[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP4690918B2 - ネットワーク機器 - Google Patents

ネットワーク機器 Download PDF

Info

Publication number
JP4690918B2
JP4690918B2 JP2006069766A JP2006069766A JP4690918B2 JP 4690918 B2 JP4690918 B2 JP 4690918B2 JP 2006069766 A JP2006069766 A JP 2006069766A JP 2006069766 A JP2006069766 A JP 2006069766A JP 4690918 B2 JP4690918 B2 JP 4690918B2
Authority
JP
Japan
Prior art keywords
network device
address
ipsec
address range
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006069766A
Other languages
English (en)
Other versions
JP2007251417A (ja
Inventor
博 田村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2006069766A priority Critical patent/JP4690918B2/ja
Priority to US11/684,709 priority patent/US8281124B2/en
Publication of JP2007251417A publication Critical patent/JP2007251417A/ja
Application granted granted Critical
Publication of JP4690918B2 publication Critical patent/JP4690918B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、IPsec(Security Architecture for Internet Protocol)等の設定を簡易に行うことのできるネットワーク機器に関する。
セキュリティへの要求が高まる中、ネットワークに接続可能なプリンタ、スキャナ、ファクス、もしくはそれらの機能を有する複合機(MFP:Multi Function Printer)等のネットワーク機器に対してもさまざまなセキュリティが要求されている。
IPsecはIPレイヤで暗号化が行われる。Webなどで頻繁に用いられているSSL(Secure Sockets Layer)とは異なり、IPsecに対応すれば、セキュリティ対応するためにアプリケーションレイヤのプログラムを修正する必要はない。
特開2005−184594号公報「ネットワークシステムおよびネットワークシステム管理方法およびプログラムおよび記録媒体」
上述したように、IPsecに対応することの利点は多いが、IPsecの設定項目は多岐にわたり、一般ユーザにとっては複雑である。さらに、IPsec通信するものどうしが、同じ内容で設定を行わないと通信を行うことができず、誤った設定を行うと通信自体が行えなくなる。
一方、特許文献1には、大規模ネットワークでの管理を容易にするためのアドレス生成方法が開示されているが、IPsecを考慮したものではない。
本発明は上記の従来の問題点に鑑み提案されたものであり、その目的とするところは、IPsec等の設定を簡易に行うことのできるネットワーク機器を提供することにある。
上記の課題を解決するため、本発明にあっては、請求項1に記載されるように、暗号化手段を有し、ネットワークに接続されるネットワーク機器であって、割り当てられるアドレス範囲と暗号化設定パラメータとを対応付けて管理する手段と、ユーザによるアドレス範囲の選択に応じ、当該アドレス範囲内のアドレスを生成するとともに、対応する暗号化設定パラメータによる暗号化設定を行う手段とを備えるネットワーク機器を要旨としている。
また、請求項2に記載されるように、請求項1に記載のネットワーク機器において、暗号化方式としてIPsecを用いることができる。
また、請求項3に記載されるように、請求項1に記載のネットワーク機器において、生成されるアドレスはIPv6アドレスもしくはIPv4アドレスであるものとすることができる。
また、請求項4に記載されるように、請求項1に記載のネットワーク機器において、ユーザはアドレス範囲を直接に選択することができる。
また、請求項5に記載されるように、請求項1に記載のネットワーク機器において、ユーザは暗号化設定パラメータの組み合わせからアドレス範囲を選択することができる。
また、請求項6に記載されるように、請求項1に記載のネットワーク機器において、ユーザは暗号化設定パラメータの組み合わせとユーザ入力情報とからアドレス範囲を選択することができる。
また、請求項7に記載されるように、請求項1に記載のネットワーク機器において、ユーザは暗号化設定パラメータの組み合わせとローカルアドレスもしくはグローバルアドレスであるかによりアドレス範囲を選択することができる。
また、請求項8に記載されるように、請求項1に記載のネットワーク機器において、ユーザはセキュリティレベルによりアドレス範囲を選択することができる。
また、請求項9に記載されるように、請求項8に記載のネットワーク機器において、セキュリティレベルはプロトコルに依存したものではなく、高・中・低などの簡易レベルであるものとすることができる。
また、請求項10に記載されるように、請求項1に記載のネットワーク機器において、アドレスを生成するデータ情報やアルゴリズムは、当該機器に装着可能な外部デバイスに格納されるものとすることができる。
また、請求項11〜16に記載されるように、ネットワーク機器のIPsec設定方法として構成することができる。
また、請求項17に記載されるように、ネットワーク機器の制御プログラムとして構成することができる。
本発明のネットワーク機器にあっては、IPsec等の設定を簡易に行うことができる。
以下、本発明の好適な実施形態につき説明する。
<構成>
図1は本発明のネットワーク機器を適用したネットワークシステムの一実施形態を示す全体構成図である。
図1において、2つのネットワークSub Network−Y、Sub Network−Zがルータ2A、2Bによりネットワーク8を介して接続されている。Sub Network−Yには、本発明を適用したネットワーク機器1A、1BおよびPC(Personal Computer)3A、3Bがネットワーク6上に存在する。Sub Network−Zには、本発明を適用したネットワーク機器1C、1DおよびPC3Cがネットワーク7上に存在する。それぞれのネットワーク内でIPsec通信することもあれば、ネットワークを越えてIPsec通信することもある。
図2はネットワーク機器1を画像処理装置とした場合のハードウェア構成例を示す図である。
図2において、ネットワーク機器1は、コントローラ101と、オペレーションパネル121と、FCU(Facsimile Control Unit)122と、エンジン部123とを含んでいる。
コントローラ101は、CPU(Central Processing Unit)102、システムメモリ103、NB(North Bridge)104、SB(South Bridge)105、ASIC(Application Specific Integrated Circuit)106、ローカルメモリ107、HDD(Hard Disk Drive)108、Flash ROM(Flash Read Only Memory)109、NVRAM(Non Volatile RAM)110、SDRAM(Synchronous Dynamic Random Access Memory)111、セキュアデバイス112、Ethernet(登録商標) I/F(Ethernet(登録商標) Interface)113、USB I/F(Universal Serial Bus Interface)114、IEEE 1394 I/F(the Institute of Electrical and Electronic Engineers 1394 Interface)115、セントロニクスI/F116、無線I/F117、外部記憶媒体用I/F118を含む。
オペレーションパネル121は、コントローラ101のASIC106に接続されている。また、FCU122およびエンジン部123は、コントローラ101のASIC106にバス124で接続されている。
コントローラ101は、ASIC106にローカルメモリ107、HDD108、Flash ROM109、NVRAM110、SDRAM111、セキュアデバイス112などが接続されるとともに、CPU102とASIC106とがCPUチップセットのNB104を介して接続されている。コントローラ101は、NB104を介してCPU102とASIC106とを接続することにより、CPU102のインターフェースが公開されていない場合に対応する。
ASIC106とNB104とは、AGP(Accelerated Graphics Port)119を介して接続されている。後述するソフトウェア構成において、アプリケーションやプラットフォームを形成する一つ以上のプロセスを実行制御するため、ASIC106とNB104とを低速のバスでなくAGP119を介して接続することで、パフォーマンスの低下を防いでいる。
CPU102は、ソフトウェアにより全体の制御を行うものである。
NB104は、CPU102、システムメモリ103、SB105、ASIC106、Ethernet(登録商標) I/F113、USB I/F114、IEEE 1394 I/F115、セントロニクスI/F116、無線I/F117、外部記憶媒体用I/F118を接続するためのブリッジである。
SB105、Ethernet(登録商標) I/F113、USB I/F114、IEEE 1394 I/F115、セントロニクスI/F116、無線I/F117、外部記憶媒体用I/F118は、バス120を介してNB104に接続されている。なお、SB105は、バス120とROMや周辺デバイス等とを接続するためのブリッジである。
システムメモリ103は、画像処理装置の描画用メモリなどとして用いるメモリである。ローカルメモリ107は画像バッファ、符号バッファとして用いるメモリである。
ASIC106は、画像処理用のハードウェア要素を有する画像処理用途向けのICである。HDD108は、画像データの蓄積、文書データの蓄積、プログラムの蓄積、フォントデータの蓄積、フォームの蓄積などを行うストレージ(補助記憶装置)の一例である。
Ethernet(登録商標) I/F113は、画像処理装置をネットワークに接続するインターフェース機器である。USB I/F114、IEEE 1394 I/F115、セントロニクスI/F116および無線I/F117、は、それぞれの規格に準じたインターフェースであり、ネットワークに接続されることもある。
Flash ROM109は、外部からプログラムやデータなどを書き込み可能なメモリである。NVRAM110およびSDRAM111は、電源OFF状態でも情報を保持するメモリである。
外部記憶媒体用I/F118は、外部記憶媒体を脱着可能なものであり、外部記憶媒体の規格に準じたインターフェースである。例えばSD(Secure Digital)カード、コンパクトフラッシュ(登録商標)、ROM−DIMM(Dual In-line Memory Module)等が外部記憶媒体として利用される。
セキュアデバイス112は、物理的に取り外すと二度と使えなくなるようなデバイスであり、鍵情報が格納されている。
また、オペレーションパネル121は、オペレータからの入力操作を受け付けるとともに、オペレータに向けた表示を行う操作部である。なお、FCU122はメモリを有しており、電源がOFFのときに受信したファクシミリデータを一時的に格納するために利用される。
なお、画像処理装置の構成により、Flash ROM109、SDRAM111、セキュアデバイス112、USB I/F114、IEEE 1394 I/F115、セントロニクスI/F116、無線I/F117、外部記憶媒体用I/F118、FCU122は存在しないこともある。
図3はネットワーク機器1を画像処理装置とした場合のソフトウェア構成例を示す図である。
図3において、ソフトウェアは、大きく分けると、アプリケーション部131とプラットフォーム部138とから構成される。
アプリケーション部131は、コピー、ファクス、スキャナおよびプリンタなどの画像形成処理に関連するユーザサービスに固有の処理を行うものである。アプリケーション部131は、コピー用のアプリケーションであるコピーアプリ132と、ファクシミリ用アプリケーションであるファクスアプリ133と、スキャナ用アプリケーションであるスキャナアプリ134と、ネットワークファイル用アプリケーションであるネットファイルアプリ135と、ページ記述言語およびプリンタ用のアプリケーションであるプリンタアプリ136とを有している。
また、プラットフォーム部138は、OS/Kernel147とともに、アプリケーション部131からの処理要求を解釈してハードウェアなどの各種資源の獲得要求を発生する各種制御部から構成される。プラットフォーム部138は、セキュリティ制御部139、オペレーション制御部140、メモリ制御部141、システム制御部142、ドキュメント制御部143、ネットワーク制御部144、ファクス制御部145、エンジン制御部146を備えている。OS/Kernel147には、IPやIPsec処理部が存在している。プラットフォーム部138は予め定義されている関数によりアプリケーション部131からの処理要求を受信可能とするAPI(Application Program Interface)137を有するように構成されている。
システム制御部142は、アプリケーションの管理、操作部の制御、システム画面の表示、LEDの表示、ハードウェア資源の管理、割り込みアプリケーションの制御などの処理を行う。
メモリ制御部141は、メモリの取得および解放、画像データの圧縮および伸張などのメモリ制御を行う。
エンジン制御部146は、図示していないハードウェアリソースのエンジンの制御を行う。
ファクス制御部145は、GSTN(General Switched Telephone Network)I/F150と接続し、システムコントローラの各アプリケーション層からPSTN(Public Switched Telephone Network)またはISDN(Integrated Services Digital Network)網を利用したファクシミリ送受信、バックアップ用のメモリで管理されている各種ファクシミリデータの登録/引用、ファクシミリ読み取りを行い、ファクシミリ受信印刷などを行うためのAPIを提供する。
オペレーション制御部140は、オペレータと本体制御との間の情報伝達手段となるオペレーションパネルの制御を行う。
ドキュメント制御部143は、他機器との送受信のためのデータの管理やデータの加工などを行う。
ネットワーク制御部144は、Ethernet(登録商標)などのネットワークと接続され、ネットワークI/O(Input Output)を必要とするアプリケーションに対して共通に利用できるサービスを提供し、ネットワーク側から各プロトコルによって受信したデータを各アプリケーションに振り分け、各アプリケーションからのデータをネットワーク側に送信する際の仲介を行う。
セキュリティ制御部139は、アプリケーション部131や各制御部に対してセキュリティサービスを行う。例えば、暗号化や復号化などを行う。
CPU102(図2)は画像処理装置全体の制御を行い、プラットフォーム部138の各制御部を実行し、それらを使用するアプリケーション部131の各アプリを実行する。
なお、本画像処理装置の構成により、アプリケーション部のいくつかのアプリケーション、プラットフォーム部のいくつかの制御部は存在しないこともある。
図4はネットワーク制御部144の構成例を示す図である。
図4において、ネットワーク制御部144は、全体を統括する全体制御部151、NVRAMなどから初期設定情報を読み書きする初期設定制御部152、他のアプリケーションや他の制御部のとのメッセージやデータのやり取りを行う他アプリ/他制御部通信部155、各種プロトコル(HTTP(HyperText Transfer Protocol)、FTP(File Transfer Protocol)、Port9100、LPR(Line PRinter daemon protocol)など)を処理するプロトコル制御部156(複数存在する)、IPv4(Internet Protocol version 4)アドレスやIPv6(Internet Protocol version 6)アドレスを生成するIPアドレス生成部154、IPsecに関する制御を行うIPsec/IKE通信・設定制御部153などから構成される。
IPsec化は、ネットワーク制御部144、セキュリティ制御部139(図3)、OS/Kernel147(図3)が連携して行われる。
図5はIPアドレス範囲テーブルT1の例を示す図であり、割り当てられるIPアドレス範囲を登録したものであり、予め管理者等によって登録が行われる。
そして、ユーザがいずれかを選択することにより、この範囲内からIPアドレスが生成され、同時に、この範囲のIPアドレスに対応したIPsec設定が行われることでIPsec通信可能となる。
このテーブルは、NVRAM110(図3)やHDD108(図3)に格納されたり、外部デバイスI/F148(図3)を通じて、外部デバイスに格納されたりする。以降のテーブルの格納場所も同様である。
図6は暗号化設定パラメータ組み合わせテーブルT2の例を示す図であり、IPsecにおいて用いられる暗号化設定パラメータの組み合わせを登録したものである。この例では、設定パラメータは、ハッシュアルゴリズム、認証アルゴリズム、暗号アルゴリズムだけ記載されているが、他のIPsecパラメータも含まれることもある。
図7はIPアドレス範囲テーブルT3の例を示す図であり、暗号化設定パラメータの組み合わせにより割り当てられるIPアドレス範囲を登録したものである。
そして、ユーザがいずれかを選択することにより、この範囲内からIPアドレスが生成され、同時に、この範囲のIPアドレスに対応したIPsec設定が行われることでIPsec通信可能となる。
ここで、パラメータ組み合わせは、図6に示した暗号化設定パラメータ組み合わせテーブルT2を使用している。
本発明を適用したネットワーク機器どうしが、同じ項目を選択することで、同じ範囲内のIPアドレスが割り振られるとともに、同じ内容のIPsec設定が行われ、IPsec通信が自動的に可能となる。以降のテーブルも同様である。
図8はIPアドレス範囲テーブルT4の例を示す図であり、暗号化設定パラメータの組み合わせとユーザ入力情報とにより割り当てられるIPアドレス範囲を登録したものである。
そして、ユーザがいずれかを選択することにより、この範囲内からIPアドレスが生成され、同時に、この範囲のIPアドレスに対応したIPsec設定が行われることでIPsec通信可能となる。
ここで、パラメータ組み合わせは、図6に示した暗号化設定パラメータ組み合わせテーブルT2を使用している。逆にユーザ入力情報を先に入力し、それにより暗号化パラメータの組み合わせが決まり、割り当てられるIPアドレス範囲が決まるという方式としてもよい。
図9はIPアドレス範囲テーブルT5の例を示す図であり、暗号化設定パラメータの組み合わせとグローバルアドレスがローカルアドレスかの選択により割り当てられるIPアドレス範囲を登録したものである。
そして、ユーザがいずれかを選択することにより、この範囲内からIPアドレスが生成され、同時に、この範囲のIPアドレスに対応したIPsec設定が行われることでIPsec通信可能となる。
図10はセキュリティレベル設定テーブルT6の例を示す図であり、ユーザに詳細な暗号化設定パラメータを設定させずに、セキュリティレベルだけを入力して行う時のセキュリティレベルと暗号化設定パラメータの組み合わせを登録したものである。他の暗号化パラメータも含まれることも当然ありうる。
図11はIPアドレス範囲テーブルT7の例を示す図であり、セキュリティレベルにより割り当てられるIPアドレス範囲を登録したものである。
そして、ユーザがいずれかを選択することにより、この範囲内からIPアドレスが生成され、同時に、この範囲のIPアドレスに対応したIPsec設定が行われることでIPsec通信可能となる。
ここで、セキュリティレベルは、図10に示したセキュリティレベル設定テーブルT6を使用している。
<管理者による事前設定>
図12は管理者による事前設定の処理例を示すフローチャートである。すなわち、割り当てるIPアドレス範囲(IPsec対象となるアドレス)を、IPアドレス範囲テーブルT1〜T7(図5〜11)として、ネットワーク制御部144(図4)やOS/Kernel147(図3)に設定するフロー例であり、事前に行う設定である。
図12において、処理を開始し(ステップS101)、IPsec設定および対象アドレス範囲を入力すると(ステップS102)、ネットワーク制御部144での設定(ステップS103)、OS/Kernel147での設定(ステップS104)を順次行い、NVRAM110やHDD108、外部デバイスなどにその情報を保存し(ステップS105)、処理を終了する(ステップS106)。
単にデータを保存することもあり、このときは、ネットワーク制御部144やOS/Kernel147への設定は行われないこともある。また、NVRAM110、HDD108、外部デバイスに保存せず、IPアドレス生成部154(図4)でデータを持ち続けるようにしてもよい。NVRAM110もしくはHDD108と外部デバイスの両方にデータを保存する場合もある。
図13は管理者による事前設定時のネットワーク制御部144内の動作例を示す図である。
図13において、他アプリ/他制御部通信部155によりオペレーション制御部140(図3)からIPsec設定および対象アドレス範囲を受け取ると(ステップS111、S112)、IPsec/IKE通信・設定制御部153はIPアドレス生成部154、OS/Kernel147に設定を行うとともに(ステップS113、S114)、NVRAM/HDD/外部デバイスに設定を行う(ステップS115〜S117)。
<ユーザによるIPsec設定>
図14はユーザによるIPsec設定の処理例を示すフローチャートであり、暗号化パラメータやキーワード(ユーザ入力情報)を入力してIPアドレスが生成および決定されるまでのフロー例である。
図14において、処理を開始すると(ステップS121)、ユーザから入力を受け付ける(ステップS122)。入力としては、図5のIPアドレス範囲テーブルT1から選択されるIPアドレス範囲、図7のIPアドレス範囲テーブルT3から選択されるパラメータ組み合わせ、図8のIPアドレス範囲テーブルT4から選択されるパラメータ組み合わせおよびユーザ入力情報、図9のIPアドレス範囲テーブルT5から選択されるパラメータ組み合わせおよびGlobal/Localのいずれかである。
次いで、格納されているIPアドレス範囲情報からIPアドレスを生成する(ステップS123)。例えば、IPアドレス範囲からランダムにIPアドレスを抽出することによりIPアドレスを生成する。
次いで、生成したIPアドレスに対してIPアドレスの重複検知を行い(ステップS124)、重複する場合にはIPアドレスの生成(ステップS123)に戻り、同じ範囲内から異なるIPアドレスを選びリトライする。
重複がない場合、カーネルなどにIPsecおよびIPアドレスの設定を行い(ステップS125)、NVRAM110などにIPアドレス情報の保存を行い(ステップS126)、処理を終了する(ステップS127)。
図15はユーザによるIPsec設定の処理例を示すフローチャートであり、暗号化パラメータなどではなく、セキュリティレベルを入力してIPアドレスが生成および決定されるまでのフロー例である。
図15において、処理を開始すると(ステップS131)、ユーザからセキュリティレベルを入力する(ステップS132)。この入力は図11のIPアドレス範囲テーブルT7から選択されることで行われる。
次いで、格納されているIPアドレス範囲情報からIPアドレスを生成する(ステップS133)。例えば、IPアドレス範囲からランダムにIPアドレスを抽出することによりIPアドレスを生成する。
次いで、生成したIPアドレスに対してIPアドレスの重複検知を行い(ステップS134)、重複する場合にはIPアドレスの生成(ステップS133)に戻り、同じ範囲内から異なるIPアドレスを選びリトライする。
重複がない場合、カーネルなどにIPsecおよびIPアドレスの設定を行い(ステップS135)、NVRAM110などにIPアドレス情報の保存を行い(ステップS136)、処理を終了する(ステップS137)。
図16はIPsec設定時のネットワーク制御部144内の動作例を示す図であり、入力された設定によりIPアドレスが決定される場合のネットワーク制御部144内流れの例である。
図16において、他アプリ/他制御部通信部155によりオペレーション制御部140(図3)からユーザ入力を受け取ると(ステップS141、S142)、IPsec/IKE通信・設定制御部153はIPアドレス生成部154にそれを伝える(ステップS143)。ここではIPアドレス範囲情報がNVRAM/HDDに格納されているものとすると、IPアドレス生成部154はNVRAM/HDDからIPアドレスを取得し(ステップS144)、その情報をもとにIPsec/IKE通信・設定制御部153はプロトコル制御部156を通してIPアドレスの重複検知を行う(ステップS145)。重複がなければ、OS/Kernelにアドレス情報を設定し(ステップS146)、初期設定制御部152を介してNVRAMにIPアドレス情報の保存を行う(ステップS147、S148)。
図17はIPsec設定時のネットワーク制御部144内の動作例を示す図であり、外部デバイスにアクセスしてIPアドレスが決定される場合のネットワーク制御部144内流れの例である。
図17において、他アプリ/他制御部通信部155によりオペレーション制御部140(図3)からユーザ入力を受け取ると(ステップS151、S152)、IPsec/IKE通信・設定制御部153はIPアドレス生成部154にそれを伝える(ステップS153)。ここではIPアドレス範囲情報(アルゴリズム)が外部デバイスに格納されているものとすると、IPアドレス生成部154は外部デバイスからIPアドレスを取得し(ステップS154)、その情報をもとにIPsec/IKE通信・設定制御部153はプロトコル制御部156を通してIPアドレスの重複検知を行う(ステップS155)。重複がなければ、OS/Kernelにアドレス情報を設定し(ステップS156)、初期設定制御部152を介してNVRAMにIPアドレス情報の保存を行う(ステップS157、S158)。
<IKE/IPsec通信>
図18はIKE/IPsec通信の基本シーケンスを示す図であり、IKEのネゴシエーションフロー例とその後のIPsecのフローである。
IKEでは、最初のフェーズ1にてフェーズ2で使用される暗号方式の決定と暗号鍵生成が行われ、フェーズ2ではIPsecで使用される暗号方式と暗号鍵がネゴシエーションされる。
<総括>
本発明では、IPsecの使い勝手を改善するため、IPsecの設定を行うと自動的にIPsec通信対象の特定アドレス範囲に属すようなIPアドレスを生成することにより、IPsecを容易に使えるようにしている。
これにより、暗号化機能を持ち、インターネットやイントラネットなどのネットワークに接続され、ネットワークとのデータの送受信を行うことが可能なネットワーク機器において、ユーザが設定する暗号化設定パラメータによって装置のIPアドレスを自動的に生成することができ、ユーザはアドレスを意識することがなくなる。
また、生成されたIPアドレスはIPsec通信対象のアドレスとなる特定の範囲内のアドレスに属することにより、同じ方式を持った機器同士のIPsec通信の設定をユーザが行うことが不要になる。
また、生成されるIPアドレスは、サブネット内(ローカル)のみで使用できるアドレスやグローバルに使用できるアドレスとなることにより、ユーザが環境に合わせて使い分けることができる。
また、IPアドレスを生成する際に、暗号化設定パラメータ以外のユーザが入力した情報(特定のフレーズなど)を用い、その情報によりアドレス範囲が決まる方式を用いることにより、入力情報によりIPsec通信ができる機器どうしを管理することができ、自由度が高まる。
また、ユーザが入力する暗号化設定内容はプロトコルに依存したものではなく、高・中・低などの簡易な方式を用いることにより、IPsecに精通していないユーザでもIPsec通信設定を行うことができる。
また、IPアドレスを生成するデータ情報やアルゴリズムは、機器に装着可能な外部デバイスに格納することにより、複数の対象機器にて同様の方法を取ることで、IPsec通信を行う機器どうしの管理が可能となり、また、外部デバイスをPCなどにも装着し、同じ設定を幅広い機器に適用することができる。
以上、本発明の好適な実施の形態により本発明を説明した。ここでは特定の具体例を示して本発明を説明したが、特許請求の範囲に定義された本発明の広範な趣旨および範囲から逸脱することなく、これら具体例に様々な修正および変更を加えることができることは明らかである。すなわち、具体例の詳細および添付の図面により本発明が限定されるものと解釈してはならない。
本発明のネットワーク機器を適用したネットワークシステムの一実施形態を示す全体構成図である。 ネットワーク機器を画像処理装置とした場合のハードウェア構成例を示す図である。 ネットワーク機器を画像処理装置とした場合のソフトウェア構成例を示す図である。 ネットワーク制御部の構成例を示す図である。 IPアドレス範囲テーブルの例を示す図(その1)である。 暗号化設定パラメータ組み合わせテーブルの例を示す図である。 IPアドレス範囲テーブルの例を示す図(その2)である。 IPアドレス範囲テーブルの例を示す図(その3)である。 IPアドレス範囲テーブルの例を示す図(その4)である。 セキュリティレベル設定テーブルの例を示す図である。 IPアドレス範囲テーブルの例を示す図(その5)である。 管理者による事前設定の処理例を示すフローチャートである。 管理者による事前設定時のネットワーク制御部内の動作例を示す図である。 ユーザによるIPsec設定の処理例を示すフローチャート(その1)である。 ユーザによるIPsec設定の処理例を示すフローチャート(その2)である。 IPsec設定時のネットワーク制御部内の動作例を示す図(その1)である。 IPsec設定時のネットワーク制御部内の動作例を示す図(その2)である。 IKE/IPsec通信の基本シーケンスを示す図である。
符号の説明
1、1A〜1D ネットワーク機器
2A、2B ルータ
3A〜3C PC
6〜8 ネットワーク
101 コントローラ
102 CPU
103 システムメモリ
104 NB
105 SB
106 ASIC
107 ローカルメモリ
108 HDD
109 Flash ROM
110 NVRAM
111 SDRAM
112 セキュアデバイス
113 Ethernet(登録商標) I/F
114 USB I/F
115 IEEE 1394 I/F
116 セントロニクスI/F
117 無線I/F
118 外部記憶媒体用I/F
119 AGP
120 バス
121 オペレーションパネル
122 FCU
123 エンジン部
124 バス
131 アプリケーション部
132 コピーアプリ
133 ファクスアプリ
134 スキャナアプリ
135 ネットファイルアプリ
136 プリンタアプリ
137 API
138 プラットフォーム部
139 セキュリティ制御部
140 オペレーション制御部
141 メモリ制御部
142 システム制御部
143 ドキュメント制御部
144 ネットワーク制御部
145 ファクス制御部
146 エンジン制御部
147 OS/Kernel
148 外部デバイスI/F
149 Network I/F
150 GSTN I/F
151 全体制御部
152 初期設定制御部
153 IPsec/IKE通信・設定制御部
154 IPアドレス生成部
155 他アプリ/他制御部通信部
156 プロトコル制御部
T1、T3、T4、T5、T7 IPアドレス範囲テーブル
T2 暗号化設定パラメータ組み合わせテーブル
T6 セキュリティレベル設定テーブル

Claims (17)

  1. 暗号化手段を有し、ネットワークに接続されるネットワーク機器であって、
    割り当てられるアドレス範囲と暗号化設定パラメータとを対応付けて管理する手段と、
    ユーザによるアドレス範囲の選択に応じ、当該アドレス範囲内のアドレスを生成するとともに、対応する暗号化設定パラメータによる暗号化設定を行う手段とを備えたことを特徴とするネットワーク機器。
  2. 請求項1に記載のネットワーク機器において、
    暗号化方式としてIPsecを用いることを特徴とするネットワーク機器。
  3. 請求項1に記載のネットワーク機器において、
    生成されるアドレスはIPv6アドレスもしくはIPv4アドレスであることを特徴とするネットワーク機器。
  4. 請求項1に記載のネットワーク機器において、
    ユーザはアドレス範囲を直接に選択することを特徴とするネットワーク機器。
  5. 請求項1に記載のネットワーク機器において、
    ユーザは暗号化設定パラメータの組み合わせからアドレス範囲を選択することを特徴とするネットワーク機器。
  6. 請求項1に記載のネットワーク機器において、
    ユーザは暗号化設定パラメータの組み合わせとユーザ入力情報とからアドレス範囲を選択することを特徴とするネットワーク機器。
  7. 請求項1に記載のネットワーク機器において、
    ユーザは暗号化設定パラメータの組み合わせとローカルアドレスもしくはグローバルアドレスであるかによりアドレス範囲を選択することを特徴とするネットワーク機器。
  8. 請求項1に記載のネットワーク機器において、
    ユーザはセキュリティレベルによりアドレス範囲を選択することを特徴とするネットワーク機器。
  9. 請求項8に記載のネットワーク機器において、
    セキュリティレベルはプロトコルに依存したものではなく、高・中・低などの簡易レベルであることを特徴とするネットワーク機器。
  10. 請求項1に記載のネットワーク機器において、
    アドレスを生成するデータ情報やアルゴリズムは、当該機器に装着可能な外部デバイスに格納されることを特徴とするネットワーク機器。
  11. 暗号化手段を有し、ネットワークに接続されるネットワーク機器のIPsec設定方法であって、
    割り当てられるアドレス範囲と暗号化設定パラメータとを対応付けて管理する工程と、
    ユーザによるアドレス範囲の選択に応じ、当該アドレス範囲内のアドレスを生成するとともに、対応する暗号化設定パラメータによる暗号化設定を行う工程とを備えたことを特徴とするネットワーク機器のIPsec設定方法。
  12. 請求項11に記載のネットワーク機器のIPsec設定方法において、
    ユーザはアドレス範囲を直接に選択することを特徴とするネットワーク機器のIPsec設定方法。
  13. 請求項11に記載のネットワーク機器のIPsec設定方法において、
    ユーザは暗号化設定パラメータの組み合わせからアドレス範囲を選択することを特徴とするネットワーク機器のIPsec設定方法。
  14. 請求項11に記載のネットワーク機器のIPsec設定方法において、
    ユーザは暗号化設定パラメータの組み合わせとユーザ入力情報とからアドレス範囲を選択することを特徴とするネットワーク機器のIPsec設定方法。
  15. 請求項11に記載のネットワーク機器のIPsec設定方法において、
    ユーザは暗号化設定パラメータの組み合わせとローカルアドレスもしくはグローバルアドレスであるかによりアドレス範囲を選択することを特徴とするネットワーク機器のIPsec設定方法。
  16. 請求項11に記載のネットワーク機器のIPsec設定方法において、
    ユーザはセキュリティレベルによりアドレス範囲を選択することを特徴とするネットワーク機器のIPsec設定方法。
  17. 暗号化手段を有し、ネットワークに接続されるネットワーク機器の制御プログラムであって、
    コンピュータを、
    割り当てられるアドレス範囲と暗号化設定パラメータとを対応付けて管理する手段、
    ユーザによるアドレス範囲の選択に応じ、当該アドレス範囲内のアドレスを生成するとともに、対応する暗号化設定パラメータによる暗号化設定を行う手段として動作させることを特徴とするネットワーク機器の制御プログラム。
JP2006069766A 2006-03-14 2006-03-14 ネットワーク機器 Active JP4690918B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006069766A JP4690918B2 (ja) 2006-03-14 2006-03-14 ネットワーク機器
US11/684,709 US8281124B2 (en) 2006-03-14 2007-03-12 Network apparatus, IPsec setting method therein, and computer-readable recording medium storing a control program for executing the method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006069766A JP4690918B2 (ja) 2006-03-14 2006-03-14 ネットワーク機器

Publications (2)

Publication Number Publication Date
JP2007251417A JP2007251417A (ja) 2007-09-27
JP4690918B2 true JP4690918B2 (ja) 2011-06-01

Family

ID=38519331

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006069766A Active JP4690918B2 (ja) 2006-03-14 2006-03-14 ネットワーク機器

Country Status (2)

Country Link
US (1) US8281124B2 (ja)
JP (1) JP4690918B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101197664B (zh) * 2008-01-03 2010-12-08 杭州华三通信技术有限公司 一种密钥管理协议协商的方法、系统和装置
GB2474843B (en) * 2009-10-27 2012-04-25 Motorola Solutions Inc Method for providing security associations for encrypted packet data
JP6052039B2 (ja) * 2013-04-23 2016-12-27 コニカミノルタ株式会社 情報処理装置およびネットワーク接続プログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08204698A (ja) * 1995-01-24 1996-08-09 Mitsubishi Electric Corp 暗号装置
JP2001298449A (ja) * 2000-04-12 2001-10-26 Matsushita Electric Ind Co Ltd セキュリティ通信方法、通信システム及びその装置
JP2005191973A (ja) * 2003-12-25 2005-07-14 Toshiba Corp ネットワーク電話システム、このネットワーク電話システムの主装置及び接続認証方法

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5577209A (en) * 1991-07-11 1996-11-19 Itt Corporation Apparatus and method for providing multi-level security for communication among computers and terminals on a network
US5751971A (en) * 1995-07-12 1998-05-12 Cabletron Systems, Inc. Internet protocol (IP) work group routing
US6834298B1 (en) * 1999-09-21 2004-12-21 Siemens Information And Communication Networks, Inc. System and method for network auto-discovery and configuration
US6931529B2 (en) * 2001-01-05 2005-08-16 International Business Machines Corporation Establishing consistent, end-to-end protection for a user datagram
US6928553B2 (en) * 2001-09-18 2005-08-09 Aastra Technologies Limited Providing internet protocol (IP) security
US7191331B2 (en) * 2002-06-13 2007-03-13 Nvidia Corporation Detection of support for security protocol and address translation integration
US20040006641A1 (en) * 2002-07-02 2004-01-08 Nischal Abrol Use of multi-format encapsulated internet protocol messages in a wireless telephony network
JP4159328B2 (ja) * 2002-09-11 2008-10-01 Necインフロンティア株式会社 ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法
JP4083637B2 (ja) * 2003-07-15 2008-04-30 株式会社リコー 画像処理装置,送受信データ処理方法,送受信データ処理プログラム
US7631181B2 (en) * 2003-09-22 2009-12-08 Canon Kabushiki Kaisha Communication apparatus and method, and program for applying security policy
JP4437400B2 (ja) 2003-12-22 2010-03-24 キヤノンソフトウェア株式会社 ネットワークシステムおよびネットワークシステム管理方法およびプログラムおよび記録媒体
JP4047303B2 (ja) * 2004-06-04 2008-02-13 キヤノン株式会社 提供装置、提供プログラム、及び、提供方法
JP4368776B2 (ja) 2004-09-30 2009-11-18 株式会社リコー ネットワーク機器、ネットワーク機器の制御方法、プログラム及び記録媒体
JP4448756B2 (ja) 2004-10-25 2010-04-14 株式会社リコー 画像処理装置及び画像処理方法
US7512138B2 (en) * 2004-11-30 2009-03-31 General Instrument Corporation Device. system, and method for automatically determining an appropriate LAN IP address range in a multi-router network environment
US8813181B2 (en) * 2005-03-07 2014-08-19 Taun Eric Willis Electronic verification systems
US8056124B2 (en) * 2005-07-15 2011-11-08 Microsoft Corporation Automatically generating rules for connection security
US8286002B2 (en) * 2005-12-02 2012-10-09 Alcatel Lucent Method and apparatus for providing secure remote access to enterprise networks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08204698A (ja) * 1995-01-24 1996-08-09 Mitsubishi Electric Corp 暗号装置
JP2001298449A (ja) * 2000-04-12 2001-10-26 Matsushita Electric Ind Co Ltd セキュリティ通信方法、通信システム及びその装置
JP2005191973A (ja) * 2003-12-25 2005-07-14 Toshiba Corp ネットワーク電話システム、このネットワーク電話システムの主装置及び接続認証方法

Also Published As

Publication number Publication date
JP2007251417A (ja) 2007-09-27
US8281124B2 (en) 2012-10-02
US20070220250A1 (en) 2007-09-20

Similar Documents

Publication Publication Date Title
US20100134818A1 (en) Data processing apparatus, printer network system, data processing method, and computer-readable recording medium thereof
JP4101140B2 (ja) 画像処理装置、画像処理システム、名前登録方法、名前登録プログラム及び記録媒体
JP2009205529A (ja) ドライバインストール方法およびドライバインストールプログラム
US8284425B2 (en) External device document input and output device and external device document input and output method
JP2006109459A (ja) 印刷支援装置、印刷処理装置、文書処理システム、印刷支援装置の制御方法、印刷支援制御プログラム、およびコンピュータ読み取り可能な記録媒体
JP4690918B2 (ja) ネットワーク機器
JP2007037121A (ja) ドキュメント処理装置が備えるアドレス帳の相互互換性を高めるシステム、方法およびプログラム
US20060227376A1 (en) Secure image data system and method
JP2004171327A (ja) ドライバ設定システム及びドライバ
JP5195194B2 (ja) 画像処理装置及び画像処理システム
JP4368776B2 (ja) ネットワーク機器、ネットワーク機器の制御方法、プログラム及び記録媒体
JP2007251568A (ja) ネットワーク機器
JP5626268B2 (ja) 情報処理端末
JP2013020342A (ja) 画像形成システム、出力管理方法およびプログラム
JP5021533B2 (ja) 情報処理端末
JP2009193547A (ja) 画像形成装置及びその画像形成制御方法
US9189180B1 (en) Converting page description language to enhance the capabilities of multifunction peripherals
JP4358069B2 (ja) 通信装置、通信装置の制御方法、プログラム及び記録媒体
JP4715312B2 (ja) 画像形成装置,画像形成システム及びファイル管理プログラム並びに該プログラムを記録した記録媒体
JP7135724B2 (ja) 特定機器、システム、プログラム
JP7098967B2 (ja) 電子機器、プログラム、ワークフロー実行制御方法及び情報処理システム
JP2008135968A (ja) 画像形成装置、ファクス通信方法、及びファクス通信プログラム
JP2006229876A (ja) 機器、能力通知方法及び能力通知プログラム
JP6756234B2 (ja) スキャナ
JP2006106923A (ja) データ移行システム、クライアント、記録媒体、及びデータ移行方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081217

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101110

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101116

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110104

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110125

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110218

R150 Certificate of patent or registration of utility model

Ref document number: 4690918

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140225

Year of fee payment: 3