JP5014191B2 - 機器及び操作権限判定方法 - Google Patents

機器及び操作権限判定方法 Download PDF

Info

Publication number
JP5014191B2
JP5014191B2 JP2008031817A JP2008031817A JP5014191B2 JP 5014191 B2 JP5014191 B2 JP 5014191B2 JP 2008031817 A JP2008031817 A JP 2008031817A JP 2008031817 A JP2008031817 A JP 2008031817A JP 5014191 B2 JP5014191 B2 JP 5014191B2
Authority
JP
Japan
Prior art keywords
authority
program
information
electronic ticket
ticket
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008031817A
Other languages
English (en)
Other versions
JP2009193225A (ja
Inventor
和明 木戸口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2008031817A priority Critical patent/JP5014191B2/ja
Publication of JP2009193225A publication Critical patent/JP2009193225A/ja
Application granted granted Critical
Publication of JP5014191B2 publication Critical patent/JP5014191B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Facsimiles In General (AREA)
  • Accessory Devices And Overall Control Thereof (AREA)
  • Control Or Security For Electrophotography (AREA)

Description

本発明は、機器及び操作権限判定方法に関し、特にプログラムの操作権限を判定する機器及び操作権限判定方法に関する。
従来、電子的な資源に対するアクセス制御の手段として、ユーザごとに紐付けられた電子的なチケットを利用する技術がある。認証されたユーザに対して仮想空間内においてチケットを発行し、当該チケットに基づいてユーザによる各機能(アプリケーション)の利用の可否を判断するというものである(例えば、特許文献1)。斯かる技術によれば、複数のアプリケーションの連携によって実現されるサービスを受ける場合であっても、ユーザは、一度認証情報を入力すれば認められている権限の範囲内で当該サービスを利用することができる。すなわち、一度入力された認証情報に基づいて発行されたチケットをアプリケーション間で流通させることにより、各アプリケーションは、ユーザの権限を確認することができるからである。
他方において、近年では、プリンタ、複写機、又は複合機等の画像形成装置においても、その出荷後にサードベンダ等によって開発されたアプリケーションの追加(インストール)が可能とされているものがある。この場合、アプリケーションの開発者に対する信頼度等に応じてアプリケーションごとに権限の制御を行うことがセキュリティ上の観点より好ましい。画像形成装置内には、スキャンされた機密文書の電子データや、ユーザのアドレス帳情報等、各種の機密情報又は個人情報が格納されており、全てのアプリケーションが斯かる情報に無条件にアクセスできるのは情報の漏洩の虞を招くからである。
特開2005−11322号公報
しかしながら、従来におけるユーザに紐付けられたチケットの仕組みをそのままプログラムに適用した場合、プログラムごとに権限を定義しなければならず、煩雑な作業が必要とされる。また、各プログラムは、その実行時にそれぞれのプログラムに紐付けられているチケットを取得しなければならず、複数のプログラムが連携して動作する通常のシステムにおいてもメモリリソース面、パフォーマンス面において負荷が増加してしまうという問題がある。
本発明は、上記の点に鑑みてなされたものであって、プログラムごとの権限制御を適切に実現することのできる機器及び操作権限判定方法の提供を目的とする。
そこで上記課題を解決するため、本発明は、プログラムを追加可能な機器であって、プログラムごとに当該プログラムを識別するための電子チケットを発行する電子チケット発行手段と、前記電子チケットに基づいて前記プログラムが要求する操作に対する権限の有無を、記憶手段に記録されたポリシー情報に基づいて判定する権限判定手段とを有し、前記ポリシー情報は、プログラムごとに、当該プログラムに対して発行された前記電子チケットを利用可能なプログラムを識別する情報を含み、前記権限判定手段は、前記操作の要求元のプログラムが、前記電子チケットを発行されたプログラムに対する前記ポリシー情報において当該電子チケットを利用可能とされていないときは前記操作の権限は無いと判定することを特徴とする。
このような機器では、プログラムごとの権限制御を適切に実現することができる。
本発明によれば、プログラムごとの権限制御を適切に実現することのできる機器及び操作権限判定方法を提供することができる。
以下、図面に基づいて本発明の実施の形態を説明する。図1は、本発明の実施の形態におけるシステム構成例を示す図である。同図において、一台以上の機器10とポリシーサーバ20とは、LAN(Local Area Network)又はインターネット等のネットワーク30(有線又は無線の別は問わない。)を介して接続されている。
機器10は、コピー機能、印刷機能、スキャナ機能、及びFAX機能等、複数の画像形成機能を一台の筐体において実現する画像形成装置(複合機)である。但し、本発明の適用対象は、単体の機能を実現する画像形成装置(例えば、複写機、プリンタ、スキャナ、又はFAX等)であってもよいし、画像形成装置以外の機器であってもよい。少なくとも、プログラムによる処理制御が可能な機器であればよい。
ポリシーサーバ20は、機器10において動作する各種ソフトウェア部品(プログラム)について、機器10の電子的又は物理的な資源に対するアクセス権限(操作権限)に関する定義情報(以下、「ポリシー情報」という。)を管理するコンピュータである。複数の機器10に対するポリシー情報を一台のポリシーサーバ20において一元管理することにより、ポリシー情報の保守作業の効率化、各機器10間におけるアクセス制御の整合性の確保等を適切に図ることができる。
図2は、本発明の実施の形態における機器のハードウェア構成例を示す図である。同図において、機器10は、それぞれバスBで相互に接続されている、CPU101、ROM102、RAM103、補助記憶装置104、LANコントローラ105、ファクシミリ装置106、画像読み取り装置107、印刷装置108、及び操作パネル109等より構成される。
ROM102や補助記憶装置104には、各種のプログラムやプログラムによって利用されるデータ等が記録されている。RAM103は、プログラムをロードするための記憶領域や、ロードされたプログラムのワーク領域等として用いられる。CPU101は、RAM103にロードされたプログラムを処理することにより、後述される機能を実現する。
LANコントローラ105は、ネットワーク30を介した通信を実現する。ファクシミリ装置106は、ファクスの送受信を実現する。画像読み取り装置107は、紙文書より画像データを読み取る。印刷装置108は、画像読み取り装置107によって読み取られた画像データやネットワーク30を介して受信される画像データ等を印刷用紙に印刷する。操作パネル109は、ユーザからの入力の受け付けや、ユーザに対する情報の通知等を行うめのボタン、液晶パネル等を備えたハードウェアである。
図3は、本発明の実施の形態における機器の機能構成例を示す図である。同図において、機器10は、Aアプリ11a、Bアプリ11b、及びCアプリ11c等、各種のアプアプリケーション(以下、総称する場合、「アプリ11」という。)と、各アプリ11より共通に利用される、データ管理部12、チケット制御部13、アクセス制御部14、ポリシー制御部15、インストール制御部16、及び履歴情報17等とを有する。これら各アプリ11及び各部は、プログラムがCPU101に実行させる処理によりその機能を実現する。
データ管理部12は、機器10の各種の設定情報を管理する。設定情報は、例えば、補助記憶装置104に記録されている。本実施の形態では、当該設定情報がアプリ11による操作対象とされる。アプリ11が、データ管理部12に管理される設定情報を操作するためには、「チケット」と呼ばれる電子データ(電子チケット)の提示が必要とされる。チケットは、操作要求元を識別すると共に、操作要求元の設定情報に対する操作権限を識別するために用いられる。
チケット制御部13は、アプリ11に対してチケットを発行すると共に、チケットの正当性を検証する。アクセス制御部14は、チケットに基づく操作権限の有無(操作の許否)を判定する。実際には、アクセス制御部14は、操作の許否判定の実質的な判定をポリシー管理部15に委譲する。ポリシー管理部15は、ポリシーサーバ20に管理されているポリシー情報21等に基づいて、アクセス制御部14より委譲された操作の許否判定を実行する。
インストール制御部16は、アプリ11のインストール処理を制御する。すなわち、機器10において、アプリ11は任意にインストール(追加)可能である。履歴情報17は、チケットに基づいて行われる操作履歴に関する情報であり、例えば、チケットごとに補助記憶装置104に記録される。
なお、ポリシー情報21は、ポリシーサーバ20の記憶装置に保存されている。
以下、機器10の処理手順について説明する。図4は、アプリによる設定情報の操作時の処理手順を説明するためのシーケンス図である。
例えば、操作パネル109を介した入力に応じて、設定情報の変更(書き込み)を指示されたAアプリ11aは、チケット制御部13に対してチケットの発行を要求する(S101)。チケット制御部13は、Aアプリ11aに対するチケットを生成すると共に当該チケットの生成に関する履歴を履歴情報17に記録し、生成されたチケットをAアプリ11aに返却する(S102)。
図5は、チケットの構成例を示す図である。同図に示されるように、一つのチケットは、チケットID511、チケット発行先512、履歴情報ID513、及び署名情報514等を含む。
チケットID511は、チケットの生成時において各チケットに対して一意となるように割り当てられるIDである。チケット発行先は、当該チケット510の発行を直接受けたアプリ11の識別名(ここでは、Aアプリ11aのアプリ名)である。履歴情報ID513は、当該チケット510に対する履歴情報17のID(識別子)である。署名情報514は、チケット510の改竄を検知するための電子署名であり、例えば、チケットID511、チケット発行元512、及び履歴情報ID513を含む情報のハッシュ値である。
また、図6は、一つのチケットに対する履歴情報の構成例を示す図である。同図に示される履歴情報17aは、図5に示されるチケット510に対応する履歴情報17の例である。履歴情報17aは、履歴情報ID171、対応チケットID172、履歴項目173、及び署名情報174等を含む。
履歴情報ID171は、チケットごとに生成される各履歴情報17に一意に割り当てられるIDであり、チケット510における履歴情報ID513に対応する。対応チケットID172は、当該履歴情報17が対応するチケットのチケットIDである。したがって、チケット510と履歴情報171とは、履歴情報ID及びチケットIDによって双方向に関連付けられている。履歴項目173は、対応するチケットに関する履歴である。例えば、ステップS102では、1行目(「Aアプリへ新規発行」)が履歴項目173として記録される。署名情報174は、履歴情報17の改竄を検知するための電子署名であり、例えば、履歴情報ID171、対応チケットID172、及び履歴項目173を含む情報のハッシュ値である。したがって、署名情報174は、履歴項目173の更新に応じて更新される。
なお、ステップS101において、チケットの発行要求と共に、要求元のアプリ名を指定させるようにしてもよい。チケット制御部13は、指定されたアプリ名に基づいてチケットの発行要求元を識別することができる。また、アプリ名のみならず、当該発行元を証明するための署名情報(例えば、Aアプリ11aの実行コードのハッシュ値等)を指定するようにしてもよい。又は、発行要求元にアプリ名を指定させるのではなく、チケット制御部13側において、チケットの発行要求の呼び出し元をスタックをトレースすることにより判定してもよい。
続いて、チケット510を入手したAアプリ11aは、チケット510と自身のアプリ名とを提示してデータ管理部12に対して設定情報の操作(書き込み、参照等)を要求する(S103)。当該要求に応じ、データ管理部12は、Aアプリ11に対する該操作権限の有無の判定を、提示されたチケット、要求された操作内容、及び要求元のAアプリ11aのアプリ名を指定してアクセス制御部14に要求する(S104)。
アクセス制御部14は、操作権限の有無を判定する前に、チケット510の改竄チェックをチケット制御部13に要求する(S105)。チケット制御部13は、チケット510に含まれている署名情報514に基づいてチケット510の改竄の有無をチェックし(S106)、チェック結果をアクセス制御部14に返却する(S107)。
チケット510が改竄されていない場合、アクセス制御部14は、チケット510、アプリ名、及び操作内容を伴って、チケット510に基づく操作権限の有無の判定をポリシー制御部15に要求する(S108)。ポリシー制御部15は、ポリシーサーバ20よりチケット510に対応するポリシー情報21を取得し、操作権限の有無等を判定する(S109)。なお、当該ステップの詳細については後述する。続いて、ポリシー制御部15は、操作権限の有無の判定結果をアクセス制御部14に返却する(S110)。アクセス制御部14は、当該判定結果をデータ管理部12に返却する(S111)。データ管理部12は、判定結果において操作権限が有ることが示されている場合には、要求された操作を実行し、その実行結果をAアプリ11aに返却する(S112)。一方、判定結果において操作権限が無いことが示されている場合には、要求された操作は実行せず、エラーをAアプリ11aに返却する(S112)。
続いて、ステップS109における処理内容の詳細について説明する。図7は、ポリシー制御部による操作権限の判定処理を説明するためのフローチャートである。
まず、チケット510における履歴情報ID171に示される値を履歴情報ID171として有する履歴情報17aを補助記憶装置104より取得する(S1091)。続いて、履歴情報17aの署名情報174に基づいて履歴情報17aの改竄の有無をチェックする(S1092)。履歴情報17aが改竄されていることが検知された場合(S1092でNo)、「操作権限無し」と判定する(S1101)。
履歴情報17aが改竄されていないことが確認された場合(S1092でYes)、チケット510におけるチケット発行先512に記録されているアプリ名に基づいて適用対象となるポリシー情報21をポリシーサーバ20より検索し、取得する(S1093)。
図8は、ポリシー情報の構成例を示す図である。同図に示されるポリシー情報21aは、Aアプリ11aに対するポリシー情報21の例である。同図において、ポリシー情報21aは、適用アプリ名211、ポリシーID212、流通許可定義213、操作許可定義214、及び署名情報215等を含む。
適用アプリ名211は、当該ポリシー情報21aが適用されるアプリ11のアプリ名である。ステップS1093における検索の際には、適用アプリ名211に基づいて適用対象か否かが判定される。ポリシーID212は、各ポリシー情報21に対して一意に割り当てられるIDである。流通許可定義213は、チケット510について許可される流通経路に関する定義(チケット510を利用可能なアプリを識別する情報)である。図中では、「GET:Aアプリ」という定義と、「USE:Bアプリ」という定義とより構成される。これは、Aアプリ11aによって取得されたチケット510は、Bアプリ11bによって利用可能であることを示す。すなわち、本実施の形態では、各アプリ11に対して発行されるチケットは、ポリシー情報21における流通許可定義213に定義された範囲内で流通(引き渡す又は引き回す)ことが可能とされている。流通許可定義213における定義順(記述順)は、チケット510の利用順に関する制限を示す。流通許可定義213は、チケット510の利用順を示す(規定する)情報でもある。なお、チケット510を取得したアプリA11aは、もちろんチケット510を利用可能である。
操作許可定義214は、チケット510に基づいて許可される操作に関する定義である。図中では、「Aアプリ Machine Information WRITE」という定義と、「Bアプリ Machine Information READ」という定義とより構成される。前者は、Aアプリ11aは自ら取得したチケット510に基づいて機器10の設定情報の書き込みが許可される(書き込み権限が有る)ことを示す。後者は、Bアプリ11bは、Aアプリ11aによって取得されたチケット510に基づいて機器10の設定情報の参照が許可されることを示す。署名情報215は、ポリシー情報21aの改竄を検知するための電子署名であり、例えば、適用アプリ名211、ポリシーID212、流通許可定義213、及び操作許可定義214を含む情報のハッシュ値である。
続いて、取得されたポリシー情報21aの流通許可定義213と、履歴情報17aの履歴項目173及び操作要求元のアプリ名とを照合することによりチケット510aの流通経路の適否を判定する(S1094)。具体的には、履歴項目173に基づいて、チケット510の過去の利用アプリを判定すると共に操作要求元のアプリ名に基づいて現在のチケット510の利用アプリを判定する。その判定結果に基づくチケット510の利用順が、流通許可定義213の定義順に一致する場合は流通経路は適切であると判定し、一致しない場合は、流通経路は不適切(ポリシー違反)であると判定する。
この段階では、履歴項目173には1行目のみが記録されており、当該記録に係る行為は、流通許可定義213の1行目において許可されているものである。したがって、チケット510の流通経路は適切であると判定される。
なお、このステップS1094におけるチェックを更に厳しくしてもよい。例えば、履歴情報17aの記録順をポリシー情報21の操作許可定義214における定義順と比較して、履歴に基づく操作の実行順が、ポリシー情報21における定義順に一致しない場合は、流通経路はポリシー違反であると判定してもよい。この場合、操作許可定義214は、操作の順番をも示す(規定する)情報となる。
チケット510の流通経路が適切な場合(S1094でYes)、ポリシー情報21の操作許可定義214に基づいて操作権限の有無を判定する(S1095)。ここでは、操作要求元はAアプリ11aであるため、要求操作が設定情報の書き込みであれば「操作権限有り」と判定し(S1096)、履歴情報17aの履歴項目173に対してAアプリ11aが設定情報の書き込みを行う旨(図6における設定項目173の2行目)を記録する(S1097)。続いて、履歴情報17aの履歴項目173に基づいて、チケット510は消尽したか否かを判定する(S1098)。チケット510の消尽とは、チケット510の操作許可定義214において許可されている全ての操作が当該チケット510に基づいて行われたことをいう。すなわち、本実施の形態において、チケットは、操作許可定義214において許可された一連の操作に対して一回のみの権限を与えるものであり、同一のチケットに基づいて一連の操作を繰り返すことはできない。古いチケットが流通することによるセキュリティの劣化を防止するためのである。
チケット510が消尽した場合(S1098でYes)、履歴情報17aを無効化する(S1099)。無効化とは、履歴情報17aが無効であることが識別可能な情報を、履歴情報17a内、又は履歴情報17aと関連付けて記録することをいう。無効化された履歴情報17aに対応するチケットは、利用不可能な状態となる。なお、チケット510自体を無効化してもよい。
チケット510が消尽していない場合(S1098でNo)、履歴情報17aの無効化は実行されない。ここでは、Aアプリ11aによる書き込みが行われたのみであり、チケット510は、まだBアプリ11bによる参照について利用可能である。したがって、消尽していないとして履歴情報17aの無効化は行われない。
一方、操作許可定義214に定義されていない操作を要求している場合は(S1095でNo)、「操作権限無し」と判定する(S1101)。
なお、チケット510の流通経路がポリシー情報21aの流通許可定義213に違反していると判定した場合(S1094でNo)、ポリシー違反のチケットの流通(引き回し)を検知したことを履歴情報17aの履歴項目173に記録し(S1100)、「操作権限無し」と判定する(S1101)。なお、この場合、履歴項目173には、操作要求元アプリのアプリ名、要求操作内容、及びチケットの発行先のアプリ名等を記録しておくと、後のトレース作業において有効な情報となる。
次に、チケットの流通を伴う処理手順について説明する。図9は、ポリシー違反のチケットの流通が行われた場合の処理手順を説明するためのシーケンス図である。
例えば、Aアプリ11aによって設定情報への書き込みが行われた後、Aアプリ11aによって取得されたチケット510がCアプリ11cに引き渡され(S201)、チケット510に基づいてCアプリ11cが設定情報の参照をデータ管理部12に要求したとする(S202)。この場合、ステップS203〜S207において、図4のステップS104〜S108と同様の処理が実行される。続いて、ステップS208において、図7において説明した処理が実行される。ここでは、図7のステップS1094において、チケット510の流通経路はポリシー違反であると判定される。すなわち、ポリシー情報21aの流通許可定義213において、Cアプリ11cによるチケット510の利用が許可されていないからである。したがって、ステップS1100及びS1101が実行され、「操作権限無し」と判定される。その結果、Cアプリ11cによる設定情報の参照は拒否される(図9のS209〜S211)。
なお、チケットの流通経路がポリシー違反であることが検知された場合、警告メッセージ等を操作パネル109表示して、異常の検知をユーザに通知するようにしてもよい。更に、機器10の機能全体を停止させてしまってもよい。
図9の処理手順によれば、Cアプリ11cが機器10内に保管されている機密文書などのデータを取り出してネットワーク上に流出させてしまうような悪意あるプログラムであり、斯かるCアプリ11cがプラグインとして機器10にインストールされた場合であっても、Cアプリ11cが不法にチケットを入手し、情報を読み出そうとしたことを履歴として記録することができる。その結果、Cアプリ11cを機器10より除外する等、適切な措置をとることができる。
次に、図10は、ポリシーにしたがったチケットの流通が行われた場合の処理手順を説明するためのシーケンス図である。
例えば、Aアプリ11aによって設定情報への書き込みが行われた後、Aアプリ11aによって取得されたチケット510がBアプリ11bに引き渡され(S301)、チケット510に基づいてBアプリ11bが設定情報の参照をデータ管理部12に要求したとする(S302)。この場合、ステップS303〜S307において、図4のステップS104〜S108と同様の処理が実行される。続いて、ステップS308において、図7において説明した処理が実行される。ここで、履歴情報17aによれば(この時点では、2行目までが記録されている。)、過去のチケット510の利用者はAアプリ11aのみであり、現在のチケット510の利用者はBアプリ11bである。また、ポリシー情報21aの流通許可定義213において、Bアプリ11bは、Aアプリ11aの次にチケット510の利用が許可されている。したがって、チケット510の流通経路は適切であると判定される(S1094でYes)。また、ポリシー情報21aの操作許可定義214において、Bアプリ11bには、設定情報の参照が許可されている(S1095でYes)。よって「操作権限有り」と判定され(S1096)、Bアプリ11bによる設定情報の参照の記録が履歴情報17aの履歴項目173に追加される(図6の履歴項目173の3行目参照)(S1097)。なお、Bアプリ11bによって設定情報の参照が行われたことにより、チケット510は消尽するため(効力が失われるため)(S1098でYes)、履歴情報17aは無効化される(S1099)。したがって、その後、チケット510に基づく操作は拒否される。
続いて、Bアプリ11bに対する操作権限が有ることがアクセス制御部14を介してデータ管理部12に返却され(S309、S310)、Bアプリ11bによる設定情報の参照が行われる(S311)。
なお、上記では、ポリシーサーバ20においてポリシー情報21が管理される例について説明したが、ポリシー情報21は、機器10の補助記憶装置104に記録されていてもよい。例えば、アプリ11がプラグインとしてインストールされる場合、インストール制御部16は、ポリシーサーバ20よりネットワークを介して当該アプリ11に対するポリシー情報21を取得し、補助記憶装置104に記録する。この際、ポリシーサーバ20との通信はSSL(Secure Socket Layer)やIPSEC(Security Architecture for Internet Protocol)等の暗号通信を用いることによりポリシー情報21をセキュアに転送するようにしてもよい。
斯かる仕組みにより、新たにプラグインされたアプリ11に対しても、ネットワーク経由で新規に作成したポリシー情報21を強制的に適用させることが出来る。また、ポリシー情報21の配布をポリシーサーバ20に実行させることで、一度に複数台の機器10へ同時にアプリ11を追加したい場合も、効率的にポリシー情報21を配布することが出来る。
また、ポリシー情報21の入手は、ネットワークを介してではなく、SDカード等、機器10に接続可能な記録媒体より行ってもよい。これにより、ネットワーク接続機能をもたない機器10におけるポリシー情報21に基づくアクセス制御を適切に実現することができる。
更に、ポリシー情報21は、アプリ11のパッケージ内に含まれていてもよい。この場合、インストール制御部16は、アプリ11のパッケージよりポリシー情報21を取得し、補助記憶装置104に記録する。この場合、別途ポリシー情報21の導入作業を行う必要をなくすことができる。
上述したように、本実施の形態における機器10によれば、アプリ11間においてチケットを流通させることができる。したがって、アプリ11ごとにチケットを発行する必要はなく、メモリリソース面、パフォーマンス面における負荷の増大を抑制することができる。
また、ポリシー情報21に基づいて、チケットの流通経路(共通のチケットを利用可能なアプリ11)を制限することができるため、チケットの流通によるセキュリティの劣化を適切に抑制することができる。
以上、本発明の実施例について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
本発明の実施の形態におけるシステム構成例を示す図である。 本発明の実施の形態における機器のハードウェア構成例を示す図である。 本発明の実施の形態における機器の機能構成例を示す図である。 アプリによる設定情報の操作時の処理手順を説明するためのシーケンス図である。 チケットの構成例を示す図である。 一つのチケットに対する履歴情報の構成例を示す図である。 ポリシー制御部による操作権限の判定処理を説明するためのフローチャートである。 ポリシー情報の構成例を示す図である。 ポリシー違反のチケットの流通が行われた場合の処理手順を説明するためのシーケンス図である。 ポリシーにしたがったチケットの流通が行われた場合の処理手順を説明するためのシーケンス図である。
符号の説明
10 機器
11 アプリ
11a Aアプリ
11b Bアプリ
11c Cアプリ
12 データ管理部
13 チケット制御部
14 アクセス制御部
15 ポリシー制御部
16 インストール制御部
20 ポリシーサーバ
30 ネットワーク
101 CPU
102 ROM
103 RAM
104 補助記憶装置
105 LANコントローラ
106 ファクシミリ装置
107 画像読み取り装置
108 印刷装置
109 操作パネル
B バス

Claims (12)

  1. プログラムを追加可能な機器であって、
    プログラムごとに当該プログラムを識別するための電子チケットを発行する電子チケット発行手段と、
    前記電子チケットに基づいて前記プログラムが要求する操作に対する権限の有無を、記憶手段に記録されたポリシー情報に基づいて判定する権限判定手段とを有し、
    前記ポリシー情報は、プログラムごとに、当該プログラムに対して発行された前記電子チケットを利用可能なプログラムを識別する情報を含み、
    前記権限判定手段は、前記操作の要求元のプログラムが、前記電子チケットを発行されたプログラムに対する前記ポリシー情報において当該電子チケットを利用可能とされていないときは前記操作の権限は無いと判定することを特徴とする機器。
  2. 前記ポリシー情報は、前記電子チケットを利用可能なプログラムのそれぞれの操作の権限の有無を識別する情報を更に含み、
    前記権限判定手段は、前記電子チケットを発行されたプログラムに対する前記ポリシー情報において、操作の要求元のプログラムに対して当該操作の権限が認められていないときは当該操作の権限は無いと判定することを特徴とする請求項1記載の機器。
  3. 前記権限判定手段によって操作の権限が有ると判定された場合に当該操作に係るプログラムの識別名を、前記電子チケットごとに履歴情報として記憶手段に記録する履歴記録手段を有し、
    前記権限判定手段は、前記履歴情報に記録されている前記識別名に係るプログラムの中で、操作の要求に用いられた前記電子チケットに対する前記ポリシー情報において当該電子チケットを利用可能とされていないプログラムが有るときは、前記操作の権限は無いと判定することを特徴とする請求項1又は2記載の機器。
  4. 前記ポリシー情報は、前記電子チケットを利用可能なプログラムの利用順を示す情報を含み、
    前記権限判定手段は、前記履歴情報に記録された識別名の順番と、前記ポリシー情報における前記利用順を示す情報との比較に基づいて権限の有無を判定することを特徴とする請求項3記載の機器。
  5. 前記ポリシー情報は、前記電子チケットを利用可能なプログラムによる操作の順番を示す情報を含み、
    前記履歴記録手段は、権限が有ると判定された操作の識別名をプログラムの識別名とともに前記履歴情報に記録し、
    前記権限判定手段は、前記履歴情報に記録された操作の識別名の順番と、前記ポリシー情報における前記操作の順番を示す情報との比較に基づいて権限の有無を判定することを特徴とする請求項3又は4記載の機器。
  6. 前記権限判定手段は、前記履歴情報に記録された操作の識別名の順番に基づいて、前記ポリシー情報における前記操作の順番を示す情報に係る全ての操作が実行されたか否かを判定し、全ての操作が実行されたときは、操作の要求に用いられた前記電子チケットを利用不可能な状態とすることを特徴とする請求項5記載の機器。
  7. 電子チケット発行手段と権限判定手段とを有し、プログラムを追加可能な機器における操作権限判定方法であって
    前記電子チケット発行手段が、プログラムごとに当該プログラムを識別するための電子チケットを発行する電子チケット発行手順と、
    前記権限判定手段が、前記電子チケットに基づいて前記プログラムが要求する操作に対する権限の有無を、記憶手段に記録されたポリシー情報に基づいて判定する権限判定手順とをし、
    前記ポリシー情報は、プログラムごとに、当該プログラムに対して発行された前記電子チケットを利用可能なプログラムを識別する情報を含み、
    前記権限判定手順において、前記権限判定手段は、前記操作の要求元のプログラムが、前記電子チケットを発行されたプログラムに対する前記ポリシー情報において当該電子チケットを利用可能とされていないときは前記操作の権限は無いと判定することを特徴とする操作権限判定方法。
  8. 前記ポリシー情報は、前記電子チケットを利用可能なプログラムのそれぞれの操作の権限の有無を識別する情報を更に含み、
    前記権限判定手順において、前記権限判定手段は、前記電子チケットを発行されたプログラムに対する前記ポリシー情報において、操作の要求元のプログラムに対して当該操作の権限が認められていないときは当該操作の権限は無いと判定することを特徴とする請求項7記載の操作権限判定方法。
  9. 前記機器は履歴記録手段を有し
    前記履歴記録手段が、前記権限判定手順において操作の権限が有ると判定された場合に当該操作に係るプログラムの識別名を、前記電子チケットごとに履歴情報として記憶手段に記録する履歴記録手順をし、
    前記権限判定手順において、前記権限判定手段は、前記履歴情報に記録されている前記識別名に係るプログラムの中で、操作の要求に用いられた前記電子チケットに対する前記ポリシー情報において当該電子チケットを利用可能とされていないプログラムが有るときは、前記操作の権限は無いと判定することを特徴とする請求項7又は8記載の操作権限判定方法。
  10. 前記ポリシー情報は、前記電子チケットを利用可能なプログラムの利用順を示す情報を含み、
    前記権限判定手順において、前記権限判定手段は、前記履歴情報に記録された識別名の順番と、前記ポリシー情報における前記利用順を示す情報との比較に基づいて権限の有無を判定することを特徴とする請求項9記載の操作権限判定方法。
  11. 前記ポリシー情報は、前記電子チケットを利用可能なプログラムによる操作の順番を示す情報を含み、
    前記履歴記録手順において、前記履歴記録手段は、権限が有ると判定された操作の識別名をプログラムの識別名とともに前記履歴情報に記録し、
    前記権限判定手順において、前記権限判定手段は、前記履歴情報に記録された操作の識別名の順番と、前記ポリシー情報における前記操作の順番を示す情報との比較に基づいて権限の有無を判定することを特徴とする請求項9又は10記載の操作権限判定方法。
  12. 前記権限判定手順において、前記権限判定手段は、前記履歴情報に記録された操作の識別名の順番に基づいて、前記ポリシー情報における前記操作の順番を示す情報に係る全ての操作が実行されたか否かを判定し、全ての操作が実行されたときは、操作の要求に用いられた前記電子チケットを利用不可能な状態とすることを特徴とする請求項11記載の操作権限判定方法。
JP2008031817A 2008-02-13 2008-02-13 機器及び操作権限判定方法 Expired - Fee Related JP5014191B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008031817A JP5014191B2 (ja) 2008-02-13 2008-02-13 機器及び操作権限判定方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008031817A JP5014191B2 (ja) 2008-02-13 2008-02-13 機器及び操作権限判定方法

Publications (2)

Publication Number Publication Date
JP2009193225A JP2009193225A (ja) 2009-08-27
JP5014191B2 true JP5014191B2 (ja) 2012-08-29

Family

ID=41075194

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008031817A Expired - Fee Related JP5014191B2 (ja) 2008-02-13 2008-02-13 機器及び操作権限判定方法

Country Status (1)

Country Link
JP (1) JP5014191B2 (ja)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000010930A (ja) * 1998-06-24 2000-01-14 Hitachi Ltd ネットワークシステムでのアクセス制御方法
JP4744674B2 (ja) * 2000-06-30 2011-08-10 富士通フロンテック株式会社 プログラムインストール方法、プログラムインストールシステム、プログラム実行装置及び記憶媒体
JP2004164299A (ja) * 2002-11-13 2004-06-10 Nec Corp コンテンツ利用システムおよび方法ならびにサーバ
JP2004206167A (ja) * 2002-12-20 2004-07-22 Fujitsu Ltd 事例予測装置および事例予測方法
ES2281755T3 (es) * 2004-09-03 2007-10-01 Research In Motion Limited Sistema y metodo para generar un indicador de estado seguro en una pantalla de presentacion.
JP4550558B2 (ja) * 2004-11-24 2010-09-22 日立ソフトウエアエンジニアリング株式会社 アクセス制御設定システム
JP4882550B2 (ja) * 2006-07-03 2012-02-22 富士ゼロックス株式会社 オブジェクト管理システム及びオブジェクト管理方法、並びにコンピュータ・プログラム

Also Published As

Publication number Publication date
JP2009193225A (ja) 2009-08-27

Similar Documents

Publication Publication Date Title
JP4334332B2 (ja) データ保護装置及び画像形成装置
JP5599557B2 (ja) 情報処理装置、ライセンス判定方法、プログラム及び記録媒体
US7969599B2 (en) Device managing system, information process apparatus, and control method thereof
JP4936549B2 (ja) サーバ装置、管理システム、管理方法、記憶媒体、プログラム
JP4761538B2 (ja) デバイス管理システム、情報処理装置及びその制御方法、プログラム
US8402459B2 (en) License management system, license management computer, license management method, and license management program embodied on computer readable medium
JP2007328770A (ja) 情報処理装置、アクセス制御方法、アクセス制御プログラム、記録媒体、及び画像形成装置
US7430669B2 (en) Image forming apparatus, launching method of program in the apparatus, image forming system, and program and storage medium therefor
JP2004287822A (ja) 情報処理方法、情報処理システム、情報処理装置、コンピュータプログラム、及び記録媒体
JP6084066B2 (ja) 画像形成装置及びその制御方法、並びにプログラム
JP5133387B2 (ja) 複合機、制御プログラムおよび記録媒体
JP4922744B2 (ja) 画像読取装置及びその制御方法、並びにプログラム
US20030218768A1 (en) Information processing apparatus, image forming apparatus, option function setup method, option function setup method for information processing apparatus, option function setup method for image forming apparatus, program, and storage medium
JP5014191B2 (ja) 機器及び操作権限判定方法
JP2009032002A (ja) 例外操作処理装置および文書操作処理システムおよび例外操作処理プログラム
JP2009026097A (ja) 情報処理方法、情報処理システムおよびコンピュータ
JP4821562B2 (ja) 原本性管理システム
JP2005092608A (ja) データ保護装置およびデータ保護方法
JP4887253B2 (ja) 画像処理装置
JP5458535B2 (ja) 機器、ライセンス管理方法、プログラム、及びライセンス管理システム
JP4876757B2 (ja) 障害修復支援システム、機器およびプログラム
JP2008271069A (ja) 情報処理装置及び情報処理システム端末判定方法端末判定プログラム端末用プログラム
JP5510535B2 (ja) 情報処理装置、ライセンス判定方法、プログラム、及び記録媒体
EP2990980B1 (en) Information processing apparatus, image forming system, and method for controlling an information processing apparatus
JP5897528B2 (ja) セキュリティ処理装置及びセキュリティ処理方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20101006

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120110

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120117

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120321

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120416

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120508

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120605

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150615

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5014191

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees