JP2007135083A - Equipment having data communication function - Google Patents

Equipment having data communication function Download PDF

Info

Publication number
JP2007135083A
JP2007135083A JP2005327802A JP2005327802A JP2007135083A JP 2007135083 A JP2007135083 A JP 2007135083A JP 2005327802 A JP2005327802 A JP 2005327802A JP 2005327802 A JP2005327802 A JP 2005327802A JP 2007135083 A JP2007135083 A JP 2007135083A
Authority
JP
Japan
Prior art keywords
ipsec
setting
address
security
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005327802A
Other languages
Japanese (ja)
Other versions
JP4682021B2 (en
Inventor
Hirotaka Ohira
浩貴 大平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2005327802A priority Critical patent/JP4682021B2/en
Publication of JP2007135083A publication Critical patent/JP2007135083A/en
Application granted granted Critical
Publication of JP4682021B2 publication Critical patent/JP4682021B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide equipment with a data communication function capable of acquiring the situation of IPsec setting from the outside, and automating the IPsec setting. <P>SOLUTION: The equipment having a security communication function comprises a means for performing communication with a plurality of addresses; a means for putting at least one of the plurality of addresses outside the object of security communication, and setting at least one of the plurality of addresses to be the object of the security communication; and a means for notifying a request source of the setting situation of the security communication set to own equipment, when a request is received from the outside via a network by an address that is not set to be the target of the security communication. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、IPsec(Internet Protocol security)等のデータ通信機能を有する機器に関する。   The present invention relates to a device having a data communication function such as IPsec (Internet Protocol security).

TCP/IP(Transmission Control Protocol/Internet Protocol)環境で汎用的に用いることができるセキュリティ技術として、IPsecと呼ばれるプロトコルがある。これはLayer3で実現するセキュアな通信プロトコルである。   There is a protocol called IPsec as a security technique that can be generally used in a TCP / IP (Transmission Control Protocol / Internet Protocol) environment. This is a secure communication protocol realized by Layer3.

IPsecは基本的に2点間の通信をセキュアにするもので、第三者による通信内容の窃視をさける暗号化機能と、第三者によるセッションハイジャックなどを避ける認証機能の2種類をサポートしている。   IPsec basically secures communication between two points, and supports two types of functions: an encryption function that prevents third parties from snooping communications, and an authentication function that avoids session hijacking by third parties. ing.

2台の機器の間でIPsec通信を行いたい場合、両方の機器がIPsecを使用可能な状態になっていなければならない。一方の機器だけがIPsecを必須とするような設定になっていて、もう一方がIPsecを行わない設定になっている場合、双方のIP通信が不能になってしまう。   In order to perform IPsec communication between two devices, both devices must be able to use IPsec. If only one device is set to require IPsec and the other device is set not to perform IPsec, both IP communications are disabled.

従来、このような状況では2者のIP通信ができないため、既にIPsec設定がなされている機器のIPsec設定情報を手作業で参照し、もう一方の機器にそのIPsec機器と通信できるような設定を手作業で設定するようにしていた。   Conventionally, since it is not possible for two parties to perform IP communication in such a situation, the IPsec setting information of a device that has already been set for IPsec is referred to manually, and the other device is set to communicate with the IPsec device. I was trying to set it manually.

一方、特許文献1には、IPsecを使用するデバイスにおいてセキュリティポリシを設定する際の技術が開示されている。
特開2005−130096号公報 On the other hand, Patent Document 1 discloses a technique for setting a security policy in a device using IPsec.
JP 2005-130096 A

上述したように、一方の機器だけがIPsecを必須とするような設定になっていて、もう一方がIPsecを行わない設定になっている場合、既にIPsec設定がなされている機器のIPsec設定情報を手作業で参照し、もう一方の機器にそのIPsec機器と通信できるような設定を手作業で設定しなければならなかったため、操作が煩雑であるという問題があった。   As described above, when only one device is set to require IPsec and the other device is set not to perform IPsec, the IPsec setting information of a device that has already been set for IPsec is displayed. There is a problem that the operation is complicated because it is necessary to manually set the other device so that communication with the IPsec device can be performed manually.

本発明は上記の従来の問題点に鑑み提案されたものであり、その目的とするところは、外部からIPsec設定状況を取得することができ、IPsecの設定を自動化することのできるデータ通信機能を有する機器を提供することにある。   The present invention has been proposed in view of the above-described conventional problems. The object of the present invention is to provide a data communication function capable of acquiring the IPsec setting status from the outside and automating the IPsec setting. It is to provide a device having the same.

上記の課題を解決するため、本発明にあっては、請求項1に記載されるように、セキュリティ通信機能を持つ機器であって、複数のアドレスにより通信を行う手段と、上記の複数のアドレスのうちの少なくとも一つをセキュリティ通信の対象外とし、上記の複数のアドレスのうちの少なくとも一つをセキュリティ通信の対象とする手段と、上記のセキュリティ通信の対象外としたアドレスにより外部からネットワークを経由して要求を受けた場合に、自機器に設定されたセキュリティ通信の設定状況を要求元に通知する手段とを備えるデータ通信機能を有する機器を要旨としている。   In order to solve the above problems, according to the present invention, as described in claim 1, a device having a security communication function, which communicates with a plurality of addresses, and the plurality of addresses Means for excluding at least one of the above-mentioned addresses from security communication, and at least one of the plurality of addresses as a target for security communication; A gist of a device having a data communication function including means for notifying a requester of a setting state of security communication set in the own device when a request is received via the device.

また、請求項2に記載されるように、請求項1に記載のデータ通信機能を有する機器において、上記の自機器に設定されたセキュリティ通信の設定状況を要求元に通知する手段は、要求元の機器で実行可能なセキュリティ機能設定命令を生成し、これを設定状況として通知するようにすることができる。   According to a second aspect of the present invention, in the device having the data communication function according to the first aspect, the means for notifying the request source of the setting status of the security communication set in the own device is the request source. It is possible to generate a security function setting command that can be executed by the device and to notify the setting status as a setting status.

また、請求項3に記載されるように、請求項1または2のいずれか一項に記載のデータ通信機能を有する機器において、上記の複数のアドレスのうちの少なくとも一つはマルチキャストアドレスであり、上記のマルチキャストアドレスにより外部からネットワークを経由して要求を受けた場合に、自機器にアクセスするための情報を要求元に通知する手段を備えるようにすることができる。   In addition, as described in claim 3, in the device having the data communication function according to claim 1 or 2, at least one of the plurality of addresses is a multicast address, In the case where a request is received from the outside via the network by the above multicast address, a means for notifying the request source of information for accessing the device itself can be provided.

また、請求項4に記載されるように、複数のアドレスにより通信を行う手段と、セキュリティ通信機能を持つ所定の機器に設定されたセキュリティ通信の設定状況を記憶する手段と、上記のアドレスにより外部からネットワークを経由して要求を受けた場合に、上記の所定の機器に設定されたセキュリティ通信の設定状況を要求元に通知する手段とを備えるようにすることができる。   According to a fourth aspect of the present invention, there is provided means for performing communication using a plurality of addresses, means for storing the setting status of security communication set in a predetermined device having a security communication function, and externally using the above address. And a means for notifying the requester of the setting status of the security communication set in the predetermined device when a request is received from the network via the network.

また、請求項5に記載されるように、請求項4に記載のデータ通信機能を有する機器において、上記の所定の機器に設定されたセキュリティ通信の設定状況を要求元に通知する手段は、要求元の機器で実行可能なセキュリティ機能設定命令を生成し、これを設定状況として通知するようにすることができる。   According to a fifth aspect of the present invention, in the device having the data communication function according to the fourth aspect, the means for notifying the request source of the setting status of the security communication set in the predetermined device is a request It is possible to generate a security function setting command that can be executed by the original device and notify the setting status as a setting status.

また、請求項6に記載されるように、請求項4または5のいずれか一項に記載のデータ通信機能を有する機器において、上記の複数のアドレスのうちの少なくとも一つはマルチキャストアドレスであり、上記のマルチキャストアドレスにより外部からネットワークを経由して要求を受けた場合に、自機器にアクセスするための情報を要求元に通知する手段を備えるようにすることができる。   Further, as described in claim 6, in the device having the data communication function according to any one of claims 4 and 5, at least one of the plurality of addresses is a multicast address, In the case where a request is received from the outside via the network by the above multicast address, a means for notifying the request source of information for accessing the device itself can be provided.

また、請求項7に記載されるように、セキュリティ通信機能を持つ機器であって、ネットワークを経由して他の機器に所定の機器に設定されたセキュリティ通信の設定状況を要求する手段と、上記の他の機器からの所定の機器に設定されたセキュリティ通信の設定状況に応じて自機器のセキュリティ通信の設定を行う手段とを備えるようにすることができる。   According to a seventh aspect of the present invention, there is provided a device having a security communication function, which requests a setting status of security communication set to a predetermined device from another device via a network, Means for setting the security communication of the own device according to the setting status of the security communication set for the predetermined device from another device.

また、請求項8に記載されるように、セキュリティ通信機能を持ち、複数のアドレスにより通信を行う手段を備えた機器における制御方法であって、上記の複数のアドレスのうちの少なくとも一つをセキュリティ通信の対象外とし、上記の複数のアドレスのうちの少なくとも一つをセキュリティ通信の対象とする工程と、上記のセキュリティ通信の対象外としたアドレスにより外部からネットワークを経由して要求を受けた場合に、自機器に設定されたセキュリティ通信の設定状況を要求元に通知する工程とを備えるデータ通信機能を有する機器の制御方法として構成することができる。   According to another aspect of the present invention, there is provided a control method in a device having a security communication function and having means for communicating by a plurality of addresses, wherein at least one of the plurality of addresses is a security method. When a request is received from the outside via the network by the process of excluding communication from at least one of the plurality of addresses and the address excluded from the above security communication And a method for controlling a device having a data communication function including a step of notifying a request source of a setting state of security communication set in the device itself.

また、請求項9に記載されるように、複数のアドレスにより通信を行う手段を備えた機器における制御方法であって、セキュリティ通信機能を持つ所定の機器に設定されたセキュリティ通信の設定状況を記憶する工程と、上記のアドレスにより外部からネットワークを経由して要求を受けた場合に、上記の所定の機器に設定されたセキュリティ通信の設定状況を要求元に通知する工程とを備えるようにすることができる。   According to a ninth aspect of the present invention, there is provided a control method in a device including means for performing communication by a plurality of addresses, and storing a setting state of security communication set in a predetermined device having a security communication function. And a step of notifying the requester of the setting status of the security communication set in the predetermined device when a request is received from outside via the network by the above address. Can do.

本発明のデータ通信機能を有する機器にあっては、外部からIPsec設定状況を取得することができ、IPsecの設定を自動化することができる。   In the device having the data communication function of the present invention, the IPsec setting status can be acquired from the outside, and the IPsec setting can be automated.

以下、本発明の好適な実施形態につき図面を参照して説明する。   Preferred embodiments of the present invention will be described below with reference to the drawings.

<第1の実施形態>
図1は本発明のデータ通信機能を有する機器の第1の実施形態にかかる構成例を示す図である。 <First Embodiment>
FIG. 1 is a diagram showing a configuration example according to a first embodiment of a device having a data communication function of the present invention.

図1において、プリンタ等の機器(A)1とPC(Personal Computer)等の機器(B)2はネットワーク3を介して接続されている。   In FIG. 1, a device (A) 1 such as a printer and a device (B) 2 such as a PC (Personal Computer) are connected via a network 3.

機器(A)1は、ネットワーク3を介して他の機器との間でデータ通信を行うための通信処理部11と、プリンタである場合に印刷を行うための印刷部15とを備えている。通信処理部11は、管理用IPアドレスおよびデータ通信用IPアドレスの2つのIPアドレスによりデータの入出力を行う入出力部12と、この入出力部12の各IPアドレスにつきIPsecの設定を保持するSAD(Security Association Database)/SPD(Security Policy Database)等のIPsec設定保持部13と、外部からの管理用IPアドレスによる要求に応じてIPsec設定保持部13に保持されたIPsec設定状況を送信するIPsec設定状況送信部14とを備えている。なお、IPsec設定保持部13において、入出力部12の管理用IPアドレスはIPsec対象外に設定され、データ通信用IPアドレスはIPsec対象に設定されている。   The device (A) 1 includes a communication processing unit 11 for performing data communication with other devices via the network 3 and a printing unit 15 for performing printing when it is a printer. The communication processing unit 11 holds the IPsec setting for each IP address of the input / output unit 12 and the input / output unit 12 that inputs / outputs data using two IP addresses, the management IP address and the data communication IP address. An IPsec setting holding unit 13 such as SAD (Security Association Database) / SPD (Security Policy Database) and the like, and an IPsec for transmitting the IPsec setting status held in the IPsec setting holding unit 13 in response to a request from an external management IP address And a setting status transmission unit 14. In the IPsec setting holding unit 13, the management IP address of the input / output unit 12 is set to be out of the IPsec target, and the data communication IP address is set to the IPsec target.

また、機器(B)2は、ネットワーク3を介して他の機器との間でデータ通信を行うための通信処理部21を備えている。通信処理部21は、通常のIPアドレスによりデータの入出力を行う入出力部22と、この入出力部22のIPアドレスにつきIPsecの設定を保持するSAD/SPD等のIPsec設定保持部23と、外部の機器とIPsecによるセキュリティ通信を行おうとする場合に他の機器にIPsec設定状況を要求するとともに、他の機器から取得したIPsec設定状況に応じて自機器のIPsec設定を行うIPsec設定部24と、自機器のIPsec設定に際してユーザから鍵情報を入力する鍵情報入力部25とを備えている。なお、IPsec設定保持部23は、当初は未設定の状態である。   In addition, the device (B) 2 includes a communication processing unit 21 for performing data communication with other devices via the network 3. The communication processing unit 21 includes an input / output unit 22 that inputs / outputs data using a normal IP address, an IPsec setting holding unit 23 such as SAD / SPD that holds an IPsec setting for the IP address of the input / output unit 22, An IPsec setting unit 24 that requests IPsec setting status from other devices when performing security communication by IPsec with an external device, and performs IPsec setting of the own device according to the IPsec setting status acquired from other devices; And a key information input unit 25 for inputting key information from the user when setting the IPsec of the own device. Note that the IPsec setting holding unit 23 is initially not set.

今、PC等の機器(B)2からネットワーク3を介してプリンタ等の機器(A)1に印刷等のためにデータを送信する場合を考える。両者の接続されているネットワーク3は安全ではなく、IPsecによるセキュリティ通信でデータを送信したい。   Consider a case in which data is transmitted for printing or the like from a device (B) 2 such as a PC to a device (A) 1 such as a printer via a network 3. The network 3 to which both are connected is not secure, and it is desired to transmit data by security communication using IPsec.

この時点で、機器(A)1はIPsecの通信を必須としているため、通常のデータ通信用IPアドレスにより非IPsec通信で機器(B)2側から機器(A)1のIPsec設定状況を知ることはできない。そのため、従来は、機器(A)1に設定されているIPsec設定状況を直接参照し、手作業で機器(B)2に対してIPsec設定を行わなければならなかった。この点、本発明にあっては、機器(A)1のIPsec設定状況をネットワーク経由で知ることができるものである。   At this point, since the device (A) 1 requires IPsec communication, it is possible to know the IPsec setting status of the device (A) 1 from the device (B) 2 side by non-IPsec communication using a normal data communication IP address. I can't. Therefore, conventionally, it has been necessary to directly refer to the IPsec setting status set in the device (A) 1 and manually set the IPsec setting for the device (B) 2. In this regard, in the present invention, the IPsec setting status of the device (A) 1 can be known via the network.

図2は第1の実施形態におけるIPsec設定の処理例を示す図である。   FIG. 2 is a diagram illustrating an example of IPsec setting processing according to the first embodiment.

図2において、まず、機器(B)2のIPsec設定部24から入出力部22を介して機器(A)1の管理用IPアドレスに対して、IPsecの設定状況を通知するよう要求する(ステップS101)。この要求は機器(A)1の入出力部12を介してIPsec設定状況送信部14により受信される。図3は機器(B)2から機器(A)1に対してIPsec設定状況を要求する様子を示す図である。   In FIG. 2, first, the IPsec setting unit 24 of the device (B) 2 is requested to notify the management IP address of the device (A) 1 via the input / output unit 22 of the IPsec setting status (step). S101). This request is received by the IPsec setting status transmission unit 14 via the input / output unit 12 of the device (A) 1. FIG. 3 is a diagram showing a state in which the device (B) 2 requests the device (A) 1 for the IPsec setting status.

次いで、図2に戻り、要求を受けた機器(A)1のIPsec設定状況送信部14は自身のIPsec設定状況をIPsec設定保持部13から取得し、入出力部12を介して管理用IPアドレスから機器(B)2に返信する(ステップS102)。ただし、IPsecのAH(Authentication Header)やESP(Encapsulating Security Payload)で使用される鍵情報ないしはIKE(Internet Key Exchange)で使用される認証情報は送信しない。図4は機器(A)1から返答されるIPsec設定状況情報の例を示す図であり、IKEを利用するか否か、IKEの認証方式は何か、Cypherは何か、HMAC(Keyed-Hashing for Message Authentication)は何かなどのセキュリティ維持方式に関する情報は送信するが、鍵情報は含まれていない。   Next, returning to FIG. 2, the IPsec setting status transmission unit 14 of the device (A) 1 that has received the request acquires its own IPsec setting status from the IPsec setting holding unit 13, and the management IP address via the input / output unit 12. To the device (B) 2 (step S102). However, key information used in IPsec AH (Authentication Header) or ESP (Encapsulating Security Payload) or authentication information used in IKE (Internet Key Exchange) is not transmitted. FIG. 4 is a diagram showing an example of IPsec setting status information returned from the device (A) 1. Whether or not to use IKE, what is the IKE authentication method, what is Cypher, HMAC (Keyed-Hashing For Message Authentication), information about the security maintenance method is transmitted, but key information is not included.

次いで、図2に戻り、機器(B)2のIPsec設定部24は入出力部22を介してIPsec設定状況を受信し(ステップS103)、IPsec設定部24は得られたIPsec設定状況を参照し、自機器が機器(A)1と通信するために必要なIPsec設定を判断する(ステップS104)。   Next, returning to FIG. 2, the IPsec setting unit 24 of the device (B) 2 receives the IPsec setting status via the input / output unit 22 (step S103), and the IPsec setting unit 24 refers to the obtained IPsec setting status. Then, the IPsec setting necessary for the own device to communicate with the device (A) 1 is determined (step S104).

そして、IPsec設定部24は鍵情報入力部25によりユーザに鍵情報の入力を要求する(ステップS105)。なお、鍵情報とは、IPsecの暗号化やHMACによる認証を行う際の鍵数列を示す。図5はユーザに対して鍵情報の入力を求めるインタフェース画面例を示す図であり、ユーザに対してどのような認証情報を要求するかを示すとともに、その認証情報を入力する部分を有している。   Then, the IPsec setting unit 24 requests the user to input key information through the key information input unit 25 (step S105). The key information indicates a key number sequence when performing IPsec encryption or HMAC authentication. FIG. 5 is a diagram showing an example of an interface screen that prompts the user to input key information, and shows what authentication information is requested from the user, and has a part for inputting the authentication information. Yes.

次いで、図2に戻り、機器(B)2のIPsec設定部24は算出したIPsec設定を自身のIPsec設定保持部23に対して実施する(ステップS106)。図6は機器(A)1からIPsec設定状況を返答し、機器(B)2においてIPsec設定を行う様子を示す図である。   Next, returning to FIG. 2, the IPsec setting unit 24 of the device (B) 2 performs the calculated IPsec setting on its own IPsec setting holding unit 23 (step S106). FIG. 6 is a diagram illustrating a state in which the IPsec setting status is returned from the device (A) 1 and the IPsec setting is performed in the device (B) 2.

以上の手順で、機器(A)1と機器(B)2がIPsecによって通信する準備ができる。   With the above procedure, the device (A) 1 and the device (B) 2 are ready to communicate by IPsec.

そして、図2に戻り、機器(B)2は機器(A)1の通常のデータ通信用IPアドレスを用いてIPsec通信を行う(ステップS107、S108)。図7は機器(B)2から機器(A)1が利用可能になった様子を示す図である。   Then, returning to FIG. 2, the device (B) 2 performs IPsec communication using the normal data communication IP address of the device (A) 1 (steps S107 and S108). FIG. 7 is a diagram illustrating a state in which the device (A) 1 becomes usable from the device (B) 2.

なお、機器(A)1のIPsec設定状況送信部14は、要求元の機器である機器(B)2において実行可能なセキュリティ機能設定命令を生成し、これを設定状況として通知することができる。これにより、機器(B)2では特別な実行機構なしにIPsec設定を実施することができる。   Note that the IPsec setting status transmission unit 14 of the device (A) 1 can generate a security function setting command that can be executed by the device (B) 2 that is the requesting device, and can notify this as a setting status. As a result, the device (B) 2 can perform the IPsec setting without a special execution mechanism.

<第2の実施形態>
図8は本発明のデータ通信機能を有する機器の第2の実施形態にかかる構成例を示す図である。 <Second Embodiment>
FIG. 8 is a diagram showing a configuration example according to the second embodiment of a device having a data communication function of the present invention.

図8において、不正なアクセスから守るべき秘密データ16を有する機器(A)1と、秘密データの送受信を行う秘密データ送受信部26を有する機器(B)2は、ネットワーク3を介して接続されている。   In FIG. 8, a device (A) 1 having secret data 16 to be protected from unauthorized access and a device (B) 2 having a secret data transmission / reception unit 26 for transmitting / receiving secret data are connected via a network 3. Yes.

機器(A)1は、ネットワーク3を介して他の機器との間でデータ通信を行うための通信処理部11を備えている。通信処理部11は、機器発見用マルチキャストIPアドレス、管理用IPアドレスおよびデータ通信用IPアドレスの3つのIPアドレスによりデータの入出力を行う入出力部12と、この入出力部12の各IPアドレスにつきIPsecの設定を保持するSAD/SPD等のIPsec設定保持部13と、自機器の機器状況(自身が通信可能などうか等のネットワーク関連情報)を保持する機器状況保持部17と、常に機器発見用マルチキャストIPアドレスを監視(listen)し、外部からの機器発見用マルチキャストIPアドレスによる要求に応じて機器状況保持部17に保持された機器状況を送信する機器状況送信部18と、外部からの管理用IPアドレスによる要求に応じてIPsec設定保持部13に保持されたIPsec設定状況を送信するIPsec設定状況送信部14とを備えている。なお、IPsec設定保持部13において、入出力部12の管理用IPアドレスと機器発見用マルチキャストIPアドレスはIPsec対象外に設定され、データ通信用IPアドレスはIPsec対象に設定されている。   The device (A) 1 includes a communication processing unit 11 for performing data communication with other devices via the network 3. The communication processing unit 11 includes an input / output unit 12 that inputs / outputs data using three IP addresses: a device discovery multicast IP address, a management IP address, and a data communication IP address, and each IP address of the input / output unit 12 IPsec setting holding unit 13 such as SAD / SPD that holds IPsec settings per device, device status holding unit 17 that holds the device status of the device itself (network-related information such as whether or not communication is possible), and device discovery at all times A device status transmission unit 18 that monitors the device multicast IP address and transmits the device status held in the device status holding unit 17 in response to a request from the device discovery multicast IP address from the outside, and management from the outside IPsec setting status held in the IPsec setting holding unit 13 in response to a request by a private IP address And a IPsec setting status transmission unit 14 to transmit. In the IPsec setting holding unit 13, the management IP address and the device discovery multicast IP address of the input / output unit 12 are set to be out of the IPsec target, and the data communication IP address is set to the IPsec target.

また、機器(B)2は、ネットワーク3を介して他の機器との間でデータ通信を行うための通信処理部21を備えている。通信処理部21は、通常のIPアドレスによりデータの入出力を行う入出力部22と、この入出力部22のIPアドレスにつきIPsecの設定を保持するSAD/SPD等のIPsec設定保持部23と、外部の機器とIPsecによるセキュリティ通信を行おうとする場合に、秘密データを保持する外部の機器を発見するためにマルチキャスト送信を行う秘密データ保持機器発見部27と、発見された外部の機器にIPsec設定状況を要求するとともに、他の機器から取得したIPsec設定状況に応じて自機器のIPsec設定を行うIPsec設定部24と、自機器のIPsec設定に際してユーザから鍵情報を入力する鍵情報入力部25とを備えている。なお、IPsec設定保持部23は、当初は未設定の状態である。   In addition, the device (B) 2 includes a communication processing unit 21 for performing data communication with other devices via the network 3. The communication processing unit 21 includes an input / output unit 22 that inputs / outputs data using a normal IP address, an IPsec setting holding unit 23 such as SAD / SPD that holds an IPsec setting for the IP address of the input / output unit 22, When performing security communication with an external device by IPsec, a secret data holding device discovery unit 27 that performs multicast transmission to discover an external device that holds secret data, and IPsec setting for the discovered external device An IPsec setting unit 24 that requests the status and performs IPsec setting of the own device according to the IPsec setting status acquired from another device, and a key information input unit 25 that inputs key information from the user when setting the IPsec of the own device It has. Note that the IPsec setting holding unit 23 is initially not set.

今、このような2台の機器があり、機器(A)1は不正なアクセスから守るべき秘密データ16があるか、外部から秘密データ16を受け取るものとする。この秘密データ16は機器(B)2の秘密データ送受信部26から送受信するものとする。ただし、機器(A)1と機器(B)2は安全ではないネットワーク3で接続されているため、機器(A)1と機器(B)2の間の通信をIPsec化したいと考える。なお、既に機器(A)1はIPsecの設定がなされており、機器(B)2のIPsec設定を整えれば両者の間でIPsec通信が実現できるような状況だとする。   Now, assume that there are two such devices, and the device (A) 1 has secret data 16 to be protected from unauthorized access, or receives the secret data 16 from the outside. The secret data 16 is transmitted / received from the secret data transmitting / receiving unit 26 of the device (B) 2. However, since the device (A) 1 and the device (B) 2 are connected by an insecure network 3, it is desired to make the communication between the device (A) 1 and the device (B) 2 IPsec. It is assumed that IPsec has already been set for the device (A) 1 and IPsec communication can be realized between the two if the IPsec setting of the device (B) 2 is prepared.

従来、この状況では、機器(A)1のIPsec設定やIPアドレスを手作業で知り、それとIPsec通信ができるような設定を機器(B)2に対して行うことでIPsecが実現できた。また、上述した第1の実施形態では、非IPsec設定された管理用IPアドレスを機器(A)1が持ち、そのアドレスを使って機器(B)2と機器(A)1の間で通信することでIPsec設定情報を送受信できることを示した。   Conventionally, in this situation, IPsec can be realized by manually knowing the IPsec setting and IP address of the device (A) 1 and performing setting for the device (B) 2 so that IPsec communication can be performed with the device. In the first embodiment described above, the device (A) 1 has a management IP address set for non-IPsec and communicates between the device (B) 2 and the device (A) 1 using the address. This indicates that IPsec setting information can be transmitted and received.

しかしながら、これを実現するためには、機器(B)2が機器(A)1の管理用IPアドレスを知らなければならず、その値は機器(B)2において手作業で入力する他なかった。そこで、この第2の実施形態ではその作業を自動化するようにしている。   However, in order to realize this, the device (B) 2 has to know the management IP address of the device (A) 1, and the value has to be manually entered in the device (B) 2. . Therefore, in the second embodiment, the operation is automated.

図9は第2の実施形態におけるIPsec設定の処理例を示す図である。   FIG. 9 is a diagram illustrating an example of IPsec setting processing according to the second embodiment.

図9において、まず、機器(B)2の秘密データ保持機器発見部27は、IPsec設定状況を外部に送信する機能を持つ機器を発見するため、公知の機器発見用マルチキャストIPアドレスに対して存在を通知するようにパケットを送信して要求する(ステップS201)。この要求は機器(A)1の入出力部12を介して機器状況送信部18により受信される。図10は機器(B)2が秘密データを持つ機器を発見する様子を示す図である。   9, first, the secret data holding device discovery unit 27 of the device (B) 2 exists for a known device discovery multicast IP address in order to discover a device having a function of transmitting the IPsec setting status to the outside. Is transmitted to request notification (step S201). This request is received by the device status transmission unit 18 via the input / output unit 12 of the device (A) 1. FIG. 10 is a diagram showing how the device (B) 2 finds a device having secret data.

次いで、図9に戻り、要求を受けた機器(A)1の機器状況送信部18は入出力部12を介して機器(B)2に自身の機器状況を自身の存在として通知する(ステップS202)。このときのソースアドレスは管理用IPアドレスであり、IPsec化されていないが、これらの情報には秘匿すべき情報が含まれていないため、安全でないネットワーク3をIPsecを使わずに通信することができる。図11は機器(A)1が自身の機器状況を機器(B)2に対して返答する様子を示す図である。   Next, returning to FIG. 9, the device status transmission unit 18 of the device (A) 1 that has received the request notifies the device (B) 2 of its own device status as its own presence via the input / output unit 12 (step S202). ). The source address at this time is a management IP address and is not made into IPsec, but since these pieces of information do not include information that should be kept secret, it is possible to communicate the insecure network 3 without using IPsec. it can. FIG. 11 is a diagram showing how the device (A) 1 returns its own device status to the device (B) 2.

次いで、図9に戻り、機器(B)2の秘密データ保持機器発見部27は入出力部22を介して機器(A)1の存在を受信し(ステップS203)、IPsec設定部24にその旨を伝える。これにより、IPsec設定部24は入出力部22を介して機器(A)1の管理用IPアドレスに対して、IPsecの設定状況を通知するよう要求する(ステップS204)。この要求は機器(A)1の入出力部12を介してIPsec設定状況送信部14により受信される。   Next, returning to FIG. 9, the secret data holding device discovery unit 27 of the device (B) 2 receives the presence of the device (A) 1 via the input / output unit 22 (step S203), and the IPsec setting unit 24 notifies the fact. Tell. Accordingly, the IPsec setting unit 24 requests the management IP address of the device (A) 1 to notify the IPsec setting status via the input / output unit 22 (step S204). This request is received by the IPsec setting status transmission unit 14 via the input / output unit 12 of the device (A) 1.

次いで、要求を受けた機器(A)1のIPsec設定状況送信部14は自身のIPsec設定状況をIPsec設定保持部13から取得し、入出力部12を介して管理用IPアドレスから機器(B)2に返信する(ステップS205)。ただし、IPsecのAHやESPで使用される鍵情報ないしはIKEで使用される認証情報は送信しない。   Next, the IPsec setting status transmission unit 14 of the device (A) 1 that has received the request acquires its own IPsec setting status from the IPsec setting holding unit 13, and the device (B) from the management IP address via the input / output unit 12. 2 is returned (step S205). However, key information used in IPsec AH or ESP or authentication information used in IKE is not transmitted.

次いで、機器(B)2のIPsec設定部24は入出力部22を介してIPsec設定状況を受信し(ステップS206)、IPsec設定部24は得られたIPsec設定状況を参照し、自機器が機器(A)1と通信するために必要なIPsec設定を判断する(ステップS207)。   Next, the IPsec setting unit 24 of the device (B) 2 receives the IPsec setting status via the input / output unit 22 (step S206), the IPsec setting unit 24 refers to the obtained IPsec setting status, and the own device is the device. (A) The IPsec setting necessary to communicate with 1 is determined (step S207).

そして、IPsec設定部24は鍵情報入力部25によりユーザに鍵情報の入力を要求する(ステップS208)。   Then, the IPsec setting unit 24 requests the user to input key information through the key information input unit 25 (step S208).

次いで、IPsec設定部24は算出したIPsec設定を自身のIPsec設定保持部23に対して実施する(ステップS209)。図12は機器(B)2においてIPsec設定を行う様子を示す図である。   Next, the IPsec setting unit 24 performs the calculated IPsec setting on its own IPsec setting holding unit 23 (step S209). FIG. 12 is a diagram illustrating a state where IPsec setting is performed in the device (B) 2.

以上の手順で、機器(A)1と機器(B)2がIPsecによって通信する準備ができる。   With the above procedure, the device (A) 1 and the device (B) 2 are ready to communicate by IPsec.

そして、図9に戻り、機器(B)2は機器(A)1の通常のデータ通信用IPアドレスを用いてIPsec通信を行う(ステップS210、S211)。図13は機器(A)1と機器(B)2が秘密データのやり取りを行う様子を示す図である。   Returning to FIG. 9, the device (B) 2 performs IPsec communication using the normal data communication IP address of the device (A) 1 (steps S210 and S211). FIG. 13 is a diagram illustrating a state in which the device (A) 1 and the device (B) 2 exchange secret data.

なお、機器(A)1のIPsec設定状況送信部14は、要求元の機器である機器(B)2において実行可能なセキュリティ機能設定命令を生成し、これを設定状況として通知することができる。これにより、機器(B)2では特別な実行機構なしにIPsec設定を実施することができる。   Note that the IPsec setting status transmission unit 14 of the device (A) 1 can generate a security function setting command that can be executed by the device (B) 2 that is the requesting device, and can notify this as a setting status. As a result, the device (B) 2 can perform the IPsec setting without a special execution mechanism.

<第3の実施形態>
図14は本発明のデータ通信機能を有する機器の第3の実施形態にかかる構成例を示す図である。 <Third Embodiment>
FIG. 14 is a diagram showing a configuration example according to the third embodiment of a device having a data communication function of the present invention.

図14において、IPsec設定のされた機器(A)1と、これからIPsec設定をしようとする機器(B)2と、IPsec設定状況を提供するサーバとしての機器(C)4は、ネットワーク3を介して接続されている。   In FIG. 14, a device (A) 1 for which IPsec setting has been performed, a device (B) 2 for which IPsec setting is to be performed, and a device (C) 4 as a server for providing the IPsec setting status are connected via a network 3. Connected.

機器(A)1は、ネットワーク3を介して他の機器との間でデータ通信を行うための通信処理部11を備えている。通信処理部11は、通常のデータ通信用IPアドレスによりデータの入出力を行う入出力部12と、この入出力部12のIPアドレスにつきIPsecの設定を保持するSAD/SPD等のIPsec設定保持部13とを備えている。なお、IPsec設定保持部13において、入出力部12のデータ通信用IPアドレスはIPsec対象に設定されている。   The device (A) 1 includes a communication processing unit 11 for performing data communication with other devices via the network 3. The communication processing unit 11 includes an input / output unit 12 that inputs / outputs data using a normal data communication IP address, and an IPsec setting holding unit such as SAD / SPD that holds IPsec settings for the IP address of the input / output unit 12 13. In the IPsec setting holding unit 13, the IP address for data communication of the input / output unit 12 is set as an IPsec target.

また、機器(B)2は、ネットワーク3を介して他の機器との間でデータ通信を行うための通信処理部21を備えている。通信処理部21は、通常のIPアドレスによりデータの入出力を行う入出力部22と、この入出力部22のIPアドレスにつきIPsecの設定を保持するSAD/SPD等のIPsec設定保持部23と、外部の機器とIPsecによるセキュリティ通信を行おうとする場合に、IPsec設定状況提供機器を発見するためにマルチキャストもしくはエニーキャスト送信を行うIPsec設定状況提供機器発見部28と、発見された外部のIPsec設定状況提供機器にIPsec設定状況を要求するとともに、他の機器から取得したIPsec設定状況に応じて自機器のIPsec設定を行うIPsec設定部24と、自機器のIPsec設定に際してユーザから鍵情報を入力する鍵情報入力部25とを備えている。なお、IPsec設定保持部23は、当初は未設定の状態である。   In addition, the device (B) 2 includes a communication processing unit 21 for performing data communication with other devices via the network 3. The communication processing unit 21 includes an input / output unit 22 that inputs / outputs data using a normal IP address, an IPsec setting holding unit 23 such as SAD / SPD that holds an IPsec setting for the IP address of the input / output unit 22, When performing security communication with an external device using IPsec, an IPsec setting status providing device discovery unit 28 that performs multicast or anycast transmission to discover an IPsec setting status providing device, and the detected external IPsec setting status An IPsec setting unit 24 that requests the provided device for the IPsec setting status and sets the IPsec of the own device according to the IPsec setting status acquired from another device, and a key for inputting key information from the user when setting the IPsec of the own device And an information input unit 25. Note that the IPsec setting holding unit 23 is initially not set.

また、機器(C)4は、ネットワーク3を介して他の機器との間でデータ通信を行うための通信処理部41を備えている。通信処理部41は、機器発見用マルチキャストもしくはエニーキャストのIPアドレスと通常のデータ通信用IPアドレスの2つのIPアドレスによりデータの入出力を行う入出力部42と、常に機器発見用マルチキャスト/エニーキャストIPアドレスを監視(listen)し、外部からの機器発見用マルチキャスト/エニーキャストIPアドレスによる要求に応じて自己のデータ通信用IPアドレスを送信する機器IPアドレス送信部43と、機器(A)1に相当するIPsec対応機器のIPアドレスを保持するIPsec対応機器IPアドレス保持部44と、機器(A)1のIPsec設定状況を保持するIPsec対応機器IPsec設定状況保持部45と、外部からのデータ通信用IPアドレスによる要求に応じてIPsec対応機器IPアドレス保持部44およびIPsec対応機器IPsec設定状況保持部45に保持されたIPsec対応機器のIPアドレスおよびIPsec設定状況を送信するIPsec設定状況送信部46とを備えている。   The device (C) 4 includes a communication processing unit 41 for performing data communication with other devices via the network 3. The communication processing unit 41 includes an input / output unit 42 for inputting / outputting data using two IP addresses, ie, a device discovery multicast or anycast IP address and a normal data communication IP address, and a device discovery multicast / anycast. The device IP address transmission unit 43 that monitors the IP address and transmits its own IP address for data communication in response to a request by the device discovery multicast / anycast IP address from the outside, and the device (A) 1 An IPsec-compatible device IP address holding unit 44 that holds the IP address of the corresponding IPsec-compatible device, an IPsec-compatible device IPsec setting status holding unit 45 that holds the IPsec setting status of the device (A) 1, and for external data communication IPsec-compatible devices in response to requests by IP address And a P address holding unit 44 and the IPsec compatible device IPsec setting status transmission unit 46 for transmitting the IP address and IPsec setting status of IPsec compatible device held in the IPsec setting status holding unit 45.

今、機器(B)2は機器(A)1とIPsecにより通信したいが機器(A)1のIPsec設定が判らない状態である。機器(B)2が機器(A)1に対して直接現在のIPsec設定状況を問い合わせたいが、そもそも通信にはIPsecが必要なため、問い合わせることができない。そこで、機器(A)1と機器(B)2の他に第三の機器(C)4を設置し、この機器(C)4からIPsec設定状況を取得するようにしている。   Now, the device (B) 2 wants to communicate with the device (A) 1 by IPsec, but the IPsec setting of the device (A) 1 is not known. The device (B) 2 wants to directly inquire about the current IPsec setting status to the device (A) 1, but since the communication requires IPsec in the first place, it cannot make an inquiry. Therefore, a third device (C) 4 is installed in addition to the devices (A) 1 and (B) 2 and the IPsec setting status is acquired from the device (C) 4.

図15は第3の実施形態におけるIPsec設定の処理例を示す図である。   FIG. 15 is a diagram illustrating an example of IPsec setting processing according to the third embodiment.

図15において、まず、機器(B)2のIPsec設定状況提供機器発見部28は、IPsec設定状況を管理する機器(サーバ)を発見するため、公知の機器発見用マルチキャスト/エニーキャストIPアドレスに対して存在を通知するようにパケットを送信して要求する(ステップS301)。この要求は機器(C)4の入出力部42を介して機器IPアドレス送信部43により受信される。   In FIG. 15, first, the IPsec setting status providing device discovery unit 28 of the device (B) 2 discovers a device (server) that manages the IPsec setting status, so that a known device discovery multicast / anycast IP address is used. Then, a packet is transmitted and requested to notify the presence (step S301). This request is received by the device IP address transmission unit 43 via the input / output unit 42 of the device (C) 4.

次いで、要求を受けた機器(C)4の機器IPアドレス送信部43は入出力部42を介して機器(B)2に自身の通常のデータ通信用IPアドレスを自身の存在として通知する(ステップS302)。この通知はソースアドレスを機器(C)4に割り振られたIPアドレスとし、ディスティネーションアドレスは機器(B)2のIPアドレスとなる。そして、この通知は機器(B)2の入出力部22を介してIPsec設定状況提供機器発見部28が受信する(ステップS303)。図16は機器(B)2がIPsec設定状況提供機器の問い合わせを行う様子を示す図である。   Next, the device IP address transmission unit 43 of the device (C) 4 that has received the request notifies the device (B) 2 of its own normal data communication IP address as its own presence via the input / output unit 42 (step). S302). In this notification, the source address is the IP address assigned to the device (C) 4, and the destination address is the IP address of the device (B) 2. Then, this notification is received by the IPsec setting status providing device discovery unit 28 via the input / output unit 22 of the device (B) 2 (step S303). FIG. 16 is a diagram showing a state in which the device (B) 2 makes an inquiry about the IPsec setting status providing device.

次いで、図15に戻り、機器(B)2のIPsec設定部24は入出力部22を介して機器(C)4のデータ通信用IPアドレスに対して、IPsecの設定状況を通知するよう要求する(ステップS304)。この要求は機器(C)4の入出力部42を介してIPsec設定状況送信部46により受信される。   Next, returning to FIG. 15, the IPsec setting unit 24 of the device (B) 2 requests the data communication IP address of the device (C) 4 to notify the IPsec setting status via the input / output unit 22. (Step S304). This request is received by the IPsec setting status transmission unit 46 via the input / output unit 42 of the device (C) 4.

次いで、要求を受けた機器(C)4のIPsec設定状況送信部46は、IPsec対応機器IPアドレス保持部44に保持されたIPアドレスとIPsec対応機器IPsec設定状況保持部45に保持されたIPsec設定状況とを入出力部42を介して返信する(ステップS305)。ただし、IPsecのAHやESPで使用される鍵情報ないしはIKEで使用される認証情報は送信しない。この情報は機器(B)2のIPsec設定部24により入出力部22を介して受信される(ステップS306)。図17は機器(B)2がIPsec設定状況の取得を行う様子を示す図である。   Next, the IPsec setting status transmission unit 46 of the device (C) 4 that has received the request receives the IP address held in the IPsec compatible device IP address holding unit 44 and the IPsec setting held in the IPsec compatible device IPsec setting status holding unit 45. The situation is returned via the input / output unit 42 (step S305). However, key information used in IPsec AH or ESP or authentication information used in IKE is not transmitted. This information is received via the input / output unit 22 by the IPsec setting unit 24 of the device (B) 2 (step S306). FIG. 17 is a diagram illustrating a state in which the device (B) 2 acquires the IPsec setting status.

次いで、図15に戻り、機器(B)2のIPsec設定部24は得られたIPsec設定状況を参照し、自機器が機器(A)1と通信するために必要なIPsec設定を判断する(ステップS307)。   Next, returning to FIG. 15, the IPsec setting unit 24 of the device (B) 2 refers to the obtained IPsec setting status, and determines the IPsec setting necessary for the device itself to communicate with the device (A) 1 (step). S307).

そして、IPsec設定部24は鍵情報入力部25によりユーザに鍵情報の入力を要求する(ステップS308)。   Then, the IPsec setting unit 24 requests the user to input key information through the key information input unit 25 (step S308).

次いで、IPsec設定部24は算出したIPsec設定を自身のIPsec設定保持部23に対して実施する(ステップS309)。図18は機器(B)2においてIPsec設定を行う様子を示す図である。   Next, the IPsec setting unit 24 performs the calculated IPsec setting on its own IPsec setting holding unit 23 (step S309). FIG. 18 is a diagram illustrating a state where IPsec setting is performed in the device (B) 2.

以上の手順で、機器(A)1と機器(B)2がIPsecによって通信する準備ができる。   With the above procedure, the device (A) 1 and the device (B) 2 are ready to communicate by IPsec.

そして、図15に戻り、機器(B)2は機器(A)1の通常のデータ通信用IPアドレスを用いてIPsec通信を行う(ステップS310、S311)。図19は機器(A)1と機器(B)2のIPsec通信が実現した様子を示す図である。   Returning to FIG. 15, the device (B) 2 performs IPsec communication using the normal data communication IP address of the device (A) 1 (steps S310 and S311). FIG. 19 is a diagram illustrating a state in which IPsec communication between the device (A) 1 and the device (B) 2 is realized.

なお、機器(C)4のIPsec設定状況送信部46は、要求元の機器である機器(B)2において実行可能なセキュリティ機能設定命令を生成し、これを設定状況として通知することができる。これにより、機器(B)2では特別な実行機構なしにIPsec設定を実施することができる。   Note that the IPsec setting status transmission unit 46 of the device (C) 4 can generate a security function setting command that can be executed by the device (B) 2 that is the requesting device, and can notify this as a setting status. As a result, the device (B) 2 can perform the IPsec setting without a special execution mechanism.

<第4の実施形態>
図20は本発明のデータ通信機能を有する機器の第4の実施形態にかかる構成例を示す図である。 <Fourth Embodiment>
FIG. 20 is a diagram showing a configuration example according to the fourth embodiment of a device having a data communication function of the present invention.

この第4の実施形態では、図14に示した第3の実施形態における機器(A)1をプリンタとし、機器(B)2をPCとし、機器(C)4をプリンタ管理サーバとしている。また、図20において、プリンタ管理サーバ4にIPsec対応機器であるプリンタ1のプリンタドライバを保持するプリンタドライバ保持部47を備え、IPsec設定状況送信部46はIPsec設定状況(PC2で実行可能な形式のファイルとして生成)とともにプリンタドライバを送信するようになっている。更に、PC2のIPsec設定部24はプリンタ管理サーバ4から受信したファイルを実行する機能とプリンタドライバを追加する機能が設けられている。その他の構成は図14に示した第3の実施形態と同様である。   In the fourth embodiment, the device (A) 1 in the third embodiment shown in FIG. 14 is a printer, the device (B) 2 is a PC, and the device (C) 4 is a printer management server. In FIG. 20, the printer management server 4 includes a printer driver holding unit 47 that holds the printer driver of the printer 1 that is an IPsec-compatible device. The IPsec setting status transmission unit 46 has an IPsec setting status (in a format that can be executed by the PC 2). A printer driver is transmitted together with (generated as a file). Further, the IPsec setting unit 24 of the PC 2 is provided with a function of executing a file received from the printer management server 4 and a function of adding a printer driver. Other configurations are the same as those of the third embodiment shown in FIG.

図21は第4の実施形態におけるIPsec設定の処理例を示す図である。   FIG. 21 is a diagram illustrating an example of IPsec setting processing according to the fourth embodiment.

図21において、まず、PC2のIPsec設定状況提供機器発見部28は、IPsec設定状況を管理するプリンタ管理サーバ4を発見するため、公知の機器発見用マルチキャスト/エニーキャストIPアドレスに対して存在を通知するようにパケットを送信して要求する(ステップS401)。この要求はプリンタ管理サーバ4の入出力部42を介して機器IPアドレス送信部43により受信される。   In FIG. 21, first, the IPsec setting status providing device discovery unit 28 of the PC 2 notifies existence to a known device discovery multicast / anycast IP address in order to discover the printer management server 4 that manages the IPsec setting status. A packet is transmitted and requested to do so (step S401). This request is received by the device IP address transmission unit 43 via the input / output unit 42 of the printer management server 4.

次いで、要求を受けたプリンタ管理サーバ4の機器IPアドレス送信部43は入出力部42を介してPC2に自身の通常のデータ通信用IPアドレスを自身の存在として通知する(ステップS402)。この通知はソースアドレスをプリンタ管理サーバ4に割り振られたIPアドレスとし、ディスティネーションアドレスはPC2のIPアドレスとなる。そして、この通知はPC2の入出力部22を介してIPsec設定状況提供機器発見部28が受信する(ステップS403)。図22はPC2がプリンタ管理サーバ4の問い合わせを行う様子を示す図である。   Next, the device IP address transmission unit 43 of the printer management server 4 that has received the request notifies the PC 2 of its own normal data communication IP address as its presence via the input / output unit 42 (step S402). In this notification, the source address is the IP address assigned to the printer management server 4, and the destination address is the IP address of the PC 2. Then, this notification is received by the IPsec setting status providing device discovery unit 28 via the input / output unit 22 of the PC 2 (step S403). FIG. 22 is a diagram illustrating how the PC 2 makes an inquiry to the printer management server 4.

次いで、図21に戻り、PC2のIPsec設定部24は入出力部22を介してプリンタ管理サーバ4のデータ通信用IPアドレスに対して、IPsecの設定状況を通知するよう要求する(ステップS404)。この要求はプリンタ管理サーバ4の入出力部42を介してIPsec設定状況送信部46により受信される。   Next, returning to FIG. 21, the IPsec setting unit 24 of the PC 2 requests the data management IP address of the printer management server 4 to notify the IPsec setting status via the input / output unit 22 (step S404). This request is received by the IPsec setting status transmission unit 46 via the input / output unit 42 of the printer management server 4.

次いで、要求を受けたプリンタ管理サーバ4のIPsec設定状況送信部46は、IPsec対応機器IPアドレス保持部44に保持されたIPアドレスとIPsec対応機器IPsec設定状況保持部45に保持されたIPsec設定状況とから、PC2がプリンタ1と通信するために必要な設定をPC2で実行可能なファイルとして生成し、プリンタドライバ保持部47に保持された対応するプリンタドライバとともに入出力部42を介して返信する(ステップS405)。ただし、IPsecのAHやESPで使用される鍵情報ないしはIKEで使用される認証情報は送信しない。これらの情報はPC2のIPsec設定部24により入出力部22を介して受信される(ステップS406)。図23はPC2がIPsec設定状況の取得を行う様子を示す図である。   Next, the IPsec setting status transmission unit 46 of the printer management server 4 that has received the request receives the IP address held in the IPsec compatible device IP address holding unit 44 and the IPsec setting status held in the IPsec compatible device IPsec setting status holding unit 45. From the above, a setting necessary for the PC 2 to communicate with the printer 1 is generated as a file that can be executed by the PC 2 and returned together with the corresponding printer driver held in the printer driver holding unit 47 via the input / output unit 42 ( Step S405). However, key information used in IPsec AH or ESP or authentication information used in IKE is not transmitted. These pieces of information are received by the IPsec setting unit 24 of the PC 2 via the input / output unit 22 (step S406). FIG. 23 is a diagram illustrating a state in which the PC 2 acquires the IPsec setting status.

次いで、図21に戻り、PC2のIPsec設定部24は得られた実行可能ファイルを実行し、これにより自身がプリンタ1と通信可能な状態となる(ステップS407)。   Next, returning to FIG. 21, the IPsec setting unit 24 of the PC 2 executes the executable file thus obtained, so that it can communicate with the printer 1 (step S407).

次いで、PC2のIPsec設定部24はプリンタドライバを利用して自身のプリンタ設定を行い、プリンタとして利用可能にする(ステップS408)。図24はPC2においてIPsec設定を行う様子を示す図である。   Next, the IPsec setting unit 24 of the PC 2 sets its own printer using the printer driver and makes it usable as a printer (step S408). FIG. 24 is a diagram illustrating a state where the IPsec setting is performed in the PC 2.

以上の手順で、プリンタ1とPC2がIPsecによって通信する準備ができる。   With the above procedure, the printer 1 and the PC 2 are ready to communicate by IPsec.

そして、図21に戻り、PC2はプリンタ1の通常のデータ通信用IPアドレスを用いてIPsec通信を行う(ステップS409、S410)。図25はプリンタ1とPC2のIPsec通信が実現した様子を示す図である。   Returning to FIG. 21, the PC 2 performs IPsec communication using the normal data communication IP address of the printer 1 (steps S409 and S410). FIG. 25 is a diagram illustrating a state in which IPsec communication between the printer 1 and the PC 2 is realized.

<まとめ>
このように、本発明にあっては、自身に設定されているIPsec設定状況をIPsecを使わずに外部に通知する機能を持つことで、IPsecが設定されている状況でも、外部に対して、どのようなIPsecによる通信が必要であるかを、ネットワーク経由で通知することができる。 <Summary>
In this way, in the present invention, by having a function of notifying the outside of the IPsec setting status set in itself without using IPsec, even in a situation where IPsec is set, It is possible to notify via the network what kind of IPsec communication is necessary.

また、自身に設定されているIPsec設定状況を、外部の機器で実行可能な形式で外部に通知する機能を持つことで、外部の機器では特別な実行機構なしにIPsec設定を実施することができる。   In addition, since it has a function of notifying the IPsec setting status set in itself in a format that can be executed by an external device, the external device can perform IPsec setting without a special execution mechanism. .

また、IPsec設定状況の送信を行うIPアドレスを外部から発見可能にすることで、IPsec状況を知ることができるIPアドレスを自動的に発見できるようになる。   In addition, by making it possible to find the IP address that transmits the IPsec setting status from the outside, it is possible to automatically discover an IP address that can know the IPsec status.

また、IPsec機器のIPアドレスとその設定状況を別のサーバに記憶しておき、その情報を外部に通知することで、ネットワーク内のIPsec対応機器を一括管理し、必要に応じて他の機器にその情報を通知することができるようになる。ネットワーク内のIPsec機器の一覧を外部の機器が入手することもできる。   In addition, the IP address of the IPsec device and the setting status thereof are stored in another server, and the information is notified to the outside, whereby the IPsec-compatible devices in the network are collectively managed, and the other devices can be connected as necessary. The information can be notified. An external device can also obtain a list of IPsec devices in the network.

以上、本発明の好適な実施の形態により本発明を説明した。ここでは特定の具体例を示して本発明を説明したが、特許請求の範囲に定義された本発明の広範な趣旨および範囲から逸脱することなく、これら具体例に様々な修正および変更を加えることができることは明らかである。すなわち、具体例の詳細および添付の図面により本発明が限定されるものと解釈してはならない。   The present invention has been described above by the preferred embodiments of the present invention. While the invention has been described with reference to specific embodiments, various modifications and changes may be made to the embodiments without departing from the broad spirit and scope of the invention as defined in the claims. Obviously you can. In other words, the present invention should not be construed as being limited by the details of the specific examples and the accompanying drawings.

本発明のデータ通信機能を有する機器の第1の実施形態にかかる構成例を示す図である。It is a figure which shows the structural example concerning 1st Embodiment of the apparatus which has a data communication function of this invention. 第1の実施形態におけるIPsec設定の処理例を示す図である。It is a figure which shows the example of a process of the IPsec setting in 1st Embodiment. 機器Bから機器Aに対してIPsec設定状況を要求する様子を示す図である。It is a figure which shows a mode that the IPsec setting condition is requested | required with respect to apparatus A from the apparatus B. FIG. 機器Aから返答されるIPsec設定状況情報の例を示す図である。6 is a diagram showing an example of IPsec setting status information returned from device A. FIG. ユーザに対して鍵情報の入力を求めるインタフェース画面例を示す図である。It is a figure which shows the example of an interface screen which requests | requires the input of key information with respect to a user. 機器AからIPsec設定状況を返答し、機器BにおいてIPsec設定を行う様子を示す図である。FIG. 10 is a diagram showing a state in which IPsec setting status is returned from device A and IPsec setting is performed in device B. 機器Bから機器Aが利用可能になった様子を示す図である。It is a figure which shows a mode that the apparatus A became usable from the apparatus B. FIG. 本発明のデータ通信機能を有する機器の第2の実施形態にかかる構成例を示す図である。It is a figure which shows the structural example concerning 2nd Embodiment of the apparatus which has a data communication function of this invention. 第2の実施形態におけるIPsec設定の処理例を示す図である。It is a figure which shows the example of a process of the IPsec setting in 2nd Embodiment. 機器Bが秘密データを持つ機器を発見する様子を示す図である。It is a figure which shows a mode that the apparatus B discovers the apparatus which has secret data. 機器Aが自身の機器状況を機器Bに対して返答する様子を示す図である。It is a figure which shows a mode that the apparatus A responds with respect to the apparatus B of an own apparatus condition. 機器BにおいてIPsec設定を行う様子を示す図である。6 is a diagram illustrating a state where IPsec setting is performed in the device B. FIG. 機器Aと機器Bが秘密データのやり取りを行う様子を示す図である。It is a figure which shows a mode that the apparatus A and the apparatus B exchange secret data. 本発明のデータ通信機能を有する機器の第3の実施形態にかかる構成例を示す図である。It is a figure which shows the structural example concerning 3rd Embodiment of the apparatus which has a data communication function of this invention. 第3の実施形態におけるIPsec設定の処理例を示す図である。It is a figure which shows the example of a process of the IPsec setting in 3rd Embodiment. 機器BがIPsec設定状況提供機器の問い合わせを行う様子を示す図である。It is a figure which shows a mode that the apparatus B inquires an IPsec setting status provision apparatus. 機器BがIPsec設定状況の取得を行う様子を示す図である。It is a figure which shows a mode that the apparatus B acquires an IPsec setting condition. 機器BにおいてIPsec設定を行う様子を示す図である。6 is a diagram illustrating a state where IPsec setting is performed in the device B. FIG. 機器Aと機器BのIPsec通信が実現した様子を示す図である。It is a figure which shows a mode that the IPsec communication of the apparatus A and the apparatus B was implement | achieved. 本発明のデータ通信機能を有する機器の第4の実施形態にかかる構成例を示す図である。It is a figure which shows the structural example concerning 4th Embodiment of the apparatus which has a data communication function of this invention. 第4の実施形態におけるIPsec設定の処理例を示す図である。It is a figure which shows the example of a process of the IPsec setting in 4th Embodiment. PCがプリンタ管理サーバの問い合わせを行う様子を示す図である。It is a figure which shows a mode that PC inquires of a printer management server. PCがIPsec設定状況の取得を行う様子を示す図である。It is a figure which shows a mode that PC acquires the IPsec setting condition. PCにおいてIPsec設定を行う様子を示す図である。It is a figure which shows a mode that IPsec setting is performed in PC. プリンタとPCのIPsec通信が実現した様子を示す図である。It is a figure which shows a mode that the IPsec communication of a printer and PC was implement | achieved.

符号の説明Explanation of symbols

1 機器A
11 通信処理部
12 入出力部
13 IPsec設定保持部
14 IPsec設定状況送信部
15 印刷部
16 秘密データ
17 機器状況保持部
18 機器状況送信部
2 機器B
21 通信処理部
22 入出力部
23 IPsec設定保持部
24 IPsec設定部
25 鍵情報入力部
26 秘密データ送受信部
27 秘密データ保持機器発見部
28 IPsec設定状況提供機器発見部
3 ネットワーク
4 機器C
41 通信処理部
42 入出力部
43 機器IPアドレス送信部
44 IPsec対応機器IPアドレス保持部
45 IPsec対応機器IPsec設定状況保持部
46 IPsec設定状況送信部
47 プリンタドライバ保持部 1 Device A
11 Communication Processing Unit 12 Input / Output Unit 13 IPsec Setting Holding Unit 14 IPsec Setting Status Transmitting Unit 15 Printing Unit 16 Secret Data 17 Device Status Holding Unit 18 Device Status Transmitting Unit 2 Device B
DESCRIPTION OF SYMBOLS 21 Communication processing part 22 Input / output part 23 IPsec setting holding part 24 IPsec setting part 25 Key information input part 26 Secret data transmission / reception part 27 Secret data holding apparatus discovery part 28 IPsec setting status provision apparatus discovery part 3 Network 4 Equipment C
41 Communication Processing Unit 42 Input / Output Unit 43 Device IP Address Transmitting Unit 44 IPsec Compatible Device IP Address Holding Unit 45 IPsec Compatible Device IPsec Setting Status Holding Unit 46 IPsec Setting Status Transmitting Unit 47 Printer Driver Holding Unit

Claims (9)

セキュリティ通信機能を持つ機器であって、
複数のアドレスにより通信を行う手段と、
上記の複数のアドレスのうちの少なくとも一つをセキュリティ通信の対象外とし、上記の複数のアドレスのうちの少なくとも一つをセキュリティ通信の対象とする手段と、
上記のセキュリティ通信の対象外としたアドレスにより外部からネットワークを経由して要求を受けた場合に、自機器に設定されたセキュリティ通信の設定状況を要求元に通知する手段とを備えたことを特徴とするデータ通信機能を有する機器。 A device with a security communication function,
Means for communicating with a plurality of addresses;
Means for excluding at least one of the plurality of addresses from security communication; and at least one of the plurality of addresses as a security communication target;
And a means for notifying the requester of the setting status of the security communication set in the own device when a request is received from outside via the network by an address that is not subject to the security communication. A device having a data communication function. 請求項1に記載のデータ通信機能を有する機器において、
上記の自機器に設定されたセキュリティ通信の設定状況を要求元に通知する手段は、要求元の機器で実行可能なセキュリティ機能設定命令を生成し、これを設定状況として通知することを特徴とするデータ通信機能を有する機器。 In the apparatus which has a data communication function of Claim 1,
The means for notifying the request source of the setting status of the security communication set in the self-device generates a security function setting command that can be executed by the requesting device and notifies the setting status of the security function setting command. Equipment with data communication function. 請求項1または2のいずれか一項に記載のデータ通信機能を有する機器において、
上記の複数のアドレスのうちの少なくとも一つはマルチキャストアドレスであり、
上記のマルチキャストアドレスにより外部からネットワークを経由して要求を受けた場合に、自機器にアクセスするための情報を要求元に通知する手段を備えたことを特徴とするデータ通信機能を有する機器。 In the apparatus which has a data communication function as described in any one of Claim 1 or 2,
At least one of the plurality of addresses is a multicast address;
A device having a data communication function, comprising means for notifying a request source of information for accessing the device itself when a request is received from outside via the network by the multicast address. 複数のアドレスにより通信を行う手段と、
セキュリティ通信機能を持つ所定の機器に設定されたセキュリティ通信の設定状況を記憶する手段と、
上記のアドレスにより外部からネットワークを経由して要求を受けた場合に、上記の所定の機器に設定されたセキュリティ通信の設定状況を要求元に通知する手段とを備えたことを特徴とするデータ通信機能を有する機器。 Means for communicating with a plurality of addresses;
Means for storing a setting state of security communication set in a predetermined device having a security communication function;
Data communication comprising: means for notifying a request source of a setting state of security communication set in the predetermined device when a request is received from outside via the network by the above address Functional device. 請求項4に記載のデータ通信機能を有する機器において、
上記の所定の機器に設定されたセキュリティ通信の設定状況を要求元に通知する手段は、要求元の機器で実行可能なセキュリティ機能設定命令を生成し、これを設定状況として通知することを特徴とするデータ通信機能を有する機器。 In the apparatus which has a data communication function of Claim 4,
The means for notifying the request source of the setting status of the security communication set in the predetermined device generates a security function setting command that can be executed by the requesting device, and notifies this as the setting status. A device that has a data communication function. 請求項4または5のいずれか一項に記載のデータ通信機能を有する機器において、
上記の複数のアドレスのうちの少なくとも一つはマルチキャストアドレスであり、
上記のマルチキャストアドレスにより外部からネットワークを経由して要求を受けた場合に、自機器にアクセスするための情報を要求元に通知する手段を備えたことを特徴とするデータ通信機能を有する機器。 In the apparatus which has a data communication function as described in any one of Claim 4 or 5,
At least one of the plurality of addresses is a multicast address;
A device having a data communication function, comprising means for notifying a request source of information for accessing the device itself when a request is received from outside via the network by the multicast address. セキュリティ通信機能を持つ機器であって、
ネットワークを経由して他の機器に所定の機器に設定されたセキュリティ通信の設定状況を要求する手段と、
上記の他の機器からの所定の機器に設定されたセキュリティ通信の設定状況に応じて自機器のセキュリティ通信の設定を行う手段とを備えたことを特徴とするデータ通信機能を有する機器。 A device with a security communication function,
Means for requesting the setting status of the security communication set in the predetermined device to another device via the network;
A device having a data communication function, comprising: means for setting security communication of its own device in accordance with a setting state of security communication set for a predetermined device from the other device. セキュリティ通信機能を持ち、複数のアドレスにより通信を行う手段を備えた機器における制御方法であって、
上記の複数のアドレスのうちの少なくとも一つをセキュリティ通信の対象外とし、上記の複数のアドレスのうちの少なくとも一つをセキュリティ通信の対象とする工程と、
上記のセキュリティ通信の対象外としたアドレスにより外部からネットワークを経由して要求を受けた場合に、自機器に設定されたセキュリティ通信の設定状況を要求元に通知する工程とを備えたことを特徴とするデータ通信機能を有する機器の制御方法。 A control method in a device having a security communication function and having means for performing communication by a plurality of addresses,
Excluding at least one of the plurality of addresses as a target for security communication, and at least one of the plurality of addresses as a target for security communication;
A step of notifying the requester of the setting status of the security communication set in the own device when a request is received from the outside via the network by an address that is not subject to the security communication. A method for controlling a device having a data communication function. 複数のアドレスにより通信を行う手段を備えた機器における制御方法であって、
セキュリティ通信機能を持つ所定の機器に設定されたセキュリティ通信の設定状況を記憶する工程と、
上記のアドレスにより外部からネットワークを経由して要求を受けた場合に、上記の所定の機器に設定されたセキュリティ通信の設定状況を要求元に通知する工程とを備えたことを特徴とするデータ通信機能を有する機器の制御方法。 A control method in a device provided with means for performing communication by a plurality of addresses,
Storing a setting state of security communication set in a predetermined device having a security communication function;
And a step of notifying a requester of the setting status of the security communication set in the predetermined device when a request is received from outside via the network by the above address. A method for controlling a device having a function.
JP2005327802A 2005-11-11 2005-11-11 Equipment with data communication function Expired - Fee Related JP4682021B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005327802A JP4682021B2 (en) 2005-11-11 2005-11-11 Equipment with data communication function

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005327802A JP4682021B2 (en) 2005-11-11 2005-11-11 Equipment with data communication function

Publications (2)

Publication Number Publication Date
JP2007135083A true JP2007135083A (en) 2007-05-31
JP4682021B2 JP4682021B2 (en) 2011-05-11

Family

ID=38156362

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005327802A Expired - Fee Related JP4682021B2 (en) 2005-11-11 2005-11-11 Equipment with data communication function

Country Status (1)

Country Link
JP (1) JP4682021B2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010217595A (en) * 2009-03-17 2010-09-30 Ricoh Co Ltd Information processing device, information processing method, and program
US8065723B2 (en) 2007-02-20 2011-11-22 Ricoh Company, Ltd. Network communication device
JP2017139633A (en) * 2016-02-04 2017-08-10 三菱電機株式会社 Encryption communication device, management device, encryption communication method and encryption communication program

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003316676A (en) * 2002-04-25 2003-11-07 Hitachi Ltd Device and network system
JP2004104542A (en) * 2002-09-11 2004-04-02 Nec Corp Network, ipsec setting server device, ipsec processing device, and ipsec setting method used therefor

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003316676A (en) * 2002-04-25 2003-11-07 Hitachi Ltd Device and network system
JP2004104542A (en) * 2002-09-11 2004-04-02 Nec Corp Network, ipsec setting server device, ipsec processing device, and ipsec setting method used therefor

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8065723B2 (en) 2007-02-20 2011-11-22 Ricoh Company, Ltd. Network communication device
JP2010217595A (en) * 2009-03-17 2010-09-30 Ricoh Co Ltd Information processing device, information processing method, and program
JP2017139633A (en) * 2016-02-04 2017-08-10 三菱電機株式会社 Encryption communication device, management device, encryption communication method and encryption communication program

Also Published As

Publication number Publication date
JP4682021B2 (en) 2011-05-11

Similar Documents

Publication Publication Date Title
EP3300331B1 (en) Response method, apparatus and system in virtual network computing authentication, and proxy server
JP4759382B2 (en) COMMUNICATION DEVICE, COMMUNICATION METHOD, COMMUNICATION PROGRAM, AND RECORDING MEDIUM
JP6184209B2 (en) Management device, control method and program
JP6214177B2 (en) COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PROGRAM
US20220070061A1 (en) Methods and systems for dhcp policy management
JP4840352B2 (en) Device management apparatus and program
JP2020095738A (en) Communication system, method for controlling communication system, program, and server
JP2016181774A (en) Image formation apparatus
US20050135269A1 (en) Automatic configuration of a virtual private network
JP2018121182A (en) Information processing device, control method of the same and program
JP4505861B2 (en) Information processing apparatus, information processing system, and program
JP4682021B2 (en) Equipment with data communication function
JP6458512B2 (en) Communication equipment
AU2013300091B2 (en) Method and apparatus for using rendezvous server to make connections to fire alarm panels
JP5201982B2 (en) Information processing system, method and program
JP5040949B2 (en) Communication device, access point and address providing system.
JP2008028899A (en) Communication system, terminal device, vpn server, program, and communication method
JP4900828B2 (en) COMMUNICATION DEVICE, COMMUNICATION METHOD, PROGRAM, AND RECORDING MEDIUM
JP4874037B2 (en) Network equipment
JP2010009505A (en) Computer program for installing application for executing function by function execution device in communication device
JP4666986B2 (en) Communication method, communication permission server
JP2015039080A (en) Information processing device and communication control method
JP2007140972A (en) Communication setting program
JP2005242547A (en) Remote service execution method, remote client, and remote service server
JP2017229101A (en) Communication device, control method of communication device, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081016

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100826

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100831

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101029

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110118

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110207

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140210

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees