JP6891569B2 - 情報端末、情報処理システム、情報処理方法及びプログラム - Google Patents

情報端末、情報処理システム、情報処理方法及びプログラム Download PDF

Info

Publication number
JP6891569B2
JP6891569B2 JP2017053237A JP2017053237A JP6891569B2 JP 6891569 B2 JP6891569 B2 JP 6891569B2 JP 2017053237 A JP2017053237 A JP 2017053237A JP 2017053237 A JP2017053237 A JP 2017053237A JP 6891569 B2 JP6891569 B2 JP 6891569B2
Authority
JP
Japan
Prior art keywords
information
authentication
user
information processing
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017053237A
Other languages
English (en)
Other versions
JP2018156440A (ja
Inventor
毅史 本間
毅史 本間
岳志 堀内
岳志 堀内
貴文 武田
貴文 武田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2017053237A priority Critical patent/JP6891569B2/ja
Priority to US15/915,097 priority patent/US20180270233A1/en
Publication of JP2018156440A publication Critical patent/JP2018156440A/ja
Application granted granted Critical
Publication of JP6891569B2 publication Critical patent/JP6891569B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity

Description

本発明は、情報端末、情報処理システム、情報処理方法及びプログラムに関する。
従来、オフィス等に設置された複合機(MFP、MultiFunction Peripheral)等の機器を利用する際、MFPに設けられたカードリーダに社員証をかざすことにより、社内LAN(Local Area Network)等の内部ネットワークに接続されたサーバにてユーザを認証し、当該ユーザに対応付けてMFPの利用履歴を管理するシステムが知られている。
また、インターネット等の外部ネットワークに接続されたサーバにて、当該ネットワークを介して端末を認証する技術も知られている(例えば、特許文献1を参照)。
しかしながら、従来の技術では、ユーザが、社内LAN等の内部ネットワークの管理サーバにログインする機器と、インターネット等の外部ネットワークの管理サーバにログインする機器とで、ログインのための操作が異なるため、ユーザにとって利便性が比較的低いという問題があった。
そこで、ユーザによるログイン操作の利便性を向上させる技術を提供することを目的とする。
情報端末は、前記情報端末の識別情報を用いて、前記情報端末を、第2の情報処理装置に機器認証させる機器認証部と、ユーザが所持する所定の媒体から、前記ユーザの第1の認証情報を読み取る読取部と、機器認証部による前記第2の情報処理装置での機器認証に成功した場合、前記読取部により読み取られた前記ユーザの第1の認証情報を含む認証要求を、前記ユーザを管理する第1の情報処理装置に送信する第1の送信部と、前記第1の認証情報に応じたデータであって、前記情報端末に前記ユーザに応じた所定のサービスを提供する前記第2の情報処理装置に前記ユーザをログインさせるデータである第2の認証情報を、前記認証要求に応じて前記第1の情報処理装置から受信する受信部と、前記受信部により受信された前記第2の認証情報を、前記第2の情報処理装置に送信する第2の送信部と、を有する。
開示の技術によれば、ユーザによるログイン操作の利便性を向上させることができる。
実施形態に係る情報処理システムの全体構成の一例を示す図である。 実施形態に係るWAN機器のハードウェア構成の一例を示すブロック図である。 実施形態に係るWAN機器管理装置、及びLAN機器管理装置のハードウェア構成の一例を示すブロック図である。 実施形態に係る情報処理システムの機能構成の一例を示す機能ブロック図である。 LAN機器を認証する処理の一例を示すシーケンス図である。 LAN機器認証情報の一例を示す図である。 WAN機器を認証する処理の一例を示すシーケンス図である。 WAN機器認証情報の一例を示す図である。 WAN機器管理装置によるWAN機器のユーザを認証する処理の一例を示すフローチャートである。
以下、本発明の実施形態について添付の図面を参照しながら説明する。
<全体構成例>
図1は、実施形態に係る情報処理システムの全体構成の一例を示す図である。情報処理システム1は、WAN(Wide Area Network)機器10、LAN機器20、WAN機器管理装置30、LAN機器管理装置40、及びWAN機器50−1、50−2、・・・を有する。なお、これらの各装置は、複数台備えられていてもよい。
WAN機器10とLAN機器管理装置40との間、及びLAN機器20とLAN機器管理装置40との間は、例えば、LANや無線LAN等により接続されている。
また、WAN機器10、WAN機器50−1、50−2、・・・、及びWAN機器管理装置30の間は、例えば、インターネット(クラウド)等の外部ネットワークであるWANにより接続されている。
WAN機器10、WAN機器50−1、50−2、・・・は、WANを介してWAN機器管理装置30から管理される情報端末であり、例えば、テレビ会議端末、電子黒板、電子看板などの専用端末、またはタブレット、スマートフォン、PC(personal computer)等の端末である。WAN機器10は、例えば、会議室等に設置され、複数のユーザで共用されてもよい。
WAN機器10は、例えば、WANを介して、WAN機器50−1、50−2、・・・との間でテレビ会議等の通信を行う機能を有していてもよい。なお、通信システム1において、端末の種類、及び数は限定されるものではない。
LAN機器20は、LANを介してLAN機器管理装置40から管理される情報端末であり、例えば、MFP等である。
WAN機器管理装置30は、例えば、サーバ用の情報処理装置であり、WANを介してWAN機器10のログイン認証等の管理を行う。WAN機器管理装置30は、WAN機器10、及びWAN機器50−1、50−2、・・・からの、アカウントID及びパスワードによるログイン認証を行う。また、WAN機器管理装置30は、WAN機器10からの、LAN機器管理装置40を用いたログイン認証を行う。WAN機器管理装置30は、ログイン認証に成功すると、WAN機器10、及びWAN機器50−1、50−2、・・・に、所定のサービスを提供する。例えば、WAN機器管理装置30は、ログインしたユーザに応じたアドレス帳を表示し、テレビ会議の発信や受信ができるようにする。
WAN機器管理装置30は、例えば、クラウド上に設置され、WAN機器10の保守等を行う事業者が運用を行う。
LAN機器管理装置40は、例えば、サーバ用の情報処理装置であり、LANを介してLAN機器20のログイン認証等の管理を行う。
また、LAN機器管理装置40は、WAN機器10のユーザ認証を行い、当該認証に成功すると、WAN機器管理装置30にユーザ認証を受けてログインするためのパスワードをWAN機器10に通知し、WAN機器管理装置30にログインさせる。これにより、ユーザは、例えば、社員証をかざす等の、LAN機器20におけるログイン操作と同様の操作により、WAN機器10からWAN機器管理装置30にログインできる。
LAN機器管理装置40は、例えば、オフィス等のLAN上に設置され、当該オフィス等の管理者が運用を行う。なお、LAN機器管理装置40は、WAN機器管理装置30のみならず、LANまたはWANに接続された、図示しない他のサービスを提供するサーバにも、社員証等によるユーザ認証機能を提供してもよい。
<ハードウェア構成例>
図2は、実施形態に係るWAN機器10のハードウェア構成の一例を示すブロック図である。図示するように、WAN機器10は、CPU(Central Processing Unit)101と、ROM(Read−Only Memory)102と、RAM(Random Access Memory)103とを有する。また、WAN機器10は、フラッシュメモリ(flash memory)104と、SSD(Solid State Drive)105と、メディアドライブ107と、操作ボタン108と、電源スイッチ109とを有する。さらに、WAN機器10は、ネットワークI/F(interface)111と、カメラ112と、撮像素子I/F113と、マイク114と、スピーカ115と、音声入出力I/F116と、ディスプレイI/F117と、外部機器接続I/F118と、認証受付I/F119とを有する。さらにまた、各ハードウェアは、バスライン110によって接続される。
CPU101は、WAN機器10が行う処理及びデータ加工を実現するための演算を行う演算装置である。また、CPU101は、各ハードウェアを制御する制御装置である。したがって、CPU101によって、WAN機器10の全体動作が制御される。
ROM102、RAM103、フラッシュメモリ104及びSSD105は、記憶装置の例である。例えば、ROM102には、IPL(Initial Program Loader)等のCPU101の駆動に用いられるプログラムが記憶される。また、RAM103は、主記憶装置の例であり、CPU101のワークエリア等に用いられる。さらに、フラッシュメモリ104には、CPU101の制御に基づいて、SSD105が、端末用プログラム、画像データ及び音声データ等のデータを記憶する。
メディアドライブ107は、フラッシュメモリ及び光ディスク等の記録媒体であるメディア106をWAN機器10に接続させる。また、メディアドライブ107は、メディア106に対して、データの読み出し及び書き込みを行う。
WAN機器10での処理を実現する情報処理プログラムは、例えば、メディア106によって提供される。情報処理プログラムを記録したメディア106がメディアドライブ107にセットされると、情報処理プログラムがメディア106からメディアドライブ107を介してSSD105にインストールされる。但し、情報処理プログラムのインストールは必ずしもメディア106より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。
なお、メディア106の一例としては、CD−ROM、DVDディスク、又はUSBメモリ等の可搬型の記録媒体が挙げられる。メディア106及びSSD105等の記憶装置のいずれについても、コンピュータ読み取り可能な記録媒体に相当する。
操作ボタン108は、ユーザによる操作を入力する入力装置の例である。例えば、操作ボタン108は、WAN機器10がコミュニケーションを行う宛先を選択する場合等に用いられる。
電源スイッチ109は、WAN機器10の電源のON/OFFを切り替える操作に用いられる。
ネットワークI/F111は、WAN機器10をネットワークに接続させるためのインタフェースである。例えば、ネットワークI/F111は、通信ネットワークを介して外部装置とデータを送受信する。
カメラ112は、被写体を撮像して画像データを生成する。また、カメラ112は、撮像素子I/F113によって制御される。すなわち、撮像素子I/F113は、例えば、通信ネットワークを介して、カメラ112が生成する画像データを外部装置に送信する。
マイク114は、音声を入力して音声データを生成する。また、スピーカ115は、音声データに基づいて音声を出力する。音声入出力I/F116は、マイク114及びスピーカ115をそれぞれ制御する。
ディスプレイI/F117は、ケーブル120cによって、ディスプレイ120を接続させる。ディスプレイ120は、画像及び操作用のアイコン等を表示する出力装置の例である。ケーブル120cは、アナログRGB(VGA)信号、コンポーネントビデオ、HDMI(登録商標)(High−Definition Multimedia Interface)又はDVI(Digital Visual Interface)用のケーブル等である。
認証受付I/F119は、例えば、図示しないカードリーダ等と接続し、社員証等のカードに記録されているユーザの情報を読み取る。
図3は、実施形態に係るWAN機器管理装置30、及びLAN機器管理装置40のハードウェア構成の一例を示すブロック図である。WAN機器管理装置30、及びLAN機器管理装置40は、例えば、同一のハードウェア構成でもよい。以下、WAN機器管理装置30を例に説明する。
WAN機器管理装置30は、CPU201、ROM202、RAM203、HD(Hard Disk)204、HDD(HD Drive)205、メディアドライブ207、ディスプレイ208及びネットワークI/F209を有する。また、WAN機器管理装置30は、ネットワークI/F209、キーボード211、マウス212及びCD−ROMドライブ214等を有する。さらにまた、各ハードウェアは、バスライン210によって接続される。
CPU201は、WAN機器管理装置30が行う処理及びデータ加工を実現するための演算を行う演算装置である。また、CPU201は、各ハードウェアを制御する制御装置である。したがって、CPU201によって、WAN機器管理装置30の全体動作が制御される。
ROM202、RAM203、HD204及びHDD205は、記憶装置の例である。例えば、ROM202には、IPL等のCPU201の駆動に用いられるプログラムが記憶される。また、RAM203は、主記憶装置の例であり、CPU201のワークエリア等に用いられる。さらに、HD204には、CPU201の制御に基づいて、HDD205が、所定のデータを記憶する。
メディアドライブ207は、フラッシュメモリ及び光ディスク等の記録媒体であるメディア206をWAN機器管理装置30に接続させる。また、メディアドライブ207は、メディア206に対して、データの読み出し及び書き込みを行う。
WAN機器管理装置30での処理を実現する情報処理プログラムは、例えば、メディア206によって提供される。情報処理プログラムを記録したメディア206がメディアドライブ207にセットされると、情報処理プログラムがメディア206からメディアドライブ207を介してHDD205にインストールされる。但し、情報処理プログラムのインストールは必ずしもメディア206より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。
なお、メディア206の一例としては、CD−ROM、DVDディスク、又はUSBメモリ等の可搬型の記録媒体が挙げられる。メディア206及びHDD205等の記憶装置のいずれについても、コンピュータ読み取り可能な記録媒体に相当する。
ディスプレイ208は、画像及び操作用のアイコン等を表示する出力装置の例である。
ネットワークI/F209は、WAN機器管理装置30をネットワークに接続させるためのインタフェースである。例えば、ネットワークI/F209は、通信ネットワークを介して外部装置とデータを送受信する。
キーボード211及びマウス212は、ユーザによる操作を入力する入力装置の例である。
CD−ROMドライブ214は、CD−ROM等の記録媒体であるメディア213をWAN機器管理装置30に接続させる。また、CD−ROMドライブ214は、メディア213に対して、データの読み出し及び書き込みを行う。
<機能構成例>
次に、図4を参照し、実施形態に係る情報処理システム1に含まれる各装置の機能構成について説明する。図4は、実施形態に係る情報処理システム1の機能構成の一例を示す機能ブロック図である。
≪WAN機器≫
WAN機器10は、読取部11、送信部12、受信部13、送信部14、及び機器認証部15を有する。これら各部は、WAN機器10にインストールされた1以上のプログラムが、WAN機器10のCPU101に実行させる処理により実現される。
読取部11は、ユーザが所持する社員証等(「所定の媒体」の一例。)から、前記ユーザの個人認証情報(「第1の認証情報」の一例。)を読み取る。
送信部12は、読取部11により読み取られた個人認証情報を含む認証要求を、LAN機器管理装置40に送信する。
受信部13は、送信部12が送信した認証要求に応じて、LAN機器管理装置40から第2パスワード(「第2の認証情報」の一例。)を受信する。なお、第2パスワードは、上述した個人認証情報に応じたデータであって、WAN機器管理装置30にユーザをログインさせるためのデータである。
送信部14は、受信部13により受信された第2パスワードを、WAN機器管理装置30に送信する。
機器認証部15は、WAN機器10の識別情報を用いて、WAN機器10を、WAN機器管理装置30に機器認証させる。
≪WAN機器管理装置≫
WAN機器管理装置30は、受信部32、認証部33、及び提供部34を有する。これら各部は、WAN機器管理装置30にインストールされた1以上のプログラムが、WAN機器管理装置30のCPU201に実行させる処理により実現される。
また、WAN機器管理装置30は、記憶部31を有する。記憶部31は、例えば、HDD205等の補助記憶装置等を用いて実現される。記憶部31は、WAN機器認証情報311を記憶する。WAN機器認証情報311に記憶されるデータについては後述する。
受信部32は、ユーザが所持する社員証等から読み取られた個人認証情報を、WAN機器10、またはLAN機器20から受信する。
認証部33は、受信部32により受信された個人認証情報に基づいて、WAN機器10、またはLAN機器20のユーザを認証する。
提供部34は、認証部33による認証が成功した場合、WAN機器10に、WAN機器10のユーザに応じた所定のサービスを提供する。
≪LAN機器管理装置≫
LAN機器管理装置40は、受信部42、認証部43、送信部44、及び提供部45を有する。これら各部は、LAN機器管理装置40にインストールされた1以上のプログラムが、LAN機器管理装置40のCPUに実行させる処理により実現される。
また、LAN機器管理装置40は、記憶部41を有する。記憶部41は、例えば、HDD等の補助記憶装置等を用いて実現される。記憶部41は、LAN機器認証情報411を記憶する。LAN機器認証情報411に記憶されるデータについては後述する。
受信部42は、LAN機器管理装置40においてWAN機器10のユーザの認証が成功したことを示す第2パスワードを、WAN機器10から受信する。
認証部43は、受信部42により受信された第2パスワードに基づいて、WAN機器10のユーザを認証する。
送信部44は、認証部43によるWAN機器10のユーザの認証が成功した場合、上述した個人認証情報に応じた第2パスワードを、WAN機器10に送信する。また、送信部44は、認証部43によるLAN機器20のユーザの認証が成功した場合、ログイン成功の応答をLAN機器20に送信する。
提供部45は、認証部43によるLAN機器20のユーザの認証が成功した場合、LAN機器20に当該ユーザに応じた所定のサービスを提供する。提供部45は、例えば、当該ユーザに対応付けてLAN機器20の印刷等の利用履歴を管理する。
<処理>
≪LAN機器認証≫
次に、図5を参照し、実施形態に係る情報処理システム1のLAN機器20を認証する処理について説明する。図5は、LAN機器20を認証する処理の一例を示すシーケンス図である。
ステップS101において、LAN機器20は、ユーザからのカード等をカードリーダにかざす等の操作により、当該カードに記憶されている個人認証情報を取得する。
なお、個人認証情報を記憶するカードは、例えば、社員証等の身分証、ユーザのモバイル端末、またはNFC(Near Field radio Communication)カード等である。カードリーダは、例えば、NFCによる非接触通信や、ICカードリーダによる接触通信等により、個人認証情報を読み取る。
続いて、LAN機器20は、取得した個人認証情報を含む認証要求をLAN機器管理装置40に送信する(ステップS102)。
続いて、LAN機器管理装置40の認証部43は、受信部42により受信された個人認証情報と、LAN機器認証情報411とに基づいて、ユーザを認証する(ステップS103)。
図6は、LAN機器認証情報411の一例を示す図である。LAN機器認証情報411には、ユーザIDに対応付けて、ユーザ名、個人認証情報、第2パスワード等が記憶される。ユーザIDは、社員等であるユーザの識別情報である。ユーザ名は、当該ユーザの氏名である。個人認証情報は、当該ユーザが所持する社員証等に記憶されている、当該ユーザを認証するための情報である。第2パスワードは、LAN機器管理装置40とWAN機器管理装置30とが共に、当該ユーザに対応付けて管理するユーザ認証用のデータである。
なお、LAN機器認証情報411は、管理者等の操作により、予め登録されている。
ここで、ステップS103において、LAN機器管理装置40の認証部43は、受信した個人認証情報と、図6に示すLAN機器認証情報411に記憶されている個人認証情報とを照合し、合致するものがあれば、ユーザの認証は成功であると判定する。
続いて、LAN機器管理装置40の送信部44は、認証の結果をLAN機器20に送信する(ステップS104)。
これにより、ユーザの認証に成功すれば、当該ユーザは、LAN機器20を用いたサービスを利用することができる。例えば、LAN機器管理装置40の提供部45は、当該ユーザに対応付けてLAN機器20の利用履歴を管理し、印刷部数の管理等のサービスを行う。
≪WAN機器認証≫
次に、図7を参照し、実施形態に係る情報処理システム1のWAN機器10を認証する処理について説明する。図7は、WAN機器10を認証する処理の一例を示すシーケンス図である。
ステップS201において、WAN機器10は、例えば、ユーザからの電源オン等の所定の操作に応じて、起動する。
続いて、WAN機器10の機器認証部15は、機器認証要求を、WAN機器管理装置30に送信する(ステップS202)。なお、ステップS202の処理は、起動時に行う代わりに、例えば、ユーザからの所定の操作を受け付けた際に行ってもよい。
続いて、WAN機器管理装置30の認証部33は、WAN機器10の機器認証を行う(ステップS203)。ここで、WAN機器管理装置30の認証部33は、例えば、予めWAN機器10にインストールされているクライアント証明書をWAN機器10から取得し、当該クライアント証明書に含まれるCommon Name等のWAN機器10の識別情報に基づいて、機器認証を行う。
続いて、WAN機器管理装置30の認証部33は、認証結果をWAN機器10に送信する(ステップS204)。ここで、WAN機器管理装置30は、機器認証に成功した場合、WAN機器10との間でTLS(Transport Layer Security)等を用いた暗号化された(セキュアな)通信セッションを確立してもよい。なお、当該通信セッションは、TLS等のトランスポート層のセッションでもよいし、TLSを用いたSIP(Session Initiation Protocol)やXMPP(Extensible Messaging and Presence Protocol)等のアプリケーション層等のプロトコルによるセッションでもよい。
続いて、WAN機器10の読取部11は、ユーザからのカード等をカードリーダにかざす等の操作により、当該ユーザのカードに記憶されている個人認証情報を取得する(ステップS205)。なお、ステップS205の処理は、上述した図5のステップS101の処理と同様である。
続いて、WAN機器10の送信部12は、取得した個人認証情報を含む代理認証要求をLAN機器管理装置40に送信する(ステップS206)。
続いて、LAN機器管理装置40の認証部43は、受信部42により受信された個人認証情報と、LAN機器認証情報411とに基づいて、当該ユーザを代理認証する(ステップS207)。
ここで、ステップS207において、LAN機器管理装置40の認証部43は、受信した個人認証情報と、図6に示すLAN機器認証情報411に記憶されている個人認証情報とを照合し、合致するものがあれば、ユーザの認証は成功であると判定する。
続いて、LAN機器管理装置40の送信部44は、代理認証の結果をWAN機器10に送信する(ステップS208)。ここで、LAN機器管理装置40の送信部44は、代理認証に成功した場合、図6に示すLAN機器認証情報411に記憶されている、当該ユーザの第2パスワードを、代理認証の結果に含めてWAN機器10に送信する。なお、LAN機器管理装置40の送信部44は、代理認証に失敗した場合、代理認証に失敗した旨を示す通知をWAN機器10に送信し、処理を終了する。
続いて、WAN機器10の送信部14は、代理認証に成功した場合、LAN機器管理装置40から取得した第2パスワードを含む認証要求を、WAN機器管理装置30に送信する(ステップS209)。ここで、WAN機器10の送信部14は、ステップS204で機器認証に成功した際に確立された、WAN機器10とWAN機器管理装置30との間のTLSを用いたセッションを用いて、第2パスワードを送信してもよい。または、WAN機器10の送信部14は、ステップS204で機器認証に成功した際に、WAN機器管理装置30により発行されたトークンを取得しておき、当該トークンを用いて、第2パスワードを送信してもよい。なお、トークンとは、例えば、1度だけ有効なパスワードの情報であり、WAN機器管理装置30は、当該トークンに基づいて、WAN機器10が機器認証済みであるか否かを判定する。
これにより、WAN機器管理装置30の認証部33は、WAN機器10の機器認証が成功していることを前提として、第2パスワードを用いたユーザの認証を行うことができる。
続いて、WAN機器管理装置30の認証部33は、受信した第2パスワードと、WAN機器認証情報311とに基づいて、ユーザの認証を行う(ステップS210)。
図8は、WAN機器認証情報311の一例を示す図である。WAN機器認証情報311には、アカウントIDに対応付けて、パスワード、第2パスワード、アドレス帳データ等が記憶される。アカウントIDは、WAN機器10を利用できるユーザのアカウントのID(ユーザID)である。パスワードは、ユーザがWAN機器10を利用してWAN機器管理装置30にログインするためのパスワードである。アドレス帳データは、アカウントIDに係るユーザのアドレス帳のデータである。当該アドレス帳には、例えば、各ユーザの操作等に応じて登録された、テレビ会議の相手となる他のWAN機器50−1、50−2、・・・の名前や通信アドレス等の情報が含まれている。なお、WAN機器認証情報311は、管理者等の操作により、予め登録されている。
ステップS210において、WAN機器管理装置30の認証部33は、受信した第2パスワードと、図8に示すWAN機器認証情報311に記憶されている第2パスワードとを照合し、合致するものがあれば、ユーザの認証は成功であると判定する。
続いて、WAN機器管理装置30の提供部34は、認証の結果をWAN機器10に送信する(ステップS211)。
ここで、ユーザの認証が成功した場合、WAN機器管理装置30の提供部34は、当該第2パスワードに対応付けられたアドレス帳データ等を、WAN機器10に送信する。これにより、当該ユーザは、当該アドレス帳を用いたテレビ電話の発信等、WAN機器10を用いたサービスを利用することができる。
<変形例>
上述した例では、LAN機器認証情報411及びWAN機器認証情報311に記憶される第2パスワードは、管理者やユーザ等により、予め設定されているものとして説明した。これに変えて、第2パスワードをワンタイムパスワードとしてもよい。この場合、LAN機器管理装置40及びWAN機器管理装置30は、例えば、ユーザ毎の乱数と、第2パスワードの生成方法とを、予め記憶しておき、WAN機器10からのユーザ認証の要求を受信した際に、当該ユーザ毎の乱数と、現在時刻等に基づいて、第2パスワードを生成する。
≪WAN機器管理装置におけるユーザ認証≫
次に、図9を参照し、実施形態に係るWAN機器管理装置30によるWAN機器10のユーザを認証する処理について説明する。図9は、WAN機器管理装置30によるWAN機器10のユーザを認証する処理の一例を示すフローチャートである。
ステップS301において、認証要求をWAN機器10、及びWAN機器50−1、50−2、・・・、のいずれかから受信する。
続いて、受信した認証要求が、通常のログイン要求であるか否かを判定する(ステップS302)。ここで、例えば、受信した認証要求に含まれるデータに基づき、通常のログイン要求であるか否かが判定される。
通常のログイン要求である場合(ステップS302でYES)、受信した認証要求に含まれるアカウントID及びパスワードと、WAN機器認証情報311とに基づいてユーザ認証を行い(ステップS303)、処理を終了する。
ここで、WAN機器管理装置30は、受信した認証要求に含まれるアカウントID及びパスワードの組と、図8に示すWAN機器認証情報311に記憶されているアカウントID及びパスワードの組とを照合し、合致するものがあれば、ユーザの認証は成功であると判定する。
通常のログイン要求でない場合(ステップS302でNO)、認証要求の要求元のWAN機器10、またはWAN機器50−1、50−2、・・・が、上述したステップS203の処理により機器認証済であるか否かを判定する(ステップS304)。
機器認証済でない場合(ステップS304でNO)、処理を終了する。これによりユーザ認証は失敗する。
機器認証済である場合(ステップS304でYES)、上述したステップS210の処理を行う。すなわち、受信した第2パスワードと、WAN機器認証情報311に含まれる第2パスワードとを照合してユーザの認証を行い(ステップS305)、処理を終了する。
<まとめ>
上述したように、実施形態に係る情報処理システムにおいて、WAN機器10は、ユーザが所持する社員証等の媒体から、当該ユーザの第1の認証情報を読み取り、当該第1の認証情報に基づいて、LAN機器管理装置40からユーザ認証を受ける。そして、WAN機器10は、ユーザ認証に成功すると、LAN機器管理装置40から第2パスワードを取得し、当該第2パスワードをWAN機器管理装置30に送信することにより、WAN機器管理装置30にログインする。
これにより、例えば、外部ネットワークに接続されるWAN機器10において、社員証をかざす等の、内部ネットワークに接続されるLAN機器20と同様の操作で、外部ネットワーク上のWAN機器管理装置30にログインすることができる。これにより、ユーザによるログイン操作の利便性が向上する。
また、例えば、WAN機器管理装置30とLAN機器管理装置40とが、それぞれ異なるネットワークに接続されている等により、公知のシングルサインオン等の機能を利用できない場合や、WAN機器管理装置30とLAN機器管理装置40とのうち少なくとも一方が、シングルサインオン等の機能をサポートしていない場合であっても、一のユーザアカウントで、テレビ会議や、MFPによる印刷等の複数のサービスを利用することができる。
また、単に、WAN機器管理装置30に、LAN機器認証情報411のデータの複製を記憶させ、当該データに基づいてユーザ認証を行う場合、例えば、インターネットを介してWAN機器管理装置30から認証用のデータが漏えいすると、例えば、MFP等の他のサービスの不正利用を防ぐために、WAN機器管理装置30とLAN機器管理装置40にそれぞれ記憶されている認証用のデータのみならず、ユーザが所持する社員証等のデータの書き換え、または社員証等の更新等が必要となり、比較的手間がかかる。
一方、本実施形態では、例えば、インターネットを介してWAN機器管理装置30から認証用のデータが漏えいした場合であっても、WAN機器管理装置30とLAN機器管理装置40にそれぞれ記憶されている第2パスワードを変更すればよい。また、WAN機器管理装置30は、第2パスワードと機器認証とを組み合わせてユーザ認証を行っているため、例えば、WAN機器10が社内の会議室等に設置されていることにより悪意のユーザがWAN機器10を操作できない場合は、第2パスワードの変更も不要となる。
本発明に係る各種処理は、上記で説明した装置によって行われるに限られない。すなわち、本発明に係る実施形態では、上記で説明した装置以外の装置で各種処理が行われてもよい。また、各種処理は、冗長、分散、並列又はこれらの組み合わせるように行われてもよい。
なお、本発明に係る実施形態は、情報端末、情報処理装置又は1以上の情報処理装置を有する情報処理システム等のコンピュータに情報処理方法を実行させるためのプログラムによって実現されてもよい。
以上、本発明の好ましい実施例について詳述したが、本発明は係る特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形又は変更が可能である。
1 情報処理システム
10 WAN機器(「情報端末」の一例。)
11 読取部
12 送信部
13 受信部
14 送信部
15 機器認証部
20 LAN機器
30 WAN機器管理装置(「第2の情報処理装置」の一例)
31 記憶部
311 WAN機器認証情報
32 受信部
33 認証部
34 提供部
40 LAN機器管理装置(「第1の情報処理装置」の一例)
41 記憶部
411 LAN機器認証情報
42 受信部
43 認証部
44 送信部
45 提供部
特許第4884065号

Claims (6)

  1. 情報端末であって、
    前記情報端末の識別情報を用いて、前記情報端末を、第2の情報処理装置に機器認証させる機器認証部と、
    ユーザが所持する所定の媒体から、前記ユーザの第1の認証情報を読み取る読取部と、
    機器認証部による前記第2の情報処理装置での機器認証に成功した場合、前記読取部により読み取られた前記ユーザの第1の認証情報を含む認証要求を、前記ユーザを管理する第1の情報処理装置に送信する第1の送信部と、
    前記第1の認証情報に応じたデータであって、前記情報端末に前記ユーザに応じた所定のサービスを提供する前記第2の情報処理装置に前記ユーザをログインさせるデータである第2の認証情報を、前記認証要求に応じて前記第1の情報処理装置から受信する受信部と、
    前記受信部により受信された前記第2の認証情報を、前記第2の情報処理装置に送信する第2の送信部と、
    を有する情報端末。
  2. 前記第2の送信部は、前記機器認証により前記情報端末と前記第2の情報処理装置との間で確立された暗号化された通信セッション、または前記機器認証により前記第2の情報処理装置から発行されたトークンを用いて、前記第2の認証情報を前記第2の情報処理装置に送信する
    請求項記載の情報端末。
  3. 前記読取部は、前記ユーザが所持する、身分証、モバイル端末、またはNFC(Near Field radio Communication)カードから、前記ユーザの第1の認証情報を読み取る、
    請求項1または2に記載の情報端末。
  4. 情報端末と、第1の情報処理装置と、第2の情報処理装置とを有し、
    前記情報端末は、
    前記情報端末の識別情報を用いて、前記情報端末を、第2の情報処理装置に機器認証させる機器認証部と、
    ユーザが所持する所定の媒体から、前記ユーザの第1の認証情報を読み取る読取部と、
    機器認証部による前記第2の情報処理装置での機器認証に成功した場合、前記読取部により読み取られた前記ユーザの第1の認証情報を含む認証要求を、前記ユーザを管理する第1の情報処理装置に送信する第1の送信部と、
    前記第1の認証情報に応じたデータであって、前記情報端末に前記ユーザに応じた所定のサービスを提供する前記第2の情報処理装置に前記ユーザをログインさせるデータである第2の認証情報を、前記認証要求に応じて前記第1の情報処理装置から受信する第1の受信部と、
    前記第1の受信部により受信された前記第2の認証情報を、前記第2の情報処理装置に送信する第2の送信部と、
    を有し、
    前記第1の情報処理装置は、
    前記ユーザが所持する所定の媒体から読み取られた前記ユーザの第1の認証情報を、前記情報端末から受信する第2の受信部と、
    前記第2の受信部により受信された前記第1の認証情報に基づいて、前記ユーザを認証する第1の認証部と、
    前記第1の認証部による認証が成功した場合、前記第1の認証情報に応じた前記第2の認証情報を、前記情報端末に送信する第3の送信部と、
    を有し、
    前記第2の情報処理装置は、
    前記第1の情報処理装置において情報端末のユーザの認証が成功したことを示す、前記ユーザの前記第2の認証情報を、前記情報端末から受信する第3の受信部と、
    前記第3の受信部により受信された前記第2の認証情報に基づいて、前記ユーザを認証する第2の認証部と、
    前記第2の認証部による認証が成功した場合、前記情報端末に前記ユーザに応じた所定のサービスを提供する提供部と、
    を有する、情報処理システム。
  5. 情報端末が、
    前記情報端末の識別情報を用いて、前記情報端末を、第2の情報処理装置に機器認証させる処理と、
    ユーザが所持する所定の媒体から、前記ユーザの第1の認証情報を読み取る処理と、
    機器認証させる処理による前記第2の情報処理装置での機器認証に成功した場合、前記読み取る処理により読み取られた前記ユーザの第1の認証情報を含む認証要求を、前記ユーザを管理する第1の情報処理装置に送信する処理と、
    前記第1の認証情報に応じたデータであって、前記情報端末に前記ユーザに応じた所定のサービスを提供する前記第2の情報処理装置に前記ユーザをログインさせるデータである第2の認証情報を、前記認証要求に応じて前記第1の情報処理装置から受信する処理と、
    前記受信する処理により受信された前記第2の認証情報を、前記第2の情報処理装置に送信する処理と、
    を実行する情報処理方法。
  6. 情報端末に、
    前記情報端末の識別情報を用いて、前記情報端末を、第2の情報処理装置に機器認証させる処理と、
    ユーザが所持する所定の媒体から、前記ユーザの第1の認証情報を読み取る処理と、
    機器認証させる処理による前記第2の情報処理装置での機器認証に成功した場合、前記読み取る処理により読み取られた前記ユーザの第1の認証情報を含む認証要求を、前記ユーザを管理する第1の情報処理装置に送信する処理と、
    前記第1の認証情報に応じたデータであって、前記情報端末に前記ユーザに応じた所定のサービスを提供する前記第2の情報処理装置に前記ユーザをログインさせるデータである第2の認証情報を、前記認証要求に応じて前記第1の情報処理装置から受信する処理と、
    前記受信する処理により受信された前記第2の認証情報を、前記第2の情報処理装置に送信する処理と、
    を実行させるプログラム。
JP2017053237A 2017-03-17 2017-03-17 情報端末、情報処理システム、情報処理方法及びプログラム Active JP6891569B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017053237A JP6891569B2 (ja) 2017-03-17 2017-03-17 情報端末、情報処理システム、情報処理方法及びプログラム
US15/915,097 US20180270233A1 (en) 2017-03-17 2018-03-08 Information terminal, information processing apparatus, information processing system, and information processing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017053237A JP6891569B2 (ja) 2017-03-17 2017-03-17 情報端末、情報処理システム、情報処理方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2018156440A JP2018156440A (ja) 2018-10-04
JP6891569B2 true JP6891569B2 (ja) 2021-06-18

Family

ID=63520760

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017053237A Active JP6891569B2 (ja) 2017-03-17 2017-03-17 情報端末、情報処理システム、情報処理方法及びプログラム

Country Status (2)

Country Link
US (1) US20180270233A1 (ja)
JP (1) JP6891569B2 (ja)

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4884065B2 (ja) * 2006-04-25 2012-02-22 株式会社三菱東京Ufj銀行 携帯端末を利用した金融取引サービス方法および金融取引サービスシステム
US20170344703A1 (en) * 2006-12-29 2017-11-30 Kip Prod P1 Lp Multi-services application gateway and system employing the same
JP5207776B2 (ja) * 2008-03-05 2013-06-12 エヌ・ティ・ティ・コミュニケーションズ株式会社 認証システム、情報機器、認証方法、及びプログラム
JP5339478B2 (ja) * 2010-08-31 2013-11-13 キヤノンマーケティングジャパン株式会社 情報処理システム、情報処理装置、及びその制御方法及びプログラム
EP2688263A1 (en) * 2012-07-17 2014-01-22 Tele2 Sverige AB System and method for delegated authentication and authorization
JP2014071788A (ja) * 2012-10-01 2014-04-21 Konica Minolta Inc ネットワークシステム、情報機器およびコンピュータープログラム
JP6032129B2 (ja) * 2013-05-31 2016-11-24 富士ゼロックス株式会社 処理指示装置、処理装置およびプログラム
US9668136B2 (en) * 2015-09-25 2017-05-30 Citrix Systems, Inc. Using derived credentials for enrollment with enterprise mobile device management services
US10187374B2 (en) * 2015-10-29 2019-01-22 Airwatch Llc Multi-factor authentication for managed applications using single sign-on technology
US10218698B2 (en) * 2015-10-29 2019-02-26 Verizon Patent And Licensing Inc. Using a mobile device number (MDN) service in multifactor authentication
US9749308B2 (en) * 2016-01-04 2017-08-29 Bank Of America Corporation System for assessing network authentication requirements based on situational instance
US10305901B2 (en) * 2016-05-06 2019-05-28 Blackberry Limited System and method for multi-factor authentication
CN107689944A (zh) * 2016-08-05 2018-02-13 阿里巴巴集团控股有限公司 身份认证方法、装置和系统

Also Published As

Publication number Publication date
JP2018156440A (ja) 2018-10-04
US20180270233A1 (en) 2018-09-20

Similar Documents

Publication Publication Date Title
US9288213B2 (en) System and service providing apparatus
US10749854B2 (en) Single sign-on identity management between local and remote systems
CN102611555B (zh) 数据处理设备
KR20170083039A (ko) 디바이스를 통한 콘텐츠 와이핑 동작 로밍 기법
WO2012081404A1 (ja) 認証システム、認証サーバ、サービス提供サーバ、認証方法、及びコンピュータ読み取り可能な記録媒体
US20180332137A1 (en) Information processing apparatus, system, information processing method, and program
WO2015049825A1 (ja) 端末認証登録システム、端末認証登録方法および記憶媒体
JP2017068596A (ja) 管理システム、通信システム、送信制御方法、及びプログラム
EP3261317B1 (en) Authentication system, communication system, and authentication and authorization method
US10681094B2 (en) Control system, communication control method, and program product
JP2018156129A (ja) 情報処理システム、情報処理装置及び情報処理方法
JP2017097652A (ja) 管理システム、通信システム、通信制御方法、及びプログラム
US20170339135A1 (en) Authentication system, communication system, and authentication method
WO2017166285A1 (zh) 一种切换会议终端的方法、设备及系统
JP6891569B2 (ja) 情報端末、情報処理システム、情報処理方法及びプログラム
JP2017098780A (ja) 管理システム、通信システム、通信制御方法、及びプログラム
US20210097023A1 (en) Decentralized Data System
US10178089B2 (en) Mobile terminal apparatus and control method
JP6922194B2 (ja) 接続判定プログラム、装置、及び方法
JP2019115040A (ja) 情報処理システム、情報処理装置及び情報端末装置
JP2020518085A (ja) 仮想マシン‐コンピュータにより実施されるセキュリティ方法およびシステム
JP2018157398A (ja) 情報端末、情報処理装置、情報処理システム、情報処理方法及びプログラム
JP6162611B2 (ja) 通信制御サーバ、通信制御方法、及びプログラム
TW202318230A (zh) 主機裝置的授權方法、非暫態電腦可讀取儲存媒體及主機裝置
JP2022053955A (ja) 方法、プログラム、情報処理装置、認証サーバ、および情報処理システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200116

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201014

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201225

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210427

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210510

R151 Written notification of patent or utility model registration

Ref document number: 6891569

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151