KR20210065513A - 화상 형성 장치의 네트워크 보안 설정 - Google Patents

화상 형성 장치의 네트워크 보안 설정 Download PDF

Info

Publication number
KR20210065513A
KR20210065513A KR1020190154340A KR20190154340A KR20210065513A KR 20210065513 A KR20210065513 A KR 20210065513A KR 1020190154340 A KR1020190154340 A KR 1020190154340A KR 20190154340 A KR20190154340 A KR 20190154340A KR 20210065513 A KR20210065513 A KR 20210065513A
Authority
KR
South Korea
Prior art keywords
address
security policy
image forming
forming apparatus
server
Prior art date
Application number
KR1020190154340A
Other languages
English (en)
Inventor
박현욱
Original Assignee
휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피. filed Critical 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피.
Priority to KR1020190154340A priority Critical patent/KR20210065513A/ko
Priority to EP20892493.6A priority patent/EP3935486A4/en
Priority to US17/606,151 priority patent/US20220200958A1/en
Priority to PCT/US2020/033574 priority patent/WO2021107977A1/en
Publication of KR20210065513A publication Critical patent/KR20210065513A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • H04L61/2007
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/2814
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

네트워크 보안 설정 방법은, 서버 발견 메시지를 수신하는 단계, 상기 서버 발견 메시지에 응답하여 서버 제안 메시지를 브로드캐스트하는 단계, 상기 서버 제안 메시지를 수신한 화상형성장치로부터 IP 주소 할당 요청을 수신하는 단계, 및 상기 IP 주소 할당 요청에 응답하여, 상기 화상형성장치로 IP 주소 및 IP 보안 정책을 송신하는 단계를 포함할 수 있다.

Description

화상 형성 장치의 네트워크 보안 설정{NETWORK SECURITY CONFIGURATION OF IMAGE FORMING APPARATUS}
화상 형성 장치는 화상 데이터의 생성, 인쇄, 수신, 전송 등을 수행하는 장치로서, 대표적인 예로는 프린터, 스캐너, 복사기, 팩스 및 이들의 기능을 통합적으로 구현한 복합기 등을 들 수 있다. 화상 형성 장치는 네트워크를 통해 수신하는 네트워크 패킷의 IP 주소를 기반으로 IP 보안을 수행한다.
이 도면들은 본 발명의 예시적인 실시예를 설명하는데 참조하기 위함이므로, 본 발명의 기술적 사상을 첨부한 도면에 한정해서 해석하여서는 안된다.
도 1은 일 실시예에 따른 네트워크 구성도의 일 예를 나타낸 도면이다.
도 2는 일 실시예에 따른 화상 형성 장치의 구성을 나타낸 블록도이다.
도 3은 일 실시예에 따른 화상 형성 장치의 소프트웨어의 기능 모듈을 나타낸 블록도이다.
도 4는 일 실시예에 따른 IP 보안 정책 설정 과정을 나타낸 순서도이다.
도 5는 일 실시예에 따른 DHCP 서버의 응답 메시지의 패킷 구성을 나타낸 도면이다.
도 6은 일 실시예에 따른 화상 형성 장치의 DHCP 요청 메시지의 패킷을 나타낸 도면이다.
도 7은 일 실시예에 따른 IP 보안 방식이 적용된 DHCP 서버의 응답 메시지의 패킷 구성을 나타낸 도면이다.
도 8은 일 실시예에 따른 화상 형성 장치의 IP 보안 정책 관리 방법을 나타낸 순서도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
또한, 명세서에 기재된 "...부", "...기", "...모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
본 명세서에서 설명하는 서버와 장치는 적어도 하나의 프로세서, 메모리, 통신 장치 등을 포함하는 하드웨어로 구성되고, 지정된 장소에 하드웨어와 결합되어 실행되는 프로그램이 저장된다. 하드웨어는 본 발명의 방법을 실행할 수 있는 구성과 성능을 가진다. 프로그램은 도면들을 참고로 설명한 본 발명의 동작 방법을 구현한 명령어(instructions)를 포함하고, 프로세서와 메모리 등의 하드웨어와 결합하여 본 발명을 실행한다.
본 명세서에서 "전송 또는 제공" 은 직접적인 전송 또는 제공하는 것뿐만 아니라 다른 장치를 통해 또는 우회 경로를 이용하여 간접적으로 전송 또는 제공도 포함할 수 있다.
본 명세서에서 단수로 기재된 표현은 "하나" 또는 "단일" 등의 명시적인 표현을 사용하지 않은 이상, 단수 또는 복수로 해석될 수 있다.
본 명세서에서 도면에 관계없이 동일한 도면번호는 동일한 구성요소를 지칭하며, "및/또는" 은 언급된 구성 요소들의 각각 및 하나 이상의 모든 조합을 포함한다.
본 명세서에서 도면을 참고하여 설명한 흐름도에서, 동작 순서는 변경될 수 있고, 여러 동작들이 병합되거나, 어느 동작이 분할될 수 있고, 특정 동작은 수행되지 않을 수 있다.
IP 보안의 일 예로 IP 필터링(filtering)의 경우, 필터링 대상 IP 주소를 일일이 관리자가 지정해야 하는 불편함이 있다. 또한, 화상 형성 장치의 IP 주소가 변경되거나, 화상 형성 장치의 이동에 따라 네트워크 망이 변경되는 경우, 화상 형성 장치에 대한 IP 필터링 정책이 변경되어 다시 설정해야 하는 번거로움이 있다.
본 명세서에서 일 실시예에 따른 서버는 네트워크 망에 연결될 장비들의 IP 주소 요청 패킷을 수신하여 IP 주소를 할당해 주고, IP 주소 정보와 함께 IP 보안 정책 정보를 전송한다. 화상 형성 장치는, 서버를 찾아 IP 주소 할당을 요청하고, IP 주소와 함께 IP 보안 정책을 수신하여 수신된 IP 보안 정책 정보를 설정할 수 있다.
이하, 첨부한 도면을 참고로 하여 일 실시예에 대하여 상세히 설명한다.
도 1은 일 실시예에 따른 네트워크 구성도의 일 예를 나타낸 도면이다.
도 1에 도시된 바와 같이, 네트워크 망을 통해 서버(1), 화상 형성 장치(2), 및 사용자 PC(3, 4)가 연결되어 있다.
서버(1)는 네트워크 망에 연결될 장비들의 IP 주소 요청 패킷을 수신하면, IP 주소를 할당하고, 이때 IP 주소 정보와 함께 IP 보안 정책 정보를 함께 전송할 수 있다.
서버(1)의 일 예로, DHCP(Dynamic Host Configuration Protocol) 서버가 사용될 수 있다. DHCP 서버(1)는 UDP(User Datagram Protocol) 67 번 포트(port)를 오픈(open) 하여 DHCP 서버 발견 메시지를 받고, 네트워크 망의 모든 클라이언트로 DHCP 서버 제안 메시지를 이용해 브로드캐스트한다. DHCP 서버(1)는 DHCP 클라이언트(client)로부터 IP 주소 요청 패킷을 수신하면, 해당 클라이언트로 IP 주소를 동적으로 할당하고, IP 주소 할당시 IP 주소 정보와 함께 IP 보안 정책 정보를 함께 전송한다. 서버(1)는 네트워크 상에 연결될 장비에 할당할 IP 주소 리스트 정보 및 IP 보안 정책 정보가 저장된 데이터 베이스를 포함하고, 데이터 베이스에는 DNS server 정보, WINS server 정보 등이 추가적으로 저장될 수 있다.
화상 형성 장치(2)는 유선 혹은 무선 인터페이스를 구비하고 이를 통해 네트워크에 연결된다. 화상 형성 장치(2)는 서버(1)에 대해서 클라이언트(client) 기능을 수행하여, 화상 형성 장치(2)에 IP 주소가 할당되어 있지 않은 경우, 서버(1)에 IP 주소 요청 패킷을 전송하고, IP 주소를 할당 받으며, IP 주소 할당 시에 IP 주소 정보와 함께 IP 보안 정책 정보도 수신할 수 있다.
서버(1)가 DHCP 서버로 구현된 경우, 화상 형성 장치(2)는 DHCP 클라이언트 기능을 수행하여, 화상 형성 장치(2)에 IP 주소가 할당되어 있지 않은 경우 DHCP 서버 발견 메시지(포트 67, UDP 메시지)를 네트워크 상의 모든 노드에 전송한다. 화상 형성 장치(2)는 전송 후 DHCP 서버 제안 메시지에 따라 DHCP 서버를 발견하고, 해당 DHCP 서버에 IP 주소 요청 패킷을 전송하여 IP 주소를 할당 받고, IP 주소 할당 시에 IP 주소 정보와 함께 IP 보안 정책 정보를 수신한다. 발견된 DHCP 서버가 복수인 경우 복수의 DHCP 서버 중 하나가 선택될 수 있다.
화상 형성 장치(2)는 IP 주소 요청 패킷과 함께 IP 보안 정책 정보도 서버(1)에 요청할 수 있다. 화상 형성 장치(2)는 IP 보안 정책 정보를 수신하면 동적으로 IP 보안 정책 기능을 인에이블(enable)하고 해당 IP 보안 정책 정보를 자동 설정할 수 있다.
사용자 PC(3, 4)는 네트워크 망에 연결될 수 있는 예들로서, 사용자 PC(3)는 해당 네트워크 망의 보안 정책에 의해 사용 허가된 IP 주소를 가지고 있는 컴퓨터 혹은 모바일 정보기기이고, 사용자 PC(4)는 해당 네트워크 망의 보안 정책에 의해 사용 허가되지 않은 IP 주소를 가지고 있는 컴퓨터 혹은 모바일 정보기기일 수 있다.
이하, 도 2를 참조하여 일 실시예에 따른 화상 형성 장치의 구성을 설명한다.
도 2는 일 실시예에 따른 화상 형성 장치의 구성을 나타낸 블록도이다.
화상 형성 장치는(2)는 CPU(21), RAM(22), ROM(23), 프린트 엔진(Print Engine)(24), 네트워크 인터페이스(Network Interface)(25), 사용자 인터페이스(User interface)(26), USB 인터페이스(USB interface)(27), 스캐너(Scanner)(28), 및 팩스(FAX)(29)를 포함한다. 도 2에 도시된 화상 형성 장치(2)의 구성 블록도는 화상 형성 장치(2)를 설명하기 위한 일 예로서 발명이 이에 한정되지 않고, 적어도 일 구성이 포함되지 않거나 추가적으로 다른 구성이 더 포함될 수 있다.
CPU(21)는 화상 형성 장치(2)의 제어 구성으로, 화상 형성 장치(2)의 동작을 제어하기 위한 소프트웨어를 구동하여 실행한다. 예를 들어, CPU(21)는 서버(1)로부터 IP 주소 정보 및 IP 보안 정책 정보를 수신하면 해당 정보를 처리하기 위한 소프트웨어를 구동하여 실행한다.
RAM(22)은 화상 형성 장치(2)의 휘발성 저장장치이며, 화상 형성 장치(2)의 프로그램이 동작하기 위한 워킹 메모리(working memory)이고, 임시로 데이터를 저장하기 위한 메모리 공간을 제공할 수 있다.
ROM(23)은 화상 형성 장치(2)의 비휘발성 저장장치로, 화상 형성 장치(2)의 동작에 필요한 다양한 소프트웨어가 구현된 펌웨어(firmware), IP 보안 정책 정보 등을 저장한다. 다양한 소프트웨어 중 적어도 하나의 소프트웨어는 IP 주소 정보 및 IP 보안 정책 정보를 수신하기 위해 필요한 동작을 지시하는 명령들을 포함할 수 있다.
프린트 엔진(24)은 화상 형성 장치(2)의 인쇄 기능을 수행하는 하드웨어(hardware) 장치이다.
네트워크 인터페이스(25)는 유선 네트워크 통신을 수행하는 하드웨어이다. 유선 네트워크 통신은 IEEE 802.3 표준을 따르고, 10/100/1000Mbps 등의 송수신 속도를 지원할 수 있다. 네트워크 인터페이스(25)의 하드웨어는 물리 계층(physical layer) 칩(chip), 이더넷(Ethernet) 제어기(controller) 등을 포함할 수 있다. 네트워크 인터페이스(25)를 통해 서버(1)에 IP 주소 요청 패킷을 송신하고, 서버로부터 전송되는 응답 패킷을 수신할 수 있다.
USB 인터페이스(26)는 USB 통신 표준을 따르며 외부장치와의 데이터 및 컨트롤 신호를 송수신한다.
사용자 인터페이스(27)는 화상 형성 장치(2)의 종류에 따라 Graphical touch UI(User Interface), 2 line LCD, 4 line LCD, LED 등으로 구성될 수 있다.
스캐너(28)는 하드 카피(hard copy)를 소프트 카피(soft copy)로 변환하는 하드웨어 장치이다.
팩스(29)는 문서 이미지를 전화선을 통해 송수신하는 하드웨어 장치이다.
도 3은 일 실시예에 따른 화상 형성 장치의 소프트웨어의 기능 모듈을 나타낸 블록도이다.
화상 형성 장치(2)의 소프트웨어는 ROM(23)에 저장될 수 있다. ROM(23)에 저장된 소프트웨어는 각 기능에 따라 이더넷 드라이버(Ethernet Driver) 모듈(231), TCP/IP 스택(stack) 모듈(232), 넷필터(Netfilter) 모듈(233), IP 보안 정책 매니저(IP security policy manager) 모듈(234), DHCP 클라이언트(client) 모듈(235), EWS(Embedded Web Server) 모듈(236), 프린팅 서비스(Printing Service) 모듈(237), 및 데이터 스토어(Data Store) 모듈(238)을 포함한다. 화상 형성 장치(2)의 소프트웨어는 도 3에 도시된 바와 같이 기능 모듈로 구분될 수 있으나 발명이 이에 한정되는 것은 아니고 추가적인 기능 모듈이 더 포함될 수 있다.
이더넷 드라이버 모듈(231)은 네트워크 인터페이스(25)의 이더넷 제어기를 제어하여 네트워크 패킷을 외부로부터 수신하여 넷필터 모듈(233)을 통해 TCP/IP 스택 모듈(232)에 전달하거나, TCP/IP 스택 모듈(232)에서 송신한 네트워크 패킷을 받아 외부로 송신하는 네트워크 송수신 모듈이다.
TCP/IP 스택 모듈(232)은 TCP/IP 네트워크 프로토콜 스택(network protocol stack)을 구현한 소프트웨어 모듈로서, 기기간 네트워크 통신을 위한 기본 프로토콜(TCP, UDP, IP, ICMP, ARP 등)을 구현하고, 주로 OS(operating system) 내부에 위치할 수 있다.
넷필터 모듈(233)은 외부로부터 수신된 패킷을 설정된 IP 보안 정책에 맞게 필터링한다. 넷필터 모듈(233)은 IP 보안 정책에 의해 허용되지 않는 패킷은 버리고, 허용되는 패킷은 통과시킨다.
프린팅 서비스 모듈(237)은 인쇄 데이터를 수신하는 서버 소프트웨어 모듈이다. 예를 들어, 프린팅 서비스 모듈(237)은 TCP 9100 포트를 열고 원격지의 PC에서 전송한 인쇄 데이터를 수신하고, 수신된 데이터를 프린트 엔진(24)에 전달한다.
EWS(Embedded Web Server) 모듈(236)은 외부의 웹 클라이언트(web client) 또는 웹 브라우저(web browser)로부터 전송된 HTTP 요청(request)을 수신하여 처리하고, HTTP 응답(response)을 전송한다. 예를 들어, EWS 모듈(236)은 TCP 80 포트 혹은 TCP 431 포트를 열고, HTTP 요청을 수신할 수 있다.
EWS 모듈(236)로 들어오는 HTTP 요청은 URL에 따라 처리되는데, HTTP 요청이 현재 화상 형성 장치(2)에 설정된 IP 보안 정책 정보 요청인 경우 데이터 스토어 모듈(238)에 저장된 IP 보안 정책 설정 정보를 읽어와 해당 정보를 응답할 수 있다. HTTP 요청이 신규 IP 보안 정책 설정 요청인 경우, EWS 모듈(236)은 신규 IP 보안 정책 정보를 수신하여 IP 보안 정책 매니저 모듈(234)에 신규 IP 보안 정책 정보를 정보를 전달하고, 데이터 스토어 모듈(238)에 저장할 수 있다.
DHCP 클라이언트 모듈(235)은 DHCP(Dynamic Host Configuration Protocol) 프로토콜을 구현하여 DHCP 서버(1)에 대해서 클라이언트 역할을 수행하는 모듈이다. 화상 형성 장치(2)에 DHCP 기능이 enable 되고, IP 주소가 할당되어 있지 않은 경우, DHCP 클라이언트 모듈(235)은 DHCP 서버(1)를 발견하고, DHCP 서버(1)로 IP 주소 할당을 요청하고, DHCP 서버(1)로부터 신규 IP 주소를 할당 받아 화상 형성 장치(2)에 설정한다. 이 때, DHCP 클라이언트 모듈(235)는 IP 주소와 함께 IP 보안 정책 정보도 받아 IP 보안 정책 매니저 모듈(234)에 전달하고, 데이터 스토어 모듈(238)에 저장할 수 있다.
IP 보안 정책 매니저 모듈(234)은 IP 보안 정책을 설정하고, 저장하며, 관리하는 모듈이다. IP 보안 정책 매니저 모듈(234)은 데이터 스토어 모듈(238)에 저장된 IP 보안 정책을 읽어와 넷필터 모듈(232)에 정책을 설정하고, DHCP 클라이언트 모듈(235) 또는 EWS 모듈(236)에서 수신한 신규 IP 보안 정책을 받아 데이터 스토어 모듈(238)에 저장 및 넷필터 모듈(233)에 설정할 수 있다.
이하, 도 4를 참조하여 화상 형성 장치에 IP 보안 정책이 설정되는 동작을 설명한다. 도 4에서는 IP 보안 방식의 일 예로 IP 주소(address)에 기초한 필터링이 수행되는 IP 필터링 방식을 설명한다.
IP 필터링은 화상 형성 장치(2)가 네트워크 망으로부터 수신하는 네트워크 패킷의 IP 주소를 기반으로 수신된 패킷을 허용하거나 차단하는 방식이다. 네트워크 보안 측면에서 허용되지 않는 패킷을 원천적으로 차단할 수 있다. IP 필터링을 동작 시키기 위해서는 어떤 IP 주소를 허용하고, 어떤 IP 주소는 차단할지에 대한 IP 보안 정책이 필요하고, 화상 형성 장치(2)가 서버(1)로부터 수신된 IP 보안 정책을 설정하고 저장한다.
IP 보안 정책은 IP 필터링 방식 이외에 IP 주소 중 특정 IP 주소에 대해서 암호화를 통해 데이터를 송수신 하는 방식(이하, 'IP 보안(security) 방식' 이라 함.)이 있을 수 있다. IP 보안 방식은 네트워크 표준 프로토콜로 IP 층에서 수신지와 목적지간의 데이터 보호를 위해 데이터를 암호화 하는 기술이다. 예를 들어, 특정 IP 주소에 해당하는 장비와 통신할 때 데이터를 암호화하고 암호화된 데이터를 송수신한다.
이 외에도 IP 보안 정책은 다양한 방식으로 구현될 수 있고, 발명이 IP 필터링 방식 및 IP 보안 방식에 제한되지 않는다. 서버(1)에는 해당 네트워크 망의 보안 정책에 따라 IP 보안 정책 정보가 설정된다. 예를 들어, DHCP 서버(1)에는 해당 네트워크 망의 보안 정책에 따라, IP 필터링 정보 또는 IP 보안 정보가 설정된다. 위 설정은 서버 관리자 등에 의해 수행될 수 있다.
도 4는 일 실시예에 따른 IP 보안 정책 설정 과정을 나타낸 순서도이다.
먼저, 도 4에 도시된 바와 같이, 네트워크 망에 화상 형성 장치(2)가 새로 연결된 것으로 설명한다.
화상 형성 장치(2)의 초기 부팅 시에, 화상 형성 장치(2)는 디폴트(default) 상태로, IP 주소가 할당되어 있지 않아 IP 주소가 없고, IP 보안 정책 중 하나인 IP 필터링이 불능(disable) 상태이다(S0).
화상 형성 장치(2)의 DHCP 클라이언트 모듈(235)이 IP 주소를 설정하기 위해 동작하여 화상 형성 장치(2)와 서버(1)(예를 들어, DHCP 서버) 사이에 DHCP IP 주소 할당 단계가 시작된다(S1).
DHCP IP 주소 할당 단계(S1)는 DHCP 서버(1)를 찾는 브로드캐스트(broadcast) 패킷을 전송하는 발견 단계(S11), DHCP 서버(1)로부터의 응답을 받는 제공 단계(S12), IP 주소 할당을 요청하는 단계 (S13), 및 DHCP 서버(1)로부터 IP 주소를 할당 받는 단계를 포함한다.
먼저, 화상 형성 장치(2)는 네트워크 망에 연결된 DHCP 서버(1)를 발견하기 위한 단계를 수행한다(S11). 예를 들어, 화상 형성 장치(2)는 UDP 67번 포트를 목적지 포트로 지정하여 DHCP 서버 발견 메시지(DHCP Server Discovery)를 브로드캐스트(broadcast)할 수 있다.
DHCP 서버(1)는 DHCP 서버 발견 메시지를 받고, 네트워크 망의 모든 클라이언트로 DHCP 서버 제안 메시지(DHCP offer)를 브로드캐스트할 수 있다(S12).
화상 형성 장치(2)도 DHCP 서버 제안 메시지를 수신하고, DHCP 요청 메시지 (DHCP Request)즉, IP 주소 요청 패킷을 DHCP 서버(1)에 전송한다(S13). 이때, 화상 형성 장치(2)는 IP 주소 요청 패킷과 함께 IP 필터링 정책 정보 요청 패킷도 DHCP 서버(1)에 전송할 수 있다.
DHCP 서버(1)는 DHCP 요청 메시지를 수신하고, 화상 형성 장치(2)에 할당할IP 주소 및 IP 필터링 정책 정보를 포함하는 DHCP 응답 메시지(DHCP Ack)를 전송한다(S14). IP 필터링 정책 정보는 IP 프로토콜에서 옵션에 포함될 수 있다.
화상 형성 장치(2)는 IP 주소 및 IP 보안 정책에 기반하여 네트워크 보안 정책을 설정한다. 구체적으로, 화상 형성 장치(2)가 IP 주소를 설정하고, IP 필터링 정책 정보에 따라 네트워크 보안 정책을 설정한다(S2). 그러면, IP 필터링은 가능(enable) 상태가 된다.
화상 형성 장치(2) 외에 네트워크 망에 연결된 사용자 PC(4)가 비허가 장비인 경우, DHCP 서버(1)로부터 IP 주소를 할당 받지 못하여, 화상 형성 장치(2) 및 DHCP 서버(1)에 접속할 수 없다. 화상 형성 장치(2)의 IP 필터링에 의해 사용자 PC(4)의 화상 형성 장치(2)로의 접속이 차단된다.
도 4에서, DHCP 서버(1)가 네트워크 망에 새로 연결된 기기의 IP 주소를 동적으로 자동 할당해 주기 위해 DHCP 프로토콜이 사용될 수 있다. DHCP 서버가 클라이언트 기기에 IP 주소를 할당할 때, IP 주소 외에 DNS 서버 등 다른 네트워크 설정 정보를 옵션(option) 설정을 사용하여 같이 전송할 수 있다.
도 5는 일 실시예에 따른 DHCP 서버의 응답 메시지의 패킷 구성을 나타낸 도면이다.
도 5에 도시된 바와 같이, 일 실시예에 따른 DHCP 서버(1)의 IP 프로토콜은 기존의 표준 옵션 정의에 없는 IP 필터링 설정정보를 정의하여 커스텀 옵션 필드(custom option field)(11)에 담아 할당된 IP 주소와 함께 전송한다. DHCP 프로토콜에서 커스텀 옵션 필드(11)는 제조사(vendor)가 특정하여 정의할 수 있도록 표준 RFC(Requests for Comments)에서 허가된 영역이다. 커스텀 옵션 필드(11)는 IP 보안 정책에 관한 설정 정보임을 나타내는 커스텀 식별정보(identification) 및 설정할 IP 보안 정책에 관한 정보를 포함할 수 있다.
예를 들어, DHCP 서버 응답 패킷 중 Option(60) 필드가 IP 보안 정책에 관한 정보를 전송하기 위해 신규 정의된 커스텀 옵션 필드(11)이고, IP 보안 정책 중 IP 필터링 정책을 지시하는 식별정보(Option identification: IP Filtering)(111), 해당 IP 보안 정책(도 5에서는, IP 필터링)의 적용 여부(enable/disable) 대한 설정 정보 (IP Filtering: enable)(112), IP 필터링의 규칙이 허가인지 거부인지를 나타내는 정보(IP Filtering rule : permit)(113), 및 IP 필터링을 적용할 주소 영역(IP Filtering start/end address) 정보(114) 중 적어도 하나의 정보가 커스텀 옵션 필드(11)에 포함될 수 있다. IP 필터링 규칙이 허가인 경우 주소 영역 정보(114)에 기재된 IP 주소들이 허가 대상이고, 그렇지 않은 IP 주소는 거부 대상이 된다. IP 필터링 규칙인 거부인 경우 주소 영역 정보(114)에 기재된 IP 주소들이 거부 대상이고, 그렇지 않은 IP 주소는 허가 대상이 된다.
화상 형성 장치(2)가 도 5에 도시된 DHCP 서버 응답 패킷에 따라 IP 보안 정책을 설정하는 경우, IP 주소 영역(192.168.1.0~192.168.1.255)에 해당하는 기기의 접속은 허용하고, 그 외의 IP 주소에 해당하는 기기의 접속은 차단한다.
도 5에서 Option(60) 필드 이외의 나머지 field 는 기존 DHCP 패킷 구성도와 동일하므로 상세한 설명은 생략한다.
도 6은 일 실시예에 따른 화상 형성 장치의 DHCP 요청 메시지의 패킷을 나타낸 도면이다.
도 6에 도시된 바와 같이, DHCP 요청 메시지 패킷은 Option (55) 파라미터 요청 리스트(Parameter Request list item) 중 Option (60) 커스텀 필드에 IP 필터링 정책(IP Filtering policy)을 요청하는 필드(115)가 추가될 수 있다. 즉, DHCP 서버(1)에 IP 주소 할당 요청과 함께 IP 보안 정책 중 IP 필터링 정책 정보를 요청할 수 있다.
단계 S14에서 DHCP 서버(1)가 전송한 DHCP IP 주소 할당 패킷과 함께 IP 필터링 설정 정보가 화상 형성 장치(2)에 수신되면, 화상 형성 장치(2)의 DHCP 클라이언트 모듈(235)은 IP 필터링 정보를 추출하여 IP 보안 정책 매니저 모듈(234)에 해당 정보를 전송한다.
IP 보안 정책 매니저 모듈(234)은 수신한 IP 필터링 정책 정보에 따라 IP 필터링 기능을 가능(enable) 상태로 설정하고, 허가할 IP 주소 범위를 설정 값에 따라 넷필터 모듈(233)의 허가 IP 주소 범위를 설정하고 데이터 스토어 모듈(238)에 저장할 수 있다. 또는, IP 필터링 정책 정보에 거부할 IP 주소 범위가 설정되어 있는 경우, IP 보안 정책 매니저 모듈(234)은 수신한 IP 필터링 정책 정보에 따라 IP 필터링 기능을 가능(enable) 상태로 설정하고, 거부할 IP 주소 범위를 설정 값에 따라 넷필터 모듈(233)의 거부 IP 주소 범위를 설정하고 데이터 스토어 모듈(238)에 저장할 수 있다.
이를 통해, 화상 형성 장치(2)에 연결된 해당 네트워크 망의 보안 정책에 맞추어 특정 IP 주소 영역의 주소만 수신(또는 차단)할 수 있도록 IP 보안 정책이 자동 설정되어 보안이 손쉽게 강화될 수 있다. 또한 화상 형성 장치(2)의 이동 및 연결된 네트워크 망 변경에 따라 IP 주소가 변경될 경우, 화상 형성 장치(2)의 관리자의 수동적인 IP 보안 정책 설정 작업이 없어도, 자동적으로 IP 주소와 함께 IP 보안 정책 설정도 같이 변경될 수 있다.
아울러, 화상 형성 장치(2)에서 IP 필터링이 가능(enable) 상태로 된 이후, 화상 형성 장치(2)의 네트워크 망 연결이 끊기거나 DHCP 서버(1)로부터 IP 주소 획득에 실패하는 경우, 또는 보안 정책이 없는 다른 망으로 이동된 경우에는, 화상 형성 장치(2)의 IP 필터링 설정이 자동적으로 불능(disable) 상태로 되어 불필요한 설정 오류를 줄일 수 있다.
IP 보안 정책이 IP 보안 방식일 수 있다.
도 7은 일 실시예에 따른 IP 보안 방식이 적용된 DHCP 서버의 응답 메시지의 패킷 구성을 나타낸 도면이다.
도 7에 도시된 바와 같이, DHCP 서버 응답 패킷 중 커스텀 옵션 필드(12)에서, IP 보안 정책 중 IP 보안 정책을 지시하는 식별정보(Option identification: IP Security)(121), 해당 IP 보안 정책(도 7에서는, IP 보안)의 적용 여부(enable/disable) 대한 설정 정보 (IP Security: enable)(122), 및 IP 보안을 적용할 주소 영역(IP Filtering start/end address) 정보(123) 중 적어도 하나의 정보가 커스텀 옵션 필드(12)에 포함될 수 있다.
도 7에 도시된 DHCP 서버 응답 패킷에 따라 화상 형성 장치(2)에 IP 보안 정책이 설정되면, IP 주소 영역(192.150.1.0~192.150.1.255)에 해당하는 장비와 통신할 때 데이터를 암호화하고 암호화된 데이터를 송수신한다.
지금까지 화상 형성 장치(2)가 서버(1)로부터 IP 주소 할당 및 IP 보안 정책 정보를 수신하고, IP 보안 정책을 설정 및 저장하는 것에 대해서 설명하였다. 이하에서는, IP 보안 정책에 따라 화상 형성 장치(2)가 IP 주소를 관리하는 일 실시예를 설명한다.
종래에는, 화상 형성 장치를 관리하는 관리자만이 IP 보안 정책에 따른 IP 주소를 설정할 수 있었다. 예를 들어, IP 필터링에 있어서, 허가할 IP 주소 또는 거부할 IP 주소는 관리자에 의해 설정되었다. 이럴 경우, 신규 IP 주소를 사용하는 PC에서 화상 형성 장치를 이용하기 위해서, 신규 PC의 IP 주소를 관리자가 일일이 파악하여 IP 필터링의 허가할 IP 주소로 추가해 줘야 하는 번거로움이 있다.
일 실시예에 따른 화상 형성 장치(2)에는, 신규 IP 주소 사용자가 신규 IP주소를 허가하도록 화상 형성 장치(2)에 요청할 수 있는 구성이 추가되었다.
화상 형성 장치(2)는 수신할 IP 주소(White List), 차단할 IP 주소(Black List), 확정되지 않은 IP 주소(Gray List)에 관한 데이터 베이스를 구축하고, 확정되지 않은 IP 주소(Gray List)로부터의 접속이 수신된 경우, 화상 형성 장치(2)에서 EWS 모듈(236)의 IP 필터링 해제 요청 페이지(page)로의 접속만을 허용하고 나머지 네트워크 포트는 차단한다. 일 실시예에서, 신규 IP 주소에 대한 허가 요청은 EWS 모듈(236)을 통해 가능한 것으로 설명한다. 다만, 발명이 이에 제한되는 것은 아니고, 화상 형성 장치(2)에 별도의 구성을 구비하고, 해당 구성을 통해 신규 IP 주소에 대한 허가 요청 및 처리가 수행될 수 있다.
White List, Black List, 및 Gray List는 화상 형성 장치(2)의 ROM(23)의 펌웨어에서 데이터베이스로 구축될 수 있다.
EWS 모듈(236)은 IP 필터링 해제 요청 페이지를 신규 IP에 해당하는 기기 예를 들어, 신규 PC로 리다이렉트(redirect)한다. 신규 PC의 IP 사용자는 리다이렉트된 IP 필터링 해제 요청 페이지를 통해 직접 화상 형성 장치(2)의 EWS(236)의 웹페이지(web page)에서 신규 IP 주소의 차단 해제를 신청할 수 있다. 화상 형성 장치(2)의 관리자가 신청된 IP 차단 해제 요청 목록을 보고 해당 IP 주소를 허용하면, 해당 IP 주소는 화상 형성 장치(2)의 White List 로 이동된다. 그러면, 해당 IP 주소로부터 화상 형성 장치(2)에 접속할 수 있다.
아울러, IP 차단 해제 요청 페이지는, IP 주소 차단 해제를 일정 시간 동안만 요청하는 기능을 더 포함할 수 있다. 일시적인 사용자는 IP 차단 해제 요청 페이지를 통해 접속하고자 하는 시간을 특정하여 입력하고, 화상 형성 장치(2)의 관리자에 의해 해당 IP 주소가 입력된 일정 시간 동안만 허용될 수 있다. 즉, 입력된 일정 시간 동안만, 해당 IP 주소는 화상 형성 장치(2)의 White List에 위치한다.
도 8은 일 실시예에 따른 화상 형성 장치의 IP 보안 정책 관리 방법을 나타낸 순서도이다.
도 8에서는 IP 보안 정책 중 IP 필터링에서, 신규 기기의 IP 주소가 추가되는 방법이 도시되어 있다. 도 8에서는 신규 기기의 일 예로 신규 PC가 도시되어 있으나, 본 발명이 이에 한정되는 것은 아니다.
도 8에 도시된 바와 같이, ROM(23)에 IP 필터링 데이터베이스(300)가 구성될 수 있다. 데이터베이스(300)는 수신 허가 IP 주소 목록인 화이트 리스트(301), 수신 거부 IP 주소 목록인 블랙 리스트(302), 및 허가를 요청할 수 있는 미정의 IP 주소 목록인 회색 리스트(303)를 포함한다. 회색 리스트(303)는 화이트 리스트(301) 및 블랙 리스트(302)에 포함되지 않은 나머지 IP 주소를 포함할 수 있다.
화상 형성 장치(2)는 화이트 리스트에 있는 IP 주소 기기로부터 패킷 수신 시에 수신을 허용하고, 블랙 리스트 목록에 있는 IP 주소 기기로부터 패킷 수신 시에 수신을 거부한다. 네트워크 망에 신규 IP 주소 [10.88.2.10]로 신규 PC(5)가 연결되고, 신규 PC(5)의 IP 주소가 화이트 리스트 및 블랙 리스트에 속하지 않은 것으로 설명한다.
신규 PC(5)는 화상 형성 장치(2)의 인스톨(installer)로 드라이버 설치한 후, 화상 형성 장치(2)에 접속을 시도한다(S3). 신규 PC(5)는 TCP 포트 9100으로 접속을 시도한다.
신규 PC(5)의 IP 주소는 화이트 리스트 및 블랙 리스트 모두에 해당되지 않으므로 회색 리스트로 분류된다. 화상 형성 장치(2)는 접속된 기기의 IP 주소가 회색 리스트에 속하므로, 회색 리스트 필터링에 따라 접속을 거부한다(S31).
회색 리스트 필터링에 따라, 화상 형성 장치(2)는 신규 PC(5)의 IP 주소로부터 수신되는 패킷에 대해 IP 필터링 해제 요청 페이지로의 접속만을 허용한다(S32). 즉, EWS 모듈(236)의 TCP 80 포트에만 접속된다.
EWS 모듈(236)은 IP 필터링 해제 요청 페이지를 신규 PC(5)의 IP 주소로 리다이렉트 전송한다(S33). IP 필터링 해제 요청 페이지는 허가요청 IP 주소, 사용자정보, 허가 기간 등을 입력할 수 있는 입력 창을 제공할 수 있다(S33).
신규 PC(5)의 사용자는 IP 필터링 해제 요청 페이지를 통해 IP 필터링에서 신규 PC(5)의 IP 주소를 해제해 줄 것을 요청한다(S34). 이 때, 신규 PC(5)의 IP 주소, 사용자 정보, 허가 기간 등이 EWS(236)에 수신될 수 있다.
신규 PC(5)의 사용자로부터 입력 받은 정보는 화상 형성 장치(2)의 관리자 단말에 전송하고, 관리자는 관리자 단말을 통해 화상 형성 장치(2)의 EWS 모듈(236) 관리 페이지에 접속하여 요청에 대한 허부를 결정하여 설정할 수 있다. 허가의 경우, 해당 IP 주소는 화이트 리스트로 들어가고, 허가된 허가 기간만큼 화이트 리스트에서 유지된 후, 만료시에 다시 회색 리스트로 이동될 수 있다. 도 8에 도시된 바와 같이, IP 주소 [10.88.2.10]은 화이트 리스트(301)로 이동되어, 신규 PC(5)는 화상 형성 장치(2)에 접속되어 인쇄가 가능하다(S35).
본 명세서의 일 실시예를 통해 관리자의 관여 없이 IP 보안 정책이 자동으로화상 형성 장치에 설정될 수 있어, 화상 형성 장치의 사용성이 향상되고 네트워크 보안이 강화될 수 있다.
구체적으로, 화상 형성 장치의 DHCP IP 주소를 할당시에 해당 네트워크 망의 보안 정책에 맞추어 특정 IP 주소 영역의 IP 주소만 수신할 수 있도록 보안 정책이 화상 형성 장치에 자동으로 설정될 수 있다. 예를 들어, IP 필터링 기능이 화상 형성 장치에 자동으로 가능(enable) 상태가 되어, 화상 형성 장치의 보안이 강화될 수 있다. 또한 화상 형성 장치의 위치 이동 및 연결된 네트워크 망 변경에 따라 화상 형성 장치의 IP 주소가 변경될 경우, 관리자의 수동적인 보안 정책 설정없이 동적으로 IP 보안 정책 설정도 함께 변경되어 사용성과 보안을 같이 강화될 수 있다.
또한, 신규 IP 주소에 대한 화상 형성 장치의 IP 보안 정책에 추가 또는 변경이 있을 때, 신규 IP 주소 사용자가 화상 형성 장치에 IP 주소 차단 해제를 신청할 수 있고, 허가될 신규 IP 주소의 허용 기간을 설정할 수 있어, 보다 용이하게 화상 형성 장치의 IP 보안 정책이 동적으로 관리될 수 있다.
이와 같이, 일 실시예에 따른 네트워크 보안 설정 방법은, 서버 발견 메시지를 수신하는 단계, 상기 서버 발견 메시지에 응답하여 서버 제안 메시지를 브로드캐스트하는 단계, 상기 서버 제안 메시지를 수신한 화상형성장치로부터 IP 주소 할당 요청을 수신하는 단계, 및 상기 IP 주소 할당 요청에 응답하여, 상기 화상형성장치로 IP 주소 및 IP 보안 정책을 송신하는 단계를 포함할 수 있다.
상기 IP 주소 및 IP 보안 정책을 포함하는 패킷은, 상기 IP 보안 정책에 관한 정보를 전송하기 위한 필드를 포함하고, 상기 필드는, 상기 IP 보안 정책임을 나타내는 식별정보, 상기 IP 보안 정책의 적용 여부에 대한 설정 정보, 및 상기 IP 보안 정책을 적용할 주소 영역 정보를 포함할 수 있다.
상기 IP 보안 정책이 IP 필터링인 경우, 상기 필드는, 상기 IP 필터링의 규칙이 허가인지 거부인지를 나타내는 정보를 더 포함할 수 있다.
일 실시예에 따른 네트워크 망에 연결된 화상 형성 장치의 네트워크 보안 설정 방법은, 상기 네트워크 망에서 서버를 발견하는 단계, 상기 발견된 서버로 IP 주소를 요청하는 단계, 상기 발견된 서버로부터 IP 주소 및 IP 보안 정책을 수신하는 단계, 및 상기 수신된 IP 주소 및 상기 IP 보안 정책에 기반하여 네트워크 보안정책을 설정하는 단계를 포함할 수 있다.
상기 서버를 발견하는 단계는, 상기 화상 형성 장치가 목적지 포트를 지정하고 서버 발견 메시지를 브로드캐스트하는 단계 및 상기 서버 발견 메시지에 대한 응답으로 서버 제안 메시지를 수신하는 단계를 포함할 수 있다.
상기 IP 주소를 요청하는 단계는, 상기 화상 형성 장치가 IP 주소 요청 패킷을 상기 발견된 서버로 전송하는 단계를 포함할 수 있다.
상기 IP 주소를 요청하는 단계는, 상기 화상 형성 장치가 상기 IP 주소 요청 패킷과 함께 IP 보안 정책 정보 요청 패킷을 전송하는 단계를 더 포함할 수 있다.
상기 IP 보안 정책을 설정하는 단계는, 상기 발견된 서버로부터 수신한 상기 IP 보안 정책에 관한 정보에 따라 상기 네트워크 보안 정책을 설정하는 단계를 포함하고, 상기 필드는, 상기 IP 보안 정책임을 나타내는 식별정보, 상기 IP 보안 정책의 적용 여부에 대한 설정 정보, 및 상기 IP 보안 정책을 적용할 주소 영역 정보를 포함할 수 있다.
상기 IP 보안 정책이 IP 필터링인 경우, 상기 필드는, 상기 IP 필터링의 규칙이 허가인지 거부인지를 나타내는 정보를 더 포함할 수 있다.
상기 네트워크 보안 설정 방법은, 신규 기기의 IP 주소로부터 수신되는 패킷에 대해 IP 필터링 해제 요청 페이지로의 접속만을 허가하는 단계 및 상기 신규 기기의 IP 주소로 IP 필터링 해제 요청 페이지를 리다이렉트로 전송하는 단계를 더 포함할 수 있다.
일 실시예에 따른 화상 형성 장치는 동작에 필요한 소프트웨어를 포함하는 ROM 및 상기 ROM에 저장된 소프트웨어를 구동하여 실행하는 CPU를 포함하고, 상기 소프트웨어는, 상기 화상 형성 장치가 연결된 네트워크 망에서 서버를 발견하고, 상기 발견된 서버로 IP 주소를 요청하며, 상기 발견된 서버로부터 IP 주소 및 IP 보안 정책을 수신하는 클라이언트 모듈 및 상기 수신된 IP 주소 및 상기 IP 보안 정책을 설정하는 IP 보안 정책 매니저모듈을 포함할 수 있다.
상기 소프트웨어는, 상기 네트워크 망에 연결될 신규 기기의 IP 주소에 대한 허가 요청을 처리하기 위한 EWS(Embedded Web Server) 모듈을 더 포함할 수 있다.
상기 EWS 모듈은, 상기 신규 기기의 IP 주소로 IP 필터링 해제 요청 페이지를 리다이렉트로 전송하고, 상기 IP 주소로부터 수신된 정보를 관리자 단말로 전송할 수 있다.
상기 ROM은, 수신 허가 IP 주소 목록인 화이트 리스트, 수신 거부 IP 주소 목록인 블랙 리스트, 및 상기 화이트 리스트 및 상기 블랙 리스트에 속하지 않는 IP 주소 목록인 그레이 리스트 중 적어도 하나를 포함할 수 있다.
상기 소프트웨어는, 수신된 데이터 패킷을 상기 IP 보안 정책에 따라 필터링하는 넷필터 모듈 및 상기 수신된 IP 보안 정책을 저장하는 데이터 스토어 모듈 중 적어도 하나를 더 포함할 수 있다.
이상에서 설명한 일 실시예들은 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 일 실시예들의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다.
이상으로 본 발명에 관한 일 실시예들을 설명하였으나, 본 발명은 상기 일 실시예들에 한정되지 아니하며, 본 발명의 일 실시예들로부터 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의한 용이하게 변경되어 균등하다고 인정되는 범위의 모든 변경을 포함한다.

Claims (15)

  1. 서버 발견 메시지를 수신하는 단계;
    상기 서버 발견 메시지에 응답하여 서버 제안 메시지를 브로드캐스트하는 단계;
    상기 서버 제안 메시지를 수신한 화상형성장치로부터 IP 주소 할당 요청을 수신하는 단계; 및
    상기 IP 주소 할당 요청에 응답하여, 상기 화상형성장치로 IP 주소 및 IP 보안 정책을 송신하는 단계를 포함하는,
    네트워크 보안 설정 방법.
  2. 제1항에 있어서,
    상기 IP 주소 및 IP 보안 정책을 포함하는 패킷은,
    상기 IP 보안 정책에 관한 정보를 전송하기 위한 필드를 포함하고,
    상기 필드는,
    상기 IP 보안 정책임을 나타내는 식별정보;
    상기 IP 보안 정책의 적용 여부에 대한 설정 정보; 및
    상기 IP 보안 정책을 적용할 주소 영역 정보 중 적어도 하나를 포함하는,
    네트워크 보안 설정 방법.
  3. 제2항에 있어서,
    상기 IP 보안 정책이 IP 필터링인 경우,
    상기 필드는,
    상기 IP 필터링의 규칙이 허가인지 거부인지를 나타내는 정보를 더 포함하는,
    네트워크 보안 설정 방법.
  4. 네트워크 망에 연결된 화상 형성 장치의 네트워크 보안 설정 방법에 있어서,
    상기 네트워크 망에서 서버를 발견하는 단계;
    상기 발견된 서버로 IP 주소를 요청하는 단계;
    상기 발견된 서버로부터 IP 주소 및 IP 보안 정책을 수신하는 단계; 및
    상기 수신된 IP 주소 및 상기 IP 보안 정책에 기반하여 네트워크 보안 정책을 설정하는 단계를 포함하는,
    네트워크 보안 설정 방법.
  5. 제4항에 있어서,
    상기 서버를 발견하는 단계는,
    상기 화상 형성 장치가 목적지 포트를 지정하고 서버 발견 메시지를 브로드캐스트하는 단계; 및
    상기 서버 발견 메시지에 대한 응답으로 서버 제안 메시지를 수신하는 단계를 포함하는,
    네트워크 보안 설정 방법.
  6. 제4항에 있어서,
    상기 IP 주소를 요청하는 단계는,
    상기 화상 형성 장치가 IP 주소 요청 패킷을 상기 발견된 서버로 전송하는 단계를 포함하는, 네트워크 보안 설정 방법.
  7. 제6항에 있어서,
    상기 IP 주소를 요청하는 단계는,
    상기 화상 형성 장치가 상기 IP 주소 요청 패킷과 함께 IP 보안 정책 정보 요청 패킷을 전송하는 단계를 더 포함하는,
    네트워크 보안 설정 방법.
  8. 제4항에 있어서,
    상기 IP 보안 정책을 설정하는 단계는,
    상기 발견된 서버로부터 수신한 상기 IP 보안 정책에 관한 정보에 따라 상기 네트워크 보안 정책을 설정하는 단계를 포함하고,
    상기 필드는,
    상기 IP 보안 정책임을 나타내는 식별정보;
    상기 IP 보안 정책의 적용 여부에 대한 설정 정보; 및
    상기 IP 보안 정책을 적용할 주소 영역 정보 중 적어도 하나를 포함하는,
    네트워크 보안 설정 방법.
  9. 제8항에 있어서,
    상기 IP 보안 정책이 IP 필터링인 경우,
    상기 필드는,
    상기 IP 필터링의 규칙이 허가인지 거부인지를 나타내는 정보를 더 포함하는,
    네트워크 보안 설정 방법.
  10. 제4항에 있어서,
    신규 기기의 IP 주소로부터 수신되는 패킷에 대해 IP 필터링 해제 요청 페이지로의 접속만을 허가하는 단계; 및
    상기 신규 기기의 IP 주소로 IP 필터링 해제 요청 페이지를 리다이렉트로 전송하는 단계를 더 포함하는,
    네트워크 보안 설정 방법.
  11. 화상 형성 장치의 동작에 필요한 소프트웨어를 포함하는 ROM; 및
    상기 ROM에 저장된 소프트웨어를 구동하여 실행하는 CPU를 포함하고,
    상기 소프트웨어는,
    상기 화상 형성 장치가 연결된 네트워크 망에서 서버를 발견하고, 상기 발견된 서버로 IP 주소를 요청하며, 상기 발견된 서버로부터 IP 주소 및 IP 보안 정책을 수신하는 클라이언트 모듈; 및
    상기 수신된 IP 주소 및 상기 IP 보안 정책을 설정하는 IP 보안 정책 매니저모듈을 포함하는,
    화상 형성 장치.
  12. 제11항에 있어서,
    상기 소프트웨어는,
    상기 네트워크 망에 연결될 신규 기기의 IP 주소에 대한 허가 요청을 처리하기 위한 EWS(Embedded Web Server) 모듈을 더 포함하는,
    화상 형성 장치.
  13. 제12항에 있어서,
    상기 EWS 모듈은,
    상기 신규 기기의 IP 주소로 IP 필터링 해제 요청 페이지를 리다이렉트로 전송하고, 상기 IP 주소로부터 수신된 정보를 관리자 단말로 전송하는, 화상 형성 장치.
  14. 제12항에 있어서,
    상기 ROM은,
    수신 허가 IP 주소 목록인 화이트 리스트, 수신 거부 IP 주소 목록인 블랙 리스트, 및 상기 화이트 리스트 및 상기 블랙 리스트에 속하지 않는 IP 주소 목록인 그레이 리스트 중 적어도 하나를 포함하는,
    화상 형성 장치.
  15. 제11항에 있어서,
    상기 소프트웨어는,
    수신된 데이터 패킷을 상기 IP 보안 정책에 따라 필터링하는 넷필터 모듈; 및
    상기 수신된 IP 보안 정책을 저장하는 데이터 스토어 모듈 중 적어도 하나를 더 포함하는,
    화상 형성 장치.
KR1020190154340A 2019-11-27 2019-11-27 화상 형성 장치의 네트워크 보안 설정 KR20210065513A (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020190154340A KR20210065513A (ko) 2019-11-27 2019-11-27 화상 형성 장치의 네트워크 보안 설정
EP20892493.6A EP3935486A4 (en) 2019-11-27 2020-05-19 NETWORK SECURITY CONFIGURATION OF AN IMAGING DEVICE
US17/606,151 US20220200958A1 (en) 2019-11-27 2020-05-19 Network security configuration of image forming apparatus
PCT/US2020/033574 WO2021107977A1 (en) 2019-11-27 2020-05-19 Network security configuration of image forming apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190154340A KR20210065513A (ko) 2019-11-27 2019-11-27 화상 형성 장치의 네트워크 보안 설정

Publications (1)

Publication Number Publication Date
KR20210065513A true KR20210065513A (ko) 2021-06-04

Family

ID=76130370

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190154340A KR20210065513A (ko) 2019-11-27 2019-11-27 화상 형성 장치의 네트워크 보안 설정

Country Status (4)

Country Link
US (1) US20220200958A1 (ko)
EP (1) EP3935486A4 (ko)
KR (1) KR20210065513A (ko)
WO (1) WO2021107977A1 (ko)

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100608077B1 (ko) * 2003-10-25 2006-08-02 (주)인와이저 네트워크를 이용한 무인영상경비 서비스를 위한 통신프로토콜 구조 및 그 처리방법
US7590733B2 (en) * 2005-09-14 2009-09-15 Infoexpress, Inc. Dynamic address assignment for access control on DHCP networks
KR20080079436A (ko) * 2007-02-27 2008-09-01 삼성전자주식회사 화상형성장치 및 그 인쇄데이터 보안 생성방법
JP4810694B2 (ja) * 2007-07-18 2011-11-09 コニカミノルタビジネステクノロジーズ株式会社 画像形成装置、および画像形成装置におけるセキュリティ段階の設定方法
JP2009090471A (ja) * 2007-10-03 2009-04-30 Fuji Xerox Co Ltd 画像形成装置、画像形成システムおよびセキュリティプログラム
JP5560756B2 (ja) * 2010-02-12 2014-07-30 株式会社リコー 画像形成装置、機器管理システム、機器管理方法、プログラムおよび記録媒体
JP5845964B2 (ja) * 2012-02-22 2016-01-20 富士ゼロックス株式会社 通信装置及びプログラム
ES2552675B1 (es) * 2014-05-29 2016-10-10 Tecteco Security Systems, S.L. Método de enrutamiento con seguridad y autentificación a nivel de tramas
CN108227426B (zh) * 2018-01-26 2019-10-01 珠海奔图电子有限公司 安全可信的图像形成装置及其控制方法,成像系统及方法

Also Published As

Publication number Publication date
EP3935486A1 (en) 2022-01-12
US20220200958A1 (en) 2022-06-23
EP3935486A4 (en) 2022-12-07
WO2021107977A1 (en) 2021-06-03

Similar Documents

Publication Publication Date Title
US7890658B2 (en) Dynamic address assignment for access control on DHCP networks
US7725932B2 (en) Restricting communication service
US8239931B2 (en) Communication apparatus, a firewall control method, and a firewall control program
US8667574B2 (en) Assigning a network address for a virtual device to virtually extend the functionality of a network device
JP4812108B2 (ja) 通信装置及びその制御方法
WO2011065708A2 (ko) IPv6 주소 및 접속정책 관리 시스템 및 방법
JP7127718B2 (ja) ネットワーク機器、入出力装置、ネットワークシステム、プログラム
US20240064242A1 (en) Image processing apparatus, control method therefor, and medium
US20190097993A1 (en) Network device, information processing apparatus, authentication method, and recording medium
US20110276673A1 (en) Virtually extending the functionality of a network device
US20230179636A1 (en) Information processing apparatus, method for controlling the same, and storage medium
KR20210065513A (ko) 화상 형성 장치의 네트워크 보안 설정
JP2008010934A (ja) ゲートウェイ装置、通信制御方法、プログラム、およびプログラムを記録した記憶媒体
JP2004253843A (ja) 情報処理装置、情報処理装置の制御方法、および情報処理装置の制御プログラム
US20120170576A1 (en) Method and system having an application for a run time ipv6 only network
US10574837B2 (en) Information processing apparatus for data communication with external apparatus and control method for the same, and storage medium
US10834046B2 (en) Information processing apparatus with communication lines, control method therefor, and storage medium storing control program therefor
JP2017085273A (ja) 制御システム、制御装置、制御方法およびプログラム
JP2006287856A (ja) 制御装置及びシステム
JP2020155805A (ja) 情報処理装置、情報処理システムおよびプログラム
JP2003345552A (ja) ネットワーク機器の動作モード制御方法および装置、ネットワーク機器、プログラム、記憶媒体
JP7396411B2 (ja) ネットワーク機器、入出力装置、ネットワークシステム、プログラム、方法
JP2019192088A (ja) 情報処理装置、その制御方法、及びプログラム
US20240020069A1 (en) Information processing system, information processing apparatus, and control method for information processing system
KR20230174930A (ko) 리눅스 커널 기반 네트워크 접근제어 센서를 이용한 단말 통제 방법 및 장치