(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6231532
(24)【登録日】2017年10月27日
(45)【発行日】2017年11月15日
(54)【発明の名称】IPP−USBデータのIPsecセキュリティのための方法およびシステム
(51)【国際特許分類】
G06F 21/82 20130101AFI20171106BHJP
G06F 13/38 20060101ALI20171106BHJP
G06F 13/00 20060101ALI20171106BHJP
【FI】
G06F21/82
G06F13/38 350
G06F13/00 354A
【請求項の数】21
【外国語出願】
【全頁数】13
(21)【出願番号】特願2015-217840(P2015-217840)
(22)【出願日】2015年11月5日
(65)【公開番号】特開2016-162445(P2016-162445A)
(43)【公開日】2016年9月5日
【審査請求日】2016年7月1日
(31)【優先権主張番号】14/633941
(32)【優先日】2015年2月27日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】507031918
【氏名又は名称】コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド
(74)【代理人】
【識別番号】110000671
【氏名又は名称】八田国際特許業務法人
(72)【発明者】
【氏名】マリア ペレス
【審査官】
金沢 史明
(56)【参考文献】
【文献】
特開2008−311939(JP,A)
【文献】
特開2014−103504(JP,A)
【文献】
特開2013−243583(JP,A)
【文献】
特開2004−272724(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/00−21/88
G06F 13/00
G06F 13/38
(57)【特許請求の範囲】
【請求項1】
ユニバーサルシリアルバス接続(USB接続)を介して伝送されるデータの安全性を提供する方法であって、
ホスト装置およびクライアント装置において、IPsecポリシー設定を指定するステップと、ここで、前記IPsecポリシー設定は、第1ループバックインターフェースおよび前記ホスト装置のIPアドレスと第2ループバックインターフェースおよび前記クライアント装置のIPアドレスとを含み、
前記ホスト装置が、前記ホスト装置の前記第1ループバックインターフェースにパケットを送信するステップと、ここで、前記第1ループバックインターフェースは、前記パケットが前記第2ループバックインターフェースにルーティングされるように設定し、
前記パケットを暗号化のために前記第1ループバックインターフェースから前記ホスト装置のIPsecモジュールに送信するステップと、
前記ホスト装置が、前記第1ループバックインターフェースから受信された前記パケットをフィルター処理するステップと、
前記ホスト装置が、前記USB接続を介して前記クライアント装置に前記パケットを送信するステップと、
前記クライアント装置が、前記クライアント装置の前記第2ループバックインターフェースに前記パケットを送信するステップと、
前記パケットを復号化のために前記クライアント装置の前記第2ループバックインターフェースから前記クライアント装置のIPsecモジュールに送信するステップと、
前記クライアント装置が、前記クライアント装置の前記第2ループバックインターフェースに、前記クライアント装置において受信され復号化された前記パケットを送信するステップと、
を有する方法。
【請求項2】
マニュアルキー設定によって前記IPsecポリシー設定を指定するステップを有する請求項1に記載の方法。
【請求項3】
自動キー設定によって前記IPsecポリシー設定を指定するステップを有する請求項1に記載の方法。
【請求項4】
前記パケットはHTTP/IPPパケットである請求項1〜3のいずれか一項に記載の方法。
【請求項5】
前記クライアント装置が、前記クライアント装置の前記第2ループバックインターフェースに、応答パケットを送信するステップと、ここで、前記第2ループバックインターフェースは、前記応答パケットが前記ホスト装置の前記第1ループバックインターフェースにルーティングされるように設定し、
前記クライアント装置が、前記応答パケットを暗号化のために前記クライアント装置の前記IPsecモジュールに送信するステップと、
前記クライアント装置が、前記クライアント装置の前記IPsecモジュールから受信した前記応答パケットをフィルター処理するステップと、
前記クライアント装置が、前記USB接続を介して前記ホスト装置に前記応答パケットを送信するステップと、
前記ホスト装置が、前記第1ループバックインターフェースに前記応答パケットを送信するステップと、
前記ホスト装置が、前記応答パケットを復号化のために前記ホスト装置の前記IPsecモジュールに送信するステップと、
前記ホスト装置が、前記ホスト装置の前記IPsecモジュールから復号化された前記応答パケットを受信し、前記応答パケットをフィルター処理するステップと、
を有する請求項1〜4のいずれか一項に記載の方法。
【請求項6】
前記ホスト装置はプリンターであり、前記クライアント装置はパーソナルコンピューターであり、
前記応答パケットに印刷データを付加するステップをさらに有する請求項5に記載の方法。
【請求項7】
前記ホスト装置のホストアプリケーション上において前記第1ループバックインターフェースを提供し、前記クライアント装置の装置アプリケーション上において前記第2ループバックインターフェースを提供するステップを有する請求項1〜6のいずれか一項に記載の方法。
【請求項8】
ユニバーサルシリアルバス接続(USB接続)を介して伝送されるデータの安全性を提供する方法をコンピューターに実行させるためのコンピュータープログラムであって、
ホスト装置において、IPsecポリシー設定を指定するステップと、ここで、前記IPsecポリシー設定は、第1ループバックインターフェースおよび前記ホスト装置のIPアドレスを含み、
前記ホスト装置が、前記ホスト装置の前記第1ループバックインターフェースにパケットを送信するステップと、ここで、前記第1ループバックインターフェースは、前記パケットがクライアント装置の第2ループバックインターフェースにルーティングされるように設定し、前記クライアント装置の前記第2ループバックインターフェースは、前記パケットを復号化するように構成され、
前記パケットを暗号化のために前記第1ループバックインターフェースから前記ホスト装置のIPsecモジュールに送信するステップと、
前記ホスト装置が、前記第1ループバックインターフェースから受信された暗号化された前記パケットをフィルター処理するステップと、
前記ホスト装置が、前記USB接続を介して前記クライアント装置に暗号化された前記パケットを送信するステップと、
を有するコンピュータープログラム。
【請求項9】
前記ホスト装置が、前記USB接続を介して前記クライアント装置の前記第2ループバックインターフェースから暗号化された応答パケットを受信するステップと、
前記ホスト装置が、前記第1ループバックインターフェースに暗号化された前記応答パケットを送信するステップと、
前記ホスト装置が、暗号化された前記応答パケットを復号化のために前記ホスト装置の前記IPsecモジュールに送信するステップと、
前記ホスト装置が、前記ホスト装置の前記IPsecモジュールから復号化された前記応答パケットを受信し、復号化された前記応答パケットをフィルター処理するステップと、
を有する請求項8に記載のコンピュータープログラム。
【請求項10】
ユニバーサルシリアルバス接続(USB接続)を介して伝送されるデータの安全性を提供する方法をコンピューターに実行させるためのコンピュータープログラムであって、
クライアント装置において、IPsecポリシー設定を指定するステップと、ここで、前記IPsecポリシー設定は、第2ループバックインターフェースおよび前記クライアント装置のIPアドレスを含み、
前記クライアント装置において前記USB接続を介してホスト装置から暗号化されたパケットを受信するステップと、
前記クライアント装置が、前記パケットを前記クライアント装置の前記第2ループバックインターフェースに送信するステップと、
前記パケットを復号化のために前記クライアント装置の前記第2ループバックインターフェースから前記クライアント装置のIPsecモジュールに送信するステップと、
前記クライアント装置が、前記クライアント装置の前記第2ループバックインターフェースに、前記クライアント装置において受信され復号化された前記パケットを送信するステップと、
を有するコンピュータープログラム。
【請求項11】
前記クライアント装置が、前記クライアント装置の前記第2ループバックインターフェースに、応答パケットを送信するステップと、ここで、前記第2ループバックインターフェースは、前記応答パケットが前記ホスト装置の第1ループバックインターフェースにルーティングされるように設定し、
前記クライアント装置が、前記応答パケットを暗号化のために前記クライアント装置の前記IPsecモジュールに送信するステップと、
前記クライアント装置が、前記クライアント装置の前記IPsecモジュールから受信した暗号化された前記応答パケットをフィルター処理するステップと、
前記クライアント装置が、前記USB接続を介して前記ホスト装置に暗号化された前記応答パケットを送信するステップと、
を有する請求項10に記載のコンピュータープログラム。
【請求項12】
マニュアルキー設定によって前記IPsecポリシー設定を指定するステップを含む請求項8〜11のいずれか一項に記載のコンピュータープログラム。
【請求項13】
自動キー設定によって前記IPsecポリシー設定を指定するステップを含む請求項8〜11のいずれか一項に記載のコンピュータープログラム。
【請求項14】
前記パケットはHTTP/IPPパケットである請求項8〜13のいずれか一項に記載のコンピュータープログラム。
【請求項15】
ユニバーサルシリアルバス接続(USB接続)を介して伝送されるデータの安全性を提供するシステムであって、
前記USB接続と、
ホスト装置であって、第1ループバックインターフェースおよび当該ホスト装置のIPアドレスを含むIPsecポリシー設定によって構成されるホストアプリケーションを有するホスト装置と、
クライアント装置であって、第2ループバックインターフェースおよび当該クライアント装置のIPアドレスを含む前記IPsecポリシー設定によって構成される装置アプリケーションを有するクライアント装置と、を有し、
前記ホスト装置は、
前記ホスト装置の前記第1ループバックインターフェースにパケットを送信し、ここで、前記第1ループバックインターフェースは、前記パケットが前記第2ループバックインターフェースにルーティングされるように設定し、
前記パケットを暗号化のために前記第1ループバックインターフェースから前記ホスト装置のIPsecモジュールに送信し、
前記第1ループバックインターフェースから受信された前記パケットをフィルター処理し、
前記USB接続を介して前記クライアント装置に前記パケットを送信し、
前記クライアント装置は、
前記クライアント装置の前記第2ループバックインターフェースに前記パケットを送信し、
前記パケットを復号化のために前記クライアント装置の前記第2ループバックインターフェースから前記クライアント装置のIPsecモジュールに送信し、
前記クライアント装置の前記装置アプリケーション上の前記第2ループバックインターフェースに、前記クライアント装置において受信され復号化された前記パケットを送信するように構成されるシステム。
【請求項16】
前記IPsecポリシー設定は、前記ホスト装置および前記クライアント装置においてマニュアルキー設定によって指定される請求項15に記載のシステム。
【請求項17】
前記IPsecポリシー設定は、前記ホスト装置および前記クライアント装置において自動キー設定によって指定される請求項15に記載のシステム。
【請求項18】
前記クライアント装置は、
前記クライアント装置の前記第2ループバックインターフェースに、応答パケットを送信し、ここで、前記第2ループバックインターフェースは、前記応答パケットが前記ホスト装置の前記第1ループバックインターフェースにルーティングされるように設定し、
前記応答パケットを暗号化のために前記クライアント装置の前記IPsecモジュールに送信し、
前記クライアント装置の前記IPsecモジュールから受信した前記応答パケットをフィルター処理し、
前記USB接続を介して前記ホスト装置に前記応答パケットを送信し、
前記ホスト装置は、
前記第1ループバックインターフェースに前記応答パケットを送信し、
前記応答パケットを復号化のために前記ホスト装置の前記IPsecモジュールに送信し、
前記ホスト装置の前記IPsecモジュールから復号化された前記応答パケットを受信し、前記応答パケットをフィルター処理するように構成される請求項15〜17のいずれか一項に記載のシステム。
【請求項19】
前記ホスト装置はプリンターであり、前記クライアント装置はパーソナルコンピューターであり、
前記応答パケットは印刷データを有する請求項18に記載のシステム。
【請求項20】
前記第1ループバックインターフェースは、前記ホスト装置の前記ホストアプリケーション上において提供され、前記第2ループバックインターフェースは、前記クライアント装置の前記装置アプリケーション上において提供される請求項15〜19のいずれか一項に記載のシステム。
【請求項21】
請求項8〜14のいずれか一項に記載のコンピュータープログラムを記録したコンピューター読み取り可能な記録媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、IPP−USBデータ(インターネット印刷プロトコル−ユニバーサルシリアルバスデータ)のIPsecセキュリティのための方法およびシステムに関し、特にホスト装置からクライアント装置へのHTTP/IPPのUSBプロトコルを安全にして伝送する方法およびシステムに関する。
【背景技術】
【0002】
ネットワークは、一つのパーソナルコンピューターが、他のパーソナルコンピューターおよび/または他のネットワーク機器と、ネットワーク(またはネットワーク接続)を介して、電子メッセージを用いて通信可能とすることによって、我々の通信および情報アクセスの能力を向上させている。パーソナルコンピューター間またはネットワークデバイス間において電子メッセージが送信されるとき、電子メッセージはしばしば、電子メッセージ中のデータへの処理(たとえば、パケット化、ルーティング、フローコントロール等)を行うプロトコルスタックを経由する。
【発明の概要】
【発明が解決しようとする課題】
【0003】
インターネットプロトコルセキュリティ(IPsec)は、通信セッションの各IPパケットを認証および暗号化することによって、インターネットプロトコル(IP)通信を安全にするために適したプロトコルである。IPsecは、セッションのはじめにおけるエージェント間の相互認証の確立およびセッションの間に用いられる暗号鍵のネゴシエーションのためのプロトコルを含む。また、IPsecは、ホストのペア間(ホストからホストへ)、セキュリティゲートウェイのペア間(ネットワークからネットワークへ)、またはセキュリティゲートウェイおよびホスト間(ネットワークからホストへ)におけるデーターフローを保護するために用いられる。
【0004】
インターネットプロトコルセキュリティ(IPsec)は、インターネットプロトコル(IP)ネットワーク上の通信を保護するために、暗号セキュリティサービスを用いる。IPsecは、ネットワークレベルのピア認証、データ発信元認証、データの完全性、データの機密性(暗号化)、およびリプレイ防御をサポートしうる。
【課題を解決するための手段】
【0005】
典型的な実施形態によれば、ユニバーサルシリアルバス接続(USB接続)を介して伝送されるデータの安全性を提供する方法であって、ホスト装置およびクライアント装置において、IPsecポリシー設定を指定するステップと、ここで、IPsecポリシー設定は、第1ループバックインターフェースおよびホスト装置のIPアドレスと第2ループバックインターフェースおよびクライアント装置のIPアドレスとを含み、
ホスト装置が、ホスト装置の第1ループバックインターフェースにパケットを送信するステップと、ここで、第1ループバックインターフェースは、パケットが第2ループバックインターフェースにルーティングされるように設定し、パケットを暗号化のために第1ループバックインターフェースからホスト装置のIPsecモジュールに送信するステップと、
ホスト装置が、第1ループバックインターフェースから受信されたパケットをフィルター処理するステップと、
ホスト装置が、USB接続を介してクライアント装置にパケットを送信するステップと、
クライアント装置が、クライアント装置の第2ループバックインターフェースにパケットを
送信するステップと、パケットを復号化のためにクライアント装置の第2ループバックインターフェースからクライアント装置のIPsecモジュールに送信するステップと、
クライアント装置が、クライアント装置
の第2ループバックインターフェースに、クライアント装置において受信され復号化されたパケットを送信するステップと、を有する方法が開示される。
【0006】
典型的な実施形態によれば、ユニバーサルシリアルバス
接続(USB
接続)を介して伝送されるデータの安全性を提供する方法であって、ホスト装置およびクライアント装置において、IPsecポリシー設定を指定するステップと、ここで、IPsecポリシー設定は、第1ループバックインターフェースおよびホスト装置のIPアドレスと第2ループバックインターフェースおよびクライアント装置のIPアドレスとを含み、
ホスト装置が、ホスト装置の第1ループバックインターフェースにパケットを送信するステップと、ここで、第1ループバックインターフェースは、パケットが第2ループバックインターフェースにルーティングされるように設定し、パケットを暗号化のために第1ループバックインターフェースからホスト装置のIPsecモジュールに送信するステップと、
ホスト装置が、第1ループバックインターフェースから受信されたパケットをフィルター処理するステップと、
ホスト装置が、USB接続を介してクライアント装置にパケットを送信するステップと、
クライアント装置が、クライアント装置の第2ループバックインターフェースにパケットを
送信するステップと、パケットを復号化のためにクライアント装置の第2ループバックインターフェースからクライアント装置のIPsecモジュールに送信するステップと、
クライアント装置が、クライアント装置
の第2ループバックインターフェースに、クライアント装置において受信され復号化されたパケットを送信するステップと、をコンピューターに実行させるコンピュータープログラムおよびコンピュータープログラムが内部に格納されたコンピューター読み取り可能な非一時的媒体が開示される。
【0007】
典型的な実施形態によれば、ユニバーサルシリアルバス接続(USB接続)を介して伝送されるデータの安全性を提供するシステムであって、USB
接続と、ホスト装置であって、第1ループバックインターフェースおよびホスト装置のIPアドレスを含むIPsecポリシー
設定によって構成されるホストアプリケーションを有するホスト装置と、クライアント装置であって、第2ループバックインターフェースおよびクライアント装置のIPアドレス
を含むIPsecポリシー設定によって構成される装置アプリケーションを有するクライアント装置と、を有し、ホスト装
置は、ホスト装置の第1ループバックインターフェースにパケットを送信し、ここで、第1ループバックインターフェースは、パケットが第2ループバックインターフェースにルーティングされるように設定し、パケットを暗号化のために第1ループバックインターフェースからホスト装置のIPsecモジュールに送信し、第1ループバックインターフェースから受信されたパケットをフィルター処理し、USB接続を介してクライアント装置にパケットを送信し、
クライアント装置は、クライアント装置の第2ループバックインターフェースにパケットを
送信し、パケットを復号化のためにクライアント装置の第2ループバックインターフェースからクライアント装置のIPsecモジュールに送信し、クライアント装置の
装置アプリケーション上の第2ループバックインターフェースに、クライアント装置において受信され復号化されたパケットを送信するように構成されるシステムが提供される。
【0008】
前述の概要および以下の詳述は、いずれも典型的および説明的なものであり、特許請求の範囲に記載された発明の仔細な説明を提供することを目的としている。
【図面の簡単な説明】
【0009】
添付の図面は、本発明のさらなる理解を提供するために含まれるものであり、本明細書に含まれ、本明細書の一部を構成する。図面は、本発明の実施形態を示し、明細書と共に本発明の原理を説明する役割を果たす。
【
図1】
図1は、典型的な実施形態に係るホスト装置からクライアント装置への自動キー設定を有するIPSecのためのマニュアルキー設定を示す図である。
【
図2】
図2は、典型的な実施形態に係るクライアント装置からホスト装置への自動キー設定を有するIPSecのためのマニュアルキー設定を示す図である。
【発明を実施するための形態】
【0010】
本発明の好ましい実施形態が以下に詳細に説明され、実施形態の例が添付の図面に示される。可能な限り、図面および明細書において同様または類似の部分を参照するために、同じ参照符号が使用される。
【0011】
典型的な実施形態によれば、IPSecプロトコルは、USBホストからUSB装置へ、HTTP/IPPのUSBプロトコルを安全にして伝送するために実装されうる。例示的な実施形態によれば、パケットはネットワークパケットではないため、ホスト装置110は、たとえば、暗号化または認証のないワイヤまたはUSBケーブルであるUSBコネクション200上でパケットを送信しうる。USBコネクション200は容易に切り離されるため、たとえばWi−fiを備えたキャプチャー装置が印刷データにアクセスするために使用されうる。
【0012】
典型的な実施形態によれば、たとえば、IPSecプロトコルが使用されるとき、データは、そのデータがネットワークの一部であるかのように暗号化されるが、データはネットワークスタックを使用しない。また、ホスト装置110およびクライアント装置160のみが、データの複合化および通信を行うことができる。
【0013】
図1は、通常の通信プロトコルを有し、ホスト装置110およびクライアント装置160を含むネットワークシステム100を示す。典型的な実施形態によれば、ホスト装置110は、USBコネクション200によってクライアント装置160に接続されうる。
【0014】
典型的な実施形態によれば、ホスト装置110は、少なくとも一つのクライアント装置160によって生成された印刷データに基づいて紙のシートのような印刷媒体(または記録媒体)上に画像を印刷するプリンター、多機能プリンター(MFP)、画像形成装置および他の周知の装置によって実現されてもよい。典型的な実施形態によれば、ホスト装置110は、少なくともコピー機能、画像読み取り機能、および印刷機能を含み、少なくとも一つの第2のホスト(またはクライアント装置)160から送信された印刷ジョブ(または印刷指示)、ホスト装置(または画像形成装置)110に備えられるスキャナーのような画像読み取り部によって読み取られた画像データ等に基づいてシート上に画像を形成する多機能プリンター(MFP)である。
【0015】
典型的な実施形態によれば、ホスト装置110は、多機能プリンター(MFP)でありうる。ホスト装置110は、プリンターコントローラー(またはファームウェア)、好ましくはハードディスクドライブ(HDD)の形態の記憶部、画像処理部(またはデータディスパッチャー)、プリントエンジン、および入出力(I/O)部を含むことができる。
【0016】
ホスト装置110のコントローラーは、中央処理装置(CPU)、ランダムアクセスメモリー(RAM)、およびリードオンリーメモリー(ROM)を含むことができる。中央処理装置は、一連の記憶された指示(たとえば、コンピュータープログラム)を実行するように構成される。コントローラーは、ホスト装置110内のソフトウェアプログラムおよびハードウェア構成間の中継部として動作するオペレーティングシステム(OS)を含んでもよい。オペレーティングシステム(OS)は、コンピューターのハードウェアを管理し、様々なアプリケーションソフトウェアの効率的な実行のための共通のサービスを提供する。典型的な実施形態によれば、コントローラーは、クライアント装置160から受信したデータおよびジョブ情報を処理し、印刷画像を生成する。
【0017】
画像処理部は、コントローラーの制御のもとで画像処理を実行し、処理された画像データをプリントエンジンに送信する。画像処理部は、好ましくは複数のジョブまたはサブジョブを並行して独立に実行可能である。たとえば、画像処理部は、後述する複数RIPモジュールを実現するために、複数のコアを内部に有するCPUを含むことができる。コントローラーの一部を構成するように使用されるCPUは、画像処理部のために共用される。プリントエンジンは、画像処理部から送信された画像データに基づいて記録シート上に画像を形成する。I/O部は、クライアント装置160とのデータ伝送を実行する。コントローラーは、データを処理し、多機能プリンターまたはプリンター110の他の様々な構成を制御して本明細書に記載される様々な方法を実行するようにプログラムされる。ハードディスクドライブ(HDD)またはストレージ装置はコントローラーによる呼び出しのためにデジタルデータおよび/またはソフトウェアプログラムを記憶する。典型的な実施形態によれば、デジタルデータは、グラフィック/イメージ、ロゴ、フォームオーバーレイ、フォント等を含みうるリソースを含む。
【0018】
典型的な実施形態において多機能プリンター(MFP)またはプリンターの形態であるホスト装置110の例は、レーザービームプリンター(LBP)、コピー機能を有する多機能レーザービームプリンター、インクジェットプリンター(IJP)、サーマルプリンター(たとえば、昇華型プリンター)およびハロゲン化銀プリンターを含むがこれに限定されない。たとえば、多機能プリンターまたはプリンターは、カラープリンターまたは黒白(B/W)プリンターであってもよい。
【0019】
例示的な実施形態によれば、コンピューターシステムによって実装されうる少なくとも一つのクライアント装置160は、ホスト装置110において使用可能な印刷データを生成し、生成された印刷データをホスト装置110に送信する。少なくとも一つのクライアント装置160の例は、コンピューターおよび/またはノート型パーソナルコンピューター、携帯電話およびパーソナルデジタルアシスタント(PDA)等のポータブル装置を含んでもよい。ホスト装置110および少なくとも一つのクライアント装置160は、通信ポートを設け、印刷データを生成し、印刷データに基づいて印刷媒体上に画像を形成する印刷処理を実行する画像形成システムを構成することができる。
【0020】
典型的な実施形態によれば、クライアント装置160は、複数のパーソナルコンピューターであり、多機能プリンター(MFP)または画像形成装置の形態であるホスト装置110に印刷ジョブを送信する機能を有することができる。プリンタードライバープログラム(以下、単にプリンタードライバーとも称する)は、クライアント装置160にインストールされ、クライアント装置160は、プリンタードライバーの機能を使用して画像形成時に適用される印刷条件のデータ、画像データ等を含む印刷ジョブを生成し、生成された印刷ジョブを多機能プリンターの形態であるホスト装置110に送信する。
【0021】
典型的な実施形態によれば、クライアント装置160は、プロセッサーまたは中央処理装置(CPU)、およびソフトウェアプログラムおよびデータ(印刷されるファイル等)を記憶するための一つ以上のメモリーを含むことができる。プロセッサーまたはCPUは、クライアント装置160の機能の少なくとも一部を動作および/または制御するコンピュータープログラムの指示を実行する。クライアント装置160は、コンピューターのハードウェアを管理し、様々なソフトウェアプログラムの効率的な実行のための共通のサービスを提供するオペレーティングシステム(OS)を含むことができる。たとえば、ソフトウェアプログラムは、アプリケーションソフトウェアおよびプリンタードライバーソフトウェアを含むことができる。たとえば、プリンタードライバーソフトウェアは、多機能プリンターまたはプリンター、たとえば、プリンタードライバーソフトウェアがインストールされたクライアント装置に接続されたホスト装置110を制御する。ある実施形態において、プリンタードライバーソフトウェアは、印刷ジョブおよび/または画像および/またはドキュメントデータに基づくドキュメントを生成する。また、プリンタードライバーソフトウェアは、クライアント装置160から、たとえば多機能プリンターまたはプリンターの形態であるホスト装置110への印刷ジョブの送信を制御する。
【0022】
典型的な実施形態によれば、ホスト装置110およびクライアント装置160は、USBコネクション200(ユニバーサルシリアルバス接続)によって接続されることができる。例示的な実施形態によれば、USBコネクション200は、ホスト装置110およびクライアント装置160間のワイヤ、ケーブル、コネクターおよび/または接続のためのバスにおいて使用される通信プロトコル、およびパワーサプライであってもよい。
【0023】
典型的な実施形態によれば、
図1は、本書において開示されるIPSecフレームワークまたはプロトコルを使用するシステム100のためのマニュアルキー設定の典型的な例を示す。
図1は、ホスト装置110およびクライアント装置160のためのIPSecフレームワークを設定するためのマニュアルキー設定を示すが、マニュアルキー設定のかわりに自動キー設定が実行されてもよい。
【0024】
典型的な実施形態によれば、
図1に示されるように、IPSecポリシー設定は、装置110、160のそれぞれに設定されうる。たとえば、
図1に示されるように、ホスト装置110およびクライアント装置160は、アプリケーション120、170によって以下のインターフェースおよびネットワーク情報を用いて設定される。インターフェースおよびネットワーク情報は、
a)ホスト装置110: インターフェース: lo:2(第1ループバックインターフェース)およびIPアドレス:127.0.0.2
b)クライアント装置160: インターフェース: lo:3(第2ループバックインターフェース)およびIPアドレス:127.0.0.3
を含む。
【0025】
典型的な実施形態によれば、装置110、装置160のそれぞれのためのIPSecは、たとえば、Setkey、Racoon、または他の利用可能なツールの使用によるマニュアルキー設定によって設定されうる。典型的な実施形態によれば、ホスト装置110およびクライアント装置160において提供されるホストアプリケーション120およびクライアントアプリケーション170はそれぞれ、
setkey −c
add 127.0.0.2 127.0.0.3 esp 500 −E 3des−cbc “beebeebeebeebeebee….”
add 127.0.0.3 127.0.0.2 esp 600 −E 3des−cbc “beefbeefbeefbeef…..”
spdadd 127.0.0.2 127.0.0.3 any −P out IPpsec esp/transport//require
のように設定する。
【0026】
典型的な実施形態によれば、ホスト装置110上のホストアプリケーション120は、クライアント装置160上で提供される第2ループバックインターフェース180(lo:3)にパケット140(HTTP/IPPパケット要求)を送信するために、第1ループバックインターフェース130(lo:2)を使用できる。ホスト装置110上の第1ループバックインターフェース130(lo:2)は、パケット140が、クライアント装置160上の第2ループバックインターフェース180(lo:3)にルーティングされるように設定する。USBデータを含むパケット140は、USBコネクション200を介して伝送されるように構成されてもよい。典型的な実施形態によれば、たとえば0x3DのようなIPヘッダーにおけるnext header(次ヘッダー)が使用されてもよく、IANA(Internet Assigned Numbers Authority:インターネットアサインドナンバーズオーソリティ)によって定義された他のプロトコルが使用されてもよい。使用時において、IPヘッダーのnext header(次ヘッダー)の領域は、どのような上位レイヤーのプロトコルが保護されているかを示す。たとえば、本開示において、0x3Dは、ホスト内部のプロトコルを示す。しかしながら、パケットは装置のアプリケーション170よりも、記述されたネットワークプロトコルによって処理されるため、いかなるプロトコルが定義されてもよい。
【0027】
典型的な実施形態によれば、ホスト装置110においてIPSecが使用可能となったとき、パケット140はIPSecモジュール132に到達し、IPSecプロトコルを使用して暗号化されうる。ネットワークフィルター134は、クライアント装置160の装置アプリケーション170上の第2ループバックインターフェース180(lo:3)に向けられたパケット142をフィルター処理するために使用されうる。ホストアプリケーション120は、暗号化されたパケット142を、USBコネクション200を介してクライアント装置160へ送信する。
【0028】
クライアント装置160上のアプリケーション170は、USBデータを受信し、パケット142を第2ループバックインターフェース180(lo:3)に送信する。暗号化されたパケット142は、IPSecモジュール182に到着し、復号化される。復号化されたパケット140は、装置アプリケーション170がパケットを受信するクライアント装置160上の第2ループバックインターフェース180(lo:3)に送信される。HTTP/IPPのパケット140は処理され、装置アプリケーション170に応答が返送される。
【0029】
図2は、典型的な実施形態に係るクライアント装置からホスト装置への自動キー設定を有するIPSecのためのマニュアルキー設定を示す図である。
図2に示すように、装置アプリケーション170は、たとえば、印刷データを有するIPP/HTTPのパケット応答190等のパケットを、第2ループバックインターフェース180(lo:3)を用いて、印刷するためのホスト装置110上の第1ループバックインターフェース130(lo:2)に送信することができる。典型的な実施形態によれば、IPP/HTTPのパケット190は、IPSecモジュール182に到着し、復号化される。典型的な実施形態によれば、たとえば、アプリケーションは、第2ループバックインターフェース180(lo:3)からの復号化されたパケット192をフィルター処理するためにネットフィルター184を使用し、パケット192をUSBコネクション200に送信する。ホストアプリケーション120は、復号化されたパケット192を第1ループバックインターフェース130(lo:2)に送信する。典型的な実施形態によれば、パケット190は、IPSecモジュール132によって復号化される。アプリケーションフィルターは、クライアント装置160からの印刷データを取得するために、第1ループバックインターフェース130(lo:2)に向けられたパケット190を復号化する。たとえば、典型的な実施形態によれば、印刷データは、ホスト装置110によって処理される。
【0030】
典型的な実施形態によれば、本明細書において開示されたUSBコネクションを介してデータを伝送するためのシステムおよび方法は、他の種類のセキュリティプロトコルにも適用され、たとえば、方法は、HTTP、LDAP、および/またはDNS等のアプリケーションレイヤーにおけるいかなるプロトコルからのデータを伝送するために使用されてもよい。典型的な実施形態によれば、ホスト装置110およびクライアント装置160は、同様のセキュリティ設定に設定され、ホスト装置110およびクライアント装置160のそれぞれは、本明細書において開示されたUSBコネクション200を介したデータの安全な伝送のためのアプリケーションおよびループバックを含むことができる。
【0031】
典型的な実施形態によれば、ユニバーサルシリアルバス(USB)接続を介して伝送されるデータの安全性を提供する方法であって、ホスト装置およびクライアント装置において、IPSecポリシー設定を指定するステップと、ここで、IPSecポリシー設定は、ホスト装置の第1ループバックインターフェースおよびIPアドレスとクライアント装置の第2ループバックインターフェースおよびIPアドレスとを含み、ホスト装置の第1ループバックインターフェースにパケットを送信するステップと、ここで、第1ループバックインターフェースは、パケットが第2ループバックインターフェースにルーティングされるように設定し、第1ループバックインターフェースからホスト装置のIPSecモジュールに暗号化のためにパケットを送信するステップと、第1ループバックインターフェースから受信されたパケットをフィルター処理するステップと、USB接続を介してクライアント装置にパケットを送信するステップと、クライアント装置の第2ループバックインターフェースにパケットを送り込むステップと、クライアント装置の第2ループバックインターフェースからクライアント装置のIPSecモジュールに復号化のためにパケットを送信するステップと、クライアント装置のアプリケーション上の第2ループバックインターフェースに、クライアント装置において受信され復号化されたパケットを送信するステップと、を実行するためのコンピューター読み取り可能なコードを有するコンピューター読み取り可能な非一時的媒体が開示される。
【0032】
コンピューター読み取り可能な媒体は、磁気記録媒体、光磁気記録媒体、または将来開発される他のいかなる媒体であってもよく、それらの全ては同様の方法で本発明に適用できると考えられる。プライマリおよびセカンダリの複製製品を含むそのような媒体の複製物も疑いなく上記の媒体と同等であると考えられる。さらに、たとえ本発明の実施形態がソフトウェアとハードウェアの組み合わせであるとしても、本発明の思想から全く逸脱しない。本発明は、そのソフトウェアの部分が予め記録媒体に記録され、動作時に要求に応じて読み出されるような方法で実装されてもよい。
【0033】
本発明の思想または範囲から逸脱することなく、本発明の構成に対して様々な修正および変更が可能であることは、当業者にとって明らかである。このように、本発明は、添付された特許請求の範囲およびそれらの同等物に記載の範囲で行われる修正および変更も含む。