認証制御装置、認証制御方法、及びプログラム
【課題】カードを利用したユーザ認証を適切に実現することのできる認証制御装置、認証制御方法、及びプログラムの提供を目的とする。
【解決手段】画像形成装置に接続されたカード読み取り装置によってカードより読み取られるカードIDを前記画像形成装置より受信するカードID受信手段と、前記カードIDとユーザ識別情報との対応情報を管理する対応情報管理手段と、前記カードID受信手段によって受信された前記カードIDに対応するユーザ識別情報を前記対応情報管理手段より取得し、取得されたユーザ識別情報に係るユーザのパスワードを取得するカードID変換手段と、取得された前記ユーザ情報識別情報及び前記パスワードに基づいてユーザの認証処理を実行させる認証制御手段と、前記認証処理の結果を前記画像形成装置に送信する認証結果送信手段とを有することにより上記課題を解決する。
【解決手段】画像形成装置に接続されたカード読み取り装置によってカードより読み取られるカードIDを前記画像形成装置より受信するカードID受信手段と、前記カードIDとユーザ識別情報との対応情報を管理する対応情報管理手段と、前記カードID受信手段によって受信された前記カードIDに対応するユーザ識別情報を前記対応情報管理手段より取得し、取得されたユーザ識別情報に係るユーザのパスワードを取得するカードID変換手段と、取得された前記ユーザ情報識別情報及び前記パスワードに基づいてユーザの認証処理を実行させる認証制御手段と、前記認証処理の結果を前記画像形成装置に送信する認証結果送信手段とを有することにより上記課題を解決する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証制御装置、認証制御方法、及びプログラムに関し、特にユーザ認証を行う認証制御装置、認証制御方法、及びプログラムに関する。
【背景技術】
【0002】
近年、画像形成装置等の組み込み系機器においても、USBデバイス等の外部デバイスを接続するためのインタフェースが標準搭載されているモデルが多くなってきている。そこで、画像形成装置におけるユーザ認証の際に、外部デバイス(例えば、ICカードリーダ等)を使用してユーザ情報を入力させるといったソリューションが展開されている(例えば、特許文献1〜3)。
【0003】
ユーザ認証にカードを利用する場合、PIN(Personal Identification Number:個人暗証番号)と組み合わせた高機能なICカードを用いることが高いセキュリティの確保の観点より望ましい。斯かるICカードからは、正しいPINが入力されなければ情報を取得することができないからである。
【特許文献1】特開2006−215770号公報
【特許文献2】特開2007−122384号公報
【特許文献3】特開2006−92437号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
ところで、高機能なICカードに記録されている情報をユーザ認証に利用する場合、当該ICカードのカードフォーマット(情報の記録形式等)をカード発行元から開示してもらう必要がある。しかしながら、カードフォーマットはセキュリティ上非常に重要な情報であり安易に開示して貰えない。したがって、ICカードを利用したシステムを構築する際にカードフォーマットを開示して貰うための煩雑な作業が必要とされていた。
【0005】
一方、PINを使用せずにカードIDのみを有する簡易的なカード(例えば、磁気カード、Proximityカード等)では、高機能なICカードと同等のセキュリティを確保することが困難であるという問題がある。
【0006】
本発明は、上記の点に鑑みてなされたものであって、カードを利用したユーザ認証を適切に実現することのできる認証制御装置、認証制御方法、及びプログラムの提供を目的とする。
【課題を解決するための手段】
【0007】
そこで上記課題を解決するため、本発明は、画像形成装置に接続されたカード読み取り装置によってカードより読み取られるカードIDを前記画像形成装置より受信するカードID受信手段と、前記カードIDとユーザ識別情報との対応情報を管理する対応情報管理手段と、前記カードID受信手段によって受信された前記カードIDに対応するユーザ識別情報を前記対応情報管理手段より取得し、取得されたユーザ識別情報に係るユーザのパスワードを取得するカードID変換手段と、取得された前記ユーザ情報識別情報及び前記パスワードに基づいてユーザの認証処理を実行させる認証制御手段と、前記認証処理の結果を前記画像形成装置に送信する認証結果送信手段とを有する。
【0008】
このような認証制御装置では、カードを利用したユーザ認証を適切に実現することができる。
【発明の効果】
【0009】
本発明によれば、カードを利用したユーザ認証を適切に実現することができる。
【発明を実施するための最良の形態】
【0010】
以下、図面に基づいて本発明の実施の形態を説明する。図1は、本発明の実施の形態におけるシステム構成例を示す図である。同図において、カード認証制御サーバ10は、画像形成装置20a、20b、及び20c等の一台以上の画像形成装置20と、認証サーバ30a、30b、及び30c等の一台以上の認証サーバ30とネットワーク(有線又は無線の別は問わない。)を介して接続されている。
【0011】
画像形成装置20は、いわゆるプリンタである。但し、本発明の適用対象としては、コピー機、スキャナ、ファクシミリ、又はこれらの複数の機能を一台の筐体において実現する複合機であってもよい。
【0012】
カード認証制御サーバ10は、画像形成装置20の操作者について、カードを用いた認証処理を制御するコンピュータである。カード認証制御サーバ10の機能を画像形成装置20と同一装置内に持つことも可能である。認証サーバ30は、ユーザ名及びパスワードに基づいてユーザの認証を行うコンピュータである。すなわち、認証サーバ30は、ユーザ名及びパスワードとの対応情報が記録されたユーザ情報データベースを備える。認証サーバ30は、当該ユーザ情報データベースに記録された対応情報と、認証要求において入力されたユーザ名及びパスワードとを照合することにより認証処理を実行する。なお、ユーザ名とは、ユーザを一意に識別するユーザ識別情報であり、ユーザIDとも呼ばれる情報である。各認証サーバ30は、それぞれ認証方式が異なる。認証方式の例としては、LDAP(Lightweight Directory Access Protocol)、Windows(登録商標)認証、Kerberos、NTLM(Windows(登録商標) NT LAN Manager)認証等が挙げられる。
【0013】
図2は、本発明の実施の形態におけるカード認証制御サーバのハードウェア構成例を示す図である。図2のカード認証制御サーバ10は、それぞれバスBで相互に接続されているドライブ装置100と、補助記憶装置102と、メモリ装置103と、CPU104と、インタフェース装置105とを有するように構成される。
【0014】
カード認証制御サーバ10での処理を実現するプログラムは、CD−ROM等の記録媒体101によって提供される。プログラムを記録した記録媒体101がドライブ装置100にセットされると、プログラムが記録媒体101からドライブ装置100を介して補助記憶装置102にインストールされる。但し、プログラムのインストールは必ずしも記録媒体101より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置102は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
【0015】
メモリ装置103は、プログラムの起動指示があった場合に、補助記憶装置102からプログラムを読み出して格納する。CPU104は、メモリ装置103に格納されたプログラムに従ってカード認証制御サーバ10に係る機能を実行する。インタフェース装置105は、図1のネットワーク40に接続するためのインタフェースとして用いられる。
【0016】
図3は、本発明の実施の形態における画像形成装置のハードウェア構成例を示す図である。図3において、画像形成装置20は、CPU201、メモリ202、記録媒体203、ネットワークI/F204、画像出力部205、画像処理部206、外部デバイスI/F207、表示部208、及び操作部209等を有する。
【0017】
画像形成装置20での機能を実現するプログラムは、HDD(Hard Disk Drive)等の不揮発性の記録媒体203に記録(インストール)される。記録媒体203は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。メモリ202は、プログラムの起動指示があった場合に、記録媒体203からプログラムを読み出して格納する。CPU201は、メモリ202に格納されたプログラムに従って画像形成装置20に係る機能を実現する。ネットワークI/F204は、ネットワークに接続するためのインタフェースとして用いられる。
【0018】
表示部208は、LCD(Liquid Crystal Display)等によって構成され、操作画面やメッセージ等を表示させる。操作部209は、ハード的なボタン(キー)によって構成され、ユーザによる操作入力を受け付ける入力手段である。なお、表示部208及び操作部209は、オペレーションパネルとして一体的に構成されてもよい。
【0019】
画像処理部206は、画像データを出力(印刷)等する際に必要とされる各種の画像処理を実行する。画像出力部205は、画像データの出力(印刷)を行う。
【0020】
外部デバイスI/F207は、認証のためのユーザ情報の入力に用いられるカードリーダーと接続するためのインタフェースであり、例えば、USBポート(USBホストインタフェース)又はシリアルボート等によって構成される。カードリーダー40は、カード50から情報を読み取るいわゆるカードリーダー(カード読み取り装置)であり、外部デバイスI/F207と接続可能なハードウェアインタフェース(例えば、USBコネクタ又はシリアルインタフェース等)を備える。但し、カードリーダー40は、画像形成装置20に内蔵されていてもよい。カードリーダー40は、接触型又は非接触型のいずれであってもよい。カード50は、ICカードに限定されず、磁気カード等、少なくとも各カード50に一意なカードID(カード番号)が記録可能なものであればよい。カードIDは、一般的に、Universal ID又はCard Serial Numberと呼ばれる。カード50の具体例の一部としては、Proximityカード、Mifareカード、Java(登録商標)Card等が挙げられる。
【0021】
本実施の形態において、カード50は各ユーザに配布されていることとする。但し、運用上必要とされるセキュリティのレベルに応じて、複数のユーザによって一枚のカード50を共用させてもよい。なお、各ユーザに配布されるカード50は一種類に限定されなくてもよい。上記のようにカードリーダー40は、USB等によって簡便に画像形成装置20に接続することが可能である。したがって、それぞれ対応するカード50の種類(Proximityカード、Mifareカード、Java(登録商標)Card等)が異なる複数のカードリーダー40を画像形成装置20に同時に接続させてもよい。この場合、複数種類のカード50を同時に利用することができる。
【0022】
図4は、本実施の形態における画像形成装置及びカード認証制御サーバの機能構成例を示す図である。
【0023】
同図において、画像形成装置20は、カードID取得部21、カードID送信部22、パスワード取得部23、認証結果受信部24、及びアドレス帳25等を有する。これら各部は、画像形成装置20にインストールされたプログラムがCPU201に実行させる処理によって実現される。
【0024】
カードID取得部21は、カードリーダー40がカード50より読み取ったカードIDをカードリーダー40より取得する。カードID送信部22は、カードID取得部21によって取得されたカードIDをカード認証制御サーバ10に送信することにより、当該カードIDに基づく認証を要求する。パスワード取得部23は、操作部10を介してユーザによって入力されるパスワードを取得する。認証結果受信部24は、カードIDに基づく認証の結果をカード認証制御サーバ10より受信し、表示部108に表示させる。アドレス帳25は、ユーザの属性情報の集合であり、記録媒体203に記録されている。
【0025】
一方、カード認証制御サーバ10は、カードID受信部11、カードID変換部12、認証先判定部13、認証制御部14、ユーザ情報取得部15、認証結果送信部16、対応情報管理部121、認証先管理テーブル122、及びユーザDB123等を有する。これら各部は、カード認証制御サーバ10にインストールされたプログラムがCPU104に実行させる処理によって実現される。
【0026】
カードID受信部11は、画像形成装置20のカードID送信部22より送信されるカードIDを受信する。カードID変換部12は、対応情報管理部121において管理されている情報に基づいてカードIDをユーザ名及びパスワードに変換する。対応情報管理部121は、カードIDとユーザ名及びパスワードとの対応情報を管理する。認証先判定部13は、認証先管理テーブル122に基づいて、認証処理を実行させる認証サーバ30を判定する。認証先管理テーブル122には、ユーザ名とログイン対象の画像形成装置20との組み合わせごとに認証先とする認証サーバ30を識別するための情報が登録されている。認証制御部14は、認証先判定部13によって認証先とされた認証サーバ30にユーザ名及びパスワードに基づく認証を実行させる。ユーザ情報取得部15は、認証に成功した場合に、当該ユーザの属性情報(ユーザ情報)をユーザDB123より取得する。ユーザDB123には、ユーザごとにユーザ情報が登録されている。認証結果送信部16は、認証結果とユーザ情報とを画像形成装置20の認証結果受信部24に送信する。なお、対応情報管理部121、認証先管理テーブル122、及びユーザDB123は、補助記憶装置102に形成される。
【0027】
以下、図1のシステムの処理手順について説明する。図5は、本実施の形態におけるシステムによる処理手順を説明するためのシーケンス図である。
【0028】
画像形成装置20へのログイン時において、ユーザによってカード50がカードリーダー40にセットされると(S101)、カードID取得部21は、カードリーダー40がカードより読み取ったカードID(以下、「カレントカードID」という。)をカードリーダー40より取得する(S102)。なお、カードリーダー40へのカード50のセットとは、カードリーダー40へカード50を挿入したり、カード50を翳したりといったように、カードリーダー40がカード50に記録されている情報を読み取れる状態にすることをいう。続いて、カードID送信部22は、カード認証制御サーバ10へカレントカードIDを送信することにより、カレントカードIDに基づくユーザの認証を要求する(S103)。なお、画像形成装置20の記録媒体203には、カード認証制御サーバ10のIPアドレスが予め記録されている。
【0029】
カード認証制御サーバ10のカードID受信部11がカレントカードIDを受信すると、カードID変換部12は、カレントカードIDに対応するユーザ名及びパスワードを対応情報管理部121より取得する(カレントカードIDをユーザ名に変換する)(S104)。
【0030】
図6は、対応情報管理部が管理する対応情報の例を示す図である。同図において、対応情報1210は、ユーザごとに、ユーザID、カードID、及びパスワードを対応付けて(関連付けて)保持する情報である。したがって、ステップS104において、カードID変換部12は、カレントカードIDに対応付けられているユーザ名及びパスワードを対応情報管理部121より取得する。
【0031】
なお、パスワードは、必ずしも対応情報管理部121に登録されているとは限らない。カレントカードIDに対応するパスワードが取得できなかった場合(S105)、カードID変換部12は、画像形成装置20に対してパスワードの送信を要求する(S106)。画像形成装置20のパスワード取得部23は、当該要求に応じ、パスワード画面を表示部208に表示させることにより、パスワードの入力をユーザに要求する(S107)。
【0032】
図7は、パスワード画面の表示例を示す図である。パスワード画面520においてパスワードが入力され、OKボタン522が押下されると(S108)、パスワード取得部23は、入力されたパスワードとチェックボタン524の状態を示す情報とをカード認証制御サーバ10のカードID変換部12に送信する(S109)。カードID変換部12は、チェックボタン524がチェックされている場合は、受信したパスワードをカレントカードIDに対応付けて対応情報管理部121に登録する。
【0033】
なお、パスワードの入力が必須とされていない場合は、ステップS105〜S109は実行されなくてもよい。この場合、カレントカードIDに対応するパスワードは無い状態で以降の処理が実行される。
【0034】
続いて、認証先判定部13は、認証先管理テーブル122に基づいて認証を依頼する認証サーバ30(認証先)を判定する(S110)。
【0035】
図8は、認証先管理テーブルの構成例を示す図である。同図に示されるように、認証先管理テーブル122には、ユーザごとに、画像形成装置20(機器)に応じて認証先とする認証サーバを識別するための情報が登録されている。すなわち、同図において、認証先管理テーブル122aは、ユーザAに対する認証先管理テーブル122である。認証先管理テーブル122bは、ユーザBに対する認証先管理テーブル122である。また、各認証先管理テーブル122において、機器A、機器B、機器Cは、それぞれ画像形成装置20a、10b、10cを示す。認証サーバA、認証サーバB、認証サーバCは、それぞれ認証サーバ30a、30b、30cを示す。
【0036】
例えば、ユーザAであれば、機器A(画像形成装置20a)へのログインについては認証サーバA(認証サーバ30a)が認証先となる。また、ユーザBであれば、機器A(画像形成装置20a)へのログインについては認証サーバB(認証サーバ30b)が認証先となる。また、いずれの認証サーバ30も認証先とされていない場合(ユーザAが機器Cにログインする場合)、認証先はカード認証制御サーバ10となる。
【0037】
なお、ログイン対象がいずれの画像形成装置20であるかについては、ステップS103において、カードIDと共に画像形成装置20の識別情報(IPアドレス又はホスト名等)が送信されるため、当該識別情報に基づいて判定される。
【0038】
続いて、認証制御部14は、認証先判定部13によって判定された認証先に対して、カレントカードIDに基づいて取得されたユーザ名及びパスワードを送信することにより認証の実行を要求する(S111)。当該要求を受けた認証サーバ30は、ユーザ名及びパスワードに基づいて認証処理を実行し(S112)、認証の結果(成否)を認証制御部14に返信する(S113)。
【0039】
但し、認証先がカード認証制御サーバ10である場合、認証制御部14は、カレントカードIDに基づいて取得されたユーザ名及びパスワードをユーザDB123に登録されているユーザ名及びパスワードと照合することにより認証を行う。
【0040】
また、認証先がいずれかの認証サーバ30である場合であって、認証制御部14が認証の実行要求を送信後、所定の期間内に応答が無い場合(タイムアウトした場合)も、認証制御部14が、カレントカードIDに基づいて取得されたユーザ名及びパスワードをユーザDB123に登録されているユーザ名及びパスワードと照合することにより認証を行うようにしてもよい。
【0041】
なお、カレントカードIDに対応するパスワードが無い場合、認証制御部14は、代理ユーザ(例えば、ゲストユーザ)のユーザ名及びパスワードを用いて認証先の認証サーバ30にログインし、その上でカレントカードIDに対応するユーザ名の存否(ユーザ名が登録されているか否か)を認証サーバ30に確認することにより、認証の成否を判定する。すなわち、ユーザ名が登録されていれば認証は成功であると判定し、ユーザ名が登録されていなければ認証は失敗であると判定する。
【0042】
認証に成功した場合、ユーザ情報取得部15は、カレントユーザのユーザ名に対応するユーザ情報(ユーザ名、ユーザ表示名、メールアドレス、FAX番号、権限情報等)をユーザDB123より取得する(S114)。なお、ユーザ情報は、認証を実行した認証サーバ30から取得されてもよい。また、ユーザ情報を統合的に管理する他のサーバ(ユーザ情報管理サーバ)より取得されてもよい。
【0043】
続いて、認証結果送信部16は、認証結果を画像形成装置20に送信する(S115)。認証に成功した場合は、認証結果と共にユーザ情報も送信される。画像形成装置20の認証結果受信部23は、認証結果を受信し、ユーザ情報も共に受信された場合(認証に成功した場合)は、当該ユーザ情報をアドレス帳25に登録する(S116)。これにより、ユーザDB123とアドレス帳25との整合性が図られる。続いて、認証結果受信部23は、認証結果(ログインの可否)を表示部108に表示させる(S117)。例えば、認証に成功した場合は、ログイン後の初期画面に遷移する。また、認証に失敗した場合は、ログインが許可されない旨のメッセージ等が表示される。
【0044】
上述したように、カード認証制御サーバ10は、カードIDとユーザ名との対応情報を管理しており、カードIDに基づいてユーザ名を判定することができる。また、画像形成装置20におけるログインにはカードIDをセットさせるだけでなくパスワードを入力させることもできる。そして、これらのユーザ名及びパスワードに基づいて認証を実行することができる。したがって、カードIDのみが記録されているカード50であっても、PIN(Personal Identification Number:個人暗証番号)を使用する高機能なICカードと同等のセキュリティレベルによる認証機能を複数の画像形成装置20に対して一元的に提供することができる。
【0045】
以上、本発明の実施例について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
【図面の簡単な説明】
【0046】
【図1】本発明の実施の形態におけるシステム構成例を示す図である。
【図2】本発明の実施の形態におけるカード認証制御サーバのハードウェア構成例を示す図である。
【図3】本発明の実施の形態における画像形成装置のハードウェア構成例を示す図である。
【図4】本実施の形態における画像形成装置及びカード認証制御サーバの機能構成例を示す図である。
【図5】本実施の形態におけるシステムによる処理手順を説明するためのシーケンス図である。
【図6】対応情報管理部が管理する対応情報の例を示す図である。
【図7】パスワード画面の表示例を示す図である。
【図8】認証先管理テーブルの構成例を示す図である。
【符号の説明】
【0047】
10 カード認証制御サーバ
11 カードID受信部
12 カードID変換部
13 認証先判定部
14 認証制御部
15 ユーザ情報取得部
16 認証結果送信部
20、20a、20b、20c 画像形成装置
21 カードID取得部
22 カードID送信部
23 パスワード取得部
24 認証結果受信部
25 アドレス帳
30、30a、30b、30c 認証サーバ
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 CPU
105 インタフェース装置
121 対応情報管理部
122 認証先管理テーブル
123 ユーザDB
201 CPU
202 メモリ
203 記録媒体
204 ネットワークI/F
205 画像出力部
206 画像処理部
207 外部デバイスI/F
208 表示部
209 操作部
B バス
【技術分野】
【0001】
本発明は、認証制御装置、認証制御方法、及びプログラムに関し、特にユーザ認証を行う認証制御装置、認証制御方法、及びプログラムに関する。
【背景技術】
【0002】
近年、画像形成装置等の組み込み系機器においても、USBデバイス等の外部デバイスを接続するためのインタフェースが標準搭載されているモデルが多くなってきている。そこで、画像形成装置におけるユーザ認証の際に、外部デバイス(例えば、ICカードリーダ等)を使用してユーザ情報を入力させるといったソリューションが展開されている(例えば、特許文献1〜3)。
【0003】
ユーザ認証にカードを利用する場合、PIN(Personal Identification Number:個人暗証番号)と組み合わせた高機能なICカードを用いることが高いセキュリティの確保の観点より望ましい。斯かるICカードからは、正しいPINが入力されなければ情報を取得することができないからである。
【特許文献1】特開2006−215770号公報
【特許文献2】特開2007−122384号公報
【特許文献3】特開2006−92437号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
ところで、高機能なICカードに記録されている情報をユーザ認証に利用する場合、当該ICカードのカードフォーマット(情報の記録形式等)をカード発行元から開示してもらう必要がある。しかしながら、カードフォーマットはセキュリティ上非常に重要な情報であり安易に開示して貰えない。したがって、ICカードを利用したシステムを構築する際にカードフォーマットを開示して貰うための煩雑な作業が必要とされていた。
【0005】
一方、PINを使用せずにカードIDのみを有する簡易的なカード(例えば、磁気カード、Proximityカード等)では、高機能なICカードと同等のセキュリティを確保することが困難であるという問題がある。
【0006】
本発明は、上記の点に鑑みてなされたものであって、カードを利用したユーザ認証を適切に実現することのできる認証制御装置、認証制御方法、及びプログラムの提供を目的とする。
【課題を解決するための手段】
【0007】
そこで上記課題を解決するため、本発明は、画像形成装置に接続されたカード読み取り装置によってカードより読み取られるカードIDを前記画像形成装置より受信するカードID受信手段と、前記カードIDとユーザ識別情報との対応情報を管理する対応情報管理手段と、前記カードID受信手段によって受信された前記カードIDに対応するユーザ識別情報を前記対応情報管理手段より取得し、取得されたユーザ識別情報に係るユーザのパスワードを取得するカードID変換手段と、取得された前記ユーザ情報識別情報及び前記パスワードに基づいてユーザの認証処理を実行させる認証制御手段と、前記認証処理の結果を前記画像形成装置に送信する認証結果送信手段とを有する。
【0008】
このような認証制御装置では、カードを利用したユーザ認証を適切に実現することができる。
【発明の効果】
【0009】
本発明によれば、カードを利用したユーザ認証を適切に実現することができる。
【発明を実施するための最良の形態】
【0010】
以下、図面に基づいて本発明の実施の形態を説明する。図1は、本発明の実施の形態におけるシステム構成例を示す図である。同図において、カード認証制御サーバ10は、画像形成装置20a、20b、及び20c等の一台以上の画像形成装置20と、認証サーバ30a、30b、及び30c等の一台以上の認証サーバ30とネットワーク(有線又は無線の別は問わない。)を介して接続されている。
【0011】
画像形成装置20は、いわゆるプリンタである。但し、本発明の適用対象としては、コピー機、スキャナ、ファクシミリ、又はこれらの複数の機能を一台の筐体において実現する複合機であってもよい。
【0012】
カード認証制御サーバ10は、画像形成装置20の操作者について、カードを用いた認証処理を制御するコンピュータである。カード認証制御サーバ10の機能を画像形成装置20と同一装置内に持つことも可能である。認証サーバ30は、ユーザ名及びパスワードに基づいてユーザの認証を行うコンピュータである。すなわち、認証サーバ30は、ユーザ名及びパスワードとの対応情報が記録されたユーザ情報データベースを備える。認証サーバ30は、当該ユーザ情報データベースに記録された対応情報と、認証要求において入力されたユーザ名及びパスワードとを照合することにより認証処理を実行する。なお、ユーザ名とは、ユーザを一意に識別するユーザ識別情報であり、ユーザIDとも呼ばれる情報である。各認証サーバ30は、それぞれ認証方式が異なる。認証方式の例としては、LDAP(Lightweight Directory Access Protocol)、Windows(登録商標)認証、Kerberos、NTLM(Windows(登録商標) NT LAN Manager)認証等が挙げられる。
【0013】
図2は、本発明の実施の形態におけるカード認証制御サーバのハードウェア構成例を示す図である。図2のカード認証制御サーバ10は、それぞれバスBで相互に接続されているドライブ装置100と、補助記憶装置102と、メモリ装置103と、CPU104と、インタフェース装置105とを有するように構成される。
【0014】
カード認証制御サーバ10での処理を実現するプログラムは、CD−ROM等の記録媒体101によって提供される。プログラムを記録した記録媒体101がドライブ装置100にセットされると、プログラムが記録媒体101からドライブ装置100を介して補助記憶装置102にインストールされる。但し、プログラムのインストールは必ずしも記録媒体101より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置102は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
【0015】
メモリ装置103は、プログラムの起動指示があった場合に、補助記憶装置102からプログラムを読み出して格納する。CPU104は、メモリ装置103に格納されたプログラムに従ってカード認証制御サーバ10に係る機能を実行する。インタフェース装置105は、図1のネットワーク40に接続するためのインタフェースとして用いられる。
【0016】
図3は、本発明の実施の形態における画像形成装置のハードウェア構成例を示す図である。図3において、画像形成装置20は、CPU201、メモリ202、記録媒体203、ネットワークI/F204、画像出力部205、画像処理部206、外部デバイスI/F207、表示部208、及び操作部209等を有する。
【0017】
画像形成装置20での機能を実現するプログラムは、HDD(Hard Disk Drive)等の不揮発性の記録媒体203に記録(インストール)される。記録媒体203は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。メモリ202は、プログラムの起動指示があった場合に、記録媒体203からプログラムを読み出して格納する。CPU201は、メモリ202に格納されたプログラムに従って画像形成装置20に係る機能を実現する。ネットワークI/F204は、ネットワークに接続するためのインタフェースとして用いられる。
【0018】
表示部208は、LCD(Liquid Crystal Display)等によって構成され、操作画面やメッセージ等を表示させる。操作部209は、ハード的なボタン(キー)によって構成され、ユーザによる操作入力を受け付ける入力手段である。なお、表示部208及び操作部209は、オペレーションパネルとして一体的に構成されてもよい。
【0019】
画像処理部206は、画像データを出力(印刷)等する際に必要とされる各種の画像処理を実行する。画像出力部205は、画像データの出力(印刷)を行う。
【0020】
外部デバイスI/F207は、認証のためのユーザ情報の入力に用いられるカードリーダーと接続するためのインタフェースであり、例えば、USBポート(USBホストインタフェース)又はシリアルボート等によって構成される。カードリーダー40は、カード50から情報を読み取るいわゆるカードリーダー(カード読み取り装置)であり、外部デバイスI/F207と接続可能なハードウェアインタフェース(例えば、USBコネクタ又はシリアルインタフェース等)を備える。但し、カードリーダー40は、画像形成装置20に内蔵されていてもよい。カードリーダー40は、接触型又は非接触型のいずれであってもよい。カード50は、ICカードに限定されず、磁気カード等、少なくとも各カード50に一意なカードID(カード番号)が記録可能なものであればよい。カードIDは、一般的に、Universal ID又はCard Serial Numberと呼ばれる。カード50の具体例の一部としては、Proximityカード、Mifareカード、Java(登録商標)Card等が挙げられる。
【0021】
本実施の形態において、カード50は各ユーザに配布されていることとする。但し、運用上必要とされるセキュリティのレベルに応じて、複数のユーザによって一枚のカード50を共用させてもよい。なお、各ユーザに配布されるカード50は一種類に限定されなくてもよい。上記のようにカードリーダー40は、USB等によって簡便に画像形成装置20に接続することが可能である。したがって、それぞれ対応するカード50の種類(Proximityカード、Mifareカード、Java(登録商標)Card等)が異なる複数のカードリーダー40を画像形成装置20に同時に接続させてもよい。この場合、複数種類のカード50を同時に利用することができる。
【0022】
図4は、本実施の形態における画像形成装置及びカード認証制御サーバの機能構成例を示す図である。
【0023】
同図において、画像形成装置20は、カードID取得部21、カードID送信部22、パスワード取得部23、認証結果受信部24、及びアドレス帳25等を有する。これら各部は、画像形成装置20にインストールされたプログラムがCPU201に実行させる処理によって実現される。
【0024】
カードID取得部21は、カードリーダー40がカード50より読み取ったカードIDをカードリーダー40より取得する。カードID送信部22は、カードID取得部21によって取得されたカードIDをカード認証制御サーバ10に送信することにより、当該カードIDに基づく認証を要求する。パスワード取得部23は、操作部10を介してユーザによって入力されるパスワードを取得する。認証結果受信部24は、カードIDに基づく認証の結果をカード認証制御サーバ10より受信し、表示部108に表示させる。アドレス帳25は、ユーザの属性情報の集合であり、記録媒体203に記録されている。
【0025】
一方、カード認証制御サーバ10は、カードID受信部11、カードID変換部12、認証先判定部13、認証制御部14、ユーザ情報取得部15、認証結果送信部16、対応情報管理部121、認証先管理テーブル122、及びユーザDB123等を有する。これら各部は、カード認証制御サーバ10にインストールされたプログラムがCPU104に実行させる処理によって実現される。
【0026】
カードID受信部11は、画像形成装置20のカードID送信部22より送信されるカードIDを受信する。カードID変換部12は、対応情報管理部121において管理されている情報に基づいてカードIDをユーザ名及びパスワードに変換する。対応情報管理部121は、カードIDとユーザ名及びパスワードとの対応情報を管理する。認証先判定部13は、認証先管理テーブル122に基づいて、認証処理を実行させる認証サーバ30を判定する。認証先管理テーブル122には、ユーザ名とログイン対象の画像形成装置20との組み合わせごとに認証先とする認証サーバ30を識別するための情報が登録されている。認証制御部14は、認証先判定部13によって認証先とされた認証サーバ30にユーザ名及びパスワードに基づく認証を実行させる。ユーザ情報取得部15は、認証に成功した場合に、当該ユーザの属性情報(ユーザ情報)をユーザDB123より取得する。ユーザDB123には、ユーザごとにユーザ情報が登録されている。認証結果送信部16は、認証結果とユーザ情報とを画像形成装置20の認証結果受信部24に送信する。なお、対応情報管理部121、認証先管理テーブル122、及びユーザDB123は、補助記憶装置102に形成される。
【0027】
以下、図1のシステムの処理手順について説明する。図5は、本実施の形態におけるシステムによる処理手順を説明するためのシーケンス図である。
【0028】
画像形成装置20へのログイン時において、ユーザによってカード50がカードリーダー40にセットされると(S101)、カードID取得部21は、カードリーダー40がカードより読み取ったカードID(以下、「カレントカードID」という。)をカードリーダー40より取得する(S102)。なお、カードリーダー40へのカード50のセットとは、カードリーダー40へカード50を挿入したり、カード50を翳したりといったように、カードリーダー40がカード50に記録されている情報を読み取れる状態にすることをいう。続いて、カードID送信部22は、カード認証制御サーバ10へカレントカードIDを送信することにより、カレントカードIDに基づくユーザの認証を要求する(S103)。なお、画像形成装置20の記録媒体203には、カード認証制御サーバ10のIPアドレスが予め記録されている。
【0029】
カード認証制御サーバ10のカードID受信部11がカレントカードIDを受信すると、カードID変換部12は、カレントカードIDに対応するユーザ名及びパスワードを対応情報管理部121より取得する(カレントカードIDをユーザ名に変換する)(S104)。
【0030】
図6は、対応情報管理部が管理する対応情報の例を示す図である。同図において、対応情報1210は、ユーザごとに、ユーザID、カードID、及びパスワードを対応付けて(関連付けて)保持する情報である。したがって、ステップS104において、カードID変換部12は、カレントカードIDに対応付けられているユーザ名及びパスワードを対応情報管理部121より取得する。
【0031】
なお、パスワードは、必ずしも対応情報管理部121に登録されているとは限らない。カレントカードIDに対応するパスワードが取得できなかった場合(S105)、カードID変換部12は、画像形成装置20に対してパスワードの送信を要求する(S106)。画像形成装置20のパスワード取得部23は、当該要求に応じ、パスワード画面を表示部208に表示させることにより、パスワードの入力をユーザに要求する(S107)。
【0032】
図7は、パスワード画面の表示例を示す図である。パスワード画面520においてパスワードが入力され、OKボタン522が押下されると(S108)、パスワード取得部23は、入力されたパスワードとチェックボタン524の状態を示す情報とをカード認証制御サーバ10のカードID変換部12に送信する(S109)。カードID変換部12は、チェックボタン524がチェックされている場合は、受信したパスワードをカレントカードIDに対応付けて対応情報管理部121に登録する。
【0033】
なお、パスワードの入力が必須とされていない場合は、ステップS105〜S109は実行されなくてもよい。この場合、カレントカードIDに対応するパスワードは無い状態で以降の処理が実行される。
【0034】
続いて、認証先判定部13は、認証先管理テーブル122に基づいて認証を依頼する認証サーバ30(認証先)を判定する(S110)。
【0035】
図8は、認証先管理テーブルの構成例を示す図である。同図に示されるように、認証先管理テーブル122には、ユーザごとに、画像形成装置20(機器)に応じて認証先とする認証サーバを識別するための情報が登録されている。すなわち、同図において、認証先管理テーブル122aは、ユーザAに対する認証先管理テーブル122である。認証先管理テーブル122bは、ユーザBに対する認証先管理テーブル122である。また、各認証先管理テーブル122において、機器A、機器B、機器Cは、それぞれ画像形成装置20a、10b、10cを示す。認証サーバA、認証サーバB、認証サーバCは、それぞれ認証サーバ30a、30b、30cを示す。
【0036】
例えば、ユーザAであれば、機器A(画像形成装置20a)へのログインについては認証サーバA(認証サーバ30a)が認証先となる。また、ユーザBであれば、機器A(画像形成装置20a)へのログインについては認証サーバB(認証サーバ30b)が認証先となる。また、いずれの認証サーバ30も認証先とされていない場合(ユーザAが機器Cにログインする場合)、認証先はカード認証制御サーバ10となる。
【0037】
なお、ログイン対象がいずれの画像形成装置20であるかについては、ステップS103において、カードIDと共に画像形成装置20の識別情報(IPアドレス又はホスト名等)が送信されるため、当該識別情報に基づいて判定される。
【0038】
続いて、認証制御部14は、認証先判定部13によって判定された認証先に対して、カレントカードIDに基づいて取得されたユーザ名及びパスワードを送信することにより認証の実行を要求する(S111)。当該要求を受けた認証サーバ30は、ユーザ名及びパスワードに基づいて認証処理を実行し(S112)、認証の結果(成否)を認証制御部14に返信する(S113)。
【0039】
但し、認証先がカード認証制御サーバ10である場合、認証制御部14は、カレントカードIDに基づいて取得されたユーザ名及びパスワードをユーザDB123に登録されているユーザ名及びパスワードと照合することにより認証を行う。
【0040】
また、認証先がいずれかの認証サーバ30である場合であって、認証制御部14が認証の実行要求を送信後、所定の期間内に応答が無い場合(タイムアウトした場合)も、認証制御部14が、カレントカードIDに基づいて取得されたユーザ名及びパスワードをユーザDB123に登録されているユーザ名及びパスワードと照合することにより認証を行うようにしてもよい。
【0041】
なお、カレントカードIDに対応するパスワードが無い場合、認証制御部14は、代理ユーザ(例えば、ゲストユーザ)のユーザ名及びパスワードを用いて認証先の認証サーバ30にログインし、その上でカレントカードIDに対応するユーザ名の存否(ユーザ名が登録されているか否か)を認証サーバ30に確認することにより、認証の成否を判定する。すなわち、ユーザ名が登録されていれば認証は成功であると判定し、ユーザ名が登録されていなければ認証は失敗であると判定する。
【0042】
認証に成功した場合、ユーザ情報取得部15は、カレントユーザのユーザ名に対応するユーザ情報(ユーザ名、ユーザ表示名、メールアドレス、FAX番号、権限情報等)をユーザDB123より取得する(S114)。なお、ユーザ情報は、認証を実行した認証サーバ30から取得されてもよい。また、ユーザ情報を統合的に管理する他のサーバ(ユーザ情報管理サーバ)より取得されてもよい。
【0043】
続いて、認証結果送信部16は、認証結果を画像形成装置20に送信する(S115)。認証に成功した場合は、認証結果と共にユーザ情報も送信される。画像形成装置20の認証結果受信部23は、認証結果を受信し、ユーザ情報も共に受信された場合(認証に成功した場合)は、当該ユーザ情報をアドレス帳25に登録する(S116)。これにより、ユーザDB123とアドレス帳25との整合性が図られる。続いて、認証結果受信部23は、認証結果(ログインの可否)を表示部108に表示させる(S117)。例えば、認証に成功した場合は、ログイン後の初期画面に遷移する。また、認証に失敗した場合は、ログインが許可されない旨のメッセージ等が表示される。
【0044】
上述したように、カード認証制御サーバ10は、カードIDとユーザ名との対応情報を管理しており、カードIDに基づいてユーザ名を判定することができる。また、画像形成装置20におけるログインにはカードIDをセットさせるだけでなくパスワードを入力させることもできる。そして、これらのユーザ名及びパスワードに基づいて認証を実行することができる。したがって、カードIDのみが記録されているカード50であっても、PIN(Personal Identification Number:個人暗証番号)を使用する高機能なICカードと同等のセキュリティレベルによる認証機能を複数の画像形成装置20に対して一元的に提供することができる。
【0045】
以上、本発明の実施例について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
【図面の簡単な説明】
【0046】
【図1】本発明の実施の形態におけるシステム構成例を示す図である。
【図2】本発明の実施の形態におけるカード認証制御サーバのハードウェア構成例を示す図である。
【図3】本発明の実施の形態における画像形成装置のハードウェア構成例を示す図である。
【図4】本実施の形態における画像形成装置及びカード認証制御サーバの機能構成例を示す図である。
【図5】本実施の形態におけるシステムによる処理手順を説明するためのシーケンス図である。
【図6】対応情報管理部が管理する対応情報の例を示す図である。
【図7】パスワード画面の表示例を示す図である。
【図8】認証先管理テーブルの構成例を示す図である。
【符号の説明】
【0047】
10 カード認証制御サーバ
11 カードID受信部
12 カードID変換部
13 認証先判定部
14 認証制御部
15 ユーザ情報取得部
16 認証結果送信部
20、20a、20b、20c 画像形成装置
21 カードID取得部
22 カードID送信部
23 パスワード取得部
24 認証結果受信部
25 アドレス帳
30、30a、30b、30c 認証サーバ
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 CPU
105 インタフェース装置
121 対応情報管理部
122 認証先管理テーブル
123 ユーザDB
201 CPU
202 メモリ
203 記録媒体
204 ネットワークI/F
205 画像出力部
206 画像処理部
207 外部デバイスI/F
208 表示部
209 操作部
B バス
【特許請求の範囲】
【請求項1】
画像形成装置に接続されたカード読み取り装置によってカードより読み取られるカードIDを前記画像形成装置より受信するカードID受信手段と、
前記カードIDとユーザ識別情報との対応情報を管理する対応情報管理手段と、
前記カードID受信手段によって受信された前記カードIDに対応するユーザ識別情報を前記対応情報管理手段より取得し、取得されたユーザ識別情報に係るユーザのパスワードを取得するカードID変換手段と、
取得された前記ユーザ情報識別情報及び前記パスワードに基づいてユーザの認証処理を実行させる認証制御手段と、
前記認証処理の結果を前記画像形成装置に送信する認証結果送信手段とを有する認証制御装置。
【請求項2】
前記カードID変換手段は、前記画像形成装置が備える入力手段を介して入力されるパスワードを取得する請求項1記載の認証制御装置。
【請求項3】
前記カードID変換手段は、前記カードID受信手段によって受信された前記カードIDに対応するパスワードを前記対応情報管理手段より取得する請求項1記載の認証制御装置。
【請求項4】
前記認証制御手段は、ネットワークを介して接続されるコンピュータに前記ユーザ識別情報とパスワードを送信することにより前記コンピュータに前記認証処理を実行させる請求項1乃至3いずれか一項記載の認証制御装置。
【請求項5】
コンピュータが実行する認証制御方法であって、
画像形成装置に接続されたカード読み取り装置によってカードより読み取られるカードIDを前記画像形成装置より受信するカードID受信手順と、
前記カードID受信手順によって受信された前記カードIDに対応するユーザ識別情報を、前記カードIDとユーザ識別情報との対応情報を管理する対応情報管理手段より取得し、取得されたユーザ識別情報に係るユーザのパスワードを取得するカードID変換手順と、
取得された前記ユーザ情報識別情報及び前記パスワードに基づいてユーザの認証処理を実行させる認証制御手順と、
前記認証処理の結果を前記画像形成装置に送信する認証結果送信手順とを有する認証制御方法。
【請求項6】
前記カードID変換手順は、前記画像形成装置が備える入力手段を介して入力されるパスワードを取得する請求項5記載の認証制御方法。
【請求項7】
前記カードID変換手順は、前記カードID受信手順によって受信された前記カードIDに対応するパスワードを前記対応情報管理手段より取得する請求項5記載の認証制御方法。
【請求項8】
前記認証制御手順は、ネットワークを介して接続されるコンピュータに前記ユーザ識別情報とパスワードを送信することにより前記コンピュータに前記認証処理を実行させる請求項5乃至7いずれか一項記載の認証制御方法。
【請求項9】
コンピュータに、
画像形成装置に接続されたカード読み取り装置によってカードより読み取られるカードIDを前記画像形成装置より受信するカードID受信手順と、
前記カードID受信手順によって受信された前記カードIDに対応するユーザ識別情報を、前記カードIDとユーザ識別情報との対応情報を管理する対応情報管理手段より取得し、取得されたユーザ識別情報に係るユーザのパスワードを取得するカードID変換手順と、
取得された前記ユーザ情報識別情報及び前記パスワードに基づいてユーザの認証処理を実行させる認証制御手順と、
前記認証処理の結果を前記画像形成装置に送信する認証結果送信手順とを実行させるためのプログラム。
【請求項10】
前記カードID変換手順は、前記画像形成装置が備える入力手段を介して入力されるパスワードを取得する請求項9記載のプログラム。
【請求項11】
前記カードID変換手順は、前記カードID受信手順によって受信された前記カードIDに対応するパスワードを前記対応情報管理手段より取得する請求項9記載のプログラム。
【請求項12】
前記認証制御手順は、ネットワークを介して接続されるコンピュータに前記ユーザ識別情報とパスワードを送信することにより前記コンピュータに前記認証処理を実行させる請求項9乃至11いずれか一項記載のプログラム。
【請求項1】
画像形成装置に接続されたカード読み取り装置によってカードより読み取られるカードIDを前記画像形成装置より受信するカードID受信手段と、
前記カードIDとユーザ識別情報との対応情報を管理する対応情報管理手段と、
前記カードID受信手段によって受信された前記カードIDに対応するユーザ識別情報を前記対応情報管理手段より取得し、取得されたユーザ識別情報に係るユーザのパスワードを取得するカードID変換手段と、
取得された前記ユーザ情報識別情報及び前記パスワードに基づいてユーザの認証処理を実行させる認証制御手段と、
前記認証処理の結果を前記画像形成装置に送信する認証結果送信手段とを有する認証制御装置。
【請求項2】
前記カードID変換手段は、前記画像形成装置が備える入力手段を介して入力されるパスワードを取得する請求項1記載の認証制御装置。
【請求項3】
前記カードID変換手段は、前記カードID受信手段によって受信された前記カードIDに対応するパスワードを前記対応情報管理手段より取得する請求項1記載の認証制御装置。
【請求項4】
前記認証制御手段は、ネットワークを介して接続されるコンピュータに前記ユーザ識別情報とパスワードを送信することにより前記コンピュータに前記認証処理を実行させる請求項1乃至3いずれか一項記載の認証制御装置。
【請求項5】
コンピュータが実行する認証制御方法であって、
画像形成装置に接続されたカード読み取り装置によってカードより読み取られるカードIDを前記画像形成装置より受信するカードID受信手順と、
前記カードID受信手順によって受信された前記カードIDに対応するユーザ識別情報を、前記カードIDとユーザ識別情報との対応情報を管理する対応情報管理手段より取得し、取得されたユーザ識別情報に係るユーザのパスワードを取得するカードID変換手順と、
取得された前記ユーザ情報識別情報及び前記パスワードに基づいてユーザの認証処理を実行させる認証制御手順と、
前記認証処理の結果を前記画像形成装置に送信する認証結果送信手順とを有する認証制御方法。
【請求項6】
前記カードID変換手順は、前記画像形成装置が備える入力手段を介して入力されるパスワードを取得する請求項5記載の認証制御方法。
【請求項7】
前記カードID変換手順は、前記カードID受信手順によって受信された前記カードIDに対応するパスワードを前記対応情報管理手段より取得する請求項5記載の認証制御方法。
【請求項8】
前記認証制御手順は、ネットワークを介して接続されるコンピュータに前記ユーザ識別情報とパスワードを送信することにより前記コンピュータに前記認証処理を実行させる請求項5乃至7いずれか一項記載の認証制御方法。
【請求項9】
コンピュータに、
画像形成装置に接続されたカード読み取り装置によってカードより読み取られるカードIDを前記画像形成装置より受信するカードID受信手順と、
前記カードID受信手順によって受信された前記カードIDに対応するユーザ識別情報を、前記カードIDとユーザ識別情報との対応情報を管理する対応情報管理手段より取得し、取得されたユーザ識別情報に係るユーザのパスワードを取得するカードID変換手順と、
取得された前記ユーザ情報識別情報及び前記パスワードに基づいてユーザの認証処理を実行させる認証制御手順と、
前記認証処理の結果を前記画像形成装置に送信する認証結果送信手順とを実行させるためのプログラム。
【請求項10】
前記カードID変換手順は、前記画像形成装置が備える入力手段を介して入力されるパスワードを取得する請求項9記載のプログラム。
【請求項11】
前記カードID変換手順は、前記カードID受信手順によって受信された前記カードIDに対応するパスワードを前記対応情報管理手段より取得する請求項9記載のプログラム。
【請求項12】
前記認証制御手順は、ネットワークを介して接続されるコンピュータに前記ユーザ識別情報とパスワードを送信することにより前記コンピュータに前記認証処理を実行させる請求項9乃至11いずれか一項記載のプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2010−55522(P2010−55522A)
【公開日】平成22年3月11日(2010.3.11)
【国際特許分類】
【出願番号】特願2008−222126(P2008−222126)
【出願日】平成20年8月29日(2008.8.29)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
【公開日】平成22年3月11日(2010.3.11)
【国際特許分類】
【出願日】平成20年8月29日(2008.8.29)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
[ Back to top ]