[发明专利]通信系统、通信装置以及通信方法

说明书

技术领域

本发明涉及根据所设定的安全策略进行通信的通信系统、通信装置以及通信方法。

背景技术

PC(Personal Computer：个人计算机)或打印机等通信装置例如将数据作为IP(Internet Protocol：网际协议)包来进行网络上的通信。

近年，作为确保网络通信安全的协议，已知有IPsec(Security Architecture for Internet Protocol：网际协议的安全体系)。在能使用IPsec的通信装置中，判定是否存在能适用于通信的安全策略，在能够适用的安全策略存在的情况下，按照能适用的安全策略对发送对象的包进行加密处理，或者按照能适用的安全策略对接收到的通信包(IPsec包)进行解密处理。

作为与IPsec相关的技术，例如已公开有对设备控制协议中的每个阶段使用不同的安全策略的技术(例如参照专利文献1)。

[专利文献1]日本特开2005-101741号公报

在能够使用IPsec的通信装置中，在能够适用于通信的安全策略存在的情况下，按照该安全策略进行加密处理等，而在能够适用的安全策略不存在的情况下，按照预先设定的默认安全策略进行通信。

在默认安全策略中，可以设定使用于通信的包直接通过(发送包时将包发送，接收包时将该包取入装置内部)、或者设定阻断该包。

在将能够使用这种IPsec的通信装置初次与网络连接了的情况下等，为了使用该通信装置进行加密通信，需要详细设定能够适用于与通信对象的装置之间的通信的安全策略，对于不熟练的用户来说非常困难，而且存在着费时费力的问题。

发明内容

本发明是鉴于上述课题而完成的，其目的在于，提供一种能容易且可靠地确保通信安全的技术。

为了实现上述目的，本发明的第1观点涉及的通信系统具备经由网络连接的第1通信装置和第2通信装置，第1通信装置和第2通信装置根据各装置中设定的安全策略进行通信处理。第1通信装置具有：安全策略存储单元，该安全策略存储单元能够存储第1安全策略和第2安全策略，其中，该第1安全策略能够包含将与规定的通信对象范围中的规定的通信装置进行的规定的通信作为对象所适用的加密方式和加密密钥，该第2安全策略能够包含适用于通信对象范围的第1安全策略无法适用的全部通信的加密方式和加密密钥；第1通信单元，该第1通信单元经由上述网络与其他通信装置之间进行通信包的通信；和第1加密处理单元，在与其他通信装置进行的通信不是适用第1安全策略的对象的情况下，该第1加密处理单元按照第2安全策略，对所发送的通信包进行加密处理，以及对所接收到的通信包进行解密处理。第2通信装置具有：第1加密密钥受理单元，该第1加密密钥受理单元受理第1通信装置的第2安全策略中存储的加密密钥的输入；策略生成单元，该策略生成单元生成包含第2安全策略的加密方式、和输入的加密密钥的第3安全策略；第2加密处理单元，该第2加密处理单元按照第3安全策略，对向第1通信装置发送的通信包进行加密处理，以及对从第1通信装置接收到的通信包进行解密处理；和第2通信单元，该第2通信单元经由网络与第1通信装置之间进行通信包的通信。

根据所述的通信系统，在第1通信装置中，利用第2安全策略中存储的加密密钥和加密方式，对与第2通信装置之间进行的通信中所使用的通信包进行加密处理以及通信包的解密处理，在第2通信装置中，利用所输入的加密密钥和第2安全策略的加密方式，对向第1通信装置发送的通信包进行加密处理以及通信包的解密处理。因此，能够在第1通信装置和第2通信装置之间进行加密通信，从而能够确保安全。另外，由于在第1通信装置中预先存储加密密钥即可，所以用户无需在第1通信装置中详细地设定与第2通信装置之间的通信用的安全策略，从而能够容易地进行加密通信。

在上述通信系统中，也可以构成为，第1通信装置还具有第2加密密钥受理单元，该第2加密密钥受理单元受理用户进行的第2安全策略的加密密钥的输入。根据所述的通信系统，由于在第1通信装置中受理用户进行的加密密钥的输入，所以用户能够输入任意的加密密钥。因此，能够可靠地避免加密密钥被其他用户把握。