ネットワーク通信システム、通信装置及びプログラム
【課題】暗号化処理における処理速度及び暗号強度を考慮して暗号化方式を選択することにより、十分なセキュリティ強度を確保しつつ、処理時間を短縮することができるネットワーク通信システム等を提供する。
【解決手段】クライアントPC10は、通信相手がLAN又はWANの何れに属するか、所定のウォーターマークが設定されているか等の状況を判定し、この判定結果に基づき印刷データの暗号化に用いる暗号方式候補のリストを作成し、これをプリントサーバ20へ通知する。プリントサーバ20は、通知されたリストの中から通信速度や暗号強度等に基づき印刷データの暗号処理に用いる暗号方式を選択する。クライアントPC10は、選択された暗号方式によって印刷データを暗号化しプリントサーバ20へ送信する。プリントサーバ20は、受信した暗号化された印刷データを当該暗号方式によって復号化し、これに基づき記録紙に画像を形成する。
【解決手段】クライアントPC10は、通信相手がLAN又はWANの何れに属するか、所定のウォーターマークが設定されているか等の状況を判定し、この判定結果に基づき印刷データの暗号化に用いる暗号方式候補のリストを作成し、これをプリントサーバ20へ通知する。プリントサーバ20は、通知されたリストの中から通信速度や暗号強度等に基づき印刷データの暗号処理に用いる暗号方式を選択する。クライアントPC10は、選択された暗号方式によって印刷データを暗号化しプリントサーバ20へ送信する。プリントサーバ20は、受信した暗号化された印刷データを当該暗号方式によって復号化し、これに基づき記録紙に画像を形成する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク通信システムにおいて、送信するデータを暗号化するための暗号化方式を選択するための技術に関する。
【背景技術】
【0002】
従来、複数の通信装置をネットワークを介して接続し、送信側の通信装置から送信されたデータをネットワークを介して受信側の通信装置で受信し、受信側の通信装置はこの受信したデータに基づいて印刷等のサービスを提供するネットワーク通信システムが普及している。このようなネットワーク通信システムを利用して機密情報を送受信する際、ネットワーク上に送信されたデータを傍受され第三者に機密が漏洩するおそれがあった。
【0003】
このため、このようなネットワーク通信システムにおける機密保護技術として、データの送信元である通信装置において送信データに暗号化処理を施して、この暗号化されたデータを受信側の通信装置へ送信し、これを受信した受信側の通信装置においてデータを復号化する技術が実現されている。この技術によって、データはネットワーク上を暗号化された状態で伝送されるので、機密情報が漏洩するのを防ぐことができる。
【0004】
しかしながら、データの暗号化及び復号化処理にはCPUに少なからず負荷がかかり、この処理負荷がボトルネックとなり、サービスの処理時間が増大するという問題がある。また、データを暗号化することによってデータ量が増加するためにネットワークトラフィックも増大し、通信時間も増大するという問題がある。
【0005】
そこで、特許文献1では上記問題に対して次のような技術を開示している。即ち、印刷データを暗号化して送信するか否かを選択すると共に、暗号化の種類をユーザが選択することができる。更に、クライアント装置とサーバ装置とがインターネットのようなWANを介して接続されていると判断した場合はデータを暗号化して送信し、そうでない場合(例えばLANを介して接続されている場合)は、データを暗号化せずに送信する。
【特許文献1】特開2002−312146号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
上記技術を用いることにより、暗号化の要否や暗号の種類をユーザによって選択可能にしたり、より危険度が大きいインターネットを介して通信を行う場合のみに暗号化処理を行ったりといった具合に、不必要な暗号化処理を行わないことで暗号化処理及び通信にかかる負荷を低減し、処理時間の短縮及びデータ量の低減を図っている。
【0007】
しかしながら、特許文献1に記載されている技術では、ユーザの操作によって複数の暗号から任意の暗号を選択することが可能であっても、暗号方式に詳しくないユーザにとっては、どの暗号方式を選択すればよいか分からない。そのため、無意味に処理速度が遅い暗号方式を選択してしまう可能性がある。このような場合、処理時間を短縮することができない。
【0008】
また、インターネット等のように機密が漏洩する危険性が大きいネットワークを介して通信を行う場合、自動的に暗号化処理を行うように構成されているものの、暗号化の処理速度に基づいて暗号化方式を選択することは考慮されていない。したがって、十分なセキュリティ強度を確保しつつ、なるべく暗号化処理や通信にかかる負荷を低減するといった対応をすることができない。
【0009】
本発明は上記のような問題に鑑みなされており、その目的とするところは以下の通りである。即ち、暗号化処理における処理速度を考慮して暗号化方式を選択することで、処理時間を短縮することができるネットワーク通信システム等を提供する。
【課題を解決するための手段】
【0010】
上記問題を解決するためになされた請求項1に記載のネットワーク通信システムは、データ送信側通信装置とデータ受信側通信装置との間の通信に用いる暗号化方式を、送信データを暗号化又は復号化する際の処理速度である暗号処理速度に基づいて選択することを特徴とする。具体的には、上述のネットワーク通信システムは、2以上の通信装置がネットワークを介して通信可能に接続され、データの送受信を行う通信装置間でデータを暗号化又は復号化するための所定の暗号化方式の合意を行い、この合意した暗号化方式で暗号化されたデータを送受信可能なネットワーク通信システムとして構成されている。このうち前記2以上の通信装置の何れかは、データの送受信を行う通信装置間の通信に用いる暗号化方式を、データを暗号化又は復号化する際の処理速度である暗号処理速度に基づいて暗号化方式候補の中から選択する選択手段と、選択手段によって選択された暗号化方式をデータの送受信を行う通信装置へ通知する暗号化方式通知手段とを備えている。
【0011】
そして、データ送信側通信装置は、暗号化方式通知手段によって通知された暗号化方式に基づいて送信データを暗号化する暗号化手段と、暗号化手段によって暗号化された送信データをデータ受信側通信装置へ送信する送信手段とを備えている。
【0012】
一方、データ受信側通信装置は、データ送信側通信装置から送信されてきた暗号化された送信データを受信する受信手段と、受信手段によって受信した暗号化された送信データを、選択手段よって選択された暗号化方式に基づいて復号化する復号化手段とを備えている。このような構成を有する本発明によれば、暗号処理速度を考慮して暗号化方式を選択することで、処理時間を短縮するのに適した暗号化方式を選択することができるようになる。
【0013】
また、請求項2に記載のネットワーク通信システムにように、上述の選択手段及び暗号化方式通知手段をデータ受信側通信装置が備えるように構成するとよい。つまり、請求項2に記載のネットワーク通信システムにおいては、データ受信側通信装置が、データ送信側通信装置との間の通信に用いる暗号化方式を、データを暗号化又は復号化する際の処理速度である暗号処理速度に基づいて暗号化方式候補の中から選択する選択手段と、選択手段によって選択された暗号化方式をデータ送信側通信装置へ通知する暗号化方式通知手段とを備えている。
【0014】
一方、データ送信側通信装置は、暗号化方式通知手段によって通知された暗号化方式に基づいて送信データを暗号化する暗号化手段と、暗号化手段によって暗号化された送信データをデータ受信側通信装置へ送信する送信手段とを備えている。
【0015】
更に、データ受信側通信装置は、データ送信側通信装置から送信されてきた暗号化された送信データを受信する受信手段と、受信手段によって受信した暗号化された送信データを、選択手段よって選択された暗号化方式に基づいて復号化する復号化手段とを備えている。このように構成すれば、データの送受信を行う通信装置間のみでデータ送受信の際の暗号化方式を決定することができる。
【0016】
なお、ここでいうデータ送信側通信装置は、例えばLANやインターネット等のWAN等を介して他の端末と通信可能な機能を有する一般的なパーソナルコンピュータ等で構成される。また、データ受信側通信装置は、データ送信側通信装置から送信されてきたデータに基づいて様々なサービスを提供する装置であり、例えばネットワークを介して受信した印刷データに基づいて印刷を行うネットワークプリンタや種々のデータを提供するサーバ等によって構成される。
【0017】
また、暗号処理速度に基づいて暗号化方式を選択するためには、例えばデータ受信側通信装置自身が当該暗号化方式において暗号化・復号化処理を行う際の処理速度(例えばbyte/sec)を、予め暗号化方式ごとにそれぞれ記憶しておけばよい。
より具体的には、請求項3に記載のネットワーク通信システムのように構成すればよい。つまり、データ受信側通信装置はデータ送信側通信装置とデータ受信側通信装置との間の通信速度を測定する測定手段を備えている。そして、選択手段は暗号化方式候補の中から、測定手段によって測定した通信速度よりも暗号処理速度が速い暗号化方式を選択する。
【0018】
このように、データ送信側通信装置とデータ受信側通信装置との間の通信速度より暗号処理速度が速い暗号化方式を選択することで、暗号化・復号化処理における処理負荷がボトルネックとなって通信速度が低下することを防ぐことができ、処理時間を短縮することができる。
【0019】
また、暗号処理速度だけでなく暗号強度を考慮して暗号化方式を選択することにより、十分なセキュリティ強度を確保しつつ、処理時間を短縮することができるので好適である。
【0020】
そこで、請求項4に記載のネットワーク通信システムのように構成するとよい。つまり、選択手段は、暗号化方式候補の中から、測定手段によって測定した通信速度よりも暗号処理速度が速い暗号化方式の中で最も暗号強度が大きい暗号化方式を選択する。
【0021】
なお、最も暗号強度が大きい暗号化方式を選択するためには、例えばデータ受信側通信装置自身が当該暗号化方式の暗号強度(例えば鍵長等)を、予め暗号化方式ごとにそれぞれ記憶しておけばよい。
【0022】
上記ネットワーク通信システムによれば、データ送信側通信装置とデータ受信側通信装置との間の通信速度より暗号処理速度が速く、かつ、より暗号強度が大きい暗号化方式を選択することで、暗号化・復号化処理における処理負荷がボトルネックとなって通信速度が低下することを防ぎつつ、より高度なセキュリティを実現することができる。したがって、速い処理時間と強い暗号強度とを両立した効率のよいネットワーク通信システムを実現することができる。
【0023】
ところで、ネットワークに接続される通信装置では、複数の暗号化方式が利用可能であることが一般的である。しかし、データ送信側の通信装置とデータ受信側の通信装置とで、利用することができる暗号化方式が異なる場合がある。このような場合、どちらか一方の通信装置しか利用できない暗号化方式を用いて通信を行うと、暗号化したデータを相手側装置が復号化できないといったエラーが発生するおそれがある。
【0024】
そこで、請求項5に記載のネットワーク通信システムのように構成するとよい。つまり、データ送信側通信装置は、自通信装置が利用可能な暗号化方式を暗号化方式候補としてデータ受信側通信装置へ通知する暗号化方式候補通知手段を備える。また、データ受信側通信装置は、暗号化方式候補通知手段によって通知された暗号化方式候補の中に自通信装置が利用可能な暗号化方式があるか否かを判定する判定手段を備える。そして、データ受信側通信装置が備える選択手段は、判定手段によって当該データ受信側通信装置が利用可能な暗号化方式があると判定された場合、データ送信側通信装置及びデータ受信側通信装置が共に利用可能な暗号化方式の中から、データ送信側通信装置とデータ受信側通信装置との間の通信に用いる暗号化方式を選択する。
【0025】
このように、データ送信側通信装置とデータ受信側通信装置との双方で利用可能な暗号化方式の中から通信に用いる暗号化方式が選択されるので、暗号化したデータを相手側装置が復号化できないといったエラーを防止することができる。
【0026】
ところで、公衆回線網等を利用した広域ネットワークであるWANでは、不特定多数の端末や他のネットワークが接続されていることから、同一敷地(同一建物)内等の限られた範囲で運用されるLANと比較して、通信を傍受されることによる機密漏洩の危険性が高い。したがって、データ送信側通信装置とデータ受信側通信装置とが、WANを介してデータの授受を行う場合は、LANを介してデータを授受する場合よりもより暗号強度が大きい暗号化方式を用いることが望ましい。
【0027】
そこで、請求項6に記載のネットワーク通信システムのように構成するとよい。つまり、データ送信側通信装置は、ネットワークがWANであるか否かを判定するネットワーク判定手段と、ネットワーク判定手段によってネットワークがWANであると判定された場合、自通信装置が利用可能な暗号化方式の中から、所定の暗号強度以上の暗号化方式を抽出する第1の抽出手段とを更に備える。そして、暗号化方式候補通知手段は、前記第1の抽出手段により抽出された暗号化方式を前記暗号化方式候補として前記データ受信側通信装置へ通知する。
【0028】
なお、ネットワークがWANであるか否かを判定するためには、例えばネットワークがインターネットやイントラネットといったTCP/IPを用いるものであれば、自通信装置のIPアドレスと通信相手のIPアドレスとがプライベートアドレス以外である場合、WANと判断すればよい。また、自通信装置のIPアドレスと通信相手のIPアドレスとで、IPアドレスのネットワーク部が異なる場合にWANと判断するようにしてもよい。
【0029】
また、ここでいう「所定の暗号強度」は、予め設定されていてもよいし、通信の都度において利用者から設定されるように構成されていてもよく、WANで通信を行うのに十分なセキュリティを確保できる程度の暗号強度が設定されることが望ましい。
【0030】
上記のような構成を有するネットワーク通信システムによれば、ネットワークがWANであると判断された場合に、所定の暗号強度以上の暗号化方式候補の中から暗号処理速度に基づいて暗号化方式が選択される。したがって、機密漏洩の危険性が高いWANを介した通信であっても、十分なセキュリティを確保しつつ、処理時間を短縮することができる。
【0031】
一方、通信データには、その送信データに必要な機密性に応じて所定の機密レベルが設定されることがある。例えば、印刷データや画像データ等においては、データに透かし文字(ウォーターマーク)が付加されることによって、印刷される書類や画像の機密性に応じて「社外秘」、「Confidential(機密)」、「Copy(複写)」等といった機密レベルが設定される。このような場合、例えば、透かし文字によって「社外秘」、「Confidential(機密)」といったより高い機密性が要求される機密レベルが設定されているような送信データをネットワークを介して送信する際には、この機密情報の漏洩を避けるために、より暗号強度が大きい暗号化方式が選択されることが望ましい。
【0032】
そこで、請求項7に記載のネットワーク通信システムのように構成するとよい。つまり、データ送信側通信装置は、送信データに対して所定の機密レベルが設定されているか否かを判定する機密レベル判定手段と、機密レベル判定手段によって送信データに所定の機密レベルが設定されていると判定された場合、自通信装置が利用可能な暗号化方式の中から、所定の暗号強度以上の暗号化方式を抽出する第2の抽出手段とを更に備える。そして、暗号化方式候補通知手段は、第2の抽出手段により抽出された暗号化方式を暗号化方式候補としてデータ受信側通信装置へ通知する。
【0033】
上記のような構成を有するネットワーク通信システムによれば、高い機密性が必要なデータに対しては、所定の暗号強度以上の暗号化方式候補の中から暗号処理速度に基づいて暗号化方式が選択される。したがって、高い機密性が必要なデータを送信する場合であっても、十分なセキュリティを確保しつつ、処理時間を短縮することができる。
【0034】
なお、請求項6及び請求項7に記載のネットワーク通信システムにおいては、請求項4に記載の判定手段を備えないような態様のものであってもよい。
ところで、上記のネットワーク判定手段及び第1の抽出手段のような、ネットワークの種類に応じて所定強度以上の暗号化方式を抽出する機能を備えるのは、データ送信側通信装置又はデータ受信側通信装置のどちらであってもよい。つまり、請求項8に記載のネットワーク通信システムのように構成してもよい。即ち、ネットワークがWANであるか否かを判定するネットワーク判定手段と、ネットワーク判定手段によってネットワークがWANであると判定された場合、複数の暗号化方式の中から、所定の暗号強度以上の暗号化方式を抽出する抽出手段と、この抽出手段により抽出された暗号化方式を暗号化方式候補として選択手段へ通知する抽出通知手段とを備える。そして、選択手段は、抽出通知手段によって抽出された暗号化方式候補の中から、データ送信側通信装置とデータ受信側通信装置との間の通信に用いる暗号化方式を選択する。
【0035】
上記ネットワーク通信システムにおいては、ネットワーク判定手段、抽出手段及び抽出通知手段は、データ送信側通信装置又はデータ受信側通信装置の何れが備えていても、ネットワークの種類に応じて所定強度以上の暗号化方式を抽出する機能を実現することができる。
【0036】
従来、代表的な暗号化方式として、暗号化と復号化とに同一の鍵である共通鍵を用いる共通鍵暗号方式と、暗号化と復号化とにそれぞれ別の鍵を用いる公開鍵暗号方式とが用いられている。このうち、共通鍵暗号方式は、公開鍵暗号方式と比較して処理コストが大幅に低く、長いデータの暗号化に好適である。しかし、共通鍵暗号方式では、受信側端末がWAN等を介した遠隔地にある場合、この共通の鍵を安全でない通信路を使って、どのように鍵を配布するのかが問題となる。一方、公開鍵暗号方式では、公開鍵と秘密鍵の2組の鍵を用いるが、公開鍵は安全でない通信路を介して複数の相手に送信できる特徴がある。しかし、公開鍵暗号方式は共通鍵暗号方式に比べて処理コストか極めて高く、長いデータの暗号化には不向きである。
【0037】
そこで、共通鍵暗号方式と公開鍵暗号方式とを併用することで、それぞれの短所を補って、効率のよいデータの暗号化を行うことが望ましい。具体的には、請求項9に記載のネットワーク通信システムのように構成するとよい。つまり、選択手段による選択の対象となる暗号化方式候補は、暗号化と復号化とに同一の鍵である共通鍵を用いる共通鍵暗号方式である。そして、データ受信側通信装置は、暗号化と復号化とにそれぞれ別の鍵を用いる公開鍵暗号方式における公開鍵と秘密鍵とを記憶する記憶手段と、記憶手段が記憶している公開鍵をデータ送信側通信装置へ送信する公開鍵送信手段とを備える。また、データ送信側通信装置は、暗号化方式通知手段から通知された暗号化方式に対応する共通鍵を生成する鍵生成手段と、鍵生成手段が生成した共通鍵を、データ受信側通信装置から送信されてきた公開鍵によって暗号化し、この暗号化した共通鍵をデータ受信側通信装置へ送信する共通鍵送信手段とを備える。そして、暗号化手段は、鍵生成手段が生成した共通鍵を用いて送信データを暗号化する。一方、復号化手段は、データ送信側通信装置から送信されてきた暗号化された共通鍵を記憶手段に記憶されている秘密鍵を用いて復号化し、この復号化した共通鍵を用いて暗号化された送信データを復号化する。
【0038】
上記のネットワーク通信システムにおいては、通信データの暗号化には、比較的処理コストが低い共通鍵暗号方式を用いる。そして、この共通鍵暗号化方式に用いる共通鍵を、公開鍵暗号方式の公開鍵によって暗号化し、共通鍵を共有する。このようすることで、共通鍵暗号方式に用いる共通鍵を、公開鍵暗号方式を用いて安全に配布することができるので、効率のよい暗号化処理を行うことができると共に、十分なセキュリティを確保することができる。また、データ送信側通信装置とデータ受信側通信装置との間で、共通鍵を共有してから暗号化処理を行っているため、暗号化したデータを通信相手側端末(データ受信側通信装置)において復号できないといったエラーを防止することもできる。
【0039】
次に、請求項10に記載のデータ受信側通信装置は、2以上の通信装置がネットワークを介して通信可能に接続され、データの送受信を行う通信装置間でデータを暗号化又は復号化するための所定の暗号化方式の合意を行い、この合意した暗号化方式で暗号化されたデータを送受信可能なネットワーク通信システムを構成するデータ受信側通信装置であって、データ送信側通信装置との間の通信に用いる暗号化方式を、データを暗号化又は復号化する際の処理速度である暗号処理速度に基づいて暗号化方式候補の中から選択する選択手段と、選択手段によって選択された暗号化方式をデータ送信側通信装置へ通知する暗号化方式通知手段と、データ送信側通信装置から送信されてきた暗号化された送信データを受信する受信手段と、受信手段によって受信した暗号化された送信データを、選択手段よって選択された暗号化方式に基づいて復号化する復号化手段とを備えることを特徴とするものである。
【0040】
上記データ受信側通信装置は、上述の請求項2に記載のネットワーク通信システムを構成するデータ受信側通信装置として機能するものである。このため、このデータ受信側通信装置によれば、上記ネットワーク通信システムを構築することができ、これにより、上述した効果を得ることができる。
【0041】
一方、請求項11に記載のデータ送信側通信装置は、2以上の通信装置がネットワークを介して通信可能に接続され、データの送受信を行う通信装置間でデータを暗号化又は復号化するための所定の暗号化方式の合意を行い、この合意した暗号化方式で暗号化されたデータを送受信可能なネットワーク通信システムを構成するデータ送信側通信装置であって、データ送信側通信装置とデータ受信側通信装置との間の通信に用いる暗号化方式を、送信データを暗号化又は復号化する際の処理速度である暗号処理速度に基づいて暗号化方式候補の中から選択するデータ受信側通信装置から通知された暗号化方式に基づいて送信データを暗号化する暗号化手段と、暗号化手段によって暗号化された送信データをデータ受信側通信装置へ送信する送信手段とを備えることを特徴としている。
【0042】
上記データ送信側通信装置は、上述の請求項2〜4に記載のネットワーク通信システムを構成するデータ送信側通信装置として機能するものである。このため、このデータ送信側通信装置によれば、上記ネットワーク通信システムを構築することができ、これにより、上述した効果を得ることができる。
【0043】
次に、請求項12に記載のプログラムは、2以上の通信装置がネットワークを介して通信可能に接続され、データの送受信を行う通信装置間でデータを暗号化又は復号化するための所定の暗号化方式の合意を行い、データ送信側通信装置が合意した暗号化方式に基づいて暗号化した送信データをデータ受信側通信装置へ送信し、データ受信側通信装置がデータ送信側通信装置より受信した送信データを復号化してデータの送受信を可能とするネットワーク通信システムにおける通信装置としてコンピュータを機能させるプログラムであって、データの送受信を行う通信装置間の通信に用いる暗号化方式を、データを暗号化又は復号化する際の処理速度である暗号処理速度に基づいて暗号化方式候補の中から選択する選択手段としてコンピュータを機能させるためのものである。
【0044】
上記プログラムは、FD、MO、DVD−ROM、CD−ROM、ハードディスク等のコンピュータによって読み取り可能な記録媒体に記録しておき、必要に応じてコンピュータにロードして起動することにより用いることができる。また、ROMやバックアップRAMに本プログラムを書き込んでおき、これらのROMやバックアップRAMをコンピュータに組み込んで用いてもよい。
【発明を実施するための最良の形態】
【0045】
以下、本発明の実施形態を図面に基づいて説明する。
[ネットワーク印刷システム1の構成の説明]
図1は、ネットワーク印刷システム1の概略構成を示す図である。
【0046】
図1に示すように、実施形態のネットワーク印刷システム1は、クライアントパーソナルコンピュータ(クライアントPC)10と、プリントサーバ20aとがLAN40に接続され、LAN40を介して互いに通信可能に構成されている。また、LAN40は、ネットワーク間のデータを中継するルータ30を経由してインターネット50に接続されている。一方、プリントサーバ20bは、LAN41に接続されている。また、LAN41は、ネットワーク間のデータを中継するルータ31を経由してインターネット50に接続されている。クライアントPC10とプリントサーバ20bとは、インターネット50を介して互いに通信可能に構成されている。
【0047】
なお、実施形態のクライアントPC10は、特許請求の範囲のデータ送信側通信装置に相当し、プリントサーバ20a、20bはデータ受信側通信装置に相当し、LAN40、41及びインターネット50はネットワークに相当する。
【0048】
次に、図2(a)は、クライアントPC10の概略構成を示すブロック図である。
クライアントPC10は、十分な処理機能を有する通常のパーソナルコンピュータによって構成されており、各種演算処理を行うCPU11と、図示しないROM、RAM及びハードディスク装置(HDD)等からなる記憶部12と、通信制御を行うためのデータ送受信部13と、通信ケーブルが接続されるネットワークインターフェース(ネットワークIF)14と、利用者が操作可能な入力装置15(例えば、キーボードやポインティングデバイス)と、入力装置15からの信号を処理する入力装置制御部16と、液晶ディスプレイやCRTからなり、各種情報を表示するディスプレイ17と、CPU11からの制御に基づきディスプレイ17の表示を制御する表示制御部18等からなる。
【0049】
このうちCPU11は、データ送信部13及びネットワークIF14を介してプリントサーバ20a、20bへ印刷データの送信を行う際に、この印刷データを暗号化して送信するための各種処理を実行する。なお、これらの処理についての詳細な説明は後述する。
【0050】
また、記憶部12のHDDには、データの暗号処理に用いる複数の共通鍵暗号方式のプログラムと、この共通鍵暗号方式に用いる共通鍵を通信相手と共有する際に行う暗号処理に用いる公開鍵暗号の方式プログラム等が記憶されている。
【0051】
一方、図2(b)は、プリントサーバ20a、20bの概略構成を示すブロック図である。なお、以降において、プリントサーバ20aとプリントサーバ20bとを特に区別する必要がない場合は、単にプリントサーバ20と称する。
【0052】
プリントサーバ20は、各種演算処理を行うCPU21と、図示しないROM及びRAM等からなる記憶部22と、通信制御を行うためのデータ送受信部23と、通信ケーブルが接続されるネットワークインターフェース(ネットワークIF)24と、レーザー転写方式、インクジェット方式等の記録方式によって記録紙に画像を形成可能な印刷部25と、液晶ディスプレイ等により構成され、各種情報を表示する表示部26と、十字キーなどのキーによって構成され、各種情報を入力する入力部27等からなる。
【0053】
このプリントサーバ20は、ネットワーク内のクライアントPC10から印刷データを受信し、この印刷データに基づく画像を印刷部25によって形成するいわゆるネットワークプリンタの機能を有する。このとき、CPU21は、クライアントPC10との印刷データの授受に用いられる暗号化方式を選択し、この選択した暗号化方式に基づいて暗号化された印刷データを復号化するための各種処理を実行する。これらの処理の詳細については後述する。
【0054】
また、記憶部22には、データの暗号処理に用いる複数の共通鍵暗号方式のプログラムと、この共通鍵暗号方式に用いる共通鍵を通信相手と共有する際に行う暗号処理に用いる公開鍵暗号方式プログラムと、この公開鍵暗号方式に用いる公開鍵及び秘密鍵とが記憶されている。
【0055】
[第1実施形態]
以下、上記構成をするネットワーク印刷システム1の第1実施形態において実行される各種処理について説明する。
【0056】
まず、第1実施形態のネットワーク印刷システム1におけるクライアントPC10とプリントサーバ20との間で行われる通信の概要について、図3のラダーチャートを用いて説明する。
【0057】
クライアントPC10とプリントサーバ20とは、印刷開始から印刷終了までの間、一連の通信処理を行う。この通信処理において、まず、クライアントPC10は、通信相手のプリントサーバ20が、自装置が属するLAN40内にあるかインターネット50等のWAN内にあるか、及び、印刷データに「Confidential」又は「社外秘」のウォーターマークが設定されているかといった状況を判定する。そして、これらの判定結果に基づき記憶部12に記憶されている自装置が利用可能な共通鍵暗号方式の中から所定の条件に合致する暗号化方式を抽出し、印刷データの暗号化に用いる暗号方式候補となるリストを作成する。
【0058】
なお、印刷データに設定されるウォーターマークや、暗号化方式候補としてリストアップされる所定の条件は、図4に示すクライアントPC10側のセキュリティ設定画面において、利用者によって予め設定される。具体的には、図4に示すように、ディスプレイ17に表示されるセキュリティ設定画面において、利用者はポインティングデバイスを用いて、所望する項目のチェックボックス及びラジオボタンを指定することで、使用するウォーターマーク及び共通鍵暗号化方式が設定される。
【0059】
図3の説明に戻る。クライアントPC10において共通鍵暗号方式のリスト作成後、印刷データを暗号化するために用いる共通鍵暗号化方式の合意を形成するための「共通鍵暗号方式合意要求」をプリントサーバ20へ送信する。続いて、作成した共通鍵暗号方式のリストをプリントサーバ20へ通知する。プリントサーバ20は、通知されたリストの共通鍵暗号方式候補の中から、クライアントPC10とプリントサーバ20との間の通信速度や暗号強度等に基づいて、印刷データの暗号処理に用いる共通鍵暗号方式を選択する。そして、選択した共通鍵暗号方式をクライアントPC10へ通知する。こうして、クライアントPC10とプリントサーバ20との間で、印刷データを暗号化するために用いる共通鍵暗号化方式の合意が形成される。
【0060】
続いて、プリントサーバ20によって選択された共通鍵暗号方式の通知を受信したクライアントPC10は、当該共通鍵暗号方式に用いる共通鍵を共有する処理を行うための「共通鍵共有要求」をプリントサーバ20へ送信する。プリントサーバ20は、この共通鍵共有要求に応じて、共通鍵を暗号化して授受するために用いる公開鍵暗号方式の公開鍵をクライアントPC10へ送信する。なお、この公開鍵には、正当性を証明するための認証局(CA)による電子署名及び本人性情報が付加されている。
【0061】
CAによる電子署名が添付された公開鍵を受信したクライアントPC10は、当該CAによって発行された公開鍵(CAの公開鍵)を用いてこの受信した公開鍵の電子署名を検証し、生成した共通鍵を公開鍵によって用いて暗号化する。そして、クライアントPC10は、この暗号化した共通鍵をプリントサーバ20へ送信する。暗号化された共通鍵を受信したプリントサーバ20は、当該公開鍵暗号方式の秘密鍵を用いてこれを復号化して共通鍵を取得する。こうして、クライアントPC10とプリントサーバ20との間で、共通鍵暗号方式に用いる共通鍵が共有される。
【0062】
次に、クライアントPC10は、合意した共通鍵暗号方式の共通鍵を用いて印刷データを暗号化し、この暗号化した印刷データをプリントサーバ20へ送信する。そして、プリントサーバ20は、受信した暗号化された印刷データを当該共通鍵暗号方式の共通鍵を用いて復号化し、印刷部25において、この復号化した印刷データに基づいて記録紙に画像を形成する。
【0063】
以下、上記一連の通信処理においてクライアントPC10及びプリントサーバ20において実行される各種処理についてフローチャートに基づいて説明する。
[印刷データ暗号化・送信処理]
図5は、クライアントPC10のCPU11において実行される印刷データ暗号化・送信処理を示すフローチャートである。
【0064】
まず、ステップ10(以下、単にS10と表記する。他のステップについても同様。)において、プリントサーバ20を用いた印刷の開始指示がなされたか否を判定する。ここで、印刷開始の指示がなされていないと判定した場合(S10:NO)、上記処理を繰り返す。そして、印刷開始の指示がなされたと判定した場合(S10:YES)、データ送信の対象である印刷データを暗号化するのに用いる共通鍵暗号方式の合意が通信相手のプリントサーバ20との間で形成されているか否かを判定する(S20)。ここで共通鍵暗号方式の合意が形成されていないと判定した場合(S20:NO)、共通鍵暗号方式合意処理を実行し(S30)、通信相手のプリントサーバ20との間で当該印刷データの暗号化に用いる共通鍵暗号方式の合意を形成する。なお、この共通鍵暗号方式合意処理の詳細については後述する。
【0065】
そして、S30における共通鍵暗号方式の合意が成功したか否かを判定する(S40)。ここで、共通鍵暗号方式の合意が成功しなかったと判定場合(S40:NO)、S10の処理へ戻る。一方、共通鍵暗号方式の合意が成功したと判定した場合(S40:YES)、S50へ移行する。また、S20において、既に共通鍵暗号方式の合意が形成されていると判定した場合(S20:YES)、S30及びS40を実行せずそのままS50へ移行する。
【0066】
次に、通信相手のプリントサーバ20との間で、合意された共通鍵暗号方式に用いる共通鍵が共有されているか否かを判定する(S50)。ここで共通鍵が共有されていないと判定した場合(S:50:NO)、共通鍵共有処理を実行し(S60)、通信相手のプリントサーバ20との間で共通鍵を共有する。なお、この共通鍵共有処理の詳細な説明については後述する。
【0067】
そして、S60における共通鍵の共有が成功したか否かを判定する(S70)。ここで、共通鍵の共有が成功しなかったと判定場合(S70:NO)、S10の処理へ戻る。一方、共通鍵の共有が成功したと判定した場合(S70:YES)、S80へ移行する。また、S50において、既に共通鍵の共有がなされていると判定した場合(S50:YES)、S60及びS70を実行せずそのままS80へ移行する。
【0068】
そして、S80では、印刷データを共有した共通鍵を用いて暗号化し、この暗号化した印刷データをプリントサーバ20へ送信する。
[共通鍵暗号方式合意処理]
図6は、クライアントPC10で実行される印刷データ暗号化・送信処理(図5参照)におけるS30の共通鍵暗号方式合意処理を示すフローチャートである。
【0069】
まず、通信相手のプリントサーバ20が属するネットワークの種類を判定する(S110)。具体的には、自装置のIPアドレスと通信相手のプリントサーバ20のIPアドレスとがプライベートアドレス以外である場合、ネットワークの種類はWANであると判定し、そうでない場合はLAN(即ち、プリントサーバ20が自装置を同一のLAN内に属する)であると判定する。あるいは、自装置のIPアドレスと通信相手のプリントサーバ20のIPアドレスとで、IPアドレスのネットワーク部が異なる場合にネットワークの種類がWANであると判定し、そうでない場合はLANであると判定する。つまり、通信相手が、クライアントPC10と同一のLAN40内に属するプリントサーバ20aである場合は、ネットワークの種類がLANであると判定される。また、通信相手が、インターネットを介した他のネットワーク(LAN41)に属するプリントサーバ20bである場合は、ネットワークの種類がWANであると判定される。
【0070】
続いて、判定したネットワークの種類がWANであるか否か(即ち、通信相手がWAN内に属するか否か)を判定する(S120)。ここで、通信相手がWAN内に属すると判定した場合(S120:YES)、高強度の共通鍵暗号化方式を暗号化方式候補として抽出するためのフラグを立て(S130)、S140へ移行する。一方、S120において、ネットワークの種類がLANである(即ち、通信相手がクライアントPC10と同一のLAN40に属する)と判定した場合(S120:NO)、S130を実行せずそのままS140へ移行する。
【0071】
次に、当該印刷データに設定されているウォーターマークの種類を判定し(S140)、設定されているウォーターマークが「Confidential」又は「社外秘」であるか否かを判定する(S150)。なお、印刷データに設定されているウォーターマークは、図4に示すセキュリティ設定画面の「ウォーターマークの設定」欄において、使用者によって予め選択されるものである。S150において、設定されているウォーターマークが「Confidential」又は「社外秘」であると判定した場合(S150:YES)、高強度の共通鍵暗号化方式を暗号化方式候補として抽出するためのフラグを立て(S160)、S170へ移行する。一方、S150において、設定されているウォーターマークが「Confidential」又は「社外秘」でないと判定した場合(S150:NO)、S160を実行せずそのままS170へ移行する。
【0072】
続いて、図4に示すセキュリティ設定画面の「使用できる共通鍵暗号方式の指定」の欄において設定された内容に基づいて、使用できる共通鍵暗号方式のリストを生成する(S170)。なお、記憶部12には、自装置が使用できる各共通鍵暗号方式の暗号強度の指標となる鍵長がそれぞれの共通鍵暗号方式に対応付けて記憶されている。この鍵長(暗号強度)は、使用できる共通鍵暗号方式リストを生成する際に共通鍵暗号方式の名称に対応付けて共にリストアップされる。
【0073】
次に、S130又はS160においてフラグが立っている場合、図4に示すセキュリティ設定画面の「高強度な共通鍵暗号方式の指定」の欄において設定された内容に基づいて、生成された共通鍵暗号方式のリストから指定されている高強度な共通鍵暗号方式を抽出し、それ以外の暗号方式をリストから削除する(S180)。また、フラグ立っていなければ、そのままS190へ移行する。
【0074】
なお、図7(a)は、このS170において生成される共通鍵暗号方式のリストの一例を示す図であり、図7(b)は、S180において指定されている高強度な共通鍵暗号方式を抽出し、それ以外の暗号方式を上記リストから削除した状態の一例を示す図である。また、図7(b)は、セキュリティ設定画面(図4参照)において、高強度な共通鍵暗号方式として鍵長(暗号強度)が128bit以上の共通鍵暗号方式が指定された場合の例を示している。
【0075】
図6の説明に戻る。S190では、共通鍵暗号方式合意要求を通信相手のプリントサーバ20へ送信する。続いて、S180において生成した共通鍵暗号方式のリスト(図7(b)参照)を通信相手のプリントサーバ20へ送信する(S200)。
【0076】
そして、S200において送信したリストに基づいてプリントサーバ20によって選択された共通鍵暗号方式の通知を受信する(S210)。次に、受信した通知が、「プリントサーバ20において使用できる共通鍵暗号方式がない」旨を示す通知であるか否かを判定する(S220)。ここで、プリントサーバ20が使用できる共通鍵暗号方式がない旨を示す通知ではない(即ち、選択された共通鍵暗号方式の通知である)と判定した場合(S220:NO)、プリントサーバ20との共通鍵暗号方式の合意の形成が成功したとして、この処理を終了する(S230)。一方、プリントサーバ20が使用できる共通鍵暗号方式がない旨を示す通知であると判定した場合(S220:YES)、プリントサーバ20との共通鍵暗号方式の合意の形成が失敗したとして、この処理を終了する(S240)。
【0077】
[共通鍵共有処理]
図8は、クライアントPC10で実行される印刷データ暗号化・送信処理(図5参照)におけるS60の共通鍵共有処理を示すフローチャートである。
【0078】
まず、通信相手のプリントサーバ20へ共通鍵共有要求を送信する(S310)。次に、送信した共通鍵共有要求に応じてプリントサーバ20から送信されてきた公開鍵暗号方式に用いる公開鍵(認証局(CA)の電子署名付)を受信する(S320)。そして、この公開鍵に添付されている電子署名に該当する認証局(CA)から発行された公開鍵(CAの公開鍵)によって、この電子署名の正当性を検証し(S330)、この電子署名が正当なものであるか否かを判定する(S340)。
【0079】
ここで、公開鍵に添付されている電子署名が正当なものであると判定した場合(S340:YES)、S30(図5参照)の共通鍵暗号方式合意処理において合意された共通鍵暗号方式に対応する共通鍵を生成し、この生成した共通鍵をプリントサーバ20から受信した公開鍵によって暗号化して、この暗号化した共通鍵をプリントサーバ20へ送信する(S350)。そして、プリントサーバ20との共通鍵の共有が成功したとしてこの処理を終了する(S360)。
【0080】
一方、公開鍵に添付されている電子署名が正当なものでないと判定した場合(SS340:NO)、プリントサーバ20との共通鍵の共有が失敗したとして、この処理を終了する(S370)。
【0081】
[通信データ受信処理及び印刷データ復号化処理]
図9は、プリントサーバ20のCPU21によって実行される通信データ受信処理及び印刷データ復号化処理を示すフローチャートである。
【0082】
まず、クライアントPC10からの各種データの送信を待ち、送信されてきたデータを受信する(S410)。そして、この受信したデータが、共通鍵共有要求であるか否かを判定する(S420)。なお、この共通鍵共有要求は、クライアントPC10において実行される共通鍵共有処理(図8参照)のS310で送信される。
【0083】
S420において、受信したデータが共通鍵共有要求であると判定した場合(S420:YES)、公開鍵暗号方式に用いる公開鍵(認証局(CA)の署名付)をクライアントPC10へ送信する(S:430)。続いて、この送信した公開鍵によって暗号化された共通鍵をクライアントPC10から受信する(S440)。そして、この暗号化された共通鍵を復号化して共通鍵を取得し(S450)、S410の処理へ戻る。なお、この取得した共通鍵は、後述の共通鍵暗号方式選択処理において予め選択し、クライアントPC10との合意が形成された共通鍵暗号方式に対応する共通鍵である。
【0084】
一方、S420において、受信したデータが共通鍵共有要求でないと判定した場合(S420:NO)、このデータが共通鍵暗号方式合意要求であるか否かを判定する(S460)。なお、この共通鍵暗号方式合意要求は、クライアントPC10において実行される共通鍵暗号方式合意処理(図6参照)のS190で送信される。
【0085】
S460において、受信したデータが共通鍵暗号方式合意要求であると判定した場合(S460:YES)、共通鍵暗号方式選択処理を実行し(S470)、その後S410の処理へ戻る。なお、この共通鍵暗号方式選択処理の詳細な説明については後述する。
【0086】
一方、S460において、受信したデータが共通鍵暗号方式合意要求でないと判定した場合(S460:NO)、このデータが印刷データであるか否かを判定する(S480)。この印刷データは、クライアントPC10において実行される印刷データ暗号化・送信処理(図5参照)のS80で送信された暗号化された印刷データ、又は、暗号化処理を経ずに送信された印刷データである。
【0087】
S480において、受信したデータが印刷データであると判定した場合(S480:YES)、クライアントPC10との共通鍵暗号方式の合意及びこの共通鍵暗号方式に用いる共通鍵の共有がされているか否かを判定する(S490)。具体的には、後述のS470において当該印刷データの暗号処理に用いる共通鍵暗号方式が選択されており、かつS430〜S450において、この共通鍵暗号方式に対応する共通鍵を取得しているか否かによってS490の判定を行う。
【0088】
ここで、クライアントPC10との共通鍵暗号方式の合意及びこの共通鍵暗号方式に用いる共通鍵の共有がされていると判定した場合(S490:YES)、受信した印刷データをS430〜S450において取得した共通鍵によって復号化し、この復号化した印刷データに基づいて、印刷部25によって記録紙に画像を形成する(S500)。
【0089】
一方、クライアントPC10との共通鍵暗号方式の合意及びこの共通鍵暗号方式に用いる共通鍵の共有がされていないと判定した場合(S490:NO)、この印刷データは暗号化されていない印刷データであると判断し、この印刷データに基づいて、印刷部25によって記録紙に画像を形成する(S510)。
【0090】
一方、S480において、受信したデータが印刷データでないと判定した場合(S480:NO)、S410の処理へ戻る。
[共通鍵暗号方式選択処理]
図10は、プリントサーバ20で実行される通信データ受信処理及び印刷データ復号化処理(図9参照)におけるS470の共通鍵暗号方式選択処理を示すフローチャートである。
【0091】
まず、クライアントPC10から送信されてきた共通鍵暗号方式のリストを受信する(S610)。この共通鍵暗号方式のリストは、クライアントPC10において実行される共通鍵暗号方式合意処理(図6参照)のS200で送信される。
【0092】
次に、受信したリストの中に自装置が使用できる共通鍵暗号方式があるか否かを判定する(S620)。ここで、受信したリストの中に自装置が使用できる共通鍵暗号方式があると判定した場合(S620:YES)、リストの中にある共通鍵暗号方式であり、且つ自装置が使用可能な共通鍵暗号方式のうち、自装置における暗号処理速度が最も速い共通鍵暗号方式を選択し(S630)、S670へ移行する。なお、記憶部22には、図11に示すような、自装置が使用可能な共通鍵暗号方式と、その暗号処理速度のテーブルが予め記憶されている。そして、S630では、この記憶されている暗号処理速度に基づいて共通鍵暗号方式を選択する。
【0093】
一方、S620で肯定判定をした後、S630を実行する代わりに、別実施形態としてS640〜S660の処理を実行してもよい。即ち、まずS640において、クライアントPC10との間の通信速度を測定する。そして、この測定した通信速度に基づいて、受信したリストの中にある共通鍵暗号方式において、自装置が使用可能なもので且つ暗号処理速度が通信速度よりも速い暗号方式の中で、最も暗号強度が大きい共通鍵暗号方式を選択する(S650)。通信速度が速いネットワーク環境であっても、暗号処理速度が通信速度より遅いような場合、この暗号処理が通信におけるボトルネックととなり、結果として通信速度が遅いネットワーク環境と変わらない通信時間が必要となる。また、プリントサーバにはCPUの性能が低い装置もあり、暗号化方式によっては、復号化(又はプリントサーバからデータを送信する場合は暗号化)の処理に時間がかかる場合がある。そこで、本ネットワーク印刷システム1においては、暗号処理速度が通信速度より高速な暗号方式を選択する(S650)ことで、実際のデータにおける通信速度を下げないでデータ送受信を行うことができる。
【0094】
次に、S650の処理おいて該当する共通鍵暗号方式があるか否かを判定する(S660)。ここで、該当する共通鍵暗号方式があると判定した場合(S660:YES)、S670へ移行する。
【0095】
S670では、S630又はS660において選択した共通鍵暗号方式をクライアントPC10へ通知して処理を終了する。
一方、S620において、受信したリストの中に自装置が使用できる共通鍵暗号方式がないと判定した場合(S620:NO)、又はS660において、該当する共通鍵暗号方式がないと判定した場合(S660:NO)、使用できる共通鍵暗号方式がない旨をクライアントPC10へ通知し(S680)、処理を終了する。
【0096】
以上、ネットワーク印刷システム1の第1実施形態について説明したが、第1実施形態のネットワーク印刷システム1の構成と特許請求に記載の構成との対応関係は次の通りである。まず、クライアントPC10の構成におけるCPU11が、特許請求の範囲における暗号化手段、ネットワーク判定手段、第1の抽出手段、機密レベル判定手段、第2の抽出手段、抽出手段及び鍵生成手段に相当する。また、CPU11、データ送受信部13及びネットワークIF14が、送信手段、暗号化方式候補通知手段、抽出通知手段及び共通鍵送信手段に相当する。
【0097】
一方、プリントサーバ20の構成におけるCPU21が、特許請求の範囲における選択手段、復号化手段、測定手段及び判定手段に相当する。また、CPU21、データ送受信部23及びネットワークIF24が、暗号化方式通知手段、受信手段及び公開鍵送信手段に相当し、記憶部22が記憶手段に相当する。
【0098】
[第2実施形態]
以下、ネットワーク印刷システム1の第2実施形態において実行される各種処理について説明する。
【0099】
ネットワーク印刷システム1の第2実施形態については、図1、図2に示すハードウェア構成は第1実施形態と同様であるが、上述の共通鍵暗号方式合意処理及び共通鍵暗号方式選択処理がそれぞれ第1実施形態とは異なる。特徴的な相違点としては、第1実施形態のクライアントPC10において実行されるS110〜S130、S170、S180(図6参照)の処理をプリントサーバ20側で実行する点が挙げられる。
【0100】
なお、第2実施形態のクライアントPC10で実行される印刷データ暗号化・送信処理、共通鍵共有処理、及びプリントサーバ20で実行される通信データ受信処理及び印刷データ復号化処理については、それぞれ第1実施形態における印刷データ暗号化・送信処理(図5参照)、共通鍵共有処理(図8参照)、及び通信データ受信処理及び印刷データ復号化処理(図9参照)と同様であるので、ここでの説明は省略する。
【0101】
[共通鍵暗号方式合意処理(第2実施形態)]
図12は、クライアントPC10で実行される印刷データ暗号化・送信処理(図5参照)におけるS30の共通鍵暗号方式合意処理を示すフローチャートである。
【0102】
まず、自装置において使用できる共通鍵暗号方式のリストを生成する(S710)。そして、共通鍵暗号方式合意要求を通信相手のプリントサーバ20へ送信する(S720)。続いて、S710において生成した共通鍵暗号方式のリストを通信相手のプリントサーバ20へ送信する(S730)。
【0103】
そして、S730において送信したリストに基づいてプリントサーバ20によって選択された共通鍵暗号方式の通知を受信する(S740)。次に、この受信した通知が、「プリントサーバ20において使用できる共通鍵暗号方式がない」旨を示す通知であるか否かを判定する(S750)。ここで、プリントサーバ20が使用できる共通鍵暗号方式がない旨を示す通知ではない(即ち、選択された共通鍵暗号方式の通知である)と判定した場合(S750:NO)、プリントサーバ20との共通鍵暗号方式の合意の形成が成功したとして、この処理を終了する(S760)。一方、プリントサーバ20が使用できる共通鍵暗号方式がない旨を示す通知であると判定した場合(S750:YES)、プリントサーバ20との共通鍵暗号方式の合意の形成が失敗したとして、この処理を終了する(S770)。
【0104】
[共通鍵暗号方式選択処理(第2実施形態)]
図13は、プリントサーバ20で実行される通信データ受信処理及び印刷データ復号化処理(図9参照)におけるS470の共通鍵暗号方式選択処理を示すフローチャートである。
【0105】
まず、自装置が使用可能な共通鍵暗号方式の中から、所定の条件に適合するものを抽出して共通鍵暗号方式候補のリストを生成する共通鍵暗号方式リスト生成処理を実行する(S810)。なお、この共通鍵暗号方式リスト生成処理の詳細な説明については後述する。
【0106】
続いて、クライアントPC10から送信されてきた共通鍵暗号方式のリストを受信する(S820)。この共通鍵暗号方式のリストは、クライアントPC10において実行される共通鍵暗号方式合意処理(図12参照)のS730で送信される。
【0107】
次に、S810において生成した共通鍵暗号方式のリストとS820においてクライアントPC10から受信した共通鍵暗号方式のリストとを比較し、両リストに共通の暗号方式を抽出する(S830)。
【0108】
そして、両リストに共通の暗号方式があるか否かを判定する(S840)。ここで、共通の暗号方式があると判定した場合(S840:YES)、両リストに共通の共通鍵暗号方式の中から、自装置における暗号処理速度が最も速い共通鍵暗号方式を選択し(S850)、S890へ移行する。なお、記憶部22には、図11に示すような、自装置が使用可能な共通鍵暗号方式と、その暗号処理速度のテーブルが予め記憶されている。そして、S850では、この記憶されている暗号処理速度に基づいて共通鍵暗号方式を選択する。
【0109】
一方、S840で肯定判定をした後、S850を実行する代わりに、別実施形態としてS860〜S880の処理を実行してもよい。即ち、まずS860において、クライアントPC10との間の通信速度を測定する。そして、この測定した通信速度に基づいて、両リストに共通の共通鍵暗号方式において、暗号処理速度が通信速度よりも速い暗号方式の中で最も暗号強度が大きい共通鍵暗号方式を選択する(S870)。そして、S870の処理おいて該当する共通鍵暗号方式があるか否かを判定する(S880)。ここで、該当する共通鍵暗号方式があると判定した場合(S880:YES)、S890へ移行する。
【0110】
S890では、S850又はS880において選択した共通鍵暗号方式をクライアントPC10へ通知して処理を終了する。
一方、S840において、両リストに共通の共通鍵暗号方式がないと判定した場合(S840:NO)、又はS880において、該当する共通鍵暗号方式がないと判定した場合(S880:NO)、使用できる共通鍵暗号方式がない旨をクライアントPC10へ通知し(S900)、処理を終了する。
【0111】
[共通鍵暗号リスト方式生成処理]
図14は、プリントサーバ20で実行される共通鍵暗号方式選択処理(図13参照)におけるS810の共通鍵暗号方式リスト生成処理を示すフローチャートである。
【0112】
まず、通信相手のクライアントPC10が属するネットワークの種類を判定する(S910)。続いて、判定したネットワークの種類がWANであるか否か(即ち、通信相手がWAN内に属するか否か)を判定する(S920)。ここで、通信相手がWAN内に属すると判定した場合(S920:YES)、高強度の共通鍵暗号化方式を暗号化方式候補として抽出するためのフラグを立て(S930)、S940へ移行する。一方、S920において、ネットワークの種類がLANである(即ち、通信相手のクライアントPC10が自装置と同一のLAN内に属する)と判定した場合(S920:NO)、S930を実行せずそのままS940へ移行する。
【0113】
続いて、予め設定された所定の条件に基づいて、自装置が使用できる共通鍵暗号方式のリストを生成する(S940)。ここでは、図15に示すような、表示部26に表示されるセキュリティ設定画面の「使用できる共通鍵暗号方式の指定」の欄において利用者が入力部27を操作することによって予め設定された条件に基づいて、自装置が使用できる共通鍵暗号方式の中から条件に適合する共通鍵暗号方式を抽出して、リストを生成する。なお、記憶部22には、自装置が使用できる各共通鍵暗号方式の暗号強度の指標となる鍵長がそれぞれの共通鍵暗号方式に対応付けて記憶されている。この鍵長(暗号強度)は、使用できる共通鍵暗号方式リストを生成する際に共通鍵暗号方式の名称に対応付けて共にリストアップされる。そして、S930においてフラグが立っている場合、図15に示すセキュリティ設定画面の「高強度な共通鍵暗号方式の指定」の欄において予め設定された内容に基づいて、生成された共通鍵暗号方式のリストから指定されている高強度な共通鍵暗号方式を抽出し、それ以外の暗号方式をリストから削除する(S950)。また、フラグが立っていなければそのまま処理を終了する。
【0114】
なお、図7(a)は、このS940において生成される共通鍵暗号方式のリストの一例を示す図であり、図7(b)は、S950において指定されている高強度な共通鍵暗号方式を抽出し、それ以外の暗号方式を上記リストから削除した状態の一例を示す図である。また、図7(b)は、セキュリティ設定画面(図15参照)において、高強度な共通鍵暗号方式として鍵長(暗号強度)が128bit以上の共通鍵暗号方式が指定された場合の例を示している。
【0115】
以上、ネットワーク印刷システム1の第2実施形態について説明したが、第2実施形態のネットワーク印刷システム1の構成と特許請求に記載の構成との対応関係は次の通りである。まず、クライアントPC10の構成におけるCPU11が、特許請求の範囲における暗号化手段及び鍵生成手段に相当する。また、CPU11、データ送受信部13及びネットワークIF14が、送信手段、暗号化方式候補通知手段及び共通鍵送信手段に相当する。
【0116】
一方、プリントサーバ20の構成におけるCPU21が、特許請求の範囲における選択手段、復号化手段、測定手段、判定手段、ネットワーク判定手段及び抽出手段に相当する。また、CPU21、データ送受信部23及びネットワークIF24が、暗号化方式通知手段、受信手段、抽出通知手段及び公開鍵送信手段に相当し、記憶部22が記憶手段に相当する。
【0117】
[効果]
実施形態のネットワーク印刷システム1によれば、以下のような効果を奏する。即ち、クライアントPC10とプリントサーバ20との間の通信速度より暗号処理速度が速く、かつ、より暗号強度が大きい暗号化方式を選択し、これを印刷データの暗号処理に用いることで、暗号化・復号化処理における処理負荷がボトルネックとなって通信速度が低下することを防ぎつつ、より高度なセキュリティを実現することができる。したがって、速い処理時間と強い暗号強度とを両立した効率のよいネットワーク印刷システムを実現することができる。
【0118】
また、クライアントPC10とプリントサーバ20との双方で利用可能な暗号化方式の中から通信に用いる暗号化方式が選択されるので、クライアントPC10において暗号化した印刷データをプリントサーバ20が復号化できないといったエラーを防止することができる。
【0119】
また、通信に用いるネットワークがWANであると判断された場合に、予め設定された暗号強度以上の暗号化方式候補の中から暗号処理速度に基づいて暗号化方式が選択される。したがって、機密漏洩の危険性が高いインターネット50のようなWANを介した通信では、LANを介した通信を行うときよりも強度が強い暗号方式が選択されるので、十分なセキュリティを確保しつつ、処理時間を短縮することができる。
【0120】
また、「Confidential」又は「社外秘」といった高い機密性を示すウォーターマークが設定された印刷データに対しては、予め設定された暗号強度以上の暗号化方式候補の中から暗号処理速度に基づいて暗号化方式が選択される。したがって、高い機密性が必要な印刷データを送信する場合であっても、十分なセキュリティを確保しつつ、処理時間を短縮することができる。
【0121】
また、実施形態のネットワーク印刷システム1においては、印刷データの暗号化には、比較的処理コストが低い共通鍵暗号方式を用いる。そして、この共通鍵暗号化方式に用いる共通鍵を、公開鍵暗号方式の公開鍵によって暗号化し、共通鍵を共有する。このようすることで、共通鍵暗号方式に用いる共通鍵を、公開鍵暗号方式を用いて安全に配布することができるので、効率のよい暗号化処理を行うことができると共に、十分なセキュリティを確保することができる。また、クライアントPC10とプリントサーバ20との間で、共通鍵を共有してから暗号化処理を行っているため、クライアントPC10において暗号化した印刷データをプリントサーバ20において復号化できないといったエラーを防止することもできる。
【0122】
以上、本発明の実施形態について説明したが、本発明の実施形態は上記の実施形態に何ら限定されるものではなく、本発明の技術的範囲に属する限り様々な態様にて実施することが可能である。例えば、上記実施形態のネットワーク印刷システム1のようにクライアント装置からサーバ装置へ印刷データを送信する場合のような一方向の暗号通信だけではなく、通信装置同士で機密性の高いデータを互いに授受するような双方向のデータ通信にも本発明を適用することができる。即ち、上記実施形態では、サーバ装置が暗号化方式を選択し、その選択した暗号化方式により暗号化されたデータをクライアント装置から受信しているが、クライアント装置が送信するためのデータの暗号化方式を選択して、その選択した暗号化方式により暗号化したデータをサーバ装置に送信するようにしてもよい。
【0123】
また、一方の装置で選択した暗号化方式を用いて、データの送信及び受信(例えば、選択手段により選択された暗号化方式により暗号化された印刷データをPCからプリントサーバに送信し、且つ印刷データを受信したことをPCに返答する際の暗号化方式も印刷データを受信した暗号化方式を用いて行う)を行ってもよい。
【0124】
更には、ネットワーク上の他の装置(例えば、管理サーバ)が暗号化方式を選択し、その暗号化方式にてデータの送受信をするようクライアント装置、サーバ装置に通知する構成であっても良い。
【0125】
また、上記実施形態では、ある閾値以上の高強度な暗号方式を抽出し、その抽出した暗号方式の中から処理速度が最も速いものを選択しているが、先にデータ送受信にかかる通信速度を測定し、その測定結果より処理速度が通信速度よりも高速な暗号方式を抽出し、その中から高強度なものを選択してもよい。
【図面の簡単な説明】
【0126】
【図1】実施形態のネットワーク印刷システム1の概略構成を示す図である。
【図2】(a)は、クライアントPC10の概略構成を示すブロック図であり、(b)は、プリントサーバ20a、20bの概略構成を示すブロック図である。
【図3】クライアントPC10とプリントサーバ20との間の通信を示すラダーチャートである。
【図4】印刷処理におけるクライアントPC10側のセキュリティ設定画面を示す図である。
【図5】クライアントPC10において実行される印刷データ暗号化・送信処理を示すフローチャートである。
【図6】クライアントPC10で実行される共通鍵暗号方式合意処理を示すフローチャートである。
【図7】(a)は、クライアントPC10において生成される共通鍵暗号方式のリストの一例を示す図であり、(b)は、指定されている高強度な共通鍵暗号方式を抽出し、それ以外の暗号方式を上記リストから削除した状態の一例を示す図である。
【図8】クライアントPC10で実行される共通鍵共有処理を示すフローチャートである。
【図9】プリントサーバ20において実行される通信データ受信処理及び印刷データ復号化処理を示すフローチャートである。
【図10】プリントサーバ20で実行される共通鍵暗号方式選択処理を示すフローチャートである。
【図11】記憶部22に記憶されている各共通鍵暗号方式の暗号処理速度のテーブルを示す図である。
【図12】クライアントPC10で実行される共通鍵暗号方式合意処理を示すフローチャートである。
【図13】プリントサーバ20で実行される共通鍵暗号方式選択処理を示すフローチャートである。
【図14】プリントサーバ20で実行される共通鍵暗号方式リスト生成処理を示すフローチャートである。
【図15】印刷処理におけるプリントサーバ20側のセキュリティ設定画面を示す図である。
【符号の説明】
【0127】
1…ネットワーク印刷システム、10…クライアントPC、11、21…CPU、12、22…記憶部、13、23…データ送受信部、14、24…ネットワークIF、15…入力装置、16…入力装置制御部、17…ディスプレイ、18…表示装置制御部、20a、20b…プリントサーバ、25…印刷部、26…表示部、27…入力部、30、31…ルータ、40、41…LAN、50…インターネット
【技術分野】
【0001】
本発明は、ネットワーク通信システムにおいて、送信するデータを暗号化するための暗号化方式を選択するための技術に関する。
【背景技術】
【0002】
従来、複数の通信装置をネットワークを介して接続し、送信側の通信装置から送信されたデータをネットワークを介して受信側の通信装置で受信し、受信側の通信装置はこの受信したデータに基づいて印刷等のサービスを提供するネットワーク通信システムが普及している。このようなネットワーク通信システムを利用して機密情報を送受信する際、ネットワーク上に送信されたデータを傍受され第三者に機密が漏洩するおそれがあった。
【0003】
このため、このようなネットワーク通信システムにおける機密保護技術として、データの送信元である通信装置において送信データに暗号化処理を施して、この暗号化されたデータを受信側の通信装置へ送信し、これを受信した受信側の通信装置においてデータを復号化する技術が実現されている。この技術によって、データはネットワーク上を暗号化された状態で伝送されるので、機密情報が漏洩するのを防ぐことができる。
【0004】
しかしながら、データの暗号化及び復号化処理にはCPUに少なからず負荷がかかり、この処理負荷がボトルネックとなり、サービスの処理時間が増大するという問題がある。また、データを暗号化することによってデータ量が増加するためにネットワークトラフィックも増大し、通信時間も増大するという問題がある。
【0005】
そこで、特許文献1では上記問題に対して次のような技術を開示している。即ち、印刷データを暗号化して送信するか否かを選択すると共に、暗号化の種類をユーザが選択することができる。更に、クライアント装置とサーバ装置とがインターネットのようなWANを介して接続されていると判断した場合はデータを暗号化して送信し、そうでない場合(例えばLANを介して接続されている場合)は、データを暗号化せずに送信する。
【特許文献1】特開2002−312146号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
上記技術を用いることにより、暗号化の要否や暗号の種類をユーザによって選択可能にしたり、より危険度が大きいインターネットを介して通信を行う場合のみに暗号化処理を行ったりといった具合に、不必要な暗号化処理を行わないことで暗号化処理及び通信にかかる負荷を低減し、処理時間の短縮及びデータ量の低減を図っている。
【0007】
しかしながら、特許文献1に記載されている技術では、ユーザの操作によって複数の暗号から任意の暗号を選択することが可能であっても、暗号方式に詳しくないユーザにとっては、どの暗号方式を選択すればよいか分からない。そのため、無意味に処理速度が遅い暗号方式を選択してしまう可能性がある。このような場合、処理時間を短縮することができない。
【0008】
また、インターネット等のように機密が漏洩する危険性が大きいネットワークを介して通信を行う場合、自動的に暗号化処理を行うように構成されているものの、暗号化の処理速度に基づいて暗号化方式を選択することは考慮されていない。したがって、十分なセキュリティ強度を確保しつつ、なるべく暗号化処理や通信にかかる負荷を低減するといった対応をすることができない。
【0009】
本発明は上記のような問題に鑑みなされており、その目的とするところは以下の通りである。即ち、暗号化処理における処理速度を考慮して暗号化方式を選択することで、処理時間を短縮することができるネットワーク通信システム等を提供する。
【課題を解決するための手段】
【0010】
上記問題を解決するためになされた請求項1に記載のネットワーク通信システムは、データ送信側通信装置とデータ受信側通信装置との間の通信に用いる暗号化方式を、送信データを暗号化又は復号化する際の処理速度である暗号処理速度に基づいて選択することを特徴とする。具体的には、上述のネットワーク通信システムは、2以上の通信装置がネットワークを介して通信可能に接続され、データの送受信を行う通信装置間でデータを暗号化又は復号化するための所定の暗号化方式の合意を行い、この合意した暗号化方式で暗号化されたデータを送受信可能なネットワーク通信システムとして構成されている。このうち前記2以上の通信装置の何れかは、データの送受信を行う通信装置間の通信に用いる暗号化方式を、データを暗号化又は復号化する際の処理速度である暗号処理速度に基づいて暗号化方式候補の中から選択する選択手段と、選択手段によって選択された暗号化方式をデータの送受信を行う通信装置へ通知する暗号化方式通知手段とを備えている。
【0011】
そして、データ送信側通信装置は、暗号化方式通知手段によって通知された暗号化方式に基づいて送信データを暗号化する暗号化手段と、暗号化手段によって暗号化された送信データをデータ受信側通信装置へ送信する送信手段とを備えている。
【0012】
一方、データ受信側通信装置は、データ送信側通信装置から送信されてきた暗号化された送信データを受信する受信手段と、受信手段によって受信した暗号化された送信データを、選択手段よって選択された暗号化方式に基づいて復号化する復号化手段とを備えている。このような構成を有する本発明によれば、暗号処理速度を考慮して暗号化方式を選択することで、処理時間を短縮するのに適した暗号化方式を選択することができるようになる。
【0013】
また、請求項2に記載のネットワーク通信システムにように、上述の選択手段及び暗号化方式通知手段をデータ受信側通信装置が備えるように構成するとよい。つまり、請求項2に記載のネットワーク通信システムにおいては、データ受信側通信装置が、データ送信側通信装置との間の通信に用いる暗号化方式を、データを暗号化又は復号化する際の処理速度である暗号処理速度に基づいて暗号化方式候補の中から選択する選択手段と、選択手段によって選択された暗号化方式をデータ送信側通信装置へ通知する暗号化方式通知手段とを備えている。
【0014】
一方、データ送信側通信装置は、暗号化方式通知手段によって通知された暗号化方式に基づいて送信データを暗号化する暗号化手段と、暗号化手段によって暗号化された送信データをデータ受信側通信装置へ送信する送信手段とを備えている。
【0015】
更に、データ受信側通信装置は、データ送信側通信装置から送信されてきた暗号化された送信データを受信する受信手段と、受信手段によって受信した暗号化された送信データを、選択手段よって選択された暗号化方式に基づいて復号化する復号化手段とを備えている。このように構成すれば、データの送受信を行う通信装置間のみでデータ送受信の際の暗号化方式を決定することができる。
【0016】
なお、ここでいうデータ送信側通信装置は、例えばLANやインターネット等のWAN等を介して他の端末と通信可能な機能を有する一般的なパーソナルコンピュータ等で構成される。また、データ受信側通信装置は、データ送信側通信装置から送信されてきたデータに基づいて様々なサービスを提供する装置であり、例えばネットワークを介して受信した印刷データに基づいて印刷を行うネットワークプリンタや種々のデータを提供するサーバ等によって構成される。
【0017】
また、暗号処理速度に基づいて暗号化方式を選択するためには、例えばデータ受信側通信装置自身が当該暗号化方式において暗号化・復号化処理を行う際の処理速度(例えばbyte/sec)を、予め暗号化方式ごとにそれぞれ記憶しておけばよい。
より具体的には、請求項3に記載のネットワーク通信システムのように構成すればよい。つまり、データ受信側通信装置はデータ送信側通信装置とデータ受信側通信装置との間の通信速度を測定する測定手段を備えている。そして、選択手段は暗号化方式候補の中から、測定手段によって測定した通信速度よりも暗号処理速度が速い暗号化方式を選択する。
【0018】
このように、データ送信側通信装置とデータ受信側通信装置との間の通信速度より暗号処理速度が速い暗号化方式を選択することで、暗号化・復号化処理における処理負荷がボトルネックとなって通信速度が低下することを防ぐことができ、処理時間を短縮することができる。
【0019】
また、暗号処理速度だけでなく暗号強度を考慮して暗号化方式を選択することにより、十分なセキュリティ強度を確保しつつ、処理時間を短縮することができるので好適である。
【0020】
そこで、請求項4に記載のネットワーク通信システムのように構成するとよい。つまり、選択手段は、暗号化方式候補の中から、測定手段によって測定した通信速度よりも暗号処理速度が速い暗号化方式の中で最も暗号強度が大きい暗号化方式を選択する。
【0021】
なお、最も暗号強度が大きい暗号化方式を選択するためには、例えばデータ受信側通信装置自身が当該暗号化方式の暗号強度(例えば鍵長等)を、予め暗号化方式ごとにそれぞれ記憶しておけばよい。
【0022】
上記ネットワーク通信システムによれば、データ送信側通信装置とデータ受信側通信装置との間の通信速度より暗号処理速度が速く、かつ、より暗号強度が大きい暗号化方式を選択することで、暗号化・復号化処理における処理負荷がボトルネックとなって通信速度が低下することを防ぎつつ、より高度なセキュリティを実現することができる。したがって、速い処理時間と強い暗号強度とを両立した効率のよいネットワーク通信システムを実現することができる。
【0023】
ところで、ネットワークに接続される通信装置では、複数の暗号化方式が利用可能であることが一般的である。しかし、データ送信側の通信装置とデータ受信側の通信装置とで、利用することができる暗号化方式が異なる場合がある。このような場合、どちらか一方の通信装置しか利用できない暗号化方式を用いて通信を行うと、暗号化したデータを相手側装置が復号化できないといったエラーが発生するおそれがある。
【0024】
そこで、請求項5に記載のネットワーク通信システムのように構成するとよい。つまり、データ送信側通信装置は、自通信装置が利用可能な暗号化方式を暗号化方式候補としてデータ受信側通信装置へ通知する暗号化方式候補通知手段を備える。また、データ受信側通信装置は、暗号化方式候補通知手段によって通知された暗号化方式候補の中に自通信装置が利用可能な暗号化方式があるか否かを判定する判定手段を備える。そして、データ受信側通信装置が備える選択手段は、判定手段によって当該データ受信側通信装置が利用可能な暗号化方式があると判定された場合、データ送信側通信装置及びデータ受信側通信装置が共に利用可能な暗号化方式の中から、データ送信側通信装置とデータ受信側通信装置との間の通信に用いる暗号化方式を選択する。
【0025】
このように、データ送信側通信装置とデータ受信側通信装置との双方で利用可能な暗号化方式の中から通信に用いる暗号化方式が選択されるので、暗号化したデータを相手側装置が復号化できないといったエラーを防止することができる。
【0026】
ところで、公衆回線網等を利用した広域ネットワークであるWANでは、不特定多数の端末や他のネットワークが接続されていることから、同一敷地(同一建物)内等の限られた範囲で運用されるLANと比較して、通信を傍受されることによる機密漏洩の危険性が高い。したがって、データ送信側通信装置とデータ受信側通信装置とが、WANを介してデータの授受を行う場合は、LANを介してデータを授受する場合よりもより暗号強度が大きい暗号化方式を用いることが望ましい。
【0027】
そこで、請求項6に記載のネットワーク通信システムのように構成するとよい。つまり、データ送信側通信装置は、ネットワークがWANであるか否かを判定するネットワーク判定手段と、ネットワーク判定手段によってネットワークがWANであると判定された場合、自通信装置が利用可能な暗号化方式の中から、所定の暗号強度以上の暗号化方式を抽出する第1の抽出手段とを更に備える。そして、暗号化方式候補通知手段は、前記第1の抽出手段により抽出された暗号化方式を前記暗号化方式候補として前記データ受信側通信装置へ通知する。
【0028】
なお、ネットワークがWANであるか否かを判定するためには、例えばネットワークがインターネットやイントラネットといったTCP/IPを用いるものであれば、自通信装置のIPアドレスと通信相手のIPアドレスとがプライベートアドレス以外である場合、WANと判断すればよい。また、自通信装置のIPアドレスと通信相手のIPアドレスとで、IPアドレスのネットワーク部が異なる場合にWANと判断するようにしてもよい。
【0029】
また、ここでいう「所定の暗号強度」は、予め設定されていてもよいし、通信の都度において利用者から設定されるように構成されていてもよく、WANで通信を行うのに十分なセキュリティを確保できる程度の暗号強度が設定されることが望ましい。
【0030】
上記のような構成を有するネットワーク通信システムによれば、ネットワークがWANであると判断された場合に、所定の暗号強度以上の暗号化方式候補の中から暗号処理速度に基づいて暗号化方式が選択される。したがって、機密漏洩の危険性が高いWANを介した通信であっても、十分なセキュリティを確保しつつ、処理時間を短縮することができる。
【0031】
一方、通信データには、その送信データに必要な機密性に応じて所定の機密レベルが設定されることがある。例えば、印刷データや画像データ等においては、データに透かし文字(ウォーターマーク)が付加されることによって、印刷される書類や画像の機密性に応じて「社外秘」、「Confidential(機密)」、「Copy(複写)」等といった機密レベルが設定される。このような場合、例えば、透かし文字によって「社外秘」、「Confidential(機密)」といったより高い機密性が要求される機密レベルが設定されているような送信データをネットワークを介して送信する際には、この機密情報の漏洩を避けるために、より暗号強度が大きい暗号化方式が選択されることが望ましい。
【0032】
そこで、請求項7に記載のネットワーク通信システムのように構成するとよい。つまり、データ送信側通信装置は、送信データに対して所定の機密レベルが設定されているか否かを判定する機密レベル判定手段と、機密レベル判定手段によって送信データに所定の機密レベルが設定されていると判定された場合、自通信装置が利用可能な暗号化方式の中から、所定の暗号強度以上の暗号化方式を抽出する第2の抽出手段とを更に備える。そして、暗号化方式候補通知手段は、第2の抽出手段により抽出された暗号化方式を暗号化方式候補としてデータ受信側通信装置へ通知する。
【0033】
上記のような構成を有するネットワーク通信システムによれば、高い機密性が必要なデータに対しては、所定の暗号強度以上の暗号化方式候補の中から暗号処理速度に基づいて暗号化方式が選択される。したがって、高い機密性が必要なデータを送信する場合であっても、十分なセキュリティを確保しつつ、処理時間を短縮することができる。
【0034】
なお、請求項6及び請求項7に記載のネットワーク通信システムにおいては、請求項4に記載の判定手段を備えないような態様のものであってもよい。
ところで、上記のネットワーク判定手段及び第1の抽出手段のような、ネットワークの種類に応じて所定強度以上の暗号化方式を抽出する機能を備えるのは、データ送信側通信装置又はデータ受信側通信装置のどちらであってもよい。つまり、請求項8に記載のネットワーク通信システムのように構成してもよい。即ち、ネットワークがWANであるか否かを判定するネットワーク判定手段と、ネットワーク判定手段によってネットワークがWANであると判定された場合、複数の暗号化方式の中から、所定の暗号強度以上の暗号化方式を抽出する抽出手段と、この抽出手段により抽出された暗号化方式を暗号化方式候補として選択手段へ通知する抽出通知手段とを備える。そして、選択手段は、抽出通知手段によって抽出された暗号化方式候補の中から、データ送信側通信装置とデータ受信側通信装置との間の通信に用いる暗号化方式を選択する。
【0035】
上記ネットワーク通信システムにおいては、ネットワーク判定手段、抽出手段及び抽出通知手段は、データ送信側通信装置又はデータ受信側通信装置の何れが備えていても、ネットワークの種類に応じて所定強度以上の暗号化方式を抽出する機能を実現することができる。
【0036】
従来、代表的な暗号化方式として、暗号化と復号化とに同一の鍵である共通鍵を用いる共通鍵暗号方式と、暗号化と復号化とにそれぞれ別の鍵を用いる公開鍵暗号方式とが用いられている。このうち、共通鍵暗号方式は、公開鍵暗号方式と比較して処理コストが大幅に低く、長いデータの暗号化に好適である。しかし、共通鍵暗号方式では、受信側端末がWAN等を介した遠隔地にある場合、この共通の鍵を安全でない通信路を使って、どのように鍵を配布するのかが問題となる。一方、公開鍵暗号方式では、公開鍵と秘密鍵の2組の鍵を用いるが、公開鍵は安全でない通信路を介して複数の相手に送信できる特徴がある。しかし、公開鍵暗号方式は共通鍵暗号方式に比べて処理コストか極めて高く、長いデータの暗号化には不向きである。
【0037】
そこで、共通鍵暗号方式と公開鍵暗号方式とを併用することで、それぞれの短所を補って、効率のよいデータの暗号化を行うことが望ましい。具体的には、請求項9に記載のネットワーク通信システムのように構成するとよい。つまり、選択手段による選択の対象となる暗号化方式候補は、暗号化と復号化とに同一の鍵である共通鍵を用いる共通鍵暗号方式である。そして、データ受信側通信装置は、暗号化と復号化とにそれぞれ別の鍵を用いる公開鍵暗号方式における公開鍵と秘密鍵とを記憶する記憶手段と、記憶手段が記憶している公開鍵をデータ送信側通信装置へ送信する公開鍵送信手段とを備える。また、データ送信側通信装置は、暗号化方式通知手段から通知された暗号化方式に対応する共通鍵を生成する鍵生成手段と、鍵生成手段が生成した共通鍵を、データ受信側通信装置から送信されてきた公開鍵によって暗号化し、この暗号化した共通鍵をデータ受信側通信装置へ送信する共通鍵送信手段とを備える。そして、暗号化手段は、鍵生成手段が生成した共通鍵を用いて送信データを暗号化する。一方、復号化手段は、データ送信側通信装置から送信されてきた暗号化された共通鍵を記憶手段に記憶されている秘密鍵を用いて復号化し、この復号化した共通鍵を用いて暗号化された送信データを復号化する。
【0038】
上記のネットワーク通信システムにおいては、通信データの暗号化には、比較的処理コストが低い共通鍵暗号方式を用いる。そして、この共通鍵暗号化方式に用いる共通鍵を、公開鍵暗号方式の公開鍵によって暗号化し、共通鍵を共有する。このようすることで、共通鍵暗号方式に用いる共通鍵を、公開鍵暗号方式を用いて安全に配布することができるので、効率のよい暗号化処理を行うことができると共に、十分なセキュリティを確保することができる。また、データ送信側通信装置とデータ受信側通信装置との間で、共通鍵を共有してから暗号化処理を行っているため、暗号化したデータを通信相手側端末(データ受信側通信装置)において復号できないといったエラーを防止することもできる。
【0039】
次に、請求項10に記載のデータ受信側通信装置は、2以上の通信装置がネットワークを介して通信可能に接続され、データの送受信を行う通信装置間でデータを暗号化又は復号化するための所定の暗号化方式の合意を行い、この合意した暗号化方式で暗号化されたデータを送受信可能なネットワーク通信システムを構成するデータ受信側通信装置であって、データ送信側通信装置との間の通信に用いる暗号化方式を、データを暗号化又は復号化する際の処理速度である暗号処理速度に基づいて暗号化方式候補の中から選択する選択手段と、選択手段によって選択された暗号化方式をデータ送信側通信装置へ通知する暗号化方式通知手段と、データ送信側通信装置から送信されてきた暗号化された送信データを受信する受信手段と、受信手段によって受信した暗号化された送信データを、選択手段よって選択された暗号化方式に基づいて復号化する復号化手段とを備えることを特徴とするものである。
【0040】
上記データ受信側通信装置は、上述の請求項2に記載のネットワーク通信システムを構成するデータ受信側通信装置として機能するものである。このため、このデータ受信側通信装置によれば、上記ネットワーク通信システムを構築することができ、これにより、上述した効果を得ることができる。
【0041】
一方、請求項11に記載のデータ送信側通信装置は、2以上の通信装置がネットワークを介して通信可能に接続され、データの送受信を行う通信装置間でデータを暗号化又は復号化するための所定の暗号化方式の合意を行い、この合意した暗号化方式で暗号化されたデータを送受信可能なネットワーク通信システムを構成するデータ送信側通信装置であって、データ送信側通信装置とデータ受信側通信装置との間の通信に用いる暗号化方式を、送信データを暗号化又は復号化する際の処理速度である暗号処理速度に基づいて暗号化方式候補の中から選択するデータ受信側通信装置から通知された暗号化方式に基づいて送信データを暗号化する暗号化手段と、暗号化手段によって暗号化された送信データをデータ受信側通信装置へ送信する送信手段とを備えることを特徴としている。
【0042】
上記データ送信側通信装置は、上述の請求項2〜4に記載のネットワーク通信システムを構成するデータ送信側通信装置として機能するものである。このため、このデータ送信側通信装置によれば、上記ネットワーク通信システムを構築することができ、これにより、上述した効果を得ることができる。
【0043】
次に、請求項12に記載のプログラムは、2以上の通信装置がネットワークを介して通信可能に接続され、データの送受信を行う通信装置間でデータを暗号化又は復号化するための所定の暗号化方式の合意を行い、データ送信側通信装置が合意した暗号化方式に基づいて暗号化した送信データをデータ受信側通信装置へ送信し、データ受信側通信装置がデータ送信側通信装置より受信した送信データを復号化してデータの送受信を可能とするネットワーク通信システムにおける通信装置としてコンピュータを機能させるプログラムであって、データの送受信を行う通信装置間の通信に用いる暗号化方式を、データを暗号化又は復号化する際の処理速度である暗号処理速度に基づいて暗号化方式候補の中から選択する選択手段としてコンピュータを機能させるためのものである。
【0044】
上記プログラムは、FD、MO、DVD−ROM、CD−ROM、ハードディスク等のコンピュータによって読み取り可能な記録媒体に記録しておき、必要に応じてコンピュータにロードして起動することにより用いることができる。また、ROMやバックアップRAMに本プログラムを書き込んでおき、これらのROMやバックアップRAMをコンピュータに組み込んで用いてもよい。
【発明を実施するための最良の形態】
【0045】
以下、本発明の実施形態を図面に基づいて説明する。
[ネットワーク印刷システム1の構成の説明]
図1は、ネットワーク印刷システム1の概略構成を示す図である。
【0046】
図1に示すように、実施形態のネットワーク印刷システム1は、クライアントパーソナルコンピュータ(クライアントPC)10と、プリントサーバ20aとがLAN40に接続され、LAN40を介して互いに通信可能に構成されている。また、LAN40は、ネットワーク間のデータを中継するルータ30を経由してインターネット50に接続されている。一方、プリントサーバ20bは、LAN41に接続されている。また、LAN41は、ネットワーク間のデータを中継するルータ31を経由してインターネット50に接続されている。クライアントPC10とプリントサーバ20bとは、インターネット50を介して互いに通信可能に構成されている。
【0047】
なお、実施形態のクライアントPC10は、特許請求の範囲のデータ送信側通信装置に相当し、プリントサーバ20a、20bはデータ受信側通信装置に相当し、LAN40、41及びインターネット50はネットワークに相当する。
【0048】
次に、図2(a)は、クライアントPC10の概略構成を示すブロック図である。
クライアントPC10は、十分な処理機能を有する通常のパーソナルコンピュータによって構成されており、各種演算処理を行うCPU11と、図示しないROM、RAM及びハードディスク装置(HDD)等からなる記憶部12と、通信制御を行うためのデータ送受信部13と、通信ケーブルが接続されるネットワークインターフェース(ネットワークIF)14と、利用者が操作可能な入力装置15(例えば、キーボードやポインティングデバイス)と、入力装置15からの信号を処理する入力装置制御部16と、液晶ディスプレイやCRTからなり、各種情報を表示するディスプレイ17と、CPU11からの制御に基づきディスプレイ17の表示を制御する表示制御部18等からなる。
【0049】
このうちCPU11は、データ送信部13及びネットワークIF14を介してプリントサーバ20a、20bへ印刷データの送信を行う際に、この印刷データを暗号化して送信するための各種処理を実行する。なお、これらの処理についての詳細な説明は後述する。
【0050】
また、記憶部12のHDDには、データの暗号処理に用いる複数の共通鍵暗号方式のプログラムと、この共通鍵暗号方式に用いる共通鍵を通信相手と共有する際に行う暗号処理に用いる公開鍵暗号の方式プログラム等が記憶されている。
【0051】
一方、図2(b)は、プリントサーバ20a、20bの概略構成を示すブロック図である。なお、以降において、プリントサーバ20aとプリントサーバ20bとを特に区別する必要がない場合は、単にプリントサーバ20と称する。
【0052】
プリントサーバ20は、各種演算処理を行うCPU21と、図示しないROM及びRAM等からなる記憶部22と、通信制御を行うためのデータ送受信部23と、通信ケーブルが接続されるネットワークインターフェース(ネットワークIF)24と、レーザー転写方式、インクジェット方式等の記録方式によって記録紙に画像を形成可能な印刷部25と、液晶ディスプレイ等により構成され、各種情報を表示する表示部26と、十字キーなどのキーによって構成され、各種情報を入力する入力部27等からなる。
【0053】
このプリントサーバ20は、ネットワーク内のクライアントPC10から印刷データを受信し、この印刷データに基づく画像を印刷部25によって形成するいわゆるネットワークプリンタの機能を有する。このとき、CPU21は、クライアントPC10との印刷データの授受に用いられる暗号化方式を選択し、この選択した暗号化方式に基づいて暗号化された印刷データを復号化するための各種処理を実行する。これらの処理の詳細については後述する。
【0054】
また、記憶部22には、データの暗号処理に用いる複数の共通鍵暗号方式のプログラムと、この共通鍵暗号方式に用いる共通鍵を通信相手と共有する際に行う暗号処理に用いる公開鍵暗号方式プログラムと、この公開鍵暗号方式に用いる公開鍵及び秘密鍵とが記憶されている。
【0055】
[第1実施形態]
以下、上記構成をするネットワーク印刷システム1の第1実施形態において実行される各種処理について説明する。
【0056】
まず、第1実施形態のネットワーク印刷システム1におけるクライアントPC10とプリントサーバ20との間で行われる通信の概要について、図3のラダーチャートを用いて説明する。
【0057】
クライアントPC10とプリントサーバ20とは、印刷開始から印刷終了までの間、一連の通信処理を行う。この通信処理において、まず、クライアントPC10は、通信相手のプリントサーバ20が、自装置が属するLAN40内にあるかインターネット50等のWAN内にあるか、及び、印刷データに「Confidential」又は「社外秘」のウォーターマークが設定されているかといった状況を判定する。そして、これらの判定結果に基づき記憶部12に記憶されている自装置が利用可能な共通鍵暗号方式の中から所定の条件に合致する暗号化方式を抽出し、印刷データの暗号化に用いる暗号方式候補となるリストを作成する。
【0058】
なお、印刷データに設定されるウォーターマークや、暗号化方式候補としてリストアップされる所定の条件は、図4に示すクライアントPC10側のセキュリティ設定画面において、利用者によって予め設定される。具体的には、図4に示すように、ディスプレイ17に表示されるセキュリティ設定画面において、利用者はポインティングデバイスを用いて、所望する項目のチェックボックス及びラジオボタンを指定することで、使用するウォーターマーク及び共通鍵暗号化方式が設定される。
【0059】
図3の説明に戻る。クライアントPC10において共通鍵暗号方式のリスト作成後、印刷データを暗号化するために用いる共通鍵暗号化方式の合意を形成するための「共通鍵暗号方式合意要求」をプリントサーバ20へ送信する。続いて、作成した共通鍵暗号方式のリストをプリントサーバ20へ通知する。プリントサーバ20は、通知されたリストの共通鍵暗号方式候補の中から、クライアントPC10とプリントサーバ20との間の通信速度や暗号強度等に基づいて、印刷データの暗号処理に用いる共通鍵暗号方式を選択する。そして、選択した共通鍵暗号方式をクライアントPC10へ通知する。こうして、クライアントPC10とプリントサーバ20との間で、印刷データを暗号化するために用いる共通鍵暗号化方式の合意が形成される。
【0060】
続いて、プリントサーバ20によって選択された共通鍵暗号方式の通知を受信したクライアントPC10は、当該共通鍵暗号方式に用いる共通鍵を共有する処理を行うための「共通鍵共有要求」をプリントサーバ20へ送信する。プリントサーバ20は、この共通鍵共有要求に応じて、共通鍵を暗号化して授受するために用いる公開鍵暗号方式の公開鍵をクライアントPC10へ送信する。なお、この公開鍵には、正当性を証明するための認証局(CA)による電子署名及び本人性情報が付加されている。
【0061】
CAによる電子署名が添付された公開鍵を受信したクライアントPC10は、当該CAによって発行された公開鍵(CAの公開鍵)を用いてこの受信した公開鍵の電子署名を検証し、生成した共通鍵を公開鍵によって用いて暗号化する。そして、クライアントPC10は、この暗号化した共通鍵をプリントサーバ20へ送信する。暗号化された共通鍵を受信したプリントサーバ20は、当該公開鍵暗号方式の秘密鍵を用いてこれを復号化して共通鍵を取得する。こうして、クライアントPC10とプリントサーバ20との間で、共通鍵暗号方式に用いる共通鍵が共有される。
【0062】
次に、クライアントPC10は、合意した共通鍵暗号方式の共通鍵を用いて印刷データを暗号化し、この暗号化した印刷データをプリントサーバ20へ送信する。そして、プリントサーバ20は、受信した暗号化された印刷データを当該共通鍵暗号方式の共通鍵を用いて復号化し、印刷部25において、この復号化した印刷データに基づいて記録紙に画像を形成する。
【0063】
以下、上記一連の通信処理においてクライアントPC10及びプリントサーバ20において実行される各種処理についてフローチャートに基づいて説明する。
[印刷データ暗号化・送信処理]
図5は、クライアントPC10のCPU11において実行される印刷データ暗号化・送信処理を示すフローチャートである。
【0064】
まず、ステップ10(以下、単にS10と表記する。他のステップについても同様。)において、プリントサーバ20を用いた印刷の開始指示がなされたか否を判定する。ここで、印刷開始の指示がなされていないと判定した場合(S10:NO)、上記処理を繰り返す。そして、印刷開始の指示がなされたと判定した場合(S10:YES)、データ送信の対象である印刷データを暗号化するのに用いる共通鍵暗号方式の合意が通信相手のプリントサーバ20との間で形成されているか否かを判定する(S20)。ここで共通鍵暗号方式の合意が形成されていないと判定した場合(S20:NO)、共通鍵暗号方式合意処理を実行し(S30)、通信相手のプリントサーバ20との間で当該印刷データの暗号化に用いる共通鍵暗号方式の合意を形成する。なお、この共通鍵暗号方式合意処理の詳細については後述する。
【0065】
そして、S30における共通鍵暗号方式の合意が成功したか否かを判定する(S40)。ここで、共通鍵暗号方式の合意が成功しなかったと判定場合(S40:NO)、S10の処理へ戻る。一方、共通鍵暗号方式の合意が成功したと判定した場合(S40:YES)、S50へ移行する。また、S20において、既に共通鍵暗号方式の合意が形成されていると判定した場合(S20:YES)、S30及びS40を実行せずそのままS50へ移行する。
【0066】
次に、通信相手のプリントサーバ20との間で、合意された共通鍵暗号方式に用いる共通鍵が共有されているか否かを判定する(S50)。ここで共通鍵が共有されていないと判定した場合(S:50:NO)、共通鍵共有処理を実行し(S60)、通信相手のプリントサーバ20との間で共通鍵を共有する。なお、この共通鍵共有処理の詳細な説明については後述する。
【0067】
そして、S60における共通鍵の共有が成功したか否かを判定する(S70)。ここで、共通鍵の共有が成功しなかったと判定場合(S70:NO)、S10の処理へ戻る。一方、共通鍵の共有が成功したと判定した場合(S70:YES)、S80へ移行する。また、S50において、既に共通鍵の共有がなされていると判定した場合(S50:YES)、S60及びS70を実行せずそのままS80へ移行する。
【0068】
そして、S80では、印刷データを共有した共通鍵を用いて暗号化し、この暗号化した印刷データをプリントサーバ20へ送信する。
[共通鍵暗号方式合意処理]
図6は、クライアントPC10で実行される印刷データ暗号化・送信処理(図5参照)におけるS30の共通鍵暗号方式合意処理を示すフローチャートである。
【0069】
まず、通信相手のプリントサーバ20が属するネットワークの種類を判定する(S110)。具体的には、自装置のIPアドレスと通信相手のプリントサーバ20のIPアドレスとがプライベートアドレス以外である場合、ネットワークの種類はWANであると判定し、そうでない場合はLAN(即ち、プリントサーバ20が自装置を同一のLAN内に属する)であると判定する。あるいは、自装置のIPアドレスと通信相手のプリントサーバ20のIPアドレスとで、IPアドレスのネットワーク部が異なる場合にネットワークの種類がWANであると判定し、そうでない場合はLANであると判定する。つまり、通信相手が、クライアントPC10と同一のLAN40内に属するプリントサーバ20aである場合は、ネットワークの種類がLANであると判定される。また、通信相手が、インターネットを介した他のネットワーク(LAN41)に属するプリントサーバ20bである場合は、ネットワークの種類がWANであると判定される。
【0070】
続いて、判定したネットワークの種類がWANであるか否か(即ち、通信相手がWAN内に属するか否か)を判定する(S120)。ここで、通信相手がWAN内に属すると判定した場合(S120:YES)、高強度の共通鍵暗号化方式を暗号化方式候補として抽出するためのフラグを立て(S130)、S140へ移行する。一方、S120において、ネットワークの種類がLANである(即ち、通信相手がクライアントPC10と同一のLAN40に属する)と判定した場合(S120:NO)、S130を実行せずそのままS140へ移行する。
【0071】
次に、当該印刷データに設定されているウォーターマークの種類を判定し(S140)、設定されているウォーターマークが「Confidential」又は「社外秘」であるか否かを判定する(S150)。なお、印刷データに設定されているウォーターマークは、図4に示すセキュリティ設定画面の「ウォーターマークの設定」欄において、使用者によって予め選択されるものである。S150において、設定されているウォーターマークが「Confidential」又は「社外秘」であると判定した場合(S150:YES)、高強度の共通鍵暗号化方式を暗号化方式候補として抽出するためのフラグを立て(S160)、S170へ移行する。一方、S150において、設定されているウォーターマークが「Confidential」又は「社外秘」でないと判定した場合(S150:NO)、S160を実行せずそのままS170へ移行する。
【0072】
続いて、図4に示すセキュリティ設定画面の「使用できる共通鍵暗号方式の指定」の欄において設定された内容に基づいて、使用できる共通鍵暗号方式のリストを生成する(S170)。なお、記憶部12には、自装置が使用できる各共通鍵暗号方式の暗号強度の指標となる鍵長がそれぞれの共通鍵暗号方式に対応付けて記憶されている。この鍵長(暗号強度)は、使用できる共通鍵暗号方式リストを生成する際に共通鍵暗号方式の名称に対応付けて共にリストアップされる。
【0073】
次に、S130又はS160においてフラグが立っている場合、図4に示すセキュリティ設定画面の「高強度な共通鍵暗号方式の指定」の欄において設定された内容に基づいて、生成された共通鍵暗号方式のリストから指定されている高強度な共通鍵暗号方式を抽出し、それ以外の暗号方式をリストから削除する(S180)。また、フラグ立っていなければ、そのままS190へ移行する。
【0074】
なお、図7(a)は、このS170において生成される共通鍵暗号方式のリストの一例を示す図であり、図7(b)は、S180において指定されている高強度な共通鍵暗号方式を抽出し、それ以外の暗号方式を上記リストから削除した状態の一例を示す図である。また、図7(b)は、セキュリティ設定画面(図4参照)において、高強度な共通鍵暗号方式として鍵長(暗号強度)が128bit以上の共通鍵暗号方式が指定された場合の例を示している。
【0075】
図6の説明に戻る。S190では、共通鍵暗号方式合意要求を通信相手のプリントサーバ20へ送信する。続いて、S180において生成した共通鍵暗号方式のリスト(図7(b)参照)を通信相手のプリントサーバ20へ送信する(S200)。
【0076】
そして、S200において送信したリストに基づいてプリントサーバ20によって選択された共通鍵暗号方式の通知を受信する(S210)。次に、受信した通知が、「プリントサーバ20において使用できる共通鍵暗号方式がない」旨を示す通知であるか否かを判定する(S220)。ここで、プリントサーバ20が使用できる共通鍵暗号方式がない旨を示す通知ではない(即ち、選択された共通鍵暗号方式の通知である)と判定した場合(S220:NO)、プリントサーバ20との共通鍵暗号方式の合意の形成が成功したとして、この処理を終了する(S230)。一方、プリントサーバ20が使用できる共通鍵暗号方式がない旨を示す通知であると判定した場合(S220:YES)、プリントサーバ20との共通鍵暗号方式の合意の形成が失敗したとして、この処理を終了する(S240)。
【0077】
[共通鍵共有処理]
図8は、クライアントPC10で実行される印刷データ暗号化・送信処理(図5参照)におけるS60の共通鍵共有処理を示すフローチャートである。
【0078】
まず、通信相手のプリントサーバ20へ共通鍵共有要求を送信する(S310)。次に、送信した共通鍵共有要求に応じてプリントサーバ20から送信されてきた公開鍵暗号方式に用いる公開鍵(認証局(CA)の電子署名付)を受信する(S320)。そして、この公開鍵に添付されている電子署名に該当する認証局(CA)から発行された公開鍵(CAの公開鍵)によって、この電子署名の正当性を検証し(S330)、この電子署名が正当なものであるか否かを判定する(S340)。
【0079】
ここで、公開鍵に添付されている電子署名が正当なものであると判定した場合(S340:YES)、S30(図5参照)の共通鍵暗号方式合意処理において合意された共通鍵暗号方式に対応する共通鍵を生成し、この生成した共通鍵をプリントサーバ20から受信した公開鍵によって暗号化して、この暗号化した共通鍵をプリントサーバ20へ送信する(S350)。そして、プリントサーバ20との共通鍵の共有が成功したとしてこの処理を終了する(S360)。
【0080】
一方、公開鍵に添付されている電子署名が正当なものでないと判定した場合(SS340:NO)、プリントサーバ20との共通鍵の共有が失敗したとして、この処理を終了する(S370)。
【0081】
[通信データ受信処理及び印刷データ復号化処理]
図9は、プリントサーバ20のCPU21によって実行される通信データ受信処理及び印刷データ復号化処理を示すフローチャートである。
【0082】
まず、クライアントPC10からの各種データの送信を待ち、送信されてきたデータを受信する(S410)。そして、この受信したデータが、共通鍵共有要求であるか否かを判定する(S420)。なお、この共通鍵共有要求は、クライアントPC10において実行される共通鍵共有処理(図8参照)のS310で送信される。
【0083】
S420において、受信したデータが共通鍵共有要求であると判定した場合(S420:YES)、公開鍵暗号方式に用いる公開鍵(認証局(CA)の署名付)をクライアントPC10へ送信する(S:430)。続いて、この送信した公開鍵によって暗号化された共通鍵をクライアントPC10から受信する(S440)。そして、この暗号化された共通鍵を復号化して共通鍵を取得し(S450)、S410の処理へ戻る。なお、この取得した共通鍵は、後述の共通鍵暗号方式選択処理において予め選択し、クライアントPC10との合意が形成された共通鍵暗号方式に対応する共通鍵である。
【0084】
一方、S420において、受信したデータが共通鍵共有要求でないと判定した場合(S420:NO)、このデータが共通鍵暗号方式合意要求であるか否かを判定する(S460)。なお、この共通鍵暗号方式合意要求は、クライアントPC10において実行される共通鍵暗号方式合意処理(図6参照)のS190で送信される。
【0085】
S460において、受信したデータが共通鍵暗号方式合意要求であると判定した場合(S460:YES)、共通鍵暗号方式選択処理を実行し(S470)、その後S410の処理へ戻る。なお、この共通鍵暗号方式選択処理の詳細な説明については後述する。
【0086】
一方、S460において、受信したデータが共通鍵暗号方式合意要求でないと判定した場合(S460:NO)、このデータが印刷データであるか否かを判定する(S480)。この印刷データは、クライアントPC10において実行される印刷データ暗号化・送信処理(図5参照)のS80で送信された暗号化された印刷データ、又は、暗号化処理を経ずに送信された印刷データである。
【0087】
S480において、受信したデータが印刷データであると判定した場合(S480:YES)、クライアントPC10との共通鍵暗号方式の合意及びこの共通鍵暗号方式に用いる共通鍵の共有がされているか否かを判定する(S490)。具体的には、後述のS470において当該印刷データの暗号処理に用いる共通鍵暗号方式が選択されており、かつS430〜S450において、この共通鍵暗号方式に対応する共通鍵を取得しているか否かによってS490の判定を行う。
【0088】
ここで、クライアントPC10との共通鍵暗号方式の合意及びこの共通鍵暗号方式に用いる共通鍵の共有がされていると判定した場合(S490:YES)、受信した印刷データをS430〜S450において取得した共通鍵によって復号化し、この復号化した印刷データに基づいて、印刷部25によって記録紙に画像を形成する(S500)。
【0089】
一方、クライアントPC10との共通鍵暗号方式の合意及びこの共通鍵暗号方式に用いる共通鍵の共有がされていないと判定した場合(S490:NO)、この印刷データは暗号化されていない印刷データであると判断し、この印刷データに基づいて、印刷部25によって記録紙に画像を形成する(S510)。
【0090】
一方、S480において、受信したデータが印刷データでないと判定した場合(S480:NO)、S410の処理へ戻る。
[共通鍵暗号方式選択処理]
図10は、プリントサーバ20で実行される通信データ受信処理及び印刷データ復号化処理(図9参照)におけるS470の共通鍵暗号方式選択処理を示すフローチャートである。
【0091】
まず、クライアントPC10から送信されてきた共通鍵暗号方式のリストを受信する(S610)。この共通鍵暗号方式のリストは、クライアントPC10において実行される共通鍵暗号方式合意処理(図6参照)のS200で送信される。
【0092】
次に、受信したリストの中に自装置が使用できる共通鍵暗号方式があるか否かを判定する(S620)。ここで、受信したリストの中に自装置が使用できる共通鍵暗号方式があると判定した場合(S620:YES)、リストの中にある共通鍵暗号方式であり、且つ自装置が使用可能な共通鍵暗号方式のうち、自装置における暗号処理速度が最も速い共通鍵暗号方式を選択し(S630)、S670へ移行する。なお、記憶部22には、図11に示すような、自装置が使用可能な共通鍵暗号方式と、その暗号処理速度のテーブルが予め記憶されている。そして、S630では、この記憶されている暗号処理速度に基づいて共通鍵暗号方式を選択する。
【0093】
一方、S620で肯定判定をした後、S630を実行する代わりに、別実施形態としてS640〜S660の処理を実行してもよい。即ち、まずS640において、クライアントPC10との間の通信速度を測定する。そして、この測定した通信速度に基づいて、受信したリストの中にある共通鍵暗号方式において、自装置が使用可能なもので且つ暗号処理速度が通信速度よりも速い暗号方式の中で、最も暗号強度が大きい共通鍵暗号方式を選択する(S650)。通信速度が速いネットワーク環境であっても、暗号処理速度が通信速度より遅いような場合、この暗号処理が通信におけるボトルネックととなり、結果として通信速度が遅いネットワーク環境と変わらない通信時間が必要となる。また、プリントサーバにはCPUの性能が低い装置もあり、暗号化方式によっては、復号化(又はプリントサーバからデータを送信する場合は暗号化)の処理に時間がかかる場合がある。そこで、本ネットワーク印刷システム1においては、暗号処理速度が通信速度より高速な暗号方式を選択する(S650)ことで、実際のデータにおける通信速度を下げないでデータ送受信を行うことができる。
【0094】
次に、S650の処理おいて該当する共通鍵暗号方式があるか否かを判定する(S660)。ここで、該当する共通鍵暗号方式があると判定した場合(S660:YES)、S670へ移行する。
【0095】
S670では、S630又はS660において選択した共通鍵暗号方式をクライアントPC10へ通知して処理を終了する。
一方、S620において、受信したリストの中に自装置が使用できる共通鍵暗号方式がないと判定した場合(S620:NO)、又はS660において、該当する共通鍵暗号方式がないと判定した場合(S660:NO)、使用できる共通鍵暗号方式がない旨をクライアントPC10へ通知し(S680)、処理を終了する。
【0096】
以上、ネットワーク印刷システム1の第1実施形態について説明したが、第1実施形態のネットワーク印刷システム1の構成と特許請求に記載の構成との対応関係は次の通りである。まず、クライアントPC10の構成におけるCPU11が、特許請求の範囲における暗号化手段、ネットワーク判定手段、第1の抽出手段、機密レベル判定手段、第2の抽出手段、抽出手段及び鍵生成手段に相当する。また、CPU11、データ送受信部13及びネットワークIF14が、送信手段、暗号化方式候補通知手段、抽出通知手段及び共通鍵送信手段に相当する。
【0097】
一方、プリントサーバ20の構成におけるCPU21が、特許請求の範囲における選択手段、復号化手段、測定手段及び判定手段に相当する。また、CPU21、データ送受信部23及びネットワークIF24が、暗号化方式通知手段、受信手段及び公開鍵送信手段に相当し、記憶部22が記憶手段に相当する。
【0098】
[第2実施形態]
以下、ネットワーク印刷システム1の第2実施形態において実行される各種処理について説明する。
【0099】
ネットワーク印刷システム1の第2実施形態については、図1、図2に示すハードウェア構成は第1実施形態と同様であるが、上述の共通鍵暗号方式合意処理及び共通鍵暗号方式選択処理がそれぞれ第1実施形態とは異なる。特徴的な相違点としては、第1実施形態のクライアントPC10において実行されるS110〜S130、S170、S180(図6参照)の処理をプリントサーバ20側で実行する点が挙げられる。
【0100】
なお、第2実施形態のクライアントPC10で実行される印刷データ暗号化・送信処理、共通鍵共有処理、及びプリントサーバ20で実行される通信データ受信処理及び印刷データ復号化処理については、それぞれ第1実施形態における印刷データ暗号化・送信処理(図5参照)、共通鍵共有処理(図8参照)、及び通信データ受信処理及び印刷データ復号化処理(図9参照)と同様であるので、ここでの説明は省略する。
【0101】
[共通鍵暗号方式合意処理(第2実施形態)]
図12は、クライアントPC10で実行される印刷データ暗号化・送信処理(図5参照)におけるS30の共通鍵暗号方式合意処理を示すフローチャートである。
【0102】
まず、自装置において使用できる共通鍵暗号方式のリストを生成する(S710)。そして、共通鍵暗号方式合意要求を通信相手のプリントサーバ20へ送信する(S720)。続いて、S710において生成した共通鍵暗号方式のリストを通信相手のプリントサーバ20へ送信する(S730)。
【0103】
そして、S730において送信したリストに基づいてプリントサーバ20によって選択された共通鍵暗号方式の通知を受信する(S740)。次に、この受信した通知が、「プリントサーバ20において使用できる共通鍵暗号方式がない」旨を示す通知であるか否かを判定する(S750)。ここで、プリントサーバ20が使用できる共通鍵暗号方式がない旨を示す通知ではない(即ち、選択された共通鍵暗号方式の通知である)と判定した場合(S750:NO)、プリントサーバ20との共通鍵暗号方式の合意の形成が成功したとして、この処理を終了する(S760)。一方、プリントサーバ20が使用できる共通鍵暗号方式がない旨を示す通知であると判定した場合(S750:YES)、プリントサーバ20との共通鍵暗号方式の合意の形成が失敗したとして、この処理を終了する(S770)。
【0104】
[共通鍵暗号方式選択処理(第2実施形態)]
図13は、プリントサーバ20で実行される通信データ受信処理及び印刷データ復号化処理(図9参照)におけるS470の共通鍵暗号方式選択処理を示すフローチャートである。
【0105】
まず、自装置が使用可能な共通鍵暗号方式の中から、所定の条件に適合するものを抽出して共通鍵暗号方式候補のリストを生成する共通鍵暗号方式リスト生成処理を実行する(S810)。なお、この共通鍵暗号方式リスト生成処理の詳細な説明については後述する。
【0106】
続いて、クライアントPC10から送信されてきた共通鍵暗号方式のリストを受信する(S820)。この共通鍵暗号方式のリストは、クライアントPC10において実行される共通鍵暗号方式合意処理(図12参照)のS730で送信される。
【0107】
次に、S810において生成した共通鍵暗号方式のリストとS820においてクライアントPC10から受信した共通鍵暗号方式のリストとを比較し、両リストに共通の暗号方式を抽出する(S830)。
【0108】
そして、両リストに共通の暗号方式があるか否かを判定する(S840)。ここで、共通の暗号方式があると判定した場合(S840:YES)、両リストに共通の共通鍵暗号方式の中から、自装置における暗号処理速度が最も速い共通鍵暗号方式を選択し(S850)、S890へ移行する。なお、記憶部22には、図11に示すような、自装置が使用可能な共通鍵暗号方式と、その暗号処理速度のテーブルが予め記憶されている。そして、S850では、この記憶されている暗号処理速度に基づいて共通鍵暗号方式を選択する。
【0109】
一方、S840で肯定判定をした後、S850を実行する代わりに、別実施形態としてS860〜S880の処理を実行してもよい。即ち、まずS860において、クライアントPC10との間の通信速度を測定する。そして、この測定した通信速度に基づいて、両リストに共通の共通鍵暗号方式において、暗号処理速度が通信速度よりも速い暗号方式の中で最も暗号強度が大きい共通鍵暗号方式を選択する(S870)。そして、S870の処理おいて該当する共通鍵暗号方式があるか否かを判定する(S880)。ここで、該当する共通鍵暗号方式があると判定した場合(S880:YES)、S890へ移行する。
【0110】
S890では、S850又はS880において選択した共通鍵暗号方式をクライアントPC10へ通知して処理を終了する。
一方、S840において、両リストに共通の共通鍵暗号方式がないと判定した場合(S840:NO)、又はS880において、該当する共通鍵暗号方式がないと判定した場合(S880:NO)、使用できる共通鍵暗号方式がない旨をクライアントPC10へ通知し(S900)、処理を終了する。
【0111】
[共通鍵暗号リスト方式生成処理]
図14は、プリントサーバ20で実行される共通鍵暗号方式選択処理(図13参照)におけるS810の共通鍵暗号方式リスト生成処理を示すフローチャートである。
【0112】
まず、通信相手のクライアントPC10が属するネットワークの種類を判定する(S910)。続いて、判定したネットワークの種類がWANであるか否か(即ち、通信相手がWAN内に属するか否か)を判定する(S920)。ここで、通信相手がWAN内に属すると判定した場合(S920:YES)、高強度の共通鍵暗号化方式を暗号化方式候補として抽出するためのフラグを立て(S930)、S940へ移行する。一方、S920において、ネットワークの種類がLANである(即ち、通信相手のクライアントPC10が自装置と同一のLAN内に属する)と判定した場合(S920:NO)、S930を実行せずそのままS940へ移行する。
【0113】
続いて、予め設定された所定の条件に基づいて、自装置が使用できる共通鍵暗号方式のリストを生成する(S940)。ここでは、図15に示すような、表示部26に表示されるセキュリティ設定画面の「使用できる共通鍵暗号方式の指定」の欄において利用者が入力部27を操作することによって予め設定された条件に基づいて、自装置が使用できる共通鍵暗号方式の中から条件に適合する共通鍵暗号方式を抽出して、リストを生成する。なお、記憶部22には、自装置が使用できる各共通鍵暗号方式の暗号強度の指標となる鍵長がそれぞれの共通鍵暗号方式に対応付けて記憶されている。この鍵長(暗号強度)は、使用できる共通鍵暗号方式リストを生成する際に共通鍵暗号方式の名称に対応付けて共にリストアップされる。そして、S930においてフラグが立っている場合、図15に示すセキュリティ設定画面の「高強度な共通鍵暗号方式の指定」の欄において予め設定された内容に基づいて、生成された共通鍵暗号方式のリストから指定されている高強度な共通鍵暗号方式を抽出し、それ以外の暗号方式をリストから削除する(S950)。また、フラグが立っていなければそのまま処理を終了する。
【0114】
なお、図7(a)は、このS940において生成される共通鍵暗号方式のリストの一例を示す図であり、図7(b)は、S950において指定されている高強度な共通鍵暗号方式を抽出し、それ以外の暗号方式を上記リストから削除した状態の一例を示す図である。また、図7(b)は、セキュリティ設定画面(図15参照)において、高強度な共通鍵暗号方式として鍵長(暗号強度)が128bit以上の共通鍵暗号方式が指定された場合の例を示している。
【0115】
以上、ネットワーク印刷システム1の第2実施形態について説明したが、第2実施形態のネットワーク印刷システム1の構成と特許請求に記載の構成との対応関係は次の通りである。まず、クライアントPC10の構成におけるCPU11が、特許請求の範囲における暗号化手段及び鍵生成手段に相当する。また、CPU11、データ送受信部13及びネットワークIF14が、送信手段、暗号化方式候補通知手段及び共通鍵送信手段に相当する。
【0116】
一方、プリントサーバ20の構成におけるCPU21が、特許請求の範囲における選択手段、復号化手段、測定手段、判定手段、ネットワーク判定手段及び抽出手段に相当する。また、CPU21、データ送受信部23及びネットワークIF24が、暗号化方式通知手段、受信手段、抽出通知手段及び公開鍵送信手段に相当し、記憶部22が記憶手段に相当する。
【0117】
[効果]
実施形態のネットワーク印刷システム1によれば、以下のような効果を奏する。即ち、クライアントPC10とプリントサーバ20との間の通信速度より暗号処理速度が速く、かつ、より暗号強度が大きい暗号化方式を選択し、これを印刷データの暗号処理に用いることで、暗号化・復号化処理における処理負荷がボトルネックとなって通信速度が低下することを防ぎつつ、より高度なセキュリティを実現することができる。したがって、速い処理時間と強い暗号強度とを両立した効率のよいネットワーク印刷システムを実現することができる。
【0118】
また、クライアントPC10とプリントサーバ20との双方で利用可能な暗号化方式の中から通信に用いる暗号化方式が選択されるので、クライアントPC10において暗号化した印刷データをプリントサーバ20が復号化できないといったエラーを防止することができる。
【0119】
また、通信に用いるネットワークがWANであると判断された場合に、予め設定された暗号強度以上の暗号化方式候補の中から暗号処理速度に基づいて暗号化方式が選択される。したがって、機密漏洩の危険性が高いインターネット50のようなWANを介した通信では、LANを介した通信を行うときよりも強度が強い暗号方式が選択されるので、十分なセキュリティを確保しつつ、処理時間を短縮することができる。
【0120】
また、「Confidential」又は「社外秘」といった高い機密性を示すウォーターマークが設定された印刷データに対しては、予め設定された暗号強度以上の暗号化方式候補の中から暗号処理速度に基づいて暗号化方式が選択される。したがって、高い機密性が必要な印刷データを送信する場合であっても、十分なセキュリティを確保しつつ、処理時間を短縮することができる。
【0121】
また、実施形態のネットワーク印刷システム1においては、印刷データの暗号化には、比較的処理コストが低い共通鍵暗号方式を用いる。そして、この共通鍵暗号化方式に用いる共通鍵を、公開鍵暗号方式の公開鍵によって暗号化し、共通鍵を共有する。このようすることで、共通鍵暗号方式に用いる共通鍵を、公開鍵暗号方式を用いて安全に配布することができるので、効率のよい暗号化処理を行うことができると共に、十分なセキュリティを確保することができる。また、クライアントPC10とプリントサーバ20との間で、共通鍵を共有してから暗号化処理を行っているため、クライアントPC10において暗号化した印刷データをプリントサーバ20において復号化できないといったエラーを防止することもできる。
【0122】
以上、本発明の実施形態について説明したが、本発明の実施形態は上記の実施形態に何ら限定されるものではなく、本発明の技術的範囲に属する限り様々な態様にて実施することが可能である。例えば、上記実施形態のネットワーク印刷システム1のようにクライアント装置からサーバ装置へ印刷データを送信する場合のような一方向の暗号通信だけではなく、通信装置同士で機密性の高いデータを互いに授受するような双方向のデータ通信にも本発明を適用することができる。即ち、上記実施形態では、サーバ装置が暗号化方式を選択し、その選択した暗号化方式により暗号化されたデータをクライアント装置から受信しているが、クライアント装置が送信するためのデータの暗号化方式を選択して、その選択した暗号化方式により暗号化したデータをサーバ装置に送信するようにしてもよい。
【0123】
また、一方の装置で選択した暗号化方式を用いて、データの送信及び受信(例えば、選択手段により選択された暗号化方式により暗号化された印刷データをPCからプリントサーバに送信し、且つ印刷データを受信したことをPCに返答する際の暗号化方式も印刷データを受信した暗号化方式を用いて行う)を行ってもよい。
【0124】
更には、ネットワーク上の他の装置(例えば、管理サーバ)が暗号化方式を選択し、その暗号化方式にてデータの送受信をするようクライアント装置、サーバ装置に通知する構成であっても良い。
【0125】
また、上記実施形態では、ある閾値以上の高強度な暗号方式を抽出し、その抽出した暗号方式の中から処理速度が最も速いものを選択しているが、先にデータ送受信にかかる通信速度を測定し、その測定結果より処理速度が通信速度よりも高速な暗号方式を抽出し、その中から高強度なものを選択してもよい。
【図面の簡単な説明】
【0126】
【図1】実施形態のネットワーク印刷システム1の概略構成を示す図である。
【図2】(a)は、クライアントPC10の概略構成を示すブロック図であり、(b)は、プリントサーバ20a、20bの概略構成を示すブロック図である。
【図3】クライアントPC10とプリントサーバ20との間の通信を示すラダーチャートである。
【図4】印刷処理におけるクライアントPC10側のセキュリティ設定画面を示す図である。
【図5】クライアントPC10において実行される印刷データ暗号化・送信処理を示すフローチャートである。
【図6】クライアントPC10で実行される共通鍵暗号方式合意処理を示すフローチャートである。
【図7】(a)は、クライアントPC10において生成される共通鍵暗号方式のリストの一例を示す図であり、(b)は、指定されている高強度な共通鍵暗号方式を抽出し、それ以外の暗号方式を上記リストから削除した状態の一例を示す図である。
【図8】クライアントPC10で実行される共通鍵共有処理を示すフローチャートである。
【図9】プリントサーバ20において実行される通信データ受信処理及び印刷データ復号化処理を示すフローチャートである。
【図10】プリントサーバ20で実行される共通鍵暗号方式選択処理を示すフローチャートである。
【図11】記憶部22に記憶されている各共通鍵暗号方式の暗号処理速度のテーブルを示す図である。
【図12】クライアントPC10で実行される共通鍵暗号方式合意処理を示すフローチャートである。
【図13】プリントサーバ20で実行される共通鍵暗号方式選択処理を示すフローチャートである。
【図14】プリントサーバ20で実行される共通鍵暗号方式リスト生成処理を示すフローチャートである。
【図15】印刷処理におけるプリントサーバ20側のセキュリティ設定画面を示す図である。
【符号の説明】
【0127】
1…ネットワーク印刷システム、10…クライアントPC、11、21…CPU、12、22…記憶部、13、23…データ送受信部、14、24…ネットワークIF、15…入力装置、16…入力装置制御部、17…ディスプレイ、18…表示装置制御部、20a、20b…プリントサーバ、25…印刷部、26…表示部、27…入力部、30、31…ルータ、40、41…LAN、50…インターネット
【特許請求の範囲】
【請求項1】
2以上の通信装置がネットワークを介して通信可能に接続され、データの送受信を行う通信装置間でデータを暗号化又は復号化するための所定の暗号化方式の合意を行い、この合意した暗号化方式で暗号化されたデータを送受信可能なネットワーク通信システムにおいて、
前記2以上の通信装置の何れかは、
データの送受信を行う通信装置間の通信に用いる暗号化方式を、データを暗号化又は復号化する際の処理速度である暗号処理速度に基づいて暗号化方式候補の中から選択する選択手段と、
前記選択手段によって選択された暗号化方式を前記データの送受信を行う通信装置へ通知する暗号化方式通知手段とを備え、
データ送信側通信装置は、
前記選択手段により選択された暗号化方式に基づいて送信データを暗号化する暗号化手段と、
前記暗号化手段によって暗号化された送信データをデータ受信側通信装置へ送信する送信手段とを備え、
前記データ受信側通信装置は、
前記データ送信側通信装置から送信されてきた前記暗号化された送信データを受信する受信手段と、
前記受信手段によって受信した前記暗号化された送信データを、前記選択手段よって選択された暗号化方式に基づいて復号化する復号化手段とを備えること
を特徴とするネットワーク通信システム。
【請求項2】
請求項1に記載のネットワーク通信システムにおいて、
前記データ受信側通信装置が前記選択手段と前記暗号化方式通知手段とを備え、
前記暗号化方式通知手段は、前記選択手段によって選択された暗号化方式を前記データ送信側通信装置へ通知すること
を特徴とするネットワーク通信システム。
【請求項3】
請求項2に記載のネットワーク通信システムにおいて、
前記データ受信側通信装置は、前記データ送信側通信装置と前記データ受信側通信装置との間の通信速度を測定する測定手段を備え、
前記選択手段は、前記暗号化方式候補の中から、前記測定手段によって測定した通信速度よりも前記暗号処理速度が速い暗号化方式を選択すること
を特徴とするネットワーク通信システム。
【請求項4】
請求項3に記載のネットワーク通信システムにおいて、
前記選択手段は、前記暗号化方式候補の中から、前記測定手段によって測定した通信速度よりも前記暗号処理速度が速い暗号化方式の中で最も暗号強度が大きい暗号化方式を選択すること
を特徴とするネットワーク通信システム。
【請求項5】
請求項2ないし請求項4の何れか1項に記載のネットワーク通信システムにおいて、
前記データ送信側通信装置は、自通信装置が利用可能な暗号化方式を前記暗号化方式候補として前記データ受信側通信装置へ通知する暗号化方式候補通知手段を備え、
前記データ受信側通信装置は、前記暗号化方式候補通知手段によって通知された暗号化方式候補の中に自通信装置が利用可能な暗号化方式があるか否かを判定する判定手段を備え、
前記データ受信側通信装置が備える選択手段は、前記判定手段によって当該データ受信側通信装置が利用可能な暗号化方式があると判定された場合、前記データ送信側通信装置及び前記データ受信側通信装置が共に利用可能な暗号化方式の中から、前記データ送信側通信装置と前記データ受信側通信装置との間の通信に用いる暗号化方式を選択すること
を特徴とするネットワーク通信システム。
【請求項6】
請求項5に記載のネットワーク通信システムにおいて、
前記データ送信側通信装置は、
前記ネットワークがWANであるか否かを判定するネットワーク判定手段と、
前記ネットワーク判定手段によって前記ネットワークがWANであると判定された場合、自通信装置が利用可能な暗号化方式の中から、所定の暗号強度以上の暗号化方式を抽出する第1の抽出手段とを更に備え、
前記暗号化方式候補通知手段は、前記第1の抽出手段により抽出された暗号化方式を前記暗号化方式候補として前記データ受信側通信装置へ通知すること
を特徴とするネットワーク通信システム。
【請求項7】
請求項5又は請求項6に記載のネットワーク通信システムにおいて、
前記データ送信側通信装置は、
前記送信データに対して所定の機密レベルが設定されているか否かを判定する機密レベル判定手段と、
前記機密レベル判定手段によって前記送信データに所定の機密レベルが設定されていると判定された場合、自通信装置が利用可能な暗号化方式の中から、所定の暗号強度以上の暗号化方式を抽出する第2の抽出手段とを更に備え、
前記暗号化方式候補通知手段は、前記第2の抽出手段により抽出された暗号化方式を前記暗号化方式候補として前記データ受信側通信装置へ通知すること
を特徴とするネットワーク通信システム。
【請求項8】
請求項2ないし請求項4の何れか1項に記載のネットワーク通信システムにおいて、
前記ネットワークがWANであるか否かを判定するネットワーク判定手段と、
前記ネットワーク判定手段によって前記ネットワークがWANであると判定された場合、複数の暗号化方式の中から、所定の暗号強度以上の暗号化方式を抽出する抽出手段と、
前記抽出手段により抽出された暗号化方式を前記暗号化方式候補として前記選択手段へ通知する抽出通知手段とを備え、
前記選択手段は、前記抽出通知手段によって抽出された暗号化方式候補の中から、前記データ送信側通信装置と前記データ受信側通信装置との間の通信に用いる暗号化方式を選択すること
を特徴とするネットワーク通信システム。
【請求項9】
請求項2ないし請求項8の何れか1項に記載のネットワーク通信システムにおいて、
前記選択手段による選択の対象となる前記暗号化方式候補は、暗号化と復号化とに同一の鍵である共通鍵を用いる共通鍵暗号方式であり、
前記データ受信側通信装置は、
暗号化と復号化とにそれぞれ別の鍵を用いる公開鍵暗号方式における公開鍵と秘密鍵とを記憶する記憶手段と、
前記記憶手段が記憶している公開鍵を前記データ送信側通信装置へ送信する公開鍵送信手段とを備え、
前記データ送信側通信装置は、
前記暗号化方式通知手段から通知された暗号化方式に対応する共通鍵を生成する鍵生成手段と、
前記鍵生成手段が生成した共通鍵を、前記データ受信側通信装置から送信されてきた公開鍵によって暗号化し、この暗号化した共通鍵を前記データ受信側通信装置へ送信する共通鍵送信手段とを備え、
前記暗号化手段は、前記鍵生成手段が生成した共通鍵を用いて前記送信データを暗号化し、
前記復号化手段は、前記データ送信側通信装置から送信されてきた暗号化された共通鍵を前記記憶手段に記憶されている秘密鍵を用いて復号化し、この復号化した共通鍵を用いて前記暗号化された送信データを復号化すること
を特徴とするネットワーク通信システム。
【請求項10】
2以上の通信装置がネットワークを介して通信可能に接続され、データの送受信を行う通信装置間でデータを暗号化又は復号化するための所定の暗号化方式の合意を行い、この合意した暗号化方式で暗号化されたデータを送受信可能なネットワーク通信システムを構成するデータ受信側通信装置であって、
データ送信側通信装置との間の通信に用いる暗号化方式を、データを暗号化又は復号化する際の処理速度である暗号処理速度に基づいて暗号化方式候補の中から選択する選択手段と、
前記選択手段によって選択された暗号化方式を前記データ送信側通信装置へ通知する暗号化方式通知手段と、
前記データ送信側通信装置から送信されてきた前記暗号化された送信データを受信する受信手段と、
前記受信手段によって受信した前記暗号化された送信データを、前記選択手段よって選択された暗号化方式に基づいて復号化する復号化手段とを備えること
を特徴とするデータ受信側通信装置。
【請求項11】
2以上の通信装置がネットワークを介して通信可能に接続され、データの送受信を行う通信装置間でデータを暗号化又は復号化するための所定の暗号化方式の合意を行い、この合意した暗号化方式で暗号化されたデータを送受信可能なネットワーク通信システムを構成する前記データ送信側通信装置であって、
前記データ送信側通信装置と前記データ受信側通信装置との間の通信に用いる暗号化方式を、送信データを暗号化又は復号化する際の処理速度である暗号処理速度に基づいて暗号化方式候補の中から選択する前記データ受信側通信装置から通知された暗号化方式に基づいて送信データを暗号化する暗号化手段と、
前記暗号化手段によって暗号化された送信データを前記データ受信側通信装置へ送信する送信手段とを備えること
を特徴とするデータ送信側通信装置。
【請求項12】
2以上の通信装置がネットワークを介して通信可能に接続され、データの送受信を行う通信装置間でデータを暗号化又は復号化するための所定の暗号化方式の合意を行い、データ送信側通信装置が前記合意した暗号化方式に基づいて暗号化した送信データをデータ受信側通信装置へ送信し、前記データ受信側通信装置が前記データ送信側通信装置より受信した前記送信データを復号化してデータの送受信を可能とするネットワーク通信システムにおける前記通信装置としてコンピュータを機能させるプログラムであって、
前記データの送受信を行う通信装置間の通信に用いる暗号化方式を、データを暗号化又は復号化する際の処理速度である暗号処理速度に基づいて暗号化方式候補の中から選択する選択手段としてコンピュータを機能させることを特徴とするプログラム。
【請求項1】
2以上の通信装置がネットワークを介して通信可能に接続され、データの送受信を行う通信装置間でデータを暗号化又は復号化するための所定の暗号化方式の合意を行い、この合意した暗号化方式で暗号化されたデータを送受信可能なネットワーク通信システムにおいて、
前記2以上の通信装置の何れかは、
データの送受信を行う通信装置間の通信に用いる暗号化方式を、データを暗号化又は復号化する際の処理速度である暗号処理速度に基づいて暗号化方式候補の中から選択する選択手段と、
前記選択手段によって選択された暗号化方式を前記データの送受信を行う通信装置へ通知する暗号化方式通知手段とを備え、
データ送信側通信装置は、
前記選択手段により選択された暗号化方式に基づいて送信データを暗号化する暗号化手段と、
前記暗号化手段によって暗号化された送信データをデータ受信側通信装置へ送信する送信手段とを備え、
前記データ受信側通信装置は、
前記データ送信側通信装置から送信されてきた前記暗号化された送信データを受信する受信手段と、
前記受信手段によって受信した前記暗号化された送信データを、前記選択手段よって選択された暗号化方式に基づいて復号化する復号化手段とを備えること
を特徴とするネットワーク通信システム。
【請求項2】
請求項1に記載のネットワーク通信システムにおいて、
前記データ受信側通信装置が前記選択手段と前記暗号化方式通知手段とを備え、
前記暗号化方式通知手段は、前記選択手段によって選択された暗号化方式を前記データ送信側通信装置へ通知すること
を特徴とするネットワーク通信システム。
【請求項3】
請求項2に記載のネットワーク通信システムにおいて、
前記データ受信側通信装置は、前記データ送信側通信装置と前記データ受信側通信装置との間の通信速度を測定する測定手段を備え、
前記選択手段は、前記暗号化方式候補の中から、前記測定手段によって測定した通信速度よりも前記暗号処理速度が速い暗号化方式を選択すること
を特徴とするネットワーク通信システム。
【請求項4】
請求項3に記載のネットワーク通信システムにおいて、
前記選択手段は、前記暗号化方式候補の中から、前記測定手段によって測定した通信速度よりも前記暗号処理速度が速い暗号化方式の中で最も暗号強度が大きい暗号化方式を選択すること
を特徴とするネットワーク通信システム。
【請求項5】
請求項2ないし請求項4の何れか1項に記載のネットワーク通信システムにおいて、
前記データ送信側通信装置は、自通信装置が利用可能な暗号化方式を前記暗号化方式候補として前記データ受信側通信装置へ通知する暗号化方式候補通知手段を備え、
前記データ受信側通信装置は、前記暗号化方式候補通知手段によって通知された暗号化方式候補の中に自通信装置が利用可能な暗号化方式があるか否かを判定する判定手段を備え、
前記データ受信側通信装置が備える選択手段は、前記判定手段によって当該データ受信側通信装置が利用可能な暗号化方式があると判定された場合、前記データ送信側通信装置及び前記データ受信側通信装置が共に利用可能な暗号化方式の中から、前記データ送信側通信装置と前記データ受信側通信装置との間の通信に用いる暗号化方式を選択すること
を特徴とするネットワーク通信システム。
【請求項6】
請求項5に記載のネットワーク通信システムにおいて、
前記データ送信側通信装置は、
前記ネットワークがWANであるか否かを判定するネットワーク判定手段と、
前記ネットワーク判定手段によって前記ネットワークがWANであると判定された場合、自通信装置が利用可能な暗号化方式の中から、所定の暗号強度以上の暗号化方式を抽出する第1の抽出手段とを更に備え、
前記暗号化方式候補通知手段は、前記第1の抽出手段により抽出された暗号化方式を前記暗号化方式候補として前記データ受信側通信装置へ通知すること
を特徴とするネットワーク通信システム。
【請求項7】
請求項5又は請求項6に記載のネットワーク通信システムにおいて、
前記データ送信側通信装置は、
前記送信データに対して所定の機密レベルが設定されているか否かを判定する機密レベル判定手段と、
前記機密レベル判定手段によって前記送信データに所定の機密レベルが設定されていると判定された場合、自通信装置が利用可能な暗号化方式の中から、所定の暗号強度以上の暗号化方式を抽出する第2の抽出手段とを更に備え、
前記暗号化方式候補通知手段は、前記第2の抽出手段により抽出された暗号化方式を前記暗号化方式候補として前記データ受信側通信装置へ通知すること
を特徴とするネットワーク通信システム。
【請求項8】
請求項2ないし請求項4の何れか1項に記載のネットワーク通信システムにおいて、
前記ネットワークがWANであるか否かを判定するネットワーク判定手段と、
前記ネットワーク判定手段によって前記ネットワークがWANであると判定された場合、複数の暗号化方式の中から、所定の暗号強度以上の暗号化方式を抽出する抽出手段と、
前記抽出手段により抽出された暗号化方式を前記暗号化方式候補として前記選択手段へ通知する抽出通知手段とを備え、
前記選択手段は、前記抽出通知手段によって抽出された暗号化方式候補の中から、前記データ送信側通信装置と前記データ受信側通信装置との間の通信に用いる暗号化方式を選択すること
を特徴とするネットワーク通信システム。
【請求項9】
請求項2ないし請求項8の何れか1項に記載のネットワーク通信システムにおいて、
前記選択手段による選択の対象となる前記暗号化方式候補は、暗号化と復号化とに同一の鍵である共通鍵を用いる共通鍵暗号方式であり、
前記データ受信側通信装置は、
暗号化と復号化とにそれぞれ別の鍵を用いる公開鍵暗号方式における公開鍵と秘密鍵とを記憶する記憶手段と、
前記記憶手段が記憶している公開鍵を前記データ送信側通信装置へ送信する公開鍵送信手段とを備え、
前記データ送信側通信装置は、
前記暗号化方式通知手段から通知された暗号化方式に対応する共通鍵を生成する鍵生成手段と、
前記鍵生成手段が生成した共通鍵を、前記データ受信側通信装置から送信されてきた公開鍵によって暗号化し、この暗号化した共通鍵を前記データ受信側通信装置へ送信する共通鍵送信手段とを備え、
前記暗号化手段は、前記鍵生成手段が生成した共通鍵を用いて前記送信データを暗号化し、
前記復号化手段は、前記データ送信側通信装置から送信されてきた暗号化された共通鍵を前記記憶手段に記憶されている秘密鍵を用いて復号化し、この復号化した共通鍵を用いて前記暗号化された送信データを復号化すること
を特徴とするネットワーク通信システム。
【請求項10】
2以上の通信装置がネットワークを介して通信可能に接続され、データの送受信を行う通信装置間でデータを暗号化又は復号化するための所定の暗号化方式の合意を行い、この合意した暗号化方式で暗号化されたデータを送受信可能なネットワーク通信システムを構成するデータ受信側通信装置であって、
データ送信側通信装置との間の通信に用いる暗号化方式を、データを暗号化又は復号化する際の処理速度である暗号処理速度に基づいて暗号化方式候補の中から選択する選択手段と、
前記選択手段によって選択された暗号化方式を前記データ送信側通信装置へ通知する暗号化方式通知手段と、
前記データ送信側通信装置から送信されてきた前記暗号化された送信データを受信する受信手段と、
前記受信手段によって受信した前記暗号化された送信データを、前記選択手段よって選択された暗号化方式に基づいて復号化する復号化手段とを備えること
を特徴とするデータ受信側通信装置。
【請求項11】
2以上の通信装置がネットワークを介して通信可能に接続され、データの送受信を行う通信装置間でデータを暗号化又は復号化するための所定の暗号化方式の合意を行い、この合意した暗号化方式で暗号化されたデータを送受信可能なネットワーク通信システムを構成する前記データ送信側通信装置であって、
前記データ送信側通信装置と前記データ受信側通信装置との間の通信に用いる暗号化方式を、送信データを暗号化又は復号化する際の処理速度である暗号処理速度に基づいて暗号化方式候補の中から選択する前記データ受信側通信装置から通知された暗号化方式に基づいて送信データを暗号化する暗号化手段と、
前記暗号化手段によって暗号化された送信データを前記データ受信側通信装置へ送信する送信手段とを備えること
を特徴とするデータ送信側通信装置。
【請求項12】
2以上の通信装置がネットワークを介して通信可能に接続され、データの送受信を行う通信装置間でデータを暗号化又は復号化するための所定の暗号化方式の合意を行い、データ送信側通信装置が前記合意した暗号化方式に基づいて暗号化した送信データをデータ受信側通信装置へ送信し、前記データ受信側通信装置が前記データ送信側通信装置より受信した前記送信データを復号化してデータの送受信を可能とするネットワーク通信システムにおける前記通信装置としてコンピュータを機能させるプログラムであって、
前記データの送受信を行う通信装置間の通信に用いる暗号化方式を、データを暗号化又は復号化する際の処理速度である暗号処理速度に基づいて暗号化方式候補の中から選択する選択手段としてコンピュータを機能させることを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【公開番号】特開2006−339847(P2006−339847A)
【公開日】平成18年12月14日(2006.12.14)
【国際特許分類】
【出願番号】特願2005−159973(P2005−159973)
【出願日】平成17年5月31日(2005.5.31)
【出願人】(000005267)ブラザー工業株式会社 (13,856)
【Fターム(参考)】
【公開日】平成18年12月14日(2006.12.14)
【国際特許分類】
【出願日】平成17年5月31日(2005.5.31)
【出願人】(000005267)ブラザー工業株式会社 (13,856)
【Fターム(参考)】
[ Back to top ]