JP2010045769A - 組み込み機器、遠隔処理方法およびプログラム - Google Patents

組み込み機器、遠隔処理方法およびプログラム Download PDF

Info

Publication number
JP2010045769A
JP2010045769A JP2009135091A JP2009135091A JP2010045769A JP 2010045769 A JP2010045769 A JP 2010045769A JP 2009135091 A JP2009135091 A JP 2009135091A JP 2009135091 A JP2009135091 A JP 2009135091A JP 2010045769 A JP2010045769 A JP 2010045769A
Authority
JP
Japan
Prior art keywords
port
connection request
daemon
encrypted communication
telnet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009135091A
Other languages
English (en)
Other versions
JP4691177B2 (ja
Inventor
Manabu Nakamura
学 中村
Takehito Kuroko
岳人 黒子
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2009135091A priority Critical patent/JP4691177B2/ja
Priority to US12/495,938 priority patent/US8966244B2/en
Publication of JP2010045769A publication Critical patent/JP2010045769A/ja
Application granted granted Critical
Publication of JP4691177B2 publication Critical patent/JP4691177B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/08Protocols specially adapted for terminal emulation, e.g. Telnet

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】開発労力を軽減するとともに、簡易な手法でかつ確実にセキュリティを向上させて、クライアント装置から遠隔処理を行うこと。
【解決手段】外部向けポート12と内部向けポート13とを監視し、外部向けポート12を介したtelnetデーモン11に対するtelnet接続要求を拒否し、内部向けポート13を介したtelnet接続要求を許可するinetデーモン16と、外部向けポート12または内部向けポート13のいずれかの転送先ポートが指定され、かつ暗号化された接続要求を受信した場合に、接続要求を転送先ポートを介してinetデーモン16に転送するSSHデーモン14と、を備えた。
【選択図】図1

Description

この発明は、クライアント装置とネットワークで接続された組み込み機器、遠隔処理方法およびプログラムに関する。
近年、プリンタ、コピー、ファクシミリ(FAX)、スキャナなどの各装置の機能を1つの筐体内に収納した、いわゆるMFP(Multi Function Peripheral)と呼ばれる複合機などの組み込み機器において、組み込み機器の各種設定、各種設定の参照または変更などを行う必要がある。ここで、組み込み機器の各種設定、各種設定の参照または変更などは、クライアント装置からtelnetプロトコルを利用した遠隔通信サービス(以下、「telnetサービス」という。)により行われている。
また、このような組み込み機器の各種設定、各種設定の参照または変更などは、平文の非暗号化通信ではなく、暗号化通信により行いセキュリティを強化することが好ましい。
しかしながら、各種設定、各種設定の参照または変更に利用されるtelnetプロトコルは、平文で通信を行うプロトコルであるため、セキュリティを向上させるため、SSH(Secure SHell)プログラム(以下、「SSHサービス」という。)を利用した暗号化通信が考えられる。すなわち、クライアント装置からSSHサービスを利用してサーバである組み込み機器に対して暗号化通信により各種設定、各種設定の参照または変更を行うことが考えられる。
ここで、組み込み機器に搭載されるtelnetサービスは、UNIX(登録商標)で使用されるtelnetサービスとは異なっている。すなわち、UNIX(登録商標)で利用されるtelnetサービスは、ユーザがネットワークを介してクライアント装置からサーバにログインして遠隔操作するものであり、シェルからサーバ上のUNIX(登録商標)ファイルシステムにアクセスを行ったり、シェルからサーバ上のUNIX(登録商標)で提供されるコマンドを実行することが可能である。
これに対して組み込み機器に組み込まれているtelnetサービスでは、このようなUNIX(登録商標)のtelnetサービスとは異なり、組み込み機器のファイルシステムへのアクセスはできず、組み込み機器のOSで提供されるコマンドの実行も許可されていない。言い換えれば、組み込み機器のtelnetサービスは、あくまで、組み込み機器の各種設定、各種設定の参照または変更等をクライアント装置から遠隔操作で行うためのプログラムとしての機能しか有していない。
また、組み込み機器に搭載されるSSHサービスの機能も、telnetサービスと同様に、UNIX(登録商標)で提供されるSSHサービスの機能とは異なっている。すなわち、UNIX(登録商標)のSSHサービスは、SSL(Secure Socket Layer)プロトコルを利用した暗号化通信によりサーバにログインしてシェルを起動し、その後はtelnetサービスと同様にシェルから遠隔操作を行うことができる。これに対し、組み込み機器に搭載されるSSHサービスは、組み込み機器のtelnetサービスが上述のように、ファイルシステムへのアクセスやUNIX(登録商標)コマンドの実行が許可されていないという特殊性に伴い、シェルの機能を有しておらず、従ってシェルを起動することができない。
このため、クライアント装置から組み込み機器に対して暗号化通信により各種設定、各種設定の参照または変更を行うためには、以下の手法が考えられる。
第1の手法としては、SSHサービス、すなわちSSHデーモンに(sshd)にtelnetサービス、すなわちtelnetデーモン(telnetd)と同等の機能を組み込むことが考えられる。
しかしながら、この手法では、telnetデーモンとSSHデーモンの双方の保守が必要となり、プログラムの保守や管理が煩雑になるという問題がある。
第2の手法としては、UNIX(登録商標)の一般的手法のようにinetデーモンがtelnetデーモンを起動するのではなく、SSHデーモンがtelnetデーモンを直接起動して、SSHデーモンとtelnetデーモンをパイプ接続する手法が考えられる。
しかしながら、この手法では、telnetデーモンの新規開発が必要となる他、ポートの識別の面で、処理が煩雑となるという問題がある。
そこで、SSHサービスの機能であるポートフォワード機能を利用して、telnetサービスと同等の機能を提供することが考えられる。すなわち、SSHサービスのポートフォワード機能を利用して内部ネットワークからtelnetサービスにアクセスすることにより、telnetサービスを利用可能とする技術が知られている。
しかしながら、このようなポートフォワード機能は、非暗号化通信の接続が可能なポートに対して、SSHデーモンを経由した暗号化通信を可能とするものであり、非暗号化通信を回避するものではないため、非暗号化通信の利用も可能なままである。すなわち、SSHのポートフォワード機能を用いるためには、常時telnetデーモンを起動しておく必要があり、このことは、暗号化通信を担うポートだけではなく、非暗号化通信を担うポートが常にオープンになった状態であることを意味する。
従って、セキュリティに関する知識に乏しいユーザが、非暗号化通信を行った場合に、平文の情報が傍受されてしまうという危険性がある。これを解決するために、クライアント装置から非暗号化通信のリクエストを受信した場合に、リクエストを送信したクライアント装置に対して暗号化通信を行う旨の応答を送信する技術が知られている(例えば、特許文献1参照)。
しかしながら、このような従来技術では、非暗号化通信を回避する場合、非暗号化通信の機能を無効にするしか手段はなく、このような手法では、SSHポートフォワード機能の利用も不可能となってしまう。
この発明は上記の点に鑑みてなされたものであり、開発労力を軽減するとともに、簡易な手法でかつ確実にセキュリティを向上させて、クライアント装置から遠隔処理を行うことができる組み込み機器、遠隔処理方法およびプログラムを提供することを目的とする。
上記の目的を達成するため、本発明にかかる組み込み機器は、クライアント装置とネットワークで接続された組み込み機器であって、前記クライアント装置からの遠隔操作により所定の処理を実行する処理手段と、前記処理手段に対する非暗号化通信の接続インタフェースである第1ポートと、前記処理手段に対する暗号化通信の接続インタフェースである第2ポートと、を監視し、前記第1ポートを介した前記処理手段に対する接続要求を拒否し、前記第2ポートを介した前記処理手段に対する接続要求を許可する監視手段と、前記クライアント装置との間で暗号化通信を行い、前記第1ポートまたは前記第2ポートのいずれかの転送先ポートが指定され、かつ暗号化された接続要求を受信した場合に、前記接続要求を復号化して、復号化された接続要求を、前記転送先ポートを介して前記監視手段に転送する暗号化通信手段と、を備え、前記処理手段は、前記接続要求が許可された場合に、前記第2ポートおよび前記暗号化通信手段を介した前記クライアント装置との暗号化通信により前記所定の処理を行うことを特徴とする。
また、本発明は、上記組み込み機器で実行される遠隔処理方法、コンピュータを上記組み込み機器の各手段として機能させるためのプログラムである。
本発明によれば、開発労力を軽減するとともに、簡易な手法でかつ確実にセキュリティを向上させて、クライアント装置から遠隔処理を行うことができるという効果を奏する。
図1は、第1の実施の形態にかかる遠隔処理システムのネットワーク構成および画像形成装置の機能的構成を示すブロック図である。 図2は、第1の実施の形態のSSHデーモンの処理手順を示すフローチャートである。 図3は、第1の実施の形態のinetデーモンの処理手順を示すフローチャートである。 図4は、telnet接続要求の拒否の例を示すシーケンス図である。 図5は、telnet接続要求の許可の例を示すシーケンス図である。 図6は、第1の実施の形態の変形例のinetデーモンの処理手順を示すフローチャートである。 図7は、第1の実施の形態の変形例におけるtelnet接続要求のエラー応答の処理手順を示すシーケンス図である。 図8は、外部向けポート接続エラー時のエラー応答の表示例を示す図である。 図9は、外部向けポート接続エラー時のエラーメッセージの他の表示例を示す図である。 図10は、第2の実施の形態にかかる遠隔処理システムのネットワーク構成および画像形成装置の機能的構成を示すブロック図である。 図11は、第2の実施の形態のinetデーモンの処理手順を示すフローチャートである。 図12は、第2の実施の形態におけるIPSec利用時のtelnet接続を示すシーケンス図である。 図13は、第3の実施の形態にかかる遠隔処理システムのネットワーク構成および画像形成装置の機能的構成を示すブロック図である。 図14は、第3の実施の形態のSSHデーモンの処理手順を示すフローチャートである。 図15は、第3の実施の形態におけるtelnet接続要求の処理の例を示すシーケンス図である。 図16は、第4の実施の形態にかかる遠隔処理システムのネットワーク構成および画像形成装置の機能的構成を示すブロック図である。 図17は、第4の実施の形態のinetデーモンの処理手順を示すフローチャートである。 図18は、第4の実施の形態のFTP接続要求の処理の例を示すシーケンス図である。 図19は、第1〜4の実施の形態にかかる画像形成装置のハードウェア構成を示すブロック図である。
以下に添付図面を参照して、この発明にかかる組み込み機器、遠隔処理方法およびプログラムの最良な実施の形態を詳細に説明する。以下に示す実施の形態では、本発明の組み込み機器を、複写機、プリンタ装置、スキャナ装置、ファクシミリ装置、またはコピー機能、スキャナ機能、プリンタ機能、ファクシミリ機能のうち少なくとも2つの機能を一つの筐体に搭載した複合機等の画像形成装置に適用した例をあげて説明する。ただし、これに限定されるものではなく、組み込み機器であればいずれの機器にも本発明を適用することができる。
(第1の実施の形態)
図1は、第1の実施の形態にかかる画像形成システムのネットワーク構成図およびPC,画像形成装置の機能的構成を示すブロック図である。この画像形成システムは、ファクシミリ装置、プリンタ、複写機、それらの複合機等の組み込み機器としての画像形成装置1とクライアント装置としてのPC(Personal Computer)2が、ローカルエリアネットワーク,インターネットを含むネットワーク3を介して通信可能に接続されている。
画像形成装置1は、CPU,ROM及びRAMからなるマイクロコンピュータによって実現され、ネットワーク制御サービス部10と、公知のため図示とその説明を省略する装置全体の制御を司る制御部と表示部と入力部と画像形成に係わる機能部を備えている。
ネットワーク制御サービス部10は、クラインと装置としてのPC2に対してネットワーク制御に関する各種サーバ機能を提供するものであり、外部向けポート12と内部向けポート13と、inetデーモン(INETD)16と、telnetデーモン(TLNTD)11と、rshデーモン(RSHD)18と、セキュアシェルデーモン(Secure Shell Daemon:SSHD、以下、「SSHデーモン」あるいは「SSHD」という。)14と主に備えている。なお、図1では、各デーモンがすでに起動している状態を示している。外部向けポート12は、telnetデーモン11の外部向けポートであり、画像形成装置1の外部と内部間における非暗号化通信の接続インタフェースとなるポートである。また、内部向けポート13は、telnetデーモン11の内部向けポートであり、画像形成装置1の内部間における暗号化通信の接続インタフェースとなるポートである。
telnetデーモン11は、画像形成装置1のtelnetサーバ機能をPC2に提供する機能部である。本実施の形態のtelnetデーモン11は、UNIX(登録商標)で利用されるtelnetサービスとは異なり、画像形成装置1の管理者向け各種設定や設定の参照、変更等を行う管理プログラムとしてのみ機能し、このためtelnetデーモン11は、ファイルシステムのアクセスやOSで提供されるコマンドの実行が不可能となっている。
rshデーモン11は、rshサーバ機能をPC2に提供する機能部である。
SSHデーモン14は、画像形成装置1のSSHサーバ機能をPC2に提供する機能部であり、PC2等の外部からのデータの送受信の接続インタフェースとなる外部向けポート15を備えており、PC2との間で外部向けポート15を介して暗号化通信を行う。
本実施の形態のSSHデーモン14は、telnetデーモン11がUNIX(登録商標)で提供されるtelnetサービスの機能を制限されていることに伴ってUNIX(登録商標)で提供されるSSHデーモンと異なり、暗号化通信によるログイン機能を提供するのみに限られており、シェルを起動することが不可能となっている。また、画像形成装置1のSSHデーモン14は、ポートフォワード機能を備えており、このポートフォワード機能を用いることによりtelnetデーモン11と同等のサービスを提供する。
ここで、telnet接続要求とは、telnetデーモン11に対する接続要求である。また、SSH接続要求とはSSHデーモン14に対する接続要求である。PC2からSSHのポートフォワード機能を利用してtelnetデーモン11への接続を行う場合には、telnetデーモン11のポートを転送先ポートとして指定したSSH接続要求を行うと、SSHデーモン14は、受信したSSH接続要求に含まれる転送先のtelnetのポートにSSH接続要求をtelnet接続要求として転送する。これが、SSHサービスにおけるポートフォワード機能である。
より具体的には、SSHデーモン14は、PC2から、外部向けポート12または内部向けポート13のいずれかの転送先ポートが指定され、かつ暗号化されたSSH接続要求を外部向けポート15を介して受信する。そして、SSHデーモン14は、SSH接続要求を受信した場合に、SSH接続要求を復号化して、復号化されたSSH接続要求から転送先ポートを抽出し、抽出した転送先ポートを介して復号化されたSSH接続要求を、telnet接続要求としてinetデーモン16に転送する。
inetデーモン(INETD)16は、telnetデーモン11や、rshデーモン18等の各デーモンの管理や制御を行い、必要に応じて各デーモンを起動する。
また、inetデーモン(INETD)16は、telnetデーモン11の外部向けポート12及び内部向けポート13を常に監視し、外部向けポート12からtelnet接続要求を受信した場合に、このtelnet接続要求を拒否する。また、本実施の形態のinetデーモン16は、SSHデーモン14のポートフォワード機能により転送されたtelnet接続要求を外部向けポート12を介して受信した場合に、このtelnet接続要求を拒否する。一方、本実施の形態のinetデーモン16は、SSHデーモン14のポートフォワード機能により転送されたtelnet接続要求を内部向けポート13を介して受信した場合に、このtelnet接続要求を許可し、telnet接続要求をtelnetデーモン11に転送する。このように、SSHデーモン14のポートフォワード機能を用いるとともに、さらに本実施の形態のinetデーモン16により、内部向けポート13を介してSSHデーモン14からポートフォワード機能により転送されてきたtelnet接続要求のみを許可して、telnetデーモン11に接続することにより、telnetサービスを用いた各種設定、各種設定の参照、更新等の処理を、PC2からセキュリティの高い暗号化通信により実行することが可能となる。
一方、PC2は、同じくCPU,ROM及びRAMからなるマイクロコンピュータによって実現され、telnetクライアント20と、セキュアシェル(Secure Shell:SSH)クライアント21と、公知なので図示とその説明を省略する装置全体の制御を司る制御部と表示部と入力部を備えている。
telnetクライアント20は、画像形成装置1に搭載されているtelnetサーバ機能へのtelnet接続のクライアント機能を提供する機能部である。
SSHクライアント21は、画像形成装置1に搭載されているSSHサーバ機能へのSSHポートフォワード接続のクライアント機能を提供する機能部である。
次に、以上のように構成された本実施の形態にかかる画像形成装置1によるネットワーク接続処理について説明する。図2は、第1の実施の形態のSSHデーモン14の接続要求の転送処理の手順を示すフローチャートである。
SSHデーモン14は、外部向けポート15を介したSSH接続要求の受信待ち状態となっている(ステップS11:No)。そして、SSHデーモン14がSSH接続要求を受信した場合(ステップS11:Yes)、受信したSSH接続要求は暗号化されているため、SSHデーモン14は、このSSH接続要求を復号化する(ステップS12)。そして、SSHデーモン14は、復号化されたSSH接続要求のパケットの中の所定の位置に指定された転送先ポートを抽出する(ステップS13)。そして、SSHデーモン14は、抽出した転送先ポートを判別する(ステップS14)。
そして、転送先ポートが外部向けポート12を示す場合、SSHデーモン14は、復号化されたSSH接続要求を、外部向けポート12を介してinetデーモン16にtelnet接続要求として転送する(ステップS15)。一方、ステップS14の判別の結果、転送先ポートが内部向けポート13を示す場合、SSHデーモン14は、復号化されたSSH接続要求を、telnet接続要求として内部向けポート13を介してinetデーモン16に転送する(ステップS16)。このように、SSHデーモン14によってPC2から受信したSSH接続要求は、ポートフォワード機能によりtelnet接続要求としてinetデーモン16に転送されることになる。
図3は、第1の実施の形態のinetデーモン16による接続要求の許可判断処理の手順を示すフローチャートである。inetデーモン16は、自身が起動されると、まずtelnetデーモン11やrshデーモン18を起動し(ステップS21)、各デーモンとパイプ接続する。
次いで、inetデーモン16は、接続要求の受信待ち状態となる(ステップS22:No)。そして、inetデーモン16は、telnet接続要求を受信した場合(ステップS22:Yes)、受信したtelnet接続要求のポートを判断する(ステップS23)。受信したポートの判断が、telnet接続要求のパケットで指定されたポートの箇所をみる、あるいはinetデーモン16が各ポート(内部向けポート13,外部向けポート12)から順次telnet接続要求パケットを取得しにいき、取得できた場合にそのポートを受信したポートとして判断すればよい。
そして、受信したポートが内部向けポート13である場合には、inetデーモン16は、受信したtelnet接続要求を許可し(ステップS24)、受信したtelnet接続要求をtelnetデーモン11に転送する(ステップS25)。これにより、PC2のtelnetクライアント20と画像形成装置1のtelnetデーモン11との接続が確立されることになる。
一方、ステップS23において、telnet接続要求を受信したポートが外部向けポート12である場合には、inetデーモン16は受信したtelnet接続要求を拒否し(ステップS26)、telnetデーモンへの接続は行わない。これにより、非暗号化通信によるtelnet接続は回避されることになる。
次に、このようなtelnet接続要求に対する処理を具体例をあげて説明する。図4は、telnet接続要求の拒否の例を示すシーケンス図である。ここでは、画像形成装置1のIPアドレスを(192.168.0.2)、PC2のIPアドレスを(192.168.0.1)として記載している。また、外部向けポート12のポート番号を23とする。また、telnet接続要求の接続先および転送先は、(IPアドレス:ポート番号)の形式で接続要求パケットの中で指定されるものとする。また、以下の図およびその説明において、TN接続要求は、telnet接続要求を示すものとする。
図4の(A)に示すように、PC2のtelnetクライアント(TNC)20からネットワーク3を介して画像形成装置1の接続先(192.168.0.2:23)であるtelnetデーモン11の外部向けポート12を指定し、非暗号化通信であるtelnetで接続要求(TN接続要求)をすると(ステップS31)、上述したステップS23において受信したポートは外部向けポート12であると判断されるため、画像形成装置1のinetデーモン(INETD)16はこのtelnet接続要求を拒否する。
このようにして、inetデーモン(INETD)16は、平文によるtelnet接続を防止することができる。
次に、PC2から画像形成装置1に対してtelnet接続する際に、SSHポートフォワードを利用する場合を示す。
図4の(B)に示すように、まず、PC2のtelnetクライアント(TNC)20は、接続先(127.0.0.1:X(Xは任意のポート番号))のSSHクライアント21へ、接続要求の転送先(192.168.0.2:23)であるtelnetデーモン11の外部向けポート12を指定してループバック接続する(ステップS32)。すると、SSHクライアント21は、ネットワーク3を介して画像形成装置1の接続先(192.168.0.2:22)(22は外部向けポート15を示す)であるSSHデーモン14の外部向けポート15へ、転送先(192.168.0.2:23)のtelnetデーモン11の外部向けポート12を指定して暗号化通信であるSSHで接続要求(SSH接続要求)をする(ステップS33)。
そして、画像形成装置1のSSHデーモン14は、PC2からのSSH接続要求を復号化して転送先を判別し、このSSH接続要求を、転送先(192.168.0.2:23)で示されるtelnetデーモン(TND)11の外部向けポート12へtelnet接続要求(TN接続要求)を転送する(ステップS34)。このtelnet接続要求(TN接続要求)は外部向けポート12への接続要求なので、inetデーモン(INETD)16は、上述したステップS23、S26よりその接続を拒否する。
このようにして、inetデーモン(INETD)16は、非暗号化通信の接続インタフェースである外部向けポート12に対する接続要求を受け付けないようにする。
次に、PC2から画像形成装置1に対してtelnet接続要求を行う場合に、SSHポートフォワード機能を利用して接続可能にする場合について説明する。図5は、telnet接続要求の許可の例を示すシーケンス図である。ここで、SSHデーモンの外部向けポート15のポート番号を22、telnetデーモン11の内部向けポート13のポート番号を23とする。また、接続先、転送先は、図4の例と同様に、(IPアドレス:ポート番号)で指定されるものとする。
PC2のtelnetクライアント(TNC)20は、接続先(127.0.0.1:X(Xは任意のポート番号))のSSHクライアント21へ、接続要求の転送先(127.0.0.1:23)のtelnetデーモン11の内部向けポート13を指定してループバック接続する(ステップS41)。すると、SSHクライアント21は、ネットワーク3を介して画像形成装置1の接続先(192.168.0.2:22)であるSSHデーモン14の外部向けポート15へ、転送先(127.0.0.1:23)のtelnetデーモン11の内部向けポート13を指定して暗号化通信であるSSHで接続要求(SSH接続要求)をする(ステップS42)。
そして、画像形成装置1のSSHデーモン14は、PC2からのSSH接続要求を復号化して転送先を判別し、このSSH接続要求を、転送先(127.0.0.1:23)で示されるtelnetデーモン(TND)11の内部向けポート13へtelnet接続要求(TN接続要求)として転送する(ステップS43)。このtelnet接続要求(TN接続要求)は内部向けポート13への接続要求なので、上述したステップS23,S24によりinetデーモン(INETD)16は、その接続を許可する(ステップS44)。
このように、telnetクライアント(TNC)20からtelnetデーモン11へのTN接続が許可されることで、画像形成装置1は、ユーザによるPC2からのtelnetサーバ機能の利用を可能とする。
このように本実施の形態では、非暗号化通信を前提としたtelnetデーモン11の外部向けポート12からのtelnet接続要求およびSSHデーモン14から外部向けポート12を介して転送されたtelnet接続要求をいずれも拒否し、SSHデーモン14からの内部向けポート13を介した暗号化通信のtelnbet接続要求のみを許可する。このため、本実施の形態によれば、従来のtelnetデーモンをそのまま利用できるため開発労力を軽減するとともに、簡易な手法でかつ確実にセキュリティを向上させて、PC2から各種設定、各種設定の変更、参照などの遠隔処理を行うことができる。
(変形例)
PC2から外部向けポート12へのtelnet接続要求があった場合に、PC2に対して、エラー応答又は暗号化通信でTND11の内部向けポート13への転送を指定した接続要求を行うようにメッセージを通知するように構成してもよい。図6は、このような変形例のinetデーモンの接続要求判断処理の手順を示すフローチャートである。また、図7は、telnet接続要求を受けた場合のエラー応答の処理手順を示すシーケンス図である。
ステップS51の各デーモンの起動処理からステップS53の受信したポートの判断の処理までは、上述した第1の実施の形態のステップS21からS23までの処理と同様に行われる。
ステップS53で、受信したポートが外部向けポート12である場合、inetデーモン16は 第1の実施の形態と同様にtelnet接続要求を拒否する(ステップS56)。そして、さらに、inetデーモン16は、エラー応答(接続エラーメッセージ)をPC2に送信する(ステップS57)。
より具体的には、図7に示すように、telnetデーモン11の外部向けポート12{接続先(192.168.0.2:23)(23は外部向けポートを示す)}から非暗号化通信によるtelnet接続要求(TN接続要求)を受信した場合(ステップS61)、inetデーモン(INETD)16は、接続要求を拒否し、さらに、PC2のtelnetクライアント(TNC)20に対して、接続エラーメッセージを送出する(ステップS62)。なお、ステップS53において、受信したポートが内部向けポートである場合の処理(ステップS54,S55)については第1の実施の形態におけるステップS24,S25の処理と同様である。
図8は、PCにおいて外部向けポート接続エラー時の画像形成装置からのエラー応答の表示例を示す図である。PC2は、PC2のtelnetクライアント20が画像形成装置1のtelnetデーモン11と直接接続しようとした場合、PC2表示部(不図示)に、画像形成装置1から送られたエラー応答のエラーメッセージを表示し、またSSHでの接続が必要である旨のメッセージを表示する。
このようにして、ユーザからの非暗号通信による接続要求が実行される際に、エラー応答と、SSH接続が必要である旨の応答と、を行うことで、ユーザからの非暗号化通信が実行される場合、暗号化通信に導くことができる。
また、図8に示すエラー応答に代えて、ポートフォワードによって暗号化通信でtelnetデーモン11の内部向けポート13への転送を指定した接続要求を行うべき旨のエラーメッセージを、inetデーモン16等からPC2へ通知するように構成してもよい。具体的には、inetデーモン(INETD)16は、SMBのメッセンジャ機能を利用してPC2へ上記エラーメッセージを送信するように構成する。
図9は、ポートフォワード機能によって暗号化通信でtelnetデーモン11の内部向けポート13への転送を指定した接続要求を行うべき旨のメッセージの表示例を示す図である。図9に示したとおり、inetデーモン(INETD)16は、外部向けポート12から非暗号化通信によるtelnet接続要求を受信した場合、接続要求を拒否し、さらに、SSHデーモン14へ、転送先として内部向けポート13が指定されたtelnetによる通信の接続要求を実行する旨のメッセージを送出する。
このようにして、ユーザからの非暗号通信による接続要求が行われた際に、ポートフォワード経由での接続を促す旨のメッセージを通知することで、画像形成装置1は、非暗号化通信を行おうとしたユーザに対して解決方法を提示し、暗号化通信に導くことができる。
(第2の実施の形態)
第1の実施の形態では、PC2から外部向けポート12を介して直接telnet接続要求があった場合には、この接続要求を拒否していた。この第2の実施の形態では、PC2から外部向けポート12を介して直接telnet接続要求を受信した場合でもIPsec等のように暗号化通信によるtelnet接続要求である場合には、これを拒否せずに許可するものである。
図10は、第2の実施の形態の画像形成システムのネットワーク構成およびPC2および画像形成装置1000の機能的構成を示すブロック図である。ネットワーク構成およびPC2の機能的構成については第1の実施の形態と同様である。
本実施の形態では、画像形成装置は、ネットワーク制御サービス部1010を備えている。ネットワーク制御サービス部1010は、外部向けポート12,15と、内部向けポート13と、inetデーモン1016と、SSHデーモン14と、telnetデーモン11と、rshデーモン18とを主に備えている。ここで、外部向けポート12,15、内部向けポート13、SSHデーモン14、telnetデーモン11、rshデーモン18の機能および構成については第1の実施の形態と同様である。
本実施の形態のinetデーモン1016は、第1の実施の形態と同様に、SSHデーモン14からポートフォワード機能により転送されてきたtelnet接続要求のうち、内部向けポート13を介して転送されてきた接続要求は許可するが、外部向けポート15を介して転送されてきた接続要求は拒否する。
また、本実施の形態のinetデーモン1016は、外部向けポート15を介してPC2から直接telnet接続要求を受信した場合でも、IPsecによる暗号化通信により受信した場合には、このtelnet接続要求を許可し、非暗号化通信の場合にはtelnet接続要求を拒否する。ここで、telnet接続要求がIPsec(Security Architecture for Internet Protocol)による暗号化通信で受信したか否かは、IPsecで行われるPC2との鍵交換等のネゴシエーションの有無や受信した接続要求のパケット等により判断する。
次に、このように構成された第2の実施の形態にかかる画像形成装置1000による接続要求の判断処理について説明する。図11は、第2の実施の形態のinetデーモン1016による接続要求の許可判断処理の手順を示すフローチャートである。
ステップS71の各デーモンの起動処理からステップS73の受信したポートの判断の処理までは、上述した第1の実施の形態のステップS21からS23までの処理と同様に行われる。
ステップS73で、受信したポートが外部向けポート12である場合、inetデーモン1016は、IPsecによりtelnet接続要求を受信したか否かを判断する(ステップS76)。そして、IPsecによるtelnet接続要求の受信でない場合には(ステップS76:No)、第1の実施の形態と同様にtelnet接続要求を拒否する(ステップS77)。一方、IPsecによるtelnet接続要求の受信である場合には(ステップS76:Yes)、このtelnet接続要求を許可し(ステップS74)、telnetデーモン11に転送する(ステップS75)。
図12は、IPSec利用時のtelnet接続のシーケンス図である。
PC2のtelnetクライアント(TNC)20からネットワーク3を介して画像形成装置1000のtelnetデーモン11の外部向けポート12{接続先(192.168.0.2:23)(23は外部向けポートを示す)を指定}へIPsec通信によるtelnetによる通信で接続要求(TN接続要求 on IPsec)された場合(ステップS81)、画像形成装置1000のinetデーモン(INETD)1016は、接続を許可し(ステップS82)、PC2のTNC20へ接続応答する(ステップS83、S84)。
本実施の形態では、IPsecによる暗号化通信によりPC2から直接(SSHデーモン14のポートフォワード機能ではなく)、telnet接続要求を外部向けポートを介して受信した場合に、inetデーモン1016はこの接続を許可するので、PC2のtelnetクライアント20は、画像形成装置1000のtelnetデーモン11と直接接続することができ、SSHデーモン14のポートフォワード機能を経由せずに受信できるので、画像形成装置1000は、既にIPsecで保護されたtelnet接続要求に対して,更に暗号化を行うことをPC2に要求する必要がなくなり、ユーザに負荷をかけることを防止することができる。
(第3の実施の形態)
第1の実施の形態では、SSHデーモン14は、PC2からSSH接続要求を受信した場合、接続要求で指定された転送先ポートに、接続要求を転送していたが、この第3の実施の形態では、PC2からSSH接続要求を受信した場合、転送先ポートが外部向けポートである場合には、内部向けポートに変更して、接続要求を転送する。
図13は、第3の実施の形態の画像形成システムのネットワーク構成およびPC2および画像形成装置1300の機能的構成を示すブロック図である。ネットワーク構成およびPC2の機能的構成については第1の実施の形態と同様である。
本実施の形態では、画像形成装置1300は、ネットワーク制御サービス部1310を備えている。ネットワーク制御サービス部1310は、外部向けポート12,15と、内部向けポート13と、inetデーモン16と、SSHデーモン1314と、telnetデーモン11と、rshデーモン18とを主に備えている。ここで、外部向けポート12,15、内部向けポート13、inetデーモン16、telnetデーモン11、rshデーモン18の機能および構成については第1の実施の形態と同様である
SSHデーモン1314は、第1の実施の形態と同様に、SSH接続要求を受信した場合、SSH接続要求を復号化してSSH接続要求に指定されている転送先ポートを抽出する。そして、本実施の形態のSSHデーモン1314は、抽出された転送先ポートを判断し、転送先ポートが外部向けポートである場合には、内部向けポートに変更して、接続要求をtelnet接続要求として内部向けポート13を介してinetデーモン16に転送する。
次に、以上のように構成された本実施の形態のSSHデーモン1314による接続要求の転送処理について説明する。図14は、第3の実施の形態のSSHデーモン1314による接続要求の転送処理の手順を示すフローチャートである。
ステップS91の接続要求受信待ち状態からステップS93の転送先の抽出までの処理は、第1の実施の形態におけるステップS11からS13までの処理と同様に行われる。
SSHデーモン1314は、転送先をSSH接続要求から抽出したら、抽出した転送先のポート番号を判別する(ステップS94)。そして、転送先ポートとして外部向けポート12のポート番号が指定されている場合には、SSHデーモン1314は、転送先ポートを内部向けポート13のポート番号に変換し(ステップS95)、復号化されたSSH接続要求を、telnet接続要求として内部向けポート13を介してinetデーモン16に転送する(ステップS96)。
一方、ステップS94において、転送先ポートが内部向けポート13のポート番号である場合には、SSHデーモン1314は、ステップS95のポートの変換を行わずに、復号化されたSSH接続要求を、telnet接続要求として内部向けポート13を介してinetデーモン16に転送する(ステップS96)。
図15は、第3の実施の形態におけるtelnet接続要求があった場合の処理の流れを示すシーケンス図である。
PC2のtelnetクライアント(TNC)20は、接続先(127.0.0.1:X(Xは任意のポート番号))のSSHクライアント21へ、接続要求の転送先(192.168.0.2:23)であるtelnetデーモン11の外部向けポート12を指定してループバック接続する(ステップS101)。すると、SSHクライアント21は、ネットワーク3を介して画像形成装置1の接続先(192.168.0.2:22)(22は内部向けポートを示す)であるSSHデーモン1314の外部向けポート15へ、転送先(192.168.0.2:23)のtelnetデーモン11の外部向けポート12を指定して暗号化通信であるSSHで接続要求(SSH接続要求)をする(ステップS102)。
そして、画像形成装置1300のSSHデーモン1314は、PC2からのSSH接続要求を受信したら、このSSH接続要求を復号化して転送先を判別する。そして、SSHデーモン1314は、telnetデーモン11の外部向けポート12を示す転送先(192.168.0.2:23)のアドレスを内部向けポートの(127.0.0.1:23)に変換し(上述のステップS95)、その転送先(127.0.0.1:23)で示されるtelnetデーモン11の内部向けポート13へSSH接続要求をtelnet接続要求として転送する(ステップS103)。このtelnet接続要求は内部向けポート13への接続要求なので、inetデーモン(INETD)16は、その接続を許可する(ステップS104)。このように、telnetクライアント(TNC)20からtelnetデーモン11へのtelnet接続が許可されることで、画像形成装置1300は、ユーザによるPC2からのtelnetサービスの利用を常に可能とする。
本実施の形態では、SSHデーモン1314は、ポートフォワードの転送先が外部向けポート12であった場合には内部向けポート13に変換しているので、外部向けポート12が接続要求を受け入れない場合に、ポートフォワード機能を利用した接続要求であるにもかかわらず、接続要求が拒否されるという事態を回避するぐことができる。
(第4の実施の形態)
第1〜3の実施の形態では、PC2からtelnetデーモン11に接続要求を行ってtelnetサービスを受ける場合を例にあげて説明したが、第4の実施の形態では、処理部としてftpデーモンを用いた場合を例にあげて説明する。
図16は、第6の実施の形態の画像形成システムのネットワーク構成およびPC2および画像形成装置1600の機能的構成を示すブロック図である。ネットワーク構成およびPC2の機能的構成については第1の実施の形態と同様である。
本実施の形態では、画像形成装置1600は、ネットワーク制御サービス部1610を備えている。ネットワーク制御サービス部1610は、外部向けポート91,15と、内部向けポート92と、inetデーモン1616と、SSHデーモン14と、telnetデーモン11と、FTPデーモン17と、rshデーモン18とを主に備えている。ここで、外部向けポート15、SSHデーモン14、telnetデーモン11、rshデーモン18の機能および構成については第1の実施の形態と同様である
本実施の形態の外部向けポート91は、FTPデーモン17の外部向けポートであり、画像形成装置1の外部と内部感における非暗号化通信のインタフェースとなるポートである。また、内部向けポート92は、FTPデーモン17の内部向けポートであり、画像形成装置1600の内部間における暗号化通信の接続インタフェースとなるポートである。FTPデーモン17は、inetデーモン(INETD)1616により起動され、FTP(File Transfer Protocol)に従ったファイル転送を行うデーモンである。また、以下で、FTP接続要求とは、FTPデーモン17に対する接続要求をいうものとする。
PC2からSSHのポートフォワード機能を利用してFTPデーモン17への接続を行う場合には、FTPデーモン17のポートを転送先ポートとして指定したSSH接続要求を行うと、SSHデーモン14は、受信したSSH接続要求に含まれる転送先のFTPデーモン17のポートにSSH接続要求をFTP接続要求として転送する。
より具体的には、SSHデーモン14は、PC2から、外部向けポート91または内部向けポート92のいずれかの転送先ポートが指定され、かつ暗号化されたSSH接続要求を外部向けポート15を介して受信する。そして、SSHデーモン14は、SSH接続要求を受信した場合に、SSH接続要求を復号化して、復号化されたSSH接続要求から転送先ポートを抽出し、抽出した転送先ポートを介して復号化されたSSH接続要求を、FTP接続要求としてinetデーモン1616に転送する。
inetデーモン(INETD)1616は、第1の実施の形態と同様に、telnetデーモン11や、FTPデーモン17、rshデーモン18等の各デーモンの管理や制御を行い、必要に応じて各デーモンを起動する。
また、inetデーモン(INETD)1616は、telnetデーモン11の外部向けポート91及び内部向けポート92を常に監視し、外部向けポート91からFTP接続要求を受信した場合に、このFTP接続要求を拒否する。また、本実施の形態のinetデーモン1616は、SSHデーモン14のポートフォワード機能により転送されたFTP接続要求を外部向けポート91を介して受信した場合に、このFTP接続要求を拒否する。一方、本実施の形態のinetデーモン1616は、SSHデーモン14のポートフォワード機能により転送されたFTP接続要求を内部向けポート92を介して受信した場合に、このFTP接続要求を許可し、FTP接続要求をFTPデーモン17に転送する。このように、SSHデーモン14のポートフォワード機能を用いるとともに、さらに本実施の形態のinetデーモン1616により、内部向けポート92を介してSSHデーモン14からポートフォワード機能により転送されてきたFTP接続要求のみを許可して、FTPデーモン17に接続することにより、FTPサービスを用いた各種設定、各種設定の参照、更新等の処理を、PC2からセキュリティの高い暗号化通信により実行することが可能となる。
また、本実施の形態のPC2には、telnetクライアント20に変えて、FTPクライアント22を備えている。このFTPクライアント(FTPC)22は、画像形成装置1に搭載されているFTPデーモン17をサーバとして、ファイル転送のクライアント機能を提供する機能部である。
次に、以上のように構成された本実施の形態の画像形成装置1600によるネットワーク接続処理について説明する。図17は、第4の実施の形態のinetデーモン1616による接続要求の許可判断処理の手順を示すフローチャートである。なお、図17では、パッシブモードのFTPデータ転送の場合を例にあげて説明する。
inetデーモン1616は、自身が起動されると、まずFTPデーモン17やtelnetデーモン11、rshデーモン18を起動し(ステップS111)、各デーモンとパイプ接続する。
次いで、inetデーモン1616は、外部向けポート91を介してPC2のFTPクライアント22からのFTPセッション要求の受信待ち状態となる(ステップS112:No)。そして、inetデーモン1616は、外部向けポート91を介してFTPセッション要求を受信したら(ステップS112:Yes)、接続許可の要求をFTPデーモン17に送信し、その接続許可の応答を受信したら、PC2のFTPクライアント22に接続許可応答を送信する(ステップS113)。
その後、inetデーモン1616は、外部向けポート91を介したPC2のFTPクライアント22からのSSHポートフォワード(SSHPF)によるデータ転送要求の受信待ち状態となる(ステップS114:No)。inetデーモン1616は、外部向けポート91を介してPC2のFTPクライアント22からSSHポートフォワード(SSHPF)によるデータ転送要求を受信すると(ステップS114:Yes)、FTPデーモン17に当該データ転送要求を送信する。そして、inetデーモン1616は、FTPデーモン17からデータ転送用ポート番号を受信すると、PC2のFTPクライアント22にデータ転送用ポート番号を通知する(ステップS115)。
この後、PC2では、SSHクライアント21により、受信したポート番号を転送先として指定したSSH接続要求を画像形成装置1600のSSHデーモン14に送信することになり、SSHデーモン14では、この接続要求を転送先で指定されたポートを介してinetデーモン1616にFTP接続要求として転送する。
inetデーモン1616は、このFTP接続要求の受信待ち状態となっており(ステップS116:No)、SSHデーモン14からポートフォワード機能により転送されたFTP接続要求を受信した場合には(ステップS116:Yes)、受信したポートを第1の実施の形態で説明した手法で判別する(ステップS117)。
そして、受信したポートが内部向けポート92である場合には、inetデーモン1616は、受信したFTP接続要求を許可し(ステップS118)、受信したFTP接続要求をFTPデーモン17に転送する(ステップS119)。これにより、PC2のFTPクライアント22と画像形成装置1600のFTPデーモン17との接続が確立されることになる。
一方、ステップS117において、FTP接続要求を受信したポートが外部向けポート91である場合には、inetデーモン1616は受信したFTP接続要求を拒否し(ステップS120)、FTPデーモン17への接続は行わない。これにより、非暗号化通信によるFTP接続は回避されることになる。
次に、このようなFTP接続要求に対する処理を具体例をあげて説明する。図18は、パッシブモードのFTPデータ転送においてSSHポートフォワードを利用したFTP接続要求の許可の例を示すシーケンス図である。ここでは、画像形成装置1600のIPアドレスを(192.168.0.2)、PC2のIPアドレスを(192.168.0.1)として記載している。また、FTPデーモン17の外部向けポート91のポート番号を21とする。また、FTP接続要求の接続先および転送先は、(IPアドレス:ポート番号)の形式で接続要求パケットの中で指定されるものとする。
まず、PC2のFTPクライアント22からネットワーク3を介して画像形成装置1の接続先(192.168.0.2:21)であるFTPデーモン17の外部向けポート91を指定し、FTPセッション要求をする(ステップS131)。画像形成装置1600のinetデーモン1616は、このセッション要求をFTPデーモン17に転送し(ステップS132)、FTPデーモン17が接続許可をinetデーモン1616に送信すると(ステップS133)、inetデーモン1616は、PC2のFTPクライアント(FTPC)22へ接続許可応答を送信する(ステップS134)。
PC2のFTPクライアント(FTPC)22は、接続許可応答を受信すると、FTPデーモン17の外部向けポート91へSSHポートフォワード(SSHPF)通信によるデータ転送を要求する(ステップS135)。画像形成装置1600のinetデーモン1616は、このデータ転送要求をFTPデーモン17へ転送し(ステップS136)、FTPデーモン17はデータ転送用ポート番号をinetデーモン1616に応答するので(ステップS137)、inetデーモン1616は、PC2のFTPクライアント22へFTPデーモン17から受信したデータ転送用ポート番号を通知する(ステップS138)。
その後、PC2のFTPクライアント22は、接続先(127.0.0.1:X(Xは任意のポート番号))のSSHクライアント21へ、接続要求の転送先(127.0.0.1:Y(Yは任意のポート番号))のFTPデーモン17の内部向けポート92を指定してループバック接続する(ステップS139)。すると、SSHクライアント21は、ネットワーク3を介して画像形成装置1600の接続先(192.168.0.2:22)(22はSSHデーモン14の外部向けポートを示す)であるSSHデーモン14の外部向けポート15へ、転送先(127.0.0.1:Y(Yは任意のポート番号))のFTPデーモン17の内部向けポート92を指定して暗号化通信であるSSHで接続要求(SSH接続要求)をする(ステップS140)。
画像形成装置1600のSSHデーモン14は、PC2からのSSH接続要求を復号化して転送先を判別し、転送先(127.0.0.1:Y)で示されるFTPデーモン17の内部向けポート92へFTP接続要求を転送する(ステップS141)。このFTP接続要求は内部向けポート92への接続要求なので、上述したステップS117,S118によりinetデーモン(INETD)1616は、その接続を許可する(ステップS142)。
このように本実施の形態では、FTPのデータ通信の接続として暗号化通信を指定することで、画像形成装置1は転送するデータを盗聴等の危険を防ぐことができる。
なお、本実施の形態において、SSH接続要求において転送先として外部向けポート91が指定されていた場合に、第2の実施の形態と同様に、内部向けポート92に変更して、接続要求を転送するようにSSHデーモン14を構成してもよい。
図19は、第1〜4の実施の形態にかかる画像形成装置1,1000,1300,1600のハードウェア構成を示すブロック図である。本図に示すように、この画像形成装置1,1000,1300,1600は、コントローラ80とエンジン部(Engine)60とをPCI(Peripheral Component Interface)バスで接続した構成となる。コントローラ80は、画像形成装置1全体の制御と描画、通信、図示しない操作部からの入力を制御するコントローラである。エンジン部60は、PCIバスに接続可能なプリンタエンジンなどであり、たとえば白黒プロッタ、1ドラムカラープロッタ、4ドラムカラープロッタ、スキャナまたはファックスユニットなどである。なお、このエンジン部60には、プロッタなどのいわゆるエンジン部分に加えて、誤差拡散やガンマ変換などの画像処理部分が含まれる。
コントローラ80は、CPU81と、ノースブリッジ(NB)83と、システムメモリ(MEM−P)82と、サウスブリッジ(SB)84と、ローカルメモリ(MEM−C)87と、ASIC(Application Specific Integrated Circuit)86と、ハードディスクドライブ(HDD)88とを有し、ノースブリッジ(NB)83とASIC86との間をAGP(Accelerated Graphics Port)バス85で接続した構成となる。また、MEM−P82は、ROM(Read Only Memory)82aと、RAM(Random Access Memory)82bと、をさらに有する。
CPU81は、画像形成装置1の全体制御をおこなうものであり、NB83、MEM−P82およびSB84からなるチップセットを有し、このチップセットを介して他の機器と接続される。
NB83は、CPU81とMEM−P82、SB84、AGP85とを接続するためのブリッジであり、MEM−P82に対する読み書きなどを制御するメモリコントローラと、PCIマスタおよびAGPターゲットとを有する。
MEM−P82は、プログラムやデータの格納用メモリ、プログラムやデータの展開用メモリ、プリンタの描画用メモリなどとして用いるシステムメモリであり、ROM82aとRAM82bとからなる。ROM82aは、プログラムやデータの格納用メモリとして用いる読み出し専用のメモリであり、RAM82bは、プログラムやデータの展開用メモリ、プリンタの描画用メモリなどとして用いる書き込みおよび読み出し可能なメモリである。
SB84は、NB83とPCIデバイス、周辺デバイスとを接続するためのブリッジである。このSB84は、PCIバスを介してNB83と接続されており、このPCIバスには、ネットワークインターフェース(I/F)部なども接続される。
ASIC86は、画像処理用のハードウェア要素を有する画像処理用途向けのIC(Integrated Circuit)であり、AGP85、PCIバス、HDD88およびMEM−C87をそれぞれ接続するブリッジの役割を有する。このASIC86は、PCIターゲットおよびAGPマスタと、ASIC86の中核をなすアービタ(ARB)と、MEM−C87を制御するメモリコントローラと、ハードウェアロジックなどにより画像データの回転などをおこなう複数のDMAC(Direct Memory Access Controller)と、エンジン部60との間でPCIバスを介したデータ転送をおこなうPCIユニットとからなる。このASIC86には、PCIバスを介してFCU(Facsimile Control Unit)30、USB(Universal Serial Bus)40、IEEE1394(the Institute of Electrical and Electronics Engineers 1394)インターフェース50が接続される。操作表示部70はASIC86に直接接続されている。
MEM−C87は、コピー用画像バッファ、符号バッファとして用いるローカルメモリであり、HDD(Hard Disk Drive)88は、画像データの蓄積、プログラムの蓄積、フォントデータの蓄積、フォームの蓄積を行うためのストレージである。
AGP85は、グラフィック処理を高速化するために提案されたグラフィックスアクセラレーターカード用のバスインターフェースであり、MEM−P82に高スループットで直接アクセスすることにより、グラフィックスアクセラレーターカードを高速にするものである。
なお、本実施の形態の画像形成装置で実行される情報処理プログラムは、ROM等に予め組み込まれて提供される。
本実施の形態の画像形成装置で実行される情報処理プログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM、フレキシブルディスク(FD)、CD−R、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録して提供するように構成してもよい。
さらに、本実施の形態の画像形成装置で実行される情報処理プログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成しても良い。また、本実施の形態の画像形成装置で実行される情報処理プログラムをインターネット等のネットワーク経由で提供または配布するように構成しても良い。
本実施の形態の画像形成装置で実行される遠隔処理プログラムは、上述したネットワーク制御サービス部の各部(SSHデーモン、inetデーモン、telnetデーモン、rshデーモン、FTPデーモン)を含むモジュール構成となっており、実際のハードウェアとしてはCPU(プロセッサ)が上記ROMから遠隔処理プログラムを読み出して実行することにより上記各部が主記憶装置上にロードされ、SSHデーモン、inetデーモン、telnetデーモン、rshデーモン、FTPデーモンがそれぞれ主記憶装置上に生成されるようになっている。
さらなる効果や変形例は、当業者によって容易に導き出すことができる。本発明の実施態様は、以上に説明したような特定の実施形態に限定されるものではない。
1,1000,1300,1600 画像形成装置
2 PC
3 ネットワーク
10 ネットワーク制御サービス部
11 telnetデーモン
12,15,91 外部向けポート
13,92 内部向けポート
14,1314 SSHデーモン
15 外部向けポート
16,1016,1616 inetデーモン
17 FTPデーモン
18 rshデーモン
20 telnetクライアント
21 SSHクライアント
22 FTPクライアント
特開2007−251568号公報

Claims (11)

  1. クライアント装置とネットワークで接続された組み込み機器であって、
    前記クライアント装置からの遠隔操作により所定の処理を実行する処理手段と、
    前記処理手段に対する非暗号化通信の接続インタフェースである第1ポートと、前記処理手段に対する暗号化通信の接続インタフェースである第2ポートと、を監視し、前記第1ポートを介した前記処理手段に対する接続要求を拒否し、前記第2ポートを介した前記処理手段に対する接続要求を許可する監視手段と、
    前記クライアント装置との間で暗号化通信を行い、前記第1ポートまたは前記第2ポートのいずれかの転送先ポートが指定され、かつ暗号化された接続要求を受信した場合に、前記接続要求を復号化して、復号化された接続要求を、前記転送先ポートを介して前記監視手段に転送する暗号化通信手段と、を備え、
    前記処理手段は、前記接続要求が許可された場合に、前記第2ポートおよび前記暗号化通信手段を介した前記クライアント装置との暗号化通信により前記所定の処理を行うことを特徴とする組み込み機器。
  2. 前記監視手段は、前記クライアント装置から直接、前記第1ポートを介して前記処理手段に対する接続要求を受信した場合に、この接続要求を拒否することを特徴とする請求項1に記載の組み込み機器。
  3. 前記監視手段は、さらに、前記接続要求を送信した前記クライアント装置に対して接続エラーの旨の応答を送信することを特徴とする請求項2に記載の組み込み機器。
  4. 前記監視手段は、前記暗号化通信手段から前記転送先ポートとして指定された前記第1ポートを介して前記処理手段に対する接続要求を受信した場合に、この接続要求を拒否することを特徴とする請求項1に記載の組み込み機器。
  5. 前記暗号化通信手段は、前記クライアント装置から受信した接続要求に含まれる前記転送先ポートを判断し、前記転送先ポートが前記第1ポートである場合には、前記転送先ポートを前記第2ポートに変換して、前記接続要求を、前記第2ポートを介して前記監視手段に転送することを特徴とする請求項1に記載の組み込み機器。
  6. 前記監視手段は、前記クライアント装置から前記第1ポートを介して、IPsec(Security Architecture for Internet Protocol)による前記処理手段に対する接続要求を受信した場合には、この接続要求を許可することを特徴とする請求項1に記載の組み込み機器。
  7. 前記処理手段は、telnetプロトコルに基づく遠隔通信により、前記組み込み機器の所定の設定パラメータの設定または参照処理を実行することを特徴とする請求項1に記載の組み込み機器。
  8. 前記処理手段は、ファイル転送プロトコル(FTP)に基づくファイル転送処理を実行することを特徴とする請求項1に記載の組み込み機器。
  9. 前記暗号化通信手段は、前記接続要求を前記転送先ポートを介して前記監視手段に転送するセキュアシェル(SSH)プログラムであることを特徴とする請求項1に記載の組み込み機器。
  10. クライアント装置とネットワークで接続された組み込み機器で実行される遠隔処理方法あって、
    処理手段が、前記クライアント装置からの遠隔操作により所定の処理を実行する処理ステップと、
    監視手段が、前記処理手段に対する非暗号化通信の接続インタフェースである第1ポートと、前記処理手段に対する暗号化通信の接続インタフェースである第2ポートとを監視し、前記第1ポートを介した前記処理手段に対する接続要求を拒否し、前記第2ポートを介した前記処理手段に対する接続要求を許可する監視ステップと、
    暗号化通信手段が、前記クライアント装置との間で暗号化通信を行い、前記第1ポートまたは前記第2ポートのいずれかの転送先ポートが指定され、かつ暗号化された接続要求を受信した場合に、前記接続要求を復号化して、復号化された接続要求を、前記転送先ポートを介して前記監視手段に転送する暗号化通信ステップと、を含み、
    前記処理ステップは、前記接続要求が許可された場合に、前記第2ポートおよび前記暗号化通信手段を介した前記クライアント装置との暗号化通信により前記所定の処理を行うことを特徴とする遠隔処理方法。
  11. クライアント装置とネットワークで接続されたコンピュータを、
    前記クライアント装置からの遠隔操作により所定の処理を実行する処理手段と、
    前記処理手段に対する非暗号化通信の接続インタフェースである第1ポートと、前記処理手段に対する暗号化通信の接続インタフェースである第2ポートと、を監視し、前記第1ポートを介した前記処理手段に対する接続要求を拒否し、前記第2ポートを介した前記処理手段に対する接続要求を許可する監視手段と、
    前記クライアント装置との間で暗号化通信を行い、前記第1ポートまたは前記第2ポートのいずれかの転送先ポートが指定され、かつ暗号化された接続要求を受信した場合に、前記接続要求を復号化して、復号化された接続要求を、前記転送先ポートを介して前記監視手段に転送する暗号化通信手段として機能させ、
    前記処理手段は、前記接続要求が許可された場合に、前記第2ポートおよび前記暗号化通信手段を介した前記クライアント装置との暗号化通信により前記所定の処理を行うことを特徴とするプログラム。
JP2009135091A 2008-07-14 2009-06-04 組み込み機器、遠隔処理方法およびプログラム Expired - Fee Related JP4691177B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2009135091A JP4691177B2 (ja) 2008-07-14 2009-06-04 組み込み機器、遠隔処理方法およびプログラム
US12/495,938 US8966244B2 (en) 2008-07-14 2009-07-01 Embedded apparatus, remote-processing method, and computer program product

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2008182806 2008-07-14
JP2008182806 2008-07-14
JP2009135091A JP4691177B2 (ja) 2008-07-14 2009-06-04 組み込み機器、遠隔処理方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2010045769A true JP2010045769A (ja) 2010-02-25
JP4691177B2 JP4691177B2 (ja) 2011-06-01

Family

ID=41506174

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009135091A Expired - Fee Related JP4691177B2 (ja) 2008-07-14 2009-06-04 組み込み機器、遠隔処理方法およびプログラム

Country Status (2)

Country Link
US (1) US8966244B2 (ja)
JP (1) JP4691177B2 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101590034B1 (ko) * 2009-11-18 2016-02-01 삼성전자주식회사 인쇄 제어 단말장치, 화상형성장치, 화상형성시스템, 및 화상형성방법
JP5542787B2 (ja) * 2011-12-08 2014-07-09 シャープ株式会社 画像形成装置
JP2015147306A (ja) * 2014-02-05 2015-08-20 セイコーエプソン株式会社 印刷装置、及び、印刷システム
US10172081B2 (en) 2015-03-10 2019-01-01 Ricoh Company, Ltd. Information processing system and information processing method
CN108023886A (zh) * 2017-12-05 2018-05-11 中盈优创资讯科技有限公司 设备登录管理方法、存储介质、协议网关及网管客户端
CN110191142A (zh) * 2018-09-03 2019-08-30 西安奥卡云数据科技有限公司 一种可并发控制的计算机系统
US20220159029A1 (en) * 2020-11-13 2022-05-19 Cyberark Software Ltd. Detection of security risks based on secretless connection data
US11954239B2 (en) * 2021-12-27 2024-04-09 Dell Products L.P. Data storage system using selective encryption and port identification in communications with drive subsystem

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004158025A (ja) * 2003-12-17 2004-06-03 Nsi Co Ltd ネットワークシステム、サーバ装置、および認証方法
JP2004194284A (ja) * 2002-11-08 2004-07-08 Konica Minolta Holdings Inc 画像処理装置及び情報処理装置
JP2005303376A (ja) * 2004-04-06 2005-10-27 Canon Inc 画像処理装置及び情報処理方法
JP2005537699A (ja) * 2002-07-04 2005-12-08 ウェブトラフ・リサーチ・ピーティーワイ・リミテッド 通信ネットワークへ転送するデータを監視し、制御する方法、システム及び装置
JP2008046847A (ja) * 2006-08-15 2008-02-28 Nippon Telegr & Teleph Corp <Ntt> アダプタ生成装置、方法およびプログラム

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020035681A1 (en) * 2000-07-31 2002-03-21 Guillermo Maturana Strategy for handling long SSL messages
US7308710B2 (en) * 2001-09-28 2007-12-11 Jp Morgan Chase Bank Secured FTP architecture
JP4297811B2 (ja) * 2003-03-14 2009-07-15 株式会社リコー 情報提供装置、情報提供方法、及びプログラム
US20050114469A1 (en) * 2003-09-16 2005-05-26 Manabu Nakamura Information processing apparatus with a network service function and method of providing network services
JP4097584B2 (ja) * 2003-09-19 2008-06-11 株式会社リコー Wwwサーバ機能を有する組み込み機器、ウェブページ提供方法、および、ウェブページ提供制御プログラム
JP2005165750A (ja) * 2003-12-03 2005-06-23 Ricoh Co Ltd Webサーバ機能を有する組み込み機器
JP4297792B2 (ja) * 2004-01-08 2009-07-15 株式会社リコー Webサーバ組み込みビジネス機器
US20050190769A1 (en) * 2004-01-28 2005-09-01 Smith B. S. System and method for securing remote access to a remote system
US7941671B2 (en) * 2004-10-14 2011-05-10 Oracle International Corporation Method and apparatus for accommodating multiple verifier types with limited storage space
JP4714563B2 (ja) * 2004-11-19 2011-06-29 株式会社リコー プリンタ、印刷方法、プログラム及び該プログラムが記録されたコンピュータ読み取り可能な記録媒体
JP4223058B2 (ja) * 2004-11-29 2009-02-12 インターナショナル・ビジネス・マシーンズ・コーポレーション 中継装置、中継方法、及びプログラム
US20060236124A1 (en) * 2005-04-19 2006-10-19 International Business Machines Corporation Method and apparatus for determining whether to encrypt outbound traffic
KR100715850B1 (ko) * 2005-07-27 2007-05-11 삼성전자주식회사 Ftp 를 이용한 인쇄시스템 및 인쇄방법 그리고 그에적용되는 사용자 단말장치 및 화상형성장치
JP2007142930A (ja) * 2005-11-21 2007-06-07 Fuji Xerox Co Ltd 画像処理装置、ジョブログ生成方法、およびプログラム
JP2007251568A (ja) 2006-03-15 2007-09-27 Ricoh Co Ltd ネットワーク機器
JP2007274060A (ja) * 2006-03-30 2007-10-18 Brother Ind Ltd 通信装置および通信プログラム
JP2007288747A (ja) * 2006-04-20 2007-11-01 Ricoh Co Ltd 画像処理システムおよび画像処理システムの制御方法および画像形成装置および画像再生装置
US20080229302A1 (en) * 2007-03-16 2008-09-18 Kufeldt Philip A System and method for universal access to and protection of personal digital content
TW200847711A (en) * 2007-05-31 2008-12-01 Wistron Corp Method and related system for building up a network connection between clients and servers through a stream fork by utilizing http protocol
JP5040479B2 (ja) * 2007-06-29 2012-10-03 富士通株式会社 通信装置、通信装置に適した通信ログ送信方法および通信システム
US20090187648A1 (en) * 2008-01-17 2009-07-23 Microsoft Corporation Security Adapter Discovery for Extensible Management Console

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005537699A (ja) * 2002-07-04 2005-12-08 ウェブトラフ・リサーチ・ピーティーワイ・リミテッド 通信ネットワークへ転送するデータを監視し、制御する方法、システム及び装置
JP2004194284A (ja) * 2002-11-08 2004-07-08 Konica Minolta Holdings Inc 画像処理装置及び情報処理装置
JP2004158025A (ja) * 2003-12-17 2004-06-03 Nsi Co Ltd ネットワークシステム、サーバ装置、および認証方法
JP2005303376A (ja) * 2004-04-06 2005-10-27 Canon Inc 画像処理装置及び情報処理方法
JP2008046847A (ja) * 2006-08-15 2008-02-28 Nippon Telegr & Teleph Corp <Ntt> アダプタ生成装置、方法およびプログラム

Also Published As

Publication number Publication date
US20100011206A1 (en) 2010-01-14
JP4691177B2 (ja) 2011-06-01
US8966244B2 (en) 2015-02-24

Similar Documents

Publication Publication Date Title
JP4691177B2 (ja) 組み込み機器、遠隔処理方法およびプログラム
JP5321641B2 (ja) 情報処理システム、情報処理装置および中継サーバ
JP2006134301A (ja) サービス提供システム、情報処理装置、サービス提供サーバ及びユーザ認証方法
US10419278B2 (en) Device management system, information processing apparatus, and information processing method
US9813424B2 (en) Communication system, server, and client device
JP2007082208A (ja) 電子ドキュメントをセキュリティ面で安全にドメイン間で伝送するシステム、方法、およびプログラム
JP2007214766A (ja) 画像データ処理装置、画像データ処理方法、プログラム及び記録媒体
JP2007082157A (ja) データ処理システムとそのデータ管理装置,プログラム,および記録媒体
JP2017068835A (ja) 機器管理システム、機器管理方法、情報処理装置、画像形成装置及び情報処理プログラム
CN116248805A (zh) 图像处理设备及其控制方法和存储介质
JP2012018570A (ja) 画像形成装置、認証システム、認証方法、認証プログラム及び記憶媒体
JP2014238790A (ja) 通信システム、情報通信端末、および情報処理装置
JP2006352483A (ja) 画像送信システム、画像送信装置、及び画像処理装置
US11050728B2 (en) Information processing apparatus, information processing method, and recording medium
JP6939367B2 (ja) 情報処理システム、情報処理装置、情報処理方法及び情報処理プログラム
JP5626268B2 (ja) 情報処理端末
JP7000735B2 (ja) 画像形成装置、情報処理方法、情報処理プログラム及び情報処理システム
EP3606122B1 (en) Information processing method and information processing system
JP2007251568A (ja) ネットワーク機器
JP2009260839A (ja) 画像形成装置、通信管理方法、及びプログラム
US11924286B2 (en) Encrypted communication processing apparatus, encrypted communication processing system, and non-transitory recording medium
JP5298994B2 (ja) ライセンス管理システム、画像処理装置、ライセンス管理サーバ、ライセンス管理方法、ライセンス管理プログラムおよび記憶媒体
EP3605311B1 (en) Information processing method, information processing system, and communication apparatus
US20230231769A1 (en) Information processing system, information processing apparatus, server apparatus, control method, and storage medium
JP5636835B2 (ja) 画像形成装置、情報管理システムおよびプログラム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100422

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100511

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100709

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101124

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110114

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110208

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110218

R150 Certificate of patent or registration of utility model

Ref document number: 4691177

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140225

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees