JP2015146060A - 情報処理装置、その制御方法、及びプログラム - Google Patents
情報処理装置、その制御方法、及びプログラム Download PDFInfo
- Publication number
- JP2015146060A JP2015146060A JP2014017637A JP2014017637A JP2015146060A JP 2015146060 A JP2015146060 A JP 2015146060A JP 2014017637 A JP2014017637 A JP 2014017637A JP 2014017637 A JP2014017637 A JP 2014017637A JP 2015146060 A JP2015146060 A JP 2015146060A
- Authority
- JP
- Japan
- Prior art keywords
- information processing
- external device
- processing apparatus
- network
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Facsimiles In General (AREA)
Abstract
【課題】暗号処理負荷の軽減のために非セキュア通信を行う既定のネットワーク内において、正当な端末のみをネットワークに参加させる情報処理装置及びその制御方法を提供する。【解決手段】本情報処理装置は、ネットワークに参加する外部機器からクライアント証明書を受け取り、該証明書を検証する。この結果、正当な機器であれば、非セキュア通信を行い、不正な機器であればセキュア通信を行う。【選択図】 図3
Description
本発明は、情報処理装置、その制御方法、及びプログラムに関するものである。
現行のMFP(Multi Functional Perirheral)は、企業内ネットワーク環境において利用されることが一般的である。一方で、MFPからクラウドサービスとよばれるインターネット上で提供されるドキュメントのストアサービスなどの利用も進んでいる。このため、MFPは、企業内外を問わずネットワークに接続される状況となりはじめている。このような状況下においては、ネットワークのセキュリティはより一層重要となってくる。これに対して、セッション層でのSSL(Security Socket Layer)など上位層でのセキュリティを強化する機能が、一般的に使われている。
一方で、CPU性能の小さい組込み機器でSSLなどのセキュリティ機能を使用すると伝送性能の劣化が生じるという課題がある。これに対し、特許文献1では、例えば、企業内ネットワークならセキュア通信、企業外ネットワークなら非セキュアと、接続するネットワークに応じて通信方式を、切り替えている。
しかしながら、例えば、企業内ネットワーク内では非セキュア通信が行われるような運用においては、IP(Internet Protocol)アドレスを変更した第三者の端末が接続できた場合、通信内容の傍受が可能となるという課題がある。
そこで、本発明は、上記の課題に鑑み、非セキュア通信を行うネットワークにおいて通信相手の正当性を判断する手段を提供することを目的とする。
上記の目的を達成するため、本発明の情報処理装置は、外部機器とネットワーク接続が可能な情報処理装置であって、外部機器が正当な端末であるかを判断する端末正当性判断手段(S307)と、前記端末正当性判断手段の結果を受けて前記外部機器と前記情報処理装置が既定のネットワーク内に存在するかを判断し、通信方式を切り替えるネットワーク切り替え手段とを備えることを特徴とする。
本発明は、クライアント証明書を利用して、既定のネットワークが許可された端末で構成されることを実現する。これにより、非セキュアでの通信が許可される既定のネットワーク内において通信の傍受を防ぐ必要がなくなる方法を提供できる。
以下、本発明を実施するための形態について図面を用いて説明する。尚、以下の実施形
態は特許請求の範囲に係る発明を限定するものでなく、また実施形態で説明されている特
徴の組み合わせの全てが発明の解決手段に必須のものとは限らない。
態は特許請求の範囲に係る発明を限定するものでなく、また実施形態で説明されている特
徴の組み合わせの全てが発明の解決手段に必須のものとは限らない。
<第1の実施形態>
<ネットワーク構成の説明>
以下では、図1乃至図10を参照して、本発明における第1の実施形態について説明する。まず、図1を参照して、本実施形態に係る情報処理システムについて説明する。本実
施形態では、デバイスの一例としてMFP、プリンタ、ファックス、複写機などの画像形
成装置(情報処理装置)を使用する例を示す。
<ネットワーク構成の説明>
以下では、図1乃至図10を参照して、本発明における第1の実施形態について説明する。まず、図1を参照して、本実施形態に係る情報処理システムについて説明する。本実
施形態では、デバイスの一例としてMFP、プリンタ、ファックス、複写機などの画像形
成装置(情報処理装置)を使用する例を示す。
図1に示すように、ローカルエリアネットワーク(LAN)104には、MFP101
と、外部機器102、103とが相互通信可能に接続される。本実施形態では、MFP101が、外部機器102、103等から通知されるHTTP(Hyper Text Transfer Protocol)に従った処理要求(以下、HTTP要求とも称する。)に従って、後述する処理を実行する。
と、外部機器102、103とが相互通信可能に接続される。本実施形態では、MFP101が、外部機器102、103等から通知されるHTTP(Hyper Text Transfer Protocol)に従った処理要求(以下、HTTP要求とも称する。)に従って、後述する処理を実行する。
<MFPのハードウェア構成>
次に、図2を参照して、MFPのハードウェア構成について説明する。MFP101は、情報処理装置の一例であり、コントロールユニット200、操作部210、スキャナ220及びプリンタ230を備える。また、コントロールユニット200は、CPU201、RAM202、ROM203、操作部I/F204、スキャナI/F205、プリンタI/F206、及びネットワークI/F207を備える。CPU201は、MFP101全体を統括的に制御する。RAM202は、CPU201のワークエリア、受信バッファ、画像描画に使用されるランダム・アクセス・メモリである。ROM203は、CPU201が実行するソフトウェアプログラムやフォントデータを格納するリード・オンリ・メモリである。またMFP101は、不図示のハードディスクドライブを備え、オペレーティングシステムやシステムソフトウェア、及び画像データを記憶する。
次に、図2を参照して、MFPのハードウェア構成について説明する。MFP101は、情報処理装置の一例であり、コントロールユニット200、操作部210、スキャナ220及びプリンタ230を備える。また、コントロールユニット200は、CPU201、RAM202、ROM203、操作部I/F204、スキャナI/F205、プリンタI/F206、及びネットワークI/F207を備える。CPU201は、MFP101全体を統括的に制御する。RAM202は、CPU201のワークエリア、受信バッファ、画像描画に使用されるランダム・アクセス・メモリである。ROM203は、CPU201が実行するソフトウェアプログラムやフォントデータを格納するリード・オンリ・メモリである。またMFP101は、不図示のハードディスクドライブを備え、オペレーティングシステムやシステムソフトウェア、及び画像データを記憶する。
操作部210は、各種スイッチやボタン、並びにメッセージ表示用の液晶表示部で構成される。ネットワークI/F207は、MFP101をネットワークに接続するためのインタフェースである。プリンタ230は、画像データに従って記録紙に印刷を行う。スキャナ220は、印刷されたドキュメントなどを読み込んで電子データに変換する。
<MFPとの通信フローの説明>
次に、図3を参照して、MFP101をHTTPサーバおよびHTTPSサーバとした場合に、外部機器からの通信開始処理依頼を受けた時の通信手順について説明する。
次に、図3を参照して、MFP101をHTTPサーバおよびHTTPSサーバとした場合に、外部機器からの通信開始処理依頼を受けた時の通信手順について説明する。
なお、以下では、一般的なSSL通信のハンドシェイクプロトコルを例として述べるため、各メッセージの詳細については、省略する。
通信処理が開始されると、MFP101は、S301で、ClientHelloメッセージを受信する。次に、S302で、MFP101は、外部機器に対して、ServerHelloメッセージを送信する。S303にて、Certificateメッセージを外部機器に対して送信する。このとき、S305において、外部機器よりクライアント証明書を受信できれば、S306へ、受信できなければ、S308へ処理を進める。
次に、S306にて、外部機器よりCertificateVerifyメッセージを受信する。続いて、S307において、受信したクライアント証明書を検証する。検証の結果、クライアント証明書が正しいものであれば、S309へ、不適正なものであれば、S308へ処理を進める。S308では、クライアント証明書が存在しない、もしくは不適正であるため外部機器へエラーメッセージを送信し、ハンドシェイクプロトコルを終了する。次に、S309において、通信を要求してきた外部機器が既定のネットワーク内に存在するかを確認する。確認方法としては、例えば、IPアドレスからネットワークアドレスを算出し、MFP101と同一であるかを検証すればよい。この結果、外部機器が既定のネットワーク内にいるならば、S310へ、そうでなければS311へ処理を進める。
S310においては、外部機器が正当な端末であり、既定のネットワーク内であるため、アプリケーションデータプロトコルにて、暗号化処理を行わない、非セキュア通信を行う。一方、S311においては、外部機器が正当な端末である一方、既定のネットワーク外であるため、アプリケーションデータプロトコルにて暗号化処理を行うように通信方式をセキュアに切り替える。
以上で説明したように、MFP101は、外部機器から通信要求を受けると、外部機器に対して、クライアント証明書を要求する。そして、このクライアント証明書の検証を行い、外部機器の正当性を確認して、通信方式をセキュアもしくは非セキュアに切り替えている。これにより、既定のネットワーク内は、正当性が保たれた端末で構成されることになり、通信方式が、非セキュアであっても傍受による影響はなくなる。
なお、クライアント証明書で正規とみなされた外部機器のMACアドレスやIPアドレスなどをRAM202や外部のデータストアに登録してもかまわない。これにより、2回目以降の通信においては、検証処理を省ける。また、そのような場合においては、登録内容の有効期限などを設けて、検証処理を再度適用させることで信頼性を向上できる。
101 MFP
102、103 外部機器
201 CPU
202 RAM
203 ROM
204 操作部I/F
205 スキャナI/F
206 プリンタI/F
207 ネットワークI/F
210 操作部
220 スキャナ
230 プリンタ
102、103 外部機器
201 CPU
202 RAM
203 ROM
204 操作部I/F
205 スキャナI/F
206 プリンタI/F
207 ネットワークI/F
210 操作部
220 スキャナ
230 プリンタ
Claims (6)
- 外部機器とネットワーク接続が可能な情報処理装置であって、
外部機器が正当な端末であるかを判断する端末正当性判断手段と、
前記端末正当性判断手段の結果を受けて前記外部機器と前記情報処理装置が既定のネットワーク内に存在するかを判断し、通信方式を切り替えるネットワーク切り替え手段と
を備えることを特徴とする情報処理装置。 - 前記外部機器と前記情報処理装置は同一のネットワークに存在することを特徴とする請求項1に記載の情報処理装置。
- 前記ネットワーク切り替え手段は、前記外部機器が既定のネットワーク内に存在すると判断した場合には非セキュア通信方式に切り替え、前記外部機器が既定のネットワーク内に存在しないと判断した場合はセキュア通信方式に切り替えることを特徴とする請求項1又は請求項2に記載の情報処理装置。
- 端末正当性判断手段は、前記外部機器のクライアント証明書を用いて前記外部機器が正当な端末であるかを判断することを特徴とする請求項1乃至請求項3の何れか1項に記載の情報処理装置。
- 外部機器とネットワーク接続が可能な情報処理装置の制御方法であって、
外部機器が正当な端末であるかを判断する端末正当性判断ステップと、
前記端末正当性判断ステップでの結果を受けて前記外部機器と前記情報処理装置が既定のネットワーク内に存在するかを判断し、通信方式を切り替えるネットワーク切り替えステップと
を備えることを特徴とする情報処理装置の制御方法。 - 外部機器とネットワーク接続が可能な情報処理装置に、
外部機器が正当な端末であるかを判断する端末正当性判断ステップと、
前記端末正当性判断ステップでの結果を受けて前記外部機器と前記情報処理装置が既定のネットワーク内に存在するかを判断し、通信方式を切り替えるネットワーク切り替えステップと
を実行させることを特徴とするプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014017637A JP2015146060A (ja) | 2014-01-31 | 2014-01-31 | 情報処理装置、その制御方法、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014017637A JP2015146060A (ja) | 2014-01-31 | 2014-01-31 | 情報処理装置、その制御方法、及びプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2015146060A true JP2015146060A (ja) | 2015-08-13 |
Family
ID=53890268
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014017637A Pending JP2015146060A (ja) | 2014-01-31 | 2014-01-31 | 情報処理装置、その制御方法、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2015146060A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105138906A (zh) * | 2015-08-31 | 2015-12-09 | 联想(北京)有限公司 | 信息处理方法及电子设备 |
-
2014
- 2014-01-31 JP JP2014017637A patent/JP2015146060A/ja active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105138906A (zh) * | 2015-08-31 | 2015-12-09 | 联想(北京)有限公司 | 信息处理方法及电子设备 |
CN105138906B (zh) * | 2015-08-31 | 2019-02-05 | 联想(北京)有限公司 | 信息处理方法及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11140162B2 (en) | Response method and system in virtual network computing authentication, and proxy server | |
JP4345796B2 (ja) | 通信方法、通信システムならびに通信システムを構成するサーバ、クライアントおよびコンピュータプログラム | |
US10230716B2 (en) | Information processing apparatus and encryption communicating method | |
US9813424B2 (en) | Communication system, server, and client device | |
US8966244B2 (en) | Embedded apparatus, remote-processing method, and computer program product | |
US9769149B1 (en) | Proxy-less secure sockets layer (SSL) data inspection | |
JP2016181774A (ja) | 画像形成装置 | |
JP6679867B2 (ja) | 通信システム、通信装置、および、コンピュータプログラム | |
JP6405831B2 (ja) | 情報処理装置、通信システム及びプログラム | |
JP2009071727A (ja) | 画像入出力装置、画像処理システム、及び、画像処理制御方法 | |
JP6686350B2 (ja) | コンピュータプログラム、および、中継装置 | |
CN109218381B (zh) | 远程通信控制系统和会话中继系统 | |
JP2015146060A (ja) | 情報処理装置、その制御方法、及びプログラム | |
JP5673216B2 (ja) | 通信制御装置、通信制御システム、及び通信制御プログラム | |
US10331389B2 (en) | Remote communication control system that improves security of remote session between image forming apparatus and connection terminal, remote communication system, session management system, and recording medium | |
JP6743906B2 (ja) | 通信装置、通信方法、プログラム | |
JP6838707B2 (ja) | リモート通信制御システム、セッション管理システムおよびセッション管理プログラム | |
JP4893279B2 (ja) | 通信装置および通信方法 | |
JP2007251568A (ja) | ネットワーク機器 | |
JP2012080504A (ja) | 画像形成装置、画像形成装置の制御方法、及びプログラム | |
US10289357B2 (en) | Remote communication system that improves security of remote session between image forming apparatus and connection terminal | |
JP2016162445A (ja) | IPP−USBデータのIPsecセキュリティのための方法およびシステム | |
JP6127610B2 (ja) | 端末装置、アプリケーション及び情報送信方法 | |
CN114640447A (zh) | 一种数据包处理方法、智能网卡及存储介质 | |
JP2019012401A (ja) | リモート通信システム |