JP2007258816A - Communication device - Google Patents
Communication device Download PDFInfo
- Publication number
- JP2007258816A JP2007258816A JP2006077294A JP2006077294A JP2007258816A JP 2007258816 A JP2007258816 A JP 2007258816A JP 2006077294 A JP2006077294 A JP 2006077294A JP 2006077294 A JP2006077294 A JP 2006077294A JP 2007258816 A JP2007258816 A JP 2007258816A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- authentication
- protocol
- application
- management service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
ネットワークを介して外部装置と通信可能な通信装置に関し、特に、外部装置と通信を行う場合に、物理インタフェースがネットワークへ接続する際にデータ転送を行う許可を得るための認証処理を行う通信装置に関する。 The present invention relates to a communication device that can communicate with an external device via a network, and more particularly, to a communication device that performs authentication processing for obtaining permission to perform data transfer when a physical interface connects to a network when communicating with the external device. .
以前から、ネットワークを介した通信を行う場合において、暗号化、認証などのセキュリティのニーズはあったが、インターネットの普及によりますますその必要性が高くなっている。これは、インターネットをはじめとしたネットワークはそれなりの知識がある人であれば誰でも盗聴が可能であり、データの改ざんなども比較的に容易におこなうことができるためである。 In the past, when performing communication over a network, there has been a need for security such as encryption and authentication. However, the necessity of the security is increasing with the spread of the Internet. This is because a network such as the Internet can be eavesdropped by anyone with a certain level of knowledge, and data tampering can be performed relatively easily.
このような背景のもと、従来は専用機や特注レベルでしかありえなかったセキュリティ搭載製品も、パーソナルコンピューター(PC)上のソフトウェア、画像処理装置、通信装置などに大きく広がり、一般のオフィスでも使われるようになってきた。
ところで、インターネットなどのネットワークに接続可能な機器において、ネットワークやその関連するプログラムが階層化された構造をとる場合、一般的に、暗号化、認証といった処理がOSI(Open Systems Interconnection)参照モデルにおける各階層によってそれぞれの目的で行われる。
Against this backdrop, security-equipped products that could only be at a special-purpose machine or a custom-made level have spread widely to software, image processing devices, communication devices, etc. on personal computers (PCs) and can be used in general offices. It has come to be.
By the way, in a device that can be connected to a network such as the Internet, when the network and related programs have a layered structure, generally, processing such as encryption and authentication is performed in each OSI (Open Systems Interconnection) reference model. It is done for each purpose by hierarchy.
例えば、LAN(ローカルエリアネットワーク)上におけるTCP/IP(Transmission Control Protocol / Internet Protocol)通信をOSI参照モデルで説明すると、レイヤ1の物理層からレイヤ2のデータリンク層までがイーサネット(登録商標)や無線LANなどのインタフェイスカード部分にあたり、それぞれPHY(物理)通信規定、MAC(Media Access Control)プロトコルを規定している。同様にレイヤ3のネットワーク層がIPプロトコル、レイヤ4のトランスポート層がTCPプロトコルを規定しており、それより上位がアプリケーション層となっている。
For example, TCP / IP (Transmission Control Protocol / Internet Protocol) communication on a LAN (Local Area Network) will be described with reference to the OSI reference model. From the physical layer of
暗号化、認証はそれぞれの階層で行うことが可能であり、最上位のアプリケーション上ではコンテンツデータの暗号化、TCPプロトコル上ではSSL(セキュア・ソケット・レイヤー)、IPプロトコル上ではIPSec(セキュリティー・アーキテクチャー・フォー・インターネット・プロトコル)、そしてMACプロトコルではMAC層を含むデータ通信まるごとを暗号化する技術が存在する。
それぞれの暗号化にはその暗号鍵を共有するための相互の認証が必要となるが、これもそれぞれの暗号方式で様々な実装をすることができる。
Encryption and authentication can be performed at each level. Content data is encrypted on the top-level application, SSL (secure socket layer) on the TCP protocol, and IPSec (security architecture on the IP protocol). (Char for Internet Protocol), and the MAC protocol includes a technique for encrypting the entire data communication including the MAC layer.
Each encryption requires mutual authentication to share the encryption key, and this can also be implemented in various ways with each encryption method.
そして、上記のように通信装置がネットワークを介して外部装置と通信をする際に、種々の階層で認証処理を行うようにする場合、その認証処理の進行に応じて、装置の動作を管理することが重要である。そして、このような技術に関連する文献としては、例えば特許文献1及び特許文献2が知られている。
特許文献1には、高速なIP接続処理を実現するため、ユーザ認証の成功検出後に、起動されたIP処理部又は高速IP接続処理部が直ちにネットワークにルータ広告メッセージを要求し、その応答として受信したルータ広告メッセージにより、以降のIP接続処理を早期に開始させるようにする技術が開示されている。
特許文献2には、無線情報通信端末装置において、データリンク層が使用可能な無線領域を検出したり、通信時の認証や加入等の手順に合格したりした場合にその旨を表示するようにする技術が記載されている。
In
In
ところで、上記のような階層化されたプロトコルを用いて通信を行う場合、インタフェースカードがネットワークに接続するためになんらかの認証プロトコルで認証をうける際、その認証処理が成功していない状態では本質的にそれより上位のプロトコルが通信を行うべきではない。認証された際に暗号化のための鍵を接続先(有線であればハブ、無線LANであればアクセスポイント等)と共有して暗号化通信を行う場合には、認証される以前に上位プロトコルが通信を試みても通信がまったく行えないし、また暗号化が行われなくても認証される以前はハブやアクセスポイントより先にデータが出ていけないため、通信プロトコルアドレス取得や通信プロトコルアドレス重複の検出などができない、といった弊害が考えられる。この点は、一旦認証処理が成功した後、通信が切断され、再度認証処理が必要になった状態でも、同様である。 By the way, when communication is performed using the layered protocol as described above, when the interface card is authenticated by some kind of authentication protocol to connect to the network, it is essentially in a state where the authentication processing is not successful. Higher protocols should not communicate. When performing encryption communication by sharing the encryption key with the connection destination (hub for wired, access point for wireless LAN, etc.) when authenticated, the higher level protocol is used before authentication. Even if communication is attempted, communication cannot be performed at all, and even if encryption is not performed, before authentication, data cannot be output before the hub or access point. The bad effect that it cannot be detected is considered. This is the same even when the authentication process is once successful, the communication is disconnected, and the authentication process is required again.
一方、上記の特許文献1及び2に記載の技術は、このような弊害を意識した技術ではないため、このような弊害を十分に解消できるものではない。
この発明は、このような弊害を防止し、通信装置にネットワークを介した外部装置との通信を行わせる際の動作を安定させ、またセキュリティを向上させることを目的とする。
On the other hand, the techniques described in
An object of the present invention is to prevent such adverse effects, to stabilize the operation when the communication device communicates with an external device via a network, and to improve security.
上記の目的を達成するため、この発明の通信装置は、ネットワークを介して外部装置と通信可能な通信装置において、物理インタフェースが上記ネットワークへ接続してデータ転送を行う許可を得るための認証処理を行う認証手段と、上記認証手段による認証処理が成功している状態では、その通信装置におけるデータリンク層より上位の階層のプロトコルを用いた通信の実行を許可し、上記認証処理が成功していない状態では、その通信装置におけるデータリンク層より上位の階層のプロトコルを用いた通信の実行を禁止する制御を行う通信制御手段とを設けたものである。 In order to achieve the above object, a communication device according to the present invention performs an authentication process for obtaining permission for a physical interface to connect to the network and perform data transfer in a communication device capable of communicating with an external device via a network. In the state where the authentication means to be performed and the authentication processing by the authentication means are successful, the communication apparatus is allowed to execute communication using a protocol in a layer higher than the data link layer, and the authentication processing is not successful. In the state, communication control means for performing control for prohibiting execution of communication using a protocol in a higher layer than the data link layer in the communication device is provided.
このような通信装置において、上記物理インタフェースのドライバに、上記認証手段による認証処理の状態を示す認証状態情報を上記通信制御手段に対して通知する手段を設けるとよい。
あるいは、上記物理インタフェースのドライバに、上記認証手段による認証処理の状態を示す認証状態情報を記憶する手段を設け、上記通信制御手段に、上記ドライバから、上記認証状態情報を取得する手段を設けるとよい。
In such a communication apparatus, means for notifying the communication control means of authentication state information indicating the state of authentication processing by the authentication means may be provided in the driver of the physical interface.
Alternatively, a means for storing authentication status information indicating a status of authentication processing by the authentication means is provided in the driver of the physical interface, and a means for acquiring the authentication status information from the driver is provided in the communication control means. Good.
さらに、上記通信制御手段に、上記認証状態情報に基づいて、上記データリンク層より上位の階層のプロトコルを用いた通信を行うためのモジュールの起動及び停止を行う手段を設けるとよい。
あるいは、上記データリンク層より上位の階層のプロトコルを用いた通信を行うためのモジュールに、上記ドライバから、上記認証状態情報を取得する手段を設けるとよい。
さらに、上記データリンク層より上位のプロトコルを用いた通信を行うためのモジュールに、上記ドライバから取得した上記認証状態情報に基づいて自身の機能による通信の可否を制御する手段を設けるとよい。
Further, the communication control means may be provided with means for starting and stopping a module for performing communication using a protocol of a layer higher than the data link layer based on the authentication status information.
Alternatively, a module for performing communication using a protocol of a higher layer than the data link layer may be provided with means for acquiring the authentication status information from the driver.
Furthermore, a module for performing communication using a protocol higher than the data link layer may be provided with means for controlling whether or not communication by its own function is possible based on the authentication status information acquired from the driver.
以上のようなこの発明の通信装置によれば、通信装置にネットワークを介した外部装置との通信を行わせる際の動作を安定させ、またセキュリティを向上させることができる。 According to the communication apparatus of the present invention as described above, it is possible to stabilize the operation and improve the security when the communication apparatus communicates with an external apparatus via a network.
以下、この発明を実施するための最良の形態を図面に基づいて説明する。
〔第1の実施形態:図1乃至図4〕
まず、この発明の通信装置の第1の実施形態について説明する。図1は、その通信装置のハードウェア構成を示すブロック図である。
この図に示すように、通信装置10は、CPU11,ROM12,RAM13,表示部14,操作部15,通信I/F(インタフェース)16を備え、それらがシステムバス17により接続されている。
The best mode for carrying out the present invention will be described below with reference to the drawings.
[First Embodiment: FIGS. 1 to 4]
First, a first embodiment of a communication apparatus according to the present invention will be described. FIG. 1 is a block diagram showing a hardware configuration of the communication apparatus.
As shown in this figure, the
そして、CPU11は通信装置10全体を統括制御する制御手段であり、ROM12に記録された種々のプログラムを実行することにより、認証手段や通信制御手段を始めとする通信装置10の種々の機能を実現する。
ROM12は不揮発性の記憶手段であり、CPU11が実行するプログラムや固定的なパラメータ等を記憶する。ROM12を書き換え可能な記憶手段として構成し、これらのデータをアップデートできるようにしてもよい。
RAM13は、一時的に使用するデータを記憶したり、CPU11のワークメモリとして使用したりする記憶手段である。
The
The
The
表示部14は、液晶ディスプレイなどの表示器を備え、CPU11の制御に従い、通信装置10の動作状態や設定内容、ユーザからの操作を受け付けるためのGUI(グラフィカル・ユーザ・インタフェース)、あるいはユーザへのメッセージ等を表示する表示手段である。
操作部15は、ユーザによる操作を受け付けるためのキーやボタンを備えた操作手段である。
The
The
通信I/F16は、通信装置10を何らかの通信経路を介して他の装置と通信可能にするためのインタフェースであり、例えば、ネットワークに接続してIEEE(Institute of Electrical and Electronic Engineers)802.3方式(イーサネット(登録商標)方式)の有線通信やIEEE802.11方式の無線通信を行うためのネットワークインタフェースとすることができる。より具体的には、ネットワークインタフェースカードを採用することが考えられる。
The communication I /
そして、通信装置10が他の装置と通信を行う場合、この通信I/F16とCPU11とが通信手段として機能する。なお、通信I/F16は、通信経路の規格や使用する通信プロトコル等に応じて適切なものを用意する。通信経路は、有線/無線を問わず任意のものを利用可能であるし、複数の規格に対応させて複数の通信I/F16を設けることも当然可能である。
And when the
例えば、TCP/IPではなく、IPX/SPX(Internetwork Packet eXchange / Sequenced Packet eXchange)を用いるNetwareを利用することもできる。
なお、ここでは、通信プロトコルとして、IEEE802.11方式のセキュリティ拡張であるIEEE802.11i方式(WPA(Wi-Fi Protected Access)としても知られる)に、IEEE802.1X方式による認証実装を適用した通信プロトコルを採用し、通信装置10を、外部装置との間でセキュリティを確保した通信が可能となるよう構成している。
For example, instead of TCP / IP, Network using IPX / SPX (Internetwork Packet eXchange / Sequenced Packet eXchange) can be used.
Here, as a communication protocol, a communication protocol in which an authentication implementation based on the IEEE 802.1X system is applied to the IEEE 802.11i system (also known as WPA (Wi-Fi Protected Access)), which is a security extension of the IEEE 802.11 system. And the
また、通信装置10に、その用途に応じて、種々の構成要素を設けてよいことは、もちろんである。例えば、通信装置10を、プリント,ファクシミリ通信,スキャン,コピー,文書蓄積等の機能を備えたデジタル複合機(MFP)として構成する場合には、プリントエンジンやスキャナエンジン、およびハードディスクドライブ(HDD)等を設けることが考えられる。また、通信装置10が、自身で表示を行ったり操作を受け付けたりする必要がない場合には、表示部14や操作部15を設けなくてもよい。
Of course, various components may be provided in the
通信装置10は、以上のような構成を有し、通信I/F16を介してネットワークに接続可能であり、そのネットワークを介して外部装置と通信可能な装置である。そして、ここでは通信プロトコルとしてIEEE802.11i方式を採用しているため、通信経路は無線であり、ネットワークに接続する際に直接の通信相手となる装置としては、例えば無線LANのアクセスポイントが考えられる。
The
また、IEEE802.1X方式による認証実装を適用しているため、通信装置10は、ネットワークを介した通信を開始するに際し、EAPoL(Extended Authentication Protocol over LAN)を用いた認証処理を行ってアクセスポイントに接続許可を受ける必要がある。この処理は、MAC(メディアアクセスコントロール)プロトコルを用いて直接の通信相手となる装置との間でデータリンク層の通信経路を確立する処理に該当する。
Further, since the authentication implementation based on the IEEE802.1X system is applied, the
図2は、この認証処理の内容について説明するための図である。
この図に示す通り、EAPoLは、通信装置10の直接の通信相手となるアクセスポイント20が認証の仲介をして、通信装置10から送信されてくる認証情報を認証サーバ30に送信して認証を行わせ、この認証が成功した場合に、通信装置10からアクセスポイント20への接続が許可され、通信装置10がアクセスポイント20を介してネットワーク上の外部装置40との間のデータ通信を行うことができるようにするものである。
FIG. 2 is a diagram for explaining the contents of the authentication process.
As shown in this figure, EAPoL performs authentication by the
そして、この認証に係る通信の際には、チャレンジレスポンス方式のパスワード認証や、公開鍵基盤(PKI)を用いた公開鍵暗号が利用され、通信装置10と認証サーバ30には、認証局50が発行し、公開鍵暗号を用いた認証に使用する電子証明書を設定しておく。
また、接続許可後の通信を暗号化する場合には、認証完了時に、認証サーバ30から通信装置10に、暗号化に使用する鍵やその鍵の元となるデータを配布することも可能である。
In communication related to this authentication, challenge-response password authentication and public key cryptography using a public key infrastructure (PKI) are used, and the
Further, when encrypting communication after permitting connection, it is possible to distribute the key used for encryption and the data that is the source of the key from the
次に、図3に、通信装置10のソフトウェア構成を示す。
この図に示すように、通信装置10は、CPU11に実行させるプログラムとして、上位アプリケーション101,認証アプリケーション102,管理サービスモジュール103,OS(オペレーティングシステム)カーネル110とを備えている。また、通信I/F16は、ハードウェアであるが、説明を分かり易くするために図3にも示している。
Next, FIG. 3 shows a software configuration of the
As shown in this figure, the
上記のうちOSカーネル110は、プロトコルスタック111と、デバイスドライバ112と、ドライバインタフェース113とを含む。
そして、プロトコルスタック111は、TCP/IPやUDP(User Datagram Protocol)/IPといった、図4に示すようなOSI参照モデルの第4層(トランスポート層)及び第3層(ネットワーク層)に係る通信機能を実現するためのプログラムモジュールである。
Among the above, the
The
デバイスドライバ112は、第1層(物理層)である通信I/F16の動作を制御し、第2層(データリンク層)に関する通信機能を実現するためのプログラムモジュールであり、通信I/F16毎にこれと対応して設けられる。
ドライバインターフェイス113は、デバイスドライバ112を利用するプロトコルスタック111,認証アプリケーション102,管理サービスモジュール103等から、デバイスドライバ112の種類あるいはデバイスドライバ112が制御する通信I/F16の種類によらず同一のインタフェースでデータ送受、制御、監視などが可能となるように、デバイスドライバ112のインタフェースを統一するためのプログラムモジュールである。また、デバイスドライバ112には、直接の通信相手となる装置との間でデータリンク層の通信経路が確立されているか否かを示す情報を管理サービスモジュール103に渡す機能を持たせているが、この点については後述する。
The
The
また、上位アプリケーション101は、OSI参照モデルの第7層(アプリケーション層),第6層(プレゼンテーション層),及び第5層(セッション層)に係る通信機能を実現するためのプログラムモジュール群、あるいはこれらの通信機能を利用して種々の機能を実現するためのプログラムモジュール群である。
The
例えば、ユーザの操作に従ってファイルを外部装置との間で送受信する機能や、外部装置からの要求に応じて何らかの動作を行って応答を返す機能、外部装置のアプリケーションとの間でメッセージを送受信する機能、外部装置に対して通信装置10の状態を通知する機能等を実現するためのプログラムを上位アプリケーション101として設けることが考えられる。また、ユーザの指示に従ってホームページを閲覧するブラウザや電子メール送受信用プログラム等を設けることも考えられる。
さらに、上位アプリケーション101を、通信相手(アクセスポイント20のような、ネットワーク上で直結された装置とは限らない)を認証したり、通信内容を暗号化する等のセキュリティプログラムと組み合わせて動作させることも考えられる。
For example, a function for transmitting / receiving a file to / from an external device according to a user's operation, a function for performing an operation in response to a request from the external device and returning a response, and a function for transmitting / receiving a message to / from an application of the external device It is conceivable that a program for realizing a function for notifying the state of the
Further, the
認証アプリケーション102は、デバイスドライバ112及び通信I/F16により、ネットワーク上で通信装置10と直結される外部装置と通信する際、その外部装置との間でデータリンク層の通信経路を確立するために必要な認証処理、すなわち物理インタフェースがネットワークへ接続してデータ転送を行う許可を得るための認証処理を行う認証手段の機能を実現するためのプログラムモジュールである。
When the
この認証処理の方式は、通信I/F16やデバイスドライバ112が通信に使用する通信プロトコルによって異なるが、適切な方式に対応した認証アプリケーション102を用意しておくものとする。例えば、ここで採用しているIEEE802.1X方式の認証実装の場合、上述のようなEAPoLを用いた認証を行うための認証アプリケーション102を用意しておけばよい。なお、異なる方式に対応した認証アプリケーション102を複数用意しておき、使用する通信プロトコルに応じて必要な認証アプリケーション102を起動して認証処理を行わせるようにしてもよい。
The authentication processing method varies depending on the communication protocol used by the communication I /
管理サービスモジュール103は、通信に使用する通信I/F16やプロトコルの種類に応じて、データリンク層の通信経路確立のために必要な認証アプリケーション102を起動する機能を実現するためのプログラムモジュールである。
また、管理サービスモジュール103は、デバイスドライバ112及び通信I/F16を介した通信の状態を把握し、その状態に応じて、プロトコルスタック111及び上位アプリケーション101の起動、停止及び設定を制御する通信制御手段の機能を実現するためのプログラムモジュールでもある。
この管理サービスモジュール103により実現される機能が、この実施形態において特徴的な機能であるので、以下、この点について説明する。
The
Further, the
Since the function realized by the
図5は、通信装置10の起動時の動作シーケンスを、管理サービスモジュール103の機能に関連する部分を中心に示すシーケンス図である。ただし、ドライバインタフェース113の図示は省略した。また、以降の説明及び図面においては、説明を簡単にするため、CPU11が図3に示したソフトウェアを実行することによって行う処理は、そのソフトウェアが行う動作であるとして説明することにする。
FIG. 5 is a sequence diagram showing an operation sequence at the time of startup of the
通信装置10においては、電源が投入されると、まずOSカーネル110及び管理サービスモジュール103が自動的に起動する。
そしてまず、管理サービスモジュール103は通信装置10が備える通信I/F16を検出する(S101)。そして、検出した通信I/F16の種類に応じて、その通信I/F16によりアクセスポイント20との間でデータリンク層の通信経路を確立するために必要な認証処理を行うための認証アプリケーション102を起動する(S102)。
In the
First, the
すると、起動された認証アプリケーション102は、デバイスドライバ112にアクセスポイント20との間で認証通信を実行させ、アクセスポイント20に対して認証情報を送信させて、認証結果を受け取る(S103〜S106)。ここでは、認証は成功したものとし、このことにより、通信装置10が、直接の通信相手となるアクセスポイント20を介して、ネットワークに接続されている任意の相手と通信可能となる。
Then, the activated
なお、デバイスドライバ112には、認証アプリケーション102による認証が成功している状態か否かの情報と、通信I/F16と直接の通信相手となる装置(ここではアクセスポイント20)との間で物理的な接続が保たれているか否かの情報を取得し、これらの情報に基づき、直接の通信相手となる装置との間で認証処理が完了してデータリンク層の通信経路が確立されているか否かを示す情報を、認証状態情報として管理する機能を持たせている。
It should be noted that the
認証成否の情報は、認証アプリケーション102からデバイスドライバ112に通知させるようにしても、デバイスドライバ112が通信I/F16を介して送受信するデータ(特に認証アプリケーション102が認証時の通信により送受信するデータ)を監視して、その内容から取得するようにしてもよい。
Even if the
また、物理的な接続に関する情報は、有線通信であれば、ケーブルが接続されているか否か、無線通信であれば、通信相手から所定レベル以上の無線信号を受信できているか否かを示すものであるが、これは、通信I/F16が検出できるため、デバイスドライバ112が通信I/F16の制御動作の一環として、通信I/F16から取得できる。
そして、デバイスドライバ112は、通信相手との間で物理的な接続が保たれ、かつ認証アプリケーション102による認証が成功している状態の場合に、データリンク層の通信経路が確立されていると判断する。
In addition, the information related to physical connection indicates whether a cable is connected in the case of wired communication, and whether or not a wireless signal having a predetermined level or higher can be received from the communication partner in the case of wireless communication. However, since the communication I /
The
以上のようなデバイスドライバ112は、管理サービスモジュール103から認証状態情報の問い合わせがあると、管理している認証状態情報を管理サービスモジュール103に返す。
また、管理サービスモジュール103は、定期的にこの問い合わせを行い、デバイスドライバ112は、ステップS106において認証OKを認証アプリケーション102に返した後は、認証が成功している状態であると把握しているため、管理サービスモジュール103からの問い合わせに対して、認証状態OKの応答を返す(S107,S108)。
The
Also, the
なお、管理サービスモジュール103が定期的に認証状態情報を問い合わせることに代えて、認証状態が変化した場合に、デバイスドライバ112が変化後の状態を管理サービスモジュール103に通知するようにしてもよい。
いずれにせよ、管理サービスモジュール103は、デバイスドライバ112から、認証状態がOKである旨の情報を取得すると、データリンク層より上位の階層のプロトコルを用いた通信を行えるようにすべく、プロトコルスタック111の初期化を行う(S109)。
Instead of periodically inquiring the authentication status information from the
In any case, when the
この初期化は、プロトコルスタック111に、通信の実行に必要なIPアドレス等のアドレスを設定したり、アドレスの設定に必要なアプリケーションを起動し、DHCP(Dynamic Host Configuration Protocol)サーバ等からアドレスを取得させてプロトコルスタック111に設定させたりする処理を含む。
そして、初期化が完了してプロトコルスタック111が外部装置40との通信に使用可能な状態となると、プロトコルスタック111は管理サービスモジュール103に初期化完了通知を返す(S110)。
This initialization sets an address such as an IP address necessary for communication execution in the
When the initialization is completed and the
そして、管理サービスモジュール103は、この通知を受けると、上位アプリケーション101を起動する(S111)。この時点では、通信装置10はアクセスポイント20に認証を受け、その先の外部装置40との間で通信が可能な状態になっているから、起動された上位アプリケーション101は、必要に応じてプロトコルスタック111に通信を要求し、デバイスドライバ112を介して外部装置40とデータの送受信を行うことができる(S112〜S114)。
Upon receiving this notification, the
ところで、通信I/F16とアクセスポイント20とが無線通信を行う場合、電波状態が悪くなったり、通信装置10やアクセスポイント20の移動により互いの距離が離れたりすると、通信相手からの無線信号が所定レベル以下になり、一旦確立された通信経路が途切れてしまうことも考えられる。有線通信であっても、コネクタの取り外しや脱落等により、同様な自体が生じることが考えられる。
そして、この場合には、デバイスドライバ112が通信I/F16のハードウェアを介して通信経路の遮断を検出すると(S115)、管理サービスモジュール103からの認証状態情報問い合わせに対し、認証状態NGを返すようになる(S116,S117)。
By the way, when the communication I /
In this case, when the
そして、管理サービスモジュール103は、デバイスドライバ112から、認証状態がNGである旨の情報を取得すると、この状態では外部装置40との間の通信が行えないと認識し、上位アプリケーション101を終了させる(S118)と共に、プロトコルスタック111も停止させて(S119)、外部に対して通信を要求しないようにする。
When the
なお、上位アプリケーション101の「終了」は、必ずしもプログラムの実行自体を終了しなくても、通信に関する動作の停止及び設定のクリアを行えばよい。サーバ系のアプリケーションで、クライアント認証を行っている場合には、その認証結果もクリアし、通信再開時に再度認証を行うようにする。また、ユーザに対して呈示中のGUI等は、通信経路の遮断時に急に消去してしまうと不自然な動作になるため、元のまま残しておくことが好ましい。
また、図示はしていないが、その後通信I/F16とアクセスポイント20との間の物理的接続が回復した場合、ステップS103以降と同様な手順により、通信経路の確立、プロトコルスタック111の初期化、上位アプリケーション101の起動等を行う。
Note that the “end” of the higher-
Although not shown, when the physical connection between the communication I /
次に、図6に、CPU11が管理サービスモジュール103を実行することにより行う処理のフローチャートを示す。
通信装置10の電源が投入されると、所要の初期処理の終了後、管理サービスモジュール103を実行することにより、図6のフローチャートに示す処理を開始する。
そして、まずステップS11で、通信装置10が備える通信I/F16を検出し、ステップS12で、検出した通信I/F16の種類に応じて、その通信I/F16によりアクセスポイント20との間でデータリンク層の通信経路を確立するために必要な認証処理を行うための認証アプリケーション102を起動する。
Next, FIG. 6 shows a flowchart of processing performed by the
When the
First, in step S11, the communication I /
その後、ステップS13でデバイスドライバ112に対して認証状態情報の問い合わせを行い、応答として認証状態OKを受信するまでステップS14からステップS13に戻ってこれを繰り返す。なお、問い合わせを行わなくてもデバイスドライバ112から認証状態情報を通知してくる場合には、ステップS13の処理を行わず、ステップS14で認証状態OKを受信するまで待機すればよい。
そして、認証状態OKを受信すると、ステップS14からステップS15及びS16に進み、プロトコルスタック111の初期化と上位アプリケーション101の起動を行う。
Thereafter, in step S13, the
When the authentication status OK is received, the process proceeds from step S14 to steps S15 and S16, where the
その後、ステップS17で、ステップS13の場合と同様、デバイスドライバ112に対して認証状態情報の問い合わせを行い、応答として認証状態NGを受信するまでステップS18からステップS17に戻ってこれを繰り返す。
そして、認証状態NGを受信すると、ステップS18からステップS19及びS20に進み、上位アプリケーション101の終了とプロトコルスタック111の停止を行う。
ステップS20の後は、ステップS13に戻って処理を繰り返す。
Thereafter, in step S17, as in the case of step S13, the
When the authentication state NG is received, the process proceeds from step S18 to steps S19 and S20, and the
After step S20, the process returns to step S13 to repeat the process.
通信装置10においては、CPU11が以上のような処理を行うことにより、認証アプリケーション102による認証処理が成功している状態では、通信装置10におけるデータリンク層より上位の階層のプロトコルを用いた通信の実行を許可し、認証処理が成功していない状態では、通信装置10におけるデータリンク層より上位の階層のプロトコルを用いた通信の実行を禁止する制御を行い、全体として、図5に示したような動作を実現している。
In the
そして、このことにより、データリンク層以下の通信経路が確立されていない状態で上位レイヤの上位の階層のプロトコルを用いた通信が実行されないようにすることができる。
従って、データリンク層以下の通信経路が確立されていない状態でプロトコルスタック111がアドレス自動取得処理のために初期化作業を開始し、アドレスが取得できずタイムアウトとなり、再びリトライ処理によりアドレス自動取得処理が繰り返されるというような不具合を回避することができ、通信プロトコルの動作を安定させることができる。
As a result, it is possible to prevent communication using a higher-layer protocol of the upper layer from being executed in a state where a communication path below the data link layer has not been established.
Therefore, the
また、通信の暗号化を想定していたにも関わらず、暗号化のための鍵が通信装置10とアクセスポイント20との間で共有される前にプロトコルスタック111がデータの送信を開始し、外部に平文が送出されてしまうような事態を防止し、セキュリティを向上させることができる。
また、通信の実行中に通信経路が遮断された場合に、タイムアウトやリトライのような異常処理に頼ることなく上位アプリケーション101の終了やプロトコルスタック111の停止を行うことができるため、通信装置10を、速やかに通信経路の遮断に対応した動作に移行させることができる。また、異常処理を行わずに済むため、装置の制御を安定して行うことができる。
In addition, despite the assumption of communication encryption, the
In addition, when the communication path is interrupted during communication, the
なお、認証状態情報をデバイスドライバ112から管理サービスモジュール103に伝達する動作を、デバイスドライバ112が認証状態情報の変化を検出したとき能動的に管理サービスモジュール103に通知して行うようにすれば、管理サービスモジュール103は定期的な認証状態情報の問い合わせを行う必要がなく、管理サービスモジュール103における処理負荷を軽減することができる。
If the
また、デバイスドライバ112が認証状態情報を管理しておき、管理サービスモジュール103からの問い合わせがあった場合にそれに応じてデバイスドライバ112が管理サービスモジュール103に通知するようにすれば、デバイスドライバ112が、認証状態情報の通知先を把握している必要がないため、ソフトウェア構成の変更に柔軟に対応することができる。また、多数の通信I/Fに対応したデバイスドライバが稼動し、これらが一斉にその状態を変化させた場合などでも、管理サービスモジュール103の処理能力の範囲内で順次処理を行うことができるので、過負荷による通信装置10全体の処理遅延などを回避できる。
Further, if the
また、これらのどちらの構成を採用する場合でも、特に前者の構成を採用する場合には、通信装置10で使用するデバイスドライバ112全てに、同じ種類のコマンドやメッセージ等により認証状態情報を管理サービスモジュール103に伝達する機能を設けておくとよい。このようにすれば、管理サービスモジュール103は、プロトコルスタック111や上位アプリケーション101による通信の制御を、これらモジュールが通信に使用する通信I/F16やその通信のための認証を行う認証アプリケーション102の種類を意識せずに行うことができる。
In addition, regardless of which of these configurations is employed, particularly when the former configuration is employed, the authentication status information is managed by the same type of command or message for all
〔第2の実施形態:図7乃至図9〕
次に、この発明の通信装置の第2の実施形態について説明する。
この第2の実施形態の通信装置は、ハードウェア構成及びソフトウェア構成は、第1の実施形態の場合と同様であり、プロトコルスタック111を最初に初期化した後は、プロトコルスタック111に、自身の通信可否を制御させるようにした点が第1の実施形態と異なるのみである。そこで、この相違点を中心に説明する。また、第1の実施形態の場合と対応する構成要素には、同じ符号を用いる。
[Second Embodiment: FIGS. 7 to 9]
Next, a second embodiment of the communication apparatus according to the present invention will be described.
The communication apparatus according to the second embodiment has the same hardware configuration and software configuration as in the first embodiment. After the
図7は、通信装置10の起動時の動作シーケンスを示す、図5と対応するシーケンス図である。
この実施形態の通信装置10においても、管理サービスモジュール103から上位アプリケーション101に起動指示を行うまでの処理(S121〜S131)は、第1の実施形態で図5のステップS101〜S111に示した処理と同様である。
FIG. 7 is a sequence diagram corresponding to FIG. 5, showing an operation sequence when the
Also in the
しかし、プロトコルスタック111は、ステップS130で管理サービスモジュール103に初期化完了を通知した後、通信を行う前に、デバイスドライバ112に対して認証状態情報の問い合わせを行う。そして、デバイスドライバ112は、ステップS126において認証OKを認証アプリケーション102に返した後は、認証が成功している状態であると把握しているため、プロトコルスタック111からの問い合わせに対しても、認証状態OKの応答を返す(S132,S133)。
However, after notifying the
そしてその後、プロトコルスタック111は、上位アプリケーション101からの要求に応じて外部装置40との間の通信を行う状態に移行する。そして、通信装置10は、全体として、上位アプリケーション101が、必要に応じてプロトコルスタック111に通信を要求し、デバイスドライバ112を介して外部装置40とデータの送受信を行うことができる状態になる(S134〜S136)。
Thereafter, the
なお、その後も、プロトコルスタック111が定期的にデバイスドライバ112に対して認証状態情報の問い合わせを行う、認証状態が変化した場合にデバイスドライバ112が変化後の状態をプロトコルスタック111に通知する、等により、プロトコルスタック111は、常時認証状態情報の監視を続ける。
Thereafter, the
そして、デバイスドライバ112が通信I/F16のハードウェアを介して通信経路の遮断を検出し(S137)、プロトコルスタック111に対して認証状態NGの情報を報知すると(S138,S139)、プロトコルスタック111は、上位アプリケーション101からのデータ通信要求に対し、通信不可応答を返す状態に移行する(S140,S141)。
すなわち、プロトコルスタック111は、認証アプリケーション102による認証が成功している状態でなくなると、自身による通信機能を無効にし、データリンク層より上位の階層のプロトコルを用いた通信の実行を禁止する機能を有する。
Then, when the
That is, when the authentication by the
また、図には示していないが、プロトコルスタック111は、その後も認証状態情報の監視を続け、デバイスドライバ112から認証状態OKの情報を取得すると、再度、上位アプリケーション101からの要求に応じて外部装置40との間の通信を行う状態に移行する。このとき、必要に応じて、ステップS129で行ったような初期化も行う。
Although not shown in the figure, the
従って、プロトコルスタック111は、認証アプリケーション102による認証が成功している状態では、データリンク層より上位の階層のプロトコルを用いた通信の実行を許可する機能も有する。
すなわち、この実施形態においては、管理サービスモジュール103だけでなく、プロトコルスタック111も、通信制御手段として機能する。
Accordingly, the
That is, in this embodiment, not only the
次に、図8に、CPU11が管理サービスモジュール103を実行することにより行う処理のフローチャートを示す。
通信装置10の電源が投入されると、CPU11は、所要の初期処理の終了後、管理サービスモジュール103を実行することにより、図8のフローチャートに示す処理を開始する。
Next, FIG. 8 shows a flowchart of processing performed by the
When the
この図に示すステップS31〜S36の処理は、第1の実施形態で説明した図6のステップS11〜S16の処理と同様なものである。ただし、ステップS36で上位アプリケーション101を起動した後は、認証状態情報の監視は行わず、処理を終了する。
この実施形態では、一旦プロトコルスタック111を初期化した後の通信の許可/禁止の制御を、プロトコルスタック111に行わせるようにしているためである。
The processing of steps S31 to S36 shown in this figure is the same as the processing of steps S11 to S16 of FIG. 6 described in the first embodiment. However, after the
This is because in this embodiment, the
また、図9に、CPU11がプロトコルスタック111を実行することにより行う処理のフローチャートを示す。
通信装置10の電源が投入されると、CPU11は、所要の初期処理の終了後、プロトコルスタック111を実行することにより、図9のフローチャートに示す処理を開始する。
そして、ステップS41で管理サービスモジュール103からの初期化指示があるまで待機し、この指示があると、ステップS42でアドレス設定等の初期化処理を行う。
FIG. 9 shows a flowchart of processing performed by the
When the
In step S41, the process waits until an initialization instruction is received from the
その後、ステップS43でデバイスドライバ112に対して認証状態情報の問い合わせを行い、応答として認証状態OKを受信すれば、ステップS44からステップS45に進んでデバイスドライバ112及び通信I/F16を介した外部装置40との間の通信に関する処理を行う。具体的には、上位アプリケーション101等からの通信要求に応じてデバイスドライバ112に通信メッセージの送信を行わせ、その応答のメッセージを受信した場合に通信要求元へ返すような処理を行う。
After that, if the authentication status information is inquired to the
なお、問い合わせを行わなくてもデバイスドライバ112から認証状態情報を通知してくる場合には、ステップS43の処理を行わず、単にステップS44でその情報の内容について判断すればよい。また、通常は、ステップS42での初期化の直後は、ステップS44の判断はYESになると考えられる。
If the authentication status information is notified from the
一方、ステップS44で認証状態がOKでなければ、すなわちNGであれば、ステップS46以下に進む。そして、認証状態がNGである間は、通信要求があった場合に通信不可応答を返す処理を繰り返す(S46〜S49)。問い合わせを行わなくてもデバイスドライバ112から認証状態情報を通知してくる場合にステップS46の処理が不要なことは、ステップS43の場合と同様である。
On the other hand, if the authentication state is not OK in step S44, that is, if it is NG, the process proceeds to step S46 and thereafter. While the authentication state is NG, the process of returning a communication failure response when there is a communication request is repeated (S46 to S49). Similar to the case of step S43, the process of step S46 is unnecessary when the authentication status information is notified from the
そして、ステップS47で認証状態がOKになったと判断すると、ステップS42に戻り、必要に応じてアドレス再設定等の初期化処理を行って、以下の処理を繰り返す。この状態では、ステップS44の判断はYESになると考えられるから、再度認証状態がNGになるまでは、通信処理を続けることになる。
なお、このフローチャートに示す処理は、プロトコルスタック111が複数ある場合には、プロトコルスタック毎に行う。
If it is determined in step S47 that the authentication state is OK, the process returns to step S42, and initialization processing such as address resetting is performed as necessary, and the following processing is repeated. In this state, the determination in step S44 is considered to be YES, so the communication process is continued until the authentication state becomes NG again.
Note that the processing shown in this flowchart is performed for each protocol stack when there are a plurality of protocol stacks 111.
通信装置10においては、CPU11が以上のような図8及び図9に示した処理を行うことにより、認証アプリケーション102による認証処理が成功している状態では、通信装置10におけるデータリンク層より上位の階層のプロトコルを用いた通信の実行を許可し、認証処理が成功していない状態では、通信装置10におけるデータリンク層より上位の階層のプロトコルを用いた通信の実行を禁止する制御を行い、全体として、図7に示したような動作を実現している。
そして、このことにより、第1の実施形態の場合と同様な効果を得ることができる。
In the
And the effect similar to the case of 1st Embodiment can be acquired by this.
さらに、通信の許可/禁止の制御機能の一部を、通信機能を実現するためのプロトコルスタック111自身に持たせたことにより、全てを管理サービスモジュール103に行わせる場合と比べ、制御の即時応答性を向上させると共に、処理負荷の集中を防止し、認証の状態に応じた通信の許可/禁止の制御をより厳密に行うことができる。
Further, by providing a part of the control function for permitting / prohibiting communication in the
〔第3の実施形態:図10乃至図12〕
次に、この発明の通信装置の第3の実施形態について説明する。
この第3の実施形態の通信装置も、ハードウェア構成及びソフトウェア構成は、第1の実施形態の場合と同様であり、上位アプリケーション101を起動した後は上位アプリケーション101に自身の通信可否を制御させるようにした点が、第1の実施形態と異なるのみである。そこで、この相違点を中心に説明する。また、第1の実施形態の場合と対応する構成要素には、同じ符号を用いる。
[Third Embodiment: FIGS. 10 to 12]
Next, a third embodiment of the communication apparatus according to the present invention will be described.
The communication apparatus of the third embodiment also has the same hardware configuration and software configuration as in the first embodiment. After the
図10は、通信装置10の起動時の動作シーケンスを示す、図5と対応するシーケンス図である。
この実施形態の通信装置10においても、管理サービスモジュール103から上位アプリケーション101に起動指示を行うまでの処理(S151〜S161)は、第1の実施形態で図5のステップS101〜S111に示した処理と同様である。
FIG. 10 is a sequence diagram corresponding to FIG.
Also in the
しかし、上位アプリケーション101は、ステップS161での起動指示に応じて起動した後、デバイスドライバ112に対して認証状態情報の問い合わせを行う。そして、デバイスドライバ112は、ステップS156において認証OKを認証アプリケーション102に返した後は、認証が成功している状態であると把握しているため、上位アプリケーション101からの問い合わせに対して、認証状態OKの応答を返す(S162,S163)。
However, after the
そしてその後、上位アプリケーション101は、自身の通信に関する機能を有効にする(S164)。すなわち、プロトコルスタック111に対して外部へのデータ送信を要求する状態に移行する。そしてこのことにより、通信装置10は、全体として、上位アプリケーション101が、必要に応じてプロトコルスタック111に通信を要求し、デバイスドライバ112を介して外部装置40とデータの送受信を行うことができる状態になる(S165〜S167)。
After that, the
なお、その後も、上位アプリケーション101が定期的にデバイスドライバ112に対して認証状態情報の問い合わせを行う、認証状態が変化した場合にデバイスドライバ112が変化後の状態を上位アプリケーション101に通知する、等により、上位アプリケーション101は、常時認証状態情報の監視を続ける。
After that, the
そして、デバイスドライバ112が通信I/F16のハードウェアを介して通信経路の遮断を検出し(S168)、上位アプリケーション101に対して認証状態NGの情報を報知すると(S169,S170)、上位アプリケーション101は、通信を停止する(S171)。すなわち、プロトコルスタック111に対して外部へのデータ送信を要求しない状態に移行する。
Then, when the
この状態では、プロトコルスタック111は、上位アプリケーション101からデータ送信を要求されないため、通信に関する動作は行わないようになる。従って、上位アプリケーション101は、認証アプリケーション102による認証が成功している状態でなくなると、自身の通信に関する機能を無効にすることにより、データリンク層より上位の階層のプロトコルを用いた通信の実行を禁止する機能を有すると言える。
また、上位アプリケーション101は、通信を停止した場合には管理サービスモジュール103にその旨を通知し(S172)、通信が回復した場合にプロトコルスタック111を再起動できるようにする。
In this state, the
Further, when communication is stopped, the
また、図には示していないが、上位アプリケーション101は、その後も認証状態情報の監視を続け、デバイスドライバ112から認証状態OKの情報を取得すると、再度、必要に応じてプロトコルスタック111に通信を要求し、デバイスドライバ112を介して外部装置40とデータの送受信を行うことができる状態に移行する。
また、管理サービスモジュール103も、上位アプリケーション101から通信を停止した旨の通知を受け取った場合には、認証情報の監視を再開し、デバイスドライバ112から認証状態OKの情報を取得すると、必要に応じて再度プロトコルスタック111を初期化する。
Although not shown in the figure, the
Also, when the
従って、上位アプリケーション101及び管理サービスモジュール103は、認証アプリケーション102による認証が成功している状態では、データリンク層より上位の階層のプロトコルを用いた通信の実行を許可する機能も有する。
すなわち、この実施形態においては、管理サービスモジュール103だけでなく、上位アプリケーション101も、通信制御手段として機能する。
Accordingly, the
That is, in this embodiment, not only the
次に、図11に、CPU11が管理サービスモジュール103を実行することにより行う処理のフローチャートを示す。
通信装置10の電源が投入されると、CPU11は、所要の初期処理の終了後、管理サービスモジュール103を実行することにより、図11のフローチャートに示す処理を開始する。
Next, FIG. 11 shows a flowchart of processing performed by the
When the
この図に示すステップS61〜S66の処理は、第1の実施形態で説明した図6のステップS11〜S16の処理と同様なものである。ただし、ステップS66で上位アプリケーション101を起動した後は、ステップS67で、上位アプリケーション101からの停止通知を監視する。そして、停止通知があると、ステップS68以降に進む。
The process of steps S61 to S66 shown in this figure is the same as the process of steps S11 to S16 of FIG. 6 described in the first embodiment. However, after the
この部分の処理は、ステップS63乃至S65の処理と同様なものであり、デバイスドライバ112から認証状態OKを受信した場合に、プロトコルスタック111を初期化するものである(S68〜S70)。ここでは、上位アプリケーション101は既に起動しているため、ステップS66のような起動処理は必要ない。
そして、ステップS70の後は、ステップS67に戻って処理を繰り返す。
The process of this part is the same as the process of steps S63 to S65. When the authentication state OK is received from the
And after step S70, it returns to step S67 and repeats a process.
また、図12に、CPU11がプロトコルスタック111を実行することにより行う処理のフローチャートを示す。なお、このフローチャートには、上位アプリケーション101の通信可否の制御に関する処理のみを示しており、上位アプリケーション101が提供するアプリケーションとしての機能に関する処理は、別途行うものとする。
通信装置10の電源が投入され、図11のステップS66の処理により上位アプリケーション101が起動されると、CPU11は、上位アプリケーション101を実行することにより、図11に示した処理とは別に、図12のフローチャートに示す処理を開始する。
FIG. 12 shows a flowchart of processing performed by the
When the
そして、ステップS81で上位アプリケーション101が提供する機能を実現するために必要な初期化処理を行う。そして、ステップS82でデバイスドライバ112に対して認証状態情報の問い合わせを行い、応答として認証状態OKを受信すれば、ステップS83からステップS84に進み、自身の通信に関する機能を有効にする。すなわち、外部装置40との間で通信を行う必要が生じた場合にプロトコルスタック111に対してその通信を行う要求を発する状態に移行する。
In step S81, an initialization process necessary for realizing the function provided by the
なお、問い合わせを行わなくてもデバイスドライバ112から認証状態情報を通知してくる場合には、ステップS82の処理を行わず、単にステップS83でその情報の内容について判断すればよい。また、通常は、ステップS81での初期化の直後は、ステップS83の判断はYESになると考えられる。
If the authentication status information is notified from the
一方、ステップS83で認証状態がOKでなければ、すなわちNGであれば、ステップS85以下に進む。そして、ステップS85で自身の通信に関する機能を停止する。すなわち、外部装置40との間で通信を行う必要が生じた場合でもプロトコルスタック111に対してその通信を行う要求を発しない状態に移行する。また、ステップS86で、管理サービスモジュール103にその旨を伝える停止通知を行う。
On the other hand, if the authentication state is not OK in step S83, that is, if it is NG, the process proceeds to step S85 and subsequent steps. In step S85, the function related to its own communication is stopped. That is, even when it is necessary to perform communication with the
その後、ステップS86及びS87で、ステップS83及びS84の場合と同様、認証状態を監視し、OKになると、ステップS84に戻って処理を繰り返す。問い合わせを行わなくてもデバイスドライバ112から認証状態情報を通知してくる場合に、ステップS87の処理を行わなくてよいことは、ステップS82の場合と同様である。
なお、このフローチャートに示す処理は、上位アプリケーション101が複数ある場合には、上位アプリケーション101毎に行う。
Thereafter, in steps S86 and S87, as in steps S83 and S84, the authentication state is monitored, and if OK, the process returns to step S84 and the process is repeated. Similar to the case of step S82, the process of step S87 need not be performed when the authentication status information is notified from the
The processing shown in this flowchart is performed for each
通信装置10においては、CPU11が以上のような図11及び図12に示した処理を行うことにより、認証アプリケーション102による認証処理が成功している状態では、通信装置10におけるデータリンク層より上位の階層のプロトコルを用いた通信の実行を許可し、認証処理が成功していない状態では、通信装置10におけるデータリンク層より上位の階層のプロトコルを用いた通信の実行を禁止する制御を行い、全体として、図10に示したような動作を実現している。
そして、このことにより、第1の実施形態の場合と同様な効果を得ることができる。
In the
And the effect similar to the case of 1st Embodiment can be acquired by this.
さらに、通信の許可/禁止の制御機能の一部を、通信要求を行う上位アプリケーション101に持たせたことにより、全てを管理サービスモジュール103に行わせる場合と比べ、制御の即時応答性を向上させると共に、処理負荷の集中を防止し、認証の状態に応じた通信の許可/禁止の制御をより厳密に行うことができる。
Furthermore, by providing a part of the control function for permitting / prohibiting communication to the
〔変形例〕
以上で実施形態の説明を終了するが、装置のハードウェア構成、ソフトウェア構成、具体的な処理内容、通信に使用するプロトコル等が、上述の実施形態で説明したものに限られないことはもちろんである。
例えば、第3の実施形態において、上位アプリケーション101が、認証状態がNGの間は自身の通信に関する機能を停止する例について説明したが、認証状態がNGになった場合に、自身を終了させ、その際にその旨を管理サービスモジュール103に通知するようにしてもよい。この場合、管理サービスモジュール103が認証状態を監視し、認証状態がOKに戻った場合に必要に応じて上位アプリケーション101を再起動するようにすればよい。
[Modification]
This is the end of the description of the embodiment, but it goes without saying that the hardware configuration, software configuration, specific processing content, protocol used for communication, and the like of the apparatus are not limited to those described in the above embodiment. is there.
For example, in the third embodiment, the example in which the
また、第2の実施形態で説明したプロトコルスタック111や、第3の実施形態で説明した上位アプリケーション101は、起動している状態でも、認証状態がOKでなければ、通信を行わない。そこで、起動管理や初期化タイミング管理のために管理サービスモジュール103を用いず、プロトコルスタック111に初期化タイミングを自律管理させたり、上位アプリケーション101を任意のタイミングで起動してしまい、通信の開始を上位アプリケーション101に自律管理させるようにすることも考えられる。
Further, the
その他、この発明を適用する通信装置の具体例は、MFPを始めとする画像処理装置には限られず、携帯情報端末,携帯電話装置,ネットワーク家電,自動販売機,医療機器,電源装置,空調システム,ガス・水道・電気等の計量システム,汎用コンピュータ,自動車,航空機等の電子装置にネットワークを介して外部装置と通信する通信機能を設けた、種々の通信装置が考えられる。
また、上述した各実施形態及び変形例の内容は、矛盾しない範囲で適宜組み合わせて適用することも可能である。
Other specific examples of communication devices to which the present invention is applied are not limited to image processing devices such as MFPs, but are portable information terminals, mobile phone devices, network home appliances, vending machines, medical devices, power supply devices, and air conditioning systems. Various communication devices can be considered in which electronic devices such as gas / water / electricity measuring systems, general-purpose computers, automobiles, airplanes, etc. are provided with a communication function for communicating with external devices via a network.
In addition, the contents of the above-described embodiments and modifications can be applied in appropriate combination within a consistent range.
以上説明してきたように、この発明の通信装置によれば、通信装置にネットワークを介した外部装置との通信を行わせる際の動作を安定させ、またセキュリティを向上させることができる。
従って、この発明を適用することにより、通信装置の安定性及びセキュリティを向上させることができる。
As described above, according to the communication device of the present invention, it is possible to stabilize the operation when the communication device performs communication with an external device via a network, and to improve security.
Therefore, by applying this invention, the stability and security of the communication device can be improved.
10:通信装置、11:CPU、12:ROM、13:RAM、14:表示部
15:操作部、16:通信I/F、17:システムバス、20:アクセスポイント、
30:認証サーバ、40:外部装置、50:認証局、101:上位アプリケーション、
102:認証アプリケーション、103:管理サービスモジュール、
110:OSカーネル、111:プロトコルスタック、112:デバイスドライバ、
113:ドライバインタフェース
10: communication device, 11: CPU, 12: ROM, 13: RAM, 14: display unit 15: operation unit, 16: communication I / F, 17: system bus, 20: access point,
30: Authentication server, 40: External device, 50: Certificate authority, 101: Upper application,
102: Authentication application, 103: Management service module,
110: OS kernel, 111: Protocol stack, 112: Device driver,
113: Driver interface
Claims (6)
物理インタフェースが前記ネットワークへ接続してデータ転送を行う許可を得るための認証処理を行う認証手段と、
前記認証手段による認証処理が成功している状態では、当該通信装置におけるデータリンク層より上位の階層のプロトコルを用いた通信の実行を許可し、前記認証処理が成功していない状態では、当該通信装置におけるデータリンク層より上位の階層のプロトコルを用いた通信の実行を禁止する制御を行う通信制御手段とを有することを特徴とする通信装置。 A communication device capable of communicating with an external device via a network,
An authentication means for performing an authentication process for obtaining permission for a physical interface to connect to the network and transfer data;
In a state where the authentication process by the authentication unit is successful, execution of communication using a protocol of a layer higher than the data link layer in the communication device is permitted, and in a state where the authentication process is not successful, the communication is performed. A communication apparatus comprising: a communication control unit that performs control to prohibit execution of communication using a protocol in a layer higher than a data link layer in the apparatus.
前記物理インタフェースのドライバに、前記認証手段による認証処理の状態を示す認証状態情報を前記通信制御手段に対して通知する手段を設けたことを特徴とする通信装置。 The communication device according to claim 1,
A communication apparatus, comprising: means for notifying the communication control means of authentication state information indicating a state of authentication processing by the authentication means to the driver of the physical interface.
前記物理インタフェースのドライバに、前記認証手段による認証処理の状態を示す認証状態情報を記憶する手段を設け、
前記通信制御手段に、前記ドライバから、前記認証状態情報を取得する手段を設けたことを特徴とする通信装置。 The communication device according to claim 1,
The physical interface driver is provided with means for storing authentication status information indicating the status of authentication processing by the authentication means,
A communication apparatus characterized in that the communication control means is provided with means for obtaining the authentication status information from the driver.
前記通信制御手段に、前記認証状態情報に基づいて、前記データリンク層より上位の階層のプロトコルを用いた通信を行うためのモジュールの起動及び停止を行う手段を設けたことを特徴とする通信装置。 The communication device according to claim 2 or 3,
A communication apparatus characterized in that the communication control means is provided with means for starting and stopping a module for performing communication using a protocol of a layer higher than the data link layer based on the authentication status information .
前記データリンク層より上位の階層のプロトコルを用いた通信を行うためのモジュールに、前記ドライバから、前記認証状態情報を取得する手段を設けたことを特徴とする通信装置。 The communication device according to claim 3,
A communication apparatus comprising: a module for performing communication using a protocol in a layer higher than the data link layer, and means for acquiring the authentication status information from the driver.
前記データリンク層より上位のプロトコルを用いた通信を行うためのモジュールに、前記ドライバから取得した前記認証状態情報に基づいて自身の機能による通信の可否を制御する手段を設けたことを特徴とする通信装置。
The communication device according to claim 5,
The module for performing communication using a protocol higher than the data link layer is provided with means for controlling whether or not communication by its own function is possible based on the authentication status information acquired from the driver. Communication device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006077294A JP4965144B2 (en) | 2006-03-20 | 2006-03-20 | Communication device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006077294A JP4965144B2 (en) | 2006-03-20 | 2006-03-20 | Communication device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007258816A true JP2007258816A (en) | 2007-10-04 |
JP4965144B2 JP4965144B2 (en) | 2012-07-04 |
Family
ID=38632659
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006077294A Active JP4965144B2 (en) | 2006-03-20 | 2006-03-20 | Communication device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4965144B2 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009065623A (en) * | 2007-09-10 | 2009-03-26 | Ricoh Co Ltd | Communication apparatus |
JP2012503903A (en) * | 2008-09-24 | 2012-02-09 | ファーウェイ デバイス カンパニー リミテッド | Wireless data card and method of operating wireless data card |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000003336A (en) * | 1998-06-16 | 2000-01-07 | Nec Corp | Method and system for user authentication in portable type data communication terminal |
JP2002073565A (en) * | 2000-09-04 | 2002-03-12 | Nec Corp | System and method for authenticating electronic equipment |
JP2002091300A (en) * | 2000-09-13 | 2002-03-27 | Nippon Telegr & Teleph Corp <Ntt> | Communication partner authentication method and authentication communication terminal using the same |
JP2002158799A (en) * | 2000-09-06 | 2002-05-31 | Maspro Denkoh Corp | Information repeater |
JP2004104512A (en) * | 2002-09-10 | 2004-04-02 | Nippon Telegr & Teleph Corp <Ntt> | Method and program for controlling communication and recording medium recorded with the program |
JP2004194098A (en) * | 2002-12-12 | 2004-07-08 | Ntt Docomo Inc | Communication device, radio communication terminal, communication system, communication method |
JP2004228799A (en) * | 2003-01-21 | 2004-08-12 | Ntt Docomo Inc | Gateway apparatus and network connection method |
WO2005015419A1 (en) * | 2003-08-12 | 2005-02-17 | Sony Corporation | Communication processing apparatus, communication control method, and computer program |
JP2005524341A (en) * | 2002-05-01 | 2005-08-11 | テレフォンアクチーボラゲット エル エム エリクソン(パブル) | SIM-based authentication and encryption system, apparatus and method for wireless local area network access |
JP2006005577A (en) * | 2004-06-16 | 2006-01-05 | Oki Electric Ind Co Ltd | Power saving method of wireless lan |
JP2006067057A (en) * | 2004-08-25 | 2006-03-09 | Furukawa Electric Co Ltd:The | NETWORK EQUIPMENT, Radius CLIENT, WIRED LAN AUTHENTICATION SYSTEM, AUTHENTICATION PACKET TRANSMISSION METHOD, CONTROL PROGRAM, RECORDING MEDIUM, AND SUPPLICANT |
WO2006046304A1 (en) * | 2004-10-29 | 2006-05-04 | Fujitsu Limited | Terminal security protective device, terminal security protective method, and terminal security protective program |
WO2006072978A1 (en) * | 2005-01-05 | 2006-07-13 | Fujitsu Limited | Authentication system in information processing device using mobile device |
JP2007193779A (en) * | 2005-12-15 | 2007-08-02 | Nvidia Corp | Single logic network interface for improved load distribution and failover function |
-
2006
- 2006-03-20 JP JP2006077294A patent/JP4965144B2/en active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000003336A (en) * | 1998-06-16 | 2000-01-07 | Nec Corp | Method and system for user authentication in portable type data communication terminal |
JP2002073565A (en) * | 2000-09-04 | 2002-03-12 | Nec Corp | System and method for authenticating electronic equipment |
JP2002158799A (en) * | 2000-09-06 | 2002-05-31 | Maspro Denkoh Corp | Information repeater |
JP2002091300A (en) * | 2000-09-13 | 2002-03-27 | Nippon Telegr & Teleph Corp <Ntt> | Communication partner authentication method and authentication communication terminal using the same |
JP2005524341A (en) * | 2002-05-01 | 2005-08-11 | テレフォンアクチーボラゲット エル エム エリクソン(パブル) | SIM-based authentication and encryption system, apparatus and method for wireless local area network access |
JP2004104512A (en) * | 2002-09-10 | 2004-04-02 | Nippon Telegr & Teleph Corp <Ntt> | Method and program for controlling communication and recording medium recorded with the program |
JP2004194098A (en) * | 2002-12-12 | 2004-07-08 | Ntt Docomo Inc | Communication device, radio communication terminal, communication system, communication method |
JP2004228799A (en) * | 2003-01-21 | 2004-08-12 | Ntt Docomo Inc | Gateway apparatus and network connection method |
WO2005015419A1 (en) * | 2003-08-12 | 2005-02-17 | Sony Corporation | Communication processing apparatus, communication control method, and computer program |
JP2006005577A (en) * | 2004-06-16 | 2006-01-05 | Oki Electric Ind Co Ltd | Power saving method of wireless lan |
JP2006067057A (en) * | 2004-08-25 | 2006-03-09 | Furukawa Electric Co Ltd:The | NETWORK EQUIPMENT, Radius CLIENT, WIRED LAN AUTHENTICATION SYSTEM, AUTHENTICATION PACKET TRANSMISSION METHOD, CONTROL PROGRAM, RECORDING MEDIUM, AND SUPPLICANT |
WO2006046304A1 (en) * | 2004-10-29 | 2006-05-04 | Fujitsu Limited | Terminal security protective device, terminal security protective method, and terminal security protective program |
WO2006072978A1 (en) * | 2005-01-05 | 2006-07-13 | Fujitsu Limited | Authentication system in information processing device using mobile device |
JP2007193779A (en) * | 2005-12-15 | 2007-08-02 | Nvidia Corp | Single logic network interface for improved load distribution and failover function |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009065623A (en) * | 2007-09-10 | 2009-03-26 | Ricoh Co Ltd | Communication apparatus |
JP2012503903A (en) * | 2008-09-24 | 2012-02-09 | ファーウェイ デバイス カンパニー リミテッド | Wireless data card and method of operating wireless data card |
US8612540B2 (en) | 2008-09-24 | 2013-12-17 | Huawei Device Co., Ltd. | Wireless data card and working method of the wireless data card |
Also Published As
Publication number | Publication date |
---|---|
JP4965144B2 (en) | 2012-07-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5078514B2 (en) | Communication device | |
US20230300585A1 (en) | Function Execution Device and Communication Terminal | |
US8417976B2 (en) | Image processing apparatus, communication system, control method thereof, and storage medium | |
US8941854B2 (en) | Image forming apparatus supporting peer-to-peer connection and method of forming images by authenticating user thereof | |
JP6123416B2 (en) | Communication device | |
US9614856B2 (en) | Image forming apparatus supporting peer-to-peer connection and access point operation and method of controlling peer-to-peer connection and access point operation thereof | |
US9230125B2 (en) | Image forming apparatus, printing method, and storage medium | |
JP4784877B2 (en) | Image forming apparatus and communication control method | |
US9608985B2 (en) | Image forming apparatus supporting peer-to-peer connection and method of controlling job authority thereof | |
US10108379B2 (en) | Information processing apparatus, method of controlling the same and storage medium | |
JP2007299136A (en) | Network access control system, terminal, address application device, terminal system authentication device, network access control method and computer program | |
JP4965144B2 (en) | Communication device | |
JP6686350B2 (en) | Computer program and relay device | |
CN114980225A (en) | Information processing apparatus, control method thereof, and storage medium | |
CN114980260A (en) | Information processing apparatus, control method thereof, and storage medium | |
US20230388916A1 (en) | Non-transitory computer-readable storage medium storing program and method | |
WO2023053839A1 (en) | Communication device, method, program, and system | |
JP2023037733A (en) | Communication apparatus, method for controlling communication apparatus, and program | |
JP2015146060A (en) | Information processing apparatus, control method for the same, and program | |
JP2016116225A (en) | Communication system, apparatus, communication method, and program | |
JP2010205225A (en) | Network setting system, network setting method, and program thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081120 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101202 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110111 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110314 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110517 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110715 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111011 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120327 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120329 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4965144 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150406 Year of fee payment: 3 |