JP5272602B2 - Authentication function linkage device, authentication function linkage system, and authentication function linkage program - Google Patents
Authentication function linkage device, authentication function linkage system, and authentication function linkage program Download PDFInfo
- Publication number
- JP5272602B2 JP5272602B2 JP2008237140A JP2008237140A JP5272602B2 JP 5272602 B2 JP5272602 B2 JP 5272602B2 JP 2008237140 A JP2008237140 A JP 2008237140A JP 2008237140 A JP2008237140 A JP 2008237140A JP 5272602 B2 JP5272602 B2 JP 5272602B2
- Authority
- JP
- Japan
- Prior art keywords
- ticket
- request
- information
- access control
- authentication function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Accessory Devices And Overall Control Thereof (AREA)
Abstract
Description
本発明は、認証機能連携機器、認証機能連携システム及び認証機能連携プログラムに係り、特に他の機器と認証機能を連携させる認証機能連携機器、認証機能連携システム及び認証機能連携プログラムに関する。 The present invention relates to an authentication function cooperation device, an authentication function cooperation system, and an authentication function cooperation program, and more particularly to an authentication function cooperation device, an authentication function cooperation system, and an authentication function cooperation program for linking an authentication function with another device.
近年の情報処理技術及びネットワーク技術の進展に伴い、複合機(MFP)等の機器は他の機器と連携して一連の処理を行うことができるようになった。その一方、近年の情報セキュリティ意識の高まりに伴い、複合機等の機器はアクセス制御情報,利用制限情報やセキュリティポリシー等により、各ユーザが利用できるコピー機能,ファックス機能などの機能を予め設定している。 With the progress of information processing technology and network technology in recent years, devices such as MFPs (MFPs) can perform a series of processing in cooperation with other devices. On the other hand, with the recent increase in awareness of information security, devices such as multifunction peripherals are preset with functions such as copy function and fax function that can be used by each user according to access control information, usage restriction information, security policy, etc. Yes.
従来、アクセス制御情報,利用制限情報やセキュリティポリシー等は、ドメインをまたいで利用されるもの(例えば特許文献1参照)やサーバにて一元管理されるもの(例えば特許文献2参照)などが知られている。
例えばアクセス制御情報,利用制限情報やセキュリティポリシー等を用いてユーザが利用できる機能を制限しようとする場合、複合機等の機器はユーザに認証(秘密)情報の入力によりログインさせなければならない。したがって、複合機等の一の機器を他の機器と連携させて一連の処理を行おうとする場合、ユーザは一の機器と他の機器との両方にログインしなければならなかった。 For example, when trying to limit the functions that can be used by the user using access control information, usage restriction information, security policy, etc., a device such as a multifunction peripheral must log the user in by entering authentication (secret) information. Therefore, when one device such as a multifunction device is linked with another device to perform a series of processing, the user has to log in to both the one device and the other device.
また、複合機等の一の機器を他の機器と連携させて一連の処理を行おうとする場合はアクセス制御情報,利用制限情報やセキュリティポリシー等を、一の機器及び他の機器の両方に設定しておくか、アクセス制御情報,利用制限情報やセキュリティポリシー等を一元管理するサーバに設定しておかなければならなかった。 When one device such as a multifunction device is linked with another device to perform a series of processing, access control information, usage restriction information, security policy, etc. are set on both the one device and the other device. In other words, access control information, usage restriction information, security policies, and the like had to be set in a centrally managed server.
しかしながら、アクセス制御情報,利用制限情報やセキュリティポリシー等を一の機器及び他の機器の両方に設定することは、ユーザの人数及び機器の数の増加に伴い手間が増大するという問題があった。また、アクセス制御情報,利用制限情報やセキュリティポリシー等をサーバで一元管理する為には、別途、サーバが必要となり、コストが増大するという問題があった。 However, setting access control information, usage restriction information, security policy, and the like in both one device and another device has a problem that the effort increases as the number of users and the number of devices increase. In addition, in order to centrally manage access control information, usage restriction information, security policies, and the like on a server, a separate server is required, which increases the cost.
このように、利用制限情報やセキュリティポリシー等を用いてユーザが利用できる機能を制限しつつ、複合機等の一の機器を他の機器と連携させて一連の処理を行おうとすることは容易でないという問題があった。 As described above, it is not easy to perform a series of processing by coordinating one device such as a multifunction device with another device while restricting the functions that can be used by the user by using the use restriction information or the security policy. There was a problem.
本発明は、上記の点に鑑みなされたもので、ユーザが利用できる機能を制限しつつ一の機器を他の機器と連携させて一連の処理を行うことが容易な認証機能連携機器、認証機能連携システム及び認証機能連携プログラムを提供することを目的とする。 SUMMARY OF THE INVENTION The present invention has been made in view of the above points. An authentication function cooperation device and an authentication function that can easily perform a series of processes by linking one device with another device while restricting the functions that can be used by the user. It aims at providing a cooperation system and an authentication function cooperation program.
上記課題を解決する為、本発明は、他の機器からリクエストを受信し、前記リクエストに含まれるチケットに基づいて前記他の機器と認証機能を連携させる認証機能連携機器であって、前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき前記チケットの検証を行い、前記チケットの検証が成功すると、前記チケットに含まれるユーザ識別子情報及びアクセス制御情報をリポジトリ手段に登録するチケット検証手段と、前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録されている前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段とを有することを特徴とする。 In order to solve the above-described problem, the present invention is an authentication function cooperation device that receives a request from another device and cooperates the authentication function with the other device based on a ticket included in the request, Certificate storage means for storing certificate information of the other device to be used for verification, signature information of the ticket included in the request from the other device, and the certificate storage means The ticket is verified based on the certificate information of another device, and when the ticket is successfully verified, the ticket verification unit that registers the user identifier information and the access control information included in the ticket in the repository unit; Whether to execute processing of a request from a device, whether the user identifier information and access control information registered in the repository means is determined. And having a determining access control means on the basis of.
また、本発明は、他の機器へリクエストを送信するとき、前記リクエストに含ませたチケットに基づいて前記他の機器と認証機能を連携させ、他の機器からリクエストを受信したとき、前記リクエストに含まれるチケットに基づいて前記他の機器と認証機能を連携させる認証機能連携機器であって、前記他の機器へリクエストを送信するとき、前記リクエストを要求したユーザのユーザ識別子情報及びアクセス制御情報と、署名情報とを含む前記チケットを生成するチケット生成手段と、前記チケット生成手段が生成した前記チケットを、前記他の機器へのリクエストに含ませて送信する送信手段と、前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき前記チケットの検証を行い、前記チケットの検証が成功すると、前記チケットに含まれるユーザ識別子情報及びアクセス制御情報をリポジトリ手段に登録するチケット検証手段と、前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録されている前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段とを有することを特徴とする。 In addition, when transmitting a request to another device, the present invention links the other device with an authentication function based on the ticket included in the request, and when receiving a request from another device, An authentication function cooperation device for linking an authentication function with the other device based on the included ticket, and when transmitting a request to the other device, user identifier information and access control information of the user who requested the request; A ticket generating unit that generates the ticket including signature information; a transmitting unit that transmits the ticket generated by the ticket generating unit in a request to the other device; and used for verifying the ticket. A certificate storage unit storing certificate information of the other device, and the request included in the request from the other device. The ticket is verified based on the signature information of the ticket and the certificate information of the other device stored in the certificate storage means, and if the verification of the ticket is successful, the user identifier information and the access included in the ticket Based on the user identifier information and the access control information registered in the repository means, it is determined whether to execute the request processing from the other device and the ticket verification means for registering the control information in the repository means. Access control means.
また、本発明は、ユーザの操作する第1機器と、前記第1機器からのリクエストを受けて前記リクエストの処理を実行する第2機器とを有する認証機能連携システムであって、前記第2機器へリクエストを送信するとき前記リクエストに含ませたチケットに基づいて前記第2機器と認証機能を連携させる前記第1機器は、前記第2機器へリクエストを送信するとき、前記リクエストを要求したユーザのユーザ識別子情報及びアクセス制御情報と、署名情報とを含む前記チケットを生成するチケット生成手段と、前記チケット生成手段が生成した前記チケットを、前記第2機器へのリクエストに含ませて送信する送信手段とを有し、前記第1機器からリクエストを受信すると前記リクエストに含まれるチケットに基づいて前記第1機器と認証機能を連携させる前記第2機器は、前記チケットの検証に利用する前記第1機器の証明書情報を保管している証明書保管手段と、前記第1機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記第1機器の証明書情報に基づき前記チケットの検証を行い、前記チケットの検証が成功すると、前記チケットに含まれるユーザ識別子情報及びアクセス制御情報をリポジトリ手段に登録するチケット検証手段と、前記第1機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録されている前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段とを有することを特徴とする。 In addition, the present invention is an authentication function cooperation system including a first device operated by a user and a second device that receives a request from the first device and executes the processing of the request, wherein the second device The first device that links the second device and the authentication function based on the ticket included in the request when transmitting the request to the second device, when transmitting the request to the second device, Ticket generating means for generating the ticket including user identifier information and access control information, and signature information, and transmitting means for transmitting the ticket generated by the ticket generating means in a request to the second device And receiving the request from the first device, the first device and the authenticator based on the ticket included in the request The second device that cooperates with each other includes a certificate storage unit that stores certificate information of the first device used for verifying the ticket, and signature information of the ticket included in the request from the first device. And verifying the ticket based on the certificate information of the first device stored in the certificate storage means, and if the verification of the ticket is successful, the user identifier information and access control information included in the ticket are Ticket verification means registered in the means, and access control means for determining whether or not to execute the request processing from the first device based on the user identifier information and access control information registered in the repository means It is characterized by having.
また、本発明は、他の機器からリクエストを受信し、前記リクエストに含まれるチケットに基づいて前記他の機器と認証機能を連携させる認証機能連携機器を、前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき前記チケットの検証を行い、前記チケットの検証が成功すると、前記チケットに含まれるユーザ識別子情報及びアクセス制御情報をリポジトリ手段に登録するチケット検証手段と、前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録されている前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段として機能させるための認証機能連携プログラムであることを特徴とする。 Further, the present invention provides an authentication function cooperation device that receives a request from another device and cooperates an authentication function with the other device based on a ticket included in the request, and uses the other device for verifying the ticket. Certificate storage means for storing the certificate information of the device, signature information of the ticket included in the request from the other device, and certificate information of the other device stored in the certificate storage means The ticket is verified based on the ticket, and if the ticket is verified successfully, the ticket verification means for registering the user identifier information and the access control information included in the ticket in the repository means, and the processing of the request from the other device Whether to execute or not is determined based on the user identifier information and access control information registered in the repository means. Characterized in that it is a authentication function cooperative program to function as Seth control means.
また、本発明は、他の機器へリクエストを送信するとき、前記リクエストに含ませたチケットに基づいて前記他の機器と認証機能を連携させ、他の機器からリクエストを受信したとき、前記リクエストに含まれるチケットに基づいて前記他の機器と認証機能を連携させる認証機能連携機器を、前記他の機器へリクエストを送信するとき、前記リクエストを要求したユーザのユーザ識別子情報及びアクセス制御情報と、署名情報とを含む前記チケットを生成するチケット生成手段と、前記チケット生成手段が生成した前記チケットを、前記他の機器へのリクエストに含ませて送信する送信手段と、前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき前記チケットの検証を行い、前記チケットの検証が成功すると、前記チケットに含まれるユーザ識別子情報及びアクセス制御情報をリポジトリ手段に登録するチケット検証手段と、前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録されている前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段として機能させるための認証機能連携プログラムであることを特徴とする。 In addition, when transmitting a request to another device, the present invention links the other device with an authentication function based on the ticket included in the request, and when receiving a request from another device, When transmitting a request to the other device, an authentication function cooperation device that links the authentication function with the other device based on the included ticket, the user identifier information and access control information of the user who requested the request, and a signature Ticket generating means for generating the ticket including information, transmission means for transmitting the ticket generated by the ticket generating means in a request to the other device, and the ticket used for verification of the ticket Certificate storage means storing certificate information of another device and the ticket included in the request from the other device. The ticket is verified on the basis of the signature information of the other device and the certificate information of the other device stored in the certificate storage means. If the ticket is successfully verified, the user identifier information and access control included in the ticket are verified. Based on the user identifier information and the access control information registered in the repository means, it is determined whether to execute a ticket verification means for registering information in the repository means and processing of a request from the other device. It is an authentication function cooperation program for functioning as an access control means.
なお、本発明の構成要素、表現または構成要素の任意の組合せを、方法、装置、システム、コンピュータプログラム、記録媒体、データ構造などに適用したものも本発明の態様として有効である。 In addition, what applied the component, expression, or arbitrary combination of the component of this invention to a method, an apparatus, a system, a computer program, a recording medium, a data structure, etc. is also effective as an aspect of this invention.
本発明によれば、ユーザが利用できる機能を制限しつつ一の機器を他の機器と連携させて一連の処理を行うことが容易な認証機能連携機器、認証機能連携システム及び認証機能連携プログラムを提供可能である。 According to the present invention, there is provided an authentication function linkage device, an authentication function linkage system, and an authentication function linkage program that can easily perform a series of processing by linking one device with another device while limiting functions that can be used by a user. Can be provided.
次に、本発明を実施するための最良の形態を、以下の実施例に基づき図面を参照しつつ説明していく。なお、本実施例では、機器の一例として複合機等の画像処理装置を例に説明するが、画像処理装置に限定されるものではなく、如何なる機器であってもよい。 Next, the best mode for carrying out the present invention will be described based on the following embodiments with reference to the drawings. In the present embodiment, an image processing apparatus such as a multifunction peripheral is described as an example of an apparatus. However, the present invention is not limited to the image processing apparatus, and any apparatus may be used.
図1は本発明による認証機能連携システムの一実施例の構成図である。図1の認証機能連携システム1は、画像処理装置10,画像処理装置20,ユーザPC30,認証サーバ40が、LANなどのネットワーク50を介してデータ通信可能に接続されている構成である。
FIG. 1 is a configuration diagram of an embodiment of an authentication function cooperation system according to the present invention. The authentication
画像処理装置10はユーザが操作する機器である。画像処理装置20は画像処理装置10からのリクエストを受けて、そのリクエストの処理を実行する機器である。画像処理装置20は画像処理装置10と連動する機器である。ユーザPC30はリクエストの種別によって、ユーザが画像処理装置10に対してリクエストを行う機器である。認証サーバ40は外部認証を実施するサーバである。
The
図2は本発明による画像処理装置の一実施例のハードウェア構成図を示す。図1の画像処理装置10と画像処理装置20とは同様なハードウェア構成である。そこで、画像処理装置10のハードウェア構成を一例として説明する。
FIG. 2 is a hardware configuration diagram of an embodiment of an image processing apparatus according to the present invention. The
図2の画像処理装置10は、コントローラボード60,ハードディスクドライブ(HDD)70,sdカード80,エンジン90を有するように構成されている。コントローラボード60は、CPU61,揮発性メモリ62,HDDコントローラ63,エンジンコントローラ64,不揮発メモリ65,ネットワークデバイス(network device)66,sdカードI/F67を有するように構成されている。
The
HDD70は、コントローラボード60のHDDコントローラ63に接続される。sdカード80は、コントローラボード60のsdカードI/F67に接続される。エンジン90は、コントローラボード60のエンジンコントローラ64に接続される。
The HDD 70 is connected to the
また、コントローラボード60のCPU61,HDDコントローラ63,エンジンコントローラ64,不揮発メモリ65,ネットワークデバイス66,sdカードI/F67はメインバス(main bus)68を介して接続されている。コントローラボード60のCPU61は揮発性メモリ62に接続されている。
The
CPU61は、画像処理装置10の全体制御を行うものである。CPU61は、アプリケーション,コンポーネント(CMP),リポジトリ,ライブラリ等を利用して後述の機能ブロックを実現する。揮発性メモリ62は、画像処理装置10の主記憶装置として利用される。
The
不揮発メモリ65及びsdカード80は、アプリケーション,コンポーネント,リポジトリ,ライブラリ等が格納されている。HDD70は、画像データの蓄積,プログラムの蓄積,フォントデータの蓄積,フォームの蓄積を行うためのストレージである。エンジンコントローラ64は、操作パネル,プロッタやスキャナなどのエンジン90を制御するものである。ネットワークデバイス66はネットワーク50に接続する為のものである。
The
図3は本発明による画像処理装置の非プラグイン時の機能ブロック図である。図1の画像処理装置10と画像処理装置20とは同様な機能ブロック構成である。そこで、画像処理装置10の機能ブロック構成を一例として説明する。
FIG. 3 is a functional block diagram when the image processing apparatus according to the present invention is not plugged in. The
図3の機能ブロック図に示す画像処理装置10は、文書送信アプリ101,文書出力アプリ102,ネット(net)出力CMP103,リクエスト管理CMP104,文書保管CMP105,文書出力CMP106,netデバイスCMP107,アクセス制御CMP108,スキャナデバイスCMP109,メモリデバイスCMP110,プロッタデバイスCMP111,セッション管理CMP112,ユーザリポジトリ113,証明書保管ライブラリ114,暗号ライブラリ115を有するように構成されている。
The
また、セッション管理CMP112は、セッション生成部201,チケット生成部202,チケット検証部203,認証実施部204,識別情報生成部205を有するように構成されている。なお、図3の機能ブロック図に示した各機能ブロックの詳細はシーケンス図を用いて後述する。
The
本発明による認証機能連携システム1は、画像処理装置20が画像処理装置10からのリクエストを受けて、そのリクエストの処理を実行する場合、図4に示すようにシステム証明書,機番,連携先証明書を有している。
When the
図4は認証機能連携システムで利用するシステム証明書,機番,連携先証明書を表した説明図である。図4に示すように、画像処理装置10はシステム証明書301,機番302を有している。システム証明書301は、画像処理装置10の公開鍵(Pub X)及び秘密鍵(Private X)を有している。機番302は、画像処理装置10の機番である。
FIG. 4 is an explanatory diagram showing a system certificate, a machine number, and a cooperation destination certificate used in the authentication function cooperation system. As shown in FIG. 4, the
画像処理装置20はシステム証明書303,機番304,連携先証明書305を有している。システム証明書303は、画像処理装置20の公開鍵(Pub Y)及び秘密鍵(Private Y)を有している。機番304は、画像処理装置20の機番である。連携先証明書305は、画像処理装置10の公開鍵(Pub X)及び画像処理装置10の機番を有している。連携先証明書305は、後述のチケット検証に利用される。
The
認証機能連携システム1は、連携先証明書305を画像処理装置20の証明書保管ライブラリ114に保管することで、画像処理装置10と画像処理装置20との認証機能の連携が後述のように可能となる。
The authentication
認証機能連携システム1は、ユーザによる画像処理装置10へのログイン処理,画像処理装置10のリクエスト送信処理,画像処理装置20のリクエスト受信処理を順番に行うことにより認証機能の連携を行う。
The authentication
(ログイン処理)
図5はユーザによる画像処理装置へのログイン処理を表したシーケンス図である。画像処理装置10を操作するユーザはユーザインタフェース(UI)401からユーザ識別子及びパスワードを入力して認証開始を要求する。ステップS1に進み、ユーザ識別子及びパスワードを含む認証開始の要求はセッション管理CMP112のセッション生成部201に対して行われる。
(Login process)
FIG. 5 is a sequence diagram showing login processing to the image processing apparatus by the user. A user who operates the
ステップS2に進み、セッション生成部201はユーザ識別子及びパスワードを含む認証開始の要求を認証実施部204に対して行う。ステップS3に進み、認証実施部204はユーザリポジトリ113に保管されている認証情報(ユーザ識別子及びパスワードの組合せ)の確認を行い、画像処理装置10を操作しているユーザの認証を行う。
In step S <b> 2, the
ここではユーザの認証が成功したものとして説明を続ける。ステップS4に進み、認証実施部204は識別情報生成部205に識別情報の生成の要求を行う。識別情報生成部205はユーザリポジトリ113を参照し、識別情報を生成する。なお、識別情報の詳細は後述する。
Here, the description is continued assuming that the user authentication is successful. In step S4, the
ステップS5に進み、認証実施部204はユーザリポジトリ113を参照し、利用制限情報を生成する。その後、認証実施部204はセッションの生成を行い、ログイン処理を終了する。
In step S5, the
ログイン処理における認証実施部204の処理は、図6のフローチャートに示す手順となる。図6はログイン処理における認証実施部の処理手順を示した一例のフローチャートである。
The process of the
ステップS11に進み、認証実施部204はユーザリポジトリ113に保管されている認証情報の確認を行い、画像処理装置10を操作しているユーザの認証を行う。ユーザの認証が失敗すると、認証実施部204はステップS15に進み、認証が失敗したときの処理(例えば認証エラーをUI401に表示するなど)を行う。
In step S <b> 11, the
ユーザの認証が成功すると、認証実施部204はステップS12に進み、識別情報生成部205に識別情報を生成させる。ステップS13に進み、認証実施部204はユーザリポジトリ113を参照し、利用制限情報を生成する。認証実施部204は識別情報,利用制限情報を含むようにセッションの生成を行い、セッションの生成処理を完了する。
If the user authentication is successful, the
(リクエスト送信処理)
図7は画像処理装置のリクエスト送信処理を表したシーケンス図である。なお、図7のシーケンス図は画像処理装置10から画像処理装置20への文書の転送印刷の例を示している。リクエスト送信処理は、画像処理装置10から画像処理装置20への文書の転送印刷の他、設定情報の動的な共有(画面構成など)、画像処理装置20の設定変更、画像処理装置20への配信ジョブなどが考えられる。
(Request transmission process)
FIG. 7 is a sequence diagram showing request transmission processing of the image processing apparatus. Note that the sequence diagram of FIG. 7 shows an example of document transfer printing from the
画像処理装置10を操作するユーザはUI401から文書の転送印刷を要求する。文書の転送印刷に応じたジョブ生成の要求は、ステップS21において、UI401からリクエスト管理CMP104に対して行われる。ジョブ生成の要求にはセッション,ジョブ種別の情報が含まれる。
A user operating the
ステップS22に進み、リクエスト管理CMP104はセッション管理CMP112に含まれるチケット生成部202に対してチケット発行の要求を行う。チケット発行の要求にはセッション,ジョブIDの情報が含まれる。
In
ステップS23に進み、チケット生成部202はチケット情報の生成を行う。ステップS23で生成されるチケット情報はチケットの構成によって異なっている。図8〜図9はチケットの一例の構成図である。
In step S23, the
図8のチケット501は、識別情報502,利用制限情報503,機番504,署名505を有する構成である。チケット情報は、識別情報502,利用制限情報503,機番504を有する構成である。図8のチケット501の場合、識別情報502は認証種別ID,認証CMP情報,ユーザ識別子,1つ以上の所属グループ識別子,ロール識別子を有する構成である。
The
認証種別IDは認証方式を表すインデックスである。認証CMP情報は外部識別子と呼ばれる、ユーザを一意に特定できる情報である。例えばWindows(登録商標)におけるGUIDに相当する。ユーザ識別子は、ユーザを一意に識別する情報である。所属グループ識別子は、ユーザの所属グループを一意に識別する情報である。また、ロール識別子はユーザの役割(管理者、一般ユーザなど)を一意に識別する情報である。 The authentication type ID is an index representing an authentication method. The authentication CMP information is information called an external identifier that can uniquely identify a user. For example, it corresponds to a GUID in Windows (registered trademark). The user identifier is information that uniquely identifies the user. The belonging group identifier is information for uniquely identifying the user's belonging group. The role identifier is information for uniquely identifying a user role (administrator, general user, etc.).
図9のチケット510は、識別情報502,利用制限情報503,機番504,署名505を有する構成である。チケット情報は、識別情報502,利用制限情報503,機番504を有する構成である。図9のチケット510の場合、識別情報502はユーザ識別子を有する構成である。
The
図8のチケット501と図9のチケット510とは、識別情報502の構成が異なっている。図9のチケット510は図8のチケット501の識別情報502の構成を単純化したものである。
The
図7に戻り、ステップS24に進み、チケット生成部202は暗号ライブラリ115に署名(デジタル署名)505の生成を要求する。暗号ライブラリ115は例えばチケット501の識別情報502,利用制限情報503,機番504の一部又は全部をシステム証明書301の秘密鍵(Private X)で暗号化することにより、署名505を生成する。チケット生成部202は、ステップS23で生成したチケット情報にステップS24で生成した署名505を付与することでチケット501の生成を完了する。
Returning to FIG. 7, the process proceeds to step S <b> 24, and the
ステップS25に進み、リクエスト管理CMP104はアクセス制御CMP108に対して機能利用制限確認の要求を行う。ステップS25の機能利用制限確認の要求には、機能種別,チケット501の情報が含まれる。機能利用制限確認の要求に含まれる機能種別の情報は、ステップS21のジョブ生成の要求に含まれるジョブ種別の情報に応じたものとなる。
In step S25, the
ステップS26に進み、アクセス制御CMP108はセッション管理CMP112に含まれるチケット検証部203にチケット検証の要求を行う。ステップS26のチケット検証の要求にはチケットの情報が含まれている。チケット検証部203は後述のチケット検証の処理手順に従ってチケット検証を行う。チケット検証は、チケットが正しい(不正でない)ものであることを検証するものである。
In step S26, the
ここではチケット検証が成功したものとして説明を続ける。アクセス制御CMP108はステップS27に進み、チケット501の利用制限情報を参照し、機能利用制限確認の要求に含まれる機能種別ごとにユーザの権限を確認する。ここでは機能利用制限確認の要求に含まれる機能種別にユーザの権限があるものとして説明を続ける。
Here, the description is continued assuming that the ticket verification is successful. In step S27, the
ステップS28に進み、リクエスト管理CMP104はステップS21に対する応答としてジョブ生成完了をUI401に通知する。ステップS28のジョブ生成完了の通知にはジョブIDの情報が含まれている。UI401には例えば文書の転送印刷が実行中である旨が表示される。ステップS29に進み、UI401はリクエスト管理CMP104に対してジョブ実行の要求を行う。ステップS29のジョブ実行の要求にはジョブIDの情報が含まれる。
In step S28, the
リクエスト管理CMP104は、ステップS30に進み、文書送信アプリ101に対してジョブ実行の要求を行う。ステップS30のジョブ実行の要求には、ジョブIDが含まれる。ステップS31に進み、文書送信アプリ101は文書IDを指定して文書取得の要求を文書保管CMP105に対して行う。
In step S30, the
ステップS32に進み、文書保管CMP105はアクセス制御CMP108に対してリソース利用制限確認の要求を行う。ステップS32のリソース利用制限確認の要求にはリソースID,チケット501の情報が含まれる。リソース利用制限確認の要求に含まれるリソースIDの情報は、ステップS31の文書取得の要求に含まれる文書IDの情報に応じたものとなる。
In step S32, the
ステップS33に進み、アクセス制御CMP108はセッション管理CMP112に含まれるチケット検証部203にチケット検証の要求を行う。ステップS33のチケット検証の要求にはチケットの情報が含まれている。チケット検証部203は後述のチケット検証の処理手順に従ってチケット検証を行う。
In step S33, the
ここではチケット検証が成功したものとして説明を続ける。アクセス制御CMP108はステップS34に進み、チケット501の所属グループ識別子,ロール識別子などを参照し、リソース利用制限確認の要求に含まれるリソースIDのユーザの権限を確認する。ここでは、リソース利用制限確認の要求に含まれるリソースIDにユーザの権限があるものとして説明を続ける。ステップS35に進み、文書保管CMP105は文書IDを指定して文書読み出し要求をメモリデバイスCMP110に対して行い、文書IDに応じた文書を読み出す。
Here, the description is continued assuming that the ticket verification is successful. In step S34, the
ステップS36に進み、文書送信アプリ101は文書IDを指定して文書送信の要求をnet出力CMP103に対して行う。ステップS37に進み、net出力CMP103はアクセス制御CMP108に対してリソース利用制限確認の要求を行う。ステップS37のリソース利用制限確認の要求には、リソースID,チケット501の情報が含まれている。リソース利用制限確認の要求に含まれるリソースIDの情報は、ステップS36の文書送信の要求に含まれる文書IDの情報に応じたものとなる。
In
ステップS38に進み、アクセス制御CMP108はセッション管理CMP112に含まれるチケット検証部203にチケット検証の要求を行う。ステップS38のチケット検証の要求にはチケットの情報が含まれている。チケット検証部203は後述のチケット検証の処理手順に従ってチケット検証を行う。
In step S38, the
ここではチケット検証が成功したものとして説明を続ける。アクセス制御CMP108はステップS39に進み、チケット501の所属グループ識別子,ロール識別子などを参照し、リソース利用制限確認の要求に含まれるリソースIDのユーザの権限を確認する。ここでは、リソース利用制限確認の要求に含まれるリソースIDにユーザの権限があるものとして説明を続ける。ステップS40に進み、net出力CMP103は文書IDを指定して文書の送信要求をnetデバイスCMP107に対して行う。
Here, the description is continued assuming that the ticket verification is successful. In step S39, the
netデバイスCMP107は、例えばチケット501を埋め込んだ文書IDに応じた文書をネットワーク50経由で画像処理装置20に送信する。図10はチケットが埋め込まれた文書の一例の構成図である。図10の文書はPDL(ページ記述言語)にチケット501が埋め込まれた例を表している。
The
そして、ステップS41に進み、リクエスト管理CMP104はステップS29に対する応答としてジョブ完了通知を、UI401に通知する。ステップS41のジョブ完了通知にはジョブIDの情報が含まれている。
In step S41, the
リクエスト送信処理におけるチケット生成部202の処理は、図11のフローチャートに示す手順となる。図11はリクエスト送信処理におけるチケット生成部の処理手順を示す一例のフローチャートである。
The processing of the
リクエスト管理CMP104からチケット発行の要求があると、チケット生成部202はチケット発行の要求に含まれるセッションが有効か無効かを判定する。チケット生成部202はセッションが有効であると判定すれば、ステップS51に進み、ログイン処理で生成した識別情報502を複製する。
When there is a ticket issue request from the
ステップS52に進み、チケット生成部202はログイン処理で生成した利用制限情報503を複製する。ステップS53に進み、チケット生成部202はステップS51,S52で複製した識別情報502,利用制限情報503に機番504を追加してチケット情報を生成する。
In step S52, the
ステップS54に進み、チケット生成部202は暗号ライブラリ115に署名(デジタル署名)505の生成を要求する。暗号ライブラリ115は例えばチケット501の識別情報502,利用制限情報503,機番504の一部又は全部をシステム証明書301の秘密鍵(Private X)で暗号化することにより、署名505を生成する。
In step S54, the
チケット生成部202は、ステップS53で生成したチケット情報にステップS54で生成した署名505を付与することでチケット501を生成する。そして、ステップS55に進み、チケット生成部202はチケットの生成を完了する。なお、チケット生成部202はセッションが無効であると判定すれば、ステップS56に進み、チケット発行に失敗したときの処理(例えばチケット発行エラーをUI401に表示するなど)を行う。
The
リクエスト送信処理におけるチケット検証部203の処理は、図12のフローチャートに示す手順となる。図12はリクエスト送信処理におけるチケット検証部の処理手順を示す一例のフローチャートである。
The process of the
アクセス制御CMP108からチケット検証の要求があると、チケット検証部203はチケット検証の要求に含まれるチケット501の情報に基づき、チケット501の検証を開始する。
When there is a ticket verification request from the
ステップS61に進み、チケット検証部203はチケット501の署名505をシステム証明書301に含まれる画像処理装置10(自機)の公開鍵(Pub X)で復号することで検証する。チケット501が画像処理装置10で生成したものである為、ステップS61では署名505の復号が成功する。
In step S61, the
チケット検証部203はステップS62に進み、チケット501の検証に成功したと判定する。即ち、チケット検証部203はチケット501が正しい(不正でない)ものであると判定する。
In step S62, the
なお、ステップS61において署名505の復号が失敗した場合のステップS63以降の処理は、チケット501が自機以外で生成された場合に実行されるものである。言い換えれば、ステップS63以降の処理は、主にリクエスト受信処理で実行されるため、リクエスト受信処理の説明の中で後述する。なお、図7に示すリクエスト送信処理では生成されたチケット501が各コンポーネントから読み出し可能な位置に保存されているものとする。
It should be noted that the processing after step S63 when the decryption of the
(リクエスト受信処理)
図13は画像処理装置のリクエスト受信処理を表したシーケンス図である。なお、図13のシーケンス図は画像処理装置10から画像処理装置20への文書の転送印刷の例を示している。
(Request reception processing)
FIG. 13 is a sequence diagram showing request reception processing of the image processing apparatus. The sequence diagram of FIG. 13 shows an example of document transfer printing from the
netデバイスCMP107はネットワーク50経由で、チケット501が埋め込まれた文書を受信する。net出力CMP103はnetデバイスCMP107からチケット501の埋め込まれた文書を受信する。なお、図13に示すリクエスト受信処理では受信した文書、文書に埋め込まれていたチケット501が各コンポーネントから読み出し可能な位置に保存されるものとする。
The
ステップS71に進み、net出力CMP103はリクエスト管理CMP104に対してジョブ生成の要求を行う。ステップS71のジョブ生成の要求にはセッション,ジョブ種別の情報が含まれる。
In step S71, the
ステップS72に進み、リクエスト管理CMP104はアクセス制御CMP108に対して機能利用制限確認の要求を行う。ステップS72の機能利用制限確認の要求には、機能種別,チケット501の情報が含まれる。ステップS73に進み、アクセス制御CMP108はセッション管理CMP112に含まれるチケット検証部203にチケット検証の要求を行う。ステップS73のチケット検証の要求にはチケット501の情報が含まれている。
In step S72, the
ステップS74に進み、チケット検証部203は暗号ライブラリ115に署名505の検証を要求する。暗号ライブラリ115は例えば連携先証明書305を証明書保管ライブラリ114から取得して、連携先証明書305に含まれる画像処理装置10の公開鍵(Pub X)で署名505を復号することにより署名505の検証を行う。
In step S74, the
ここでは、チケット検証が成功したものとして説明を続ける。チケット検証部203はステップS75に進み、チケット501に含まれる識別子情報(ユーザIDなど),利用制限情報503をユーザリポジトリ113にエントリ登録する。
Here, the description is continued assuming that the ticket verification is successful. In step S 75, the
ステップS76に進み、アクセス制御CMP108はチケット501の利用制限情報を参照し、機能利用制限確認の要求に含まれる機能種別ごとにユーザの権限を確認する。ここでは機能利用制限確認の要求に含まれる機能種別にユーザの権限があるものとして説明を続ける。
In step S76, the
ステップS77に進み、アクセス制御CMP108はユーザリポジトリ113にエントリ登録された利用制限情報503の利用制限確認を行う。ここでは利用制限確認が正常に終了したものとして説明を続ける。ステップS78に進み、リクエスト管理CMP104はステップS71に対する応答としてジョブ生成完了を、net出力CMP103に通知する。ステップS78のジョブ生成完了の通知にはジョブIDの情報が含まれている。
In step S 77, the
ステップS79に進み、net出力CMP103はリクエスト管理CMP104に対してジョブ実行の要求を行う。ステップS79のジョブ実行の要求にはジョブIDの情報が含まれる。
In step S79, the
リクエスト管理CMP104は、ステップS80に進み、文書出力アプリ102に対してジョブ実行の要求を行う。ステップS80のジョブ実行の要求には、ジョブIDが含まれる。ステップS81に進み、文書出力アプリ102は文書IDを指定して文書出力の要求をプロッタデバイスCMP111に対して行う。
In step S80, the
ステップS82に進み、プロッタデバイスCMP111はアクセス制御CMP108に対してリソース利用制限確認の要求を行う。ステップS82のリソース利用制限確認の要求にはリソースID,チケット501の情報が含まれる。リソース利用制限確認の要求に含まれるリソースIDの情報は、ステップS81の文書出力の要求に含まれる文書IDの情報に応じたものとなる。
In step S 82, the
ステップS83に進み、アクセス制御CMP108はセッション管理CMP112に含まれるチケット検証部203にチケット検証の要求を行う。ステップS83のチケット検証の要求にはチケットの情報が含まれている。ステップS84に進み、チケット検証部203は暗号ライブラリ115に署名505の検証を要求する。暗号ライブラリ115は署名505の検証を行う。
In step S83, the
ここでは、チケット検証が成功したものとして説明を続ける。アクセス制御CMP108は、ステップS85に進み、チケット501の所属グループ識別子,ロール識別子などを参照し、リソース利用制限確認の要求に含まれるリソースIDのユーザの権限を確認する。ここでは、リソース利用制限確認の要求に含まれるリソースIDにユーザの権限があるものとして説明を続ける。ステップS86に進み、アクセス制御CMP108はユーザリポジトリ113にエントリ登録された利用制限情報503の利用制限確認を行う。ここでは利用制限確認が正常に終了したものとして説明を続ける。ステップS87に進み、プロッタデバイスCMP111は文書IDに応じた文書を出力する。
Here, the description is continued assuming that the ticket verification is successful. In step S85, the
そして、ステップS88に進み、リクエスト管理CMP104はステップS79に対する応答としてジョブ完了通知を、net出力CMP103に通知する。ステップS88のジョブ完了通知にはジョブIDの情報が含まれている。
In step S88, the
図13のシーケンス図ではステップS75において、チケット501に含まれる利用制限情報503をユーザリポジトリ113にエントリ登録しているが、2回目以降のエントリ登録を省略してもよい。
In the sequence diagram of FIG. 13, in step S75, the
図14は画像処理装置のリクエスト受信処理であって、2回目以降のエントリ登録を省略する他の例のシーケンス図である。図14のシーケンス図はステップS94において署名505の検証を行ったあと、利用制限情報503等をユーザリポジトリ113にエントリ登録していない点で図13のシーケンス図と異なる。
FIG. 14 is a sequence diagram of another example of request reception processing of the image processing apparatus and omitting the second and subsequent entry registrations. The sequence diagram of FIG. 14 differs from the sequence diagram of FIG. 13 in that the
図14のシーケンス図では、チケット検証が成功したとしても、ユーザリポジトリ113にエントリ登録が既になされている場合に、利用制限情報503等をユーザリポジトリ113にエントリ登録する処理を省略している。したがって、図14のシーケンス図は同一内容のエントリ登録を省略することで無駄を無くしている。なお、ユーザリポジトリ113にエントリ登録が既になされている場合は、図15に示すように利用制限情報503の無いチケット520を使用してもよい。
In the sequence diagram of FIG. 14, even if the ticket verification is successful, if the entry registration has already been performed in the
図16は画像処理装置のリクエスト受信処理であって、利用制限確認が異常である他の例のシーケンス図である。図16のシーケンス図は利用制限確認が異常に終了している点で図13のシーケンス図と異なる。 FIG. 16 is a sequence diagram of another example of request reception processing of the image processing apparatus, in which usage restriction confirmation is abnormal. The sequence diagram of FIG. 16 is different from the sequence diagram of FIG. 13 in that the use restriction confirmation ends abnormally.
図16のステップS111〜S116は図13のステップS71〜S76と同様であるため、説明を省略する。ステップS117に進み、アクセス制御CMP108はユーザリポジトリ113にエントリ登録された利用制限情報503の利用制限確認を行う。ここでは利用制限確認が異常に終了したものとして説明を続ける。例えばユーザ識別子(ユーザID)をキーとしてユーザリポジトリ113にエントリ登録されている利用制限情報503を参照し、機能種別に対応する機能が禁止になっていれば、利用制限確認は異常に終了する。
Steps S111 to S116 in FIG. 16 are the same as steps S71 to S76 in FIG. In step S117, the
ステップS118に進み、アクセス制御CMP108はリクエスト管理CMP104にアクセス拒否を通知する。そして、ステップS119に進み、リクエスト管理CMP104はステップS111に対する応答としてジョブ生成失敗通知を、net出力CMP103に通知する。
In step S118, the
リクエスト受信処理におけるチケット検証部203の処理は、図17のフローチャートに示す手順となる。図17はリクエスト受信処理におけるチケット検証部の処理手順を示す一例のフローチャートである。
The process of the
アクセス制御CMP108からチケット検証の要求があると、チケット検証部203はチケット検証の要求に含まれるチケット501の情報に基づき、チケット501の検証を開始する。
When there is a ticket verification request from the
ステップS121に進み、チケット検証部203はチケット501の署名505をシステム証明書303に含まれる画像処理装置20(自機)の公開鍵(Pub Y)で復号することで検証する。チケット501が画像処理装置10で生成したものである為、署名505の復号は失敗する。
In step S121, the
チケット検証部203はステップS123に進み、チケット501に含まれる機番と連携先証明書305の機番とが同じかを確認する。チケット501に含まれる機番と連携先証明書305の機番とが同じであると判定すれば、チケット検証部203はステップS124に進み、チケット501の署名505を連携先証明書305に含まれる画像処理装置10の公開鍵(Pub X)で復号することで検証する。
In step S123, the
署名505の復号に成功すると、チケット検証部203は署名505の検証に成功したと判定して、ステップS125に進む。ステップS125では、チケット検証部203がユーザ識別子(ユーザID)をキーとしてユーザリポジトリ113からユーザを検索する。ユーザの検索が成功すれば、チケット検証部203はステップS122に進み、チケット501の検証に成功したと判定する。なお、ユーザの検索が失敗すれば、チケット検証部203はステップS126に進み、ユーザを新規追加し、権限情報を設定する。
If the
ステップS123においてチケット501に含まれる機番と連携先証明書305の機番とが同じでない場合、ステップS124において署名505の復号に失敗した場合、又はステップS126においてユーザの新規追加が失敗した場合、チケット検証部203はステップS127に進み、チケット501の検証に失敗したと判定する。
If the machine number included in the
このように本発明によるリクエスト受信処理では悪意のある或いはバグによりSDKアプリケーションによる送受信でアクセス制御を破ってしまうケースについても、フレームワーク部分でサポートすることにより、不正なSDKアプリケーションの動作制限を強制することができる。SDKアプリケーションは不正な権限を含むチケット501を生成することはできず、現在のチケット501の権限を超えるリクエストを処理することもできない。
As described above, in the request reception processing according to the present invention, even when the access control is broken by transmission / reception by the SDK application due to a malicious or bug, the operation restriction of the illegal SDK application is enforced by supporting the framework part. be able to. The SDK application cannot generate a
(他の例の機能ブロック図)
図18は本発明による画像処理装置のプラグイン時の機能ブロック図である。図18の機能ブロック図は図3の機能ブロック図と一部を除いて同様である。ここでは、図18の機能ブロック図について図3の機能ブロック図と異なる点について説明する。
(Function block diagram of another example)
FIG. 18 is a functional block diagram when the image processing apparatus according to the present invention is plugged in. The functional block diagram of FIG. 18 is the same as the functional block diagram of FIG. Here, the difference between the functional block diagram of FIG. 18 and the functional block diagram of FIG. 3 will be described.
図18の機能ブロック図は、セッション管理CMP112の構成と、認証CMP600を有する点とが、図3の機能ブロック図と異なっている。図18の機能ブロック図におけるセッション管理CMP112は、セッション生成部201,チケット生成部202,チケット検証部203,認証実施部204,識別情報生成部205を有するように構成されていた図3のセッション管理CMP112と異なり、セッション生成部201,チケット生成部202,チケット検証部203を有するように構成されている。
The functional block diagram of FIG. 18 is different from the functional block diagram of FIG. 3 in that the configuration of the
図3のセッション管理CMP112が有していた認証実施部204,識別情報生成部205は、図18の機能ブロック図において、認証CMP600が有している。認証CMP600はプラグインにより追加が可能である。
The
(他の例のログイン処理)
図19はユーザによる画像処理装置へのログイン処理を表した他の例のシーケンス図である。画像処理装置10を操作するユーザはUI401からユーザ識別子及びパスワードを入力して認証開始を要求する。ステップS131に進み、ユーザ識別子及びパスワードを含む認証開始の要求はセッション管理CMP112のセッション生成部201に対して行われる。
(Login process of another example)
FIG. 19 is a sequence diagram of another example showing a login process to the image processing apparatus by the user. A user who operates the
ステップS132に進み、セッション生成部201はユーザ識別子及びパスワードを含む認証開始の要求を認証CMP600の認証実施部204に対して行う。ステップS133に進み、認証実施部204はユーザリポジトリ113に保管されている認証情報の確認を行い、画像処理装置10を操作しているユーザの認証を行う。ここではユーザの認証が成功したものとして説明を続ける。
In step S132, the
ステップS134に進み、認証実施部204は認証CMP600の識別情報生成部205に識別情報の生成の要求を行う。識別情報生成部205はユーザリポジトリ113を参照し、識別情報を生成する。なお、識別情報の詳細は後述する。
In step S134, the
ステップS135に進み、認証実施部204はユーザリポジトリ113を参照し、利用制限情報を生成する。その後、ステップS136に進み、認証実施部204はセッションの生成を行い、ログイン処理を終了する。
In step S135, the
以上、本発明による認証機能連携システム1は、画像処理装置10,20の双方向又は一方向の信頼関係の確立により、認証機能を連携させることができ、また、チケットに利用制限情報を含めることで、利用制限情報を連携させることができる。
As described above, the authentication
本発明は、具体的に開示された実施例に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。 The present invention is not limited to the specifically disclosed embodiments, and various modifications and changes can be made without departing from the scope of the claims.
1 認証機能連携システム
10,20 画像処理装置
30 ユーザPC
40 認証サーバ
50 ネットワーク
60 コントローラボード
61 CPU
62 揮発性メモリ
63 HDDコントローラ
64 エンジンコントローラ
65 不揮発メモリ
66 ネットワークデバイス(network device)
67 sdカードI/F
68 メインバス(main bus)
70 ハードディスクドライブ(HDD)
80 sdカード
90 エンジン
101 文書送信アプリ
102 文書出力アプリ
103 ネット(net)出力CMP
104 リクエスト管理CMP
105 文書保管CMP
106 文書出力CMP
107 netデバイスCMP
108 アクセス制御CMP
109 スキャナデバイスCMP
110 メモリデバイスCMP
111 プロッタデバイスCMP
112 セッション管理CMP
113 ユーザリポジトリ
114 証明書保管ライブラリ
115 暗号ライブラリ
201 セッション生成部
202 チケット生成部
203 チケット検証部
204 認証実施部
205 識別情報生成部
301 システム証明書
302 機番
303 システム証明書
304 機番
305 連携先証明書
401 ユーザインタフェース(UI)
501,510,520 チケット
502 識別情報
503 利用制限情報
504 機番
505 署名
1 Authentication
40
62
67 sd card I / F
68 main bus
70 Hard disk drive (HDD)
80
104 Request management CMP
105 Document storage CMP
106 Document output CMP
107 net device CMP
108 Access control CMP
109 Scanner device CMP
110 Memory device CMP
111 Plotter device CMP
112 Session management CMP
113
501, 510, 520
Claims (13)
前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、
前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき前記チケットの検証を行い、前記チケットの検証が成功すると、前記チケットに含まれるユーザ識別子情報及びアクセス制御情報をリポジトリ手段に登録するチケット検証手段と、
前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録されている前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段と
を有することを特徴とする認証機能連携機器。 An authentication function cooperation device that receives a request from another device and coordinates the authentication function with the other device based on a ticket included in the request,
Certificate storage means for storing certificate information of the other device used for verifying the ticket;
When the ticket is verified based on the signature information of the ticket included in the request from the other device and the certificate information of the other device stored in the certificate storage unit, and the ticket is successfully verified. Ticket verification means for registering user identifier information and access control information included in the ticket in the repository means;
Access control means for determining whether or not to execute processing of a request from the other device based on the user identifier information and access control information registered in the repository means Function linkage device.
前記他の機器へリクエストを送信するとき、前記リクエストを要求したユーザのユーザ識別子情報及びアクセス制御情報と、署名情報とを含む前記チケットを生成するチケット生成手段と、
前記チケット生成手段が生成した前記チケットを、前記他の機器へのリクエストに含ませて送信する送信手段と、
前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、
前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき前記チケットの検証を行い、前記チケットの検証が成功すると、前記チケットに含まれるユーザ識別子情報及びアクセス制御情報をリポジトリ手段に登録するチケット検証手段と、
前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録されている前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段と
を有することを特徴とする認証機能連携機器。 When sending a request to another device, the authentication function is linked with the other device based on the ticket included in the request, and when a request is received from the other device, based on the ticket included in the request. An authentication function cooperation device for linking an authentication function with the other device,
Ticket generating means for generating the ticket including user identifier information and access control information of a user who has requested the request, and signature information when transmitting a request to the other device;
Transmitting means for transmitting the ticket generated by the ticket generating means in a request to the other device;
Certificate storage means for storing certificate information of the other device used for verifying the ticket;
When the ticket is verified based on the signature information of the ticket included in the request from the other device and the certificate information of the other device stored in the certificate storage unit, and the ticket is successfully verified. Ticket verification means for registering user identifier information and access control information included in the ticket in the repository means;
Access control means for determining whether or not to execute processing of a request from the other device based on the user identifier information and access control information registered in the repository means Function linkage device.
前記第2機器へリクエストを送信するとき前記リクエストに含ませたチケットに基づいて前記第2機器と認証機能を連携させる前記第1機器は、
前記第2機器へリクエストを送信するとき、前記リクエストを要求したユーザのユーザ識別子情報及びアクセス制御情報と、署名情報とを含む前記チケットを生成するチケット生成手段と、
前記チケット生成手段が生成した前記チケットを、前記第2機器へのリクエストに含ませて送信する送信手段とを有し、
前記第1機器からリクエストを受信すると前記リクエストに含まれるチケットに基づいて前記第1機器と認証機能を連携させる前記第2機器は、
前記チケットの検証に利用する前記第1機器の証明書情報を保管している証明書保管手段と、
前記第1機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記第1機器の証明書情報に基づき前記チケットの検証を行い、前記チケットの検証が成功すると、前記チケットに含まれるユーザ識別子情報及びアクセス制御情報をリポジトリ手段に登録するチケット検証手段と、
前記第1機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録されている前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段とを有する
ことを特徴とする認証機能連携システム。 An authentication function cooperation system having a first device operated by a user and a second device that receives a request from the first device and executes the processing of the request,
The first device that links the second device and the authentication function based on the ticket included in the request when transmitting a request to the second device,
Ticket generating means for generating the ticket including user identifier information and access control information of the user who requested the request and signature information when transmitting a request to the second device;
Transmission means for transmitting the ticket generated by the ticket generation means in a request to the second device;
When receiving a request from the first device, the second device that links the first device and the authentication function based on a ticket included in the request,
Certificate storage means storing certificate information of the first device used for verifying the ticket;
The ticket is verified based on the signature information of the ticket included in the request from the first device and the certificate information of the first device stored in the certificate storage unit, and the ticket is verified successfully Ticket verification means for registering user identifier information and access control information included in the ticket in the repository means;
Access control means for determining whether or not to process a request from the first device based on the user identifier information and access control information registered in the repository means Function linkage system.
前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、
前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき前記チケットの検証を行い、前記チケットの検証が成功すると、前記チケットに含まれるユーザ識別子情報及びアクセス制御情報をリポジトリ手段に登録するチケット検証手段と、
前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録されている前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段と
して機能させるための認証機能連携プログラム。 An authentication function cooperation device that receives a request from another device and coordinates the authentication function with the other device based on the ticket included in the request,
Certificate storage means for storing certificate information of the other device used for verifying the ticket;
When the ticket is verified based on the signature information of the ticket included in the request from the other device and the certificate information of the other device stored in the certificate storage unit, and the ticket is successfully verified. Ticket verification means for registering user identifier information and access control information included in the ticket in the repository means;
An authentication function linkage program for causing an access control unit to determine whether or not to execute processing of a request from another device based on the user identifier information and access control information registered in the repository unit .
前記他の機器へリクエストを送信するとき、前記リクエストを要求したユーザのユーザ識別子情報及びアクセス制御情報と、署名情報とを含む前記チケットを生成するチケット生成手段と、
前記チケット生成手段が生成した前記チケットを、前記他の機器へのリクエストに含ませて送信する送信手段と、
前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、
前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき前記チケットの検証を行い、前記チケットの検証が成功すると、前記チケットに含まれるユーザ識別子情報及びアクセス制御情報をリポジトリ手段に登録するチケット検証手段と、
前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録されている前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段と
して機能させるための認証機能連携プログラム。 When sending a request to another device, the authentication function is linked with the other device based on the ticket included in the request, and when a request is received from the other device, based on the ticket included in the request. An authentication function cooperation device for linking the authentication function with the other device,
Ticket generating means for generating the ticket including user identifier information and access control information of a user who has requested the request, and signature information when transmitting a request to the other device;
Transmitting means for transmitting the ticket generated by the ticket generating means in a request to the other device;
Certificate storage means for storing certificate information of the other device used for verifying the ticket;
When the ticket is verified based on the signature information of the ticket included in the request from the other device and the certificate information of the other device stored in the certificate storage unit, and the ticket is successfully verified. Ticket verification means for registering user identifier information and access control information included in the ticket in the repository means;
An authentication function linkage program for causing an access control unit to determine whether or not to execute processing of a request from another device based on the user identifier information and access control information registered in the repository unit .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008237140A JP5272602B2 (en) | 2008-09-16 | 2008-09-16 | Authentication function linkage device, authentication function linkage system, and authentication function linkage program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008237140A JP5272602B2 (en) | 2008-09-16 | 2008-09-16 | Authentication function linkage device, authentication function linkage system, and authentication function linkage program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010072760A JP2010072760A (en) | 2010-04-02 |
JP5272602B2 true JP5272602B2 (en) | 2013-08-28 |
Family
ID=42204506
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008237140A Expired - Fee Related JP5272602B2 (en) | 2008-09-16 | 2008-09-16 | Authentication function linkage device, authentication function linkage system, and authentication function linkage program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5272602B2 (en) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5772011B2 (en) * | 2011-01-27 | 2015-09-02 | 株式会社リコー | Information processing system, information processing apparatus, information processing method, and program |
JP5811711B2 (en) | 2011-09-07 | 2015-11-11 | 株式会社リコー | Device linkage system, function provision method |
JP5824987B2 (en) | 2011-09-07 | 2015-12-02 | 株式会社リコー | Device cooperation system, image forming apparatus, and service providing method |
JP5799689B2 (en) | 2011-09-07 | 2015-10-28 | 株式会社リコー | Device cooperation system, image forming apparatus, and function providing method |
JP5811712B2 (en) | 2011-09-07 | 2015-11-11 | 株式会社リコー | Device cooperation system, image forming apparatus, and function providing method |
JP6459805B2 (en) | 2015-07-03 | 2019-01-30 | 富士ゼロックス株式会社 | Information processing system, information processing apparatus, and program |
JP7139757B2 (en) | 2018-07-27 | 2022-09-21 | 株式会社リコー | Information processing device, authentication method, program |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002183633A (en) * | 2000-12-13 | 2002-06-28 | Sony Corp | Information-recording medium, information processor, information processing method, program recording medium and information processing system |
JP2003085141A (en) * | 2001-09-07 | 2003-03-20 | Fuji Electric Co Ltd | Single sign-on corresponding authenticating device, network system and program |
JP4440583B2 (en) * | 2002-09-20 | 2010-03-24 | 株式会社リコー | Service providing apparatus, service providing method, service providing program, and recording medium |
JP4663315B2 (en) * | 2004-12-28 | 2011-04-06 | Kddi株式会社 | Authentication system, authentication information delegation method and security device in the same system |
JP2006260321A (en) * | 2005-03-18 | 2006-09-28 | Nec Corp | Service providing system and user authentication method therefor |
JP4742682B2 (en) * | 2005-06-01 | 2011-08-10 | 富士ゼロックス株式会社 | Content protection device and content protection release device |
JP4761538B2 (en) * | 2006-03-31 | 2011-08-31 | キヤノン株式会社 | Device management system, information processing apparatus, control method therefor, and program |
US8352743B2 (en) * | 2007-02-07 | 2013-01-08 | Nippon Telegraph And Telephone Corporation | Client device, key device, service providing apparatus, user authentication system, user authentication method, program, and recording medium |
-
2008
- 2008-09-16 JP JP2008237140A patent/JP5272602B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2010072760A (en) | 2010-04-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8402459B2 (en) | License management system, license management computer, license management method, and license management program embodied on computer readable medium | |
RU2506632C2 (en) | Information processing device, driving method therefor and computer-readable data medium | |
JP5369502B2 (en) | Device, management device, device management system, and program | |
JP5332814B2 (en) | Printing apparatus, processing method, and computer program | |
US8327133B2 (en) | Communication device and medium for the same | |
JP5272602B2 (en) | Authentication function linkage device, authentication function linkage system, and authentication function linkage program | |
JP6390123B2 (en) | Information processing system and authentication information providing method | |
JP6124531B2 (en) | Information processing system, image processing apparatus, control method therefor, and program | |
US9088566B2 (en) | Information processing system, information processing device, and relay server | |
US10305961B2 (en) | Information processing apparatus, information processing apparatus control method, and storage medium storing program | |
JP2015052996A (en) | Image forming device and control method of image forming device | |
JP2011243093A (en) | Information processor, user authentication method and computer program | |
US10185523B2 (en) | Information processing system, information processing apparatus and control method therefor, and program for preventing inconsistency of a setting | |
JP2007104660A (en) | System, method, and program for safely transmitting electronic document data in terms of security | |
JP2011258000A (en) | Information processing device and user authentication method therefor | |
JP2010074431A (en) | Authentication function linkage equipment using external authentication, authentication function linkage system, and authentication function linkage program | |
JP2016048525A (en) | Output system, output device, program, and output method | |
JP2020064660A (en) | Information processing apparatus, terminal device, program, and information processing system | |
JP2006072808A (en) | Access control system and method of electronic file | |
JP2006085643A (en) | Right information generation method, communication device, program and recording medium | |
JP5617981B2 (en) | Device, management device, device management system, and program | |
US20070212027A1 (en) | Image processing device and image data transmission method | |
JP2007183922A (en) | Information processing apparatus and method for installing application | |
JP6338729B2 (en) | Image processing apparatus, control method therefor, information processing system, and storage medium | |
JP2006211157A (en) | Service providing apparatus, service providing system, and service providing method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110805 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130130 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130305 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130401 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130416 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130429 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 5272602 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
LAPS | Cancellation because of no payment of annual fees |