专利名称:网络设备及通信控制方法
技术领域:
本发明涉及网络设备及通信控制方法,特别涉及在通常的使用方式中进行电源的 开闭的网络设备及在该网络设备中的电源关闭程序时的通信控制方法。
背景技术:
在网络通信中,为了确保安全性安全地进行通信,进行将数据加密收发的加密通 信。在该加密通信中,在进行通信的节点之间,生成用于加密、解密的密钥,通过交换、共享 密钥信息、有效期限等加密通信中所需的信息(称作加密通信信息)而确立通信。在这里,在网络设备A、B之间进行加密通信时,在作为接收侧的设备B中,在因产 生故障等现象而进行重新启动导致失去加密通信信息的情况下,没有将在设备B中加密通 信信息丢失的情况向设备A侧通知的单元。因此,设备A继续将加密数据向设备B发送直 到有效期限超过为止,在设备B中,因为加密通信信息丢失而不能对加密数据进行解密,从 而加密数据被废弃。针对该问题,还考虑了通过将加密通信信息预先保存到HDD(hardDisk Drive,硬 盘驱动器)等非易失性存储介质中而防止丢失的方法,但在该方法中泄露的危险性高,有 违用于确保安全性的通信的原来的目的,从而不是优选的解决方案。基于这种背景,提出了失去加密通信信息时的各种恢复方法,例如在日本特开 2005-20215号公报及日本特开2003-204349号公报中公开了在发生故障时在重新启动后 向对象侧的设备通知故障的方法。设想上述日本特开2005-20215号公报或日本特开2003-204349号公报作为对象 的网络设备,在通常使用时总是处于启动状态。但是,在耗电大的设备、使用频率的变动大 的设备等中,重新启动不仅仅在发生故障时采用,而作为通常的使用方式,采取在不使用的 情况下关闭电源,仅在使用时接通(启动)电源的使用方式。在这种设备中存在下述问题每当电源关闭都直到被加密通信信息确定的有效期 限超过为止不能恢复通信。并且,每当电源关闭都在下一次启动为止(电源接通)的期间, 发送不需要的加密数据,从而使伴随加密通信处理的通信对象的设备的负荷、网络负荷增 大。并且,当对上述设备采用上述日本特开2005-20215号公报或日本特开 2003-204349号公报记载的方法时,重新启动时必须向对象侧的设备进行故障通知,从而处 理变得繁杂。并且,在该方法中,由于需要保存加密通信信息的一部分,因而存在使安全性 降低的问题。
发明内容
本发明为了克服上述问题,其目的之一为提供网络设备及通信控制方法,能防止 设别、网络的负荷增大以及安全性的降低,同时能有效地恢复加密通信。为了达成上述目的,本发明的网络设备,将包含密钥的加密通信信息交换并相互存储,根据该加密通信信息进行加密通信,其中具有电源关闭检测部,该电源关闭检测部检 测电源关闭程序,在电源关闭之前,对通信对象的网络设备,进行上述加密通信信息的删除 请求。并且,本发明的通信控制方法,其是将包含密钥的加密通信信息交换并相互存储, 根据该加密通信信息进行加密通信的网络系统中的通信控制方法,其特征在于,至少执行 下述处理第一处理,开始了电源关闭程序的网 络设备,在电源关闭之前,对通信对象的网 络设备,进行上述加密通信信息的删除请求;和第二处理,上述通信对象的网络设备,根据 上述删除请求删除上述加密通信信息。
图1是示意性地表示本发明一实施例的通信控制系统的结构及通信方法的图。图2是表示本发明一实施例的图像形成装置的结构的框图。图3是表示本发明一实施例的图像形成装置的部分结构的图,图3(a)是表示NIC 的结构的框图,图3(b)是表示IPsec的结构要素的框图。图4是表示SA管理数据库的构成例的图。图5是本发明一实施例的通信控制系统中的图像形成装置与服务器之间的IPsec 通信顺序图。图6是表示本发明一实施例的IPsec发送时的处理的顺序的流程图。图7是表示本发明一实施例的IKE(密钥交换)处理的顺序的流程图。图8是表示本发明一实施例的IPsec发送处理的顺序的流程图。图9是表示本发明一实施例的电源断开检测时的处理的顺序的流程图。图10是表示本发明一实施例的SA删除处理的顺序的流程图。
具体实施例方式作为力口 密通信的构造,有 IPsec (Security Architecture for InternetProtocol,网际安全协议)。IPsecTCP/IP (Transmission Control Protocol/InternetProtocol,传 输控制/网际协议)的IP数据包(bucket)加密后交接的协议,在进行通信的节点之间,进 行密钥交换(IKE=Internet KeyExchange,因特网密钥交换协议)处理,将加密通信(SA : SecurityAssociation 安全联盟)信息交换、共享并确立通信。SA信息包含地址、所使用 的认证算法、加密算法、密钥、有效期限等加密通信所需的各种参数,由于该SA信息是单向 的,因而用于发送、用于接收而需要具有2个。在这种IPsec通信中,也如上所述地在作为接收侧的设备B中,因发生故障、电源 断开、设定变更等现象而进行重新启动导致SA信息丢失的情况下,设备A将根据SA信息加 密的IP数据包继续向设备B发送直到到达有效期限为止。作为SA信息丢失时的恢复方法之一,有下述方法超过了在设备A预先设定的 SA的有效期限后,从设备A向设备B开始IKE处理,重新确立SA后等待被恢复。例如,在 windows (注册商标)XP/Vista中,SA的有效期限默认为3600秒,在该方法中在这期间中断 通信会产生损失。
并且,作为另一恢复方法,虽然有重新启动设备A的方法,但在设备A为服务器、路 由器的情况下,有可能对与其他网络设备之间的通信产生影响,其结果产生通信损失。并且,在日本特开2005-20215号公报中,公开了下述方法在发生了故障的情况 下,重新启动后,向参照安全性而进行通信的IPsec装置进行故障通知。在上述日本特开 2003-204349号公报中公开了下述方法将SA信息的一部分作为SA管理信息保存在非易 失性存储介质中,重新启动后,接收IPsec数据包时,与SA管理信息进行核对,在一致的情 况下,向对象装置进行密钥丢失的要旨的通知。但是,当采用上述日本特开2005-20215号公报或日本特开2003-204349号公报的 方法时,每次重新启动都必须向对象侧的设备进行故障通知,从而处理变得繁杂,并且,还 发生为了保存SA信息的一部分而降低安全性的问题 。因此,在本发明中,在开始了电源关闭程序的网络设备侧,实际上停止电源的供给 之前,对通信对象的网络设备进行加密通信信息(IPsec通信时为SA信息)的删除请求。具体而言,在网络设备设置电源断开检测部,电源断开检测部检测到电源关闭程 序时,在因电源断开而使加密通信信息消失之前,向已经进行了加密通信的对象侧的网络 设备,发送加密通信信息的删除命令。对象侧的网络设备,当接收到删除命令时删除加密通 信信息而停止数据包的发送。然后,电源断开的网络设备重新启动时,再次将加密通信信息 交换、共享而确立通信。由此,防止负荷的增大以及安全性的降低,并且能有效地恢复加密通信。此外,由于网络设备通常具有HDD,在电源关闭时需要进行使HDD的磁头待机等的 处理,因而实际上直到停止电源的供给为止,有500 800msec左右的时间。因此,在其间 可以发送加密通信信息的删除命令。以上对一般的网络设备进行了描述,在网络设备中,特别是MFP(Multi Function Peripheral,多功能外围设备)等的图像形成装置,在定影装置的加热等中消耗较大的功 率,并且使用频率因当时的状况而发生较大变化,因而通常进行的是在不使用的情况下断 开电源,仅在使用时打开(启动)电源的使用方法。并且,在图像形成装置中,在机器设定 变更时、固件的改写结束时等也需要重新启动。如此,图像形成装置与服务器、路由器等普通的网络设备相比,除了发生故障时以 外需要断开电源、重新启动的情况较多。因此,在下述的实施例中,以图像形成装置中的通 信控制为例进行说明。(实施例)为了更详细地说明上述的本发明的一实施方式,参照图1至图10对本发明一实施 例的网络设备及通信控制方法进行说明。图1是示意性地表示本实施例的通信控制系统 的结构的图,图2是表示图像形成装置的结构的框图,图3是表示NIC (Network Interface Card,网络接口卡)的结构以及IPsec的结构要素的框图。图5是图像形成装置与服务器 之间的IPsec通信顺序图。并且,图6至图10是表示本实施例的IPsec通信的顺序的流程 图。如图1所示,本实施例的通信控制系统是接收利用密钥进行加密的数据包的加密 通信系统,其包括服务器、路由器、用户终端等的一个网络设备(在这里为服务器10)和另 一个网络设备(在这里为图像形成装置20)。并且,所述部件通过以太网(注册商标)、令牌环、由FDDI (Fiber-Distributed Data Interface,光纤分布数据接口)等标准确定的 LAN (Local Area Network,局域网)、WAN (Wide Area Network,广域网)等通信网络相连接。服务器10 包含由 CPU (Central Processing Unit,中央处理器)、ROM (Read Only Memory,只读存贮器),RAM(Random AccessMemory,随机存取存储器)等存储器、HDD等构成 的控制部;和由NIC、调制解调器等构成的通信I/F部(未图示)。服务器10与图像形成装 置20之间进行加密通信(在本实施例中为IPsec通信),当从图像形成装置20接收到删除 命令时根据删除命令进行删除加密通信信息(在本实施例中为SA信息)的动作。如图2所示,图像形成装置20由控制部21、电源部22、通信I/F部23、扫描输入部 24、图像输出部25、操作面板26、电压关闭检测部27等构成。控制部21是控制各结构要素的部分,其包括CPU、R0M、RAM等存储器、HDD等,所述 部件通过总线连接。上述控制部21还起到下述的打印控制器的功能对从服务器10等接收到的打印 数据进行RIP (Raster Image Processor,光栅图像处理器)处理而产生每页的图像数据 (页数据),根据需要进行图像处理(尺寸、分辨率、黑白/彩色等的变换处理)、筛选后,将 页数据传输给图像输出部25。
电源部22是向图像形成装置20的各部分供给电源的部分,根据控制部21的指示 来控制电源的开闭。此外,本说明书中的电源关闭的状态表示停止电源供给以便于删除保 存在RAM中的信息不能通信的状态,排除停止对一部分结构要素的电源供给的状态,例如 停止对图像输出部25的电源供给的状态。通信I/F部23由NIC等构成。例如如图3(a)所示,NIC由与控制部21进行数据 传输的接口、LPD (Line Printer Daemon protocal,行式打印机后台程序协议经由TCP/ IP网络进行打印的协议)、HTTP (Hyper Text Transfer Protocol,超文本传输协议用于 在服务器用户之间收发数据的协议)、MIB (Management Information Base,管理信息库 由 SNMP 管理的网络设备所公开的信息)、SNMP(Simple NetworkManagement Protocol, 简单网络管理协议用于经由TCP/IP网络监视、控制网络设备的协议)、FTP(File Transfer Protocal,文件传输协议用于在TCP/IP网络中传输文件的协议)、RAW socket、 PAP (PasswordAuthentication Protocol,石马iAilH十办i义$H^、i义的—禾中)、AppTalk( $ 现在苹果公司的Mac OS中标准搭载的网络功能的协议)>Netware (Novell公司的网络0S)、 IPX/SPX(Internetwork PacketExchange/Sequenced Packet Exchange,网间分组交换/顺 序分组交换:Novell公司的Netware使用的协议)、TCP/IP、LAN Device Driver等构成。 如此,NIC搭载TCP/IP等多个协议堆栈,通过接口与控制部21进行数据传输。此外,IPsec包含在TCP/IP协议堆栈中。并且,作为IPsec的结构要素,如图 3(b) Ijf^jWAHdP Authentication Header, IP SIiiE^ :lAilE)> ESP (IP Encapsulating Security Payload, IP封装安全载荷加密)、IKE(密钥交换)、SA管理数据库。如图4所 示,上述SA管理数据库包含作为SA识别信息的SPI (Security Pointer Index,安全指针索 引)、目的地址(destination address)、SA,其存储在RAM中。通过电源关闭而被消去。扫描输入部24是从原稿台上的原稿纸张以光学方式读取图像数据的部分,其由 扫描原稿的光源、将被原稿反射的光变换成电信号的CCD (Charge Coupled Devices,电荷 耦合元件)图像传感器和对电信号进行A/D变换的A/D变换器等构成。
图像输出部25由在利用了电子照片方式、静电记录方式等的成像工艺的图像形 成过程中所需的结构要素,例如感光体、转印头、定影器、各种输送带、清洁部等构成,其根 据由控制部21进行处理的页数据,在被指定的纸张上形成图像。操作面板26是在显示部上设置有以网格状配置了透明电极的压敏式的操作部 (触摸屏)的装置,其通过电压值检测被手指、触摸笔等按下的力点的XY坐标,将所检测的 位置信号作为操作信号向控制部21输出。电源关闭检测部27监视电源部22的关闭程序(关闭动作),当检测到电源关闭程 序时,在到电源关闭程序结束的期间为止(实际上到电源供给停止为止的期间),生成请求 删除SA信息的删除命令,并经由通信I/F部23发送给通信对象的网络设备(在本实施例 中为服务器10)。该电源关闭程序的检测可如下所述地进行判断可通过中断(匪I :Non Maskable Interrupt,非可屏蔽中断)信号检测来自电源部22的电源SW的关闭;可在电源电压为预 先确定的阈值以下的情况下判断为电源关闭;还可在电源SW罩处于打开状态,或变更需要 重新启动的机器设定,或固件的改写结束的情况下,判断为电源关闭。并且,上述电源关闭 检测部27可以构成为硬件,也可以将图像形成装置20的控制部21作为起到电源关闭检测 部27的功能的通信控制程序构成。另外,图2是本实施例的图像形成装置20的一例,扫描输入部24等可以省略,还 可以追加ADF(Aut0 Document Feeder 自动原稿输送装置)、后处理部等。并且,在图2中,使控制部21起到打印控制器的功能,也可以构成为将打印控制器 作为其他装置,通过Video I/F等连接控制器和图像形成装置20的结构。接着,参照图5的时序图和图6至图10的流程图对上述结构的通信控制系统中的 图像形成装置20和服务器10之间的IPsec通信顺序进行说明。(IPsec发送时的处理(图5的上层的处理))图像形成装置20的控制部21 (或通信I/F部23)判断通信对象(服务器10)是 否为最初进行IPsec通信的设备(图6的S100),如果是最初进行IPsec通信的设备,就与 服务器10进行密钥交换(IKE)处理(S110)。然后,控制部21 (或通信I/F部23)利用交换 了的密钥对数据加密,将加密数据发送给服务器10(S120)。参照图7对上述步骤SllO的IKE(密钥交换)处理进行具体说明。首先,将SA参数发送给服务器10 (Sll 1),从服务器10接收SA参数(Si 12)。接着, 将密钥信息发送给服务器10 (S113),从服务器10接收密钥信息(S114)。接着,确定认证算 法、加密算法、有效期限等各种参数,例如利用“Diffie-Hellman”等方式生成密钥(S115), 向服务器10发送认证信息(S116)。另一方面,在服务器10—侧也产生密钥,向图像形成装 置20发送认证信息。然后,若从服务器10接收到认证信息(Si 17),就将SA信息与识别SA的Index (索 弓丨)信息(SPI)、目的地址一起保存在图4所示的SA管理数据库中(S118)。其中,SA信息 是单向信息,将发送用信息和接收用信息作为一对进行管理。接着,参照图8对上述步骤S120的IPsec通信处理进行具体说明。首先,参照SA管理数据库选择SA(S121)。接着,参照所选择的SA选择加密算法,使用密钥对数据加密,生成加密数据包(S122)。接着,利用认证算法计算出认证信息(S123),并在加密数据中附加计算出的认证信息、识别SA的Index信息(SPI)、表示数据包顺序的 程序编号而发送给服务器10 (S124)。并且,重复S122至S124的处理直到发送结束为止 (S125)。服务器10 —侧,利用接收到的数据包中所附加的SPI,从SA管理数据库,参照相应 的SA信息选择加密算法,利用密钥解密。并且参照SA信息选择认证算法,检查认证信息, 确认数据是安全的。例如,如图1所示,发送侧的图像形成装置20,利用基于SA信息的密钥001对数 据包加密而生成加密数据包,在数据包头(header)的SPI区域记述SPI后发送IP数据包。 接收侧的服务器10,根据数据包头的SPI区域记述的SPI求出SA信息,利用基于该SA信息 的密钥001对加密数据包进行解密。(电源关闭检测时的处理(图5的中层的处理))图像形成装置20的电源关闭检测部27检测电源关闭程序(图9的S200)。接着, 电源关闭检测部27在直到实际的电源供给停止为止的期间内(例如使HDD的磁头待机的 时间、在图像输出部25的清洁部25工作时直到清洁处理以某一程度结束为止的时间),进 行SA删除处理(S210)。另外,在图像形成装置20中,通过搭载大容量电容器等,电压电平不急剧地降低, 将电源SW关闭后到动作停止电压为止耗费数msec至数秒,因而可利用该期间进行SA删除 请求。并且在这里,构成为电源关闭检测部27进行SA删除处理,但也可以构成为从电源关 闭检测部27对通信I/F部23 (NIC)提出请求,通信I/F部23 (NIC)进行SA删除处理。参照图10对上述步骤S210的SA删除处理进行具体说明。首先,电源关闭检测部27 (或通信I/F部23)参照SA管理数据库(S211),生成SA 删除净荷(S212)。然后,向与登记了的SA信息对应的对象地址,发送SA删除净荷。此外, SA删除命令作为由RFC (Request For Comment,请求注释)确定的删除净荷通知消息而发 送。此外,在以上说明中,将电源SW的关闭作为电源关闭检测时机,在没有搭载大容 量电容器的设备等的情况下,也可以在电源电压为预先确定的阈值以下时、电源SW罩的开 闭时、伴随重新启动的机器设定变更时、固件改写结束时等的预想电源关闭的时机作为电 源关闭检测时机。(IPsec发送重新开始时的处理(图5的下层的处理))当图像形成装置20的电源变为打开(重新启动)时,再次在图像形成装置20和服 务器10之间进行IKE (密钥交换)处理。并且,在图像形成装置20及服务器10上登记SA 信息,重新开始进行IPsec通信。由此,在图像形成装置20重新启动后,能直接恢复IPsec
通{曰。如此,由于电源关闭检测部27在检测到电源关闭程序时,在实际上电源的供给停 止为止的期间,对服务器10进行SA信息的删除请求,因而服务器10不会对图像形成装置 20发送无用的数据包,能减轻服务器10和网络的负荷。并且,由于在图像形成装置20重新 启动后,直接进行IKE (密钥交换)处理,因而能有效地恢复IPsec通信。另外,在本实施例 的结构中,由于在图像形成装置20的非易失性存储介质中没有保存SA信息,因而还能确保 安全性。
另外,在上述实施例中,对图像形成装置20中的控制进行了说明,但本发明不限 于上述实施例,对于任意的网络设备都能同样适用。本发明可用在进行加密通信的网络设备及该网络设备中的通信控制方法中。在本发明中,在将加密通信信息交换并共享而确立通信的网络设备中,检测到电 源关闭的程序时,直到实际上电源的供给停止为止的期间,对通信对象的网络设备进行加 密信息的删除请求。由此,即使在因电源关闭等不能立即重新启动的情况下,通信对象的设备侧不能 发送数据,能减轻伴随加密通信处理的通信对象的设备的负荷、网络的负荷。并且,由于在网络设备中,不需要将加密通信信息保存在非易失性存储介质中,因 而可防止安全性降低。
另外,不会等待加密通信信息的有效期限的超过,电源关闭了的网络设备重新启 动后,立即重新开始进行通信,因而能迅速地恢复加密通信,并且,由于不需要在重新启动 后确定通信对象的网络设备而进行故障通知,因而能简便地恢复加密通信。
权利要求
一种网络设备,将包含密钥的加密通信信息交换并相互存储,根据该加密通信信息进行加密通信,其特征在于,具有电源关闭检测部,该电源关闭检测部检测电源关闭程序,在电源关闭之前,对通信对象的网络设备,进行所述加密通信信息的删除请求。
2.如权利要求1所述的网络设备,其特征在于,所述电源关闭检测部在接收到匪I信号 时、电源电压为预先确定的阈值以下时、检测到电源开关罩的开闭时、该网络设备的设定被 变更时、固件的改写结束时中的任一时刻,判断为所述电源关闭程序开始。
3.如权利要求1或2所述的网络设备,其特征在于,所述加密通信是IPsec通信,所述 加密通信信息是SA信息。
4.一种通信控制方法,其是将包含密钥的加密通信信息交换并相互存储,根据该加密 通信信息进行加密通信的网络系统中的通信控制方法,其特征在于,至少执行下述处理第一处理,开始了电源关闭程序的网络设备,在电源关闭之前,对通信对象的网络设 备,进行所述加密通信信息的删除请求;和第二处理,所述通信对象的网络设备,根据所述删除请求删除所述加密通信信息。
5.如权利要求4所述的通信控制方法,其特征在于,在所述第一处理中,在接收到匪I 信号时、电源电压为预先确定的阈值以下时、检测到电源开关罩的开闭时、该网络设备的设 定被变更时、固件的改写结束时中的任一时刻,判断为所述电源关闭程序开始。
6.如权利要求4或5所述的通信控制方法,其特征在于,所述加密通信是IPsec通信, 所述加密通信信息是SA信息。
全文摘要
本发明提供一种网络设备及通信控制方法,可防止设备、网络的负荷增加以及安全性的降低,能有效地恢复加密通信。本发明的网络设备,将包含密钥的加密通信信息(例如SA(Security Association,安全关联)信息)以交换的方式相互存储,根据该加密通信信息进行加密通信(例如IPsec(Security Architecture for Internet Protocol,网际安全协议)通信),具有电源关闭检测部,该电源关闭检测部检测电源关闭程序,在电源关闭之前,相对于通信对象的网络设备,进行上述加密通信信息的删除请求。
文档编号H04L29/06GK101827086SQ20101011768
公开日2010年9月8日 申请日期2010年2月11日 优先权日2009年2月17日
发明者诸桥烈勇 申请人:柯尼卡美能达商用科技株式会社