JP2007329876A - デバイス制御装置及びそのネットワークセキュリティー方法 - Google Patents

デバイス制御装置及びそのネットワークセキュリティー方法 Download PDF

Info

Publication number
JP2007329876A
JP2007329876A JP2006161639A JP2006161639A JP2007329876A JP 2007329876 A JP2007329876 A JP 2007329876A JP 2006161639 A JP2006161639 A JP 2006161639A JP 2006161639 A JP2006161639 A JP 2006161639A JP 2007329876 A JP2007329876 A JP 2007329876A
Authority
JP
Japan
Prior art keywords
packet
filter
device control
control apparatus
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2006161639A
Other languages
English (en)
Inventor
Hideaki Oba
英朗 大場
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2006161639A priority Critical patent/JP2007329876A/ja
Publication of JP2007329876A publication Critical patent/JP2007329876A/ja
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Facsimiles In General (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】 制御装置が接続された状態においても、ネットワークセキュリティのフィルタ機能において、MACアドレスによる全パケットのフィルタ機能を実現するデバイス制御装置及びそのネットワークセキュリティー方法を提供する。
【解決方法】 ネットワーク及びデバイス装置と接続されるデバイス制御装置が、ネットワークセキュリティ機能であるパケットフィルタ機能を実現するフィルタドライバを有し、前記フィルタドライバは、前記デバイス制御装置が受信したいずれのネットワークパケットに対してもパケットフィルタ処理を行って、該パケットフィルタ処理を終了したネットワークパケットを通信プロトコルに対応する上位のスタックに出力する。
【選択図】 図4

Description

本発明はデバイス制御装置及びそのネットワークセキュリティー方法に関する。例えば、ネットワークデバイスとして画像形成装置が接続された印刷制御装置及びこれを含むネットワークシステムにおける、印刷制御装置のネットワークセキュリティならびにネットワークパケット転送に関するものである。
スキャナから入力される画像データを印刷するプリンタを備え、更に、通信インタフェースを備え、外部の機器、例えばホストコンピュータ等と通信してプリントジョブを受信可能な画像形成装置、いわゆる複合機が実用化されている。又、スキャナでスキャンしたデータをネットワーク上のコンピュータのハードディスクなどに直接保存する機能も実用化されてきている。更に、ホストコンピュータから複合機のスキャナにスキャンを実行させ、直接ホストコンピュータのハードディスクに保存する機能も実用化されてきている。
又、ネットワーク上のクライアントから、複合機の状態(アイドル状態やエラー状態など)をネットワーク上のホストコンピュータ上で取得したり、機器の設定を行ったりする機能も備えている。
このように、複合機が多種多様なネットワーク機能を実用化していることで、複合機は常にネットワークに接続され、ネットワークから送信されたデータにより様々な動作を行う。
他方で、ネットワーク上のホストコンピュータを使用しているユーザの全てが正常な方法で使用するユーザとは限らず、不正な方法で複合機を攻撃するユーザが存在することがある。そのため、このようなユーザから複合機を守る技術が必要である。又、ネットワーク上の制限事項を設け、ある一定の人のみに使用させたい場合もある。例えば、部内専用の複合機であり、部外のユーザに使用させたくない場合などである。
このようなユーザのニーズから、ネットワークフィルタ機能が実現されてきている。ホストとなるクライアントPCに割り当てられているアドレスを使用してパケット送信した場合に、複合機は受信したパケットの中に制限を掛けたアドレスが存在していた場合は、すぐに通信を終了して、制限されたユーザからの通信を全て破棄する。このように、ユーザの不正使用から複合機を守るフィルタ機能の仕組みが実現されている。現在、MACアドレス、IP、IPPortのフィルタ機能を実現する複合機が開発されている。
しかしながら、複合機に制御装置が付属した複合機システムにおいては、制御装置は複合機と外部ネットワークとの間に接続され、複合機は外部のネットワークに直接接続されなくなる。すなわち、制御装置が複合機の代わりに外部のネットワークに直接接続されるので、制御装置も複合機が保持しているフィルタ機能と同等の機能を実現できる必要がある。これは、制御装置が接された場合、ユーザにとってはセキュリティレベルが複合機だけの状態より低くなったことを意味する。
そこで、従来は、制御装置にも複合機と同様のフィルタ機能を搭載し、制御装置において、MACアドレスフィルタ、IPフィルタ、IPPortフィルタの機能を実現していた。しかし、従来のMACアドレスフィルタにおいては、IPパケットのみにMACアドレスのフィルタが実現でき、IP以外のプロトコル(IPXやAppletalkなど)には全く効果がない。従って、MACアドレスフィルタをかけたはずのMACアドレスでも、フィルタをされずに通信が正常に終了する不完全なものとなっていた。
尚、上記説明では、画像形成装置あるいは複合機を例に説明したが、上記問題は、ネットワークセキュリティーを必要とするネットワークデバイスに該ネットワークデバイスを制御する制御装置が接続する環境においても発生する問題である。
本発明は、制御装置がネットワークデバイスに接続された環境において、制御装置のネットワークフィルタのセキュリティがネットワークデバイスと比較して低いこと、ネットワークフィルタの機能が完全でない問題点を解決するものである。
本発明により、制御装置が接続された状態においても、ネットワークセキュリティのフィルタ機能において、MACアドレスによる全パケットのフィルタ機能を実現するデバイス制御装置及びそのネットワークセキュリティー方法を提供する。更に、MACアドレスフィルタ後のパケットフィルタを全プロトコルにおいて実現するデバイス制御装置及びそのネットワークセキュリティー方法を提供する。
かかる課題を解決するために、本発明のデバイス制御装置は、ネットワーク及びデバイス装置と接続されるデバイス制御装置であって、ネットワークセキュリティ機能であるパケットフィルタ機能を実現するフィルタドライバを有し、前記フィルタドライバは、前記デバイス制御装置が受信したいずれのネットワークパケットに対してもパケットフィルタ処理を行って、該パケットフィルタ処理を終了したネットワークパケットを通信プロトコルに対応する上位のスタックに出力することを特徴とする。
ここで、前記フィルタドライバのパケットフィルタ機能は、MACアドレスフィルタ処理の機能と、ネットワーク層のパケットフィルタ処理の機能と、トランスポート層のパケットフィルタ処理の機能と、アプリケーション層のパケットフィルタ処理の機能とのいずれかを含む。また、前記フィルタドライバは、前記MACアドレスフィルタ処理で廃棄されなかったパケットを、フィルタドライバ内部でネットワークプロトコルの上位のネットワーク層のパケットフィルタ処理、トランスポート層のパケットフィルタ処理、アプリケーション層のパケットフィルタ処理の順に送信して、MACアドレスフィルタでフィルタを掛け終わった前記パケットについても上位の各フィルタ処理を行う。また、前記パケットフィルタ処理のフィルタルールを設定するためのユーザインタフェースを更に有し、前記フィルタドライバは、前記ユーザインタフェースを介してユーザが入力したフィルタルールに基づいて、フィルタ処理を行なう。また、前記ユーザインタフェースはユーザが入力したフィルタルールをファイルとして保持するルールファイル保持手段を有し、前記フィルタドライバは、前記保持されたフィルタルールのファイルに基づいてフィルタ処理を行なう。また、前記フィルタドライバは、デバイス制御装置が送出したパケットか否かを監視するパケット監視手段を有し、前記パケット監視手段が、前記フィルタドライバが受信したパケットをデバイス制御装置が送信したパケットと判断した場合は、前記フィルタ処理を行わずにパケットを上位のスタックへ送信する。また、前記パケット監視手段は、前記パケットのパケットヘッダ部の情報を保持するパケットヘッダ保持手段と、前記フィルタドライバがパケットを受信した場合、前記パケットヘッダ保持手段により保存したパケットヘッダを参照して、前記パケットをデバイス制御装置が送信したと判断するパケット判断手段とを有する。また、前記デバイス制御装置は、IPマスカレードを使用した転送機能を有し、前記転送機能を実現するプログラムを持ち、前記フィルタドライバと前記プログラムはそれぞれが単体で動作可能である。また、前記転送機能の実行前に、前記フィルタドライバの処理を実行する。また、前記転送機能を実現するプログラムは、ユーザインタフェースからユーザが入力した転送設定情報を受信して、転送処理を切り替える。また、前記デバイス装置はプリント機能及び/又はスキャン機能を有する画像形成装置である。
又、本発明のデバイス制御装置の制御方法は、ネットワーク及びデバイス装置と接続されるデバイス制御装置の制御方法であって、前記デバイス制御装置が、ネットワークセキュリティ機能であるパケットフィルタ機能を実現するフィルタドライバを有し、前記フィルタドライバは、前記デバイス制御装置が受信したいずれのネットワークパケットに対してもパケットフィルタ処理を行って、該パケットフィルタ処理を終了したネットワークパケットを通信プロトコルに対応する上位のスタックに出力することを特徴とする。
ここで、前記フィルタドライバのパケットフィルタ機能は、MACアドレスフィルタ処理の機能と、ネットワーク層のパケットフィルタ処理の機能と、トランスポート層のパケットフィルタ処理の機能と、アプリケーション層のパケットフィルタ処理の機能とのいずれかを含む。また、前記フィルタドライバは、前記MACアドレスフィルタ処理で廃棄されなかったパケットを、フィルタドライバ内部でネットワークプロトコルの上位のネットワーク層のパケットフィルタ処理、トランスポート層のパケットフィルタ処理、アプリケーション層のパケットフィルタ処理の順に送信して、MACアドレスフィルタでフィルタを掛け終わった前記パケットについても上位の各フィルタ処理を行う。また、前記デバイス制御装置が、前記パケットフィルタ処理のフィルタルールを設定するためのユーザインタフェースを更に有し、前記フィルタドライバは、前記ユーザインタフェースを介してユーザが入力したフィルタルールに基づいて、フィルタ処理を行なう。また、前記ユーザインタフェースはユーザが入力したフィルタルールをファイルとして保持するルールファイル保持工程を有し、前記フィルタドライバは、前記保持されたフィルタルールのファイルに基づいてフィルタ処理を行なう。また、前記フィルタドライバは、デバイス制御装置が送出したパケットか否かを監視するパケット監視工程を有し、前記パケット監視工程で、前記フィルタドライバが受信したパケットをデバイス制御装置が送信したパケットと判断した場合は、前記フィルタ処理を行わずにパケットを上位のスタックへ送信する。また、前記パケット監視工程は、前記パケットのパケットヘッダ部の情報を保持するパケットヘッダ保持工程と、前記フィルタドライバがパケットを受信した場合、前記パケットヘッダ保持工程で保存したパケットヘッダを参照して、前記パケットをデバイス制御装置が送信したと判断するパケット判断工程とを有する。また、前記デバイス制御装置が、IPマスカレードを使用した転送機能を有し、前記転送機能を実現するプログラムを持ち、前記フィルタドライバと前記プログラムはそれぞれが単体で動作可能である。また、前記転送機能の実行前に、前記フィルタドライバの処理を実行する。また、前記転送機能を実現するプログラムは、ユーザインタフェースからユーザが入力した転送設定情報を受信して、転送処理を切り替える。また、前記デバイス装置はプリント機能及び/又はスキャン機能を有する画像形成装置である。
更に、上記デバイス制御装置の制御方法を実現するコンピュータ実行可能なプログラム、及び該プログラムをコンピュータ読出し可能な形態で記憶する記憶媒体を提供する。
又、本発明のデバイス制御ネットワークシステムは、周辺装置であるデバイス装置と、該デバイス装置の動作を指示するクライアント端末と、少なくとも2つのネットワークインタフェースを介して前記クライアント端末とデバイス装置とに接続されるデバイス制御装置とを有するデバイス制御ネットワークシステムであって、前記デバイス制御装置が、ネットワークセキュリティ機能であるパケットフィルタ機能を実現するフィルタドライバを有し、前記フィルタドライバは、前記デバイス制御装置が受信したいずれのネットワークパケットに対してもパケットフィルタ処理を行って、該パケットフィルタ処理を終了したネットワークパケットを通信プロトコルに対応する上位のスタックに出力することを特徴とする。
ここで、前記フィルタドライバのパケットフィルタ機能は、MACアドレスフィルタ処理の機能と、ネットワーク層のパケットフィルタ処理の機能と、トランスポート層のパケットフィルタ処理の機能と、アプリケーション層のパケットフィルタ処理の機能とを含み、前記フィルタドライバは、前記MACアドレスフィルタ処理で廃棄されなかったパケットを、フィルタドライバ内部でネットワークプロトコルの上位のネットワーク層のパケットフィルタ処理、トランスポート層のパケットフィルタ処理、アプリケーション層のパケットフィルタ処理の順に送信して、MACアドレスフィルタでフィルタを掛け終わった前記パケットについても上位の各フィルタ処理を行う。
又、本発明のネットワークセキュリティー方法は、周辺装置であるデバイス装置と、該デバイス装置の動作を指示するクライアント端末と、少なくとも2つのネットワークインタフェースを介して前記クライアント端末とデバイス装置とに接続されるデバイス制御装置とを有するデバイス制御ネットワークシステムにおけるネットワークセキュリティー方法であって、前記デバイス制御装置が、ネットワークセキュリティ機能であるパケットフィルタ機能を実現するフィルタドライバを有し、前記フィルタドライバは、前記デバイス制御装置が受信したいずれのネットワークパケットに対してもパケットフィルタ処理を行って、該パケットフィルタ処理を終了したネットワークパケットを通信プロトコルに対応する上位のスタックに出力することを特徴とする。
ここで、前記フィルタドライバのパケットフィルタ機能は、MACアドレスフィルタ処理の機能と、ネットワーク層のパケットフィルタ処理の機能と、トランスポート層のパケットフィルタ処理の機能と、アプリケーション層のパケットフィルタ処理の機能とを含み、前記フィルタドライバは、前記MACアドレスフィルタ処理で廃棄されなかったパケットを、フィルタドライバ内部でネットワークプロトコルの上位のネットワーク層のパケットフィルタ処理、トランスポート層のパケットフィルタ処理、アプリケーション層のパケットフィルタ処理の順に送信して、MACアドレスフィルタでフィルタを掛け終わった前記パケットについても上位の各フィルタ処理を行う。
本発明は、制御装置がネットワークデバイスに接続された環境において、制御装置のネットワークフィルタのセキュリティがネットワークデバイスと比較して低いこと、ネットワークフィルタの機能が完全でない問題点を解決するものである。
かかる本発明により、制御装置が接続された状態においても、ネットワークセキュリティのフィルタ機能において、不完全であったMACアドレスフィルタを完全に実現することが可能となった。よって、本発明により、MACアドレスによる全パケットのフィルタ機能を実現することが出来る。更に、MACアドレスフィルタ後のパケットフィルタを全プロトコルにおいて実現することが可能である。
又、制御装置自身が送信したパケットに対して、フィルタ機能を適用することなくいつでも受信可能なため、フィルタにより制御装置自身の送信するデータに制限が無い構成を実現できる。例えば、印刷制御装置のように、画像形成装置の前に接続されて、印刷制御装置で受信したパケットを画像形成装置に送信するIPマスカレードの構成を使用する場合においても、転送するパケットのフィルタも可能である。且つ、画像形成装置が送信したパケットに関しては、フィルタを掛けることを行うことも行わないことも出来る構成を実現できる。
以下、添付図面を参照して、本発明の実施形態を詳細に説明する。尚、本実施形態では、プリント機能及びスキャン機能を有する画像形成装置(複合機)に接続する印刷制御装置を例にその構成及び動作を説明する。しかし、本発明の技術は、かかる構成に限定されず、ネットワークセキュリティーを必要とするネットワークデバイスとその制御装置に適用される。
<本実施形態の概要>
本実施形態では、IPパケット以外のパケット全てに関して、MACアドレスフィルタを実現する。又、これらのフィルタは、印刷制御装置が送信したパケットについてはフィルタルールを除外するように実装する。更に、印刷制御装置では、画像形成装置に対する通信が印刷制御装置に送信された場合、画像形成装置に転送を行う仕組みを実現しており、この仕組みにもMACアドレスフィルタや、その他のプロトコルによるフィルタをかける必要がある。更に、MACアドレスフィルタでフィルタルールに合致したパケットに関しては、その次のネットワークレベルのフィルタルールに合致するかを確認できるように、フィルタを実装する必要がある。例として、MACアドレスフィルタのみのフィルタにならずに、MACアドレスフィルタを通過した場合はIPフィルタを行ない、IPフィルタを通過した場合はIPPORTフィルタを行う。
<本実施形態の印刷制御装置を含む印刷システムの構成例>
図1は、本実施形態の印刷制御装置を含む印刷システムの接続図である。
図1の印刷システムは、LAN5001に接続されるクライアント端末5009と、印刷制御装置201を介してLAN5001に接続される画像形成装置5007(本例では、スキャナを搭載する複合機)とを含む。
印刷制御装置201は、コネクタ202によりLAN5001に接続され。コネクタ203により内部LAN204及びネットワークインタフェース5008を介して画像形成装置5007に接続される。
クライアント端末5009は汎用パーソナルコンピュータ(PC)でよく、LAN5001,印刷制御装置201及び内部LAN204を介して、画像形成装置5007に対してコマンドを送り、プリント制御やスキャン制御を指示する。
<本実施形態の印刷制御装置の構成例>
図2Aは、印刷制御装置201の概略構成例を示すブロック図である。
図2Aにおいて、202及び203は前述のコネクタである。101は、図1のLAN5001との低位レイヤレベルの接続を司る第1のネットワークインタフェースとしてのNIC(Network Interface Card)部である。102は、受信したPDL等の印刷言語あるいは特定の(JBIGなどで圧縮された)データフォーマットをラスタイメージ化するためのRIP処理部である。103は、ラスタイメージ化されたデータを画像形成装置5007がサポートする形式の印刷データあるいはデータフォーマットに変換するためのエンコード部である。104は、内部LAN204との低位レイヤレベルの接続を司る第2のネットワークインタフェースとしてのNIC部である。
105は、NIC部101で受信した印刷データを一時的に保管(スプール)しておくためのハードディスクドライブ(HDD)部である。106は、RIP部102が画像展開処理に利用するための第1メモリ部である。
107は、印刷制御装置全体の制御を司るCPU部である。108は、CPU部107がデータ一時保存領域として利用する第2メモリ部である。109は、ボタンやキー、タッチパネル等を有し、印刷制御装置のオペレーションを行うための操作部110である。110は、オペレータに画像や文字によって情報を伝えるための表示部である。尚、CPU部107は、HDD部105に記憶されたプログラムを第2メモリ部108にロードして実行することで、装置の制御を司る。又、CPU部107がプログラムを格納するROMなどを有してもよい。
尚、図2Aでは、CPU部107と他の処理部を分離して示したが、他の処理部がCPU部107の実行するプログラムにより、その全部あるいは一部が実現される構成でもよい。
(クライアント端末から印刷制御装置へのデータパケット送信手順)
クライアント端末5009から印刷制御装置201へのデータパケットは、LAN5001を伝搬され、コネクタ202を介して印刷制御装置201へ取り込まれる。印刷制御装置201の内部においては、NIC部101によってデータパケットの受信処理が行われる。NIC部101で受信したデータパケットは、TCP/IPプロトコルに準じたデータパケット(TCP或いはUDP(User Datagram Protocol)パケットが使われている)である場合、パケットのヘッダ情報部に宛先ポート番号が含まれている。
宛先ポート番号は、パケットを受け取った装置のどのプログラム/プロセスにデータを送るべきかを示す情報であるため、通信プロトコルやプログラム毎に異なるポート番号が割り振られている。例えば、FTP(File Transfer Protocol)=Port21, SMTP(Simple Mail Transfer Protocol)=Port25, SNMP=Port161)とする。そのため、受信したデータパケットのヘッダに含まれるポート番号を調査して印刷処理に対応するポート番号かどうかを判定することによって、そのパケットが印刷データなのか制御データ等他のデータなのかを判定することが可能である。本実施形態において第1の判断手段としても機能するNIC部101は、受信したデータパケットのヘッダから宛先ポート番号を抽出して、宛先ポート番号に基づいてデータパケットが印刷データなのか、制御データなのかを判定する。
もしここで印刷データと判定された場合は、CPU部107の制御により、必要に応じてHDD部105へ受信データの書き込みが行われる。これはデータの転送速度を向上させること等を目的として一般的に行われているキューイング(スプール)である。HDD部105に記憶されたデータは、CPU部107の指示によってRIP処理部102から読み出される。一方、キューイングが行われなかった印刷データは、CPU部107の指示によって直接RIP処理部102へ転送される。
こうしてRIP処理部102へ送られた印刷データは、RIP処理部102でラスタイメージ化処理が行われる。続いて、第2の判定手段及びデータ形式変換手段として機能するエンコード部103で、予め設定されている画像形成装置5007が解釈可能なデータ形式と、受信したデータの形式とに基づいて、画像形成装置5007が解釈可能なデータ形式へのエンコードが行われる。尚、画像形成装置5007が解釈可能なデータ形式は、通信によって画像形成装置5007から取得したもの、操作部109から指定された等によるものでもよい。このエンコード処理は必要に応じて行われるため、受信した印刷データの形式がそのままでも画像形成装置5007で解釈可能な場合など、エンコードの必要がなければスキップしてもよい。エンコード後のデータは画像形成装置が解釈可能な形式である必要がある。例えばその形式は、特定の印刷言語形式や、又はJBIG等特定の方法で圧縮されたデータフォーマット等、画像形成装置5007が内蔵する解釈手段の能力によって変化する。
こうして必要に応じてエンコードされたデータは、内部LAN204へ送信するために第1の出力手段としても機能するNIC部204によって再びデータパケット化され、コネクタ203から送出される。データパケットは、内部LAN204及びネットワークインタフェース5008を介して画像形成装置5007へ送られる。このデータパケットを受信した画像形成装置5007は、自身が有する印刷処理手順に則り、紙などの記録媒体への印刷処理を行う。
(画像形成装置からクライアント端末へのデータパケット送信手順)
画像形成装置5007からクライアント端末5009へ、スキャナからスキャンした画像データを送信する場合、ネットワークインタフェース5008よりデータパケットが内部LAN204に送出され、コネクタ203に到達する。データパケットを受信した印刷制御装置201では、データパケットの宛先を判断する。クライアント端末5009宛てのデータパケットである場合、コネクタ202よりLAN5001へ送出され、クライアント端末5009にデータパケットが到達する。
(印刷制御装置の記憶構成例)
図2Bは、図2AのHDD105又は第2メモリ部108に記憶されるプログラム及びデータの構成例を示す図である。尚、図2Bには、本実施形態に関連深いプログラム及びデータのみを示し、他は省略している。
2000は本印刷制御装置の基礎的な制御を行なうシステムプログラムである。かかるシステムプログラム2000には、以下のプログラムが含まれる。2001はOSなどの基礎プログラムである。2002はLAN5001を介してクライアント端末5009と通信し、内部LAN204を介して画像形成装置5007と通信するための通信制御プログラムである。2003は画像データを処理する画像データ処理プログラムである。クライアント端末5009より受信した画像データから画像形成装置5007へ送信する画像データへの画像処理を行なう。あるいは、画像形成装置5007のスキャナから受信した画像データからクライアント端末5009へ送信する画像データへの画像処理を行なう。
2004はユーザインタフェースを制御するユーザインタフェース・プログラムである。本例では、後述のルール設定プログラム(図5参照)に従って、ユーザと対話しながらフィルタルールの設定を行なう。2005は本実施形態の各種フィルタを実現するフィルタドライバ・プログラムである。後述の図12に、本実施形態の主要部分が示されている。2006はその他のシステムプログラムであり、例えば図4に示す画像形成装置5007へのデータ転送を制御するFORWARDなどが含まれる。
2010は本印刷制御装置の動作のためのアプリケーションプログラムである。かかるアプリケーションプログラムには、例えば図4における「フィルタドライバ504」と「FORWARD」を除くプログラムが含まれてよい。
2020は各フィルタのデフォルトルールを記憶する領域である。2021はユーザによりユーザインタフェースを介して設定された設定ルールファイルである。設定ルールファイル2021には、MACアドレスファイル、ネットワーク層ファイル、トランスポート層ファイル、転送ルールファイル等が含まれる。2022は現在の使用フィルタルール及びルールに合致したか否かを示すフィルタルールフラグである。
以上の各プログラム及びデータは、HDD部105に記憶される。一方、以下のプログラム及びデータは第2メモリ部108に記憶領域が確保される。尚、フィルタルールフラグ2022は第2メモリ部108に確保されてもよい。
2030はNIC部101又は104で受信した受信パケットの記憶領域である。2031は受信パケットが画像データを含む場合の受信画像データの記憶領域である。2032はNIC部101又は104で送信する送信パケットの記憶領域である。2033は送信パケットが画像データを含む場合の送信画像データの記憶領域である。
2040はCPU部107が実行するためにHDD105からロードするプログラムを記憶するプログラムロード領域である。
<本実施形態の画像形成装置の構成例>
図3は、画像形成装置5007の構成例を示すブロック図である。
図3において、本実施形態の画像形成装置は、画像形成装置本体301と画像入出力制御部305で構成される。
画像形成装置本体301は、操作部302、リーダ部(スキャナ)303、プリンタ部304から構成される。操作部302は、画像形成装置本体301及び画像入出力制御部305を操作するために使用する。リーダ部303は、原稿の画像を読み取り、原稿画像に応じた画像データをプリンタ部304及び画像入出力制御部305へ出力する。プリンタ部304は、リーダ部303及び画像入出力制御部305からの画像データに応じた画像を記録紙上に記録する。
画像入出力制御部305は、リーダ部303に接続されており、インタフェース部306、画像メモリ307、制御部308、ハードディスク(HDD)309から構成される。インタフェース部に5008が接続されている。
なお、ハードディスク(HDD)309には、画像形成装置の設定が保存されている(例えばアドレス帳、操作履歴、ユーザ設定、ID設定、ネットワーク設定)。
インタフェース部306は、印刷制御装置201と制御部308の間のインタフェースである。このインタフェース部306は、印刷制御装置201から転送された画像を表すコードデータをプリンタ部304で記録できる画像データに展開して制御部308に渡す。なお、インタフェース部306は、イーサネット(登録商標)等のネットワークインタフェースであって、印刷制御装置201とネットワークを介して接続される構成であってもよい。又、パラレルインタフェース,USBインタフェース等のインタフェースであって、印刷制御装置201とインタフェースケーブル等を介して直接接続される構成であってもよい。
制御部308は、CPU,ROM,RAM等により構成される。この制御部308のCPUがROM又は他の記憶媒体に格納されたプログラムをRAM上にロードして実行し、リーダ部303,インタフェース部306,画像メモリ307等のそれぞれの間のデータの流れを制御する。なお、HDD309の代わりに、電源を落としてもデータが消去されないその他の不揮発性メモリを設けて、該不揮発性メモリにデータを保存しておく構成であってもよい。
<本実施形態の印刷制御装置の動作例>
(動作の概観)
図4は、本実施形態の印刷制御装置の動作例の概観を示した図である。図4の各構成要素は基本的にはソフトウエアモジュールに対応し、図の下から上に階層構造に構成されている。印刷制御装置での受信パケットは、図の下から上に渡される。
印刷制御装置501に、ユーザがMACアドレスフィルタの情報を入力する。かかるユーザからの情報入力については、図5乃至図11を参照して以下に説明される。本実施形態では、MACアドレスフィルタを行う場合は、許可のみを登録することが出来、許可していないものを全てを拒否する設定ルールで、説明を行う。この設定ルールについては、許可と拒否どちらとも登録可能にしてもよいし、デフォルトルール(許可、禁止)を用意して、登録していないものはデフォルトルールに従う形式にしてもよい。
図4のNIC503にて、受信したパケットは、フィルタドライバ504に送信される。フィルタドライバ504では、印刷制御装置201のユーザインタフェースからユーザが設定したフィルタ情報を出力したファイル502から、フィルタ情報を予め取得している。このフィルタ設定により、ルールに適応しないパケットは破棄して上部へ送信しない。上部に送信可能なパケットのみ、RAWレベル受信部505に送信される。
RAWレベル受信部505では、ユーザ空間にあるRAWレベルアプリケーション506に送信するべきパケットを送信する。RAWレベルアプリケーション506の前にフィルタを掛けることによって、ユーザ空間上のRAWレベルアプリケーション506にも、同じフィルタルールでパケットをフィルタすることができる。
RAWレベル受信部505は、次の振り分け部507に送信する。振り分け部507では、ネットワーク層のプロトコルによってそれぞれ上位のプロトコルスタックに割り振る。IPXの場合は、IPXプロトコルスタック508に伝達され、ユーザ空間上のIPXアプリ509に送信される。又、Appletalkだった場合は、Appletalkプロトコルスタック510に送信され、ユーザ空間上のAppletalkのアプリ511に送信される。その他のネットワークプロトコルに関しても同様であり、IPXなどのフィルタについても既にフィルタドライバでフィルタ処理を行っており、フィルタドライバより上位のプロトコルスタックやアプリでフィルタを行う必要は無い。
IPの場合は、IPプロトコルスタック512に送信される。IPプロトコルスタック512は、FORWARD部513へ送信する。FORWARD部513は、IPマスカレードにより画像形成装置5007へ転送すべきパケットかどうかを判別する。この画像形成装置5007に転送するパケットの判断は、ユーザがユーザインタフェースから設定した転送情報を取得して、OSに転送情報を設定しておく。そのため、IPパケットで画像形成装置5007に転送すべきパケットの場合は、Port部514に送信するのでなく、画像形成装置5007に転送する。画像形成装置5007に転送すべきパケットでない場合は、Port部514に送信され、Port部514では、ユーザ空間のアプリケーション515にパケットを送信する。
従来は、512,508,510の階層にて、MAC/IP/IPPORTのそれぞれのフィルタを掛ける仕組みだったため、MACアドレスフィルタはIPプロトコルスタック512にきたパケットにしか効かない。又、ユーザ空間のRAWレベルアプリケーション506には、MAC/IP/IPPORTのいずれのフィルタも効かないので、各RAWレベルアプリケーション506内にそれぞれフィルタを実装していた。
これに対して、図4の本実施形態の構成によれば、フィルタドライバ504で各階層のフィルタをすませるので、MACアドレスフィルタを全ての受信パケットにかけられると共に、上位階層のためのフィルタも同時にかけられる。
ここで、フィルタドライバ504は、OS(図2Bの2001)にバイパスのように組み込むように構成する。すなわち、NIC503から上位に流れていく経路の前に、フィルタドライバ504を通るように組み込む。具体的には、例えばWindows(登録商標)の場合は、NDISという層とIPスタックの間にフィルタドライバ504をHookingすることで実現する。又、Linuxの場合には、NIC503のドライバからパケットを取得した直後にCallされる関数の呼び先を、フィルタドライバ504に変更することで実現する。
(フィルタルールの設定手順例)
図5は、図4では502で示したユーザインタフェースからのフィルタルールの設定手順例を示すフローチャートである。すなわち、ユーザによるMACアドレスの登録から、MACアドレスフィルタにユーザが設定したルールが有効になるまでのフローである。
ステップS1000にて、ユーザは、MACアドレスフィルタのルールを追加するため、MACアドレスフィルタの対象となるホストコンピュータ(クライアント端末)のMACアドレスを、印刷制御装置のユーザインタフェースから入力する。ユーザが使用するユーザインタフェースについては、ユーザがMACアドレスを入力するための実施形態を図6以降の表示画面例を用いて説明する。
ステップS1001で、ユーザから入力された値をファイルにする。ファイルにすることで、図4のように、パケットフィルタを行うフィルタドライバ504やFORWARDするプログラム513に、この情報を伝達することが出来る。 (ルールファイルの例)
ファイルの一例を図11に示す。ファイルには、まず、デフォルトルールを記す。本例では、MACアドレスフィルタに設定された場合はルールは許可になるため、"permit"と記す。もし、拒否になる場合は"drop"と書き、最後にデフォルトルールを記述してもよい。ルールを記述した後、ユーザがユーザインタフェースから設定したMACアドレスの情報を羅列する。図11では、MACアドレスに特化している。しかし、IPアドレスや、IPPORTフィルタ、Appleフィルタ、IPXフィルタなどの他のフィルタ設定も、MACアドレスフィルタと同様の手順で可能である。しなわち、ユーザインタフェースからユーザにより入力された値をファイルにする。
図5のフローチャートに説明を戻す。ステップS1002にて、ファイルが生成されたことを確認し、ファイルの内容を確認する。作成されたファイルの内容が正常である場合、ステップS1003へ進む。内容が正常でない場合はユーザに報知し、ファイルを修正するようにしても良い。
ステップS1003にて、生成されたファイルからMACアドレスルール情報を抽出して、フィルタドライバ504へ伝達する。上述のように、フィルタドライバ504はOSの中に配置され、NIC503のドライバの上部に配置され、NIC503に伝達されたパケットを次に取得する。MACアドレスフィルタ以外のフィルタ(IPフィルタ、IPPORTフィルタ、IPXフィルタなど)に関しても同様にルールファイルを作成し、フィルタドライバ504に伝達する(割り込み処理を使用する)。このフィルタドライバ504で全てのネットワークフィルタを有効にする。フィルタドライバ504は、パケットのフィルタを専門に行うプログラムであり、設定ファイルが存在しないとき(ファイルの中が空だった場合なども)には動作を停止することも可能とする。
ステップS1004にて、フィルタドライバ504は、ステップS1003にて伝達されたMACアドレスのルール情報を使用して、受信したパケットに対してMACアドレスフィルタを開始する。
本実施形態ではMACアドレスフィルタに特化して説明したが、受信したネットワークパケットの全ての情報にて、フィルタを掛けることが可能である。実施形態としては、MACアドレスフィルタ同様、ユーザインタフェースからユーザが入力したフィルタ情報を取得して、フィルタドライバ504にこのルールを伝達する。フィルタドライバ504では、取得したパケットからルールにマッチするものを通過、ルールにマッチしないものを破棄させることで、対応が可能である。例としてマルチキャストパケットフィルタや、IPv6フィルタ、httpのCookieフィルタなどが考えられる。
各フィルタのルールの適応順番は、MACアドレスフィルタ、ネットワーク層のプロトコル(IP、IPX、APPLETALKなど)、トランスポート層のプロトコルという、OSIの低い階層から高い階層に行う(図12参照)。よって、MACアドレスフィルタでフィルタできなかったパケットを、IPフィルタでフィルタを行うことも可能である。
(フィルタルール設定のユーザインタフェース例)
図5のステップS1000でフィルタルールを入力するためのユーザインタフェースの表示画面例を図6乃至図10に示す。
図6は、MACアドレスフィルタの設定メイン画面601である。設定メイン画面601は、追加ボタン602、削除ボタン603、編集ボタン604、閉じるボタン605から構成される。
追加ボタン602を押下すると、MACアドレスフィルタのルールに新たなMACアドレスを追加することが出来る。このとき、予め設けられているMACアドレスの登録最大値にMACアドレスの登録数が到達していた場合は、登録がこれ以上できないため、登録できないことをユーザに通知するダイアログ等を表示しても良い。又、登録数が最大値に到達していた場合は、追加ボタンを押下できないようにしたり、グレーアウトしたりしても良い。更には、設定メイン画面601が表示されたときに、最大数に達したことを通知しても良い。
追加ボタン602を押下すると、図7のMACアドレスフィルタの追加画面701へ遷移する。追加画面701は、MACアドレス表示領域702、0−9,a−f及び右左矢印のボタン群703、OKボタン704、キャンセルボタン705から構成される。ユーザは、ボタン群703のいずれかを押下することで、MACアドレス表示領域702に、各ボタンに示された値を入力することが出来る。入力を誤った場合などに入力値を変更したい時は、左右の矢印ボタンを押下することで、入力場所を変更することが出来る。本例では値の入力方法は上書きの形式になっているが、既に入力された文字を削除するボタンを用意してもかまわない。MACアドレス表示領域702に対象となるMACアドレスを入力した後、OKボタン704を押下することで図6へ戻り、入力したMACアドレスを、MACアドレスフィルタする条件として登録することが出来る。このとき、MACアドレスとして適切でない値が入力された場合は、入力が不正であることをユーザに伝えるためにダイアログ等を表示して、追加画面701に留まる。あるいは、設定メイン画面601に遷移しても良い。キャンセルボタン705を押下することで、MACアドレスフィルタの追加画面701から登録せずに図6の設定メイン画面601戻ることが出来る。
図6の削除ボタン603を押下することで、ユーザは登録していたMACアドレスのフィルタルールを削除することが出来る。削除ボタン603を押下すると、図8のMACアドレスの削除画面801に遷移する。もしMACアドレス情報が何も設定されていない場合は、登録されていないことをユーザに通知するダイアログを表示しても良いし、削除画面801の表示時にMACアドレスルールを表示する場所に何も表示しない方法でも良い。図8の削除画面801は、登録済みMACアドレス表示領域802と、OKボタン803と、キャンセルボタン804から構成される。ユーザは、登録済みMACアドレス表示領域802から削除を希望するアドレスを選択し、OKボタン803を押下することでアドレスを削除することが出来る。削除後は、アドレスを削除したことを通知するダイアログ等を表示してもよい。削除が終わると、図6の設定メイン画面601へ戻る。削除をせずに終了する場合は、キャンセルボタン804を押下することで、削除をなしに図6の設定メイン画面601へ戻る。
ユーザが入力されたMACアドレスを変更した場合には、図6で編集ボタン604を押下する。編集ボタン604を押下したときに、もしMACアドレス情報が何も設定されていない場合は、登録されていないことをユーザに通知するダイアログを表示してもよい。編集ボタン604を押下すると、図9のMACアドレスの編集画面901が表示される。編集画面901は、登録済みMACアドレス表示領域902と、OKボタン903と、キャンセルボタン904から構成される。ユーザは、登録済みMACアドレス表示領域902から編集を希望するアドレスを選択し、OKボタン903を押下することで、図10のアドレス編集画面1001へ遷移する。
図10のアドレス編集画面1001は、MACアドレス表示領域1002、0−9,a−f及び右左矢印のボタン群1003、OKボタン1004、キャンセルボタン1005から構成される。ユーザは、ボタン群1003のいずれかを押下することで、MACアドレス表示領域1002に各ボタンに示された値を入力することが出来る。入力を編集する場合や入力値を変更したい場合は、左右の矢印ボタンを押下することで、入力場所を変更することが出来る。本例では値の入力方法は上書きの形式になっているが、既に入力された文字を削除するボタンを用意してもかまわない。MACアドレス表示領域1002に対象となるMACアドレスを入力した後、OKボタン1004を押下することで、図6へ戻る。ここで、図9へ遷移するボタンを設けて、連続で繰返し編集が可能なようにしてもかまわない。
図9にて編集をせずに終了する場合は、キャンセルボタン904を押下することで、図6の設定メイン画面601へ削除をなしに遷移する。本例の説明では、MACアドレスに特化している。しかし、IPアドレスや、IPPORTフィルタ、Appleフィルタ、IPXフィルタなどの他のフィルタ設定に関しても、同様の手順で、ユーザインタフェースから値を設定することが可能である。
図6でMACアドレスの入力作業が終了すると、ユーザは、閉じるボタン605を押下することで、MACアドレスの入力画面を終了させることが出来る。登録、削除、編集を繰り返すことで、ユーザはMACアドレスフィルタのフィルタルールを入力することができる。
(フィルタドライバの動作手順例)
次に、図12のフローチャートに従って、フィルタドライバ504の概略動作手順例を説明する。
フィルタドライバ504が起動するとパケットの受信を始める。パケットを受信するとステップS2000へ遷移する。ステップS2000では、パケットを受信した場合にフィルタ設定が有効であるかどうかを確認し、有効であった場合にステップS2001に遷移する。有効で無い場合は上部へ転送し再度パケットの受信を行う(図示無し)。
ステップS2001では、受信したパケットが印刷制御装置201自身が送信したパケットであるかを確認する。確認方法は次のようである。印刷制御装置201自身が送信したパケットを送信時に常に監視するプログラムが、フィルタドライバ内もしくは他の場所に存在する。そして、このプログラムが、独自の印刷制御装置201の送信パケットテーブルを作成し、このテーブルに印刷制御装置201が送信したパケットを登録する。この登録された送信パケットのテーブル上のデータは、一定時間がたつとフラッシュされる。又、送信パケットが同じアプリケーションによるものであり、同じ通信先であった場合は、テーブル上のデータをフラッシュする時間を延長更新する。ステップS2001では、このテーブルを確認して、印刷制御装置が送信したパケットに関する通信先ノードによるリプライパケットだった場合、ステップS2006へ遷移してフィルタせずに上位に送信する。上位とは、図4のRAWレベルパケット取得部505のことである。
印刷制御装置201自身が送信したパケットで無かった場合は、ステップS2002でMACアドレスフィルタ部へ送信される。ステップS2002では、受信パケットのMACアドレスをユーザにより設定されたMACアドレスのルール情報と比較する。MACアドレスのフィルタルールと合致しなかった場合はステップS2003に遷移し、受信したパケットを廃棄してこの受信パケットの通信ノードとの通信を遮断する。その後、次のパケットの受信処理を待つ。
MACアドレスフィルタのルールと合致した場合は、ステップS2004に遷移し、ネットワーク部のパケットフィルタを行う。ステップS2004では、受信パケットのネットワーク部のアドレスをユーザにより設定されたネットワーク層のアドレスルール情報と比較する。ネットワーク層のアドレスのフィルタルールと合致しない場合はステップS2003に遷移し、受信したパケットを廃棄して、この受信したパケットの通信ノードとの通信を遮断する。その後、次のパケットの受信処理を待つ。
ネットワーク層のアドレスフィルタのルールと合致した場合はステップS2005に遷移し、トランスポート部のフィルタを行う。ステップS2005では、受信パケットのトランスポート部のアドレスをユーザにより設定されたトランスポート層のアドレスのルール情報と比較する。トランスポート層のフィルタルールと合致しない場合はステップS2003に遷移し、受信したパケットを廃棄しこの受信したパケットの通信ノードとの通信を遮断する。その後、次のパケットの受信処理を待つ。
トランスポート層のアドレスフィルタのルールと合致した場合はステップS2006に遷移し、受信したパケットを上位に送信する。すなわち、上位に送信した場合は、全てのフィルタのルールにマッチしたものであり、このパケットを送信したノードとの通信はフィルタしないことを意味する。もし、アプリケーション層のフィルタやユーザが独自のフィルタを設定した場合は、ステップS2001とS2006の間に、この独自フィルタ部をフィルタを掛けたい順番にルールを挿入すれば、同様に実現する。その他の層においても同様であり、フィルタのルールをOSIに従った形で実現すればよい。尚、ここではOSIに従った形で実現する方法を述べたが、独自の順番でフィルタのかかる順番を作成しても良い。
ステップS2006で上位に送信した後にはリターンし、次のパケットの受信処理を待つ。
尚、本実施形態では、プリント機能及びスキャン機能を有する画像形成装置(複合機)に接続する印刷制御装置を例にその構成及び動作を説明した。しかし、本発明の技術は、かかる構成に限定されず、ネットワークセキュリティーを必要とするネットワークデバイスとその制御装置に適用されるものであり、同様の効果を奏する。
また、本発明の目的は、実施形態の機能を実現するソフトウェアのプログラムコードを記録した記憶媒体を、システム或いは装置に供給してもよい。その場合、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)が記憶媒体に格納されたプログラムコードを読み出して実行することによっても達成される。
この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施の形態の機能を実現することになり、そのプログラムコード及び該プログラムコードを記憶した記憶媒体は本発明を構成することになる。
また、プログラムコードを供給するための記憶媒体としては、例えば、フロッピー(登録商標)ディスク、ハードディスク、光磁気ディスク、CD−ROM、CD−R、CD−RWを用いることができる。また、DVD−ROM、DVD−RAM、DVD−RW、DVD+RW、磁気テープ、不揮発性のメモリカード、ROM等を用いることができる。または、プログラムコードをネットワークを介してダウンロードしてもよい。
また、コンピュータが読み出したプログラムコードを実行することにより、上記実施の形態の機能が実現される。しかし、それ以外にも、そのプログラムコードの指示に基づき、コンピュータ上で稼動しているOS(オペレーティングシステム)等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれる。
更に、記憶媒体から読み出されたプログラムコードが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれる。その後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれる。
また、コンピュータが読み出したプログラムコードを実行することにより、前述した各実施の形態の機能が実現される。これ以外にも、そのプログラムコードの指示に基づき、コンピュータ上で稼働しているOSなどが実際の処理の一部または全部を行い、その処理によって前述した各実施の形態の機能が実現される場合も、本発明に含まれることは言うまでもない。
この場合、上記プログラムは、該プログラムを記憶した記憶媒体から直接、又はインターネット、商用ネットワーク、若しくはローカルエリアネットワーク等に接続された不図示の他のコンピュータやデータベース等からダウンロードすることにより供給される。
上記実施の形態では、画像形成装置の印刷方式を電子写真方式とした場合を例に挙げたが、本発明は、電子写真方式に限定されるものではなく、インクジェット方式、熱転写方式、感熱方式、静電方式、放電破壊方式など各種印刷方式に適用することができる。
上記プログラムの形態は、オブジェクトコード、インタプリタにより実行されるプログラムコード、OS(オペレーティングシステム)に供給されるスクリプトデータ等の形態から成ってもよい。
本実施形態の印刷制御装置が接続する印刷システムを示す図である。 本実施形態の印刷制御装置の構成例を示すブロック図である。 本実施形態の印刷制御装置の記憶構成例を示す図である。 本実施形態の画像形成装置の構成例を示すブロック図である。 本実施形態の印刷制御装置のフィルタ実装例を説明する図である。 本実施形態の印刷制御装置のフィルタ生成及び起動の手順例を示すフローチャートである。 MACアドレスフィルタの操作部のメイン画面例を示す図である。 MACアドレスフィルタを追加する操作部の画面例を示す図である。 MACアドレスフィルタを削除する操作部の画面例を示す図である。 MACアドレスフィルタを編集する操作部の画面例を示す図である。 MACアドレスフィルタを編集する操作部の画面例を示す図である。 フィルタルールを記述したファイルの例を示す図である。 印刷制御装置のフィルタドライバの動作手順例を示すフローチャートである。

Claims (28)

  1. ネットワーク及びデバイス装置と接続されるデバイス制御装置であって、
    ネットワークセキュリティ機能であるパケットフィルタ機能を実現するフィルタドライバを有し、
    前記フィルタドライバは、前記デバイス制御装置が受信したいずれのネットワークパケットに対してもパケットフィルタ処理を行って、該パケットフィルタ処理を終了したネットワークパケットを通信プロトコルに対応する上位のスタックに出力することを特徴とするデバイス制御装置。
  2. 前記フィルタドライバのパケットフィルタ機能は、MACアドレスフィルタ処理の機能と、ネットワーク層のパケットフィルタ処理の機能と、トランスポート層のパケットフィルタ処理の機能と、アプリケーション層のパケットフィルタ処理の機能とのいずれかを含むことを特徴とする請求項1に記載のデバイス制御装置。
  3. 前記フィルタドライバは、前記MACアドレスフィルタ処理で廃棄されなかったパケットを、フィルタドライバ内部でネットワークプロトコルの上位のネットワーク層のパケットフィルタ処理、トランスポート層のパケットフィルタ処理、アプリケーション層のパケットフィルタ処理の順に送信して、MACアドレスフィルタでフィルタを掛け終わった前記パケットについても上位の各フィルタ処理を行うことを特徴とする請求項2に記載のデバイス制御装置。
  4. 前記パケットフィルタ処理のフィルタルールを設定するためのユーザインタフェースを更に有し、
    前記フィルタドライバは、前記ユーザインタフェースを介してユーザが入力したフィルタルールに基づいて、フィルタ処理を行なうことを特徴とする請求項1又は2に記載のデバイス制御装置。
  5. 前記ユーザインタフェースはユーザが入力したフィルタルールをファイルとして保持するルールファイル保持手段を有し、
    前記フィルタドライバは、前記保持されたフィルタルールのファイルに基づいてフィルタ処理を行なうことを特徴とする請求項4に記載のデバイス制御装置。
  6. 前記フィルタドライバは、デバイス制御装置が送出したパケットか否かを監視するパケット監視手段を有し、
    前記パケット監視手段が、前記フィルタドライバが受信したパケットをデバイス制御装置が送信したパケットと判断した場合は、前記フィルタ処理を行わずにパケットを上位のスタックへ送信することを特徴とする請求項1に記載のデバイス制御装置。
  7. 前記パケット監視手段は、
    前記パケットのパケットヘッダ部の情報を保持するパケットヘッダ保持手段と、
    前記フィルタドライバがパケットを受信した場合、前記パケットヘッダ保持手段により保存したパケットヘッダを参照して、前記パケットをデバイス制御装置が送信したと判断するパケット判断手段とを有することを特徴とする請求項6に記載のデバイス制御装置。
  8. 前記デバイス制御装置は、IPマスカレードを使用した転送機能を有し、前記転送機能を実現するプログラムを持ち、前記フィルタドライバと前記プログラムはそれぞれが単体で動作可能であることを特徴とする請求項1に記載のデバイス制御装置。
  9. 前記転送機能の実行前に、前記フィルタドライバの処理を実行することを特徴とする請求項8に記載のデバイス制御装置。
  10. 前記転送機能を実現するプログラムは、ユーザインタフェースからユーザが入力した転送設定情報を受信して、転送処理を切り替えることを特徴とする請求項8又は9に記載のデバイス制御装置。
  11. 前記デバイス装置はプリント機能及び/又はスキャン機能を有する画像形成装置であることを特徴とする請求項1乃至10のいずれか1つに記載のデバイス制御装置。
  12. ネットワーク及びデバイス装置と接続されるデバイス制御装置の制御方法であって、
    前記デバイス制御装置が、ネットワークセキュリティ機能であるパケットフィルタ機能を実現するフィルタドライバを有し、
    前記フィルタドライバは、前記デバイス装置が受信したいずれのネットワークパケットに対してもパケットフィルタ処理を行って、該パケットフィルタ処理を終了したネットワークパケットを通信プロトコルに対応する上位のスタックに出力することを特徴とするデバイス制御装置の制御方法。
  13. 前記フィルタドライバのパケットフィルタ機能は、MACアドレスフィルタ処理の機能と、ネットワーク層のパケットフィルタ処理の機能と、トランスポート層のパケットフィルタ処理の機能と、アプリケーション層のパケットフィルタ処理の機能とのいずれかを含むことを特徴とする請求項12に記載のデバイス制御装置の制御方法。
  14. 前記フィルタドライバは、前記MACアドレスフィルタ処理で廃棄されなかったパケットを、フィルタドライバ内部でネットワークプロトコルの上位のネットワーク層のパケットフィルタ処理、トランスポート層のパケットフィルタ処理、アプリケーション層のパケットフィルタ処理の順に送信して、MACアドレスフィルタでフィルタを掛け終わった前記パケットについても上位の各フィルタ処理を行うことを特徴とする請求項13に記載のデバイス制御装置の制御方法。
  15. 前記デバイス制御装置が、前記パケットフィルタ処理のフィルタルールを設定するためのユーザインタフェースを更に有し、
    前記フィルタドライバは、前記ユーザインタフェースを介してユーザが入力したフィルタルールに基づいて、フィルタ処理を行なうことを特徴とする請求項12又は13に記載のデバイス制御装置の制御方法。
  16. 前記ユーザインタフェースはユーザが入力したフィルタルールをファイルとして保持するルールファイル保持工程を有し、
    前記フィルタドライバは、前記保持されたフィルタルールのファイルに基づいてフィルタ処理を行なうことを特徴とする請求項15に記載のデバイス制御装置の制御方法。
  17. 前記フィルタドライバは、デバイス制御装置が送出したパケットか否かを監視するパケット監視工程を有し、
    前記パケット監視工程で、前記フィルタドライバが受信したパケットをデバイス制御装置が送信したパケットと判断した場合は、前記フィルタ処理を行わずにパケットを上位のスタックへ送信することを特徴とする請求項12に記載のデバイス制御装置の制御方法。
  18. 前記パケット監視工程は、
    前記パケットのパケットヘッダ部の情報を保持するパケットヘッダ保持工程と、
    前記フィルタドライバがパケットを受信した場合、前記パケットヘッダ保持工程で保存したパケットヘッダを参照して、前記パケットをデバイス制御装置が送信したと判断するパケット判断工程とを有することを特徴とする請求項17に記載のデバイス制御装置の制御方法。
  19. 前記デバイス制御装置が、IPマスカレードを使用した転送機能を有し、前記転送機能を実現するプログラムを持ち、前記フィルタドライバと前記プログラムはそれぞれが単体で動作可能であることを特徴とする請求項12に記載のデバイス制御装置の制御方法。
  20. 前記転送機能の実行前に、前記フィルタドライバの処理を実行することを特徴とする請求項19に記載のデバイス制御装置の制御方法。
  21. 前記転送機能を実現するプログラムは、ユーザインタフェースからユーザが入力した転送設定情報を受信して、転送処理を切り替えることを特徴とする請求項19又は20に記載のデバイス制御装置の制御方法。
  22. 前記デバイス装置はプリント機能及び/又はスキャン機能を有する画像形成装置であることを特徴とする請求項12乃至21のいずれか1つに記載のデバイス制御装置の制御方法。
  23. 請求項12乃至22のいずれか1つに記載のデバイス制御装置の制御方法を実現するコンピュータ実行可能なプログラム。
  24. 請求項23に記載のプログラムをコンピュータ読出し可能な形態で記憶する記憶媒体。
  25. 周辺装置であるデバイス装置と、該デバイス装置の動作を指示するクライアント端末と、少なくとも2つのネットワークインタフェースを介して前記クライアント端末とデバイス装置とに接続されるデバイス制御装置とを有するデバイス制御ネットワークシステムであって、
    前記デバイス制御装置が、ネットワークセキュリティ機能であるパケットフィルタ機能を実現するフィルタドライバを有し、
    前記フィルタドライバは、前記デバイス制御装置が受信したいずれのネットワークパケットに対してもパケットフィルタ処理を行って、該パケットフィルタ処理を終了したネットワークパケットを通信プロトコルに対応する上位のスタックに出力することを特徴とするデバイス制御ネットワークシステム。
  26. 前記フィルタドライバのパケットフィルタ機能は、MACアドレスフィルタ処理の機能と、ネットワーク層のパケットフィルタ処理の機能と、トランスポート層のパケットフィルタ処理の機能と、アプリケーション層のパケットフィルタ処理の機能とを含み、
    前記フィルタドライバは、前記MACアドレスフィルタ処理で廃棄されなかったパケットを、フィルタドライバ内部でネットワークプロトコルの上位のネットワーク層のパケットフィルタ処理、トランスポート層のパケットフィルタ処理、アプリケーション層のパケットフィルタ処理の順に送信して、MACアドレスフィルタでフィルタを掛け終わった前記パケットについても上位の各フィルタ処理を行うことを特徴とする請求項25に記載のデバイス制御ネットワークシステム。
  27. 周辺装置であるデバイス装置と、該デバイス装置の動作を指示するクライアント端末と、少なくとも2つのネットワークインタフェースを介して前記クライアント端末とデバイス装置とに接続されるデバイス制御装置とを有するデバイス制御ネットワークシステムにおけるネットワークセキュリティー方法であって、
    前記デバイス制御装置が、ネットワークセキュリティ機能であるパケットフィルタ機能を実現するフィルタドライバを有し、
    前記フィルタドライバは、前記デバイス制御装置が受信したいずれのネットワークパケットに対してもパケットフィルタ処理を行って、該パケットフィルタ処理を終了したネットワークパケットを通信プロトコルに対応する上位のスタックに出力することを特徴とするネットワークセキュリティー方法。
  28. 前記フィルタドライバのパケットフィルタ機能は、MACアドレスフィルタ処理の機能と、ネットワーク層のパケットフィルタ処理の機能と、トランスポート層のパケットフィルタ処理の機能と、アプリケーション層のパケットフィルタ処理の機能とを含み、
    前記フィルタドライバは、前記MACアドレスフィルタ処理で廃棄されなかったパケットを、フィルタドライバ内部でネットワークプロトコルの上位のネットワーク層のパケットフィルタ処理、トランスポート層のパケットフィルタ処理、アプリケーション層のパケットフィルタ処理の順に送信して、MACアドレスフィルタでフィルタを掛け終わった前記パケットについても上位の各フィルタ処理を行うことを特徴とする請求項27に記載のネットワークセキュリティー方法。
JP2006161639A 2006-06-09 2006-06-09 デバイス制御装置及びそのネットワークセキュリティー方法 Withdrawn JP2007329876A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006161639A JP2007329876A (ja) 2006-06-09 2006-06-09 デバイス制御装置及びそのネットワークセキュリティー方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006161639A JP2007329876A (ja) 2006-06-09 2006-06-09 デバイス制御装置及びそのネットワークセキュリティー方法

Publications (1)

Publication Number Publication Date
JP2007329876A true JP2007329876A (ja) 2007-12-20

Family

ID=38930024

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006161639A Withdrawn JP2007329876A (ja) 2006-06-09 2006-06-09 デバイス制御装置及びそのネットワークセキュリティー方法

Country Status (1)

Country Link
JP (1) JP2007329876A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012195940A (ja) * 2011-03-16 2012-10-11 Samsung Sds Co Ltd システムオンチップ基盤のパケットフィルタリングを提供できるデバイス及びパケットフィルタリング方法
US8355152B2 (en) 2008-03-14 2013-01-15 Kabushiki Kaisha Toshiba Image forming apparatus, setting operation support method and setting operation support program
JP2016504810A (ja) * 2012-11-14 2016-02-12 テレフオンアクチーボラゲット エル エム エリクソン(パブル) コンテンツベースの過負荷保護

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8355152B2 (en) 2008-03-14 2013-01-15 Kabushiki Kaisha Toshiba Image forming apparatus, setting operation support method and setting operation support program
JP2012195940A (ja) * 2011-03-16 2012-10-11 Samsung Sds Co Ltd システムオンチップ基盤のパケットフィルタリングを提供できるデバイス及びパケットフィルタリング方法
US8726362B2 (en) 2011-03-16 2014-05-13 Samsung Sds Co., Ltd. SOC-based device for packet filtering and packet filtering method thereof
JP2016504810A (ja) * 2012-11-14 2016-02-12 テレフオンアクチーボラゲット エル エム エリクソン(パブル) コンテンツベースの過負荷保護

Similar Documents

Publication Publication Date Title
JP5419571B2 (ja) 印刷制御装置、画像形成装置の制御方法、およびプログラム
US8718078B2 (en) Multi-homed communication apparatus, and control method and storage medium therefor
JP4372145B2 (ja) 情報処理装置及び情報処理方法及び印刷制御システム
US8411682B2 (en) Communication apparatus having a plurality of network interfaces, method of communication by the communication apparatus, and storage medium
US7209965B2 (en) Image processing apparatus, image processing method and control program
JP2010219630A (ja) ワークフロー実行システム、ワークフロー実行方法、及びプログラム
JP3943992B2 (ja) 画像形成装置及びアクセス制御方法
JP4895389B2 (ja) 画像形成装置及びその制御方法、並びに記憶媒体
JP2007259305A (ja) 情報処理装置及び情報処理方法
US8566426B2 (en) Data processing apparatus, data processing method, and computer program
JP2007066144A (ja) ネットワークシステムおよびその設定方法およびプログラムおよび記憶媒体
JP2007329876A (ja) デバイス制御装置及びそのネットワークセキュリティー方法
US20050018240A1 (en) Output control device
JP4991449B2 (ja) 画像処理装置、画像処理装置の制御方法、及び、コンピュータプログラム
JP2008306294A (ja) 画像形成装置、画像形成方法、および画像形成プログラム
EP1782222B1 (en) Image processing apparatus and control method of the same
JP2000244533A (ja) ネットワークデバイス制御装置、ネットワークデバイス制御方法及びネットワークデバイス制御プログラムを格納した記憶媒体
JP2005115559A (ja) 印刷処理システム、その制御方法、制御プログラム、及び記憶媒体
JP4631729B2 (ja) 画像形成装置及びファイル送信システム
JP4614394B2 (ja) 画像形成装置及びその制御方法、画像形成システム、プログラム
JP2005329620A (ja) 画像形成装置および画像形成装置の制御方法およびプログラムおよび記憶媒体および画像形成システム
JP2006067046A (ja) ゲートウェイ情報処理装置、情報送受信方法、情報送受信プログラム及びプログラム記録媒体
JP2007156810A (ja) 印刷制御装置の転送方法
JP2023070932A (ja) 画像形成システム、画像制御装置、制御方法、及びプログラム
JP2004102914A (ja) 画像形成装置及びその制御方法

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20090901