通信设备、通信方法、通信程序和记录媒体的制作方法

专利名称：通信设备、通信方法、通信程序和记录媒体的制作方法
技术领域：
本发明涉及用于向诸如图像形成设备之类的信息处理设备提供IPSec(因特网协议安全框架)通信之类的通信设备。
背景技术：
目前，存在一种称为IPSec的技术。该协议用于确保用在因特网等中的IP(因特网协议)的安全。该协议具有加密IP通信和认证通信等的功能。
为了进行IPSec通信，由于执行了用于加密的计算处理，因而消耗了大量CPU资源。因此在使用IPSec时，除非升级CPU，否则不能期望高速通信。
因此，为了在使用小型CPU的设备中实现IPSec，以往考虑采用硬件加速器。
硬件加速器大致分为两类。一类是协处理器类型。协处理器类型的加速器实现于执行IPSec通信的设备中。协处理器独立于CPU、作为执行IPSec处理的电路被嵌入。在执行IPSec通信时，用于加密的处理不在CPU中执行，而是由作为IPSec处理专用电路的协处理器执行。由于处理不在通用CPU中执行，而是在专用硬件中执行，因此可以实现高速处理。
硬件加速器的另一种类型是插入到执行IPSec通信的设备和通信路由之间的加速器。
这种类型中，需要IPSec通信的设备照常执行IP通信，而且从设备输出的分组穿过硬件加速器，以使得该分组被发送到外部网络。另外，该分组在穿过硬件加速器后，从网络流入该设备。
硬件加速器把IPSec分组转换成普通IP分组，而把要传送到外部网络的IP分组转换成IPSec分组。
由于网桥型IPSec加速器本身基本上实现了IPSec通信，因此高速处理是可能的，并且IPSec加速器不影响设备。顺便说一下，以下文献与现有技术有关。
日本公开专利申请号2002-317148。
日本公开专利申请号2003-78813。
日本公开专利申请号2004-86590。
日本公开专利申请号2002-251071。
然而，为了使用桥接型加速器，需要手动地设置要连接的设备，并且设置对于要连接的设备可能是必需的。因此，在此时会出现难题，在使用加速器中必需付出时间和精力。

发明内容
本发明的一个目的是提供通信设备、通信方法、通信程序和记录媒体，用于提供安全通信，在其中要连接到通信设备的设备不了解所述安全通信，并且在进行设置时不需要时间和精力。
该目的可以通过连接到信息处理设备的通信设备实现，该通信设备包括信息处理设备发现单元，配置为发现信息处理设备；安全通信分组转换单元，配置为将由所发现的信息处理设备发送的非安全通信分组转换成安全通信分组；和非安全通信分组转换设备，配置为将去往所述信息处理设备的安全通信分组转换成非安全通信分组。
所述通信设备可包括信息获取单元，配置为从所发现的信息处理设备获取关于信息处理设备的信息处理设备信息。
所述通信设备可包括信息处理设备信息存储单元，配置为存储已知信息处理设备的信息处理设备信息；和配置为根据信息获取单元获取的信息处理设备信息和存储在信息处理设备信息存储单元中的信息，来确定是否为所发现的信息处理设备进行安全通信分组的转换处理的单元。
所述通信设备还可包括设置信息存储单元，配置为存储用于每个已知信息处理设备的安全通信设置信息；和配置为从所述设置信息存储单元获取相应于所发现的信息处理设备的安全通信设置信息，和利用获得的安全通信设置信息为所发现的信息处理设备进行安全通信设置的单元。
此外，所述通信设备可包括，配置为根据外部设备的请求更新存储在信息处理设备信息存储单元中的信息处理设备信息和存储在设置信息存储单元中的安全通信设置信息的单元。
在所述通信设备中，信息处理设备发现单元通过监视用于为信息处理设备设置IP地址的通信来获取信息处理设备的IP地址。用于设置IP地址的通信可以是DHCP通信。
此外，所述通信设备可包括IPv6地址设置单元，配置为在信息处理设备不支持IPv6时给通信设备设置IPv6地址；伪IPv4分组发送单元，配置为将去往IPv6地址的分组的目的地转换成信息处理设备的IPv4地址，并将经转换的分组发送到信息处理设备；和伪IPv6分组发送单元，配置为将信息处理设备发送的分组的源转换成IPv6地址，并发送经转换的分组。
本发明也可以被配置为相应于所述通信设备的处理的通信方法。此外，本发明也可被配置为通信程序，用于使所述通信设备执行所述通信方法的每个步骤。
根据本发明，可以实现提供安全通信的技术，其中要连接到通信设备的设备不了解所述安全通信，进行设置时的时间和精力不是必需的。
图说明根据以下的详细说明，连同图一起阅读时，本发明的其它目的、特征和优点将变得更加明显，其中

图1显示了本发明的实施方式的一般配置；图2显示了具有两个连接器的安全通信网桥的外视图的实例；图3显示了具有一个连接器的安全通信网桥的外视图的实例；图4显示了第一实施方式的一般性略图；图5显示了第一实施方式中安全通信网桥的配置；图6显示了第一实施方式中安全通信网桥的配置；图7显示了存储在网络设备信息存储单元46中的数据的实例；图8显示了存储在已知设备信息存储单元47中的数据的实例；图9显示了存储在安全策略存储单元48中的数据的实例；图10是说明安全通信网桥利用SNMP获取网络设备信息的处理的图；图11是说明根据获得的网络设备信息设置安全策略的处理的图；图12显示了第二实施方式的一般性略图；
图13显示了在第二实施方式中安全通信网桥的配置；图14显示了存储在网络设备信息存储单元56中的数据的实例；图15显示了存储在安全策略存储单元57中的数据的实例；图16是说明安全通信网桥通过监视DHCP通信获取网络设备的IP地址的处理的图；图17是说明根据获得的网络设备信息设置安全策略的处理的图；图18显示了第三实施方式的一般性略图；图19显示了在第三实施方式中安全通信网桥的配置；图20显示了在第三实施方式中安全通信网桥的配置；图21显示了存储在网络设备信息存储单元67中的数据的实例；图22显示了存储在已知设备信息存储单元68中的数据的实例；图23显示了存储在安全策略模板存储单元69中的数据的实例；图24显示了存储在安全策略存储单元70中的数据的实例；图25是说明安全通信网桥利用SSDP获取网络设备信息的处理的图；图26是说明根据获得的网络设备信息设置安全策略的处理的图；图27是说明从外部设备更新已知设备信息和安全策略模板的图；图28显示了第四实施方式的安全通信网桥的配置；图29显示了第四实施方式的安全通信网桥的配置；图30显示了存储在网络设备信息存储单元38中的信息的实例；图31显示了存储在已知设备信息存储单元37中的信息的实例；图32显示了存储在IP地址信息存储单元39中的信息的实例；图33显示了存储在IPSec设置存储单元32中的信息；图34是显示网络设备自动发现的处理的流程图；图35是显示当分组从外部网络到达时的处理的流程图；图36是显示当分组从内部网络到达时的处理的流程图；图37是显示利用DHCP自动发现处理的流程图；图38是显示当分组从外部网络到达时的处理的流程图；图39是显示当分组从内部网络到达时的处理的流程图；以及图40是显示以伪装方式向网络设备提供IPv6功能的处理的流程图。
具体实施例方式
以下参考图描述本发明的实施方式。
(一般性配置)图1显示了本发明的实施方式的一般性配置。图1显示了安全通信网桥10，其是用于执行安全通信(例如IPSec和SSL(安全套接层))的加速器；网络设备11(例如打印机)，其是安全通信加速的目标；计算机12；连接它们的内部网络13和外部网络14。
网络设备11不具备安全通信功能(例如IPSec)，而仅具备普通IP的通信功能。网络设备11是包括网络通信功能的信息处理设备。例如，网络设备11可以是图像形成设备，诸如打印机和复印机、家用电器、计算机等。内部网络13连接网络设备11和安全通信网桥10，并且外部网络13连接到安全通信网桥10。内部网络13和外部网络14各自都可以是有线网络或无线网络。但是，可取的是内部网络13是有线网络。
具有安全通信功能的计算机12连接到外部网络14。安全通信网桥10具有这样的功能将从外部网络14到达的安全通信分组转换成非安全通信分组，以将分组传送到网络设备11，并将从网络设备11输出的非安全通信分组转换成安全通信分组，以将分组传送到计算机12。
根据这样的配置，从计算机12的角度来看，网络设备11似乎具有安全通信功能，但是网络设备11本身与计算机12通过普通IP进行通信。
图2显示了安全通信网桥10的外视图的实例。安全通信网桥10包括两个连接器21和22。连接器是RJ-45接口，可以被连接到以太网。
连接器21和22之一连接到内部网络13，另一个连接到外部网络14。
连接器21和22连接到在连接器21和22之后的电路板，在该电路板上提供了执行安全通信处理(例如IPSec处理)的电路。
由于未进行安全通信处理的分组流入内部网络13，因此无法阻止对内部网络的截听。因此，可以通过特殊的路线而不使用一般的RJ-45作为接口来将安全通信网桥11连接到内部网络，并且所述网桥可以嵌入到网络设备11中。
在这种情况下，如在图3的安全通信网桥20中所示，所述网桥仅包括一个与外部网络14连接的RJ-45连接器26。
可以作为与网络设备11分离的设备来利用安全通信网桥20。作为选择，通过配置安全通信网桥20使安全通信网桥20可以安装到网络设备11的扩展槽中，可以从网络设备11获得电力。
(第一实施方式)首先，描述本发明的第一实施方式。如在图4中所示，第一实施方式采用IPSec通信作为安全通信的实例。在第一实施方式中，利用SNMP获得作为加速目标的网络设备11的设备信息，并利用该设备信息进行IPSec通信的设置。
图5显示了在第一实施方式中安全通信网桥40的配置。如图5所示，第一实施方式的安全通信网桥40包括通过SNMP的设备信息获取单元41、安全策略设置单元42、分组IPSec处理/发送和接收功能单元43、网络接口单元44和45、网络设备信息存储单元46、已知设备信息存储单元47和安全策略存储单元48。
通过SNMP的网络设备信息获取单元41利用SNMP来获取作为加速目标的网络设备的信息。安全策略设置单元42根据网络设备信息获取单元41获得的设备信息和存储在每个存储单元中的信息，为作为IPSec加速目标的网络设备设置安全策略。分组IPSec处理/发送和接收功能单元43根据接收到的分组的IP地址和安全策略对分组进行IPSec处理。网络接口单元44和45是通过网络发送和接收分组的功能单元。
网络设备信息存储单元46存储网络设备信息获取单元41获得的网络设备信息。已知设备信息存储单元47存储已知设备信息，例如网络设备的编目信息。安全策略存储单元48存储作为IPSec加速目标的网络设备的安全策略。这些存储单元可以作为非易失性存储装置的存储区域来实现。已知设备信息存储单元47不需要存在于安全通信网桥40中。其可以存在于外部网络上。这种情况下的配置在图6中示出。
接下来，描述存储在每个存储单元中的数据的实例。图7显示了存储在网络设备信息存储单元46中的数据的实例。如图7所示，网络设备信息存储单元46存储信息(下文中称为型号信息)，用于确定网络设备的型号(例如产品名称等)、网络设备的IPv4地址和IPv6地址。图8显示了存储在已知设备信息存储单元47中的数据的实例。如图8所示，已知设备信息存储单元47为每种型号存储IPSec加速的必要性。已知设备信息存储单元47可存储存在或不存在IPSec通信功能的信息，作为对加速的必要性的替代。
图9显示了存储在安全策略存储单元48中的数据的实例。如图9所示，安全策略存储单元48存储对作为加速目标的每个设备的IP地址进行IPSec通信的安全策略。根据相应的安全策略对每个IP地址的网络设备进行IPSec加速。
接下来，参考图10中所示的流程图描述安全通信网桥40利用SNMP获取网络设备信息的处理。该处理通过网络设备信息获取单元41执行。
首先，在步骤S1，安全通信网桥40通过网络接口单元44向广播地址发送SNMP查询。在步骤S2，当安全通信网桥40接收对SNMP查询的SNMP应答时，安全通信网桥40从SNMP应答获取网络设备11的IP地址。然后，在步骤S3，安全通信网桥10利用SNMP向网络设备11发送关于型号信息(产品名称等)的请求。在步骤S4，安全通信网桥10将从网络设备11接收的IP地址和型号信息存储在网络设备信息存储单元46中。
接下来，参考图11的流程图描述根据获得的网络设备信息设置安全策略的处理。该处理通过安全策略设置单元42执行。
在步骤S11，安全策略设置单元42根据存储在网络设备信息存储单元46中的型号信息，在已知设备信息存储单元47中，搜索相应于型号信息的信息。当发现相应于型号信息的信息时(步骤S12为“是”)，在步骤S13，安全策略设置单元42根据该信息确定相应的网络设备是否需要IPSec加速。在该步骤中，如果已知设备信息存储单元47存储了存在或不存在IPSec功能的信息，当IPSec功能存在时，安全策略设置单元42确定IPSec加速不是必需的，而当IPSec功能不存在时，安全策略设置单元42确定IPSec加速是必需的。当确定了IPSec加速是必需的时，安全策略设置单元42在安全策略存储单元48中设置安全策略，使安全策略与目标网络设备的IP地址相关。因此，可以对网络设备进行IPSec加速。对于安全策略，可以使用预先确定的策略。例如，如图9所示，进行设置使得可以对每个目的地IP地址进行IPSec加速。
当步骤S13为No时，也就是说，当确定了IPSec加速不是必需的时，不进行安全策略的设置。当步骤S12为“否”时，也就是说，当没有发现目标网络设备的已知设备信息时，在步骤S15对该网络设备应用已知的普通安全策略来设置安全策略。
通过进行上述设置，可以进行IPSec加速。也就是说，当从内部网络接收到的分组的源IP地址被包括在安全策略存储单元48中的IP地址组中时，安全通信网桥40执行IPSec处理并输出分组。此外，当从外部网络接收到的分组是去往目标网络设备的IPSec通信分组时，安全通信网桥40将该IPSec通信分组转换成IP分组，当接收到的分组不是IPSec分组时，安全通信网桥40将该分组发送给实际的目的地。
在上述实施例中，网络设备信息获取单元41使用SNMP。作为选择，网络设备信息获取单元41可利用SSDP、WS-Discovery、Bonjour(Rendezvous)等。此外，网络设备11的IP地址可以通过监视设置网络设备11的IP地址的通信来获得。设置IP地址的通信是DHCP(动态主机配置协议)通信、设置IPv6无状态(stateless)地址的通信等等。在其他实施方式中说明了一些实例。
安全通信网桥40可以被配置为硬件。作为选择，安全通信网桥40可以通过在包括CPU和存储器的计算机上加载程序来实现，用于执行网络设备信息获取单元41、安全策略设置单元42和IPSec处理/发送和接收功能单元43的功能。所述程序可以通过将其存储在记录媒体例如存储器来提供，也可以通过从网络下载来提供。同样地，在其他实施方式中，安全通信网桥可以被配置为硬件，并且可以通过在计算机上执行程序来实现。
(第二实施方式)接下来，描述本发明的第二实施方式。如图12所示，第二实施方式采用SSL通信作为安全通信的实例。在这个实施方式中，通过监视DHCP访问来获得作为加速目标的网络设备11的IP地址，从而进行SSL通信的设置。
也就是说，当网络设备11具有利用DHCP自动设置IP地址的功能时，在网络设备11装入之后网络设备11与DHCP服务器15通信从而在网络设备11中自动设置IP地址。安全通信网桥50监视DHCP分组。当检测到来自DHCP服务器15的应答时，安全通信网桥50分析分组中的信息，从而自动识别将分配给网络设备11的IP地址。
图13显示了在第二实施方式中安全通信网桥50的设置。如图13所示，第二实施方式的安全通信网桥50包括通过DHCP通信监视的网络设备信息获取单元51、安全策略设置单元52、分组SSL处理/发送和接收功能单元53、网络接口单元54和55、网络设备信息存储单元56和安全策略存储单元57。
通过DHCP通信监视的网络设备信息获取单元51通过监视网络设备11的DHCP通信获得作为加速目标的网络设备11的信息(IP地址)。安全策略设置单元52根据网络设备信息获取单元51获得的设备信息为作为SSL加速目标的网络设备11设置安全策略。分组SSL处理/发送和接收功能单元53根据接收到的分组的IP地址和安全策略对接收到的分组进行SSL处理。此外，网络接口单元54和55是通过网络进行分组发送和接收的功能单元。
网络设备信息存储单元56存储网络设备信息获取单元51获得的网络设备信息(IP地址)。安全策略存储单元57存储作为安全策略设置单元52进行SSL加速的目标的网络设备的安全策略。这些存储单元可以作为非易失性存储装置中的存储区域来实现。
接下来，描述存储在每个存储单元中的数据的实例。图14显示了存储在网络设备信息存储单元56中的数据的实例。如图14所示，网络设备信息存储单元56存储网络设备的IPv4地址和IPv6地址信息。图15显示了存储在安全策略存储单元57中的数据的实例。如图15所示，安全策略存储单元57存储用于为每个作为加速目标的设备的IP地址进行SSL通信的安全策略。
接下来，参考图16的流程图描述安全通信网桥50通过监视DHCP通信获得网络设备的IP地址的处理。该处理由网络设备信息获取单元51执行。
在步骤S21，安全通信网桥50监视内部网络中的网络设备11与外部设备之间的通信分组。当安全通信网桥50检测到通信分组是用于DHCP通信并且该通信分组包括将在网络设备11中设置的IP分组(步骤S22为“是”)时，在步骤S23，安全通信网桥50从DHCP通信的分组获取分配给网络设备11的IP地址，并将该IP地址作为用于加速的IP地址存储在网络设备信息存储单元56中。
接下来，参考图17的流程图描述根据获得的网络设备信息设置安全策略的处理。该处理由安全策略设置单元52执行。
当安全策略设置单元52检测到在网络设备信息存储单元56中设置了新的IP地址(步骤S31为“是”)时，安全策略设置单元52在安全策略存储单元57中设置用于SSL通信的安全策略，使安全策略与IP地址相关。因而，对具有IP地址的网络设备11进行SSL加速。对于安全策略，可以使用预定的安全策略。例如，如图15所示，设置安全策略使得可以对每个目的地IP地址进行SSL加速。
通过进行上述设置可以进行SSL加速。也就是说，当从内部网络接收到的分组的源地址被包括在安全策略存储单元57中的IP地址组中时，安全通信网桥50在进行SSL处理后发送分组。当从外部网络接收到的分组是SSL分组时，安全通信网桥将该SSL分组转换成IP分组。
(第三实施方式)接下来，描述本发明的第三实施方式。如图18所示，第三实施方式采用IPSce通信作为安全通信的实例。在第三实施方式中，利用SSDP(简单业务发现协议)获取作为加速目标的网络设备11的设备信息，利用该设备信息进行IPSec通信的设置。此外，可以从管理者的计算机更新已知设备信息等的信息。
图19显示了在第三实施方式中安全通信网桥60的配置。如图19所示，第三实施方式的安全通信网桥60包括通过SSDP的设备信息获取单元61、安全策略设置单元62、信息管理单元63、分组IPSec处理/发送和接收功能单元64、网络接口单元65和66、网络设备信息存储单元67、已知设备信息存储单元68、安全策略模板存储单元69和安全策略存储单元70。
通过SSDP的网络设备信息获取单元61利用SSDP获取作为加速目标的网络设备11的信息。安全策略设置单元62根据网络设备信息获取单元61获得的设备信息和存储在每个存储单元中的信息为作为IPSec加速目标的网络设备11设置安全策略。信息管理单元63根据来自外部的指令更新已知设备信息存储单元68和安全策略模板存储单元69中的信息。
分组IPSec处理/发送和接收功能单元64根据接收到的分组的IP地址和安全策略对接收到的分组进行IPSec处理。网络接口单元65和66是通过网络发送和接收分组的功能单元。
网络设备信息存储单元67存储由网络设备信息获取单元61获得的网络设备信息。已知设备信息存储单元68存储已知设备信息，例如，已知网络设备的编目信息。安全策略模板存储单元69存储用于每个已知设备型号的安全策略。安全策略存储单元70存储作为IPSec加速目标的网络设备的安全策略。例如，这些存储单元可以作为非易失性存储装置中的存储区域来实现。已知设备信息存储单元68和安全策略模板存储单元69不必存在于安全通信网桥60中。这些可以存在于外部网络中。安全策略模板存储单元69置于外部网络中的情况的配置在图20中示出。
接下来，描述存储在每个存储单元中的数据的实例。如图21和22所示，与第一实施方式的数据类似的数据存储在网络设备信息存储单元67和已知信息存储单元68中。此外，如图23所示，安全策略模板存储单元69存储用于每个已知设备的型号信息的IPSec安全通信的安全策略。此外，如图24所示，安全策略存储单元70存储用于为每个作为加速目标的设备的IP地址进行IPSec通信的预定安全策略。安全策略存储单元70包括用于安全通信网桥60和管理者的计算机之间的IPSec通信的安全策略，用于对已知设备信息存储单元68和安全策略模板存储单元69进行信息设置。
接下来，参考图25所示的流程图描述安全通信网桥60利用SSDP获取网络设备信息的处理。该处理由网络设备信息获取单元61执行。
首先，在步骤S41，安全通信网桥60通过网络接口65向广播地址发送SSDP查询。在步骤S42，当安全通信网桥60接收到SSDP查询的SSDP应答时，安全通信网桥60从SSDP应答获取网络设备11的IP地址。然后，在步骤S43，安全通信网桥60根据SSDP应答发送对于网络设备11的型号信息的请求。在步骤S44，安全通信网桥60将IP地址和从网络设备11接收的型号信息存储在网络设备信息存储单元67中。
接下来，参考图26的流程图描述根据获得的网络设备信息设置安全策略的处理。该处理由安全策略设置单元62执行。
在步骤S51，安全策略设置单元62根据网络设备信息存储单元67中的型号信息在已知设备信息存储单元68中搜索相应于型号信息的信息。当发现相应于型号信息的信息时(步骤S52为“是”)，在步骤S53，安全策略设置单元62根据该信息确定相应的网络设备是否需要IPSec加速。在该步骤中，如果已知设备信息存储单元68存储了存在或不存在IPSec功能的信息，则当IPSec功能存在时，安全策略设置单元62确定IPSec加速不是必需的，而当IPSec功能不存在时，安全策略设置单元62确定IPSec加速是必需的。当在步骤S53确定了IPSec加速是必需的时，在步骤S54，安全策略设置单元62在安全策略模板存储单元69中搜索相应于目标网络设备11的型号信息的安全策略模板。当发现安全策略(步骤S55为“是”)时，安全策略设置单元62在安全策略存储单元70中设置安全策略，使安全策略与目标网络设备11的IP地址相关。因此，可以对网络设备11进行IPSec加速。
当步骤S53为“否”时，也就是说，当确定IPSec加速不是必需的时，不进行安全策略的设置。当步骤S52或S55为“否”时，在步骤S57对网络设备应用已知的普通安全策略并设置安全策略。通过进行上述设置，可以实现IPSec加速。
接下来，参考图27描述从外部设备(如管理者的计算机)更新已知设备信息和安全策略模板的处理。以下处理由信息管理单元63执行。
首先，在步骤S61，安全通信网桥60接收外部设备的访问。此时，使用存储在安全策略存储单元70中的管理者的入口，从而利用IPSec通信建立连接。
接下来，在步骤S62，信息管理单元63确定外部设备是否请求更新已知设备信息。当请求了更新已知设备信息(步骤S62为“是”)时，在步骤S63，信息管理单元63通过网络接收已知设备信息从而更新存储在已知设备信息存储单元67中的已知设备信息。接下来，在步骤S64，信息管理单元63确定外部设备是否请求更新安全策略模板。当请求了更新安全策略模板(步骤S64为“是”)时，在步骤S65，信息管理单元63通过网络接收相应于特定型号信息的安全策略模板、从而更新存储在安全策略模板存储单元69中的相应安全策略模板。由于当前实施方式使用了安全策略模板，所以可以对每个型号灵活地设置安全策略。
(第四实施方式)接下来，描述本发明的第四实施方式。在第四实施方式中，采用IPSec通信作为安全通信的实例。在第四实施方式中，作为加速目标的网络设备11的IP地址利用网络设备发现功能获得，网络设备11的设备信息利用SNMP获得，从而进行IPSec通信的设置。此外，第四实施方式的安全通信网桥30包括网络设备服务器功能。
参考图28描述第四实施方式的安全通信网桥30的配置。图28显示了网络接口21和22、IPSec设置存储单元32、分组IPSec处理/发送和接收功能单元33、SNMP功能单元34、网络设备服务器功能单元35、IPv6设备自动发现功能单元36、已知设备信息存储单元37、网络设备信息存储单元38和IP地址信息存储单元39。
在这些单元中，IPSec设置存储单元32、已知设备信息存储单元37、网络设备信息存储单元38和IP地址信息存储单元39是数据库。稍后描述所述数据库。例如，这些数据库存储在非易失性存储装置上。非易失性存储装置可存储用于操作安全通信网桥30的程序。
分组IPSec处理/发送和接收功能单元33发送和接收分组并执行IPSec处理，例如加密分组。SNMP功能单元34是用于利用SNMP(简单网络管理协议)从网络设备11获取信息的功能单元。网络设备服务器功能单元35是用于配置安全通信网桥30像网络设备服务器一样工作的功能单元。IPv6设备自动发现支持功能单元36是用于自动地发现支持IPv6或IPv4的网络设备11的功能单元。
在图28所示的数据库中，不必直接装入安全通信网桥30中的数据库可以存在于外部网络上。例如，如图29所示，已知设备信息存储单元37可置于外部网络14上。因此，可以节省安全通信网桥30的硬件资源。
以下描述数据库。图30显示了当采用打印机作为网络设备11的实例时，存储在网络设备信息存储单元38中的信息的实例。通过SNMP功能单元等获得信息。项目包括“标识号”、“IPv6通信可用性”、“IPSec通信可用性”、“打印机型号”、“IPv4地址”和“IPv6地址”。
“标识号”是用于标识打印机的号码。“IPv6通信可用性”指示打印机是否支持IPv6通信。“IPSec通信可用性”指示打印机是否支持IPSec通信。“打印机型号”指示打印机的型号。对于“IPv6通信可用性”和“IPSec通信可用性”，可以设置从已知设备信息存储单元37获得的信息。
图31显示了存储在已知设备信息存储单元37中的信息的实例。已知设备信息存储单元37被用于根据型号标识来了解“IPv6通信可用性”和“IPSec通信可用性”。
图32显示了存储在IP地址信息存储单元39中的信息的实例。IP地址信息是安全通信网桥30的IP地址上的信息。也就是说，安全通信网桥30可具有多个IP地址，从而安全通信网桥30可根据访问的IP地址操作。存储在IP地址信息存储单元39中的项目包括“IP地址”、“允许/不允许连接”、“允许/不允许控制连接”和“网络设备服务器的网络设备侧IPv4地址”。
“IP地址”指示安全通信网桥30的IP地址。“允许/不允许连接”指示对于该IP地址的访问是否允许连接。“允许/不允许控制连接”指示是否允许控制连接。“网络设备服务器的网络设备侧IPv4地址”指示安全通信网桥30作为网络设备服务器的IPv4地址。
图33显示了存储在IPSec设置存储单元32中的信息。如图33所示，IPSec设置存储单元32存储了用于作为IPSec加速的目标的每个网络设备的设置信息(安全策略)。
接下来，利用流程图描述每种处理。
图34是显示网络设备自动发现处理的流程图。在步骤S101，通过网络设备自动发现功能执行内部网络设备的自动发现处理。已知的自动发现处理可被用作自动发现处理。
接下来，在步骤S102，安全通信网桥30确定自动发现功能单元36的通知是发现通知还是删除通知。当其是删除通知时，在步骤S103，从网络设备信息存储单元38删除关于相应网络设备的信息。在这个实施方式中，使用输出发现通知和删除通知的已知自动发现功能。
当删除发现通知时，在步骤S104，确定由自动发现获得的IP地址是否已经在网络设备信息存储单元38中登记。如果已经登记，步骤进行到步骤S107。如果还没有登记，则在步骤S105，将网络设备的新IP地址加入到网络设备信息存储单元38。此外，利用SNMP检查在网络设备中设置的所有IPv4/IPv6地址和网络设备的型号。
接下来，在步骤S107，参考已知设备信息确定发现的网络设备是否是已知的型号。当其不是已知型号时，确定仅对该网络设备进行IPSec处理，从而将IPSec设置信息存储在IPSec设置存储单元32中。当在步骤S107中网络设备是已知型号时，参考已知设备信息。当网络设备不支持IPSec通信时，安全通信网桥30确定为网络设备进行IPSec通信(步骤S109为“否”)，从而在步骤S110设置用于IPSec设置存储单元32的设置。对于设置，可以使用迄今为止描述的方法。在步骤S111，确定网络设备是否支持IPv6。如果网络设备不支持IPv6(步骤S111为“否”)，则在步骤S112，安全通信网桥30确定如网络设备服务器一样进行处理，并将用于该处理的信息存储在与该网络设备关联的存储器中。如果网络设备支持IPv6，则仅进行IPSec处理。
接下来，参考图35的流程图描述当分组从外部网络到达时的处理。在步骤S201，安全通信网桥30通过参考IPSec设置存储单元32确定到达的分组是否是去往作为IPSec加速目标的网络设备的分组。如果到达的分组不是去往目标网络设备的分组，则在步骤S202，安全通信网桥30像普通网桥一样发送该分组。
如果达到的分组是去往目标网络设备的分组，则在步骤S203，安全通信网桥30确定该分组是否是去往作为IPv6网络设备服务器的安全通信网桥30的。当该分组是去往作为IPv6网络设备服务器的安全通信网桥30的时，安全通信网桥30确定该分组是否是用于网络设备自动发现处理的分组。当该分组是用于网络设备自动发现处理的分组时，在步骤S205进行网络设备发现分组的应答处理。
当该分组不是用于网络设备自动发现处理的分组时，在步骤S204，安全通信网桥30像网络设备服务器一样接收该IPv6分组，将该分组发送到在IP地址信息存储单元39中描述的IPv4地址。
当在步骤S203确定该分组不是去往安全通信网桥30的分组时，在步骤S207确定该分组是否是IPSec分组。当该分组是IPSec分组时，在步骤S210，根据相应的SA将该分组转换成普通IP分组。当不存在相应的SA时，不转换该分组。然后，在步骤S211，将从IPSec分组转换来的分组发送给内部网络。
当在步骤S207确定该分组不是IPSec分组时，在步骤S208确定该分组是否是IKE协商分组。当该分组不是IKE协商分组时，步骤进行到步骤S202的处理。
当该分组是IKE协商分组时，在步骤S209进行IKE协商处理和建立相应于该协商的SA。
接下来，参考图36描述当分组从内部网络到达时的处理。
在步骤S301，确定达到的分组是否是来自作为IPSec加速目标的网络设备的分组。当到达的分组不是来自目标网络设备的分组时，在步骤S302，安全通信网桥30像普通网桥一样发送该分组。
当到达的分组是来自目标网络设备的分组时，安全通信网桥30确定该分组是否是去往作为网络设备服务器的安全通信网桥30的。当该分组是去往作为网络设备服务器的安全通信网桥30的时，在步骤S304，将作为IPv4分组到达的该分组作为具有在IP地址信息存储单元39中描述的IPv6地址的分组发送。
在步骤S305，确定新的IKE协商处理是否是必需的。当新的IKE协商处理是必需的时，在步骤S306开始IKE协商处理。
接下来，在步骤S307，根据相应的SA将该分组转换成IPSec分组。当没有相应的SA时，不转换分组。然后，在步骤S308，将IPSec分组发送给外部网络。
在上述处理中，例如，可以使用已知的网络发现功能。在以下描述的处理中，像第二实施方式一样，DHCP被用作自动发现网络设备的手段。
参考图37所示的流程图描述这个实施方式的处理。被监视的DHCP分组是从外部网络发送到内部网络的DHCP分组。
在步骤S401，安全通信网桥30在通过的DHCP分组中获取IP地址。接下来，在步骤S402，安全通信网桥30检测DHCP通信的完成。在步骤S403，安全通信网桥30确定获得的IP地址是否已经登记。如果已经登记，则步骤进行到步骤S406。如果还没有登记，则在步骤S404，将网络设备的新IP地址添加到网络设备信息中。此外，利用SNMP检查设置在网络设备中的所有IPv4/IPv6地址和网络设备的型号。
接下来，通过参考已知设备信息，在步骤S406，确定发现的网络设备是已知型号。当其不是已知型号时，在步骤S407，确定对该网络设备仅执行IPSec处理，从而将IPSec设置信息存储在IPSec设置存储单元32中。当网络设备是已知型号时，参考已知设备信息。当网络设备不支持IPSec通信(步骤S408为“否”)时，在步骤S409，安全通信网桥30确定对该网络设备进行IPSec通信，从而设置IPSec设置存储单元32的设置。为了设置，可以使用迄今为止描述了的方法。在步骤S410，确定网络设备是否支持IPv6。如果网络设备不支持IPv6(步骤S410为“否”)，则在步骤S411，安全通信网桥30确定如网络设备服务器一样进行处理，并将用于该处理的信息存储在与该网络设备关联的存储器中。
在监视DHCP分组的情况中，参考图38的流程图描述当分组从外部网络到达时的处理。
在步骤S501，确定分组是否是DHCP协商分组。当该分组是DHCP协商分组时，在步骤S502进行图37中描述的处理。当该分组不是DHCP协商分组时，在步骤S503进行图35中描述的处理。
类似地，在监视DHCP分组的情况中，参考图39的流程图描述当分组从内部网络到达时的处理。
在步骤S601，确定分组是否是DHCP协商分组。当该分组是DHCP协商分组时，在步骤S602进行图37中描述的处理。当该分组不是DHCP协商分组时，在步骤S503进行图36中描述的处理。在这种情况下，在步骤S602，对从外部网络发送给内部网络的分组进行监视。然后，进行图37的处理。
接下来，在目标网络设备不支持IPv6的情况中，参考图40描述向网络设备以伪装方式不仅提供IPSec功能还提供IPv6功能的处理。在步骤S701，发现支持IPv4的网络设备。此时，安全通信网桥30根据已知设备信息知道网络设备仅支持IPv4。
在步骤S702，安全通信网桥30从网络设备的MAC地址和RA计算IPv6地址。然后，在步骤S703，安全通信网桥30给安全通信网桥30设置IP地址，并更新IP地址信息存储单元39中的信息。
在步骤S704，安全通信网桥30为自动地发现IPv6网络设备进行已知处理，来将设置的IP地址显示为从外部网络的角度来看的网络设备的IP地址。
根据上述实施方式，网络设备可以自动地进行安全通信。此外，安全通信网桥30可以获得网络设备的详细信息，从而安全通信网桥30可以自动地对网络设备进行安全通信设置。
此外，通过使用现有的DHCP通信功能，可以发现网络设备并可以获得IP地址，从而可以自动地进行安全通信设置。因此，即使网络设备不具备报告网络设备自身存在的机制，仍可以发现该网络设备。
此外，可以使仅支持IPv4的网络设备支持IPv6。此外，由于安全通信网桥本来就包括安全通信支持功能，在进行IPv6支持时可以以低成本实现安全通信支持。
本发明不限于特定公开的实施方式，可以在不背离本发明范围的情况下进行变化和修改。
权利要求
1.一种连接到信息处理设备的通信设备，包括信息处理设备发现单元，配置为发现信息处理设备；安全通信分组转换单元，配置为将由所发现的信息处理设备发送的非安全通信分组转换成安全通信分组；和非安全通信分组转换单元，配置为将去往所述信息处理设备的安全通信分组转换成非安全通信分组。
2.如权利要求1的通信设备，所述通信设备包括信息获取单元，配置为从所发现的信息处理设备获取关于信息处理设备的信息处理设备信息。
3.如权利要求2的通信设备，所述通信设备包括信息处理设备信息存储单元，配置为存储已知信息处理设备的信息处理设备信息；和配置为根据信息获取单元获取的信息处理设备信息和存储在信息处理设备信息存储单元中的信息、以确定是否为所发现的信息处理设备进行安全通信分组的转换处理的单元。
4.如权利要求1的通信设备，所述通信设备包括设置信息存储单元，配置为存储用于每个已知信息处理设备的安全通信设置信息；和配置为从所述设置信息存储单元获取相应于所发现的信息处理设备的安全通信设置信息、并利用获得的安全通信设置信息为所发现的信息处理设备进行安全通信设置的单元。
5.如权利要求3的通信设备，所述通信设备包括配置为根据外部设备的请求更新存储在信息处理设备信息存储单元中的信息处理设备信息、和存储在设置信息存储单元中的安全通信设置信息的单元。
6.如权利要求1的通信设备，其中信息处理设备发现单元通过监视为信息处理设备设置IP地址的通信来获取信息处理设备的IP地址。
7.如权利要求6的通信设备，其中用于设置IP地址的通信是DHCP通信。
8.如权利要求1的通信设备，所述通信设备包括IPv6地址设置单元，配置为在信息处理设备不支持IPv6时给通信设备设置IPv6地址；伪IPv4分组发送单元，配置为将去往IPv6地址的分组的目的地转换成信息处理设备的IPv4地址，并将经转换的分组发送到信息处理设备；和伪IPv6分组发送单元，配置为将信息处理设备发送的分组的源转换成IPv6地址，并发送经转换的分组。
9.一种在连接到信息处理设备的通信设备中的通信方法，包括信息处理设备发现步骤，发现信息处理设备；安全通信分组转换步骤，将由所发现的信息处理设备发送的非安全通信分组转换成安全通信分组；和非安全通信分组转换步骤，将去往信息处理设备的安全通信分组转换成非安全通信分组。
10.如权利要求9的通信方法，所述通信方法包括信息获取步骤，从所发现的信息处理设备获取关于信息处理设备的信息处理设备信息。
11.如权利要求10的通信方法，其中所述通信设备包括信息处理设备信息存储单元，配置为存储已知信息处理设备的信息处理设备信息，所述通信方法包括根据信息获取步骤获取的信息处理设备信息和存储在信息处理设备信息存储单元中的信息、确定是否为所发现的信息处理设备进行安全通信分组的转换处理的步骤。
12.如权利要求9的通信方法，其中所述通信设备包括设置信息存储单元，配置为存储用于每个已知信息处理设备的安全通信设置信息，所述通信方法包括从设置信息存储单元获取相应于所发现的信息处理设备的安全通信设置信息、使用获得的安全通信设置信息为所发现的信息处理设备设置安全通信的步骤。
13.如权利要求11的通信方法，所述通信方法包括根据外部设备的请求更新存储在信息处理设备信息存储单元中的信息处理设备信息、和存储在设置信息存储单元中的安全通信设置信息的步骤。
14.如权利要求9的通信方法，其中，在信息处理设备发现步骤中，通信设备通过监视为信息处理设备设置IP地址的通信来获得信息处理设备的IP地址。
15.如权利要求14的通信方法，其中所述设置IP地址的通信是DHCP通信。
16.如权利要求9的通信方法，所述通信方法包括IPv6地址设置步骤，当所述信息处理设备不支持IPv6时给所述通信设备设置IPv6地址；伪IPv4分组发送步骤，将去往IPv6地址的分组的目的地转换成信息处理设备的IPv4地址，并将经转换的分组发送到信息处理设备；和伪IPv6分组发送步骤，将信息处理设备发送的分组的源转换成IPv6地址，并发送经转换的分组。
17.一种使连接到信息处理设备的通信设备向信息处理设备提供安全通信的程序，所述程序包括信息处理设备发现程序代码单元，配置为发现信息处理设备；安全通信分组转换程序代码单元，配置为将由所发现的信息处理设备发送的非安全通信分组转换成安全通信分组；和非安全通信分组转换程序代码单元，配置为将去往所述信息处理设备的安全通信分组转换成非安全通信分组。
18.一种存储使连接到信息处理设备的通信设备向信息处理设备提供安全通信的程序的计算机可读记录媒体，所述程序包括信息处理设备发现程序代码单元，配置为发现信息处理设备；安全通信分组转换程序代码单元，配置为将由所发现的信息处理设备发送的非安全通信分组转换成安全通信分组；和非安全通信分组转换程序代码单元，配置为将去往所述信息处理设备的安全通信分组转换成非安全通信分组。
全文摘要
提供连接到信息处理设备的通信设备。所述通信设备包括信息处理设备发现单元，配置为发现信息处理设备；安全通信分组转换单元，配置为将由所发现的信息处理设备发送的非安全通信分组转换成安全通信分组；和非安全通信分组转换单元，配置为将去往所述信息处理设备的安全通信分组转换成非安全通信分组。
文档编号H04L12/24GK1812406SQ20051012164
公开日2006年8月2日 申请日期2005年12月21日 优先权日2004年12月21日
发明者大平浩贵 申请人:株式会社理光