CN101150578A - 信息处理装置和系统及属于该信息处理系统的数据通信方法 - Google Patents

信息处理装置和系统及属于该信息处理系统的数据通信方法 Download PDF

Info

Publication number
CN101150578A
CN101150578A CNA2007101367696A CN200710136769A CN101150578A CN 101150578 A CN101150578 A CN 101150578A CN A2007101367696 A CNA2007101367696 A CN A2007101367696A CN 200710136769 A CN200710136769 A CN 200710136769A CN 101150578 A CN101150578 A CN 101150578A
Authority
CN
China
Prior art keywords
data
transmission
information processing
sent
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CNA2007101367696A
Other languages
English (en)
Inventor
酒井昌彦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Publication of CN101150578A publication Critical patent/CN101150578A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Facsimiles In General (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Abstract

第一信息处理装置对从第二信息处理装置接收的数据加密,并且将这样加密的数据传送到外部设备。第二信息处理装置根据从指定的数据大小中减去加密数据的传递所必需的数据大小之后的数据大小,将数据从传送到第一信息处理装置。

Description

信息处理装置和系统及属于该信息处理系统的数据通信方法
技术领域
本发明涉及信息处理装置,以及包括最少包括第一和第二信息处理装置的系统,以及属于该信息处理系统的数据通信系统。
背景技术
一种扩展控制装置扩展了具有如文档的打印、图像输入、归档(filing)、传送和接收、以及图像转换的功能的图像处理装置的功能。该扩展控制装置具有网络功能增强,其将用户环境中使用的网络(即,LAN)的通信协议的数据转换为适合于图像处理装置拥有的接口协议的数据。该扩展控制装置具有这样的功能:诸如假脱机通信数据的存储扩展功能,以及执行诸如承担由图像处理装置或客户设备执行的一部分处理负荷的任务的负荷分散功能;参见日本专利特开号No.2003-99230。
IP安全或IPSec是在因特网上执行安全通信的技术规范。IPSec被在多个RFC中提出,这些RFC中最重要的一个是RFC2401,用于网际协议的安全体系结构。
然而,在扩展控制装置取代图像处理装置采用已有技术执行加密和解密处理的情况下,扩展的控制装置对图像处理装置传送到扩展控制装置的明文数据加密,并且然后给加密数据附加称为尾部的新头。因此,加密包的大小可能超过接收通信介质的最大传送单元(MTU)。在这种情况下,扩展控制装置分段传送考虑中的包,每个段不大于MTU,这是一种被称为分段的操作。然而,执行分段需要将包保存在缓冲区内,从缓冲区内提取包的为可以被传送的大小的一部分,并且重构包,结果增加了开销。
发明内容
本发明的一个方面是消除上述的传统问题。
此外本发明的另一个方面是提供了一种即使在加密明文数据时也可避免分段的技术。
根据本发明,提供了一种包括第一和第二信息处理装置的信息处理系统,其中
第一信息处理装置包括:
第一接口,配置为通过第一网络与外部设备通信;
第二接口,配置为通过第二网络与第二信息处理装置通信;
加密单元,配置为对通过第二接口从第二信息处理装置接收的数据加密;和
第一传送单元,配置为通过第一接口将被附加了传送加密数据所必需的数据的、由加密单元加密的数据传送到外部设备;以及
第二信息处理装置包括:
第二传送单元,配置为根据从指定的数据大小中减去传递加密数据所必需的数据的数据大小之后的数据大小,将数据传送到第一信息处理装置。
根据本发明,提供了一种包括第一和第二信息处理装置的信息处理系统内的数据通信方法,包括步骤:
由第一信息处理装置对从第二信息处理装置接收的数据加密;
将附加了传递加密数据所必需的数据的、在加密步骤中加密的数据从第一信息处理装置传送到外部设备;和
根据从指定的数据大小中减去传递加密数据所必需的数据的数据大小之后的数据大小,将数据从第二信息处理装置发送到第一信息处理装置。
根据本发明,提供了一种与对数据进行加密并且将其传送到外部设备的另一个信息处理装置通信的信息处理装置,包括:
数据分段单元,配置为根据从指定的数据大小中减去传递加密数据所必需的数据的数据大小之后的数据大小对数据分段;和
传送单元,配置为将由数据分段单元分段的数据传送到另一个信息处理装置。
结合附图,将从下面对示例实施例的描述中明了本发明的其他特征。
附图说明
结合在说明书中,并且构成其一部分的附图示出了本发明的实施例,并且与本说明一起用于解释本发明的原理。
图1是示出了根据本发明的示例实施例的使用扩展图像处理系统的网络环境的例子的概念图;
图2是示出了根据该实施例,由扩展控制装置和图像处理装置配置成的扩展图像处理系统的配置的方框图;
图3是示出了根据该实施例的图像处理装置的控制器的硬件配置的方框图;
图4是示出了根据该实施例,在图像处理装置的控制器内实现的软件模块的方框图;
图5是示出了根据该实施例的图像处理装置的网络服务的详细配置的方框图;
图6给出了示出了根据该实施例的SPD的例子的图;
图7是示出了根据该实施例的扩展控制装置的硬件配置的方框图;
图8是示出了根据该实施例的扩展控制装置的软件模块配置的方框图;
图9是描述根据该实施例的图像处理装置的协议处理器的处理序列的流程图;
图10给出了示出了IPSec加密方法的例子的示图;
图11是描述根据该实施例的扩展控制装置的协议处理器的处理序列的流程图;和
图12是示出了根据该实施例的数据传送序列的例子的图。
具体实施方式
现在在此将参考附图详细描述本发明的实施例。应当注意,下面的实施例不旨在限制权利要求中提出的本发明,并且不是这些实施例中描述的特征的所有组合都是用于实现本发明的目的所必需的必要手段。
图1是示出了根据本发明的示例实施例,使用扩展图像处理系统的网络环境的例子的概念图。
扩展图像处理系统10具有图像处理装置100和扩展控制装置101。图像处理装置100具有这样的功能,诸如文档的打印、图像输入、归档、传送和接收以及图像转换,并且扩展控制装置101给其提供其他扩展功能。扩展控制装置101的第一网络接口20连接到LAN400,并且能够通过LAN400与另一个网络节点通信。通过LAN401连接图像处理装置100和扩展控制装置101之间的第二网络接口21。
主计算机(PC)11是单个用户的信息处理装置。放置在用户的桌面上,它执行一系列的应用程序。连接到LAN400,主计算机11使用另一个网络节点提供的服务,并且通过LAN400给其他网络节点提供服务。服务器计算机12是大规模信息处理装置。连接到LAN400,服务器计算机12主要通过LAN400给其他网络节点提供服务。打印机13是具有网络支持的外围设备。连接到LAN400,打印机13通过LAN400给其他网络节点提供打印服务。路由器14是将网络连接到另一个网络的网络节点。它将广域网(WAN)15,诸如因特网或虚拟专用网络(VPN)连接到LAN400。在本环境中,LAN400是在例如用户的办公室内建立的局域网。
下面是对根据该实施例使用的IP安全(IPSec)的基本描述。IPSec允许实现下面的功能:
访问控制:根据例如连接节点的地址执行许可或禁止连接;
通信数据的完整性的证明:证实在传递过程中,通信数据未被篡改;和
通信内容的机密性:对通信数据加密,从而呈递该通信数据,从而即使在传递过程中被截获,也不能容易地辨别其内容。
IPSec由多个技术配置成,以便实现这些功能。
IPSec采用称为认证头(AH)和封装安全有效负荷(ESP)的安全协议。AH采用认证,即,对完整性的证明,并且ESP采用加密,即,实现数据的机密性。分别在RFC2402中提出了AH,在RFC2406中提出了ESP。AH和ESP中的每一个具有两个模式,称为传送模式和隧道模式。传送模式将IP包的有效负荷成分作为要经受安全协议处理的对象,而隧道模式将IP包作为要经受处理的对象。
IPSec采用被称为安全关联(SA)的参数集合管理诸如密钥或加密算法。管理SA的数据库被称为安全关联数据库(SAD)。SA的参数包括:用于两点中的每个间的通信的标识符、安全参数索引(SPI)、安全协议类型、加密算法和其密钥、SA的生命期、以及由加密算法采用的IV的值和计数器。SA具有定向,需要两个SA执行双向通信。
安全策略通常指表示要保护什么、如何保护和要防止什么的行为策略。IPSec安全策略(SP)代表向什么类型的IP包应用IPSec。SP的参数包括:IP层协议号、IP地址、网络地址、传送层协议、端口号、和用户标识符。管理SP的数据库被称为安全参数数据库(SPD)。
执行IPSec需要在进行通信的两点间共享SA的两个参数,以及加密算法中使用的密钥。IPSec将手动密钥管理和自动密钥管理定义为它的管理方法。
IPSec采用因特网密钥交换(IKE)作为自动密钥管理方法。在RFC2409中提出,IKE包括两个阶段:阶段一,其适当地交换IKE的SA,以及阶段二,其在阶段一内建立的SA下,安全地交换IPSec SA的参数。将数字签名、公钥加密和预共享密钥定义为阶段一中的认证协议,以及执行IKE的一个的程序选择并且采用这三种认证协议中。
图2是示出了根据该示例实施例,由图像处理装置100和扩展控制装置101配置成的扩展图像处理系统10的配置的方框图。
图像处理装置100提供诸如文档的打印、图像输入、归档、传送和接收以及图像转换的基本功能。读取器单元200,即,图像输入装置,光学地读入原始图像,并且将原始图像转换为图像数据。读取器单元200由读入原稿的扫描仪单元210,以及具有传递原稿功能的原稿馈送单元250配置成。
打印机单元300,即,图像输出装置,传送记录纸张,在其上打印图像数据作为可视图像,并且从该装置中卸下结果。打印机单元300具有带有多种类型的记录纸盒的纸馈送单元360、具有将图像数据转印并且定影到记录纸上的功能的标记单元310、以及具有分拣、装订(stapling)和从设备中卸下打印记录纸的功能的卸下单元370。
控制器110电连接到读取器单元200、打印机单元300和LAN401。控制器110提供控制读取器单元200以便读入原稿的图像,以及控制打印机单元300以便根据图像数据在记录纸上打印可视图像的复印功能。控制器110还提供将由读取器单元200读入的图像的图像数据转换为代码数据的扫描仪功能,并且在LAN401上将代码数据传送到客户装置(未示出)。控制器110还提供将在LAN400上从客户装置接收的代码数据转换为图像数据,将图像数据输出到打印机单元300,并且从而使得打印该图像的打印功能。
连接到控制器110并且具有LCD触摸屏的控制台单元150提供用于操作扩展图像处理系统10的用户接口。扩展控制装置101包括控制器170和外围设备171。扩展控制装置101的控制器170能够执行软件,包括操作系统、各种设备驱动器和各种应用程序。外围设备171是用于扩展扩展控制装置101的硬件的各种外围设备。在本环境中,连接在LAN401上的图像处理装置100和扩展控制装置101能够双向通信。
图3是示出了根据该实施例的图像处理装置100的控制器110的硬件配置的方框图。
主控制器3011具有CPU3012、总线控制器3013和各种接口控制电路。CPU3012和总线控制器3013控制控制器110的整体操作。CPU3012根据通过ROM接口3015从ROM3014装入的程序操作。该程序还定义以软件处理从客户装置接收的页描述语言(PDL)代码数据的解释的操作,并且将该代码数据表现为光栅图像数据。总线控制器3013控制通过各个相应的接口输入和输出的数据的传送。它执行总线冲突或DMA数据传送的仲裁的控制。DRAM3016通过DRAM接口3017连接到主控制器3011。它起用于CPU3012的操作、以及存储图像数据的工作空间的作用。
编解码器3018根据诸如MH、MR、MMR、JBIG或JPEG的协议压缩存储在DRAM3016中的光栅图像数据,并且将这样压缩和存储的代码数据恢复为光栅图像数据。SRAM3019被用作编解码器3018的临时工作空间,编解码器3018通过接口3020连接到主控制器3011。编解码器3018和DRAM3016间的数据传送是由总线控制器3013控制的DMA传送。
图形处理器3035对存储在SRAM3036内的图像数据执行诸如图像旋转、缩放处理或颜色空间转换的处理。图形处理器3035还可以将处理结果写到SRAM3036。外部通信接口控制器3021通过接口3023连接到主控制器3011,并且通过连接器3022连接到网络。
扩展连接器3024和IO控制器3026连接到用于连接扩展板的通用高速总线3025。PCI总线通常被引用为通用高速总线3025。给IO控制器3026提供两个通道的异步串行通信控制器3027,异步串行通信控制器3027用于分别与读取器单元200和打印机单元300中的每一个内的CPU的控制命令的双向通信。IO控制器3026通过IO总线3028连接到外部接口3040和3045。
面板接口3032连接到LCD控制器3031和执行硬件按键或触摸屏输入的按键输入接口3030,LCD控制器3031是一种在控制台单元150的LCD上执行显示的接口。控制台单元150具有LCD单元、在LCD单元顶上的触摸屏输入装置、以及多个硬件按键。将通过触摸屏或硬件按键输入的信号通过面板接口3032传送到CPU3012。LCD单元显示通过面板接口3032传送的图像数据。LCD单元还显示诸如属于图像处理装置100的操作的功能显示。
实时时钟模块3033更新和存储在该装置内管理的日期和时间。以专用的后备电池3034给其独立供电。E-IDE接口3061与外部存储设备连接。根据该实施例,通过该接口连接的硬盘(HD)驱动器3060执行诸如将图像数据存储到硬盘(HD)3062,以及从硬盘3062读取图像数据的操作。
连接器3042和3047分别连接读取器单元200和打印机单元300,并且连接异步串行接口3043和3048,以及视频接口3044和3049。通过连接器3042连接到读取器单元200,并且通过扫描仪总线3041连接到主控制器3011的扫描仪接口3040具有对从读取器单元200接收的图像数据执行规定处理的功能。扫描仪接口3040具有输出控制信号的功能,根据从读取器单元200传送到扫描仪总线3041的视频控制信号产生该控制信号。由总线控制器3013控制从扫描仪总线3041到DRAM3016的数据传送。
打印机接口3045通过连接器3047连接到打印机单元300,并且通过打印机总线连接到主控制器3011。打印机接口3045具有对从主控制器3011传送的图像数据执行规定处理,并且将结果输出到打印机单元300的功能。打印机接口3045具有输出控制信号的功能,根据从打印机单元300传送到打印机总线3046的视频控制信号产生该控制信号。由总线控制器3013控制DRAM3016中呈递给打印机单元300的光栅图像数据的传送,作为通过打印机总线3046和视频接口3049到打印机单元300的DMA传送。
图4是示出了在根据该实施例的图像处理装置100的控制器110中实现的软件模块的方框图。
作为固件实现由图像处理装置100的控制器110处理的软件,并且由图像处理装置100的CPU3012执行。实时操作系统4001为在该操作系统上运行的软件提供各种资源管理服务和框架,对这些资源管理服务和框架进行优化以便控制嵌入系统。实时操作系统4001提供的各种资源管理服务和框架包括多任务或线程管理,其有效地使得由于CPU管理多个进程执行环境而并行操作多个进程。其中还包括诸如实现一系列协议的处理(诸如实现任务间的数据同步或交换的任务间通信)的协议栈、存储器或中断管理、一系列设备驱动器、本地接口、网络或通信。
文件系统4002是建立在用于存储数据的存储装置(诸如硬驱或存储器)内的系统。它用于假脱机作业,或存储控制器110正处理的各种类型的数据。
作业和装置控制模块4003控制图像处理装置100的软件,以及使用主要在图像处理装置100的硬件中提供的诸如打印、扫描、通信和图像转换的基本功能的作业。管理模块4004管理控制器的操作,诸如当与控制器110的操作有关时控制内部状态。
网络服务4006使用控制API和网络协议的双向转换,以便便于从该装置外部的网络节点诸如客户PC对该装置的基本功能的使用。嵌入应用逻辑4007和嵌入应用用户接口4009配置嵌入应用。除了图像处理装置100的基本功能之外,嵌入应用用户接口4009实现诸如复印、图像扫描和归档、传送和接收文档的高阶功能。嵌入应用逻辑4007相应于嵌入应用的业务逻辑组分。相应于嵌入应用的表示逻辑的嵌入应用用户接口4009执行对显示或图形用户接口(GUI)的输入的控制,以便便于嵌入应用的用户的操作。除了图像处理装置100的控制台单元150上的本地用户接口之外,嵌入应用用户接口4009还提供使用Web技术诸如HTTP和标记语言诸如HTML实现的Web应用。
用户能够通过运行在例如客户PC上并且连接到Web应用的Web浏览器远程地操作图像处理装置100。在本情形下,被实现为Web应用的嵌入应用的呈现层称为远程用户接口。
嵌入Java环境4010是一个主要由Java虚拟机(VM)配置成的解释器环境。嵌入Java环境4010配置为在执行时装入和绑定以Java字节码编写的指令序列数据,并且使得Java VM顺序地装入、解释和执行该指令。从而在预先绑定的固件内完整地预装入软件(包括实时操作系统4001),并且可以保证可伸缩性和灵活性,从而可以以小组件动态地添加或取代软件。
通过Java本机接口(JNI)提供配置为允许对固件的资源或服务的使用的Java类库成套程序(suite),即,本机系统,包括诸如实时操作系统4001及作业和装置控制API。由公知的Java2 Platform,Micro Edition构建嵌入Java环境4010的基本组件。
图像处理装置100的嵌入应用逻辑4007能够控制在扩展控制装置101的应用内实现的呈现逻辑。
还将存储在诸如非易失存储器(未示出)内、并且控制是否链接到扩展控制装置101的标记构建到图像处理装置100内。
下面是参考图5对网络服务4006的详细配置的描述。
图5是示出了根据示例实施例的图像处理装置100的网络服务4006的详细配置的方框图。
数据传送和接收单元5001通过网络401执行各种数据类型的传送和接收。协议处理器5002使用网络协议诸如TCP/IP与图1内的扩展控制装置101或主计算机通信。根据该实施例,网络应用5004通过电子邮件将数据传送到指定的接收方,并且使用协议诸如文件传送协议(FTP)或服务器消息块(SMB)将数据传送到指定的主计算机或文件服务器。
网络应用5004包括实现各种网络打印协议诸如LPR、NetWare、SMB、PAR或IPP的网络服务器功能,允许来自装置外部的网络节点,诸如客户PC,的打印作业的输入。与安全相关的信息存储单元5003存储安全策略数据库(SPD)。
图6给出了根据该实施例,存储在与安全相关的信息存储单元5003内的SPD的数据的例子的示图。
根据该实施例,最初由用户在扩展控制装置101中指定SPD,并且将其传送到图像处理装置100。
图7是示出了根据该实施例的扩展控制装置101的硬件配置的方框图。
CPU7001是执行整体控制的中央处理单元,其执行从ROM7003或硬盘7004装入存储器7002的程序。第一网络接口20是通过LAN400执行与另一个设备的数据通信的控制器。由CPU7001执行的软件通过LAN400上在扩展控制装置101和其它网络设备或其它计算机间执行数据的双向处理。第二网络接口21是通过LAN401在扩展控制装置101和图像处理装置100间执行数据通信的控制器。由CPU7001执行的软件可以在LAN401上执行扩展控制装置101和图像处理装置100间的数据的双向处理。存储器7002是用于保持,例如,由CPU7001执行的指令或数据的临时易失存储空间。ROM7003是用于保持,例如,执行基本硬件控制的程序或数据的只读存储区域。硬盘7004典型地是用于保持,例如,由扩展控制装置101执行的程序或其操作的数据的非易失存储单元。硬盘7004存储,例如,启动硬件和软件的执行或操作的引导程序、以及多个应用、将要编辑的文件、用户文件和网络管理程序。实现诸如USB、RS-232C串行或IEEE1394的规范的外围接口7005控制连接外围设备171。外围设备171可以包括,例如,识别用户的用户认证装置。
图8是示出了根据该实施例的扩展控制装置101的软件模块配置的方框图。由图2中的扩展控制装置101的控制器170处理的软件实现为固件,并且由图7中的该装置的CPU7001执行。
第一网络驱动器8001控制图7中的连接到LAN400的第一网络接口20,并且执行与网络400的数据传送和接收。连接到LAN401的第二网络驱动器8002控制图7中的第二网络接口21,并且执行与网络401间的数据传送和接收。
网络通信控制器8003检查由第一网络驱动器8001接收的所有包,并且将与应用8007无关的包传送到第二网络接口21。检查由第二网络接口21接收的所有包,并且将与应用8008无关的包传送到第一网络接口20。
协议处理器8004控制网络协议(诸如TCP/IP),并且采用IETF的IP安全或IPSec提供安全的网络连接。数据编码解码器8005执行数据的加密和解密。与安全相关的信息存储单元8006存储安全策略数据库(SPD)。
应用8007执行安全打印功能。应用8007通过LPD协议从主计算机接收加密的打印数据,并且临时将打印数据以其加密状态存储在图7中的硬盘7004上。然后,其对加密的打印数据解密,并且仅当确认操作来自授权用户时,将该打印数据传送到图像处理装置100。应用8008与图像处理装置100通信,并且控制图像处理装置100。
下面是参考图9的流程图,对图5中的图像处理装置100的协议处理器5002的处理的描述。
图9是描述根据该实施例的图像处理装置100的协议处理器5002的处理序列的流程图。当图像处理装置100的网络应用5004试图向LAN401传送包时执行该处理。执行该处理的程序存储在图3的ROM3014中,并且在CPU3012的控制下执行。
在步骤S1001中,CPU3012确定是否试图传送包。如果试图传送包,处理进入步骤S1002,其中确定SPD是否存储在与安全相关的信息存储单元5003内。如果CPU3012确定SPD存储在与安全相关的信息存储单元5003内,处理进入步骤S1003,其中CPU3012根据包的目的地IP地址查询SPD,并且确定是否应用IPSec。如果在步骤S1003确定应当应用IPSec,处理进入步骤S1004,其中CPU3012根据包的目的地IP地址查询SPD,选择使用的加密协议,并且获得相应于所选择的加密协议的包大小的增量X。
图10给出了示出了相应于IPSec加密协议的包结构的例子的示图。
参考号10001代表IP头。参考号10002代表ESP头,其中存储着安全参数索引(SPI)或用于SA识别的序列号。参考号10003代表用于加密算法的初始向量(IV)。参考号10004代表以IPSec加密的数据。参考号10005代表用于存储填充数据的ESP尾部、填充长度和下一个头。参考号10006代表用于存储相应于从ESP头到ESP尾部的字段的完整性检查值(ICV)的ESP认证数据。
在图10中所示的例子中,包大小的增量X是作为通过IPSec进行密码通信所需数据的ESP头10002、IV10003、ESP尾部10005和ESP认证数据10006的总和。
处理进入步骤S1005,其中通过从接收方通信介质的MTU中减去IP头、TCP/UDP头的大小和在步骤S1004中获得的增量X,确定将要传送的数据大小。首先,从MTU中减去IP头和TCP/UDP头的大小,以获得指定的数据大小,从中进一步减去在步骤S1004中获得的增量X,以便获得将要传送的数据大小。然后处理进入步骤S1006,其中CPU3012根据在步骤S1005中确定的将要传送的数据大小,将明文数据传送到扩展控制装置101。具体地说,图像处理装置100将图像数据分割为不大于将传送的数据大小的分段,并且将包含分割的图像数据、IP头和TCP/UDP头的包传送到扩展控制装置101。
在另一方面,如果在步骤S1002中SPD未存储在与安全相关的信息存储单元5003内,或如果在步骤S1003中确定不应用IPSec,处理进入步骤S1007,其中CPU3012将增量X设置为0,并且然后进入步骤S1005,并且在增量X设置为0的情况下执行处理。
下面是参考图11的流程图,对扩展控制装置101的协议处理器8004的处理的描述。执行该处理的程序存储在图7的ROM7003内,并且在CPU7001的控制下执行。
图11是描述根据该实施例的扩展控制装置101的协议处理器8004的处理序列的流程图。本环境假设图像处理装置100启动某种类型的与主计算机11的通信。
在步骤S2001中,扩展控制装置101的CPU7001确定第二网络接口21是否收到包。如果确定第二网络接口21已经收到包,处理进入步骤S2002,其中分析在LAN401上收到的包,并且确定包的接收方端口号是否是分配给应用8008的端口号。如果确定包的接收方端口号不是分配给应用8008的端口号,处理进入步骤S2003,其中CPU7001确定SPD是否存储在与安全相关的信息存储单元8006内。如果确定SPD存储在与安全相关的信息存储单元8006内,处理进入步骤S2004,其中CPU7001根据包的目的地IP地址查询SPD,并且确定是否应用IPSec。如果确定应当应用IPSec,处理进入步骤S2005,其中CPU7001确定是否已必须建立SA。如果确定已必须建立SA,处理进入步骤S2006,并且如果确定已经建立了SA,处理进入步骤S2008。在步骤S2006中,CPU7001通过第一网络接口20与相应于接收方地址的主计算机,例如,主计算机11,执行因特网密钥交换(IKE)。
在步骤S2007中,确定是否建立了SA。如果已经建立了SA,处理进入步骤S2008,其中CPU7001根据SA的参数在数据编码解码器8005内对包含在从图像处理装置100处接收的包内的明文数据加密。例如,在本情形下,对包含在从图像处理装置100处接收的包内的图像数据和TCP/UDP头加密。允许对包含在从图像处理装置100处接收的包内的TCP/UDP头加密,并且允许对新创建的TCP/UDP头加密。CPU7001产生ESP头、IV、ESP尾部和ESP认证数据。在步骤S2009中,CPU7001将在步骤S2008中加密的数据从第一网络接口20传送到主计算机11,并且处理终止。扩展控制装置101将ESP头、IV、ESP尾部、ESP认证数据和IP头附加到加密数据上,并且将包含加密数据、IP头、ESP头、IV、ESP尾部和ESP认证数据的包传送到主计算机11。经过图9中的处理,本情形中的包的大小将不大于MTU。
在另一方面,如果包的接收方端口号是分配给应用8008的端口号,处理进入步骤S2011,其中CPU7001将从图像处理装置100接收的明文数据传送到应用8008,并且处理终止。
如果在步骤S2003中,SPD未存储在与安全相关的信息存储单元8006内,或如果在步骤S2004中不应用IPSec,处理进入步骤S2010,其中CPU7001将从图像处理装置100接收的明文数据传送到主计算机11,并且处理终止。扩展控制装置101通过第一网络接口20传送包括包含在从图像处理装置100接收的包内的图像数据、TCP/UDP头和IP头的包。允许TCP/UDP头是包含在从图像处理装置100接收的包内的TCP/UDP头,或是新创建的TCP/UDP头。
图12是示出了根据该示例实施例的在图像处理装置100、扩展控制装置101和主计算机11间传送和接收包的状态的序列图。假设时间轴的方向是垂直的,从上到下。
扩展控制装置101将SPD传送到图像处理装置100(12001),以便通知图像处理装置100用户已经预先设置了扩展控制装置101。当图像处理装置100启动与主计算机11的某种类型的通信时,根据包的目的地地址查询SPD,并且确定传送数据大小。根据这样确定的传送数据大小,将明文数据传送到扩展控制装置101(12002)。扩展控制装置101执行IKE(12003)。根据SA的参数对明文数据加密,并且将加密的数据传送到接收方地址(12004)。重复该处理,直到完成数据传送为止。
虽然给出了根据该实施例的基于SPD确定将要传送的数据的大小的例子,本发明不限于此。允许例如在扩展控制装置101和主计算机间建立SA之后,从扩展控制装置101获得SA参数,并且根据SA参数的加密算法确定数据大小。
虽然根据示例实施例的描述示出了扩展控制装置101和图像处理装置100间的连接的形式是通过图像处理装置100包含的网络通信功能的,但本发明不限于此。允许例如扩展控制装置101和图像处理装置100间的连接的形式是通过图像处理装置100包含的扩展接口功能。
虽然根据示例实施例的描述示出了图像处理装置100从扩展控制装置101获得安全策略数据库(SPD),但本发明不限于此。允许将安全策略设置并保存在图像处理装置100内,允许扩展控制装置101从图像处理装置100获得安全策略数据库(SPD)。
允许如此处所述的根据本发明的程序代码和相关数据存储在软盘或CD-ROM上,并且从其提供给计算机。
通过将其上编写有软件(所述软件是执行该实施例的功能的控制程序)的程序代码的存储介质提供给计算机、图像处理装置100和扩展控制装置101,并且该计算机、图像处理装置100和扩展控制装置101的中央处理单元(CPU)装入并执行存储在该存储介质内的计算机代码,实现本发明的目的。将程序或数据提供给计算机的典型方法是将程序或数据存储在软盘上,并且通过软盘驱动器将程序或数据正确地提供给计算机。在该情形下,由从存储介质装入的程序代码本身实现该实施例的功能,从而使存储该程序代码的存储介质构成本发明。
作为提供程序代码的存储介质,除了软盘或硬盘驱动器之外,可以使用,例如,光盘、磁光盘、磁带、非易失存储器卡或ROM。由计算机、图像处理装置100和扩展控制装置101装入的程序代码的执行不是实现该实施例的仅有方法。更不用说还包括以由运行在计算机、图像处理装置100和扩展控制装置101上的操作系统或其它软件整个或部分地实际执行的处理实现该实施例的功能的情形。
虽然已经参考示例实施例描述了本发明,应当理解,本发明不限于公开的示例实施例。下面的权利要求的范围要赋予最宽的解释,从而包括所有这种修改以及等同结构和功能。

Claims (13)

1.一种信息处理系统,包括第一和第二信息处理装置,其中
第一信息处理装置包括:
第一接口,配置为通过第一网络与外部设备通信;
第二接口,配置为通过第二网络与第二信息处理装置通信;
加密单元,配置为对通过第二接口从第二信息处理装置接收的数据加密;和
第一传送单元,配置为通过第一接口,将附加了加密数据的传递所必需的数据的、由所述加密单元加密的数据传送到所述外部设备;和
第二信息处理装置包括:
第二传送单元,配置为根据从指定的数据大小中减去所述加密数据的传递所必需的数据的数据大小之后的数据大小,将数据传送到第一信息处理装置。
2.如权利要求1的系统,还包括:
决定单元,配置为根据所述加密数据的传递中采用的协议类型,决定所述加密数据的传递所必需的数据的数据大小。
3.如权利要求2的系统,其中第一信息处理装置将指示所述加密数据的传递中采用的协议类型的安全信息传送到第二信息处理装置。
4.如权利要求1的系统,还包括:
第三传送单元,配置为在不执行所述加密数据的传递的情况下,根据所述指定的数据大小将数据传送到第一信息处理装置。
5.如权利要求4的系统,其中第一信息处理装置将安全信息传送到第二信息处理装置,其中所述安全信息代表针对每个接收方在传送给定类型的数据时是否执行所述加密数据的传递。
6.如权利要求1的系统,其中所述加密数据的传递是根据IPSec的传递。
7.一种包括第一和第二信息处理装置的信息处理系统内的数据通信方法,包括步骤:
由第一信息处理装置对从第二信息处理装置接收的数据加密;
将附加了所述加密数据的传递所必需的数据的、在所述加密步骤中加密的数据从第一信息处理装置传送到外部设备;和
根据从指定的数据大小中减去所述加密数据的传递所必需的数据的数据大小之后的数据大小,将数据从第二信息处理装置传送到第一信息处理装置。
8.如权利要求7的方法,还包括根据所述加密数据的传递中采用的协议类型,决定所述加密数据的传递所必需的数据的数据大小的步骤。
9.如权利要求8的方法,其中第一信息处理装置将指示所述加密数据的传递中采用的协议类型的安全信息传送到第二信息处理装置。
10.如权利要求7的方法,还包括在不执行所述加密数据的传递的情况下,根据所述指定的数据大小将所述数据从第二信息处理装置传送到第一信息处理装置的步骤。
11.如权利要求10的方法,其中针对每个接收方,在传送给定类型的数据时,第一信息处理装置将指示是否执行所述加密数据的传递的安全信息传送到第二信息处理装置。
12.如权利要求7的方法,其中所述加密数据的传递是根据IPSec的传递。
13.一种信息处理装置,用于与将数据加密并传送到外部设备的另一个信息处理装置通信,包括:
数据分段单元,配置为根据从指定的数据大小中减去所述加密数据的传递所必需的数据的数据大小之后的数据大小,对数据分段;和
传送单元,配置为将由所述数据分段单元分段的数据传送到另一个信息处理装置。
CNA2007101367696A 2006-07-28 2007-07-27 信息处理装置和系统及属于该信息处理系统的数据通信方法 Pending CN101150578A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2006207172 2006-07-28
JP2006207172A JP2008035272A (ja) 2006-07-28 2006-07-28 情報処理システム及び当該システムにおけるデータ通信方法

Publications (1)

Publication Number Publication Date
CN101150578A true CN101150578A (zh) 2008-03-26

Family

ID=38987786

Family Applications (1)

Application Number Title Priority Date Filing Date
CNA2007101367696A Pending CN101150578A (zh) 2006-07-28 2007-07-27 信息处理装置和系统及属于该信息处理系统的数据通信方法

Country Status (3)

Country Link
US (1) US8261055B2 (zh)
JP (1) JP2008035272A (zh)
CN (1) CN101150578A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101582901B (zh) * 2008-05-15 2013-02-13 佳能株式会社 信息处理装置及其控制方法
CN118540159A (zh) * 2024-07-24 2024-08-23 之江实验室 一种基于ipsec的多会话设计系统及操作方法

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010278897A (ja) * 2009-05-29 2010-12-09 Renesas Electronics Corp 通信データ処理回路及び通信データ処理方法
US8949951B2 (en) 2011-03-04 2015-02-03 Red Hat, Inc. Generating modular security delegates for applications
US9112682B2 (en) 2011-03-15 2015-08-18 Red Hat, Inc. Generating modular security delegates for applications
US8635671B2 (en) * 2011-05-31 2014-01-21 Red Hat, Inc. Systems and methods for a security delegate module to select appropriate security services for web applications
US8677127B2 (en) * 2011-12-08 2014-03-18 Lantiq Deutschland Gmbh Method and apparatus for secure setup of an encrypted connection between two communication devices
JP6151906B2 (ja) * 2012-10-10 2017-06-21 キヤノン株式会社 通信装置及びその制御方法
IN2014DE02931A (zh) 2013-11-01 2015-06-26 Seiko Epson Corp
CN104615388B (zh) * 2013-11-01 2017-12-22 精工爱普生株式会社 打印控制系统
US10084820B2 (en) * 2015-02-27 2018-09-25 Konica Minolta Laboratory U.S.A., Inc. Method and system for IPSec security for IPP-USB data
US10051000B2 (en) * 2015-07-28 2018-08-14 Citrix Systems, Inc. Efficient use of IPsec tunnels in multi-path environment
JP6584487B2 (ja) * 2017-12-20 2019-10-02 キヤノン株式会社 情報処理装置、その制御方法およびプログラム
US11777708B2 (en) 2021-09-30 2023-10-03 International Business Machines Corporation Secure encryption of partial blocks

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000124950A (ja) * 1998-10-12 2000-04-28 Nec Corp 送受信パラメータ設定方法および送受信パラメータ設定装置
US6964008B1 (en) * 1999-11-12 2005-11-08 Maxtor Corporation Data checksum method and apparatus
JP2002044135A (ja) * 2000-07-25 2002-02-08 Mitsubishi Electric Corp 暗号装置及び暗号通信システム
US7552239B2 (en) 2001-05-14 2009-06-23 Canon Information Systems, Inc. Network device mimic support
CN1212575C (zh) 2001-12-11 2005-07-27 财团法人资讯工业策进会 通道间封包自动预留空间的系统与方法
JP3925218B2 (ja) * 2002-01-30 2007-06-06 ソニー株式会社 ストリーミングシステム及びストリーミング方法、ストリーミングサーバ及びデータ配信方法、クライアント端末及びデータ復号方法、並びにプログラム及び記録媒体
JP2003244194A (ja) * 2002-02-18 2003-08-29 Mitsubishi Electric Corp データ暗号装置及び暗号通信処理方法及びデータ中継装置
EP1503537A1 (en) * 2002-05-09 2005-02-02 Niigata Seimitsu Co., Ltd. Centralized encryption management system
JP2004282677A (ja) * 2003-01-21 2004-10-07 Canon Inc 画像処理方法
JP2005151021A (ja) * 2003-11-13 2005-06-09 Ntt Communications Kk パケット制御方法及びシステムならびにプログラム
US7451381B2 (en) * 2004-02-03 2008-11-11 Phonex Broadband Corporation Reliable method and system for efficiently transporting dynamic data across a network
JP2005318280A (ja) * 2004-04-28 2005-11-10 Canon Inc 画像処理システム、制御装置およびその制御方法
JP4324053B2 (ja) * 2004-08-16 2009-09-02 キヤノン株式会社 データ通信装置、その制御方法、及びプログラム
KR101131520B1 (ko) * 2004-10-28 2012-04-04 텔레콤 이탈리아 소시에떼 퍼 아찌오니 무선 단말을 구성하는 방법 및 네트워크 구조, 무선 단말,네트워크 노드 및 이를 위한 컴퓨터 프로그램 제품
JP4574341B2 (ja) * 2004-11-30 2010-11-04 京セラ株式会社 パケット通信装置、パケット通信システムおよびパケット通信制御方法
JP4672350B2 (ja) * 2004-12-06 2011-04-20 パナソニック電工株式会社 パケット長制御装置及び該方法並びにルータ装置
KR100748698B1 (ko) * 2006-03-17 2007-08-13 삼성전자주식회사 보안 통신 시스템의 패킷 처리 방법 및 그 장치

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101582901B (zh) * 2008-05-15 2013-02-13 佳能株式会社 信息处理装置及其控制方法
CN118540159A (zh) * 2024-07-24 2024-08-23 之江实验室 一种基于ipsec的多会话设计系统及操作方法

Also Published As

Publication number Publication date
US8261055B2 (en) 2012-09-04
JP2008035272A (ja) 2008-02-14
US20080028203A1 (en) 2008-01-31

Similar Documents

Publication Publication Date Title
CN101150578A (zh) 信息处理装置和系统及属于该信息处理系统的数据通信方法
US5835726A (en) System for securing the flow of and selectively modifying packets in a computer network
EP1418728B1 (en) Security communication method, system, and apparatus permitting to change the security type
CN101582901B (zh) 信息处理装置及其控制方法
EP1662356A2 (en) Information leakage prevention method and apparatus and program for the same
JP2007325274A (ja) プロセス間データ通信システムおよびプロセス間データ通信方法
CN101083607A (zh) 一种用于内外网络隔离的因特网访问服务器及其处理方法
CN100555934C (zh) 防止消息重放攻击的安全性
JP2008047085A (ja) Usbデバイスを用いるデータ保安システム、装置及び方法
JP4768327B2 (ja) 認証システム,情報処理装置,情報処理方法,およびコンピュータプログラム
JP2013156757A (ja) ネットワークに接続する機器、機器の制御方法、及びプログラム
JP2009159053A (ja) 情報処理装置、証明書管理方法、証明書管理プログラム
US20020156740A1 (en) Book on-demand system
JP3847343B2 (ja) コンピュータネットワークにおける通信のセキュリティのためのデータパケットを検査し選択的変更を施す方法及びシステム及びそのシステムの操作方法
CA2516680C (en) Loading media data into a portable data carrier
JP4442583B2 (ja) 画像処理装置、画像処理方法及び画像処理用プログラム
JP2008003782A (ja) 認証装置および端末装置のプログラムおよび画像形成装置および端末装置の制御方法および画像形成装置の制御方法
JP2007181945A (ja) 画像形成装置、出力判断プログラムおよび出力判断方法
JP2008092141A (ja) Ftp通信システム
JP4264644B2 (ja) データ処理方法およびデータ処理装置
JP7454936B2 (ja) 印刷システム、印刷装置および印刷制御方法
JP2005167870A (ja) データ処理方法およびデータ処理装置
CN105933276A (zh) 用于ipp-usb数据的ipsec安全性的方法和系统
JP4306466B2 (ja) 情報処理装置
JP4704414B2 (ja) 画像処理装置,送受信データ処理方法並びに送受信データ処理プログラム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C12 Rejection of a patent application after its publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20080326