通信设备及其控制方法

专利名称：通信设备及其控制方法
技术领域：
本发明涉及一种连接到网络并具有地址过滤功能的通信设 备及其控制方法。
背景技术：
近年来随着因特网的普及，已经开始关注来自外部装置的
不希望的远程访问或攻击以及包窃听(packet interception)等网 络安全的脆弱性。作为针对该问题的方法，网络装置通常具有 用于使用IP地址或物理地址过滤来自外部装置的不希望的访问 的功能。利用这种过滤功能，用户预先登记他/她希望拒绝的特 定地址；通过拒绝来自具有已登记地址的外部装置的访问来保 证安全(日本特开20()2-152279号々V才艮)。
在某些像这样的过滤功能中，登记要拒绝接收的IP地址， 使得当发出访问请求的外部装置的IP地址与已经登记的地址匹 配时，识别并过滤该IP地址。在其它像这才羊的过滤功能中，登 记MAC地址，使得当发出访问请求的外部装置的MAC地址与已 经登记的地址匹配时，识别并过滤该MACi也址。
然而，由于在外部装置具有多个地址的情况下，需要用户 将外部装置的所有地址都设置为要过滤的目标，因而诸如此类 的传统网络装置过滤技术增加了工作量。此外，存在这样的问 题在手动登记多个地址的情况下，可能发生登记遗漏或者登 记错误，使得某个外部装置没有被作为要过滤的目标来处理， 并导致不能防止未授权访问的情况。
另 一 方面，在登记了允许访问的外部装置的地址的情况下， 如果存在/^记遗漏或者登记错误，则将拒绝来自应该允许访问 的外部装置的访问。最重要的是，由于假定仅使用IPv4地址来 建立传统过滤技术，因而在预期要广泛使用的IPv6地址等的地
址长度长并且多个地址要处理的情况下，应用这些技术是很困 难的。

发明内容
希望解决传统技术的上述问题。
本发明的另一方面在于，在登记了拒绝或者允许接收的外 部装置的地址的情况下，通过防止外部装置地址的登记遗漏或 者登记出错，来可靠地拒绝或者允许从外部装置的接收。
本发明的另 一方面还在于减少了登记外部装置的地址所需 的劳动。
根据本发明的第一方面，提供一种通信设备，用于通过通 信线路向外部装置发送信息和从外部装置接收信息，该通信设
备包括
登记处理部件，用于将外部装置的地址信息作为可用于拒 绝从所述外部装置接收或允许从所述外部装置接收的第一地址 信息登记在存储单元中；
获得部件，用于获得所述外部装置所保持的另外的地址信 息，其中所述外部装置具有由所述登记处理部件登记的所述第 一地址信息；
附加登记处理部件，用于将所述获得部件所获得的所述另 外的地址信息与所述第 一 地址信息相关联地登记在所述存储单 元中；
判断部件，用于在所述通信设备接收到外部装置发送给它 的信息时，判断有关的所述外部装置的所述第 一 地址信息和/ 或所述另外的地址信息是否被存储在所述存储单元中；以及
过滤控制部件，用于根据所述判断部件判断出是否存储了 所述外部装置的所述第 一地址信息和/或所述另外的地址信息， 来拒绝或允许从所述外部装置接收发送来的信息。
根据本发明的第二方面，提供一种通信设备的控制方法， 所述通信设备用于通过通信线路向外部装置发送信息和从外部
装置接收信息，所述控制方法包括以下步骤
登记步骤，用于将外部装置的地址信息作为可用于拒绝从 所述外部装置接收或允许从所述外部装置接收的第一地址信息
登记在存储单元中；
获得步骤，用于获得所述外部装置所保持的另外的地址信 息，其中所述外部装置具有登记在所述存储单元中的所述第一 地址信息；
存储步骤，用于将所获得的另外的地址信息与所述外部装 置的所述第 一地址信息相关联地存储在所述存储单元中；
判断步骤，用于在所述通信设备接收到外部装置发送给它 的信息时，判断有关的所述外部装置的所述第 一 地址信息和/ 或所述另外的地址信息是否被存储在所述存储单元中；以及
过滤步骤，用于根据在所述判断步骤中判断出是否存储了 所述外部装置的所述第 一地址信息和/或所述另外的地址信息， 进行过滤以拒绝或允许从所述外部装置接收发送来的信息。
通过以下参考附图对典型实施例的说明，本发明的其它特 征将变得明显。


包含在说明书中并构成说明书的一部分的附图，示出了本 发明的实施例，并与说明书 一起用于解释本发明的原理。
图l是示出根据本发明典型实施例的数字多功能外围设备
的硬件结构的框图2是示出根据本发明实施例的在多功能外围设备上执行
的软件结构的示例的功能框图3是示出根据本发明实施例的网络结构的示例的图4是示出网络装置的IP地址和主机名称的列表的示例的
图5是示出根据本发明实施例的将由DNS服务器管理的数 字多功能外围设备和外部装置的IP地址与其主机名称相关联的 配置文件的图6是说明在用户界面部将单个外部装置的地址设置为过 滤目标的情况下，根据本发明实施例的数字多功能外围设备的 处理的流程图7是示出根据本发明实施例的连接拒绝地址的登记画面 的示例的图8是示出根据本发明实施例的将外部装置保持的所有IP 地址登记为连4妄拒绝地址的令》记画面的示例的图9是示出根据本发明实施例的要求用户选择是否将外部 装置保持的另外的IP地址登记为连接拒绝地址的画面示例的 图IO是示出根据本发明实施例的存储在过滤地址存储单元 中的连接允许和连接拒绝IP地址的示例的图ll是说明在用户界面部将单个外部装置的地址设置为过 滤目标的情况下，根据本发明第二实施例的数字多功能外围设 备的处理的流程图12是示出根据第二实施例的存储在过滤地址存储单元中 的过滤目标M八(^也址的列表的图13是示出第二实施例中当MAC地址被判断出为路由器的mac地址时要求用户选择是否将mac地址作为过滤地址登 记在过滤地址存储单元中的画面示例的图14是说明在用户界面部将外部装置的地址设置为过滤目 标的情况下，根据本发明第三实施例的数字多功能外围设备的 处理的流程图15是示出根据第三实施例的存储在数字多功能外围设备 的发送/接收日志存储部中的数据的示例的图16是示出要求用户选择是否将所获得的mac地址登记 为过滤地;址的画面示例的图17是说明在用户界面部将单个外部装置的地址设置为过 滤目标的情况下，根据本发明第四实施例的数字多功能外围设 备的处理的流程图；以及
图18是说明在用户界面部将单个外部装置的地址设置为过 滤目标的情况下，根据本发明第五实施例的数字多功能外围设 备的处理的流程图。
具体实施例方式
下面将参考附图详细说明本发明的多个实施例。以下实施
例不是旨在限制本发明的权利要求，并且并非实施例中所述特 征的全部组合都是本发明的解决手段所必须的。
图l是示出根据本发明典型实施例的数字多功能外围设备 IOO的硬件结构的框图。该数字多功能外围设备100连接到网络
11并起到可通过网络m与其它网络装置交换数据的网络装置 (通信设备)的作用。
c p u io i执行数字多功能外围设备i o o的控制程序以控制
整个多功能外围设备。rom 102存储多功能外围设备100的引导 程序、固定参数等。ram: 103具有用于存储cpu 101执行的程序的区域，并且在控制多功能外围设备100的操作时用来临时存
储数据等。HDD 108是硬盘驱动器，并用来存储各种数据，例 如打印数据。计时器112管理计时处理中经过的时间。打印4几I/F 单元104控制打印机110的操作。NVRAM 105是非易失性存储 器，并以非易失性方式存储多功能外围设备1 0 0的各种设置值。 面板控制器〗()6控制操作台(consolc)单元109 ，从而控制操作台 单元109上的显示以及用户利用操作台单元109输入的各种信息 和指令。网络1/F控制器107控制向网络111发送数据以及从网络 lll接收数据，其中，网络1U是LAN等。总线108是将上述组件 中的每一个与CPU IOI相连接的系统总线，并传送来自CPU 101 的控制信号、数据信号等。
指示执行这样的程序时，将该程序加载到RAM 103并在CPU 101的控制下来寺丸4亍该程序。
图2是示出根据本实施例的在多功能外围设备1 OO上执行的 软件结构的示例的功能框图。
在图2中，用户可以使用用户界面部201来登记地址，使得 该地址被过滤。用户界面部201包括控制才喿作台单元109的程序。 通过过滤地址登记部202(登记处理部件(步骤))将利用用户界面 部201输入的地址信息存储(登记)在过滤地址存储单元204中。 过滤地址存储单元204与上述HDD 108和NVRAM 105相对应。 此外，当已经登记了地址信息时，过滤地址登记部202将已登记 的地址信息传递到扩展地址(extended address)控制部203 ,以判 断保持已登记地址信息的外部装置是否具有另外的地址信息。 当从过滤地址登记部202接收到地址信息时，扩展地址控制部 203起到通过使用发送/接收日志存储部207和包发送/接收部 206来获得保持所接收到的地址信息的外部装置的另外的地址信息的获得部件的作用。包发送/接收部2 0 6控制通过网络111与 外部装置的数据交换。因此，通过扩展地址控制部203和过滤地 址登记部2 0 2的协同工作来实现附加登记处理部件。
每当在包发送/接收部2 0 6和外部装置之间通信包数据时， 发送/接收日志存储部207就更新其日志信息。与外部装置的IP 地址或MAC地址相关联地存储该日志信息。注意，发送/接收日 志存储部2()7也被称为ARP(Acldrcss Resolution Protocol,地址解 析协议)高速緩存表。当将包数据发送到外部装置时，包发送/ 接收部206首先参考发送/接收日志存储部207,如果存在可应用 的IP地址，则将该包数据发送到对应的MAC地址。此外，如果 将地址信息登记在过滤地址存储单元204中，则无"i仑何时包发送 /接收部2 0 6从网络111接收包数据，都将发送了连冲妻-清求的外部 装置的地址信息传递给网络过滤控制部205。这里，网络过滤控 制部205参考过滤地址存储单元204,并判断是否存在可用于接 收到的地址信息的过滤信息(地址)。在这一点上，如果在接收 到的地址信息中发现了可应用的过滤信息(地址)，则网络过滤 控制部2 0 5对发送了连接请求的外部装置执行预定处理。 图3是示出根据本发明实施例的网络结构的示例的图。 在图3中，附图标记H)O表示上述具有才艮据本实施例的过滤 功能、并且可以对外部装置应用过滤设置的数字多功能外围设 备(网络装置)。附图标记302和303表示安装在与数字多功能外 围设备l.OO共享的网络11 l上的、并且通过网络111通信数据的外 部装置。此夕卜，外部装置305可通过路由器304从不同的子网306 与多功能外围设备100进行通信。1)NS服务器307通过将网络111 上的各装置(设备)的IP地址和主机名称相关联来执行管理。 图4是网络装置的IP地址和主机名称的列表的示例的图。 这里，数字多功能外围设备(网络装置)100保持IPv4地址"1 69.1 ().(). 1 "以及IPv6地址"fe80:: 1 OOO"和"3000:: 1000"。它还保 持主机名称"net"。 类似地，夕卜部装置302保持IPv4地址 "169.1 0.0.2，，以及lPv6地址"fe8()::2000"和"3 000::2000"。它还保 持主机名称"devl"。外部装置303保持IPv4地址"169.10.0.3，，以及 IPv6地址"fc80::3()0()，，和"3000::3000"。 它还保持主机名称 "dev2，，。夕卜部装置305保持IPv4地址"169.20.0.1"以及IPv6地址 "fe80::2001，，和"3()00::200r，。它还保持主机名称"dev3，，。最后， DNS服务器307保持IPv4地址"169.10.0.5"以及IPv6地址 "fe80::5000，，和"3()00::5()()0，，，并进行数字多功能夕卜围设备IOO、 外部装置3 0 2和3 () 3以及3 0 5的I— P地址和主一JL名称的名称解冲斤。
图5是示出根据本实施例的将DNS服务器307管理的数字多 功能外围设备和外部装置的IP地址与其主才几名称相关联的配置 文件的图。
每当客户端发送DNS询问时，DNS服务器307就参考该配置 文件，并通过进行名称解析来应答。在DNS服务器307中，可通 过DNS服务器307的管理员手动设置装置的IP地址和主机名称； 可选地，当在装置中使DNS设置有效时，装置周期性地在DNS 服务器307上进行登记。在图5中，"IN A"代表IPv4地址，"IN AAAA"代表lPv6地址。
下面将基于上述条件说明本发明的典型实施例。
第 一实施例
图6是说明在用户界面部2 01将单个外部装置的地址信,氛、设 置为过滤目标的情况下，根据第一实施例的数字多功能外围设 备1 OO的处理的流程图。这里所述的序列是当通过使用DNS服务 器307还获得与地址信息有关的另外的IP地址并且还将所获得 的IP地址设置为过滤目标时的序列。
首先，在步骤S1中，过滤地址《^记部202从用户界面部201接收要过滤的IP地址。此时，在用户界面部201中，可以输入任 何IP地址，而不管它是IPv4地址还是IPv6地址。在本实施例中， 如图7中所示，将外部装置302的IPv4地址"169.10.0.2"登记为过 滤目标地址，从而拒绝来自夕卜部装置302的连冲妻。
图7是示出第 一 实施例中的连接拒绝i也址的登记画面的示 例的图。这里，将该地址以及用于指定"录入(entry)"、"删除 (cancel)，，和"关闭(close)"的软键显示在l喿作台单元109的显示区 域中。
接下来，在步骤S2中，过滤地址登记部202将输入的地址 登记在过滤地址存储单元204中。此时，如果该地址与已经登记 在过滤地址存储单元204中的IP地址匹配，则不进行登记任务。 此外，过滤地址登记部202将在步骤S1中输入的IP地址传递到扩 展地址控制部203 ,以获得由外部装置302所保持的另外的IP地
来获得由外部装置302所保持的另外的IP地址。在第 一 实施例 中，例如，采用基于接收到的由外部装置302所保持的IP地址使 用DNS服务器307来确定由外部装置302所保持的另外的IP地址
的配置。
接下来，在步骤S3中，扩展地址控制部203利用记录A(IPv4 地址)向I)NS服务器3()7进行关于所接收到的IP地址"169.10.0.2" 的主机名称的询问。在步骤S4中，判断是否从DNS服务器307 成功获得了主机名称。如果成功获得了主机名称，则执行步骤 S5，否则结束该处理。在第一实施例中，DNS服务器307基于例 如图5中所示的配置文件返回对应的主才几名称"devl"。
例如，在图5中，附图标记501表示外部装置302的主机名称 和IPv4地址之间的关联，附图标记502表示外部装置3 02的主机 名称和LPv6地址之间的关联，附图标记503表示外部装置302的 主机名称和IP V6地址之间的关联u
当在步骤S4中获得了主机名称时，处理进入步骤S5，以便 向DNS服务器307询问所获得的外部装置302的主机名称"devl" 的IP地址。此时，利用记录AAAA和记录A二者向DNS服务器307 进行询问。然后，在步骤S6中，如果从DNS服务器307发送了 IP 地址，则处理进入步骤S7，反之如果/人DNS服务器没有获得可 应用的1P地址，则结束该扩展地址处理。在第一实施例中，DNS 服务器3()7基于例如图5中所示的配置文件返回与记录A相对应 的IPv4地址"169.10.0.2"。此外，还-返回与i己录AAAA相对应的 IPv6地址"fe80::2000，，和"3000::2000，，(;参见图4和图5)。
以这种方式，将从DNS服务器3 07获得的地址信息通过包发 送/4妄收部206传递到扩/良地址控制部203 。扩展地址控制部203 判断列表中是否存在除登记在过滤地址存储单元204中的IP地 址"169.10.0.2"以夕卜的任何地址。才艮据上述列表，IP地址 "fc80::2000，，和"3000::20()0，，还没有被登记。在这种情况下，处 理从步骤S6进入步骤S7，从而扩展地址控制部203将这两个IP 地址传递到过滤；也址垂5记部202。通过这样，过滤地址登记部202 将所述IP地址登记在过滤地址存储单元2 0 4中。
用这种方式，如图8中所示，将外部装置302所保持的所有 IP地址显示在用户界面部201中，如果此时指定"关闭"，则这些 地址被登记为过滤地址。如果此时优不想^|夸它们登记为过滤地 址，贝'j可以通过选择可应用的地址并指定"删除"来从过滤地址 中排除这些地址。
图8是示出根据本实施例的将外部装置3 0 2所保持的所有IP 地址登记为连冲妄拒绝地址的登记画面的示例的图。在_|喿作台单 元109中显示该画面。
可选地，可以如图9中所示显示外部装置302所保持的另外
的IP地址的列表，从而用户可以选4奪是否登记每个地址。
图9是示出根据本实施例的要求用户选择是否将外部装置
3 0 2所保持的各另外的IP地址登记为连接拒绝地址的画面示例 的图。当利用光标(未示出)选择了这两个所显示地址中的一个 时，如果指定"是"900,则该地址被登记为连接拒绝地址，反之 如果指定"否"9()1,则该地址不被^务记为连4妻拒绝地址。以这种 方式，用户可以逐地址来选择是否将各个;t也址登记为过滤目标 地址。
下面，将说明当在数字多功能外围设备1 00已经像这样完成 了登记任务之后外部装置302使用IP地址"169.10.0.2，，发送试图 连接到多功能外围设备10()的包时所发生的处理。在这种情况 下，多功能外围设备100从包发送/接收部206所接收到的包中获 得目的地IP地址"169.10.0.2"。然后，将地址信息传递到网络过 滤控制部205 。网络过滤控制部205参考过滤地址存储单元204 来判断接收到的IP地址是否已经被设置为过滤目标。
图:10是示出根据本实施例的存储在过滤地址存储单元204 中的连接允许和连接拒绝IP地址的示例的图。
在本示例中，从外部装置302接收到的地址"169.10.0.2，，已 经被登记为连接拒绝地址。因此，网络过滤控制部205丟弃接收 到的包，并指示包发送/接收部206对请求连接的包返回应答。
此夕卜，在外部装置302使用IP地址"fe80::2000，，将连接请求 包发送到数字多功能外围设备1 00的情况下，在与对IP地址 "169.1 0.().2"所进行的过程类似的过程中丟弃该连接请求。
最后，在外部装置303使用IP地址"169.20.0.3"将连接请求 包发送到多功能外围设备10 0的情况下，由于该IP地址没有被登 记在过滤地址存储单元204中，因而接受该连接请求并建立通 信。如上所述，在第一实施例中，当用户^5l登记了由外部装置
3 0 2所保持的]1 >地址中的 一 个时，可以获得外部装置3 0 2所保持
的另外的ip地址并将其登记为过滤地址。这〗吏;彈可以可靠地拒' 绝从具有多个[p地址的外部装置接收包数据，从而降低由地址 登记遗漏造成的安全风险。
此外，由于用于对特定外部装置的单个IP地址进行接收拒 绝的登记的简单指示可以自动登记该外部装置的另外的地址信 息，因而这具有减轻登记所需的工作量的效果。
注意，尽管在第一实施例中登记IPv4地址，但是也可以代 替IPv4地址而登记IPv6地址。此外，当输入IPv6地址时，在图6 的流程图的步骤S3中，可以利用记录AAAA向DNS服务器307 发送对主才几名称的DNS询问。
第二实施例
图ll是说明在用户界面部201将单个外部装置的地址设置 为过滤目标的情况下，根据本发明第二实施例的数字多功能外 围设备100的处理的流程图。在本示例中，通过向登记的IP地址 发送ping命令来获得外部装置的MAC地址，并将获得的MAC地 址应用于MAC地址过滤器，从而在物理层级上进行过滤。注意， 由于在第二实施例中多功能外围设备IOO、其软件结构、其网络 结构等与第 一 实施例中的相同，所以将省略对它们的说明。ping 命令是通过因特网等TCP/IP网络向目的地发送小型包数据以基 于对该包数据的应答的返回时间来检查通信线路的状态的命 令。
首先，在步骤S11中，过滤地址登记部202从用户界面部201 4妾收要过滤的IP:t也址。此时，在用户界面部201中，可以以IPv4 地址或lPv6地址^r入IP地址。在第二实施例中，与上述第一实 施例中类似，如图7中所示，输入外部装置302的IPv4地址"169.1().0.2，，以登记为过滤目标地址。
接下来，在步骤S12中，过滤地址登记部202将输入的地址 登记在过滤地址存储单元204中。此时，如果该IP地址已经被登 记，则不进行登记任务。然后，在步骤S13中，数字多功能外 围设备l()O向登记的IP地址发送ping命令，以获得外部装置302 的MAC地址。然后，如果在步骤S14中从外部装置302接收到对 ping命令的应答，则处理进入步骤S15。如果不存在应答，则照 现在的样子结束该处理。
在步骤S15中，获得包括在从外部装置接收到的包中的 MAC地址"0()aa()0123457，，(参见图4)。然后，将该MAC地址传递 到网络过滤控制部205。由此，网络过滤控制部205将该MAC地 址作为连接拒绝地址的MAC地址登记在过滤地址存储单元204中。
随后，当外部装置302试图利用例如"169.10.0.2，，的IP地址
访问多功能外围设备1 OO时，这将引起以下处理发生。换句话说， 包发送/接收部206从接收到的包中获得目的地MAC地址以确定 位于该包下层的MAC地址的过滤条件。然后，将MAC地址传递 到网络过滤控制部2 0 5 。由此，网络过滤控制部2 0 5参考过滤地 址存储单元2 0 4以判断传递来的M A C地址是否已经被设置为过 滤目标。如图12所示，过滤地址存储单元204存#~过滤目标MAC 地址的列表。因此，在这种情况下，由于根据图4， IP地址 "169.10.0.2"的MAC地址是"00aa00123457",并且该MAC地址与 图12中所示的连接拒绝MAC地址匹配，因而拒绝来自外部装置 302的访问"i貪求。
图12是示出冲艮据第二实施例的已存储在过滤地址存储单元 204中的过滤目标MAC地址的列表的图。
如上所述，过滤目标MAC地址被作为连接拒绝地址登记在
过滤地址存储单元204中。在判断为存4渚了可应用的地址时，网 络过滤控制部2()5将连接拒绝发送到包发送/接收部206。由于接 收到的包是来自登记成连接被拒绝的地址的包，因而这使包发 送/接收部206立即丟弃该接-收到的包。
类似地，即使当夕卜部装置302使用IPi也址"fe80::2000"访问 多功能外围设备100时，MAC地址仍然相同，因而以类似于上 述的方式拒绝连4妄请求。
同时，在具有不同IP地址的外部装置303试图访问该多功能 外围设备l()()的情况下，除非外部装置303的地址被登记在过滤 地址存储单元2()4中，否则执行向外部装置303发送包和从外部 装置303接收包。
尽管在第二实施例中，从用户界面部201^企记IPv4地址，然 而该地址也可以是IPv6地址。如果将IPv6地址-没置为过滤地址， 则判断输入的地址是IPv4地址还是IPv6地i止。如果是IPv4地址， 则在步骤S13中发出对应的ping命令。如果是IPv6地址，则可以 发出与该地址相对应的ping命令。
此外，在第二实施例中，存在这样的情况登记在过滤地 址存储单元2 0 4中的外部装置的地址在同 一 链接外，例如图3中 所示的外部装置305。在该情况下，数字多功能外围设备100将 ping命令发送到外部装置305。在这种情况下，从外部装置305 返回的应答包的目的地MAC地址是路由器304的MAC地址。因 此，如果如上述实施例中所述将MAC地址登记为过滤地址，则 将被配置成拒绝来自经过路由器304的所有外部装置的访问。考 虑到该因素，添加这样的功能在多功能外围设备100接收到对 ping命令的应答的情况下，判断MAC地址是否为路由器304的地 址。例如，当获得了 M.八C地址时，将该MAC地址与预先在多功 能夕卜围设备100中配置的默认网关地址(路由器)的MAC地址进
行比较以判断该地址是否为路由器的地址。可选地，可以参考
多功能外围设备10 0所保持的路由表以判断它是否为路由器3 0 4 的地址。如果作为发送源的外部装置^皮判断出位于路由器304 外，则如图]3中所示，可向用户提供选项以选择是否将路由器 3 0 4的M A C地址7全记为过滤地址。
图13是示出第二实施例中在MAC地址被判断出为路由器 304的MAC地址的情况下，要求用户选4奪是否将该MAC地址作 为过滤地址登记在过滤地址存储单元204中的画面示例的图。
如果此时指定"是，，，则路由器的MAC地址将被登记在过滤 地址存储单元204中，反之如果指定"否"，则将取消登记。
在另一示例中，当在用户界面部201中输入了IP地址时，使 用跟踪(tracer)命令以判断与该IP地址的通信是否经过路由器 304。如果保持该IP地址的外部装置被判断出在路由器3 04外， 则通过显示如图13中所示的画面以类似的方式4是供选项，使得 用户可以选择是否将路由器304的MAC地址登记在过滤地址存 储单元204中。
如上所述，才艮据第二实施例，可以获得与登记的IP地址相 对应的M A C地址，并且可以将该M A C地址登记为过滤地址而不 使用I)NS服务器。
此外，在通过路由器接收到MAC地址的情况下，可以通过 使用户选择是否将该MAC地址登记为过滤地址来登记该MAC 地址。
第三实施例
图14是说明在用户使用用户界面部201将外部装置的地址 设置为过滤目标的情况下，根据本发明第三实施例的数字多功 能外围设备]()()的处理的流程图。应该注意，由于在第三实施例 中的多功能外围设备IO()、其软件结构、其网络结构等与第一实施例中的相同，所以将不再给出对它们的说明。
图]4中所示的处理代表通过利用发送/接收日志存储部207
址存储单元2()4中来在物理层级上进行过滤的处理。
首先，在步骤S21中，过滤地址登记部202从用户界面部201 输入要过滤的IPi也址。此时，在用户界面部20.中，可以以IPv4 地址或者IPv6地址输入IP地址。在第三实施例中，例如，如上 述第 一 实施例中的图7所示，将外部装置302的IPv4地址 "169.10.0.2，Mt记为连接-拒绝地址。
接下来，在步骤S22中，过滤地址登记部202将输入的地址 登记在过滤地址存储单元204中。此时，如果该IP地址与已经登 记在过滤地址i&i己部202中的IP地址匹配，则不登记该地址。
然后，在步骤S23中，为了获得外部装置302的MAC地址， 数字多功能外围设备100参考由多功能外围设备100所保持的发 送/接收日志存储部207,并确定外部装置302的MAC地址。在发 送/接收日志存储部207中，如图15中所示，例如，多功能外围 设备100和外部装置之间过去通信时的目的地IP地址和MAC地 址被成对存储起来。
图15是示出根据第三实施例的多功能外围设备100的发送/ 接收日志存储部207的存储数据的示例的图。
图15示出了 IP地址"169.1().0.2"保持MAC地址(图15中的 "物理地址")"0()aaOO123457"。
随后，如果在步骤S24中将MAC地址存储在发送/接收日志 存储部207中，则处理进入步骤S25，以^_扩展地址控制部203 将获得的MAC地址传递到过滤地址登记部202。由此，过滤地 址登记部202参考过滤地址存储单元204以判断在过滤地址登记 部202中是否已经登记了可应用的MAC地址。如果还没有登记，
获得外部装置
则在步骤S25中将"00aa00123457"新登记为过滤目标MAC地址。
可选地，如图16中所示，可以在才喿作台单元1 0 9中显示选项， 使得用户可以选择是否将获得的MAC地址登记为要过滤的 MAC地址。
图16是示出要求用户选择是否将以这种方式获得的MAC 地址登记为过滤i也址的操作台单元109中的画面示例的图。
如果在该画面上指定"是"，则将该MAC地址登记为过滤地 址，反之如果指定"否"，则不登记该MAC:t也址。
注意，如果在步骤S24中没有将IP地址存储在发送/接收日 志存储部207中，则照现在的样子结束扩展地址处理。
由此,即使当外部装置302试图利用IP地址"1 69.1 0.0.2"访 问时，包发送/接收部2()6也首先检查位于下层的MAC地址的过 滤条件。然后，从接收到的包中获得MAC:l也址，并将其传递到 网络过滤控制部205。由此，网络过滤控制部205参考过滤地址 存储单元2 0 4以判断所传递的M A C地址是否已经被设置为过滤 目标。
这里，在过滤地址存储单元204中，如上述图12中所示，存 储过滤目标MAC地址的列表。在该情况下，由于MAC地址 "0 0 a a0 012 3 4 5 7 "吉支登记为连接拒绝地址，因而网络过滤控制部
被判断出已被登记为拒绝连接的包，因而包发送/接收部206立 即丢弃该接收到的包。
同样，如果外部装置302试图利用IP地址"fe80::2000，，访问， 则由于其MAC地址是"00aa00123457，，(参见图4)，因而来自外部 装置302的连接请求将以类似的方式被拒绝。
同时，在具有不是被拒绝地址的地址的外部装置3 0 3试图访 问多功能外围设备100的情况下，由于外部装置303的地址没有
被登记在过滤地址存储单元204中，因而接受来自外部装置303 的连接请求。
如到目前为止所述，在第三实施例中，可以从包发送/接收 日志中获得与LP地址相对应的MAC地址，从而MAC地址也^皮登 记为过滤地址。由此，IP地址和MAC地址都可以被登"i己为过滤 地址，从而可以更可靠地拒绝来自被过滤外部装置的连接请求。
第四实施例
图17是说明在用户界面部201将单个外部装置的地址设置 为过滤目标的情况下，根据本发明第四实施例的数字多功能外 围设备100的处理的流程图。第四实施例是将发送/接收日志存 储部207用来获得由特定外部装置所保持的另外的IP地址从而 将获得的1P地址设置为IP过滤目标的示例。应该注意，由于第 四实施例中数字多功能外围设备IOO、其软件结构、其网络结构 等与第 一 实施例中的相同，因而将省略对它们的说明。
首先，在步骤S31中，过滤地址登记部202从用户界面部201 接收过滤目标JLP地址。此时，在用户界面部201中，可以以IPv4 地址或者IPv6地址输入IP地址。在第四实施例中，例如，如上 述图7中所示，将外部装置302的IPv4地址"169.10.0.2，，登记为过 滤目标地址。
接下来，在步骤S32中，过滤地址登记部202将输入的地址 登记在过滤地址存储单元204中。如上所述，如果该地址与已经 登记在过滤地址存储单元204中的IP地址匹配，则不登记该IP 地址。然后，在步骤S33中，多功能外围设备100参考发送/接收 曰志存储部2 0 7 ，以获得与该IP地址相对应的外部装置3 0 2的 MAC地址。接下来，在步骤S34中，判断是否已经存储了与在 步骤S31中所接收到的IP地址相对应的MAC地址。
在图.5所示的示例中，发送/接收日志存^t部207的内容示 出了 11"也*止"169.10.0.21呆4寺^^\(:^^止''0(^300123457，，。
在步骤S34中，如果判断为已经存卩诸了可应用的MAC地址， 则处理进入步I聚S35，以获得该MAC地址。在步骤S34中，如果 判断为没有存储与IP地址相对应的MAC地址，则结束扩展地址 处理。
随后，处理从步骤S35进入步骤S36，扩展地址控制部203 检查发送/接收日志存储部207，以判断是否存在与获得的MAC 地址相对应的另外的IP地址。然后，如果在步-骤S37中判断为存
处理进入步-骤S38。
在图15所示的示例中，清楚地，除了 "169.10.0.2'，以夕卜， MAC地址"()()aa0012345 7，，还保持IP地址"fe80::2000"和"3000:: 2000"。因此，在这种情况下，将这些IP地址传递到过滤地址存 储单元204。在本示例中，处理从步骤S37进入步骤S38，从而 过滤地址登记部2 0 2将接收到的IP地址登i己在过滤地址存4诸单 元204中'，
在步骤S37中，如果在发送/接收日志存储部207中没有发现 IP地址，则照现在的样子结束扩展地址处理。在包发送/接收部 206中不存在包括另外的IP地址的日志的情况下，即使存在IP 地址并获得了MAC地址'也结束扩展地址处理。
随后,如果外部装置302试图利用IP地址"169.10.0.2"进行 访问，则包发送/接收部2()6首先检查位于下层的MAC地址的过 滤条件。因此，从接收到的包中获得MAC地址，并将该MAC 地址传递到网络过滤控制部205。由此，网络过滤控制部205参 考过滤地址存储单元2 0 4以判断传递来的M A C地址是否已经被 设置为过滤目标。这里，在过滤地址存储单元204中，存在例如如图12中所示的过滤目标MAC地址的列表，利用该列表可以确 认MAC地址被登记为连接拒绝地址。因此，网络过滤控制部205 向包发送/接收部206发送连接拒绝。由于接收到的包已经被登 记成拒绝其连接，因而包发送/接收部206丟弃该接收到的包。
同样，如杲外部装置302试图利用IP地址"fe80::2000"进行 访问，则由于其MAC地址已经被登记为过滤目标，因而以类似 于上述的方式丢弃连控-i青求。
此外，在具有不同地址的外部装置3 0 3试图访问多功能外围 设备]OO的情况下，如果外部装置303的地址没有登记在过滤地 址存储单元204中，则将建立与外部装置303的连接。
如到目前为止所述，在第四实施例中，可以乂人过滤目标IP 地址中自动获得由特定装置所保持的另外的IP地址以及MAC 地址，并将其登记为过滤地址。这具有如下效果即使过滤目 标外部装置具有多个地址，也可以获4寻所有这些i也址，并将其 登记为过滤目标地址。
第五实施例
在第一实施例~第四实施例中，还获得由外部装置所保持 的另外的地址，并且在内部进行过滤设置。然而，存在所述各 操作不可实施的环境。
例如，在第一实施例的情况下，在DNS服务器不存在的环 境中不能获得另外的地址。此外，在外部装置不将其自身的地 址登记在DNS服务器307内的设置中，数字多功能外围设备IOO 对DNS服务器307的询问导致了名称解析失败。
另外，在上述第二实施例的情况下，如果关闭了被发送ping 命令的外部装置的电源，则自然不能获得应答。而且，如前所 述，如果外部装置存在于路由器304外，则获得的MAC地址将 是路由器304的MAC地址。此外，在第三实施例和第四实施例的情况下，如果不存在 多功能外围设备100和外部装置之间的通信日志，则在多功能外
围设备100的发送/接收日志存储部207中不存在关于外部装置 的信息。
由于可以々ii殳不能应用上述实施例的环境，因而将考虑以 相互组合的方式#14于上述实施例的情况。
图18是说明当用户界面部将单个外部装置的地址设置为过 滤目标时，根据本发明第五实施例的数字多功能外围设备IOO 的处理的流程图。第五实施例说明了对上述实施例进行组合的 扩展1P地址处理序列。
首先，在步骤S41中，过滤地址登记部202从用户界面部201 输入要过滤的IP地址。此时，在用户界面部201中，可以以IPv4 地址或IPv6地址，lr入IP地址。在第五实施例中，例如，如上述 图7中所示，外部装置302的IPv4地址"169.10.0.2，，被登记为过滤 目标地址。
接下来，在步骤S42中，过滤地址登记部202将输入的地址 登记在过滤地址存储单元204中。此时，如果该IP地址与已经登 记在过滤地址存储单元204中的IP地址匹配，则不登记该IP地 址。在随后的步马聚S43中，基于输入的IP地址向DNS服务器307 询问主才几名称。该处理与上述第 一 实施例中的相同。关于上述 第一实施例给出了该处理的详细说明。
在步骤S44中，判断通过向DNS服务器307的询问是否获得 了与输入的IP地址不同的TP地址。如果获得了不同的IP地址， 则处理进入步骤S45,以便还将该IP地址设置为过滤目标，并结 束扩展地址处理。此外，如上述第一实施例中一样，可以显示 选项，使得用户可以选择是否将获得的IP地址登记为过滤目标。
同时，如果在步骤S44中作为向DNS服务器307询问的结果而不能实现地址解析，则处理进入步骤S46,以便在试图获得 另外的IP地址时参考由数字多功能外围设备100所保持的发送/ 接收日志存储部207。该处理与第四实施例中的步骤S33相同。 关于上述第四实施例给出了该处理的详细说明。如果在步骤 S46中参考发送/接收日志存储部207并且在步骤S47中判断为获 得了另外的:1P地址，则处理进入步骤S48，以便还将该另外的IP 地址登记为过滤目标。可选地，可以显示选项，使得用户可以 选择是否将获得的IP地址登记为过滤目标。
此外，在第五实施例中，尽管通过使用发送/接收日志存储 部207获4寻了 IP地址，然而^fe照上述第三实施例也可以4吏用用于 获得MAC地址的部^"。
如果在步骤S 4 4中从I 〕 N S服务器3 0 7没有获得地址，则外部 装置可能没有将其自身的地址登记在DNS月艮务器307中。由于没 有在D N S服务器3 0 7中登记通常意味着不需要登记，因而外部装 置可能与多功能外围设备100处于相同链接中。因此，在多功能 外围设备10()的发送/接收日志存储部207中可能存在过去通信 的高速緩存(cache)。因此，有可能在步骤S47中可以获得另外 的IP地址。
同时，如果即使在参考发送/接收日志存储部207之后，在 步骤S47中也不能获得另外的IP地址，则处理进入步骤S49;在 试图获得外部装置的MAC地址时向输入的IP地址发送ping命 令。该处理与上述第二实施例中的处理(图11中的步骤S13)相 同。对于该处理的详细说明参考第二实施例。
然后，在步骤S50中，判断是否获得了对发送ping命令的应 答。如果存在应答，则处理进入步骤S51，以便将获得的MAC 地址登记为过滤目标。可选地，可以判断I定得的MAC地址是否 为路由器3()4的地址，如果是路由器304的地址，则可以显示图
13的画面以选4奪是否将该MAC地址登记为过滤地址。
如果在步骤S5()中不存在对ping命令的应答，则结束扩展IP 地址处理。
如到目前为止所述，在第五实施例中，通过組合上述实施 例中的地址获耳又处理，可以弥补各实施例由于环境问题而不能 处理的关注点。因此可以实现更安全的过滤功能。
如到目前为止所述，在第五实施例中，用户可以通过只将 由外部装置所保持的IP地址中的一个设置为过滤目标来自动设 置另外的IP地址。这降低了设置多个IP地址时所涉及的工作量。
此外，第五实施例具有可防止由地址登记的遗漏或出错而 引起的安全脆弱性的效果。尽管在第一实施例~第五实施例中， 说明了将特定地址登记为接收拒绝地址的示例，然而本发明还 可以应用于将特定地址登记为4妻收允许地址的情况。换句话"i兌， 可以拒绝从所登记的特定地址以外的4壬何地址的收，而不进 行只拒绝所登记的特定地址的设置。此时，当用户输入单个地 址作为接收允许地址时，如果获得了由与该地址相对应的外部 装置所保持的另外的地址信息并且将该另外的地址信息登记为 接收允许地址，则可以减少用户的工作量。
其它实施例
还可以通过将实现上述实施例的功能的软件程序直接或远 程提供至'j系统或装置从而该系统或装置的计算机读取并执行所 提供的程序来实现本发明。在该情况下，只要提供了程序的功 能，形式不局限于程序。
因此，还可以通过安装在计算机上从而在计算机中实施本 发明的功能处理的程序代码本身来实现本发明。换句话说，本 发明的权利要求还包括用于实现本发明的功能处理的实际计算 机程序。在该情况下，只要提供了程序功能，不特別限制包括
目标代码、由解释程序执行的程序、提供给()S的脚本数据等的 程序形式。
各种记录介质可以用来提供该程序。示例包括软(floppy, 注册商标)盘、硬盘、光盘、磁光盘、MO、 CD-ROM、 CD-R、 CD-RW、磁带、非易失性存储卡、ROM以及DVD (DVD-ROM、 DVD-R)。
另 一种程序提供方法是通过将客户计算机的浏览器连接到 因特网上的网站并从网页上将该程序下载到硬盘等记录介质来 提供程序。在该情况下，所下载的可以是本发明的实际计算机 程序，也可以是包括自动安装功能的压缩文件。此外，也可以 通过将构成本发明的程序的程序代码分割成多个文件并从不同 的网站下载各文件来实现本发明。换句话说，使多个用户能够 将实施本发明的功能处理的程序文件下载到计算机上的WWW
服务器也包括在本发明的权利要求中。
此外，将本发明的程序加密并存储在CD-ROM等存储介质 中之后将该程序分发给用户的形式也是可以接受的。在该情况 下，允许满足预定条件的用户从网站下载解密用的密钥信息， 从而用户可以通过使用密钥信息以可用的形式将加密程序安装 在计算机上。
此外，除了通过使计算机执行所读取的程序来实现上述实 施例的功能的形式以外，其它形式也是可4亍的。例如，当运行 在计算机上的OS等基于程序的指令进行部分或全部的实际处 理时，存在该处理可以实现上述实施例的功能的可能性。
此外，可以设置在插入到计算机中的功能扩展板上或者在 设置有功能扩展单元的存储器上写入从存储介质读取的程序。 在该情况下，设置到功能扩展板或者功能扩展单元上的C P U等 基于程序的指令进行部分或全部的实际处理，从而实现了上述 实施例的功能。
尽管参照典型实施例说明了本发明，7f旦是应该理解，本发
明不局限于所爿> 开的典型实施例。所附权利要求书的范围符合 最宽的解释，以包含所有这类修改、等同结构和功能。
权利要求
1.一种通信设备，用于通过通信线路向外部装置发送信息和从外部装置接收信息，该通信设备包括登记处理部件，用于将外部装置的地址信息作为可用于拒绝从所述外部装置接收或允许从所述外部装置接收的第一地址信息登记在存储单元中；获得部件，用于获得所述外部装置所保持的另外的地址信息，其中所述外部装置具有由所述登记处理部件登记的所述第一地址信息；附加登记处理部件，用于将所述获得部件所获得的所述另外的地址信息与所述第一地址信息相关联地登记在所述存储单元中；判断部件，用于在所述通信设备接收到外部装置发送给它的信息时，判断有关的所述外部装置的所述第一地址信息和/或所述另外的地址信息是否被存储在所述存储单元中；以及过滤控制部件，用于根据所述判断部件判断出是否存储了所述外部装置的所述第一地址信息和/或所述另外的地址信息，来拒绝或允许从所述外部装置接收发送来的信息。
2. 根据权利要求l所述的通信设备，其特征在于，所述附 加登记处理部件包括询问部件，用于询问用户是否将所述获得部件获得的所述 另外的地址信息登记在所述存储单元中，以及决定部件，用于基于对所述用户询问的应答来决定是否将 所述另外的地址信息登记在所述存储单元中。
3. 根据权利要求l所述的通信设备，其特征在于，所述获 得部件通过经所述通信线路询问D N S服务器来获得由具有所登 记的第 一地址信息的所述外部装置保持的所述另外的地址信息.
4. 根据权利要求l所述的通信设备，其特征在于，还包括 曰志存储部件，所述日志存储部件用于存储通过所述通信线路 的通孑言日志，其中，在将具有所登记的第一地址信息的所述外部装置的 另夕卜的地址信息存储在所述日志存储部件的情况下，所述获得 部件从所述日志存储部件中获得所述另外的地址信息。
5. 根据权利要求]所述的通信设备，其特征在于，所述获 得部件通过所述通信线路向具有所登记的第 一 地址信,包、的所述 外部装置发出命令，并获得包括在所述外部装置对所述命令的 应答中的另外的地址信息。
6. 根据权利要求l所述的通信设备，其特征在于，所述另 外的地址信息是IP地址。
7. 根据权利要求l所述的通信设备，其特征在于，所述另 外的地址信息是MAC地址。
8. —种通信设备的控制方法，所述通信设备用于通过通信 线路向外部装置发送信息和从外部装置接收信息，所述控制方 法包括以下步骤登记步骤，用于将外部装置的地址信息作为可用于拒绝从 所述夕卜部装置接收或允许从所述外部装置接收的第 一 地址信息 登记在存储单元中；获得步骤，用于获得所述外部装置所保持的另外的地址信 息，其中所述外部装置具有登记在所述存储单元中的所述第一 地址信息；存储步骤，用于将所获得的另外的地址信息与所述外部装 置的所述第 一地址信息相关联地存储在所述存储单元中；判断步骤，用于在所述通信设备接收到外部装置发送给它 的信息时，判断有关的所述外部装置的所述第 一 地址信息和/或所述另外的地址信息是否被存储在所述存储单元中；以及所述外部装置的所述第 一 地址信息和/或所述另夕I、的地址信息， 进行过滤以拒绝或允许从所述外部装置接收发送来的信息。
9. 根据权利要求8所述的控制方法，其特4正在于，所述存 储步骤包括询问步骤，用于询问用户是否将在所述获得步骤中获得的 所述另外的地址信息登记在所述存储单元中，以及决定步骤，用于基于对所述用户询问的应答来决定是否将 所述另外的地址信息登记在所述存储单元中。
10. 根据权利要求8所述的控制方法，其特征在于，在所述获得步骤中，通过经所述通信线路询问DNS服务器来获得由具有所登记的第 一 地址信息的所述外部装置保持的另外的地址信 ii、
11. 根据权利要求8所述的控制方法，其特征在于，还包括 曰志存储步骤，用于存储通过所述通信线路的通信日志， 其中，当在所述日志存储步骤中存储了与所登记的第一地址信息相对应的外部装置的另外的地址信息时，在所述获得步 骤中，从所存储的日志中获得所述另外的地址信息。
12. 根据权利要求ll所述的控制方法，其特征在于，在所 述获得步骤中，通过所述通信线路向具有所登记的第一地址信 息的所述外部装置发出命令，并从所存储的日志中获得包括在 所述外部装置对所述命令的应答中的另外的地址信息。
13. 根据权利要求8所述的控制方法，其特征在于，所述另 外的地址信息是IP地址。
14. 根据权利要求8所述的控制方法，其特征在于，所述另 外的地址信息是MAC地址。
全文摘要
本发明提供一种通信设备及其控制方法。将外部装置的地址信息作为拒绝接收或允许接收的地址信息登记在过滤地址存储单元中，并获得由具有所登记的地址信息的外部装置保持的另外的地址信息。然后，将所获得的另外的地址信息与所述地址信息相关联地登记在过滤地址存储单元中。在从外部装置接收信息的情况下，判断外部装置的地址信息是否被存储在存储单元中，以便拒绝来自该外部装置的信息。
文档编号H04L29/06GK101207629SQ20071030185
公开日2008年6月25日 申请日期2007年12月18日 优先权日2006年12月18日
发明者井上刚 申请人:佳能株式会社