文書情報処理装置にアクセスするための方法、マシン読取可能な媒体及び装置
【課題】文書情報処理装置により提供される機能へのアクセスを、従来の手法よりも、簡易且つ効果的に管理すること。
【解決手段】文書情報処理装置により、文書情報処理装置にアクセスするためのリクエストが受信される。文書情報処理装置は認証トークンから認証データを読み取り、認証トークンはリクエストを発行したユーザに関連する携帯可能な物体である。例えば、認証トークンは、近接型カード、共通アクセスカード(CAC)、スマートカード、クレジットカード、運転免許証又はセルラ電話でもよい。文書情報処理装置は、認証データに基づいて、リクエストを実行するのに十分なユーザアクセス特権をユーザが有するか否かを判定する。リクエストを実行するのに十分なユーザアクセス特権をユーザが有するように判定された場合に、文書情報処理装置はリクエストを実行する。
【解決手段】文書情報処理装置により、文書情報処理装置にアクセスするためのリクエストが受信される。文書情報処理装置は認証トークンから認証データを読み取り、認証トークンはリクエストを発行したユーザに関連する携帯可能な物体である。例えば、認証トークンは、近接型カード、共通アクセスカード(CAC)、スマートカード、クレジットカード、運転免許証又はセルラ電話でもよい。文書情報処理装置は、認証データに基づいて、リクエストを実行するのに十分なユーザアクセス特権をユーザが有するか否かを判定する。リクエストを実行するのに十分なユーザアクセス特権をユーザが有するように判定された場合に、文書情報処理装置はリクエストを実行する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は識別トークン(identification token)を利用して文書情報処理装置へのアクセスを管理することに関連する。
【背景技術】
【0002】
このセクションで説明されるアプローチは追跡可能なアプローチであるが、考察又は追跡が過去になされているアプローチであるとは限らない。従って、特に断りのない限り、このセクションで説明されるどのアプローチも、このセクションに含まれているという理由だけで従来技術と考えるよう仮定されるべきではない。
【0003】
プリンタやスキャナのような文書情報処理装置へのアクセスを制御又は管理することがしばしば望まれる。例えば、機密情報を取り扱う企業は、或る書類又は文書を複製又は印刷するのに使用されるかもしれない如何なる装置へのアクセスも制限したいであろう。別の例として、企業は、カラープリンタのような或る装置へのアクセスを、その装置の利用を必要とする仕事を持つ従業者に制限したいかもしれない。
【0004】
プリンタへのアクセスを制限する1つのアプローチは、ユーザ名及びパスワードの組み合わせを利用することを含む。ロック印刷機能のようなプリンタの或る機能へユーザがアクセスする前に、ユーザは正当なユーザ名及びパスワードをプリンタに提示する必要があるかもしれない。典型的にはプリンタはインターフェースを用意し、そのインターフェースを介してユーザは彼又は彼女のユーザ名及びパスワードをプリンタに提示する。このアプローチは、ユーザが彼又は彼女のユーザ名及びパスワードを記憶しなければならない点で問題が残る。また、ユーザ名及びパスワードの組み合わせをインターフェースにタイプ入力することは或る低度の時間及び労力を必要とし、やがてフラストレーションになるかもしれない。
【発明の開示】
【発明が解決しようとする課題】
【0005】
本発明の課題は、文書情報処理装置により提供される機能へのアクセスを、従来の手法よりも、簡易且つ効果的に管理することである。
【課題を解決するための手段】
【0006】
識別トークンを利用して文書情報処理装置へのアクセスを管理する技法がもたらされる。認証トークン(authentication token)は、或るユーザに関連付けられたポータブルな物理的オブジェクト(携帯可能な物体)である。認証トークンを利用して文書情報処理装置へのアクセスを管理することで、文書情報処理装置へのアクセスは、文書情報処理装置のユーザにとって多大な利便性と共に管理される。なぜなら、もはやユーザはユーザ名及びパスワードを記憶する義務を負わないからである。更に、本発明の実施形態は、物理的対象物に基づいてアクセスを管理することで、従来のアプローチを上回る更なるセキュリティをもたらし、従来のアプローチは意図的に又は知らずに他者に簡単に通知されてしまうおそれのある情報(例えば、ユーザ名及びパスワード等)に基づいている。
【0007】
一形態では、文書情報処理装置により、文書情報処理装置にアクセスするためのリクエストが受信される。例えば、リクエストは、文書情報処理装置を設定するリクエスト、電子書類の電子コピーを作成するリクエスト又は書類のハードコピーのリクエストでもよい。文書情報処理装置は認証トークンから認証データを読み取る。例えば、認証トークンはリクエストを発行したユーザに関連する携帯可能な物理的な対象物である。例えば、認証トークンは、近接型カード、共通アクセスカード(CAC)、スマートカード、クレジットカード、運転免許証又はセルラ電話でもよい。文書情報処理装置は、認証データに基づいて、リクエストを実行するのに十分なユーザアクセス特権をユーザが有するか否かを判定する。リクエストを実行するのに十分なユーザアクセス特権をユーザが有するように判定された場合に、文書情報処理装置はリクエストを実行する。このように、文書情報処理装置により提供される機能へのアクセスは、従来の手法よりも、非常に簡易に管理され制御される。
【発明を実施するための最良の形態】
【0008】
以下、本発明の実施例が添付図面と共に例示的に説明される。図中、同様な参照番号は同様な要素に関連する。
【0009】
説明を目的とする以下の詳細な説明では、ここで議論される発明の実施例の十分な理解を図るため、様々な具体的な詳細が述べられる。しかしながら、ここで説明される発明の実施例はそのような具体的詳細なしに実施されてもよいことは明白であろう。それ以外には、ここで議論される発明の実施例を不必要に曖昧にするかもしれないことを避けるため、周知の構造及び装置はブロック図形式で示される。
【実施例1】
【0010】
(アーキテクチャ概要)
図1Aは本発明の一実施例によるシステム例100のブロック図である。図1Aのシステム100は、認証トークンを用いて文書情報処理装置へのアクセスを管理するために使用される。認証トークンは、リクエストを発行したユーザに関連付けられている持ち運び可能な物理的な対象物である。認証トークンの非限定的な具体例は、近接型ICカード、共通カード(CAC: Common Access Card)、スマートカード、クレジットカード、運転免許証又はセルラ電話等を含む。
【0011】
システム100は、クライアント110、文書情報処理装置120、入力装置130、認証サーバー140及び通信リンク150,152,154を含む。一実施例では、認証トークンを利用して認証が行われることによって、ユーザは、文書情報処理装置120で用意されている1以上の機能へのアクセス権を得る。
【0012】
クライアント110は、文書情報処理装置120との通信機能をもたらす媒体又は手段の如何なるものによって実現されてもよい。例えば、電子書類の物理的なコピーを印刷するリクエスト(印刷要求)を文書情報処理装置120に発行するために、ユーザはクライアント110を利用してもよい。また、ユーザは他のタイプのリクエストを文書情報処理装置120に送るのにクライアント110を利用してもよい。他のタイプのリクエストは、例えば、電子書類のファクシミリコピーを関係者に送信するリクエスト(ファックスリクエスト)、印刷された書類の電子コピーを生成するリクエスト(スキャンリクエスト)又は文書情報処理装置120の動作を設定するリクエスト(コンフィギュレーションリクエスト)等である。説明の簡明化を図るため、図1Aでは1つのクライアントしか描かれていないが、本発明の実施例は、ゼロ又はより多くのクライアントを含むいくつのクライアントを利用してもよい。クライアントの非限定的な具体例は、ウェブブラウザ、ソフトウエアアプリケーション、無線装置、セルラ電話及びパーソナルコンピュータ(PC)を含む。クライアント110は図1Aではシステム100の一部分として描かれているが、以下の更なる説明で言及されるように、本発明の他の実施例はクライアント110を含まなくてもよい。文書情報処理装置120で用意されているインターフェースを利用してユーザが文書情報処理装置120にリクエストを発行してもよいからである。従ってクライアント110は選択的であり、本発明の全ての実施例でシステム100はクライアント110を必ずしも含まない。
【0013】
文書情報処理装置120は、書類を処理する媒体又は手段の如何なるものによって実現されてもよい。例えば文書情報処理装置120は:電子書類の印刷されたコピーを生成すること、印刷された書類のハードコピーを生成すること、電子書類を送受信すること及び印刷書類の電子コピーを生成することの内の少なくとも1つを実行できる如何なる装置を含んでもよい。文書情報処理装置120の非限定的な例は、プリンタ、複合機(MFP)、ファクシミリ、コピー機及びスキャナを含む。文書情報処理装置120は、文書情報処理装置120で用意されているインターフェースから又はクライアントから、ユーザからのリクエストを受信してもよい。例えば、一実施例では、文書情報処理装置120で用意されているグラフィカルユーザインターフェースを利用して、特定の機能を実行するようにユーザが文書情報処理装置120を設定してもよい。
【0014】
一実施例では、文書情報処理装置120はアクセスデータ122及びアクセスモジュール120を含む。アクセスデータは、文書情報処理装置120で用意されている1以上の機能について、各機能にアクセスするのに要求される一群の要求されるアクセス権を記述する。一実施例において、説明のため、文書情報処理装置120は機能A及び機能Bをサポートしているとする。機能Aへのアクセス権を有するユーザに対して、そのユーザには機能Aに必要なアクセス権以上のアクセス権(以下、ユーザアクセス特権という)の割当を要すること、及び機能Bへのアクセス権を有するユーザに対して、そのユーザには機能Bに必要なアクセ宇検以上のユーザアクセス特権の割当を要することをアクセスデータ122は記述してよい。アクセスデータ122は図1Aでは文書情報処理装置120に格納されているように描かれているが、不図示の本発明の別の実施例では、アクセスデータ122は文書情報処理装置120にとって外部であるがアクセス可能な場所に格納されてもよい。
【0015】
アクセスモジュール124は、文書情報処理装置120へのアクセスを管理する責務を負うソフトウエアモジュールである。一実施例では、文書情報処理装置120により提供される所望の機能に特定のユーザがアクセスするのを文書情報処理装置120が許可する前に、その特定のユーザのユーザアクセス特権が、その所望の機能に関連付けられている必要なアクセス権以上であることをアクセスモジュール124は確認する。更に、別の実施例では、文書情報処理装置120で提供される機能にユーザがアクセスしようとする場合に、アクセスモジュール124は、認証トークンから得た認証データを利用して、そのユーザについての一群のユーザアクセス特権を認証サーバー140から抽出してもよい。アクセスモジュール124で実行される動作は以下で更に説明される。
【0016】
ユーザに関連する認証トークンから認証データを読み出す媒体又は手段の如何なるもので入力装置130が実現されてもよい。入力装置130の非限定的な具体例は、スキャナ及びバーコードリーダを含む。一実施例では、入力装置130は文書情報処理装置120に物理的に接続されてもよい。例えば、図1Aでは不図示の実施例では、文書情報処理装置120及び入力装置130は同じマシンで実現されてもよい。別の実施例では、入力装置130は、ケーブルのような通信リンク154の物理的な形態で文書情報処理装置120に物理的に接続されてもよい。別の実施例では、入力装置130は文書情報処理装置120に物理的には接続されていないが操作可能に接続されているかもしれない。例えば、入力装置130は通信リンク154を介して文書情報処理装置120と無線通信可能であるかもしれない。
【0017】
認証サーバー140は、あるユーザのユーザアクセス特権を文書情報処理装置120に与えることができる如何なる媒体又は手段によって実現されてもよい。一実施例では、説明の便宜上、アクセスモジュール124は認証サーバー140にリクエストを送信するものとする。そのリクエストはユーザのユーザ識別子を含む。ユーザ識別子に基づいて、認証サーバー140はそのユーザのユーザアクセス特権を確認し、そのユーザのユーザアクセス特権をアクセスモジュール124に送信する。認証サーバー140は、コンピュータシステムで動作する一群のソフトウエア命令として実現されてもよい。認証サーバー140は図1Aではシステム100の一部として描かれているが、以下に更に説明されるように、本発明の他の実施例では認証サーバー140を含まなくてもよい。従って認証サーバー140は選択的であり、本発明の全ての実施例で存在するとは限らない。
【0018】
通信リンク150は、クライアント及び文書情報処理装置120間でデータをやり取りする媒体又は手段の如何なるものによって実現されてもよい。通信リンク152は、認証サーバー140及び文書情報処理装置120間でデータをやり取りする媒体又は手段の如何なるものによって実現されてもよい。通信リンク154は、入力装置130及び文書情報処理装置120間でデータをやり取りする媒体又は手段の如何なるものによって実現されてもよい。通信リンク150,152,154の具体例は、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)、イーサーネット若しくはインターネット、1以上の地上、衛星若しくは無線リンク等のようなネットワークを含むが、これらに限定されない。
【0019】
以下、本発明の一実施例によるシステム例を説明することで、本発明の一実施例による認証トークンを用いて文書情報処理装置へのアクセスを管理する機能ステップが説明される。
【0020】
(認証トークンを用いた文書情報処理装置へのアクセス管理)
図2は文書情報処理装置へのアクセスを管理する本発明の一実施例による機能ステップを示すフローチャートである。図2のステップの説明の便宜上、図2のステップの説明は図1Aのシステム100を参照しながらなされる。
【0021】
図2のステップは、近接型カード及び共通アクセスカード(CAC)双方を含むいくつかの具体例を用いて以下に説明される。近接型カードはユーザ識別子を含む携帯可能な対象物であり、ユーザ識別子は近接型カードに関連付けられたユーザを固有に区別する情報である。ユーザは入力装置130に近接型カードを提示し、その近接型カードから入力装置130がユーザ識別子を読み取れるようにする。入力装置130が近接型カードからユーザ識別子を読み取ると、入力装置130はそのユーザ識別子を文書情報処理装置120に与える。その後にアクセスモジュール124は認証サーバー140と連絡をとり、認証サーバー140にそのユーザ識別子を与えることで、近接型カードのユーザのユーザアクセス特権(情報)を取得する。認証サーバー140は、ユーザ識別子を利用してそのユーザのアクセス特権を検索し、その後にユーザアクセス特権をアクセスモジュール124に送信する。
【0022】
CACは、近接型カードより詳しいユーザに関する情報群を含む携帯可能な対象物である。例えば、一実施例では、CACはユーザのユーザアクセス特権を含む。かくて、入力装置130はユーザのユーザアクセス特権をCACから直接的に読み取り、そのユーザのアクセス特権を文書情報処理装置120に与えてもよい。かくて、CACのユーザのユーザアクセス特権を取得するために、アクセスモジュール124が認証サーバー140と連絡を取ることは必須ではない。なぜなら、ユーザアクセス特権はCACに格納済みの情報により見分けられるからである。
【0023】
ステップ210では、始めに、文書情報処理装置120の1以上の所望の機能にアクセスするユーザからのリクエストが、文書情報処理装置120で受信される。ステップ210のリクエストをユーザは様々な方法で文書情報処理装置120に送信してよい。例えば、勝利処理装置120で用意されているグラフィカルユーザインターフェースを介して又はクライアント110を介してユーザはリクエストを発行してもよい。
【0024】
ステップ210のリクエストは、文書情報処理装置120で用意されている何らかの機能にアクセスするためのリクエストでよい。例えば、ステップ210のリクエストは、コンフィギュレーションリクエスト、プリントリクエスト、スキャンリクエスト又はファックスリクエストでもよい。
【0025】
一実施例では、ステップ210のリクエストは、文書情報処理装置120でアクセスモジュー124により受信される。ステップ210のリクエストが文書情報処理装置120で受信された後に、処理はステップ220に進む。
【0026】
ステップ220では、文書情報処理装置120は入力装置130を用いて認証トークンから認証データを読み取る。認証データは、そのユーザについてのユーザアクセス特権を確認するためにアクセスモジュール124で使用されるデータである。例えば、認証データは、(例えば、CACに格納された認証データのように)ユーザアクセス特権をそれ自身で含む又は確認してもよいし、或いは(近接型カードに格納された認証データのように)認証データは、ユーザアクセス特権を認証サーバー140から取得するためにアクセスモジュール124で使用されるユーザ識別子でもよい。
【0027】
一実施例では、ステップ210のリクエストをユーザが発行した後で、ユーザは認証トークンを入力装置130に提示し、入力装置130が認証データを認証トークンから読み取ることを可能にする。以後、入力装置130は通信リンク154を介して認証データをアクセスモジュール124に送信する。
【0028】
例えば、ステップ210でユーザはクライアント110を用いて文書情報処理装置120に対する印刷リクエストを発行してもよい。その後ユーザは入力装置130の場所まで歩き、彼のセルラ電話機を入力装置130に提示する。ステップ220では、入力装置130はそのセルラ電話機から認証データを読み取る、例えば入力装置130はセルラ電話機のスクリーンから(バーコード又は英数字文字列等のような)情報を読み取ってもよい。セルラ電話機から認証データを読み取ると、以後入力装置130は認証データをアクセスモジュール124に送信する。
【0029】
文書情報処理装置120が認証トークンから認証データを読み取った後、処理はステップ230に進む。
【0030】
ステップ230では、文書情報処理装置120の所望の機能にアクセスするのに十分なユーザアクセス特権をそのユーザが持っているか否かを、文書情報処理装置120は確認する。一実施例では、受信したリクエストで確認された文書情報処理装置120で提供される望まれる機能に要求されるアクセス特権とそのユーザのアクセス特権とを比較することで、アクセスモジュール124はステップ230を実行する。
【0031】
認証トークンに含まれる情報は実施例ごとに異なってよいので、アクセスモジュール124は様々な方法で実現されてよい。図1Bは第1タイプの認証トークンを処理する本発明の一実施例によるアクセスモジュール124のブロック図である。図1Bのアクセスモジュール124Bにより処理される第1タイプの認証トークンは、認証データを格納する如何なるタイプの認証トークンも含み、その認証データは認証トークンのユーザに関するユーザアクセス特権又はユーザ識別子を含む。例えば図1Bのアクセスモジュール124Bは近接型カードを処理してもよい。
【0032】
図1Bのアクセスモジュール124Bは、コンフィギュレーションモジュール160、認証サーバー通信モジュール162及び要求アクセス特権検索モジュール164を含む。コンフィギュレーションモジュール160は、アクセスモジュール124Bの動作を管理者(アドミニストレータ)が設定できるようにするソフトウエアモジュールである。管理者はコンフィギュレーションモジュール160を用いてアクセスデータ122を生成又は更新し、例えば管理者は、文書情報処理装置120で用意されている何らかの機能に要求される一群のアクセス特権をアクセスデータ122の中で確認、記録及び/又は更新してもよい。
【0033】
認証サーバー通信モジュール162は、認証サーバ140と通信可能なソフトウエアである。アクセスモジュール124Bは、認証サーバー通信モジュール162を用いて、一群のユーザアクセス特権に関するリクエストを認証サーバー140に送信する。リクエストはユーザ識別子を含む。認証サーバーは、認証サーバー通信モジュール162からリクエストを受信すると、ユーザ識別子に関連付けられているユーザアクセス特権を検索し、その後にユーザアクセス特権を認証サーバー通信モジュール162に送信する。このように認証サーバー通信モジュール162は、ユーザに関連付けられたユーザ識別子を用いてユーザに関するユーザアクセス特権を取得してもよい。要求アクセス特権検索モジュール164は、文書情報処理装置120によって提供される機能について必要となるアクセス特権をアクセスデータ122から検索することができるソフトウエアモジュールであり、その機能はステップ210のリクエストで要求されていたものである。文書情報処理装置120で提供される機能について必要なアクセス特権は、アクセスデータ122の中で確認される。
【0034】
かくてステップ230ではアクセスモジュール124Bが認証データを受信し、その認証データは認証トークンのユーザのユーザ識別子を区別する。認証トークンがステップ210のリクエストを発行したのと同じユーザに関連付けされていることの確認後に、アクセスモジュール124Bは、認証サーバー通信モジュール162を用いてユーザアクセス特権を検索する。次に、アクセスモジュール124Bは、文書情報処理装置120で提供され要求されている機能(ステップ210で要求されていた機能)に必要なアクセス特権を、要求アクセス特権検索モジュール164を用いて検索する。以後、文書情報処理装置120の望まれる機能各々にアクセスするのに十分なユーザアクセス特権をユーザが持っているか否かを、アクセスモジュール124Bは確認する。例えばアクセスモジュール124Bは、文書情報処理装置120の要求される機能各々について、その機能に要求されるアクセス特権に等しい又はそれより大きな値のユーザアクセス特権を、ユーザが持っていることを保証してもよい。このように、近接型カードを提示しているユーザが、文書情報処理装置120の希望の機能にアクセスするのに十分なユーザアクセス特権を持っているか否かを、アクセスモジュール124Bは確認する。
【0035】
図1Cは、第2タイプの認証トークンを処理するための本発明の一実施例によるアクセスモジュール124を例示するブロック図である。第2タイプの認証トークンは、図1Cのアクセスモジュール124Cで処理されてもよく、認証データを格納する如何なるタイプの認証トークンをも含み、認証データは認証トークンのユーザに関するユーザアクセス特権を含む。例えば、図1Cのアクセスモジュール124CはCACを処理してもよい。
【0036】
一実施例では、アクセスモジュール124Cはコンフィギュレーションモジュール160及び要求アクセス特権検索モジュール164を含み、それらは上述したように機能する。ステップ230では、アクセスモジュール124Cは、認証トークンのユーザに関するユーザアクセス特権を識別する認証データを受信する。アクセスモジュール124Cは、ステップ210で要求されていた文書情報処理装置120で提供され希望される機能について、要求アクセス特権検索モジュール164を用いて必要なアクセス特権を検索する。以後、文書情報処理装置120の希望の機能各々にアクセスするのに十分なユーザアクセス特権をユーザが持っているか否かを、アクセスモジュール124Cは確認する。例えば、アクセスモジュール124Cは、文書情報処理装置120の要求される機能各々について、その機能に必要なアクセス特権以上のユーザアクセス特権をそのユーザが持っていることを保証してもよい。このようにアクセスモジュール124Cは、文書情報処理装置120の希望の機能にアクセスするのに十分なユーザアクセス特権を、CACを提示しているユーザが持っているか否かを確認してもよい。
【0037】
ステップ240では、文書情報処理装置120の希望の機能にアクセスするのに十分なユーザアクセス特権をユーザが持っていることを文書情報処理装置120が確認すると、文書情報処理装置120は、文書情報処理装置120の希望の機能にアクセスするリクエストを実行する。
【0038】
文書情報処理装置120の希望の機能にアクセスするのに十分なユーザアクセス特権をユーザが持っていないことを文書情報処理装置120が確認すると、文書情報処理装置120は、ユーザがそのリクエストを与えた場所でエラーメッセージを表示してもよい。例えば、ユーザがクライアント110でステップ210のリクエストを与えたならば、文書情報処理装置120は、そのリクエストはクライアントに対して実行されないことを示すエラーメッセージを送信してもよい。別の例として、文書情報処理装置120に備わっているグラフィカルユーザインターフェースでステップ210のリクエストをユーザが与えたならば、文書情報処理装置120は、そのリクエストは実行されないことを示すエラーメッセージをグラフィカルユーザインターフェースで表示してもよい。
【0039】
状況によっては、ステップ230を実行する際に、文書情報処理装置120の希望の機能にアクセスするのに十分なユーザアクセス特権をユーザが持っているか否かを確認するために、アクセスモジュールが追加的な認証情報を求めることを必要としてもよい。このような状況に対処する本発明の実施例が以下に説明される。
【0040】
(更なる認証情報を用いたアクセス管理)
場合によっては、文書情報処理装置120の希望の機能にアクセスするのに十分なユーザアクセス特権をユーザが持っているか否かを判定するために、アクセスモジュール124は更なる認証情報を要求する必要があってもよい。例えば、通信リンク152が利用可能でなくなった場合に、認証サーバー通信モジュール162は認証サーバー140と通信することができなくなり、従ってアクセスモジュール124Bはユーザのユーザアクセス特権を確認できなくなる。例えば、アクセスモジュール124が、認証サーバー140に送った通知からの返事を所定期間経過後に受けることに失敗すると、アクセスモジュール124は(a)ステップ210のリクエストを実行することを拒否してもよいし、或いは(b)追加的な認証情報をユーザが提供するように促してもよい。その追加的な情報は、文書情報処理装置120の希望の機能にアクセスするのに十分なユーザアクセス特権をユーザが持っているか否かをアクセスモジュール124が確認するのに使用される。
【0041】
他の実施例では、要求される機能を実行するのに十分な文書情報処理装置120のアクセス特権をユーザが持っているか否かを確認する前に、アクセスモジュール124は、認証トークンによって与えられる認証データに加えて、追加的な認証情報をユーザが提示することを要求してもよい。このように、追加的な認証情報はユーザの身元及び/又はユーザのユーザアクセス特権に関する二次的なチェック機能をもたらすので、アクセスモジュール124は、認証トークンを提示したユーザの身元確認を支援する。
【0042】
一実施例では、アクセスモジュール124で要求される追加的な認証情報は如何なる形式のものでもよく、その形式は、ユーザ名/パスワードの組み合わせ、パスワード、(指紋のスキャンや網膜のスキャン等による)生体情報及びバーコードを含むがそれらに限定されない。追加的な認証情報は、(例えば、追加的な認証情報がバーコードや生体情報であった場合)入力装置130を介してユーザにより提示されてもよいし、或いは(例えば、追加的な認証情報が、ユーザ名、パスワード又はユーザ名/パスワードの組み合わせであった場合)文書情報処理装置で用意されているグラフィカルユーザインターフェースを介して提示されてもよい。
【0043】
(実現手段)
クライアント110、文書情報処理装置120、入力装置130及び認証サーバー10はそれぞれコンピュータシステムで実現されてよい。図3は本発明の実施例で使用されるコンピュータシステム300のブロック図を示す。コンピュータシステム300は、情報を通信するためのバス302又は他の通信手段と、バス302に結合され情報を処理するプロセッサ304とを有する。コンピュータシステム300は、ランダムアクセスメモリ(RAM)又は他のダイナミックストレージデバイスのようなバス302に結合されたメインメモリ306を有し、メインメモリはプロセッサで実行される命令や情報を格納する。メインメモリ306は、プロセッサで実行される命令の実行中に、一時的な変数又は他の中間的な情報を格納するのに使用されてもよい。コンピュータシステム300は、プロセッサ304のための命令や静的な情報を格納する、バス302に結合されたリードオンリメモリ(ROM)又は他のスタティックストレージデバイスを更に含む。磁気ディスク又は他の光ディスクのようなストレージデバイス310は、情報及び命令を格納するために用意されバス302に結合される。
【0044】
コンピュータシステム300は、コンピュータユーザに情報を表示するために、陰極線管(CRT)のようなディスプレイ312にバス302を介して結合されてもよい。英数字その他のキーを含む入力装置314は、情報及び命令選択内容をプロセッサ304に通知するためにバス302に結合される。他の種類のユーザ入力装置は、カーソル制御装置316(例えば、マウス、トラックボール、スタイラス又はカーソル方向キー)であり、指示情報及び命令選択をプロセッサ304に通知し且つディスプレイ312でのカーソルの動きを制御する。この入力装置は典型的には第1軸(例えば、x)及び第2軸(例えば、y)の2軸による2つの自由度を有し、装置が平面上の位置を指定できるようにする。
【0045】
本発明はここで説明された技法を実現するコンピュータシステム300を利用することに関連する。本発明の一実施例によれば、メインメモリ306に含まれる1以上の命令の1以上のシーケンスを実行するプロセッサ304に応じて、それらの技法がコンピュータシステム300によって実行される。そのような命令は、ストレージデバイス310のような他のマシン読取可能な媒体からメインメモリ306に読み込まれてもよい。メインメモリ306に含まれている命令シーケンスの実行は、本願で説明されるプロセスステップをプロセッサが実行することを引き起こす。代替実施例では、本発明を実施するために、ハードワイヤード回路が、代替的に使用されてもよいし或いはソフトウエア命令との組み合わせで使用されてもよい。すなわち本発明の実施例はハードウエア回路及びソフトウエアの特定の如何なる組み合わせにも限定されない。
【0046】
ここで使用されているように「マシン読取可能な媒体」なる用語は、特定の形式でマシンに動作を引き起こすデータを用意することに関与する如何なる媒体にも関連する。コンピュータシステム300を用いて実現される実施例では、例えば、様々なマシン読み取り可能な媒体は、実行に備えて命令をコンピュータ304に命令を提供することの中に含まれる。そのような媒体は多くの形態をとってよく、限定ではないが、不揮発性媒体、揮発性媒体及び伝送媒体を含む。不揮発性媒体は、例えば、ストレージデバイス310のような光又は磁気ディスクを含む。揮発性媒体は、メインメモリ306のようなダイナミックメモリを含む。伝送媒体は、同軸ケーブル、銅線及び光ファイバを含み、バス302を構成するワイヤを含む。伝送媒体は、無線電波及び赤外線データ通信の際に生成されるもののような、音波又は光波の形式をとってもよい。そのような媒体の全ては有体であり、その媒体で搬送される命令は、命令をマシン中に読み込む物理的手段によって検出可能である。
【0047】
マシン読取可能な媒体の一般的な形態は、例えば、フロッピディスク、フレキシブルディスク、ハードディスク、磁気テープその他の如何なる磁気媒体、CD-ROMその他の如何なる光媒体、パンチカード、紙テープ又は穴のパターンを有する他の如何なる物理的媒体、RAM、PROM、EPROM、フラッシュEPROMその他のメモリチップ、カートリッジ、上記のような搬送波又はコンピュータが読み取ることの可能な他の如何なる媒体をも含む。
【0048】
マシン読取可能な様々な形態は、1以上の命令の1以上のシーケンスをプロセッサ304に実行に備えて搬送する際に含まれてもよい。例えば命令は初期には遠く離れたリモートコンピュータの磁気ディスクで搬送されてもよい。リモートコンピュータは自身のダイナミックメモリにその命令をロードし、モデムを用いて電話回線を介して命令を送信してもよい。コンピュータシステム300付近のモデムは電話回線でそのデータを受信し、赤外線送信機を用いてそのデータを赤外線信号に変換する。赤外線検出器は、赤外線信号で搬送されたデータを受信し、適切な回路がそのデータをバス302に置く。バス302はデータをメインメモリ306に運び、プロセッサ304はメインメモリから命令を抽出して実行する。メインメモリ306で受信された命令は、プロセッサ304で実行される前又はその後にストレージデバイス310に選択的に格納されてもよい。
【0049】
コンピュータシステム300はバス302に結合された通信インターフェース318も含む。通信インターフェース318は、ローカルネットワーク322に接続されるネットワークリンク320に結合する双方向データ通信をもたらす。例えば、通信インターフェース318は、データ通信接続を対応するタイプの電話回線に与える統合サービスディジタルネットワーク(ISDN)カード又はモデムでもよい。別の例では、通信インターフェース318は、データ通信接続をコンパチブルなLANに与えるLANカードでもよい。無線リンクが使用されてもよい。どの実現手段でも、通信インターフェース318は、電気的な、電磁的な又は光学的な信号を送信及び受信し、様々なタイプの情報を表現するディジタルデータストリームを運ぶ。
【0050】
ネットワークリンク320は典型的には1以上のネットワークを介して他のデータ装置とのデータ通信をもたらす。例えば、ネットワークリンク320はローカルネットワーク322を介してホストコンピュータ324とのコネクションを提供する、或いはインターネットサービスプロバイダ(ISP)326により運営されるデータ機器とのコネクションを提供する。そしてISP326はデータ通信サービスをワールドワイドパケットデータ通信ネットワーク(今日、インターネット328として一般に言及されている)を介して提供する。ローカルネットワーク322及びインターネット328の双方は、ディジタルデータストリームを搬送する、電気的な、電磁的な又は光学的な信号を使用する。様々なネットワークを介する信号や、ネットワークリンク320における通信インターフェース318を介する信号は、コンピュータシステムに及びそこからディジタルデータを搬送し、例えば情報を伝送する搬送波の形式をとってもよい。
【0051】
コンピュータシステム300は、ネットワーク、ネットワークリンク320及び通信インターフェースを介して、メッセージを送信し及びプログラムコードを含むデータを受信する。インターネットの例では、サーバー330はインターネット328、ISP326、ローカルネットワーク322及び通信インターフェース318を介して、アプリケーションプログラムに必要なコードを送信するかもしれない。
【0052】
プロセッサ304は受信したコードを受信したときに実行してもよいし、及び/又は後の実行に備えてストレージデバイス310又は他の不揮発性ストレージに格納してもよい。このようにコンピュータシステム300は搬送波の形式でアプリケーションコードを取得してもよい。
【0053】
以上により本発明の実施例が、実現手段ごとに異なってよい様々な具体的詳細とともに説明されてきた。かくて独占排他権の対象であり且つ出願人が本発明であると意図するものは一群の請求項に記載されており、その請求項群は将来的な如何なる補正事項による形式も含む。そのような請求項に含まれる用語についての本願で明示的に記述されたどの定義も、請求項で使用されている用語の意味に適用される。従って請求項で明示的に言及されていない限定、要件、特性、特徴、利点又は属性は、如何なる方法によっても請求項の範囲を限定するものではない。従って明細書及び図面は限定的な意味ではなく例示的に解釈されるべきである。
【0054】
(関連出願)
本願は“Smart Card Authentication System With Multiple Card and Server Support”と題する西暦2006年2月14日付けで出願された米国特許出願第11/355,133号に関連し、その全内容はあたかも本願に記述されているかのように本願のリファレンスに組み入れられる。
【図面の簡単な説明】
【0055】
【図1A】本発明の一実施例によるシステム例のブロック図である。
【図1B】近接型カードを処理するための本発明の一実施例によるアクセスモジュール例のブロック図である。
【図1C】共通アクセスカード(CAC) を処理するための本発明の一実施例によるアクセスモジュール例のブロック図である。
【図2】文書情報処理装置へのアクセスを管理する本発明の一実施例による機能ステップを示すフローチャートである。
【図3】本発明の一実施例で使用されるコンピュータシステム例を示すブロック図である。
【符号の説明】
【0056】
100 システム
110 クライアント
120 文書情報処理装置
122 アクセスデータ
124 アクセスモジュール
130 入力装置
140 認証サーバー
150,152,154 通信リンク
160 コンフィギュレーションモジュール
162 認証サーバー通信モジュール
164 要求アクセス特権検索モジュール
300 コンピュータシステム
302 バス
304 プロセッサ
306 メインメモリ
308 リードオンリメモリ
310 ストレージデバイス
312 ディスプレイ
314 入力装置
316 カーソル制御部
318 通信インターフェース
320 ネットワークリンク
322 ローカルネットワーク
324 ホスト
326 インターネットサービスプロバイダ
328 インターネット
330 サーバー
【技術分野】
【0001】
本発明は識別トークン(identification token)を利用して文書情報処理装置へのアクセスを管理することに関連する。
【背景技術】
【0002】
このセクションで説明されるアプローチは追跡可能なアプローチであるが、考察又は追跡が過去になされているアプローチであるとは限らない。従って、特に断りのない限り、このセクションで説明されるどのアプローチも、このセクションに含まれているという理由だけで従来技術と考えるよう仮定されるべきではない。
【0003】
プリンタやスキャナのような文書情報処理装置へのアクセスを制御又は管理することがしばしば望まれる。例えば、機密情報を取り扱う企業は、或る書類又は文書を複製又は印刷するのに使用されるかもしれない如何なる装置へのアクセスも制限したいであろう。別の例として、企業は、カラープリンタのような或る装置へのアクセスを、その装置の利用を必要とする仕事を持つ従業者に制限したいかもしれない。
【0004】
プリンタへのアクセスを制限する1つのアプローチは、ユーザ名及びパスワードの組み合わせを利用することを含む。ロック印刷機能のようなプリンタの或る機能へユーザがアクセスする前に、ユーザは正当なユーザ名及びパスワードをプリンタに提示する必要があるかもしれない。典型的にはプリンタはインターフェースを用意し、そのインターフェースを介してユーザは彼又は彼女のユーザ名及びパスワードをプリンタに提示する。このアプローチは、ユーザが彼又は彼女のユーザ名及びパスワードを記憶しなければならない点で問題が残る。また、ユーザ名及びパスワードの組み合わせをインターフェースにタイプ入力することは或る低度の時間及び労力を必要とし、やがてフラストレーションになるかもしれない。
【発明の開示】
【発明が解決しようとする課題】
【0005】
本発明の課題は、文書情報処理装置により提供される機能へのアクセスを、従来の手法よりも、簡易且つ効果的に管理することである。
【課題を解決するための手段】
【0006】
識別トークンを利用して文書情報処理装置へのアクセスを管理する技法がもたらされる。認証トークン(authentication token)は、或るユーザに関連付けられたポータブルな物理的オブジェクト(携帯可能な物体)である。認証トークンを利用して文書情報処理装置へのアクセスを管理することで、文書情報処理装置へのアクセスは、文書情報処理装置のユーザにとって多大な利便性と共に管理される。なぜなら、もはやユーザはユーザ名及びパスワードを記憶する義務を負わないからである。更に、本発明の実施形態は、物理的対象物に基づいてアクセスを管理することで、従来のアプローチを上回る更なるセキュリティをもたらし、従来のアプローチは意図的に又は知らずに他者に簡単に通知されてしまうおそれのある情報(例えば、ユーザ名及びパスワード等)に基づいている。
【0007】
一形態では、文書情報処理装置により、文書情報処理装置にアクセスするためのリクエストが受信される。例えば、リクエストは、文書情報処理装置を設定するリクエスト、電子書類の電子コピーを作成するリクエスト又は書類のハードコピーのリクエストでもよい。文書情報処理装置は認証トークンから認証データを読み取る。例えば、認証トークンはリクエストを発行したユーザに関連する携帯可能な物理的な対象物である。例えば、認証トークンは、近接型カード、共通アクセスカード(CAC)、スマートカード、クレジットカード、運転免許証又はセルラ電話でもよい。文書情報処理装置は、認証データに基づいて、リクエストを実行するのに十分なユーザアクセス特権をユーザが有するか否かを判定する。リクエストを実行するのに十分なユーザアクセス特権をユーザが有するように判定された場合に、文書情報処理装置はリクエストを実行する。このように、文書情報処理装置により提供される機能へのアクセスは、従来の手法よりも、非常に簡易に管理され制御される。
【発明を実施するための最良の形態】
【0008】
以下、本発明の実施例が添付図面と共に例示的に説明される。図中、同様な参照番号は同様な要素に関連する。
【0009】
説明を目的とする以下の詳細な説明では、ここで議論される発明の実施例の十分な理解を図るため、様々な具体的な詳細が述べられる。しかしながら、ここで説明される発明の実施例はそのような具体的詳細なしに実施されてもよいことは明白であろう。それ以外には、ここで議論される発明の実施例を不必要に曖昧にするかもしれないことを避けるため、周知の構造及び装置はブロック図形式で示される。
【実施例1】
【0010】
(アーキテクチャ概要)
図1Aは本発明の一実施例によるシステム例100のブロック図である。図1Aのシステム100は、認証トークンを用いて文書情報処理装置へのアクセスを管理するために使用される。認証トークンは、リクエストを発行したユーザに関連付けられている持ち運び可能な物理的な対象物である。認証トークンの非限定的な具体例は、近接型ICカード、共通カード(CAC: Common Access Card)、スマートカード、クレジットカード、運転免許証又はセルラ電話等を含む。
【0011】
システム100は、クライアント110、文書情報処理装置120、入力装置130、認証サーバー140及び通信リンク150,152,154を含む。一実施例では、認証トークンを利用して認証が行われることによって、ユーザは、文書情報処理装置120で用意されている1以上の機能へのアクセス権を得る。
【0012】
クライアント110は、文書情報処理装置120との通信機能をもたらす媒体又は手段の如何なるものによって実現されてもよい。例えば、電子書類の物理的なコピーを印刷するリクエスト(印刷要求)を文書情報処理装置120に発行するために、ユーザはクライアント110を利用してもよい。また、ユーザは他のタイプのリクエストを文書情報処理装置120に送るのにクライアント110を利用してもよい。他のタイプのリクエストは、例えば、電子書類のファクシミリコピーを関係者に送信するリクエスト(ファックスリクエスト)、印刷された書類の電子コピーを生成するリクエスト(スキャンリクエスト)又は文書情報処理装置120の動作を設定するリクエスト(コンフィギュレーションリクエスト)等である。説明の簡明化を図るため、図1Aでは1つのクライアントしか描かれていないが、本発明の実施例は、ゼロ又はより多くのクライアントを含むいくつのクライアントを利用してもよい。クライアントの非限定的な具体例は、ウェブブラウザ、ソフトウエアアプリケーション、無線装置、セルラ電話及びパーソナルコンピュータ(PC)を含む。クライアント110は図1Aではシステム100の一部分として描かれているが、以下の更なる説明で言及されるように、本発明の他の実施例はクライアント110を含まなくてもよい。文書情報処理装置120で用意されているインターフェースを利用してユーザが文書情報処理装置120にリクエストを発行してもよいからである。従ってクライアント110は選択的であり、本発明の全ての実施例でシステム100はクライアント110を必ずしも含まない。
【0013】
文書情報処理装置120は、書類を処理する媒体又は手段の如何なるものによって実現されてもよい。例えば文書情報処理装置120は:電子書類の印刷されたコピーを生成すること、印刷された書類のハードコピーを生成すること、電子書類を送受信すること及び印刷書類の電子コピーを生成することの内の少なくとも1つを実行できる如何なる装置を含んでもよい。文書情報処理装置120の非限定的な例は、プリンタ、複合機(MFP)、ファクシミリ、コピー機及びスキャナを含む。文書情報処理装置120は、文書情報処理装置120で用意されているインターフェースから又はクライアントから、ユーザからのリクエストを受信してもよい。例えば、一実施例では、文書情報処理装置120で用意されているグラフィカルユーザインターフェースを利用して、特定の機能を実行するようにユーザが文書情報処理装置120を設定してもよい。
【0014】
一実施例では、文書情報処理装置120はアクセスデータ122及びアクセスモジュール120を含む。アクセスデータは、文書情報処理装置120で用意されている1以上の機能について、各機能にアクセスするのに要求される一群の要求されるアクセス権を記述する。一実施例において、説明のため、文書情報処理装置120は機能A及び機能Bをサポートしているとする。機能Aへのアクセス権を有するユーザに対して、そのユーザには機能Aに必要なアクセス権以上のアクセス権(以下、ユーザアクセス特権という)の割当を要すること、及び機能Bへのアクセス権を有するユーザに対して、そのユーザには機能Bに必要なアクセ宇検以上のユーザアクセス特権の割当を要することをアクセスデータ122は記述してよい。アクセスデータ122は図1Aでは文書情報処理装置120に格納されているように描かれているが、不図示の本発明の別の実施例では、アクセスデータ122は文書情報処理装置120にとって外部であるがアクセス可能な場所に格納されてもよい。
【0015】
アクセスモジュール124は、文書情報処理装置120へのアクセスを管理する責務を負うソフトウエアモジュールである。一実施例では、文書情報処理装置120により提供される所望の機能に特定のユーザがアクセスするのを文書情報処理装置120が許可する前に、その特定のユーザのユーザアクセス特権が、その所望の機能に関連付けられている必要なアクセス権以上であることをアクセスモジュール124は確認する。更に、別の実施例では、文書情報処理装置120で提供される機能にユーザがアクセスしようとする場合に、アクセスモジュール124は、認証トークンから得た認証データを利用して、そのユーザについての一群のユーザアクセス特権を認証サーバー140から抽出してもよい。アクセスモジュール124で実行される動作は以下で更に説明される。
【0016】
ユーザに関連する認証トークンから認証データを読み出す媒体又は手段の如何なるもので入力装置130が実現されてもよい。入力装置130の非限定的な具体例は、スキャナ及びバーコードリーダを含む。一実施例では、入力装置130は文書情報処理装置120に物理的に接続されてもよい。例えば、図1Aでは不図示の実施例では、文書情報処理装置120及び入力装置130は同じマシンで実現されてもよい。別の実施例では、入力装置130は、ケーブルのような通信リンク154の物理的な形態で文書情報処理装置120に物理的に接続されてもよい。別の実施例では、入力装置130は文書情報処理装置120に物理的には接続されていないが操作可能に接続されているかもしれない。例えば、入力装置130は通信リンク154を介して文書情報処理装置120と無線通信可能であるかもしれない。
【0017】
認証サーバー140は、あるユーザのユーザアクセス特権を文書情報処理装置120に与えることができる如何なる媒体又は手段によって実現されてもよい。一実施例では、説明の便宜上、アクセスモジュール124は認証サーバー140にリクエストを送信するものとする。そのリクエストはユーザのユーザ識別子を含む。ユーザ識別子に基づいて、認証サーバー140はそのユーザのユーザアクセス特権を確認し、そのユーザのユーザアクセス特権をアクセスモジュール124に送信する。認証サーバー140は、コンピュータシステムで動作する一群のソフトウエア命令として実現されてもよい。認証サーバー140は図1Aではシステム100の一部として描かれているが、以下に更に説明されるように、本発明の他の実施例では認証サーバー140を含まなくてもよい。従って認証サーバー140は選択的であり、本発明の全ての実施例で存在するとは限らない。
【0018】
通信リンク150は、クライアント及び文書情報処理装置120間でデータをやり取りする媒体又は手段の如何なるものによって実現されてもよい。通信リンク152は、認証サーバー140及び文書情報処理装置120間でデータをやり取りする媒体又は手段の如何なるものによって実現されてもよい。通信リンク154は、入力装置130及び文書情報処理装置120間でデータをやり取りする媒体又は手段の如何なるものによって実現されてもよい。通信リンク150,152,154の具体例は、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)、イーサーネット若しくはインターネット、1以上の地上、衛星若しくは無線リンク等のようなネットワークを含むが、これらに限定されない。
【0019】
以下、本発明の一実施例によるシステム例を説明することで、本発明の一実施例による認証トークンを用いて文書情報処理装置へのアクセスを管理する機能ステップが説明される。
【0020】
(認証トークンを用いた文書情報処理装置へのアクセス管理)
図2は文書情報処理装置へのアクセスを管理する本発明の一実施例による機能ステップを示すフローチャートである。図2のステップの説明の便宜上、図2のステップの説明は図1Aのシステム100を参照しながらなされる。
【0021】
図2のステップは、近接型カード及び共通アクセスカード(CAC)双方を含むいくつかの具体例を用いて以下に説明される。近接型カードはユーザ識別子を含む携帯可能な対象物であり、ユーザ識別子は近接型カードに関連付けられたユーザを固有に区別する情報である。ユーザは入力装置130に近接型カードを提示し、その近接型カードから入力装置130がユーザ識別子を読み取れるようにする。入力装置130が近接型カードからユーザ識別子を読み取ると、入力装置130はそのユーザ識別子を文書情報処理装置120に与える。その後にアクセスモジュール124は認証サーバー140と連絡をとり、認証サーバー140にそのユーザ識別子を与えることで、近接型カードのユーザのユーザアクセス特権(情報)を取得する。認証サーバー140は、ユーザ識別子を利用してそのユーザのアクセス特権を検索し、その後にユーザアクセス特権をアクセスモジュール124に送信する。
【0022】
CACは、近接型カードより詳しいユーザに関する情報群を含む携帯可能な対象物である。例えば、一実施例では、CACはユーザのユーザアクセス特権を含む。かくて、入力装置130はユーザのユーザアクセス特権をCACから直接的に読み取り、そのユーザのアクセス特権を文書情報処理装置120に与えてもよい。かくて、CACのユーザのユーザアクセス特権を取得するために、アクセスモジュール124が認証サーバー140と連絡を取ることは必須ではない。なぜなら、ユーザアクセス特権はCACに格納済みの情報により見分けられるからである。
【0023】
ステップ210では、始めに、文書情報処理装置120の1以上の所望の機能にアクセスするユーザからのリクエストが、文書情報処理装置120で受信される。ステップ210のリクエストをユーザは様々な方法で文書情報処理装置120に送信してよい。例えば、勝利処理装置120で用意されているグラフィカルユーザインターフェースを介して又はクライアント110を介してユーザはリクエストを発行してもよい。
【0024】
ステップ210のリクエストは、文書情報処理装置120で用意されている何らかの機能にアクセスするためのリクエストでよい。例えば、ステップ210のリクエストは、コンフィギュレーションリクエスト、プリントリクエスト、スキャンリクエスト又はファックスリクエストでもよい。
【0025】
一実施例では、ステップ210のリクエストは、文書情報処理装置120でアクセスモジュー124により受信される。ステップ210のリクエストが文書情報処理装置120で受信された後に、処理はステップ220に進む。
【0026】
ステップ220では、文書情報処理装置120は入力装置130を用いて認証トークンから認証データを読み取る。認証データは、そのユーザについてのユーザアクセス特権を確認するためにアクセスモジュール124で使用されるデータである。例えば、認証データは、(例えば、CACに格納された認証データのように)ユーザアクセス特権をそれ自身で含む又は確認してもよいし、或いは(近接型カードに格納された認証データのように)認証データは、ユーザアクセス特権を認証サーバー140から取得するためにアクセスモジュール124で使用されるユーザ識別子でもよい。
【0027】
一実施例では、ステップ210のリクエストをユーザが発行した後で、ユーザは認証トークンを入力装置130に提示し、入力装置130が認証データを認証トークンから読み取ることを可能にする。以後、入力装置130は通信リンク154を介して認証データをアクセスモジュール124に送信する。
【0028】
例えば、ステップ210でユーザはクライアント110を用いて文書情報処理装置120に対する印刷リクエストを発行してもよい。その後ユーザは入力装置130の場所まで歩き、彼のセルラ電話機を入力装置130に提示する。ステップ220では、入力装置130はそのセルラ電話機から認証データを読み取る、例えば入力装置130はセルラ電話機のスクリーンから(バーコード又は英数字文字列等のような)情報を読み取ってもよい。セルラ電話機から認証データを読み取ると、以後入力装置130は認証データをアクセスモジュール124に送信する。
【0029】
文書情報処理装置120が認証トークンから認証データを読み取った後、処理はステップ230に進む。
【0030】
ステップ230では、文書情報処理装置120の所望の機能にアクセスするのに十分なユーザアクセス特権をそのユーザが持っているか否かを、文書情報処理装置120は確認する。一実施例では、受信したリクエストで確認された文書情報処理装置120で提供される望まれる機能に要求されるアクセス特権とそのユーザのアクセス特権とを比較することで、アクセスモジュール124はステップ230を実行する。
【0031】
認証トークンに含まれる情報は実施例ごとに異なってよいので、アクセスモジュール124は様々な方法で実現されてよい。図1Bは第1タイプの認証トークンを処理する本発明の一実施例によるアクセスモジュール124のブロック図である。図1Bのアクセスモジュール124Bにより処理される第1タイプの認証トークンは、認証データを格納する如何なるタイプの認証トークンも含み、その認証データは認証トークンのユーザに関するユーザアクセス特権又はユーザ識別子を含む。例えば図1Bのアクセスモジュール124Bは近接型カードを処理してもよい。
【0032】
図1Bのアクセスモジュール124Bは、コンフィギュレーションモジュール160、認証サーバー通信モジュール162及び要求アクセス特権検索モジュール164を含む。コンフィギュレーションモジュール160は、アクセスモジュール124Bの動作を管理者(アドミニストレータ)が設定できるようにするソフトウエアモジュールである。管理者はコンフィギュレーションモジュール160を用いてアクセスデータ122を生成又は更新し、例えば管理者は、文書情報処理装置120で用意されている何らかの機能に要求される一群のアクセス特権をアクセスデータ122の中で確認、記録及び/又は更新してもよい。
【0033】
認証サーバー通信モジュール162は、認証サーバ140と通信可能なソフトウエアである。アクセスモジュール124Bは、認証サーバー通信モジュール162を用いて、一群のユーザアクセス特権に関するリクエストを認証サーバー140に送信する。リクエストはユーザ識別子を含む。認証サーバーは、認証サーバー通信モジュール162からリクエストを受信すると、ユーザ識別子に関連付けられているユーザアクセス特権を検索し、その後にユーザアクセス特権を認証サーバー通信モジュール162に送信する。このように認証サーバー通信モジュール162は、ユーザに関連付けられたユーザ識別子を用いてユーザに関するユーザアクセス特権を取得してもよい。要求アクセス特権検索モジュール164は、文書情報処理装置120によって提供される機能について必要となるアクセス特権をアクセスデータ122から検索することができるソフトウエアモジュールであり、その機能はステップ210のリクエストで要求されていたものである。文書情報処理装置120で提供される機能について必要なアクセス特権は、アクセスデータ122の中で確認される。
【0034】
かくてステップ230ではアクセスモジュール124Bが認証データを受信し、その認証データは認証トークンのユーザのユーザ識別子を区別する。認証トークンがステップ210のリクエストを発行したのと同じユーザに関連付けされていることの確認後に、アクセスモジュール124Bは、認証サーバー通信モジュール162を用いてユーザアクセス特権を検索する。次に、アクセスモジュール124Bは、文書情報処理装置120で提供され要求されている機能(ステップ210で要求されていた機能)に必要なアクセス特権を、要求アクセス特権検索モジュール164を用いて検索する。以後、文書情報処理装置120の望まれる機能各々にアクセスするのに十分なユーザアクセス特権をユーザが持っているか否かを、アクセスモジュール124Bは確認する。例えばアクセスモジュール124Bは、文書情報処理装置120の要求される機能各々について、その機能に要求されるアクセス特権に等しい又はそれより大きな値のユーザアクセス特権を、ユーザが持っていることを保証してもよい。このように、近接型カードを提示しているユーザが、文書情報処理装置120の希望の機能にアクセスするのに十分なユーザアクセス特権を持っているか否かを、アクセスモジュール124Bは確認する。
【0035】
図1Cは、第2タイプの認証トークンを処理するための本発明の一実施例によるアクセスモジュール124を例示するブロック図である。第2タイプの認証トークンは、図1Cのアクセスモジュール124Cで処理されてもよく、認証データを格納する如何なるタイプの認証トークンをも含み、認証データは認証トークンのユーザに関するユーザアクセス特権を含む。例えば、図1Cのアクセスモジュール124CはCACを処理してもよい。
【0036】
一実施例では、アクセスモジュール124Cはコンフィギュレーションモジュール160及び要求アクセス特権検索モジュール164を含み、それらは上述したように機能する。ステップ230では、アクセスモジュール124Cは、認証トークンのユーザに関するユーザアクセス特権を識別する認証データを受信する。アクセスモジュール124Cは、ステップ210で要求されていた文書情報処理装置120で提供され希望される機能について、要求アクセス特権検索モジュール164を用いて必要なアクセス特権を検索する。以後、文書情報処理装置120の希望の機能各々にアクセスするのに十分なユーザアクセス特権をユーザが持っているか否かを、アクセスモジュール124Cは確認する。例えば、アクセスモジュール124Cは、文書情報処理装置120の要求される機能各々について、その機能に必要なアクセス特権以上のユーザアクセス特権をそのユーザが持っていることを保証してもよい。このようにアクセスモジュール124Cは、文書情報処理装置120の希望の機能にアクセスするのに十分なユーザアクセス特権を、CACを提示しているユーザが持っているか否かを確認してもよい。
【0037】
ステップ240では、文書情報処理装置120の希望の機能にアクセスするのに十分なユーザアクセス特権をユーザが持っていることを文書情報処理装置120が確認すると、文書情報処理装置120は、文書情報処理装置120の希望の機能にアクセスするリクエストを実行する。
【0038】
文書情報処理装置120の希望の機能にアクセスするのに十分なユーザアクセス特権をユーザが持っていないことを文書情報処理装置120が確認すると、文書情報処理装置120は、ユーザがそのリクエストを与えた場所でエラーメッセージを表示してもよい。例えば、ユーザがクライアント110でステップ210のリクエストを与えたならば、文書情報処理装置120は、そのリクエストはクライアントに対して実行されないことを示すエラーメッセージを送信してもよい。別の例として、文書情報処理装置120に備わっているグラフィカルユーザインターフェースでステップ210のリクエストをユーザが与えたならば、文書情報処理装置120は、そのリクエストは実行されないことを示すエラーメッセージをグラフィカルユーザインターフェースで表示してもよい。
【0039】
状況によっては、ステップ230を実行する際に、文書情報処理装置120の希望の機能にアクセスするのに十分なユーザアクセス特権をユーザが持っているか否かを確認するために、アクセスモジュールが追加的な認証情報を求めることを必要としてもよい。このような状況に対処する本発明の実施例が以下に説明される。
【0040】
(更なる認証情報を用いたアクセス管理)
場合によっては、文書情報処理装置120の希望の機能にアクセスするのに十分なユーザアクセス特権をユーザが持っているか否かを判定するために、アクセスモジュール124は更なる認証情報を要求する必要があってもよい。例えば、通信リンク152が利用可能でなくなった場合に、認証サーバー通信モジュール162は認証サーバー140と通信することができなくなり、従ってアクセスモジュール124Bはユーザのユーザアクセス特権を確認できなくなる。例えば、アクセスモジュール124が、認証サーバー140に送った通知からの返事を所定期間経過後に受けることに失敗すると、アクセスモジュール124は(a)ステップ210のリクエストを実行することを拒否してもよいし、或いは(b)追加的な認証情報をユーザが提供するように促してもよい。その追加的な情報は、文書情報処理装置120の希望の機能にアクセスするのに十分なユーザアクセス特権をユーザが持っているか否かをアクセスモジュール124が確認するのに使用される。
【0041】
他の実施例では、要求される機能を実行するのに十分な文書情報処理装置120のアクセス特権をユーザが持っているか否かを確認する前に、アクセスモジュール124は、認証トークンによって与えられる認証データに加えて、追加的な認証情報をユーザが提示することを要求してもよい。このように、追加的な認証情報はユーザの身元及び/又はユーザのユーザアクセス特権に関する二次的なチェック機能をもたらすので、アクセスモジュール124は、認証トークンを提示したユーザの身元確認を支援する。
【0042】
一実施例では、アクセスモジュール124で要求される追加的な認証情報は如何なる形式のものでもよく、その形式は、ユーザ名/パスワードの組み合わせ、パスワード、(指紋のスキャンや網膜のスキャン等による)生体情報及びバーコードを含むがそれらに限定されない。追加的な認証情報は、(例えば、追加的な認証情報がバーコードや生体情報であった場合)入力装置130を介してユーザにより提示されてもよいし、或いは(例えば、追加的な認証情報が、ユーザ名、パスワード又はユーザ名/パスワードの組み合わせであった場合)文書情報処理装置で用意されているグラフィカルユーザインターフェースを介して提示されてもよい。
【0043】
(実現手段)
クライアント110、文書情報処理装置120、入力装置130及び認証サーバー10はそれぞれコンピュータシステムで実現されてよい。図3は本発明の実施例で使用されるコンピュータシステム300のブロック図を示す。コンピュータシステム300は、情報を通信するためのバス302又は他の通信手段と、バス302に結合され情報を処理するプロセッサ304とを有する。コンピュータシステム300は、ランダムアクセスメモリ(RAM)又は他のダイナミックストレージデバイスのようなバス302に結合されたメインメモリ306を有し、メインメモリはプロセッサで実行される命令や情報を格納する。メインメモリ306は、プロセッサで実行される命令の実行中に、一時的な変数又は他の中間的な情報を格納するのに使用されてもよい。コンピュータシステム300は、プロセッサ304のための命令や静的な情報を格納する、バス302に結合されたリードオンリメモリ(ROM)又は他のスタティックストレージデバイスを更に含む。磁気ディスク又は他の光ディスクのようなストレージデバイス310は、情報及び命令を格納するために用意されバス302に結合される。
【0044】
コンピュータシステム300は、コンピュータユーザに情報を表示するために、陰極線管(CRT)のようなディスプレイ312にバス302を介して結合されてもよい。英数字その他のキーを含む入力装置314は、情報及び命令選択内容をプロセッサ304に通知するためにバス302に結合される。他の種類のユーザ入力装置は、カーソル制御装置316(例えば、マウス、トラックボール、スタイラス又はカーソル方向キー)であり、指示情報及び命令選択をプロセッサ304に通知し且つディスプレイ312でのカーソルの動きを制御する。この入力装置は典型的には第1軸(例えば、x)及び第2軸(例えば、y)の2軸による2つの自由度を有し、装置が平面上の位置を指定できるようにする。
【0045】
本発明はここで説明された技法を実現するコンピュータシステム300を利用することに関連する。本発明の一実施例によれば、メインメモリ306に含まれる1以上の命令の1以上のシーケンスを実行するプロセッサ304に応じて、それらの技法がコンピュータシステム300によって実行される。そのような命令は、ストレージデバイス310のような他のマシン読取可能な媒体からメインメモリ306に読み込まれてもよい。メインメモリ306に含まれている命令シーケンスの実行は、本願で説明されるプロセスステップをプロセッサが実行することを引き起こす。代替実施例では、本発明を実施するために、ハードワイヤード回路が、代替的に使用されてもよいし或いはソフトウエア命令との組み合わせで使用されてもよい。すなわち本発明の実施例はハードウエア回路及びソフトウエアの特定の如何なる組み合わせにも限定されない。
【0046】
ここで使用されているように「マシン読取可能な媒体」なる用語は、特定の形式でマシンに動作を引き起こすデータを用意することに関与する如何なる媒体にも関連する。コンピュータシステム300を用いて実現される実施例では、例えば、様々なマシン読み取り可能な媒体は、実行に備えて命令をコンピュータ304に命令を提供することの中に含まれる。そのような媒体は多くの形態をとってよく、限定ではないが、不揮発性媒体、揮発性媒体及び伝送媒体を含む。不揮発性媒体は、例えば、ストレージデバイス310のような光又は磁気ディスクを含む。揮発性媒体は、メインメモリ306のようなダイナミックメモリを含む。伝送媒体は、同軸ケーブル、銅線及び光ファイバを含み、バス302を構成するワイヤを含む。伝送媒体は、無線電波及び赤外線データ通信の際に生成されるもののような、音波又は光波の形式をとってもよい。そのような媒体の全ては有体であり、その媒体で搬送される命令は、命令をマシン中に読み込む物理的手段によって検出可能である。
【0047】
マシン読取可能な媒体の一般的な形態は、例えば、フロッピディスク、フレキシブルディスク、ハードディスク、磁気テープその他の如何なる磁気媒体、CD-ROMその他の如何なる光媒体、パンチカード、紙テープ又は穴のパターンを有する他の如何なる物理的媒体、RAM、PROM、EPROM、フラッシュEPROMその他のメモリチップ、カートリッジ、上記のような搬送波又はコンピュータが読み取ることの可能な他の如何なる媒体をも含む。
【0048】
マシン読取可能な様々な形態は、1以上の命令の1以上のシーケンスをプロセッサ304に実行に備えて搬送する際に含まれてもよい。例えば命令は初期には遠く離れたリモートコンピュータの磁気ディスクで搬送されてもよい。リモートコンピュータは自身のダイナミックメモリにその命令をロードし、モデムを用いて電話回線を介して命令を送信してもよい。コンピュータシステム300付近のモデムは電話回線でそのデータを受信し、赤外線送信機を用いてそのデータを赤外線信号に変換する。赤外線検出器は、赤外線信号で搬送されたデータを受信し、適切な回路がそのデータをバス302に置く。バス302はデータをメインメモリ306に運び、プロセッサ304はメインメモリから命令を抽出して実行する。メインメモリ306で受信された命令は、プロセッサ304で実行される前又はその後にストレージデバイス310に選択的に格納されてもよい。
【0049】
コンピュータシステム300はバス302に結合された通信インターフェース318も含む。通信インターフェース318は、ローカルネットワーク322に接続されるネットワークリンク320に結合する双方向データ通信をもたらす。例えば、通信インターフェース318は、データ通信接続を対応するタイプの電話回線に与える統合サービスディジタルネットワーク(ISDN)カード又はモデムでもよい。別の例では、通信インターフェース318は、データ通信接続をコンパチブルなLANに与えるLANカードでもよい。無線リンクが使用されてもよい。どの実現手段でも、通信インターフェース318は、電気的な、電磁的な又は光学的な信号を送信及び受信し、様々なタイプの情報を表現するディジタルデータストリームを運ぶ。
【0050】
ネットワークリンク320は典型的には1以上のネットワークを介して他のデータ装置とのデータ通信をもたらす。例えば、ネットワークリンク320はローカルネットワーク322を介してホストコンピュータ324とのコネクションを提供する、或いはインターネットサービスプロバイダ(ISP)326により運営されるデータ機器とのコネクションを提供する。そしてISP326はデータ通信サービスをワールドワイドパケットデータ通信ネットワーク(今日、インターネット328として一般に言及されている)を介して提供する。ローカルネットワーク322及びインターネット328の双方は、ディジタルデータストリームを搬送する、電気的な、電磁的な又は光学的な信号を使用する。様々なネットワークを介する信号や、ネットワークリンク320における通信インターフェース318を介する信号は、コンピュータシステムに及びそこからディジタルデータを搬送し、例えば情報を伝送する搬送波の形式をとってもよい。
【0051】
コンピュータシステム300は、ネットワーク、ネットワークリンク320及び通信インターフェースを介して、メッセージを送信し及びプログラムコードを含むデータを受信する。インターネットの例では、サーバー330はインターネット328、ISP326、ローカルネットワーク322及び通信インターフェース318を介して、アプリケーションプログラムに必要なコードを送信するかもしれない。
【0052】
プロセッサ304は受信したコードを受信したときに実行してもよいし、及び/又は後の実行に備えてストレージデバイス310又は他の不揮発性ストレージに格納してもよい。このようにコンピュータシステム300は搬送波の形式でアプリケーションコードを取得してもよい。
【0053】
以上により本発明の実施例が、実現手段ごとに異なってよい様々な具体的詳細とともに説明されてきた。かくて独占排他権の対象であり且つ出願人が本発明であると意図するものは一群の請求項に記載されており、その請求項群は将来的な如何なる補正事項による形式も含む。そのような請求項に含まれる用語についての本願で明示的に記述されたどの定義も、請求項で使用されている用語の意味に適用される。従って請求項で明示的に言及されていない限定、要件、特性、特徴、利点又は属性は、如何なる方法によっても請求項の範囲を限定するものではない。従って明細書及び図面は限定的な意味ではなく例示的に解釈されるべきである。
【0054】
(関連出願)
本願は“Smart Card Authentication System With Multiple Card and Server Support”と題する西暦2006年2月14日付けで出願された米国特許出願第11/355,133号に関連し、その全内容はあたかも本願に記述されているかのように本願のリファレンスに組み入れられる。
【図面の簡単な説明】
【0055】
【図1A】本発明の一実施例によるシステム例のブロック図である。
【図1B】近接型カードを処理するための本発明の一実施例によるアクセスモジュール例のブロック図である。
【図1C】共通アクセスカード(CAC) を処理するための本発明の一実施例によるアクセスモジュール例のブロック図である。
【図2】文書情報処理装置へのアクセスを管理する本発明の一実施例による機能ステップを示すフローチャートである。
【図3】本発明の一実施例で使用されるコンピュータシステム例を示すブロック図である。
【符号の説明】
【0056】
100 システム
110 クライアント
120 文書情報処理装置
122 アクセスデータ
124 アクセスモジュール
130 入力装置
140 認証サーバー
150,152,154 通信リンク
160 コンフィギュレーションモジュール
162 認証サーバー通信モジュール
164 要求アクセス特権検索モジュール
300 コンピュータシステム
302 バス
304 プロセッサ
306 メインメモリ
308 リードオンリメモリ
310 ストレージデバイス
312 ディスプレイ
314 入力装置
316 カーソル制御部
318 通信インターフェース
320 ネットワークリンク
322 ローカルネットワーク
324 ホスト
326 インターネットサービスプロバイダ
328 インターネット
330 サーバー
【特許請求の範囲】
【請求項1】
文書情報処理装置にアクセスするための方法であって、
前記文書情報処理装置で、前記文書情報処理装置にアクセスするためのリクエストを受信するステップと、
前記文書情報処理装置が、前記リクエストを発行したユーザに関連付けられている携帯可能な物体から認証データを読み取るステップと、
前記文書情報処理装置が、前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップと、
前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するように判定された場合に、前記文書情報処理装置が前記リクエストを実行するステップと、
を有する方法。
【請求項2】
前記文書情報処理装置がプリンタである請求項1記載の方法。
【請求項3】
前記文書情報処理装置が複合機(MFP)である請求項1記載の方法。
【請求項4】
前記文書情報処理装置にアクセスするためのリクエストが、文書の印刷されたコピー又は電子的なコピーを生成するリクエストである請求項1記載の方法。
【請求項5】
前記文書情報処理装置にアクセスするためのリクエストが、前記文書情報処理装置を構築するリクエストである請求項1記載の方法。
【請求項6】
前記携帯可能な物体が、近接型カード、共通アクセスカード(CAC)、スマートカード、クレジットカード、運転免許証及びセルラ電話の何れかである請求項1記載の方法。
【請求項7】
前記文書情報処理装置が、前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定する前記ステップが、
前記文書情報処理装置に用意されている1以上の機能について、各機能にアクセスするのに要求される一群の必要なユーザアクセス特権を記述するアクセスデータを前記文書情報処理装置に格納するステップと、
前記認証データの中で、前記ユーザのユーザアクセス特権を確認するステップと、
前記アクセスデータに基づいて、前記ユーザのユーザアクセス特権が前記文書情報処理装置で処理される前記リクエストに十分であるか否かを判定するステップと、
を有する請求項1記載の方法。
【請求項8】
前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップが、
前記文書情報処理装置に用意されている1以上の機能について、各機能にアクセスするのに要求される一群の必要なアクセス特権を記述するアクセスデータを格納するステップと、
前記認証データの中で、前記ユーザのユーザ識別子を確認するステップと、
前記ユーザのユーザアクセス特権に関し、前記ユーザ識別子を確認する第2のリクエストを認証サーバーに送信するステップと、
前記アクセスデータに基づいて、前記ユーザのユーザアクセス特権が前記文書情報処理装置で処理される前記リクエストに十分であるか否かを判定するステップと、
を有する請求項1記載の方法。
【請求項9】
前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップが、
前記ユーザのユーザアクセス特権に関し、第2のリクエストを認証サーバーに送信するステップと、
前記第2のリクエストに対する応答を所定期間経過後に得られなかったことに応答して、前記ユーザに追加的な認証情報を提供するよう促すステップと、
前記リクエストの完全な実行に十分なユーザアクセス特権を前記ユーザが有していることを前記追加的な認証情報が示しているか否かを判定するステップと、
を有する請求項1記載の方法。
【請求項10】
前記追加的な認証情報が、パスワード及びバーコードの少なくとも1つに対応する請求項9記載の方法。
【請求項11】
前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップが、
前記ユーザのユーザアクセス特権を取得するステップと、
追加的な認証情報を前記ユーザが提供するように促したことに応じて、該追加的な認証情報を受信するステップと、
前記ユーザアクセス特権及び前記追加的な情報の双方に基づいて、前記リクエストの完全な実行に十分なユーザアクセス特権であるか否かを判定するステップと、
を有する請求項1記載の方法。
【請求項12】
前記認証データが、前記文書情報処理装置に物理的に接続された入力装置から読み取られる請求項1記載の方法。
【請求項13】
文書情報処理装置にアクセスするための1以上の命令シーケンスを搬送するマシン読み取り可能な媒体であって、前記1以上の命令シーケンスは、
前記文書情報処理装置で、前記文書情報処理装置にアクセスするためのリクエストを受信するステップと、
前記文書情報処理装置が、前記リクエストを発行したユーザに関連付けられている携帯可能な物体から認証データを読み取るステップと、
前記文書情報処理装置が、前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップと、
前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するように判定された場合に、前記文書情報処理装置が前記リクエストを実行するステップと、
を1以上のプロセッサに実行させるマシン読み取り可能な媒体。
【請求項14】
前記文書情報処理装置がプリンタである請求項13記載のマシン読み取り可能な媒体。
【請求項15】
前記文書情報処理装置が複合機(MFP)である請求項13記載のマシン読み取り可能な媒体。
【請求項16】
前記文書情報処理装置にアクセスするためのリクエストが、文書の印刷されたコピー又は電子的なコピーを生成するリクエストである請求項13記載のマシン読み取り可能な媒体。
【請求項17】
前記文書情報処理装置にアクセスするためのリクエストが、前記文書情報処理装置を構築するリクエストである請求項13記載のマシン読み取り可能な媒体。
【請求項18】
前記携帯可能な物体が、近接型カード、共通アクセスカード(CAC)、スマートカード、クレジットカード、運転免許証及びセルラ電話の何れかである請求項13記載のマシン読み取り可能な媒体。
【請求項19】
前記文書情報処理装置が、前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定する前記ステップが、
前記文書情報処理装置に用意されている1以上の機能について、各機能にアクセスするのに要求される一群の必要なアクセス特権を記述するアクセスデータを前記文書情報処理装置に格納するステップと、
前記認証データの中で、前記ユーザのユーザアクセス特権を確認するステップと、
前記アクセスデータに基づいて、前記ユーザのユーザアクセス特権が前記文書情報処理装置で処理される前記リクエストに十分であるか否かを判定するステップと、
を有する請求項13記載のマシン読み取り可能な媒体。
【請求項20】
前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップが、
前記文書情報処理装置に用意されている1以上の機能について、各機能にアクセスするのに要求される一群の必要なアクセス特権を記述するアクセスデータを格納するステップと、
前記認証データの中で、前記ユーザのユーザ識別子を確認するステップと、
前記ユーザのユーザアクセス特権に関し、前記ユーザ識別子を確認する第2のリクエストを認証サーバーに送信するステップと、
前記アクセスデータに基づいて、前記ユーザのユーザアクセス特権が前記文書情報処理装置で処理される前記リクエストに十分であるか否かを判定するステップと、
を有する請求項13記載のマシン読み取り可能な媒体。
【請求項21】
前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップが、
前記ユーザのユーザアクセス特権に関し、第2のリクエストを認証サーバーに送信するステップと、
前記第2のリクエストに対する応答を所定期間経過後に得られなかったことに応答して、前記ユーザに追加的な認証情報を提供するよう促すステップと、
前記リクエストの完全な実行に十分なユーザアクセス特権を前記ユーザが有していることを前記追加的な認証情報が示しているか否かを判定するステップと、
を有する請求項13記載のマシン読み取り可能な媒体。
【請求項22】
前記追加的な認証情報が、パスワード及びバーコードの少なくとも1つに対応する請求項21記載のマシン読み取り可能な媒体。
【請求項23】
前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップが、
前記ユーザのユーザアクセス特権を取得するステップと、
追加的な認証情報を前記ユーザが提供するように促したことに応じて、該追加的な認証情報を受信するステップと、
前記ユーザアクセス特権及び前記追加的な情報の双方に基づいて、前記リクエストの完全な実行に十分なユーザアクセス特権であるか否かを判定するステップと、
を有する請求項13記載のマシン読み取り可能な媒体。
【請求項24】
前記認証データが、前記文書情報処理装置に物理的に接続された入力装置から読み取られる請求項13記載のマシン読み取り可能な媒体。
【請求項25】
文書情報処理装置にアクセスするための装置であって、
1以上のプロセッサと、
1以上の命令シーケンスを搬送するマシン読み取り可能な媒体と、
を有し、前記1以上の命令シーケンスは、
前記文書情報処理装置で、前記文書情報処理装置にアクセスするためのリクエストを受信するステップと、
前記文書情報処理装置が、前記リクエストを発行したユーザに関連付けられている携帯可能な物体から認証データを読み取るステップと、
前記文書情報処理装置が、前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップと、
前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するように判定された場合に、前記文書情報処理装置が前記リクエストを実行するステップと、
を前記1以上のプロセッサに実行させる装置。
【請求項26】
前記文書情報処理装置がプリンタである請求項25記載の装置。
【請求項27】
前記文書情報処理装置が複合機(MFP)である請求項25記載の装置。
【請求項28】
前記文書情報処理装置にアクセスするためのリクエストが、文書の印刷されたコピー又は電子的なコピーを生成するリクエストである請求項25記載の装置。
【請求項29】
前記文書情報処理装置にアクセスするためのリクエストが、前記文書情報処理装置を構築するリクエストである請求項25記載の装置。
【請求項30】
前記携帯可能な物体が、近接型カード、共通アクセスカード(CAC)、スマートカード、クレジットカード、運転免許証及びセルラ電話の何れかである請求項25記載の装置。
【請求項31】
前記文書情報処理装置が、前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定する前記ステップが、
前記文書情報処理装置に用意されている1以上の機能について、各機能にアクセスするのに要求される一群の必要なアクセス特権を記述するアクセスデータを前記文書情報処理装置に格納するステップと、
前記認証データの中で、前記ユーザのユーザアクセス特権を確認するステップと、
前記アクセスデータに基づいて、前記ユーザのユーザアクセス特権が前記文書情報処理装置で処理される前記リクエストに十分であるか否かを判定するステップと、
を有する請求項25記載の装置。
【請求項32】
前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップが、
前記文書情報処理装置に用意されている1以上の機能について、各機能にアクセスするのに要求される一群の必要なアクセス特権を記述するアクセスデータを格納するステップと、
前記認証データの中で、前記ユーザのユーザ識別子を確認するステップと、
前記ユーザのユーザアクセス特権に関し、前記ユーザ識別子を確認する第2のリクエストを認証サーバーに送信するステップと、
前記アクセスデータに基づいて、前記ユーザのユーザアクセス特権が前記文書情報処理装置で処理される前記リクエストに十分であるか否かを判定するステップと、
を有する請求項25記載の装置。
【請求項33】
前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップが、
前記ユーザのユーザアクセス特権に関し、第2のリクエストを認証サーバーに送信するステップと、
前記第2のリクエストに対する応答を所定期間経過後に得られなかったことに応答して、前記ユーザに追加的な認証情報を提供するよう促すステップと、
前記リクエストの完全な実行に十分なユーザアクセス特権を前記ユーザが有していることを前記追加的な認証情報が示しているか否かを判定するステップと、
を有する請求項25記載の装置。
【請求項34】
前記追加的な認証情報が、パスワード及びバーコードの少なくとも1つに対応する請求項33記載の装置。
【請求項35】
前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップが、
前記ユーザのユーザアクセス特権を取得するステップと、
追加的な認証情報を前記ユーザが提供するように促したことに応じて、該追加的な認証情報を受信するステップと、
前記ユーザアクセス特権及び前記追加的な情報の双方に基づいて、前記リクエストの完全な実行に十分なユーザアクセス特権であるか否かを判定するステップと、
を有する請求項25記載の装置。
【請求項36】
前記認証データが、前記文書情報処理装置に物理的に接続された入力装置から読み取られる請求項1記載の装置。
【請求項1】
文書情報処理装置にアクセスするための方法であって、
前記文書情報処理装置で、前記文書情報処理装置にアクセスするためのリクエストを受信するステップと、
前記文書情報処理装置が、前記リクエストを発行したユーザに関連付けられている携帯可能な物体から認証データを読み取るステップと、
前記文書情報処理装置が、前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップと、
前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するように判定された場合に、前記文書情報処理装置が前記リクエストを実行するステップと、
を有する方法。
【請求項2】
前記文書情報処理装置がプリンタである請求項1記載の方法。
【請求項3】
前記文書情報処理装置が複合機(MFP)である請求項1記載の方法。
【請求項4】
前記文書情報処理装置にアクセスするためのリクエストが、文書の印刷されたコピー又は電子的なコピーを生成するリクエストである請求項1記載の方法。
【請求項5】
前記文書情報処理装置にアクセスするためのリクエストが、前記文書情報処理装置を構築するリクエストである請求項1記載の方法。
【請求項6】
前記携帯可能な物体が、近接型カード、共通アクセスカード(CAC)、スマートカード、クレジットカード、運転免許証及びセルラ電話の何れかである請求項1記載の方法。
【請求項7】
前記文書情報処理装置が、前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定する前記ステップが、
前記文書情報処理装置に用意されている1以上の機能について、各機能にアクセスするのに要求される一群の必要なユーザアクセス特権を記述するアクセスデータを前記文書情報処理装置に格納するステップと、
前記認証データの中で、前記ユーザのユーザアクセス特権を確認するステップと、
前記アクセスデータに基づいて、前記ユーザのユーザアクセス特権が前記文書情報処理装置で処理される前記リクエストに十分であるか否かを判定するステップと、
を有する請求項1記載の方法。
【請求項8】
前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップが、
前記文書情報処理装置に用意されている1以上の機能について、各機能にアクセスするのに要求される一群の必要なアクセス特権を記述するアクセスデータを格納するステップと、
前記認証データの中で、前記ユーザのユーザ識別子を確認するステップと、
前記ユーザのユーザアクセス特権に関し、前記ユーザ識別子を確認する第2のリクエストを認証サーバーに送信するステップと、
前記アクセスデータに基づいて、前記ユーザのユーザアクセス特権が前記文書情報処理装置で処理される前記リクエストに十分であるか否かを判定するステップと、
を有する請求項1記載の方法。
【請求項9】
前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップが、
前記ユーザのユーザアクセス特権に関し、第2のリクエストを認証サーバーに送信するステップと、
前記第2のリクエストに対する応答を所定期間経過後に得られなかったことに応答して、前記ユーザに追加的な認証情報を提供するよう促すステップと、
前記リクエストの完全な実行に十分なユーザアクセス特権を前記ユーザが有していることを前記追加的な認証情報が示しているか否かを判定するステップと、
を有する請求項1記載の方法。
【請求項10】
前記追加的な認証情報が、パスワード及びバーコードの少なくとも1つに対応する請求項9記載の方法。
【請求項11】
前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップが、
前記ユーザのユーザアクセス特権を取得するステップと、
追加的な認証情報を前記ユーザが提供するように促したことに応じて、該追加的な認証情報を受信するステップと、
前記ユーザアクセス特権及び前記追加的な情報の双方に基づいて、前記リクエストの完全な実行に十分なユーザアクセス特権であるか否かを判定するステップと、
を有する請求項1記載の方法。
【請求項12】
前記認証データが、前記文書情報処理装置に物理的に接続された入力装置から読み取られる請求項1記載の方法。
【請求項13】
文書情報処理装置にアクセスするための1以上の命令シーケンスを搬送するマシン読み取り可能な媒体であって、前記1以上の命令シーケンスは、
前記文書情報処理装置で、前記文書情報処理装置にアクセスするためのリクエストを受信するステップと、
前記文書情報処理装置が、前記リクエストを発行したユーザに関連付けられている携帯可能な物体から認証データを読み取るステップと、
前記文書情報処理装置が、前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップと、
前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するように判定された場合に、前記文書情報処理装置が前記リクエストを実行するステップと、
を1以上のプロセッサに実行させるマシン読み取り可能な媒体。
【請求項14】
前記文書情報処理装置がプリンタである請求項13記載のマシン読み取り可能な媒体。
【請求項15】
前記文書情報処理装置が複合機(MFP)である請求項13記載のマシン読み取り可能な媒体。
【請求項16】
前記文書情報処理装置にアクセスするためのリクエストが、文書の印刷されたコピー又は電子的なコピーを生成するリクエストである請求項13記載のマシン読み取り可能な媒体。
【請求項17】
前記文書情報処理装置にアクセスするためのリクエストが、前記文書情報処理装置を構築するリクエストである請求項13記載のマシン読み取り可能な媒体。
【請求項18】
前記携帯可能な物体が、近接型カード、共通アクセスカード(CAC)、スマートカード、クレジットカード、運転免許証及びセルラ電話の何れかである請求項13記載のマシン読み取り可能な媒体。
【請求項19】
前記文書情報処理装置が、前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定する前記ステップが、
前記文書情報処理装置に用意されている1以上の機能について、各機能にアクセスするのに要求される一群の必要なアクセス特権を記述するアクセスデータを前記文書情報処理装置に格納するステップと、
前記認証データの中で、前記ユーザのユーザアクセス特権を確認するステップと、
前記アクセスデータに基づいて、前記ユーザのユーザアクセス特権が前記文書情報処理装置で処理される前記リクエストに十分であるか否かを判定するステップと、
を有する請求項13記載のマシン読み取り可能な媒体。
【請求項20】
前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップが、
前記文書情報処理装置に用意されている1以上の機能について、各機能にアクセスするのに要求される一群の必要なアクセス特権を記述するアクセスデータを格納するステップと、
前記認証データの中で、前記ユーザのユーザ識別子を確認するステップと、
前記ユーザのユーザアクセス特権に関し、前記ユーザ識別子を確認する第2のリクエストを認証サーバーに送信するステップと、
前記アクセスデータに基づいて、前記ユーザのユーザアクセス特権が前記文書情報処理装置で処理される前記リクエストに十分であるか否かを判定するステップと、
を有する請求項13記載のマシン読み取り可能な媒体。
【請求項21】
前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップが、
前記ユーザのユーザアクセス特権に関し、第2のリクエストを認証サーバーに送信するステップと、
前記第2のリクエストに対する応答を所定期間経過後に得られなかったことに応答して、前記ユーザに追加的な認証情報を提供するよう促すステップと、
前記リクエストの完全な実行に十分なユーザアクセス特権を前記ユーザが有していることを前記追加的な認証情報が示しているか否かを判定するステップと、
を有する請求項13記載のマシン読み取り可能な媒体。
【請求項22】
前記追加的な認証情報が、パスワード及びバーコードの少なくとも1つに対応する請求項21記載のマシン読み取り可能な媒体。
【請求項23】
前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップが、
前記ユーザのユーザアクセス特権を取得するステップと、
追加的な認証情報を前記ユーザが提供するように促したことに応じて、該追加的な認証情報を受信するステップと、
前記ユーザアクセス特権及び前記追加的な情報の双方に基づいて、前記リクエストの完全な実行に十分なユーザアクセス特権であるか否かを判定するステップと、
を有する請求項13記載のマシン読み取り可能な媒体。
【請求項24】
前記認証データが、前記文書情報処理装置に物理的に接続された入力装置から読み取られる請求項13記載のマシン読み取り可能な媒体。
【請求項25】
文書情報処理装置にアクセスするための装置であって、
1以上のプロセッサと、
1以上の命令シーケンスを搬送するマシン読み取り可能な媒体と、
を有し、前記1以上の命令シーケンスは、
前記文書情報処理装置で、前記文書情報処理装置にアクセスするためのリクエストを受信するステップと、
前記文書情報処理装置が、前記リクエストを発行したユーザに関連付けられている携帯可能な物体から認証データを読み取るステップと、
前記文書情報処理装置が、前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップと、
前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するように判定された場合に、前記文書情報処理装置が前記リクエストを実行するステップと、
を前記1以上のプロセッサに実行させる装置。
【請求項26】
前記文書情報処理装置がプリンタである請求項25記載の装置。
【請求項27】
前記文書情報処理装置が複合機(MFP)である請求項25記載の装置。
【請求項28】
前記文書情報処理装置にアクセスするためのリクエストが、文書の印刷されたコピー又は電子的なコピーを生成するリクエストである請求項25記載の装置。
【請求項29】
前記文書情報処理装置にアクセスするためのリクエストが、前記文書情報処理装置を構築するリクエストである請求項25記載の装置。
【請求項30】
前記携帯可能な物体が、近接型カード、共通アクセスカード(CAC)、スマートカード、クレジットカード、運転免許証及びセルラ電話の何れかである請求項25記載の装置。
【請求項31】
前記文書情報処理装置が、前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定する前記ステップが、
前記文書情報処理装置に用意されている1以上の機能について、各機能にアクセスするのに要求される一群の必要なアクセス特権を記述するアクセスデータを前記文書情報処理装置に格納するステップと、
前記認証データの中で、前記ユーザのユーザアクセス特権を確認するステップと、
前記アクセスデータに基づいて、前記ユーザのユーザアクセス特権が前記文書情報処理装置で処理される前記リクエストに十分であるか否かを判定するステップと、
を有する請求項25記載の装置。
【請求項32】
前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップが、
前記文書情報処理装置に用意されている1以上の機能について、各機能にアクセスするのに要求される一群の必要なアクセス特権を記述するアクセスデータを格納するステップと、
前記認証データの中で、前記ユーザのユーザ識別子を確認するステップと、
前記ユーザのユーザアクセス特権に関し、前記ユーザ識別子を確認する第2のリクエストを認証サーバーに送信するステップと、
前記アクセスデータに基づいて、前記ユーザのユーザアクセス特権が前記文書情報処理装置で処理される前記リクエストに十分であるか否かを判定するステップと、
を有する請求項25記載の装置。
【請求項33】
前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップが、
前記ユーザのユーザアクセス特権に関し、第2のリクエストを認証サーバーに送信するステップと、
前記第2のリクエストに対する応答を所定期間経過後に得られなかったことに応答して、前記ユーザに追加的な認証情報を提供するよう促すステップと、
前記リクエストの完全な実行に十分なユーザアクセス特権を前記ユーザが有していることを前記追加的な認証情報が示しているか否かを判定するステップと、
を有する請求項25記載の装置。
【請求項34】
前記追加的な認証情報が、パスワード及びバーコードの少なくとも1つに対応する請求項33記載の装置。
【請求項35】
前記認証データに基づいて、前記リクエストを実行するのに十分なユーザアクセス特権を前記ユーザが有するか否かを判定するステップが、
前記ユーザのユーザアクセス特権を取得するステップと、
追加的な認証情報を前記ユーザが提供するように促したことに応じて、該追加的な認証情報を受信するステップと、
前記ユーザアクセス特権及び前記追加的な情報の双方に基づいて、前記リクエストの完全な実行に十分なユーザアクセス特権であるか否かを判定するステップと、
を有する請求項25記載の装置。
【請求項36】
前記認証データが、前記文書情報処理装置に物理的に接続された入力装置から読み取られる請求項1記載の装置。
【図1A】
【図1B】
【図1C】
【図2】
【図3】
【図1B】
【図1C】
【図2】
【図3】
【公開番号】特開2007−328784(P2007−328784A)
【公開日】平成19年12月20日(2007.12.20)
【国際特許分類】
【出願番号】特願2007−148615(P2007−148615)
【出願日】平成19年6月4日(2007.6.4)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
【公開日】平成19年12月20日(2007.12.20)
【国際特許分類】
【出願日】平成19年6月4日(2007.6.4)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
[ Back to top ]