專利名稱:通信設(shè)備、通信方法、通信程序和記錄媒體的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于向諸如圖像形成設(shè)備之類的信息處理設(shè)備提供IPSec(因特網(wǎng)協(xié)議安全框架)通信之類的通信設(shè)備。
背景技術(shù):
目前,存在一種稱為IPSec的技術(shù)。該協(xié)議用于確保用在因特網(wǎng)等中的IP(因特網(wǎng)協(xié)議)的安全。該協(xié)議具有加密IP通信和認(rèn)證通信等的功能。
為了進(jìn)行IPSec通信,由于執(zhí)行了用于加密的計(jì)算處理,因而消耗了大量CPU資源。因此在使用IPSec時(shí),除非升級(jí)CPU,否則不能期望高速通信。
因此,為了在使用小型CPU的設(shè)備中實(shí)現(xiàn)IPSec,以往考慮采用硬件加速器。
硬件加速器大致分為兩類。一類是協(xié)處理器類型。協(xié)處理器類型的加速器實(shí)現(xiàn)于執(zhí)行IPSec通信的設(shè)備中。協(xié)處理器獨(dú)立于CPU、作為執(zhí)行IPSec處理的電路被嵌入。在執(zhí)行IPSec通信時(shí),用于加密的處理不在CPU中執(zhí)行,而是由作為IPSec處理專用電路的協(xié)處理器執(zhí)行。由于處理不在通用CPU中執(zhí)行,而是在專用硬件中執(zhí)行,因此可以實(shí)現(xiàn)高速處理。
硬件加速器的另一種類型是插入到執(zhí)行IPSec通信的設(shè)備和通信路由之間的加速器。
這種類型中,需要IPSec通信的設(shè)備照常執(zhí)行IP通信,而且從設(shè)備輸出的分組穿過硬件加速器,以使得該分組被發(fā)送到外部網(wǎng)絡(luò)。另外,該分組在穿過硬件加速器后,從網(wǎng)絡(luò)流入該設(shè)備。
硬件加速器把IPSec分組轉(zhuǎn)換成普通IP分組,而把要傳送到外部網(wǎng)絡(luò)的IP分組轉(zhuǎn)換成IPSec分組。
由于網(wǎng)橋型IPSec加速器本身基本上實(shí)現(xiàn)了IPSec通信,因此高速處理是可能的,并且IPSec加速器不影響設(shè)備。順便說一下,以下文獻(xiàn)與現(xiàn)有技術(shù)有關(guān)。
日本公開專利申請(qǐng)?zhí)?002-317148。
日本公開專利申請(qǐng)?zhí)?003-78813。
日本公開專利申請(qǐng)?zhí)?004-86590。
日本公開專利申請(qǐng)?zhí)?002-251071。
然而,為了使用橋接型加速器,需要手動(dòng)地設(shè)置要連接的設(shè)備,并且設(shè)置對(duì)于要連接的設(shè)備可能是必需的。因此,在此時(shí)會(huì)出現(xiàn)難題,在使用加速器中必需付出時(shí)間和精力。
發(fā)明內(nèi)容
本發(fā)明的一個(gè)目的是提供通信設(shè)備、通信方法、通信程序和記錄媒體,用于提供安全通信,在其中要連接到通信設(shè)備的設(shè)備不了解所述安全通信,并且在進(jìn)行設(shè)置時(shí)不需要時(shí)間和精力。
該目的可以通過連接到信息處理設(shè)備的通信設(shè)備實(shí)現(xiàn),該通信設(shè)備包括信息處理設(shè)備發(fā)現(xiàn)單元,配置為發(fā)現(xiàn)信息處理設(shè)備;安全通信分組轉(zhuǎn)換單元,配置為將由所發(fā)現(xiàn)的信息處理設(shè)備發(fā)送的非安全通信分組轉(zhuǎn)換成安全通信分組;和非安全通信分組轉(zhuǎn)換設(shè)備,配置為將去往所述信息處理設(shè)備的安全通信分組轉(zhuǎn)換成非安全通信分組。
所述通信設(shè)備可包括信息獲取單元,配置為從所發(fā)現(xiàn)的信息處理設(shè)備獲取關(guān)于信息處理設(shè)備的信息處理設(shè)備信息。
所述通信設(shè)備可包括信息處理設(shè)備信息存儲(chǔ)單元,配置為存儲(chǔ)已知信息處理設(shè)備的信息處理設(shè)備信息;和配置為根據(jù)信息獲取單元獲取的信息處理設(shè)備信息和存儲(chǔ)在信息處理設(shè)備信息存儲(chǔ)單元中的信息,來確定是否為所發(fā)現(xiàn)的信息處理設(shè)備進(jìn)行安全通信分組的轉(zhuǎn)換處理的單元。
所述通信設(shè)備還可包括設(shè)置信息存儲(chǔ)單元,配置為存儲(chǔ)用于每個(gè)已知信息處理設(shè)備的安全通信設(shè)置信息;和配置為從所述設(shè)置信息存儲(chǔ)單元獲取相應(yīng)于所發(fā)現(xiàn)的信息處理設(shè)備的安全通信設(shè)置信息,和利用獲得的安全通信設(shè)置信息為所發(fā)現(xiàn)的信息處理設(shè)備進(jìn)行安全通信設(shè)置的單元。
此外,所述通信設(shè)備可包括,配置為根據(jù)外部設(shè)備的請(qǐng)求更新存儲(chǔ)在信息處理設(shè)備信息存儲(chǔ)單元中的信息處理設(shè)備信息和存儲(chǔ)在設(shè)置信息存儲(chǔ)單元中的安全通信設(shè)置信息的單元。
在所述通信設(shè)備中,信息處理設(shè)備發(fā)現(xiàn)單元通過監(jiān)視用于為信息處理設(shè)備設(shè)置IP地址的通信來獲取信息處理設(shè)備的IP地址。用于設(shè)置IP地址的通信可以是DHCP通信。
此外,所述通信設(shè)備可包括IPv6地址設(shè)置單元,配置為在信息處理設(shè)備不支持IPv6時(shí)給通信設(shè)備設(shè)置IPv6地址;偽IPv4分組發(fā)送單元,配置為將去往IPv6地址的分組的目的地轉(zhuǎn)換成信息處理設(shè)備的IPv4地址,并將經(jīng)轉(zhuǎn)換的分組發(fā)送到信息處理設(shè)備;和偽IPv6分組發(fā)送單元,配置為將信息處理設(shè)備發(fā)送的分組的源轉(zhuǎn)換成IPv6地址,并發(fā)送經(jīng)轉(zhuǎn)換的分組。
本發(fā)明也可以被配置為相應(yīng)于所述通信設(shè)備的處理的通信方法。此外,本發(fā)明也可被配置為通信程序,用于使所述通信設(shè)備執(zhí)行所述通信方法的每個(gè)步驟。
根據(jù)本發(fā)明,可以實(shí)現(xiàn)提供安全通信的技術(shù),其中要連接到通信設(shè)備的設(shè)備不了解所述安全通信,進(jìn)行設(shè)置時(shí)的時(shí)間和精力不是必需的。
圖說明根據(jù)以下的詳細(xì)說明,連同圖一起閱讀時(shí),本發(fā)明的其它目的、特征和優(yōu)點(diǎn)將變得更加明顯,其中
圖1顯示了本發(fā)明的實(shí)施方式的一般配置;圖2顯示了具有兩個(gè)連接器的安全通信網(wǎng)橋的外視圖的實(shí)例;圖3顯示了具有一個(gè)連接器的安全通信網(wǎng)橋的外視圖的實(shí)例;圖4顯示了第一實(shí)施方式的一般性略圖;圖5顯示了第一實(shí)施方式中安全通信網(wǎng)橋的配置;圖6顯示了第一實(shí)施方式中安全通信網(wǎng)橋的配置;圖7顯示了存儲(chǔ)在網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元46中的數(shù)據(jù)的實(shí)例;圖8顯示了存儲(chǔ)在已知設(shè)備信息存儲(chǔ)單元47中的數(shù)據(jù)的實(shí)例;圖9顯示了存儲(chǔ)在安全策略存儲(chǔ)單元48中的數(shù)據(jù)的實(shí)例;圖10是說明安全通信網(wǎng)橋利用SNMP獲取網(wǎng)絡(luò)設(shè)備信息的處理的圖;圖11是說明根據(jù)獲得的網(wǎng)絡(luò)設(shè)備信息設(shè)置安全策略的處理的圖;圖12顯示了第二實(shí)施方式的一般性略圖;
圖13顯示了在第二實(shí)施方式中安全通信網(wǎng)橋的配置;圖14顯示了存儲(chǔ)在網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元56中的數(shù)據(jù)的實(shí)例;圖15顯示了存儲(chǔ)在安全策略存儲(chǔ)單元57中的數(shù)據(jù)的實(shí)例;圖16是說明安全通信網(wǎng)橋通過監(jiān)視DHCP通信獲取網(wǎng)絡(luò)設(shè)備的IP地址的處理的圖;圖17是說明根據(jù)獲得的網(wǎng)絡(luò)設(shè)備信息設(shè)置安全策略的處理的圖;圖18顯示了第三實(shí)施方式的一般性略圖;圖19顯示了在第三實(shí)施方式中安全通信網(wǎng)橋的配置;圖20顯示了在第三實(shí)施方式中安全通信網(wǎng)橋的配置;圖21顯示了存儲(chǔ)在網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元67中的數(shù)據(jù)的實(shí)例;圖22顯示了存儲(chǔ)在已知設(shè)備信息存儲(chǔ)單元68中的數(shù)據(jù)的實(shí)例;圖23顯示了存儲(chǔ)在安全策略模板存儲(chǔ)單元69中的數(shù)據(jù)的實(shí)例;圖24顯示了存儲(chǔ)在安全策略存儲(chǔ)單元70中的數(shù)據(jù)的實(shí)例;圖25是說明安全通信網(wǎng)橋利用SSDP獲取網(wǎng)絡(luò)設(shè)備信息的處理的圖;圖26是說明根據(jù)獲得的網(wǎng)絡(luò)設(shè)備信息設(shè)置安全策略的處理的圖;圖27是說明從外部設(shè)備更新已知設(shè)備信息和安全策略模板的圖;圖28顯示了第四實(shí)施方式的安全通信網(wǎng)橋的配置;圖29顯示了第四實(shí)施方式的安全通信網(wǎng)橋的配置;圖30顯示了存儲(chǔ)在網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元38中的信息的實(shí)例;圖31顯示了存儲(chǔ)在已知設(shè)備信息存儲(chǔ)單元37中的信息的實(shí)例;圖32顯示了存儲(chǔ)在IP地址信息存儲(chǔ)單元39中的信息的實(shí)例;圖33顯示了存儲(chǔ)在IPSec設(shè)置存儲(chǔ)單元32中的信息;圖34是顯示網(wǎng)絡(luò)設(shè)備自動(dòng)發(fā)現(xiàn)的處理的流程圖;圖35是顯示當(dāng)分組從外部網(wǎng)絡(luò)到達(dá)時(shí)的處理的流程圖;圖36是顯示當(dāng)分組從內(nèi)部網(wǎng)絡(luò)到達(dá)時(shí)的處理的流程圖;圖37是顯示利用DHCP自動(dòng)發(fā)現(xiàn)處理的流程圖;圖38是顯示當(dāng)分組從外部網(wǎng)絡(luò)到達(dá)時(shí)的處理的流程圖;圖39是顯示當(dāng)分組從內(nèi)部網(wǎng)絡(luò)到達(dá)時(shí)的處理的流程圖;以及圖40是顯示以偽裝方式向網(wǎng)絡(luò)設(shè)備提供IPv6功能的處理的流程圖。
具體實(shí)施例方式
以下參考圖描述本發(fā)明的實(shí)施方式。
(一般性配置)圖1顯示了本發(fā)明的實(shí)施方式的一般性配置。圖1顯示了安全通信網(wǎng)橋10,其是用于執(zhí)行安全通信(例如IPSec和SSL(安全套接層))的加速器;網(wǎng)絡(luò)設(shè)備11(例如打印機(jī)),其是安全通信加速的目標(biāo);計(jì)算機(jī)12;連接它們的內(nèi)部網(wǎng)絡(luò)13和外部網(wǎng)絡(luò)14。
網(wǎng)絡(luò)設(shè)備11不具備安全通信功能(例如IPSec),而僅具備普通IP的通信功能。網(wǎng)絡(luò)設(shè)備11是包括網(wǎng)絡(luò)通信功能的信息處理設(shè)備。例如,網(wǎng)絡(luò)設(shè)備11可以是圖像形成設(shè)備,諸如打印機(jī)和復(fù)印機(jī)、家用電器、計(jì)算機(jī)等。內(nèi)部網(wǎng)絡(luò)13連接網(wǎng)絡(luò)設(shè)備11和安全通信網(wǎng)橋10,并且外部網(wǎng)絡(luò)13連接到安全通信網(wǎng)橋10。內(nèi)部網(wǎng)絡(luò)13和外部網(wǎng)絡(luò)14各自都可以是有線網(wǎng)絡(luò)或無線網(wǎng)絡(luò)。但是,可取的是內(nèi)部網(wǎng)絡(luò)13是有線網(wǎng)絡(luò)。
具有安全通信功能的計(jì)算機(jī)12連接到外部網(wǎng)絡(luò)14。安全通信網(wǎng)橋10具有這樣的功能將從外部網(wǎng)絡(luò)14到達(dá)的安全通信分組轉(zhuǎn)換成非安全通信分組,以將分組傳送到網(wǎng)絡(luò)設(shè)備11,并將從網(wǎng)絡(luò)設(shè)備11輸出的非安全通信分組轉(zhuǎn)換成安全通信分組,以將分組傳送到計(jì)算機(jī)12。
根據(jù)這樣的配置,從計(jì)算機(jī)12的角度來看,網(wǎng)絡(luò)設(shè)備11似乎具有安全通信功能,但是網(wǎng)絡(luò)設(shè)備11本身與計(jì)算機(jī)12通過普通IP進(jìn)行通信。
圖2顯示了安全通信網(wǎng)橋10的外視圖的實(shí)例。安全通信網(wǎng)橋10包括兩個(gè)連接器21和22。連接器是RJ-45接口,可以被連接到以太網(wǎng)。
連接器21和22之一連接到內(nèi)部網(wǎng)絡(luò)13,另一個(gè)連接到外部網(wǎng)絡(luò)14。
連接器21和22連接到在連接器21和22之后的電路板,在該電路板上提供了執(zhí)行安全通信處理(例如IPSec處理)的電路。
由于未進(jìn)行安全通信處理的分組流入內(nèi)部網(wǎng)絡(luò)13,因此無法阻止對(duì)內(nèi)部網(wǎng)絡(luò)的截聽。因此,可以通過特殊的路線而不使用一般的RJ-45作為接口來將安全通信網(wǎng)橋11連接到內(nèi)部網(wǎng)絡(luò),并且所述網(wǎng)橋可以嵌入到網(wǎng)絡(luò)設(shè)備11中。
在這種情況下,如在圖3的安全通信網(wǎng)橋20中所示,所述網(wǎng)橋僅包括一個(gè)與外部網(wǎng)絡(luò)14連接的RJ-45連接器26。
可以作為與網(wǎng)絡(luò)設(shè)備11分離的設(shè)備來利用安全通信網(wǎng)橋20。作為選擇,通過配置安全通信網(wǎng)橋20使安全通信網(wǎng)橋20可以安裝到網(wǎng)絡(luò)設(shè)備11的擴(kuò)展槽中,可以從網(wǎng)絡(luò)設(shè)備11獲得電力。
(第一實(shí)施方式)首先,描述本發(fā)明的第一實(shí)施方式。如在圖4中所示,第一實(shí)施方式采用IPSec通信作為安全通信的實(shí)例。在第一實(shí)施方式中,利用SNMP獲得作為加速目標(biāo)的網(wǎng)絡(luò)設(shè)備11的設(shè)備信息,并利用該設(shè)備信息進(jìn)行IPSec通信的設(shè)置。
圖5顯示了在第一實(shí)施方式中安全通信網(wǎng)橋40的配置。如圖5所示,第一實(shí)施方式的安全通信網(wǎng)橋40包括通過SNMP的設(shè)備信息獲取單元41、安全策略設(shè)置單元42、分組IPSec處理/發(fā)送和接收功能單元43、網(wǎng)絡(luò)接口單元44和45、網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元46、已知設(shè)備信息存儲(chǔ)單元47和安全策略存儲(chǔ)單元48。
通過SNMP的網(wǎng)絡(luò)設(shè)備信息獲取單元41利用SNMP來獲取作為加速目標(biāo)的網(wǎng)絡(luò)設(shè)備的信息。安全策略設(shè)置單元42根據(jù)網(wǎng)絡(luò)設(shè)備信息獲取單元41獲得的設(shè)備信息和存儲(chǔ)在每個(gè)存儲(chǔ)單元中的信息,為作為IPSec加速目標(biāo)的網(wǎng)絡(luò)設(shè)備設(shè)置安全策略。分組IPSec處理/發(fā)送和接收功能單元43根據(jù)接收到的分組的IP地址和安全策略對(duì)分組進(jìn)行IPSec處理。網(wǎng)絡(luò)接口單元44和45是通過網(wǎng)絡(luò)發(fā)送和接收分組的功能單元。
網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元46存儲(chǔ)網(wǎng)絡(luò)設(shè)備信息獲取單元41獲得的網(wǎng)絡(luò)設(shè)備信息。已知設(shè)備信息存儲(chǔ)單元47存儲(chǔ)已知設(shè)備信息,例如網(wǎng)絡(luò)設(shè)備的編目信息。安全策略存儲(chǔ)單元48存儲(chǔ)作為IPSec加速目標(biāo)的網(wǎng)絡(luò)設(shè)備的安全策略。這些存儲(chǔ)單元可以作為非易失性存儲(chǔ)裝置的存儲(chǔ)區(qū)域來實(shí)現(xiàn)。已知設(shè)備信息存儲(chǔ)單元47不需要存在于安全通信網(wǎng)橋40中。其可以存在于外部網(wǎng)絡(luò)上。這種情況下的配置在圖6中示出。
接下來,描述存儲(chǔ)在每個(gè)存儲(chǔ)單元中的數(shù)據(jù)的實(shí)例。圖7顯示了存儲(chǔ)在網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元46中的數(shù)據(jù)的實(shí)例。如圖7所示,網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元46存儲(chǔ)信息(下文中稱為型號(hào)信息),用于確定網(wǎng)絡(luò)設(shè)備的型號(hào)(例如產(chǎn)品名稱等)、網(wǎng)絡(luò)設(shè)備的IPv4地址和IPv6地址。圖8顯示了存儲(chǔ)在已知設(shè)備信息存儲(chǔ)單元47中的數(shù)據(jù)的實(shí)例。如圖8所示,已知設(shè)備信息存儲(chǔ)單元47為每種型號(hào)存儲(chǔ)IPSec加速的必要性。已知設(shè)備信息存儲(chǔ)單元47可存儲(chǔ)存在或不存在IPSec通信功能的信息,作為對(duì)加速的必要性的替代。
圖9顯示了存儲(chǔ)在安全策略存儲(chǔ)單元48中的數(shù)據(jù)的實(shí)例。如圖9所示,安全策略存儲(chǔ)單元48存儲(chǔ)對(duì)作為加速目標(biāo)的每個(gè)設(shè)備的IP地址進(jìn)行IPSec通信的安全策略。根據(jù)相應(yīng)的安全策略對(duì)每個(gè)IP地址的網(wǎng)絡(luò)設(shè)備進(jìn)行IPSec加速。
接下來,參考圖10中所示的流程圖描述安全通信網(wǎng)橋40利用SNMP獲取網(wǎng)絡(luò)設(shè)備信息的處理。該處理通過網(wǎng)絡(luò)設(shè)備信息獲取單元41執(zhí)行。
首先,在步驟S1,安全通信網(wǎng)橋40通過網(wǎng)絡(luò)接口單元44向廣播地址發(fā)送SNMP查詢。在步驟S2,當(dāng)安全通信網(wǎng)橋40接收對(duì)SNMP查詢的SNMP應(yīng)答時(shí),安全通信網(wǎng)橋40從SNMP應(yīng)答獲取網(wǎng)絡(luò)設(shè)備11的IP地址。然后,在步驟S3,安全通信網(wǎng)橋10利用SNMP向網(wǎng)絡(luò)設(shè)備11發(fā)送關(guān)于型號(hào)信息(產(chǎn)品名稱等)的請(qǐng)求。在步驟S4,安全通信網(wǎng)橋10將從網(wǎng)絡(luò)設(shè)備11接收的IP地址和型號(hào)信息存儲(chǔ)在網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元46中。
接下來,參考圖11的流程圖描述根據(jù)獲得的網(wǎng)絡(luò)設(shè)備信息設(shè)置安全策略的處理。該處理通過安全策略設(shè)置單元42執(zhí)行。
在步驟S11,安全策略設(shè)置單元42根據(jù)存儲(chǔ)在網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元46中的型號(hào)信息,在已知設(shè)備信息存儲(chǔ)單元47中,搜索相應(yīng)于型號(hào)信息的信息。當(dāng)發(fā)現(xiàn)相應(yīng)于型號(hào)信息的信息時(shí)(步驟S12為“是”),在步驟S13,安全策略設(shè)置單元42根據(jù)該信息確定相應(yīng)的網(wǎng)絡(luò)設(shè)備是否需要IPSec加速。在該步驟中,如果已知設(shè)備信息存儲(chǔ)單元47存儲(chǔ)了存在或不存在IPSec功能的信息,當(dāng)IPSec功能存在時(shí),安全策略設(shè)置單元42確定IPSec加速不是必需的,而當(dāng)IPSec功能不存在時(shí),安全策略設(shè)置單元42確定IPSec加速是必需的。當(dāng)確定了IPSec加速是必需的時(shí),安全策略設(shè)置單元42在安全策略存儲(chǔ)單元48中設(shè)置安全策略,使安全策略與目標(biāo)網(wǎng)絡(luò)設(shè)備的IP地址相關(guān)。因此,可以對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行IPSec加速。對(duì)于安全策略,可以使用預(yù)先確定的策略。例如,如圖9所示,進(jìn)行設(shè)置使得可以對(duì)每個(gè)目的地IP地址進(jìn)行IPSec加速。
當(dāng)步驟S13為No時(shí),也就是說,當(dāng)確定了IPSec加速不是必需的時(shí),不進(jìn)行安全策略的設(shè)置。當(dāng)步驟S12為“否”時(shí),也就是說,當(dāng)沒有發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)設(shè)備的已知設(shè)備信息時(shí),在步驟S15對(duì)該網(wǎng)絡(luò)設(shè)備應(yīng)用已知的普通安全策略來設(shè)置安全策略。
通過進(jìn)行上述設(shè)置,可以進(jìn)行IPSec加速。也就是說,當(dāng)從內(nèi)部網(wǎng)絡(luò)接收到的分組的源IP地址被包括在安全策略存儲(chǔ)單元48中的IP地址組中時(shí),安全通信網(wǎng)橋40執(zhí)行IPSec處理并輸出分組。此外,當(dāng)從外部網(wǎng)絡(luò)接收到的分組是去往目標(biāo)網(wǎng)絡(luò)設(shè)備的IPSec通信分組時(shí),安全通信網(wǎng)橋40將該IPSec通信分組轉(zhuǎn)換成IP分組,當(dāng)接收到的分組不是IPSec分組時(shí),安全通信網(wǎng)橋40將該分組發(fā)送給實(shí)際的目的地。
在上述實(shí)施例中,網(wǎng)絡(luò)設(shè)備信息獲取單元41使用SNMP。作為選擇,網(wǎng)絡(luò)設(shè)備信息獲取單元41可利用SSDP、WS-Discovery、Bonjour(Rendezvous)等。此外,網(wǎng)絡(luò)設(shè)備11的IP地址可以通過監(jiān)視設(shè)置網(wǎng)絡(luò)設(shè)備11的IP地址的通信來獲得。設(shè)置IP地址的通信是DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議)通信、設(shè)置IPv6無狀態(tài)(stateless)地址的通信等等。在其他實(shí)施方式中說明了一些實(shí)例。
安全通信網(wǎng)橋40可以被配置為硬件。作為選擇,安全通信網(wǎng)橋40可以通過在包括CPU和存儲(chǔ)器的計(jì)算機(jī)上加載程序來實(shí)現(xiàn),用于執(zhí)行網(wǎng)絡(luò)設(shè)備信息獲取單元41、安全策略設(shè)置單元42和IPSec處理/發(fā)送和接收功能單元43的功能。所述程序可以通過將其存儲(chǔ)在記錄媒體例如存儲(chǔ)器來提供,也可以通過從網(wǎng)絡(luò)下載來提供。同樣地,在其他實(shí)施方式中,安全通信網(wǎng)橋可以被配置為硬件,并且可以通過在計(jì)算機(jī)上執(zhí)行程序來實(shí)現(xiàn)。
(第二實(shí)施方式)接下來,描述本發(fā)明的第二實(shí)施方式。如圖12所示,第二實(shí)施方式采用SSL通信作為安全通信的實(shí)例。在這個(gè)實(shí)施方式中,通過監(jiān)視DHCP訪問來獲得作為加速目標(biāo)的網(wǎng)絡(luò)設(shè)備11的IP地址,從而進(jìn)行SSL通信的設(shè)置。
也就是說,當(dāng)網(wǎng)絡(luò)設(shè)備11具有利用DHCP自動(dòng)設(shè)置IP地址的功能時(shí),在網(wǎng)絡(luò)設(shè)備11裝入之后網(wǎng)絡(luò)設(shè)備11與DHCP服務(wù)器15通信從而在網(wǎng)絡(luò)設(shè)備11中自動(dòng)設(shè)置IP地址。安全通信網(wǎng)橋50監(jiān)視DHCP分組。當(dāng)檢測(cè)到來自DHCP服務(wù)器15的應(yīng)答時(shí),安全通信網(wǎng)橋50分析分組中的信息,從而自動(dòng)識(shí)別將分配給網(wǎng)絡(luò)設(shè)備11的IP地址。
圖13顯示了在第二實(shí)施方式中安全通信網(wǎng)橋50的設(shè)置。如圖13所示,第二實(shí)施方式的安全通信網(wǎng)橋50包括通過DHCP通信監(jiān)視的網(wǎng)絡(luò)設(shè)備信息獲取單元51、安全策略設(shè)置單元52、分組SSL處理/發(fā)送和接收功能單元53、網(wǎng)絡(luò)接口單元54和55、網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元56和安全策略存儲(chǔ)單元57。
通過DHCP通信監(jiān)視的網(wǎng)絡(luò)設(shè)備信息獲取單元51通過監(jiān)視網(wǎng)絡(luò)設(shè)備11的DHCP通信獲得作為加速目標(biāo)的網(wǎng)絡(luò)設(shè)備11的信息(IP地址)。安全策略設(shè)置單元52根據(jù)網(wǎng)絡(luò)設(shè)備信息獲取單元51獲得的設(shè)備信息為作為SSL加速目標(biāo)的網(wǎng)絡(luò)設(shè)備11設(shè)置安全策略。分組SSL處理/發(fā)送和接收功能單元53根據(jù)接收到的分組的IP地址和安全策略對(duì)接收到的分組進(jìn)行SSL處理。此外,網(wǎng)絡(luò)接口單元54和55是通過網(wǎng)絡(luò)進(jìn)行分組發(fā)送和接收的功能單元。
網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元56存儲(chǔ)網(wǎng)絡(luò)設(shè)備信息獲取單元51獲得的網(wǎng)絡(luò)設(shè)備信息(IP地址)。安全策略存儲(chǔ)單元57存儲(chǔ)作為安全策略設(shè)置單元52進(jìn)行SSL加速的目標(biāo)的網(wǎng)絡(luò)設(shè)備的安全策略。這些存儲(chǔ)單元可以作為非易失性存儲(chǔ)裝置中的存儲(chǔ)區(qū)域來實(shí)現(xiàn)。
接下來,描述存儲(chǔ)在每個(gè)存儲(chǔ)單元中的數(shù)據(jù)的實(shí)例。圖14顯示了存儲(chǔ)在網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元56中的數(shù)據(jù)的實(shí)例。如圖14所示,網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元56存儲(chǔ)網(wǎng)絡(luò)設(shè)備的IPv4地址和IPv6地址信息。圖15顯示了存儲(chǔ)在安全策略存儲(chǔ)單元57中的數(shù)據(jù)的實(shí)例。如圖15所示,安全策略存儲(chǔ)單元57存儲(chǔ)用于為每個(gè)作為加速目標(biāo)的設(shè)備的IP地址進(jìn)行SSL通信的安全策略。
接下來,參考圖16的流程圖描述安全通信網(wǎng)橋50通過監(jiān)視DHCP通信獲得網(wǎng)絡(luò)設(shè)備的IP地址的處理。該處理由網(wǎng)絡(luò)設(shè)備信息獲取單元51執(zhí)行。
在步驟S21,安全通信網(wǎng)橋50監(jiān)視內(nèi)部網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備11與外部設(shè)備之間的通信分組。當(dāng)安全通信網(wǎng)橋50檢測(cè)到通信分組是用于DHCP通信并且該通信分組包括將在網(wǎng)絡(luò)設(shè)備11中設(shè)置的IP分組(步驟S22為“是”)時(shí),在步驟S23,安全通信網(wǎng)橋50從DHCP通信的分組獲取分配給網(wǎng)絡(luò)設(shè)備11的IP地址,并將該IP地址作為用于加速的IP地址存儲(chǔ)在網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元56中。
接下來,參考圖17的流程圖描述根據(jù)獲得的網(wǎng)絡(luò)設(shè)備信息設(shè)置安全策略的處理。該處理由安全策略設(shè)置單元52執(zhí)行。
當(dāng)安全策略設(shè)置單元52檢測(cè)到在網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元56中設(shè)置了新的IP地址(步驟S31為“是”)時(shí),安全策略設(shè)置單元52在安全策略存儲(chǔ)單元57中設(shè)置用于SSL通信的安全策略,使安全策略與IP地址相關(guān)。因而,對(duì)具有IP地址的網(wǎng)絡(luò)設(shè)備11進(jìn)行SSL加速。對(duì)于安全策略,可以使用預(yù)定的安全策略。例如,如圖15所示,設(shè)置安全策略使得可以對(duì)每個(gè)目的地IP地址進(jìn)行SSL加速。
通過進(jìn)行上述設(shè)置可以進(jìn)行SSL加速。也就是說,當(dāng)從內(nèi)部網(wǎng)絡(luò)接收到的分組的源地址被包括在安全策略存儲(chǔ)單元57中的IP地址組中時(shí),安全通信網(wǎng)橋50在進(jìn)行SSL處理后發(fā)送分組。當(dāng)從外部網(wǎng)絡(luò)接收到的分組是SSL分組時(shí),安全通信網(wǎng)橋?qū)⒃揝SL分組轉(zhuǎn)換成IP分組。
(第三實(shí)施方式)接下來,描述本發(fā)明的第三實(shí)施方式。如圖18所示,第三實(shí)施方式采用IPSce通信作為安全通信的實(shí)例。在第三實(shí)施方式中,利用SSDP(簡(jiǎn)單業(yè)務(wù)發(fā)現(xiàn)協(xié)議)獲取作為加速目標(biāo)的網(wǎng)絡(luò)設(shè)備11的設(shè)備信息,利用該設(shè)備信息進(jìn)行IPSec通信的設(shè)置。此外,可以從管理者的計(jì)算機(jī)更新已知設(shè)備信息等的信息。
圖19顯示了在第三實(shí)施方式中安全通信網(wǎng)橋60的配置。如圖19所示,第三實(shí)施方式的安全通信網(wǎng)橋60包括通過SSDP的設(shè)備信息獲取單元61、安全策略設(shè)置單元62、信息管理單元63、分組IPSec處理/發(fā)送和接收功能單元64、網(wǎng)絡(luò)接口單元65和66、網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元67、已知設(shè)備信息存儲(chǔ)單元68、安全策略模板存儲(chǔ)單元69和安全策略存儲(chǔ)單元70。
通過SSDP的網(wǎng)絡(luò)設(shè)備信息獲取單元61利用SSDP獲取作為加速目標(biāo)的網(wǎng)絡(luò)設(shè)備11的信息。安全策略設(shè)置單元62根據(jù)網(wǎng)絡(luò)設(shè)備信息獲取單元61獲得的設(shè)備信息和存儲(chǔ)在每個(gè)存儲(chǔ)單元中的信息為作為IPSec加速目標(biāo)的網(wǎng)絡(luò)設(shè)備11設(shè)置安全策略。信息管理單元63根據(jù)來自外部的指令更新已知設(shè)備信息存儲(chǔ)單元68和安全策略模板存儲(chǔ)單元69中的信息。
分組IPSec處理/發(fā)送和接收功能單元64根據(jù)接收到的分組的IP地址和安全策略對(duì)接收到的分組進(jìn)行IPSec處理。網(wǎng)絡(luò)接口單元65和66是通過網(wǎng)絡(luò)發(fā)送和接收分組的功能單元。
網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元67存儲(chǔ)由網(wǎng)絡(luò)設(shè)備信息獲取單元61獲得的網(wǎng)絡(luò)設(shè)備信息。已知設(shè)備信息存儲(chǔ)單元68存儲(chǔ)已知設(shè)備信息,例如,已知網(wǎng)絡(luò)設(shè)備的編目信息。安全策略模板存儲(chǔ)單元69存儲(chǔ)用于每個(gè)已知設(shè)備型號(hào)的安全策略。安全策略存儲(chǔ)單元70存儲(chǔ)作為IPSec加速目標(biāo)的網(wǎng)絡(luò)設(shè)備的安全策略。例如,這些存儲(chǔ)單元可以作為非易失性存儲(chǔ)裝置中的存儲(chǔ)區(qū)域來實(shí)現(xiàn)。已知設(shè)備信息存儲(chǔ)單元68和安全策略模板存儲(chǔ)單元69不必存在于安全通信網(wǎng)橋60中。這些可以存在于外部網(wǎng)絡(luò)中。安全策略模板存儲(chǔ)單元69置于外部網(wǎng)絡(luò)中的情況的配置在圖20中示出。
接下來,描述存儲(chǔ)在每個(gè)存儲(chǔ)單元中的數(shù)據(jù)的實(shí)例。如圖21和22所示,與第一實(shí)施方式的數(shù)據(jù)類似的數(shù)據(jù)存儲(chǔ)在網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元67和已知信息存儲(chǔ)單元68中。此外,如圖23所示,安全策略模板存儲(chǔ)單元69存儲(chǔ)用于每個(gè)已知設(shè)備的型號(hào)信息的IPSec安全通信的安全策略。此外,如圖24所示,安全策略存儲(chǔ)單元70存儲(chǔ)用于為每個(gè)作為加速目標(biāo)的設(shè)備的IP地址進(jìn)行IPSec通信的預(yù)定安全策略。安全策略存儲(chǔ)單元70包括用于安全通信網(wǎng)橋60和管理者的計(jì)算機(jī)之間的IPSec通信的安全策略,用于對(duì)已知設(shè)備信息存儲(chǔ)單元68和安全策略模板存儲(chǔ)單元69進(jìn)行信息設(shè)置。
接下來,參考圖25所示的流程圖描述安全通信網(wǎng)橋60利用SSDP獲取網(wǎng)絡(luò)設(shè)備信息的處理。該處理由網(wǎng)絡(luò)設(shè)備信息獲取單元61執(zhí)行。
首先,在步驟S41,安全通信網(wǎng)橋60通過網(wǎng)絡(luò)接口65向廣播地址發(fā)送SSDP查詢。在步驟S42,當(dāng)安全通信網(wǎng)橋60接收到SSDP查詢的SSDP應(yīng)答時(shí),安全通信網(wǎng)橋60從SSDP應(yīng)答獲取網(wǎng)絡(luò)設(shè)備11的IP地址。然后,在步驟S43,安全通信網(wǎng)橋60根據(jù)SSDP應(yīng)答發(fā)送對(duì)于網(wǎng)絡(luò)設(shè)備11的型號(hào)信息的請(qǐng)求。在步驟S44,安全通信網(wǎng)橋60將IP地址和從網(wǎng)絡(luò)設(shè)備11接收的型號(hào)信息存儲(chǔ)在網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元67中。
接下來,參考圖26的流程圖描述根據(jù)獲得的網(wǎng)絡(luò)設(shè)備信息設(shè)置安全策略的處理。該處理由安全策略設(shè)置單元62執(zhí)行。
在步驟S51,安全策略設(shè)置單元62根據(jù)網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元67中的型號(hào)信息在已知設(shè)備信息存儲(chǔ)單元68中搜索相應(yīng)于型號(hào)信息的信息。當(dāng)發(fā)現(xiàn)相應(yīng)于型號(hào)信息的信息時(shí)(步驟S52為“是”),在步驟S53,安全策略設(shè)置單元62根據(jù)該信息確定相應(yīng)的網(wǎng)絡(luò)設(shè)備是否需要IPSec加速。在該步驟中,如果已知設(shè)備信息存儲(chǔ)單元68存儲(chǔ)了存在或不存在IPSec功能的信息,則當(dāng)IPSec功能存在時(shí),安全策略設(shè)置單元62確定IPSec加速不是必需的,而當(dāng)IPSec功能不存在時(shí),安全策略設(shè)置單元62確定IPSec加速是必需的。當(dāng)在步驟S53確定了IPSec加速是必需的時(shí),在步驟S54,安全策略設(shè)置單元62在安全策略模板存儲(chǔ)單元69中搜索相應(yīng)于目標(biāo)網(wǎng)絡(luò)設(shè)備11的型號(hào)信息的安全策略模板。當(dāng)發(fā)現(xiàn)安全策略(步驟S55為“是”)時(shí),安全策略設(shè)置單元62在安全策略存儲(chǔ)單元70中設(shè)置安全策略,使安全策略與目標(biāo)網(wǎng)絡(luò)設(shè)備11的IP地址相關(guān)。因此,可以對(duì)網(wǎng)絡(luò)設(shè)備11進(jìn)行IPSec加速。
當(dāng)步驟S53為“否”時(shí),也就是說,當(dāng)確定IPSec加速不是必需的時(shí),不進(jìn)行安全策略的設(shè)置。當(dāng)步驟S52或S55為“否”時(shí),在步驟S57對(duì)網(wǎng)絡(luò)設(shè)備應(yīng)用已知的普通安全策略并設(shè)置安全策略。通過進(jìn)行上述設(shè)置,可以實(shí)現(xiàn)IPSec加速。
接下來,參考圖27描述從外部設(shè)備(如管理者的計(jì)算機(jī))更新已知設(shè)備信息和安全策略模板的處理。以下處理由信息管理單元63執(zhí)行。
首先,在步驟S61,安全通信網(wǎng)橋60接收外部設(shè)備的訪問。此時(shí),使用存儲(chǔ)在安全策略存儲(chǔ)單元70中的管理者的入口,從而利用IPSec通信建立連接。
接下來,在步驟S62,信息管理單元63確定外部設(shè)備是否請(qǐng)求更新已知設(shè)備信息。當(dāng)請(qǐng)求了更新已知設(shè)備信息(步驟S62為“是”)時(shí),在步驟S63,信息管理單元63通過網(wǎng)絡(luò)接收已知設(shè)備信息從而更新存儲(chǔ)在已知設(shè)備信息存儲(chǔ)單元67中的已知設(shè)備信息。接下來,在步驟S64,信息管理單元63確定外部設(shè)備是否請(qǐng)求更新安全策略模板。當(dāng)請(qǐng)求了更新安全策略模板(步驟S64為“是”)時(shí),在步驟S65,信息管理單元63通過網(wǎng)絡(luò)接收相應(yīng)于特定型號(hào)信息的安全策略模板、從而更新存儲(chǔ)在安全策略模板存儲(chǔ)單元69中的相應(yīng)安全策略模板。由于當(dāng)前實(shí)施方式使用了安全策略模板,所以可以對(duì)每個(gè)型號(hào)靈活地設(shè)置安全策略。
(第四實(shí)施方式)接下來,描述本發(fā)明的第四實(shí)施方式。在第四實(shí)施方式中,采用IPSec通信作為安全通信的實(shí)例。在第四實(shí)施方式中,作為加速目標(biāo)的網(wǎng)絡(luò)設(shè)備11的IP地址利用網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)功能獲得,網(wǎng)絡(luò)設(shè)備11的設(shè)備信息利用SNMP獲得,從而進(jìn)行IPSec通信的設(shè)置。此外,第四實(shí)施方式的安全通信網(wǎng)橋30包括網(wǎng)絡(luò)設(shè)備服務(wù)器功能。
參考圖28描述第四實(shí)施方式的安全通信網(wǎng)橋30的配置。圖28顯示了網(wǎng)絡(luò)接口21和22、IPSec設(shè)置存儲(chǔ)單元32、分組IPSec處理/發(fā)送和接收功能單元33、SNMP功能單元34、網(wǎng)絡(luò)設(shè)備服務(wù)器功能單元35、IPv6設(shè)備自動(dòng)發(fā)現(xiàn)功能單元36、已知設(shè)備信息存儲(chǔ)單元37、網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元38和IP地址信息存儲(chǔ)單元39。
在這些單元中,IPSec設(shè)置存儲(chǔ)單元32、已知設(shè)備信息存儲(chǔ)單元37、網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元38和IP地址信息存儲(chǔ)單元39是數(shù)據(jù)庫(kù)。稍后描述所述數(shù)據(jù)庫(kù)。例如,這些數(shù)據(jù)庫(kù)存儲(chǔ)在非易失性存儲(chǔ)裝置上。非易失性存儲(chǔ)裝置可存儲(chǔ)用于操作安全通信網(wǎng)橋30的程序。
分組IPSec處理/發(fā)送和接收功能單元33發(fā)送和接收分組并執(zhí)行IPSec處理,例如加密分組。SNMP功能單元34是用于利用SNMP(簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)從網(wǎng)絡(luò)設(shè)備11獲取信息的功能單元。網(wǎng)絡(luò)設(shè)備服務(wù)器功能單元35是用于配置安全通信網(wǎng)橋30像網(wǎng)絡(luò)設(shè)備服務(wù)器一樣工作的功能單元。IPv6設(shè)備自動(dòng)發(fā)現(xiàn)支持功能單元36是用于自動(dòng)地發(fā)現(xiàn)支持IPv6或IPv4的網(wǎng)絡(luò)設(shè)備11的功能單元。
在圖28所示的數(shù)據(jù)庫(kù)中,不必直接裝入安全通信網(wǎng)橋30中的數(shù)據(jù)庫(kù)可以存在于外部網(wǎng)絡(luò)上。例如,如圖29所示,已知設(shè)備信息存儲(chǔ)單元37可置于外部網(wǎng)絡(luò)14上。因此,可以節(jié)省安全通信網(wǎng)橋30的硬件資源。
以下描述數(shù)據(jù)庫(kù)。圖30顯示了當(dāng)采用打印機(jī)作為網(wǎng)絡(luò)設(shè)備11的實(shí)例時(shí),存儲(chǔ)在網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元38中的信息的實(shí)例。通過SNMP功能單元等獲得信息。項(xiàng)目包括“標(biāo)識(shí)號(hào)”、“IPv6通信可用性”、“IPSec通信可用性”、“打印機(jī)型號(hào)”、“IPv4地址”和“IPv6地址”。
“標(biāo)識(shí)號(hào)”是用于標(biāo)識(shí)打印機(jī)的號(hào)碼?!癐Pv6通信可用性”指示打印機(jī)是否支持IPv6通信?!癐PSec通信可用性”指示打印機(jī)是否支持IPSec通信?!按蛴C(jī)型號(hào)”指示打印機(jī)的型號(hào)。對(duì)于“IPv6通信可用性”和“IPSec通信可用性”,可以設(shè)置從已知設(shè)備信息存儲(chǔ)單元37獲得的信息。
圖31顯示了存儲(chǔ)在已知設(shè)備信息存儲(chǔ)單元37中的信息的實(shí)例。已知設(shè)備信息存儲(chǔ)單元37被用于根據(jù)型號(hào)標(biāo)識(shí)來了解“IPv6通信可用性”和“IPSec通信可用性”。
圖32顯示了存儲(chǔ)在IP地址信息存儲(chǔ)單元39中的信息的實(shí)例。IP地址信息是安全通信網(wǎng)橋30的IP地址上的信息。也就是說,安全通信網(wǎng)橋30可具有多個(gè)IP地址,從而安全通信網(wǎng)橋30可根據(jù)訪問的IP地址操作。存儲(chǔ)在IP地址信息存儲(chǔ)單元39中的項(xiàng)目包括“IP地址”、“允許/不允許連接”、“允許/不允許控制連接”和“網(wǎng)絡(luò)設(shè)備服務(wù)器的網(wǎng)絡(luò)設(shè)備側(cè)IPv4地址”。
“IP地址”指示安全通信網(wǎng)橋30的IP地址?!霸试S/不允許連接”指示對(duì)于該IP地址的訪問是否允許連接?!霸试S/不允許控制連接”指示是否允許控制連接?!熬W(wǎng)絡(luò)設(shè)備服務(wù)器的網(wǎng)絡(luò)設(shè)備側(cè)IPv4地址”指示安全通信網(wǎng)橋30作為網(wǎng)絡(luò)設(shè)備服務(wù)器的IPv4地址。
圖33顯示了存儲(chǔ)在IPSec設(shè)置存儲(chǔ)單元32中的信息。如圖33所示,IPSec設(shè)置存儲(chǔ)單元32存儲(chǔ)了用于作為IPSec加速的目標(biāo)的每個(gè)網(wǎng)絡(luò)設(shè)備的設(shè)置信息(安全策略)。
接下來,利用流程圖描述每種處理。
圖34是顯示網(wǎng)絡(luò)設(shè)備自動(dòng)發(fā)現(xiàn)處理的流程圖。在步驟S101,通過網(wǎng)絡(luò)設(shè)備自動(dòng)發(fā)現(xiàn)功能執(zhí)行內(nèi)部網(wǎng)絡(luò)設(shè)備的自動(dòng)發(fā)現(xiàn)處理。已知的自動(dòng)發(fā)現(xiàn)處理可被用作自動(dòng)發(fā)現(xiàn)處理。
接下來,在步驟S102,安全通信網(wǎng)橋30確定自動(dòng)發(fā)現(xiàn)功能單元36的通知是發(fā)現(xiàn)通知還是刪除通知。當(dāng)其是刪除通知時(shí),在步驟S103,從網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元38刪除關(guān)于相應(yīng)網(wǎng)絡(luò)設(shè)備的信息。在這個(gè)實(shí)施方式中,使用輸出發(fā)現(xiàn)通知和刪除通知的已知自動(dòng)發(fā)現(xiàn)功能。
當(dāng)刪除發(fā)現(xiàn)通知時(shí),在步驟S104,確定由自動(dòng)發(fā)現(xiàn)獲得的IP地址是否已經(jīng)在網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元38中登記。如果已經(jīng)登記,步驟進(jìn)行到步驟S107。如果還沒有登記,則在步驟S105,將網(wǎng)絡(luò)設(shè)備的新IP地址加入到網(wǎng)絡(luò)設(shè)備信息存儲(chǔ)單元38。此外,利用SNMP檢查在網(wǎng)絡(luò)設(shè)備中設(shè)置的所有IPv4/IPv6地址和網(wǎng)絡(luò)設(shè)備的型號(hào)。
接下來,在步驟S107,參考已知設(shè)備信息確定發(fā)現(xiàn)的網(wǎng)絡(luò)設(shè)備是否是已知的型號(hào)。當(dāng)其不是已知型號(hào)時(shí),確定僅對(duì)該網(wǎng)絡(luò)設(shè)備進(jìn)行IPSec處理,從而將IPSec設(shè)置信息存儲(chǔ)在IPSec設(shè)置存儲(chǔ)單元32中。當(dāng)在步驟S107中網(wǎng)絡(luò)設(shè)備是已知型號(hào)時(shí),參考已知設(shè)備信息。當(dāng)網(wǎng)絡(luò)設(shè)備不支持IPSec通信時(shí),安全通信網(wǎng)橋30確定為網(wǎng)絡(luò)設(shè)備進(jìn)行IPSec通信(步驟S109為“否”),從而在步驟S110設(shè)置用于IPSec設(shè)置存儲(chǔ)單元32的設(shè)置。對(duì)于設(shè)置,可以使用迄今為止描述的方法。在步驟S111,確定網(wǎng)絡(luò)設(shè)備是否支持IPv6。如果網(wǎng)絡(luò)設(shè)備不支持IPv6(步驟S111為“否”),則在步驟S112,安全通信網(wǎng)橋30確定如網(wǎng)絡(luò)設(shè)備服務(wù)器一樣進(jìn)行處理,并將用于該處理的信息存儲(chǔ)在與該網(wǎng)絡(luò)設(shè)備關(guān)聯(lián)的存儲(chǔ)器中。如果網(wǎng)絡(luò)設(shè)備支持IPv6,則僅進(jìn)行IPSec處理。
接下來,參考圖35的流程圖描述當(dāng)分組從外部網(wǎng)絡(luò)到達(dá)時(shí)的處理。在步驟S201,安全通信網(wǎng)橋30通過參考IPSec設(shè)置存儲(chǔ)單元32確定到達(dá)的分組是否是去往作為IPSec加速目標(biāo)的網(wǎng)絡(luò)設(shè)備的分組。如果到達(dá)的分組不是去往目標(biāo)網(wǎng)絡(luò)設(shè)備的分組,則在步驟S202,安全通信網(wǎng)橋30像普通網(wǎng)橋一樣發(fā)送該分組。
如果達(dá)到的分組是去往目標(biāo)網(wǎng)絡(luò)設(shè)備的分組,則在步驟S203,安全通信網(wǎng)橋30確定該分組是否是去往作為IPv6網(wǎng)絡(luò)設(shè)備服務(wù)器的安全通信網(wǎng)橋30的。當(dāng)該分組是去往作為IPv6網(wǎng)絡(luò)設(shè)備服務(wù)器的安全通信網(wǎng)橋30的時(shí),安全通信網(wǎng)橋30確定該分組是否是用于網(wǎng)絡(luò)設(shè)備自動(dòng)發(fā)現(xiàn)處理的分組。當(dāng)該分組是用于網(wǎng)絡(luò)設(shè)備自動(dòng)發(fā)現(xiàn)處理的分組時(shí),在步驟S205進(jìn)行網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)分組的應(yīng)答處理。
當(dāng)該分組不是用于網(wǎng)絡(luò)設(shè)備自動(dòng)發(fā)現(xiàn)處理的分組時(shí),在步驟S204,安全通信網(wǎng)橋30像網(wǎng)絡(luò)設(shè)備服務(wù)器一樣接收該IPv6分組,將該分組發(fā)送到在IP地址信息存儲(chǔ)單元39中描述的IPv4地址。
當(dāng)在步驟S203確定該分組不是去往安全通信網(wǎng)橋30的分組時(shí),在步驟S207確定該分組是否是IPSec分組。當(dāng)該分組是IPSec分組時(shí),在步驟S210,根據(jù)相應(yīng)的SA將該分組轉(zhuǎn)換成普通IP分組。當(dāng)不存在相應(yīng)的SA時(shí),不轉(zhuǎn)換該分組。然后,在步驟S211,將從IPSec分組轉(zhuǎn)換來的分組發(fā)送給內(nèi)部網(wǎng)絡(luò)。
當(dāng)在步驟S207確定該分組不是IPSec分組時(shí),在步驟S208確定該分組是否是IKE協(xié)商分組。當(dāng)該分組不是IKE協(xié)商分組時(shí),步驟進(jìn)行到步驟S202的處理。
當(dāng)該分組是IKE協(xié)商分組時(shí),在步驟S209進(jìn)行IKE協(xié)商處理和建立相應(yīng)于該協(xié)商的SA。
接下來,參考圖36描述當(dāng)分組從內(nèi)部網(wǎng)絡(luò)到達(dá)時(shí)的處理。
在步驟S301,確定達(dá)到的分組是否是來自作為IPSec加速目標(biāo)的網(wǎng)絡(luò)設(shè)備的分組。當(dāng)?shù)竭_(dá)的分組不是來自目標(biāo)網(wǎng)絡(luò)設(shè)備的分組時(shí),在步驟S302,安全通信網(wǎng)橋30像普通網(wǎng)橋一樣發(fā)送該分組。
當(dāng)?shù)竭_(dá)的分組是來自目標(biāo)網(wǎng)絡(luò)設(shè)備的分組時(shí),安全通信網(wǎng)橋30確定該分組是否是去往作為網(wǎng)絡(luò)設(shè)備服務(wù)器的安全通信網(wǎng)橋30的。當(dāng)該分組是去往作為網(wǎng)絡(luò)設(shè)備服務(wù)器的安全通信網(wǎng)橋30的時(shí),在步驟S304,將作為IPv4分組到達(dá)的該分組作為具有在IP地址信息存儲(chǔ)單元39中描述的IPv6地址的分組發(fā)送。
在步驟S305,確定新的IKE協(xié)商處理是否是必需的。當(dāng)新的IKE協(xié)商處理是必需的時(shí),在步驟S306開始IKE協(xié)商處理。
接下來,在步驟S307,根據(jù)相應(yīng)的SA將該分組轉(zhuǎn)換成IPSec分組。當(dāng)沒有相應(yīng)的SA時(shí),不轉(zhuǎn)換分組。然后,在步驟S308,將IPSec分組發(fā)送給外部網(wǎng)絡(luò)。
在上述處理中,例如,可以使用已知的網(wǎng)絡(luò)發(fā)現(xiàn)功能。在以下描述的處理中,像第二實(shí)施方式一樣,DHCP被用作自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備的手段。
參考圖37所示的流程圖描述這個(gè)實(shí)施方式的處理。被監(jiān)視的DHCP分組是從外部網(wǎng)絡(luò)發(fā)送到內(nèi)部網(wǎng)絡(luò)的DHCP分組。
在步驟S401,安全通信網(wǎng)橋30在通過的DHCP分組中獲取IP地址。接下來,在步驟S402,安全通信網(wǎng)橋30檢測(cè)DHCP通信的完成。在步驟S403,安全通信網(wǎng)橋30確定獲得的IP地址是否已經(jīng)登記。如果已經(jīng)登記,則步驟進(jìn)行到步驟S406。如果還沒有登記,則在步驟S404,將網(wǎng)絡(luò)設(shè)備的新IP地址添加到網(wǎng)絡(luò)設(shè)備信息中。此外,利用SNMP檢查設(shè)置在網(wǎng)絡(luò)設(shè)備中的所有IPv4/IPv6地址和網(wǎng)絡(luò)設(shè)備的型號(hào)。
接下來,通過參考已知設(shè)備信息,在步驟S406,確定發(fā)現(xiàn)的網(wǎng)絡(luò)設(shè)備是已知型號(hào)。當(dāng)其不是已知型號(hào)時(shí),在步驟S407,確定對(duì)該網(wǎng)絡(luò)設(shè)備僅執(zhí)行IPSec處理,從而將IPSec設(shè)置信息存儲(chǔ)在IPSec設(shè)置存儲(chǔ)單元32中。當(dāng)網(wǎng)絡(luò)設(shè)備是已知型號(hào)時(shí),參考已知設(shè)備信息。當(dāng)網(wǎng)絡(luò)設(shè)備不支持IPSec通信(步驟S408為“否”)時(shí),在步驟S409,安全通信網(wǎng)橋30確定對(duì)該網(wǎng)絡(luò)設(shè)備進(jìn)行IPSec通信,從而設(shè)置IPSec設(shè)置存儲(chǔ)單元32的設(shè)置。為了設(shè)置,可以使用迄今為止描述了的方法。在步驟S410,確定網(wǎng)絡(luò)設(shè)備是否支持IPv6。如果網(wǎng)絡(luò)設(shè)備不支持IPv6(步驟S410為“否”),則在步驟S411,安全通信網(wǎng)橋30確定如網(wǎng)絡(luò)設(shè)備服務(wù)器一樣進(jìn)行處理,并將用于該處理的信息存儲(chǔ)在與該網(wǎng)絡(luò)設(shè)備關(guān)聯(lián)的存儲(chǔ)器中。
在監(jiān)視DHCP分組的情況中,參考圖38的流程圖描述當(dāng)分組從外部網(wǎng)絡(luò)到達(dá)時(shí)的處理。
在步驟S501,確定分組是否是DHCP協(xié)商分組。當(dāng)該分組是DHCP協(xié)商分組時(shí),在步驟S502進(jìn)行圖37中描述的處理。當(dāng)該分組不是DHCP協(xié)商分組時(shí),在步驟S503進(jìn)行圖35中描述的處理。
類似地,在監(jiān)視DHCP分組的情況中,參考圖39的流程圖描述當(dāng)分組從內(nèi)部網(wǎng)絡(luò)到達(dá)時(shí)的處理。
在步驟S601,確定分組是否是DHCP協(xié)商分組。當(dāng)該分組是DHCP協(xié)商分組時(shí),在步驟S602進(jìn)行圖37中描述的處理。當(dāng)該分組不是DHCP協(xié)商分組時(shí),在步驟S503進(jìn)行圖36中描述的處理。在這種情況下,在步驟S602,對(duì)從外部網(wǎng)絡(luò)發(fā)送給內(nèi)部網(wǎng)絡(luò)的分組進(jìn)行監(jiān)視。然后,進(jìn)行圖37的處理。
接下來,在目標(biāo)網(wǎng)絡(luò)設(shè)備不支持IPv6的情況中,參考圖40描述向網(wǎng)絡(luò)設(shè)備以偽裝方式不僅提供IPSec功能還提供IPv6功能的處理。在步驟S701,發(fā)現(xiàn)支持IPv4的網(wǎng)絡(luò)設(shè)備。此時(shí),安全通信網(wǎng)橋30根據(jù)已知設(shè)備信息知道網(wǎng)絡(luò)設(shè)備僅支持IPv4。
在步驟S702,安全通信網(wǎng)橋30從網(wǎng)絡(luò)設(shè)備的MAC地址和RA計(jì)算IPv6地址。然后,在步驟S703,安全通信網(wǎng)橋30給安全通信網(wǎng)橋30設(shè)置IP地址,并更新IP地址信息存儲(chǔ)單元39中的信息。
在步驟S704,安全通信網(wǎng)橋30為自動(dòng)地發(fā)現(xiàn)IPv6網(wǎng)絡(luò)設(shè)備進(jìn)行已知處理,來將設(shè)置的IP地址顯示為從外部網(wǎng)絡(luò)的角度來看的網(wǎng)絡(luò)設(shè)備的IP地址。
根據(jù)上述實(shí)施方式,網(wǎng)絡(luò)設(shè)備可以自動(dòng)地進(jìn)行安全通信。此外,安全通信網(wǎng)橋30可以獲得網(wǎng)絡(luò)設(shè)備的詳細(xì)信息,從而安全通信網(wǎng)橋30可以自動(dòng)地對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全通信設(shè)置。
此外,通過使用現(xiàn)有的DHCP通信功能,可以發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備并可以獲得IP地址,從而可以自動(dòng)地進(jìn)行安全通信設(shè)置。因此,即使網(wǎng)絡(luò)設(shè)備不具備報(bào)告網(wǎng)絡(luò)設(shè)備自身存在的機(jī)制,仍可以發(fā)現(xiàn)該網(wǎng)絡(luò)設(shè)備。
此外,可以使僅支持IPv4的網(wǎng)絡(luò)設(shè)備支持IPv6。此外,由于安全通信網(wǎng)橋本來就包括安全通信支持功能,在進(jìn)行IPv6支持時(shí)可以以低成本實(shí)現(xiàn)安全通信支持。
本發(fā)明不限于特定公開的實(shí)施方式,可以在不背離本發(fā)明范圍的情況下進(jìn)行變化和修改。
權(quán)利要求
1.一種連接到信息處理設(shè)備的通信設(shè)備,包括信息處理設(shè)備發(fā)現(xiàn)單元,配置為發(fā)現(xiàn)信息處理設(shè)備;安全通信分組轉(zhuǎn)換單元,配置為將由所發(fā)現(xiàn)的信息處理設(shè)備發(fā)送的非安全通信分組轉(zhuǎn)換成安全通信分組;和非安全通信分組轉(zhuǎn)換單元,配置為將去往所述信息處理設(shè)備的安全通信分組轉(zhuǎn)換成非安全通信分組。
2.如權(quán)利要求1的通信設(shè)備,所述通信設(shè)備包括信息獲取單元,配置為從所發(fā)現(xiàn)的信息處理設(shè)備獲取關(guān)于信息處理設(shè)備的信息處理設(shè)備信息。
3.如權(quán)利要求2的通信設(shè)備,所述通信設(shè)備包括信息處理設(shè)備信息存儲(chǔ)單元,配置為存儲(chǔ)已知信息處理設(shè)備的信息處理設(shè)備信息;和配置為根據(jù)信息獲取單元獲取的信息處理設(shè)備信息和存儲(chǔ)在信息處理設(shè)備信息存儲(chǔ)單元中的信息、以確定是否為所發(fā)現(xiàn)的信息處理設(shè)備進(jìn)行安全通信分組的轉(zhuǎn)換處理的單元。
4.如權(quán)利要求1的通信設(shè)備,所述通信設(shè)備包括設(shè)置信息存儲(chǔ)單元,配置為存儲(chǔ)用于每個(gè)已知信息處理設(shè)備的安全通信設(shè)置信息;和配置為從所述設(shè)置信息存儲(chǔ)單元獲取相應(yīng)于所發(fā)現(xiàn)的信息處理設(shè)備的安全通信設(shè)置信息、并利用獲得的安全通信設(shè)置信息為所發(fā)現(xiàn)的信息處理設(shè)備進(jìn)行安全通信設(shè)置的單元。
5.如權(quán)利要求3的通信設(shè)備,所述通信設(shè)備包括配置為根據(jù)外部設(shè)備的請(qǐng)求更新存儲(chǔ)在信息處理設(shè)備信息存儲(chǔ)單元中的信息處理設(shè)備信息、和存儲(chǔ)在設(shè)置信息存儲(chǔ)單元中的安全通信設(shè)置信息的單元。
6.如權(quán)利要求1的通信設(shè)備,其中信息處理設(shè)備發(fā)現(xiàn)單元通過監(jiān)視為信息處理設(shè)備設(shè)置IP地址的通信來獲取信息處理設(shè)備的IP地址。
7.如權(quán)利要求6的通信設(shè)備,其中用于設(shè)置IP地址的通信是DHCP通信。
8.如權(quán)利要求1的通信設(shè)備,所述通信設(shè)備包括IPv6地址設(shè)置單元,配置為在信息處理設(shè)備不支持IPv6時(shí)給通信設(shè)備設(shè)置IPv6地址;偽IPv4分組發(fā)送單元,配置為將去往IPv6地址的分組的目的地轉(zhuǎn)換成信息處理設(shè)備的IPv4地址,并將經(jīng)轉(zhuǎn)換的分組發(fā)送到信息處理設(shè)備;和偽IPv6分組發(fā)送單元,配置為將信息處理設(shè)備發(fā)送的分組的源轉(zhuǎn)換成IPv6地址,并發(fā)送經(jīng)轉(zhuǎn)換的分組。
9.一種在連接到信息處理設(shè)備的通信設(shè)備中的通信方法,包括信息處理設(shè)備發(fā)現(xiàn)步驟,發(fā)現(xiàn)信息處理設(shè)備;安全通信分組轉(zhuǎn)換步驟,將由所發(fā)現(xiàn)的信息處理設(shè)備發(fā)送的非安全通信分組轉(zhuǎn)換成安全通信分組;和非安全通信分組轉(zhuǎn)換步驟,將去往信息處理設(shè)備的安全通信分組轉(zhuǎn)換成非安全通信分組。
10.如權(quán)利要求9的通信方法,所述通信方法包括信息獲取步驟,從所發(fā)現(xiàn)的信息處理設(shè)備獲取關(guān)于信息處理設(shè)備的信息處理設(shè)備信息。
11.如權(quán)利要求10的通信方法,其中所述通信設(shè)備包括信息處理設(shè)備信息存儲(chǔ)單元,配置為存儲(chǔ)已知信息處理設(shè)備的信息處理設(shè)備信息,所述通信方法包括根據(jù)信息獲取步驟獲取的信息處理設(shè)備信息和存儲(chǔ)在信息處理設(shè)備信息存儲(chǔ)單元中的信息、確定是否為所發(fā)現(xiàn)的信息處理設(shè)備進(jìn)行安全通信分組的轉(zhuǎn)換處理的步驟。
12.如權(quán)利要求9的通信方法,其中所述通信設(shè)備包括設(shè)置信息存儲(chǔ)單元,配置為存儲(chǔ)用于每個(gè)已知信息處理設(shè)備的安全通信設(shè)置信息,所述通信方法包括從設(shè)置信息存儲(chǔ)單元獲取相應(yīng)于所發(fā)現(xiàn)的信息處理設(shè)備的安全通信設(shè)置信息、使用獲得的安全通信設(shè)置信息為所發(fā)現(xiàn)的信息處理設(shè)備設(shè)置安全通信的步驟。
13.如權(quán)利要求11的通信方法,所述通信方法包括根據(jù)外部設(shè)備的請(qǐng)求更新存儲(chǔ)在信息處理設(shè)備信息存儲(chǔ)單元中的信息處理設(shè)備信息、和存儲(chǔ)在設(shè)置信息存儲(chǔ)單元中的安全通信設(shè)置信息的步驟。
14.如權(quán)利要求9的通信方法,其中,在信息處理設(shè)備發(fā)現(xiàn)步驟中,通信設(shè)備通過監(jiān)視為信息處理設(shè)備設(shè)置IP地址的通信來獲得信息處理設(shè)備的IP地址。
15.如權(quán)利要求14的通信方法,其中所述設(shè)置IP地址的通信是DHCP通信。
16.如權(quán)利要求9的通信方法,所述通信方法包括IPv6地址設(shè)置步驟,當(dāng)所述信息處理設(shè)備不支持IPv6時(shí)給所述通信設(shè)備設(shè)置IPv6地址;偽IPv4分組發(fā)送步驟,將去往IPv6地址的分組的目的地轉(zhuǎn)換成信息處理設(shè)備的IPv4地址,并將經(jīng)轉(zhuǎn)換的分組發(fā)送到信息處理設(shè)備;和偽IPv6分組發(fā)送步驟,將信息處理設(shè)備發(fā)送的分組的源轉(zhuǎn)換成IPv6地址,并發(fā)送經(jīng)轉(zhuǎn)換的分組。
17.一種使連接到信息處理設(shè)備的通信設(shè)備向信息處理設(shè)備提供安全通信的程序,所述程序包括信息處理設(shè)備發(fā)現(xiàn)程序代碼單元,配置為發(fā)現(xiàn)信息處理設(shè)備;安全通信分組轉(zhuǎn)換程序代碼單元,配置為將由所發(fā)現(xiàn)的信息處理設(shè)備發(fā)送的非安全通信分組轉(zhuǎn)換成安全通信分組;和非安全通信分組轉(zhuǎn)換程序代碼單元,配置為將去往所述信息處理設(shè)備的安全通信分組轉(zhuǎn)換成非安全通信分組。
18.一種存儲(chǔ)使連接到信息處理設(shè)備的通信設(shè)備向信息處理設(shè)備提供安全通信的程序的計(jì)算機(jī)可讀記錄媒體,所述程序包括信息處理設(shè)備發(fā)現(xiàn)程序代碼單元,配置為發(fā)現(xiàn)信息處理設(shè)備;安全通信分組轉(zhuǎn)換程序代碼單元,配置為將由所發(fā)現(xiàn)的信息處理設(shè)備發(fā)送的非安全通信分組轉(zhuǎn)換成安全通信分組;和非安全通信分組轉(zhuǎn)換程序代碼單元,配置為將去往所述信息處理設(shè)備的安全通信分組轉(zhuǎn)換成非安全通信分組。
全文摘要
提供連接到信息處理設(shè)備的通信設(shè)備。所述通信設(shè)備包括信息處理設(shè)備發(fā)現(xiàn)單元,配置為發(fā)現(xiàn)信息處理設(shè)備;安全通信分組轉(zhuǎn)換單元,配置為將由所發(fā)現(xiàn)的信息處理設(shè)備發(fā)送的非安全通信分組轉(zhuǎn)換成安全通信分組;和非安全通信分組轉(zhuǎn)換單元,配置為將去往所述信息處理設(shè)備的安全通信分組轉(zhuǎn)換成非安全通信分組。
文檔編號(hào)H04L12/24GK1812406SQ20051012164
公開日2006年8月2日 申請(qǐng)日期2005年12月21日 優(yōu)先權(quán)日2004年12月21日
發(fā)明者大平浩貴 申請(qǐng)人:株式會(huì)社理光