通信设备及其控制方法

专利名称：通信设备及其控制方法
技术领域：
本发明涉及包括网络通信功能的通信设备以及该设备的控
制方法，尤其涉及包过滤(packet filtering)4支术。
背景技术：
网络地址过滤是一种用于在节点级上限制来自恶意用户所 使用的节点的通信尝试的通用技术。该技术旨在通过使用协议 栈或更高层应用程序来阻止具有特定网络地址的包。目标网络 地址主要是因特网协议第4版(IPv4)地址和因特网协议第6版 (IPv6)地址。通过在用户装置中注册允许通信或限制通信的节 点的网绍d也址，用户可以明确i也选择目标通^f言方。还存在其它 方法，例如注册允许通信或限制通信的地址范围，或注册指定 的子网或前缀(参见日本特开2006-093910)。
然而，如果节点的网络地址发生改变，则所注册的过滤目 标地址也必须改变。这导致用户和装置管理员工作增加。在IPv6 地址中，存在地址^i在短时间4殳内改变的类型。由RFC3041定 义的IPv6匿名地址特4i在于自动生成IPv6地址，并且在经过预 定的时间l殳之后，自动生成另一IPv6地址，而不再使用先前的 IPv6地址。换句话说，如果过滤目标节点具有IPv6匿名地址， 则必须不断地更新所注册的过滤目标的内容，这妨碍了用户的 便利性。为了生成IPv6匿名地址，路由器首先向在网络上节点 发布前缀信息。收到该前缀信息的节点通过将该前缀信息同随 机形成的接口标识符相组合来生成其自身的IPv6地址。此外， 由该路由器发布的前缀信息具有使用期信息。该节点从地址生 成开始定时，并且在经过了该^使用期时，禁止4吏用该IPv6地址。在这种情况下，该节点再次根据前缀信息和随^/L形成的接口标 识符生成IPv6地址。通常，该-使用期经常为几小时到几天。因
此，在几小时到几天内该节点的IPv6地址将发生改变。即使在 IPv6地址过滤器中注册了 IPv6地址，也需要频繁改变设置。
在IPv4中，在使用例如动态主机配置协议(DHCP)时，也会 出现类似的问题。在这种情况下，DHCP服务器发布IPv4地址。 然而，根据DHCP服务器设置，发布的IPv4地址每次都发生改变， 结果该节点的IPv4地址值在短时间段内可能发生改变。
在这类网《各地址发生改变的环境中，可以4吏用Mac地址过 滤作为替代手段。Mac地址过滤是用于对装置的媒体访问控制 (Mac)地址进4亍过滤的4支术。Mac地址是装置唯一的地址，并且 从不改变。因此， 一旦设置了该地址，就可以永久地进行过滤， 除非该装置被替换。然而，网络帧中的Mac地址信息是发送该 帧的装置的地址。因此，当通过路由器进行通信时，该帧中的 Mac地址为^各由器的地址，并且不包括发送该帧的节点的Mac 地址。换句话说，在具有路由器的网络环境中，Mac地址过滤 无法用作替代手段，并且也未提供根本的问题解决方案。

发明内容
本发明的目的在于消除上述传统问题。
根据本发明，本发明通过自动更新与要允许或限制的装置 的网络地址有关的信息，省去了用户过滤信息更新的繁瑣工作， 或者才艮据本发明，即使在网络地址在短时间l殳内改变的网络环
境中，本发明也提供能够进行可靠过滤且允许或限制对接收到 的数据进行处理的技术。
根据本发明的一个方面，提供一种通过网络进行通信的通 信设备，所述通信设备包括存储单元，用于将第一地址与第二地址相关联地存储，其中，所述第一地址是以允许或限制对 所接收到的包的处理为目标的、在设备的网络层的地址，并且
所述第二地址为在与设备的网络层不同的层的地址；#r测单元， 用于检测作为通过网络接收到的包的源的发送设备的第 一地址 和第二地址；过滤单元，用于在所述存储单元中存储有由所述 检测单元所检测到的所述发送设备的第 一 地址的情况下，允许 或限制对所接收到的包的处理；以及更新单元，用于在所述存 储单元中没有与由所述检测单元所检测到的所述发送设备的第 二地址相关联地存储由所述4企测单元所 一全观'j到的所述发送设备 的第 一 地址且私塾存储单元中存储有所述发送设备的第二地址 的情况下，将与所述发送设备的第二地址相关联地存储在所述 存储单元中的第 一地址更新为由所述;f企测单元所检测到的第一 地址。
根据本发明的一个方面，提供一种通过网络进行通信的通 信设备的控制方法，所述控制方法包括如下步骤将第一地址 与第二地址相关联地存储在存储器中，其中，所述第一地址是 以允许或限制对所接收到的包的处理为目标的、在设备的网络 层的地址，并且所述第二地址为在与设备的网络层不同的层的 地址；检测步骤，用于检测作为通过网络接收到的包的源的发 送设备的第一地址和第二地址；在所述存储器中存储有在所述 检测步骤中所检测到的所述发送设备的第 一 地址的情况下，进 行过滤以允许或限制对所接收到的包的处理；以及更新步骤， 用于在所述存储器中没有与在所述检测步骤中所检测到的所述 发送设备的第二地址相关联地存储所述检测步骤中所检测到的 所述发送设备的第 一 地址且所述存储器中存储有所述发送设备 的第二地址的情况下，将与所述发送设备的第二地址相关联地 存储在所述存储器中的第 一 地址更新为在所述检测步骤中所检通过以下参考附图对典型实施例的说明，本发明的其它特 征将变得清楚。


包括在说明书中并构成说明书的 一部分的附图示出本发明 的典型实施例，并与说明书一起用于解释本发明的原理。
图l是说明根据本发明典型实施例的系统配置的图2是示出根据该实施例的(多功能外围设备)MFP的主单
元的配置的框图3是示出根据该实施例的MFP的扫描器和打印机的硬件
配置的示意图4示出根据该实施例的MFP的控制台单元的外观的视图； 图5是作为示例示出当按下模式设置键时在显示单元上显
示的网络配置的树形结构的图6示出用于i殳置IPv6地址过滤的画面的显示示例的 一见图； 图7示出当按下"多个地址"键时显示单元的显示示例的视
图8示出用于以前缀为单位指定IPv6地址的配置UI的示例 的视图9是it明在输入专用于IPv6过滤的IPv6i也址的情况下的 过滤器表注册序列的流程图10是说明根据第 一 实施例的过滤器表的示例的视图11是说明在根据第 一 实施例的MFP接收包的情况下的过 滤控制的流程图12是说明图ll的步骤S14中的过滤器表改变控制的流程
图；图13是具体说明图11的步骤S17中的控制的流程图14是作为示例示出根据本发明第二实施例当按下控制台
单元的模式设置键时在显示单元上显示的网络配置的树形结构
图15示出根据第二实施例在指定了 "单个地址，，时的显示示 例的视图16是i兌明才艮据第二实施例在输入专用于IPv4过滤的IPv4
地址的情况下，过滤器表注册序列的流程图17示出根据第二实施例的过滤器表的示例的视图；以及 图18是说明在根据第二实施例的MF P接收包的情况下的过
滤控制的流程图。
具体实施例方式
现在将参考附图详细说明本发明的优选实施例。下述实施 例不是旨在限制本发明的保护范围。
首先，参考图l说明由本发明的一个典型实施例假定的成像 设备所工作的系统的配置。尽管作为示例该实施例说明了由具 有图像形成和通信功能的多功能外围设备(MFP)执行的操作， 但是本发明不限于此，本发明可应用于通信设备。通信设备包 括诸如MFP的成像设备和诸如PC的通用信息处理设备。
图l是根据该实施例的网络系统配置的说明图。
用户环境中的网全各为LAN 105。布I定此处4吏用以太网(注册 商标)。将下文说明的具有多个网络接口的节点连接至LAN 105。才艮据本实施例，MFP 101是成^f象i殳备。,支定此处成像设备 为具有扫描器、打印机和传真功能的多功能外围设备(MFP)。
PC 102为通用的个人计算4几。PC 102包括作为处理单元的 CPU和作为存储单元的RAM、 ROM和HDD。 PC102还包括作为外部存储单元的CD-ROM驱动。PC 102还包括作为外部接口单 元的网络接口卡(NIC)和通用串行总线(USB)主机接口 。连接至 PC 102的外围设备包括指示装置、显示器、键盘等。PC 102中 包含的主要功能软件包括0 S以及例如字处理和电子表格软件、 电子邮件客户端软件等的办公软件。OS具有端口检测器，作为 其用于通过网络将打印数据发送到打印机或MFP IOI的功能之 一。此外，PC 102能够按照IPv6和IPv4进行通信。PC 102能够 从路由器接收路由器通告(router advertisement, RA)包作为IPv6 地址，并且能够生成IPv6匿名地址。
DNS服务器103能够按照IPv6进行DNS通信。服务器的名称 表不仅包括A记录而且还包括AAAA记录，以i"更服务器103能够 具有与彼此相关联的IP v 6地址和主才几名称有关的信息。路由器 104能够通过LAN 105和LAN 10'6转发包。3各由器104能够*接照 IPv4和IPv6协议转发包。另外，路由器104周期性地将RA包发 送至LAN 105和LAN 106。 LAN106为以太网。DHCP服务器108 按照IPv4执行自动IP地址分配。连接至LAN 106的PC 107与PC 102具有相同的结构。
图2是示出根据本实施例的MFP 101的主要单元的配置的 框图。此处主要示出MFP 101的控制器2000的配置。
控制器2000与用作图像输入装置的扫描器2070和用作图像 输出装置的打印机2095相连接。通过利用扫描器2070读取图像 数据并且利用打印机2095打印该图像，控制器2000能够实现复 印。此外，通过与LAN 105相连接，控制器2000能够通过网络 输入或输出图像信息和装置信息。包括CPU 2001的控制器2000 通过存储在ROM 2003中的导入程序启动操作系统(OS)。当操作 系统工作时，控制器2000执行存储在硬盘驱动器(HDD)2004中 的应用程序，从而#丸4亍各种控制。RAM 2002用作CPU 2001的工作区。除用作工作区外，RAM 2002还提供用于临时存储图i象 数据的图像存储区。HDD 2004存储图像数据以及上述应用程序。
以下部件通过系统总线2007连接至CPU 2001:控制台单元 4妻口 (I/F)2006、网络I/F 2010、调制解调器2050和图{象总线I/F 2005。控制台单元I/F 2006为具有触摸面板的控制台单元2012 的接口，并向控制台单元2012输出待显示的图像数据。另外， 控制台单元I/F 2006向CPU 2001输出用户在控制台单元2012上 所l叙入的信息。连4妻至LAN 105的网络I/F 2010通过网络LAN 105在连接至LAN 105的各种装置之间进行信息的输入和输出。 连接至广域网(WAN)的调制解调器2050进行信息的输入和输 出。将系统总线2007和高速传送图像数据的图像总线2008相连 接的图像总线I /F 20 0 5用作用于转换数据结构的总线桥。
图像总线2008被配置为PCI总线或IEEE 1394。以下部件连 接至图像总线2008:光栅图像处理器(RIP) 2060、装置I/F 2020、 扫描图像处理器2080、打印图像处理器2090、图像旋转器2030 和图像压縮/解压缩单元2040。 RIP 2060将PDL代码变换成位图 图像数据。连接至扫描器2070和打印机2095的装置I/F 2020以同 步和异步模式对图像数据进行转换。扫描图像处理器2080对所 输入的图像数据进行校正、编辑和操作。打印图像处理器2090 对要输出到打印机2095的图像数据进行校正和分辨率转换等。 图像旋转器2 0 3 0对图像数据进行旋转。图像压缩/解压缩单元 2040将多值图像数据压缩成JPEG数据，或以JBIG、 MMR、 MH 等压缩方法对二值图像数据进行压缩，并且还进行解压缩。
图3是示出根据本实施例的MFP 101的扫描器2070和打印 机2095的硬件配置的示意图。
如图3所示集成地构造扫描器2070和打印4几2095 。扫描器2070具有将此时的原稿进给到稿台玻璃211的原稿进给单元250。每次完成了原稿的读取操作后，将原稿从稿台玻璃211排出到排出托盘(未示出)。在将原稿进给到稿台玻璃211上时，扫描器2070接通灯212，并且移动单元213开始移动。通过移动单元213的移动，扫描稿台玻璃211上的原稿。在扫描期间，通过镜214、 215和216以及透镜217中的每一个将来自原稿的反射光引导至CCD图^f象传感器(CCD)218,然后在CCD 218的图像感测面上形成原稿上的图像。CCD 218将图像感测面上形成的图像转换成电信号，并且该电信号经过预定的处理被提供至图2中的控制器2000。
打印机2095具有基于控制器2000所输入的图像数据来驱动激光器322的激光驱动器321。通过驱动激光器322,从激光器322发射与图像数据相对应的激光束，并在感光鼓323上扫描和辐射激光束。该激光束在感光鼓323上形成静电潜像，并通过由显影器324供给的调色剂将静电潜像可视化为调色剂图像。与激光束辐射定时同步，通过输送路径将薄片从盒311和312之一进给到感光鼓323和转印单元325之间的位置。然后，由转印单元325将感光鼓323上的调色剂图像转印到薄片上。
通过输送带将其上转印了调色剂图像的薄片传送到定影辊对326(加热辊和加压辊)。定影辊对326利用热对薄片加压，从而将调色剂图像定影在薄片上。由排出辊对327将经过定影辊对326的薄片排出到排出单元330。排出单元330具有能够进行例如分类和装订等的后处理的薄片处理装置。在设置了双面打印模式的情况下，在将薄片输送到排出辊对327之后改变排出辊对327的转动方向，并通过挡板328将薄片引导至薄片再进给路径329。在上述定时，已引导至薄片再进给路径329的打印薄片被再次进给到感光鼓3 2 3和转印单元3 2 5之间的位置，并将调色剂说明书第9/20页
图像转印到薄片的背面上。
接着，说明控制台单元2012的配置。
图4示出^f艮据本实施例的MFP IOI的控制台单元2012的外观的斗见图。
显示单元2013配置有其上设置有触摸面板的LCD。显示单元2013显示操作画面，并且当按下所显示的4建时，显示单元2013将所按下的键的位置信息发送至CPU 2001。开始键2014用于启动原稿图像读取操作。在开始键2014的中央提供有绿色和红色的LED 2018,以通过LED的颜色来指示开始4建2014是否处于准备就绪状态。停止键2015用于停止进行中的操作。ID键2016用于输入用户ID。复位4定2017用于初始化由控制台单元2012^故出的设置。按下模式设置键2019来指定用于对MFP101进行各种设置的模式。
图5作为示例示出才艮据本实施例当在MFP IOI上按下才莫式设置键2019时显示单元2013上所显示的网络配置的树形结构。
，1定HDD 2004存々者用于设置MFP 101的网络配置的程序。当按下模式设置4建2019时，在控制台单元2012的显示单元2013上显示用于对MFP IOI进行各种设置的菜单。当选择"网络配置"时，显示涉及网络配置的设置菜单。涉及网络配置的菜单具有指示网络层级的树形结构。例如，用于针对^v特定IPv6地址发送的包的限制处理的"IP v 6地址过滤配置"5 01位于图5所示的网络层上。即，乂人上层开始，可如下表述"网络配置"-"IPv6配置"-"IPv6地址过滤配置"。
通过触4莫显示单元2013上显示的光标4建(未示出)，MFP 101的用户可以上、下、右或左移动所显示的树，以显示并操作期望的设置菜单。
图6示出用于i殳置IPv6地址过滤的画面的示例的#见图。键("单个地址")601是触摸键，其用于转移到用于输入要限
制的单个IPv6地址的画面。当MFP 101的操作者按下4建601时，出现用于显示键("地址输入")605和显示格604的窗口 。当操作者4要下4建605时，显示出用于输入IPv6地址的配置UI(未示出)。操作者可以使用该配置UI输入IPv6地址。由操作者输入的IPv6地址显示在显示格604上。
键("多个地址")602为触摸键，其用于转移到用于指定IPv6地址范围的配置UI。
图7示出当按下4建602时显示单元2013的显示示例的碎见图。
在该画面上，可以在从起始地址到终止地址的范围内指定IPv6地址。当按下键(起始地址)607时，可以输入IPv6地址的起始地址。当按下^:(终止地址)608时，可以输入IPv6地址的终止地址。框609和610分别表示起始和终止地址的示例。
图8示出用于以前缀为单位指定IPv6地址的配置UI的示例的视图。当按下4建(前缀)603(图6)时，显示该画面。
图9是说明在输入了用于IPv6过滤的IPv6地址的情况下过滤表注册序列的流程图。过滤表是其通过MFP 101进4于的处理应该受到限制的IPv6地址列表，并且该过滤表成对地存储Mac地址和主机名称。在RAM 2002中生成过滤表，并将该过滤表存储在HDD 2004中。
图10示出根据第 一 实施例的过滤表的示例的视图。
将由MFP 101的操作者所输入的IPv6地址存储在列10001中。将每个具有IPv6地址的节点的Mac地址(石更件地址)存储在相应IPv6地址行的列10002中。此外，将具有IPv6地址的节点的主机名称存储相应的IPv6地址行的列10003中。通过参考该表，IPv6地址、MAC地址和主4几名称可以相互关联。在图10的示例中，尽管相互关联地存々者IPv6地址、MAC地址和主机名称，然而例如可以省略主机名称。在这种情况下，在图11和13所示的流程图中可以省略基于主机名称的主机名称注册和搜索处理。
接着，参考图9中的流程图说明过滤表注册控制。将^l行该控制的程序存储在ROM 2003中，并且在CPU 2001的控制下#1
行该程序。
在步骤S1中，当MFP 101的才喿作者输入IPv6地址时，将该IPv6地址存入过滤表中。在步骤S2中，确:〖人具有在步骤S1中所输入的IPv6地址的节点的Mac地址。更具体地，MFP101将根据英特网控制报文协议第6版(ICMPv6)的邻居请求报文发送到LAN 105。如果LAN 105中存在具有由才喿作者所输入的IPv6地址的节点，则该节点将根据ICMPv6的邻居通告报文作为应答发回MFPIOI。在步骤S3中，CPU 2001判断是否接收到了邻居通告报文。如果接收到应答，则控制进入步骤S4，并将具有由操作者所输入的IPv6地址的节点的Mac地址存储在过滤表中。以这种方式，MFP 101可以获取邻居通告才艮文包中所包含的Mac地址值，并将该Mac地址注册在与IPv6地址相对应的列10002中。
如果在步骤S3中未接收到邻居通告报文，则控制进入步骤S5，并且向DNS服务器103查询与所输入的IPv6地址相对应的主机名称。这里，CPU 2001向DNS服务器103提出AAAA记录的反向查找请求，从而获取与所输入的IPv6地址相对应的主机名称。在步骤S6中，作为向DNS服务器103查询的结果，判断是否已获取相应的主机名称。如果判断为获取了主机名称(地址已得出)，则控制进入步骤S7 ，并且将从DNS服务器103接收到的主机名称注册在过滤表中。以这种方式，CPU 2001可以将主才几名称注册在与所输入的IPv6地址相对应的过滤表位置中。
同时，如果在步骤S6中主机名称获取失败，则取消表注册控制。此处，主机名称获取失败包括从DNS服务器103返回错误代码的情况，与DNS服务器103的通信无法进行的情况，或在MFP 101中尚未完成DNS月l务器103的注册的情况。
图ll是说明在生成上述过滤表之后MFP IOI接收包的情况下的过滤控制的流程图。将执行该控制的程序存储在ROM 2003中，并且在CPU 2001的控制下执行该程序。
在步骤S11中，MFP 101等待接收IPv6包。由于MFP101具有打印服务器功能和例如简单网络管理协议(S NMP)代理等的装置管理协议，因此，MFP IOI可接收各种包。当在步骤S11中接收到IPv6包时，控制进入步骤S12,在该步4聚中，CPU 2001确认所接收到的包的源IPv6地址，并且判断该源IPv6地址是否注册在过滤表中。如果该源IPv6地址;陂注册在过滤表中，则控制进入步骤S18，在该步骤中进行过滤控制，以不接收该包。
如果在步骤S12中判断为该源IP v 6地址未— 皮注册在过滤表中，则控制进入步骤S13以判断过滤表中是否注册有与所接收到的包的源MAC地址相匹配的地址。如果注册有这样的地址，则控制进入步骤S14，在该步骤中CPU 201将过滤表中所注册的与该Mac地址相对应的IPv6地址值改变为所、接收到的包的源IPv6地址。然后，控制进入步骤S18。注意， 一旦，喿作者在MFP101中将IPv6地址注册为过滤目标之后，则将源Mac地址注册在过滤表中的情况表示过滤目标节点的IPv6地址已发生改变。
图12是说明步骤S14中的过滤表改变控制的流程图。
在步骤S21中，CPU 2001判断多个4妻收到的包的MAC地址是否存储在过滤表中。如果多个MAC地址存储在过滤表中，则控制进入步骤S22，在该步骤中，确认与所注册的MAC地址相对应的节点的存在。更具体地，针对与所接收到的包的MAC地址相对应的过滤表中的所有IPv6地址，通过4吏用4艮据ICMPv6的邻居发现报文来确认地址的存在。在步骤S23中，确定作为过滤表改变的目标的注册项。此处，将作为步骤S22中存在确
认结果而纟皮确i人不存在的IPv6地址确定为改变目标。在步骤S24中，在过滤表中所注册的IPv6地址中，将与所接收到的Mac地址相对应并且无法确认存在的IP v 6地址改变为所4妄收到的包的源lPv6i也址。
图12中的控制序列考虑了将多个IPv6地址分配给一个节点或一个网络接口的特征。在这种情况下，过滤表可以包括与同一MAC;l也址相对应的多个IPv6地址。因此，为了识别多个IPv6地址中已改变的地址值，确认每个IPv6地址的存在，然后将不存在的IPv6地址确定为已改变的地址。
返回参考图11，如果在步骤S13中判断为源Mac地址未注册在过滤表中，则控制进入步骤S15,在该步骤中，获取所接收到的包的主机名称。CPU 2001向DNS服务器103提出AAAA记录的反向查找^青求，由此查询与所 -接收到的包的源IP v 6地址相对应的主机名称。在步骤S16中，判断从DNS服务器103获取的主机名称是否与过滤表中注册的任一个主机名称相匹配。如果发现匹配，则判断为所获取的主机名称注册在过滤表中，控制进入步骤S17;否则，控制进入步骤S19。注意， 一旦操作者在MFP101中将IPv6地址注册为过滤目标之后，在过滤表中注册所获取的主机名称的情况(步骤S16为"是")表示过滤目标节点的IPv6地址已发生改变。在步骤S17中，MFP IOI将过滤表中所注册的与该主机名称相对应的IPv6地址值改变为所接收到的包的源IPv6地址。然后，控制进入步骤S18。
图13是具体说明图11的步骤17中的控制的流程图。
在步骤S31中，CPU 2001判断步骤S16中所获取的多个主片几名称是否注册在过滤表中。如果多个主机名称注册在过滤表中，则控制进入步骤S32,在该步骤中，获取与所注册的主机名称相对应的所有IPv6地址。在这种情况下，CPU 2001向DNS力良务 器103^是出AAAA记录的前向解析请求，,人而获取与该主机名称 相对应的所有IPv6地址。在步骤S33中，确定过滤表中要改变的 注册项。更具体地，CPU 2001将注册在过滤表中的与主机名称 相对应的IPv6地址与在步骤S32中所获取的IPv6地址进行比较。 在注册在过滤表中的IPv6地址中，将未注册在DNS月良务器103 中并且与步骤S16中所获耳又的主机名称相对应的IPv6地址确定 为改变目标。在步骤S34中，将过滤表注册目标的IPv6地址改变 为所4矣收到的包的源IPv6的地址值。
图13中的控制序列考虑了将多个IPv6地址分配给一个节点 或一个网络接口的特征。在这种情况下，过滤表可能包括与同 一MAC地址相对应的多个IPv6地址。因此，为了识别多个IPv6 地址中已改变的地址，确认主机名称和IPv6地址之间的匹酉己， 然后将当前未注册在DNS服务器103中的IPv6地址确定为已改 变的i也址。
返回参考图ll,在步骤S18中，CPU 2001执行IPv6过滤控 制。CPU 2001判断过滤表中是否注册有所4妻收到的包的源IPv6 地址，并且如果判断为注册了该地址，则CPU 2001丟弃接收到 的包。同时，如果没有注册所述地址，则不丟弃所接收到的包。 接着，在步骤S19中，通过套接字(socket)API将所接收到的包的 数据传输到上层的应用程序。上层的应用程序接收数据并进行 预定的处理。
除包接收情况之外，MFP IOI也进行过滤表更新。MFP101 定期判断与过滤表中所注册的MAC地址和主才几名称相对应的 IPv6地址是否有任何改变，如果发现有改变，则MFP IOI更新 过滤表。正如参考图ll所述的，通过使用根据ICMPv6的邻居发 现报文并访问DNS服务器103,进行所述控制。如上所迷，根据第一实施例的成像设备，对通过网络接收
到的包的MAC地址、该包在接收包的网络层的网络地址以及发 送该包的发送装置的主机名称进行4全测。如果所;险测到的地址 或主机名称注册在过滤表中，则进行控制以限制(拒绝)包的处 理。此外，由DNS服务器等通过网络对过滤表中的信息进行确 认，并将过滤表中的信息更新为最新信息。
通过上述特征，不再需要用户频繁地更新用于过滤网络地 址的过滤表的内容。
此外，即使在存在使用IPv6匿名地址的节点的环境中，或 者在节点的网络地址在短时间段内发生改变的环境中，例如， 通过DHCP发布IP地址的情况下，也能够确保执行接收数据过滤 控制。
此外，由于用户不再需要更新过滤表，因此能够减少用户 的工作。
第二实施例
接着，说明本发明的第二实施例。第二实施例说明在图l 所示的系统环境中进4亍IPv4通信以及MFP 101进4亍IPv4地址过 滤的情况。由于根据第二实施例的MFP IOI和系统的配置与第 一实施例相似，因此省略对其的说明。
图14示出根据第二实施例当按下了控制台单元2012的才莫式 设置键2019时显示单元2013上所显示的网络配置的树形结构作 为示例。与该网络配置相关的菜单具有树形结构。例如，将是 用于针对乂人特定IPv4地址发送的包的限制处理的"IPv4地址过 滤配置"1401如下所述位于网络层上，即，从上层开始，"网络 配置"-"IPv4配置"-"IPv4地址过滤配置"。
图15示出根据第二实施例的用于设置IPv4地址过滤配置的 画面的示例的视图。MFP 101的纟乘作者可以输入要过滤的单个IPv4地址，或者可以指定IPv4地址范围。
图15示出当指定了"单个地址"时的显示示例。
图16是说明根据第二实施例在输入要经过IPv4过滤的IPv4
地址的情况下过滤表注册序列的流程图。
根据第二实施例的过滤表是应当限制由MFP 101进行的处
理的IP v 4地址列表，并且该过滤表成对地存储M A C地址和主枳j名称。
图17说明示出根据第二实施例的过滤表的示例的视图。
将由MFP 101的#:作者输入的IPv4地址存々者在列17001中。 将具有IPv4地址的节点的每个MAC地址存储在相应的IPv4地址 行的列17002中。此外，将具有IPv4地址的节点的主机名称存储 在相应的IPv4地址行的列17003中。与上述第一实施例类似，这 里可以省略主才几名称。在这种情况下，在图16和18所示的流程 图中可以省略基于主机名称的主机名称注册和:溲索处理。
接着，参考图16中的流程图说明第二实施例的过滤表注册 控制。将执行该控制的程序存储在ROM 2003中，并在CPU 2001 的控制下执行该程序。
在步骤S41中，当MFP 101的操作者输入IPv4地址时，在过 滤表中存储该IPv4地址。在步骤S42中，确认具有所输入的IPv4 地址的节点的MACi也址。更具体地，MFP IOI向LAN 105发送 地址解析协议(ARP)报文。如果LAN 105上存在具有由操作者所 输入的IPv4地址的节点，该节点向MFP 101发回ARP应答作为响 应。如果在步骤S43中接收了 ARP应答，则控制进入步骤S44。 如果在步骤S43中没有接收到ARP应答，则控制进入步骤S45 。 在步骤S44中，将具有由操作者所输入的IPv4地址的节点的Mac 地址存储在过滤表中。这里，MFP IOI获取包含在ARP应答中 的Mac地址，并且将该Mac地址注册在与所输入的IPv4地址相对应的歹ll 17002中。
如果在步骤S43中没有接收到ARP应答，则控制进入步骤 S45，并向DNS服务器103查询与所输入的IPv4地址相对应的主 机名称。这里，CPU 2001向DNS服务器103提出A记录的反向查 找请求，从而获取与所输入的IPv4地址相对应的主机名称。在 步骤S46中，如果作为向DNS服务器103查询的结果而确定获取 了主机名称，则控制进入步骤S47,并且将从DNS服务器103接 收到的主机名称注册在过滤表中。更具体地，CPU 2001将主枳』 名称注册在与所输入的IPv4地址相对应的过滤表列17003中。
同时，如果在步骤S46中主机名称获取失败，则取消表注 册控制。这里，主机名称获取失败包括乂人DNS服务器103返回 错误代码的情况，无法与DNS服务器103进行通信的情况，或者 在MFP 101中未完成DNS月l务器103的注册的情况。
图18是i兌明在才艮据第二实施例的MFP IOU姿收包的情况下 的过滤控制的流程图。
在步骤S51中，MFP 101等待接收IPv4包。当接收到IPv4包 时，控制进入步骤S52。在步骤S52中，CPU2001确认所接收到 的包的源IPv4地址，并判断该源IPv4地址是否注册在过滤表中。 如果在步骤S52中判断为该源IPv4地址注册在过滤表中，则控制 进入步骤S58，在该步骤中，进行丢弃包的过滤控制。
如果在步骤S52中判断为该源IPv4地址没有注册在过滤表 中，则控制进入步骤S53以判断所接收到的包的源Mac地址是否 注册在过滤表中。如果注册了该源Mac地址，则控制进入步骤 S54,在该步骤中，CPU2001将过滤表中所注册的与该Mac地址 相对应的IPv4地址值改变为所接收到的包的源IPv4地址。然后， 控制进入执行过滤的步骤S58。注意， 一旦操作者在MFP IOI中 将IPv4地址注册为过滤目标之后，将源MAC地址注册在过滤表
21中的情况表示过滤目标节点的IPv4地址已发生改变。
同时，如果在步冬聚S53中判断为该源Mac地址没有注册在过 滤表中，则控制进入步骤S55,在该步骤中，获取所接收到的 包的主才几名称。CPU 2001向DNS服务器103提出A记录的反向查 找请求，从而查询与所接收到的包的源IPv4地址相对应的主机 名称，并获取该主机名称。在步骤S56中，判断步骤S55中所获 取的主机名称是否注册在过滤表中。如果所获取的主机名称注 册在过滤表中，则控制进入步骤S57。注意， 一旦操作者在MFP 101中将IPv4地址注册为过滤目标之后，将所获耳又的主机名称注 册在过滤表中的情况表示过滤目标节点的IPv4地址已发生改 变。在步骤S57中，CPU 2001将过滤表中所注册的与该主才几名 称相对应的IPv4地址 <直改变为所接收到的包的源IPv4地址。然 后，控制进入步骤S58以执行过滤控制。同时，在步骤S56中， 如果所获取的主机名称未注册在过滤表中，则控制进入步骤 S59。
在步骤S58中，CPU 2001执行IPv4过滤控制。更具体地， 判断所接收到的包的源IPv4地址是否注册在过滤表中，如果注 册在过滤表中，则丢弃所接收到的包。同时，如果没有注册， 则不丢弃所接收到的包。接着，在步骤S59中，通过套接字API 将所接收到的包的数据传送到上层的应用程序。上层的应用程 序接收该数据并进行预定的处理。
除包接收情况之外，MFP IOI还进行过滤表更新。MFP101 周期性地判断与注册过滤表中的MAC地址和主4儿名称相对应 的IPv4地址是否有任何改变，如果发现有改变，则MFP IOI更 新过滤表。如参考图18所述，通过使用ARP才艮文以及访问DNS 服务器103来进行该控制。
如上所述，根据第二实施例，用户不再需要频繁地改变用于过滤网络地址的过滤表的内容。
此外，即使在存在使用IPv4匿名地址的节点的环境中，或
者在节点的网络地址在短时间段内发生改变的环境中，例如，
通过DHCP发布IP地址的情况下，也能够确保执行接收数据过滤控制。
此外，由于用户不再需要更新过滤表，因此能够减少用户 的工作。
其它实施例
尽管上述实施例进行过滤控制以限制(禁止)对于从过滤表 中所注册的设备发送的包的处理，但是也能够配置实施例以只 对从所注册的i殳备发送的包进行处理。换句话i兌，可以通过在 过滤表中注册允许包处理的设备来执行过滤控制。
注意，本发明也可以如下实现通过直接地或远程地向计 算机系统或设备提供实现上述实施例的功能的软件程序，由该 系统或设备的计算机读取该程序并执行所述程序。在这种情况 下，只要实现了该程序功能，实施例的形式不限于程序。
因此，安装在计算机中用以实现本发明的功能的程序代码 也构成本发明。换句话说，本发明的权利要求包括实现本发明 功能的计算机程序。在这种情况下，只要实现了该程序功能， 程序的形式可以是目标代码、由解释器执行的代码、提供给OS 的脚本数据等。
可以使用各种记录介质来提供程序。例如可以使用软盘(注 册商标)、硬盘、光盘、磁性光盘、MO、 CD-ROM、 CD-R、 CD-RW、 磁带、非易失性存储卡、ROM、 DVD(DVD-ROM、 DVD-R)等。
作为其它程序提供方法，使用客户端计算机的浏览器来访 问因特网上的主页，并且可从主页上将程序下载到硬盘等记录 介质上。在这种情况下，所下载的程序可以是根据本发明的计算机程序本身，或包含自动安装功能的压缩文件。可选地，可 以将构成根据本发明的程序的程序代码分割成多个文件，可以 从不同主页下载该多个文件中的每一个。换句话说，本发明的 权利要求还包括允许多个用户使用计算机下载实现本发明功能 的程序文件的WWW服务器。
此外，可以对根据本发明的程序进行加密并将其存储在诸
如CD-ROM的存^[渚介质中，以进行用户分发。在这种情况下， 允许满足预定条件的用户从因特网上的主页下载解密密钥数 据，并在计算机中使用该密钥数据以可执行的形式安装加密的 程序。
此外，本发明还能够通过由计算机执行所读取的程序来实 现实施例的上述功能的上述实施例之外实施例来实现。例如， 能够通过运行在按照程序的指示执行部分或整个处理的计算机 上OS(操作系统)实现根据上述实施例的功能。
此外，可以将从记录介质读取的程序写入插在计算冲几中的 功能扩展卡，或连接到计算机的功能扩展单元中设置的存储器。 在这种情况下，再将程序写入功能扩展卡或单元之后，包含在 该功能扩展卡或单元中的C P U等按照程序的指示执行部分或全 部处理，从而实现根据上述实施例的功能。
尽管已经参考典型实施例说明了本发明，但是应当理解， 本发明不限于所公开的典型实施例。所附权利要求书的范围符 合最宽的解释，以包含所有这类修改、等同结构和功能。
本申请要求于2007年6月28日提交的日本专利申请 2007-171222的优先权，其全部内容通过引用包含于此。
权利要求
1.一种通过网络进行通信的通信设备，所述通信设备包括存储单元，用于将第一地址与第二地址相关联地存储，其中，所述第一地址是以允许或限制对所接收到的包的处理为目标的、在设备的网络层的地址，并且所述第二地址为在与设备的网络层不同的层的地址；检测单元，用于检测作为通过网络接收到的包的源的发送设备的第一地址和第二地址；过滤单元，用于在所述存储单元中存储有由所述检测单元所检测到的所述发送设备的第一地址的情况下，允许或限制对所接收到的包的处理；以及更新单元，用于在所述存储单元中没有与由所述检测单元所检测到的所述发送设备的第二地址相关联地存储由所述检测单元所检测到的所述发送设备的第一地址且所述存储单元中存储有所述发送设备的第二地址的情况下，将与所述发送设备的第二地址相关联地存储在所述存储单元中的第一地址更新为由所述检测单元所检测到的第一地址。
2. 根据权利要求l所述的通信设备，其特征在于，所述第 二地址为设备的硬件地址或主机名称。
3. 根据权利要求l所述的通信设备，其特征在于，还包括 发送单元，所述发送单元用于在所述存储单元中没有存储由所 述检测单元所检测到的所述发送设备的第 一 地址且所述存储单 元中具有由所述检测单元所检测到的所述发送设备的不止 一 个 第二地址的情况下，向所述存储单元中所存储的、与所述不止 一个第二地址中的每一个第二地址相关联的第 一地址发送报文，其中，所述更新单元将所述存储单元中的、基于所述发送 单元所发送的报文进行的通信失败了的第一地址，更新为由所述检测单元所检测到的所述发送设备的第 一 地址。
4. 根据权利要求l所述的通信设备，其特征在于，所述更 新单元周期性查询与存储在所述存储单元中的第二地址相对应的第 一 地址，以判断与该第二地址相对应的第 一 地址是否发生 了改变，并且如果判断为与该第二地址相对应的第一地址发生 了改变，则所述更新单元将存储在所述存储单元中的、与该第 二地址相对应的第 一 地址更新为改变后的第 一 地址。
5. 根据权利要求l所述的通信设备，其特征在于，所述第 一地址包括IPv4地址或IPv6地址。
6. —种通过网络进行通信的通信设备的控制方法，所述控 制方法包括如下步骤将第一地址与第二地址相关联地存储在存储器中，其中， 所述第一地址是以允许或限制对所接收到的包的处理为目标 的、在设备的网络层的地址，并且所述第二地址为在与设备的 网络层不同的层的地址；才企测步骤，用于#r测作为通过网络接收到的包的源的发送 设备的第一地址和第二地址；在所述存储器中存储有在所述检测步骤中所检测到的所述 发送设备的第 一 地址的情况下，进行过滤以允许或限制对所接 收到的包的处理；以及更新步骤，用于在所述存储器中没有与在所述检测步骤中 所检测到的所述发送设备的第二地址相关联地存储所述检测步 骤中所检测到的所述发送设备的第 一 地址且所述存储器中存储 有所述发送设备的第二地址的情况下，将与所述发送设备的第 二地址相关联地存储在所述存储器中的第 一 地址更新为在所述 检测步骤中所检测到的第 一 地址。
7. 根据权利要求6所述的控制方法，其特征在于，所述第二地址为i殳备的石更件地址或主机名称。
8. 根据权利要求6所述的控制方法，其特征在于，还包括 发送步骤在所述存储器中没有存储在所述检测步骤中所检测 到的所述发送设备的第 一 地址且所述存储器中具有由所述检测 单元所一全测到的发送i殳备的不止 一 个第二地址的情况下，向所 述存储器中所存储的、与所述不止一个的第二地址相关联的第 一地址发送才艮文，其中，将所述存储器中的、基于在所述发送步骤中所发送 的报文进行的通信失败了的第一地址，更新为在所述^^企测步骤 中所检测到的所述发送设备的第 一地址。
9. 根据权利要求6所述的控制方法，其特征在于，在所述 更新步骤中周期性地查询与存储在所述存储器中的第二地址相 对应的第 一地址，以判断与该第二地址相对应的第 一地址是否 发生了改变，并且如果判断为与该第二地址相对应的第一地址 发生了改变，则将存储在所述存储器中的、与该第二地址相对 应的第 一 地址更新为改变后的第 一 地址。
10. 根据权利要求6所述的控制方法，其特征在于，所述第 一地址包4舌IPv4i也址或IPv6地址。
全文摘要
一种通信设备，其将以允许或限制对所接收到的包的处理为目标的设备的第一地址与其第二地址相关联地存储。所述通信设备检测作为通过网络接收到的包的源的发送设备的第一地址和第二地址，如果存储有所检测到的所述发送设备的第一地址，则允许或限制对所接收到的包的处理。如果所检测到的所述发送设备的第一地址不是与所述发送设备的第二地址相关联地存储且存储有所检测到的第二地址，则所述通信设备以所检测到的第一地址更新所存储的第一地址。
文档编号H04L12/46GK101690030SQ20088002248
公开日2010年3月31日 申请日期2008年6月11日 优先权日2007年6月28日
发明者庄野广希 申请人:佳能株式会社