JP2004201039A - 通信端末、方法および通信プログラム - Google Patents
通信端末、方法および通信プログラム Download PDFInfo
- Publication number
- JP2004201039A JP2004201039A JP2002367358A JP2002367358A JP2004201039A JP 2004201039 A JP2004201039 A JP 2004201039A JP 2002367358 A JP2002367358 A JP 2002367358A JP 2002367358 A JP2002367358 A JP 2002367358A JP 2004201039 A JP2004201039 A JP 2004201039A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- address
- connection destination
- secure communication
- secure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
Abstract
【解決手段】本発明にかかる通信端末は、接続先相手とセキュアな通信をするためのセキュア通信手段と、接続先相手とセキュアでない通信をするためのノンセキュア通信手段と、接続先相手のアドレスを取得する接続先アドレス取得手段と、取得した接続先アドレスに基づいて、セキュア通信手段もしくはノンセキュア通信手段のいずれか一方を選択する選択手段とを備え、選択された通信手段を用いて接続先相手と通信を行う。
【選択図】 図2
Description
【発明の属する技術分野】
本発明は、通信端末、特にネットワークインタフェースや通信インタフェースを装着し、他の装置とのセキュア通信可能な通信端末に関するものである。
【0002】
【従来の技術】
近年、企業内のネットワーク環境において、インターネットの基盤を利用してイントラネットを構築するためにIP−VPN(Virtual Private Network)の技術が使われている。
【0003】
IP−VPNではネットワーク層でのセキュリティ機能であるIPSec(詳細はRFC2401,2402等を参照。)の使用が主流となっている。インターネット環境においても、次世代のインターネットプロトコルであるIPv6(Internet Protocol Version 6。詳細はRFC2460等を参照。)では仕様上はIPSecのサポートが必須となっている。
【0004】
しかし、CPU性能の小さい組込み機器でIPSecなどのセキュリティ機能を使用すると伝送性能の劣化が生じるという課題があり、IPv6最小要求仕様(http://www.tahi.org/lcna/docs/IPv6-min-spec-ver42.htmなどを参照。)も議論されている。
【0005】
一方、インターネット上のショッピングサイトなどでは、セッション層でのSSL(Security Socket Layer。http://wp.netscape.com/eng/ssl3/などを参照。)など上位層でのセキュリティ機能が、一般的に使われている現状がある。
【0006】
インターネット上では上位プロトコルとしては、HTTP(Hyper Text Transfer Protocol。詳細はRFC2616などを参照。)が一般的に使われており、図8にはIPv6(+IPSec)ネットワーク上でHTTP通信する場合のプロトコルレイヤ構造を示す。
【0007】
組込み機器でも、ネットワークスキャナやネットワークプリンタなど、ネットワークインタフェースを装着しているものが多く、HTTPやファイル転送プロトコルであるFTP(File Transfer Protocol。詳細はRFC959を参照。)など、汎用的なネットワークプロトコルを制御プロトコルとして利用することが可能となっている。
【0008】
【発明が解決しようとする課題】
しかしながら、従来の技術では、IP−VPNやインターネットショッピングサイトなどの特定システム以外では、一般的にどのような場合にIPSecやSSLなどを使ってセキュア通信するのが適切かが明確になっていないという問題点がある。
【0009】
特に、IPv6及びIPSecを搭載した組込み機器では少ないCPU性能しかないので、不必要にIPSecを使ったセキュア通信を行うことは伝送性能の劣化を起こすという問題点がある。
【0010】
本発明の目的は、ユーザの手を煩わすことなく、セキュリティ機能を適切な場合にのみ使用し、不必要なセキュリティ機能の使用による伝送性能の劣化を防止することが可能な通信端末を提供することである。
【0011】
【課題を解決するための手段】
上記目的を達成するために、本発明にかかる通信端末は、接続先相手とセキュアな通信をするためのセキュア通信手段と、接続先相手とセキュアでない通信をするためのノンセキュア通信手段と、接続先相手のアドレスを取得する接続先アドレス取得手段と、取得した接続先アドレスに基づいて、セキュア通信手段もしくはノンセキュア通信手段のいずれか一方を選択する選択手段とを備え、選択された通信手段を用いて接続先相手と通信を行う。
【0012】
このように構成された通信端末では、接続先アドレス取得手段で取得した接続先アドレスに基づいて、使用する通信手段を選択手段が選択する。そして、選択されたセキュア通信手段もしくはノンセキュア通信手段のいずれか一方を使用して、通信端末は接続先相手と通信を行う。
【0013】
したがって、ユーザの手を煩わすことなく、接続先相手に応じて、セキュア通信手段を適切な場合にのみ使用し、不必要なセキュア通信手段の使用による伝送性能の劣化を防止することが可能になる。
【0014】
特に、IPv6及びIPSecを搭載した組込み機器では少ないCPU性能しかないので、その効果は大きい。
【0015】
本発明にかかる通信端末の好適な態様では、接続先アドレスと選択手段が選択する通信手段との対応付けを更新するアドレス更新手段を備えている。
【0016】
このように構成された通信端末では、アドレス更新手段が、随時接続先アドレスと選択手段が選択する通信手段との対応付けを更新する。
【0017】
したがって、接続先相手が新たに加わったり、接続先相手の仕様が変更した場合でも、柔軟に対応することができる。
【0018】
さらに、本発明にかかる通信端末の別の態様では、自己のアドレスを取得する自己アドレス取得手段を備え、前記選択手段は、取得した接続先アドレスと自己アドレスとの類似度に基づいて、セキュア通信手段もしくはノンセキュア通信手段のいずれか一方を選択する手段も含む。
【0019】
このように構成された通信端末では、自己アドレス取得手段で取得した自己アドレスと、接続先アドレス取得手段で取得した接続先アドレスとの類似度に基づいて、選択手段がセキュア通信手段もしくはノンセキュア通信手段のいずれか一方を選択する。
【0020】
例えば、類似度が高いということは、接続先相手が同一グループに所属していたり、同一ネットワークに存在している可能性が高いため、盗聴や改ざんのおそれは低い。よって、その場合は、ノンセキュア通信手段を選択するようにできる。
【0021】
このように、接続先アドレスのみで通信手段を選択するよりも、選択手段が通信手段を選択する際の判断の幅が広がるため、ユーザの手を煩わせることなく、接続先相手に応じて、さらに適切に各通信手段を選択することができる。
【0022】
さらに、上記目的を達成するために、本発明に係る他の通信端末では、接続先相手とセキュアな通信をするためのセキュア通信手段と、接続先相手とセキュアでない通信をするためのノンセキュア通信手段と、接続先相手のアドレス属性を取得するアドレス属性取得手段と、取得したアドレス属性に基づいて、セキュア通信手段もしくはノンセキュア通信手段のいずれか一方を選択する選択手段とを備え、選択された通信手段を用いて接続先相手と通信を行う。
【0023】
このように構成された通信端末では、アドレス属性取得手段で取得したアドレス属性に基づいて、選択手段が使用する通信手段を選択する。そして、選択されたセキュア通信手段もしくはノンセキュア通信手段のいずれか一方を使用して、通信端末は、接続先相手と通信を行う。
【0024】
したがって、接続先相手のアドレス属性に応じて、ユーザの手を煩わすことなく、セキュア通信手段を適切な場合にのみ使用し、不必要なセキュア通信手段の使用による伝送性能の劣化を防止することが可能になる。
【0025】
特に、IPv6及びIPSecを搭載した組込み機器では少ないCPU性能しかないので、その効果は大きい。
【0026】
本発明に係る通信端末の好適な態様では、アドレス属性と選択手段が選択する通信手段との対応付けを更新するアドレス属性更新手段を備えている。
【0027】
このように構成された通信端末では、アドレス属性更新手段が、随時接続先アドレス属性と選択手段が選択する通信手段との対応付けを更新する。
【0028】
したがって、接続先相手が新たに加わったり、接続先相手の仕様が変更した場合でも、柔軟に対応することができる。
【0029】
さらに、本発明に係る通信端末の好適な態様では、アドレス属性には、グローバルアドレス情報を含み、前記選択手段は、接続先相手のアドレス属性がグローバルアドレスの場合は、セキュア通信手段を選択する。
【0030】
このように構成された通信端末によれば、選択手段は、接続先相手のアドレス属性がグローバルアドレスの場合は、選択手段がセキュア通信手段を選択する。
【0031】
したがって、インターネットなどのオープンなネットワークに、パケットを流す可能性が高い通信では、適切にセキュア通信を行うことができるため、データの盗聴や改ざんの予防をすることができる。
【0032】
さらに好ましくは、アドレス属性には、ローカルアドレス情報を含み、前記選択手段は、接続先相手のアドレス属性がローカルアドレスの場合は、ノンセキュア通信手段を選択する。
【0033】
このように構成された通信端末によれば、選択手段は、接続先相手のアドレス属性がローカルアドレスの場合は、ノンセキュア通信手段を選択する。
【0034】
したがって、社内LANなどの比較的安全性が保たれている場合は、CPU性能の小さい組込み機器でIPSecなどのセキュリティ機能を使用しなくて済むため、伝送性能の劣化を防ぐことができる。
【0035】
また、本発明にかかる通信端末において、前記アドレス属性にアドレスプレフィックス情報を含めて、前記選択手段は、アドレスプレフィックス情報に基づいて、通信手段を選択することもできる。
【0036】
このように構成された通信端末によれば、ネットワークのセグメントごとに通信手段を選択することができる。よって、グループ化して効率的に通信手段の選択を絞ることができる。
【0037】
さらに、本発明にかかる通信端末の別の態様は、自己のアドレスプレフィックス情報を取得する自己アドレスプレフィックス取得手段を備え、前記選択手段は、接続先相手および自己のアドレスプレフィックスの類似度に基づいて、セキュア通信手段もしくはノンセキュア通信手段のいずれか一方を選択する手段も含む。
【0038】
このように構成された通信端末では、自己のアドレスプレフィックスと、接続先アドレスプレフィックスとの類似度に基づいて、選択手段がセキュア通信手段もしくはノンセキュア通信手段のいずれか一方を選択する。
【0039】
例えば、プレフィックスの類似度が高いということは、接続先相手が同一グループに所属していたり、同一ネットワークに存在している可能性が高いため、盗聴や改ざんのおそれは低い。よって、その場合は、ノンセキュア通信手段を選択するようにできる。
【0040】
このように、接続先のアドレスプレフィックスのみで通信手段を選択するよりも、選択手段が通信手段を選択する際の判断の幅が広がるため、ユーザの手を煩わせることなく、接続先相手に応じて、さらに適切に各通信手段を使用することができる。
【0041】
また、具体的には、本発明に係る通信端末のセキュア通信手段の一つは、IPSecプロトコルである。
【0042】
このように構成された通信端末によれば、適当な場合にIPSecを利用したセキュア通信が可能になる。
【0043】
さらに、本発明に係る通信端末のセキュア通信手段の一つは、SSLプロトコルである。
【0044】
このように構成された通信端末によれば、適当な場合にSSLを利用したセキュア通信が可能になる。
【0045】
加えて、本発明に係る通信端末のセキュア通信手段の一つは、TLSプロトコルである。
【0046】
このように構成された通信端末によれば、適当な場合にTLSを利用したセキュア通信が可能になる。
【0047】
また、本発明に係る通信端末のセキュア通信手段の一つは、SSHプロトコルである。
【0048】
このように構成された通信端末によれば、適当な場合にSSHを利用したセキュア通信が可能になる。
【0049】
加えて、上記課題を解決するために、本発明にかかる通信方法では、接続先相手とセキュアな通信をするためのセキュア通信工程と、接続先相手とセキュアでない通信をするためのノンセキュア通信工程と、接続先相手のアドレスを取得する接続先アドレス取得工程と、取得した接続先アドレスに基づいて、セキュア通信工程もしくはノンセキュア通信工程のいずれか一方を選択する選択工程とを含み、選択された通信工程を用いて接続先相手と通信を行う。
【0050】
このような工程を含む本発明に係る通信方法では、接続先アドレス取得工程で取得した接続先アドレスに基づいて、選択工程でいずれかの通信工程を選択する。そして、選択されたセキュア通信工程もしくはノンセキュア通信工程のいずれか一方の工程により、通信端末は接続先相手と通信を行う。
【0051】
したがって、ユーザの手を煩わすことなく、接続先相手のアドレスに応じて、セキュア通信工程を適切な場合にのみ使用し、不必要なセキュア通信工程の使用による伝送性能の劣化を防止することが可能になる。
【0052】
特に、IPv6及びIPSecを搭載した組込み機器では少ないCPU性能しかないので、その効果は大きい。
【0053】
本発明に係るさらに別の通信方法では、接続先相手とセキュアな通信をするためのセキュア通信工程と、接続先相手とセキュアでない通信をするためのノンセキュア通信工程と、接続先相手のアドレス属性を取得するアドレス属性取得工程と、取得したアドレス属性に基づいて、セキュア通信工程もしくはノンセキュア通信工程のいずれか一方を選択する選択工程とを含み、選択された通信工程を用いて接続先相手と通信を行う。
【0054】
したがって、ユーザの手を煩わすことなく、接続先相手のアドレス属性に応じて、セキュア通信工程を適切な場合にのみ使用し、不必要なセキュア通信工程の使用による伝送性能の劣化を防止することが可能になる。
【0055】
特に、IPv6及びIPSecを搭載した組込み機器では少ないCPU性能しかないので、その効果は大きい。
【0056】
また、上記課題を解決するために、本発明に係る通信プログラムは、接続先相手とセキュアな通信をするためのセキュア通信工程と、接続先相手とセキュアでない通信をするためのノンセキュア通信工程と、接続先相手のアドレスを取得する接続先アドレス取得工程と、取得した接続先アドレスに基づいて、セキュア通信工程もしくはノンセキュア通信工程のいずれか一方を選択する選択工程とを含み、選択された通信工程を用いて接続先相手と通信を行うことをコンピュータに実行させる。
【0057】
本発明に係る通信プログラムは、選択工程において、接続先アドレス取得工程で取得した接続先アドレスに基づいて、使用する通信工程を選択する。そして、本通信プログラムは、選択されたセキュア通信工程もしくはノンセキュア通信工程のいずれか一方を使用して、コンピュータに接続先相手との通信をさせる。
【0058】
さらに、上記課題を解決するために、本発明に係る通信プログラムは、接続先相手とセキュアな通信をするためのセキュア通信工程と、接続先相手とセキュアでない通信をするためのノンセキュア通信工程と、接続先相手のアドレス属性を取得するアドレス属性取得工程と、取得したアドレス属性に基づいて、セキュア通信工程もしくはノンセキュア通信工程のいずれか一方を選択する選択工程とを含み、選択された通信工程を用いて接続先相手と通信を行うことをコンピュータに実行させる。
【0059】
本発明に係る通信プログラムは、選択工程において、アドレス属性取得工程で取得したアドレス属性に基づいて、使用する通信工程を選択する。そして、本通信プログラムは、選択されたセキュア通信工程もしくはノンセキュア通信工程のいずれか一方を使用して、コンピュータに接続先相手との通信をさせる。
【0060】
【発明の実施の形態】
以下、本発明の第1の実施の形態(以下、実施形態1)について説明する。
【0061】
実施形態1は、接続先相手のアドレス属性に基づいて、セキュア通信を行うかどうかを判断する例である。
【0062】
実施形態1のシステム構成例を図1に示し、構成図を図2に示す。図2のスキャナモジュール1は図1のSCに対応している。実施形態1での通信端末は、画像生成機能を有するスキャナモジュール1である。
【0063】
実施形態1のスキャナモジュール1では、スキャナ部9で入力された画像の画像データを生成し、ネットワークインタフェース13を経由して外部へ送信する。
【0064】
CPU2はシステムバス8を介してシステム全体の制御を行う。ROM3はCPU2の制御プログラムを格納するものである。
【0065】
ROM3に格納されている制御プログラムは、スキャナモジュール1が、スキャナ部9で入力された画像データを処理したり、ネットワークインタフェース13を介して外部へデータを送信したりするためのものである。
【0066】
RAM4はSRAM等で構成され、プログラム制御変数や各種処理のためのデータ等を格納するためのものである。ハードディスク5は、制御プログラムによる各種処理のためのデータを格納したり、画像データなどを格納したりするためのものである。制御部6は、スキャナ部9と制御データの授受を行ったり、画像データを送信先へ送信するなどの制御を行うためのものである。
【0067】
通信部12は、セキュア通信手段とノンセキュア通信手段を備えている。そして、通信制御部7のアドレス属性取得手段が取得したアドレス属性に基づいて、通信制御部7の選択手段が、通信部12のセキュア通信手段とノンセキュア通信手段のいずれか一方を選択する。実施形態1では、セキュア通信手段として、IPSecを用いる。
【0068】
スキャナ部9は、原稿を読取って、画像データを入力するためのものである。操作表示パネル10は、スキャンの設定を行う画面を表示したり、スキャン指示を行ったり、画像の送信先を指定したりするためのものである。
【0069】
システム時計11は、時計用チップにより構成され時刻情報(年月日、時分秒)をCPUに提供する。システム時計11は、システム電源断時や停電時等に時刻情報が消滅しないようバックアップ用電池を備え、常に現時点の時刻を保持している。
【0070】
また、通信部12は、ネットワークインタフェース13を介して外部へデータを送信する。ネットワークインタフェース13は、外部装置と通信を行うためのものである。実施形態1ではEthernet(登録商標)とする。
【0071】
次に図3に従い、実施形態1におけるスキャナモジュール1の処理フローを説明する。
【0072】
まず最初にステップS1において、画像を読取る原稿を置き、スキャナ装置のスタートボタンを押して、スキャナ装置に原稿を読取らせ画像データを入力する。次にステップS2において、送信先(接続先)装置を指定する。
【0073】
ここでは操作表示パネル上から、PRT1に送信するのであればPRT1のIPv6アドレスfe80::2b0:d0ff:fede:1aff を指定する。
【0074】
次にステップS3において、送信先装置との接続処理を開始する。具体的にソケットレベルでの接続は、アプリケーション上はソケットのAPIであるconnect()などを実行することで行う。ここでは、PRT1のアドレスに対して、connect()を実行する。
【0075】
次にステップS4において、通信制御部7の選択手段が、IPSecによる通信をするかの確認する。選択手段が、接続先相手のアドレス属性に基づいて、IPSecによる通信をするかどうかの確認の処理については後述する。ステップS4が終了し、IPSecによる通信が可能な場合は、ステップS5を実行し、IPSecによる通信が可能でない場合はステップS6を実行する。また、通信できないアドレスの場合は、ステップS2に戻り、再度アドレスの指定を行う。
【0076】
ステップS5では、IPSecによりIPレベルではセキュアなIP通信で、送信先装置へ画像データを送信する。ステップS6では、IPSecを使わずにIPレベルでは通常のIP通信で、送信先装置へ画像データを送信する。
【0077】
ここで、例として、図7にIPSec(ESPのトランスポートモード)を使った場合と使わない場合のIPv6パケットについて示す。
【0078】
図7の(1)がESP(トランスポートモード)使用前の通常のIP通信をした場合のIPv6パケットであり、ステップS6で送信する場合のIPv6パケットである。
【0079】
図7の(2)がESP(トランスポートモード)使用後のIPSec通信をした場合のIPv6パケットであり、ステップS5で送信する場合のIPv6パケットである。
【0080】
どちらの場合でも、送信先アドレスは、少なくとも元のIPヘッダに格納されている。IPSec(ESP)を使った場合のパケットの詳細については、RFC2406などを参照。
【0081】
ここで図4にIPSecによる通信をするかの確認処理の流れについて示す。先ず図4のステップS21では、送信先装置のIPアドレスを入力する。ここでは、IPアドレスはPRT1のアドレスfe80::2b0:d0ff:fede:1affが入力される。
【0082】
次にステップS22では、通信制御部7のアドレス属性取得手段で取得した接続先(送信先)アドレスの属性(タイプ)を選択手段が判定する。接続先のアドレス属性がIPSec通信可能な場合はステップS35に進み、IPSec通信が可能でない場合はステップS34に進む。
【0083】
アドレス属性としては、例えば、IPv6のアドレスでは、単一インタフェースに割当てるユニキャストアドレスや、インタフェースの集合に割当てるエニイキャストアドレスやマルチキャストアドレスなど複数タイプのアドレスがある。
【0084】
更にユニキャストアドレスにおいても、単一のリンクで使用されるリンクローカルユニキャストアドレス、単一のサイトで使用されるサイトローカルユニキャストアドレス、グローバルに使用される集約可能グローバルユニキャストアドレスなどが、アドレス属性として存在する。IPv6のアドレスの詳細については、RFC2373などを参照。
【0085】
また、ローカルアドレス情報としては、例えば、リンクローカルユニキャストアドレスがある。このリンクローカルユニキャストアドレスは単一のリンクで使用されるので、ルータを越えてパケットが流れることはない。したがって、盗聴されたりする可能性は低いため、IPSecで通信しなくてもリスクは小さい。
【0086】
一方、グローバルアドレス情報としては、例えば、インターネット上にパケットが流れる可能性がある集約可能グローバルユニキャストがある。この場合には、盗聴されたり、改竄される可能性が高いため、IPSecで通信する方が良い。
【0087】
さらに、それぞれのIPv6アドレスのタイプ(属性)を判定するのに、アドレスのプレフィックスが合致するかどうかで判定してもよい。プレフィックスを利用することで、グループ化して効率的に通信手段の選択を絞ることができる。
【0088】
例えば、リンクローカルユニキャストアドレスは、0xfe80のプレフィックスである。ここでは、PRT1のアドレスfe80::2b0:d0ff:fede:1aff は、リンクローカルユニキャストアドレスなので、IPSec通信が可能ではない。
【0089】
次にステップS34ではIPSec通信可能でないことを出力して終了する。ステップS35ではIPSec通信可能であることを出力して終了する。ここではIPSec通信可能でないことを出力して終了する。即ち、アドレス属性(タイプ)に従って、適切にIPSec通信するかどうかを決定することができる。
【0090】
続いて、本発明の第2の実施の形態(以下、実施形態2)について説明する。システム構成等は、実施形態1と同様なため省略する。実施形態2において、通信端末であるスキャナモジュール1は、接続先アドレスに基づいて、IPSec(セキュア通信手段)を使用するかどうか判断する。
【0091】
図5にIPSecによる通信をするかどうかの確認処理の流れを示す。そして、図6に選択手段がIPSecを選択するかを判断するのに利用するアドレス管理テーブルを示す。
【0092】
例えば、アドレス管理テーブルはアドレス解決処理に使われるアドレス解決テーブルを拡張したものである。図6のIDは識別子、IPv4/v6はIPv4かIPv6のどちらのIPプロトコルかを示し、IPSecはIPSecを用いた通信が可能かを示し、IPアドレスとMACアドレスはIPアドレスと対応するMACアドレスを示す。これにより該当するIPアドレスとの通信でIPSecによる通信が可能かを管理することができる。
【0093】
なお、アドレス解決テーブルは、通信制御部7のアドレス更新手段で動的に更新してもよいし、静的なテーブルを利用しても構わない。
【0094】
先ず図5のステップS31では、通信制御部7の接続先取得手段で取得した送信先(接続先)装置のIPアドレスを入力する。ここでは、IPアドレスはPRT1のアドレスfe80::2b0:d0ff:fede:1affが入力される。
【0095】
次にステップS32で、選択手段が、図7に示したアドレス管理テーブル上に、該当するIPアドレスのエントリが存在するかどうかを検索する。エントリが存在すればステップS33に進み、存在しなければステップS34に進む。ここではID=6に該当するエントリが存在する。
【0096】
次にステップS33で、選択手段は、該当するエントリがIPSec通信可能かを確認する。該当するエントリがIPSec通信が可能な場合はステップS35に進み、IPSec通信が可能でない場合はステップS34に進む。ここでは、ID=6のエントリで、IPSecがTRUEになっているので、IPSec通信が可能である。
【0097】
次にステップS34ではIPSec通信可能でないことを出力して終了する。ステップS35ではIPSec通信可能であることを出力して終了する。ここではIPSec通信可能であることを出力して終了する。即ち、アドレス管理テーブル上のアドレス情報に従って、適切にIPSec通信するかどうかを決定できる。
【0098】
このように実施形態2によれば、接続先アドレス取得手段で取得した接続アドレスに応じて、選択手段がアドレス管理テーブルを用いて、通信手段を選択し、適切な通信を行う。
【0099】
これにより、図8のようにIPSecを固定的に使用するのではなく、図9のようにIPSecを適切な場合に使用することが可能になる。
【0100】
また、ユーザの手を煩わすことなく、セキュリティ機能を適切な場合にのみ使用し、不必要なセキュリティ機能の使用による伝送性能の劣化を防止することができる。
【0101】
さらに、上記実施形態以外で、例えば、選択手段がセキュア通信するかどうかを決定する際に、図10に示すようなアドレスタイプ管理テーブルを用いてもよい。
【0102】
図10のIDは識別子、IPv4/v6はIPv4かIPv6のどちらのIPプロトコルかを示し、IPSecはIPSecを用いた通信が可能かを示し、アドレスタイプ1は1次のアドレスタイプを示し、アドレスタイプ2は2次のアドレスタイプを示す。
【0103】
例えば、ID=6のIPv6のリンクローカルユニキャストアドレスの場合はIPSecを使用しないことがわかる。
【0104】
通信制御部7のアドレス属性更新手段を介して、このアドレスタイプ管理テーブルを操作することで、更に柔軟にセキュア通信を制御することが可能になる。
【0105】
また、選択手段は、送信先装置のアドレスだけでセキュア通信するか判断してきたが、通信制御部7の自己アドレス取得手段で自装置のアドレスを取得し、自装置のアドレスとの類似度により、セキュア通信するかどうか判断してもよい。
【0106】
例えば、集約可能グローバルアドレスの場合は、集約識別子のレベルがどれ位、自装置のアドレスと類似しているかを比較して、類似していれば、IPSecを使用しないように制御すればよい。集約可能グローバルアドレスの詳細については、RFC2460を参照。
【0107】
同様にして、通信制御部7の自己アドレスプレフィックス取得手段で、自装置のアドレスプレフィックスを取得し、自装置のアドレスのプレフィックスと送信先装置のアドレスのプレフィックスとの類似度により、セキュア通信するかどうか判断してもよい。
【0108】
このように類似度を判断基準に加えることで、接続先アドレスや接続先のアドレス属性のみで通信手段を選択するよりも、選択手段が通信手段を選択する際の判断の幅が広がるため、ユーザの手を煩わせることなく、接続先相手に応じて、さらに適切に各通信手段を選択することができる。
【0109】
また、上記各実施形態では、アドレス情報としてIPアドレスを用いたが、他のネットワークプロトコルのアドレス情報やアドレスに関する設定情報などを用いて実現してもよい。
【0110】
さらに、上記各実施形態において、セキュア通信手段としてIPSecを使用しているがSSL、TLS、SSHなどの他のセキュア通信手段を用いて実現してもよい。
【0111】
加えて、上記各実施形態において、スキャナ部とプリンタ部間にEthernet(登録商標)を用いているが、TokenRingやシリアルインタフェースやパラレルインタフェース、IEEE1394などの他のインタフェースを用いて実現してもよい。
【0112】
【発明の効果】
本発明による通信端末は、接続先のアドレスやアドレス属性に基づいて、選択手段が使用する通信手段を選択する。
【0113】
したがって、ユーザの手を煩わすことなく、セキュア通信手段を適切な場合にのみ使用し、不必要なセキュア通信手段の使用による伝送性能の劣化を防止することが可能になる。
【0114】
特に、IPv6及びIPSecを搭載した組込み機器では少ないCPU性能しかないので、その効果は大きい。また、セキュア通信に関する情報を含む管理情報を操作することで、より柔軟にセキュア通信の制御が可能となる。
【図面の簡単な説明】
【図1】本発明の実施形態1および2におけるシステム構成例である。
【図2】本発明の実施形態1および2における構成図である。
【図3】本発明の実施形態1におけるスキャナモジュールの処理フロー図である。
【図4】本発明の実施形態1におけるIPSec通信可能かの確認処理の流れの例1である。
【図5】本発明の実施形態2におけるIPSec通信可能かの確認処理の流れの例2である。
【図6】本発明の実施形態2におけるアドレス管理テーブルである。
【図7】IPSec(ESPのトランスポートモード)使用前後のIPv6パケットの概要である。
【図8】IPv6(IPSec)のみが使用されているHTTP通信におけるレイヤ構造である。
【図9】IPv6とIPv6(IPSec)の両方が使用されているHTTP通信におけるレイヤ構造である。
【図10】本発明におけるアドレスタイプ管理テーブルの一例である。
【符号の説明】
1 スキャナモジュール、2 CPU、3 ROM、4 RAM、5 ハードディスク、6 制御部、7 通信制御部、8 システムバス、9 スキャナ部、10 操作表示パネル、11 システム時計、12 通信部、13 ネットワークインタフェース。
Claims (17)
- 接続先相手とセキュアな通信をするためのセキュア通信手段と、
接続先相手とセキュアでない通信をするためのノンセキュア通信手段と、
接続先相手のアドレスを取得する接続先アドレス取得手段と、
取得した接続先アドレスに基づいて、セキュア通信手段もしくはノンセキュア通信手段のいずれか一方を選択する選択手段と、
を備え、
選択された通信手段を用いて接続先相手と通信を行うことを特徴とする通信端末。 - 請求項1に記載の通信端末において、
接続先アドレスと選択手段が選択する通信手段との対応付けを更新するアドレス更新手段を備えていることを特徴とする通信端末。 - 請求項1または2に記載の通信端末において、
自己のアドレスを取得する自己アドレス取得手段を備え、
前記選択手段は、取得した接続先アドレスと自己アドレスとの類似度に基づいて、セキュア通信手段もしくはノンセキュア通信手段のいずれか一方を選択する手段を含むことを特徴とする通信端末。 - 接続先相手とセキュアな通信をするためのセキュア通信手段と、
接続先相手とセキュアでない通信をするためのノンセキュア通信手段と、
接続先相手のアドレス属性を取得するアドレス属性取得手段と、
取得したアドレス属性に基づいて、セキュア通信手段もしくはノンセキュア通信手段のいずれか一方を選択する選択手段と、
を備え、
選択された通信手段を用いて接続先相手と通信を行うことを特徴とする通信端末。 - 請求項4に記載の通信端末において、
アドレス属性と選択手段が選択する通信手段との対応付けを更新するアドレス属性更新手段を備えていることを特徴とする通信端末。 - 請求項4または5に記載の通信端末において、
前記アドレス属性には、グローバルアドレス情報を含み、
前記選択手段は、接続先相手のアドレス属性がグローバルアドレスの場合は、セキュア通信手段を選択することを特徴とする通信端末。 - 請求項4乃至6に記載の通信端末において、
前記アドレス属性には、ローカルアドレス情報を含み、
前記選択手段は、接続先相手のアドレス属性がローカルアドレスの場合は、ノンセキュア通信手段を選択することを特徴とする通信端末。 - 請求項4乃至7に記載の通信端末において、
前記アドレス属性には、アドレスの固定部分を示すアドレスプレフィックス情報を含み、
前記選択手段は、アドレスプレフィックス情報に基づいて、通信手段を選択することを特徴とする通信端末。 - 請求項8に記載の通信端末において、
自己のアドレスプレフィックス情報を取得する自己アドレスプレフィックス取得手段を備え、
前記選択手段は、接続先相手および自己のアドレスプレフィックスの類似度に基づいて、セキュア通信手段もしくはノンセキュア通信手段のいずれか一方を選択する手段も含むことを特徴とする通信端末。 - 請求項1乃至9のいずれか一つに記載の通信端末において、
前記セキュア通信手段の一つは、IPSecプロトコルであることを特徴とする通信端末。 - 請求項1乃至10のいずれか一つに記載の通信端末において、
前記セキュア通信手段の一つは、SSLプロトコルであることを特徴とする通信端末。 - 請求項1乃至11のいずれか一つに記載の通信端末において、
前記セキュア通信手段の一つは、TLSプロトコルであることを特徴とする通信端末。 - 請求項1乃至12のいずれか一つに記載の通信端末において、
前記セキュア通信手段の一つは、SSHプロトコルであることを特徴とする通信端末。 - 接続先相手とセキュアな通信をするためのセキュア通信工程と、
接続先相手とセキュアでない通信をするためのノンセキュア通信工程と、
接続先相手のアドレスを取得する接続先アドレス取得工程と、
取得した接続先アドレスに基づいて、セキュア通信工程もしくはノンセキュア通信工程のいずれか一方を選択する選択工程と、
を含み、
選択された通信工程を用いて接続先相手と通信を行うことを特徴とする通信方法。 - 接続先相手とセキュアな通信をするためのセキュア通信工程と、
接続先相手とセキュアでない通信をするためのノンセキュア通信工程と、
接続先相手のアドレス属性を取得するアドレス属性取得工程と、
取得したアドレス属性に基づいて、セキュア通信工程もしくはノンセキュア通信工程のいずれか一方を選択する選択工程と、
を含み、
選択された通信工程を用いて接続先相手と通信を行うことを特徴とする通信方法。 - 接続先相手とセキュアな通信をするためのセキュア通信工程と、
接続先相手とセキュアでない通信をするためのノンセキュア通信工程と、
接続先相手のアドレスを取得する接続先アドレス取得工程と、
取得した接続先アドレスに基づいて、セキュア通信工程もしくはノンセキュア通信工程のいずれか一方を選択する選択工程と、
を含み、
選択された通信工程を用いて接続先相手と通信を行うことをコンピュータに実行させる通信プログラム。 - 接続先相手とセキュアな通信をするためのセキュア通信工程と、
接続先相手とセキュアでない通信をするためのノンセキュア通信工程と、
接続先相手のアドレス属性を取得するアドレス属性取得工程と、
取得したアドレス属性に基づいて、セキュア通信工程もしくはノンセキュア通信工程のいずれか一方を選択する選択工程と、
を含み、
選択された通信工程を用いて接続先相手と通信を行うことをコンピュータに実行させる通信プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002367358A JP2004201039A (ja) | 2002-12-18 | 2002-12-18 | 通信端末、方法および通信プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002367358A JP2004201039A (ja) | 2002-12-18 | 2002-12-18 | 通信端末、方法および通信プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004201039A true JP2004201039A (ja) | 2004-07-15 |
Family
ID=32764282
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002367358A Pending JP2004201039A (ja) | 2002-12-18 | 2002-12-18 | 通信端末、方法および通信プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004201039A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006261802A (ja) * | 2005-03-15 | 2006-09-28 | Ricoh Co Ltd | 情報処理装置、画像処理装置及び画像形成装置 |
JP2007312123A (ja) * | 2006-05-18 | 2007-11-29 | Ricoh Co Ltd | 通信端末 |
US8559641B2 (en) | 2006-09-04 | 2013-10-15 | Konica Minolta Business Technologies, Inc. | Application program distributing apparatus, image processing apparatus and program, allowing data communications using S/MIME at ease |
CN103955348A (zh) * | 2014-05-06 | 2014-07-30 | 丁四涛 | 一种网络打印系统和打印方法 |
-
2002
- 2002-12-18 JP JP2002367358A patent/JP2004201039A/ja active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006261802A (ja) * | 2005-03-15 | 2006-09-28 | Ricoh Co Ltd | 情報処理装置、画像処理装置及び画像形成装置 |
JP2007312123A (ja) * | 2006-05-18 | 2007-11-29 | Ricoh Co Ltd | 通信端末 |
US8559641B2 (en) | 2006-09-04 | 2013-10-15 | Konica Minolta Business Technologies, Inc. | Application program distributing apparatus, image processing apparatus and program, allowing data communications using S/MIME at ease |
CN103955348A (zh) * | 2014-05-06 | 2014-07-30 | 丁四涛 | 一种网络打印系统和打印方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7684395B2 (en) | Communication device and communication method therefor | |
US7631181B2 (en) | Communication apparatus and method, and program for applying security policy | |
EP3834396B1 (en) | User datagram protocol tunneling in distributed application instances | |
EP3046293B1 (en) | Method for determining path computation unit and communication device | |
JP3782981B2 (ja) | セッション中継システム、クライアント端末、セッション中継方法、リモートアクセス方法、セッション中継プログラム及びクライアントプログラム | |
JP2007520797A (ja) | 継承セキュリティ属性を使用したセキュアネットワーク上のプロキシ要求を管理するためのシステム及び方法 | |
US11888818B2 (en) | Multi-access interface for internet protocol security | |
JP6118122B2 (ja) | 通信装置及びその制御方法、プログラム | |
CN111787025B (zh) | 加解密处理方法、装置、系统以及数据保护网关 | |
JP2011100207A (ja) | リモートアクセス装置、リモートアクセスプログラム、リモートアクセス方法及びリモートアクセスシステム | |
JP2000324104A (ja) | バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム | |
Rayes et al. | The internet in IoT—OSI, TCP/IP, IPv4, IPv6 and internet routing | |
US6970920B2 (en) | Methods, systems and computer program products for communicating with unconfigured network devices on remote networks | |
JP2004201039A (ja) | 通信端末、方法および通信プログラム | |
US20080092206A1 (en) | Security protocol control apparatus and security protocol control method | |
JP4704247B2 (ja) | ネットワーク機器 | |
Panwar | TCP/IP Essentials: A Lab-Based Approach | |
JP4461677B2 (ja) | 通信端末及び通信プログラム | |
JP2005197936A (ja) | 通信システム、登録装置及び通信装置 | |
Cisco | Release Notes for Cisco VPN 3000 Series Concentrator, Release 3.6.1 | |
Cisco | Cisco IOS IP Command Reference, Volume 1 of 3: Addressing and Services Release 12.2 | |
JP5169461B2 (ja) | セキュリティパラメータ配布装置及びセキュリティパラメータ配布方法 | |
Cisco | Release Notes for Cisco 3200MARC Series Routers for IOS Release 12.2(11)YQ | |
WO2018225330A1 (ja) | 通信装置、中継装置、情報処理システム、通信システム、通信方法、およびプログラム | |
JP2005079921A (ja) | 通信装置、アドレス生成方法、プログラム、及び記憶媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051124 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070717 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070724 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070920 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20071106 |