ネットワーク認証システム、情報処理装置、ネットワーク装置及びプログラム
【課題】本発明は、利用権限を有する利用者に対してネットワーク装置の利用を可能とするネットワーク認証システム、情報処理装置、ネットワーク装置及びプログラムを提供することを目的とする。
【解決手段】ネットワーク装置と、情報処理装置と、認証装置と、を含むネットワーク認証システムであって、前記情報処理装置が前記ネットワーク装置を利用するに際し、該情報処理装置が該ネットワーク装置を利用可能か否かを前記認証装置が判断し、利用可能な前記ネットワーク装置を前記情報処理装置に提供するものである。
【解決手段】ネットワーク装置と、情報処理装置と、認証装置と、を含むネットワーク認証システムであって、前記情報処理装置が前記ネットワーク装置を利用するに際し、該情報処理装置が該ネットワーク装置を利用可能か否かを前記認証装置が判断し、利用可能な前記ネットワーク装置を前記情報処理装置に提供するものである。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークに接続された装置へのアクセス制御及び装置が備える機能の利用制限を行うネットワーク認証システムに関する。
【背景技術】
【0002】
近年、様々な電化製品をネットワークで接続するネットワークシステムが一般家庭やオフィスに普及している(例えば、特許文献1参照)。
【0003】
このようなネットワークシステムにおいて、例えば、DLNA(Digital Living Network Alliance:登録商標)という規格が提唱されている。この規格は、UPnP(Universal Plug and Play:登録商標)の技術仕様に準拠したマルチキャストパケットにより、ネットワーク装置同士の相互接続を容易にしている。そのため、この規格に準拠した装置であれば、ネットワークに接続するだけで、複雑な設定をすることもなく、同一ネットワークに接続された他の装置を認識し、それら装置に保存されたコンテンツや各種機能を、ネットワークを介して操作、利用することができる(例えば、非特許文献1参照)。
【0004】
【特許文献1】特開2002−319947号公報
【非特許文献1】郷卓倫、他2名“ネットワーク家電〜家電の新たな形〜”、[online]、2005年10月1日、同志社大学知的システムデザイン研究室[2006年1月20日検索]、インターネット<URL:http://mikilab.doshisha.ac.jp/dia/research/report/2005/0905/001/report20050905001.html>
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、上記のようなネットワークシステムでは容易にネットワーク内に存在する装置を利用可能である反面、利用されることを望まないネットワーク装置までも無断で利用されてしまうという側面もあった。
【0006】
例えば、オフィスにお客として来た社外の人間に容易にネットワークに接続され、消耗品を必要とするプリンタ、複写機や、アクセス制限をかけたいコンテンツも、それら装置を設置した管理者の意図とは無関係に利用される虞があった。
【0007】
本発明は、利用権限を有する利用者に対してネットワーク装置の利用を可能とするネットワーク認証システム、情報処理装置、ネットワーク装置及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0008】
上記問題に鑑みなされた本発明は、ネットワーク装置と、情報処理装置と、認証装置と、を含むネットワーク認証システムであって、前記情報処理装置が前記ネットワーク装置を利用するに際し、該情報処理装置が該ネットワーク装置を利用可能か否かを前記認証装置が判断し、利用可能な前記ネットワーク装置を前記情報処理装置に提供するものである。
【発明の効果】
【0009】
本願の請求項1に係る発明によれば、情報処理装置毎に利用可能なネットワーク装置を設定することができる。さらに、利用が許可されたネットワーク装置が情報処理装置に通知されるので、システムの利用者がいずれのネットワーク装置を利用することができるかを把握していなくても、容易に利用可能なネットワーク装置を選択することができる。
【0010】
請求項2に係る発明によれば、ネットワーク装置が備える機能毎にその機能の利用の可否を制限することができ、情報処理装置毎に詳細な利用制限を設定することができる。
【0011】
請求項3に係る発明によれば、処理対象となるデータによってもネットワーク装置が備える機能の利用を制限することができ、情報処理装置毎により詳細な利用制限を設定することができる。
【0012】
請求項4に係る発明によれば、請求項1に係るネットワーク認証システムを構築可能な情報処理装置を得ることができる。
【0013】
請求項5に係る発明によれば、請求項4に係る情報処理装置として動作可能なプログラムを得ることができる。
【0014】
請求項6に係る発明によれば、請求項1に係るネットワーク認証システムを構築可能なネットワーク装置を得ることができる。
【0015】
請求項7に係る発明によれば、請求項6に係るネットワーク装置として動作可能なプログラムを得ることができる。
【発明を実施するための最良の形態】
【0016】
本願の請求項1に係る発明は、予め定められた処理を実行する機能を備えたネットワーク装置と、前記ネットワーク装置に前記処理の要求を出す情報処理装置と、前記情報処理装置による前記ネットワーク装置の利用が許可されているか認証を行う認証装置と、がネットワークを介して接続されるネットワーク認証システムであって、前記情報処理装置は、前記ネットワーク装置に該情報処理装置を特定する特定情報を送信する特定情報送信手段と、前記認証装置により前記ネットワーク装置の利用が許可された認証情報を前記ネットワーク装置から受信する認証結果受信手段と、前記認証結果受信手段が受信した前記認証情報の送信元の前記ネットワーク装置に対して前記処理の実行の要求を送信する処理実行要求手段と、を備え、前記ネットワーク装置は、前記情報処理装置から送信される前記特定情報を受信する特定情報受信手段と、前記特定情報受信手段が受信した前記特定情報により特定される前記情報処理装置が、該ネットワーク装置の利用を許可されているかを前記認証装置に問合わせる第1問合手段と、前記第1問合手段の問合せに対して前記認証装置から前記情報処理装置による該ネットワーク装置の利用を許可する旨の応答があった場合、前記認証情報を前記特定情報の送信元の前記情報処理装置に送信する認証結果送信手段と、を備え、前記認証装置は、前記ネットワーク装置と該ネットワーク装置の利用が許可された前記情報処理装置を特定する前記特定情報との対応関係を記憶する認証情報記憶手段と、前記第1問合手段による問合わせに対し、該問合わせの対象となった前記特定情報により特定される前記情報処理装置が該問合わせを行った前記ネットワーク装置と対応付けて前記認証情報記憶手段に記憶されているか否かを判断する第1判断手段と、前記第1判断手段により、問合わせの対象となった前記特定情報により特定される前記情報処理装置が該問合わせを行った前記ネットワーク装置と対応付けて前記認証情報記憶手段に記憶されていると判断された場合、該ネットワーク装置に利用許可の応答をする第1応答手段と、を備えていることを特徴とするネットワーク認証システムである。
【0017】
これにより、認証情報記憶手段に記憶された対応関係に、ネットワーク装置とそのネットワーク装置の利用が許可された情報処理装置が対応して記憶されていた場合、その情報処理装置はそのネットワーク装置の利用ができる。さらに、利用が許可されたネットワーク装置は情報処理装置に利用許可の旨の通知をするため、情報処理装置は、その通知されたネットワーク装置に対し処理の実行を要求することができる。
【0018】
なお、特定情報を送信するタイミングは、実際にネットワーク装置に対し処理の実行を要求するときでも、情報処理装置を新しくネットワークに接続したときにでもよく、後者の場合では、ネットワーク内に接続されたネットワーク装置を検索するときに行うUPnP(登録商標)の技術仕様に準拠したマルチキャストパケットに含まれるIPアドレスを利用すればよい。
【0019】
また、特定情報はIPアドレスに限るものではなく、情報処理装置のMACアドレスや名称、利用者のユーザIDやパスワードであってもよく、情報処理装置又は利用者を特定できるものであれば何でもよい。
【0020】
さらに、情報処理装置はネットワーク装置でもあり、ネットワーク装置は情報処理装置でもある。つまり、処理を要求する装置が情報処理装置であり、処理を実行する装置がネットワーク装置として識別しているにすぎない。
【0021】
また、情報処理装置は、認証情報の送信元のネットワーク装置をリスト化し、そのリスト中から利用者にどのネットワーク装置で処理を実行させるかを選択させてもよいし、認証情報を送信してきたネットワーク装置すべてに処理を実行させるように構成されていてもよい。
【0022】
さらに、処理とは、処理の対象となるデータに対して施すもの(印刷、ファクシミリ等)に限らず、処理の対象にデータは関しないもの(ネットワーク接続の可否等)も含まれるものである。
【0023】
請求項2に係る発明は、前記ネットワーク装置は、前記情報処理装置から送信される前記処理の実行の要求が該ネットワーク装置で実行可能か否かを前記認証装置に問合わせる第2問合手段を備え、前記第2問合手段の問合わせに対して前記認証装置から該ネットワーク装置に前記処理の実行が可能である旨の応答があった場合、該処理を実行し、前記認証装置は、前記認証情報記憶手段に、さらに前記ネットワーク装置と該ネットワーク装置での利用が許可された機能との対応関係を記憶しており、前記第2問合手段による問合わせに対し、該問合わせの対象となった前記機能が、該問合わせを行った前記ネットワーク装置と対応付けて前記認証情報記憶手段に記憶されているか否かを判断する第2判断手段と、前記第2判断手段により、問合わせの対象となった前記機能が、該問合わせを行った前記ネットワーク装置と対応付けて前記認証情報記憶手段に記憶されていると判断された場合、該ネットワーク装置に処理の実行が可能である旨の応答をする第2応答手段と、を備えていることを特徴とする請求項1に記載のネットワーク認証システムである。
【0024】
これにより、情報処理装置による利用が可能なネットワーク装置で、かつ、そのネットワーク装置が備えている機能の利用が許可されている場合にのみ、処理を実行することが可能である。
【0025】
請求項3に係る発明は、前記処理は、前記情報処理装置から前記ネットワーク装置に対して送信される所定のデータに施す処理であって、前記処理実行要求手段は、前記処理の要求と該処理の対象となるデータを送信し、前記第2問合手段は、前記処理実行要求手段により送信された前記処理の対象となるデータが前記ネットワーク装置で処理が可能なデータであるか否かを前記認証装置に問い合わせ、前記第2問合手段の問合わせに対して前記認証装置から該ネットワーク装置で処理が可能である旨の応答があった場合、該処理を実行することを特徴とする請求項2記載のネットワーク認証システムである。
【0026】
これにより、ネットワーク認証システムは、処理の対象となるデータに基づき、ネットワーク装置による処理の実行の開始を判断することができる。
【0027】
請求項4に係る発明は、予め定められた処理を実行する機能手段と、前記処理の要求元を特定する特定情報を受信する特定情報受信手段と、前記特定情報受信手段が受信した前記特定情報により特定される前記要求元が、ネットワーク装置の利用を許可されている場合、前記利用の許可に係る認証情報を前記要求元に送信する認証結果送信手段と、を備える前記ネットワーク装置と、ネットワークを介して接続され、前記ネットワーク装置に前記処理の実行を要求する情報処理装置であって、前記ネットワーク装置に該情報処理装置を特定する前記特定情報を送信する特定情報送信手段と、前記認証装置により前記ネットワーク装置の利用が許可された前記認証情報を前記ネットワーク装置から受信する認証結果受信手段と、前記認証結果受信手段が受信した前記認証情報の送信元の前記ネットワーク装置に対して前記処理の実行の要求を送信する処理実行要求手段と、を備えることを特徴とする情報処理装置である。
【0028】
これにより、認証情報記憶手段に記憶された対応関係に基づいて、利用可能なネットワーク装置を取得し、そのネットワーク装置に処理の要求を出すことができる。
【0029】
請求項5に係る発明は、予め定められた処理を実行する機能手段と、前記処理の要求元を特定する特定情報を受信する特定情報受信手段と、前記特定情報受信手段が受信した前記特定情報により特定される前記要求元が、ネットワーク装置の利用を許可されている場合、前記利用の許可に係る認証情報を前記要求元に送信する認証結果送信手段と、を備える前記ネットワーク装置と、ネットワークを介して接続され、前記ネットワーク装置に前記処理の実行を要求する情報処理装置を制御可能なコンピュータが読み取り可能なプログラムであって、前記コンピュータを、前記ネットワーク装置に前記情報処理装置を特定する前記特定情報を送信する特定情報送信手段と、前記認証装置により前記ネットワーク装置の利用が許可された前記認証情報を前記ネットワーク装置から受信する認証結果受信手段と、前記認証結果受信手段が受信した前記認証情報の送信元の前記ネットワーク装置に対して前記処理の実行の要求を送信する処理実行要求手段と、して機能させるためのプログラムである。
【0030】
これにより、認証情報記憶手段に記憶された対応関係に基づいて、利用可能なネットワーク装置を取得し、そのネットワーク装置に処理の要求を出すことができる。
【0031】
請求項6に係る発明は、処理の要求を出す情報処理装置と、前記情報処理装置による、前記処理の要求先となる装置の利用の可否に関し、前記情報処理装置と、前記要求先となる装置と、の対応関係を記憶する認証情報記憶手段と、前記認証情報記憶手段が記憶する対応関係についての問合せに対して、応答する第1応答手段と、を備えた認証装置と、にネットワークを介して接続され、前記情報処理装置から要求される処理を実行するネットワーク装置であって、前記情報処理装置から送信される前記情報処理装置を特定する特定情報を受信する特定情報受信手段と、前記特定情報受信手段が受信した前記特定情報により特定される前記情報処理装置が、該ネットワーク装置の利用を許可されているかを前記認証装置に問合わせる問合手段と、前記問合手段の問合せに対して前記認証装置から前記情報処理装置による該ネットワーク装置の利用を許可する旨の応答があった場合、前記認証情報を前記特定情報の送信元の前記情報処理装置に送信する認証結果送信手段と、を備えることを特徴とするネットワーク装置である。
【0032】
これにより、認証情報記憶手段に記憶された対応関係に基づいて、アクセス可能なネットワーク装置を情報処理装置に提供することができる。
【0033】
請求項7に係る発明は、処理の要求を出す情報処理装置と、前記情報処理装置による、前記処理の要求先となる装置の利用の可否に関し、前記情報処理装置と、前記要求先となる装置と、の対応関係を記憶する認証情報記憶手段と、前記認証情報記憶手段が記憶する対応関係についての問合せに対して、応答する第1応答手段と、を備えた認証装置と、にネットワークを介して接続され、前記情報処理装置から要求される処理を実行するネットワーク装置を制御可能なコンピュータが読み取り可能なプログラムであって、前記コンピュータを、前記情報処理装置から送信される前記情報処理装置を特定する特定情報を受信する特定情報受信手段と、前記特定情報受信手段が受信した前記特定情報により特定される前記情報処理装置が、該ネットワーク装置の利用を許可されているかを前記認証装置に問合わせる問合手段と、前記問合手段の問合せに対して前記認証装置から前記情報処理装置による該ネットワーク装置の利用を許可する旨の応答があった場合、前記認証情報を前記特定情報の送信元の前記情報処理装置に送信する認証結果送信手段と、して機能させるためのプログラムである。
【0034】
これにより、認証情報記憶手段に記憶された対応関係に基づいて、アクセス可能なネットワーク装置を情報処理装置に提供することができる。
【実施例】
【0035】
(実施例1)
以下、本発明に係る具体的なネットワーク認証システムについて、図面を用いて説明する。なお、本発明は以下に記載の構成に限定されるものではなく、同一の技術的思想において種々の構成を採用することが可能であることは云うまでもない。
【0036】
(ネットワーク認証システムの構成)
図1はネットワーク認証システムの構成を示す図である。図から明らかなとおり、このネットワーク認証システム1は、自装置以外の装置に各種機能を実行させるための命令を送出可能な情報処理装置としてのパソコン10と、各種処理を実行する機能を備えたネットワーク装置40と、その一例としての複合機20と、複合機20がパソコン10からの利用が許可されているか否かを判断する認証装置30とが、ネットワーク回線50を介して接続されている。
【0037】
パソコン10は、CPU,ROM,RAM等(図示せず。)を備え、パソコン10の各動作(パソコン10全体)について、このROMに記憶されたプログラムに基づき制御を行う制御部11と、ネットワーク回線50に接続され、このネットワーク回線50を制御する通信部12、パソコン10の利用者からの指示を受け付ける操作部13、各種情報を表示する表示部14、及び、各種プログラムやデータを記憶するハードディスク等から構成された記憶部15を備えている。
【0038】
複合機20は、CPU,ROM,RAM等(図示せず。)を備え、複合機20の各動作(複合機20全体)についての制御を行う制御部21と、画像形成手段としての印刷部22と、ネットワーク回線50に接続され、このネットワーク回線50を制御する通信部23と、複合機20の利用者からの指示を受け付ける操作部24と、各種プログラムやデータを記憶する記憶部25と、原稿載置台に載置された原稿を光学的に読み取り画像データを生成する読取部26と、各種情報を表示する表示部27とを備え、CPU21にて各種プログラムを実行し、プリンタ機能、スキャナ機能、及び、コピー機能等を実現する構成にされている。 認証装置30は、CPU,ROM,RAM等(図示せず。)を備え、認証装置30の各動作(認証装置30全体)についての制御を行う制御部31と、ハードディスク等から構成された記憶部32と、認証装置30の利用者からの指示を受け付ける操作部33と、ネットワーク回線50に接続され、このネットワーク回線50を制御する通信部34と、各種情報を表示する表示部35とを備えている。
【0039】
また、記憶部32には、図2(A)に示すように、パソコン10がどのネットワーク装置40にアクセス可能、すなわち利用が許可されているか、さらにアクセス可能なネットワーク装置40のどの機能が利用可能であるかを示した認証テーブルが記憶されている。さらに、図2(B)に示すように、各ネットワーク装置40が実行可能な機能を定義した機能テーブルも記憶されている。なお、これら両テーブルは操作部33やネットワーク回線50に接続された管理者権限のある他の装置から編集が可能となっている。
【0040】
これらのテーブルについて具体的に説明すると、認証テーブルには、ネットワーク装置40毎にパソコン10を特定する情報としてパソコン10のIPアドレスが登録されている。そしてIPアドレス毎に各種設定(アクセスの可否,機能1,機能2・・・,カラー属性,用紙属性,データ属性・・・等)がされている。また機能テーブルには、認証テーブルの「機能1」,「機能2」・・・等の各ネットワーク装置40が備える機能が登録されている。
【0041】
さらに、より具体的にネットワーク装置40を個別に例をあげて説明する。ネットワーク装置40の一つである「複合機20」に関しては、IPアドレスが「192.168.0.1」として特定されるパソコン10は、「アクセス」が「許可」されており、「機能1」すなわち「印刷」(機能テーブル参照)及び「機能2」すなわち「スキャン」(機能テーブル参照)が「許可」となっており、印刷機能もスキャン機能も利用することができるように設定されている。また、印刷機能利用時には「カラー属性」は「カラー」と定義されているので、カラーでの印刷が可能である。さらに、印刷時における使用可能用紙は、「用紙属性」として定義されており、この場合、「ALL」として定義されており、複合機20が備える複数種類の用紙のうち、いずれの種類の用紙も使用してよい旨に設定されている。また、複合機20の機能を利用して行う処理の内、データに対して施す処理である場合、「データ属性」として「ALL」が設定されており、利用が許可された機能が処理できるデータであればどのような形式のデータでも処理の対象とすることができる。例えば、データに対して施す処理として印刷があり、その印刷対象のデータはjpegやtext、gif形式等のデータである。
【0042】
一方、IPアドレスが「192.168.0.2」として特定されるパソコン10は、アクセス、及び、「機能1」すなわち「印刷」機能の利用は許可されているが、「機能2」すなわち「スキャン」機能は「不許可」として設定され、印刷機能は利用できるがスキャナ機能は利用できないように設定されている。また、印刷機能利用時には「カラー属性」は「モノクロ」と定義されているので、カラーでの印刷は禁止され、モノクロ印刷のみが可能となっている。さらに、印刷時における使用可能用紙は、「用紙属性」に「普通紙」が設定されているので、複合機20が備える複数種類の用紙のうち、「普通紙」として設定された用紙しか使用できないようになっている。また、「データ属性」として、「text」が設定されており、利用可能な機能の内、その機能がデータに対して施すものである場合、text形式のデータしか処理できないように設定されている。
【0043】
次に、「プリンタ1」として設定されているネットワーク装置40に関しては、IPアドレスが「192.168.0.1」として特定されるパソコン10は、「アクセス」及び「機能1」すなわち「印刷」が許可されており、さらに、カラー印刷、高級紙での印刷が許可されている。また、「データ属性」として、「jpeg」が設定されており、利用可能な機能の内、その機能がデータに対して施すものである場合、jpeg形式のデータしか処理できないように設定されている。
【0044】
一方、「その他」として設定されている、IPアドレスが「192.168.0.1」として特定されるパソコン10以外のパソコン10は、「アクセス」が「不許可」として設定されており、「プリンタ1」の一切の機能を利用することができない上、「プリンタ1」からは何も応答しないように設定されている。
【0045】
また、「ルータ」として設定されているネットワーク装置40に関しては、IPアドレスが「192.168.0.1〜192.168.0.18」に含まれるIPアドレスで特定される複数のパソコン10は、ルータへの「アクセス」、「機能1」すなわち「WAN(Wide Area Network)接続」(機能テーブル参照)及び「機能2」すなわち「LAN(Local Area Network)接続」(機能テーブル参照)が「許可」として設定されており、ルータへのアクセス、LAN内の共有コンテンツへの接続、LANの外部への接続が許可されている。一方、IPアドレスが「192.168.0.1〜192.168.0.18」以外で特定されるパソコン10は、「その他」として設定され、「ルータ」への「アクセス」及び「機能1」すなわち「WAN接続」は「許可」されているが、「機能2」すなわち「LAN接続」は「不許可」に設定され、LANの外部への接続は可能であるが、LAN内の共有コンテンツへの接続は制限されている。
【0046】
(ネットワーク認証システムによる処理)
次に、上記のとおり構成されたネットワーク認証システム1によるパソコン10,ネットワーク装置40,認証装置30を含めた全体の処理の流れについて説明する。
【0047】
図3は、パソコン10とネットワーク装置40である複合機20及び認証装置30との間でやり取りされる各種データの伝送手順等を、時系列に沿って示したタイミングチャートである。
【0048】
なお、複合機20は、複数種類の機能(印刷,スキャン,ファクシミリ等)を実行可能であるが、以下において特に説明がない場合は、いずれの機能もすべて「機能」として表現する。
【0049】
まず、パソコン10は、処理の実行を要求するにあたり、アクセス(いずれかの機能の利用)が許可されたネットワーク装置40がネットワーク回線50内に存在するか否かを検索するため、パソコン10を特定するIPアドレスを備えた検索パケットをネットワーク回線50内のネットワーク装置40に送信する[図3(1)参照]。
【0050】
検索パケットを受信した複合機20は、その検索パケットに含まれるIPアドレスにより特定されるパソコン10が自機へのアクセスが許可されているか否かを認証装置30に問合わせる[図3(2)参照]。そして、認証装置30は、認証テーブルを参照してアクセスの可否を判断し、アクセスが許可されていればその旨の応答を複合機20に返信する[図3(3)参照]。複合機20は、その許可された旨をパソコン10に返信する[図3(4)参照]。
【0051】
そして、パソコン10はアクセスが許可された複合機20に対し、複合機20が備える機能の内、いずれの機能が利用可能であるかを問合せ[図3(5)参照]、複合機20は認証装置30に、問合せをしてきたパソコン10に対して自機のいずれの機能の利用が許可されているかを問合わせる[図3(6)参照]。そして、認証装置30は、認証テーブル及び機能テーブルを参照して利用が許可された機能を判断し、利用が許可された機能を示す情報を複合機20に返信する[図3(7)参照]。複合機20は、その利用が許可された機能を示す情報をパソコン10に返信する[図3(8)参照]。
【0052】
次いで、パソコン10は応答があった複合機20に対して、利用が許可された機能において、どのような属性でその機能を利用してよいのかを問合せ[図3(9)参照]、複合機20は認証装置30に、問合せをしてきたパソコン10に対してどのような属性での処理が設定されているかを問合わせる[図3(10)参照]。そして、認証装置30は、認証テーブルを参照して設定された属性を示す情報を複合機20に返信する[図3(11)参照]。複合機20は、その情報をパソコン10に返信する[図3(12)参照]。
【0053】
なお、この属性とは、各種機能を詳細に設定したもので、認証テーブルに示したように予め設定されており、複合機20の場合は、印刷機能を利用する際の属性として、カラー属性,用紙属性等が設定されている。
【0054】
そして、パソコン10はその返信された属性情報に従って、処理の要求を複合機20に送信し[図3(13)参照]、複合機20はその要求に従った処理を実行する[図3(14)参照]。複合機20は処理完了後、その処理結果をパソコン10に送信して[図3(15)参照]、ネットワーク認証システムによる一連の動作を終了する。なお、以上のネットワーク認証システム1における各装置が実行する処理の詳細は後述する。
【0055】
以上のネットワーク認証システムによれば、パソコン10毎に複合機20のアクセス(利用)を制限できる。さらに、アクセスが許可されても複合機20が備える複数の機能の内、利用可能な機能を制限することもできる。そして、処理の要求にあたり、パソコン10毎に予め設定された属性情報にしたがって処理の要求を送信するので、同じ複合機20の同じ機能を利用するにしても、利用するパソコン10毎に異なった詳細な設定で利用可能となる。例えば、複合機20に対する処理において、Aさんが所有するパソコン10からの要求ではカラー印刷が可能、Bさんが所有するパソコン10からの要求ではモノクロ印刷しか印刷できないように制限をかけることができる。つまり、単に機能を利用できるか否かで制限するよりも、より詳細な条件での利用制限を設けることができる。
【0056】
また、本実施例1では処理要求側の情報処理装置としてパソコン10を例に挙げているが、ネットワークに対応した装置であれば、例えば冷蔵庫、エアーコンディショナー、携帯電話でもよい。なお、これらが備える表示部は、自装置の各種設定が可能な程度にしか表示能力がなく、他のネットワーク装置へ処理要求をする際、例えばプリンタに印刷指示をする際、その表示能力の関係上、詳細な設定を指示することが困難である。しかしながら本実施例1のように、情報処理装置毎に適切な処理条件設定を予め認証装置30に記憶させておけば、利用者は処理要求の都度、詳細な設定をする必要がなく、ネットワーク装置40から提供される処理可能なネットワーク装置40を選択するだけでよい。そのため、表示能力に乏しい情報処理装置からでも認証装置30に予め設定された詳細な設定に基づいてネットワーク装置40を選択することができる。
【0057】
[パソコン10及び複合機20が実行する処理]
次に、上記のようなネットワーク認証システム1を実現するために、パソコン10及び複合機20が実行する処理について詳細に説明する。
【0058】
[パソコン10の処理実行要求処理]
まず、パソコン10で実行される処理実行要求処理について、図4のフローチャートに基づいて説明する。
【0059】
この処理実行要求処理を開始、すなわち、利用者がネットワーク装置40に何らかの処理を実行させようとすると、パソコン10は、まず、ネットワーク回線50内に、処理を実行させるネットワーク装置40が存在するか、またアクセス(利用)許可がされているかを確認するため、UPnP(登録商標)の技術仕様に準拠したマルチキャストパケットを送出する(S405)。このマルチキャストパケットで送出されるデバイス検索パケットにパソコン10のIPアドレスを埋め込むことにより、パソコン10によるネットワーク装置40へのアクセスの可否を判断する材料とすることができる。なお、このS405は図3(1)に対応する処理である。
【0060】
そして、ネットワーク装置40からアクセス許可の旨の返信があるか否かを判断し(S410)、いずれかのネットワーク装置40からの返信があったと判断すると(S410:YES)、表示部14にそれら返信のあったネットワーク装置40を選択可能に表示する。なお、このS410でYESという判断は、図3(4)に対応する処理である。ここまでの処理で、パソコン10がアクセス可能、すなわち何らかの機能の利用が許可されたネットワーク装置40を検索することができる。
【0061】
次に、パソコン10の利用者が返信のあったネットワーク装置40の内、処理を実行させたいネットワーク装置40を1つ選択し(S415)、パソコン10はその選択されたネットワーク装置40に、どのような機能の利用が可能かを問合せる。なお、このステップは図3(5)に対応する処理である。
【0062】
そして、ネットワーク装置40から利用可能な機能の情報を取得し(S420)、そのネットワーク装置40にその機能に設定された属性を問合わせる。なお、このステップは図3(8),図3(9)に対応する処理である。
【0063】
そして、ネットワーク装置40から属性情報を取得し(S425)、表示部14にそれら属性情報を表示し、利用者に確認させる(S430)。続いて、その表示されたネットワーク装置40に処理の実行を要求し(S435)、ネットワーク装置40から処理結果を受信して処理実行要求処理を終了する。なお、このS425,S430は図3(12)に、S435は図3(13)に対応する処理である。
【0064】
一方、S410でいずれのネットワーク装置40からも返信がないと判断すると(S410:NO)、ネットワーク回線50内にネットワーク装置40が存在しない、もしくは、アクセス許可されたネットワーク装置40が存在しないとして、処理実行要求処理を終了する。
【0065】
以上のパソコン10が実行する処理実行要求処理によると、パソコン10には、アクセス可能なネットワーク装置40であり、且つ、利用可能な機能のみが通知されるので、誤って処理不可能なネットワーク装置40に対して処理の要求を出してしまう虞がない。つまり、例えば、ネットワーク装置40の一つであるルータに対して印刷処理の実行を要求してしまう虞がない。また、パソコン10には、利用可能なネットワーク装置40だけが通知されるので、本ネットワーク認証システム1の利用者は、自分がどのネットワーク装置40へのアクセスが許可され、どの機能の利用が可能かを把握しておく必要がない。
【0066】
なお、上記実施例1では、S405で検索パケット内にIPアドレスを埋め込んでいるが、このステップの前に、パソコン10を特定する任意の情報を設定するステップを追加し、S405でIPアドレスの代わりにその設定した特定情報を検索パケットに組み込んでもよい。そして、認証テーブルではIPアドレスの代わりにその設定した特定情報を利用すれば、同様にネットワーク装置40の利用を制限することができる。そうすると、パソコン10をネットワーク回線50に接続する度にIPアドレスが変化するような環境下でも、パソコン10毎に適した利用制限をかけることができる。なお、パソコン10を特定する情報は、パソコン10の利用者が処理の実行を要求する前に、指紋読取リーダを用いて自己の指紋を読み取らせてそれをデータ化したものや、利用者が所有する携帯電話が備える認証キー(製造番号)をパソコン10に読み取らせたもの等、パソコン10を特定するものに限らず、利用者個人を特定するものであってもよい。
【0067】
また、S415ではアクセス可能なネットワーク装置40から処理を実行させたいネットワーク装置40を1つ選択しているが、特に1つを選択することに限られない。例えば、S410で複数のネットワーク装置40からアクセス可能である旨の返信があった場合、複数のネットワーク装置40を選択してもよい。そうすれば、一度に複数のネットワーク装置40に処理要求を出すことが可能であり、選択したネットワーク装置40が、その後の利用可能機能の問合せ処理[図3(5)参照]により利用が制限されてしまい、処理の実行が思うように進まないと可能性を減らすことができる。もちろん、複数のネットワーク装置40が選択できる場合は、選択したネットワーク装置40毎に利用可能な機能が表示部14に表示するように構成されるとよい。
【0068】
さらに、S420で取得した利用可能な機能が複数存在した場合、利用者に所望の機能を選択させて、その選択した機能に関する属性を複合機20に問合せてもよいし、取得した利用可能な機能すべての属性を問合せるように構成されていてもよい。
【0069】
[複合機20の認証処理]
次に、複合機20で実行される認証処理について、図5のフローチャートに基づいて説明する。
【0070】
複合機20は、常に処理要求を受け付けるように待機しており(S505)、何らかの信号を受信するとそれがパソコン10から送信される検索パケットか否かを判断する(S510)。そして、検索パケットであると判断すると(S510:YES)、その検索パケット内に検索パケットを送信してきたパソコン10のIPアドレスが埋め込まれているか否かを判断する(S515)。なお、このステップは、図3(1)に対応する処理である。
【0071】
ここで、IPアドレスが埋め込まれていると判断されると(S515:YES)、そのIPアドレスにより特定されるパソコン10が検索パケットを受信した複合機20の利用を許可されているか否かを認証装置30に照会する(S520,S525)。このS520,S525は、図3(2)に対応する処理である。なお、認証装置30は、記憶部32に記憶された認証テーブル(図2(A)参照)に基づいて利用の可否を判断する。この照会により認証テーブルの「アクセス」の項目が「許可」に設定されている、すなわち、パソコン10は複合機20へアクセスすることができると判断された返信を認証装置30から受けると(S525:YES)、その旨をパソコン10に送信する(S530)。なお、S525でYESのステップは、図3(3)に、S530は図3(4)に対応する処理である。続いて、パソコン10から次の指令を待つ(S505)。
【0072】
なお、S525でパソコン10は複合機20へのアクセス許可がない旨を認証装置30から受けると(S525:NO)、パソコン10には何も応答することなく、次の指令が来るまで待機する(S505)。
【0073】
また、S515で受信した検索パケット内にIPアドレスが埋め込まれていないと判断されると(S515:NO)、認証装置30に照会することができないので、その検索パケットを送信してきたパソコン10には何も応答することなく、次の指令が来るまで待機する(S505)。
【0074】
次いで、アクセス許可したパソコン10から受信したデータが、検索パケットではないと判断すると(S510:NO)、そのデータが複合機20のどの機能を利用することができるのかという問合せか否かを判断する(S535)。そして、機能の問合せであると判断すると(S535:YES)、そのパソコン10がどの機能の利用を許可されているかを認証装置30に照会する(S540)。このS535でYESは、図3(5)に対応し、S540は、図3(6),図3(7)に対応する処理である。そして、認証装置30から受け取った利用が許可された機能の情報をパソコン10に送信し(S545)、次の指令が来るまで待機する(S505)。このS545は、図3(8)に対応する処理である。なお、認証装置30は、認証テーブル及び機能テーブルを参照して利用許可された機能の判断をする。
【0075】
続いて、アクセス許可したパソコン10から受信したデータが、検索パケットでも、機能の問合せでもないと判断すると(S535:NO)、そのデータが利用許可された機能の属性に関する問合せか否かを判断する(S550)。そして、属性の問合せであると判断すると(S550:YES)、そのパソコン10が利用可能な機能の属性を認証装置30に照会する(S555)。このS550でYESは、図3(9)に対応し、S555は、図3(10),図3(11)に対応する処理である。そして、認証装置30から受け取った属性情報をパソコン10に送信し(S560)、次の指令が来るまで待機する(S505)。このS560は、図3(12)に対応する処理である。
【0076】
そして、アクセス許可したパソコン10から受信したデータが、検索パケットでも、機能の問合せでも、属性の問合せでもないと判断すると(S550:NO)、そのデータが利用許可された機能による処理の要求か否かを判断する(S565)。そして、処理の要求であると判断すると(S565:YES)、要求された処理を実行し(S570)、その処理結果を要求送信元のパソコン10に送信する(S575)。このS565でYESは、図3(13)に対応し、S570は、図3(14)、S575は、図3(15)に対応する処理である。そして、次の指令が来るまで待機する(S505)。
【0077】
一方、アクセス許可したパソコン10から受信したデータが、検索パケットでも、機能の問合せでも、属性の問合せでも、処理の要求でもないと判断すると(S565:NO)、処理に関する要求ではなかったと判断して、次の指令が来るまで待機する(S505)。
【0078】
以上の複合機20が実行する認証処理によると、検索パケット内にIPアドレスが含まれていない検索パケットを送ってくるパソコン10には、何も応答することはないので、IPアドレスを送ってこない不正利用を試みる利用者には複合機20を一切利用させないようにすることができる上、自らの存在をネットワーク回線50に接続された他のネットワーク装置40に知らせないように複合機20を設定しておけば、アクセス許可されていないパソコン10を含むネットワーク装置40に、その存在すら知られることはない。
【0079】
なお、認証装置30からの照会結果と照会の対象となったパソコン10との関係を、複合機20が備える記憶部25に記憶しておくようにしてもよい。そうすれば、同じパソコン10から再び同じ処理の実行要求があった場合、その記憶部25に記憶された対応関係を利用すればよいので、認証装置30への問合せ処理を省略でき、パソコン10への応答時間を短縮できるとともに、認証装置30へのアクセスに伴うネットワークトラフィックを軽減することができる。その場合、図5での認証処理におけるS520及びS540,S555では、認証装置30に照会にするのではなく、記憶部25に照会することになる。
【0080】
以上のように、ネットワーク認証システムの処理を実行してもよいが、さらに以下のように実行することにより、別の優れた効果を有することになる。
【0081】
ネットワーク認証システムの処理において、パソコン10が複合機20からアクセス許可の旨の情報を受け取ったら[図3(4)参照]、図3(5)〜(12)のステップを省略して、処理の要求を出すようにしてもよい[図3(13)参照]。そうすれば、単機能しか有しないネットワーク装置40、例えばプリンタでは、機能の問合せ(図3(5)参照)をしても単一の機能の返信しかないことは明らかであるので、そのような無駄な処理を省略することができ、その問合せに伴うネットワークトラフィックの軽減が図れるとともに、認証処理時間の短縮をすることができる。また、単機能しか有しないネットワーク装置40の場合、図3(5)〜(8)のステップだけを省略すれば、どのような属性で処理されるかを確認した後に、処理の要求を出すこともできる。
【0082】
なお、図3(1)において、複合機20は、パソコン10からIPアドレスを備えた検索パケットとともに、処理の要求を受けるように構成されていてもよい。そうすれば、そのパソコン10による利用が許可され、且つ、要求された処理内容を実行可能なネットワーク装置40が認証装置30の照会で検索されることになり、適切なネットワーク装置40が見つかれば、改めて処理の要求を出さなくても図3(1)での要求内容で処理の実行を行うことができる。
【0083】
また、処理の要求を複合機20に出した後に、その処理を実行できるか否かを判断して、実行できると判断された場合に処理の実行を行うようにしてもよい。つまり、図3での処理において、(5)〜(12)を省略し、(13)で処理要求を出した後に、その処理の実行が可能か否かを複合機20が認証装置30に問合せ、可能であると判断したら、処理を実行するようにしてもよい。
【0084】
また、処理の対象となるデータの種類によって、ネットワーク装置の利用を制限することも可能である。つまり、処理の要求を送信する前に、処理の対象となるデータの種類を特定する情報を複合機20に送信する。そして、複合機20は、その複合機20が備え、利用が許可された機能でその種類のデータを処理できるか否かを認証装置30に問合せ、処理可能であるとの応答が複合機20にあると、複合機20はその旨をパソコン10に送信する。パソコン10はその旨を受信すると、その処理の対象となるデータを複合機20に送信し、処理を実行させる。なお、認証装置30は、認証テーブルに記載されたデータ属性に従って、処理の可否を判断する。
【0085】
これにより、パソコン10には、データを処理可能なネットワーク装置が提供され、パソコン10は、その提供されたネットワーク装置に処理の実行させることができる。そのため、処理の対象となるデータに応じて利用可能なネットワーク装置を制限でき、パソコン10毎に、より詳細な利用制限を設定することができる。さらに、利用可能となったネットワーク装置だけが利用者に提供されるため、情報処理装置の利用者はいずれのネットワーク装置がどのような機能を備え、いずれの種類のデータを処理可能であるか把握していなくても、容易に処理の実行が可能なネットワーク装置に処理の要求を出すことができる。
【0086】
(実施例2)
以下、実施例1とは異なるネットワーク認証システムについて、具体的に説明する。なお、以下の説明では同一の構成及び処理手順については、詳細を省略し、相違する点のみを説明する。
【0087】
(ネットワーク認証システムによる処理)
ネットワーク認証システム1によるパソコン10,ネットワーク装置40,認証装置30を含めた全体の処理の流れについて、図面を用いて説明する。
【0088】
図6は、パソコン10とネットワーク装置40である複合機20及び認証装置30との間でやり取りされる各種データの伝送手順等を、時系列に沿って示したタイミングチャートである。上記実施例1との大きな違いは、ネットワーク装置40に処理を実行させたい場合、ネットワーク装置40にアクセスする前に、認証装置30にネットワーク装置40へのアクセス権があるか否かを問う点である。
【0089】
まず、パソコン10は、ネットワーク回線50内に接続されたネットワーク装置40で所望の処理を実行させるにあたり、パソコン10にいずれのネットワーク装置40へのアクセスが許可されているか、すなわち、利用許可があるかを認証装置30に問合わせる[図6(1)参照]。なお、このとき、パソコン10を特定する情報としてIPアドレスを認証装置30に送信する。
【0090】
認証装置30は、そのIPアドレスにより特定されるパソコン10が利用許可されているネットワーク装置40を認証テーブルに基づいて判断し[図6(2)参照]、そのアクセス許可されているネットワーク装置40の情報を利用許可証としてパソコン10に送信する[図6(3)参照]。なお、この利用許可証は認証装置30によるデジタル署名及び問合せをしたパソコン10のIPアドレスが付与されている。
【0091】
続いてパソコン10は、利用許可証を備えたデバイス検索パケットをネットワーク回線50内のネットワーク装置40に送信する[図6(4)参照]。そして、この検索パケットを受信した複合機20は、認証装置30の公開鍵でその利用許可証に付与されているデジタル署名が正しいものか否かを判断し[図6(5)参照]、正しいものであるとき、パソコン10に利用許可の情報の返信をする[図6(6)参照]。
【0092】
そして、パソコン10はその返信された利用許可情報に従って、処理の要求を複合機20に送信し[図6(7)参照]、複合機20はその処理を実行する[図6(8)参照]。複合機20は処理完了後、その処理結果をパソコン10に送信して[図6(9)参照]、ネットワーク認証システムによる一連の動作を終了する。なお、以上のネットワーク認証システムにおける各装置が実行する処理の詳細は後述する。
【0093】
以上のネットワーク認証システムによれば、認証装置30によりパソコン10毎に複合機20のアクセス(利用)を制限できる。さらに、利用許可証にはデジタル署名が付与されており、認証装置30が発行した公開鍵でしか複合化できないため、利用許可証の偽造を防止できる。その上、利用許可証にはIPアドレスも付与されているので、そのIPアドレスと、検索パケットを送信してきたパソコン10のIPアドレスを比較することにより、利用証明書の複製し利用許可証を受けた正規のパソコン10以外のパソコン10からの複合機20の不正使用を防止することができる。
【0094】
また、実施例1の効果と同様に、表示能力の乏しい情報処理装置でも認証装置30に予め設定された利用可能された機能,属性情報(認証テーブル及び機能テーブル)に基づいて提供される、利用許可されたネットワーク装置40を選択するだけでよいので、要求側の情報処理装置に適切な条件で処理の要求を出すことができる。
【0095】
[パソコン10及び複合機20が実行する処理]
次に、上記のようなネットワーク認証システム1を実現するために、パソコン10及び複合機20が実行する処理について詳細に説明する。
【0096】
[パソコン10の処理実行要求処理]
まず、パソコン10側で実行される処理実行要求処理について、図7のフローチャートに基づいて説明する。
【0097】
この処理実行要求処理を開始、すなわち、利用者がネットワーク装置40に何らかの処理を実行させようとすると、パソコン10は、まず、認証装置30にネットワーク回線50内に処理を実行させるネットワーク装置40が存在するか、また、利用が許可されているか否かを問合わせる(S705)。このS705は図6(1)に対応する処理である。なお、このとき、パソコン10を特定する情報としてIPアドレスを認証装置30に送信することにより、認証装置30はそのIPアドレスに基づいてパソコン10に利用許可されたネットワーク装置を判断する。この処理は図6(2)に対応する処理である。
【0098】
そして、認証装置30によりいずれかのネットワーク装置40の利用が許可されたと判断すると(S710:YES)、認証装置30から利用許可されたネットワーク装置40の情報が記載された利用許可証を受信する(S715)。このS715は図6(3)に対応する処理である。なお、この利用許可証には、認証装置30の秘密鍵により作成されたデジタル署名及びパソコン10から送信されたIPアドレスが付与されており、パソコン10が利用可能なネットワーク装置40がその利用可能な機能及び属性と対応付けて記載されている。
【0099】
続いて、パソコン10は、ネットワーク装置40に処理を実行させるため、ネットワーク回線50内に、利用許可証に記載されたネットワーク装置40が存在するか確認するため、検索パケットを送出する(S720)。このS720は図6(4)に対応する処理である。この検索パケットには、利用許可証が埋め込まれており、検索パケットを受け取ったネットワーク装置40は検索パケットを送信してきたパソコン10からの処理要求を受け入れることができるようになる。
【0100】
そして、ネットワーク装置40から利用許可の旨の返信があるか否かを判断し(S725)、いずれかのネットワーク装置40からの返信があったと判断すると(S725:YES)、表示部14にそれら返信のあったネットワーク装置40を選択可能に表示する。なお、このS725でYESという判断は、図6(6)に対応する処理である。
【0101】
ここまでの処理で、パソコン10が利用可能なネットワーク装置40を検索することができる。
【0102】
次に、パソコン10の利用者が返信のあったネットワーク装置40から処理を実行させたいネットワーク装置40を1つ選択し(S730)、パソコン10はその選択されたネットワーク装置40に、処理の実行を要求する(S735)。このS735は図6(7)に対応する処理である。
【0103】
一方、S725で一定時間経過しても、いずれのネットワーク装置40からも返信がないと判断すると(S725:NO)、ネットワーク回線50内にネットワーク装置40が存在しない、もしくは、利用不可能な状態になっている、さらには、利用許可証が正規のものではないと判断し、ネットワーク装置40に処理の要求を出すことなく、処理実行要求処理を終了する。
【0104】
また、S710で認証装置30からいずれのネットワーク装置40の利用許可が得られないと判断すると(S710:NO)、ネットワーク回線50内にはパソコン10が利用可能なネットワーク装置40が存在しないとして、処理実行要求処理を終了する。
【0105】
以上のパソコン10が実行する処理実行要求処理によると、パソコン10には、利用可能なネットワーク装置40だけが通知されるので、誤って利用制限されたネットワーク装置40に対して処理の要求を送ってしまう心配がない。
【0106】
さらに、ネットワーク装置40の利用が許可されている利用者にはデジタル署名及び利用者を特定するIPアドレスが付与された利用許可証によりネットワーク装置40の利用を制限できるとともに、利用許可がされていない利用者には、ネットワーク装置40の存在すら通知されないので、セキュアなネットワークを構築することが可能である。
【0107】
なお、上記実施例では、S705で認証装置30にパソコン10を特定する情報としてIPアドレスを送信しているが、このステップの前に、パソコン10を特定する任意の情報を設定するステップを追加し、その設定した情報を認証装置30に送信するようにしてもよい。そして、認証装置30は、その情報を元にパソコン10がいずれのネットワーク装置40を利用可能か否かを判断するようにするとよい。そうすれば、ネットワークに接続するたびにIPアドレスが変化するような環境下でも、パソコン10に適した利用制限をかけることができる。なお、パソコン10を特定する情報はIPアドレスである必要はなく、パソコン10、もしくはパソコン10の利用者を特定できればよい。その場合、認証テーブルの項目もIPアドレスではなく、パソコン10もしくは利用者を特定できる情報に変更する必要がある。
【0108】
また、S730では利用可能なネットワーク装置40の内から処理を実行させたいネットワーク装置40を1つ選択しているが、特に1つを選択することに限られない。例えば、S725で複数のネットワーク装置40からアクセス可能である旨の返信があった場合、複数のネットワーク装置40を選択してもよい。そうすれば、一度に複数のネットワーク装置40に処理要求を出すことが可能であり、複数のネットワーク装置40に同一指示を出したい場合、個別に指示を出す必要がなくなる。
【0109】
[複合機20の機能実行処理]
次に、ネットワーク装置40で実行される機能実行処理について、図8のフローチャートに基づいて説明する。なお、本実施例では、ネットワーク装置40の一例として複合機20を用いて説明する。
【0110】
複合機20は、常に処理要求を受け付けるように待機しており(S805)、何らかの信号を受信するとそれがパソコン10からの検索パケットか否かを判断する(S810)。そして、検索パケットであると判断すると(S810:YES)、その検索パケット内に利用許可証が埋め込まれているか否かを判断する(S815)。なお、このステップは、図6(4)に対応する処理である。
【0111】
そして、利用許可証が埋め込まれていると判断されると(S815:YES)、予め取得しておいた認証装置30の公開鍵でその利用許可証を復号化し、デジタル署名が正しいか否かを判断する(S820)。このS820は、図6(5)に対応する処理である。
【0112】
そして、正規の利用許可証であると判断されると(S820:YES)、パソコン10に利用可能である旨を送信し、処理の要求が送信されるまで待機する(S805)。このステップは、図6(6)に対応する処理である。
【0113】
一方、S820で利用許可証が正しくないと判断されると(S820:NO)、その利用許可証は偽造又は他のネットワーク認証システムでのものの可能性があり、本ネットワーク認証システム1では有効ではないので、その利用許可証を含む検索パケットを送信してきたパソコン10には何も応答せず、次の処理に移るため待機する(S805)。
【0114】
また、S815で利用許可証が埋め込まれた検索パケットではないと判断すると(S815:NO)、使用許可がされていないパソコン10からのアクセスと判断し、そのパソコン10には何も応答せず、次の処理に移るため待機する(S805)。
【0115】
次いで、パソコン10から受信したデータが、検索パケットではないと判断すると(S810:NO)、そのデータは処理の要求か否かを判断する(S830)。そして、処理の要求であると判断すると(S830:YES)、要求された処理を利用許可証に記載された機能及び属性に基づいて実行し(S835)、その処理結果を要求送信元のパソコン10に送信する(S840)。なお、このS830でYESは、図6(7)に対応し、S835は、図6(8)、S840は、図6(9)に対応する処理である。そして、次の指令が来るまで待機する(S805)。
【0116】
一方、パソコン10から受信したデータが、検索パケットでも、処理の要求でもないと判断すると(S830:NO)、処理の要求ではなかったとして、次の指令が来るまで待機する(S805)。
【0117】
以上の複合機20が実行する機能実行処理によると、利用許可証を含んでいない検索パケットを送ってくるパソコン10には、一切応答しないので、利用許可されていない不正利用をしようとする利用者にはネットワーク装置40を利用させないよう制限することができる。さらに、自らの存在をネットワーク回線50に接続された他のネットワーク装置40に知らせないように複合機20を設定しておけば、アクセス許可されていないパソコン10を含むネットワーク装置40に、その存在すら知られることはない。
【図面の簡単な説明】
【0118】
【図1】本発明の実施例1におけるネットワーク認証システムの構成を示した図
【図2】(A)は本発明の実施例1における認証テーブルを、(B)は、本発明の実施例1における機能テーブルを示した図
【図3】本発明の実施例1におけるネットワーク認証システムの動作について一例を示すタイミングチャート
【図4】本発明の実施例1における処理実行要求処理のフローを示す図
【図5】本発明の実施例1における認証処理のフローを示す図
【図6】本発明の実施例2におけるネットワーク認証システムの動作について一例を示すタイミングチャート
【図7】本発明の実施例2における処理実行要求処理のフローを示す図
【図8】本発明の実施例2における機能実行処理のフローを示す図
【符号の説明】
【0119】
10 パソコン(情報処理装置)
20 複合機(ネットワーク装置)
30 認証装置
40 ネットワーク装置
50 ネットワーク回線
【技術分野】
【0001】
本発明は、ネットワークに接続された装置へのアクセス制御及び装置が備える機能の利用制限を行うネットワーク認証システムに関する。
【背景技術】
【0002】
近年、様々な電化製品をネットワークで接続するネットワークシステムが一般家庭やオフィスに普及している(例えば、特許文献1参照)。
【0003】
このようなネットワークシステムにおいて、例えば、DLNA(Digital Living Network Alliance:登録商標)という規格が提唱されている。この規格は、UPnP(Universal Plug and Play:登録商標)の技術仕様に準拠したマルチキャストパケットにより、ネットワーク装置同士の相互接続を容易にしている。そのため、この規格に準拠した装置であれば、ネットワークに接続するだけで、複雑な設定をすることもなく、同一ネットワークに接続された他の装置を認識し、それら装置に保存されたコンテンツや各種機能を、ネットワークを介して操作、利用することができる(例えば、非特許文献1参照)。
【0004】
【特許文献1】特開2002−319947号公報
【非特許文献1】郷卓倫、他2名“ネットワーク家電〜家電の新たな形〜”、[online]、2005年10月1日、同志社大学知的システムデザイン研究室[2006年1月20日検索]、インターネット<URL:http://mikilab.doshisha.ac.jp/dia/research/report/2005/0905/001/report20050905001.html>
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、上記のようなネットワークシステムでは容易にネットワーク内に存在する装置を利用可能である反面、利用されることを望まないネットワーク装置までも無断で利用されてしまうという側面もあった。
【0006】
例えば、オフィスにお客として来た社外の人間に容易にネットワークに接続され、消耗品を必要とするプリンタ、複写機や、アクセス制限をかけたいコンテンツも、それら装置を設置した管理者の意図とは無関係に利用される虞があった。
【0007】
本発明は、利用権限を有する利用者に対してネットワーク装置の利用を可能とするネットワーク認証システム、情報処理装置、ネットワーク装置及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0008】
上記問題に鑑みなされた本発明は、ネットワーク装置と、情報処理装置と、認証装置と、を含むネットワーク認証システムであって、前記情報処理装置が前記ネットワーク装置を利用するに際し、該情報処理装置が該ネットワーク装置を利用可能か否かを前記認証装置が判断し、利用可能な前記ネットワーク装置を前記情報処理装置に提供するものである。
【発明の効果】
【0009】
本願の請求項1に係る発明によれば、情報処理装置毎に利用可能なネットワーク装置を設定することができる。さらに、利用が許可されたネットワーク装置が情報処理装置に通知されるので、システムの利用者がいずれのネットワーク装置を利用することができるかを把握していなくても、容易に利用可能なネットワーク装置を選択することができる。
【0010】
請求項2に係る発明によれば、ネットワーク装置が備える機能毎にその機能の利用の可否を制限することができ、情報処理装置毎に詳細な利用制限を設定することができる。
【0011】
請求項3に係る発明によれば、処理対象となるデータによってもネットワーク装置が備える機能の利用を制限することができ、情報処理装置毎により詳細な利用制限を設定することができる。
【0012】
請求項4に係る発明によれば、請求項1に係るネットワーク認証システムを構築可能な情報処理装置を得ることができる。
【0013】
請求項5に係る発明によれば、請求項4に係る情報処理装置として動作可能なプログラムを得ることができる。
【0014】
請求項6に係る発明によれば、請求項1に係るネットワーク認証システムを構築可能なネットワーク装置を得ることができる。
【0015】
請求項7に係る発明によれば、請求項6に係るネットワーク装置として動作可能なプログラムを得ることができる。
【発明を実施するための最良の形態】
【0016】
本願の請求項1に係る発明は、予め定められた処理を実行する機能を備えたネットワーク装置と、前記ネットワーク装置に前記処理の要求を出す情報処理装置と、前記情報処理装置による前記ネットワーク装置の利用が許可されているか認証を行う認証装置と、がネットワークを介して接続されるネットワーク認証システムであって、前記情報処理装置は、前記ネットワーク装置に該情報処理装置を特定する特定情報を送信する特定情報送信手段と、前記認証装置により前記ネットワーク装置の利用が許可された認証情報を前記ネットワーク装置から受信する認証結果受信手段と、前記認証結果受信手段が受信した前記認証情報の送信元の前記ネットワーク装置に対して前記処理の実行の要求を送信する処理実行要求手段と、を備え、前記ネットワーク装置は、前記情報処理装置から送信される前記特定情報を受信する特定情報受信手段と、前記特定情報受信手段が受信した前記特定情報により特定される前記情報処理装置が、該ネットワーク装置の利用を許可されているかを前記認証装置に問合わせる第1問合手段と、前記第1問合手段の問合せに対して前記認証装置から前記情報処理装置による該ネットワーク装置の利用を許可する旨の応答があった場合、前記認証情報を前記特定情報の送信元の前記情報処理装置に送信する認証結果送信手段と、を備え、前記認証装置は、前記ネットワーク装置と該ネットワーク装置の利用が許可された前記情報処理装置を特定する前記特定情報との対応関係を記憶する認証情報記憶手段と、前記第1問合手段による問合わせに対し、該問合わせの対象となった前記特定情報により特定される前記情報処理装置が該問合わせを行った前記ネットワーク装置と対応付けて前記認証情報記憶手段に記憶されているか否かを判断する第1判断手段と、前記第1判断手段により、問合わせの対象となった前記特定情報により特定される前記情報処理装置が該問合わせを行った前記ネットワーク装置と対応付けて前記認証情報記憶手段に記憶されていると判断された場合、該ネットワーク装置に利用許可の応答をする第1応答手段と、を備えていることを特徴とするネットワーク認証システムである。
【0017】
これにより、認証情報記憶手段に記憶された対応関係に、ネットワーク装置とそのネットワーク装置の利用が許可された情報処理装置が対応して記憶されていた場合、その情報処理装置はそのネットワーク装置の利用ができる。さらに、利用が許可されたネットワーク装置は情報処理装置に利用許可の旨の通知をするため、情報処理装置は、その通知されたネットワーク装置に対し処理の実行を要求することができる。
【0018】
なお、特定情報を送信するタイミングは、実際にネットワーク装置に対し処理の実行を要求するときでも、情報処理装置を新しくネットワークに接続したときにでもよく、後者の場合では、ネットワーク内に接続されたネットワーク装置を検索するときに行うUPnP(登録商標)の技術仕様に準拠したマルチキャストパケットに含まれるIPアドレスを利用すればよい。
【0019】
また、特定情報はIPアドレスに限るものではなく、情報処理装置のMACアドレスや名称、利用者のユーザIDやパスワードであってもよく、情報処理装置又は利用者を特定できるものであれば何でもよい。
【0020】
さらに、情報処理装置はネットワーク装置でもあり、ネットワーク装置は情報処理装置でもある。つまり、処理を要求する装置が情報処理装置であり、処理を実行する装置がネットワーク装置として識別しているにすぎない。
【0021】
また、情報処理装置は、認証情報の送信元のネットワーク装置をリスト化し、そのリスト中から利用者にどのネットワーク装置で処理を実行させるかを選択させてもよいし、認証情報を送信してきたネットワーク装置すべてに処理を実行させるように構成されていてもよい。
【0022】
さらに、処理とは、処理の対象となるデータに対して施すもの(印刷、ファクシミリ等)に限らず、処理の対象にデータは関しないもの(ネットワーク接続の可否等)も含まれるものである。
【0023】
請求項2に係る発明は、前記ネットワーク装置は、前記情報処理装置から送信される前記処理の実行の要求が該ネットワーク装置で実行可能か否かを前記認証装置に問合わせる第2問合手段を備え、前記第2問合手段の問合わせに対して前記認証装置から該ネットワーク装置に前記処理の実行が可能である旨の応答があった場合、該処理を実行し、前記認証装置は、前記認証情報記憶手段に、さらに前記ネットワーク装置と該ネットワーク装置での利用が許可された機能との対応関係を記憶しており、前記第2問合手段による問合わせに対し、該問合わせの対象となった前記機能が、該問合わせを行った前記ネットワーク装置と対応付けて前記認証情報記憶手段に記憶されているか否かを判断する第2判断手段と、前記第2判断手段により、問合わせの対象となった前記機能が、該問合わせを行った前記ネットワーク装置と対応付けて前記認証情報記憶手段に記憶されていると判断された場合、該ネットワーク装置に処理の実行が可能である旨の応答をする第2応答手段と、を備えていることを特徴とする請求項1に記載のネットワーク認証システムである。
【0024】
これにより、情報処理装置による利用が可能なネットワーク装置で、かつ、そのネットワーク装置が備えている機能の利用が許可されている場合にのみ、処理を実行することが可能である。
【0025】
請求項3に係る発明は、前記処理は、前記情報処理装置から前記ネットワーク装置に対して送信される所定のデータに施す処理であって、前記処理実行要求手段は、前記処理の要求と該処理の対象となるデータを送信し、前記第2問合手段は、前記処理実行要求手段により送信された前記処理の対象となるデータが前記ネットワーク装置で処理が可能なデータであるか否かを前記認証装置に問い合わせ、前記第2問合手段の問合わせに対して前記認証装置から該ネットワーク装置で処理が可能である旨の応答があった場合、該処理を実行することを特徴とする請求項2記載のネットワーク認証システムである。
【0026】
これにより、ネットワーク認証システムは、処理の対象となるデータに基づき、ネットワーク装置による処理の実行の開始を判断することができる。
【0027】
請求項4に係る発明は、予め定められた処理を実行する機能手段と、前記処理の要求元を特定する特定情報を受信する特定情報受信手段と、前記特定情報受信手段が受信した前記特定情報により特定される前記要求元が、ネットワーク装置の利用を許可されている場合、前記利用の許可に係る認証情報を前記要求元に送信する認証結果送信手段と、を備える前記ネットワーク装置と、ネットワークを介して接続され、前記ネットワーク装置に前記処理の実行を要求する情報処理装置であって、前記ネットワーク装置に該情報処理装置を特定する前記特定情報を送信する特定情報送信手段と、前記認証装置により前記ネットワーク装置の利用が許可された前記認証情報を前記ネットワーク装置から受信する認証結果受信手段と、前記認証結果受信手段が受信した前記認証情報の送信元の前記ネットワーク装置に対して前記処理の実行の要求を送信する処理実行要求手段と、を備えることを特徴とする情報処理装置である。
【0028】
これにより、認証情報記憶手段に記憶された対応関係に基づいて、利用可能なネットワーク装置を取得し、そのネットワーク装置に処理の要求を出すことができる。
【0029】
請求項5に係る発明は、予め定められた処理を実行する機能手段と、前記処理の要求元を特定する特定情報を受信する特定情報受信手段と、前記特定情報受信手段が受信した前記特定情報により特定される前記要求元が、ネットワーク装置の利用を許可されている場合、前記利用の許可に係る認証情報を前記要求元に送信する認証結果送信手段と、を備える前記ネットワーク装置と、ネットワークを介して接続され、前記ネットワーク装置に前記処理の実行を要求する情報処理装置を制御可能なコンピュータが読み取り可能なプログラムであって、前記コンピュータを、前記ネットワーク装置に前記情報処理装置を特定する前記特定情報を送信する特定情報送信手段と、前記認証装置により前記ネットワーク装置の利用が許可された前記認証情報を前記ネットワーク装置から受信する認証結果受信手段と、前記認証結果受信手段が受信した前記認証情報の送信元の前記ネットワーク装置に対して前記処理の実行の要求を送信する処理実行要求手段と、して機能させるためのプログラムである。
【0030】
これにより、認証情報記憶手段に記憶された対応関係に基づいて、利用可能なネットワーク装置を取得し、そのネットワーク装置に処理の要求を出すことができる。
【0031】
請求項6に係る発明は、処理の要求を出す情報処理装置と、前記情報処理装置による、前記処理の要求先となる装置の利用の可否に関し、前記情報処理装置と、前記要求先となる装置と、の対応関係を記憶する認証情報記憶手段と、前記認証情報記憶手段が記憶する対応関係についての問合せに対して、応答する第1応答手段と、を備えた認証装置と、にネットワークを介して接続され、前記情報処理装置から要求される処理を実行するネットワーク装置であって、前記情報処理装置から送信される前記情報処理装置を特定する特定情報を受信する特定情報受信手段と、前記特定情報受信手段が受信した前記特定情報により特定される前記情報処理装置が、該ネットワーク装置の利用を許可されているかを前記認証装置に問合わせる問合手段と、前記問合手段の問合せに対して前記認証装置から前記情報処理装置による該ネットワーク装置の利用を許可する旨の応答があった場合、前記認証情報を前記特定情報の送信元の前記情報処理装置に送信する認証結果送信手段と、を備えることを特徴とするネットワーク装置である。
【0032】
これにより、認証情報記憶手段に記憶された対応関係に基づいて、アクセス可能なネットワーク装置を情報処理装置に提供することができる。
【0033】
請求項7に係る発明は、処理の要求を出す情報処理装置と、前記情報処理装置による、前記処理の要求先となる装置の利用の可否に関し、前記情報処理装置と、前記要求先となる装置と、の対応関係を記憶する認証情報記憶手段と、前記認証情報記憶手段が記憶する対応関係についての問合せに対して、応答する第1応答手段と、を備えた認証装置と、にネットワークを介して接続され、前記情報処理装置から要求される処理を実行するネットワーク装置を制御可能なコンピュータが読み取り可能なプログラムであって、前記コンピュータを、前記情報処理装置から送信される前記情報処理装置を特定する特定情報を受信する特定情報受信手段と、前記特定情報受信手段が受信した前記特定情報により特定される前記情報処理装置が、該ネットワーク装置の利用を許可されているかを前記認証装置に問合わせる問合手段と、前記問合手段の問合せに対して前記認証装置から前記情報処理装置による該ネットワーク装置の利用を許可する旨の応答があった場合、前記認証情報を前記特定情報の送信元の前記情報処理装置に送信する認証結果送信手段と、して機能させるためのプログラムである。
【0034】
これにより、認証情報記憶手段に記憶された対応関係に基づいて、アクセス可能なネットワーク装置を情報処理装置に提供することができる。
【実施例】
【0035】
(実施例1)
以下、本発明に係る具体的なネットワーク認証システムについて、図面を用いて説明する。なお、本発明は以下に記載の構成に限定されるものではなく、同一の技術的思想において種々の構成を採用することが可能であることは云うまでもない。
【0036】
(ネットワーク認証システムの構成)
図1はネットワーク認証システムの構成を示す図である。図から明らかなとおり、このネットワーク認証システム1は、自装置以外の装置に各種機能を実行させるための命令を送出可能な情報処理装置としてのパソコン10と、各種処理を実行する機能を備えたネットワーク装置40と、その一例としての複合機20と、複合機20がパソコン10からの利用が許可されているか否かを判断する認証装置30とが、ネットワーク回線50を介して接続されている。
【0037】
パソコン10は、CPU,ROM,RAM等(図示せず。)を備え、パソコン10の各動作(パソコン10全体)について、このROMに記憶されたプログラムに基づき制御を行う制御部11と、ネットワーク回線50に接続され、このネットワーク回線50を制御する通信部12、パソコン10の利用者からの指示を受け付ける操作部13、各種情報を表示する表示部14、及び、各種プログラムやデータを記憶するハードディスク等から構成された記憶部15を備えている。
【0038】
複合機20は、CPU,ROM,RAM等(図示せず。)を備え、複合機20の各動作(複合機20全体)についての制御を行う制御部21と、画像形成手段としての印刷部22と、ネットワーク回線50に接続され、このネットワーク回線50を制御する通信部23と、複合機20の利用者からの指示を受け付ける操作部24と、各種プログラムやデータを記憶する記憶部25と、原稿載置台に載置された原稿を光学的に読み取り画像データを生成する読取部26と、各種情報を表示する表示部27とを備え、CPU21にて各種プログラムを実行し、プリンタ機能、スキャナ機能、及び、コピー機能等を実現する構成にされている。 認証装置30は、CPU,ROM,RAM等(図示せず。)を備え、認証装置30の各動作(認証装置30全体)についての制御を行う制御部31と、ハードディスク等から構成された記憶部32と、認証装置30の利用者からの指示を受け付ける操作部33と、ネットワーク回線50に接続され、このネットワーク回線50を制御する通信部34と、各種情報を表示する表示部35とを備えている。
【0039】
また、記憶部32には、図2(A)に示すように、パソコン10がどのネットワーク装置40にアクセス可能、すなわち利用が許可されているか、さらにアクセス可能なネットワーク装置40のどの機能が利用可能であるかを示した認証テーブルが記憶されている。さらに、図2(B)に示すように、各ネットワーク装置40が実行可能な機能を定義した機能テーブルも記憶されている。なお、これら両テーブルは操作部33やネットワーク回線50に接続された管理者権限のある他の装置から編集が可能となっている。
【0040】
これらのテーブルについて具体的に説明すると、認証テーブルには、ネットワーク装置40毎にパソコン10を特定する情報としてパソコン10のIPアドレスが登録されている。そしてIPアドレス毎に各種設定(アクセスの可否,機能1,機能2・・・,カラー属性,用紙属性,データ属性・・・等)がされている。また機能テーブルには、認証テーブルの「機能1」,「機能2」・・・等の各ネットワーク装置40が備える機能が登録されている。
【0041】
さらに、より具体的にネットワーク装置40を個別に例をあげて説明する。ネットワーク装置40の一つである「複合機20」に関しては、IPアドレスが「192.168.0.1」として特定されるパソコン10は、「アクセス」が「許可」されており、「機能1」すなわち「印刷」(機能テーブル参照)及び「機能2」すなわち「スキャン」(機能テーブル参照)が「許可」となっており、印刷機能もスキャン機能も利用することができるように設定されている。また、印刷機能利用時には「カラー属性」は「カラー」と定義されているので、カラーでの印刷が可能である。さらに、印刷時における使用可能用紙は、「用紙属性」として定義されており、この場合、「ALL」として定義されており、複合機20が備える複数種類の用紙のうち、いずれの種類の用紙も使用してよい旨に設定されている。また、複合機20の機能を利用して行う処理の内、データに対して施す処理である場合、「データ属性」として「ALL」が設定されており、利用が許可された機能が処理できるデータであればどのような形式のデータでも処理の対象とすることができる。例えば、データに対して施す処理として印刷があり、その印刷対象のデータはjpegやtext、gif形式等のデータである。
【0042】
一方、IPアドレスが「192.168.0.2」として特定されるパソコン10は、アクセス、及び、「機能1」すなわち「印刷」機能の利用は許可されているが、「機能2」すなわち「スキャン」機能は「不許可」として設定され、印刷機能は利用できるがスキャナ機能は利用できないように設定されている。また、印刷機能利用時には「カラー属性」は「モノクロ」と定義されているので、カラーでの印刷は禁止され、モノクロ印刷のみが可能となっている。さらに、印刷時における使用可能用紙は、「用紙属性」に「普通紙」が設定されているので、複合機20が備える複数種類の用紙のうち、「普通紙」として設定された用紙しか使用できないようになっている。また、「データ属性」として、「text」が設定されており、利用可能な機能の内、その機能がデータに対して施すものである場合、text形式のデータしか処理できないように設定されている。
【0043】
次に、「プリンタ1」として設定されているネットワーク装置40に関しては、IPアドレスが「192.168.0.1」として特定されるパソコン10は、「アクセス」及び「機能1」すなわち「印刷」が許可されており、さらに、カラー印刷、高級紙での印刷が許可されている。また、「データ属性」として、「jpeg」が設定されており、利用可能な機能の内、その機能がデータに対して施すものである場合、jpeg形式のデータしか処理できないように設定されている。
【0044】
一方、「その他」として設定されている、IPアドレスが「192.168.0.1」として特定されるパソコン10以外のパソコン10は、「アクセス」が「不許可」として設定されており、「プリンタ1」の一切の機能を利用することができない上、「プリンタ1」からは何も応答しないように設定されている。
【0045】
また、「ルータ」として設定されているネットワーク装置40に関しては、IPアドレスが「192.168.0.1〜192.168.0.18」に含まれるIPアドレスで特定される複数のパソコン10は、ルータへの「アクセス」、「機能1」すなわち「WAN(Wide Area Network)接続」(機能テーブル参照)及び「機能2」すなわち「LAN(Local Area Network)接続」(機能テーブル参照)が「許可」として設定されており、ルータへのアクセス、LAN内の共有コンテンツへの接続、LANの外部への接続が許可されている。一方、IPアドレスが「192.168.0.1〜192.168.0.18」以外で特定されるパソコン10は、「その他」として設定され、「ルータ」への「アクセス」及び「機能1」すなわち「WAN接続」は「許可」されているが、「機能2」すなわち「LAN接続」は「不許可」に設定され、LANの外部への接続は可能であるが、LAN内の共有コンテンツへの接続は制限されている。
【0046】
(ネットワーク認証システムによる処理)
次に、上記のとおり構成されたネットワーク認証システム1によるパソコン10,ネットワーク装置40,認証装置30を含めた全体の処理の流れについて説明する。
【0047】
図3は、パソコン10とネットワーク装置40である複合機20及び認証装置30との間でやり取りされる各種データの伝送手順等を、時系列に沿って示したタイミングチャートである。
【0048】
なお、複合機20は、複数種類の機能(印刷,スキャン,ファクシミリ等)を実行可能であるが、以下において特に説明がない場合は、いずれの機能もすべて「機能」として表現する。
【0049】
まず、パソコン10は、処理の実行を要求するにあたり、アクセス(いずれかの機能の利用)が許可されたネットワーク装置40がネットワーク回線50内に存在するか否かを検索するため、パソコン10を特定するIPアドレスを備えた検索パケットをネットワーク回線50内のネットワーク装置40に送信する[図3(1)参照]。
【0050】
検索パケットを受信した複合機20は、その検索パケットに含まれるIPアドレスにより特定されるパソコン10が自機へのアクセスが許可されているか否かを認証装置30に問合わせる[図3(2)参照]。そして、認証装置30は、認証テーブルを参照してアクセスの可否を判断し、アクセスが許可されていればその旨の応答を複合機20に返信する[図3(3)参照]。複合機20は、その許可された旨をパソコン10に返信する[図3(4)参照]。
【0051】
そして、パソコン10はアクセスが許可された複合機20に対し、複合機20が備える機能の内、いずれの機能が利用可能であるかを問合せ[図3(5)参照]、複合機20は認証装置30に、問合せをしてきたパソコン10に対して自機のいずれの機能の利用が許可されているかを問合わせる[図3(6)参照]。そして、認証装置30は、認証テーブル及び機能テーブルを参照して利用が許可された機能を判断し、利用が許可された機能を示す情報を複合機20に返信する[図3(7)参照]。複合機20は、その利用が許可された機能を示す情報をパソコン10に返信する[図3(8)参照]。
【0052】
次いで、パソコン10は応答があった複合機20に対して、利用が許可された機能において、どのような属性でその機能を利用してよいのかを問合せ[図3(9)参照]、複合機20は認証装置30に、問合せをしてきたパソコン10に対してどのような属性での処理が設定されているかを問合わせる[図3(10)参照]。そして、認証装置30は、認証テーブルを参照して設定された属性を示す情報を複合機20に返信する[図3(11)参照]。複合機20は、その情報をパソコン10に返信する[図3(12)参照]。
【0053】
なお、この属性とは、各種機能を詳細に設定したもので、認証テーブルに示したように予め設定されており、複合機20の場合は、印刷機能を利用する際の属性として、カラー属性,用紙属性等が設定されている。
【0054】
そして、パソコン10はその返信された属性情報に従って、処理の要求を複合機20に送信し[図3(13)参照]、複合機20はその要求に従った処理を実行する[図3(14)参照]。複合機20は処理完了後、その処理結果をパソコン10に送信して[図3(15)参照]、ネットワーク認証システムによる一連の動作を終了する。なお、以上のネットワーク認証システム1における各装置が実行する処理の詳細は後述する。
【0055】
以上のネットワーク認証システムによれば、パソコン10毎に複合機20のアクセス(利用)を制限できる。さらに、アクセスが許可されても複合機20が備える複数の機能の内、利用可能な機能を制限することもできる。そして、処理の要求にあたり、パソコン10毎に予め設定された属性情報にしたがって処理の要求を送信するので、同じ複合機20の同じ機能を利用するにしても、利用するパソコン10毎に異なった詳細な設定で利用可能となる。例えば、複合機20に対する処理において、Aさんが所有するパソコン10からの要求ではカラー印刷が可能、Bさんが所有するパソコン10からの要求ではモノクロ印刷しか印刷できないように制限をかけることができる。つまり、単に機能を利用できるか否かで制限するよりも、より詳細な条件での利用制限を設けることができる。
【0056】
また、本実施例1では処理要求側の情報処理装置としてパソコン10を例に挙げているが、ネットワークに対応した装置であれば、例えば冷蔵庫、エアーコンディショナー、携帯電話でもよい。なお、これらが備える表示部は、自装置の各種設定が可能な程度にしか表示能力がなく、他のネットワーク装置へ処理要求をする際、例えばプリンタに印刷指示をする際、その表示能力の関係上、詳細な設定を指示することが困難である。しかしながら本実施例1のように、情報処理装置毎に適切な処理条件設定を予め認証装置30に記憶させておけば、利用者は処理要求の都度、詳細な設定をする必要がなく、ネットワーク装置40から提供される処理可能なネットワーク装置40を選択するだけでよい。そのため、表示能力に乏しい情報処理装置からでも認証装置30に予め設定された詳細な設定に基づいてネットワーク装置40を選択することができる。
【0057】
[パソコン10及び複合機20が実行する処理]
次に、上記のようなネットワーク認証システム1を実現するために、パソコン10及び複合機20が実行する処理について詳細に説明する。
【0058】
[パソコン10の処理実行要求処理]
まず、パソコン10で実行される処理実行要求処理について、図4のフローチャートに基づいて説明する。
【0059】
この処理実行要求処理を開始、すなわち、利用者がネットワーク装置40に何らかの処理を実行させようとすると、パソコン10は、まず、ネットワーク回線50内に、処理を実行させるネットワーク装置40が存在するか、またアクセス(利用)許可がされているかを確認するため、UPnP(登録商標)の技術仕様に準拠したマルチキャストパケットを送出する(S405)。このマルチキャストパケットで送出されるデバイス検索パケットにパソコン10のIPアドレスを埋め込むことにより、パソコン10によるネットワーク装置40へのアクセスの可否を判断する材料とすることができる。なお、このS405は図3(1)に対応する処理である。
【0060】
そして、ネットワーク装置40からアクセス許可の旨の返信があるか否かを判断し(S410)、いずれかのネットワーク装置40からの返信があったと判断すると(S410:YES)、表示部14にそれら返信のあったネットワーク装置40を選択可能に表示する。なお、このS410でYESという判断は、図3(4)に対応する処理である。ここまでの処理で、パソコン10がアクセス可能、すなわち何らかの機能の利用が許可されたネットワーク装置40を検索することができる。
【0061】
次に、パソコン10の利用者が返信のあったネットワーク装置40の内、処理を実行させたいネットワーク装置40を1つ選択し(S415)、パソコン10はその選択されたネットワーク装置40に、どのような機能の利用が可能かを問合せる。なお、このステップは図3(5)に対応する処理である。
【0062】
そして、ネットワーク装置40から利用可能な機能の情報を取得し(S420)、そのネットワーク装置40にその機能に設定された属性を問合わせる。なお、このステップは図3(8),図3(9)に対応する処理である。
【0063】
そして、ネットワーク装置40から属性情報を取得し(S425)、表示部14にそれら属性情報を表示し、利用者に確認させる(S430)。続いて、その表示されたネットワーク装置40に処理の実行を要求し(S435)、ネットワーク装置40から処理結果を受信して処理実行要求処理を終了する。なお、このS425,S430は図3(12)に、S435は図3(13)に対応する処理である。
【0064】
一方、S410でいずれのネットワーク装置40からも返信がないと判断すると(S410:NO)、ネットワーク回線50内にネットワーク装置40が存在しない、もしくは、アクセス許可されたネットワーク装置40が存在しないとして、処理実行要求処理を終了する。
【0065】
以上のパソコン10が実行する処理実行要求処理によると、パソコン10には、アクセス可能なネットワーク装置40であり、且つ、利用可能な機能のみが通知されるので、誤って処理不可能なネットワーク装置40に対して処理の要求を出してしまう虞がない。つまり、例えば、ネットワーク装置40の一つであるルータに対して印刷処理の実行を要求してしまう虞がない。また、パソコン10には、利用可能なネットワーク装置40だけが通知されるので、本ネットワーク認証システム1の利用者は、自分がどのネットワーク装置40へのアクセスが許可され、どの機能の利用が可能かを把握しておく必要がない。
【0066】
なお、上記実施例1では、S405で検索パケット内にIPアドレスを埋め込んでいるが、このステップの前に、パソコン10を特定する任意の情報を設定するステップを追加し、S405でIPアドレスの代わりにその設定した特定情報を検索パケットに組み込んでもよい。そして、認証テーブルではIPアドレスの代わりにその設定した特定情報を利用すれば、同様にネットワーク装置40の利用を制限することができる。そうすると、パソコン10をネットワーク回線50に接続する度にIPアドレスが変化するような環境下でも、パソコン10毎に適した利用制限をかけることができる。なお、パソコン10を特定する情報は、パソコン10の利用者が処理の実行を要求する前に、指紋読取リーダを用いて自己の指紋を読み取らせてそれをデータ化したものや、利用者が所有する携帯電話が備える認証キー(製造番号)をパソコン10に読み取らせたもの等、パソコン10を特定するものに限らず、利用者個人を特定するものであってもよい。
【0067】
また、S415ではアクセス可能なネットワーク装置40から処理を実行させたいネットワーク装置40を1つ選択しているが、特に1つを選択することに限られない。例えば、S410で複数のネットワーク装置40からアクセス可能である旨の返信があった場合、複数のネットワーク装置40を選択してもよい。そうすれば、一度に複数のネットワーク装置40に処理要求を出すことが可能であり、選択したネットワーク装置40が、その後の利用可能機能の問合せ処理[図3(5)参照]により利用が制限されてしまい、処理の実行が思うように進まないと可能性を減らすことができる。もちろん、複数のネットワーク装置40が選択できる場合は、選択したネットワーク装置40毎に利用可能な機能が表示部14に表示するように構成されるとよい。
【0068】
さらに、S420で取得した利用可能な機能が複数存在した場合、利用者に所望の機能を選択させて、その選択した機能に関する属性を複合機20に問合せてもよいし、取得した利用可能な機能すべての属性を問合せるように構成されていてもよい。
【0069】
[複合機20の認証処理]
次に、複合機20で実行される認証処理について、図5のフローチャートに基づいて説明する。
【0070】
複合機20は、常に処理要求を受け付けるように待機しており(S505)、何らかの信号を受信するとそれがパソコン10から送信される検索パケットか否かを判断する(S510)。そして、検索パケットであると判断すると(S510:YES)、その検索パケット内に検索パケットを送信してきたパソコン10のIPアドレスが埋め込まれているか否かを判断する(S515)。なお、このステップは、図3(1)に対応する処理である。
【0071】
ここで、IPアドレスが埋め込まれていると判断されると(S515:YES)、そのIPアドレスにより特定されるパソコン10が検索パケットを受信した複合機20の利用を許可されているか否かを認証装置30に照会する(S520,S525)。このS520,S525は、図3(2)に対応する処理である。なお、認証装置30は、記憶部32に記憶された認証テーブル(図2(A)参照)に基づいて利用の可否を判断する。この照会により認証テーブルの「アクセス」の項目が「許可」に設定されている、すなわち、パソコン10は複合機20へアクセスすることができると判断された返信を認証装置30から受けると(S525:YES)、その旨をパソコン10に送信する(S530)。なお、S525でYESのステップは、図3(3)に、S530は図3(4)に対応する処理である。続いて、パソコン10から次の指令を待つ(S505)。
【0072】
なお、S525でパソコン10は複合機20へのアクセス許可がない旨を認証装置30から受けると(S525:NO)、パソコン10には何も応答することなく、次の指令が来るまで待機する(S505)。
【0073】
また、S515で受信した検索パケット内にIPアドレスが埋め込まれていないと判断されると(S515:NO)、認証装置30に照会することができないので、その検索パケットを送信してきたパソコン10には何も応答することなく、次の指令が来るまで待機する(S505)。
【0074】
次いで、アクセス許可したパソコン10から受信したデータが、検索パケットではないと判断すると(S510:NO)、そのデータが複合機20のどの機能を利用することができるのかという問合せか否かを判断する(S535)。そして、機能の問合せであると判断すると(S535:YES)、そのパソコン10がどの機能の利用を許可されているかを認証装置30に照会する(S540)。このS535でYESは、図3(5)に対応し、S540は、図3(6),図3(7)に対応する処理である。そして、認証装置30から受け取った利用が許可された機能の情報をパソコン10に送信し(S545)、次の指令が来るまで待機する(S505)。このS545は、図3(8)に対応する処理である。なお、認証装置30は、認証テーブル及び機能テーブルを参照して利用許可された機能の判断をする。
【0075】
続いて、アクセス許可したパソコン10から受信したデータが、検索パケットでも、機能の問合せでもないと判断すると(S535:NO)、そのデータが利用許可された機能の属性に関する問合せか否かを判断する(S550)。そして、属性の問合せであると判断すると(S550:YES)、そのパソコン10が利用可能な機能の属性を認証装置30に照会する(S555)。このS550でYESは、図3(9)に対応し、S555は、図3(10),図3(11)に対応する処理である。そして、認証装置30から受け取った属性情報をパソコン10に送信し(S560)、次の指令が来るまで待機する(S505)。このS560は、図3(12)に対応する処理である。
【0076】
そして、アクセス許可したパソコン10から受信したデータが、検索パケットでも、機能の問合せでも、属性の問合せでもないと判断すると(S550:NO)、そのデータが利用許可された機能による処理の要求か否かを判断する(S565)。そして、処理の要求であると判断すると(S565:YES)、要求された処理を実行し(S570)、その処理結果を要求送信元のパソコン10に送信する(S575)。このS565でYESは、図3(13)に対応し、S570は、図3(14)、S575は、図3(15)に対応する処理である。そして、次の指令が来るまで待機する(S505)。
【0077】
一方、アクセス許可したパソコン10から受信したデータが、検索パケットでも、機能の問合せでも、属性の問合せでも、処理の要求でもないと判断すると(S565:NO)、処理に関する要求ではなかったと判断して、次の指令が来るまで待機する(S505)。
【0078】
以上の複合機20が実行する認証処理によると、検索パケット内にIPアドレスが含まれていない検索パケットを送ってくるパソコン10には、何も応答することはないので、IPアドレスを送ってこない不正利用を試みる利用者には複合機20を一切利用させないようにすることができる上、自らの存在をネットワーク回線50に接続された他のネットワーク装置40に知らせないように複合機20を設定しておけば、アクセス許可されていないパソコン10を含むネットワーク装置40に、その存在すら知られることはない。
【0079】
なお、認証装置30からの照会結果と照会の対象となったパソコン10との関係を、複合機20が備える記憶部25に記憶しておくようにしてもよい。そうすれば、同じパソコン10から再び同じ処理の実行要求があった場合、その記憶部25に記憶された対応関係を利用すればよいので、認証装置30への問合せ処理を省略でき、パソコン10への応答時間を短縮できるとともに、認証装置30へのアクセスに伴うネットワークトラフィックを軽減することができる。その場合、図5での認証処理におけるS520及びS540,S555では、認証装置30に照会にするのではなく、記憶部25に照会することになる。
【0080】
以上のように、ネットワーク認証システムの処理を実行してもよいが、さらに以下のように実行することにより、別の優れた効果を有することになる。
【0081】
ネットワーク認証システムの処理において、パソコン10が複合機20からアクセス許可の旨の情報を受け取ったら[図3(4)参照]、図3(5)〜(12)のステップを省略して、処理の要求を出すようにしてもよい[図3(13)参照]。そうすれば、単機能しか有しないネットワーク装置40、例えばプリンタでは、機能の問合せ(図3(5)参照)をしても単一の機能の返信しかないことは明らかであるので、そのような無駄な処理を省略することができ、その問合せに伴うネットワークトラフィックの軽減が図れるとともに、認証処理時間の短縮をすることができる。また、単機能しか有しないネットワーク装置40の場合、図3(5)〜(8)のステップだけを省略すれば、どのような属性で処理されるかを確認した後に、処理の要求を出すこともできる。
【0082】
なお、図3(1)において、複合機20は、パソコン10からIPアドレスを備えた検索パケットとともに、処理の要求を受けるように構成されていてもよい。そうすれば、そのパソコン10による利用が許可され、且つ、要求された処理内容を実行可能なネットワーク装置40が認証装置30の照会で検索されることになり、適切なネットワーク装置40が見つかれば、改めて処理の要求を出さなくても図3(1)での要求内容で処理の実行を行うことができる。
【0083】
また、処理の要求を複合機20に出した後に、その処理を実行できるか否かを判断して、実行できると判断された場合に処理の実行を行うようにしてもよい。つまり、図3での処理において、(5)〜(12)を省略し、(13)で処理要求を出した後に、その処理の実行が可能か否かを複合機20が認証装置30に問合せ、可能であると判断したら、処理を実行するようにしてもよい。
【0084】
また、処理の対象となるデータの種類によって、ネットワーク装置の利用を制限することも可能である。つまり、処理の要求を送信する前に、処理の対象となるデータの種類を特定する情報を複合機20に送信する。そして、複合機20は、その複合機20が備え、利用が許可された機能でその種類のデータを処理できるか否かを認証装置30に問合せ、処理可能であるとの応答が複合機20にあると、複合機20はその旨をパソコン10に送信する。パソコン10はその旨を受信すると、その処理の対象となるデータを複合機20に送信し、処理を実行させる。なお、認証装置30は、認証テーブルに記載されたデータ属性に従って、処理の可否を判断する。
【0085】
これにより、パソコン10には、データを処理可能なネットワーク装置が提供され、パソコン10は、その提供されたネットワーク装置に処理の実行させることができる。そのため、処理の対象となるデータに応じて利用可能なネットワーク装置を制限でき、パソコン10毎に、より詳細な利用制限を設定することができる。さらに、利用可能となったネットワーク装置だけが利用者に提供されるため、情報処理装置の利用者はいずれのネットワーク装置がどのような機能を備え、いずれの種類のデータを処理可能であるか把握していなくても、容易に処理の実行が可能なネットワーク装置に処理の要求を出すことができる。
【0086】
(実施例2)
以下、実施例1とは異なるネットワーク認証システムについて、具体的に説明する。なお、以下の説明では同一の構成及び処理手順については、詳細を省略し、相違する点のみを説明する。
【0087】
(ネットワーク認証システムによる処理)
ネットワーク認証システム1によるパソコン10,ネットワーク装置40,認証装置30を含めた全体の処理の流れについて、図面を用いて説明する。
【0088】
図6は、パソコン10とネットワーク装置40である複合機20及び認証装置30との間でやり取りされる各種データの伝送手順等を、時系列に沿って示したタイミングチャートである。上記実施例1との大きな違いは、ネットワーク装置40に処理を実行させたい場合、ネットワーク装置40にアクセスする前に、認証装置30にネットワーク装置40へのアクセス権があるか否かを問う点である。
【0089】
まず、パソコン10は、ネットワーク回線50内に接続されたネットワーク装置40で所望の処理を実行させるにあたり、パソコン10にいずれのネットワーク装置40へのアクセスが許可されているか、すなわち、利用許可があるかを認証装置30に問合わせる[図6(1)参照]。なお、このとき、パソコン10を特定する情報としてIPアドレスを認証装置30に送信する。
【0090】
認証装置30は、そのIPアドレスにより特定されるパソコン10が利用許可されているネットワーク装置40を認証テーブルに基づいて判断し[図6(2)参照]、そのアクセス許可されているネットワーク装置40の情報を利用許可証としてパソコン10に送信する[図6(3)参照]。なお、この利用許可証は認証装置30によるデジタル署名及び問合せをしたパソコン10のIPアドレスが付与されている。
【0091】
続いてパソコン10は、利用許可証を備えたデバイス検索パケットをネットワーク回線50内のネットワーク装置40に送信する[図6(4)参照]。そして、この検索パケットを受信した複合機20は、認証装置30の公開鍵でその利用許可証に付与されているデジタル署名が正しいものか否かを判断し[図6(5)参照]、正しいものであるとき、パソコン10に利用許可の情報の返信をする[図6(6)参照]。
【0092】
そして、パソコン10はその返信された利用許可情報に従って、処理の要求を複合機20に送信し[図6(7)参照]、複合機20はその処理を実行する[図6(8)参照]。複合機20は処理完了後、その処理結果をパソコン10に送信して[図6(9)参照]、ネットワーク認証システムによる一連の動作を終了する。なお、以上のネットワーク認証システムにおける各装置が実行する処理の詳細は後述する。
【0093】
以上のネットワーク認証システムによれば、認証装置30によりパソコン10毎に複合機20のアクセス(利用)を制限できる。さらに、利用許可証にはデジタル署名が付与されており、認証装置30が発行した公開鍵でしか複合化できないため、利用許可証の偽造を防止できる。その上、利用許可証にはIPアドレスも付与されているので、そのIPアドレスと、検索パケットを送信してきたパソコン10のIPアドレスを比較することにより、利用証明書の複製し利用許可証を受けた正規のパソコン10以外のパソコン10からの複合機20の不正使用を防止することができる。
【0094】
また、実施例1の効果と同様に、表示能力の乏しい情報処理装置でも認証装置30に予め設定された利用可能された機能,属性情報(認証テーブル及び機能テーブル)に基づいて提供される、利用許可されたネットワーク装置40を選択するだけでよいので、要求側の情報処理装置に適切な条件で処理の要求を出すことができる。
【0095】
[パソコン10及び複合機20が実行する処理]
次に、上記のようなネットワーク認証システム1を実現するために、パソコン10及び複合機20が実行する処理について詳細に説明する。
【0096】
[パソコン10の処理実行要求処理]
まず、パソコン10側で実行される処理実行要求処理について、図7のフローチャートに基づいて説明する。
【0097】
この処理実行要求処理を開始、すなわち、利用者がネットワーク装置40に何らかの処理を実行させようとすると、パソコン10は、まず、認証装置30にネットワーク回線50内に処理を実行させるネットワーク装置40が存在するか、また、利用が許可されているか否かを問合わせる(S705)。このS705は図6(1)に対応する処理である。なお、このとき、パソコン10を特定する情報としてIPアドレスを認証装置30に送信することにより、認証装置30はそのIPアドレスに基づいてパソコン10に利用許可されたネットワーク装置を判断する。この処理は図6(2)に対応する処理である。
【0098】
そして、認証装置30によりいずれかのネットワーク装置40の利用が許可されたと判断すると(S710:YES)、認証装置30から利用許可されたネットワーク装置40の情報が記載された利用許可証を受信する(S715)。このS715は図6(3)に対応する処理である。なお、この利用許可証には、認証装置30の秘密鍵により作成されたデジタル署名及びパソコン10から送信されたIPアドレスが付与されており、パソコン10が利用可能なネットワーク装置40がその利用可能な機能及び属性と対応付けて記載されている。
【0099】
続いて、パソコン10は、ネットワーク装置40に処理を実行させるため、ネットワーク回線50内に、利用許可証に記載されたネットワーク装置40が存在するか確認するため、検索パケットを送出する(S720)。このS720は図6(4)に対応する処理である。この検索パケットには、利用許可証が埋め込まれており、検索パケットを受け取ったネットワーク装置40は検索パケットを送信してきたパソコン10からの処理要求を受け入れることができるようになる。
【0100】
そして、ネットワーク装置40から利用許可の旨の返信があるか否かを判断し(S725)、いずれかのネットワーク装置40からの返信があったと判断すると(S725:YES)、表示部14にそれら返信のあったネットワーク装置40を選択可能に表示する。なお、このS725でYESという判断は、図6(6)に対応する処理である。
【0101】
ここまでの処理で、パソコン10が利用可能なネットワーク装置40を検索することができる。
【0102】
次に、パソコン10の利用者が返信のあったネットワーク装置40から処理を実行させたいネットワーク装置40を1つ選択し(S730)、パソコン10はその選択されたネットワーク装置40に、処理の実行を要求する(S735)。このS735は図6(7)に対応する処理である。
【0103】
一方、S725で一定時間経過しても、いずれのネットワーク装置40からも返信がないと判断すると(S725:NO)、ネットワーク回線50内にネットワーク装置40が存在しない、もしくは、利用不可能な状態になっている、さらには、利用許可証が正規のものではないと判断し、ネットワーク装置40に処理の要求を出すことなく、処理実行要求処理を終了する。
【0104】
また、S710で認証装置30からいずれのネットワーク装置40の利用許可が得られないと判断すると(S710:NO)、ネットワーク回線50内にはパソコン10が利用可能なネットワーク装置40が存在しないとして、処理実行要求処理を終了する。
【0105】
以上のパソコン10が実行する処理実行要求処理によると、パソコン10には、利用可能なネットワーク装置40だけが通知されるので、誤って利用制限されたネットワーク装置40に対して処理の要求を送ってしまう心配がない。
【0106】
さらに、ネットワーク装置40の利用が許可されている利用者にはデジタル署名及び利用者を特定するIPアドレスが付与された利用許可証によりネットワーク装置40の利用を制限できるとともに、利用許可がされていない利用者には、ネットワーク装置40の存在すら通知されないので、セキュアなネットワークを構築することが可能である。
【0107】
なお、上記実施例では、S705で認証装置30にパソコン10を特定する情報としてIPアドレスを送信しているが、このステップの前に、パソコン10を特定する任意の情報を設定するステップを追加し、その設定した情報を認証装置30に送信するようにしてもよい。そして、認証装置30は、その情報を元にパソコン10がいずれのネットワーク装置40を利用可能か否かを判断するようにするとよい。そうすれば、ネットワークに接続するたびにIPアドレスが変化するような環境下でも、パソコン10に適した利用制限をかけることができる。なお、パソコン10を特定する情報はIPアドレスである必要はなく、パソコン10、もしくはパソコン10の利用者を特定できればよい。その場合、認証テーブルの項目もIPアドレスではなく、パソコン10もしくは利用者を特定できる情報に変更する必要がある。
【0108】
また、S730では利用可能なネットワーク装置40の内から処理を実行させたいネットワーク装置40を1つ選択しているが、特に1つを選択することに限られない。例えば、S725で複数のネットワーク装置40からアクセス可能である旨の返信があった場合、複数のネットワーク装置40を選択してもよい。そうすれば、一度に複数のネットワーク装置40に処理要求を出すことが可能であり、複数のネットワーク装置40に同一指示を出したい場合、個別に指示を出す必要がなくなる。
【0109】
[複合機20の機能実行処理]
次に、ネットワーク装置40で実行される機能実行処理について、図8のフローチャートに基づいて説明する。なお、本実施例では、ネットワーク装置40の一例として複合機20を用いて説明する。
【0110】
複合機20は、常に処理要求を受け付けるように待機しており(S805)、何らかの信号を受信するとそれがパソコン10からの検索パケットか否かを判断する(S810)。そして、検索パケットであると判断すると(S810:YES)、その検索パケット内に利用許可証が埋め込まれているか否かを判断する(S815)。なお、このステップは、図6(4)に対応する処理である。
【0111】
そして、利用許可証が埋め込まれていると判断されると(S815:YES)、予め取得しておいた認証装置30の公開鍵でその利用許可証を復号化し、デジタル署名が正しいか否かを判断する(S820)。このS820は、図6(5)に対応する処理である。
【0112】
そして、正規の利用許可証であると判断されると(S820:YES)、パソコン10に利用可能である旨を送信し、処理の要求が送信されるまで待機する(S805)。このステップは、図6(6)に対応する処理である。
【0113】
一方、S820で利用許可証が正しくないと判断されると(S820:NO)、その利用許可証は偽造又は他のネットワーク認証システムでのものの可能性があり、本ネットワーク認証システム1では有効ではないので、その利用許可証を含む検索パケットを送信してきたパソコン10には何も応答せず、次の処理に移るため待機する(S805)。
【0114】
また、S815で利用許可証が埋め込まれた検索パケットではないと判断すると(S815:NO)、使用許可がされていないパソコン10からのアクセスと判断し、そのパソコン10には何も応答せず、次の処理に移るため待機する(S805)。
【0115】
次いで、パソコン10から受信したデータが、検索パケットではないと判断すると(S810:NO)、そのデータは処理の要求か否かを判断する(S830)。そして、処理の要求であると判断すると(S830:YES)、要求された処理を利用許可証に記載された機能及び属性に基づいて実行し(S835)、その処理結果を要求送信元のパソコン10に送信する(S840)。なお、このS830でYESは、図6(7)に対応し、S835は、図6(8)、S840は、図6(9)に対応する処理である。そして、次の指令が来るまで待機する(S805)。
【0116】
一方、パソコン10から受信したデータが、検索パケットでも、処理の要求でもないと判断すると(S830:NO)、処理の要求ではなかったとして、次の指令が来るまで待機する(S805)。
【0117】
以上の複合機20が実行する機能実行処理によると、利用許可証を含んでいない検索パケットを送ってくるパソコン10には、一切応答しないので、利用許可されていない不正利用をしようとする利用者にはネットワーク装置40を利用させないよう制限することができる。さらに、自らの存在をネットワーク回線50に接続された他のネットワーク装置40に知らせないように複合機20を設定しておけば、アクセス許可されていないパソコン10を含むネットワーク装置40に、その存在すら知られることはない。
【図面の簡単な説明】
【0118】
【図1】本発明の実施例1におけるネットワーク認証システムの構成を示した図
【図2】(A)は本発明の実施例1における認証テーブルを、(B)は、本発明の実施例1における機能テーブルを示した図
【図3】本発明の実施例1におけるネットワーク認証システムの動作について一例を示すタイミングチャート
【図4】本発明の実施例1における処理実行要求処理のフローを示す図
【図5】本発明の実施例1における認証処理のフローを示す図
【図6】本発明の実施例2におけるネットワーク認証システムの動作について一例を示すタイミングチャート
【図7】本発明の実施例2における処理実行要求処理のフローを示す図
【図8】本発明の実施例2における機能実行処理のフローを示す図
【符号の説明】
【0119】
10 パソコン(情報処理装置)
20 複合機(ネットワーク装置)
30 認証装置
40 ネットワーク装置
50 ネットワーク回線
【特許請求の範囲】
【請求項1】
予め定められた処理を実行する機能を備えたネットワーク装置と、
前記ネットワーク装置に前記処理の要求を出す情報処理装置と、
前記情報処理装置による前記ネットワーク装置の利用が許可されているか認証を行う認証装置と、
がネットワークを介して接続されるネットワーク認証システムであって、
前記情報処理装置は、
前記ネットワーク装置に該情報処理装置を特定する特定情報を送信する特定情報送信手段と、
前記認証装置により前記ネットワーク装置の利用が許可された認証情報を前記ネットワーク装置から受信する認証結果受信手段と、
前記認証結果受信手段が受信した前記認証情報の送信元の前記ネットワーク装置に対して前記処理の実行の要求を送信する処理実行要求手段と、
を備え、
前記ネットワーク装置は、
前記情報処理装置から送信される前記特定情報を受信する特定情報受信手段と、
前記特定情報受信手段が受信した前記特定情報により特定される前記情報処理装置が、該ネットワーク装置の利用を許可されているかを前記認証装置に問合わせる第1問合手段と、
前記第1問合手段の問合せに対して前記認証装置から前記情報処理装置による該ネットワーク装置の利用を許可する旨の応答があった場合、前記認証情報を前記特定情報の送信元の前記情報処理装置に送信する認証結果送信手段と、
を備え、
前記認証装置は、
前記ネットワーク装置と該ネットワーク装置の利用が許可された前記情報処理装置を特定する前記特定情報との対応関係を記憶する認証情報記憶手段と、
前記第1問合手段による問合わせに対し、該問合わせの対象となった前記特定情報により特定される前記情報処理装置が該問合わせを行った前記ネットワーク装置と対応付けて前記認証情報記憶手段に記憶されているか否かを判断する第1判断手段と、
前記第1判断手段により、問合わせの対象となった前記特定情報により特定される前記情報処理装置が該問合わせを行った前記ネットワーク装置と対応付けて前記認証情報記憶手段に記憶されていると判断された場合、該ネットワーク装置に利用許可の応答をする第1応答手段と、
を備えていることを特徴とするネットワーク認証システム。
【請求項2】
前記ネットワーク装置は、
前記情報処理装置から送信される前記処理の実行の要求が該ネットワーク装置で実行可能か否かを前記認証装置に問合わせる第2問合手段
を備え、
前記第2問合手段の問合わせに対して前記認証装置から該ネットワーク装置に前記処理の実行が可能である旨の応答があった場合、該処理を実行し、
前記認証装置は、
前記認証情報記憶手段に、さらに前記ネットワーク装置と該ネットワーク装置での利用が許可された機能との対応関係を記憶しており、
前記第2問合手段による問合わせに対し、該問合わせの対象となった前記機能が、該問合わせを行った前記ネットワーク装置と対応付けて前記認証情報記憶手段に記憶されているか否かを判断する第2判断手段と、
前記第2判断手段により、問合わせの対象となった前記機能が、該問合わせを行った前記ネットワーク装置と対応付けて前記認証情報記憶手段に記憶されていると判断された場合、該ネットワーク装置に処理の実行が可能である旨の応答をする第2応答手段と、
を備えていることを特徴とする請求項1に記載のネットワーク認証システム。
【請求項3】
前記処理は、前記情報処理装置から前記ネットワーク装置に対して送信される所定のデータに施す処理であって、
前記処理実行要求手段は、前記処理の要求と該処理の対象となるデータを送信し、
前記第2問合手段は、前記処理実行要求手段により送信された前記処理の対象となるデータが前記ネットワーク装置で処理が可能なデータであるか否かを前記認証装置に問い合わせ、
前記第2問合手段の問合わせに対して前記認証装置から該ネットワーク装置で処理が可能である旨の応答があった場合、該処理を実行する
ことを特徴とする請求項2記載のネットワーク認証システム。
【請求項4】
予め定められた処理を実行する機能手段と、前記処理の要求元を特定する特定情報を受信する特定情報受信手段と、前記特定情報受信手段が受信した前記特定情報により特定される前記要求元が、ネットワーク装置の利用を許可されている場合、前記利用の許可に係る認証情報を前記要求元に送信する認証結果送信手段と、を備える前記ネットワーク装置と、ネットワークを介して接続され、前記ネットワーク装置に前記処理の実行を要求する情報処理装置であって、
前記ネットワーク装置に該情報処理装置を特定する前記特定情報を送信する特定情報送信手段と、
前記認証装置により前記ネットワーク装置の利用が許可された前記認証情報を前記ネットワーク装置から受信する認証結果受信手段と、
前記認証結果受信手段が受信した前記認証情報の送信元の前記ネットワーク装置に対して前記処理の実行の要求を送信する処理実行要求手段と、
を備えることを特徴とする情報処理装置。
【請求項5】
予め定められた処理を実行する機能手段と、前記処理の要求元を特定する特定情報を受信する特定情報受信手段と、前記特定情報受信手段が受信した前記特定情報により特定される前記要求元が、ネットワーク装置の利用を許可されている場合、前記利用の許可に係る認証情報を前記要求元に送信する認証結果送信手段と、を備える前記ネットワーク装置と、ネットワークを介して接続され、前記ネットワーク装置に前記処理の実行を要求する情報処理装置を制御可能なコンピュータが読み取り可能なプログラムであって、
前記コンピュータを、
前記ネットワーク装置に前記情報処理装置を特定する前記特定情報を送信する特定情報送信手段と、
前記認証装置により前記ネットワーク装置の利用が許可された前記認証情報を前記ネットワーク装置から受信する認証結果受信手段と、
前記認証結果受信手段が受信した前記認証情報の送信元の前記ネットワーク装置に対して前記処理の実行の要求を送信する処理実行要求手段と、
して機能させるためのプログラム。
【請求項6】
処理の要求を出す情報処理装置と、
前記情報処理装置による、前記処理の要求先となる装置の利用の可否に関し、前記情報処理装置と、前記要求先となる装置と、の対応関係を記憶する認証情報記憶手段と、前記認証情報記憶手段が記憶する対応関係についての問合せに対して、応答する第1応答手段と、を備えた認証装置と、にネットワークを介して接続され、前記情報処理装置から要求される処理を実行するネットワーク装置であって、
前記情報処理装置から送信される前記情報処理装置を特定する特定情報を受信する特定情報受信手段と、
前記特定情報受信手段が受信した前記特定情報により特定される前記情報処理装置が、該ネットワーク装置の利用を許可されているかを前記認証装置に問合わせる問合手段と、
前記問合手段の問合せに対して前記認証装置から前記情報処理装置による該ネットワーク装置の利用を許可する旨の応答があった場合、前記認証情報を前記特定情報の送信元の前記情報処理装置に送信する認証結果送信手段と、
を備えることを特徴とするネットワーク装置。
【請求項7】
処理の要求を出す情報処理装置と、
前記情報処理装置による、前記処理の要求先となる装置の利用の可否に関し、前記情報処理装置と、前記要求先となる装置と、の対応関係を記憶する認証情報記憶手段と、前記認証情報記憶手段が記憶する対応関係についての問合せに対して、応答する第1応答手段と、を備えた認証装置と、にネットワークを介して接続され、前記情報処理装置から要求される処理を実行するネットワーク装置を制御可能なコンピュータが読み取り可能なプログラムであって、
前記コンピュータを、
前記情報処理装置から送信される前記情報処理装置を特定する特定情報を受信する特定情報受信手段と、
前記特定情報受信手段が受信した前記特定情報により特定される前記情報処理装置が、該ネットワーク装置の利用を許可されているかを前記認証装置に問合わせる問合手段と、
前記問合手段の問合せに対して前記認証装置から前記情報処理装置による該ネットワーク装置の利用を許可する旨の応答があった場合、前記認証情報を前記特定情報の送信元の前記情報処理装置に送信する認証結果送信手段と、
して機能させるためのプログラム。
【請求項1】
予め定められた処理を実行する機能を備えたネットワーク装置と、
前記ネットワーク装置に前記処理の要求を出す情報処理装置と、
前記情報処理装置による前記ネットワーク装置の利用が許可されているか認証を行う認証装置と、
がネットワークを介して接続されるネットワーク認証システムであって、
前記情報処理装置は、
前記ネットワーク装置に該情報処理装置を特定する特定情報を送信する特定情報送信手段と、
前記認証装置により前記ネットワーク装置の利用が許可された認証情報を前記ネットワーク装置から受信する認証結果受信手段と、
前記認証結果受信手段が受信した前記認証情報の送信元の前記ネットワーク装置に対して前記処理の実行の要求を送信する処理実行要求手段と、
を備え、
前記ネットワーク装置は、
前記情報処理装置から送信される前記特定情報を受信する特定情報受信手段と、
前記特定情報受信手段が受信した前記特定情報により特定される前記情報処理装置が、該ネットワーク装置の利用を許可されているかを前記認証装置に問合わせる第1問合手段と、
前記第1問合手段の問合せに対して前記認証装置から前記情報処理装置による該ネットワーク装置の利用を許可する旨の応答があった場合、前記認証情報を前記特定情報の送信元の前記情報処理装置に送信する認証結果送信手段と、
を備え、
前記認証装置は、
前記ネットワーク装置と該ネットワーク装置の利用が許可された前記情報処理装置を特定する前記特定情報との対応関係を記憶する認証情報記憶手段と、
前記第1問合手段による問合わせに対し、該問合わせの対象となった前記特定情報により特定される前記情報処理装置が該問合わせを行った前記ネットワーク装置と対応付けて前記認証情報記憶手段に記憶されているか否かを判断する第1判断手段と、
前記第1判断手段により、問合わせの対象となった前記特定情報により特定される前記情報処理装置が該問合わせを行った前記ネットワーク装置と対応付けて前記認証情報記憶手段に記憶されていると判断された場合、該ネットワーク装置に利用許可の応答をする第1応答手段と、
を備えていることを特徴とするネットワーク認証システム。
【請求項2】
前記ネットワーク装置は、
前記情報処理装置から送信される前記処理の実行の要求が該ネットワーク装置で実行可能か否かを前記認証装置に問合わせる第2問合手段
を備え、
前記第2問合手段の問合わせに対して前記認証装置から該ネットワーク装置に前記処理の実行が可能である旨の応答があった場合、該処理を実行し、
前記認証装置は、
前記認証情報記憶手段に、さらに前記ネットワーク装置と該ネットワーク装置での利用が許可された機能との対応関係を記憶しており、
前記第2問合手段による問合わせに対し、該問合わせの対象となった前記機能が、該問合わせを行った前記ネットワーク装置と対応付けて前記認証情報記憶手段に記憶されているか否かを判断する第2判断手段と、
前記第2判断手段により、問合わせの対象となった前記機能が、該問合わせを行った前記ネットワーク装置と対応付けて前記認証情報記憶手段に記憶されていると判断された場合、該ネットワーク装置に処理の実行が可能である旨の応答をする第2応答手段と、
を備えていることを特徴とする請求項1に記載のネットワーク認証システム。
【請求項3】
前記処理は、前記情報処理装置から前記ネットワーク装置に対して送信される所定のデータに施す処理であって、
前記処理実行要求手段は、前記処理の要求と該処理の対象となるデータを送信し、
前記第2問合手段は、前記処理実行要求手段により送信された前記処理の対象となるデータが前記ネットワーク装置で処理が可能なデータであるか否かを前記認証装置に問い合わせ、
前記第2問合手段の問合わせに対して前記認証装置から該ネットワーク装置で処理が可能である旨の応答があった場合、該処理を実行する
ことを特徴とする請求項2記載のネットワーク認証システム。
【請求項4】
予め定められた処理を実行する機能手段と、前記処理の要求元を特定する特定情報を受信する特定情報受信手段と、前記特定情報受信手段が受信した前記特定情報により特定される前記要求元が、ネットワーク装置の利用を許可されている場合、前記利用の許可に係る認証情報を前記要求元に送信する認証結果送信手段と、を備える前記ネットワーク装置と、ネットワークを介して接続され、前記ネットワーク装置に前記処理の実行を要求する情報処理装置であって、
前記ネットワーク装置に該情報処理装置を特定する前記特定情報を送信する特定情報送信手段と、
前記認証装置により前記ネットワーク装置の利用が許可された前記認証情報を前記ネットワーク装置から受信する認証結果受信手段と、
前記認証結果受信手段が受信した前記認証情報の送信元の前記ネットワーク装置に対して前記処理の実行の要求を送信する処理実行要求手段と、
を備えることを特徴とする情報処理装置。
【請求項5】
予め定められた処理を実行する機能手段と、前記処理の要求元を特定する特定情報を受信する特定情報受信手段と、前記特定情報受信手段が受信した前記特定情報により特定される前記要求元が、ネットワーク装置の利用を許可されている場合、前記利用の許可に係る認証情報を前記要求元に送信する認証結果送信手段と、を備える前記ネットワーク装置と、ネットワークを介して接続され、前記ネットワーク装置に前記処理の実行を要求する情報処理装置を制御可能なコンピュータが読み取り可能なプログラムであって、
前記コンピュータを、
前記ネットワーク装置に前記情報処理装置を特定する前記特定情報を送信する特定情報送信手段と、
前記認証装置により前記ネットワーク装置の利用が許可された前記認証情報を前記ネットワーク装置から受信する認証結果受信手段と、
前記認証結果受信手段が受信した前記認証情報の送信元の前記ネットワーク装置に対して前記処理の実行の要求を送信する処理実行要求手段と、
して機能させるためのプログラム。
【請求項6】
処理の要求を出す情報処理装置と、
前記情報処理装置による、前記処理の要求先となる装置の利用の可否に関し、前記情報処理装置と、前記要求先となる装置と、の対応関係を記憶する認証情報記憶手段と、前記認証情報記憶手段が記憶する対応関係についての問合せに対して、応答する第1応答手段と、を備えた認証装置と、にネットワークを介して接続され、前記情報処理装置から要求される処理を実行するネットワーク装置であって、
前記情報処理装置から送信される前記情報処理装置を特定する特定情報を受信する特定情報受信手段と、
前記特定情報受信手段が受信した前記特定情報により特定される前記情報処理装置が、該ネットワーク装置の利用を許可されているかを前記認証装置に問合わせる問合手段と、
前記問合手段の問合せに対して前記認証装置から前記情報処理装置による該ネットワーク装置の利用を許可する旨の応答があった場合、前記認証情報を前記特定情報の送信元の前記情報処理装置に送信する認証結果送信手段と、
を備えることを特徴とするネットワーク装置。
【請求項7】
処理の要求を出す情報処理装置と、
前記情報処理装置による、前記処理の要求先となる装置の利用の可否に関し、前記情報処理装置と、前記要求先となる装置と、の対応関係を記憶する認証情報記憶手段と、前記認証情報記憶手段が記憶する対応関係についての問合せに対して、応答する第1応答手段と、を備えた認証装置と、にネットワークを介して接続され、前記情報処理装置から要求される処理を実行するネットワーク装置を制御可能なコンピュータが読み取り可能なプログラムであって、
前記コンピュータを、
前記情報処理装置から送信される前記情報処理装置を特定する特定情報を受信する特定情報受信手段と、
前記特定情報受信手段が受信した前記特定情報により特定される前記情報処理装置が、該ネットワーク装置の利用を許可されているかを前記認証装置に問合わせる問合手段と、
前記問合手段の問合せに対して前記認証装置から前記情報処理装置による該ネットワーク装置の利用を許可する旨の応答があった場合、前記認証情報を前記特定情報の送信元の前記情報処理装置に送信する認証結果送信手段と、
して機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2007−206810(P2007−206810A)
【公開日】平成19年8月16日(2007.8.16)
【国際特許分類】
【出願番号】特願2006−22544(P2006−22544)
【出願日】平成18年1月31日(2006.1.31)
【出願人】(000005267)ブラザー工業株式会社 (13,856)
【Fターム(参考)】
【公開日】平成19年8月16日(2007.8.16)
【国際特許分類】
【出願日】平成18年1月31日(2006.1.31)
【出願人】(000005267)ブラザー工業株式会社 (13,856)
【Fターム(参考)】
[ Back to top ]