通信设备和通信方法
【专利摘要】本发明公开了通信设备及通信方法。一种通信设备包括多个通信接口、关联部和发送部。关联部将颁发的证书信息与所述多个通信接口之一相关联。发送部从与所述证书信息相关联的通信接口发送所述证书信息。关联部包括识别信息获取单元和确定单元。识别信息获取单元获取所述多个通信接口中每一个通信接口的网络中的识别信息。确定单元根据由识别信息获取单元获取的识别信息来确定要关联的通信接口。
【专利说明】通信设备和通信方法
【技术领域】
[0001 ] 本发明涉及通信设备和通信方法。
【背景技术】
[0002]在日本未审查专利申请公开第11-25048号中描述的网络系统中,集成认证服务器执行对从客户机发送的集成证书的验证以及针对该客户机的用户认证,并将通信伙伴的证书发送至通信双方。因此,在其中将广域网络系统和例如局域网集成在一起的集成网络系统中进行通信时实现高安全性。
【发明内容】
[0003]因此,本发明的一个目的是即使在通信设备中提供了多个通信接口的情况下也能够识别出与所颁发的证书相关联的通信接口。
[0004]根据本发明的第一方面,提供了一种通信设备,其包括多个通信接口、关联部和发送部。关联部将颁发的证书信息与所述多个通信接口之一相关联。发送部从与所述证书信息相关联的通信接口发送所述证书信息。关联部包括识别信息获取单元和确定单元。识别信息获取单元获取所述多个通信接口中每一个通信接口的网络中的识别信息。确定单元根据由识别信息获取单元获取的识别信息来确定要关联的通信接口。
[0005]根据本发明的第二方面,确定单元可以包括比较部件和确定部件,所述比较部件将由所述识别信息获取单元获取的识别信息与所有者或颁发者的网络中的识别信息进行比较,在所述证书信息中描述了所有者或颁发者的网络中的识别信息,所述确定部件根据所述比较部件的比较结果来确定要关联的通信接口。
[0006]根据本发明的第三方面,提供了一种通信设备,其包括多个通信接口、关联部和发送部。关联部将颁发的证书信息与所述多个通信接口之一相关联。发送部从与所述证书信息相关联的通信接口发送所述证书信息。关联部包括获取单元和确定单元。获取单元获取所述多个通信接口中每一个通信接口曾从不同设备接收到的证书信息。确定单元根据由所述获取单元获取的证书信息来确定要关联的通信接口。
[0007]根据本发明的第四方面,确定单元可以包括比较部件和确定部件,所述比较部件将根据由所述获取单元获取的证书信息而识别出的认证机构与根据颁发的证书信息而识别出的认证机构进行比较,并且所述确定部件根据所述比较部件的比较结果来确定要关联的通信接口。
[0008]根据本发明的第五方面,提供了一种通信方法,包括步骤:将颁发的证书信息与所述多个通信接口之一相关联,并且从与所述证书信息相关联的通信接口发送所述证书信息。所述关联步骤包括获取所述多个通信接口中每一个通信接口的网络中的识别信息,以及根据获取的识别信息来确定要关联的通信接口。
[0009]根据本发明的第一、第三和第五方面,即使在通信设备中提供了多个通信接口的情况下,也能够识别出与颁发的证书相关联的通信接口。[0010]根据本发明的第二和第四方面,相比于未提供上述构造的情况,可以更精确地识别出与颁发的证书相关联的通信接口。
【专利附图】
【附图说明】
[0011]下面将基于附图详细描述本发明的示例性实施例,附图中:
[0012]图1是示出图像形成设备的构造示例的示意图;
[0013]图2是示出证书中描述的内容的示例的示意图;
[0014]图3是示出IF管理表格的示例的示意图;
[0015]图4是示出由图像形成设备执行的处理示例的示意图;
[0016]图5A是示出证书管理表格的示例的示意图;以及
[0017]图5B是示出证书管理表格的示例的示意图。
【具体实施方式】
[0018]下文中,将参照附图详细描述本发明的示例性实施例。
[0019]图1示出根据本发明一个实施例的图像形成设备(通信设备)2的构造示例。在该示例实施例中,图像形成设备2实现为具有打印功能、扫描功能、FAX通信功能等且安装于公司X的办公室中的计算机(所谓的多功能机)。如图1所示,图像形成设备2包括以微处理器实现的控制器2a。控制器2a根据存储于主存储器2b (稍后描述)中的程序来执行各种信息处理并控制其他部件。图像形成设备2还包括由只读存储器(ROM)和随机存取存储器(RAM)实现的主存储器2b。由控制器2a在信息处理过程中使用的数据存储在主存储器2b中。上述程序也存储在主存储器2b中。该程序可以被从计算机可读信息存储介质(诸如数字多功能盘(DVD)(注册商标)-ROM等)中读取,并存储到主存储器2b中。可替换地,该程序可以经由网络下载并存储到主存储器2b中。
[0020]图像形成设备2还包括硬盘2c。各种数据存储在硬盘2c中。由认证机构颁发的三个(公钥)证书(即,证书A、证书B和证书C)存储在硬盘2c中。这些证书被导入并存入硬盘2c中。
[0021]图2示出证书(此处为证书A)中描述的内容的示例。证书包括所有者网络中的识别信息“Subject”。在“Subject”中,描述了所有者的IP地址和域名系统(DNS)名称中的至少一个。DNS名称包括主机名和域名。该证书还包括所有者的别名“Subject Alt Name”。该证书还包括发布者的识别信息“Issuer”。在“Issuer”中,描述了发布者的IP地址和DNS名称中的至少一个。该证书还包括代表认证路径的认证路径信息。该认证路径信息包括代表根认证机构和中间认证机构的数据。认证路径还称作认证链。
[0022]稍后将描述存储于硬盘2c中的其他信息。
[0023]图像形成设备2还包括输纸单元2d和图像形成单元2e。输纸单元2d根据控制器2a的指令将存放于贮纸单元(未示出)中的打印纸输送到图像形成单元2e。图像形成单元2e例如是激光打印机。图像形成单元2e根据来自控制器2a的指令在由输纸单元2d输送的打印纸上打印图像。图像形成设备2还包括:显示器,其输出由控制器2a提供的信息;操作输入单元(例如,触摸面板和各种按钮),其向控制器2a等提供代表由用户执行的操作详情的操作信号。[0024]此外,如图1所示,图像形成设备2包括多个通信接口,即,第一网络接口(下文中,标为第一网络IF) 2f、第二网络接口(下文中,标为第二网络IF) 2g和第三网络接口(下文中,标为第三网络IF)2i。第一网络IF2f是用于将图像形成设备2连接至作为公司X的内部网的第一网络的通信接口,且以IP地址“10.0.0.1/24” (“/24”表示子网掩码是高24位)表示。用户的用户终端4连接至第一网络。此外,在安全性方面,将未示出的隔离服务器、账户管理服务器、Kerberos认证服务器等连接至第一网络。
[0025]第二网络IF2g是用于将图像形成设备2连接至经由防火墙(未示出)与互联网连接的第二网络的通信接口,并且以IP地址“192.168.1.1/24”表示。用户的用户终端4也连接至该第二网络。
[0026]第三网络IF2i是利用无线通信(诸如蓝牙(注册商标)通信、WiFi直接通信等)将图像形成设备2对等连接至用户的用户终端4的通信接口。
[0027]在该示例实施例中,图3所示的IF管理表格存储于硬盘2c中。针对各网络接口的网络设置(即,各网络接口的IP地址和DNS地址)存储于IF管理表格中。在该示例实施例中,如图1和图3所示,第一网络IF2f的IP地址是“10.0.0.1”,第二网络IF2g的IP地址是“192.168.1.1”,并且第三网络IF2i的IP地址是“100.0.0.1”。
[0028]在IF管理表格中,还存储了与各网络接口执行的通信历史有关的历史信息。稍后将对该历史信息进行描述。
[0029]通过使用用户所有的用户终端4,用户发送执行打印的请求或执行扫描到图像形成设备2的请求,并使用图像形成设备2提供的网络服务器。用户例如利用网络服务器来设置用于图像形成设备2的操作设置参数的值。
[0030]此处,在进行通信时,在安全性方面,诸如防信息泄露、欺骗检测等,在图像形成设备2和每个用户终端4之间交换证书。即,在从用户终端4向图像形成设备2发送数据时,发送证书。此外,在从图像形成设备2向用户终端4发送数据时,发送证书。例如,一旦请求执行打印或执行扫描,就从用户终端4发送证书。基于所述证书执行对用户的认证,并且执行允许或禁止连接的确定、从上述账户管理服务器对权限信息的获取等。此外,例如,在利用网络服务器时,从用户终端4发送证书,并执行基于该证书的认证或加密通信。为了执行对欺骗的检测和数据加密,在连接至第二网络的用户终端4和图像形成设备2之间执行利用证书的IPsec通信。此外,在彼此对等连接的用户终端4和图像形成设备2之间执行利用证书的通信。
[0031]如上所述,图像形成设备2发送和接收证书。由于图像形成设备2包括多个通信接口(此处为三个通信接口,即,第一网络IF2f、第二网络IF2g和第三网络IF2i ),因此需要适当地设置要被各通信接口使用(发送)的证书。
[0032]图像形成设备2执行图4的流程图所例示的处理。在该示例实施例中,当导入了证书A、证书B和证书C时,根据每个证书的顺序执行图4所示的处理。下文中,将通过将要处理的证书表示为目标证书(证书信息)来说明图4所示的处理。
[0033]首先,控制器2a从第一网络IF2f、第二网络IF2g和第三网络IF2i中识别出未设置证书的通信接口(S101)。在该示例实施例中,图5A所示的证书管理表格存储在硬盘2c中。在证书管理表格中,如图5A所示,与通信接口的物理接口名称和逻辑接口名称相关联地存储针对通信接口设置的证书的ID,S卩,由该通信接口使用的证书的ID。由于恰在进行了导入后之时没有针对每个通信接口设置证书,因此没有存储证书ID而是设置了 “null”。通过参考这样的证书管理表格来识别未设置证书的通信接口。
[0034]然后,控制器2a (识别信息获取单元,比较部件)读取在SlOl中识别出的通信接口的IP地址(识别信息),并确定该IP地址是否与目标证书中描述的所有者的IP地址相同。因此,控制器2a确定是否存在具有与所有者的IP地址相同的IP地址的通信接口(S102)。当在目标证书中未描述所有者IP地址的情况中,跳过S102的处理。
[0035]在存在具有与所有者的IP地址相同的IP地址的通信接口的情况下(S102中的是),控制器2a (关联部,确定单元)针对具有与所有者的IP地址相同的IP地址的通信接口来设置目标证书(S107)。更具体地,在证书管理表格(见图5A)中,控制器2a将目标证书的ID与具有与所有者的IP地址相同的IP地址的通信接口的物理名称和逻辑接口名称相关联。然后,将下一个证书设置为目标证书,并执行图4所示的处理。
[0036]在不存在具有与所有者的IP地址相同的IP地址的通信接口的情况下(S102中的否),控制器2a (识别信息获取单元)从IF管理表格中读取在SlOl中识别出的通信接口的DNS名称(识别信息)。然后,控制器2a (比较部件)确定该DNS名称是否为与目标证书中描述的所有者的DNS名称相同的名称。因此,确定是否存在具有与所有者的DNS名称相同的DNS名称的通信接口(S103)。当在目标证书中未描述所有者的DNS名称的情况下,跳过S103的处理。
[0037]在存在具有与所有者的DNS名称相同的DNS名称的通信接口的情况下(S103中的是),控制器2a执行S107的处理,其中对具有与所有者的DNS名称相同的DNS名称的通信接口设置目标证书。在不存在具有与所有者的DNS名称相同的DNS名称的通信接口的情况下(S103中的否),控制器2a (比较部件)确定目标证书中描述的颁发者的域名是否与在SlOl中识别出的通信接口的IP地址的地址带相同。因此,控制器2a确定是否存在具有与颁发者域名相同的地址带的通信接口(S104)。当在目标证书中未描述颁发者的DNS名的情况下,跳过S104的处理。
[0038]在存在具有与颁发者域名相同的地址带的通信接口的情况下(S104中的是),控制器2a执行S107的处理,其中,对具有与颁发者域名相同的地址带的通信接口设置目标证书。在不存在具有与颁发者域名相同的地址带的通信接口的情况下(S104中的否),控制器2a (获取单元)从IF管理表格中获取关于由在SlOl中识别出的通信接口执行的通信的历史的历史信息。在该示例实施例中,将通信接口已从用户终端4接收到的证书在IF管理表格中存储为历史信息。控制器2a (比较部件)确定由历史信息中的认证路径信息表示的根认证机构是否与目标证书中的认证路径表示的根认证机构相同。因此,控制器2a确定是否存在已接收到其中描述了与目标证书中描述的根认证机构相同的根认证机构的证书的通信接口(S105)。此处,控制器2a可以在S105中确定是否存在已接收到其中描述了与目标证书中描述的根认证机构相同的根认证机构的证书的通信接口。
[0039]在存在从未从用户终端4接收到证书的通信接口(下文中称作未接收接口)的情况下,即,在IF管理表格中未存储关于通信接口的历史信息的情况下,跳过S105的处理。
[0040]在存在已接收到其中描述了与目标证书中描述的根认证机构相同的根认证机构的证书的通信接口的情况下(S105中的是),控制器2a执行S107的处理,在该处理中,针对已经接收到其中描述了与目标证书中描述的根认证机构相同的根认证机构的证书的通信接口来设置该目标证书。在不存在已接收到其中描述了与目标证书中描述的根认证机构相同的根认证机构的证书的通信接口的情况下(S105中的否),控制器2a执行特定处理,用于确定是否能够推测出被建议作为要设置目标证书的通信接口的通信接口(下文称作建议目标接口)(S106)。然后,控制器2a根据确定结果执行输出。
[0041 ] 即,在能够推测出建议目标接口的情况下(S106中的是),控制器2a受到执行所谓的推送系统操作(用于使图像形成设备2发送数据的操作)的触发而在显示器上显示用于建议应该针对建议目标接口设置目标证书的建议屏幕(106a)。在该情况下,图像形成设备2的管理员对建议目标接口手动设置目标证书。
[0042]在不能推测出建议目标接口的情况下(S106中的否),控制器2a受到执行推送系统操作的触发而在显示器上显示用于允许图像形成设备2的管理员对要被设置目标证书的通信接口进行询问的询问屏幕(106b)。在此情况下,图像形成设备2的管理员对指定的通信接口设置目标证书。
[0043]因此,设置了要被各个通信接口使用的证书。图5B示出了执行了图4所示的处理之后获得的证书管理表格的示例。参照图5B,为了执行通信,图像形成设备2从第一网络IF2f发送针对第一网络IF2f设置的证书A。此外,图像形成设备2从第二网络IF2g发送针对第二网络IF2g设置的证书B。此外,图像形成设备2从第三网络IF2i发送针对第三网络IF2i设置的证书C。
[0044]本发明不限于上述示例实施例。
[0045]例如,在存在上述未接收接口且跳过S105的处理的情况下,当不能推测出建议目标接口(S106中的否)时,可以在已经过了特定时间段之后再次执行S105和S106的处理。这是因为未接收接口在不久的将来可能从用户终端4接收到证书。然而,当在已经过了所述特定时间段之前执行上述推送系统操作的情况下,不再次执行S105和S106的处理。取而代之,显示询问屏幕。
[0046]此外,本发明可应用于包括多个通信接口的任何计算机以及应用于图像形成设备。
[0047]为了说明和描述的目的而提供了本发明的示例实施例的上述描述。其并不旨在穷尽本发明或将本发明限于公开的精确形式。显然地,各种修改和变形对于本领域技术人员来说是显而易见的。为了最好地解释本发明的原理及其实践应用而选择并描述了各实施例,从而使其他本领域技术人员能够理解本发明所适用的各种实施例以及适合于预期特定用途的各种修改。本发明的范围由所附权利要求及其等同物来限定。
【权利要求】
1.一种通信设备,包括: 多个通信接口; 关联部,其将颁发的证书信息与所述多个通信接口之一相关联;以及 发送部,其从与所述证书信息相关联的通信接口发送所述证书信息, 其中,所述关联部包括: 识别信息获取单元,其获取所述多个通信接口中每一个通信接口的网络中的识别信息;以及 确定单元,其根据由所述识别信息获取单元获取的识别信息来确定要关联的通信接□。
2.根据权利要求1所述的通信设备,其中,所述确定单元包括: 比较部件,其将由所述识别信息获取单元获取的识别信息与所有者或颁发者的网络中的识别信息进行比较,在所述证书信息中描述了所述所有者或颁发者的网络中的识别信息;以及 确定部件,其根据所述比较部件的比较结果来确定要关联的通信接口。
3.一种通信设备,包括: 多个通信接口; 关联部,其将颁发的证书信息与所述多个通信接口之一相关联;以及 发送部,其从与所述证书信息相关联的通信接口发送所述证书信息, 其中所述关联部包括: 获取单元,其获取所述多个通信接口中每一个通信接口曾从不同设备接收到的证书信息;以及 确定单元,其根据由所述获取单元获取的证书信息来确定要关联的通信接口。
4.根据权利要求3所述的通信设备,其中,所述确定单元包括: 比较部件,其将根据由所述获取单元获取的证书信息而识别出的认证机构与根据颁发的证书信息而识别出的认证机构进行比较;以及 确定部件,其根据所述比较部件的比较结果来确定要关联的通信接口。
5.一种通信方法,包括步骤: 将颁发的证书信息与多个通信接口之一相关联;以及 从与所述证书信息相关联的通信接口发送所述证书信息, 其中所述关联步骤包括: 获取所述多个通信接口中每一个通信接口的网络中的识别信息,以及 根据获取的识别信息来确定要关联的通信接口。
【文档编号】H04L29/06GK103825872SQ201310347182
【公开日】2014年5月28日 申请日期:2013年8月9日 优先权日:2012年11月15日
【发明者】大岛彰英 申请人:富士施乐株式会社