JP5704267B2 - Communication device - Google Patents
Communication device Download PDFInfo
- Publication number
- JP5704267B2 JP5704267B2 JP2014035030A JP2014035030A JP5704267B2 JP 5704267 B2 JP5704267 B2 JP 5704267B2 JP 2014035030 A JP2014035030 A JP 2014035030A JP 2014035030 A JP2014035030 A JP 2014035030A JP 5704267 B2 JP5704267 B2 JP 5704267B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- security policy
- packet
- policy
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Description
本発明は、設定されたセキュリティポリシーに基づいて通信を行う通信システム、通信装置及び通信方法に関する。 The present invention relates to a communication system, a communication apparatus, and a communication method for performing communication based on a set security policy.
PC(Personal Computer)やプリンター等の通信装置は、例えば、データをIP(Internet Protocol)パケットとしてネットワーク上での通信を行っている。 A communication device such as a PC (Personal Computer) or a printer performs communication on a network using, for example, data as an IP (Internet Protocol) packet.
近年では、ネットワーク上の通信におけるセキュリティを確保するプロトコルとして、IPsec(Security Architecture for Internet Protocol:アイピーセック)が知ら
れている。IPsecを使用可能な通信装置では、通信に対して適用可能なセキュリティポリシーがあるか否かを判定し、適用可能なセキュリティポリシーがある場合には、送信対象のパケットに対して適用可能なセキュリティポリシーに従って暗号化処理したり、受信した通信パケット(IPsecパケット)に対して適用可能なセキュリティポリシーに従って復号化処理したりしている。
In recent years, IPsec (Security Architecture for Internet Protocol) is known as a protocol for ensuring security in communication on a network. In a communication apparatus that can use IPsec, it is determined whether there is a security policy that can be applied to communication. If there is an applicable security policy, a security policy that can be applied to a packet to be transmitted. According to the security policy applicable to the received communication packet (IPsec packet).
IPsecに関する技術としては、例えば、機器制御プロトコルにおけるフェーズ毎に異なるセキュリティポリシーを適用する技術が開示されている(例えば、特許文献1参照)。 As a technique related to IPsec, for example, a technique of applying a different security policy for each phase in a device control protocol is disclosed (for example, see Patent Document 1).
IPsecを使用可能な通信装置においては、通信に対して適用可能なセキュリティポリシーがある場合には、そのセキュリティポリシーに従って暗号化処理等をしているが、適用可能なセキュリティポリシーがない場合には、予め設定されたデフォルトセキュリティポリシーに従って通信を行うようにしている。 In a communication apparatus that can use IPsec, if there is a security policy applicable to communication, encryption processing is performed according to the security policy, but if there is no applicable security policy, Communication is performed according to a preset default security policy.
デフォルトセキュリティポリシーには、通信に使用するパケットを、そのまま通過させる(パケットの送信時には、パケットを送信させ、パケットの受信時には、そのパケットを装置内部に取り込む)か、又はそのパケットを遮断するかのいずれかを設定することができるようになっている。 In the default security policy, whether the packet used for communication is passed as is (when the packet is transmitted, the packet is transmitted, and when the packet is received, the packet is taken into the device), or the packet is blocked Either can be set.
このようなIPsecを使用可能な通信装置を、新たにネットワークに接続した場合等においては、この通信装置を用いて暗号化通信を行うようにするためには、通信対象の装置との通信に適用可能なセキュリティポリシーを詳細に設定する必要があり、不慣れなユーザーにとっては困難であり、また、手間が掛かるという問題がある。 When such a communication device that can use IPsec is newly connected to a network, in order to perform encrypted communication using this communication device, it is applied to communication with a communication target device. It is necessary to set a possible security policy in detail, which is difficult for an unfamiliar user and takes time.
本発明は、上記課題に鑑みなされたものであり、その目的は、通信におけるセキュリティを容易且つ適切に確保することのできる技術を提供することにある。 The present invention has been made in view of the above problems, and an object of the present invention is to provide a technique capable of ensuring security in communication easily and appropriately.
上記目的達成のため、本発明の第1の観点に係る通信システムは、ネットワークを介して接続された第1の通信装置と第2の通信装置とを備え、第1の通信装置及び第2の通信装置は、各装置に設定されたセキュリティポリシーに基づいて通信処理を行う通信システムにおいて、第1の通信装置は、所定の通信対象範囲における所定の通信装置との所定の通信を対象に適用される暗号化方式及び暗号鍵を含むことのできる第1のセキュリティポリシーと、通信対象範囲の第1のセキュリティポリシーが適用されない全ての通信に適用される暗号化方式及び暗号鍵を含むことのできる第2のセキュリティポリシーとを記憶可能なセキュリティポリシー記憶手段と、ネットワークを介して他の通信装置との間の通信パケットの通信を行う第1の通信手段と、他の通信装置との通信が、第1のセキュリティポリシーが適用される対象に該当しない場合に、第2のセキュリティポリシーに従って、送信する通信パケットへの暗号化処理及び受信した通信パケットの復号化処理を行う第1の暗号処理手段とを有し、第2の通信装置は、第1の通信装置の第2のセキュリティポリシーに記憶される暗号鍵の入力を受け付ける第1の暗号鍵受付手段と、第2のセキュリティポリシーの暗号化方式と、入力された暗号鍵とを含む第3のセキュリティポリシーを生成するポリシー生成手段と、第3のセキュリティポリシーに従って、第1の通信装置に送信する通信パケットへの暗号化処理及び第1の通信装置から受信した通信パケットの復号化処理を行う第2の暗号処理手段と、ネットワークを介して第1の通信装置との間の通信パケットの通信を行う第2の通信手段とを有する。 In order to achieve the above object, a communication system according to a first aspect of the present invention includes a first communication device and a second communication device connected via a network, and includes a first communication device and a second communication device. In the communication system in which the communication device performs communication processing based on the security policy set in each device, the first communication device is applied to predetermined communication with a predetermined communication device in a predetermined communication target range. A first security policy that can include an encryption method and an encryption key, and an encryption method and encryption key that can be applied to all communications to which the first security policy in the communication target range is not applied. Security policy storage means capable of storing two security policies, and a first communication for communicating communication packets with another communication device via a network. When the communication between the means and the other communication device does not fall under the target to which the first security policy is applied, the encryption processing to the communication packet to be transmitted and the received communication packet are performed according to the second security policy. First encryption processing means for performing a decryption process, and the second communication device accepts an input of an encryption key stored in the second security policy of the first communication device. Means, a second security policy encryption method, a policy generation means for generating a third security policy including the input encryption key, and a third security policy for transmission to the first communication device. A second encryption processing means for performing encryption processing on the communication packet and decryption processing of the communication packet received from the first communication device; And a second communication means for performing communication of a communication packet between the first communication device.
係る通信システムによると、第1の通信装置では、第2のセキュリティポリシーに記憶される暗号鍵及び暗号化方式を用いて、第2の通信装置との間の通信に使用する通信パケットへの暗号化処理及び通信パケットの復号化処理が行われ、第2の通信装置においては、入力された暗号鍵及び第2のセキュリティポリシーの暗号化方式を用いて、第1の通信装置に送信する通信パケットへの暗号化処理及び通信パケットの復号化処理が行われる。このため、第1の通信装置、第2の通信装置との間で暗号化通信を行うことができ、セキュリティを確保することができる。また、第1の通信装置では、暗号鍵を記憶させておけばよいので、第1の通信装置において、第2の通信装置との通信用のセキュリティポリシーをユーザーが詳細に設定する必要がなく、容易に暗号化通信を行うことができる。 According to the communication system, the first communication device uses the encryption key and the encryption method stored in the second security policy to encrypt the communication packet used for communication with the second communication device. Communication packet is transmitted to the first communication device using the input encryption key and the encryption method of the second security policy in the second communication device. Encryption processing and communication packet decryption processing are performed. For this reason, encrypted communication can be performed between the first communication device and the second communication device, and security can be ensured. In addition, since the first communication device only needs to store the encryption key, the first communication device does not require the user to set a security policy for communication with the second communication device in detail. Encrypted communication can be easily performed.
上記通信システムにおいて、第1の通信装置は、第2のセキュリティポリシーの暗号鍵の入力をユーザーから受け付ける第2の暗号鍵受付手段を更に有するようにしてもよい。係る通信システムによると、第1の通信装置においては、ユーザーから暗号鍵の入力を受け付けるようにしているので、ユーザーは、任意の暗号鍵を入力することができる。このため、他のユーザーに暗号鍵が把握されてしまうことを適切に防止することができる。 In the communication system, the first communication device may further include a second encryption key receiving unit that receives an input of the encryption key of the second security policy from the user. According to such a communication system, the first communication device accepts an input of an encryption key from the user, so the user can input an arbitrary encryption key. For this reason, it is possible to appropriately prevent another user from grasping the encryption key.
また、上記通信システムにおいて、第2の通信装置は、第1の通信装置に記憶させるセキュリティポリシーを規定するポリシー情報をユーザーから受け付けるポリシー情報受付手段を更に備え、第2の暗号処理手段は、第3のセキュリティポリシーに従って、ポリシー情報を含むパケットに対して暗号化処理して通信パケットを生成し、第2の通信手段は、生成した通信パケットを第1の通信装置に送信し、第1の通信装置の第1の通信手段は、通信パケットを受信し、第1の暗号処理手段は、第2のセキュリティポリシーに従って、受信した通信パケットを復号化したパケットを生成し、第1の通信装置は、復号化されたパケットに含まれるポリシー情報に基づいて、第2の通信装置との通信に適用するセキュリティポリシーを、第1のセキュリティポリシーの1つとして生成するポリシー生成手段を更に有するようにしてもよい。係る通信システムによると、暗号化された通信パケットにおいて、第2の通信装置から第1の通信装置にポリシー情報が送信されるので、ポリシー情報の漏洩を適切に防止することができる。また、第1の通信装置において、ポリシー情報に基づいて、第1のセキュリティポリシーが設定されるので、第2の通信装置との通信に適用するセキュリティポリシーを容易に設定することができる。
In the above communication system, the second communication device further includes policy information receiving means for receiving from the user policy information that defines a security policy to be stored in the first communication device. In accordance with the
また、上記通信システムにおいて、第1の通信装置の第1の暗号処理手段は、第2のセキュリティポリシーとして、暗号鍵が記憶されていない場合であって、他の通信装置との通信が、第1のセキュリティポリシーが適用される対象に該当しない場合には、送信する通信パケットへの暗号化処理及び受信した通信パケットの復号化処理を行わないようにしてもよい。係る通信システムによると、暗号鍵を記憶させていない場合においては、暗号化処理及び復号化処理が行われないので、パケットを通過、又は遮断させるようにすることができる。 In the communication system, the first encryption processing unit of the first communication device is a case where an encryption key is not stored as the second security policy, and communication with other communication devices is performed in the first communication device. If the security policy of 1 is not applicable, the encryption process for the transmitted communication packet and the decryption process for the received communication packet may not be performed. According to the communication system, since the encryption process and the decryption process are not performed when the encryption key is not stored, the packet can be passed or blocked.
また、上記通信システムにおいて、第2のセキュリティポリシーは、適用可能な通信装置が限定されていないセキュリティポリシーであってもよい。係る通信システムによると、適用可能な通信装置が限定されていないので、通信対象範囲の内外に関わらず、いずれの通信装置に対しても、適切に第2のセキュリティポリシーを適用することができる。 In the communication system, the second security policy may be a security policy in which applicable communication devices are not limited. According to such a communication system, applicable communication devices are not limited, and therefore the second security policy can be appropriately applied to any communication device regardless of the communication target range.
また、上記通信システムにおいて、第2のセキュリティポリシーは、通信対象範囲の全ての通信装置に適用可能なセキュリティポリシーであってもよい。係る通信システムによると、通信対象範囲のいずれの通信装置であっても、第1のセキュリティポリシーが適用されない場合には、適切に第2のセキュリティポリシーを適用することができる。 In the communication system, the second security policy may be a security policy applicable to all communication devices in the communication target range. According to such a communication system, if the first security policy is not applied to any communication device within the communication target range, the second security policy can be appropriately applied.
また、上記目的達成のため、本発明の第2の観点に係る通信装置は、ネットワークを介して他の通信装置と通信を行う通信装置であって、所定の通信対象範囲における所定の通信装置との所定の通信を対象に適用される暗号化方式及び暗号鍵を含むことのできる第1のセキュリティポリシーと、通信対象範囲の前記第1のセキュリティポリシーが適用されない全ての通信に適用される暗号化方式及び暗号鍵を含むことのできる第2のセキュリティポリシーとを記憶可能なセキュリティポリシー記憶手段と、他の通信装置との間の通信パケットの通信を行う第1の通信手段と、他の通信装置との通信が、第1のセキュリティポリシーが適用される対象に該当しない場合に、第2セキュリティポリシーに従って、送信する通信パケットへの暗号化処理及び受信した通信パケットの復号化処理を行う第1の暗号処理手段とを有する。係る通信装置によると、第1のセキュリティポリシーが適用されない通信装置との間での通信において暗号化通信を適切に行うことができる。 In order to achieve the above object, a communication device according to a second aspect of the present invention is a communication device that communicates with another communication device via a network, and a predetermined communication device in a predetermined communication target range. A first security policy that can include an encryption method and an encryption key that are applied to a predetermined communication, and an encryption that is applied to all communications to which the first security policy in the communication target range is not applied Security policy storage means capable of storing a second security policy that can include a scheme and an encryption key, first communication means for communicating communication packets with other communication apparatuses, and other communication apparatuses When communication with the device does not fall under the scope of application of the first security policy, encryption to the communication packet to be transmitted according to the second security policy And a first encryption processing means for performing decoding processing of the physical and the received communication packets. According to such a communication device, encrypted communication can be appropriately performed in communication with a communication device to which the first security policy is not applied.
また、上記目的達成のため、本発明の第3の観点に係る通信方法は、ネットワークを介して接続された第1の通信装置と第2の通信装置とを備え、第1の通信装置及び第2の通信装置は、各装置に設定されたセキュリティポリシーに基づいて通信処理を行う通信システムにおける通信方法であって、第1の通信装置は、所定の通信対象範囲における一部の所定の通信装置との所定の通信を対象に適用される暗号化方式及び暗号鍵を含むことのできる第1のセキュリティポリシーと、通信対象範囲の第1のセキュリティポリシーが適用されない全ての通信に適用される暗号化方式と、暗号鍵とを含むことのできる第2のセキュリティポリシーとを記憶可能なセキュリティポリシー記憶手段を有し、第2の通信装置の第1の暗号鍵受付手段が、第1の通信装置の前記第2のセキュリティポリシーに記憶される暗号鍵の入力を受け付けるステップと、第2の通信装置のポリシー生成手段が、第2の通信装置のアドレス情報と、第2の通信装置の第2のセキュリティポリシーの暗号化方式と、入力された前記暗号鍵とを含む第3のセキュリティポリシーを生成するステップと、第2の通信装置の第2の暗号化処理手段が、第3のセキュリティポリシーに従って、第1の通信装置に送信する通信パケットへの暗号化処理及び第1の通信処理から受信した通信パケットの復号化処理を行うステップと、第2の通信装置の第2の通信手段が、ネットワークを介して第1の通信装置との間の通信パケットの通信を行うステップと、第1の通信装置の第1の通信手段が、ネットワークを介して第1の通信装置との間の通信パケットの通信を行うステップと、第1の通信装置の第1の暗号処理手段が、第2の通信装置との通信が、第1のセキュリティポリシーが適用される対象に該当しない場合に、第2のセキュリティポリシーに従って、送信する通信パケットへの暗号化処理及び受信した通信パケットの復号化処理を行うステップとを有する。 In order to achieve the above object, a communication method according to a third aspect of the present invention includes a first communication device and a second communication device connected via a network, the first communication device and the second communication device. The second communication device is a communication method in a communication system that performs communication processing based on a security policy set in each device, and the first communication device is a part of predetermined communication devices in a predetermined communication target range. A first security policy that can include an encryption method and an encryption key that are applied to predetermined communication with the target, and encryption that is applied to all communications to which the first security policy in the communication target range is not applied A security policy storage unit capable of storing a scheme and a second security policy that can include an encryption key, and the first encryption key reception unit of the second communication device includes: A step of receiving an input of an encryption key stored in the second security policy of the second communication device, a policy generation unit of the second communication device, the address information of the second communication device, and the second communication device A step of generating a third security policy including an encryption method of the second security policy and the input encryption key; and a second encryption processing means of the second communication device, A step of performing encryption processing on a communication packet to be transmitted to the first communication device and decryption processing of the communication packet received from the first communication processing according to the policy; and a second communication means of the second communication device, Performing a communication packet communication with the first communication device via the network, and the first communication means of the first communication device configured to communicate with the first communication device via the network. The step of communicating communication packets with the device, the first encryption processing means of the first communication device, the communication with the second communication device falls under the target to which the first security policy is applied If not, there is a step of performing an encryption process on the transmitted communication packet and a decryption process on the received communication packet in accordance with the second security policy.
係る通信方法によると、第1の通信装置では、第2のセキュリティポリシーに記憶される暗号鍵及び暗号化方式を用いて、第2の通信装置との間の通信に使用する通信パケットへの暗号化処理及び通信パケットの復号化処理が行われ、第2の通信装置では、入力された暗号鍵及び第2のセキュリティポリシーの暗号化方式を用いて、第1の通信装置に送信する通信パケットへの暗号化処理及び通信パケットの復号化処理が行われる。このため、第1の通信装置、第2の通信装置との間で暗号化通信を行うことができ、セキュリティを確保することができる。また、第1の通信装置においては、暗号鍵を記憶させておけばよいので、第1の通信装置において、第2の通信装置との通信用のセキュリティポリシーをユーザーが詳細に設定する必要がなく、容易に暗号化通信を行うことができる。 According to the communication method, the first communication device uses the encryption key and encryption method stored in the second security policy to encrypt the communication packet used for communication with the second communication device. Processing and decryption processing of the communication packet are performed, and the second communication device uses the input encryption key and the encryption method of the second security policy to transmit the communication packet to the first communication device. Encryption processing and communication packet decryption processing are performed. For this reason, encrypted communication can be performed between the first communication device and the second communication device, and security can be ensured. Further, since the first communication device only needs to store the encryption key, the first communication device does not require the user to set in detail a security policy for communication with the second communication device. Encrypted communication can be easily performed.
本発明の実施形態について、図面を参照して説明する。なお、以下に説明する実施形態は特許請求の範囲に係る発明を限定するものではなく、また実施形態の中で説明されている諸要素及びその組み合わせの全てが発明の解決手段に必須であるとは限らない。 Embodiments of the present invention will be described with reference to the drawings. The embodiments described below do not limit the invention according to the claims, and all the elements and combinations described in the embodiments are essential for the solution of the invention. Is not limited.
まず、本発明の一実施形態に係る通信システムについて説明する。 First, a communication system according to an embodiment of the present invention will be described.
図1は、本発明の一実施形態に係る通信システムの一例の構成図である。 FIG. 1 is a configuration diagram of an example of a communication system according to an embodiment of the present invention.
通信システム1においては、第1の通信装置の一例としてのプリンター2と、第2の通信装置の一例としての1以上のパーソナルコンピューター(PC)3とがネットワーク4を介して接続されている。ネットワーク4は、有線回線や、無線回線を含んでいてもよく、また、インターネットを含んでいてもよい。
In the
プリンター2は、表示部21と、入力部22と、第1の通信手段の一例としての通信部23と、プリント機能部24と、ROM(Read Only Memory)25と、RAM(Random Access Memory)26と、セキュリティポリシー記憶手段の一例としてのEEPROM(Electrically Erasable Programmable ROM)27と、制御部28とを有する。
The
表示部21は、例えば、液晶画面等を有し、各種情報を表示する。入力部22は、例えば、キー部、タッチパネル部等を有し、ユーザーからの各種指示等の入力を受け付ける。入力部22は、例えば、プリンター2のデフォルトセキュリティポリシーに設定する暗号化方式で使用する認証鍵(パスワード、暗号鍵)の入力を受け付ける。通信部23は、ネットワーク4を介して、他の装置とのデータの送受信処理を行う。本実施形態では、通信部23は、IP(Internet Protocol)パケット(例えば、暗号化されたIPsecパケットも含む)を用いてネットワーク4との間での通信を行う。プリント機能部24は、紙、OHPシート等の画像形成媒体に対して、画像を形成(印刷)する。
The
ROM25は、ブートプログラム、後述する各種処理のプログラム等を記憶する。RAM26は、プログラムやデータを記憶する領域として、或いは、制御部28による処理に使用しているデータを格納する作業領域として利用される。EEPROM27は、書き換え可能な不揮発性メモリであり、プリンター2の電源が入っていない場合でも記憶しておく必要がある各種情報を記憶する。本実施形態では、EEPROM27は、IPsecで利用するセキュリティポリシーと、デフォルトセキュリティポリシーとを管理するセキュリティポリシーテーブル(図2参照)を記憶する。
The
図2は、本発明の一実施形態に係るセキュリティポリシーテーブルを説明する図である。 FIG. 2 is a diagram illustrating a security policy table according to an embodiment of the present invention.
セキュリティポリシーテーブル270には、N(0又は、1以上の整数)個のセキュリティポリシー271(第1のセキュリティポリシー)と、1つのデフォルトセキュリティポリシー272(第2のセキュリティポリシーの一例)とが管理される。 The security policy table 270 manages N (0 or an integer of 1 or more) security policies 271 (first security policy) and one default security policy 272 (an example of a second security policy). The
セキュリティポリシー271は、パケットセレクタ271aと、パケット適用処理情報271b、認証鍵(パスワード、パスフレーズ)271c、暗号化パラメータ271dとを含む。パケットセレクタ271aは、対応するセキュリティポリシーを適用する通信(具体的には、パケット)を規定する情報であり、具体的には、パケットの通信相手の装置のIPアドレス271a−1と、通信相手の装置のポート番号271a−2と、パケットを用いるプロトコル271a−3とを含む。パケット適用処理情報271bは、対応するセキュリティポリシーが適用されるパケットに、適用する処理を規定する情報であり、例えば、パケットをそのまま通過させることを示す通過と、パケットを遮断することを示す遮断と、パケットを暗号化処理・復号化処理することを示す暗号化のいずれかが設定される。認証鍵271cは、暗号化処理・復号化処理を行う際に用いる認証鍵(パスワード)である。暗号化パラメータ271dは、暗号化する方式(暗号化方式:暗号化アルゴリズム)を示すパラメータである。暗号化方式のパラメータとしては、例えば、DES−CBC、3DES−CBC、CAST−128、RC−5、IDEA等がある。
The
デフォルトセキュリティポリシー272は、セキュリティポリシー271のいずれもが適用されない通信に適用されるポリシーであり、パケット適用処理情報272aと、認証鍵(暗号鍵、パスワード、パスフレーズともいう)272b、暗号化パラメータ272cとを含む。本実施形態では、デフォルトセキュリティポリシー272は、適用可能な通信装置が通信対象範囲(IPアドレスの範囲)の通信装置に限定されていないポリシーである。パケット適用処理情報272aは、対応するセキュリティポリシーの適用対象のパケットに適用する処理を規定する情報であり、例えば、パケットをそのまま通過させることを示す通過と、パケットを遮断することを示す遮断と、パケットを暗号化処理・復号化処理することを示す暗号化のいずれかが設定される。本実施形態では、パケット適用処理情報272aの初期の設定値としては、暗号化が設定されている。認証鍵272bは、暗号化処理・復号化処理を行う際に用いる認証鍵(パスワード)である。本実施形態においては、認証鍵272bは、初期の設定値としては、空白となっており、その後、ユーザーによる設定があった場合にその値が設定される。暗号化パラメータ272cは、暗号化する方式(暗号化方式:暗号化アルゴリズム)を示すパラメータである。本実施形態では、暗号化方式のパラメータとしては、例えば、DES−CBCが設定されている。
The
図1の説明に戻り、制御部28は、第1の暗号化処理手段の一例としての通信制御部28aと、ポリシー生成手段の一例としてのポリシー処理部28bと、第2の暗号鍵受付手段の一例としての入出力処理部28cと、プリント制御部28dとを有する。通信制御部28a、ポリシー処理部28b、入出力処理部28c、及びプリント制御部28dは、例えば、制御部28の一例としてのCPU(Central Processing Unit)がROM25等に格納されたプログラムを実行することにより構成される。
Returning to the description of FIG. 1, the
通信制御部28aは、通信部23によりネットワーク4を介しての通信を行わせる。通信制御部28aは、ポリシー処理部28bにより通知されたポリシー(セキュリティポリシー、又はデフォルトセキュリティポリシー)に従って、送信対象のパケット(又は、受信対象の通信パケット)に対する処理(パケット処理)を実行する。すなわち、通信制御部28aは、通知されたポリシー271(又は272)のパケット適用処理情報271b(又は272a)の設定に対応する処理を実行する。
The
具体的には、通信制御部28aは、ポリシー271(272)のパケット適用処理情報271b(又は272a)が通過である場合には、送信対象のパケットであれば、そのパケットを通信部23により送信させ、また、受信対象の通信パケットであれば、そのパケットを通信部23から受け取って、そのパケットをプリンター2内の処理に利用可能にする。また、通信制御部28aは、ポリシー271(272)のパケット適用処理情報271b(又は272a)が遮断である場合には、送信対象のパケットであれば、そのパケットを破棄し、また、受信対象の通信パケットであれば、そのパケットを通信部23により破棄させる。また、通信制御部28aは、ポリシー271(272)のパケット適用処理情報271b(272a)が暗号化である場合には、送信対象のパケットであれば、そのパケットを暗号化パラメータ271d(272c)が示す暗号化方式により、認証鍵271c(272b)を用いて暗号化させて、通信部23に送信させ、受信対象の通信パケットであれば、そのパケットを通信部23から受け取り、そのパケットを暗号化パラメータ271d(272c)が示す暗号化方式により、認証鍵271c(272b)を用いて復号化させて、復号化後のパケットを処理に利用可能にする。例えば、通信制御部28aは、後述するセキュリティポリシー設定用のWebページに対するセキュリティポリシーの各種設定であるポリシー情報が含まれている受信パケットの場合には、そのポリシー情報を含むパケットを、ポリシー処理部28bに渡して処理に利用可能にする。
Specifically, when the packet
なお、通信制御部28aは、デフォルトセキュリティポリシー272のパケット適用処理情報272aが暗号化である場合であって、認証鍵272bが空白である場合には、ユーザーにより暗号化するように指定されていないと判断して、送信対象のパケットであれば、そのパケットを暗号化せずに、通信部23に送信させ、受信対象の通信パケットであれば、そのパケットを通信部23から受け取り、復号化せずに処理に利用可能にする。
Note that the
ポリシー処理部28bは、プリンター2からパケットを送信する場合、及びネットワーク4から通信部23がパケットを受信する場合において、当該パケットに対して適用するポリシー(セキュリティポリシー271のいずれか、又はデフォルトセキュリティポリシー272)を判定し、通信制御部28aに通知する。本実施形態においては、ポリシー処理部28bは、セキュリティポリシー271の上から順に(図2のセキュリティポリシー1から順番に)適用可能か否かを判定し、適用可能なものがあれば、それを通信制御部28aに通知し、いずれのセキュリティポリシー271についても適用可能でない場合には、デフォルトセキュリティポリシー272を適用可能なポリシーとして通信制御部28aに通知する。
When the packet is transmitted from the
具体的には、ポリシー処理部28bは、送信対象のパケット、又は通信部23が受信したパケットについての通信相手の装置のIPアドレスと、ポート番号と、プロトコルとを特定し、これらに合致する内容のパケットセレクタ271aが含まれているセキュリティポリシー271があるかを判定し、合致する内容のパケットセレクタ271aを含むセキュリティポリシー271があれば、そのセキュリティポリシー271を適用するポリシーとして、通信制御部28aに通知する。一方、いずれのセキュリティポリシー271にも合致する内容のパケットセレクタ271aがない場合には、デフォルトセキュリティポリシー272を適用するポリシーとして通信制御部28aに通知する。
Specifically, the
また、ポリシー処理部28bは、入出力処理部28cからデフォルトセキュリティポリシーにおける認証鍵を受け取った場合には、受け取った認証鍵をセキュリティポリシーテーブル270のデフォルトセキュリティポリシー272の認証鍵272bに設定する。
When the
また、ポリシー処理部28bは、入出力処理部28cから新たなセキュリティポリシーについての各種設定を受け取った場合には、受け取った各種設定のセキュリティポリシーをセキュリティポリシーテーブル270のセキュリティポリシー271として新たに設定する。
When the
また、ポリシー処理部28bは、他の装置、例えばPC3に対して、プリンター2におけるセキュリティポリシー設定用のWebページを通信制御部28aにより送信させ、通信制御部28aからセキュリティポリシー設定用のWebページに対するセキュリティポリシーの各種設定(ポリシー情報)を受け取った場合には、その設定に対応するセキュリティポリシーをセキュリティポリシーテーブル270のセキュリティポリシー271として新たに設定する。
Further, the
入出力処理部28cは、入力部22からユーザーによる各種入力を受け付けて、ポリシー処理部28b等に渡す。本実施形態では、入出力処理部28cは、表示部21にデフォルトセキュリティポリシーにおける暗号化処理において使用する認証鍵の入力をさせるための入力画面を表示させ、当該画面に対してユーザーから認証鍵の入力を受け付け、入力された認証鍵をポリシー処理部28bに渡す。また、入出力処理部28cは、表示部21にセキュリティポリシーにおける各種設定の入力をさせるための入力画面を表示させ、ユーザーからセキュリティポリシーの各種設定の入力を受け付け、入力された設定をポリシー処理部28bに渡す。プリント制御部28dは、通信部23を介して、印刷データを受信し、印刷データに基づいてプリント機能部24を制御することにより、画像形成媒体に画像を形成させる。
The input /
PC3は、表示部31と、入力部32と、第2の通信手段の一例としての通信部33と、ROM34と、RAM35と、HDD(Hard Disk Drive)36と、制御部37とを有する。
The
表示部31は、例えば、液晶画面等を有し、各種情報を表示する。入力部32は、例えば、キーボード等を有し、ユーザーからの各種指示等の入力を受け付ける。入力部32は、例えば、プリンター2との通信を初めて開始する際においては、プリンター2のデフォルトセキュリティポリシーに設定されている暗号化方式及び認証鍵の入力や、プリンター2のアドレス情報の指定等を受け付ける。通信部33は、ネットワーク4を介して、他の装置とのデータの送受信処理を行う。本実施形態では、通信部33は、IP(Internet Protocol)パケット(例えば、暗号化されたIPsecパケットも含む)を用いてネットワーク4を介しての通信を行う。
The display unit 31 has, for example, a liquid crystal screen and displays various information. The
ROM34は、ブートプログラム、後述する各種処理のプログラム等を記憶する。RAM35は、プログラムやデータを記憶する領域として、或いは、制御部37による処理に使用しているデータを格納する作業領域として利用される。HDD36は、プログラムや、各種情報を記憶する。本実施形態では、HDD36は、IPsecで利用するセキュリティポリシーと、デフォルトセキュリティポリシーとを管理するセキュリティポリシーテーブルを記憶する。なお、HDD36に記憶されるセキュリティポリシーテーブルも、図2に示すプリンター2のセキュリティポリシーテーブル270と同様な構成となっているので、ここでは説明を省略する。なお、HDD36に格納されているセキュリティポリシーテーブルを説明する際には、便宜上図2に示す符号を用いて説明することとする。
The
制御部37は、通信制御部37aと、ポリシー生成手段の一例としてのポリシー処理部37bと、第1の暗号鍵受付手段の一例としての入出力処理部37cとを有する。通信制御部37a、ポリシー処理部37b、及び入出力処理部37cは、例えば、制御部37の一例としてのCPUがROM34、HDD36等に格納されたプログラムを実行することにより構成される。
The
通信制御部37aは、通信部33によりネットワーク4を介しての通信を行わせる。通信制御部37aは、ポリシー処理部37bにより通知されたポリシーに従って、送信対象のパケット(又は、受信対象の通信パケット)に対する処理(パケット処理)を実行する。通信制御部37aは、通知されたポリシー271(又は272)のパケット適用処理情報271b(又は272a)の設定に対応する処理を実行する。
The
具体的には、通信制御部37aは、ポリシー271(272)のパケット適用処理情報271b(又は272a)が通過である場合には、送信対象のパケットであれば、そのパケットを通信部33により送信させ、また、受信対象の通信パケットであれば、そのパケットを通信部33から受け取って、そのパケットをPC3内での処理に利用可能にする。また、通信制御部37aは、ポリシー271(272)のパケット適用処理情報271b(又は272a)が遮断である場合には、送信対象のパケットであれば、そのパケットを破棄し、また、受信対象の通信パケットであれば、そのパケットを通信部33により破棄させる。また、通信制御部37aは、ポリシー271(272)のパケット適用処理情報271b(272a)が暗号化である場合には、送信対象のパケットであれば、そのパケットを暗号化パラメータ271d(272c)の暗号化パラメータの示す暗号化方式により、認証鍵271c(272b)を用いて暗号化させて、通信部33に送信させ、受信対象の通信パケットであれば、そのパケットを通信部33から受け取り、そのパケットを暗号化パラメータ271d(272c)が示す暗号化方式により、認証鍵271c(272b)を用いて復号化させて、復号化後のパケットを処理に利用可能にする。例えば、通信制御部37aは、セキュリティポリシー設定用のWebページに対応するパケットの場合には、そのパケットを、入出力処理部37cに渡して利用可能にする。本実施形態では、通信制御部37aは、入出力処理部37cからセキュリティポリシー設定用のWebページに対応して入力されたプリンター2におけるセキュリティポリシーの設定情報(ポリシー情報)を受け取った場合には、予め設定しているプリンター2との通信用のセキュリティポリシーに従って、暗号化させて通信部33により送信させる。
Specifically, when the packet
なお、通信制御部37aは、デフォルトセキュリティポリシー272のパケット適用処理情報272aが暗号化である場合であって、認証鍵272bが空白である場合には、ユーザーにより暗号化するように指定されていないと判断して、送信対象のパケットであれば、そのパケットを暗号化せずに、通信部33に送信させ、受信対象の通信パケットであれば、そのパケットを通信部33から受け取り、復号化せずに処理に利用可能にする。
Note that the
ポリシー処理部37bは、PC3からパケットを送信する場合、及びネットワーク4から通信部33がパケットを受信する場合において、当該パケットに対して適用するポリシー(セキュリティポリシー271のいずれか、又はデフォルトセキュリティポリシー272)を判定し、通信制御部37aに通知する。本実施形態においては、ポリシー処理部37bは、セキュリティポリシー271の上から順に(図2のセキュリティポリシー1から順番に適用可能か否かを判定し、適用可能なものがあれば、それを通信制御部28aに通知し、いずれのセキュリティポリシー271についても適用可能でない場合には、デフォルトセキュリティポリシー272を適用可能なポリシーと判定し、それを通信制御部28aに通知する。
When the packet is transmitted from the
具体的には、ポリシー処理部37bは、送信対象のパケット、又は通信部33が受信したパケットについての通信相手の装置のIPアドレスと、ポート番号と、プロトコルとを特定し、これらに合致する内容のパケットセレクタ271aが含まれているセキュリティポリシー271があるかを判定し、合致する内容のパケットセレクタ271aを含むセキュリティポリシー271があれば、このセキュリティポリシー271を適用するポリシーとして、通信制御部37aに通知する。一方、いずれのセキュリティポリシー271にも合致する内容のパケットセレクタ271aがない場合には、デフォルトセキュリティポリシー272を適用するポリシーとして通信制御部37aに通知する。
Specifically, the
また、ポリシー処理部37bは、入出力処理部37cからデフォルトセキュリティポリシーにおける認証鍵を受け取った場合には、受け取った認証鍵をセキュリティポリシーテーブル270のデフォルトセキュリティポリシー272の認証鍵272bに設定する。
When the
また、ポリシー処理部37bは、入出力処理部37cからセキュリティポリシーにおける各種設定(例えば、プリンター2のデフォルトセキュリティポリシーに設定されている暗号化方式及び認証鍵、プリンター2のアドレス情報の指定等)を受け取った場合には、受け取った各種設定のセキュリティポリシーをセキュリティポリシーテーブル270のセキュリティポリシー271(第3のセキュリティポリシー)として新たに設定する。これにより、このセキュリティポリシーに従ってプリンター2との間において暗号化通信を行うことができるようになる。
Further, the
入出力処理部37cは、表示部31にセキュリティポリシーにおける各種設定(例えば、プリンター2のデフォルトセキュリティポリシーに設定されている暗号化方式及び認証鍵、プリンター2のアドレス情報の指定等)を入力させるための入力画面を表示させ、入力部32からユーザーによるセキュリティポリシーの各種設定の入力を受け付け、入力された設定をポリシー処理部37bに渡す。なお、デフォルトセキュリティポリシーにおける暗号化方式がプリンターによらず共通なものとして取り決められている場合には、暗号化方式は入力されずとも特定できるので、暗号化方式の入力を受け付けなくてもよい。また、入出力処理部37cは、通信制御部37aからプリンター2のセキュリティポリシー設定用のWebページに対応するパケットを受信した場合には、そのパケットに基づいて、Webページを表示部31に表示させ、ユーザーからプリンター2におけるセキュリティポリシーの設定情報(ポリシー情報:例えば、PC3のアドレス情報や、PC3との間で用いる暗号化方式及び認証鍵等)の入力を受け付け、入力された設定情報を通信制御部37aに渡す。
The input /
次に、本発明の一実施形態に係る通信システムにおける処理動作について説明する。 Next, processing operations in the communication system according to the embodiment of the present invention will be described.
図3は、本発明の一実施形態に係るパケット送(受)信処理のフローチャートである。なお、パケット送信処理と、パケット受信処理については、パケットの流れる方向が逆である点と、その方向により暗号化処理と復号化処理とが変わる点が異なるだけであり、他の内容については同様であるので、ここでは、これら処理を併せて説明することとする。また、プリンター2におけるパケット送(受)信処理と、PC3におけるパケット送(受)信処理とは、ほぼ同様な処理であるので、ここでは、プリンター2のパケット送(受)信処理を説明することとし、PC3におけるパケット送(受)信処理についての説明は省略する。
FIG. 3 is a flowchart of packet transmission / reception processing according to an embodiment of the present invention. Note that packet transmission processing and packet reception processing differ only in that the direction in which the packet flows is opposite to the point in which encryption processing and decryption processing change depending on the direction. Therefore, here, these processes will be described together. Further, since the packet transmission (reception) processing in the
プリンター2において、パケットの送(受)信を開始する際には、ポリシー処理部28bは、変数nを1に設定し(ステップS1)、通信対象のパケットが、セキュリティポリシーテーブル270のセキュリティポリシーnのパケットセレクタ271aの設定に合致するか否かを判定する(ステップS2)。ここで、通信対象のパケットとは、パケット送信処理においては、プリンター2の内部において生成した送信対象のパケットであり、パケット受信処理においては、通信部23がネットワーク4から受信した受信対象の通信パケットである。
When the
ステップS2の判定の結果、通信対象のパケットが、セキュリティポリシーnのパケットセレクタ271aの設定に合致すると判定された場合(ステップS2:YES)には、このセキュリティポリシーnが通信に適用されるセキュリティポリシーであることを意味しているので、ポリシー処理部28bは、このセキュリティポリシーnを通信制御部28aに渡し、通信制御部28aは、セキュリティポリシーnのパケット適用処理情報271bの設定を確認する(ステップS3)。
As a result of the determination in step S2, if it is determined that the packet to be communicated matches the setting of the
ステップS3の結果、セキュリティポリシーnのパケット適用処理情報271bが”遮断”であれば(ステップS3:遮断)、通信制御部28aは、当該通信対象のパケットを遮断し(ステップS4)、処理を終了する。ここで、パケットの遮断とは、例えば、パケット送信処理においては、送信対象のパケットを廃棄して、通信部23により送信させないようにすることであり、パケット受信処理においては、受信対象の通信パケットを廃棄して、内部処理に利用しないようにすることである。
If the packet
また、ステップS3の結果、セキュリティポリシーnのパケット適用処理情報271bが”暗号化”であれば(ステップS3:暗号化)、通信制御部28aは、このセキュリティポリシーnに認証鍵が設定されているか否かを判定し(ステップS5)、認証鍵が設定されていると判定した場合(ステップS5:YES)には、セキュリティポリシーnに設定されている暗号化パラメータが示す暗号化方式により認証鍵を用いて、暗(復)号化処理を行って、通信部23により通信させる(ステップS6)。すなわち、通信制御部28aは、パケット送信処理においては、送信対象のパケットに対して、暗号化処理を行い、通信部23に送信させ、パケット受信処理においては、受信対象の通信パケットに対して、復号化処理を行い、制御部28による処理に利用可能にする。
If the packet
また、ステップS3の結果、セキュリティポリシーnのパケット適用処理情報271bが”通過”である場合(ステップS3:通過)、又は、ステップS5において、認証鍵が設定されていないと判定した場合(ステップS5:NO)には、当該パケットを通過させる(ステップS7)。ここで、パケットの通過とは、例えば、パケット送信処理においては、送信対象のパケットを通信部23によりそのまま送信させることであり、パケット受信処理においては、受信対象の通信パケットを制御部28に渡し、そのまま内部処理に利用可能にすることである。
As a result of step S3, when the packet
一方、ステップS2の判定の結果、通信対象のパケットが、セキュリティポリシーnのパケットセレクタ271aの設定に合致しないと判定された場合(ステップS2:NO)には、ポリシー処理部28bは、変数nがセキュリティポリシーテーブル270におけるセキュリティポリシー271の格納数Nと同じであるか否かを判定する(ステップS8)。この結果、変数nが格納数Nと同じでないと判定した場合(ステップS8:NO)には、ポリシー処理部28bは、他のセキュリティポリシー271に対して合致しているか否かを判定するために、変数nに1を加算して(ステップS9)、ステップS2に進む。
On the other hand, as a result of the determination in step S2, if the communication target packet is determined not to match the setting of the
一方、変数nが格納数Nと同じであると判定した場合(ステップS8:YES)には、通信対象のパケットが全てのセキュリティポリシー271のパケットセレクタ271aの設定に合致していないことを意味しているので、ポリシー処理部28bは、デフォルトセキュリティポリシー272を通信制御部28aに渡し、通信制御部28aは、デフォルトセキュリティポリシー272のパケット適用処理情報272aの設定を確認する(ステップS10)。
On the other hand, if it is determined that the variable n is the same as the stored number N (step S8: YES), it means that the communication target packet does not match the settings of the
ステップS10の結果、デフォルトセキュリティポリシー272のパケット適用処理情報272aが”遮断”であれば(ステップS10:遮断)、通信制御部28aは、当該通信対象のパケットを遮断し(ステップS4)、処理を終了する。
If the packet
また、ステップS10の結果、デフォルトセキュリティポリシー272のパケット適用処理情報272aが”暗号化”であれば(ステップS10:暗号化)、ステップS5に進む。なお、以降の処理において、このデフォルトセキュリティポリシーに認証鍵が設定されていない場合には、暗(復)号化処理は行われず、通信対象のパケットが通過されることとなる。
If the packet
また、ステップS10の結果、デフォルトセキュリティポリシー272のパケット適用処理情報272aが”通過”である場合(ステップS10:通過)には、当該パケットを通過させる(ステップS7)。
If the packet
このようなパケット送信処理(パケット受信処理)により、デフォルトセキュリティポリシー272に認証鍵を設定しておくことにより、セキュリティポリシーとして詳細な設定をせずとも、容易に通信対象のパケットに対して暗号化処理(復号化処理)を行うことができ、通信におけるセキュリティを確保することができる。
By setting an authentication key in the
次に、通信システム1において、プリンター2にセキュリティポリシーを設定するポリシー設定処理の動作について説明する。
Next, an operation of policy setting processing for setting a security policy for the
図4は、本発明の一実施形態に係るポリシー設定処理を説明する図である。なお、図4は、プリンター2を新たにネットワーク4に接続する場合におけるポリシー設定処理を想定している。
FIG. 4 is a diagram for explaining policy setting processing according to an embodiment of the present invention. Note that FIG. 4 assumes policy setting processing when the
まず、プリンター2をネットワーク4に対して接続する(ステップS21)。プリンター2の入出力処理部28cは、表示部21にデフォルトセキュリティポリシー272に設定する認証鍵を設定するための画面を表示させ、入力部22に対するユーザーの操作により認証鍵を受け付け、ポリシー処理部28bに渡す(ステップS22)。ポリシー処理部28bは、受け付けた認証鍵を、デフォルトセキュリティポリシー272の認証鍵272bとして、セキュリティポリシーテーブル270に設定する(ステップS23)。これにより、プリンター2においては、セキュリティポリシー271に合致しない通信においては、デフォルトセキュリティポリシー272に設定されている暗号化方式により、設定された認証鍵を用いて暗号化通信を行うことができるようになる。
First, the
一方、PC3においては、入力部32によるユーザーのセキュリティポリシー設定の指示に基づいて、入出力処理部37cがセキュリティポリシーを設定する画面を表示部33に表示させ、入出力処理部37cは、ユーザーからプリンター2との通信に適用させるセキュリティポリシーの設定を受け付け、ポリシー処理部37bに渡す(ステップS24)。ここでは、入出力処理部37cは、セキュリティポリシーの設定として、プリンター2のアドレス情報(IPアドレス、ポート番号等)、暗号化パラメータ、プリンター2において設定した認証鍵等を受け付ける。ポリシー処理部37bは、渡された設定に基づいて、HDD36のセキュリティポリシーテーブル270にセキュリティポリシー271を設定する(ステップS25)。これにより、PC3においては、プリンター2との間の通信に対して、設定したセキュリティポリシー271を適用することとなる。したがって、PC3と、プリンター2との間の通信においては、プリンター2のデフォルトセキュリティポリシーに設定した暗号化方式及び認証鍵を用いた暗号化通信が行われることとなる。
On the other hand, in the
次いで、PC3においては、入力部32によるユーザーのプリンター2におけるセキュリティポリシー設定用のWebページ(ポリシー設定ページ)の要求指示に基づいて、入出力処理部37cは、通信制御部37a及び通信部33を介してポリシー設定ページの要求をプリンター2に送信する(ステップS26)。
Next, in the
プリンター2においては、通信部23及び通信制御部28aを介して入出力処理部28cがポリシー設定ページの要求を受け取ると、ポリシー設定ページを通信制御部28a及び通信部23を介してPC3に送信する(ステップS27)。
In the
PC3においては、入出力処理部37cは、通信部33及び通信制御部37aを介してポリシー設定ページを受け取り、表示部31に表示させる(ステップS28)。次いで、入出力処理部37cは、入力部32に対するユーザーの操作により、プリンター2におけるセキュリティポリシーの設定に必要な情報(ポリシー情報)の内で、ユーザーが設定すべき情報を受け付ける(ステップS29)。なお、ポリシー情報としては、例えば、以降において用いる暗号化方式のパラメータ、その暗号化処理で用いる認証鍵、PC3のアドレス情報等があり、ユーザーが設定すべき情報としては、例えば、暗号化方式のパラメータと、認証鍵である。なお、本実施形態では、PC3のアドレス情報は、PC3自体が把握できるものなので、ユーザーに入力させる必要はない。ここで、ユーザーから受け付ける暗号化方式としては、デフォルトセキュリティポリシーの暗号化方式よりもセキュリティレベルが高い暗号化方式が好ましい。入出力処理部37cは、ポリシー情報を、通信制御部37a及び通信部33を介してプリンター2に送信させる(ステップS30)。なお、この送信時においては、ポリシー情報は、プリンター2のデフォルトセキュリティポリシーと同様な暗号化方式及び認証鍵により暗号化されている。
In the
プリンター2においては、ポリシー処理部28bが通信部23及び通信制御部28aを介してポリシー情報を受信し、当該ポリシー情報に基づいて、以降の通信においてPC3との通信に適用するセキュリティポリシー271をEEPROM27のセキュリティポリシーテーブル270に設定する(ステップS31)。これにより、以降のPC3との通信においては、このセキュリティポリシーテーブル270のセキュリティポリシー271に従って暗号化通信が行われることとなる。
In the
PC3においては、ポリシー処理部37bが、プリンター2との通信に適用するように設定されているセキュリティポリシー271を、ポリシー設定ページに対して入力された情報を含むポリシー情報に対応するように変更し、すなわち、セキュリティポリシー271の暗号化方式及び認証鍵を、ポリシー情報に含まれる暗号化方式及び認証鍵に変更する(ステップS32)。これにより、PC3と、プリンター2との通信においては、新たにPC3において設定された暗号化方式及び認証鍵による暗号化通信が適用されることとなり、暗号化のセキュリティレベルを向上することができる。
In the
上記した処理によると、プリンター2においては、認証鍵を設定するだけでよく、PC3において、プリンター2のセキュリティポリシーとして必要な設定を入力するようにして、プリンター2におけるセキュリティポリシーを容易に設定できる。また、セキュリティポリシーをプリンター2に設定する際における通信においては、デフォルトセキュリティポリシーに従った暗号化通信が行われるので、この通信においてポリシー情報が漏洩することを適切に防止することができる。
According to the above-described processing, it is only necessary to set an authentication key in the
以上、本発明を実施形態に基づいて説明したが、本発明は上述した実施の形態に限られず、他の様々な態様に適用可能である。 Although the present invention has been described based on the embodiments, the present invention is not limited to the above-described embodiments, and can be applied to various other modes.
例えば、上記実施形態では、プリンター2において、認証鍵をユーザーが任意に設定できるようにしていたが、例えば、プリンター2に予め認証鍵を設定しておいたり、或いは、プリンター2が自動的に認証鍵を決定したりしてもよい。この場合には、ユーザーが認証鍵を認識できるように、表示部21に認証鍵を表示させ、その認証鍵をPC3で入力させるようにすればよい。
For example, in the above-described embodiment, the user can arbitrarily set an authentication key in the
また、上記実施形態では、デフォルトセキュリティポリシーを用意しておき、セキュリティポリシーが適用されない通信に対して、デフォルトセキュリティポリシーに従って暗号化処理を行えるようにしていたが、本発明はこれに限られず、その装置(例えば、プリンター2)に対して想定される通信を全てカバーするセキュリティポリシー、例えば、そのプリンター2と通信する可能性があると想定される全範囲(通信対象範囲)のアドレスがパケットセレクタのIPアドレスに設定され、且つ暗号化が指定されているセキュリティポリシー(第2のセキュリティポリシーの一例)を用意するようにしてもよい。
In the above embodiment, a default security policy is prepared, and encryption processing can be performed according to the default security policy for communications to which the security policy is not applied. However, the present invention is not limited to this, and A security policy that covers all communication assumed for the device (for example, the printer 2), for example, addresses in the entire range (communication target range) that are assumed to be likely to communicate with the
また、上記実施形態においては、第1の通信装置としてプリンターを一例に説明したが、第1の通信装置はこれに限られず、例えば、プリンター、ファクシミリ、スキャナー等を備えた複合機であってもよく、また、スキャナーであってもよく、パーソナルコンピューターであってもよく、要は、通信可能な通信装置であればよい。また、第2の通信装置についても、同様に通信可能な通信装置であればよい。 In the above-described embodiment, a printer is described as an example of the first communication device. However, the first communication device is not limited to this. For example, a multifunction device including a printer, a facsimile, a scanner, and the like may be used. In addition, it may be a scanner or a personal computer. In short, any communication device capable of communication may be used. Further, the second communication device may be any communication device that can similarly communicate.
1 通信システム、2 プリンター、3 PC、4 ネットワーク、21 表示部、22 入力部、23 通信部、24 プリント機能部、25 ROM、26 RAM、27 EEPROM、28 制御部、28a 通信制御部、28b ポリシー処理部、28c 入出力処理部、28d プリント制御部、31 表示部、32 入力部、33 通信部、34 ROM、35 RAM、36 HDD、37 制御部、37a 通信制御部、37b ポリシー処理部、37c 入出力処理部。 1 communication system, 2 printer, 3 PC, 4 network, 21 display unit, 22 input unit, 23 communication unit, 24 print function unit, 25 ROM, 26 RAM, 27 EEPROM, 28 control unit, 28a communication control unit, 28b policy Processing unit, 28c input / output processing unit, 28d print control unit, 31 display unit, 32 input unit, 33 communication unit, 34 ROM, 35 RAM, 36 HDD, 37 control unit, 37a communication control unit, 37b policy processing unit, 37c Input / output processing section.
Claims (4)
所定の通信対象範囲における所定の通信装置との所定の通信を対象に適用される暗号化方式及び暗号鍵を含むことのできる第1のセキュリティポリシーと、前記通信対象範囲の前記第1のセキュリティポリシーが適用されない全ての通信に適用される暗号化方式及び暗号鍵を含むことのできる第2のセキュリティポリシーとを記憶可能なセキュリティポリシー記憶手段と、
前記他の通信装置との間の通信パケットの通信を行う通信手段と、
前記他の通信装置との通信が、前記第1のセキュリティポリシーが適用される対象に該当しない場合に、前記第2のセキュリティポリシーに従って、送信する通信パケットへの暗号化処理及び受信した通信パケットの復号化処理を行う暗号処理手段と、
前記第2のセキュリティポリシーの前記暗号鍵の入力をユーザーから受け付ける暗号鍵受付手段と、を有し、
前記暗号処理手段は、前記暗号鍵受付手段に入力された暗号鍵を含む前記第2のセキュリティポリシーに従って、前記暗号化処理及び前記復号化処理を行い、
前記他の通信装置は、
前記第2のセキュリティポリシーに対応する前記暗号鍵の入力を受け付けて、前記第2のセキュリティポリシーの暗号化方式と前記他の通信装置に入力された前記暗号鍵とを含む第3のセキュリティポリシーに従って、送信する通信パケットへの暗号化処理及び受信した通信パケットの復号化処理を行い、
前記通信装置の前記暗号処理手段は、
前記暗号鍵受付手段に入力された暗号鍵を含む前記第2のセキュリティポリシーに従って、前記他の通信装置から送信された通信パケットへの復号化処理、及び前記他の通信装置に送信する通信パケットへの暗号化処理を行う通信装置。 A communication device that communicates with other communication devices via a network,
A first security policy that can include an encryption method and an encryption key applied to a predetermined communication with a predetermined communication device in a predetermined communication target range; and the first security policy of the communication target range A security policy storage unit capable of storing an encryption method and a second security policy that can include an encryption key that are applied to all communications to which is not applied;
Communication means for performing communication packet communication with the other communication device;
When the communication with the other communication device does not fall under the target to which the first security policy is applied, the encryption process to the communication packet to be transmitted and the received communication packet are performed according to the second security policy. Encryption processing means for performing decryption processing;
Encryption key receiving means for receiving an input of the encryption key of the second security policy from a user,
Said encryption processing means in accordance with said second security policy that includes an encryption key input to the encryption key reception means, have rows the encryption process and the decryption process,
The other communication device is:
Accepting the input of the encryption key corresponding to the second security policy, and according to a third security policy including the encryption method of the second security policy and the encryption key input to the other communication device , Encrypt the communication packet to be transmitted and decrypt the received communication packet,
The encryption processing means of the communication device includes:
In accordance with the second security policy including the encryption key input to the encryption key receiving means, decryption processing into a communication packet transmitted from the other communication device, and communication packet transmitted to the other communication device Communication device that performs encryption processing.
請求項1に記載の通信装置。 The first encryption processing means of the first communication device is a case where the encryption key is not stored as the second security policy, and communication with the other communication device is performed in the first communication device. The communication apparatus according to claim 1, wherein when the security policy is not applicable, an encryption process for a transmitted communication packet and a decryption process for a received communication packet are not performed.
請求項1または2に記載の通信装置。 It said second security policy, the communication apparatus according to claim 1 or 2 applicable communication device is a security policy that is not limited.
請求項1乃至請求項3のいずれか一項に記載の通信装置。 The communication device according to any one of claims 1 to 3 , wherein the second security policy is a security policy applicable to all communication devices in the communication target range.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014035030A JP5704267B2 (en) | 2014-02-26 | 2014-02-26 | Communication device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014035030A JP5704267B2 (en) | 2014-02-26 | 2014-02-26 | Communication device |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010084806A Division JP5488134B2 (en) | 2010-04-01 | 2010-04-01 | Communication system and communication method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014135745A JP2014135745A (en) | 2014-07-24 |
JP5704267B2 true JP5704267B2 (en) | 2015-04-22 |
Family
ID=51413686
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014035030A Active JP5704267B2 (en) | 2014-02-26 | 2014-02-26 | Communication device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5704267B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6859806B2 (en) * | 2017-03-31 | 2021-04-14 | ブラザー工業株式会社 | Communication systems, computer programs and terminals |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4704247B2 (en) * | 2006-03-03 | 2011-06-15 | 株式会社リコー | Network equipment |
JP2009177560A (en) * | 2008-01-25 | 2009-08-06 | Kyocera Mita Corp | Image forming device, image formation system, security-setting program, and security-setting method |
-
2014
- 2014-02-26 JP JP2014035030A patent/JP5704267B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2014135745A (en) | 2014-07-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5488134B2 (en) | Communication system and communication method | |
JP4345796B2 (en) | COMMUNICATION METHOD, COMMUNICATION SYSTEM AND SERVER, CLIENT AND COMPUTER PROGRAM | |
US9203614B2 (en) | Method, apparatus, and system for protecting cloud data security | |
JP2020114002A (en) | Information processing device, encryption communication method, and program | |
US11456999B2 (en) | Network monitoring apparatus, and remote encryption and remote activation method, device and system thereof | |
US10831879B2 (en) | Network monitoring device, method, apparatus and system for resetting password thereof, and server | |
JP2005099948A (en) | Information processor, printing apparatus, print data transmission method, printing method, print data transmission program and recording medium | |
EP1520221A2 (en) | Methods and apparatus for secure document printing | |
CN110191052B (en) | Cross-protocol network transmission method and system | |
CN102932350A (en) | TLS (Transport Layer Security) scanning method and device | |
JP2007082208A (en) | System, method, and program for safely transmitting electronic document between domains in terms of security | |
JP5704267B2 (en) | Communication device | |
WO2012132438A1 (en) | Communication apparatus and communication system | |
JP2012234439A (en) | Image processing apparatus, data management method therefor, and program | |
JP6686350B2 (en) | Computer program and relay device | |
CN111147236A (en) | Encryption and decryption method and system based on RSA and AES | |
JP4704247B2 (en) | Network equipment | |
CN103843449A (en) | Protocol stack type negotiation method and device | |
WO2017104060A1 (en) | Encryption method and encryption device | |
JP2013243583A (en) | Image forming system, image forming apparatus, authentication server, client pc, and control method and program of image forming apparatus | |
JP6720767B2 (en) | Server device | |
JP2010221519A (en) | Image forming apparatus | |
JP2010026949A (en) | Device management system | |
JP2003296279A (en) | Authentication method, and client device, server device, and program thereof | |
JP2006115379A (en) | Cipher communication equipment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20141125 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20150109 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150113 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150127 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150209 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5704267 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |