JP6380009B2 - 情報処理システム、認証方法、および情報処理装置 - Google Patents

情報処理システム、認証方法、および情報処理装置 Download PDF

Info

Publication number
JP6380009B2
JP6380009B2 JP2014223357A JP2014223357A JP6380009B2 JP 6380009 B2 JP6380009 B2 JP 6380009B2 JP 2014223357 A JP2014223357 A JP 2014223357A JP 2014223357 A JP2014223357 A JP 2014223357A JP 6380009 B2 JP6380009 B2 JP 6380009B2
Authority
JP
Japan
Prior art keywords
information processing
service
device authentication
authentication
ticket
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014223357A
Other languages
English (en)
Other versions
JP2016091210A (ja
Inventor
康治 福田
康治 福田
正登 中島
正登 中島
博基 大▲崎▼
博基 大▲崎▼
誉起 樫山
誉起 樫山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2014223357A priority Critical patent/JP6380009B2/ja
Priority to US14/919,891 priority patent/US9985961B2/en
Publication of JP2016091210A publication Critical patent/JP2016091210A/ja
Application granted granted Critical
Publication of JP6380009B2 publication Critical patent/JP6380009B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Facsimiles In General (AREA)

Description

本願は、情報処理システム、及び認証方法に関する。
近年、ユーザが必要な時に必要な機能だけを利用するといったサービス提供形態が増加している。例えば、ユーザが欲しい機能だけを自由に選んでサービスを利用するソフトウェア利用形態であるSaaS(Software as a Service)や、インターネット上のコンピューティング・リソースの組合せ、エンドユーザに対して付加価値の高いサービスを提供するクラウドコンピューティング等である。
上述したサービスを利用するため、クライアントが、サーバ側でクライアントのデバイスIDを用いて生成した認証トークンを使用し、認証処理を行う方法が知られている(例えば、特許文献1参照)。
しかしながら、上述した特許文献1の手法では、単にクライアントのデバイスIDを用いて認証トークンを生成しているだけである。したがって、クライアントのデバイスIDの情報が漏洩した場合には、上述したサービスを利用しようとする他のクライアントからのアクセスを制限することができなくなる。
一つの側面では、本発明は、セキュリティ強度を高めることを目的とする。
一態様において、サービス利用装置と、前記サービス利用装置にサービスを提供する1以上の情報処理装置とを含む情報処理システムであって、前記情報処理装置により、一時コードを発行する一時コード発行手段と、前記サービス利用装置により、前記情報処理装置から得られた一時コードを用いて機器認証トークンを生成する機器認証トークン生成手段と、前記情報処理装置により、前記サービス利用装置から得られた機器認証トークンの正当性を前記一時コードを用いて検証し、検証結果に応じて機器認証チケットを発行する機器認証チケット発行手段と、前記サービス利用装置により、前記情報処理装置から得られた機器認証チケットを用いて、前記情報処理装置のリソースにアクセスするアクセス手段と、前記情報処理装置により、前記機器認証チケットの発行と合わせて機器認証パスワードを発行する機器認証パスワード発行手段とを有し、前記機器認証チケット発行手段は、次回以降、前記サービス利用装置から得られた機器認証パスワードの正当性を検証し、検証結果に応じて前記機器認証チケットを発行する
セキュリティ強度を高めることが可能となる。
本実施形態に係る情報処理システムの一例の構成図である。 本実施形態に係るコンピュータの一例のハードウェア構成図である。 本実施形態に係る画像形成装置の一例のハードウェア構成図である。 本実施形態に係るサービス提供システムの一例の構成図である。 サービスプラットフォーム提供システムの一例の処理ブロック図である。 本実施形態に係る画像形成装置の一例の処理ブロック図である。 機器認証トークンを用いた機器認証シーケンスの一例を示す図である。 機器認証パスワードを用いた機器認証シーケンスの一例を示す図である。 機器認証チケットを保持している場合の機器認証シーケンスの一例を示す図である。 機器認証とテナント認証を組み合わせたシーケンスの一例を示す図である。 機器認証が必要か否かが通知されるシーケンスの一例を示す図である。 各種テーブルの構造例を示す図である。
以下、実施の形態について詳細に説明する。
<システム構成>
図1は、本実施形態に係る情報処理システムの一例の構成図である。図1に示す情報処理システム1は、ユーザシステム10、アプリマーケット提供システム20、サービス提供システム30、サービスプラットフォーム提供システム40、及び業務プラットフォーム提供システム50を有する。
ユーザシステム10、アプリマーケット提供システム20、サービス提供システム30、及びサービスプラットフォーム提供システム40は、インターネット等のネットワークN1を介して接続されている。また、サービスプラットフォーム提供システム40、及び業務プラットフォーム提供システム50は、専用回線等で接続されている。
ユーザシステム10のネットワークN2は、ファイアウォールFWの内側にあるプライベートなネットワークである。ファイアウォールFWは、不正なアクセスを検出及び遮断する。ネットワークN2には、ユーザ端末11、複合機等の画像形成装置12が接続されている。なお、画像形成装置12は、ユーザがサービスを試用又は利用する電子機器の一例である。
ユーザ端末11は、一般的なOS(Operating System)等が搭載された情報処理装置によって実現することが可能である。ユーザ端末11は、無線による通信の手段又は有線による通信の手段を有する。ユーザ端末11は、スマートフォンや携帯電話、タブレット端末、PC(Personal Computer)等のユーザが操作可能な端末である。
画像形成装置12は、複合機等の画像形成機能を有する装置である。画像形成装置12は、無線による通信の手段又は有線による通信の手段を有する。画像形成装置12は、例えばブラウザが搭載された複合機、コピー機、スキャナ、プリンタ、レーザプリンタ、プロジェクタ、電子黒板等、画像形成に係る処理を行う装置である。図1の例では、一例としてユーザ端末11、画像形成装置12がそれぞれ一台である例を示しているが複数台であっても良い。
また、アプリマーケット提供システム20のアプリマーケット提供サーバ21は、ファイアウォールFWを介してネットワークN1に接続される。アプリマーケット提供サーバ21は、一般的なOS等が搭載された一台以上の情報処理装置によって実現することが可能である。
アプリマーケット提供システム20は、販売地域や販売会社等ごとに設けても良い。アプリマーケット提供サーバ21は、例えばサービス一覧画面や申し込み画面等のアプリマーケット画面をユーザ端末11や画像形成装置12に提供する。
サービス提供システム30は、ファイアウォールFWを介してネットワークN1に接続されている。サービス提供システム30は、ユーザ端末11や画像形成装置12に各種サービスを提供する。サービス提供システム30は、一般的なOS等が搭載された一台以上の情報処理装置によって実現することが可能である。
サービス提供システム30が提供するサービスは、サービスプラットフォーム提供システム40の運営者が提供するサービスの他、外部のサービスプロバイダ等が提供するサービスであっても良い。
サービスプラットフォーム提供システム40は、ファイアウォールFWを介してネットワークN1に接続されている。サービスプラットフォーム提供システム40は、一般的なOS等が搭載された一台以上の情報処理装置によって実現することが可能である。
サービスプラットフォーム提供システム40は、例えば認証・認可、テナント・ユーザ管理、ライセンス管理、アカウント登録等の機能を有している。サービスプラットフォーム提供システム40は、ユーザ端末11、画像形成装置12からのアカウント登録やログインの要求を受け付ける。また、サービスプラットフォーム提供システム40は、サービス提供システム30からの認証チケットの確認要求やユーザ情報の取得要求を受け付ける。
業務プラットフォーム提供システム50のネットワークN3は、ファイアウォールFWの内側にあるプライベートなネットワークである。ネットワークN3には、業務端末51、ライセンス管理サーバ52が接続されている。業務端末51及びライセンス管理サーバ52は、一般的なOS等が搭載された一台以上の情報処理装置によって実現することが可能である。
業務端末51は、無線による通信の手段又は有線による通信の手段を有する。業務端末51は、スマートフォンや携帯電話、タブレット端末、PC等の業務担当が操作可能な端末である。業務担当は、業務端末51からライセンス管理サーバ52にライセンス発行を要求することが可能である。
ライセンス管理サーバ52は、ライセンス管理等の機能を有している。ライセンス管理サーバ52は、サービスプラットフォーム提供システム40や業務端末51から、ライセンス発行等の要求を受け付ける。図1に示す情報処理システム1の構成は、一例であって他の構成であっても良い。
<コンピュータのハードウェア構成>
図1に示すユーザ端末11、アプリマーケット提供サーバ21、業務端末51、及びライセンス管理サーバ52は、例えば図2に示すようなハードウェア構成のコンピュータにより実現される。また、図1に示すサービス提供システム30、及びサービスプラットフォーム提供システム40を実現する情報処理装置は、例えば図2に示すハードウェア構成のコンピュータにより実現される。図2は、本実施形態に係るコンピュータの一例のハードウェア構成図である。
図2に示すコンピュータ500は、入力装置501、表示装置502、外部I/F503、RAM(Random Access Memory)504、ROM(Read Only Memory)505、CPU(Central Processing Unit)506、通信I/F507、及びHDD(Hard Disk Drive)508等を備え、それぞれがバスBで相互に接続されている。なお、入力装置501及び表示装置502は、必要なときに接続して利用する形態であっても良い。
入力装置501は、キーボードやマウス等を含み、ユーザが各操作信号を入力するのに用いられる。表示装置502は、ディスプレイ等を含み、コンピュータ500による処理結果を表示する。
外部I/F503は、外部装置とのインタフェースである。外部装置には、記録媒体503a等がある。これにより、コンピュータ500は、外部I/F503を介して記録媒体503aの読み取り及び/又は書き込みを行うことが可能である。記録媒体503aには、フレキシブルディスク、CD(Compact Disk)、DVD(Digital Versatile Disk)、SDメモリカード(SD Memory card)、USBメモリ(Universal Serial Bus memory)等がある。
RAM504は、プログラムやデータを一時保持する揮発性の半導体メモリ(記憶装置)である。ROM505は、電源を切ってもプログラムやデータを保持することが可能な不揮発性の半導体メモリ(記憶装置)である。ROM505には、コンピュータ500の起動時に実行されるBIOS(Basic Input/Output System)、OS設定、及びネットワーク設定等のプログラムやデータが格納されている。
CPU506は、ROM505やHDD508等の記憶装置からプログラムやデータをRAM504上に読み出し、処理を実行することで、コンピュータ500全体の制御や機能を実現する演算装置である。
通信I/F507は、コンピュータ500をネットワークN1、N2及びN3に接続するインタフェースである。これにより、コンピュータ500は、通信I/F507を介してデータ通信を行うことが可能である。
HDD508は、プログラムやデータを格納している不揮発性の記憶装置である。格納されるプログラムやデータは、例えばコンピュータ500全体を制御する基本ソフトウェアであるOSや、OS上において各種機能を提供するアプリケーションソフトウェア等である。なお、コンピュータ500は、HDD55の代わりにSSD(Solid State Drive)が設けられても良い。
本実施形態に係るユーザ端末11、アプリマーケット提供サーバ21、業務端末51、及びライセンス管理サーバ52は、コンピュータ500のハードウェア構成により後述する各種処理を実現することが可能である。また、本実施形態に係るサービス提供システム30、及びサービスプラットフォーム提供システム40を実現する情報処理装置は、コンピュータ500のハードウェア構成により後述する各種処理を実現することが可能である。
<画像形成装置のハードウェア構成>
図1に示す画像形成装置12は、例えば図3に示すようなハードウェア構成のコンピュータにより実現される。図3は、本実施形態に係る画像形成装置の一例のハードウェア構成図である。図3に示した画像形成装置12は、コントローラ601、操作パネル602、外部I/F603、通信I/F604、プリンタ605、及びスキャナ606等を備える。
コントローラ601は、CPU611、RAM612、ROM613、NVRAM614及びHDD615等を備える。ROM613は、各種プログラムやデータが格納されている。RAM612は、プログラムやデータを一時保持する。NVRAM614は、例えば設定情報等が格納されている。また、HDD615は、各種プログラムやデータが格納されている。
CPU611は、ROM613やNVRAM614、HDD615等からプログラムやデータ、設定情報等をRAM612上に読み出し、処理を実行することで、画像形成装置12全体の制御や機能を実現する。
操作パネル602は、ユーザからの入力を受け付ける入力部と、表示を行う表示部とを備えている。外部I/F603は、外部装置とのインタフェースである。外部装置には、記録媒体603a等がある。これにより、画像形成装置12は、外部I/F603を介して記録媒体603aの読み取り及び/又は書き込みを行うことが可能である。記録媒体603aには、ICカード、フレキシブルディスク、CD、DVD、SDメモリカード、USBメモリ等がある。
通信I/F604は、画像形成装置12をネットワークN2に接続させるインタフェースである。これにより画像形成装置12は、通信I/F604を介してデータ通信を行うことが可能である。プリンタ605は、印刷データを用紙に印刷する印刷装置である。スキャナ606は、原稿から画像データ(電子データ)を読み取る読取装置である。なお、図1に示したファイアウォールFWのハードウェア構成については説明を省略する。
<サービス提供システム>
本実施形態に係るサービス提供システム30は、例えば図4に示す構成により実現することが可能である。図4は、本実施形態に係るサービス提供システムの一例の構成図である。図4に示すサービス提供システム30は、認証エージェント装置31、及びサービス提供装置32を有する。
認証エージェント装置31は、ユーザ端末11や画像形成装置12からサービス提供装置32に対する各種要求(リクエスト)を受け付ける。認証エージェント装置31は、サービスプラットフォーム提供システム40が発行した正当な認証チケットが含まれるユーザ端末11や画像形成装置12からの要求をサービス提供装置32に送信するようにアクセス制御を行う。
また、認証エージェント装置31は、正当な認証チケットが含まれていないユーザ端末11や画像形成装置12からの要求をサービスプラットフォーム提供システム40にリダイレクトすることが可能である。このように、認証エージェント装置31は、正当な認証チケットをユーザ端末11や画像形成装置12に取得させた後、ユーザ端末11や画像形成装置12からの要求をサービス提供装置32に送信することが可能である。
サービス提供装置32は、ユーザ端末11や画像形成装置12からの要求に応じたサービスを提供する。また、サービス提供装置32は、認証エージェント装置31に対して認証チケットの正当性を問い合わせたり、サービスの提供に必要な情報の取得を要求したりする。
サービス提供装置32が提供するサービスの一例として翻訳サービスがある。画像形成装置12は、例えば原稿からスキャンした画像データをOCR(Optical Character Recognition:光学文字認識)した後、サービス提供装置32に送信し、サービス提供装置32が提供する翻訳サービスを利用する。サービス提供装置32は、翻訳サービスの提供に必要な情報の一例としてユーザ情報を取得し、翻訳結果に含ませても良い。ユーザは、例えばユーザ端末11からサービス提供装置32にアクセスして翻訳結果を閲覧しても良く、電子メールで翻訳結果を受け取っても良い。
<サービスプラットフォーム提供システム>
本実施形態に係るサービスプラットフォーム提供システム40は、例えば図5に示す処理ブロックにより実現される。図5は、本実施形態に係るサービスプラットフォーム提供システムの一例の処理ブロック図である。
図5に示すサービスプラットフォーム提供システム40は、アプリケーション101、共通サービス102、データベース(DB)103、及びプラットフォームAPI104を実現している。
アプリケーション101は、ポータルサービスアプリ111、スキャンサービスアプリ112、プリントサービスアプリ113、アカウント登録アプリ114を一例として有している。
ポータルサービスアプリ111は、ポータルサービスを提供するアプリケーションである。ポータルサービスは、情報処理システム1を利用するための入り口となるサービスを提供する。スキャンサービスアプリ112は、スキャンサービスを提供するアプリケーションのUI(ユーザインタフェース)である。
また、プリントサービスアプリ113は、プリントサービスを提供するアプリケーションのUIである。アカウント登録アプリ114は、アカウント登録サービスを提供するアプリケーションのUIである。なお、アプリケーション101には、その他のサービスアプリが含まれていても良い。
スキャンサービスアプリ112、プリントサービスアプリ113、及びアカウント登録アプリ114のUIには、ユーザ端末11又は画像形成装置12で表示又は実行されるNativeアプリ、HTML/JavaScript(登録商標)データが含まれていても良い。Nativeアプリは、Webアプリと対比するものであり、主な処理をユーザ端末11や画像形成装置12で行うタイプのアプリケーションである。Webアプリは、主な処理をサービスプラットフォーム提供システム40で行うタイプのアプリケーションである。
プラットフォームAPI(Application Programming Interface)104は、ポータルサービスアプリ111等のアプリケーション101が共通サービス102を利用するためのインタフェースである。
プラットフォームAPI104は、アプリケーション101からの要求を共通サービス102が受信するために設けられた予め定義されたインタフェースであり、例えば関数やクラス等により構成される。プラットフォームAPI104は、サービスプラットフォーム提供システム40が複数の情報処理装置で構成される場合、ネットワーク経由で利用可能な例えばWeb APIにより実現することが可能である。
共通サービス102は、スキャンサービス部121、プリントサービス部122、アカウント登録部123、認証・認可部131、テナント管理部132、ユーザ管理部133、ライセンス管理部134、機器管理部135、一時画像保存部136、データ保管部137、画像処理ワークフロー制御部138、ログ収集部139を有する。また、画像処理ワークフロー制御部138は、メッセージキュー141、1つ以上のワーカー(Worker)142を有する。ワーカー142は、画像変換や画像送信などの機能を実現する。
スキャンサービス部121は、スキャンサービスアプリ112のロジック(API)として機能する。プリントサービス部122は、プリントサービスアプリ113のロジック(API)として機能する。また、アカウント登録部123は、アカウント登録アプリ114のロジック(API)として機能する。
認証・認可部131は、ユーザ端末11や画像形成装置12等のオフィス機器からのログイン要求に基づいて認証・認可を実行する。オフィス機器は、ユーザ端末11、画像形成装置12等の総称である。
認証・認可部131は、例えばユーザ情報記憶部153、ライセンス情報記憶部154等にアクセスしてユーザを認証・認可する。また、認証・認可部131は、例えばテナント情報記憶部152、ライセンス情報記憶部154、機器情報記憶部155等にアクセスして画像形成装置12等をクライアント認証する。
テナント管理部132は、テナント情報記憶部152に記憶されているテナント情報を管理する。ユーザ管理部133は、ユーザ情報記憶部153に記憶されているユーザ情報を管理する。
ライセンス管理部134は、ライセンス情報記憶部154に記憶されているライセンス情報を管理する。機器管理部135は、機器情報記憶部155に記憶されている機器情報を管理する。一時画像保存部136は、一時画像記憶部156への一時画像の保存、一時画像記憶部156からの一時画像の取得を行う。データ保管部137は、ジョブ情報記憶部157等にデータを保管する。
画像処理ワークフロー制御部138は、アプリケーション101からの要求に基づいて画像処理に関するワークフローを制御する。メッセージキュー141は、処理の種類に対応するキューを有する。画像処理ワークフロー制御部138は、処理(ジョブ)に係るリクエストのメッセージを、そのジョブの種類に対応するキューに投入する。
ワーカー142は、対応するキューを監視している。そして、キューにメッセージが投入されるとワーカー142は、対応するジョブの種類に応じた画像変換や画像送信等の処理を行う。キューに投入されたメッセージは、ワーカー142が主体的に読み出す(Pull)ようにしても良く、キューからワーカー142に提供する(Push)ようにしても良い。ログ収集部139は、例えばログ情報記憶部151に収集したログ情報を記憶させる。
データベース103は、ログ情報記憶部151、テナント情報記憶部152、ユーザ情報記憶部153、ライセンス情報記憶部154、機器情報記憶部155、一時画像記憶部156、ジョブ情報記憶部157、及びアプリケーション固有の設定情報記憶部158を有する。
ログ情報記憶部151は、ログ情報を記憶する。テナント情報記憶部152は、テナント情報を記憶する。ユーザ情報記憶部153は、ユーザ情報を記憶する。ライセンス情報記憶部154は、ライセンス情報を記憶する。機器情報記憶部155は、機器情報を記憶する。一時画像記憶部156は、一時画像を記憶する。一時画像は、例えばワーカー142が処理するスキャン画像等のファイルやデータである。
ジョブ情報記憶部157は、処理(ジョブ)に係るリクエストの情報(ジョブ情報)を記憶する。アプリケーション固有の設定情報記憶部158は、アプリケーション101に固有の設定情報を記憶する。
サービスプラットフォーム提供システム40は、認証・認可や画像処理に関するワークフロー等の共通サービスを提供する統合基盤と、統合基盤の機能を利用してスキャンサービスやプリントサービス等のアプリサービスを提供するサービス群として機能する。
統合基盤は、例えば共通サービス102、データベース103及びプラットフォームAPI104によって構成される。サービス群は、例えばアプリケーション101によって構成される。このように、図5に示すサービスプラットフォーム提供システム40は、サービス群と統合基盤とが分離された構成である。
図5に示すサービスプラットフォーム提供システム40は、サービス群と統合基盤とを分離した構成により、プラットフォームAPI104を利用するアプリケーション101を容易に開発することが可能となる。また、図5に示すサービスプラットフォーム提供システム40は、プラットフォームAPI104を利用するサービス提供システム30を、容易に開発することが可能となる。
なお、図5に示すサービスプラットフォーム提供システム40の処理ブロックの分類形態は一例であり、アプリケーション101、共通サービス102、データベース103が図5に示される階層で分類されていることが必須ではない。例えば、サービスプラットフォーム提供システム40の処理を実施できるのであれば、図5に示される階層関係等は、特定のものに限定されない。
<画像形成装置12>
本実施形態に係る画像形成装置12は、例えば図6に示す処理ブロックにより実現される。図6は、本実施形態に係る画像形成装置の一例の処理ブロック図である。図6に示す画像形成装置12は、例えば、ブラウザ201、JavaScript202、制御部203等を実現している。
ブラウザ201は、例えばWebブラウザであり、画面表示を行う。JavaScript202は、ブラウザ201からのJavaScript実行要求を受け付け、必要な処理の制御を行う。
制御部203は、JavaScript202からの要求を受け付け、例えば機器認証トークンを生成する。また、制御部203は、機器認証トークンをコントローラ601の例えばTPM(Trusted Platform Module)等のセキュリティチップにより安全性が確保された外部からのアクセス制限可能な記憶領域に保存する。
<機器認証トークンを用いた機器認証シーケンス>
上述した情報処理システム1において、画像形成装置12は、サービス提供システム30が提供するサービスを利用するにあたり、例えばAPIを利用したサービスプラットフォーム提供システム40のリソースにアクセスする場合に機器認証等を行う。図7は、機器認証トークンを用いた機器認証シーケンスの一例を示す図である。
図7に示すシーケンスは、画像形成装置12におけるブラウザ201と、JavaScript202と、制御部203と、サービスプラットフォーム提供システム40における認証エージェント160と、アカウント登録部123と、認証・認可部131とにより実行される。
なお、認証エージェント160は、図5に示すサービスプラットフォーム提供システム40のアプリケーション101や共通サービス102に設けられ、例えば画像形成装置12からのアカウント登録部123等に対する各種要求を受け付ける。認証エージェント160は、画像形成装置12からのAPIを利用したサービスプラットフォーム提供システム40のリソースへのアクセス要求のうち、サービスプラットフォーム提供システム40が発行した正当な機器認証チケット等が含まれる要求について受け付ける。
図7の例では、画像形成装置12は、ユーザからの翻訳アプリの起動を受け付けると、サービスプラットフォーム提供システム40のアカウント登録部123に対して起動要求を行い(S10)、HTML/JavaScriptデータを取得する。画像形成装置12のブラウザ201は、ユーザから、翻訳サービスの文字認識に用いるOCR辞書のダウンロード要求等を受け付けると(S11)、JavaScript202に対してJavaScriptの実行要求を行う(S12)。
ここで、JavaScript202は、OCR辞書のダウンロード要求等のサービスプラットフォーム提供システム40のAPIを利用する要求に対し、そのAPIを利用したサービスプラットフォーム提供システム40のリソースへのアクセスを保護する認証方式を判断する。
JavaScript202は、例えば機器認証が必要である判断すると、画像形成装置12の装置ごとに固有の識別情報であるシリアルID(デバイス情報)の取得要求を制御部203に行い(S13)、シリアルIDを取得する。
次に、JavaScript202は、シリアルIDを指定して、サービスプラットフォーム提供システム40の認証・認可部131に対して一時コードの取得要求を行う(S14)。認証・認可部131は、乱数を発生させることにより一時コードを発行すると(S15)、シリアルIDと発行した一時コードとを対応させた一時コードテーブルを作成する。
次に、JavaScript202は、サービスプラットフォーム提供システム40から一時コードを取得すると、制御部203に対して機器認証トークンの取得要求を行う(S16)。制御部203は、シリアルIDを取得すると(S17)、シリアルIDと一時コードとを含めて暗号化した機器認証トークンを生成する(S18)。
S18の処理では、制御部203は、シリアルID及び一時コードを用いることにより、例えば機器認証トークンを毎回異なる文字列で生成することが可能となる。また、制御部203は、外部から容易にアクセスできないコントローラ601等の記憶領域に機器認証トークンを保存することで、より安全性を高めることが可能となる。
次に、JavaScript202は、制御部203から取得した機器認証トークンを指定して、認証・認可部131に対して機器認証チケットの取得要求を行う(S19)。認証・認可部131は、画像形成装置12から取得した機器認証トークンの検証を行う(S20)。
S20の処理では、認証・認可部131は、機器認証チケットを復号して、機器認証チケットに含まれる一時コードとシリアルIDとを抽出する。認証・認可部131は、一時コードテーブルで管理している一時コードとシリアルIDとの組み合わせと、機器認証チケットを復号して抽出した一時コードとシリアルIDとを照合し、一致しているか判断する(S21)。
認証・認可部131は、S21の処理で一時コードとシリアルIDとが一致していると判断すると、機器の正当性を表す機器認証チケットと機器認証パスワードとを発行する(S22)。S22の処理では、認証・認可部131は、シリアルIDと発行した機器認証チケットとを対応させた機器認証チケットテーブルと、シリアルIDと発行した機器認証パスワードを対応させた機器認証パスワードテーブルとを作成する。
なお、S22の処理では、一時コード及びシリアルIDの組合わせが一致しているか判断することにより、一時コードを発行した画像形成装置12に対してのみ機器認証チケットの発行を許可することが可能となる。
次に、認証・認可部131は、一時コードテーブルから使用した一時コードを破棄する(S23)。このように、一度使用した一時コードを破棄することで、ある一時コードを利用して機器認証トークンを生成できる回数を制限することが可能となる。また、一時コードから生成される機器認証トークンが流出したとしても機器認証チケットを取得できないようにすることが可能となる。
次に、JavaScript202は、サービスプラットフォーム提供システム40から、S22の処理で発行された機器認証チケット、機器認証パスワードを取得すると、制御部203に対して、例えば機器認証パスワードを保存するように要求する(S24)。このように、機器認証パスワードを保存しておくことで、例えば次回以降において、機器認証パスワードを用いて機器認証チケットの発行することが可能となる。
次に、JavaScript202は、サービスプラットフォーム提供システム40から取得した機器認証チケットを用いて、認証エージェント160に対し、OCR辞書のダウンロード要求(機器認証で保護されたリソースへのアクセス要求)を行う(S25)。
認証エージェント160は、認証・認可部131にシリアルIDの取得要求を行うことで、機器認証チケットの正当性の確認を行う(S26)。認証エージェント160は、認証・認可部131により、機器認証チケットテーブルを参照して機器認証チケットの正当性が確認され、シリアルIDを取得すると、シリアルIDを用いてアカウント登録部123にOCR辞書のダウンロード要求等を行う(S27)。
アカウント登録部123は、S27の要求に応じた処理を行う(S28)。S28の処理により、画像形成装置12は、サービスプラットフォーム提供システム40から、例えばOCR辞書等をダウンロードすることが可能となる。
図7に示すシーケンスでは、画像形成装置12において一時コードを用いて毎回異なる機器認証トークンを生成して、機器認証チケットを取得するため、サービスプラットフォーム提供システム40のアクセスに対して、セキュリティ強度を高めることが可能となる。
<機器認証パスワードを用いた機器認証シーケンス>
次に、上述した図7に示すシーケンスで、機器認証チケットの発行と合わせて発行された機器認証パスワードを用いた機器認証シーケンスについて説明する。図8は、機器認証パスワードを用いた機器認証シーケンスの一例を示す図である。
図8に示すシーケンスは、画像形成装置12におけるブラウザ201と、JavaScript202と、制御部203と、サービスプラットフォーム提供システム40における認証エージェント160と、アカウント登録部123と、認証・認可部131とにより実行される。なお、図8に示すシーケンスのS30〜S32の処理は、図7に示すシーケンスのS10〜S12の処理と同様の処理であるため、ここでの説明は省略する。
図8の例では、画像形成装置12は、JavaScript202により、S32の処理において、機器認証が必要であると判断すると、制御部203に対して機器認証パスワードの取得要求を行う(S33)。上述した図7に示すシーケンス後であれば、機器認証パスワードが保存されているため、JavaScript202は、制御部203から機器認証パスワードを取得する。なお、JavaScript202は、機器認証パスワードが保存されていない場合には、図7に示すシーケンスのS13の処理に進む。
次に、JavaScript202は、画像形成装置12のシリアルIDの取得要求を制御部203に行い(S34)、シリアルIDを取得する。次に、JavaScript202は、シリアルIDと、機器認証パスワードを指定して、認証・認可部131に対して機器認証チケットの取得要求を行う(S35)。認証・認可部131は、画像形成装置12から取得したシリアルIDにより、機器認証パスワードの検証を行う(S36)。
S36の処理では、図7に示すシーケンスのS22の処理で発行した機器認証パスワードとシリアルIDとの組み合わせが機器認証パスワードテーブルに管理されているため、認証・認可部131は、画像形成装置12から取得したシリアルIDと機器認証パスワードとの組み合わせと一致しているか判断する。
認証・認可部131は、S36の処理でシリアルIDと機器認証パスワードとの組み合わせが一致していると判断すると、機器認証チケットと、新しい機器認証パスワードとを発行する(S37)。S37の処理では、認証・認可部131は、シリアルIDと発行した機器認証チケットとを対応させた機器認証チケットテーブルと、シリアルIDと発行した新しい機器認証パスワードとを対応させた機器認証パスワードテーブルを作成する。
次に、認証・認可部131は、機器認証パスワードテーブルから使用した機器認証パスワードを破棄する(S38)。このように、一度使用した機器認証パスワードを破棄することで、ある機器認証パスワードからは、1つの機器認証チケットのみ発行を許可するように発行回数を制限することが可能となる。また、機器認証パスワードが流出したとしても機器認証チケットを取得できないようにすることが可能となる。
JavaScript202は、サービスプラットフォーム提供システム40から、S37の処理で発行された機器認証チケット、新しい機器認証パスワードを取得すると、制御部203に対して、機器認証パスワードを保存するように要求する(S39)。S39の処理では、S37の処理で発行された新しい機器認証パスワードが保存されることになる。
次に、JavaScript202は、サービスプラットフォーム提供システム40から取得した機器認証チケットとを用いて、認証エージェント160にOCR辞書のダウンロード要求等を行う(S40)。なお、これ以降のS41〜S43の処理は、図7に示すS26〜S28の処理と同様の処理のため、ここでの説明は省略する。
図8に示すシーケンスでは、画像形成装置12は、機器認証チケットの発行と合わせて発行された機器認証パスワードを用いて、サービスプラットフォーム提供システム40から機器認証チケットを取得する。図8に示すシーケンスでは、画像形成装置12における機器認証トークンを生成する際の暗号化処理や、サービスプラットフォーム提供システム40における復号処理を行う必要がないため、サービスプラットフォーム提供システム40のリソースにアクセスする際の応答性を向上させることが可能となる。
<ブラウザで機器認証チケットを保持している場合>
次に、上述した図7や図8に示すシーケンスにより得られた機器認証チケットを画像形成装置12のブラウザ201が保持していた場合について説明する。図9は、機器認証チケットを保持している場合の機器認証シーケンスの一例を示す図である。
図9に示すシーケンスは、画像形成装置12におけるブラウザ201と、JavaScript202と、制御部203と、サービスプラットフォーム提供システム40における認証エージェント160と、アカウント登録部123と、認証・認可部131とにより実行される。なお、図9に示すシーケンスのS50〜S52の処理は、図7に示すシーケンスのS10〜S12の処理と同様の処理であるため、ここでの説明は省略する。
図9の例では、画像形成装置12は、JavaScript202により、S52の処理において、機器認証が必要であると判断すると、ブラウザ201に対して機器認証チケットの取得要求を行う(S53)。上述した図7や図8に示すシーケンス後、ブラウザ201のクッキー(Cookie)に機器認証チケットが保存されている場合には、ブラウザ201から機器認証チケットを取得する。
次に、JavaScript202は、機器認証チケットを用いて、認証エージェント160にOCR辞書のダウンロード要求等を行う(S54)。なお、これ以降のS55〜S57の処理は、図7に示すS26〜S28の処理と同様の処理のため、ここでの説明は省略する。
図9に示すシーケンスでは、画像形成装置12は、サービスプラットフォーム提供システム40から取得して保持していた機器認証チケットを用いるため、サービスプラットフォーム提供システム40のリソースにアクセスする際の応答性を更に向上させることが可能となる。
<機器認証とテナント認証とを組み合わせたシーケンス>
次に、上述した情報処理システム1において、画像形成装置12が、サービスプラットフォーム提供システム40のリソースにアクセスする場合に、上述した機器認証に加えてテナント認証を行う例について説明する。図10は、機器認証とテナント認証を組み合わせたシーケンスの一例を示す図である。
図10に示すシーケンスは、画像形成装置12におけるブラウザ201と、JavaScript202と、制御部203と、サービスプラットフォーム提供システム40における認証エージェント160と、アカウント登録部123と、認証・認可部131とにより実行される。なお、図10の例では、画像形成装置12が、例えば機器認証及びテナント認証が必要な例として、ユーザから翻訳サービスを利用しているユーザのユーザ一覧画面の表示要求を受け付けた例について説明する。
図10の例では、画像形成装置12は、ユーザからユーザ一覧画面の表示要求を受け付けると、サービスプラットフォーム提供システム40のアカウント登録部123に対してユーザ一覧画面の表示要求を行い(S70)、HTML/JavaScriptデータを取得する。
画像形成装置12のブラウザ201は、上述した機器認証及びテナント認証が必要な操作を受け付け(S71)、JavaScript202に対してJavaScriptの実行要求を行う(S72)。JavaScript202は、APIを利用したサービスプラットフォーム提供システム40のリソースへのアクセスを保護する認証方式として、まず、機器認証が必要であると判断すると、シリアルIDの取得要求を制御部203に行い(S73)、シリアルIDを取得する。
次に、JavaScript202は、シリアルIDを指定して、サービスプラットフォーム提供システム40の認証・認可部131に対して一時コードの取得要求を行う(S74)。これ以降、S75〜S80までの処理は、図7に示すS15〜S24の処理と同様の処理のため、ここでの説明は省略する。
JavaScript202は、APIを利用したサービスプラットフォーム提供システム40のリソースへのアクセスを保護する認証方式として、次に、テナント認証が必要であると判断すると、テナントIDの取得要求を制御部203に行い(S81)、テナントIDを取得する。また、JavaScript202は、テナント認証キーの取得要求を制御部203に行い(S82)、テナント認証キーを取得する。
上述したテナントID及びテナント認証キーは、画像形成装置12が、翻訳サービス等を利用するため、サービスプラットフォーム提供システム40への初回ログイン時等に、サービスプラットフォーム提供システム40から取得して保存したものである。なお、サービスプラットフォーム提供システム40は、画像形成装置12が所属するテナントごとにテナントID及びテナント認証キーを発行し、テナントID及びテナント認証キーを用いて画像形成装置12を管理する。
次に、JavaScript202は、機器認証チケット、テナントID、テナント認証キーを用いて、認証エージェント160にユーザ一覧画面の表示要求等(機器認証及びテナント認証で保護されたリソースへのアクセス要求)を行う(S83)。
認証エージェント160は、認証・認可部131にシリアルIDの取得要求を行うことで、機器認証チケットの正当性の確認を行う(S84)。認証エージェント160は、認証・認可部131により、機器認証チケットテーブルを参照して機器認証チケットの正当性が確認され、シリアルIDを取得すると、シリアルID、テナントID、テナント認証キーを用いてアカウント登録部123にユーザ一覧画面の表示要求(テナント認証で保護されたリソースへのアクセス要求)等を行う(S85)。
アカウント登録部123は、認証・認可部131にテナント認証を要求する(S86)。アカウント登録部123は、認証・認可部131により、テナント情報テーブルを参照して、テナントID、テナント認証キーの正当性が確認されると、S85の要求に応じた処理を行う(S87)。S87の処理により、画像形成装置12は、サービスプラットフォーム提供システム40から、例えばユーザ一覧画面を表示するための情報を取得することが可能となる。
上述した図10のシーケンスでは、機器認証とテナント認証とを組み合わせているため、例えば流出するリソースをテナントごとにアクセス可能な範囲に限定することが可能となる。また、図10の例では、テナントID及びテナント認証キーを用いているが、例えばテナントIDと対応させて画像形成装置12の機種機番(例えば、シリアルID)を登録しておき、テナントIDと画像形成装置12の機種機番を用いて、テナント認証を行っても良い。
<機器認証が必要か通知されるシーケンス>
上述した図7〜図10に示すシーケンスは、画像形成装置12が、APIを利用したサービスプラットフォーム提供システム40のリソースへのアクセスを保護する認証方式を判断している。これに対し、画像形成装置12の代わりに、サービスプラットフォーム提供システム40において認証方式を判断し、その内容を通知することも可能である。図11は、機器認証が必要か否かが通知されるシーケンスの一例を示す図である。
図11に示すシーケンスは、画像形成装置12におけるブラウザ201と、JavaScript202と、サービスプラットフォーム提供システム40における認証エージェント160と、認証・認可部131とにより実行される。
図11の例では、画像形成装置12のブラウザ201は、JavaScript202に対してJavaScriptの実行要求を行う(S60)。JavaScript202は、サービスプラットフォーム提供システム40に、例えば機器認証で保護されたAPIを利用する要求を行う(S61)。
認証エージェント160は、認証・認可部131に対して、S61の処理で受け付けた要求に含まれる認証の正当性を判断するように要求する(S62)。認証・認可部131は、認証の正当性を判断する(S63)。
S63の処理では、認証・認可部131は、OCR辞書のダウンロード要求、ユーザ一覧の表示要求等、画像形成装置12からサービスプラットフォーム提供システム40のAPIを利用する要求ごとに、機器認証、テナント認証、又はユーザ認証が必要か判断するための認証方式が設定されたテーブルを参照する。
次に、認証・認可部131は、例えば機器認証が必要であると判断した場合には、画像形成装置12から受け付けた要求に機器認証チケットが含まれているか、機器認証チケットの正当性等について判断する。更に、認証・認可部131は、例えばテナント認証が必要であると判断した場合には、画像形成装置12から受け付けた要求にテナントIDやテナント認証キー等が含まれているか、テナントIDやテナント認証キーの正当性等について判断する。
S63の処理では、画像形成装置12から受け付けた要求に機器認証チケット等が含まれないため、認証が失敗することになる。したがって、認証・認可部131は、エラーメッセージを作成する(S64)。
S64の処理では、認証・認可部131は、例えば機器認証やテナント認証等が必要な場合には、その内容を通知するエラーメッセージを作成する。なお、認証・認可部131は、例えば、機器認証チケットやテナントIDやテナント認証キーの正当性等について通知するエラーメッセージを作成しても良い。
上述した図11に示すシーケンスにより、画像形成装置12は、サービスプラットフォーム提供システム40から通知された認証方式に基づき、ユーザに必要な認証方式を通知することが可能となる。
<各種テーブルの構造例>
上述したサービスプラットフォーム提供システム40において用いられる各種テーブルの構造例について説明する。図12は、各種テーブルの構造例を示す図である。図12(A)は、一時コードテーブルの構造例を示し、図12(B)は、機器認証チケットテーブルの構造例を示し、図12(C)は、機器認証パスワードテーブルの構造例を示し、図12(D)は、テナント情報テーブルの構造例を示している。
図12(A)に示す一時コードテーブルは、例えば「機器認証用一時コード」、「機種機番」、「作成日時」等のデータ項目を有しているが、項目の内容や順序については、これに限定されるものではない。
「機器認証用一時コード」には、サービスプラットフォーム提供システム40の認証・認可部131において発行された一時コードが格納される。「機種機番」には、一時コードを発行した画像形成装置12の機種を識別する情報(例えば、シリアルID)が格納される。「作成日時」には、一時コードを発行した日時が格納される。「作成日時」は、例えば、一時コードの有効期限の設定に用いられる。
図12(B)に示す機器認証チケットテーブルは、例えば「機器認証チケット」、「機種機番」、「作成日時」等のデータ項目を有しているが、項目の内容や順序については、これに限定されるものではない。
「機器認証チケット」には、サービスプラットフォーム提供システム40の認証・認可部131において発行された機器認証チケットが格納される。「機種機番」には、機器認証チケットを発行した画像形成装置12の機種を識別する情報(例えば、シリアルID)が格納される。「作成日時」には、機器認証チケットを発行した日時が格納される。「作成日時」は、例えば、機器認証チケットの有効期限の設定に用いられる。
図12(C)に示す機器認証パスワードテーブルは、例えば「機器認証パスワード」、「機種機番」、「作成日時」等のデータ項目を有しているが、項目の内容や順序については、これに限定されるものではない。
「機器認証パスワード」には、サービスプラットフォーム提供システム40の認証・認可部131において機器認証チケットと合わせて発行された機器認証パスワードが格納される。「機種機番」には、機器認証パスワードを発行した画像形成装置12の機種を識別する情報(例えば、シリアルID)が格納される。「作成日時」には、機器認証パスワードを発行した日時が格納される。「作成日時」は、例えば、機器認証パスワードの有効期限の設定に用いられる。
図12(D)に示すテナント情報テーブルは、例えば「テナントID」、「テナント認証キー」等のデータ項目を有しているが、項目の内容や順序については、これに限定されるものではない。
「テナントID」には、企業、部署等のグループを特定する情報が格納される。なお、テナントという言語に限定されるものではなく、例えば契約を識別するテナント情報が格納されても良い。テナントIDは、例えば画像形成装置12が所属するテナントごとに発行される。「テナント認証キー」には、テナントIDと合わせて発行されるテナントの認証キーが格納される。
図12に示すテーブルを参照することで、サービスプラットフォーム提供システム40の認証・認可部131は、上述した各認証の検証において、一時コードや機器認証チケット等に対する正当性について判断することが可能となる。
上述した実施形態によれば、例えばAPIを利用するサービスプラットフォーム提供システム40のリソースへのアクセスにおいて、ユーザに対するユーザ認証を要求することなく、画像形成装置12の機器認証を行うことで、より簡便な方式により認証を行うことが可能となる。また、機器認証に加えてテナント認証を行うことで、更にセキュリティの強度を高めることが可能となる。
本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。なお、画像形成装置12は、サービス利用装置の一例である。サービスプラットフォーム提供システム40の認証・認可部131は、一時コード発行手段、機器認証チケット発行手段、機器認証パスワード発行手段、認証手段の一例である。画像形成装置12の制御部203は、機器認証トークン生成手段の一例である。JavaScript202は、アクセス手段、判断手段の一例である。
1 情報処理システム
10 ユーザシステム
11 ユーザ端末
12 画像形成装置
20 アプリマーケット提供システム
21 アプリマーケット提供サーバ
30 サービス提供システム
31 認証エージェント装置
32 サービス提供装置
40 サービスプラットフォーム提供システム
50 業務プラットフォーム提供システム
51 業務端末
52 ライセンス管理サーバ
101 アプリケーション
102 共通サービス
103 データベース(DB)
104 プラットフォームAPI
111 ポータルサービスアプリ
112 スキャンサービスアプリ
113 プリントサービスアプリ
114 アカウント登録アプリ
121 スキャンサービス部
122 プリントサービス部
123 アカウント登録部
131 認証・認可部
132 テナント管理部
133 ユーザ管理部
134 ライセンス管理部
135 機器管理部
136 一時画像保存部
137 データ保管部
138 画像処理ワークフロー制御部
139 ログ収集部
141 メッセージキュー
142 ワーカー
151 ログ情報記憶部
152 テナント情報記憶部
153 ユーザ情報記憶部
154 ライセンス情報記憶部
155 機器情報記憶部
156 一時画像記憶部
157 ジョブ情報記憶部
158 アプリケーション固有の設定情報記憶部
201 ブラウザ
202 JavaScript
203 制御部
500 コンピュータ
501 入力装置
502 表示装置
503 外部I/F
503a 記録媒体
504 RAM
505 ROM
506 CPU
507 通信I/F
508 HDD
601 コントローラ
602 操作パネル
603 外部I/F
603a 記録媒体
604 通信I/F
605 プリンタ
606 スキャナ
611 CPU
612 RAM
613 ROM
614 NVRAM
615 HDD
FW ファイアウォール
N1〜N3 ネットワーク
特開2012−191270号公報

Claims (9)

  1. サービス利用装置と、前記サービス利用装置にサービスを提供する1以上の情報処理装置とを含む情報処理システムであって、
    前記情報処理装置により、一時コードを発行する一時コード発行手段と、
    前記サービス利用装置により、前記情報処理装置から得られた一時コードを用いて機器認証トークンを生成する機器認証トークン生成手段と、
    前記情報処理装置により、前記サービス利用装置から得られた機器認証トークンの正当性を前記一時コードを用いて検証し、検証結果に応じて機器認証チケットを発行する機器認証チケット発行手段と、
    前記サービス利用装置により、前記情報処理装置から得られた機器認証チケットを用いて、前記情報処理装置のリソースにアクセスするアクセス手段と
    前記情報処理装置により、前記機器認証チケットの発行と合わせて機器認証パスワードを発行する機器認証パスワード発行手段と
    を有し、
    前記機器認証チケット発行手段は、次回以降、前記サービス利用装置から得られた機器認証パスワードの正当性を検証し、検証結果に応じて前記機器認証チケットを発行する
    ことを特徴とする情報処理システム。
  2. サービス利用装置と、前記サービス利用装置にサービスを提供する1以上の情報処理装置とを含む情報処理システムであって、
    前記情報処理装置により、一時コードを発行する一時コード発行手段と、
    前記サービス利用装置により、前記情報処理装置から得られた一時コードを用いて機器認証トークンを生成する機器認証トークン生成手段と、
    前記情報処理装置により、前記サービス利用装置から得られた機器認証トークンの正当性を前記一時コードを用いて検証し、検証結果に応じて機器認証チケットを発行する機器認証チケット発行手段と、
    前記サービス利用装置により、前記情報処理装置から得られた機器認証チケットを用いて、前記情報処理装置のリソースにアクセスするアクセス手段とを有し、
    前記情報処理装置は、前記サービス利用装置が所属するテナントごとに発行したテナント情報により前記サービス利用装置を管理し、
    前記アクセス手段は、前記機器認証チケット及び前記情報処理装置から得られたテナント情報を用いて、前記情報処理装置のリソースにアクセスする
    ことを特徴とする情報処理システム。
  3. 前記情報処理装置により、前記一時コードを用いて前記機器認証トークンを生成できる回数、又は、前記機器認証パスワードを用いて前記機器認証チケットを発行できる回数を制限することを特徴とする請求項に記載の情報処理システム。
  4. 前記サービス利用装置により、前記機器認証トークンは、
    外部からのアクセス制限可能な記憶領域に保存されることを特徴とする請求項1乃至3のいずれか一項に記載の情報処理システム。
  5. 前記機器認証トークン生成手段は、
    前記一時コード及び前記サービス利用装置のデバイス情報を暗号化して、前記機器認証トークンを生成することを特徴とする請求項1乃至4のいずれか一項に記載の情報処理システム。
  6. 前記サービス利用装置により、ユーザから受け付けたAPIを利用する要求に対し、前記APIを利用した前記情報処理装置のリソースへのアクセスを保護する認証方式を判断する判断手段を有することを特徴とする請求項1乃至のいずれか一項に記載の情報処理システム。
  7. 前記情報処理装置により、前記サービス利用装置から受け付けたAPIを利用する要求に対し、前記APIを利用した前記情報処理装置のリソースへのアクセスを保護する認証方式を判断し、判断した内容を前記サービス利用装置に通知する認証手段を有することを特徴とする請求項1乃至のいずれか一項に記載の情報処理システム。
  8. サービス利用装置と、前記サービス利用装置にサービスを提供する1以上の情報処理装置とを含む情報処理システムによる認証方法であって、
    前記情報処理装置により、一時コードを発行する一時コード発行ステップと、
    前記サービス利用装置により、前記情報処理装置から得られた一時コードを用いて機器認証トークンを生成する機器認証トークン生成ステップと、
    前記情報処理装置により、前記サービス利用装置から得られた機器認証トークンの正当性を前記一時コードを用いて検証し、検証結果に応じて機器認証チケットを発行する機器認証チケット発行ステップと、
    前記サービス利用装置により、前記情報処理装置から得られた機器認証チケットを用いて、前記情報処理装置のリソースにアクセスするアクセスステップと
    前記情報処理装置により、前記機器認証チケットの発行と合わせて機器認証パスワードを発行する機器認証パスワード発行ステップと
    を有し、
    前記機器認証チケット発行ステップは、次回以降、前記サービス利用装置から得られた機器認証パスワードの正当性を検証し、検証結果に応じて前記機器認証チケットを発行する
    ことを特徴とする認証方法。
  9. サービス利用装置にサービスを提供する情報処理装置であって、
    一時コードを発行する一時コード発行手段と、
    前記サービス利用装置により、前記情報処理装置から得られた一時コードを用いて機器認証トークンが生成され、当該機器認証トークンを指定した機器認証チケットの取得要求が行われると、前記サービス利用装置から得られた機器認証トークンの正当性を前記一時コードを用いて検証し、検証結果に応じて、前記サービス利用装置による前記情報処理装置のリソースへのアクセスを可能とする機器認証チケットを発行する機器認証チケット発行手段と、
    前記機器認証チケットの発行と合わせて機器認証パスワードを発行する機器認証パスワード発行手段と
    を有し、
    前記機器認証チケット発行手段は、次回以降、前記サービス利用装置から得られた機器認証パスワードの正当性を検証し、検証結果に応じて前記機器認証チケットを発行する
    ことを特徴とする情報処理装置。
JP2014223357A 2014-10-31 2014-10-31 情報処理システム、認証方法、および情報処理装置 Active JP6380009B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2014223357A JP6380009B2 (ja) 2014-10-31 2014-10-31 情報処理システム、認証方法、および情報処理装置
US14/919,891 US9985961B2 (en) 2014-10-31 2015-10-22 Information processing system and authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014223357A JP6380009B2 (ja) 2014-10-31 2014-10-31 情報処理システム、認証方法、および情報処理装置

Publications (2)

Publication Number Publication Date
JP2016091210A JP2016091210A (ja) 2016-05-23
JP6380009B2 true JP6380009B2 (ja) 2018-08-29

Family

ID=55854001

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014223357A Active JP6380009B2 (ja) 2014-10-31 2014-10-31 情報処理システム、認証方法、および情報処理装置

Country Status (2)

Country Link
US (1) US9985961B2 (ja)
JP (1) JP6380009B2 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6582740B2 (ja) 2015-08-26 2019-10-02 株式会社リコー 情報処理システム、サーバ装置、及びプログラム
JP6907619B2 (ja) 2017-03-15 2021-07-21 株式会社リコー 情報処理システム、情報処理方法、及び情報処理装置
JP6882080B2 (ja) * 2017-05-31 2021-06-02 キヤノン株式会社 画像処理装置、方法、プログラム及びシステム
JP7171324B2 (ja) * 2018-09-05 2022-11-15 キヤノン株式会社 デバイス管理システム及び方法
JP7222246B2 (ja) * 2019-01-08 2023-02-15 株式会社リコー サービスシステム、クラウドサービス、ユーザ登録方法、プログラム
JP7456217B2 (ja) 2020-03-18 2024-03-27 株式会社リコー 情報処理システム、ユーザー作成方法
US20210383364A1 (en) * 2020-06-08 2021-12-09 Worldpay, Llc Systems and methods for electronic transactions service enrollment and executing tokenized transactions
JP7484455B2 (ja) 2020-06-09 2024-05-16 株式会社リコー サービス提供システム、アプリ利用方法、情報処理システム

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7421732B2 (en) * 2003-05-05 2008-09-02 Nokia Corporation System, apparatus, and method for providing generic internet protocol authentication
JP4478871B2 (ja) * 2004-05-19 2010-06-09 ソニー株式会社 コンテンツデータ再生装置、コンテンツデータ提供装置、コンテンツデータ再生方法、コンテンツデータ提供方法、コンテンツデータ再生プログラム及びコンテンツデータ提供プログラム
WO2006068998A1 (en) * 2004-12-20 2006-06-29 Rsa Security Inc. Consumer internet authentication service
US8621201B2 (en) * 2005-06-29 2013-12-31 Telecom Italia S.P.A. Short authentication procedure in wireless data communications networks
CA2531533C (en) * 2005-12-28 2013-08-06 Bce Inc. Session-based public key infrastructure
US7975292B2 (en) * 2007-06-12 2011-07-05 Francisco Corella Secure password reset for application
KR20140094008A (ko) * 2010-03-02 2014-07-29 인터디지탈 패튼 홀딩스, 인크 신뢰성 있는 하드웨어 가입 모듈 간의 크리덴셜 및/또는 도메인의 마이그레이션
JP5687455B2 (ja) 2010-03-09 2015-03-18 株式会社オンサイト サーバ、端末、プログラムおよびサービス提供方法
US8627424B1 (en) * 2010-06-30 2014-01-07 Emc Corporation Device bound OTP generation
WO2012040198A1 (en) * 2010-09-20 2012-03-29 Interdigital Patent Holdings, Inc. Identity management on a wireless device
US8627422B2 (en) * 2010-11-06 2014-01-07 Qualcomm Incorporated Authentication in secure user plane location (SUPL) systems
JP5613596B2 (ja) 2011-03-08 2014-10-29 Kddi株式会社 認証システム、端末装置、認証サーバ、およびプログラム
US8850536B2 (en) * 2011-08-05 2014-09-30 Safefaces LLC Methods and systems for identity verification in a social network using ratings
JP2015127950A (ja) 2013-11-26 2015-07-09 株式会社リコー 情報処理システム及び情報処理方法

Also Published As

Publication number Publication date
US9985961B2 (en) 2018-05-29
US20160127356A1 (en) 2016-05-05
JP2016091210A (ja) 2016-05-23

Similar Documents

Publication Publication Date Title
JP6380009B2 (ja) 情報処理システム、認証方法、および情報処理装置
JP6476760B2 (ja) 情報処理システム、情報処理装置、ログイン方法、及びプログラム
JP6390123B2 (ja) 情報処理システム及び認証情報提供方法
JP6531372B2 (ja) 情報処理システム
US9608972B2 (en) Service providing system and data providing method that convert a process target data into output data with a data format that a service receiving apparatus is able to output
JP6372311B2 (ja) 情報処理システム、電子機器、サービス認可方法及びプログラム
US9189187B2 (en) Service providing system and service providing method for providing a service to a service usage device connected via a network
JP6291826B2 (ja) 情報処理システム及びライセンス管理方法
US9537849B2 (en) Service provision system, service provision method, and computer program product
JP6459398B2 (ja) 情報処理システム、情報処理装置、アクセス制御方法及びプログラム
JP2017033339A (ja) サービス提供システム、情報処理装置、プログラム及びサービス利用情報作成方法
JP2014153805A (ja) 情報処理システム、情報処理装置、認証方法及びプログラム
JP6183035B2 (ja) サービス提供システム、サービス提供方法及びプログラム
US9661184B2 (en) Data processing system and data processing method for authenticating user by utilizing user list obtained from service providing apparatus
JP2020064660A (ja) 情報処理装置、端末装置、プログラム及び情報処理システム
JP6303312B2 (ja) サービス提供システム及び画像提供方法
JP6075011B2 (ja) 情報処理装置、システム及び情報提供方法
JP2018092670A (ja) 情報処理装置、システム及びプログラム
JP6447766B2 (ja) サービス提供システム、データ提供方法及びプログラム
JP6773173B2 (ja) 情報処理システム、情報処理装置、アカウント登録方法及びプログラム
JP6747047B2 (ja) 情報処理システム、ログイン方法、情報処理装置及びプログラム
JP6299101B2 (ja) サービス提供システム、サービス提供方法及びプログラム
JP2018166008A (ja) 情報処理システム、情報処理方法、サービス利用装置、及びプログラム
JP7120357B2 (ja) 情報処理システム、情報処理方法、サービス利用装置、及びプログラム
JP6201444B2 (ja) 情報処理システム、及び情報処理方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171010

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180411

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180424

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180622

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180703

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180716

R151 Written notification of patent or utility model registration

Ref document number: 6380009

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151