JP4101215B2 - セキュリティポリシー設定方法 - Google Patents

セキュリティポリシー設定方法 Download PDF

Info

Publication number
JP4101215B2
JP4101215B2 JP2004230802A JP2004230802A JP4101215B2 JP 4101215 B2 JP4101215 B2 JP 4101215B2 JP 2004230802 A JP2004230802 A JP 2004230802A JP 2004230802 A JP2004230802 A JP 2004230802A JP 4101215 B2 JP4101215 B2 JP 4101215B2
Authority
JP
Japan
Prior art keywords
security policy
security
setting information
policy setting
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004230802A
Other languages
English (en)
Other versions
JP2006050407A (ja
Inventor
勝久 小川
直彦 鈴木
宏昭 中澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2004230802A priority Critical patent/JP4101215B2/ja
Publication of JP2006050407A publication Critical patent/JP2006050407A/ja
Application granted granted Critical
Publication of JP4101215B2 publication Critical patent/JP4101215B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、第一の装置と第二の装置にセキュリティポリシーを設定する設定方法に関する。
IPsecは、エンド・ツー・エンドのIPレイヤでのセキュリティを実現するための機能と安全性を備えた標準化技術である。IPsecの中核はIKE(Internet Key Excange)プロトコルによるSA(Security Association)の自動生成であり、SA確立は、セキュリティポリシー(SP)に基づきPhase 1(またはISAKMP SA)、Phase 2(またはIPsec SA)の二段階に分けて行わる。IPsecに関する特許文献としては、特許文献1がある。
アグレッシブモードの場合、Phase 1では、1往復目でIKE通信路の暗号アルゴリズムを選び、2往復目でDH(Diffee−Hellman)鍵交換アルゴリズムにより鍵交換(IKE通信用の鍵)を行い3往復目で通信相手の認証を行う。Phase 2では、1往復目でPhase 1で確立した秘密の通信路を使いセキュリティ・プロトコルESPあるいはAHで用いる暗号アルゴリズムや秘密鍵を交換し、以降の接続了承を送信のみとして送る。こうして交換された設定情報は、両端末機器のSAD(Security Association Database)のSAエントリとして登録され、相互のセキュアな通信で利用される。
特開2001−298449号公報
IPsec通信は、このように端末機器間で、自動でSA確立が行えるように標準化されているが、端末機器には、双方のIPアドレス、アプリケーションのポート番号、セキュリティタイプ、セキュリティレベル等のセキュリティポリシーを、事前設定しておかなければならない。
本発明は、SIPプロトコルを用い、相手を呼び出す際に行うことにより、多数の通信相手毎のSP設定という障害を排除する。
本発明は、第一の装置と第二の装置にセキュリティポリシーを設定する設定方法であって、前記第一の装置が、SIPサーバを介して前記第二の装置を呼び出すための接続呼出しメッセージを、前記第一の装置のセキュリティポリシー設定情報を添付して送信し、前記接続呼出しメッセージに対して前記第二の装置から送信された接続応答メッセージに添付された前記第二の装置のセキュリティポリシー設定情報と前記第一の装置が有する前記第一の装置のセキュリティポリシー設定情報のセキュリティタイプ及びセキュリティレベルが一致した場合、前記第一の装置と前記第二の装置のセキュリティポリシー設定情報に基づいて前記第一の装置のセキュリティポリシーを設定し、前記第二の装置のセキュリティポリシー設定情報と前記第一の装置のセキュリティポリシー設定情報のセキュリティタイプ及びセキュリティレベルが一致しなかった場合、前記第一の装置のセキュリティポリシーを設定せず、前記接続呼出しメッセージに対して前記第二の装置から送信された接続応答メッセージに添付された前記第二の装置のセキュリティポリシー設定情報と前記第一の装置のセキュリティポリシー設定情報のセキュリティタイプ及びセキュリティレベルが一致した場合も一致しなかった場合も、前記第二の装置にAckメッセージを送信し、前記第二の装置が、前記第一の装置から送信された接続呼出しメッセージに添付された前記第一の装置のセキュリティポリシー設定情報と前記第二の装置が有する前記第二の装置のセキュリティポリシー設定情報のセキュリティタイプ及びセキュリティレベルが一致した場合、前記第一の装置のセキュリティポリシー設定情報のアドレスとポート番号、前記第二の装置のセキュリティポリシー設定情報のアドレスとポート番号、及び、前記一致したセキュリティタイプ及びセキュリティレベルを取得し、前記第二の装置のセキュリティポリシー設定情報を添付した接続応答メッセージを送信し、前記第一の装置のセキュリティポリシー設定情報と前記第二の装置のセキュリティポリシー設定情報のセキュリティタイプ及びセキュリティレベルが一致しなかった場合、セキュリティタイプ及びセキュリティレベルを空欄に変更した前記第二の装置のセキュリティポリシー設定情報を添付した接続応答メッセージを送信し、前記第一の装置から送信されたAckメッセージを受信したときに、前記第一の装置のセキュリティポリシー設定情報と前記第二の装置のセキュリティポリシー設定情報のセキュリティタイプ及びセキュリティレベルが一致した場合に取得された、前記第一の装置のセキュリティポリシー設定情報のアドレスとポート番号、前記第二の装置のセキュリティポリシー設定情報のアドレスとポート番号、及び、前記一致したセキュリティタイプ及びセキュリティレベルに基づいて前記第二の装置のセキュリティポリシーを設定し、前記第一の装置から送信されたAckメッセージを受信したときに、前記第一の装置のセキュリティポリシー設定情報と前記第二の装置のセキュリティポリシー設定情報のセキュリティタイプ及びセキュリティレベルが一致した場合に取得される、前記第一の装置のセキュリティポリシー設定情報のアドレスとポート番号、前記第二の装置のセキュリティポリシー設定情報のアドレスとポート番号、及び、前記一致したセキュリティタイプ及びセキュリティレベルがない場合、前記第二の装置のセキュリティポリシーを設定しないことを特徴とする。
本発明により、SIPプロトコルを用いて、通信を行なう2つの装置の両方に、通信相手と一致したセキュリティタイプとセキュリティレベルに基づいてセキュリティポリシーを設定することができる。
以下、図面を参照しながら本発明に係る実施の形態を詳細に説明する。
図1は本発明の一実施形態のネットワーク構成図である。図1において100はインターネットであり、IPv6プロトコルを利用した通信が可能である。101はインターネット100に直接または間接的に接続したプリンタであり、インターネット100を介してIPv6プロトコルを用いた通信が可能である。102はインターネット100に直接または間接的に接続したデジタルスチルカメラ(以降、デジカメと呼ぶ)であり、インターネット100を介してIPv6プロトコルを用いた通信が可能である。本形態では、デジカメ(第一の装置)102とプリンタ(第二の装置)101にセキュリティポリシーを設定する。
103はインターネット100に接続したSIPサーバであり、プリンタ101とデジカメ102とのIPv6プロトコルを利用したピアツーピアな通信のためのセッションを確立する。つまり、プリンタ101とデジカメ102がピアツーピアに通信を行う際、SIPサーバ103に対して両機器がアドレス登録(SIP Register)を行い、デジカメ102から接続呼出しメッセージであるセッション要求(SIP Invite)をプリンタ101にSIPサーバ103を経由して送信することで、両機器はピアツーピア通信を行うためのセッション確立を行う。このセッション確立後に、両機器は所用のアプリケーションによるピアツーピア通信を行うことが可能となる。なお、SIP(Session Initiation Protocol)は、RFC2543で規定されている。
SIPサーバ103は、ロケーションデータベースを有する。ロケーションデータベースには、SIP URIとIPv6アドレスが格納される。本形態では、このロケーションテーブルには、プリンタ101のSIP URI(例えば、BJ001@device.oanon.com)とIPv6アドレス(例えば、2001:340::1)、デジカメ102のSIP URI(例えば、DC@device.oanon.com)とIPv6アドレス(例えば、2002:200:1)が格納される。
以下、SIPサーバ103のロケーションデータベースにこれらの情報が登録される流れを簡単に説明する。SIPサーバ103は、「device.oanon.com」というドメインのSIPサーバとしてレジストリサービス、ロケーションサービス、プロキシサービスを提供している。プリンタ101はインターネット100に接続した際に自動的に設定されるIPv6アドレス(2001:340::1)を、自己のID(BJ001)と共にSIPサーバ103に登録(SIP Register)する。
登録要求を受けたSIPサーバ103は、SIPで定義された認証を行い、プリンタ101の登録を受け付ける。この際、機器のID(BJ001)に、SIPサーバ103が管理しているドメイン(device.oanon.com)を「@」で繋げることで、その機器のSIP URIを作成する。また、IPv6アドレス(2001:340::1)をプリンタ101からの登録要求メッセージ(SIP Registerメッセージ)より抽出し、先に作成したSIP URI(BJ001@device.oanon.com)と共にロケーションデータベースに格納する。
図2は、本実施形態でのプリンタ101及びデジカメ102の機能を実現するソフトウェアプログラムを動作させるためのハードウェア構成の一例を示したものである。なお、SIPサーバ103も、同様に構成可能である。
コンピュータ900は、CPU901と、ROM902と、RAM903と、ハードディスク(HD)907及びフロッピー(登録商標)ディスク(FD)908のディスクコントローラ(DC)905と、ネットワークインタフェースカード(NIC)906とが、システムバス904を介して互いに通信可能に接続された構成としている。そして、システムバス904が、上記図1に示したインターネット100とネットワークインタフェースカード906を介して接続される。
CPU901は、ROM902あるいはHD907に記憶されたソフトウェア、あるいはFD908より供給されるソフトウェアを実行することで、ステムバス904に接続された各構成部を統括的に制御する。すなわち、CPU901は、以下に説明する処理シーケンスに従った処理プログラムを、ROM902、あるいはHD907、あるいはFD908から読み出して実行することで、本実施形態での動作を実現するための制御を行う。RAM903は、CPU901の主メモリあるいはワークエリア等として機能する。DC905は、ブートプログラム、種々のアプリケーション、編集ファイル、ユーザファイル、ネットワーク管理プログラム、および本実施形態における上記処理プログラム等を記憶するHD907、およびFD908とのアクセスを制御する。NIC906は、インターネット100を通じてIP通信プロトコルを用いた相互通信をする。NIC906は、通信相手と(SIPを介して、又は、介さずに)データの送信/受信を行う手段である。CPU901は、NIC906により送信するデータを生成し、また、NIC906により受信したデータを解釈する手段である。また、CPU901は、自身のセキュリティポリシーの設定を行う。
図3は、デバイス機器に搭載したソフトウェア・モジュール構成図である。特に、デジカメ102のモジュール構成を示すが、プリンタ101も同様の構成でよい。
301はSIP通信モジュールであり、SIPサーバ103とSIPメッセージのやり取りが行われる。302はメッセージ解析モジュールであり、SIP通信モジュール301でやり取りされたSIPメッセージの解析処理が行われる。303はSIP UAインタフェースであり、デジカメ102を利用しているユーザがプリンタ101とピアツーピア通信を行う際に、このSIP UAインタフェースを利用して、セッションの確立とアプリケーションの通信を開始する。304はSDPネゴシエーションモジュールであり、SIP Invite処理においてピアツーピア通信を行うアプリケーション情報を記述した二つのSDP情報(自己SDP情報と通信相手SDP情報)のネゴシエーションを行う。305はSP情報データベースであり、IPsecで利用するセキュリティポリシーの設定項目を格納するデータベースである。なお、SP情報データベースに関する詳細は図4にて説明する。
306はSP作成モジュールであり、前記SP情報データベース305に格納されたセキュリティポリシーの設定項目から、実際にセキュリティポリシーを設定するモジュールである。307は自己SDP情報であり、このデバイス(デジカメ102)にてピアツーピア通信にて利用するアプリケーションの情報を格納する。SP情報DB305、自己SDP情報307は、RAM903上、又は、HD907上に設けられる。
308は(一つ、又は、複数の)上位アプリケーションであり、前記自己SDP情報307にて記述された、デバイス間ピアツーピア通信にて利用されるアプリケーションである。
SDPネゴシエーションモジュール304は、SIP Invite処理においてSDP情報のネゴシエーションを行うが、SIP Invite関連メッセージに添付されるSDP情報307に関する詳細例は以下の通りである。なお、この例は、デジカメ102がSIP Inviteメッセージに添付するデジカメ側のSDP情報307である。
v=0
o=DC101 1868587615 1121443870 IN IP6 2002:200::1
s=−
c=IN IP6 2002:200::1
t=0 0
m=application 46127 HTTP/TCP
k=SEC_Level require
k=SEC_Type ah&esp
重要な情報に関して説明する。二行目「o=」の「DC101」が機器ID、「2002:200::1」がデジカメ102のIPアドレスである。同様に、「c=」にもIPアドレスが記述される。「m=」の「46127」がアプリケーションのポート番号であり、「HTTP/TCP」のプロトコルを利用する記載がある。そして、最後の2行の「k=」にて、SEC_Level(セキュリティレベル)、SEC_Type(セキュリティタイプ)がそれぞれ記述される。セキュリティタイプには、IPsecで利用するプロトコルタイプを登録する。指定できるタイプとしては、暗号化を行う「esp」、認証を行う「ah」、暗号化と認証を両方利用する「ah&esp」がある。セキュリティレベルには、IPsecの利用を必須とする「require」、IPsecの有効な設定があった場合には利用するが、ない場合にはIPsecを利用せずに通信を行う「use」がある。このSDP情報307は、上位アプリケーション308が複数ある場合上位アプリケーション毎に、設けられる。
図4は前記SP情報データベース305の一例を示す。特に、前記デジカメ102から前記プリンタ101に対してピアツーピア通信を行う際のデジカメ102において作成されるSP情報を示す。601はローカルアドレスであり、デジカメ102に割り当てられたIPアドレスを登録する。602はローカルポート番号であり、デジカメ102がピアツーピア通信の際に利用するアプリケーションのポート番号を登録する。603はリモートアドレスであり、通信相手であるプリンタ101のIPアドレスを登録する。604はリモートポート番号であり、通信相手であるプリンタ101がピアツーピア通信の際に利用するアプリケーションのポート番号を登録する。
605はセキュリティタイプであり、SDP情報に付加されたセキュリティポリシーの項目の一つであり、IPsecで利用するプロトコルタイプを登録する。指定できるタイプは、先に説明したように、暗号化を行う「esp」、認証を行う「ah」、暗号化と認証を両方利用する「ah&esp」である。
606はセキュリティレベルであり、SDP情報に付加されたセキュリティポリシーの項目の一つであり、IPsecの利用レベルを登録する。指定できるレベルは、先に説明したように、IPsecの利用を必須とする「require」、IPsecの有効な設定があった場合には利用するが、ない場合にはIPsecを利用せずに通信を行う「use」である。
そして、デジカメ102にて実際に登録されたSP情報のエントリが611である。このエントリから、デジカメ102のアドレスは「2002:200::1」、デジカメ102で起動されるアプリケーションのポート番号は「46127」、プリンタ101のアドレスは「2001:340::1」、プリンタ101で起動されるアプリケーションのポート番号は「80」、両デバイスのセキュリティタイプは「ah&esp」、両デバイスのセキュリティレベルは「require」であることがわかる。
図5は本実施形態のシーケンス図である。特に、前記デジカメ102から前記プリンタ101に対してピアツーピア通信を行う際の手順を示す。ここでは、デジカメ(第一の装置)102とプリンタ(第二の装置)101にセキュリティポリシーを設定する設定方法を示す。
401はデジカメ102にてプリンタ101とのピアツーピア通信を要求した際に動作する、SIP Invite処理とセキュリティポリシー設定処理を示す。デジカメ102のユーザは、ピアツーピア通信を行う相手となるプリンタ101と、そのピアツーピア通信にて利用するアプリケーションを、前記SIP UAインタフェース303で指定することで、本処理が開始される。デジカメ102は、ユーザによるプリンタ101とのピアツーピア通信の要求により、402にてSDP情報(セキュリティポリシー設定情報)307を添付したSIP Inviteメッセージ(接続呼出しメッセージ)を、SIPサーバ103を経由してプリンタ101に送信する。すなわち、デジカメ(第一の装置)102が、SIPサーバ103を介してプリンタ(第二の装置)101を呼び出すための接続呼出しメッセージを、デジカメ(第一の装置)102のセキュリティポリシー設定情報を添付して送信する。
402のSIP Inviteメッセージを受信したプリンタ101は、403にてデジカメ102とのピアツーピア通信のコネクション確立のためのSIP Invite処理と、セキュリティポリシー設定処理を開始する。402のSIP Inviteメッセージを受信したプリンタ101は、添付されたデジカメ102のSDP情報307のチェックを行い、その結果より404にてプリンタ101のSDP情報(セキュリティポリシー設定情報)を添付した200OKメッセージを返信する。すなわち、プリンタ(第二の装置)101は、接続応答メッセージを、プリンタ(第二の装置)101のセキュリティポリシー設定情報を添付して送信する。200OKに添付するSDP情報については、あとで、詳細に説明する。404の200OKメッセージは、SIPサーバ103を経由してデジカメ102に到達する。
404の200OKメッセージを受信したデジカメ102は、メッセージの内容と、添付されたプリンタ101のSDP情報を確認し、405のAckメッセージを送信する。405のAckメッセージ送信後、自己SDP情報と通信相手であるプリンタ101のSDP情報(セキュリティポリシー設定情報)から作成されたセキュリティポリシーの設定を406にて行う。すなわち、デジカメ(第一の装置)102は、受信したプリンタ(第二の装置)101のセキュリティポリシー設定情報に基づいて、デジカメ(第一の装置)102のセキュリティポリシーを設定する。
一方、405のAckメッセージを受信したプリンタ101でも、自己SDP情報と通信相手であるデジカメ102のSDP情報から作成されたセキュリティポリシーの設定を407にて行う。すなわち、プリンタ(第二の装置)101は、受信したデジカメ(第一装置)102のセキュリティポリシー設定情報に基づいて、プリンタ(第二の装置)101のセキュリティポリシーを設定する。
図6は、実際に設定するセキュリティポリシーを生成する際に利用されるテンプレートである。なお、前記SP作成モジュール306は、前記SP情報データベース305に格納されたセキュリティポリシーの設定項目(SP情報)から、このテンプレートを利用して、実際に設定するセキュリティポリシーを生成する。<local_addr>はローカルアドレスであり、前記601の値が設定される。<local_port>はローカルアドレスであり、前記602の値が設定される。<remote_addr>はリモートアドレスであり、前記603の値が設定される。<remote_port>はリモートポートであり、前記604の値が設定される。<sec_type>はセキュリティタイプであり、前記605の値が設定され、<sec_level>はセキュリティレベルであり、前記606の値が設定される。なお、sec_typeに「ah&esp」を指定されている場合(つまり、認証と暗号化を両方利用する場合)、「<sec_type>/transport//<sec_level>」を繰り返し設定する。つまり、「〜ah/transport//require esp/transport//require 〜」のように記述される。
図7、図8では本実施形態の処理フローを示す。特に、SIP Invite処理とセキュリティポリシーの設定処理(デジカメ(第一の装置)102とプリンタ(第二の装置)101にセキュリティポリシーを設定する設定処理)に関して示す。
図7の501にてユーザからのピアツーピア通信の要求が入力されたか判定する。つまり、デジカメ102においてユーザが、ピアツーピア通信を行う相手となるプリンタ101と、そのピアツーピア通信にて利用するアプリケーションを、前記SIP UAインタフェース302で指定した場合、503へ処理が進み、ユーザからの要求がない場合には502に処理が進む。502では、SIP Inviteメッセージを受信したかを判定する。つまり、プリンタ101において前記402のSIP Inviteメッセージを受信した場合には512へ処理が進み、受信しなかった場合には処理が終了となり、もう一度501からの処理が始まる。この501、502の判定処理は、デバイス間ピアツーピア通信におけるアクセス側の端末における処理と、被アクセス側の端末における処理を判定している。
アクセス側の端末処理は503より行われる。501、及び、503から511は、アクセス側であるデジカメ102のCPU901が実行するプログラムを示す。503では、前記501にて受理したユーザからの要求内容から、前記自己SDP情報307より該当するアプリケーション情報が含まれている自己SDP情報を取得し、自己のアドレスとポート番号を前記SP情報データベース305に登録する。504では、前記503で取得した自己SDP情報(セキュリティポリシー設定情報)を、SIP Inviteメッセージに添付する。そして、505にてSIP Inviteメッセージ(接続呼出しメッセージ)を前記SIPサーバ103に対して送信する。すなわち、デジカメ(第一の装置)102が、SIPサーバ103を介してプリンタ(第二の装置)101を呼び出すための接続呼出しメッセージを、デジカメ(第一の装置)102のセキュリティポリシー設定情報を添付して送信する。このとき、SIP Inviteメッセージの宛先としては、ピアツーピア通信を行う相手のSIP URIを指定する。つまり、デジカメ102からプリンタ101へのピアツーピア通信の要求の場合、プリンタ101のSIP URI「BJ001@device.oanon.com」に対して送信される。
506では、前記505のSIP Inviteメッセージに対する返信メッセージである200OKメッセージを受信する。この200OKメッセージにはピアツーピア通信の相手となるデバイス機器のSDP情報(セキュリティポリシー設定情報)が添付されており、507にてその添付されている通信相手SDP情報(セキュリティポリシー設定情報)を取得する。すなわち、通信相手のセキュリティポリシー設定情報を受信する。取得した通信相手SDP情報から508にて、セキュリティポリシーの設定に関する項目(SEC*項目)が有効な値であるかどうかを判定する。有効な値とは、SIP Inviteメッセージに添付した自己SDP情報のセキュリティポリシーの項目と、200OKメッセージに添付された通信相手SDP情報のセキュリティポリシーの項目が、同一の値であることである。ここで有効な値の場合は509に処理が進み、有効でない場合には511に処理が進む。
509では、通信相手SDP情報(セキュリティポリシー設定情報)より、前記508にてチャックしたセキュリティポリシーの項目と、通信相手のアドレスとポート番号の各情報を、前記503にて登録したSP情報データベース305に追加登録する。この503、509の各SP情報の登録処理により、SP情報のエントリが完成するので、510にて完成したSP情報から実際にデバイスに設定するセキュリティポリシーを作成し、カーネルに設定する。すなわち、デジカメ(第一の装置)102は、受信したプリンタ(第二の装置)101のセキュリティポリシー設定情報に基づいて、デジカメ(第一の装置)102のセキュリティポリシーを設定する。511ではSIP Invite処理の最後に送信するAckメッセージを、通信相手のデバイスに送信し、処理を終了する。
一方、被アクセス側の端末処理は512より行われる。502、及び、512から524は、アクセス側であるデジカメ102のCPU901が実行するプログラムを示す。512にてピアツーピア通信を要求するデバイスからのSIP Inviteメッセージ(接続呼出しメッセージ)を受信すると、513にて前記512のSIP Inviteメッセージに添付された通信相手SDP情報(セキュリティポリシー設定情報)307を取得する。すなわち、通信相手のセキュリティポリシー設定情報の添付された接続呼出しメッセージを、SIPサーバを介して受信する。
取得した通信相手SDP情報307よりセキュリティポリシーの項目(セキュリティタイプ、レベル)を図8の514にてチェックし、値が設定されている場合には515に処理が進み、値がない場合には519に処理が進む。セキュリティポリシーの項目がある場合、515にて自己SDP情報のセキュリティポリシーの項目と比較を行い、516にてそれらの値がすべて同一かどうかを判定する。すべてのセキュリティポリシーの項目が同一の場合には517に処理が進み、そうでない場合には519に処理が進む。
通信相手SDP情報のセキュリティポリシーの項目(セキュリティタイプ、レベル)と、自己SDP情報のセキュリティポリシーの項目とが一致した場合、517にて自己SDP情報をそのまま取得する。そして、518にて通信相手SDP情報と自己SDP情報より、SP情報データベース305にSP情報を登録する。具体的には、両SDP情報から共通のセキュリティポリシーの項目と、通信相手SDP情報(セキュリティポリシー設定情報)よりアドレスとポート番号、自己SDP情報よりアドレスとポート番号をそれぞれ取得し、SP情報データベース305に登録する。すなわち、プリンタ(第二の装置)101は、受信したデジカメ(第一の装置)102のセキュリティポリシー設定情報に基づいて、プリンタ(第二の装置)101のセキュリティポリシーを、SP情報データベース305に登録する。そして、520へ処理が進む。
一方、通信相手SDP情報のセキュリティポリシーの項目(セキュリティタイプ、レベル)と、自己SDP情報のセキュリティポリシーの項目が一致しなかった場合、519にて自己SDP情報のセキュリティポリシーの項目を空欄に変更する。
520では、前記517または519にて取得・修正した自己SDP情報(セキュリティポリシー設定情報)を、200OKメッセージ(接続応答メッセージ)に添付し、521にて200OKメッセージを送信する。すなわち、プリンタ(第二の装置)101は、受信したデジカメ(第一の装置)102のセキュリティポリシー設定情報に基づいて、接続応答メッセージを、プリンタ(第二の装置)101のセキュリティポリシー設定情報を添付して送信する。
522にてAckメッセージを受信すると、523にて518でSP情報が作成されたかどうかを判定する。SP情報が作成されている場合には524に処理が進み、SP情報が作成されていない場合には処理を終了する。524では作成されたSP情報から実際にデバイスに設定するセキュリティポリシーを作成し、カーネルに設定し、処理を終了する。すなわち、プリンタ(第二の装置)101は、受信したデジカメ(第一の装置)102のセキュリティポリシー設定情報に基づいて、プリンタ(第二の装置)101のセキュリティポリシーを設定する。
本発明の一実施形態のネットワーク構成図である。 本実施形態のハードウェア構成図である。 本実施形態のモジュール構成図である。 SP情報データベースの構成図である。 本実施形態のシーケンス図である。 セキュリティポリシーを生成する際に利用されるテンプレートの図である。 本実施形態の処理フロー図である。 本実施形態の処理フロー図である。
符号の説明
101 プリンタ
102 デジタルカメラ(デジカメ)
103 SIPサーバ

Claims (1)

  1. 第一の装置と第二の装置にセキュリティポリシーを設定する設定方法であって、
    前記第一の装置が、
    SIPサーバを介して前記第二の装置を呼び出すための接続呼出しメッセージを、前記第一の装置のセキュリティポリシー設定情報を添付して送信し、
    前記接続呼出しメッセージに対して前記第二の装置から送信された接続応答メッセージに添付された前記第二の装置のセキュリティポリシー設定情報と前記第一の装置が有する前記第一の装置のセキュリティポリシー設定情報のセキュリティタイプ及びセキュリティレベルが一致した場合、前記第一の装置と前記第二の装置のセキュリティポリシー設定情報に基づいて前記第一の装置のセキュリティポリシーを設定し、
    前記第二の装置のセキュリティポリシー設定情報と前記第一の装置のセキュリティポリシー設定情報のセキュリティタイプ及びセキュリティレベルが一致しなかった場合、前記第一の装置のセキュリティポリシーを設定せず、
    前記接続呼出しメッセージに対して前記第二の装置から送信された接続応答メッセージに添付された前記第二の装置のセキュリティポリシー設定情報と前記第一の装置のセキュリティポリシー設定情報のセキュリティタイプ及びセキュリティレベルが一致した場合も一致しなかった場合も、前記第二の装置にAckメッセージを送信し、
    前記第二の装置が、
    前記第一の装置から送信された接続呼出しメッセージに添付された前記第一の装置のセキュリティポリシー設定情報と前記第二の装置が有する前記第二の装置のセキュリティポリシー設定情報のセキュリティタイプ及びセキュリティレベルが一致した場合、前記第一の装置のセキュリティポリシー設定情報のアドレスとポート番号、前記第二の装置のセキュリティポリシー設定情報のアドレスとポート番号、及び、前記一致したセキュリティタイプ及びセキュリティレベルを取得し、前記第二の装置のセキュリティポリシー設定情報を添付した接続応答メッセージを送信し、
    前記第一の装置のセキュリティポリシー設定情報と前記第二の装置のセキュリティポリシー設定情報のセキュリティタイプ及びセキュリティレベルが一致しなかった場合、セキュリティタイプ及びセキュリティレベルを空欄に変更した前記第二の装置のセキュリティポリシー設定情報を添付した接続応答メッセージを送信し、
    前記第一の装置から送信されたAckメッセージを受信したときに、前記第一の装置のセキュリティポリシー設定情報と前記第二の装置のセキュリティポリシー設定情報のセキュリティタイプ及びセキュリティレベルが一致した場合に取得された、前記第一の装置のセキュリティポリシー設定情報のアドレスとポート番号、前記第二の装置のセキュリティポリシー設定情報のアドレスとポート番号、及び、前記一致したセキュリティタイプ及びセキュリティレベルに基づいて前記第二の装置のセキュリティポリシーを設定し、
    前記第一の装置から送信されたAckメッセージを受信したときに、前記第一の装置のセキュリティポリシー設定情報と前記第二の装置のセキュリティポリシー設定情報のセキュリティタイプ及びセキュリティレベルが一致した場合に取得される、前記第一の装置のセキュリティポリシー設定情報のアドレスとポート番号、前記第二の装置のセキュリティポリシー設定情報のアドレスとポート番号、及び、前記一致したセキュリティタイプ及びセキュリティレベルがない場合、前記第二の装置のセキュリティポリシーを設定しないことを特徴とするセキュリティポリシーの設定方法。
JP2004230802A 2004-08-06 2004-08-06 セキュリティポリシー設定方法 Expired - Fee Related JP4101215B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004230802A JP4101215B2 (ja) 2004-08-06 2004-08-06 セキュリティポリシー設定方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004230802A JP4101215B2 (ja) 2004-08-06 2004-08-06 セキュリティポリシー設定方法

Publications (2)

Publication Number Publication Date
JP2006050407A JP2006050407A (ja) 2006-02-16
JP4101215B2 true JP4101215B2 (ja) 2008-06-18

Family

ID=36028417

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004230802A Expired - Fee Related JP4101215B2 (ja) 2004-08-06 2004-08-06 セキュリティポリシー設定方法

Country Status (1)

Country Link
JP (1) JP4101215B2 (ja)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2006087819A1 (ja) * 2005-02-21 2008-07-03 富士通株式会社 通信装置
JP4890990B2 (ja) * 2006-07-28 2012-03-07 キヤノン株式会社 画像処理装置、その画像処理装置の制御方法およびプログラム
CA2699441A1 (en) * 2007-09-14 2009-03-19 Fredrik Lindholm Methods and apparatuses for handling trust in an ip multimedia subsystem communication network
US9900347B2 (en) 2007-09-14 2018-02-20 Telefonaktiebolaget Lm Ericsson (Publ) Handling trust in an IP multimedia subsystem communication network
JP5184435B2 (ja) * 2009-05-12 2013-04-17 日本電信電話株式会社 コンテンツ取得方法、コンテンツ取得装置、コンテンツ取得プログラム及び記録媒体
JP5503276B2 (ja) * 2009-11-18 2014-05-28 キヤノン株式会社 情報処理装置及びそのセキュリティ設定方法
US10164929B2 (en) 2012-09-28 2018-12-25 Avaya Inc. Intelligent notification of requests for real-time online interaction via real-time communications and/or markup protocols, and related methods, systems, and computer-readable media
US9363133B2 (en) 2012-09-28 2016-06-07 Avaya Inc. Distributed application of enterprise policies to Web Real-Time Communications (WebRTC) interactive sessions, and related methods, systems, and computer-readable media
US9294458B2 (en) 2013-03-14 2016-03-22 Avaya Inc. Managing identity provider (IdP) identifiers for web real-time communications (WebRTC) interactive flows, and related methods, systems, and computer-readable media
US10205624B2 (en) 2013-06-07 2019-02-12 Avaya Inc. Bandwidth-efficient archiving of real-time interactive flows, and related methods, systems, and computer-readable media
US9525718B2 (en) 2013-06-30 2016-12-20 Avaya Inc. Back-to-back virtual web real-time communications (WebRTC) agents, and related methods, systems, and computer-readable media
US9614890B2 (en) 2013-07-31 2017-04-04 Avaya Inc. Acquiring and correlating web real-time communications (WEBRTC) interactive flow characteristics, and related methods, systems, and computer-readable media
US9531808B2 (en) 2013-08-22 2016-12-27 Avaya Inc. Providing data resource services within enterprise systems for resource level sharing among multiple applications, and related methods, systems, and computer-readable media
US10225212B2 (en) 2013-09-26 2019-03-05 Avaya Inc. Providing network management based on monitoring quality of service (QOS) characteristics of web real-time communications (WEBRTC) interactive flows, and related methods, systems, and computer-readable media
US10263952B2 (en) 2013-10-31 2019-04-16 Avaya Inc. Providing origin insight for web applications via session traversal utilities for network address translation (STUN) messages, and related methods, systems, and computer-readable media
US9769214B2 (en) 2013-11-05 2017-09-19 Avaya Inc. Providing reliable session initiation protocol (SIP) signaling for web real-time communications (WEBRTC) interactive flows, and related methods, systems, and computer-readable media
US10129243B2 (en) 2013-12-27 2018-11-13 Avaya Inc. Controlling access to traversal using relays around network address translation (TURN) servers using trusted single-use credentials
US9749363B2 (en) 2014-04-17 2017-08-29 Avaya Inc. Application of enterprise policies to web real-time communications (WebRTC) interactive sessions using an enterprise session initiation protocol (SIP) engine, and related methods, systems, and computer-readable media
US10581927B2 (en) 2014-04-17 2020-03-03 Avaya Inc. Providing web real-time communications (WebRTC) media services via WebRTC-enabled media servers, and related methods, systems, and computer-readable media
US9912705B2 (en) 2014-06-24 2018-03-06 Avaya Inc. Enhancing media characteristics during web real-time communications (WebRTC) interactive sessions by using session initiation protocol (SIP) endpoints, and related methods, systems, and computer-readable media

Also Published As

Publication number Publication date
JP2006050407A (ja) 2006-02-16

Similar Documents

Publication Publication Date Title
JP4101215B2 (ja) セキュリティポリシー設定方法
JP4047303B2 (ja) 提供装置、提供プログラム、及び、提供方法
US7664954B2 (en) Providing apparatus, providing method, communication device, communication method, and program
US8549614B2 (en) Establishing internet protocol security sessions using the extensible messaging and presence protocol
JP4670598B2 (ja) ネットワークシステム、プロキシサーバ、セッション管理方法、及びプログラム
JP2006128751A (ja) データ通信方法およびシステム
JP4130809B2 (ja) 端末間の暗号化通信チャネルを構築する方法及びそのための装置並びにプログラム
US20080195753A1 (en) Relay apparatus, recording medium containing relay program, and communication system
JP2009290329A (ja) Ip通信システム、サーバユニット、端末デバイスおよび認証方法
US8578455B2 (en) Method and apparatus for authenticating terminal device, and terminal device
CN110800271A (zh) 激活应用于数据会话的进程的方法
Kfoury et al. Securing natted iot devices using ethereum blockchain and distributed turn servers
JP5211579B2 (ja) Sipを用いた認証システムおよび認証方法
JP4190521B2 (ja) マルチプロトコルアドレス登録方法、マルチプロトコルアドレス登録システム、マルチプロトコルアドレス登録サーバおよびマルチプロトコルアドレス通信端末
JP4073931B2 (ja) 端末、通信装置、通信確立方法および認証方法
JP2006270431A (ja) 呼制御装置、端末、これらのプログラム、及び通信チャネル確立方法
JP4619059B2 (ja) 端末装置、ファイアウォール装置、及びファイアウォール装置制御のための方法、並びにプログラム
JP4025734B2 (ja) 端末間の暗号化通信チャネルを構築するためのセッション管理装置、方法及びプログラム
JP2006352710A (ja) パケット中継装置及びプログラム
JP4571006B2 (ja) ネットワーク制御装置、ネットワークシステム、及びプログラム
JP6913132B2 (ja) データ送信補助方法
JP4533031B2 (ja) 通信方法、装置、プログラム、及び、設定方法
JP4583424B2 (ja) 端末間の暗号化通信チャネルを構築するためのセッション管理装置、方法及びプログラム
JP2009527138A (ja) Ipsecセキュリティ・アソシエーションを折衝するときのネットワーク・トポロジの検出
JP2005229435A (ja) リゾルバをアプリケーションとは別に備えた端末及びリゾルバプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20051212

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070830

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070904

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071031

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080311

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080318

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110328

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4101215

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120328

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130328

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140328

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees