用于IPP-USB数据的IPSEC安全性的方法和系统

摘要

本公开涉及用于IPP‑USB数据的IPSEC安全性的方法和系统。一种为通过通用串行总线(USB)连接传送的数据提供安全性的方法，所述方法包括：在主机设备和客户端设备上设定IPsec策略配置；把分组发送给主机设备上的第一回环接口，其中第一回环接口把分组配置成要路由给客户端设备上的第二回环接口；把所述分组从第一回环接口发送给IPsec模块，以便加密；过滤从第一回环接口接收的分组；通过USB连接，把所述分组发送给客户端设备；把所述分组注入第二回环接口；把所述分组从客户端设备上的第二回环接口发送给客户端设备上的IPsec模块，以便解密；和把解密的分组发送给设备应用上的第二回环接口，其中所述分组在客户端设备上被接收。

说明书

技术领域

本公开涉及用于IPP-USB数据(因特网打印协议-通用串行总线数据)的IPSec安全性的方法和系统，更具体地，涉及保护HTTP/IPP USB协议，和把HTTP/IPP USB协议从主机设备传送给客户端设备的方法和系统。

背景技术

网络通过允许一台个人计算机利用电子消息，通过网络(或网络连接)，与另一台个人计算机和/或其它连网设备通信，增强了我们传递和访问信息的能力。当在个人计算机或连网设备之间传送电子消息时，电子消息通常通过对电子消息内的数据进行操作(例如，打包、路由、流控制)的协议栈。

因特网协议安全性(IPsec)是用于通过认证和加密通信会话的各个IP分组来保护因特网协议(IP)通信的协议套件。IPsec可包括用于建立会话开始时代理之间的相互认证以及会话期间使用的加密密钥的协商的协议。另外，IPsec可用于保护一对主机(主机到主机)之间的数据流、一对安全网关(网络到网络)之间的数据流或者安全网关和主机(网络到主机)之间的数据流。

因特网协议安全性(IPsec)利用加密安全服务来保护通过因特网协议(IP)网络的通信。IPsec可支持网络级对等认证、数据起源认证、数据完整性、数据机密性(加密)和重放保护。

发明内容

按照例证实施例，公开一种为通过通用串行总线(USB)连接传送的数据提供安全性的方法，所述方法包括：在主机设备和客户端设备上 设定IPsec策略配置，IPsec策略配置包括主机设备的第一回环接口和IP地址，和客户端设备的第二回环接口和IP地址；把分组发送给主机设备上的第一回环接口，其中第一回环接口把分组配置成要路由给第二回环接口；把所述分组从第一回环接口发送给主机设备上的IPsec模块，以便加密；过滤从第一回环接口接收的分组；通过USB连接，把所述分组发送给客户端设备；把所述分组注入客户端设备上的第二回环接口；把所述分组从客户端设备上的第二回环接口发送给客户端设备上的IPsec模块，以便解密；和把解密的分组发送给设备应用上的第二回环接口，其中所述分组在客户端设备上被接收。

按照例证实施例，公开一种计算机程序和包含保存于其中的计算机程序的非临时性计算机可读介质，其中所述计算机程序被配置成使计算机执行为通过通用串行总线(USB)连接传送的数据提供安全性的方法，所述方法包括：在主机设备和客户端设备上设定IPsec策略配置，IPsec策略配置包括用于主机设备的第一回环接口和IP地址，和用于客户端设备的第二回环接口和IP地址；把分组发送给主机设备上的第一回环接口，其中第一回环接口把分组配置成要路由给第二回环接口；把所述分组从第一回环接口发送给主机设备上的IPsec模块，以便加密；过滤从第一回环接口接收的分组；通过USB连接，把所述分组发送给客户端设备；把所述分组注入客户端设备上的第二回环接口；把所述分组从客户端设备上的第二回环接口发送给客户端设备上的IPsec模块，以便解密；和把解密的分组发送给设备应用上的第二回环接口，其中所述分组在客户端设备上被接收。

按照例证实施例，提供一种为通过通用串行总线(USB)连接传送的数据提供安全性的系统，所述系统包括：USB连接；主机设备，所述主机设备具有配置以IPsec策略的主机应用，所述IPsec策略包括主机设备的第一回环接口和IP地址；和客户端设备，所述客户端设备具有客户端设备的第二回环接口和IP地址，其中所述主机设备和客户端设备被配置成：把分组发送给主机设备上的第一回环接口，其中第一回环接口把分组配置成要路由给第二回环接口；把所述分组从第一回环 接口发送给主机设备上的IPsec模块，以便加密；过滤从第一回环接口接收的分组；通过USB连接，把所述分组发送给客户端设备；把所述分组注入客户端设备上的第二回环接口；把所述分组从客户端设备上的第二回环接口发送给客户端设备上的IPsec模块，以便解密；和把解密的分组发送给设备应用上的第二回环接口，其中所述分组在客户端设备上被接收。

应理解上面的概述和下面的详细说明都是例证性和说明性的，用来提供要求保护的发明的进一步解释。

附图说明

附图用于提供本发明的进一步理解，包含在本说明书中，并构成本说明书的一部分。附图图解说明本发明的实施例，并且连同说明一起，用于解释本发明的原理。

图1是按照例证实施例的用于具有从主机设备到客户端设备的自动密钥配置的IPsec的手动密钥配置的例示。

图2是按照例证实施例的用于具有从客户端设备到主机设备的自动密钥配置的IPsec的手动密钥配置的例示。

具体实施方式

下面详细说明本发明的目前优选的实施例，附图中例示了所述实施例的例子。只要有可能，附图和说明中使用相同的附图标记表示相同或相似的部分。

按照例证实施例，可以实现IPsec协议，以保护HTTP/IPP USB协议，和把HTTP/IPP USB协议从USB主机传送给USB设备。按照例证实施例，由于分组不是网络分组，因此主机设备110可无任何加密或认证地在USB连接200上发送分组，例如，USB连接200可以是导线或USB电缆。由于USB连接200可被容易地解开，因此例如带有Wi-Fi的捕捉设备可被用于访问打印数据。

按照例证实施例，例如，当使用IPsec协议时，数据可被加密， 好像数据是网络的一部分似的，然而数据不利用网络栈。另外，只有主机设备110和客户端设备160能够解密数据和进行通信。

图1表示具有正常的通信协议的网络系统100，它包括主机设备110和客户端设备160。按照例证实施例，主机设备110可借助USB连接200连接到客户端设备160。

按照例证实施例，主机设备110可用打印机、多功能打印机(MFP)、成像装置和其它已知装置具体体现，主机设备110根据至少一个客户端设备160生成的打印数据，在诸如一张纸之类的打印介质(或记录介质)上打印图像。按照例证实施例，主机设备110是多功能打印机(MFP)，它至少包括复印功能、图像读取功能和打印机功能，并根据从至少一个第二主机(或客户端设备)160发送的打印作业(打印指令)、设置在主机设备(或成像装置)110中的图像读取部分(比如扫描仪)读取的图像数据等等，在纸张上形成图像。

按照例证实施例，主机设备110可以是多功能打印机(MFP)。主机设备110可包括打印机控制器(或固件)，优选形式为硬盘驱动器(HDD)的存储器部分、图像处理部分(或数据调度器)、打印引擎和输入/输出(I/O)部分。

主机设备110的控制器可包括中央处理器(CPU)、随机存取存储器(RAM)和只读存储器(ROM)。中央处理器可被配置成执行一系列保存的指令(例如，计算机程序)。可意识到控制器还包括操作系统(OS)，操作系统(OS)充当软件程序和主机设备110内的硬件组件之间的中介物。操作系统(OS)管理计算机硬件，为各种应用软件的高效执行提供公共服务。按照例证实施例，控制器处理从客户端设备160接收的数据和作业信息，并生成打印图像。

图像处理部分在控制器的控制下进行图像处理，并把处理后的打印图像数据发送给打印引擎。图像处理部分优选能够并行且独立地处理多个打印作业或子作业。例如，图像处理部分可包括CPU，CPU其中包含多个核，以实现后面详细说明的多个RIP模块。用于构成控制器的一部分的CPU通常可用于图像处理部分。打印引擎根据从图像处 理部分发送的图像数据，在记录纸张上形成图像。I/O部分与客户端设备160进行数据传送。控制器可被编程，以处理数据和控制多功能打印机或打印机110的各个其它组件，从而执行这里说明的各种方法。硬盘驱动器(HDD)或存储设备保存数字数据和/或软件程序，供控制器再调用。按照例证实施例，数字数据包括各种资源，所述资源可包括图形/图像、标志、格式重叠、字体等。

形式为和例证实施例一致的多功能打印机(MFP)或打印机的主机设备110的例子包括(但不限于)激光打印机(LBP)、包括复印功能的多功能激光打印机、喷墨打印机(IJP)、热敏打印机(例如，染料升华打印机)和卤化银打印机。例如，多功能打印机或打印机可以是彩色打印机或黑白(B/W)打印机。

按照实施例，可用计算机系统具体体现的所述至少一个客户端设备160生成在主机设备110中可用的打印数据，并把生成的打印数据传送给主机设备110。所述至少一个客户端设备160的例子可包括计算机和/或便携式设备，比如笔记本个人计算机、蜂窝电话机和个人数字助手(PDA)。主机设备110和所述至少一个客户端设备160可构成成像系统，以安装通信端口、生成打印数据并进行按照打印数据在打印介质上形成图像的打印操作。

按照例证实施例，客户端设备160可以是多台个人计算机，具有把打印作业发送给形式为多功能打印机(MFP)或成像装置的主机设备110的功能。打印机驱动器程序(下面有时简称为打印机驱动器)安装在客户端设备160中，客户端设备160利用打印机驱动器的功能生成打印作业，所述打印作业包括在成像时待应用的打印条件的数据、图像数据等，并把生成的打印作业发送给形式为多功能打印机的主机设备110。

按照例证实施例，客户端设备160可包括处理器或中央处理器(CPU)，和保存软件程序和数据(比如待打印的文件)的一个或多个存储器。处理器或CPU执行操作和/或控制客户端设备160的至少一部分功能的计算机程序的指令。客户端设备160还可包括操作系统(OS)， 所述操作系统管理计算机硬件，并为各种软件程序的高效执行提供公共服务。例如，软件程序可包括应用软件和打印机驱动器软件。例如，打印机驱动器软件控制多功能打印机或打印机，例如，与其中安装打印机驱动器软件的客户端设备160相连的主机设备110。在一些实施例中，打印机驱动器软件根据图像和/或文档数据，产生打印作业和/或文档。另外，打印机驱动器软件可控制从客户端设备160到例如形式为多功能打印机或打印机的主机设备110的打印作业的传输。

按照例证实施例，可利用USB连接200(通用串行总线连接)，连接主机设备110和客户端设备160。按照例证实施例，USB连接200可以是导线、电缆、连接器和/或总线中用于连接的通信协议，以及主机110和设备160之间的电源。

按照例证实施例，图1表示利用这里公开的IPsec框架或协议的系统100的手动密钥配置的典型例子。尽管图1表示为主机设备110和客户端设备160设定IPsec框架的手动密钥配置，不过，代替手动密钥配置，可以进行自动密钥配置。

按照例证实施例，如图1中所示，可对于各个设备110、160设定IPsec策略配置。例如，如图1中所示，主机设备110和客户端设备160可由应用120、170配置以下述接口和网络信息。接口和网络信息可包括：

a)主机设备110：接口:lo:2(第一回环接口)，和IP地址：127.0.0.2；和

b)客户端设备160：接口：lo:3(第二回环接口)，和IP地址：127.0.0.3

按照例证实施例，可以利用手动密钥配置，例如，通过利用Setkey、Raccoon或任何其它可用工具，设定用于各个设备110、160的IPsec。按照例证实施例，分别托管在主机设备110上和客户端设备160处的主机应用120和客户端应用170可设定下述：

setkey-c

add 127.0.0.2127.0.0.3esp 500-E 3des-cbc

“beebeebeebeebeebee….”

add 127.0.0.3127.0.0.2esp 600-E 3des-cbc“beefbeefbeefbeef…..”

spdadd 127.0.0.2127.0.0.3any-P out IPpsec

esp/transport//require；

按照例证实施例，主机设备110上的主机应用120可利用第一回环接口130(lo:2)把分组(HTTP/IPP分组请求)140发送给托管在客户端设备160上的第二回环接口180(lo:3)。主机设备110上的第一回环接口130(lo:2)把分组140配置成被路由到客户端设备160上的第二回环接口180(lo:3)。包括USB数据的分组140随后可被配置成通过USB连接200传送。按照例证实施例，可以使用IP报头中的下一个报头，例如0x3D，不过还可以使用其它IANA(因特网号码分配机构)定义的协议。使用中，IP下一报头字段指示哪个上层协议受保护。例如，在本公开中，0x3D描述任意主机内部协议。不过，可以定义任意协议，因为分组将由设备应用170处理，而不是由描述的网络协议处理。

按照例证实施例，当在主机设备110上启用IPsec时，分组140到达IPsec模块132，并可利用IPsec协议加密。随后可利用网络过滤器134过滤指定给在客户端设备160的设备应用170上的第二回环接口(lo:3)180的分组142。主机应用120随后通过USB连接200，把加密的分组142发送给客户端设备160。

客户端设备160上的应用170接收USB数据，并把分组142注入第二回环接口180(lo:3)。加密的分组142到达IPsec模块182，并被解密。解密的分组140随后可被发送给客户端设备160上的第二回环接口180(lo:3)，在客户端设备160，设备应用170接收所述分组。HTTP/IPP分组140随后可被处理，并可向设备应用170回送响应。

图2是按照例证实施例的用于具有从客户端设备到主机设备的自动密钥配置的IPsec的手动密钥配置的例示。如图2中所示，设备应用170可利用第二回环接口180(lo:3)，把分组(例如具有打印数据190的IPP/HTTP分组响应)发送给主机设备110上的第一回环接口130(lo:2)，用于打印。按照例证实施例，IPP/HTTP分组190到达IPsec模块182，并可被加密。按照例证实施例，例如，应用可利用网络过 滤器184过滤来自第二回环接口180(lo:3)的加密分组192，并随后把分组192发送给USB连接200。主机应用120随后可把加密的分组192注入第一回环接口130(lo:2)。按照例证实施例，分组190可由IPsec模块132解密。应用过滤器随后可解密指定给第一回环接口130(lo:2)的分组190，从而从客户端设备160获得打印数据。例如，按照例证实施例，打印数据随后可由主机设备110处理。

按照例证实施例，这里公开的用于通过USB连接传送数据的系统和方法也可适用于其它种类的安全协议，例如，所述方法可用于从应用层中的任意协议(例如HTTP、LDAP和/或DNS)传送数据。按照例证实施例，可用相同的安全配置，配置主机设备110和客户端设备160，设备110、160都可包括如这里公开的应用和回环，以便安全地通过USB连接200传送数据。

按照例证实施例，公开一种计算机程序和包含保存于其中的计算机程序的非临时性计算机可读介质，其中所述计算机程序被配置成使计算机执行为通过通用串行总线(USB)连接传送的数据提供安全性的方法，所述方法包括：在主机设备和客户端设备上设定IPsec策略配置，IPsec策略配置包括主机设备的第一回环接口和IP地址，和客户端设备的第二回环接口和IP地址；把分组发送给主机设备上的第一回环接口，其中第一回环接口把分组配置成要路由给第二回环接口；把所述分组从第一回环接口发送给主机设备上的IPsec模块，以便加密；过滤从第一回环接口接收的分组；通过USB连接，把所述分组发送给客户端设备；把所述分组注入客户端设备上的第二回环接口；把所述分组从客户端设备上的第二回环接口发送给客户端设备上的IPsec模块，以便解密；和把解密的分组发送给设备应用上的第二回环接口，其中所述分组在客户端设备被接收。

计算机可读记录介质可以是磁记录介质、磁光记录介质或者未来开发的任何其它记录介质，所有这些记录介质可被认为按照完全相同的方式适用于本发明。这种介质的复制物(包括一次和二次复制产品及其它)被认为毫无疑问等同于上述介质。此外，即使本发明的实施 例是软件和硬件的组合，也根本不脱离本发明的原理。可以这样实现本发明，以致其软件部分被预先写在记录介质上，并在操作中需要时被读取。

对本领域的技术人员来说，显然可对本发明的结构作出各种修改和变化，而不脱离本发明的范围或精神。鉴于上面所述，本发明意在包括本发明的各种修改和变形，只要它们在以下权利要求及其等同物的范围内。