JP6112874B2 - 通信装置、通信装置の制御方法、および、プログラム - Google Patents

通信装置、通信装置の制御方法、および、プログラム Download PDF

Info

Publication number
JP6112874B2
JP6112874B2 JP2013008621A JP2013008621A JP6112874B2 JP 6112874 B2 JP6112874 B2 JP 6112874B2 JP 2013008621 A JP2013008621 A JP 2013008621A JP 2013008621 A JP2013008621 A JP 2013008621A JP 6112874 B2 JP6112874 B2 JP 6112874B2
Authority
JP
Japan
Prior art keywords
key
packet
communication device
unit
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013008621A
Other languages
English (en)
Other versions
JP2014140132A (ja
JP2014140132A5 (ja
Inventor
昌敬 深田
昌敬 深田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2013008621A priority Critical patent/JP6112874B2/ja
Priority to US14/158,596 priority patent/US9246682B2/en
Publication of JP2014140132A publication Critical patent/JP2014140132A/ja
Publication of JP2014140132A5 publication Critical patent/JP2014140132A5/ja
Application granted granted Critical
Publication of JP6112874B2 publication Critical patent/JP6112874B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、他の通信装置との間で通信されるパケットの復号または認証に用いる鍵を更新する通信装置に関する。
近年、ネットワークを介したデータの送受信における、セキュリティ確保の必要性が高まっている。IPネットワーク上を流れるIPパケットのセキュリティを確保するためのプロトコルとして、IPSec(IP Security Protocol)がある(特許文献1)。
IPSecで用いられる暗号鍵や認証鍵等はSA(Security Association)として管理される。IPSecに準拠したパケットは、SAによって管理されている暗号鍵や認証鍵等を用いて、暗号化や復号、認証等が行われる。
SAはソフト有効期限(更新期限)ごとに定期的に旧SAから新SAに更新される。一方、更新前に利用されていた旧SAは、通信相手からSAの削除指示を受信するか、ハード有効期限(削除期限)が来るまで保持される。ハード有効期限を設けることで、旧SAを利用したパケットが遅延して届く場合や、通信相手が旧SAから新SAに移行するのに時間がかかった場合であっても、パケットの受信に失敗する可能性を低減させている。
特開2006−352500号公報
しかしながら、通信相手からのSAの削除指示がネットワークにおいて消失してしまうと、通信装置は当該削除指示を受信することができず、ハード有効期限が来るまで削除できなくなってしまう。
また、ハード有効期限は、ユーザが任意の値を設定できるので、更新された後、長時間にわたり旧SAが削除されずにメモリに残ってしまう場合がある。
旧SAが削除されずに長時間メモリに残ってしまうと、メモリ空間を圧迫し、また、SAを検索する際の処理負荷が高まってしまうという課題がある。
上記課題を鑑み、パケットの復号または認証に用いる鍵を記憶するメモリを有効利用できるようすることを目的とする。
上記課題を鑑み、本発明の通信装置は、他の通信装置との間で通信されるパケットの復号または認証に用いる第1の鍵を記憶部に記憶させる記憶手段と、前記第1の鍵の有効期限に応じて、前記第1の鍵とは異なる第2の鍵を取得する取得手段と、前記第2の鍵を用いて復号または認証されるパケットを前記他の通信装置から受信したことを判定する判定手段と、前記判定手段により前記第2の鍵を用いて復号または認証されるパケットを前記他の通信装置から受信したと判定されたことに応じたタイミングにおいて、当該パケットが前記記憶部から前記第1の鍵を削除することを前記他の通信装置が指示するパケットとは異なるパケットである場合であっても、前記第1の鍵を前記記憶部から削除する削除手段と、を有する。
本発明によれば、パケットの復号または認証に用いる鍵を第1の鍵から第2の鍵に更新する際に、第2の鍵を用いて復号または認証されるパケットであって、前記第1の鍵の削除指示とは異なるパケットを受信した場合であっても、当該パケットの受信に応じたタイミングにおいて第1の鍵を削除するので、メモリを有効利用できると共に、処理負荷を軽減させることができる。
通信装置101のハードウェア構成図。 通信装置101のソフトウェアブロック図。 通信装置101が実現するフローチャート。 通信装置101が実現するフローチャート。 通信装置101が実現するフローチャート。 通信装置101のソフトウェアブロック図。 通信装置101が実現するフローチャート。 通信装置101が実現するフローチャート。 通信装置101が実現するフローチャート。 通信装置101が実現するフローチャート。 通信装置101が実現するフローチャート。
<実施形態1>
本実施形態では、通信装置101が不図示の他の通信装置とIPSecにより暗号化されたデータパケット(以下、パケット)を通信する場合について説明する。ここで、IPSecとは、Security Architecture for Internet Protocolの略である。
図1に、通信装置101のハードウェア構成を示す。主プロセッサ111はデータの表示(投影を含む)や印刷等のアプリケーション処理を行う。主プロセッサ111は、後述するサブプロセッサ121に対して、不図示の他の通信装置へのデータ送信指示も行う。主メモリ112はアプリケーション処理に用いるためのデータや、他の通信装置とのデータ通信に用いる各種パラメータ、および、後述する各種フローチャートを実現するためのプログラム等を記憶する。TOE(TCP/IPオフロードエンジン)113は、他の通信装置とデータ通信するためのプロトコル処理を行う。主プロセッサ111、主メモリ112、および、TOE113は、バス114により接続されている。
次に、TOE113の内部構成について説明する。サブプロセッサ121は他の通信装置とのデータ通信のための各種プロトコル処理を行う。検索装置122は共有メモリ123の中から、他の通信装置とのデータ通信に必要な各種情報を検索する。検索装置122の動作については後述する。
共有メモリ123は、他の通信装置とのデータ通信に必要な各種情報や、通信するデータを記憶する。鍵管理部124は、他の通信装置とのデータ通信に用いる暗号鍵を管理する。なお、暗号鍵は共有メモリ123に記憶(格納)されているものとする。暗号・復号器125は、鍵管理部124により管理されている暗号鍵を用いて、他の通信装置との間で通信されるデータの暗号化および復号化を行う。
データパス制御部126は、共有メモリ123とMAC部127との間のデータ転送(DMA転送)を制御する。MAC部127は、OSI参照モデルのデータリンク層(第2層)の下位副層に相当するMAC層のプロトコル処理を行う。PHY部128は、OSI参照モデルの第1層に位置するPHY(物理)層のプロトコル処理と電気信号の処理を行う。
バス129は、TOE113内部の各種ハードウェアを接続している。バスブリッジ130は、バス114およびバス129を接続している。ネットワーク131は、通信装置101と不図示の他の通信装置とを接続している。なお、ネットワーク131は有線でも無線でもよい。
図2に、主メモリ112により記憶されたプログラムを主プロセッサ111もしくはサブプロセッサ121が読み出すことで実現されるソフトウェアブロックを示す。なお、図2に示された複数のソフトウェアブロックを1つのソフトウェアブロックとして構成してもよいし、1つのソフトウェアブロックを複数のソフトウェアブロックとして構成してもよい。また、図2に示すソフトウェアブロックの一部または全部をハードウェアとして構成してもよい。
検索部201は、パケット(送信パケットもしくは受信パケット)に対応するSA(Security Association)を検索する。ここで、検索部201は、当該受信パケットの送信元である他の通信装置のIPアドレスとポート番号、通信装置101自身のIPアドレスとポート番号、プロトコル種別、SPI等を検索キーとして、共有メモリ123の中から対応SAを検索する。ここで、プロトコル種別とは他の通信装置とTCPに準拠した通信を行っているか、UDPに準拠した通信を行っているかを示す情報である。また、SPIとはSecurity Pointer Indexの略であり、SAで用いられる暗号鍵や認証鍵を識別するための情報である。また、SAでは、他の通信装置との暗号通信で用いる暗号鍵情報や暗号化アルゴリズム、認証鍵や認証アルゴリズムなどの暗号化通信パラメータが管理されている。ただし、SAに暗号鍵と暗号化アルゴリズムの情報を含まないようにしてもよいし、認証鍵と認証アルゴリズムの情報を含まないようにしてもよい。
破棄部202はパケット(送信パケットもしくは受信パケット)を破棄する。判定部203は、検索部201により検出されたSAに旧SAの情報が関連付けられているか否かを判定する。なお、旧SAについての説明は後述する。削除部204は、SAを共有メモリ123から削除する。
IPSec処理部205は受信パケットに対して所定のIPSec処理を施す。具体的には、IPSec処理部205は対応SAにおいて管理されている暗号鍵情報および暗号化アルゴリズムに従って受信パケットの復号を行う。また、IPSec処理部205は対応SAにおいて管理されている認証鍵および認証アルゴリズムに従って受信パケットの認証を行う。これにより、受信パケットの復号に失敗した場合や、受信パケットの認証に失敗した場合には、破棄部202は当該受信パケットを破棄する。なお、復号もしくは認証のいずれか一方のみを行うようにしてもよい。
更に、IPSec処理部205は対応SAにおいて管理されている暗号鍵情報および暗号化アルゴリズムに従って送信パケットを暗号化する。また、IPSec処理部205は対応SAにおいて管理されている認証鍵および認証アルゴリズムに従って送信パケットの認証情報を作成して当該送信パケットに付加する。なお、暗号化もしくは認証情報の付加のいずれか一方のみを行うようにしてもよい。
期限管理部206は、対応SAのソフト有効期限(更新期限)、および、ハード有効期限(削除期限)が切れているか否かを判定する。なお、ここでは、ソフト有効期限およびハード有効期限は通信装置101において予め定められている所定の値とする。しかし、これに限らず、通信装置101の通信相手である他の通信装置において予め定められている所定の値としてもよい。また、通信装置101および他の通信装置の各々において定められている値のうち小さい方、または、大きい方を有効期限としてもよい。
処理判定部211は、新しいSAの要求処理を既に実行中か否かを判定する。フラグ部212は、新しいSAの要求処理を既に実行していることを示すフラグの管理を行う。IKE部213は、Internet Key Exchangeプロトコルに従って、新たなSAを取得するための処理を他の通信装置との間で行う。SA判定部214は新たなSAに対応する旧SA、即ち、ソフト有効期限が切れたSAが共有メモリ123に記憶されているかを判定する。記憶部215はIKE部213により新たに取得されたSAを共有メモリ123に記憶する。
図3に、通信装置101が不図示の他の通信装置からIPSecに準拠したパケットを受信する際に、主メモリ112により記憶されたプログラムを主プロセッサ111もしくはサブプロセッサ121が読み出すことで実現されるフローチャートを示す。
まず、検索部201は、他の通信装置から受信したパケット(以下、受信パケット)に対応するSAを検索する(S301)。ここでは、SPIを参照することで新SAと旧SAとを区別して検索する。即ち、新SAで管理されている暗号鍵や認証鍵を用いて復号や認証をすべきパケットを受信したのか、旧SAで管理されている暗号鍵や認証鍵を用いて復号や認証をすべきパケットを受信したのか、を判別することができる。なお、受信パケットを新SAで管理されている暗号鍵や認証鍵を用いて復号や認証を行って成功すれば新SA、旧SAで管理されている暗号鍵や認証鍵を用いて復号や認証を行って成功すれば旧SAとして検索するようにしてもよい。
そして、対応SAが検出されなかった場合(S302のNo)、破棄部202は受信パケットを破棄する(S303)。一方、対応SAが検出された場合(S302のYes)、判定部203は、検出された対応SAに旧SAの情報が関連付けられているか否かを判定する(S303)。
旧SAの情報が関連付けられていない場合(S304のNo)、S306に進む。一方、旧SAの情報が関連付けられている場合(S304のYes)、削除部204は当該旧SAを共有メモリ123から削除して(S305)、S306に進む。
S306において、IPSec処理部205は受信パケットに対して所定のIPSec処理を施す。具体的には、IPSec処理部205は対応SAにおいて管理されている暗号鍵情報および暗号化アルゴリズムに従って受信パケットの復号を行う。また、IPSec処理部205は対応SAにおいて管理されている認証鍵および認証アルゴリズムに従って受信パケットの認証を行う。これにより、受信パケットの復号に失敗した場合や、受信パケットの認証に失敗した場合には、破棄部202は当該受信パケットを破棄する。なお、復号もしくは認証のいずれか一方のみを行うようにしてもよい。
次に、期限管理部206は、対応SAのソフト有効期限(更新期限)が切れているか否かを判定する(S307)。ソフト有効期限が切れている場合(S307のYes)、対応SAの更新処理が行われる(S308)。具体的には、新たなSAの要求処理が行われる。なお、要求処理については、後述する。
ここで、有効期限は時間で設定してもよいし、バイト数で設定してもよい。時間により有効期限が設定される場合、SAが取得されてからの時間をタイマで計測し、予め設定された有効期限よりも長い時間が計測された場合に有効期限が切れたものと判定する。また、バイト数により有効期限が設定される場合、当該SAにより通信したパケットのバイト数を加算していき、所定バイト数に達した場合に有効期限が切れたものと判定する。
続いて、期限管理部206は、対応SAのハード有効期限(削除期限)が切れているか否かを判定する(S309)。ハード有効期限が切れている場合(S309のYes)、削除部204は対応SAを共有メモリ123から削除する(S310)。
次に、S308で行われるSA要求処理について、図4を用いて説明する。
処理判定部211は、ソフト有効期限の切れたSAの代わりとなる新しいSAの要求処理を既に実行中か否かを判定する(S401)。実行中である場合(S401のYes)、図4に示す処理を終了する。一方、実行中ではない場合(S401のNo)、フラグ部212は、新しいSAの要求処理を既に実行していることを示すフラグを立てる(S402)。ここでは、当該フラグとして仮SAを共有メモリ123に記憶させるものとする。また、S401の判定は仮SAが共有メモリ123に記憶されているか否かで判定を行うものとする。
そして、IKE部213は、所定プロトコルに従って新たなSAを取得するための処理を他の通信装置との間で行う(S403)。IKE部213により新たなSAが取得されると、SA判定部214は新たなSAに対応する旧SA、即ち、ソフト有効期限が切れたSAが共有メモリ123に記憶されているかを判定する。判定の結果、旧SAが記憶されている場合には(S404のYes)、記憶部215はS403において新たに取得したSAに旧SAの情報を関連付けて共有メモリ123に記憶する。また、旧SAが記憶されていない場合には(S404のNo)、記憶部215はS403において新たに取得したSAを共有メモリ123に記憶する。この場合、新たに取得したSAに対応する旧SAが存在しないので、関連付けは行われない。
その後、フラグ部212は、新しいSAの要求処理を既に実行していることを示すフラグを削除する(S407)。ここでは、共有メモリ123に記憶させていた仮SAを削除する。
このようにして、新たなSAと旧SAとが関連付けられて共有メモリ123に記憶され、図3におけるS303の判定に用いられることになる。
図5に、通信装置101が不図示の他の通信装置にIPSecに準拠したパケットを送信する際に、主メモリ112により記憶されたプログラムを主プロセッサ111もしくはサブプロセッサ121が読み出すことで実現されるフローチャートを示す。
まず、検索部201は、他の通信装置に送信するパケット(以下、送信パケット)に対応するSA(Security Association)を検索する(S501)。
対応SAが検出されなかった場合(S502のNo)、図4に示す新たなSAの要求処理が行われる(S503)。更に、破棄部202は送信パケットを破棄して(S504)、図5に示す処理を終了する。
一方、対応SAが検出された場合(S502のYes)、判定部203は、検出された対応SAに旧SAの情報が関連付けられているか否かを判定する(S505)。旧SAの情報が関連付けられていない場合(S505のNo)、S507に進む。一方、旧SAの情報が関連付けられている場合(S505のYes)、削除部204は当該旧SAを共有メモリ123から削除して(S506)、S507に進む。
S507において、IPSec処理部205は送信パケットに対して所定のIPSec処理を施す。具体的には、IPSec処理部205は対応SAにおいて管理されている暗号鍵情報および暗号化アルゴリズムに従って送信パケットを暗号化する。また、IPSec処理部205は対応SAにおいて管理されている認証鍵および認証アルゴリズムに従って送信パケットの認証情報を作成して当該送信パケットに付加する。なお、暗号化もしくは認証情報の付加のいずれか一方のみを行うようにしてもよい。
次に、期限管理部206は、対応SAのソフト有効期限(更新期限)が切れているか否かを判定する(S508)。ソフト有効期限が切れている場合(S508のYes)、対応SAの更新処理が行われる(S509)。具体的には、新たなSAの要求処理が行われる。
続いて、期限管理部206は、対応SAのハード有効期限(削除期限)が切れているか否かを判定する(S510)。ハード有効期限が切れている場合(S510のYes)、削除部204は対応SAを共有メモリ123から削除する(S511)。
このようにして、ソフト有効期限が切れた旧SAに対応する新たなSAが取得されてから、新たなSAを利用したパケットを他の通信装置から受信するまで記憶部に記憶しておく。従って、新たなSAが取得した後に、他の通信装置から旧SAを利用したパケットを受信した場合であっても、当該パケットを正常に受信することができる。即ち、他の通信装置が旧SAを利用したパケット送信から、新たなSAを利用したパケット送信までの切替えに時間がかかったとしても、パケットをロストする可能性を低下させることができる。
また、上記実施形態では、IPSecに対応したパケットを送信する際に、当該パケット送信に利用するSAに関連付けられた旧SAが存在するか否かを判定し、存在している場合には当該旧SAを削除した。これに限らず、通信装置101が送信時に用いる新たなSAを取得したことに応じて、当該新SAに対応する旧SAを削除するようにしてもよい。これにより、旧SAを早く削除することができるので、メモリをより有効に活用することができる。
<実施形態2>
次に、実施形態2について説明する。通信装置101のハードウェア構成は実施形態1と同様である。
図6に、主メモリ112により記憶されたプログラムを主プロセッサ111もしくはサブプロセッサ121が読み出すことで実現されるソフトウェアブロックを示す。なお、図6に示された複数のソフトウェアブロックを1つのソフトウェアブロックとして構成してもよいし、1つのソフトウェアブロックを複数のソフトウェアブロックとして構成してもよい。また、図6に示すソフトウェアブロックの一部または全部をハードウェアとして構成してもよい。
ネットワークプロトコル処理部604はTCP、UDP、IP等のネットワークプロトコルを処理する。ネットワークインタフェース部603を介して受信したパケットはネットワークプロトコル処理部604でMAC、IPプロトコル処理を行い、IPSEC処理部607でIPsec受信処理を行う。IPSEC処理部607でIPsec受信処理が完了すると再びネットワークプロトコル処理部604でTCP、UDP等のプロトコル処理を行う。その後、アプリケーション処理部605でアプリケーション処理を行う。またIKEパケットであった場合はIKE処理部606でIKE処理を行う。
アプリケーション処理部605及びIKE処理部606が通信相手へパケットを送信する場合は、ネットワークプロトコル処理部604に送信要求を行い、TCP、UDP、IP等のプロトコル処理を行う。その後、IPsec処理部607でIPsec処理を行い、ネットワークプロトコル処理部604でIP、MACプロトコル処理を行い、ネットワークインタフェース部603を介してパケットを送信する。
IPsecプロトコル処理部612はパケットの送受信におけるIPsecプロトコル処理を行い、ESP、AHといったIPsecプロトコル処理を行う。また送受信パケットのポリシーを特定するためSP管理部609に登録されたSPの検索要求を行う。ここで、SPとはSecurity Policyの略である。
また暗号・認証処理で必要となるSAを特定するためSA管理部610に登録されたSAの検索要求を行う。またバイト数による有効期限のカウントを行い、SA管理部610に有効期限カウントの更新要求を行う。暗号・認証処理部608はSAの暗号化アルゴリズム、暗号鍵、認証アルゴリズム、認証鍵等に基づいて暗号、認証処理を行う。SP、SAテーブル更新管理部はIKE処理部からのSP、SAの登録、更新、削除、参照処理を制御し、SA管理部、SP管理部に対して処理要求を行う。またパケット送信時、IPsecプロトコル処理部612がSA管理部610にSA検索要求を行った結果、該当するSAがなかった場合はIPsecプロトコル処理部612からSA折衝要求を受付、IKE処理部606に対して通知を行う。またソフト有効期限切れの通知を受けてSA折衝要求を受付、IKE処理部606に対して通知を行う。タイマ部はSA管理部610、SP、SAテーブル更新管理部611からの設定により指定された時間が経過したこと通知する。SA管理部610はSADを保持し、要求された処理に基づいてSADに対する操作を行い、処理結果を返す。またSP管理部609はSPDを保持し、要求された処理に基づいて操作を行い、処理結果を返す。
ここで、SADとは、Security Association Databeseの略であり、SAを管理・保持するデータベースのことである。また、SPDとは、Security Policy Databaseの略であり、SPを管理・保持するデータベースのことである。
次に、通信装置101のIPsecパケット送信処理フローについて説明する。図7におけるステップS701において、アプリケーション処理部605は通信相手へのパケット送信処理を行い、ネットワークプロトコル処理部604に対して送信要求を行う。なお、IKE処理部606がIKEパケットを送信する際はIKE処理部606からネットワークプロトコル処理部604に対して送信要求を行う。
ステップS702において、ネットワークプロトコル処理部604はアプリケーション処理部605よりデータの送信要求を受け付ける。すると、アプリケーション処理部605が指定したTCPまたはUDPのトランスポート層プロトコル処理およびIPプロトコル処理を行う。次に作成したIPパケットをIPsec処理部607へ通知する。
ステップS703において、IPsec処理部607は送信するIPパケットを受け取る。すると、IPsecプロトコル処理部612がIPパケットのIPアドレスやトランスポート層プロトコル種別、ポート番号等のパケット情報からSP管理部609に対してSP検索処理要求を行う。SP検索処理要求を受け付けたSP管理部609はSPDに指定パケット情報に該当するSPが登録されているかを検索し、検索結果をIPsecプロトコル処理部612に通知する。
ステップS704において、IPsecプロトコル処理部612はSP管理部609から通知された検索結果を判定する。該当するSPがありかつ、該SPに指定されたポリシーがIPsec適用(Apply IPsec)であった場合はステップS705へ進む。該当するSPがなかった場合もしくは、該当するSPに指定されたポリシーがIPsec適用以外であった場合はステップS216へ進む。
ステップS716において、ステップS703でSPが見つからなかった場合、SPが見つからなかった場合の暗号通信処理装置のポリシーを確認し、ポリシーが破棄(Discard)であればパケットを破棄して終了する。ポリシーが通過(Bypass IPsec)であった場合はステップS718へ進む。またステップS703でSPが見つかった場合は該SPのポリシーを確認し、ポリシーが破棄であった場合はパケットを破棄して終了する。またポリシーが通過であった場合はステップS718へ進む。
ステップS705において、IPsecプロトコル処理部612はSPに関連づけられたSAの情報とパケット情報からSA管理部610に対してSA検索処理要求を行う。SA検索処理要求を受け付けたSA管理部610はSADに、指定されたSPに関連付けられたSA情報とパケット情報に該当するSAが登録されているかを検索し、検索結果をIPsecプロトコル処理部612に通知する。
ステップS706において、IPsecプロトコル処理部612はSA管理部610から通知された検索結果を判定する。該当するSAがあった場合はステップS707へ進む。該当するSAがなかった場合はステップS717へ進む。
ステップS717において、IPsec処理部607はSA折衝要求処理を行う。
ここで図8を用いてステップS717のSA折衝要求処理について説明する。
IPsecプロトコル処理部612はSA折衝要求をSP、SAテーブル更新管理部611に対して行う。SP、SAテーブル更新管理部611はSA折衝要求を受け付けると、ステップS801において、すでにSA要求を行っているかを確認するため仮SAを検索する。なお、仮SAはSA要求を行う際に作成して保持し、SA折衝が完了した際に削除する。また一定時間経過してもSA要求が完了しない場合はタイムアウトし仮SAを削除する。
ステップS802において該当する仮SAが検索の結果登録されていた場合はSA要求がすでに行われていると判断し、SA要求を破棄して終了する。仮SAが登録されていなかった場合はステップS803へ進む。
ステップS803においてSP、SAテーブル更新管理部611は、仮SAを作成して保持する。
ステップS804において、SP、SAテーブル更新管理部611はIKE処理部606に対してSA要求を通知する。SA要求を受け取るとIKE処理部606はIKEプロトコルに基づいてSA折衝を通信相手と行う。
ステップS805において、SP、SAテーブル更新管理部611はSA要求をした仮SAのタイマとなるタイマ処理要求をタイマ部613に対して行い処理を終了する。
なおタイマ部613は仮SAタイマがタイムアウトするとSP、SAテーブル更新管理部に対して通知する。通知を受けたSP、SAテーブル更新管理部611は仮SAを削除する。
ステップS718において要求された送信パケットを破棄して処理を終了する。
ステップS707において、IPsecプロトコル処理部612は特定されたSAを用いて、SAに指定されたESPまたはAHのIPsecプロトコル処理を行う。ステップS708において、IPsecプロトコル処理部612はIPsecプロトコル処理の中での暗号、認証処理を暗号・認証処理部608へ要求する。暗号・認証処理部608は要求を受け付けると暗号鍵、暗号アルゴリズム及び認証鍵、認証アルゴリズム等のSA情報に基づいて暗号、認証処理を行う。
ステップS709においてIPsecプロトコル処理部612は使用したSAのバイト数による有効期限のカウント値を更新し、SA管理部610にカウント値の更新要求を行う。SA管理部610はカウント値の更新要求を受け付けると該当するSAのバイト数カウンタを更新する。
ステップS710においてソフト有効期限が切れたかを確認する。ソフト有効期限が切れた場合はステップS711へ進む。ソフト有効期限が切れていないかもしくは、すでに切れていた場合はステップS712へ進む。
ステップS711においてIPsec処理部607はSA折衝要求処理を行う。ステップS711におけるSA折衝要求処理はステップS717のSA折衝要求処理と共通の処理である。
ステップS712においてハード有効期限が切れたかを確認する。ハード有効期限が切れた場合はステップS713へ進む。ハード有効期限が切れていない場合はステップS714へ進む。
ステップS713においてIPsecプロトコル処理部はハード有効期限が切れたことをSP、SAテーブル更新管理部611に対し通知する。ハード有効期限切れの通知を受けたSP、SAテーブル更新管理部611はIKE処理部606にハード有効期限切れを通知し、SA管理部610に対して該当SAの削除要求を行い、SA管理部610はSADから該当SAを削除する。
ステップS714において、IPsec処理部607によってIPsec処理されたIPsecパケットはネットワークプロトコル処理部604でフラグメント処理等のIPプロトコル処理、MACヘッダ処理を行う。その後、ネットワークインタフェース部603にパケットの送信要求を行う。
ステップS715においてネットワークインタフェース部603はネットワークへパケットを送信して処理を終了する。
次に通信装置101のIPsecパケット受信処理フローについて説明する。図9におけるステップS901において、ネットワークインタフェース部603はネットワークから受信パケットを検知すると、受信パケットを取得してネットワークプロトコル処理部604へ通知する。
ステップS902においてネットワークプロトコル処理部604は受信パケットのヘッダ解析を行い、MAC、IPプロトコル処理を行う。ステップS903において、ネットワークプロトコル処理部604は受信パケットをIPsec処理部607へと通知する。IPsec処理部607は受信パケットを受け取ると、IPsecプロトコル処理部612はヘッダ解析を行い、IPsecパケットであるか判断する。IPsecパケットであった場合はステップS904へ進む。IPsecパケットでなかった場合はステップS913へ進む。
ステップS904において、受信したIPsecパケットのIPアドレスやIPsecプロトコル種別、IPsecヘッダ等のパケット情報から、SA管理部610にSA検索処理要求を行う。SA検索処理要求を受け付けたSA管理部610はSADに指定したパケット情報に該当するSAが登録されているかを検索し、検索結果をIPsecプロトコル処理部612に通知する。
ステップS905において、IPsecプロトコル処理部612は検索結果を判定する。該当するSAが見つからなかった場合、ステップS919へ進み、該当するSAが見つかった場合はステップS906へ進む。
ステップS906において、IPsecプロトコル処理部612は検索の結果得られたSAを用いてESPまたはAHのIPsecプロトコル処理を行う。ステップS907において、IPSECプロトコル処理部612はIPsecプロトコル処理の中での暗号(復号)、認証処理を暗号・認証処理部608に要求する。暗号・認証処理部608は要求を受け付けると暗号鍵、暗号アルゴリズム及び認証鍵、認証アルゴリズム等のSA情報に基づいて暗号、認証処理を行う。
ステップS908においてIPsecプロトコル処理部612は使用したSAのバイト数による有効期限のカウント値を更新し、SA管理部610にカウント値の更新要求を行う。SA管理部610はカウント値の更新要求を受け付けると該当するSAのバイト数カウンタを更新する。
ステップS909においてソフト有効期限が切れたかを確認する。ソフト有効期限が切れた場合はステップS910へ進む。ソフト有効期限が切れていないかもしくは、すでに切れていた場合はステップS911へ進む。
ステップS910においてIPsec処理部607はSA折衝要求処理を行う。ステップS910におけるSA折衝要求処理はステップS717のSA折衝要求処理と共通の処理である。
ステップS911においてハード有効期限が切れたかを確認する。ハード有効期限が切れた場合はステップS912へ進む。ハード有効期限が切れていない場合はステップS913へ進む。
ステップS912においてIPsecプロトコル処理部はハード有効期限が切れたことをSP、SAテーブル更新管理部611に対し通知する。ハード有効期限切れの通知を受けたSP、SAテーブル更新管理部611はIKE処理部606にハード有効期限切れを通知し、SA管理部610に対して該当SAの削除要求を行い、SA管理部610はSADから該当SAを削除する。
ステップS913においてIPsecプロトコル処理部612は受信したIPパケットのIPアドレスやトランスポート層プロトコル種別、ポート番号等のパケット情報からSP管理部609に対してSP検索処理要求を行う。SP検索処理要求を受け付けたSP管理部609はSPDに指定パケット情報に該当するSPが登録されているかを検索し、検索結果をIPsecプロトコル処理部612に通知する。
ステップS914において、IPsecプロトコル処理部612はSP管理部609から通知された検索結果を判定する。該当するSPがありかつ、該SPに指定されたポリシーがIPsec適用であった場合はステップS916へ進む。該当するSPがなかった場合もしくは、該当するSPに指定されたポリシーがIPsec適用以外であった場合はステップS915へ進む。
ステップS915において、ステップS313でSPが見つからなかった場合、暗号通信処理装置のポリシーを確認し、ポリシーが破棄(Discard)であればステップS919へ進み、ステップS919においてパケットを破棄して終了する。ポリシーが通過(Bypass IPsec)であった場合はステップS917へ進む。またステップS913でSPが見つかった場合は該SPのポリシーを確認し、ポリシーが破棄であった場合はステップS919へ進み、パケットを破棄して終了する。またポリシーが通過であった場合はステップS917へ進む。
ステップS916において、SPに指定されたポリシーにおいて使用されるSAがIPsecプロトコル処理において使用したSAをマッチしているかを判定する。使用したSAがポリシーにマッチしていなければステップS919へ進み、パケットを破棄して終了する。マッチしている場合はステップS917へ進む。
ステップS917においてIPsec処理が完了したIPパケットのヘッダ解析を行い、IPプロトコルの処理を行う。その後IP上位プロトコルヘッダを解析してTCPやUDPといったトランスポート層プロトコルの処理を行う。トランスポート層プロトコル処理を終えたパケットデータはアプリケーションへ通知する。
ステップS918において、アプリケーション処理部605は受信したデータからアプリケーション処理を行う。なお、受信したパケットがIKEパケットであった場合、ネットワークプロトコル処理部604はIKE処理部606へと通知を行い、IKEプロトコル処理を行う。
次にIPsec処理部607におけるSA登録処理フローについて説明する。図10におけるステップS1001において、SP、SAテーブル更新管理部611は登録を行うSAに該当する仮SAがあるかを検索する。該当する仮SAが有った場合は該当仮SAタイマを停止する要求をタイマ部613に対して行う。その後該当仮SAを削除する。該当仮SAがなかった場合は何もしない。
次に、ステップS1002において不要SA削除設定処理を行う。
ここで図11を用いてステップS1002の不要SA削除設定処理について説明する。
ステップS1101において、SP、SAテーブル更新管理部611は新規に登録するSAのセレクタと同一のSAが登録されているかを調べるためSA検索要求を行う。SA管理部610は新規に追加するSAのセレクタ等をキーとしてSADを検索し、結果をSP、SA管理部610に通知する。この際キーとしては、動作モード及び、自局IPアドレス及び、宛先IPアドレス及び、セキュリティプロトコル及び、SAの状態を用いる。SAの状態以外のパラメータは新規に登録するSAと同一のセレクタ値である。またSAの状態はソフト有効期限切れなのか、ソフト有効期限切れでないのかといった状態である。また動作モードとはIPsecで利用されるトランスポートモード、もしくはトンネルモードのいずれかである。検索の結果、新規に登録するSAのセレクタ等と一致するSAが登録されていない場合は処理を終了する。登録されている場合はステップS1102へ進む。
ステップS1102において検索の結果見つかった該当SAのハード有効期限時間が設定されているか確認する。ハード有効期限時間が設定されていない場合はステップS1104へ進む。ハード有効期限時間が設定されている場合はステップS1103へ進む。なお、ステップS1102の判定処理を行わず、ステップS1104へ進んでもよい。この場合はハード有効期限時間が設定されているかどうかにかかわらず強制的にハード有効期限時間を設定することとなる。
ステップS1103において、設定されているハード有効期限時間が閾値以下であるかを判断し、閾値以下である場合は不要SA削除設定処理を終了する。閾値以下ではない場合はステップS1104へ進む。なお、閾値はシステムであらかじめ定めた所定の値(所定時間)である。または、TCPやICMP等を利用して別途計測したRTT(ラウンドトリップタイム)であってもよい。さらにはSAのソフト有効期限が切れてからリキーされたSAが登録されるまでの時間であってもよい。その他、ハード有効期限時間と比較するにあたっての適切な任意の値であればよい。
またステップS1103の判定処理を行わず、ハード有効期限時間が設定されていた場合にはそのまま不要SA削除設定処理を終了してもよい。
ステップS1104において、該当するソフト有効期限切れのSAのハード有効期限を更新して不要SA削除設定処理を終了する。更新する際の値はステップS1103において閾値として示したいずれかの値を用いる。また本値はステップS1103において比較した値と同一の値であってもよいし、異なっていてもよい。ハード有効期限時間の設定されたSAはSA管理部610及び、タイマ部613の処理によってハード有効期限切れとなる。その後SP、SAテーブル更新管理部611へと通知される。SP、SAテーブル更新管理部611はSA管理部610へSA削除要求を行い、SA管理部610はSADから該当SAを削除する。ステップS1104の処理では、ハード有効期限時間を設定することによりSA管理部610及びタイマ部613の処理によってハード有効期限切れを検知しているが、SP、SAテーブル更新管理部611が不要SA削除タイマをセットし削除要求を行ってもよい。
ステップS1103においてSP、SAテーブル更新管理部611はSA管理部610に対して新規SAの追加要求を行う。SA管理部610は新規SA追加要求を受け付けるとSADに新規SAを登録して処理を終了する。
本実施形態によれば、SAを登録する際にソフト有効期限が切れた同一セレクタのSAがあるかを判定し、不要SA削除設定処理を行うことにより、ソフト有効期限の切れたSAを削除することが可能となる。これにより、不要なSAによってメモリリソースを圧迫することを防ぐことが可能となる。また、一定期間ソフト有効期限切れのSAを保持することで、ソフト有効期限切れのSAを使用したパケットを破棄せず、本来受信可能なパケットをロストすることを防ぐことが可能となる。またユーザの設定ミスによってソフト有効期限切れのSAが残り続けることを防ぐことができる。さらには通信相手のSA削除メッセージによらずソフト有効期限切れのSAを削除することができ、例えIKEパケットがネットワーク上でロストした場合であっても適切にSAを削除することが可能となる。また不要SAを適切に削除することができるためIPsecパケット送受信時のSADの検索処理負荷を低減することも可能となる。
また、上記実施形態を組み合わせてもよい。例えば、旧SAのハード有効期限の時間を第2の実施形態のように設定するとともに、第1の実施形態に用に相手から新たなSAを利用したパケットを受信した場合には当該SAに関連付けられた旧SAを削除するようにしてもよい。
また、上述のフローチャートをコンピュータに実現させるためのプログラムや、当該プログラムを記憶した記憶媒体であっても、同様の作用効果を得ることができる。
101 通信装置
111 主プロセッサ
112 主メモリ
113 TOE
114 バス
121 サブプロセッサ
122 検索装置
123 共有メモリ
124 鍵管理部
125 暗号・復号器
126 データバス制御部
127 MAC部
128 PHY部
129 バス
130 バスブリッジ
131 ネットワーク

Claims (16)

  1. 通信装置であって、
    他の通信装置との間で通信されるパケットの復号または認証に用いる第1の鍵を記憶部に記憶させる記憶手段と、
    前記第1の鍵の有効期限に応じて、前記第1の鍵とは異なる第2の鍵を取得する取得手段と、
    前記第2の鍵を用いて復号または認証されるパケットを前記他の通信装置から受信したことを判定する判定手段と、
    前記判定手段により前記第2の鍵を用いて復号または認証されるパケットを前記他の通信装置から受信したと判定されたことに応じたタイミングにおいて、当該パケットが前記記憶部から前記第1の鍵を削除することを前記他の通信装置が指示するパケットとは異なるパケットである場合であっても、前記第1の鍵を前記記憶部から削除する削除手段と、
    を有することを特徴とする通信装置。
  2. 前記第1の鍵および前記第2の鍵は、IPSec(Security Architecture for Internet Protocol)に準拠したIPパケットの復号または認証に用いられる鍵であることを特徴とする請求項1に記載の通信装置。
  3. 前記更新手段は、IKE(Internet Key Exchange)により前記第2の鍵に更新することを特徴とする請求項1または2に記載の通信装置。
  4. 前記パケットは、IP(Internet Protocol)に準拠したパケットであることを特徴とする請求項1乃至3のいずれか1項に記載の通信装置。
  5. 前記第1の鍵および前記第2の鍵は、IPSec(Security Architecture for Internet Protocol)に準拠したSA(Security Association)で用いられる鍵であることを特徴とする請求項1乃至4のいずれか1項に記載の通信装置。
  6. 前記判定手段は、SPI(Security Pointer Index)に基づいて、前記第2の鍵を用いて復号または認証されるパケットを前記他の通信装置から受信したことを判定することを特徴とする請求項1乃至5のいずれか1項に記載の通信装置。
  7. 前記第1の鍵の有効期限、および、前記第2の鍵の有効期限は、前記通信装置と前記他の通信装置との間の通信結果に基づいて設定されることを特徴とする請求項1乃至6のいずれか1項に記載の通信装置。
  8. 前記記憶手段は、前記第1の鍵と関連付けて前記第2の鍵を前記記憶部に記憶させ、
    前記削除手段は、前記判定手段により前記第2の鍵を用いて復号または認証されるパケットを前記他の通信装置から受信したと判定されたことに応じて、当該第2の鍵に関連付けられた前記第1の鍵を前記記憶部から削除することを特徴とする請求項1乃至7のいずれか1項に記載の通信装置。
  9. 前記記憶手段は、前記他の通信装置に対して送信するパケットの暗号化に用いる第3の鍵を前記記憶部に記憶させ、
    前記更新手段は、前記第3の鍵の有効期限が切れた場合に、前記第3の鍵から第4の鍵に更新し、
    前記判定手段は、前記第4の鍵を用いて暗号化されたパケットを前記他の通信装置に送信することを判定し、
    前記削除手段は、前記判定手段により前記第4の鍵を用いて暗号化されたパケットを前記他の通信装置に送信すると判定されたことに応じて、前記第3の鍵を前記記憶部から削除する
    ことを特徴とする請求項1乃至8のいずれか1項に記載の通信装置。
  10. 前記記憶手段は、前記他の通信装置に対して送信するパケットの暗号化に用いる第3の鍵を前記記憶部に記憶させ、
    前記更新手段は、前記第3の鍵の有効期限が切れた場合に、前記第3の鍵から第4の鍵に更新し、
    前記削除手段は、前記更新手段により前記第4の鍵に更新されたことに応じて、前記第3の鍵を前記記憶部から削除する
    ことを特徴とする請求項1乃至9のいずれか1項に記載の通信装置。
  11. 前記第1の鍵および前記第2の鍵は、前記他の通信装置との間で通信されるパケットの復号に用いる暗号鍵であることを特徴とする請求項1乃至10のいずれか1項に記載の通信装置。
  12. 前記第1の鍵および前記第2の鍵は、前記他の通信装置との間で通信されるパケットの認証に用いる認証鍵であることを特徴とする請求項1乃至10のいずれか1項に記載の通信装置。
  13. 前記削除手段は、前記判定手段により前記第2の鍵を用いて復号または認証されるパケットを前記他の通信装置から受信したと判定されたことに応答して、前記第1の鍵を前記記憶部から削除することを特徴とする請求項1乃至12のいずれか1項に記載の通信装置。
  14. 前記削除手段は、前記判定手段により前記第2の鍵を用いて復号または認証されるパケットを前記他の通信装置から受信したと判定されてから第1の所定時間が経過すると、前記第1の鍵を前記記憶部から削除することを特徴とする請求項1乃至12のいずれか1項に記載の通信装置。
  15. 通信装置の制御方法であって、
    他の通信装置との間で通信されるパケットの復号または認証に用いる第1の鍵を記憶部に記憶させる記憶工程と、
    前記第1の鍵の有効期限に応じて、前記第1の鍵とは異なる第2の鍵を取得する取得工程と、
    前記第2の鍵を用いて復号または認証されるパケットを前記他の通信装置から受信したことを判定する判定工程と、
    前記判定工程において前記第2の鍵を用いて復号または認証されるパケットを前記他の通信装置から受信したと判定されたことに応じたタイミングにおいて、当該パケットが前記記憶部から前記第1の鍵を削除することを前記他の通信装置が指示するパケットとは異なるパケットである場合であっても、前記第1の鍵を前記記憶部から削除する削除工程と、
    を有することを特徴とする制御方法。
  16. コンピュータを、請求項1から1のいずれか1項に記載の通信装置として動作させるためのプログラム。
JP2013008621A 2013-01-21 2013-01-21 通信装置、通信装置の制御方法、および、プログラム Active JP6112874B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2013008621A JP6112874B2 (ja) 2013-01-21 2013-01-21 通信装置、通信装置の制御方法、および、プログラム
US14/158,596 US9246682B2 (en) 2013-01-21 2014-01-17 Communication apparatus, method for controlling communication apparatus, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013008621A JP6112874B2 (ja) 2013-01-21 2013-01-21 通信装置、通信装置の制御方法、および、プログラム

Publications (3)

Publication Number Publication Date
JP2014140132A JP2014140132A (ja) 2014-07-31
JP2014140132A5 JP2014140132A5 (ja) 2016-03-10
JP6112874B2 true JP6112874B2 (ja) 2017-04-12

Family

ID=51208715

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013008621A Active JP6112874B2 (ja) 2013-01-21 2013-01-21 通信装置、通信装置の制御方法、および、プログラム

Country Status (2)

Country Link
US (1) US9246682B2 (ja)
JP (1) JP6112874B2 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10469477B2 (en) 2015-03-31 2019-11-05 Amazon Technologies, Inc. Key export techniques
US10819512B2 (en) * 2017-11-16 2020-10-27 Simmonds Precision Products, Inc. Multiple transceivers for wireless key update
US10873455B2 (en) * 2018-03-15 2020-12-22 Cisco Technology, Inc. Techniques for encryption key rollover synchronization in a network
CN109639721B (zh) * 2019-01-08 2022-02-22 郑州云海信息技术有限公司 IPsec报文格式处理方法、装置、设备及存储介质
US11909859B2 (en) * 2020-06-02 2024-02-20 Sap Se Removing access to blockchain data
CN112910893A (zh) * 2021-02-01 2021-06-04 武汉思普崚技术有限公司 一种防止IPsec SA老化后丢包的方法、装置、设备及存储介质
JP2022124835A (ja) * 2021-02-16 2022-08-26 キヤノン株式会社 通信装置、制御方法、およびプログラム
JP2023064987A (ja) * 2021-10-27 2023-05-12 キヤノン株式会社 情報処理装置、情報処理装置の制御方法およびプログラム

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002217896A (ja) * 2001-01-23 2002-08-02 Matsushita Electric Ind Co Ltd 暗号通信方法およびゲートウエイ装置
JP4725070B2 (ja) * 2004-10-13 2011-07-13 パナソニック株式会社 正規コンテンツ確認方法、コンテンツ送受信システム、送信機、および受信機
KR20060097514A (ko) * 2005-03-07 2006-09-14 삼성전자주식회사 로컬 서버에서 브로드캐스트 암호화 방식에 따라 암호화된컨텐트를 제공하는 방법 및 장치
JP2006352500A (ja) 2005-06-16 2006-12-28 Matsushita Electric Ind Co Ltd 自動鍵交換処理装置および自動鍵交換処理方法
JP4596256B2 (ja) * 2005-08-02 2010-12-08 ソニー株式会社 送受信システムおよび方法、送信装置および方法、受信装置および方法、並びにプログラム
JP2007104310A (ja) * 2005-10-04 2007-04-19 Hitachi Ltd ネットワーク装置、ネットワークシステム及び鍵更新方法
CN101170554B (zh) * 2007-09-04 2012-07-04 萨摩亚商·繁星科技有限公司 资讯安全传递系统
US20120017086A1 (en) * 2007-09-04 2012-01-19 Stars Technology Ltd. Information security transmission system
US20140059356A1 (en) * 2012-08-24 2014-02-27 Iron Mountain Incorporated Technique for reconfigurable data storage media encryption

Also Published As

Publication number Publication date
US20140208115A1 (en) 2014-07-24
JP2014140132A (ja) 2014-07-31
US9246682B2 (en) 2016-01-26

Similar Documents

Publication Publication Date Title
JP6112874B2 (ja) 通信装置、通信装置の制御方法、および、プログラム
US11218477B2 (en) Encryption key updates in wireless communication systems
CN110463156B (zh) 安全通信中的硬件加速的有效载荷过滤
CN107659406B (zh) 一种资源操作方法及装置
JP2018182665A (ja) 通信装置、通信システム及び暗号化通信制御方法
JP2014140132A5 (ja)
WO2014147934A1 (ja) 通信装置、通信システム及び通信方法
US9467471B2 (en) Encrypted communication apparatus and control method therefor
US11777915B2 (en) Adaptive control of secure sockets layer proxy
CN109040059B (zh) 受保护的tcp通信方法、通信装置及存储介质
US20180176230A1 (en) Data packet transmission method, apparatus, and system, and node device
CN108429700B (zh) 一种发送报文的方法及装置
CN108055285B (zh) 一种基于ospf路由协议的入侵防护方法和装置
CN110612669B (zh) 译码的方法和装置
JP2016015697A (ja) 通信装置、通信装置の制御方法、および、プログラム
CN106464603B (zh) 一种传输请求的方法及客户端
CN102364906B (zh) 复位连接的方法及设备
JP6248663B2 (ja) 伝送システム、および伝送方法
CN112470438B (zh) 用于发现中间功能和选择两个通信装置之间的路径的方法
JP2011223385A (ja) 暗号化通信装置
JP2018116123A (ja) ゲートウエイ装置およびゲートウエイシステム
JP6228370B2 (ja) 通信装置、通信方法、及びプログラム
JP4113205B2 (ja) 暗号処理装置
JP2011015042A (ja) 暗号化通信装置、暗号化通信方法及びプログラム
JP2017188800A (ja) 通信装置、その制御方法、およびプログラム

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160120

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160120

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161025

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161206

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170203

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170214

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170314

R151 Written notification of patent or utility model registration

Ref document number: 6112874

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151