JP2006252023A - 画像入出力処理装置 - Google Patents
画像入出力処理装置 Download PDFInfo
- Publication number
- JP2006252023A JP2006252023A JP2005065727A JP2005065727A JP2006252023A JP 2006252023 A JP2006252023 A JP 2006252023A JP 2005065727 A JP2005065727 A JP 2005065727A JP 2005065727 A JP2005065727 A JP 2005065727A JP 2006252023 A JP2006252023 A JP 2006252023A
- Authority
- JP
- Japan
- Prior art keywords
- information
- snmp
- user
- management
- image input
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
【課題】SNMPv3を利用する画像入出力処理装置において、セキュリティを維持しながら、管理サーバが効率的に管理できるようにする。
【解決手段】システムユーザ名と権限情報と認証情報を関連付けた第1のテーブルに基づいて、SNMPユーザ名と認証情報を関連付ける第2のテーブルと、SNMP権限グループと権限情報を関連付ける第3のテーブルを作成する。1ユーザが複数の権限グループに所属できるようにする。第2と第3のテーブルに従って、SNMPを使用して他の画像入出力処理装置のユーザ管理情報と利用権限管理情報を同期更新する。ユーザが1つの機器に設定した情報を他の機器に反映させることができ、複数の画像入出力処理装置を、SNMPを利用して同一の認証/権限情報で管理することができる。
【選択図】図1
【解決手段】システムユーザ名と権限情報と認証情報を関連付けた第1のテーブルに基づいて、SNMPユーザ名と認証情報を関連付ける第2のテーブルと、SNMP権限グループと権限情報を関連付ける第3のテーブルを作成する。1ユーザが複数の権限グループに所属できるようにする。第2と第3のテーブルに従って、SNMPを使用して他の画像入出力処理装置のユーザ管理情報と利用権限管理情報を同期更新する。ユーザが1つの機器に設定した情報を他の機器に反映させることができ、複数の画像入出力処理装置を、SNMPを利用して同一の認証/権限情報で管理することができる。
【選択図】図1
Description
本発明は、画像入出力処理装置に関し、特に、コピー、プリンタ、ファクシミリ、スキャナなどの画像入出力処理装置を、SNMPを利用して管理監視する技術に関する。
ネットワークが普及し、画像入出力処理装置も、ネットワーク機能の装備が標準となっている。この環境の中では、ネットワークに接続された画像入出力処理装置は、セキュリティ機能が重要視されてきている。また、画像入出力処理装置は、多種多様な機能を搭載している。そのため、各機能の利用権限を、各ユーザに対して割り当てるアクセスロール管理機能も設ける必要がある。ネットワーク接続された画像入出力処理装置を管理監視するために、SNMPが利用されている。
SNMP(Simple Network Management Protocol)は、様々な機器をネットワーク経由で監視するためのプロトコルである。制御の対象となる機器は、MIBと呼ばれる管理情報データベースを持っており、管理を行う機器は、対象機器のMIBに基づいて適切な設定を行う。SNMPv1は「RFC 1157」で定義されており、SNMPv2は「RFC 1441」で定義されている。
SNMPによるネットワーク管理は、マネージャと、管理対象機器に常駐するエージェントとの間のUDP通信により実現される。UDP(User Datagram Protocol)は、TCPと同じ第4層に属するレイヤである。UDPは1対多の通信に用いられるもので、通信の信頼性は保証されない。情報を提供する側はSNMPエージェントであり、機器から情報を引き出す側はSNMPマネージャである。マネージャからのリクエストに対して、エージェントはレスポンスを返す。また、機器がリブートした等、特別な事象が発生した時は、エージェントからマネージャにトラップが送られる。
エージェントは、いつマネージャからリクエストを受けるかわからないので、常に自分自身に関する管理情報を内部に保持している必要がある。そういった管理情報の集合体をSNMPでは、MIB(Management Information Base)と呼ぶ。MIBは、SNMPに対応したネットワーク機器についての管理情報のデータベースである。マネージャからのリクエストに対して、エージェントはMIB内の情報を返す。MIBに定義されている情報しか、マネージャは取得することができない。MIBに格納されている個々の管理情報のことを、オブジェクト(Object)と呼ぶ。
MIBに格納される個々の情報には、それぞれOID(Object Identifier)という番号が振られている。OIDとは、一つひとつのオブジェクトを区別するために振られた識別子で、オブジェクト識別子とも呼ばれる。MIBでは、オブジェクトはツリー構造で管理されている。OIDは、例えば、".1.3.6.1.2.1.1"のように、ピリオドで区切られた数字として表現される。ピリオドで区切られる各数値は、オブジェクトのツリー構造の枝に対応する。マネージャ側は、エージェントから情報を集める際は、このOIDを指定してリクエストを出すことになる。図10は、MIBの構造を示す例である。MIBは、枝と葉を管理オブジェクトに相当するツリーとして表すことができ、ObjectIDとして定義される。
SNMPv1v2では、個々のエージェントに「コミュニティ名」と呼ばれる名前が設定される。マネージャがエージェントのMIB情報にアクセスする際は、このコミュニティ名を指定することで、データの参照や書き換えが可能になる。コミュニティ名は、マネージャとエージェントとの間のやりとりで、パスワードのような役割を持っている。つまり、マネージャからエージェントにリクエストを発行する時、正しいコミュニティ名を指定しないと、エージェント側では不正アクセスと解釈する。しかし、SNMPv1v2では、リモートからの設定が行える機能を持ちながらも、セキュリティ機能は弱い。また、管理者を機能のグループごとに分け、各々管理者権限を与えることができるが、ユーザの概念がないため、各機能の利用権限をユーザごとに設定することができない。
SNMPv1v2のセキュリティ強化を目的とし、SNMPv3が制定された。SNMPv3は、RFC 2273〜2275に定められた相互運用可能な標準のプロトコルで、ネットワーク上での認証およびパケットの暗号化との組み合わせによって装置への安全なアクセスを保証するものである。SNMPv3では、MIBへのアクセスがより安全に行える。機器でサポートするSNMPv3関連RFCについては、RFC2570〜2575を参照されたい。
SNMPv3は、管理情報に安全にアクセスするための3つのモードがある。
(1)非認証/非暗号化:このオプションでは、セキュリティ、信頼性、プライバシーが何も保たれない。
(2)認証/非暗号化:管理アプリケーションを使用するユーザは、MIBにアクセスをする前に、SNMPv3エンティティにより認証される。
(3)認証/暗号化:管理アプリケーションを使用するユーザは、MIBにアクセスをする前に、SNMPv3エンティティにより認証される。さらに、リクエストと応答は全て暗号化されるため、全てのデータは完全に安全である。
(1)非認証/非暗号化:このオプションでは、セキュリティ、信頼性、プライバシーが何も保たれない。
(2)認証/非暗号化:管理アプリケーションを使用するユーザは、MIBにアクセスをする前に、SNMPv3エンティティにより認証される。
(3)認証/暗号化:管理アプリケーションを使用するユーザは、MIBにアクセスをする前に、SNMPv3エンティティにより認証される。さらに、リクエストと応答は全て暗号化されるため、全てのデータは完全に安全である。
SNMPv3エージェントは、デバイス内のエージェントを固有に認識するエンジンIDを持っている。エンジンIDは、ネットワーク管理者によって設定され、その内部ネットワークに固有のものである。各パケットは、2つのエンジンIDを持っている。1つは、ユーザ名、キーロケーションなどのセキュリティ情報を識別するために使われる。もう1つは、パケット運搬がどこから来てどこへ行くのかについて識別する。SNMPv1v2には、エンジンIDという概念がなく、その代わりに、デバイスのIPアドレスまたはドメイン名を基にしている。図11に、アクセス方法の例を示す。
以下に、従来のSNMP利用システムの例をいくつかあげる。特許文献1に開示された「ネットワーク管理装置」は、種々の画像処理装置に関して、管理すべきネットワーク管理情報の記憶処理負担と通信管理負担を軽減するものである。SNMPサブエージェントで管理されるネットワーク管理情報をSNMPで取得する。取得されたネットワーク管理情報を、SNMPサブエージェント側で管理する情報であることを識別する識別情報とともに記憶する。その際に、SNMPマスタエージェントから取得されるネットワーク管理情報と、記憶されているネットワーク管理情報とを比較する。記憶されているネットワーク管理情報を追加更新する。ネットワーク上のネットワーク管理マネージャからの取得要求に従い、追加更新されているネットワーク管理情報を返送する。
特許文献2に開示された「ネットワーク管理システム」は、管理する際に、管理対象のエージェント装置からデータを得ることで、管理ステーション側の負担を軽減させたネットワーク管理システムである。印刷装置は、自装置の状態変化を、トラップを発して管理ステーションに通知する。その処理において、アラートの内容に対応した音声情報を保持している。管理ステーションに通知し、かつアラートの内容に対応した音声データを、FTPなどSNMP以外で送出する。その取得に必要な情報だけを、SNMP TRAPで通知する。管理ステーションは、アラートの項目毎に音声データを管理する。過去に一度取得済みのデータは、ローカルに記憶保持し、改めて取得はしない。
特許文献3に開示された「簡易ネットワーク管理プロトコル(SNMP)エージェントを初期化するためのシステム」は、SNMPv3モードでSNMPエージェントを初期化するためのシステムである。オペレータが、初期SNMPv3機密キーと認証キーとを、SNMPv3デバイスに安全に入力し、そのデバイスをSNMPv3モードに入れることを可能にする。SNMPマネージャとSNMPエージェントは、関連付けられる乱数とパブリック値とを生成する。SNMPマネージャは、そのパブリック値を、構成ファイルによってSNMPエージェントに渡す。これによって、SNMPv3デバイス内の自社開発のMIBエレメントは、SNMPマネージャのパブリック値に設定される。SNMPマネージャは、SNMPエージェントのパブリック値に対するアクセス権を有する初期有効ユーザを用いて、SNMP要求によってSNMPエージェントのパブリック値を読み取る。SNMPエージェントとSNMPマネージャは、Diffie-Hellmanキー交換プロトコルを使用して、それぞれ別個に共用秘密を計算する。SNMPマネージャとSNMPエージェントは、それぞれ別個に共用秘密を同一の読取可能パスワードに変換し、この読取可能パスワードを同一の秘密キーに変換し、初期認証キーと初期機密キーをその秘密キーの値に設定する。
しかし、SNMPv3のユーザ認証モデル(USM: User-Based Security Model)では、1ユーザが複数の権限グループに所属することはできない。したがって、多種多様のアクセス権限の中から、必要な権限のみを個々のユーザに対して割り当てることができず、以下のような問題がある。
例えば、ユーザとは関係ない情報を、きめ細かく効率的に管理することができない。ユーザとは関係ない情報を管理する管理サーバにおいて、管理下にある多数の機器ごとに有効なユーザ名を管理しなければならない場合がある。その場合、ユーザとは関係ない機器本体の情報を監視するために、共有ユーザ名があると都合がよい。しかし、管理サーバ側からの管理を効率よくするために、機器ごとに各種の設定を行うのでは、手間と時間がかかってしまう。
また、ユーザ名ごとに設定情報の更新と同期の可否を設定することができない。MIB情報を同期させる必要性が、ユーザによって異なる。ユーザには関係しない機器情報などを取得/設定するために設けられた共有ユーザについては、MIB情報を一定期間で更新する必要がある。
また、MIB情報などの同期をとる場合、更新要求を受け付ける側としては、同期を要求してくる相手側の認識を厳格に行わないと、不正な相手からのデータ更新を許してしまう危険性がある。そのため、同期を要求してくる相手の情報を管理する必要がある。SNMPv3のセキュリティモードを、暗号も認証も利用しない非認証/非暗号化モードに設定した場合、悪意のあるユーザからの不当な情報によって、MIB情報が書き換えられてしまう危険性がある。
本発明の目的は、上記従来の問題を解決して、SNMPv3を実装した画像入出力処理装置において、ユーザ名ごとに、設定情報の更新/同期の可否や利用権限の割当てを管理できるようにして、SNMPv3のセキュリティレベルを低く設定したユーザの設定情報が不当に書き換えられないようにセキュリティを維持しながら、管理サーバが画像入出力処理装置を効率的に管理できるようにすることである。
上記の課題を解決するために、本発明では、ネットワーク管理部と、ユーザ情報管理部と、セキュリティ管理部と、アクセス制御管理部と、システムアクセスロール管理用データ部と、SNMP管理用データ部とを具備する画像入出力処理装置のシステムアクセスロール管理用データ部に、システムユーザ名と利用権限管理情報と認証情報とを関連付けた第1のテーブルを設け、SNMP管理用データ部に、第1のテーブルに従ってSNMPユーザ名と認証情報を関連付けた第2のテーブルと、第1のテーブルに従ってSNMP権限グループと権限情報を関連付けた第3のテーブルとを設け、アクセス制御管理部に、第1と第2のテーブルに従って、SNMPを使用して他の画像入出力処理装置のユーザ情報と権限情報とを更新する同期手段を設けた構成とした。
上記のように構成したことにより、ユーザが1つの画像入出力処理装置に設定した情報を他の画像入出力処理装置に反映させることができ、複数の画像入出力処理装置を、SNMPを利用して同一の認証/権限情報で管理することができる。また、SNMPv3のユーザ認証とアクセス権限制御に関して、統一的なセキュリティ管理ができる。
以下、本発明を実施するための最良の形態について、図1〜図9を参照しながら詳細に説明する。
本発明の実施例は、システムユーザ名と権限情報と認証情報を関連付けた第1のテーブルに基づいて、SNMPユーザ名と認証情報を関連付ける第2のテーブルと、SNMP権限グループと権限情報を関連付ける第3のテーブルを作成し、第2と第3のテーブルに従って、SNMPを使用して他の画像入出力処理装置のユーザ管理情報と利用権限管理情報を同期更新する画像入出力処理装置である。
図1は、本発明の実施例における画像入出力処理装置の機能的概念図である。図1において、機能管理部1は、画像入出力処理装置が搭載している機能に関連する項目を把握し管理する手段である。セキュリティ管理部2は、ユーザのパスワードなどの管理を行う手段である。ユーザ情報管理部3は、画像入出力処理装置にアクセスするユーザを管理する手段である。アクセス制御管理部4は、管理情報にアクセスするユーザに対して、その情報にアクセス可能か否かを判断し管理する手段である。システムアクセスロール管理用データ部6は、画像入出力処理システムのアクセス権限管理を行うための情報を保存する記憶媒体である。SNMPv1v2, SNMPv3管理用データ部7は、SNMPのみが参照/設定を行う情報を保存する記憶媒体である。NVRAM8は、画像入出力処理システムが保持する情報、ネットワークが保持する情報を保存する手段である。
画像入出力処理システムとして管理するユーザとアクセスロール情報(アクセス権限情報)は、SNMPv1v2, SNMPv3が管理する情報とは別に設ける。SNMPv3がユーザ認証とアクセス制御を行うための基本となる情報は、MIBという形でもつ。SNMP以外の設定機能プロセスなどがSNMPに関する設定情報を書き込む対象メモリはNVRAM8である。SNNPv1v2, SNMPv3管理用データ部7の情報を、他のプロセスが直接設定/参照することはない。
図2は、画像入出力処理装置の機能ブロック図である。重要な部分のみを記載している。画像入出力処理システム全体としては、プリンタ部、スキャナ部、システム管理部など、多数必要となる。図2において、機能管理部1は、画像入出力処理装置が搭載している機能と関連項目を把握し管理する手段である。セキュリティ管理部2は、ユーザ、パスワードなどの管理を行う手段である。ユーザ情報管理部3は、画像入出力処理装置を使用する(アクセスする)ユーザを管理する手段である。アクセス制御管理部4は、機能と関連する項目に対してアクセス可能かを判断し管理する手段である。ネットワーク管理部5は、ネットワークI/F、プロトコルなどを管理する手段である。システムアクセスロール管理用データ部6は、画像入出力処理システムのアクセス権限管理を行うための情報を保存する記憶媒体である。SNMPv1v2, v3管理用データ部7は、SNMPのみが参照/設定を行う情報を保存する記憶媒体である。NVRAM8は、画像入出力処理システムが保持する情報、ネットワークが保持する情報を保存する手段である。SNMPの設定に必要なコミュニティ情報とトラップ情報も含む。
図3は、アクセス制限を課した場合の動作を示す図である。図4は、ユーザ情報管理サービスとSNMPの関連を示すブロック図である。図4において、ユーザ情報管理サービス(UCS)101は、画像入出力処理システムのユーザ情報を管理する手段である。ネットワーク管理サービス(NCS)102は、ネットワークを介する装置相互の情報と制御を管理する手段である。SNMP (SNMPv1v2, SNMPv3) 103は、NCSに含まれており、ネットワークを監視するSNMPプロトコルのプロセスである。第1のテーブル121は、画像入出力処理装置のユーザ管理用のテーブルである。UCSの管理下にあり、システムアクセスロール管理用データ部6に格納されている。第2テーブル122は、SNMPのユーザ管理用のテーブルである。第3のテーブル123は、SNMPのアクセス権限管理用のテーブルである。第2、第3のテーブルは、SNMPの管理下にあり、SNMPv1v2, v3管理用データ部7に格納されている。
図5は、ユーザ情報管理サービス(UCS)101が管理している項目例を示す表である。図6は、ユーザ情報管理サービス(UCS)101が管理している項目を実際に定義した表の例である。図7は、ユーザ情報管理サービスで管理している項目とSNMPのMIBとの関係を示した表である。図8は、図6に示した例を、実際にMIBにマッピングした表である。図9は、画像入出力処理装置の動作手順を示すフローチャートである。
上記のように構成された本発明の実施例における画像入出力処理装置の動作を説明する。最初に、図1と図2を参照しながら、画像入出力処理装置の機能の概要を説明する。画像入出力処理装置は、ネットワーク機能と、スキャナ機能やFAX機能などを搭載している。この画像入出力処理装置は、個々で異なる設計条件を要する機能と、グループごとに設定/参照条件を必要とする機能を、混在して有するものであってよい。セキュリティ機能を強化するために、暗号を含むユーザ認証とアクセス権限管理を行う機能を備えている。SNMPv3のセキュリティ機能であるユーザ認証モデルとアクセス制御モデルを利用して、セキュリティとアクセス制御を強化している。SNMPv3のユーザ認証モデルとは異なるシステム上で動作するモデルとの連携をはかるために、SNMPv3を実装した画像入出力処理装置側で、1ユーザが複数の権限グループに所属できるようにしてある。
画像入出力処理システムで管理しているユーザ名とアクセス権限と認証情報を関連付ける第1のテーブルと、SNMPでのユーザ名と認証情報を関連付ける第2のテーブルと、SNMPでの権限グループと権限を関連付ける第3のテーブルとがある。SNMPでのユーザ名は、画像入出力処理システムのユーザ名をもとに作成されている。また、SNMPの権限グループで管理するアクセス権限は、画像入出力処理システムの権限情報をもとに作成されている。
機能管理部1は、画像入出力処理装置全体の機能を把握し、関連項目(設定項目等)などの管理を行う。また、システムアクセスロール管理用データに対して、各機能に関する情報の設定/参照を行う。さらに、SNMPからのユーザ認証情報変更を受け付けるかを管理する。セキュリティ管理部2は、画像入出力処理装置のセキュリティ全般に関して管理を行う。また、セキュリティレベルを管理し、各管理部に対してセキュリティレベルに沿ったセキュリティチェックを実行するように促す。
ユーザ情報管理部3は、ユーザと管理者の管理を行う。また、ユーザ及び管理者に対して、各権限を与えるような管理を行う。さらに、アクセス制御管理部などの各管理部への情報提供を行う。さらに、システムアクセスロール管理用データに対して、各ユーザ情報の設定/参照の管理を行う。アクセス制御管理部4は、セキュリティ管理部やユーザ情報管理部等から情報を得る。また、アクセス要求しているユーザや管理者の権限情報に基づいて、アクセスを許可するか否かを判断する。さらに、システムアクセスロール管理用データに対して、各アクセス制御情報の設定/参照を行う。
ネットワーク管理部5は、ネットワークI/F、プロトコルやNVRAM8の制御・管理を行う。SNMPv1v2, SNMPv3も、このネットワーク管理部5の中に含まれる。また、SNMPv1v2, SNMPv3を介して、SNMPv1v2, v3管理用データ部7への設定/参照/制御を行う。さらに、システムアクセスロール管理用データ部6からデータを読み出し、SNMPv1v2, SNMPv3管理用データ部7に必要事項を反映する処理を行う。SNMPv1v2, SNMPv3管理用データ部7からシステムアクセスロール管理用データ部6に、関連する情報を反映する処理を行う。SNMPでアクセスされた際に、NVRAM8及びSNMPv1v2, SNMPv3管理用データ部7から生成された情報をもとに、ユーザ情報に基づく認証とアクセス制御を行う。SNMPのトラップ情報生成と通信先を、NVRAM8及びSNMPv1v2, SNMPv3管理用データ部7の情報から判断し、トラップ送信を行う。
システムアクセスロール管理用データ部6は、画像入出力処理システム(装置)として管理するアクセスロール情報を保存する。また、各管理部、プロセスに対して情報を提供する。さらに、各管理部からの設定要求に応じてデータを保存する。ユーザ、パスワード、アクセス権限や各設定パラメータ情報を保存する。SNMPv1v2, SNMPv3管理用データ部7は、SNMPv1v2, SNMPv3で管理する情報を保持する。また、各管理部に対して情報を提供する。さらに、SNMPv1v2, SNMPv3でのユーザ情報/ユーザ認証/アクセス制御に必要な情報を生成し、提供する。NVRAM8は、画像入出力処理システムと、ネットワーク管理部5で必要な情報を保持する。
次に、図3を参照しながら、アクセス制限を課した場合の動作を説明する。認証/暗号のユーザ認証を受けているユーザでは、(A)、(B)のMIBのデータを取得することができる。一時的に使用するユーザと、認証取得の機能がないユーザは、(A)のMIBのデータは取得できないが、(B)のMIBのデータは取得できる。
次に、図4を参照しながら、ユーザ情報管理サービスとSNMPの関連を説明する。ユーザ情報管理サービス(UCS)101は、画像入出力処理システムのユーザ情報を管理する。ネットワーク管理サービス(NCS)102は、ネットワークを介する装置相互の情報と制御を管理する。NCSに含まれているSNMP (SNMPv1v2 SNMPv3) 103は、ネットワークを監視する。関連111に示すように、画像入出力処理装置のユーザ管理用の第1のテーブル121において、ユーザ情報管理サービスで管理しているユーザ情報と権限情報が関連している。関連112に示すように、ユーザ情報管理サービスのユーザ情報と、SNMPのユーザ管理用の第2テーブル122のUSM(ユーザ情報)が関連している。関連113に示すように、ユーザ情報管理サービスの権限管理情報と、SNMPのアクセス権限管理用の第3のテーブル123のアクセス制御モデル(VACM: View-Based Access Control Model)の情報が関連している。
次に、図5と図6と図7を参照しながら、ユーザ情報管理サービス(UCS)101が管理している項目を説明する。図6に、ユーザ情報管理サービス(UCS)101が管理している項目を実際に定義した例を示す。ユーザA〜Dが存在し、各々、認証を受けたい場合、もしくは暗号を利用したい場合は、パスワードを入力する。また、各ユーザに対して、画像入出力処理装置の情報を参照したり設定したりできる権限が、与えられているか否かを示している。図7に、ユーザ情報管理サービスで管理している項目とSNMPのMIBとの関係を示す。MIBの定義により、複数のMIBを使用して1つの機能を表すものや、異なるMIBで同一の値を有するものもある。したがって、usmUserNameとusmUserSecurityNameとUCSのユーザ名が対になっている。
次に、図8を参照しながら、ユーザ情報を実際にMIBにマッピングした例を説明する。ユーザA〜Dのパスワード設定の有無により、VACMのセキュリティレベルを設定している。この例では、権限の種類は、“設定権限なし、参照可能”と、“ネットワーク管理項目の設定権限があり、参照可能”と、“機器管理項目の設定権限があり、参照可能”と、“ネットワーク管理項目と機器管理項目の設定権限があり、参照可能”の4パターンになるため、その分のVACMのグループ情報を作成し、マッピングしている。SNMPv3では、パスワードそのものではなく、認証キー/暗号キーを使用しているため、ユーザ情報管理サービスで管理しているパスワードから、定められたアルゴリズムにより生成されたキーを使用する。Read/Write/NotifyViewは、アクセス可能なMIB情報をグループ毎に管理できるものである。ユーザ情報管理サービスで与えられている権限により、変更している。MIBに対して、ユーザが4通り割り当てられるのは、MIBのインデックスとしてユーザ名を使用しているからである。
図9を参照しながら、画像入出力処理装置の動作手順を説明する。図9(a)に示すフローチャートのように、画像入出力処理システムのユーザ情報と、アクセス権限管理情報(第1のテーブル)に関連をもたせる場合には、第1のテーブル情報から必要事項を取得し、SNMPv1v2, SNMPv3の情報として反映させることにより、SNMPで必要となるMIB(第2、3のテーブル)を生成する。MIBの生成後、SNMP通信を開始し、SNMPでアクセスされた場合には、生成されたMIB情報(第2、3のテーブル)とNVRAM情報をもとに、ユーザ認証とアクセス制御を行う。
図9(b)のフローチャートで、画像入出力処理装置において、同期更新をかける側の動作手順を示す。変更/更新された認証情報を、SNMPを使用して他の画像入出力処理装置へ同期をかけるべきか否か、内部に設定された相手画像処理装置情報とユーザ情報の条件から判断し、同期するべきものが存在する場合には、同期処理を開始する。同期処理をした結果、更新成功/失敗といった更新結果を保存する。
図9(c)のフローチャートで、画像入出力処理装置において、同期更新をかけられる側の動作手順を示す。同期処理要求を受けた画像入出力処理装置は、内部で管理している情報に基づいて、同期処理を受け付けてよい相手か否かを判断する。判断した結果、同期更新OKであれば、内部のユーザ情報などを更新し、結果を残す。同期更新処理をしてはいけない相手と判断した場合は、同期更新を行わず、結果のみを残す。
上記のように、本発明の実施例では、画像入出力処理装置を、ネットワーク接続手段と、ユーザ認証手段と、システムユーザ名と権限情報と認証情報を関連付ける第1のテーブルと、SNMPユーザ名と認証情報を関連付ける第2のテーブルと、同一ユーザが複数の権限グループに所属できるSNMP権限グループと権限情報を関連付ける第3のテーブルとを設けた利用権限管理手段と、SNMPを使用して他の画像入出力処理装置のユーザ管理情報と利用権限管理情報を更新する同期手段とを備えた構成としたので、ユーザが設定した情報を他の機器に反映させることができ、同一の認証/権限情報で、複数の画像入出力処理装置を、SNMPを利用して管理することができる。また、SNMPv3のユーザ認証とアクセス制御において、統一的なセキュリティ管理ができる。
本発明の画像入出力処理装置は、ネットワークを介してSNMPにより管理監視するコピー、プリンタ、ファクシミリ、スキャナなどとして最適である。
1・・・機能管理部、2・・・セキュリティ管理部、3・・・ユーザ情報管理、4・・・アクセス制御管理部、5・・・ネットワーク管理部、6・・・システムアクセスロール管理用データ部、7・・・SNMPv1v2,v3管理用データ部、8・・・NVRAM、101・・・ユーザ情報管理サービス(UCS)、102・・・ネットワーク管理サービス(NCS)、103・・・NCSに含まれているSNMP (SNMPv1v2, SNMPv3)、111・・・ユーザ情報と権限情報の関連、112・・・ユーザ情報とUSMユーザ情報の関連、113・・・権限管理情報とVACMアクセス制御情報の関連、121・・・第1のテーブル、122・・・第2テーブル、123・・・第3のテーブル。
Claims (3)
- ネットワーク管理部と、ユーザ情報管理部と、セキュリティ管理部と、アクセス制御管理部と、システムアクセスロール管理用データ部と、SNMP管理用データ部とを具備する画像入出力処理装置であって、前記システムアクセスロール管理用データ部に、システムユーザ名と利用権限管理情報と認証情報とを関連付けた第1のテーブルを設け、前記SNMP管理用データ部に、前記第1のテーブルに従ってSNMPユーザ名と認証情報を関連付けた第2のテーブルと、前記第1のテーブルに従ってSNMP権限グループと権限情報を関連付けた第3のテーブルとを設け、前記アクセス制御管理部に、前記第1と第2のテーブルに従って、SNMPを使用して他の画像入出力処理装置のユーザ情報と権限情報とを更新する同期手段を設けたことを特徴とする画像入出力処理装置。
- 前記アクセス制御管理部に、他の画像入出力処理装置からの同期化処理要求を許可するか否かをユーザが設定する手段を設けたことを特徴とする請求項1記載の画像入出力処理装置。
- 前記アクセス制御管理部に、他の画像入出力処理装置からの同期化処理要求を許可するか否かをユーザ名ごとに設定する手段を設けたことを特徴とする請求項1または2記載の画像入出力処理装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005065727A JP2006252023A (ja) | 2005-03-09 | 2005-03-09 | 画像入出力処理装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005065727A JP2006252023A (ja) | 2005-03-09 | 2005-03-09 | 画像入出力処理装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006252023A true JP2006252023A (ja) | 2006-09-21 |
Family
ID=37092468
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005065727A Pending JP2006252023A (ja) | 2005-03-09 | 2005-03-09 | 画像入出力処理装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006252023A (ja) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008146410A (ja) * | 2006-12-11 | 2008-06-26 | Canon Inc | ネットワーク管理システム、情報処理装置、および情報処理装置の制御方法 |
JP2009065288A (ja) * | 2007-09-04 | 2009-03-26 | Ricoh Co Ltd | 情報処理装置、機器情報通信プログラム及び情報処理装置管理システム |
JP2009110261A (ja) * | 2007-10-30 | 2009-05-21 | Canon Inc | ネットワーク管理装置、ネットワーク管理方法、ならびにネットワーク管理方法を実行するプログラム |
JP2009230666A (ja) * | 2008-03-25 | 2009-10-08 | Brother Ind Ltd | ネットワーク内デバイスの管理装置およびネットワーク内デバイス管理プログラム |
US8275861B2 (en) | 2007-11-29 | 2012-09-25 | Brother Kogyo Kabushiki Kaisha | Technique for communicating by utilizing communication setting information |
JP2013196278A (ja) * | 2012-03-19 | 2013-09-30 | Yokogawa Electric Corp | ユーザ情報管理システム |
-
2005
- 2005-03-09 JP JP2005065727A patent/JP2006252023A/ja active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008146410A (ja) * | 2006-12-11 | 2008-06-26 | Canon Inc | ネットワーク管理システム、情報処理装置、および情報処理装置の制御方法 |
US8166403B2 (en) | 2006-12-11 | 2012-04-24 | Canon Kabushiki Kaisha | Network management system and network management method |
US8862997B2 (en) | 2006-12-11 | 2014-10-14 | Canon Kabushiki Kaisha | Network management system and network management method |
JP2009065288A (ja) * | 2007-09-04 | 2009-03-26 | Ricoh Co Ltd | 情報処理装置、機器情報通信プログラム及び情報処理装置管理システム |
JP2009110261A (ja) * | 2007-10-30 | 2009-05-21 | Canon Inc | ネットワーク管理装置、ネットワーク管理方法、ならびにネットワーク管理方法を実行するプログラム |
US8275861B2 (en) | 2007-11-29 | 2012-09-25 | Brother Kogyo Kabushiki Kaisha | Technique for communicating by utilizing communication setting information |
JP2009230666A (ja) * | 2008-03-25 | 2009-10-08 | Brother Ind Ltd | ネットワーク内デバイスの管理装置およびネットワーク内デバイス管理プログラム |
US8180876B2 (en) | 2008-03-25 | 2012-05-15 | Brother Kogyo Kabushiki Kaisha | Device manager and device management program |
JP2013196278A (ja) * | 2012-03-19 | 2013-09-30 | Yokogawa Electric Corp | ユーザ情報管理システム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112311530B (zh) | 一种基于区块链的联盟信任分布式身份凭证管理认证方法 | |
Kohl et al. | The evolution of the Kerberos authentication service | |
US7805606B2 (en) | Computer system for authenticating a computing device | |
CN105027493B (zh) | 安全移动应用连接总线 | |
CN102427484B (zh) | 基于dns来确定设备是否处于网络内部的方法和装置 | |
US7356601B1 (en) | Method and apparatus for authorizing network device operations that are requested by applications | |
US9069944B2 (en) | Managing passwords used when detecting information on configuration items disposed on a network | |
US20080195740A1 (en) | Maintaining session state information in a client server system | |
JP2000349747A (ja) | 公開鍵管理方法 | |
JP4915182B2 (ja) | 情報の管理方法及び情報処理装置 | |
JP2006252023A (ja) | 画像入出力処理装置 | |
Hardaker | Transport Layer Security (TLS) Transport Model for the Simple Network Management Protocol (SNMP) | |
Bierman et al. | A YANG Data Model for System Management | |
JP2006195755A (ja) | 画像入出力装置 | |
JP2006085643A (ja) | 権限情報生成方法、通信装置、プログラム及び記録媒体 | |
JP3215882U (ja) | クラウドストレージベースのファイルアクセス制御システム | |
Davin et al. | SNMP Administrative Model | |
Kumari et al. | Kerberos style authentication and authorization through CTES model for distributed systems | |
JP2001202332A (ja) | 認証プログラム管理システム | |
KR102071402B1 (ko) | 사물인터넷 환경 키 관리 서비스 제공 장치 | |
CN112804063B (zh) | 一种级联方法及相关装置 | |
Cisco | Configuring Certification Authority Interoperability | |
CN109905365B (zh) | 一种可分布式部署的单点登录及服务授权系统和方法 | |
JP2004062559A (ja) | クライアントサーバシステムおよびその装置 | |
Cisco | Chapter 15: Configuring Network Management |