JP4759382B2 - 通信機器、通信方法、通信プログラム、及び記録媒体 - Google Patents
通信機器、通信方法、通信プログラム、及び記録媒体 Download PDFInfo
- Publication number
- JP4759382B2 JP4759382B2 JP2005362675A JP2005362675A JP4759382B2 JP 4759382 B2 JP4759382 B2 JP 4759382B2 JP 2005362675 A JP2005362675 A JP 2005362675A JP 2005362675 A JP2005362675 A JP 2005362675A JP 4759382 B2 JP4759382 B2 JP 4759382B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- information processing
- communication
- packet
- processing apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4541—Directories for service discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、画像形成装置等の情報処理装置にIPSec通信等のセキュア通信を提供する通信機器に関する。
現在IPSec(IP security protocol)という技術が存在する。これは、インターネット等で利用されているIP(Internet Protocol)をセキュア化しようというプロトコルである。これは、全てのIPに関する通信を暗号化したり、認証したりする機能を持っているものである。
このIPSec通信を行う場合、暗号化のための演算処理が行われるため、大量のCPU資源を消費する。従って、IPSecを使う場合はCPUを強化しないと高速な通信が望めなくなる。
そのため、小規模CPUを使った機器でIPSecを使う場合、従来よりハードウェアアクセラレータの利用が検討されてきた。
このハードウェアアクセラレータには大きく分けて二種類あり、一つがコプロセッサ形式で実現するタイプである。コプロセッサ形式のアクセラレータは、IPSec通信を行う機器内部に実装され、CPUとは別個にIPSec演算を行うための回路として組み込まれる。そして、IPSec通信を行う場合、暗号化に伴う演算処理をCPUで行わず、このIPSec演算専用回路で演算処理を行う。汎用CPUでの演算ではなく、専用ハードウェアによる演算のため、高速で演算が可能になる。
もう一つのハードウェアアクセラレータが、IPSec通信を行う機器と、通信路との間に挿まれるタイプのものである。
これは、IPSec通信を行いたい機器は従来通り普通のIPで通信を行い、機器から流出するパケットはこのハードウェアアクセラレータを一旦通って外部のネットワークに流される。また、ネットワークから機器に流入するパケットも、機器に流入する前に必ずこのハードウェアアクセラレータを通った後で機器に流入する。
そして、このハードウェアアクセラレータで、到着したIPSecパケットを通常のIPパケットに変換したり、流出するIPパケットをIPSecパケットに変換したりする。
このブリッジタイプのIPSecアクセラレータは基本的に自身の機能のみでIPSec化を実現するために高速化しやすく、機器に影響を与えにくいものである。
特開2002−317148号公報
特開2003−78813号公報
特開2004−86590号公報
特開2002−251071号公報
しかしながら、ブリッジタイプのIPSecアクセラレータは、接続する機器に対する設定が手動で行わなければならないとともに、接続する機器も設定が必要となる場合もあり、使用するために手間がかかるという問題がある。
本発明は、このような問題点に鑑み、設定に手間がかからず、接続する機器が意識することなくセキュア通信を提供できる通信機器、通信方法、通信プログラム、及び記録媒体を提供することを目的とする。
上記の課題は、情報処理装置に接続される通信機器であって、前記情報処理装置を発見する情報処理装置発見手段と、既知の情報処理装置の機種情報毎に、前記通信機器によるセキュア通信のためのパケット変換処理が必要か否かを示すパケット変換処理要否情報を格納する情報処理装置情報格納手段と、前記情報処理装置発見手段により発見された情報処理装置から、当該情報処理装置の機種情報を取得する情報取得手段と、前記情報取得手段により取得した機種情報に基づき前記情報処理装置情報格納手段を検索することにより、当該機種情報に対応するパケット変換処理要否情報を取得し、当該パケット変換処理要否情報に基づき、前記情報処理装置発見手段により発見された情報処理装置に対してセキュア通信のためのパケット変換処理を行うか否かを判定する判定手段と、前記判定手段により、パケット変換処理を行うと判定された場合に、前記発見された情報処理装置が送信する非セキュア通信パケットをセキュア通信パケットに変換し、当該情報処理装置宛のセキュア通信パケットを非セキュア通信パケットに変換するパケット変換手段とを有することを特徴とする通信機器により解決できる。
また、前記通信機器は、既知の情報処理装置毎にセキュア通信のためのセキュア通信設定情報を格納した設定情報格納手段を有し、前記情報処理装置発見手段により発見された情報処理装置に対応するセキュア通信設定情報を前記設定情報格納手段から取得し、当該セキュア通信設定情報を用いて、前記発見された情報処理装置に対するセキュア通信のための設定を行うようにすることもできる。
また、前記通信装置は、前記情報処理装置情報格納手段に格納された情報処理装置情報、及び前記設定情報格納手段に格納されたセキュア通信設定情報を、外部装置からの要求に基づき更新する手段を備えてもよい。
前記情報処理装置発見手段は、前記情報処理装置のIPアドレスの設定のための通信を監視することにより前記情報処理装置のIPアドレスを取得する手段として構成してもよい。前記IPアドレスの設定のための通信は例えばDHCPの通信である。
また、前記通信機器は、前記情報処理装置がIPv6に対応していない場合、所定のIPv6アドレスを自らに設定するIPv6アドレス設定手段と、前記IPv6アドレス宛のパケットの宛先を前記情報処理装置のIPv4アドレスに変換して前記情報処理装置に送信する擬似IPv4パケット送信手段と、前記情報処理装置が送信するパケットの送信元を、前記IPv6アドレスに変換して送信する擬似IPv6パケット送信手段とを有することとしてもよい。
また、本発明は上記の通信機器の処理に対応した通信方法として構成することができる。また、本発明は、通信方法の各ステップを前記情報処理装置に接続される通信機器に実行させるための通信プログラムとして構成することもできる。
以上説明したように、本発明は設定に手間がかからず、接続する機器が意識することなくセキュア通信を提供できる通信機器、通信方法、通信プログラム、及び記録媒体を提供することができる。
以下、図面を参照し、本発明の実施形態について説明する。
(概要構成)
図1は、本実施の形態の全体構成図を示している。図1には、IPSec、SSL(Secure Sockets Layer)等のセキュア通信を行うためのアクセラレータであるセキュア通信ブリッジ10と、プリンタ等のセキュア通信アクセラレーションの対象となるネットワーク機器11と、コンピュータ12と、それらを接続する内部ネットワーク13と、外部ネットワーク14とが示されている。
図1は、本実施の形態の全体構成図を示している。図1には、IPSec、SSL(Secure Sockets Layer)等のセキュア通信を行うためのアクセラレータであるセキュア通信ブリッジ10と、プリンタ等のセキュア通信アクセラレーションの対象となるネットワーク機器11と、コンピュータ12と、それらを接続する内部ネットワーク13と、外部ネットワーク14とが示されている。
ネットワーク機器11にはIPsec等のセキュア通信機能はなく、通常のIPによる通信機能だけを有する。ネットワーク機器11はネットワーク通信機能を持った情報処理装置であり、例えば、プリンタ、コピー機等の画像形成装置、家電製品、コンピュータ等である。このネットワーク機器11とセキュア通信ブリッジ10を内部ネットワーク13で接続し、その先に外部ネットワーク14を接続する。なお、内部ネットワーク13と外部ネットワーク14は共に有線、無線のどちらでもよいが、内部ネットワーク13は有線であることが好ましい。
外部ネットワーク14にはセキュア通信機能を持つコンピュータ12を接続する。そして、セキュア通信ブリッジ10は、外部ネットワーク14から到達したセキュア通信パケットを非セキュア通信化してネットワーク機器11に転送し、またネットワーク機器11から出た非セキュア通信パケットをセキュア通信化してコンピュータ12に転送する機能を有する。
このような構成によって、コンピュータ12から見ると、ネットワーク機器11がセキュア通信機能を持っているように見え、またネットワーク機器11はコンピュータ12と通常のIPで通信しているように見える。
図2は、セキュア通信ブリッジ10の外観例を示している。セキュア通信ブリッジ10は、2つのコネクタ21、22を有する。これらのコネクタは、RJ−45インタフェースであり、2つのイーサネット(登録商標)と接続できるようになっている。
2つのコネクタ21、22のうち、一方を内部ネットワーク13に接続し、もう一方を外部ネットワーク14に接続する。
上記コネクタ21、22はその後ろにある基盤に接続されており、この基盤にはIPSec処理等のセキュア通信処理を行う回路が設けられている。
なお、内部ネットワーク13にはセキュア通信処理を施されていないパケットが流れるため、内側のネットワークに対する盗聴は防御できない。このため、内部ネットワーク13のインタフェースを汎用のRJ−45にせず、専用の経路で接続し、その部分をネットワーク機器11内部に封入することも行われ得る。
この場合、図3にセキュア通信ブリッジ20に示されるように、RJ−45のコネクタ26は外部ネットワーク14に接続するための1つのみになる。
このセキュア通信ブリッジ20は、ネットワーク機器11と別個のものとして活用しても良いが、ネットワーク機器11の拡張用スロットに搭載するものとして実装することで、電源もネットワーク機器11から取得することができるようになる。
(第1の実施の形態)
まず、本発明の第1の実施の形態について説明する。図4に示すように、第1の実施の形態では、セキュア通信としてIPsec通信を例にとり、SNMPを用いてアクセラレーションの対象となるネットワーク機器11の機器情報を取得し、機器情報に基づきIPsec通信のための設定を行う。
まず、本発明の第1の実施の形態について説明する。図4に示すように、第1の実施の形態では、セキュア通信としてIPsec通信を例にとり、SNMPを用いてアクセラレーションの対象となるネットワーク機器11の機器情報を取得し、機器情報に基づきIPsec通信のための設定を行う。
図5に、第1の実施の形態におけるセキュア通信ブリッジ40の構成を示す。図5に示すように、第1の実施の形態におけるセキュア通信ブリッジ40は、SNMPによるネットワーク機器情報取得部41、セキュリティポリシー設定部42、パケットのIPsec処理/送受信機能部43、ネットワークインタフェース部44、45、ネットワーク機器情報格納部46、既知機器情報格納部47、セキュリティポリシー格納部48を有している。
SNMPによるネットワーク機器情報取得部41は、SNMPを用いてアクセラレーションの対象となるネットワーク機器の情報を取得する。セキュリティポリシー設定部42は、ネットワーク機器情報取得部41により取得した機器情報と、各格納部に格納されている情報とに基づき、IPsecアクセラレーションの対象となるネットワーク機器に対するセキュリティポリシーを設定する。パケットのIPsec処理/送受信機能部43は、受信したパケットのIPアドレスと設定されたセキュリティポリシーとに基づきパケットに対するIPsec処理を行う。また、ネットワークインタフェース部44、45は、ネットワークを介してパケットの送受信を行うための機能部である。
ネットワーク機器情報格納部46は、ネットワーク機器情報取得部41により取得したネットワーク機器情報を格納する。既知機器情報格納部47は、例えばネットワーク機器のカタログ情報等の既知の機器情報を格納する。セキュリティポリシー格納部48は、セキュリティポリシー設定部42によりIPsecアクセラレーション対象となるネットワーク機器のセキュリティポリシーが格納される。これらの格納部は、例えば不揮発性の記憶装置内の記憶領域として実現できる。なお、既知機器情報格納部47はセキュア通信ブリッジ40内に存在する必要はなく、外部ネットワーク上に存在してもよい。この場合の構成を図6に示す。
次に、各格納部に格納されるデータの例を説明する。図7はネットワーク機器情報格納部46に格納されるデータの例を示す図である。図7に示すように、ネットワーク機器情報格納部46には製品名等のネットワーク機器の機種を特定する情報(以下、機種情報と呼ぶ)、ネットワーク機器のIPv4アドレス及びIPv6アドレスが格納される。図8は既知機器情報格納部47に格納されるデータの例を示す図であり、図8に示すように、既知機器情報格納部47には機種情報毎にIPsecアクセラレーションの必要性が格納される。既知機器情報格納部47は、IPsecアクセラレーションの必要性に代えて、IPsec通信機能の有無の情報を格納してもよい。
また、図9はセキュリティポリシー格納部48に格納されるデータの例を示す図である。図9に示すように、アクセラレーションの対象となる機器のIPアドレス毎にIPsec通信を行うためのセキュリティポリシーが格納される。各IPアドレスのネットワーク機器に対し、対応するセキュリティポリシーに従ってIPsecアクセラレーションが実施される。
次に、図10のフローチャートを参照して、セキュア通信ブリッジ40がSNMPを用いてネットワーク機器情報を取得する際の処理を説明する。この処理はネットワーク機器情報取得部41により実行されるものである。
まず、ステップS1で、セキュア通信ブリッジ40は、ネットワークインタフェース部44を介してブロードキャストアドレスへ向けてSNMPクエリを送信する。ステップS2においてセキュア通信ブリッジ40はSNMPクエリに対するSNMPリプライを受信すると、そのSNMPリプライの中からネットワーク機器11のIPアドレスを取得する。そして、ステップS3でセキュア通信ブリッジ40は、SNMPを用いてネットワーク機器11に向けて機種情報(製品名など)を要求する。ステップS4で、セキュア通信ブリッジ40は、ネットワーク機器11から受信したIPアドレス、及び機種情報をネットワーク機器情報格納部46に格納する。
次に、図11のフローチャートを参照して、取得したネットワーク機器情報に基づきセキュリティポリシーを設定する処理を説明する。この処理はセキュリティポリシー設定部42により行われるものである。
ステップS11において、セキュリティポリシー設定部42は、ネットワーク機器情報格納部46に格納された機種情報に基づき既知機器情報格納部47を検索し、当該機種情報に該当する情報を発見する。セキュリティポリシー設定部42は、検索により機種情報に該当する情報を発見できた場合(ステップS12のYes)、その情報に基づき該当のネットワーク機器はIPsecアクセラレーションが必要かどうかを判定する(ステップS13)。なお、既知機器情報格納部47にIPsec機能の有無が機器情報として格納される場合には、IPsec機能有りの場合はIPsecアクセラレーション不要と判定し、IPsec機能無しの場合はIPsecアクセラレーション必要と判定する。ステップS13においてIPsecアクセラレーションが必要であると判定された場合には、ステップS14においてセキュリティポリシー設定部42は対象のネットワーク機器のIPアドレスと対応付けてセキュリティポリシーをセキュリティポリシー格納部48に設定する。これにより、当該ネットワーク機器に対してIPsecアクセラレーションが行われることになる。ここでのセキュリティポリシーとしては予め定めておいたものを用いる。例えば図9に示すように、全ての相手先IPアドレスに対してIPsecアクセラレーションができるような設定とする。
ステップS13においてNoの場合、つまりIPsecアクセラレーションが不要であると判定された場合には、セキュリティポリシー設定は行われない。ステップS12においてNoの場合、つまり対象のネットワーク機器に対する既知機器情報が発見されなかった場合には、当該ネットワーク機器に対して既知の一般的なセキュリティポリシーを適用してセキュリティポリシー設定を行う(ステップS15)。
上記の設定を行うことによりIPsecアクセラレーションが可能となる。すなわち、セキュア通信ブリッジ40は、内部ネットワークから受信したパケットの送信元アクドレスがセキュリティポリシー格納部48に設定されたIPアドレスに含まれていればIPsec処理を行ってパケットを送出する。また、外部ネットワークから受信したパケットは、IPsec通信パケットであればIPパケットに変換する処理を行い、IPsecパケットでなければそのまま宛先に送信する。
上記のネットワーク機器情報取得部41としては、SNMPを用いる他、SSDP、WS−Discovery、Bonjour(Rendezvous)等も用いることが可能である。また、ネットワーク機器11のIPアドレスの設定のための通信を監視することによりネットワーク機器のIPアドレスを取得することが可能である。IPアドレスの設定のための通信は、例えば、DHCPの通信、IPv6のステートレスアドレス設定のための通信等である。他の実施の形態において上記のうちのいくつかの例を示している。
また、セキュア通信ブリッジ40は、ハードウェアで構成することもできるし、CPU及び記憶装置等からなるコンピュータに、ネットワーク機器情報取得部41、セキュリティポリシー設定部42、IPsec処理/送受信機能部43の処理のためのプログラムを搭載することにより実現することも可能である。当該プログラムはメモリ等の記録媒体に格納して提供することもできるし、ネットワークからのダウンロードにより提供することも可能である。他の実施の形態においても同様に、セキュア通信ブリッジはハードウェアで構成することもできるし、コンピュータにプログラムを実行させることにより構成することもできる。
(第2の実施の形態)
次に、本発明の第2の実施の形態について説明する。図12に示すように第2の実施の形態では、セキュア通信としてSSL通信を例にとる。そして、DHCPアクセスを監視することによりアクセラレーションの対象となるネットワーク機器のIPアドレスを取得し、SSL通信のための設定を行う。
次に、本発明の第2の実施の形態について説明する。図12に示すように第2の実施の形態では、セキュア通信としてSSL通信を例にとる。そして、DHCPアクセスを監視することによりアクセラレーションの対象となるネットワーク機器のIPアドレスを取得し、SSL通信のための設定を行う。
つまり、ネットワーク機器11がDHCPを使ったIPアドレス自動設定の機能を持っている場合、ネットワーク機器起動後に、ネットワーク機器11がDHCPサーバ15と通信して、IPアドレスの自動設定を受ける。セキュア通信ブリッジ50は、DHCPパケットを監視し、DHCPサーバからの応答があったら、そのパケットの内容を解析し、ネットワーク機器11に割り振られたIPアドレスを自動的に識別する。
図13に、第2の実施の形態におけるセキュア通信ブリッジ50の構成を示す。図13に示すように、第2の実施の形態におけるセキュア通信ブリッジ50は、DHCP通信監視によるネットワーク機器情報取得部51、セキュリティポリシー設定部52、パケットのSSL処理/送受信機能部53、ネットワークインタフェース部54、55、ネットワーク機器情報格納部56、セキュリティポリシー格納部57を有している。
DHCP通信監視によるネットワーク機器情報取得部51は、ネットワーク機器11によるDHCP通信を監視することによりアクセラレーションの対象となるネットワーク機器の情報(IPアドレス)を取得する。セキュリティポリシー設定部52は、ネットワーク機器情報取得部51により取得した機器情報に基づき、SSLアクセラレーションの対象となるネットワーク機器11に対するセキュリティポリシーを設定する。パケットのSSL処理/送受信機能部53は、受信したパケットのIPアドレスと設定されたセキュリティポリシーとに基づきパケットに対するSSL処理を行う。また、ネットワークインタフェース部54、55は、ネットワークを介してパケットの送受信を行うための機能部である。
ネットワーク機器情報格納部56は、ネットワーク機器情報取得部51により取得したネットワーク機器情報(IPアドレス)を格納する。セキュリティポリシー格納部57は、セキュリティポリシー設定部52によりSSLアクセラレーション対象となるネットワーク機器のセキュリティポリシーが格納される。これらの格納部は、例えば不揮発性の記憶装置内の記憶領域として実現できる。
次に、各格納部に格納されるデータの例を説明する。図14はネットワーク機器情報格納部56に格納されるデータの例を示す図である。図14に示すように、ネットワーク機器情報格納部56にはネットワーク機器のIPv4アドレス、IPv6アドレス等が格納される。また、図15はセキュリティポリシー格納部57に格納されるデータの例を示す図である。図15に示すように、アクセラレーションの対象となる機器のIPアドレス毎にSSL通信を行うためのセキュリティポリシーが格納される。
次に、図16のフローチャートを参照して、セキュア通信ブリッジ50がDHCP通信を監視することによりネットワーク機器のIPアドレスを取得する際の処理を説明する。この処理はネットワーク機器情報取得部51により実行されるものである。
ステップS21において、セキュア通信ブリッジ50は、内部ネットワークにあるネットワーク機器と外部機器との通信パケットを監視する。そして、通信パケットが、DHCP通信のものであってネットワーク機器11に設定されるIPパケットを含むものであることを発見すると(ステップS22のYes)、DHCP通信のパケットからネットワーク機器11に割り当てられたIPアドレスを取得し、アクセラレーション対象のIPアドレスとしてネットワーク機器情報格納部56に格納する(ステップS23)。
次に、図17のフローチャートを参照して、取得したネットワーク機器情報に基づきセキュリティポリシーを設定する処理を説明する。この処理はセキュリティポリシー設定部52により行われるものである。
セキュリティポリシー設定部52は、ネットワーク機器情報格納部56に新たなIPアドレスが設定されたことを検知すると(ステップS31のYes)、当該IPアドレスと対応付けて、SSL通信のためのセキュリティポリシーをセキュリティポリシー格納部57に設定する。これにより、当該IPアドレスを持つネットワーク機器11に対してSSLアクセラレーションが行われることになる。ここでのセキュリティポリシーとしては予め定めておいたものを用いる。例えば図15に示すように、全ての相手先IPアドレスに対してSSLアクセラレーションができるような設定とする。
上記の設定を行うことによりSSLアクセラレーションが可能となる。すなわち、セキュア通信ブリッジ50は、内部ネットワークから受信したパケットの送信元アドレスがセキュリティポリシー格納部57に設定されたIPアドレスに含まれていればSSL処理を行ってパケットを送出する。また、外部ネットワークから受信したパケットがSSLパケットであればIPパケットに変換する処理を行う。
(第3の実施の形態)
次に、本発明の第3の実施の形態について説明する。図18に示すように、第3の実施の形態では、セキュア通信としてIPsec通信を例にとる。そして、SSDP(Simple Service Discovery Protocol)を用いてアクセラレーションの対象となるネットワーク機器11の機器情報を取得し、IPsec通信のための設定を行う。また、管理者のコンピュータから既知機器情報等の情報を更新することが可能となっている。
次に、本発明の第3の実施の形態について説明する。図18に示すように、第3の実施の形態では、セキュア通信としてIPsec通信を例にとる。そして、SSDP(Simple Service Discovery Protocol)を用いてアクセラレーションの対象となるネットワーク機器11の機器情報を取得し、IPsec通信のための設定を行う。また、管理者のコンピュータから既知機器情報等の情報を更新することが可能となっている。
図19に、第3の実施の形態におけるセキュア通信ブリッジ60の構成を示す。図19に示すように、第3の実施の形態におけるセキュア通信ブリッジ60は、SSDPによるネットワーク機器情報取得部61、セキュリティポリシー設定部62、情報管理部63、パケットのIPsec処理/送受信機能部64、ネットワークインタフェース部65、66、ネットワーク機器情報格納部67、既知機器情報格納部68、セキュリティポリシーテンプレート格納部69、セキュリティポリシー格納部70を有している。
SSDPによるネットワーク機器情報取得部61は、SSDPを用いてアクセラレーションの対象となるネットワーク機器11の情報を取得する。セキュリティポリシー設定部62は、ネットワーク機器情報取得部61により取得した機器情報と、各格納部に格納されている情報とに基づき、IPsecアクセラレーションの対象となるネットワーク機器11に対するセキュリティポリシーを設定する。情報管理部63は、外部装置からの指示に基づき、既知機器情報格納部68及びセキュリティポリシーテンプレート格納部69の情報を更新する。
パケットのIPsec処理/送受信機能部64は、受信したパケットのIPアドレスと、設定されたセキュリティポリシーとに基づきパケットに対するIPsec処理を行う。また、ネットワークインタフェース部65、66は、ネットワークを介してパケットの送受信を行うための機能部である。
ネットワーク機器情報格納部67は、ネットワーク機器情報取得部61により取得したネットワーク機器情報を格納する。既知機器情報格納部68は、例えばネットワーク機器のカタログ情報等の既知の機器情報を格納する。セキュリティポリシーテンプレート格納部69は、既知の機器の機種毎のセキュリティポリシーを格納する。セキュリティポリシー格納部70には、セキュリティポリシー設定部62により、IPsecアクセラレーション対象となるネットワーク機器のセキュリティポリシーが格納される。これらの格納部は、例えば不揮発性の記憶装置内の記憶領域として実現できる。なお、既知機器情報格納部68及びセキュリティポリシーテンプレート格納部69はセキュア通信ブリッジ60内に存在する必要はなく、外部ネットワーク上に存在してもよい。セキュリティポリシーテンプレート格納部69を外部ネットワークに設置した場合の構成例を図20に示す。
次に、各格納部に格納されるデータの例を説明する。図21、図22に示すように、ネットワーク機器情報格納部67、既知情報格納部68には第1の実施の形態と同様のデータが格納される。また、図23に示すように、セキュリティポリシテンプレート格納部69には、既知機器の機種情報毎にIPsec通信のためのセキュリティポリシーが格納される。また、図24に示すように、セキュリティポリシー格納部70にはアクセラレーションの対象となる機器のIPアドレス毎にIPsec通信を行うためのセキュリティポリシーが格納される。なお、セキュリティポリシー格納部70は、既知機器情報格納部68及びセキュリティポリシーテンプレート格納部69に対する情報設定を行う管理者コンピュータとセキュア通信ブリッジ間でのIPsec通信用のセキュリティポリシーを含む。
次に、図25のフローチャートを参照して、セキュア通信ブリッジ60がSSDPを用いてネットワーク機器情報を取得する際の処理を説明する。この処理はネットワーク機器情報取得部61により実行されるものである。
まず、ステップS41において、セキュア通信ブリッジ60は、ネットワークインタフェース部65を介してブロードキャストアドレスへ向けてSSDPクエリを送信する。ステップS42においてセキュア通信ブリッジ60はSSDPクエリに対する応答を受信すると、そのSSDPの応答の中からネットワーク機器11のIPアドレスを取得する。そして、ステップS43において、セキュア通信ブリッジ60は、SSDPの応答に基づきネットワーク機器11の機種情報を要求する。ステップS44において、セキュア通信ブリッジ60は、ネットワーク機器11から受信したIPアドレス、機種情報をネットワーク機器情報格納部67に格納する。
次に、図26のフローチャートを参照して、取得したネットワーク機器情報に基づきセキュリティポリシーを設定する処理を説明する。この処理はセキュリティポリシー設定部62により行われるものである。
ステップS51において、セキュリティポリシー設定部62は、ネットワーク機器情報格納部67に格納された機種情報に基づき、既知機器情報格納部68を検索する。セキュリティポリシー設定部62は、検索により機種情報に該当する情報を発見できた場合(ステップS52のYes)、ステップS53において、その情報に基づき該当のネットワーク機器11はIPsecアクセラレーションが必要かどうかを判定する。なお、既知機器情報格納部68にIPsec機能の有無が機器情報として格納される場合には、IPsec機能有りの場合はIPsecアクセラレーション不要と判定し、IPsec機能無しの場合はIPsecアクセラレーション必要と判定する。ステップS53においてIPsecアクセラレーションが必要であると判定された場合には、ステップS54において、セキュリティポリシー設定部62は対象のネットワーク機器11の機種情報に対応するセキュリティポリシーをセキュリティポリシーテンプレート格納部69から検索する。セキュリティポリシー設定部62は、該当のセキュリティポリシーを発見できた場合(ステップS55のYes)、ステップS56において、発見されたセキュリティポリシーに基づき、対象のネットワーク機器のIPアドレスと対応付けてセキュリティポリシーをセキュリティポリシー格納部70に設定する。これにより、当該ネットワーク機器11に対してIPsecアクセラレーションが行われることになる。
ステップS53においてNoの場合、つまりIPsecアクセラレーションが不要であると判定されて場合には、セキュリティポリシー設定は行われない。ステップS52、ステップS55においてNoの場合、当該ネットワーク機器11に対して既知の一般的なセキュリティポリシーを適用してセキュリティポリシー設定を行う(ステップS57)。上記の設定を行うことによりIPsecアクセラレーションが可能となる。
次に、図27のフローチャートを参照して、管理者コンピュータ等の外部装置から既知機器情報とセキュリティポリシーテンプレートの更新を行う場合の処理を説明する。以下の処理は情報管理部63により行われるものである。
まず、ステップS61において、セキュリティ通信ブリッジ60は外部装置からのアクセスを受ける。このとき、セキュリティポリシー格納部70に格納された管理者用のエントリが使用されてIPsec通信による接続が行われる。
次に、ステップS62において、情報管理部63は外部装置から既知機器情報の更新を要求されたかどうかを判定する。既知機器情報の更新を要求された場合(ステップS62のYes)、ステップS63において情報管理部63はネットワーク経由で既知機器情報を受け取り、既知機器情報格納部67に保持している既知機器情報を更新する。続いて、ステップS64において、情報管理部63は外部装置からセキュリティポリシーテンプレートの更新を要求されたかどうかを判定する。セキュリティポリシーテンプレートの更新を要求された場合(ステップS64のYes)、ステップS65において情報管理部63はネットワーク経由で特定の機種情報に対応するセキュリティポリシーテンプレートを受け取り、セキュリティポリシーテンプレート格納部69に保持している該当のセキュリティポリシーテンプレートを更新する。本実施の形態ではセキュリティポリシーテンプレートを用いることとしたので、機種毎に柔軟にセキュリティポリシーを設定することが可能となる。
(第4の実施の形態)
次に、本発明の第4の実施の形態について説明する。第4の実施の形態ではセキュア通信としてIPsec通信を例にとり、ネットワーク機器発見機能を用いてアクセラレーションの対象となるネットワーク機器11のIPアドレスを取得し、更にSMNPを用いてネットワーク機器11の機器情報を取得し、IPsec通信のための設定を行う。更に、第4の実施の形態のセキュア通信ブリッジ30はネットワーク機器サーバ機能も備えている。
次に、本発明の第4の実施の形態について説明する。第4の実施の形態ではセキュア通信としてIPsec通信を例にとり、ネットワーク機器発見機能を用いてアクセラレーションの対象となるネットワーク機器11のIPアドレスを取得し、更にSMNPを用いてネットワーク機器11の機器情報を取得し、IPsec通信のための設定を行う。更に、第4の実施の形態のセキュア通信ブリッジ30はネットワーク機器サーバ機能も備えている。
第4の実施の形態のセキュア通信ブリッジ30の構成を、図28を用いて説明する。図28には、ネットワークインタフェース部21、22と、IPSec設定格納部32と、パケットのIPSec処理及び送受信機能部33と、SNMP機能部34と、ネットワーク機器サーバ機能35と、IPv6機器自動発見機能部36と、既知機器情報格納部37と、ネットワーク機器情報格納部38と、IPアドレス情報格納部39とが示されている。
これらのうち、IPSec設定格納部32と、既知機器情報格納部37と、ネットワーク機器情報格納部38と、IPアドレス情報格納部39は、データベースであり、後に説明する。なお、これらのデータベースは、例えば不揮発性の記憶装置に記憶される。この不揮発性の記憶装置には、さらにセキュア通信ブリッジ30を動作させるためのプログラムを記憶しておいても良い。
パケットのIPSec処理および送受信機能部33は、パケットの送受信並びに、パケットの暗号化など、IPSecに関する処理を行う。SNMP機能部34は、SNMP(Simple Network Management Protocol)を用いてネットワーク機器から情報を取得する機能部である。ネットワーク機器サーバ機能部35は、ネットワーク機器サーバとして振舞うための機能部である。IPv6機器自動発見対応機能部36は、IPv6もしくはIPv4に対応しているネットワーク機器を自動的に発見する機能部である。
上記図28に示されるデータベースの中で、セキュア通信ブリッジ30に直接に搭載される必要がないものは、外部ネットワーク上に存在していてもよい。例えば、図29に示すように、既知機器情報格納部37を外部ネットワーク14上に配置してもよい。このようにすることで、セキュア通信ブリッジ30のハードウェア資源を節約することができる。
以下、データベースの説明を行う。図30は、ネットワーク機器11としてプリンタを例にとった場合におけるネットワーク機器情報格納部38に格納される情報の例を示す図である。これらの情報はSNMP機能部等により取得されるものであり、その項目は、「識別用番号」と、「IPv6通信可能性」と、「IPSec通信可能性」と、「プリンタ型式」と、「IPv4アドレス」と、「IPv6アドレス」とを含む。
「識別用番号」は、プリンタを識別するための番号である。「IPv6通信可能性」は、そのプリンタがIPv6で通信が可能かどうかを示すものである。「IPSec通信可能性」は、そのプリンタがIPSecで通信可能かどうかを示すものである。「プリンタ形式」は、そのプリンタの形式(機種)を示す。なお、「IPv6通信可能性」と、「IPSec通信可能性」については、既知機器情報37から取得した情報を設定する。
図31は、既知機器情報格納部37に格納される情報の例を示す図である。この既知機器情報37は、型式識別名が分かった場合、その型式識別名から、「IPv6通信可能性」と、「IPSec通信可能性」を知るために用いられる。
図32は、IPアドレス情報格納部39に格納される情報の例を示す図である。このIPアドレス情報は、セキュア通信ブリッジ30が持つIPアドレスに関する情報である。つまり、セキュア通信ブリッジ30は複数のIPアドレスを持ち、アクセスを受けるIPアドレスに応じた動作を行うことができる。IPアドレス情報格納部39に格納される情報の項目は、「IPアドレス」と、「接続許可/不許可」と、「制御用接続許可/不許可」と、「セキュア通信ブリッジのネットワーク機器側IPv4アドレス」とを含む。
「IPアドレス」は、セキュア通信ブリッジ30のIPアドレスである。「接続許可/不許可」は、そのIPアドレスでのアクセスに対する接続を許可するかどうかを示す。「制御用接続許可/不許可」は、制御用の接続を許可するかどうかを示す。ネットワーク機器サーバのネットワーク機器側IPv4アドレスは、ネットワーク機器サーバとしてのIPv4アドレスを示す。
図33は、IPSec設定格納部32に格納される情報を示す図である。図33に示すように、IPsecアクセラレーションの対象となるネットワーク機器毎にIPSecの設定内容(セキュリティポリシー)が格納されている。
次に、各処理についてフローチャートを用いて説明していく。
図34は、ネットワーク機器自動発見に関する処理を示すフローチャートである。ステップS101で、ネットワーク機器の自動発見機能による内部ネットワーク機器の自動発見処理が行われる。ネットワーク機器の自動発見機能処理は公知の自動発見機能を用いることが可能である。
次に、ステップS102で、セキュア通信ブリッジ30は、自動発見機能部36の通知が発見通知または削除通知かどうか判断する。削除通知の場合、ステップS103で、ネットワーク機器情報格納部38で該当するネットワーク機器に関する情報が削除される。なお、本実施の形態では、発見通知とともに削除通知を行う公知の自動発見機能を用いている。
発見通知を検知した場合、ステップS104で、自動発見で得られたIPアドレスはネットワーク機器情報格納部38に既に登録済みかどうか判断される。登録済みの場合、ステップS107に移る。登録済みではない場合、ステップS105で、ネットワーク機器情報格納部38に新たなネットワーク機器のIPアドレスが追加される。さらに、設定されている全てのIPv4/IPv6アドレスと、ネットワーク機器の型式(機種)がSNMPを用いて確認される。
次に、ステップS107で、既知機器情報を参照することにより、発見されたネットワーク機器が既知の機種かどうか判断される。既知の機種ではない場合、ステップS108で、IPSec処理だけを行うネットワーク機器であると決定し、IPsec設定内容をIPsec設定格納部32に格納する。ステップS107において、既知の機種のネットワーク機器の場合、既知機器情報を参照し、そのネットワーク機器がIPsec通信に対応していなければIPsec通信を行うと判定し(ステップS109のNo)、ステップS110でIPsec設定格納部32の設定を行う。なお、設定の方法はこれまでに説明した実施の形態の方法を用いることができる。また、ステップS111で、そのネットワーク機器がIPv6に対応しているかどうかが判定され、IPv6に対応していなければ(ステップS111のNo)、ネットワーク機器サーバとしての処理を実施すると決定し、その旨を該当のネットワーク機器に対応付けて記録する(ステップS112)。なお、IPv6に対応していれば、IPSec処理だけを行う。
次に、外部ネットワークからパケットが到着したときの処理を、図35のフローチャートを用いて説明する。ステップS201で、セキュア通信ブリッジ30は、IPsec設定格納部32を参照することにより、到着したパケットがIPSecアクセラレーション対応のネットワーク機器宛のパケットかどうか判断する。対象ネットワーク機器宛のパケットではない場合、ステップS202で、通常のブリッジとしてパケットを透過させる。
到着したパケットが対象ネットワーク機器宛のパケットの場合、ステップS203で、セキュア通信ブリッジ30は、IPv6ネットワーク機器サーバとしての自身宛のパケットかどうか判断する。自身宛のパケットの場合、ステップS204で、そのパケットがネットワーク機器自動発見処理のパケットかどうか判断する。ネットワーク機器自動発見処理のパケットの場合、ステップS205で、ネットワーク機器発見パケットへの応答処理が行われる。
ステップS204で、ネットワーク機器自動発見処理のパケットではないと判断された場合、ステップS206で、セキュア通信ブリッジ30は、IPv6で到着したパケットをネットワーク機器サーバとして受信し、IPアドレス情報格納部39に記載されたIPv4アドレスに向けて送信する。
ステップS203で、自身宛のパケットではないと判断された場合、ステップS207で、パケットはIPSecパケットかどうか判断される。パケットがIPSecパケットの場合、ステップS210で、該当SAに応じてIPSecパケットが通常のIPパケットに変換される。該当SAがない場合は、パケットは変換されずそのままのパケットとなる。そして、ステップS211で、IPSecが解除されたパケットは内部ネットワークに流される。
ステップS207でパケットがIPSecパケットではないと判断された場合、ステップS208で、パケットがIKEネゴシエーションパケットかどうか判断される。IKEネゴシエーションパケットではない場合、ステップS202の処理に進む。
IKEネゴシエーションパケットの場合、ステップS209でIKEネゴシエーション処理と、それに応じたSAの構築が行われる。
次に、内部ネットワークからパケットが到着した場合の処理を、図36のフローチャートを用いて説明する。
ステップS301で、到着したパケットがIPSec対象ネットワーク機器からのパケットかどうか判断される。IPSec対象ネットワーク機器からのパケットではない場合、ステップS302で、通常のブリッジとしてパケットが透過される。
IPSec対象ネットワーク機器からのパケットの場合、ステップS303で、ネットワーク機器サーバとしての自身宛のパケットかどうか判断される。自身宛のパケットの場合、ステップS304で、IPv4で到着したパケットはIPアドレス情報格納部39に記載されたIPv6アドレスのパケットとして送信される。
ステップS305で、新たなIKEネゴシエーション処理が必要かどうか判断される。必要な場合、ステップS306で、IKEネゴシエーションの処理が開始される。
次に、ステップS307で、該当SAに応じてパケットはIPSecパケットに変換処理される。該当SAがない場合は、パケットは変換されない。そして、ステップS308で、IPSecパケットは外部ネットワークに流される。
上述した処理は、公知のネットワーク発見機能を用いたものであったが、次に説明する処理は、第2の実施の形態と同様に、ネットワーク機器を自動発見する手段として、DHCPを用いたものである。
本実施の形態における処理を、図37のフローチャートを用いて説明する。監視するDHCPパケットは、外部ネットワークから内部ネットワークに向けて通過するDHCPパケットである。
セキュア通信ブリッジ30は、ステップS401で、通過するDHCPパケット内のIPアドレスを取得し、次のステップS402で、DHCP通信の完了を検知する。
ステップS403で、セキュア通信ブリッジ30は、得られたIPアドレスは既に登録済みかどうか判断する。登録済みの場合、ステップS406に移る。登録済みではない場合、ステップS404で、ネットワーク機器情報に新たなネットワーク機器が追加される。さらに、設定されている全てのIPv4/v6アドレスと、ネットワーク機器の型式(機種)がSNMPを用いて確認される。
次に、ステップS406で、既知機器情報を参照することにより、発見されたネットワーク機器が既知の機種かどうか判断される。既知の機種ではない場合、ステップS407で、IPSec処理だけを行うネットワーク機器であると決定し、IPsec設定内容をIPsec設定格納部32に格納する。既知の機種のネットワーク機器の場合、既知機器情報を参照し、そのネットワーク機器がIPsec通信に対応していない場合(ステップS408のNo)、IPsec通信を行うと判定し、ステップS409においてIPsec設定格納部32の設定を行う。なお、設定の方法はこれまでに説明した実施の形態の方法を用いることができる。また、ステップS410で、そのネットワーク機器がIPv6に対応しているかどうかが判定され、IPv6に対応していなければ(ステップS410のNo)、ネットワーク機器サーバとしての処理も実施すると決定し、ステップS411においてその旨を該当のネットワーク機器に対応付けて記録する。
上記DHCPパケットを監視する場合での、外部ネットワークからパケットが到着したときの処理を、図38のフローチャートを用いて説明する。
ステップS501で、パケットがDHCPネゴシエーションパケットかどうか判断される。DHCPネゴシエーションパケットの場合、ステップS502に進み、図37で説明した処理が行われ、DHCPネゴシエーションパケットではない場合、ステップS503に進み、図35で説明した処理が行われる。
同様に、DHCPパケットを監視する場合での、内部ネットワークからパケットが到着したときの処理を、図39のフローチャートを用いて説明する。
ステップS601で、パケットがDHCPネゴシエーションパケットかどうか判断される。DHCPネゴシエーションパケットの場合、ステップS602に進み、図37で説明した処理が行われ、DHCPネゴシエーションパケットではない場合、ステップS603に進み、図36で説明した処理が行われる。なお、この場合、ステップS602では、DHCPネゴシエーションにおける外部から内部へのパケットの監視に入り、図37の処理が行われる。
次に、対象ネットワーク機器がIPv6に対応していない場合、そのネットワーク機器をIPSecだけでなく、擬似的にIPv6にも対応させるための処理を、図40を用いて説明する。ステップS701で、IPv4対応ネットワーク機器が発見される。このとき、セキュア通信ブリッジ30は、既知機器情報から、当該ネットワーク機器はIPv4にしか対応していないことを知る。
セキュア通信ブリッジ30は、ステップS702で、該当ネットワーク機器のMACアドレスと、RAからIPv6アドレスを算出し、ステップS703で、そのIPアドレスを自身にセットし、IPアドレス情報格納部39の情報を更新する。
ステップS704で、セキュア通信ブリッジ30は、セットされたIPアドレスを、外部ネットワークから見てネットワーク機器のIPアドレスに見せるため、公知のIPv6ネットワーク機器の自動発見処理を実行する。
以上説明した実施の形態により、ネットワーク機器に自動的にセキュア通信を行わせることが可能となる。また、セキュア通信ブリッジ30は、ネットワーク機器の詳細な情報を得ることができ、ネットワーク機器に合わせたセキュア通信設定を自動的に行うことができる。
また、従来から一般に存在しているDHCP通信機能を利用してネットワーク機器を発見し、そのIPアドレスを得て、セキュア通信設定を自動的に行うことができる。これによって、ネットワーク機器に自身の存在を通知するための機構が備わっていなくてもネットワーク機器を発見することができる。
さらに、IPv4にしか対応していないネットワーク機器もIPv6に対応させることができるようになる。また、このセキュア通信ブリッジは元々セキュア通信対応機能を持っているため、IPv6対応を行う際に対応すべきセキュア通信への対応も、低コストで実現できる。
なお、本発明は、パケット通信装置が適用されるネットワークの種類や用途に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
10、20、30、40、50、60 セキュア通信ブリッジ
11 ネットワーク機器
12 コンピュータ
13 内部ネットワーク
14 外部ネットワーク
21、22、26 コネクタ
32 IPSec設定格納部
33 パケットのIPSec処理および送受信機能部
34 SNMP機能部
35 ネットワーク機器サーバ機能部
36 IPv6機器自動発見機能部
37 既知機器情報格納部
38 ネットワーク機器情報格納部
39 IPアドレス情報格納部
41 SNMPによるネットワーク機器情報取得部
42 セキュリティポリシー設定部
43 パケットのIPsec処理/送受信機能部
44、45 ネットワークインタフェース部
46 ネットワーク機器情報格納部
47 既知機器情報格納部
48 セキュリティポリシー格納部
51 DHCP通信監視によるネットワーク機器情報取得部
52 セキュリティポリシー設定部
53 パケットのSSL処理/送受信機能部
54、55 ネットワークインタフェース部
56 ネットワーク機器情報格納部
57 セキュリティポリシー格納部
61 SSDPによるネットワーク機器情報取得部
62 セキュリティポリシー設定部
63 情報管理部
64 パケットのIPsec処理/送受信機能部
65、66 ネットワークインタフェース部
67 ネットワーク機器情報格納部
68 既知機器情報格納部
69 セキュリティポリシーテンプレート格納部
70 セキュリティポリシー格納部
11 ネットワーク機器
12 コンピュータ
13 内部ネットワーク
14 外部ネットワーク
21、22、26 コネクタ
32 IPSec設定格納部
33 パケットのIPSec処理および送受信機能部
34 SNMP機能部
35 ネットワーク機器サーバ機能部
36 IPv6機器自動発見機能部
37 既知機器情報格納部
38 ネットワーク機器情報格納部
39 IPアドレス情報格納部
41 SNMPによるネットワーク機器情報取得部
42 セキュリティポリシー設定部
43 パケットのIPsec処理/送受信機能部
44、45 ネットワークインタフェース部
46 ネットワーク機器情報格納部
47 既知機器情報格納部
48 セキュリティポリシー格納部
51 DHCP通信監視によるネットワーク機器情報取得部
52 セキュリティポリシー設定部
53 パケットのSSL処理/送受信機能部
54、55 ネットワークインタフェース部
56 ネットワーク機器情報格納部
57 セキュリティポリシー格納部
61 SSDPによるネットワーク機器情報取得部
62 セキュリティポリシー設定部
63 情報管理部
64 パケットのIPsec処理/送受信機能部
65、66 ネットワークインタフェース部
67 ネットワーク機器情報格納部
68 既知機器情報格納部
69 セキュリティポリシーテンプレート格納部
70 セキュリティポリシー格納部
Claims (14)
- 情報処理装置に接続される通信機器であって、
前記情報処理装置を発見する情報処理装置発見手段と、
既知の情報処理装置の機種情報毎に、前記通信機器によるセキュア通信のためのパケット変換処理が必要か否かを示すパケット変換処理要否情報を格納する情報処理装置情報格納手段と、
前記情報処理装置発見手段により発見された情報処理装置から、当該情報処理装置の機種情報を取得する情報取得手段と、
前記情報取得手段により取得した機種情報に基づき前記情報処理装置情報格納手段を検索することにより、当該機種情報に対応するパケット変換処理要否情報を取得し、当該パケット変換処理要否情報に基づき、前記情報処理装置発見手段により発見された情報処理装置に対してセキュア通信のためのパケット変換処理を行うか否かを判定する判定手段と、
前記判定手段により、パケット変換処理を行うと判定された場合に、前記発見された情報処理装置が送信する非セキュア通信パケットをセキュア通信パケットに変換し、当該情報処理装置宛のセキュア通信パケットを非セキュア通信パケットに変換するパケット変換手段と
を有することを特徴とする通信機器。 - 前記通信機器は、既知の情報処理装置毎にセキュア通信のためのセキュア通信設定情報を格納した設定情報格納手段を有し、
前記情報処理装置発見手段により発見された情報処理装置に対応するセキュア通信設定情報を前記設定情報格納手段から取得し、当該セキュア通信設定情報を用いて、前記発見された情報処理装置に対するセキュア通信のための設定を行うことを特徴とする請求項1に記載の通信機器。 - 前記情報処理装置情報格納手段に格納された情報処理装置の情報、及び前記設定情報格納手段に格納されたセキュア通信設定情報を、外部装置からの要求に基づき更新する手段を備えたことを特徴とする請求項2に記載の通信機器。
- 前記情報処理装置発見手段は、前記情報処理装置のIPアドレスの設定のための通信を監視することにより前記情報処理装置のIPアドレスを取得する請求項1ないし3のうちいずれか1項に記載の通信機器。
- 前記IPアドレスの設定のための通信はDHCPの通信である請求項4に記載の通信機器。
- 前記情報処理装置がIPv6に対応していない場合、
所定のIPv6アドレスを自らに設定するIPv6アドレス設定手段と、
前記IPv6アドレス宛のパケットの宛先を前記情報処理装置のIPv4アドレスに変換して前記情報処理装置に送信する擬似IPv4パケット送信手段と、
前記情報処理装置が送信するパケットの送信元を、前記IPv6アドレスに変換して送信する擬似IPv6パケット送信手段と
を有することを特徴とする請求項1ないし5のうちいずれか1項に記載の通信機器。 - 情報処理装置に接続される通信機器における通信方法であって、
前記通信機器は、既知の情報処理装置の機種情報毎に、当該通信機器によるセキュア通信のためのパケット変換処理が必要か否かを示すパケット変換処理要否情報を格納する情報処理装置情報格納手段を備え、
前記情報処理装置を発見する情報処理装置発見ステップと、
前記情報処理装置発見ステップにより発見された情報処理装置から、当該情報処理装置の機種情報を取得する情報取得ステップと、
前記情報取得ステップにより取得された機種情報に基づき前記情報処理装置情報格納手段を検索することにより、当該機種情報に対応するパケット変換処理要否情報を取得し、当該パケット変換処理要否情報に基づき、前記情報処理装置発見ステップにより発見された情報処理装置に対してセキュア通信のためのパケット変換処理を行うか否かを判定する判定ステップと、
前記判定ステップにより、パケット変換処理を行うと判定された場合に、前記発見された情報処理装置が送信する非セキュア通信パケットをセキュア通信パケットに変換し、当該情報処理装置宛のセキュア通信パケットを非セキュア通信パケットに変換するパケット変換ステップと
を有することを特徴とする通信方法。 - 前記通信機器は、既知の情報処理装置毎にセキュア通信のための設定情報を格納した設定情報格納手段を有し、
前記情報処理装置発見ステップで発見された情報処理装置に対応するセキュア通信設定情報を前記設定情報格納手段から取得し、当該セキュア通信設定情報を用いて、前記発見された情報処理装置に対するセキュア通信のための設定を行う設定ステップを有することを特徴とする請求項7に記載の通信方法。 - 前記情報処理装置情報格納手段に格納された情報処理装置の情報、及び前記設定情報格納手段に格納されたセキュア通信設定情報を、外部装置からの要求に基づき更新する更新ステップを有することを特徴とする請求項8に記載の通信方法。
- 前記情報処理装置発見ステップにおいて、前記通信機器は、前記情報処理装置のIPアドレスの設定のための通信を監視することにより前記情報処理装置のIPアドレスを取得する請求項7ないし9のうちいずれか1項に記載の通信方法。
- 前記IPアドレスの設定のための通信はDHCPの通信である請求項10に記載の通信方法。
- 前記情報処理装置がIPv6に対応していない場合、
所定のIPv6アドレスを前記通信機器に設定するIPv6アドレス設定ステップと、
前記IPv6アドレス宛のパケットの宛先を前記情報処理装置のIPv4アドレスに変換して前記情報処理装置に送信する擬似IPv4パケット送信ステップと、
前記情報処理装置が送信するパケットの送信元を、前記IPv6アドレスに変換して送信する擬似IPv6パケット送信ステップと
を有することを特徴とする請求項7ないし11のうちいずれか1項に記載の通信方法。 - 請求項7ないし12のうちいずれか1項に記載の通信方法の各ステップを前記情報処理装置に接続される通信機器に実行させるための通信プログラム。
- 請求項13に記載のプログラムを格納したコンピュータ読み取り可能な記録媒体。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005362675A JP4759382B2 (ja) | 2004-12-21 | 2005-12-16 | 通信機器、通信方法、通信プログラム、及び記録媒体 |
| EP20050027880 EP1675355B1 (en) | 2004-12-21 | 2005-12-20 | Method, apparatus and program products for discovering an information processing apparatus and for converting communication packets into secure or non-secure packets. |
| US11/311,236 US7720097B2 (en) | 2004-12-21 | 2005-12-20 | Communication apparatus, communication method, communication program and recording medium |
| CN2005101216428A CN1812406B (zh) | 2004-12-21 | 2005-12-21 | 通信设备、通信方法、通信程序和记录媒体 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004369794 | 2004-12-21 | ||
| JP2004369794 | 2004-12-21 | ||
| JP2005362675A JP4759382B2 (ja) | 2004-12-21 | 2005-12-16 | 通信機器、通信方法、通信プログラム、及び記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006203871A JP2006203871A (ja) | 2006-08-03 |
| JP4759382B2 true JP4759382B2 (ja) | 2011-08-31 |
Family
ID=35788979
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005362675A Expired - Fee Related JP4759382B2 (ja) | 2004-12-21 | 2005-12-16 | 通信機器、通信方法、通信プログラム、及び記録媒体 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7720097B2 (ja) |
| EP (1) | EP1675355B1 (ja) |
| JP (1) | JP4759382B2 (ja) |
| CN (1) | CN1812406B (ja) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7890751B1 (en) * | 2003-12-03 | 2011-02-15 | Comtech Ef Data Corp | Method and system for increasing data access in a secure socket layer network environment |
| JP4825724B2 (ja) * | 2006-06-09 | 2011-11-30 | 株式会社リコー | ネットワーク機器 |
| JP4917998B2 (ja) | 2006-09-14 | 2012-04-18 | 株式会社リコー | ネットワーク機器 |
| JP5084372B2 (ja) * | 2007-07-03 | 2012-11-28 | キヤノン株式会社 | データ処理装置およびデータ処理装置の制御方法 |
| JP4900828B2 (ja) * | 2007-12-03 | 2012-03-21 | 株式会社リコー | 通信装置、通信方法、プログラムおよび記録媒体 |
| US20110030029A1 (en) * | 2009-07-29 | 2011-02-03 | James Woo | Remote management and network access control of printing devices within secure networks |
| US8516141B2 (en) * | 2009-09-01 | 2013-08-20 | Konica Minolta Laboratory U.S.A., Inc. | Method and system for modifying and/or changing a MAC ID utilizing an IPv6 network connection |
| CN102055733B (zh) * | 2009-10-30 | 2013-08-07 | 华为技术有限公司 | 协商业务承载隧道的方法、设备及系统 |
| JP5387714B2 (ja) * | 2012-03-28 | 2014-01-15 | 株式会社リコー | 通信装置,遠隔機器管理システム,およびプログラム |
| RU2503059C1 (ru) * | 2012-06-06 | 2013-12-27 | Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) | Способ удаленного мониторинга и управления информационной безопасностью сетевого взаимодействия на основе использования системы доменных имен |
| US9609023B2 (en) | 2015-02-10 | 2017-03-28 | International Business Machines Corporation | System and method for software defined deployment of security appliances using policy templates |
| US10412177B2 (en) * | 2016-03-30 | 2019-09-10 | Konica Minolta Laboratory U.S.A., Inc. | Method and system of using IPV6 neighbor discovery options for service discovery |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3176724D1 (en) | 1980-11-20 | 1988-06-01 | Ibm | A process management system for scheduling work requests in a data processing system |
| US5548646A (en) * | 1994-09-15 | 1996-08-20 | Sun Microsystems, Inc. | System for signatureless transmission and reception of data packets between computer networks |
| US5864683A (en) * | 1994-10-12 | 1999-01-26 | Secure Computing Corporartion | System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights |
| JP2000132474A (ja) * | 1998-10-23 | 2000-05-12 | Sumitomo Electric Ind Ltd | 動的暗号化通信システム、ならびに動的暗号化通信のための認証サーバおよびゲートウェイ装置 |
| US6957346B1 (en) * | 1999-06-15 | 2005-10-18 | Ssh Communications Security Ltd. | Method and arrangement for providing security through network address translations using tunneling and compensations |
| JP2001007797A (ja) * | 1999-06-21 | 2001-01-12 | Mitsubishi Electric Corp | 暗号通信システム |
| US6694437B1 (en) * | 1999-06-22 | 2004-02-17 | Institute For Information Technology | System and method for on-demand access concentrator for virtual private networks |
| US6282388B1 (en) | 2000-02-18 | 2001-08-28 | Toshiba Tec Kabushiki Kaisha | Image forming apparatus and image forming method with precedent pre-output processing of a print start command |
| KR100689034B1 (ko) * | 2000-08-26 | 2007-03-08 | 삼성전자주식회사 | 외부 네트워크에서 사설 아이피주소를 갖는 노드에접속하기 위한 네트워크 주소변환시스템과 방법 및 그방법을 기록한 컴퓨터로 읽을수 있는 기록매체 |
| US20020075844A1 (en) * | 2000-12-15 | 2002-06-20 | Hagen W. Alexander | Integrating public and private network resources for optimized broadband wireless access and method |
| AU2001221677A1 (en) * | 2000-12-15 | 2002-06-24 | Nokia Corporation | Method and system for acces in open service architecture |
| US6931529B2 (en) | 2001-01-05 | 2005-08-16 | International Business Machines Corporation | Establishing consistent, end-to-end protection for a user datagram |
| JP2002317148A (ja) | 2001-02-16 | 2002-10-31 | Hitachi Chem Co Ltd | チタニア膜形成用液体、チタニア膜形成法、チタニア膜及びチタニア膜を用いた部材 |
| US7120701B2 (en) * | 2001-02-22 | 2006-10-10 | Intel Corporation | Assigning a source address to a data packet based on the destination of the data packet |
| JP2002251071A (ja) | 2001-02-23 | 2002-09-06 | Ricoh Co Ltd | 画像形成装置 |
| US6930718B2 (en) | 2001-07-17 | 2005-08-16 | Eastman Kodak Company | Revised recapture camera and method |
| JP2003216310A (ja) | 2001-09-28 | 2003-07-31 | Ricoh Co Ltd | キー操作監視方法、描画情報取得方法、キー操作再生方法、これらの方法をコンピュータに実行させるプログラムおよび画像形成装置 |
| JP3629237B2 (ja) * | 2001-12-28 | 2005-03-16 | 株式会社東芝 | ノード装置及び通信制御方法 |
| JP2003244194A (ja) * | 2002-02-18 | 2003-08-29 | Mitsubishi Electric Corp | データ暗号装置及び暗号通信処理方法及びデータ中継装置 |
| US7065102B1 (en) * | 2002-03-01 | 2006-06-20 | Network General Technology | System and method for correlating request and reply packets |
| US7725590B2 (en) * | 2002-04-19 | 2010-05-25 | Computer Associates Think, Inc. | Web services broker |
| JP4141342B2 (ja) | 2002-08-12 | 2008-08-27 | 株式会社リコー | 画像形成装置 |
| JP4144293B2 (ja) | 2002-08-27 | 2008-09-03 | コニカミノルタホールディングス株式会社 | 画像処理システム |
| US7062566B2 (en) | 2002-10-24 | 2006-06-13 | 3Com Corporation | System and method for using virtual local area network tags with a virtual private network |
| US7428226B2 (en) * | 2002-12-18 | 2008-09-23 | Intel Corporation | Method, apparatus and system for a secure mobile IP-based roaming solution |
| KR20050030288A (ko) * | 2003-09-25 | 2005-03-30 | 삼성전자주식회사 | Ip 패킷의 버전을 변환하는 장치 및 방법 |
| KR20070026331A (ko) * | 2003-11-11 | 2007-03-08 | 사이트릭스 게이트웨이즈, 아이엔씨. | 패킷이 필터링되어 있는 것 이외의 네트워크 프로토콜레이어에서 가상 사설망을 형성하기 위해 보안 통신 링크를설정하기 위한 시스템, 장치 및 방법 |
-
2005
- 2005-12-16 JP JP2005362675A patent/JP4759382B2/ja not_active Expired - Fee Related
- 2005-12-20 US US11/311,236 patent/US7720097B2/en not_active Expired - Fee Related
- 2005-12-20 EP EP20050027880 patent/EP1675355B1/en not_active Not-in-force
- 2005-12-21 CN CN2005101216428A patent/CN1812406B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006203871A (ja) | 2006-08-03 |
| US20060190717A1 (en) | 2006-08-24 |
| EP1675355A1 (en) | 2006-06-28 |
| CN1812406B (zh) | 2011-10-19 |
| EP1675355B1 (en) | 2011-09-14 |
| CN1812406A (zh) | 2006-08-02 |
| US7720097B2 (en) | 2010-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4759382B2 (ja) | 通信機器、通信方法、通信プログラム、及び記録媒体 | |
| US10742592B2 (en) | Dynamic DNS-based service discovery | |
| CN107852430B (zh) | 用于在局域网中形成网关的设备以及计算机可读存储介质 | |
| US7631181B2 (en) | Communication apparatus and method, and program for applying security policy | |
| US8180876B2 (en) | Device manager and device management program | |
| US7542466B2 (en) | System and method of information communication, information processing apparatus and information processing method, program and recording medium | |
| US20010002914A1 (en) | Method of distributing program to a plurality of nodes within a network by using gateway | |
| US20050135269A1 (en) | Automatic configuration of a virtual private network | |
| KR20120066915A (ko) | 홈 네트워크의 장치에 대한 원격 접속 제공 방법 및 시스템 | |
| CN108370595A (zh) | 多连接接入点 | |
| CN104662848A (zh) | 用于动态域名系统(ddns)的方法和系统 | |
| JP2005020112A (ja) | ネットワーク設定システム、管理装置、端末装置及びネットワーク設定方法 | |
| JP6008411B2 (ja) | 機器管理装置、機器管理システム、機器管理方法及びプログラム | |
| JP3779971B2 (ja) | クライアント機器への接続をルーティングするためのサーバ | |
| JP5473248B2 (ja) | 情報処理装置、情報処理装置の制御方法及びコンピュータプログラム | |
| JP2008072519A (ja) | 機器検索装置、機器検索方法及びプログラム | |
| CN109150661A (zh) | 一种设备发现方法及装置 | |
| JP5169461B2 (ja) | セキュリティパラメータ配布装置及びセキュリティパラメータ配布方法 | |
| JP6470640B2 (ja) | 通信装置及びその制御方法、コンピュータプログラム | |
| JP4682021B2 (ja) | データ通信機能を有する機器 | |
| KR100397468B1 (ko) | Mib 네임 서버를 이용한 망 관리 장치 및 방법 | |
| JP6002642B2 (ja) | 通信ノード及びネットワークシステム及び機器制御方法 | |
| JP4029898B2 (ja) | ネットワーク装置 | |
| JP2009206876A (ja) | サービス公開システム、通信中継装置、およびサービス公開装置 | |
| CN101997935B (zh) | 通信设备和通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081120 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100908 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100928 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101126 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110215 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110415 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110510 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110606 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4759382 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140610 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |