画像形成装置
【課題】 従来の方式では、ネットワークポートの開閉制御がNATで行われており、ポート番号が自動的に変更するような通信端末が存在している場合や、NATが存在しない環境では、ネットワークセキュリティを向上する事が出来ない。
【解決手段】 SIPセッション確立時に、通信相手が対象のサービスを利用可能かどうか判断する。サービス利用可能な場合のみ、対象のポートをオープンする。ポートオープン時にも、SIPセッション確立機器以外からのデータ受信を行わない。また、サービスが利用するポート番号を毎回変更することで利用するポート番号を隠蔽する。
【解決手段】 SIPセッション確立時に、通信相手が対象のサービスを利用可能かどうか判断する。サービス利用可能な場合のみ、対象のポートをオープンする。ポートオープン時にも、SIPセッション確立機器以外からのデータ受信を行わない。また、サービスが利用するポート番号を毎回変更することで利用するポート番号を隠蔽する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、SIPを利用したネットワークセキュリティ向上技術に関する。
【背景技術】
【0002】
近年、イントラネットやインターネット上でサービスを提供する技術が幅広く普及している。その手法の一つとして、TCP(Transmission Control Protocol)やUDP(User Datagram Protocol)が利用されている。これらのプロトコルは、ポート番号という概念でサービスを管理し、そのポートをオープンすることで特定のサービスデータのみを送受信する仕組を持つ。しかし、TCPやUDPの普及に伴って、オープンされたポートに対してデータを送信し受信機器側の機能を阻害する攻撃(ポートアタック)が報告されている。
【0003】
一方、ネットワーク上の通信機器との間に仮想的なセッションを成立し、セッションが成立している間はサービスを保証するSIP(Session Initiation Protocol、RFC3261)が普及している。SIPでは、セッションを確立時に、利用したいサービス及び提供するサービスの情報を通信機器間でやり取りする事により、セッション内で利用するサービスを決定する。SIPセッション内のサービスとしてTCPやUDPが利用される場合、サービスが利用するためにオープンされるポート番号が、サービス情報として含まれることが一般的である。
【0004】
前述したTCP及びUDPのポートアタックを防ぐ方法として、このSIPを利用する方式が考えられている。例えば、特許文献1に特記されているように、NAT(Network Address Translation)を利用し、NATと通信端末間でSIPセッションが確立している間のみポートをオープンしておくという手法がある。これにより、ポートのオープン時間を短くし、ポートアタックの可能性を低下、ネットワークセキュリティを向上することが出来る。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2008−78823号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
SIPを利用したネットワークセキュリティ向上の従来方式では、NATを設置する必要があり、かつ、そのネットワーク内に存在する通信端末がサービスに利用するポート番号を固定してNATに設定しておく必要がある。これでは、ポート番号が自動的に変更するような通信端末が存在している場合や、NATが存在しない環境では、ポートアタックを防ぐ事が出来ない。
【課題を解決するための手段】
【0007】
ネットワーク上の通信機器との間でデータ送受信を行う手段(209)と、
ネットワーク上の通信機器を特定する手段(301)と、
ネットワーク上の通信機器からのSIPセッション接続要求を受信する手段(701)と、
前記通信機器が、自装置内の、どのサービスを利用可能か判断する手段(305)と、
前記サービスの利用可否に応じてSIPセッションの確立有無を変更する手段(702)と、
前記SIPセッション確立と同時に、対象のサービスで利用するネットワークポートをオープンする手段(303)と、
特定のネットワークポートをオープンしている間は、前記特定の通信機器以外から対象のネットワークポートへのデータ受信した際には、そのデータを破棄あるいは拒否する手段(304)と、
SIPセッション切断と同時に、特定のネットワークポートをクローズする手段(303)と、
を有する画像形成装置。
前記手段において、
SIPセッションの確立時に、対象のサービスで利用するネットワークポートを自動選出し利用する手段(305)と、
SIPセッション確立時に、前記自動選出されたポートをオープンする手段(303)と、
SIPセッション確立時に送信するSIPメッセージ内で、前記自動選出されたポートを通史する手段(301)と、
を有する画像形成装置。
【発明の効果】
【0008】
本発明によると、サービスに利用するポート番号が動的に変更するような場合や、利用するNATが存在しない環境においても、SIPを利用したポート開閉制御が可能となる。さらに、SIPセッションを確立した通信機器以外から受信したデータを破棄あるいは拒否する事により、対象の通信機器以外からの攻撃を確実に防ぐ事が出来る。また、サービスが利用するネットワークポート番号を、SIPセッション毎に動的に変更することにより、オープンしているポートを隠蔽する事が出来る。
【図面の簡単な説明】
【0009】
【図1】ネットワーク構成を示す図である。
【図2】本発明における画像形成装置のH/W構成を示す図である。
【図3】本発明における画像形成装置のS/W構成を示す図である。
【図4】SIPセッション確立時のシーケンスを示す図である。
【図5】SIPメッセージの例を示す図である。
【図6】本発明で利用する認証データベースを示す表である。
【図7】本発明におけるSIP制御部301のセッション確立フローを示す。
【図8】SIPセッション切断時のシーケンスを示す図である。
【図9】本発明におけるSIP制御部301のセッション切断フローを示す。
【発明を実施するための形態】
【0010】
以下、本発明を実施するための最良の形態について図面を用いて説明する。
【0011】
図1は本発明を適用した画像形成装置を使用したネットワークの構成を示す図である。
【0012】
画像形成装置101とホストコンピュータ102、ホストコンピュータ103がネットワークNETを介して接続され、相互に通信可能となっている。画像形成装置101、ホストコンピュータ102、ホストコンピュータ103は、SIP機能が有効になっており、それぞれ、SIPアドレスを保持している。本実施例では画像形成装置101のSIPアドレスは、<101@INTERNAL>とする。ホストコンピュータ102のSIPアドレスは、<102@INTERNAL>とする。ホストコンピュータ103のSIPアドレスは、<103@GUEST>とする。ホストコンピュータ102は、画像形成装置101のサービスの1つであるRAW(Read After Write)印刷機能を利用することが出来るユーザが利用する。一方、ホストコンピュータ103は、来客用の端末であり、印刷装置101のRAW印刷機能を利用することが出来ないユーザが利用する。
【0013】
図2は、本発明の機能が搭載されている画像形成装置101のハードウェア構成を示すブロック図である。スキャナI/F制御部201は、スキャナ213を制御する装置である。CPU202は、印刷装置のソフトウェアプログラムを実行し、装置全体の制御を行う。ROM203は、リードオンリーメモリであり、装置のブートプログラムや固定パラメータ等が格納されている。RAM204は、ランダムアクセスメモリであり、CPU202が装置を制御する際に、一時的なデータの格納などに使用する。HDD205は、ハードディスクドライブであり、印刷データの格納など、様々なデータの格納に使用する。プリンタI/F制御部206は、プリンタ212を制御する装置である。NVRAM207は、不揮発性のメモリであり印刷装置の各種設定値を保存するためのものである。パネル制御部208は、オペレーションパネル214を制御し、各種情報の表示、使用者からの指示入力を行う。ネットワークI/F制御部209は、NETとのデータの送受信を制御する。バス210は、スキャナI/F制御部201、CPU202、ROM203、RAM204、HDD205、プリンタI/F制御部206、NVRAM207、パネル制御部208、ネットワークI/F制御部209が接続され、CPU202からの制御信号や各装置間のデータ信号が送受信されるシステムバスである。
【0014】
図3は、本発明の機能が搭載されている画像形成装置101のソフトウェア構成を示すブロック図である。
【0015】
SIP制御部301は、ネットワークIF御部306を経由してNET上に存在する通信機器との間で、SIPパケットの送受信を行う。印刷制御部302は、NET上に存在する通信機器からデータを受け取り、画像形成装置101で印刷を行うための制御を行う。ポート制御部303は、SIP制御部301からポートの開閉指示を受け、TCP及びUDPのポート開閉を制御する。データフィルタ制御部305は、SIP制御部301からの指示を受け、ポートと通信機器のIPアドレスから判断した結果に応じて、受信データの破棄あるいは拒否を行う。認証処理部305は、通信機器のSIPアドレスやIPアドレスを元に、画像形成装置101で提供するサービスの利用可否を判断する。ネットワークIF制御部306は、TCP/IP、UDP/IP機能を保持し、NET上の通信機器とのデータ送受信を制御する。
【0016】
図4は、SIP制御部301が担うSIP確立処理の例を示したシーケンス図である。例として、(a)は、本実施例におけるホストコンピュータ102が、画像形成装置101に対してSIPセッションの確立を希望する場合のシーケンス図を示す。ホストコンピュータ102は、画像形成装置101に対して、INVITEメッセージを送信する(401)。INVITEメッセージには、SIPセッションを確立したい通信相手のSIPアドレスが含まれている。また、INVITEメッセージには、SIPセッションで利用したいサービス情報が含まれている。画像形成装置101は、自装置宛のINVITEメッセージを受信すると、INVITEメッセージに含まれているサービス情報を精査し、提供可能なサービスであれば、200 OKメッセージを送信する(402)。ホストコンピュータ102は、200 OKメッセージを受信すると、200 OKメッセージを受信したことを示すACKメッセージを送信する(403)。これによって、ホストコンピュータ102と画像形成装置101間に、INVITEメッセージに含まれたサービス情報を実現するためのSIPセッションが確立したこととなる。(b)は、ホストコンピュータ102から受信したINVITEメッセージに含まれるサービスが画像形成装置101で提供できない場合のシーケンス例である。
【0017】
画像形成装置101は、ホストコンピュータ102から送信されたINVITEメッセージ(404)に対して、488 Not Acceptable Here メッセージを送信することによって、サービスが提供できない旨を通知する。(c)は、SIPセッション確立処理を実施する前に、TLS(Transport Layer Security)による認証を行う場合のシーケンスを示す。TLSは、RFC4346等に規定されたプロトコルで、通信機器の認証や通信路の暗号化を可能にする。さらに、デジタル証明書を利用する事によって通信機器の認証、さらには通信機器を利用しているユーザの認証を実現することが出来る。SIPセッション確立前に、このプロトコル処理内でサービス可否を判断することが可能とするためのシーケンスが本例である。ホストコンピュータ102からINVITEメッセージ(406)を受信した際に、画像形成装置101は、401 Unauthenticatedメッセージ(407)を送信し、TLS処理を促している。
【0018】
図5(a)は、SIPで利用するINVITEメッセージの例である。INVITEメッセージ内のTo: から始まる行には、宛先SIPアドレスが含まれる(501)。本例では、画像形成装置101のSIPアドレスである、101@INTERNALと記載している。INVITEメッセージ内のc=から始まる行(502)は、INVITEメッセージ送信元のIPレイア情報が含まれている。本例におけるIP4 192.168.1.102は、ホストコンピュータ101が保持するIPv4アドレスが192.168.1.102であることを示す。
【0019】
サービス情報は、m=から始まる行に、INVITEメッセージ送信元で提供するサービスのトランスポートプロトコル及び、ポート番号を記載することによって通知している(503)。本例では、9100 TCP という記載があることより、TCPのポート番号9100を利用したサービスを提供する旨を示し、かつ、通信相手にも同等のサービスを期待するという意味を持っている。
【0020】
図5(b)は、SIPのINVITEメッセージに対する200 OKメッセージの例である。200 OKメッセージでは、INVITEメッセージを受信した端末のサービス情報を記載している(504)。サービス情報はINVITEメッセージと同様、m=から始まる行に記載され、本例では、9100 TCP という記載があることより、TCPのポート番号9100を利用したサービスを提供する旨を示す。
【0021】
図6は、認証処理部305が利用する認証データベースである。認証処理部305は、SIP制御部301から認証要求を受けた際に、このデータベースを参照し、サービス要求元が、そのサービスの利用可否を判断し、結果をSIP制御部301に返す。データベース内の送信元601は、SIPアドレスもしくはIPアドレスが格納され、それぞれに対して、サービス種別602の利用可否が判断できる仕組みになっている。本実施例では、このデータベースに、*@INTERNALのSIPアドレスは、RAW印刷を許容する旨が記載されているものとする。なお、*は@INTERNALというドメインを持つ全てのSIPアドレスが該当することを示す。そのため、ホストコンピュータ102は、RAW印刷が許容されていることになる。また、*@GUESTのSIPアドレスは、RAW印刷が拒否されているものとする。同様に、*は@GUESTというドメインを持つ全てのSIPアドレスが該当することを示す。つまり、ホストコンピュータ103はRAW印刷が拒否されていることになる。データベースの送信元としては、IPアドレスを利用しても良い。
【0022】
認証処理部305は、このデータベースを用いた認証処理の他に、SIPセッション確立前にSIPセッション確立要求元との間で、TLSを利用した認証を行う機能も保持する。認証処理部305は、このプロトコルを利用する事により、データベース601を利用した認証処理と同等の機能を提供することが出来る。
【0023】
図7は、SIP処理部301のSIPセッション確立処理フローを示す。SIP処理部301は、ネットワークIF制御部306を経由して、SIPのINVITEメッセージを受信する(701)。SIP処理部301は、INVITEメッセージから送信元SIPアドレスおよび、送信元のIPアドレス、利用するサービス情報を、認証処理部305に通知し、サービス利用可否の判断を行う(702)。SIP制御部301は、認証処理部305からTLSを要求する結果を受けた場合は、図4(c)のシーケンスに従い、通信相手にTLS要求を行い(703)、再度INVITEメッセージを待つ。SIP制御部301は、認証処理部305から、サービス利用不可の結果を受けた場合は、図4(b)のシーケンスに従って、処理を終了する。SIP制御部301は、認証処理部305から、サービス利用可の結果を受けた場合、ポート制御部303に対象のポートをオープンするように要求を行う(704)。これにより、画像形成装置の特定サービスに対するネットワークポートが初めてオープンされることになり、それ以前にポートアタックされる可能性を防ぐことが出来る。さらに、認証処理部305は、SIP制御部301からサービス利用可否の判断要求を受けた場合に、サービス利用可能な場合は、対象のサービスが利用可能なポート番号を、自動的に選出し、SIP制御部301に通知しても良い。この場合、SIP制御部301は、認証処理部305から通知されたポート番号をポート制御部303に通知しポートオープンを要求する。これによって、サービスが利用されるポート番号を隠蔽する事が出来、ポートアタックをより強固に防ぐ事が出来る。
【0024】
SIP制御部301は、データフィルタ制御部304に対して、通信相手のIPアドレスと利用するポート番号を通知する(705)。データフィルタ制御部304は、705の通知を受けると、IPレイアでのネットワーク監視を開始し、対象のIPアドレスからの対象ポートへのデータ以外は、破棄、もしくは拒否する。拒否としては、ICMP(Internet Control Message Protorol)のPort Unreachableメッセージを送信する手法を用いても良い。これによって、認証された通信相手に対して、ネットワークポートがオープンされていることを知られることを防ぐ事が出来る。SIP制御部301は、その後、図4(a)のシーケンスに従って、SIPセッション確立処理を実施する。
【0025】
図8は、SIP制御部301が担うSIP切断処理の例を示したシーケンス図である。本実施例におけるホストコンピュータ102が、画像形成装置101に対してSIPセッションの切断を希望する場合のシーケンス図を示す。ホストコンピュータ102からBYEメッセージを受信すると、SIP制御部301は、BYEメッセージを受信すると(801)、切断を受け入れた旨を示す200 OKメッセージを送信する(802)。
【0026】
図9は、SIP処理部301のSIPセッション切断処理フローを示す。SIP処理部301は、ネットワークIF制御部306を経由して、SIPのBYEメッセージを受信する(901)。SIP処理部301は、ポート制御部303に対象のポートをクローズするように要求を行う(902)。その後、SIP制御部301は、データフィルタ制御部304に対して、データフィルタの解除を要求し(903)、図8のシーケンスにしたがって、SIPセッション切断処理を行う(904)。
【符号の説明】
【0027】
101 画像形成装置
102 ホストコンピュータ
103 ホストコンピュータ
【技術分野】
【0001】
本発明は、SIPを利用したネットワークセキュリティ向上技術に関する。
【背景技術】
【0002】
近年、イントラネットやインターネット上でサービスを提供する技術が幅広く普及している。その手法の一つとして、TCP(Transmission Control Protocol)やUDP(User Datagram Protocol)が利用されている。これらのプロトコルは、ポート番号という概念でサービスを管理し、そのポートをオープンすることで特定のサービスデータのみを送受信する仕組を持つ。しかし、TCPやUDPの普及に伴って、オープンされたポートに対してデータを送信し受信機器側の機能を阻害する攻撃(ポートアタック)が報告されている。
【0003】
一方、ネットワーク上の通信機器との間に仮想的なセッションを成立し、セッションが成立している間はサービスを保証するSIP(Session Initiation Protocol、RFC3261)が普及している。SIPでは、セッションを確立時に、利用したいサービス及び提供するサービスの情報を通信機器間でやり取りする事により、セッション内で利用するサービスを決定する。SIPセッション内のサービスとしてTCPやUDPが利用される場合、サービスが利用するためにオープンされるポート番号が、サービス情報として含まれることが一般的である。
【0004】
前述したTCP及びUDPのポートアタックを防ぐ方法として、このSIPを利用する方式が考えられている。例えば、特許文献1に特記されているように、NAT(Network Address Translation)を利用し、NATと通信端末間でSIPセッションが確立している間のみポートをオープンしておくという手法がある。これにより、ポートのオープン時間を短くし、ポートアタックの可能性を低下、ネットワークセキュリティを向上することが出来る。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2008−78823号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
SIPを利用したネットワークセキュリティ向上の従来方式では、NATを設置する必要があり、かつ、そのネットワーク内に存在する通信端末がサービスに利用するポート番号を固定してNATに設定しておく必要がある。これでは、ポート番号が自動的に変更するような通信端末が存在している場合や、NATが存在しない環境では、ポートアタックを防ぐ事が出来ない。
【課題を解決するための手段】
【0007】
ネットワーク上の通信機器との間でデータ送受信を行う手段(209)と、
ネットワーク上の通信機器を特定する手段(301)と、
ネットワーク上の通信機器からのSIPセッション接続要求を受信する手段(701)と、
前記通信機器が、自装置内の、どのサービスを利用可能か判断する手段(305)と、
前記サービスの利用可否に応じてSIPセッションの確立有無を変更する手段(702)と、
前記SIPセッション確立と同時に、対象のサービスで利用するネットワークポートをオープンする手段(303)と、
特定のネットワークポートをオープンしている間は、前記特定の通信機器以外から対象のネットワークポートへのデータ受信した際には、そのデータを破棄あるいは拒否する手段(304)と、
SIPセッション切断と同時に、特定のネットワークポートをクローズする手段(303)と、
を有する画像形成装置。
前記手段において、
SIPセッションの確立時に、対象のサービスで利用するネットワークポートを自動選出し利用する手段(305)と、
SIPセッション確立時に、前記自動選出されたポートをオープンする手段(303)と、
SIPセッション確立時に送信するSIPメッセージ内で、前記自動選出されたポートを通史する手段(301)と、
を有する画像形成装置。
【発明の効果】
【0008】
本発明によると、サービスに利用するポート番号が動的に変更するような場合や、利用するNATが存在しない環境においても、SIPを利用したポート開閉制御が可能となる。さらに、SIPセッションを確立した通信機器以外から受信したデータを破棄あるいは拒否する事により、対象の通信機器以外からの攻撃を確実に防ぐ事が出来る。また、サービスが利用するネットワークポート番号を、SIPセッション毎に動的に変更することにより、オープンしているポートを隠蔽する事が出来る。
【図面の簡単な説明】
【0009】
【図1】ネットワーク構成を示す図である。
【図2】本発明における画像形成装置のH/W構成を示す図である。
【図3】本発明における画像形成装置のS/W構成を示す図である。
【図4】SIPセッション確立時のシーケンスを示す図である。
【図5】SIPメッセージの例を示す図である。
【図6】本発明で利用する認証データベースを示す表である。
【図7】本発明におけるSIP制御部301のセッション確立フローを示す。
【図8】SIPセッション切断時のシーケンスを示す図である。
【図9】本発明におけるSIP制御部301のセッション切断フローを示す。
【発明を実施するための形態】
【0010】
以下、本発明を実施するための最良の形態について図面を用いて説明する。
【0011】
図1は本発明を適用した画像形成装置を使用したネットワークの構成を示す図である。
【0012】
画像形成装置101とホストコンピュータ102、ホストコンピュータ103がネットワークNETを介して接続され、相互に通信可能となっている。画像形成装置101、ホストコンピュータ102、ホストコンピュータ103は、SIP機能が有効になっており、それぞれ、SIPアドレスを保持している。本実施例では画像形成装置101のSIPアドレスは、<101@INTERNAL>とする。ホストコンピュータ102のSIPアドレスは、<102@INTERNAL>とする。ホストコンピュータ103のSIPアドレスは、<103@GUEST>とする。ホストコンピュータ102は、画像形成装置101のサービスの1つであるRAW(Read After Write)印刷機能を利用することが出来るユーザが利用する。一方、ホストコンピュータ103は、来客用の端末であり、印刷装置101のRAW印刷機能を利用することが出来ないユーザが利用する。
【0013】
図2は、本発明の機能が搭載されている画像形成装置101のハードウェア構成を示すブロック図である。スキャナI/F制御部201は、スキャナ213を制御する装置である。CPU202は、印刷装置のソフトウェアプログラムを実行し、装置全体の制御を行う。ROM203は、リードオンリーメモリであり、装置のブートプログラムや固定パラメータ等が格納されている。RAM204は、ランダムアクセスメモリであり、CPU202が装置を制御する際に、一時的なデータの格納などに使用する。HDD205は、ハードディスクドライブであり、印刷データの格納など、様々なデータの格納に使用する。プリンタI/F制御部206は、プリンタ212を制御する装置である。NVRAM207は、不揮発性のメモリであり印刷装置の各種設定値を保存するためのものである。パネル制御部208は、オペレーションパネル214を制御し、各種情報の表示、使用者からの指示入力を行う。ネットワークI/F制御部209は、NETとのデータの送受信を制御する。バス210は、スキャナI/F制御部201、CPU202、ROM203、RAM204、HDD205、プリンタI/F制御部206、NVRAM207、パネル制御部208、ネットワークI/F制御部209が接続され、CPU202からの制御信号や各装置間のデータ信号が送受信されるシステムバスである。
【0014】
図3は、本発明の機能が搭載されている画像形成装置101のソフトウェア構成を示すブロック図である。
【0015】
SIP制御部301は、ネットワークIF御部306を経由してNET上に存在する通信機器との間で、SIPパケットの送受信を行う。印刷制御部302は、NET上に存在する通信機器からデータを受け取り、画像形成装置101で印刷を行うための制御を行う。ポート制御部303は、SIP制御部301からポートの開閉指示を受け、TCP及びUDPのポート開閉を制御する。データフィルタ制御部305は、SIP制御部301からの指示を受け、ポートと通信機器のIPアドレスから判断した結果に応じて、受信データの破棄あるいは拒否を行う。認証処理部305は、通信機器のSIPアドレスやIPアドレスを元に、画像形成装置101で提供するサービスの利用可否を判断する。ネットワークIF制御部306は、TCP/IP、UDP/IP機能を保持し、NET上の通信機器とのデータ送受信を制御する。
【0016】
図4は、SIP制御部301が担うSIP確立処理の例を示したシーケンス図である。例として、(a)は、本実施例におけるホストコンピュータ102が、画像形成装置101に対してSIPセッションの確立を希望する場合のシーケンス図を示す。ホストコンピュータ102は、画像形成装置101に対して、INVITEメッセージを送信する(401)。INVITEメッセージには、SIPセッションを確立したい通信相手のSIPアドレスが含まれている。また、INVITEメッセージには、SIPセッションで利用したいサービス情報が含まれている。画像形成装置101は、自装置宛のINVITEメッセージを受信すると、INVITEメッセージに含まれているサービス情報を精査し、提供可能なサービスであれば、200 OKメッセージを送信する(402)。ホストコンピュータ102は、200 OKメッセージを受信すると、200 OKメッセージを受信したことを示すACKメッセージを送信する(403)。これによって、ホストコンピュータ102と画像形成装置101間に、INVITEメッセージに含まれたサービス情報を実現するためのSIPセッションが確立したこととなる。(b)は、ホストコンピュータ102から受信したINVITEメッセージに含まれるサービスが画像形成装置101で提供できない場合のシーケンス例である。
【0017】
画像形成装置101は、ホストコンピュータ102から送信されたINVITEメッセージ(404)に対して、488 Not Acceptable Here メッセージを送信することによって、サービスが提供できない旨を通知する。(c)は、SIPセッション確立処理を実施する前に、TLS(Transport Layer Security)による認証を行う場合のシーケンスを示す。TLSは、RFC4346等に規定されたプロトコルで、通信機器の認証や通信路の暗号化を可能にする。さらに、デジタル証明書を利用する事によって通信機器の認証、さらには通信機器を利用しているユーザの認証を実現することが出来る。SIPセッション確立前に、このプロトコル処理内でサービス可否を判断することが可能とするためのシーケンスが本例である。ホストコンピュータ102からINVITEメッセージ(406)を受信した際に、画像形成装置101は、401 Unauthenticatedメッセージ(407)を送信し、TLS処理を促している。
【0018】
図5(a)は、SIPで利用するINVITEメッセージの例である。INVITEメッセージ内のTo: から始まる行には、宛先SIPアドレスが含まれる(501)。本例では、画像形成装置101のSIPアドレスである、101@INTERNALと記載している。INVITEメッセージ内のc=から始まる行(502)は、INVITEメッセージ送信元のIPレイア情報が含まれている。本例におけるIP4 192.168.1.102は、ホストコンピュータ101が保持するIPv4アドレスが192.168.1.102であることを示す。
【0019】
サービス情報は、m=から始まる行に、INVITEメッセージ送信元で提供するサービスのトランスポートプロトコル及び、ポート番号を記載することによって通知している(503)。本例では、9100 TCP という記載があることより、TCPのポート番号9100を利用したサービスを提供する旨を示し、かつ、通信相手にも同等のサービスを期待するという意味を持っている。
【0020】
図5(b)は、SIPのINVITEメッセージに対する200 OKメッセージの例である。200 OKメッセージでは、INVITEメッセージを受信した端末のサービス情報を記載している(504)。サービス情報はINVITEメッセージと同様、m=から始まる行に記載され、本例では、9100 TCP という記載があることより、TCPのポート番号9100を利用したサービスを提供する旨を示す。
【0021】
図6は、認証処理部305が利用する認証データベースである。認証処理部305は、SIP制御部301から認証要求を受けた際に、このデータベースを参照し、サービス要求元が、そのサービスの利用可否を判断し、結果をSIP制御部301に返す。データベース内の送信元601は、SIPアドレスもしくはIPアドレスが格納され、それぞれに対して、サービス種別602の利用可否が判断できる仕組みになっている。本実施例では、このデータベースに、*@INTERNALのSIPアドレスは、RAW印刷を許容する旨が記載されているものとする。なお、*は@INTERNALというドメインを持つ全てのSIPアドレスが該当することを示す。そのため、ホストコンピュータ102は、RAW印刷が許容されていることになる。また、*@GUESTのSIPアドレスは、RAW印刷が拒否されているものとする。同様に、*は@GUESTというドメインを持つ全てのSIPアドレスが該当することを示す。つまり、ホストコンピュータ103はRAW印刷が拒否されていることになる。データベースの送信元としては、IPアドレスを利用しても良い。
【0022】
認証処理部305は、このデータベースを用いた認証処理の他に、SIPセッション確立前にSIPセッション確立要求元との間で、TLSを利用した認証を行う機能も保持する。認証処理部305は、このプロトコルを利用する事により、データベース601を利用した認証処理と同等の機能を提供することが出来る。
【0023】
図7は、SIP処理部301のSIPセッション確立処理フローを示す。SIP処理部301は、ネットワークIF制御部306を経由して、SIPのINVITEメッセージを受信する(701)。SIP処理部301は、INVITEメッセージから送信元SIPアドレスおよび、送信元のIPアドレス、利用するサービス情報を、認証処理部305に通知し、サービス利用可否の判断を行う(702)。SIP制御部301は、認証処理部305からTLSを要求する結果を受けた場合は、図4(c)のシーケンスに従い、通信相手にTLS要求を行い(703)、再度INVITEメッセージを待つ。SIP制御部301は、認証処理部305から、サービス利用不可の結果を受けた場合は、図4(b)のシーケンスに従って、処理を終了する。SIP制御部301は、認証処理部305から、サービス利用可の結果を受けた場合、ポート制御部303に対象のポートをオープンするように要求を行う(704)。これにより、画像形成装置の特定サービスに対するネットワークポートが初めてオープンされることになり、それ以前にポートアタックされる可能性を防ぐことが出来る。さらに、認証処理部305は、SIP制御部301からサービス利用可否の判断要求を受けた場合に、サービス利用可能な場合は、対象のサービスが利用可能なポート番号を、自動的に選出し、SIP制御部301に通知しても良い。この場合、SIP制御部301は、認証処理部305から通知されたポート番号をポート制御部303に通知しポートオープンを要求する。これによって、サービスが利用されるポート番号を隠蔽する事が出来、ポートアタックをより強固に防ぐ事が出来る。
【0024】
SIP制御部301は、データフィルタ制御部304に対して、通信相手のIPアドレスと利用するポート番号を通知する(705)。データフィルタ制御部304は、705の通知を受けると、IPレイアでのネットワーク監視を開始し、対象のIPアドレスからの対象ポートへのデータ以外は、破棄、もしくは拒否する。拒否としては、ICMP(Internet Control Message Protorol)のPort Unreachableメッセージを送信する手法を用いても良い。これによって、認証された通信相手に対して、ネットワークポートがオープンされていることを知られることを防ぐ事が出来る。SIP制御部301は、その後、図4(a)のシーケンスに従って、SIPセッション確立処理を実施する。
【0025】
図8は、SIP制御部301が担うSIP切断処理の例を示したシーケンス図である。本実施例におけるホストコンピュータ102が、画像形成装置101に対してSIPセッションの切断を希望する場合のシーケンス図を示す。ホストコンピュータ102からBYEメッセージを受信すると、SIP制御部301は、BYEメッセージを受信すると(801)、切断を受け入れた旨を示す200 OKメッセージを送信する(802)。
【0026】
図9は、SIP処理部301のSIPセッション切断処理フローを示す。SIP処理部301は、ネットワークIF制御部306を経由して、SIPのBYEメッセージを受信する(901)。SIP処理部301は、ポート制御部303に対象のポートをクローズするように要求を行う(902)。その後、SIP制御部301は、データフィルタ制御部304に対して、データフィルタの解除を要求し(903)、図8のシーケンスにしたがって、SIPセッション切断処理を行う(904)。
【符号の説明】
【0027】
101 画像形成装置
102 ホストコンピュータ
103 ホストコンピュータ
【特許請求の範囲】
【請求項1】
ネットワーク上の通信機器との間でデータ送受信を行う手段(209)と、
ネットワーク上の通信機器を特定する手段(301)と、
ネットワーク上の通信機器からのSIPセッション接続要求を受信する手段(701)と、
前記通信機器が、自装置内の、どのサービスを利用可能か判断する手段(305)と、
前記サービスの利用可否に応じてSIPセッションの確立有無を変更する手段(702)と、
前記SIPセッション確立と同時に、対象のサービスで利用するネットワークポートをオープンする手段(303)と、
特定のネットワークポートをオープンしている間は、前記特定の通信機器以外から対象のネットワークポートへのデータ受信した際には、そのデータを破棄あるいは拒否する手段(304)と、
SIPセッション切断と同時に、特定のネットワークポートをクローズする手段(303)と、
を有する画像形成装置。
【請求項2】
SIPセッションの確立時に、対象のサービスで利用するネットワークポートを自動選出し利用する手段(305)と、
SIPセッション確立時に、前記自動選出されたポートをオープンする手段(303)と、
SIPセッション確立時に送信するSIPメッセージ内で、前記自動選出されたポートを通史する手段(301)と、
を有する請求項1に記載の画像形成装置。
【請求項1】
ネットワーク上の通信機器との間でデータ送受信を行う手段(209)と、
ネットワーク上の通信機器を特定する手段(301)と、
ネットワーク上の通信機器からのSIPセッション接続要求を受信する手段(701)と、
前記通信機器が、自装置内の、どのサービスを利用可能か判断する手段(305)と、
前記サービスの利用可否に応じてSIPセッションの確立有無を変更する手段(702)と、
前記SIPセッション確立と同時に、対象のサービスで利用するネットワークポートをオープンする手段(303)と、
特定のネットワークポートをオープンしている間は、前記特定の通信機器以外から対象のネットワークポートへのデータ受信した際には、そのデータを破棄あるいは拒否する手段(304)と、
SIPセッション切断と同時に、特定のネットワークポートをクローズする手段(303)と、
を有する画像形成装置。
【請求項2】
SIPセッションの確立時に、対象のサービスで利用するネットワークポートを自動選出し利用する手段(305)と、
SIPセッション確立時に、前記自動選出されたポートをオープンする手段(303)と、
SIPセッション確立時に送信するSIPメッセージ内で、前記自動選出されたポートを通史する手段(301)と、
を有する請求項1に記載の画像形成装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2012−244203(P2012−244203A)
【公開日】平成24年12月10日(2012.12.10)
【国際特許分類】
【出願番号】特願2011−108979(P2011−108979)
【出願日】平成23年5月16日(2011.5.16)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
【公開日】平成24年12月10日(2012.12.10)
【国際特許分類】
【出願日】平成23年5月16日(2011.5.16)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
[ Back to top ]