情報処理装置及び情報処理プログラム
【課題】他人の利用権限に基づいて設定された利用権限を解除する場合にあって、利用者が解除を行いたいときに解除の操作ができ、その操作は本構成を有していない場合に比較して軽減させるようにした情報処理装置を提供する。
【解決手段】情報処理装置の利用者情報受取手段は、第1の利用者に関する情報及び第2の利用者に関する情報を受け取り、利用権限解除手段は、前記第2の利用者に設定されている機器に対する利用権限は、前記第1の利用者に設定されている機器に対する利用権限に基づいて設定されたものである場合に、該第2の利用者に設定されている機器に対する該利用権限を解除する。
【解決手段】情報処理装置の利用者情報受取手段は、第1の利用者に関する情報及び第2の利用者に関する情報を受け取り、利用権限解除手段は、前記第2の利用者に設定されている機器に対する利用権限は、前記第1の利用者に設定されている機器に対する利用権限に基づいて設定されたものである場合に、該第2の利用者に設定されている機器に対する該利用権限を解除する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置及び情報処理プログラムに関する。
【背景技術】
【0002】
利用権限が設定された者だけに対して、例えば、複写機等の機器を利用できるようにする管理が行われている。
これに関連する技術として、例えば、特許文献1には、カードを用いた認証システムにおいて、異なるカード間のよりセキュアな権限委譲を実現可能とすることを課題とし、操作部を備え、当該操作部による操作指示に応じた処理を行う情報処理装置であって、アクセス権限情報と認証情報とを記憶しているカードを読み取るカードリーダと、操作部により入力された情報とカードリーダにより読み取った認証情報とに基づいて、当該カードの認証の可否を判定する判定手段と、判定手段で認証可と判定した場合であって、操作部による処理開始指示の入力待ち状態中にカードリーダが他のカードを読み取った場合、従前に読み取ったカードのアクセス権限情報を、一時的に、他のカードのアクセス権限情報を含むように変更するアクセス権限変更手段と、操作部から処理開始指示の入力を検出したとき、当該検出の時点でのアクセス権限情報の範囲の処理を実行する制御手段とを備えることが開示されている。
【0003】
また、例えば、特許文献2には、管理者が行う認証情報の登録又は削除等の煩雑な操作を軽減することを課題とし、複合機は、ICカードから読み取ったカードIDをICカード認証サーバに送信して認証結果を取得し、該認証結果が認証成功を示す場合、当該複合機の使用を許可し、一方、前記認証結果が認証失敗を示し、ICカード認証サーバから当該カードIDの登録を行うか問い合わせされた場合、操作部より入力されるユーザ名をICカード認証サーバに送信して、該ユーザ名と前記認証に失敗したカードIDとを紐付けて登録させる構成を特徴とすることが開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2008−262422号公報
【特許文献2】特開2008−181491号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
従来の情報処理装置では、利用権限を解除するために操作パネル上での操作が必要であるか、又は予め定められた時間ログインしていない等のタイムアウト処理を必要としていた。
本発明は、他人の利用権限に基づいて設定された利用権限を解除する場合にあって、利用者が解除を行いたいときに解除の操作ができ、その操作は本構成を有していない場合に比較して軽減させるようにした情報処理装置及び情報処理プログラムを提供することを目的としている。
【課題を解決するための手段】
【0006】
かかる目的を達成するための本発明の要旨とするところは、次の各項の発明に存する。
請求項1の発明は、第1の利用者に関する情報及び第2の利用者に関する情報を受け取る利用者情報受取手段と、前記第2の利用者に設定されている機器に対する利用権限は、前記第1の利用者に設定されている機器に対する利用権限に基づいて設定されたものである場合に、該第2の利用者に設定されている機器に対する該利用権限を解除する利用権限解除手段を具備することを特徴とする情報処理装置である。
【0007】
請求項2の発明は、前記第2の利用者を識別する第2の利用者識別符号と該第2の利用者に設定されている機器に対する利用権限を設定したときの元となっている前記第1の利用者を識別する第1の利用者識別符号と該第2の利用者が利用権限を有している機器を識別する機器識別符号を対応させて記憶する記憶手段をさらに具備し、前記利用権限解除手段は、前記利用者情報受取手段によって受け取られた第1の利用者に関する情報及び第2の利用者に関する情報に基づいて、前記記憶手段に記憶されている前記第2の利用者識別符号に対応した機器識別符号を削除することによって機器に対する利用権限を解除することを特徴とする請求項1に記載の情報処理装置である。
【0008】
請求項3の発明は、利用者に関する情報を受け取る利用者情報受取手段と、前記利用者情報受取手段によって受け取られた第1の利用者に関する情報に基づいて、該第1の利用者に設定されている機器に対する利用権限に基づいて設定された第2の利用者の機器に対する利用権限を解除する利用権限解除手段を具備することを特徴とする情報処理装置である。
【0009】
請求項4の発明は、利用者に関する情報を受け取る利用者情報受取手段と、前記利用者情報受取手段によって受け取られた第2の利用者に設定された機器に対する利用権限は、第1の利用者に設定された機器に対する利用権限に基づいて設定されたものである場合に、該第2の利用者に設定された機器に対する利用権限を解除する利用権限解除手段を具備することを特徴とする情報処理装置である。
【0010】
請求項5の発明は、前記利用者に関する情報は携帯可能な媒体に格納されており、前記利用者情報受取手段が受け取る利用者に関する情報は、該媒体に格納されている情報から読み取ったものであることを特徴とする請求項1から4のいずれか一項に記載の情報処理装置である。
【0011】
請求項6の発明は、コンピュータを、第1の利用者に関する情報及び第2の利用者に関する情報を受け取る利用者情報受取手段と、前記第2の利用者に設定されている機器に対する利用権限は、前記第1の利用者に設定されている機器に対する利用権限に基づいて設定されたものである場合に、該第2の利用者に設定されている機器に対する該利用権限を解除する利用権限解除手段として機能させることを特徴とする情報処理プログラムである。
【発明の効果】
【0012】
請求項1記載の情報処理装置によれば、他人の利用権限に基づいて設定された利用権限を解除する場合にあって、利用者が解除を行いたいときに解除の操作ができ、その操作は本構成を有していない場合に比較して軽減されたものとすることができる。
【0013】
請求項2記載の情報処理装置によれば、本構成を有していない場合に比較して、利用権限の管理を容易にすることができる。
【0014】
請求項3記載の情報処理装置によれば、第1の利用者に関する情報を受け取るだけで、該第1の利用者の利用権限に基づいて設定された第2の利用者の利用権限を解除することができる。
【0015】
請求項4記載の情報処理装置によれば、第2の利用者に関する情報を受け取るだけで、他者の利用権限に基づいて設定された該第2の利用者の利用権限を解除することができる。
【0016】
請求項5記載の情報処理装置によれば、本構成を有していない場合に比較して、利用権限を解除する操作を軽減させることができる。
【0017】
請求項6記載の情報処理プログラムによれば、他人の利用権限に基づいて設定された利用権限を解除する場合にあって、利用者が解除を行いたいときに解除の操作ができ、その操作は本構成を有していない場合に比較して軽減されたものとすることができる。
【図面の簡単な説明】
【0018】
【図1】本実施の形態の構成例についての概念的なモジュール構成図である。
【図2】本実施の形態によるアクセス権に応じて機器を利用する場合の処理例を示すフローチャートである。
【図3】本実施の形態によるアクセス権の付与処理例を示す説明図である。
【図4】本実施の形態によるアクセス権の付与処理例を示すフローチャートである。
【図5】アクセス権情報テーブルのデータ構造例を示す説明図である。
【図6】アクセス権を設定した後のアクセス権情報テーブルのデータ構造例を示す説明図である。
【図7】本実施の形態によるアクセス権の解除処理例を示す説明図である。
【図8】本実施の形態によるアクセス権の解除処理例を示すフローチャートである。
【図9】アクセス権を解除する前のアクセス権情報テーブルのデータ構造例を示す説明図である。
【図10】アクセス権を解除した後のアクセス権情報テーブルのデータ構造例を示す説明図である。
【図11】本実施の形態によるアクセス権の解除処理例を示す説明図である。
【図12】本実施の形態によるアクセス権の解除処理例を示す説明図である。
【図13】アクセス権の付与・解除処理例(1)を示す説明図である。
【図14】アクセス権の付与・解除処理例(2)を示す説明図である。
【図15】アクセス権の付与・解除処理例(3)を示す説明図である。
【図16】アクセス権の付与・解除処理例(4)を示す説明図である。
【図17】アクセス権情報テーブルのデータ構造例を示す説明図である。
【図18】本実施の形態を実現するコンピュータのハードウェア構成例を示すブロック図である。
【発明を実施するための形態】
【0019】
以下、図面に基づき本発明を実現するにあたっての好適な実施の形態の例を説明する。
図1は、本実施の形態の構成例についての概念的なモジュール構成図を示している。
なお、モジュールとは、一般的に論理的に分離可能なソフトウェア(コンピュータ・プログラム)、ハードウェア等の部品を指す。したがって、本実施の形態におけるモジュールはコンピュータ・プログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。それゆえ、本実施の形態は、コンピュータ・プログラム、システム及び方法の説明をも兼ねている。ただし、説明の都合上、「記憶する」、「記憶させる」、これらと同等の文言を用いるが、これらの文言は、実施の形態がコンピュータ・プログラムの場合は、記憶装置に記憶させる、又は記憶装置に記憶させるように制御するの意である。また、モジュールは機能にほぼ一対一に対応しているが、実装においては、1モジュールを1プログラムで構成してもよいし、複数モジュールを1プログラムで構成してもよく、逆に1モジュールを複数プログラムで構成してもよい。また、複数モジュールは1コンピュータによって実行されてもよいし、分散又は並列環境におけるコンピュータによって1モジュールが複数コンピュータで実行されてもよい。なお、1つのモジュールに他のモジュールが含まれていてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続(データの授受、指示、データ間の参照関係等)の場合にも用いる。
また、システム又は装置とは、複数のコンピュータ、ハードウェア、装置等がネットワーク(一対一対応の通信接続を含む)等の通信手段で接続されて構成されるほか、1つのコンピュータ、ハードウェア、装置等によって実現される場合も含まれる。「装置」と「システム」とは、互いに同義の用語として用いる。「予め定められた」とは、対象としている処理の前に定まっていることをいい、本実施の形態による処理が始まる前はもちろんのこと、本実施の形態による処理が始まった後であっても、対象としている処理の前であれば、そのときの状況・状態に応じて、又はそれまでの状況・状態に応じて定まることの意を含めて用いる。
【0020】
また、アクセス権とは、利用者が複写機、コンピュータ等の機器を利用するための権限のことをいう。
利用者に関する情報として、利用者を特定できる情報が含まれていればよく、例えば、携帯可能な媒体(例えば、ICカード等)に格納されている利用者を識別する利用者ID(IDentification)、その他に指紋、静脈等の生体情報などがある。そして、利用者情報を受け取る装置として、例えば、ICカードリーダ、生体情報センサ等がある。
また、利用者には機器に対するアクセス権が設定されている。なお、ICカードに設定されているアクセス権であったとしてもそのICカードと利用者が一対一に対応しているものである場合(常に対応している必要は必ずしもなく、そのように対応している期間があればよい)は利用者に機器に対するアクセス権が設定されているとして扱う。つまり、カードIDも利用者に関する情報である。また、利用者には複数人の利用者によって構成されているグループも含む。
本実施の形態においては、利用者はICカードを有しており、利用者に関する情報としてカードIDを含み、そのICカードを読み取るものとしてICカードリーダを主に例示する。
【0021】
機器利用アクセス権制御装置180は、図1に示すように認証モジュール120、アクセス権処理モジュール130、認証情報DB140を有している。認証モジュール120、アクセス権処理モジュール130、認証情報DB140は、それぞれ接続されている。
認証モジュール120には、ICカードリーダ110が接続されている。
機器として、例えば、スキャナ150A、プリンタ150B、PC150C、プロジェクタ150Dがある。機器には、ICカードリーダ111(図1ではICカードリーダ111A〜ICカードリーダ111D)が接続されており、また、通信回線191を介して機器利用アクセス権制御装置180と接続されている。各機器を利用するためには、その機器に接続されているICカードリーダ111にICカードをかざす必要があり、そのICカードにはその機器に対するアクセス権が設定されているカードIDが記憶されている必要がある。
【0022】
また、利用者として何らかのアクセス権を有している利用者と来訪者のように基本的にはアクセス権を有していない利用者がいる。前者を機器利用可能利用者又は単に利用者といい、後者を機器利用不可能利用者又は来訪者という。ただし、機器利用不可能利用者であったとしても何らアクセス権を有していない者である必要はなく、予め定められた機器に対してアクセス権を有していてもよい。つまり、前者の利用者はある機器に対してアクセス権があり、後者の利用者はその機器に対してアクセス権がない者であるという関係があればよい。
【0023】
ICカードリーダ110は、ICカード100を読み取る。つまり、各利用者はICカード100を有しており、そのICカード100をICカードリーダ110にかざすことによって、ICカードリーダ110は、ICカード100内に格納されているカードIDを読み取る。そして、そのカードIDを認証モジュール120へ渡す。
また、ICカードリーダ110は、スキャナ150A等の機器に接続されているICカードリーダ111A等と異なり、利用者が利用できる機器には接続されていない。つまり、ICカードリーダ110は、ICカードリーダ111A等とは別個にあるものであり、例えば、部屋の出入り口、机上等に設置されているものである。
【0024】
認証モジュール120は、ICカードリーダ110からICカード100のカードIDを受け取る。そして、認証情報DB140に格納されている認証情報を用いて認証処理を行い、またアクセス権処理モジュール130へ利用者へのアクセス権の付与、又は解除等の管理のためにカードIDを渡す。ここでの認証処理とは、例えば、その部屋へ入室できる者であるか否かを判断する等がある。ここでの認証処理とは、例えば、そのICカード100は正式に発行されたものであるか否かを判断する等がある。具体的には、そのICカード100に格納されているカードIDは認証情報DB140に記憶されているか否かによって判断する。
【0025】
認証情報DB140は、認証モジュール120、アクセス権処理モジュール130からアクセスされ、認証のための情報、アクセス権の管理のための情報を記憶している。
第2の利用者を識別する第2の利用者識別符号とその第2の利用者に設定されている機器に対するアクセス権を設定したときの元となっている第1の利用者を識別する第1の利用者識別符号とその第2の利用者がアクセス権を有している機器を識別する機器識別符号を対応させて記憶する。より具体的には、例えば、カードID(B)とそのカードID(B)に設定されているアクセス権を設定したときの元となっているカードID(A)とカードID(B)がアクセス権を有している機器を識別する機器IDを対応させて記憶する。なお、認証モジュール120が受け取った利用者に関する情報と認証情報DB140に記憶されている利用者識別符号は必ずしも同一である必要はなく、利用者に関する情報から利用者識別符号を導出できればよい。
また、認証情報DB140は、認証モジュール120による認証処理のための情報を記憶していてもよい。例えば、その部屋へ入室できる者が有しているICカード100のカードID等を記憶していてもよい。
【0026】
アクセス権処理モジュール130は、認証モジュール120からカードIDを受け取り、利用者へのアクセス権の付与、又は解除等の管理を行う。
より具体的には、認証モジュール120から複数のICカード100のカードIDを受け取り、一方のカードID(A)に設定されているアクセス権を他方のカードID(B)に設定する。
【0027】
また、ICカードリーダ110から複数のカードIDを受け取り、カードID(B)に設定されているアクセス権は、カードID(A)に設定されているアクセス権に基づいて設定されたものである場合に、そのカードID(B)に設定されているアクセス権を解除するようにしてもよい。
さらに具体的には、アクセス権処理モジュール130は、ICカードリーダ110から受け取ったカードID(A)及びカードID(B)に基づいて、認証情報DB140に記憶されているカードID(B)に対応した機器IDを削除することによってその機器に対するアクセス権を解除するようにしてもよい。なお、認証モジュール120が受け取った利用者に関する情報と認証情報DB140に記憶されている利用者識別符号は必ずしも同一である必要はなく、利用者に関する情報から利用者識別符号を導出できればよい。
【0028】
なお、以下、特に断らない限り、カードID(B)に設定されているアクセス権は、カードID(A)に設定されているアクセス権に基づいて設定されたものであるとして説明する。
また、アクセス権処理モジュール130は、認証モジュール120がカードID(B)を受け取った後にカードID(A)を受け取った場合(つまり、予め定められた順番、例えば、カードID(B)、カードID(A)の順番に受け取った場合)に、そのカードID(B)に設定されているアクセス権を解除するようにしてもよい。
また、アクセス権処理モジュール130は、認証モジュール120がカードID(A)を受け取ったときから予め定められた期間内にカードID(B)を受け取った場合に、そのカードID(B)に設定されているアクセス権を解除するようにしてもよい。
また、アクセス権処理モジュール130は、認証モジュール120がカードID(A)を受け取った後であって、該ICカードリーダ110からカードID(A)を取り去るまでの間に、カードID(B)を受け取った場合に、そのカードID(B)に設定されているアクセス権を解除するようにしてもよい。つまり、ICカードリーダ110では、2つのカード(ICカード100A、ICカード100B)が重ねられた状態になった場合に、アクセス権の解除を行う。
【0029】
また、アクセス権処理モジュール130は、ICカードリーダ110から受け取ったカードID(A)に基づいて、そのカードID(A)に設定されているアクセス権に基づいて設定されたカードID(B)のアクセス権を解除するようにしてもよい。これは、ICカードリーダ110ではICカード100Aだけがかざされた場合である。ここでのカードID(B)は複数であってもよい。つまり、カードID(A)に設定されている機器に対するアクセス権に基づいて設定された他者(カードID(A)以外のカードID)のアクセス権を解除対象とする。
【0030】
また、アクセス権処理モジュール130は、ICカードリーダ110から受け取ったカードID(B)に設定されたアクセス権は、カードID(A)に設定されたアクセス権に基づいて設定されたものである場合に、そのカードID(B)に設定されたアクセス権を解除するようにしてもよい。これは、ICカードリーダ110ではICカード100Bだけがかざされた場合である。ここでのカードID(A)は複数であってもよい。つまり、他者(カードID(B)以外のカードID)に設定されたアクセス権に基づいて設定されたアクセス権を解除対象とする。
【0031】
図2は、本実施の形態によるアクセス権に応じて機器(スキャナ150A等)を利用する場合の処理例を示すフローチャートである。
ステップS202では、利用者200は、自分が所有しているICカードを機器150に接続されているICカードリーダ111にかざす。
ステップS204では、ICカードリーダ111は、ICカード内の情報を読み込む。ここでは情報としてカードIDを少なくとも含む。
ステップS206では、機器150は、機器利用アクセス権制御装置180内の認証モジュール120へ読み込んだ情報を送信する。また、機器150を識別する識別符号をともに送信してもよい。
【0032】
ステップS208では、認証モジュール120は、機器150からの情報を受け取り、そのICカードを有している者は、機器150に対するアクセス権を有しているか否かの判断である認証処理(ステップS208からステップS214まで)を行う。つまり、ICカード内に記憶されているカードIDのアクセス権情報を認証情報DB140に対して要求する。
ステップS210では、認証情報DB140は、認証モジュール120からの要求に基づいて、そのカードIDに対応するアクセス権情報を提供する。
ステップS212では、認証モジュール120は、認証情報DB140から受け取ったアクセス権情報に機器150に対するアクセス権が含まれているか否かを判断する。
ステップS214では、認証モジュール120は、機器150に対して利用可否の判断結果(アクセス権があれば利用可能、アクセス権がなければ利用不可)を通知する。
【0033】
ステップS216では、機器150は、認証モジュール120から受け取った利用可否の判断結果に応じて動作する。具体的には、利用可の判断結果を受け取った場合には、利用者200に対して操作可能であることを提示して、操作を受け付けて処理を行う。利用不可の判断結果を受け取った場合には、アクセス権がない旨を提示して利用者200の操作を受け付けない。
【0034】
図3は、本実施の形態によるアクセス権の付与処理例を示す説明図である。
利用者による操作としては、まず、機器利用可能利用者400Aが機器利用アクセス権制御装置180に接続されているICカードリーダ110に対してICカード100Aをかざす。そして、そのICカード100Aが取り去られる前に、機器利用不可能利用者400BがICカード100Bをかざす。これによって、機器利用可能利用者400Aに設定されているアクセス権が機器利用不可能利用者400Bにも設定される。
【0035】
図4は、本実施の形態によるアクセス権の付与処理例を示すフローチャートである。
ステップS402では、機器利用可能利用者400Aは、自分が所有しているICカード100Aを機器利用アクセス権制御装置180に接続されているICカードリーダ110にかざす。
ステップS404では、ICカードリーダ110は、ICカード100A内の情報を読み込む。ここでは情報としてカードID(Card_A)を少なくとも含む。
ステップS406では、認証モジュール120は、ICカード100Aを所有している機器利用可能利用者400Aの認証処理を行う。ここでの認証処理とは、例えば、その部屋へ入室できる者であるか否かを判断する等がある。
【0036】
ステップS412では、機器利用不可能利用者400Bは、自分が所有しているICカード100Bを機器利用アクセス権制御装置180に接続されているICカードリーダ110にかざす。なお、機器利用可能利用者400AによってICカード100Aが取り去られる(ステップS422)前に、ICカード100Bがかざされたものを本処理の対象としてもよい。また、ICカード100Aがかざされた後、予め定められた期間内にICカード100Bがかざされたものを本処理の対象としてもよい。
ステップS414では、ICカードリーダ110は、ICカード100B内の情報を読み込む。ここでは情報としてカードID(Card_B)を少なくとも含む。
ステップS416では、認証モジュール120は、ICカード100Bを所有している機器利用不可能利用者400Bの認証処理を行う。ここでの認証処理とは、例えば、その部屋へ入室できる者であるか否かを判断する等がある。
【0037】
ステップS418では、認証モジュール120は、複数のカードIDを受け取ったのでアクセス権の承継をアクセス権処理モジュール130に要求する。
ステップS420では、アクセス権処理モジュール130は、機器利用可能利用者400Aのアクセス権に関する情報を認証情報DB140内のアクセス権情報テーブル500から取得する。図5は、アクセス権情報テーブル500のデータ構造例を示す説明図である。
【0038】
アクセス権情報テーブル500は、カードID欄510、継承元カードID欄520、利用可能機器ID欄530を有している。
カードID欄510は、そのICカードIDを識別するためのカードIDを記憶している。このカードIDは前述のように利用者IDともなるものである。もちろん、カードID欄510は、そのICカードを有している利用者の利用者IDを記憶するようにしてもよい。
【0039】
継承元カードID欄520は、そのカードIDに設定されているアクセス権は、どのカードIDに設定されているアクセス権に基づいて設定されたものであるかを示すカードIDを記憶している。つまり、そのカードIDに設定されているアクセス権を設定したときの元となっている他者のカードIDを記憶している。図5に示す例では、カードID欄510が「Card_A」であるICカードを有している利用者が利用可能な機器として「pc−b」(利用可能機器ID欄530の第2行を参照)があるが、これは、「Card_C」と「Card_E」に設定されているpc−bに対するアクセス権に基づいて設定されたものである。なお、継承元カードID欄520は1つの機器に対して複数のカードIDを記憶するようにしてもよい。つまり、他のICカードによってアクセス権が設定された後に、また他のICカードによって同じ機器に対するアクセス権が設定された場合である。
また、カードID欄510が記憶しているカードIDとそれに対応する継承元カードID欄520が記憶しているカードIDが同じ場合があるが、そのカードIDに元から設定されているアクセス権であることを示している。図5に示す例では、「Card_A」が利用可能な「pc−a」と「printer−a」は、他者のICカードから承継されたものではなく、元から設定されたものであることを示している。
【0040】
利用可能機器ID欄530は、そのカードIDのICカードを有している利用者に設定されているアクセス権のある機器を識別するための機器IDを記憶している。図5に示す例では、カードID欄510が「Card_A」であるICカードを有している利用者が利用可能な機器として「pc−a」、「pc−b」、「printer−a」がある。したがって、ステップS420で、アクセス権処理モジュール130が取得する機器利用可能利用者400Aのアクセス権に関する情報として、機器利用可能利用者400Aが利用できる機器の機器IDである「pc−a」、「pc−b」、「printer−a」がある。
【0041】
ステップS422では、アクセス権処理モジュール130は、ステップS420で取得したアクセス権に関する情報に基づいて、機器利用不可能利用者400Bにアクセス権を設定する。図6は、アクセス権を設定した後のアクセス権情報テーブル500のデータ構造例を示す説明図である。図5に示す例(ステップS420以前の段階)では、「Card_B」には「pc−c」と「printer−a」を利用するためのアクセス権が設定されていたが、「Card_A」に設定されているアクセス権(「pc−a」、「pc−b」、「printer−a」を利用可能)に基づいて、新たなアクセス権として「pc−a」、「pc−b」を利用可能とするアクセス権が設定されたこと、さらに、「printer−a」を利用可能とするアクセス権を設定した元のICカードのカードIDとして「Card_B」の他に「Card_A」が付加されたこと(図6のカードID欄510が「Card_B」である第2行目の継承元カードID欄520を参照)を示している。
【0042】
ステップS432では、機器利用不可能利用者400Bは、ICカードリーダ110からICカード100Bを取り去る。
ステップS434では、認証モジュール120は、ICカード100Bを所有している機器利用不可能利用者400Bの認証を解除する処理を行う。ここで、認証を解除する処理とは、例えば、その部屋からその者は退室したこととする処理等がある。
ステップS442では、機器利用可能利用者400Aは、ICカードリーダ110からICカード100Aを取り去る。
ステップS444では、認証モジュール120は、ICカード100Aを所有している機器利用可能利用者400Aの認証を解除する処理を行う。
【0043】
図7は、本実施の形態によるアクセス権の解除処理例を示す説明図である。
利用者による操作としては、まず、来訪者800Bが機器利用アクセス権制御装置180に接続されているICカードリーダ110に対してICカード100Bをかざす。そして、そのICカード100Bが取り去られる前に、利用者800AがICカード100Aをかざす。これによって、利用者800Aに設定されているアクセス権に基づいて設定されたアクセス権が来訪者800Bから解除される。
【0044】
図8は、本実施の形態によるアクセス権の解除処理例を示すフローチャートである。なお、図4の例に示した機器利用可能利用者400Aは利用者800Aに対応し、機器利用不可能利用者400Bは来訪者800Bに対応する。
ステップS802では、来訪者800Bは、自分が所有しているICカード100Bを機器利用アクセス権制御装置180に接続されているICカードリーダ110にかざす。
ステップS804では、ICカードリーダ110は、ICカード100B内の情報を読み込む。ここでは情報としてカードID(Card_B)を少なくとも含む。
ステップS806では、認証モジュール120は、ICカード100Bを所有している来訪者800Bの認証処理を行う。
【0045】
ステップS812では、利用者800Aは、自分が所有しているICカード100Aを機器利用アクセス権制御装置180に接続されているICカードリーダ110にかざす。
ステップS814では、ICカードリーダ110は、ICカード100A内の情報を読み込む。ここでは情報としてカードID(Card_A)を少なくとも含む。
ステップS816では、認証モジュール120は、ICカード100Aを所有している利用者800Aの認証処理を行う。
【0046】
ステップS818では、認証モジュール120は、複数のカードIDを受け取ったのでアクセス権の承継をアクセス権処理モジュール130に要求する。なお、ステップS818の段階では、アクセス権の承継(設定)であるのか解除であるのかの判別がつかないので承継を要求する。その判別はアクセス権処理モジュール130が行う。
【0047】
ステップS820では、アクセス権処理モジュール130は、来訪者800Bのアクセス権に関する情報を認証情報DB140内のアクセス権情報テーブル500から取得する。
【0048】
図9は、アクセス権を解除する前のアクセス権情報テーブル500のデータ構造例を示す説明図である。これは、図6の例に示したアクセス権情報テーブル500の「Card_B」の部分であり、ステップS820でアクセス権処理モジュール130が取得するものである。つまり、図9の例は、「Card_B」には、「Card_D」から承継された「pc−c」を利用可能とするアクセス権、「Card_B」と「Card_A」から承継された「printer−a」を利用可能とするアクセス権、「Card_A」から承継された「pc−a」を利用可能とするアクセス権、「Card_A」から承継された「pc−b」を利用可能とするアクセス権が設定されている。
【0049】
また、アクセス権処理モジュール130は、ステップS820に先だって、アクセス権の承継(設定)であるのか解除であるのかの判別を行うようにしてもよい。例えば、認証モジュール120から渡された複数の利用者に関する情報(例えば、カードID)を受け取り、その利用者に設定されているアクセス権に関する情報に基づいて、アクセス権の承継(設定)であるのか解除であるのかの判別を行う。より具体的には、アクセス権情報テーブル500の継承元カードID欄520に他方のカードIDが記憶されている場合(つまり、いずれかのアクセス権が他方のカードIDに基づいて設定されている場合)は、アクセス権の解除であると判断し、互いのカードIDに対応するアクセス権情報テーブル500の継承元カードID欄520に互いのカードIDが記憶されていない場合(つまり、他方のカードIDに基づいてはアクセス権が設定されていない場合)は、アクセス権の設定であると判断する。
【0050】
ステップS822では、アクセス権処理モジュール130は、来訪者800Bのアクセス権情報テーブル500の継承元カードID欄520内のカードIDが利用者800AのカードIDと一致するか否かを判断する。一致する場合はステップS824へ進み、それ以外の場合はアクセス権処理モジュール130による処理を終了する。又は、一致しない場合はアクセス権の継承の処理(ステップS420、ステップS422)を行うようにしてもよい。
ステップS824では、アクセス権処理モジュール130は、1つの機器に対してアクセス権情報テーブル500の継承元カードID欄520に複数のカードIDが記憶されているか否かを判断する。複数記憶されている場合(複数のカードIDからアクセス権が設定されている場合)はステップS826へ進み、それ以外の場合(1つのカードIDによってアクセス権が設定されている場合)はステップS828へ進む。
【0051】
ステップS826では、アクセス権処理モジュール130は、ステップS824で判断された機器について、利用者800AのカードIDを継承元カードID欄520から削除する。この状態では、その機器に対するアクセス権は設定されている。つまり、利用者800AのカードID以外のカードIDによってアクセス権が設定されている。
ステップS828では、アクセス権処理モジュール130は、ステップS824で判断された機器について、そのアクセス権を削除する。つまり、利用可能機器ID欄530内の機器IDと対応する継承元カードID欄520内のカードIDを削除する。
なお、ステップS822からステップS828までの処理は機器毎に行い、これを繰り返す。
図10は、図9に示す例からアクセス権を解除した後のアクセス権情報テーブル500のデータ構造例を示す説明図である。つまり、「Card_A」から承継されたアクセス権である利用可能な「pc−a」と「pc−b」を削除しており(ステップS828)、「printer−a」については「Card_A」から承継されたことを削除している(ステップS826)。
【0052】
ステップS832では、利用者800Aは、ICカードリーダ110からICカード100Aを取り去る。
ステップS834では、認証モジュール120は、ICカード100Aを所有している機器利用可能利用者400Aの認証を解除する処理を行う。
ステップS842では、来訪者800Bは、ICカードリーダ110からICカード100Bを取り去る。
ステップS844では、認証モジュール120は、ICカード100Bを所有している機器利用不可能利用者400Bの認証を解除する処理を行う。
【0053】
図11は、本実施の形態によるアクセス権の解除処理例を示す説明図である。来訪者800Bが所持しているICカード100BをICカードリーダ110に単独でかざした場合の処理である。その来訪者800Bに設定されているアクセス権を解除する。つまり、来訪者800Bに設定されたアクセス権は、来訪者800B以外の他者に設定されたアクセス権に基づいて設定されたものである場合に、来訪者800Bに設定されたアクセス権を解除する。ICカードが単独でICカードリーダ110にかざされたか否かは、そのICカードをICカードリーダ110から取り去るまでの間に他のICカードを読み取ることがないこと、ICカードがかざされた時から予め定められた期間の間に他のICカードがかざされないこと等によって判断する。
【0054】
解除の具体的な方法は、アクセス権情報テーブル500の継承元カードID欄520に記憶されているカードIDが1つである場合であって、そのカードID以外のカードIDが記憶されていた場合は、継承元カードID欄520と利用可能機器ID欄530内を削除する。また、アクセス権情報テーブル500の継承元カードID欄520に記憶されているカードIDが複数である場合であって、そのカードIDが記憶されている場合は、継承元カードID欄520からそのカードID以外のカードIDを削除し、そのカードID以外のカードIDだけが記憶されている場合は、継承元カードID欄520と利用可能機器ID欄530内を削除する。
【0055】
図12は、本実施の形態によるアクセス権の解除処理例を示す説明図である。利用者800Aが所持しているICカード100AをICカードリーダ110に単独でかざした場合の処理である。その利用者800Aによって設定された他のICカード(例えば、ICカード100B)のアクセス権を解除する。つまり、来訪者800Bに設定されたアクセス権は、利用者800Aに設定されたアクセス権に基づいて設定されたものである場合に、来訪者800Bに設定されたそのアクセス権を解除する。ICカードが単独でICカードリーダ110にかざされたか否かの判断方法は、前述の通りである。
【0056】
解除の具体的な方法は、アクセス権情報テーブル500のカードID欄510内がICカードリーダ110によって読み取られたカードID以外(つまり、そのICカード以外のICカード)であり、継承元カードID欄520内にそのカードIDだけが記憶されている場合は継承元カードID欄520と利用可能機器ID欄530内を削除する。また、アクセス権情報テーブル500のカードID欄510内がICカードリーダ110によって読み取られたカードID以外(つまり、そのICカード以外のICカード)であり、継承元カードID欄520に記憶されているカードIDが複数である場合であって、そのカードIDが記憶されている場合は、継承元カードID欄520からそのカードIDを削除する。
【0057】
なお、図11の例に示す処理を行うか、図12の例に示す処理を行うかは、元から設定されているアクセス権の数に基づいて判断してもよい。例えば、ICカードリーダ110が読み込んだカードIDに設定されているアクセス権のうち、元から設定されているもの(アクセス権情報テーブル500のカードID欄510と継承元カードID欄520に記憶されているカードIDが同じもの)の数が予め定められた値よりも少ない場合は来訪者800Bの所持しているICカードと判断して図11の例に示す処理を行い、それ以外の場合は利用者800Aの所持しているICカードと判断して図12の例に示す処理を行う。
【0058】
図13から図16は、アクセス権の付与・解除処理例(1)〜(4)を示す説明図である。
図13(a)に示す例は、利用者AがICカード1310、利用者BがICカード1320、来訪者AがICカード1330を所持していることを示している。そして、図13(b)に示す例は、ICカード1310にはプリンタ150B、プロジェクタ150Dを利用可能とするアクセス権が設定されており、ICカード1320にはスキャナ150A、プロジェクタ150Dを利用可能とするアクセス権が設定されており、ICカード1330にはアクセス権は設定されていないことを示している。
【0059】
図14(a)に示す例は、ICカードリーダ110にICカード1310がかざされた後に、ICカード1330がかざされたことを示している。この動作によって、図13(b)に示したアクセス権の状態は、図14(b)に示す例のようになる。つまり、ICカード1310、ICカード1320のアクセス権は変更ないが、ICカード1330にはICカード1310と同じアクセス権が設定されたことを示している。
【0060】
図15(a)に示す例は、ICカードリーダ110にICカード1320がかざされた後に、ICカード1330がかざされたことを示している。この動作によって、図14(b)に示したアクセス権の状態は、図15(b)に示す例のようになる。つまり、ICカード1310、ICカード1320のアクセス権は変更ないが、ICカード1330にはさらにICカード1320と同じアクセス権が設定されたことを示している。なお、プリンタ150Bへのアクセス権はICカード1310によって設定され、スキャナ150Aへのアクセス権はICカード1320によって設定され、プロジェクタ150Dへのアクセス権はICカード1310とICカード1320によって設定されたものである。
【0061】
図16(a)に示す例は、ICカードリーダ110にICカード1330がかざされた後に、ICカード1310がかざされたことを示している。この動作によって、図15(b)に示したアクセス権の状態は、図16(b)に示す例のようになる。つまり、ICカード1310、ICカード1320のアクセス権は変更ないが、ICカード1330のプリンタ150Bのアクセス権が解除されたことを示している。なお、プロジェクタ150Dのアクセス権については、ICカード1310によって設定されたことは削除されるが、ICカード1320によって設定されたものもあるので、そのままアクセス権はあることになる。
【0062】
図17は、アクセス権情報テーブル1700のデータ構造例を示す説明図である。アクセス権情報テーブル1700は、アクセス権情報テーブル500の変形例である。
アクセス権情報テーブル1700は、カードID欄1710、利用可能機器ID欄1720、継承元カードID欄1730、継承先カードID欄1740を有している。
カードID欄1710は、カードID欄510と同等である。利用可能機器ID欄1720は、利用可能機器ID欄530と同等である。継承元カードID欄1730は、継承元カードID欄520と同等である。
継承先カードID欄1740は、そのカードIDに基づいてアクセス権が設定された他のカードIDを記憶する。
【0063】
図17に示す例では、「Card_A」にはアクセス権として「pc−a」と「pc−b」を利用可能となっているが、これは「pc−a」のアクセス権は「Card_B」と「Card_C」から承継したものであり、「pc−b」のアクセス権は「Card_B」から承継したものであること、「Card_B」にはアクセス権として「pc−a」と「pc−b」を利用可能となっているが、そのアクセス権を「Card_A」に承継したこと、そして、「Card_C」にはアクセス権として「pc−b」を利用可能となっているが、そのアクセス権を「Card_A」に承継したことを示している。
【0064】
アクセス権情報テーブル1700を用いる処理として、図4の例に示したステップS422では、機器利用可能利用者400Aが所持するICカードに対応する継承先カードID欄1740に機器利用不可能利用者400Bが所持するICカードのカードIDを記憶させる。また、図5の例に示したアクセス権処理モジュール130の処理において、利用者800Aが所持するICカードに対応する継承先カードID欄1740に記憶されているカードIDを用いて解除するカードIDを特定するようにしてもよい。特に、図12の例に示した処理では、ICカード100Aに対応する継承先カードID欄1740に記憶されているカードIDを用いて解除するカードIDを特定するようにしてもよい。
【0065】
なお、本実施の形態としてのプログラムが実行されるコンピュータのハードウェア構成は、図18に例示するように、一般的なコンピュータであり、具体的にはパーソナルコンピュータ、サーバとなり得るコンピュータ等である。つまり、具体例として、処理部(演算部)としてCPU1801を用い、記憶装置としてRAM1802、ROM1803、HD1804を用いている。HD1804として、例えばハードディスクを用いてもよい。認証モジュール120、アクセス権処理モジュール130等のプログラムを実行するCPU1801と、そのプログラムやデータを記憶するRAM1802と、本コンピュータを起動するためのプログラム等が格納されているROM1803と、補助記憶装置であるHD1804と、ICカードリーダ110、キーボード、マウス等のデータを入力する入力装置1806と、CRTや液晶ディスプレイ等の出力装置1805と、ネットワークインタフェースカード等の通信ネットワークと接続するための通信回線インタフェース1807、そして、それらをつないでデータのやりとりをするためのバス1808により構成されている。これらのコンピュータが複数台互いにネットワークによって接続されていてもよい。
【0066】
前述の実施の形態のうち、コンピュータ・プログラムによるものについては、本ハードウェア構成のシステムにソフトウェアであるコンピュータ・プログラムを読み込ませ、ソフトウェアとハードウェア資源とが協働して、前述の実施の形態が実現される。
なお、図18に示すハードウェア構成は、1つの構成例を示すものであり、本実施の形態は、図18に示す構成に限らず、本実施の形態において説明したモジュールを実行可能な構成であればよい。例えば、一部のモジュールを専用のハードウェア(例えばASIC等)で構成してもよく、一部のモジュールは外部のシステム内にあり通信回線で接続しているような形態でもよく、さらに図18に示すシステムが複数互いに通信回線によって接続されていて互いに協調動作するようにしてもよい。また、特に、パーソナルコンピュータの他、情報家電、複写機、ファックス、スキャナ、プリンタ、複合機(スキャナ、プリンタ、複写機、ファックス等のいずれか2つ以上の機能を有している画像処理装置)などに組み込まれていてもよい。
【0067】
また、前記実施の形態の説明において、予め定められた値との比較において、「より少ない(未満)」としたものは「以下」としてもよいし、比較する値(例えば、比較する両者を逆数とする等)によっては「以上」、「より大きい」としてもよい。
なお、前述の各種の実施の形態を組み合わせてもよく、各モジュールの処理内容として背景技術で説明した技術を採用してもよい。
【0068】
なお、説明したプログラムについては、記録媒体に格納して提供してもよく、また、そのプログラムを通信手段によって提供してもよい。その場合、例えば、前記説明したプログラムについて、「プログラムを記録したコンピュータ読み取り可能な記録媒体」の発明として捉えてもよい。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通などのために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
なお、記録媒体としては、例えば、デジタル・バーサタイル・ディスク(DVD)であって、DVDフォーラムで策定された規格である「DVD−R、DVD−RW、DVD−RAM等」、DVD+RWで策定された規格である「DVD+R、DVD+RW等」、コンパクトディスク(CD)であって、読出し専用メモリ(CD−ROM)、CDレコーダブル(CD−R)、CDリライタブル(CD−RW)等、ブルーレイ・ディスク(Blu−ray Disc(登録商標))、光磁気ディスク(MO)、フレキシブルディスク(FD)、磁気テープ、ハードディスク、読出し専用メモリ(ROM)、電気的消去及び書換可能な読出し専用メモリ(EEPROM)、フラッシュ・メモリ、ランダム・アクセス・メモリ(RAM)等が含まれる。
そして、前記のプログラム又はその一部は、前記記録媒体に記録して保存や流通等させてもよい。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、あるいは無線通信ネットワーク、さらにこれらの組み合わせ等の伝送媒体を用いて伝送させてもよく、また、搬送波に乗せて搬送させてもよい。
さらに、前記のプログラムは、他のプログラムの一部分であってもよく、あるいは別個のプログラムと共に記録媒体に記録されていてもよい。また、複数の記録媒体に分割して
記録されていてもよい。また、圧縮や暗号化など、復元可能であればどのような態様で記録されていてもよい。
【符号の説明】
【0069】
100…ICカード
110…ICカードリーダ
111…ICカードリーダ
120…認証モジュール
130…アクセス権処理モジュール
140…認証情報DB
150…機器
150A…スキャナ
150B…プリンタ
150C…PC
150D…プロジェクタ
180…機器利用アクセス権制御装置
191…通信回線
【技術分野】
【0001】
本発明は、情報処理装置及び情報処理プログラムに関する。
【背景技術】
【0002】
利用権限が設定された者だけに対して、例えば、複写機等の機器を利用できるようにする管理が行われている。
これに関連する技術として、例えば、特許文献1には、カードを用いた認証システムにおいて、異なるカード間のよりセキュアな権限委譲を実現可能とすることを課題とし、操作部を備え、当該操作部による操作指示に応じた処理を行う情報処理装置であって、アクセス権限情報と認証情報とを記憶しているカードを読み取るカードリーダと、操作部により入力された情報とカードリーダにより読み取った認証情報とに基づいて、当該カードの認証の可否を判定する判定手段と、判定手段で認証可と判定した場合であって、操作部による処理開始指示の入力待ち状態中にカードリーダが他のカードを読み取った場合、従前に読み取ったカードのアクセス権限情報を、一時的に、他のカードのアクセス権限情報を含むように変更するアクセス権限変更手段と、操作部から処理開始指示の入力を検出したとき、当該検出の時点でのアクセス権限情報の範囲の処理を実行する制御手段とを備えることが開示されている。
【0003】
また、例えば、特許文献2には、管理者が行う認証情報の登録又は削除等の煩雑な操作を軽減することを課題とし、複合機は、ICカードから読み取ったカードIDをICカード認証サーバに送信して認証結果を取得し、該認証結果が認証成功を示す場合、当該複合機の使用を許可し、一方、前記認証結果が認証失敗を示し、ICカード認証サーバから当該カードIDの登録を行うか問い合わせされた場合、操作部より入力されるユーザ名をICカード認証サーバに送信して、該ユーザ名と前記認証に失敗したカードIDとを紐付けて登録させる構成を特徴とすることが開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2008−262422号公報
【特許文献2】特開2008−181491号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
従来の情報処理装置では、利用権限を解除するために操作パネル上での操作が必要であるか、又は予め定められた時間ログインしていない等のタイムアウト処理を必要としていた。
本発明は、他人の利用権限に基づいて設定された利用権限を解除する場合にあって、利用者が解除を行いたいときに解除の操作ができ、その操作は本構成を有していない場合に比較して軽減させるようにした情報処理装置及び情報処理プログラムを提供することを目的としている。
【課題を解決するための手段】
【0006】
かかる目的を達成するための本発明の要旨とするところは、次の各項の発明に存する。
請求項1の発明は、第1の利用者に関する情報及び第2の利用者に関する情報を受け取る利用者情報受取手段と、前記第2の利用者に設定されている機器に対する利用権限は、前記第1の利用者に設定されている機器に対する利用権限に基づいて設定されたものである場合に、該第2の利用者に設定されている機器に対する該利用権限を解除する利用権限解除手段を具備することを特徴とする情報処理装置である。
【0007】
請求項2の発明は、前記第2の利用者を識別する第2の利用者識別符号と該第2の利用者に設定されている機器に対する利用権限を設定したときの元となっている前記第1の利用者を識別する第1の利用者識別符号と該第2の利用者が利用権限を有している機器を識別する機器識別符号を対応させて記憶する記憶手段をさらに具備し、前記利用権限解除手段は、前記利用者情報受取手段によって受け取られた第1の利用者に関する情報及び第2の利用者に関する情報に基づいて、前記記憶手段に記憶されている前記第2の利用者識別符号に対応した機器識別符号を削除することによって機器に対する利用権限を解除することを特徴とする請求項1に記載の情報処理装置である。
【0008】
請求項3の発明は、利用者に関する情報を受け取る利用者情報受取手段と、前記利用者情報受取手段によって受け取られた第1の利用者に関する情報に基づいて、該第1の利用者に設定されている機器に対する利用権限に基づいて設定された第2の利用者の機器に対する利用権限を解除する利用権限解除手段を具備することを特徴とする情報処理装置である。
【0009】
請求項4の発明は、利用者に関する情報を受け取る利用者情報受取手段と、前記利用者情報受取手段によって受け取られた第2の利用者に設定された機器に対する利用権限は、第1の利用者に設定された機器に対する利用権限に基づいて設定されたものである場合に、該第2の利用者に設定された機器に対する利用権限を解除する利用権限解除手段を具備することを特徴とする情報処理装置である。
【0010】
請求項5の発明は、前記利用者に関する情報は携帯可能な媒体に格納されており、前記利用者情報受取手段が受け取る利用者に関する情報は、該媒体に格納されている情報から読み取ったものであることを特徴とする請求項1から4のいずれか一項に記載の情報処理装置である。
【0011】
請求項6の発明は、コンピュータを、第1の利用者に関する情報及び第2の利用者に関する情報を受け取る利用者情報受取手段と、前記第2の利用者に設定されている機器に対する利用権限は、前記第1の利用者に設定されている機器に対する利用権限に基づいて設定されたものである場合に、該第2の利用者に設定されている機器に対する該利用権限を解除する利用権限解除手段として機能させることを特徴とする情報処理プログラムである。
【発明の効果】
【0012】
請求項1記載の情報処理装置によれば、他人の利用権限に基づいて設定された利用権限を解除する場合にあって、利用者が解除を行いたいときに解除の操作ができ、その操作は本構成を有していない場合に比較して軽減されたものとすることができる。
【0013】
請求項2記載の情報処理装置によれば、本構成を有していない場合に比較して、利用権限の管理を容易にすることができる。
【0014】
請求項3記載の情報処理装置によれば、第1の利用者に関する情報を受け取るだけで、該第1の利用者の利用権限に基づいて設定された第2の利用者の利用権限を解除することができる。
【0015】
請求項4記載の情報処理装置によれば、第2の利用者に関する情報を受け取るだけで、他者の利用権限に基づいて設定された該第2の利用者の利用権限を解除することができる。
【0016】
請求項5記載の情報処理装置によれば、本構成を有していない場合に比較して、利用権限を解除する操作を軽減させることができる。
【0017】
請求項6記載の情報処理プログラムによれば、他人の利用権限に基づいて設定された利用権限を解除する場合にあって、利用者が解除を行いたいときに解除の操作ができ、その操作は本構成を有していない場合に比較して軽減されたものとすることができる。
【図面の簡単な説明】
【0018】
【図1】本実施の形態の構成例についての概念的なモジュール構成図である。
【図2】本実施の形態によるアクセス権に応じて機器を利用する場合の処理例を示すフローチャートである。
【図3】本実施の形態によるアクセス権の付与処理例を示す説明図である。
【図4】本実施の形態によるアクセス権の付与処理例を示すフローチャートである。
【図5】アクセス権情報テーブルのデータ構造例を示す説明図である。
【図6】アクセス権を設定した後のアクセス権情報テーブルのデータ構造例を示す説明図である。
【図7】本実施の形態によるアクセス権の解除処理例を示す説明図である。
【図8】本実施の形態によるアクセス権の解除処理例を示すフローチャートである。
【図9】アクセス権を解除する前のアクセス権情報テーブルのデータ構造例を示す説明図である。
【図10】アクセス権を解除した後のアクセス権情報テーブルのデータ構造例を示す説明図である。
【図11】本実施の形態によるアクセス権の解除処理例を示す説明図である。
【図12】本実施の形態によるアクセス権の解除処理例を示す説明図である。
【図13】アクセス権の付与・解除処理例(1)を示す説明図である。
【図14】アクセス権の付与・解除処理例(2)を示す説明図である。
【図15】アクセス権の付与・解除処理例(3)を示す説明図である。
【図16】アクセス権の付与・解除処理例(4)を示す説明図である。
【図17】アクセス権情報テーブルのデータ構造例を示す説明図である。
【図18】本実施の形態を実現するコンピュータのハードウェア構成例を示すブロック図である。
【発明を実施するための形態】
【0019】
以下、図面に基づき本発明を実現するにあたっての好適な実施の形態の例を説明する。
図1は、本実施の形態の構成例についての概念的なモジュール構成図を示している。
なお、モジュールとは、一般的に論理的に分離可能なソフトウェア(コンピュータ・プログラム)、ハードウェア等の部品を指す。したがって、本実施の形態におけるモジュールはコンピュータ・プログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。それゆえ、本実施の形態は、コンピュータ・プログラム、システム及び方法の説明をも兼ねている。ただし、説明の都合上、「記憶する」、「記憶させる」、これらと同等の文言を用いるが、これらの文言は、実施の形態がコンピュータ・プログラムの場合は、記憶装置に記憶させる、又は記憶装置に記憶させるように制御するの意である。また、モジュールは機能にほぼ一対一に対応しているが、実装においては、1モジュールを1プログラムで構成してもよいし、複数モジュールを1プログラムで構成してもよく、逆に1モジュールを複数プログラムで構成してもよい。また、複数モジュールは1コンピュータによって実行されてもよいし、分散又は並列環境におけるコンピュータによって1モジュールが複数コンピュータで実行されてもよい。なお、1つのモジュールに他のモジュールが含まれていてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続(データの授受、指示、データ間の参照関係等)の場合にも用いる。
また、システム又は装置とは、複数のコンピュータ、ハードウェア、装置等がネットワーク(一対一対応の通信接続を含む)等の通信手段で接続されて構成されるほか、1つのコンピュータ、ハードウェア、装置等によって実現される場合も含まれる。「装置」と「システム」とは、互いに同義の用語として用いる。「予め定められた」とは、対象としている処理の前に定まっていることをいい、本実施の形態による処理が始まる前はもちろんのこと、本実施の形態による処理が始まった後であっても、対象としている処理の前であれば、そのときの状況・状態に応じて、又はそれまでの状況・状態に応じて定まることの意を含めて用いる。
【0020】
また、アクセス権とは、利用者が複写機、コンピュータ等の機器を利用するための権限のことをいう。
利用者に関する情報として、利用者を特定できる情報が含まれていればよく、例えば、携帯可能な媒体(例えば、ICカード等)に格納されている利用者を識別する利用者ID(IDentification)、その他に指紋、静脈等の生体情報などがある。そして、利用者情報を受け取る装置として、例えば、ICカードリーダ、生体情報センサ等がある。
また、利用者には機器に対するアクセス権が設定されている。なお、ICカードに設定されているアクセス権であったとしてもそのICカードと利用者が一対一に対応しているものである場合(常に対応している必要は必ずしもなく、そのように対応している期間があればよい)は利用者に機器に対するアクセス権が設定されているとして扱う。つまり、カードIDも利用者に関する情報である。また、利用者には複数人の利用者によって構成されているグループも含む。
本実施の形態においては、利用者はICカードを有しており、利用者に関する情報としてカードIDを含み、そのICカードを読み取るものとしてICカードリーダを主に例示する。
【0021】
機器利用アクセス権制御装置180は、図1に示すように認証モジュール120、アクセス権処理モジュール130、認証情報DB140を有している。認証モジュール120、アクセス権処理モジュール130、認証情報DB140は、それぞれ接続されている。
認証モジュール120には、ICカードリーダ110が接続されている。
機器として、例えば、スキャナ150A、プリンタ150B、PC150C、プロジェクタ150Dがある。機器には、ICカードリーダ111(図1ではICカードリーダ111A〜ICカードリーダ111D)が接続されており、また、通信回線191を介して機器利用アクセス権制御装置180と接続されている。各機器を利用するためには、その機器に接続されているICカードリーダ111にICカードをかざす必要があり、そのICカードにはその機器に対するアクセス権が設定されているカードIDが記憶されている必要がある。
【0022】
また、利用者として何らかのアクセス権を有している利用者と来訪者のように基本的にはアクセス権を有していない利用者がいる。前者を機器利用可能利用者又は単に利用者といい、後者を機器利用不可能利用者又は来訪者という。ただし、機器利用不可能利用者であったとしても何らアクセス権を有していない者である必要はなく、予め定められた機器に対してアクセス権を有していてもよい。つまり、前者の利用者はある機器に対してアクセス権があり、後者の利用者はその機器に対してアクセス権がない者であるという関係があればよい。
【0023】
ICカードリーダ110は、ICカード100を読み取る。つまり、各利用者はICカード100を有しており、そのICカード100をICカードリーダ110にかざすことによって、ICカードリーダ110は、ICカード100内に格納されているカードIDを読み取る。そして、そのカードIDを認証モジュール120へ渡す。
また、ICカードリーダ110は、スキャナ150A等の機器に接続されているICカードリーダ111A等と異なり、利用者が利用できる機器には接続されていない。つまり、ICカードリーダ110は、ICカードリーダ111A等とは別個にあるものであり、例えば、部屋の出入り口、机上等に設置されているものである。
【0024】
認証モジュール120は、ICカードリーダ110からICカード100のカードIDを受け取る。そして、認証情報DB140に格納されている認証情報を用いて認証処理を行い、またアクセス権処理モジュール130へ利用者へのアクセス権の付与、又は解除等の管理のためにカードIDを渡す。ここでの認証処理とは、例えば、その部屋へ入室できる者であるか否かを判断する等がある。ここでの認証処理とは、例えば、そのICカード100は正式に発行されたものであるか否かを判断する等がある。具体的には、そのICカード100に格納されているカードIDは認証情報DB140に記憶されているか否かによって判断する。
【0025】
認証情報DB140は、認証モジュール120、アクセス権処理モジュール130からアクセスされ、認証のための情報、アクセス権の管理のための情報を記憶している。
第2の利用者を識別する第2の利用者識別符号とその第2の利用者に設定されている機器に対するアクセス権を設定したときの元となっている第1の利用者を識別する第1の利用者識別符号とその第2の利用者がアクセス権を有している機器を識別する機器識別符号を対応させて記憶する。より具体的には、例えば、カードID(B)とそのカードID(B)に設定されているアクセス権を設定したときの元となっているカードID(A)とカードID(B)がアクセス権を有している機器を識別する機器IDを対応させて記憶する。なお、認証モジュール120が受け取った利用者に関する情報と認証情報DB140に記憶されている利用者識別符号は必ずしも同一である必要はなく、利用者に関する情報から利用者識別符号を導出できればよい。
また、認証情報DB140は、認証モジュール120による認証処理のための情報を記憶していてもよい。例えば、その部屋へ入室できる者が有しているICカード100のカードID等を記憶していてもよい。
【0026】
アクセス権処理モジュール130は、認証モジュール120からカードIDを受け取り、利用者へのアクセス権の付与、又は解除等の管理を行う。
より具体的には、認証モジュール120から複数のICカード100のカードIDを受け取り、一方のカードID(A)に設定されているアクセス権を他方のカードID(B)に設定する。
【0027】
また、ICカードリーダ110から複数のカードIDを受け取り、カードID(B)に設定されているアクセス権は、カードID(A)に設定されているアクセス権に基づいて設定されたものである場合に、そのカードID(B)に設定されているアクセス権を解除するようにしてもよい。
さらに具体的には、アクセス権処理モジュール130は、ICカードリーダ110から受け取ったカードID(A)及びカードID(B)に基づいて、認証情報DB140に記憶されているカードID(B)に対応した機器IDを削除することによってその機器に対するアクセス権を解除するようにしてもよい。なお、認証モジュール120が受け取った利用者に関する情報と認証情報DB140に記憶されている利用者識別符号は必ずしも同一である必要はなく、利用者に関する情報から利用者識別符号を導出できればよい。
【0028】
なお、以下、特に断らない限り、カードID(B)に設定されているアクセス権は、カードID(A)に設定されているアクセス権に基づいて設定されたものであるとして説明する。
また、アクセス権処理モジュール130は、認証モジュール120がカードID(B)を受け取った後にカードID(A)を受け取った場合(つまり、予め定められた順番、例えば、カードID(B)、カードID(A)の順番に受け取った場合)に、そのカードID(B)に設定されているアクセス権を解除するようにしてもよい。
また、アクセス権処理モジュール130は、認証モジュール120がカードID(A)を受け取ったときから予め定められた期間内にカードID(B)を受け取った場合に、そのカードID(B)に設定されているアクセス権を解除するようにしてもよい。
また、アクセス権処理モジュール130は、認証モジュール120がカードID(A)を受け取った後であって、該ICカードリーダ110からカードID(A)を取り去るまでの間に、カードID(B)を受け取った場合に、そのカードID(B)に設定されているアクセス権を解除するようにしてもよい。つまり、ICカードリーダ110では、2つのカード(ICカード100A、ICカード100B)が重ねられた状態になった場合に、アクセス権の解除を行う。
【0029】
また、アクセス権処理モジュール130は、ICカードリーダ110から受け取ったカードID(A)に基づいて、そのカードID(A)に設定されているアクセス権に基づいて設定されたカードID(B)のアクセス権を解除するようにしてもよい。これは、ICカードリーダ110ではICカード100Aだけがかざされた場合である。ここでのカードID(B)は複数であってもよい。つまり、カードID(A)に設定されている機器に対するアクセス権に基づいて設定された他者(カードID(A)以外のカードID)のアクセス権を解除対象とする。
【0030】
また、アクセス権処理モジュール130は、ICカードリーダ110から受け取ったカードID(B)に設定されたアクセス権は、カードID(A)に設定されたアクセス権に基づいて設定されたものである場合に、そのカードID(B)に設定されたアクセス権を解除するようにしてもよい。これは、ICカードリーダ110ではICカード100Bだけがかざされた場合である。ここでのカードID(A)は複数であってもよい。つまり、他者(カードID(B)以外のカードID)に設定されたアクセス権に基づいて設定されたアクセス権を解除対象とする。
【0031】
図2は、本実施の形態によるアクセス権に応じて機器(スキャナ150A等)を利用する場合の処理例を示すフローチャートである。
ステップS202では、利用者200は、自分が所有しているICカードを機器150に接続されているICカードリーダ111にかざす。
ステップS204では、ICカードリーダ111は、ICカード内の情報を読み込む。ここでは情報としてカードIDを少なくとも含む。
ステップS206では、機器150は、機器利用アクセス権制御装置180内の認証モジュール120へ読み込んだ情報を送信する。また、機器150を識別する識別符号をともに送信してもよい。
【0032】
ステップS208では、認証モジュール120は、機器150からの情報を受け取り、そのICカードを有している者は、機器150に対するアクセス権を有しているか否かの判断である認証処理(ステップS208からステップS214まで)を行う。つまり、ICカード内に記憶されているカードIDのアクセス権情報を認証情報DB140に対して要求する。
ステップS210では、認証情報DB140は、認証モジュール120からの要求に基づいて、そのカードIDに対応するアクセス権情報を提供する。
ステップS212では、認証モジュール120は、認証情報DB140から受け取ったアクセス権情報に機器150に対するアクセス権が含まれているか否かを判断する。
ステップS214では、認証モジュール120は、機器150に対して利用可否の判断結果(アクセス権があれば利用可能、アクセス権がなければ利用不可)を通知する。
【0033】
ステップS216では、機器150は、認証モジュール120から受け取った利用可否の判断結果に応じて動作する。具体的には、利用可の判断結果を受け取った場合には、利用者200に対して操作可能であることを提示して、操作を受け付けて処理を行う。利用不可の判断結果を受け取った場合には、アクセス権がない旨を提示して利用者200の操作を受け付けない。
【0034】
図3は、本実施の形態によるアクセス権の付与処理例を示す説明図である。
利用者による操作としては、まず、機器利用可能利用者400Aが機器利用アクセス権制御装置180に接続されているICカードリーダ110に対してICカード100Aをかざす。そして、そのICカード100Aが取り去られる前に、機器利用不可能利用者400BがICカード100Bをかざす。これによって、機器利用可能利用者400Aに設定されているアクセス権が機器利用不可能利用者400Bにも設定される。
【0035】
図4は、本実施の形態によるアクセス権の付与処理例を示すフローチャートである。
ステップS402では、機器利用可能利用者400Aは、自分が所有しているICカード100Aを機器利用アクセス権制御装置180に接続されているICカードリーダ110にかざす。
ステップS404では、ICカードリーダ110は、ICカード100A内の情報を読み込む。ここでは情報としてカードID(Card_A)を少なくとも含む。
ステップS406では、認証モジュール120は、ICカード100Aを所有している機器利用可能利用者400Aの認証処理を行う。ここでの認証処理とは、例えば、その部屋へ入室できる者であるか否かを判断する等がある。
【0036】
ステップS412では、機器利用不可能利用者400Bは、自分が所有しているICカード100Bを機器利用アクセス権制御装置180に接続されているICカードリーダ110にかざす。なお、機器利用可能利用者400AによってICカード100Aが取り去られる(ステップS422)前に、ICカード100Bがかざされたものを本処理の対象としてもよい。また、ICカード100Aがかざされた後、予め定められた期間内にICカード100Bがかざされたものを本処理の対象としてもよい。
ステップS414では、ICカードリーダ110は、ICカード100B内の情報を読み込む。ここでは情報としてカードID(Card_B)を少なくとも含む。
ステップS416では、認証モジュール120は、ICカード100Bを所有している機器利用不可能利用者400Bの認証処理を行う。ここでの認証処理とは、例えば、その部屋へ入室できる者であるか否かを判断する等がある。
【0037】
ステップS418では、認証モジュール120は、複数のカードIDを受け取ったのでアクセス権の承継をアクセス権処理モジュール130に要求する。
ステップS420では、アクセス権処理モジュール130は、機器利用可能利用者400Aのアクセス権に関する情報を認証情報DB140内のアクセス権情報テーブル500から取得する。図5は、アクセス権情報テーブル500のデータ構造例を示す説明図である。
【0038】
アクセス権情報テーブル500は、カードID欄510、継承元カードID欄520、利用可能機器ID欄530を有している。
カードID欄510は、そのICカードIDを識別するためのカードIDを記憶している。このカードIDは前述のように利用者IDともなるものである。もちろん、カードID欄510は、そのICカードを有している利用者の利用者IDを記憶するようにしてもよい。
【0039】
継承元カードID欄520は、そのカードIDに設定されているアクセス権は、どのカードIDに設定されているアクセス権に基づいて設定されたものであるかを示すカードIDを記憶している。つまり、そのカードIDに設定されているアクセス権を設定したときの元となっている他者のカードIDを記憶している。図5に示す例では、カードID欄510が「Card_A」であるICカードを有している利用者が利用可能な機器として「pc−b」(利用可能機器ID欄530の第2行を参照)があるが、これは、「Card_C」と「Card_E」に設定されているpc−bに対するアクセス権に基づいて設定されたものである。なお、継承元カードID欄520は1つの機器に対して複数のカードIDを記憶するようにしてもよい。つまり、他のICカードによってアクセス権が設定された後に、また他のICカードによって同じ機器に対するアクセス権が設定された場合である。
また、カードID欄510が記憶しているカードIDとそれに対応する継承元カードID欄520が記憶しているカードIDが同じ場合があるが、そのカードIDに元から設定されているアクセス権であることを示している。図5に示す例では、「Card_A」が利用可能な「pc−a」と「printer−a」は、他者のICカードから承継されたものではなく、元から設定されたものであることを示している。
【0040】
利用可能機器ID欄530は、そのカードIDのICカードを有している利用者に設定されているアクセス権のある機器を識別するための機器IDを記憶している。図5に示す例では、カードID欄510が「Card_A」であるICカードを有している利用者が利用可能な機器として「pc−a」、「pc−b」、「printer−a」がある。したがって、ステップS420で、アクセス権処理モジュール130が取得する機器利用可能利用者400Aのアクセス権に関する情報として、機器利用可能利用者400Aが利用できる機器の機器IDである「pc−a」、「pc−b」、「printer−a」がある。
【0041】
ステップS422では、アクセス権処理モジュール130は、ステップS420で取得したアクセス権に関する情報に基づいて、機器利用不可能利用者400Bにアクセス権を設定する。図6は、アクセス権を設定した後のアクセス権情報テーブル500のデータ構造例を示す説明図である。図5に示す例(ステップS420以前の段階)では、「Card_B」には「pc−c」と「printer−a」を利用するためのアクセス権が設定されていたが、「Card_A」に設定されているアクセス権(「pc−a」、「pc−b」、「printer−a」を利用可能)に基づいて、新たなアクセス権として「pc−a」、「pc−b」を利用可能とするアクセス権が設定されたこと、さらに、「printer−a」を利用可能とするアクセス権を設定した元のICカードのカードIDとして「Card_B」の他に「Card_A」が付加されたこと(図6のカードID欄510が「Card_B」である第2行目の継承元カードID欄520を参照)を示している。
【0042】
ステップS432では、機器利用不可能利用者400Bは、ICカードリーダ110からICカード100Bを取り去る。
ステップS434では、認証モジュール120は、ICカード100Bを所有している機器利用不可能利用者400Bの認証を解除する処理を行う。ここで、認証を解除する処理とは、例えば、その部屋からその者は退室したこととする処理等がある。
ステップS442では、機器利用可能利用者400Aは、ICカードリーダ110からICカード100Aを取り去る。
ステップS444では、認証モジュール120は、ICカード100Aを所有している機器利用可能利用者400Aの認証を解除する処理を行う。
【0043】
図7は、本実施の形態によるアクセス権の解除処理例を示す説明図である。
利用者による操作としては、まず、来訪者800Bが機器利用アクセス権制御装置180に接続されているICカードリーダ110に対してICカード100Bをかざす。そして、そのICカード100Bが取り去られる前に、利用者800AがICカード100Aをかざす。これによって、利用者800Aに設定されているアクセス権に基づいて設定されたアクセス権が来訪者800Bから解除される。
【0044】
図8は、本実施の形態によるアクセス権の解除処理例を示すフローチャートである。なお、図4の例に示した機器利用可能利用者400Aは利用者800Aに対応し、機器利用不可能利用者400Bは来訪者800Bに対応する。
ステップS802では、来訪者800Bは、自分が所有しているICカード100Bを機器利用アクセス権制御装置180に接続されているICカードリーダ110にかざす。
ステップS804では、ICカードリーダ110は、ICカード100B内の情報を読み込む。ここでは情報としてカードID(Card_B)を少なくとも含む。
ステップS806では、認証モジュール120は、ICカード100Bを所有している来訪者800Bの認証処理を行う。
【0045】
ステップS812では、利用者800Aは、自分が所有しているICカード100Aを機器利用アクセス権制御装置180に接続されているICカードリーダ110にかざす。
ステップS814では、ICカードリーダ110は、ICカード100A内の情報を読み込む。ここでは情報としてカードID(Card_A)を少なくとも含む。
ステップS816では、認証モジュール120は、ICカード100Aを所有している利用者800Aの認証処理を行う。
【0046】
ステップS818では、認証モジュール120は、複数のカードIDを受け取ったのでアクセス権の承継をアクセス権処理モジュール130に要求する。なお、ステップS818の段階では、アクセス権の承継(設定)であるのか解除であるのかの判別がつかないので承継を要求する。その判別はアクセス権処理モジュール130が行う。
【0047】
ステップS820では、アクセス権処理モジュール130は、来訪者800Bのアクセス権に関する情報を認証情報DB140内のアクセス権情報テーブル500から取得する。
【0048】
図9は、アクセス権を解除する前のアクセス権情報テーブル500のデータ構造例を示す説明図である。これは、図6の例に示したアクセス権情報テーブル500の「Card_B」の部分であり、ステップS820でアクセス権処理モジュール130が取得するものである。つまり、図9の例は、「Card_B」には、「Card_D」から承継された「pc−c」を利用可能とするアクセス権、「Card_B」と「Card_A」から承継された「printer−a」を利用可能とするアクセス権、「Card_A」から承継された「pc−a」を利用可能とするアクセス権、「Card_A」から承継された「pc−b」を利用可能とするアクセス権が設定されている。
【0049】
また、アクセス権処理モジュール130は、ステップS820に先だって、アクセス権の承継(設定)であるのか解除であるのかの判別を行うようにしてもよい。例えば、認証モジュール120から渡された複数の利用者に関する情報(例えば、カードID)を受け取り、その利用者に設定されているアクセス権に関する情報に基づいて、アクセス権の承継(設定)であるのか解除であるのかの判別を行う。より具体的には、アクセス権情報テーブル500の継承元カードID欄520に他方のカードIDが記憶されている場合(つまり、いずれかのアクセス権が他方のカードIDに基づいて設定されている場合)は、アクセス権の解除であると判断し、互いのカードIDに対応するアクセス権情報テーブル500の継承元カードID欄520に互いのカードIDが記憶されていない場合(つまり、他方のカードIDに基づいてはアクセス権が設定されていない場合)は、アクセス権の設定であると判断する。
【0050】
ステップS822では、アクセス権処理モジュール130は、来訪者800Bのアクセス権情報テーブル500の継承元カードID欄520内のカードIDが利用者800AのカードIDと一致するか否かを判断する。一致する場合はステップS824へ進み、それ以外の場合はアクセス権処理モジュール130による処理を終了する。又は、一致しない場合はアクセス権の継承の処理(ステップS420、ステップS422)を行うようにしてもよい。
ステップS824では、アクセス権処理モジュール130は、1つの機器に対してアクセス権情報テーブル500の継承元カードID欄520に複数のカードIDが記憶されているか否かを判断する。複数記憶されている場合(複数のカードIDからアクセス権が設定されている場合)はステップS826へ進み、それ以外の場合(1つのカードIDによってアクセス権が設定されている場合)はステップS828へ進む。
【0051】
ステップS826では、アクセス権処理モジュール130は、ステップS824で判断された機器について、利用者800AのカードIDを継承元カードID欄520から削除する。この状態では、その機器に対するアクセス権は設定されている。つまり、利用者800AのカードID以外のカードIDによってアクセス権が設定されている。
ステップS828では、アクセス権処理モジュール130は、ステップS824で判断された機器について、そのアクセス権を削除する。つまり、利用可能機器ID欄530内の機器IDと対応する継承元カードID欄520内のカードIDを削除する。
なお、ステップS822からステップS828までの処理は機器毎に行い、これを繰り返す。
図10は、図9に示す例からアクセス権を解除した後のアクセス権情報テーブル500のデータ構造例を示す説明図である。つまり、「Card_A」から承継されたアクセス権である利用可能な「pc−a」と「pc−b」を削除しており(ステップS828)、「printer−a」については「Card_A」から承継されたことを削除している(ステップS826)。
【0052】
ステップS832では、利用者800Aは、ICカードリーダ110からICカード100Aを取り去る。
ステップS834では、認証モジュール120は、ICカード100Aを所有している機器利用可能利用者400Aの認証を解除する処理を行う。
ステップS842では、来訪者800Bは、ICカードリーダ110からICカード100Bを取り去る。
ステップS844では、認証モジュール120は、ICカード100Bを所有している機器利用不可能利用者400Bの認証を解除する処理を行う。
【0053】
図11は、本実施の形態によるアクセス権の解除処理例を示す説明図である。来訪者800Bが所持しているICカード100BをICカードリーダ110に単独でかざした場合の処理である。その来訪者800Bに設定されているアクセス権を解除する。つまり、来訪者800Bに設定されたアクセス権は、来訪者800B以外の他者に設定されたアクセス権に基づいて設定されたものである場合に、来訪者800Bに設定されたアクセス権を解除する。ICカードが単独でICカードリーダ110にかざされたか否かは、そのICカードをICカードリーダ110から取り去るまでの間に他のICカードを読み取ることがないこと、ICカードがかざされた時から予め定められた期間の間に他のICカードがかざされないこと等によって判断する。
【0054】
解除の具体的な方法は、アクセス権情報テーブル500の継承元カードID欄520に記憶されているカードIDが1つである場合であって、そのカードID以外のカードIDが記憶されていた場合は、継承元カードID欄520と利用可能機器ID欄530内を削除する。また、アクセス権情報テーブル500の継承元カードID欄520に記憶されているカードIDが複数である場合であって、そのカードIDが記憶されている場合は、継承元カードID欄520からそのカードID以外のカードIDを削除し、そのカードID以外のカードIDだけが記憶されている場合は、継承元カードID欄520と利用可能機器ID欄530内を削除する。
【0055】
図12は、本実施の形態によるアクセス権の解除処理例を示す説明図である。利用者800Aが所持しているICカード100AをICカードリーダ110に単独でかざした場合の処理である。その利用者800Aによって設定された他のICカード(例えば、ICカード100B)のアクセス権を解除する。つまり、来訪者800Bに設定されたアクセス権は、利用者800Aに設定されたアクセス権に基づいて設定されたものである場合に、来訪者800Bに設定されたそのアクセス権を解除する。ICカードが単独でICカードリーダ110にかざされたか否かの判断方法は、前述の通りである。
【0056】
解除の具体的な方法は、アクセス権情報テーブル500のカードID欄510内がICカードリーダ110によって読み取られたカードID以外(つまり、そのICカード以外のICカード)であり、継承元カードID欄520内にそのカードIDだけが記憶されている場合は継承元カードID欄520と利用可能機器ID欄530内を削除する。また、アクセス権情報テーブル500のカードID欄510内がICカードリーダ110によって読み取られたカードID以外(つまり、そのICカード以外のICカード)であり、継承元カードID欄520に記憶されているカードIDが複数である場合であって、そのカードIDが記憶されている場合は、継承元カードID欄520からそのカードIDを削除する。
【0057】
なお、図11の例に示す処理を行うか、図12の例に示す処理を行うかは、元から設定されているアクセス権の数に基づいて判断してもよい。例えば、ICカードリーダ110が読み込んだカードIDに設定されているアクセス権のうち、元から設定されているもの(アクセス権情報テーブル500のカードID欄510と継承元カードID欄520に記憶されているカードIDが同じもの)の数が予め定められた値よりも少ない場合は来訪者800Bの所持しているICカードと判断して図11の例に示す処理を行い、それ以外の場合は利用者800Aの所持しているICカードと判断して図12の例に示す処理を行う。
【0058】
図13から図16は、アクセス権の付与・解除処理例(1)〜(4)を示す説明図である。
図13(a)に示す例は、利用者AがICカード1310、利用者BがICカード1320、来訪者AがICカード1330を所持していることを示している。そして、図13(b)に示す例は、ICカード1310にはプリンタ150B、プロジェクタ150Dを利用可能とするアクセス権が設定されており、ICカード1320にはスキャナ150A、プロジェクタ150Dを利用可能とするアクセス権が設定されており、ICカード1330にはアクセス権は設定されていないことを示している。
【0059】
図14(a)に示す例は、ICカードリーダ110にICカード1310がかざされた後に、ICカード1330がかざされたことを示している。この動作によって、図13(b)に示したアクセス権の状態は、図14(b)に示す例のようになる。つまり、ICカード1310、ICカード1320のアクセス権は変更ないが、ICカード1330にはICカード1310と同じアクセス権が設定されたことを示している。
【0060】
図15(a)に示す例は、ICカードリーダ110にICカード1320がかざされた後に、ICカード1330がかざされたことを示している。この動作によって、図14(b)に示したアクセス権の状態は、図15(b)に示す例のようになる。つまり、ICカード1310、ICカード1320のアクセス権は変更ないが、ICカード1330にはさらにICカード1320と同じアクセス権が設定されたことを示している。なお、プリンタ150Bへのアクセス権はICカード1310によって設定され、スキャナ150Aへのアクセス権はICカード1320によって設定され、プロジェクタ150Dへのアクセス権はICカード1310とICカード1320によって設定されたものである。
【0061】
図16(a)に示す例は、ICカードリーダ110にICカード1330がかざされた後に、ICカード1310がかざされたことを示している。この動作によって、図15(b)に示したアクセス権の状態は、図16(b)に示す例のようになる。つまり、ICカード1310、ICカード1320のアクセス権は変更ないが、ICカード1330のプリンタ150Bのアクセス権が解除されたことを示している。なお、プロジェクタ150Dのアクセス権については、ICカード1310によって設定されたことは削除されるが、ICカード1320によって設定されたものもあるので、そのままアクセス権はあることになる。
【0062】
図17は、アクセス権情報テーブル1700のデータ構造例を示す説明図である。アクセス権情報テーブル1700は、アクセス権情報テーブル500の変形例である。
アクセス権情報テーブル1700は、カードID欄1710、利用可能機器ID欄1720、継承元カードID欄1730、継承先カードID欄1740を有している。
カードID欄1710は、カードID欄510と同等である。利用可能機器ID欄1720は、利用可能機器ID欄530と同等である。継承元カードID欄1730は、継承元カードID欄520と同等である。
継承先カードID欄1740は、そのカードIDに基づいてアクセス権が設定された他のカードIDを記憶する。
【0063】
図17に示す例では、「Card_A」にはアクセス権として「pc−a」と「pc−b」を利用可能となっているが、これは「pc−a」のアクセス権は「Card_B」と「Card_C」から承継したものであり、「pc−b」のアクセス権は「Card_B」から承継したものであること、「Card_B」にはアクセス権として「pc−a」と「pc−b」を利用可能となっているが、そのアクセス権を「Card_A」に承継したこと、そして、「Card_C」にはアクセス権として「pc−b」を利用可能となっているが、そのアクセス権を「Card_A」に承継したことを示している。
【0064】
アクセス権情報テーブル1700を用いる処理として、図4の例に示したステップS422では、機器利用可能利用者400Aが所持するICカードに対応する継承先カードID欄1740に機器利用不可能利用者400Bが所持するICカードのカードIDを記憶させる。また、図5の例に示したアクセス権処理モジュール130の処理において、利用者800Aが所持するICカードに対応する継承先カードID欄1740に記憶されているカードIDを用いて解除するカードIDを特定するようにしてもよい。特に、図12の例に示した処理では、ICカード100Aに対応する継承先カードID欄1740に記憶されているカードIDを用いて解除するカードIDを特定するようにしてもよい。
【0065】
なお、本実施の形態としてのプログラムが実行されるコンピュータのハードウェア構成は、図18に例示するように、一般的なコンピュータであり、具体的にはパーソナルコンピュータ、サーバとなり得るコンピュータ等である。つまり、具体例として、処理部(演算部)としてCPU1801を用い、記憶装置としてRAM1802、ROM1803、HD1804を用いている。HD1804として、例えばハードディスクを用いてもよい。認証モジュール120、アクセス権処理モジュール130等のプログラムを実行するCPU1801と、そのプログラムやデータを記憶するRAM1802と、本コンピュータを起動するためのプログラム等が格納されているROM1803と、補助記憶装置であるHD1804と、ICカードリーダ110、キーボード、マウス等のデータを入力する入力装置1806と、CRTや液晶ディスプレイ等の出力装置1805と、ネットワークインタフェースカード等の通信ネットワークと接続するための通信回線インタフェース1807、そして、それらをつないでデータのやりとりをするためのバス1808により構成されている。これらのコンピュータが複数台互いにネットワークによって接続されていてもよい。
【0066】
前述の実施の形態のうち、コンピュータ・プログラムによるものについては、本ハードウェア構成のシステムにソフトウェアであるコンピュータ・プログラムを読み込ませ、ソフトウェアとハードウェア資源とが協働して、前述の実施の形態が実現される。
なお、図18に示すハードウェア構成は、1つの構成例を示すものであり、本実施の形態は、図18に示す構成に限らず、本実施の形態において説明したモジュールを実行可能な構成であればよい。例えば、一部のモジュールを専用のハードウェア(例えばASIC等)で構成してもよく、一部のモジュールは外部のシステム内にあり通信回線で接続しているような形態でもよく、さらに図18に示すシステムが複数互いに通信回線によって接続されていて互いに協調動作するようにしてもよい。また、特に、パーソナルコンピュータの他、情報家電、複写機、ファックス、スキャナ、プリンタ、複合機(スキャナ、プリンタ、複写機、ファックス等のいずれか2つ以上の機能を有している画像処理装置)などに組み込まれていてもよい。
【0067】
また、前記実施の形態の説明において、予め定められた値との比較において、「より少ない(未満)」としたものは「以下」としてもよいし、比較する値(例えば、比較する両者を逆数とする等)によっては「以上」、「より大きい」としてもよい。
なお、前述の各種の実施の形態を組み合わせてもよく、各モジュールの処理内容として背景技術で説明した技術を採用してもよい。
【0068】
なお、説明したプログラムについては、記録媒体に格納して提供してもよく、また、そのプログラムを通信手段によって提供してもよい。その場合、例えば、前記説明したプログラムについて、「プログラムを記録したコンピュータ読み取り可能な記録媒体」の発明として捉えてもよい。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通などのために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
なお、記録媒体としては、例えば、デジタル・バーサタイル・ディスク(DVD)であって、DVDフォーラムで策定された規格である「DVD−R、DVD−RW、DVD−RAM等」、DVD+RWで策定された規格である「DVD+R、DVD+RW等」、コンパクトディスク(CD)であって、読出し専用メモリ(CD−ROM)、CDレコーダブル(CD−R)、CDリライタブル(CD−RW)等、ブルーレイ・ディスク(Blu−ray Disc(登録商標))、光磁気ディスク(MO)、フレキシブルディスク(FD)、磁気テープ、ハードディスク、読出し専用メモリ(ROM)、電気的消去及び書換可能な読出し専用メモリ(EEPROM)、フラッシュ・メモリ、ランダム・アクセス・メモリ(RAM)等が含まれる。
そして、前記のプログラム又はその一部は、前記記録媒体に記録して保存や流通等させてもよい。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、あるいは無線通信ネットワーク、さらにこれらの組み合わせ等の伝送媒体を用いて伝送させてもよく、また、搬送波に乗せて搬送させてもよい。
さらに、前記のプログラムは、他のプログラムの一部分であってもよく、あるいは別個のプログラムと共に記録媒体に記録されていてもよい。また、複数の記録媒体に分割して
記録されていてもよい。また、圧縮や暗号化など、復元可能であればどのような態様で記録されていてもよい。
【符号の説明】
【0069】
100…ICカード
110…ICカードリーダ
111…ICカードリーダ
120…認証モジュール
130…アクセス権処理モジュール
140…認証情報DB
150…機器
150A…スキャナ
150B…プリンタ
150C…PC
150D…プロジェクタ
180…機器利用アクセス権制御装置
191…通信回線
【特許請求の範囲】
【請求項1】
第1の利用者に関する情報及び第2の利用者に関する情報を受け取る利用者情報受取手段と、
前記第2の利用者に設定されている機器に対する利用権限は、前記第1の利用者に設定されている機器に対する利用権限に基づいて設定されたものである場合に、該第2の利用者に設定されている機器に対する該利用権限を解除する利用権限解除手段
を具備することを特徴とする情報処理装置。
【請求項2】
前記第2の利用者を識別する第2の利用者識別符号と該第2の利用者に設定されている機器に対する利用権限を設定したときの元となっている前記第1の利用者を識別する第1の利用者識別符号と該第2の利用者が利用権限を有している機器を識別する機器識別符号を対応させて記憶する記憶手段
をさらに具備し、
前記利用権限解除手段は、前記利用者情報受取手段によって受け取られた第1の利用者に関する情報及び第2の利用者に関する情報に基づいて、前記記憶手段に記憶されている前記第2の利用者識別符号に対応した機器識別符号を削除することによって機器に対する利用権限を解除する
ことを特徴とする請求項1に記載の情報処理装置。
【請求項3】
利用者に関する情報を受け取る利用者情報受取手段と、
前記利用者情報受取手段によって受け取られた第1の利用者に関する情報に基づいて、該第1の利用者に設定されている機器に対する利用権限に基づいて設定された第2の利用者の機器に対する利用権限を解除する利用権限解除手段
を具備することを特徴とする情報処理装置。
【請求項4】
利用者に関する情報を受け取る利用者情報受取手段と、
前記利用者情報受取手段によって受け取られた第2の利用者に設定された機器に対する利用権限は、第1の利用者に設定された機器に対する利用権限に基づいて設定されたものである場合に、該第2の利用者に設定された機器に対する利用権限を解除する利用権限解除手段
を具備することを特徴とする情報処理装置。
【請求項5】
前記利用者に関する情報は携帯可能な媒体に格納されており、前記利用者情報受取手段が受け取る利用者に関する情報は、該媒体に格納されている情報から読み取ったものである
ことを特徴とする請求項1から4のいずれか一項に記載の情報処理装置。
【請求項6】
コンピュータを、
第1の利用者に関する情報及び第2の利用者に関する情報を受け取る利用者情報受取手段と、
前記第2の利用者に設定されている機器に対する利用権限は、前記第1の利用者に設定されている機器に対する利用権限に基づいて設定されたものである場合に、該第2の利用者に設定されている機器に対する該利用権限を解除する利用権限解除手段
として機能させることを特徴とする情報処理プログラム。
【請求項1】
第1の利用者に関する情報及び第2の利用者に関する情報を受け取る利用者情報受取手段と、
前記第2の利用者に設定されている機器に対する利用権限は、前記第1の利用者に設定されている機器に対する利用権限に基づいて設定されたものである場合に、該第2の利用者に設定されている機器に対する該利用権限を解除する利用権限解除手段
を具備することを特徴とする情報処理装置。
【請求項2】
前記第2の利用者を識別する第2の利用者識別符号と該第2の利用者に設定されている機器に対する利用権限を設定したときの元となっている前記第1の利用者を識別する第1の利用者識別符号と該第2の利用者が利用権限を有している機器を識別する機器識別符号を対応させて記憶する記憶手段
をさらに具備し、
前記利用権限解除手段は、前記利用者情報受取手段によって受け取られた第1の利用者に関する情報及び第2の利用者に関する情報に基づいて、前記記憶手段に記憶されている前記第2の利用者識別符号に対応した機器識別符号を削除することによって機器に対する利用権限を解除する
ことを特徴とする請求項1に記載の情報処理装置。
【請求項3】
利用者に関する情報を受け取る利用者情報受取手段と、
前記利用者情報受取手段によって受け取られた第1の利用者に関する情報に基づいて、該第1の利用者に設定されている機器に対する利用権限に基づいて設定された第2の利用者の機器に対する利用権限を解除する利用権限解除手段
を具備することを特徴とする情報処理装置。
【請求項4】
利用者に関する情報を受け取る利用者情報受取手段と、
前記利用者情報受取手段によって受け取られた第2の利用者に設定された機器に対する利用権限は、第1の利用者に設定された機器に対する利用権限に基づいて設定されたものである場合に、該第2の利用者に設定された機器に対する利用権限を解除する利用権限解除手段
を具備することを特徴とする情報処理装置。
【請求項5】
前記利用者に関する情報は携帯可能な媒体に格納されており、前記利用者情報受取手段が受け取る利用者に関する情報は、該媒体に格納されている情報から読み取ったものである
ことを特徴とする請求項1から4のいずれか一項に記載の情報処理装置。
【請求項6】
コンピュータを、
第1の利用者に関する情報及び第2の利用者に関する情報を受け取る利用者情報受取手段と、
前記第2の利用者に設定されている機器に対する利用権限は、前記第1の利用者に設定されている機器に対する利用権限に基づいて設定されたものである場合に、該第2の利用者に設定されている機器に対する該利用権限を解除する利用権限解除手段
として機能させることを特徴とする情報処理プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【公開番号】特開2010−277486(P2010−277486A)
【公開日】平成22年12月9日(2010.12.9)
【国際特許分類】
【出願番号】特願2009−131578(P2009−131578)
【出願日】平成21年5月29日(2009.5.29)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
【公開日】平成22年12月9日(2010.12.9)
【国際特許分類】
【出願日】平成21年5月29日(2009.5.29)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
[ Back to top ]