网络管理装置及方法

专利名称：网络管理装置及方法
技术领域：
本发明涉及管理网络设备的方法和装置，更具体地说，涉及管理网络设 备执行近程、安全数据通信的方法和装置。
背景技术：
近年来，简单网络管理协议(SNMP)作为网络管理协议已受到很多关 注并被广泛地使用。
SNMP包括两个版本，即，例如SNMP版本1 (SNMPvl)和SNMP版 本3 (SNMPv3)。尤其是，SNMPv3包括增强的安全功能，例如在数据通信 期间执行的认证功能或加密功能。同时，近年来，市场需要数据通信的高度 安全性。鉴于此，越来越多的网络装置，例如网络打印机和管理网络装置的 应用软件，遵循SNMPv3。
在SNMPv3中，在数据发送装置和数据接收装置之间由SNMP引擎执行 认证处理和加密通信。SNMP引擎由诸如唯一SNMP引擎标识符(ID)的标 识符来识别。SNMP引擎对SNMP消息进行认证和加密，并向/从网络上的装 置发送/接收认证过的SNMP消息。
关于根据SNMPv3的相关认证和加密的规格说明，通常使用"请求注解" (RFC) 3414 (SNMPv3USM)所定义的基于用户的安全模型。
在SNMPv3USM中，在发送消息之前，SNMP弓|擎从外围设备获取SNMP 引擎ID。然后，使用该获取的SNMP引擎ID和密码生成用于认证和加密的 秘密密钥。然后进行认证处理和加密通信。
但是，对于包括基于SNMPv3进行的通信的已认证和已加密的通信来 说，如果每回通信时都获取参数来生成用于认证和加密的密钥，则会引起通 信所花费的时间变长的问题。
鉴于此，日本特开2000-278258号公报和日本特开2005-085090号公报 各公开了一种方法，其中，将在第一次通信时获取的密钥和参数缓存，然后 在随后的通信中利用被缓存的密钥和参数，而不是通过在每次通信时获取参 数来生成密钥。在密钥或参数都与参数的获取和密钥的生成的定时无关地不发生改变
的情况下，日本特开2000-278258号公报和日本特开2005-085090号公报各 公报所公开的方法是有效的。因此，使用这样的传统的方法，能够縮短通信 所花费的时间同时保持了高度的网络数据安全性。

发明内容
本发明的实施例旨在提供配置为有效地管理网络设备以相对短的时间 和高级别的数据安全性进行有效的数据通信的网络管理装置和网络管理方 法。
根据本发明的一个方面， 一种用于被配置为使用通信时需要密钥信息的 版本的简单网络管理协议(SNMP)与外围设备进行通信的网络管理装置的 方法，该方法包括从所述外围设备获取设备固有信息；在基于SNMP进行 通信之前使用所述设备固有信息生成多个候选密钥信息；获取所述外围设备 的SNMP引擎标识符(ID);确定所述SNMP引擎ID与所述设备固有信息 是否相对应；如果确定所述SNMP引擎ID与所述设备固有信息相对应，则 将所述SNMP引擎ID存储并且使用从所述多个候选密钥信息中选择的、与 所述设备固有信息相对应的密钥信息基于SNMP进行通信。
通过以下参照附图对示例性实施例的详细说明，本发明其他的特征和方面 将变得明确。


并入说明书并构成说明书的一部分的附图，示出了本发明的示例性实施 例、特征和方面，这些附图与说明书一起，用于解释本发明的原理。
图1示出了根据本发明的示例性实施例的网络管理系统的配置的例子。 图2示出了根据本发明的示例性实施例的、图1中所示的计算机的硬件 配置的例子。
图3示出了根据本发明的示例性实施例的、图1中所示的计算机的软件 配置的例子。
图4示出了根据本发明的示例性实施例的、图1中所示的图像处理装置 的硬件配置的例子。
图5示出了根据本发明的示例性实施例的图像处理装置的软件配置的例子。图6示出了根据本发明的示例性实施例的认证信息输入画面的例子。 图7是示出了根据本发明的示例性实施例的、用于登记认证信息的处理 的例子的流程图。
图8示出了根据本发明的示例性实施例的密钥生成方法的例子。
图9是示出了根据本发明的示例性实施例的、用于改变图像处理装置的
设置的处理的例子的流程图。
图10示出了根据本发明的示例性实施例的设置项输入画面的例子。
图11是示出了根据本发明的示例性实施例的、用于改变图像处理装置的 设置的处理的详细示例的流程图。
图12是示出了根据本发明的示例性实施例的、用于改变图像处理装置 的设置的处理的详细示例的流程图。
图13是示出了根据本发明的示例性实施例的用于登记认证信息的处理 的例子的流程图。
图14是示出了根据本发明的示例性实施例的、用于改变图像处理装置 的设置的处理的详细示例的流程图。
图15是示出了根据本发明的示例性实施例的搜索处理的例子的流程图。
图16是示出了根据本发明的示例性实施例的、用于改变图像处理装置 的设置的处理的详细示例的流程图。
图17示出了 SNMP引擎ID类型分类表。
具体实施例方式
以下参照附图对本发明的各示例性实施例、特征以及方面进行详细地说 明。要注意的是，在这些实施例中描述的组成部分的相对排列、数值表达式 以及数值不用于意旨限制本发明的范围。
图1示出了根据本发明的第一示例性实施例的网络管理系统的示例性配 置。参照图1，网络管理系统包括计算机101和图像处理装置102。计算机 101和图像处理装置102通过网络100彼此相连接。在此，系统中可以提供 两个或多个网络管理装置。
关于网络100,其能够使用能构建传输控制协议/网际协议(TCP/IP)网 络并且能利用SNMP协议来通过网络监视并控制通信设备的网络。更具体地 说，例如局域网(LAN)能够被用作网络100。
在以下的说明中，将分别描述计算机101和图像处理装置102各自的硬件配置和软件配置。图像处理装置102执行图像处理。打印机、传真机、扫
描器或包括这些设备的功能的多功能外围设备(MFP)能够被用作图像处理 装置102。在图1所示的例子中，图像处理装置102为打印机。
图像处理装置102是网络设备的例子。客户端计算机105与计算机101 的管理应用303进行通信来使用web浏览器显示各种信息。
图2示出了根据本示例性实施例的计算机101的硬件配置的例子。参照 图2，输入设备/定点设备控制单元209控制输入设备(例如键盘)和定点设 备(例如鼠标)。显示控制器(DC) 208控制显示器，该显示器为显示单元 的例子。
计算机101由通用计算机构成。系统总线200起连接计算机101的各组 分的功能。
中央处理单元(CPU) 201执行对整个计算机101的控制以及计算处理。 随机存储存储器202是当各种处理需要时将各种程序和各种数据载入并执行 的区域。
只读存储器(ROM) 203是用于存储系统启动程序的存储区域。磁盘控 制器(DKC)(外部存储设备控制单元)204控制诸如硬盘(HD) 207的外 部存储设备。HD207存储程序和数据。CPU 201在处理过程中将程序和数据 从HD 207载入RAM 202并在其上执行。
在CPU201执行了基本输入输出(I/O)程序和操作系统(OS)之后， 计算机101进行操作。基本I/O程序被写入在ROM 203中。OS被写入在HDD 207中。
当计算机101接通电源时，通过基本I/O程序中的初始程序载入功能将 OS从HD207载入到RAM202以启动OS。
网络接口 (I/F) 205连接于网络100并进行网络通信。输入/输出(I/O) I/F206连接于输入设备(例如键盘)和定点设备(例如鼠标)以输入输出数 据。客户端计算机105基本上具有与计算机101的配置相似的配置。
图3示出了作为网络管理装置的例子的计算机101的软件配置的例子。 在此，以已经启动了计算机101的基本I/O程序和OS为前提来描述本示例 性实施例。
计算机101包括web服务器服务301、数据库(DB)服务器服务302和 管理应用303。所述软件被作为程序被写入在图2中的HD 207中。
CPU 201 (图2)将图3所示的301、 302、 303、 310、 311、 313和312各软件从HD 207载入到RAM 202并在其中执行。
WEB服务器服务301提供当从客户端计算机105的web浏览器接收到 基于超文本传输协议(HTTP)的GET请求时，将存储在HD 207上的web 页数据发送的服务。
通过使用WEB服务器服务301能够通过网络100将外部装置连接于计 算机101。要注意的是，在没有必要将外部装置连接至计算机101的管理应 用303的情况下，没有必要提供web服务器服务301 。
DB服务器服务302提供用于存储由管理应用303所应用的数据并获取 所存储的数据的服务。DB服务器服务302可以不在计算机101中提供而在 通过网络100连接的非计算机101的计算机上提供。在管理应用303单独独 立地获取并存储数据的情况下，DB服务器服务302不是必需的。
管理应用303进行与通过网络100连接于管理应用303的图像处理装置 102的数据通信。Web浏览器能够被用作管理应用303的用户接口。
管理应用303是用于改变图像处理装置102的设置并监视图像处理装置 102的状态的软件。管理应用303能够以预定的时间间隔监视图像处理装置 102。
管理应用303包括功能模块，例如搜索模块310、设备信息设置模块311、 认证信息管理模块313和SNMP实体312。要注意的是，在本示例性实施例 中，设备信息设置模块311被用作进行SNMPv3通信的模块的例子。但是， 还可以使用具有与设备信息设置功能不同的、执行SNMP通信的功能的模块 来替代。
搜索模块310具有搜索连接于网络100的图像处理装置的功能。设备信 息设置模块311具有经由网络100来改变图像处理装置102的设置信息的功 能，该图像处理装置102连接于网络100且被搜索过并被提取为搜索的结果。
在与多个图像处理装置102、 103和104 (图1)的SNMPv3通信的情况 下，使用由认证信息管理模块313所存储的认证信息来进行通信。认证信息 管理模块313具有存储用户对图像处理装置输入的SNMPv3密码的功能，该 图像处理装置连接于网络100且被搜索过并被提取为搜索的结果。
SNMP实体312由命令发送应用320和SNMP引擎321构成。SNMP实 体312使用SNMP实现管理功能。命令发送应用320具有对包括图像处理装 置102的网络设备获取并设置管理信息的功能。
SNMP引擎321用唯一的SNMP引擎ID来识别。SNMP引擎321对SNMP消息进行认证并加密，并且通过网络100发送和接收已认证的和已加密的
SNMP消息。客户端计算机105可以具有与上述配置相似的配置。此外，如 果客户端计算机105只包含web浏览器的功能也是可以的。
图4示出了根据本示例性实施例的多功能外围设备(MFP)(多功能打 印机)的硬件配置的例子，该多功能外围设备为图像处理装置102的例子。 如上所述，图像处理装置102可以包括除了 MFP以外的设备或装置(单功能 打印机，传真机等)。
图像处理装置102包括操作单元401、打印机402、扫描器403和控制 单元400。控制单元400连接于网络100并且对与计算机101所进行的通信 进行控制。
操作单元401、打印机402和扫描器403连接于控制单元400。因此， 控制单元400能够控制操作单元401、打印机402以及扫描器403的操作。 要注意的是，多个图像处理装置中可以不包括扫描器。
控制单元400包括CPU410、 RAM411、操作单元I/F412、网络I/F413、 ROM 414、 HDD 415、图像总线I/F 416、系统总线417、图像总线418、光 栅图像处理器(RIP) 419、设备I/F 420、扫描器图像处理单元421和打印机 图像处理单元422。关于图像处理装置102的上述组件，扫描器403和扫描 器图像处理单元421不总是必需的。
CPU 410是控制整个控制单元400的操作的控制器。RAM 411是CPU 410进行操作时使用的系统工作存储器。此外，RAM411是临时存储图像数 据的图像存储器。
操作单元I/F412是与操作单元401的接口。操作单元I/F412向操作单 元401输出要显示在操作单元401的屏幕上的图像数据。此外，操作单元I/F 412通过操作单元401向CPU410发送用户输入的信息。网络I/F 413是与网 络100的接口。因此，通过网络I/F413向/从网络100输出/输入信息。
ROM 414是存储系统启动程序的启动ROM。 HDD 415存储系统软件和 图像数据。
图像总线I/F 416是系统总线417和图像总线418之间的接口 。更具体地 说，图像总线I/F416是转换数据结构的总线桥。图像总线418由外设部件互 连(PCI)总线或电气和电子工程师协会(IEEE) 1394总线构成。
- RIP 419将从网络100发送来的页面描述语言(PDL)命令光栅化为位图 图像。设备I/F单元420是图像输入输出设备(例如打印机402或扫描器403)和控制单元400之间的接口。设备I/F单元420进行关于图像数据的同步/异 步转换。
扫描器图像处理单元421对输入的图像数据进行校正、图像处理和编辑。 打印机图像处理单元422根据打印机402的性能对打印输出图像数据进行校 正处理和分辨率转换处理。
图5示出了根据本示例性实施例的图像处理装置102的软件配置的例 子。图像处理装置102包括SNMP实体500和管理信息库(MIB)对象501。 软件被作为程序存储在HDD 415中。此外，CPU 410将软件载入RAM 411 并在其中执行。
参照图5， SNMP实体500包括SNMP引擎510和命令应答应用511。 SNMP实体500使用SNMP实现管理功能。SNMP实体510由唯一的SNMP 引擎ID识别。SNMP引擎510对SNMP消息进行认证并加密，并且通过网 络100发送和接收已认证的和己加密的SNMP消息。
当从计算机101接收到管理信息获取请求命令或设置请求命令时，命令 应答应用511访问MIB对象501。命令应答应用511具有向计算机101发送 所访问的MIB对象作为对所接收到的请求命令的应答的功能。
MIB对象501定义图像处理装置的管理信息，MIB对象501主要是由管 理信息结构(SMI)来定义的。诸如打印机状态信息、错误信息、打印机标识符 信息、作业信息或进纸/排纸托盘的结构信息等各种信息都能够被定义为对 象。在此，在网络I/F413中实现SNMP实体也是可以的。
以下将对计算机101的操作进行说明。计算机101的操作主要包括搜索 图像处理装置、登记认证信息和改变图像处理装置的设置。
关于搜索图像处理装置的操作，计算机101的管理应用303通过利用搜 索模块310在网络100上搜索图像处理装置102。在此，搜索模块310基于 任意指定的协议使用广播地址发送获取图像处理装置102的网际协议(IP) 地址和媒体访问协议(MAC)地址的命令。
能够使用任意协议来作为获取要管理的图像处理装置的IP地址和MAC 地址的所使用的协议。更具体地说，能够使用诸如SNMPvl、 SNMPv3或服 务定位协议(SLP)的协议。
鉴于此，在使用SNMPv3的情况下，搜索模块310使用SNMP实体312 的命令发送应用320来广播发送获取SNMP实体ID的命令。然后，命令发 送应用320使用SNMP引擎321以不用认证或加密的安全级别(noAuthnoPriv)发送包。
图像处理装置的SNMP引擎510接收到请求发送SNMP引擎ID的包。 然后，SNMP引擎510发送SNMP引擎ID作为对该包的应答。
当计算机101的SNMP引擎321接收到应答(SNMP引擎ID)时，将 该应答的发送源图像处理装置102识别为网络100上的管理对象设备。然后， 计算机101基于任意的协议向管理对象图像处理装置102发送获取MAC地 址的命令以获取MAC地址。
关于已被识别为计算机101管理的目标装置的图像处理装置中的适用 SNMPv3的图像处理装置，则需要认证信息来进行数据通信。在此，用户通 过图6所示的认证信息登记画面输入认证信息。
更具体地说，管理应用303的认证信息登记画面(图6)显示在客户端 计算机105的显示器上。因此，计算机101获取用户通过操作客户端计算机 105的键盘或鼠标输入的认证信息。
图6示出了根据本示例性实施例的当用户通过web浏览器操作客户端计 算机105来访问计算机101的管理应用303时要显示在客户端计算机105的 显示器上的认证信息输入画面的例子。
在图6所示的例子中，将适用SNMPv3的图像处理装置以列表显示。用 户能够向计算机101对各图像处理装置输入认证信息和登记认证信息。
在此，认证信息登记画面上显示的是web浏览器UI600。认证信息登记 画面包括适用SNMPv3的图像处理装置名601。适用SNMPv3的图像处理装 置名601分别对应图像处理装置102至104 (图1)。
此外，认证信息登记画面包括适用SNMPv3的图像处理装置的IP地址 602。此外，认证信息登记画面包括用户名输入域603，用于输入作为SNMPv3 的认证信息的用户名。另外，认证信息登记画面包括认证密码输入域604， 用于输入作为SNMPv3的认证信息的认证密码，以及用于输入用于认证的哈 希算法的哈希算法输入域605、加密密码输入域606和环境(context)名输入域 607。
当用户按下更新按钮608时，各域中所输入的认证信息被从客户端计算 机105发送到计算机101。然后，计算机101将认证信息存储到DB服务器 服务302中。
'当用户按下取消按钮609时，客户端计算机105取消登记认证信息的处 理。关于认证信息的参数，并不总是必须使用户在域603至607的所有域中输入信息。
参数可以根据需要被定制。即，例如关于环境名，可以使用系统固定值 而不用使用户输入环境名。
此外，不用如上所述对各图像处理装置进行认证信息的管理，而可以在 由计算机101管理的所有图像处理装置中登记相同的认证信息并将所登记的 认证信息从客户端计算机105发送给计算机101。
图7是示出根据本示例性实施例的当用户通过图6所示的画面按下了更 新按钮608时所进行的、在计算机101中登记认证信息的处理的流程的例子 的流程图。
如上所述在客户端计算机105上显示图6所示的画面。用户操作客户端 计算机105的鼠标和键盘来输入更新指令。
当用户按下更新按钮608时将上述指令从客户端计算机105发送给计算 机IOI。这里，在此时将用户通过图6所示的画面的所有输入都发送。
计算机101的管理应用303接收到发送的输入并处理所接收到的输入。 在接收到信息之后，管理应用303开始图7所示的处理。
参照图7，在步骤S700中，管理应用303确定是否进行了图像处理装置 的搜索。如果在步骤S700中确定还未进行图像处理装置的搜索(步骤S700 中否)，则由于没有必要存储认证信息而结束该处理。
另一方面，如果在步骤S700中确定已经进行了图像处理装置的搜索(步 骤S700中是)，则处理进入步骤S701。在步骤S701中，管理应用303从DB 服务器服务302获取关于已被提取为搜索的结果的图像处理装置的信息。
在步骤S702中，管理应用303确定所述图像处理装置是否是适用 SNMPv3的设备。
如果在步骤S702中确定所述图像处理装置不是适用SNMPv3的设备(步 骤S702中否)，则由于没有必要存储认证信息而结束该处理。另一方面，如 果在步骤S702中确定图像处理装置是适用SNMPv3的设备(步骤S702中 是)，则处理进入步骤S703。
在步骤S703中，管理应用303将用户输入的认证信息存储到DB中。要 注意的是，在基于SNMPv3与图像处理装置102进行通信期间使用所述存储 的认证信息。
在步骤S704中，管理应用303确定所存储的认证信息与之前存储的认 证信息相比是否已改变。如果在步骤S704中确定所存储的认证信息与之前中是)，则处理进入步骤S705。
在步骤S705中，管理应用303基于认证信息和关于图像处理装置的信 息生成用于SNMPv3通信的候选密钥。
在步骤S706中，管理应用303将所生成的候选密钥存储到DB中。管理 应用303对作为计算机101管理对象的所有适用SNMPv3的图像处理装置 102进行步骤S702至S706的处理。
另一方面，如果在步骤S704中确定所存储的认证信息与之前存储的认 证信息相比没有改变(步骤S704中否)，则管理应用303结束登记图像处理 装置的认证信息的处理。
图8示出了步骤S705 (图7)中用于生成候选密钥的方法的详细示例。
参照图8，首先，管理应用303基于图像处理装置102的IP地址和MAC 地址生成SNMP引擎候选ID 801。 SNMP引擎候选ID 801是基于RFC3411 中记载的SNMP引擎ID的定义生成的。
关于第一位(bit)802，参数"1"表示SNMPv3格式。关于企业代码802， 用户输入4字节的企业代码。
类型804是表示标识数据805的类型的单字节数据。关于类型804，参 数"1"表示IPV4地址。参数"2"表示IPV6地址。参数"3"表示MAC 地址。
标识数据805包括关于图像处理装置的信息中相当于类型804的信息。 管理应用303使用SNMPv3USM定义的生成本地秘密密钥的方法，基于密码 800和SNMP引擎候选ID 802生成秘密密钥806。
在进行了对图像处理装置102的搜索并且将正确的认证信息存储之后， 管理应用303能够与图像处理装置102通过SNMPv3协议通信。在本示例性 实施例中，将改变图像处理装置102的设置的处理作为SNMPv3通信的例子 进行说明。
图9是示出根据本示例性实施例的由管理应用303进行的改变图像处理 装置102的设置的处理的例子的流程图。
参照图9，在步骤S900中，管理应用303显示设置项输入画面。用户通 过设置项输入画面对图像处理装置102的要改变的设置项输入值和信息。
图10示出了根据本发明的示例性实施例的设置项输入画面的例子，该 画面在当用户使用客户端计算机105的web浏览器从客户端计算机105访问 计算机101的管理应用303时显示。设置项输入画面包括设备信息设置项域1000和通信设置项域1001。
用户为各项选择复选框并在文本框中设置要重新设置的值。然后，用户
按下更新按钮1002来最终确定所改变的设置。
更具体地说，用户按下了更新按钮1002后，用户在图10所示的设置项 输入画面中所示的各域中所输入的内容都被从客户端计算机105发送给计算 机101。在这之后，立即开始图9所示的处理。当用户按下取消按钮1003时， 曾设置的改变被取消。
管理应用303进行图9所示的处理。
用户能够通过图IO所示的画面输入设备名、安装位置、管理员公司名、 管理员联系信息、管理员留言、服务人员名、服务人员联系信息和服务人员 留言。此外，通过图IO所示的画面，用户能够输入帧类型、动态主机配置协 议(DHCP)、自举协议(BOOTP)、反向地址解析协议(RARP)、子网掩码、 网关地址、是否进行行式打印机后台程序(LPD)打印以及各种服务器各自 的地址和名称。
这里，IP地址尤其重要。IP地址能够通过单独的设置画面单独输入。此 外，与其他信息的情况类似，当用户发出发送IP地址的指令时，将IP地址 从管理应用303发送给图像处理装置102。
在完成了设置项的输入之后，在步骤S901中，管理应用303从DB服务 器服务302获取关于图像处理装置102的信息。这里获取的信息，例如IP地 址，是关于管理应用303和图像处理装置102之间的通信的重要信息。
在步骤S902中，管理应用303确定图像处理装置102是否是适用 SNMPv3的设备。如果在步骤S902中确定图像处理装置102不是适用 SNMPv3的设备(步骤S902中否)，则处理进入步骤S904。在步骤S904中， 管理应用303使用除了 SNMPv3以外的能够用于通信来改变图像处理装置 102的设置的协议。然后，处理结束。
另一方面，如果在步骤S902中确定图像处理装置102是适用SNMPv3 的设备(步骤S卯2中是)，则处理进入步骤S903。在步骤S903中，管理应 用303进行对图像处理装置102的设置。
图11示出了根据本示例性实施例的基于SNMPv3所进行的步骤S903中 改变设置的处理的流程的详细示例。
参照图11，在步骤S1100中，管理应用-303获取用于与图像处理装置 102的SNMP引擎进行通信使用的SNMP引擎ID。在使用SNMPv3USM的情况下，能够通过以noAuthnoPriv的安全级别发送SNMP请求消息来获取 SNMP引擎ID。
注意在这种情况下，有必要将"msgAuthoritativeEngineID "和 "msgUserName"的描述长度设置为"0"，并且不对"varBindList"的描述
输入参数。
在步骤S1101中，管理应用303确定接收到的SNMP引擎ID的类型是 否是MAC地址。在步骤S1102中，管理应用303确定接收到的SNMP引擎 ID的类型是否是IP地址。
如果在步骤S1101中确定接收到的SNMP引擎ID的类型为MAC地址 (步骤S1101中是)，则处理进入步骤S1107。在步骤S1107中，管理应用 303从DB服务器服务302在步骤S705 (图7)生成的候选密钥中获取基于 MAC地址生成的候选密钥。
如果在步骤S1102中确定接收到的SNMP引擎ID的类型是IP地址(步 骤S1102中是)，则处理进入步骤S1108。在步骤S1108中，管理应用303从 DB服务器服务302中获取基于IP地址生成的候选密钥。
在此，在通信中，MAC地址和IP地址基本上不会改变或发生变化。IP 地址可能被从外部改变，但是在这种情况下，因为在通信时IP地址改变的情 况下，与改变之前的IP地址对应的管理应用303与图像处理装置102之间的 通信中断，因此有必要重新搜索IP地址。
鉴于此，在步骤S1109中，管理应用303通过利用接收到的SNMP引擎 ID和候选密钥来发送用于改变图像处理装置102的设置的所有请求。
因此，没有必要在每次发送请求时都获取SNMP引擎ID或生成密钥。 从而，縮短了通信所需的时间。
另一方面，如果在步骤S1101和步骤S1102中确定接收到的SNMP引擎 ID的类型既不是MAC地址也不是IP地址(步骤S1101和步骤S1102中否)， 则由于接收到的SNMP引擎ID可能被改变，管理应用303在每次发送请求 时都获取SNMP引擎ID和密钥。
在步骤S1103中，管理应用303获取SNMP引擎ID。在步骤S1104中， 管理应用303确定引擎ID是否已经更新。如果在步骤S1104中确定引擎ID 已经更新(步骤S1104中是)，则处理进入步骤S1105。
在步骤S1105中，管理应用303使用从DB服务器服务302获取的认证 信息和SNMP引擎ID生成密钥。然后，处理进入步骤S1106。如果在步骤S1104中确定SNMP引擎ID尚未更新(步骤S1104中否)， 则管理应用303进入步骤S1106而在此不进行任何特殊的处理。在步骤S1106 中，管理应用303使用SNMP引擎ID和密钥发送请求。
注意在本示例性实施例中，各MAC地址和IP地址是为图像处理装置102 唯一设置的固定值。但是，在SNMP引擎ID的类型是字符串或字节串的情 况下，将MAC地址和IP地址处理和用作设备固有信息。此外，如果IP地 址作为可变信息而MAC地址作为固定的设备固有信息也是可以的。
在本发明的第二示例性实施例中，SNMP引擎ID是IP地址。此外，计 算机101在使用SNMPv3进行通信期间改变IP地址。
要注意的是，系统配置与第一示例性实施例中的配置相似。此外，当搜 索并登记认证信息时进行的计算机101的操作与第一示例性实施例中的操作 类似。
此外， 一直到图9所示的处理，由计算机101进行的改变图像处理装置 102的设置的操作与第一示例性实施例中的操作相似。因此，在以下的说明 中，将对与第一示例性实施例不同的点进行说明。以下将参照图12对根据本 示例性实施例的步骤S903 (图9)中的处理的内容进行说明。
图12示出了根据本示例性实施例的由计算机101的管理应用303通过 使用SNMPv3协议所进行的、改变图像处理装置102的设置的处理的流程的 详细示例。以下的处理由管理应用303进行。这里，步骤S1100至步骤S1109 的处理与第一示例性实施例的图11中所示的步骤类似。因此，省略对其赘述。
参照图12，在步骤S1200中，在接收到的SNMP引擎ID为IP地址的 情况下，管理应用303进行发送了请求之后的处理。更具体地说，管理应用 303确定所发送的请求是否包括用于改变IP地址的描述。
如果在步骤S1200中确定所发送的请求包括用于改变IP地址的描述(步 骤S1200中是)，则处理进入步骤S1201。在步骤S1201中，管理应用303 使用改变后的IP地址更新SNMP引擎ID。
在步骤S1202中，管理应用303使用从DB服务器服务302获取的更新 后的SNMP引擎ID和认证信息来再次生成候选密钥。
在发送后续的请求时，管理应用303使用改变后的IP地址、更新后的 SNMP引擎ID和候选密钥来进行发送处理。因此，即使在计算机101已经 改变了图像处理装置102的IP地址的情况下，也能够适当地将其他发送的请 求发送给图像处理装置102的SNMP引擎。步骤S1103以及后续的步骤中的处理与第一示例性实施例中的图11所 示的处理相似。因此，省略对其赘述。
可以设置定时来在确保对IP地址的设置已经改变之后的一时刻生成候
选密钥并使用步骤S1202中新生成的候选密钥来代替已存在的密钥。更具体 地说，可以在确保对IP地址的设置已经改变之后先生成临时候选密钥然后再 清除已存在的候选密钥。
在第一示例性实施例中，在图像处理装置102已经被提取为作为对其搜 索的结果之后，在登记认证信息时生成候选密钥。此外，在初始SNMPv3通 信时获取SNMP引擎ID并从候选密钥中选择要使用的密钥。在本示例性实 施例中，在登记认证信息之前获取SNMP引擎ID，生成密钥，并将获取的 SNMP引擎ID和生成的密钥缓存。
要注意的是，系统配置和计算机101用来搜索图像处理装置102的操作 与第一示例性实施例中的类似。因此，省略对其赘述。
图13示出了在计算机101中登记认证信息的处理的流程的例子。要注 意的是，步骤S700至步骤S705中的处理与第一示例性实施例中的图7所示 的处理类似，因此省略对其赘述。
参照图13，当用户输入的认证信息更新了时，则在步骤S1300中，管理 应用303为图像处理装置102的SNMP引擎获取SNMP引擎ID。获取SNMP 引擎ID的方法与第一示例性实施例中步骤S1100中进行的方法类似。
在步骤S1301中，管理应用303确定所获取的SNMP引擎ID的类型 (MAC地址或IP地址)。
如果在步骤S1301中确定所获取的SNMP引擎ID的类型为MAC地址 或IP地址(步骤S1301中是)，则处理进入步骤S1302。
在步骤S1302中，管理应用303生成在SNMPv3通信期间认证和加密所 使用的密钥。生成密钥的方法与第一示例性实施例的图8所示的方法类似。
在步骤S1303中，管理应用303将生成的密钥存储到DB服务器服务302中。
改变图像处理装置102的设置时计算机101的操作与第一示例性实施例 中的操作类似。此外， 一直到建立SNMPv3通信的处理时所进行的处理与第 一示例性实施例中的处理类似。
在以下的说明中，主要对与第一示例性实施例不伺的点进行说明。以下 将参照图14对根据本示例性实施例的图9中的步骤S903中的处理的内容进图14示出了根据本示例性实施例的由计算机101使用SNMPv3进行的 改变图像处理装置102的设置的处理的例子。
参照图14，在步骤S1400中，管理应用303确定在登记认证信息时SNMP 引擎ID和密钥是否已经存储到DB服务器服务302中。
如果确定在登记认证信息时SNMP引擎ID和密钥已经存储到DB服务 器服务302中(步骤S1400中是)，则处理进入步骤S1103。
在步骤S1103至S1106中，如果SNMP引擎ID已经被更新则管理应用 303获取SNMP引擎ID并生成密钥。管理应用303使用SNMP引擎ID和密 钥基于SNMPv3发送请求。对要发送的所有请求重复上述的处理。
另一方面，如果在步骤S1400中确定在登记认证信息时SNMP引擎ID 和密钥尚未存储到DB服务器服务302中(步骤S1400中否)，则处理进入步 骤S1401。
在步骤S1401中，管理应用303从DB服务器服务302获取SNMP引擎 ID。在步骤S1402中，管理应用303从DB服务器服务302获取密钥。
在步骤S1403中，管理应用303使用获取的SNMP引擎ID和密钥基于 通过SNMPv3的认证处理和加密通信发送所有的请求。
在第一示例性实施例中，在登记认证信息和进行改变图像处理装置102 的设置的处理之前，计算机101搜索图像处理装置102。在本发明的第三示 例性实施例中，在搜索图像处理装置102并且在登记认证信息时生成了候选 密钥之后IP地址改变的情况下，更新候选密钥。
要注意的是，系统配置和由计算机101进行的登记认证信息和改变图像 处理装置102的设置的操作与第一示例性实施例中的操作类似，因此不再对 其赘述。在此，以下将参照图15对在搜索图像处理装置期间计算机101进行 的操作进行说明。
参照图15，在步骤S1500中，管理应用303在网络上搜索图像处理装置 102。搜索图像处理装置102的方法与第一示例性实施例中的方法类似。
在步骤S1501中，管理应用303确定被提取为搜索结果的图像处理装置 102是否是新提取的设备。如果在步骤S1501中确定被提取为搜索结果的图 像处理装置102是新提取的设备(步骤S1501中是)，则处理进入步骤S1502。 ■在步骤S1502中，管理应用303确定与之前的搜索结果相比IP地址是否 改变了。如果在步骤S1502中确定与之前的搜索结果相比IP地址没有改变(步骤S1502中否)，则由于没有必要再次生成候选密钥，因此管理应用303结 束该处理。
如果在步骤S1502中确定与之前的搜索结果相比IP地址改变了 (步骤 S1502中是)，则处理进入步骤S1503。在步骤S1503中，管理应用303确定 是否已登记了认证信息。
如果在步骤S1503中确定已经登记了认证信息(步骤S1503中是)，则 处理进入步骤S1504。在步骤S1504中，管理应用303再次生成候选密钥。 在步骤S1505中，管理应用303将再次生成的密钥存储到DB服务器服务302 中。
通过进行该处理，即使在图像处理装置102被提取作为对其搜索的结果 并且在登记认证信息的时候生成了候选密钥后，IP地址被改变的情况下，当 图像处理装置102又被搜索到时能够自动地再次生成候选密钥。这里，由管 理应用303进行上述处理。
以下将对本发明的第四示例性实施例进行说明。在第一示例性实施例 中，如上所述，在获取的SNMP引擎ID为MAC地址或IP地址的情况下将 之前已经生成的SNMP引擎ID和候选密钥缓存并使用。在本示例性实施例 中，使用ID类型的厂商可定义的范围来增加通信的速度。
在图8所示的SNMP引擎ID801中，类型804由RFC3411定义。根据 RFC3411，从128至255的类型值可以由厂商定义。
鉴于此，在本示例性实施例中，基于由图像处理装置102和计算机101 所使用的SNMP引擎ID的类型的厂商可定义的范围被划分为固定值范围和 可变值范围。
因此，在计算机101和图像处理装置102间基于SNMPv3协议通信期间， 在每次发送请求时，图像处理装置102通知计算机101是否有必要获取SNMP 引擎ID。
在此，以下将参照图16对根据本示例性实施例的计算机101使用 SNMPv3所进行的改变图像处理装置102的设置的处理进行说明。
这里要注意假设图像处理装置102和计算机101利用对SNMP引擎ID 的设置(图17)并假设图像处理装置102已经被提取为搜索的结果并且认证 信息已经被登记。
参照图16，在步骤S1600中，管理应用303获取SNMP引擎ID。获取 SNMP引擎ID的方法与第一示例性实施例的步骤S1100中的方法类似。在步骤S1601中，管理应用303确定获取的SNMP引擎ID的类型是否 是厂商定义的范围。
如果在步骤S1601中确定获取的SNMP引擎ID的类型不是厂商定义的 范围(步骤S1601中否)，则处理进入步骤S1603。在步骤S1603至S1606 中，管理应用303在每次发送请求时都获取SNMP引擎ID。
在己经更新了引擎ID的情况下，管理应用303生成密钥。管理应用303 使用SNMP引擎ID和密钥基于SNMPv3发送请求。
另一方面，如果在步骤S1601中确定获取的SNMP引擎ID的类型是厂 商定义的范围(步骤S1601中是)，则处理进入步骤S1602。在步骤S1602 中，管理应用303确定引擎ID的类型是否是表示固定值的范围。
如果在步骤S1602中确定引擎ID的类型是表示固定值的范围(步骤 S1602中是)，则处理进入步骤S1607。
在步骤S1607中，管理应用303生成密钥。然后，在步骤S1608中，管 理应用303使用生成的密钥和SNMP引擎ID发送请求。
另一方面，如果在步骤S1602中确定SNMP引擎ID的类型是表示可变 值的范围(步骤S1602中否)，则处理进入步骤S1603。
在步骤S1603至S1606中，管理应用303在每次请求被发送时都获取 SNMP引擎ID，如果SNMP引擎ID被更新则生成密钥，然后发送请求。
综上所述，管理应用303通过利用SNMP引擎ID的类型域的厂商定义 范围确定每次通信时是否有必要获取SNMP引擎ID。
因此，能够减少进行SNMP引擎ID获取操作和密钥生成操作的次数。 因此，能够縮短通信的时间。
更具体地说，在本示例性实施例中，预先指定在哪个范围SNMP引擎ID 作为固定值存储以及在哪个范围SNMP引擎ID作为可变值存储。因此，根 据从哪个范围获取的SNMP引擎ID来确定SNMP引擎ID是否是固定值。
综上所述，根据本示例性实施例，通过使用通信期间需要密钥的版本的 SNMP的版本与外围设备进行通信的计算机101能够被实现。
此外，如上所述，能够实现能够从各图像处理装置102至104获取设备 固有信息的管理应用303。在此，MAC地址和IP地址能够被用作SNMP引 擎ID。
在本示例性实施例中，在基于SNMPv3的通信进行之前，基于设备固有 信息生成图8所示的密钥信息的例子的信息。管理应用303获取SNMP引擎ID来识别图像处理装置102。
此外，管理应用303确定SNMP引擎ID是否与设备固有信息相对应。 例如，管理应用303确定SNMP引擎ID是否就是IP地址或MAC地址。另 外，管理应用303确定SNMP引擎ID是否是通过对IP地址或MAC地址执 行预定的编码处理所获取的ID。
此外，如果管理应用303确定SNMP引擎ID与设备固有信息相对应， 则管理应用303存储SNMP引擎ID。管理应用303使用生成的密钥信息基 于SNMP进行通信。在作为网络管理装置的例子的计算机101中进行所述处 理。
如果管理应用303确定SNMP引擎ID与设备固有信息相对应并且用于 改变设备固有信息的请求被发送给了外围设备，则管理应用303更新存储的 候选密钥。
管理应用303确定获取的SNMP引擎ID是可变值还是固定值。 如果确定获取的SNMP引擎ID是固定值，则管理应用303保持该SNMP
引擎ID直到该通信会话完成为止、使用存储的SNMP引擎ID生成密钥信息
并通过利用生成的密钥信息基于SNMP进行通信。
管理应用303接收到更新为图像处理装置102所设置的设置信息的指令。
管理应用303确定接收到的指令是否是用于改变IP地址的指令。 在SNMP引擎ID为IP地址的情况下，如果管理应用303确定接收到的 指令是用于改变IP地址的指令，则管理应用303进行以下处理。S卩，管理应 用303进行通过使用利用改变之前使用的IP地址而生成的候选密钥、基于 SNMP来设置IP地址的处理。
此外，管理应用303使用改变后的IP地址再次生成候选密钥。 另一方面，如果管理应用303确定接收到的指令不是改变IP地址的指令， 则管理应用303进行以下的处理。即，管理应用303进行使用未改变的候选 密钥、基于SNMP来设置IP地址的处理而不再次生成候选密钥。
此外，通过计算机101使用外部安装的程序来实现根据图7、 9、 11、 12、 13、 14、 15和16所示的上述示例性实施例的功能。在该情况下，本发明应 用于包括从诸如光盘只读存储器(CD-ROM)、闪存或软盘(FD)的存储介 质或从经由网络的外部存储介质提供给主机的程序的信息组的情况。
此外，本发明也能够通过向系统或设备提供存储实现实施例的功能的软件的程序代码的存储介质(或记录介质)或者通过从外部服务器(未示出) 下载相同的程序代码并通过使用系统或设备的计算机(CPU或微处理单元 (MPU))读取并执行存储在存储介质中的程序代码来实现。
在该情况下，从存储介质中读取的程序代码本身实现了上述实施例的功 能，因此，存储程序代码的存储介质构成本发明。
例如，软盘、硬盘、光盘、磁光盘、数字化视频光盘(DVD)、可记录 DVD (DVD-R)、可写DVD (DVD-RW)、 CD-ROM、 CD-R、可重写CD (CD-RW)、磁带、非易失性存储卡、ROM和电可擦除只读存储器(EEPROM) 等能够被用作提供上述程序代码的存储介质。
此外，根据上述的实施例的功能不仅通过执行计算机读取的程序代码， 而且通过其中操作系统(OS)等基于程序代码的指令执行全部或部分的实际 处理的处理来实现。
此外，在本发明的实施例的另一个方面，在将从存储介质中读取的程序 代码写入插入计算机的功能扩展板或连接于计算机的功能扩展单元提供的存 储器之后，提供在功能扩展板或功能扩展单元中的CPU等执行全部或部分处 理来实现上述实施例的功能。
虽然参照示例性实施例对本发明进行了描述，但是应当理解的是，本发 明并不限于所公开的示例性实施例。应当对权利要求的范围给予最宽泛的解 释，以包括所有变体、等同结构和功能在内。
权利要求
1. 一种网络管理装置，被配置为使用通信时需要密钥信息的版本的简单网络管理协议(SNMP)与外围设备进行通信，该网络管理装置包括获取单元，被配置为从所述外围设备获取设备固有信息；生成单元，被配置为在基于SNMP进行通信之前使用所述设备固有信息生成多个候选密钥信息；识别单元，被配置为获取所述外围设备的SNMP引擎标识符(ID)；第一确定单元，被配置为确定所述SNMP引擎ID是否与所述设备固有信息相对应；以及通信单元，被配置为如果所述第一确定单元确定所述SNMP引擎ID与所述设备固有信息相对应，则将所述SNMP引擎ID存储，并且使用从所述多个候选密钥信息中选择的、与所述设备固有信息相对应的密钥信息，基于SNMP进行通信。
2. 根据权利要求l所述的网络管理装置，其中，所述设备固有信息包括 媒体访问控制(MAC)地址或网际协议(IP)地址。
3. 根据权利要求l所述的网络管理装置，还包括更新单元，被配置为如 果所述第一确定单元确定所述SNMP引擎ID与所述设备固有信息相对应并 且向所述外围设备发送了用于改变所述设备固有信息的请求，则更新所存储 的所述SNMP引擎ID。
4. 根据权利要求l所述的网络管理装置，还包括第二确定单元，被配置为确定所述SNMP引擎ID是可变值还是固定值；以及存储单元，被配置为如果所述第二确定单元确定所述SNMP引擎ID是 固定值，则将所述SNMP引擎ID存储直到通信会话完成为止，使用所述SNMP 引擎ID生成密钥信息，并使用所述密钥信息、基于SNMP进行通信。
5. 根据权利要求l所述的网络管理装置，还包括接收单元，被配置为接收用于更新针对所述外围设备所设置的设置信息 的指示；第二确定单元，被配置为确定所述接收到的指示是否用于指示改变网际 协议(IP)地址；以及处理单元，被配置为在所述SNMP引擎ID为IP地址的情况下，如果所 述第二确定单元确定所述接收到的指示用于指示改变IP地址，则进行使用利 用被改变之前的所述IP地址而生成的候选密钥信息、基于SNMP来设置所述IP地址的处理，并使用改变后的IP地址再次生成候选密钥信息，而如果所述 第二确定单元确定所述接收到的指示并非用于指示改变IP地址，则进行使用改变之前的候选密钥信息、基于SNMP来设置IP地址的处理，而不再次生成候选密钥信息。
6. 根据权利要求l所述的网络管理装置，其中所述确定单元被配置为基 于厂商定义范围确定所述SNMP引擎ID是可变值还是固定值。
7. —种用于被配置为使用通信时需要密钥信息的版本的简单网络管理 协议(SNMP)与外围设备进行通信的网络管理装置的方法，该方法包括从所述外围设备获取设备固有信息；在基于SNMP进行通信之前使用所述设备固有信息生成多个候选密钥信息；获取所述外围设备的SNMP引擎标识符(ID);确定所述SNMP引擎ID与所述设备固有信息是否相对应；如果确定所述SNMP引擎ID与所述设备固有信息相对应，则将所述SNMP引擎ID存储，并且使用从所述多个候选密钥信息中选择的、与所述设备固有信息相对应的密钥信息，基于SNMP进行通信。
8. 根据权利要求7所述的方法，其中，所述设备固有信息包括媒体访问 控制(MAC)地址或网际协议(IP)地址。
9. 根据权利要求7所述的方法，还包括如果确定所述SNMP引擎ID 与所述设备固有信息相对应并且向所述外围设备发送了用于改变所述设备固 有信息的请求，则更新所存储的所述SNMP引擎ID。
10. 根据权利要求7所述的方法，还包括 确定所获取的SNMP引擎ID是可变值还是固定值；以及 如果确定所述SNMP引擎ID是固定值，则将所述SNMP引擎ID存储直到通信会话完成为止，使用所述SNMP引擎ID生成密钥信息，并使用所述 密钥信息、基于SNMP进行通信。
11. 根据权利要求7所述的方法，还包括 接收用于更新针对所述外围设备所设置的设置信息的指示； 确定所述接收到的指示是否用于指示改变网际协议(IP)地址；以及 在所述SNMP引擎ID为IP地址的情况下，如果确定所述接收到的指令用于指示改变IP'、她址，则进行使用利用被改变之前的所述IP地址生成的候 选密钥信息、基于SNMP来设置所述IP地址的处理，然后使用改变后的IP地址再次生成候选密钥信息，而如果确定所述接收到的指令并非用于指示改变IP地址，则进行使用改变之前的候选密钥信息、基于SNMP来设置IP地址的处理而不再次生成候选密钥信息。
12.根据权利要求7所述的方法，还包括基于厂商定义范围确定所述 SNMP引擎ID是可变值还是固定值。
全文摘要
本发明涉及网络管理装置及方法。一种用于被配置为使用通信时需要密钥信息的版本的简单网络管理协议(SNMP)与外围设备进行通信的网络管理装置的方法，该方法包括从所述外围设备获取设备固有信息；在基于SNMP进行通信之前使用所述设备固有信息生成多个候选密钥信息；获取所述外围设备的SNMP引擎标识符(ID)；确定所述SNMP引擎ID与所述设备固有信息是否相对应，如果确定所述SNMP引擎ID与所述设备固有信息相对应，则将所述SNMP引擎ID存储并且使用从所述多个候选密钥信息中选择的、与所述设备固有信息相对应的密钥信息基于SNMP进行通信。
文档编号H04L9/08GK101425893SQ20081017127
公开日2009年5月6日 申请日期2008年10月30日 优先权日2007年10月30日
发明者大桥俊夫 申请人:佳能株式会社