JP4461677B2 - 通信端末及び通信プログラム - Google Patents
通信端末及び通信プログラム Download PDFInfo
- Publication number
- JP4461677B2 JP4461677B2 JP2002367357A JP2002367357A JP4461677B2 JP 4461677 B2 JP4461677 B2 JP 4461677B2 JP 2002367357 A JP2002367357 A JP 2002367357A JP 2002367357 A JP2002367357 A JP 2002367357A JP 4461677 B2 JP4461677 B2 JP 4461677B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- secure communication
- secure
- address
- connection destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000006854 communication Effects 0.000 title claims description 281
- 238000004891 communication Methods 0.000 title claims description 274
- 238000000034 method Methods 0.000 claims description 34
- 230000005540 biological transmission Effects 0.000 description 21
- 238000012545 processing Methods 0.000 description 18
- 238000012546 transfer Methods 0.000 description 8
- 102100021699 Eukaryotic translation initiation factor 3 subunit B Human genes 0.000 description 7
- 101000896557 Homo sapiens Eukaryotic translation initiation factor 3 subunit B Proteins 0.000 description 7
- 238000007639 printing Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 230000015556 catabolic process Effects 0.000 description 3
- 238000006731 degradation reaction Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 101100328887 Caenorhabditis elegans col-34 gene Proteins 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000006866 deterioration Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 101150062870 ssl3 gene Proteins 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Landscapes
- Facsimile Transmission Control (AREA)
- Communication Control (AREA)
- Computer And Data Communications (AREA)
Description
【発明の属する技術分野】
本発明は、通信端末、特にネットワークインタフェースや通信インタフェースを装着し、他の装置とのセキュア通信可能な通信端末に関するものである。
【0002】
【従来の技術】
近年、企業内のネットワーク環境において、インターネットの基盤を利用してイントラネットを構築するためにIP−VPN(Virtual Private Network)の技術が使われている。
【0003】
IP−VPNではネットワーク層でのセキュリティ機能であるIPSec(詳細はRFC2401,2402等を参照。)の使用が主流となっている。インターネット環境においても、次世代のインターネットプロトコルであるIPv6(Internet Protocol Version6。詳細はRFC2460等を参照。)では仕様上はIPSecのサポートが必須となっている。
【0004】
しかし、CPUパワーの小さい組込み機器でIPSecなどのセキュリティ機能を使用すると伝送性能の劣化が生じるという課題があり、IPv6最小要求仕様(http://www.tahi.org/lcna/docs/IPv6-min-spec-ver42.htmなどを参照。)も議論されている。
【0005】
一方、インターネット上のショッピングサイトなどでは、セッション層でのSSL(Security Socket Layer 。http://wp.netscape.com/eng/ssl3/などを参照。)など上位層でのセキュリティ機能が、一般的に使われている現状がある。
【0006】
インターネット上では上位プロトコルとしては、HTTP(Hyper Text Transfer Protocol。詳細はRFC2616などを参照。)が一般的に使われており、図11にはIPv6(+IPSec)ネットワーク上でSSLを使ったHTTP通信する場合のプロトコルレイヤ構造を示す。
【0007】
組込み機器でも、ネットワークスキャナやネットワークプリンタなど、ネットワークインタフェースを装着しているものが多く、HTTPやファイル転送プロトコルであるFTP(File Transfer Protocol。詳細はRFC959を参照。)など、汎用的なネットワークプロトコルを制御プロトコルとして利用することが可能となっている。
【0008】
【発明が解決しようとする課題】
しかしながら、従来の技術では、IPSecやSSLなどセキュア通信するための技術の使い分けが最適にされていないという問題点がある。
【0009】
例えば、図7に示したように、IPSecのサポートが必須であるIPv6を使ったインターネット上のショッピングサイトにおいては、SSLとのIPSecが重複して使用されるため、性能劣化が発生するという問題点がある。本問題点は組込み機器間の通信においても同じである。
【0010】
本発明は、上記の点を鑑みてなされたものであり、ユーザの手を煩わすことなく、上位レイヤでのセキュリティ機能や下位レイヤでのセキュリティ機能と言った複数のセキュリティ機能(セキュア通信手段)を適切に使い分けることが可能な通信端末を提供することを目的とする。
【0011】
【課題を解決するための手段】
上記目的を達成するために、本発明に係る通信端末は、レイヤの異なる複数のセキュア通信手段と、接続先相手となり得る装置のアドレスごとに予め定められた、当該アドレスの装置との間の通信において選択可能なセキュア通信手段の優先順位を参照し、接続先相手から受信した通信データに含まれる当該接続先相手のアドレスについて予め定められた前記優先順位に基づいて、いずれのレイヤのセキュア通信手段を用いるかを選択する選択手段とを含み、前記選択されたレイヤのセキュア通信手段を用いたセキュア通信により前記接続先相手からの通信データを受信し、選択されなかったレイヤのセキュア通信手段によって前記接続先相手が送信した通信データを受信した場合に、前記選択されなかったレイヤのセキュア通信手段を用いたセキュア通信を拒否する旨を前記接続先相手に通知することで、前記選択されなかったレイヤのセキュア通信手段を用いたセキュア通信を前記接続先相手と行わないようにする。
【0012】
このように構成された本発明によれば、選択手段が、通信データに含まれる接続先相手のアドレスに応じて、レイヤの異なる複数のセキュア通信手段から使用するレイヤのセキュア通信手段を選択する。そして、通信端末は、選択されたセキュア通信手段を用いて、接続先相手からの通信データを受信する。
【0013】
よって、ユーザの手を煩わすことなく、例えば、上位レイヤのセキュア通信手段と、下位レイヤのセキュア通信手段とを適切に使い分けることが可能になる。
【0014】
また、複数のセキュア通信手段の重複使用(例えば、上位レイヤでのセキュア通信手段と下位レイヤでのセキュア通信手段の重複使用)による性能劣化も防止することが可能となる。
【0015】
好適な態様において、本発明に係る通信端末は、接続先相手となり得る装置のアドレスと選択可能なセキュア通信手段との対応付けを更新する更新手段を備えている。
【0016】
このように構成された本発明によれば、更新手段が、接続先相手となり得る装置のアドレスと選択手段が選択可能なセキュア通信手段との対応付けを更新する。
【0017】
したがって、新たに接続先相手が増加したり、既存の接続先相手の設定が変更しても、通信データの内容に応じて選択されるセキュア通信手段を適宜更新することができるため、柔軟に対応することが可能になる。
【0018】
さらに、本発明に係る通信端末の選択手段は、接続先相手から受信した通信データに含まれる当該接続先相手のアドレスについて予め定められた優先順位に基づいて、いずれのレイヤのセキュア通信手段を用いるかを選択する。
【0019】
このように構成された通信端末によれば、選択手段が、接続先相手から受信した通信データに含まれる当該接続先相手のアドレスについて予め定められた優先順位に基づいて、適切な通信手段を選択できる。
【0020】
よって、選択可能なセキュア通信手段が複数存在しても、ユーザの手を煩わすことなく、適切にセキュア通信手段を選択し、通信することができる。
【0021】
さらに、本発明に係る通信端末は、選択手段によるセキュア通信手段の選択において参照される優先順位を変更する優先順位変更手段を備えることを特徴とする。
【0022】
このように構成された通信端末によれば、優先順位変更手段によって、通信手段を選択する際の優先順位を適宜変更することができるため、臨機応変に使用するセキュア通信手段を切り替えることができる。
【0023】
また、選択手段がセキュア通信手段を選択する際に、通信データに含まれる接続先相手のアドレスを利用する。
【0024】
このように構成された通信端末によれば、選択手段が、接続先のアドレスを元に、適切なセキュア通信手段を選択する。よって、接続先アドレスごとに適切なセキュア通信が可能になる。
【0027】
また、具体的には、本発明に係る通信端末のセキュア通信手段の一つは、IPSecプロトコルである。
【0028】
このように構成された通信端末によれば、適切にIPSecを利用したセキュア通信が可能になる。
【0029】
さらに、本発明に係る通信端末のセキュア通信手段の一つは、SSLプロトコルである。
【0030】
このように構成された通信端末によれば、適切にSSLを利用したセキュア通信が可能になる。
【0031】
加えて、本発明に係る通信端末のセキュア通信手段の一つは、TLSプロトコルである。
【0032】
このように構成された通信端末によれば、適切にTLSを利用したセキュア通信が可能になる。
【0033】
また、本発明に係る通信端末のセキュア通信手段の一つは、SSHプロトコルである。
【0034】
このように構成された通信端末によれば、適切にSSHを利用したセキュア通信が可能になる。
【0035】
さらに、上記課題を解決するために、本発明に係る通信方法は、接続先相手とセキュアな通信をするための複数のセキュア通信工程と、通信データの内容に基づいて、前記セキュア通信手段を選択する選択工程とを含み、選択されたセキュア通信工程により、接続先相手とセキュア通信を行う。
【0036】
このような本発明の通信方法によれば、選択工程が、通信データの内容に応じて、複数のセキュア通信工程から使用するセキュア通信工程を選択する。そして、通信端末は、選択されたセキュア通信工程を用いて、接続先相手とセキュア通信を行う。
【0037】
よって、ユーザの手を煩わすことなく、例えば、上位レイヤでのセキュア通信に使用するSSLと、下位レイヤでのセキュア通信に使用するIPSecを適切に使い分けることが可能になる。
【0038】
また、複数のセキュア通信を重複使用することによる性能劣化も防止することが可能となる。
【0039】
さらに、本発明に係る通信端末の好適な態様では、前記優先順位は、より下位のレイヤのセキュア通信手段が優先されることを表すことを特徴とする。
【0040】
このように構成することで、選択手段は、下位レイヤのセキュア通信手段を優先して選択する。
【0041】
加えて、上記課題を解決するために、本発明に係る通信プログラムは、レイヤの異なる複数のセキュア通信手段を利用可能なコンピュータに、接続先相手となり得る装置のアドレスごとに予め定められた、当該アドレスの装置との間の通信において選択可能なセキュア通信手段の優先順位を参照し、接続先端末から受信した通信データに含まれる当該接続先相手のアドレスについて予め定められた優先順位に基づいて、いずれのレイヤのセキュア通信手段を用いるかを選択する選択工程と、前記選択されたレイヤのセキュア通信手段を用いたセキュア通信により前記接続先端末からの通信データを受信し、選択されなかったレイヤのセキュア通信手段によって前記接続先相手が送信した通信データを受信した場合に、前記選択されなかったレイヤのセキュア通信手段を用いたセキュア通信を拒否する旨を前記接続先相手に通知することで、前記選択されなかったレイヤのセキュア通信手段を用いたセキュア通信を前記接続先端末と行わないようにする、通信工程と、を実行させる。
【0042】
このような本発明の通信プログラムによれば、選択工程が、接続先端末から受信した通信データに含まれる当該接続先相手のアドレスに応じて、レイヤの異なる複数のセキュア通信手段から使用するレイヤのセキュア通信手段を選択するようにプログラムされている。そして、通信端末が、選択されたセキュア通信手段を用いたセキュア通信により接続先相手からの通信データを受信するようプログラムされている。
【0043】
【発明の実施の形態】
以下、本発明の第一の実施の形態(以下実施形態1という)を、図面に従って説明する。
【0044】
実施形態1のシステム構成例を図1に示し、構成図を図2に示す。実施形態1では、通信端末として画像生成機能を有するスキャナモジュール1を、接続先相手として画像処理機能を有するプリンタモジュール21を用いる。なお、図2のスキャナモジュール1は図1のSCに対応し、図2のプリンタモジュール21は図1のPRT1に対応する。
【0045】
スキャナモジュール1では、スキャナ部9で入力された画像の画像データを生成し、ネットワークインタフェース13を経由して外部へ送信する。
【0046】
CPU2はシステムバス8を介してシステム全体の制御を行う。ROM3はCPU2の制御プログラムを格納するものである。
【0047】
ROM3に格納されている制御プログラムは、本画像生成装置が、スキャナ部9で入力された画像データを処理したり、ネットワークインタフェース13を介して外部へデータを送信したりするためのものである。
【0048】
RAM4はSRAM等で構成され、プログラム制御変数や各種処理のためのデータ等を格納するためのものである。ハードディスク5は、制御プログラムによる各種処理のためのデータを格納したり、画像データなどを格納したりするためのものである。
【0049】
制御部6は、スキャナ部9と制御データの授受を行ったり、画像データを送信先へ送信するなどの制御を行うためのものである。
【0050】
また実施形態1において、通信部12は、セキュア通信手段として、SSLとIPSecを備える。通信制御部7は、通信部12に備えられているセキュア通信手段の中から適切なセキュア通信手段を選択する選択手段を備え、セキュア通信に関する制御など、通信部12の制御を行う。
【0051】
さらに、通信部12は、ネットワークインタフェース13を介して外部へデータを送信する。ネットワークインタフェース13は、外部装置と通信を行うためのものである。実施形態1ではEthernet(登録商標)とする。
【0052】
スキャナ部9は、原稿を読取って、画像データを入力するためのものである。操作表示パネル10は、スキャンの設定を行う画面を表示したり、スキャン指示を行ったり、画像の送信先を指定したりするためのものである。
【0053】
システム時計11は、時計用チップにより構成され時刻情報(年月日、時分秒)をCPUに提供する。システム時計11は、システム電源断時や停電時等に時刻情報が消滅しないようバックアップ用電池を備え、常に現時点の時刻を保持している。
【0054】
次に図3に従い、実施形態1におけるスキャナモジュール1の処理フローを説明する。
【0055】
まず最初にステップS1において、画像を読取る原稿を置き、スキャナ装置のスタートボタンを押して、スキャナ装置に原稿を読取らせ画像データを入力する。次にステップS2において、送信先装置を指定する。
【0056】
ここでは操作表示パネル上から、PRT1に送信するのであればPRT1のIPv6アドレスfe80::2b0:d0ff:fede:1aff を指定する。
【0057】
次にステップS3において、送信先装置とのソケットレベル及びTCPレベルでの接続処理を行う。
【0058】
具体的にソケットレベルでの接続は、アプリケーション上はソケットのAPIであるconnect()などを実行することで行う。
【0059】
ここでは、PRT1のアドレスに対して、SSLを用いた接続APIであるSSL_connect()を実行する。
【0060】
図6には、セキュア通信の制御をするために用いるコネクション管理テーブルを示す。このコネクション管理テーブルは、通信制御部7の選択手段が、どのセキュア通信手段を選択するかを決める際に利用される。
【0061】
図6のIDは識別子、IPv4/v6はIPv4かIPv6のどちらのIPプロトコルを用いるコネクションかを示し、SSLはSSLを用いたセッションのためのコネクションかを示し、IPアドレスとポート番号は各々のコネクションのIPアドレスとポート番号を示す。
【0062】
connect()やSSL_connect()では接続処理開始時に、通信制御部7の更新手段が、図6のテーブルにエントリを追加するものとする。SSL_connect()を使用したときは図6のSSLをTRUEにする。
【0063】
次にステップS4において、通信制御部7の選択手段が、SSLによる接続かを確認する。SSLによる接続かの確認の処理については後述する。
【0064】
ステップS4が終了し、SSLによる接続である場合にはステップS5を実行し、SSLによる接続でない場合には、IPSecによる通信可能かを確認する。IPSecによる通信可能かの確認の処理については後述する。
【0065】
ステップS6が終了し、IPSecによる通信が可能な場合は、ステップS7を実行し、IPSecによる通信が可能でない場合はステップS5を実行する。
【0066】
ステップS5では、IPSecを使わずにIPレベルでは通常のIP通信で、送信先装置へ画像データを送信する。ステップS7では、IPSecによりIPレベルではセキュアなIP通信で、送信先装置へ画像データを送信する。
【0067】
ここで図4に、通信制御部7の選択手段におけるSSLによる接続かの確認処理の流れについて示す。先ず図4のステップS21では、上位のTCPレベルから渡されるTCPヘッダから送信先のIPアドレスとポート番号を取得する。ここでは、IPアドレスはPRT1のアドレスfe80::2b0:d0ff:fede:2aff、ポート番号は8881が取得できたとする。
【0068】
次にステップS22では、図6に示したコネクション管理テーブル上に、該当するIPアドレスとポート番号のエントリを検索する。
【0069】
エントリが存在すればステップS23に進み、存在しなければステップS24に進む。ここではID=2に該当するエントリが存在する。
【0070】
次にステップS23では、該当するエントリがSSL通信かを確認する。該当するエントリがSSL通信の為のコネクションであればステップS25に進み、SSL通信の為のコネクションでなければステップS24に進む。
【0071】
ここでは、ID=2のエントリで、SSLがTRUEになっているので、SSL通信の為のコネクションである。
【0072】
次にステップS24ではSSL接続でないことを出力して終了する。ステップS25ではSSL接続であることを出力して終了する。ここではSSL接続であることを出力して終了する。
【0073】
ここで図5に、通信制御部7の選択手段におけるIPSecによる通信可能かの確認処理の流れについて示す。また、図7にセキュア通信手段を選択する際に用いるアドレス管理テーブルを示す。このアドレス管理テーブルも、コネクション管理テーブルと同様に、通信制御部7の選択手段がどのセキュア通信手段を選択するかを決める際に利用される。
【0074】
例えば、アドレス管理テーブルはアドレス解決処理に使われるアドレス解決テーブルを拡張したものである。
【0075】
図7のIDは識別子、IPv4/v6はIPv4かIPv6のどちらのIPプロトコルかを示し、IPSecはIPSecを用いた通信が可能かを示し、IPアドレスとMACアドレスはIPアドレスと対応するMACアドレスを示す。
【0076】
これにより該当するIPアドレスとの通信でIPSecによる通信が可能かを管理することができる。アドレス管理テーブルは動的なアドレス解決テーブルとは別に静的なテーブルとして存在しても構わない。
【0077】
先ず図7のステップS31では、送信先装置のIPアドレスを入力する。ここでは、IPアドレスはPRT1のアドレスfe80::2b0:d0ff:fede:1affが入力される。
【0078】
次にステップS32では、図7に示したアドレス管理テーブル上に、該当するIPアドレスのエントリを検索します。エントリが存在すればステップS33に進み、存在しなければステップS34に進む。ここではID=6に該当するエントリが存在する。
【0079】
次にステップS33では、該当するエントリがIPSec通信可能かを確認する。該当するエントリがIPSec通信が可能な場合はステップS35に進み、IPSec通信が可能でない場合はステップS34に進む。ここでは、ID=6のエントリで、IPSecがTRUEになっているので、IPSec通信が可能である。
【0080】
次にステップS34ではIPSec通信可能でないことを出力して終了する。ステップS35ではIPSec通信可能であることを出力して終了する。ここではIPSec通信可能であることを出力して終了する。
【0081】
このように実施形態1によれば、通信制御部7の選択手段が、コネクション管理テーブルやアドレス管理テーブルに基づいて、セキュア通信手段として備えられているSSL通信かIPSec通信かを選択して、セキュア通信を行う。
【0082】
よって、ユーザの手を煩わすことなく、上位レイヤでのセキュア通信手段であるSSLと、下位レイヤでのセキュア通信手段であるIPSecを適切に使い分けることが可能になる。
【0083】
実施形態1では、スキャナから画像送信をするために画像送信先のプリンタと接続する際の接続処理の中で、SSLとIPSecを使い分け、SSLをIPSecよりも優先させて使用している例を示した。
【0084】
これは従来例の図11に対しては図12のようにしたということである。一方図11に対して図13のようにするように、IPSecをSSLよりも優先して使用させてもよい。
【0085】
IPSecをSSLよりも優先させる場合は、アドレス管理テーブルを先に確認し、送信先IPアドレスがIPSecで通信可能な場合は、SSL通信することはできないので、SSL_connect()をエラー終了させるか、自動的にconnect()にリダイレクトするなどしてIPSecのみでセキュア通信するようにすればよい。
【0086】
また、実施形態1では、接続先のアドレスを元にセキュア通信手段の選択を行っているが、選択の基準として、使用するアプリケーションごとにセキュア通信手段を選択しても良い。この場合、接続先のポート番号を元に判断する。
【0087】
IPSecをSSLよりも優先させる場合の具体的な処理の流れについては図8に示す。
【0088】
図8のステップS51からステップS54までは、図3のステップS1からS4までと同様である。図3と異なりステップS54が終了したらステップS55に進む。ステップS55については図3のステップ6と同様である。
【0089】
ステップS55が終了したら、SSL接続でIPSec通信可能である場合はステップS58に進み、SSL接続でIPSec通信可能でない場合はステップS56に進み、SSL接続ではなくIPSec通信可能である場合はステップS57に進み、SSL接続ではなくIPSec通信可能でない場合はステップS56に進む。
【0090】
ステップS56とステップS57は、それぞれ図3のステップS5とステップS7と同様である。ステップS58ではIPSecが優先でありながらSSL接続であるので、SSL接続をエラーとするか、通常のソケット接続にリダイレクトしてIPSecで送信するのである。
【0091】
また、実施形態1において、上位レイヤでのセキュア通信手段としてSSLを使用しているがTLSなどの他のセキュア通信手段を用いて実現してもよい。下位レイヤでのセキュア通信手段についてもIPSec以外のセキュア通信手段を用いて実現してもよい。
【0092】
また、実施形態1において、スキャナ部とプリンタ部間にEthernet(登録商標)を用いているが、TokenRingやシリアルインタフェースやパラレルインタフェース、IEEE1394などの他のインタフェースを用いて実現してもよい。
【0093】
続いて、本発明の第2の実施の形態(以下、実施形態2)について説明する。
【0094】
実施形態2の構成図は実施形態1と同様に図2に示し、システム構成例も図1に示す。
【0095】
システムとしては、実施形態1と同様に画像生成機能を有するスキャナモジュール1と画像処理機能を有するプリンタモジュール21で構成されている。
【0096】
図2のスキャナモジュール1は図1のSCに対応し、図2のプリンタモジュール21は図1のPRT1に対応する。
【0097】
プリンタモジュール21では、ネットワークインタフェース34を経由して外部から受信した画像データを印刷部29で印刷したり、ネットワークインタフェース34を介して外部へ転送する。
【0098】
CPU22はシステムバス28を介してシステム全体の制御を行う。ROM23はCPU22の制御プログラムを格納するものである。
【0099】
ROM23に格納されている制御プログラムは、プリンタモジュール21が、ネットワークインタフェース34を介して外部から画像データを受信したり、受信した画像データを印刷部29で印刷したり、ネットワークインタフェース34を介して転送したりするためのものであるとする。
【0100】
RAM24はSRAM等で構成され、プログラム制御変数や各種処理のためのデータ等を格納するためのものである。ハードディスク25は、制御プログラムによる各種処理のためのデータを格納したり、画像データなどを格納したりするためのものである。
【0101】
制御部26は、印刷部29と制御データの授受を行ったり、画像データを転送するなどの転送部32の制御を行うためのものである。通信制御部27は、セキュア通信の制御などの通信部33の制御を行うためのものである。印刷部29は、受信された画像データを印刷するためのものである。
【0102】
操作表示パネル30は、印刷の設定を行う画面を表示したり、設定変更の指示を行ったり、画像の転送先を指定したりするためのものである。
【0103】
システム時計31は、時計用チップにより構成され時刻情報(年月日、時分秒)をCPUに提供する。システム時計31は、システム電源断時や停電時等に時刻情報が消滅しないようバックアップ用電池を備え、常に現時点の時刻を保持している。
【0104】
転送部32は、ネットワークインタフェースを介して外部へ画像データを転送するためのものである。通信部33は、通信インタフェースを介して外部から画像データを受信するためのものである。ネットワークインタフェース34は、ネットワーク上の外部装置と通信するためのである。実施形態2ではEthernet(登録商標)とする。
【0105】
次に図9に従い、実施形態2におけるプリンタモジュールの処理フローを説明する。
【0106】
まず最初にステップS61において、送信元装置からデータ受信を開始する。ここでは送信元装置であるスキャナからの接続要求を含むデータを受信する。
【0107】
次にステップS62において、通信制御部27の選択手段が、受信したデータから送信元装置がIPSec通信してくるかを確認し、更新手段がアドレス管理テーブルにエントリを追加する。
【0108】
ここでは、通信制御部27の選択手段が、IPレベルで、送信元装置から受信したデータにIPSec通信を示すオプションヘッダが存在すればIPSec通信であると判断し、IPヘッダの内容から送信元装置のアドレスを取得して、更新手段がアドレス管理テーブルにエントリを追加する。
【0109】
ここでは送信元装置はスキャナモジュール1なので、IPSec通信で、IPアドレスは、IPv6のfe80::2b0:d0ff:fede:1afdとする。
【0110】
アドレス管理テーブルは実施形態1で説明した図7と同様であり、ここではID=1が追加されたエントリである。
【0111】
次にステップS63において、通信制御部27の選択手段が、受信したデータから送信元がSSL接続してくるかを確認し、コネクション管理テーブルにエントリを追加する。
【0112】
ここでは、ソケットレベルで、SSLプロトコルの接続メッセージを受信するかどうかで送信元がSSL接続してくるかを確認する。
【0113】
ここでは送信元のIPアドレスは、IPv6のfe80::2b0:d0ff:fede:1afd でポート番号は8887とし、SSL接続してこないものとする。
【0114】
コネクション管理テーブルは実施形態1の図6と同様であり、追加されるエントリは、ID=7のエントリである。次にステップS64において、IPSecによる通信かを確認する。これは図3のステップS6と同様にアドレス管理テーブルから確認をする。
【0115】
IPSecによる通信の場合はステップS65に進み、IPSecによる通信でない場合はステップS66に進む。
【0116】
次にステップS65では、SSLによる接続かを確認する。これは図3のステップS4と同様にコネクション管理テーブルから確認をする。
【0117】
SSLによる接続の場合はステップS68に進み、SSLによる接続でない場合はステップS67に進む。次にステップS66ではIPレベルでは、IPSecを使わずに通常のIP通信で送信元装置から画像データを受信する。勿論ソケットレベルではSSL通信されているかもしれない。
【0118】
次にステップS67では、IPSecによりIPレベルではセキュアなIP通信として、送信元装置から画像データを受信する。ここではSSL通信は行われない。
【0119】
次にステップS68では、IPSec通信であるにも関わらずSSLによる接続も要求しているので、SSL接続を拒否するように送信先装置へ通常のSSLプロトコルでの接続拒否により応答する。ここではIPSec通信がSSL接続よりも優先されているのである。次にステップS69では、送信元装置から受信した画像データを印刷する。
【0120】
このように実施形態2によれば、通信制御部27の選択手段が、コネクション管理テーブルやアドレス管理テーブルに基づいて、セキュア通信手段として備えられているSSL通信かIPSec通信かを選択して、セキュア通信を行う。
【0121】
よって、ユーザの手を煩わすことなく、下位レイヤでのセキュア通信手段であるIPSecを、上位レイヤでのセキュア通信手段であるSSLよりも優先させて使い分けることが可能になる。
【0122】
具体的には実施形態2では、画像送信元のスキャナと接続する際の接続処理の中で、SSLとIPSecを使い分け、IPSecよりもSSLを優先させて使用している例を示した。
【0123】
また、実施形態2では、IPSecよりもSSLを優先させる例を示したが、通信制御部27の選択手段は、プロトコルを優先させるかを管理するための優先プロトコル管理テーブルを用いて、どのプロトコルを優先させるかを決定してもよい。
【0124】
図10に優先プロトコル管理テーブルの例を示す。図10のIDは識別子、IPv4/v6はIPv4かIPv6のどちらのIPプロトコルかを示し、SSLはSSLの優先度を表し、IPSecはIPSecの優先度を表し、IPアドレスは該当するIPアドレスを示す。
【0125】
優先度については、数字が大きい方が優先度が高いことを示し、0はそのプロトコルが使用できないことを示す。例えばID=1の場合は、IPSecの優先度2に対してSSLの優先度が1なので、実施形態2のように下位レイヤであるIPSecが上位レイヤであるSSLに優先することになる。
【0126】
この優先プロトコル管理テーブルは、通信制御部7の優先順位変更手段を介し、UI(ユーザ・インターフェイス)などで機器の管理者が設定できるようにしてもよい。また、装置管理者またはクライアントが他の装置から指示することによりネットを介して設定できるようにしてもよい。このように各プロトコルの優先度を変更することで、特定のIPアドレスに対して、下位レイヤでのセキュア通信から上位レイヤへのセキュア通信へ切替えることも可能となる。
【0127】
【発明の効果】
本発明による通信端末は、選択手段が、通信データの内容に応じて、例えば、コネクション管理テーブルやアドレス管理テーブルを用いて、複数のセキュア通信手段から使用するセキュア通信手段を選択し、セキュア通信を行う。
【0128】
よって、ユーザの手を煩わすことなく、例えば、上位レイヤでのセキュア通信手段であるSSLと、下位レイヤでのセキュア通信手段であるIPSecを適切に使い分けることが可能になる。
【0129】
また、CPUパワーの小さい組み込み機器で、複数のセキュア通信手段を重複使用(例えば、上位レイヤでのセキュア通信手段と下位レイヤでのセキュア通信手段の重複使用)した場合に生じるおそれのある性能劣化も防止することが可能となる。
【図面の簡単な説明】
【図1】 本発明の実施形態1におけるシステム構成例である。
【図2】 本発明の実施形態1における構成図である。
【図3】 本発明の実施形態1におけるスキャナモジュールの処理フロー図である。
【図4】 本発明の実施形態1におけるSSL接続かの確認処理の流れである。
【図5】 本発明の実施形態1におけるIPSec通信可能かの確認処理の流れである。
【図6】 本発明の実施形態1におけるコネクション管理テーブルである。
【図7】 本発明の実施形態1におけるアドレス管理テーブルである。
【図8】 本発明の実施形態1におけるIPSecを優先させた場合のスキャナモジュールの処理フロー図である。
【図9】 本発明の実施形態2におけるプリンタモジュールの処理フロー図である。
【図10】 本発明の第2の実施例における優先プロトコル管理テーブルである。
【図11】 SSLとIPSecが重複使用されているHTTP通信におけるレイヤ構造である。
【図12】 SSLのみが使用されているHTTP通信におけるレイヤ構造である。
【図13】 IPSecのみが使用されているHTTP通信におけるレイヤ構造である。
【符号の説明】
1 スキャナモジュール、2 CPU、3 ROM、4 RAM、5 ハードディスク、6 制御部、7 通信制御部、8 システムバス、9 スキャナ部、10 操作表示パネル、11 システム時計、12 通信部、13 ネットワークインタフェース、21 プリンタモジュール、22 CPU、23 ROM、24 RAM、25 ハードディスク、26 制御部、27 通信制御部、28システムバス、29 印刷部、30 操作表示パネル、31 システム時計、32 転送部、33 通信部、34 ネットワークインタフェース。
Claims (9)
- レイヤの異なる複数のセキュア通信手段と、
接続先相手となり得る装置のアドレスごとに予め定められた、当該アドレスの装置との間の通信において選択可能なセキュア通信手段の優先順位を参照し、接続先相手から受信した通信データに含まれる当該接続先相手のアドレスについて予め定められた前記優先順位に基づいて、いずれのレイヤのセキュア通信手段を用いるかを選択する選択手段と、
を含み、
前記選択されたレイヤのセキュア通信手段を用いたセキュア通信により前記接続先相手からの通信データを受信し、選択されなかったレイヤのセキュア通信手段によって前記接続先相手が送信した通信データを受信した場合に、前記選択されなかったレイヤのセキュア通信手段を用いたセキュア通信を拒否する旨を前記接続先相手に通知することで、前記選択されなかったレイヤのセキュア通信手段を用いたセキュア通信を前記接続先相手と行わないようにする、ことを特徴とする通信端末。 - 請求項1に記載の通信端末において、
前記接続先相手となり得る装置のアドレスと前記選択可能なセキュア通信手段との対応付けを更新する更新手段を備えていることを特徴とする通信端末。 - 請求項1または2に記載の通信端末において、
前記選択手段によるセキュア通信手段の選択において参照される優先順位を変更する優先順位変更手段を備えていることを特徴とする通信端末。 - 請求項1乃至3のいずれか一つに記載の通信端末において、
前記セキュア通信手段の一つは、IPSecプロトコルを用いてセキュア通信する手段であることを特徴とする通信端末。 - 請求項1乃至4のいずれか一つに記載の通信端末において、
前記セキュア通信手段の一つは、SSLプロトコルを用いてセキュア通信する手段であることを特徴とする通信端末。 - 請求項1乃至5のいずれか一つに記載の通信端末において、
前記セキュア通信手段の一つは、TLSプロトコルを用いてセキュア通信する手段であることを特徴とする通信端末。 - 請求項1乃至6のいずれか一つに記載の通信端末において、
前記セキュア通信手段の一つは、SSHプロトコルを用いてセキュア通信する手段であることを特徴とする通信端末。 - 請求項1乃至7のいずれか一つに記載の通信端末において、
前記優先順位は、より下位のレイヤのセキュア通信手段を優先する順位であることを特徴とする通信端末。 - レイヤの異なる複数のセキュア通信手段を利用可能なコンピュータに、
接続先相手となり得る装置のアドレスごとに予め定められた、当該アドレスの装置との間の通信において選択可能なセキュア通信手段の優先順位を参照し、接続先端末から受信した通信データに含まれる当該接続先相手のアドレスについて予め定められた前記優先順位に基づいて、いずれのレイヤのセキュア通信手段を用いるかを選択する選択工程と、
前記選択されたレイヤのセキュア通信手段を用いたセキュア通信により前記接続先端末からの通信データを受信し、選択されなかったレイヤのセキュア通信手段によって前記接続先相手が送信した通信データを受信した場合に、前記選択されなかったレイヤのセキュア通信手段を用いたセキュア通信を拒否する旨を前記接続先相手に通知することで、前記選択されなかったレイヤのセキュア通信手段を用いたセキュア通信を前記接続先端末と行わないようにする、通信工程と、を実行させる通信プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002367357A JP4461677B2 (ja) | 2002-12-18 | 2002-12-18 | 通信端末及び通信プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002367357A JP4461677B2 (ja) | 2002-12-18 | 2002-12-18 | 通信端末及び通信プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004199414A JP2004199414A (ja) | 2004-07-15 |
| JP4461677B2 true JP4461677B2 (ja) | 2010-05-12 |
Family
ID=32764281
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002367357A Expired - Fee Related JP4461677B2 (ja) | 2002-12-18 | 2002-12-18 | 通信端末及び通信プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4461677B2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007251568A (ja) * | 2006-03-15 | 2007-09-27 | Ricoh Co Ltd | ネットワーク機器 |
| JP5084222B2 (ja) * | 2006-10-16 | 2012-11-28 | キヤノン株式会社 | セキュリティプロトコル制御装置及びセキュリティプロトコル制御方法 |
| US10116580B2 (en) | 2008-06-27 | 2018-10-30 | Microsoft Technology Licensing, Llc | Seamless location aware network connectivity |
| JP5600407B2 (ja) * | 2008-10-10 | 2014-10-01 | キヤノン株式会社 | 通信装置、通信装置の制御方法及びコンピュータプログラム |
| JP6039046B2 (ja) * | 2015-12-10 | 2016-12-07 | 日立マクセル株式会社 | コンテンツ送信装置 |
-
2002
- 2002-12-18 JP JP2002367357A patent/JP4461677B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004199414A (ja) | 2004-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8949382B2 (en) | Systems, devices, and methods for network wizards | |
| TW412685B (en) | System and method for managing client requests in client-server networks | |
| JP3782981B2 (ja) | セッション中継システム、クライアント端末、セッション中継方法、リモートアクセス方法、セッション中継プログラム及びクライアントプログラム | |
| US20090144817A1 (en) | Techniques for high availability of virtual private networks (vpn's) | |
| US7684395B2 (en) | Communication device and communication method therefor | |
| EP1064757A2 (en) | Remote computer communication | |
| JP2010256989A (ja) | 通信装置および遠隔操作システム | |
| JP2003298635A (ja) | ソースアドレス選択システム、ルータ装置、通信ノード及びソースアドレス選択方法 | |
| JP2008148046A (ja) | 中継サーバおよび中継通信システム | |
| EP1150471A2 (en) | Method and system for recommending an available network protocol | |
| US10367894B2 (en) | Information processing apparatus, method for controlling the same, non-transitory computer-readable storage medium, and information processing system | |
| JP4461677B2 (ja) | 通信端末及び通信プログラム | |
| JP2006135645A (ja) | 異なる通信プロトコルが併存するネットワークにおけるネットワーク接続手段の一元管理システム及び方法 | |
| US8478869B2 (en) | Information processing device and program | |
| JP5621639B2 (ja) | 中継サーバ及び中継通信システム | |
| JP6464768B2 (ja) | 応答装置及びプログラム | |
| JP2009199281A (ja) | データ送信装置 | |
| EP4300908A1 (en) | Base station management system and method | |
| JP2003316666A (ja) | スタックのセッション数検証方法、コンピュータに実行させるためのスタックのセッション数検証プログラム、コンピュータに実行させるためのスタックのセッション数検証プログラムを記録したコンピュータ読み取り可能な記録媒体、スタックのセッション数検証システム | |
| WO2024024280A1 (ja) | 通信処理装置および通信方法 | |
| JP2004201039A (ja) | 通信端末、方法および通信プログラム | |
| EP1684481B1 (en) | System and Method for selecting an active connection | |
| JP5034110B2 (ja) | 電子会議システム、通信端末、データ通信方法およびプログラム | |
| CN102469158B (zh) | 图像处理装置及用于其的控制方法 | |
| JP2004104559A (ja) | 通信ネットワークシステム、サービス処理制御方法、プロバイダサーバおよびサービス処理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051124 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080715 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080912 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090728 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090925 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100126 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100208 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130226 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4461677 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130226 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140226 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |