信息处理设备和信息处理设备的控制方法

信息处理设备和信息处理设备的控制方法
【专利摘要】一种用于在减轻对用户的负担的同时通过考虑优先级来适当地登记策略信息的信息处理设备，其具有以下结构。当要在存储单元中登记与通信对方设备进行通信所使用的策略信息时，并且当存储单元中要登记的策略信息的通信对方设备的地址包括在存储单元中已存储的策略信息的通信对方设备的地址中时，限制登记要登记的策略信息，以使得存储单元中要登记的策略信息的优先级被设置得低于地址包括要登记的策略信息的通信对方设备的地址的策略信息的优先级。
【专利说明】信息处理设备和信息处理设备的控制方法
[0001]本申请是申请日为“2009年3月24日”、国家申请号为“200980111048.7”、发明名
称为“信息处理设备、信息处理设备的控制方法、存储介质和程序”的分案申请。
【技术领域】
[0002]本发明涉及一种信息处理设备、信息处理设备的控制方法、存储介质和程序。
【背景技术】
[0003]迄今为止，已知使用因特网协议安全框架(IPSec, Security Architecture forInternet Protocol)进行通信的信息处理设备。IPSec被广泛用于运行在因特网协议(IP, Internet Protocol)层以及级别高于IP层的层的应用程序。利用IPSec的通信需要设置多个策略信息(policy information)。图20示出与IPSec有关的设置操作的示例。当设置多个策略信息时，需要设置优先级、名称、本地地址(自身设备的地址)、本地端口(自身设备的端口)、远程地址(通信对方的地址)、远程端口(通信对方的端口)和公共密钥。图20所示的策略信息“a”表示:对于来自与地址“192.168.1.1”相对应的通信对方的IPSec协商请求，即使通信是指定了自身设备的任意端口的通信，也使用公共密钥“aaa”进行发送或接收的数据的通信。
[0004]策略信息“b”表示:对于来自与地址“192.168.1.2”相对应的通信对方的IPSec协商请求，即使通信是指定了自身设备的任意端口的通信，也使用公共密钥“bbb”进行发送或接收的数据的通信。
[0005]可以通过对由单个地址指定的一个通信对方设置一个公共密钥，使用针对个人计算机(PC)不同的公共密钥来进行通信。
[0006]对IPSec通信中的策略信息赋予优先级。信息处理设备根据优先级确定要使用的策略信息。例如，将如图20所示的策略信息列表等的策略信息列表登记在信息处理设备中。将说明从与地址“192.168.1.2”相对应的通信对方进行IPSec协商请求的情况。在这种情况下，信息处理设备从优先级较高的策略信息中搜索将“192.168.1.2”设置为远程地址的策略信息。更具体地，从策略信息列表中优先级为“ I ”的策略信息开始，信息处理设备将发送了针对IPSec协商的请求的通信对方的地址与策略信息列表中的远程地址依次进行比较，并且搜索与其一致的策略信息。当将图20所示的策略信息列表登记在信息处理设备中时，该信息处理设备首先参考优先级为I的策略信息“a”。然而，由于策略信息“a”未被设置到远程地址“192.168.1.2”，因此信息处理设备随后参考次高优先级为“2”的策略信息“b”。由于策略信息“b”的远程地址被设置为“192.168.1.2”，因此信息处理设备使用优先级为2的策略信息中的公共密钥“bbb”，开始与通信对方进行通信。此时，对于通信对方设备，如果进行设置以使得在与自身设备的通信中使用公共密钥“bbb”，则可以利用相同的公共密钥对从通信对方设备发送来的数据进行解码，从而对数据进行正常解码。另外，如果通信对方设备中使用的公共密钥与自身设备的公共密钥不一致，则不能对从通信对方设备接收到的数据进行解码。因此，在使用IPSec的通信中，通过仅可以在被设置成使用相同的公共密钥进行通信的设备之间进行通信，来提供安全性。
[0007]然而，当一方想要针对多个通信对方设置相同的公共密钥时，需要与通信对方设备的数量相对应地设置多个策略信息。这给用户带来负担。
[0008]因此，能够登记图21所示的策略信息的信息处理设备是可用的。对于来自与所有的地址相对应的通信对方的IPSec协商请求，图21所示的策略信息“c”表示:即使通信是指定了自身设备的任意端口的通信，也使用公共密钥“ccc”进行发送或接收的数据的通信。
[0009]因此，当设置了针对一个策略信息的远程地址指定多个地址的策略信息时，可以通过由用户进行的一次设置来对通信对方设备设置公共密钥。
[0010]如图22所示，可以登记针对远程地址设置一个地址的策略信息和针对远程地址设置多个地址的策略信息这两者。图22所示的策略信息列表表示:在与对应于“192.168.1.2”的设备进行通信时，使用公共密钥“bbb”进行通信，而在与对应于除前述地址以外的地址的设备进行通信时，使用公共密钥“ccc”进行通信。因此，通过在策略信息列表中登记针对远程地址设置单个地址的策略信息和针对远程地址设置多个地址的策略信息，可以对策略信息进行灵活记录。
[0011]然而，当将针对远程地址设置单个地址的策略信息和针对远程地址设置多个地址的策略信息这两者登记在策略信息列表中时，根据登记策略信息的方式，可能无法进行与通信对方设备的正常通信。
[0012]例如，假定将如图23所示的策略信息列表等的策略信息列表登记在作为自身设备的信息处理设备中。另外，假定从被设置成使用公共密钥“bbb”进行与信息处理设备的通信的通信对方设备(地址“192.168.1.1”)发送IPSec协商请求。这里，应当使用设置了公共密钥“bbb”的策略信息“b”来进行与通信对方设备的通信。然而，由于信息处理设备从优先级高的策略信息中搜索远程地址，因此信息处理设备使用策略信息“a”开始进行与通信对方设备的通信。在这种情况下，在进行通信的过程中，自身设备使用公共密钥“aaa”进行通信，而通信对方设备使用公共密钥“bbb”进行通信。因此，由于多个策略信息中所包括的属性的不一致，因而导致未能成功进行通信。
[0013]即使将如图24所示的策略信息列表等的策略信息列表登记在作为自身设备的信息处理设备中，也可能无法成功进行通信。假定从被设置成在与信息处理设备进行通信时使用公共密钥“bbb”的通信对方设备给出指定端口编号9100的IPSec协商请求。这里，尽管应当使用在与通信对方设备进行通信时设置公共密钥“bbb”的策略信息“b”，但由于作为自身设备的信息处理设备从优先级高的策略信息中搜索远程地址，因此该信息处理设备使用策略信息“a”开始进行通信。
[0014]在这种情况下，在进行通信的过程中，自身设备使用公共密钥“aaa”进行通信，而通信对方设备使用公共密钥“bbb”进行通信。因此，由于多个策略信息中所包括的属性的不一致，因此导致未能成功进行通信。
[0015]为了防止这种不成功的通信，用户需要考虑优先级来登记策略信息。这在进行设置操作时给用户带来负担。
[0016]考虑到上述问题，本发明使得可以在考虑优先级登记策略信息时不会给用户带来负担的情况下，防止由于因如何登记多个策略信息产生的包括在多个策略信息中的属性的不一致所引起的不成功通信。
【发明内容】

[0017]本发明提供一种克服上述问题的信息处理设备和信息处理设备的控制方法。
[0018]本发明提供一种信息处理设备，一种信息处理设备，包括:登记单元，用于将多个策略信息与所述多个策略信息的优先级相对应地登记在存储单元中，其中所述多个策略信息各自至少包括通信对方设备的地址和与所述通信对方设备进行通信所使用的密钥信息；选择单元，用于根据所述多个策略信息的优先级，从所述存储单元中选择与所述通信对方设备进行通信要使用的策略信息；以及控制单元，用于在所述登记单元要登记的策略信息的通信对方设备的地址包括在所述存储单元中已登记的策略信息的通信对方设备的地址中的情况下，限制登记所述要登记的策略信息，以使得所述要登记的策略信息的优先级被设置得低于地址包括所述要登记的策略信息的通信对方设备的地址的策略信息的优先级。
[0019]例如，通过以下说明书和附图，本发明的其它特征将变得明显。
【专利附图】

【附图说明】
[0020]包含在说明书中并构成说明书的一部分的附图示出了本发明的实施例，并和说明书一起用来解释本发明的原理。
[0021]图1示出根据本发明实施例的硬件的结构。
[0022]图2示出根据本发明实施例的硬件的结构。
[0023]图3示出根据本发明的示例显示画面。
[0024]图4示出根据本发明的另一示例显示画面。
[0025]图5示出根据本发明的又一示例显示画面。
[0026]图6示出根据本发明的又一示例显示画面。
[0027]图7示出根据本发明的又一示例显示画面。
[0028]图8是根据本发明第一实施例的流程图。
[0029]图9不出根据本发明的策略信息列表。
[0030]图10不出根据本发明的另一策略信息列表。
[0031]图1lA是根据本发明第二实施例的流程图。
[0032]图1lB是根据本发明第二实施例的流程图。
[0033]图12示出根据本发明的示例显示画面。
[0034]图13不出根据本发明的策略信息列表。
[0035]图14示出根据本发明的另一策略信息列表。
[0036]图15不出根据本发明的又一策略信息列表。
[0037]图16是根据本发明第三实施例的流程图。
[0038]图17示出根据本发明的示例显示画面。
[0039]图18不出根据本发明的策略信息列表。
[0040]图19不出根据本发明的另一策略信息列表。
[0041]图20示出根据本发明的又一策略信息列表。
[0042]图21示出根据本发明的又一策略信息列表。
[0043]图22不出根据本发明的又一策略信息列表。[0044]图23示出根据本发明的又一策略信息列表。
[0045]图24示出根据本发明的又一策略信息列表。
[0046]图25示出根据本发明的程序代码组。
【具体实施方式】
[0047]第一实施例
[0048]图1是作为根据本发明第一实施例的示例信息处理设备的多功能外围设备(MFP) 100的硬件的结构的框图。MFP包括控制器单元100、打印机单元110和操作单元109。
[0049]中央处理单元(CPU) 101执行R0M102中存储的程序，并进行MFP的操作的整体控制。
[0050]R0M102是只读存储器，并且存储由CPUlOl读出的各种程序。例如，R0M102存储例如设备的固定参数或引导程序。
[0051]RAM103是随机存取存储器，并且用作CPUlOl的工作存储器。
[0052]打印机I/F(接口)控制单元104是在CPUlOI控制打印机单元110时使用的接口。CPUlOl通过打印机I/F控制单元104向打印机单元110发送命令，并且根据所发送的命令使打印机单元110工作。
[0053]扫描器单元105读取原稿的图像，并生成表示所读取的图像的图像数据。CPUlOl使HDD108存储由扫描器单元105生成的图像数据。另外，CPUlOl根据来自用户的指令，使打印机单元进行打印操作，并且通过LANlll向外部信息处理设备发送图像数据。
[0054]当CPUlOl控制操作单元109时，使用操作单元I/F106。操作单元109包括液晶显示器和触摸面板以及各种操作键。CPUlOl通过操作单元I/F106向操作单元109发送显示数据，并使操作单元109的液晶显示器进行画面显示操作。CPUlOl通过操作单元109的触摸面板接收来自用户的指令，并通过操作单元I/F106接收所接收到的设置。
[0055]网络I/F控制单元107是在CPUlOl通过LANlll发送和接收数据时使用的接口。例如，CPUlOl与通过LANlll连接的外部信息处理设备进行通信。
[0056]HDD108是硬盘驱动器，并且存储从扫描器单元105读取的图像数据。HDD108存储通过LANlll接收到的图像数据。另外，CPUlOl可以将接收到的数据与由用户在外部信息处理设备或操作单元109处设置的打印设置相关联，并将其存储在HDD108中。
[0057]计时器112控制时间，并且基于来自CPUlOl的指令提供时间数据。
[0058]上述构成部件各自通过总线108彼此连接，并且通过总线108传送命令或数据。
[0059]图2是根据本发明第一实施例的MFP的软件的结构的框图。在本实施例中，尽管使用HDD108作为非易失性存储器的例子，但当MFP包括非易失性RAM(NVRAM)时，存储装置201可以是非易失性RAM。
[0060]当CPUlOl执行R0M102中存储的程序时，主控制单元202、策略数据库(DB)控制单元203、协议栈登记单元204、协议栈205和用户接口单元206进行工作。当CPU执行R0M102中存储的程序时，输入判断单元207、策略登记单元208、优先级控制单元209和公共密钥控制单元210也进行工作。
[0061]主控制单元202从存储装置201读出策略信息，并且通过策略DB控制单元203将该策略信息写入RAM103。当从用户接口单元206向操作单元109进行用于显示策略信息的请求时，主控制单元202使通过策略DB控制单元203读出的信息传送到用户接口单元206。
[0062]策略DB控制单元203将由主控制单元202在MFP的启动期间从存储装置201读出的策略信息存储在RAM103中作为策略信息列表，并且控制该策略信息列表。另外，在通信期间，策略DB控制单元203获得RAM103的策略信息，并将所获得的策略信息传送至协议栈登记单元204。
[0063]协议栈登记单元204进行控制，以便从策略DB控制单元203获得策略信息，并使协议栈中的IPSec策略有效。
[0064]根据由协议栈登记单元204使其有效的IPSec策略，协议栈205通过网络驱动程序发送和接收LANlll处的包数据。另外，根据IPSec策略，协议栈205对包数据进行加密和解密。
[0065]当用户接口单元206从操作单元109接收用于显示策略信息列表的请求时，将该请求发送到主控制单元202。主控制单元202将通过策略DB控制单元203而存储在RAM103中的策略信息列表传送至用户接口单元206，并且用户接口单元206将该策略信息显示在操作单元109处。当通过操作单元109接收到用于例如新登记、编辑或删除策略的请求时，用户接口单元206将该请求传送至输入判断单元207或主控制单元202，并且输入判断单元207或主控制单元202根据该请求进行控制。
[0066]输入判断单元207检查由用户接口单元206输入的策略信息中所包括的属性值，并且判断该属性值是否反映了登记策略信息时的限制。基于判断结果，输入判断单元207将输入的策略信息传送至策略登记单元208、优先级控制单元209和公共密钥控制单元210中的任一个。
[0067]根据通过用户接口单元206从操作单元109输入的请求，策略登记单元208将用于将策略信息写入RAM103中的请求通过主控制单元202传送至策略DB控制单元203。根据传送来的请求，策略DB控制单元203将策略信息写入RAM103。根据通过用户接口单元206从操作单元109输入的请求，策略登记单元208还进行控制，以使得改变或删除RAM103中存储的策略信息。当要改变或删除策略信息时，策略登记单元208将用于改变或删除RAM103中存储的策略信息的请求通过主控制单元202传送至策略DB控制单元203。根据传送来的请求，策略DB控制单元203改变或删除RAM103中存储的策略信息。
[0068]当输入判断单元207判断为从用户接口单元206输入的策略信息反映了登记策略信息时的限制时，优先级控制单元209进行控制，以使得输入的策略信息的优先级是适当的优先级。当由于输入的策略信息的优先级的确定因而需要改变已登记在RAM103中的策略信息的优先级时，优先级控制单元209改变已登记在RAM103中的策略信息的优先级。
[0069]当输入判断单元207判断为输入的信息的公共密钥反映了登记策略信息时的限制时，公共密钥控制单元210进行以下控制。也就是说，公共密钥控制单元210进行用于改变输入的策略信息或已登记在RAM103中的策略信息的公共密钥的控制。
[0070]在本实施例中，尽管策略DB控制单元203控制RAM103中的策略信息列表，但策略DB控制单元203还可以控制HDD108中的策略信息。
[0071]图3?6示出本实施例中用于登记策略信息的示例用户界面。在操作单元109处设置这些用户界面。在图3?6中，可以进行设置，以使得从通过LANlll连接的外部计算机终端进行与MFP的连接。[0072]图3是策略信息的示例本地地址设置。设置了自身设备的地址信息。
[0073]用户可以从本地地址设置中，即从“所有IP地址设置”、“所有IPv4地址设置”、“所有IPv6地址设置”、“IPv4手动设置”和“IPv6手动设置”中选择一个预定设置。本地地址是自身设备在进行通信时的地址。当选择“IPv4手动设置”时，用户进一步从“单个地址设置”、“范围地址设置”和“子网地址设置”中选择一个设置。当选择“单个地址设置”时，指定特定的IPv4地址。当选择“范围地址设置”时，选择起点地址和终点地址。当选择“子网地址设置”时，指定地址和子网掩码。当选择“IPv6手动设置”时，进一步从“单个地址设置”、“范围地址设置”和“前缀地址设置”中选择一个设置。当选择“单个地址设置”时，指定特定的IPv6地址。当选择“范围地址设置”时，指定起点地址和终点地址。当选择“前缀地址设置”时，指定地址和前缀长度。在本实施例中，将除“单个地址设置”以外的设置称为“多地址设置”。
[0074]图4是用于进行策略信息的远程地址设置的示例用户界面。对一方想要进行IPSec通信的通信对方设备的地址信息进行设置。远程地址是通信对方的地址。用户可以从“所有IP地址设置”、“所有IPv4地址设置”、“所有IPv6地址设置”、“IPv4手动设置”和“IPv6手动设置”中选择一个预定设置。当选择“IPv4手动设置”时，用户进一步从“单个地址设置”、“范围地址设置”和“子网地址设置”中选择一个设置。当选择“单个地址设置”时，指定特定的IPv4地址。当选择“范围地址设置”时，指定起点地址和终点地址。当选择“子网地址设置”时，指定地址和子网掩码。当选择“IPv6手动设置”时，进一步从“单个地址设置”、“范围地址设置”和“前缀地址设置”中选择一个设置。当选择“单个地址设置”时，指定特定的IPv6地址。当选择“范围地址设置”时，指定起点地址和终点地址。当选择“前缀地址设置”时，指定地址和前缀长度。在本实施例中，将除“单个地址设置”以外的设置称为“多地址设置”。
[0075]图5是用于设置策略信息的端口编号的示例用户界面。用户根据本地端口设置，选择IPSec通信期间在自身设备的端口中要使用哪个端口。另外，根据远程端口设置，用户选择要与通信对方的主机的哪个端口进行IPSec通信。从“所有端口设置”、“单个端口设置”和“范围端口设置”中选择一个本地端口设置。本地端口设置与进行通信时的自身设备的端口有关。当选择“单个端口设置”时，指定特定的端口编号。当选择“范围端口设置”时，指定起点端口和终点端口。从“所有端口设置”、“单个端口设置”和“范围端口设置”中选择一个远程端口设置。当选择“单个端口设置”时，指定特定的端口编号。当选择“范围端口设置”时，指定起点编号和终点编号。远程端口设置是与进行通信时的通信对方的端口有关的设置。
[0076]图6是用于进行与策略因特网密钥交换协议(IKE，Internet Key Exchange)有关的设置的示例用户界面。从“I”和“2”中选择要使用的一个IKE版本。从“主模式”和“挑战模式”中选择一个连接模式。从“先前公共密钥方法”或“证书方法”中选择一个认证方法。当选择“先前公共密钥方法”时，设置与通信对方的公共密钥相同的公共密钥。当选择“证书方法”时，选择任意的证书。
[0077]图7是用于在登记在RAM103中的策略信息列表中新登记、删除和编辑策略信息的示例用户界面。在图7中，显示当前登记在RAM103中的策略信息。当用户通过操作单元109请求显示策略信息时，用户接口单元206将用于获得策略信息列表的请求发送到主控制单元202。然后，主控制单元202通过策略DB控制单元203从RAM103获得策略信息列表，并将该策略信息列表传送至用户接口单元206。用户接口单元206将传送来的策略信息列表显示在操作单元109。
[0078]在图7所示的画面上，当用户想要登记新的策略信息时，用户按下“新添加”按钮。当用户想要改变已登记的策略信息时，用户选择预定的策略信息，并按下“编辑”按钮。当用户想要删除已登记的策略信息时，用户选择预定的策略信息，并按下“删除”键。如果用户想要改变已登记的信息的优先级，则当用户选择预定的策略信息并且要提高优先级时，用户按下“提高优先级”按钮，而当用户要降低优先级时，用户按下“降低优先级”按钮。
[0079]接着，将说明如下操作:即使在将针对策略信息的远程地址设置了单个地址的策略信息和针对远程地址设置了多个地址的策略信息均登记在策略信息列表中的情况下，该操作也防止了由于包括在多个策略信息中的属性的不一致而引起的不成功通信。通过这种操作，可以防止在登记图24所示的策略信息列表时发生的不成功通信。
[0080]图8是根据第一实施例的过程步骤的流程图。当CPUlOl执行R0M102中存储的程序并使图2所示的软件结构的各部分进行工作时，进行图8所示的流程图中的步骤。
[0081]在步骤S301中，用户接口单元206判断是否通过操作单元109从用户接收到与策略信息有关的指令。当用户接口单元206判断为接收到与策略信息有关的指令时，用户接口单元206将由用户输入的与策略信息有关的指令传送至输入判断单元207。输入判断单元207判断从用户接口单元206传送来的与策略信息有关的指令是否用于新登记策略信息或编辑(改变或删除)已登记在RAM103中的策略信息。当输入判断单元207判断为该指令用于新登记策略信息或编辑已存储在RAM103中的策略信息时，处理进入步骤S302。当输入判断单元207判断为该指令不用于新登记策略信息或编辑已存在的策略信息时，重复步骤 S301。
[0082]在步骤S302中，输入判断单元207将关于策略信息是否是已存在的策略信息的询问发送至主控制单元202。当初始化MFP时，主控制单元202读出HDD108中存储的策略信息，并将所读出的策略信息传送至策略DB控制单元203，并使所读出的策略信息写入RAM103。对于来自输入判断单元207的询问，主控制单元202参考写入RAM103的策略信息，并且判断该策略信息是否是已存在的策略信息。代替通过主控制单元202，输入判断单元207可以直接参考RAM103中的策略信息，并且判断该策略信息是否是已存在的策略信息。
[0083]在步骤S302中，当输入判断单元207判断为不存在已存在的策略信息时，处理进入步骤S307，以将输入的策略信息的优先级设置为1，并且将表示优先级的信息和策略信息传送至策略登记单元208。然后，在步骤S308中，根据表示优先级的信息，策略登记单元208通过主控制单元202和策略DB控制单元203将传送来的策略信息登记在RAM103中存储的策略信息列表中。当将策略信息登记在策略信息列表中时，主控制单元202使登记策略信息之后的策略信息列表写入HDD108，并且结束策略信息的登记。
[0084]在步骤S302中，当输入判断单元207判断为存在已登记在RAM103中的策略信息时，处理进入步骤S303。在步骤S303中，输入判断单元207判断输入的策略信息的远程地址设置是单个地址指定还是多地址指定。单个地址指定表示指定了诸如“192.168.1.1”或“192.168.1.2”等的一个地址。多地址指定表示指定了诸如“所有IP地址”或“192.168.1.1/255.255.0.0”等的多个地址。在本实施例中，尽管针对指定多个地址的方法在示例中使用“所有IP地址”，但可以使用子网掩码来指定“192.168.1.1/255.255.0.0”。
[0085]在步骤S303中，当输入判断单元判断为输入的策略信息的远程地址设置是“多地址指定”时，处理进入步骤S304。在步骤S304中，输入判断单元207将输入的策略信息传送至策略登记单元208。通过主控制单元202,策略登记单元208参考策略信息列表中登记的策略信息的优先级，并且确定该优先级，以使得输入的策略信息的优先级低于策略信息列表中登记的策略信息的优先级。然后，在步骤S308中，策略登记单元208通过主控制单元202将输入的策略信息登记在RAM103中的策略信息列表中。
[0086]相反，当在步骤S303中输入判断单元207判断为输入的策略信息的远程地址设置是单个地址指定时，处理进入步骤S305。在步骤S305中，由输入判断单元207请求优先级控制单元209确定输入的策略信息的优先级。优先级控制单元209通过主控制单元202和策略DB控制单元203参考RAM103中存储的策略信息列表。然后，优先级控制单元209确定输入的策略信息的优先级，以使得已存在的策略信息列表的远程地址的优先级低于指定了单个地址的策略信息的优先级，并且高于指定了多个地址的策略信息的优先级。然后，处理进入步骤S306。如果RAM103中的策略信息列表中存在优先级与输入的策略信息的优先级相同或低于输入的策略信息的优先级的策略信息，则使该策略信息的优先级下降I级。在步骤S308中，根据由优先级控制单元209在步骤S305中确定的优先级，策略登记单元208通过策略DB控制单元203将输入的策略信息登记在RAM103中的策略信息列表中。当完成输入的策略信息的登记时，主控制单元202通过策略DB控制单元203读出RAM103中存储的策略信息列表，将该策略信息列表写入HDD108，并且结束策略信息的登记。
[0087]接着，将参考具体例子来说明将策略信息登记到策略信息列表。
[0088]例如，已将图9所示的策略信息等的多个策略信息登记在RAM103中的策略信息列表中。策略信息a表示:当从与地址“192.168.1.1”相对应的通信对方进行IPSec协商请求时，即使通信是指定了自身设备的任意端口的通信，也使用发送或接收的数据进行利用公共密钥“aaa”的通信。
[0089]将说明将具有以下内容的策略信息登记在策略信息列表中的情况。
[0090]-策略名称:“e”
[0091 ]-本地地址设置:“所有IP地址”
[0092]-本地端口设置:“所有端口”
[0093]-远程地址设置:“192.168.1.3”
[0094]-远程端口设置:“所有端口”
[0095]-公共密钥设置:“eee”
[0096]在这种情况下，在图8中的步骤S305中，优先级控制单元209分配比已登记的多个策略信息中、远程地址设置是单个地址指定的策略信息的优先级低的优先级“3”，作为策略信息“e”的优先级。另外，在步骤S306中，优先级控制单元209将优先级与3相同或比3低的策略信息“c”和“d”各自的优先级下降I级。然后，当完成步骤S308中的策略信息的登记时，策略信息列表变为如图10所示。
[0097]已经将图9所示的策略信息等的多个策略信息登记在RAM103中的策略信息列表中。将说明登记具有以下内容的策略信息的情况。
[0098]-策略名称:“f”[0099]-本地地址设置:“所有IP地址”
[0100]-本地端口设置:“515 ”
[0101 ]-远程地址设置:“所有IP地址”
[0102]-远程端口设置:“所有端口”
[0103]-公共密钥设置:“CCC”
[0104]在这种情况下，在图8中的S304中，优先级控制单元209参考策略信息列表中登记的多个策略信息的优先级，并且确定输入的策略信息的优先级，以使得该优先级低于策略信息列表中登记的策略信息的优先级。更具体地，优先级控制单元209分配比已登记的多个策略信息的优先级低的优先级“5”，作为策略“f”的优先级。
[0105]如上所述，在本实施例中，当新登记或编辑策略信息时，如下进行控制。对远程地址设置是单个地址指定的策略信息进行登记，以使得该策略信息的优先级高于指定了多个地址的已登记的那些策略信息的优先级。另外，对远程地址设置是设置多个地址的远程地址设置的策略信息进行登记，以使得至少该策略信息的优先级低于已登记的多个策略信息中在远程地址设置中指定单个地址的那些策略信息的优先级。据此，无论是否存在指定单个地址的策略信息，都可以在不给用户带来负担的情况下，防止当尝试使用与指定多个地址的多个策略信息相关联地登记的公共密钥信息进行通信时发生的不成功通信。
[0106]在本实施例中，当输入的策略信息的地址包括单个地址时，进行步骤S305，而当设置多个地址时，进行步骤S304。然而，可以进行以下控制。在步骤S303中，即使输入判断单元207判断为输入的策略信息具有多个地址，输入判断单元207也请求优先级控制单元209来确定输入的策略信息的优先级。优先级控制单元209判断在已登记在RAM103中的策略信息列表所包括的多个策略信息的地址中是否包括输入的策略信息的地址。当优先级控制单元209判断为包括该地址时，处理进入步骤S305。当优先级控制单元209判断为不包括该地址时，处理进入步骤S304以进行前述控制。当处理进入步骤S305时，优先级控制单元209限制登记策略信息，以使得输入的策略信息的优先级低于地址包括输入的策略信息的远程地址的策略信息的优先级。因此，当不同的策略信息的地址中包括指定多个地址的策略信息时，可以在不给用户带来负担的情况下，防止当尝试使用与不同的策略信息相关联地登记的公共密钥进行通信时发生的不成功通信。
[0107]第二实施例
[0108]在本实施例中，将说明如下控制:在尝试登记远程地址设置是(除单个地址指定以外的)多地址指定的策略信息的情况下，当指定多个地址的已登记的多个策略信息的公共密钥不同时，进行该控制。
[0109]在这种情况下，当由用户从操作单元109输入的策略信息的公共密钥与已登记在RAM103中且具有所指定的多个地址的策略信息的公共密钥不一致时，进行控制，以使得它们的公共密钥一致。通过这种控制，可以防止例如图24所示的策略信息列表中发生的不成功通信。
[0110]图1lA和IlB构成示出根据第二实施例的控制过程的流程图。当CPUlOl执行R0M102中存储的程序并使图2所示的软件结构的各部分进行工作时，进行图1lA和IlB所示的流程图中的步骤。对与图8所示的步骤相对应的步骤赋予相同的附图标记，并且以下将不详细说明这些步骤。[0111]在步骤S303中，当输入判断单元207判断为输入的策略信息的远程地址设置是多地址指定时，处理进入步骤S1501。
[0112]在步骤S1501中，输入判断单元207判断输入的策略信息的公共密钥的设置与登记在RAM103中且在远程地址设置中指定了多个地址的策略信息的公共密钥是否相同。当输入判断单元207判断为这两个公共密钥相同时，处理进入步骤S304。相反，当输入判断单元207判断为这两个公共密钥不相同时，处理进入步骤S1502。在步骤S1501中，输入判断单元207判断在存储在RAM103中的多个策略信息中、地址与(对输入的策略信息的远程地址设置指定的)地址范围重叠的策略信息的公共密钥是否相同。这里，判断具有重叠地址的多个信息中除了指定单个地址的策略信息以外的策略信息的公共密钥是否相同。
[0113]在步骤S1502中，输入判断单元207请求用户接口单元206进行如图12所示的画面显示。用户接口单元206使操作单元109进行如图12所示的画面显示，并且使用户选择使策略信息的公共密钥与登记在RAM103中的策略信息的公共密钥一致的操作或者使策略信息的公共密钥与输入的策略信息的公共密钥一致的操作。当用户接口单元206接收用户的选择时，用户接口单元206根据用户的选择向公共密钥控制单元210发出用于使控制密钥一致的指令。在步骤S1502中，用户接口单元206判断用户是否选择了使登记在RAM103中的策略信息的公共密钥变为与输入的策略信息的公共密钥一致的操作。当用户接口单元206判断为选择了该操作时，处理进入步骤S1506。按下图12所示的“与最新的公共密钥一致”按钮1402的情况与此相对应。在步骤S1506中，公共密钥控制单元210通过主控制单元202使登记在RAM103中的策略信息的公共密钥变为与输入的策略信息的公共密钥一致。然后，在步骤S308中，策略登记单元208登记输入的策略信息。即使在这种情况下，也登记输入的策略信息，以使得输入的策略信息的优先级被设置得低于已登记的策略信息的优先级。
[0114]相反，在步骤S1502中，当用户接口单元206判断为不使登记在RAM103中的策略信息的公共密钥变为与输入的策略信息的公共密钥一致时，处理进入步骤S1503。
[0115]在步骤S1503中，用户接口单元206判断是否要使输入的策略信息的公共密钥变为与已登记在RAM103中的策略信息的公共密钥一致。如果判断为要使输入的策略信息的公共密钥变为一致，则处理进入步骤S1504。按下图12所示的“与已存在的公共密钥一致”按钮1401的情况与此相对应。在步骤S1504中，公共密钥控制单元210使输入的策略信息的公共密钥变为与登记在RAM103中的策略信息的公共密钥一致。然后，在步骤S308中，策略登记单元208登记输入的策略信息。即使在这种情况下，也登记输入的策略信息，以使得输入的策略信息的优先级被设置得低于已登记的策略信息的优先级。
[0116]在步骤S1503中，当用户接口单元206判断为没有选择使输入的策略信息的公共密钥变为与登记在RAM103中的策略信息的公共密钥一致的操作时，处理进入步骤S1505。例如，在图12所示的显示画面中，选择取消按钮1403的情况与此相对应。
[0117]例如，假定已在RAM103中的策略信息列表中登记图13所示的策略信息等的多个策略信息。将说明在策略信息列表中登记具有以下内容的策略信息的情况。
[0118]-策略名称:“e”
[0119]-本地地址设置:“所有IP地址”
[0120]-本地端口设置:“515 ”[0121 ]-远程地址设置:“所有IP地址”
[0122]-远程端口设置:“所有端口”
[0123]-公共密钥设置:“θθθ”
[0124]在这种情况下，在图1lA所示的步骤S1501中，输入判断单元207将输入的策略信息的公共密钥“eee”与登记在RAM103中所存储的策略信息列表中且在远程地址设置中指定了多个地址的多个策略信息的公共密钥进行比较。在登记在RAM103中的策略信息列表中，指定多个地址的多个策略信息是策略信息“c”和策略信息“d”。策略信息“c”和策略信息“d”的公共密钥均为“ccc”。因此，该公共密钥与“eee”不一致。因此，处理进入步骤S1502,并且输入判断单元207请求用户接口单元206使操作单元109进行如图12所示的画面显示。
[0125]当用户通过操作单元109的画面显示按下“与已存在的公共密钥一致”按钮1401时，公共密钥控制单元210使输入的策略信息的公共密钥“eee”变为与登记在RAM103中的多个策略信息的公共密钥“ccc”一致。当完成在步骤S308中的策略信息的登记时，设置图14所示的策略表。(从步骤S1502到S1503到S1504到S308的操作)
[0126]当用户通过操作单元109的画面显示按下“与最新的公共密钥一致”按钮1402时，公共密钥控制单元210进行以下控制。公共密钥控制单元210使登记在RAM103中的策略信息“c”和策略信息“d”的公共密钥“ccc”变为与输入的策略信息的公共密钥“eee” 一致。当完成在步骤S308中的策略信息的登记时，设置图15所示的策略表。(从步骤S1502到S1506到S308的操作)
[0127]优先级控制单元209分配比已登记的多个策略信息中的、在远程地址设置中指定了单个地址的多个策略信息的优先级低的优先级“3”，作为策略信息“e”的优先级。另外，在步骤S306中，优先级控制单元209使策略信息“c”和策略信息“d”各自的优先级下降I级。结果，当完成在步骤S308中的策略信息的登记时，设置图10所示的策略信息表。
[0128]如图15所示，当要改变任意已存在的策略信息的公共密钥时，例如，主控制单元202可以通过LANlll向网络管理员通知公共密钥改变。例如，当任意已存在的策略信息的公共密钥改变时，主控制单元202将改变后的策略信息发送至与公共密钥改变的策略信息的远程地址相对应的通信对方设备或先前登记的外部计算机。这允许使用在远程地址设置中指定其地址的通信对方设备的用户容易地获知公共密钥的改变。另外，可以进行控制，以使通信对方设备改变与MFP进行通信所使用的策略信息中登记的公共密钥。主控制单元202可以进行以下控制。也就是说，主控制单元可以对用户接口单元206进行请求，以使得用户接口单元206使操作单元109显示表示“策略信息已改变”的预定时间，并且在用户按下例如确认按钮(未示出)时停止该显示。
[0129]通过上述控制，当尝试登记在远程地址设置中设置(除单个地址以外的)多个地址的策略信息时，即使该策略信息的公共密钥不同于指定多个地址的已登记的多个策略信息的公共密钥，也可以适当地登记该策略信息。据此，当存在登记在策略信息列表中且在远程地址设置中指定了(除单个地址以外的)多个地址的多个策略信息时，可以防止当这些策略信息的公共密钥的设置彼此不同时发生的不成功通信。
[0130]第三实施例
[0131]在本实施例中，将说明当登记在RAM103中的策略信息的优先级改变时所进行的控制。当用户通过操作单元109请求改变策略信息的优先级时，可以防止由策略信息列表的登记顺序所引起的不成功通信。
[0132]图16是示出根据第三实施例的控制过程的流程图。当CPUlOl执行R0M102中存储的程序并使图2所示的软件结构的各部分进行工作时，进行图16所示的流程图中的步骤。对与第一实施例的步骤相对应的步骤赋予相同的附图标记，并且以下将不详细说明这些步骤。
[0133]如果用户想要改变已登记的信息的优先级，则在图7所示的画面中，用户可以选择预定的策略信息并按下“提高优先级”按钮或“降低优先级”按钮，以改变策略信息的优先级。
[0134]首先，在步骤S2001中，用户接口单元206将关于是按下“提高优先级”按钮还是按下“降低优先级”按钮的信息传送至优先级控制单元209。在步骤S2001中，当判断为按下“降低优先级”按钮时，处理进入步骤S2003。
[0135]在步骤S2003中，优先级控制单元209判断在由用户所选择的策略信息的远程地址设置中指定单个地址还是多个地址。当在步骤S2003中判断为指定单个地址时，处理进入步骤S2010。在步骤S2010中，优先级控制单元209判断在要改变的策略信息的远程地址设置中指定单个地址还是多个地址。在这种情况下，使要改变的策略信息的优先级下降I个优先级。因此，优先级控制单元209判断在优先级比用户所选择的策略信息的优先级低I个优先级的策略信息的远程地址设置中指定单个地址还是多个地址。当在步骤S2010中判断为指定单个地址时，在步骤S2012中，通过主控制单元202，优先级控制单元209使用户所选择的策略信息的优先级下降I个优先级，并且使要改变的策略信息的优先级提高I个优先级。相反，当在步骤S2010中判断为指定多个地址时，优先级控制单元209进行控制，以使得在步骤S2013中不改变优先级。在步骤S2013中，优先级控制单元209请求用户接口单元206使操作单元109显示不能改变优先级的通知。用户接口单元206使如图17所示的显示例子所示的通知显示在操作单元109。这使得可以向用户通知不能改变优先级。
[0136]当在步骤S2003中判断为在用户所选择的策略信息的远程地址设置中指定多个地址时，处理进入步骤S2011。在步骤S2011中，优先级控制单元209判断在要改变的策略信息的远程地址设置中指定单个地址还是多个地址。当在步骤S2011中判断为指定多个地址时，通过主控制单元202，优先级控制单元209使用户所选择的策略信息的优先级下降I个优先级，并且使要改变的策略信息的优先级提高I个优先级。当在步骤S2011中判断为指定单个地址时，在步骤S2014中，可以如步骤S2015那样改变优先级。然而，对于根据第一实施例的控制，不存在指定单个地址且优先级比指定多个地址的策略信息的优先级低的策略信息。因此，不进行步骤S2014。
[0137]当在步骤S2001中判断为按下“提高优先级”按钮时，处理进入步骤S2002。在步骤S2002中，优先级控制单元209判断在用户所选择的策略信息的远程地址设置中指定单个地址还是多个地址。当在步骤S2002中判断为指定单个地址时，处理进入步骤S2004，在步骤S2004中，优先级控制单元209判断在要改变的策略信息的远程地址设置中指定单个地址还是多个地址。在这种情况下，由于要改变的策略信息的优先级是更高I级的优先级，因此优先级控制单元209判断在优先级是比用户所选择的策略信息的优先级高I级的优先级的策略信息的远程地址设置中指定单个地址还是多个地址。当在步骤S2004中优先级控制单元209判断为指定单个地址时，在步骤S2006中，通过主控制单元202，优先级控制单元209使用户所选择的策略信息的优先级提高I级，并且使要改变的策略信息的优先级下降I级。相反，当在步骤S2004中优先级控制单元209判断为指定多个地址时，在步骤S2007中，允许进行与在步骤S2006中执行的优先级的改变相同的改变。然而，对于根据第一实施例的控制，不存在指定单个地址且优先级比指定多个地址的策略信息的优先级低的策略信息。因此，不进行步骤S2007。
[0138]当在步骤S2002中判断为指定多个地址时，在步骤S2005中，优先级控制单元209判断在要改变的策略信息的远程地址设置中指定单个地址或多个地址。当在步骤S2005中判断为指定多个地址时，在步骤S2009中，通过主控制单元202，优先级控制单元209使用户所选择的策略信息的优先级提高I个优先级，并且使要改变的策略信息的优先级下降I个优先级。相反，当在步骤S2005中判断为指定单个地址时，优先级控制单元209进行控制，以使得不改变优先级。在步骤S2013中，优先级控制单元209请求用户接口单元206使操作单元109显示不能改变优先级的通知。用户接口单元206使如图17所示的显示例子所示的通知显示在操作单元109。这使得可以向用户通知不能改变优先级。
[0139]图18示出根据本发明的登记在RAM103中的示例策略信息列表。假定在图7所示的画面中用户选择策略信息“c”，并且按下“降低优先级”按钮。此时，在步骤S2015中，策略信息列表变为图19所示的变化之后提供的策略信息列表。
[0140]同样，假定用户从图18所示的状态中选择策略信息“C”，并且按下“提高优先级”按钮。此时，在步骤S2008中，进行控制，以使得不改变策略信息的优先级。此时，设置如图17所示的画面显示等的画面显示。同样，假定用户从图18所示的状态中选择策略信息“b”，并且按下“降低优先级”按钮。此时，在步骤S2013中，进行控制，以使得不改变策略信息的优先级。即使此时，也设置图17所示的画面显示等的画面显示。
[0141]可以单独地执行上述第一实施例?第三实施例，或者可以任意组合上述第一实施例?第三实施例。
[0142]在上述第一实施例?第三实施例中，说明了多个策略信息包括公共密钥的情况。然而，代替包括公共密钥，多个策略信息可以包括用于生成公共密钥的信息或表示公共密钥所存储的位置的信息。在上述第一实施例?第三实施例中，说明了多个策略信息包括公共密钥的情况。然而，即使诸如图9所示的策略信息等的多个策略信息的公共密钥的列包括规定了通信时的控制过程的信息，也可以应用上述第一实施例?第三实施例中的控制操作。规定了通信时的控制过程的信息例如是通信时的限制和包过滤法。
[0143]参考图25所示的存储器映射，以下将说明由根据本发明的信息处理设备能够读取的数据处理程序的结构。
[0144]图25示出存储能够由根据本发明的信息处理设备读取的各种数据处理程序的存储介质的存储器映射。
[0145]尽管没有特别示出，但存储有诸如版本信息和创建者等的用于控制存储在存储介质中的程序组的信息。另外，还可以存储诸如识别并显示程序的图标等的依赖于例如程序读出侧的OS的信息。
[0146]此外，还通过前述目录来控制依赖于各种程序的数据。例如，还可以存储用于将各种程序安装在计算机中的程序或针对要安装的程序被压缩时的解压缩操作的程序。[0147]可以由主计算机利用从外部安装的程序来执行根据实施例的功能。在这种情况下，即使在从诸如CD-ROM、闪速存储器或FD等的存储介质或者外部计算机能够通过网络读取的存储介质向输出装置提供包括程序的信息组的情况下，也应用本发明。
[0148]如上所述，将软件的程序代码实现根据实施例的功能的存储介质供给至系统或装置。无需说明，即使在系统或装置(计算机)或者CPU或MPU读出存储在存储介质中的程序代码并执行这些程序代码的情况下，也可以实现本发明的目的。
[0149]在这种情况下，从存储介质读出的程序代码自身实现了根据本发明的新的功能，以使得存储有这些程序代码的存储介质构成了本发明。
[0150]因此，只要提供了程序功能，程序的形式可以例如是对象代码、由解释器执行的程序或供给至OS的脚本数据。
[0151]用于供给程序的存储介质可以例如是软盘、硬盘、光盘、磁光盘、MO、⑶-ROM、⑶-R、CD-RW、磁带、非易失性存储卡、ROM或DVD。
[0152]在这种情况下，从存储介质读出的程序代码自身实现了根据上述实施例的功能。因此，存储有这些程序代码的存储介质构成了本发明。
[0153]可以按照如下提供程序。例如，可以通过使用客户计算机106和107的浏览器连接至因特网上的主页并从该主页将根据本发明的计算机程序下载到硬盘等的记录介质，来供给程序。可选地，可以通过将包括自动安装功能的压缩文件下载到硬盘等的记录介质来供给程序。另外可选地，可以通过将根据本发明的程序的程序代码划分成多个文件并从不同的主页下载这些文件来供给程序。也就是说，例如，使计算机将用于实现根据本发明的功能操作的程序文件下载到多个用户的WWW服务器和ftp服务器也包括在根据本发明的权利要求书中。
[0154]可以对根据本发明的程序进行加密，并将这些程序存储在⑶-ROM等的存储介质中，并将它们分配给用户。另外，还可以使满足了预定条件的用户通过因特网从主页下载经过加密的密钥信息，通过使用该密钥信息执行加密程序，从而将这些程序安装在计算机中，并实现这些程序。
[0155]本发明不限于通过执行由计算机读出的程序代码来实现根据各实施例的功能的情况。例如，无需说明，当例如在计算机运行的操作系统(OS)基于程序代码指令执行一些或全部实际操作时，可以实现根据上述实施例的功能。
[0156]此外，可以在将从存储介质读出的程序代码写入包括连接至计算机的功能扩展单元或插入计算机中的功能扩展板的存储器之后，基于程序代码指令来进行控制。例如，无需说明，包括了当例如包括功能扩展板或功能扩展单元的CPU进行一些或全部实际操作时实现根据实施例的功能的情况。
[0157]尽管已经参考典型实施例说明了本发明，但是应该理解，本发明不限于所公开的典型实施例。所附权利要求书的范围符合最宽的解释，以包含所有这类修改、等同结构和功倉泛。
[0158]本申请要求2008年3月27日提交的日本专利申请2008-084102的优先权，在此通过引用包含其全部内容。
【权利要求】
1.一种信息处理设备,包括: 登记单元，用于将多个策略信息与优先级相对应地登记在存储单元中，其中所述多个策略信息各自至少表示通信对方设备的地址和与所述通信对方设备进行通信所使用的密钥信息； 选择单元，用于根据所述通信对方设备的地址和所述多个策略信息的优先级，从所述存储单元中选择与所述通信对方设备进行通信要使用的策略信息；以及 控制单元，用于进行控制，以使得所述登记单元要登记的、表示多个地址的策略信息的密钥信息与所述存储单元中已登记的所述多个策略信息中的、表示多个地址的策略信息的密钥信息相同。
2.根据权利要求1所述的信息处理设备，其特征在于，所述控制单元进行所述控制，以使得所述登记单元要登记的策略信息的密钥信息变为与所述存储单元中已存储的策略信息的密钥信息一致。
3.根据权利要求1所述的信息处理设备，其特征在于，所述控制单元进行所述控制，以使得所述存储单元中已存储的策略信息的密钥信息变为与所述登记单元要登记的策略信息的密钥信息一致。
4.根据权利要求1所述的信息处理设备，其特征在于，所述控制单元使显示单元进行画面显示，从而使用户选择如下操作:使所述登记单元要登记的策略信息的密钥信息变为与所述存储单元中已存储的策略信息的密钥信息一致的操作或者使所述存储单元中已存储的策略信息的密钥信息变为与所述登记单元要登记的策略信息的密钥信息一致的操作。
5.一种信息处理设备的控制方法，包括以下步骤: 将多个策略信息与优先级相对应地登记在存储单元中，其中所述多个策略信息各自至少表示通信对方设备的地址和与所述通信对方设备进行通信所使用的密钥信息； 根据所述通信对方设备的地址和所述多个策略信息的优先级，从所述存储单元中选择与所述通信对方设备进行通信要使用的策略信息；以及 进行控制，以使得所述存储单元中要登记的、表示多个地址的策略信息的密钥信息与所述存储单元中已登记的所述多个策略信息中的、表示多个地址的策略信息的密钥信息相同。
6.根据权利要求5所述的控制方法，其特征在于，进行所述控制，以使得所述存储单元中要登记的策略信息的密钥信息变为与所述存储单元中已存储的策略信息的密钥信息一致。
7.根据权利要求5所述的控制方法，其特征在于，进行所述控制，以使得所述存储单元中已存储的策略信息的密钥信息变为与所述存储单元中要登记的策略信息的密钥信息一致。
8.根据权利要求5所述的控制方法，其特征在于，使显示单元进行画面显示，从而使用户选择如下操作:使所述存储单元中要登记的策略信息的密钥信息变为与所述存储单元中已存储的策略信息的密钥信息一致的操作或者使所述存储单元中已存储的策略信息的密钥信息变为与所述存储单元中要登记的策略信息的密钥信息一致的操作。
【文档编号】H04L29/06GK103825899SQ201410072482
【公开日】2014年5月28日 申请日期:2009年3月24日 优先权日:2008年3月27日
【发明者】井上刚 申请人:佳能株式会社