JP2005250965A - 情報処理装置 - Google Patents
情報処理装置 Download PDFInfo
- Publication number
- JP2005250965A JP2005250965A JP2004062318A JP2004062318A JP2005250965A JP 2005250965 A JP2005250965 A JP 2005250965A JP 2004062318 A JP2004062318 A JP 2004062318A JP 2004062318 A JP2004062318 A JP 2004062318A JP 2005250965 A JP2005250965 A JP 2005250965A
- Authority
- JP
- Japan
- Prior art keywords
- port number
- information processing
- request
- processing apparatus
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
【課題】 ファイアウォールを設定することに伴うデータの重複や無断な処理を回避することができ、しかも正当なクライアントへのサービスの提供を停止することなく、サーバへの意図的な攻撃によって、当該サーバの機能が停止したりするのを防止することが可能な情報処理装置を提供することを課題とする。
【解決手段】 複数のクライアント端末からの情報処理要求を受け付けるための通常のポート番号が設定された要求受付手段と、前記複数のクライアントうち、特定のクライアントから通常のポート番号に情報処理要求があると、当該通常のポート番号を予め設定された特定のポート番号に入れ替えて、情報処理要求を受け付けるポート番号入れ替え手段と、前記ポート番号入れ替え手段によるポート番号の入れ替えを管理するポート番号入れ替え管理手段とを備えるように構成して課題を解決した。
【選択図】 図1
【解決手段】 複数のクライアント端末からの情報処理要求を受け付けるための通常のポート番号が設定された要求受付手段と、前記複数のクライアントうち、特定のクライアントから通常のポート番号に情報処理要求があると、当該通常のポート番号を予め設定された特定のポート番号に入れ替えて、情報処理要求を受け付けるポート番号入れ替え手段と、前記ポート番号入れ替え手段によるポート番号の入れ替えを管理するポート番号入れ替え管理手段とを備えるように構成して課題を解決した。
【選択図】 図1
Description
この発明は、WebサーバやFTPサーバなどのように、他の装置に情報を提供する一般的なサーバを始め、画像をスキャンして当該スキャンした画像情報をネットワークを介して外部に送信する機能を備えたネットワークスキャナ装置や、ネットワークを介して受信した画像情報をプリントする機能を備えたネットワークプリンタ装置、もしくはWebサーバ機能やFTPサーバ機能などを搭載した複写機やプリンタ、ファクシミリなどの機能を兼ね備えた複合機など、他の装置との間で通信する通信機能を備え、他の装置に情報を提供したり、他の装置から情報処理要求を受けて所定の情報処理を行う情報処理装置に関し、特に正当なクライアントへのサービスの提供を停止することなく、サーバへの意図的な攻撃によって、当該サーバの機能が停止するのを防止することが可能な情報処理装置
情報処理装置に関するものである。
情報処理装置に関するものである。
従来、上記画像をスキャンして読み取るスキャナ装置や、画像情報に基づいてプリントするプリンタ装置、もしくは複写機やプリンタ、ファクシミリなどの機能を兼ね備えた複合機などの情報処理装置は、オフィス等において、数台乃至数10台のクライアント端末としてのパーソナルコンピュータ等に接続され、クライアント端末からの要求を受け付け、画像の読み取りやプリントなどを行うために使用されている。
しかし、近年、これらのスキャナ装置やプリンタ装置、もしくは複合機などの情報処理装置においては、その使用環境が急速に変化しつつある。上記スキャナ装置やプリンタ装置、もしくは複合機などの情報処理装置は、オフィス等において、数台乃至数10台のクライアント端末としてのパーソナルコンピュータ等に接続されて、画像の読み取りやプリントを行うために使用されることに留まらず、次世代のこれらの情報処理装置においては、マルチメディア等への対応が強く求められてきている。その結果、上記スキャナ装置やプリンタ装置、もしくは複合機などの情報処理装置には、Web(HTTP:HyperText Transfer Protocol)サーバ機能やFTP(File Transfer Protocol)サーバ機能などの情報を通信する機能が搭載され、インターネット等のネットワーク環境を介して、不特定多数のクライアント端末と接続され、スキャンした画像情報をネットワークを介して外部に送信したり、ネットワークを介して送られてきた画像情報を受信してプリントする処理など、幅広い情報処理サービスを提供するようになりつつある。
こういった環境下においては、ウイルスを含んだ文書の送付や、特定のアドレスに頻繁に意図的なアクセスを繰り返して正常な使用を困難とするなど、スキャナ装置やプリンタ装置、もしくは複合機などの情報処理装置が、ネットワークを介して不特定多数のクライアント端末と接続されることに伴って、サーバ機能を備えた情報処理装置への意図的な攻撃も増加してきてくることが予想される。そのため、上記情報処理装置においては、正常な動作に支障をきたし、ユーザにサービスを提供できないといった現象も起きてきている。
そこで、このような問題を解決するため、例えば、特開平10−215248号公報や特開2001−273209号公報等に開示されている技術が既に提案されている。
上記特開平10−215248号公報に係るファイアウォール方式は、第1のプロトコルに従って固定長パケットを交換するコネクション型のネットワークを介して第2のプロトコルに従った通信のトラヒックを転送するシステムにおいて上記第2のプロトコルに従った通信を規制するファイアウォール方式であって、固定長パケットを交換するとともに、受信した固定長パケットのなかから上記第2のプロトコルによる第1の端末から第2の端末へのアクセス要求を含んだ固定長パケットを抽出する交換ノードと、上記ネットワーク内に設けられ、上記交換ノードによって抽出された固定長パケットに格納されている情報に基づいて上記第2の端末へのアクセスを許容するか否かを判断するエージェントユニットと、を有するように構成したものである。
また、上記特開2001−273209号公報に係るサーバへのフラッド攻撃を防ぐ方法は、ネットワーク・サーバのポート番号への接続に関して多数のリクエストが受信されるサーバへのフラッド攻撃を防ぐ方法であって、サーバのポート番号への接続に対するホストからのリクエストに応答して、ホストに割当てられたポートとの接続の数が既定しきい値を超えるかどうかを判定し、超える場合は、接続リクエストを拒否するステップを含むように構成したものである。
しかしながら、上記従来技術の場合には、次のような問題点を有している。すなわち、上記特開平10−215248号公報に係るファイアウォール方式の場合には、交換ノードによって抽出された固定長パケットに格納されている情報に基づいて、第2の端末へのアクセスを許容するか否かを判断するエージェントユニットを有するように構成したものであるが、クライアントとファイアウォール間や、ファイアウォールと情報処理装置との間でデータの重複が発生したり、制限したくないクライアントであっても、ファイアウォールが介在してしまい、処理に無駄が生じてしまうという問題点を有していた。
また、上記特開2001−273209号公報に係るサーバへのフラッド攻撃を防ぐ方法の場合には、サーバのポート番号への接続に対するホストからのリクエストに応答して、ホストに割当てられたポートとの接続の数が既定しきい値を超えるかどうかを判定し、超える場合は、接続リクエストを拒否するステップを含むように構成したものであり、サーバへの攻撃によって、サーバ自体が停止することは免れることができるが、ホストに割当てられたポートとの接続の数が既定しきい値を超えた場合には、正当なクライアントに対するサービスの提供をも停止せざるを得ないという問題点を有していた。
そこで、この発明は、上記従来技術の問題点を解決するためになされたものであり、その目的とするところは、ファイアウォールを設定することに伴うデータの重複や無断な処理を回避することができ、しかも正当なクライアントへのサービスの提供を停止することなく、サーバへの意図的な攻撃によって、当該サーバの機能が停止したりするのを防止することが可能な情報処理装置を提供することにある。
上記の課題を解決するため、請求項1に記載された発明は、ネットワークを介して接続された複数のクライアント端末から送られてくる情報処理要求に対して、当該情報処理要求を受け付けることができるクライアント端末を、特定のクライアント端末に制限することが可能な情報処理装置において、
前記複数のクライアント端末からの情報処理要求を受け付けるための通常のポート番号が設定された要求受付手段と、
前記複数のクライアントのうち、特定のクライアントから通常のポート番号に情報処理要求があると、当該通常のポート番号を予め設定された特定のポート番号に入れ替えて、情報処理要求を受け付けるポート番号入れ替え手段と、
前記ポート番号入れ替え手段によるポート番号の入れ替えを管理するポート番号入れ替え管理手段とを備えたことを特徴とする情報処理装置である。
前記複数のクライアント端末からの情報処理要求を受け付けるための通常のポート番号が設定された要求受付手段と、
前記複数のクライアントのうち、特定のクライアントから通常のポート番号に情報処理要求があると、当該通常のポート番号を予め設定された特定のポート番号に入れ替えて、情報処理要求を受け付けるポート番号入れ替え手段と、
前記ポート番号入れ替え手段によるポート番号の入れ替えを管理するポート番号入れ替え管理手段とを備えたことを特徴とする情報処理装置である。
また、請求項2に記載された発明は、前記要求受付手段は、特定のポート番号に直接情報処理要求があった場合は、当該情報処理要求を直ちに受け付けることを特徴とする請求項1に記載された情報処理装置である。
さらに、請求項3に記載された発明は、前記ポート番号入れ替え手段によるポート番号の入れ替え履歴を保存するポート入れ替え履歴保存手段を備えたことを特徴とする請求項1又は2に記載された情報処理装置である。
又、請求項4に記載された発明は、前記ポート番号入れ替え管理手段は、ポート番号の入れ替えを行なう期間、及び/又は特定のポート番号で情報処理要求を受け付けるクライアントのアドレスの指定が可能であることを特徴とする請求項1乃至3のいずれかに記載された情報処理装置である。
更に、請求項5に記載された発明は、前記ポート番号入れ替え管理手段は、特定のポート番号を、特定のクライアント端末に通知する通知手段としての機能を備えていることを特徴とする請求項1乃至4のいずれかに記載された情報処理装置である。
また、請求項6に記載された発明は、前記複数のクライアント端末から送られてくる情報処理要求の内容を検知する要求内容検知手段を備えたことを特徴とする請求項1乃至5のいずれかに記載された情報処理装置である。
さらに、請求項7に記載された発明は、前記ポート番号入れ替え手段は、前記要求内容検知手段の検知内容に応じて、特定の情報処理要求に対してのみ、ポート番号の入れ替えを行うように構成されていることを特徴とする請求項6に記載された情報処理装置である。
この発明によれば、所定のポート番号でクライアント端末からの要求を受け付けるが、クライアント端末によってポート番号を内部的に変更することによって、特定のクライアント端末のみからの情報処理要求を受け付けることが可能となり、容易に特定のクライアント端末にのみサービスを提供することが可能となる。また、ポート番号毎に受信した履歴を取り、それを基にしてクライアント端末を制限することで、管理者の負担を軽減することもできる。
以下に、この発明の実施の形態について図面を参照して説明する。
実施の形態1
図2はこの発明の実施の形態1に係る情報処理装置を適用した情報処理システムを示す構成図である。
図2はこの発明の実施の形態1に係る情報処理装置を適用した情報処理システムを示す構成図である。
この情報処理システム1は、図2に示すように、本実施の形態に係る情報処理装置としての複合機(マルチファンクション機:MF機)100と、パーソナルコンピュータ(PC)等からなるクライアント端末201〜203と、これら複合機100とクライアント端末201〜203とを互いに通信可能に接続するネットワーク300とから構成されている。上記複合機100は、サーバ側端末としての機能をも備えている。また、上記クライアント端末201〜203は、基本的にユーザが使用するものであるが、当該クライアント端末201〜203は、場合により、情報提供側として機能するように構成されていても良い。なお、クライアント端末201〜203は、便宜上、3台のみ図示されているが、クライアント端末200の台数に制限はなく、任意の複数台のクライアント端末200がネットワーク300に接続されていても良いことは勿論である。
上記ネットワーク300としては、例えば、Ethernet(登録商標)や、有線や無線のLAN(Local Area Network )、一般電話回線、ADSL(Asymmetoric Digital SubscriberLine)、ISDN(Integrated Switched Digital Network )などを含み、又、これらのネットワークを介して構築されるインターネットなども含むものである。ここで、ネットワーク300は、複合機100やクライアント端末201〜203を互いに通信可能に接続するネットワークであって、当該ネットワーク300に個別に付与された固有の情報に基づき、通信する相手方の情報処理装置を特定して通信することが可能なものである。上記ネットワークに個別に付与された固有の情報としては、その代表的なものが、インターネットにおいて定義されているIPv6(インターネット・プロトコル,バージョン6)のアドレス又はIPv4(同バージョン4)のアドレスとポート番号の組合せであり、当該IPv6のアドレス又はIPv4のアドレスとポート番号の組合せを特定することによって、ネットワークとしてのインターネットを介して、特定の情報処理装置と通信することができるとともに、当該特定の情報処理装置から情報を受信することが可能となっている。
また、上記複合機100は、図3に示すように、当該複合機本体5の上部に、原稿の画像を読み取るスキャナ装置6を備えている。このスキャナ装置6で読み取られた原稿の画像データは、図示しない画像処理部によって、画像フォーマットの変換、圧縮/伸張、裏写り除去、色変換(明度/色空間変換)や、シェーディング補正、位置ズレ補正、ガンマ補正、枠消し、色/移動編集等の所定の画像処理が施される。
さらに、上記複合機100は、複合機本体5の内部に、マルチファンクションモジュール(以下、「MFモジュール」という。)7を備えており、このMFモジュール7は、スキャナ装置6で読み込まれた画像や、論理ネットワーク4を介して送られてくる画像データ、あるいは一般電話回線を介して送られてくるファクシミリの画像データ等に基づいて、画像データの送受信や、画像データに基づいたコピーやプリント処理を行うように構成されている。なお、上記MFモジュール7は、例えば、電子写真方式により白黒やカラー画像の形成を行うが、これに限定されるものではなく、静電記録方式やインクジェット記録方式など、任意の方式によって画像の形成を行うものを含むものである。
また、上記複写機本体5の上部には、表示操作ユニット8が設けられている。この表示操作ユニット8は、例えば、サイト開設やスキャンやプリントの設定、あるいはホームページの検索等を行う画面を表示したり、サイト開設やスキャンやプリント等の指示を行ったりするためのものである。なお、この表示操作ユニット8とは別に、コピー指示などの基本的な操作をするための操作パネルを本体上面の所定位置に設けてもよい。
さらに、上記複合機100には、後述するように、外部インタフェース108を経由して、ネットワーク300に接続されたクライアント端末201〜203など、外部の機器からアクセスできるようになっている。
この複合機100では、外部インタフェース108を経由して、クライアント端末201〜203から当該複合機100にアクセスする際に、IPv4(インターネット・プロトコル,バージョン4)や、IPv6(同,バージョン6)などのプロトコルを利用して通信が行われる。ここで、IPv4を利用する際には、1つの外部インタフェースに対応して1つのIPアドレスが割り当てられるが、IPv4に代えてIPv6を利用する場合には、1つの外部インタフェースに対して複数のIPアドレスが割り当て可能となっている。したがって、IPv4を利用する際には、当該IPv4の1つのIPアドレスと1つの外部インタフェースに対応した1つのポート番号によって、1つの送信側及び受信側の情報処理装置として機能するとともに、不特定多数の情報処理装置から情報の受信が可能となっている。また、複数の外部インタフェースを設けることによって、1つのIPアドレスと複数の外部インタフェースに対応した複数のポート番号によって、複数の受信側の情報処理装置として機能することが可能である。これに対して、IPv6を利用する際には、当該IPv6の1つの外部インタフェースに対応して複数のIPアドレスが割り当て可能となっており、この複数のIPアドレスによって、複数の送信側及び受信側の情報処理装置として機能することが可能であるとともに、不特定多数の情報処理装置から情報の受信が可能となっている。
一方、クライアント端末201〜203は、図4に示すように、例えば、パーソナルコンピュータ(PC)から構成されるものであり、端末本体40と、CRT(陰極線管)や液晶パネルなどのディスプレイ装置42と、キーボードやマウスなどの入力指示デバイス44とを備えている。端末本体40には、基本ソフトウエア(オペレーティングシステム:OS)の他に、種々の情報処理を行なうために必要なアプリケーションのソフトウエアがインストールされている。アプリケーションのソフトウエアの中には、ネットワークインタフェース部を経由して複合機2にアクセスし、所望の情報処理を複合機2に要求したり、あるいは情報提供者が提供する所定の情報(Webページ)を得てディスプレイ装置42に表示したりする、いわゆるブラウザソフト(Webブラウザ)が含まれる。また、アプリケーションのソフトウエアの中には、IPP等によって複合機2でプリント処理を行うソフトや、複合機2のスキャナ装置6で読み取られた画像データを入力するソフト、あるいは複合機2のスキャナ装置6で読み取られた画像データに所望の画像処理を施したり、当該画像データをを他の情報処理装置に出力するソフトなども含まれる。この実施の形態では、クライアント端末3側には、1つのIPアドレスしか必要でないという事情により、IPv4およびIPv6の何れにおいても、1つの外部インタフェースに対して1つのIPアドレスが割り当てられる。
ところで、この実施の形態では、ネットワークを介して接続された複数のクライアント端末から送られてくる情報処理要求に対して、当該情報処理要求を受けることができるクライアント端末を、特定のクライアント端末に制限することが可能な情報処理装置において、前記複数のクライアント端末からの情報処理要求を受け付けるための通常のポート番号が設定された要求受付手段と、前記複数のクライアントうち、特定のクライアントから通常のポート番号に情報処理要求があると、当該通常のポート番号を予め設定された特定のポート番号に入れ替えて、情報処理要求を受け付けるポート番号入れ替え手段と、前記ポート番号入れ替え手段によるポート番号の入れ替えを管理するポート番号入れ替え管理手段とを備えるように構成されている。
また、この実施の形態では、前記要求受付手段は、特定のポート番号に直接情報処理要求があった場合は、当該情報処理要求を直ちに受け付けるように構成されている。
さらに、この実施の形態では、前記ポート番号入れ替え手段によるポート番号の入れ替え履歴を保存するポート入れ替え履歴保存手段を備えるように構成されている。
又、この実施の形態では、前記ポート番号入れ替え管理手段は、ポート番号の入れ替えを行なう期間、及び/又は特定のポート番号で情報処理要求を受け付けるクライアントのアドレスの指定が可能であるように構成されている。
更に、この実施の形態では、前記ポート番号入れ替え管理手段は、特定のポート番号を、特定のクライアント端末に通知する通知手段としての機能を備えている。
また、この実施の形態では、前記複数のクライアント端末から送られてくる情報処理要求の内容を検知する要求内容検知手段を備えるように構成されている。
さらに、この実施の形態では、前記ポート番号入れ替え手段は、前記要求内容検知手段の検知内容に応じて、特定の情報処理要求に対してのみ、ポート番号の入れ替えを行うように構成されている。
すなわち、この実施の形態に係る複合機100は、プリンタ装置、複写機、及び、ファクシミリ装置などが有する機能を兼ね備えており、様々な情報処理要求に対して対応することが可能となっている。
この複合機100は、図1に示すように、CPU(Central Processing Unit )101と、ROM(Read Only Memory)102と、RAM(Random Access Memory)103と、ページメモリ104と、NVRAM(Non Vapor Random Access Memory)105と、印刷部106と、U/I(ユーザインタフェース)107と、I/F(外部インタフェース)108と、ハードディスク(Hard Disk Drive )109と、読取部(スキャナ)110と、FAX(ファクシミリ)通信部111とから構成される。
CPU101は、当該複合機100を構成するROM102と、RAM103と、ページメモリ104と、NVRAM105と、印刷部106と、U/I107と、I/F108と、ハードディスク109と、読取部110と、FAX通信部111とを、システムバス112を介して制御する中央演算処理装置である。この複合機100におけるプリント動作や、コピー動作、あるいはファクシミリとしての各種の動作は、CPUl01の制御のもとに実行される。上記CPU101による制御動作は、ソフトウェア(プログラム) に基づいて決定される。
上記CPU101は、複数のクライアントうち、特定のクライアントから通常のポート番号に情報処理要求があると、当該ポート番号を通常のポート番号と異なる特定のポート番号に入れ替えるポート番号入れ替え手段としての機能と、前記ポート番号入れ替え手段によるポート番号の入れ替え操作を管理するポート番号入れ替え操作管理手段としての機能を兼ね備えたものである。
また、上記CPU101は、ポート入れ替え履歴を作成するポート入れ替え履歴作成手段としての機能や、要求内容検知手段としての機能をも備えている。
また、上記ROM102は、読み取り専用メモリであり、このROM102には、複合機100を制御するプログラムのうち、基本的な動作を制御するためのプログラムが格納されている。上記プログラムとしては、例えば、電源投入直後に複合機100の各ハードウェアを診断したり、NVRAM105に記憶された制御プログラムを起動するといったプログラムが挙げられる。
RAM103は、読み書き可能メモリであり、複合機100で動作する各プログラムが作業用として使用するデータ記憶領域である。
ページメモリ104は、文書データを用紙に印刷可能なデータに変換した結果を記憶するための記憶領域である。
NVRAM105は、不揮発性のRAMであり、このNVRAM105には、複合機100を制御するプログラムのほとんどが格納されている。上記NVRAM105の記憶領域に記憶されたデータは、複合機100の電源を遮断した後も保持される。
印刷部106は、ページメモリ104に格納された印刷可能なデータを、用紙に印刷する手段である。この印刷部106は、例えば、読取部110で読み取られた画像の印刷機能すなわち複写装置機能に限らず、ネットワーク300を介してパーソナルコンピュータなどのクライアント端末201〜203から取得した文書データや画像ファイルなどに基づいて画像を印刷するいわゆるプリント機能や、一般電話回線を介して受信したFAX受信データに基づいて印刷出力するFAX機能も備えている。
上記複合機100が例えばプリンタとして機能する場合、印刷部106は、外部のクライアント端末201〜203からぺージ記述言語(PDL:Page Description Language)で記載されたPDLデータを受け取り、当該PDLデータをページメモリ104に出力単位ごと(1ぺージごと)の画像データとして展開し、そのラスタデータが印刷部106に送られ、印刷部106にてプリント出力するように構成されている。また、複合機100がカラーファクシミリ受信機として機能する場合、印刷部106は、PDLデータに代えてFAX受信データを受け取り、印刷部106にてLab信号に変換した後、印刷部106にてプリント出力する。
U/I107は、図示しない液晶ディスプレイ及びタッチパネルを備えている。表示手段としての液晶ディスプレイは、CPU101によって制御され、文字やグラフィツク画面、メニュー画面などを表示し、ユーザに情報を与えるものである。タッチパネルは、液晶ディスプレイを覆うように設置されており、ユーザがタッチパネルに触れると、触れた位置を示す信号を送出することで、ユーザが情報を入力することができるようになっている。
I/F108は、要求受付手段としての外部インタフェースであり、インターネットに接続するためのネットワークインタフェース、赤外線やブルートゥース(登録商標)による無線通信を行なうための無線通信インタフェース、ICカード、PCカード、コンパクトフラッシュ(登録商標)、スマートメディア、光磁気ディスクなど可搬性媒体とのデータ通信を行なうインタフェースなどから構成されている。
ハードディスク109は、外部よりI/F108を介して受信した印刷情報や文書データや、文書データを印刷可能なデータに変換するためのフォントや、複合機100の設定情報や状態情報等を格納しておく記憶媒体である。ハードディスク109は、一般に単位当たりのコストがRAM、NVRAMやページメモリに比べて安価なため、RAMやページメモリの補助記憶領域としても使用される。
読取部110は、原稿の画像を複合機100内部で扱うことができる画像データに変換するものであり、一般にスキャナーと呼ばれる。
FAX通信部111は、電話回線を介してデータを受信したり、読取部110で読み取られたデータをFAX送信するためのデバイスである。
なお、この実施の形態に係る複合機100は、ネットワーク300を介してクライアント端末201〜203と接続されており、ネットワークスキャナやネットワークプリンタとしての機能をも備えている。加えて、複合機100で管理されているサイトに、I/F108を経由して、ネットワーク300と接続されたクライアント端末200などの外部機器からアクセスを受けて、所定の情報を提供し、また指示された情報処理を行なう機能をも備えている。
たとえば、読取部110で読み取った画像や印刷出力用あるいはFAX受信画像として受け取った画像に基づいて、通信制御部17にてサイトのコンテンツを生成し取得することで、複合機2は、自装置にて取得し用意(ハードディスク装置などの画像格納部に保存)した画像に基づく情報をクライアント端末3に提供することが可能である。
また、複合機100は、ネットワーク300を介してインターネットに接続することにより、いわゆるWebサイトを提供可能となっている。この場合、複合機100は、外部のサイトにて用意されているWeb情報をインタフェース108が受け取り、これをさらにインターネットにて提供することが可能である。この場合、複合機100は、コンテンツを自装置外から取得して提供する、いわゆる中継サーバとして機能する。
上記複合機100には、ネットワーク300を介して接続されたクライアント端末201〜203から、当該複合機100の読取部110で読み取られた画像データに対する画像処理の要求や、当該複合機100の読取部110で読み取られた画像データを印刷するコピー処理の要求、あるいはクライアント端末201〜203で作成された文書データ等のプリント処理(IPP)の要求、さらにはWebサイトで閲覧した画像のプリント処理の要求など、種々の情報処理要求が送られてくる。
以上の構成において、この実施の形態に係る情報処理装置では、次のようにして、ファイアウォールを設定することに伴うデータの重複や無断な処理を回避することができ、しかも正当なクライアントへのサービスの提供を停止することなく、サーバへの意図的な攻撃によって、当該サーバの機能が停止するのを防止することが可能となっている。
すなわち、この実施の形態に係る複合機100では、図5に示すように、種々のサービスを提供することが可能となっている。このサービスとしては、例えば、FTPファイル管理サービス、SMTPメール転送サービス、Webサービス、POP3メール受信サービス、Lpdプリントサービス、IPPプリントサービスなどが挙げられる。上記FTPファイル管理サービスは、図5に示すように、ポート番号「20」と「21」によって、SMTPメール転送サービスは、ポート番号「25」によって、Webサービスは、ポート番号「80」によって、POP3メール受信サービスは、ポート番号「110」によって、Lpdプリントサービスは、ポート番号「515」によって、IPPプリントサービスは、ポート番号「631」によって、それぞれ提供されるように設定されている。
上記通常のポート番号は、図1に示すように、I/F108に予め設定されており、プリント等の情報処理要求を送信する一般のクライアント端末201〜203を操作するユーザにも、予め通知されているものである。
ここで、上記ポート番号とは、クライアント端末201〜203からサービス提供の要求を受け付ける場合に、当該要求を受け付けるTCP/IP(Transmission Control Protoco1/Internet Protocol)のポート番号を意味している。クライアント端末201〜203は、ポート番号を指定して、複合機100に提供を受けたいサービスの要求を送信すると、サーバとして機能する複合機100は、要求に応じたサービスを提供するようになっている。
この実施の形態では、WebサービスとLpd(Line Printer Daemon;RFC1179) プリントサービスにおいて、クライアント端末201〜203を制限する場合を例に挙げて説明する。
上記複合機100では、上述したごとく、図5に示すように、提供するサービスによって、使用する通常のポート番号が予め決められている。また、この複合機100では、複数のクライアントうち、特定のクライアントから通常のポート番号に情報処理要求があると、当該ポート番号を通常のポート番号と異なる特定のポート番号に入れ替えて、情報処理要求を受け付けるポート番号入れ替え手段として、CPU101が機能するように構成されている。また、このポート番号入れ替え手段としての機能は、I/F108に持たせ、ハードウエアとしてポート番号の入れ替えを行うように構成しても勿論良い。
そのため、上記複合機100では、図6に示すように、各種のサービスを受け付ける通常のポート番号以外に、特定のクライアントのみにサービスを提供する特定のポート番号が定められており、特定のクライアントから通常のポート番号にアクセスがあり、当該通常のポート番号に別の特定のポート番号が設定されている場合には、当該通常のポート番号に自動的に入れ替える機能を備えている。
図6に示す例では、WebサービスとLpdプリントサービスにおいて、通常のポート番号である「80」と「515」の他に、特定のクライアントのために、特定のポート番号である「81」と「5150」が設定されている。また、上記ポートの入れ替えに対しては、入れ替えを行なう期間として「無期限」、「20yy/mm/25」などが設定可能となっている。
上記複合機100では、動作を開始する前に、予めクライアントを制限するための設定を行なっておくようになっている。ただし、この設定は、複合機100の動作中に行なってもよく、本複合機100では、動作中に設定変更を行なう場合には、複合機100を再起動した後にはじめて有効となる。また、このクライアントを制限するための設定は、ユーザと対話的に行なうことができる。
上記複合機100において、例えば、Webサービスのクライアント制限を行なうには、図7に示すように、U/I107の表示操作ユニット8にポート処理変更メニュー120を表示させ、当該ポート処理変更メニュー120によってクライアント端末を制限する設定を行なうようになっている。このクライアント端末を制限する設定は、特定のクライアント端末を決定する設定でもある。
このポート番号の入れ替え動作は、図8に示すフローチャートに従って行なわれる。
このポート処理の入れ替え(変更)動作では、図8に示すように、まず、CPU101によって表示操作ユニット8にポート処理変更メニュー120(図7参照)を表示し(ステップ101)、ポート処理の変更設定が行なわれる(ステップ102)。このポート処理変更メニュー120では、図7に示すように、まず、「ポートを閉じる」という選択があり、当該「ポートを閉じる」を選択して設定ボタンを押下すると、動作中の場合には、サービスを停止して、処理を終了する。いま、図6に示すように、例えば、ポート番号「80」でWebサービスを提供している場合、ポート番号「80」を閉じる処理が行なわれ、代わりにポート番号「81」に入れ替える処理が可能となる。仮に、該当するポート番号に後述するポート入れ替え履歴としての受信ログ(図9参照)が存在し、図6に示すように対応した制限付ポート番号、または、新ポート番号があれば、受信ログを対応するポートの受信ログに追加することも可能となっている。また、このポート処理変更メニュー120では、入れ替えられたポート番号の有効期間を指定することもでき、例えば「5日間」とすれば、その間「ポートを閉じる」、または、「入れ替える」ことになる。
次に、CPU101によって、図8に示すように、ポート処理変更メニュー120のいずれかのボタンが押し下げられたか否かが判別され(ステップ103)、ボタンが押し下げられていない場合には、ステップ102に戻る。また、取消ボタンが押し下げられた場合には、ポート処理変更の設定が解除された後(ステップ104)、ポート処理変更メニュー120が消去されて(ステップ105)、動作を終了する。
一方、上記ポート処理変更メニュー120において設定ボタンが押し下げられた場合には、ポート処理変更メニュー120が消去された後(ステップ106)、ポートの入れ替え指示がなされたか否かが判別される(ステップ107)。そして、ポートの入れ替え指示がなされていない場合は、ポート処理変更の動作を終了する。
また、ポートの入れ替え指示がなされている場合には、図10に示すように、クライアント制限メニュー121を表示し(ステップ108)、クライアントの制限を設定するようになっている(ステップ109)。このクライアント制限メニュー121では、図10に示すように、受信を許可するクライアントを指定するようになっている。ここで表示しているクライアントのリストは、図9に示すような受信ログによって作成されたものである。
その際、CPU101は、クライアント制限メニュー121において、詳細ボタンが押されたか否かを判別し(ステップ110)、詳細ボタンが押されていない場合には、設定ボタンか取消ボタンが押された否かが判別される(ステップ111)。そして、設定ボタン及び取消ボタンのいずれも押されていない場合には、ステップ109に戻る。また、設定ボタンが押されている場合には、クライアント制限メニュー121を消去して(ステップ112)、ポート処理変更動作を終了する。さらに、取消ボタンが押されている場合には、クライアント制限の設定を解除した後(ステップ113)、クライアント制限メニュー121を消去して(ステップ112)、ポート処理変更動作を終了する。
一方、クライアント制限詳細メニュー121において、詳細ボタンが押された場合には、図8に示すように、クライアント制限詳細メニュー121(図10参照)を表示し(ステップ114)、クライアント制限の詳細な設定を行なった後(ステップ115)、設定ボタンが押された否かを判別し(ステップ116)、設定ボタンが押されていなければ、ステップ115に戻り、設定ボタンが押された場合には、クライアント制限詳細メニュー121を消去した後(ステップ117)、ステップ109に戻り、クライアント制限設定を行なうようになっている。
このクライアント制限詳細設定メニュー122では、図10に示すように、個別の入替ポート、制限期間を指定したり、MACアドレスを限定したり、受信頻度による制限も可能となっている。さらに、アプリケーションレベル(Webサービスソフトウェア)の制限事項、例えば、「設定変更、削除は許可しない」といった制限も設定可能である。
なお、ここでの設定内容は、図6に示すような複合機のサービス対応ポート番号の表や、図11に示すような受信制限リストに反映される。
図12は複合機100の主要な動作を示すフローチャートである。
まず、上記複合機100は、図12に示すように、装置の初期化を実行した後(ステップ201)、内部ハードウェアであるCPU101やROM102、RAMl03、ページメモリ104、NVRAM105、印刷部106、U/I107、I/F108、ハードデイスク109、読取部110、FAX通信部111のチェックを行なう。その後、複合機100は、各種の処理を実行するソフトウェア(図示せず)を起動し、プリント処理可能な状態にするとともに、U/I107の表示操作ユニット8(タッチパネル)や、クライアント端末201〜203からのユーザ指示を待つ。
次に、上記複合機100は、サービスを起動する処理を実行する(ステップ202)。このサービスを起動する処理のフローチャートは、図13に示す通りであり、図6に示すテーブルを参照して、サービスを順に起動していく。
また、上記サービスを起動する処理のフローチャートでは、図13に示すように、サービスの選択を受け付け(ステップ301)、例えば、このステップ301でFTPファイルサービスを選択した場合には、新(入替)ポートが指定されているか否かが判別される(ステップ302)。ここで、FTPファイルサービスについては、図6に示すように、新(入替)ポートが指定されていないため、当初のポート番号「20」、「21」番を開設し、サービスの受信ポートを開設して(ステップ303)、サービスを起動する(ステップ304)。
ここで、Webサービスを選択した場合には、図6に示すように、新(入替)ポートが指定されているため、ステップ306においてポート監視手段が起動されているかが判別され、起動されていない場合いは、当該ポート監視手段を起動する(ステップ307)。このポート監視手段とは、クライアントから受信した要求をクライアント制限設定に応じて処理を行なうもので、図12のステップ203から、実サービス処理(ステップ210、ステップ209)に動作を移すまでの処理を行なうソフトウェアである。
続いて、新(入替) ポート番号「81」を開設した後(ステップ309)、通常のサービス受信ポート番号である「80」も開設して(ステップ303)、サービスを起動する(ステップ304)。これを図6に示すすべてのサービスについて順番(ステップ301〜304)に実行していく(ステップ305)。すべてのサービスが起動されるた場合には、図12のステップ203に示すように、サービス要求待ちとなる。
CPU101は、図12に示すように、サービス要求の受信があったか否かを判別し(ステップ203)、サービス要求の受信があったことを判別した場合には、受信ログに「受付」を追加する(ステップ204)。受信ログは、図9に示すようなもので、ポート番号毎に、IPアドレス、MACアドレス、受信時刻が記載され、さらに実施した処理も記載される。
次に、受信ポートが制限ポート(図6で新ポートが設定されたポート)であるか否かが判別され(ステップ205)、受信ポートが制限ポートである場合には、許可された特定のクライアントであるか否かが判別され(ステップ206)、許可されたクライアントである場合には、受信ログに「入替」を追加し(ステップ207)、更にサービス制限があるか否かが判別される(ステップ208)。サービス制限があれば、制限付でサービスを処理し( ステップ209)、サービス制限がなければ、通常のサービス処理を行なう(ステップ210)。また、ステップ206において、許可されたクライアントでないと判別された場合には、受信ログに「拒絶」を追加した後(ステップ211)、拒絶処理が実行される(ステップ212)。拒絶処理は、サービスによって処理の内容が異なるが、この実施の形態では、TCP/IP通信におけるセッションクローズ処理とする。ステップ205において制限ポートでない場合には、すぐに通常のサービス処理が行なわれる(ステップ210)。例えば、外部のネットワーク300からあるポート番号に攻撃があった場合は、内部のクライアントにのみ新(入替)ポートを教えておけば、何も余計な処理を施すことなく、サービスを制限する処理を実行することが可能となっている。
このように、上記実施の形態では、通常のポート番号と特定のポート番号の対応付けを、図6に示すように保存して管理し、サーボスの提供を通常のポート番号で受け付け、あらかじめ設定された特定のクライアント端末である場合には、通常のポート番号を特定のポート番号に変更して、受け付けたサービスを実行する上位のアプリケーションに渡して処理するようになっている。
そのため、上位のアプリケーションは、何ら処理を変更することなく、つまり、ポート番号の入れ替え手段と上位のアプリケーションとの間で何ら通信を行うことなく、通常のサービスの提供を実行することができる。その際、特定のクライアント端末に変更された特定のポート番号を電子メールや他の手段で通知する通知手段を設けてもよい。この場合、特定のポート番号に直接アクセスした特定のクライアント端末に対しては、そのまま受け付けたサービスを提供することができる。
また、サービスの提供を受け付けたクライアント端末との通信ログを保存しておき、通常のポート番号に対応する通信ログから、自動、又は選択的に、通常のポート番号からの要求を制限するように構成しても良い。
さらに、通常のポート番号へのサービスの要求が一定期間ない場合には、通常のポート番号を閉じるか、又は元の通常ポート番号でサービスの要求が受け付けるようにすることも可能である。
また、通常のポート番号へのサービスの要求は、当該要求内容によって受け付けるか否かを決定し、その際、サービス要求元のユーザの権利を低くして、新ポート番号に変更するようにように構成しても良い。
図6に示す例では、Webサービスは、新ポート番号「81」が設定されており、一般ユーザからの通常ポート番号「80」へのサービスの要求を一律に拒否するように設定することが可能である。ただし、この場合でも、一般ユーザに対してWebサービスを提供可能とする設定にしても良く、その場合に、サービス要求元のユーザの権利を低くして、つまり、Webサービスの一部にのみ受け付けるサービスを制限して、新ポート番号「81」に変更するようにように構成しても良い。
このように、上記実施の形態に係る情報処理装置では、ファイアウォールを設定することに伴うデータの重複や無断な処理を回避することができ、しかも正当なクライアントへのサービスの提供を停止することなく、サーバへの意図的な攻撃によって、当該サーバの機能が停止するのを防止することが可能となっている。
なお、上記実施の形態では、許可するクライアントを指定したが、逆に許可しないクライアントを指定するように構成しても良い。
100:複合機、101:CPU、102:ROM、103:RAM、104:ページメモリ、105:NVRAM、106:印刷部、107:U/I(ユーザインタフェース)、108:I/F(外部インタフェース)、109:ハードディスク、110:読取部(スキャナ)、111:FAX(ファクシミリ)通信部、201〜203:クライアント端末、300:ネットワーク。
Claims (7)
- ネットワークを介して接続された複数のクライアント端末から送られてくる情報処理要求に対して、当該情報処理要求を受け付けることができるクライアント端末を、特定のクライアント端末に制限することが可能な情報処理装置において、
前記複数のクライアント端末からの情報処理要求を受け付けるための通常のポート番号が設定された要求受付手段と、
前記複数のクライアントのうち、特定のクライアントから通常のポート番号に情報処理要求があると、当該通常のポート番号を予め設定された特定のポート番号に入れ替えて、情報処理要求を受け付けるポート番号入れ替え手段と、
前記ポート番号入れ替え手段によるポート番号の入れ替えを管理するポート番号入れ替え管理手段とを備えたことを特徴とする情報処理装置。 - 前記要求受付手段は、特定のポート番号に直接情報処理要求があった場合は、当該情報処理要求を直ちに受け付けることを特徴とする請求項1に記載された情報処理装置。
- 前記ポート番号入れ替え手段によるポート番号の入れ替え履歴を保存するポート入れ替え履歴保存手段を備えたことを特徴とする請求項1又は2に記載された情報処理装置。
- 前記ポート番号入れ替え管理手段は、ポート番号の入れ替えを行なう期間、及び/又は特定のポート番号で情報処理要求を受け付けるクライアントのアドレスの指定が可能であることを特徴とする請求項1乃至3のいずれかに記載された情報処理装置。
- 前記ポート番号入れ替え管理手段は、特定のポート番号を、特定のクライアント端末に通知する通知手段としての機能を備えていることを特徴とする請求項1乃至4のいずれかに記載された情報処理装置。
- 前記複数のクライアント端末から送られてくる情報処理要求の内容を検知する要求内容検知手段を備えたことを特徴とする請求項1乃至5のいずれかに記載された情報処理装置。
- 前記ポート番号入れ替え手段は、前記要求内容検知手段の検知内容に応じて、特定の情報処理要求に対してのみ、ポート番号の入れ替えを行うように構成されていることを特徴とする請求項6に記載された情報処理装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004062318A JP2005250965A (ja) | 2004-03-05 | 2004-03-05 | 情報処理装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004062318A JP2005250965A (ja) | 2004-03-05 | 2004-03-05 | 情報処理装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005250965A true JP2005250965A (ja) | 2005-09-15 |
Family
ID=35031376
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004062318A Withdrawn JP2005250965A (ja) | 2004-03-05 | 2004-03-05 | 情報処理装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005250965A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012068874A (ja) * | 2010-09-22 | 2012-04-05 | Canon Inc | 情報処理装置、その制御方法、及びプログラム |
JP2015079451A (ja) * | 2013-10-18 | 2015-04-23 | キヤノン株式会社 | 画像形成装置及びその制御方法、並びにプログラム |
JP2015226082A (ja) * | 2014-05-26 | 2015-12-14 | キヤノン株式会社 | 情報処理装置及びその制御方法、並びにプログラム |
-
2004
- 2004-03-05 JP JP2004062318A patent/JP2005250965A/ja not_active Withdrawn
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012068874A (ja) * | 2010-09-22 | 2012-04-05 | Canon Inc | 情報処理装置、その制御方法、及びプログラム |
US9300746B2 (en) | 2010-09-22 | 2016-03-29 | Canon Kabushiki Kaisha | Information processing apparatus and control method therefor |
JP2015079451A (ja) * | 2013-10-18 | 2015-04-23 | キヤノン株式会社 | 画像形成装置及びその制御方法、並びにプログラム |
JP2015226082A (ja) * | 2014-05-26 | 2015-12-14 | キヤノン株式会社 | 情報処理装置及びその制御方法、並びにプログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8072636B2 (en) | Information processing apparatus, information processing method, and print control system | |
US7889373B2 (en) | Image processing apparatus | |
US8310697B2 (en) | Image processing system, image processing apparatus and control method of the same, and computer program | |
JP6184060B2 (ja) | 画像処理装置、画像処理装置の制御方法、及びプログラム | |
JP5359700B2 (ja) | 画像形成装置、画像形成装置利用システム、画像形成方法 | |
US20060227376A1 (en) | Secure image data system and method | |
JP2008073973A (ja) | 画像形成装置 | |
US8599442B2 (en) | Image processing apparatus utilization system and image processing apparatus utilization method for an image processing apparatus utilization system including image processing apparatuses, a scenario generation unit, a scenario storing unit, and an image delivery unit that are connected via a network | |
JP2014134873A (ja) | 処理実行システム、情報処理装置、プログラム | |
US20080126306A1 (en) | System and method for automatic configuration of network devices | |
US9509879B2 (en) | Image processing apparatus, method for controlling image processing apparatus, and storage medium | |
JP2005250965A (ja) | 情報処理装置 | |
JP4631729B2 (ja) | 画像形成装置及びファイル送信システム | |
JP5218313B2 (ja) | 画像形成装置、画像形成装置利用システム、画像データ生成方法 | |
JP2007190805A (ja) | 情報機器の状態変更方法及びプログラム | |
JP7263083B2 (ja) | 画像処理装置、画像処理装置の制御方法及びプログラム | |
JP4411957B2 (ja) | 印刷装置及び印刷制御プログラム | |
JP2019192088A (ja) | 情報処理装置、その制御方法、及びプログラム | |
JP4608923B2 (ja) | アンインストールシステム | |
JP5338539B2 (ja) | 画像形成装置、画像形成装置利用システム、画像データ生成方法 | |
JP6433551B2 (ja) | 画像処理装置、画像処理装置の制御方法、及びプログラム | |
JP4923694B2 (ja) | 機器組み込み型情報処理装置 | |
JP2004048604A (ja) | デジタル複合機 | |
JP4483502B2 (ja) | 情報処理装置及びこれを用いた情報処理システム | |
JP2008270956A (ja) | 画像処理装置および端末装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070221 |
|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20080917 |