JP2008252456A - 通信装置、及び通信方法 - Google Patents
通信装置、及び通信方法 Download PDFInfo
- Publication number
- JP2008252456A JP2008252456A JP2007090404A JP2007090404A JP2008252456A JP 2008252456 A JP2008252456 A JP 2008252456A JP 2007090404 A JP2007090404 A JP 2007090404A JP 2007090404 A JP2007090404 A JP 2007090404A JP 2008252456 A JP2008252456 A JP 2008252456A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- path
- communication path
- session
- partner
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】暗号化されたデータが解読される可能性をより一層低減し、安全性の高い通信を実現することができる通信装置を提供する。
【解決手段】本発明に係る通信装置は、セキュリティレベルの異なる複数の通信経路の中から、第1の通信経路を選択して通信相手方との間に第1の通信経路を確立する第1の経路確立部と、複数の経路の中から、第1の通信経路よりもセキュリティレベルの高い第2の通信経路を選択して通信相手方との間に第2の通信経路を確立する第2の経路確立部と、第1の通信を行うときは第1の通信経路を介した通信を行い、第1の通信よりも高いセキュリティレベルが要求される第2の通信を行うときは、第2の通信経路を介した通信を行う通信制御部と、を備え、通信制御部は、第1の通信のセッションと第2の通信のセッションとで、同じセッション識別情報を用いる、ことを特徴とする。
【選択図】 図3
【解決手段】本発明に係る通信装置は、セキュリティレベルの異なる複数の通信経路の中から、第1の通信経路を選択して通信相手方との間に第1の通信経路を確立する第1の経路確立部と、複数の経路の中から、第1の通信経路よりもセキュリティレベルの高い第2の通信経路を選択して通信相手方との間に第2の通信経路を確立する第2の経路確立部と、第1の通信を行うときは第1の通信経路を介した通信を行い、第1の通信よりも高いセキュリティレベルが要求される第2の通信を行うときは、第2の通信経路を介した通信を行う通信制御部と、を備え、通信制御部は、第1の通信のセッションと第2の通信のセッションとで、同じセッション識別情報を用いる、ことを特徴とする。
【選択図】 図3
Description
本発明は、通信装置、及び通信方法に係り、特に、安全性の高い通信を行う通信装置、及び通信方法に関する。
従来から、第三者による盗聴を防止し安全性の高い通信を行うために、通信情報を暗号鍵で暗号化して通信する方法が広く行われている。暗号化通信の安全性を高めるためには、複雑な暗号鍵や暗号化システムが必要となってくる。しかしながら、送信側や受信側で行われる暗号化や復号化に係る処理の負担も暗号鍵や暗号化システムの複雑さに伴って大きなものとなる。
そこで、比較的簡素な暗号鍵で暗号化しても高い安全性が確保できるとする技術が、例えば特許文献1に開示されている。特許文献1が開示する技術は、暗号化したデータを1つ1つでは意味のなさない程度まで分解して、論理的或いは物理的に異なる経路で送信し、受信側で結合及び復号することによって、伝送途中の覗き見から意味あるデータを守るというものである。
特開平11−103290号公報
安全性の高い通信を可能とする技術の1つとして、SSL(Secure Socket Layer)と呼ばれる技術が普及している。SSLは、端末装置にインストールされたウェブブラウザと通信相手先であるウェブサーバとの間で安全性の高い通信を行うために開発された技術である。
SSLは、公開鍵方式、共通鍵方式、デジタル署名等を組み合わせた通信方式であり、盗聴、改竄、なりすまし等を防止できる。このため、個人情報やクレジットカード番号等の高い秘匿性が要求されるデータをウェブブラウザからウェブサーバに送信する場合等で多く用いられている。
他方、近時、SSLで暗号化されたデータを解読することが可能なコンテンツフィルタリング機能を搭載したソフトウェアが開発され流通し始めている。この種のソフトウェアとして、例えば、“WebWasher(登録商標)SSL scanner”と呼ばれる製品がある。このソフトウェアは、例えば企業内ネットワークと外部インターネットとの間に配置されるゲートウェイとして働き、その機能の1つとしてSSLで暗号化されたデータの中身を検閲することが可能となっている。
このソフトウェア(以下、便宜上、SSL検閲ソフトウェアという)は、企業内から外部に企業秘密が流出することの防止、不適切なウェブサイトへのアクセスの防止、著作権の侵害となるようなデータの配信の防止、コンテンツに含まれるウィルスやスパイウェアの検出等を主な目的とするものである。
従来、SSLで暗号化されたデータは企業内ではチェックすることができなかったため、企業にとって不適切なデータの通信を制限することができなかったが、SSL検閲ソフトウェアにより、SSLで暗号化されたデータであってもその内容を解読し、不適切なデータを除去することが可能となる。
しかしながら、SSL検閲ソフトウェアが存在するということは、正しい手続を踏んだ適正なコンテンツであっても中身を検閲される虞があるということを意味している。
インターネットを介して行われるネットワーク通信では、中継地点で通信ログを取得されて中身を覗き見され、或いは、セッションIDを不正に取得され別のユーザによって成りすましされるといった危険性があった。これらの不正行為を排除し安全な通信を確保するため、暗号化技術やトンネル技術等の開発が進められ、ある区間に限定すればデータの安全性が保証できるようになってきていている。
しかしながら、現状の技術では、広域なネットワークにおける端末から端末までの全経路にわたる安全性が常に確保できるわけではない。SSLやIPsec(IP security)と呼ばれる暗号化技術を用いたとしても、経路の途中にプロキシサーバ等が介在した場合、このプロキシサーバ等に上述したSSL検閲ソフトウェア等の暗号解読技術が適用される可能性がある。その結果、一旦その暗号化が解かれ、プロキシサーバ等で通信ログの取得が行われてデータを解析される虞がある。
本発明は、上記事情に鑑みてなされたもので、暗号化されたデータが解読される可能性をより一層低減し、安全性の高い通信を実現することができる通信装置、及び通信方法を提供することを目的とする。
上記課題を解決するため、本発明に係る通信装置は、請求項1に記載したように、セキュリティレベルの異なる複数の通信経路の中から、第1の通信経路を選択して通信相手方との間に第1の通信経路を確立する第1の経路確立部と、前記複数の経路の中から、前記第1の通信経路よりもセキュリティレベルの高い第2の通信経路を選択して前記通信相手方との間に第2の通信経路を確立する第2の経路確立部と、第1の通信を行うときは前記第1の通信経路を介した通信を行い、前記第1の通信よりも高いセキュリティレベルが要求される第2の通信を行うときは、前記第2の通信経路を介した通信を行う通信制御部と、を備え、前記通信制御部は、前記第1の通信のセッションと前記第2の通信のセッションとで、同じセッション識別情報を用いる、ことを特徴とする。
また、上記課題を解決するため、本発明に係る通信方法は、請求項10に記載したように、(a)セキュリティレベルの異なる複数の通信経路の中から、第1の通信経路を選択して通信相手方との間に第1の通信経路を確立し、(b)前記複数の経路の中から、前記第1の通信経路よりもセキュリティレベルの高い第2の通信経路を選択して前記通信相手方との間に第2の通信経路を確立し、(c)第1の通信を行うときは前記第1の通信経路を介した通信を行い、前記第1の通信よりも高いセキュリティレベルが要求される第2の通信を行うときは、前記第2の通信経路を介した通信を行う、ステップを備え、ステップ(c)では、前記第1の通信のセッションと前記第2の通信のセッションとで、同じセッション識別情報を用いる、ことを特徴とする。
本発明に係る通信装置、及び通信方法によれば、暗号化されたデータが解読される可能性をより一層低減し、安全性の高い通信を実現することができる。
本発明に係る通信装置、及び通信方法の実施形態について、添付図面を参照して説明する。
(1)通信装置の運用環境、及びその構成
図1は、本発明の一実施形態に係る通信装置1が用いられる運用システム100の一例を示す図である。この運用システム100は、クライアント端末として機能する通信装置1、通信装置1の通信相手方であるウェブサーバ2、通信装置1と同じ構内に設置されるプロキシサーバ4等を備えて構成されている。
図1は、本発明の一実施形態に係る通信装置1が用いられる運用システム100の一例を示す図である。この運用システム100は、クライアント端末として機能する通信装置1、通信装置1の通信相手方であるウェブサーバ2、通信装置1と同じ構内に設置されるプロキシサーバ4等を備えて構成されている。
通信装置1は、例えばノート型パーソナルコンピュータである。通信装置1は、ユーザが持ち運びことも可能であり、例えば図1に示したように外出先企業のローカルネットワーク5に接続してインターネット(第1の通信経路7)にアクセスすることができる。また、公共の無線LAN等を利用してインターネットに接続することもできる。
図1に示した運用例は、ユーザが外出先に通信装置1を持ち込み、外出先で必要な情報を得るために自社にあるウェブサーバ2にログインして機密情報を閲覧しようとする例である。
図1に示したように、企業等のローカルネットワーク5とインターネットとの間にはプロキシサーバ4が設けられることが多い。
プロキシサーバ4は、ローカルネットワーク5内の端末のローカルアドレスとインターネット上のグローバルアドレスの変換等を行っている。ウェブサーバ2からローカルネットワーク5内の通信装置1にアクセスする場合はプロキシサーバ4のIPアドレスに対してアクセスが行われ、内部の通信装置1に直接はアクセスできない。つまり、プロキシサーバ4は通信装置1の代理装置として機能する。プロキシサーバ4の存在によって通信装置1のIPアドレスがそのまま外部に出ることが無いため、通信装置1のセキュリティは向上する。
また、プロキシサーバ4は一般に送受信されるアプリケーションデータの中身を見る機能を有している。このため、コンテンツフィルタリング機能を実装することが可能である。例えば、ウェブサーバ2から送られてくるウェブページのデータをモニタし、特定の文字列を表示させないようにするといったことも可能である。
さらに、図1に示しプロキシサーバ4には、前述したSSL検閲ソフトウェアも実装されている。従来は高度に暗号化されたSSL通信の中身は解読不能であったが、SSL検閲ソフトウェアの実装によって暗号化を復号し、その内容を検査することができる。
プロキシサーバ4のこれらの機能は必ずしも悪用されるわけではない。しかしながら、プロキシサーバ4でログの取得などが行われると、最悪の場合にはその通信内容を解析される虞も生じる。
他方、SSLに対応していないプロトコルを使用したアプリケーションソフトウェアとして、SoftEtherやhttptunnelと呼ばれるソフトウェアがある。これらのソフトウェアを用いることによってプロキシサーバ4やファイアウォール(図示せず)を透過させることもできる。SoftEtherやhttptunnelは、トランスポート層以上での転送を行うものであり、プロキシサーバ4内にトンネル経路を形成し、本来許可していないプロトコルでも通信することができる。しかしながら、この場合にも、プロキシサーバ4の機能によっては通信内容(コンテンツ内容、宛先、発信IPアドレス等)を解析することが可能である。また、SoftEtherやhttptunnelは運用方法によってはセキュリティホールになりやすく、必ずしも安全とは言えない。
図1では、外出先企業にいるユーザが、自社にあるウェブサーバ2から機密情報を得ようとしたとき、ウェブサーバ2からログインID(username)やパスワード(password)の入力をユーザに要求してきている状況を示している。ログインIDやパスワードは、当然他人に知られてはならない機密情報である。
そこで、このような機密情報の通信を行う場合は、ウェブサーバ2はSSLによる通信を要求する。クライアント(通信装置1)はそれに応え、通信装置1とウェブサーバ2の間でSSLの通信経路を構築する。
今日、公共の場に提供されているような公衆ネットワークを使用する場合や、社内ネットワークが一括管理されている外出先企業内のローカルネットワークを使用する場合には、プロキシサーバ4を経由しなければ外部のインターネットに接続できないことが多い。
しかしながら、通信経路上にプロキシサーバ4が存在する場合には、上述したようにたとえSSLによる通信を行ったとしてもその中身が検閲されないという保証はなくなってきている。
一方、認証時のログインIDやパスワードの他、クレジットカード番号、開示範囲に指定のある秘匿性の高いファイル等は、通信途中でログをとられて欲しくない機密性の高いデータである。
そこで、本実施形態に係る通信装置1では、これらの機密性の高いデータの通信を行う場合には、プロキシサーバ4を経由しない安全性のより高い第2の通信経路6を構築するものとしている。第2の通信経路6は、例えば携帯電話3を利用した専用回線によって、通信装置1からウェブサーバ2へ直接アクセスし、可能な限り途中のプロキシサーバの介在を排除する経路である。また、第2の通信経路6では、IPsec等の暗号化通信を行い機密性の高いデータを盗聴等から守られるようにしている。例えば、IPsecは、暗号化セキュリティ技術の1つであり、経路途中にプロキシサーバがあったとしても、それによって暗号通信を切断されることのない秘匿化技術である。
図2は、本実施形態に係る通信装置1と、その通信相手方であるウェブサーバ2との間との通信経路を簡潔に示したものである。通信装置1とウェブサーバ2とは、第1の通信経路7と第2の通信経路6の少なくとも2つの通信経路を用いて接続される。
第1の通信経路7は、セキュリティレベルが比較的低い通信(第1の通信)、例えば、ウェブサーバ2から認証を求めるウェブページそのものの送信に使用される。認証要求のウェブページ自体には、ログインIDやパスワードの入力欄はブランクであり機密性の高いデータは含まれていない。その一方、認証要求のウェブページのデータサイズは比較的大きい。そこで、第1の通信経路7としては、その途中にプロキシサーバ4が介在し安全性は必ずしも十分に保証できないものの、伝送容量の大きな経路として、例えば通常のインターネット経由の経路が選択される。
一方、第2の通信経路6は、セキュリティレベルが第1の通信に比べて高い通信(第2の通信)に用いられる。具体的には、ウェブサーバ2からの要求に応じてログインIDやパスワード等のセキュリティレベルの高いデータを送信する場合に第2の通信経路6が構築される。
第2の通信経路6は、プロキシサーバ4等が介在する可能性の低い専用回線を用い、さらにIPsec等の暗号化通信を行うことによって高いセキュリティレベルを確保している。一方、第2の通信経路6では、ログインIDやパスワード等の機密性の高いデータのみを通信するため小さな通信容量でも十分である。そこで、第2の通信経路6としては、例えばダイアルアップによる携帯電話回線を利用する。
図3は、通信装置1の構成例を示す機能ブロック図である。通信装置1は、通信制御部10、第1の経路確立部11、及び第2の経路確立部12を備えて構成されている。
第1の経路確立部11は、セキュリティレベルの異なる複数の経路の中から、第1の通信経路7を選択して、通信相手方(ウェブサーバ2)との間に第1の通信経路7を確立する。第2の経路確立部12は、前記の複数の経路の中から、第1の通信経路7よりもセキュリティレベルの高い第2の通信経路6を選択し通信相手方(ウェブサーバ2)との間に第2の通信経路6を確立する。
通信制御部10では、第1の通信経路7を介した第1の通信と、第2の通信経路6を介した第2の通信を行う。第1の通信はセキュリティレベルが比較的低い内容を通信するものであり、平文の通信でもよい。一方、第2の通信はセキュリティレベルの高い通信を行うものであり、IPsec等の暗号化セキュリティ技術を適用している。
また、通信制御部10では、第1の通信と第2の通信では、ウェブサーバ2において発行されたセッションID(セッション識別情報)を共通に利用している。通常、第1の通信経路7の発信IPアドレス(プロキシサーバ4が介在する場合は、例えばプロキシサーバ4のIPアドレス)と、第2の通信経路6の発信IPアドレス(携帯電話を接続する場合は、携帯電話に割り付けられたIPアドレス)とは異なる。ウェブサーバ2では、同じ通信装置1から送られてくるデータが異なった発信IPアドレスから送られてくることになる。そこで、第1の通信のセッションIDと第2の通信のセッションIDとを共通化し、ウェブサーバ2で第1の通信と第2の通信を統合し、同一のセッションのシーケンスとして取り扱えるようにしている。
(2)通信装置の動作(通信方法)
本実施形態に係る通信装置1の動作の詳細について、図4乃至図6を用いて説明する。
本実施形態に係る通信装置1の動作の詳細について、図4乃至図6を用いて説明する。
図4は、ログインIDやパスワード等のセキュリティの高い情報を送信するよう、ウェブサーバ2から通信装置1に対して要求するときのシーケンス図である。
通常のクライアント・サーバモデルの通信のやり取りと同じように、まず、クライアント(通信装置1)側からウェブサーバ2へのアクセスがあり、ウェブページの取得要求メッセージが送信される(ステップS701)。この時、第1の経路確立部11によって通信装置1とウェブサーバ2の間で第1の通信経路7が確立される。
次に、ウェブサーバ2から通信装置1に向けて、認証のための認証データ入力ページが送信される。また、ウェブサーバ2で発行されたセッションIDもあわせて通信装置1に送信される(ステップS702)。
通信装置1は、ウェブサーバ2から送られてきた認証データ入力ページのデータを選別し、これらの中にセキュリティレベルの高いデータの送信を求めるデータが含まれているか否かを判定する(ステップS703)。
図5は、ウェブサーバ2から送られてくる認証データ入力ページのデータの一例を示す図である。認証データ入力ページのデータはHTMLで記述されている。この例では、セキュリティレベルの高いデータとしてユーザID(username)とパスワード(password)の入力を要求しており、これらのコードを入力するタグを囲むように、<security-level=high>のタグと</security-level>のタグを明示的に記述している。
通信装置1では、このHTMLファイルの記述内容を判別し、<security-level=high>のタグと</security-level>のタグが検出された場合には、セキュリティレベルの高いデータの送信をウェブサーバ2が要求しており、そのデータがユーザID(username)とパスワード(password)であることを判定する。
セキュリティレベルの高いデータの送信をウェブサーバ2が要求している場合には、第2の通信経路6を確立する手順に進む。
なお、通信装置1のインタフェースの1つが既にウェブサーバ2との接続を完了しており、その経路がSSLによって保護されている場合には、その既存の経路が十分に高い安全性を持つ経路であるか否かを、第2の通信経路6の確立手順の前に判断するようにしても良い。この判断の方法の1つとして、通信装置1からウェブサーバ2へ至る経路上にプロキシサーバが存在するか否かを発見する方法がある。プロキシサーバの発見は、WPAD(Web Proxy Auto Discovery)と呼ばれるプロトコルを用いることで可能である。WPADは、経路上のプロキシサーバを発見し、その情報を提供するプロトコルである。WPADによって発見されたプロキシサーバが、外部へのアクセスのためのゲートウェイである場合には、その経路は完全には安全では無いと判断し、第2の通信経路6を確立する必要があると判断する。この判断は、例えば通信制御部10が行う。
第2の通信経路6を確立する必要があると判断されると、第2の経路確立部12が、第2の通信経路6の確立を行う(ステップS704)。第2の通信経路6は、例えば携帯電話3のダイアルアップ接続による専用回線によってウェブサーバ2にアクセスできる経路であり、途中にプロキシサーバが介在しない安全な経路である。
さらに、第2の通信経路6では、IPsec等の暗号化セキュリティ技術を適用することによって、通信装置1からウェブサーバ2までの全経路においてIPsec−VPNの適用が可能となり、非常にセキュリティレベルの高い経路が実現できる。
通信装置1では、第1の通信経路7を確立したときにウェブサーバ2から受信したセッションIDを、第2の通信経路6の確立の際にウェブサーバ2に送信する。
ウェブサーバ2では、第1の通信経路7のIPアドレスと、第2の通信経路6のIPアドレスの関連付けを行う(ステップS705)。
具体的には、第1の通信経路7の確立時に発行したセッションIDと、第2の通信経路6から送信されてきたセッションIDの異同を判断する。同じセッションIDの場合には、第1の通信経路7の発信元のIPアドレスと第2の通信経路6の発信元のIPアドレスとが異なったとしても、同じ通信装置1から送られてきた一連のセッションのデータであると判断し、以降は同一のセッションのデータとして取り扱う。
その後、ウェブサーバ2は、安全な経路である第2の通信経路6の確立を伝えるメッセージを通信装置1に送信する(ステップS706)。
通信装置1では、IPsecを利用するためにユーザIDとパスワードを暗号化する(ステップS707)。その後、IPsecを利用して第2の通信経路6からこれらをウェブサーバ2に送信する(ステップS708)。
ウェブサーバ2では、暗号化されたデータを受信し、そのセッションIDから、先に認証データ入力ページを送った同じ相手(通信装置1)からのデータであると判断する。そして暗号化されたユーザIDとパスワードを復号して認証処理を行う(ステップS709)。
ウェブサーバ2にて認証が確認されると、その旨を第2の通信経路6を介して通信装置1に伝える(ステップS710)。
以降の通信では、クレジットカード番号等のセキュリティレベルの高いデータをやり取りする場合は、第2の通信経路6を利用する。一方、他人に見られても影響のないウェブページのフレームやファイル等は第1の通信経路7を利用して送受信を行う(ステップS711)。
第1の通信経路7と第2の通信経路6とで共有するセッションIDは、第1の通信経路7の通信によって生成消滅が決定される。この場合、第1の通信経路7がセッションを維持している間は第2の通信経路6でもセッションを維持しておく必要がある。そこで、第2の通信経路6では、通信装置1とウェブサーバ2の間でキープアライブメッセージを定期的にやり取りする(ステップS712)。
図6は、図4とは逆に、セキュリティの高い情報を送信するよう、通信装置1からウェブサーバ2に対して要求するときのシーケンス図である。
例えば、忘れてしまったパスワードをウェブサーバ2から通信装置1に送るように、ウェブサーバ2に対して要求する場合等である。通常はメール等によって通信装置1へのデータの開示が行われが、メールアドレスを失効した場合やメールが受信できない状況にある場合には通信装置1のユーザはパスワードを知ることができない。
このような場合、本実施形態に係る通信方法では、パスワードのようなセキュリティレベルの高いデータを送受信するための安全な通信経路を確立し、この安全な通信経路を利用して通信できるようにしている。
まず、通信装置1(クライアント)は、ウェブページを提供するウェブサーバ2にアクセスし、パスワードの送信を要求する(ステップS801)。この時利用する経路は必ずしも安全性の高い経路である必要は無い。従って、第1の経路確立部11によって確立する第1の通信経路7を利用する。
通信装置1からアクセスを受けたウェブサーバ2は、例えば、ユーザIDとユーザ本人にしかわからない質問等をして、アクセスしてきたものがユーザ本人であるか否かの確認を行う。ユーザ本人であると推定される場合には、既に安全な経路が確立されているか否かを判定する(ステップS802)。
安全な経路が既に確立されている場合にはその経路を利用し、もしプロキシサーバ4を経由するような必ずしも安全ではない経路(例えば、第1の通信経路7)しか確立されていない場合には、安全な経路の確立が必要である旨を通信装置1に伝える(ステップS803)。
通信装置1では、携帯電話のダイアルアップ等によって専用回線に接続し、危惧の対象となっているプロキシサーバ4を物理的に迂回する安全な経路(第2の通信経路6)を確立する(ステップS804)。なお、このとき、元々接続していた経路(第1の通信経路7)を介してウェブサーバ2から受け取っていたセッションIDを、第2の通信経路6の確立要求と供にウェブサーバ2に送る。
ウェブサーバ2は、このセッションIDをキーとして、第1の通信経路7の発信元IPアドレスと第2の通信経路6のIPアドレスの関連付けを行い、通信装置1から送られてくるデータを1つのセッションとして取り扱う(ステップS805)。その後、通信装置1に対して安全な経路(第2の通信経路6)が確立されたことを通知する(ステップS806)。
ウェブサーバ2では、通信装置1にデータを送信する場合、送信しようとするデータがセキュリティの高いデータか否かを判定して経路を選択する。
本例では送信しようとするデータはパスワードであり、高いセキュリティが必要である。そこで、ウェブサーバ2はセキュリティレベルの高い第2の通信経路6を選択する。さらに、IPsecを利用するために、パスワードを暗号化する(ステップS807)。
その後、暗号化されたパスワードを、IPsec−VPNで保護された第2の通信経路6を介して通信装置1に送信する(ステップS808)。
一方、ウェブサーバ2は、パスワードが表示されるべき欄がブランクのウェブページも通信装置1に対して送信する(ステップS809)。このウェブページにはセキュリティレベルの高いデータは含まれていないため、安全性は必ずしも保証されないものの通信容量が大きな第1の通信経路7を利用してウェブページは送信される。
通信装置1では、第1の通信経路7を介して送られてきたウェブページと、第2の通信経路6を介して送られてきたパスワードを統合し、ユーザに対して1つのコンテンツとして表現して提供する(ステップS810)。
ユーザに対しては、あたかも単一のウェブページを単一の経路から受信している操作性を感じさせながら、同時に高いセキュリティを実現できる。
ここまでは、第1の通信経路7と第2の通信経路6は夫々1つずつの経路として説明してきたが、各経路を複数の経路で構成しても良い。この場合、セキュリティレベルの異なる複数(3以上)の経路で通信装置1とウェブサーバ2とを接続することになるが、通信するデータのセキュリティレベルに応じて複数の経路の中から適した経路を選択するようにすれば良い。
以上説明してきたように、本実施形態に係る通信装置1、及び通信方法によれば、暗号化されたデータが解読される可能性をより一層低減し、安全性の高い通信を実現することができる。
なお、本発明は上記の実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせても良い。
1 通信装置
6 第2の通信経路
7 第1の通信経路
10 通信制御部
11 第1の経路確立部
12 第2の経路確立部
6 第2の通信経路
7 第1の通信経路
10 通信制御部
11 第1の経路確立部
12 第2の経路確立部
Claims (18)
- セキュリティレベルの異なる複数の通信経路の中から、第1の通信経路を選択して通信相手方との間に前記第1の通信経路を確立する第1の経路確立部と、
前記複数の経路の中から、前記第1の通信経路よりもセキュリティレベルの高い第2の通信経路を選択して前記通信相手方との間に前記第2の通信経路を確立する第2の経路確立部と、
第1の通信を行うときは前記第1の通信経路を介した通信を行い、前記第1の通信よりも高いセキュリティレベルが要求される第2の通信を行うときは、前記第2の通信経路を介した通信を行う通信制御部と、
を備え、
前記通信制御部は、前記第1の通信のセッションと前記第2の通信のセッションとで、同じセッション識別情報を用いる、
ことを特徴とする通信装置。 - 前記第2の通信経路は専用回線に接続される経路であり、前記第2の通信は、暗号化セキュリティ技術によって保護される通信である、
ことを特徴とする請求項1に記載の通信装置。 - 前記暗号化セキュリティ技術は、経路途中のプロキシサーバによって暗号通信を切断されることのない秘匿化方式を備える技術である、
ことを特徴とする請求項2に記載の通信装置。 - 前記専用回線は、携帯電話回線を含む専用回線である、
ことを特徴とする請求項2に記載の通信装置。 - 前記セッション識別情報は、前記第1の通信経路が確立したときに前記通信相手方が発行するセッション識別番号である、
ことを特徴とする請求項1に記載の通信装置。 - 前記第1の通信のセッションと前記第2の通信のセッションは、各々のセッション識別情報が同じ場合、前記通信相手方において同一のセッションのシーケンスとして取り扱われるセッションである、
ことを特徴とする請求項5に記載の通信装置。 - 前記通信制御部は、
前記通信相手方から送られてくる前記第1の通信の内容を判別し、
前記第2の経路確立部は、
前記第1の通信の内容が、前記通信相手方に対してセキュリティの高いデータを送信するように要求している場合に、前記第2の通信経路を確立する、
ことを特徴とする請求項1に記載の通信装置。 - 前記通信制御部は、
前記通信相手方からセキュリティの高いデータを受信しようとする場合には、その旨を前記第1の通信を用いて前記通信相手方に通知し、
前記第2の経路確立部は、
前記通信相手方から前記第2の通信経路を確立するように要求された場合に、前記第2の通信経路を確立する、
ことを特徴とする請求項1に記載の通信装置。 - 前記通信制御部は、
前記第1の通信経路上にプロキシサーバが存在するか否かを検出し、
前記第1の通信経路上にプロキシサーバが存在する場合において、前記第2の通信を行うときは、前記第2の通信経路を介した通信を行う、
ことを特徴とする請求項1に記載の通信装置。 - (a)セキュリティレベルの異なる複数の通信経路の中から、第1の通信経路を選択して通信相手方との間に前記第1の通信経路を確立し、
(b)前記複数の経路の中から、前記第1の通信経路よりもセキュリティレベルの高い第2の通信経路を選択して前記通信相手方との間に前記第2の通信経路を確立し、
(c)第1の通信を行うときは前記第1の通信経路を介した通信を行い、前記第1の通信よりも高いセキュリティレベルが要求される第2の通信を行うときは、前記第2の通信経路を介した通信を行う、
ステップを備え、
ステップ(c)では、前記第1の通信のセッションと前記第2の通信のセッションとで、同じセッション識別情報を用いる、
ことを特徴とする通信方法。 - 前記第2の通信経路は専用回線に接続される経路であり、前記第2の通信は、暗号化セキュリティ技術によって保護される通信である、
ことを特徴とする請求項10に記載の通信方法。 - 前記暗号化セキュリティ技術は、経路途中のプロキシサーバによって暗号通信を切断されることのない秘匿化方式を備える技術である、
ことを特徴とする請求項11に記載の通信方法。 - 前記専用回線は、携帯電話回線を含む専用回線である、
ことを特徴とする請求項11に記載の通信方法。 - 前記セッション識別情報は、前記第1の通信経路が確立したときに前記通信相手方が発行するセッション識別番号である、
ことを特徴とする請求項10に記載の通信方法。 - 前記第1の通信のセッションと前記第2の通信のセッションは、各々のセッション識別情報が同じ場合、前記通信相手方において同一のセッションのシーケンスとして取り扱われるセッションである、
ことを特徴とする請求項14に記載の通信方法。 - ステップ(c)では、
前記通信相手方から送られてくる前記第1の通信の内容を判別し、
ステップ(b)では、
前記第1の通信の内容が、前記通信相手方に対してセキュリティの高いデータを送信するように要求している場合に、前記第2の通信経路を確立する、
ことを特徴とする請求項10に記載の通信方法。 - ステップ(c)では、
セキュリティの高いデータを前記通信相手方から受信しようとする場合には、その旨を前記第1の通信を用いて前記通信相手方に通知し、
ステップ(b)では、
前記通信相手方から前記第2の通信経路を確立するように要求された場合に、前記第2の通信経路を確立する、
ことを特徴とする請求項10に記載の通信方法。 - ステップ(c)では、
前記第1の通信経路上にプロキシサーバが存在するか否かを検出するステップをさらに備え、
前記第1の通信経路上にプロキシサーバが存在する場合において、前記第2の通信を行うときは、前記第2の通信経路を介した通信を行う、
ことを特徴とする請求項10に記載の通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007090404A JP2008252456A (ja) | 2007-03-30 | 2007-03-30 | 通信装置、及び通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007090404A JP2008252456A (ja) | 2007-03-30 | 2007-03-30 | 通信装置、及び通信方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008252456A true JP2008252456A (ja) | 2008-10-16 |
Family
ID=39976894
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007090404A Pending JP2008252456A (ja) | 2007-03-30 | 2007-03-30 | 通信装置、及び通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2008252456A (ja) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009071481A (ja) * | 2007-09-12 | 2009-04-02 | Nec Personal Products Co Ltd | 通信制御システム、端末、及び、プログラム |
| JP2010154333A (ja) * | 2008-12-25 | 2010-07-08 | Brother Ind Ltd | 画像読取装置 |
| JP2011199340A (ja) * | 2010-03-17 | 2011-10-06 | Fujitsu Ltd | 通信装置及び方法、並びに通信システム |
| JP2012044694A (ja) * | 2009-12-25 | 2012-03-01 | Canon It Solutions Inc | 中継処理装置、中継処理方法及びプログラム |
| JP2012532357A (ja) * | 2009-06-30 | 2012-12-13 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 情報処理システム及びリモートアクセスを提供する方法 |
| JP2014096120A (ja) * | 2012-11-12 | 2014-05-22 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク利用履歴取得装置及び方法及びプログラム |
| JP2015023361A (ja) * | 2013-07-17 | 2015-02-02 | 富士通株式会社 | 通信方法、通信装置及び通信プログラム |
| JP2020174396A (ja) * | 2015-05-05 | 2020-10-22 | アイピーアライブ エービー | リアルタイム通信でメディア経路を確立するための方法 |
| JP2021009442A (ja) * | 2019-06-28 | 2021-01-28 | 株式会社デンソー | 自動バレーパーキングシステム、自動バレーパーキングプログラムおよび記憶媒体 |
| JP2021071933A (ja) * | 2019-10-31 | 2021-05-06 | 株式会社ジェイテクト | 通信システム |
-
2007
- 2007-03-30 JP JP2007090404A patent/JP2008252456A/ja active Pending
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009071481A (ja) * | 2007-09-12 | 2009-04-02 | Nec Personal Products Co Ltd | 通信制御システム、端末、及び、プログラム |
| JP2010154333A (ja) * | 2008-12-25 | 2010-07-08 | Brother Ind Ltd | 画像読取装置 |
| US8384938B2 (en) | 2008-12-25 | 2013-02-26 | Brother Kogyo Kabushiki Kaisha | Image reading apparatus capable of supporting a plurality of transmission modes and selecting the transmission mode |
| JP2012532357A (ja) * | 2009-06-30 | 2012-12-13 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 情報処理システム及びリモートアクセスを提供する方法 |
| JP2012044694A (ja) * | 2009-12-25 | 2012-03-01 | Canon It Solutions Inc | 中継処理装置、中継処理方法及びプログラム |
| JP2011199340A (ja) * | 2010-03-17 | 2011-10-06 | Fujitsu Ltd | 通信装置及び方法、並びに通信システム |
| JP2014096120A (ja) * | 2012-11-12 | 2014-05-22 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク利用履歴取得装置及び方法及びプログラム |
| JP2015023361A (ja) * | 2013-07-17 | 2015-02-02 | 富士通株式会社 | 通信方法、通信装置及び通信プログラム |
| JP2020174396A (ja) * | 2015-05-05 | 2020-10-22 | アイピーアライブ エービー | リアルタイム通信でメディア経路を確立するための方法 |
| JP7100786B2 (ja) | 2015-05-05 | 2022-07-14 | アイピーアライブ エービー | リアルタイム通信でメディア経路を確立するための方法 |
| JP2021009442A (ja) * | 2019-06-28 | 2021-01-28 | 株式会社デンソー | 自動バレーパーキングシステム、自動バレーパーキングプログラムおよび記憶媒体 |
| JP7379885B2 (ja) | 2019-06-28 | 2023-11-15 | 株式会社デンソー | 自動バレーパーキングシステム、自動バレーパーキングプログラムおよび記憶媒体 |
| JP2021071933A (ja) * | 2019-10-31 | 2021-05-06 | 株式会社ジェイテクト | 通信システム |
| JP7327084B2 (ja) | 2019-10-31 | 2023-08-16 | 株式会社ジェイテクト | 通信システム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4707992B2 (ja) | 暗号化通信システム | |
| JP2008252456A (ja) | 通信装置、及び通信方法 | |
| EP3646553B1 (en) | Introducing middleboxes into secure communications between a client and a server | |
| EP3132559B1 (en) | Automatic log-in and log-out of a session with session sharing | |
| JP5978759B2 (ja) | サービス要求装置、サービス提供システム、サービス要求方法およびサービス要求プログラム | |
| CN107113319B (zh) | 一种虚拟网络计算认证中应答的方法、装置、***和代理服务器 | |
| US9219709B2 (en) | Multi-wrapped virtual private network | |
| US20060269053A1 (en) | Network Communication System and Communication Device | |
| US20060005008A1 (en) | Security gateway utilizing ssl protocol protection and related method | |
| US9444807B2 (en) | Secure non-geospatially derived device presence information | |
| JP2017521934A (ja) | クライアントとサーバとの間の相互検証の方法 | |
| JPWO2005101217A1 (ja) | アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置 | |
| JP2008299617A (ja) | 情報処理装置、および情報処理システム | |
| CN102065059B (zh) | 安全访问控制方法、客户端及*** | |
| JP2008166894A (ja) | クライアント端末、中継サーバ、通信システム、及び通信方法 | |
| JP4492248B2 (ja) | ネットワークシステム、内部サーバ、端末装置、プログラム、およびパケット中継方法 | |
| US11811518B2 (en) | Enabling efficient communication in a hybrid network | |
| JP4358795B2 (ja) | Tlsセッション情報の引継ぎ方法及びコンピュータシステム | |
| JP2004295166A (ja) | リモートアクセスシステムおよびリモートアクセス方法 | |
| JP4720576B2 (ja) | ネットワークセキュリィテイ管理システム、暗号化通信の遠隔監視方法及び通信端末。 | |
| JP4675921B2 (ja) | 情報処理システム及びコンピュータプログラム | |
| US20080059788A1 (en) | Secure electronic communications pathway | |
| US7849166B1 (en) | Creation of secure communication connections through computer networks | |
| JP2008227626A (ja) | ネットワークカメラの通信システムおよび通信方法 | |
| US11539755B1 (en) | Decryption of encrypted network traffic using an inline network traffic monitor |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20100426 |
|
| A072 | Dismissal of procedure [no reply to invitation to correct request for examination] |
Free format text: JAPANESE INTERMEDIATE CODE: A072 Effective date: 20100830 |