図面 (/)

技術 情報処理システム、情報処理方法およびプログラム

出願人 株式会社リコー
発明者 加藤寛史
出願日 2014年2月13日 (6年9ヶ月経過) 出願番号 2014-025785
公開日 2015年8月24日 (5年3ヶ月経過) 公開番号 2015-153099
状態 特許登録済
技術分野 タイプライター等へのデジタル出力 計算機・データ通信 オンライン・システムの機密保護 広域データ交換
主要キーワード 外部ネットワーク機器 NIC情報 ネットワークストレージデバイス ポート番 利用開始要求 利用機器 エンジン制御ボード パスワ
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2015年8月24日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (13)

課題

情報処理装置が有する通信制御処理を用いて、第1ネットワーク内の第1機器が、情報処理装置に接続された第2ネットワーク内の第2機器と通信可能である場合に、第1機器と第2機器との通信を制限する。

解決手段

本発明は、第1ネットワーク内の第1機器と第2ネットワーク内の第2機器との通信を可能とする通信制御処理を実行する実行部と、前記通信制御処理の実行に先立って、前記第1機器から、当該第1機器の認証に用いる認証情報を受信する受信部と、受信した前記認証情報を用いて、前記第1機器の認証を行う認証部と、を備え、前記実行部は、前記第1機器の認証に成功した場合、前記第1機器と前記第2機器との通信を有効とし、前記第1機器の認証に失敗した場合、前記第1機器と前記第2機器との通信を無効とすることを特徴とする情報処理システムである。

概要

背景

従来、画像形成装置は、単一のネットワークインタフェースを有する場合が多かったが、Ethernet(登録商標)や無線LAN(Local Area Network)といった複数のネットワークそれぞれのネットワークインタフェースを有する機器が多くなってきている。複数のネットワークそれぞれのネットワークインタフェースを画像形成装置が有する場合、当該画像形成装置を介して異なるネットワーク(第1ネットワークおよび第2ネットワークの一例)上に存在する外部機器(第1機器および第2機器の一例)同士が通信を行うためには、画像形成装置は、例えばNAT(Network Address Translation)等のアドレス変換機能通信制御処理の一例)を実行して、一方のネットワーク上に存在する外部機器から送信される通信データに含まれるIPアドレスを、他方のネットワークにおいて利用可能なIPアドレスに変換する必要がある。

概要

情報処理装置が有する通信制御処理を用いて、第1ネットワーク内の第1機器が、情報処理装置に接続された第2ネットワーク内の第2機器と通信可能である場合に、第1機器と第2機器との通信を制限する。本発明は、第1ネットワーク内の第1機器と第2ネットワーク内の第2機器との通信を可能とする通信制御処理を実行する実行部と、前記通信制御処理の実行に先立って、前記第1機器から、当該第1機器の認証に用いる認証情報を受信する受信部と、受信した前記認証情報を用いて、前記第1機器の認証を行う認証部と、を備え、前記実行部は、前記第1機器の認証に成功した場合、前記第1機器と前記第2機器との通信を有効とし、前記第1機器の認証に失敗した場合、前記第1機器と前記第2機器との通信を無効とすることを特徴とする情報処理システムである。

目的

その際、画像形成装置は、アドレス変換機能を用いて、あるネットワーク内の外部機器に対して、画像形成装置と他のネットワーク内の外部機器とを組み合わせたサービスを提供する

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

第1ネットワーク内の第1機器と第2ネットワーク内の第2機器との通信を可能とする通信制御処理を実行する実行部と、前記通信制御処理の実行に先立って、前記第1機器から、当該第1機器の認証に用いる認証情報を受信する受信部と、受信した前記認証情報を用いて、前記第1機器の認証を行う認証部と、を備え、前記実行部は、前記第1機器の認証に成功した場合、前記第1機器と前記第2機器との通信を有効とし、前記第1機器の認証に失敗した場合、前記第1機器と前記第2機器との通信を無効とすることを特徴とする情報処理システム

請求項2

前記実行部は、前記第1機器の認証に成功した場合、前記第2機器のうち前記第1機器との通信が許可された所定の機器以外の前記第2機器との通信を無効とすることを特徴とする請求項1に記載の情報処理システム。

請求項3

前記所定の機器は、予め設定されたMACアドレスにより特定される機器であることを特徴とする請求項2に記載の情報処理システム。

請求項4

前記所定の機器は、予め設定されたポート番号により特定される機器であることを特徴とする請求項2に記載の情報処理システム。

請求項5

前記実行部は、前記通信制御処理の実行を許可することによって前記第1機器と前記第2機器との通信を有効とし、前記通信制御処理の実行を禁止することによって前記第1機器と前記第2機器との通信を無効とすることを特徴とする請求項1から4のいずれか一項に記載の情報処理システム。

請求項6

第1ネットワーク内の第1機器と第2ネットワーク内の第2機器との通信を可能とする通信制御処理を実行し、前記通信制御処理の実行に先立って、前記第1機器から、当該第1機器の認証に用いる認証情報を受信し、受信した前記認証情報を用いて、前記第1機器の認証を行い、前記第1機器の認証に成功した場合、前記第1機器と前記第2機器との通信を有効とし、前記第1機器の認証に失敗した場合、前記第1機器と前記第2機器との通信を無効とする、ことを含むことを特徴とする情報処理方法

請求項7

コンピュータを、第1ネットワーク内の第1機器と第2ネットワーク内の第2機器との通信を可能とする通信制御処理を実行する実行部と、前記通信制御処理の実行に先立って、前記第1機器から、当該第1機器の認証に用いる認証情報を受信する受信部と、受信した前記認証情報を用いて、前記第1機器の認証を行う認証部と、を備え、前記実行部は、前記第1機器の認証に成功した場合、前記第1機器と前記第2機器との通信を有効とし、前記第1機器の認証に失敗した場合、前記第1機器と前記第2機器との通信を無効とすることを特徴とするプログラム

技術分野

0001

本発明は、情報処理システム情報処理方法およびプログラムに関する。

背景技術

0002

従来、画像形成装置は、単一のネットワークインタフェースを有する場合が多かったが、Ethernet(登録商標)や無線LAN(Local Area Network)といった複数のネットワークそれぞれのネットワークインタフェースを有する機器が多くなってきている。複数のネットワークそれぞれのネットワークインタフェースを画像形成装置が有する場合、当該画像形成装置を介して異なるネットワーク(第1ネットワークおよび第2ネットワークの一例)上に存在する外部機器(第1機器および第2機器の一例)同士が通信を行うためには、画像形成装置は、例えばNAT(Network Address Translation)等のアドレス変換機能通信制御処理の一例)を実行して、一方のネットワーク上に存在する外部機器から送信される通信データに含まれるIPアドレスを、他方のネットワークにおいて利用可能なIPアドレスに変換する必要がある。

発明が解決しようとする課題

0003

従来の画像形成装置は、外部機器へのスキャナ画像の配信や外部機器から受信したプリンタデータ印刷など、それぞれのネットワークインタフェースに接続されたネットワーク内に閉じたサービスしか提供していなかった。しかしながら、画像形成装置の高機能化に伴って、あるネットワーク内の外部機器に対して、画像形成装置と他のネットワーク内の外部機器とを組み合わせたサービスが提供可能となっている。その際、画像形成装置は、アドレス変換機能を用いて、あるネットワーク内の外部機器に対して、画像形成装置と他のネットワーク内の外部機器とを組み合わせたサービスを提供する。そのため、画像形成装置のユーザ全員の外部機器が、画像形成装置が有するアドレス変換機能を利用して、画像形成装置と他のネットワーク内の外部機器とを組み合わせたサービスを利用できてしまう。

0004

本発明は、上記に鑑みてなされたものであって、画像形成装置等の情報処理装置が有するアドレス変換機能等の通信制御処理を用いて、第1ネットワーク内の第1機器が、情報処理装置が接続された第2ネットワーク内の第2機器と通信可能である場合に、第1機器と第2機器との通信を制限することで、多様なサービスの提供を実現しつつセキュリティの向上を図ることができる情報処理システム、情報処理方法およびプログラムを提供することを目的とする。

課題を解決するための手段

0005

上述した課題を解決し、目的を達成するために、本発明は、第1ネットワーク内の第1機器と第2ネットワーク内の第2機器との通信を可能とする通信制御処理を実行する実行部と、前記通信制御処理の実行に先立って、前記第1機器から、当該第1機器の認証に用いる認証情報を受信する受信部と、受信した前記認証情報を用いて、前記第1機器の認証を行う認証部と、を備え、前記実行部は、前記第1機器の認証に成功した場合、前記第1機器と前記第2機器との通信を有効とし、前記第1機器の認証に失敗した場合、前記第1機器と前記第2機器との通信を無効とすることを特徴とする情報処理システムである。

発明の効果

0006

本発明によれば、情報処理装置が有する通信制御処理を用いて、第1ネットワーク内の第1機器が、情報処理装置が接続された第2ネットワーク内の第2機器と通信可能である場合に、第1機器と、第2ネットワーク内の第2機器との通信を制限することで、多様なサービスの提供を実現しつつセキュリティの向上を図ることができる、という効果を奏する。

図面の簡単な説明

0007

図1は、本実施の形態にかかる情報処理システムが有する画像形成装置の構成を示すブロック図である。
図2は、本実施の形態にかかる情報処理システムにおける画像形成装置に対するネットワークの接続例を示す図である。
図3は、本実施の形態にかかる情報処理システムにおける画像形成装置に対するネットワークの接続例を示す図である。
図4は、本実施の形態にかかる画像形成装置の機能的構成を示す図である。
図5は、本実施の形態にかかる情報処理システムが有するユーザ利用機器および画像形成装置の機能構成を示す図である。
図6は、本実施の形態にかかる情報処理システムが有するユーザ利用機器、画像形成装置および外部ネットワーク機器の機能構成を示す図である。
図7は、本実施の形態にかかる情報処理システムが有する画像形成装置によるアドレス変換処理を説明するための図である。
図8は、本実施の形態にかかる情報処理システムにおける異なるネットワーク内に存在する外部機器間の通信処理の流れを示すシーケンス図である。
図9は、本実施の形態にかかる画像形成装置が有するユーザ情報記憶部のデータ構成を示す図である。
図10は、本実施の形態にかかる画像形成装置が有する権限情報記憶部のデータ構成を示す図である。
図11は、本実施の形態にかかる情報処理システムにおける異なるネットワーク内に存在する外部機器間の通信処理の一例を説明するための図である。
図12は、本実施の形態にかかる情報処理システムが有するユーザ利用機器の表示部に表示される画面の一例を示す図である。

実施例

0008

以下に添付図面を参照して、情報処理システム、情報処理方法およびプログラムの実施の形態を詳細に説明する。

0009

図1は、本実施の形態にかかる情報処理システムが有する画像形成装置の構成を示すブロック図である。本実施の形態では、画像形成装置1(情報処理装置の一例)は、図1に示すように、コントローラ110と、プロッタ120と、スキャナ130と、その他のハードウェアリソース140とを、PCI(Peripheral Component Interconnect)バスで接続している。さらに、コントローラ110には、画像形成装置1に対する操作情報を入力するための操作部150が接続されている。

0010

コントローラ110は、画像形成装置1全体の制御、プロッタ120の制御、スキャナ130による読取制御、その他のハードウェアリソース140の制御、および操作部150からの操作情報の入力制御を実行する。

0011

プロッタ120は、PCIバス接続可能なプリンタエンジンであり、例えば白黒プロッタ、1ドラムカラープロッタ、4ドラムカラープロッタ等により構成される。スキャナ130は、原稿を読み取って当該原稿の画像データを生成するイメージスキャナである。その他のハードウェアリソース140は、コントローラ110やプロッタ120やスキャナ130以外の種々の機器である。

0012

コントローラ110は、CPU(Central Processing Unit)111と、RAM(Random Access Memory)112と、ROM(Read Only Memory)113と、ASIC(Application Specific IntegratedCircuit)114と、を備えている。

0013

ASIC114は、画像処理用ハードウェア要素を有する画像処理用途向けのIC(IntegratedCircuit)であり、PCIバスをコントローラ110に接続するブリッジ役割も有している。ASIC114は、PCIターゲットと、ASIC114の中核をなすアービタ(ARB)と、ハードウェアロジックなどにより画像データの回転等を行う複数のDMAC(Direct Memory Access Controller)と、PCIバスを介したデータ転送を行うPCIユニットと、を備える。プロッタ120、スキャナ130およびその他のハードウェアリソース140は、ASIC114のPCIユニットに接続されている。

0014

RAM112は、書き込みおよび読み出しが可能なメモリであり、各種アプリケーションプログラム、OS(Operating System)、各種ドライバ、画像データの展開等に用いられる。ROM113は、読み出し専用のメモリであり、各種プログラムやデータの格納用メモリとして用いられる。CPU111は、ROM113に格納されたプログラムを実行する。また、CPU111は、RAM112に格納される作業用のデータの書き換えを行う。

0015

本実施の形態の画像形成装置1で実行されるプログラムは、ROM等に予め組み込まれて提供されることが好ましい。しかし、本実施の形態の画像形成装置1で実行されるプログラムは、インストール可能な形式又は実行可能な形式のファイルCD−ROMフレキシブルディスクFD)、CD−R、DVD(Digital Versatile Disk)等のコンピュータ読み取り可能な記録媒体に記録して提供するように構成してもよい。

0016

さらに、本実施の形態の画像形成装置1で実行されるプログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成しても良い。また、本実施の形態の画像形成装置1で実行されるプログラムをインターネット等のネットワーク経由で提供または配布するように構成しても良い。

0017

また、コントローラ110は、LAN(Local Area Network)等のネットワークに接続されたLANカード等のハードウェアであるn個のNIC(Network Interface Controller)115−1,115−2,115−3,...,115−n(以下、NIC115−1,115−2,115−3,...,115−nを区別する必要がない場合には、NIC115と記載する)と、NIC115を介してネットワーク内に存在する外部機器(本実施の形態では、ユーザ利用機器および外部ネットワーク機器)との通信を制御するネットワーク制御部116と、画像形成装置1を介して他のネットワーク内に存在する外部機器と通信を行うユーザ利用機器の認証に用いるユーザ情報(本実施の形態では、ユーザ利用機器を識別可能とする識別情報の一例としてのユーザ名、当該ユーザ名により識別されるユーザについて予め設定されたパスワードなど)を記憶するユーザ情報記憶部117と、当該ユーザ情報記憶部117に記憶されたユーザ情報を用いてユーザ利用機器の認証を行う認証部118と、当該認証部118による認証結果に従ってユーザ利用機器に付与する権限を示す権限情報(例えば、ユーザ利用機器との通信が許可された所定の機器を特定するための情報であって、本実施の形態では、ユーザ利用機器との通信が許可された所定の機器が接続されたNIC115を示すNIC情報)を記憶する権限情報記憶部119と、を有する。ここで、所定の機器は、予め設定された外部ネットワーク機器等の機器であり、例えば情報処理システムの管理者が任意に選択した機器である。

0018

ここで、図2を用いて、本実施の形態にかかる情報処理システムにおける画像形成装置1に対するネットワークの接続例について説明する。図2は、本実施の形態にかかる情報処理システムにおける画像形成装置に対するネットワークの接続例を示す図である。

0019

図2においては、画像形成装置1は、4個のNIC115−1,115−2,115−3,115−4を有し、それぞれ異なるネットワークセグメント(ネットワークNT1,NT2,NT3,NT4)に接続されている。以下の説明では、ネットワークNT1,NT2,NT3,NT4を区別する必要がない場合には、ネットワークNTと記載する。本実施の形態では、画像形成装置1が有するNIC115は、有線によりネットワークNTに接続されている例について説明するが、無線によりネットワークNTに接続されていても良い。

0020

ここで、ネットワークNT1,NT2,NT3,NT4は、それぞれ独立しており、画像形成装置1を介さずに異なるネットワークNT内に存在する外部機器同士が通信することはできない状態にある。例えば、ネットワークNT3内のユーザ利用機器UD2は、同一のネットワークNT3内の機器(外部ネットワーク機器ND1)とは画像形成装置1を介さずに通信が可能である。しかし、ユーザ利用機器UD2は、他のネットワークNT1,NT2,NT4内の外部機器(ユーザ利用機器UD1,UD3、外部ネットワーク機器ND2)とは、画像形成装置1を介さないと通信できない。本実施の形態では、ユーザ利用機器UD2は、画像形成装置1(認証部118)における当該ユーザ利用機器UD2の認証が成功した場合に、画像形成装置1を介して、他のネットワークNT1,NT2,NT4内の外部機器と通信可能となる。以下の説明では、ユーザ利用機器UD1,UD2,UD3を区別する必要がない場合には、ユーザ利用機器UDと記載する。また、外部ネットワーク機器ND1,ND2を区別する必要がない場合には、外部ネットワーク機器NDと記載する。

0021

本実施の形態では、画像形成装置1において、当該画像形成装置1を介して他のネットワークNT内に存在する外部機器と通信するユーザ利用機器UDの認証を行うが(すなわち、画像形成装置1がユーザ情報記憶部117および認証部118を有しているが)、外部機器(例えば、認証サーバ)において、画像形成装置1を介して他のネットワークNT内に存在する外部機器と通信するユーザ利用機器UDの認証を行っても良い。

0022

図3は、本実施の形態にかかる情報処理システムにおける画像形成装置に対するネットワークの接続例を示す図である。図3においては、画像形成装置1は、図2と同様に、4個のNIC115−1,115−2,115−3,15−4を有し、それぞれ異なるネットワークNT1,NT2,NT3,NT4に接続されている。そして、ネットワークNT2,NT3,NT4は、画像形成装置1を介して他のネットワークNT内に存在する外部機器と通信するユーザ利用機器UDの認証を行う認証サーバS1,S2,S3を有している。

0023

例えば、ネットワークNT3内のユーザ利用機器UD2は、同一のネットワークNT3内の機器(外部ネットワーク機器ND1)とは、画像形成装置1を介さずに通信が可能である。しかし、ユーザ利用機器UD2は、他のネットワークNT1,NT2,NT4内のユーザ利用機器UD1,UD3や外部ネットワーク機器ND2とは、画像形成装置1を介さないと通信できない。そのため、ユーザ利用機器UD2は、認証サーバS2における当該ユーザ利用機器UD2の認証が成功した場合に、画像形成装置1を介して、他のネットワークNT1,NT2,NT4内の外部機器との通信が可能となる。

0024

次に、図4を用いて、本実施の形態にかかる画像形成装置1の機能的構成について説明する。図4は、本実施の形態にかかる画像形成装置の機能的構成を示す図である。

0025

本実施の形態にかかる画像形成装置1は、コントローラ110、プロッタ120、スキャナ130およびその他のハードウェアリソース140などのハードウェアリソースを有している。各ハードウェアリソースは、エンジン制御ボード401を介したコントローラ110の制御に従って、印字や原稿の読み取り等の処理を実行する。

0026

各ハードウェアリソースの機能は、サービスモジュール層とアプリケーションモジュール層とに分離されるソフトウェア群によって制御される。サービスモジュール層は、OS402上で実行される、例えば、システム制御サービス403と、エンジン制御サービス404と、ユーザアカウント制御サービス405と、操作部制御サービス406と、ネットワーク制御サービス407と、認証/権限制御サービス408と、を有する。

0027

アプリケーションモジュール層は、例えば、コピーアプリケーション409と、プリンタアプリケーション410と、スキャナアプリケーション411と、ウェブアプリケーション412と、を有する。例えば、画像形成装置1において印字を実行する場合、プリンタアプリケーション410は、API(Application Programming Interface)を介してエンジン制御サービス404およびその他の必要なサービスに指示を出す。そして、エンジン制御サービス404が、OS402、エンジンI/Fおよびエンジン制御ボード401を介してプロッタ120を制御する。

0028

図4に示した画像形成装置1の機能的構成は、一例であり、サービスモジュール層がより多くのサービスモジュールを有していたり、アプリケーションモジュール層より多くのアプリケーションを有していたりしても良い。

0029

次に、図5および図6を用いて、本実施の形態かかる情報処理システムが有するユーザ利用機器UD、画像形成装置1および外部ネットワーク機器NDの機能構成について説明する。図5は、本実施の形態にかかる情報処理システムが有するユーザ利用機器および画像形成装置の機能構成を示す図である。図6は、本実施の形態にかかる情報処理システムが有するユーザ利用機器、画像形成装置および外部ネットワーク機器の機能構成を示す図である。

0030

ユーザ利用機器UDは、図5および図6に示すように、ネットワークNTを介して画像形成装置1と通信を行うネットワークドライバ501と、画像データの印字や原稿の読み取りなど画像形成装置1のサービス(以下、画像形成装置サービスと言う)を利用するための処理を行うサービス利用部502と、ユーザ利用機器UD自身が存在するネットワークNT以外の他のネットワークNT内の外部機器との通信を可能とする通信制御処理(以下、連携サービスと言う)の実行を画像形成装置1に対して要求するとともに、通信が可能となった他のネットワークNT内の外部機器と通信するネットワークサービス利用部503と、連携サービスの実行の要求に先立って、ユーザ利用機器UD自身の認証に用いられる認証情報を画像形成装置1に対して送信する送信部504と、画像形成装置1からユーザ利用機器UD自身の認証結果を受信する受信部505と、を有している。

0031

画像形成装置1は、図5および図6に示すように、上述したネットワーク制御部116とユーザ情報記憶部117と認証部118と権限情報記憶部119とに加えて、エンジン制御サービス404(図4参照)により実現され画像形成装置サービスを実行するサービス提供部510と、ネットワーク制御サービス407(図4参照)により実現され連携サービスの実行を制御するネットワークサービス連携部511と、を有している。

0032

ネットワーク制御部116(実行部の一例)は、異なるネットワークNT内に存在する外部機器同士が通信可能とする連携サービスを実行する。本実施の形態では、ネットワーク制御部116は、第1ネットワーク(例えば、ネットワークNT4)内の第1機器(例えば、ユーザ利用機器ND1)と第2ネットワーク(例えば、ネットワークNT3)内の第2機器(例えば、外部ネットワーク機器ND1)との通信を可能とする連携サービスを実行する。具体的には、ネットワーク制御部116は、図5および図6に示すように、ネットワークドライバ116aと、ネットワークアドレス変換部116bと、を有している。

0033

ネットワークドライバ116aは、画像形成装置1が有するNIC115毎に設けられ、NIC115を制御してユーザ利用機器UDや外部ネットワーク機器NDとの通信が可能である。また、ネットワークドライバ116aは、連携サービスの実行によって異なるネットワークNT内に存在する外部機器同士が通信可能となった場合、一方のネットワークNT内の外部機器から送信されたネットワークパケットを受信し、当該受信したネットワークパケットを他方のネットワーク内の外部機器に送信する。ここで、ネットワークパケットには、送信元(一方のネットワークNT内の外部機器)のネットワークアドレス(例えば、IPアドレス)と、送信先(他方のネットワークNT内の外部機器)のネットワークアドレスとが、含まれている。

0034

ネットワークアドレス変換部116bは、一方のネットワークNT内の外部機器から受信したネットワークパケットに含まれる送信元のネットワークアドレスを、他方のネットワークNTにおいて識別可能なネットワークアドレスに変換する変換処理(以下、アドレス変換処理と言う)を実行する。これにより、ネットワークアドレス変換部116bは、一方のネットワークNT内の外部機器と他方のネットワークNT内の外部機器との通信を可能とする連携サービスを実現する。

0035

外部ネットワーク機器NDは、図6に示すように、ネットワークNTを介して画像形成装置1と通信を行うネットワークドライバ520と、連携サービスの実行により通信が可能となった外部機器と通信(ネットワークパケットの受信)を行うネットワークサービス連携部521と、連携サービスの実行により通信が可能となった外部機器との通信(ネットワークパケットの送信)を行うネットワークサービス提供部522と、を有している。

0036

ここで、図5を用いて、画像形成装置1による連携サービスの実行に先立って行われるユーザ利用機器UDの認証処理について説明する。ユーザ利用機器UDの送信部504は、当該ユーザ利用機器UDが存在するネットワークNTとは異なる他のネットワークNT内の外部ネットワーク機器NDと通信する場合、まず、ネットワークドライバ501を介して、画像形成装置1に対して、画像形成装置1の利用の開始を要求する利用開始要求を送信する。

0037

画像形成装置1のネットワークドライバ116aは、ユーザ利用機器UDから利用開始要求を受信すると、ユーザ利用機器UDの認証に用いる認証情報(本実施の形態では、ユーザ利用機器UDのユーザを識別可能とする識別情報の一例であるユーザ名、当該ユーザ名により識別されるユーザについて予め設定されたパスワードなど)を要求する認証情報要求をユーザ利用機器UDに送信する。

0038

ユーザ利用機器UDの送信部504は、画像形成装置1から認証情報要求を受信すると、ネットワークドライバ501を介して、画像形成装置1に対して認証情報を送信する。

0039

画像形成装置1のネットワークドライバ116a(受信部の一例)は、連携サービスの実行に先立って、ユーザ利用機器UDから認証情報を受信する。認証部118は、ネットワークドライバ116aによって受信した認証情報と、ユーザ情報記憶部117に記憶されたユーザ情報とを比較して、ユーザ利用機器UDの認証を行う。そして、認証部118は、ネットワークドライバ116aを介して、ユーザ利用機器UDの認証結果を、ユーザ利用機器UDに送信する。

0040

ここで、ネットワークサービス連携部511(実行部の一例)は、ユーザ利用機器UDの認証に成功した場合、連携サービスの実行によるユーザ利用機器UDと外部ネットワーク機器NDとの通信を有効とする。本実施の形態では、ネットワークサービス連携部511が、ネットワーク制御部116による連携サービスの実行を許可することによって、ユーザ利用機器UDと外部ネットワーク機器NDとの通信を有効とする。

0041

一方、ネットワークサービス連携部511は、ユーザ利用機器UDの認証に失敗した場合、連携サービスの実行によるユーザ利用機器UDと外部ネットワーク機器NDとの通信を無効とする。本実施の形態では、ネットワークサービス連携部511は、ネットワーク制御部116による連携サービスの実行を禁止することによって、ユーザ利用機器UDと外部ネットワーク機器NDとの通信を無効とする。

0042

また、ネットワークサービス連携部511は、ユーザ利用機器UDの認証に成功した場合、権限情報記憶部119に記憶された権限情報を参照して、連携サービスの実行によりユーザ利用機器UDが通信可能な外部機器のうち、所定の機器以外の外部機器との通信を無効とする。言い換えると、ネットワークサービス連携部511は、ユーザ利用機器UDの認証に成功した場合、連携サービスの実行によりユーザ利用機器UDが通信可能な外部機器のうち、所定の機器のみとの通信を有効とする。これにより、ユーザ利用機器UDの認証に成功して、ユーザ利用機器UDが、当該ユーザ利用機器UDが存在するネットワークNT以外のネットワークNT内に存在する外部ネットワーク機器NDと通信可能となった場合でも、通信が有効とされる外部ネットワーク機器NDを限定することができるので、ユーザ利用機器UDと外部ネットワーク機器NDとの通信をより制限することができる。

0043

次に、図6を用いて、連携サービスの実行によるユーザ利用機器UDと外部ネットワーク機器NDとの通信処理について説明する。ユーザ利用機器UDのネットワークサービス利用部503は、ユーザ利用機器UDの認証に成功して連携サービスの実行による外部ネットワーク機器NDとの通信が有効になった場合、ネットワークパケットを画像形成装置1に送信することにより、外部ネットワーク機器NDにアクセスする。

0044

画像形成装置1のネットワークドライバ116aは、ユーザ利用機器UDからネットワークパケットを受信する。そして、ネットワークドライバ116aは、当該受信したネットワークパケットに含まれるユーザ利用機器UDのネットワークアドレスが、ネットワークアドレス変換部116bによって外部ネットワーク機器NDが存在するネットワークNT用のネットワークアドレスに変換された後に、当該受信したネットワークパケットを外部ネットワーク機器NDに送信する。

0045

外部ネットワーク機器NDのネットワークサービス提供部522は、連携サービスの実行によるユーザ利用機器UDとの通信が有効になった場合、ネットワークアドレスを含むネットワークパケットを画像形成装置1に送信することにより、ユーザ利用機器UDにアクセスする。

0046

画像形成装置1のネットワークドライバ116aは、外部ネットワーク機器NDからネットワークパケットを受信する。そして、ネットワークドライバ116aは、当該受信したネットワークパケットに含まれる外部ネットワーク機器NDのネットワークアドレスが、ネットワークアドレス変換部116bによってユーザ利用機器UDが存在するネットワークNT用のネットワークアドレスに変換された後に、当該受信したネットワークパケットをユーザ利用機器UDに送信する。

0047

図7は、本実施の形態にかかる情報処理システムが有する画像形成装置によるアドレス変換処理を説明するための図である。例えば、ネットワークNT4内のユーザ利用機器UD1(ネットワークNT4におけるIPアドレス:192.168.0.10)から、ネットワークNT3内の外部ネットワーク機器ND1(ネットワークNT3におけるIPアドレス:10.60.154.20)へネットワークパケットを送信する場合、画像形成装置1のネットワークアドレス変換部116bは、ユーザ利用機器UD1から送信されたネットワークパケットに含まれる送信元(ユーザ利用機器UD1)のIPアドレス:192.168.0.10および送信先(外部ネットワーク機器ND1)のIPアドレス:10.60.154.20のうち、送信元のIPアドレス:192.168.0.10を、ネットワークNT3においてユーザ利用機器UD1を識別可能なIPアドレス:10.60.154.15.1に変換して外部ネットワーク機器ND1へ送信する。

0048

一方、ネットワークNT3内の外部ネットワーク機器ND1から、ネットワークNT4内のユーザ利用機器UD1へネットワークパケットを送信する場合、画像形成装置1のネットワークアドレス変換部116bは、外部ネットワークND1から送信されたネットワークパケットに含まれる送信元(外部ネットワーク機器ND1)のIPアドレス:10.60.154.20および送信先(ユーザ利用機器UD1)のIPアドレス:192.168.0.10のうち、送信元のIPアドレス:10.60.154.20を、ネットワークNT4において外部ネットワーク機器ND1を識別可能なIPアドレス:192.168.0.15に変換してユーザ利用機器UD1へ送信する。

0049

次に、図8〜10を用いて、本実施の形態にかかる情報処理システムにおける異なるネットワークNT内に存在する外部機器間の通信処理について説明する。図8は、本実施の形態にかかる情報処理システムにおける異なるネットワーク内に存在する外部機器間の通信処理の流れを示すシーケンス図である。図9は、本実施の形態にかかる画像形成装置が有するユーザ情報記憶部のデータ構成を示す図である。図10は、本実施の形態にかかる画像形成装置が有する権限情報記憶部のデータ構成を示す図である。ここでは、ネットワークNT4内のユーザ利用機器UD1とネットワークNT1内の外部ネットワーク機器ND2との通信処理について説明するが、異なるネットワークNT内に存在する他の外部機器間の通信処理も同様に行われる。

0050

ユーザ利用機器UD1の送信部504は、当該ユーザ利用機器UD1が有する図示しない操作部がユーザにより操作されて、画像形成装置1の利用開始要求の送信が指示されると、ネットワークドライバ501を介して、画像形成装置1に対して利用開始要求を送信する(ステップS801)。

0051

画像形成装置1のネットワークドライバ116aは、ユーザ利用機器UD1から利用開始要求を受信すると、ユーザ利用機器UD1の認証に用いる認証情報を要求する認証情報要求をユーザ利用機器UD1に送信する(ステップS802)。

0052

ユーザ利用機器UD1のネットワークサービス利用部503は、ユーザ利用機器UD1の認証に用いる認証情報の入力に用いる認証画面を、当該ユーザ利用機器UD1が有する図示しない表示部に表示させる(ステップS803)。そして、送信部504は、認証画面を利用して、ユーザによって認証情報が入力されると、当該入力された認証情報を、ネットワークドライバ501を介して画像形成装置1に送信する(ステップS804)。

0053

画像形成装置1の認証部118は、ネットワークドライバ116aによってユーザ利用機器UD1から認証情報を受信すると、ユーザ情報記憶部117に記憶されたユーザ情報と、受信した認証情報とを比較することにより、ユーザ利用機器UD1の認証を行う(ステップS805)。本実施の形態では、認証部118は、ユーザ情報記憶部117に記憶されたユーザ情報の中に、受信した認証情報が含むユーザ名およびパスワードを含むユーザ情報があるか否かを判断することにより、ユーザ利用機器UD1の認証を行う。認証部118は、ユーザ情報記憶部117に記憶されたユーザ情報の中に、受信した認証情報が含むユーザ名およびパスワードを含むユーザ情報がある場合、ユーザ利用機器UD1の認証に成功したものとする。一方、認証部118は、ユーザ情報記憶部117に記憶されたユーザ情報の中に、受信した認証情報が含むユーザ名およびパスワードを含むユーザ情報が無い場合、ユーザ利用機器UD1の認証に失敗したものとする。

0054

次いで、画像形成装置1のネットワークドライバ116aは、認証部118による認証結果をユーザ利用機器UD1に送信する(ステップS806)。画像形成装置1のネットワークサービス連携部511は、ユーザ利用機器UD1の認証に成功した場合、権限情報記憶部119に記憶された権限情報を参照(確認)して、連携サービスの実行によりユーザ利用機器UD1が通信可能となる外部機器(本実施の形態、外部ネットワーク機器ND1,ND2)のうち当該ユーザ利用機器UD1との通信が許可された所定の機器(本実施の形態では、外部ネットワーク機器ND2)を特定する(ステップS807)。

0055

本実施の形態では、ユーザ情報記憶部117は、図9に示すように、ユーザ利用機器UDを利用するユーザを識別可能とするユーザ名(例えば、ユーザAなど)と、当該ユーザ名により識別されるユーザに予め設定されたパスワード(例えば、AAAなど)と、当該ユーザ名により識別されるユーザのユーザ利用機器UDに付与される権限を識別可能とする権限情報(例えば、タイプAなど)と、を対応付けて記憶している。また、権限情報記憶部119は、図10に示すように、権限情報(例えば、タイプAなど)と、当該権限情報が表す権限(本実施の形態では、NIC情報)と、を対応付けて記憶している。

0056

ネットワークサービス連携部511は、ユーザ利用機器UD1の認証に成功した場合、ユーザ情報記憶部117から、受信した認証情報が含むユーザ名(例えば、ユーザC)と対応付けて記憶された権限情報(例えば、タイプC)を読み出す。次いで、ネットワークサービス連携部511は、権限情報記憶部119において、ユーザ情報記憶部117から読み出した権限情報(例えば、タイプC)と対応付けて記憶されたNIC情報(例えば、NIC2、NIC3)を特定する。そして、ネットワークサービス連携部511は、特定したNIC情報(例えば、NIC2、NIC3)により識別されるNIC115(例えば、NIC115−2、NIC115−3)に接続されたネットワークNT3内の外部ネットワーク機器ND1を、ユーザ利用機器UD1との通信が許可された所定の機器として特定する。

0057

本実施の形態では、ネットワークサービス連携部511は、ユーザ利用機器UD1との通信が許可された所定の機器が接続されたNIC115を示すNIC情報に基づいて、所定の機器を特定しているが、これに限定するものではなく、例えば、予め設定されたMACアドレスまたは予め設定されたポート番号により特定される機器を、所定の機器として特定しても良い。

0058

または、ネットワークサービス連携部511は、NIC情報と、予め設定されたMACアドレス(またはポート番号)とを用いて、所定の機器を特定しても良い。具体的には、ネットワークサービス連携部511は、NIC情報に基づいて特定される外部機器のうち、予め設定されたMACアドレス(またはポート番号)により特定される外部機器を、所定の機器として特定する。

0059

図8戻り、ネットワークサービス連携部511は、所定の機器(例えば、外部ネットワーク機器ND2)を特定すると、連携サービスの実行によりユーザ利用機器UD1が通信可能となる外部機器(本実施の形態では、外部ネットワーク機器ND1,ND2)のうち、所定の機器(例えば、外部ネットワーク機器ND2)との通信を有効とし、当該所定の機器以外の外部機器(例えば、外部ネットワーク機器ND1)との通信を無効とする。これにより、ネットワークサービス連携部511は、ユーザ利用機器UD1による外部ネットワーク機器ND2の利用を開始させる(ステップS808)。

0060

その後、ユーザ利用機器UD1のネットワークサービス利用部503は、画像形成装置1から、ユーザ利用機器UD1の認証に成功したことを示す認証結果を受信すると、画像形成装置1を介して他のネットワークNT1〜3内の外部機器との通信を試みる。例えば、ユーザ利用機器UD1のネットワークサービス利用部503は、ネットワークNT3内の外部ネットワーク機器ND1と通信するために、送信先(外部ネットワーク機器ND1)のネットワークアドレスを含むネットワークパケットを画像形成装置1に送信して、外部ネットワーク機器ND1へのアクセスを試みる(ステップS809)。この場合、画像形成装置1のネットワークサービス連携部511は、上述したように、ユーザ利用機器UD1と外部ネットワーク機器ND1との通信を無効としているため、ネットワークアドレス変換部116bに対して連携サービスの実行を禁止して外部ネットワーク機器ND1へのアクセスを拒否するとともに、ユーザ利用機器UD1に対して、外部ネットワーク機器ND1へのアクセスの失敗を通知する(ステップS810)。本実施の形態では、ネットワークサービス連携部511は、ネットワーク制御部116に対して連携サービスの実行を禁止することにより、外部ネットワーク機器ND1との通信を無効としているが、これに限定するものではなく、ネットワークドライバ116aによる外部ネットワーク機器ND1へのネットワークパケットの送信を禁止することにより、外部ネットワーク機器ND1との通信を無効としても良い。

0061

また、ユーザ利用機器UD1のネットワークサービス利用部503は、ネットワークNT1内の外部ネットワーク機器ND2と通信するために、送信先(外部ネットワーク機器ND2)のネットワークアドレスを含むネットワークパケットを画像形成装置1に送信して、外部ネットワーク機器ND2へのアクセスを試みる(ステップS811)。この場合、画像形成装置1のネットワークサービス連携部511は、上述したように、ユーザ利用機器UD1と外部ネットワーク機器ND2との通信を有効としているため、ネットワークアドレス変換部116bに対して連携サービスの実行を許可して、連携サービスの実行によりアドレス変換処理が行われたネットワークパケットを外部ネットワーク機器ND2へ送信して外部ネットワーク機器ND2へのアクセスを実行する(ステップS812)。外部ネットワーク機器ND2のネットワークサービス提供部522は、ユーザ利用機器UD1からのアクセスに対するレスポンスを画像形成装置1に返す(ステップS813)。画像形成装置1のネットワークサービス連携部511は、外部ネットワーク機器ND2から送信されたレスポンスをユーザ利用機器UD1に転送する(ステップS814)。

0062

次に、図11および図12を用いて、本実施の形態にかかる情報処理システムにおける異なるネットワークNT内に存在する外部機器間の通信処理の一例について説明する。図11は、本実施の形態にかかる情報処理システムにおける異なるネットワーク内に存在する外部機器間の通信処理の一例を説明するための図である。図12は、本実施の形態にかかる情報処理システムが有するユーザ利用機器の表示部に表示される画面の一例を示す図である。

0063

ユーザ利用機器UD1は、NIC115−4を介して画像形成装置1と通信が可能である。そして、画像形成装置1からユーザ利用機器UD1の認証が成功したことを示す認証結果を受信すると、ユーザ利用機器UD1は、連携サービスの実行により通信が可能となる外部ネットワーク機器ND1,ND2(例えば、画像形成装置1により印字対象となる画像の画像ファイルを記憶するネットワークストレージデバイス)のうち、所定の機器(外部ネットワーク機器ND2(ネットワークストレージデバイス))へのアクセスが可能となる。

0064

これにより、ユーザ利用機器UD1は、外部ネットワーク機器ND2の一例としてのネットワークストレージデバイスにアクセスして、当該ネットワークストレージデバイスに記憶された画像ファイル等の各種ファイルの操作や画像形成装置1を利用した印刷が可能となる。その際、ユーザ利用機器UD1は、画像形成装置1が有するNIC115−1,15−4を介して、外部ネットワーク機器ND2としてのネットワークストレージデバイスにアクセスする。画像形成装置1は、ユーザ利用機器UD1が外部ネットワーク機器ND2へのアクセスを試みた場合、ネットワーク制御部116における、ユーザ利用機器UD1から送信されるネットワークパケットに含まれる送信元のネットワークアドレスのアドレス変換処理(連携サービス)の実行を許可する。

0065

一方、ユーザ利用機器UD1は、連携サービスの実行により通信が可能となる外部ネットワーク機器ND1,ND2のうち、所定の機器以外のネットワーク機器ND1(ネットワークストレージデバイス)へのアクセスが拒否される。画像形成装置1は、ユーザ利用機器UD1が外部ネットワーク機器ND1へのアクセスを試みた場合、ネットワーク制御部116におけるアドレス変換処理(連携サービス)の実行を禁止して、ユーザ利用機器UD1から送信されたネットワークパケットがネットワークNT3内に流出することを防止する。

0066

ユーザ利用機器UD1のネットワークサービス利用部503は、画像形成装置1からユーザ利用機器UD1の認証に成功したことを示す認証結果を受信すると、連携サービスの実行により通信が可能となる外部ネットワーク機器ND1,ND2(ネットワークストレージデバイス)のうち、アクセスする外部ネットワーク機器ND1,ND2を選択するための選択画面G1(図12参照)を、図示しない表示部に表示させる。その際、ネットワークサービス利用部503は、連携サービスの実行により通信が可能となる外部ネットワーク機器ND1,ND2(ネットワークストレージデバイス)のうち、通信が無効とされる外部ネットワーク機器ND2の表示をグレーアウトさせて、当該外部ネットワークデバイスND2が、アクセス対象として選択されないようにしても良い。

0067

その後、ネットワークサービス利用部503は、通信が有効とされた外部ネットワーク機器ND1へのアクセスに成功した場合、当該外部ネットワーク機器ND1(ネットワークストレージデバイス)に記憶されたファイルの閲覧,削除,印刷等を指示可能な操作画面G2を、図示しない表示部に表示させる。そして、ネットワークサービス利用部503は、操作画面G2を利用して、外部ネットワーク機器ND1(ネットワークストレージデバイス)に記憶されたファイルに対する印刷等を指示することにより、画像形成装置1において当該ファイルの印刷を実行させることができる。

0068

このように本実施の形態にかかる情報処理システムによれば、ユーザ利用機器UDの認証に失敗した場合には、ユーザ利用機器UDは、当該ユーザ利用機器UDが存在するネットワークNT以外のネットワークNT内の外部ネットワーク機器NDと通信することができないので、画像形成装置1が有する連携サービスを用いて、ユーザ利用機器UDが、当該ユーザ利用機器UDが存在するネットワークNT以外のネットワークNT内の外部ネットワーク機器NDと通信可能である場合に、ユーザ利用機器UDと外部ネットワーク機器NDとの通信を制限することで、多様なサービスの提供を実現しつつセキュリティの向上を図ることができる。

0069

さらに、この実施の形態は、本発明の範囲を限定するものではなく、画像形成装置1とサーバ(例えば、図3に示す認証サーバS1,S2,S3)とが一体となっており、第1ネットワーク内の第1機器と第2ネットワーク内の第2機器との通信を可能とする通信制御処理を実行する実行機能と、当該通信制御処理の実行に先立って、第1機器から、当該第1機器の認証に用いる認証情報を受信する受信機能と、受信した認証情報を用いて、第1機器の認証を行う認証機能と、第1機器の認証に成功した場合、第1機器と第2機器との通信を有効とし、第1機器の認証に失敗した場合、第1機器と第2機器との通信を無効とする制御機能と、を備えていても良い。また、本実施の形態にかかる情報処理システムに含まれるサーバ(例えば、図3に示す認証サーバS1,S2,S3)は複数台でも良く、どのサーバに、上記の実行機能、受信機能、認証機能、制御機能を備えさせても良い。

0070

なお、本実施の形態で説明する情報処理装置(例えば、画像形成装置1)と、サーバ(例えば、図3に示す認証サーバS1,S2,S3)とが接続されたシステムは一例であり、用途や目的に応じて様々なシステム構成例があることは言うまでもない。

0071

1画像形成装置
110コントローラ
111 CPU
112 RAM
113 ROM
115 NIC
116ネットワーク制御部(実行部の一例)
116aネットワークドライバ(受信部の一例)
116bネットワークアドレス変換部
117ユーザ情報記憶部
118 認証部
119権限情報記憶部
511ネットワークサービス連携部(実行部の一例)
UD ユーザ利用機器(第1機器の一例)
ND外部ネットワーク機器(第2機器の一例)
NTネットワーク(第1ネットワークまたは第2ネットワークの一例)

先行技術

0072

特開2008−176428号公報

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

(分野番号表示ON)※整理標準化データをもとに当社作成

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ