JP4916270B2 - Information processing apparatus, communication method, and program - Google Patents
Information processing apparatus, communication method, and program Download PDFInfo
- Publication number
- JP4916270B2 JP4916270B2 JP2006273042A JP2006273042A JP4916270B2 JP 4916270 B2 JP4916270 B2 JP 4916270B2 JP 2006273042 A JP2006273042 A JP 2006273042A JP 2006273042 A JP2006273042 A JP 2006273042A JP 4916270 B2 JP4916270 B2 JP 4916270B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- security
- security setting
- information processing
- processing apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
Description
本発明は、セキュリティ技術に関し、より詳細には、ネットワークを介してセキュリティを保護しながらデータ伝送を実行する、情報処理装置、通信方法およびプログラムに関する。 The present invention relates to security technology, and more particularly to an information processing apparatus, a communication method, and a program that execute data transmission while protecting security via a network.
近年、ネットワークセキュリティ技術の発達により、社内文書など機密文書、パスワード、クレジットカード番号、口座IDといったセキュリティ情報などの機密性の高い情報を、インターネットを介してセキュアに伝送し、安全にオンライン業務を遂行することが可能となった。例えば、VPN(Virtual Private Network)では、遠隔した拠点間を、インターネットを介してトンネル接続し、専用線接続と同程度の高いセキュリティにより通信を行うことが可能である。 In recent years, with the development of network security technology, confidential documents such as in-house documents, security information such as passwords, credit card numbers, and account IDs are securely transmitted over the Internet, and online operations are performed safely. It became possible to do. For example, in a VPN (Virtual Private Network), remote bases can be connected via a tunnel via the Internet, and communication can be performed with the same high security as a dedicated line connection.
高い機密性を保つためのセキュア通信においては、伝送データの暗号化に伴う送信側における暗号化および受信側におけるその復号化による処理負荷が増加し、特に、サーバとして多数の外部接続された装置(以下、外部装置として参照する。)とのトランザクションを実行する情報処理装置では深刻な問題となっている。そのため、ネットワークの必要なセキュリティ強度を維持しつつ、負荷を低減させる簡便な方法が求められてきた。 In secure communication for maintaining high confidentiality, processing load due to encryption on the transmission side and decryption on the reception side accompanying encryption of transmission data increases, and in particular, a large number of externally connected devices ( This is a serious problem in an information processing apparatus that executes a transaction with an external device. Therefore, there has been a demand for a simple method for reducing the load while maintaining the necessary security strength of the network.
暗号化通信のセキュリティ強度を高めるにつれて、一般に通信速度は低下し、処理負荷は増加する。過剰なセキュリティ強度による通信速度の低下を防止する観点から、VPNやIPv6で使用されるセキュア通信規格であるIPsec(Security Architecture for Internet Protocol)通信を用いて、IPアドレスの特性に応じたIPsecのセキュリティ・ポリシーを適用することが知られている。 As the security strength of encrypted communication is increased, the communication speed generally decreases and the processing load increases. From the viewpoint of preventing a decrease in communication speed due to excessive security strength, IPsec security according to the characteristics of the IP address using IPsec (Security Architecture for Internet Protocol) communication, which is a secure communication standard used in VPN and IPv6・ It is known to apply the policy.
また、特許文献1には、ネットワークを介して転送するデータとして例えばMPEG画像のパケット送信を行なう場合、MPEGのIピクチャ、Pピクチャ、Bピクチャのいずれがパケット内に含まれるかを判別し、重要度に応じた宛て先ポート番号をUDP(またはTCP)ヘッダ情報として設定する、データ送信装置が開示されている。
上述したセキュア通信技術が知られているものの、ネットワーク基盤技術の変更に対して柔軟にセキュリティ・ポリシーの適用するという観点からは充分なものではなかった。 Although the above-described secure communication technology is known, it has not been sufficient from the viewpoint of applying a security policy flexibly to changes in network infrastructure technology.
また、近年、内部からの情報漏洩が社会問題になっていることを鑑み、内部ネットワーク内の通信であっても、機密性や重要度の高い通信は、高いセキュリティで保護されることが望まれている。一方上述した技術では、機密性の高い情報であっても低いものであっても、IPアドレスの特性に基づいて同一のセキュリティ・ポリシーが適用されるため、通信内容の重要度や機密性に合わせて、有効にセキュリティを確保しつつ、効率よく通信速度の低減および処理過負荷の低減を行えるものではなかった。 In recent years, in view of the fact that information leakage from the inside has become a social problem, it is desirable that highly confidential communications be protected with high security even for communications within the internal network. ing. On the other hand, in the above-described technology, the same security policy is applied based on the characteristics of the IP address regardless of whether the information is highly confidential or low, so that it matches the importance and confidentiality of the communication content. Thus, it was not possible to efficiently reduce the communication speed and the processing overload while ensuring the security effectively.
さらに、Webサーバのように不特定の外部装置からのアクセスが見込まれる利用形態では特に、通信内容の重要度や機密性に合わせて、有効にセキュリティを確保しつつ、効率よく通信速度の低減および処理過負荷の低減を行えるものではなかった。 Furthermore, especially in a usage mode in which access from an unspecified external device such as a Web server is expected, it is possible to efficiently reduce the communication speed while effectively ensuring security in accordance with the importance and confidentiality of communication contents. The processing overload could not be reduced.
本発明は、上記従来技術の問題点に鑑みてなされたものであり、情報処理装置と外部装置との間の高いセキュリティおよび信頼性によるネットワークを介した接続を可能とし、外部装置側に特別なプログラムを必要とせずに、送信元利用者のユーザ識別値、通信に用いられるアプリケーション層の通信プロトコルの種類、アクセス要求先リソース属性など、通信データの属性に応じて柔軟にセキュリティ設定を適用した通信路を使用し、情報処理装置全体としての処理負荷の低減を可能とする、情報処理装置、通信方法およびプログラムを提供するものである。 The present invention has been made in view of the above-described problems of the prior art, and enables a connection between an information processing apparatus and an external apparatus via a network with high security and reliability, and is special on the external apparatus side. Communication that flexibly applies security settings according to the attributes of the communication data, such as the user identification value of the transmission source user, the type of communication protocol of the application layer used for communication, and the resource attribute of the access request destination without requiring a program The present invention provides an information processing apparatus, a communication method, and a program that can reduce the processing load of the entire information processing apparatus using a path.
すなわち本発明によれば、ネットワークに接続され、外部装置とデータ通信を行う情報処理装置であって、
セキュアデータ通信のセキュリティ設定と、通信データ属性とを対応させて保持するセキュリティ設定管理手段と、
前記外部装置との通信データから、前記通信データ属性を判断する、通信データ属性判定手段と、
前記外部装置との前記セキュアデータ通信の前記セキュリティ設定を前記通信データ属性に対応して決定し、通信を実行させるアプリケーション実行手段と
を含む、情報処理装置が提供される。
That is, according to the present invention, an information processing apparatus connected to a network and performing data communication with an external apparatus,
Security setting management means for keeping security data communication security settings and communication data attributes corresponding to each other;
Communication data attribute determining means for determining the communication data attribute from communication data with the external device;
An information processing apparatus is provided, including: an application execution unit that determines the security setting of the secure data communication with the external device according to the communication data attribute, and executes communication.
本発明では、前記セキュリティ設定は、アドレスおよびポート番号の少なくとも一方で指定される通信路ごとに割当てられ、前記情報処理装置は、前記外部装置に前記通信路を通知して、前記セキュアデータ通信を確立することができる。本発明では、前記アプリケーション実行手段は、前記通信データ属性を要求されたWebページのURLアドレスを使用して決定し、前記外部装置へ、前記通信データ属性に対応する前記セキュリティ設定がされたURLアドレスを通知することができる。 In the present invention, the security setting is assigned for each communication path specified by at least one of an address and a port number, and the information processing apparatus notifies the external apparatus of the communication path and performs the secure data communication. Can be established. In the present invention, the application execution means determines the communication data attribute using the URL address of the requested Web page, and sets the security address corresponding to the communication data attribute to the external device. Can be notified.
また本発明では、前記情報処理装置は、
前記セキュリティ設定を行うための、設定テンプレートを格納するテンプレート格納手段と、
前記設定テンプレートを識別するための情報を表示部に提示して、前記設定テンプレートの選択を受付ける選択手段と、
前記選択手段によって選択された前記設定テンプレートに従ってセキュリティ設定を実行する、セキュリティ設定処理手段とを含むことができる。
In the present invention, the information processing apparatus includes:
Template storage means for storing a setting template for performing the security setting;
A selection unit that presents information for identifying the setting template on a display unit, and receives selection of the setting template;
Security setting processing means for executing security setting according to the setting template selected by the selection means.
さらに本発明では、前記情報処理装置は、
前記セキュリティ設定と、前記セキュリティ設定を示す文字列とを対応づけて記憶する文字列記憶手段と、
前記セキュリティ設定に対応する前記文字列を含めて、登録ホスト名を生成するホスト名生成手段と
を含むことができる。
Furthermore, in the present invention, the information processing apparatus includes:
Character string storage means for storing the security setting in association with the character string indicating the security setting;
Host name generation means for generating a registered host name including the character string corresponding to the security setting may be included.
さらに、本発明では、前記情報処理装置は、前記セキュリティ設定がなされている前記通信路と、ホスト名とを対応付けてDNSサーバへ登録する、ホスト名登録手段を含むことができる。本発明によれば、前記セキュアデータ通信は、IPsec通信であることができる。 Further, in the present invention, the information processing apparatus can include a host name registration unit that registers the communication path in which the security setting is made and a host name in association with each other in a DNS server. According to the present invention, the secure data communication can be IPsec communication.
本発明によれば、ネットワークに接続され、情報処理装置に対して外部装置とデータ通信を実行させる通信方法であって、前記情報処理装置に対し、
前記外部装置からの通信データを受信し、通信データ属性を判断するステップと、
前記通信データ属性からセキュリティ設定を検索し、決定するステップと、
決定された前記セキュリティ設定を適用してセキュアデータ通信を実行させるステップと
を実行させる、通信方法が提供される。
According to the present invention, there is provided a communication method that is connected to a network and causes an information processing device to execute data communication with an external device.
Receiving communication data from the external device and determining a communication data attribute;
Retrieving and determining security settings from the communication data attributes;
A communication method is provided that executes secure data communication by applying the determined security setting.
本発明では、前記通信方法は、前記セキュリティ設定を、アドレスおよびポート番号の少なくとも一方で指定される通信路について決定するステップと、
前記外部装置に対して前記通信路を通知して、前記セキュアデータ通信を確立するステップとを含むことができる。
In the present invention, the communication method determines the security setting for a communication path specified by at least one of an address and a port number;
Informing the external device of the communication path and establishing the secure data communication.
また本発明では、前記通信方法は、前記通信データ属性を要求されたWebページのURLアドレスを使用して決定するステップと、
前記通信データ属性に対応する前記セキュリティ設定がされた前記URLアドレスを前記外部装置に通知するステップとを含むことができる。
According to the present invention, the communication method determines the communication data attribute using a URL address of a requested web page;
And notifying the external device of the URL address for which the security setting corresponding to the communication data attribute is set.
さらに本発明では、前記情報処理装置は、
前記セキュリティ設定から前記セキュリティ設定を示す文字列を決定するステップと、
前記セキュリティ設定に対応する前記文字列を含めて、登録ホスト名を生成するステップと
を含むことができる。
Furthermore, in the present invention, the information processing apparatus includes:
Determining a character string indicating the security setting from the security setting;
Generating a registered host name including the character string corresponding to the security setting.
さらに本発明によれば、ネットワークに接続され、外部装置とデータ通信を行うプログラムであって、情報処理装置に対し、
セキュアデータ通信のセキュリティ設定と、通信データ属性とを対応させて保持するセキュリティ設定管理手段と
前記外部装置との通信データから、前記通信データ属性を判断する、通信データ属性判定手段と、
前記外部装置との前記セキュアデータ通信の前記セキュリティ設定を前記通信データ属性に対応して決定し、通信を実行させるアプリケーション実行手段と
を実現する、装置実行可能なプログラムが提供される。
Furthermore, according to the present invention, a program is connected to a network and performs data communication with an external device.
A security setting management means for keeping security data communication security settings and communication data attributes corresponding to each other; a communication data attribute judging means for judging the communication data attribute from communication data with the external device;
An apparatus-executable program is provided that implements application execution means for determining the security setting of the secure data communication with the external device in correspondence with the communication data attribute and executing communication.
本発明では、前記アプリケーション実行手段は、前記セキュリティ設定をアドレスおよびポート番号の少なくとも一方で指定される通信路ごとに割当て、前記情報処理装置は、前記外部装置に前記通信路を通知して、前記セキュアデータ通信を確立する手段を含むことができる。また、本発明では、前記アプリケーション実行手段は、前記通信データ属性を要求されたWebページのURLアドレスを使用して決定し、前記外部装置へ、前記通信データ属性に対応する前記セキュリティ設定がされた前記URLアドレスを通知する手段を含むことができる。 In the present invention, the application execution unit assigns the security setting to each communication path designated by at least one of an address and a port number, and the information processing apparatus notifies the external apparatus of the communication path, and Means for establishing secure data communications may be included. In the present invention, the application execution means determines the communication data attribute using the URL address of the requested Web page, and the security setting corresponding to the communication data attribute is made in the external device. Means for notifying the URL address may be included.
さらに、本発明では、前記プログラムは、前記セキュリティ設定を行うための、設定テンプレートを格納するテンプレート格納手段と、
前記設定テンプレートを識別するための情報を表示部に提示して、前記設定テンプレートの選択を受付ける選択手段と、
前記選択手段によって選択された前記設定テンプレートに従ってセキュリティ設定を実行する、セキュリティ設定処理手段と
を実現することができる。
Furthermore, in the present invention, the program stores a template storage means for storing a setting template for performing the security setting;
A selection unit that presents information for identifying the setting template on a display unit, and receives selection of the setting template;
Security setting processing means for executing security settings according to the setting template selected by the selection means can be realized.
さらに、本発明では、前記セキュリティ設定がなされている前記通信路と、ホスト名とを対応付けてDNSサーバへ登録する、ホスト名登録手段を前記情報処理装置に実現することができる。 Further, according to the present invention, a host name registration unit that registers the communication path in which the security setting is made and the host name in association with each other in the DNS server can be realized in the information processing apparatus.
以下、本発明を図面に示した実施形態をもって説明するが、本発明は、図面に示した実施形態に限定されるものではない。 The present invention will be described below with reference to embodiments shown in the drawings, but the present invention is not limited to the embodiments shown in the drawings.
図1は、情報処理装置10の概略的な構成の実施形態を示したブロック図である。本発明の情報処理装置10は、パーソナル・コンピュータまたはワークステーションなどを用いることができる。情報処理装置10は、中央処理装置(CPU)12と、CPU12が使用するデータの高速アクセスを可能とするキャッシュ・メモリ14と、CPU12の処理を可能とするRAM、DRAMなどの固体メモリ素子から形成されるシステム・メモリ16とを備える。CPU12、キャッシュ・メモリ14、およびシステム・メモリ16は、システム・バス18を介して、情報処理装置10の他のデバイスまたはドライバ、例えば、グラフィックス・ドライバ20およびネットワーク・デバイス(NIC)22へと接続されている。グラフィックス・ドライバ20は、システム・バス18を介してディスプレイ装置24に接続されて、CPU12による処理結果をディスプレイ画面上に表示させている。また、ネットワーク・デバイス22は、トランスポート層レベルおよび物理層レベルで情報処理装置10をネットワークへと接続して、パーソナル・コンピュータ、PDA、携帯電話などの通信機能を備える外部装置(図示せず)とのセッションを確立させている。
FIG. 1 is a block diagram showing an embodiment of a schematic configuration of the
システム・バス18には、さらにI/Oバス・ブリッジ26が接続されている。I/Oバス・ブリッジ26の下流側には、PCIなどのI/Oバス28を介して、IDE、ATA、ATAPI、シリアルATA、SCSI、USBなどにより、ハードディスクなどの記憶装置30が接続されている。また、I/Oバス28には、USBなどのバスを介して、キーボードおよびマウスなどのポインティング・デバイスなどの入力装置32が接続され、システム管理者などのオペレータによる入力および指令を受付けている。
An I /
さらに、特定の実施の形態において、本発明をプリンタ・サーバなどとして使用する場合、または複合型の画像形成装置として使用する場合には、情報処理装置10は、システム・バス18に接続された画像処理ドライバ34および画像処理デバイス36を備えていても良い。画像処理ドライバ34および画像処理デバイス36は、図示しないADF(Automatic Document Feeder)および電子写真法を使用した画像形成エンジンを駆動して、画像処理・画像出力を行う場合に用いることができる。さらに他の実施形態では、情報処理装置10を、セキュリティゲートウェイとして使用することもできる。
Further, in a specific embodiment, when the present invention is used as a printer server or the like, or when used as a composite image forming apparatus, the
情報処理装置10が使用するCPUとしては、より具体的には、例えば、
Itanium(登録商標)、Xeon(登録商標)、Core(登録商標)、Pentium(登録商標)、Celeron(登録商標)、PowerPC(登録商標)、Athlon(登録商標)、Turion(登録商標)、Sempron(登録商標)、Duron(登録商標)、Opteron(登録商標)、Sparc(登録商標)、PA-RISC(略称)、MIPSなどを挙げることができる。
More specifically, the CPU used by the
Itanium (R), Xeon (R), Core (R), Pentium (R), Celeron (R), PowerPC (R), Athlon (R), Turion (R), Sempron ( (Registered trademark), Duron (registered trademark), Opteron (registered trademark), Sparc (registered trademark), PA-RISC (abbreviation), MIPS, and the like.
また、使用するオペレーティング・システム(OS)としては、例えばWindows(登録商標)2000、Windows(登録商標)XP、Windows(登録商標)200Xサーバ、UNIX(登録商標)、LINUX(登録商標)、FreeBSD(登録商標)、AIX(登録商標)、MacOS(商標)、Solaris(登録商標)、VxWorks(登録商標)またはそれ以外の適切なOSを挙げることができる。 As an operating system (OS) to be used, for example, Windows (registered trademark) 2000, Windows (registered trademark) XP, Windows (registered trademark) 200X server, UNIX (registered trademark), LINUX (registered trademark), FreeBSD ( (Registered trademark), AIX (registered trademark), MacOS (trademark), Solaris (registered trademark), VxWorks (registered trademark), or other appropriate OS.
図2は、情報処理装置10の機能手段構成の実施形態を示したブロック図である。情報処理装置10は、所謂、サーバ機能を提供する。情報処理装置10は、OSI参照モデルの物理層およびデータリンク層に相当し、イーサネット(登録商標)、PPPやPPPoE等のプロトコルによって、ネットワーク40に接続して通信を制御するリンク層44を備えている。さらに、情報処理装置10は、IPv4またはIPv6プロトコルによる通信を制御し、必要に応じてSA(セキュリティ・アソシエーション:Security Association)を確立して暗号化通信などを実行するIPsec制御部46と、TCP/UDPを使用してトランザクションを管理するセッション管理部48とを備えている。
FIG. 2 is a block diagram illustrating an embodiment of a functional unit configuration of the
セッション管理部48は、セッション管理部48より上位層のアプリケーション部50と通信し、ネットワーク40を介して外部接続された装置との間のトランザクション制御を行っている。なお、本実施形態においては、IPSec処理は、ネイティブIPスタックへ統合された実施形態として参照するが、IPスタックとリンク層44の間にIPsec処理を挿入するBITS(Bump in the Stack)による実施形態としても良く、特に限定されるものではない。
The
情報処理装置10のアプリケーション部50は、各種サーバ機能を提供し、例えばユーザ情報格納部56に格納されているユーザ管理情報に基づいて、通信相手のユーザ認証を実行するユーザ認証部54と、ファイル転送部58とを含んで構成される。アプリケーション部50は、データ格納部60に格納されているファイルデータを外部装置(図示せず)からの要求に応じて転送処理を実行する。さらに、アプリケーション部50は、Webページ生成部62を含み、Webページ格納部64に格納されているWebページ・データに基づいて要求されたWebページを生成し、HTTPプロトコルに基づく要求がなされた場合、Webページをレスポンスとして返している。
The
アプリケーション部50は、さらに、ホスト名生成部68が生成するホスト名をDNSサーバ94(図示しない)へ登録処理を行うためのDNS登録部66とを含んで構成されている。DNS登録部66は、ユーザが識別可能なホスト名およびドメイン名での該情報処理装置10へのアクセスを可能とするためのホスト名登録処理を実行する。さらに、アプリケーション部50は、ネットワーク監視部70とを含んで構成され、SNMP(Simple Network Management Protocol)によって、ネットワーク機器の稼働情報の収集や通信障害の検出などを行い、ネットワークを監視する。
The
また、他の実施形態では、上述したアプリケーション部50に含まれる各種サーバ機能として、例えばDHCPサーバ機能、DNSサーバ機能、メールサーバ機能などのサーバ機能を含む構成とすることができる。以下、本発明では説明の便宜上、リンク層44と、IPsec制御部46と、セッション管理部48と、アプリケーション部50のネットワーク通信機能とを含む機能部を、ネットワーク通信部42として参照する。
In other embodiments, various server functions included in the
さらに、情報処理装置10は、セキュリティ部52を含み構成され、セキュリティ部52は、IPsec通信のセキュリティ設定を管理し、アプリケーション部50からの問い合わせに応じて、適切なセキュリティ設定がなされた通信路のアドレス・ポートを応答し、通信のデータ属性(重要度や機密性を判断するための属性)に応じた通信の確立を実現している。セキュリティ部52は、より詳細には、セキュリティ設定管理部72と、セキュリティ設定格納部74とを含んでいる。セキュリティ設定格納部74は、通信のデータ属性と、通信データ属性応じたセキュリティ設定がなされている通信アドレス・ポートとを対応づけるためのテーブルと、通信アドレス・ポートのセキュリティ設定情報とを格納する。セキュリティ設定管理部72は、IPsec制御部46に対するセキュリティ設定処理および管理を行なっている。
Further, the
本実施形態では、セキュリティ設定管理部72は、セキュリティ設定格納部74にアクセスし、情報処理装置10に割当てられるIPアドレス/ポート番号を管理し、IPsec制御部46に、各IPアドレス/ポート番号で指定される通信路にそれぞれセキュリティ設定を行っている。また、セキュリティ設定管理部72は、IPアドレス/ポート番号の通信路ごとに異なるセキュリティ設定を行っており、通信するデータ属性に応じて異なるセキュリティ強度のSAを確立することを可能としている。セキュリティ設定管理部72は、アプリケーション部50からの問い合わせに応答して、通信データ属性に応じたセキュリティ設定されている通信路のIPアドレス/ポート番号をアプリケーション部50に通知する。アプリケーション部50は、通知されたIPアドレス/ポート番号を使用して、外部装置とのトランザクションを実行する。
In the present embodiment, the security
上述のIPアドレス/ポート番号に対応付けられる、通信データ属性として、本実施形態では、通信データの送信元利用者のユーザ識別値、ユーザ識別値に関連付けられるロール、リソースへのアクセスについては、指定されたURLのパス、ファイルの拡張子、ファイル名などのリソース属性を用いることができる。また、通信データ属性として、通信データを扱うアプリケーション(アプリケーション層のプロトコル)、アプリケーションにおける処理を用いることができる。例えば、情報処理装置10を複合機能を備えた画像形成装置として使用する実施形態では、スキャナ機能、ファックス機能、またはプリンタ機能などの各種処理に応じて、適切なセキュリティ強度のIPsec通信を行うこともできる。これらの通信データ属性は、セキュリティ設定格納部74に格納されており、外部装置からの要求に対応して参照される。
As communication data attributes associated with the IP address / port number described above, in this embodiment, the user identification value of the communication data transmission source user, the role associated with the user identification value, and access to resources are designated. Resource attributes such as the URL path, file extension, and file name can be used. Further, as a communication data attribute, an application that handles communication data (application layer protocol) and a process in the application can be used. For example, in an embodiment in which the
情報処理装置10は、さらに、ユーザ・インタフェース76を備えている。ユーザ・インタフェース76は、ユーザによる、アプリケーション部50の各種機能の設定およびセキュリティ部52の設定を可能とする。
The
図3は、セキュリティ設定格納部74に格納され、セキュリティ設定管理部72に管理される、アドレスマップ・テーブル80の実施形態を示す。図3に示した実施形態では、アドレスマップ・テーブル80は、IPアドレスを登録するフィールド80aと、ポート番号を指定するためのフィールド80bと、該IPアドレス/ポート番号に対応するセキュリティ設定情報に関連付けられたセキュリティ設定識別値を登録するフィールド80cとがエントリされている。
FIG. 3 shows an embodiment of the address map table 80 stored in the security
図3の実施形態では、IPアドレスは、IPv6形式で記載されているが、IPv6プロトコルに限定されることを意味するものではなく、IPv4プロトコルであっても適用することができる。さらに本発明の他の実施形態では、適切な対応テーブルを構成することによりIPv4とIPV6とが混在したネットワークにおいても対応させることができる。また、ポート番号を登録したフィールド80bには、ポート番号を特定せず、すべてのポート番号に適用されることを示す「any」や、特定のポート番号や特定のポート番号範囲などを登録することができる。なお、図3では、IPアドレスのみを指定して、異なるセキュリティ強度のセキュリティ設定での通信を行う場合の例を示し、テーブルの横に記載した矢印は、IPアドレス「2001::4」から「「2001::1」に向けてセキュリティ強度が高く設定されていることを示している。
In the embodiment of FIG. 3, the IP address is described in the IPv6 format. However, the IP address is not limited to the IPv6 protocol, and the IPv4 protocol can be applied. Furthermore, in another embodiment of the present invention, it is possible to cope with a network in which IPv4 and IPv6 are mixed by configuring an appropriate correspondence table. In the
フィールド80cにエントリされるセキュリティ設定識別値は、IPsec通信で使用される、セキュリティ指定データがエントリされる。セキュリティ指定データとしては、具体的には、暗号化および認証のアルゴリズムや秘密鍵の鍵長やSAのライフタイム、秘密鍵の共有やSAのネゴシエーションおよび管理を行うためのIKEv1またはIKEv2プロトコルにおける各種パラメータといった、セキュリティ強度に関連するセキュリティ設定を識別するためのデータを挙げることができる。
As the security setting identification value entered in the
セキュリティ強度は、一般に、鍵長が長くなるにつれて強度が高まり、それとともに暗号化・復号化の処理負荷が増加し、通信速度も低下する。セキュリティ強度や処理負荷は、アルゴリズムによっても変化する。さらに、SAのライフタイムの設定によってもセキュリティ強度は変化し、ライフタイムが短い方がセキュリティ強度は高いが、その分、鍵交換およびSAの確立処理も頻繁に行われるため、処理速度の低下や処理負荷の増加につながる。本実施形態では、セキュリティ設定のため、予めテンプレートを用意する。他の実施形態では、ユーザは、ユーザ・インタフェース76を介して各設定項目について詳細を設定することもできる。また、設定毎にセキュリティ設定識別値が割当てられ、割当てるべきセキュリティ強度を識別する。
In general, the strength of security increases as the key length increases, and at the same time, the processing load of encryption / decryption increases and the communication speed also decreases. The security strength and processing load also vary depending on the algorithm. Furthermore, the security strength also changes depending on the SA lifetime setting. The shorter the lifetime, the higher the security strength. However, the key exchange and the SA establishment processing are frequently performed. This leads to an increase in processing load. In this embodiment, a template is prepared in advance for security setting. In other embodiments, the user can also set details for each setting item via the
本実施形態で使用するセキュリティ設定は、例えばRFC4301(IPsec)、RFC2409(IKEv1)、RFC4306(IKEv2)に準拠する設定項目などを用いることができる。なお、本実施形態でのセキュリティ項目については後述するが、セキュリティ設定は特に限定されるものではない。 As security settings used in this embodiment, for example, setting items conforming to RFC4301 (IPsec), RFC2409 (IKEv1), and RFC4306 (IKEv2) can be used. The security items in this embodiment will be described later, but the security settings are not particularly limited.
以下、情報処理装置10が実行する、通信データ属性に対応したセキュリティ設定を使用する通信方法の実施形態を説明する。
Hereinafter, an embodiment of a communication method using the security setting corresponding to the communication data attribute executed by the
図4は、ユーザ識別値に基づくセキュリティ設定によるファイル転送における通信方法の実施形態を示す。図4(a)は、セキュリティ設定管理部72によって管理され、セキュリティ設定格納部74に格納される、ユーザマップ・テーブル82を示す。ユーザマップ・テーブル82は、ユーザ識別値を登録するフィールド82aと、ユーザ識別値に対応するIPアドレスを登録するフィールド82bと、ポート番号を指定するためのフィールド82cと、を含んで構成される。セキュリティ設定管理部72は、図4(a)に示したユーザマップ・テーブル82をルックアップし、ログイン・ユーザ認証の際のユーザ識別値を使用してセキュリティ設定格納部74内の識別値を検索して、ユーザ識別値ごとに異なるセキュリティ強度によるIPsec通信を可能とする。
FIG. 4 shows an embodiment of a communication method in file transfer based on a security setting based on a user identification value. FIG. 4A shows a user map table 82 managed by the security
また、他の実施形態では、アプリケーション部50は、図4(a)に示したユーザマップ・テーブル82を直接ルックアップし、ログイン・ユーザ認証などで使用されるユーザ識別値を判断する。アプリケーション部50は、取得したユーザ識別値を使用してセキュリティ・プロトコルを判断し、セキュリティ設定格納部74の識別値を検索して、ユーザ識別値ごとに異なるセキュリティ強度によるIPsec通信を可能とすることもできる。
In another embodiment, the
図4(b)は、ユーザ識別値に基づくセキュリティ設定によるファイル転送における通信方法を実行するネットワークの概略構成および処理の実施形態を示す。本実施形態では、情報処理装置10は、ネットワーク40を介して、外部装置90との間でファイル転送を実行している。外部装置90は、P11で情報処理装置10のIPアドレス「2001::9」に接続し、P12でユーザ・ログイン処理を実行する。なお、図示した実施形態では、IPsecが適用されないIPアドレス「2001::9」を使用して、平文で通信を行なうことが許可されている。また、他の実施形態では、ユーザ・ログイン認証の際もIPsecを使用して所定の強度のセキュア通信の下で通信することもできる。
FIG. 4B shows a schematic configuration and processing embodiment of a network that executes a communication method in file transfer based on a security setting based on a user identification value. In the present embodiment, the
外部装置90は、P13で同じIPアドレスを用いて、ファイル転送要求やファイル一覧要求などのコマンドを情報処理装置10に送信する。ファイル転送要求を受信した情報処理装置10は、P14で、ユーザマップ・テーブル82に登録されている、ユーザ識別値(ここではaaa)に対応する指定IPアドレス・フィールド82bおよび指定ポート番号・フィールド82cのエントリに基づいて、例えば、IPアドレス「2001::1」と、適当なダイナミック・プライベートポートや予約ポートを用いて、外部装置90とのIPsec通信を確立する。IPsec通信のSAは、アドレスマップ・テーブル80の対応するセキュリティ設定識別値を検索し、IKEv2などのSA管理および鍵交換プロトコルなどを用いて確立される。その後、P15で、情報処理装置10は、P14で確立したSAを用いてファイル転送を実行する。
The
図5は、ユーザ識別値に基づくセキュリティ設定による通信方法における処理シーケンスの実施形態を示す。外部装置90は、ステップS101で、情報処理装置10のネットワーク通信部42へ接続要求し、接続を確立する。その後、外部装置90は、ステップS102で、ユーザ識別値とパスワードとを含むログイン要求をネットワーク通信部42に送信する。ネットワーク通信部42は、ステップS103でユーザ認証部54にログイン認証の問い合わせを行い、ユーザ認証部54は、認証処理を実行する。ログインを完了した外部装置90は、ステップS104で、ファイルの転送要求をネットワーク通信部42へ送信する。
FIG. 5 shows an embodiment of a processing sequence in the communication method by the security setting based on the user identification value. In step S101, the
ファイル転送要求を受信したネットワーク通信部42は、ステップS105で、セキュリティ設定管理部72にユーザ識別値に対応するIPアドレス・ポートを問合わせ、ステップS106で、問合わせたIPアドレス・ポートを使用して、外部装置90との間でデータ転送用のセキュアな通信路を確立する。ネットワーク通信部42は、ステップS107で、ファイル転送部58を介して、データ格納部60に格納され、外部装置90から転送要求されたファイルを取得し、例えば送信バッファに格納する。その後、ネットワーク通信部42は、ステップS108で、ステップS106で確立したセキュアな通信経路を介して要求されたファイルを転送し、転送完了とともに接続を切断する。
The
また、以上の処理シーケンスと同様の処理を使用して、その他のトランザクション、例えば、ファイルのアップロードや一覧表示要求など、例えばRFC959に規定されるFTPコマンドによる処理などを行うこともできる。また、他の実施形態では、ユーザ識別値に代えて、ユーザ識別値に関連付けられる、ロールに対して通信路を設定し、セキュリティ強度を変えたIPsec通信を行うこともできる。さらに他の実施形態では、ファイル名、パス、ファイルの拡張子(ファイルタイプ)、ファイルの所有者識別値などのリソース属性に対して通信路を設定し、対応するセキュリティ設定によるIPsec通信を実行することができる。また、さらに他の実施形態では、コマンド(要求処理)に対して通信路を設定し、異なるセキュリティ設定による通信を行うこともでき、特に限定されるものではない。 Further, by using processing similar to the above processing sequence, other transactions such as file upload and list display requests can be performed, for example, processing by an FTP command defined in RFC959. In another embodiment, instead of the user identification value, IPsec communication with a different security strength can be performed by setting a communication path for the role associated with the user identification value. In yet another embodiment, a communication path is set for resource attributes such as a file name, path, file extension (file type), and file owner identification value, and IPsec communication is executed with corresponding security settings. be able to. In yet another embodiment, a communication path can be set for a command (request processing), and communication can be performed with different security settings, which is not particularly limited.
図6は、外部装置90側からアクセス要求されたリソースのURLに基づいたセキュリティ設定による通信方法の実施形態を示す。図6に示した実施形態では、情報処理装置10は、Webアプリケーション・サーバ機能を提供する。図6(a)は、HTTP通信などにおいて、アクセス要求されたリソースのURLに基づいて、異なるセキュリティ強度によるIPsec通信を行うためのURLマップ・テーブル84を示す。図6に示すURLマップ・テーブル84は、リソースのURLのパスを登録するフィールド84aと、パスに対応するIPアドレスを登録するフィールド84bと、ポート番号を指定するためのフィールド84cとをエントリする。
FIG. 6 shows an embodiment of a communication method by security setting based on the URL of a resource requested to be accessed from the
アプリケーション部50のWebページ生成部62は、図6(a)に示したデータ構造を使用して外部装置90がアクセス要求するURLのパスを解析し、外部装置90のブラウザ92に対して、対応するURLへリダイレクト指示を行い、URLのパスにより指定されたセキュリティ強度でIPsec通信を実行する。上記構成により、従来のHTTP(平文通信)またはHTTPS(暗号化通信)という選択肢に加え、より詳細なセキュリティ強度を設定した柔軟な、Webサイトを構築することが可能となる。
The web
図6(b)は、外部装置90からアクセス要求されたリソースのURLに基づいたセキュリティ設定による通信方法を実行する、ネットワークの概略構成および処理の実施形態を示す。情報処理装置10は、ネットワーク40を介して外部装置90と接続し、外部装置90のブラウザ92からのリソースへのアクセス要求を受付けている。外部装置90は、P21で、例えば、URL(http:// 2001::9/usr)で指定されるリソースの取得要求メッセージを情報処理装置10へ送信する。
FIG. 6B shows a schematic configuration of a network and an embodiment of processing for executing a communication method based on security settings based on the URL of a resource requested to be accessed from the
要求メッセージ受信した情報処理装置10は、P22で、URLマップ・テーブル84に登録され、パスに対応する指定IPアドレス・フィールド84bおよび指定ポート番号・フィールド84cのエントリを検索し、URLのパス(/user)に対応する、例えば、URL(http:// 2001::2/usr)へのリダイレクト指示を含めた応答メッセージを外部装置90へ送信する。リダイレクト指示を含む応答メッセージを受信した外部装置90は、P23で、情報処理装置10から通知されたURLへのリダイレクト処理として、例えば、URL(http://
2001::2/usr)で指定されるリソースの取得要求メッセージを情報処理装置10へ送信する。情報処理装置10は、P24で、要求されたリソースを応答メッセージに含めて、外部装置90へ送信する。なお、外部装置90のブラウザ92へのリダイレクト指示を実行する場合、Java(登録商標)ScriptまたはHTTPヘッダによって行うことができる。また、他の実施形態では、リダイレクトではなく、Webページにリンクとして埋め込んで、外部装置に通知することもできる。
The
2001 :: 2 / usr) is transmitted to the
図7は、外部装置からアクセス要求されたリソースのURLに基づいたセキュリティ設定による通信方法の処理シーケンスの実施形態を示す。ブラウザ92は、ステップS201で、WebページURL(http:/2001::9/usr)の取得要求メッセージを情報処理装置10のネットワーク通信部42に送信する。要求メッセージを受信したネットワーク通信部42は、ステップS202で、アクセス要求されたリソースのURLのパスとIPアドレスの対応関係の正当性をセキュリティ設定管理部72へ問合わせる。本実施形態では、パス(/usr)は(2001::3)に対応づけられているため、セキュリティ設定管理部72は、ステップS203で、ネットワーク通信部42へ対応関係が不正である旨を応答する。
FIG. 7 shows an embodiment of a processing sequence of a communication method based on security settings based on the URL of a resource requested to be accessed from an external device. In step S <b> 201, the
応答を受けたネットワーク通信部42は、ステップS204で、URLのパス(/usr)に対応するIPアドレスをセキュリティ設定管理部72へ問合わせ、問合わせを受けたセキュリティ設定管理部72は、IPアドレスを応答する。正当な(valid)IPアドレスを取得したネットワーク通信部42は、外部装置90のブラウザ92へ、例えば、URL(http:/2001::2/usr)へのリダイレクト指示を含む、応答メッセージを送信する(ステップS205)。
Upon receiving the response, the
正当なURLを取得したブラウザ92は、ステップS206でURL(http:/2001::2/usr)の取得要求メッセージをネットワーク通信部42へ送信し、要求メッセージを受信したネットワーク通信部42は、ステップS207で、アクセス要求されたリソースのURLのパスとIPアドレスとの対応関係の正当性(validity)をセキュリティ設定管理部72へ問合わせる。問合わせを受けたセキュリティ設定管理部72は、ステップS208で、ネットワーク通信部42へ対応関係が正当である旨を応答する。当該応答を受け取ったネットワーク通信部42は、ステップS209で、Webページ生成部62から指定されたリソースを取得し、ステップS210で、ブラウザ92へ応答メッセージとしてリソースを送信する。
The
上述した実施形態では、セキュリティ設定がなされたIPアドレス(およびポート)を、外部装置90からの要求処理に応じて情報処理装置10から通知し、通信データ属性に応じたセキュリティ強度のIPsec通信を行う通信方法を提供する。本実施形態により、外部装置側では、(1)特別なプログラムのインストールの必要が無い、(2)通信データ属性に応じた接続先を把握している必要が無い、(3)情報処理装置10からの通知により、ユーザ設定に応じて適切なセキュリティ設定がされたIPsec通信が可能とされ、この結果(4)より柔軟性のあるセキュア通信が提供できる。以下、さらに、通信におけるTCP/IP層の上位プロトコルの種類を使用して異なるセキュリティ強度でセキュア通信を行う通信方法の第2実施形態について説明する。
In the above-described embodiment, the IP address (and port) for which the security setting has been made is notified from the
図8は、上位プロトコルに基づいて、通信データの重要性を判断し、異なるセキュリティ強度のIPsec通信を行う情報処理装置10の第2実施形態を示す。なお、図8は、情報処理装置10のソフトウェア構成および処理のために使用するデータ構造テーブルを示す。なお、図8に示した第2実施形態についても基本的なハードウェア構成は、第1実施形態と同様に構成することができる。図8(a)は、第2実施形態のソフトウェア・モジュールのブロック図である。第2実施形態は、情報処理装置10が実装するIPsec制御部46が相違し、他のソフトウェア・モジュールは、第1実施形態と同様の構成を用いるので、以下、IPsec制御部46について詳細に説明する。
FIG. 8 shows a second embodiment of the
第2実施形態のIPsec制御部46は、リンク層44から入力されたIPパケットや上位層から出力されるIPパケットを処理するIPsec処理部46aと、IPsec処理部46aからの処理方法の問い合わせに応答する、ポリシー管理部46bとを含む構成とされている。ポリシー管理部46bは、データベース部46dに格納された、IPパケットの処理ポリシーを参照し、IPsec処理部46aからの問い合わせに応答する。IPsec制御部46は、さらにデータベース部46dを含んでおり、より詳細には、データベース部46dは、セキュリティ・ポリシー(SP)を格納するSPD(セキュリティ・ポリシー・データベース:Security Policy Database)46eと、SA情報を格納するSAD(セキュリティ・アソシエーション・データベース:Security
Association Database)46fとを含んでいる。
The
Association Database) 46f.
SPD46eは、セキュリティ・ポリシー(以下、SPとして参照する。)をエントリしたデータベースとして実装することができる、SPD46eは、(1)IPsec処理を適用するべきか、(2)IPsec処理を適用せずに通過または(3)破棄するかなどのパケットの処理ポリシーを格納する。また、SPD46eは、IPsecなどのセキュア通信を適用する場合には、IPsec処理およびSA(Security Association)の確立の際に使用する各種パラメータを格納する。 The SPD 46e can be implemented as a database in which a security policy (hereinafter referred to as SP) is entered. The SPD 46e should either apply (1) IPsec processing or (2) without applying IPsec processing. The packet processing policy such as whether to pass or (3) discard is stored. In addition, when applying secure communication such as IPsec, the SPD 46e stores various parameters used when establishing IPsec processing and SA (Security Association).
SA情報は、IPsec通信で使用する暗号化アルゴリズムおよび暗号化鍵、認証アルゴリズムおよび認証鍵といった、外部装置ホスト間でセキュア通信を行うために共有される情報を含み、SAが確立されると、SAD46fに格納される。なお上述した、セキュリティ設定管理部72によってIPsec制御部46に設定される、IPアドレス・ポートで指定される通信路のセキュリティ設定には、SPが含まれる。
The SA information includes information shared for performing secure communication between external device hosts, such as an encryption algorithm and encryption key used in IPsec communication, an authentication algorithm, and an authentication key. When the SA is established, the
IPsec制御部46は、IKE(Internet Key
Exchange)部46cをさらに含んでいる。IKE部46cは、SPDにおいてIPsecの適用が指示される場合であって、SAが未確立の場合に、使用IPsecプロトコル(AH(Authentication
Header)かESP(Encapsulating Security Payload)か、それともその両方か)、プロトコル・モード(トランスポート・モードまたはトンネル・モード)、暗号化アルゴリズムなどの折衝、暗号化鍵の鍵交換などをIKEv2といったプロトコルによって行い、SAを確立してSAD46fにSA情報を格納する処理を実行する。
The
Exchange)
Header), ESP (Encapsulating Security Payload) or both), protocol mode (transport mode or tunnel mode), negotiation of encryption algorithm, key exchange of encryption key, etc. by protocol such as IKEv2 The SA is established and the SA information is stored in the
図8(b)は、上位プロトコルを判断して、対応するセキュリティ設定による通信を確立するための、SPD46eのテーブル構成の実施形態を示す。本実施形態では、セキュリティポリシー・テーブル86は、IPパケットの送信元のIPアドレスを登録するフィールド86aと、宛先IPアドレスを登録するフィールド86bとを含んで構成される。さらにセキュリティポリシー・テーブル86は、次レイヤ・プロトコルを指定するフィールド86cと、宛先ポート番号を登録するフィールド86dを含み構成される。さらに、SPD46eは、IPsec通信における、IPsecプロトコル、暗号化アルゴリズム、暗号化鍵、および鍵交換パラメータなどの各種設定情報が格納されるフィールド86eを含み構成される。
FIG. 8B shows an embodiment of the table configuration of the SPD 46e for determining the upper protocol and establishing communication with the corresponding security setting. In the present embodiment, the security policy table 86 includes a
また、セキュリティポリシー・テーブル86では、リモートアドレス、ローカル・アドレス、次レイヤ・プロトコルおよびローカル・ポートのセットから、セレクタ86fが構成される。本実施形態では、セレクタ86fは、上位プロトコルを特定するために用いられる。IPパケット内において、次レイヤ・プロトコルは、IPパケットのヘッダ部分(IPv6の場合は拡張ヘッダも含む)に含まれ、IPv4の場合にはプロトコル・フィールド、IPv6の場合には次ヘッダ・フィールドの値に基づいて特定することができる。ポート番号は、フラグメント化しない場合、IPパケットのペイロード内、次レイヤ・ヘッダのポート番号フィールドに含まれる。また、フラグメント化する場合には、適切な検証ポリシーをIPパケットに含ませることができる。 In the security policy table 86, a selector 86f is composed of a set of remote address, local address, next layer protocol, and local port. In the present embodiment, the selector 86f is used to specify an upper protocol. In the IP packet, the next layer protocol is included in the header portion of the IP packet (including the extension header in the case of IPv6), the value of the protocol field in the case of IPv4, and the value of the next header field in the case of IPv6. Can be identified based on. When not fragmented, the port number is included in the port number field of the next layer header in the payload of the IP packet. In the case of fragmentation, an appropriate verification policy can be included in the IP packet.
ポート番号が、ウェルノウン・ポートであった場合には、例えばセッション管理部48は、上位プロトコルをポート番号を使用して特定する。例えば、図に示した実施形態においては、IPパケットが、IPアドレス(2001::8)、次レイヤ・プロトコル(TCP)、ポート番号(21)であった場合は、FTPプロトコルとして特定される。また、アプリケーション部50における上位層プロトコルが、ダイナミック・プライベートポートなどのアンノウンポートを用いている場合は、セキュリティ設定管理部72がアプリケーション部50から通知されるか、または予め設定されたアンノウンポート番号を取得し、各IPアドレス・ポートのセキュリティ設定を行うことができる。
If the port number is a well-known port, for example, the
第2実施形態の情報処理装置10は、受信したパケットから上位層のプロトコルを特定し、上位プロトコル毎にセキュリティ強度(セキュリティ設定)を制御してIPsec通信を行うことが可能となる。例えば、httpsといった、上位層での暗号化通信を行うようなプロトコルに対しても、IP層でさらに強度の高い暗号化通信を指定することになる場合には、情報処理装置10に余剰な処理負荷が加わる。このような場合、情報処理装置10は、AHのみを適用し、処理負荷を低減させるといった処理を実行することもできる。なお、ポリシー管理部46bとセキュリティ設定管理部72とは、分離した機能手段として参照しているが、セキュリティ設定管理部72の機能を含むポリシー管理部46bとして、IPsecスタックに組み込まれる複合的な機能手段として実装することもできる。
The
以下、セキュリティ設定をユーザ設定する実施形態について説明する。ユーザは、ユーザ・インタフェース76を介してセキュリティ設定管理部72の設定を入力/修正/削除することができる。図9は、通信プロトコルを使用して、セキュリティ設定を行うためのユーザ・インタフェース76の実施形態を示す。図示した実施形態は、情報処理装置10が、複合機能を備える画像形成装置として実装される場合を例示する。
Hereinafter, an embodiment in which the security setting is set by the user will be described. The user can input / modify / delete the setting of the security
図9(a)は、各プロトコルに対応付けて、セキュリティ強度を変えるために暗号方式を指定して、セキュリティ設定を行うためのユーザ・インタフェースの特定の実施形態を示す。ユーザ・インタフェース76は、表示部76aと操作部76bとを含んで構成される。表示部76aには、SNMPやHTTPやFTPといった上位層のプロトコルに対して、DESや3DESやAESといった暗号化方式が、対応して表示されている。図9(a)の実施形態では、ユーザは、操作部76bの入力キーから、各プロトコルに対して暗号化方式を選択し、設定を行う。また、図9(b)に示した実施形態は、各プロトコルに対応付けて、セキュリティ強度を「強」「中」「弱」で表現されたセキュリティ設定を表示部76aに表示させている。ユーザは、表示部76aに表示されたセキュリティ設定を指定して、セキュリティ設定を行う。
FIG. 9A shows a specific embodiment of the user interface for specifying the encryption method for changing the security strength and performing the security setting in association with each protocol. The
また、セキュリティ設定をユーザが入力する場合、IPsec通信の各IPアドレス・ポートによる通信路のセキュリティ設定には、
(1)IPsec処理を適用するか否か(IPv6ではIPsecを適用することが必須)、
(2)IPsec通信で使用する鍵を、自動鍵交換方式で共有するのか手動鍵交換方式で行うのか、
といった鍵交換方式の設定項目を含むことができる。
In addition, when the user inputs the security setting, the security setting of the communication path by each IP address / port of IPsec communication includes:
(1) Whether to apply IPsec processing (in IPsec, it is mandatory to apply IPsec)
(2) Whether the key used in IPsec communication is shared by the automatic key exchange method or the manual key exchange method,
The setting items of the key exchange method can be included.
さらに、セキュリティ設定は、自動鍵交換方式の場合さらに、IKEプロトコルにおけるパラメータとして、
(3)事前共有秘密鍵認証方式、デジタル署名認証方式、公開鍵暗号化認証方式(IKEv2では廃止)、改良型公開鍵暗号化認証方式(IKEv2では廃止)で行うかといった相手認証方式、
(4)IKE鍵交換(フェーズ1)における暗号化アルゴリズム、鍵長、疑似乱数関数、認証アルゴリズム、Diffie−HellmanグループなどのIKE_SA確立のための設定情報、
IPsec通信のSAを確立(フェーズ2)における、
(5)EPS(Encapsulating Security Payload)、AH(Authentication Header)、またはそれらの両方といったIPsecプロトコル、
(6)ESPにおける暗号化アルゴリズム、鍵長、認証アルゴリズム、
(7)AHにおける認証アルゴリズム、また、
(8)SAの有効期間(ライフタイム)やトランスポート・モードやトンネル・モードといった、プロトコル・モードなどの設定項目を含むことができる。なお、上記各種設定については、RFC4301(IPsec)やRFC4306(IKEv6)およびこれらに相当する規格・設定を使用することができ、特に限定はない。
Furthermore, the security setting is further set as a parameter in the IKE protocol for the automatic key exchange method.
(3) A partner authentication method such as a pre-shared secret key authentication method, a digital signature authentication method, a public key encryption authentication method (deprecated in IKEv2), an improved public key encryption authentication method (deprecated in IKEv2),
(4) Setting information for establishing IKE_SA such as encryption algorithm, key length, pseudorandom function, authentication algorithm, Diffie-Hellman group in IKE key exchange (phase 1),
In establishing the SA for IPsec communication (phase 2),
(5) IPsec protocol such as EPS (Encapsulating Security Payload), AH (Authentication Header), or both,
(6) ESP encryption algorithm, key length, authentication algorithm,
(7) Authentication algorithm in AH,
(8) Setting items such as protocol mode such as SA validity period (lifetime), transport mode, and tunnel mode can be included. For the various settings, RFC4301 (IPsec), RFC4306 (IKEv6) and standards / settings corresponding to these can be used, and there is no particular limitation.
また、IKE鍵交換や、IPsec通信におけるESPおよびAHで使用される、暗号化アルゴリズム、認証アルゴリズム、各鍵長などは、外部装置ホスト間のネゴシエーションによって決定される。セキュリティ強度を指定するためにセキュリティ設定には、イニシエータおよびレスポンダとしての機能を提供するパラメータ・セットを含む。例えば、イニシエータ機能のためには、鍵交換パラメータの指定、またはある範囲の鍵交換パラメータの指定、または複数のパラメータ・セットを選択するための設定を使用することができる。また、ネゴシエートの際にレスポンダとして働く場合には、設定されたパラメータから受容れる範囲を指定するための設定を含むことができる。 Also, the encryption algorithm, authentication algorithm, key length, etc. used in IKE key exchange and ESP and AH in IPsec communication are determined by negotiation between external device hosts. The security settings for specifying the security strength include a parameter set that provides functions as an initiator and a responder. For example, for the initiator function, specification of key exchange parameters, or a range of key exchange parameters, or settings for selecting multiple parameter sets can be used. In addition, in the case of acting as a responder at the time of negotiation, it is possible to include a setting for designating an acceptable range from the set parameters.
情報処理装置10が画像形成装置などとして実装される場合、表示領域の表示部76aのスペースが限定されることも想定される。この場合でも図9に示した実施形態を採用することにより、複雑なセキュリティ設定のエントリ項目を逐次的に行うことなく、あらかじめ設定されたテンプレート設定により提供される選択肢が表示される。ユーザは、表示部76aに表示された表示を参照しながら、ユーザ指定によるセキュリティ設定による通信を行うことができる。
When the
図10は、DNSサーバを用いて、ユーザが識別し易いホスト名およびドメイン名を用いて、情報処理装置10へアクセスする実施形態を示す。図10(a)は、ホスト名生成部68で生成され、DNSサーバ94に、IPアドレスとホスト名とを対応づけて登録するためのホスト名マップ・テーブル88を示す。ホスト名マップ・テーブル88は、ホスト名を登録するフィールド88aと、対応づけられるIPアドレスを登録するフィールド88bを含んでいる。図10(a)の実施形態では、ホスト名には、「server_AH」や「server_ESP」といった、デフォルトのホスト名「server」に「_(アンダーバー)」によって、IPsecプロトコルを示す文字列が連結されている。図10(a)の実施形態では、IPアドレス(2001::5)は、AHを含むセキュリティ設定がなされていることを表し、IPアドレス(2001::6)はESP、IPアドレス(2001::7)は、AHおよびESPの両方が適用されたセキュリティ設定がなされていることを表す。
FIG. 10 illustrates an embodiment in which a DNS server is used to access the
図10(a)に示した実施形態によると、ユーザは、ホスト名を確認することによって、現在の通信のセキュリティ設定に関する情報を知ることができる。本実施形態では、ホスト名生成部68は、セキュリティ設定の中で、適用されているAHおよびESPといったIPsecプロトコルに基づいて、ホスト名を生成する。さらに他の実施形態では、例えば、トンネル・モードやトランスポート・モードを表す、「TNN」、「TRN」といった文字列や「128」、「256」といった鍵長を表す文字列などを、「_(アンダーバー)」によってさらに連結し、モードやセキュリティ強度をユーザに識別可能に提示することもでき、本発明では、特定の表示形式に限定されることはない。
According to the embodiment shown in FIG. 10A, the user can know information related to the security setting of the current communication by confirming the host name. In the present embodiment, the host
図10(b)は、他の実施形態のホスト名マップ・テーブル88を示す。図10(b)に示したホスト名マップ・テーブル88は、DNSサーバ94に、IPアドレスと対応づけてホスト名を登録する際に用いる。図10(b)に示したホスト名マップ・テーブル88は、ホスト名を登録するフィールド88aと、対応づけられるIPアドレスを登録するフィールド88bを含み構成される。また、IPsecが適用されるアドレス(例えば、2001::1)には、ホスト名には、「server」といったホスト名が割当てられ、IPsecが適用されないアドレス(例えば、2001::9)には、ホスト名は登録されず、IPsec通信を実行するIPアドレスのみが登録されている。通常のIPsec通信が適用されないIPアドレスをDNSに登録から排除する処理とすることにより、平文による通信を実行するIPアドレスが外部装置90に対して応答されることが無くなり、常にIPsecでの通信が可能となる。
FIG. 10B shows a host name map table 88 according to another embodiment. The host name map table 88 shown in FIG. 10B is used when registering a host name in association with an IP address in the
図10(c)は、ホストおよびドメインネームを用いて、情報処理装置10へアクセスを可能とする通信の実施形態を示す。本実施形態では、情報処理装置10は、ネットワーク40を介してDNSサーバ94に接続し、ホスト名の登録処理を行っている。さらに、外部装置90は、DNSサーバ94にアクセスし、DNSサーバ94に名前解決を依頼して、得られたIPアドレスを用いて情報処理装置10との通信を実行している。
FIG. 10C illustrates an embodiment of communication that enables access to the
情報処理装置10は、P31で、DNSサーバ94に動的DNS登録を行い、DNSサーバ94には、ホスト名マップ・テーブル88に基づいた登録がなされ、DNSサーバ94はIPアドレスとホスト名との名前解決を行う。一方、外部装置90は、P32で、情報処理装置10にアクセスするために、ホスト名およびドメイン名(FQDN)、例えば「server_AH.net.co.jp」をDNSサーバ94に通知し、対応するIPアドレスの取得要求を送信し、DNSサーバ94は、必要に応じて他のDNSサーバ94に問合わせを行い、名前解決処理を実行する。
In step P31, the
P33で、外部装置90は、対応するIPアドレスをDNSサーバ94から取得し、P34で、取得したIPアドレス(2001::5)を使用して、情報処理装置10へ接続し、通信を行う。
In P33, the
図11は、ホストおよびドメインネームを用いて、情報処理装置10へアクセスする通信シーケンスの実施形態を示す。情報処理装置10のDNS登録部66は、ステップS301で、ホスト名生成部68へホスト名取得要求を送信する。ホスト名取得要求を受信したホスト名生成部68は、ホスト名にセキュリティ設定に関する文字列を含めるために、ステップS302で、セキュリティ設定管理部72から、セキュリティ設定とIPアドレスの組み合わせ情報を取得する。その後、ステップS303で、ホスト名生成部68は、セキュリティ設定に基づいたホスト名を生成し、ホスト名とアドレスとを対として、DNS登録部66へ応答する。
FIG. 11 shows an embodiment of a communication sequence for accessing the
ホスト名とIPアドレスとを取得したDNS登録部66は、ステップS304で、DNSサーバ94へホスト登録処理を実行し、DNSサーバ94は、ホスト名とアドレスの組の登録処理を行う。以降、外部装置90は、ステップS305で、予め取得しておいたホスト名およびドメイン名を用いて、DNSサーバ94へ対応するIPアドレスの取得を行い、DNSサーバ94は、ステップ306で、名前解決を行い外部装置90に通知する。ステップS307では、外部装置90は、取得したIPアドレスを使用して、情報処理装置10へアクセスを実行する。
The
上記構成により、ホスト名に通信のセキュリティ設定情報を表す文字列が含まれるため、情報処理装置10と通信を行う外部装置90のユーザは、容易に接続のセキュリティ設定の情報を知ることが可能となる。また、ユーザが他のセキュリティ設定に対応するホスト名を予め知っていなくとも、セキュリティ設定に応じたホスト名を類推して接続することが可能となる。以下に、ユーザが識別し易いホスト名およびドメイン名を用いて、情報処理装置10へアクセスを可能とする通信方法の他の実施形態について説明する。
With the above configuration, since the host name includes a character string representing the communication security setting information, the user of the
図12は、ユーザが識別し易いホストおよびドメインネームを用いて、情報処理装置10へアクセスを可能とする通信シーケンスの他の実施形態を示す。図12に示した実施形態では、情報処理装置10のDNS登録部66は、ステップS401で、セキュリティ設定管理部72へアドレス取得要求を送信し、ステップS402で、IPアドレスを取得する。DNS登録部66は、さらに、ステップS403で、ホスト名とIPアドレスとを組にして、DNSサーバ94へホスト登録依頼を行い、DNSサーバ94は、ホスト名とアドレスの組を登録する。その後、外部装置90は、ステップS404で、あらかじめ取得したホスト名およびドメイン名を用いて、DNSサーバ94へ対応するIPアドレスの取得要求を行い、DNSサーバ94は、登録されたIPアドレスをステップS405で外部装置90に送信する。なお、ホスト名に対して複数のIPアドレスがDNSサーバ94へ登録さている場合には、DNSサーバ94は、外部装置90からのアクセスのタイミングなどに応答して、登録されたIPアドレスの少なくとも1つを外部装置90へ通知する処理としてもよい。外部装置90は、ステップS406で、取得したIPアドレスを使用して、情報処理装置10へアクセスを実行する。図12に示した実施形態では、仮に情報処理装置10がメンテナンス中であったり、動作不具合が生じた場合にでもバックアップ装置を介して外部装置90に対して通信を行うことが可能となる。
FIG. 12 shows another embodiment of a communication sequence that enables access to the
DNSサーバ94を使用する実施形態では、ユーザによる識別性のないIPアドレスから、ユーザが識別可能なドメインネームおよびホスト名を使用して、情報処理部10とIPsec接続を確立することができる。また、ダイナミックDNSサーバと併用することにより、DHCPv4(Dynamic Host Configuration Protocol)サーバによって割当てられたIPアドレス、IPv6においては、プラグ・アンド・プレイによるステートレスアドレスであっても、DHCPv6によってサーバから取得した情報に基づいて設定されるステートフルアドレスであっても、DNSに動的にホスト名が登録されるため、ユーザは同じホスト名およびドメイン名を使用して情報処理装置10へアクセスすることができる。
In the embodiment using the
以上、説明したように、本発明によれば、情報処理装置と外部装置との間の高いセキュリティおよび信頼性によるネットワークを介した接続を可能とし、送信元利用者のユーザ識別値、通信に用いられるアプリケーション層の通信プロトコルの種類、アクセス要求先リソース属性など、通信データの属性に応じて柔軟にセキュリティ設定を適用した通信路を使用し、情報処理装置全体としての処理負荷の低減を可能とする、情報処理装置、通信方法およびプログラムを提供することができる。 As described above, according to the present invention, it is possible to connect the information processing apparatus and the external apparatus via a network with high security and reliability, and the user identification value of the transmission source user is used for communication. It is possible to reduce the processing load of the entire information processing device by using a communication path to which security settings are flexibly applied according to the communication data attributes such as the type of communication protocol of the application layer and access request destination resource attributes. An information processing apparatus, a communication method, and a program can be provided.
また、本発明によれば、外部装置側には特別なプログラムを必要とせず、情報処理装置側で、適切なセキュリティ設定がなされた通信路に接続を切り替えることを可能とし、外部装置側のユーザに煩雑さを感じさせることが無い。 In addition, according to the present invention, a special program is not required on the external device side, and it is possible to switch the connection to the communication path on which the appropriate security setting has been made on the information processing device side. Does not feel complicated.
また従来では、高い機密性が求められる処理であっても、サーバに加わる処理負荷への懸念から、通信のセキュリティ強度で妥協していた場合もあったが、本発明によれば、通信データの機密性に応じたセキュリティ強度で通信を行うため、全体としての処理負荷が低減され、求められている機密性の高い処理については、充分なセキュリティ強度で通信を行うことができ、サーバ側の処理速度が通信速度のボトルネックとなってしまうことを好適に防止することもできる。 Conventionally, even in a process that requires high confidentiality, there has been a case where the security of communication is compromised due to concerns about the processing load applied to the server. Since communication is performed with security strength corresponding to confidentiality, the processing load as a whole is reduced, and for highly confidential processing that is required, communication can be performed with sufficient security strength, and processing on the server side It can also be suitably prevented that the speed becomes a bottleneck of the communication speed.
なお、IPsec通信のESPプロトコルにおける、暗号化アルゴリズムとしては、DES(Data Encryption Standard)アルゴリズム、3DES、RC5、IDEA(International Data
Encryption Algorithm)、CAST−128、CAST−256、AES(Advanced Encryption Standard)などを用いることができ、CBC(暗号ブロック連鎖:Cipher
Block Chaining)やECB(電子コードブロックElectronic Codebook)などの各種モードで暗号化処理を行うことができるが、これらに限定されるものではない。
The encryption algorithm in the ESP protocol of IPsec communication includes DES (Data Encryption Standard) algorithm, 3DES, RC5, IDEA (International Data
Encryption Algorithm), CAST-128, CAST-256, Advanced Encryption Standard (AES), etc. can be used, and CBC (Cipher Block Chain: Cipher)
Encryption processing can be performed in various modes such as Block Chaining and ECB (Electronic Code Block), but is not limited thereto.
また、IPsec通信における、認証アルゴリズム・モードとしては、HMAC−MD5、HMAC−SHA−1、DES−CBC−MAC、AES−XCBC−MAC、AES−CMACなどを用いることができるがこれらに限定されるものではない。 In addition, as an authentication algorithm mode in IPsec communication, HMAC-MD5, HMAC-SHA-1, DES-CBC-MAC, AES-XCBC-MAC, AES-CMAC, and the like can be used, but are not limited thereto. It is not a thing.
本発明の上記機能は、アセンブラ、C、C++、C#、Java(登録商標)、などのレガシープログラミング言語やオブジェクト指向ブログラミング言語などで記述された装置実行可能なプログラムにより実現でき、SDメモリ、MO、EEPROM、EPROM、フラッシュメモリ、フレキシブルディスク、CD−ROM、CD−RW、DVDなど装置可読な記録媒体に格納して頒布することができる。また、上記機能は、システム・メモリおよびCPUにより構成され、各機能を実現するためのプログラムをシステム・メモリにロードして実行することにより実現させることができる。 The above functions of the present invention can be realized by a device-executable program written in a legacy programming language such as assembler, C, C ++, C #, Java (registered trademark), an object-oriented programming language, or the like. It can be stored and distributed in a device-readable recording medium such as MO, EEPROM, EPROM, flash memory, flexible disk, CD-ROM, CD-RW, and DVD. The above functions are configured by a system memory and a CPU, and can be realized by loading a program for realizing each function into the system memory and executing it.
これまで本発明を図面に示した実施形態をもって説明してきたが、本発明は図面に示した実施形態に限定されるものではなく、他の実施形態、追加、変更、削除など、当業者が想到することができる範囲内で変更することができ、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。 Although the present invention has been described with the embodiments shown in the drawings, the present invention is not limited to the embodiments shown in the drawings, and those skilled in the art have conceived other embodiments, additions, modifications, deletions, and the like. It can be changed within the range that can be performed, and any embodiment is included in the scope of the present invention as long as the operation and effect of the present invention are exhibited.
10…情報処理装置、12…CPU、14…キャッシュ・メモリ、16…システム・メモリ、18…システム・バス、20…グラフィックス・ドライバ、22…NIC、24…ディスプレイ装置、26…I/Oバス・ブリッジ、28…I/Oバス、30…記憶装置、32…入力装置、34…画像処理ドライバ、36…画像処理デバイス、40…ネットワーク、42…ネットワーク通信部、44…リンク層、46…IPsec制御部、46a…IPsec処理部、46b…ポリシー管理部、46c…IKE部46c、46d…データベース部、46e…SPD、46f…SAD、48…セッション管理部、50…アプリケーション部、52…セキュリティ部、54…ユーザ認証部、56…ユーザ情報格納部、58…ファイル転送部、60…データ格納部、62…Webページ生成部、64…Webページ格納部、66…DNS登録部、68…ホスト名生成部、70…ネットワーク監視部、72…セキュリティ設定管理部、74…セキュリティ設定格納部、76…ユーザ・インタフェース、76a…表示部、76b…操作部、80…アドレスマップ・テーブル、80a、80b、80c…フィールド、82…ユーザマップ・テーブル、82a、82b、82c…フィールド、84…URLマップ・テーブル、84a、84b、84c…フィールド、86…セキュリティポリシー・テーブル、86a〜86e…フィールド、86f…セレクタ、88…ホスト名マップ・テーブル、88a、88b…フィールド、90…外部装置、92…ブラウザ、94…DNSサーバ
DESCRIPTION OF
Claims (14)
セキュアデータ通信のセキュリティ設定と、通信データ属性とを対応させて保持するセキュリティ設定管理手段と、
前記外部装置との通信データから前記通信データ属性を判断する通信データ属性判定手段と、
前記外部装置との前記セキュアデータ通信の前記セキュリティ設定を前記通信データ属性に対応して決定し、通信を実行させるアプリケーション実行手段と、
前記セキュリティ設定と、前記セキュリティ設定を示す文字列とを対応づけて記憶する文字列記憶手段と、
前記セキュリティ設定に対応する前記文字列を含めて、登録ホスト名を生成するホスト名生成手段と
を含む、情報処理装置。 An information processing apparatus connected to a network and performing data communication with an external device, wherein the information processing apparatus
Security setting management means for keeping security data communication security settings and communication data attributes corresponding to each other;
Communication data attribute determining means for determining the communication data attribute from communication data with the external device;
Application execution means for determining the security setting of the secure data communication with the external device corresponding to the communication data attribute, and executing communication ;
Character string storage means for storing the security setting in association with the character string indicating the security setting;
Wherein including the character string corresponding to the security setting, and a host name generation unit that generates a registration host name, the information processing apparatus.
前記セキュリティ設定を行うための、設定テンプレートを格納するテンプレート格納手段と、
前記設定テンプレートを識別するための情報を表示部に提示して、前記設定テンプレートの選択を受付ける選択手段と、
前記選択手段によって選択された前記設定テンプレートに従ってセキュリティ設定を実行する、セキュリティ設定処理手段と
を含む、請求項1〜3のいずれか1項に記載の情報処理装置。 The information processing apparatus includes:
Template storage means for storing a setting template for performing the security setting;
A selection unit that presents information for identifying the setting template on a display unit, and receives selection of the setting template;
Security setting processing means for executing security settings according to the setting template selected by the selection means ;
The information processing apparatus according to claim 1 , comprising:
前記外部装置からの通信データを受信し、通信データ属性を判断するステップと、
前記通信データ属性からセキュリティ設定を検索し、決定するステップと、
決定された前記セキュリティ設定を適用してセキュアデータ通信を実行させるステップと
を実行させ、前記通信方法は、前記情報処理装置に対し、さらに
前記セキュリティ設定から前記セキュリティ設定を示す文字列を決定するステップと、
前記セキュリティ設定に対応する前記文字列を含めて、登録ホスト名を生成するステップと
を実行させる、通信方法。 A communication method connected to a network and causing an information processing device to perform data communication with an external device, the information processing device
Receiving communication data from the external device and determining a communication data attribute;
Retrieving and determining security settings from the communication data attributes;
Executing the secure data communication by applying the determined security setting, and the communication method further includes:
Determining a character string indicating the security setting from the security setting;
Generating a registered host name including the character string corresponding to the security setting; and
A communication method that executes
前記セキュリティ設定を、アドレスおよびポート番号の少なくとも一方で指定される通信路について決定するステップと、
前記外部装置に対して前記通信路を通知して、前記セキュアデータ通信を確立するステップと
を実行させる、請求項7に記載の通信方法。 The communication method further includes:
Determining the security setting for a communication path designated by at least one of an address and a port number;
Notifying the external device of the communication path and establishing the secure data communication;
Is executed, communication method according to claim 7.
前記通信データ属性を要求されたWebページのURLアドレスを使用して決定するステップと、
前記通信データ属性に対応する前記セキュリティ設定がされた前記URLアドレスを前記外部装置に通知するステップと
を実行させる、請求項7に記載の通信方法。 The communication method further includes:
Determining the communication data attribute using the URL address of the requested web page;
Notifying the external device of the URL address for which the security setting corresponding to the communication data attribute is set;
Is executed, communication method according to claim 7.
セキュアデータ通信のセキュリティ設定と、通信データ属性とを対応させて保持するセキュリティ設定管理手段
前記外部装置との通信データから前記通信データ属性を判断する通信データ属性判定手段、
前記外部装置との前記セキュアデータ通信の前記セキュリティ設定を前記通信データ属性に対応して決定し、通信を実行させるアプリケーション実行手段、
前記セキュリティ設定と、前記セキュリティ設定を示す文字列とを対応づけて記憶する文字列記憶手段、および
前記セキュリティ設定に対応する前記文字列を含めて、登録ホスト名を生成するホスト名生成手段
として機能させるためのコンピュータ実行可能なプログラム。 A program for realizing an information processing apparatus connected to a network and performing data communication with an external apparatus , the computer comprising:
Security setting management means for holding security data communication security settings in correspondence with communication data attributes Communication data attribute determining means for determining the communication data attributes from communication data with the external device ,
Application execution means for determining the security setting of the secure data communication with the external device in correspondence with the communication data attribute, and executing communication ;
A character string storage means for storing the security setting in association with a character string indicating the security setting; and
Host name generation means for generating a registered host name including the character string corresponding to the security setting
A computer- executable program that functions as a computer .
前記プログラムは、コンピュータを、前記外部装置に前記通信路を通知して、前記セキュアデータ通信を確立する手段としてさらに機能させる、請求項10に記載のプログラム。 The application execution means assigns the security setting for each communication path designated by at least one of an address and a port number ,
The program according to claim 10 , further causing the computer to function as means for notifying the external device of the communication path and establishing the secure data communication.
前記セキュリティ設定を行うための、設定テンプレートを格納するテンプレート格納手段、
前記設定テンプレートを識別するための情報を表示部に提示して、前記設定テンプレートの選択を受付ける選択手段、および
前記選択手段によって選択された前記設定テンプレートに従ってセキュリティ設定を実行する、セキュリティ設定処理手段
として機能させる、請求項10〜12のいずれか1項に記載のプログラム。 The program further comprises a computer ,
A template storage means for storing a setting template for performing the security setting ;
A selection means for presenting information for identifying the setting template on a display unit and receiving selection of the setting template ; and
Security setting processing means for executing security setting according to the setting template selected by the selecting means
The program of any one of Claims 10-12 made to function as .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006273042A JP4916270B2 (en) | 2006-10-04 | 2006-10-04 | Information processing apparatus, communication method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006273042A JP4916270B2 (en) | 2006-10-04 | 2006-10-04 | Information processing apparatus, communication method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008090731A JP2008090731A (en) | 2008-04-17 |
JP4916270B2 true JP4916270B2 (en) | 2012-04-11 |
Family
ID=39374786
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006273042A Expired - Fee Related JP4916270B2 (en) | 2006-10-04 | 2006-10-04 | Information processing apparatus, communication method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4916270B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011081762A (en) * | 2009-03-10 | 2011-04-21 | Ricoh Co Ltd | Device setting apparatus and device resetting method in device setting apparatus |
JP5766783B2 (en) * | 2010-03-31 | 2015-08-19 | ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツングRobert Bosch Gmbh | Device for authenticated voice encryption |
JP6074035B2 (en) * | 2013-06-28 | 2017-02-01 | 株式会社日立システムズ | Authentication determination system, authentication determination method, and IC chip mounting member |
JP2021162778A (en) * | 2020-04-01 | 2021-10-11 | キヤノン株式会社 | Communication device, method for controlling communication device, and program |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1132075A (en) * | 1997-07-08 | 1999-02-02 | Oki Electric Ind Co Ltd | Service-providing system for computer |
JP2001298449A (en) * | 2000-04-12 | 2001-10-26 | Matsushita Electric Ind Co Ltd | Security communication method, communication system and its unit |
JP2002152253A (en) * | 2000-11-08 | 2002-05-24 | Sony Corp | Communication management system, communication terminal, and communication management method, and program storage medium |
JP2004280595A (en) * | 2003-03-17 | 2004-10-07 | Nec Corp | Callback vpn system and connection method |
JP3972335B2 (en) * | 2003-09-08 | 2007-09-05 | 日本電信電話株式会社 | Network connection device, communication method, program, and storage medium storing program |
JP2006023883A (en) * | 2004-07-07 | 2006-01-26 | Fuji Xerox Co Ltd | Server |
-
2006
- 2006-10-04 JP JP2006273042A patent/JP4916270B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2008090731A (en) | 2008-04-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11652792B2 (en) | Endpoint security domain name server agent | |
EP1804461B1 (en) | Method and apparatus for secure communication between user device and private network | |
US7660980B2 (en) | Establishing secure TCP/IP communications using embedded IDs | |
JP4707992B2 (en) | Encrypted communication system | |
US7003662B2 (en) | System and method for dynamically determining CRL locations and access methods | |
US7917939B2 (en) | IPSec processing device, network system, and IPSec processing program | |
US20020178355A1 (en) | System and method for multiple virtual private network authentication schemes | |
EP2506613A2 (en) | System and method for managing ipv6 address and access policy | |
JP2003046533A (en) | Network system, authentication method therefor and program thereof | |
JP2004128782A (en) | Key exchange proxy network system | |
US10341286B2 (en) | Methods and systems for updating domain name service (DNS) resource records | |
CN106169952A (en) | Authentication method that a kind of internet IKMP is heavily consulted and device | |
JP4579597B2 (en) | Information processing apparatus, information processing method, and program | |
JP2005295038A (en) | Providing apparatus, providing method, communication apparatus, communication method, and program | |
JP4916270B2 (en) | Information processing apparatus, communication method, and program | |
JP2007036834A (en) | Encryption apparatus, program, recording medium, and method | |
US8646066B2 (en) | Security protocol control apparatus and security protocol control method | |
JP4630296B2 (en) | Gateway device and authentication processing method | |
EP1836559B1 (en) | Apparatus and method for traversing gateway device using a plurality of batons | |
JP5201982B2 (en) | Information processing system, method and program | |
US11736516B2 (en) | SSL/TLS spoofing using tags | |
JP2007235853A (en) | Network equipment | |
JP2010221519A (en) | Image forming apparatus | |
EP2499799B1 (en) | Security association management | |
JP2008199420A (en) | Gateway device and authentication processing method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090723 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111026 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111115 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120106 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120124 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120124 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150203 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4916270 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |