JP2006164174A - Information processor, user authentication processing, and access control method - Google Patents

Information processor, user authentication processing, and access control method Download PDF

Info

Publication number
JP2006164174A
JP2006164174A JP2004358572A JP2004358572A JP2006164174A JP 2006164174 A JP2006164174 A JP 2006164174A JP 2004358572 A JP2004358572 A JP 2004358572A JP 2004358572 A JP2004358572 A JP 2004358572A JP 2006164174 A JP2006164174 A JP 2006164174A
Authority
JP
Japan
Prior art keywords
authentication
user
processing apparatus
request
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2004358572A
Other languages
Japanese (ja)
Inventor
Hidehiko Yokoyama
英彦 横山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2004358572A priority Critical patent/JP2006164174A/en
Publication of JP2006164174A publication Critical patent/JP2006164174A/en
Withdrawn legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To allow a person who belongs to the other departments to perform printing temporarily by permitting specified access control, when other authentication servers authenticate a user who cannot be identified by the authentication processing of a device having received a processing request. <P>SOLUTION: The user who has been authenticated by other authentication servers is cached for a fixed period in association with the authentication server to shorten the authentication time of successive processing. And the network distance between the authentication servers is detected by the number of hops, and access limitation is changed further according to whether the network distance exceeds a threshold, thus relieving the access limitation of the user who belongs to a neighborhood network. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、ネットワーク上に分散配置された装置に対してユーザ認証を行った後に、規定のアクセス制限に基づいて処理を行うシステムに関するものである。   The present invention relates to a system that performs processing based on prescribed access restrictions after performing user authentication on devices distributed on a network.

従来、情報処理装置が提供するサービスを利用しようとした場合、該情報処理装置のサービス利用に関するユーザ認証が行われ、認証された場合のみサービスが利用可能であった。   Conventionally, when an attempt is made to use a service provided by an information processing apparatus, user authentication relating to the service use of the information processing apparatus is performed, and the service can be used only when authenticated.

また、ユーザからの認証要求を受けたサーバが、ユーザが当該サーバに登録されておらず、認証できない場合は、登録された他の認証済のステーションに認証処理を委託するものがあった(例えば、特許文献1)。
特開2003−308297号公報 In addition, when a server that receives an authentication request from a user is not registered in the server and cannot be authenticated, there is a server that entrusts authentication processing to another registered authenticated station (for example, Patent Document 1).
JP 2003-308297 A

上記従来技術では、サービスを提供する情報処理装置あるいは、該情報処理装置に係る認証処理を行う情報処理装置において管理、識別可能なユーザしか、該情報処理装置が提供するサービスを利用できず、例えば、隣の部署の情報処理装置が提供するサービスを一時的に利用する場合には、該ユーザの登録が必要であった。   In the above prior art, only a user who can be managed and identified in an information processing apparatus that provides a service or an information processing apparatus that performs authentication processing related to the information processing apparatus can use a service provided by the information processing apparatus. In order to temporarily use the service provided by the information processing apparatus in the adjacent department, the user needs to be registered.

そこで、本発明の目的は、サービス利用を要求する、該情報処理装置で認証できないユーザに対しても、一定の制限のもとでのサービス利用を容易に実現する情報処理装置、ユーザ認証処理及びアクセス制御方法を提供することである。   Accordingly, an object of the present invention is to provide an information processing apparatus, a user authentication process, and an information processing apparatus that can easily use a service under certain restrictions even for a user who requests service use and cannot be authenticated by the information processing apparatus. It is to provide an access control method.

上述の目的を達成するため、本発明の情報処理装置は、ネットワーク上の他の装置との間で通信を行う通信手段と、ユーザの介入により情報処理装置を操作する操作手段と、通信手段あるいは操作手段により入力されたユーザ情報に基づき認証を行う第1のユーザ認証手段と、第1のユーザ認証手段により不明ユーザと判断された場合、該ユーザを認証可能な認証装置を検出する検出手段と、検出手段により検出された認証装置に対して該ユーザのユーザ認証をおこなう第2の認証手段と、第1あるいは第2のユーザ認証手段により正当なユーザであると認められた場合、ユーザに対応付けられた制限情報に基づき、サービスへのアクセスを制限するアクセス制限手段と、第2の認証手段により認証されたユーザと認証装置を関連付けて保存する認証関係保存手段とを有することを特徴とする。   In order to achieve the above object, an information processing apparatus according to the present invention includes a communication unit that communicates with other devices on a network, an operation unit that operates the information processing device through user intervention, and a communication unit or A first user authentication unit that performs authentication based on user information input by the operation unit; and a detection unit that detects an authentication device that can authenticate the user when the first user authentication unit determines that the user is an unknown user; The second authentication unit that performs user authentication of the user with respect to the authentication device detected by the detection unit, and a user who is recognized as a valid user by the first or second user authentication unit Based on the attached restriction information, the access restriction means for restricting access to the service and the user authenticated by the second authentication means and the authentication device are stored in association with each other. And having a that authentication relationship storage means.

本発明のユーザ認証及びアクセス制御方法は、受信したユーザ情報が正当なユーザかどうかを判定する第1のユーザ認証ステップと、ユーザ認証ステップにより不明ユーザと判定されると、該ユーザが認証可能なネットワーク上の装置を検出する認証装置検出ステップと、認証サーバ検出ステップで検出された認証サーバに対してユーザ認証を行う第2のユーザ認証ステップと、第1あるいは第2のユーザ認証ステップでユーザ認証されると、予め定められた制限に従い、サービス利用を許可する、アクセス制限ステップとを有することを特徴とする。   The user authentication and access control method of the present invention can authenticate a user when the received user information is determined as an unknown user by the first user authentication step for determining whether or not the received user information is a valid user. An authentication device detection step for detecting a device on the network, a second user authentication step for performing user authentication for the authentication server detected in the authentication server detection step, and a user authentication in the first or second user authentication step Then, according to a predetermined restriction, an access restriction step for permitting use of the service is provided.

本発明のプログラムは、ユーザ認証及びアクセス制御方法を情報処理装置に実行させることを特徴とする。   A program according to the present invention causes an information processing apparatus to execute a user authentication and access control method.

本発明のコンピュータ読み取り可能な記録媒体は、前記プログラムを記録したことを特徴とする。   The computer-readable recording medium of the present invention is characterized in that the program is recorded.

本発明によれば、ネットワークに接続された情報処理装置に対して処理要求があった場合に、ユーザ認証情報を提示させ、このユーザ認証情報を元にユーザ認証を行うが、不明ユーザと判定された場合、該ユーザ認証が可能なネットワーク上の他の情報処理装置で認証を行い、認証に成功すると予め定めされた制限のもとでサービスの利用を許可することで、ユーザ認証により識別可能なユーザ以外からの処理要求を拒絶するような環境においても、他の認証装置によりユーザ認証に成功した場合は、別段の管理やセキュリティ低下を起こすことなく当該ユーザに対して一時的な処理を可能とするものである。   According to the present invention, when there is a processing request to the information processing apparatus connected to the network, the user authentication information is presented, and the user authentication is performed based on the user authentication information. In this case, authentication is performed by another information processing apparatus on the network that can perform the user authentication, and if the authentication is successful, the use of the service is permitted under a predetermined restriction. Even in an environment where a processing request from a user other than the user is rejected, if the user authentication is successful by another authentication device, the user can be temporarily processed without any further management or security degradation. To do.

以下、本発明を適用した好適な実施形態を、添付図面を参照しながら詳細に説明する。   DESCRIPTION OF EXEMPLARY EMBODIMENTS Hereinafter, preferred embodiments to which the invention is applied will be described in detail with reference to the accompanying drawings.

<第1の実施形態>
図1は、本発明の一実施形態に係る通信ネットワークの構成を示す図である。Ethernet(登録商標)等のLAN(ローカルエリアネットワーク)101に情報処理装置102、印刷やスキャン等の複合処理を行う画像処理装置103及び105、認証サーバと呼ばれる情報処理装置104及びルータ110が接続されており相互に通信可能である。ルータ110はLAN111にも接続されており、LAN101に接続された装置とLAN111に接続された装置間の通信を中継する。LAN111には、情報処理装置112、画像処理装置113、認証サーバ114が接続されており、LAN111、121及び101上の装置と相互に通信可能である。LAN111は広域ネットワーク(WAN)120を介して、ルータ122によりLAN121にも接続されており各LAN上の機器は相互に通信が可能である。LAN121には、情報処理装置123と画像処理装置124が接続されている。なお、106、115及び125は、それぞれ認証サーバ104、114及び認証機能を有する画像処理装置124が管理している認証範囲を示している。 <First Embodiment>
FIG. 1 is a diagram showing a configuration of a communication network according to an embodiment of the present invention. An information processing apparatus 102, image processing apparatuses 103 and 105 that perform complex processing such as printing and scanning, an information processing apparatus 104 called an authentication server, and a router 110 are connected to a LAN (local area network) 101 such as Ethernet (registered trademark). And can communicate with each other. The router 110 is also connected to the LAN 111, and relays communication between a device connected to the LAN 101 and a device connected to the LAN 111. An information processing apparatus 112, an image processing apparatus 113, and an authentication server 114 are connected to the LAN 111, and can communicate with apparatuses on the LAN 111, 121, and 101. The LAN 111 is also connected to a LAN 121 by a router 122 via a wide area network (WAN) 120, and devices on each LAN can communicate with each other. An information processing device 123 and an image processing device 124 are connected to the LAN 121. Reference numerals 106, 115, and 125 denote authentication ranges managed by the authentication servers 104 and 114 and the image processing apparatus 124 having an authentication function, respectively.

図2は、本発明を実現する図1の通信ネットワーク構成における、画像処理装置103の内部構成図であり、画像処理装置105、113及び123でも同様の構成である。201はネットワークインターフェースであり、図1のLAN101と接続され、同様にLAN101に接続された装置と通信を行う。ネットワークインターフェース201によりLAN101から受信したデータは、ネットワーク制御部202により各種プロトコル処理が施された後、処理要求が取り出され、機器制御部203に送られる。機器制御部203では、ネットワーク制御部202からの処理要求を検出すると、ユーザ認証部206で、処理要求に含まれる、ユーザ識別子(ユーザID)とパスワードからなる認証情報によりユーザ認証を行う。ユーザ認証部206は、認証サーバ104に認証情報を送信してユーザ認証を行うか、画像処理装置123の様に内部にユーザ認証機能を有する場合はデータ保存部208に保持されたユーザIDとパスワードをもとにユーザ認証を行う。ユーザインターフェース制御部204は、操作パネル205からの入力を処理したり、逆に装置の状態などの情報を表示させる。操作パネル205から認証情報の入力を検知したユーザインターフェース制御部204は、機器制御部203を介してユーザ認証部206によりユーザ認証を行う。認証情報に含まれるユーザが登録されており且つパスワードが正し場合にのみ認証に成功する。ユーザ認証部206で認証に成功すると、次にアクセス制御部207で、認証されたユーザに対して設定され、データ保存部208に保存されているアクセス制御情報を参照し、要求された処理が認証されたユーザに対して許可されていれば、正常応答が返却される。アクセス制御部207から正常応答が返却されると、処理要求が印刷要求であれば、印刷制御部209の制御のもとプリンタエンジン210により印刷が行われ、スキャン要求であれば、スキャナ制御部211の制御のもとスキャンエンジン212により読み込み台に載せられた対象物の情報をスキャンするが、正常応答が返却されないと処理は拒絶される。   FIG. 2 is an internal configuration diagram of the image processing apparatus 103 in the communication network configuration of FIG. 1 for realizing the present invention, and the image processing apparatuses 105, 113, and 123 have the same configuration. Reference numeral 201 denotes a network interface, which is connected to the LAN 101 in FIG. 1 and similarly communicates with a device connected to the LAN 101. The data received from the LAN 101 by the network interface 201 is subjected to various protocol processes by the network control unit 202, and then a processing request is extracted and sent to the device control unit 203. When the device control unit 203 detects a processing request from the network control unit 202, the user authentication unit 206 performs user authentication using authentication information including a user identifier (user ID) and a password included in the processing request. The user authentication unit 206 transmits authentication information to the authentication server 104 to perform user authentication, or in the case of having an internal user authentication function like the image processing device 123, the user ID and password held in the data storage unit 208 User authentication is performed based on the above. The user interface control unit 204 processes an input from the operation panel 205 and conversely displays information such as the state of the apparatus. Upon detecting the input of authentication information from the operation panel 205, the user interface control unit 204 performs user authentication by the user authentication unit 206 via the device control unit 203. Authentication succeeds only when the user included in the authentication information is registered and the password is correct. When the user authentication unit 206 succeeds in authentication, the access control unit 207 next refers to the access control information set for the authenticated user and stored in the data storage unit 208, and the requested process is authenticated. If the authorized user is authorized, a normal response is returned. When a normal response is returned from the access control unit 207, if the processing request is a print request, printing is performed by the printer engine 210 under the control of the print control unit 209. If the processing request is a scan request, the scanner control unit 211 is printed. Under the control of the above, the scan engine 212 scans the information on the object placed on the reading table, but if the normal response is not returned, the process is rejected.

図6は、アクセス制御部207により参照、管理されるアクセス制限情報の一例である。ここでは、各ユーザに対して、「プリント」、「枚数」、「スキャン」、「ストレージ」の4つの項目があり、「プリント」と「枚数」はプリント要求に、「スキャン」はスキャン要求に、そして「ストレージ」はストレージ操作要求と3つの要求に関する制限が設定される。601を例に取ると、ユーザ「User1」はプリントが枚数制限なし(Unlimited)で利用可能(Allow)で、スキャンもストレージ操作も利用可能であることを示している。   FIG. 6 is an example of access restriction information that is referred to and managed by the access control unit 207. Here, there are four items for each user: “print”, “number of sheets”, “scan”, and “storage”, “print” and “number of sheets” are print requests, and “scan” is a scan request. In “storage”, a storage operation request and restrictions on three requests are set. Taking 601 as an example, it is indicated that the user “User1” can use the print without limitation (Unlimited) (Allow), and can use the scan and the storage operation.

以下、図2の画像処理装置の内部構成図と、図4及び図5のフローチャートを用いてLAN111に接続された認証サーバ114に登録されているユーザ(User−A)が情報処理装置102から印刷要求を画像処理装置103に行った場合の画像処理装置103における処理に関して説明する。なお、画像処理装置103で印刷する場合について説明していくが、画像処理装置105でも同様の処理を行うことで実現可能である。   Hereinafter, a user (User-A) registered in the authentication server 114 connected to the LAN 111 is printed from the information processing apparatus 102 using the internal configuration diagram of the image processing apparatus in FIG. 2 and the flowcharts in FIGS. 4 and 5. Processing in the image processing apparatus 103 when a request is made to the image processing apparatus 103 will be described. Although the case where printing is performed by the image processing apparatus 103 will be described, the image processing apparatus 105 can be realized by performing the same processing.

情報処理装置102から印刷処理要求を受信した画像処理装置103は、まず図4のステップS401で登録ユーザフラグをOFFにして、ステップS402でユーザ認証処理を呼び出す。一般にユーザ認証処理は、図1の認証サーバ104や114などの画像処理装置とは別の情報処理装置において行われるが、画像処理装置124の様に、認証サーバ機能を内包している場合は、画像処理装置内で認証処理を行うことも可能である。図5はユーザ認証処理のフローチャートであり、図4のステップS402の処理を示すものである。まずステップS501で処理要求に含まれる認証情報に指定されたユーザIDが認証データベースに登録されているかどうかを判定する。認証サーバには認証データベースと呼ばれるデータ保存機構が存在し、このデータベースでユーザIDとパスワードの対を管理している。ステップS501でユーザが登録されていない(認証データベースに当該ユーザIDが存在しない)と判定されると、ステップS502で不明ユーザ(Unknown)を返却する。ステップS501でユーザが登録されていると判定されると、ステップS503で認証情報に指定されたパスワードが、認証データベースでユーザと関連付けられているパスワードと一致するかどうかを判定し、一致しなければステップS505で認証失敗(NG)を、一致すればステップS504で認証成功(OK)を返却する。   The image processing apparatus 103 that has received the print processing request from the information processing apparatus 102 first turns off the registered user flag in step S401 in FIG. 4 and calls the user authentication process in step S402. In general, the user authentication process is performed in an information processing apparatus different from the image processing apparatus such as the authentication server 104 or 114 in FIG. 1, but when the authentication server function is included like the image processing apparatus 124, It is also possible to perform authentication processing in the image processing apparatus. FIG. 5 is a flowchart of the user authentication process and shows the process of step S402 of FIG. First, in step S501, it is determined whether or not the user ID specified in the authentication information included in the processing request is registered in the authentication database. The authentication server has a data storage mechanism called an authentication database, which manages user ID and password pairs. If it is determined in step S501 that the user is not registered (the user ID does not exist in the authentication database), an unknown user (Unknown) is returned in step S502. If it is determined in step S501 that the user is registered, it is determined in step S503 whether the password specified in the authentication information matches the password associated with the user in the authentication database. Authentication failure (NG) is returned in step S505, and if they match, authentication success (OK) is returned in step S504.

図5のユーザ認証処理が完了すると、図4のフローチャートに戻り、ステップS403で、認証が成功したか(OKが返却されたか)どうかを判定し、認証に成功しているとステップS414で、登録ユーザフラグをONにして、ステップS415へ進む。ステップS403で、認証に成功していない(Unknown又はNGが返却された)場合、ステップS404で、認証ユーザが不明ユーザかどうかを判定し、不明ユーザでは無い時、即ち認証に失敗していた場合は、ステップS413でアクセスを拒絶して処理を終了する。ステップS404で、不明ユーザであったと判定すると、ステップS405でユーザが、図3に示すような一時ユーザキャッシュに登録されているか判定する。一時ユーザキャッシュは、不明ユーザと該ユーザを認証可能な認証サーバのIPアドレスの対で構成されており、図2のデータ保存部208で保持される。ユーザが一時ユーザキャッシュに登録されていると、ステップS406でユーザと対となるIPアドレスが示す認証サーバに対して認証要求を送信し、ステップS411に進む。ステップS405で一時ユーザキャッシュに登録されていなければ、ステップS407でネットワーク上の認証サーバに対して、認証情報に含まれたユーザIDを含むユーザ認証依頼を送信する。ユーザ認証依頼は、マルチキャストパケットを用いて特定のマルチキャストアドレスに送信することで、該マルチキャストアドレスをリッスンしている認証サーバが該ユーザ認証依頼を解析し、自装置内で登録されているユーザに対する認証依頼であれば許諾応答を返却する。なお、マルチキャストアドレスを使った認証依頼の実現以外にも、E.Guttman,C.Perkins,J.Veizades,M.Day、1999年6月、インターネット<URL:http://www.ietf.org/rfc/rfc2608.txt>に示された、Service Location Protocol,Version 2等の検索仕様を用いて認証サーバを検出し、検出された認証サーバ毎にユーザ認証依頼を送信してユーザ認証させることも可能であることは言うまでも無い。   When the user authentication process in FIG. 5 is completed, the process returns to the flowchart in FIG. 4. In step S403, it is determined whether the authentication is successful (OK is returned). If the authentication is successful, the registration is performed in step S414. The user flag is turned on and the process proceeds to step S415. If authentication is not successful (Unknown or NG is returned) in step S403, it is determined in step S404 whether or not the authenticated user is an unknown user, and if it is not an unknown user, that is, if authentication has failed. In step S413, the access is denied and the process is terminated. If it is determined in step S404 that the user is an unknown user, it is determined in step S405 whether the user is registered in the temporary user cache as shown in FIG. The temporary user cache is composed of a pair of an unknown user and an IP address of an authentication server that can authenticate the user, and is held in the data storage unit 208 of FIG. If the user is registered in the temporary user cache, an authentication request is transmitted to the authentication server indicated by the IP address paired with the user in step S406, and the process proceeds to step S411. If it is not registered in the temporary user cache in step S405, a user authentication request including the user ID included in the authentication information is transmitted to the authentication server on the network in step S407. The user authentication request is transmitted to a specific multicast address using a multicast packet, so that the authentication server listening to the multicast address analyzes the user authentication request and authenticates the user registered in the own device. If requested, a permission response is returned. In addition to the realization of an authentication request using a multicast address, E.I. Guttman, C.I. Perkins, J .; Veizades, M .; Day, June 1999, Internet <URL: http: // www. ietf. org / rfc / rfc2608. It is also possible to detect an authentication server using a search specification such as Service Location Protocol, Version 2 shown in txt>, and send a user authentication request for each detected authentication server to perform user authentication. Needless to say.

ステップS408で、予め設定され変更可能な規定の時間(タイムアウト時間)を経過したかどうかを判定し、時間を経過した場合は、ステップS413へ進む。ステップS408でタイムアウト時間を経過していないと判定すると、ステップS409で、ステップS407において送信したユーザ認証依頼に対する認証許諾応答があったかどうかを判定し、応答がなければ、ステップS408のタイムアウト時間が経過したかどうかを判定する処理に戻る。ステップS409で認証許諾応答があると、ステップS410で、応答を送信した認証サーバに対して認証情報を送信する。例示したUser−Aは、LAN111上の認証サーバ114で管理されているため、認証サーバ114から認証許諾応答が返る。認証情報を受信した、即ち認証許諾応答を返している認証サーバ114は、図5のフローチャートに示すユーザ認証処理を行い、認証結果を返却する。そして、ステップS411で認証に成功したかどうかを判定し、認証に失敗するとステップS413で当該処理要求を拒絶して処理を終了する。ステップS411で認証に成功すると、ステップS412で、当該ユーザIDと認証サーバのIPアドレスとの対を図3に示すような、一時ユーザキャッシュに登録して、ステップS415へ進む。ステップS415では、認証されたユーザが登録ユーザかどうかを登録ユーザフラグがONかどうかで判定し、登録ユーザであれば、ステップS416で、図6に示すようなユーザ毎に設定されたアクセス制限情報に従い、要求された処理を許可するか拒絶する。例えば、ユーザがUser1で、要求がスキャン要求であった場合は、図6の601を参照し、「スキャン」欄が「Allow」であることから要求は許可され、続いてスキャン処理が実行される。一方、登録ユーザでなければ、ステップS417で、予め設定された一時ユーザ用制限に従い、要求された処理を許可するか拒絶する。例示するUser−Aは当該情報処理装置で識別できないユーザで且つ他のサーバで認証された一時ユーザであるため、図6の602に示す「Guest」ユーザとして扱われ、印刷処理要求に対して「プリント」項目が「Black」で、「枚数」項目が「100」であることから、白黒のみで100枚までの印刷要求であれば、続いて印刷処理が行われることになる。   In step S408, it is determined whether a predetermined time (timeout time) that is preset and can be changed has elapsed. If the time has elapsed, the process proceeds to step S413. If it is determined in step S408 that the timeout period has not elapsed, it is determined in step S409 whether there is an authentication permission response to the user authentication request transmitted in step S407. If there is no response, the timeout period of step S408 has elapsed. Return to the process of determining whether or not. If there is an authentication permission response in step S409, authentication information is transmitted to the authentication server that transmitted the response in step S410. Since the illustrated User-A is managed by the authentication server 114 on the LAN 111, an authentication permission response is returned from the authentication server 114. The authentication server 114 that has received the authentication information, that is, returning the authentication permission response, performs the user authentication process shown in the flowchart of FIG. 5 and returns the authentication result. In step S411, it is determined whether the authentication is successful. If the authentication fails, the processing request is rejected in step S413, and the process is terminated. If the authentication succeeds in step S411, in step S412, the pair of the user ID and the IP address of the authentication server is registered in the temporary user cache as shown in FIG. 3, and the process proceeds to step S415. In step S415, it is determined whether the authenticated user is a registered user by checking whether the registered user flag is ON. If the registered user is a registered user, in step S416, access restriction information set for each user as shown in FIG. To allow or reject the requested action. For example, if the user is User 1 and the request is a scan request, refer to 601 in FIG. 6 and the request is permitted because the “Scan” column is “Allow”, and then the scan process is executed. . On the other hand, if it is not a registered user, in step S417, the requested process is permitted or rejected according to a preset temporary user restriction. Since User-A illustrated is a user that cannot be identified by the information processing apparatus and is a temporary user authenticated by another server, it is treated as a “Guest” user indicated by reference numeral 602 in FIG. Since the “print” item is “Black” and the “number of sheets” item is “100”, if the print request is for black and white only and up to 100 sheets, the printing process is subsequently performed.

なお、第1の実施形態では、通信ネットワークに接続された情報処理装置から、複合機能を持った画像処理装置へ処理要求を行うことを例示したが、複合機能を持った画像処理装置の操作パネル(ユーザインターフェース)から、当該装置が有する機能に対する処理要求を行う場合に関しても同様に本発明が適用出来ることは言うまでもない。   In the first embodiment, the processing request is made from the information processing apparatus connected to the communication network to the image processing apparatus having the composite function. However, the operation panel of the image processing apparatus having the composite function is exemplified. It goes without saying that the present invention can be similarly applied to a case where a processing request for a function of the apparatus is made from (user interface).

以上、説明したように本実施形態によれば、処理を要求するユーザに対する認証に失敗した場合に、ネットワーク上の他の認証サーバへ認証依頼を行い、他の認証サーバでユーザ認証に成功すると、ある程度信頼できるユーザであると仮定して、特定のアクセス制限の下で処理を許可することで、仮ユーザ登録等の管理コストを掛けずに且つ無制限にアクセスを許可することでセキュリティレベルを落とすことなく、装置の一時利用を可能にするものである。また、他の認証サーバで認証されたユーザと該認証サーバの対をキャッシュすることにより一定時間内に連続する処理要求があった場合は、キャッシュを参照して認証サーバに接続をすることにより、認証処理を高速に行うことを可能にするものである。   As described above, according to the present embodiment, when authentication for a user who requests processing fails, when an authentication request is made to another authentication server on the network and user authentication is successful on the other authentication server, Assuming that the user is reliable to some extent, by allowing processing under specific access restrictions, the security level is lowered by permitting unlimited access without incurring administrative costs such as temporary user registration. It is possible to use the apparatus temporarily. In addition, when there is a continuous processing request within a certain time by caching the user authenticated by another authentication server and the pair of the authentication server, by referring to the cache and connecting to the authentication server, The authentication processing can be performed at high speed.

<第2の実施形態>
第1の実施形態では、サービスを提供する装置のユーザ認証を司る認証サーバ以外の認証サーバで認証されたユーザは、「guest」と呼ばれるユーザとして一元的に扱われていた。しかしながら、広範なネットワークを構築している企業等の環境においては、地域的に離れている認証サーバにより認証されたユーザの信憑性を信ずることは難しい場合がある。そこで、本発明の第2の実施形態では、認証依頼要求に対応する認証許諾応答を返却し、その後のユーザ認証処理で認証を行う認証サーバと、サービスを提供する装置に係る認証サーバとの距離をホップ数と呼ばれるネットワーク間に配置されデータの交換を行うルータと呼ばれる装置を何台通過したかを基準として、例えばホップ数が5以内であれば、近隣部署の認証サーバであると仮定されるため、ある程度の信頼を置くことが出来ることから、サービス利用に対して緩やかな制限を行うことで、例えばこれが5以上であれば信頼性が低いと考えられることからより厳しい制限を課するようなことも可能になる。 <Second Embodiment>
In the first embodiment, a user who is authenticated by an authentication server other than the authentication server that performs user authentication of a device that provides a service is centrally handled as a user called “guest”. However, in the environment of a company or the like that constructs a wide network, it may be difficult to trust the authenticity of a user who is authenticated by an authentication server that is distant from the region. Therefore, in the second embodiment of the present invention, the distance between the authentication server that returns the authentication permission response corresponding to the authentication request request and performs authentication in the subsequent user authentication processing, and the authentication server related to the apparatus that provides the service For example, if the number of hops is within five, it is assumed that it is an authentication server of a neighboring department, based on how many devices called routers that are arranged between networks called hops and exchange data. Therefore, it is possible to place a certain degree of trust, so by restricting the use of services moderately, for example, if this is 5 or more, it is considered that the reliability is low, so that more severe restrictions are imposed. It becomes possible.

図1の通信ネットワークにおいて、LAN121の認証サーバ機能を有する画像処理装置124で管理されているユーザ(User−B)が、LAN101の画像処理装置103の操作パネル205からスキャン要求を行う場合、画像処理装置103は、第一の実施形態で述べた通り、図4のフローチャートが示す処理を行うが、User−Bは、認証サーバ104で管理されていないため不明ユーザとして扱われ、認証要求に呼応して、認証サーバ機能を有する画像処理装置124により認証される。この場合、第1の実施形態ではGuestユーザとして一元的に処理されていたが、User−Bを認証した認証サーバ機能を有する画像処理装置124は、認証サーバ104からは、ルータ110を介してLAN111に、更にWAN120を経由してルータ122を介してLAN121上の認証機能を有する画像処理装置124と接続されるため、ホップ数が6であると仮定すると、閾値となるホップ数5を越えているため、図7に示すような、不明ユーザ用のアクセス制限リストを参照して処理が行われる。図7の不明ユーザ用アクセス制限リストは、図6のアクセス制限リストにおける登録ユーザ以外のユーザを切り出したものであり、ホップ数の閾値(本実施形態では5と設定)以内の認証サーバで認証されたユーザは「Guest1」、閾値を越える認証サーバで認証されたユーザは「Guest2」として扱われる。User−Bは、ホップ数6の画像処理装置124で認証されたため、図7の不明ユーザリストでは「Guest2」として扱われ、スキャン処理を示す「スキャン」項目が「Deny」となっていることから、スキャン要求は拒絶される。一方、認証サーバ114で認証されるUser−Aが同様の処理要求を行った場合は、認証サーバ104からはルータ110を介して認証サーバ114に接続されることから、ホップ数は1となり、図7の不明ユーザリストでは、「Guest1」として扱われ、「スキャン」項目は「Allow」であることから、スキャン要求は許可される。なお、ホップ数の閾値は画像処理装置の操作パネル205から任意の値を設定、変更可能なものとする。   When the user (User-B) managed by the image processing apparatus 124 having the authentication server function of the LAN 121 makes a scan request from the operation panel 205 of the image processing apparatus 103 of the LAN 101 in the communication network of FIG. As described in the first embodiment, the apparatus 103 performs the processing shown in the flowchart of FIG. 4. However, since User-B is not managed by the authentication server 104, it is treated as an unknown user and responds to the authentication request. Authentication is performed by the image processing apparatus 124 having an authentication server function. In this case, the image processing apparatus 124 having the authentication server function for authenticating User-B is transmitted from the authentication server 104 via the router 110 to the LAN 111, although it is centrally processed as a Guest user in the first embodiment. In addition, since it is connected to the image processing apparatus 124 having the authentication function on the LAN 121 via the router 122 via the WAN 120, assuming that the number of hops is 6, the number of hops exceeding the threshold value 5 is exceeded. Therefore, processing is performed with reference to the access restriction list for unknown users as shown in FIG. The access restriction list for unknown users in FIG. 7 is obtained by cutting out users other than registered users in the access restriction list in FIG. 6 and is authenticated by an authentication server within the threshold of hop count (set to 5 in the present embodiment). The user who has been authenticated by the authentication server exceeding the threshold is treated as “Guest 2”. Since User-B has been authenticated by the image processing apparatus 124 with 6 hops, it is treated as “Guest2” in the unknown user list in FIG. 7, and the “scan” item indicating scan processing is “Deny”. The scan request is rejected. On the other hand, when User-A authenticated by the authentication server 114 makes a similar processing request, since the authentication server 104 is connected to the authentication server 114 via the router 110, the number of hops is 1. 7 is handled as “Guest1”, and the “scan” item is “Allow”, so the scan request is permitted. Note that an arbitrary value can be set and changed from the operation panel 205 of the image processing apparatus as the threshold value of the hop count.

このように、本発明の第2の実施形態によれば、ユーザからの処理要求を受けた画像処理装置と該ユーザを認証したネットワーク上の他の認証装置とのネットワーク距離をルータの通過数であるホップ数を計測し、これが規定値を越えたかどうかにより、アクセス制限を変更することにより、ネットワーク距離が近い認証装置で認証されるユーザは比較的信頼できると判断し、より広範なアクセス許可を与え、逆にネットワーク距離が遠い認証装置で認証されるユーザは、信頼度が低いため最小限のアクセス許可のみを与えるといった柔軟な運用を可能にするものである。   As described above, according to the second embodiment of the present invention, the network distance between the image processing apparatus that has received a processing request from a user and another authentication apparatus on the network that has authenticated the user is represented by the number of passages of the router. By measuring the number of hops and changing the access restriction depending on whether this exceeds the specified value, it is determined that users authenticated by an authentication device with a short network distance are relatively reliable, and a wider range of access permissions is granted. On the other hand, a user who is authenticated by an authentication apparatus having a long network distance enables flexible operation such as giving only a minimum access permission because the reliability is low.

なお、第1及び第2の実施形態では、情報処理装置の一種である、複合機能をもった画像処理装置を例にあげて説明したが、パーソナルコンピュータ(PC)やワークステーション(WS)等の情報処理装置に対する処理要求に関しても同様に本発明が適用出来ることは言うまでもない。   In the first and second embodiments, an image processing apparatus having a composite function, which is a kind of information processing apparatus, has been described as an example. However, a personal computer (PC), a workstation (WS), or the like is used. Needless to say, the present invention can also be applied to processing requests to an information processing apparatus.

また、本発明の目的は、前述した実施形態の機能を実現するソフトウェアのプログラムコードを記録した記憶媒体を、システム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU)が記憶媒体に格納されたプログラムコードを読み出し実行することによっても、達成されることは言うまでもない。   Another object of the present invention is to supply a storage medium storing software program codes for realizing the functions of the above-described embodiments to a system or apparatus, and the computer (or CPU or MPU) of the system or apparatus stores the storage medium. Needless to say, this can also be achieved by reading and executing the program code stored in.

この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施形態の機能を実現することになり、プログラムコード自体及びそのプログラムコードを記憶した記憶媒体は本発明を構成することになる。   In this case, the program code itself read from the storage medium realizes the functions of the above-described embodiments, and the program code itself and the storage medium storing the program code constitute the present invention.

プログラムコードを供給するための記憶媒体としては、例えば、フレキシブルディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、CD−R、磁気テープ、不揮発性のメモリカード、ROM等を用いることができる。   As a storage medium for supplying the program code, for example, a flexible disk, a hard disk, an optical disk, a magneto-optical disk, a CD-ROM, a CD-R, a magnetic tape, a nonvolatile memory card, a ROM, or the like can be used.

また、コンピュータが読み出したプログラムコードを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムコードの指示に基づき、コンピュータ上で稼動しているOS(基本システム或いはオペレーティングシステム)などが実際の処理の一部又は全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。   Further, by executing the program code read by the computer, not only the functions of the above-described embodiments are realized, but also an OS (basic system or operating system) running on the computer based on the instruction of the program code. Needless to say, a case where the function of the above-described embodiment is realized by performing part or all of the actual processing and the processing is included.

さらに、記憶媒体から読み出されたプログラムコードが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部又は全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。   Further, after the program code read from the storage medium is written in a memory provided in a function expansion board inserted into the computer or a function expansion unit connected to the computer, the function is determined based on the instruction of the program code. It goes without saying that the CPU or the like provided in the expansion board or function expansion unit performs part or all of the actual processing and the functions of the above-described embodiments are realized by the processing.

本発明の一実施形態に係る通信ネットワークの構成を示す図である。It is a figure which shows the structure of the communication network which concerns on one Embodiment of this invention. 本発明の一実施形態に係る画像処理装置の内部モジュール構成例である。2 is an internal module configuration example of an image processing apparatus according to an embodiment of the present invention. 本発明を実現する画像処理装置内に保存される一時ユーザキャッシュの一例を示す図である。It is a figure which shows an example of the temporary user cache preserve | saved in the image processing apparatus which implement | achieves this invention. 本発明の一実施形態に係る画像処理装置のアクセス制御処理を示すフローチャートである。4 is a flowchart illustrating access control processing of the image processing apparatus according to an embodiment of the present invention. 本発明の一実施形態に係る画像処理装置で処理される認証処理を示すフローチャートである。It is a flowchart which shows the authentication process processed with the image processing apparatus which concerns on one Embodiment of this invention. 本発明に係る画像処理装置で管理、保持されるアクセス制御情報の一例を示す図である。It is a figure which shows an example of the access control information managed and hold | maintained with the image processing apparatus which concerns on this invention. 本発明に係る画像処理装置で管理、保持される不明ユーザ用のアクセス制御情報の一例を示す図である。It is a figure which shows an example of the access control information for unknown users managed and hold | maintained with the image processing apparatus which concerns on this invention.

符号の説明Explanation of symbols

101、111、121 ネットワーク
102、112、123 情報処理装置(クライアント)
103、105、113、124 画像処理装置
104、114 情報処理装置(認証サーバ)
110、122 ルータ 101, 111, 121 Network 102, 112, 123 Information processing device (client)
103, 105, 113, 124 Image processing device 104, 114 Information processing device (authentication server)
110, 122 routers

Claims (9)

通信ネットワークに接続された装置において各種処理を行う情報処理装置であって、通信ネットワーク上の装置と通信を行う通信手段と、当該装置の状態等の各種情報を表示するか当該装置に指示を与えるユーザインターフェース手段と、各種データを保存するデータ保存手段と、通信手段又はユーザインターフェース手段により処理要求を行うユーザが正当なユーザかどうかを判定する第1のユーザ認証手段と、第1のユーザ認証手段により正当なユーザと認められなかった場合にネットワーク上の他の認証装置に対して該ユーザの認証が可能な装置を検出する認証装置検出手段と、認証装置検出手段により有効な認証装置が検出された場合、該認証装置対して認証処理を行う第2の認証手段と、認証ユーザ毎の制限情報を元に処理要求に対するアクセス制限を行うアクセス制限手段とを有することを特徴とする情報処理装置。   An information processing apparatus that performs various types of processing in a device connected to a communication network. The communication unit communicates with a device on the communication network, and displays various information such as the state of the device or gives an instruction to the device. User interface means, data storage means for storing various data, first user authentication means for determining whether a user who makes a processing request by means of communication means or user interface means is a valid user, and first user authentication means The authentication device detecting means for detecting a device that can authenticate the user to another authentication device on the network when the user is not recognized as a valid user, and the authentication device detecting means detects a valid authentication device. If the authentication request is issued, the second authentication unit that performs the authentication process for the authentication device and the processing request based on the restriction information for each authenticated user The information processing apparatus characterized by having an access limiting means for accessing limitations. 認証依頼手段により他の認証装置で認証に成功したユーザと認証装置を関連付けて保持する認証関係保持手段を有することを特徴とする請求項1記載の情報処理装置。   The information processing apparatus according to claim 1, further comprising an authentication relationship holding unit that holds a user who has been successfully authenticated by another authentication device by the authentication request unit and the authentication device. ユーザ認証手段は、装置内部の認証手段あるいは外部装置の認証手段を利用することを特徴とする請求項1または2記載の情報処理装置。   3. The information processing apparatus according to claim 1, wherein the user authentication means uses an authentication means inside the apparatus or an authentication means of an external device. 第2のユーザ認証手段は、ユーザインターフェース手段からの設定により無効にすることが可能であることを特徴とする請求項1ないし3のいずれか記載の情報処理装置。   4. The information processing apparatus according to claim 1, wherein the second user authentication unit can be disabled by setting from the user interface unit. 第2のユーザ認証手段により認証されたユーザを特定のユーザとして、アクセス制限手段により、処理要求に対して制限を加えることを特徴とする請求項1ないし4のいずれか記載の情報処理装置。   5. The information processing apparatus according to claim 1, wherein the processing request is restricted by the access restriction unit, with the user authenticated by the second user authentication unit as a specific user. 6. 認証依頼手段により送信された認証依頼に応答し、第2のユーザ認証手段との手続きによりユーザ認証を行う認証装置と、該情報処理装置のユーザ認証を行う認証装置とのネットワーク距離を計測する計測手段を有し、計測手段により計測されたネットワーク距離が規定値を越えているかどうかにより、特定ユーザのアクセス制限を変更することを特徴とする請求項1ないし5のいずれか記載の情報処理装置。   Measurement that measures the network distance between the authentication device that performs user authentication in accordance with the procedure with the second user authentication unit and the authentication device that performs user authentication of the information processing device in response to the authentication request transmitted by the authentication request unit 6. The information processing apparatus according to claim 1, further comprising: means for changing the access restriction of the specific user depending on whether the network distance measured by the measuring means exceeds a specified value. 情報処理装置によるユーザ認証処理及びアクセス制御方法であって、ユーザを認証する第一のユーザ認証ステップと、前記ユーザ認証ステップにおいてユーザ認証に失敗した場合、他のユーザに認証を依頼する認証依頼ステップと、認証されるユーザ毎に設定されたアクセス制限情報に基づきアクセス制御を行うアクセス制御ステップと有することを特徴とするユーザ認証処理及びアクセス制御方法。   A user authentication process and an access control method by an information processing apparatus, wherein a first user authentication step for authenticating a user, and an authentication request step for requesting another user for authentication when user authentication fails in the user authentication step And an access control step for performing access control based on access restriction information set for each authenticated user, and a user authentication process and an access control method. 請求項7に記載のユーザ認証処理及びアクセス制御方法をコンピュータに実行させるためのプログラム。   A program for causing a computer to execute the user authentication processing and the access control method according to claim 7. 請求項8に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。   A computer-readable recording medium on which the program according to claim 8 is recorded.
JP2004358572A 2004-12-10 2004-12-10 Information processor, user authentication processing, and access control method Withdrawn JP2006164174A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004358572A JP2006164174A (en) 2004-12-10 2004-12-10 Information processor, user authentication processing, and access control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004358572A JP2006164174A (en) 2004-12-10 2004-12-10 Information processor, user authentication processing, and access control method

Publications (1)

Publication Number Publication Date
JP2006164174A true JP2006164174A (en) 2006-06-22

Family

ID=36666093

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004358572A Withdrawn JP2006164174A (en) 2004-12-10 2004-12-10 Information processor, user authentication processing, and access control method

Country Status (1)

Country Link
JP (1) JP2006164174A (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008134857A (en) * 2006-11-28 2008-06-12 Canon Marketing Japan Inc Image processor, control method for image processor and program
JP2010277185A (en) * 2009-05-26 2010-12-09 Ricoh Co Ltd Image forming apparatus, authentication system, authentication control method and authentication control program
JP2011107843A (en) * 2009-11-13 2011-06-02 Konica Minolta Business Technologies Inc Information equipment device
JP2013501984A (en) * 2009-08-11 2013-01-17 ゼットティーイー コーポレイション Method for establishing trust in identity management, identity provider and service provider
JP2016015606A (en) * 2014-07-02 2016-01-28 ブラザー工業株式会社 Image processing apparatus, mobile device, restricting method, and storage medium
GB2507941B (en) * 2010-02-22 2018-10-31 Avaya Inc Secure,policy-based communications security and file sharing across mixed media,mixed-communications modalities and extensible to cloud computing such as soa
JP2020047287A (en) * 2016-03-15 2020-03-26 富士ゼロックス株式会社 Program and information processing apparatus

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008134857A (en) * 2006-11-28 2008-06-12 Canon Marketing Japan Inc Image processor, control method for image processor and program
JP2010277185A (en) * 2009-05-26 2010-12-09 Ricoh Co Ltd Image forming apparatus, authentication system, authentication control method and authentication control program
JP2013501984A (en) * 2009-08-11 2013-01-17 ゼットティーイー コーポレイション Method for establishing trust in identity management, identity provider and service provider
US8910244B2 (en) 2009-08-11 2014-12-09 Zte Corporation Method for establishing identity management trust, identification provider and service provider
JP2011107843A (en) * 2009-11-13 2011-06-02 Konica Minolta Business Technologies Inc Information equipment device
GB2507941B (en) * 2010-02-22 2018-10-31 Avaya Inc Secure,policy-based communications security and file sharing across mixed media,mixed-communications modalities and extensible to cloud computing such as soa
JP2016015606A (en) * 2014-07-02 2016-01-28 ブラザー工業株式会社 Image processing apparatus, mobile device, restricting method, and storage medium
JP2020047287A (en) * 2016-03-15 2020-03-26 富士ゼロックス株式会社 Program and information processing apparatus

Similar Documents

Publication Publication Date Title
KR102390108B1 (en) Information processing system and control method therefor
CN109417553B (en) Detecting attacks using leaked credentials via internal network monitoring
US10754934B2 (en) Device, control method of the same, and storage medium
US9027086B2 (en) Securing organizational computing assets over a network using virtual domains
US7792993B1 (en) Apparatus and methods for allocating addresses in a network
US20130305325A1 (en) Methods for Thwarting Man-In-The-Middle Authentication Hacking
CN109428891A (en) Permission transfer system and its control method and client
JP2007004605A (en) Communication system, client, server, and program
JP2019155610A (en) Image formation device, authentication method of image formation device, program and print system
US8464360B2 (en) Information processing apparatus and image processing program
JP2011070513A (en) Access control system, authentication server system, and access control program
US8749805B2 (en) Method and apparatus for allowing packet in network image forming apparatus includes setting user account information corresponding to plurality of network interfaces
JP2006164174A (en) Information processor, user authentication processing, and access control method
JP2007141230A (en) System, method and program for validating new security authentication information
JP2008077145A (en) Authentication system, authentication server, system management server, authentication program and system management program
JP2007241812A (en) Authentication system, program and method
JP7043480B2 (en) Information processing system and its control method and program
JP2005328373A (en) Network security system
US11683196B2 (en) Communication control device and non-transitory computer readable medium
TWI823202B (en) Authorization proxy system and authorization proxy method
JP2000330939A (en) Hypertext access control method for communication network
JP2008278134A (en) Network control unit, network control method, and computer program
JP4152391B2 (en) Access control system, terminal and gateway device used therefor
JP2006252016A (en) User authentication system, user authentication server and user authentication program
KR20230075297A (en) Service providing method based on user network profile

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20080304