JP2017168005A - 情報処理システム、情報処理装置及び情報処理プログラム - Google Patents

情報処理システム、情報処理装置及び情報処理プログラム Download PDF

Info

Publication number
JP2017168005A
JP2017168005A JP2016054709A JP2016054709A JP2017168005A JP 2017168005 A JP2017168005 A JP 2017168005A JP 2016054709 A JP2016054709 A JP 2016054709A JP 2016054709 A JP2016054709 A JP 2016054709A JP 2017168005 A JP2017168005 A JP 2017168005A
Authority
JP
Japan
Prior art keywords
authorization information
information
module
information processing
access token
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016054709A
Other languages
English (en)
Other versions
JP6720606B2 (ja
Inventor
亘 山泉
Wataru Yamaizumi
亘 山泉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2016054709A priority Critical patent/JP6720606B2/ja
Priority to US15/219,880 priority patent/US10382439B2/en
Publication of JP2017168005A publication Critical patent/JP2017168005A/ja
Application granted granted Critical
Publication of JP6720606B2 publication Critical patent/JP6720606B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos

Abstract

【課題】認可情報の要求を行わない第2のデバイスにおいて、認可情報に基づき、サーバーに対して処理の実行を要求することができる情報処理システムを提供する。
【解決手段】情報処理システムの記憶手段は、ユーザーと、該ユーザーが通信回線上のサーバーに対して行うことを許可された処理を表す認可情報とを対応づけて記憶し、生成手段は、第1のデバイスを利用するユーザーに対応づけられた第1の認可情報に基づいて、第2の認可情報を生成し、送信手段は、前記第2の認可情報を、前記第1のデバイスの近傍に存在する第2のデバイスに送信し、受信手段は、前記第2のデバイスからデータと前記第2の認可情報とを受信し、要求手段は、前記第2の認可情報に基づき、前記サーバーに対して前記データを用いた処理の実行を要求する。
【選択図】図1

Description

本発明は、情報処理システム、情報処理装置及び情報処理プログラムに関する。
特許文献1には、認証情報を委譲し、委譲した認証情報を使用してサービスを利用する一連の流れにおいて、効率的、かつ安全に個人認証データを書き込むことを課題とし、セキュリティデバイスが、サーバーを介して発行される認証情報を基にサーバーと共通鍵を共有する秘密鍵情報を暗号化した情報を生成し、電子署名を施して一時的な認証情報を生成してクライアントに転送し、クライアントは、サービスの利用にあたり、サーバーとの間で一時的な認証情報を用いて相互認証を行うことが開示されている。
特開2006−185227号公報
従来技術では、サーバーに対して行うことを許可されている処理を表す認可情報を用いて、該サーバーへの処理の要求を行うことができる。
しかし、使用ユーザーに処理の権限があったとしても、利用しているデバイスの機能や運用上の環境によっては、処理の要求を行えない場合がある。例えば、当該デバイスに認可情報の取得を要求するためのユーザーインターフェイスがない場合や、セキュリティ上の理由から運用として認可情報の取得を行えるデバイスが限定されている場合などがある。
本発明では、認可情報の要求を行わない第2のデバイスにおいて、認可情報に基づき、サーバーに対して処理の実行を要求することができる。
かかる目的を達成するための本発明の要旨とするところは、次の各項の発明に存する。
請求項1の発明は、ユーザーと、該ユーザーが通信回線上のサーバーに対して行うことを許可された処理を表す認可情報とを対応づけて記憶する記憶手段と、第1のデバイスを利用するユーザーに対応づけられた第1の認可情報に基づいて、第2の認可情報を生成する生成手段と、前記第2の認可情報を、前記第1のデバイスの近傍に存在する第2のデバイスに送信する送信手段と、前記第2のデバイスからデータと前記第2の認可情報とを受信する受信手段と、前記第2の認可情報に基づき、前記サーバーに対して前記データを用いた処理の実行を要求する要求手段と、を有する情報処理システムである。
請求項2の発明は、前記要求手段は、第2の認可情報の生成に用いられた第1の認可情報とデータを前記サーバーに送信することにより、前記処理の実行を要求する、請求項1に記載の情報処理システムである。
請求項3の発明は、前記要求手段は、前記第1の認可情報と対応付けられたサーバーに該第1の認可情報と前記データを送信することにより、前記処理の実行を要求する、請求項2に記載の情報処理システムである。
請求項4の発明は、第1のデバイスは認可情報を要求するためのユーザーインターフェイスを備え、第2のデバイスは認可情報を要求するためのユーザーインターフェイスを備えない、請求項1に記載の情報処理システムである。
請求項5の発明は、前記生成手段は、前記第1のデバイスと前記第2のデバイスの距離が予め定められた距離未満又は以下になったことに応じ、前記第2の認可情報を生成する、請求項4に記載の情報処理システムである。
請求項6の発明は、前記第1のデバイスと前記第2のデバイスの距離が予め定められた距離より遠くに又は以上離れたことに応じ、前記第2の認可情報を無効化する無効化手段をさらに有する、請求項4に記載の情報処理システムである。
請求項7の発明は、ユーザーと、該ユーザーが通信回線上のサーバーに対して行うことを許可された処理を表す認可情報とを対応づけて記憶する記憶手段と、第1のデバイスを利用するユーザーに対応づけられた第1の認可情報に基づいて、第2の認可情報を生成する生成手段と、前記第2の認可情報を、前記第1のデバイスに送信する送信手段と、前記第1のデバイスとは異なる第2のデバイスからデータと前記第2の認可情報とを受信する受信手段と、前記第2の認可情報に基づき、前記サーバーに対して前記データを用いた処理の実行を要求する要求手段と、を有する情報処理装置である。
請求項8の発明は、コンピュータを、ユーザーと、該ユーザーが通信回線上のサーバーに対して行うことを許可された処理を表す認可情報とを対応づけて記憶する記憶手段と、第1のデバイスを利用するユーザーに対応づけられた第1の認可情報に基づいて、第2の認可情報を生成する生成手段と、前記第2の認可情報を、前記第1のデバイスに送信する送信手段と、前記第1のデバイスとは異なる第2のデバイスからデータと前記第2の認可情報とを受信する受信手段と、前記第2の認可情報に基づき、前記サーバーに対して前記データを用いた処理の実行を要求する要求手段として機能させるための情報処理プログラムである。
請求項1の情報処理システムによれば、認可情報の要求を行わない第2のデバイスにおいて、認可情報に基づき、サーバーに対して処理の実行を要求することができる。
請求項2の情報処理システムによれば、第2の認可情報の生成に用いられた第1の認可情報とデータとをサーバーに送信することにより、処理の実行を要求することができる。
請求項3の情報処理システムによれば、第1の認可情報と対応付けられたサーバーに第1の認可情報とデータとを送信することにより、処理の実行を要求することができる。
請求項4の情報処理システムによれば、認可情報を要求するためのユーザーインターフェイスを備えない第2のデバイスにも対応することができる。
請求項5の情報処理システムによれば、第1のデバイスと第2のデバイスとの距離が予め定められた距離未満又は以下になったことに応じ、第2の認可情報を生成することができる。
請求項6の情報処理システムによれば、第1のデバイスと第2のデバイスの距離が予め定められた距離より遠くに又は以上離れたことに応じ、第2の認可情報を無効化することができる。
請求項7の情報処理装置によれば、認可情報の要求を行わない第2のデバイスにおいて、認可情報に基づき、サーバーに対して処理の実行を要求することができる。
請求項8の情報処理プログラムによれば、認可情報の要求を行わない第2のデバイスにおいて、認可情報に基づき、サーバーに対して処理の実行を要求することができる。
第1の実施の形態の構成例についての概念的なモジュール構成図である。 本実施の形態を利用したシステム構成例を示す説明図である。 第1の実施の形態による処理例を示す説明図である。 第1の実施の形態による処理例を示す説明図である。 第1の実施の形態による処理例を示すフローチャートである。 アクセストークン管理テーブルのデータ構造例を示す説明図である。 アクセストークン管理テーブルのデータ構造例を示す説明図である。 第1の実施の形態による処理例を示すフローチャートである。 子アクセストークン管理テーブルのデータ構造例を示す説明図である。 第1の実施の形態による処理例を示すフローチャートである。 第1の実施の形態による処理例を示すフローチャートである。 第2の実施の形態の構成例についての概念的なモジュール構成図である。 第2の実施の形態による処理例を示すフローチャートである。 第3の実施の形態の構成例についての概念的なモジュール構成図である。 第3の実施の形態による処理例を示すフローチャートである。 ソフトウェア・アクセストークン関連付テーブルのデータ構造例を示す説明図である。 第3の実施の形態による処理例を示すフローチャートである。 ソフトウェア・アクセストークン・子アクセストークン関連付テーブルのデータ構造例を示す説明図である。 本実施の形態を実現するコンピュータのハードウェア構成例を示すブロック図である。
以下、図面に基づき本発明を実現するにあたっての好適な各種の実施の形態の例を説明する。
<第1の実施の形態>
図1は、第1の実施の形態の構成例についての概念的なモジュール構成図を示している。
なお、モジュールとは、一般的に論理的に分離可能なソフトウェア(コンピュータ・プログラム)、ハードウェア等の部品を指す。したがって、本実施の形態におけるモジュールはコンピュータ・プログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。それゆえ、本実施の形態は、それらのモジュールとして機能させるためのコンピュータ・プログラム(コンピュータにそれぞれの手順を実行させるためのプログラム、コンピュータをそれぞれの手段として機能させるためのプログラム、コンピュータにそれぞれの機能を実現させるためのプログラム)、システム及び方法の説明をも兼ねている。ただし、説明の都合上、「記憶する」、「記憶させる」、これらと同等の文言を用いるが、これらの文言は、実施の形態がコンピュータ・プログラムの場合は、記憶装置に記憶させる、又は記憶装置に記憶させるように制御するという意味である。また、モジュールは機能に一対一に対応していてもよいが、実装においては、1モジュールを1プログラムで構成してもよいし、複数モジュールを1プログラムで構成してもよく、逆に1モジュールを複数プログラムで構成してもよい。また、複数モジュールは1コンピュータによって実行されてもよいし、分散又は並列環境におけるコンピュータによって1モジュールが複数コンピュータで実行されてもよい。なお、1つのモジュールに他のモジュールが含まれていてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続(データの授受、指示、データ間の参照関係等)の場合にも用いる。「予め定められた」とは、対象としている処理の前に定まっていることをいい、本実施の形態による処理が始まる前はもちろんのこと、本実施の形態による処理が始まった後であっても、対象としている処理の前であれば、そのときの状況・状態にしたがって、又はそれまでの状況・状態にしたがって定まることの意を含めて用いる。「予め定められた値」が複数ある場合は、それぞれ異なった値であってもよいし、2以上の値(もちろんのことながら、全ての値も含む)が同じであってもよい。また、「Aである場合、Bをする」という意味を有する記載は、「Aであるか否かを判断し、Aであると判断した場合はBをする」の意味で用いる。ただし、Aであるか否かの判断が不要である場合を除く。
また、システム又は装置とは、複数のコンピュータ、ハードウェア、装置等がネットワーク(一対一対応の通信接続を含む)等の通信手段で接続されて構成されるほか、1つのコンピュータ、ハードウェア、装置等によって実現される場合も含まれる。「装置」と「システム」とは、互いに同義の用語として用いる。もちろんのことながら、「システム」には、人為的な取り決めである社会的な「仕組み」(社会システム)にすぎないものは含まない。
また、各モジュールによる処理毎に又はモジュール内で複数の処理を行う場合はその処理毎に、対象となる情報を記憶装置から読み込み、その処理を行った後に、処理結果を記憶装置に書き出すものである。したがって、処理前の記憶装置からの読み込み、処理後の記憶装置への書き出しについては、説明を省略する場合がある。なお、ここでの記憶装置としては、ハードディスク、RAM(Random Access Memory)、外部記憶媒体、通信回線を介した記憶装置、CPU(Central Processing Unit)内のレジスタ等を含んでいてもよい。
第1の実施の形態である情報処理システムは、認可情報の要求を行わない第2のデバイスにおいて、認可情報に基づき、サーバーに対して処理の実行を要求するものであって、図1の例に示すように、認可共有システム155とアプリサーバー160を有している。
IoT(Internet of Things:モノのインターネット)が普及し、これまで想定されていなかったデバイス(機器)が通信回線(いわゆるネットワークを含む)に接続するようになってきている。例えば、通信可能で電子的な情報の入出力(入力のみ、出力のみであってもよい)ができる、ペン、ノート、ホワイトボード、プロジェクター等がある。
情報の創出、又は既存情報の更新を担うデバイスが、それら情報を適切な権限の下に保存・共有したいというニーズが増えてきている。例えば、ホワイトボードに描画した図等はその後参照することが多い。しかし、現在では、ホワイトボード上の図等を記録する手法としては、カメラ等のホワイトボード以外のデバイスを使って取得(撮影)し、取得者(撮影者)が自分のPCへ保存、さらにメールで関係者に共有していることが多い。電子ボードのように描画した図等を電子データ化して送信する機能もあるが、電子ボードに複雑なユーザーインターフェイス(UI:User Interface)を装備する必要がある。例えば、キーボード等のユーザーインターフェイスが必要である。
情報の保存・共有のためにこれまでよりも手間を減らしつつも、セキュリティレベルを下げない方法が望まれている。
前述の特許文献に記載の技術によると、認証情報を持ったデバイスが、サーバーとの共有情報を基に一時的な認証情報を生成し、認証情報を持たない他のデバイスに転送し、転送を受けた他のデバイスは、この一時的な認証情報を用いてサービス提供を受けることができるようにしている。
しかし、この技術は、認証のみの伝播又は委譲であり、認可情報が含まれていない。つまり、伝播又は委譲先のデバイス上で、認証後に行使する権限の確認又は選択が必要であり、デバイスがその手段となるユーザーインターフェイスを具備しなければならないが、前述のペン、ノート、ホワイトボード、プロジェクター等のデバイスにおいて、ユーザーインターフェイスを実装(具備)することは困難であり、実装したとしても操作性を著しく損なう場合が多い。
本実施の形態の認可共有システム155は、専有デバイス100(第1のデバイスの一例)、一時利用デバイス120(第2のデバイスの一例)、情報処理装置140を有している。これらは通信回線198を介して接続されている。通信回線198は、無線、有線、これらの組み合わせであってもよく、例えば、通信インフラとしてのインターネット、イントラネット等であってもよい。また、専有デバイス100と情報処理装置140又は一時利用デバイス120と情報処理装置140とを接続する通信回線と、専有デバイス100と一時利用デバイス120とを接続する通信回線は、異なるものであってもよい。特に、専有デバイス100と一時利用デバイス120との間は、近距離無線通信(無線通信基地局を有するもの、接触型通信を含む)であってもよい。なお、専有デバイス100に対して一時利用デバイス120は複数あってもよい。
専有デバイス100、一時利用デバイス120、情報処理装置140による処理の概略(又は一例)を説明する(もっぱら技術の理解を容易にする技術情報として用いるものである)。
専有デバイス100を持つ利用者の操作にしたがって、一時的に利用する一時利用デバイス120に対して権限を一時的に付与する。そして、一時利用デバイス120は、情報処理装置140を経由してアプリサーバー160に対する処理を実施させる。
そのために、以下の処理が行われる。
ユーザーの主利用となる専有デバイス100は、情報処理装置140による認証を受けると第1の認可情報の払い出しを受ける。
情報処理装置140は、この第1の認可情報より第2の認可情報を生成する。そして、専有デバイス100は、第2の認可情報を一時利用デバイス120へ配布する。
一時利用デバイス120は、利用データを情報処理装置140へ送付する際に、第2の認可情報を付与する。
専有デバイス100は、認可情報を要求するためのユーザーインターフェイスを備えている。専有デバイス100は、例えば、PC(Personal Computer、ノートPC等を含む)、タブレット型端末、スマートフォン等の携帯端末装置等があり、情報処理装置140に対して認証要求と認可情報生成要求を送信できるユーザーインターフェイスを有するデバイスである。
一時利用デバイス120は、認可情報を要求するためのユーザーインターフェイスを備えていてもよいが、認可情報を要求するためのユーザーインターフェイスを備えていない場合であってもよい。一時利用デバイス120は、例えば、前述したように、通信可能で電子的な情報の入出力(入力のみ、出力のみであってもよい)ができる、ペン、ノート、ホワイトボード、プロジェクター等があり、IoTサービスの対象となる(と考えられる)デバイスである。少なくとも専有デバイス100と通信することが可能である。なお、備えていないのは「認可情報を要求するためのユーザーインターフェイス」であって、簡素なユーザーインターフェイス(例えば、ボタン1つ等)は備えていてもよい。また、一切ユーザーインターフェイを有していない形態であってもよい。もちろんのことながら、一時利用デバイス120は、専有デバイス100とは異なるデバイスである。
専有デバイス100は、トークン取得モジュール105、認可情報配布モジュール110を有している。
トークン取得モジュール105は、通信回線198を介して、情報処理装置140のトークン発行モジュール145と接続されている。トークン取得モジュール105は、情報処理装置140から、アプリサーバー160に対する処理(操作等を含む)を実施するための第1の認可情報を取得する。
認可情報配布モジュール110は、通信回線198を介して、一時利用デバイス120の認可情報受領モジュール125と接続されている。認可情報配布モジュール110は、第2の認可情報を、専有デバイス100の近傍に存在する一時利用デバイス120に送信する。この送信のタイミングは、専有デバイス100のユーザーの操作に応じて送信してもよいし、自動的に(例えば、予め定められたプログラムが起動すると)送信してもよい。
一時利用デバイス120は、認可情報受領モジュール125、利用モジュール130を有している。
認可情報受領モジュール125は、通信回線198を介して、専有デバイス100の認可情報配布モジュール110と接続されている。認可情報受領モジュール125は、専有デバイス100から配布された第2の認可情報を受信する。これによって、アプリサーバー160で行使する操作権の情報を専有デバイス100から受け取ることができる。認可情報受領モジュール125は、例えば、ポーリングによる自動待受、又は、オンデマンドなユーザーの操作によって受信する。
利用モジュール130は、通信回線198を介して、情報処理装置140の代行モジュール150と接続されている。利用モジュール130は、アプリサーバー160の機能を利用するために、第2の認可情報と処理対象であるデータを、情報処理装置140に送信する。
情報処理装置140は、トークン発行モジュール145、代行モジュール150を有している。情報処理装置140は、アクセス管理の機能を有する。特に、専有デバイス100、一時利用デバイス120が、アプリサーバー160へアクセスする(アプリサーバー160の機能を利用する)ことを管理する。
トークン発行モジュール145は、通信回線198を介して、専有デバイス100のトークン取得モジュール105と接続されおり、通信回線199を介して、アプリサーバー160のトークン発行モジュール165と接続されている。トークン発行モジュール145は、ユーザーと、そのユーザーが通信回線上のアプリサーバー160に対して行うことを許可された処理を表す認可情報(例えば、第1の認可情報)とを対応づけて記憶する。ここでのユーザーは、専有デバイス100と一時利用デバイス120を利用する者である。なお、必ずしも、常に同時に専有デバイス100と一時利用デバイス120を利用する必要はない。また、一時利用デバイス120は、他のユーザーに利用されていてもよい。
なお、第1の認可情報の生成は、アプリサーバー160に依頼してもよい。また、トークン発行モジュール145が生成してもよい。
そして、トークン発行モジュール145は、専有デバイス100を利用するユーザーに対応づけられた第1の認可情報に基づいて、第2の認可情報を生成する。
次に、トークン発行モジュール145は、第2の認可情報を、専有デバイス100に送信する。その後、専有デバイス100の認可情報配布モジュール110は、第2の認可情報を、一時利用デバイス120に送信する。
ここで「第1の認可情報」とは、一般的にアクセストークン(Access Token、以下、第1の認可情報をアクセストークンともいう)といわれており、専有デバイス100(又は専有デバイス100を利用するユーザー)が、アプリサーバー160の機能を利用するために必要な情報である。例えば、そのユーザーが専有デバイス100等にログインする場合のアカウント情報を暗号化したもの等が該当する。
「第2の認可情報」(以下、子アクセストークンともいう)とは、第1の認可情報から派生して作成された認可情報であり、一時利用デバイス120(又は一時利用デバイス120を利用するユーザー)が、アプリサーバー160の機能を利用するために必要な情報である。
また、トークン発行モジュール145は、専有デバイス100と一時利用デバイス120の距離が予め定められた距離未満又は以下になったことに応じ、第2の認可情報を生成するようにしてもよい。専有デバイス100と一時利用デバイス120の距離は、専有デバイス100と一時利用デバイス120が近距離無線通信で通信可能となっていることとしてもよい。この場合、専有デバイス100から第2の認可情報の取得依頼があった場合は、専有デバイス100と一時利用デバイス120が近距離無線通信で通信可能であると判断して、第2の認可情報を生成するようにしてもよい。また、専有デバイス100と一時利用デバイス120のそれぞれのGPS(Global Positioning System)機能によって測定された位置を用いて、専有デバイス100と一時利用デバイス120間の距離を算出してもよい。そのために、専有デバイス100から、専有デバイス100と一時利用デバイス120の位置を受信してもよい。また、専有デバイス100が、専有デバイス100と一時利用デバイス120の位置から距離を算出し、その距離を情報処理装置140に送信してもよい。
なお、専有デバイス100のトークン取得モジュール105が、専有デバイス100と一時利用デバイス120の距離が予め定められた距離未満又は以下になったことに応じ、第2の認可情報を生成するように、情報処理装置140に依頼してもよい。
また、トークン発行モジュール145は、専有デバイス100と一時利用デバイス120の距離が予め定められた距離より遠くに又は以上離れたことに応じ、第2の認可情報を無効化するようにしてもよい。
なお、専有デバイス100のトークン取得モジュール105が、専有デバイス100と一時利用デバイス120の距離が予め定められた距離より遠くに又は以上離れたことに応じ、第2の認可情報を無効化するように情報処理装置140に依頼してもよい。
代行モジュール150は、通信回線198を介して、一時利用デバイス120の利用モジュール130と接続されおり、通信回線199を介して、アプリサーバー160のサービス提供モジュール170と接続されている。代行モジュール150は、一時利用デバイス120からの要求を受けて、その要求に対応するアプリサーバー160に対して処理の実施を依頼する。
代行モジュール150は、一時利用デバイス120からデータと第2の認可情報とを受信する。
そして、代行モジュール150は、第2の認可情報に基づき、アプリサーバー160に対してデータを用いた処理の実行を要求する。ここでの「第2の認可情報に基づき」として、例えば、その第2の認可情報に対応したアプリサーバー160を抽出することが該当する。その後、アプリサーバー160は、第2の認可情報を確認し、そのデータを用いた処理を実行する。
なお、この代行モジュール150の機能は、専有デバイス100が有していてもよい。具体的には、一時利用デバイス120からデータと第2の認可情報とを受信し、その第2の認可情報に基づき、アプリサーバー160に対してデータを用いた処理の実行を要求するようにしてもよい。
また、代行モジュール150は、第2の認可情報の生成に用いられた第1の認可情報とデータをアプリサーバー160に送信することにより、処理の実行を要求するようにしてもよい。例えば、第2の認可情報に対応する第1の認可情報を抽出し、その第1の認可情報とデータをアプリサーバー160に送信するようにしてもよい。
また、代行モジュール150は、第1の認可情報と対応付けられたアプリサーバー160にその第1の認可情報とデータを送信することにより、処理の実行を要求するようにしてもよい。例えば、第1の認可情報に対応するアプリサーバー160を抽出し、その第1の認可情報とデータをそのアプリサーバー160に送信するようにしてもよい。
アプリサーバー160は、トークン発行モジュール165、サービス提供モジュール170を有している。図1の例では、アプリサーバー160は、2つ(アプリサーバーA:160A、アプリサーバーB:160B)であるが、1つであってもよいし、3つ以上であってもよい。
トークン発行モジュール165は、通信回線199を介して、情報処理装置140のトークン発行モジュール145と接続されている。トークン発行モジュール165は、情報処理装置140からの要求によって、アプリサーバー160での処理を実施するための第1の認可情報を生成する。なお、通信回線199は、無線、有線、これらの組み合わせであってもよく、例えば、通信インフラとしてのインターネット、イントラネット等であってもよい。
サービス提供モジュール170は、通信回線199を介して、情報処理装置140の代行モジュール150と接続されている。サービス提供モジュール170は、情報処理装置140から要求された処理を実施する。例えば、翻訳、データの格納等の処理がある。要求には、第1の認可情報が含まれており、トークン発行モジュール165によって生成された第1の認可情報であるか否かを判断する。トークン発行モジュール165によって生成された第1の認可情報であるならば、その処理を実施し、異なっていたならば、その処理は実施しないでエラー処理(認可情報がないことのメッセージの送信、管理者への報告等)を行う。
図2は、本実施の形態を利用したシステム構成例を示す説明図である。
専有デバイス100A、専有デバイス100B、専有デバイス100C、一時利用デバイス120A、一時利用デバイス120B、一時利用デバイス120C、情報処理装置140、アプリサーバーA:160A、アプリサーバーB:160Bは、通信回線290を介してそれぞれ接続されている。通信回線290は、通信回線198、通信回線199に対応する。なお、前述したように、専有デバイス100と一時利用デバイス120は、近距離無線通信であってもよい。また、アプリサーバーA:160A、アプリサーバーB:160Bによる機能は、クラウドサービスとして実現してもよい。
組み合わせ210は、1つの専有デバイス100Aに対して、2つの一時利用デバイス120(一時利用デバイス120A、一時利用デバイス120B)を利用する場合を示している。
専有デバイス100Aのユーザーは、一時利用デバイス120A、一時利用デバイス120Bも利用して、アプリサーバーA:160A、アプリサーバーB:160Bを利用する。そのために、専有デバイス100Aは、子アクセストークンを情報処理装置140に生成させ、一時利用デバイス120A、一時利用デバイス120Bに配布する。そして、一時利用デバイス120A、一時利用デバイス120Bは、その子アクセストークンを用いて、アプリサーバーA:160A、アプリサーバーB:160Bを利用する。
組み合わせ220は、1つの一時利用デバイス120Cを、2つの専有デバイス100(専有デバイス100B、専有デバイス100C)で利用する場合を示している。この形態は、図12等を用いて説明する第2の実施の形態に該当する。
専有デバイス100B、専有デバイス100Cの2人のユーザーは、一時利用デバイス120Cも利用して、アプリサーバーA:160A、アプリサーバーB:160Bを利用する。そのために、専有デバイス100B、専有デバイス100Cは、子アクセストークンを情報処理装置140にそれぞれ生成させ、一時利用デバイス120Cに配布する。そして、一時利用デバイス120Cは、その子アクセストークンを用いて、アプリサーバーA:160A、アプリサーバーB:160Bを利用する。
図3は、第1の実施の形態による処理例を示す説明図である。
専有デバイス100AとしてノートPC、専有デバイス100Bとしてスマートフォン、一時利用デバイス120Aとしてホワイトボード、一時利用デバイス120Bとして電子ペンの例を示したものである。アプリサーバーC:160Cは、例えば、クラウドストレージサービスを提供しており、各デバイスからコンテンツをアップロードする場合を示している。
図3(a)に示す例は、クラウドストレージサービスへの認証済みのデバイスである専有デバイス100A、専有デバイス100Bは、それぞれ、アクセストークン310A、アクセストークン310Bを有しているので、アプリサーバーC:160Cによるクラウドストレージサービスを受けることができる。
しかし、本実施の形態を用いない場合、つまり、未認証の(又は認証機能のない)デバイスである一時利用デバイス120A、一時利用デバイス120Bはアクセストークンを有していないので、アプリサーバーC:160Cによるクラウドストレージサービスを受けることができない。
図3(b)に示す例は、本実施の形態を用いた場合を示している。例えば、認証済みデバイス(専有デバイス100A、専有デバイス100B)のアクセストークン(アクセストークン310A、アクセストークン310B)を元に子アクセストークン(子アクセストークン320A、子アクセストークン320B)を生成し、未認証のデバイス(一時利用デバイス120A、一時利用デバイス120B)へ配布することで、子アクセストークン(子アクセストークン320A、子アクセストークン320B)を使って、クラウドストレージサービスを受けることができるようになる。例えば、この場合は、一時利用デバイス120Bによる紙上での文字等のデータ(軌跡データ)、一時利用デバイス120Aに記載されたボードの撮影画像が、アプリサーバーC:160Cに記憶される。
図4は、第1の実施の形態による処理例を示す説明図である。
ステップS402では、専有デバイス100Bは、情報処理装置140に対して、アプリ(アプリサーバー160)と操作を指定する。
ステップS404では、情報処理装置140は、専有デバイス100Bに対して、アクセストークン(アクセストークン310B、子アクセストークン320B)を配布する。
ステップS406では、専有デバイス100Bは、一時利用デバイス120Bに対して、子アクセストークン320Bを配布する。
ステップS408では、ユーザーは一時利用デバイス120Bを利用する。
ステップS410では、一時利用デバイス120Bは、情報処理装置140に対して、子アクセストークン320Bと利用するデータ410を送付する。
ステップS412では、情報処理装置140は、一時利用デバイス120Bから受信した子アクセストークン320Bからアプリ(アプリサーバー160)と操作(処理)を特定する。
ステップS414では、情報処理装置140は、特定されたアプリサーバー160に対して、呼び出しを行う。具体的には、データ410を送信して、処理を行わせる。
図5は、第1の実施の形態による処理例(専有デバイス100へのアクセストークン発行処理例)を示すフローチャートである。
ステップS502では、専有デバイス100は、情報処理装置140に対して、アクセストークン取得を要求する。具体的に、送信するデータとして(認証情報,アプリA,操作X)がある。例えば、認証情報として、「ユーザーID=U1」、操作Xとして「操作ID=P1」である。アプリAは、アプリサーバー160を特定するための情報である。
ステップS504では、情報処理装置140は、アプリサーバーA:160Aに対して、アクセストークン発行を要求する。具体的に、送信するデータとして(認証情報,操作X)がある。
ステップS506では、アプリサーバーA:160Aは、認証処理を行った後、アクセストークンTA1を発行する。
この時点562では、アプリサーバーA:160A内のアクセストークン管理テーブル600は、図6の例に示す通りのものである。図6は、アクセストークン管理テーブル600のデータ構造例を示す説明図である。アクセストークン管理テーブル600は、アクセストークンID欄610、ユーザーID欄620、操作ID欄630、発行日時欄640を有している。アクセストークンID欄610は、本実施の形態において、アクセストークンを一意に識別するための情報(アクセストークンID:IDentification)を記憶している。ユーザーID欄620は、本実施の形態において、ユーザーを一意に識別するための情報(ユーザーID)を記憶している。操作ID欄630は、本実施の形態において、操作を一意に識別するための情報(操作ID)を記憶している。発行日時欄640は、そのアクセストークンを発行した日時(年、月、日、時、分、秒、秒以下、又はこれらの組み合わせであってもよい)を記憶している。
ステップS508では、アプリサーバーA:160Aは、情報処理装置140に対して、成功と回答し、アクセストークンTA1を送信する。
この時点564では、情報処理装置140内のアクセストークン管理テーブル700は、図7の例に示す通りのものである。図7は、アクセストークン管理テーブル700のデータ構造例を示す説明図である。アクセストークン管理テーブル700は、図6の例に示すアクセストークン管理テーブル600にアプリ欄720を付加したものである。アクセストークン管理テーブル700は、アクセストークンID欄710、アプリ欄720、ユーザーID欄730、操作ID欄740、発行日時欄750を有している。アクセストークンID欄710は、アクセストークンIDを記憶している。アプリ欄720は、アプリ(ここでは、アプリサーバーA:160Aを特定するための情報)を記憶している。ユーザーID欄730は、ユーザーIDを記憶している。操作ID欄740は、操作IDを記憶している。発行日時欄750は、発行日時を記憶している。
ステップS510では、情報処理装置140は、専有デバイス100に対して、成功と回答し、アクセストークンTA1を送信する。
図8は、第1の実施の形態による処理例(子アクセストークンの発行処理例)を示すフローチャートである。
時点862では、情報処理装置140のアクセストークン管理テーブル700は、図7の例に示した通りのものである。図5の例に示した時点564における状態と同じである。
ステップS802では、専有デバイス100は、情報処理装置140に対して、子アクセストークン発行を通知する。具体的に、送信するデータとして(アクセストークンID,子アクセストークンID)がある。
ステップS804では、情報処理装置140は、子アクセストークンIDを登録する。
時点864では、情報処理装置140の子アクセストークン管理テーブル900は、図9の例に示す通りのものである。図9は、子アクセストークン管理テーブル900のデータ構造例を示す説明図である。子アクセストークン管理テーブル900は、子アクセストークンID欄910、アクセストークンID欄920、発行日時欄930を有している。子アクセストークンID欄910は、本実施の形態において、子アクセストークンを一意に識別するための情報(子アクセストークンID)を記憶している。アクセストークンID欄920は、その子アクセストークンに対応するアクセストークンIDを記憶している。発行日時欄930は、その子アクセストークンIDを発行した日時を記憶している。
ステップS806では、情報処理装置140は、専有デバイス100に対して、成功と回答する。
図10は、第1の実施の形態による処理例(子アクセストークンの配布処理例)を示すフローチャートである。
ステップS1002では、専有デバイス100は、認可情報の配布を開始する。例えば、ユーザーの操作にしたがう。
ステップS1004では、一時利用デバイス120は、認可情報の受領を開始する。例えば、ユーザーの操作にしたがう。ステップS1002、ステップS1004の処理は、いずれを先に行ってもよい(もちろんのことながら、同時であってもよい)。
ステップS1006では、専有デバイス100は、一時利用デバイス120に対して、子アクセストークンを配布する。具体的に、送信するデータとして(子アクセストークンID)がある。
ステップS1008では、一時利用デバイス120は、子アクセストークンを保存する。
ステップS1010では、一時利用デバイス120は、専有デバイス100に対して、成功と回答する。
ステップS1012では、専有デバイス100は、認可情報の配布を終了する。
ステップS1014では、一時利用デバイス120は、認可情報の受領を終了する。
図11は、第1の実施の形態による処理例を示すフローチャートである。
時点1162では、情報処理装置140内のアクセストークン管理テーブル700は、図11(a)の例に示した通りのものである。図5の例に示した時点564と同じ状態である。
時点1164では、情報処理装置140内の子アクセストークン管理テーブル900は、図11(b)の例に示す通りのものである。図8の例に示した時点864と同じ状態である。
ステップS1102では、ユーザーの操作によって、一時利用デバイス120が利用される。
ステップS1104では、一時利用デバイス120は、情報処理装置140に対して、サービスの実行を要求する。具体的に、送信するデータとして(子アクセストークンID,データ)がある。例えば、子アクセストークンIDとして「CT1」がある。
ステップS1106では、情報処理装置140は、子アクセストークンをアクセストークンに変換する。例えば、「CT1」から「TA1」に変換する。
ステップS1108では、情報処理装置140は、アプリサーバーA:160Aに対して、サービス実行要求に対応した代行機能の実施を依頼する。具体的に、送信するデータとして(TA1,データ)がある。
この時点1166では、アプリサーバーA:160A内のアクセストークン管理テーブル600は、図11(c)の例に示す通りのものである。図5の例に示した時点562と同じ状態である。
ステップS1110では、アプリサーバーA:160Aは、アクセストークンを確認し、サービス(代行機能に対応するサービス)を実行する。
ステップS1112では、アプリサーバーA:160Aは、情報処理装置140に対して、実行結果を送信する。
ステップS1114では、情報処理装置140は、一時利用デバイス120に対して、実行結果を送信する。
なお、子トークンの配布について、以下のようにしてもよい。
認可情報配布モジュール110によって専有デバイス100が子トークン配布状態に、かつ、認可情報受領モジュール125によって一時利用デバイス120が待受状態に、それぞれ移行することで配布が開始される。
どちらか一方だけが状態移行しただけでは配布は開始されず、片方の状態移行をもう片方が検知して状態移行することもない。
特にセキュリティが気になるエリアでは、近距離無線通信を使う方式としてもよい。例えば、FeliCa/NFC等のいわゆる「かざす」操作を行う必要がある距離とすればよい。
子アクセストークンの無効化処理について、以下のようにしてもよい。
子アクセストークンは、
(1)専有デバイス100に対するユーザーの明示的な操作にしたがって、つまり、専有デバイス100から情報処理装置140への指示にしたがって無効化される。
(2)予め定められた無効化期限になると一時利用デバイス120から情報処理装置140への指示にしたがって無効化される。なお、この無効化期限は、ユーザーの操作によって指定できるものとしてもよい。
(3)専有デバイス100と一時利用デバイス120が予め定められた距離以上に離れ、予め定められた時間以上に再接近しなかった(つまり、予め定められた距離未満とならなかった)と判断した場合、専有デバイス100から情報処理装置140への指示にしたがって無効化される。なお、この距離、時間は、ユーザーの操作によって指定できるものとしてもよい。
(4)子アクセストークン自体に、無効化期限を設定でき、その期限になると情報処理装置140によって無効化される。
(5)操作実行回数制限を設定でき、回数制限になると情報処理装置140によって無効化される。
<第2の実施の形態>
図12は、第2の実施の形態の構成例についての概念的なモジュール構成図である。なお、前述の実施の形態と同種の部位には同一符号を付し重複した説明を省略する(以下、同様)。
認可共有システム155は、専有デバイス100X、専有デバイス100Y、一時利用デバイス120、情報処理装置140を有している。
専有デバイス100Xは、トークン取得モジュール105X、認可情報配布モジュール110Xを有している。
専有デバイス100Yは、トークン取得モジュール105Y、認可情報配布モジュール110Yを有している。
一時利用デバイス120は、認可情報受領モジュール1225、利用モジュール130を有している。
情報処理装置140は、トークン発行モジュール145、代行モジュール150を有している。情報処理装置140は、アクセス管理の機能を有する。
アプリサーバー160は、トークン発行モジュール165、サービス提供モジュール170を有している。
トークン取得モジュール105Xは、通信回線198を介して、情報処理装置140のトークン発行モジュール145と接続されている。
トークン取得モジュール105Yは、通信回線198を介して、情報処理装置140のトークン発行モジュール145と接続されている。なお、トークン取得モジュール105X、トークン取得モジュール105Yは、トークン取得モジュール105と同等の機能を有している。
認可情報配布モジュール110Xは、通信回線198を介して、一時利用デバイス120の認可情報受領モジュール1225と接続されている。
認可情報配布モジュール110Yは、通信回線198を介して、一時利用デバイス120の認可情報受領モジュール1225と接続されている。なお、認可情報配布モジュール110X、認可情報配布モジュール110Yは、認可情報配布モジュール110と同等の機能を有している。
認可情報受領モジュール1225は、通信回線198を介して、専有デバイス100Xの認可情報配布モジュール110X、専有デバイス100Yの認可情報配布モジュール110Yと接続されている。認可情報受領モジュール1225は、一時利用デバイス120のユーザーによる終了操作にしたがって、第2の認可情報の受信を終了してもよい。専有デバイス100が複数存在する場合であって、一時利用デバイス120を利用するユーザー数を制限する場合に対応できるようにしたものである。例えば、ボタン1つで開始と終了を切り替えるトグルで動作するようにしてもよい。
利用モジュール130は、通信回線198を介して、情報処理装置140の代行モジュール150と接続されている。
トークン発行モジュール145は、通信回線198を介して、専有デバイス100のトークン取得モジュール105と接続されおり、通信回線199を介して、アプリサーバー160のトークン発行モジュール165と接続されている。
代行モジュール150は、通信回線198を介して、一時利用デバイス120の利用モジュール130と接続されおり、通信回線199を介して、アプリサーバー160のサービス提供モジュール170と接続されている。
トークン発行モジュール165は、通信回線199を介して、情報処理装置140のトークン発行モジュール145と接続されている。
サービス提供モジュール170は、通信回線199を介して、情報処理装置140の代行モジュール150と接続されている。
図13は、第2の実施の形態による処理例(複数の子アクセストークンの受領処理例)を示すフローチャートである。
ステップS1302では、専有デバイス100Xは、認可情報の配布を開始する。
ステップS1304では、一時利用デバイス120は、認可情報の受領を開始する。
ステップS1306では、専有デバイス100Xは、一時利用デバイス120に対して、子アクセストークンを配布する。具体的に、送信するデータとして(子アクセストークンID:CTX1)がある。
ステップS1308では、一時利用デバイス120は、子アクセストークンを保存する。
この時点1362での一時利用デバイス120の子アクセストークン管理配列は、CT={CTX1}である。
ステップS1310では、一時利用デバイス120は、専有デバイス100Xに対して、成功と回答する。
ステップS1312では、専有デバイス100Xは、認可情報の配布を終了する。
ステップS1314では、専有デバイス100Yは、認可情報の配布を開始する。
ステップS1316では、専有デバイス100Yは、一時利用デバイス120に対して、子アクセストークンを配布する。具体的に、送信するデータとして(子アクセストークンID:CTY1)がある。
ステップS1318では、一時利用デバイス120は、子アクセストークンを保存する。
この時点1364での一時利用デバイス120の子アクセストークン管理配列は、CT={CTX1,CTY1}である。
ステップS1320では、一時利用デバイス120は、専有デバイス100Yに対して、成功と回答する。
ステップS1322では、専有デバイス100Yは、認可情報の配布を終了する。
ステップS1324では、一時利用デバイス120は、終了操作を行う。
ステップS1326では、一時利用デバイス120は、認可情報の受領を終了する。
一時利用デバイス120において、ステップS1304からステップS1324までの間であれば、複数の専有デバイス100から子アクセストークンの配布を受けることができる。
<第3の実施の形態>
図14は、第3の実施の形態の構成例についての概念的なモジュール構成図である。
認可共有システム155は、専有デバイス100、一時利用デバイス120、情報処理装置140を有している。
専有デバイス100は、トークン取得モジュール105、認可情報配布モジュール110、関連付けモジュール1405を有している。
一時利用デバイス120は、認可情報受領モジュール125、利用モジュール130を有している。
情報処理装置140は、トークン発行モジュール145、代行モジュール150を有している。情報処理装置140は、アクセス管理の機能を有する。
アプリサーバー160は、トークン発行モジュール165、サービス提供モジュール170を有している。
トークン取得モジュール105は、関連付けモジュール1405と接続されており、また、通信回線198を介して、情報処理装置140のトークン発行モジュール145と接続されている。
認可情報配布モジュール110は、通信回線198を介して、一時利用デバイス120の認可情報受領モジュール125と接続されている。
関連付けモジュール1405は、トークン取得モジュール105と接続されている。関連付けモジュール1405は、専有デバイス100内のソフトウェアと第1の認可情報を関連付けて記憶する。そして、専有デバイス100内ソフトウェアの起動に連動して、認可情報配布モジュール110は、一時利用デバイス120に第2の認可情報の配布を開始できるようにしてもよい。
認可情報受領モジュール125は、通信回線198を介して、専有デバイス100の認可情報配布モジュール110と接続されている。
利用モジュール130は、通信回線198を介して、情報処理装置140の代行モジュール150と接続されている。
トークン発行モジュール145は、通信回線198を介して、専有デバイス100のトークン取得モジュール105と接続されおり、通信回線199を介して、アプリサーバー160のトークン発行モジュール165と接続されている。
代行モジュール150は、通信回線198を介して、一時利用デバイス120の利用モジュール130と接続されおり、通信回線199を介して、アプリサーバー160のサービス提供モジュール170と接続されている。
トークン発行モジュール165は、通信回線199を介して、情報処理装置140のトークン発行モジュール145と接続されている。
サービス提供モジュール170は、通信回線199を介して、情報処理装置140の代行モジュール150と接続されている。
図15は、第3の実施の形態による処理例(ソフトウェアとの関連付け処理例)を示すフローチャートである。
ステップS1502では、専有デバイス100は、情報処理装置140に対して、アクセストークンの取得を要求する。具体的に、送信するデータとして(認証情報,アプリA,操作X)がある。
ステップS1504では、情報処理装置140は、アプリサーバーA:160Aに対して、アクセストークンの発行を要求する。具体的に、送信するデータとして(認証情報,操作X)がある。
ステップS1506では、アプリサーバーA:160Aは、認証後、アクセストークンTA1を発行する。
ステップS1508では、アプリサーバーA:160Aは、情報処理装置140に対して、成功と回答し、アクセストークンTA1を送信する。
ステップS1510では、情報処理装置140は、専有デバイス100に対して、成功と回答し、アクセストークンTA1を送信する。
ステップS1512では、専有デバイス100は、ソフトウェア関連付け画面を表示する。
ステップS1514では、専有デバイス100は、関連付けを選択する。
この時点1562では、専有デバイス100のソフトウェア・アクセストークン関連付テーブル1600は、図16の例に示す通りのものである。図16は、ソフトウェア・アクセストークン関連付テーブル1600のデータ構造例を示す説明図である。ソフトウェア・アクセストークン関連付テーブル1600は、ソフトウェア欄1610、アクセストークンID欄1620を有している。ソフトウェア欄1610は、ソフトウェアを記憶している。アクセストークンID欄1620は、そのソフトウェアに対応するアクセストークンIDを記憶している。
図17は、第3の実施の形態による処理例を示すフローチャートである。
ステップS1702では、専有デバイス100は、情報処理装置140に対して、子アクセストークン発行を通知する。具体的に、送信するデータとして(アクセストークンID,子アクセストークンID)がある。
ステップS1704では、情報処理装置140は、子アクセストークンIDを登録する。
ステップS1706では、情報処理装置140は、専有デバイス100に対して、成功と回答する。
ステップS1712では、専有デバイス100は、ソフトウェア関連付け画面を表示する。
ステップS1714では、専有デバイス100は、関連付けを選択する。
この時点1762では、専有デバイス100のソフトウェア・アクセストークン・子アクセストークン関連付テーブル1800は、図18の例に示す通りのものである。図18は、ソフトウェア・アクセストークン・子アクセストークン関連付テーブル1800のデータ構造例を示す説明図である。ソフトウェア・アクセストークン・子アクセストークン関連付テーブル1800は、図16の例に示したソフトウェア・アクセストークン関連付テーブル1600に子アクセストークンID欄1830を付加したものである。
ソフトウェア・アクセストークン・子アクセストークン関連付テーブル1800は、ソフトウェア欄1810、アクセストークンID欄1820、子アクセストークンID欄1830を有している。ソフトウェア欄1810は、ソフトウェアを記憶している。アクセストークンID欄1820は、そのソフトウェアに対応するアクセストークンIDを記憶している。子アクセストークンID欄1830は、そのソフトウェアに対応する子アクセストークンIDを記憶している。
図19を参照して、本実施の形態の情報処理装置のハードウェア構成例について説明する。図19に示す構成は、例えばパーソナルコンピュータ(PC)等によって構成されるものであり、スキャナ等のデータ読み取り部1917と、プリンタ等のデータ出力部1918を備えたハードウェア構成例を示している。
CPU(Central Processing Unit)1901は、前述の実施の形態において説明した各種のモジュール、すなわち、トークン取得モジュール105、認可情報配布モジュール110、認可情報受領モジュール125、利用モジュール130、トークン発行モジュール145、代行モジュール150、トークン発行モジュール165、サービス提供モジュール170等の各モジュールの実行シーケンスを記述したコンピュータ・プログラムにしたがった処理を実行する制御部である。
ROM(Read Only Memory)1902は、CPU1901が使用するプログラムや演算パラメータ等を格納する。RAM(Random Access Memory)1903は、CPU1901の実行において使用するプログラムや、その実行において適宜変化するパラメータ等を格納する。これらはCPUバス等から構成されるホストバス1904により相互に接続されている。
ホストバス1904は、ブリッジ1905を介して、PCI(Peripheral Component Interconnect/Interface)バス等の外部バス1906に接続されている。
キーボード1908、マウス等のポインティングデバイス1909は、操作者により操作されるデバイスである。ディスプレイ1910は、液晶表示装置又はCRT(Cathode Ray Tube)等があり、各種情報をテキストやイメージ情報として表示する。また、ポインティングデバイス1909とディスプレイ1910の両方の機能を備えているタッチスクリーン等であってもよい。
HDD(Hard Disk Drive)1911は、ハードディスク(フラッシュ・メモリ等であってもよい)を内蔵し、ハードディスクを駆動し、CPU1901によって実行するプログラムや情報を記録又は再生させる。ハードディスクには、アクセストークン、処理に必要なデータ等が格納される。さらに、その他の各種データ、各種コンピュータ・プログラム等が格納される。
ドライブ1912は、装着されている磁気ディスク、光ディスク、光磁気ディスク、又は半導体メモリ等のリムーバブル記録媒体1913に記録されているデータ又はプログラムを読み出して、そのデータ又はプログラムを、インターフェイス1907、外部バス1906、ブリッジ1905、及びホストバス1904を介して接続されているRAM1903に供給する。なお、リムーバブル記録媒体1913も、データ記録領域として利用可能である。
接続ポート1914は、外部接続機器1915を接続するポートであり、USB、IEEE1394等の接続部を持つ。接続ポート1914は、インターフェイス1907、及び外部バス1906、ブリッジ1905、ホストバス1904等を介してCPU1901等に接続されている。通信部1916は、通信回線に接続され、外部とのデータ通信処理を実行する。データ読み取り部1917は、例えばスキャナであり、ドキュメントの読み取り処理を実行する。データ出力部1918は、例えばプリンタであり、ドキュメントデータの出力処理を実行する。
なお、図19に示す情報処理装置のハードウェア構成は、1つの構成例を示すものであり、本実施の形態は、図19に示す構成に限らず、本実施の形態において説明したモジュールを実行可能な構成であればよい。例えば、一部のモジュールを専用のハードウェア(例えば特定用途向け集積回路(Application Specific Integrated Circuit:ASIC)等)で構成してもよく、一部のモジュールは外部のシステム内にあり通信回線で接続している形態でもよく、さらに図19に示すシステムが複数互いに通信回線によって接続されていて互いに協調動作するようにしてもよい。また、特に、パーソナルコンピュータの他、携帯情報通信機器(携帯電話、スマートフォン、モバイル機器、ウェアラブルコンピュータ等を含む)、情報家電、ロボット、複写機、ファックス、スキャナ、プリンタ、複合機(スキャナ、プリンタ、複写機、ファックス等のいずれか2つ以上の機能を有している画像処理装置)などに組み込まれていてもよい。
なお、前述の各種の実施の形態を組み合わせてもよく(例えば、ある実施の形態内のモジュールを他の実施の形態内に追加する、入れ替えをする等も含む)、また、各モジュールの処理内容として背景技術で説明した技術を採用してもよい。
また、前述の実施の形態の説明内での比較処理において、「以上」、「以下」、「より大きい」、「より小さい(未満)」としたものは、その組み合わせに矛盾が生じない限り、それぞれ「より大きい」、「より小さい(未満)」、「以上」、「以下」としてもよい。
なお、説明したプログラムについては、記録媒体に格納して提供してもよく、また、そのプログラムを通信手段によって提供してもよい。その場合、例えば、前記説明したプログラムについて、「プログラムを記録したコンピュータ読み取り可能な記録媒体」の発明として捉えてもよい。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通等のために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
なお、記録媒体としては、例えば、デジタル・バーサタイル・ディスク(DVD)であって、DVDフォーラムで策定された規格である「DVD−R、DVD−RW、DVD−RAM等」、DVD+RWで策定された規格である「DVD+R、DVD+RW等」、コンパクトディスク(CD)であって、読出し専用メモリ(CD−ROM)、CDレコーダブル(CD−R)、CDリライタブル(CD−RW)等、ブルーレイ・ディスク(Blu−ray(登録商標) Disc)、光磁気ディスク(MO)、フレキシブルディスク(FD)、磁気テープ、ハードディスク、読出し専用メモリ(ROM)、電気的消去及び書換可能な読出し専用メモリ(EEPROM(登録商標))、フラッシュ・メモリ、ランダム・アクセス・メモリ(RAM)、SD(Secure Digital)メモリーカード等が含まれる。
そして、前記のプログラムの全体又はその一部は、前記記録媒体に記録して保存や流通等させてもよい。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、又は無線通信ネットワーク、さらにこれらの組み合わせ等の伝送媒体を用いて伝送させてもよく、また、搬送波に乗せて搬送させてもよい。
さらに、前記のプログラムは、他のプログラムの一部分又は全部であってもよく、又は別個のプログラムと共に記録媒体に記録されていてもよい。また、複数の記録媒体に分割して記録されていてもよい。また、圧縮や暗号化等、復元可能であればどのような態様で記録されていてもよい。
100…専有デバイス
105…トークン取得モジュール
110…認可情報配布モジュール
120…一時利用デバイス
125…認可情報受領モジュール
130…利用モジュール
140…情報処理装置
145…トークン発行モジュール
150…代行モジュール
155…認可共有システム
160…アプリサーバー
165…トークン発行モジュール
170…サービス提供モジュール
198…通信回線
199…通信回線
290…通信回線
1225…認可情報受領モジュール
1405…関連付けモジュール

Claims (8)

  1. ユーザーと、該ユーザーが通信回線上のサーバーに対して行うことを許可された処理を表す認可情報とを対応づけて記憶する記憶手段と、
    第1のデバイスを利用するユーザーに対応づけられた第1の認可情報に基づいて、第2の認可情報を生成する生成手段と、
    前記第2の認可情報を、前記第1のデバイスの近傍に存在する第2のデバイスに送信する送信手段と、
    前記第2のデバイスからデータと前記第2の認可情報とを受信する受信手段と、
    前記第2の認可情報に基づき、前記サーバーに対して前記データを用いた処理の実行を要求する要求手段と、
    を有する情報処理システム。
  2. 前記要求手段は、第2の認可情報の生成に用いられた第1の認可情報とデータを前記サーバーに送信することにより、前記処理の実行を要求する、
    請求項1に記載の情報処理システム。
  3. 前記要求手段は、前記第1の認可情報と対応付けられたサーバーに該第1の認可情報と前記データを送信することにより、前記処理の実行を要求する、
    請求項2に記載の情報処理システム。
  4. 第1のデバイスは認可情報を要求するためのユーザーインターフェイスを備え、第2のデバイスは認可情報を要求するためのユーザーインターフェイスを備えない、
    請求項1に記載の情報処理システム。
  5. 前記生成手段は、前記第1のデバイスと前記第2のデバイスの距離が予め定められた距離未満又は以下になったことに応じ、前記第2の認可情報を生成する、
    請求項4に記載の情報処理システム。
  6. 前記第1のデバイスと前記第2のデバイスの距離が予め定められた距離より遠くに又は以上離れたことに応じ、前記第2の認可情報を無効化する無効化手段をさらに有する、
    請求項4に記載の情報処理システム。
  7. ユーザーと、該ユーザーが通信回線上のサーバーに対して行うことを許可された処理を表す認可情報とを対応づけて記憶する記憶手段と、
    第1のデバイスを利用するユーザーに対応づけられた第1の認可情報に基づいて、第2の認可情報を生成する生成手段と、
    前記第2の認可情報を、前記第1のデバイスに送信する送信手段と、
    前記第1のデバイスとは異なる第2のデバイスからデータと前記第2の認可情報とを受信する受信手段と、
    前記第2の認可情報に基づき、前記サーバーに対して前記データを用いた処理の実行を要求する要求手段と、
    を有する情報処理装置。
  8. コンピュータを、
    ユーザーと、該ユーザーが通信回線上のサーバーに対して行うことを許可された処理を表す認可情報とを対応づけて記憶する記憶手段と、
    第1のデバイスを利用するユーザーに対応づけられた第1の認可情報に基づいて、第2の認可情報を生成する生成手段と、
    前記第2の認可情報を、前記第1のデバイスに送信する送信手段と、
    前記第1のデバイスとは異なる第2のデバイスからデータと前記第2の認可情報とを受信する受信手段と、
    前記第2の認可情報に基づき、前記サーバーに対して前記データを用いた処理の実行を要求する要求手段
    として機能させるための情報処理プログラム。
JP2016054709A 2016-03-18 2016-03-18 情報処理システム Expired - Fee Related JP6720606B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016054709A JP6720606B2 (ja) 2016-03-18 2016-03-18 情報処理システム
US15/219,880 US10382439B2 (en) 2016-03-18 2016-07-26 Information processing system, information processing apparatus, information processing method, and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016054709A JP6720606B2 (ja) 2016-03-18 2016-03-18 情報処理システム

Publications (2)

Publication Number Publication Date
JP2017168005A true JP2017168005A (ja) 2017-09-21
JP6720606B2 JP6720606B2 (ja) 2020-07-08

Family

ID=59856092

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016054709A Expired - Fee Related JP6720606B2 (ja) 2016-03-18 2016-03-18 情報処理システム

Country Status (2)

Country Link
US (1) US10382439B2 (ja)
JP (1) JP6720606B2 (ja)

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040139028A1 (en) * 2001-03-23 2004-07-15 Fishman Jayme Matthew System, process and article for conducting authenticated transactions
JP4663315B2 (ja) 2004-12-28 2011-04-06 Kddi株式会社 認証システムおよび同システムにおける認証情報委譲方法ならびにセキュリティデバイス
KR100630935B1 (ko) * 2005-06-01 2006-10-02 삼성전자주식회사 디스플레이장치, 디스플레이 시스템 및 디스플레이장치의사용 인증방법
US8838477B2 (en) * 2011-06-09 2014-09-16 Golba Llc Method and system for communicating location of a mobile device for hands-free payment
US8793509B1 (en) * 2008-02-12 2014-07-29 Google Inc. Web authorization with reduced user interaction
US8437742B2 (en) * 2009-10-16 2013-05-07 At&T Intellectual Property I, L.P. Systems and methods for providing location-based application authentication using a location token service
US8763095B2 (en) * 2012-04-12 2014-06-24 Sap Ag Authorization sharing
JP6006533B2 (ja) * 2012-05-25 2016-10-12 キヤノン株式会社 認可サーバー及びクライアント装置、サーバー連携システム、トークン管理方法
US20140189799A1 (en) * 2012-12-28 2014-07-03 Gemalto Sa Multi-factor authorization for authorizing a third-party application to use a resource
WO2015013548A1 (en) * 2013-07-24 2015-01-29 Visa International Service Association Systems and methods for interoperable network token processing
US10212143B2 (en) * 2014-01-31 2019-02-19 Dropbox, Inc. Authorizing an untrusted client device for access on a content management system
GB2547300A (en) * 2014-05-29 2017-08-16 Singh Sethi Ranvir System and method for generating a location specific taken
US10764621B2 (en) * 2015-06-29 2020-09-01 Rakuten, Inc. Authentic server, user terminal, content server, control method for these, and computer program
US10104084B2 (en) * 2015-07-30 2018-10-16 Cisco Technology, Inc. Token scope reduction
US20170076366A1 (en) * 2015-09-11 2017-03-16 Bank Of America Corporation Universal tokenization system

Also Published As

Publication number Publication date
US20170272438A1 (en) 2017-09-21
JP6720606B2 (ja) 2020-07-08
US10382439B2 (en) 2019-08-13

Similar Documents

Publication Publication Date Title
US10048915B2 (en) Method of processing workflow in which a function of an image forming apparatus and a function of a mobile device are combined and mobile device for performing the method
JP6439370B2 (ja) 情報処理システム、情報処理方法、情報処理装置及びプログラム
CN102611555B (zh) 数据处理设备
CN109074440B (zh) 用于多因素事件授权的配置
JP2013257859A (ja) 情報処理システム、情報処理装置、プログラム及び認証方法
KR101560246B1 (ko) 클라우드 프린팅 시스템 및 이를 이용한 클라우드 프린팅 서비스 방법
JP2018018318A (ja) 画像形成装置、印刷システム、および印刷方法
JP2020119342A (ja) 情報処理システム、認証基盤、認可情報検証方法、及びプログラム
EP2990986B1 (en) Output system, output apparatus, and output method
JP6413686B2 (ja) 情報処理システム、情報処理装置、及び情報処理方法
KR20180000527A (ko) 화상 형성 장치, 모바일 단말 및 그 장치들의 로컬 로그인 처리 방법
JP7103083B2 (ja) 通信システム、登録仲介サーバのためのコンピュータプログラム、及び、サービス提供サーバのためのコンピュータプログラム
US10389913B2 (en) Information management control apparatus, image processing apparatus, and information management control system
JP6720606B2 (ja) 情報処理システム
KR20130040065A (ko) 전자 장치 및 그 암호화 방법
EP3985497A1 (en) Information processing system, output system, output method, and recording medium
JP2019061324A (ja) 情報処理装置及び情報処理プログラム
JP2014191455A (ja) 情報処理装置、情報処理システム及び情報処理プログラム
US20150381622A1 (en) Authentication system, authentication method, authentication apparatus, and recording medium
JP7040215B2 (ja) アクセス制御装置、アクセス制御プログラムおよびアクセス制御システム
JP6123367B2 (ja) 情報処理システム及び出力制御方法
JP2020086794A (ja) 情報処理システム、情報処理方法、情報処理装置、及びプログラム
US11616828B2 (en) System and method for remote support, and web application server for executing the same
JP2019023838A (ja) 情報処理装置、情報処理方法、およびプログラム
JP2022053955A (ja) 方法、プログラム、情報処理装置、認証サーバ、および情報処理システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190123

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191203

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200108

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200519

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200601

R150 Certificate of patent or registration of utility model

Ref document number: 6720606

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees