JP6298288B2 - 情報処理装置、情報処理方法、及びプログラム - Google Patents

情報処理装置、情報処理方法、及びプログラム Download PDF

Info

Publication number
JP6298288B2
JP6298288B2 JP2013264506A JP2013264506A JP6298288B2 JP 6298288 B2 JP6298288 B2 JP 6298288B2 JP 2013264506 A JP2013264506 A JP 2013264506A JP 2013264506 A JP2013264506 A JP 2013264506A JP 6298288 B2 JP6298288 B2 JP 6298288B2
Authority
JP
Japan
Prior art keywords
user
password
information
authentication
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013264506A
Other languages
English (en)
Other versions
JP2015121886A (ja
Inventor
山田 哲也
哲也 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2013264506A priority Critical patent/JP6298288B2/ja
Priority to EP14003990.0A priority patent/EP2887247B1/en
Priority to US14/556,543 priority patent/US9892243B2/en
Priority to CN201410805563.8A priority patent/CN104734853B/zh
Publication of JP2015121886A publication Critical patent/JP2015121886A/ja
Application granted granted Critical
Publication of JP6298288B2 publication Critical patent/JP6298288B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • G06F21/608Secure printing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Description

本発明は、情報処理装置、情報処理方法、及びプログラムに関し、特に、ユーザーの認証に関する。
ネットワークに接続された情報処理装置間でユーザー認証を行う場合、ハッシュ関数で変換されたユーザーのパスワードを認証に利用することが多い。利用されるハッシュ関数は、MD4、MD5、SHA1などセキュリティ強度が異なるものが存在する。また、認証プロトコルにより利用されるハッシュ関数は異なる。例えば、NTLM認証ではMD4が利用され、SNMPv3ではSHA1が利用される。また、情報処理装置内でのパスワードの保存方法としては、ハッシュ化されたものを保存されていることも多い。特許文献1では、2つのハッシュプロトコルを統合する方法が提案されている。
しかし、利用可能なハッシュ関数が増えることを考慮すると、ハッシュ化せずに保存し、認証の度にハッシュ化するようにすれば、ユーザーデータベースの拡張は必要なく、ハッシュ関数の追加だけで済む。なお、ハッシュ化しないパスワードは通常、情報処理装置が管理する鍵を暗号化した上で保存される。
特開2011−199718号公報
複数の情報処理装置が存在する環境において、パスワード情報を含むユーザー情報を共通して利用する場合、ユーザー情報を同期しておく必要がある。このとき、ハッシュ化してパスワードを管理している情報処理装置を参照元として、ハッシュ化せずにパスワードを管理する情報処理装置にユーザー情報を移行する場合、ハッシュ関数は一方向関数であるため、ハッシュ化前の状態に戻すことができない(不可逆性)。その結果、パスワードの管理方式が異なる情報処理装置間では、ユーザー情報の同期ができない状況が生じうる。この場合には、ユーザーがそれぞれの情報処理装置にてパスワードを移行する必要があり、負荷がかかる。
上記課題を解決するために本願発明は以下の構成を有する。すなわち、ユーザー認証を行う情報処理装置であって、情報を記憶する記憶手段と、ユーザーの識別情報と、パスワードもしくは一方向関数により当該パスワードを変換することで得られる情報とを対応付けた情報を前記記憶手段にインポートするインポート手段と、ユーザーにより入力されたパスワードと一致するパスワードが当該ユーザーの識別情報と対応付けて前記記憶手段にて記憶されていなかった場合に、当該ユーザーから入力された識別情報およびパスワードと、前記記憶手段インポートされている、一方向関数により当該パスワードを変換することで得られる情報とを用いてユーザー認証を行う認証手段と、前記認証手段にて前記ユーザーのユーザー認証が成功した場合、当該ユーザーにより入力されたパスワードを、前記記憶手段にて記憶している当該ユーザーの識別情報に対応付けて前記記憶手段に記憶させる更新手段とを有する。
ユーザーの手間を最小限にして、パスワードの管理方式が異なる複数の情報処理装置間においてユーザー情報を同期することができる。
本発明に関連するシステム構成の例の図。 MFPのハードウェアの構成例を示すブロック図。 MFPのソフトウェアの構成例を示すブロック図。 ユーザー認証処理部が提供するユーザー認証のUIの例を示す図。 ユーザー情報編集部が提供するパスワード変更画面の例を示す図。 パスワードをハッシュ化し管理するユーザー情報管理テーブルの例を示す図。 パスワードをハッシュ化せずに管理するユーザー情報管理テーブルの例を示す図。 ハッシュ化したユーザー情報を、ハッシュ化せずに管理するユーザー情報管理テーブルにインポートした例を示す図。 ユーザー認証に成功した場合のユーザー情報管理テーブルの例を示す図。 第1の実施形態に係るフローチャート。 第2の実施形態に係るフローチャート。 第3の実施形態に係るフローチャート。 第4の実施形態に係るフローチャート。 第5の実施形態に係るフローチャート。 第4の実施形態に係るユーザー情報の例を示す図。 第4、第5の実施形態に係るデータの例を示す図。 第5の実施形態に係るデータの例を示す図。
以下、図面を参照して本発明の実施の形態を詳しく説明する。尚、以下の実施の形態は特許請求の範囲に係る発明を限定するものでなく、また実施の形態で説明されている特徴の組み合わせの全てが発明の解決手段に必須のものとは限らない。
<第1の実施形態>
本発明に係る第1の実施形態について説明する。
[システム構成]
図1は、本発明に係るシステム全体の構成例を示す図である。LAN100に後述する各構成物が接続されている。MFP101、102、103、および110は、複合機(Multi−Function Peripheral)であり、画像読取装置、印刷装置、通信装置を備える。また、各MFPは、コピー、プリント、スキャンした画像の送信などのアプリケーションを備える。さらに各MFPは、これらのアプリケーションの利用のユーザーごとの制限、ユーザーごとのカスタマイズなどを実現するために、MFPの利用前にユーザーの認証を行なわせる機能も有する。
PC150は、Webブラウザー(不図示)などがインストールされた一般的なPC(パーソナルコンピューター)であり、各MFPの管理に利用される。
[ハードウェア構成]
図2は、各MFPの構成を示すハードウェアブロック図である。ここでは、図1に示す各MFPは同じハードウェア構成を有するものとして説明するが、これに限定するものではない。CPU201を含む制御部200は、MFP全体の動作を制御する。CPU201は、ROM202に記憶された制御プログラムを読み出して読取や送信などの各種制御を行う。RAM203は、記憶部であり、CPU201の主メモリ、ワークエリア等の一時記憶領域として用いられる。
HDD204は、画像データや各種プログラムを記憶する。操作部I/F205は、操作部209と制御部200とを接続する。ネットワークI/F208は、制御部200(MFP)をLAN100に接続する。ネットワークI/F208は、LAN100上の外部装置との間で各種情報の送受信を行う。
プリンタI/F206は、プリンタ210と制御部200とを接続する。プリンタ210により印刷すべき画像データはプリンタI/F206を介して制御部200から転送され、プリンタ210において紙等の記録媒体上に印刷される。スキャナI/F207は、スキャナ211と制御部200とを接続する。スキャナ211は、原稿上の画像を読み取って画像データを生成し、スキャナI/F207を介して制御部200に入力する。
[ソフトウェア構成]
図3は、各MFPにおいて本発明に関連するソフトウェア構成について示したブロック図である。ここでは図1に示す各MFPは同じソフトウェア構成を有するものとして説明するが、これに限定するものではない。
ユーザー情報管理部301は、MFPを利用するユーザーの認証に必要な情報、MFPの各機能が認証されたユーザーごとの機能制限、カスタマイズなどに必要な情報を管理する。本発明に関連するポイントとして、上記の[背景技術]にて述べたようにMFPの種類ごとにパスワードの管理方法が異なる。図6は、ユーザー情報管理部301で管理するユーザー情報の一例である。user_id601にはユーザーを識別する識別情報(アカウント)、password(MD5)602にはMD5でハッシュ化したパスワード、そして、e−mail603にはユーザーの電子メールアドレスを格納している。図6のユーザー情報管理テーブルの例では、パスワードをMD5でハッシュ化した状態で関している。
一方、図7のユーザー情報管理テーブルの例では、パスワードをハッシュ化せずに管理している(password702)。つまり、図7の構成では、ユーザーの識別情報(ユーザー名)、ハッシュ化されていないパスワード、ハッシュ化されたパスワード、および電子メールアドレスが対応付けて管理されている。ユーザーがpassword702の値を参照した場合には、パスワードを認識することができる。また、図7に示す例では、ハッシュ関数としてMD4およびMD5を適用してハッシュ化したパスワードを管理できる構成としているが、これに限定するものではなく、他のハッシュ関数に対応できるようにしてもよい。
例えば大規模なオフィス環境では、オフィス環境に存在するMFPを一度にすべて購入することは少ない。その結果、購入時期が異なり、ユーザー情報の管理方法が異なるMFPが混在することが生じうる。本実施形態では、このような状況を想定して以下の説明を行う。
ユーザー認証処理部302では、MFPの利用手段、プロトコル毎に認証処理を行う。ローカルUI310では、操作部209からMFPを利用するユーザーに対して、認証のためのUI(図4)の提供し、入力された情報に基づいてユーザー情報管理部301で管理されているユーザー情報との照合による認証処理を行う。
リモートUI311は、PC150のようにLAN100を介して接続されたPCのWebブラウザーを用いてアクセスされた際に、認証ページの提供、および認証処理を行う。NTLM312、およびSNMPv3 313はそれぞれ、NTLM(NT LAN Manager)認証、およびSNMPv3(Simple Network Management Protocol version 3)のプロトコルを用いてアクセスされた場合の認証処理を行う。ユーザー情報編集部303は、ユーザーがユーザー情報管理部301で管理されている情報を編集するためのUIを提供する。図5はパスワードを変更するための変更画面としてのUIの例である。
エクスポート処理部304は、ユーザー情報管理部301で管理されているユーザー情報をMFPの外部にファイルとして抜き出す(エクスポートする)場合に必要なUIの提供、および処理を行う。エクスポートする際のファイルの形式は、CSV(Comma Separated Values)形式などが挙げられる。エクスポート処理において、ハッシュ化されていないパスワードに対しては、ハッシュ化する処理を行う。これは、エクスポートされたファイル自体は可読であったとしても、パスワードに関してはエクスポート処理を行う管理者であってもセキュリティ上知ってはならないデータであり、ハッシュ化により把握されないようにするためである。
インポート処理部305は、他デバイスからエクスポートされたユーザー情報ファイルを取り込み、ユーザー情報管理部301に対して適用する(インポートする)場合に必要なUIの提供、および処理を行う。
なお、本実施形態では、以下のような管理状態であるとして説明する。
MFP101、102、103:ハッシュ化せずにパスワードを管理(図7)
MFP110:MD5でハッシュ化してパスワードを管理(図6)
[インポートされたユーザー情報の処理]
図10は、MFP101のユーザー認証処理部302のローカルUI310でのユーザー認証処理をトリガーとして、インポートされたユーザー情報の処理を示すフローチャートである。本処理フローは、MFPのCPU201がHDD204等の記憶部に記憶されたプログラムを読み出して実行することにより実現する。また、本フローチャートを開始する前に、図7に示すようにユーザー管理がされているユーザー情報管理部301に対し、MFP110にて図6のように管理されていたユーザー情報がインポートされたものとして説明する。インポートの結果、インポートされたユーザーのパスワードは、ハッシュ化された状態で保存されている(図8のpassword(MD5)804)。
S1001にて、ユーザー認証処理部302は、認証情報を取得する。具体的には、ユーザーが操作部209からMFPを操作することで認証画面(図4)にて認証情報を入力し、ログインボタン404を押下することで、認証情報が取得される。S1002にて、ユーザー認証処理部302は、ユーザー名401に入力されたユーザー名と図8のテーブルのuser_id801の値が一致するレコードが存在するかテーブルから検索する。ユーザー名が一致するレコードが存在しない場合(S1002にてNO)、S1009にて、ユーザー認証処理部302は、認証失敗時の処理を行う。その後、本処理フローを終了する。
一方、ユーザー名が一致するレコードが存在する場合(S1002にてYES)、S1003にて、ユーザー認証処理部302は、パスワード402に入力されたパスワードとpassword802(ハッシュ化していないパスワード)が一致するレコードが存在するかテーブルから検索する。パスワードが一致するレコードが存在する場合(S1003にてYES)、S1004にて、ユーザー認証処理部302は、認証成功の処理を行う。認証成功の処理は、例えば、ユーザーに対しMFPを利用可能とする処理が該当する。パスワードが一致する場合とは、図8に示す例では、ユーザー名401およびパスワード402においてそれぞれ、“hasebe”と“haseb”とが入力された際に、レコードのuser_id801とpassword802の組と一致して、認証成功となる。
パスワードが一致するレコードが存在しない場合(S1003にてNO)、S1005にて、ユーザー認証処理部302は、入力されたパスワードをMD5でハッシュ化する。なお、ここでは、MFP110にて用いられている方式がMD5であるため、MD5を採用している。従って、他のハッシュ関数(一方向関数)を適用して変換されたパスワードを含むエクスポートファイルをインポートしている場合には、その関数に合せて処理を行うこととなる。S1006にて、ユーザー認証処理部302は、S1005にてハッシュ化したパスワードと、password(MD5)804が一致するレコードが存在するか否かを検索する。一致するレコードが存在しない場合(S1006にてNO)、S1009にて、ユーザー認証処理部302は、認証失敗時の処理を行う。その後、本処理フローを終了する。
一致するレコードが存在する場合、つまりユーザー認証が成功した場合(S1006にてYES)、S1007にて、ユーザー認証処理部302は、ハッシュ化前のパスワードを検出したレコードのpassword802の値として書き込む。そして、S1008にて、ユーザー認証処理部302は、検出したレコードのpassword(MD5)804に書き込まれている情報(ハッシュ化されたパスワード)を削除する。ユーザー情報管理部301の更新が終了した後、S1004にて、ユーザー認証処理部302は、認証成功の処理を行う。そして、本処理フローを終了する。
以上により、管理しているパスワードに対する管理方法が異なる複数の情報処理装置間のユーザー情報を同期することができる。
<第2の実施形態>
本発明に係る第2の実施形態について説明する。第2の実施形態は、ネットワークに接続されたPCのWebブラウザーからMFPのWebアプリケーションにアクセスされる際のユーザー認証をトリガーとして、インポートされたユーザー情報に対する処理を行う。
図11は、本実施形態に係るPC150のWebブラウザー(不図示)とMFP101上で行われるフローを示す。本処理フローは、PCおよびMFPそれぞれのCPUが、記憶部に格納されたプログラムを読み出して実行することにより実現される。
S1101にて、MFP101のユーザー認証処理部302のリモートUI311は、ユーザー認証のためのWebページをPC150に送信する。ここで用いられるユーザー認証ページの内容は、第1の実施形態で操作部209上に表示される画面(図4)と同様の内容となる。S1102にて、PC150のWebブラウザーは、受信したユーザー認証ページを表示する。その後、S1103にて、Webブラウザーは、ユーザーの認証情報の入力を受け付ける。
S1104にて、Webブラウザーは、ユーザーから入力されたパスワードをハッシュ化する。ここでのハッシュ化における方式は例えば、MD5が用いられる。S1105にて、Webブラウザーは、ハッシュ化したパスワードおよびユーザー名を用いてMFP101に対して認証要求を行う。
MFP101のユーザー認証処理部302のリモートUI311は、PC150のWebブラウザーからの認証要求に基づき、認証処理を行う。なお、認証処理におけるパスワードのハッシュ化がPC150側で行なわれ、ハッシュ化された状態でMFP101に送信することを示したが、実際は、CRAM−MD5などのプロトコルで双方向の通信が行なわれて認証が実現されることとなる。
S1107にて、ユーザー認証処理部302のリモートUI311は、認証処理が成功したか否かを判定する。認証処理が失敗した場合(S1107にてNO)、S1108にて、ユーザー認証処理部302のリモートUI311は、認証失敗の旨のページを送信するなどの認証失敗処理を行う。そして、本処理フローを終了する。
一方、認証処理が成功した場合(S1107にてYES)、S1109にて、ユーザー認証処理部302のリモートUI311は、パスワード設定ページ(図5)をPC150に送信する。
S1110にて、PC150のWebブラウザーは、MFP101から受信したパスワード設定ページ(図5)を表示する。その後、S1111にて、Webブラウザーは、ユーザーからパスワードの入力を受け付ける。ここでユーザーが入力するデータは、認証時(S1103)に入力したものと同じでも良いし、(パスワード変更目的の)新しいパスワードでも良い。S1112にて、Webブラウザーは、暗号化通信(例えば、SSL(Secure Sockets Layer)通信)でユーザーにより入力されたパスワードをMFP101に送信する。ここでは、経路が暗号化されているので、パスワードはハッシュ化されない状態で送信される。
S1113にて、ユーザー認証処理部302のリモートUI311は、PC150から受信したハッシュ化されていないパスワードを、ユーザー情報管理部301の認証が成功したユーザーのレコードのpassword802の値として書き込む。S1114にて、ユーザー認証処理部302のリモートUI311は、該レコードのpassword(MD5)804に書き込まれている情報(すわち、ハッシュ化されたパスワード)を削除する。テーブルにおけるパスワードの更新が終了した後、S1115にて、ユーザー認証処理部302のリモートUI311は、認証成功時の処理を行う。その後、本処理フローを終了する。
以上により、PCからの入力に起因する場合でも、第1の実施形態と同様の効果を得ることができる。
<第3の実施形態>
本発明に係る第3の実施形態について説明する。第3の実施形態では、インポート後にハッシュ化されたパスワードのままで管理されているユーザー情報を更新するトリガーがユーザー情報の存在するMFPではなく、ネットワークに接続された他のMFPとなる。
図12は、第1の実施形態で説明したようにMFP101の操作部209上の認証をトリガーにユーザー情報管理部301を更新した処理に続き、MFP102のユーザー情報管理部301を更新するフローチャートである。つまり、図10におけるS1007とS1008の処理の間に実行される処理である。
S1007にて、MFP101のユーザー情報管理部301は、あるユーザーのレコードのパスワードを更新する。その後、S1201にて、MFP101のユーザー情報管理部301は、同様にパスワードを更新すべきMFPをデバイス管理部320から取得する。パスワードを更新すべきMFPは、静的にデータベースとして管理してもいいし、動的にネットワーク上のMFPを探索する方法でもよい。ここでは同期対象のMFPをMFP102として説明する。ここでは、ユーザー情報管理部301は、パスワードを更新すべきとしたMFP102にパスワード変更要求を送信するものとする。なお、MFP101とMFP102の間では、Webサービスのプロトコルを利用する。S1202にて、MFP101のユーザー情報管理部301は、どのハッシュのタイプが認証情報として必要かなどの認証タイプの問い合わせをMFP102に対して行う。これに応答して、S1203にて、MFP102のユーザー認証処理部302は、認証タイプをMFP101へ返信する。
S1204にて、MFP101のユーザー情報管理部301は、返信された認証タイプに則りMFP102に対して認証要求する。S1205にて、MFP102のユーザー認証処理部302は、認証処理を行う。その結果、認証が失敗した場合(S1205にてNO)、S1210にて、MFP102のユーザー認証処理部302は、MFP101に対して処理終了通知を行う。一方、認証に成功した場合(S1205にてYES)、S1206にて、MFP102のユーザー認証処理部302は、MFP101へ認証成功の旨を通知する。
認証成功通知を受けた後、S1207にてMFP101のユーザー情報管理部301は、経路を暗号化し(例えば、SSL通信)、ハッシュ化していないパスワードをMFP102に送信する。
ハッシュ化していないパスワードを受信した後、S1208にて、MFP102のユーザー情報管理部301は、変更対象のユーザーのパスワードが既にハッシュ化されずに管理されているか確認する。管理済みの場合は(S1208にてYES)、パスワード変更処理は必要ないため、S1210にて、MFP101に対して処理終了通知を行う。管理済みでない場合は(S1208にてNO)、S1209にて、MFP102のユーザー情報管理部301は、該当するユーザーのレコードのpassword802の値として、受信したパスワードを書き込む。更に、MFP102のユーザー情報管理部301は、password(MD5)804の情報(すなわち、ハッシュ化されたパスワード)を削除する。そして、S1210にて、MFP102のユーザー情報管理部301は、MFP101に対して処理終了通知を行う。
MFP101のユーザー情報管理部301は、MFP102から処理終了通知を受信すると、S1008にて該レコードのpassword(MD5)804に書き込まれている情報(すなわち、ハッシュ化されたパスワード)を削除する。
以上により、あるMFPにてパスワードが更新されたことを起因として、他のMFPでもパスワードの同期が可能となる。
<第4の実施形態>
本発明に係る第4の実施形態について説明する。第4の実施形態では、ユーザー情報のエクスポートの処理を行う際に、エクスポート行うユーザーの認証情報に基づいてユーザー情報中の該ユーザーのパスワードに対する処理を行う。
図13は、PC150からMFP101にアクセスし、ユーザー情報をエクスポートする場合における処理のフローを示したフローチャートである。本処理フローは、PC150およびMFP101それぞれのCPUが記憶部に記憶されたプログラムを読み出し、実行することで実現される。
S1301にて、PC150は、MFP101に対しユーザー情報のエクスポートの要求を行う。S1302にて、MFP101は、PC150に対し、認証要求を行う。S1303にて、PC150は、認証画面(図4)を介してユーザーからユーザー名およびパスワードを受け付ける。そして、PC150は、通信経路を暗号化し(例えばSSL通信)、受け付けたパスワードをハッシュ化せずに、ユーザー名と共にMFP101へ送信する。
S1304にて、MFP101は、受信したユーザー名およびハッシュ化していないパスワードを用いて認証処理を行う。S1305にて、MFP101のエクスポート処理部304は、ユーザー情報管理部301からエクスポートデータを作成する。その際に、ハッシュ化していないパスワードが存在する場合、エクスポート処理部304は、そのパスワードに対しハッシュ化処理を行う。ここで、認証に利用したユーザー名(user_id)で特定されるレコードのパスワードはハッシュ化しない。例えば、ユーザー情報管理部301で図15のようにすべてのユーザーがハッシュ化しないパスワードで管理されている例を用いて説明する。この場合において、“endo”というユーザー名でエクスポート処理する際には、エクスポートデータは図16に示すように“endo”以外のパスワードがハッシュ化される。
S1306にて、MFP101は、作成したエクスポートデータをPC150に送信する。S1307にて、PC150は、MFP101がエクスポートしたエクスポートデータを受信する。そして、本処理フローを終了する。
<第5の実施形態>
本発明に係る第5の実施形態について説明する。第5の実施形態では、ユーザー情報のインポートの処理を行う際にインポート行うユーザーの認証情報に基づいてユーザー情報中の該ユーザーのパスワードに対する処理をPC上で行う。
図14は、PC150からMFP101にアクセスし、ユーザー情報をインポートする場合における処理のフローを示したフローチャートである。本処理フローは、PC150およびMFP101それぞれのCPUが記憶部に記憶されたプログラムを読み出し、実行することで実現される。
S1401にて、PC150は、ユーザー情報のインポート要求をMFP101に対して行う。S1402にて、MFP101は、PC150から受信したインポート要求に応答して、PC150に認証要求を送信する。S1403にて、PC150は、認証画面(図4)を介してユーザーからユーザー名およびパスワードを受け付ける。そして、PC150は、通信経路を暗号化し(例えばSSL通信)、受け付けたパスワードをハッシュ化せずに、ユーザー名と共にMFP101へ送信する。
S1404にて、MFP101は、受け付けたパスワードとユーザー名とを用いて認証を行う。認証が成功した場合(S1404にてYES)、S1405にて、MFP101は、PC150に対し認証成功通知を行う。
認証成功通知を受けた後、PC150は、S1406にて、認証に利用したユーザーのユーザー名(user_id)に対応するレコードのパスワードを、S1403にてユーザーの入力で取得したハッシュ化されていないパスワードで更新する。例えば、S1401の時点のインポートデータでは図17のように全てのユーザーのパスワードがハッシュ化された状態になっている。この状態において、“endo”というユーザーでインポート処理をする場合、図16のように”endo”のパスワードをハッシュ化しない状態に更新される。
S1407にて、PC150は、更新したインポートデータをMFP101に送信する。そして、S1408にて、MFP101は、受信したインポートデータを用いてインポート処理および終了処理を行う。
<その他の実施形態>
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。

Claims (13)

  1. ユーザー認証を行う情報処理装置であって、
    情報を記憶する記憶手段と、
    ユーザーの識別情報と、パスワードもしくは一方向関数により当該パスワードを変換することで得られる情報とを対応付けた情報を前記記憶手段にインポートするインポート手段と、
    ユーザーにより入力されたパスワードと一致するパスワードが当該ユーザーの識別情報と対応付けて前記記憶手段にて記憶されていなかった場合に、当該ユーザーから入力された識別情報およびパスワードと、前記記憶手段インポートされている、一方向関数により当該パスワードを変換することで得られる情報とを用いてユーザー認証を行う認証手段と、
    前記認証手段にて前記ユーザーのユーザー認証が成功した場合、当該ユーザーにより入力されたパスワードを、前記記憶手段にて記憶している当該ユーザーの識別情報に対応付けて前記記憶手段に記憶させる更新手段と
    を有することを特徴とする情報処理装置。
  2. 前記認証手段は、前記ユーザーにより入力されたパスワードをそのまま用いて前記記憶手段に記憶された情報に照合することでユーザー認証を行い、当該ユーザー認証が失敗した場合に、前記ユーザーにより入力されたパスワードを前記一方向関数により変換することで得られる情報を用いて認証を行う、ことを特徴とする請求項1に記載の情報処理装置。
  3. 他の情報処理装置に対して、識別情報およびパスワードの入力を行うための画面を提供する提供手段を更に有し、
    前記認証手段は、前記提供手段が提供する画面を介して前記他の情報処理装置から識別情報およびパスワードの入力を受け付けることを特徴とする請求項1または2に記載の情報処理装置。
  4. 前記提供手段は更に、前記他の情報処理装置に対して、前記記憶手段に記憶されたパスワードを変更するための画面を提供することを特徴とする請求項3に記載の情報処理装置。
  5. 前記他の情報処理装置が前記提供手段にて提供される画面を介して入力されたパスワードを送信する場合、当該他の情報処理装置は、当該入力されたパスワードを暗号化通信により送信する、もしくは、当該入力されたパスワードを前記一方向関数により変換することで得られる情報を送信する、ことを特徴とする請求項3または4に記載の情報処理装置。
  6. 前記他の情報処理装置が前記提供手段にて提供される画面を介して入力されたパスワードを送信する場合、当該他の情報処理装置は、当該入力されたパスワードを前記一方向関数により変換することで得られる情報を送信し、当該情報を用いた前記認証手段によるユーザー認証が成功した場合に、当該入力されたパスワードを暗号化通信により送信することを特徴とする請求項5に記載の情報処理装置。
  7. 前記更新手段によりパスワードが更新されたことに起因して、前記記憶手段に記憶している情報の同期を行う装置を特定する特定手段と、
    前記特定手段にて特定された装置に対し、前記記憶手段に記憶している、前記一方向関数にて変換されていないパスワードを暗号化通信により送信する送信手段と
    を更に有することを特徴とする請求項1乃至6のいずれか一項に記載の情報処理装置。
  8. 前記記憶手段に記憶している情報をエクスポートするエクスポート手段を更に有し、
    前記エクスポート手段は、前記エクスポートを行う際に前記認証手段によるユーザー認証を行い、前記記憶手段に記憶している情報のうち、当該ユーザー認証にて認証されたユーザーについては前記一方向関数にて変換されていないパスワードをエクスポートし、認証されていないユーザーについては前記一方向関数によりパスワードを変換することで得られる情報をエクスポートすることを特徴とする請求項1乃至7のいずれか一項に記載の情報処理装置。
  9. 前記インポート手段は、他の装置にてエクスポートされる情報のインポートを行う際に前記認証手段によるユーザー認証を行い、
    当該他の装置は、当該ユーザー認証にて認証されたユーザーについては前記一方向関数にて変換されていないパスワードをエクスポートし、認証されていないユーザーについては前記一方向関数によりパスワードを変換することにより得られる情報をエクスポートすることを特徴とする請求項1乃至8のいずれか一項に記載の情報処理装置。
  10. 前記一方向関数は、複数の種類のハッシュ関数を含むことを特徴とする請求項1乃至9のいずれか一項に記載の情報処理装置。
  11. 前記記憶手段は、1つのハードディスクまたは1つのRAMであることを特徴とする請求項1乃至10のいずれか一項に記載の情報処理装置。
  12. ユーザー認証を行う情報処理装置における情報処理方法であって、
    ユーザーの識別情報と、パスワードもしくは一方向関数により当該パスワードを変換することで得られる情報とを対応付けた情報を記憶手段にインポートするインポート工程と、
    ユーザーにより入力されたパスワードと一致するパスワードが当該ユーザーの識別情報と対応付けて前記記憶手段にて記憶されていなかった場合に、当該ユーザーから入力された識別情報およびパスワードと、前記記憶手段インポートされている、一方向関数により当該パスワードを変換することで得られる情報とを用いてユーザー認証を行う認証工程と、
    前記認証工程にて前記ユーザーのユーザー認証が成功した場合、当該ユーザーにより入力されたパスワードを、前記記憶手段にて記憶している当該ユーザーの識別情報に対応付けて前記記憶手段に記憶させる更新工程と
    を有することを特徴とする情報処理方法。
  13. コンピュータを、
    ユーザーの識別情報と、パスワードもしくは一方向関数により当該パスワードを変換することで得られる情報とを対応付けた情報を記憶手段にインポートするインポート手段、
    ユーザーにより入力されたパスワードと一致するパスワードが当該ユーザーの識別情報と対応付けて前記記憶手段にて記憶されていなかった場合に、当該ユーザーから入力された識別情報およびパスワードと、前記記憶手段インポートされている、一方向関数により当該パスワードを変換することで得られる情報とを用いてユーザー認証を行う認証手段、
    前記認証手段にて前記ユーザーのユーザー認証が成功した場合、当該ユーザーにより入力されたパスワードを、前記記憶手段にて記憶している当該ユーザーの識別情報に対応付けて前記記憶手段に記憶させる更新手段
    として機能させるためのプログラム。
JP2013264506A 2013-12-20 2013-12-20 情報処理装置、情報処理方法、及びプログラム Active JP6298288B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2013264506A JP6298288B2 (ja) 2013-12-20 2013-12-20 情報処理装置、情報処理方法、及びプログラム
EP14003990.0A EP2887247B1 (en) 2013-12-20 2014-11-26 Information processing apparatus, information processing method and program
US14/556,543 US9892243B2 (en) 2013-12-20 2014-12-01 Information processing apparatus, information processing method and non-transitory computer readable medium
CN201410805563.8A CN104734853B (zh) 2013-12-20 2014-12-19 信息处理装置及信息处理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013264506A JP6298288B2 (ja) 2013-12-20 2013-12-20 情報処理装置、情報処理方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP2015121886A JP2015121886A (ja) 2015-07-02
JP6298288B2 true JP6298288B2 (ja) 2018-03-20

Family

ID=52002646

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013264506A Active JP6298288B2 (ja) 2013-12-20 2013-12-20 情報処理装置、情報処理方法、及びプログラム

Country Status (4)

Country Link
US (1) US9892243B2 (ja)
EP (1) EP2887247B1 (ja)
JP (1) JP6298288B2 (ja)
CN (1) CN104734853B (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3073365A1 (en) * 2015-03-24 2016-09-28 Ricoh Company, Ltd. Networked image forming apparatus, networked image forming system and method of image forming
JP6942541B2 (ja) 2017-07-03 2021-09-29 キヤノン株式会社 画像形成装置とその制御方法、及びプログラム
CN110944006A (zh) * 2019-12-10 2020-03-31 浙江清华长三角研究院 一种提供匿名保护的密码黑名单查询方法及其应用

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5719941A (en) * 1996-01-12 1998-02-17 Microsoft Corporation Method for changing passwords on a remote computer
AU749130B2 (en) * 1997-05-13 2002-06-20 Oracle International Corporation Generalized user identification and authentication system
JP2000194630A (ja) * 1998-12-28 2000-07-14 Fujitsu Ltd 複数システムの情報管理装置および記録媒体
JP4660900B2 (ja) * 2000-08-31 2011-03-30 ソニー株式会社 個人認証適用データ処理システム、個人認証適用データ処理方法、および情報処理装置、並びにプログラム提供媒体
JP2006203808A (ja) 2005-01-24 2006-08-03 Canon Inc 画像処理装置、情報処理装置、情報処理システム、情報処理方法、ならびにプログラム、記憶媒体
JP4305481B2 (ja) * 2006-08-29 2009-07-29 ブラザー工業株式会社 通信システムと管理装置と情報処理装置
CA2561077A1 (en) * 2006-09-26 2008-03-26 Ibm Canada Limited - Ibm Canada Limitee System and method for secure verification of electronic transactions
US8094812B1 (en) * 2007-09-28 2012-01-10 Juniper Networks, Inc. Updating stored passwords
JP5153284B2 (ja) * 2007-10-05 2013-02-27 キヤノン株式会社 情報処理装置、認証方法、及びコンピュータプログラム
US8365245B2 (en) * 2008-02-19 2013-01-29 International Business Machines Corporation Previous password based authentication
JP5274183B2 (ja) * 2008-05-20 2013-08-28 キヤノン株式会社 画像処理装置、画像処理方法およびそのプログラムならびに記憶媒体
JP2011199718A (ja) * 2010-03-23 2011-10-06 Seiko Epson Corp ユーザー認証方法
JP5761934B2 (ja) 2010-06-30 2015-08-12 キヤノン株式会社 情報処理装置、情報処理装置の制御方法及びプログラム
JP5728240B2 (ja) * 2011-02-08 2015-06-03 キヤノン株式会社 情報処理装置、その制御方法、及びプログラム
JP2013196278A (ja) * 2012-03-19 2013-09-30 Yokogawa Electric Corp ユーザ情報管理システム
US9282093B2 (en) * 2013-04-30 2016-03-08 Microsoft Technology Licensing, Llc Synchronizing credential hashes between directory services
US9059989B2 (en) * 2013-07-18 2015-06-16 Vmware, Inc. Hash synchronization for preventing unauthorized server access using stolen passwords
US9246676B2 (en) * 2013-11-22 2016-01-26 Cisco Technology, Inc. Secure access for encrypted data

Also Published As

Publication number Publication date
EP2887247B1 (en) 2018-10-03
US9892243B2 (en) 2018-02-13
JP2015121886A (ja) 2015-07-02
EP2887247A1 (en) 2015-06-24
US20150178485A1 (en) 2015-06-25
CN104734853A (zh) 2015-06-24
CN104734853B (zh) 2018-08-31

Similar Documents

Publication Publication Date Title
RU2607279C2 (ru) Устройство обработки информации и способ управления устройством обработки информации
US9348994B2 (en) Information processor and system that associate job and user information based on job identifier
JP2013242848A (ja) 情報処理システム、情報処理装置、プログラム及びデータ変換方法
JP2006344212A (ja) 電子文書のセキュアな印刷
JP2006341600A (ja) 電子文書のセキュアな印刷
JP6041622B2 (ja) 印刷文書管理システム、印刷文書管理方法、及びコンピュータプログラム
KR102294038B1 (ko) 클라우드 서비스를 이용하는 화상 형성 장치, 이를 위한 화상 통신 방법, 및 프로그램 저장 매체
US9635214B2 (en) Image processing system for setting filename to received image data, image processing method therefor, and storage medium
CN101377786A (zh) 成像设备、成像系统及其文件管理方法
JP6298288B2 (ja) 情報処理装置、情報処理方法、及びプログラム
JP2015014954A (ja) データ処理装置、同期システム、及びデータ処理プログラム
JP2015101012A (ja) 画像形成装置及びその制御方法、並びにプログラム
JP7022519B2 (ja) 携帯端末とその制御方法、及び記憶媒体
JP2017219965A (ja) 情報処理装置、情報処理装置の制御方法、及びプログラム
JP6161278B2 (ja) 画像処理システム、管理装置、画像処理装置、画像処理方法およびコンピュータプログラム
JP2007293509A (ja) 情報処理装置及び出力ステータス管理方法
JP2005352901A (ja) 情報処理装置及び出力ステータス管理方法
JP4407320B2 (ja) 電子ファイル送信装置、電子ファイル送信方法および電子ファイル送信プログラム
JP7143782B2 (ja) 情報処理装置、データ移行システム、データ移行方法、プログラム
JP5675873B2 (ja) 情報処理装置、その制御方法およびコンピュータプログラム
CN103428393B (zh) 图像处理设备和图像处理设备的控制方法
JP6253246B2 (ja) 画像処理システム、画像処理方法、及びプログラム
US20220407982A1 (en) Information processing apparatus, control method thereof, and storage medium
JP5656481B2 (ja) システム、画像形成装置、その制御方法及びプログラム
JP4998383B2 (ja) ドキュメント管理システムおよびドキュメント管理方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161219

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171030

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171117

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180111

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180126

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180223

R151 Written notification of patent or utility model registration

Ref document number: 6298288

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151