JP2008311939A - ネットワーク通信機器 - Google Patents

ネットワーク通信機器 Download PDF

Info

Publication number
JP2008311939A
JP2008311939A JP2007157654A JP2007157654A JP2008311939A JP 2008311939 A JP2008311939 A JP 2008311939A JP 2007157654 A JP2007157654 A JP 2007157654A JP 2007157654 A JP2007157654 A JP 2007157654A JP 2008311939 A JP2008311939 A JP 2008311939A
Authority
JP
Japan
Prior art keywords
address
network communication
communication device
security
acquired
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007157654A
Other languages
English (en)
Inventor
Kenichi Kitamura
憲一 北村
Hiroshi Terui
博志 照井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2007157654A priority Critical patent/JP2008311939A/ja
Priority to US12/123,599 priority patent/US20090328139A1/en
Publication of JP2008311939A publication Critical patent/JP2008311939A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5092Address allocation by self-assignment, e.g. picking addresses at random and testing if they are already in use

Abstract

【課題】複数のアドレスを保有するネットワーク通信機器において、適切なセキュリティ動作を行わせることのできるようにする。
【解決手段】複数のアドレスを保有するネットワーク通信機器であって、接続先の名前もしくは識別子に対応する全てのアドレスをアドレス解決により取得するアドレス取得手段と、取得したアドレスをセキュリティ通信の設定内容と比較することでセキュリティ通信が可能なアドレスを決定するアドレス決定手段とを備える。上記セキュリティ通信の設定内容は、ユーザによるセキュリティ通信の設定内容を保持する設定保持部もしくは現時点で有効なセキュリティ通信の設定内容を保持するデータベースから取得する。
【選択図】図2

Description

本発明は、IPv6(Internet Protocol version 6)、IPv4(Internet Protocol version 4)等のプロトコルに従ってネットワーク通信を行う機能を有した、プリンタ、スキャナ、ファクスおよびそれらの機能を併せ持つ複合機(MFP:Multi Function Printer)、パーソナルコンピュータ(PC:Personal Computer)等のネットワーク通信機器に関する。
IPv6環境においては、ネットワーク通信機器は複数のIPアドレスを保有するという特徴を持っている。なお、IPv4でも、IPアドレスを複数割り当てることができるため、複数のIPアドレスを保有するという特徴は必ずしもIPアドレスのバージョンに依存したものではない。
また、ネットワーク通信機器ではセキュリティ対策として、
(1)IPsec(Internet Protocol security)による通信
(2)IPアドレスに基づくアクセスコントロール
を実施することが多い。
IPsecはIPパケットの暗号化と認証を行なうセキュリティ技術であり、TCP/IP(Transmission Control Protocol/Internet Protocol)環境で汎用的に用いることができる。データリンク層等のトンネリングプロトコルと異なり、ネットワーク層で動作する。IPsecの仕組みの中心となるのは、パケット内のデータの改竄を防止するためのパケット認証を行なう「AH(Authentication Header:認証ヘッダ)」と、認証と暗号化まで行なう「ESP(Encapsulating Security Payload)」ヘッダである。また、IPパケット全体を暗号化する「トンネルモード」と、データ部分だけを暗号化する「トランスポートモード」を選択することができる。更に、暗号・認証のパラメータを動的に生成して交換するIKE(Internet Key Exchange)と呼ばれる自動鍵交換のプロトコルが、認証や暗号化を行なうアルゴリズムと独立して用意されている。
また、IPアドレスに基づくアクセスコントロールでは、アクセスを許可/拒否する相手側のネットワーク通信機器のIPアドレスあるいはIPアドレス範囲(アドレスブロック)を設定することで制御を行う。
なお、出願人は出願時点までに本発明に関連する公開された先行技術文献を発見することができなかった。よって、先行技術文献情報を開示していない。
上述したような、ネットワーク通信機器が複数のIPアドレスを保有する状況におけるセキュリティ対策においては、それぞれについて次のような問題点があった。
(1)IPsecによる通信の場合
IPsecによる通信は、通信する双方のネットワーク通信機器において予め同一のIPsecの設定を行う必要があるが、複数のIPアドレスを保有するネットワーク通信機器においては、一部のIPアドレスについてのみIPsecの設定を行い、他のIPアドレスについてはIPsecの設定を行わないことがある。
このとき、通信を要求するアプリケーションが、IPアドレスそのものの指定ではなく、DNS(Domain Name System)における名前(ホスト名)やSIP(Session Initiation Protocol)における識別子により相手のネットワーク通信機器を指定する場合、DNSやSIPでのアドレス解決の手段を用いることとなる。名前もしくは識別子からアドレス解決をした結果、その名前もしくは識別子に対応付けられた全ての(複数の)IPアドレスが取得されることになるが、それらのIPアドレスのどれにIPsecの設定がされているのかを知ることはできない。
そのため、全てのIPアドレスについてIPsecの通信ができるかどうかを実際に試してみなければならず、本来の通信を開始するまでの処理に時間がかかる。
(2)IPアドレスに基づくアクセスコントロールの場合
他のネットワーク通信機器からアクセスがあった場合、そのIPアドレスを設定情報と比較することによりアクセス許可されているものであるか否かを判断することになるが、アクセスが許可されたネットワーク通信機器であっても、設定されているIPアドレスとは異なるIPアドレスによってアクセスがあった場合には接続が拒否されてしまうことになる。また、ネットワーク通信機器のIPアドレスは、ネットワーク環境もしくは接続機器の状況により常に変化するため、設定内容を固定化してしまうと正常なアクセスコントロールが動作しない可能性がある。
本発明は上記の従来の問題点に鑑み提案されたものであり、その目的とするところは、複数のアドレスを保有するネットワーク通信機器において、適切なセキュリティ動作を行わせることのできるネットワーク通信機器を提供することにある。
上記の課題を解決するため、本発明にあっては、請求項1に記載されるように、複数のアドレスを保有するネットワーク通信機器であって、接続先の名前もしくは識別子に対応する全てのアドレスをアドレス解決により取得するアドレス取得手段と、取得したアドレスをセキュリティ通信の設定内容と比較することでセキュリティ通信が可能なアドレスを決定するアドレス決定手段とを備えるネットワーク通信機器を要旨としている。
また、請求項2に記載されるように、請求項1に記載のネットワーク通信機器において、上記セキュリティ通信の設定内容は、ユーザによるセキュリティ通信の設定内容を保持する設定保持部から取得するようにすることができる。
また、請求項3に記載されるように、請求項1に記載のネットワーク通信機器において、上記セキュリティ通信の設定内容は、現時点で有効なセキュリティ通信の設定内容を保持するデータベースから取得するようにすることができる。
また、請求項4に記載されるように、請求項1に記載のネットワーク通信機器において、上記アドレス決定手段は、上記アドレス取得手段により取得したアドレスを現時点で有効なセキュリティ通信の設定内容を保持するデータベースから取得したセキュリティ通信の設定内容と比較することでセキュリティ通信が可能なアドレスを決定するとともに、セキュリティ通信が可能なアドレスが決定できない場合に、上記アドレス取得手段により取得したアドレスをユーザによるセキュリティ通信の設定内容を保持する設定保持部から取得したセキュリティ通信の設定内容と比較することでセキュリティ通信が可能なアドレスを決定するようにすることができる。
また、請求項5に記載されるように、請求項1乃至4のいずれか一項に記載のネットワーク通信機器において、上記アドレス決定手段は、上記セキュリティ通信の設定内容にセキュリティ通信を必須とするモードの設定が一つでも存在する場合に、上記アドレス取得手段により取得したアドレスをセキュリティ通信の設定内容と比較することでセキュリティ通信が可能なアドレスを決定するようにすることができる。
また、請求項6に記載されるように、請求項1乃至5のいずれか一項に記載のネットワーク通信機器において、上記アドレス決定手段は、上記アドレス取得手段により取得したアドレスをセキュリティ通信の設定内容と比較することで特定したアドレスにつき、セキュリティ通信を実行することで実際にセキュリティ通信が行えることを確認した後にセキュリティ通信が可能なアドレスとして決定するようにすることができる。
また、請求項7に記載されるように、請求項3に記載のネットワーク通信機器において、上記アドレス決定手段は、上記データベースの設定内容と比較することでセキュリティ通信が可能なアドレスを特定できない場合、上記アドレス取得手段により取得したアドレスにつきセキュリティ通信を実行することで、実際にセキュリティ通信が行えることが確認できたアドレスをセキュリティ通信が可能なアドレスとして決定するようにすることができる。
また、請求項8に記載されるように、複数のアドレスを保有するネットワーク通信機器であって、他のネットワーク通信機器からアクセス要求があった場合、そのアクセス元のアドレスが許可されていない場合に当該アドレスからホスト名を取得するとともに、取得したホスト名に対応する全てのアドレスを取得する手段と、取得したアドレスに基づいてアクセスの制御を行う手段とを備えるネットワーク通信機器として構成することができる。
また、請求項9に記載されるように、請求項8に記載のネットワーク通信機器において、アクセスが許可されるホスト名と当該ホスト名に対応する全てのアドレスとを関連付けて保持する手段と、所定のタイミングで上記ホスト名とアドレスとの関連付けを更新する手段とを備えるようにすることができる。
また、請求項10、11に記載されるように、ネットワーク通信制御方法として構成することができる。
本発明のネットワーク通信機器にあっては、複数のアドレスを保有するネットワーク通信機器において、IPsec等のセキュリティ通信を行えるアドレスを効率よく決定できるとともに、ホスト名に関連付けられたアドレスにより適切なアクセスコントロールを行うことができ、適切なセキュリティ動作を行わせることができる。
以下、本発明の好適な実施形態につき説明する。
<第1の実施形態>
図1は本発明の第1の実施形態にかかるネットワーク構成例を示す図である。
図1において、MFP等のネットワーク通信機器1Aと、PC等のネットワーク通信機器1B、1Cと、アドレス解決を行うDNS2とがネットワーク上に接続されている。ネットワーク通信機器1A〜1Cは、それぞれ複数のIPアドレスを持っている。DNS2には、ネットワーク内のネットワーク通信機器1A〜1Cのホスト名とその機器が持つ複数のIPアドレスの全ての対応情報が登録されている。また、ネットワーク通信機器1A〜1Cには、必要に応じて1対1の機器同士でIPsec通信の設定がされている。複数のIPアドレスを持つネットワーク通信機器1A〜1Cは、一部のIPアドレスについてのみIPsec通信が可能な設定となっている場合がある。
なお、以下ではMFP等のネットワーク通信機器1Aに本発明を適用した例につき説明するが、他のネットワーク通信機器に本発明を適用することができることはいうまでもない。
図2はネットワーク通信機器1Aのソフトウェア構成例を示す図である。
図2において、ネットワーク通信機器1Aは、ネットワークを介した通信を要求するアプリケーション101と、ネットワーク通信の制御を行うネットワーク制御部102と、機器の基本ソフトウェアであるOS(Operating System)115とを備えている。
ネットワーク制御部102は、ネットワーク通信機器1Aの管理者によるIPsecの設定機能を提供するIPsec設定部103と、IPsecの設定内容を保持するIPsec設定保持部104と、アプリケーション101からのホスト名の指定による通信要求時にIPアドレスの決定を行うIPアドレス決定部105と、DNS2(図1)にアクセスしてアドレス解決を行うDNS検索部106と、IPsec通信開始時にIKEによる鍵交換の処理を行うIKE処理部107とを備えている。
OS115は、ネットワークプロトコルに従った処理を行うネットワークプロトコル処理部116と、通信ハードウェア(NIC:Network Interface Card)の制御を行うI/F(Interface)処理部(ネットワーク通信ドライバ)120とを備えている。ネットワークプロトコル処理部116は、IPv4、IPv6のプロトコルに従った処理を行うIP処理部117と、IPsecの処理を行うIPsec処理部118と、現時点で有効なIPsecの設定内容を保持するIPsecSA(Security Association)データベース119とを備えている。
図3はIPsec設定保持部104およびIPsecSAデータベース119のデータ構造例を示す図である。図3(a)はIPsec設定保持部104を示しており、当該ネットワーク通信機器でIPsecが「有効」であるか「無効」であるかを示す情報(図では「有効」)を示す情報と、IPsecのモード(「require」はIPsecが必須、「used」はIPsecが任意、「none」はIPsecをしないことを示す。図では「require」)、ローカルアドレス(当該ネットワーク通信機器のIPアドレス)、リモートアドレス(通信相手のネットワーク通信機器のIPアドレス)、暗号化設定等を含む複数のエントリからなる情報とを保持している。
図3(b)はIPsecSAデータベース119を示しており、現時点で有効なIPsecの設定内容として、ローカルアドレス、リモートアドレス、モード等を保持している。
図4はネットワーク通信機器1Aのネットワーク制御部102における処理例を示すフローチャートであり、ユーザによるIPsec設定内容を参照することで、IPsec通信ができるIPアドレスを決定するようにしたものである。
図4において、上位のアプリケーション101からホスト名の指定による通信の要求を受けて処理を開始すると(ステップS101)、指定されたホスト名に対応する全てのIPアドレスを、DNS検索部106によりDNS2のアドレス解決により検索して取得する(ステップS102)。
次いで、IPアドレス決定部105はIPsec設定保持部104の設定内容を参照し、IPsecが有効で、かつモードがIPsecを必須とする「require」であるものが一つでも存在するか否か判断する(ステップS103)。
ここで、判断が否定的なものである場合(ステップS103のNo)、すなわちIPsecが無効であるか、IPsecが有効であってもモードが「require」のものが一つも存在しない場合(モードが「used」か「none」)、検索結果「あり」として既に取得してある全てのIPアドレスを設定し(ステップS104)、検索結果「あり」とIPアドレスを要求元のアプリケーション101に返答し(ステップS110)、処理を終了する(ステップS111)。
また、判断が肯定的なものである場合(ステップS103のYes)、検索して取得したIPアドレスについてモードが「require」のものから優先してループ処理を行い(ステップS105〜S108)、IPsec設定保持部104のIPsec通信設定範囲にIPアドレスがあるか否か判断する(ステップS106)。IPsec通信設定範囲にIPアドレスがない場合(ステップS106のNo)はループ処理を継続する(ステップS108、S105)。
そして、IPsec通信設定範囲にIPアドレスがある場合(ステップS106のYes)、検索結果「あり」としてそのIPアドレスを設定し(ステップS107)、検索結果「あり」とIPアドレスを要求元のアプリケーション101に返答し(ステップS110)、処理を終了する(ステップS111)。
また、検索して取得した全てのIPアドレスについてループ処理を終了した場合、検索結果は「なし」としてIPアドレスもなしに設定し(ステップS109)、検索結果「なし」とIPアドレス「なし」を要求元のアプリケーション101に返答し(ステップS110)、処理を終了する(ステップS111)。
図5はネットワーク通信機器1Aのネットワーク制御部102における他の処理例を示すフローチャートであり、IPsec設定保持部104のIPsec通信設定範囲にあるIPアドレスが発見された場合に、そのIPアドレスに対してIPsec通信を実行することで実際にIPsec通信が行えることを確認した後にIPアドレスを決定するようにしたものである。
図5において、上位のアプリケーション101からホスト名の指定による通信の要求を受けて処理を開始すると(ステップS121)、指定されたホスト名に対応する全てのIPアドレスを、DNS検索部106によりDNS2のアドレス解決により検索して取得する(ステップS122)。
次いで、IPアドレス決定部105はIPsec設定保持部104の設定内容を参照し、IPsecが有効で、かつモードがIPsecを必須とする「require」であるものが一つでも存在するか否か判断する(ステップS123)。
ここで、判断が否定的なものである場合(ステップS123のNo)、すなわちIPsecが無効であるか、IPsecが有効であってもモードが「require」のものが一つも存在しない場合(モードが「used」か「none」)、検索結果「あり」として既に取得してある全てのIPアドレスを設定し(ステップS124)、検索結果「あり」とIPアドレスを要求元のアプリケーション101に返答し(ステップS132)、処理を終了する(ステップS133)。
また、判断が肯定的なものである場合(ステップS123のYes)、検索して取得したIPアドレスについてモードが「require」のものから優先してループ処理を行い(ステップS125〜S130)、IPsec設定保持部104のIPsec通信設定範囲にIPアドレスがあるか否か判断する(ステップS126)。IPsec通信設定範囲にIPアドレスがない場合(ステップS126のNo)はループ処理を継続する(ステップS130、S125)。
そして、IPsec通信設定範囲にIPアドレスがある場合(ステップS126のYes)、そのIPアドレスに対してIP処理部117によりICMP(Internet Control Message Protocol)パケットを送信する(ステップS127)。この際、相手側機器との間でIKEによる鍵交換の処理(IKE Phase1、Phase2等)を行った上でIPsecによりICMPパケットの送信が行われる。
次いで、送信したICMPパケットに対して応答があったか否か判断する(ステップS128)。なお、IKEによる鍵交換の処理でエラーが発生することでICMPパケットの送信が行われなかった場合も応答がない場合に含めるものとする。
そして、ICMPパケットに対して応答があった場合(ステップS128のYes)、検索結果「あり」としてそのIPアドレスを設定し(ステップS129)、検索結果「あり」とIPアドレスを要求元のアプリケーション101に返答し(ステップS132)、処理を終了する(ステップS133)。
また、検索して取得した全てのIPアドレスについてループ処理を終了した場合、検索結果は「なし」としてIPアドレスもなしに設定し(ステップS131)、検索結果「なし」とIPアドレス「なし」を要求元のアプリケーション101に返答し(ステップS132)、処理を終了する(ステップS133)。
図6はネットワーク通信機器1Aのネットワーク制御部102における更に他の処理例を示すフローチャートであり、IPsec通信ができるIPアドレスであるか否か判断するにあたり、IPsec設定保持部104に代えて、現時点で有効なセキュリティ通信の設定内容を保持するIPsecSAデータベース119を参照するようにしたものである。
図6において、上位のアプリケーション101からホスト名の指定による通信の要求を受けて処理を開始すると(ステップS141)、指定されたホスト名に対応する全てのIPアドレスを、DNS検索部106によりDNS2のアドレス解決により検索して取得する(ステップS142)。
次いで、IPアドレス決定部105はIPsec設定保持部104の設定内容を参照し、IPsecが有効で、かつモードがIPsecを必須とする「require」であるものが一つでも存在するか否か判断する(ステップS143)。
ここで、判断が否定的なものである場合(ステップS143のNo)、すなわちIPsecが無効であるか、IPsecが有効であってもモードが「require」のものが一つも存在しない場合(モードが「used」か「none」)、検索結果「あり」として既に取得してある全てのIPアドレスを設定し(ステップS144)、検索結果「あり」とIPアドレスを要求元のアプリケーション101に返答し(ステップS150)、処理を終了する(ステップS151)。
また、判断が肯定的なものである場合(ステップS143のYes)、検索して取得したIPアドレスについてモードが「require」のものから優先してループ処理を行い(ステップS145〜S148)、IPsecSAデータベース119のテーブルに一致するIPアドレスがあるか否か判断する(ステップS146)。IPsecSAデータベース119のテーブルに一致するIPアドレスがない場合(ステップS146のNo)はループ処理を継続する(ステップS148、S145)。
そして、IPsecSAデータベース119のテーブルに一致するIPアドレスがある場合(ステップS146のYes)、検索結果「あり」としてそのIPアドレスを設定し(ステップS147)、検索結果「あり」とIPアドレスを要求元のアプリケーション101に返答し(ステップS150)、処理を終了する(ステップS151)。
また、検索して取得した全てのIPアドレスについてループ処理を終了した場合、検索結果は「なし」としてIPアドレスもなしに設定し(ステップS149)、検索結果「なし」とIPアドレス「なし」を要求元のアプリケーション101に返答し(ステップS150)、処理を終了する(ステップS151)。
なお、IPsecSAデータベース119のテーブルに存在するIPアドレスについては、タイムアウトしていない有効な設定内容であるため、ICMPパケットを送信して応答を確認することで実際にIPsec通信が行えることを確認する必要はない。
また、検索して取得した全てのIPアドレスについてループ処理を終了した場合、検索結果は「なし」としてIPアドレスもなしに設定しているが(ステップS149)、本来はIPsec通信が行えるIPアドレスがあるにもかかわらずタイムアウトによりIPsecSAデータベース119のテーブルに存在しない場合もあるので、その場合は全てのIPアドレスについてICMPパケットの送信を行い、応答があったIPアドレスを要求元のアプリケーション101に返答するようにしてもよい。
図7はネットワーク通信機器1Aのネットワーク制御部102における更に他の処理例を示すフローチャートであり、図6の処理と図5の処理とを組み合わせることで、IPsec通信が可能なIPアドレスを発見できる可能性を高めたものである。
図7において、上位のアプリケーション101からホスト名の指定による通信の要求を受けて処理を開始すると(ステップS161)、指定されたホスト名に対応する全てのIPアドレスを、DNS検索部106によりDNS2のアドレス解決により検索して取得する(ステップS162)。
次いで、IPアドレス決定部105はIPsec設定保持部104の設定内容を参照し、IPsecが有効で、かつモードがIPsecを必須とする「require」であるものが一つでも存在するか否か判断する(ステップS163)。
ここで、判断が否定的なものである場合(ステップS163のNo)、すなわちIPsecが無効であるか、IPsecが有効であってもモードが「require」のものが一つも存在しない場合(モードが「used」か「none」)、検索結果「あり」として既に取得してある全てのIPアドレスを設定し(ステップS164)、検索結果「あり」とIPアドレスを要求元のアプリケーション101に返答し(ステップS175)、処理を終了する(ステップS176)。
また、判断が肯定的なものである場合(ステップS163のYes)、検索して取得したIPアドレスについてモードが「require」のものから優先してループ処理を行い(ステップS165〜S168)、IPsecSAデータベース119のテーブルに一致するIPアドレスがあるか否か判断する(ステップS166)。IPsecSAデータベース119のテーブルに一致するIPアドレスがない場合(ステップS166のNo)はループ処理を継続する(ステップS168、S165)。
そして、IPsecSAデータベース119のテーブルに一致するIPアドレスがある場合(ステップS166のYes)、検索結果「あり」としてそのIPアドレスを設定し(ステップS167)、検索結果「あり」とIPアドレスを要求元のアプリケーション101に返答し(ステップS175)、処理を終了する(ステップS176)。
また、検索して取得した全てのIPアドレスについてループ処理を終了した場合、再度、検索して取得したIPアドレスについてモードが「require」のものから優先してループ処理を行い(ステップS169〜S173)、IPsec設定保持部104のIPsec通信設定範囲にIPアドレスがあるか否か判断する(ステップS170)。IPsec通信設定範囲にIPアドレスがない場合(ステップS170のNo)はループ処理を継続する(ステップS173、S169)。
そして、IPsec通信設定範囲にIPアドレスがある場合(ステップS170のYes)、そのIPアドレスに対してIP処理部117によりICMPパケットを送信する(ステップS171)。この際、相手側機器との間でIKEによる鍵交換の処理を行った上でIPsecによりICMPパケットの送信が行われる。
次いで、送信したICMPパケットに対して応答があったか否か判断する(ステップS172)。なお、IKEによる鍵交換の処理でエラーが発生することでICMPパケットの送信が行われなかった場合も応答がない場合に含めるものとする。
そして、ICMPパケットに対して応答があった場合(ステップS172のYes)、検索結果「あり」としてそのIPアドレスを設定し(ステップS167)、検索結果「あり」とIPアドレスを要求元のアプリケーション101に返答し(ステップS175)、処理を終了する(ステップS176)。
また、検索して取得した全てのIPアドレスについてループ処理を終了した場合、検索結果は「なし」としてIPアドレスもなしに設定し(ステップS174)、検索結果「なし」とIPアドレス「なし」を要求元のアプリケーション101に返答し(ステップS175)、処理を終了する(ステップS176)。
なお、IPsec通信を行える確実性は若干低下するが、ICMPパケットの送信(ステップS171)および応答の確認(ステップS172)を省略することもできる。
<第2の実施形態>
図8は本発明の第2の実施形態にかかるネットワーク構成例を示す図である。
図8において、MFP等のネットワーク通信機器1Aと、PC等のネットワーク通信機器1B、1Cと、アドレス解決を行うDNS2とがネットワーク上に接続されている。また、ルータ3A、3Bを介して接続される他のネットワーク上にはPC等のネットワーク通信機器1D〜1Gが接続されている。ネットワーク通信機器1B、1Cに併記した数字列は機器に割り当てられたIPv6アドレス(128ビットを16ビットずつ区切って16進表記)の例を示している。ネットワーク通信機器1Aに併記した数字列はアクセスが許可される機器のIPアドレスを示すACL(Access Control List)情報の例である。DNS2に併記した数字列はホスト名とIPアドレスの対応情報の例である。
なお、以下ではMFP等のネットワーク通信機器1Aに本発明を適用した例につき説明するが、他のネットワーク通信機器に本発明を適用することができることはいうまでもない。
図9はネットワーク通信機器1Aのソフトウェア構成例を示す図である。
図9において、ネットワーク通信機器1Aは、ネットワークを介した通信を要求するアプリケーション101と、ネットワーク通信の制御を行うネットワーク制御部102と、機器の基本ソフトウェアであるOS115とを備えている。
ネットワーク制御部102は、ネットワーク通信機器1Aの管理者による各種の設定機能を提供する各種設定部108と、その設定内容を保持する各種設定値保持部109と、アクセスを許可するホスト名とIPアドレスとの関連付け情報を保持するACL情報保持部110と、このACL情報保持部110を参照して接続要求のあったIPアドレスが登録されているか否かによりアクセス制御を行うとともに、ACL情報保持部110の更新を行うACL情報判断部111とを備えている。また、ネットワーク制御部102は、DNS2(図1)への登録アドレスを選択する登録アドレス選択部112と、登録ホスト名を生成する登録ホスト名生成部113と、DNS2に対する登録処理および参照(前方参照、後方参照)を行うDNS処理部114とを備えている。
OS115は、ネットワークプロトコルに従った処理を行うネットワークプロトコル処理部116と、通信ハードウェア(NIC)の制御を行うI/F処理部(ネットワーク通信ドライバ)120とを備えている。
図10はACL情報保持部110のデータ構造例を示す図であり、(a)はACL情報更新前、(b)はACL情報更新後の状態を示している。ACL情報保持部110は、ホスト名とIPアドレス(複数可)とが関連付けられている。なお、IPv6アドレスを例示しているが、IPv4アドレスでも差し支えない。
図11はネットワーク通信機器1Aのネットワーク制御部102における処理例を示すフローチャートである。
図11において、外部のネットワーク通信機器からアクセス要求を受けて処理を開始すると(ステップS201)、ACL情報判断部111は要求元のIPアドレスがACL情報保持部110の登録アドレスに含まれているか否か判断する(ステップS202)。
要求元のIPアドレスがACL情報保持部110の登録アドレスに含まれている場合(ステップS202のYes)、アクセスを許可し(ステップS203)、処理を終了する(ステップS210)。
また、要求元のIPアドレスがACL情報保持部110の登録アドレスに含まれていない場合(ステップS202のNo)、DNS処理部114によりDNS2に対してDNS後方参照によりIPアドレスからホスト名を取得し(ステップS204)、次いで、取得したホスト名からDNS前方参照により対応する全てのIPアドレスを取得する(ステップS205)。
次いで、取得した全てのIPアドレスのいずれかがACL情報保持部110の登録アドレスに含まれているか否か判断する(ステップS206)。
取得した全てのIPアドレスのいずれかがACL情報保持部110の登録アドレスに含まれていない場合(ステップS206のNo)、アクセスを禁止し(ステップS209)、処理を終了する(ステップS210)。
取得した全てのIPアドレスのいずれかがACL情報保持部110の登録アドレスに含まれている場合(ステップS206のYes)、ACL情報保持部110のACL情報を更新する(ステップS207)。すなわち、ホスト名と関連付けるIPアドレスを更新する。
次いで、要求元のIPアドレスがACL情報保持部110の更新後の登録アドレスに含まれているか否か判断する(ステップS208)。
そして、要求元のIPアドレスがACL情報保持部110の更新後の登録アドレスに含まれている場合(ステップS208のYes)、アクセスを許可し(ステップS203)、処理を終了する(ステップS210)。
また、要求元のIPアドレスがACL情報保持部110の更新後の登録アドレスに含まれていない場合(ステップS208のNo)、アクセスを禁止し(ステップS209)、処理を終了する(ステップS210)。
図12は機器間の信号のやりとりの例を示すシーケンス図であり、(a)は要求元IPアドレスがACL情報保持部110の登録アドレスに含まれている場合、(b)は要求元IPアドレスがACL情報保持部110の登録アドレスに含まれていない場合の処理である。
図12(a)において、ネットワーク通信機器(PC1)1Bからネットワーク通信機器(MFP)1Aにアクセス要求があった場合(ステップS211)、ネットワーク通信機器1Aはアクセス要求のあったネットワーク通信機器1BのIPアドレスがACL情報保持部110の登録アドレスに含まれているか否か判断を行う。例えば、この時点におけるACL情報保持部110の状態が図10(a)であるとし、アクセス要求のあったネットワーク通信機器1BのIPアドレスが「2001:1:1:3::4」であるとすると、ホスト名「PC1」に関連付けられたIPアドレス「2001:1:1:3::4」と一致するため、アクセスが許可されて通信が行われる(ステップS212)。
一方、図12(b)において、ネットワーク通信機器(PC2)1Cからネットワーク通信機器(MFP)1Aにアクセス要求があった場合(ステップS221)、ネットワーク通信機器1Aはアクセス要求のあったネットワーク通信機器1CのIPアドレスがACL情報保持部110の登録アドレスに含まれているか否か判断を行う。例えば、この時点におけるACL情報保持部110の状態が図10(a)であるとし、アクセス要求のあったネットワーク通信機器1BのIPアドレスが「2001:1:2:4::5」であるとすると、このIPアドレスは登録されていないと判断する。
そのため、ネットワーク通信機器1AはDNS2に対してそのIPアドレス「2001:1:2:4::5」からホスト名をDNS後方参照により取得する(ステップS222)。ここでは、ホスト名「PC2」が取得されるものとする。
続いて、取得したホスト名「PC2」の全IPアドレスをDNS2からDNS前方参照により取得する(ステップS223)。ここでは、IPアドレス「2001:1:1:3::5」「2001:1:2:4::5」が取得されるものとする。
そして、取得したIPアドレス「2001:1:1:3::5」「2001:1:2:4::5」のいずれかがACL情報保持部110の登録アドレスに含まれている場合はACL情報保持部110のACL情報を更新する。ここでは、IPアドレス「2001:1:1:3::5」がホスト名「PC2」に関連付けられたIPアドレス「2001:1:1:3::5」と一致するため、ホスト名「PC2」に関連付けて「2001:1:2:4::5」を追加する。この状態が図10(b)のホスト名「PC2」の部分である。なお、IPアドレスがACL情報保持部110の登録アドレスに含まれていない場合は、ACL情報保持部110のACL情報の更新は行わない。
次いで、ネットワーク通信機器1Aはアクセス要求のあったネットワーク通信機器1CのIPアドレスがACL情報保持部110の更新後の登録アドレスに含まれているか否か判断を行う。この時点におけるACL情報保持部110の状態が図10(b)であれば、アクセス要求のあったネットワーク通信機器1BのIPアドレス「2001:1:2:4::5」はホスト名「PC2」に関連付けられたIPアドレス「2001:1:2:4::5」と一致するため、アクセスが許可されて通信が行われる(ステップS224)。なお、アクセス要求のあったネットワーク通信機器1CのIPアドレスがACL情報保持部110の更新後の登録アドレスに含まれていない場合、アクセスは禁止される。
図13は関連付け情報更新の処理例を示すフローチャートである。すなわち、取得したホスト名と全IPアドレスのACL情報保持部110における関連付け情報は、ネットワーク環境、接続機器の状況により常に変化している。そのため、ある適切なタイミングで更新することにより、関連付け情報が古くなったことに起因する誤ったアクセスコントロールを防ぐものである。
図13(a)は、ある定められた時間が経過した場合に関連付け情報を更新するようにしたものである。ある定められた時間が経過した場合は関連付け情報が古くなっていると考えられるため、関連付け情報を更新するものである。なお、ある定められた時間は、ネットワーク通信機器1Aにおいてネットワーク管理者が設定できるものである。
図13(a)において、処理を開始すると(ステップS231)、ある定められた時間が経過したか否か判断し(ステップS232)、経過したと判断した場合(ステップS232のYes)にACL情報保持部110における取得したホスト名と全IPアドレスの関連付け情報を更新し(ステップS233)、処理を終了する(ステップS234)。なお、関連付け情報の更新は、ACL情報保持部110に登録された全ホスト名についてDNS前方参照して得られたIPアドレスで更新することにより行うものである。
図13(b)は、ある定められたデータ量を超えた場合に関連付け情報を更新するようにしたものである。ある定められたデータ量を超えた場合は、DOS攻撃(Denial of Service Attack)等の不正アクセスを受けている可能性があるため、関連付け情報を更新するものである。なお、ある定められたデータ量は、ネットワーク通信機器1Aにおいてネットワーク管理者が設定できるものである。
図13(b)において、処理を開始すると(ステップS241)、ある定められたデータ量を超えたか否か判断し(ステップS242)、超えたと判断した場合(ステップS242のYes)にACL情報保持部110における取得したホスト名と全IPアドレスの関連付け情報を更新し(ステップS243)、処理を終了する(ステップS244)。なお、関連付け情報の更新は、ACL情報保持部110に登録された全ホスト名についてDNS前方参照して得られたIPアドレスで更新することにより行うものである。
図13(c)は、ある定められたエラー数を超えた場合に関連付け情報を更新するようにしたものである。ある定められたエラー数を超えた場合は、不正アクセス等による不明パケットに起因してエラーが多数発生していることが考えられるため、関連付け情報を更新するものである。なお、ある定められたエラー数は、ネットワーク通信機器1Aにおいてネットワーク管理者が設定できるものである。
図13(c)において、処理を開始すると(ステップS251)、ある定められたエラー数を超えたか否か判断し(ステップS252)、超えたと判断した場合(ステップS252のYes)にACL情報保持部110における取得したホスト名と全IPアドレスの関連付け情報を更新し(ステップS253)、処理を終了する(ステップS254)。なお、関連付け情報の更新は、ACL情報保持部110に登録された全ホスト名についてDNS前方参照して得られたIPアドレスで更新することにより行うものである。
図13(d)は、他のネットワーク通信機器からアドレス解決パケットを受信した場合に、関連付け情報を更新するようにしたものである。他のネットワーク通信機器からアドレス解決パケットを受信した場合は関連付け情報が古くなっていると考えられるため、関連付け情報を更新するものである。
図13(d)において、処理を開始すると(ステップS261)、他のネットワーク通信機器からアドレス解決パケットを受信したか否か判断し(ステップS262)、受信したと判断した場合(ステップS262のYes)にACL情報保持部110における取得したホスト名と全IPアドレスの関連付け情報を更新し(ステップS263)、処理を終了する(ステップS264)。なお、関連付け情報の更新は、ACL情報保持部110に登録された全ホスト名についてDNS前方参照して得られたIPアドレスで更新することにより行うものである。
図13(e)は、ネットワーク通信機器の電源起動時に、関連付け情報を更新するようにしたものである。電源起動時は以前の関連付け情報が古くなっているか消失している可能性があるため、関連付け情報を更新するものである。
図13(e)において、処理を開始すると(ステップS271)、ネットワーク通信機器の電源を起動し(ステップS272)、続いて、ACL情報保持部110における取得したホスト名と全IPアドレスの関連付け情報を更新し(ステップS273)、処理を終了する(ステップS274)。なお、関連付け情報の更新は、ACL情報保持部110に登録された全ホスト名についてDNS前方参照して得られたIPアドレスで更新することにより行うものである。
図13(f)は、ルータから新しいプレフィクス(IPv6のRA(Router Advertisement:ルータ広告)のプレフィックス)を受信した場合に、関連付け情報を更新するようにしたものである。ルータがネットワーク通信機器と同一セグメントに追加された時には新しいプレフィックスを受信するので、新しいルータが追加されたと判断して関連付け情報を更新するものである。
図13(f)において、処理を開始すると(ステップS281)、他のネットワーク通信機器からアドレス解決パケットを受信したか否か判断し(ステップS282)、受信したと判断した場合(ステップS282のYes)にACL情報保持部110における取得したホスト名と全IPアドレスの関連付け情報を更新し(ステップS283)、処理を終了する(ステップS284)。なお、関連付け情報の更新は、ACL情報保持部110に登録された全ホスト名についてDNS前方参照して得られたIPアドレスで更新することにより行うものである。
<総括>
以上説明したように、本発明の実施形態によれば次のような利点がある。
(1)ホスト名から検索したIPアドレスとIPsec設定保持部の設定内容とを比較することにより、IPsec通信の設定がされており、IPsec通信できる状態のIPアドレスを特定することができ、この特定されたIPアドレスを使って通信を行うことにより、アプリケーションはIPsec通信設定を意識することなしに処理を行うことができる。また、不要なパケットも出すことはない。
(2)特定したIPアドレスについて実際に通信させることにより、IPsec通信設定の間違いで通信できないことがないことを確認することができる。また、実際に通信させることにより、IKEでの前段処理を確実に実施することができ、IPsec処理での時間がかかるIKEでの鍵交換も終了しているため、アプリケーションでの応答はIPsec実施時、非実施でほとんど変わらないで処理を行うことができる。
(3)ホスト名から検索したIPアドレスとIPsecSAデータベースの設定内容とを比較することにより、実際にIPsec通信しているIPアドレスを特定することができる。この特定したIPアドレスを使って通信を行うことにより、アプリケーションはIPsec通信設定を意識することなしに処理を行うことができる。また、不要なパケットも出すことはないし、IPsec処理での時間がかかるIKEでの鍵交換も終了しているため、アプリケーションでの応答はIPsec実施時、非実施でほとんど変わらないで処理を行うことができる。
(4)IPsecで通信したことがない相手に対してもICMPパケットを送信することでIPsecSAデータベースの作成を実施することができる。このため、全ての相手に対してICMPを送信することなしに、実際に通信できる相手を最低限のパケットにより通信経路を確実に確保した形で検索することができる。そして、IPsec処理での時間がかかるIKEでの鍵交換も終了しているのでアプリケーションでの応答はIPsec実施時、非実施でほとんど変わらないで処理を行うことができる。
(5)IPsecSAデータベースの参照によりIPアドレスの特定ができなかった場合に、続けてIPsec設定保持部の参照によりIPアドレスの特定を行うことにより、IPsecで通信したことがない相手でもIPsec通信が可能なIPアドレスを特定することができる可能性を高めることができる。
(6)IPアドレスからホスト名を検索し、そのホスト名に割り当てられているIPアドレスを全部取得してホスト名とIPアドレスを関連付け、そのIPアドレスに対応したホストに対してアクセスコントロールすることにより、ネットワーク通信機器でのアクセスコントロール設定が1つのIPアドレスしか設定されていなくても、そのホストが持っている他のアドレスによるアクセスに対して適切にアクセスコントロールすることができる。
(7)取得したホスト名と全IPアドレスの関連付け情報はネットワーク環境、接続機器の状況により常に変化しており、関連付け情報が古くなっていくことにより誤ったアクセスコントロールをする可能性があるが、所定のタイミングで関連付け情報を更新することでそのような事態を防止することができる。
以上、本発明の好適な実施の形態により本発明を説明した。ここでは特定の具体例を示して本発明を説明したが、特許請求の範囲に定義された本発明の広範な趣旨および範囲から逸脱することなく、これら具体例に様々な修正および変更を加えることができることは明らかである。すなわち、具体例の詳細および添付の図面により本発明が限定されるものと解釈してはならない。
本発明の第1の実施形態にかかるネットワーク構成例を示す図である。 ネットワーク通信機器のソフトウェア構成例を示す図である。 IPsec設定保持部およびIPsecSAデータベースのデータ構造例を示す図である。 ネットワーク通信機器のネットワーク制御部における処理例を示すフローチャート(その1)である。 ネットワーク通信機器のネットワーク制御部における処理例を示すフローチャート(その2)である。 ネットワーク通信機器のネットワーク制御部における処理例を示すフローチャート(その3)である。 ネットワーク通信機器のネットワーク制御部における処理例を示すフローチャート(その4)である。 本発明の第2の実施形態にかかるネットワーク構成例を示す図である。 ネットワーク通信機器のソフトウェア構成例を示す図である。 ACL情報保持部のデータ構造例を示す図である。 ネットワーク通信機器のネットワーク制御部における処理例を示すフローチャートである。 機器間の信号のやりとりの例を示すシーケンス図である。 関連付け情報更新の処理例を示すフローチャートである。
符号の説明
1A〜1G ネットワーク通信機器
101 アプリケーション
102 ネットワーク制御部
103 IPsec設定部
104 IPsec設定保持部
105 IPアドレス決定部
106 DNS検索部
107 IKE処理部
108 各種設定部
109 各種設定値保持部
110 ACL情報保持部
111 ACL情報判断部
112 登録アドレス選択部
113 登録ホスト名生成部
114 DNS処理部
115 OS
116 ネットワークプロトコル処理部
117 IP処理部
118 IPsec処理部
119 IPsecSAデータベース
120 I/F処理部
2 DNS
3A、3B ルータ

Claims (11)

  1. 複数のアドレスを保有するネットワーク通信機器であって、
    接続先の名前もしくは識別子に対応する全てのアドレスをアドレス解決により取得するアドレス取得手段と、
    取得したアドレスをセキュリティ通信の設定内容と比較することでセキュリティ通信が可能なアドレスを決定するアドレス決定手段とを備えたことを特徴とするネットワーク通信機器。
  2. 請求項1に記載のネットワーク通信機器において、
    上記セキュリティ通信の設定内容は、ユーザによるセキュリティ通信の設定内容を保持する設定保持部から取得することを特徴とするネットワーク通信機器。
  3. 請求項1に記載のネットワーク通信機器において、
    上記セキュリティ通信の設定内容は、現時点で有効なセキュリティ通信の設定内容を保持するデータベースから取得することを特徴とするネットワーク通信機器。
  4. 請求項1に記載のネットワーク通信機器において、
    上記アドレス決定手段は、上記アドレス取得手段により取得したアドレスを現時点で有効なセキュリティ通信の設定内容を保持するデータベースから取得したセキュリティ通信の設定内容と比較することでセキュリティ通信が可能なアドレスを決定するとともに、セキュリティ通信が可能なアドレスが決定できない場合に、上記アドレス取得手段により取得したアドレスをユーザによるセキュリティ通信の設定内容を保持する設定保持部から取得したセキュリティ通信の設定内容と比較することでセキュリティ通信が可能なアドレスを決定することを特徴とするネットワーク通信機器。
  5. 請求項1乃至4のいずれか一項に記載のネットワーク通信機器において、
    上記アドレス決定手段は、上記セキュリティ通信の設定内容にセキュリティ通信を必須とするモードの設定が一つでも存在する場合に、上記アドレス取得手段により取得したアドレスをセキュリティ通信の設定内容と比較することでセキュリティ通信が可能なアドレスを決定することを特徴とするネットワーク通信機器。
  6. 請求項1乃至5のいずれか一項に記載のネットワーク通信機器において、
    上記アドレス決定手段は、上記アドレス取得手段により取得したアドレスをセキュリティ通信の設定内容と比較することで特定したアドレスにつき、セキュリティ通信を実行することで実際にセキュリティ通信が行えることを確認した後にセキュリティ通信が可能なアドレスとして決定することを特徴とするネットワーク通信機器。
  7. 請求項3に記載のネットワーク通信機器において、
    上記アドレス決定手段は、上記データベースの設定内容と比較することでセキュリティ通信が可能なアドレスを特定できない場合、上記アドレス取得手段により取得したアドレスにつきセキュリティ通信を実行することで、実際にセキュリティ通信が行えることが確認できたアドレスをセキュリティ通信が可能なアドレスとして決定することを特徴とするネットワーク通信機器。
  8. 複数のアドレスを保有するネットワーク通信機器であって、
    他のネットワーク通信機器からアクセス要求があった場合、そのアクセス元のアドレスが許可されていない場合に当該アドレスからホスト名を取得するとともに、取得したホスト名に対応する全てのアドレスを取得する手段と、
    取得したアドレスに基づいてアクセスの制御を行う手段とを備えたことを特徴とするネットワーク通信機器。
  9. 請求項8に記載のネットワーク通信機器において、
    アクセスが許可されるホスト名と当該ホスト名に対応する全てのアドレスとを関連付けて保持する手段と、
    所定のタイミングで上記ホスト名とアドレスとの関連付けを更新する手段とを備えたことを特徴とするネットワーク通信機器。
  10. 複数のアドレスを保有するネットワーク通信機器の制御方法であって、
    接続先の名前もしくは識別子に対応する全てのアドレスをアドレス解決により取得するアドレス取得工程と、
    取得したアドレスをセキュリティ通信の設定内容と比較することでセキュリティ通信が可能なアドレスを決定するアドレス決定工程とを備えたことを特徴とするネットワーク通信制御方法。
  11. 複数のアドレスを保有するネットワーク通信機器の制御方法であって、
    他のネットワーク通信機器からアクセス要求があった場合、そのアクセス元のアドレスが許可されていない場合に当該アドレスからホスト名を取得するとともに、取得したホスト名に対応する全てのアドレスを取得する工程と、
    取得したアドレスに基づいてアクセスの制御を行う工程とを備えたことを特徴とするネットワーク通信制御方法。
JP2007157654A 2007-06-14 2007-06-14 ネットワーク通信機器 Pending JP2008311939A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007157654A JP2008311939A (ja) 2007-06-14 2007-06-14 ネットワーク通信機器
US12/123,599 US20090328139A1 (en) 2007-06-14 2008-05-20 Network communication device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007157654A JP2008311939A (ja) 2007-06-14 2007-06-14 ネットワーク通信機器

Publications (1)

Publication Number Publication Date
JP2008311939A true JP2008311939A (ja) 2008-12-25

Family

ID=40239145

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007157654A Pending JP2008311939A (ja) 2007-06-14 2007-06-14 ネットワーク通信機器

Country Status (2)

Country Link
US (1) US20090328139A1 (ja)
JP (1) JP2008311939A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016162445A (ja) * 2015-02-27 2016-09-05 コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド IPP−USBデータのIPsecセキュリティのための方法およびシステム

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104901943A (zh) * 2012-03-31 2015-09-09 北京奇虎科技有限公司 一种访问网站的方法和系统
US9679132B2 (en) * 2012-04-16 2017-06-13 Hewlett Packard Enterprise Development Lp Filtering access to network content
US9756669B2 (en) * 2012-11-14 2017-09-05 General Motors Llc Method of establishing a mobile-terminated packet data connection
US9021558B2 (en) * 2013-01-22 2015-04-28 Sap Se User authentication based on network context

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6615357B1 (en) * 1999-01-29 2003-09-02 International Business Machines Corporation System and method for network address translation integration with IP security
US8327022B2 (en) * 2006-10-10 2012-12-04 International Business Machines Corporation Method and apparatus for updating a domain name server

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016162445A (ja) * 2015-02-27 2016-09-05 コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド IPP−USBデータのIPsecセキュリティのための方法およびシステム
JP2018049636A (ja) * 2015-02-27 2018-03-29 コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド ループバックインターフェースを使用して安全性を提供する方法およびシステム

Also Published As

Publication number Publication date
US20090328139A1 (en) 2009-12-31

Similar Documents

Publication Publication Date Title
JP5662133B2 (ja) Ipsecとipv6近隣要請の競合解消方法及びそのシステム
JP4018701B2 (ja) テンプレートを使用したインターネットプロトコルトンネリング
US7631181B2 (en) Communication apparatus and method, and program for applying security policy
KR100652964B1 (ko) 듀얼스택 네트워크 기기 및 그 브로드캐스트 방법
EP1441487A2 (en) Address query response method, program, and apparatus
US7720097B2 (en) Communication apparatus, communication method, communication program and recording medium
JP2009111437A (ja) ネットワークシステム
JP2009266202A (ja) セッション管理システム、その制御方法、及びクライアント端末
JP3944182B2 (ja) セキュリティ通信方法
JP3646731B2 (ja) 情報処理装置および受信装置
JP2008311939A (ja) ネットワーク通信機器
JP5328472B2 (ja) ネットワーク通信装置及び方法とプログラム
JP5850046B2 (ja) 通信装置、通信システム及び通信方法
JP5473248B2 (ja) 情報処理装置、情報処理装置の制御方法及びコンピュータプログラム
JP2017010388A (ja) Httpサーバとその制御方法、画像形成装置およびプログラム
US20080118005A1 (en) Receiving apparatus and receiving method
JP4921864B2 (ja) 通信制御装置、認証システムおよび通信制御プログラム
JP4905376B2 (ja) 複数のネットワークプロトコルに対応した通信システムおよび通信方法
JP2005167608A (ja) 暗号通信装置、暗号通信方法、コンピュータプログラム、及びコンピュータ読み取り可能な記録媒体
JP5587085B2 (ja) 通信システム、制御装置及び制御プログラム
CN112187963A (zh) 分布式哈希表实现方法、计算机装置和存储介质
WO2014125708A1 (ja) 受信装置、受信装置制御方法、受信装置制御プログラム、ネットワークシステム、ネットワークシステム制御方法、及びネットワークシステム制御プログラム
JP2005079921A (ja) 通信装置、アドレス生成方法、プログラム、及び記憶媒体
JP4702332B2 (ja) 情報処理装置および受信装置
JP3788802B2 (ja) ネットワーク間セキュア通信方法、パケットセキュア処理装置、その処理方法、プログラム、その記録媒体、アドレス変換装置