JP7005192B2 - 情報処理装置、情報処理方法及びプログラム - Google Patents
情報処理装置、情報処理方法及びプログラム Download PDFInfo
- Publication number
- JP7005192B2 JP7005192B2 JP2017129432A JP2017129432A JP7005192B2 JP 7005192 B2 JP7005192 B2 JP 7005192B2 JP 2017129432 A JP2017129432 A JP 2017129432A JP 2017129432 A JP2017129432 A JP 2017129432A JP 7005192 B2 JP7005192 B2 JP 7005192B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- server
- information processing
- time synchronization
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
Description
本発明は、情報処理装置、情報処理方法及びプログラムに関する。
例えば、ファイルを予め指定されていた宛先サーバーへ転送するシステムが存在する。このようなシステムでは宛先サーバーへのネットワーク転送にSMB(Server Message Block)等のファイル共有を行うネットワークプロトコルが使用される。また、このようなシステムでは、事前にファイル転送側と転送先との間でユーザー認証を行い、認証OKとなったユーザーに共有フォルダを閲覧させたりファイルの転送を許可したりする。
ユーザー認証にはKerberos認証や、NTLM認証が使用される。NTLM認証はファイル転送側と転送先との間で1対1認証が可能であり、利便性の観点で有用である。Kerberos認証はKDC(Key Distribution Center)がユーザー認証情報を統合管理し、ファイル転送側はKDCに対して認証を行い、チケットを取得する。ファイル転送先のユーザー情報もKDC側で管理されており、ファイル転送側はKDCから取得したチケットを使用して転送先へアクセスする。
Kerberos認証は中規模以上のOffice環境の統合ユーザー認証管理システムで使用されている(特許文献1)。
ユーザー認証にはKerberos認証や、NTLM認証が使用される。NTLM認証はファイル転送側と転送先との間で1対1認証が可能であり、利便性の観点で有用である。Kerberos認証はKDC(Key Distribution Center)がユーザー認証情報を統合管理し、ファイル転送側はKDCに対して認証を行い、チケットを取得する。ファイル転送先のユーザー情報もKDC側で管理されており、ファイル転送側はKDCから取得したチケットを使用して転送先へアクセスする。
Kerberos認証は中規模以上のOffice環境の統合ユーザー認証管理システムで使用されている(特許文献1)。
Kerberos認証のような統合ユーザー認証管理システムではKDCのような認証サーバーと情報処理装置とがそれぞれ管理している時刻の差分が認証に影響することがある。
認証サーバー側は統合ユーザー認証管理システムの運用上、時刻管理を徹底している。しかしながら、情報処理装置はMFPやPC等の端末であり、運用が端末毎の管理者、使用者に任されているため認証サーバーと比べ、時刻管理がルーズになっている。
時刻が認証サーバーとの間で一定時間の差分があった場合、認証失敗となるが認証サーバー側はセキュリティ等の理由から認証失敗となった詳細な理由については情報処理装置に応答しないのが一般的である。
結果的に認証に失敗するとユーザーID、パスワードの何れかの入力ミスであるか、原因不明な理由によって認証できないと判断され、情報処理装置の利便性が低下する。
認証サーバー側は統合ユーザー認証管理システムの運用上、時刻管理を徹底している。しかしながら、情報処理装置はMFPやPC等の端末であり、運用が端末毎の管理者、使用者に任されているため認証サーバーと比べ、時刻管理がルーズになっている。
時刻が認証サーバーとの間で一定時間の差分があった場合、認証失敗となるが認証サーバー側はセキュリティ等の理由から認証失敗となった詳細な理由については情報処理装置に応答しないのが一般的である。
結果的に認証に失敗するとユーザーID、パスワードの何れかの入力ミスであるか、原因不明な理由によって認証できないと判断され、情報処理装置の利便性が低下する。
本発明の情報処理装置は、時刻同期サーバーと時刻同期の処理を行う同期手段と、第1の認証方式で認証を行う第1の認証手段と、第2の認証方式で認証を行う第2の認証手段と、を有し、前記第1の認証手段による認証に失敗した場合は、第2の認証手段による認証を行い、前記第2の認証手段による認証にも失敗した場合に通知を行うが、さらに、前記第2の認証手段による認証に成功しても時刻同期に成功していなければ通知を行うことを特徴とし、前者は認証失敗の通知であり、後者は時刻同期サーバーの時刻と差分があることを示す通知である。
本発明によれば、情報処理装置の利便性を向上させることができる。
以下、本発明の実施形態について図面に基づいて説明する。
<第1の実施形態>
図1は、情報処理システムのシステム構成の一例を示す図である。情報処理システムでは、MFP101、サーバー102、統合認証管理サーバー103、時刻同期サーバー104がネットワークを介して接続され、相互に通信可能となっている。
MFP101は、ファイル転送側のデバイスの一例である。また、MFP101は、画像処理装置の一例である。
サーバー102は、ファイル転送先のサーバーであり、一般的なファイルシステムを保持するPC等の端末である。サーバー102は、データ送信先のサーバーの一例である。
統合認証管理サーバー103は、Kerberos認証等を使用してサーバー102へログインするためのユーザー認証情報を管理している。統合認証管理サーバー103は、認証サーバーの一例である。
時刻同期サーバー104は、NTP(Network Time Protocol)を搭載し、ネットワーク越しに時刻同期要求を受け付け、時刻を応答し、時刻同期要求を送信してきたデバイスと時刻の同期をとる時刻同期処理を行う。
図1は、情報処理システムのシステム構成の一例を示す図である。情報処理システムでは、MFP101、サーバー102、統合認証管理サーバー103、時刻同期サーバー104がネットワークを介して接続され、相互に通信可能となっている。
MFP101は、ファイル転送側のデバイスの一例である。また、MFP101は、画像処理装置の一例である。
サーバー102は、ファイル転送先のサーバーであり、一般的なファイルシステムを保持するPC等の端末である。サーバー102は、データ送信先のサーバーの一例である。
統合認証管理サーバー103は、Kerberos認証等を使用してサーバー102へログインするためのユーザー認証情報を管理している。統合認証管理サーバー103は、認証サーバーの一例である。
時刻同期サーバー104は、NTP(Network Time Protocol)を搭載し、ネットワーク越しに時刻同期要求を受け付け、時刻を応答し、時刻同期要求を送信してきたデバイスと時刻の同期をとる時刻同期処理を行う。
図2は、MFP101のハードウェア構成の一例を示す図である。MFP101は、NIC205を介してネットワークに接続されている。
CPU201は、MFP101の全体を制御する。CPU201が不揮発メモリ203に記憶されたプログラムに基づき処理を実行することによって、後述する図3のソフトウェア構成及び図4のフローチャートの処理が実現される。
RAM202は、ランダムアクセスメモリであり、CPU201がプログラムに基づき処理を実行する際の一時的なデータの格納等に使用される。
不揮発メモリ203は、Flashメモリを含むストレージ空間であり、MFP101のプログラムや各種設定値を保存したり、印刷データ、スキャンデータをスプールしたりするのに使用される。
電源制御204は、MFP101の電源装置である。電源制御204は、電源のON/OFFやSleep時の通電制御を行う。
NIC205は、MFP101をネットワークに接続し、ネットワーク上の外部装置とのデータ通信を制御する。
CPU201は、MFP101の全体を制御する。CPU201が不揮発メモリ203に記憶されたプログラムに基づき処理を実行することによって、後述する図3のソフトウェア構成及び図4のフローチャートの処理が実現される。
RAM202は、ランダムアクセスメモリであり、CPU201がプログラムに基づき処理を実行する際の一時的なデータの格納等に使用される。
不揮発メモリ203は、Flashメモリを含むストレージ空間であり、MFP101のプログラムや各種設定値を保存したり、印刷データ、スキャンデータをスプールしたりするのに使用される。
電源制御204は、MFP101の電源装置である。電源制御204は、電源のON/OFFやSleep時の通電制御を行う。
NIC205は、MFP101をネットワークに接続し、ネットワーク上の外部装置とのデータ通信を制御する。
操作部206は、各種操作画面を表示させ、操作画面を介して入力される指示をCPU201に伝達する。
スキャン207は、スキャナーであり、入稿された用紙に記載されているドキュメントや画像読み取り、画像データ、ファイルに変換する処理を行う。
プリンタ208は、画像データに基づく画像を記録媒体上に印刷する。印刷の際、プリンタ208は、印刷データに対して、色変換、フィルタ処理、解像度変換等の処理を行う。
FAX209は、ファクシミリであり、電話回線等を通じて転送先からのドキュメント、画像データを受信し、印刷するためにプリンタ208へデータを受け渡したり、スキャン207から渡されるデータを転送先に送信したりする。
RTC210は、MFP101内の現在時刻を管理するリアルタイムクロックである。
スキャン207は、スキャナーであり、入稿された用紙に記載されているドキュメントや画像読み取り、画像データ、ファイルに変換する処理を行う。
プリンタ208は、画像データに基づく画像を記録媒体上に印刷する。印刷の際、プリンタ208は、印刷データに対して、色変換、フィルタ処理、解像度変換等の処理を行う。
FAX209は、ファクシミリであり、電話回線等を通じて転送先からのドキュメント、画像データを受信し、印刷するためにプリンタ208へデータを受け渡したり、スキャン207から渡されるデータを転送先に送信したりする。
RTC210は、MFP101内の現在時刻を管理するリアルタイムクロックである。
図3は、MFP101のソフトウェア構成の一例を示す図である。
UI処理部301は、操作部206を介して印刷、スキャン、FAX等に関する各種設定を取得して表示したり、それぞれのジョブの状況や履歴を表示したりする。
スキャン処理部302は、スキャン207を介して入稿され、読み取ったドキュメントや画像をスキャンジョブやファイルとして管理する。
スキャン処理部302は、スキャンジョブやファイルを指定された宛先へ転送するために操作部206を介して設定される転送先情報や転送手段、転送タイミング、転送先へのユーザー認証情報等を管理する。
時刻同期処理部303は、RTC210から現在時刻を取得し、時刻同期サーバー104へNTPを使用した時刻同期要求を行う。時刻同期処理部303は、時刻同期サーバー104から時刻を受信してRTC210に対して受信した時刻を再設定する。
時刻同期処理は時刻同期処理部303がUI処理部301や認証処理部304からの時刻同期、設定指示を受けて行う。
認証処理部304は、スキャン処理部302から渡されるユーザー認証情報を使用してファイル送信先であるサーバー102へログインするためにユーザー認証処理を行う。
ユーザー認証処理において、どの認証方式を使用するかは認証処理部304がサーバー102から返される認証可能方式リストから判断する。
UI処理部301は、操作部206を介して印刷、スキャン、FAX等に関する各種設定を取得して表示したり、それぞれのジョブの状況や履歴を表示したりする。
スキャン処理部302は、スキャン207を介して入稿され、読み取ったドキュメントや画像をスキャンジョブやファイルとして管理する。
スキャン処理部302は、スキャンジョブやファイルを指定された宛先へ転送するために操作部206を介して設定される転送先情報や転送手段、転送タイミング、転送先へのユーザー認証情報等を管理する。
時刻同期処理部303は、RTC210から現在時刻を取得し、時刻同期サーバー104へNTPを使用した時刻同期要求を行う。時刻同期処理部303は、時刻同期サーバー104から時刻を受信してRTC210に対して受信した時刻を再設定する。
時刻同期処理は時刻同期処理部303がUI処理部301や認証処理部304からの時刻同期、設定指示を受けて行う。
認証処理部304は、スキャン処理部302から渡されるユーザー認証情報を使用してファイル送信先であるサーバー102へログインするためにユーザー認証処理を行う。
ユーザー認証処理において、どの認証方式を使用するかは認証処理部304がサーバー102から返される認証可能方式リストから判断する。
送受信部305は、時刻同期処理部303や後述するデータ送信処理部306からの各種送信、受信指示に対してネットワークパケットを生成する。送受信部305は、生成したパケットをサーバー102や統合認証管理サーバー103、時刻同期サーバー104に送信したり、返される応答データを受信してパケット解析処理を行ったりする。
送受信部305は、サーバー102に対してSMBやWebDAVを使用してファイル転送を行ったり統合認証管理サーバー103に対してKerberos認証の通信を行ったり時刻同期サーバー104に対してNTPで時刻同期のための通信を行ったりする。
データ送信処理部306は、スキャン処理部302から渡されるスキャンジョブ、ファイルを、送受信部305を介してサーバー102へ送信する。また、データ送信処理部306は、サーバー102の共有フォルダ内の、どのフォルダパスに対してデータ送信するのかをMFP101の操作者に選択させる目的でサーバー102の共有フォルダ内の複数のフォルダをブラウズする処理を行う。データ送信処理部306は、ブラウズ状況の情報を、スキャン処理部302を介してUI処理部301へ通知することによってMFP101の操作者にデータ転送先を選択させることを可能にする。更に、データ送信処理部306は、認証処理部304からの指示を受けて送受信部305を介してサーバー102へのファイル共有のためのログインを目的としたユーザー認証要求を行う。
ユーザー認証のための認証方式は認証処理部304によって判断されるが、その方式によってデータ送信処理部306は、サーバー102へ認証要求するのか、統合認証管理サーバー103へ認証要求するのかを判断し、対象のサーバーへ認証要求する。
送受信部305は、サーバー102に対してSMBやWebDAVを使用してファイル転送を行ったり統合認証管理サーバー103に対してKerberos認証の通信を行ったり時刻同期サーバー104に対してNTPで時刻同期のための通信を行ったりする。
データ送信処理部306は、スキャン処理部302から渡されるスキャンジョブ、ファイルを、送受信部305を介してサーバー102へ送信する。また、データ送信処理部306は、サーバー102の共有フォルダ内の、どのフォルダパスに対してデータ送信するのかをMFP101の操作者に選択させる目的でサーバー102の共有フォルダ内の複数のフォルダをブラウズする処理を行う。データ送信処理部306は、ブラウズ状況の情報を、スキャン処理部302を介してUI処理部301へ通知することによってMFP101の操作者にデータ転送先を選択させることを可能にする。更に、データ送信処理部306は、認証処理部304からの指示を受けて送受信部305を介してサーバー102へのファイル共有のためのログインを目的としたユーザー認証要求を行う。
ユーザー認証のための認証方式は認証処理部304によって判断されるが、その方式によってデータ送信処理部306は、サーバー102へ認証要求するのか、統合認証管理サーバー103へ認証要求するのかを判断し、対象のサーバーへ認証要求する。
図4は、認証処理の一例を示すフローチャートである。
MFP101の操作者からスキャンデータが入稿され操作部206を介して指定されたサーバー102へスキャンデータの転送を行う際、サーバー102へ事前にログインすることが必要になるが、ログイン時に行うユーザー認証の例について説明する。
S401にて、認証処理部304は、データ送信処理部306、送受信部305を介してサーバー102へユーザー認証要求を行う。
S402にて、S401のサーバー102からの応答として認証処理部304は、送受信部305、データ送信処理部306を介してサーバー102が対応可能な認証可能方式リストを受信する。認証可能方式リストにはNTLM認証やKerberos認証等のユーザー認証方式についてサーバー102が処理可能な方式のみが含まれている。認証可能方式リストは、認証方式の一覧の一例である。
S403にて、認証処理部304は、認証可能方式リストの中からMFP101が処理可能なユーザー認証方式のうち、よりセキュリティ強度の高いものを優先的に選択する。本実施形態において、MFP101が処理可能な認証方式をKerberos認証とNTLM認証とした場合、認証処理部304は、認証可能方式リスト内にKerberos認証が含まれているかを判定する。認証処理部304は、認証可能方式リスト内にKerberos認証が含まれている場合(S403においてYES)、S404に進み、認証可能方式リスト内にKerberos認証が含まれていない場合(S403においてNO)、S416に進む。
MFP101の操作者からスキャンデータが入稿され操作部206を介して指定されたサーバー102へスキャンデータの転送を行う際、サーバー102へ事前にログインすることが必要になるが、ログイン時に行うユーザー認証の例について説明する。
S401にて、認証処理部304は、データ送信処理部306、送受信部305を介してサーバー102へユーザー認証要求を行う。
S402にて、S401のサーバー102からの応答として認証処理部304は、送受信部305、データ送信処理部306を介してサーバー102が対応可能な認証可能方式リストを受信する。認証可能方式リストにはNTLM認証やKerberos認証等のユーザー認証方式についてサーバー102が処理可能な方式のみが含まれている。認証可能方式リストは、認証方式の一覧の一例である。
S403にて、認証処理部304は、認証可能方式リストの中からMFP101が処理可能なユーザー認証方式のうち、よりセキュリティ強度の高いものを優先的に選択する。本実施形態において、MFP101が処理可能な認証方式をKerberos認証とNTLM認証とした場合、認証処理部304は、認証可能方式リスト内にKerberos認証が含まれているかを判定する。認証処理部304は、認証可能方式リスト内にKerberos認証が含まれている場合(S403においてYES)、S404に進み、認証可能方式リスト内にKerberos認証が含まれていない場合(S403においてNO)、S416に進む。
S404にて、認証処理部304は、時刻同期処理を行う必要があるか、また時刻同期処理を行うことが可能かについて判定する。認証処理部304は、時刻同期処理を行う必要があるかを、後述する時刻同期済フラグによって一定時間内に時刻同期が行われているか否かで判定する。また、認証処理部304は、NTPでの時刻同期処理可否を、MFP101のNTP設定のON/OFFと時刻同期サーバー104のIPアドレスが設定されているか否かとで判定する。認証処理部304は、時刻同期処理を行う必要があり、時刻同期処理を行うことが可能であると判定すると(S404においてYES)、S405に進み、そうでないと判定すると(S404においてNO)、S408に進む。
S405にて、認証処理部304は、時刻同期処理部303へ時刻同期処理を指示する。時刻同期処理部303は、時刻同期サーバー104に対してNTPを使用した時刻同期処理を行う。
S406にて、認証処理部304は、時刻同期が成功したか否かを判定する。認証処理部304は、時刻同期が成功したと判定すると(S406においてYES)、S407に進み、時刻同期が失敗したと判定すると(S406においてNO)、S408に進む。
S407にて、時刻同期処理部303は、自身が管理している時刻同期済フラグをセットし、認証処理部304へ時刻同期結果を通知する。
時刻同期済フラグはある一定時間の間、時刻同期を行ったか否かを示すものであり、設定された閾値を超える時間で時刻同期が行われなかった場合、時刻同期処理部303は、このフラグを未同期に初期化する。
S405にて、認証処理部304は、時刻同期処理部303へ時刻同期処理を指示する。時刻同期処理部303は、時刻同期サーバー104に対してNTPを使用した時刻同期処理を行う。
S406にて、認証処理部304は、時刻同期が成功したか否かを判定する。認証処理部304は、時刻同期が成功したと判定すると(S406においてYES)、S407に進み、時刻同期が失敗したと判定すると(S406においてNO)、S408に進む。
S407にて、時刻同期処理部303は、自身が管理している時刻同期済フラグをセットし、認証処理部304へ時刻同期結果を通知する。
時刻同期済フラグはある一定時間の間、時刻同期を行ったか否かを示すものであり、設定された閾値を超える時間で時刻同期が行われなかった場合、時刻同期処理部303は、このフラグを未同期に初期化する。
S408にて、認証処理部304は、データ送信処理部306へKerberos認証を指示する。データ送信処理部306は、送受信部305を介してKDC等の統合認証管理サーバー103へKerberos認証を行う。データ送信処理部306は、送受信部305を介してKerberos認証の認証結果を認証処理部304へ通知する。
S409にて、認証処理部304は、Kerberos認証に成功したか否かを判定する。認証処理部304は、Kerberos認証に成功したと判定すると(S409においてYES)、S417に進み、Kerberos認証に失敗したと判定すると(S409においてNO)、S410に進む。
S417にて、データ送信処理部306は、送受信部305を介して統合認証管理サーバー103からサーバー102へアクセスするためのチケットを取得し、認証処理部304へ通知する。認証処理部304は、認証結果をスキャン処理部302へ通知する。スキャン処理部302は、認証結果を、UI処理部301を介してMFP101の操作者に表示し、サーバー102へログインしたことを通知して、図4に示すフローチャートの処理を終了する。これによってそれ以降におけるMFP101からサーバー102へのスキャンデータ転送処理が可能となる。
S409にて、認証処理部304は、Kerberos認証に成功したか否かを判定する。認証処理部304は、Kerberos認証に成功したと判定すると(S409においてYES)、S417に進み、Kerberos認証に失敗したと判定すると(S409においてNO)、S410に進む。
S417にて、データ送信処理部306は、送受信部305を介して統合認証管理サーバー103からサーバー102へアクセスするためのチケットを取得し、認証処理部304へ通知する。認証処理部304は、認証結果をスキャン処理部302へ通知する。スキャン処理部302は、認証結果を、UI処理部301を介してMFP101の操作者に表示し、サーバー102へログインしたことを通知して、図4に示すフローチャートの処理を終了する。これによってそれ以降におけるMFP101からサーバー102へのスキャンデータ転送処理が可能となる。
Kerberos認証が失敗した場合、MFP101と統合認証管理サーバー103との時刻差分が原因で認証失敗になった可能性がある。これを確認するためにS410にて、認証処理部304は、時刻同期済か否かを判定する。認証処理部304は、時刻同期済であると判定すると(S410においてYES)、S418に進み、時刻同期済でないと判定すると(S410においてNO)、S411に進む。S410の処理は、時刻同期処理が設定された時間内に行われているか否かを判定する処理の一例である。
時刻同期済でない場合、時刻同期を行わない(時刻同期されていることを詳細にチェックしない)別の認証方式で再認証すると認証成功する可能性がある。本実施形態ではMFP101の処理可能なユーザー認証方式の1つにNTLM認証があるため、認証処理部304は、NTLM認証を行うことを試みる。一般にPCやMFPにおいてセキュリティポリシー等の設定によって認証や暗号等のセキュリティ強度を高めるような設定が存在する。本実施形態のMFP101において、セキュリティポリシー設定を導入している場合、NTLM認証を行わないようにすることが可能である。
S411にて、認証処理部304は、MFP101のセキュリティポリシー設定を取得し、NTLM認証を行うか否かを判定する。認証処理部304は、セキュリティポリシーにてNTLM認証が無効になっているか否かを判定する。認証処理部304は、NTLM認証が無効になっていると判定すると(S411においてYES)、S412に進み、NTLM認証が無効になっていないと判定すると(S411においてNO)、S418に進む。
S412にて、認証処理部304は、データ送信処理部306へNTLM認証を指示する。データ送信処理部306は、送受信部305を介してサーバー102へNTLM認証を行う。データ送信処理部306は、送受信部305を介してサーバー102より受信した認証結果を認証処理部304へ通知する。
時刻同期済でない場合、時刻同期を行わない(時刻同期されていることを詳細にチェックしない)別の認証方式で再認証すると認証成功する可能性がある。本実施形態ではMFP101の処理可能なユーザー認証方式の1つにNTLM認証があるため、認証処理部304は、NTLM認証を行うことを試みる。一般にPCやMFPにおいてセキュリティポリシー等の設定によって認証や暗号等のセキュリティ強度を高めるような設定が存在する。本実施形態のMFP101において、セキュリティポリシー設定を導入している場合、NTLM認証を行わないようにすることが可能である。
S411にて、認証処理部304は、MFP101のセキュリティポリシー設定を取得し、NTLM認証を行うか否かを判定する。認証処理部304は、セキュリティポリシーにてNTLM認証が無効になっているか否かを判定する。認証処理部304は、NTLM認証が無効になっていると判定すると(S411においてYES)、S412に進み、NTLM認証が無効になっていないと判定すると(S411においてNO)、S418に進む。
S412にて、認証処理部304は、データ送信処理部306へNTLM認証を指示する。データ送信処理部306は、送受信部305を介してサーバー102へNTLM認証を行う。データ送信処理部306は、送受信部305を介してサーバー102より受信した認証結果を認証処理部304へ通知する。
S413にて、認証処理部304は、認証結果に基づきNTLM認証に成功したか否かを判定する。認証処理部304は、NTLM認証に成功したと判定すると(S413においてYES)、S414に進み、NTLM認証に失敗したと判定すると(S413においてNO)、S418に進む。
S414にて、認証処理部304は、時刻同期済か否かを判定する。認証処理部304は、時刻同期済であると判定すると(S414においてYES)、S415に進み、時刻同期済でないと判定すると(S414においてNO)、S417に進む。
S415にて、認証処理部304は、Kerberos認証が失敗、NTLM認証が成功という結果から統合認証管理サーバー103とMFP101との時刻に差分がある可能性をNTLM認証の結果と共にスキャン処理部302へ通知する。スキャン処理部302は、統合認証管理サーバー103とMFP101との時刻に差分があることを警告するメッセージを、UI処理部301を介してMFP101の操作者に表示する。警告するメッセージの一例を、後述する図5に示す。
S414にて、認証処理部304は、時刻同期済か否かを判定する。認証処理部304は、時刻同期済であると判定すると(S414においてYES)、S415に進み、時刻同期済でないと判定すると(S414においてNO)、S417に進む。
S415にて、認証処理部304は、Kerberos認証が失敗、NTLM認証が成功という結果から統合認証管理サーバー103とMFP101との時刻に差分がある可能性をNTLM認証の結果と共にスキャン処理部302へ通知する。スキャン処理部302は、統合認証管理サーバー103とMFP101との時刻に差分があることを警告するメッセージを、UI処理部301を介してMFP101の操作者に表示する。警告するメッセージの一例を、後述する図5に示す。
S416にて、認証処理部304は、ユーザー認証の次の優先度として認証可能方式リスト内にNTLM認証が含まれているかを判定する。認証処理部304は、ユーザー認証の次の優先度として認証可能方式リスト内にNTLM認証が含まれている場合(S416においてYES)、S411に進む。また、認証処理部304は、認証可能方式リスト内にNTLM認証が含まれていない場合(S416においてNO)、S418に進む。
S418にて、認証処理部304は、認証結果をスキャン処理部302へ通知する。スキャン処理部302は、認証結果を、UI処理部301を介してMFP101の操作者に表示し、サーバー102へのログインに失敗したことを通知する。そして、スキャン処理部302は、図4に示すフローチャートの処理を終了する。
S418にて、認証処理部304は、認証結果をスキャン処理部302へ通知する。スキャン処理部302は、認証結果を、UI処理部301を介してMFP101の操作者に表示し、サーバー102へのログインに失敗したことを通知する。そして、スキャン処理部302は、図4に示すフローチャートの処理を終了する。
図5は、S415において操作部206上に表示する、MFP101の操作者に対して統合認証管理サーバー103とMFP101との時刻に差分があることを警告するメッセージの一例を示す図である。
画面501はユーザー認証に成功した場合に表示するサーバー102の共有フォルダ内フォルダリストを表示する画面である。データ送信処理部306がブラウズ処理でサーバー102から情報フォルダパスのリストを取得したものを操作部206上に表示している。
メッセージ502はS415にて、統合認証管理サーバー103とMFP101との時刻に差分があることを警告するメッセージである。
認証処理部304が、Kerberos認証が失敗、NTLM認証が成功という結果から時刻差分がある可能性をスキャン処理部302へ通知する。そしてスキャン処理部302がUI処理部301を介して表示している。
ボタン503は時刻設定、同期ボタンである。ボタン503は、時刻同期、又は時刻設定するための画面を表示させるためのオブジェクトの一例である。
操作部206上にメッセージ502を表示することによって、MFP101の操作者に対して直ちに時刻設定、同期処理の指示を促すことを目的として表示している。
画面501はユーザー認証に成功した場合に表示するサーバー102の共有フォルダ内フォルダリストを表示する画面である。データ送信処理部306がブラウズ処理でサーバー102から情報フォルダパスのリストを取得したものを操作部206上に表示している。
メッセージ502はS415にて、統合認証管理サーバー103とMFP101との時刻に差分があることを警告するメッセージである。
認証処理部304が、Kerberos認証が失敗、NTLM認証が成功という結果から時刻差分がある可能性をスキャン処理部302へ通知する。そしてスキャン処理部302がUI処理部301を介して表示している。
ボタン503は時刻設定、同期ボタンである。ボタン503は、時刻同期、又は時刻設定するための画面を表示させるためのオブジェクトの一例である。
操作部206上にメッセージ502を表示することによって、MFP101の操作者に対して直ちに時刻設定、同期処理の指示を促すことを目的として表示している。
図6は、ボタン503が選択されることによって操作部206上に表示される時刻設定、同期処理を指示するための画面の一例を示す図である。
時刻601はMFP101で管理している現在日時を意味する。より具体的にはRTC210で管理している時刻である。
入力部602はMFP101の操作者から操作部206を通して日時を手動で設定する場合に必要とする日時入力部である。
ボタン603は入力部602において手動入力が行われた後、MFP101に対して入力した日時を反映する目的で選択するためのボタンである。ボタン603の選択によってUI処理部301がRTC210に入力部602を介して入力された日時をセットし、時刻601の現在日時を、入力部602を介して入力された日時に変更表示する。
MFP101の日時が手動入力された場合、時刻同期処理部303は、入力違い等の可能性から時刻同期済フラグはセットしないものとする。
ボタン604はNTPを使用した時刻同期を行うためのボタンである。ボタン604の選択によって、UI処理部301が時刻同期処理部303へ時刻同期処理を指示する。そして、時刻同期処理部303が時刻同期サーバー104へ時刻同期を行う。時刻同期処理部303が時刻同期サーバー104から返された時刻をRTC210へ反映し、時刻同期済フラグをセットすることによって時刻同期が完了する。
時刻601はMFP101で管理している現在日時を意味する。より具体的にはRTC210で管理している時刻である。
入力部602はMFP101の操作者から操作部206を通して日時を手動で設定する場合に必要とする日時入力部である。
ボタン603は入力部602において手動入力が行われた後、MFP101に対して入力した日時を反映する目的で選択するためのボタンである。ボタン603の選択によってUI処理部301がRTC210に入力部602を介して入力された日時をセットし、時刻601の現在日時を、入力部602を介して入力された日時に変更表示する。
MFP101の日時が手動入力された場合、時刻同期処理部303は、入力違い等の可能性から時刻同期済フラグはセットしないものとする。
ボタン604はNTPを使用した時刻同期を行うためのボタンである。ボタン604の選択によって、UI処理部301が時刻同期処理部303へ時刻同期処理を指示する。そして、時刻同期処理部303が時刻同期サーバー104へ時刻同期を行う。時刻同期処理部303が時刻同期サーバー104から返された時刻をRTC210へ反映し、時刻同期済フラグをセットすることによって時刻同期が完了する。
以上により、ユーザー認証情報の入力違いではなく、時刻差分による認証失敗をMFPの操作者に警告することができ、MFPでのユーザー認証の利便性低下を軽減させることができる。
<その他の実施形態>
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給する。そして、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読み出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給する。そして、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読み出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
以上、本発明の実施形態の一例について詳述したが、本発明は係る特定の実施形態に限定されるものではない。
上述したMFP101のソフトウェア構成の一部又は全てはハードウェア構成としてMFP101に実装してもよい。
また、MFP101のハードウェア構成として、CPU、RAM、不揮発メモリ、NIC等は1つである必要はない。複数のCPUがプログラムに基づき、複数のRAM、ROM、HDDに記憶されたデータ等を用いながら処理を実行することでMFP101の機能等を実現するようにしてもよい。
また、CPUの替わりにGPU(Graphics Processing Unit)等が用いられてもよい。
上述したMFP101のソフトウェア構成の一部又は全てはハードウェア構成としてMFP101に実装してもよい。
また、MFP101のハードウェア構成として、CPU、RAM、不揮発メモリ、NIC等は1つである必要はない。複数のCPUがプログラムに基づき、複数のRAM、ROM、HDDに記憶されたデータ等を用いながら処理を実行することでMFP101の機能等を実現するようにしてもよい。
また、CPUの替わりにGPU(Graphics Processing Unit)等が用いられてもよい。
以上、上述した各実施形態の処理によれば、ファイル転送側のデバイスであるMFP101の利便性を向上させることができる。
101 MFP
201 CPU
206 操作部
201 CPU
206 操作部
Claims (13)
- 時刻同期サーバーと時刻同期の処理を行う同期手段と、
第1の認証方式で認証を行う第1の認証手段と、
第2の認証方式で認証を行う第2の認証手段と、
を有し、
前記第1の認証手段による認証に失敗した場合は、第2の認証手段による認証を行い、前記第2の認証手段による認証にも失敗した場合に通知を行うが、さらに、前記第2の認証手段による認証に成功しても時刻同期に成功していなければ通知を行うことを特徴とし、前者は認証失敗の通知であり、後者は時刻同期サーバーの時刻と差分があることを示す通知である情報処理装置。 - 前記第1の認証手段は、認証サーバーと前記第1の認証方式で認証を行い、前記第1の認証手段による認証に失敗し、時刻同期に成功していなければ、前記第2の認証手段は、データ送信先のサーバーと前記第2の認証方式で認証を行う請求項1記載の情報処理装置。
- 前記認証サーバーは、前記データ送信先のサーバーへログインするためのユーザー認証情報を管理しているサーバーである請求項2記載の情報処理装置。
- 前記データ送信先のサーバーより認証方式の一覧を受信する受信手段と、
前記認証方式の一覧に基づき前記第1の認証方式での認証が可能であると判定された場合、前記第1の認証手段は、前記認証サーバーと前記第1の認証方式で認証を行う請求項2又は3記載の情報処理装置。 - 前記認証方式の一覧に基づき前記第1の認証方式での認証が可能でなく、前記第2の認証方式での認証が可能であると判定された場合、前記第2の認証手段は、前記データ送信先のサーバーと前記第2の認証方式で認証を行う請求項4記載の情報処理装置。
- 前記第2の認証手段による認証に成功しても時刻同期に成功していなければ、前記時刻同期サーバーの時刻と差分があることを示すメッセージを含む画面を表示する表示手段を更に有する請求項1乃至5何れか1項記載の情報処理装置。
- 前記画面には、時刻同期、又は時刻設定するための画面を表示させるためのオブジェクトが含まれる請求項6記載の情報処理装置。
- 前記オブジェクトが選択された場合、前記表示手段は、前記時刻同期、又は時刻設定するための画面を表示する請求項7記載の情報処理装置。
- セキュリティポリシーの設定を取得する取得手段と、
前記セキュリティポリシーの設定で前記第2の認証方式での認証が無効になっている場合、前記第2の認証手段による認証を行わない請求項1乃至8何れか1項記載の情報処理装置。 - 前記第1の認証方式での認証は、Kerberos認証であり、
前記第2の認証方式での認証は、NTLM認証である請求項1乃至9何れか1項記載の情報処理装置。 - 前記情報処理装置は、画像処理装置である請求項1乃至10何れか1項記載の情報処理装置。
- 情報処理装置が実行する情報処理方法であって、
時刻同期サーバーと時刻同期の処理を行う同期工程と、
第1の認証方式で認証を行う第1の認証工程と、
前記第1の認証工程での認証に失敗した場合、第2の認証方式で認証を行う第2の認証工程と、
前記第2の認証工程による認証にも失敗した場合に通知を行うが、さらに、前記第2の認証工程による認証に成功しても時刻同期に成功していなければ通知を行う通知工程と、
を含み、
前記通知工程における前者の通知は認証失敗の通知であり、前記通知工程における後者の通知は時刻同期サーバーの時刻と差分があることを示す通知である情報処理方法。 - コンピュータを、請求項1乃至11何れか1項記載の情報処理装置の各手段として機能させるためのプログラム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017129432A JP7005192B2 (ja) | 2017-06-30 | 2017-06-30 | 情報処理装置、情報処理方法及びプログラム |
| US16/017,112 US11050728B2 (en) | 2017-06-30 | 2018-06-25 | Information processing apparatus, information processing method, and recording medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017129432A JP7005192B2 (ja) | 2017-06-30 | 2017-06-30 | 情報処理装置、情報処理方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019012465A JP2019012465A (ja) | 2019-01-24 |
| JP7005192B2 true JP7005192B2 (ja) | 2022-01-21 |
Family
ID=64738348
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017129432A Active JP7005192B2 (ja) | 2017-06-30 | 2017-06-30 | 情報処理装置、情報処理方法及びプログラム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US11050728B2 (ja) |
| JP (1) | JP7005192B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113067841B (zh) * | 2019-12-13 | 2022-10-11 | 航天信息股份有限公司 | 一种跨系统的发票认证数据同步方法及装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003108527A (ja) | 2001-06-14 | 2003-04-11 | Microsoft Corp | クライアント・プロキシ認証のためにセッションイニシエーションプロトコルリクエストメッセージにセキュリティ機構を組み込むための方法およびシステム |
| JP2006099574A (ja) | 2004-09-30 | 2006-04-13 | Konica Minolta Business Technologies Inc | 画像処理装置の動作環境設定プログラムおよび動作環境設定方法 |
| JP2006195752A (ja) | 2005-01-13 | 2006-07-27 | Fuji Xerox Co Ltd | 時刻補正機能を備えるネットワーク機器 |
| JP2007110351A (ja) | 2005-10-12 | 2007-04-26 | Murata Mach Ltd | デジタル複合機 |
| US20080178276A1 (en) | 2007-01-19 | 2008-07-24 | Microsoft Corporation | Mechanism for utilizing kerberos features by an ntlm compliant entity |
| JP2011232884A (ja) | 2010-04-26 | 2011-11-17 | Canon Inc | 画像送信装置、画像送信装置の認証方法 |
| JP2016035751A (ja) | 2014-08-01 | 2016-03-17 | 国立大学法人 鹿児島大学 | 透かし入り二次元コード、認証システム、認証方法、及びプログラム |
| JP2016045927A (ja) | 2014-08-26 | 2016-04-04 | キャンプ モバイル コーポレーション | サービスアカウントに対するユーザ認証方法とユーザ認証システム、および記憶媒体 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6581110B1 (en) * | 1999-12-07 | 2003-06-17 | International Business Machines Corporation | Method and system for reading and propagating authenticated time throughout a worldwide enterprise system |
| JP4109874B2 (ja) * | 2002-02-05 | 2008-07-02 | キヤノン株式会社 | 情報処理装置、その制御方法、プログラム及び記録媒体 |
| US9429962B2 (en) * | 2010-11-19 | 2016-08-30 | Google Inc. | Auto-configuring time-of day for building control unit |
| JP6045219B2 (ja) | 2012-06-27 | 2016-12-14 | キヤノン株式会社 | データ処理装置、情報処理方法、及びプログラム |
-
2017
- 2017-06-30 JP JP2017129432A patent/JP7005192B2/ja active Active
-
2018
- 2018-06-25 US US16/017,112 patent/US11050728B2/en active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003108527A (ja) | 2001-06-14 | 2003-04-11 | Microsoft Corp | クライアント・プロキシ認証のためにセッションイニシエーションプロトコルリクエストメッセージにセキュリティ機構を組み込むための方法およびシステム |
| JP2006099574A (ja) | 2004-09-30 | 2006-04-13 | Konica Minolta Business Technologies Inc | 画像処理装置の動作環境設定プログラムおよび動作環境設定方法 |
| JP2006195752A (ja) | 2005-01-13 | 2006-07-27 | Fuji Xerox Co Ltd | 時刻補正機能を備えるネットワーク機器 |
| JP2007110351A (ja) | 2005-10-12 | 2007-04-26 | Murata Mach Ltd | デジタル複合機 |
| US20080178276A1 (en) | 2007-01-19 | 2008-07-24 | Microsoft Corporation | Mechanism for utilizing kerberos features by an ntlm compliant entity |
| JP2011232884A (ja) | 2010-04-26 | 2011-11-17 | Canon Inc | 画像送信装置、画像送信装置の認証方法 |
| JP2016035751A (ja) | 2014-08-01 | 2016-03-17 | 国立大学法人 鹿児島大学 | 透かし入り二次元コード、認証システム、認証方法、及びプログラム |
| JP2016045927A (ja) | 2014-08-26 | 2016-04-04 | キャンプ モバイル コーポレーション | サービスアカウントに対するユーザ認証方法とユーザ認証システム、および記憶媒体 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11050728B2 (en) | 2021-06-29 |
| JP2019012465A (ja) | 2019-01-24 |
| US20190007391A1 (en) | 2019-01-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9749480B1 (en) | Method that performs from scanning to storing scan data using scan cloud ticket | |
| US8994977B2 (en) | Image transmission apparatus and method of controlling image transmission apparatus | |
| KR101424626B1 (ko) | 화상송신장치 및 화상송신장치에 있어서의 인증 방법 | |
| US20060026434A1 (en) | Image forming apparatus and image forming system | |
| US8045192B2 (en) | Image data encryption apparatus, image data encryption method and recording medium having computer executable program stored therein | |
| JP6102264B2 (ja) | 処理実行システム、情報処理装置、プログラム | |
| US10009511B2 (en) | Image processing system that performs reading and transmitting process of original image, method of controlling image processing system, and storage medium | |
| US20170339312A1 (en) | Image processing apparatus, image processing method, and storage medium | |
| JP2019155610A (ja) | 画像形成装置、画像形成装置の認証方法、プログラム、及びプリントシステム | |
| US9876932B2 (en) | Image processing apparatus, control method thereof, and storage medium storing program | |
| US9398099B2 (en) | Information processing apparatus for executing processing in response to request from external device, control method of information processing apparatus, and storage medium | |
| US20100110471A1 (en) | Communication apparatus, image processing apparatus, image processing system, method for controlling the same, and storage medium storing program | |
| US20120026526A1 (en) | Image processing system that causes pc to display preview image, method of controlling the same, and storage medium | |
| US8559641B2 (en) | Application program distributing apparatus, image processing apparatus and program, allowing data communications using S/MIME at ease | |
| JP7005192B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| JP5779971B2 (ja) | 画像処理装置 | |
| US9736329B2 (en) | Method that performs from scanning to storing scan data using scan job ticket | |
| JP2010170232A (ja) | 画像形成システム、サーバ装置および画像形成装置 | |
| JP2018020443A (ja) | 画像形成装置、印刷方法、およびコンピュータプログラム | |
| US20150124285A1 (en) | Method and system of managing data of an image forming apparatus | |
| JP6478844B2 (ja) | 画像処理装置、その制御方法及びプログラム | |
| JP6542684B2 (ja) | 情報処理システム、画像形成装置、転送制御プログラムおよび転送制御方法 | |
| JP6723395B2 (ja) | 画像処理装置、その制御方法及びプログラム | |
| JP2013131224A (ja) | 画像形成システム、サーバ装置および画像形成装置 | |
| US11366623B2 (en) | Registration of setting data in an image forming apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200617 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210317 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210511 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210607 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211130 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220105 |