印刷装置及び印刷装置のSA確立方法
【課題】IPsec通信を迅速に再開させることができる印刷装置及び印刷装置のSA確立方法を提供する。
【解決手段】本発明の印刷装置1及び印刷装置1のSA確立方法においては、SA削除パラメータ・セットが不揮発性記憶部4に恒久的に保存されている。また、揮発性記憶部3にSAパラメータ・セットが保存されておらず、かつ、不揮発性記憶部4にSA削除パラメータ・セットが保存されている状態になった場合に、SA削除通知メッセージ作成手段7がSA削除パラメータ・セットに基づいて作成したSA削除通知メッセージをSAパラメータ交換手段2が相手側通信装置10に対して送信するようになっている。
【解決手段】本発明の印刷装置1及び印刷装置1のSA確立方法においては、SA削除パラメータ・セットが不揮発性記憶部4に恒久的に保存されている。また、揮発性記憶部3にSAパラメータ・セットが保存されておらず、かつ、不揮発性記憶部4にSA削除パラメータ・セットが保存されている状態になった場合に、SA削除通知メッセージ作成手段7がSA削除パラメータ・セットに基づいて作成したSA削除通知メッセージをSAパラメータ交換手段2が相手側通信装置10に対して送信するようになっている。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、印刷装置及び印刷装置のSA確立方法に係り、特に、IPsec通信に対応するプリンタに好適に利用できる印刷装置及び印刷装置のSA確立方法に関する。
【背景技術】
【0002】
従来の印刷装置においては、外部のパーソナル・コンピュータなどの相手側通信装置と通信する際、セキュアなIP通信の一例であるIPsec通信が用いられている。IPsec通信の利点は、盗聴・改ざん・なりすまし・否認の脅威を防ぐため、暗号化、署名、認証といったセキュリティ関連手法を上位プロトコルの変更をせずに利用できる点にある。このセキュアなIP通信を実現するため、IPsec通信においては、AH(IP認証ヘッダ)、ESP(IP暗号化ペイロード)及びIKE(インターネット鍵交換)と称される3つのプロトコル、鍵管理やセキュアプロトコルを使うためのつながり又はセキュアな仮想通信路といった意味のSA(セキュリティ・アソシエーション)並びに認証及び暗号化アルゴリズムといった技術が用いられる。
【0003】
従来の印刷装置101は、図5に示すように、相手側通信装置110とIPsec通信を行う際にSAを生成するため、IKEプロトコルを使用する(時間T100→時間T101:IKE_SAパラメータ交換中)。このIKEプロトコルを利用するのは、認証用のセッション鍵(HMAC)と暗号化用のセッション鍵のこれら両方の鍵の生成、交換、更新が自動で行われるからである。
【0004】
IKEによるSAの生成行程においては、フェーズ1とフェーズ2の2ステップがある。フェーズ1においては、SA送信側(イニシエータ)となる相手側通信装置110とSA受信側(レスポンダ)となる印刷装置101との間においてISAKMP_SAパラメータの一群であるISAKMP_SAパラメータ・セットを相互に交換することにより、ISAKMP_SAを生成する。また、フェーズ2においては、暗号化や認証に用いられる鍵を含むIPsec_SAパラメータの一群であるIPsec_SAパラメータ・セットを、フェーズ1において生成されたISAKMP_SAを介して相互に交換することにより、いわゆるSAと称されるIPsec_SAを生成する。
【0005】
なお、図5においては、透明横長円筒vr1を用いてISAKMP_SAによる通信セキュア化を視覚的に表現しており、透明横長円筒vr2を用いてIPsec_SAによる通信セキュア化を視覚的に表現している。また、
【0006】
そして、このIPsec_SAを用いてIPsecパケットの送受信を行うことにより、印刷関連データのセキュア通信を実現することができる(時間T101→時間T102:セキュア通信中)。
【0007】
また、IPsec通信の安全性を高めるため、SAには有効期限が設けられている(時間T100→時間T104:SA有効期限)。この有効期限が経過した場合、今まで使用されたSAパラメータ・セットを互いに消去し(時間T104→時間T105:旧SA消去中)、IPsec_SAパラメータ・セットに含まれる暗号鍵を再設定することにより、相手側通信装置110及び従来の印刷装置101は自動的にSAの再構築を行う(時間T105→時間T106:IKE_SAパラメータ交換中(SA再構築))。
【0008】
ここで、図示はしないが、この有効期限が経過する前であっても相手側通信装置110又は従来の印刷装置101のいずれか一方が正常に終了又は再起動する際、正常に終了又は再起動する一方の装置から他方の装置に対してSA削除通知メッセージを送信し、今まで使用したSAを互いに消去することにより、IPsec通信の安全性を低下させる一因となるSAの再利用を防止していた(特許文献1の背景技術を参照)。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2009−219106号公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
しかしながら、従来の印刷装置101においては、その印刷装置101が停電などの理由により正常に終了せずに突如終了した場合(時間T102:印刷装置101の突如終了時)、印刷装置101をすぐに再起動させたとしても(時間T103:印刷装置101の再起動時)、IPsec通信を迅速に再開させることができないという問題があった(時間T102→時間T105:IPsec通信不能中)。
【0011】
この問題は、印刷装置101の突如終了によって印刷装置101が保有するSAパラメータ・セットが消去してしまうにもかかわらず相手側通信装置110が保有するSAパラメータ・セットは消去されていないため(時間T102→時間T103:印刷装置101の電源切断中)、相手側通信装置110のSAパラメータ・セットの有効期限が経過するまで相手側通信装置110がIPsec通信を回復させようとそのSAパラメータ・セットを印刷装置101に送り続けることに起因する(時間T103→時間T104:相手側通信装置110によるSAパラメータ送信中)。
【0012】
IPsec通信を迅速に再開させるためには、SAパラメータ・セットからSAの消去に必要なSA削除パラメータ・セットを選択し、そのSA削除パラメータ・セットに基づいて作成されたSA削除通知メッセージを印刷装置101から相手側通信装置110に送信すればよい。しかし、印刷装置101の突如終了時にSAパラメータ・セットは消えてしまっているため、印刷装置101の再起動後にSA削除通知メッセージを作成することはできない。
【0013】
そこで、本発明はこれらの点に鑑みてなされたものであり、IPsec通信を迅速に再開させることができる印刷装置及び印刷装置のSA確立方法を提供することを本発明の目的としている。
【課題を解決するための手段】
【0014】
本発明の一つの実施態様に従うIPsec通信が可能な印刷装置は、相手側通信装置との間でIPsec通信を行うための各種パラメータとなるSA(セキュリティ・アソシエーション)パラメータ・セットを相互に交換することよりセキュア化された仮想通信路であるSAの構築及び削除を行うSAパラメータ交換手段と、前記SAパラメータ・セットの一部であって前記SAの削除に用いるSA削除パラメータ・セットを保存する不揮発性記憶手段と、前記印刷装置を初期化するときに、前記不揮発性記憶手段に前記SA削除パラメータ・セットが保存されていれば、前記SAの削除を依頼するためのSA削除通知メッセージを、前記不揮発性記憶手段に保存された前記SA削除パラメータ・セットに基づいて作成するSA削除通知メッセージ作成手段と、を備え、前記作成されたSA削除通知メッセージが前記相手側通信装置へ送信される。
【0015】
これにより、不揮発性記憶手段にSA削除パラメータ・セットが保存されているため、印刷装置が突然終了したことにより揮発性記憶手段に保存されていたSAパラメータ・セットが失われたときであっても、印刷装置の再起動後にSA削除通知メッセージを送信することができる。
【0016】
好適な実施形態では、前記SA削除パラメータ・セットは、少なくとも、ISAKMP_SAパラメータである相手IPアドレス、ISAKMP_SA識別子、暗号化アルゴリズム及び暗号鍵並びにIPsec_SAパラメータであるIPsec_SA識別子により、構成されていてもよい。
【0017】
不揮発性記憶手段に保存するパラメータ・セットを上記のSA削除パラメータ・セットに限定することにより、SA削除通知メッセージの送信を実現しつつ、不揮発性記憶手段への保存に必要な容量を最小限に抑えることができる。
【0018】
好適な実施形態では、前記SA削除通知メッセージの送信後、前記不揮発性記憶手段から前記SA削除パラメータ・セットを削除するSAパラメータ削除手段を、さらに備えていてもよい。
【0019】
これにより、すでに不要となったSA削除パラメータ・セットが不揮発性記憶手段に蓄積することを防止できる。
【0020】
好適な実施形態では、前記SA削除パラメータ・セットの作成後であってその保存前に、前記SAパラメータ・セットに係る暗号化アルゴリズムとは異なる暗号化アルゴリズムを用いた暗号化処理を前記SA削除パラメータ・セットに対して行う暗号化処理手段と、前記SA削除通知メッセージの作成前に、前記暗号化処理された前記SA削除パラメータ・セットの復号化処理を行う復号化処理手段とをさらに備えていてもよい。
【0021】
例えば暗号化ファイルシステム(EFS)等の技術を利用することにより、SA削除パラメータ・セットに含まれる暗号鍵その他の重要なパラメータが漏洩したとしても、悪意のある第三者からIPsec通信が妨害されることを防止することができる。
【発明の効果】
【0022】
本発明の印刷装置及び印刷装置のSA確立方法によれば、印刷装置の再起動後にSA削除通知メッセージを送信することができるなどの種々の作用を生じるので、装置間の通信安全性を確保しつつ、IPsec通信を迅速に再開させることができる。
【図面の簡単な説明】
【0023】
【図1】本発明の一実施形態に係る印刷装置の構成を示すブロック図
【図2】本実施形態の印刷装置と相手側通信装置との間の通信手順を示すシーケンス図
【図3】本実施形態の印刷装置におけるSA削除パラメータ・セットの保存に関する処理手順を示すフローチャート
【図4】本実施形態の印刷装置におけるSAの削除処理に関する手順を示すフローチャート
【図5】従来の印刷装置と相手側通信装置との間の通信手順を示すシーケンス図
【発明を実施するための形態】
【0024】
以下、本発明の印刷装置1及び印刷装置1のSA確立方法をその一実施形態により説明する。はじめに、本実施形態の印刷装置1を以下に説明する。
【0025】
本実施形態の印刷装置1は、図1に示すように、インクジェット・プリンタ・ヘッドなどの印刷部P、印刷部の制御を行うCPUなどの制御部CT、揮発性メモリなどの揮発性記憶部3、不揮発性メモリなどの不揮発性記憶部4、WANやLANなどを用いてインターネット通信を行う通信部CM及び手動入力や各種信号の入出力を行う入出力部IOを有する。制御部CTは、処理のコンピュータプログラムを実行することにより、以下に説明する複数の手段を実現する。すなわち、制御部CTは、SAパラメータ交換手段2、暗号化処理手段5、復号化処理手段6、SA削除通知メッセージ作成手段7及びSAパラメータ削除手段8を備えている。
【0026】
SAパラメータ交換手段2は、SA(セキュリティ・アソシエーション)パラメータ・セットを相互に交換することより、SAの構築及び削除を行う手段であり、従来の印刷装置101に設けられたSA生成手段と同様のものである。
【0027】
IPsec通信においては、従来と同様、AH(IP認証ヘッダ)、ESP(IP暗号化ペイロード)及びIKE(インターネット鍵交換)の3つのプロトコル、鍵管理やセキュアプロトコルを使うためのつながり又はセキュアな仮想通信路といった意味のSA並びに認証及び暗号化アルゴリズムが用いられる。
【0028】
また、IKEによるSAの生成手法においても、従来と同様、ISAKMP_SAを生成するフェーズ1とIPsec_SAを生成するフェーズ2の2ステップがある。なお、図2においては、記号vr1が示す透明横長円筒を用いてISAKMP_SAによる通信セキュア化を視覚的に表現しており、記号vr2が示す透明横長円筒を用いてIPsec_SAによる通信セキュア化を視覚的に表現している。
【0029】
また、SAパラメータ・セットは、相手側通信装置10との間でIPsec通信を用いたセキュア通信を行うための各種のパラメータである。SAパラメータの一例としては、SPI(セキュリティ・パラメータ・インデックス)、シーケンス番号カウンタ、オーバフローフラグ、リプレイ防御ウィンドウ、ESP暗号化アルゴリズム、AH/ESP認証アルゴリズム、暗号鍵、SA有効期間、IPsecモード(トランスポートモード又はトンネルモード)、ステートフルフラグメントチェックフラグ、バイパスDFビット、Path_MTU、DSCP、バイパスDSCP、トンネルモード始点アドレス、終点アドレスなどが挙げられる。
【0030】
ここで、相手先のIPアドレス(以下、「相手IPアドレス」という。)及び印刷装置1のIPアドレスはIPsecモードのフラグメント化に際してペイロード及びAH/ESPヘッダの前にIPヘッダとして付与される。また、暗号化アルゴリズムについては、アルゴリズムそのものがパラメータとして含まれるよりも、識別子などにより既存の暗号化アルゴリズムを指定することが好ましい。そのため、SAパラメータとして暗号化アルゴリズムを指定する場合、その代わりにその暗号化アルゴリズムを特定する識別子をSAパラメータとしてもよい。また、イニシエータ・クッキー(Cookie)又はレスポンダ・クッキーは、イニシエータ側又はレスポンダ側のISAKMP_SAヘッダに含まれている。
【0031】
揮発性記憶部3は、SAパラメータ・セットを一時的に保存する手段である。つまり、揮発性記憶部3に保存されたSAパラメータ・セットは、印刷装置1の終了時に自動的に消去される。
【0032】
不揮発性記憶部4は、SA削除パラメータ・セットを恒久的に保存する手段である。SA削除パラメータ・セットとは、SAパラメータ・セットの一部であって、SAの削除に用いられるパラメータの一群である。
【0033】
本実施形態のSA削除パラメータ・セットとしては、少なくとも、相手IPアドレス、ISAKMP_SA識別子(例えばクッキー)、暗号化アルゴリズム、暗号鍵、IPsec_SA識別子(例えばSPI)が挙げられる。なお、相手IPアドレス、ISAKMP_SA識別子、暗号化アルゴリズムはISAKMPに用いられるSAパラメータ(以下、「ISAKMP_SAパラメータ」という。)であり、IPsec_SA識別子はIPsecに用いられるSAパラメータ(以下、「IPsec_SAパラメータ」という。)である。
【0034】
この暗号化処理手段5は、SA削除パラメータ・セットに対して暗号化処理を行う手段である。この暗号化処理は、SA削除パラメータ・セットの作成後であってその保存前に行われる。また、この暗号化処理に用いられる暗号化アルゴリズムは、SAパラメータ・セットに係る暗号化アルゴリズムとは異なるものを用いている。暗号化処理手法の具体例としては、例えば暗号化ファイルシステム(EFS)などが挙げられる。
【0035】
復号化処理手段6は、不揮発性記憶部4に保存されたSA削除パラメータ・セットが暗号化処理されていた場合、SA削除通知メッセージの作成前にそのSA削除パラメータ・セットの復号化処理を行う手段である。復号化処理手法は暗号化処理手法に基づいて選択すればよい。なお、暗号化処理手段5及び復号化処理手段6は、存在しなくてもよい任意の構成である。
【0036】
SA削除通知メッセージ作成手段7は、不揮発性記憶部4に保存されたSA削除パラメータ・セットに基づいて、SA削除通知メッセージを作成する手段である。SA削除通知メッセージとは、SAパラメータ交換手段2が相手側通信装置10に対して新たなSAを再構築する前に、その再構築以前のSAの削除を依頼するために送信するメッセージである。このSA削除通知メッセージは、印刷装置1の正常終了時に揮発性記憶部3にSAパラメータ・セットが保存されている場合、又は、印刷装置1の突発的な終了後の再起動時において揮発性記憶部3にSAパラメータ・セットが保存されておらず、かつ、不揮発性記憶部4にSA削除パラメータ・セットが保存されている状態になった場合のいずれかの場合に作成される。なお、SA削除通知メッセージの送信は、SAパラメータの交換に関連するため、SAパラメータ交換手段2により行われる。
【0037】
SAパラメータ削除手段8は、SA削除通知メッセージの送信後、不揮発性記憶部4から再構築以前のSA削除パラメータ・セットを削除する手段である。
【0038】
次に、本実施形態の印刷装置1のSA確立方法を以下に説明する。
【0039】
本実施形態の印刷装置1のSA確立方法は、例えば本実施形態の印刷装置1により実現される。この印刷装置1のSA確立方法は、SA構築行程、第1の記憶行程、暗号化処理行程、第2の記憶行程、復号化処理行程、SA削除通知メッセージ作成行程及びSAパラメータ削除行程を備えている。
【0040】
はじめに、図2及び図3を用いて、本実施形態の印刷装置におけるSA削除パラメータ・セットの保存に関する処理手順を説明する。
【0041】
SA構築行程においては、図2及び図3に示すように、SAパラメータ・セットを相互に交換し、相手側通信装置10と印刷装置1との間にSAを構築する(図2の時間T0→時間T1:IKE_SAパラメータ交換中、図3のS01→S02)。従来と同様、SAにはフェーズ1のISAKMP_SA及びフェーズ2のIPsec_SAがあり、その順にSAの確立が行われる。
【0042】
また、第1の記憶行程は、図2及び図3に示すように、SA構築行程において交換されたSAパラメータ・セットを印刷装置1に設けられた揮発性記憶部3に一時的に保存する(図2の時間T0→時間T1:IKE_SAパラメータ交換中、図3のS01)。
【0043】
暗号化処理行程においては、SAパラメータ・セットの一部であってSAの削除に用いるSA削除パラメータ・セットに暗号化処理を行う(図3のS03、S04)。その時期は、SA削除パラメータ・セットの作成後であってその保存前である。なお、図3に示すように、印刷装置1に暗号化処理手段5が存在しない場合、暗号化処理を行わないことも可能である(図3のS03→S05)。
【0044】
第2の記憶行程は、図2及び図3に示すように、SA削除パラメータ・セットを印刷装置1の不揮発性記憶部4に恒久的に保存する(図2の時間T1、図3のS05)。図2に示すとおり、SA削除パラメータ・セットは、少なくとも、ISAKMP_SAパラメータである相手IPアドレス、ISAKMP_SA識別子、暗号化アルゴリズム及び暗号鍵並びにIPsec_SAパラメータであるIPsec_SA識別子により、構成されている。
【0045】
IPsec_SAが生成されると、図2に示すように、それを介して印刷関連データが相手側通信装置10及び印刷装置1の間でIPsecパケットを利用して送受信される(時間T1→時間T2:セキュア通信中)。
【0046】
次に、図2及び図4を用いて、本実施形態の印刷装置における正常状態又はそれ以外の状態のSAの削除に関する処理手順を説明する。図4に示すSAの削除処理フローは、例えば、IPsec通信を正常に終了する場合、及び印刷装置を初期化するときに、その初期化処理中で実行される。
【0047】
印刷装置1がIPsec通信を正常に終了する場合、図4に示すように、印刷装置1の揮発性記憶部3にSAパラメータ・セットが記憶されているので(S11)、SAパラメータ・セットに基づいてSA削除通知メッセージが作成される(S12)。
【0048】
しかし、図2に示すように、IPsec通信中に停電などの何らかの予定しない原因で印刷装置1が突如シャットダウンしてしまった場合(時間T2)、印刷装置1の揮発性記憶部3に記憶されたSAパラメータ・セットが消去されてしまうので、IPsec通信が途絶えてしまう(時間T2→時間T3:電源切断中)。そのため、図2に示すように印刷装置1を再起動したときは(時間T3)、その印刷装置の初期化処理の一部として図4に示す処理が実行される。つまり、その印刷装置1の揮発性記憶部3にSAパラメータ・セットが記憶されていないときは、不揮発性記憶部4にSA削除パラメータ・セットが記憶されていないかを確かめる(S11→S13)。
【0049】
不揮発性記憶部4にSA削除パラメータ・セットが記憶されているときは、さらにSA削除パラメータ・セットが暗号化されているか否かを判定し、暗号化されている場合は、その復号化処理を行う(S14、S15)。
【0050】
SA削除通知メッセージ作成行程においては、図2及び図4に示すように、印刷装置1から相手側通信装置10に対してSA削除通知メッセージをSA削除パラメータ・セットに基づいて作成する(図2の時間T3→時間T4:旧SA消去中、図4のS16)。そして、SA削除通知メッセージが作成されると、SA削除通知メッセージはSAパラメータ交換手段2により相手側通信装置10に送信される(図2の時間T3→時間T4:旧SA消去中、図4のS17)。
【0051】
SAパラメータ削除行程においては、SA削除通知メッセージの送信後、不揮発性記憶部4から再構築以前のSA削除パラメータ・セットを削除する(図2の時間T4→時間T5:IKE_SAパラメータ交換中(SA再構築)、図4のS18)。
【0052】
次に、本実施形態の印刷装置1及び印刷装置1のSA確立方法の作用効果を説明する。
【0053】
本実施形態の印刷装置1及び印刷装置1のSA確立方法においては、SA削除パラメータ・セットが不揮発性記憶部4に恒久的に保存されており、揮発性記憶部3にSAパラメータ・セットが保存されておらず、かつ、不揮発性記憶部4にSA削除パラメータ・セットが保存されている状態になった場合に、SA削除通知メッセージ作成手段7がSA削除パラメータ・セットに基づいて作成したSA削除通知メッセージをSAパラメータ交換手段2が相手側通信装置10に対して送信するようになっている。そのため、印刷装置1が停電等により突然シャットダウン(切断)したとしても、印刷装置1の再起動後であればSAの有効期限前であってもSAの再構築をすばやく行うことができる。
【0054】
また、本実施形態の印刷装置1及び印刷装置1のSA確立方法においては、不揮発性記憶部4に保存するパラメータ・セットを上記のSA削除パラメータ・セットに限定することにより、SA削除通知メッセージの送信を実現しつつ、不揮発性記憶部4への保存に必要な容量を最小限に抑えることができる。
【0055】
また、本実施形態の印刷装置1及び印刷装置1のSA確立方法においては、SA削除通知メッセージの送信後、不揮発性記憶部4から再構築以前のSA削除パラメータ・セットを削除するようになっている。そのため、新たなSAの消去に必要なSA削除パラメータ・セットからみて不要な旧SA削除パラメータ・セットの蓄積を抑制することができる。
【0056】
また、本実施形態の印刷装置1及び印刷装置1のSA確立方法においては、SA削除パラメータ・セットの保存に際して暗号化処理を行い、SA削除通知メッセージの作成の際に復号化処理を行うようになっている。そのため、例えば暗号化ファイルシステム(EFS)等の技術を利用することにより、SA削除パラメータ・セットに含まれる暗号鍵その他の重要なパラメータが漏洩したとしても、悪意のある第三者からIPsec通信が妨害されることを防止することができる。
【0057】
すなわち、本実施形態の印刷装置及び印刷装置のSA確立方法によれば、印刷装置の再起動後にSA削除通知メッセージを送信することができるなどの種々の作用を生じるので、装置間の通信安全性を確保しつつ、IPsec通信を迅速に再開させることができるという効果を奏する。
【0058】
なお、本発明は、前述した実施形態などに限定されるものではなく、必要に応じて種々の変更が可能である。
【符号の説明】
【0059】
1 印刷装置
2 SAパラメータ交換手段
3 揮発性記憶部
4 不揮発性記憶部
5 暗号化処理手段
6 復号化処理手段
7 SA削除通知メッセージ作成手段
8 SAパラメータ削除手段
10 相手側通信装置
vr1 ISAKMP_SA
vr2 IPsec_SA
【技術分野】
【0001】
本発明は、印刷装置及び印刷装置のSA確立方法に係り、特に、IPsec通信に対応するプリンタに好適に利用できる印刷装置及び印刷装置のSA確立方法に関する。
【背景技術】
【0002】
従来の印刷装置においては、外部のパーソナル・コンピュータなどの相手側通信装置と通信する際、セキュアなIP通信の一例であるIPsec通信が用いられている。IPsec通信の利点は、盗聴・改ざん・なりすまし・否認の脅威を防ぐため、暗号化、署名、認証といったセキュリティ関連手法を上位プロトコルの変更をせずに利用できる点にある。このセキュアなIP通信を実現するため、IPsec通信においては、AH(IP認証ヘッダ)、ESP(IP暗号化ペイロード)及びIKE(インターネット鍵交換)と称される3つのプロトコル、鍵管理やセキュアプロトコルを使うためのつながり又はセキュアな仮想通信路といった意味のSA(セキュリティ・アソシエーション)並びに認証及び暗号化アルゴリズムといった技術が用いられる。
【0003】
従来の印刷装置101は、図5に示すように、相手側通信装置110とIPsec通信を行う際にSAを生成するため、IKEプロトコルを使用する(時間T100→時間T101:IKE_SAパラメータ交換中)。このIKEプロトコルを利用するのは、認証用のセッション鍵(HMAC)と暗号化用のセッション鍵のこれら両方の鍵の生成、交換、更新が自動で行われるからである。
【0004】
IKEによるSAの生成行程においては、フェーズ1とフェーズ2の2ステップがある。フェーズ1においては、SA送信側(イニシエータ)となる相手側通信装置110とSA受信側(レスポンダ)となる印刷装置101との間においてISAKMP_SAパラメータの一群であるISAKMP_SAパラメータ・セットを相互に交換することにより、ISAKMP_SAを生成する。また、フェーズ2においては、暗号化や認証に用いられる鍵を含むIPsec_SAパラメータの一群であるIPsec_SAパラメータ・セットを、フェーズ1において生成されたISAKMP_SAを介して相互に交換することにより、いわゆるSAと称されるIPsec_SAを生成する。
【0005】
なお、図5においては、透明横長円筒vr1を用いてISAKMP_SAによる通信セキュア化を視覚的に表現しており、透明横長円筒vr2を用いてIPsec_SAによる通信セキュア化を視覚的に表現している。また、
【0006】
そして、このIPsec_SAを用いてIPsecパケットの送受信を行うことにより、印刷関連データのセキュア通信を実現することができる(時間T101→時間T102:セキュア通信中)。
【0007】
また、IPsec通信の安全性を高めるため、SAには有効期限が設けられている(時間T100→時間T104:SA有効期限)。この有効期限が経過した場合、今まで使用されたSAパラメータ・セットを互いに消去し(時間T104→時間T105:旧SA消去中)、IPsec_SAパラメータ・セットに含まれる暗号鍵を再設定することにより、相手側通信装置110及び従来の印刷装置101は自動的にSAの再構築を行う(時間T105→時間T106:IKE_SAパラメータ交換中(SA再構築))。
【0008】
ここで、図示はしないが、この有効期限が経過する前であっても相手側通信装置110又は従来の印刷装置101のいずれか一方が正常に終了又は再起動する際、正常に終了又は再起動する一方の装置から他方の装置に対してSA削除通知メッセージを送信し、今まで使用したSAを互いに消去することにより、IPsec通信の安全性を低下させる一因となるSAの再利用を防止していた(特許文献1の背景技術を参照)。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2009−219106号公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
しかしながら、従来の印刷装置101においては、その印刷装置101が停電などの理由により正常に終了せずに突如終了した場合(時間T102:印刷装置101の突如終了時)、印刷装置101をすぐに再起動させたとしても(時間T103:印刷装置101の再起動時)、IPsec通信を迅速に再開させることができないという問題があった(時間T102→時間T105:IPsec通信不能中)。
【0011】
この問題は、印刷装置101の突如終了によって印刷装置101が保有するSAパラメータ・セットが消去してしまうにもかかわらず相手側通信装置110が保有するSAパラメータ・セットは消去されていないため(時間T102→時間T103:印刷装置101の電源切断中)、相手側通信装置110のSAパラメータ・セットの有効期限が経過するまで相手側通信装置110がIPsec通信を回復させようとそのSAパラメータ・セットを印刷装置101に送り続けることに起因する(時間T103→時間T104:相手側通信装置110によるSAパラメータ送信中)。
【0012】
IPsec通信を迅速に再開させるためには、SAパラメータ・セットからSAの消去に必要なSA削除パラメータ・セットを選択し、そのSA削除パラメータ・セットに基づいて作成されたSA削除通知メッセージを印刷装置101から相手側通信装置110に送信すればよい。しかし、印刷装置101の突如終了時にSAパラメータ・セットは消えてしまっているため、印刷装置101の再起動後にSA削除通知メッセージを作成することはできない。
【0013】
そこで、本発明はこれらの点に鑑みてなされたものであり、IPsec通信を迅速に再開させることができる印刷装置及び印刷装置のSA確立方法を提供することを本発明の目的としている。
【課題を解決するための手段】
【0014】
本発明の一つの実施態様に従うIPsec通信が可能な印刷装置は、相手側通信装置との間でIPsec通信を行うための各種パラメータとなるSA(セキュリティ・アソシエーション)パラメータ・セットを相互に交換することよりセキュア化された仮想通信路であるSAの構築及び削除を行うSAパラメータ交換手段と、前記SAパラメータ・セットの一部であって前記SAの削除に用いるSA削除パラメータ・セットを保存する不揮発性記憶手段と、前記印刷装置を初期化するときに、前記不揮発性記憶手段に前記SA削除パラメータ・セットが保存されていれば、前記SAの削除を依頼するためのSA削除通知メッセージを、前記不揮発性記憶手段に保存された前記SA削除パラメータ・セットに基づいて作成するSA削除通知メッセージ作成手段と、を備え、前記作成されたSA削除通知メッセージが前記相手側通信装置へ送信される。
【0015】
これにより、不揮発性記憶手段にSA削除パラメータ・セットが保存されているため、印刷装置が突然終了したことにより揮発性記憶手段に保存されていたSAパラメータ・セットが失われたときであっても、印刷装置の再起動後にSA削除通知メッセージを送信することができる。
【0016】
好適な実施形態では、前記SA削除パラメータ・セットは、少なくとも、ISAKMP_SAパラメータである相手IPアドレス、ISAKMP_SA識別子、暗号化アルゴリズム及び暗号鍵並びにIPsec_SAパラメータであるIPsec_SA識別子により、構成されていてもよい。
【0017】
不揮発性記憶手段に保存するパラメータ・セットを上記のSA削除パラメータ・セットに限定することにより、SA削除通知メッセージの送信を実現しつつ、不揮発性記憶手段への保存に必要な容量を最小限に抑えることができる。
【0018】
好適な実施形態では、前記SA削除通知メッセージの送信後、前記不揮発性記憶手段から前記SA削除パラメータ・セットを削除するSAパラメータ削除手段を、さらに備えていてもよい。
【0019】
これにより、すでに不要となったSA削除パラメータ・セットが不揮発性記憶手段に蓄積することを防止できる。
【0020】
好適な実施形態では、前記SA削除パラメータ・セットの作成後であってその保存前に、前記SAパラメータ・セットに係る暗号化アルゴリズムとは異なる暗号化アルゴリズムを用いた暗号化処理を前記SA削除パラメータ・セットに対して行う暗号化処理手段と、前記SA削除通知メッセージの作成前に、前記暗号化処理された前記SA削除パラメータ・セットの復号化処理を行う復号化処理手段とをさらに備えていてもよい。
【0021】
例えば暗号化ファイルシステム(EFS)等の技術を利用することにより、SA削除パラメータ・セットに含まれる暗号鍵その他の重要なパラメータが漏洩したとしても、悪意のある第三者からIPsec通信が妨害されることを防止することができる。
【発明の効果】
【0022】
本発明の印刷装置及び印刷装置のSA確立方法によれば、印刷装置の再起動後にSA削除通知メッセージを送信することができるなどの種々の作用を生じるので、装置間の通信安全性を確保しつつ、IPsec通信を迅速に再開させることができる。
【図面の簡単な説明】
【0023】
【図1】本発明の一実施形態に係る印刷装置の構成を示すブロック図
【図2】本実施形態の印刷装置と相手側通信装置との間の通信手順を示すシーケンス図
【図3】本実施形態の印刷装置におけるSA削除パラメータ・セットの保存に関する処理手順を示すフローチャート
【図4】本実施形態の印刷装置におけるSAの削除処理に関する手順を示すフローチャート
【図5】従来の印刷装置と相手側通信装置との間の通信手順を示すシーケンス図
【発明を実施するための形態】
【0024】
以下、本発明の印刷装置1及び印刷装置1のSA確立方法をその一実施形態により説明する。はじめに、本実施形態の印刷装置1を以下に説明する。
【0025】
本実施形態の印刷装置1は、図1に示すように、インクジェット・プリンタ・ヘッドなどの印刷部P、印刷部の制御を行うCPUなどの制御部CT、揮発性メモリなどの揮発性記憶部3、不揮発性メモリなどの不揮発性記憶部4、WANやLANなどを用いてインターネット通信を行う通信部CM及び手動入力や各種信号の入出力を行う入出力部IOを有する。制御部CTは、処理のコンピュータプログラムを実行することにより、以下に説明する複数の手段を実現する。すなわち、制御部CTは、SAパラメータ交換手段2、暗号化処理手段5、復号化処理手段6、SA削除通知メッセージ作成手段7及びSAパラメータ削除手段8を備えている。
【0026】
SAパラメータ交換手段2は、SA(セキュリティ・アソシエーション)パラメータ・セットを相互に交換することより、SAの構築及び削除を行う手段であり、従来の印刷装置101に設けられたSA生成手段と同様のものである。
【0027】
IPsec通信においては、従来と同様、AH(IP認証ヘッダ)、ESP(IP暗号化ペイロード)及びIKE(インターネット鍵交換)の3つのプロトコル、鍵管理やセキュアプロトコルを使うためのつながり又はセキュアな仮想通信路といった意味のSA並びに認証及び暗号化アルゴリズムが用いられる。
【0028】
また、IKEによるSAの生成手法においても、従来と同様、ISAKMP_SAを生成するフェーズ1とIPsec_SAを生成するフェーズ2の2ステップがある。なお、図2においては、記号vr1が示す透明横長円筒を用いてISAKMP_SAによる通信セキュア化を視覚的に表現しており、記号vr2が示す透明横長円筒を用いてIPsec_SAによる通信セキュア化を視覚的に表現している。
【0029】
また、SAパラメータ・セットは、相手側通信装置10との間でIPsec通信を用いたセキュア通信を行うための各種のパラメータである。SAパラメータの一例としては、SPI(セキュリティ・パラメータ・インデックス)、シーケンス番号カウンタ、オーバフローフラグ、リプレイ防御ウィンドウ、ESP暗号化アルゴリズム、AH/ESP認証アルゴリズム、暗号鍵、SA有効期間、IPsecモード(トランスポートモード又はトンネルモード)、ステートフルフラグメントチェックフラグ、バイパスDFビット、Path_MTU、DSCP、バイパスDSCP、トンネルモード始点アドレス、終点アドレスなどが挙げられる。
【0030】
ここで、相手先のIPアドレス(以下、「相手IPアドレス」という。)及び印刷装置1のIPアドレスはIPsecモードのフラグメント化に際してペイロード及びAH/ESPヘッダの前にIPヘッダとして付与される。また、暗号化アルゴリズムについては、アルゴリズムそのものがパラメータとして含まれるよりも、識別子などにより既存の暗号化アルゴリズムを指定することが好ましい。そのため、SAパラメータとして暗号化アルゴリズムを指定する場合、その代わりにその暗号化アルゴリズムを特定する識別子をSAパラメータとしてもよい。また、イニシエータ・クッキー(Cookie)又はレスポンダ・クッキーは、イニシエータ側又はレスポンダ側のISAKMP_SAヘッダに含まれている。
【0031】
揮発性記憶部3は、SAパラメータ・セットを一時的に保存する手段である。つまり、揮発性記憶部3に保存されたSAパラメータ・セットは、印刷装置1の終了時に自動的に消去される。
【0032】
不揮発性記憶部4は、SA削除パラメータ・セットを恒久的に保存する手段である。SA削除パラメータ・セットとは、SAパラメータ・セットの一部であって、SAの削除に用いられるパラメータの一群である。
【0033】
本実施形態のSA削除パラメータ・セットとしては、少なくとも、相手IPアドレス、ISAKMP_SA識別子(例えばクッキー)、暗号化アルゴリズム、暗号鍵、IPsec_SA識別子(例えばSPI)が挙げられる。なお、相手IPアドレス、ISAKMP_SA識別子、暗号化アルゴリズムはISAKMPに用いられるSAパラメータ(以下、「ISAKMP_SAパラメータ」という。)であり、IPsec_SA識別子はIPsecに用いられるSAパラメータ(以下、「IPsec_SAパラメータ」という。)である。
【0034】
この暗号化処理手段5は、SA削除パラメータ・セットに対して暗号化処理を行う手段である。この暗号化処理は、SA削除パラメータ・セットの作成後であってその保存前に行われる。また、この暗号化処理に用いられる暗号化アルゴリズムは、SAパラメータ・セットに係る暗号化アルゴリズムとは異なるものを用いている。暗号化処理手法の具体例としては、例えば暗号化ファイルシステム(EFS)などが挙げられる。
【0035】
復号化処理手段6は、不揮発性記憶部4に保存されたSA削除パラメータ・セットが暗号化処理されていた場合、SA削除通知メッセージの作成前にそのSA削除パラメータ・セットの復号化処理を行う手段である。復号化処理手法は暗号化処理手法に基づいて選択すればよい。なお、暗号化処理手段5及び復号化処理手段6は、存在しなくてもよい任意の構成である。
【0036】
SA削除通知メッセージ作成手段7は、不揮発性記憶部4に保存されたSA削除パラメータ・セットに基づいて、SA削除通知メッセージを作成する手段である。SA削除通知メッセージとは、SAパラメータ交換手段2が相手側通信装置10に対して新たなSAを再構築する前に、その再構築以前のSAの削除を依頼するために送信するメッセージである。このSA削除通知メッセージは、印刷装置1の正常終了時に揮発性記憶部3にSAパラメータ・セットが保存されている場合、又は、印刷装置1の突発的な終了後の再起動時において揮発性記憶部3にSAパラメータ・セットが保存されておらず、かつ、不揮発性記憶部4にSA削除パラメータ・セットが保存されている状態になった場合のいずれかの場合に作成される。なお、SA削除通知メッセージの送信は、SAパラメータの交換に関連するため、SAパラメータ交換手段2により行われる。
【0037】
SAパラメータ削除手段8は、SA削除通知メッセージの送信後、不揮発性記憶部4から再構築以前のSA削除パラメータ・セットを削除する手段である。
【0038】
次に、本実施形態の印刷装置1のSA確立方法を以下に説明する。
【0039】
本実施形態の印刷装置1のSA確立方法は、例えば本実施形態の印刷装置1により実現される。この印刷装置1のSA確立方法は、SA構築行程、第1の記憶行程、暗号化処理行程、第2の記憶行程、復号化処理行程、SA削除通知メッセージ作成行程及びSAパラメータ削除行程を備えている。
【0040】
はじめに、図2及び図3を用いて、本実施形態の印刷装置におけるSA削除パラメータ・セットの保存に関する処理手順を説明する。
【0041】
SA構築行程においては、図2及び図3に示すように、SAパラメータ・セットを相互に交換し、相手側通信装置10と印刷装置1との間にSAを構築する(図2の時間T0→時間T1:IKE_SAパラメータ交換中、図3のS01→S02)。従来と同様、SAにはフェーズ1のISAKMP_SA及びフェーズ2のIPsec_SAがあり、その順にSAの確立が行われる。
【0042】
また、第1の記憶行程は、図2及び図3に示すように、SA構築行程において交換されたSAパラメータ・セットを印刷装置1に設けられた揮発性記憶部3に一時的に保存する(図2の時間T0→時間T1:IKE_SAパラメータ交換中、図3のS01)。
【0043】
暗号化処理行程においては、SAパラメータ・セットの一部であってSAの削除に用いるSA削除パラメータ・セットに暗号化処理を行う(図3のS03、S04)。その時期は、SA削除パラメータ・セットの作成後であってその保存前である。なお、図3に示すように、印刷装置1に暗号化処理手段5が存在しない場合、暗号化処理を行わないことも可能である(図3のS03→S05)。
【0044】
第2の記憶行程は、図2及び図3に示すように、SA削除パラメータ・セットを印刷装置1の不揮発性記憶部4に恒久的に保存する(図2の時間T1、図3のS05)。図2に示すとおり、SA削除パラメータ・セットは、少なくとも、ISAKMP_SAパラメータである相手IPアドレス、ISAKMP_SA識別子、暗号化アルゴリズム及び暗号鍵並びにIPsec_SAパラメータであるIPsec_SA識別子により、構成されている。
【0045】
IPsec_SAが生成されると、図2に示すように、それを介して印刷関連データが相手側通信装置10及び印刷装置1の間でIPsecパケットを利用して送受信される(時間T1→時間T2:セキュア通信中)。
【0046】
次に、図2及び図4を用いて、本実施形態の印刷装置における正常状態又はそれ以外の状態のSAの削除に関する処理手順を説明する。図4に示すSAの削除処理フローは、例えば、IPsec通信を正常に終了する場合、及び印刷装置を初期化するときに、その初期化処理中で実行される。
【0047】
印刷装置1がIPsec通信を正常に終了する場合、図4に示すように、印刷装置1の揮発性記憶部3にSAパラメータ・セットが記憶されているので(S11)、SAパラメータ・セットに基づいてSA削除通知メッセージが作成される(S12)。
【0048】
しかし、図2に示すように、IPsec通信中に停電などの何らかの予定しない原因で印刷装置1が突如シャットダウンしてしまった場合(時間T2)、印刷装置1の揮発性記憶部3に記憶されたSAパラメータ・セットが消去されてしまうので、IPsec通信が途絶えてしまう(時間T2→時間T3:電源切断中)。そのため、図2に示すように印刷装置1を再起動したときは(時間T3)、その印刷装置の初期化処理の一部として図4に示す処理が実行される。つまり、その印刷装置1の揮発性記憶部3にSAパラメータ・セットが記憶されていないときは、不揮発性記憶部4にSA削除パラメータ・セットが記憶されていないかを確かめる(S11→S13)。
【0049】
不揮発性記憶部4にSA削除パラメータ・セットが記憶されているときは、さらにSA削除パラメータ・セットが暗号化されているか否かを判定し、暗号化されている場合は、その復号化処理を行う(S14、S15)。
【0050】
SA削除通知メッセージ作成行程においては、図2及び図4に示すように、印刷装置1から相手側通信装置10に対してSA削除通知メッセージをSA削除パラメータ・セットに基づいて作成する(図2の時間T3→時間T4:旧SA消去中、図4のS16)。そして、SA削除通知メッセージが作成されると、SA削除通知メッセージはSAパラメータ交換手段2により相手側通信装置10に送信される(図2の時間T3→時間T4:旧SA消去中、図4のS17)。
【0051】
SAパラメータ削除行程においては、SA削除通知メッセージの送信後、不揮発性記憶部4から再構築以前のSA削除パラメータ・セットを削除する(図2の時間T4→時間T5:IKE_SAパラメータ交換中(SA再構築)、図4のS18)。
【0052】
次に、本実施形態の印刷装置1及び印刷装置1のSA確立方法の作用効果を説明する。
【0053】
本実施形態の印刷装置1及び印刷装置1のSA確立方法においては、SA削除パラメータ・セットが不揮発性記憶部4に恒久的に保存されており、揮発性記憶部3にSAパラメータ・セットが保存されておらず、かつ、不揮発性記憶部4にSA削除パラメータ・セットが保存されている状態になった場合に、SA削除通知メッセージ作成手段7がSA削除パラメータ・セットに基づいて作成したSA削除通知メッセージをSAパラメータ交換手段2が相手側通信装置10に対して送信するようになっている。そのため、印刷装置1が停電等により突然シャットダウン(切断)したとしても、印刷装置1の再起動後であればSAの有効期限前であってもSAの再構築をすばやく行うことができる。
【0054】
また、本実施形態の印刷装置1及び印刷装置1のSA確立方法においては、不揮発性記憶部4に保存するパラメータ・セットを上記のSA削除パラメータ・セットに限定することにより、SA削除通知メッセージの送信を実現しつつ、不揮発性記憶部4への保存に必要な容量を最小限に抑えることができる。
【0055】
また、本実施形態の印刷装置1及び印刷装置1のSA確立方法においては、SA削除通知メッセージの送信後、不揮発性記憶部4から再構築以前のSA削除パラメータ・セットを削除するようになっている。そのため、新たなSAの消去に必要なSA削除パラメータ・セットからみて不要な旧SA削除パラメータ・セットの蓄積を抑制することができる。
【0056】
また、本実施形態の印刷装置1及び印刷装置1のSA確立方法においては、SA削除パラメータ・セットの保存に際して暗号化処理を行い、SA削除通知メッセージの作成の際に復号化処理を行うようになっている。そのため、例えば暗号化ファイルシステム(EFS)等の技術を利用することにより、SA削除パラメータ・セットに含まれる暗号鍵その他の重要なパラメータが漏洩したとしても、悪意のある第三者からIPsec通信が妨害されることを防止することができる。
【0057】
すなわち、本実施形態の印刷装置及び印刷装置のSA確立方法によれば、印刷装置の再起動後にSA削除通知メッセージを送信することができるなどの種々の作用を生じるので、装置間の通信安全性を確保しつつ、IPsec通信を迅速に再開させることができるという効果を奏する。
【0058】
なお、本発明は、前述した実施形態などに限定されるものではなく、必要に応じて種々の変更が可能である。
【符号の説明】
【0059】
1 印刷装置
2 SAパラメータ交換手段
3 揮発性記憶部
4 不揮発性記憶部
5 暗号化処理手段
6 復号化処理手段
7 SA削除通知メッセージ作成手段
8 SAパラメータ削除手段
10 相手側通信装置
vr1 ISAKMP_SA
vr2 IPsec_SA
【特許請求の範囲】
【請求項1】
IPsec通信が可能な印刷装置であって、
相手側通信装置との間でIPsec通信を行うための各種パラメータとなるSA(セキュリティ・アソシエーション)パラメータ・セットを相互に交換することよりセキュア化された仮想通信路であるSAの構築及び削除を行うSAパラメータ交換手段と、
前記SAパラメータ・セットの一部であって前記SAの削除に用いるSA削除パラメータ・セットを保存する不揮発性記憶手段と、
前記印刷装置を初期化するときに、前記不揮発性記憶手段に前記SA削除パラメータ・セットが保存されていれば、前記SAの削除を依頼するためのSA削除通知メッセージを、前記不揮発性記憶手段に保存された前記SA削除パラメータ・セットに基づいて作成するSA削除通知メッセージ作成手段と、を備え、
前記作成されたSA削除通知メッセージが前記相手側通信装置へ送信されることを特徴とする印刷装置。
【請求項2】
前記SA削除パラメータ・セットは、少なくとも、ISAKMP_SAパラメータである相手IPアドレス、ISAKMP_SA識別子、暗号化アルゴリズム及び暗号鍵並びにIPsec_SAパラメータであるIPsec_SA識別子により、構成されている
ことを特徴とする請求項1に記載の印刷装置。
【請求項3】
前記SA削除通知メッセージの送信後、前記不揮発性記憶手段から前記SA削除パラメータ・セットを削除するSAパラメータ削除手段を、さらに備える
ことを特徴とする請求項1または請求項2に記載の印刷装置。
【請求項4】
前記SA削除パラメータ・セットの作成後であってその保存前に、前記SAパラメータ・セットに係る暗号化アルゴリズムとは異なる暗号化アルゴリズムを用いた暗号化処理を前記SA削除パラメータ・セットに対して行う暗号化処理手段と、
前記SA削除通知メッセージの作成前に、前記暗号化処理された前記SA削除パラメータ・セットの復号化処理を行う復号化処理手段と
をさらに備えることを特徴とする請求項1から請求項3のいずれか1項に記載の印刷装置。
【請求項5】
相手側通信装置と印刷装置との間でIPsec通信を用いたセキュア通信を行うための各種パラメータとなるSA(セキュリティ・アソシエーション)パラメータ・セットを相互に交換することによりセキュア化された仮想通信路であるSAを前記相手側通信装置と前記印刷装置との間に構築するSA構築行程と、
前記SA構築行程において交換された前記SAパラメータ・セットを前記印刷装置に設けられた揮発性記憶手段に一時的に保存する第1の記憶行程と、
前記SAパラメータ・セットの一部であって前記SAの削除に用いるSA削除パラメータ・セットを前記印刷装置に設けられた不揮発性記憶手段に保存する第2の記憶行程と、
前記印刷装置を初期化するときに、前記SA削除パラメータ・セットが前記不揮発性記憶手段に保存されていれば、前記印刷装置から前記相手側通信装置に対して前記SAの削除を依頼するために送信されるSA削除通知メッセージを前記SA削除パラメータ・セットに基づいて作成するSA削除通知メッセージ作成行程と、
前記作成されたSA削除通知メッセージが前記相手側通信装置へ送信される送信工程と
を備えていることを特徴とする印刷装置のSA確立方法。
【請求項1】
IPsec通信が可能な印刷装置であって、
相手側通信装置との間でIPsec通信を行うための各種パラメータとなるSA(セキュリティ・アソシエーション)パラメータ・セットを相互に交換することよりセキュア化された仮想通信路であるSAの構築及び削除を行うSAパラメータ交換手段と、
前記SAパラメータ・セットの一部であって前記SAの削除に用いるSA削除パラメータ・セットを保存する不揮発性記憶手段と、
前記印刷装置を初期化するときに、前記不揮発性記憶手段に前記SA削除パラメータ・セットが保存されていれば、前記SAの削除を依頼するためのSA削除通知メッセージを、前記不揮発性記憶手段に保存された前記SA削除パラメータ・セットに基づいて作成するSA削除通知メッセージ作成手段と、を備え、
前記作成されたSA削除通知メッセージが前記相手側通信装置へ送信されることを特徴とする印刷装置。
【請求項2】
前記SA削除パラメータ・セットは、少なくとも、ISAKMP_SAパラメータである相手IPアドレス、ISAKMP_SA識別子、暗号化アルゴリズム及び暗号鍵並びにIPsec_SAパラメータであるIPsec_SA識別子により、構成されている
ことを特徴とする請求項1に記載の印刷装置。
【請求項3】
前記SA削除通知メッセージの送信後、前記不揮発性記憶手段から前記SA削除パラメータ・セットを削除するSAパラメータ削除手段を、さらに備える
ことを特徴とする請求項1または請求項2に記載の印刷装置。
【請求項4】
前記SA削除パラメータ・セットの作成後であってその保存前に、前記SAパラメータ・セットに係る暗号化アルゴリズムとは異なる暗号化アルゴリズムを用いた暗号化処理を前記SA削除パラメータ・セットに対して行う暗号化処理手段と、
前記SA削除通知メッセージの作成前に、前記暗号化処理された前記SA削除パラメータ・セットの復号化処理を行う復号化処理手段と
をさらに備えることを特徴とする請求項1から請求項3のいずれか1項に記載の印刷装置。
【請求項5】
相手側通信装置と印刷装置との間でIPsec通信を用いたセキュア通信を行うための各種パラメータとなるSA(セキュリティ・アソシエーション)パラメータ・セットを相互に交換することによりセキュア化された仮想通信路であるSAを前記相手側通信装置と前記印刷装置との間に構築するSA構築行程と、
前記SA構築行程において交換された前記SAパラメータ・セットを前記印刷装置に設けられた揮発性記憶手段に一時的に保存する第1の記憶行程と、
前記SAパラメータ・セットの一部であって前記SAの削除に用いるSA削除パラメータ・セットを前記印刷装置に設けられた不揮発性記憶手段に保存する第2の記憶行程と、
前記印刷装置を初期化するときに、前記SA削除パラメータ・セットが前記不揮発性記憶手段に保存されていれば、前記印刷装置から前記相手側通信装置に対して前記SAの削除を依頼するために送信されるSA削除通知メッセージを前記SA削除パラメータ・セットに基づいて作成するSA削除通知メッセージ作成行程と、
前記作成されたSA削除通知メッセージが前記相手側通信装置へ送信される送信工程と
を備えていることを特徴とする印刷装置のSA確立方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2012−175121(P2012−175121A)
【公開日】平成24年9月10日(2012.9.10)
【国際特許分類】
【出願番号】特願2011−31720(P2011−31720)
【出願日】平成23年2月17日(2011.2.17)
【出願人】(000002369)セイコーエプソン株式会社 (51,324)
【Fターム(参考)】
【公開日】平成24年9月10日(2012.9.10)
【国際特許分類】
【出願日】平成23年2月17日(2011.2.17)
【出願人】(000002369)セイコーエプソン株式会社 (51,324)
【Fターム(参考)】
[ Back to top ]