JP4682020B2 - Equipment with data communication function - Google Patents
Equipment with data communication function Download PDFInfo
- Publication number
- JP4682020B2 JP4682020B2 JP2005327801A JP2005327801A JP4682020B2 JP 4682020 B2 JP4682020 B2 JP 4682020B2 JP 2005327801 A JP2005327801 A JP 2005327801A JP 2005327801 A JP2005327801 A JP 2005327801A JP 4682020 B2 JP4682020 B2 JP 4682020B2
- Authority
- JP
- Japan
- Prior art keywords
- setting
- ipsec
- communication
- unit
- communication function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、IPsec(Internet Protocol security)等のデータ通信機能を有する機器に関する。 The present invention relates to a device having a data communication function such as IPsec (Internet Protocol security).
TCP/IP(Transmission Control Protocol/Internet Protocol)環境で汎用的に用いることができるセキュリティ技術として、IPsecと呼ばれるプロトコルがある。これはLayer3で実現するセキュアな通信プロトコルであり、第三者からの通信内容の窃視をさける暗号化機能と、第三者によるセッションハイジャックなどを避ける認証機能の2種類をサポートしている。
There is a protocol called IPsec as a security technique that can be generally used in a TCP / IP (Transmission Control Protocol / Internet Protocol) environment. This is a secure communication protocol implemented by
IPsecは基本的に2点間の通信をセキュアにするもので、これを実現するためには通信を行う2点両方がIPsecに対応している必要がある。一方だけIPsecに対応している状態では通信できない。 IPsec basically secures communication between two points, and in order to realize this, it is necessary that both two points performing communication correspond to IPsec. Communication is not possible when only one side is compatible with IPsec.
IPsecでは、IPsec対象とするホストやその通信詳細をSAD(Security Association Database)およびSPD(Security Policy Database)と呼ばれる記憶域に保存する。SADおよびSPDに対してIPsecの設定を行えば、即座に通信がセキュア化される。 In IPsec, hosts that are IPsec targets and communication details thereof are stored in storage areas called SAD (Security Association Database) and SPD (Security Policy Database). If IPsec is set for SAD and SPD, communication is immediately secured.
一方、特許文献1には、IPsecを使用するデバイスにおいてセキュリティポリシを設定する際の技術が開示されている。
ところで、IPsec設定のされていない2台の機器の間でIPsecの通信を行おうとするとき、一方の機器でIPsec通信を行うように設定すると、設定された機器が突然IPsec通信を必要とするようになる。この時点でもう一方の機器はまだIPsecの設定が行われていないため、結果として両者の間で突然通信不能に陥ってしまう。 By the way, when trying to perform IPsec communication between two devices that are not set for IPsec, if one device is set to perform IPsec communication, the set device suddenly needs IPsec communication. become. At this point, since the other device has not yet been set for IPsec, communication between both devices suddenly becomes impossible.
特に、一方の機器からの遠隔操作でもう一方の機器のIPsec設定を行う場合、IPsec設定を要求するパケットを送信したとほぼ同時に相手側の機器でIPsec設定がなされ、IPsec化された応答が返されるため、要求側はその応答を受信できなくなる。したがって、何らかの障害により応答が返されないのと区別が付かず、IPsec設定の要求は正常に終了できない。 In particular, when performing IPsec setting of the other device by remote operation from one device, the IPsec setting is made at the other device almost simultaneously with the transmission of a packet requesting IPsec setting, and an IPsec response is returned. Therefore, the requester cannot receive the response. Therefore, it cannot be distinguished from the case where a response is not returned due to some failure, and the IPsec setting request cannot be terminated normally.
反対に、要求側の機器を先にIPsec設定を行ってしまっては、そもそも相手側の機器と通信ができなくなり、IPsec設定を要求するパケットを送信できなくなる。 On the other hand, if the requesting device is set for IPsec first, it cannot communicate with the other device in the first place, and a packet requesting IPsec setting cannot be transmitted.
本発明は上記の従来の問題点に鑑み提案されたものであり、その目的とするところは、IPsec等のセキュリティ通信の設定に際しての突然の通信不能の状態をなくし、セキュリティ通信の設定を正常に行うことのできるデータ通信機能を有する機器を提供することにある。 The present invention has been proposed in view of the above-mentioned conventional problems, and the object of the present invention is to eliminate the sudden communication inability when setting security communication such as IPsec, and to properly set the security communication. An object of the present invention is to provide a device having a data communication function that can be performed.
上記の課題を解決するため、本発明にあっては、請求項1に記載されるように、セキュリティ通信機能を持つ機器であって、セキュリティ通信の設定を保持する保持手段と、外部からセキュリティ通信の設定要求を受け付ける受付手段と、上記設定要求にかかるセキュリティ通信の設定を即座に上記保持手段に対して有効化せず、事後の所定のタイミングをもって有効化する設定手段とを備え、上記設定手段は、上記設定要求にかかるセキュリティ通信の設定を一時的に保持し、その一部ないしは全部を改変した設定を上記保持手段に設定し、事後の所定のタイミングをもって、改変した設定部分の正規の内容を上記保持手段に反映するデータ通信機能を有する機器を要旨としている。 In order to solve the above problems, according to the present invention, as described in claim 1, a device having a security communication function, a holding unit for holding a setting of security communication, and a security communication from the outside Receiving means for accepting the setting request, and setting means for enabling the setting of the security communication related to the setting request to be immediately activated at a predetermined timing without immediately enabling the setting to the holding means, and the setting means Temporarily holds the security communication settings related to the above setting request, sets a part or all of the modified settings in the holding means, and at the subsequent predetermined timing, the correct contents of the modified setting part The gist of the apparatus has a data communication function that reflects the above in the holding means .
また、請求項2に記載されるように、請求項1に記載のデータ通信機能を有する機器において、上記設定手段は、上記設定要求を受け付けた後、一定時間後に上記設定要求にかかるセキュリティ通信の設定を上記保持手段に反映するようにすることができる。 According to a second aspect of the present invention, in the device having the data communication function according to the first aspect, after the setting means receives the setting request, the setting means performs security communication related to the setting request after a predetermined time. The setting can be reflected in the holding means.
また、請求項3に記載されるように、請求項1に記載のデータ通信機能を有する機器において、上記設定手段は、上記設定要求を受け付けた後、特定時刻に達した場合に上記設定要求にかかるセキュリティ通信の設定を上記保持手段に反映するようにすることができる。 According to a third aspect of the present invention, in the device having the data communication function according to the first aspect, the setting means accepts the setting request when a specific time is reached after receiving the setting request. Such security communication settings can be reflected in the holding means.
また、請求項4に記載されるように、請求項1に記載のデータ通信機能を有する機器において、上記設定手段は、上記設定要求を受け付けた後、外部からセキュリティ通信対象外の通信経路を介した有効化要求を受け取った場合に上記設定要求にかかるセキュリティ通信の設定を上記保持手段に反映するようにすることができる。 According to a fourth aspect of the present invention, in the device having the data communication function according to the first aspect, after the setting means receives the setting request, the setting means externally passes a communication path that is not a security communication target. When the validation request is received, the security communication setting related to the setting request can be reflected in the holding means.
また、請求項5に記載されるように、請求項1乃至4のいずれか一項に記載のデータ通信機能を有する機器において、上記受付手段は、セキュリティ通信の相手方となる機器からセキュリティ通信の設定要求を受け付けるようにすることができる。 In addition, as described in claim 5 , in the device having the data communication function according to any one of claims 1 to 4 , the accepting unit sets security communication from a device that is a partner of security communication. Requests can be accepted.
また、請求項6に記載されるように、請求項1乃至4のいずれか一項に記載のデータ通信機能を有する機器において、上記受付手段は、セキュリティ通信の相手方となる機器以外の機器からセキュリティ通信の設定要求を受け付けるようにすることができる。 Further, as described in claim 6 , in the device having the data communication function according to any one of claims 1 to 4 , the accepting unit is configured to perform security from a device other than the device that is a partner of the security communication. It is possible to receive a communication setting request.
また、請求項7に記載されるように、セキュリティ通信機能を持つ機器の制御方法であって、外部からセキュリティ通信の設定要求を受け付ける工程と、上記設定要求にかかるセキュリティ通信の設定を即座にセキュリティ通信の設定を保持する保持手段に対して有効化せず、事後の所定のタイミングをもって有効化する工程とを備え、上記有効化する工程は、上記設定要求にかかるセキュリティ通信の設定を一時的に保持し、その一部ないしは全部を改変した設定を上記保持手段に設定し、事後の所定のタイミングをもって、改変した設定部分の正規の内容を上記保持手段に反映するデータ通信機能を有する機器の制御方法として構成することができる。 According to a seventh aspect of the present invention, there is provided a method for controlling a device having a security communication function, the step of accepting a security communication setting request from the outside, and the security communication setting related to the setting request immediately security. Without enabling the holding means for holding the communication setting, and enabling it at a predetermined timing after the fact . The enabling step temporarily sets the security communication setting related to the setting request. Control of a device having a data communication function that retains, sets a part or all of the settings in the retaining unit, and reflects the regular contents of the modified setting part on the retaining unit at a predetermined timing afterwards It can be configured as a method.
本発明のデータ通信機能を有する機器にあっては、IPsec等のセキュリティ通信の設定に際しての突然の通信不能の状態をなくし、セキュリティ通信の設定を正常に行うことができる。 In the device having the data communication function of the present invention, it is possible to eliminate the sudden communication disabled state when setting security communication such as IPsec, and to normally set security communication.
以下、本発明の好適な実施形態につき図面を参照して説明する。 Preferred embodiments of the present invention will be described below with reference to the drawings.
<第1の実施形態>
図1は本発明のデータ通信機能を有する機器の第1の実施形態にかかる構成例を示す図である。
<First Embodiment>
FIG. 1 is a diagram showing a configuration example according to a first embodiment of a device having a data communication function of the present invention.
図1において、機器(A)1と機器(B)2はネットワーク3を介して接続されている。
In FIG. 1, a device (A) 1 and a device (B) 2 are connected via a
機器(A)1は、通常のIPアドレスによりデータの入出力を行う入出力部11と、入出力部11を介して外部からIPsec設定命令を受けた場合に所定のタイミングでIPsec設定を行うIPsec設定部12と、指示されたIPsec設定のうちIPsec対象IPアドレスを保持するIPsec対象IPアドレス保持部13と、IPsec設定を保持するSAD/SPD等のIPsec設定保持部14と、IPsec設定部12によるIPsec設定命令の受信から一定時間を計時し、あるいは特定時刻になったことを検出するタイマー部15とを備えている。
The device (A) 1 includes an input / output unit 11 that inputs / outputs data using a normal IP address, and an IPsec that performs IPsec setting at a predetermined timing when receiving an IPsec setting command from the outside via the input / output unit 11 By the
機器(B)2は、通常のIPアドレスによりデータの入出力を行う入出力部21と、外部の機器に対してIPsec設定命令を送信するIPsec設定命令送信部22と、自機器のIPsec設定を行うIPsec設定部23と、IPsec設定を保持するSAD/SPD等のIPsec設定保持部24とを備えている。
The device (B) 2 has an input /
なお、当初においては、機器(A)1のIPsec対象IPアドレス保持部13はブランクであり、IPsec設定保持部14は未設定の状態にある。また、機器(B)2のIPsec設定保持部24は未設定の状態にあるものとする。
Initially, the IPsec target IP
今、機器(A)1と機器(B)2はIPsec設定されていない状態であり、従来の技術でIPsec化を行おうとすると、機器(A)1のIPsec通信の詳細を機器(B)2からの通信で行った途端に機器(A)1がIPsec通信を行うようになる。機器(A)1をIPsec必須として設定した場合、設定した途端に機器(A)1がIPsec通信のみを許すようになってしまい、機器(B)2はまだIPsec設定されていないことから、IPsec設定を行った途端に機器(A)1と機器(B)2が通信不能になってしまい、IPsec設定要求の応答が受信できないためにIPsec設定処理を正常に終了することができない。本発明はこの問題を解決している。 Now, the device (A) 1 and the device (B) 2 are in a state in which IPsec is not set, and when trying to perform IPsec conversion by the conventional technology, details of the IPsec communication of the device (A) 1 are described in the device (B) 2. As soon as communication is performed from the device (1), the device (A) 1 performs IPsec communication. If the device (A) 1 is set as IPsec mandatory, the device (A) 1 will only allow IPsec communication as soon as it is set, and the device (B) 2 has not yet been set up for IPsec. As soon as the IPsec setting is performed, the device (A) 1 and the device (B) 2 become incapable of communication, and the response to the IPsec setting request cannot be received, so that the IPsec setting process cannot be terminated normally. The present invention solves this problem.
図2は第1の実施形態におけるIPsec設定の処理例を示す図である。 FIG. 2 is a diagram illustrating an example of IPsec setting processing according to the first embodiment.
図2において、先ず、機器(B)2のIPsec設定命令送信部22は入出力部21を介して機器(A)1に対してIPsec設定命令を送信する(ステップS101)。このIPsec設定命令の中には、「機器B(自機器)との通信をIPsec化する」ということで、機器(B)2のIPアドレスないしは機器(B)2を含むアドレスブロックの設定が記載されている。
In FIG. 2, first, the IPsec setting
機器(A)1のIPsec設定部12は入出力部11を介してこのIPsec設定命令を受信する(ステップS102)。
The IPsec
次いで、機器(A)1のIPsec設定部12はIPsec設定命令に従ったIPsec設定をIPsec設定保持部14に行うが、IPsec対象IPアドレスについては無効なIPアドレスを設定(仮設定)し、正規のIPsec対象IPアドレス(機器BのIPアドレスないしは機器Bを含むアドレスブロック)についてはIPsec対象IPアドレス保持部13に保持する(ステップS103)。この時点では機器(A)1は機器(B)2との通信にIPsecを必要としない。このため、機器(B)2から機器(A)1に向けて行われているIPsec設定命令の通信にはIPsecを必要とせず、正常に通信が行われ、通信が終了する。
Next, the IPsec
また、機器(A)1のIPsec設定部12はタイマー部15を起動して一定時間の経過もしくは特定時刻到達の待ちに入る(ステップS104)。図3は機器(B)2から機器(A)1にIPsec設定要求を行った様子を示す図であり、機器(A)1のIPsec設定は実施済であるが、IPsec対象IPアドレスについてはなし(無効)となっている。また、機器(B)2のIPsec設定は未実施となっている。
In addition, the IPsec
次いで、図2に戻り、機器(A)1のタイマー部15が一定時間の経過もしくは特定時刻到達を検出することで、IPsec設定部12はIPsec対象IPアドレス保持部13に保持していた正規のIPsec対象IPアドレス(機器BのIPアドレスないしは機器Bを含むアドレスブロック)を取得し、IPsec設定保持部14に設定する(ステップS105)。これによって、機器(A)1は、機器(B)2との通信にIPsecであることを必要とするようになる。
Next, returning to FIG. 2, when the
これと並行して、機器(B)2のIPsec設定部23はIPsec設定保持部24に対して自身のIPsec設定を行う(ステップS106)。図4はIPsecの仮設定から一定時間が経過してIPsec設定を行った様子を示す図であり、機器(A)1のIPsec設定は実施済で、IPsec対象IPアドレスは機器Bとなっており、機器(B)2のIPsec設定は実施済で、IPsec対象IPアドレスは機器Aとなっている。
In parallel with this, the IPsec
以上の手順で、機器(A)1と機器(B)2がIPsecによって通信する準備ができる。 With the above procedure, the device (A) 1 and the device (B) 2 are ready to communicate by IPsec.
そして、図2に戻り、機器(A)1と機器(B)2との間でIPsec通信を行う(ステップS107、S108)。図5は機器(A)1と機器(B)2でIPsec通信が行えるようになった様子を示す図である。 Then, returning to FIG. 2, IPsec communication is performed between the device (A) 1 and the device (B) 2 (steps S107 and S108). FIG. 5 is a diagram illustrating a state in which IPsec communication can be performed between the device (A) 1 and the device (B) 2.
<第2の実施形態>
図6は本発明のデータ通信機能を有する機器の第2の実施形態にかかる構成例を示す図である。この第2の実施形態では、機器(A)1および機器(B)2は、IPsec通信の有効/無効を外部から制御する機能を持ち、さらに初期状態ではIPsec通信が無効となっているものとする。
<Second Embodiment>
FIG. 6 is a diagram showing a configuration example according to the second embodiment of a device having a data communication function of the present invention. In the second embodiment, the device (A) 1 and the device (B) 2 have a function of controlling validity / invalidity of IPsec communication from the outside, and the IPsec communication is invalid in the initial state. To do.
図6において、機器(A)1と機器(B)2はネットワーク3を介して接続されている。
In FIG. 6, the device (A) 1 and the device (B) 2 are connected via a
機器(A)1は、通常のIPアドレスおよびリンクローカルアドレスの2つのIPアドレスによりデータの入出力を行う入出力部11と、入出力部11を介して外部からIPsec設定命令を受けた場合に所定のタイミングでIPsec設定を行うIPsec設定部12と、指示されたIPsec設定を一時的に保持するIPsec設定一時保持部16と、IPsec設定を保持するSAD/SPD等のIPsec設定保持部14と、入出力部11を介して外部からIPsec有効化命令を受信し、その旨をIPsec設定部12に伝えるIPsec有効化命令受信部17とを備えている。
When the device (A) 1 receives an IPsec setting command from the outside via the input / output unit 11 and the input / output unit 11 that inputs and outputs data using two IP addresses, a normal IP address and a link local address An
機器(B)2は、通常のIPアドレスおよびリンクローカルアドレスの2つのIPアドレスによりデータの入出力を行う入出力部21と、外部の機器に対してIPsec設定命令を送信するIPsec設定命令送信部22と、自機器のIPsec設定を行うIPsec設定部23と、IPsec設定を保持するSAD/SPD等のIPsec設定保持部24と、外部の機器に対してIPsec有効化命令を送信するIPsec有効化命令送信部25とを備えている。
The device (B) 2 includes an input /
なお、当初においては、機器(A)1のIPsec設定一時保持部16はブランクであり、IPsec設定保持部14ではリンクローカルアドレスについてIPsecが対象外に設定されている。また、IPsec設定保持部24は未設定の状態にあるものとする。
Initially, the IPsec setting
図7は第2の実施形態におけるIPsec設定の処理例を示す図である。 FIG. 7 is a diagram illustrating an example of IPsec setting processing according to the second embodiment.
図7において、先ず、機器(B)2のIPsec設定命令送信部22は入出力部21を介して通常のIPアドレスにより機器(A)1に対してIPsec設定命令を送信する(ステップS201)。このIPsec設定命令の中には、「機器B(自機器)との通信をIPsec化する」ということで、機器(B)2のIPアドレスないしは機器(B)2を含むアドレスブロックの設定が記載されている。
In FIG. 7, first, the IPsec setting
機器(A)1のIPsec設定部12は入出力部11を介して通常のIPアドレスによりこのIPsec設定命令を受信する(ステップS202)。
The
次いで、機器(A)1のIPsec設定部12はIPsec設定命令に従ったIPsec設定の全体をIPsec設定一時保持部16に保持し、機器(A)1のIPsec設定自体は無効(未設定)にしたまま、リンクローカルアドレス(IPsec対象外)宛てのIPsec有効化命令の待ちに入る(ステップS203)。この時点では機器(A)1は機器(B)2との通信にIPsecを必要としない。このため、機器(B)2から機器(A)1に向けて行われているIPsec設定命令の通信にはIPsecを必要とせず、正常に通信が行われ、通信が終了する。図8は機器(B)2から機器(A)1にIPsec設定要求を行った様子を示す図であり、機器(A)1のIPsec設定は実施済であるが、IPsec通信については無効となっている。また、機器(B)2のIPsec設定は未実施となっている。
Next, the
次いで、図7に戻り、機器(B)2のIPsec設定部23はIPsec設定保持部24に対して自身のIPsec設定を行う(ステップS204)。図9は機器(B)2においてIPsec設定を行った様子を示す図である。
Next, returning to FIG. 7, the
次いで、図7に戻り、機器(B)2のIPsec有効化命令送信部25は入出力部21を介してIPsecの対象となっていないリンクローカルアドレスから機器(A)1にIPsec有効化命令を送信する(ステップS205)。機器(A)1のIPsec有効化命令受信部17は入出力部11を介してリンクローカルアドレスによりこのIPsec有効化命令を受信すると、その旨をIPsec設定部12に伝え、IPsec設定部12はIPsec設定一時保持部16に保持されている設定内容をIPsec設定保持部14に反映する(ステップS206)。これによって、機器(A)1は、通常のIPアドレスによる機器(B)2との通信にIPsecであることを必要とするようになる。図10は機器(B)2から機器(A)1にIPsec有効化要求を行った様子を示す図である。
Next, returning to FIG. 7, the IPsec validation
以上の手順で、機器(A)1と機器(B)2がIPsecによって通信する準備ができる。 With the above procedure, the device (A) 1 and the device (B) 2 are ready to communicate by IPsec.
そして、図7に戻り、機器(A)1と機器(B)2との間でIPsec通信を行う(ステップS207、S208)。図11は機器(A)1と機器(B)2でIPsec通信が行えるようになった様子を示す図である。 Returning to FIG. 7, IPsec communication is performed between the device (A) 1 and the device (B) 2 (steps S207 and S208). FIG. 11 is a diagram illustrating a state in which IPsec communication can be performed between the device (A) 1 and the device (B) 2.
<第3の実施形態>
図12は本発明のデータ通信機能を有する機器の第3の実施形態にかかる構成例を示す図である。この第3の実施形態では、機器(A)1および機器(B)2ではない、第3の機器(C)4から遠隔操作でこれらのIPsec設定を行うようにしている。
<Third Embodiment>
FIG. 12 is a diagram showing a configuration example according to the third embodiment of a device having a data communication function of the present invention. In the third embodiment, these IPsec settings are performed by remote control from the third device (C) 4, which is not the device (A) 1 and the device (B) 2.
図12において、機器(A)1と機器(B)2と機器(C)4はネットワーク3を介して接続されている。なお、機器(C)4はルータを介して別のデータリンクから接続されていてもよい。
In FIG. 12, the device (A) 1, the device (B) 2, and the device (C) 4 are connected via the
機器(A)1と機器(B)2は同様な構成となっており、通常のIPアドレスおよびマルチキャストIPアドレス(エニーキャストIPアドレスでも可)の2つのIPアドレスによりデータの入出力を行う入出力部11、21と、入出力部11、21を介して外部からIPsec設定命令を受けた場合に所定のタイミングでIPsec設定を行うIPsec設定部12、23と、指示されたIPsec設定のうちIPsec対象IPアドレスを保持するIPsec対象IPアドレス保持部13、25と、IPsec設定を保持するSAD/SPD等のIPsec設定保持部14、24と、入出力部11、21を介して外部からIPsec有効化命令を受信し、その旨をIPsec設定部12、23に伝えるIPsec有効化命令受信部17、26とを備えている。
The device (A) 1 and the device (B) 2 have the same configuration, and input / output is performed using two IP addresses, a normal IP address and a multicast IP address (or anycast IP address).
機器(C)4は、通常のIPアドレスによりデータの入出力を行う入出力部41と、外部の機器に対してIPsec設定命令を送信するIPsec設定命令送信部42と、外部の機器に対してIPsec有効化命令を送信するIPsec有効化命令送信部43とを備えている。
The device (C) 4 includes an input /
なお、当初においては、機器(A)1および機器(B)2のIPsec対象IPアドレス保持部13、25はブランクであり、IPsec設定保持部14、24ではマルチキャストIPアドレスについてIPsecが対象外に設定されている。
Initially, the IPsec target IP
図13は第3の実施形態におけるIPsec設定の処理例を示す図である。 FIG. 13 is a diagram illustrating an example of IPsec setting processing according to the third embodiment.
図13において、先ず、機器(C)4のIPsec設定命令送信部42は入出力部41を介して機器(A)1および機器(B)2に対してIPsec設定命令を送信する(ステップS301)。このIPsec設定命令の中には、「機器Aと機器Bとの通信をIPsec化する」ということで、機器(A)1については機器(B)2のIPアドレスないしは機器(B)2を含むアドレスブロックの設定が、機器(B)2については機器(A)1のIPアドレスないしは機器(A)1を含むアドレスブロックの設定が記載されている。
In FIG. 13, first, the IPsec setting
機器(A)1および機器(B)2のIPsec設定部12、23は入出力部11、21を介してこのIPsec設定命令を受信する(ステップS302、S303)。
The
次いで、機器(A)1および機器(B)2のIPsec設定部12、23はIPsec設定命令に従ったIPsec設定をIPsec設定保持部14、24に行うが、IPsec対象IPアドレスについては無効なIPアドレスを設定(仮設定)し、正規のIPsec対象IPアドレス(機器(A)1においては機器BのIPアドレスないしは機器Bを含むアドレスブロック、機器(B)2においては機器AのIPアドレスないしは機器Aを含むアドレスブロック)についてはIPsec対象IPアドレス保持部13、25に保持する(ステップS304、S305)。この時点では機器(A)1および機器(B)2は機器(C)4との通信にIPsecを必要としない。このため、機器(C)4から機器(A)1および機器(B)2に向けて行われているIPsec設定命令の通信にはIPsecを必要とせず、正常に通信が行われ、通信が終了する。図14は機器(C)4から機器(A)1および機器(B)2にIPsec設定要求を行った様子を示す図であり、機器(A)1および機器(B)2のIPsec設定は実施済であるが、IPsec対象IPアドレスについてはなし(無効)となっている。
Next, the
次いで、図13に戻り、機器(C)4のIPsec有効化命令送信部43は入出力部41を介して自己のIPアドレスをソースとし、デスティネーションをIPsecの対象となっていないマルチキャストIPアドレスとして、機器(A)1および機器(B)2にIPsec有効化命令を送信する(ステップS306)。機器(A)1および機器(B)2のIPsec有効化命令受信部17、26は入出力部11、21のマルチキャストIPアドレスによりこのIPsec有効化命令を受信すると、その旨をIPsec設定部12、23に伝え、IPsec設定部12、23はIPsec対象IPアドレス保持部13、25に保持していた正規のIPsec対象IPアドレスを取得し、IPsec設定保持部14、24に設定する(ステップS307、S308)。これによって、機器(A)1と機器(B)2との通信はIPsecであることを必要とするようになる。図15は機器(C)4から機器(A)1および機器(B)2にIPsec有効化要求を行った様子を示す図であり、機器(A)1のIPsec設定は実施済で、IPsec対象IPアドレスは機器Bとなっており、機器(B)2のIPsec設定は実施済で、IPsec対象IPアドレスは機器Aとなっている。
Next, returning to FIG. 13, the IPsec validation
以上の手順で、機器(A)1と機器(B)2がIPsecによって通信する準備ができる。 With the above procedure, the device (A) 1 and the device (B) 2 are ready to communicate by IPsec.
そして、図13に戻り、機器(A)1と機器(B)2との間でIPsec通信を行う(ステップS309、S310)。図16は機器(A)1と機器(B)2でIPsec通信が行えるようになった様子を示す図である。 Returning to FIG. 13, IPsec communication is performed between the device (A) 1 and the device (B) 2 (steps S309 and S310). FIG. 16 is a diagram illustrating a state in which IPsec communication can be performed between the device (A) 1 and the device (B) 2.
なお、上記の例では機器(A)1および機器(B)2がIPsec設定命令を受信した時点ではIPsec設定保持部14、24のIPsec対象IPアドレスに無効な値を設定し、IPsec有効化命令を受けた場合にIPsec設定保持部14、24に正規のIPsec対象IPアドレスを設定するようにしているが、IPsec設定命令を受信した時点でIPsec設定の全体を一時保持し、IPsec有効化命令を受けた場合にIPsec設定の全体をIPsec設定保持部14、24に設定するようにしてもよい。
In the above example, when the device (A) 1 and the device (B) 2 receive the IPsec setting command, an invalid value is set in the IPsec target IP addresses of the IPsec
<まとめ>
以上のように、本発明にあっては、IPsecの設定が行われたあと、即座にIPsecの設定を有効化せず、この機器のIPsecの通信設定を行った直後、通信相手のIPsec設定が完了する前に、自身のIPsec機能を有効化しないため、この機器と通信相手の通信が突然不能になるということがない。
<Summary>
As described above, in the present invention, after the IPsec setting is performed, the IPsec setting is not immediately activated, and immediately after the IPsec communication setting of this device is performed, the IPsec setting of the communication partner is set. Since it does not validate its own IPsec function before completion, communication between this device and the communication partner is not suddenly disabled.
また、IPsecの設定が行われたあと、即座にIPsecの設定を有効化せず、一定時間後もしくは特定の時刻がきたらIPsecの設定を有効化することで、この機器のIPsecの通信設定を行った直後、通信相手のIPsec設定を行う時間的余裕ができる。それにより、通信相手のIPsec設定が完了する前に、この機器のIPsec機能が有効化してしまい、相互の通信が不能になるということがない。 Also, after the IPsec setting is performed, the IPsec setting is not immediately activated, but the IPsec setting is validated after a certain time or when a specific time comes, so that the IPsec communication setting of this device is performed. Immediately after that, there is a time margin for setting the IPsec of the communication partner. As a result, the IPsec function of this device is validated before the communication partner's IPsec setting is completed, and mutual communication is not disabled.
また、IPsecの設定が行われたあと、即座にIPsecの設定を有効化せず、リンクローカルアドレスもしくはマルチキャストIPアドレスに向けてIPsec設定有効化命令がきたらIPsecの設定を有効化することで、この機器のIPsecの通信設定を行った直後、通信相手のIPsec設定を行う時間的余裕ができる。それにより、通信相手のIPsec設定が完了する前に、この機器のIPsec機能が有効化してしまい、相互の通信が不能になるということがない。 In addition, after the IPsec setting is performed, the IPsec setting is not immediately enabled, and when the IPsec setting enable command is issued for the link local address or the multicast IP address, the IPsec setting is enabled. Immediately after performing the IPsec communication setting of the device, there is a time margin for performing the IPsec setting of the communication partner. As a result, the IPsec function of this device is validated before the communication partner's IPsec setting is completed, and mutual communication is not disabled.
また、ローカルではないネットワーク上の機器からの命令送信により、ネットワーク内のIPsec機器の一括IPsec化が実現できる。 Further, by sending a command from a device on the network that is not local, it is possible to realize collective IPsec of IPsec devices in the network.
以上、本発明の好適な実施の形態により本発明を説明した。ここでは特定の具体例を示して本発明を説明したが、特許請求の範囲に定義された本発明の広範な趣旨および範囲から逸脱することなく、これら具体例に様々な修正および変更を加えることができることは明らかである。すなわち、具体例の詳細および添付の図面により本発明が限定されるものと解釈してはならない。 The present invention has been described above by the preferred embodiments of the present invention. While the invention has been described with reference to specific embodiments, various modifications and changes may be made to the embodiments without departing from the broad spirit and scope of the invention as defined in the claims. Obviously you can. In other words, the present invention should not be construed as being limited by the details of the specific examples and the accompanying drawings.
1 機器A
11 入出力部
12 IPsec設定部
13 IPsec対象IPアドレス保持部
14 IPsec設定保持部
15 タイマー部
16 IPsec設定一時保持部
17 IPsec有効化命令受信部
2 機器B
21 入出力部
22 IPsec設定命令送信部
23 IPsec設定部
24 IPsec設定保持部
25 IPsec有効化命令送信部
26 IPsec有効化命令受信部
3 ネットワーク
4 機器C
41 入出力部
42 IPsec設定命令送信部
43 IPsec有効化命令送信部
1 Device A
DESCRIPTION OF SYMBOLS 11 Input /
21 I /
41 Input /
Claims (7)
セキュリティ通信の設定を保持する保持手段と、
外部からセキュリティ通信の設定要求を受け付ける受付手段と、
上記設定要求にかかるセキュリティ通信の設定を即座に上記保持手段に対して有効化せず、事後の所定のタイミングをもって有効化する設定手段とを備え、
上記設定手段は、上記設定要求にかかるセキュリティ通信の設定を一時的に保持し、その一部ないしは全部を改変した設定を上記保持手段に設定し、事後の所定のタイミングをもって、改変した設定部分の正規の内容を上記保持手段に反映することを特徴とするデータ通信機能を有する機器。 A device with a security communication function,
Holding means for holding security communication settings;
Accepting means for accepting security communication setting requests from outside,
A setting unit that does not immediately activate the setting of the security communication related to the setting request to the holding unit, but activates it at a predetermined timing afterwards ,
The setting means temporarily holds the security communication settings related to the setting request, sets a part or all of the modified settings in the holding means, and sets the modified setting part at a predetermined timing after the fact. A device having a data communication function, wherein normal contents are reflected in the holding means .
上記設定手段は、上記設定要求を受け付けた後、一定時間後に上記設定要求にかかるセキュリティ通信の設定を上記保持手段に反映することを特徴とするデータ通信機能を有する機器。 In the apparatus which has a data communication function of Claim 1 ,
An apparatus having a data communication function, wherein after the setting request is received, the setting means reflects a setting of security communication related to the setting request to the holding means after a predetermined time.
上記設定手段は、上記設定要求を受け付けた後、特定時刻に達した場合に上記設定要求にかかるセキュリティ通信の設定を上記保持手段に反映することを特徴とするデータ通信機能を有する機器。 In the apparatus which has a data communication function of Claim 1 ,
An apparatus having a data communication function, wherein the setting unit reflects the setting of security communication related to the setting request in the holding unit when a specific time is reached after receiving the setting request.
上記設定手段は、上記設定要求を受け付けた後、外部からセキュリティ通信対象外の通信経路を介した有効化要求を受け取った場合に上記設定要求にかかるセキュリティ通信の設定を上記保持手段に反映することを特徴とするデータ通信機能を有する機器。 In the apparatus which has a data communication function of Claim 1 ,
After receiving the setting request, the setting unit reflects the setting of the security communication related to the setting request in the holding unit when an enabling request is received from outside via a communication path that is not a security communication target. A device having a data communication function.
上記受付手段は、セキュリティ通信の相手方となる機器からセキュリティ通信の設定要求を受け付けることを特徴とするデータ通信機能を有する機器。 In the apparatus which has a data communication function as described in any one of Claims 1 thru | or 4 ,
A device having a data communication function, wherein the accepting unit accepts a security communication setting request from a device which is a partner of security communication.
上記受付手段は、セキュリティ通信の相手方となる機器以外の機器からセキュリティ通信の設定要求を受け付けることを特徴とするデータ通信機能を有する機器。 In the apparatus which has a data communication function as described in any one of Claims 1 thru | or 4 ,
A device having a data communication function, wherein the accepting unit accepts a setting request for security communication from a device other than a device serving as a counterpart of security communication.
外部からセキュリティ通信の設定要求を受け付ける工程と、
上記設定要求にかかるセキュリティ通信の設定を即座にセキュリティ通信の設定を保持する保持手段に対して有効化せず、事後の所定のタイミングをもって有効化する工程とを備え、
上記有効化する工程は、上記設定要求にかかるセキュリティ通信の設定を一時的に保持し、その一部ないしは全部を改変した設定を上記保持手段に設定し、事後の所定のタイミングをもって、改変した設定部分の正規の内容を上記保持手段に反映することを特徴とするデータ通信機能を有する機器の制御方法。 A method for controlling a device having a security communication function,
Receiving a security communication setting request from the outside;
The security communication setting for the setting request is not immediately activated for the holding means for holding the security communication setting, and is activated at a predetermined timing after the process ,
The step of enabling temporarily holds the security communication settings related to the setting request, sets a part or all of the settings to the holding unit, and sets the modified settings at a predetermined timing afterwards. A control method for a device having a data communication function, wherein the regular content of the portion is reflected in the holding means .
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005327801A JP4682020B2 (en) | 2005-11-11 | 2005-11-11 | Equipment with data communication function |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005327801A JP4682020B2 (en) | 2005-11-11 | 2005-11-11 | Equipment with data communication function |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007135082A JP2007135082A (en) | 2007-05-31 |
| JP4682020B2 true JP4682020B2 (en) | 2011-05-11 |
Family
ID=38156361
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005327801A Expired - Fee Related JP4682020B2 (en) | 2005-11-11 | 2005-11-11 | Equipment with data communication function |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4682020B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4774375B2 (en) | 2007-02-20 | 2011-09-14 | 株式会社リコー | Network communication equipment |
| JP5487659B2 (en) * | 2009-03-17 | 2014-05-07 | 株式会社リコー | Information processing apparatus, information processing method, and program |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06237248A (en) * | 1993-02-10 | 1994-08-23 | N T T Idou Tsuushinmou Kk | Digital communication method |
| JP2002135241A (en) * | 2000-10-24 | 2002-05-10 | Nec Access Technica Ltd | Data communications equipment and its method for encrypting and decoding |
| JP4543623B2 (en) * | 2003-05-19 | 2010-09-15 | 日本電気株式会社 | Encrypted communication method in communication system |
-
2005
- 2005-11-11 JP JP2005327801A patent/JP4682020B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007135082A (en) | 2007-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3635939B1 (en) | Seamless mobility and session continuity with tcp mobility option | |
| US8615604B2 (en) | Information processing apparatus, information processing system and computer readable medium for maintaining communication while IP addresses change | |
| US20060031922A1 (en) | IPsec communication method, communication control apparatus, and network camera | |
| JP2010206426A (en) | System and method for vpn connection | |
| US8650313B2 (en) | Endpoint discriminator in network transport protocol startup packets | |
| JP4682020B2 (en) | Equipment with data communication function | |
| US11159652B2 (en) | Transmission control protocol (TCP) intermediate device implementing a TCP fast open (TFO) connection | |
| JP2009230600A (en) | Information processor, information processing system and program | |
| KR102452489B1 (en) | System for processing a dual security in apartment complexes | |
| WO2016131358A1 (en) | Home gateway, communication management method and communication system thereof | |
| CN105704104A (en) | Authentication method and access equipment | |
| US20220109694A1 (en) | Communication system, communication method, and non-transitory computer readable medium storing communication program | |
| JP5034110B2 (en) | Electronic conference system, communication terminal, data communication method and program | |
| JP7241620B2 (en) | Authentication switches, network systems and network equipment | |
| JP5618745B2 (en) | COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM | |
| JP7158826B2 (en) | COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL SYSTEM AND COMMUNICATION CONTROL METHOD | |
| CN105704105A (en) | Authentication method and access equipment | |
| JP2014154112A (en) | Communication data relay device and program | |
| JP5791564B2 (en) | Image forming apparatus | |
| KR101363599B1 (en) | APPARATUS AND METHOD FOR SUPPORTING IPv6 LINK-LOCAL ADDRESS IN DISTRIBUTED ARCHITECTURE ROUTING SYSTEM | |
| JP2009081710A (en) | COMMUNICATION DEVICE AND COMMUNICATION METHOD USED FOR COMMUNICATION DEVICE | |
| JP6149430B2 (en) | Multiplexed communication device, communication method, and communication program | |
| Raghuvanshi et al. | DHCPv6 active leasequery | |
| Kinnear et al. | Active DHCPv4 Lease Query | |
| JP4621158B2 (en) | Router device and communication control method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081107 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100826 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100831 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101029 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110118 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110207 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4682020 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140210 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |