電子機器の制御方法
【課題】 印字装置を有する電子機器の遠隔操作における、印字装置の制御方法において、送信元からセキュリティが保証された経路のみを経由して遠隔操作命令が送信されてきたかどうかを判断して、セキュリティが保証された経路のみを経由してきた場合、不必要な暗号化を行なわない。
【解決手段】 電子機器は送信元までの経路を調査し、その結果セキュリティが保証された経路のみ経由してきたかどうかを判断し、セキュリティが保証された経路のみ経由してきたならば遠隔操作命令をそのまま実行し、セキュリティが保証されていない経路を一部でも経由してきた可能性がある場合は送信元の認証および、送信元とネゴシエーションをして、改ざん検出可能な暗号化して遠隔命令を送信することを要求する構成とする。
【解決手段】 電子機器は送信元までの経路を調査し、その結果セキュリティが保証された経路のみ経由してきたかどうかを判断し、セキュリティが保証された経路のみ経由してきたならば遠隔操作命令をそのまま実行し、セキュリティが保証されていない経路を一部でも経由してきた可能性がある場合は送信元の認証および、送信元とネゴシエーションをして、改ざん検出可能な暗号化して遠隔命令を送信することを要求する構成とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は印字装置を有する電子機器において、遠隔操作に関する印字装置および、その制御方法に関するものである。
【背景技術】
【0002】
従来では、遠隔操作命令受信要請を受信したとき、物理的にセキュリティが保証されていない経路を含む可能性があるかどうか判断せず、必ず送信元認証および送信元が遠隔操作命令を改ざん検出可能な方法で暗号化するか、セキュリティが保証されていない経路を含む可能性があれば受信した遠隔操作命令の実行を拒否していた。
【0003】
又、別の従来例としては、特許文献1及び特許文献2をあげることが出来る。
【特許文献1】特開2002-208986号公報
【特許文献2】特開2001-345832号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
送信元からセキュリティが保証された経路のみを経由して遠隔操作命令が送信されてきたかどうかを判断していないため、セキュリティが保証された経路のみを経由してきた場合、不必要な暗号化を行っていた。
【課題を解決するための手段】
【0005】
電子機器は送信元までの経路を調査し、その結果セキュリティが保証された経路のみ経由してきたかどうかを判断し、
セキュリティが保証された経路のみ経由してきたならば遠隔操作命令をそのまま実行し、セキュリティが保証されていない経路を一部でも経由してきた可能性がある場合は送信元の認証および、送信元とネゴシエーションをして、改ざん検出可能な暗号化して遠隔命令を送信することを要求する。
【発明の効果】
【0006】
本発明により、遠隔操作を行う送信元までの経路が物理的にセキュリティエリア内に限定可能なら普通に遠隔操作をおこなうのでセキュリティを行なわずオーバーヘッドがない。また経路に非セキュリティな部分がある可能性があれば必要なセキュリティ対策を行うので遠隔操作のデータの改ざんや機器の成り済ましを防止し、経路に非セキュリティな部分がある可能性があっても安全に遠隔操作受け付け、実行が可能になる。また毎回遠隔操作を行う送信元までの経路が物理的にセキュリティエリア内かどうかを判定するので管理端末がモバイルで移動しても対応可能である。
【発明を実施するための最良の形態】
【0007】
次に、本発明の詳細を実施例の記述に従って説明する。
【実施例1】
【0008】
図1に本発明が適応されるシステム構成図の一例を示す。管理者は複数存在し物理的にセキュリティが確立されているエリア(例えばエントランスカードや鍵、指紋認証等の物理セキュリティ方法によって部外者の侵入が不可能なエリア)に当該機器があり、管理者の一部は前記セキュリティが確立されている同一エリア内に(図1では管理者1,2)、そして他の管理者はデータ転送時のデータのセキュリティが確立されていない経路(例えばインターネット回線を介した経路)を経由して転送データが届くエリアにいるものとする(図1では管理者3,4)。
【0009】
図2に本発明が適応される複合機器内部の簡単なブロック図を記す。1は本発明を制御するCPU、2はCPU1のワークエリアを提供するRAM、3は本発明のプログラムを提供するとともに電源断を越えて情報を格納保持可能でかつ格納情報の書き換え可能なNVRAM(ハードディスク、フレキシブルディスク、CDRW、NVRAM等でもよい)(以下NVRAMと記す)、4はユーザーからの入力を受け付けるユーザーコマンド入力装置、5は印字用紙に印字を実行する印字装置、6はLANとの通信I/FをつかさどるI/F装置、7はデータの暗号化、復号を行う暗号処理部、8はメインバスである。
【0010】
尚、本発明は特に断らない限り、本機器ではCPU1がメインバス8を介してRAM2、NVRAM3、ユーザーコマンド入力装置4、印字装置5、I/F装置6、暗号処理部7を制御して実施する。また暗号処理部7は本実施例ではブロックとして記載するが同機能をNVRAM3に格納されたソフトウェアで処理をしてもよい。
【0011】
図3に本発明が適応される管理者機器内部の簡単なブロック図を記す。11は本発明を制御するCPU、12はCPU1のワークエリアを提供するRAM、13は本発明のプログラムを提供するとともに電源断を越えて情報を格納保持可能でかつ格納情報の書き換え可能なNVRAM(ハードディスク、フレキシブルディスク、CDRW、NVRAM等でもよい)(以下NVRAMと記す)、14はユーザーからの入力を受け付けるユーザーコマンド入力装置、16はLANとの通信I/FをつかさどるI/F装置、17はデータの暗号化、復号を行う暗号処理部、18はメインバスである。
【0012】
尚、本発明は特に断らない限り、管理者機器ではCPU11がメインバス18を介してRAM12、NVRAM13、ユーザーコマンド入力装置14、I/F装置16、暗号処理部17を制御して実施する。また暗号処理部17は本実施例ではブロックとして記載するが同機能をNVRAM13に格納されたソフトウェアで処理をしてもよい。
【0013】
実施例1では複合機からシステム異常の通知が管理者に通知され、管理者がリモートメンテナンスコマンドを送信する例を挙げる。
【0014】
以下に本実施例を、図5を用いて詳細に説明する。
【0015】
当該機器に電力が投入され(S101)機器の初期化が実行される(S102)。初期化が終了後、ユーザーコマンド入力装置4を介してユーザーから何か入力されるのを待つ(S103)。ユーザーからユーザーコマンド入力装置4を介して入力があったならば、その入力が障害情報報告宛先入力かどうか調べる(S104)。障害情報報告宛先入力でなければ対応した処理を行う(S105)。そしてS103を行う。
【0016】
障害情報報告宛先入力であればカウンタnを1で初期化する(S106)。
【0017】
ここで図4について説明する。図4で例示されるテーブルはNVRAMに格納され電源サイクルを乗り越えその情報が保持される。そしてその内容は障害名には、当該機器で発生するすべての障害を列挙し報告先管理者には対応する障害の報告先のアドレスが格納される。
【0018】
予めテーブルに登録されている障害の種類の数Nとnを比較する(S107).n<Nでなければ障害情報報告宛先登録が終了したと判断しS103を行う。あれば登録すべき障害情報報告宛先があると判断しnの障害名を表示しユーザーコマンド入力装置4を介してユーザーからの入力を待つ(S108)。ユーザーコマンド入力装置4を介してユーザーからの入力があればその入力をこの障害に対する報告先管理者の宛先アドレスとしてテーブルのnの報告先管理者に登録する(S109)。nをインクリメントする(S110)。S107を行う。
【0019】
次に障害が発生した時の本発明の動作を図6を用いて説明する。機器に電源が投入され(S201)機器の初期化が行われる(S202)。何らかの障害が機器に発生したかどうか調べる(S203)。発生していなければS203を行う。発生していればカウンタnを1に設定する(S204)。そして発生した障害(本例ではシステム異常)は図3のテーブルのn番目の障害名に格納されている障害と同じかどうか調べる(S205)。同じでなければ他の障害と判断し次の障害と同じがどうか調べるためnを1増加し(S206) S205を行う。
【0020】
同じであればルータ−に対してI/F装置6を介して報告先管理者までの経路マップを要求する(S207)。そしてルータから経路マップを受信するのを待つ(S208)。ルータ−から経路マップを受信したならば受信した経路マップの中にセキュリティが確保されていない可能性を持つアドレスのルータ−が存在するかどうか調べる(S209)。(当該機器には予め設置時、機器管理者によりセキュリティが確保されているセグメントのアドレスが格納されている。これと経路マップと比較することによりセキュリティが確保されているかどうかを判断する。)
セキュリティは確保されていると判断すれば、nの報告先管理者に格納されているアドレスに対してI/F装置6を介してシステム異常の障害データを送信する(S210)。S203を行う。
【0021】
セキュリティは確保されていないと判断すれば、暗号処理部7はI/F装置6を介し報告先管理者に対して当該機器との間にVPN(virtual Private Network)の確立を要求する(S211)。このとき報告先管理者から自機器の認証を求められれば予めNVRAMに格納されていた自機器の証明書を送付する。また暗号化に関しては報告先管理者とネゴシエーションを行い、当該機器と報告先管理者の機器に共に機能を有する中で最強と思われる暗号方法を決定する。VPNが確立されたならば(S212)障害報告のデータに改ざん防止方法を施す(S213)。そしてI/F装置6を介して、改ざん防止を施した障害データをnの報告先管理者に格納されているアドレスに対して送信する(S214)。S203を行う。
【0022】
なお本特許では暗号化方法、認証方法の詳細は本特許に直接関係がないので省略する。
【0023】
次に図7を用いて管理者端末からリモートメンテナンスを受信する方法について詳細を以下に記す。
【0024】
当該機器に電力が投入され(S301)機器の初期化が実行される(S302)。初期化が終了後、I/F装置6を介し何か受信をしたかどうかを調べる(S303)。なにか受信をしていれば、その受信が管理コマンド送信要求かどうか調べる(S304)。もし管理コマンド送信要求でなければ受信したデータに適した処理を行う(S305)。S303を行う。
【0025】
管理コマンド送信要求であれば、送信元の端末にその認証を要求する(S306)。そしてI/F装置6を介し受信した認証書は信用性があるかどうか判断する(S307)。もしその認証が信用できないものと判断したならば、無視する(S308)。S303を行う。(予め当該機器には、ルートの認証元と遠隔操作を受け付る端末がNVRAM3に格納されている)
信用できるものであれば、遠隔操作を受け付けると判断し、I/F装置6を介し、ルーターに対して送信元の端末のIPアドレスから判別する経路マップを要求する(S309)。ルーターから経路マップを受信したならば(S310)、受信した経路マップの中にセキュリティが物理的に確保されていない可能性がある経路があるかどうか経由したルータのアドレスをみて判断する(S311)。もし経路マップの中にセキュリティが物理的に確保されていない可能性がないと判断されれば、I/F装置6を介し送信元端末にリモートコマンドの送信を要求する(S312)。そしてI/F装置6を介しリモートコマンドを受信したならば(S319)、受信したリモートコマンド(リモートメンテナンス)に従いその命令を実行する(S320)。S303を行う。
【0026】
もし経路マップの中にセキュリティが物理的に確保されていない可能性があると判断したならば情報の漏洩、改ざんを防止するため送信元端末と当該機器間との間にVPNを確立することをI/F装置6を介し要求する(S313)。VPNが確立すれば(S314)、送信元端末に対して改ざん防止対策を送信するコマンドを施すように要求する(S315)。そしてI/F装置6を介し送信元端末から確立したVPNを通してデータを受信するのを待つ(S316)。データを受信したならば、改ざんされていないことを確認し、そして受信したデータを復号する(S317)。そして復号したリモートコマンド(リモートメンテナンス)に従い、その命令を実行する(S318)。S303を行う。
【実施例2】
【0027】
テーブルへの登録方法は実施例1と同じである。
【0028】
次に障害が発生した時の本発明の動作を図8を用いて説明する。機器に電源が投入され(S401)機器の初期化が行われる(S402)。何らかの障害が機器に発生したかどうか調べる(S403)。発生していなければS403を行う。発生していればカウンタnを1に設定する(S404)。そして発生した障害は図3のテーブルのn番目の障害名に格納されている障害と同じかどうか調べる(S405)。同じでなければ他の障害と判断し、次の障害と同じがどうか調べるためnを1増加し(S406), S405を行う。
【0029】
同じであればnに格納されている報告先管理者の宛先アドレスに対してI/F装置6を介してTRACEコマンドを送出する(S407)。そして報告先管理者からTraceの返事を受信するのを待つ(S408)。そしてTraceコマンドの返事を受信したならば、受信した経路Trace情報の中にセキュリティが確保されていない可能性を持つアドレスの機器を通過したかどうか調べる(S409)。(当該機器には予め設置時、機器管理者によりセキュリティが確保されているセグメントのアドレスが格納されている。これとTrace結果と比較することによりセキュリティが確保されているかどうかを判断する。)
セキュリティは確保されていると判断すれば、nの報告先管理者に格納されているアドレスに対してI/F装置6を介して障害データを送信する(S410)。S403を行う。
【0030】
セキュリティは確保されていないと判断すれば、暗号処理部7はI/F装置6を介し報告先管理者に対して当該機器との間にVPN(virtual Private Network)の確立を要求する(S411)。このとき報告先管理者から自機器の認証を求められれば、予めNVRAMに格納されていた自機器の証明書を送付する。また暗号化に関しては報告先管理者とネゴシエーションを行い、当該機器と報告先管理者の機器に共に機能を有する中で最強と思われる暗号方法を決定する。VPNが確立されたならば(S412)障害報告のデータに改ざん防止方法を施す(S413)。そしてI/F装置6を介して、改ざん防止を施した障害データをnの報告先管理者に格納されているアドレスに対して送信する(S414)。S403を行う。
【0031】
なお本特許では暗号化方法、認証方法の詳細は本特許に直接関係がないので省略する。
【0032】
次に図9を用いて管理者端末からリモートメンテナンスを受信する方法について詳細を以下に記す。
【0033】
当該機器に電力が投入され(S501)機器の初期化が実行される(S502)。初期化が終了後、I/F装置6を介し何か受信をしたかどうかを調べる(S503)。なにか受信をしていれば、その受信が管理コマンド送信要求かどうか調べる(S504)。もし管理コマンド送信要求でなければ受信したデータに適した処理を行う(S505)。S503を行う。
【0034】
管理コマンド送信要求であれば、送信元の端末にその認証を要求する(S506)。そしてI/F装置6を介し受信した認証書は信用性があるかどうか判断する(S507)。(認証の方法は様様な方法がすでに考案されており、本特許に具体的な認証方法は直接関係ないので詳細は省略する。)もしその認証が信用できないものと判断したならば、無視する(S508)。S503を行う。(予め当該機器には、ルートの認証元と遠隔操作を受付る端末がNVRAM3に格納されている)
信用できるものであれば、遠隔操作を受け付けると判断し、I/F装置6を介しルーターに対して送信元の端末に対しコマンドの送信経路のトレース情報を要求する (S509)。送信元端末から送信経路のトレース情報を受信したならば(S510)、受信した送信経路のトレース情報中にセキュリティが物理的に確保されていない可能性がある経路があるかどうか、経由したルータのアドレスをみて判断する(S511)。もし経路マップの中にセキュリティが物理的に確保されていない可能性がないと判断されれば、I/F装置6を介し送信元端末にリモートコマンドの送信を要求する(S512)。そしてI/F装置6を介しリモートコマンドを受信したならば(S513)、受信したリモートコマンド(リモートメンテナンス)に従いその命令を実行する(S514)。S503を行う。
【0035】
もし経路マップの中にセキュリティが物理的に確保されていない可能性があると判断したならば情報の漏洩、改ざんを防止するため、送信元端末と当該機器間との間にVPNを確立することをI/F装置6を介し要求する(S515)。VPNが確立すれば(S516)、送信元端末に対して改ざん防止対策を送信するコマンドを施すように要求する(S517)。そしてI/F装置6を介し送信元端末から確立したVPNを通してデータを受信するのを待つ(S518)。データを受信したならば、改ざんされていないことを確認し、そして受信したデータを復号する(S519)。そして復号したリモートコマンド(リモートメンテナンス)に従い、その命令を実行する(S520)。S503を行う。
【実施例3】
【0036】
本実施例では管理端末による稼動ログの取得について図10を用いて詳細に説明する。
【0037】
当該機器に電力が投入され(S601)機器の初期化が実行される(S602)。初期化が終了後、I/F装置6を介し何か受信をしたかどうかを調べる(S603)。なにか受信をしていれば、その受信が管理コマンド送信要求かどうか調べる(S604)。もし稼動ログ要求コマンド送信要求でなければ受信したデータに適した処理を行う(S605)。S603を行う。
【0038】
管理コマンド送信要求であれば、送信元の端末にその認証を要求する(S606)。そしてI/F装置6を介し受信した認証書は信用性があるかどうか判断する(S607)。もしその認証が信用できないものと判断したならば、無視する(S608)。S603を行う。(予め当該機器には、ルートの認証元と遠隔操作を受付る端末がNVRAM3に格納されている)
信用できるものであれば、遠隔操作を受け付けると判断し、I/F装置6を介しルーターに対して、送信元の端末に対するコマンド送信経路のトレース情報を要求する (S609)。送信元端末から送信経路のトレース情報を受信したならば(S610)、受信した送信経路のトレース情報中にセキュリティが物理的に確保されていない可能性がある経路があるかどうか、経由したルータのアドレスをみて判断する(S611)。もし経路マップの中にセキュリティが物理的に確保されていない可能性がないと判断されれば、稼動ログをI/F装置6を介し送信元端末へ送信する(S612)。S603を行う。
【0039】
もし経路マップの中にセキュリティが物理的に確保されていない可能性があると判断したならば、情報の漏洩、改ざんを防止するため、送信元端末と当該機器間との間にVPNを確立することをI/F装置6を介し要求する(S613)。VPNが確立すれば(S614)、稼動ログに対して改ざん防止対策を暗号部7が実施する (S615)。そしてI/F装置6を介し、送信元端末に確立したVPNを通して稼動ログのデータを送信する(S616)。S603を行う。
【図面の簡単な説明】
【0040】
【図1】本発明が適応されるシステム構成の一例である。
【図2】本発明が適応される複合機器の内部ブロック構成図である。
【図3】本発明が適応される管理端末機器の内部ブロック構成図である。
【図4】本発明で使用するNVRAMに格納される情報管理テーブルである。
【図5】実施例1のユーザー入力のフローチャートの一例である。
【図6】実施例1の障害発生時のフローチャートの一例(その1)である。
【図7】実施例1の障害発生時のフローチャートの一例(その2)である。
【図8】実施例2の障害発生時のフローチャートの一例(その1)である。
【図9】実施例2の障害発生時のフローチャートの一例(その2)である。
【図10】実施例3のフローチャートの一例である。
【技術分野】
【0001】
本発明は印字装置を有する電子機器において、遠隔操作に関する印字装置および、その制御方法に関するものである。
【背景技術】
【0002】
従来では、遠隔操作命令受信要請を受信したとき、物理的にセキュリティが保証されていない経路を含む可能性があるかどうか判断せず、必ず送信元認証および送信元が遠隔操作命令を改ざん検出可能な方法で暗号化するか、セキュリティが保証されていない経路を含む可能性があれば受信した遠隔操作命令の実行を拒否していた。
【0003】
又、別の従来例としては、特許文献1及び特許文献2をあげることが出来る。
【特許文献1】特開2002-208986号公報
【特許文献2】特開2001-345832号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
送信元からセキュリティが保証された経路のみを経由して遠隔操作命令が送信されてきたかどうかを判断していないため、セキュリティが保証された経路のみを経由してきた場合、不必要な暗号化を行っていた。
【課題を解決するための手段】
【0005】
電子機器は送信元までの経路を調査し、その結果セキュリティが保証された経路のみ経由してきたかどうかを判断し、
セキュリティが保証された経路のみ経由してきたならば遠隔操作命令をそのまま実行し、セキュリティが保証されていない経路を一部でも経由してきた可能性がある場合は送信元の認証および、送信元とネゴシエーションをして、改ざん検出可能な暗号化して遠隔命令を送信することを要求する。
【発明の効果】
【0006】
本発明により、遠隔操作を行う送信元までの経路が物理的にセキュリティエリア内に限定可能なら普通に遠隔操作をおこなうのでセキュリティを行なわずオーバーヘッドがない。また経路に非セキュリティな部分がある可能性があれば必要なセキュリティ対策を行うので遠隔操作のデータの改ざんや機器の成り済ましを防止し、経路に非セキュリティな部分がある可能性があっても安全に遠隔操作受け付け、実行が可能になる。また毎回遠隔操作を行う送信元までの経路が物理的にセキュリティエリア内かどうかを判定するので管理端末がモバイルで移動しても対応可能である。
【発明を実施するための最良の形態】
【0007】
次に、本発明の詳細を実施例の記述に従って説明する。
【実施例1】
【0008】
図1に本発明が適応されるシステム構成図の一例を示す。管理者は複数存在し物理的にセキュリティが確立されているエリア(例えばエントランスカードや鍵、指紋認証等の物理セキュリティ方法によって部外者の侵入が不可能なエリア)に当該機器があり、管理者の一部は前記セキュリティが確立されている同一エリア内に(図1では管理者1,2)、そして他の管理者はデータ転送時のデータのセキュリティが確立されていない経路(例えばインターネット回線を介した経路)を経由して転送データが届くエリアにいるものとする(図1では管理者3,4)。
【0009】
図2に本発明が適応される複合機器内部の簡単なブロック図を記す。1は本発明を制御するCPU、2はCPU1のワークエリアを提供するRAM、3は本発明のプログラムを提供するとともに電源断を越えて情報を格納保持可能でかつ格納情報の書き換え可能なNVRAM(ハードディスク、フレキシブルディスク、CDRW、NVRAM等でもよい)(以下NVRAMと記す)、4はユーザーからの入力を受け付けるユーザーコマンド入力装置、5は印字用紙に印字を実行する印字装置、6はLANとの通信I/FをつかさどるI/F装置、7はデータの暗号化、復号を行う暗号処理部、8はメインバスである。
【0010】
尚、本発明は特に断らない限り、本機器ではCPU1がメインバス8を介してRAM2、NVRAM3、ユーザーコマンド入力装置4、印字装置5、I/F装置6、暗号処理部7を制御して実施する。また暗号処理部7は本実施例ではブロックとして記載するが同機能をNVRAM3に格納されたソフトウェアで処理をしてもよい。
【0011】
図3に本発明が適応される管理者機器内部の簡単なブロック図を記す。11は本発明を制御するCPU、12はCPU1のワークエリアを提供するRAM、13は本発明のプログラムを提供するとともに電源断を越えて情報を格納保持可能でかつ格納情報の書き換え可能なNVRAM(ハードディスク、フレキシブルディスク、CDRW、NVRAM等でもよい)(以下NVRAMと記す)、14はユーザーからの入力を受け付けるユーザーコマンド入力装置、16はLANとの通信I/FをつかさどるI/F装置、17はデータの暗号化、復号を行う暗号処理部、18はメインバスである。
【0012】
尚、本発明は特に断らない限り、管理者機器ではCPU11がメインバス18を介してRAM12、NVRAM13、ユーザーコマンド入力装置14、I/F装置16、暗号処理部17を制御して実施する。また暗号処理部17は本実施例ではブロックとして記載するが同機能をNVRAM13に格納されたソフトウェアで処理をしてもよい。
【0013】
実施例1では複合機からシステム異常の通知が管理者に通知され、管理者がリモートメンテナンスコマンドを送信する例を挙げる。
【0014】
以下に本実施例を、図5を用いて詳細に説明する。
【0015】
当該機器に電力が投入され(S101)機器の初期化が実行される(S102)。初期化が終了後、ユーザーコマンド入力装置4を介してユーザーから何か入力されるのを待つ(S103)。ユーザーからユーザーコマンド入力装置4を介して入力があったならば、その入力が障害情報報告宛先入力かどうか調べる(S104)。障害情報報告宛先入力でなければ対応した処理を行う(S105)。そしてS103を行う。
【0016】
障害情報報告宛先入力であればカウンタnを1で初期化する(S106)。
【0017】
ここで図4について説明する。図4で例示されるテーブルはNVRAMに格納され電源サイクルを乗り越えその情報が保持される。そしてその内容は障害名には、当該機器で発生するすべての障害を列挙し報告先管理者には対応する障害の報告先のアドレスが格納される。
【0018】
予めテーブルに登録されている障害の種類の数Nとnを比較する(S107).n<Nでなければ障害情報報告宛先登録が終了したと判断しS103を行う。あれば登録すべき障害情報報告宛先があると判断しnの障害名を表示しユーザーコマンド入力装置4を介してユーザーからの入力を待つ(S108)。ユーザーコマンド入力装置4を介してユーザーからの入力があればその入力をこの障害に対する報告先管理者の宛先アドレスとしてテーブルのnの報告先管理者に登録する(S109)。nをインクリメントする(S110)。S107を行う。
【0019】
次に障害が発生した時の本発明の動作を図6を用いて説明する。機器に電源が投入され(S201)機器の初期化が行われる(S202)。何らかの障害が機器に発生したかどうか調べる(S203)。発生していなければS203を行う。発生していればカウンタnを1に設定する(S204)。そして発生した障害(本例ではシステム異常)は図3のテーブルのn番目の障害名に格納されている障害と同じかどうか調べる(S205)。同じでなければ他の障害と判断し次の障害と同じがどうか調べるためnを1増加し(S206) S205を行う。
【0020】
同じであればルータ−に対してI/F装置6を介して報告先管理者までの経路マップを要求する(S207)。そしてルータから経路マップを受信するのを待つ(S208)。ルータ−から経路マップを受信したならば受信した経路マップの中にセキュリティが確保されていない可能性を持つアドレスのルータ−が存在するかどうか調べる(S209)。(当該機器には予め設置時、機器管理者によりセキュリティが確保されているセグメントのアドレスが格納されている。これと経路マップと比較することによりセキュリティが確保されているかどうかを判断する。)
セキュリティは確保されていると判断すれば、nの報告先管理者に格納されているアドレスに対してI/F装置6を介してシステム異常の障害データを送信する(S210)。S203を行う。
【0021】
セキュリティは確保されていないと判断すれば、暗号処理部7はI/F装置6を介し報告先管理者に対して当該機器との間にVPN(virtual Private Network)の確立を要求する(S211)。このとき報告先管理者から自機器の認証を求められれば予めNVRAMに格納されていた自機器の証明書を送付する。また暗号化に関しては報告先管理者とネゴシエーションを行い、当該機器と報告先管理者の機器に共に機能を有する中で最強と思われる暗号方法を決定する。VPNが確立されたならば(S212)障害報告のデータに改ざん防止方法を施す(S213)。そしてI/F装置6を介して、改ざん防止を施した障害データをnの報告先管理者に格納されているアドレスに対して送信する(S214)。S203を行う。
【0022】
なお本特許では暗号化方法、認証方法の詳細は本特許に直接関係がないので省略する。
【0023】
次に図7を用いて管理者端末からリモートメンテナンスを受信する方法について詳細を以下に記す。
【0024】
当該機器に電力が投入され(S301)機器の初期化が実行される(S302)。初期化が終了後、I/F装置6を介し何か受信をしたかどうかを調べる(S303)。なにか受信をしていれば、その受信が管理コマンド送信要求かどうか調べる(S304)。もし管理コマンド送信要求でなければ受信したデータに適した処理を行う(S305)。S303を行う。
【0025】
管理コマンド送信要求であれば、送信元の端末にその認証を要求する(S306)。そしてI/F装置6を介し受信した認証書は信用性があるかどうか判断する(S307)。もしその認証が信用できないものと判断したならば、無視する(S308)。S303を行う。(予め当該機器には、ルートの認証元と遠隔操作を受け付る端末がNVRAM3に格納されている)
信用できるものであれば、遠隔操作を受け付けると判断し、I/F装置6を介し、ルーターに対して送信元の端末のIPアドレスから判別する経路マップを要求する(S309)。ルーターから経路マップを受信したならば(S310)、受信した経路マップの中にセキュリティが物理的に確保されていない可能性がある経路があるかどうか経由したルータのアドレスをみて判断する(S311)。もし経路マップの中にセキュリティが物理的に確保されていない可能性がないと判断されれば、I/F装置6を介し送信元端末にリモートコマンドの送信を要求する(S312)。そしてI/F装置6を介しリモートコマンドを受信したならば(S319)、受信したリモートコマンド(リモートメンテナンス)に従いその命令を実行する(S320)。S303を行う。
【0026】
もし経路マップの中にセキュリティが物理的に確保されていない可能性があると判断したならば情報の漏洩、改ざんを防止するため送信元端末と当該機器間との間にVPNを確立することをI/F装置6を介し要求する(S313)。VPNが確立すれば(S314)、送信元端末に対して改ざん防止対策を送信するコマンドを施すように要求する(S315)。そしてI/F装置6を介し送信元端末から確立したVPNを通してデータを受信するのを待つ(S316)。データを受信したならば、改ざんされていないことを確認し、そして受信したデータを復号する(S317)。そして復号したリモートコマンド(リモートメンテナンス)に従い、その命令を実行する(S318)。S303を行う。
【実施例2】
【0027】
テーブルへの登録方法は実施例1と同じである。
【0028】
次に障害が発生した時の本発明の動作を図8を用いて説明する。機器に電源が投入され(S401)機器の初期化が行われる(S402)。何らかの障害が機器に発生したかどうか調べる(S403)。発生していなければS403を行う。発生していればカウンタnを1に設定する(S404)。そして発生した障害は図3のテーブルのn番目の障害名に格納されている障害と同じかどうか調べる(S405)。同じでなければ他の障害と判断し、次の障害と同じがどうか調べるためnを1増加し(S406), S405を行う。
【0029】
同じであればnに格納されている報告先管理者の宛先アドレスに対してI/F装置6を介してTRACEコマンドを送出する(S407)。そして報告先管理者からTraceの返事を受信するのを待つ(S408)。そしてTraceコマンドの返事を受信したならば、受信した経路Trace情報の中にセキュリティが確保されていない可能性を持つアドレスの機器を通過したかどうか調べる(S409)。(当該機器には予め設置時、機器管理者によりセキュリティが確保されているセグメントのアドレスが格納されている。これとTrace結果と比較することによりセキュリティが確保されているかどうかを判断する。)
セキュリティは確保されていると判断すれば、nの報告先管理者に格納されているアドレスに対してI/F装置6を介して障害データを送信する(S410)。S403を行う。
【0030】
セキュリティは確保されていないと判断すれば、暗号処理部7はI/F装置6を介し報告先管理者に対して当該機器との間にVPN(virtual Private Network)の確立を要求する(S411)。このとき報告先管理者から自機器の認証を求められれば、予めNVRAMに格納されていた自機器の証明書を送付する。また暗号化に関しては報告先管理者とネゴシエーションを行い、当該機器と報告先管理者の機器に共に機能を有する中で最強と思われる暗号方法を決定する。VPNが確立されたならば(S412)障害報告のデータに改ざん防止方法を施す(S413)。そしてI/F装置6を介して、改ざん防止を施した障害データをnの報告先管理者に格納されているアドレスに対して送信する(S414)。S403を行う。
【0031】
なお本特許では暗号化方法、認証方法の詳細は本特許に直接関係がないので省略する。
【0032】
次に図9を用いて管理者端末からリモートメンテナンスを受信する方法について詳細を以下に記す。
【0033】
当該機器に電力が投入され(S501)機器の初期化が実行される(S502)。初期化が終了後、I/F装置6を介し何か受信をしたかどうかを調べる(S503)。なにか受信をしていれば、その受信が管理コマンド送信要求かどうか調べる(S504)。もし管理コマンド送信要求でなければ受信したデータに適した処理を行う(S505)。S503を行う。
【0034】
管理コマンド送信要求であれば、送信元の端末にその認証を要求する(S506)。そしてI/F装置6を介し受信した認証書は信用性があるかどうか判断する(S507)。(認証の方法は様様な方法がすでに考案されており、本特許に具体的な認証方法は直接関係ないので詳細は省略する。)もしその認証が信用できないものと判断したならば、無視する(S508)。S503を行う。(予め当該機器には、ルートの認証元と遠隔操作を受付る端末がNVRAM3に格納されている)
信用できるものであれば、遠隔操作を受け付けると判断し、I/F装置6を介しルーターに対して送信元の端末に対しコマンドの送信経路のトレース情報を要求する (S509)。送信元端末から送信経路のトレース情報を受信したならば(S510)、受信した送信経路のトレース情報中にセキュリティが物理的に確保されていない可能性がある経路があるかどうか、経由したルータのアドレスをみて判断する(S511)。もし経路マップの中にセキュリティが物理的に確保されていない可能性がないと判断されれば、I/F装置6を介し送信元端末にリモートコマンドの送信を要求する(S512)。そしてI/F装置6を介しリモートコマンドを受信したならば(S513)、受信したリモートコマンド(リモートメンテナンス)に従いその命令を実行する(S514)。S503を行う。
【0035】
もし経路マップの中にセキュリティが物理的に確保されていない可能性があると判断したならば情報の漏洩、改ざんを防止するため、送信元端末と当該機器間との間にVPNを確立することをI/F装置6を介し要求する(S515)。VPNが確立すれば(S516)、送信元端末に対して改ざん防止対策を送信するコマンドを施すように要求する(S517)。そしてI/F装置6を介し送信元端末から確立したVPNを通してデータを受信するのを待つ(S518)。データを受信したならば、改ざんされていないことを確認し、そして受信したデータを復号する(S519)。そして復号したリモートコマンド(リモートメンテナンス)に従い、その命令を実行する(S520)。S503を行う。
【実施例3】
【0036】
本実施例では管理端末による稼動ログの取得について図10を用いて詳細に説明する。
【0037】
当該機器に電力が投入され(S601)機器の初期化が実行される(S602)。初期化が終了後、I/F装置6を介し何か受信をしたかどうかを調べる(S603)。なにか受信をしていれば、その受信が管理コマンド送信要求かどうか調べる(S604)。もし稼動ログ要求コマンド送信要求でなければ受信したデータに適した処理を行う(S605)。S603を行う。
【0038】
管理コマンド送信要求であれば、送信元の端末にその認証を要求する(S606)。そしてI/F装置6を介し受信した認証書は信用性があるかどうか判断する(S607)。もしその認証が信用できないものと判断したならば、無視する(S608)。S603を行う。(予め当該機器には、ルートの認証元と遠隔操作を受付る端末がNVRAM3に格納されている)
信用できるものであれば、遠隔操作を受け付けると判断し、I/F装置6を介しルーターに対して、送信元の端末に対するコマンド送信経路のトレース情報を要求する (S609)。送信元端末から送信経路のトレース情報を受信したならば(S610)、受信した送信経路のトレース情報中にセキュリティが物理的に確保されていない可能性がある経路があるかどうか、経由したルータのアドレスをみて判断する(S611)。もし経路マップの中にセキュリティが物理的に確保されていない可能性がないと判断されれば、稼動ログをI/F装置6を介し送信元端末へ送信する(S612)。S603を行う。
【0039】
もし経路マップの中にセキュリティが物理的に確保されていない可能性があると判断したならば、情報の漏洩、改ざんを防止するため、送信元端末と当該機器間との間にVPNを確立することをI/F装置6を介し要求する(S613)。VPNが確立すれば(S614)、稼動ログに対して改ざん防止対策を暗号部7が実施する (S615)。そしてI/F装置6を介し、送信元端末に確立したVPNを通して稼動ログのデータを送信する(S616)。S603を行う。
【図面の簡単な説明】
【0040】
【図1】本発明が適応されるシステム構成の一例である。
【図2】本発明が適応される複合機器の内部ブロック構成図である。
【図3】本発明が適応される管理端末機器の内部ブロック構成図である。
【図4】本発明で使用するNVRAMに格納される情報管理テーブルである。
【図5】実施例1のユーザー入力のフローチャートの一例である。
【図6】実施例1の障害発生時のフローチャートの一例(その1)である。
【図7】実施例1の障害発生時のフローチャートの一例(その2)である。
【図8】実施例2の障害発生時のフローチャートの一例(その1)である。
【図9】実施例2の障害発生時のフローチャートの一例(その2)である。
【図10】実施例3のフローチャートの一例である。
【特許請求の範囲】
【請求項1】
他機器と通信を実行する通信I/Fを具備するコピー、プリンタ等の印字装置を有し、通信I/Fを介して送信されてくる、さまざまな遠隔操作命令を実行可能な電子機器の制御方法において、
遠隔操作命令受信要請を受信したとき、遠隔操作命令の送信元までの経路を調査するステップと、前記調査した経路の中に、物理的にセキュリティが保証されていない経路を含む可能性があるかどうか判断するステップと、もし前記判断が物理的にセキュリティが保証されていない経路を含むであれば、前記送信元の認証を行うステップと、前記送信元と暗号方法の選択のためのネゴシエーションを行い、解読が最も難しいと思われる改ざん検出可能な暗号方法を選択するステップと、暗号化された遠隔操作命令を受信するステップと、受信した暗号化された遠隔操作命令を復号するステップと、復号した遠隔操作命令を実行することを特徴とする電子機器の制御方法。
【請求項2】
請求項1に記載の電子機器の制御方法において、遠隔操作の内容がリモートメンテナンスまたは稼動ログの取得要求、障害履歴の取得であることを特徴とする電子機器の制御方法。
【請求項3】
請求項1記載の電子機器の制御方法において、遠隔操作を実施する操作者が通常ユーザーでリモートUIを介して実行されることを特徴とする電子機器の制御方法。
【請求項1】
他機器と通信を実行する通信I/Fを具備するコピー、プリンタ等の印字装置を有し、通信I/Fを介して送信されてくる、さまざまな遠隔操作命令を実行可能な電子機器の制御方法において、
遠隔操作命令受信要請を受信したとき、遠隔操作命令の送信元までの経路を調査するステップと、前記調査した経路の中に、物理的にセキュリティが保証されていない経路を含む可能性があるかどうか判断するステップと、もし前記判断が物理的にセキュリティが保証されていない経路を含むであれば、前記送信元の認証を行うステップと、前記送信元と暗号方法の選択のためのネゴシエーションを行い、解読が最も難しいと思われる改ざん検出可能な暗号方法を選択するステップと、暗号化された遠隔操作命令を受信するステップと、受信した暗号化された遠隔操作命令を復号するステップと、復号した遠隔操作命令を実行することを特徴とする電子機器の制御方法。
【請求項2】
請求項1に記載の電子機器の制御方法において、遠隔操作の内容がリモートメンテナンスまたは稼動ログの取得要求、障害履歴の取得であることを特徴とする電子機器の制御方法。
【請求項3】
請求項1記載の電子機器の制御方法において、遠隔操作を実施する操作者が通常ユーザーでリモートUIを介して実行されることを特徴とする電子機器の制御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2006−352336(P2006−352336A)
【公開日】平成18年12月28日(2006.12.28)
【国際特許分類】
【出願番号】特願2005−173786(P2005−173786)
【出願日】平成17年6月14日(2005.6.14)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
【公開日】平成18年12月28日(2006.12.28)
【国際特許分類】
【出願日】平成17年6月14日(2005.6.14)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
[ Back to top ]