JP2009033540A - 通信装置 - Google Patents

通信装置 Download PDF

Info

Publication number
JP2009033540A
JP2009033540A JP2007196151A JP2007196151A JP2009033540A JP 2009033540 A JP2009033540 A JP 2009033540A JP 2007196151 A JP2007196151 A JP 2007196151A JP 2007196151 A JP2007196151 A JP 2007196151A JP 2009033540 A JP2009033540 A JP 2009033540A
Authority
JP
Japan
Prior art keywords
communication
setting
security
remote device
security policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007196151A
Other languages
English (en)
Inventor
Kei Sato
圭 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2007196151A priority Critical patent/JP2009033540A/ja
Publication of JP2009033540A publication Critical patent/JP2009033540A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】 遠隔装置からIPsecの設定に失敗した場合であったとしても、遠隔装置から機器に対して再度リモートアクセスを可能とし、IPsecの再設定が行えるようにする。
【解決手段】 リモート機器からセキュリティ通信に使用するセキュリティポリシーの設定を行う場合、その設定内容にポリシーの設定に使用している通信経路が含まれている場合はセキュリティ通信の検証を行う。通信が行われなかった場合は設定されたポリシーを削除する。
【選択図】 図1

Description

本発明は、セキュリティポリシーの設定が正しく行われたか検証を行う通信装置に関するものである。
近年のネットワーク機器にはインターネットに接続されたエンドノード間でのセキュリティ通信を実現するために、OSI参照モデルのIP層において暗号化通信を提供するIPsec(Internet Protocol Security)が搭載されている。
IPsecでは暗号化通信にどのような暗号アルゴリズムを使用するかなどの通信機器間のセキュリティ設定の整合をSA(Security Association)で実現している。また、どの装置に対して暗号化通信を行うか、或いは行わないかなどのセキュリティポリシーをSP(Security Policy)で実現している。SAについては、鍵交換プロトコルであるIKEを使用することにより、IPsec通信を行うそれぞれの機器に対して自動的に整合を取ることが可能である。それに対して、SPについてはそれぞれの機器に対して手動で行う必要がある。
一般に、ネットワークに接続された通信機器には、ユーザの利便性を向上させるために、ネットワークに接続された他の遠隔装置から機器設定を可能とする機能を提供している。特にIPsecは機器間で個別にSAおよびSPの設定を行う必要がある。また、設定項目も多岐に渡るため、設定が複雑になっている。そのため、ハードウェアとして豊富なユーザインターフェイスを持っていないSFP(Single Function Printer)のような装置では、遠隔装置からソフトウェアでIPsecの設定を提供している。セキュリティ通信に関する設定の場合、任意の機器からの通信を許可しない設定が可能であるため、ユーザが意図せずとも通信が不可能になってしまう問題がある。
上記の問題に対して、遠隔の通信装置からセキュリティポリシーを設定する際に、通信が許可されなくなる場合は、設定前に警告を通知する技術があった。(例えば、特許文献1参照。)
特開2005-072644号公報
しかしながら、上記の従来の技術ではセキュリティポリシーの設定が通信許可しないかどうかのみを検出するものである。IPsecのセキュリティポリシーの設定は通信を行う機器同士で設定が個別に正しく行われている必要があり、従来技術では検出できない。そのため、設定を間違った場合には機器間の通信が不能になってしまう。
特に、遠隔機器からのIPsecのセキュリティポリシーの設定において、設定に使用している通信ポートに対する設定を失敗した場合には、リモート機器からのアクセスが不可能となる。そのため、通信を復旧するために機器まで赴き設定を解除する必要が生じる問題がある。
一般にIPsecにおいては、全ての通信ポートに対してIPsecの適用を設定することが可能であり、IPsecの設定に使用しているポートのように、設定を失敗した場合に不利益になるようなポートに対してもユーザが意図せず設定してしまう恐れがある。
上述した課題を解決するために、本発明は、他のリモート装置から設定を行うセキュリティポリシー内に前記他のリモート装置との間でセキュリティポリシーの設定に使用している通信経路が含まれるか判定する手段と、設定検証期間を指定する手段と、前記判定手段によりセキュリティポリシーの設定に使用している通信経路が含まれる場合には前記設定検証期間内に前記他のリモート機器との間でセキュリティポリシーの設定に使用している通信経路を用いたセキュリティ通信を検知する手段と、前記検知手段により前記設定検証期間内に前記他のリモート機器との間でセキュリティポリシーの設定に使用している通信経路を用いたセキュリティ通信が検知できない場合には前記他のリモート装置から設定を行ったセキュリティポリシーを無効にする手段を有することを特徴とする通信装置である。上述した課題を解決するために、本発明は、他のリモート装置から設定を行うセキュリティポリシー内に前記他のリモート装置との間でセキュリティポリシーの設定に使用している通信経路が含まれるか判定する手段と、設定検証期間を指定する手段と、前記判定手段によりセキュリティポリシーの設定に使用している通信経路が含まれる場合には前記設定検証期間内に前記他のリモート機器との間でセキュリティポリシーの設定に使用している通信経路を用いたセキュリティ通信を検知する手段と、前記検知手段により前記設定検証期間内に前記他のリモート機器との間でセキュリティポリシーの設定に使用している通信経路を用いたセキュリティ通信が検知できない場合には前記他のリモート装置から設定を行ったセキュリティポリシーを無効にする手段を有することを特徴とする通信装置である。
遠隔装置からIPsecの設定に失敗した場合であったとしても、遠隔装置から機器に対して再度リモートアクセスが可能となり、IPsecの再設定が行える。それにより、遠隔装置からの設定機会が広がり、ユーザの利便性を向上させることができる。
次に、本発明の詳細を実施例の記述に従って説明する。
以下、本発明を実施するための最良の形態を図面に基づいて説明する。
図5はネットワークに接続された通信機器の構成図である。
通信機器500と、通信機器500に対して遠隔から設定を行うリモート機器501はLAN502によって接続されている。なお、ここでは通信機器500とリモート機器501はLAN502接続されているが、ルータを経由したネットワークやインターネットを経由して接続されていてもよい。
図1は通信装置の内部の構成要素を表したブロック図である。
通信装置はユーザからセキュリティポリシーの入出力を受け付けるUI3と、ユーザから入力されたセキュリティポリシーの追加、修正、削除などの設定処理を扱うSP設定部1と、セキュリティポリシーに関する処理の制御を行うSP制御部2を備える。また、SP設定部1によって設定されたセキュリティポリシーを格納するSPD(セキュリティポリシーデータベース)4を備える。
また、追加、又は修正されたセキュリティポリシーの中にリモート機器からの設定に使用している通信経路に関するものがあるかを判定するSP解析部5と、通信機器のネットワーク設定を格納しているネットワーク設定DB7を備える。ネットワーク設定DB7には、特に本実施形態で用いる項目として、リモート機器からのセキュリティポリシーの設定に使用している通信ポート405や検証時間406が格納されている。ネットワーク設定DB7の詳細を図4に示す。
また、リモート機器から設定されたセキュリティポリシーの中にリモート機器からの設定に使用している通信ポート405が含まれていた場合に、リモート機器からのIPsec通信を受信できるかを検証する通信検証部6を備える。
該検証期間中に該リモート機器からのIPsec通信が受信できなかった場合、通信検証部6はその旨をSP制御部2に通知する。
なお、図2は、本発明の通信装置における通信検証処理の一例を示すフローチャートである。
図3は本発明で提案する通信装置における通信検証処理の一例を示すフローチャートである。以下、図3を示しながら、実施形態における処理の流れを説明する。
まず、SP設定部1はUI3を通してユーザからのセキュリティポリシーの追加、修正、削除を検知する(ステップS1)。次に、SP設定部1はリモート機器のネットワーク情報を記憶部8に保持する(ステップS2)。リモート機器のネットワーク情報の詳細について図3に示す。
次に、SP解析部5は変更されたセキュリティポリシー内に、リモート機器からの設定に使用している通信ポート405に対するものが存在するかを解析する(ステップS3)。ここで、セキュリティポリシーが存在した場合、通信検証部6は検証を行う期間を決定するためにネットワーク設定DBから検証時間406の値を取得する(ステップS4)。その後、SP制御部2はステップで検知したSPを適用する(ステップS5)。通信検証部6はステップS5のSPの適用後から検証時間406が経過するまで、ステップで保持したリモート機器の情報を元にリモート機器からの設定に使用している通信ポート405上のIPsec通信を監視し続ける(ステップS6、及びS7)。ここで、該当するIPsec通信を検知した場合は、変更されたSPの設定値が正しかったことが検証できたので本処理を終了する。
ステップS7において検証時間406が経過してもIPsec通信が検知できなかった場合は変更されたSPの設定値が不正であるとみなし、通信検証部6はその旨をSP制御部2へ通知する。SP制御部2はステップS5で適用された不正なセキュリティポリシーの削除をSPD4に対して行う(ステップS8)。なお、ステップS8においてセキュリティポリシーを削除した旨の通知をUI3に対して行ってもよい。
ステップにおいて該当セキュリティポリシーが存在しなかった場合は検証を行う必要がないため、SP制御部2はステップS1で検知したSPを適用(ステップS9)した後、本処理を終了する。
通信装置の内部の構成要素を表したブロック図である。 通信装置における通信検証処理の一例を示すフローチャートである。 リモート機器のネットワーク情報の詳細を示す図である。 ネットワーク設定DBの詳細情報を示す図である。 機器構成図である。
符号の説明
1 通信装置におけるSP設定部
2 通信装置におけるSP制御部
3 通信装置におけるUI
4 通信装置におけるSPD
5 通信装置におけるSP解析部
6 通信装置における通信検証部
7 通信装置におけるネットワーク設定DB
8 通信装置における記憶部

Claims (5)

  1. ネットワークに接続された他のリモート装置からセキュリティ通信に用いるセキュリティポリシーの設定が可能な通信装置において、前記他のリモート装置から設定を行うセキュリティポリシー内に前記他のリモート装置との間でセキュリティポリシーの設定に使用している通信経路が含まれるか判定する手段と、設定検証期間を指定する手段と、前記判定手段によりセキュリティポリシーの設定に使用している通信経路が含まれる場合には前記設定検証期間内に前記他のリモート機器との間でセキュリティポリシーの設定に使用している通信経路を用いたセキュリティ通信を検知する手段と、前記検知手段により前記設定検証期間内に前記他のリモート機器との間でセキュリティポリシーの設定に使用している通信経路を用いたセキュリティ通信が検知できない場合には前記他のリモート装置から設定を行ったセキュリティポリシーを無効にする手段を有することを特徴とする通信装置。
  2. 前記他のリモート装置から設定を行ったセキュリティポリシーを無効にする手段は、前記設定を行ったセキュリティポリシーの内、前記他のリモート装置との間で設定に使用している通信経路に対するポリシーのみを無効にすることを特徴とする、請求項1に記載の通信装置。
  3. 前記セキュリティ通信はIPsec(Internet Protocol Security)通信を含むことを特徴とする、請求項1に記載の通信装置。
  4. 前記通信経路はTCP(Transmision Controul Protocol)、又はUDP(User Datagram Protocol)の通信ポートを含むことを特徴とする、請求項1に記載の通信装置。
  5. 前記リモート装置との間で設定に使用している通信経路はIKE(Internet Key Exchange)で使用している通信ポートを含むことを特徴とする、請求項1に記載の通信装置。
JP2007196151A 2007-07-27 2007-07-27 通信装置 Pending JP2009033540A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007196151A JP2009033540A (ja) 2007-07-27 2007-07-27 通信装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007196151A JP2009033540A (ja) 2007-07-27 2007-07-27 通信装置

Publications (1)

Publication Number Publication Date
JP2009033540A true JP2009033540A (ja) 2009-02-12

Family

ID=40403532

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007196151A Pending JP2009033540A (ja) 2007-07-27 2007-07-27 通信装置

Country Status (1)

Country Link
JP (1) JP2009033540A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015079451A (ja) * 2013-10-18 2015-04-23 キヤノン株式会社 画像形成装置及びその制御方法、並びにプログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015079451A (ja) * 2013-10-18 2015-04-23 キヤノン株式会社 画像形成装置及びその制御方法、並びにプログラム

Similar Documents

Publication Publication Date Title
JP2009502052A5 (ja)
CN105027493B (zh) 安全移动应用连接总线
US7809966B2 (en) Information processing apparatus having a low power consumption state and releasing the low power consumption state to perform communication, and power control method therefor
US8555348B2 (en) Hierarchical trust based posture reporting and policy enforcement
US20060085850A1 (en) System and methods for providing network quarantine using IPsec
US20110113236A1 (en) Methods, systems, and computer readable media for offloading internet protocol security (ipsec) processing using an ipsec proxy mechanism
US20060031922A1 (en) IPsec communication method, communication control apparatus, and network camera
US20060288016A1 (en) System and method for coordinated network configuration
EP1700180A2 (en) System and method for managing a proxy request over a secure network using inherited security attributes
JP2005072636A (ja) 通信システム、同通信システムにおけるセキュリティポリシーの配布方法、サーバ装置、ならびにセキュリティポリシーの配布プログラム
JP2008052371A (ja) アウトバンド認証を伴うネットワークシステム
JP2008005434A (ja) 通信制御装置、通信制御方法および通信制御プログラム
CN102137100A (zh) 构建ip层ssl vpn隧道的方法
US8065723B2 (en) Network communication device
US20110078436A1 (en) Communication apparatus, method for controlling communication apparatus and storage medium
ZA200508074B (en) System and methods for providing network quarantine using ipsec
JP2008154103A (ja) 通信中継装置
JP2009033540A (ja) 通信装置
CN107342963A (zh) 一种虚拟机安全控制方法、系统及网络设备
US20120216033A1 (en) Communication system, printing device, and sa establishment method
CN115981274A (zh) 一种工业控制系统的安全保护系统
CN113810352B (zh) 虚拟私人网络连线方法以及应用该方法的储存卡装置
GB2606137A (en) Controlling command execution in a computer network
JP2004054488A (ja) ファイアウォール装置
US7484094B1 (en) Opening computer files quickly and safely over a network

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20100201

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20100630