专利名称:网络通信方法、网络通信系统、网络通信装置及其程序的制作方法
技术领域:
本发明涉及使用SNMP(Simple Network Management Protocol 简单网络管理协议)的网络通信方法等,尤其涉及能够进行排他访问,并且通过比较简单的处理就能够提高通信安全性的网络通信方法等。
背景技术:
以往,使用SNMP(简单网络管理协议)来作为网络管理用协议,在网络上的管理装置(SNMP管理站)与被管理装置(SNMP代理站)之间,进行使用了该协议的管理信息的通信。SNMP管理站使用SNMP对SNMP代理站具有的管理信息数据库MIB (Management Information Base)进行访问,能够进行管理信息的取得、设定。例如,由作为SNMP管理站的主机访问作为SNMP代理站的打印机,从而进行打印条件的设定、或取得错误状态等状态 fn息ο这样,作为远程访问打印机等网络设备具有的管理信息(状态、设定值等)的方法,可使用SNMP,并普及有SNMP的版本(Version) 1 (SNMPvl)以及其版本2c (SNMPv2c)。SNMPvl以及SNMPv2c为了限制向管理信息的访问而具有基于公用名的简单的认证功能,由于该公用名以明文的形式在网络上传输,所以能够容易读取,存在不能完全防止有恶意的第三者对管理信息的非法访问的课题。另外,在SNMPvl以及SNMPv2c中,通信的管理信息本身也以明文的形式在网络上传输,因此对基于网络的窃取的信息的泄漏无防备。并且,在SNMPvl以及SNMPv2c中,不具备对管理信息进行排他访问的功能,由于来自多个用户(SNMP管理站)的同时访问而产生了管理信息的不匹配等,有可能不能进行想要的信息的取得、设定。针对这样的SNMPvl以及SNMPv2c的课题,在下述专利文献1中,关于认证,提出了一种用于使侵入者不能仅通过公用名就能访问管理数据的方案。另外,在SNMP的新版本、即SNMP版本3 (SNMPv3)中,提供一种高级的认证功能以及加密功能。专利文献1 日本特表2009-522702号公报。然而,在所述专利文献1提出的方法中,不能解决网络上的窃取、所述的同时访问的问题。另外,由于SNMPv3为对应于范围较广的安全性上的威胁的规格,因此存在根据设备的不同而被要求进行过度的处理的课题,另外,不能对所述的同时访问的问题进行对应。因此,在SNMPvl以及SNMPv2c中,希望能够实现进行排他访问的功能、和基于比较简单的处理的认证、加密功能。
发明内容
因此,本发明的目的在于,提供一种使用SNMP、能够实现排他访问,并且,能够通过CN 2/9页比较容易的处理就可使通信安全性提高的网络通信方法等。
为了实现所述的目的,本发明的一个方面如下,S卩、使用了经由网络连接的设备间的简单网络管理协议的网络通信方法,在第一设备对第二设备具有的管理信息进行访问的情况下,具有所述第一设备生成在由用于存储访问对象的识别信息的标识符区域与用于存储该访问对象的值的值区域构成的数据区域的所述值区域中,添加了至少包括该第一设备的设备识别信息、或者该第一设备的用户的识别信息的附加信息的访问请求消息,并将该生成的消息向所述第二设备发送的步骤;所述第二设备根据所述发送来的消息中包含的所述设备识别信息或者所述用户的识别信息、和在该时刻对所述管理信息正在进行访问的设备或者用户的信息,来决定由所述发送来的消息所请求的访问的允许和/或不允许,以使访问中的设备或者用户的数量不超过规定数量的步骤。
并且,在所述的发明中,优选方式的特征在于,在所述第一设备发送的访问请求消息的所述标识符区域中,存储有表示在该消息中包含有所述附加信息的信息,在所述值区域中存储有所述访问对象的识别信息与其值。
另外,在所述的发明中,优选方式的特征在于,决定所述访问的允许和/或不允许时的所述规定数为I。
并且,在所述的发明中,优选方式的特征在于,所述第二设备在决定了允许进行所述访问的情况下,将所述发送来的消息中所包含的所述设备识别信息或者所述用户的识别信息,作为所述访问中的设备或者用户的信息存储。
另外,在所述的发明中,优选方式的特征在于,在所述第一设备发送的访问请求消息的所述附加信息中包含有用于认证发送源的信息,所述第二设备根据用于进行该认证的信息来执行认证处理。
并且,在所述的发明中,优选方式的特征在于,在用于进行所述认证的信息中包含有根据所述发送来的消息生成的代码。
另外,在所述的发明中,优选方式的特征在于,所述第一设备发送的访问请求消息中的、关于所述访问对象的识别信息与其值的数据被加密,该加密涉及的信息包含在该消息的所述附加信息中,所述第二设备根据该加密涉及的信息,对所述加密后的数据进行解r I I O
为了实现所述的目的,本发明的另一方面如下在具有I个以上的第一设备、和经由网络与该第一设备进行利用简单网络管理协议的通信的第二设备的网络通信系统中,在所述第一设备对所述第二设备具有的管理信息进行访问的情况下,所述第一设备生成在由用于存储访问对象的识别信息的标识符区域与用于存储该访问对象的值的值区域构成的数据区域的所述值区域中,添加了至少包括该第一设备的设备识别信息、或者该第一设备的用户的识别信息的附加信息的访问请求消息,并将该生成的消息向所述第二设备发送, 所述第二设备根据所述发送来的消息中包含的所述设备识别信息或者所述用户的识别信息、和在该时刻对所述管理信息正在进行访问的设备或者用户的信息,来决定由所述发送来的消息所请求的访问的允许和/或不允许,以使访问中的设备或者用户的数量不超过规定数量。
为了实现所述的目的,本发明进一步在其他方面如下使用简单网络管理协议来与经由网络连接的其他设备进行通信的网络通信装置,在对所述其他设备具有的管理信息5进行访问的情况下,生成在由用于存储访问对象的识别信息的标识符区域与用于存储该访问对象的值的值区域构成的数据区域的所述值区域中,添加了至少包括该网络通信装置的设备识别信息、或者该装置的用户的识别信息的附加信息的访问请求消息,并将该生成的消息向所述其他设备发送,在从所述其他设备接收到与所述访问请求消息相同的消息的情况下,根据所述接收到的消息中包含的所述其他设备的所述设备识别信息或者所述其他设备的所述用户的识别信息、和在该时刻对该网络通信装置具有的管理信息正在进行访问的设备或者用户的信息,来决定由所述接收到的消息所请求的访问的允许和/或不允许,以使访问中的设备或者用户的数量不超过规定数量。为了实现所述的目的,本发明的其它方面如下使利用简单网络管理协议与经由网络连接的其他设备进行通信的网络通信装置执行通信处理的程序,在对所述其他设备具有的管理信息进行访问的情况下,使所述网络通信装置执行如下步骤生成在由用于存储访问对象的识别信息的标识符区域与用于存储该访问对象的值的值区域构成的数据区域的所述值区域中,添加了至少包含该网络通信装置的设备识别信息或者该装置的用户的识别信息的附加信息的访问请求消息,并将该生成的消息向所述其他设备发送;在从所述其他设备接收到与所述访问请求消息相同的消息的情况下,使所述网络通信装置执行如下步骤根据所述接收到的消息中所包含的所述其他设备的所述设备识别信息或者所述其他设备的所述用户的识别信息、和在该时刻对该网络通信装置具有的管理信息正在进行访问的设备或者用户的信息,来决定由所述接收到的消息所请求的访问的允许和/或不允许,以使访问中的设备或者用户的数量不超过规定数量。本发明的进一步的目的以及特征从下面说明的发明的实施方式中可以清楚。
图1是适用了本发明的网络通信系统的实施方式例的构成图。图2是用于对扩展消息的构造进行说明的图。图3是例示了登陆时的处理顺序的流程图。图4是表示被收发的扩展消息的生成过程以及接收后的处理过程的图。图5是例示了登陆会话中的通信处理的顺序的流程图。图中符号说明1...主机,2...打印机,3...网络,11...管理工具,21...控制器,22...打印执
行部,23...管理信息
具体实施例方式下面,根据附图对本发明的实施方式进行说明。但是,本发明的技术范围并不局限于这些实施方式,其涉及权利要求书中所记载的事项和与其等同的事项。图1是适用了本发明的网络通信系统的实施方式例的构成图。图1所示的网络通信系统100是本实施方式例的系统,其由通过网络3连接的、作为SNMP管理站(Manager) 的一个以上的主机1、和作为SNMP代理站(Agent)的打印机2构成。在该系统中,主机1与打印机2之间的通信使用符合SNMPvl的单独扩展消息,并根据该消息的扩展部分所包含的主机1的设备识别信息(设备ID),来执行对打印机2的管理信息23的排他访问的控制、即CN 102546240 A不允许多个用户同时访问的控制。另外,在该扩展消息中,虽然实际的数据部分被加密,但在所述扩展部分中包含用于进行认证的信息以及加密的信息,所以接收侧设备可以根据这些信息进行发送源的认证、以及加密数据的解密,从而在SNMPvl中能够实现通信安全性的提闻。
其中,虽然在图I中示出了多个主机I和I台打印机2,但是还可以存在多个经由网络3连接的打印机。另外,在本实施方式例中虽然使用了 SNMPvl,但还可以使用SNMPv2c。
主机I由一般的个人计算机等构成,虽然未图示,但其具有CPU、RAM、HDD、通信接口、显示装置、操作装置等。该主机I作为对打印机2进行打印指示的打印机2的主装置发挥功能,还具有如上述那样,作为SNMP管理站对打印机2的管理信息23进行访问,并进行该信息的取得以及设定的功能。
掌管该功能的是图I所示的管理工具11,打印机2的管理者使用该工具,对打印机2的设定值进行变更,或者取得打印机2的状态信息。该管理工具11由用于执行与打印机2相关的所述管理信息的取得、设定所涉及的处理的程序、按照该程序执行处理的所述 CPU、保存处理中的数据的所述RAM、储存该程序的所述HDD等构成。另外,该程序作为打印机2的实用程序软件可从⑶安装,或者经由网络等从规定的网站下载。
另外,在主机I的所述HDD中,存储有作为该设备的识别信息的设备ID、前述的认证及加密所使用的认证、加密密钥。设备ID是使用SNMP的扩展消息情况下的识别信息,其是被预先决定并存储的。另外,认证、加密密钥是也被打印机2侧保持的共享密钥,其也是被预先决定并存储的。
接下来,打印机2是按照来自所述主机I的打印指示来执行打印的设备,如图I所示,其具有控制器21、打印执行部22、管理信息23等。另外,如上述那样,其作为SNMP代理站接受来自主机I的访问。
控制器21是控制设备整体的部分,尤其,在接收到所述打印指示的情况下,执行打印数据的处理、和对打印执行部22的打印指示等。另外,还执行响应来自主机I对管理信息23的访问的处理。此外,控制器21由CPU、RAM、ROM、NVRAM、ASIC、HDD等构成,对所述访问的响应处理通过存储在所述ROM中的程序、和按照该程序的所述CPU的动作来执行。
打印执行部22是按照控制器21的指示对打印介质执行打印处理的部分。
接下来,管理信息23是打印机2的各种管理信息,作为MIB被存储在所述HDD中。 在管理信息23中包括打印机2的用于进行各种动作的设定值(例如,默认的各打印条件)、 表示打印机2的状态的状态信息(例如,各错误信息)等,其接受来自所述主机I的、基于 SNMP的访问。
在具有如上述那样的构成的本网络通信系统100中,如上述那样,其特征在于使用符合SNMPvl的扩展消息来进行通信,下面,对该扩展消息进行说明。图2是用于对扩展消息的构造进行说明的图。
图2的(a)示出了基于SNMPvl的消息(图中的A)的数据构造。如图示那样,在 SNMPvl消息中存在数据单元(PDU)的区域(图中的B),并且在数据单元(PDU)的区域中存在用于存储数据的数据列表的区域(图中的C)。数据列表的区域成为能够存储多个数据的构造,存储一个数据的区域(图中的D)由存储标识符(OID)的区域(图中的E)、和存储值 (Value)的区域(图中的F)构成。
标识符(OID)是要访问的MIB对象的标识符,换言之,是识别访问对象的管理信息的信息。另外,值(Value)是使用该标识符确定的管理信息的值。这些标识符与值成对来构成一个数据。本实施方式例中的扩展消息符合这样的SNMPvl的标准构造,并且在所述值 (Value)的区域存储各种信息,从而实现新的功能。图2的(b)示出了作为扩展消息使用 SNMPvl消息的情况下的、所述值(Value)的区域中的数据构造。如图所示,在扩展消息中,所述值(Value)的区域(图中的F)由附加信息的区域 (图中的G)和数据列表的区域(图中的FC)构成。附加信息是通过扩展消息新实现的各功能所用的信息,具体而言包括排他访问所使用的所述设备ID、加密功能所使用的加密算法种类以及加密参数、认证功能所使用的认证码等信息。加密算法种类是确定加密方法的信息,加密参数是根据加密方法的不同所需要的参数的信息。另外,认证码是为了在访问目的地取得认证而在发送侧生成的代码,其包含在附加信息的区域内(图中的H)。这些附加信息被接收侧的设备解释,来用于实现各功能。接下来,在数据列表的区域(图中的FC)中存储有所述SNMPvl的标准构造中的数据列表的区域(图中的C)的信息,因此,如图所示那样,存储有一个以上的由标识符区域 (图中的FE)以及值区域(图中的FF)构成的数据区域(图中的FD)。在这些数据区域中存储有与所述标准构造情况相同的信息。这样,在扩展消息中,在SNMPvl消息的值(Value)区域中,保存在数据单元(PDU) 中的信息成为被封装的构造。另外,在使用该扩展消息的情况下,在与保存被封装的信息的值(Value)区域成对的标识符(OID)区域(图中的E)中,存储有表示是该扩展消息的信息 (扩展消息用的标识符)。该扩展消息用的标识符还是表示在该消息中包含附加信息的信肩、ο具有上述那样构造的扩展消息被使用在本实施方式例中的网络通信系统100中, 在主机1的管理工具11以及打印机2的控制器21的双方中进行扩展消息的生成以及解释。接下来,对使用了该扩展消息的通信处理的具体处理顺序进行说明。首先,对从主机1向打印机2的管理信息23登陆时的处理进行说明。图3是例示登陆时的处理顺序的流程图。图3的(a)示出了主机1侧的处理。首先,当想要访问打印机2的管理信息23的打印机2的管理者等对管理工具11进行了请求登陆的操作时,管理工具11执行登陆用扩展消息的生成(步骤S10)。该处理的具体的处理顺序如图3的(b)所示,首先,生成登陆请求数据(步骤 Sll)。具体而言,生成存储在图2所示的FE和FF的区域中的、请求登陆的信息。对标识符区域FE生成表示是登陆或者退出的请求的识别信息,对值区域FF生成表示是登陆的意思的信息。图4表示收发的扩展消息的生成过程以及接收后的处理过程的图。图4的(a)表示扩展消息的生成过程,所述生成的登陆请求数据在该图中相当于发送数据(a_l)。返回图3,接下来,管理工具11进行生成的登陆请求数据(发送数据)的加密处理 (步骤Si》。在该加密处理中按照规定的加密方法,使用前述的认证、加密密钥对登陆请求数据进行加密,并将使用的加密算法的种类的信息作为附加信息。另外,在使用需要加密参数的方法的情况下,还将该加密参数作为附加信息附加(步骤S13)。
在图4中,主机I保持的前述的认证、加密密钥(a-2)被用于加密,发送数据(a_l) 成为被加密后的发送数据(a-3)。另外,对附加信息(a-4)根据加密算法种类以及需要来赋予加密参数。
其中,作为加密方法,可以使用以往的各种方法,可从预定的一些方法中,按照管理工具的操作者的指示或者规定的规则来决定使用的方法。
接下来,管理工具11赋予设备ID作为附加信息(步骤S14)。如前述那样,在主机 I中保持有该设备的设备ID,因此将该信息读取出来进行赋予。在图4中,被赋予附加信息 (a-4)。另外,认证算法种类也作为附加信息被赋予。
然后,管理工具11生成认证码来作为附加信息(步骤S15)。如图4所示那样使用生成的附加信息(a-4)以及加密后的发送数据(a-3)、和所述认证、加密密钥(a_2),并利用所述认证算法种类所示的方法生成认证码。其中,在认证码生成前的时刻,在储存有认证码的区域中全部被输入0的值。
在生成认证码的方法中可以使用各种方法,例如,可以取使用所述生成所使用的数据的哈希值(hash values)的方法。并且,该生成方法从预定的一些方法中,按照管理工具的操作者的指示或者规定的规则来决定使用的方法,其认证算法种类如所述那样被作为附加信息。
这样生成的认证码(a-5)如图4所示那样,作为认证码的区域(图2的H)的信息, 被赋予到至此生成的附加信息(a-6)中。换言之,所述全部的0值被替换成生成的认证码。
通过以上的处理,生成了登陆用扩展消息的扩展部分,因此管理工具11将生成的附加信息和加密后的发送数据存储到SNMPvl消息的值(Value)区域(图2的F)中,并且将所述扩展消息用标识符存储到标识符(OID)区域(图2的E)中,从而完成SNMPvl消息。 即,将所述生成的扩展部分封装到SNMP消息中(步骤S16)。
在图4中,至此生成的信息被存储在值(Value)区域(a_7)中,扩展消息用标识符被存储在标识符(OID)区域(a-8)中。
这样,当登陆用扩展消息作为SNMPvl消息被生成时,管理工具11将该消息向打印机2发送(步骤S20)。
图3的(C)示出了接收该消息的打印机2侧的处理顺序,另外,图4的(b)示出了对该接收的消息的处理过程。打印机2的控制器21接收所述被发送的登陆用扩展消息 (步骤S30),根据存储在该标识符(OID)区域中的扩展消息用标识符判断为该消息为扩展消息,首先,在该时刻,确认是否有其他设备处于对管理信息23的登陆中(步骤S40)。
在打印机2中,为了防止前述的对管理信息23的同时访问的问题,设定如下的规格,即、将能够同时对管理信息23访问的设备数(用户数)限制为例如I个。也就是说,设定如下的规格,即、在有其他设备处于对管理信息23登陆中(访问中)的情况下,不允许登陆、访问。
如后述那样,在打印机2中,当允许登陆时,由于将登陆了的主机I的设备ID保持在所述RAM中,所以在所述确认(S40)中,将保持的设备ID与包含在这次接收的消息的附加信息中的设备ID进行比较(图4中为(b-1)),如果双方不同,则判断为其他设备处于登陆中。另一方面,如果双方相同,或者,在RAM中未保持设备ID的情况下,则判断为没有其他设备登陆中。在该确认的结果是被判断为其他设备处于登陆中的情况下(步骤S40为是),控制器21不受理基于该接收的消息的请求,即,不允许访问,并对发送源的主机1进行表示该意思的错误响应(步骤S100),从而结束该登陆处理。其中,该响应消息也通过扩展消息进行。另一方面,在判断为没有其他设备处于登陆中的情况下(步骤S40为否),控制器 21进行认证处理(步骤S50)。在该认证处理中,如图4所示那样,首先,取出并保持包含在接收的消息的附加信息中的认证码(b-2)。然后,使用将之前存储有认证码的区域的值全部设为0后的扩展部分、即附加信息和加密后的发送数据(b-6)、以及打印机2保持的认证、加密密钥(b-4),并利用包含在该附加信息中的认证算法种类表示的方法来生成认证码 (b-5)。并且,对生成的认证码(b-幻与所述保持的认证码(b-幻进行比较,如果一致,则判断为认证成功,如果不一致,则判断为认证失败。在认证失败的情况下(步骤S50为失败),由于存在发送目的地保持的认证、加密密钥不正确、或者发送的数据在通信途中被篡改的可能性,因此控制器21不受理该消息, 对发送源的主机1进行错误响应(步骤S100),并结束该登陆处理。另一方面,在认证成功的情况下(步骤S50为成功),判断为该消息从正确的发送目的地而来且在通信途中数据未被篡改,控制器21为了受理该消息并进行响应处理,进行加密部分的解密处理(步骤S60)。在该解密处理中,如图4所示那样,使用打印机2保持的认证、加密密钥(b-4),利用包含在附加信息中的加密算法种类所表示的方法,并根据需要使用包含在附加信息中的加密参数,来对被加密的发送数据(b-6)进行解密,生成原发送数据(b-7)。然后,控制器21对解密后的发送数据进行解释,该情况下,对由所述主机1生成的登陆请求数据进行解释,并判断为请求登陆。这里,通过所述S40的判断,由于其他设备未登陆,所以受理该登陆请求,允许向管理信息23的登陆,并将包含在该消息的附加信息中的设备ID作为确定登陆中的设备的信息存储在所述RAM中(步骤S70)。该被存储的设备 ID被用在所述S40的判断中。接下来,控制器21开始进行该允许的登陆的登陆会话(步骤S80),对发送源的主机1进行表示登陆成功的意思的响应(步骤S90),并结束该登陆处理。此外,该响应消息也被通过扩展消息进行。接下来,对登陆会话中的通信处理进行说明。图5是例示了登陆会话中的通信处理的顺序的流程图。这里,主机1访问打印机2的管理信息23并对该信息进行取得、设定所用的消息作为扩展消息被从主机1向打印机2发送,在打印机2中接收该扩展消息,并实施针对接收的消息的处理。图5的(a)以及(b)示出了主机1侧的处理,首先,管理工具11将发送的数据生成为扩展消息(步骤110)。具体而言,与前述的登陆用扩展消息的生成的情况同样地(图 3的S11-S16)执行发送数据的生成、加密、加密参数的赋予、设备ID的赋予、认证码的生成、 赋予以及向SNMP消息的封装(步骤S111-S116)。其中,发送数据在这里并非是登陆请求数据,因此存储有与访问的内容对应的、访问对象的标识符和其值。图5的(c)示出了打印机2侧的处理,控制器21接收所述扩展消息(步骤S130),并根据存储在其标识符(OID)区域中的扩展消息用标识符,判断为该消息是扩展消息。然后,控制器21进行设备ID的确认(步骤S140)。该确认是与登陆用扩展消息的情况下的步骤S40相同的处理,在发送的设备ID与保持在打印机2中的设备ID不一致的情况下(步骤S140为不一致),由于不允许多个设备的同时访问,所以控制器21不接受该消息,并执行错误处理(步骤S180)来结束该通信处理。具体而言,进行与图3的步骤SlOO的情况相同的错误响应。
另一方面,在发送的设备ID与保持在打印机2中的设备ID —致的情况下(步骤 S140为一致),与登陆用扩展消息的情况同样(图3的S50以及S60),控制器21执行认证以及解密的处理(步骤S150以及S160)。在认证失败的情况下(步骤S150为失败),不受理该消息,并执行错误处理(步骤S180)来结束该通信处理。具体而言,进行与图3的步骤 SlOO的情况相同的错误响应。
在进行了解密处理后,控制器21对解密后的发送数据的内容进行解释,并执行对应其请求的数据处理(步骤S170)。例如,发送数据的内容如果是请求取得规定的管理信息的值的内容,则生成回复该值的扩展消息,并向发送源的主机I回信。
这样,若数据处理被执行,则结束该通信处理。
此外,退出与登陆用扩展消息的情况同样、即通过从登陆中的主机I将请求退出的扩展消息向打印机2发送来被执行的。另外,即使未接收到该退出的请求消息,也可以在打印机2侧按照时间来执行退出。并且,在退出被执行后的情况下,将存储在所述的RAM中的设备ID删除。
此外,在以上说明的例中,虽然将能够登陆的设备数(可能的登陆会话数,能够同时访问的设备数)设为1,但在能够抑制因同时访问而产生的弊害的范围内,还可以设为2 以上。该情况下,在打印机2侧,保持登陆中(访问中)的全部的设备ID,每当接收到新的扩展消息时,对访问的允许、不允许进行判断,以使得登陆会话数不超过规定数。
另外,在以上的例中,虽然对排他访问使用了设备ID,但还可以使用所述的管理者等的用户ID。由此,能够限制可登陆的用户数。此时,取代设备ID而对扩展消息的附加信息赋予用户ID。
另外,在以上的例中,虽然主机I为SNMP管理站,打印机2为SNMP代理站,但还设想到一个设备的情况、例如具有自身的管理信息(MIB)的计算机,作为SNMP管理站对其他设备的管理信息进行访问,并且作为SNMP代理站,接受其他设备对管理信息的访问的情况,在这样的情况下也可以使用扩展消息。在该情况下,通过上述的说明,可以使用一个设备执行主机I执行的处理、和打印机2执行的处理的两方。
如上述说明那样,在本实施方式例中的网络通信系统100中使用符合SNMPvl的扩展消息,通过使其扩展部分包含访问源的识别信息,通过比较简便的处理就能够实现对管理信息的排他访问,并能够解决基于同时访问的问题。
另外,由于通过对所述扩展部分赋予认证所用的信息,使认证功能得以实现,因此在SNMPvl中,能够解决冒充等的安全性上的问题。
并且,在为了进行所述认证而生成的认证码中,使用了发送的数据本身,可以消除基于通信途中的数据的篡改的问题。
另外,对所述扩展部分赋予加密信息,并对发送数据进行加密,因此实现了加密功能,在SNMPvl中,能够抑制窃取等的弊害。此外,在上述实施方式例中SNMP代理站为打印机,但只要是具有管理信息(MIB) 的可通信的设备均能够适用本发明。本发明的保护范围并不局限于上述的实施方式,还包括在权利要求书所记载的发明和其等同发明。
权利要求
1.一种网络通信方法,其特征在于,使用了经由网络连接的设备间的简单网络管理协议,该网络通信方法具有在第一设备对第二设备具有的管理信息进行访问的情况下, 所述第一设备生成在由标识符区域与值区域构成的数据区域的所述值区域中,添加了至少包括该第一设备的设备识别信息或者该第一设备的用户的识别信息的附加信息的访问请求消息,并将该生成的消息向所述第二设备发送的步骤,其中,所述标识符区域用于存储访问对象的识别信息,所述值区域用于存储该访问对象的值;和所述第二设备根据所述发送来的消息所包含的所述设备识别信息或者所述用户的识别信息、和在该时刻对所述管理信息正在进行访问的设备或者用户的信息,来决定由所述发送来的消息所请求的访问的允许和/或不允许,以使访问中的设备或者用户的数量不超过规定数量的步骤。
2.根据权利要求1所述的网络通信方法,其特征在于,在所述第一设备发送的访问请求消息的所述标识符区域中,存储有表示在该消息中包含有所述附加信息的信息,在所述第一设备发送的访问请求消息的所述值区域中,存储有所述访问对象的识别信息和所述访问对象的值。
3.根据权利要求1或2所述的网络通信方法,其特征在于, 决定所述访问的允许和/或不允许时的所述规定数量为1。
4.根据权利要求1至3中任意一项所述的网络通信方法,其特征在于,所述第二设备在决定了允许进行所述访问的情况下,将所述发送来的消息中所包含的所述设备识别信息或者所述用户的识别信息,作为所述访问中的设备或者用户的信息进行存储。
5.根据权利要求1至4中任意一项所述的网络通信方法,其特征在于,在所述第一设备发送的访问请求消息的所述附加信息中,包含有用于认证发送源的信息?所述第二设备根据用于进行该认证的信息来执行认证处理。
6.根据权利要求5所述的网络通信方法,其特征在于,在用于进行所述认证的信息中包含有根据所述发送来的消息生成的代码。
7.根据权利要求2至6中任意一项所述的网络通信方法,其特征在于,所述第一设备发送的访问请求消息中的、关于所述访问对象的识别信息和所述访问对象的值的数据被加密,该加密涉及的信息包含在该消息的所述附加信息中, 所述第二设备根据该加密涉及的信息,对所述加密后的数据进行解密。
8.—种网络通信系统,其特征在于,具有1个以上的第一设备、和经由网络与该第一设备进行利用简单网络管理协议的通信的第二设备,在所述第一设备对所述第二设备具有的管理信息进行访问的情况下, 所述第一设备生成在由标识符区域与值区域构成的数据区域的所述值区域中,添加了至少包括该第一设备的设备识别信息、或者该第一设备的用户的识别信息的附加信息的访问请求消息,并将该生成的消息向所述第二设备发送,其中,所述标识符区域用于存储访问对象的识别信息,所述值区域用于存储该访问对象的值,所述第二设备根据所述发送来的消息中所包含的所述设备识别信息或者所述用户的识别信息、和在该时刻对所述管理信息正在进行访问的设备或者用户的信息,来决定由所述发送来的消息所请求的访问的允许和/或不允许,以使访问中的设备或者用户的数量不超过规定数量。
9.一种网络通信装置,其特征在于,使用简单网络管理协议来与经由网络连接的其他设备进行通信,在对所述其他设备具有的管理信息进行访问的情况下,生成在由标识符区域与值区域构成的数据区域的所述值区域中,添加了至少包括该网络通信装置的设备识别信息、或者该装置的用户的识别信息的附加信息的访问请求消息, 并将该生成的消息向所述其他设备发送,其中,所述标识符区域用于存储访问对象的识别信息,所述值区域用于存储该访问对象的值,在从所述其他设备接收到与所述访问请求消息相同的消息的情况下,根据所述接收到的消息中所包含的所述其他设备的所述设备识别信息或者所述其他设备的所述用户的识别信息、和在该时刻对该网络通信装置具有的管理信息正在进行访问的设备或者用户的信息,来决定由所述接收到的消息所请求的访问的允许和/或不允许, 以使访问中的设备或者用户的数量不超过规定数量。
10.一种程序,其特征在于,使利用简单网络管理协议与经由网络连接的其他设备进行通信的网络通信装置执行通信处理,在对所述其他设备具有的管理信息进行访问的情况下,使所述网络通信装置执行如下步骤生成在由标识符区域与值区域构成的数据区域的所述值区域中,添加了至少包含该网络通信装置的设备识别信息或者该装置的用户的识别信息的附加信息的访问请求消息,并将该生成的消息向所述其他设备发送,其中,所述标识符区域用于存储访问对象的识别信息,所述值区域用于存储该访问对象的值;在从所述其他设备接收到与所述访问请求消息相同的消息的情况下,使所述网络通信装置执行如下步骤根据所述接收到的消息中所包含的所述其他设备的所述设备识别信息或者所述其他设备的所述用户的识别信息、和在该时刻对该网络通信装置具有的管理信息正在进行访问的设备或者用户的信息,来决定由所述接收到的消息所请求的访问的允许和/或不允许, 以使访问中的设备或者用户的数量不超过规定数量。
全文摘要
本发明提供一种网络通信方法、网络通信系统、网络通信装置以及其程序。该网络通信方法是使用了SNMP,能够进行排他访问,并且能以比较容易的处理使通信安全性提高的网络通信方法。在使用了设备间的SNMP的网络通信方法中,具有在第一设备对第二设备具有的管理信息进行访问的情况下,第一设备生成在由标识符区域与值区域构成的数据区域的值区域中添加了包含第一设备的设备识别信息或者用户识别信息的附加信息的访问请求消息并向第二设备发送的步骤;第二设备根据该消息中所包含的设备识别信息或者用户的识别信息、和在该时刻对管理信息访问中的设备或者用户的信息,来决定由所述消息请求的访问的允许和/或不允许、以使访问中的设备或者用户的数不超过规定数的步骤。
文档编号H04L29/06GK102546240SQ20111043954
公开日2012年7月4日 申请日期2011年12月23日 优先权日2010年12月27日
发明者绪方英昭, 高桥阳一 申请人:精工爱普生株式会社