画像処理システム、そのアクセス制御方法及びプログラム
【課題】ネットワーク上に新規の画像形成装置が接続された場合に、簡易的なセキュリティポリシー設定を行う。
【解決手段】複数の画像形成装置101と、前記画像形成装置101のセキュリティポリシー管理を行うポリシーサーバー102がネットワーク201を介して接続された画像処理システムにおけるアクセス制御方法であって、ネットワーク201に接続された前記画像形成装置101を定期的に探索するステップと、前記ステップにより探索された前記画像形成装置101が前記ポリシーサーバー102に既に登録されている種類の画像形成装置101であるか、別の種類であるかを判定するステップと、前記ステップにより探索された前記画像形成装置101に対して、ポリシーサーバー102に設定されているセキュリティポリシー情報を通知するステップを有する。
【解決手段】複数の画像形成装置101と、前記画像形成装置101のセキュリティポリシー管理を行うポリシーサーバー102がネットワーク201を介して接続された画像処理システムにおけるアクセス制御方法であって、ネットワーク201に接続された前記画像形成装置101を定期的に探索するステップと、前記ステップにより探索された前記画像形成装置101が前記ポリシーサーバー102に既に登録されている種類の画像形成装置101であるか、別の種類であるかを判定するステップと、前記ステップにより探索された前記画像形成装置101に対して、ポリシーサーバー102に設定されているセキュリティポリシー情報を通知するステップを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、画像処理システム、そのアクセス制御方法及びプログラムに関するものである。
【背景技術】
【0002】
昨今の画像形成装置管理における管理項目の増大や、管理対象となる画像形成装置台数の増加等を要因として、画像形成装置管理担当者の管理コスト(TCO)の削減が要望されている。それと同時に、ネットワーク上に新規機能を有する画像形成装置が追加された場合に、セキュリティポリシーの設定を簡単に行えることにより、管理作業工数を削減したいという要望もある。
【0003】
従来、画像形成装置に新しい機能が追加された場合に、その機能に対する使用許可/禁止を制御する場合、画像形成装置上に新しい機能に対する認証を促す画面を表示し、ユーザIDとパスワードを入力させ、入力内容の成否により判定する等の方法が取られている(特許文献1参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2006−172398号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、上記従来の画像形成装置管理システムにおける管理方法では、以下のような問題があった。
【0006】
まず、画像形成装置に新規の機能が選択された場合、画像形成装置上の表示画面に新たな認証画面を表示して、認証処理を行う必要があった。しかしながら、個別のユーザ管理が行われていないような環境においては、従来技術を用いることはできない。
【0007】
そこで本発明では、ユーザ毎の認証処理を行うことなく、新規追加機能を有する画像形成装置がネットワーク上に追加された場合に対して、簡易的なアクセス制御方法を提供することが目的である。
【課題を解決するための手段】
【0008】
複数の画像形成装置と、前記画像形成装置のセキュリティポリシー管理を行うポリシーサーバーがネットワークを介して接続された画像処理システムにおけるアクセス制御方法であって、
ネットワークに接続された前記画像形成装置を定期的に探索するステップと、
前記ステップにより探索された前記画像形成装置が前記ポリシーサーバーに既に登録されている種類の画像形成装置であるか、別の種類であるかを判定するステップと、
前記ステップにより探索された前記画像形成装置に対して、ポリシーサーバーに設定されているセキュリティポリシー情報を通知するステップを有することを特徴とする
【発明の効果】
【0009】
本発明によれば、ユーザ毎の認証処理を行うことなく、ネットワーク上に新規に設置された複数の画像形成装置に対して、機種毎にアクセス制御を行うことが可能となるため、画像形成装置管理担当者の管理コストが軽減される。
【図面の簡単な説明】
【0010】
【図1】本発明に係る一実施形態における画像処理システムの動作概要を示す図である。
【図2】本実施形態における各機器の主なハードウェアモジュールを示す図である。
【図3】本実施形態におけるサーバのソフトウェアモジュール構成を示す図である。
【図4】本実施形態におけるアクセス権制御管理プログラムの構成を示す図である。
【図5(A)】画像形成装置に設定されたセキュリティレベル、機能、使用制限を示すリストを例示する図である。
【図5(B)】画像形成装置に設定されたセキュリティレベル、機能、使用制限を示すリストを例示する図である。
【図6】本実施形態におけるアクセス権制御管理プログラムの処理内容を示すフローチャートである。
【図7】本実施形態におけるアクセス権制御管理プログラムの処理内容を示すフローチャートである。
【図8】本実施形態におけるアクセス権制御管理プログラムの処理内容を示すフローチャートである。
【図9】本実施形態におけるアクセス権制御管理プログラムに利用される管理情報の例を示す図である。
【図10】本実施形態におけるアクセス権制御管理プログラムに利用される画像形成装置のリスト情報の例を示す図である。
【図11(A)】本実施形態におけるアクセス権制御管理プログラムが管理する画像形成装置の機種、機能および機能制限のリスト情報の例を示す図である。
【図11(B)】本実施形態におけるアクセス権制御管理プログラムが管理する画像形成装置の機種、機能および機能制限のリスト情報の例を示す図である。
【図11(C)】本実施形態におけるアクセス権制御管理プログラムが管理する画像形成装置の機種、機能および機能制限のリスト情報の例を示す図である。
【発明を実施するための形態】
【0011】
以下、本発明を実施するための最良の形態について図面を用いて説明する。
【0012】
<第1実施形態>
図1は、本実施形態が動作する画像処理システムの構成および動作概要を示す図である。同図において、101はコピー、プリントやファクス等の実行する画像形成装置である。ユーザは画像形成装置101上で、コピーやファクス等の機能を選択し、コピーによる印刷処理やファクス送信処理等を実行する。102は画像形成装置101の機能制限を管理するセキュリティポリシー管理サーバである。本実施形態において、ネットワーク201上に、新しい画像形成装置101が接続された場合において、セキュリティポリシー管理サーバ102がどのように画像形成装置101に対する機能制限を実施するか、説明を行う。
【0013】
図2は、図1に示した本実施形態における各機器の主なハードウェアモジュールを示す図であり、以下、同図を用いて各機器におけるハードウェアモジュールの機能を説明する。
【0014】
同図において、201はネットワークラインである。ネットワークライン201は、各機器間のネットワークを構成する物理的なラインであり、通常はツイストペアケーブル、同軸ケーブルや光ファイバなどが使用される。
【0015】
図1に示した画像処理システムにおけるセキュリティポリシー管理サーバ102は、図2に示すサーバにおいて実現されるため、以下、サーバ102と称する。サーバ102を構成するハードウェアモジュールとしては、ネットワークボード202、CPUボード203、ビデオインタフェイス204、I/Oインタフェイス205、ディスクインタフェイス206がある。CPUボード203には、CPU2031、ROM2032、RAM2033が含まれる。そしてさらに、上記各モジュールに接続されたCRT207、キーボード208、マウス209、ハードディスクドライブ(HD)210がある。HD210においては、複数のハードディスクユニットが並列に接続されており、データ転送の高速化と高信頼性を確保している。なお、これらハードディスクユニットには、サーバ102上で動作するソフトウェアの性格等により、データベースを構築していても良い。
【0016】
また、画像形成装置101を構成するハードウェアモジュールとしては、周辺機器に対応したネットワークボード211、機能複合型複写機のコントローラボード212、記録
手段(印刷手段)としてのプリントエンジン220がある。さらに、操作パネルコントローラ216、操作パネル217、スキャナコントローラ215、スキャナユニット214、モデム213、ハードディスクコントローラ218、HD219を備える。なお、本実施形態のシステムにおいては画像形成装置101以外にも複数台の画像形成装置101を備えることが可能である。
【0017】
図3は、サーバ102におけるソフトウェアモジュール構成を示す図である。同図において、301はオペレーティングシステム(OS)、302はライブラリ、303はアプリケーションであり、アプリケーション303の一部としてアクセス権制御管理プログラム304を含んでいる。305はハードウェア制御プログラムであり、その一部としてネットワーク制御プログラム306、ハードディスク(HD)制御プログラム307を含んでいる。
【0018】
図4は、アクセス権制御管理プログラム304の構成を表した図である。アクセス権制御管理プログラム304は、サーバ102上のアプリケーション303の一つとして実現される。同図において、管理プログラム401はアクセス権制御管理プログラム304のメイン部分であり、該プログラムの全体を制御する。通信プログラム402は、ネットワーク制御プログラム405を利用して画像形成装置101とサーバ102間での通信を行い、画像形成装置101へのセキュリティレベルの配信や、画像形成装置101からのセキュリティレベルが設定完了通知の受信等を行う。
【0019】
図5(A)および図5(B)は、画像形成装置101に設定されているセキュリティレベルとセキュリティレベルに対応した、機能の使用制限を示すリストを例示する図である。なお、この図に示されるリスト情報は、画像形成装置101のHD219に製品出荷時に記憶されているものである。また、画像形成装置101の起動時あるいは、サーバ102からの機能制限設定要求時にコントローラボード212より、HDコントローラ218を介して、HD219から読み出され、画像形成装置101の機能を制限するために利用されるものである。
【0020】
セキュリティレベル(「強」、「中」、「弱」)に応じて、画像形成装置101が有する各機能に対する使用制限(○は使用可能、×は使用不可であることを示す)の組合せを示している。図5(A)と図5(B)では、画像形成装置101が有する機能が異なっていることを示している。
【0021】
以下で、本実施形態におけるアクセス権制御管理プログラム304によるアクセス権制御処理を図6のフローチャートを用いて説明する。なお本フローに係るアクセス権制御管理プログラム304は、サーバ102のHD210に記憶されており、RAM2033に読み出されCPU2031によって実行される。
【0022】
まず、ステップS601では、現在サーバ102のHD210に記憶されている、セキュリティレベル(本実施例はでは「強」、「中」、「弱」の3種類とする)を含む管理情報をRAM2033に読み出す。アクセス権制御管理プログラム304に利用される管理情報の例を図9に示す。この例ではセキュリティレベルが「中」に設定されていることを示している。
【0023】
次にステップS602にて、サーバ102はHD210に管理されている画像形成装置101のリスト情報をRAM2033に読み出す。アクセス権制御管理プログラム304に利用される画像形成装置101のリスト情報の例を図10に示す。この例では8台の画像形成装置101(MFP)が、3種類管理されており、それぞれ画像形成装置101を一意に判別するためのMACアドレスの情報も合わせて管理されていることを示している。
【0024】
次にステップS603において、ネットワーク201上の画像形成装置101を探索する。探索の方法としては、サーバ102が接続されているネットワーク201に対して、画像形成装置101の種別名等の管理データを取得するためのGet―requestパケットをブロードキャストあるいはマルチキャストで送信する。そのパケットに対してGet―responseパケットで正しい管理データを返してきた画像形成装置101の一覧を作成する方法などが考えられる。
【0025】
次にステップS604において、ステップS602で読み出したリスト情報とステップS603で探索された情報を比較し、ネットワーク201上に新たな画像形成装置101が追加されたか判定を行う。
【0026】
ステップS604において追加されたと判定した場合は、ステップS605にて、追加された画像形成装置101が新機種であるか、既にサーバ102にて管理されている機種と同じものであるか判定を行う。
【0027】
ステップS605にて、新規機種であると判定された場合は、ステップS607においてセキュリティレベル(本実施例においては「中」)を画像形成装置101に送信する。セキュリティレベルのみを送信する理由は、この時点ではサーバ102は新規に探索された画像形成装置101がどのような機能を有するかを知りえないためである。
【0028】
ステップS605にて、既存の機種と判定された場合は、ステップS606にて、[図5](A)に示されるようなセキュリティレベルと、機能および使用制限の情報を画像形成装置101に送信する。
【0029】
次にステップS608において、ステップS606やステップS607で送信を行った画像形成装置101から、セキュリティレベルなどの情報が正しく設定されたことの通知が受信されたか判定する。受信された場合は、ステップS609にてサーバ102にHD210に管理される画像形成装置101のリスト情報およびセキュリティレベル、機能、使用制限の情報を更新する。
【0030】
ステップS604において追加されていないと判定した場合は、ステップS610において、画像形成装置101の探索処理を継続して行うか、終了するかの判定を行う。継続する場合は、ステップS601の処理に戻り、探索を終了する場合はアクセス権制御管理プログラム304の処理を終了する。
【0031】
次に図6のフローチャートのステップS606で、セキュリティレベルと、機能および使用制限の情報を画像形成装置101に送信されたときの、画像形成装置101側の処理について、図7のフローチャートを用いて説明する。
【0032】
なお本フローに係るアクセス権設定プログラム(不図示)は、画像形成装置101のHD219に記憶されており、サーバ102のHD210に記憶されており、コントローラボード212上のRAM(不図示)に読み出されCPU(不図示)によって実行される。
【0033】
まず、ステップS701にて、サーバ102からの通知が受信されたか判定を行う。受信された場合は、ステップS702において、サーバ102から通知されたセキュリティレベル、機能、使用制限の情報に基づき、画像形成装置101の機能を制限する。次にステップS703において、画像形成装置101の機能制限の設定が完了した旨をサーバ102へ通知して処理を終了する。
【0034】
次に図6のフローチャートのステップS606で、セキュリティレベルのみを画像形成装置101に送信されたときの、画像形成装置101側の処理について、図8のフローチャートを用いて説明する。
【0035】
なお本フローに係るアクセス権設定プログラム(不図示)は、画像形成装置101のHD219に記憶されており、サーバ102のHD210に記憶されており、コントローラボード212上のRAM(不図示)に読み出されCPU(不図示)によって実行される。
【0036】
まず、ステップS801にて、サーバ102からの通知が受信されたか判定を行う。受信された場合は、ステップS802において、サーバ102から通知されたセキュリティレベルを参照し、予め画像形成装置101に設定されているセキュリティレベルに応じた機能制限を有効にする。次にステップS803において、ステップS802で有効にした機能制限の詳細な情報(セキュリティレベル、機能、機能制限)の情報をサーバ102へ送信する。続いてステップS804において、画像形成装置101の機能制限の設定が完了した旨をサーバ102へ通知して処理を終了する。
【0037】
図11(A)、図11(B)および図11(C)は、サーバ102において、アクセス権制御管理プログラム304が管理する画像形成装置101の機種、機能および使用制限のリスト情報の例を示す図である。なお、この図に示されるリスト情報は、サーバ102のHD210に記憶されている。また、アクセス権制御管理プログラム304によって、RAM2033に読み出され、必要に応じて、CPU2031によって書き換え処理が実行され、その後HD210に記憶されるものである。
【0038】
図11(A)では、3種類の機種に対するそれぞれの機能に対して、どのような使用制限が行われているかを示すものである。
【0039】
図11(B)は、図6のフローチャートに示されるアクセス権制御処理によって、ネットワーク上に新規に追加された画像形成装置101を図11(B)の「機種D」として、機能と使用制限が設定されたことを示している。
【0040】
ただし、サーバ102は新規にネットワーク201に接続された画像形成装置101が今までと異なる機種だった場合、その画像形成装置101がどのような機能を有するか知りえない。よって、サーバ102は、図9に示されるセキュリティレベル(本実施例においては「中」)のみを画像形成装置101へ通知する。この場合、画像形成装置101は、サーバ102から送付されたセキュリティレベルから、図5に示されるセキュリティレベルとセキュリティレベルに対応した、機能の使用制限を示すリストを参照し、このリストに従って機能の使用制限を行う。例として、図5(B)が新規に追加された機種の画像形成装置101が有するリスト情報だとした場合、セキュリティレベルは「中」であることから、ファクスとリモートファクスの機能は使用できない。また、コピー、プリント、リモートコピーの機能が使用できるように設定されることを示している。
【0041】
さらに、図8のフローチャートのステップS803に示される機能制限の詳細な情報(セキュリティレベル、機能、機能制限)の情報をサーバ102へ送信する処理によって、サーバ102が保持するリスト情報は更新される。図11(C)はサーバ102のリスト情報が更新された状態を示している(「機種D」が有する機能および使用制限が記録されている)。
【符号の説明】
【0042】
101 画像形成装置
102 セキュリティポリシー管理サーバ
201 ネットワーク
【技術分野】
【0001】
本発明は、画像処理システム、そのアクセス制御方法及びプログラムに関するものである。
【背景技術】
【0002】
昨今の画像形成装置管理における管理項目の増大や、管理対象となる画像形成装置台数の増加等を要因として、画像形成装置管理担当者の管理コスト(TCO)の削減が要望されている。それと同時に、ネットワーク上に新規機能を有する画像形成装置が追加された場合に、セキュリティポリシーの設定を簡単に行えることにより、管理作業工数を削減したいという要望もある。
【0003】
従来、画像形成装置に新しい機能が追加された場合に、その機能に対する使用許可/禁止を制御する場合、画像形成装置上に新しい機能に対する認証を促す画面を表示し、ユーザIDとパスワードを入力させ、入力内容の成否により判定する等の方法が取られている(特許文献1参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2006−172398号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、上記従来の画像形成装置管理システムにおける管理方法では、以下のような問題があった。
【0006】
まず、画像形成装置に新規の機能が選択された場合、画像形成装置上の表示画面に新たな認証画面を表示して、認証処理を行う必要があった。しかしながら、個別のユーザ管理が行われていないような環境においては、従来技術を用いることはできない。
【0007】
そこで本発明では、ユーザ毎の認証処理を行うことなく、新規追加機能を有する画像形成装置がネットワーク上に追加された場合に対して、簡易的なアクセス制御方法を提供することが目的である。
【課題を解決するための手段】
【0008】
複数の画像形成装置と、前記画像形成装置のセキュリティポリシー管理を行うポリシーサーバーがネットワークを介して接続された画像処理システムにおけるアクセス制御方法であって、
ネットワークに接続された前記画像形成装置を定期的に探索するステップと、
前記ステップにより探索された前記画像形成装置が前記ポリシーサーバーに既に登録されている種類の画像形成装置であるか、別の種類であるかを判定するステップと、
前記ステップにより探索された前記画像形成装置に対して、ポリシーサーバーに設定されているセキュリティポリシー情報を通知するステップを有することを特徴とする
【発明の効果】
【0009】
本発明によれば、ユーザ毎の認証処理を行うことなく、ネットワーク上に新規に設置された複数の画像形成装置に対して、機種毎にアクセス制御を行うことが可能となるため、画像形成装置管理担当者の管理コストが軽減される。
【図面の簡単な説明】
【0010】
【図1】本発明に係る一実施形態における画像処理システムの動作概要を示す図である。
【図2】本実施形態における各機器の主なハードウェアモジュールを示す図である。
【図3】本実施形態におけるサーバのソフトウェアモジュール構成を示す図である。
【図4】本実施形態におけるアクセス権制御管理プログラムの構成を示す図である。
【図5(A)】画像形成装置に設定されたセキュリティレベル、機能、使用制限を示すリストを例示する図である。
【図5(B)】画像形成装置に設定されたセキュリティレベル、機能、使用制限を示すリストを例示する図である。
【図6】本実施形態におけるアクセス権制御管理プログラムの処理内容を示すフローチャートである。
【図7】本実施形態におけるアクセス権制御管理プログラムの処理内容を示すフローチャートである。
【図8】本実施形態におけるアクセス権制御管理プログラムの処理内容を示すフローチャートである。
【図9】本実施形態におけるアクセス権制御管理プログラムに利用される管理情報の例を示す図である。
【図10】本実施形態におけるアクセス権制御管理プログラムに利用される画像形成装置のリスト情報の例を示す図である。
【図11(A)】本実施形態におけるアクセス権制御管理プログラムが管理する画像形成装置の機種、機能および機能制限のリスト情報の例を示す図である。
【図11(B)】本実施形態におけるアクセス権制御管理プログラムが管理する画像形成装置の機種、機能および機能制限のリスト情報の例を示す図である。
【図11(C)】本実施形態におけるアクセス権制御管理プログラムが管理する画像形成装置の機種、機能および機能制限のリスト情報の例を示す図である。
【発明を実施するための形態】
【0011】
以下、本発明を実施するための最良の形態について図面を用いて説明する。
【0012】
<第1実施形態>
図1は、本実施形態が動作する画像処理システムの構成および動作概要を示す図である。同図において、101はコピー、プリントやファクス等の実行する画像形成装置である。ユーザは画像形成装置101上で、コピーやファクス等の機能を選択し、コピーによる印刷処理やファクス送信処理等を実行する。102は画像形成装置101の機能制限を管理するセキュリティポリシー管理サーバである。本実施形態において、ネットワーク201上に、新しい画像形成装置101が接続された場合において、セキュリティポリシー管理サーバ102がどのように画像形成装置101に対する機能制限を実施するか、説明を行う。
【0013】
図2は、図1に示した本実施形態における各機器の主なハードウェアモジュールを示す図であり、以下、同図を用いて各機器におけるハードウェアモジュールの機能を説明する。
【0014】
同図において、201はネットワークラインである。ネットワークライン201は、各機器間のネットワークを構成する物理的なラインであり、通常はツイストペアケーブル、同軸ケーブルや光ファイバなどが使用される。
【0015】
図1に示した画像処理システムにおけるセキュリティポリシー管理サーバ102は、図2に示すサーバにおいて実現されるため、以下、サーバ102と称する。サーバ102を構成するハードウェアモジュールとしては、ネットワークボード202、CPUボード203、ビデオインタフェイス204、I/Oインタフェイス205、ディスクインタフェイス206がある。CPUボード203には、CPU2031、ROM2032、RAM2033が含まれる。そしてさらに、上記各モジュールに接続されたCRT207、キーボード208、マウス209、ハードディスクドライブ(HD)210がある。HD210においては、複数のハードディスクユニットが並列に接続されており、データ転送の高速化と高信頼性を確保している。なお、これらハードディスクユニットには、サーバ102上で動作するソフトウェアの性格等により、データベースを構築していても良い。
【0016】
また、画像形成装置101を構成するハードウェアモジュールとしては、周辺機器に対応したネットワークボード211、機能複合型複写機のコントローラボード212、記録
手段(印刷手段)としてのプリントエンジン220がある。さらに、操作パネルコントローラ216、操作パネル217、スキャナコントローラ215、スキャナユニット214、モデム213、ハードディスクコントローラ218、HD219を備える。なお、本実施形態のシステムにおいては画像形成装置101以外にも複数台の画像形成装置101を備えることが可能である。
【0017】
図3は、サーバ102におけるソフトウェアモジュール構成を示す図である。同図において、301はオペレーティングシステム(OS)、302はライブラリ、303はアプリケーションであり、アプリケーション303の一部としてアクセス権制御管理プログラム304を含んでいる。305はハードウェア制御プログラムであり、その一部としてネットワーク制御プログラム306、ハードディスク(HD)制御プログラム307を含んでいる。
【0018】
図4は、アクセス権制御管理プログラム304の構成を表した図である。アクセス権制御管理プログラム304は、サーバ102上のアプリケーション303の一つとして実現される。同図において、管理プログラム401はアクセス権制御管理プログラム304のメイン部分であり、該プログラムの全体を制御する。通信プログラム402は、ネットワーク制御プログラム405を利用して画像形成装置101とサーバ102間での通信を行い、画像形成装置101へのセキュリティレベルの配信や、画像形成装置101からのセキュリティレベルが設定完了通知の受信等を行う。
【0019】
図5(A)および図5(B)は、画像形成装置101に設定されているセキュリティレベルとセキュリティレベルに対応した、機能の使用制限を示すリストを例示する図である。なお、この図に示されるリスト情報は、画像形成装置101のHD219に製品出荷時に記憶されているものである。また、画像形成装置101の起動時あるいは、サーバ102からの機能制限設定要求時にコントローラボード212より、HDコントローラ218を介して、HD219から読み出され、画像形成装置101の機能を制限するために利用されるものである。
【0020】
セキュリティレベル(「強」、「中」、「弱」)に応じて、画像形成装置101が有する各機能に対する使用制限(○は使用可能、×は使用不可であることを示す)の組合せを示している。図5(A)と図5(B)では、画像形成装置101が有する機能が異なっていることを示している。
【0021】
以下で、本実施形態におけるアクセス権制御管理プログラム304によるアクセス権制御処理を図6のフローチャートを用いて説明する。なお本フローに係るアクセス権制御管理プログラム304は、サーバ102のHD210に記憶されており、RAM2033に読み出されCPU2031によって実行される。
【0022】
まず、ステップS601では、現在サーバ102のHD210に記憶されている、セキュリティレベル(本実施例はでは「強」、「中」、「弱」の3種類とする)を含む管理情報をRAM2033に読み出す。アクセス権制御管理プログラム304に利用される管理情報の例を図9に示す。この例ではセキュリティレベルが「中」に設定されていることを示している。
【0023】
次にステップS602にて、サーバ102はHD210に管理されている画像形成装置101のリスト情報をRAM2033に読み出す。アクセス権制御管理プログラム304に利用される画像形成装置101のリスト情報の例を図10に示す。この例では8台の画像形成装置101(MFP)が、3種類管理されており、それぞれ画像形成装置101を一意に判別するためのMACアドレスの情報も合わせて管理されていることを示している。
【0024】
次にステップS603において、ネットワーク201上の画像形成装置101を探索する。探索の方法としては、サーバ102が接続されているネットワーク201に対して、画像形成装置101の種別名等の管理データを取得するためのGet―requestパケットをブロードキャストあるいはマルチキャストで送信する。そのパケットに対してGet―responseパケットで正しい管理データを返してきた画像形成装置101の一覧を作成する方法などが考えられる。
【0025】
次にステップS604において、ステップS602で読み出したリスト情報とステップS603で探索された情報を比較し、ネットワーク201上に新たな画像形成装置101が追加されたか判定を行う。
【0026】
ステップS604において追加されたと判定した場合は、ステップS605にて、追加された画像形成装置101が新機種であるか、既にサーバ102にて管理されている機種と同じものであるか判定を行う。
【0027】
ステップS605にて、新規機種であると判定された場合は、ステップS607においてセキュリティレベル(本実施例においては「中」)を画像形成装置101に送信する。セキュリティレベルのみを送信する理由は、この時点ではサーバ102は新規に探索された画像形成装置101がどのような機能を有するかを知りえないためである。
【0028】
ステップS605にて、既存の機種と判定された場合は、ステップS606にて、[図5](A)に示されるようなセキュリティレベルと、機能および使用制限の情報を画像形成装置101に送信する。
【0029】
次にステップS608において、ステップS606やステップS607で送信を行った画像形成装置101から、セキュリティレベルなどの情報が正しく設定されたことの通知が受信されたか判定する。受信された場合は、ステップS609にてサーバ102にHD210に管理される画像形成装置101のリスト情報およびセキュリティレベル、機能、使用制限の情報を更新する。
【0030】
ステップS604において追加されていないと判定した場合は、ステップS610において、画像形成装置101の探索処理を継続して行うか、終了するかの判定を行う。継続する場合は、ステップS601の処理に戻り、探索を終了する場合はアクセス権制御管理プログラム304の処理を終了する。
【0031】
次に図6のフローチャートのステップS606で、セキュリティレベルと、機能および使用制限の情報を画像形成装置101に送信されたときの、画像形成装置101側の処理について、図7のフローチャートを用いて説明する。
【0032】
なお本フローに係るアクセス権設定プログラム(不図示)は、画像形成装置101のHD219に記憶されており、サーバ102のHD210に記憶されており、コントローラボード212上のRAM(不図示)に読み出されCPU(不図示)によって実行される。
【0033】
まず、ステップS701にて、サーバ102からの通知が受信されたか判定を行う。受信された場合は、ステップS702において、サーバ102から通知されたセキュリティレベル、機能、使用制限の情報に基づき、画像形成装置101の機能を制限する。次にステップS703において、画像形成装置101の機能制限の設定が完了した旨をサーバ102へ通知して処理を終了する。
【0034】
次に図6のフローチャートのステップS606で、セキュリティレベルのみを画像形成装置101に送信されたときの、画像形成装置101側の処理について、図8のフローチャートを用いて説明する。
【0035】
なお本フローに係るアクセス権設定プログラム(不図示)は、画像形成装置101のHD219に記憶されており、サーバ102のHD210に記憶されており、コントローラボード212上のRAM(不図示)に読み出されCPU(不図示)によって実行される。
【0036】
まず、ステップS801にて、サーバ102からの通知が受信されたか判定を行う。受信された場合は、ステップS802において、サーバ102から通知されたセキュリティレベルを参照し、予め画像形成装置101に設定されているセキュリティレベルに応じた機能制限を有効にする。次にステップS803において、ステップS802で有効にした機能制限の詳細な情報(セキュリティレベル、機能、機能制限)の情報をサーバ102へ送信する。続いてステップS804において、画像形成装置101の機能制限の設定が完了した旨をサーバ102へ通知して処理を終了する。
【0037】
図11(A)、図11(B)および図11(C)は、サーバ102において、アクセス権制御管理プログラム304が管理する画像形成装置101の機種、機能および使用制限のリスト情報の例を示す図である。なお、この図に示されるリスト情報は、サーバ102のHD210に記憶されている。また、アクセス権制御管理プログラム304によって、RAM2033に読み出され、必要に応じて、CPU2031によって書き換え処理が実行され、その後HD210に記憶されるものである。
【0038】
図11(A)では、3種類の機種に対するそれぞれの機能に対して、どのような使用制限が行われているかを示すものである。
【0039】
図11(B)は、図6のフローチャートに示されるアクセス権制御処理によって、ネットワーク上に新規に追加された画像形成装置101を図11(B)の「機種D」として、機能と使用制限が設定されたことを示している。
【0040】
ただし、サーバ102は新規にネットワーク201に接続された画像形成装置101が今までと異なる機種だった場合、その画像形成装置101がどのような機能を有するか知りえない。よって、サーバ102は、図9に示されるセキュリティレベル(本実施例においては「中」)のみを画像形成装置101へ通知する。この場合、画像形成装置101は、サーバ102から送付されたセキュリティレベルから、図5に示されるセキュリティレベルとセキュリティレベルに対応した、機能の使用制限を示すリストを参照し、このリストに従って機能の使用制限を行う。例として、図5(B)が新規に追加された機種の画像形成装置101が有するリスト情報だとした場合、セキュリティレベルは「中」であることから、ファクスとリモートファクスの機能は使用できない。また、コピー、プリント、リモートコピーの機能が使用できるように設定されることを示している。
【0041】
さらに、図8のフローチャートのステップS803に示される機能制限の詳細な情報(セキュリティレベル、機能、機能制限)の情報をサーバ102へ送信する処理によって、サーバ102が保持するリスト情報は更新される。図11(C)はサーバ102のリスト情報が更新された状態を示している(「機種D」が有する機能および使用制限が記録されている)。
【符号の説明】
【0042】
101 画像形成装置
102 セキュリティポリシー管理サーバ
201 ネットワーク
【特許請求の範囲】
【請求項1】
複数の画像形成装置(101)と、前記画像形成装置(101)のセキュリティポリシー管理を行うポリシーサーバー(102)がネットワーク(201)を介して接続された画像処理システムにおけるアクセス制御方法であって、
ネットワーク(201)に接続された前記画像形成装置(101)を定期的に探索するステップ(S603)と、
前記ステップ(S603)により探索された前記画像形成装置(101)が前記ポリシーサーバー(102)に既に登録されている種類の画像形成装置(101)であるか、別の種類であるかを判定するステップ(S605)と、
前記ステップにより探索された前記画像形成装置(101)に対して、ポリシーサーバー(102)に設定されているセキュリティポリシー情報を通知するステップ(S606、S607)を有することを特徴とするアクセス制御方法。
【請求項2】
前記ステップ(S603)により探索された前記画像形成装置(101)が前記ポリシーサーバー(102)に既に登録されている種類の画像形成装置(101)であるか、別の種類であるかを判定するステップ(S605)において、既に登録されている種類であると判定された場合に、セキュリティレベル情報と、セキュリティレベルに対応した使用制限情報を前記画像形成装置に送信するステップ(S606)を有することを特徴とする請求項1に記載のアクセス制御方法。
【請求項3】
前記ステップ(S603)により探索された前記画像形成装置(101)が前記ポリシーサーバー(102)に既に登録されている種類の画像形成装置(101)であるか、別の種類であるかを判定するステップ(S605)において、別の種類であると判定された場合に、セキュリティレベル情報のみを送信するステップ(S607)を有することを特徴とする請求項1に記載のアクセス制御方法。
【請求項4】
複数の画像形成装置(101)と、前記画像形成装置(101)のセキュリティポリシー管理を行うポリシーサーバー(102)がネットワーク(201)を介して接続された画像処理システムであって、
ネットワーク(201)に接続された前記画像形成装置(101)を定期的に探索する探索手段(S603)と、
前記探索手段(S603)により探索された前記画像形成装置(101)が前記ポリシーサーバー(102)に既に登録されている種類の画像形成装置(101)であるか、別の種類であるかを判定する判定手段(S605)と、
前記探索手段(S603)により探索された前記画像形成装置(101)に対して、ポリシーサーバー(102)に設定されているセキュリティポリシー情報を通知する手段(S606、S607)を有することを特徴とする画像処理システム。
【請求項5】
前記探索手段(S603)により探索された前記画像形成装置(101)が前記ポリシーサーバー(102)に既に登録されている種類の画像形成装置(101)であるか、別の種類であるかを判定する判定手段(S605)において、既に登録されている種類であると判定された場合に、セキュリティレベル情報と、セキュリティレベルに対応した使用制限情報を前記画像形成装置(101)に送信する送信手段(S606)を有することを特徴とする請求項4に記載の画像処理システム。
【請求項6】
前記探索手段(S603)により探索された前記画像形成装置(101)が前記ポリシーサーバー(102)に既に登録されている種類の画像形成装置(101)であるか、別の種類であるかを判定する判定手段(605)において、別の種類であると判定された場合に、セキュリティレベル情報のみを送信する送信手段(S607)を有することを特徴とする請求項4に記載の画像処理システム。
【請求項7】
複数の画像形成装置(101)と、前記画像形成装置(101)のセキュリティポリシー管理を行うポリシーサーバー(102)がネットワーク(201)を介して接続された画像処理システムにおけるアクセス制御を行うプログラムであって、
ネットワーク(201)に接続された前記画像形成装置(101)を定期的に探索するステップ(S603)と、
前記ステップ(S603)により探索された前記画像形成装置(101)が前記ポリシーサーバー(102)に既に登録されている種類の画像形成装置(101)であるか、別の種類であるかを判定するステップ(S605)と、
前記ステップ(S603)により探索された前記画像形成装置(101)に対して、ポリシーサーバー(102)に設定されているセキュリティポリシー情報を通知するステップ(S606、S607)をコンピュータに実行させることを特徴とするプログラム。
【請求項1】
複数の画像形成装置(101)と、前記画像形成装置(101)のセキュリティポリシー管理を行うポリシーサーバー(102)がネットワーク(201)を介して接続された画像処理システムにおけるアクセス制御方法であって、
ネットワーク(201)に接続された前記画像形成装置(101)を定期的に探索するステップ(S603)と、
前記ステップ(S603)により探索された前記画像形成装置(101)が前記ポリシーサーバー(102)に既に登録されている種類の画像形成装置(101)であるか、別の種類であるかを判定するステップ(S605)と、
前記ステップにより探索された前記画像形成装置(101)に対して、ポリシーサーバー(102)に設定されているセキュリティポリシー情報を通知するステップ(S606、S607)を有することを特徴とするアクセス制御方法。
【請求項2】
前記ステップ(S603)により探索された前記画像形成装置(101)が前記ポリシーサーバー(102)に既に登録されている種類の画像形成装置(101)であるか、別の種類であるかを判定するステップ(S605)において、既に登録されている種類であると判定された場合に、セキュリティレベル情報と、セキュリティレベルに対応した使用制限情報を前記画像形成装置に送信するステップ(S606)を有することを特徴とする請求項1に記載のアクセス制御方法。
【請求項3】
前記ステップ(S603)により探索された前記画像形成装置(101)が前記ポリシーサーバー(102)に既に登録されている種類の画像形成装置(101)であるか、別の種類であるかを判定するステップ(S605)において、別の種類であると判定された場合に、セキュリティレベル情報のみを送信するステップ(S607)を有することを特徴とする請求項1に記載のアクセス制御方法。
【請求項4】
複数の画像形成装置(101)と、前記画像形成装置(101)のセキュリティポリシー管理を行うポリシーサーバー(102)がネットワーク(201)を介して接続された画像処理システムであって、
ネットワーク(201)に接続された前記画像形成装置(101)を定期的に探索する探索手段(S603)と、
前記探索手段(S603)により探索された前記画像形成装置(101)が前記ポリシーサーバー(102)に既に登録されている種類の画像形成装置(101)であるか、別の種類であるかを判定する判定手段(S605)と、
前記探索手段(S603)により探索された前記画像形成装置(101)に対して、ポリシーサーバー(102)に設定されているセキュリティポリシー情報を通知する手段(S606、S607)を有することを特徴とする画像処理システム。
【請求項5】
前記探索手段(S603)により探索された前記画像形成装置(101)が前記ポリシーサーバー(102)に既に登録されている種類の画像形成装置(101)であるか、別の種類であるかを判定する判定手段(S605)において、既に登録されている種類であると判定された場合に、セキュリティレベル情報と、セキュリティレベルに対応した使用制限情報を前記画像形成装置(101)に送信する送信手段(S606)を有することを特徴とする請求項4に記載の画像処理システム。
【請求項6】
前記探索手段(S603)により探索された前記画像形成装置(101)が前記ポリシーサーバー(102)に既に登録されている種類の画像形成装置(101)であるか、別の種類であるかを判定する判定手段(605)において、別の種類であると判定された場合に、セキュリティレベル情報のみを送信する送信手段(S607)を有することを特徴とする請求項4に記載の画像処理システム。
【請求項7】
複数の画像形成装置(101)と、前記画像形成装置(101)のセキュリティポリシー管理を行うポリシーサーバー(102)がネットワーク(201)を介して接続された画像処理システムにおけるアクセス制御を行うプログラムであって、
ネットワーク(201)に接続された前記画像形成装置(101)を定期的に探索するステップ(S603)と、
前記ステップ(S603)により探索された前記画像形成装置(101)が前記ポリシーサーバー(102)に既に登録されている種類の画像形成装置(101)であるか、別の種類であるかを判定するステップ(S605)と、
前記ステップ(S603)により探索された前記画像形成装置(101)に対して、ポリシーサーバー(102)に設定されているセキュリティポリシー情報を通知するステップ(S606、S607)をコンピュータに実行させることを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図5(A)】
【図5(B)】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11(A)】
【図11(B)】
【図11(C)】
【図2】
【図3】
【図4】
【図5(A)】
【図5(B)】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11(A)】
【図11(B)】
【図11(C)】
【公開番号】特開2013−8173(P2013−8173A)
【公開日】平成25年1月10日(2013.1.10)
【国際特許分類】
【出願番号】特願2011−140010(P2011−140010)
【出願日】平成23年6月24日(2011.6.24)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
【公開日】平成25年1月10日(2013.1.10)
【国際特許分類】
【出願日】平成23年6月24日(2011.6.24)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
[ Back to top ]