情報処理装置、通信システム、それらの制御方法、及びプログラム
【課題】 情報処理装置が省電力モードに移行する際に、外部装置に対して暗号化通信を実行しないよう要求する仕組みを提供する。
【解決手段】 NIC120を介してLAN11に接続され、当該LAN111上の外部装置との間で暗号化通信を実行可能な情報処理装置100において、通常電力モードで動作している状態で、当該通常電力モードよりも消費電力が小さい省電力モードに移行するための条件を満たしたことを検知した場合に(ステップS1)、外部装置に対して暗号化通信を実行しないよう要求する(ステップS3)。
【解決手段】 NIC120を介してLAN11に接続され、当該LAN111上の外部装置との間で暗号化通信を実行可能な情報処理装置100において、通常電力モードで動作している状態で、当該通常電力モードよりも消費電力が小さい省電力モードに移行するための条件を満たしたことを検知した場合に(ステップS1)、外部装置に対して暗号化通信を実行しないよう要求する(ステップS3)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークインターフェース装置を介してネットワークに接続され、当該ネットワーク上の外部装置との間で暗号化通信を実行可能な情報処理装置、または該ネットワークインターフェース装置と該情報処理装置とを含む通信システムに関する。
【背景技術】
【0002】
従来、待機時の消費電力を抑えるための省電力モードを備える情報処理システムが知られている。このような情報処理システムの一例として、メインCPUを備える本体側の情報処理装置と、サブCPUを備えるNIC(Network Interface Card)装置とから構成される通信システムがある。このような通信システムでは、省電力モード中は本体側の情報処理装置を省電力モードに移行させ、消費電力が小さいNIC装置側の各モジュールには通常の電力供給を行ったままの状態で待機することが一般的である。
【0003】
また、特許文献1には、省電力モードへ移行しメインCPUに対する電力供給が停止されるときに、メインCPUがサブCPUに対して、応答すべきマルチキャストパケットのアドレスを通知しておくことが示されている。これにより、メインCPUに対する電力供給が停止されている状態でマルチキャストパケットを受信したときに、メインCPUの代わりにサブCPUが応答することが可能となり、メインCPUを起動させる必要がなくなる。つまり、メインCPUに対する電力供給の停止をより長く継続させることができるため、省電力の効果が高まる。
【0004】
ところで近年、機密情報を保護するために、ネットワーク経路を暗号化して通信するための技術として、IPSec(Internet Protocol Security)やSSL(Secure Socket Layer)等が知られている。これらの技術を用いれば、データを暗号化された状態でネットワークを介して送受信することができ、情報の漏洩を防止することができる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2006−259906号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
上述したように、本体側の情報処理装置が省電力モードに移行したときに、応答すべきパケットの情報をNIC装置に登録しておくことにより、NIC装置が本体側の情報処理装置の代わりに受信パケットに対する応答を行うことができる。
【0007】
しかしながら、NIC装置が本体側の情報処理装置の代理で応答する場合に、ネットワーク介して送信されてくるパケットが暗号化されていると、NIC装置による応答をうまく行うことができない場合がある。
【0008】
つまり、本体側の情報処理装置の代わりとしてNIC装置に応答を行わせようとする場合、NIC装置が応答すべきパケットのパターンと、そのパターンにマッチするパケットに対する応答として送信すべきパケットとを登録しておく。そして、登録されたパターンにマッチするパケットを受けたNIC装置がそのパターンに対応するパケットを送信することになる。このとき、NIC装置が受けるパケットが暗号化されていると、たとえそのパケットの内容が登録されたパターンにマッチするものであったとしても、暗号化されたままのパケットと登録されたパターンとを比較すると、マッチしないものと判定してしまう。
【0009】
この場合、本体側の情報処理装置を省電力モードから復帰させて、NIC装置が受けたパケットを本体側の情報処理装置に転送する必要がある。従って、本体側の情報処理装置を通常電力モードに復帰させる回数が増加し、省電力の効果が小さくなってしまう。
【0010】
本発明は、上記の問題点に鑑みなされたものである。即ち、情報処理装置が省電力モードに移行する際に、外部装置に対して暗号化通信を実行しないよう要求する仕組みを提供することを目的とする。
【課題を解決するための手段】
【0011】
上記の目的を達成するために本発明の情報処理装置は、ネットワークインターフェース装置を介してネットワークに接続され、当該ネットワーク上の外部装置との間で暗号化通信を実行可能な情報処理装置であって、通常電力モードで動作している状態で、当該通常電力モードよりも消費電力が小さい省電力モードに移行するための条件を満たしたことを検知する検知手段と、前記検知手段が前記省電力モードに移行するための条件を満たしたことを検知した場合に、前記外部装置に対して暗号化通信を実行しないよう要求する要求手段と、を備えることを特徴とする。
【発明の効果】
【0012】
本発明によれば、情報処理装置が省電力モードに移行する際に、外部装置に対して暗号化通信を実行しないよう要求する仕組みを提供することができる。
【図面の簡単な説明】
【0013】
【図1】通信システム130のハードウェア構成を示すブロック図である。
【図2】通信システム130のソフトウェア構成を示す図である。
【図3】情報処理装置100の動作手順を示すフローチャートである。
【図4】IPSecモジュール部におけるポリシー情報のリストを示すテーブルである。
【図5】ユーザインタフェースとしてオペレーションパネルに表示されるIPsec代理応答設定画面を示す図である。
【図6】IPsecセッション要求パケットパターンの一例を示すテーブルである。
【図7】IPsec代理応答パケットパターンの一例を示すテーブルである。
【図8】代理応答登録パケットパターンの一例を示すテーブルである。
【図9】代理応答パケットパターンの一例を示すテーブルである。
【図10】NIC120の動作手順を示すフローチャートである。
【図11】「省電力優先」設定時の動作シーケンスを示す図である。
【図12】「セキュリティ優先」設定時の動作シーケンスを示す図である。
【発明を実施するための形態】
【0014】
以下、図面を参照して本発明の実施の形態を詳しく説明する。尚、以下の実施の形態は特許請求の範囲に係る発明を限定するものでなく、また実施の形態で説明されている特徴の組み合わせの全てが発明の解決手段に必須のものとは限らない。
【0015】
(第1の実施形態)
図1は、本発明の第1の実施形態における通信システムのハードウェア構成を示すブロック図である。通信システム130は、情報処理装置100及びNIC120(ネットワークインターフェース装置)を含む。情報処理装置100は、NIC120を介してLAN(Local Area Network)111に接続されている。
【0016】
CPU101は、情報処理装置100のソフトウェアプログラムを実行し、装置全体の制御を行う。RAM103は、ランダムアクセスメモリであり、CPU101が装置を制御する際に、一時的なデータの格納などに使用される。ROM102は、リードオンリーメモリであり、装置のブートプログラムや固定パラメータ等が格納されている。
【0017】
HDD108は、ハードディスクドライブであり、様々なデータの格納に使用される。タイマ112は、経過時刻の管理を行う。NVRAM105は、不揮発性のメモリであり、情報処理装置100の各種設定値を保存するためのものである。パネル制御部106は、オペレーションパネル109を制御し、オペレーションパネル109に備えられた液晶パネルに各種操作画面を表示させるとともに、操作画面を介して入力されるユーザからの指示をCPU101に伝達する。
【0018】
プリンタI/F制御部104は、プリンタ110を制御する。拡張I/F107は、NIC120側の拡張I/F121と接続され、NIC120を介してLAN111上(ネットワーク上)の外部装置とのデータ通信を制御する。
【0019】
CPU122は、NIC120のソフトウェアプログラムを実行し、装置全体の制御を行う。RAM123は、ランダムアクセスメモリであり、CPU122が装置を制御する際に、一時的なデータの格納などに使用される。ROM124は、リードオンリーメモリであり、装置のブートプログラムや固定パラメータ等が格納されている。
【0020】
拡張I/F121は、情報処理装置100側の拡張I/F107と接続され、情報処理装置100とNIC120との間のデータ通信を制御する。NetworkI/F125は、LAN111に接続され、NIC120(情報処理装置100、通信システム130)とLAN111上の外部装置との間のデータ通信を制御する。
【0021】
情報処理装置100は、通常電力モードと、通常電力モードよりも消費電力が小さい省電力モードのいずれかを切り替えて動作することができる。通常電力モードから省電力モードに移行する場合は、CPU101、HDD108、NVRAM105などに対する電力供給が停止される。一方、NIC120側は、情報処理装置100とは別のACIC(Application Specific Integrated Circuit)で動作している。このため、情報処理装置100が省電力モードに移行した状態においてもNIC120に対しては電力供給が継続され、後述する代理応答機能を実現する。
【0022】
図2は、通信システム130のソフトウェア構成を示す図である。通信システム130のソフトウェアは、情報処理装置100側とNIC120側に大きく分けられる。NIC120側には、外部のLAN111とネットワークパケットの送受信を行うI/F部501、NICの起動や情報処理装置100とのやり取りなどを行うNIC制御部502、代理応答パケットパターンを登録するパケットパターンDB503などが含まれる。
【0023】
また、情報処理装置100側には、プロトコルスタック504の中に、IPSecモジュール部505が存在し、送受信するパケットがIPSec対象であるか否かを判別して暗号化/復号化処理を行う。
【0024】
また、情報処理装置100には、プロトコルスタック504を介して、LAN111上の外部装置とSNMPのやり取りを行うSNMPモジュール部508や、印刷を行うPort9100モジュール部509が存在する。また、情報処理装置100を省電力モードに移行させたり、通常電力モードに復帰させたりして電力モードの切り替え制御を行うスリープ制御部507や、代理応答パケットパターンをNIC120に登録する処理を行う代理応答登録部506が存在する。また、情報処理装置100には、これらの機能に係わる設定をユーザが行えるように、ユーザインタフェース部510が備えられている。
【0025】
上記構成を有する通信システム130の動作を示す。図3は通信システム130内の情報処理装置100の動作手順を示すフローチャートである。この処理プログラムはROM102に格納されており、CPU101によって実行される。
【0026】
まず、情報処理装置100は、スリープ制御部507により、情報処理装置110が通常電力モードから省電力モードに移行するための条件を満たしていることが検知されたか否かを判別する(ステップS1)。この処理では、情報処理装置100のスリープ制御部507が常にループで省電力モードに移行するための条件を満たしているかを監視する。省電力モードに移行するための条件を満たしていない場合、情報処理装置100はステップS1の処理を繰り返し、一方、省電力モードに移行するための条件を満たした場合、情報処理装置100は省電力モードに移行するための準備を開始する。
【0027】
ここで、省電力モードに移行するための条件としては、例えば、一定時間外部装置から自装置宛てのネットワークパケットを受信しなかった場合や、一定時間操作パネルをユーザが操作しなかった場合などが挙げられる。
【0028】
情報処理装置100は、代理応答登録部506により、IPSec暗号化セッションを既に確立している外部装置があるか否かを、IPSecモジュール部505に問い合わせて調べる(ステップS2)。このステップS2の処理は判定手段の一例である。IPSecモジュール部505は、図4に示すように、暗号化通信を実行するためのセッションを確立したポリシー情報を内部メモリ(記録媒体)に保持している。
【0029】
図4はIPSecモジュール部505におけるポリシー情報のリストを示すテーブルである。図4のテーブルには、ポリシー情報として、IPアドレス(dst addr)、暗号アルゴリズム(Enc alg)および暗号キー(Enc key)が示されている。また、認証アルゴリズム(Auth alg)、認証キー(Auth Key)および有効期間(valid lifetime)が示されている。
【0030】
例えば、図4の例では、暗号化通信を実行可能な情報処理装置100が3つの外部装置とIPSecで暗号化通信を実行するためのセッションを確立している。1つ目として、情報処理装置100は、IPアドレス“192.168.1.1”のホストと、暗号アルゴリズム:3DES、認証アルゴリズム:SHA1で、有効期間2時間でセッションを確立している。2つ目として、情報処理装置100は、IPアドレス“192.168.1.2”のホストと、暗号アルゴリズム:AES、認証アルゴリズム:MD5で、有効期間8時間でセッションを確立している。3つ目として、情報処理装置100は、IPアドレス“192.168.10.10”のホストと、暗号アルゴリズム:AES、認証アルゴリズム:SHA1で、有効期間1時間でセッションを確立している。
【0031】
このように、IPSecモジュール部505がポリシー情報を保持している場合、情報処理装置100は、ステップS3の処理に進み、一方、保持していない場合、ステップS5の処理に進む。
【0032】
情報処理装置100は、IPSecセッションを確立しているホストがある場合、セッションを確立しているホスト分だけセッション破棄要求のパケットを送信するように、代理応答登録部506がIPSecモジュール部505に指令する(ステップS3)。この指令を受信したIPSecモジュール部505は、セッションを確立しているホストに対してIPSecセッション破棄要求パケットを送信する。
【0033】
図4の例に従うと、IPアドレス“192.168.1.1”、IPアドレス“192.168.1.2”、IPアドレス“192.168.10.10”の3つのホストに対し、それぞれユニキャストでIPSecセッション破棄要求パケットが送信される。このパケット送信によって、リモートホスト側で保持しているポリシー情報が破棄される。
【0034】
情報処理装置100は、代理応答登録部506により、IPSecモジュール部505が保持していたポリシー情報のうち、リモートアドレス情報のみを不揮発メモリ(HDD108など)に保存しておく(ステップS4)。つまり、図4の例では、IPアドレス“192.168.1.1”、IPアドレス“192.168.1.2”およびIPアドレス“192.168.10.10”の3つ情報が保存される。
【0035】
情報処理装置100は、代理応答登録部506により、IPSec代理応答設定が「セキュリティ優先」であるかそれとも「省電力優先」であるかを判断する(ステップS5)。
【0036】
図5はユーザインタフェースとしてオペレーションパネル109に表示されるIPsec代理応答設定画面を示す図である。IPSec代理応答設定には、図5に示すように、「セキュリティ優先」設定と「省電力優先」設定がある。
【0037】
「セキュリティ優先」設定は、省電力モード中にIPSecセッション要求パケットを受信した場合、本体(情報処理装置100)を省電力モードから通常電力モードに復帰させてセッションを確立する設定である。一方、「省電力優先」設定は、電力モード中にIPSecセッション要求パケットを受信した場合、要求を無視して省電力モードを維持する設定である。
【0038】
「セキュリティ優先」設定であった場合、ステップS6をスキップしてステップS7に進む。一方、「省電力優先」設定であった場合、情報処理装置100は、代理応答登録部506により、IPSecセッション要求を拒否するための代理応答パターン(代理応答情報)をNIC120に通知して登録させる(ステップS6)。
【0039】
この登録では、IPSecセッション要求パケットパターン(図6参照)、およびIPSecセッション要求パケットに対して拒否を応答するパケットパターン(図7参照)が登録される。図6はIPsecセッション要求パケットパターンの一例を示すテーブルである。図7はIPsec代理応答パケットパターンの一例を示すテーブルである。図6、図7のテーブルには、パケットの種別(sort)、長さ(length)、名称(name)、パターン(pattern)が登録されている。
【0040】
一方、ステップS5でIPSec代理応答設定が「セキュリティ優先」である場合、あるいはステップS6の処理後、情報処理装置100は、他の代理応答パケットパターンがあると、代理応答登録部506により、それをNIC120に登録する(ステップS7)。例えば、SNMPの代理応答(図8、図9参照)やICMP(Internet Control Message Protocol)の応答などが挙げられる。なお、図8は、SNMPは外部装置から送信されるパケットの中からSNMPリクエストを特定するためのパケットパターン情報を示す。また、図9は、図8のパターンに一致するパケットを受信した場合に、NIC120が情報処理装置100の代わりに(代理として)応答する際に送信するSNMPリプライパケットを示す。
【0041】
こうして省電力モードに移行するための準備処理を完了した後、情報処理装置100は省電力モードに移行する(ステップS8)。
【0042】
この後、情報処理装置100は、省電力モードから通常電力モードに復帰するイベントが発生するまで待機する(ステップS9)。情報処理装置100が省電力モードから通常電力モードに復帰するイベントには、例えば、ネットワーク経由でWakeUPパケットを受信した場合や、オペレーションパネル(操作部)109の省電力スイッチが押下された場合などがある。
【0043】
イベントが発生すると、情報処理装置100は、スリープ制御部507の制御により、省電力モードから通常電力モードに復帰する(ステップS10)。ここで、情報処理装置100は、省電力モードに移行する前、外部装置とIPSecセッションを確立していた可能性がある。従って、省電力モードから復帰したときに、情報処理装置100は、IPSecセッションを確立していた外部ホストの情報を不揮発性メモリ(HDD108等の記録媒体)から読み込む(ステップS11)。
【0044】
情報を読み込んだ結果、例えば、図4に示すように、3つの外部ホストとIPSecセッションを確立していた情報が読み取れた場合について説明する。この場合、情報処理装置100は、IPSecモジュール部505により、前述した3つの外部ホストに対し、IPSecセッション要求パケットを送信する(ステップS12)。このセッション要求処理によって、情報処理装置100は、再び省電力モードに移行する前と同様のIPSecセッションを確立することができる。
【0045】
なお、本実施形態では、前述したIPSecセッション情報の保存やIPSecセッション要求パケット指示などの処理は、代理応答登録部506により行われているが、IPSecモジュール部505で行われるようにしてもよい。
【0046】
図10はNIC120の動作手順を示すフローチャートである。この処理プログラムはROM124に格納されており、CPU122によって実行される。まず、NIC120は、NIC制御部502により、情報処理装置100が省電力モードに移行するか否かを待ち受ける、つまり情報処理装置100から省電力モードに移行する旨の通知を受け取るまで待つ(ステップS21)。
【0047】
NIC120は、NIC制御部502により情報処理装置100が省電力モードに移行する旨の通知を受信した場合、同時に代理応答パケットパターンも情報処理装置100から受信する。NIC120は、NIC制御部502により受信した代理応答パケットパターンをパケットパターンDB(データベース)503に保持する(ステップS22)。
【0048】
そして、情報処理装置100が省電力モードに移行した後、NIC120は、I/F部501によりパケットを受信するまで待つ(ステップS23)。NIC制御部502は、I/F部501によりパケットを受信した場合、パケットパターンDB503を参照し、受信パケットがパケットパターンDB503に登録されているパケットパターンと一致するか否かを判別する(ステップS24)。
【0049】
判別の結果、受信パケットが登録されているパケットパターンと一致した場合、NIC120は、I/F部501により予め関連して登録されている返答パケットパターンを送信する(ステップS25)。例えば、情報処理装置100側から図6に示すようなIPSecセッション要求パケットが代理応答対象パターンとして登録されたとする。さらに、このとき送信されるパケットパターンに、図7に示すような、IPSecセッション要求パケットに対してネゴシエーション失敗を意味する拒否パケットが登録されたとする。
【0050】
NIC120が図6に示すようなIPSecセッション要求パケットを受信すると、このIPSecセッション要求パケットは、ステップS24において、登録されている代理応答対象パケットパターンに一致する。従って、NIC120は、図7に示すような返答パケットを送信する。この後、NIC120はステップS23の処理に戻る。
【0051】
一方、ステップS24で代理応答対象パケットパターンに一致しなかった場合、NIC120は、受信パケットを情報処理装置100側に転送し、情報処理装置100を起動させる(ステップS26)。この後、NIC120は本処理を終了する。なお、ステップS26で受信パケットを情報処理装置100側に転送する代わりに、受信パケットを破棄するようにしてもよい。
【0052】
図11は「省電力優先」設定時の動作シーケンスを示す図である。通信システム130と外部ホスト210はIPSecセッションを確立している(T1)。
【0053】
通信システム130は、情報処理装置100が省電力モードに移行するための条件を満たしたので、省電力モードに移行する前に、外部ホスト210に対し、IPSecセッション破棄要求パケットを送信し(T2)、省電力モードに移行する(T3)。
【0054】
一方、外部ホスト210は、IPSecセッション破棄要求パケットを受信すると、この要求に従って、IPSecセッションを破棄する(T4)。
【0055】
通信システム130内の情報処理装置100が省電力モードに移行している間、外部ホスト210は、通信システム130にアクセスする必要が生じた場合、通信システム130に対し、アクセスを試みる(T5)。例えば、外部ホスト210は、通信システム130に印刷処理の実行を依頼する場合、10分間に1度、SNMPでポーリングを行う、本実施形態ではSNMPの場合について説明する。
【0056】
このとき、外部ホスト210は、「通信システム130とIPSec通信を行う」という設定になっているので、プロトコル種別によらず、まずIPSecセッション確立要求パケットを送信する。
【0057】
通信システム130内の情報処理装置100は、「省電力優先」の動作手順に従って動作するので、このとき、IPSecセッション要求拒否パケットを返答する(T6)。
【0058】
外部ホスト210は、IPSecセッション要求拒否パケットを受信すると、IPSecで通信することはできないと判断し、IPSecで暗号化せずに、平文でSNMPアクセスを行う(T7)。
【0059】
このSNMPパケットは、代理応答の対象に含まれるので、通信システム130内のNIC120は、情報処理装置100を起動させることなく、代理応答で返答を行う(T8)。
【0060】
その後、通信システム130は、情報処理装置100が通常電力モードに復帰するための条件を満たして復帰した場合(T9)、つぎのような動作を行う。すなわち、通信システム130は、省電力モードに移行する前にセッションを確立していた外部ホスト210に対し、再度、IPSecセッションを確立するための要求パケットを送信する(T10)。外部ホスト210はIPSec暗号化セッションを確立し(T11)、通信システム130内の情報処理装置100と外部ホスト210は、再びIPSecセッションを確立する(T12)。
【0061】
これにより、「省電力優先」設定の場合、IPSecセッション要求を受け付けずに、代理応答モジュールを利用することで、省電力モードを維持することができる。
【0062】
図12は「セキュリティ優先」設定時の動作シーケンスを示す図である。通信システム130と外部ホスト210はIPSecセッションを確立している(T21)。
【0063】
通信システム130は、情報処理装置100が省電力モードに移行するための条件を満たしたので、省電力モードに移行する前に、外部ホスト210に対し、IPSecセッション破棄要求パケットを送信し(T22)、省電力モードに移行する(T23)。
【0064】
一方、外部ホスト210は、IPsecセッション破棄要求パケットを受信すると、この要求に従って、IPSecセッションを破棄する(T24)。
【0065】
通信システム130内の情報処理装置100が省電力モードに移行している間、外部ホスト210は、通信システム130にアクセスする必要が生じた場合、通信システム130に対し、アクセスを試みる(T25)。例えば、通信システム130を用いて、重要な機密データを印刷したい場合などが挙げられる。このような通信の場合、平文ではなくIPSecで必ず暗号化して通信する必要がある。
【0066】
このとき、外部ホスト210は、「通信システム130とIPSec通信を行う」という設定になっているので、プロトコル種別によらず、まずIPSecセッション確立要求パケットを送信する。
【0067】
通信システム130内の情報処理装置100は、「セキュリティ優先」の動作手順に従って動作するので、このとき、IPSecセッション要求パケットを受け付け、情報処理装置100を起動させる(T26)。
【0068】
情報処理装置100が起動すると、受信したIPSecセッション要求パケットは情報処理装置100のIPSecモジュール部505に渡される。その後、情報処理装置100は、IPSecモジュール部505による外部ホスト210とのIPSecネゴシエーションを経てIPSec暗号化セッションを確立する(T27)。外部ホスト210は、IPSecセッションを確立すると(T28)、IPSecで暗号化したい印刷データの印刷を実行させる(T29)。
【0069】
また、この印刷の実行では、Port9100プロトコルに限らず、前述したSNMPなどのプロトコルと同様、IPSecセッションを確立させる動作が行われる。
【0070】
これにより、「セキュリティ優先」設定の場合、IPSecセッション要求を受け付け、情報処理装置100は起動するが、セキュリティを常に保証することができる。
【0071】
以上説明した構成によれば、省電力モードに移行するタイミングでIPSecセッション破棄のパケットを外部装置に送信し、通常電力モードに復帰するタイミングでIPSecセッション確立のパケットを送信する。これにより、情報処理装置が省電力モードに移行している間、NICによる代理応答機能を実現することができ、IPSecを適用しても従来と同等の省電力を実現することができる。
【0072】
また、情報処理装置が省電力モードに移行する前に、NICに代理応答パケットパターンを登録しておくことができる。また、IPsecによるセキュリティ技術を利用することができる。
【0073】
また、セキュリティ優先モードの設定を設けることで、常にIPSecを適用したパケットを送受信することもできる。従って、ネットワーク環境に応じて、ユーザはセキュリティ優先モードあるいは省電力優先モードを選択することができ、ユーザニーズに応じた所望の動作を実現することができる。これにより、省電力モード中、代理応答機能を実現し、セキュリティ技術(IPSec)を適用しても、従来と同等の省電力が可能である。
【0074】
また、本発明の目的は、以下の処理を実行することによっても達成される。即ち、上述した実施形態の機能を実現するソフトウェアのプログラムコードを記録した記憶媒体を、システム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)が記憶媒体に格納されたプログラムコードを読み出す処理である。
【0075】
この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施の形態の機能を実現することになり、そのプログラムコード及び該プログラムコードを記憶した記憶媒体は本発明を構成することになる。
【符号の説明】
【0076】
100 情報処理装置
111 LAN(ネットワーク)
120 ネットワークインターフェース装置(NIC)
130 通信システム
505 IPsecモジュール部
506 代理応答登録部
【技術分野】
【0001】
本発明は、ネットワークインターフェース装置を介してネットワークに接続され、当該ネットワーク上の外部装置との間で暗号化通信を実行可能な情報処理装置、または該ネットワークインターフェース装置と該情報処理装置とを含む通信システムに関する。
【背景技術】
【0002】
従来、待機時の消費電力を抑えるための省電力モードを備える情報処理システムが知られている。このような情報処理システムの一例として、メインCPUを備える本体側の情報処理装置と、サブCPUを備えるNIC(Network Interface Card)装置とから構成される通信システムがある。このような通信システムでは、省電力モード中は本体側の情報処理装置を省電力モードに移行させ、消費電力が小さいNIC装置側の各モジュールには通常の電力供給を行ったままの状態で待機することが一般的である。
【0003】
また、特許文献1には、省電力モードへ移行しメインCPUに対する電力供給が停止されるときに、メインCPUがサブCPUに対して、応答すべきマルチキャストパケットのアドレスを通知しておくことが示されている。これにより、メインCPUに対する電力供給が停止されている状態でマルチキャストパケットを受信したときに、メインCPUの代わりにサブCPUが応答することが可能となり、メインCPUを起動させる必要がなくなる。つまり、メインCPUに対する電力供給の停止をより長く継続させることができるため、省電力の効果が高まる。
【0004】
ところで近年、機密情報を保護するために、ネットワーク経路を暗号化して通信するための技術として、IPSec(Internet Protocol Security)やSSL(Secure Socket Layer)等が知られている。これらの技術を用いれば、データを暗号化された状態でネットワークを介して送受信することができ、情報の漏洩を防止することができる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2006−259906号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
上述したように、本体側の情報処理装置が省電力モードに移行したときに、応答すべきパケットの情報をNIC装置に登録しておくことにより、NIC装置が本体側の情報処理装置の代わりに受信パケットに対する応答を行うことができる。
【0007】
しかしながら、NIC装置が本体側の情報処理装置の代理で応答する場合に、ネットワーク介して送信されてくるパケットが暗号化されていると、NIC装置による応答をうまく行うことができない場合がある。
【0008】
つまり、本体側の情報処理装置の代わりとしてNIC装置に応答を行わせようとする場合、NIC装置が応答すべきパケットのパターンと、そのパターンにマッチするパケットに対する応答として送信すべきパケットとを登録しておく。そして、登録されたパターンにマッチするパケットを受けたNIC装置がそのパターンに対応するパケットを送信することになる。このとき、NIC装置が受けるパケットが暗号化されていると、たとえそのパケットの内容が登録されたパターンにマッチするものであったとしても、暗号化されたままのパケットと登録されたパターンとを比較すると、マッチしないものと判定してしまう。
【0009】
この場合、本体側の情報処理装置を省電力モードから復帰させて、NIC装置が受けたパケットを本体側の情報処理装置に転送する必要がある。従って、本体側の情報処理装置を通常電力モードに復帰させる回数が増加し、省電力の効果が小さくなってしまう。
【0010】
本発明は、上記の問題点に鑑みなされたものである。即ち、情報処理装置が省電力モードに移行する際に、外部装置に対して暗号化通信を実行しないよう要求する仕組みを提供することを目的とする。
【課題を解決するための手段】
【0011】
上記の目的を達成するために本発明の情報処理装置は、ネットワークインターフェース装置を介してネットワークに接続され、当該ネットワーク上の外部装置との間で暗号化通信を実行可能な情報処理装置であって、通常電力モードで動作している状態で、当該通常電力モードよりも消費電力が小さい省電力モードに移行するための条件を満たしたことを検知する検知手段と、前記検知手段が前記省電力モードに移行するための条件を満たしたことを検知した場合に、前記外部装置に対して暗号化通信を実行しないよう要求する要求手段と、を備えることを特徴とする。
【発明の効果】
【0012】
本発明によれば、情報処理装置が省電力モードに移行する際に、外部装置に対して暗号化通信を実行しないよう要求する仕組みを提供することができる。
【図面の簡単な説明】
【0013】
【図1】通信システム130のハードウェア構成を示すブロック図である。
【図2】通信システム130のソフトウェア構成を示す図である。
【図3】情報処理装置100の動作手順を示すフローチャートである。
【図4】IPSecモジュール部におけるポリシー情報のリストを示すテーブルである。
【図5】ユーザインタフェースとしてオペレーションパネルに表示されるIPsec代理応答設定画面を示す図である。
【図6】IPsecセッション要求パケットパターンの一例を示すテーブルである。
【図7】IPsec代理応答パケットパターンの一例を示すテーブルである。
【図8】代理応答登録パケットパターンの一例を示すテーブルである。
【図9】代理応答パケットパターンの一例を示すテーブルである。
【図10】NIC120の動作手順を示すフローチャートである。
【図11】「省電力優先」設定時の動作シーケンスを示す図である。
【図12】「セキュリティ優先」設定時の動作シーケンスを示す図である。
【発明を実施するための形態】
【0014】
以下、図面を参照して本発明の実施の形態を詳しく説明する。尚、以下の実施の形態は特許請求の範囲に係る発明を限定するものでなく、また実施の形態で説明されている特徴の組み合わせの全てが発明の解決手段に必須のものとは限らない。
【0015】
(第1の実施形態)
図1は、本発明の第1の実施形態における通信システムのハードウェア構成を示すブロック図である。通信システム130は、情報処理装置100及びNIC120(ネットワークインターフェース装置)を含む。情報処理装置100は、NIC120を介してLAN(Local Area Network)111に接続されている。
【0016】
CPU101は、情報処理装置100のソフトウェアプログラムを実行し、装置全体の制御を行う。RAM103は、ランダムアクセスメモリであり、CPU101が装置を制御する際に、一時的なデータの格納などに使用される。ROM102は、リードオンリーメモリであり、装置のブートプログラムや固定パラメータ等が格納されている。
【0017】
HDD108は、ハードディスクドライブであり、様々なデータの格納に使用される。タイマ112は、経過時刻の管理を行う。NVRAM105は、不揮発性のメモリであり、情報処理装置100の各種設定値を保存するためのものである。パネル制御部106は、オペレーションパネル109を制御し、オペレーションパネル109に備えられた液晶パネルに各種操作画面を表示させるとともに、操作画面を介して入力されるユーザからの指示をCPU101に伝達する。
【0018】
プリンタI/F制御部104は、プリンタ110を制御する。拡張I/F107は、NIC120側の拡張I/F121と接続され、NIC120を介してLAN111上(ネットワーク上)の外部装置とのデータ通信を制御する。
【0019】
CPU122は、NIC120のソフトウェアプログラムを実行し、装置全体の制御を行う。RAM123は、ランダムアクセスメモリであり、CPU122が装置を制御する際に、一時的なデータの格納などに使用される。ROM124は、リードオンリーメモリであり、装置のブートプログラムや固定パラメータ等が格納されている。
【0020】
拡張I/F121は、情報処理装置100側の拡張I/F107と接続され、情報処理装置100とNIC120との間のデータ通信を制御する。NetworkI/F125は、LAN111に接続され、NIC120(情報処理装置100、通信システム130)とLAN111上の外部装置との間のデータ通信を制御する。
【0021】
情報処理装置100は、通常電力モードと、通常電力モードよりも消費電力が小さい省電力モードのいずれかを切り替えて動作することができる。通常電力モードから省電力モードに移行する場合は、CPU101、HDD108、NVRAM105などに対する電力供給が停止される。一方、NIC120側は、情報処理装置100とは別のACIC(Application Specific Integrated Circuit)で動作している。このため、情報処理装置100が省電力モードに移行した状態においてもNIC120に対しては電力供給が継続され、後述する代理応答機能を実現する。
【0022】
図2は、通信システム130のソフトウェア構成を示す図である。通信システム130のソフトウェアは、情報処理装置100側とNIC120側に大きく分けられる。NIC120側には、外部のLAN111とネットワークパケットの送受信を行うI/F部501、NICの起動や情報処理装置100とのやり取りなどを行うNIC制御部502、代理応答パケットパターンを登録するパケットパターンDB503などが含まれる。
【0023】
また、情報処理装置100側には、プロトコルスタック504の中に、IPSecモジュール部505が存在し、送受信するパケットがIPSec対象であるか否かを判別して暗号化/復号化処理を行う。
【0024】
また、情報処理装置100には、プロトコルスタック504を介して、LAN111上の外部装置とSNMPのやり取りを行うSNMPモジュール部508や、印刷を行うPort9100モジュール部509が存在する。また、情報処理装置100を省電力モードに移行させたり、通常電力モードに復帰させたりして電力モードの切り替え制御を行うスリープ制御部507や、代理応答パケットパターンをNIC120に登録する処理を行う代理応答登録部506が存在する。また、情報処理装置100には、これらの機能に係わる設定をユーザが行えるように、ユーザインタフェース部510が備えられている。
【0025】
上記構成を有する通信システム130の動作を示す。図3は通信システム130内の情報処理装置100の動作手順を示すフローチャートである。この処理プログラムはROM102に格納されており、CPU101によって実行される。
【0026】
まず、情報処理装置100は、スリープ制御部507により、情報処理装置110が通常電力モードから省電力モードに移行するための条件を満たしていることが検知されたか否かを判別する(ステップS1)。この処理では、情報処理装置100のスリープ制御部507が常にループで省電力モードに移行するための条件を満たしているかを監視する。省電力モードに移行するための条件を満たしていない場合、情報処理装置100はステップS1の処理を繰り返し、一方、省電力モードに移行するための条件を満たした場合、情報処理装置100は省電力モードに移行するための準備を開始する。
【0027】
ここで、省電力モードに移行するための条件としては、例えば、一定時間外部装置から自装置宛てのネットワークパケットを受信しなかった場合や、一定時間操作パネルをユーザが操作しなかった場合などが挙げられる。
【0028】
情報処理装置100は、代理応答登録部506により、IPSec暗号化セッションを既に確立している外部装置があるか否かを、IPSecモジュール部505に問い合わせて調べる(ステップS2)。このステップS2の処理は判定手段の一例である。IPSecモジュール部505は、図4に示すように、暗号化通信を実行するためのセッションを確立したポリシー情報を内部メモリ(記録媒体)に保持している。
【0029】
図4はIPSecモジュール部505におけるポリシー情報のリストを示すテーブルである。図4のテーブルには、ポリシー情報として、IPアドレス(dst addr)、暗号アルゴリズム(Enc alg)および暗号キー(Enc key)が示されている。また、認証アルゴリズム(Auth alg)、認証キー(Auth Key)および有効期間(valid lifetime)が示されている。
【0030】
例えば、図4の例では、暗号化通信を実行可能な情報処理装置100が3つの外部装置とIPSecで暗号化通信を実行するためのセッションを確立している。1つ目として、情報処理装置100は、IPアドレス“192.168.1.1”のホストと、暗号アルゴリズム:3DES、認証アルゴリズム:SHA1で、有効期間2時間でセッションを確立している。2つ目として、情報処理装置100は、IPアドレス“192.168.1.2”のホストと、暗号アルゴリズム:AES、認証アルゴリズム:MD5で、有効期間8時間でセッションを確立している。3つ目として、情報処理装置100は、IPアドレス“192.168.10.10”のホストと、暗号アルゴリズム:AES、認証アルゴリズム:SHA1で、有効期間1時間でセッションを確立している。
【0031】
このように、IPSecモジュール部505がポリシー情報を保持している場合、情報処理装置100は、ステップS3の処理に進み、一方、保持していない場合、ステップS5の処理に進む。
【0032】
情報処理装置100は、IPSecセッションを確立しているホストがある場合、セッションを確立しているホスト分だけセッション破棄要求のパケットを送信するように、代理応答登録部506がIPSecモジュール部505に指令する(ステップS3)。この指令を受信したIPSecモジュール部505は、セッションを確立しているホストに対してIPSecセッション破棄要求パケットを送信する。
【0033】
図4の例に従うと、IPアドレス“192.168.1.1”、IPアドレス“192.168.1.2”、IPアドレス“192.168.10.10”の3つのホストに対し、それぞれユニキャストでIPSecセッション破棄要求パケットが送信される。このパケット送信によって、リモートホスト側で保持しているポリシー情報が破棄される。
【0034】
情報処理装置100は、代理応答登録部506により、IPSecモジュール部505が保持していたポリシー情報のうち、リモートアドレス情報のみを不揮発メモリ(HDD108など)に保存しておく(ステップS4)。つまり、図4の例では、IPアドレス“192.168.1.1”、IPアドレス“192.168.1.2”およびIPアドレス“192.168.10.10”の3つ情報が保存される。
【0035】
情報処理装置100は、代理応答登録部506により、IPSec代理応答設定が「セキュリティ優先」であるかそれとも「省電力優先」であるかを判断する(ステップS5)。
【0036】
図5はユーザインタフェースとしてオペレーションパネル109に表示されるIPsec代理応答設定画面を示す図である。IPSec代理応答設定には、図5に示すように、「セキュリティ優先」設定と「省電力優先」設定がある。
【0037】
「セキュリティ優先」設定は、省電力モード中にIPSecセッション要求パケットを受信した場合、本体(情報処理装置100)を省電力モードから通常電力モードに復帰させてセッションを確立する設定である。一方、「省電力優先」設定は、電力モード中にIPSecセッション要求パケットを受信した場合、要求を無視して省電力モードを維持する設定である。
【0038】
「セキュリティ優先」設定であった場合、ステップS6をスキップしてステップS7に進む。一方、「省電力優先」設定であった場合、情報処理装置100は、代理応答登録部506により、IPSecセッション要求を拒否するための代理応答パターン(代理応答情報)をNIC120に通知して登録させる(ステップS6)。
【0039】
この登録では、IPSecセッション要求パケットパターン(図6参照)、およびIPSecセッション要求パケットに対して拒否を応答するパケットパターン(図7参照)が登録される。図6はIPsecセッション要求パケットパターンの一例を示すテーブルである。図7はIPsec代理応答パケットパターンの一例を示すテーブルである。図6、図7のテーブルには、パケットの種別(sort)、長さ(length)、名称(name)、パターン(pattern)が登録されている。
【0040】
一方、ステップS5でIPSec代理応答設定が「セキュリティ優先」である場合、あるいはステップS6の処理後、情報処理装置100は、他の代理応答パケットパターンがあると、代理応答登録部506により、それをNIC120に登録する(ステップS7)。例えば、SNMPの代理応答(図8、図9参照)やICMP(Internet Control Message Protocol)の応答などが挙げられる。なお、図8は、SNMPは外部装置から送信されるパケットの中からSNMPリクエストを特定するためのパケットパターン情報を示す。また、図9は、図8のパターンに一致するパケットを受信した場合に、NIC120が情報処理装置100の代わりに(代理として)応答する際に送信するSNMPリプライパケットを示す。
【0041】
こうして省電力モードに移行するための準備処理を完了した後、情報処理装置100は省電力モードに移行する(ステップS8)。
【0042】
この後、情報処理装置100は、省電力モードから通常電力モードに復帰するイベントが発生するまで待機する(ステップS9)。情報処理装置100が省電力モードから通常電力モードに復帰するイベントには、例えば、ネットワーク経由でWakeUPパケットを受信した場合や、オペレーションパネル(操作部)109の省電力スイッチが押下された場合などがある。
【0043】
イベントが発生すると、情報処理装置100は、スリープ制御部507の制御により、省電力モードから通常電力モードに復帰する(ステップS10)。ここで、情報処理装置100は、省電力モードに移行する前、外部装置とIPSecセッションを確立していた可能性がある。従って、省電力モードから復帰したときに、情報処理装置100は、IPSecセッションを確立していた外部ホストの情報を不揮発性メモリ(HDD108等の記録媒体)から読み込む(ステップS11)。
【0044】
情報を読み込んだ結果、例えば、図4に示すように、3つの外部ホストとIPSecセッションを確立していた情報が読み取れた場合について説明する。この場合、情報処理装置100は、IPSecモジュール部505により、前述した3つの外部ホストに対し、IPSecセッション要求パケットを送信する(ステップS12)。このセッション要求処理によって、情報処理装置100は、再び省電力モードに移行する前と同様のIPSecセッションを確立することができる。
【0045】
なお、本実施形態では、前述したIPSecセッション情報の保存やIPSecセッション要求パケット指示などの処理は、代理応答登録部506により行われているが、IPSecモジュール部505で行われるようにしてもよい。
【0046】
図10はNIC120の動作手順を示すフローチャートである。この処理プログラムはROM124に格納されており、CPU122によって実行される。まず、NIC120は、NIC制御部502により、情報処理装置100が省電力モードに移行するか否かを待ち受ける、つまり情報処理装置100から省電力モードに移行する旨の通知を受け取るまで待つ(ステップS21)。
【0047】
NIC120は、NIC制御部502により情報処理装置100が省電力モードに移行する旨の通知を受信した場合、同時に代理応答パケットパターンも情報処理装置100から受信する。NIC120は、NIC制御部502により受信した代理応答パケットパターンをパケットパターンDB(データベース)503に保持する(ステップS22)。
【0048】
そして、情報処理装置100が省電力モードに移行した後、NIC120は、I/F部501によりパケットを受信するまで待つ(ステップS23)。NIC制御部502は、I/F部501によりパケットを受信した場合、パケットパターンDB503を参照し、受信パケットがパケットパターンDB503に登録されているパケットパターンと一致するか否かを判別する(ステップS24)。
【0049】
判別の結果、受信パケットが登録されているパケットパターンと一致した場合、NIC120は、I/F部501により予め関連して登録されている返答パケットパターンを送信する(ステップS25)。例えば、情報処理装置100側から図6に示すようなIPSecセッション要求パケットが代理応答対象パターンとして登録されたとする。さらに、このとき送信されるパケットパターンに、図7に示すような、IPSecセッション要求パケットに対してネゴシエーション失敗を意味する拒否パケットが登録されたとする。
【0050】
NIC120が図6に示すようなIPSecセッション要求パケットを受信すると、このIPSecセッション要求パケットは、ステップS24において、登録されている代理応答対象パケットパターンに一致する。従って、NIC120は、図7に示すような返答パケットを送信する。この後、NIC120はステップS23の処理に戻る。
【0051】
一方、ステップS24で代理応答対象パケットパターンに一致しなかった場合、NIC120は、受信パケットを情報処理装置100側に転送し、情報処理装置100を起動させる(ステップS26)。この後、NIC120は本処理を終了する。なお、ステップS26で受信パケットを情報処理装置100側に転送する代わりに、受信パケットを破棄するようにしてもよい。
【0052】
図11は「省電力優先」設定時の動作シーケンスを示す図である。通信システム130と外部ホスト210はIPSecセッションを確立している(T1)。
【0053】
通信システム130は、情報処理装置100が省電力モードに移行するための条件を満たしたので、省電力モードに移行する前に、外部ホスト210に対し、IPSecセッション破棄要求パケットを送信し(T2)、省電力モードに移行する(T3)。
【0054】
一方、外部ホスト210は、IPSecセッション破棄要求パケットを受信すると、この要求に従って、IPSecセッションを破棄する(T4)。
【0055】
通信システム130内の情報処理装置100が省電力モードに移行している間、外部ホスト210は、通信システム130にアクセスする必要が生じた場合、通信システム130に対し、アクセスを試みる(T5)。例えば、外部ホスト210は、通信システム130に印刷処理の実行を依頼する場合、10分間に1度、SNMPでポーリングを行う、本実施形態ではSNMPの場合について説明する。
【0056】
このとき、外部ホスト210は、「通信システム130とIPSec通信を行う」という設定になっているので、プロトコル種別によらず、まずIPSecセッション確立要求パケットを送信する。
【0057】
通信システム130内の情報処理装置100は、「省電力優先」の動作手順に従って動作するので、このとき、IPSecセッション要求拒否パケットを返答する(T6)。
【0058】
外部ホスト210は、IPSecセッション要求拒否パケットを受信すると、IPSecで通信することはできないと判断し、IPSecで暗号化せずに、平文でSNMPアクセスを行う(T7)。
【0059】
このSNMPパケットは、代理応答の対象に含まれるので、通信システム130内のNIC120は、情報処理装置100を起動させることなく、代理応答で返答を行う(T8)。
【0060】
その後、通信システム130は、情報処理装置100が通常電力モードに復帰するための条件を満たして復帰した場合(T9)、つぎのような動作を行う。すなわち、通信システム130は、省電力モードに移行する前にセッションを確立していた外部ホスト210に対し、再度、IPSecセッションを確立するための要求パケットを送信する(T10)。外部ホスト210はIPSec暗号化セッションを確立し(T11)、通信システム130内の情報処理装置100と外部ホスト210は、再びIPSecセッションを確立する(T12)。
【0061】
これにより、「省電力優先」設定の場合、IPSecセッション要求を受け付けずに、代理応答モジュールを利用することで、省電力モードを維持することができる。
【0062】
図12は「セキュリティ優先」設定時の動作シーケンスを示す図である。通信システム130と外部ホスト210はIPSecセッションを確立している(T21)。
【0063】
通信システム130は、情報処理装置100が省電力モードに移行するための条件を満たしたので、省電力モードに移行する前に、外部ホスト210に対し、IPSecセッション破棄要求パケットを送信し(T22)、省電力モードに移行する(T23)。
【0064】
一方、外部ホスト210は、IPsecセッション破棄要求パケットを受信すると、この要求に従って、IPSecセッションを破棄する(T24)。
【0065】
通信システム130内の情報処理装置100が省電力モードに移行している間、外部ホスト210は、通信システム130にアクセスする必要が生じた場合、通信システム130に対し、アクセスを試みる(T25)。例えば、通信システム130を用いて、重要な機密データを印刷したい場合などが挙げられる。このような通信の場合、平文ではなくIPSecで必ず暗号化して通信する必要がある。
【0066】
このとき、外部ホスト210は、「通信システム130とIPSec通信を行う」という設定になっているので、プロトコル種別によらず、まずIPSecセッション確立要求パケットを送信する。
【0067】
通信システム130内の情報処理装置100は、「セキュリティ優先」の動作手順に従って動作するので、このとき、IPSecセッション要求パケットを受け付け、情報処理装置100を起動させる(T26)。
【0068】
情報処理装置100が起動すると、受信したIPSecセッション要求パケットは情報処理装置100のIPSecモジュール部505に渡される。その後、情報処理装置100は、IPSecモジュール部505による外部ホスト210とのIPSecネゴシエーションを経てIPSec暗号化セッションを確立する(T27)。外部ホスト210は、IPSecセッションを確立すると(T28)、IPSecで暗号化したい印刷データの印刷を実行させる(T29)。
【0069】
また、この印刷の実行では、Port9100プロトコルに限らず、前述したSNMPなどのプロトコルと同様、IPSecセッションを確立させる動作が行われる。
【0070】
これにより、「セキュリティ優先」設定の場合、IPSecセッション要求を受け付け、情報処理装置100は起動するが、セキュリティを常に保証することができる。
【0071】
以上説明した構成によれば、省電力モードに移行するタイミングでIPSecセッション破棄のパケットを外部装置に送信し、通常電力モードに復帰するタイミングでIPSecセッション確立のパケットを送信する。これにより、情報処理装置が省電力モードに移行している間、NICによる代理応答機能を実現することができ、IPSecを適用しても従来と同等の省電力を実現することができる。
【0072】
また、情報処理装置が省電力モードに移行する前に、NICに代理応答パケットパターンを登録しておくことができる。また、IPsecによるセキュリティ技術を利用することができる。
【0073】
また、セキュリティ優先モードの設定を設けることで、常にIPSecを適用したパケットを送受信することもできる。従って、ネットワーク環境に応じて、ユーザはセキュリティ優先モードあるいは省電力優先モードを選択することができ、ユーザニーズに応じた所望の動作を実現することができる。これにより、省電力モード中、代理応答機能を実現し、セキュリティ技術(IPSec)を適用しても、従来と同等の省電力が可能である。
【0074】
また、本発明の目的は、以下の処理を実行することによっても達成される。即ち、上述した実施形態の機能を実現するソフトウェアのプログラムコードを記録した記憶媒体を、システム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)が記憶媒体に格納されたプログラムコードを読み出す処理である。
【0075】
この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施の形態の機能を実現することになり、そのプログラムコード及び該プログラムコードを記憶した記憶媒体は本発明を構成することになる。
【符号の説明】
【0076】
100 情報処理装置
111 LAN(ネットワーク)
120 ネットワークインターフェース装置(NIC)
130 通信システム
505 IPsecモジュール部
506 代理応答登録部
【特許請求の範囲】
【請求項1】
ネットワークインターフェース装置を介してネットワークに接続され、当該ネットワーク上の外部装置との間で暗号化通信を実行可能な情報処理装置であって、
通常電力モードで動作している状態で、当該通常電力モードよりも消費電力が小さい省電力モードに移行するための条件を満たしたことを検知する検知手段と、
前記検知手段が前記省電力モードに移行するための条件を満たしたことを検知した場合に、前記外部装置に対して暗号化通信を実行しないよう要求する要求手段と、
を備えることを特徴とする情報処理装置。
【請求項2】
前記要求手段は、前記外部装置が前記情報処理装置との間で暗号化通信を実行するために確立したセッションを破棄することを前記外部装置に対して要求することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記外部装置との間で暗号化通信を実行するためのセッションを確立しているか否かを判定する判定手段を更に備え、
前記判定手段による判定の結果、前記外部装置との間で暗号化通信を実行するためのセッションを確立していると判定した場合に、前記要求手段が、前記外部装置が前記情報処理装置との間で暗号化通信を実行するために確立したセッションを破棄することを前記外部装置に対して要求することを特徴とする請求項2に記載の情報処理装置。
【請求項4】
前記要求手段が、前記外部装置が前記情報処理装置との間で暗号化通信を実行するために確立したセッションを破棄することを前記外部装置に対して要求した場合、当該外部装置を示す情報を保持する保持手段を更に備えることを特徴とする請求項2または3に記載の情報処理装置。
【請求項5】
前記要求手段が、前記外部装置が前記情報処理装置との間で暗号化通信を実行するために確立したセッションを破棄することを前記外部装置に対して要求し、前記通常電力モードから前記省電力モードに移行した後、該省電力モードから該通常電力モードへ復帰する際に、前記要求手段が、前記保持手段により保持されている情報に基づいて、前記情報処理装置との間で暗号化通信を実行するためのセッションを確立するよう前記外部装置に要求することを特徴とする請求項4に記載の情報処理装置。
【請求項6】
前記暗号化通信は、IPsecを用いた通信であることを特徴とする請求項1から5のいずれか1項に記載の情報処理装置。
【請求項7】
前記情報処理装置が前記通常電力モードから前記省電力モードに移行する際に、前記情報処理装置が前記省電力モードに移行した状態で前記ネットワークを介して送信されてくるデータに対する応答を、前記情報処理装置の代わりに前記ネットワークインターフェース装置に行わせるために必要な代理応答情報を、前記ネットワークインターフェース装置に登録する登録手段を更に備えることを特徴とする請求項1から6のいずれか1項に記載の情報処理装置。
【請求項8】
ネットワークインターフェース装置と、当該ネットワークインターフェース装置を介してネットワークに接続され、当該ネットワーク上の外部装置との間で暗号化通信を実行可能な情報処理装置とを含む通信システムであって、
前記情報処理装置が、
通常電力モードで動作している状態で、当該通常電力モードよりも消費電力が小さい省電力モードに移行するための条件を満たしたことを検知する検知手段と、
前記検知手段が前記省電力モードに移行するための条件を満たしたことを検知した場合に、前記情報処理装置が前記省電力モードに移行した状態で前記ネットワークを介して送信されてくるデータに対する応答を、前記情報処理装置の代わりに前記ネットワークインターフェース装置に行わせるために必要な代理応答情報を、前記ネットワークインターフェース装置に登録する登録手段と、
前記検知手段が前記省電力モードに移行するための条件を満たしたことを検知した場合に、前記外部装置に対して暗号化通信を実行しないよう要求する要求手段と、を備え、
前記ネットワークインターフェース装置が、
前記登録手段により登録された代理応答情報に基づいて、前記情報処理装置が前記省電力モードに移行した状態で前記ネットワークを介して送信されてくるデータに対する応答を行う応答手段を備えることを特徴とする通信システム。
【請求項9】
ネットワークインターフェース装置を介してネットワークに接続され、当該ネットワーク上の外部装置との間で暗号化通信を実行可能な情報処理装置の制御方法であって、
通常電力モードで動作している状態で、当該通常電力モードよりも消費電力が小さい省電力モードに移行するための条件を満たしたことを検知する検知工程と、
前記検知工程で前記省電力モードに移行するための条件を満たしたことが検知された場合に、前記外部装置に対して暗号化通信を実行しないよう要求する要求工程と、
を備えることを特徴とする情報処理装置の制御方法。
【請求項10】
ネットワークインターフェース装置と、当該ネットワークインターフェース装置を介してネットワークに接続され、当該ネットワーク上の外部装置との間で暗号化通信を実行可能な情報処理装置とを含む通信システムの制御方法であって、
前記情報処理装置が通常電力モードで動作している状態で、当該通常電力モードよりも消費電力が小さい省電力モードに移行するための条件を満たしたことを検知する検知工程と、
前記検知工程で前記省電力モードに移行するための条件を満たしたことが検知された場合に、前記情報処理装置が前記省電力モードに移行した状態で前記ネットワークを介して送信されてくるデータに対する応答を、前記情報処理装置の代わりに前記ネットワークインターフェース装置に行わせるために必要な代理応答情報を、前記ネットワークインターフェース装置に登録する登録工程と、
前記検知工程で前記省電力モードに移行するための条件を満たしたことが検知された場合に、前記外部装置に対して暗号化通信を実行しないよう要求する要求工程と、
前記登録工程で登録された代理応答情報に基づいて、前記情報処理装置が前記省電力モードに移行した状態で前記ネットワークを介して送信されてくるデータに対する応答を行う応答工程と、
を備えることを特徴とする通信システムの制御方法。
【請求項11】
請求項9に記載の情報処理装置の制御方法または請求項10に記載の通信システムの制御方法をコンピュータに実行させるためのプログラム。
【請求項1】
ネットワークインターフェース装置を介してネットワークに接続され、当該ネットワーク上の外部装置との間で暗号化通信を実行可能な情報処理装置であって、
通常電力モードで動作している状態で、当該通常電力モードよりも消費電力が小さい省電力モードに移行するための条件を満たしたことを検知する検知手段と、
前記検知手段が前記省電力モードに移行するための条件を満たしたことを検知した場合に、前記外部装置に対して暗号化通信を実行しないよう要求する要求手段と、
を備えることを特徴とする情報処理装置。
【請求項2】
前記要求手段は、前記外部装置が前記情報処理装置との間で暗号化通信を実行するために確立したセッションを破棄することを前記外部装置に対して要求することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記外部装置との間で暗号化通信を実行するためのセッションを確立しているか否かを判定する判定手段を更に備え、
前記判定手段による判定の結果、前記外部装置との間で暗号化通信を実行するためのセッションを確立していると判定した場合に、前記要求手段が、前記外部装置が前記情報処理装置との間で暗号化通信を実行するために確立したセッションを破棄することを前記外部装置に対して要求することを特徴とする請求項2に記載の情報処理装置。
【請求項4】
前記要求手段が、前記外部装置が前記情報処理装置との間で暗号化通信を実行するために確立したセッションを破棄することを前記外部装置に対して要求した場合、当該外部装置を示す情報を保持する保持手段を更に備えることを特徴とする請求項2または3に記載の情報処理装置。
【請求項5】
前記要求手段が、前記外部装置が前記情報処理装置との間で暗号化通信を実行するために確立したセッションを破棄することを前記外部装置に対して要求し、前記通常電力モードから前記省電力モードに移行した後、該省電力モードから該通常電力モードへ復帰する際に、前記要求手段が、前記保持手段により保持されている情報に基づいて、前記情報処理装置との間で暗号化通信を実行するためのセッションを確立するよう前記外部装置に要求することを特徴とする請求項4に記載の情報処理装置。
【請求項6】
前記暗号化通信は、IPsecを用いた通信であることを特徴とする請求項1から5のいずれか1項に記載の情報処理装置。
【請求項7】
前記情報処理装置が前記通常電力モードから前記省電力モードに移行する際に、前記情報処理装置が前記省電力モードに移行した状態で前記ネットワークを介して送信されてくるデータに対する応答を、前記情報処理装置の代わりに前記ネットワークインターフェース装置に行わせるために必要な代理応答情報を、前記ネットワークインターフェース装置に登録する登録手段を更に備えることを特徴とする請求項1から6のいずれか1項に記載の情報処理装置。
【請求項8】
ネットワークインターフェース装置と、当該ネットワークインターフェース装置を介してネットワークに接続され、当該ネットワーク上の外部装置との間で暗号化通信を実行可能な情報処理装置とを含む通信システムであって、
前記情報処理装置が、
通常電力モードで動作している状態で、当該通常電力モードよりも消費電力が小さい省電力モードに移行するための条件を満たしたことを検知する検知手段と、
前記検知手段が前記省電力モードに移行するための条件を満たしたことを検知した場合に、前記情報処理装置が前記省電力モードに移行した状態で前記ネットワークを介して送信されてくるデータに対する応答を、前記情報処理装置の代わりに前記ネットワークインターフェース装置に行わせるために必要な代理応答情報を、前記ネットワークインターフェース装置に登録する登録手段と、
前記検知手段が前記省電力モードに移行するための条件を満たしたことを検知した場合に、前記外部装置に対して暗号化通信を実行しないよう要求する要求手段と、を備え、
前記ネットワークインターフェース装置が、
前記登録手段により登録された代理応答情報に基づいて、前記情報処理装置が前記省電力モードに移行した状態で前記ネットワークを介して送信されてくるデータに対する応答を行う応答手段を備えることを特徴とする通信システム。
【請求項9】
ネットワークインターフェース装置を介してネットワークに接続され、当該ネットワーク上の外部装置との間で暗号化通信を実行可能な情報処理装置の制御方法であって、
通常電力モードで動作している状態で、当該通常電力モードよりも消費電力が小さい省電力モードに移行するための条件を満たしたことを検知する検知工程と、
前記検知工程で前記省電力モードに移行するための条件を満たしたことが検知された場合に、前記外部装置に対して暗号化通信を実行しないよう要求する要求工程と、
を備えることを特徴とする情報処理装置の制御方法。
【請求項10】
ネットワークインターフェース装置と、当該ネットワークインターフェース装置を介してネットワークに接続され、当該ネットワーク上の外部装置との間で暗号化通信を実行可能な情報処理装置とを含む通信システムの制御方法であって、
前記情報処理装置が通常電力モードで動作している状態で、当該通常電力モードよりも消費電力が小さい省電力モードに移行するための条件を満たしたことを検知する検知工程と、
前記検知工程で前記省電力モードに移行するための条件を満たしたことが検知された場合に、前記情報処理装置が前記省電力モードに移行した状態で前記ネットワークを介して送信されてくるデータに対する応答を、前記情報処理装置の代わりに前記ネットワークインターフェース装置に行わせるために必要な代理応答情報を、前記ネットワークインターフェース装置に登録する登録工程と、
前記検知工程で前記省電力モードに移行するための条件を満たしたことが検知された場合に、前記外部装置に対して暗号化通信を実行しないよう要求する要求工程と、
前記登録工程で登録された代理応答情報に基づいて、前記情報処理装置が前記省電力モードに移行した状態で前記ネットワークを介して送信されてくるデータに対する応答を行う応答工程と、
を備えることを特徴とする通信システムの制御方法。
【請求項11】
請求項9に記載の情報処理装置の制御方法または請求項10に記載の通信システムの制御方法をコンピュータに実行させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2010−218011(P2010−218011A)
【公開日】平成22年9月30日(2010.9.30)
【国際特許分類】
【出願番号】特願2009−61287(P2009−61287)
【出願日】平成21年3月13日(2009.3.13)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
【公開日】平成22年9月30日(2010.9.30)
【国際特許分類】
【出願日】平成21年3月13日(2009.3.13)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
[ Back to top ]