JP6668960B2 - 情報処理装置及びプログラム - Google Patents
情報処理装置及びプログラム Download PDFInfo
- Publication number
- JP6668960B2 JP6668960B2 JP2016114475A JP2016114475A JP6668960B2 JP 6668960 B2 JP6668960 B2 JP 6668960B2 JP 2016114475 A JP2016114475 A JP 2016114475A JP 2016114475 A JP2016114475 A JP 2016114475A JP 6668960 B2 JP6668960 B2 JP 6668960B2
- Authority
- JP
- Japan
- Prior art keywords
- connection
- communication
- time
- server
- plaintext
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、情報処理装置及びプログラムに関する。
クライアントアプリケーションとサーバとのSSL(Secure Socket Layer)などの暗号通信では、サーバは暗号通信に対応したサーバプログラムを用意し、クライアントからの暗号通信の接続を確立できるようにTCP(Transmission Control Protocol)/UDP(User Datagram Protocol)のポートを開き、クライアントは暗号通信用のポートに対して接続要求をすることで確立する。
つまり、暗号通信はサーバが暗号通信に対応しており、クライアントが明示的に暗号通信を要求する必要がある。逆に、クライアントアプリケーションが平文通信を要求するように設定されている場合には、暗号通信が行われない。従って、ITリテラシーの低い利用者の場合、自身のアプリケーションで暗号通信の設定がされているかを認知しないために、不用意に平文通信を行ってしまう可能性がある。
特許文献1には、認証処理に係わる情報が平文でネットワーク上に流れることを防止することを課題とする情報処理装置が記載されている。パケット解析部は、ユーザ用仮想マシンから送信されたパケットを解析して宛先及びプロトコルを検出する。サーバに送ることが検出された場合に、パケット変換部は、検出されたプロトコルをデータ暗号化用のプロトコルに変換してサーバに送信する。
平文通信を強制的に暗号通信に変換する場合、送信先のサーバが暗号通信に対応していることが前提となる。しかし、現実にはサーバが暗号通信に対応していない場合もあり、サーバが暗号通信に対応していない場合には、接続が確立できない問題が生じる。
他方、暗号通信の接続確立に失敗した場合に、平文通信の接続確立をする技術も知られている(フォールバック)。
但し、暗号通信を確立できる/できないにかかわらず、最初に暗号通信の接続要求を試行するため、接続確立が失敗したと判断する(タイムアウト)まで平文通信の接続確立を待たなければならない問題がある。
本発明の目的は、サーバが暗号通信に対応している/対応していないによらず、通信の秘匿性を担保しつつ接続確立に要する時間を短縮し得る装置及びプログラムを提供することにある。
請求項1に記載の発明は、平文通信の接続要求に応じ、暗号通信の接続要求と平文通信の接続要求を並行してサーバに送信する送信部と、サーバからの応答に応じ、暗号通信の接続あるいは平文通信の接続を確立し、サーバに関連付けて、接続確立に要した時間及び暗号通信の接続確立の可否を記憶部に記憶し、記憶部に記憶された過去の接続確立に要した時間及び過去の暗号通信の接続確立の可否を用いて暗号通信のタイムアウト猶予時間を可変設定する制御部とを備える情報処理装置である。
請求項2に記載の発明は、制御部は、サーバからの応答に応じ、平文通信の接続を確立した場合に、サーバに関連付けて、平文通信の接続確立に要した時間及び暗号通信の確立不可を記憶部に記憶し、記憶部に記憶された過去の接続確立に要した時間と今回の平文通信の接続確立に要した時間及び過去の暗号通信の接続確立の可否を用いて暗号通信のタイムアウト猶予時間を可変設定する請求項1に記載の情報処理装置である。
請求項3に記載の発明は、制御部は、サーバからの応答に応じ、平文通信の接続を確立した場合に、過去の接続確立に要した時間と今回の平文通信の接続確立に要した時間のいずれか長い方の時間を用いて暗号通信のタイムアウト猶予時間を可変設定する請求項2に記載の情報処理装置である。
請求項4に記載の発明は、制御部は、サーバからの応答に応じ、平文通信の接続を確立した場合に、過去の暗号通信の接続確立が可のときには過去の暗号通信の接続確立が不可のときと比べて相対的に短い暗号通信のタイムアウト猶予時間を可変設定する請求項2に記載の情報処理装置である。
請求項5に記載の発明は、制御部は、サーバからの応答に応じ、平文通信の接続を確立した場合であって、記憶部に記憶された過去の接続確立に要した時間及び過去の暗号通信の接続確立の可否が存在しないときに、今回の平文通信の接続確立に要した時間を用いて暗号通信のタイムアウト猶予時間を可変設定する請求項1に記載の情報処理装置である。
請求項6に記載の発明は、制御部は、サーバとの回線が変更された場合に、記憶部に記憶された過去の接続確立に要した時間及び過去の暗号通信の接続確立の可否をクリアする請求項1〜5のいずれかに記載の情報処理装置である。
請求項7に記載の発明は、コンピュータに、平文通信の接続要求に応じ、暗号通信の接続要求と平文通信の接続要求を並行してサーバに送信するステップと、サーバからの応答に応じ、暗号通信の接続あるいは平文通信の接続を確立し、サーバに関連付けて、接続確立に要した時間及び暗号通信の接続確立の可否を記憶部に記憶し、記憶部に記憶された過去の接続確立に要した時間及び過去の暗号通信の接続確立の可否を用いて暗号通信のタイムアウト猶予時間を可変設定するステップを実行させるプログラムである。
請求項1,7に記載の発明によれば、サーバが暗号通信に対応している/対応していないによらず、通信の秘匿性を担保しつつ接続確立に要する時間を短縮し得る。
請求項2に記載の発明によれば、さらに、暗号通信のタイムアウト猶予時間を適応的に設定できる。
請求項3に記載の発明によれば、さらに、過去の接続確立に要した時間と今回の平文通信の接続確立に要した時間によって暗号通信のタイムアウト猶予時間を適応的に設定できる。
請求項4に記載の発明によれば、さらに、過去の暗号通信の接続確立の可否によって暗号通信のタイムアウト猶予時間を適応的に設定できる。
請求項5に記載の発明によれば、さらに、過去の接続確立に要した時間及び過去の暗号通信の接続確立の可否が存在しないときでも、今回の平文通信の接続確立に要した時間によって暗号通信のタイムアウト猶予時間を適応的に設定できる。
請求項6に記載の発明によれば、さらに、サーバとの回線が変更された場合でも、暗号通信のタイムアウト猶予時間を適応的に設定できる。
以下、図面に基づき本発明の実施形態について説明する。
まず、本実施形態の基本原理について説明する。
利用者が不用意に平文通信を行ってしまうことを防止し、通信の秘匿性を確保するために、平文通信を強制的に暗号通信とすることが考えられるが、サーバが暗号通信に対応していればともかく、サーバが暗号通信に対応していない場合には接続が確立できず、仮にフォールバックの技術を適用したとしても所定のタイムアウト猶予時間が経過するまで待機しなければならない。なお、「タイムアウト猶予時間」とは、暗号通信の接続要求をサーバに送信してから、当該サーバから応答を受信するまでの待機時間と定義され、タイムアウト猶予時間が経過する前に応答を受信すれば暗号通信の接続要求は有効とされ、タイムアウト猶予時間が経過すれば暗号通信の接続要求は無効とされる。
利用者が不用意に平文通信を行ってしまうことを防止し、通信の秘匿性を確保するために、平文通信を強制的に暗号通信とすることが考えられるが、サーバが暗号通信に対応していればともかく、サーバが暗号通信に対応していない場合には接続が確立できず、仮にフォールバックの技術を適用したとしても所定のタイムアウト猶予時間が経過するまで待機しなければならない。なお、「タイムアウト猶予時間」とは、暗号通信の接続要求をサーバに送信してから、当該サーバから応答を受信するまでの待機時間と定義され、タイムアウト猶予時間が経過する前に応答を受信すれば暗号通信の接続要求は有効とされ、タイムアウト猶予時間が経過すれば暗号通信の接続要求は無効とされる。
本実施形態では、サーバが暗号通信に対応していない場合にも速やかに接続を確立すべく、単に平文通信を強制的に暗号通信とするのではなく、平文通信の要求があった場合に、これに応じて暗号通信の接続要求と平文通信の接続要求を並行して行う。
サーバが暗号通信に対応していれば、暗号通信の接続要求に応じてこれに応答するので、当該応答を受信して暗号通信の接続を確立し、所望の通信文を暗号化してサーバに送信する。
サーバが暗号通信に対応していれば、暗号通信の接続要求に応じてこれに応答するので、当該応答を受信して暗号通信の接続を確立し、所望の通信文を暗号化してサーバに送信する。
サーバが暗号通信に対応していない場合、あるいは対応していても何らかの原因により暗号通信の応答が遅延する場合、サーバは同時並行して送信された平文通信に応答することができ、当該応答を受信して平文通信の接続を確立し、所望の通信文を平文にてサーバに送信する。従来のフォールバック技術では、所定のタイムアウト猶予時間が経過するまで待機しなければならないが、本実施形態では暗号通信と並行して平文通信の接続要求を送信するので、従来に比べて速やかに接続を確立できる。
仮に、平文通信の応答の後に暗号通信の応答を受信した場合、それがタイムアウト猶予時間内であれば、暗号通信の接続確立を実行することで通信の秘匿を確保できるが、タイムアウト猶予時間が固定値であれば、通信回線の遅延等が生じて応答が遅延等した場合に暗号通信の接続が確立され難くなる。他方、当該サーバに対して過去に暗号通信の接続確立が可能であった事実があれば、タイムアウト猶予時間を長く設定することで暗号通信の接続を確立させ、通信秘匿性を向上し得る可能性がある。また、当該サーバに対する過去の接続確立までに要する時間が今回の時間よりも短い場合、クライアントーサーバ間の通信経路に遅延等が生じて今回は長くなってしまったので、これに応じてタイムアウト猶予時間を長く設定することで暗号通信の接続を確立させ、通信秘匿性を向上し得る可能性がある。
このような事情に鑑み、本実施形態では、当該サーバに対する過去の接続確立までに要した時間及び暗号通信の接続確立の可否を記憶部に記憶しておき、記憶部に記憶された過去の接続確立までに要した時間及び過去の暗号通信の接続確立の可否に応じて、暗号通信のタイムアウト猶予時間を可変設定するものである。
定性的には、過去の暗号通信の接続確立が可であった場合には、過去の暗号通信の接続確立が不可であった場合に比べて、相対的に短いタイムアウト猶予時間を設定する。過去の暗号通信の接続可否が不明の場合には、過去の暗号通信の接続確立が可であった場合と、過去の暗号通信の接続確立が不可であった場合の中間のタイムアウト猶予時間を設定し得るがこれに限定されない。また、過去の接続確立までに要した時間が今回の時間よりも短い場合には、今回は通信回線の遅延やサーバ高負荷が生じていることを示しているから、この分の遅延を考慮してタイムアウト猶予時間を設定する。過去の接続確立までに要した時間が今回の時間よりも長い場合には、今回は通信回線の遅延やサーバ高負荷はないものの前回と同様の遅延が生じ得るものとして前回の遅延を考慮してタイムアウト猶予期間を設定する。
本実施形態では、タイムアウト猶予時間を固定値とした場合に比べ、クライアント−サーバ間の回線状況及びサーバの対応状況に応じて順次増減調整されるため、より適切なタイムアウト猶予時間が設定される。
本実施形態の情報処理装置は、クライアントサーバシステムにおけるクライアントに実装することができる。また、複数のクライアントがゲートウェイを経由してサーバに接続されるシステムでは、当該ゲートウェイに実装することもできる。
次に、本実施形態について、具体的に説明する。
図1は、本実施形態の情報処理システム構成図を示す。情報処理システムは、クライアント(クライアントコンピュータ)10と、サーバ(サーバコンピュータ)14を備えており、クライアント10とサーバ14はインターネット12等の通信回線で接続される。
クライアント10は、機能ブロックとして、アプリケーション20、接続制御部22、接続結果記憶部24、及び通信部26を備える。
アプリケーション20は、クライアント10の利用者が利用する、クライアント10にインストールされたアプリケーションプログラムであり、例えば電子メールを送受信するメーラー等である。
接続制御部22は、アプリケーション20からの通信要求に応じ、平文通信の要求であればサーバ14に対して暗号通信の要求も自動的に送信する。暗号通信の要求であれば、サーバ14に対してそのまま暗号通信の要求を送信する。従って、接続制御部22による通信の要求は、以下の2通りが存在する。
(1)クライアント10からの平文通信要求に応じ、平文通信要求+暗号通信要求をサーバ14に送信する。
(2)クライアント10からの暗号通信要求に応じ、暗号通信要求をサーバ14に送信する。
(1)クライアント10からの平文通信要求に応じ、平文通信要求+暗号通信要求をサーバ14に送信する。
(2)クライアント10からの暗号通信要求に応じ、暗号通信要求をサーバ14に送信する。
いずれの場合も、常に暗号通信要求が存在する。また、接続制御部22は、平文通信及び暗号通信の接続結果を監視し、接続結果を順次、接続結果記憶部24に記憶する。接続制御部22は、接続結果記憶部24に記憶された接続結果を用いて、暗号通信のタイムアウト猶予期間を適応的に可変設定する。すなわち、暗号通信を試み、暗号通信の接続確立に失敗した場合に、平文通信の接続確立をするフォールバックを実行する際の、暗号通信の接続確立の可否を判定するためのタイムアウト猶予期間を固定値とするのではなく、可変設定する。タイムアウト猶予期間の具体的な設定方法についてはさらに後述する。
通信部26は、ネットワークインタフェースであり、接続制御部22の制御により、クライアント10からの平文通信・暗号通信の要求をインターネット12を介してサーバ14に送信し、サーバ14からの応答を受信する。
接続結果記憶部24は、接続制御部22で得られた接続結果をテーブルとして保持する。接続結果は、具体的には、送信要求先のサーバ14のIPアドレス、接続確立に要した時間、暗号通信の接続確立の可否である。
図2は、接続結果記憶部24に記憶される接続結果テーブルの一例を示す。サーバIP、そのサーバIPに対して接続確立に要した時間(s)、暗号通信の確立の可否をセットとして記憶する。例えば、(192.168.0.1)のサーバIPに対しては、接続確立に要した時間が0.1(s)、暗号通信の確立が不可であったことを示す。また、(202.221.115.15)のサーバIPに対しては、接続確立に要した時間が0.3(s)、暗号通信の確立が可であったことを示す。接続確立に要した時間は、暗号通信の確立が可であれば当該暗号通信の確立に要した時間であり、暗号通信の確立が不可であれば平文通信の接続確立に要した時間である。
クライアント10は、コンピュータとしての構成、すなわち、CPU、ROM、RAM、入出力インタフェース、通信インタフェース、及び記憶装置を備える。接続制御部22は、CPUがROMに記憶された処理プログラムを読み出し、RAMをワーキングメモリとして用いて処理プログラムを順次実行することでその機能が実現される。接続結果記憶部24は、HDD(ハードディスクドライブ)や半導体メモリ等の記憶装置で実現される。CPUの基本的な処理は、
・通信インタフェースを介して暗号通信の接続要求及び平文通信の接続要求を送信する
・通信インタフェースを介してサーバ14からの応答を受信する
・暗号通信あるいは平文通信の接続を確立する
・暗号通信あるいは平文通信の接続を確立するまでに要した時間を計測する
・暗号通信の接続確立の可否を判定する
・暗号通信の接続要求及び平文通信の接続要求を送信したサーバ14のサーバIP、暗号通信あるいは平文通信の接続確立するまでに要した時間、暗号通信の接続確立の可否を関連付けて記憶装置に記憶する
・記憶装置に記憶されたデータを用いて暗号通信のタイムアウト猶予時間を可変設定する
である。
・通信インタフェースを介して暗号通信の接続要求及び平文通信の接続要求を送信する
・通信インタフェースを介してサーバ14からの応答を受信する
・暗号通信あるいは平文通信の接続を確立する
・暗号通信あるいは平文通信の接続を確立するまでに要した時間を計測する
・暗号通信の接続確立の可否を判定する
・暗号通信の接続要求及び平文通信の接続要求を送信したサーバ14のサーバIP、暗号通信あるいは平文通信の接続確立するまでに要した時間、暗号通信の接続確立の可否を関連付けて記憶装置に記憶する
・記憶装置に記憶されたデータを用いて暗号通信のタイムアウト猶予時間を可変設定する
である。
図3は、本実施形態のシーケンス図を示す。クライアント10がサーバ14との接続を確立するまでのシーケンスである。
まず、アプリケーション20は、サーバ14に対してSMTPの平文通信の接続確立要求(synパケット)を送信する。この場合のサーバIPを例えば(202.221.115.15)とし、ポート番号を例えば25とする(S1)。
接続制御部22は、アプリケーション20からの平文通信の接続確立要求に応じ、SMTPの平文通信の暗号通信(SSL)の接続確立要求をサーバ14に対して送信する(S2)。このときのポート番号を例えば993とする。また、接続制御部22は、S2の直後に、SMTPの平文通信の接続確立要求をサーバ14に対して送信する(S3)。このときのポート番号は25である。
サーバ14は、S2での暗号通信の接続確立要求及びS3での平文通信の接続確立要求を受信し、S2での暗号通信の接続確立要求あるいはS3での平文通信の接続確立要求に対して応答(ackパケット)する(S4)。
サーバ14からの応答が暗号通信の接続確立要求に対する応答であれば、平文通信の接続要求を中止するとともに、暗号通信の接続を確立し、S9以降の処理を実行する。
他方、サーバ14からの応答が平文通信の接続確立要求に対する応答であれば、平文通信の接続を確立するとともに、平文通信の接続を確立するまでに要した時間を計測して保持し、S5以降の処理を実行する。すなわち、接続制御部22は、接続結果記憶部24に記憶されているテーブルにアクセスし、サーバIPアドレスに基づいて、前回の接続確立に要した時間と、暗号通信の確立可否のデータを取得する(S5、S6)。そして、接続制御部22は、計測して得られた今回の接続確立に要した時間と、取得した前回の接続確立に要した時間と、暗号通信の確立可否のデータを用いて、暗号通信のタイムアウト猶予時間を可変設定する(S7)。また、サーバ14は、S2での暗号通信の接続確立要求に対して応答する(S8)。接続制御部22は、タイムアウト猶予時間内にS8の応答を受信すれば、平文通信の接続を破棄するとともに、暗号通信の接続を確立する。タイムアウト猶予時間内にS8の応答を受信しなければ、平文通信の接続を維持する。
その後、接続制御部22は、暗号通信の接続確立あるいは平文通信の接続確立に要した時間を計測し、接続結果記憶部24のテーブルに新たに登録する(S9)。
従って、S2及びS3で暗号通信の接続要求及び平文通信の接続要求を行い、サーバ14が暗号通信に対応していればS4で暗号通信の接続確立要求に対して応答(ackパケット)を返信し、暗号通信のタイムアウト猶予時間を可変設定することなくデフォルト値をそのまま維持して暗号通信の接続を確立し、暗号通信の接続確立に要した時間及び暗号通信の接続確立可のデータを接続結果記憶部24に記憶する。また、サーバ14が暗号通信に対応していない場合にはS4で平文通信の接続確立要求に対して応答(ackパケット)を返信し、この平文通信の接続確立に要した時間を用いて暗号通信のタイムアウト猶予時間を可変設定して平文通信の接続を確立し、平文通信の接続確立に要した時間及び暗号通信の接続確立不可のデータを接続結果記憶部24に記憶する。但し、平文通信の接続要求に対する応答を受信した後に、タイムアウト猶予時間内に暗号通信の接続要求に対する応答を受信した場合には、暗号通信を優先させるべく、平文通信の接続を破棄して暗号通信の接続を確立する。このとき、暗号通信の接続確立に要した時間及び暗号通信の接続確立可のデータを接続結果記憶部24に記憶する。
なお、S1でクライアント10から平文通信の接続要求ではなく、暗号通信の接続要求があった場合には、接続制御部22は、S3を実行することなくS2でサーバ14に対して暗号通信の接続要求を送信する。暗号通信のタイムアウト猶予時間内にサーバ14から応答を受信すれば暗号通信の接続を確立し、タイムアウト猶予時間内にサーバ14から応答を受信しなければ、その旨をアプリケーション20に返信する。利便性の面(接続性を優先)から平文通信にフォールバックしてもよい。
図4は、S7における暗号通信のタイムアウト猶予時間決定処理の詳細フローチャートを示す。
まず、接続制御部22は、接続結果記憶部24にアクセスし、当該サーバIPに関して前回の接続結果の履歴が記録されているか否かを判定する(S701)。
前回の接続結果の履歴が記録されている場合、次に、前回の接続結果の履歴データを用いて前回の暗号通信接続の確立の可否を判定する(S702)。
前回の暗号通信の接続が可である場合、今回の平文接続の確立に要した時間と、履歴データから取得した前回の接続確立に要した時間とを比較し、今回の平文接続の確立に要した時間の方が、前回の接続確立に要した時間よりも長いか否かを判定する(S703)。
(今回の平文接続の確立に要した時間)>(前回の接続確立に要した時間)であれば、暗号通信のタイムアウト猶予時間を、
暗号通信のタイムアウト猶予時間=今回の平文接続確立時間×2(s)
に設定する(S705)。その理由は、前回の暗号通信の接続が可である場合(S702で可)、今回もサーバ14は暗号通信に対応している可能性が高く、もう少し待てば暗号通信の接続を確立できる可能性があると評価できるので、猶予時間を相対的に短くする(×2)一方、今回の平文接続に要した時間が前回の接続確立に要した時間よりも長いということは(S703でYES)、クライアント10とサーバ14との間の通信経路に遅延が生じていたり、サーバ14が高負荷になっていたりする可能性があるため、遅延を考慮した時間(今回の平文接続確立に要した時間)×短い猶予時間(2倍)を暗号通信のタイムアウト猶予時間に設定したものである。
暗号通信のタイムアウト猶予時間=今回の平文接続確立時間×2(s)
に設定する(S705)。その理由は、前回の暗号通信の接続が可である場合(S702で可)、今回もサーバ14は暗号通信に対応している可能性が高く、もう少し待てば暗号通信の接続を確立できる可能性があると評価できるので、猶予時間を相対的に短くする(×2)一方、今回の平文接続に要した時間が前回の接続確立に要した時間よりも長いということは(S703でYES)、クライアント10とサーバ14との間の通信経路に遅延が生じていたり、サーバ14が高負荷になっていたりする可能性があるため、遅延を考慮した時間(今回の平文接続確立に要した時間)×短い猶予時間(2倍)を暗号通信のタイムアウト猶予時間に設定したものである。
また、(今回の平文接続の確立に要した時間)≦(前回の接続確立に要した時間)であれば、暗号通信のタイムアウト猶予時間を、
暗号通信のタイムアウト猶予時間=前回の接続確立時間×2(s)
に設定する(S706)。その理由は、前回の暗号通信の接続が可である場合(S702で可)、今回もサーバ14は暗号通信に対応している可能性が高く、もう少し待てば暗号通信の接続を確立できる可能性があると評価できるので、猶予時間を相対的に短くする(×2)一方、今回の平文接続に要した時間が前回の接続確立に要した時間以下と短いということは(S703でNO)、クライアント10とサーバ14との間の通信経路の遅延が少ないといえるので、遅延の少なさを考慮した時間(前回の接続確立に要した時間)×短い猶予時間(2倍)を暗号通信のタイムアウト猶予時間に設定したものである。
暗号通信のタイムアウト猶予時間=前回の接続確立時間×2(s)
に設定する(S706)。その理由は、前回の暗号通信の接続が可である場合(S702で可)、今回もサーバ14は暗号通信に対応している可能性が高く、もう少し待てば暗号通信の接続を確立できる可能性があると評価できるので、猶予時間を相対的に短くする(×2)一方、今回の平文接続に要した時間が前回の接続確立に要した時間以下と短いということは(S703でNO)、クライアント10とサーバ14との間の通信経路の遅延が少ないといえるので、遅延の少なさを考慮した時間(前回の接続確立に要した時間)×短い猶予時間(2倍)を暗号通信のタイムアウト猶予時間に設定したものである。
また、S702で不可、つまり前回の暗号通信接続が不可である場合、同様に、今回の平文接続の確立に要した時間と、履歴データから取得した前回の接続確立に要した時間とを比較し、今回の平文接続の確立に要した時間の方が、前回の接続確立に要した時間よりも長いか否かを判定する(S704)。
(今回の平文接続の確立に要した時間)>(前回の接続確立に要した時間)であれば、暗号通信のタイムアウト猶予時間を
暗号通信のタイムアウト猶予時間=今回の平文接続確立時間×4(s)
に設定する(S707)。その理由は、前記の暗号通信の接続が不可である場合(S702で不可)、今回もサーバ14は暗号通信に対応していない可能性が高く、但し、サーバ14がいつ暗号通信に対応するようになるか不明な点もあるため、猶予時間を相対的に長くする(×4)一方、今回の平文接続に要した時間が前回の接続確立に要した時間よりも長いということは(S704でYES)、クライアント10とサーバ14との間の通信経路に遅延が生じていたり、サーバ14が高負荷になっていたりする可能性があるため、遅延を考慮した時間(今回の平文接続確立に要した時間)×長い猶予時間(4倍)を暗号通信のタイムアウト猶予時間に設定したものである。
暗号通信のタイムアウト猶予時間=今回の平文接続確立時間×4(s)
に設定する(S707)。その理由は、前記の暗号通信の接続が不可である場合(S702で不可)、今回もサーバ14は暗号通信に対応していない可能性が高く、但し、サーバ14がいつ暗号通信に対応するようになるか不明な点もあるため、猶予時間を相対的に長くする(×4)一方、今回の平文接続に要した時間が前回の接続確立に要した時間よりも長いということは(S704でYES)、クライアント10とサーバ14との間の通信経路に遅延が生じていたり、サーバ14が高負荷になっていたりする可能性があるため、遅延を考慮した時間(今回の平文接続確立に要した時間)×長い猶予時間(4倍)を暗号通信のタイムアウト猶予時間に設定したものである。
また、(今回の平文接続の確立に要した時間)≦(前回の接続確立に要した時間)であれば、暗号通信のタイムアウト猶予時間を、
暗号通信のタイムアウト猶予時間=前回の接続確立時間×4(s)
に設定する(S708)。その理由は、前記の暗号通信の接続が不可である場合(S702で不可)、今回もサーバ14は暗号通信に対応していない可能性が高く、但し、サーバ14がいつ暗号通信に対応するようになるか不明な点もあるため、猶予時間を相対的に長くする(×4)一方、今回の平文接続に要した時間が前回の接続確立に要した時間以下と短いということは(S704でNO)、クライアント10とサーバ14との間の通信経路の遅延が少ないといえるので、遅延の少なさを考慮した時間(前回の接続確立に要した時間)×短い猶予時間(4倍)を暗号通信のタイムアウト猶予時間に設定したものである。
暗号通信のタイムアウト猶予時間=前回の接続確立時間×4(s)
に設定する(S708)。その理由は、前記の暗号通信の接続が不可である場合(S702で不可)、今回もサーバ14は暗号通信に対応していない可能性が高く、但し、サーバ14がいつ暗号通信に対応するようになるか不明な点もあるため、猶予時間を相対的に長くする(×4)一方、今回の平文接続に要した時間が前回の接続確立に要した時間以下と短いということは(S704でNO)、クライアント10とサーバ14との間の通信経路の遅延が少ないといえるので、遅延の少なさを考慮した時間(前回の接続確立に要した時間)×短い猶予時間(4倍)を暗号通信のタイムアウト猶予時間に設定したものである。
S705〜S708では、今回の平文通信の接続確立に要した時間と前回の通信の接続確立に要した時間のうちの長い方を基準として暗号通信のタイムアウト猶予時間を設定するといえる。
また、S701でなし、つまり前回の履歴データが存在していない場合には、暗号通信のタイムアウト猶予時間を
暗号通信のタイムアウト猶予時間=今回の平文接続確立時間×3(s)
に設定する(S709)。その理由は、前回の履歴データが存在しないため、S705〜S708で行われたような評価ができないため、これらの間の中間的な猶予時間を設定したものである。
暗号通信のタイムアウト猶予時間=今回の平文接続確立時間×3(s)
に設定する(S709)。その理由は、前回の履歴データが存在しないため、S705〜S708で行われたような評価ができないため、これらの間の中間的な猶予時間を設定したものである。
暗号通信のタイムアウト猶予時間の設定処理を具体的に説明すると以下の通りである。すなわち、サーバIPが(202.221.115.15)への接続要求を行い、今回の平文通信の接続確立時間が0.5(s)であったとする。このとき、接続制御部22は、図2に示されるテーブルを参照し、当該サーバIPの過去の履歴データとして、(接続確立に要した時間、暗号通信の確立可否)=(0.3,可)のデータを取得する。従って、S701で「あり」と判定され、S702で「可」と判定され、次に、S703で今回の平文通信の接続確立に要した時間(0.5s)と、前回の接続確立に要した時間(0.3s)とを比較する。(今回の平文通信の接続確立に要した時間)>(前回の接続確立に要した時間)であるため、S705で暗号通信のタイムアウト猶予時間として、
暗号通信のタイムアウト猶予時間=0.5×2(s)=1.0(s)
が設定される。
暗号通信のタイムアウト猶予時間=0.5×2(s)=1.0(s)
が設定される。
また、サーバIPが(118.14.118.80)への接続要求を行い、今回の平文通信の接続確立時間が0.2(s)であったとする。このとき、接続制御部22は、図2に示されるテーブルを参照し、当該サーバIPの過去の履歴データとして、(接続確立に要した時間、暗号通信の確立可否)=(0.2,不可)のデータを取得する。従って、S701で「あり」と判定され、S702で「不可」と判定され、次に、S704で今回の平文通信の接続確立に要した時間(0.2s)と、前回の接続確立に要した時間(0.2s)とを比較する。(今回の平文通信の接続確立に要した時間)≦(前回の接続確立に要した時間)であるため、S708で暗号通信のタイムアウト猶予時間として、
暗号通信のタイムアウト猶予時間=0.2×4(s)=0.8(s)
が設定される。
暗号通信のタイムアウト猶予時間=0.2×4(s)=0.8(s)
が設定される。
さらに、サーバIPが(192.168.0.2)への接続要求を行い、今回の平文通信の接続確立時間が0.7(s)であったとする。このとき、接続制御部22は、図2に示されるテーブルを参照しても当該サーバIPに該当する履歴データが存在しないため、S701で「なし」と判定され、S709で暗号通信のタイムアウト猶予時間として、
暗号通信のタイムアウト猶予時間=0.7×3=2.1(s)
が設定される。
暗号通信のタイムアウト猶予時間=0.7×3=2.1(s)
が設定される。
以上のようにして、今回の平文通信の接続確立に要した時間、前回の接続確立に要した時間、及び前回の暗号通信接続確立の可否を用いて適応的に暗号通信のタイムアウト猶予時間を設定した後、図3のS8にてサーバ14からの暗号通信の接続確立要求に対する応答を受信し、この応答を上記のようにして設定した暗号通信のタイムアウト猶予時間内に受信したか否かを判定する。タイムアウト猶予時間内に受信した場合には、平文通信の接続を破棄し、暗号通信の接続を確立する。タイムアウト猶予時間を超えて受信した場合には、平文接続をそのまま維持する。
タイムアウト猶予時間が固定である場合、たとえ暗号通信の接続が可能な状況であったとしても、一律に平文通信の接続を確立させてしまうところ、本実施形態では、過去の履歴データに応じて増減調整し、例えば通信経路に遅延が生じている場合にはこれに応じてタイムアウト猶予時間を増大調整するので、暗号通信の接続確立の可能性を増大せしめることができる。また、今回の接続確立に要した時間と、前回の接続確立に要した時間のうちの長い方を基準としてタイムアウト猶予時間を増大調整するので、通信回線の遅延を考慮して暗号通信の接続確立の可能性を増大せしめることができる。この意味において、本実施形態では通信の秘匿性を向上させ得る。
また、過去の履歴データにより前回の通信時にも暗号通信の接続が可であった場合には、前回の通信時にも暗号通信の接続が不可であった場合に比べてタイムアウト猶予時間を減少調整するので、無駄に暗号通信の接続確立を待機する必要がない。
本実施形態では、クライアント10が接続制御部22及び接続結果記憶部24を備えており、クライアント10が情報処理装置として機能しているが、必ずしもクライアント10が備える必要はなく、ゲートウェイ機器がこれらの機能を備えてもよい。
図5は、他の実施形態のシステム構成図である。複数のクライアント10a,10b,10cにゲートウェイ(ゲートウェイコンピュータ)13が接続されており、ゲートウェイ13が接続制御部22、接続結果記憶部24、及び通信部26を備える。接続制御部22及び接続結果記憶部24の処理は、図3、図4に示す処理と基本的に同様である。ゲートウェイ13が情報処理装置として機能する。
このようなシステム構成によれば、各クライアント10a,10b,10cに接続制御部22及び接続結果記憶部24の機能を組み込む必要がなく、ゲートウェイ13配下の任意のクライアントが当該技術を享受し得る。また、複数のクライアント間で接続結果記憶部24のデータを共有し得る。
本実施形態では、接続結果記憶部24に記憶された履歴データを用いて暗号通信のタイムアウト猶予期間を可変設定しているが、サーバ14との接続性はクライアントーサーバ間の回線に依存する。従って、接続制御部22は、クライアント10の回線が変更されたことを検出し、回線の変更を検出した場合に接続結果記憶部24の内容をクリアし、改めて変更後の回線にて接続結果を順次記憶してもよい。接続結果をクリアすることで、クライアントの回線の状況変化に応じて暗号通信のタイムアウト猶予時間を適応的に設定し得る。回線変更を検出するためのパラメータとしては、
IPアドレスのアドレス体系
デフォルトゲートウェイのMACアドレス
ISP(インターネットサービスプロバイダ/アクセスプロバイダ)情報
等である。
IPアドレスのアドレス体系
デフォルトゲートウェイのMACアドレス
ISP(インターネットサービスプロバイダ/アクセスプロバイダ)情報
等である。
以上、本発明の実施形態について説明したが、本発明はこれらの実施形態に限定されるものではなく、種々の変形が可能である。
例えば、本実施形態では、暗号通信のタイムアウト猶予時間を、
タイムアウト猶予時間=(遅延を考慮した時間)×(猶予時間)
とし、遅延を考慮した時間として、今回の平文通信の接続確立に要した時間と前回の接続確立に要した時間のうちの長い方とし、猶予時間として、相対的に長い時間(×4)、相対的に短い時間(×2)、その中間の時間(×3)としているが、これらに限定されるものではなく、猶予時間として、相対的に長い時間(×3)、相対的に短い時間(×1)、その中間の時間(×2)としてもよく、m1,m2、m3を正の実数とし、m1>m2>m3として、相対的に長い時間(×m1)、相対的に短い時間(×m3)、その中間の時間(×m2)としてもよい。また、タイムアウト猶予時間を、
タイムアウト猶予時間=(遅延を考慮した時間)+(猶予時間)
として設定してもよい。タイムアウト猶予時間は、一般に、関数をFとして、
タイムアウト猶予時間=F(遅延を考慮した時間,猶予時間)
と表現し得る。
タイムアウト猶予時間=(遅延を考慮した時間)×(猶予時間)
とし、遅延を考慮した時間として、今回の平文通信の接続確立に要した時間と前回の接続確立に要した時間のうちの長い方とし、猶予時間として、相対的に長い時間(×4)、相対的に短い時間(×2)、その中間の時間(×3)としているが、これらに限定されるものではなく、猶予時間として、相対的に長い時間(×3)、相対的に短い時間(×1)、その中間の時間(×2)としてもよく、m1,m2、m3を正の実数とし、m1>m2>m3として、相対的に長い時間(×m1)、相対的に短い時間(×m3)、その中間の時間(×m2)としてもよい。また、タイムアウト猶予時間を、
タイムアウト猶予時間=(遅延を考慮した時間)+(猶予時間)
として設定してもよい。タイムアウト猶予時間は、一般に、関数をFとして、
タイムアウト猶予時間=F(遅延を考慮した時間,猶予時間)
と表現し得る。
また、遅延を考慮した時間は、今回の平文通信の接続確立に要した時間と前回の接続確立に要した時間に応じて決定され、猶予時間は前回暗号通信の接続確立の可/不可に応じて決定されるから、一般に、関数をGとして、
タイムアウト猶予時間=G(今回の平文通信の接続確立に要した時間,前回の接続確立に要した時間,前回の暗号通信の接続確立の可否)
と表現し得る。
タイムアウト猶予時間=G(今回の平文通信の接続確立に要した時間,前回の接続確立に要した時間,前回の暗号通信の接続確立の可否)
と表現し得る。
また、本実施形態では、図3において、S2で暗号通信の接続要求を送信し、その直後にS3で平文通信の接続要求を送信しているが、S2で平文通信の接続要求を送信し、その直後にS3で暗号通信の接続要求を送信してもよく、暗号通信と平文通信の接続要求を相前後して送信すればよい。勿論、S2及びS3を同時に行ってもよい。要するに、暗号通信と平文通信の接続要求を並行して試行すればよい。
さらに、図1の構成において、接続結果記憶部24をクライアント10の外部に設置してもよく、複数のクライアント10で外部の接続結果記憶部24を共有してもよい。
10,10a〜10c クライアント、12 インターネット、14 サーバ、20 アプリケーション、22 接続制御部、24 接続結果記憶部、26 通信部。
Claims (7)
- 平文通信の接続要求に応じ、暗号通信の接続要求と平文通信の接続要求を並行してサーバに送信する送信部と、
サーバからの応答に応じ、暗号通信の接続あるいは平文通信の接続を確立し、サーバに関連付けて、接続確立に要した時間及び暗号通信の接続確立の可否を記憶部に記憶し、記憶部に記憶された過去の接続確立に要した時間及び過去の暗号通信の接続確立の可否を用いて暗号通信のタイムアウト猶予時間を可変設定する制御部と、
を備える情報処理装置。 - 制御部は、サーバからの応答に応じ、平文通信の接続を確立した場合に、サーバに関連付けて、平文通信の接続確立に要した時間及び暗号通信の確立不可を記憶部に記憶し、記憶部に記憶された過去の接続確立に要した時間と今回の平文通信の接続確立に要した時間及び過去の暗号通信の接続確立の可否を用いて暗号通信のタイムアウト猶予時間を可変設定する
請求項1に記載の情報処理装置。 - 制御部は、サーバからの応答に応じ、平文通信の接続を確立した場合に、過去の接続確立に要した時間と今回の平文通信の接続確立に要した時間のいずれか長い方の時間を用いて暗号通信のタイムアウト猶予時間を可変設定する
請求項2に記載の情報処理装置。 - 制御部は、サーバからの応答に応じ、平文通信の接続を確立した場合に、過去の暗号通信の接続確立が可のときには過去の暗号通信の接続確立が不可のときと比べて相対的に短い暗号通信のタイムアウト猶予時間を可変設定する
請求項2に記載の情報処理装置。 - 制御部は、サーバからの応答に応じ、平文通信の接続を確立した場合であって、記憶部に記憶された過去の接続確立に要した時間及び過去の暗号通信の接続確立の可否が存在しないときに、今回の平文通信の接続確立に要した時間を用いて暗号通信のタイムアウト猶予時間を可変設定する
請求項1に記載の情報処理装置。 - 制御部は、サーバとの回線が変更された場合に、記憶部に記憶された過去の接続確立に要した時間及び過去の暗号通信の接続確立の可否をクリアする
請求項1〜5のいずれかに記載の情報処理装置。 - コンピュータに、
平文通信の接続要求に応じ、暗号通信の接続要求と平文通信の接続要求を並行してサーバに送信するステップと、
サーバからの応答に応じ、暗号通信の接続あるいは平文通信の接続を確立し、サーバに関連付けて、接続確立に要した時間及び暗号通信の接続確立の可否を記憶部に記憶し、記憶部に記憶された過去の接続確立に要した時間及び過去の暗号通信の接続確立の可否を用いて暗号通信のタイムアウト猶予時間を可変設定するステップ
を実行させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016114475A JP6668960B2 (ja) | 2016-06-08 | 2016-06-08 | 情報処理装置及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016114475A JP6668960B2 (ja) | 2016-06-08 | 2016-06-08 | 情報処理装置及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017220818A JP2017220818A (ja) | 2017-12-14 |
| JP6668960B2 true JP6668960B2 (ja) | 2020-03-18 |
Family
ID=60656293
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016114475A Active JP6668960B2 (ja) | 2016-06-08 | 2016-06-08 | 情報処理装置及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6668960B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020057170A (ja) | 2018-10-01 | 2020-04-09 | 富士ゼロックス株式会社 | 情報処理装置およびプログラム |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0413373A (ja) * | 1990-05-07 | 1992-01-17 | Fuji Xerox Co Ltd | ファクシミリ装置 |
| JP2005301913A (ja) * | 2004-04-15 | 2005-10-27 | Sony Corp | 通信システム及び情報処理端末、並びに通信方法 |
| JP2006115379A (ja) * | 2004-10-18 | 2006-04-27 | Ricoh Co Ltd | 暗号通信装置 |
| JP2008299617A (ja) * | 2007-05-31 | 2008-12-11 | Toshiba Corp | 情報処理装置、および情報処理システム |
-
2016
- 2016-06-08 JP JP2016114475A patent/JP6668960B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017220818A (ja) | 2017-12-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107210929B (zh) | 互联网协议安全隧道的负载均衡 | |
| US11140162B2 (en) | Response method and system in virtual network computing authentication, and proxy server | |
| US10893031B2 (en) | Dynamically serving digital certificates based on secure session properties | |
| US9350829B2 (en) | Transparent bridging of transmission control protocol (TCP) connections | |
| US7921282B1 (en) | Using SYN-ACK cookies within a TCP/IP protocol | |
| EP1622334B1 (en) | Server device, method for controlling a server device, and method for establishing a connection using the server device | |
| US8811397B2 (en) | System and method for data communication between a user terminal and a gateway via a network node | |
| US9491261B1 (en) | Remote messaging protocol | |
| JP2017529793A5 (ja) | ||
| US9338192B1 (en) | Connection management using connection request transfer protocol | |
| US9571286B2 (en) | Authenticating the identity of initiators of TCP connections | |
| EP2741463B1 (en) | Data packet transmission method | |
| US8583831B2 (en) | Thin client discovery | |
| CN106688218B (zh) | 用于控制分组传输网络中的握手的方法和装置 | |
| US11323529B2 (en) | TCP fast open hardware support in proxy devices | |
| US10348687B2 (en) | Method and apparatus for using software defined networking and network function virtualization to secure residential networks | |
| US11777915B2 (en) | Adaptive control of secure sockets layer proxy | |
| US20230275924A1 (en) | Network security protection method and protection device | |
| JP6963411B2 (ja) | 通信装置、通信方法、およびプログラム | |
| US20200084029A1 (en) | Slave secure sockets layer proxy system | |
| JP6668960B2 (ja) | 情報処理装置及びプログラム | |
| CN110636083B (zh) | 网络地址复用方法、装置、网络设备及存储介质 | |
| US20160014239A1 (en) | Communication apparatus and control method of communication apparatus | |
| JP5618745B2 (ja) | 通信装置、通信方法、及びプログラム | |
| TWI466500B (zh) | 封包轉發設備及其平衡負載的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190423 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200121 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200128 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200210 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6668960 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |