ネットワーク装置
【課題】サービス提供サーバと認証サーバとが設置されたネットワークに接続されるネットワーク装置において、認証サーバが発行する証明書を利用者毎に記憶することなく、各利用者が、サービス提供サーバにて提供されるサービスを簡単に利用できるようにする。
【解決手段】アプリケーションサーバにて提供されるサービスを利用可能な複合機には、サービスの種類及び使用条件毎に、信任状を認証サーバから取得するための取得情報を記憶しておく。利用者が複合機にサービスの利用要求を入力すると、制御部が、そのサービスに対応した信任状をキャッシュ領域から探し、キャッシュ領域に信任状がなければ、その信任状の取得情報に基づき認証サーバに認証依頼を送信することで、信任状を取得し、キャッシュ領域に格納する。また、制御部は、今回取得するか、既にキャッシュ領域に記憶された信任状を、アプリケーションサーバに送信し、そのサービスの利用を開始する。
【解決手段】アプリケーションサーバにて提供されるサービスを利用可能な複合機には、サービスの種類及び使用条件毎に、信任状を認証サーバから取得するための取得情報を記憶しておく。利用者が複合機にサービスの利用要求を入力すると、制御部が、そのサービスに対応した信任状をキャッシュ領域から探し、キャッシュ領域に信任状がなければ、その信任状の取得情報に基づき認証サーバに認証依頼を送信することで、信任状を取得し、キャッシュ領域に格納する。また、制御部は、今回取得するか、既にキャッシュ領域に記憶された信任状を、アプリケーションサーバに送信し、そのサービスの利用を開始する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク上の認証サーバから証明書を取得して、サービス提供サーバに送信することで、サービス提供サーバにて提供されるサービスの利用を開始するネットワーク装置に関する。
【背景技術】
【0002】
従来、ネットワーク装置(例えば、パーソナルコンピュータ等の情報処理端末)からの要求に従い、各種サービスを提供するサービス提供サーバが知られている。このサービス提供サーバでは、ネットワーク装置の利用者が、サービスの利用を許可された者であるか否かを判断するための認証処理を行い、利用者を認証できたときにサービスを提供する。
【0003】
例えば、従来では、ネットワーク上に、利用者が正規の者であることを証明する証明書を発行する認証サーバを設置し、利用者は、この認証サーバにて発行される証明書を使って、サービス提供サーバが提供する任意のサービスを利用できるようにすることが行われている(例えば、特許文献1等参照)。
【0004】
この技術は、所謂シングルサインオンを実現する技術であり、その認証方式としては、Kerberos認証が代表的である。
このKerberos認証では、図9に例示するように、ネットワーク装置であるユーザ端末に対し、利用者が、ユーザ名、パスワード等の情報を入力して、ユーザ端末にログインすると、ユーザ端末が、そのログイン情報(ユーザ名、パスワード等)を用いて、認証サーバに認証依頼を送信し、認証サーバから、信任状と呼ばれる証明書を取得し、その後、利用者がユーザ端末の使用を終了(つまりログオフ)するまで、その証明書(信任状)を保持する。
【0005】
また、ログイン中に利用者がユーザ端末を操作して、サービス提供サーバ(図ではアプリケーションサーバ)の利用要求を入力すると、ユーザ端末は、証明書(信任状)と共にサービス利用要求を、アプリケーションサーバに送信する。
【0006】
すると、サービス提供サーバ(アプリケーションサーバ)は、サービス利用要求と共に送信されてきた証明書(信任状)が正規のものか否かを、認証サーバを使って判定し、その証明書(信任状)が正規のものであれば、ユーザ端末に対しサービスの利用を許可する。
【特許文献1】特開2003−296277号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、上述した認証技術は、シングルサインオンのための技術であるため、ネットワーク装置が、利用者が個人情報を入力してログインするよう構成された情報処理装置の場合は、利用者による使い勝手を向上できるが、例えば、多数の利用者がログオン/ログオフの操作を行うことなく自由に使用できる装置(具体的には、プリンタやスキャナとしての機能を有する複合機等)の場合には、その効果を発揮することができないという問題があった。
【0008】
つまり、複合機のように、多数の利用者が自由に使用できるネットワーク装置において、上記認証技術が適用されたネットワーク上のサービス提供サーバに接続するには、利用者が、サービス提供サーバにて提供されるサービスを利用する度に、認証サーバから証明書を取得するための個人情報を入力して、認証サーバから証明書を取得させる必要があり、利用者にとっては使い勝手の悪いネットワーク装置となっていた。
【0009】
本発明は、こうした問題に鑑みなされたものであり、サービス提供サーバとこのサービス提供サーバが利用者を認証するための証明書を発行する認証サーバとが設置されたネットワークに接続され、多数の利用者により使用可能なネットワーク装置において、各利用者が、サービス提供サーバにて提供されるサービスを簡単に利用できるようにすることを目的とする。
【課題を解決するための手段】
【0010】
かかる目的を達成するためになされた請求項1に記載のネットワーク装置においては、サービス提供サーバにて提供されるサービスを利用するための証明書を、サービス毎に記憶しておくための証明書記憶手段が備えられている。
【0011】
そして、外部からサービスの利用要求が入力されると、判定手段が、そのサービスを利用するのに必要な証明書が証明書記憶手段に記憶されているか否かを判定し、その証明書が証明書記憶手段に記憶されていなければ、証明書取得手段が、取得情報記憶手段からそのサービスに対応した取得情報を読み出し、その読み出した取得情報に基づき認証サーバから証明書を取得し、証明書記憶手段に格納する。
【0012】
また、外部からサービスの利用要求が入力され、判定手段にて、そのサービスを利用するのに必要な証明書が証明書記憶手段に記憶されていると判断されるか、あるいは、証明書取得手段にて、そのサービスを利用するのに必要な証明書が認証サーバから取得されると、サービス利用手段が、その記憶若しくは取得された証明書をサービス提供サーバに送信することで、サービス提供サーバから利用要求に対応したサービスの利用許可を受け、当該サービスの利用を開始する。
【0013】
このため、本発明のネットワーク装置によれば、サービス提供サーバにて提供される複数のサービスを、当該ネットワーク装置を介して、複数の利用者が利用する場合、各利用者は、利用したいサービスを指定するだけで、そのサービスを利用できるようになり、サービスを利用する度に、証明書を取得するための取得情報(例えば、利用者個人のユーザ名やパスワード)を入力する必要がない。
【0014】
よって、本発明は、例えば、プリンタやスキャナとしての機能を有し、ネットワークに接続されて使用される複合機のように、サービス提供サーバにて提供される複数のサービスを複数の利用者が利用するネットワーク装置に適用すれば、各利用者によるネットワーク装置の使い勝手を向上することができるようになる。
【0015】
また、証明書取得手段が認証サーバから取得した証明書は、証明書記憶手段に記憶されるため、その後、この証明書が必要なサービスの利用要求が入力された際には、認証サーバから証明書を取得することなく、証明書記憶手段に記憶された証明書を使ってサービスを利用できる。
【0016】
このため、証明書記憶手段に証明書が記憶されているサービスについては、利用者がそのサービスの利用要求を入力した後、速やかに利用できるようになり、これによってもネットワーク装置の使い勝手を向上できる。
【0017】
また更に、利用者がサービスの利用要求を入力する度に、認証サーバへアクセスして証明書を取得する必要がないので、その取得処理によってネットワーク装置の処理負荷が増加するのを防止し、処理負荷の軽減を図ることができる。また、ネットワーク装置にて実行される証明書の取得処理を減らすことができるので、ネットワークにおけるトラフィックを軽減することもできる。
【0018】
ここで、ネットワークス装置の使い勝手を向上させるために、次のようなことが考えられる。すなわち、利用者からの要求に従い認証サーバから証明書を取得する度に、その証明書を記憶しておき、その後、同一利用者からサービス提供サーバを利用する要求が入力されると、既に記憶されている証明書を使用してサービス提供サーバに接続するようにすることも考えられる。
【0019】
ところが、このようにするには、利用者毎、異なる証明書が必要なサービス毎に、認証サーバから取得した証明書を保存し、管理する必要があるため、ネットワーク装置の利用者が増加すると、その増加に伴い管理対象となる証明書が増加し、証明書を保存する記憶媒体の記憶容量を大きくしなければならないという問題が生じる。
【0020】
しかしながら、本発明によれば、証明書記憶手段には、各サービスを利用するのに必要な証明書がサービス毎に記憶され、利用者毎に証明書が記憶されることはないので、ネットワーク装置の利用者が増加しても、証明書記憶手段の記憶容量を増加させる必要がない。よって、本発明によれば、ネットワーク装置のコストを低減することもできる。
【0021】
次に、請求項2に記載のネットワーク装置においては、サービス提供サーバから提供されるサービスの種類が同じで、利用条件が異なるサービスに対しては、異なるサービスとして、取得情報記憶手段に、そのサービスを所定の利用条件で利用するのに必要な証明書を取得するための取得情報が記憶されている。
【0022】
そして、判定手段は、サービスの利用要求が利用条件と共に入力されると、そのサービスの利用条件に対応した証明書が証明書記憶手段に記憶されているか否かを判定し、その証明書が証明書記憶手段に記憶されていなければ、証明書取得手段が、そのサービスの利用条件に対応した取得情報を取得情報記憶手段から読み出し、その読み出した取得情報に基づき、認証サーバからそのサービスを所定の利用条件で利用するのに必要な証明書を取得する。
【0023】
このため、本発明のネットワーク装置によれば、利用者は、利用条件毎に異なる証明書が設定されたサービスを利用する際には、そのサービスの種類と利用条件とを指定すればよく、簡単な操作で、所望のサービスを所望の利用条件で利用することができるようになる。
【0024】
また次に、請求項3に記載のネットワーク装置においては、証明書に有効期限を表す付加情報が付与されており、判定手段は、利用要求に対応した証明書が証明書記憶手段に記憶されていると判定すると、付加情報に基づきその証明書は使用可能か否かを判定し、証明書が使用できない場合には、証明書記憶手段から削除する。
【0025】
このため、本発明のネットワーク装置によれば、証明書記憶手段に記憶された証明書のうち、有効期限が切れた証明書は除去され、証明書記憶手段には利用可能な証明書のみが記憶されることになり、証明書記憶手段における証明書の記憶容量を必要最小限に抑えることができる。
【0026】
また、請求項4に記載のネットワーク装置においては、証明書記憶手段に記憶可能な証明書の数が、取得情報記憶手段に記憶された取得情報の数よりも少ない所定値に制限されている。そして、証明書取得手段は、認証サーバから証明書を取得すると、その取得した最新の証明書を証明書記憶手段に追加登録できるか否かを判断して、証明書記憶手段に証明書を追加できる場合には、最新の証明書を証明書記憶手段に登録する。
【0027】
また、証明書取得手段は、証明書記憶手段に証明書を追加登録できない場合には、証明書記憶手段に記憶された証明書の中で、サービス利用手段が利用を終了したサービスに対する証明書があるか否かを判断して、サービス利用手段が利用を終了したサービスに対する証明書があれば、その証明書を証明書記憶手段から削除した後、最新の証明書を証明書記憶手段に登録する。
【0028】
このため、本発明のネットワーク装置によれば、証明書記憶手段における証明書の記憶容量をより少なくして、装置のコストを低減することができる。また、証明書記憶手段には、頻繁に利用される証明書が記憶され、利用頻度の低い証明書は削除されることになるので、証明書記憶手段の記憶容量を制限することによって、装置の使い勝手が低下するのを抑制できる。
【0029】
次に、請求項5に記載のネットワーク装置においては、証明書記憶手段に記憶された各証明書に対し、サービス利用手段がサービス提供サーバから利用許可を受けるのに用いた証明書の最終使用時刻を付与する使用時刻付与手段が備えられている。
【0030】
そして、証明書取得手段は、認証サーバから取得した証明書を証明書記憶手段に追加登録できず、かつ、証明書記憶手段に記憶された証明書の中にサービス利用手段が利用を終了したサービスに対する証明書がない場合には、証明書記憶手段に記憶された証明書の中で、最終使用時刻が最も古い証明書を、証明書記憶手段とは異なる第2記憶手段に記憶し、証明書記憶手段から削除すると共に、認証サーバから取得した証明書を証明書記憶手段に登録して、証明書記憶手段から削除した証明書の第2記憶手段における記憶位置をサービス利用手段に通知する。
【0031】
また、サービス利用手段は、証明書取得手段から第2記憶手段における証明書の記憶位置が通知されると、この記憶位置に記憶された証明書を利用して、その証明書に対応したサービスの利用を継続する。
【0032】
このため、本発明のネットワーク装置によれば、証明書記憶手段における証明書の記憶容量を制限した際、認証サーバから新たに取得した証明書を証明書記憶手段に記憶できなくなるのを防止し、その最新の証明書が必要なサービスを速やかに利用できるようになる。
【0033】
また、証明書取得手段は、認証サーバから取得した証明書を証明書記憶手段に登録するために、証明書記憶手段から最終使用時刻が最も古い証明書を削除するが、その削除した証明書は第2記憶手段に記憶され、その記憶位置がサービス利用手段に通知されることから、サービス利用手段は、その削除した証明書が必要なサービスを継続して利用することができる。
【0034】
ところで、本発明では、証明書取得手段が認証サーバから証明書を取得した際、証明書記憶手段に記憶された最終使用時刻が最も古い証明書が、第2記憶手段に記憶されるため、第2記憶手段の記憶容量を確保する必要がある。
【0035】
しかし、第2記憶手段に記憶される証明書は、最終使用時刻が最も古いことから、利用頻度が低く、且つ、サービス利用手段が直ぐに利用を終了するサービスの証明書であると考えられ、第2記憶手段に長時間保存する必要はない。このため、第2記憶手段の記憶容量は小さくすることができ、第2記憶手段を設けることによって、装置の大幅なコストアップを招くことはない。
【0036】
また次に、請求項6に記載のネットワーク装置においては、請求項5に記載の装置と同様、使用時刻付与手段が備えられており、証明書取得手段は、認証サーバから取得した証明書を証明書記憶手段とは記憶領域の異なる第2記憶手段に記憶し、証明書記憶手段には、当該証明書の第2記憶手段での記憶位置を含む管理情報を記憶するよう構成されている。
【0037】
そして、証明書取得手段は、認証サーバから取得した証明書の管理情報を証明書記憶手段に追加登録できない場合には、証明書記憶手段及び第2記憶手段に管理情報及び実情報が記憶された証明書の中で、サービス利用手段が利用を終了したサービスに対する証明書があるか否かを判断し、
サービス利用手段が利用を終了したサービスに対する証明書があれば、その証明書の実情報及び管理情報を第2記憶手段及び証明書記憶手段から削除した後、最新の証明書の実情報及び管理情報を第2記憶手段及び証明書記憶手段に登録し、
サービス利用手段が利用を終了したサービスに対する証明書がなければ、最終使用時刻が最も古い証明書の管理情報を証明書記憶手段から削除し、認証サーバから取得した最新の証明書の実情報及び管理情報を、第2記憶手段及び証明書記憶手段に登録する。
【0038】
また、サービス利用手段は、証明書記憶手段に記憶された管理情報に基づき第2記憶手段に記憶された証明書の記憶位置を検知し、この記憶位置に記憶された証明書を利用して、その証明書に対応したサービスを利用する。
【0039】
このため、本発明によれば、証明書記憶手段における証明書の記憶容量を制限した際、認証サーバから新たに取得した証明書の管理情報を証明書記憶手段に記憶できなくなるのを防止し、その最新の証明書が必要なサービスを速やかに利用できることになる。
【0040】
また、第2記憶手段には、証明書取得手段が認証サーバから取得した証明書が順次格納されるが、サービス利用手段が利用を終了したサービスに対する証明書は、その都度削除されることから、第2記憶手段の記憶容量は必要最小限に抑えることができ、第2記憶手段を設けることによって、装置の大幅なコストアップを招くことはない。
【0041】
なお、サービス利用手段は、サービスを利用する際に、証明書記憶手段に記憶された管理情報に基づき第2記憶手段に記憶された証明書の記憶位置を検知することから、その後証明書記憶手段から管理情報が削除されても、その削除された管理情報に対応する証明書が第2記憶手段から削除されるまでは、その証明書を第2記憶手段から読み出し、その証明書に対応したサービスの利用を継続することができる。
【0042】
次に、請求項7に記載のネットワーク装置においては、取得情報記憶手段に記憶されるサービス毎の取得情報には、同一情報を設定できるように構成されており、サービス利用手段は、証明書記憶手段に記憶された証明書毎に、利用中のサービスの数を表す付加情報を付与する。
【0043】
このため、本発明によれば、認証サーバから取得した証明書を複数のサービスで共用させることにより、証明書取得手段に格納する証明書の数を少なくして、証明書取得手段の容量をより低減することができる。
【0044】
また、証明書取得手段が、証明書記憶手段に記憶された証明書の中にサービス利用手段が利用を終了したサービスに対する証明書があるか否かを判断する際には、サービス利用手段が証明書に付加した付加情報(利用中のサービスの数)を用いることができ、その判定動作を短時間で実行することができる。
【0045】
また、例えば、取得情報記憶手段に記憶される取得情報に、上述したKerberos認証等で用いられているユーザ名、パスワード、認証サーバ名を含める場合に、複数のサービスで同一の証明書を共用できるようにするには、証明書取得手段及び判定手段を、それぞれ、請求項8に記載のように構成するとよい。
【0046】
すなわち、請求項8に記載のネットワーク装置において、証明書取得手段は、認証サーバから証明書を取得して証明書記憶手段に格納する際、その格納する情報(具体的には証明書若しくはその管理情報)に、取得情報に含まれるユーザ名、パスワード及び認証サーバ名から生成した識別情報を付与し、判定手段は、サービスの利用要求が入力されると、当該サービスに対する証明書の取得情報に含まれるユーザ名、パスワード、及び認証サーバ名から識別情報を生成し、その生成した識別情報に基づき証明書記憶手段を検索することにより、証明書記憶手段に当該サービスに対応した証明書が記憶されているか否かを判定する。
【0047】
このため、本発明のネットワーク装置によれば、取得情報が、ユーザ名、パスワード、認証サーバ名等の複数の情報から構成されており、しかも、その取得情報に基づき認証サーバから取得される証明書を複数のサービスで共用させる場合に、判定手段が、利用要求が入力されたサービスに対する証明書の有無を判定する際の判定動作を、識別情報を用いて簡単に実行することができるようになり、判定手段による処理の負担を軽減することが可能となる。
【発明を実施するための最良の形態】
【0048】
以下に本発明の一実施形態を図面と共に説明する。
[実施形態のネットワークシステム全体の構成]
図1は、本実施形態のネットワークシステムの構成を表し、(a)は、ネットワークシステム全体の構成を表すブロック図、(b)は、このネットワークシステムを構成する複合機の内部構成を表すブロック図である。
【0049】
図1(a)に示すように、本実施形態のネットワークシステムは、IPプロトコルで通信可能なネットワーク(インターネット、社内LAN等)2に接続され、利用者により操作される複数のユーザ端末4及び複合機10と、ユーザ端末4や複合機10からの要求に従い各種サービスを提供する複数のアプリケーションサーバ6と、アプリケーションサーバ6がサービスの利用者を認証するのに必要な証明書を発行する認証サーバ8と、から構成されている。
【0050】
ここで、認証サーバ8は、上述したKerberos認証を行うためのものであり、図9に示したように、ネットワーク2を介して他のネットワーク装置(ユーザ端末4、複合機10等)から認証依頼を受けると、その認証依頼に含まれるユーザ名やパスワードから、認証依頼は、予め登録された正規の利用者からの依頼であるか否かを判断して、認証依頼が正規の利用者からの依頼であれば、認証依頼を送信してきたネットワーク装置に信任状と呼ばれる証明書を発行する、周知のものである。
【0051】
また、アプリケーションサーバ6は、アプリケーションソフトを実行することにより、自身にアクセスしてきたクライアント(ユーザ端末4、複合機10等)に対し各種サービスを提供するものであり、特許請求の範囲に記載のサービス提供サーバに相当する。
【0052】
そして、アプリケーションサーバ6は、図9に示したように、クライアントからサービス利用要求を受けると、その利用要求に含まれる信任状が、認証サーバ8が発行した正規のものであるか否かを判断して、信任状が正規のものであれば、利用要求に対応した所定のアプリケーションソフトを実行することにより、ネットワーク装置に対し所定のサービスを提供する。
【0053】
なお、各アプリケーションサーバ6は、それぞれ、LDAP(Lightweight Directory Access Protocol)によりネットワーク2上のユーザ情報や機器情報を管理し、その情報をクライアント(ユーザ端末4、複合機10等)に提供するディレクトリサーバ、CIFS(Common Internet File System)によりクライアントの通信ログを管理するログサーバ、同じくCIFSによりクライアントからの送信データを保存するファイルサーバ、としての機能の少なくとも一つを有する。
【0054】
そして、本実施形態では、これら複数のアプリケーションサーバ6によって、ディレクトリサーバ、ログサーバ、ファイルサーバとしての機能が実現される。
このため、クライアントであるユーザ端末4及び複合機10は、何れかのアプリケーションサーバ6に接続することにより、各アプリケーションサーバ6が提供するディレクトリサービス、ログサービス、ファイルサービス、といった各種サービスを利用することができる。
【0055】
次に、ユーザ端末4は、パーソナルコンピュータ(PC)等からなる情報処理装置であり、利用者がログインすると、図9に示した手順で認証サーバ8から信任状を取得し、その後、利用者がログオフするまでの間、利用者からのサービス利用指令に従い、アプリケーションサーバ6に信任状を付与したサービス利用要求を送信し、アプリケーションサーバ6が提供する所定のサービスを利用する。
[複合機の構成]
また次に、複合機10は、プリンタ機能、スキャナ機能、コピー機能等を有する多機能装置であり、図1(b)に示すように、読取部12、記録部14、操作部16、表示部18、制御部20、通信部22、記憶部24、及び、これら各部を接続するバス26を備える。
【0056】
ここで、読取部12及び記録部14は、制御部20からの指令に従い動作するものであり、読取部12は、原稿に記録(例えば印刷)された画像を読み取り、この画像を表す画像データを生成する、スキャナとして動作する。また、記録部14は、記憶部24に一時的に記憶された印刷データに基づく画像を、用紙等のシート状記録媒体に形成(印刷)する、プリンタとして動作する。
【0057】
また、操作部16は、利用者が操作可能な複数のキーを備え、これらのキーを介して、利用者の操作情報を取得し、この操作情報(各種操作指令)を制御部20に入力するものである。また、表示部18は、制御部20からの指令に従い、当該複合機10の動作状態や利用者に対する各種メッセージを表示するものである。また、通信部22は、ネットワーク2に接続されて、ネットワーク2上の機器(ユーザ端末4、認証サーバ8、アプリケーションサーバ6)との間でデータ通信を行うためのものである。
【0058】
次に、制御部20は、CPU、ROM、RAM等からなるマイクロコンピュータにて構成されており、ROMに記憶されたプログラムに従い上記各部を制御し、当該複合機10をプリンタ、スキャナ、コピー機として機能させる。
【0059】
つまり、制御部20は、操作部16を介して直接入力される指令や、ユーザ端末4からネットワーク2及び通信部22を介して入力される指令を受けて、読取部12及び記録部14を駆動制御することで、当該複合機10を、プリンタ、スキャナ、コピー機として機能させる。
【0060】
また、制御部20は、通信部22を介して他のネットワーク装置(ユーザ端末4等)とデータ通信を行う際には、ディレクトリサーバとして機能するアプリケーションサーバ6に接続して他のネットワーク装置の情報を取得する。また、制御部20は、他のネットワーク装置とのデータ通信時には、ログサーバとして機能するアプリケーションサーバ6に接続して通信ログを記憶する。
【0061】
また更に、複合機10は、操作部16若しくはユーザ端末4からの指令に従い、読取部12が読み取った画像データを通信部22を介してファイルサーバに記憶したり、ファイルサーバから画像データを取得して記録部14に画像を形成(印刷)させることができるようにされている。そして、制御部20は、ファイルサーバとの間でこうした画像データの送受信を行う際には、ファイルサーバとして機能するアプリケーションサーバ6に接続して、画像データを送受信する。
【0062】
このように、複合機10は、ユーザ端末4と同様、アプリケーションサーバ6にて提供されるディレクトリサービス、ログサービス、ファイルサービス、といった各種サービスを利用できるようにされている。
【0063】
そして、このサービスを利用するためには、認証サーバ8から信任状を取得する必要があり、認証サーバ8から信任状を取得するには、認証サーバ8に対し、ユーザ名やパスワードを含む認証依頼を送信する必要がある。
【0064】
そこで、本実施形態では、複合機10の記憶部24に、図2(a)に示す信任状の取得情報を記憶しておき、制御部20が、利用者からの指令に従いアプリケーションサーバ6にて提供されるサービスを利用する際には、そのサービスに対応した信任状を取得するための取得情報を記憶部24から読み出し、その読み出した取得情報に対応した認証依頼を認証サーバ8に送信することで、そのサービスを利用するのに必要な信任状を取得するようにされている。
【0065】
なお、記憶部24に記憶された信任状の取得情報は、アプリケーションサーバ6にて提供されるサービスS1〜Sm毎に、認証サーバ8から信任状を取得するのに必要なユーザ名及びパスワードと、その信任状が登録された認証サーバ8を特定するための認証サーバ名と、を登録することにより構成されている。
【0066】
また、この信任状の取得情報は、アプリケーションサーバ6にて提供されるサービスS1〜Sm毎に設定されるが、このサービスS1〜Smは、ディレクトリサービス、ログサービス、ファイルサービス、といった各サービスの種類だけでなく、例えば、ファイルサービスで画像データを記憶させるフォルダの位置等、サービスの利用条件によっても区分されている。
【0067】
そして、記憶部24には、その区分されたm個のサービスS1〜Sm毎に、信任状の取得情報が記憶されている。また、このように区分されたm個のサービスS1〜Smには、同一のアプリケーションサーバ6で同一の信任状を利用できるものがあるので、その場合には、その複数のサービスSに対し、同じ取得情報が設定される。
【0068】
次に、記憶部24は、読み書き可能な不揮発性メモリにて構成されている。そして、この記憶部24は、図2(b)に示すように、上述した信任状の取得情報が予め記憶された取得情報記憶領域と、認証サーバ8から取得した信任状を保存するための信任状キャッシュ領域と、読取部12からの画像データや記録部14に出力する印刷データ等の各種データを一時記憶するための共有メモリ領域と、に分割されている。
【0069】
また、信任状キャッシュ領域は、取得情報記憶領域に記憶される信任状の取得情報の数「m」よりも少ないn個を上限として、認証サーバ8から取得した信任状を記憶できるように、#1〜#nのn個のキャッシュ領域に分割されている。
【0070】
そして、これら各キャッシュ領域#1〜#nには、認証サーバ8から取得した信任状に加えて、この信任状を取得する際に取得情報(ユーザ名、パスワード、認証サーバ名)から生成したキー値、信任状の有効期限、この信任状をアプリケーションサーバ6に送信して実際に利用しているサービスの数を表す使用中アプリ数、及び、その信任状の最終使用時刻、が記憶される。
[複合機の動作]
上記のように構成された複合機10は、本発明のネットワーク装置に相当するものである。
【0071】
そして、複合機10において、制御部20は、操作部16若しくはネットワーク2上のユーザ端末4から、アプリケーションサーバ6にて提供されるサービスを伴う制御指令が入力されたか否かを判断することにより、外部からサービスの利用要求が入力されたか否かを判断する。
【0072】
そして、制御部20は、外部からサービスの利用要求が入力されたと判断すると、図3に示す手順で、アプリケーションサーバ6にそのサービスの利用要求を送信して、アプリケーションサーバ6から、そのサービスの利用許可を受け、そのサービスの利用を開始する。
【0073】
すなわち、図3に示すように、制御部20は、外部からサービスの利用要求が入力されたと判断すると、そのサービスを利用するのに必要な信任状が、記憶部24の信任状キャッシュ領域に記憶されているか否かを判断する。
【0074】
そして、信任状キャッシュ領域に、サービスを利用するのに必要な信任状が記憶されていなければ、制御部20は、記憶部24の取得情報記憶領域から、その信任状の取得情報を読み出し、その読み出した取得情報に基づき、認証サーバ8に認証依頼を送信することで、認証サーバ8から信任状を取得し、その信任状を記憶部24の信任状キャッシュ領域に格納する。
【0075】
なお、制御部20は、認証サーバ8から取得した信任状を信任状キャッシュ領域に格納するに当たって、信任状キャッシュ領域に空きがなければ、信任状キャッシュ領域から古い信任状を削除する。
【0076】
また、このように信任状を取得するか、信任状キャッシュ領域に、サービスを利用するのに必要な信任状が記憶されていると判断すると、制御部20は、その信任状と共にサービスの利用要求をアプリケーションサーバ6に送信することで、アプリケーションサーバ6から、そのサービスの利用許可を受け、サービスの利用を開始する。
【0077】
また、制御部20は、記憶部24の信任状キャッシュ領域に信任状を格納すると、その後、その信任状が必要な全てのサービスの利用が終了したか否かを判断し、その信任状が必要な全てのサービスの利用が終了すると、記憶部24の信任状キャッシュ領域から、その信任状を除去する。
【0078】
以下、このように、複合機10の制御部20にて、アプリケーションサーバ6を利用するために実行される制御処理について、図4〜図6のフローチャートに沿って詳しく説明する。
【0079】
図4は、複合機10の起動後(電源投入後)、制御部20において、アプリケーションサーバ6を利用するために繰り返し実行される制御処理を表すフローチャートである。
図4に示すように、この制御処理を開始すると、制御部20は、まずS110(Sはステップを表す)にて、操作部16若しくはユーザ端末4から入力される利用者からの操作指令(詳しくはサービス利用要求)を受け付ける。
【0080】
そして、制御部20は、続くS120にて、その受け付けたサービスを利用するのに必要な信任状を取得する、信任状取得処理(図5参照)を実行し、続くS130にて、その信任状取得処理で信任状を取得できたか否かを判断する。
【0081】
次に、制御部20は、S130にて信任状を取得できたと判断すると、その信任状に対応したサービスを提供するアプリケーションサーバ6に接続して(S140)、そのアプリケーションサーバ6に、S120で取得した信任状を送信し(S150)、その後、通信部22にて、アプリケーションサーバ6から送信されてくる返信データが受信されるのを待つ(S160)。
【0082】
そして、通信部22にて、アプリケーションサーバ6からの返信データが受信されると、制御部20は、その返信データがサービスの利用を許可するものであるか否かを判断し(S170)、返信データがサービスの利用を許可するものであれば(S170−YES)、そのサービスを利用するサービス利用処理を実行する(S180)。
【0083】
なお、このサービス利用処理では、その処理実行時に、サービスの利用に必要な信任状の記憶部24内での記憶位置をRAMに記憶するようにされており、その記憶位置から信任状を読み出しアプリケーションサーバ6に送信することで、サービスの利用を継続する。
【0084】
また、このサービス利用処理(S180)を実行した後は、制御部20は、そのサービスの利用のためのアプリケーションサーバ6との接続を遮断し(S190)、その後、信任状の解放処理(S200)を実行した後、再度S110に移行する。
【0085】
なお、制御部20は、S130にて信任状を取得できなかったと判断すると、S135にて、その旨を表すエラーメッセージを表示部18に表示した後、再度S110に移行する。また、制御部20は、S170にて返信データがサービスの利用を許可するものではないと判断した場合にも、その旨を表すエラーメッセージを表示部18に表示した後、再度S110に移行する。
【0086】
また、S110のサービス利用要求受付処理は、制御部20において、操作部16若しくはユーザ端末4から入力される利用者からの操作指令毎に実行され、S110〜S200の一連の処理は、S110で受け付けたサービス利用要求毎に並列的に実行される。このため、当該複合機10では、複数の利用者が、アプリケーションサーバ6にて提供される複数のサービスを同時に利用でき、信任状キャッシュ領域内の信任状データは、各サービスの利用開始/停止が切り換えられる度に、追加又は削除若しくは更新される。
【0087】
次に、図5は、図4のS120にて実行される信任状取得処理を表すフローチャートである。
図5に示すように、この信任状取得処理では、制御部20は、まずS210にて、S110で利用要求を受け付けたサービスに対応した信任状の取得情報であるユーザ名、パスワード及び認証サーバ名を、記憶部24の取得情報記憶領域から読み出し、その読み出した各情報に基づき、これら各情報から一意に決まるキー値を生成する。なお、このキー値の生成には、例えば、ハッシュ関数が使用される。
【0088】
また、S210にてキー値を生成すると、制御部20は、その生成したキー値を用いて記憶部24の信任状キャッシュ領域内を検索し(S220)、その検索結果から、キー値に対応した信任状が信任状キャッシュ領域内にあるか否かを判断する(S230)。
【0089】
そして、制御部20は、キー値に対応した信任状が信任状キャッシュ領域内にあると判断すると(S230−YES)、その信任状と共に信任状キャッシュ領域に記憶されている有効期限を読み出し(S240)、信任状キャッシュ領域に記憶されているキー値に対応する信任状は、有効期限が切れているか否かを判断する(S250)。
【0090】
S250にて、キー値に対応する信任状の有効期限は切れていないと判断すると、制御部20は、その信任状の使用中アプリ数に「1」を加え(S260)、更に、その信任状の最終使用時刻に現在時刻を代入する(S270)することで、信任状キャッシュ領域に記憶されたキー値に対応する信任状データを更新し、当該信任状取得処理を終了する。
【0091】
一方、S230にて、キー値に対応した信任状が信任状キャッシュ領域内にないと判断した場合(S230−NO)、制御部20は、S300に移行する。
また、S250にて、キー値に対応する信任状の有効期限が切れていると判断すると、制御部20は、その信任状の使用中アプリ数は「0」であるか否かを判断し(S280)、使用中アプリ数が「0」であれば(S280−YES)、その信任状に対応した信任状データを信任状キャッシュ領域から削除した後(S290)、S300に移行し、逆に、使用中アプリ数が「0」でなければ(S280−NO)、そのままS300に移行する。
【0092】
S300において、制御部20は、通信部22を介して、S110で利用要求を受け付けた信任状の取得情報(詳しくは認証サーバ名)に対応した認証サーバ8に接続する。そして、制御部20は、その接続した認証サーバ8に対し、信任状の取得情報を構成するユーザ名及びパスワードを含む認証依頼を送信し(S310)、その後、認証サーバ8から認証OKとの返信があったか否かを判断する(S320)ことにより、認証サーバ8にて信任状が生成されるのを待つ。
【0093】
S320にて認証サーバ8から認証OKとの返信があったと判断すると、制御部20は、S330に移行して、認証サーバ8から送信されてくる信任状を受信し、S340に移行する。逆に、認証サーバ8から認証OKとの返信がないと判断すると、制御部20は、信任状の取得エラーを記憶して、当該信任状取得処理を終了する。
【0094】
S340において、制御部20は、記憶部24の信任状キャッシュ領域に信任状データを追加登録可能な空き領域があるか否かを判断する。そして、信任状キャッシュ領域に空き領域があれば、制御部20は、S350にて、その空き領域に、S330で受信した信任状とその有効期限とS210で生成したキー値とを記憶し、更に、S360にて、その空き領域に信任状の使用中アプリ数として「1」を記憶し、上述のS270に移行する。
【0095】
この結果、信任状キャッシュ領域の空き領域には、S330にて取得した最新の信任状に、キー値、有効期限、使用中アプリ数、最終使用時刻を付与した、信任状データが追加登録されることになる。
【0096】
一方、S340にて、記憶部24の信任状キャッシュ領域に信任状データを追加登録可能な空き領域がないと判断した場合、制御部20は、S370に移行して、記憶部24の信任状キャッシュ領域に、使用中アプリ数が「0」となっている信任状があるか否かを判断する。
【0097】
そして、S370にて、使用中アプリ数が「0」となっている信任状があると判断すると、制御部20は、S380に移行して、使用中アプリ数が「0」となっている信任状のうち、最終使用時刻が最も古い信任状のデータ(信任状データ)を、信任状キャッシュ領域から削除した後、S350に移行する。
【0098】
この結果、S380にて信任状データを削除した信任状キャッシュ領域には、続くS350、S360、S270の処理により、S330にて取得した最新の信任状に、キー値、有効期限、使用中アプリ数、最終使用時刻を付与した、信任状データが追加登録されることになる。
【0099】
また、S370にて、使用中アプリ数が「0」となっている信任状はないと判断すると、制御部20は、S392に移行して、信任状キャッシュ領域に記憶された信任状のうち、最終使用時刻が最も古い信任状を、記憶部24の共有メモリ領域にコピーし、S394にて、そのコピーは成功したか否かを判断する。
【0100】
そして、最終使用時刻が最も古い信任状の共有メモリ領域へのコピーが成功した場合には、制御部20は、S396に移行して、そのコピーした信任状が必要なサービスを利用しているサービス利用処理(換言すればそのサービス利用処理による使用中アプリ)に対し、その信任状のコピー先(換言すれば共有メモリ領域での信任状の記憶位置)を通知し、続くS398にて、共有メモリ領域にコピーした信任状のデータ(信任状データ)を、信任状キャッシュ領域から削除した後、S350に移行する。
【0101】
この結果、S398にて信任状データを削除した信任状キャッシュ領域には、続くS350、S360、S270の処理により、S330にて取得した最新の信任状に、キー値、有効期限、使用中アプリ数、最終使用時刻を付与した、信任状データが追加登録されることになる。
【0102】
なお、S394にて、信任状のコピーは成功しなかったと判断すると、制御部20は、信任状の保存エラーを記憶して、当該信任状取得処理を終了する。
次に、図6は、図4のS200にて実行される信任状解放処理を表すフローチャートである。
【0103】
図6に示すように、この信任状解放処理では、制御部20は、まずS410にて、S190で接続を遮断したサービス(換言すれば利用を終了したサービス)に対応した信任状を、記憶部24の信任状キャッシュ領域から検索し、S420にて、その信任状が信任状キャッシュ領域に記憶されているか否かを判断する。
【0104】
そして、S420にて、利用を終了したサービスに対応する信任状が信任状キャッシュ領域に記憶されていると判断すると、制御部20は、信任状キャッシュ領域に記憶されている信任状データから、その信任状に対する使用中アプリ数を「1」だけ減らし(S430)、更に、その信任状に対する最終使用時刻に現在時刻を代入した後(S440)、当該信任状解放処理を終了する。
【0105】
また、S420にて、利用を終了したサービスに対応する信任状が信任状キャッシュ領域に記憶されていないと判断すると、そのサービスに対応する信任状は、共有メモリ領域にコピーされているので、制御部20は、共有メモリ領域から、その信任状を削除し(S450)、当該信任状解放処理を終了する。
[実施形態の効果]
以上説明したように、本実施形態の複合機10においては、記憶部24の取得情報記憶領域内に、アプリケーションサーバ6にて提供されるサービスの種類やその使用条件毎に予め設定された信任状の取得情報が複数記憶されている。
【0106】
そして、複合機10が、利用者からの指令に従い、アプリケーションサーバ6にて提供される所定のサービスを利用する際には、そのサービスに対応した信任状が認証サーバ8から既に取得されて、記憶部24の信任状キャッシュ領域に保存されているか否かを判断する(S210〜S230)。
【0107】
そして、信任状が信任状キャッシュ領域に保存されていれば、その保存された信任状を使って、アプリケーションサーバ6に接続することにより、利用者からの指令に対応した所定のサービスを利用する(S140〜S180)。
【0108】
また逆に、信任状が信任状キャッシュ領域に保存されていなければ、記憶部24の取得情報記憶領域に記憶された信任状の取得情報に基づき、認証サーバ8からサービスの利用に必要な信任状を取得し(S300〜S330)、その取得した信任状を使ってアプリケーションサーバ6に接続することにより、利用者からの指令に対応した所定のサービスを利用する(S140〜S180)。
【0109】
従って、本実施形態の複合機10によれば、利用者は、アプリケーションサーバ6にて提供されるサービスを利用する際、そのサービスを利用するスキャナ、プリンタ等の機能や、その利用条件(例えば、スキャンした画像データの保存先や、印刷データの保存先等)を指定するだけで、所望のサービスを利用することが可能となる。
【0110】
このため、本実施形態によれば、複合機10を使用するに当たって、利用者は、アプリケーションサーバ6にて提供されるサービスを利用する度に、信任状を取得するための取得情報(ユーザ名やパスワード)を入力する必要がなく、複合機10を簡単な操作で使用できるようになる。
【0111】
また、認証サーバ8から取得した信任状は、記憶部24の信任状キャッシュ領域に記憶され(S350)、その後、信任状キャッシュ領域に記憶された信任状に対応したサービスを利用する際には、その記憶された信任状が使用されることから、アプリケーションサーバ6で提供されるサービスを利用する度に、認証サービスから信任状を取得する必要がなく、そのサービスを速やかに利用できるようになる。
【0112】
このため、複合機10を、アプリケーションサーバ6にて提供されるサービスを利用するスキャナ、プリンタ等として動作させる場合、利用者は、その動作を速やかに実行させることができるようになり、複合機10の使い勝手を向上することができる。
【0113】
また、信任状を信任状キャッシュ領域に記憶することで、認証サーバ8へのアクセス頻度を減らすことができるので、認証サーバ8へのアクセスによって複合機10の処理負荷が増加するのを防止することができると共に、ネットワークトラフィックを軽減することもできる。
【0114】
また、認証サーバ8から取得した信任状には、付加情報として有効期限が付加されているが、有効期限が切れた信任状は、優先的に、信任状キャッシュ領域から削除される(S250−S290)。このため、有効期限が切れた信任状が記憶部24の信任状キャッシュ領域に長期間保存されて、信任状キャッシュ領域に他の信任状を長期間保存できなくなるのを防止できる。
【0115】
また更に、認証サーバ8から取得した信任状は、n個を上限として記憶部24の信任状キャッシュ領域に保存され(S340、S350)、しかも、その保存時に信任状キャッシュ領域に空き領域がない場合には、信任状キャッシュ領域から信任状が削除される。そして、その削除される信任状は、最終使用時刻が最も古い信任状の中から選択される(S380、S398)。
【0116】
このため、ログサーバへの接続等、頻繁に使用される信任状が、信任状キャッシュ領域から削除されるようなことはなく、頻繁に使用される信任状が削除されることによって、認証サーバ8へのアクセスが増加するのを防止できる。
【0117】
また、信任状キャッシュ領域から最終使用時刻が最も古い信任状を削除する際、削除する信任状が他のサービスで利用されているときには、その信任状を記憶部24の共有メモリ領域に待避させた後(S392)、その信任状を信任状キャッシュ領域から削除することにより(S398)、その信任状を他のサービスで継続して利用できるようにする(図2(b)参照)。
【0118】
このため、本実施形態によれば、記憶部24における信任状キャッシュ領域をn個の信任状データを記憶するのに要する記憶容量に制限しつつ、利用中のサービスに対する信任状を保持して、そのサービスの利用を継続することができる。
【0119】
また、共有メモリ領域に記憶された信任状は、その信任状を使用するサービスが終了すると、共有メモリ領域から削除される(S200)ことから、共有メモリ領域に記憶される信任状の数を必要最小限に抑えることができる。このため、信任状を記憶させるために共有メモリ領域の記憶容量を大きくする必要はなく、記憶部24全体の記憶容量を抑えて、記憶部24を構成する不揮発性メモリのコストを抑えることができる。
【0120】
なお、本実施形態においては、記憶部24内の取得情報記憶領域が、本発明の取得情報記憶手段に相当し、記憶部24内の信任状キャッシュ領域が、本発明の証明書記憶手段に相当し、記憶部24内の共有メモリ領域が、本発明の第2記憶手段に相当する。
【0121】
また、複合機10の制御部20にて実行される処理のうち、図5に示すS210〜S250、S280及びS290の処理が、本発明の判定手段に相当し、同じくS300〜S360、S370〜S398の処理が、本発明の証明書取得手段に相当し、同じくS270の処理が、使用時刻付与手段に相当する。また、図4に示すS130〜S180の処理は、本発明のサービス利用手段に相当する。
[他の実施形態]
以上、本発明の一実施形態について説明したが、本発明は、上記実施形態に限定されるものではなく、本発明の要旨を逸脱しない範囲内にて種々の態様をとることができる。
【0122】
例えば、上記実施形態では、記憶部24の信任状キャッシュ領域には、認証サーバ8から取得した信任状を、そのまま、信任状データとして記憶するものとして説明した。しかし、図7に示すように、認証サーバ8から取得した信任状は、記憶部24の共有メモリ領域に記憶し、信任状キャッシュ領域には、その共有メモリ領域への信任状の記憶位置(記憶番地)を記憶するようにしてもよい。
【0123】
そして、このようにするには、図5に示した信任状取得処理の一部を、図8に示すように変更すればよい。
すなわち、S350では、認証サーバ8から取得した信任状を共有メモリ領域に記憶し、その記憶位置を、信任状データとして信任状キャッシュ領域に記憶する。また、S290、S380にて、信任状を削除する際には、信任状キャッシュ領域から削除対象となる信任状のデータ(信任状データ)を削除し、共有メモリ領域からその信任状データに対応した信任状の実態を削除する。
【0124】
また、S370にて、信任状キャッシュ領域に使用中アプリ数が「0」の信任状がないと判断された場合には、S390にて、最終使用時刻が最も古い信任状のデータ(信任状データ)を信任状キャッシュ領域から削除し、その信任状の実体は共有メモリ領域から削除しないようにする。
【0125】
そして、このように信任状取得処理を実行するようにしても、上記実施形態と同様の効果を得ることができる。
また次に、上記実施形態では、プリンタやスキャナとしての機能を有する複合機10に本発明を適用した場合について説明したが、本発明は、複数の利用者により使用されるネットワーク装置であれば、上記実施形態と同様に適用して同様の効果を得ることができる。
【0126】
また、上実施形態では、認証サーバ8やサービス提供サーバとしてのアプリケーションサーバ6は、Kerberos認証にて利用者を認証するものとして説明したが、本発明は、Kerberos認証とは異なる認証方式で利用者を認証するシステムであっても適用することができる。
【0127】
つまり、本発明は、認証サーバ8が、ユーザ端末4や複合機10等のネットワーク装置からの要求に従い証明書を発行し、アプリケーションサーバ6等のサービス提供サーバが、その証明書に基づきネットワーク装置の利用者を認証するように構成されたネットワークシステムであれば、そのネットワークに接続されたネットワーク装置に本発明を適用することで、上記実施形態と同様の効果を得ることができる。
【図面の簡単な説明】
【0128】
【図1】実施形態のネットワークシステムの構成を表すブロック図である。
【図2】信任状取得情報及び信任状データの構成、並びにこれら各データの記憶部への格納状態を表す説明図である。
【図3】複合機がサービスを利用する際の通信動作を説明する動作説明図である。
【図4】制御部でサービス利用のために実行される制御処理を表すフローチャートである。
【図5】図4に示す信任状取得処理の詳細を表すフローチャートである。
【図6】図4に示す信任状解放処理の詳細を表すフローチャートである。
【図7】記憶部への信任状データの格納状態の変形例を表す説明図である。
【図8】信任状取得処理の変形例を表すフローチャートである。
【図9】ユーザ端末がサービスを利用する際の通信動作を表す説明図である。
【符号の説明】
【0129】
2…ネットワーク、4…ユーザ端末、6…アプリケーションサーバ(サービス提供サーバ)、8…認証サーバ、10…複合機(ネットワーク装置)、12…読取部、14…記録部、16…操作部、18…表示部、20…制御部、22…通信部、24…記憶部、26…バス。
【技術分野】
【0001】
本発明は、ネットワーク上の認証サーバから証明書を取得して、サービス提供サーバに送信することで、サービス提供サーバにて提供されるサービスの利用を開始するネットワーク装置に関する。
【背景技術】
【0002】
従来、ネットワーク装置(例えば、パーソナルコンピュータ等の情報処理端末)からの要求に従い、各種サービスを提供するサービス提供サーバが知られている。このサービス提供サーバでは、ネットワーク装置の利用者が、サービスの利用を許可された者であるか否かを判断するための認証処理を行い、利用者を認証できたときにサービスを提供する。
【0003】
例えば、従来では、ネットワーク上に、利用者が正規の者であることを証明する証明書を発行する認証サーバを設置し、利用者は、この認証サーバにて発行される証明書を使って、サービス提供サーバが提供する任意のサービスを利用できるようにすることが行われている(例えば、特許文献1等参照)。
【0004】
この技術は、所謂シングルサインオンを実現する技術であり、その認証方式としては、Kerberos認証が代表的である。
このKerberos認証では、図9に例示するように、ネットワーク装置であるユーザ端末に対し、利用者が、ユーザ名、パスワード等の情報を入力して、ユーザ端末にログインすると、ユーザ端末が、そのログイン情報(ユーザ名、パスワード等)を用いて、認証サーバに認証依頼を送信し、認証サーバから、信任状と呼ばれる証明書を取得し、その後、利用者がユーザ端末の使用を終了(つまりログオフ)するまで、その証明書(信任状)を保持する。
【0005】
また、ログイン中に利用者がユーザ端末を操作して、サービス提供サーバ(図ではアプリケーションサーバ)の利用要求を入力すると、ユーザ端末は、証明書(信任状)と共にサービス利用要求を、アプリケーションサーバに送信する。
【0006】
すると、サービス提供サーバ(アプリケーションサーバ)は、サービス利用要求と共に送信されてきた証明書(信任状)が正規のものか否かを、認証サーバを使って判定し、その証明書(信任状)が正規のものであれば、ユーザ端末に対しサービスの利用を許可する。
【特許文献1】特開2003−296277号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、上述した認証技術は、シングルサインオンのための技術であるため、ネットワーク装置が、利用者が個人情報を入力してログインするよう構成された情報処理装置の場合は、利用者による使い勝手を向上できるが、例えば、多数の利用者がログオン/ログオフの操作を行うことなく自由に使用できる装置(具体的には、プリンタやスキャナとしての機能を有する複合機等)の場合には、その効果を発揮することができないという問題があった。
【0008】
つまり、複合機のように、多数の利用者が自由に使用できるネットワーク装置において、上記認証技術が適用されたネットワーク上のサービス提供サーバに接続するには、利用者が、サービス提供サーバにて提供されるサービスを利用する度に、認証サーバから証明書を取得するための個人情報を入力して、認証サーバから証明書を取得させる必要があり、利用者にとっては使い勝手の悪いネットワーク装置となっていた。
【0009】
本発明は、こうした問題に鑑みなされたものであり、サービス提供サーバとこのサービス提供サーバが利用者を認証するための証明書を発行する認証サーバとが設置されたネットワークに接続され、多数の利用者により使用可能なネットワーク装置において、各利用者が、サービス提供サーバにて提供されるサービスを簡単に利用できるようにすることを目的とする。
【課題を解決するための手段】
【0010】
かかる目的を達成するためになされた請求項1に記載のネットワーク装置においては、サービス提供サーバにて提供されるサービスを利用するための証明書を、サービス毎に記憶しておくための証明書記憶手段が備えられている。
【0011】
そして、外部からサービスの利用要求が入力されると、判定手段が、そのサービスを利用するのに必要な証明書が証明書記憶手段に記憶されているか否かを判定し、その証明書が証明書記憶手段に記憶されていなければ、証明書取得手段が、取得情報記憶手段からそのサービスに対応した取得情報を読み出し、その読み出した取得情報に基づき認証サーバから証明書を取得し、証明書記憶手段に格納する。
【0012】
また、外部からサービスの利用要求が入力され、判定手段にて、そのサービスを利用するのに必要な証明書が証明書記憶手段に記憶されていると判断されるか、あるいは、証明書取得手段にて、そのサービスを利用するのに必要な証明書が認証サーバから取得されると、サービス利用手段が、その記憶若しくは取得された証明書をサービス提供サーバに送信することで、サービス提供サーバから利用要求に対応したサービスの利用許可を受け、当該サービスの利用を開始する。
【0013】
このため、本発明のネットワーク装置によれば、サービス提供サーバにて提供される複数のサービスを、当該ネットワーク装置を介して、複数の利用者が利用する場合、各利用者は、利用したいサービスを指定するだけで、そのサービスを利用できるようになり、サービスを利用する度に、証明書を取得するための取得情報(例えば、利用者個人のユーザ名やパスワード)を入力する必要がない。
【0014】
よって、本発明は、例えば、プリンタやスキャナとしての機能を有し、ネットワークに接続されて使用される複合機のように、サービス提供サーバにて提供される複数のサービスを複数の利用者が利用するネットワーク装置に適用すれば、各利用者によるネットワーク装置の使い勝手を向上することができるようになる。
【0015】
また、証明書取得手段が認証サーバから取得した証明書は、証明書記憶手段に記憶されるため、その後、この証明書が必要なサービスの利用要求が入力された際には、認証サーバから証明書を取得することなく、証明書記憶手段に記憶された証明書を使ってサービスを利用できる。
【0016】
このため、証明書記憶手段に証明書が記憶されているサービスについては、利用者がそのサービスの利用要求を入力した後、速やかに利用できるようになり、これによってもネットワーク装置の使い勝手を向上できる。
【0017】
また更に、利用者がサービスの利用要求を入力する度に、認証サーバへアクセスして証明書を取得する必要がないので、その取得処理によってネットワーク装置の処理負荷が増加するのを防止し、処理負荷の軽減を図ることができる。また、ネットワーク装置にて実行される証明書の取得処理を減らすことができるので、ネットワークにおけるトラフィックを軽減することもできる。
【0018】
ここで、ネットワークス装置の使い勝手を向上させるために、次のようなことが考えられる。すなわち、利用者からの要求に従い認証サーバから証明書を取得する度に、その証明書を記憶しておき、その後、同一利用者からサービス提供サーバを利用する要求が入力されると、既に記憶されている証明書を使用してサービス提供サーバに接続するようにすることも考えられる。
【0019】
ところが、このようにするには、利用者毎、異なる証明書が必要なサービス毎に、認証サーバから取得した証明書を保存し、管理する必要があるため、ネットワーク装置の利用者が増加すると、その増加に伴い管理対象となる証明書が増加し、証明書を保存する記憶媒体の記憶容量を大きくしなければならないという問題が生じる。
【0020】
しかしながら、本発明によれば、証明書記憶手段には、各サービスを利用するのに必要な証明書がサービス毎に記憶され、利用者毎に証明書が記憶されることはないので、ネットワーク装置の利用者が増加しても、証明書記憶手段の記憶容量を増加させる必要がない。よって、本発明によれば、ネットワーク装置のコストを低減することもできる。
【0021】
次に、請求項2に記載のネットワーク装置においては、サービス提供サーバから提供されるサービスの種類が同じで、利用条件が異なるサービスに対しては、異なるサービスとして、取得情報記憶手段に、そのサービスを所定の利用条件で利用するのに必要な証明書を取得するための取得情報が記憶されている。
【0022】
そして、判定手段は、サービスの利用要求が利用条件と共に入力されると、そのサービスの利用条件に対応した証明書が証明書記憶手段に記憶されているか否かを判定し、その証明書が証明書記憶手段に記憶されていなければ、証明書取得手段が、そのサービスの利用条件に対応した取得情報を取得情報記憶手段から読み出し、その読み出した取得情報に基づき、認証サーバからそのサービスを所定の利用条件で利用するのに必要な証明書を取得する。
【0023】
このため、本発明のネットワーク装置によれば、利用者は、利用条件毎に異なる証明書が設定されたサービスを利用する際には、そのサービスの種類と利用条件とを指定すればよく、簡単な操作で、所望のサービスを所望の利用条件で利用することができるようになる。
【0024】
また次に、請求項3に記載のネットワーク装置においては、証明書に有効期限を表す付加情報が付与されており、判定手段は、利用要求に対応した証明書が証明書記憶手段に記憶されていると判定すると、付加情報に基づきその証明書は使用可能か否かを判定し、証明書が使用できない場合には、証明書記憶手段から削除する。
【0025】
このため、本発明のネットワーク装置によれば、証明書記憶手段に記憶された証明書のうち、有効期限が切れた証明書は除去され、証明書記憶手段には利用可能な証明書のみが記憶されることになり、証明書記憶手段における証明書の記憶容量を必要最小限に抑えることができる。
【0026】
また、請求項4に記載のネットワーク装置においては、証明書記憶手段に記憶可能な証明書の数が、取得情報記憶手段に記憶された取得情報の数よりも少ない所定値に制限されている。そして、証明書取得手段は、認証サーバから証明書を取得すると、その取得した最新の証明書を証明書記憶手段に追加登録できるか否かを判断して、証明書記憶手段に証明書を追加できる場合には、最新の証明書を証明書記憶手段に登録する。
【0027】
また、証明書取得手段は、証明書記憶手段に証明書を追加登録できない場合には、証明書記憶手段に記憶された証明書の中で、サービス利用手段が利用を終了したサービスに対する証明書があるか否かを判断して、サービス利用手段が利用を終了したサービスに対する証明書があれば、その証明書を証明書記憶手段から削除した後、最新の証明書を証明書記憶手段に登録する。
【0028】
このため、本発明のネットワーク装置によれば、証明書記憶手段における証明書の記憶容量をより少なくして、装置のコストを低減することができる。また、証明書記憶手段には、頻繁に利用される証明書が記憶され、利用頻度の低い証明書は削除されることになるので、証明書記憶手段の記憶容量を制限することによって、装置の使い勝手が低下するのを抑制できる。
【0029】
次に、請求項5に記載のネットワーク装置においては、証明書記憶手段に記憶された各証明書に対し、サービス利用手段がサービス提供サーバから利用許可を受けるのに用いた証明書の最終使用時刻を付与する使用時刻付与手段が備えられている。
【0030】
そして、証明書取得手段は、認証サーバから取得した証明書を証明書記憶手段に追加登録できず、かつ、証明書記憶手段に記憶された証明書の中にサービス利用手段が利用を終了したサービスに対する証明書がない場合には、証明書記憶手段に記憶された証明書の中で、最終使用時刻が最も古い証明書を、証明書記憶手段とは異なる第2記憶手段に記憶し、証明書記憶手段から削除すると共に、認証サーバから取得した証明書を証明書記憶手段に登録して、証明書記憶手段から削除した証明書の第2記憶手段における記憶位置をサービス利用手段に通知する。
【0031】
また、サービス利用手段は、証明書取得手段から第2記憶手段における証明書の記憶位置が通知されると、この記憶位置に記憶された証明書を利用して、その証明書に対応したサービスの利用を継続する。
【0032】
このため、本発明のネットワーク装置によれば、証明書記憶手段における証明書の記憶容量を制限した際、認証サーバから新たに取得した証明書を証明書記憶手段に記憶できなくなるのを防止し、その最新の証明書が必要なサービスを速やかに利用できるようになる。
【0033】
また、証明書取得手段は、認証サーバから取得した証明書を証明書記憶手段に登録するために、証明書記憶手段から最終使用時刻が最も古い証明書を削除するが、その削除した証明書は第2記憶手段に記憶され、その記憶位置がサービス利用手段に通知されることから、サービス利用手段は、その削除した証明書が必要なサービスを継続して利用することができる。
【0034】
ところで、本発明では、証明書取得手段が認証サーバから証明書を取得した際、証明書記憶手段に記憶された最終使用時刻が最も古い証明書が、第2記憶手段に記憶されるため、第2記憶手段の記憶容量を確保する必要がある。
【0035】
しかし、第2記憶手段に記憶される証明書は、最終使用時刻が最も古いことから、利用頻度が低く、且つ、サービス利用手段が直ぐに利用を終了するサービスの証明書であると考えられ、第2記憶手段に長時間保存する必要はない。このため、第2記憶手段の記憶容量は小さくすることができ、第2記憶手段を設けることによって、装置の大幅なコストアップを招くことはない。
【0036】
また次に、請求項6に記載のネットワーク装置においては、請求項5に記載の装置と同様、使用時刻付与手段が備えられており、証明書取得手段は、認証サーバから取得した証明書を証明書記憶手段とは記憶領域の異なる第2記憶手段に記憶し、証明書記憶手段には、当該証明書の第2記憶手段での記憶位置を含む管理情報を記憶するよう構成されている。
【0037】
そして、証明書取得手段は、認証サーバから取得した証明書の管理情報を証明書記憶手段に追加登録できない場合には、証明書記憶手段及び第2記憶手段に管理情報及び実情報が記憶された証明書の中で、サービス利用手段が利用を終了したサービスに対する証明書があるか否かを判断し、
サービス利用手段が利用を終了したサービスに対する証明書があれば、その証明書の実情報及び管理情報を第2記憶手段及び証明書記憶手段から削除した後、最新の証明書の実情報及び管理情報を第2記憶手段及び証明書記憶手段に登録し、
サービス利用手段が利用を終了したサービスに対する証明書がなければ、最終使用時刻が最も古い証明書の管理情報を証明書記憶手段から削除し、認証サーバから取得した最新の証明書の実情報及び管理情報を、第2記憶手段及び証明書記憶手段に登録する。
【0038】
また、サービス利用手段は、証明書記憶手段に記憶された管理情報に基づき第2記憶手段に記憶された証明書の記憶位置を検知し、この記憶位置に記憶された証明書を利用して、その証明書に対応したサービスを利用する。
【0039】
このため、本発明によれば、証明書記憶手段における証明書の記憶容量を制限した際、認証サーバから新たに取得した証明書の管理情報を証明書記憶手段に記憶できなくなるのを防止し、その最新の証明書が必要なサービスを速やかに利用できることになる。
【0040】
また、第2記憶手段には、証明書取得手段が認証サーバから取得した証明書が順次格納されるが、サービス利用手段が利用を終了したサービスに対する証明書は、その都度削除されることから、第2記憶手段の記憶容量は必要最小限に抑えることができ、第2記憶手段を設けることによって、装置の大幅なコストアップを招くことはない。
【0041】
なお、サービス利用手段は、サービスを利用する際に、証明書記憶手段に記憶された管理情報に基づき第2記憶手段に記憶された証明書の記憶位置を検知することから、その後証明書記憶手段から管理情報が削除されても、その削除された管理情報に対応する証明書が第2記憶手段から削除されるまでは、その証明書を第2記憶手段から読み出し、その証明書に対応したサービスの利用を継続することができる。
【0042】
次に、請求項7に記載のネットワーク装置においては、取得情報記憶手段に記憶されるサービス毎の取得情報には、同一情報を設定できるように構成されており、サービス利用手段は、証明書記憶手段に記憶された証明書毎に、利用中のサービスの数を表す付加情報を付与する。
【0043】
このため、本発明によれば、認証サーバから取得した証明書を複数のサービスで共用させることにより、証明書取得手段に格納する証明書の数を少なくして、証明書取得手段の容量をより低減することができる。
【0044】
また、証明書取得手段が、証明書記憶手段に記憶された証明書の中にサービス利用手段が利用を終了したサービスに対する証明書があるか否かを判断する際には、サービス利用手段が証明書に付加した付加情報(利用中のサービスの数)を用いることができ、その判定動作を短時間で実行することができる。
【0045】
また、例えば、取得情報記憶手段に記憶される取得情報に、上述したKerberos認証等で用いられているユーザ名、パスワード、認証サーバ名を含める場合に、複数のサービスで同一の証明書を共用できるようにするには、証明書取得手段及び判定手段を、それぞれ、請求項8に記載のように構成するとよい。
【0046】
すなわち、請求項8に記載のネットワーク装置において、証明書取得手段は、認証サーバから証明書を取得して証明書記憶手段に格納する際、その格納する情報(具体的には証明書若しくはその管理情報)に、取得情報に含まれるユーザ名、パスワード及び認証サーバ名から生成した識別情報を付与し、判定手段は、サービスの利用要求が入力されると、当該サービスに対する証明書の取得情報に含まれるユーザ名、パスワード、及び認証サーバ名から識別情報を生成し、その生成した識別情報に基づき証明書記憶手段を検索することにより、証明書記憶手段に当該サービスに対応した証明書が記憶されているか否かを判定する。
【0047】
このため、本発明のネットワーク装置によれば、取得情報が、ユーザ名、パスワード、認証サーバ名等の複数の情報から構成されており、しかも、その取得情報に基づき認証サーバから取得される証明書を複数のサービスで共用させる場合に、判定手段が、利用要求が入力されたサービスに対する証明書の有無を判定する際の判定動作を、識別情報を用いて簡単に実行することができるようになり、判定手段による処理の負担を軽減することが可能となる。
【発明を実施するための最良の形態】
【0048】
以下に本発明の一実施形態を図面と共に説明する。
[実施形態のネットワークシステム全体の構成]
図1は、本実施形態のネットワークシステムの構成を表し、(a)は、ネットワークシステム全体の構成を表すブロック図、(b)は、このネットワークシステムを構成する複合機の内部構成を表すブロック図である。
【0049】
図1(a)に示すように、本実施形態のネットワークシステムは、IPプロトコルで通信可能なネットワーク(インターネット、社内LAN等)2に接続され、利用者により操作される複数のユーザ端末4及び複合機10と、ユーザ端末4や複合機10からの要求に従い各種サービスを提供する複数のアプリケーションサーバ6と、アプリケーションサーバ6がサービスの利用者を認証するのに必要な証明書を発行する認証サーバ8と、から構成されている。
【0050】
ここで、認証サーバ8は、上述したKerberos認証を行うためのものであり、図9に示したように、ネットワーク2を介して他のネットワーク装置(ユーザ端末4、複合機10等)から認証依頼を受けると、その認証依頼に含まれるユーザ名やパスワードから、認証依頼は、予め登録された正規の利用者からの依頼であるか否かを判断して、認証依頼が正規の利用者からの依頼であれば、認証依頼を送信してきたネットワーク装置に信任状と呼ばれる証明書を発行する、周知のものである。
【0051】
また、アプリケーションサーバ6は、アプリケーションソフトを実行することにより、自身にアクセスしてきたクライアント(ユーザ端末4、複合機10等)に対し各種サービスを提供するものであり、特許請求の範囲に記載のサービス提供サーバに相当する。
【0052】
そして、アプリケーションサーバ6は、図9に示したように、クライアントからサービス利用要求を受けると、その利用要求に含まれる信任状が、認証サーバ8が発行した正規のものであるか否かを判断して、信任状が正規のものであれば、利用要求に対応した所定のアプリケーションソフトを実行することにより、ネットワーク装置に対し所定のサービスを提供する。
【0053】
なお、各アプリケーションサーバ6は、それぞれ、LDAP(Lightweight Directory Access Protocol)によりネットワーク2上のユーザ情報や機器情報を管理し、その情報をクライアント(ユーザ端末4、複合機10等)に提供するディレクトリサーバ、CIFS(Common Internet File System)によりクライアントの通信ログを管理するログサーバ、同じくCIFSによりクライアントからの送信データを保存するファイルサーバ、としての機能の少なくとも一つを有する。
【0054】
そして、本実施形態では、これら複数のアプリケーションサーバ6によって、ディレクトリサーバ、ログサーバ、ファイルサーバとしての機能が実現される。
このため、クライアントであるユーザ端末4及び複合機10は、何れかのアプリケーションサーバ6に接続することにより、各アプリケーションサーバ6が提供するディレクトリサービス、ログサービス、ファイルサービス、といった各種サービスを利用することができる。
【0055】
次に、ユーザ端末4は、パーソナルコンピュータ(PC)等からなる情報処理装置であり、利用者がログインすると、図9に示した手順で認証サーバ8から信任状を取得し、その後、利用者がログオフするまでの間、利用者からのサービス利用指令に従い、アプリケーションサーバ6に信任状を付与したサービス利用要求を送信し、アプリケーションサーバ6が提供する所定のサービスを利用する。
[複合機の構成]
また次に、複合機10は、プリンタ機能、スキャナ機能、コピー機能等を有する多機能装置であり、図1(b)に示すように、読取部12、記録部14、操作部16、表示部18、制御部20、通信部22、記憶部24、及び、これら各部を接続するバス26を備える。
【0056】
ここで、読取部12及び記録部14は、制御部20からの指令に従い動作するものであり、読取部12は、原稿に記録(例えば印刷)された画像を読み取り、この画像を表す画像データを生成する、スキャナとして動作する。また、記録部14は、記憶部24に一時的に記憶された印刷データに基づく画像を、用紙等のシート状記録媒体に形成(印刷)する、プリンタとして動作する。
【0057】
また、操作部16は、利用者が操作可能な複数のキーを備え、これらのキーを介して、利用者の操作情報を取得し、この操作情報(各種操作指令)を制御部20に入力するものである。また、表示部18は、制御部20からの指令に従い、当該複合機10の動作状態や利用者に対する各種メッセージを表示するものである。また、通信部22は、ネットワーク2に接続されて、ネットワーク2上の機器(ユーザ端末4、認証サーバ8、アプリケーションサーバ6)との間でデータ通信を行うためのものである。
【0058】
次に、制御部20は、CPU、ROM、RAM等からなるマイクロコンピュータにて構成されており、ROMに記憶されたプログラムに従い上記各部を制御し、当該複合機10をプリンタ、スキャナ、コピー機として機能させる。
【0059】
つまり、制御部20は、操作部16を介して直接入力される指令や、ユーザ端末4からネットワーク2及び通信部22を介して入力される指令を受けて、読取部12及び記録部14を駆動制御することで、当該複合機10を、プリンタ、スキャナ、コピー機として機能させる。
【0060】
また、制御部20は、通信部22を介して他のネットワーク装置(ユーザ端末4等)とデータ通信を行う際には、ディレクトリサーバとして機能するアプリケーションサーバ6に接続して他のネットワーク装置の情報を取得する。また、制御部20は、他のネットワーク装置とのデータ通信時には、ログサーバとして機能するアプリケーションサーバ6に接続して通信ログを記憶する。
【0061】
また更に、複合機10は、操作部16若しくはユーザ端末4からの指令に従い、読取部12が読み取った画像データを通信部22を介してファイルサーバに記憶したり、ファイルサーバから画像データを取得して記録部14に画像を形成(印刷)させることができるようにされている。そして、制御部20は、ファイルサーバとの間でこうした画像データの送受信を行う際には、ファイルサーバとして機能するアプリケーションサーバ6に接続して、画像データを送受信する。
【0062】
このように、複合機10は、ユーザ端末4と同様、アプリケーションサーバ6にて提供されるディレクトリサービス、ログサービス、ファイルサービス、といった各種サービスを利用できるようにされている。
【0063】
そして、このサービスを利用するためには、認証サーバ8から信任状を取得する必要があり、認証サーバ8から信任状を取得するには、認証サーバ8に対し、ユーザ名やパスワードを含む認証依頼を送信する必要がある。
【0064】
そこで、本実施形態では、複合機10の記憶部24に、図2(a)に示す信任状の取得情報を記憶しておき、制御部20が、利用者からの指令に従いアプリケーションサーバ6にて提供されるサービスを利用する際には、そのサービスに対応した信任状を取得するための取得情報を記憶部24から読み出し、その読み出した取得情報に対応した認証依頼を認証サーバ8に送信することで、そのサービスを利用するのに必要な信任状を取得するようにされている。
【0065】
なお、記憶部24に記憶された信任状の取得情報は、アプリケーションサーバ6にて提供されるサービスS1〜Sm毎に、認証サーバ8から信任状を取得するのに必要なユーザ名及びパスワードと、その信任状が登録された認証サーバ8を特定するための認証サーバ名と、を登録することにより構成されている。
【0066】
また、この信任状の取得情報は、アプリケーションサーバ6にて提供されるサービスS1〜Sm毎に設定されるが、このサービスS1〜Smは、ディレクトリサービス、ログサービス、ファイルサービス、といった各サービスの種類だけでなく、例えば、ファイルサービスで画像データを記憶させるフォルダの位置等、サービスの利用条件によっても区分されている。
【0067】
そして、記憶部24には、その区分されたm個のサービスS1〜Sm毎に、信任状の取得情報が記憶されている。また、このように区分されたm個のサービスS1〜Smには、同一のアプリケーションサーバ6で同一の信任状を利用できるものがあるので、その場合には、その複数のサービスSに対し、同じ取得情報が設定される。
【0068】
次に、記憶部24は、読み書き可能な不揮発性メモリにて構成されている。そして、この記憶部24は、図2(b)に示すように、上述した信任状の取得情報が予め記憶された取得情報記憶領域と、認証サーバ8から取得した信任状を保存するための信任状キャッシュ領域と、読取部12からの画像データや記録部14に出力する印刷データ等の各種データを一時記憶するための共有メモリ領域と、に分割されている。
【0069】
また、信任状キャッシュ領域は、取得情報記憶領域に記憶される信任状の取得情報の数「m」よりも少ないn個を上限として、認証サーバ8から取得した信任状を記憶できるように、#1〜#nのn個のキャッシュ領域に分割されている。
【0070】
そして、これら各キャッシュ領域#1〜#nには、認証サーバ8から取得した信任状に加えて、この信任状を取得する際に取得情報(ユーザ名、パスワード、認証サーバ名)から生成したキー値、信任状の有効期限、この信任状をアプリケーションサーバ6に送信して実際に利用しているサービスの数を表す使用中アプリ数、及び、その信任状の最終使用時刻、が記憶される。
[複合機の動作]
上記のように構成された複合機10は、本発明のネットワーク装置に相当するものである。
【0071】
そして、複合機10において、制御部20は、操作部16若しくはネットワーク2上のユーザ端末4から、アプリケーションサーバ6にて提供されるサービスを伴う制御指令が入力されたか否かを判断することにより、外部からサービスの利用要求が入力されたか否かを判断する。
【0072】
そして、制御部20は、外部からサービスの利用要求が入力されたと判断すると、図3に示す手順で、アプリケーションサーバ6にそのサービスの利用要求を送信して、アプリケーションサーバ6から、そのサービスの利用許可を受け、そのサービスの利用を開始する。
【0073】
すなわち、図3に示すように、制御部20は、外部からサービスの利用要求が入力されたと判断すると、そのサービスを利用するのに必要な信任状が、記憶部24の信任状キャッシュ領域に記憶されているか否かを判断する。
【0074】
そして、信任状キャッシュ領域に、サービスを利用するのに必要な信任状が記憶されていなければ、制御部20は、記憶部24の取得情報記憶領域から、その信任状の取得情報を読み出し、その読み出した取得情報に基づき、認証サーバ8に認証依頼を送信することで、認証サーバ8から信任状を取得し、その信任状を記憶部24の信任状キャッシュ領域に格納する。
【0075】
なお、制御部20は、認証サーバ8から取得した信任状を信任状キャッシュ領域に格納するに当たって、信任状キャッシュ領域に空きがなければ、信任状キャッシュ領域から古い信任状を削除する。
【0076】
また、このように信任状を取得するか、信任状キャッシュ領域に、サービスを利用するのに必要な信任状が記憶されていると判断すると、制御部20は、その信任状と共にサービスの利用要求をアプリケーションサーバ6に送信することで、アプリケーションサーバ6から、そのサービスの利用許可を受け、サービスの利用を開始する。
【0077】
また、制御部20は、記憶部24の信任状キャッシュ領域に信任状を格納すると、その後、その信任状が必要な全てのサービスの利用が終了したか否かを判断し、その信任状が必要な全てのサービスの利用が終了すると、記憶部24の信任状キャッシュ領域から、その信任状を除去する。
【0078】
以下、このように、複合機10の制御部20にて、アプリケーションサーバ6を利用するために実行される制御処理について、図4〜図6のフローチャートに沿って詳しく説明する。
【0079】
図4は、複合機10の起動後(電源投入後)、制御部20において、アプリケーションサーバ6を利用するために繰り返し実行される制御処理を表すフローチャートである。
図4に示すように、この制御処理を開始すると、制御部20は、まずS110(Sはステップを表す)にて、操作部16若しくはユーザ端末4から入力される利用者からの操作指令(詳しくはサービス利用要求)を受け付ける。
【0080】
そして、制御部20は、続くS120にて、その受け付けたサービスを利用するのに必要な信任状を取得する、信任状取得処理(図5参照)を実行し、続くS130にて、その信任状取得処理で信任状を取得できたか否かを判断する。
【0081】
次に、制御部20は、S130にて信任状を取得できたと判断すると、その信任状に対応したサービスを提供するアプリケーションサーバ6に接続して(S140)、そのアプリケーションサーバ6に、S120で取得した信任状を送信し(S150)、その後、通信部22にて、アプリケーションサーバ6から送信されてくる返信データが受信されるのを待つ(S160)。
【0082】
そして、通信部22にて、アプリケーションサーバ6からの返信データが受信されると、制御部20は、その返信データがサービスの利用を許可するものであるか否かを判断し(S170)、返信データがサービスの利用を許可するものであれば(S170−YES)、そのサービスを利用するサービス利用処理を実行する(S180)。
【0083】
なお、このサービス利用処理では、その処理実行時に、サービスの利用に必要な信任状の記憶部24内での記憶位置をRAMに記憶するようにされており、その記憶位置から信任状を読み出しアプリケーションサーバ6に送信することで、サービスの利用を継続する。
【0084】
また、このサービス利用処理(S180)を実行した後は、制御部20は、そのサービスの利用のためのアプリケーションサーバ6との接続を遮断し(S190)、その後、信任状の解放処理(S200)を実行した後、再度S110に移行する。
【0085】
なお、制御部20は、S130にて信任状を取得できなかったと判断すると、S135にて、その旨を表すエラーメッセージを表示部18に表示した後、再度S110に移行する。また、制御部20は、S170にて返信データがサービスの利用を許可するものではないと判断した場合にも、その旨を表すエラーメッセージを表示部18に表示した後、再度S110に移行する。
【0086】
また、S110のサービス利用要求受付処理は、制御部20において、操作部16若しくはユーザ端末4から入力される利用者からの操作指令毎に実行され、S110〜S200の一連の処理は、S110で受け付けたサービス利用要求毎に並列的に実行される。このため、当該複合機10では、複数の利用者が、アプリケーションサーバ6にて提供される複数のサービスを同時に利用でき、信任状キャッシュ領域内の信任状データは、各サービスの利用開始/停止が切り換えられる度に、追加又は削除若しくは更新される。
【0087】
次に、図5は、図4のS120にて実行される信任状取得処理を表すフローチャートである。
図5に示すように、この信任状取得処理では、制御部20は、まずS210にて、S110で利用要求を受け付けたサービスに対応した信任状の取得情報であるユーザ名、パスワード及び認証サーバ名を、記憶部24の取得情報記憶領域から読み出し、その読み出した各情報に基づき、これら各情報から一意に決まるキー値を生成する。なお、このキー値の生成には、例えば、ハッシュ関数が使用される。
【0088】
また、S210にてキー値を生成すると、制御部20は、その生成したキー値を用いて記憶部24の信任状キャッシュ領域内を検索し(S220)、その検索結果から、キー値に対応した信任状が信任状キャッシュ領域内にあるか否かを判断する(S230)。
【0089】
そして、制御部20は、キー値に対応した信任状が信任状キャッシュ領域内にあると判断すると(S230−YES)、その信任状と共に信任状キャッシュ領域に記憶されている有効期限を読み出し(S240)、信任状キャッシュ領域に記憶されているキー値に対応する信任状は、有効期限が切れているか否かを判断する(S250)。
【0090】
S250にて、キー値に対応する信任状の有効期限は切れていないと判断すると、制御部20は、その信任状の使用中アプリ数に「1」を加え(S260)、更に、その信任状の最終使用時刻に現在時刻を代入する(S270)することで、信任状キャッシュ領域に記憶されたキー値に対応する信任状データを更新し、当該信任状取得処理を終了する。
【0091】
一方、S230にて、キー値に対応した信任状が信任状キャッシュ領域内にないと判断した場合(S230−NO)、制御部20は、S300に移行する。
また、S250にて、キー値に対応する信任状の有効期限が切れていると判断すると、制御部20は、その信任状の使用中アプリ数は「0」であるか否かを判断し(S280)、使用中アプリ数が「0」であれば(S280−YES)、その信任状に対応した信任状データを信任状キャッシュ領域から削除した後(S290)、S300に移行し、逆に、使用中アプリ数が「0」でなければ(S280−NO)、そのままS300に移行する。
【0092】
S300において、制御部20は、通信部22を介して、S110で利用要求を受け付けた信任状の取得情報(詳しくは認証サーバ名)に対応した認証サーバ8に接続する。そして、制御部20は、その接続した認証サーバ8に対し、信任状の取得情報を構成するユーザ名及びパスワードを含む認証依頼を送信し(S310)、その後、認証サーバ8から認証OKとの返信があったか否かを判断する(S320)ことにより、認証サーバ8にて信任状が生成されるのを待つ。
【0093】
S320にて認証サーバ8から認証OKとの返信があったと判断すると、制御部20は、S330に移行して、認証サーバ8から送信されてくる信任状を受信し、S340に移行する。逆に、認証サーバ8から認証OKとの返信がないと判断すると、制御部20は、信任状の取得エラーを記憶して、当該信任状取得処理を終了する。
【0094】
S340において、制御部20は、記憶部24の信任状キャッシュ領域に信任状データを追加登録可能な空き領域があるか否かを判断する。そして、信任状キャッシュ領域に空き領域があれば、制御部20は、S350にて、その空き領域に、S330で受信した信任状とその有効期限とS210で生成したキー値とを記憶し、更に、S360にて、その空き領域に信任状の使用中アプリ数として「1」を記憶し、上述のS270に移行する。
【0095】
この結果、信任状キャッシュ領域の空き領域には、S330にて取得した最新の信任状に、キー値、有効期限、使用中アプリ数、最終使用時刻を付与した、信任状データが追加登録されることになる。
【0096】
一方、S340にて、記憶部24の信任状キャッシュ領域に信任状データを追加登録可能な空き領域がないと判断した場合、制御部20は、S370に移行して、記憶部24の信任状キャッシュ領域に、使用中アプリ数が「0」となっている信任状があるか否かを判断する。
【0097】
そして、S370にて、使用中アプリ数が「0」となっている信任状があると判断すると、制御部20は、S380に移行して、使用中アプリ数が「0」となっている信任状のうち、最終使用時刻が最も古い信任状のデータ(信任状データ)を、信任状キャッシュ領域から削除した後、S350に移行する。
【0098】
この結果、S380にて信任状データを削除した信任状キャッシュ領域には、続くS350、S360、S270の処理により、S330にて取得した最新の信任状に、キー値、有効期限、使用中アプリ数、最終使用時刻を付与した、信任状データが追加登録されることになる。
【0099】
また、S370にて、使用中アプリ数が「0」となっている信任状はないと判断すると、制御部20は、S392に移行して、信任状キャッシュ領域に記憶された信任状のうち、最終使用時刻が最も古い信任状を、記憶部24の共有メモリ領域にコピーし、S394にて、そのコピーは成功したか否かを判断する。
【0100】
そして、最終使用時刻が最も古い信任状の共有メモリ領域へのコピーが成功した場合には、制御部20は、S396に移行して、そのコピーした信任状が必要なサービスを利用しているサービス利用処理(換言すればそのサービス利用処理による使用中アプリ)に対し、その信任状のコピー先(換言すれば共有メモリ領域での信任状の記憶位置)を通知し、続くS398にて、共有メモリ領域にコピーした信任状のデータ(信任状データ)を、信任状キャッシュ領域から削除した後、S350に移行する。
【0101】
この結果、S398にて信任状データを削除した信任状キャッシュ領域には、続くS350、S360、S270の処理により、S330にて取得した最新の信任状に、キー値、有効期限、使用中アプリ数、最終使用時刻を付与した、信任状データが追加登録されることになる。
【0102】
なお、S394にて、信任状のコピーは成功しなかったと判断すると、制御部20は、信任状の保存エラーを記憶して、当該信任状取得処理を終了する。
次に、図6は、図4のS200にて実行される信任状解放処理を表すフローチャートである。
【0103】
図6に示すように、この信任状解放処理では、制御部20は、まずS410にて、S190で接続を遮断したサービス(換言すれば利用を終了したサービス)に対応した信任状を、記憶部24の信任状キャッシュ領域から検索し、S420にて、その信任状が信任状キャッシュ領域に記憶されているか否かを判断する。
【0104】
そして、S420にて、利用を終了したサービスに対応する信任状が信任状キャッシュ領域に記憶されていると判断すると、制御部20は、信任状キャッシュ領域に記憶されている信任状データから、その信任状に対する使用中アプリ数を「1」だけ減らし(S430)、更に、その信任状に対する最終使用時刻に現在時刻を代入した後(S440)、当該信任状解放処理を終了する。
【0105】
また、S420にて、利用を終了したサービスに対応する信任状が信任状キャッシュ領域に記憶されていないと判断すると、そのサービスに対応する信任状は、共有メモリ領域にコピーされているので、制御部20は、共有メモリ領域から、その信任状を削除し(S450)、当該信任状解放処理を終了する。
[実施形態の効果]
以上説明したように、本実施形態の複合機10においては、記憶部24の取得情報記憶領域内に、アプリケーションサーバ6にて提供されるサービスの種類やその使用条件毎に予め設定された信任状の取得情報が複数記憶されている。
【0106】
そして、複合機10が、利用者からの指令に従い、アプリケーションサーバ6にて提供される所定のサービスを利用する際には、そのサービスに対応した信任状が認証サーバ8から既に取得されて、記憶部24の信任状キャッシュ領域に保存されているか否かを判断する(S210〜S230)。
【0107】
そして、信任状が信任状キャッシュ領域に保存されていれば、その保存された信任状を使って、アプリケーションサーバ6に接続することにより、利用者からの指令に対応した所定のサービスを利用する(S140〜S180)。
【0108】
また逆に、信任状が信任状キャッシュ領域に保存されていなければ、記憶部24の取得情報記憶領域に記憶された信任状の取得情報に基づき、認証サーバ8からサービスの利用に必要な信任状を取得し(S300〜S330)、その取得した信任状を使ってアプリケーションサーバ6に接続することにより、利用者からの指令に対応した所定のサービスを利用する(S140〜S180)。
【0109】
従って、本実施形態の複合機10によれば、利用者は、アプリケーションサーバ6にて提供されるサービスを利用する際、そのサービスを利用するスキャナ、プリンタ等の機能や、その利用条件(例えば、スキャンした画像データの保存先や、印刷データの保存先等)を指定するだけで、所望のサービスを利用することが可能となる。
【0110】
このため、本実施形態によれば、複合機10を使用するに当たって、利用者は、アプリケーションサーバ6にて提供されるサービスを利用する度に、信任状を取得するための取得情報(ユーザ名やパスワード)を入力する必要がなく、複合機10を簡単な操作で使用できるようになる。
【0111】
また、認証サーバ8から取得した信任状は、記憶部24の信任状キャッシュ領域に記憶され(S350)、その後、信任状キャッシュ領域に記憶された信任状に対応したサービスを利用する際には、その記憶された信任状が使用されることから、アプリケーションサーバ6で提供されるサービスを利用する度に、認証サービスから信任状を取得する必要がなく、そのサービスを速やかに利用できるようになる。
【0112】
このため、複合機10を、アプリケーションサーバ6にて提供されるサービスを利用するスキャナ、プリンタ等として動作させる場合、利用者は、その動作を速やかに実行させることができるようになり、複合機10の使い勝手を向上することができる。
【0113】
また、信任状を信任状キャッシュ領域に記憶することで、認証サーバ8へのアクセス頻度を減らすことができるので、認証サーバ8へのアクセスによって複合機10の処理負荷が増加するのを防止することができると共に、ネットワークトラフィックを軽減することもできる。
【0114】
また、認証サーバ8から取得した信任状には、付加情報として有効期限が付加されているが、有効期限が切れた信任状は、優先的に、信任状キャッシュ領域から削除される(S250−S290)。このため、有効期限が切れた信任状が記憶部24の信任状キャッシュ領域に長期間保存されて、信任状キャッシュ領域に他の信任状を長期間保存できなくなるのを防止できる。
【0115】
また更に、認証サーバ8から取得した信任状は、n個を上限として記憶部24の信任状キャッシュ領域に保存され(S340、S350)、しかも、その保存時に信任状キャッシュ領域に空き領域がない場合には、信任状キャッシュ領域から信任状が削除される。そして、その削除される信任状は、最終使用時刻が最も古い信任状の中から選択される(S380、S398)。
【0116】
このため、ログサーバへの接続等、頻繁に使用される信任状が、信任状キャッシュ領域から削除されるようなことはなく、頻繁に使用される信任状が削除されることによって、認証サーバ8へのアクセスが増加するのを防止できる。
【0117】
また、信任状キャッシュ領域から最終使用時刻が最も古い信任状を削除する際、削除する信任状が他のサービスで利用されているときには、その信任状を記憶部24の共有メモリ領域に待避させた後(S392)、その信任状を信任状キャッシュ領域から削除することにより(S398)、その信任状を他のサービスで継続して利用できるようにする(図2(b)参照)。
【0118】
このため、本実施形態によれば、記憶部24における信任状キャッシュ領域をn個の信任状データを記憶するのに要する記憶容量に制限しつつ、利用中のサービスに対する信任状を保持して、そのサービスの利用を継続することができる。
【0119】
また、共有メモリ領域に記憶された信任状は、その信任状を使用するサービスが終了すると、共有メモリ領域から削除される(S200)ことから、共有メモリ領域に記憶される信任状の数を必要最小限に抑えることができる。このため、信任状を記憶させるために共有メモリ領域の記憶容量を大きくする必要はなく、記憶部24全体の記憶容量を抑えて、記憶部24を構成する不揮発性メモリのコストを抑えることができる。
【0120】
なお、本実施形態においては、記憶部24内の取得情報記憶領域が、本発明の取得情報記憶手段に相当し、記憶部24内の信任状キャッシュ領域が、本発明の証明書記憶手段に相当し、記憶部24内の共有メモリ領域が、本発明の第2記憶手段に相当する。
【0121】
また、複合機10の制御部20にて実行される処理のうち、図5に示すS210〜S250、S280及びS290の処理が、本発明の判定手段に相当し、同じくS300〜S360、S370〜S398の処理が、本発明の証明書取得手段に相当し、同じくS270の処理が、使用時刻付与手段に相当する。また、図4に示すS130〜S180の処理は、本発明のサービス利用手段に相当する。
[他の実施形態]
以上、本発明の一実施形態について説明したが、本発明は、上記実施形態に限定されるものではなく、本発明の要旨を逸脱しない範囲内にて種々の態様をとることができる。
【0122】
例えば、上記実施形態では、記憶部24の信任状キャッシュ領域には、認証サーバ8から取得した信任状を、そのまま、信任状データとして記憶するものとして説明した。しかし、図7に示すように、認証サーバ8から取得した信任状は、記憶部24の共有メモリ領域に記憶し、信任状キャッシュ領域には、その共有メモリ領域への信任状の記憶位置(記憶番地)を記憶するようにしてもよい。
【0123】
そして、このようにするには、図5に示した信任状取得処理の一部を、図8に示すように変更すればよい。
すなわち、S350では、認証サーバ8から取得した信任状を共有メモリ領域に記憶し、その記憶位置を、信任状データとして信任状キャッシュ領域に記憶する。また、S290、S380にて、信任状を削除する際には、信任状キャッシュ領域から削除対象となる信任状のデータ(信任状データ)を削除し、共有メモリ領域からその信任状データに対応した信任状の実態を削除する。
【0124】
また、S370にて、信任状キャッシュ領域に使用中アプリ数が「0」の信任状がないと判断された場合には、S390にて、最終使用時刻が最も古い信任状のデータ(信任状データ)を信任状キャッシュ領域から削除し、その信任状の実体は共有メモリ領域から削除しないようにする。
【0125】
そして、このように信任状取得処理を実行するようにしても、上記実施形態と同様の効果を得ることができる。
また次に、上記実施形態では、プリンタやスキャナとしての機能を有する複合機10に本発明を適用した場合について説明したが、本発明は、複数の利用者により使用されるネットワーク装置であれば、上記実施形態と同様に適用して同様の効果を得ることができる。
【0126】
また、上実施形態では、認証サーバ8やサービス提供サーバとしてのアプリケーションサーバ6は、Kerberos認証にて利用者を認証するものとして説明したが、本発明は、Kerberos認証とは異なる認証方式で利用者を認証するシステムであっても適用することができる。
【0127】
つまり、本発明は、認証サーバ8が、ユーザ端末4や複合機10等のネットワーク装置からの要求に従い証明書を発行し、アプリケーションサーバ6等のサービス提供サーバが、その証明書に基づきネットワーク装置の利用者を認証するように構成されたネットワークシステムであれば、そのネットワークに接続されたネットワーク装置に本発明を適用することで、上記実施形態と同様の効果を得ることができる。
【図面の簡単な説明】
【0128】
【図1】実施形態のネットワークシステムの構成を表すブロック図である。
【図2】信任状取得情報及び信任状データの構成、並びにこれら各データの記憶部への格納状態を表す説明図である。
【図3】複合機がサービスを利用する際の通信動作を説明する動作説明図である。
【図4】制御部でサービス利用のために実行される制御処理を表すフローチャートである。
【図5】図4に示す信任状取得処理の詳細を表すフローチャートである。
【図6】図4に示す信任状解放処理の詳細を表すフローチャートである。
【図7】記憶部への信任状データの格納状態の変形例を表す説明図である。
【図8】信任状取得処理の変形例を表すフローチャートである。
【図9】ユーザ端末がサービスを利用する際の通信動作を表す説明図である。
【符号の説明】
【0129】
2…ネットワーク、4…ユーザ端末、6…アプリケーションサーバ(サービス提供サーバ)、8…認証サーバ、10…複合機(ネットワーク装置)、12…読取部、14…記録部、16…操作部、18…表示部、20…制御部、22…通信部、24…記憶部、26…バス。
【特許請求の範囲】
【請求項1】
サービス提供サーバ及び認証サーバが設置されたネットワークに接続され、前記サービス提供サーバにて提供されるサービスの利用要求が入力されると、前記認証サーバから当該サービスを利用するのに必要な証明書を取得し、その取得した証明書を前記サービス提供サーバに送信することで、前記サービス提供サーバから当該サービスの利用許可を受け、当該サービスの利用を開始するネットワーク装置であって、
前記ネットワークに接続された1又は複数のサービス提供サーバにて提供される複数のサービスに対し、それぞれ、各サービスを利用するのに必要な証明書を前記認証サーバから取得するための取得情報が予め記憶された取得情報記憶手段と、
前記認証サーバから取得したサービス毎の証明書を記憶しておくための証明書記憶手段と、
前記サービスの利用要求が入力されると、当該サービスを利用するのに必要な証明書が前記証明書記憶手段に記憶されているか否かを判定する判定手段と、
前記判定手段にて、前記サービスを利用するのに必要な証明書が前記証明書記憶手段に記憶されていないと判断されると、前記取得情報記憶手段から当該サービスに対応した取得情報を読み出し、その読み出した取得情報に基づき、前記認証サーバから当該サービスを利用するのに必要な証明書を取得し、その取得した証明書を、前記証明書記憶手段に格納する証明書取得手段と、
前記判定手段にて前記サービスを利用するのに必要な証明書が前記証明書記憶手段に記憶されていると判断されるか、あるいは、前記証明書取得手段にて証明書が前記認証サーバから取得されると、その記憶若しくは取得された証明書を前記サービス提供サーバに送信することで、前記サービス提供サーバから前記利用要求に対応したサービスの利用許可を受け、当該サービスの利用を開始するサービス利用手段と、
を備えたことを特徴とするネットワーク装置。
【請求項2】
前記取得情報記憶手段には、前記サービス提供サーバから提供されるサービスの種類が同じで、利用条件が異なるサービスに対しては、異なるサービスとして、当該サービスを所定の利用条件で利用するのに必要な証明書を取得するための取得情報が各々記憶されており、
前記判定手段は、前記サービスの利用要求が利用条件と共に入力されると、当該サービスの利用条件に対応した証明書が前記証明書記憶手段に記憶されているか否かを判定し、
前記証明書取得手段は、前記判定手段にて前記サービスの利用条件に対応した証明書が前記証明書記憶手段に記憶されていないと判断されると、当該サービスの利用条件に対応した取得情報を前記取得情報記憶手段から読み出し、その読み出した取得情報に基づき、前記認証サーバから当該サービスを所定の利用条件で利用するのに必要な証明書を取得し、その取得した証明書を、前記証明書記憶手段に格納することを特徴とする請求項1に記載のネットワーク装置。
【請求項3】
前記認証サーバから取得されて前記証明書記憶手段に記憶される証明書には、有効期限を表す付加情報が付与されており、
前記判定手段は、前記利用要求に対応した証明書が前記証明書記憶手段に記憶されている場合には、当該証明書に付与された有効期限を表す付加情報に基づき、当該証明書は使用可能か否かを判定し、当該証明書が使用できない場合には、当該証明書を前記証明書記憶手段から削除して、前記証明書記憶手段には前記利用要求に対応した証明書は記憶されていないものと判定することを特徴とする請求項1又は請求項2に記載のネットワーク装置。
【請求項4】
前記証明書記憶手段に記憶可能な証明書の数は、前記取得情報記憶手段に記憶された取得情報の数よりも少ない所定値であり、
前記証明書取得手段は、
前記認証サーバから証明書を取得すると、その取得した最新の証明書を前記証明書記憶手段に追加登録できるか否かを判断して、前記証明書記憶手段に証明書を追加できる場合には、前記最新の証明書を前記証明書記憶手段に登録し、
前記証明書記憶手段に証明書を追加登録できない場合には、前記証明書記憶手段に記憶された証明書の中で、前記サービス利用手段が利用を終了したサービスに対する証明書があるか否かを判断して、前記サービス利用手段が利用を終了したサービスに対する証明書があれば、その証明書を前記証明書記憶手段から削除した後、前記最新の証明書を前記証明書記憶手段に登録することを特徴とする請求項1〜請求項3のいずれかに記載のネットワーク装置。
【請求項5】
前記証明書記憶手段に記憶された各証明書に、前記サービス利用手段が前記サービス提供サーバから利用許可を受けるのに用いた証明書の最終使用時刻を付与する使用時刻付与手段を備え、
前記証明書取得手段は、
前記認証サーバから取得した証明書を前記証明書記憶手段に追加登録できず、かつ、前記証明書記憶手段に記憶された証明書の中に前記サービス利用手段が利用を終了したサービスに対する証明書がない場合、
前記証明書記憶手段に記憶された証明書の中で、前記最終使用時刻が最も古い証明書を、前記証明書記憶手段とは異なる第2記憶手段に記憶し、前記証明書記憶手段から削除すると共に、
前記認証サーバから取得した証明書を前記証明書記憶手段に登録して、前記証明書記憶手段から削除した証明書の前記第2記憶手段における記憶位置を前記サービス利用手段に通知し、
前記サービス利用手段は、前記証明書取得手段から前記第2記憶手段における証明書の記憶位置が通知されると、当該記憶位置に記憶された証明書を利用して当該証明書に対応したサービスの利用を継続することを特徴とする請求項4に記載のネットワーク装置。
【請求項6】
前記証明書記憶手段に記憶された各証明書に、前記サービス利用手段が前記サービス提供サーバから利用許可を受けるのに用いた証明書の最終使用時刻を付与する使用時刻付与手段を備え、
前記証明書取得手段は、
前記認証サーバから取得した証明書を前記証明書記憶手段とは記憶領域の異なる第2記憶手段に記憶し、前記証明書記憶手段には、当該証明書の第2記憶手段での記憶位置を含む管理情報を記憶するよう構成されており、
前記認証サーバから取得した証明書の管理情報を前記証明書記憶手段に追加登録できない場合には、前記証明書記憶手段及び前記第2記憶手段に管理情報及び実情報が記憶された証明書の中で、前記サービス利用手段が利用を終了したサービスに対する証明書があるか否かを判断して、
前記サービス利用手段が利用を終了したサービスに対する証明書があれば、その証明書の実情報及び管理情報を前記第2記憶手段及び前記証明書記憶手段から削除した後、前記最新の証明書の実情報及び管理情報を前記第2記憶手段及び前記証明書記憶手段に登録し、
前記サービス利用手段が利用を終了したサービスに対する証明書がなければ、前記最終使用時刻が最も古い証明書の管理情報を前記証明書記憶手段から削除し、前記認証サーバから取得した最新の証明書の実情報及び管理情報を、前記第2記憶手段及び前記証明書記憶手段に登録し、
前記サービス利用手段は、
前記証明書記憶手段に記憶された管理情報に基づき前記第2記憶手段に記憶された証明書の記憶位置を検知し、当該記憶位置に記憶された証明書を利用して当該証明書に対応したサービスを利用することを特徴とする請求項4に記載のネットワーク装置。
【請求項7】
前記取得情報記憶手段に記憶されるサービス毎の取得情報には、同一情報を設定可能に構成されており、
前記サービス利用手段は、前記証明書記憶手段に記憶された証明書毎に、利用中のサービスの数を表す付加情報を付与することを特徴とする請求項4〜請求項6のいずれかに記載のネットワーク装置。
【請求項8】
前記取得情報には、ユーザ名、パスワード及び認証サーバ名が含まれており、
前記証明書取得手段は、前記認証サーバから証明書を取得して前記証明書記憶手段に格納する際、前記取得情報に含まれるユーザ名、パスワード及び認証サーバ名から生成した識別情報を付与し、
前記判定手段は、サービスの利用要求が入力されると、当該サービスに対する証明書の取得情報に含まれるユーザ名、パスワード、及び認証サーバ名から前記識別情報を生成し、その生成した識別情報に基づき前記証明書記憶手段を検索することにより、前記証明書記憶手段に当該サービスに対応した証明書が記憶されているか否かを判定することを特徴とする請求項7に記載のネットワーク装置。
【請求項1】
サービス提供サーバ及び認証サーバが設置されたネットワークに接続され、前記サービス提供サーバにて提供されるサービスの利用要求が入力されると、前記認証サーバから当該サービスを利用するのに必要な証明書を取得し、その取得した証明書を前記サービス提供サーバに送信することで、前記サービス提供サーバから当該サービスの利用許可を受け、当該サービスの利用を開始するネットワーク装置であって、
前記ネットワークに接続された1又は複数のサービス提供サーバにて提供される複数のサービスに対し、それぞれ、各サービスを利用するのに必要な証明書を前記認証サーバから取得するための取得情報が予め記憶された取得情報記憶手段と、
前記認証サーバから取得したサービス毎の証明書を記憶しておくための証明書記憶手段と、
前記サービスの利用要求が入力されると、当該サービスを利用するのに必要な証明書が前記証明書記憶手段に記憶されているか否かを判定する判定手段と、
前記判定手段にて、前記サービスを利用するのに必要な証明書が前記証明書記憶手段に記憶されていないと判断されると、前記取得情報記憶手段から当該サービスに対応した取得情報を読み出し、その読み出した取得情報に基づき、前記認証サーバから当該サービスを利用するのに必要な証明書を取得し、その取得した証明書を、前記証明書記憶手段に格納する証明書取得手段と、
前記判定手段にて前記サービスを利用するのに必要な証明書が前記証明書記憶手段に記憶されていると判断されるか、あるいは、前記証明書取得手段にて証明書が前記認証サーバから取得されると、その記憶若しくは取得された証明書を前記サービス提供サーバに送信することで、前記サービス提供サーバから前記利用要求に対応したサービスの利用許可を受け、当該サービスの利用を開始するサービス利用手段と、
を備えたことを特徴とするネットワーク装置。
【請求項2】
前記取得情報記憶手段には、前記サービス提供サーバから提供されるサービスの種類が同じで、利用条件が異なるサービスに対しては、異なるサービスとして、当該サービスを所定の利用条件で利用するのに必要な証明書を取得するための取得情報が各々記憶されており、
前記判定手段は、前記サービスの利用要求が利用条件と共に入力されると、当該サービスの利用条件に対応した証明書が前記証明書記憶手段に記憶されているか否かを判定し、
前記証明書取得手段は、前記判定手段にて前記サービスの利用条件に対応した証明書が前記証明書記憶手段に記憶されていないと判断されると、当該サービスの利用条件に対応した取得情報を前記取得情報記憶手段から読み出し、その読み出した取得情報に基づき、前記認証サーバから当該サービスを所定の利用条件で利用するのに必要な証明書を取得し、その取得した証明書を、前記証明書記憶手段に格納することを特徴とする請求項1に記載のネットワーク装置。
【請求項3】
前記認証サーバから取得されて前記証明書記憶手段に記憶される証明書には、有効期限を表す付加情報が付与されており、
前記判定手段は、前記利用要求に対応した証明書が前記証明書記憶手段に記憶されている場合には、当該証明書に付与された有効期限を表す付加情報に基づき、当該証明書は使用可能か否かを判定し、当該証明書が使用できない場合には、当該証明書を前記証明書記憶手段から削除して、前記証明書記憶手段には前記利用要求に対応した証明書は記憶されていないものと判定することを特徴とする請求項1又は請求項2に記載のネットワーク装置。
【請求項4】
前記証明書記憶手段に記憶可能な証明書の数は、前記取得情報記憶手段に記憶された取得情報の数よりも少ない所定値であり、
前記証明書取得手段は、
前記認証サーバから証明書を取得すると、その取得した最新の証明書を前記証明書記憶手段に追加登録できるか否かを判断して、前記証明書記憶手段に証明書を追加できる場合には、前記最新の証明書を前記証明書記憶手段に登録し、
前記証明書記憶手段に証明書を追加登録できない場合には、前記証明書記憶手段に記憶された証明書の中で、前記サービス利用手段が利用を終了したサービスに対する証明書があるか否かを判断して、前記サービス利用手段が利用を終了したサービスに対する証明書があれば、その証明書を前記証明書記憶手段から削除した後、前記最新の証明書を前記証明書記憶手段に登録することを特徴とする請求項1〜請求項3のいずれかに記載のネットワーク装置。
【請求項5】
前記証明書記憶手段に記憶された各証明書に、前記サービス利用手段が前記サービス提供サーバから利用許可を受けるのに用いた証明書の最終使用時刻を付与する使用時刻付与手段を備え、
前記証明書取得手段は、
前記認証サーバから取得した証明書を前記証明書記憶手段に追加登録できず、かつ、前記証明書記憶手段に記憶された証明書の中に前記サービス利用手段が利用を終了したサービスに対する証明書がない場合、
前記証明書記憶手段に記憶された証明書の中で、前記最終使用時刻が最も古い証明書を、前記証明書記憶手段とは異なる第2記憶手段に記憶し、前記証明書記憶手段から削除すると共に、
前記認証サーバから取得した証明書を前記証明書記憶手段に登録して、前記証明書記憶手段から削除した証明書の前記第2記憶手段における記憶位置を前記サービス利用手段に通知し、
前記サービス利用手段は、前記証明書取得手段から前記第2記憶手段における証明書の記憶位置が通知されると、当該記憶位置に記憶された証明書を利用して当該証明書に対応したサービスの利用を継続することを特徴とする請求項4に記載のネットワーク装置。
【請求項6】
前記証明書記憶手段に記憶された各証明書に、前記サービス利用手段が前記サービス提供サーバから利用許可を受けるのに用いた証明書の最終使用時刻を付与する使用時刻付与手段を備え、
前記証明書取得手段は、
前記認証サーバから取得した証明書を前記証明書記憶手段とは記憶領域の異なる第2記憶手段に記憶し、前記証明書記憶手段には、当該証明書の第2記憶手段での記憶位置を含む管理情報を記憶するよう構成されており、
前記認証サーバから取得した証明書の管理情報を前記証明書記憶手段に追加登録できない場合には、前記証明書記憶手段及び前記第2記憶手段に管理情報及び実情報が記憶された証明書の中で、前記サービス利用手段が利用を終了したサービスに対する証明書があるか否かを判断して、
前記サービス利用手段が利用を終了したサービスに対する証明書があれば、その証明書の実情報及び管理情報を前記第2記憶手段及び前記証明書記憶手段から削除した後、前記最新の証明書の実情報及び管理情報を前記第2記憶手段及び前記証明書記憶手段に登録し、
前記サービス利用手段が利用を終了したサービスに対する証明書がなければ、前記最終使用時刻が最も古い証明書の管理情報を前記証明書記憶手段から削除し、前記認証サーバから取得した最新の証明書の実情報及び管理情報を、前記第2記憶手段及び前記証明書記憶手段に登録し、
前記サービス利用手段は、
前記証明書記憶手段に記憶された管理情報に基づき前記第2記憶手段に記憶された証明書の記憶位置を検知し、当該記憶位置に記憶された証明書を利用して当該証明書に対応したサービスを利用することを特徴とする請求項4に記載のネットワーク装置。
【請求項7】
前記取得情報記憶手段に記憶されるサービス毎の取得情報には、同一情報を設定可能に構成されており、
前記サービス利用手段は、前記証明書記憶手段に記憶された証明書毎に、利用中のサービスの数を表す付加情報を付与することを特徴とする請求項4〜請求項6のいずれかに記載のネットワーク装置。
【請求項8】
前記取得情報には、ユーザ名、パスワード及び認証サーバ名が含まれており、
前記証明書取得手段は、前記認証サーバから証明書を取得して前記証明書記憶手段に格納する際、前記取得情報に含まれるユーザ名、パスワード及び認証サーバ名から生成した識別情報を付与し、
前記判定手段は、サービスの利用要求が入力されると、当該サービスに対する証明書の取得情報に含まれるユーザ名、パスワード、及び認証サーバ名から前記識別情報を生成し、その生成した識別情報に基づき前記証明書記憶手段を検索することにより、前記証明書記憶手段に当該サービスに対応した証明書が記憶されているか否かを判定することを特徴とする請求項7に記載のネットワーク装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2010−108396(P2010−108396A)
【公開日】平成22年5月13日(2010.5.13)
【国際特許分類】
【出願番号】特願2008−282059(P2008−282059)
【出願日】平成20年10月31日(2008.10.31)
【出願人】(000005267)ブラザー工業株式会社 (13,856)
【Fターム(参考)】
【公開日】平成22年5月13日(2010.5.13)
【国際特許分類】
【出願日】平成20年10月31日(2008.10.31)
【出願人】(000005267)ブラザー工業株式会社 (13,856)
【Fターム(参考)】
[ Back to top ]