(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-12-13
(45)【発行日】2023-12-21
(54)【発明の名称】情報処理装置、通信制御方法とプログラム
(51)【国際特許分類】
H04L 45/74 20220101AFI20231214BHJP
【FI】
H04L45/74
【請求項の数】
10
(21)【出願番号】P 2019061363
(22)【出願日】2019-03-27
(65)【公開番号】P2020162051
(43)【公開日】2020-10-01
【審査請求日】2022-03-24
(73)【特許権者】
【識別番号】000001007
【氏名又は名称】キヤノン株式会社
(74)【代理人】
【識別番号】110003281
【氏名又は名称】弁理士法人大塚国際特許事務所
(72)【発明者】
【氏名】藤沢 実
【審査官】羽岡 さやか
(56)【参考文献】
【文献】特開2007-164680(JP,A)
【文献】特開2017-005516(JP,A)
【文献】特開2016-181102(JP,A)
【文献】米国特許出願公開第2005/0073998(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00-69/40
(57)【特許請求の範囲】
【請求項1】
異なる複数のネットワークにそれぞれ接続された複数のネットワークインタフェースと、前記複数のネットワークのいずれかから、それぞれのネットワークに接続されたネットワークインタフェースを介して要求を受信する受信手段と、
受信した前記要求の送信元に対する応答であって、送信先に前記要求の送信元を設定し、送信元に前記要求の送信先を設定した応答を生成する生成手段と、
前記応答に含まれた送信先と経路テーブルとに基づいて、前記応答に含まれた送信先との通信に使用するネットワークインタフェースを決定する決定手段と、
前記要求を受信したネットワークインタフェースが、前記決定されたネットワークインタフェースと異なる場合には前記応答を破棄し、同一の場合には、前記決定された前記ネットワークインタフェースから前記応答を送信する制御手段と
を有することを特徴とする情報処理装置。
【請求項2】
請求項1に記載の情報処理装置であって、前記受信手段は、前記要求を受信した際に前記要求に含まれた送信先を保存し、
前記制御手段は、保存した前記送信先に対応する前記ネットワークインタフェースと、前記決定されたネットワークインタフェースとを比較して、前記要求を受信したネットワークインタフェースが、前記決定されたネットワークインタフェースと同一か否かを判定する
ことを特徴とする情報処理装置。
【請求項3】
請求項1に記載の情報処理装置であって、前記制御手段は、前記応答に含まれた送信元に対応する前記ネットワークインタフェースと、前記決定されたネットワークインタフェースとを比較して、前記要求を受信したネットワークインタフェースが、前記決定されたネットワークインタフェースと同一か否かを判定する
ことを特徴とする情報処理装置。
【請求項4】
請求項1乃至3のいずれか一項に記載の情報処理装置であって、前記制御手段により前記応答を破棄した場合には、破棄した前記応答から、該応答に含まれた送信先に関する情報を含む情報を取得し、ユーザに提示する手段をさらに有する
ことを特徴とする情報処理装置。
【請求項5】
請求項4に記載の情報処理装置であって、前記応答はインターネットプロトコル(IP)の応答パケットであり、
前記情報には、前記送信先に関する情報として、送信先の媒体アクセス制御(MAC)アドレスとIPアドレスとを含む
ことを特徴とする情報処理装置。
【請求項6】
請求項5に記載の情報処理装置であって、前記応答はトランスミッションコントロールプロトコル(TCP)の応答パケットであり、
前記情報にはさらに、ポート番号と送信される日時とを含む
ことを特徴とする情報処理装置。
【請求項7】
請求項1乃至6のいずれか一項に記載の情報処理装置であって、前記要求および前記応答はIPパケットであり、前記送信先および送信元はそれぞれ、前記IPパケットに含まれた送信先IPアドレスおよび送信元IPアドレスで表される
ことを特徴とする情報処理装置。
【請求項8】
請求項1乃至7のいずれか一項に記載の情報処理装置であって、前記情報処理装置は印刷装置であることを特徴とする情報処理装置。
【請求項9】
請求項1乃至8のいずれか一項に記載の情報処理装置としてコンピュータを機能させるためのプログラム。
【請求項10】
異なる複数のネットワークにそれぞれ接続された複数のネットワークインタフェースを有する情報処理装置による通信制御方法であって、前記複数のネットワークのいずれかから、それぞれのネットワークに接続されたネットワークインタフェースを介して要求を受信し、
受信した前記要求の送信元に対する応答であって、送信先に前記要求の送信元を設定し、送信元に前記要求の送信先を設定した応答を生成し、
前記応答に含まれた送信先と経路テーブルとに基づいて、前記応答に含まれた送信先との通信に使用するネットワークインタフェースを決定し、
前記要求を受信したネットワークインタフェースが、前記決定されたネットワークインタフェースと異なる場合には前記応答を破棄し、同一の場合には、前記決定された前記ネットワークインタフェースから前記応答を送信する
ことを特徴とする通信制御方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、例えば複数のネットワークに接続されている情報処理装置に関し、特に情報処理装置からの通信に関する。
【背景技術】
【0002】
ネットワークに接続したデバイスを利用するオフィス環境において、オフィス内にゲートウェイを用意し、業務目的に応じて複数のサブネット環境を構築するために、デバイスのネットワーク接続ポート毎に異なるサブネット環境のIPアドレスを割り当てるようなケースが一般に存在する。
【0003】
ここで上記のデバイスとして通信端末が複数のネットワークインタフェースを保持し、それぞれのサブネット環境上で動作するケースを考える。それぞれのサブネット環境にルーター等のゲートウェイが用意され、通信端末は、状況に応じてそれぞれのゲートウェイを介した通信を行う(例えば特許文献1を参照)。異なるサブネット上の端末がそれぞれのサブネットに設けたゲートウェイを介して通信端末に対して要求を行うケースがあり得る。この場合、要求を通信端末が受信するとその要求内容を解析し、応答データを作成して要求側の端末に送信しようとする。その際に、応答データを通信端末の複数のインタフェースのいずれに対して送るかについては、一般にネットワークルーティング処理にて決定される。一般的なルーティング処理において、通信端末が接続されたサブネット上の端末からの要求に対しては、その応答をどちらのインタフェースに対して送ればいいかは通信端末が有する経路テーブルで判断できる。これに対して、通信端末と同一サブネット上に存在しているゲートウェイを介して他のネットワークから受信した要求に対しては、通信端末はあらかじめ設定されたデフォルトゲートウェイに対して応答を送信する。すなわち、複数のネットワークインタフェースのそれぞれに接続されたゲートウェウのいずれかをデフォルトゲートウェイとして予め設定しておく。通信端末がデフォルトゲートウェイを介して応答を送信する場合には、その応答は、デフォルトゲートウェイと同じサブネットに属するネットワークインタフェースから送信されることになる。
【0004】
しかしながらそれぞれのサブネット上にゲートウェイが存在する場合であっても、デフォルトゲートウェイはそのうちの1つしか設定できない。そのため、デフォルトゲートウェイとは異なるゲートウェイを介した端末からの要求に対してであっても、通信端末はその応答をデフォルトゲートウェイに送ってしまう。その結果、要求の送信元の端末が接続されているサブネットに応答が届かない可能性がある。このような場合、一般にはスタティックルーティングを設定することで、特定のアドレスを保持する宛先端末には特定のゲートウェイへ送信するようにルーティング処理することを指示できる。
【先行技術文献】
【特許文献】
【0005】
【文献】特開2001-358762号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところで、スタティックルーティングを設定できるユーザーインタフェースを持たない端末などでは、スタティックルーティングを用いてユーザが条件を指定することが難しい。また、仮に設定できてもネットワーク技術、環境に詳しい知識を有しない場合、また設定すべき端末が多数ある場合など、スタティックルーティングを用いて全ての条件を漏れなく定義するのは困難な場合が多い。このようなケースでは、設定が困難であり、設定の間違いや漏れが生じ得る。その結果、ユーザの意図しない通信経路でデータが送信されてしまう可能性がある。そのスタティックルーティング設定の間違等の結果、通信端末は、応答データを、その応答に対応する要求を受信したインタフェースの属するサブネットとは異なるサブネットに属するデフォルトゲートウェイに送信してしまうことになる。今日のオフィス環境では、セキュリティを重視することもあり、特定のインタフェースで受信した要求に対する応答を別のインタフェースに送信してしまうことが情報漏洩にもなりかねず問題となる。
【0007】
例えば、個人情報を守るために、個人情報を特定のサブネット内でのみ扱うようにサブネット構築しているネットワークシステムは公的な機関において一般的である。このようなネットワークシステムでは、個人情報を異なるサブネットに送ることは大きな問題となる。
【0008】
また昨今セキュリティを重視する企業においては、通信パケットの監視機器をサブネット毎に配置して、監視機器が不正なパケットを検知すると送り元の通信端末を悪質な端末としてピックアップし、ピックアップした端末をサブネットからの自動切り離しを行うようなシステムもある。このようなシステムでは、通信端末が、特定のインタフェースで受信した要求に対する応答を別のインタフェースに送信してしまうと、その通信端末が、応答を送信した側のネットワークから切り離されてしまうこともあり得る。
【0009】
本発明は上記問題点の少なくとも1つに鑑みて成されたもので、複数のネットワークに接続された情報処理装置において、受信した要求に対する応答を適切なネットワークに送信する仕組みを提供することを目的の1つとする。また、本発明の別の側面としては、て、所定のインタフェース経由で受信した要求に対する応答を、所定のインタフェースとは異なるインタフェース経由で応答しないよう制御する仕組みを提供することを目的の1つとする。
【課題を解決するための手段】
【0010】
上記目的を達成するために本発明は以下の構成を有する。
【0011】
すなわち、本発明の1つの側面によれば、異なる複数のネットワークにそれぞれ接続された複数のネットワークインタフェースと、
前記複数のネットワークのいずれかから、それぞれのネットワークに接続されたネットワークインタフェースを介して要求を受信する受信手段と、
受信した前記要求の送信元に対する応答であって、送信先に前記要求の送信元を設定し、送信元に前記要求の送信先を設定した応答を生成する生成手段と、
前記応答に含まれた送信先と経路テーブルとに基づいて、前記応答に含まれた送信先との通信に使用するネットワークインタフェースを決定する決定手段と、
前記要求を受信したネットワークインタフェースが、前記決定されたネットワークインタフェースと異なる場合には前記応答を破棄し、同一の場合には、前記決定された前記ネットワークインタフェースから前記応答を送信する制御手段と
を有することを特徴とする情報処理装置が提供される。
前記複数のネットワークのいずれかから、それぞれのネットワークに接続されたネットワークインタフェースを介して要求を受信する受信手段と、
受信した前記要求の送信元に対する応答であって、送信先に前記要求の送信元を設定し、送信元に前記要求の送信先を設定した応答を生成する生成手段と、
前記応答に含まれた送信先と経路テーブルとに基づいて、前記応答に含まれた送信先との通信に使用するネットワークインタフェースを決定する決定手段と、
前記要求を受信したネットワークインタフェースが、前記決定されたネットワークインタフェースと異なる場合には前記応答を破棄し、同一の場合には、前記決定された前記ネットワークインタフェースから前記応答を送信する制御手段と
を有することを特徴とする情報処理装置が提供される。
【発明の効果】
【0012】
本発明の1つの側面によれば、複数のネットワークに接続された情報処理装置において、受信した要求に対する応答を適切なネットワークに送信することができる。また、本発明の別の側面によれば、所定のインタフェース経由で受信した要求に対する応答を、所定のインタフェースとは異なるインタフェース経由で応答しないよう制御する。その結果、セキュリティを向上させることができる。
【図面の簡単な説明】
【0013】
【図1】ネットワーク構成を示す図
【図2】画像形成装置101のハードウェア構成を示す図
【図3】画像形成装置101のソフトウェア構成を示す図
【図4】画像形成装置101が要求を受信、応答するネットワークパケットの例を示す図
【図5】画像形成装置101のネットワークルーティングの経路リストの例を示す図
【図6】画像形成装置101が要求を受信した時に行う処理フロー図
【図7】画像形成装置101が破棄したパケットを表示するユーザーインタフェースの例
【発明を実施するための形態】
【0014】
以下、添付図面を参照して実施形態を詳しく説明する。尚、以下の実施形態は特許請求の範囲に係る発明を限定するものではない。実施形態には複数の特徴が記載されているが、これらの複数の特徴の全てが発明に必須のものとは限らず、また、複数の特徴は任意に組み合わせられてもよい。さらに、添付図面においては、同一若しくは同様の構成に同一の参照番号を付し、重複した説明は省略する。
【0015】
(第1の実施形態)
図1は、画像形成装置101を含むネットワークの全体図である。画像形成装置101は複数のネットワーク102、103と接続されている。ネットワーク102側において、PC等の端末105と、情報処理装置の一例である画像形成装置101とは、ネットワーク102及びゲートウェイ104を介して接続可能なネットワーク構成となっている。また、PC等の端末107と画像形成装置101とは、ネットワーク103及びゲートウェイ106を介して接続可能なネットワーク構成となっている。このようなネットワーク構成例は、例えば中規模以上のオフィス環境にて、業務目的に応じて複数の異なるサブネット環境を構築する場合など、一般的にあり得る。本実施形態のネットワークは物理的な構成は特に限定しないが、IPネットワークに基づいており、以下の説明のパケットとはIPパケットを指す。
図1は、画像形成装置101を含むネットワークの全体図である。画像形成装置101は複数のネットワーク102、103と接続されている。ネットワーク102側において、PC等の端末105と、情報処理装置の一例である画像形成装置101とは、ネットワーク102及びゲートウェイ104を介して接続可能なネットワーク構成となっている。また、PC等の端末107と画像形成装置101とは、ネットワーク103及びゲートウェイ106を介して接続可能なネットワーク構成となっている。このようなネットワーク構成例は、例えば中規模以上のオフィス環境にて、業務目的に応じて複数の異なるサブネット環境を構築する場合など、一般的にあり得る。本実施形態のネットワークは物理的な構成は特に限定しないが、IPネットワークに基づいており、以下の説明のパケットとはIPパケットを指す。
【0016】
●画像形成装置のハードウェア
図2は、画像形成装置101のハードウェア構成を示すブロック図である。プリンタ101は、NIC(ネットワークインタフェースカード)206、NIC208を介してそれぞれネットワーク102、103に接続されている。NICをネットワークインタフェースとも呼ぶ。CPU201(Central Processing Unit)は、画像形成装置101のソフトウェアプログラムを実行し、装置全体の制御を行う。RAM202は、ランダムアクセスメモリであり、CPU201が装置を制御する際に、一時的なデータの格納や装置のファームウェア起動後の各種タスク処理等に使用される。CPU201により実行される、後述する図6,8,9に示した手順を実現するためのプログラムもRAM202に格納してよい。HDD203はストレージであり、画像形成装置101の各種設定値を保存したり、印刷データをスプールしたりする用途として使用する。操作部204は液晶パネルを備えており、各種操作画面を表示させ、操作画面を介して入力される指示をCPU201に伝達する。プリントエンジン205は、画像データに基づく画像を記録媒体上に印刷する。印刷の際、プリントエンジン205は、印刷データに対して、色変換、フィルタ処理、解像度変換等の画像処理を行う。
図2は、画像形成装置101のハードウェア構成を示すブロック図である。プリンタ101は、NIC(ネットワークインタフェースカード)206、NIC208を介してそれぞれネットワーク102、103に接続されている。NICをネットワークインタフェースとも呼ぶ。CPU201(Central Processing Unit)は、画像形成装置101のソフトウェアプログラムを実行し、装置全体の制御を行う。RAM202は、ランダムアクセスメモリであり、CPU201が装置を制御する際に、一時的なデータの格納や装置のファームウェア起動後の各種タスク処理等に使用される。CPU201により実行される、後述する図6,8,9に示した手順を実現するためのプログラムもRAM202に格納してよい。HDD203はストレージであり、画像形成装置101の各種設定値を保存したり、印刷データをスプールしたりする用途として使用する。操作部204は液晶パネルを備えており、各種操作画面を表示させ、操作画面を介して入力される指示をCPU201に伝達する。プリントエンジン205は、画像データに基づく画像を記録媒体上に印刷する。印刷の際、プリントエンジン205は、印刷データに対して、色変換、フィルタ処理、解像度変換等の画像処理を行う。
【0017】
NIC206は、ネットワーク102と接続し、NIC208はネットワーク103と接続し、それぞれのネットワーク上の外部装置(端末105や107)とのデータ通信を制御する。なお、本実施例では2つのNICでのインタフェース構成となっているが、3以上の数のNICでのインタフェースを使用してもよい。また、NIC206、208それぞれは、有線ネットワークであっても無線ネットワークであってもよく、例えばNIC206が有線ネットワークインタフェース、NIC208が無線ネットワークインタフェースという組み合わせであってもよい。電源制御207はプリンタ101の電源装置である。電源のON/OFFやSleep時の通電制御を行う。
【0018】
●画像形成装置のソフトウェア
図3は、画像形成装置101内でCPU201が制御するソフトウェアの構成を示した図である。図3は、通信制御のための構成を示しており、アプリケーション等、他の構成については省略されている。ユーザーインタフェース制御部301は、操作部204を制御して、メッセージを表示したり外部からのユーザによる入力を受け付けたりする。パケット解析/生成部302は、画像形成装置101が端末105からの要求パケットを受信してその内容を解析したり、それに対応する応答パケットを生成したりする。パケット解析/生成部302は一般に言われるTCP/IPプロトコル(トランスミッションコントロールプロトコル/インターネットプロトコル)スタックの役割も含んでいる。
図3は、画像形成装置101内でCPU201が制御するソフトウェアの構成を示した図である。図3は、通信制御のための構成を示しており、アプリケーション等、他の構成については省略されている。ユーザーインタフェース制御部301は、操作部204を制御して、メッセージを表示したり外部からのユーザによる入力を受け付けたりする。パケット解析/生成部302は、画像形成装置101が端末105からの要求パケットを受信してその内容を解析したり、それに対応する応答パケットを生成したりする。パケット解析/生成部302は一般に言われるTCP/IPプロトコル(トランスミッションコントロールプロトコル/インターネットプロトコル)スタックの役割も含んでいる。
【0019】
ネットワークルーティング部303は、画像形成装置101から送信されるネットワークパケットが、NIC206、208のいずれを介してゲートウェイ104、106や外部端末である105、107へ到達するかについての経路を制御する。ルーティングにおいて、ネットワークルーティング部303はネットワーク通信のための経路リストを保持している経路テーブルを使用する。この経路テーブルの利用によって、ネットワークルーティング部303は、NIC206からネットワーク102へ応答パケットを送信する場合にはNIC206用ドライバ305へネットワークパケットを送り出す。また、この経路テーブルの利用によって、ネットワークルーティング部303はNIC208からネットワーク103へ応答パケットを送信する場合にはNIC208用ドライバ306へネットワークパケットを送り出す。
【0020】
パケット検知部304は受信した要求パケットに対応する応答パケットをチェックし、ネットワークルーティング部303の処理で決定された、応答パケットを送信するネットワークインタフェースが正しいか否かを判定する。パケット検知部304は、ネットワークルーティング部303がNIC206とNIC208のいずれかのネットワークインタフェースから送信するパケットを全て監視し、そのネットワークインタフェースが正しいか否かの判定を行う。
【0021】
NIC206ドライバ305とNIC208ドライバ306は、それぞれNIC206、208を制御するドライバソフトウェアであり、ネットワーク102,103それぞれとの送受信処理のために個々のNICを制御する。
【0022】
●パケット構成例
図4は、要求パケットや応答パケットのヘッダに含まれた送信先(あて先)および送信元のアドレス情報を示すフォーマット通信パケットの構成例である。物理アドレス情報401は、送信元端末および送信先端末それぞれの物理アドレス情報を示すフィールドであり、宛先MAC(媒体アクセス制御)アドレス402と送信元MACアドレス403を含む。
図4は、要求パケットや応答パケットのヘッダに含まれた送信先(あて先)および送信元のアドレス情報を示すフォーマット通信パケットの構成例である。物理アドレス情報401は、送信元端末および送信先端末それぞれの物理アドレス情報を示すフィールドであり、宛先MAC(媒体アクセス制御)アドレス402と送信元MACアドレス403を含む。
【0023】
たとえば要求パケットを端末105から画像形成装置101に送信する場合、端末105が生成するパケットの宛先MACアドレス402は、ゲートウェイ104のネットワークインタフェースのうち、端末105と同じネットワークに属するネットワークインタフェースのMACアドレスとなる。また送信元MACアドレス403は端末105が保持するMACアドレスとなる。このように、送信元MACアドレスには、ひとつのネットワーク内で送信元となるネットワークインタフェースのMACアドレスが、送信先MACアドレスには、そのネットワーク内で送信先となるネットワークインタフェースのMACアドレスが、記録される。これらのアドレスは、ルーター等を介して異なるネットワークに転送される都度、ネットワークごとのMACアドレスに書き換えられる。
【0024】
一方、要求パケットに対応する応答パケットを画像形成装置101から端末105に送信する場合、画像形成装置101が生成するパケットの宛先MACアドレス402は、ゲートウェイ104の有するネットワークインタフェースのうち、ネットワーク102に属するネットワークインタフェースのMACアドレスとなる。また送信元MACアドレス403はNIC208に割り当てられたMACアドレスとなる。
【0025】
IPヘッダ情報404は、送信元と送信先それぞれのIPアドレスを示すフィールドであり、宛先(送信先)IPアドレス405と送信元IPアドレス406とを含む。要求パケットを端末105から画像形成装置101に送信する場合、端末105が生成するパケットの宛先IPアドレス405は、画像形成装置101のNIC208側のネットワークインタフェースに割り当てられたIPアドレスとなる。また送信元IPアドレス406は端末105に割り当てられたIPアドレスとなる。
【0026】
一方、要求パケットに対応する応答パケットを画像形成装置101から端末105に送信する場合、画像形成装置101が生成するパケットの宛先IPアドレス402は端末105に割り当てられたIPアドレスとなる。また送信元IPアドレス403はNIC208側のネットワークインタフェースに割り当てられたIPアドレスとなる。
【0027】
データユニット407には、IPの上位レイヤのプロトコルに従うデータユニットなどが含まれる。たとえば、要求パケット、応答パケットなどの種別や、それに対応する各種データが含まれる。例えば上位レイヤがHTTPの場合、HTTPであることを示すポート番号、Web情報の閲覧要求とその応答やLPD等の印刷要求や印刷データ等が、データユニット407に含まれる。
【0028】
●経路テーブル
図5は、ネットワークルーティング部303が経路の制御を行う際に使用する経路リストを保持している経路テーブルの例である。例えば経路情報501は、ネットワーク102側に対する通信経路を示す。その先頭から、「192.168.11.0/24」はネットワーク102のネットワークアドレスおよびサブネットマスクを示す。「eth1」は、アドレスが「192.168.11.0/24」のネットワークに接続するネットワークインタフェース、すなわちNIC206側のネットワークインタフェース名を示す。「src 192.168.11.17」は、名称が「eth1」のネットワークインタフェース、すなわちNIC206側のネットワークインタフェースのIPアドレスを示す。これにより、ネットワークルーティング部303は、ネットワーク102内の端末へ送信するパケットはNIC206側に送ることを決定することが可能である。
図5は、ネットワークルーティング部303が経路の制御を行う際に使用する経路リストを保持している経路テーブルの例である。例えば経路情報501は、ネットワーク102側に対する通信経路を示す。その先頭から、「192.168.11.0/24」はネットワーク102のネットワークアドレスおよびサブネットマスクを示す。「eth1」は、アドレスが「192.168.11.0/24」のネットワークに接続するネットワークインタフェース、すなわちNIC206側のネットワークインタフェース名を示す。「src 192.168.11.17」は、名称が「eth1」のネットワークインタフェース、すなわちNIC206側のネットワークインタフェースのIPアドレスを示す。これにより、ネットワークルーティング部303は、ネットワーク102内の端末へ送信するパケットはNIC206側に送ることを決定することが可能である。
【0029】
また経路情報502はネットワーク103側に対する通信経路を示す。経路情報501と同様に「172.29.56.0/22」はネットワーク103のネットワークアドレスおよびサブネットマスクを示す。「eth0」はアドレスが「172.29.56.0/22」のネットワークに接続するネットワークインタフェース、すなわちNIC208側のネットワークインタフェース名を示す。「src 172.29.59.153」は名称が「eth0」のネットワークインタフェース、すなわちNIC208側のネットワークインタフェースのIPアドレスを示す。これにより、ネットワークルーティング部303は、ネットワーク103内の端末へ送信するパケットはNIC208側に送ることを決定することが可能である。
【0030】
経路情報503は、画像形成装置101がデフォルトゲートウェイを設定した場合における経路を示す。例えばデフォルトゲートウェイをゲートウェイ106とした場合、「172.29.59.254」はゲートウェイ106のIPアドレスを示す。経路情報503の経路設定により、デフォルトゲートウェイはゲートウェイ106であり、ネットワークルーティング部303は、デフォルトゲートウェイへの送信のために、デフォルトゲートウェイと同じネットワーク103を有するNIC208側にデータを送ることを決定することが可能である。なおネットワークの同一性の判定は、IPアドレスをサブネットマスクでマスキングすることで行える。
【0031】
一般にデフォルトゲートウェイは、経路情報501や経路情報502で設定されている、画像形成装置101が直接的に接続しているネットワーク102、103とは異なるネットワーク上の端末107と通信を行うために必要である。端末107と通信するために、ネットワークルーティング部303が端末107のIPアドレスから経路を決定する処理を行う。画像形成装置101が複数のネットワークインタフェースを保持するケースでは、端末107のIPアドレスがネットワーク102、103のいずれのサブネットアドレスにも合致しない場合、ネットワークルーティング部303はどのインタフェースから通信するかが不明となる。この時、ネットワークルーティング部303は、デフォルトゲートウェイであるゲートウェイ106に対して通信を行う。
【0032】
ここで端末105が要求パケットを画像形成装置101に送った場合を考える。端末105も端末107と同様にネットワーク102、103とは異なるネットワークに接続しているため、ネットワークルーティング部303はデフォルトゲートウェイであるゲートウェイ106に応答データを送ることに決定する。その結果、端末105がゲートウェイ104を介して画像形成装置101に送った要求パケットに対応する応答パケットが、ネットワーク103に送信されることになる。これは情報漏洩等のセキュリティ問題に発展する可能性がある。このような事態を防止すべく、本実施形態の画像形成装置101は以下に説明する処理を実行する。
【0033】
●応答パケットのフィルタリング処理
図6は、情報漏洩等のセキュリティ問題に発展する可能性を未然に防ぐことなどのために、適切でないネットワークインタフェースから応答パケットが送信されることを防ぐ処理フローについて示した図である。図6の手順はたとえばCPU201がプログラムを実行することで実現できる。すなわち、図6はそのプログラムの処理手順を示す。
図6は、情報漏洩等のセキュリティ問題に発展する可能性を未然に防ぐことなどのために、適切でないネットワークインタフェースから応答パケットが送信されることを防ぐ処理フローについて示した図である。図6の手順はたとえばCPU201がプログラムを実行することで実現できる。すなわち、図6はそのプログラムの処理手順を示す。
【0034】
S601にて画像形成装置101が端末105からの要求パケットを受信した場合、S602にてパケット解析/生成部302とパケット検知部304のいずれかが、パケットの宛先IPアドレス405に含まれたネットワークアドレスが、ネットワーク102、103のいずれのネットワークアドレスに合致するかを判定する。これによって要求パケットがNIC206、208のいずれのインタフェースから受信したかを特定し、特定したネットワークインタフェースを示す情報(インタフェース情報と呼ぶ。)を保持する。インタフェース情報は、たとえば受信した要求パケットの宛先IPアドレス405に含まれたネットワークアドレスであってよい。あるいは対応する画像形成装置101のインタフェースの名称やIPアドレス、MACアドレスなどであってもよい。
【0035】
パケット解析/生成部302が、要求パケットを受信した側のネットワークインタフェースを特定するインタフェース情報を保持したなら、パケット解析/生成部302は、パケット検知部304へ、特定したネットワークインタフェースを示すインタフェース情報を通知する。通知は、例えば、メッセージ通知やファイル等の共有リソースへの書き込み、参照などのいずれかの方法で行われる。
【0036】
S603にて、パケット解析/生成部302は、要求パケットに対する応答データとなる応答パケットを生成する。この時、パケット解析/生成部302は、要求パケットの送信元IPアドレス406にセットされているIPアドレスを応答パケットの宛先IPアドレス405にセットする。またパケット解析/生成部302は、要求パケットの宛先IPアドレス405にセットされているIPアドレスを応答パケットの送信元IPアドレス406にセットする。すなわち、要求パケットの送信元IPアドレスと送信先IPアドレスとを交換して応答パケットを生成する。その後、パケット解析/生成部302は生成した応答パケットをネットワークルーティング部303に送る。
【0037】
ネットワークルーティング部303は、応答パケットの宛先IPアドレス405と経路テーブルとを基に、応答パケットを送信するネットワークインタフェースを決定する。例えば、NIC208経由で受信したパケットに対する応答パケットの宛先IPアドレス405が「172.25.1.100」の場合を例に説明する。この場合、図5で示した501及び502の条件とは一致しない。この場合ネットワークルーティング部303は、応答パケットをデフォルトゲートウェイであるゲートウェイ106へと送信するためにNIC206へ送ると決定する。ネットワークルーティング部303は決定したNIC206に対して応答パケットの送信を試みる。このように、装置がパケットの受信に用いたインタフェースと、送信先として決定されるインタフェースとは必ずしも一致するとは限らない。
【0038】
S604にて、パケット検知部304は、ネットワークルーティング部303がNIC206に対して送った応答パケットが正しいインタフェースへ送られているかをチェックする。そのために、S602にてパケット解析/生成部302により特定され、パケット検知部304に引き渡されたインタフェース情報を参照する。そして応答パケットの送信元となるネットワークインタフェースと、S602にてチェックしたインタフェース情報で特定されるネットワークインタフェースとが一致しているか判定する。一致していると判定した場合、S606にてパケット検知部304は応答パケットの送信元が正しいインタフェースである、すなわち送信先が正しいネットワークであると判断して処理を終了する。このとき応答パケットは、それが引き渡されたインタフェースから送信される。本実施形態では、応答パケットの送信元がNIC208であった場合が該当する。これにより応答パケットがネットワーク102に送られ、ネットワーク103へ情報漏洩することはない。
【0039】
S604にて、応答パケットを送るネットワークインタフェースと、S602にて特定したネットワークインタフェースとが一致しない場合、S605にてパケット検知部304は応答パケットの送信元が間違ったインタフェースであると判断し、応答パケットを破棄する。このときパケット検知部304は、破棄したパケットの情報を破棄パケットリストとして保存する。これによりサブネット103側へ情報漏洩することはない。
【0040】
●破棄パケットリスト
図7は、図6の説明において破棄したパケットの情報一覧の例である。S605にてパケット検知部304が応答パケットを破棄した場合、ユーザーインタフェース制御部301は、S605で保存した破棄パケットリストに基づいて、操作部204上に破棄したパケットの情報を表示する。ユーザーインタフェース制御部301は破棄パケットの表示において、パケット検知部304から破棄したパケットの履歴情報(破棄パケットリスト)を取得する。取得は、メッセージ、コマンド等の受け渡しや共有リソースやファイルにおける情報の参照のいずれかの方法で行う。
図7は、図6の説明において破棄したパケットの情報一覧の例である。S605にてパケット検知部304が応答パケットを破棄した場合、ユーザーインタフェース制御部301は、S605で保存した破棄パケットリストに基づいて、操作部204上に破棄したパケットの情報を表示する。ユーザーインタフェース制御部301は破棄パケットの表示において、パケット検知部304から破棄したパケットの履歴情報(破棄パケットリスト)を取得する。取得は、メッセージ、コマンド等の受け渡しや共有リソースやファイルにおける情報の参照のいずれかの方法で行う。
【0041】
図7において、MACアドレス701は、破棄した応答パケットの宛先MACアドレス402を示す。IPアドレス702は、破棄した応答パケットの宛先IPアドレス405を示す。ポート番号703は、破棄した応答パケットの送信元ポート番号を示す。ポート番号703は一般的にデータユニット407内に格納されている。日時704は、パケット検知部304が実際に応答パケットを破棄した日時を示す。このようにして、破棄したパケットをユーザに提示し、ユーザは破棄されたパケットに関する情報を知ることができる。なお送信元のアドレスが記録されないのは、送信元は画像形成装置101であり、しかも、デフォルトゲートウェイが接続されていない側のネットワークインタフェースから送信されたことは明らかだからである。
【0042】
以上のような仕組みによって、適切ではないネットワークインタフェースからパケットを送信してしまうことを防止できる。これにより、たとえスタティックルーティングの設定に漏れやあやまりがあったとしても、情報漏洩の可能性を未然に防ぐことが可能となる。また、適切ではないネットワークインタフェースから送信されたパケットのあて先のデバイスがネットワークから切り離される事態を防止できる。
【0043】
(第2の実施形態)
第2の実施形態としてここからは第1の実施形態と異なる部分についての説明を行う。図8は、図6で説明したフローと一部異なる手順の例である。S601、S603、S605、S606についての処理内容は図6で説明したものと同じであるため省略する。本実施形態は、図5の手順を図6の手順で置き換えることを除いて第1の実施形態と共通である。
第2の実施形態としてここからは第1の実施形態と異なる部分についての説明を行う。図8は、図6で説明したフローと一部異なる手順の例である。S601、S603、S605、S606についての処理内容は図6で説明したものと同じであるため省略する。本実施形態は、図5の手順を図6の手順で置き換えることを除いて第1の実施形態と共通である。
【0044】
図6のフローと異なる個所として、S602の処理は行わずにS603の処理を行う。図6のフローでは、画像形成装置101が要求パケットを受信したときにS602の処理を行っていたが、本実施形態では要求パケット受信時における処理は行わない。そして要求パケットに応じた応答パケットを生成し、S801に進む。
【0045】
S801にて、パケット検知部304は、ネットワークルーティング部303がNIC206に対して送った応答パケットが正しいインタフェースへ送られているかをチェックする。そのために、応答パケットの送信元IPアドレス406を参照する。パケット検知部304は、送信元IPアドレス406がNIC206に割り当てられているIPアドレスと一致しているか否かをチェックする。IPアドレスが一致している場合、S606にてパケット検知部304は応答パケットの送信先が正しいインタフェースであると判断する。これにより応答パケットがネットワーク102に送られ、ネットワーク103へ情報漏洩することはない。
【0046】
S801でのチェックの結果、両IPアドレスが一致しない場合、S605にてパケット検知部304は応答パケットの送信元が間違ったインタフェースであると判断し、応答パケットを破棄する。これによりサブネット103側へ情報漏洩することはない。
【0047】
本実施形態においても、図7で説明した破棄パケットリストの保存及びその情報表示については同じであるため省略する。
【0048】
以上説明した、第1の実施形態及び第2の実施形態では、パケットを画像形成装置101が応答パケットを送信する前のタイミングで応答パケットを破棄する。従って、応答パケット内の情報を編集したり、ルーティング処理を動的に変更するといった複雑な制御を行うことなくパケットを破棄することができる。これにより、比較的容易な処理で情報漏洩の可能性を未然に防ぐことが可能となる。
【0049】
(第3の実施形態)
第1の実施形態及び第2の実施形態では、送信先に対して適切でないネットワークインタフェースから送信しようとするパケットを破棄する方法について説明した。第3の実施形態では、要求パケットを受信したネットワークインタフェースを特定し、当該ネットワークインタフェースから応答パケットを送信するよう制御する。そうすることで、送信先に対して適切なネットワークインタフェースからパケットを送信する仕組みについて説明する。ここでは第1の実施形態、第2の実施形態と異なる部分についての説明を行う。異なるのは、図5または図6が、図9の手順と置換されることである。図9は、図6で説明したフローと一部異なる手順の例である。図6、図8のフローとの差異は、要求パケットを基に要求パケットを受信したネットワークインタフェースを特定し、応答パケットを、要求パケットを受信したネットワークインタフェースと同一のネットワークインタフェースから送信する点にある。S601、S602、S603についての処理内容は図6で説明したものと同じであるため省略する。
第1の実施形態及び第2の実施形態では、送信先に対して適切でないネットワークインタフェースから送信しようとするパケットを破棄する方法について説明した。第3の実施形態では、要求パケットを受信したネットワークインタフェースを特定し、当該ネットワークインタフェースから応答パケットを送信するよう制御する。そうすることで、送信先に対して適切なネットワークインタフェースからパケットを送信する仕組みについて説明する。ここでは第1の実施形態、第2の実施形態と異なる部分についての説明を行う。異なるのは、図5または図6が、図9の手順と置換されることである。図9は、図6で説明したフローと一部異なる手順の例である。図6、図8のフローとの差異は、要求パケットを基に要求パケットを受信したネットワークインタフェースを特定し、応答パケットを、要求パケットを受信したネットワークインタフェースと同一のネットワークインタフェースから送信する点にある。S601、S602、S603についての処理内容は図6で説明したものと同じであるため省略する。
【0050】
図6のフローとの差異部分としては、S603にてパケット解析/生成部302が応答パケットを生成した後、S901にてパケット解析/生成部302もしくはパケット検知部304の少なくとも一方が、S602において要求パケットを受信したインタフェースに対して応答パケットを送信する。これによりサブネット103側へ情報漏洩することはなく、図6、図8とは異なり、応答パケットを端末105に対して送信することも可能となる。
【0051】
以上のフローにより、実施形態1、実施形態2と同様に、送信先に対して適切でないネットワークインタフェースからパケットを送信することを防止できる。これにより情報漏洩の可能性を未然に防ぐことが可能となる。さらに本実施形態では、送信先に対して適切なネットワークインタフェースからパケットを送信することが可能となる。このため送信の直前に破棄されるパケットがなく、効率よく通信を行うことができる。特に要求パケットの送信元の端末は、応答パケットが破棄されてしまうと、応答の待機時間が満了するまで待たねばならないところ、それを防止できる。
【0052】
[他の実施形態]
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
【0053】
本発明は上記実施形態に制限されるものではなく、発明の精神及び範囲から離脱することなく、様々な変更及び変形が可能である。従って、発明の範囲を公にするために請求項を添付する。
【符号の説明】
【0054】
101 画像形成装置、102,103 ネットワーク、104,106 ゲートウェイ、 105,107 端末
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】