JP2007065917A - アクセス制御方法、アクセス制御リスト管理装置、アクセス制御装置、アクセス制御システム、アクセス制御プログラム、及び記憶媒体 - Google Patents

アクセス制御方法、アクセス制御リスト管理装置、アクセス制御装置、アクセス制御システム、アクセス制御プログラム、及び記憶媒体 Download PDF

Info

Publication number
JP2007065917A
JP2007065917A JP2005250122A JP2005250122A JP2007065917A JP 2007065917 A JP2007065917 A JP 2007065917A JP 2005250122 A JP2005250122 A JP 2005250122A JP 2005250122 A JP2005250122 A JP 2005250122A JP 2007065917 A JP2007065917 A JP 2007065917A
Authority
JP
Japan
Prior art keywords
access control
list
access
items
token
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005250122A
Other languages
English (en)
Inventor
Takashi Inoue
敬史 井上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2005250122A priority Critical patent/JP2007065917A/ja
Publication of JP2007065917A publication Critical patent/JP2007065917A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】 アクセス可否の判別処理に必要な処理負荷を軽減させることができるアクセス制御方法を提供する。
【解決手段】 アクセス制御システム1000は、プリンタ200及びPC300を備える。PC300は、アクセス制御リスト201から許可リスト203及び禁止リスト204を生成し、許可リスト203及び禁止リスト204のうち項目数が少ない方のリストをPC300のアクセス制御トークンとして採用する。プリンタ200は、採用されたアクセス制御トークンに基づいてユーザのPC300を介したアクセスを許可又は禁止する制御を行う。
【選択図】 図4

Description

本発明は、アクセス制御方法、アクセス制御リスト管理装置、アクセス制御装置、アクセス制御システム、アクセス制御プログラム、及び記憶媒体に関する。特に、アクセスに関連する複数の項目に該アクセスの許可及び禁止をそれぞれ設定したアクセス制御リストに従って複数の機器の間のアクセスを制御するアクセス制御方法、アクセス制御リスト管理装置、アクセス制御装置、アクセス制御システム、アクセス制御プログラム、及び記憶媒体に関する。
複数の機器が互いに接続されたコンピュータシステムには、複数の機器の間のアクセスを制御するためのアクセス制御機能を有するものがある(以下、このようなシステムを「アクセス制御システム」という)。
上記アクセス制御システムにおいては、アクセスされる第1の機器に上記アクセス制御機能を付与することが可能である。このアクセス制御システムの第1の例では、第1の機器として複数のファイルを格納可能な記憶装置が設けられ、第1の機器にアクセスする第2の機器としてPCが設けられている。なお、記憶装置はPCの内部に設けられていてもよい。記憶装置は、所定のファイルシステムを採用することによって複数のファイルや各ファイルのディレクトリを管理している。このアクセス制御システムにおいては、上記アクセス制御機能によって、ファイルシステムで管理されている所定のディレクトリや所定のファイルへのアクセス(利用)に関連する項目、例えば新規作成、変更、削除、実行の項目に対して、第2の機器からのアクセスの許可又は禁止(以下、「アクセス可否」という)を設定することができる。
また、アクセスされる第1の機器に上記アクセス制御機能が付与されたアクセス制御システムの第2の例としては、第1の機器としてプリンタが設けられ、第2の機器としてPCが設けられた印刷システムがある。この印刷システムにおけるアクセスに関連する項目としては、印刷処理の際に設定可能な項目「実行」,「カラー印刷」,「両面印刷」,「キャンセル」などがある。ところで、プリンタは、アクセス制御リストに基づいたアクセス可否の判別処理などの複雑な処理を実行するためのCPUやメモリなどのコンピュータ資源に乏しい場合が多い。
さらに、上述したようなアクセス制御システムにおいては、第3の機器としてのサーバに上記アクセス制御機能を付与することが可能である。サーバはコンピュータ資源がプリンタ等の周辺機器よりも充実しているので、複雑な処理を実行することが可能である。例えば、ディレクトリサービスやデータベースなどを使ってアクセス制御リストの管理対象(ユーザ)を一元管理することによって、アクセス制御を各ユーザに委ねることなく、アクセス制御を組織のポリシーとして規定することができる。この例としては、サーバに上述したような全ての項目に対してアクセス可否をリスト的に記述したアクセス制御リストを格納した情報処理システムが提案されている(例えば、特許文献1参照。)。この情報処理システムにおいて、ユーザが第2の機器からサーバを介して第1の機器にアクセスするときは、サーバは、まず、ユーザに対してユーザ認証を行い、次いでアクセス制御リストに従ってサービスをユーザに提供する。
特開2002−269043号公報(段落[0060]〜[0062]、図4〜図7)
しかしながら、上記アクセス制御リストは、ネットワークに接続された複数の機器のアクセスに関連する全ての項目について用意する必要がある。従って、ネットワークに接続された機器の数が増大するほど、また、アクセスに関連して設定可能な項目の数が増大するほど、アクセス制御リストはより複雑化する。また、アクセス制御リストの管理対象が、各機器、例えばPCのユーザだけではなく、複数のユーザが属するグループも含む場合には、ユーザを特定するために必要な処理がより複雑化する。
したがって、第1の機器が第2の機器からアクセスを受ける度に第2の機器又は第3の機器がアクセス制御リストを参照したときには、アクセス可否の判別処理に長時間を要し、結果的にネットワーク全体に多大な処理負荷がかかる。
本発明の目的は、アクセス可否の判別処理に必要な処理負荷を軽減させることができるアクセス制御方法、アクセス制御リスト管理装置、アクセス制御装置、アクセス制御システム、アクセス制御プログラム、及び記憶媒体を提供することにある。
上記目的を達成するために、本発明のアクセス制御方法は、複数の機器の間のアクセスを制御するために、当該アクセスに関連する複数の項目に前記アクセスの許可及び禁止をそれぞれ設定したアクセス制御リストを生成するアクセス制御方法において、前記アクセス制御リストに基づいて当該アクセス制御リストを簡略化したアクセス制御トークンを生成するトークン生成ステップと、前記生成したアクセス制御トークンに基づいて前記複数の機器のアクセスを制御するアクセス制御ステップとを有することを特徴とする。
上記目的を達成するために、本発明のアクセス制御リスト管理装置は、複数の機器の間のアクセスを制御するために、当該アクセスに関連する複数の項目に前記アクセスの許可及び禁止をそれぞれ設定したアクセス制御リストを管理するアクセス制御リスト管理装置において、前記アクセス制御リストに基づいて当該アクセス制御リストを簡略化したアクセス制御トークンを生成するトークン生成手段を備えることを特徴とする。
上記目的を達成するために、本発明のアクセス制御装置は、上記アクセス制御リスト管理装置の前記トークン生成手段によって生成されたアクセス制御トークンに基づいて前記複数の機器のアクセスを制御するアクセス制御手段を備えることを特徴とする。
上記目的を達成するために、本発明のアクセス制御システムは、前記複数の機器を含むシステムにおいて前記複数の機器の間のアクセスを制御するために、当該アクセスに関連する複数の項目に前記アクセスの許可及び禁止をそれぞれ設定したアクセス制御リストを生成するアクセス制御装置において、前記アクセス制御リストに基づいて当該アクセス制御リストを簡略化したアクセス制御トークンを生成するトークン生成手段と、前記生成されたアクセス制御トークンに基づいて前記複数の機器のアクセスを制御するアクセス制御手段とを備えることを特徴とする。
上記目的を達成するために、本発明のアクセス制御プログラムは、複数の機器の間のアクセスを制御するために、当該アクセスに関連する複数の項目に前記アクセスの許可及び禁止をそれぞれ設定したアクセス制御リストを生成するアクセス制御プログラムにおいて、前記アクセス制御リストに基づいて当該アクセス制御リストを簡略化したアクセス制御トークンを生成するトークン生成モジュールと、前記生成されたアクセス制御トークンに基づいて前記複数の機器のアクセスを制御するアクセス制御モジュールとを備えることを特徴とする。
上記目的を達成するために、本発明の記憶媒体は、上記アクセス制御プログラムを格納することを特徴とする。
本発明によれば、アクセス制御リストを簡略化したアクセス制御トークンに基づいて複数の機器の間のアクセスを制御するので、アクセス可否の判別処理に必要な処理負荷を軽減させることができる。
以下、本発明の実施の形態を図面を参照しながら詳細に説明する。
図1は、本発明の第1の実施の形態に係るアクセス制御システムの構成を概略的に示すブロック図である。
図1において、アクセス制御システム1000は、複数のユーザが使用可能なユーザ端末としてのパーソナルコンピュータ(PC)300と、PC300からアクセスを受けるプリンタ200と、これらを互いに接続するネットワーク400とを備える。
図1において、PC300には、プリンタ200に印刷ジョブや印刷オペレーションを投入するための所定のクライアントアプリケーションソフトウェア(以下、「クライアント・アプリ」という)がインストールされている。
プリンタ200は、PC300のクライアント・アプリを介して投入された印刷ジョブや印刷オペレーションに従って所定の印刷処理などを行う。また、プリンタ200は、ユーザ毎或いは複数のユーザが属するグループ毎にPC300からのアクセスを許可又は禁止する制御を行う(アクセス制御装置)。
図2は、図1におけるPC300の内部構成を概略的に示すブロック図である。
図2において、PC300は、アクセス制御リスト管理部101と、第1の項目リスト生成部102と、第2の項目リスト生成部105と、第1の許可リスト生成部103と、第1の禁止リスト生成部104と、第2の許可リスト生成部106と、第2の禁止リスト生成部107とを備える。
アクセス制御リスト管理部101は、ネットワーク400に接続された1つ以上の機器、例えば、プリンタ200へのアクセス可能・不可能な項目のリストであるアクセス制御リスト201を準備する(アクセス制御リスト管理装置)。具体的には、アクセス制御リスト管理部101は、アクセス制御リスト201をユーザ毎或いは複数のユーザが属するグループ毎に用意して管理する。
アクセス制御リスト201に列挙されるアクセス可能・不可能な項目としては以下のような項目がある。プリンタ200による印刷処理の際に設定可能な項目としては、「実行」,「カラー印刷」,「モノクロ印刷」,「両面印刷」,「キャンセル」などがある。プリンタ200に格納されている印刷ジョブにアクセスして設定可能な項目としては、「一時停止」,「再実行」,「キャンセル」,「機能変更」などがある。プリンタ200が多機能複写機である場合に印刷処理の際に実行可能な項目としては、「フィニッシング(後処理)」,「両面印刷」,「割り込み印刷」などがある。
アクセス制御リスト201の管理の形態は、本第1の実施の形態に係るアクセス制御システムのように、PC300(アクセス制御リスト管理部101)が一元的に管理する形態に限られることはない。例えば、図1におけるネットワーク400上で実現するディレクトリサービスや、該ネットワーク400上に構成されるデータベースが一元的に管理する形態であってもよい。
第1の項目リスト生成部102及び第2の項目リスト生成部105は、アクセス制御リスト201に記述された項目のうち、特定の項目だけを抜き出して項目リストを生成する。具体的には、第1の項目リスト生成部102は、アクセス制御リスト201に記述された項目のうち、後述する所定の条件を満たす項目、即ち項目A〜Eだけを抜き出して第1の項目リスト202を生成する。第2の項目リスト生成部105は、アクセス制御リスト201に記述された項目のうち、後述する所定の条件を満たす項目、即ち項目E〜Jだけを抜き出して第2の項目リスト205を生成する。
所定の条件としては、「プリンタ200に対するジョブ投入の際にアクセス制御の対象となる項目であること」、「プリンタ200において設定可能な項目、即ちプリンタ200が実施可能な項目であること」などが挙げられる。また、所定の条件としては、「PC300のクライアント・アプリが利用する項目であること」などが挙げられる。なお、これらの条件に関する情報はプリンタ200がPC300に通知してもよく、PC300が予め保持してもよい。
例えば、「プリンタ200に対するジョブ投入の際にアクセス制御の対象となる項目であること」を満たす項目としては、「両面印刷」,「カラー印刷」,「フィニッシング(後処理)」などが該当する。「プリンタ200において設定可能な項目であること」を満たす項目としては、例えばプリンタ200がモノクロ印刷のみ可能である場合には、「モノクロ印刷」などが該当し、「フィニッシング(後処理)」などは該当しない。また、「PC300のクライアント・アプリが利用する項目であること」を満たす項目としては、クライアント・アプリが「両面印刷」や「カラー印刷」のみを利用する場合、これらの項目が該当する。
第1の許可リスト生成部103及び第2の許可リスト生成部106は、アクセス制御リスト201に記述された項目の中から、許可が設定されている項目(以下、「許可項目」という)のみを抜き出す。そして、第1の許可リスト203及び第2の許可リスト206を生成する。なお、許可リスト203,206には、許可リストであることを示すフラグ([許可])がセットされている。
同様に、第1の禁止リスト生成部104及び第2の禁止リスト生成部107は、アクセス制御リスト201に記述された項目の中から、禁止が設定されている項目(以下、「禁止項目」という)のみを抜き出す。そして、第1の禁止リスト204及び第2の禁止リスト207を生成する。なお、許可リスト204,207には、禁止リストであることを示すフラグ([禁止])がセットされている。
なお、許可リスト203,206及び禁止リスト204,207の生成の際には、図4を用いて後述するように、項目リスト202,205も参照され、必要な項目の追加や削除を行う。
PC300は、アクセス制御リスト201及び項目リスト202,205に基づいて許可リスト203,206及び禁止リスト204,207を生成する。そして、PC300は、当該生成した許可リスト203,206及び禁止リスト204,207に基づいてアクセス制御リスト201を簡略化したアクセス制御トークンを生成する。プリンタ200は、PC300により生成されたアクセス制御トークンに基づいてPC300のアクセスを制御する。
図3は、図1におけるアクセス制御システム1000においてPC300がプリンタ200にアクセスするときに実行されるアクセス処理のフローチャートである。
図3において、まず、ステップS401では、PC300は、ユーザが所望する項目に関してプリンタ200へのアクセスを要求する度に、後述する図4のアクセス制御トークン生成処理に基づいてアクセス制御トークンを生成する。
続くステップS402では、PC300は、プリンタ200にアクセス要求を送信すると共に、ステップS401で生成したアクセス制御トークンをプリンタ200に引き渡す。プリンタ200は、PC300からのアクセス要求を検知したときは、後述する図5のアクセス制御処理に基づいてアクセス要求に対するアクセスの可否の判別処理を行って(ステップS403)、本処理を終了する。
なお、上記図3のステップS401の処理では、PC300がプリンタ200へのアクセスを要求する度にアクセス制御トークンの生成を行うとした。これに代えて、アプリケーションの起動時などに所定のアクセス制御トークンを生成しておいてもよい。この場合には、実際にプリンタ200へのアクセスを要求するときに、アクセス制御リスト201に変更がないか否かをチェックすることが好ましい。さらには、アクセス制御トークンに所定の有効期限を設定してもよい。
図4は、図3のステップS401において実行されるアクセス制御トークン生成処理の詳細を示すフローチャートである。本処理は、PC300によって実行される。
図4において、まず、ステップS301では、第1の許可リスト生成部103は、項目数が「0」の、即ち空の第1の許可リスト203を生成する。また、第1の禁止リスト生成部104は、項目数が「0」の、即ち空の第1の禁止リスト204を生成する。
続くステップS302では、アクセス制御リスト201の項目A〜Jの中から所定の順番で1つの項目が読み出される。ステップS303では、この読み出した項目が第1の項目リスト202にあるか否かが判別される。当該判別の結果、上記読み出した項目が第1の項目リスト202にあるときは、ステップS304において、上記読み出した項目に関連するアクセスが許可されているか否か、即ち、上記読み出した項目が許可項目であるか否かが判別される。当該判別の結果、許可項目であるときは、ステップS305において、読み出した項目を第1の許可リスト203に追加する。一方、許可項目でなく禁止項目であるときは、ステップS306において、上記読み出した項目を第1の禁止リスト204に追加する。
続くステップS307では、ステップS302で読み出した項目が、アクセス制御リスト201の項目A〜Jの最後の項目であるか否かが判別される。当該判別の結果、最後の項目でないときは、ステップS302〜S306の処理を全ての項目について完了するまで繰り返す。一方、最後の項目であったときは、第1の許可リスト203及び第1の禁止リスト204の生成を終了する。この結果、図2に示すように、第1の許可リスト203には許可項目A,B,Eが格納され、第1の禁止リスト204には禁止項目C,Dが格納される。
続いて、ステップS308では、生成した第1の許可リスト203の項目数「3」と第1の禁止リスト204の項目数「2」とを比較する。当該比較の結果、第1の許可リスト203及び第1の禁止リスト204のうち項目数が少ない方のリスト、即ち項目数「2」の第1の禁止リスト204をPC300の所定のユーザ、例えばユーザAに対応する第1のアクセス制御トークンとして採用し(トークン生成ステップ)、本処理を終了する。なお、ステップS308において、第1の許可リスト203の項目数及び第1の禁止リスト204の項目数が等しいときは、いずれか一方のリストを第1のアクセス制御トークンとして採用する。
また、ステップS303の判別の結果、読み出した項目が第1の項目リスト202にないとき、即ち項目F〜Jのいずれかであるときは、当該読み出した項目を第1の許可リスト203の項目数及び第1の禁止リスト204のいずれにも追加しない。そしてステップS307に進む。
図4の処理によれば、第1の許可リスト203及び第1の禁止リスト204のうち項目数が少ない方のリストがPC300のユーザAに対応する第1のアクセス制御トークンとして採用される(ステップS308)。具体的には、アクセス制御リスト201を簡略化した第1のアクセス制御トークンが生成される。この結果、項目に関するデータ量を2分の1以下に削減して、上記ステップS403におけるアクセス可否の判別処理に必要な処理負担を軽減させることができる。
また、第1の項目リスト202を参照する(ステップS303)ので、アクセス制御リスト201の項目A〜Jのうち所定の条件を満たす項目を容易に識別することができる。これにより、第1の許可リスト203及び第1の禁止リスト204を生成するために必要な時間を短縮化することができる。
なお、図4の処理では、第1の許可リスト203及び第1の禁止リスト204の双方を同時に生成したが、これに代えて、いずれか一方のリスト、例えば第1の許可リスト203のみを生成し、これを第1のアクセス制御トークンとして採用してもよい。この場合、第1の項目リスト202の項目数の2分の1と生成した第1の許可リスト203の項目数とを比較する。当該比較の結果、第1の許可リスト203の項目数が第1の項目リスト202の項目数の2分の1を超えるときは第1のアクセス制御トークンとして採用すべきリストとして第1の禁止リスト204を改めて生成してもよい。
また、第2の許可リスト生成部106及び第2の禁止リスト生成部107も、図4のステップS301〜S307の処理を実行する。これにより、アクセス制御リスト201の項目A〜J及び第2の項目リスト205の項目E〜Jを参照して、第2の許可リスト206及び第2の禁止リスト207を生成する。この結果、図2に示すように、第2の許可リスト206には許可項目E,Iが格納され、第2の禁止リスト207には禁止項目F,G,H,Jが格納される。ステップS308では、項目数の少ないリスト、即ち項目数「2」の第2の許可リスト206が第2のアクセス制御トークンとして、例えば第1のアクセス制御トークンに対応するユーザAとは別のユーザBに対応するトークンとして採用される。
また、本第1の実施の形態では、PC300が、第1の許可リスト203や第1の禁止リスト204を生成してこれらのリストのいずれかを第1のアクセス制御トークンとして採用した。しかし、プリンタ200のコンピュータ資源が豊富な場合には、プリンタ200がアクセス制御リスト201や第1の項目リスト202などに基づいて第1の許可リスト203や第1の禁止リスト204を生成してもよい。そして、プリンタ200が、これらのリストのいずれかを第1のアクセス制御トークンとして採用してもよい。即ち、図4の処理をプリンタ200が実行してもよい。
図5は、図4のステップS403において実行されるアクセス制御処理の詳細を示すフローチャートである。本処理は、プリンタ200によって実行される。
図5において、まず、プリンタ200は、PC300から受信したアクセス要求からユーザが所望する項目を検知する(ステップS501)。該アクセス要求に伴って引き渡されたアクセス制御トークンがあるか否かを判別する(ステップS502)(アクセス制御ステップ)。この判別の結果、アクセス制御トークンがあるときは、そのアクセス制御トークンが許可リストであるか否かを判別する(ステップS503)。
アクセス制御トークンが許可リストであるときは(ステップS503でYES)、当該許可リストに上記所望の項目が含まれているか否かを判別する(ステップS504)。この判別の結果、所望の項目が含まれているときは、プリンタ200は、上記ユーザのPC300を介したアクセスを許可する(ステップS506)(アクセス制御ステップ)。そして、当該アクセス要求に応じたジョブ又はオペレーションを実行して、本処理を終了する。一方、許可リストに所望の項目が含まれていないときは、上記ユーザのPC300を介したプリンタ200へのアクセスを禁止する(ステップS507)(アクセス制御ステップ)。そして、アクセス要求に応じたジョブ又はオペレーションを実行することなく、本処理を終了する。
一方、アクセス制御トークンが許可リストでなく禁止リストであるときは(ステップS503でNO)、当該禁止リストに上記所望の項目が含まれていないか否かを判別する(ステップS505)。この判別の結果、所望の項目が含まれていないときは、上記ユーザのPC300を介したプリンタ200へのアクセスを許可する(ステップS506)(アクセス制御ステップ)。そして、当該アクセス要求に応じたジョブ又はオペレーションを実行して、本処理を終了する。一方、禁止リストに所望の項目が含まれているときは、上記ユーザのPC300を介したプリンタ200へのアクセスを禁止する(ステップS507)(アクセス制御ステップ)。そして、アクセス要求に応じたジョブ又はオペレーションを実行することなく、本処理を終了する。
なお、アクセス制御トークンがないときは(ステップS502でNO)、プリンタ200は、当該ユーザのPC300を介したアクセスを禁止し(ステップS507)、本処理を終了する。
図5の処理によれば、プリンタ200が、アクセス制御リスト201を簡略化したアクセス制御トークンに含まれている項目に基づいてユーザのPC300を介したアクセスを許可又は禁止する制御、即ちアクセス可否の判別を行う(ステップS506,S507)。この結果、アクセス可否の判別処理に必要な処理負荷を軽減させることができる。したがって、図1におけるネットワーク400に接続されたコンピュータの数の増大、アクセス制御リスト201の項目数の増大、PC300のユーザ数の増大、複数のユーザが所定のグループに属するような複雑化などにも対応することができる。
また、図5の処理によれば、アクセス制御トークンがある場合であっても(ステップS502でYES)、ユーザが所望する項目に許可が設定されていなければアクセスを許可しない(ステップS507)。この結果、アクセス制御システム1000におけるセキュリティをより向上させることができる。
上記ステップS507において、ユーザが所望する項目に関連するアクセスをプリンタ200が禁止した場合、即ち、プリンタ200がジョブ或いはオペレーションの実行禁止を決定した場合には、その旨を所定の警告表示などによりユーザに通知する。
なお、上述した第1の実施の形態では、図4の処理において項目リストを参照した(ステップS303)が、参照しなくてもよい。この場合には、例えば、図6(a)に示すような項目数「10」のアクセス制御リスト601から、図6(b)に示すような項目数「4」の許可リスト602と、図6(c)に示すような項目数「6」の禁止リスト603とが生成される。そして、項目数の少ない許可リスト602がアクセス制御トークンとして採用される。
図7は、本発明の第2の実施の形態に係るアクセス制御システムの構成を概略的に示すブロック図である。
図7において、アクセス制御システム1000’は、図1のアクセス制御システム1000にネットワーク400に接続するようにサーバコンピュータ(以下、「サーバ」という)100を設けたものである。
サーバ100は、図2のアクセス制御リスト201のようなアクセス制御リストを管理しており、プリンタ200やPC300に代わって上述した図3〜図5の処理の一部の処理を実行する。また、サーバ100は、ユーザ認証機能を有しており、PC300のユーザ別にアクセス制御を行うことができる。
以下、図7のアクセス制御システム1000’において実行されるアクセス制御方法を説明する。
PC300がプリンタ200にアクセスを要求しようとするときは、まず、PC300がサーバ100にアクセス制御リストを要求し、これに応じて、サーバ100はPC300のユーザに対してユーザ認証を行う。
ユーザがユーザ認証に成功したときは、サーバ100は、図4の処理と同様の処理を実行することにより、アクセス制御リスト及び項目リストに基づいてアクセス制御トークンを生成する。そして、サーバ100は、PC300から要求されたアクセス制御リストとしてそれを簡略化したアクセス制御トークンをPC300のクライアント・アプリに返す。
PC300は、クライアント・アプリを介して、アクセス制御トークンと共にジョブ或いはオペレーションをプリンタ200に投入する。プリンタ200は、図5のステップS503〜S507の処理と同様の処理を実行することにより、アクセス制御トークンの項目に従ってアクセス可否の判別処理を行い、PC300からのアクセスを許可するときはジョブ或いはオペレーションを実行する。
なお、上記第2の実施の形態において、サーバ100は、ユーザ認証機能を有しているとしたが、有していなくてもよい。
また、第2の実施の形態において、サーバ100がPC300のクライアント・アプリに返すアクセス制御トークンは、プリンタ200でのみ復号可能な暗号鍵により暗号化されていることが好ましい。これにより、PC300においてクライアント・アプリでアクセス制御トークンの内容を変更することを禁止することができ、アクセス制御システム1000’におけるセキュリティをより向上させることができる。
また、上記第1及び第2の実施の形態において、PC300からアクセスされるものはプリンタ200であるとしたが、プリンタに限られることはない。例えば、複写機、ファクシミリ送受信機や電子メール送受信機などの通信機器、若しくはこれらの複合機といった周辺機器などの機器であってもよいし、ファイルシステムを採用した機器であってもよい。
また、本発明の目的は、上述した実施の形態の機能を実現するソフトウェアのプログラムコードを記録した記憶媒体を、システム或いは装置に供給し、そのシステム或いは装置のコンピュータ(又はCPUやMPUなど)が記憶媒体に格納されたプログラムコードを読み出して実行することによっても達成される。
この場合、記憶媒体から読み出されたプログラムコード自体が上記実施の形態の機能を実現することになり、そのプログラムコード及び該プログラムコードを記憶した記憶媒体は本発明を構成することになる。
また、プログラムコードを供給するための記憶媒体としては、例えば、フロッピー(登録商標)ディスク、ハードディスク、光磁気ディスク、CD−ROM、CD−R、CD−RW、DVD−ROM、DVD−RAM、DVD−RW、DVD+RW、磁気テープ、不揮発性のメモリカード、ROMなどを用いることができる。又は、プログラムコードをネットワークを介してダウンロードしてもよい。
また、コンピュータが読み出したプログラムコードを実行することにより、上記実施の形態の機能が実現されるだけでなく、そのプログラムコードの指示に基づき、コンピュータ上で稼動しているOS(オペレーティングシステム)などが実際の処理の一部又は全部を行い、その処理によって前述した実施の形態の機能が実現される場合も含まれる。
更に、記憶媒体から読み出されたプログラムコードが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部又は全部を行い、その処理によって前述した実施の形態の機能が実現される場合も含まれる。
本発明の実施の形態に係るアクセス制御方法は、複数の機器を含むシステムにおいて実行することができる。
本発明の第1の実施の形態に係るアクセス制御システムの構成を概略的に示すブロック図である。 図1におけるPCの内部構成を概略的に示すブロック図である。 図1におけるアクセス制御システムにおいてPCがプリンタにアクセスするときに実行されるアクセス処理のフローチャートである。 図3のステップS401において実行されるアクセス制御トークン生成処理の詳細を示すフローチャートである。 図3のステップS403において実行されるアクセス制御処理の詳細を示すフローチャートである。 図4のステップS303において項目リストを参照しない場合におけるアクセス制御リストを示す図であり、(a)は、アクセス制御トークンを生成する前のアクセス制御リストを示し、(b)は、(a)のアクセス制御リストに基づいて生成された許可リストを示し、(c)は、(a)のアクセス制御リストに基づいて生成された禁止リストを示す。 本発明の第2の実施の形態に係るアクセス制御システムの構成を概略的に示すブロック図である。
符号の説明
100 サーバコンピュータ(サーバ)
101 アクセス制御リスト管理部
102,105 項目リスト生成部
103,106 許可リスト生成部
104,107 禁止リスト生成部
200 プリンタ
201 アクセス制御リスト
202,205 項目リスト
203,206 許可リスト
204,207 禁止リスト
300 パーソナルコンピュータ(PC)
1000,1000’ アクセス制御システム

Claims (21)

  1. 複数の機器の間のアクセスを制御するために、当該アクセスに関連する複数の項目に前記アクセスの許可及び禁止をそれぞれ設定したアクセス制御リストを生成するアクセス制御方法において、前記アクセス制御リストに基づいて当該アクセス制御リストを簡略化したアクセス制御トークンを生成するトークン生成ステップと、前記生成したアクセス制御トークンに基づいて前記複数の機器のアクセスを制御するアクセス制御ステップとを有することを特徴とするアクセス制御方法。
  2. 前記トークン生成ステップは、前記アクセス制御リストの複数の項目のうち、前記アクセスを許可する許可項目のみからなる許可リストを生成する許可リスト生成ステップと、前記生成した許可リストを前記アクセス制御トークンとして採用する採用ステップとを含むことを特徴とする請求項1記載のアクセス制御方法。
  3. 前記トークン生成ステップは、前記アクセス制御リストの複数の項目のうち、前記アクセスを禁止する禁止項目のみからなる禁止リストを生成する禁止リスト生成ステップと、前記生成した禁止リストを前記アクセス制御トークンとして採用する採用ステップとを含むことを特徴とする請求項1記載のアクセス制御方法。
  4. 前記トークン生成ステップは、前記アクセス制御リストの複数の項目のうち、前記アクセスを許可する許可項目のみからなる許可リストを生成する許可リスト生成ステップと、前記アクセス制御リストの複数の項目のうち、前記アクセスを禁止する禁止項目のみからなる禁止リストを生成する禁止リスト生成ステップと、前記生成した許可リスト及び前記生成した禁止リストのいずれか一方を前記アクセス制御トークンとして採用する採用ステップとを含むことを特徴とする請求項1記載のアクセス制御方法。
  5. 前記トークン生成ステップは、前記生成した許可リストの許可項目の項目数と前記生成した禁止リストの禁止項目の項目数とを比較する比較ステップを含み、前記採用ステップは、前記許可リスト及び前記禁止リストのうち項目数が少ない方のリストを前記アクセス制御トークンとして採用することを特徴とする請求項4記載のアクセス制御方法。
  6. 前記アクセス制御ステップは、前記採用ステップにおいて採用したリストが前記許可リストであるときは、前記許可リストの許可項目に該当する項目について前記アクセスを許可すると共に、前記許可リストの許可項目に該当しない項目について前記アクセスを禁止し、前記採用ステップにおいて採用したリストが前記禁止リストであるときは、前記禁止リストの禁止項目に該当する項目について前記アクセスを禁止すると共に、前記禁止リストの禁止項目に該当しない項目について前記アクセスを許可する制御を行うことを特徴とする請求項4又は5記載のアクセス制御方法。
  7. 前記アクセス制御リストの複数の項目のうち、所定の条件を満たす項目を抜き出して項目リストを生成する項目リスト生成ステップを有し、前記トークン生成ステップは、前記アクセス制御リスト及び前記項目リストに基づいて前記アクセス制御トークンを生成することを特徴とする請求項1乃至6のいずれか1項に記載のアクセス制御方法。
  8. 前記アクセス制御トークンの項目数は、前記項目リストの項目数の2分の1以下であることを特徴とする請求項7記載のアクセス制御方法。
  9. 複数の機器の間のアクセスを制御するために、当該アクセスに関連する複数の項目に前記アクセスの許可及び禁止をそれぞれ設定したアクセス制御リストを管理するアクセス制御リスト管理装置において、前記アクセス制御リストに基づいて当該アクセス制御リストを簡略化したアクセス制御トークンを生成するトークン生成手段を備えることを特徴とするアクセス制御リスト管理装置。
  10. 前記トークン生成手段は、前記アクセス制御リストの複数の項目のうち、前記アクセスを許可する許可項目のみからなる許可リストを生成する許可リスト生成手段と、前記生成された許可リストを前記アクセス制御トークンとして採用する採用手段とを含むことを特徴とする請求項9記載のアクセス制御リスト管理装置。
  11. 前記トークン生成手段は、前記アクセス制御リストの複数の項目のうち、前記アクセスを禁止する禁止項目のみからなる禁止リストを生成する禁止リスト生成手段と、前記生成された禁止リストを前記アクセス制御トークンとして採用する採用手段とを含むことを特徴とする請求項9記載のアクセス制御リスト管理装置。
  12. 前記トークン生成手段は、前記アクセス制御リストの複数の項目のうち、前記アクセスを許可する許可項目のみからなる許可リストを生成する許可リスト生成手段と、前記アクセス制御リストの複数の項目のうち、前記アクセスを禁止する禁止項目のみからなる禁止リストを生成する禁止リスト生成手段と、前記生成された許可リスト及び前記生成された禁止リストのいずれか一方を前記アクセス制御トークンとして採用する採用手段とを含むことを特徴とする請求項9記載のアクセス制御リスト管理装置。
  13. 前記トークン生成手段は、前記生成された許可リストの許可項目の項目数と前記生成された禁止リストの禁止項目の項目数とを比較する比較手段を含み、前記採用手段は、前記許可リスト及び前記禁止リストのうち項目数が少ない方のリストを前記アクセス制御トークンとして採用することを特徴とする請求項12記載のアクセス制御リスト管理装置。
  14. 前記アクセス制御リストの複数の項目のうち、所定の条件を満たす項目を抜き出して項目リストを生成する項目リスト生成手段を備え、前記トークン生成手段は、前記アクセス制御リスト及び前記項目リストに基づいて前記アクセス制御トークンを生成することを特徴とする請求項9乃至13のいずれか1項に記載のアクセス制御リスト管理装置。
  15. 前記アクセス制御トークンの項目数は、前記項目リストの項目数の2分の1以下であることを特徴とする請求項14記載のアクセス制御リスト管理装置。
  16. 前記複数の機器のうち少なくとも1つの機器に適用されることを特徴とする請求項9乃至15のいずれか1項に記載のアクセス制御リスト管理装置。
  17. 請求項9乃至16のいずれか1項に記載のアクセス制御リスト管理装置の前記トークン生成手段によって生成されたアクセス制御トークンに基づいて前記複数の機器のアクセスを制御するアクセス制御手段を備えることを特徴とするアクセス制御装置。
  18. 前記アクセス制御手段は、前記アクセス制御トークンに前記アクセスの許可が設定されている場合において、ユーザが所望する前記アクセスに関連する項目が前記アクセス制御トークンの項目に該当するときは前記アクセスを許可すると共に、前記所望する項目が前記アクセス制御トークンの項目に該当しないときは前記アクセスを禁止し、前記アクセス制御トークンに前記アクセスの禁止が設定されている場合において、前記所望する項目が前記アクセス制御トークンの項目に該当するときは前記アクセスを禁止すると共に、前記所望する項目が前記アクセス制御トークンの項目に該当しないときは前記アクセスを許可する制御を行うことを特徴とする請求項17記載のアクセス制御装置。
  19. 前記複数の機器を含むシステムにおいて前記複数の機器の間のアクセスを制御するために、当該アクセスに関連する複数の項目に前記アクセスの許可及び禁止をそれぞれ設定したアクセス制御リストを生成するアクセス制御装置において、前記アクセス制御リストに基づいて当該アクセス制御リストを簡略化したアクセス制御トークンを生成するトークン生成手段と、前記生成されたアクセス制御トークンに基づいて前記複数の機器のアクセスを制御するアクセス制御手段とを備えることを特徴とするアクセス制御システム。
  20. 複数の機器の間のアクセスを制御するために、当該アクセスに関連する複数の項目に前記アクセスの許可及び禁止をそれぞれ設定したアクセス制御リストを生成するアクセス制御プログラムにおいて、前記アクセス制御リストに基づいて当該アクセス制御リストを簡略化したアクセス制御トークンを生成するトークン生成モジュールと、前記生成されたアクセス制御トークンに基づいて前記複数の機器のアクセスを制御するアクセス制御モジュールとを備えることを特徴とするアクセス制御プログラム。
  21. 請求項20記載のアクセス制御プログラムを格納することを特徴とするコンピュータ読み取り可能な記憶媒体。
JP2005250122A 2005-08-30 2005-08-30 アクセス制御方法、アクセス制御リスト管理装置、アクセス制御装置、アクセス制御システム、アクセス制御プログラム、及び記憶媒体 Pending JP2007065917A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005250122A JP2007065917A (ja) 2005-08-30 2005-08-30 アクセス制御方法、アクセス制御リスト管理装置、アクセス制御装置、アクセス制御システム、アクセス制御プログラム、及び記憶媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005250122A JP2007065917A (ja) 2005-08-30 2005-08-30 アクセス制御方法、アクセス制御リスト管理装置、アクセス制御装置、アクセス制御システム、アクセス制御プログラム、及び記憶媒体

Publications (1)

Publication Number Publication Date
JP2007065917A true JP2007065917A (ja) 2007-03-15

Family

ID=37928065

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005250122A Pending JP2007065917A (ja) 2005-08-30 2005-08-30 アクセス制御方法、アクセス制御リスト管理装置、アクセス制御装置、アクセス制御システム、アクセス制御プログラム、及び記憶媒体

Country Status (1)

Country Link
JP (1) JP2007065917A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009157804A (ja) * 2007-12-27 2009-07-16 Casio Comput Co Ltd 印刷ジョブ管理装置、プログラム及び印刷システム
JP2009251709A (ja) * 2008-04-02 2009-10-29 Kyocera Mita Corp 画像形成システム、画像形成装置、画像形成プログラムおよび画像形成方法
JP2013117999A (ja) * 2013-03-06 2013-06-13 Casio Comput Co Ltd ジョブ管理装置及びプログラム
JP2014130634A (ja) * 2014-03-13 2014-07-10 Casio Comput Co Ltd データ管理装置及びプログラム
JP2016048525A (ja) * 2014-08-28 2016-04-07 株式会社リコー 出力システム、出力装置、プログラム及び出力方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009157804A (ja) * 2007-12-27 2009-07-16 Casio Comput Co Ltd 印刷ジョブ管理装置、プログラム及び印刷システム
JP2009251709A (ja) * 2008-04-02 2009-10-29 Kyocera Mita Corp 画像形成システム、画像形成装置、画像形成プログラムおよび画像形成方法
US8319984B2 (en) 2008-04-02 2012-11-27 Kyocera Document Solutions Inc. Image forming system, apparatus, and method executing a process designated by a service request after token validation
JP2013117999A (ja) * 2013-03-06 2013-06-13 Casio Comput Co Ltd ジョブ管理装置及びプログラム
JP2014130634A (ja) * 2014-03-13 2014-07-10 Casio Comput Co Ltd データ管理装置及びプログラム
JP2016048525A (ja) * 2014-08-28 2016-04-07 株式会社リコー 出力システム、出力装置、プログラム及び出力方法

Similar Documents

Publication Publication Date Title
JP5599557B2 (ja) 情報処理装置、ライセンス判定方法、プログラム及び記録媒体
JP4676779B2 (ja) 情報処理装置、資源管理装置、属性変更許否判定方法、属性変更許否判定プログラム及び記録媒体
US8402459B2 (en) License management system, license management computer, license management method, and license management program embodied on computer readable medium
US7861282B2 (en) Information processing apparatus, printing apparatus and printing system including thereof apparatuses
US8223400B2 (en) Management apparatus and management method
JP6124531B2 (ja) 情報処理システム、画像処理装置及びその制御方法、並びにプログラム
TW201040783A (en) Enhanced product functionality based on user identification
US8335985B2 (en) Document use managing system, document processing apparatus, manipulation authority managing apparatus, document managing apparatus and computer readable medium
JP2010020397A (ja) 情報処理装置及び情報処理方法
JP2007065917A (ja) アクセス制御方法、アクセス制御リスト管理装置、アクセス制御装置、アクセス制御システム、アクセス制御プログラム、及び記憶媒体
JP4952600B2 (ja) 管理装置および管理プログラム
JP2008257340A (ja) 情報処理装置、情報処理方法、記憶媒体及びプログラム
JP2007233610A (ja) 情報処理装置、ポリシー管理方法、記憶媒体、プログラム
JP2010076315A (ja) 印刷装置,印刷システムおよびプログラム
JP6338729B2 (ja) 画像処理装置及びその制御方法、情報処理システム、並びに記憶媒体
JP2012079230A (ja) 印刷管理システムおよび印刷管理方法
JP4890372B2 (ja) 携帯型情報処理装置、電子装置、操作制御方法、及び操作制御プログラム
JP4968452B2 (ja) 情報配信管理システム、情報配信管理サーバ、プログラム
US20160162233A1 (en) Electronic apparatus, management system, and recording medium
JP2008132599A (ja) プリンタ、印刷方法、フォントインストールプログラム、及びフォントプロテクトプログラム
JP5510535B2 (ja) 情報処理装置、ライセンス判定方法、プログラム、及び記録媒体
JP4969698B2 (ja) 情報処理装置、電子装置、操作制御方法、及び操作制御プログラム
JP4874180B2 (ja) 操作制御システム、情報処理装置、操作制御方法、及び操作制御プログラム
JP2020190848A (ja) 印刷システム、印刷装置、および印刷装置の制御方法
JP2008203936A (ja) 外部記憶装置、並びに、この外部記憶装置を備える画像処理装置及び画像形成装置

Legal Events

Date Code Title Description
RD05 Notification of revocation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7425

Effective date: 20070626