JP7644655B2 - 情報処理装置とその制御方法、及びプログラム - Google Patents

情報処理装置とその制御方法、及びプログラム Download PDF

Info

Publication number
JP7644655B2
JP7644655B2 JP2021076556A JP2021076556A JP7644655B2 JP 7644655 B2 JP7644655 B2 JP 7644655B2 JP 2021076556 A JP2021076556 A JP 2021076556A JP 2021076556 A JP2021076556 A JP 2021076556A JP 7644655 B2 JP7644655 B2 JP 7644655B2
Authority
JP
Japan
Prior art keywords
version
communication
encrypted communication
processing device
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021076556A
Other languages
English (en)
Other versions
JP2022170435A (ja
Inventor
幸吉 引地
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2021076556A priority Critical patent/JP7644655B2/ja
Priority to US17/720,526 priority patent/US12316616B2/en
Publication of JP2022170435A publication Critical patent/JP2022170435A/ja
Application granted granted Critical
Publication of JP7644655B2 publication Critical patent/JP7644655B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Facsimiles In General (AREA)

Description

本発明は、情報処理装置とその制御方法、及びプログラムに関する。
印刷機能だけではなく、原稿を読み取ってデジタルデータに変換したり、その読み取りデータやホストから受信した印刷データ等を保管する機能等を有する画像形成装置として、例えば複合機(MFP:Multi Function Peripheralが知られている。このようなMFPはまた、秘匿性の高いデータを送受信する際に暗号化通信を行っている。例えば、MFPのWebブラウザを用いてブラウジングを行う場合に暗号化通信を用いる。このような暗号化通信では、例えば、TLS(Transport Layer Security),
SSL(secure Sockets Layer)又はIPSec(Security Architecture for the Internet Protocol)、IEEE802.1X等の暗号化通信プロトコルが用いられる。暗号化通信を行う場合、ユーザは、使用する暗号化通信プロトコルの複数のプロトコルバージョンの中から所望のプロトコルバージョンを選択してMFPに設定できる。また、MFPには、暗号化通信で実行される認証処理や、データの暗号化や復号化処理等を行うための複数の暗号化アルゴリズムが実装されていて、ユーザはそれらを利用して通信を行うことができる。
特許文献1には、使用プロトコルとして設定された暗号化通信プロトコルによって暗号化通信を行う情報処理装置が記載されている。その情報処理装置は、使用プロトコルを一の暗号化通信プロトコルから他の暗号化通信プロトコルに変更するように指示されると、その暗号化アルゴリズムを用いて暗号化通信を実行可能かどうか判定する。そして暗号化通信が実行可能であればその指示に従って変更することにより、所望の暗号化アルゴリズムとプロトコルバージョンとを適切に設定できる技術が記載されている。
特開2018-110288号公報
しかしながら、上述した特許文献1の技術では、プロトコルバージョンの設定は1種類しか行うことができない。そのため、プロトコルバージョンを設定すると、異なるプロトコルバージョンのWebサーバとの通信ができなくなる場合がある。
本発明の目的は、上記従来技術の課題の少なくとも一つを解決することにある。
本発明の目的は、通信データの秘匿性を損なうことなく、異なる暗号化通信プロトコルのバージョンを利用する複数の通信先との暗号化通信を可能にする技術を提供することにある。
上記目的を達成するために本発明の一態様に係る情報処理装置は以下のような構成を備える。即ち、
複数の暗号化通信プロトコルのうち使用プロトコルとして設定された暗号化通信プロトコルによって暗号化通信を行う情報処理装置であって、
特定の通信先に対応つけて暗号化通信で用いられる暗号化通信プロトコルのバージョンを設定する第1設定手段と、
通信相手先が前記特定の通信先である場合、前記通信相手先で設定されている暗号化通信プロトコルのバージョンが、前記第1設定手段により設定した暗号化通信プロトコルのバージョンに含まれる場合に、前記通信相手先で設定されている暗号化通信プロトコルのバージョンを使用して前記通信相手先との間で暗号化通信を実行する実行手段と、を有することを特徴とする。
本発明によれば、複数の通信相手先と暗号化通信を行う際に、通信相手先ごとに最適な暗号化通信プロトコルのバージョンで暗号化通信を行うことができるという効果がある。
本発明のその他の特徴及び利点は、添付図面を参照とした以下の説明により明らかになるであろう。なお、添付図面においては、同じ若しくは同様の構成には、同じ参照番号を付す。
添付図面は明細書に含まれ、その一部を構成し、本発明の実施形態を示し、その記述と共に本発明の原理を説明するために用いられる。
本発明の実施形態に係るMFPを含む通信システムの構成を概略的に示す図。 実施形態に係るMFPのハードウェアの構成を説明するブロック図。 実施形態に係るMFPのソフトウェアモジュールの構成を説明するブロック図。 実施形態に係るMFPの操作パネルに表示されるホーム画面の一例を示す図。 図4の画面でウェブブラウザボタンが押下されることにより表示されるウェブブラウザ画面の一例を示す図。 実施形態に係るMFPの操作パネルに表示される外部コントローラの操作画面の一例を示す図。 実施形態に係るMFPにおいて、TLS通信設定情報の変更指示を行う際に操作パネルに表示されるTLS設定画面の一例を示す図。 実施形態に係るMFPの操作パネルに表示されるバージョン設定画面の一例を示す図。 実施形態に係るMFPの操作パネルに表示される特定サーバ用バージョン設定画面の一例を示す図。 実施形態に係るMFPが外部コントローラとの間で行う暗号化通信処理の手順を示すシーケンス図。 実施形態に係るMFPが外部コントローラとの間で行う暗号化通信処理の手順を示すシーケンス図。 実施形態に係るMPによる暗号化通信処理の通信開始時の手順を説明するフローチャート。 実施形態に係るMFPによるTLSバージョンの確定処理の手順を説明するフローチャート。 実施形態に係るMFPの機能を概略的に説明する機能ブロック図。 実施形態に係るMFPの他の機能構成を説明するブロック図。
以下、添付図面を参照して本発明の実施形態を詳しく説明する。尚、以下の実施形態は特許請求の範囲に係る発明を限定するものでない。実施形態には複数の特徴が記載されているが、これら複数の特徴の全てが発明に必須のものとは限らず、また、複数の特徴は任意に組み合わせられてもよい。更に、添付図面においては、同一もしくは同様の構成に同一の参照番号を付し、重複した説明は省略する。尚、実施形態では、本発明の情報処理装置を複合機(MFP:Multi-funtion peripheral)に適用した例で説明するが、本発明はMFPに限られず、PC(Personal Computer)等の暗号化通信可能な情報処理装置に適用してもよい。
図1は、本発明の実施形態に係るMFP101を含む通信システム100の構成を概略的に示す図である。
この通信システム100は、MFP101、クラウドサーバ102、クライアントPC103、及び外部コントローラ105を備える。クライアントPC103及び外部コントローラ105は、ネットワーク104によって通信可能に接続されている。インターネット106上に存在するクラウドサーバ102は、ファイアーウォール107を経由してネットワーク104に接続されている。またMFP101は外部コントローラ105を介してネットワーク104に接続されており、ネットワーク上の機器と通信可能である。尚、図1の破線で示した様に、MFP101が2つ目のネットワーク回線を持ち、外部コントローラ105を介さず直接ネットワーク104に接続する形態も存在する。
クラウドサーバ102上で動作するアプリケーションは複数存在する。このアプリケーションが提供するサービスには、印刷ジョブをサーバ102に保管し、認証により任意のMFPから印刷可能とするクラウドプリントサービスがある。またMFPでスキャンしたデータをWord(登録商標)、Excel(登録商標)等のファイル形式に変換するファイル変換サービスがある。更に、MFPが印刷した内容をログとして保管して出力物の追跡を実現する画像ログ管理サービスがある。
また外部コントローラ105は複数のサービスを提供する。これらサービスには、クライアントPC103から受信した印刷ジョブをMFP101によって印刷物として出力するプリントサービス、印刷ジョブの合成や面付処理サービスがある。また複数の種類の用紙に対して所望の色味に調整するキャリブレーション機能も備えている。
MFP101は、印刷機能、スキャン機能、及び通信機能を備える。MFP101は、例えば、クラウドサーバ102に画像データ等を送信してクラウドサーバ102に、その画像データを保持させ、またクライアントPC103から受信した印刷データに基づいて印刷を行う。実施形態においてクラウドサーバ102はTLSサーバとして機能し、MFP101はクラウドサーバ102とTLSを用いた暗号化通信を行う。またMFP101は、クライアントPC103に対するTLSサーバとして機能することができる。そしてMFP101は、クライアントPC103とTLS通信を行うことができる。但し、通信プロトコルはTLSに限らない。更に、外部コントローラ105はTLSサーバとして機能し、MFP101に搭載されるウェブブラウザとTLS通信を行うことができる。
MFP101は秘匿性の高いデータを送受信する際に暗号化通信を行う。暗号化通信では、データの暗号化及び復号化処理や、通信先の認証処理が行われる。MFP101は、TLS及びIPsec等の暗号化通信プロトコルによる暗号化通信を行う。実施形態では、一例として、MFP101が暗号化通信プロトコルとしてTLSを用いて、TLSによる暗号化通信(以下、TLS通信)を行う場合について説明する。TLSには、プロトコルバージョンとして、TLS1.0,TLS1.1,TLS1.2、及び、TLS1.3が存在する。実施形態に係るMFP101は、上述のTLS1.0からTLS1.3の何れのプロトコルバージョンも使用可能であるものとする。
以下では、MFP101に実装された通信ソフトウェアによって使用可能な暗号化通信プロトコルのプロトコルバージョンを、実装プロトコルバージョンと呼ぶ。またMFP101は、TLS通信を行うために用いることができる複数の暗号化アルゴリズムを備える。複数の暗号化アルゴリズムは、データの暗号化や復号化を行うための暗号化アルゴリズム(以下、暗号化アルゴリズム)、及びデータの暗号化・復号化処理で用いられる暗号鍵の管理や、証明書を発行して通信先の認証処理を行う暗号化アルゴリズム(以下、認証アルゴリズム)を含む。MFP101は、暗号化アルゴリズムとしてChaCha20-Poly1305,AES-GCM,AES-CBC,及び3DES-CBCを備える。各AES-GCM及びAES-CBCは、暗号化や復号化処理で用いられる暗号鍵の長さ(鍵長)によって更に2種に分類される。以下では、MFP101に実装された暗号化アルゴリズムを実装暗号化アルゴリズムと定義する。またMFP101は、認証アルゴリズムとしてECDSA,RSA,及びDSAを備え、以下では、これらを実装認証アルゴリズムと定義する。
この実装認証アルゴリズムは、実装プロトコルバージョンとは独立して設定が可能である。本実施形態では、主にプロトコルバージョンを使用して説明する。尚、認証アルゴリズムは実施形態に必須の要素では無いため、以後の説明を省略する。
図2は、実施形態に係るMFP101のハードウェアの構成を説明するブロック図である。
MFP101は、制御ユニット200、プリンタ210、スキャナ211及び操作パネル212を備える。制御ユニット200は、プリンタ210、スキャナ211及び操作パネル212のそれぞれと接続されている。制御ユニット200は、CPU201、ROM202、RAM203、HDD204、ネットワークI/F(インタフェース)205、プリンタ制御ユニット206、スキャナ制御ユニット207、及びパネル制御ユニット208を備える。CPU201、ROM202、RAM203、HDD204、ネットワークI/F205、プリンタ制御ユニット206、スキャナ制御ユニット207及びパネル制御ユニット208はシステムバス209を介して接続されている。制御ユニット200は、これらプリンタ210、スキャナ211及び操作パネル212を制御する。
CPU201は、ROM202やHDD204に格納されたプログラムをRAM203に展開し、その展開したプログラム実行して後述する図3のソフトウェアモジュールの機能を実現して各種処理を実行する。ROM202は、MFP101のブートプログラム及び各設定データを格納する。RAM203は、CPU201のプログラム展開領域及び作業領域として用いられ、また各種データの一時格納領域として用いられる。HDD204はプログラム及び印刷データ等の各データを格納する。例えば、RAM203及びHDD204は、後述する使用可能なバージョン情報(使用プロトコル)、使用可能なアルゴリズム情報、及び鍵ペア情報等を格納する。ネットワークI/F205はネットワーク104に接続された図示しない外部装置とデータ通信を行う。プリンタ制御ユニット206は、プリンタ210による印刷処理の実行を制御し、スキャナ制御ユニット207はスキャナ211によるスキャン処理の実行を制御する。パネル制御ユニット208は、操作パネル212への表示制御及び操作パネル212で入力された入力情報の受け付けを行う。プリンタ210は、クライアントPC103等から取得した印刷データ、或いはスキャナ211が原稿を読み取って得られた画像データに基づいて記録紙(シート)に印刷を行う。スキャナ211は、図示しない原稿台に配置された原稿を読み取り、読み取った結果に基づいて画像データを生成する。操作パネル212は、MFP101における各設定を行う設定画面等を表示する。
図3は、実施形態に係るMFP101のソフトウェアモジュールの構成を説明するブロック図である。
ソフトウェアモジュールは、アプリケーション302、暗号化通信モジュール303、暗号化処理モジュール304及びネットワーク制御モジュール305を含む。更にソフトウェアモジュールは、ネットワークドライバ306、UI制御モジュール307、及び通信設定制御モジュール308を備える。通信設定制御モジュール308は、プロトコルバージョン設定モジュール309、暗号化アルゴリズム設定モジュール310及び証明書管理モジュール311を備える。
アプリケーション302は、MFP101における印刷機能、スキャン機能、通信機能等を実現するためのモジュールである。例えば、アプリケーション302は、秘匿性の高いデータの通信処理を行う際、暗号化通信モジュール303にTLS通信の実行を指示する。
暗号化通信モジュール303は、暗号化通信の実行の指示に基づいて暗号化通信の実行を制御する。例えば、暗号化通信モジュール303は、暗号化処理モジュール304、通信設定制御モジュール308の証明書管理モジュール311からTLS通信の実行に必要な各情報を取得する。また暗号化通信モジュール303は、ネットワーク制御モジュール305にデータ通信の実行を指示する。暗号化処理モジュール304は、暗号化通信に用いられる各データの生成や検証を行う。例えば、暗号化処理モジュール304は、TLS通信における認証用の署名やデータの改竄を検知するためのハッシュ値の生成及び検証を行う。また暗号化処理モジュール304は、データの暗号化や復号化を行うための暗号鍵の生成、及びデータの暗号化及び復号化処理を行う。
ネットワーク制御モジュール305は、TCP/IP等の通信プロトコルを制御し、ネットワークドライバ306にデータ通信の実行を指示する。ネットワークドライバ306は、ネットワークI/F205を制御し、ネットワーク104に接続された図示しない外部装置とのデータ通信を制御する。
アプリケーション302は更に、UI制御モジュール307を介してパネル制御ユニット208を制御し、操作パネル212への表示制御、及び操作パネル212の操作によって入力された入力情報の受付け制御を行う。例えば、UI制御モジュール307は、ユーザの操作パネル212の操作によるTLS通信に関する設定情報(以下、TLS通信設定情報)の変更指示を受け付ける。このTLS通信設定情報は、使用許可バージョン情報、使用許可アルゴリズム情報、及び鍵ペア情報を含む。使用許可バージョン情報は、MFP101の実装プロトコルバージョンのうち使用が許可されたプロトコルバージョンを示す情報であり、MFP101の初期状態ではいずれかの実装プロトコルバージョンが初期値として予め設定されている。使用許可アルゴリズム情報は、MFP101の実装暗号化アルゴリズムのうち使用が許可された暗号化アルゴリズムを示す情報であり、MFP101の初期状態では全ての実装暗号化アルゴリズムが初期値として予め設定されている。UI制御モジュール307は、TLS通信設定情報の変更指示を受け付けると、変更内容等を含む変更指示情報をアプリケーション302経由で通信設定制御モジュール308に通知する。
通信設定制御モジュール308はTLS通信設定情報を管理しており、このTLS通信設定情報はRAM203或いはHDD204に格納される。通信設定制御モジュール308は、UI制御モジュール307から受信したTLS通信設定情報の変更指示情報に基づいてTLS通信設定情報を変更する。具体的に、通信設定制御モジュール308は、プロトコルバージョン設定モジュール309により、格納された使用許可バージョン情報を、変更指示情報に対応するプロトコルバージョン情報(以下、変更指示バージョン情報)に変更する。また通信設定制御モジュール308は、暗号化アルゴリズム設定モジュール310により、格納された使用許可アルゴリズム情報を、変更指示情報に対応する暗号化アルゴリズム情報(以下、変更指示アルゴリズム情報)に変更する。更に、通信設定制御モジュール308は、証明書管理モジュール311により、鍵ペア情報を変更指示情報に対応する認証アルゴリズムの設定情報(以下、変更指示認証設定情報)に変更する。
図14は、実施形態に係るMFP101の機能を概略的に説明する機能ブロック図である。
MFP101のユーザが、クラウドサーバ102や外部コントローラ105が提供するサービスを利用するには、MFP101に搭載されたWebブラウザ1401を利用する。このWebブラウザ1401により、サービスを利用するための画面操作、サーバで実行されたサービスの結果表示の閲覧が可能になる。Webブラウザ1401は、接続先毎にWebアプリ1402及び1403を生成し、接続するサーバごとにTLS通信プロトコルバージョンを切り替える。この切り替えは、バージョン設定切り換え部1404が行い、例えばクラウドサーバ102のWebサーバ1408に接続するにはTLS1.2を指定する。また外部コントローラ105のWebサーバ1407に接続するにはTLS1.1を指定する。尚、MFPの機能ブロック図は、図14の構成に限らず他の形態も考えられる。
図15は、実施形態に係るMFP101の他の機能構成を説明するブロック図である。
図15では図14とは異なり、クラウドサーバ102は外部コントローラ105経由で接続されるのではなく、MFP101と直接通信を行う。そしてMFP101は、クラウドサーバ102との通信用のWebブラウザ1503、外部コントローラ105との通信用のWebブラウザ1501を個別に持つ。各Webブラウザ1501,1503はそれぞれWebアプリ1502及び1504を生成する。またTLSバージョン設定値は各Webブラウザで保持しており、Webブラウザ1501はWebサーバ1407とTLS1.1で通信をし、Webブラウザ1503はWebサーバ1408とTLS1.2で通信が可能となっている。
次に、MFP101の操作パネル212に表示される操作画面の表示例について説明する。
図4は、実施形態に係るMFP101の操作パネル212に表示されるホーム画面の一例を示す図である。
このホーム画面401は、MFP101の電源立ち上げ時に初期表示される。ホーム画面401には、MFP101が有する複数の機能に対応するボタンが表示される。例えば、ウェブブラウザボタン403は、クラウドサーバ102が提供するWebページを閲覧するためボタンである。外部コントローラボタン402は、外部コントローラ105の操作を行うためのボタンである。
図5は、図4の画面でウェブブラウザボタン403が押下されることにより表示されるウェブブラウザ画面の一例を示す図である。
このウェブブラウザ画面501には、表示したいWebサーバのURL入力欄502があり、コンテンツ表示欄503には、暗号化通信モジュール303を通して受信したコンテンツが表示される。
図6(A)は、図4の画面で外部コントローラボタン402が押下されることにより表示される外部コントローラ105の操作画面の一例を示す図である。
この外部コントローラ操作画面601には、画面最上部に外部コントローラ105のホスト名とIPアドレスが表示されている。そして画面の左側にはメニューエリア602があり、このメニューエリア602からジョブ一覧の表示やカラーキャリブレーションが実行可能である。メニューエリア602の項目が選択されると、内容表示エリア603に外部コントローラ105の設定値が表示され、またデータの入力が可能になる。この外部コントローラ操作画面601は、MFP101の内部では、図14で説明したウェブブラウザと同じ処理によって実現されている。外部コントローラ105は内部にWebサーバを持つ。UI制御モジュール307は、暗号化通信モジュール303を通して外部コントローラ105のWebアプリケーションを利用することで外部コントローラ105を操作することができる。尚、ここでは通信情報の漏洩を防ぐため、外部コントローラ105とMFP101との間のネットワーク通信にはTLS通信が採用されている。TLS通信で何らかのエラーがあった場合には、図6(B)に示したように通信エラーダイアログ604が表示され、ユーザに注意を促す。
次に、TLS通信設定及び暗号化アルゴリズム設定に関する操作画面の表示例について説明する。
図7は、実施形態に係るMFP101において、TLS通信設定情報の変更指示を行う際に操作パネル212に表示されるTLS設定画面701の一例を示す図である。
このTLS設定画面701は、使用可能なバージョン設定ボタン702、特定サーバ用バージョン設定ボタン703、チェックボックス704、暗号化アルゴリズムの設定ボタン705、鍵と証明書ボタン706及び閉じるボタン707を有する。
使用可能なバージョン設定ボタン702は、使用許可バージョン情報の変更指示を行う際に選択される設定ボタンである。特定サーバ用バージョン設定ボタン703は、特定サーバの使用許可バージョン情報の変更指示を行う際に選択されるボタンである。ユーザはチェックボックス704にチェックすることで、特定サーバ用にプロトコルバージョンを切り替えることができる。暗号化アルゴリズムの設定ボタン705は、使用許可アルゴリズム情報の変更指示を行う際に選択されるボタンである。データの暗号化に使用する暗号化アルゴリズムは、TLSプロトコルバージョンとは独立して設定可能である。鍵と証明書ボタン706は、鍵ペア情報の変更指示を行う際に選択されるボタンである。暗号化アルゴリズムボタンの設定ボタン705と鍵と証明書ボタン706の機能は、本実施形態の動作とは直接関係が少ないため、これ以降の説明では省略する。閉じるボタン707は、TLS設定を終了するためのボタンである。
図8(A)は、図7の画面で使用可能なバージョン設定ボタン702が選択された場合にMFP101の操作パネル212に表示されるバージョン設定画面801の一例を示す図である。
このバージョン設定画面801は、使用許可バージョン情報の変更指示を行う画面である。このバージョン設定画面801は、上限バージョン802、下限バージョン803、及びOKボタン804を備える。上限バージョン802及び下限バージョン803には、RAM203或いはHDD204に格納された使用許可バージョン情報に対応する設定値が設定された状態で表示される。上限バージョン802は、使用許可バージョン情報の上限値を示し、下限バージョン803は使用許可バージョン情報の下限値を示す。
実施形態では、TLSのバージョンとして、1.0,1.1,1.2、及び1.3を選択できるものとする。ユーザは、この画面で、使用するTLSバージョンの上限と下限を指定することができる。上限バージョン802及び下限バージョン803の各設定値は、プルダウンメニューを操作して設定可能であり、例えば、上限バージョン802はユーザによる図8(B)のプルダウンメニュー805の操作によって設定される。OKボタン804は、このバージョン設定画面801における設定を決定し、使用許可バージョン情報の変更指示を行うボタンである。図8(A)では、比較的新しいバージョンを利用する例として、上限バージョンがTLS1.3、下限バージョンがTLS1.2が設定されている。
TLS通信の新バージョンへの対応は、通信する全てのサーバ、クライアントで一斉に対応するのが好ましい。しかし、それぞれのメーカの都合等により新バージョンへの対応時期は異なる場合がある。特に、外部コントローラ105の様に、特定の用途で利用される機器では、過去の製品への対応は、一般的なWebサーバと同時期の対応が困難なケースがある。この場合、各サーバに最適なTLSプロトコルバージョンが異なる状況が発生する。そこで実施形態では、図7のTLS設定画面701に、特定サーバ用のバージョン設定及びその設定を使用するかどうかのチェックボックス704が設けられている。
図9(A)は、チェックボックス704がチェックされていて特定サーバ用バージョン設定703ボタンが押下されたときに操作パネル212に表示される特定サーバ用バージョン設定画面901の一例を示す図である。
この画面901は、特定サーバの使用許可バージョン情報の変更指示を行う画面である。この画面901は、図8(A)の画面801とは異なり、特定サーバのホスト名902欄と利用バージョン欄903が追加されている。実施形態では、MFP101が外部コントローラ105とTLS通信を行う際に、外部コントローラ105を特定サーバとして指定する。よって、そのためにMFP101で固定値としているIPアドレス「10.255.255.1」を、特定サーバのホスト名欄902に入力している。
また利用バージョン欄903を使用して、特定のサーバとの通信で使用するTLSプロトコルバージョンを指定できる。本実施形態では、特定サーバのTLSバージョンは既知であるため1つしか欄を設けていない。必要であれば図8(A)の様に上限下限のバージョンを設ける様にしても良い。MFP101が外部コントローラ105とTLS通信を行う際には、この特定サーバ用バージョン設定画面901で設定されたTLSプロトコルバージョンの値が用いられる。本実施形態では、外部コントローラ105はまだTLS1.2以降のバージョンには対応していない。従って、利用バージョン903には「TLS1.1」が設定されている。
ここで利用バージョンを変更したい場合には、例えば図9(B)のように、バージョンを一覧表示するプルダウンメニュー905の中から所望のバージョンを選択するようにしても良い。入力値を確認したらOKボタン904を押すことで設定値が更新される。
尚、図15で説明したように、複数のネットワークインターフェースをMFP101が有する場合、特定サーバに設定できる機器は、複数のネットワークインターフェースのうちの一つに接続した機器のみに制限してもよい。また外部コントローラ105に機器を示す識別情報(例えばベンダーID)を持たせ、特定サーバに設定できる機器は、該当する識別情報をもつ機器のみに制限してもよい。このように特定サーバに設定できる機器を制限することで、セキュリティホールが作られることを防ぐ方法もある。
図10は、実施形態に係るMFP101が外部コントローラ105との間で行う暗号化通信処理の手順を示すシーケンス図である。尚、図10において、MFP101の処理はは、MFP101が備えるCPU201がHDD204又はROM202等の記憶部に格納されたプログラムをRAM203に展開して実行することによって実現されるソフトウェアモジュール(図3)の各機能モジュールによって行われる。
まずS1001でCPU201はUI制御モジュール307として機能し、ユーザによる図4の外部コントローラボタン402の押下指示を受け付ける。続いてS1002でCPU201は通信設定制御モジュール308として機能し、図9(A)で説明した、MFP101に設定されているTLSバージョンの上下限値と暗号化情報を取得する。続いてS1003でアプリケーション302は、その取得した値を、暗号化通信モジュール303を通してネットワーク制御モジュール305経由で外部コントローラ105に通知する。これにより外部コントローラ105はS1004で、外部コントローラ105に設定されたTLSバージョン及び暗号化情を取得する。そしてS1005でアプリケーション302は、外部コントローラ105が使用したいTLSバージョン番号及び暗号化方式を、外部コントローラ105から受信する。
そしてS1006でCPU201は通信設定制御モジュール308として機能し、外部コントローラ105から受信したTLSバージョン番号を使った通信が可能か否か判定する。この通信可能かどうかの判定方法は、図13を参照して後述する。図10の例では、受信したTLSバージョン1.1は、MFP101の上下限バージョンの範囲内である。よって、以後の通信をTLS1.1の形式で受信した暗号化方式を用いて通信可能と判定する。そしてS1007でアプリケーション302は、外部コントローラ105にTLS1.1のバージョンで送信するように、外部コントローラ105の設定画面のコンテンツを要求する。そしてS1008で、暗号化通信モジュール303は、暗号化されたコンテンツを外部コントローラ105から受信する。そして最後にS1009でアプリケーション302は、UI制御モジュール307を使って、受信したコンテンツを、ウェブブラウザを用いて操作パネル212に表示する。図6(A)は、こうしてウェブブラウザにより表示されたコンテンツの一例である。
図11は、実施形態に係るMFP101が外部コントローラ105との間で行う暗号化通信処理の手順を示すシーケンス図である。尚、図11において、MFP101の処理はは、MFP101が備えるCPU201がHDD204又はROM202等の記憶部に格納されたプログラムをRAM203に展開して実行することによって実現されるソフトウェアモジュールの各機能モジュールによって行われる。
ここでの基本的なシーケンスは図10と同じである。ここでは、図7の特定サーバ用のバージョン設定チェックボックス704がチェックされず、図8(A)に示した使用許可バージョンが全てのサーバに対して共通で適用される場合にTLS通信が失敗するケースで説明する。即ち、MFP101の上限バージョンがTLS1.3,下限バージョンがTLS1.2に設定され、外部コントローラ105との暗号化通信にも同じ設定が適用される場合を考える。図11のS1101~S1105は、図10のS1001~S1005と同様の内容であるため、それらの説明を省略する。
S1106でCPU201は通信設定制御モジュール308として機能し、外部コントローラ105から受信したTLSバージョン番号を使った通信が可能かどうか判定する。図11の例では、受信したTLSバージョン1.1は、MFP101の上限バージョン1.3、下限バージョン1.2の範囲内に含まれない。このためS1106で、プロトコルバージョンの合意はできないないと判定される。そしてS1107でアプリケーション302は、暗号化通信モジュール303を使って、外部コントローラ105に対してTLS通信を中断することを通知する。そしてS1108でCPU201はUI制御モジュール307として機能し、操作パネル212に,例えば図6(B)で示した通信エラーダイアログ604を表示して、外部コントローラ105と暗号化通信ができなかったユーザに提示する。
図12は、実施形態に係るMP101による暗号化通信処理の通信開始時の手順を説明するフローチャートである。尚、このフローチャートで示す処理は、MFP101が備えるCPU201がHDD204又はROM202等の記憶部に格納されたプログラムをRAM203に展開して実行することによって実現される。
まずS1201でCPU201は通信設定制御モジュール308として機能し、これから通信を行うサーバのホスト情報を取得する。そしてCPU201はUI制御モジュール307として機能し、ユーザがホーム画面401のどのボタンを押下したかによって、どのサーバと通信すべきかを判定する。そしてS1202でCPU201は通信設定制御モジュール308として機能し、TLS設定画面701のチェックボックス704がチェックされているか判定する。チェックボックス704がチェックされていなければ、TLSバージョンは全てのサーバに対して同じ設定を利用するということであるためS1205の処理へ移動する。一方、チェックボックス704がチェックされている場合はS1203に進み、CPU201は通信設定制御モジュール308として機能して、通信するサーバが特定サーバかどうかを判定する。そして通信先が特定サーバだった場合はS1204に進みCPU201は、図9(A)に示す特定サーバ用のTLSバージョンの利用バージョンを取得してS1206に進む。一方、S1202で、通信先が特定サーバでないと判定したときはS1205に進み、CPU201は、図8(A)に示すTLSバージョンの上下限値を取得してS1206に進む。そしてS1206でCPU201は、S1204或いはS1205で取得したバージョン情報に基づいて、外部コントローラ105と暗号化通信のハンドシェイクを実行して、この処理を終了する。尚、暗号化通信ハンドシェイクの詳細は、既に、図10及び図11のシーケンス図で説明した内容と同じである。
この処理により、特定サーバ用のバージョンが設定されていて、通信先が特定サーバであれば、その特定サーバ用に設定されているバージョンを使用して、その特定サーバと通信することができる。
図13は、実施形態に係るMFP101によるTLSバージョンの確定処理の手順を説明するフローチャートである。尚、このフローチャートで示す処理は、MFP101が備えるCPU201がHDD204又はROM202等の記憶部に格納されたプログラムをRAM203に展開して実行することによって実現される。
まずS1301でCPU201は通信設定制御モジュール308として機能し、MFP101に設定されているTLS上下限バージョン設定情報を取得する。続いてS1302に進みCPU201は通信設定制御モジュール308として機能し、通信相手先のサーバから受信した、そのサーバが利用を希望するTLSバージョン番号を取得する。そしてS1303に進みCPU201は通信設定制御モジュール308として機能し、そのサーバが希望するTLSバージョン番号が、MFP101の上下限バージョンの値の範囲内かどうかを判定する。ここで範囲内の値であると判定するとS1304に進みCPU201は通信設定制御モジュール308として機能し、そのサーバから受信したTLSバージョンを暗号化通信に採用すると決定して、この処理を終了する。一方、S1303で、そのサーバが希望するTLSバージョン番号が、MFP101の上下限の範囲外と判定した場合はS1305に進み、CPU201は、その通信先のサーバとの通信を中断して、この処理を終了する。
<その他の実施形態>
実施形態の説明では、図9(A)において、特定サーバの識別情報としてホスト名(名称)又はIPアドレスを利用したが、図4のホーム画面に表示される各ボタンを、その識別情報に用いてもその効果は変わらない。また特定サーバの識別情報は一つだけでなく、さらに複数の設定を登録できる様にしても良い。
(その他の実施形態)
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
本発明は上記実施形態に制限されるものではなく、本発明の精神及び範囲から逸脱することなく、様々な変更及び変形が可能である。従って、本発明の範囲を公にするために、以下の請求項を添付する。
101…MFP,105…外部コントローラ、201…CPU、202…ROM、203…RAM、212…操作パネル、302…アプリケーション、303…暗号化通信モジュール、304…暗号化通信モジュール、308…通信設定制御モジュール、309…プロトコルバージョン設定モジュール

Claims (12)

  1. 複数の暗号化通信プロトコルのうち使用プロトコルとして設定された暗号化通信プロトコルによって暗号化通信を行う情報処理装置であって、
    特定の通信先に対応つけて暗号化通信で用いられる暗号化通信プロトコルのバージョンを設定する第1設定手段と、
    通信相手先が前記特定の通信先である場合、前記通信相手先で設定されている暗号化通信プロトコルのバージョンが、前記第1設定手段により設定した暗号化通信プロトコルのバージョンに含まれる場合に、前記通信相手先で設定されている暗号化通信プロトコルのバージョンを使用して前記通信相手先との間で暗号化通信を実行する実行手段と、
    を有することを特徴とする情報処理装置。
  2. 前記第1設定手段により設定された暗号化通信プロトコルのバージョンを、前記特定の通信先の識別情報に対応つけて記憶する記憶手段を、更に有することを特徴とする請求項1に記載の情報処理装置。
  3. 前記識別情報は、前記通信先の名称又はIPアドレスであることを特徴とする請求項2に記載の情報処理装置。
  4. 前記第1設定手段は、暗号化通信プロトコルのバージョンの一覧表示から選択されたバージョンを設定することを特徴とする請求項1乃至3のいずれか1項に記載の情報処理装置。
  5. 前記通信相手先で設定されている暗号化通信プロトコルのバージョンが、前記第1設定手段により設定した暗号化通信プロトコルのバージョンに含まれない場合に通信エラーであることを表示する表示手段を、更に有することを特徴とする請求項1乃至4のいずれか1項に記載の情報処理装置。
  6. 前記第1設定手段は、複数の特定の通信先のそれぞれに対して、前記暗号化通信で用いられる暗号化通信プロトコルのバージョンを設定できることを特徴とする請求項1乃至5のいずれか1項に記載の情報処理装置。
  7. 前記暗号化通信で用いられる暗号化通信プロトコルを前記情報処理装置に設定する第2設定手段を、更に有することを特徴とする請求項1乃至6のいずれか1項に記載の情報処理装置。
  8. 前記第2設定手段は、前記暗号化通信プロトコルのバージョンを上限値と下限値とで設定することを特徴とする請求項7に記載の情報処理装置。
  9. 前記通信相手先は、Webサーバであることを特徴とする請求項1乃至8のいずれか1項に記載の情報処理装置。
  10. 前記暗号化通信プロトコルは、TLS(Transport Layer Security)、SSL(secure Sockets Layer)、IPSec(Security Architecture for the Internet Protocol)、及びIEEE802.1Xの少なくともいずれかを含むことを特徴とする請求項1乃至9のいずれか1項に記載の情報処理装置。
  11. 複数の暗号化通信プロトコルのうち使用プロトコルとして設定された暗号化通信プロトコルによって暗号化通信を行う情報処理装置を制御する制御方法であって、
    特定の通信先に対応つけて暗号化通信で用いられる暗号化通信プロトコルのバージョンを設定する第1設定工程と、
    通信相手先が前記特定の通信先である場合、前記通信相手先で設定されている暗号化通信プロトコルのバージョンが、前記第1設定工程で設定した暗号化通信プロトコルのバージョンに含まれる場合に、前記通信相手先で設定されている暗号化通信プロトコルのバージョンを使用して前記通信相手先との間で暗号化通信を実行する実行工程と、
    を有することを特徴とする制御方法。
  12. コンピュータを、請求項1乃至10のいずれか1項に記載の情報処理装置の各手段のすべてとして機能させるためのプログラム。
JP2021076556A 2021-04-28 2021-04-28 情報処理装置とその制御方法、及びプログラム Active JP7644655B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2021076556A JP7644655B2 (ja) 2021-04-28 2021-04-28 情報処理装置とその制御方法、及びプログラム
US17/720,526 US12316616B2 (en) 2021-04-28 2022-04-14 Information processing apparatus, method of controlling the same, and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021076556A JP7644655B2 (ja) 2021-04-28 2021-04-28 情報処理装置とその制御方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP2022170435A JP2022170435A (ja) 2022-11-10
JP7644655B2 true JP7644655B2 (ja) 2025-03-12

Family

ID=83808799

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021076556A Active JP7644655B2 (ja) 2021-04-28 2021-04-28 情報処理装置とその制御方法、及びプログラム

Country Status (2)

Country Link
US (1) US12316616B2 (ja)
JP (1) JP7644655B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4160450A1 (en) * 2021-09-30 2023-04-05 Palantir Technologies Inc. User-friendly, secure and auditable cryptography system
CN118381668B (zh) * 2024-06-21 2024-09-20 正则量子(北京)技术有限公司 一种支持量子安全的tls协议动态迁移方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030005331A1 (en) 1998-08-06 2003-01-02 Cryptek Secure Communications, Llc Multi-level security network system
JP2005065247A (ja) 2003-07-25 2005-03-10 Ricoh Co Ltd 通信装置、通信装置の制御方法、通信システム、プログラム及び記録媒体
JP2012068835A (ja) 2010-09-22 2012-04-05 Canon Inc 画像形成装置、画像形成装置の制御方法、及びプログラム
JP2017046274A (ja) 2015-08-28 2017-03-02 大日本印刷株式会社 情報処理システムおよび暗号通信方法
JP2018110288A (ja) 2016-12-28 2018-07-12 キヤノン株式会社 情報処理装置及びその制御方法、並びにプログラム

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8332639B2 (en) * 2006-12-11 2012-12-11 Verizon Patent And Licensing Inc. Data encryption over a plurality of MPLS networks

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030005331A1 (en) 1998-08-06 2003-01-02 Cryptek Secure Communications, Llc Multi-level security network system
JP2005065247A (ja) 2003-07-25 2005-03-10 Ricoh Co Ltd 通信装置、通信装置の制御方法、通信システム、プログラム及び記録媒体
JP2012068835A (ja) 2010-09-22 2012-04-05 Canon Inc 画像形成装置、画像形成装置の制御方法、及びプログラム
JP2017046274A (ja) 2015-08-28 2017-03-02 大日本印刷株式会社 情報処理システムおよび暗号通信方法
JP2018110288A (ja) 2016-12-28 2018-07-12 キヤノン株式会社 情報処理装置及びその制御方法、並びにプログラム

Also Published As

Publication number Publication date
JP2022170435A (ja) 2022-11-10
US20220353250A1 (en) 2022-11-03
US12316616B2 (en) 2025-05-27

Similar Documents

Publication Publication Date Title
US10983740B2 (en) Image forming apparatus, method, storage medium storing program, and system
JP6637690B2 (ja) 印刷装置及びその制御方法とプログラム
JP6236967B2 (ja) 端末装置とプリンタ
JP2020102168A (ja) 情報処理装置とその制御方法、及びプログラム
US20220038586A1 (en) Image processing apparatus, control method, and medium
JP6191272B2 (ja) 印刷プログラム、情報処理装置および印刷システム
JP7644655B2 (ja) 情報処理装置とその制御方法、及びプログラム
US12056402B2 (en) Print system permitting usage of print device capabilities using a standard print protocol and recording medium
JP2012043154A (ja) 情報処理装置及びその制御方法
US20060132842A1 (en) Image processing apparatus, method and computer program for selectively processing images
WO2021200309A1 (ja) 通信装置、通信装置の制御方法及びプログラム
JP7293452B2 (ja) 印刷装置、印刷装置の制御方法及びプログラム
JP4536623B2 (ja) 外部機器文書入出力装置
US11972161B2 (en) Application, printer driver, and information processing apparatus including a hash algorithm
JP6570669B2 (ja) 画像処理装置、画像処理装置の制御方法及びプログラム
JP4481126B2 (ja) 画像処理装置、画像処理システム、画像処理装置の制御方法、プログラム及び記録媒体
JP2006251996A (ja) クライアント装置、画像処理システム、クライアント装置の制御方法、プログラム及び記録媒体
JP2019021969A (ja) 画像処理装置とその制御方法、及びプログラム
JP7059087B2 (ja) 印刷装置、印刷装置の制御方法及びプログラム
US20240330488A1 (en) Transmission apparatus, processing apparatus, transmission method, and processing method
JP2022164049A (ja) 情報処理装置とその制御方法、及びプログラム
US11954381B2 (en) System includes server, printing apparatus, information processing apparatus to provide a technique for specifying a physical printer associated with a logical printer, and non-transitory storage medium
JP7665842B2 (ja) 画像処理装置及び画像処理装置の制御方法
JP6188664B2 (ja) 画像形成システム
JP2006350689A (ja) 画像形成装置を制御するためのクライアントドライバプログラム及びコンピュータ及び画像処理装置操作用の操作画面の制御方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240402

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20241227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20250131

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20250228

R150 Certificate of patent or registration of utility model

Ref document number: 7644655

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150