JP2006350526A - 情報処理装置 - Google Patents

情報処理装置 Download PDF

Info

Publication number
JP2006350526A
JP2006350526A JP2005173787A JP2005173787A JP2006350526A JP 2006350526 A JP2006350526 A JP 2006350526A JP 2005173787 A JP2005173787 A JP 2005173787A JP 2005173787 A JP2005173787 A JP 2005173787A JP 2006350526 A JP2006350526 A JP 2006350526A
Authority
JP
Japan
Prior art keywords
user
authority
usage
usage authority
type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2005173787A
Other languages
English (en)
Inventor
Hideo Asahara
英雄 淺原
Fumitoshi Ito
文利 伊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2005173787A priority Critical patent/JP2006350526A/ja
Publication of JP2006350526A publication Critical patent/JP2006350526A/ja
Withdrawn legal-status Critical Current

Links

Images

Abstract

【課題】 デバイスの利用をユーザごとに制限すること。
【解決手段】 デバイスを情報機器に接続すると、予め設定された利用権限を参照し、ログイン中のユーザがデバイスを利用できるか判断する。分類されたデバイス種別ごとに利用権限を設定する。
【選択図】 図1

Description

本発明は、デバイスを接続するためのインタフェースにデバイスを接続して利用する情報処理装置に関する。
情報処理装置を利用する際、付属的な外部デバイスを各種インタフェースに接続して利用することが一般的に行われている。パーソナルコンピュータを例にとると、マウスやキーボードを所定のPS2インタフェースやUSBインタフェースに接続して利用することができる。
このような外部デバイスの接続方法は、パーソナルコンピュータ以外でも一般的に実施される。例えば、デジタル複合機も、外部接続用のインタフェースを通じて、付属電子機器を接続することが可能である。
接続する外部デバイスとして、記憶装置を備えたデバイスの利用も多い。前記電子機器のインタフェースに接続し、パーソナルコンピュータやデジタル複合機と、電子データの遣り取りを行う。例えば、フレキシブルディスクやMOディスク用のドライブをUSBインタフェースで接続し、データの読み込み、書き込みを行う利用方法がある。
上記のような用途に対し、セキュリティ上の観点から、外部デバイスの記憶装置の利用を制限する公知のソフトウェアが存在する。
例えば、一般的によく利用されるOSの1つでは、マウントされたメディアドライブに対して、読み込み、書き込み、実行ファイルの実行の権限を設定することができる。これによって、許可されたユーザに対してのみ、メディアドライブの利用を許可できる。
しかし、前記の発明では、新たに接続されたメディアドライブの利用を制限することが難しい。何故なら、ドライブを追加したユーザが、メディアドライブの利用を許可されているとは限らないためである。つまり、管理者以外のユーザがメディアドライブを新たに接続した場合、該メディアドライブの利用権限は、管理者が設定するまでどのユーザも利用できる状態になってしまうためセキュリティ上、問題となる。
この問題に対して、記憶装置を保持した一般的な外部デバイスに対する利用権限を設定する発明が考案されている。
例えば、Windows(登録商標)では、リムーバブル記憶域に対する一般的な権限の設定を可能としており、プラグアンドプレイで接続された、新しいデバイスに対しても、予め設定された利用権限を適用することが可能である。
以上説明してきたように、新たに接続された、記憶機能を持った外部デバイスの利用権限の設定に関して、様々な方法が考案されており、実際に活用されている。
又、別の従来例としては、特許文献1及び特許文献2をあげることが出来る。
特開2000-115521号公報 特開2001-092760号公報
しかし、前記発明によれば、ネットワークアダプタや、マウス、キーボード等のデバイスの利用を禁止することができない。例えば、USBインタフェースを備えた複合機において、管理者のみにマウスやキーボードといった汎用的なUIの利用を許可したい場合があったとしても、このような設定を行うことができない。
更に、前記発明によれば、記憶域に対する読み込み権限、書き込み権限、実行ファイルの実行権限に対して個別に利用権限を設定することが可能である。しかし、読み込み、書き込み、実行ファイルの実行、といった各機能は、記憶域を持つデバイスに特化した設定であり、単純に他のデバイスに適用することが困難である。
以上のように、従来の発明には、記憶域を持たないデバイスに対する利用権限の設定が不可能である第一の課題と、記憶域を持たないデバイスに対する各機能ごとの設定が不可能である第二の課題が存在する。
よって、これらの課題を解決し、記憶域を持たないデバイスに対して、そのデバイスが保持する各機能ごとに分けて利用権限を設定できる発明が望まれる。
本発明は、前述の課題を解決するために文書管理装置に次の構成を採用する。
請求項1記載の発明は、ユーザを認証するユーザ認証手段と、デバイスを接続可能なデバイスインタフェースと、接続されたデバイス種類を判断する種類判別手段と、ユーザとデバイス種類の組み合わせごとに利用権限を管理する利用権限管理手段とを具備する情報処理装置において、前記利用権限管理手段によって前記デバイスインタフェースに接続されたデバイスの利用権限を確認する利用権限チェック手段と、前記利用権限チェック手段によって得られた利用権限に従ってデバイスの利用を制限する利用制限手段とを具備するよう構成される。
これにより、前記デバイスインタフェースに接続された外部装置を、前記種類判別手段によって分類し、この分類情報と、前記ユーザ認証手段によって得られたユーザ情報とから、前記利用権限チェック手段によって前記利用権限管理手段が記憶する利用権限を確認し、利用権限がない場合には利用を制限することが可能になる。
以上の構成により、前記第一の課題が解決される。つまり、記憶域を持たないデバイスに対する利用権限の設定を行うことが不可能であった課題が解決される。
また、請求項2に記載の発明は、請求項1記載の情報処理装置が備える前記利用権限管理手段に関し、設定可能な利用権限の種類を、デバイス種類ごとに設定可能であるように構成される。
これにより、デバイス種類ごとに保持する機能を細分化し、該機能ごとに利用権限を設定できるようになる。
以上の構成により、前記第二の課題が解決される。つまり、記憶域を持たないデバイスに対する各機能ごとの設定が不可能であった課題が解決される。
以上、説明したように、本発明に係る第1の発明によれば、記憶域を持たないデバイスに対する利用権限の設定を行うことが不可能であった課題が解決され、情報機器が備えるインタフェースに接続されるデバイスに対して、デバイスの分類に沿った利用権限を適用することができる。
また、本発明に係る第2の発明によれば、デバイス種類ごとに保持する機能を細分化し、該機能ごとに利用権限を設定できるようになり、より詳細な利用権限の適用が可能となる。
以下、本発明の実施の形態について、実施例により詳しく説明する。
以下、本発明の第1の実施例について説明を行う。
本実施例では、該発明はデジタル複合機であるとする。
<ハードウェア構成>
まず、システムのハードウェア構成を説明する。
図1は、システムのハードウェア構成図である。
CPU101、メモリ102、補助記憶装置103、スキャナ装置104、送受信装置105、印刷装置106、タッチパネルディスプレイ107、USBインタフェース108が、内部バス109によって接続されている。
CPU101は、プログラムの実行や、様々な処理の制御を行う。
メモリ102は、RAMとROMから構成され、プログラム、データの格納場所として利用される。
補助記憶装置103は、ハードディスク等の大容量記憶装置から構成され、大容量データの保管、プログラムの実行コードの保持を行う。
スキャナ装置104は、紙原稿の光学的なスキャンを行う。
送受信装置105は、デジタルデータの送受信を行う。Fax送信や、E-Mail送信などが考えられる。
印刷装置106は、トナーを利用してデジタルデータを紙媒体に印刷する。インクによる印刷を行う構成も考えられる。
タッチパネルディスプレイ107は、ユーザに対する情報の提供や、ユーザからの指示の入力を行う。
USBインタフェース108は、USBの規格に対応した様々なデバイスの接続を行う。メモリデバイスや、マウス、キーボード、ディスクドライブ、デジカメや携帯電話等の電子機器の接続が考えられる。
本実施例では、USBインタフェース108を雛型に説明を行う。他の構成として、PCIやPCカードスロットに代表される様々なインタフェースを含めたインタフェースに対して統合的に対応する構成が考えられる。
<ソフトウェア構成>
次に、システムのソフトウェア構成を説明する。
図2は、システムのソフトウェア構成図である。
利用権限チェック手段201は、ログインしているユーザがデバイスの利用権限を保持するかを判別する手段である。ユーザがユーザグループに属している場合、ユーザに関する権限と、ユーザが属する全てのユーザグループに関する権限をマージし、その和集合として得られる利用権限を用いて、デバイスの利用権限のチェックが行われる。
また、前記利用権限チェック手段201では、主に2通りの目的で判別を行う。
1つは、新たにログインしたユーザが、現在USBインタフェース108に接続されている外部デバイスに対して利用権限を持っているか、確認する目的である。
もう1つは、あるユーザがログインした状態で、USBインタフェース108に新たな外部デバイスが接続された場合に、該デバイスに対するユーザの利用権限を判断する目的である。
両者は、利用権限の有無を判別するタイミングが異なるが、処理シーケンスは同等である。
ユーザ認証手段202は、該デジタル複合機を利用しているユーザを特定する機能を提供する。ユーザは該デジタル複合機を利用する際に、タッチパネルディスプレイ107を利用してユーザ名とパスワードを入力し、ログインする。
他の構成として、ICカードとICカードリーダを利用したユーザ認証方法や、生体認証が考えられる。
種類判別手段203は、前記USBインタフェース108に接続されたデバイスの種類を判別する。デバイスの種類は、マウスデバイス、キーボードデバイス、小容量メモリデバイス、大容量ストレージデバイス、通信デバイス、その他のデバイスに分類される。
他の構成として、これらの分類をより細分化したり、より抽象化したりといった構成が考えられる。また、デバイスの種類の判別に関しては、デバイスドライバやOSが検知した分類を取得したり、デバイスドライバと同等の機能を有するソフトウェアによって判別したりといった構成が考えられる。
利用権限管理手段204は、図3に示すように、ユーザもしくはユーザグループごとに、デバイスの各分類に対する利用権限の有無を記憶、管理する。図3では、Administartorsユーザグループ、UserA、UserBに対して、キーボードデバイスを利用するための利用権限の情報を示している。Administratorsユーザグループに属するユーザに対して、キーボードデバイスの利用権限を与え、それ以外のUserA、UserBに対しては、キーボードデバイスの利用権限を与えていない例である。ここで、UserAやUserBが、Administartorsユーザグループに属している場合、キーボードデバイスを利用できる。
他の構成として、デバイスの分類ごとに、ユーザもしくはユーザグループに対する利用権限の有無を記憶する構成や、両者のテーブルに対して記憶する構成が考えられる。
利用制限手段205は、指定されたデバイスの利用を禁止する手段である。あるアプリケーションがデバイスにアクセスを試みると、デバイスドライバでエラーを返すように構成される。
他の構成として、デバイスの認識に失敗したように振舞わせ、OSがデバイスを認識できないようにする方法も考えられる。また、該デジタル複合機に搭載された全てのアプリケーションが、USBインタフェース108に接続された外部デバイスを利用する際に、必ず利用しなければならないインタフェースを用意し、そのインタフェース中でデバイスへのアクセスを禁止する構成も考えられる。
<動作フロー>
次に、システムの制御フローを説明する。
図4は、ユーザログイン時にデバイスの利用権限チェックを行うフローを説明するための制御フロー図である。
ステップ401では、USBインタフェース108に接続された全てのデバイスに関して、デバイスの利用権限チェックをしていないデバイスを検出し、検出されたか判定を行う。ここで、デバイスが検出されなければ、全てのデバイスに関して利用権限のチェックが行われたということで、終了する。デバイスが検出された場合、ステップ402の処理を行う。
ステップ402では、ステップ401で検出されたデバイスの種類を取得する。この処理は、前記種類判別手段203が行う。
ステップ403では、該デジタル複合機にログインしたユーザのユーザ情報を取得する。この処理は、前記ユーザ認証手段202に依頼する形で実行される。ユーザ情報は、ユーザ名と、ユーザが属する全てのユーザグループに関する情報が含まれる。
ステップ404では、前記ステップ402、403で取得した該デバイスの種類とユーザ情報を用いて、前記利用権限チェック手段201によって、ログイン中ユーザの該デバイスに対する利用権限の判断を行う。ここで、該デバイスに対する利用権限があると判断された場合には、ステップ406の処理を行う。また、該デバイスに対する利用権限がないと判断された場合には、ステップ405の処理を行う。図3を例に取ると、Administratorsユーザグループに属していないUserAがキーボードデバイスの接続された該デジタル複合機にログインした場合、利用権限がないこととなり、ステップ405の処理へと移る。Administratorsユーザグループに属するユーザがキーボードデバイスの接続された該デジタル複合機にログインした場合、利用権限があることとなり、ステップ406の処理を行う。
ステップ405では、前記ステップ401で検出された該デバイスに対して、利用制限を行う。前記利用制限手段205によって、利用が制限されるために、デバイスドライバ内で該デバイスの利用が制限されていることを記憶させる。
ステップ406では、前記ステップ401で検出された該デバイスの利用権限チェックを終えたことを記憶する。
以上、ユーザログイン時に必要な制御フローを示した。デバイスの利用権限をチェックするタイミングとしては、この他に、あるユーザがログインした状態でUSBインタフェース108に新たに外部デバイスが接続された場合が考えられる。しかし、この場合にも、図4に示したのと同様の制御フローに沿って、利用権限のチェックが可能である。
以上が、第1の実施例である。
以下、本発明の第2の実施例について説明を行う。
本実施例は、デバイスの利用権限に関して、機能ごとに個別の利用権限を設定できる点で第1の実施例と異なる。
図5は、前記利用権限管理手段204が管理するデバイス利用権限情報の例である。あるユーザまたはユーザグループが、LAN Adapterデバイスに対して保持する利用権限を示している。LAN Adapterは、例えば、USBインタフェースに接続して利用される。
権限の欄にある、INとOUTは、それぞれデータの入力と出力を意味しており、無線LANを介したデータのインポートとエクスポートを意味する。ネットワーク接続のためのデータ交換や通信に関しては、INかOUTどちらかの権限を保持していれば可能であるとする。
ここでは、Administratorsユーザグループに、INとOUTの権限を付与することを示している。また、UserAには、INのみを、UserBには、利用権限が与えられていないことを示す。UserA、UserBがAdministratorsユーザグループに属する場合、IN、OUTの権限が共に付与される。
本実施例において、前記利用制限手段205は、実施例1と異なり、以下の機能を提供する。
前記利用制限手段205は、あるデバイスの機能の一部に限定して、利用を禁止する手段である。
あるアプリケーションがデバイスにアクセスを試みた際、該アプリケーションが利用する機能を確認し、確認された機能に対して利用が禁止されていれば、デバイスドライバでエラーを返すように構成される。
他の構成として、該デジタル複合機に搭載された全てのアプリケーションが、USBインタフェース108に接続された外部デバイスを利用する際に、必ず利用しなければならないインタフェースを用意する構成が考えられる。この場合、該インタフェースにおいて、デバイスのどの機能を利用するかを判断できるため、そのインタフェース中でデバイスへの特定の機能に対するアクセスを禁止する構成となる。
<動作フロー>
次に、システムの制御フローを説明する。
図6は、ユーザログイン時にデバイスの利用権限チェックを行うフローを説明するための制御フロー図である。
ステップ601では、USBインタフェース108に接続された全てのデバイスに関して、デバイスの利用権限チェックをしていないデバイスを検出し、検出されたか判定を行う。ここで、デバイスが検出されなければ、全てのデバイスに関して利用権限のチェックが行われたことになり、処理を終了する。デバイスが検出された場合、ステップ602の処理を行う。
ステップ602では、ステップ601で検出されたデバイスの種類を取得する。この処理は、前記種類判別手段203が行う。
ステップ603では、該デジタル複合機にログインしたユーザのユーザ情報を取得する。この処理は、前記ユーザ認証手段202に依頼する形で実行される。ユーザ情報は、ユーザ名と、ユーザが属する全てのユーザグループに関する情報が含まれる。
ステップ604では、ステップ601で検出されたデバイスが保持する全機能に対する利用権限の判断が行われたかを判定する。利用権限の判断が行われていない機能を有する場合、該機能を検出した上で、ステップ605の処理を行う。また、全機能に対して利用権限の判断が行われている場合、ステップ608の処理を行う。図5を例にとると、LAN Adapterデバイスに関して、INとOUTに機能が分類されるため、両者に対して利用権限の判断が行われているかが判断される。
ステップ605では、ステップ604で検出された機能に対して、前記ステップ602、603で取得した該デバイスの種類とユーザ情報を用いて、前記利用権限チェック手段201によって利用権限の判断を行う。ここで、該機能に対する利用権限があると判断された場合には、ステップ607の処理を行う。また、該デバイスに対する利用権限がないと判断された場合には、ステップ606の処理を行う。
図5を例に取ると、Administratorsユーザグループに属していないUserAに対して、LAN AdapterのINに対する利用権限のチェックが行われた場合、利用権限を保持しているため、ステップ607の処理を行う。また、LAN AdapterのOUTに対する利用権限のチェックが行われた場合、利用権限を保持しないため、ステップ606の処理を行う。
ステップ606では、前記ステップ601で検出された該デバイスの、前記ステップ604で検出された該機能に対して、前記利用制限手段205によって利用制限を行う。
ステップ607では、前記ステップ601で検出された該デバイスの、前記ステップ604で検出された該機能に対する利用権限チェックを終えたことを記憶する。
ステップ608では、前記ステップ601で検出された該デバイスに対する利用権限チェックを終えたことを記憶する。
以上、ユーザログイン時に必要な制御フローを示した。デバイスの利用権限をチェックするタイミングとしては、この他に、あるユーザがログインした状態でUSBインタフェース108に新たに外部デバイスが接続された場合が考えられる。しかし、この場合にも、図6に示したのと同様の制御フローに沿って、利用権限のチェックが可能である。
ハードウェアブロック図である。 ソフトウェアブロック図である。 第1の実施例におけるユーザ権限管理情報を表すテーブルのサンプルである。 第1の実施例におけるデバイス利用権限チェックの制御フロー図である。 第2の実施例におけるユーザ権限管理情報を表すテーブルのサンプルである。 第2の実施例におけるデバイス利用権限チェックの制御フロー図である。
符号の説明
201 利用権限チェック手段
202 ユーザ認証手段
203 種類判別手段
204 利用権限管理手段
205 利用制限手段

Claims (2)

  1. ユーザを認証するユーザ認証手段と、
    デバイスを接続可能なデバイスインタフェースと、
    接続されたデバイス種類を判断する種類判別手段と、
    ユーザとデバイス種類の組み合わせごとに利用権限を管理する利用権限管理手段と、
    を具備する情報処理装置において、
    前記利用権限管理手段によって前記デバイスインタフェースに接続されたデバイスの利用権限を確認する利用権限チェック手段と、
    前記利用権限チェック手段によって得られた利用権限に従ってデバイスの利用を制限する利用制限手段と、
    を具備することを特徴とする情報処理装置。
  2. 前記利用権限管理手段に関し、設定可能な利用権限の種類を、デバイス種類ごとに設定可能であることを特徴とする、請求項1に記載の情報処理装置。
JP2005173787A 2005-06-14 2005-06-14 情報処理装置 Withdrawn JP2006350526A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005173787A JP2006350526A (ja) 2005-06-14 2005-06-14 情報処理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005173787A JP2006350526A (ja) 2005-06-14 2005-06-14 情報処理装置

Publications (1)

Publication Number Publication Date
JP2006350526A true JP2006350526A (ja) 2006-12-28

Family

ID=37646325

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005173787A Withdrawn JP2006350526A (ja) 2005-06-14 2005-06-14 情報処理装置

Country Status (1)

Country Link
JP (1) JP2006350526A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012079064A (ja) * 2010-09-30 2012-04-19 Toshiba Corp 情報処理装置
US8365275B2 (en) 2007-09-13 2013-01-29 Ricoh Company, Ltd. Image processing apparatus, session managing method and session managing program
JP2020003851A (ja) * 2018-06-25 2020-01-09 京セラドキュメントソリューションズ株式会社 電子機器の利用禁止方法、電子機器システムにおける各電子機器の利用禁止方法、及び利用禁止装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8365275B2 (en) 2007-09-13 2013-01-29 Ricoh Company, Ltd. Image processing apparatus, session managing method and session managing program
JP2012079064A (ja) * 2010-09-30 2012-04-19 Toshiba Corp 情報処理装置
JP2020003851A (ja) * 2018-06-25 2020-01-09 京セラドキュメントソリューションズ株式会社 電子機器の利用禁止方法、電子機器システムにおける各電子機器の利用禁止方法、及び利用禁止装置

Similar Documents

Publication Publication Date Title
US7681041B2 (en) Image formation apparatus, data reception method, program for performing data reception method, and storage medium for storing program
KR100767153B1 (ko) 복수의 유저가 동시에 로그인 가능한 정보 처리 장치 및 그제어 방법
US9021551B2 (en) Information processing apparatus, authentication control method, and authentication control program
CN100590632C (zh) 信息处理装置、认证方法
US20080022399A1 (en) Information processing apparatus, information processing method, and computer program product
US9633188B2 (en) Device, information processing system, and control method that permit both an authentication-type application program and a non-authentication-type program to access an authentication device
KR101681888B1 (ko) 유저 인증을 행하는 화상 처리장치 및 그 인증방법, 및 기억매체
US20200364012A1 (en) Image forming apparatus capable of selectively performing login-time automatic printing, method of controlling same, and storage medium
JP5460219B2 (ja) 画像形成装置、画像形成装置の制御方法及びプログラム
US20100067037A1 (en) Information processing apparatus, method for controlling the same, and storage medium
JP2006350526A (ja) 情報処理装置
US20190020773A1 (en) Information processing apparatus, method for controlling information processing apparatus, and recording medium
KR20170082343A (ko) 화상 형성 장치 및 그 제어 방법
JP4807041B2 (ja) 認証プログラム
EP1783653B1 (en) Login control for multiple applications
US10789342B2 (en) Storage device with biometric module
JP2011259283A (ja) 画像処理装置、認証管理装置、機能利用制御システム、機能利用制御方法、機能利用制御プログラム、及びそのプログラムを記録した記録媒体
US8678278B2 (en) Removable-medium apparatus and control method thereof
JP4559350B2 (ja) 画像記録システム
US11843738B2 (en) Information processing apparatus having multifactor authentication function, control method, and storage medium
JP5884878B2 (ja) 装置、機能利用制御システム、機能利用制御方法、プログラム、及びそのプログラムを記録した記録媒体
US12008277B2 (en) Image forming apparatus with having multi-factor authentication function executable for any kind of remote access for using image processing functions of the image forming apparatus, control method, and non-transitory computer-readable storage medium
JP7481915B2 (ja) 情報処理装置、制御方法およびプログラム。
US20220236933A1 (en) Image forming apparatus having multi-factor authentication function, control method, and storage medium
JP5027715B2 (ja) 画像形成装置および画像形成プログラム

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20080902