JP2018011177A - 情報処理装置及びその制御方法、並びにプログラム - Google Patents

情報処理装置及びその制御方法、並びにプログラム Download PDF

Info

Publication number
JP2018011177A
JP2018011177A JP2016138592A JP2016138592A JP2018011177A JP 2018011177 A JP2018011177 A JP 2018011177A JP 2016138592 A JP2016138592 A JP 2016138592A JP 2016138592 A JP2016138592 A JP 2016138592A JP 2018011177 A JP2018011177 A JP 2018011177A
Authority
JP
Japan
Prior art keywords
certificate
information processing
authentication
processing apparatus
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016138592A
Other languages
English (en)
Inventor
純 阿武
Jun Abu
純 阿武
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2016138592A priority Critical patent/JP2018011177A/ja
Publication of JP2018011177A publication Critical patent/JP2018011177A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Accessory Devices And Overall Control Thereof (AREA)
  • Facsimiles In General (AREA)

Abstract

【課題】認証局以外で発行された証明書による暗号化通信の実行を容易に行うことができる情報処理装置を提供する。
【解決手段】MFP103は、取得された証明書が認証局以外で発行されたサーバ発行証明書であり、且つ該サーバ発行証明書の送信元のサーバ104で実行されたMFP103の認証処理が成功した場合、サーバ104とSSL通信を確立する。
【選択図】図12

Description

本発明は、情報処理装置及びその制御方法、並びにプログラムに関する。
外部装置に個人情報やパスワード等の機密情報を送信する際にSSL(Secure Sockets Layer)/TSL(Transport Layer Security)による暗号通信(以下、「SSL通信」という。)を行う情報処理装置としてのMFPが知られている。MFPはSSL通信を行うために、通信先となる外部装置から該外部装置を特定する証明書を取得し、取得された証明書に基づいて外部装置の正当性を検証する。MFPは、受信された証明書が公的な認証機関である認証局によって発行された証明書である場合、証明書を送信した外部装置とSSL通信を確立する。
ところで、認証局による証明書の発行には各手続きに時間や費用がかかるので、セキュリティが或る程度担保された社内向けネットワークにおけるSSL通信では、認証局以外で発行された証明書を用いる場合がある。例えば、MFPが社内向けネットワークに接続されたサーバ等とSSL通信を行う際、MFPはサーバによって発行された証明書(以下、「サーバ発行証明書」という。)を当該サーバから取得する。サーバ発行証明書は、認証局ではなく証明書を送信するサーバ自身が発行するので証明書の発行に時間や費用がかからない反面、サーバ発行証明書を送信したサーバの正当性をユーザ自身が検証する必要がある。MFPは、サーバ発行証明書を受信すると、該サーバ発行証明書の内容の確認を促す警告メッセージをMFPの表示部に表示する。ユーザは、表示部に表示されたサーバ発行証明書の各情報を確認し、サーバ発行証明書を送信したサーバが正当であると判別すると、該サーバ発行証明書によるSSL通信の実行を許可する登録(以下、「SSL許可登録」という。)を行う。これにより、MFPはSSL許可登録されたサーバ発行証明書を送信したサーバとSSL通信可能となる。サーバ発行証明書のSSL許可登録を容易に行う技術として、例えば、受信されたサーバ発行証明書がMFP及びサーバの各々と通信可能な認証サーバに設定されている場合、該サーバ発行証明書のSSL許可登録を行う技術が提案されている(例えば、特許文献1参照)。
特開2013−61709号公報
しかしながら、上述した特許文献1の技術では、サーバ発行証明書のSSL許可登録を行うために、新たに認証サーバを設け、SSL通信を行う前に当該認証サーバにサーバ発行証明書を予め設定するといった手間が生じる。すなわち、従来のMFPでは、認証局以外で発行された証明書によるSSL通信の実行を容易に行うことができない。
本発明の目的は、認証局以外で発行された証明書による暗号化通信の実行を容易に行うことができる情報処理装置及びその制御方法、並びにプログラムを提供することにある。
上記目的を達成するために、本発明の情報処理装置は、暗号化通信を行うための証明書を受信し、前記受信された証明書が認証局で発行された証明書である際に当該証明書の送信元と暗号化通信を行う情報処理装置であって、前記受信された証明書が認証局で発行された証明書であるか否かを判別する証明書判別手段と、前記受信された証明書の送信元で実行された前記情報処理装置の認証処理の結果を取得する認証結果取得手段と、前記暗号化通信の実行を制御する制御手段とを備え、前記制御手段は、前記受信された証明書が前記認証局で発行された証明書ではなく、且つ前記受信された証明書の送信元で実行された前記情報処理装置の認証処理が成功した場合、前記受信された証明書の送信元と前記暗号化通信を確立することを特徴とする。
本発明によれば、認証局以外で発行された証明書による暗号化通信の実行を容易に行うことができる。
本発明の実施の形態に係る情報処理装置としてのMFPを含む通信システムの構成を概略的に示す構成図である。 図1のMFPのハードウェアの構成を概略的に示すブロック図である。 図2の操作表示部を説明するための図である。 図1のMFPのソフトウェアモジュールの構成を概略的に示すブロック図である。 図1のサーバのハードウェアの構成を概略的に示すブロック図である。 図1のサーバのソフトウェアモジュールの構成を概略的に示すブロック図である。 図1のサーバによって実行される認証処理の手順を示すタイミングチャートである。 図1のサーバによって管理される組合せ表の一例を示す図である。 図1のサーバによって実行される認証処理の手順を示すフローチャートである。 図1のMFP及びサーバ間の通信を説明するための図である。 図1のMFP及びサーバによって実行されるMFPの認証結果の送受信処理の手順を示すタイミングチャートである。 図1のMFPによって実行されるSSL通信確立処理の手順を示すフローチャートである。 図1のMFPによって実行される登録制御処理の手順を示すフローチャートである。 図4の監視モジュール及び暗号通信モジュール間の通信を説明するためのタイミングチャートである。 図1のMFP及びサーバの各ソフトウェアモジュールの変形例を説明するための図である。 図13の登録制御処理の変形例の手順を示すフローチャートである。
以下、本発明の実施の形態を図面を参照しながら詳述する。
本実施の形態では、情報処理装置としてのMFPに本発明を適用した場合について説明するが、本発明の適用先はMFPに限られず、SSL通信を実行可能なクライアントPC等の情報処理装置であれば本発明を適用することができる。
図1は、本発明の実施の形態に係る情報処理装置としてのMFP103を含む通信システム100の構成を概略的に示す構成図である。図1(a)は通信システム100における第1の接続形態を示し、図1(b)は通信システム100における第2の接続形態を示し、図1(c)は通信システム100における第3の接続形態を示す。
図1(a)において、通信システム100はMFP103及びサーバ104を備える。MFP103はサーバ104と専用ネットワーク101及び専用線102のそれぞれで接続され、サーバ104は公衆向けネットワーク105と接続されている。
専用ネットワーク101はセキュリティが或る程度担保されたネットワークでMFP103及びサーバ104のみを接続する専用のネットワークである。専用線102は、主に、MFP103及びサーバ104の間で大容量のデータ通信を行う際に用いられる。MFP103は印刷処理やスキャン処理等の各ジョブを実行可能である。また、MFP103は、専用ネットワーク101及び専用線102を介してサーバ104とデータ通信可能である。例えば、MFP103は当該MFP103に表示される設定画面からサーバ104の各設定情報を設定可能であり、当該設定画面の操作によって入力された各情報は、SSL通信(暗号化通信)によってMFP103からサーバ104に送信される。サーバ104は当該サーバ104を特定するサーバ発行証明書を発行可能であり、MFP103とSSL通信を行うためにMFP103にサーバ発行証明書を送信する。なお、本実施の形態では、MFP103及びサーバ104の接続形態として、MFP103が公衆向けネットワーク105に接続されない場合について説明したが、MFP103及びサーバ104の接続形態はこれに限られない。例えば、図1(b)に示すように、MFP103が公衆向けネットワーク105に接続されてもよい。また、図1(c)に示すように、MFP103は公衆向けネットワーク105に接続され、且つMFP103はサーバ104と専用線102のみで接続されてもよい。
図2は、図1のMFP103のハードウェアの構成を概略的に示すブロック図である。
図2において、MFP103は、制御部200、操作表示部208、格納部209、スキャナ部210、及びプリント部211を備え、制御部200は操作表示部208、格納部209、スキャナ部210、及びプリント部211のそれぞれと接続されている。制御部200は、CPU201、ROM202、RAM203、操作表示部I/F204、格納部I/F205、ネットワークI/F206、及び専用線I/F207を備える。CPU201、ROM202、RAM203、操作表示部I/F204、格納部I/F205、ネットワークI/F206、及び専用線I/F207はシステムバス212を介して互いに接続されている。
制御部200はMFP103全体を統括的に制御する。CPU201はROM202や格納部209に格納された各プログラムを実行して後述する図4のソフトウェアモジュール400の各処理を行う。ROM202はCPU201によって実行されるプログラムや各データを格納する。RAM203はCPU201の作業領域として用いられ、また、RAM203は一時格納領域として用いられる。操作表示部I/F204は操作表示部208とデータ通信を行い、格納部I/F205は格納部209とデータ通信を行う。ネットワークI/F206は専用ネットワーク101を介したサーバ104とのデータ通信を制御し、専用線I/F207は専用線102を介したサーバ104とのデータ通信を制御する。
操作表示部208は図3に示すように、タッチパネル式の表示部301及び操作キー群302を備える。操作表示部208はMFP103におけるユーザインターフェースであり、MFP103で実行される各処理の実行指示の受け付けを行う。また、操作表示部208はサーバ104の設定を行う図3の設定メニュー303を表示部301に表示する。設定メニュー303においてユーザによって入力された入力情報、例えば、サーバ104の管理者のパスワード等の機密情報がMFP103からサーバ104に送信される。格納部209はプログラムや各データを格納する。スキャナ部210は図示しない原稿台に配置された原稿を読み取り、読み取った情報に基づいて画像データを生成する。プリント部211はスキャナ部210で生成された画像データに基づいて用紙に印刷を行う。
図4は、図1のMFP103のソフトウェアモジュール400の構成を概略的に示すブロック図である。
図4において、ソフトウェアモジュール400は、システム制御モジュール401、監視モジュール402、暗号通信モジュール403、及び登録モジュール404を備える。ソフトウェアモジュール400の各処理は、CPU201がROM202や格納部209に格納されたプログラムを実行することによって行われる。
システム制御モジュール401はMFP103のシステム全体を制御する。監視モジュール402は後述する図6の第1の認証モジュール603及び第2の認証モジュール604によって実行される認証処理の結果(以下、単に「認証結果」という。)を監視する。暗号通信モジュール403はサーバ104とのSSL通信を制御する。登録モジュール404は認証局以外で発行された証明書のうちMFP103とのSSL通信の実行が許可された証明書を図示しない証明書管理リストに登録する。
図5は、図1のサーバ104のハードウェアの構成を概略的に示すブロック図である。
図5において、サーバ104は、制御部500、操作表示部508、及び格納部509を備え、制御部500は操作表示部508及び格納部509のそれぞれと接続されている。制御部500は、CPU501、ROM502、RAM503、操作表示部I/F504、格納部I/F505、ネットワークI/F506、及び専用線I/F507を備える。CPU501、ROM502、RAM503、操作表示部I/F504、格納部I/F505、ネットワークI/F506、及び専用線I/F507はシステムバス510を介して互いに接続されている。
制御部500はサーバ104全体を統括的に制御する。CPU501はROM502や格納部509に格納された各プログラムを実行して後述する図6のソフトウェアモジュール600の各処理を行う。ROM502はCPU501によって実行されるプログラムや各データを格納する。RAM503はCPU501の作業領域として用いられ、また、RAM503は一時格納領域として用いられる。操作表示部I/F504は操作表示部508とデータ通信を行い、格納部I/F505は格納部509とデータ通信を行う。ネットワークI/F506は専用ネットワーク101や公衆向けネットワーク105に接続された各装置とのデータ通信を制御し、専用線I/F507は専用線102を介したMFP103とのデータ通信を制御する。操作表示部508は図示しない表示部及び操作キー群を備え、サーバ104におけるユーザインターフェースである。格納部509はプログラムや各データを格納する。
図6は、図1のサーバ104のソフトウェアモジュール600の構成を概略的に示すブロック図である。
図6において、ソフトウェアモジュール600は、システム制御モジュール601、暗号通信モジュール602、第1の認証モジュール603、第2の認証モジュール604、及び証明書格納モジュール605を備える。ソフトウェアモジュール400の各処理は、CPU501がROM502や格納部509に格納されたプログラムを実行することによって行われる。
システム制御モジュール601はMFP103のシステム全体を制御し、例えば、サーバ発行証明書を発行する。暗号通信モジュール602はMFP103とのSSL通信を制御する。第1の認証モジュール603及び第2の認証モジュール604は、専用ネットワーク101や公衆向けネットワーク105に接続された各装置と各ジョブを実行するために当該各装置を認証する後述する図7の認証処理を行う。証明書格納モジュール605は生成されたサーバ発行証明書をROM502や格納部509に格納する。
次に、第1の認証モジュール603及び第2の認証モジュール604によって実行される認証処理について説明する。
図7は、図1のサーバ104によって実行される認証処理の手順を示すタイミングチャートである。
図7の処理は、図6の第1の認証モジュール603及び第2の認証モジュール604によってサーバ104の起動時に実行され、一例として、MFP103の認証を行う場合を前提とする。
図7において、まず、第2の認証モジュール604は、第1の認証モジュール603にMFP103を特定する文字列、例えば、文字列「bbb」を送信する(ステップS701)。本実施の形態では、第2の認証モジュール604は図8の組合せ表800を管理する。組合せ表800は送信文字列801及び受信文字列802を含む。送信文字列801はMFP103等の各装置の認証を行う際に第2の認証モジュール604が第1の認証モジュール603に送信する文字列であり、送信文字列801には各装置に対応付けされた文字列が予め設定されている。受信文字列802は送信文字列801と組になる文字列である。
第1の認証モジュール603は、第2の認証モジュール604から文字列「bbb」を受信すると、第2の認証モジュール604に送信する文字列を決定する。具体的に、第1の認証モジュール603は、当該第1の認証モジュール603が管理する図8の組合せ表803に基づいて第2の認証モジュール604から受信した文字列「bbb」が受信文字列804に存在するか否かを確認する。組合せ表803は受信文字列804及び送信文字列805を含み、受信文字列804は予め設定された文字列であり、送信文字列805は受信文字列804と組になる文字列である。第1の認証モジュール603は文字列「bbb」が受信文字列804に存在すると、受信文字列804の文字列「bbb」と組になる送信文字列805の文字列「aaa」を第2の認証モジュール604に送信する文字列に決定する。その後、第1の認証モジュール603は決定された文字列「aaa」を第2の認証モジュール604に送信する(ステップS702)。
第2の認証モジュール604は、第1の認証モジュール603から文字列「aaa」を受信すると、組合せ表800に基づいて送信された文字列「bbb」及び受信された「aaa」の組合せが正しいか否かを判別する。送信された文字列「bbb」及び受信された「aaa」の組合せが正しい場合、第2の認証モジュール604は送信された文字列「bbb」に対応付けされたMFP103の認証が成功したと判別する。一方、送信された文字列「bbb」及び受信された「aaa」の組合せが正しくない場合、第2の認証モジュール604は送信された文字列「bbb」に対応付けされたMFP103の認証が失敗したと判別する。その後、第2の認証モジュール604は判別した結果をMFP103の認証結果として保持し(ステップS703)、当該MFP103の認証結果を第1の認証モジュール603に送信する。第1の認証モジュール603は、第2の認証モジュール604からMFP103の認証結果を受信すると、当該MFP103の認証結果を保持し(ステップS704)、本処理を終了する。
図9は、図1のサーバ104によって実行される認証処理の手順を示すフローチャートである。図9(a)は図6の第2の認証モジュール604によって実行される処理を示し、図9(b)は図6の第1の認証モジュール603によって実行される処理を示す。
図9(a)及び図9(b)の処理は、一例として、MFP103の認証を行う場合を前提とする。
図9(a)において、第2の認証モジュール604はMFP103を示す文字列「bbb」を第1の認証モジュール603に送信し(ステップS901)(例えば、図7のステップS701)、第1の認証モジュール603の応答を待機する。その後、第2の認証モジュール604は、第1の認証モジュール603から文字列及びエラー通知等の応答を受信し(ステップS902)、組合せ表800を確認する(ステップS903)。次いで、第2の認証モジュール604は組合せ表800に基づいて送信された文字列「bbb」及び受信された文字列の組合せが正しいか否かを判別する(ステップS904)。
ステップS904の判別の結果、送信された文字列「bbb」及び受信された文字列の組合せが正しいとき、第2の認証モジュール604はMFP103の認証処理が成功したと判別する。その後、第2の認証モジュール604はMFP103の認証処理が成功した旨を示すMFP103の認証結果を保持する(ステップS905)(例えば、図7のステップS703)。次いで、第2の認証モジュール604はMFP103の認証結果を第1の認証モジュール603に送信し(ステップS906)、本処理を終了する。
ステップS904の判別の結果、送信された文字列「bbb」及び受信された文字列の組合せが正しくない、若しくは第1の認証モジュール603からエラー通知を受信したとき、第2の認証モジュール604はMFP103の認証処理が失敗したと判別する。その後、第2の認証モジュール604はMFP103の認証処理が失敗した旨を示すMFP103の認証結果を保持し(ステップS907)、ステップS906以降の処理を行う。
図9(b)において、第1の認証モジュール603はステップS901で第2の認証モジュール604から送信された文字列「bbb」を受信し(ステップS908)、組合せ表803を確認する(ステップS909)。次いで、第1の認証モジュール603は組合せ表803の受信文字列804に文字列「bbb」が存在するか否かを判別する(ステップS910)。
ステップS910の判別の結果、組合せ表803の受信文字列804に文字列「bbb」が存在するとき、第1の認証モジュール603は組合せ表803に基づいて第2の認証モジュール604に送信する文字列を決定する。具体的に、第1の認証モジュール603は受信文字列804の文字列「bbb」と組になる送信文字列805の文字列「aaa」を第2の認証モジュール604に送信する文字列に決定する。その後、第1の認証モジュール603は決定された文字列「aaa」を第2の認証モジュール604に送信する(ステップS911)(例えば、図7のステップS702)。次いで、第1の認証モジュール603は、ステップS906で第2の認証モジュール604から送信されたMFP103の認証結果を受信し、該MFP103の認証結果を保持し(ステップS912)(例えば、図7のステップS704)、本処理を終了する。
ステップS910の判別の結果、組合せ表803に文字列「bbb」が存在しないとき、第1の認証モジュール603は第2の認証モジュール604にエラー通知を送信し(ステップS913)、本処理を終了する。
本実施の形態では、MFP103と異なるハードウェアのサーバ104で行われた図9の認証処理の認証結果を、図10に示すように、MFP103の監視モジュール402がサーバ104の第2の認証モジュール604から取得する。
次に、MFP103及びサーバ104によって実行されるMFP103の認証結果の送受信処理について説明する。
図11は、図1のMFP103及びサーバ104によって実行されるMFP103の認証結果の送受信処理の手順を示すタイミングチャートである。
図11の処理は、MFP103の監視モジュール402及びサーバ104の第2の認証モジュール604によって行われる。
図11において、まず、監視モジュール402は第2の認証モジュール604にMFP103の認証結果の取得要求を通知する(ステップS1101)。第2の認証モジュール604は、監視モジュール402からMFP103の認証結果の取得要求が通知されると、保持されたMFP103の認証結果を監視モジュール402に送信する(ステップS1102)。監視モジュール402は第2の認証モジュール604から送信されたMFP103の認証結果を取得し、取得されたMFP103の認証結果を保持し(ステップS1103)、本処理を終了する。
ところで、MFP103の操作表示部208の操作によってサーバ104の各設定を行う場合等に、MFP103及びサーバ104間でユーザの個人情報やパスワード等の重要な情報が送受信されることがある。この場合、該重要な情報の漏洩を防止するために、MFP103はサーバ104とSSL通信を行う。セキュリティがある程度担保された専用ネットワーク101に接続されたサーバ104とMFP103がSSL通信を行う際にサーバ104からMFP103にサーバ発行証明書が送信される場合がある。この場合、ユーザはサーバ発行証明書を送信したサーバ104の正当性を検証し、正当であると判別されたサーバ発行証明書を証明書管理リストに登録する必要がある。上記正当性の検証を容易に行うために、サーバ発行証明書を認証するための認証サーバを新たに設けることも考えられるが、認証サーバを含む通信システムの構築や、SSL通信を行う前に当該認証サーバにサーバ発行証明書を予め設定するといった手間が生じる。すなわち、従来では、認証局以外で発行されたサーバ発行証明書によるSSL通信の実行を容易に行うことができない。
これに対応して、本実施の形態では、取得された証明書が認証局以外で発行されたサーバ発行証明書であり、且つ受信された証明書の送信元であるサーバ104で実行されたMFP103の認証処理が成功した場合、サーバ104とSSL通信が確立される。
図12は、図1のMFP103によって実行されるSSL通信確立処理の手順を示すフローチャートである。
図12の処理は、MFP103の暗号通信モジュール403によって行われる。
図12において、まず、暗号通信モジュール403はサーバ104にSSL通信の実行を要求し(ステップS1201)、サーバ104から証明書を取得する(ステップS1202)。次いで、暗号通信モジュール403は取得された証明書を解析し(ステップS1203)、取得された証明書によるSSL通信の実行が許可されているか否かを判別する(ステップS1204)(証明書判別手段)。例えば、取得された証明書が認証局で発行された証明書である場合や、取得された証明書が証明書管理リストに登録されている場合、暗号通信モジュール403は取得された証明書によるSSL通信の実行が許可されていると判別する。一方、取得された証明書が認証局以外で発行されたサーバ発行証明書であって、且つ該サーバ発行証明書が証明書管理リストに登録されていない場合、暗号通信モジュール403は取得された証明書によるSSL通信の実行が許可されていないと判別する。
ステップS1204の判別の結果、取得された証明書によるSSL通信の実行が許可されているとき、暗号通信モジュール403はサーバ104とSSL通信を確立し(ステップS1205)、本処理を終了する。一方、ステップS1204の判別の結果、取得された証明書によるSSL通信の実行が許可されていないとき、暗号通信モジュール403は取得された証明書が証明書管理リストに登録されていないサーバ発行証明書である旨を示す証明書判別通知及びサーバ104のネットワーク情報を監視モジュール402に送信する(ステップS1206)。これにより、監視モジュール402は、後述する図12の登録制御処理を行って、取得された証明書を証明書管理リストに登録するか否かを決定し、決定結果に対応する通知を暗号通信モジュール403に送信する。監視モジュール402は、例えば、取得された証明書を証明書管理リストへ登録する旨の指示通知(以下、「登録指示通知」という。)、取得された証明書の送信元がサーバ104ではない旨を示す送信元エラー通知、及びサーバ104においてMFP103の認証に失敗した旨を示す認証失敗通知のいずれかを暗号通信モジュール403に送信する。次いで、暗号通信モジュール403は監視モジュール402から通知を受信し(ステップS1207)、受信された通知を解析する。次いで、暗号通信モジュール403は受信された通知が登録指示通知であるか否かを判別する(ステップS1208)。
ステップS1208の判別の結果、受信された通知が登録指示通知であるとき、暗号通信モジュール403は取得された証明書を登録モジュール404によって証明書管理リストに登録し(ステップS1209)、ステップS1205以降の処理を行う。一方、ステップS1208の判別の結果、受信された通知が登録指示通知でないとき、暗号通信モジュール403は受信された通知が認証失敗通知であるか否かを判別する(ステップS1210)。
ステップS1210の判別の結果、受信された通知が認証失敗通知であるとき、暗号通信モジュール403は操作表示部208に取得された証明書の内容の確認を促すメッセージを表示させ(ステップS1211)、本処理を終了する。一方、ステップS1208の判別の結果、受信された通知が認証失敗通知でないとき、暗号通信モジュール403は受信された通知が送信元エラー通知であるか否かを判別する(ステップS1212)。
ステップS1212の判別の結果、受信された通知が送信元エラー通知であるとき、暗号通信モジュール403は操作表示部208にSSL通信を実行できない旨を示すメッセージを表示させ(ステップS1213)、本処理を終了する。一方、ステップS1212の判別の結果、受信された通知が送信元エラー通知でないとき、暗号通信モジュール403は処理エラーを表示させ(ステップS1214)、本処理を終了する。
図13は、図1のMFP103によって実行される登録制御処理の手順を示すフローチャートである。
図13の処理は、MFP103の監視モジュール402によって行われる。
図13において、まず、監視モジュール402は、ステップS1206の処理によって暗号通信モジュール403から送信された証明書判別通知及びサーバ104のネットワーク情報を受信する(ステップS1301)。次いで、監視モジュール402は受信されたサーバ104のネットワーク情報を解析し(ステップS1302)、取得された証明書の送信元がサーバ104であるか否かを判別する(ステップS1303)。具体的に、監視モジュール402は、SSL通信を確立するために証明書の送信元から予め取得した当該送信元を特定するIPアドレス(以下、「証明書送信元IPアドレス」という。)と、MFP103の認証結果の通信を行うために予め取得したサーバ104のIPアドレスとを比較する。比較した結果、証明書送信元IPアドレス及びサーバ104のIPアドレスが一致する場合、取得された証明書の送信元がサーバ104であると判別する。一方、証明書送信元IPアドレス及びサーバ104のIPアドレスが一致しない場合、取得された証明書の送信元がサーバ104でないと判別する。
ステップS1303の判別の結果、取得された証明書の送信元がサーバ104でないとき、監視モジュール402は送信元エラー通知を暗号通信モジュール403に送信し(ステップS1304)(例えば、図14参照)、本処理を終了する。一方、ステップS1303の判別の結果、取得された証明書の送信元がサーバ104であるとき、監視モジュール402はサーバ104の第2の認証モジュール604からMFP103の認証結果を取得する(ステップS1305)(認証結果取得手段)。次いで、監視モジュール402は取得されたMFP103の認証結果に基づいてサーバ104においてMFP103の認証処理が成功したか否かを判別する(ステップS1306)。
ステップS1306の判別の結果、サーバ104においてMFP103の認証処理が成功したとき、監視モジュール402は暗号通信モジュール403に登録指示通知を送信し(ステップS1307)(例えば、図14参照)、本処理を終了する。すなわち、本実施の形態では、取得された証明書が認証局以外で発行されたサーバ発行証明書であっても、当該サーバ発行証明書の送信元であるサーバ104で実行されたMFP103の認証処理が成功すると、サーバ104とSSL通信が確立される。一方、サーバ104においてMFP103の認証処理が失敗したとき、監視モジュール402は暗号通信モジュール403に認証失敗通知を送信し(ステップS1308)(例えば、図14参照)、本処理を終了する。
上述した図12及び図13の処理によれば、取得された証明書が認証局以外で発行されたサーバ発行証明書であり、且つ該サーバ発行証明書の送信元のサーバ104で実行されたMFP103の認証処理が成功した場合、サーバ104とSSL通信が確立される。これにより、認証サーバを新たに設け、SSL通信を行う前に当該認証サーバにサーバ発行証明書を予め設定することなく、認証局以外で発行されたサーバ発行証明書によるSSL通信の実行を容易に行うことができる。
また、上述した図12及び図13の処理では、取得された証明書がサーバ発行証明書であり、且つ該サーバ発行証明書の送信元のサーバ104で実行されたMFP103の認証処理が成功した場合、該サーバ発行証明書が証明書管理リストに登録される。これにより、証明書管理リストに登録されたサーバ発行証明書を登録後にサーバ104から取得した際にステップS1206以降の処理を行うことなく、SSL通信の実行を容易に行うことができる。
さらに、上述した図12及び図13の処理では、取得された証明書が証明書管理リストに登録されていないサーバ発行証明書である場合にMFP103の認証処理の結果が取得される。すなわち、証明書管理リストの登録を行う必要がある場合のみMFP103の認証処理の結果が取得される。これにより、必要以上にMFP103の認証結果を取得し、MFP103の容量を逼迫してしまう事態を防止することができる。
上述した図12及び図13の処理では、操作表示部208の操作によってサーバ104の各設定を行う場合、取得された証明書がサーバ発行証明書であっても、該サーバ発行証明書の送信元のサーバ104で実行されたMFP103の認証処理が成功していると、該サーバ発行証明書の内容の確認を促すメッセージが表示されない。これにより、SSL通信を行うためにユーザがサーバ発行証明書の内容を確認する手間を確実になくすことができる。
また、上述した図12及び図13の処理では、MFP103の認証処理は、サーバ104の起動時に行われる。すなわち、MFP103がサーバ104にSSL通信の実行を要求した際にはMFP103の認証結果が当該サーバ104に必ず保持されているので、証明書管理リストの登録を行う必要がある場合にMFP103の認証結果を確実に取得することができる。
以上、本発明について、上述した実施の形態を用いて説明したが、本発明は上述した実施の形態に限定されるものではない。
例えば、図15(a)のソフトウェアモジュール1500及び図15(b)のソフトウェアモジュール1501のように、第2の認証モジュール604がサーバ104ではなく、MFP103に設けられてもよい。このとき、第2の認証モジュール604は、図15(c)に示すように、専用ネットワーク101、専用線102、及び公衆向けネットワーク105のいずれかを介して第1の認証モジュール603とMFP103の認証処理を行うためのデータ通信を行う。
また、本実施の形態では、証明書管理リストの登録を行うタイミングとして、MFP103がサーバ104にSSL通信の実行を要求した場合について説明したが、証明書管理リストの登録を行うタイミングはこれに限られない。例えば、サーバ104においてMFP103の認証処理の実行が完了したタイミングで証明書管理リストの登録を行ってもよい。
図16は、図13の登録制御処理の変形例の手順を示すフローチャートである。
図16の処理は、サーバ104においてMFP103の認証処理の実行が完了した直後にMFP103の認証結果がサーバ104からMFP103に送信されることを前提とする。
ここで、上述した図12及び図13の処理では、MFP103がサーバ104にSSL通信の実行を要求した際に証明書管理リストの登録を行い、当該証明書管理リストの登録が完了してからSSL通信が確立される。そのため、SSL通信の実行を要求してからSSL通信が確立されるまでに必要以上に時間を要してしまうという問題が生じる。
これに対して、本実施の形態では、サーバ104においてMFP103の認証処理の実行が完了したタイミングで証明書管理リストの登録を行う。
図16において、まず、監視モジュール402はMFP103の認証処理の実行の完了に応じてサーバ104から送信されたMFP103の認証結果を受信し、当該MFP103の認証結果を解析する(ステップS1601)。次いで、監視モジュール402は、MFP103の認証処理が成功していると、暗号通信モジュール403に証明書の取得を指示する(ステップS1602)。次いで、監視モジュール402は暗号通信モジュール403に取得された証明書の実行が許可されているか否かの判別処理の実行、及び判別結果の送信を指示する(ステップS1603)。次いで、監視モジュール402は暗号通信モジュール403から上記判別処理の結果を受信し、受信された判別処理の結果、取得された証明書の実行が許可されているか否かを確認する(ステップS1604)。
ステップS1604において、取得された証明書の実行が許可されていないとき、監視モジュール402は取得された証明書を証明書管理リストに登録し(ステップS1605)、本処理を終了する。一方、ステップS1604の判別の結果、取得された証明書の実行が許可されているとき、監視モジュール402は取得された証明書を証明書管理リストに登録せずに(ステップS1606)、本処理を終了する。
上述した図16の処理では、MFP103の認証処理の実行が完了した直後にMFP103の認証結果が取得される。すなわち、SSL通信の実行が要求される前に予め証明書管理リストの登録が行われる。これにより、SSL通信の実行を要求してから証明書管理リストの登録を行う必要をなくすことができる。その結果、SSL通信の実行を要求してから証明書管理リストの登録を行う場合に比べて、SSL通信の実行を要求してからSSL通信が確立されるまでに要する時間を減らすことができる。
本発明は、上述の実施の形態の1以上の機能を実現するプログラムをネットワーク又は記憶媒体を介してシステム又は装置に供給し、該システム又は装置のコンピュータにおける1つ以上のプロセッサがプログラムを読み出して実行する処理でも実現可能である。また、本発明は、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
103 MFP
104 サーバ
208 操作表示部
301 表示部
402 監視モジュール
403 暗号通信モジュール
404 登録モジュール

Claims (9)

  1. 暗号化通信を行うための証明書を受信し、前記受信された証明書が認証局で発行された証明書である際に当該証明書の送信元と暗号化通信を行う情報処理装置であって、
    前記受信された証明書が認証局で発行された証明書であるか否かを判別する証明書判別手段と、
    前記受信された証明書の送信元で実行された前記情報処理装置の認証処理の結果を取得する認証結果取得手段と、
    前記暗号化通信の実行を制御する制御手段とを備え、
    前記制御手段は、前記受信された証明書が前記認証局で発行された証明書ではなく、且つ前記受信された証明書の送信元で実行された前記情報処理装置の認証処理が成功した場合、前記受信された証明書の送信元と前記暗号化通信を確立することを特徴とする情報処理装置。
  2. 前記暗号化通信の実行が許可された証明書を管理する管理リストへの登録を制御する登録制御手段を更に備え、
    前記登録制御手段は、前記受信された証明書が前記認証局で発行された証明書ではなく、且つ前記受信された証明書の送信元で実行された前記情報処理装置の認証処理が成功した場合、前記受信された証明書を前記管理リストに登録することを特徴とする請求項1記載の情報処理装置。
  3. 前記認証結果取得手段は、前記受信された証明書が前記認証局で発行された証明書ではなく、且つ前記受信された証明書が前記管理リストに登録されていない場合に前記情報処理装置の認証処理の結果を取得することを特徴とする請求項2記載の情報処理装置。
  4. 前記受信された証明書が前記認証局で発行された証明書でない場合、前記証明書の確認を促す警告を通知する通知手段を更に備え、
    前記通知手段は、前記受信された証明書が前記認証局で発行された証明書ではなく、且つ前記受信された証明書の送信元で実行された前記情報処理装置の認証処理が成功した場合、前記証明書の確認を促す警告を通知しないことを特徴とする請求項1乃至3のいずれか1項に記載の情報処理装置。
  5. 前記認証結果取得手段は、前記情報処理装置の認証処理の実行が完了した直後に前記情報処理装置の認証処理の結果を取得することを特徴とする請求項1乃至4のいずれか1項に記載の情報処理装置。
  6. 前記情報処理装置の認証処理は前記送信元の起動時に行われることを特徴とする請求項1乃至5のいずれか1項に記載の情報処理装置。
  7. 前記情報処理装置の認証処理は前記送信元及び前記情報処理装置の間でジョブを実行するための認証処理であることを特徴とする請求項1乃至6のいずれか1項に記載の情報処理装置。
  8. 暗号化通信を行うための証明書を受信し、前記受信された証明書が認証局で発行された証明書である際に当該証明書の送信元と暗号化通信を行う情報処理装置の制御方法であって、
    前記受信された証明書が認証局で発行された証明書であるか否かを判別する証明書判別ステップと、
    前記受信された証明書の送信元で実行された前記情報処理装置の認証処理の結果を取得する認証結果取得ステップと、
    前記暗号化通信の実行を制御する制御ステップとを有し、
    前記制御ステップは、前記受信された証明書が前記認証局で発行された証明書ではなく、且つ前記受信された証明書の送信元で実行された前記情報処理装置の認証処理が成功した場合、前記受信された証明書の送信元と前記暗号化通信を確立することを特徴とする情報処理装置の制御方法。
  9. 暗号化通信を行うための証明書を受信し、前記受信された証明書が認証局で発行された証明書である際に当該証明書の送信元と暗号化通信を行う情報処理装置の制御方法をコンピュータに実行させるプログラムであって、
    前記情報処理装置の制御方法は、
    前記受信された証明書が認証局で発行された証明書であるか否かを判別する証明書判別ステップと、
    前記受信された証明書の送信元で実行された前記情報処理装置の認証処理の結果を取得する認証結果取得ステップと、
    前記暗号化通信の実行を制御する制御ステップとを有し、
    前記制御ステップは、前記受信された証明書が前記認証局で発行された証明書ではなく、且つ前記受信された証明書の送信元で実行された前記情報処理装置の認証処理が成功した場合、前記受信された証明書の送信元と前記暗号化通信を確立することを特徴とするプログラム。
JP2016138592A 2016-07-13 2016-07-13 情報処理装置及びその制御方法、並びにプログラム Pending JP2018011177A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016138592A JP2018011177A (ja) 2016-07-13 2016-07-13 情報処理装置及びその制御方法、並びにプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016138592A JP2018011177A (ja) 2016-07-13 2016-07-13 情報処理装置及びその制御方法、並びにプログラム

Publications (1)

Publication Number Publication Date
JP2018011177A true JP2018011177A (ja) 2018-01-18

Family

ID=60995869

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016138592A Pending JP2018011177A (ja) 2016-07-13 2016-07-13 情報処理装置及びその制御方法、並びにプログラム

Country Status (1)

Country Link
JP (1) JP2018011177A (ja)

Similar Documents

Publication Publication Date Title
US11838430B2 (en) Information processing apparatus, method of controlling the same, and storage medium
US10375069B2 (en) Authorization delegation system, information processing apparatus, authorization server, control method, and storage medium
US9390247B2 (en) Information processing system, information processing apparatus and information processing method
JP6904857B2 (ja) 権限委譲システム、制御方法、およびプログラム
US9185102B2 (en) Server system and control method
JP2018007039A (ja) 通信装置、通信方法、通信システムおよびプログラム
JP2016009299A (ja) シングルサインオンシステム、端末装置、制御方法およびコンピュータプログラム
JP6609788B1 (ja) 情報通信機器、情報通信機器用認証プログラム及び認証方法
JP7204497B2 (ja) クラウドプリントサービスに対応した印刷装置および印刷装置の制御方法およびプログラム
KR20150026900A (ko) 정보처리장치 및 그 제어방법
JP2013257859A (ja) 情報処理システム、情報処理装置、プログラム及び認証方法
JP2014174560A (ja) 情報処理装置及びサーバとその制御方法、プログラム及び記憶媒体
US8499145B2 (en) Apparatus, system, and method of setting a device
JP7030476B2 (ja) 画像処理装置、画像処理装置の制御方法、プログラム、システム、およびシステムの制御方法
JP6571890B1 (ja) 電子署名システム、証明書発行システム、証明書発行方法及びプログラム
US20200007347A1 (en) Information processing apparatus, control method for information processing apparatus, and storage medium
US20220345319A1 (en) Information processing apparatus, control method for information processing apparatus, and storage medium
JP2014167664A (ja) 認証システム、モバイル端末、認証サーバ及び画像形成装置
JP6465426B1 (ja) 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法
JP2009123154A (ja) 属性証明書管理方法及び装置
KR102288444B1 (ko) 인증모듈의 펌웨어 업데이트 방법, 장치 및 프로그램
JP2016085638A (ja) サーバー装置、端末装置、システム、情報処理方法及びプログラム
JP2019134333A (ja) 情報処理システム、クライアント装置、認証認可サーバー、制御方法とそのプログラム
JP2018011177A (ja) 情報処理装置及びその制御方法、並びにプログラム
JP2019004289A (ja) 情報処理装置およびその制御方法、情報処理システム