号化方式を用いた暗号通信を確立するための通信が実行される。
なお、ここまでのS10〜S18の処理および通信は、SSL/TLSに従って、デバイス100とサービス提供サーバ300との双方のSSL/TLSレイヤにて行われる。
S20では、CPU110は、スキャン処理を実行する。すなわち、S20では、CPU310は、スキャナ部150を制御して、原稿台に載置された原稿を光学的に読み取ることによって、原稿を示す画像データを生成する。
S22では、CPU110は、S18にて確立済の暗号通信を用いて、中継サーバ200を介さずに、生成済の画像データを、サービス提供サーバ300に対して送信(アップロード)する一連の通信を実行する。一連の通信は、詳細の説明は省略するが、例えば、サービス提供サーバ300にログインするための認証情報の送信、および、その後の画像データの送信を含む。
サービス提供サーバ300が画像データを受信すると、S24にて、CPU310は、不揮発性記憶装置320内のユーザに割り当てられた記憶領域に、該画像データを保存する。S26では、CPU310は、画像データの保存が完了したことを示す保存完了の通知を、デバイス100に対して送信する。なお、S20〜S26の処理および通信は、デバイス100とサービス提供サーバ300との双方のアプリケーションによって行われる。
デバイス100が保存完了の通知を受信すると、通信は終了される。CPU110は、例えば、表示部170を介して、画像データのサービス提供サーバ300への保存の完了をユーザに通知して、処理を終了する。
次に、S12にて、サービス提供サーバ300のCPU310が、使用暗号化方式の選択に失敗した場合について説明する。使用暗号化方式の選択に、失敗した場合には(S14:NO)、図4のS30にて、CPU310は、通信拒否の通知を、デバイス100に対して送信する。通信拒否の通知は、デバイス100から受信された暗号化方式リストCL1に含まれる暗号化方式の使用を拒否することを示す通知、換言すれば、中継サーバ200とデバイス100とは、直接には通信ができないことを示す通知である。通信拒否の通知の送受信は、SSL/TLSレイヤにて行われる。
デバイス100が、通信拒否の通知を受信すると、S32にて、CPU110は、通信開始要求を、中継サーバ200に対して送信する。送信先の中継サーバ200は、上述したサーバ情報SIに含まれるURLに基づいて特定される。通信開始要求には、図2(A)の暗号化方式リストCL1が含められる。中継サーバ200が暗号化方式リストCL1を受信すると、S34にて、中継サーバ200のCPU210は、暗号化方式リストCL1に示される複数個の暗号化方式の中から、1個の使用暗号化方式を選択する。
具体的には、暗号化方式リストCL1に示される暗号化方式であって、かつ、中継サーバ200自身も使用できる暗号化方式(すなわち、図2(B)の暗号化方式リストCL2に示される暗号化方式のうちの1つ)が、使用暗号化方式として、選択される。
例えば、デバイス100の暗号化方式リストCL1が、図2(A)に示すように、暗号化方式A、Bのみを含み、中継サーバ200の暗号化方式リストCL2が、図2(B)に示すように、暗号化方式A〜Dを含む場合を考える。この場合には、例えば、両方のリストに共通して含まれる暗号化方式A、Bのいずれかが使用暗号化方式として選択される。中継サーバ200は、デバイス100のベンダによって運営されており、該ベンダは、中継サーバ200が、サポートすべき全てのベンダ製のデバイスと通信できるように、中継サーバ200が使用可能な暗号化方式を設定している。このために、S34では、中継サーバ200において、使用暗号化方式の選択が失敗することは想定されない。なお、S34での使用暗号化方式の選択については、さらに、詳細を後述する。
S36では、CPU210は、S32での通信開始要求に対する応答として、使用暗号化方式、本実施例では、例えば、暗号化方式Aの通知を、デバイス100に対して送信する。
デバイス100が使用暗号化方式の通知を受信すると、S38にて、デバイス100と、中継サーバ200と、の間で通信確立処理が行われる。すなわち、S38では、デバイス100と、サービス提供サーバ300との間で、使用暗号化方式を用いた暗号通信を確立するための通信が実行される。
なお、ここまでのS32〜S38の処理および通信は、デバイス100と中継サーバ200との双方のSSL/TLSレイヤにて行われる。
S40では、CPU110は、確立された暗号通信を用いて、サービス提供サーバ300との通信要求を、中継サーバ200に対して送信する。通信要求には、中継サーバ200がサービス提供サーバ300との通信を確立するための要求と、サーバ情報SIに含まれるサービス提供サーバ300のURLと、が含まれる。これらの情報によって、中継サーバ200のCPU210は、後述する通信開始要求をサービス提供サーバ300に送信する際に、デバイス100が接続を望むサービス提供サーバ(例えば、サービス提供サーバ300)を指定して通信開始要求を送信することができる。S42では、CPU110は、後述する通信確立の通知を受信するためのポーリングの送信を、定期的に(例えば、5秒間隔)中継サーバ200に対して送信する。なお、S40とS42の送信は、HTTPリクエストの送信として行われる。
中継サーバ200が、サービス提供サーバ300のURLを受信すると、S43にて、CPU210は、デバイス100のグローバルIPアドレスを、サービス提供サーバ300のURLと関連付けて、所定のテーブル(図示省略)に登録する。グローバルIPアドレスは、例えば、S40で受信された通信要求(HTTPリクエスト)のヘッダに含まれている。これによって、CPU210は、次にS56にて通信開始要求を受信した時点で、通信開始要求の送信元のデバイス(例えば、デバイス100)が利用するサービス提供サーバ(例えば、サービス提供サーバ300)を、認識することができる。続くS44にて、CPU210は、通信開始要求を、サービス提供サーバ300に対して送信する。送信先のサービス提供サーバ300は、デバイス100から受信されたURLに基づいて特定される。通信開始要求には、図2(B)の暗号化方式リストCL2が含められる。サービス提供サーバ300が、暗号化方式リストCL2を受信すると、S46にて、サービス提供サーバ300のCPU310は、暗号化方式リストCL2に示される複数個の暗号化方式の中から、1個の使用暗号化方式を選択する。具体的には、暗号化方式リストCL2に示される暗号化方式であって、かつ、サービス提供サーバ300自身も使用できる暗号化方式(すなわち、図2(E))の暗号化方式リストCL3に示される暗号化方式のうちの1つ)が、使用暗号化方式として、選択される。
例えば、中継サーバ200の暗号化方式リストCL2が、図2(B)に示すように、暗号化方式A〜Dを含み、サービス提供サーバ300の暗号化方式リストCL3が、図2(E)に示すように、暗号化方式C、Dのみを含む場合を考える。この場合には、例えば、両方のリストに共通して含まれる暗号化方式C、Dのいずれか(本実施例では、暗号化方式Dとする)が使用暗号化方式として選択される。中継サーバ200を運営するベンダは、サポートすべきベンダ製のデバイスが接続を望む可能性があるサービス提供サーバとできる限り通信できるように、中継サーバ200が使用可能な暗号化方式を設定している。このために、S46では、サービス提供サーバ300において、使用暗号化方式の選択が失敗することは想定されない。
S48では、CPU210は、通信開始要求に対する応答として、使用暗号化方式、本実施例では、例えば、暗号化方式Dの通知を、中継サーバ200に対して送信する。
デバイス100が使用暗号化方式の通知を受信すると、S49にて、デバイス100と、サービス提供サーバ300と、の間で通信確立処理が行われる。この結果、デバイス100と、サービス提供サーバ300との間で、使用暗号化方式を用いた暗号通信が確立される。
なお、ここまでのS44〜S49の処理および通信は、中継サーバ200とサービス提供サーバ300の双方のSSL/TLSレイヤにて行われる。
S50では、CPU210は、サービス提供サーバ300との間で確立された暗号通信に用いられた使用暗号化方式、換言すれば、S48で受信される通知に示される使用暗号化方式を記憶する。具体的には、該使用暗号方式は、サービス提供サーバ300のURLと関連づけて、登録テーブルCTに登録される。
S51では、CPU210は、サービス提供サーバ300との間で暗号通信が確立されたことを示す通信確立の通知を、デバイス100に対して送信する。通信確立の通知は、S42のポーリングとして送信されるHTTPリクエストに対する応答(すなわち、HTTPレスポンス)として、送信される。
デバイス100が通信確立の通知を受信すると、CPU110は、デバイス100と中継サーバ200との間で、現在、確立されている通信を切断する。例えば、デバイス100が主体となって、TCPレイヤまたはSSL/TLSレイヤでの論理的な通信路が切断される。なお、変形例としては、中継サーバ200が主体となって、論理的な通信路の切断が行われても良い。S53では、中継サーバ200のCPU210は、中継サーバ200とサービス提供サーバ300との間で、現在、確立されている通信を切断する。例えば、中継サーバ200が主体となって、TCPレイヤまたはSSL/TLSレイヤでの論理的な通信路が切断される。
ここで、一旦、デバイス100と中継サーバ200、および、中継サーバ200とサービス提供サーバ300との間の通信を切断するのは、比較的時間を要する後述するスキャン処理が行われている間、これらの通信が確立された状態を維持する必要がないためである。また、別の理由として、これらの通信が確立された状態としておくのは、セキュリティ上好ましくないからでもある。
S54では、CPU210は、図3のS20と同様に、スキャン処理を実行する。すなわち、スキャナ部150が、原稿台に載置された原稿を光学的に読み取ることによって、原稿を示す画像データが生成される。
画像データの生成後に、デバイス100と中継サーバ200との間、および、中継サーバ200とサービス提供サーバ300との間の通信の再確立が行われる。具体的には、図5のS56〜S73の処理が、図4のS32〜S49の処理と同様に行われる。この結果、デバイス100と中継サーバ200との間には、例えば、暗号化方式Aを用いた暗号通信が確立される。中継サーバ200とサービス提供サーバ300との間には、例えば、暗号化方式Dを用いた暗号通信が確立される。S74では、中継サーバ200は、通信確立の通知を、デバイス100に対して送信する。
デバイス100が、S74の通信確立の通知を受信すると、S76では、CPU110は、生成済の画像データをサービス提供サーバ300に対して送信(アップロード)する一連の通信を、再確立済の暗号通信を用いて中継サーバ200に対して実行する。一連の通信は、上述したように、例えば、認証情報の送信、および、その後の画像データの送信を含む。
S78では、中継サーバ200のCPU210は、デバイス100とサービス提供サーバ300との間の一連の通信を中継する。例えば、CPU210は、認証情報および画像データの受信完了を示す通知をデバイス100に対して送信し(図示省略)、その後に、S78にて、デバイス100から送信された認証情報や画像データを、そのまま、サービス提供サーバ300との間に再確立済の暗号通信を用いてサービス提供サーバ300に対して送信する。
サービス提供サーバ300が画像データを受信すると、S80にて、CPU310は、図3のS24と同様に、不揮発性記憶装置320内に該画像データを保存する。S82では、CPU310は、図3のS26と同様の保存完了の通知を、中継サーバ200に対して送信する。S84では、CPU210は、サービス提供サーバ300から受信した保存完了の通知を、そのまま、デバイス100に対して送信する。なお、保存完了の通知は、例えば、デバイス100が、上述のデータの受信完了を示す通知の受信後に行うポーリング(図示省略)に対する応答として、デバイス100に対して送信される。変形例としては、保存完了の通知は、S76で中継サーバ200に対して送信される認証情報および画像データに対する応答として、デバイス100に対して送信されても良い。デバイス100が保存完了の通知を受信すると、通信は終了される。なお、S76〜S84の通信および処理は、デバイス100、中継サーバ200、および、サービス提供サーバ300のアプリケーションによって行われる。
A−2−3:デバイス100との間の使用暗号化方式の選択
次に、図4のS34および図5のS58において、中継サーバ200のCPU210によって実行される使用暗号化方式の選択については、さらに、詳細を後述する。S34、S58では、デバイス100と中継サーバ200との間の暗号通信で用いられる使用暗号化方式が選択される。図6は、使用暗号化方式の選択のフローチャートである。
S110では、CPU210は、通信予定のサービス提供サーバと中継サーバ200との間で用いられる使用暗号化方式が登録済みであるか否かを判断する。通信予定のサービス提供サーバ300は、図4のS40にて、デバイス100から受信されたURLによって特定される。具体的には、CPU210は、例えば、S58の前のS56にて受信される通信開始要求のヘッダに含まれるデバイス100のグローバルIPアドレスを取得する。CPU210は、上述した図4のS43にてグローバルIPアドレスと関連付けて記録されたURLを取得する。これによって、通信開始要求の送信元のデバイス(例えば、デバイス100)が利用するサービス提供サーバ(例えば、サービス提供サーバ300)のURLが取得される。そして、CPU210は、該URLが、登録テーブルCTに登録済みであるか否かを判断し、該URLが登録済みである場合には、通信予定のサービス提供サーバと中継サーバ200との間で用いられる使用暗号化方式が登録済みであると判断する。
この時点までに、中継サーバ200が、サービス提供サーバ300との間で通信を確立したことがない場合には、登録テーブルCTに、サービス提供サーバ300の使用暗号化方式が、登録されていない。この場合には、使用暗号化方式は、登録済みでないと判断される。一方、この時点までに、中継サーバ200が、サービス提供サーバ300との間で通信を確立したことがある場合には、例えば、図4のS50にて、登録テーブルCTに、サービス提供サーバ300の使用暗号化方式が、記憶されている。この場合には、使用暗号化方式は、登録済であると判断される。例えば、S50でのサービス提供サーバ300の使用暗号化方式の記憶後に、デバイス100から通信開始要求および暗号化方式リストCL1を受信した場合に行われるS58の処理では、使用暗号化方式は、登録済であると判断される。また、2回目以降にデバイス100がサービス提供サーバ300にアクセスすべき、図3のS10から始まる一連の通信を行う場合には、図4のS34においても、使用暗号化方式は、登録済であると判断される。
使用暗号化方式が登録済でない場合には(S110:NO)、CPU210は、S115にて、デバイス100から受信された暗号化方式リストCL1に示される暗号化方式であって、かつ、中継サーバ200自身も使用できる暗号化方式(すなわち、図2(B)の暗号化方式リストCL2に示される暗号化方式のうちの1つ)を、使用暗号化方式として、選択する。この際、CPU210は、この条件を満たす暗号化方式が複数個ある場合には、単純に、暗号化方式リストCL1の上位にある暗号化方式を、デバイス100との間の通信で使用すべき使用暗号化方式として選択する。例えば、図2(A)の例では、暗号化方式リストCL1の2個の暗号化方式A、Bのうち、暗号化方式Aが選択される。
使用暗号化方式が登録済である場合には(S110:YES)、S120にて、CPU210は、接続予定のサービス提供サーバの使用暗号化方式を、登録テーブルCTを参照して特定する。具体的には、CPU210は、受信済の該サービス提供サーバのURLに関連付けられた使用暗号化方式を登録テーブルCTから特定する。この結果、複数種類のサービス提供サーバが存在する場合であっても、サービス提供サーバ300との間の使用暗号化方式を適切に選択することができる。
そして、CPU210は、特定されたサービス提供サーバ300との間の使用暗号化方式で用いられる暗号化アルゴリズム(以下、使用暗号化アルゴリズムと呼ぶ)を特定する。例えば、サービス提供サーバ300との間の使用暗号化方式が、暗号化方式D(図2(E))である場合には、暗号化方式Dの暗号化アルゴリズムである「AES256」が、使用暗号化アルゴリズムとして特定される。
S125では、CPU210は、デバイス100の暗号化方式リストCL1に、特定済の使用暗号化アルゴリズムと同一の暗号化アルゴリズムを用いる暗号化方式があるか否かを判断する。
使用暗号化アルゴリズムと同一の暗号化アルゴリズムを用いる暗号化方式がある場合には(S125:YES)、S130にて、CPU210は、当該暗号化方式を、デバイス100との間で使用すべき使用暗号化方式として選択する。例えば、使用暗号化アルゴリズムが「AES256」である場合には、図2(A)の暗号化方式リストCL1に含まれる暗号化方式A、Bのうち、暗号化方式Bが選択される。暗号化方式Aの暗号化アルゴリズムは「AES128」であり、使用暗号化アルゴリズムと異なるが、暗号化方式Bの暗号化アルゴリズムは「AES256」であり、使用暗号化アルゴリズムと同一だからである。
使用暗号化アルゴリズムと同一の暗号化アルゴリズムを用いる暗号化方式がない場合には(S125:NO)、S135にて、CPU210は、使用暗号化アルゴリズムと最も近いセキュリティレベルの暗号化アルゴリズムを採用する暗号化方式を選択する。このとき、暗号化アルゴリズムのセキュリティレベルを比較する際には、暗号化アルゴリズムのセキュリティレベルの順序を示す参照情報RIが参照される。仮に、候補となる選択可能な暗号化方式が3個あり、それらの暗号化アルゴリズムが、それぞれ、「3DES128」、「3DES256」、「DES256」であるとする。そして、使用暗号化アルゴリズムが「AES256」であるとする。この場合には、先ず、鍵長を無視して、アルゴリズムの種類自体の比較が行われる。参照情報RIに示すように、「3DES」のセキュリティレベルは、「DES」より「AES」に近いので、候補は、「3DES128」、「3DES256」に絞られる。次に、アルゴリズムの種類が同じである2個の候補を比較して、使用暗号化アルゴリズムの鍵長「256」に近い(この例では同じ)鍵長を有する「3DES256」が選択される。この結果、「3DES256」を採用する暗号化方式が、最終的に選択される。以上の説明から解るように、参照情報RIは、セキュリティレベルに基づく、複数個のアルゴリズムから1個のアルゴリズムを選択する際の優先度を示す情報である、ということができる。
以上説明した実施例によれば、デバイス100が使用可能な暗号化方式(すなわち、暗号化方式リストCL1に含まれる1個以上の暗号化方式)の使用がサービス提供サーバ300に拒否される場合には(図4のS30)、デバイス100は、中継サーバ200との間に暗号通信を確立する(図4のS32〜S38、図5のS56〜S62)。そして、中継サーバ200は、サービス提供サーバ300との間に暗号通信を確立する(図4のS44〜S49、図5のS66〜S73)。そして、デバイス100は、中継サーバ200を介して、サービス提供サーバ300が提供するサービスに関するデータ(具体的には、画像データ)を、サービス提供サーバ300に対して送信する(図5のS76、S78)。したがって、デバイス100が使用可能な暗号化方式の使用がサービス提供サーバ300に拒否される場合であっても、デバイス100は、中継サーバ200を介した暗号通信によって、サービス提供サーバ300との間で、特定のサービスに関するデータの通信を行うことができる。この結果、デバイス100が使用可能な暗号化方式の使用がサービス提供サーバ300に拒否される場合であっても、デバイス100とサービス提供サーバ300との間で、暗号通信が可能な状態を維持することができる。
より具体的に説明すると、サービス提供サーバ300が使用可能な暗号化方式は、サービス提供サーバ300の運営者によって、変更される場合もある。例えば、上述したPFSを達成できない鍵交換アルゴリズム「RSA」の使用が停止され、PFSを達成できる鍵交換アルゴリズム(例えば、「DHE」)の使用のみが許容されるように、サービス提供サーバ300が使用可能な暗号化方式が変更される場合がある。このような場合には、デバイス100が使用可能な暗号化方式が鍵交換アルゴリズムとして「RSA」を採用する方式のみであると、デバイス100は、サービス提供サーバ300と直接的に通信を行うことが不可能になる。しかしながら、デバイス100を含む複数個のデバイスのコンピュータプログラムを、PFSを達成できる鍵交換アルゴリズム「DHE」を使用できるように、速やかにアップデートするには、ユーザにとっても、デバイスのベンダにとっても、負担が大きい場合がある。このような場合であっても、本実施例によれば、中継サーバ200が鍵交換アルゴリズム「DHE」を含む暗号化方式を使用できれば、デバイス100を含む複数個のデバイスは、例えば、鍵交換アルゴリズム「DHE」を含む暗号化方式を使用できなくても、中継サーバ200を介して、サービス提供サーバ300と通信を行うことができる。中継サーバ200は、デバイスのベンダが運営しており、かつ、デバイスと比較すれば、個数が少ない(例えば、1個)ので、中継サーバ200が使用可能な暗号化方式を追加、変更することは容易である。
さらに、本実施例によれば、中継サーバ200は、サービス提供サーバ300から、使用暗号化方式の通知が受信される場合に(図4のS48)、該方式の通知に示される使用暗号化方式を記憶する(S50)。そして、中継サーバ200は、その後に、デバイス100から暗号化方式リストCL1を含む通信開始要求を受信すると(図5のS56、2回目以降の図4のS32)、記憶済のサービス提供サーバ300との間の使用暗号化方式を用いて、暗号化方式リストCL1に含まれる暗号化方式から、デバイス100との間の使用暗号化方式を選択する(図5のS58、2回目以降の図4のS34、図6のS120〜S135)。そして、その後、サービス提供サーバ300との間の使用暗号化方式を用いて選択された使用暗号化方式に従う暗号通信が、デバイス100とサービス提供サーバ300との間に確立される(例えば、図5のS60、S62)。この結果、サービス提供装置からの第2方式通知に示される第2暗号化方式を用いて選択される第3暗号化方式に従う暗号通信が、中継装置と通信装置との間に確立される。従って、通信装置と中継装置との間に、中継装置を介したサービス提供装置との通信に適した暗号通信を確立し得る。
具体的には、中継サーバ200は、暗号化方式の複数項目のアルゴリズムのうちの特定項目(本実施例では、暗号化アルゴリズム)について、サービス提供サーバ300との間の使用暗号化方式にて採用されるアルゴリズムと同一または近似するアルゴリズムを採用する暗号化方式を、デバイス100との間の使用暗号化方式として選択する。この結果、デバイス100と中継サーバ200との間に、中継サーバ200を介したサービス提供サーバ300との通信により適した暗号化方式を選択し得る。例えば、暗号化アルゴリズムについては、サービス提供サーバ300が要求するセキュリティレベルに同一または近似するセキュリティレベルの暗号通信を、デバイス100と中継サーバ200との間で確立し得る。
さらに、上記実施例では、中継サーバ200は、記憶済のサービス提供サーバ300との間の使用暗号化方式を用いて、デバイス100との間の使用暗号化方式を選択する際に、参照情報RIを参照する。この結果、特定項目について、セキュリティレベルが同一または近似するアルゴリズムを採用する暗号化方式を、適切に選択することができる。
さらに、上記実施例では、中継サーバ200とサービス提供サーバ300の間に、一旦、暗号通信が確立された(図4のS44〜S49)後に、確立通知が、中継サーバ200からデバイス100に対して送信される(図4のS51)。デバイス100は、確立通知を受信すると、デバイス100と中継サーバ200との間の暗号通信が切断された(図4のS52)後に、画像データを生成する(図4のS54)。その後に、デバイス100と中継サーバ200との間、および、中継サーバ200とサービス提供サーバ300との間の暗号通信が、再度、確立される(図5のS56〜S73)。中継サーバ200は、デバイス100との間に確立済の暗号通信を用いて、画像データを、デバイス100から受信し(図5のS76)、サービス提供サーバ300との間に確立済の暗号通信を用いて、画像データを、サービス提供サーバ300に対して送信する(図5のS78)。さらに、画像データが生成されている間、無駄に暗号通信が確立されている状態が続くことを抑制できる。この結果、通信のセキュリティを向上できる。
また、上記実施例では、デバイス100は、サービス提供サーバ300との通信要求を、中継サーバ200に対して送信する(図4のS40)。そして、中継サーバ200は、該通信要求に基づいて、サービス提供サーバ300に対して、暗号化方式リストCL2を含む通信開始要求を送信する(図4のS44)。この結果、中継サーバ200は、デバイス100からの通信要求に基づいて、適切なサービス提供サーバ300と、デバイス100と、の通信を中継することができる。
また、上記実施例において、画像データの通信は、アプリケーション層に属するアプリケーション間の通信であり、暗号化方式リストCL1、CL2の送受信は、アプリケーションより下位の層(SSL/TLSレイヤ)での通信である。そして、暗号化方式リストCL1、CL2の送受信を行うプロトコルは、SSL/TLSである。この結果、アプリケーションに特別な仕組みを設けなくとも、SSL/TLSを用いて、アプリケーション間の通信のセキュリティレベルを、必要なレベルに維持することができる。
B.変形例:
(1)上記実施例では、中継サーバ200は、サービス提供サーバ300に対する通信開始要求の送信時に、中継サーバ200が使用可能な全ての暗号化方式A〜Dを含む暗号化方式リストCL2を、サービス提供サーバ300に送信している(図4のS44など)。これに代えて、中継サーバ200は、中継サーバ200が使用可能な暗号化方式A〜Dのうち、少なくともデバイス100が使用可能な暗号化方式A、Cとは異なる1個以上の暗号化方式(例えば、暗号化方式D)を含む暗号化方式リストCL2を、サービス提供サーバ300に送信すれば良い。
(2)図6に示す接続予定のサービス提供サーバ300について登録済の使用暗号化方式を用いた、デバイス100との間の使用暗号化方式の選択は行われなくても良い。この場合には、中継サーバ200は、サービス提供サーバ300との間の使用暗号化方式の登録(図4のS50)を省略しても良い。この場合には、中継サーバ200は、デバイス100が使用可能な暗号化方式の中から、中継サーバ200も使用可能な暗号化方式を、任意に選択すれば良い。
(3)上記実施例では、図6のS125〜S135において、複数項目のアルゴリズムのうちの1個の項目(具体的には、暗号化アルゴリズム)について、サービス提供サーバ300との間の使用暗号化方式と同一または近似するアルゴリズムを採用する暗号化方式が、デバイス100が使用可能な暗号化方式から選択される。これに代えて、複数項目のアルゴリズムのうちの2個以上の項目(例えば、暗号化アルゴリズムと、ハッシュアルゴリズム)が考慮されてもよく、複数項目のアルゴリズムのうちの全ての項目が考慮されてもよい。一般的に言えば、複数項目のアルゴリズムのうちの少なくとも1個の項目について、サービス提供サーバ300との間の使用暗号化方式と同一または近似するアルゴリズムを採用する暗号化方式が選択されても良い。こうすれば、複数項目のアルゴリズムのうちの少なくとも1つの項目について、中継サーバ200を介したサービス提供サーバ300との通信により適した暗号化方式を選択し得る。
(4)図4のS43にて、中継サーバ200が、デバイス100のグローバルIPアドレスをサービス提供サーバ300のURLと関連付けて登録することに代えて、S32やS56にて、デバイス100から中継サーバ200に送信される通信開始要求に、サービス提供サーバ300のURLが含められても良い。この場合でも、CPU210は、S32やS56にて通信開始要求を受信した時点で、通信開始要求の送信元のデバイス100が利用するサービス提供サーバを、認識することができる。したがって、上記実施例と同様に、S34やS58にて、図6の使用暗号化方式の選択を、適切に実行できる。
(5)上記実施例では、一旦、デバイス100と中継サーバ200との間、および、中継サーバ200とサービス提供サーバ300との間の暗号通信が確立された後に、一旦、これらの通信が切断された後に、デバイス100によって画像データが生成される。これに代えて、これらの通信が切断されることなく、維持されたまま、画像データが生成され、維持されたままの通信を用いて、画像データが、中継サーバ200を介して、デバイス100からサービス提供サーバ300へと送信されても良い。
(6)上記実施例の参照情報RI(図2(D))は、暗号化アルゴリズムについて、セキュリティレベルの順序を示す情報である。これに代えて、参照情報RIは、暗号化アルゴリズムについて、暗号化通信にかかる処理速度の順序を示す情報であってもよい。換言すれば、参照情報RIは、セキュリティレベルおよび処理速度の少なくとも一方に基づく、複数個のアルゴリズムから1個のアルゴリズムを選択する際の優先度を示す情報であれば良い。
(7)中継サーバ200を介して、または、中継サーバ200を介さずに、デバイス100からサービス提供サーバ300へ画像データが送信される。これに代えて、サービス提供サーバ300は、印刷データを提供するサーバであり、サービス提供サーバ300からデバイス100へ印刷データが送信(ダウンロード)されても良い。また、デバイス100とサービス提供サーバ300との間で送受信されるアプリケーションデータは、画像データや印刷データに限らず、サービス提供サーバ300の提供するサービスに応じた他のデータ、例えば、テキストデータ、音楽データであっても良い。
(8)中継サーバ200や、サービス提供サーバ300は、ネットワークを介して互いに通信可能な複数個の装置(例えば、コンピュータ)を含む、いわゆるクラウドサーバであっても良い。
(9)上記各実施例において、ハードウェアによって実現されていた構成の一部をソフトウェアに置き換えるようにしてもよく、逆に、ソフトウェアによって実現されていた構成の一部あるいは全部をハードウェアに置き換えるようにしてもよい。
以上、実施例、変形例に基づき本発明について説明してきたが、上記した発明の実施の形態は、本発明の理解を容易にするためのものであり、本発明を限定するものではない。本発明は、その趣旨並びに特許請求の範囲を逸脱することなく、変更、改良され得ると共に、本発明にはその等価物が含まれる。
80...インターネット、100...デバイス、110...CPU、120...不揮発性記憶装置、130...揮発性記憶装置、131...バッファ領域、140...プリンタ部、150...スキャナ部、160...操作部、170...表示部、180...ネットワークIF、200...中継サーバ、210...CPU、220...不揮発性記憶装置、230...揮発性記憶装置、231...バッファ領域、280...ネットワークIF、300...サービス提供サーバ、310...CPU、320...不揮発性記憶装置、330...揮発性記憶装置、331...バッファ領域、380...ネットワークIF、1000...システム

Claims (11)

  1. 通信装置と、中継装置と、を含み、前記通信装置と前記中継装置とのそれぞれが、前記通信装置に対して特定のサービスを提供するサービス提供装置と通信を行う通信システムであって、
    前記通信装置は、
    前記中継装置を介さずに、前記サービス提供装置に対して、前記通信装置が使用可能な1個以上の暗号化方式を示す第1方式情報を送信する第1送信部と、
    前記第1方式情報の送信に対する応答として、前記第1方式情報に示される1個以上の暗号化方式のうちの使用すべき第1暗号化方式を示す第1方式通知と、前記第1方式情報に含まれる1個以上の暗号化方式の使用を拒否することを示す拒否通知と、のいずれかを、前記サービス提供装置から受信する第1受信部と、
    前記第1方式通知が受信される場合に、前記サービス提供装置との間に、前記第1暗号化方式に従う暗号通信を確立する第1確立部と、
    確立済の前記第1暗号化方式に従う暗号通信を用いて、前記中継装置を介さずに、前記サービス提供装置との間で、前記特定のサービスに関する対象データの通信を行う第1通信部と、
    前記拒否通知が受信される場合に、前記中継装置との間に、暗号通信を確立する第2確立部と、
    前記中継装置との間に確立済の暗号通信を用いて、前記中継装置を介して、前記サービス提供装置との間で、前記対象データの通信を行う第2通信部と、
    を備え、
    前記中継装置は、
    前記通信装置との間に、暗号通信を確立する第3確立部と、
    前記通信装置との間の暗号通信の確立後に、前記サービス提供装置に対して、前記中継装置が使用可能な複数個の暗号化方式を示す第2方式情報を送信する第2送信部であって、前記第2方式情報に含まれる1個以上の暗号化方式は、前記第1暗号化方式とは異なる暗号化方式を含む、前記第2送信部と、
    前記第2方式情報の送信に対する応答として、前記第2方式情報に含まれる1個以上の暗号化方式のうちの使用すべき第2暗号化方式を示す第2方式通知を、前記サービス提供装置から受信する第2受信部と、
    前記第2方式通知が受信される場合に、前記サービス提供装置との間に、前記第2暗号化方式に従う暗号通信を確立する第4確立部と、
    前記通信装置との間に確立済の暗号通信と、前記サービス提供装置との間に確立済の暗号通信と、を用いて、前記通信装置と前記サービス提供装置との間の前記対象データの通信を中継する中継部と、
    を備える、通信システム。
  2. 請求項1に記載の通信システムであって、
    前記中継装置は、さらに、
    前記第2方式通知が受信される場合に、第2方式通知に示される前記第2暗号化方式を記憶する第1記憶部と、
    前記第2暗号化方式の記憶後に、前記通信装置から前記第1方式情報を受信する第3受信部と、
    記憶済の前記第2暗号化方式を用いて、前記第1方式情報に含まれる1個以上の暗号化方式から、使用すべき第3暗号化方式を選択する選択部と、
    前記第1方式情報の受信に対する応答として、前記第3暗号化方式を示す第3方式通知を、前記通信装置に対して送信する、第3送信部と、
    を備え、
    前記通信装置は、さらに、
    前記第2暗号化方式の記憶後に、前記中継装置に対して、前記第1方式情報を送信する第4送信部と、
    前記第1方式情報の送信に対する応答として、前記第3方式通知を、前記中継装置から受信する第4受信部と、
    を備え、
    前記通信装置の前記第2確立部は、前記第3方式通知が受信される場合に、前記中継装置との間に前記第3暗号化方式に従う暗号通信を確立する、通信システム。
  3. 請求項2に記載の通信システムであって、
    前記第2暗号化方式および前記第3暗号化方式は、装置の認証のための認証アルゴリズムと、通信データを暗号化するための暗号化アルゴリズムと、前記暗号化アルゴリズムで用いられる暗号化鍵を交換するための鍵交換アルゴリズムと、前記認証アルゴリズムと前記暗号化アルゴリズムと前記鍵交換アルゴリズムとの少なくとも一つで用いられるハッシュアルゴリズムと、を含む複数項目のアルゴリズムを含み、
    前記中継装置の前記選択部は、
    前記複数項目のアルゴリズムのうちの少なくとも1つの特定項目について、前記第2暗号化方式にて採用されるアルゴリズムを特定し、
    前記第1方式情報に含まれる1個以上の暗号化方式のうち、少なくとも1つの前記特定項目について、前記第2暗号化方式にて採用されるアルゴリズムと同一または近似するアルゴリズムを採用する暗号化方式を、前記第3暗号化方式として選択する、通信システム。
  4. 請求項3に記載の通信システムであって、
    前記中継装置は、さらに、少なくとも1つの前記特定項目について、セキュリティレベルおよび処理速度の少なくとも一方に基づく、複数個のアルゴリズムから1個のアルゴリズムを選択する際の優先度を示す優先度情報を記憶する第2記憶部を備え、
    前記中継装置の前記選択部は、前記優先度情報を用いて、前記第2暗号化方式にて採用されるアルゴリズムとセキュリティレベルおよび処理速度の少なくとも一方が同一または近似するアルゴリズムを採用する暗号化方式を、前記第3暗号化方式として選択する、画像処理装置。
  5. 請求項2〜4のいずれかに記載の通信システムであって、
    前記中継装置の前記第1記憶部は、前記第2暗号化方式を、前記サービス提供装置を示す識別子と関連付けて記憶し、
    前記中継装置の前記第3受信部は、前記通信装置から、前記第1方式情報と前記サービス提供装置を示す前記識別子とを受信し、
    前記中継装置の前記選択部は、前記サービス提供装置を示す前記識別子に関連付けて記憶される前記第2暗号化方式を用いて、前記第3暗号化方式を選択する、通信システム。
  6. 請求項1〜5のいずれかに記載の通信システムであって、
    前記通信装置は、光学的に原稿を読み取ることによって画像データを生成する生成部を備え、
    前記対象データの通信は、前記通信装置から前記サービス提供装置への前記画像データの送信を含み、
    前記中継装置は、さらに、
    前記第4確立部が前記第2暗号化方式に従う暗号通信を確立した後に、前記第2暗号化方式に従う暗号通信の確立を示す確立通知を、前記通信装置に対して送信する第5送信部を備え、
    前記通信装置は、さらに、
    前記確立通知を受信する第5受信部と、
    前記確立通知が受信され、前記中継装置との間の暗号通信が切断された後に、前記生成部を用いて前記画像データを生成する生成制御部と、
    を備え、
    前記通信装置の前記第2確立部は、前記画像データの生成後に、前記中継装置との間に、再度、暗号通信を確立し、
    前記通信装置の前記第2通信部は、前記中継装置との間に確立済の暗号通信を用いて、前記画像データを前記通信装置に対して送信し、
    前記中継装置の前記第3確立部は、前記画像データの生成後に、再度、前記通信装置との間に、再度、暗号通信を確立し、
    前記中継装置の前記第2送信部は、前記サービス提供装置に対して、再度、前記第2方式情報を送信し、
    前記中継装置の前記第2受信部は、前記第2方式通知を、前記サービス提供装置から、再度、受信し、
    前記中継装置の前記第4確立部は、前記第2方式通知が、再度、受信される場合に、前記サービス提供装置との間に、前記第2暗号化方式に従う暗号通信を、再度、確立し、
    前記中継装置の前記中継部は、前記通信装置との間に確立済の暗号通信を用いて、前記画像データを、前記通信装置から受信し、前記サービス提供装置との間に確立済の暗号通信を用いて、前記画像データを、前記サービス提供装置に対して送信する、通信システム。
  7. 請求項1〜6のいずれかに記載の通信システムであって、
    前記通信装置は、さらに、前記第2確立部によって前記中継装置との間に確立された暗号通信を用いて、通信すべき前記サービス提供装置との通信要求を、前記中継装置に対して送信する第6送信部を備え、
    前記中継装置は、さらに、前記第3確立部によって前記サービス提供装置との間に確立された暗号通信を用いて、前記サービス提供装置との通信要求を、前記通信装置から受信する第6受信部を備え、
    前記中継装置の前記第2送信部は、前記通信要求に基づいて、前記サービス提供装置に対して、前記第2方式情報を送信する、通信システム。
  8. 請求項1〜7のいずれかに記載の通信システムであって、
    前記対象データの通信は、アプリケーション層に属するアプリケーション間の通信であり、
    前記第1方式情報および第2方式情報の送受信は、前記アプリケーションより下位の層での通信である、通信システム。
  9. 請求項8に記載の通信システムであって、
    前記第1方式情報および第2方式情報の送受信を行うプロトコルは、SSL(Secure Sockets Layer)/TLS(Transport Layer Security)である、コンピュータプログラム。
  10. 通信装置であって、
    中継装置を介さずに、特定のサービスを提供するサービス提供装置に対して、前記通信装置が使用可能な1個以上の暗号化方式を示す方式情報を送信する送信部と、
    前記方式情報の送信に対する応答として、前記方式情報に示される1個以上の暗号化方式のうちの使用すべき特定の暗号化方式を示す方式通知と、前記方式情報に含まれる1個以上の暗号化方式の使用を拒否することを示す拒否通知と、のいずれかを、前記サービス提供装置から受信する受信部と、
    前記方式通知が受信される場合に、前記サービス提供装置との間に、前記特定の暗号化方式に従う暗号通信を確立する第1確立部と、
    確立済の前記特定の暗号化方式に従う暗号通信を用いて、前記サービス提供装置との間で、前記特定のサービスに関する対象データの通信を行う第1通信部と、
    前記拒否通知が受信される場合に、前記中継装置との間に、暗号通信を確立する第2確立部と、
    前記中継装置との間に確立済の暗号通信を用いて、前記中継装置を介して、前記サービス提供装置との間で、前記対象データの通信を行う第2通信部と、
    を備える、通信装置。
  11. 中継装置のためのコンピュータプログラムであって、
    通信装置との間に、暗号通信を確立する第1確立機能と、
    前記通信装置との間の暗号通信の確立後に、特定のサービスを提供するサービス提供装置に対して、前記中継装置が使用可能な複数個の暗号化方式を示す方式情報を送信する送信機能であって、前記方式情報に含まれる1個以上の暗号化方式は、前記通信装置が使用可能な1個以上の暗号化方式とは異なる暗号化方式を含む、前記送信機能と、
    前記方式情報の送信に対する応答として、前記方式情報に含まれる1個以上の暗号化方式のうちの使用すべき特定の暗号化方式を示す方式通知を、前記サービス提供装置から受信する受信機能と、
    前記方式通知が受信される場合に、前記サービス提供装置との間に、前記特定の暗号化方式に従う暗号通信を確立する第2確立機能と、
    前記通信装置との間に確立済の暗号通信と、前記サービス提供装置との間に確立済の暗号通信と、を用いて、前記通信装置と前記サービス提供装置との間で、前記特定のサービスに関する対象データの通信を中継する中継機能と、
    をコンピュータに実現させる、コンピュータプログラム。
JP2015192953A 2015-09-30 2015-09-30 通信システム、通信装置、および、コンピュータプログラム Active JP6679867B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015192953A JP6679867B2 (ja) 2015-09-30 2015-09-30 通信システム、通信装置、および、コンピュータプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015192953A JP6679867B2 (ja) 2015-09-30 2015-09-30 通信システム、通信装置、および、コンピュータプログラム

Publications (2)

Publication Number Publication Date
JP2017069756A true JP2017069756A (ja) 2017-04-06
JP6679867B2 JP6679867B2 (ja) 2020-04-15

Family

ID=58492871

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015192953A Active JP6679867B2 (ja) 2015-09-30 2015-09-30 通信システム、通信装置、および、コンピュータプログラム

Country Status (1)

Country Link
JP (1) JP6679867B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019001107A (ja) * 2017-06-16 2019-01-10 キヤノン株式会社 印刷制御装置、制御方法、プログラム
KR20190119785A (ko) * 2018-04-13 2019-10-23 엔에이치엔 주식회사 서버와 서버간에 서비스 제공을 위한 망내 운영방법 및 시스템
JP2020120273A (ja) * 2019-01-24 2020-08-06 Necプラットフォームズ株式会社 中継装置、中継方法、及び制御プログラム
JP2021060898A (ja) * 2019-10-09 2021-04-15 富士ゼロックス株式会社 情報処理装置、サービス提供装置、情報処理プログラム及びサービス提供プログラム

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002366315A (ja) * 2001-06-13 2002-12-20 Fuji Xerox Co Ltd 画像処理システムおよびデータ転送システム、並びにこれらシステムに使用される装置および端末
JP2004254120A (ja) * 2003-02-20 2004-09-09 Toyota Motor Corp 暗号化通信方法、移動端末および移動体
JP2007213419A (ja) * 2006-02-10 2007-08-23 Fuji Xerox Co Ltd 情報処理装置、セッションの制御方法、及びプログラム
JP2008226148A (ja) * 2007-03-15 2008-09-25 Ricoh Co Ltd 認証システム、中継サーバ、認証方法、およびプログラム
JP2012103436A (ja) * 2010-11-09 2012-05-31 Nippon Telegr & Teleph Corp <Ntt> 確認装置、確認方法及び確認プログラム
WO2012140760A1 (ja) * 2011-04-14 2012-10-18 株式会社日立製作所 中継装置及び中継方法
JP2013258566A (ja) * 2012-06-13 2013-12-26 Ricoh Co Ltd 情報処理装置、プログラムおよび記録媒体
JP2014199550A (ja) * 2013-03-29 2014-10-23 ブラザー工業株式会社 中継装置、中継装置のプログラムおよび通信方法
JP2016033811A (ja) * 2014-07-30 2016-03-10 富士通株式会社 セッション管理方法、セッション管理装置、セッション管理プログラム、および通話処理方法

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002366315A (ja) * 2001-06-13 2002-12-20 Fuji Xerox Co Ltd 画像処理システムおよびデータ転送システム、並びにこれらシステムに使用される装置および端末
JP2004254120A (ja) * 2003-02-20 2004-09-09 Toyota Motor Corp 暗号化通信方法、移動端末および移動体
JP2007213419A (ja) * 2006-02-10 2007-08-23 Fuji Xerox Co Ltd 情報処理装置、セッションの制御方法、及びプログラム
JP2008226148A (ja) * 2007-03-15 2008-09-25 Ricoh Co Ltd 認証システム、中継サーバ、認証方法、およびプログラム
JP2012103436A (ja) * 2010-11-09 2012-05-31 Nippon Telegr & Teleph Corp <Ntt> 確認装置、確認方法及び確認プログラム
WO2012140760A1 (ja) * 2011-04-14 2012-10-18 株式会社日立製作所 中継装置及び中継方法
JP2013258566A (ja) * 2012-06-13 2013-12-26 Ricoh Co Ltd 情報処理装置、プログラムおよび記録媒体
JP2014199550A (ja) * 2013-03-29 2014-10-23 ブラザー工業株式会社 中継装置、中継装置のプログラムおよび通信方法
JP2016033811A (ja) * 2014-07-30 2016-03-10 富士通株式会社 セッション管理方法、セッション管理装置、セッション管理プログラム、および通話処理方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019001107A (ja) * 2017-06-16 2019-01-10 キヤノン株式会社 印刷制御装置、制御方法、プログラム
US10394498B2 (en) 2017-06-16 2019-08-27 Canon Kabushiki Kaisha Print control apparatus, control method and storage medium for controlling encrypted communication and print processing
KR20190119785A (ko) * 2018-04-13 2019-10-23 엔에이치엔 주식회사 서버와 서버간에 서비스 제공을 위한 망내 운영방법 및 시스템
KR102102524B1 (ko) 2018-04-13 2020-04-22 엔에이치엔 주식회사 서버와 서버간에 서비스 제공을 위한 망내 운영방법 및 시스템
JP2020120273A (ja) * 2019-01-24 2020-08-06 Necプラットフォームズ株式会社 中継装置、中継方法、及び制御プログラム
JP2021060898A (ja) * 2019-10-09 2021-04-15 富士ゼロックス株式会社 情報処理装置、サービス提供装置、情報処理プログラム及びサービス提供プログラム
JP7358897B2 (ja) 2019-10-09 2023-10-11 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム

Also Published As

Publication number Publication date
JP6679867B2 (ja) 2020-04-15

Similar Documents

Publication Publication Date Title
US11716195B2 (en) Facilitating communications using hybrid cryptography
JP7086327B2 (ja) アプリケーション間でユーザ情報を安全に転送すること
US10819510B2 (en) Facilitating communications using hybrid cryptography
Ristic Bulletproof SSL and TLS: Understanding and deploying SSL/TLS and PKI to secure servers and web applications
JP4345796B2 (ja) 通信方法、通信システムならびに通信システムを構成するサーバ、クライアントおよびコンピュータプログラム
US8156332B2 (en) Peer-to-peer security authentication protocol
US10341118B2 (en) SSL gateway with integrated hardware security module
US20140310526A1 (en) Secure session capability using public-key cryptography without access to the private key
EP1577736A2 (en) Efficient and secure authentication of computing systems
JP4962117B2 (ja) 暗号通信処理方法及び暗号通信処理装置
WO2019178942A1 (zh) 一种进行ssl握手的方法和系统
JP6679867B2 (ja) 通信システム、通信装置、および、コンピュータプログラム
CN111737723B (zh) 一种业务处理方法、装置及设备
JP2007082208A (ja) 電子ドキュメントをセキュリティ面で安全にドメイン間で伝送するシステム、方法、およびプログラム
JP2006018399A (ja) 情報処理装置、情報処理方法およびプログラム
JP2005107935A (ja) 電子メール処理装置用プログラム及び電子メール処理装置
JP2008277956A (ja) 暗号通信処理方法及び暗号通信処理装置
JP2019050511A (ja) 情報処理装置、および、コンピュータプログラム
JP6686350B2 (ja) コンピュータプログラム、および、中継装置
JP6056970B2 (ja) 情報処理装置、端末機、情報処理システム及び情報処理方法
JP2016201032A (ja) 端末管理システム、端末管理装置、及び端末管理方法
TWI421723B (zh) 資訊處理系統、方法、紀錄媒體、以及伺服器系統、客戶端裝置
CN110063089B (zh) 用于发送内容的计算系统、方法以及存储介质
JP2013243583A (ja) 画像形成システム、画像形成装置、認証サーバ、クライアントpc、画像形成装置の制御方法、及びプログラム
JP7000961B2 (ja) ファイル操作管理システムおよびファイル操作管理方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180925

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190626

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190730

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190927

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200218

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200302

R150 Certificate of patent or registration of utility model

Ref document number: 6679867

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150