JP4358069B2 - COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, PROGRAM, AND RECORDING MEDIUM - Google Patents

COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, PROGRAM, AND RECORDING MEDIUM Download PDF

Info

Publication number
JP4358069B2
JP4358069B2 JP2004238325A JP2004238325A JP4358069B2 JP 4358069 B2 JP4358069 B2 JP 4358069B2 JP 2004238325 A JP2004238325 A JP 2004238325A JP 2004238325 A JP2004238325 A JP 2004238325A JP 4358069 B2 JP4358069 B2 JP 4358069B2
Authority
JP
Japan
Prior art keywords
snmp
command
processing
request
setting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004238325A
Other languages
Japanese (ja)
Other versions
JP2006059011A (en
Inventor
学 中村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2004238325A priority Critical patent/JP4358069B2/en
Publication of JP2006059011A publication Critical patent/JP2006059011A/en
Application granted granted Critical
Publication of JP4358069B2 publication Critical patent/JP4358069B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Description

この発明は、SNMP(シンプル・ネットワーク・マネジメント・プロトコル:Simple Network Management Protocol)に従ってコマンドを処理する機能を有する通信装置、このような通信装置を制御する通信装置の制御方法、コンピュータをこのような通信装置として機能させるためのプログラム、およびこのようなプログラムを記録したコンピュータ読取可能な記録媒体に関する。   The present invention relates to a communication device having a function of processing a command in accordance with SNMP (Simple Network Management Protocol), a communication device control method for controlling such a communication device, and a computer for such communication. The present invention relates to a program for functioning as a device and a computer-readable recording medium on which such a program is recorded.

従来から、ネットワークを介した通信が可能な通信装置において、ネットワーク機器管理プロトコルであるSNMPに対応させるようにすることが行われている。このような通信装置としては、例えば、プリンタやデジタル複合機といったオフィス機器が挙げられる。そして、このSNMPに対応している機器は、SNMPマネージャと呼ばれる管理ツールにより、外部装置からでもネットワークを介して設定の参照や変更を行うことが可能である。
このようなSNMP対応機器に関する技術は、例えば特許文献1や特許文献2に記載されている。
特開2000−285066号公報 特開2003−316672号公報 2. Description of the Related Art Conventionally, communication apparatuses capable of communication via a network are adapted to support SNMP, which is a network device management protocol. Examples of such communication devices include office equipment such as printers and digital multi-function peripherals. A device that supports this SNMP can refer to or change settings from an external device via a network by using a management tool called an SNMP manager.
Technologies related to such SNMP-compatible devices are described in, for example, Patent Document 1 and Patent Document 2.
JP 2000-285066 A JP 2003-316672-A

また、近年では、装置の内部にSNMPマネージャと同等な機能を有するアプリケーションを搭載し、ウェブブラウザやtelnet(テルネット)クライアント等を利用して外部のPC(パーソナルコンピュータ)からアクセスして設定の参照や更新等を行うことができるようにした通信装置も開発されている。   Also, in recent years, an application having the same function as the SNMP manager is installed in the apparatus, and a setting reference is made by accessing from an external PC (personal computer) using a web browser, a telnet client, or the like. A communication device that can perform update or update has also been developed.

しかしながら、現在広く用いられているSNMPであるバージョン1(v1)やバージョン2(v2)では、ユーザ認証用の機能が特に設けられていない。そこで、コミュニティと呼ばれる文字列を実質的なパスワードとして利用し、アクセス時に使用するコミュニティに応じてアクセス可能な情報を制限することにより、セキュリティを確保するようにするといった対応を行うことが考えられる。   However, version 1 (v1) and version 2 (v2), which are currently widely used SNMP, are not particularly provided with a user authentication function. Therefore, it is conceivable to take measures such as securing security by using a character string called a community as a substantial password and restricting accessible information according to the community used at the time of access.

しかし、このような状況では、コミュニティ名さえ合致すれば、管理者用の権限で機器の設定を参照、変更することが可能となってしまう等、セキュリティの強度が低いと言わざるを得ないという問題があった。
特許文献2には、動的に生成したコミュニティ名を使用して設定変更の際のアクセス権限を確認するようにすることが記載されているが、特定のコミュニティ名を利用すればこの動的に生成したコミュニティ名を取得できてしまうため、やはりセキュリティ強度が十分とは言えない。 However, in this situation, as long as the community name matches, it is necessary to say that the strength of the security is low, such as it becomes possible to refer to and change the device settings with administrator rights. There was a problem.
Japanese Patent Application Laid-Open No. 2004-228620 describes that the access authority at the time of setting change is confirmed using a dynamically generated community name, but if a specific community name is used, this dynamic Since the generated community name can be acquired, the security strength is still not sufficient.

このような状況下であっても、全てのコミュニティ名について機器の設定の変更を許可しないようにしてしまえば、不正に設定を変更されてしまうような事態を防止することはできる。設定の参照についても同様である。しかし、このようにしてしまうと、ネットワークを介して機器の設定を参照したり変更したりすることが一切できなくなってしまい、機器の利便性が低下してしまうという問題があった。
この発明は、このような問題を解決し、SNMPに従ってコマンドを処理する機能を有する通信装置において、外部装置からの設定変更を可能にしながら、高いセキュリティを維持できるようにすることを目的とする。 Even in such a situation, if it is not allowed to change the setting of the device for all community names, a situation in which the setting is changed illegally can be prevented. The same applies to setting reference. However, if this is done, there is a problem in that it is impossible to refer to or change the settings of the device via the network and the convenience of the device is reduced.
An object of the present invention is to solve such problems and to maintain high security while enabling a setting change from an external device in a communication device having a function of processing a command according to SNMP.

上記の目的を達成するため、この発明の通信装置は、SNMPに従って、受け取ったコマンドに応じた処理を行う処理手段と、外部装置から受信したコマンドを上記処理手段が処理可能なコマンドに変換する内部SNMPマネージャと、上記処理手段が処理すべきコマンドが上記内部SNMPマネージャによって生成されたものか否かを識別する識別手段と、その手段の判断結果に基づいて上記処理手段による処理の内容を変更するアクセス制御手段とを設けたものである。   In order to achieve the above object, a communication device according to the present invention includes a processing unit that performs processing according to a received command according to SNMP, and an internal that converts a command received from an external device into a command that can be processed by the processing unit. An SNMP manager, an identification means for identifying whether or not a command to be processed by the processing means is generated by the internal SNMP manager, and the contents of processing by the processing means are changed based on a determination result of the means And an access control means.

このような通信装置において、上記アクセス制御手段に、上記内部SNMPマネージャによって生成されたものでないコマンドに応じた設定変更処理を上記処理手段に実行させないようにする手段を設けるとよい。
さらに、上記識別手段に、処理すべきコマンドを上記処理手段が受け取った際に用いたソケットの情報によってそのコマンドが上記内部SNMPマネージャによって生成されたものか否かを識別する手段を設けるとよい。 In such a communication apparatus, the access control means may be provided with means for preventing the processing means from executing a setting change process according to a command not generated by the internal SNMP manager.
Further, the identification means may be provided with means for identifying whether or not the command is generated by the internal SNMP manager based on the socket information used when the processing means receives the command to be processed.

また、この発明の通信装置の制御方法は、SNMPに従って、受け取ったコマンドに応じた処理を行う処理手段と、外部装置から受信したコマンドを上記処理手段が処理可能なコマンドに変更する内部SNMPマネージャとを有する通信装置を制御する通信装置の制御方法において、上記通信装置に、上記処理手段が処理すべきコマンドが上記内部SNMPマネージャによって生成されたものか否かを識別する識別手順と、その手順における判断結果に基づいて上記処理手段による処理の内容を変更するアクセス制御手順とを実行させるようにしたものである。   The communication device control method according to the present invention includes a processing unit that performs processing according to a received command in accordance with SNMP, and an internal SNMP manager that changes a command received from an external device to a command that can be processed by the processing unit. In the control method of the communication device for controlling the communication device having the above, an identification procedure for identifying whether or not the command to be processed by the processing means is generated by the internal SNMP manager in the communication device, An access control procedure for changing the content of processing by the processing means based on the determination result is executed.

また、この発明のプログラムは、コンピュータを、SNMPに従って、受け取ったコマンドに応じた処理を行う処理手段と、外部装置から受信したコマンドを上記処理手段が処理可能なコマンドに変更する内部SNMPマネージャと、上記処理手段が処理すべきコマンドが上記内部SNMPマネージャによって生成されたものか否かを識別する識別手段と、その手段の判断結果に基づいて上記処理手段による処理の内容を変更するアクセス制御手段として機能させるためのプログラムである。
また、この発明の記録媒体は、上記のプログラムを記録したコンピュータ読取可能な記録媒体である。 In addition, the program of the present invention includes a processing unit that performs processing according to a received command in accordance with SNMP, an internal SNMP manager that changes a command received from an external device to a command that can be processed by the processing unit, As identification means for identifying whether or not the command to be processed by the processing means is generated by the internal SNMP manager, and access control means for changing the contents of processing by the processing means based on the determination result of the means It is a program to make it function.
The recording medium of the present invention is a computer-readable recording medium on which the above program is recorded.

以上のようなこの発明の通信装置又は通信装置の制御方法によれば、SNMPに従ってコマンドを処理する機能を有する通信装置において、外部装置からの設定変更を可能にしながら、高いセキュリティを維持できるようにすることができる。
また、この発明のプログラムによれば、コンピュータを上記の通信装置として機能させてその特徴を実現し、同様な効果を得ることができる。
この発明の記録媒体によれば、上記のプログラムを記憶していないコンピュータにそのプログラムを読み出させて実行させ、上記の効果を得ることができる。 According to the communication apparatus or the communication apparatus control method of the present invention as described above, in a communication apparatus having a function of processing a command according to SNMP, it is possible to maintain high security while enabling setting change from an external apparatus. can do.
Further, according to the program of the present invention, the computer can be functioned as the above communication device to realize its characteristics, and similar effects can be obtained.
According to the recording medium of the present invention, the above effect can be obtained by causing a computer not storing the above program to read and execute the program.

以下、この発明を実施するための最良の形態について、図面を参照して説明する。
まず、この発明の通信装置の実施形態であるネットワーク機器の構成について説明する。図1は、そのネットワーク機器の構成を、そのネットワーク機器にアクセス可能なPC(パーソナルコンピュータ)と共に示したブロック図である。
図1に示したネットワーク機器10は、コピー、プリンタ、スキャナ、ファクシミリ通信等の種々の機能を有する画像処理装置であるデジタル複合機であり、CPU11,ROM12,RAM13,不揮発性メモリ(NVRAM)14,ネットワークI/F15,エンジン部16を備えている。 The best mode for carrying out the present invention will be described below with reference to the drawings.
First, the configuration of a network device that is an embodiment of a communication apparatus according to the present invention will be described. FIG. 1 is a block diagram showing the configuration of the network device together with a PC (personal computer) that can access the network device.
A network device 10 shown in FIG. 1 is a digital multi-function peripheral which is an image processing apparatus having various functions such as copying, printers, scanners, and facsimile communications, and includes a CPU 11, a ROM 12, a RAM 13, a non-volatile memory (NVRAM) 14, A network I / F 15 and an engine unit 16 are provided.

CPU11は、ネットワーク機器10全体を統括制御する制御手段であり、ROM12や不揮発性メモリ14に記録された種々のプログラムを実行することにより、処理手段,識別手段,アクセス制御手段等の各手段として機能し、後述するようにこの実施形態の特徴に係る種々の機能を実現する。
ROM12は、不揮発性の記憶手段であり、CPU11が実行するプログラムや、固定的なパラメータ等を記憶する。ROM12を書き換え可能な記憶手段として構成し、これらのデータをアップデートできるようにしてもよい。 The CPU 11 is a control unit that performs overall control of the network device 10 and functions as a unit such as a processing unit, an identification unit, and an access control unit by executing various programs recorded in the ROM 12 or the nonvolatile memory 14. As will be described later, various functions according to the features of this embodiment are realized.
The ROM 12 is a nonvolatile storage unit, and stores programs executed by the CPU 11, fixed parameters, and the like. The ROM 12 may be configured as a rewritable storage means so that these data can be updated.

RAM13は、一時的に使用するデータを記憶したり、CPU11のワークメモリとして使用したりする記憶手段である。
不揮発性メモリ14は、フラッシュメモリやHDD(ハードディスクドライブ)等による書き換え可能な不揮発性記憶手段であり、CPU11が実行するプログラムや、装置の電源がOFFされた後でも保持しておく必要があるパラメータの値等を記憶する。SNMPコマンドを用いて参照及び変更するMIB(Management Information Base)ツリー形式のデータには、この不揮発性メモリ14に記憶させるものもある。 The RAM 13 is storage means for storing temporarily used data or used as a work memory for the CPU 11.
The non-volatile memory 14 is a rewritable non-volatile storage means such as a flash memory or an HDD (hard disk drive), and is a program executed by the CPU 11 and parameters that need to be retained even after the apparatus is turned off. The value of etc. is memorized. Some MIB (Management Information Base) tree format data that is referred to and changed using an SNMP command is stored in the nonvolatile memory 14.

ネットワークインタフェース(I/F)15は、ネットワーク機器10をネットワーク30に接続するためのインタフェースであり、例えばイーサネット(登録商標)方式の通信を行うためのインタフェースである。そして、ネットワーク30を介して他の装置と通信を行う場合、このネットワークI/F15とCPU11とが通信手段として機能する。なお、ネットワーク30は、有線、無線を問わず種々の方式のものが使用可能であり、ネットワークI/F15は、ネットワーク30の規格や使用する通信プロトコル等に応じて適切なものを用意する。また、複数の規格に対応させて複数のネットワークI/F15を設けることも当然可能である。   The network interface (I / F) 15 is an interface for connecting the network device 10 to the network 30, and is an interface for performing, for example, Ethernet (registered trademark) communication. And when communicating with another apparatus via the network 30, this network I / F15 and CPU11 function as a communication means. Note that various types of networks 30 can be used regardless of whether they are wired or wireless, and an appropriate network I / F 15 is prepared according to the standard of the network 30, the communication protocol used, and the like. It is also possible to provide a plurality of network I / Fs 15 corresponding to a plurality of standards.

エンジン部16は、画像形成部、画像読取部、ファクシミリ通信ユニット等であり、CPU11がこれらの動作を適切に制御することにより、ネットワーク機器10にコピー、プリンタ、スキャナ、ファクシミリ通信等の種々の動作を実行させることができる。なお、この部分は、この実施形態の特徴とはあまり関係ないため、図示は簡単なものに留めている。   The engine unit 16 is an image forming unit, an image reading unit, a facsimile communication unit, and the like. When the CPU 11 appropriately controls these operations, the network unit 10 performs various operations such as copying, printers, scanners, and facsimile communication. Can be executed. Since this part is not so much related to the feature of this embodiment, the illustration is kept simple.

以上のようなネットワーク機器10は、ここでは、ネットワーク30を介してPC20と通信可能としている。また、このネットワーク機器10は、後述するようにSNMPに対応しており、PC20から種々のクライアントを用いてアクセスすることにより、設定されているパラメータの値の参照や変更が可能である。   The network device 10 as described above can communicate with the PC 20 via the network 30 here. The network device 10 is compatible with SNMP as will be described later, and it is possible to refer to or change the set parameter values by accessing the PC 20 using various clients.

次に、図2に、ネットワーク機器10及びPC20における、この実施形態の特徴に関連する部分のソフトウェア構成を示す。なお、以下の説明において、説明を簡単にするため、CPUがソフトウェアを実行することによって実現される機能について、ソフトウェアがその機能を有する、あるいはソフトウェアによってその機能が実現される、等の表現を用いることもある。   Next, FIG. 2 shows a software configuration of a part related to the feature of this embodiment in the network device 10 and the PC 20. In the following description, in order to simplify the description, expressions such as the software having the function or the function being realized by the software are used for the function realized by the CPU executing the software. Sometimes.

図2に示すように、ネットワーク機器10においてこの実施形態の特徴に関連する機能を実現するためのソフトウェアは、主としてネットワークモジュール100とウェブモジュール140である。
そして、ネットワークモジュール100は、ネットワークを介した通信に関する機能を提供するためのプログラムモジュールであり、ネットワーク機器10が利用可能な通信プロトコル毎に、そのプロトコルによる通信を行う機能を提供するためのデーモンと呼ばれるプログラムを含む。 As shown in FIG. 2, software for realizing the functions related to the features of this embodiment in the network device 10 is mainly the network module 100 and the web module 140.
The network module 100 is a program module for providing a function related to communication via the network, and a daemon for providing a function for performing communication according to the protocol for each communication protocol that the network device 10 can use. Contains a called program.

ここでは、ネットワークモジュールはHTTP(Hypertext Transfer Protocol)デーモン110,Telnet(テルネット)デーモン120,SNMPデーモン130の3種のデーモンを含む。
そして、HTTPデーモン110は、HTTPによる通信を可能とし、ウェブ(Web)サーバ機能を提供するプロトコルデーモンである。ウェブモジュール140は、このHTTPデーモン110を利用してウェブページを提供する機能を有している。 Here, the network module includes three types of daemons: an HTTP (Hypertext Transfer Protocol) daemon 110, a Telnet (telnet) daemon 120, and an SNMP daemon 130.
The HTTP daemon 110 is a protocol daemon that enables communication by HTTP and provides a Web server function. The web module 140 has a function of providing a web page using the HTTP daemon 110.

また、Telnetデーモン120は、Telnetプロトコルによる通信を可能とし、Telnetサーバ機能を提供するプロトコルデーモンである。また、Telnetデーモン120は、SNMPライブラリ121とリンクしており、このSNMPライブラリ121を利用することにより、Telnetプロトコルで受信したPC20等の外部装置からのTelnetコマンドを、SNMPデーモン130が処理可能なSNMPコマンドに変換し、そのコマンドをSNMPデーモン130に渡して処理させる機能も有する。なお、SNMPライブラリ121は、内部SNMPマネージャの機能を提供するためのモジュールである。   The Telnet daemon 120 is a protocol daemon that enables communication using the Telnet protocol and provides a Telnet server function. The Telnet daemon 120 is linked to the SNMP library 121. By using this SNMP library 121, the SNMP daemon 130 can process a Telnet command received from the external device such as the PC 20 by the Telnet protocol. It also has a function of converting to a command and passing the command to the SNMP daemon 130 for processing. The SNMP library 121 is a module for providing the function of the internal SNMP manager.

また、SNMPデーモン130は、SNMPによる通信(SNMPコマンドの受信とそれに対する応答の送信)を可能とするためのプロトコルデーモンであり、SNMPマスターエージェントの機能を提供する。そして、SNMPコマンドは、SNMPリクエストに記載された状態で受信するが、PC20のような外部装置に備えたSNMPマネージャから受信することもできるし、ネットワーク機器10内部のSNMPライブラリ121,142から受信することもできる。また、どちらから受信したコマンドでも同じように処理することは可能であるが、ここでは、機器内部からのコマンドと外部からのコマンドとで異なる取扱いをするようにしている。そしてこのため、SNMPデーモン130には要求元判断部131と権限確認部132の機能を提供するためのモジュールを設けている。   The SNMP daemon 130 is a protocol daemon for enabling communication by SNMP (reception of SNMP commands and transmission of responses thereto), and provides the function of an SNMP master agent. The SNMP command is received in the state described in the SNMP request, but can also be received from an SNMP manager provided in an external device such as the PC 20 or received from the SNMP libraries 121 and 142 inside the network device 10. You can also. In addition, although it is possible to process the command received from either one in the same way, here, the command from the inside of the device and the command from the outside are handled differently. For this reason, the SNMP daemon 130 is provided with a module for providing the functions of the request source determination unit 131 and the authority confirmation unit 132.

そして、要求元判断部131は、SNMPデーモン130がSNMPリクエストを受け取った際に用いたソケットの情報を用いて、そのSNMPリクエストが機器内部からのものか外部からのものかを識別する機能を有する。また、その判断結果に応じたファミリータイプ(familytype)の情報を、SNMPリクエストに追加する機能も有し、ここでは識別手順の処理を実行する識別手段に該当する。   The request source determination unit 131 has a function of identifying whether the SNMP request is from the inside of the device or from the outside, using information on the socket used when the SNMP daemon 130 receives the SNMP request. . Moreover, it also has a function of adding information on a family type according to the determination result to the SNMP request, and here corresponds to an identification unit that executes the process of the identification procedure.

ここで、上記のソケットとは、プロセス間通信を行うための通信のエンドポイントのことである。そして、機器内部で通信を行う場合と機器の外部との通信を行う場合とで使用するソケットが異なる。従って、SNMPデーモン130がSNMPリクエストを受け取る際にどのソケットを使用したかがわかれば、特に送信元を認証するような処理を行わなくても、その送信元が機器の内部であるか外部であるかを識別することができるのである。   Here, the socket is a communication endpoint for performing inter-process communication. The socket used differs depending on whether communication is performed inside the device or communication with the outside of the device. Therefore, if the SNMP daemon 130 knows which socket is used when receiving the SNMP request, the transmission source is inside or outside of the device without performing a process for particularly authenticating the transmission source. Can be identified.

なお、同じ外部との通信であっても、SNMPデーモン130に係るプロセスが、他のプロセスとの通信を複数種類の下位プロトコルを用いて行う場合、例えばIP(Internet Protocol)とIPX(Internetwork Packet eXchange)を用いる場合、使用するプロトコル毎に異なるソケットを設ける場合もある。そして、このような場合には、ソケットの情報により通信に使用した下位プロトコルも識別することができる。しかし、ここまで識別することは必須ではなく、最低限機器の内部か外部かが識別できればよい。ファミリータイプとして記載する情報についても、同様である。   Note that, even when communication is performed with the same external device, when a process related to the SNMP daemon 130 performs communication with other processes using a plurality of lower-level protocols, for example, IP (Internet Protocol) and IPX (Internetwork Packet eXchange) ), A different socket may be provided for each protocol used. In such a case, the lower protocol used for communication can also be identified by the socket information. However, identification up to this point is not indispensable, and it is only necessary to identify the inside or the outside of the device as a minimum. The same applies to information described as a family type.

また、権限確認部132は、要求元判断部131が取得した、SNMPリクエストの送信元の情報と、そのリクエストに記載されているコミュニティ(Community)の情報を用い、受信したSNMPリクエストに記載されているSNMPコマンドの実行を許可してよいか否かを判断する機能を有し、ここではアクセス制御手順の処理を実行するアクセス制御手段に該当する。そして、この判断は、内部用コミュニティ情報管理テーブル133,外部用コミュニティ情報管理テーブル134,MIBビューテーブル135を参照して行う。
これら各テーブルの内容及び、権限確認部132によるコマンド実行可否確認に係る処理の内容は後述するが、権限確認部132がコマンドを実行してよいと判断した場合には、SNMPデーモン130はそのコマンドをSNMPサブエージェント160に渡し、コマンドに係る処理を実行させる。 In addition, the authority confirmation unit 132 uses the SNMP request transmission source information acquired by the request source determination unit 131 and the community information described in the request, and is described in the received SNMP request. This function corresponds to an access control means for executing the process of the access control procedure. This determination is made with reference to the internal community information management table 133, the external community information management table 134, and the MIB view table 135.
The contents of each of these tables and the contents of processing related to confirmation of command execution by the authority confirmation unit 132 will be described later. If the authority confirmation unit 132 determines that the command can be executed, the SNMP daemon 130 Is sent to the SNMP subagent 160 to execute processing related to the command.

なお、SNMPサブエージェント160は、SNMPマスターエージェントであるSNMPデーモン130からのコマンドを受け付け、そのコマンドに係る処理、例えば不揮発性メモリ14に記憶しているMIB情報の参照や変更等を行って、適切な応答を返す機能を実現するプログラムである。またここでは、FAXサブエージェント、コピーサブエージェント等、ネットワーク機器10が備えるひとまとまりの機能毎にSNMPサブエージェント160を設けるようにしている。また、SNMPデーモン130とSNMPサブエージェント160とで処理手段の機能を実現する。
また、SNMPデーモン130は、SNMPサブエージェント160からコマンドに対する応答を受け取ると、この応答を、必要であれば適当な形式に変換して、SNMPリクエストの送信元に返す機能も有する。 The SNMP subagent 160 accepts a command from the SNMP daemon 130, which is an SNMP master agent, and performs processing related to the command, for example, references and changes of MIB information stored in the nonvolatile memory 14, and the like. It is a program that realizes a function that returns a simple response. Here, an SNMP subagent 160 is provided for each function of the network device 10 such as a FAX subagent or a copy subagent. Further, the SNMP daemon 130 and the SNMP subagent 160 realize the function of the processing means.
In addition, when receiving a response to the command from the SNMP subagent 160, the SNMP daemon 130 has a function of converting this response into an appropriate format if necessary and returning it to the source of the SNMP request.

次に、ウェブモジュール140は、ウェブのGUI(グラフィカル・ユーザ・インタフェース)を用いてネットワーク機器10における設定の参照や変更等を行う機能を提供するモジュールである。
そして、HTTPデーモン110を介してHTTPリクエストを受信し、WWWライブラリ(ワールド・ワイド・ウェブ・ライブラリ:libwww)141によってHTTPリクエストによる要求の内容を解釈し、その要求がウェブページの表示であれば、HTTPレスポンスにそのページのデータを記載して返す等の動作を行う。このウェブページには、ネットワーク機器10における設定の参照や変更を指示するためのGUIを含むページや、内容が動的に生成されるページも含む。 Next, the web module 140 is a module that provides a function to refer to or change settings in the network device 10 using a web GUI (graphical user interface).
Then, an HTTP request is received via the HTTP daemon 110, the content of the request by the HTTP request is interpreted by the WWW library (world wide web library: libwww) 141, and if the request is a display of a web page, An operation such as returning the data of the page in the HTTP response is performed. This web page includes a page including a GUI for instructing reference or change of settings in the network device 10 and a page whose contents are dynamically generated.

また、ウェブモジュール140は、SNMPライブラリ142とリンクしており、HTTPリクエストによる要求の内容が、ネットワーク機器10における設定の参照や変更であった場合には、その内容をSNMPライブラリ142に渡してSNMPデーモン130が処理可能なSNMPコマンドを含むSNMPリクエストに変換させる。そして、SNMPデーモン130にそのSNMPリクエストを渡してコマンドに係る処理を実行させ、その結果をHTTPレスポンスに記載してHTTPリクエストの送信元に返す機能も有する。この結果は、結果を記載したウェブページのデータとして返すこともできる。
なお、SNMPライブラリ142は、図2にはSNMPライブラリ121と別々に示しているが、これらを共通のモジュールとし、Telnetデーモン120とウェブモジュール140から共通にリンクされるような構成としてもよい。 The web module 140 is linked to the SNMP library 142. When the content of the request by the HTTP request is the reference or change of the setting in the network device 10, the content is passed to the SNMP library 142 and sent to the SNMP library 142. The daemon 130 is converted into an SNMP request including an SNMP command that can be processed. It also has a function of passing the SNMP request to the SNMP daemon 130 to execute a process related to the command, writing the result in an HTTP response, and returning it to the sender of the HTTP request. This result can also be returned as web page data describing the result.
Although the SNMP library 142 is shown separately from the SNMP library 121 in FIG. 2, these may be configured as a common module and linked in common from the Telnet daemon 120 and the web module 140.

一方、PC20は、ネットワーク機器10にアクセスするためのプログラムとして、HTTPクライアント21,Telnetクライアント22,SNMPマネージャ23を備えている。
HTTPクライアント21としては、例えばウェブブラウザを用いることができ、HTTPリクエストをネットワーク機器10に送信することができる。そして、ネットワーク機器10の設定の参照や変更を行うためのGUIを含むウェブページのデータをネットワーク機器10から取得して表示したり、そのGUIから設定の参照や変更を指示したりすることができる。 On the other hand, the PC 20 includes an HTTP client 21, a Telnet client 22 and an SNMP manager 23 as programs for accessing the network device 10.
For example, a web browser can be used as the HTTP client 21, and an HTTP request can be transmitted to the network device 10. Then, the web page data including the GUI for referring to or changing the setting of the network device 10 can be acquired from the network device 10 and displayed, or the setting reference or change can be instructed from the GUI. .

図3に、このHTTPクライアント21に表示させるGUIの例を示す。
このGUI画面210は、ネットワーク機器10の名前を始めとするいくつかの設定を指示する画面である。そして、GUI画面210を表示する際には、(ネットワーク機器10が情報の参照を許可すれば、)画面上の各項目に、表示時点での設定内容を表示するようにしている。
そして、例えば名前設定欄211にネットワーク機器10に設定したい名前を入力して適用ボタン213を押下すると、ネットワーク機器10に名前の設定を要求するコマンドを送信することができる。この場合のデータの流れは、図2では実線の矢印で示している。そして、このコマンドは、HTTPリクエストに記載されてネットワーク機器10に送信され(図2のS11)、HTTPデーモン110を介してウェブモジュール140のWWWライブラリ141に渡され(S12)、SNMPライブラリ142によってSNMPコマンドに変換されてSNMPデーモン130に渡される(S13)。 FIG. 3 shows an example of a GUI displayed on the HTTP client 21.
This GUI screen 210 is a screen for instructing several settings including the name of the network device 10. When the GUI screen 210 is displayed, the setting contents at the time of display are displayed in each item on the screen (if the network device 10 permits the reference of information).
For example, when a name to be set for the network device 10 is input in the name setting field 211 and the apply button 213 is pressed, a command for requesting the name setting to the network device 10 can be transmitted. The data flow in this case is indicated by solid arrows in FIG. This command is described in the HTTP request and transmitted to the network device 10 (S11 in FIG. 2), passed to the WWW library 141 of the web module 140 via the HTTP daemon 110 (S12), and is sent to the SNMP library 142 by the SNMP library 142. It is converted into a command and passed to the SNMP daemon 130 (S13).

そして、権限確認部132がその実行を許可した場合、SNMPデーモン130がコマンドをSNMPサブエージェント160に渡して実行させて結果を取得し(S15,S16)、SNMPライブラリ142に返す(S17)。権限確認部132が実行を許可しなかった場合には、その旨の応答をSNMPライブラリ142に返す。そして、SNMPライブラリ142はこの結果をWWWライブラリ141に渡し、WWWライブラリが設定処理の結果を含むHTTPレスポンスを生成し、HTTPデーモン110を介してHTTPクライアント21に返す(S17,S18)。HTTPクライアント21は、受け取ったHTTPレスポンスの情報に基づいて設定結果を示すウェブページを表示する。
また、GUI画面210において表示更新ボタン212を押下すると、ネットワーク機器10に上記の場合と同様に設定内容を参照するコマンドを送信し、その実行が許可されれば、GUI画面210を最新の設定内容を反映させた表示に更新することができる。 If the authority confirmation unit 132 permits the execution, the SNMP daemon 130 passes the command to the SNMP subagent 160 for execution (S15, S16), and returns the result to the SNMP library 142 (S17). When the authority confirmation unit 132 does not permit the execution, a response to that effect is returned to the SNMP library 142. Then, the SNMP library 142 passes this result to the WWW library 141, and the WWW library generates an HTTP response including the result of the setting process, and returns it to the HTTP client 21 via the HTTP daemon 110 (S17, S18). The HTTP client 21 displays a web page indicating a setting result based on the received HTTP response information.
When the display update button 212 is pressed on the GUI screen 210, a command for referring to the setting content is transmitted to the network device 10 as in the above case, and if the execution is permitted, the GUI screen 210 is updated with the latest setting content. The display can be updated to reflect the above.

また、Telnetクライアント22は、Telnetプロトコルを用いてネットワーク機器10にアクセスするためのプログラムである。そして、Telnetクライアント22を用いてネットワーク機器10にログインした後所定のコマンドを入力することにより、ネットワーク機器10に設定の参照、変更等を指示することができる。   The Telnet client 22 is a program for accessing the network device 10 using the Telnet protocol. Then, by logging in to the network device 10 using the Telnet client 22 and inputting a predetermined command, the network device 10 can be instructed to refer to or change the setting.

図4に、Telnetクライアント22を用いて設定の変更を指示する場合の動作画面の例を示す。
この例において、動作画面220中の符号221で示す部分は、IPアドレスを指定してネットワーク機器10にアクセスする処理に対応する部分、符号222で示す部分は、パスワードを入力してネットワーク機器10にログインする処理に対応する部分、符号223で示す部分が、コマンドラインからネットワーク機器10の名称を「test」に変更するコマンドを入力してネットワーク機器10に実行させる処理に対応する部分の表示である。 FIG. 4 shows an example of an operation screen in the case of instructing change of settings using the Telnet client 22.
In this example, the part indicated by reference numeral 221 in the operation screen 220 corresponds to the process of specifying the IP address to access the network apparatus 10, and the part indicated by reference numeral 222 is input to the network apparatus 10 by entering a password. The part corresponding to the process of logging in, the part indicated by reference numeral 223 is the display of the part corresponding to the process of inputting the command for changing the name of the network device 10 to “test” from the command line and causing the network device 10 to execute it. .

この場合のデータの流れは、図2では一点鎖線の矢印で示している。この場合、Telnetクライアント22からネットワーク機器10へは、コマンドはTelnetコマンドとして送信され、ネットワーク機器10側ではTelnetデーモン120がこのコマンドを受け取ってSNMPライブラリ121に渡し(図2のS21)、SNMPライブラリ121がこのコマンドをSNMPコマンドに変換してSNMPデーモン130に渡す(S22)。   The flow of data in this case is indicated by a dashed line arrow in FIG. In this case, the command is transmitted as a Telnet command from the Telnet client 22 to the network device 10, and on the network device 10 side, the Telnet daemon 120 receives this command and passes it to the SNMP library 121 (S21 in FIG. 2). The command is converted into an SNMP command and passed to the SNMP daemon 130 (S22).

SNMPデーモン130における処理は、上記のHTTPクライアント21の場合と同様であるので説明を省略するが、SNMPデーモン130はコマンドの実行結果あるいは実行を許可できない旨の結果をSNMPライブラリ121に返し(S28)、Telnetデーモン120がこれを受け取ってTelnetコマンドに対する応答に変換し、Telnetクライアント22に返す(S29)。
そして、Telnetクライアント22は受け取った応答に基づいてコマンドの実行結果を表示する。 The process in the SNMP daemon 130 is the same as that in the case of the HTTP client 21 described above, and thus the description thereof will be omitted. However, the SNMP daemon 130 returns a command execution result or a result indicating that execution cannot be permitted to the SNMP library 121 (S28). The Telnet daemon 120 receives this, converts it into a response to the Telnet command, and returns it to the Telnet client 22 (S29).
Then, the Telnet client 22 displays the command execution result based on the received response.

また、SNMPマネージャ23は、PC20からSNMPに対応した機器を管理するためのプログラムであり、SNMPコマンドを生成してネットワーク機器10に送信する機能を有する。   The SNMP manager 23 is a program for managing a device corresponding to SNMP from the PC 20 and has a function of generating an SNMP command and transmitting it to the network device 10.

図5にSNMPマネージャ23を用いて設定の変更を指示する場合の動作画面の例を示す。
この図に示すように、ここで用いるSNMPマネージャ23においては、ウィザード形式のユーザインタフェースを用意しており、ユーザがプログラムからの質問に対して必要や回答を入力や選択することにより、ネットワーク機器10の設定を行うことができるようにしている。そして、図5に示す設定画面230は、ネットワーク機器10に設定する名前を入力する画面であり、例えば、名前入力部231に名前を入力し、次画面キー232を押下してその後の指示に従うことにより、ネットワーク機器10に名前の変更を要求するコマンドを含むSNMPリクエストを送信することができる。 FIG. 5 shows an example of an operation screen in the case where a setting change is instructed using the SNMP manager 23.
As shown in this figure, the SNMP manager 23 used here has a wizard-type user interface. When the user inputs or selects a necessary or answer to a question from a program, the network device 10 is selected. It is possible to set. The setting screen 230 shown in FIG. 5 is a screen for inputting a name to be set for the network device 10. For example, the name is input to the name input unit 231 and the next screen key 232 is pressed to follow the subsequent instructions. Thus, an SNMP request including a command for requesting the network device 10 to change the name can be transmitted.

この場合のデータの流れは、図2では破線の矢印で示している。この場合において、SNMPマネージャ23からネットワーク機器10へは、SNMPコマンドを直接送信することができる。そして、ネットワーク機器10側ではSNMPデーモン130がこれを受け取る(図2のS31)。
SNMPデーモン130における処理は、権限確認部132におけるコマンド実行可否の判断に係る後述の処理を除けば上記のHTTPクライアント21の場合と同様であるので、説明を省略するが、SNMPデーモン130はコマンドの実行結果あるいは実行を許可できない旨の結果をSNMPマネージャ23に返すことができる(S34)。
そして、SNMPマネージャ23は、受け取った結果に基づいて、ユーザにその内容を通知する画面を表示させることができる。 The data flow in this case is indicated by broken-line arrows in FIG. In this case, an SNMP command can be directly transmitted from the SNMP manager 23 to the network device 10. Then, on the network device 10 side, the SNMP daemon 130 receives this (S31 in FIG. 2).
The processing in the SNMP daemon 130 is the same as that in the case of the above HTTP client 21 except for the processing described later relating to the determination of whether or not the command can be executed in the authority confirmation unit 132. The execution result or the result indicating that the execution cannot be permitted can be returned to the SNMP manager 23 (S34).
Then, the SNMP manager 23 can display a screen for notifying the user of the contents based on the received result.

このように、ユーザは、HTTPクライアント21,Telnetクライアント22,SNMPマネージャ23のいずれのプログラムを利用しても、PC20からネットワーク30を介してネットワーク機器10にアクセスし、設定の参照や変更を指示することができる。ただし、その実行が許可されるか否かは、ネットワーク機器10側の設定内容に依存する。   In this way, the user accesses the network device 10 from the PC 20 via the network 30 to instruct reference or change of settings regardless of which program of the HTTP client 21, Telnet client 22, and SNMP manager 23 is used. be able to. However, whether or not the execution is permitted depends on the setting contents on the network device 10 side.

次に、権限確認部132によるコマンド実行可否確認に係る処理について、この処理に使用する各テーブルの内容と併せて説明する。
まず、図6に、内部用コミュニティ情報管理テーブル133の例を示す。
このテーブルは、権限確認部132が、対象のSNMPリクエストがネットワーク機器10の内部から受け取ったものであると判断した場合に参照するテーブルである。そして、内部から受信するSNMPリクエストに記載されていることが想定されるコミュニティ名(「コミュニティ名」の項目)毎に、MIBツリーのうちリードアクセス(参照)を許可してよい範囲(「read」の項目)とライトアクセス(変更)を許可してよい範囲とを示す情報(「write」の項目)を記載しておく。 Next, processing related to command execution permission confirmation by the authority confirmation unit 132 will be described together with the contents of each table used for this processing.
First, FIG. 6 shows an example of the internal community information management table 133.
This table is referred to when the authority confirmation unit 132 determines that the target SNMP request is received from the inside of the network device 10. Then, for each community name (item of “community name”) assumed to be described in the SNMP request received from inside, a range (“read”) in which read access (reference) may be permitted in the MIB tree. Item) and information (“write” item) indicating the range in which write access (change) may be permitted.

なお、read及びwriteの項目には、アクセスを許可する範囲をビュー(View)という情報を用いて記載し、ここで使用したビューの内容は、MIBビューテーブル135で定義するようにしている。
図6に示した例では、コミュニティ名が「internal」であった場合に、参照も変更も、MIBツリーのうち「View1」で定義される範囲について許可してよいことを示している。 In the read and write items, the access permitted range is described using information called view, and the contents of the view used here are defined in the MIB view table 135.
In the example illustrated in FIG. 6, when the community name is “internal”, both reference and change may be permitted for the range defined by “View1” in the MIB tree.

また、図7に、外部用コミュニティ情報管理テーブル134の例を示す。
このテーブルは、権限確認部132が、対象のSNMPリクエストがネットワーク機器10の外部から受け取ったものであると判断した場合に参照するテーブルである。そして、このテーブルには、外部から受信するSNMPリクエストに記載されていることが想定されるコミュニティ名毎に、上記の内部用コミュニティ情報管理テーブル133の場合と同様、MIBツリーのうちリードアクセス(参照)を許可してよい範囲(「read」の項目)とライトアクセス(変更)を許可してよい範囲とを示す情報(「write」の項目)を記載しておく。 FIG. 7 shows an example of the external community information management table 134.
This table is a table that is referred to when the authority confirmation unit 132 determines that the target SNMP request is received from outside the network device 10. Then, in this table, for each community name assumed to be described in the SNMP request received from the outside, as in the case of the internal community information management table 133, read access (reference) ) (Information “write”) indicating a range in which permission is permitted (item “read”) and a range in which write access (change) is permitted.

図7に示した例では、コミュニティ名が「public」であった場合に、参照はMIBツリーのうち「View1」で定義される範囲について、変更は同じく「View0」で定義される範囲について許可してよいことを示している。また、コミュニティ名が「admin」であった場合に、参照はMIBツリーのうち「View1」で定義される範囲について、変更は同じく「View2」で定義される範囲について許可してよいことを示している。   In the example shown in FIG. 7, when the community name is “public”, the reference is permitted for the range defined by “View1” in the MIB tree, and the change is also permitted for the range defined by “View0”. It is good. In addition, when the community name is “admin”, the reference indicates that the range defined by “View1” in the MIB tree may be permitted, and the change may also be permitted for the range defined by “View2”. Yes.

また、図8に、MIBビューテーブル135の例を示す。
このテーブルは、上述したとおり、各コミュニティ情報管理テーブルでアクセスを許可してよいMIBツリーの範囲を定めるビューの定義を記載したテーブルである。そして、ビューの種類(「ビュー名」の項目)毎に、アクセスを許可する範囲を指定するかアクセスを許可しない範囲を指定するかを示す情報と(「指定モード」の項目)、MIBツリーのうちアクセスを許可する範囲あるいは許可しない範囲の内容を示す情報(「対象ツリー」の項目)を記載しておく。 FIG. 8 shows an example of the MIB view table 135.
As described above, this table describes the definition of the view that defines the range of the MIB tree that may be permitted to be accessed in each community information management table. For each view type ("view name" item), information indicating whether to specify a range where access is permitted or a range where access is not permitted (item of "designation mode"), the MIB tree Among them, information indicating the contents of the range where access is permitted or not permitted (item of “target tree”) is described.

なお、アクセスを許可する範囲を指定する場合には、「対象ツリー」の項目に記載された範囲のみに対するアクセスを許可し、アクセスを許可しない範囲を指定する場合には、「対象ツリー」の項目に記載された範囲以外の範囲のみに対するアクセスを許可するような指定が可能である。また、「対象ツリー」には、不連続な複数の範囲を記載することも可能である。
図8に示した例では、「View1」のビューについては、MIBツリーの「1.3.6.1」で示される範囲、すなわち全ての範囲についてアクセスを許可する旨を定義している。また、「Viwe2」のビューについては、MIBツリーの「1.3.6.1.2.1.1」で示される範囲、すなわちシステム設定に係る範囲についてのみアクセスを許可する旨を定義している。また、「View0」のビューについては、MIBツリーの全ての範囲についてアクセスを許可しない旨を定義している。 When specifying a range to allow access, only allow access to the range described in the “Target Tree” item, and to specify a range not to allow access, specify the “Target Tree” item. It is possible to specify that access is permitted only to a range other than the range described in. In addition, a plurality of discontinuous ranges can be described in the “target tree”.
In the example illustrated in FIG. 8, for the view “View 1”, it is defined that access is permitted for the range indicated by “1.3.6.1” of the MIB tree, that is, for all ranges. The view of “Viwe2” defines that access is permitted only for the range indicated by “1.3.6.1.2.1.1” of the MIB tree, that is, the range related to system settings. For the view “View 0”, it is defined that access is not permitted for the entire range of the MIB tree.

権限確認部132は、あるSNMPリクエストに記載されたSNMPコマンドの実行可否を判断する場合、まずSNMPリクエストに記載されたfamilytypeの情報(要求元判断部131が付加するものである)を参照し、そのSNMPリクエストがネットワーク機器10の内部から受信したものか外部から受信したものかを判断する。
例えば、familytypeがSNMPライブラリ121又は142を示す「AF_SNMPLIB」であれば、内部から受信したと判断できるし、IPを用いて受信したことを示す「AF_INET」であれば、外部から受信したと判断できる。 When determining whether or not to execute an SNMP command described in a certain SNMP request, the authority confirmation unit 132 first refers to the information of the familytype described in the SNMP request (added by the request source determination unit 131), It is determined whether the SNMP request is received from the inside of the network device 10 or received from the outside.
For example, if the “family_type” is “AF_SNMPLIB” indicating the SNMP library 121 or 142, it can be determined that it has been received from the inside, and if “AF_INET” indicating that it has been received using IP, it can be determined that it has been received from the outside. .

そして、内部から受信したものであった場合には内部用コミュニティ情報管理テーブル133を参照して、外部から受信したものであった場合には外部用コミュニティ情報管理テーブル134を参照して、SNMPリクエストに記載されているコミュニティ名と、コマンドの内容が設定の参照か変更かという情報とに基づいて、アクセスを許可してよい範囲を示すビューの情報を取得し、MIBビューテーブル135を参照してそのビューの定義を取得する。
そして、コマンドによる参照や変更の対象がアクセスを許可できる範囲内であれば、コマンドの実行を許可し、そうでない場合にはコマンドの実行を拒否するようにしている。 If it is received from the inside, the internal community information management table 133 is referred to, and if it is received from the outside, the external community information management table 134 is referred to To obtain view information indicating a range in which access is permitted based on the community name described in the above and information on whether the command content is reference or change of setting, and refer to the MIB view table 135 Get the definition of that view.
If the reference or change target by the command is within a range where access can be permitted, execution of the command is permitted, and if not, execution of the command is rejected.

なお、SNMPデーモン130がPC20等の外部装置のプロセスとの間で複数の下位プロトコルを用いて通信する場合に、プロトコルに応じてソケットが異なり、それに応じてfamilytypeも異なる場合がある。例えばfamilytypeはIPを使用した場合には「AF_INET」であるが、IPXを使用した場合には「AF_IPX」となる。
この場合において、familytype毎に別々に外部用コミュニティ情報管理テーブルを用意するようにすることも考えられるが、familytypeが外部からの受信であることを示すものであった場合には、その内容によらず共通の外部用コミュニティ情報管理テーブルを使用するようにしてもよい。
また、familytypeが内部からの受信であることを示すものであった場合、コミュニティ名が内部用コミュニティ情報管理テーブル133に記載されているものと合っていなくても、デフォルトのビュー(例えば図6に示した「internal」の内容)に従ってアクセスを許可するようにしてもよい。 Note that when the SNMP daemon 130 communicates with a process of an external device such as the PC 20 using a plurality of lower-level protocols, the socket may differ depending on the protocol, and the family type may differ accordingly. For example, the family type is “AF_INET” when IP is used, but “AF_IPX” when IPX is used.
In this case, it may be possible to prepare a community information management table for each familytype separately. However, if the familytype indicates reception from the outside, the content depends on the contents. Instead, a common external community information management table may be used.
Further, when the familytype indicates reception from the inside, even if the community name does not match that described in the internal community information management table 133, the default view (for example, in FIG. Access may be permitted according to the content of “internal” shown).

次に、以上に説明た要求元判断部131及び権限確認部132の動作について、より具体的に説明する。
図9は、内部のSNMPライブラリ及び外部装置のSNMPマネージャからSNMPリクエストを受信した場合の処理について説明するための図である。この図において、各テーブル133−135の内容は、図6−8に示したものであるとする。
また、ここではネットワーク機器10の名前を「test」に設定するコマンドを例として説明するが、このコマンドは、MIBツリーの「1.3.6.1.2.1.1.1」の位置の情報を「test」という値に「SET(変更)」するコマンドとして、SNMPリクエスト301又は311の末尾3行のように記載される。 Next, the operations of the request source determination unit 131 and the authority confirmation unit 132 described above will be described more specifically.
FIG. 9 is a diagram for explaining processing when an SNMP request is received from the internal SNMP library and the SNMP manager of the external device. In this figure, the contents of each table 133-135 are as shown in FIGS. 6-8.
Further, here, a command for setting the name of the network device 10 to “test” will be described as an example, but this command uses the value “test” as the information on the position of “1.3.6.1.2.1.1.1” in the MIB tree. The command for “SET (change)” is described as the last three lines of the SNMP request 301 or 311.

まず、内部のSNMPライブラリ121又は142が、コミュニティとして「internal」を記載したSNMPリクエスト301をSNMPデーモン130に送信してきた場合について説明する。この場合の処理の流れは、図9では実線の矢印で示す。
この場合、SNMPデーモン130がSNMPリクエスト301を受け取ると、まず要求元判断部131が受信時に用いたソケットの情報をもとに、受信したSNMPリクエストはネットワーク機器10内部からのものであると判断し、falimytypeとして「AF_SNMPLIB」を記載したSNMPリクエスト302として権限確認部132に渡す。 First, a case where the internal SNMP library 121 or 142 transmits the SNMP request 301 describing “internal” as a community to the SNMP daemon 130 will be described. The processing flow in this case is indicated by solid arrows in FIG.
In this case, when the SNMP daemon 130 receives the SNMP request 301, the request source determining unit 131 first determines that the received SNMP request is from the inside of the network device 10 based on the socket information used at the time of reception. , The SNMP request 302 in which “AF_SNMPLIB” is written as the falimytype is passed to the authority confirmation unit 132.

そして、権限確認部132は、familytypeの情報からSNMPリクエスト302が機器内部からのものであることがわかるので、内部用コミュニティ情報管理テーブル133を参照してアクセスを許可できる範囲を示すビューの情報を取得する。この場合、コミュニティが「internal」で、設定の変更を行うので、図6からビューは「View1」であることがわかる。
するとその後、権限確認部132はMIBビューテーブル135にアクセスし、「View1」の内容を取得する。そしてこの場合、図8から「View1」は全情報にアクセス可であることを示す情報であることがわかる。従って、SNMPリクエスト302の実行を許可してよいことがわかるので、そのSNMPリクエストをSNMPリクエスト303としてSNMPサブエージェント160に渡して実行させる。 Then, since the authority confirmation unit 132 knows that the SNMP request 302 is from the inside of the device from the information on the familytype, the authority confirmation unit 132 refers to the internal community information management table 133 and displays view information indicating a range in which access can be permitted. get. In this case, since the community is “internal” and the setting is changed, it can be seen from FIG. 6 that the view is “View1”.
Then, the authority confirmation unit 132 accesses the MIB view table 135 and acquires the content of “View1”. In this case, it can be seen from FIG. 8 that “View 1” is information indicating that all information is accessible. Therefore, since it is understood that the execution of the SNMP request 302 may be permitted, the SNMP request is passed as the SNMP request 303 to the SNMP subagent 160 for execution.

次に、外部のSNMPマネージャ23が、コミュニティとして「admin」を記載したSNMPリクエスト211をSNMPデーモン130にコマンドを送信してきた場合について説明する。この場合の処理の流れは、図9では破線の矢印で示す。
この場合、SNMPデーモン130がSNMPリクエスト311を受け取ると、まず要求元判断部131が受信時に用いたソケットの情報をもとに、受信したSNMPリクエストはネットワーク機器10外部からのものであると判断し、falimytypeとして「AF_INET」を記載したSNMPリクエスト312として権限確認部132に渡す。 Next, a case where the external SNMP manager 23 sends a command to the SNMP daemon 130 with the SNMP request 211 in which “admin” is described as a community will be described. The flow of processing in this case is indicated by broken arrows in FIG.
In this case, when the SNMP daemon 130 receives the SNMP request 311, the request source determining unit 131 first determines that the received SNMP request is from the outside of the network device 10 based on the socket information used at the time of reception. , The SNMP request 312 in which “AF_INET” is written as the falimytype is passed to the authority confirmation unit 132.

そして、権限確認部132は、familytypeの情報からSNMPリクエスト312が機器外部からのものであることがわかるので、外部用コミュニティ情報管理テーブル134を参照してアクセスを許可できる範囲を示すビューの情報を取得する。この場合、コミュニティが「admin」で、設定の変更を行うので、図7からビューは「View2」であることがわかる。   Since the authority confirmation unit 132 knows that the SNMP request 312 is from the outside of the device from the information of the familytype, the authority confirmation unit 132 refers to the external community information management table 134 and displays view information indicating a range in which access can be permitted. get. In this case, since the community is “admin” and the setting is changed, it can be seen from FIG. 7 that the view is “View 2”.

するとその後、権限確認部132はMIBビューテーブル135にアクセスし、「View2」の内容を取得する。そしてこの場合、図8から「View2」は1.3.6.1.2.1.1以下の情報にアクセス可であることを示す情報であることがわかる。そして、SNMPリクエスト212においてアクセスしようとしているのは1.3.6.1.2.1.1.1であり、アクセスが許可されている範囲内に含まれるため、SNMPリクエスト312の実行を許可してよいことがわかる。そこで、そのSNMPリクエストをSNMPリクエスト313としてSNMPサブエージェント160に渡して実行させる。
なお、コマンドが、1.3.6.1.2.1.2.1のように、アクセスが許可されている範囲外にアクセスしようとするものであった場合には、権限確認部132がコマンドの実行を拒否し、その旨を示すエラーをSNMPリクエスト311の送信元に返すようにする。 Then, the authority confirmation unit 132 accesses the MIB view table 135 and acquires the content of “View2”. In this case, it can be seen from FIG. 8 that “View 2” is information indicating that the information below 1.3.6.1.2.1.1 is accessible. Then, it is 1.3.6.1.2.1.1.1 that the SNMP request 212 is trying to access, and since it is included in the range where access is permitted, the execution of the SNMP request 312 may be permitted. Therefore, the SNMP request is passed to the SNMP subagent 160 as an SNMP request 313 for execution.
If the command is an attempt to access outside the permitted range as in 1.3.6.1.2.1.2.1, the authority confirmation unit 132 rejects the execution of the command, An error indicating this is returned to the transmission source of the SNMP request 311.

ところで、内部用コミュニティ情報管理テーブル133、外部用コミュニティ情報管理テーブル134、およびMIBビューテーブル135は、図2ではSNMPデーモン130の内部に記載したが、これらのテーブルの内容もネットワーク機器10の設定の一部であり、内容を不揮発性メモリ14に記憶させておき、ウェブモジュール140から参照及び変更できるようにしている。この場合、ユーザはHTTPクライアント21上に表示されるGUIからこの参照及び変更の指示を行い、ウェブモジュール140がこの指示を受け取ると、指示に従って各テーブルの内容の取得や変更を行う。   By the way, the internal community information management table 133, the external community information management table 134, and the MIB view table 135 are described in the SNMP daemon 130 in FIG. 2, but the contents of these tables are also set in the network device 10. The contents are stored in the nonvolatile memory 14 so that they can be referred to and changed from the web module 140. In this case, the user gives an instruction for reference and change from the GUI displayed on the HTTP client 21. When the web module 140 receives this instruction, the contents of each table are acquired or changed according to the instruction.

また、ネットワーク機器10においては、テーブル内容の設定とは別に、外部のSNMPマネージャからの設定変更指示を一切受け付けないようにするモードを用意しており、設定の変更によりネットワーク機器10をこのようなモードに移行させることが可能である。
このような設定も、やはりHTTPクライアント21上に表示されるGUI上から可能である。なお、この場合のGUIを含むページデータは、ウェブモジュール140により供給されるものである。 In addition to the setting of the table contents, the network device 10 is provided with a mode in which no setting change instruction from an external SNMP manager is accepted. It is possible to shift to the mode.
Such setting is also possible from the GUI displayed on the HTTP client 21. Note that the page data including the GUI in this case is supplied by the web module 140.

図10に、このような設定を行うためのGUIの例を示す。
このGUI画面240においては、外部設定禁止モード設定欄241において「有効」を選択し、適用キー242を押下することにより、ネットワーク機器10を外部のSNMPマネージャからの設定変更指示を一切受け付けないようにするモードに移行させる指示を行うことができる。この指示は、HTTPリクエストに記載されてネットワーク機器10に送信される。
ネットワーク機器10側では、この指示はHTTPデーモン110を介してウェブモジュール140に伝達される。そして、WWWライブラリ141が受信したHTTPリクエストの内容を解釈し、外部設定禁止禁止モードの設定指示であると判断すると、ウェブモジュール140がその設定に係る処理を実行する。 FIG. 10 shows an example of a GUI for performing such setting.
In this GUI screen 240, by selecting “valid” in the external setting prohibition mode setting field 241 and pressing the apply key 242, the network device 10 does not accept any setting change instruction from the external SNMP manager. Can be instructed to shift to the mode. This instruction is described in the HTTP request and transmitted to the network device 10.
On the network device 10 side, this instruction is transmitted to the web module 140 via the HTTP daemon 110. When the content of the HTTP request received by the WWW library 141 is interpreted and it is determined that the setting instruction is for the external setting prohibition prohibition mode, the web module 140 executes processing related to the setting.

図11にこの処理のフローチャートを示すが、この処理は、不揮発性メモリ14の「外部からの設定禁止」を示すフラグをONにすると共に(S101)、SNMPデーモン130を再起動(S102)する処理である。実行結果を応答として返す処理は、この処理とは別に、一般的な処理の流れに従って行う。   FIG. 11 shows a flowchart of this process. This process turns ON the flag indicating “prohibition of setting from outside” in the nonvolatile memory 14 (S101) and restarts the SNMP daemon 130 (S102). It is. The process of returning the execution result as a response is performed according to a general process flow separately from this process.

また、図12に、SNMPデーモン130の起動処理のうち、「外部からの設定禁止」設定に関連する部分のフローチャートを示す。
この起動処理は、上記の再起動時だけでなく、ネットワーク機器10の電源投入時やリセット時等にも行うものであり、不揮発性メモリ14から外部用コミュニティ情報管理テーブル134の内容を読み出して権限確認部132から参照できるようにする処理(S111)を含むものである。しかし、ステップS112で不揮発性メモリ14の「外部からの設定禁止」を示すフラグがONであれば、ステップS113で外部用コミュニティ情報管理テーブル134のうち、「Write」の項目を全てのコミュニティについてアクセス禁止を示すView(ここでは「View0」)に変更する処理を行うようにしている。なお、「外部からの設定禁止」を示すフラグがOFFであれば、外部用コミュニティ情報管理テーブル134に特に変更を加えない。
なお、SNMPデーモン130の起動処理は、図12に示した部分以外にも、不揮発性メモリ14から内部用コミュニティ情報管理テーブル133の内容を読み出す処理等を含むものであるが、これらの図示は省略している。 FIG. 12 is a flowchart of a portion related to the “setting prohibition from outside” setting in the startup process of the SNMP daemon 130.
This activation process is performed not only at the time of the above-described restart but also at the time of power-on or reset of the network device 10. The contents of the external community information management table 134 are read from the nonvolatile memory 14 and the authority is read. This includes processing for making it possible to refer to the confirmation unit 132 (S111). However, if the flag indicating “prohibition of setting from the outside” of the nonvolatile memory 14 is ON in step S112, the item “Write” in the external community information management table 134 is accessed for all communities in step S113. A process of changing to View (in this case, “View 0”) indicating prohibition is performed. If the flag indicating “prohibition of setting from outside” is OFF, the external community information management table 134 is not particularly changed.
The startup process of the SNMP daemon 130 includes a process of reading the contents of the internal community information management table 133 from the nonvolatile memory 14 in addition to the part shown in FIG. Yes.

このような起動処理を行うことにより、「外部からの設定禁止」を示すフラグがONになっている場合には、例えば不揮発メモリに図7に示したような情報が記憶されていたとしても、起動終了時には、図13に示したような情報が権限確認部132によって参照される状態になる。
従って、権限確認部132は、もともとの外部用コミュニティ情報管理テーブル134の内容によらず、ネットワーク機器10の外部から受信したSNMPリクエスト、すなわち内部のSNMPマネージャ(ここではSNMPライブラリ121,142)によって生成されたもの以外のSNMPリクエストに記載されていたSNMPコマンドついては、設定変更を行うコマンドの実行を許可しないような動作を行うことになる。
また、「外部からの設定禁止」を示すフラグをONからOFFに変更することも可能であり、この場合も変更後にSNMPデーモン130を再起動する。そしてこの場合、不揮発メモリに記憶されている外部用コミュニティ情報管理テーブル134の内容がそのまま動作に反映されるようになる。 By performing such activation processing, when the flag indicating “setting prohibition from the outside” is ON, for example, even if information as illustrated in FIG. 7 is stored in the nonvolatile memory, At the end of activation, the information as shown in FIG.
Therefore, the authority confirmation unit 132 is generated by the SNMP request received from the outside of the network device 10, that is, the internal SNMP manager (in this case, the SNMP libraries 121 and 142), regardless of the contents of the original external community information management table 134. For the SNMP command described in the SNMP request other than the requested one, an operation that does not permit execution of the command for changing the setting is performed.
It is also possible to change the flag indicating “prohibition of setting from outside” from ON to OFF. In this case as well, the SNMP daemon 130 is restarted after the change. In this case, the contents of the external community information management table 134 stored in the nonvolatile memory are directly reflected in the operation.

図14は、「外部からの設定禁止」を示すフラグがONになっている場合の要求元判断部131及び権限確認部132の動作を示す、図9と対応する図である。この場合において、外部用コミュニティ情報管理テーブル134の内容は、上述の通り図13に示すような内容になる。内部用コミュニティ情報管理テーブル133及びMIBビューテーブル135の内容については、それぞれ図6及び図8に示した内容であり、図9の場合と同様である。   FIG. 14 is a diagram corresponding to FIG. 9, showing the operations of the request source determination unit 131 and the authority confirmation unit 132 when the flag indicating “setting prohibition from outside” is ON. In this case, the contents of the external community information management table 134 are as shown in FIG. 13 as described above. The contents of the internal community information management table 133 and the MIB view table 135 are the contents shown in FIGS. 6 and 8, respectively, and are the same as those in FIG.

この図に示す通り、「外部からの設定禁止」を示すフラグがONであっても、ネットワーク機器10内部から受け取ったSNMPリクエストに関する動作は、図9の場合、すなわち「外部からの設定禁止」を示すフラグがOFFである場合と変わらない。
また、外部から受け取ったものであっても、要求元判断部131の動作は図9の場合と変わらない。しかし、この場合、権限確認部132が参照する外部用コミュニティ情報管理テーブル134において、「write」のアクセスを許可しないような設定がなされているため、権限確認部132はSNMPリクエスト312に記載されているコマンドの実行を許可せず、エラーの応答を返す。 As shown in this figure, even when the flag indicating “setting prohibition from outside” is ON, the operation related to the SNMP request received from the inside of the network device 10 is the same as the case of FIG. 9, that is, “setting prohibition from outside”. This is the same as when the flag shown is OFF.
Even if it is received from the outside, the operation of the request source determination unit 131 is not different from the case of FIG. However, in this case, in the external community information management table 134 referred to by the authority confirmation unit 132, the setting for not permitting “write” access is made, and therefore the authority confirmation unit 132 is described in the SNMP request 312. Returns an error response.

また、図15及び図16に、図2,図9及び図14を用いて説明したような、ネットワーク機器10の設定変更処理の処理シーケンスを示す。
図15は、Telnetクライアント22から変更を指示した場合の処理、すなわちSNMPデーモン130にネットワーク機器10内部で生成されたSNMPコマンドが渡される場合の処理を示す図である。
図15に記載した各ステップの処理のうち、図2に対応する番号があるものは、図2において説明した処理と対応する処理を示す。また、ステップS23は、要求元判断部131においてSNMPリクエストにfamilytypeの情報を追加して権限確認部132に渡す処理、ステップS24は権限確認部132が内部用コミュニティ情報管理テーブル133を参照して適用するビューの情報を取得する処理、ステップS25は同じくMIBビューテーブル135を参照してステップS24で取得したビューの内容を取得する処理を示す。 15 and 16 show the processing sequence of the setting change process of the network device 10 as described with reference to FIGS.
FIG. 15 is a diagram showing processing when a change is instructed from the Telnet client 22, that is, processing when an SNMP command generated inside the network device 10 is passed to the SNMP daemon 130.
Of the processes in each step described in FIG. 15, those having numbers corresponding to those in FIG. 2 indicate processes corresponding to the processes described in FIG. 2. Step S23 is processing in which the request source determination unit 131 adds familytype information to the SNMP request and passes the information to the authority confirmation unit 132. Step S24 is applied by the authority confirmation unit 132 with reference to the internal community information management table 133. The process of acquiring the information of the view to be performed, step S25 similarly refers to the process of acquiring the contents of the view acquired in step S24 with reference to the MIB view table 135.

一方、図16は、SNMPマネージャ23から変更を指示した場合の処理、すなわちすなわちSNMPデーモン130にネットワーク機器10の外部で生成されたSNMPコマンドが渡される場合の処理を示す図である。
図16に記載した各ステップの処理のうち、図2に対応する番号があるものは、図2において説明した処理と対応する処理を示す。また、ステップS32は、要求元判断部131においてSNMPリクエストにfamilytypeの情報を追加して権限確認部132に渡す処理、ステップS33は権限確認部132が外部用コミュニティ情報管理テーブル134を参照して適用するビューの情報を取得する処理、ステップS34は同じくMIBビューテーブル135を参照してステップS33で取得したビューの内容を取得する処理を示す。
また、破線の上側のステップS37は、コマンドの実行が許可されずにエラー応答が返される場合の処理、破線の下側のステップS35−S37は、破線の上側のステップS34の処理の続きであり、コマンドの実行が許可される場合の処理を示す。 On the other hand, FIG. 16 is a diagram showing a process when a change is instructed from the SNMP manager 23, that is, a process when an SNMP command generated outside the network device 10 is passed to the SNMP daemon 130.
Of the processes in each step described in FIG. 16, those having numbers corresponding to those in FIG. 2 indicate processes corresponding to the processes described in FIG. 2. Step S32 is processing in which the request source determination unit 131 adds familytype information to the SNMP request and passes the information to the authority confirmation unit 132. Step S33 is applied by the authority confirmation unit 132 with reference to the external community information management table 134. The process of acquiring the information of the view to be performed, step S34 similarly indicates the process of acquiring the contents of the view acquired in step S33 with reference to the MIB view table 135.
Step S37 above the broken line is a process in the case where the execution of the command is not permitted and an error response is returned, and steps S35 to S37 below the broken line are a continuation of the process of step S34 above the broken line. The processing when command execution is permitted is shown.

以上説明してきたように、ネットワーク機器10においては、要求元判断部131と権限確認部132とを設けたことにより、機器内部のSNMPマネージャが生成したSNMPリクエストと機器外部のSNMPマネージャが生成したSNMPリクエストに対して、異なる対応を行うことが可能となっている。
一般に、機器内部に搭載しているSNMPマネージャについては、機器のメーカーが内容を把握できることから、特定の設定については変更コマンドを出力する機能を設けない等、機能を制限し、誤って致命的な設定変更がなされてしまうことを防止するような対応が可能である。また、外部からこのSNMPマネージャにアクセスする際には、他のプロトコルに対応したクライアントを用いて機器にアクセスした上でSNMPマネージャに要求を伝達する必要があることから、そのアクセスの際に、パスワードや証明書を用いてユーザを認証することも可能である。 As described above, in the network device 10, by providing the request source determination unit 131 and the authority confirmation unit 132, the SNMP request generated by the SNMP manager inside the device and the SNMP generated by the SNMP manager outside the device. It is possible to respond differently to requests.
In general, the SNMP manager installed in the device can be understood by the device manufacturer. Therefore, it is not possible to provide a function to output a change command for a specific setting. It is possible to take measures to prevent the setting from being changed. Further, when accessing the SNMP manager from the outside, it is necessary to transmit a request to the SNMP manager after accessing the device using a client compatible with another protocol. It is also possible to authenticate a user using a certificate.

一方で、機器外部のSNMPマネージャについては、機器のメーカー側でどのような機能を有するかを必ずしも把握することができないため、誤って致命的な設定変更がなされてしまう恐れがある。また、SNMPには十分な認証機能が備えられていないため、不正なアクセスも比較的容易に可能になってしまう。従って、機器外部のSNMPマネージャからのアクセスを広範囲で許可すると、セキュリティの面で問題があるといえる。
そこで、上述したようにSNMPリクエストの送信元が機器の内部であるか外部(内部以外)であるかによって異なる対応を可能とし、外部からのSNMPリクエストに係るコマンドの実行を制限するようにすれば、セキュリティを向上させることができる。 On the other hand, regarding the SNMP manager outside the device, it is not always possible to grasp what function the device manufacturer has, and there is a risk that a fatal setting change may be made by mistake. Further, since SNMP does not have a sufficient authentication function, unauthorized access can be made relatively easily. Therefore, it can be said that there is a problem in terms of security if access from an SNMP manager outside the device is permitted over a wide range.
Therefore, as described above, if the SNMP request transmission source is internal or external (other than internal) of the device, it is possible to cope differently and limit the execution of commands related to the SNMP request from the outside. , Can improve security.

この場合において、外部からのSNMPリクエストについては、設定を変更するコマンドの実行を一切許可しないようにすれば、さらにセキュリティを向上させることができる。また、このようにしたとしても、内部にSNMPマネージャを設ければ、HTTPクライアント21やTelnetクライアント22等からネットワーク機器10にアクセスすることにより、外部からネットワークを介してネットワーク機器10の設定を参照や変更することが可能であり、利便性はさほど低下しない。
また、「外部からの設定禁止」を示すフラグを設け、外部からのSNMPリクエストについて設定を変更するコマンドの実行を一切許可しないようにする動作を、1項目の設定で行わせることができるようにしているので、状況に応じてコマンドの実行を許可するか否か変更する必要がある場合であっても、簡単な操作で変更が可能である。 In this case, with respect to an SNMP request from the outside, security can be further improved if no execution of a command for changing the setting is permitted. Even if this is done, if an SNMP manager is provided inside, the network device 10 is accessed from the outside via the network by accessing the network device 10 from the HTTP client 21 or the Telnet client 22 or the like. It is possible to change, and convenience does not decrease so much.
In addition, a flag indicating "prohibition of setting from outside" is provided so that an operation that does not permit any execution of a command for changing the setting of an external SNMP request can be performed by setting one item. Therefore, even if it is necessary to change whether or not to allow execution of the command according to the situation, it can be changed with a simple operation.

また、上述のネットワーク機器10においては、要求元判断部131が、SNMPデーモン130がSNMPリクエストを受信したソケットの情報を用いて識別を行うようにしたことにより、SNMPリクエストの送信元が機器の内部か外部かを容易かつ確実に識別することができる。このようにすることは必須ではないが、ここで説明した用途においては、送信元を特定することまでは必ずしも必要ないため、このような識別法を採用することが、偽装防止の観点からも好ましい。
また、上述した実施形態では、外部からのSNMPリクエストによる設定変更を拒否するようにする場合であっても、設定の参照の場合にはもともとの設定に従うようにする例について説明した。しかし、参照についても全て拒否するようにしてもよい。 Further, in the network device 10 described above, the request source determination unit 131 performs identification using information on the socket from which the SNMP daemon 130 has received the SNMP request. Can be easily and reliably identified. Although it is not essential to do so, it is not always necessary to specify the transmission source in the application described here, so it is preferable to adopt such an identification method also from the viewpoint of prevention of impersonation. .
Further, in the above-described embodiment, an example has been described in which even when a setting change due to an SNMP request from the outside is rejected, the original setting is followed when referring to the setting. However, all references may be rejected.

また、ソフトウェアの構成や使用する通信プロトコル、データの形式、内容等が上述の実施形態で説明したものに限られないことはもちろんである。例えば、ビューを用いず、コミュニティ情報管理テーブルにアクセスを許可するMIBツリーの範囲を直接記載するようにしてもよい。特に、「View0」のように全範囲についてアクセスを許可しない旨の情報は、「none」等の特殊なコードによって表現するようにすることも考えられる。また、要求元判断部131や権限確認部132の機能を実現するためのプログラムをSNMPデーモン130の外部に設け、SNMPデーモン130が必要な場合にこれらのプログラムをコールするようにすることも考えられる。   Further, it goes without saying that the software configuration, communication protocol to be used, data format, contents, etc. are not limited to those described in the above-described embodiment. For example, the range of the MIB tree that allows access to the community information management table may be directly described without using a view. In particular, information indicating that access is not permitted for the entire range such as “View0” may be expressed by a special code such as “none”. It is also conceivable that programs for realizing the functions of the request source determination unit 131 and the authority confirmation unit 132 are provided outside the SNMP daemon 130, and these programs are called when the SNMP daemon 130 is necessary. .

また、この発明が、ネットワークを介して他の通信装置と適用可能な通信装置であれば、どのような通信装置にも適用可能であることはもちろんである。適用対象としては、例えば、プリンタ,FAX装置,デジタル複写機,スキャナ装置,デジタル複合機等の画像処理装置のほか、汎用コンピュータ,ネットワーク家電,自動販売機,医療機器,電源装置,空調システム,ガス・水道・電気等の計量システム,自動車,航空機等に通信機能を持たせた通信装置が考えられる。   Of course, the present invention can be applied to any communication device as long as it can be applied to other communication devices via a network. Applicable objects include, for example, general-purpose computers, network home appliances, vending machines, medical equipment, power supply devices, air conditioning systems, gas, in addition to image processing devices such as printers, fax machines, digital copiers, scanners, and digital multifunction peripherals.・ Communication devices that have a communication function in metering systems such as water and electricity, automobiles, and airplanes are conceivable.

また、この発明によるプログラムは、コンピュータを、上述したネットワーク機器10のような通信装置として機能させるためのプログラムであり、このようなプログラムをコンピュータに実行させることにより、上述したような効果を得ることができる。
このようなプログラムは、はじめからコンピュータに備えるROMあるいはHDD等の記憶手段に格納しておいてもよいが、記録媒体であるCD−ROMあるいはフレキシブルディスク,SRAM,EEPROM,メモリカード等の不揮発性記録媒体(メモリ)に記録して提供することもできる。そのメモリに記録されたプログラムをコンピュータにインストールしてCPUに実行させるか、CPUにそのメモリからこのプログラムを読み出して実行させることにより、上述した各手順を実行させることができる。
さらに、ネットワークに接続され、プログラムを記録した記録媒体を備える外部機器あるいはプログラムを記憶手段に記憶した外部機器からダウンロードして実行させることも可能である。 The program according to the present invention is a program for causing a computer to function as a communication device such as the network device 10 described above. By causing the computer to execute such a program, the above-described effects can be obtained. Can do.
Such a program may be stored in a storage means such as a ROM or HDD provided in the computer from the beginning, but a non-volatile recording such as a CD-ROM or flexible disk, SRAM, EEPROM, memory card or the like as a recording medium. It can also be recorded on a medium (memory) and provided. Each procedure described above can be executed by installing a program recorded in the memory in a computer and causing the CPU to execute the program, or causing the CPU to read and execute the program from the memory.
Furthermore, it is also possible to download and execute an external device that is connected to a network and includes a recording medium that records the program, or an external device that stores the program in the storage unit.

以上説明してきたように、この発明の通信装置、通信装置の制御方法、プログラムあるいは記録媒体によれば、SNMPに従ってコマンドを処理する機能を有する通信装置において、外部装置からの設定変更を可能にしながら、高いセキュリティを維持できるようにすることができる。
従って、この発明を利用することにより、高いセキュリティと利便性を両立した通信装置を構成することができる。 As described above, according to the communication device, the control method of the communication device, the program, or the recording medium of the present invention, the communication device having the function of processing the command according to the SNMP can change the setting from the external device. Can maintain high security.
Therefore, by utilizing the present invention, a communication device that achieves both high security and convenience can be configured.

この発明の通信装置の実施形態であるネットワーク機器の構成を、そのネットワーク機器にアクセス可能なPCと共に示したブロック図である。It is the block diagram which showed the structure of the network apparatus which is embodiment of the communication apparatus of this invention with PC which can access the network apparatus. 図1に示したネットワーク機器及びPCにおける、実施形態の特徴に関連する部分のソフトウェア構成を示す図である。FIG. 2 is a diagram illustrating a software configuration of a portion related to the feature of the embodiment in the network device and the PC illustrated in FIG. 1. 図2に示したHTTPクライアントに表示させるGUIの例を示す図である。FIG. 3 is a diagram illustrating an example of a GUI displayed on the HTTP client illustrated in FIG. 2. 同じくTelnetクライアントを用いて設定の変更を指示する場合の動作画面の例を示す図である。It is a figure which shows the example of the operation | movement screen in the case of similarly instruct | indicating the change of a setting using a Telnet client. 同じくSNMPマネージャを用いて設定の変更を指示する場合の動作画面の例を示す図である。It is a figure which shows the example of the operation | movement screen when instruct | indicating the change of a setting similarly using a SNMP manager. 図2に示した内部用コミュニティ情報管理テーブルの例を示す図である。It is a figure which shows the example of the internal community information management table shown in FIG. 同じく外部用コミュニティ情報管理テーブルの例を示す図である。It is a figure which similarly shows the example of the external community information management table. 同じくMIBビューテーブルの例を示す図である。It is a figure which similarly shows the example of a MIB view table. 図2に示したSNMPデーモンが内部のSNMPライブラリ及び外部装置のSNMPマネージャからSNMPリクエストを受信した場合の処理について説明するための図である。It is a figure for demonstrating a process when the SNMP daemon shown in FIG. 2 receives an SNMP request from an internal SNMP library and the SNMP manager of an external device. 外部のSNMPマネージャからの設定変更指示を一切受け付けないようにするモードに関する設定を行うためのGUIの例を示す図である。It is a figure which shows the example of GUI for performing the setting regarding the mode which does not accept the setting change instruction from an external SNMP manager at all.

外部のSNMPマネージャからの設定変更指示を一切受け付けないようにするモードに移行する指示を受けた場合に実行する処理を示すフローチャートである。It is a flowchart which shows the process performed when it receives the instruction | indication which transfers to the mode which does not accept the setting change instruction | indication from an external SNMP manager at all. SNMPデーモンの起動処理の一部を示すフローチャートである。It is a flowchart which shows a part of starting process of a SNMP daemon. 外部のSNMPマネージャからの設定変更指示を一切受け付けないようにするモードでの外部用コミュニティ情報管理テーブルの例を示す図である。It is a figure which shows the example of the external community information management table in the mode which does not accept the setting change instruction from an external SNMP manager at all. 外部のSNMPマネージャからの設定変更指示を一切受け付けないようにするモードでのSNMPデーモンの動作について説明するための、図9と対応する図である。FIG. 10 is a diagram corresponding to FIG. 9 for describing the operation of the SNMP daemon in a mode in which no setting change instruction from an external SNMP manager is received. 図2に示したTelnetクライアントからネットワーク機器の設定の変更を指示した場合の処理の流れを示すシーケンス図である。FIG. 3 is a sequence diagram showing a flow of processing when a change in network device setting is instructed from the Telnet client shown in FIG. 2. 同じくSNMPマネージャからネットワーク機器の設定の変更を指示した場合の処理の流れを示すシーケンス図である。It is a sequence diagram which shows the flow of a process when similarly instruct | indicating the change of the setting of a network device from the SNMP manager.

符号の説明Explanation of symbols

10:ネットワーク機器、11:CPU、12:ROM、13:RAM、
14:不揮発性メモリ、15:ネットワークI/F、16:エンジン部、
17:システムバス、20:PC、21:HTTPクライアント、
22:Telnetクライアント、23:SNMPマネージャ、30:ネットワーク、
100:ネットワークモジュール、110:HTTPデーモン、
120:Telnetデーモン、121,142:SNMPライブラリ、
130:SNMPデーモン、131:要求元判断部、132:権限確認部、
133:内部用コミュニティ情報管理テーブル、
134:外部用コミュニティ情報管理テーブル、135:MIBビューテーブル、
140:ウェブモジュール、141:WWWライブラリ、
160:SNMPサブエージェント 10: network device, 11: CPU, 12: ROM, 13: RAM,
14: non-volatile memory, 15: network I / F, 16: engine unit,
17: System bus, 20: PC, 21: HTTP client,
22: Telnet client, 23: SNMP manager, 30: Network
100: Network module, 110: HTTP daemon,
120: Telnet daemon 121, 142: SNMP library
130: SNMP daemon 131: Request source determination unit 132: Authority confirmation unit
133: Community information management table for internal use
134: Community information management table for external use, 135: MIB view table,
140: Web module, 141: WWW library,
160: SNMP subagent

Claims (6)

SNMPに従って、受け取ったコマンドに応じた処理を行う処理手段と、
外部装置から受信したコマンドを前記処理手段が処理可能なコマンドに変換する内部SNMPマネージャと、
前記処理手段が処理すべきコマンドが前記内部SNMPマネージャによって生成されたものか否かを識別する識別手段と、
該手段の判断結果に基づいて前記処理手段による処理の内容を変更するアクセス制御手段とを設けたことを特徴とする通信装置。 Processing means for performing processing according to the received command in accordance with SNMP;
An internal SNMP manager that converts a command received from an external device into a command that can be processed by the processing means;
Identifying means for identifying whether a command to be processed by the processing means is generated by the internal SNMP manager;
An access control means for changing the contents of the processing by the processing means based on the determination result of the means. 請求項1記載の通信装置であって、
前記アクセス制御手段が、前記内部SNMPマネージャによって生成されたものでないコマンドに応じた設定変更処理を前記処理手段に実行させないようにする手段を有することを特徴とする通信装置。 The communication device according to claim 1,
The communication apparatus, wherein the access control means includes means for preventing the processing means from executing a setting change process according to a command not generated by the internal SNMP manager. 請求項1又は2記載の通信装置であって、
前記識別手段が、処理すべきコマンドを前記処理手段が受け取った際に用いたソケットの情報によって該コマンドが前記内部SNMPマネージャによって生成されたものか否かを識別する手段を有することを特徴とする通信装置。 The communication device according to claim 1 or 2,
The identification means includes means for identifying whether or not the command is generated by the internal SNMP manager based on information on a socket used when the processing means receives a command to be processed. Communication device. SNMPに従って、受け取ったコマンドに応じた処理を行う処理手段と、
外部装置から受信したコマンドを前記処理手段が処理可能なコマンドに変更する内部SNMPマネージャとを有する通信装置を制御する通信装置の制御方法であって、
前記通信装置に、
前記処理手段が処理すべきコマンドが前記内部SNMPマネージャによって生成されたものか否かを識別する識別手順と、
該手順における判断結果に基づいて前記処理手段による処理の内容を変更するアクセス制御手順とを実行させることを特徴とする通信装置の制御方法。 Processing means for performing processing according to the received command in accordance with SNMP;
A communication device control method for controlling a communication device having an internal SNMP manager that changes a command received from an external device to a command that can be processed by the processing means,
In the communication device,
An identification procedure for identifying whether the command to be processed by the processing means is generated by the internal SNMP manager;
A control method for a communication apparatus, comprising: executing an access control procedure for changing a content of processing by the processing unit based on a determination result in the procedure. コンピュータを、
SNMPに従って、受け取ったコマンドに応じた処理を行う処理手段と、
外部装置から受信したコマンドを前記処理手段が処理可能なコマンドに変更する内部SNMPマネージャと、
前記処理手段が処理すべきコマンドが前記内部SNMPマネージャによって生成されたものか否かを識別する識別手段と、
該手段の判断結果に基づいて前記処理手段による処理の内容を変更するアクセス制御手段として機能させるためのプログラム。 Computer
Processing means for performing processing according to the received command in accordance with SNMP;
An internal SNMP manager that changes a command received from an external device into a command that can be processed by the processing means;
Identifying means for identifying whether a command to be processed by the processing means is generated by the internal SNMP manager;
A program for functioning as an access control means for changing the contents of processing by the processing means based on the determination result of the means. 請求項5記載のプログラムを記録したコンピュータ読取可能な記録媒体。
A computer-readable recording medium on which the program according to claim 5 is recorded.
JP2004238325A 2004-08-18 2004-08-18 COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, PROGRAM, AND RECORDING MEDIUM Expired - Fee Related JP4358069B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004238325A JP4358069B2 (en) 2004-08-18 2004-08-18 COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, PROGRAM, AND RECORDING MEDIUM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004238325A JP4358069B2 (en) 2004-08-18 2004-08-18 COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, PROGRAM, AND RECORDING MEDIUM

Publications (2)

Publication Number Publication Date
JP2006059011A JP2006059011A (en) 2006-03-02
JP4358069B2 true JP4358069B2 (en) 2009-11-04

Family

ID=36106448

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004238325A Expired - Fee Related JP4358069B2 (en) 2004-08-18 2004-08-18 COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, PROGRAM, AND RECORDING MEDIUM

Country Status (1)

Country Link
JP (1) JP4358069B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4745866B2 (en) * 2006-03-07 2011-08-10 キヤノン株式会社 Device management system and control method thereof
JP4869033B2 (en) 2006-11-13 2012-02-01 キヤノン株式会社 Network device, network device management apparatus, network device control method, network device management method, program, and storage medium
JP4906761B2 (en) * 2008-03-17 2012-03-28 株式会社リコー Information processing apparatus, information processing method, and information processing program

Also Published As

Publication number Publication date
JP2006059011A (en) 2006-03-02

Similar Documents

Publication Publication Date Title
US8539243B2 (en) Information processing apparatus capable of communicating with external authentication device
US20060085527A1 (en) Remote services for portable computing environment
US7812984B2 (en) Remote stored print job retrieval
JP2005085090A (en) Remote processor
US10754933B2 (en) Processing apparatus, method for controlling processing apparatus, and non-transitory computer-readable storage medium
JP5423746B2 (en) Image processing apparatus, access control method, and program
US20140146363A1 (en) Device, information processing system, and information processing method
US20110067088A1 (en) Image processing device, information processing method, and recording medium
JP2008165368A (en) Service restriction method, image processing restriction method, and image processing system
US11140294B2 (en) Communication device, non-transitory computer-readable recording medium storing computer-readable instructions for communication device, and method executed by communication device
CA2523532A1 (en) Portable computing environment
JP2007122366A (en) Network management system, network management method, and network management program
US8773695B2 (en) Data communication apparatus and method of controlling the same
JP4455965B2 (en) Authority information generating method, communication apparatus, program, and recording medium
JP6333005B2 (en) Image forming apparatus, control method therefor, and program
US7840666B2 (en) Device, control method of the device, and program for causing computer to execute the control method
JP5073250B2 (en) apparatus
JP2006251996A (en) Client device, image processing system, control method for client device, program and recording medium
JP4358069B2 (en) COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, PROGRAM, AND RECORDING MEDIUM
JP4298630B2 (en) Device management apparatus, control method therefor, and control program
JP7452198B2 (en) Function execution device and computer program for the function execution device
JP2007206810A (en) Network authentication system, information processor, network device, and program
JP3770258B2 (en) Multifunction machine, network system, control method, and control program
JP2010198334A (en) Image processing apparatus and program
JP2006079359A (en) Communication device, control method for communication device, program and recording medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070126

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090528

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090804

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090805

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120814

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120814

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120814

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130814

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees