信息處理裝置及其控制方法
【專利摘要】本發(fā)明提供一種信息處理裝置及其控制方法。所述信息處理裝置能夠根據(jù)多個協(xié)議中的協(xié)議來接收認證請求�。所述信息處理裝置存儲針對各用戶的用戶標識和密碼以及針對各協(xié)議的計算方法��,并且在所述裝置根據(jù)所述多個協(xié)議中的協(xié)議從遠程計算機接收包括認證數(shù)據(jù)的認證請求的情況下�,所述裝置獲得存儲的與所述認證請求中包括的所述認證數(shù)據(jù)相對應(yīng)的密碼,獲得存儲的與所述協(xié)議相對應(yīng)的計算方法��,根據(jù)所獲得的計算方法將所獲得的密碼轉(zhuǎn)換為哈希�,以及使用所述哈希來驗證所述認證數(shù)據(jù)。
【專利說明】信息處理裝置及其控制方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種信息處理裝置及其控制方法�����。
【背景技術(shù)】
[0002]已知多功能外圍設(shè)備(皿111:1 ^111101:1011 1)61*11)1161^1,班7?)具有諸如用于掃描��、打印以及通信的功能��。班在主體上配備有操作面板�����,用戶可以通過操作該操作面板來使用I�??的復印功能�、掃描功能等。另外���,近年來�����,配備有諸如用于文件共享服務(wù)器�、166服務(wù)器等的功能�����,網(wǎng)絡(luò)上的終端能夠利用諸如服務(wù)器信息塊(361^61 16888^6 8100^, 318)、超文本傳輸協(xié)議��?1~01:00017肌了?)等通信協(xié)議來訪問1���?��?的服務(wù)器功能��。另外�����,班7?配備有管理信息庫(此的陰郵社111�����?01~11181:1011 8^186�,118)����,網(wǎng)絡(luò)上的終端能夠利用被稱為網(wǎng)絡(luò)設(shè)備管理協(xié)議的3匪�? 乂3 (針對簡單網(wǎng)絡(luò)管理協(xié)議的第3版本061*8101130?1:116 31即16 ^6切01^ 18118^61116111: ���?1~01:0001�,3匪? ^3)的 14 (基于用戶的安全模型(1)861-)3886(1 860111~11:7 10(161, 1181)))來訪問 1���?�?的 118�。
[0003]此外,近年來�����,I���?����?配備有用于識別使用即�?的用戶的用戶認證機制。通常�,在單個1?�����?配設(shè)有多種功能、通信協(xié)議等的情況下�,I?���?被配設(shè)有與各功能�����、通信協(xié)議等相對應(yīng)的多種用戶認證機制���。例如,存在針對操作面板�、針對網(wǎng)絡(luò)服務(wù)器、針對文件共享服務(wù)器和針對3匪��? ^3的用戶認證機制各不相同的情況�。
[0004]在單個班^以這種方式配備有多種用戶認證機制的情況下,存在下面的協(xié)調(diào)認證機制的技術(shù)�����。已知用于將主要用于針對操作面板的認證的用戶信息與由3匪�����? ^3的…1管理的用戶信息進行關(guān)聯(lián)和同步的方法(例如��,日本特開第2006-195755號公報)����。
[0005]此外,近年來����,認為與諸如個人計算機的網(wǎng)絡(luò)終端類似的安全性對于班^是必要的。為此����,出現(xiàn)了配備有與密碼策略(密碼有效期、密碼復雜度��、鎖定的設(shè)置/控制)�����、認證日志(認證成功/失敗的日志記錄)等相對應(yīng)的用戶認證機制的班
[0006]在多種用戶認證機制存在于單個設(shè)備中的情況下��,存在下面的問題��。
[0007]-存在針對各用戶認證機制登記了同一用戶的賬戶��,并且管理用戶信息是麻煩的情況。為了使相同的賬戶能夠用在多種用戶認證機制且不會給用戶帶來負擔�,如同日本特開第2006-195755號公報中所述的發(fā)明,在用于執(zhí)行用戶認證的機制之間進行協(xié)作變得必要����。
[0008]-從安全的角度來看,支持密碼策略�����、認證日志等的用戶認證機制與不支持密碼策略��、認證日志等的用戶認證機制被混和在單個設(shè)備上不是優(yōu)選的��。為此����,為了對多種用戶認證機制提供等同的安全功能,存在制造設(shè)備的供應(yīng)商必須承受開發(fā)成本的問題�。
[0009]在多種用戶認證機制存在于單個設(shè)備中的情況下,由于上述問題����,在通信協(xié)議、功能等不同的情況下,使用單個用戶認證機制的配置通常是有利的��。然而��,各種通信協(xié)議的各用戶認證方法中的規(guī)范不同�,通過單個用戶認證機制支持針對所有通信協(xié)議的用戶認證相關(guān)的處理是困難的����。例如,由于在3匪����? V〗的舊1中定義的模式不僅利用用戶的密碼執(zhí)行用戶認證,還使用基于密碼生成的密鑰來執(zhí)行加密處理��、簽名丨偽造檢測處理等�����,因此這種處理是復雜的�。
[0010]另外,對于由RFC定義的和公知的協(xié)議����,通常已公開實現(xiàn)該協(xié)議的軟件模塊或源代碼。為此,實現(xiàn)服務(wù)器的供應(yīng)商能夠使用現(xiàn)有的軟件模塊或源代碼等��。然而��,制造設(shè)備的供應(yīng)商將現(xiàn)有軟件模塊和針對各協(xié)議而不同的源代碼替換為對于設(shè)備的所有部分而言具有共同的用戶認證的用戶認證機制�,將會花費非常大量的勞動和很多工時。另外����,在協(xié)議中未定義關(guān)于密碼策略檢查、密碼改變和認證日志記錄的規(guī)范的情況下����,現(xiàn)有已公布的軟件模塊和源代碼也不具有這些功能。因此�����,制造設(shè)備的供應(yīng)商必須在現(xiàn)有的軟件模塊和源代碼中增加/實現(xiàn)諸如密碼策略檢查��、密碼改變和認證日志記錄的功能�����,這存在花費非常大量的勞動和很多工時的問題����。
【發(fā)明內(nèi)容】
[0011]本發(fā)明的一個方面在于消除使用上述傳統(tǒng)技術(shù)的問題�。
[0012]本發(fā)明的特征在于提供一種能夠使與用戶認證相關(guān)的管理一體化的技術(shù)�����。
[0013]本發(fā)明的第一方面提供了一種信息處理裝置��,其能夠根據(jù)多個協(xié)議中的協(xié)議來接收認證請求�,所述信息處理裝置包括:存儲單元���,其被配置為存儲針對各用戶的用戶標識和密碼以及針對各協(xié)議的計算方法���;接收單元,其被配置為根據(jù)所述多個協(xié)議中的協(xié)議從遠程計算機接收認證請求�,所述認證請求包括認證數(shù)據(jù);
[0014]控制單元���,其被配置為:
[0015](i)從所述存儲單元獲得與所述認證請求中包括的所述認證數(shù)據(jù)相對應(yīng)的密碼��;
[0016](ii)從所述存儲單元獲得與所述協(xié)議相對應(yīng)的計算方法����;
[0017](iii)根據(jù)所獲得的計算方法,將所獲得的密碼轉(zhuǎn)換為哈希���;以及
[0018](iv)使用所述哈希來驗證所述認證數(shù)據(jù)�����。
[0019]本發(fā)明的第二方面提供了一種信息處理裝置的控制方法�,所述信息處理裝置能夠根據(jù)多個協(xié)議中的協(xié)議來接收認證請求����,所述控制方法包括:存儲步驟,將針對各用戶的用戶標識和密碼以及針對各協(xié)議的計算方法存儲到存儲器中�����;接收步驟�����,根據(jù)所述多個協(xié)議中的協(xié)議����,從遠程計算機接收認證請求,所述認證請求包括認證數(shù)據(jù)��;控制步驟:
[0020](i)從所述存儲器獲得與所述認證請求中包括的所述認證數(shù)據(jù)相對應(yīng)的密碼;
[0021](ii)從所述存儲器中獲得與所述協(xié)議相對應(yīng)的計算方法����;
[0022](iii)根據(jù)所獲得的計算方法,將所獲得的密碼轉(zhuǎn)換為哈希�����;以及
[0023](iv)使用所述哈希來驗證所述認證數(shù)據(jù)��。
[0024]根據(jù)以下參照附圖對示例性實施例的描述�,本發(fā)明的其他特征將變得清楚。
【專利附圖】
【附圖說明】
[0025]包含在說明書中的且構(gòu)成說明書一部分的附圖示出了本發(fā)明的實施例�,并與文字描述一起用于說明本發(fā)明的原理����。
[0026]圖1描繪了示出根據(jù)本發(fā)明的第一實施例的網(wǎng)絡(luò)配置的簡化圖。
[0027]圖2是用于示出根據(jù)第一實施例的MFP的硬件配置的框圖�����。
[0028]圖3是用于說明根據(jù)第一實施例的MFP和PC的軟件以及軟件管理的數(shù)據(jù)的配置的框圖�����。
[0029]圖4A至圖4D描繪了用于示出根據(jù)第一實施例的在控制臺單元上顯示本地Π的用戶界面的示例的圖。
[0030]圖5A至圖5F描繪了用于說明設(shè)置用戶界面的圖��。
[0031]圖6描繪了用于示出根據(jù)第一實施例的用戶數(shù)據(jù)庫的數(shù)據(jù)結(jié)構(gòu)的示例的圖����。
[0032]圖7A至圖7C描繪了用于示出根據(jù)第一實施例的用戶認證系統(tǒng)具有的API的示例的圖。
[0033]圖8描繪了用于示出根據(jù)第一實施例的認證處理表的內(nèi)容的示例的圖。
[0034]圖9是用于描述根據(jù)第一實施例當在MFP中調(diào)用圖7A的API時的用戶認證系統(tǒng)的操作的流程圖���。
[0035]圖1OA至圖1OD描繪了用于示出根據(jù)第一實施例當MFP與數(shù)據(jù)流一起執(zhí)行用戶認證時的軟件模塊的關(guān)系的圖。
[0036]圖11描繪了用于示出根據(jù)本發(fā)明的第二實施例用戶認證系統(tǒng)被構(gòu)造為認證服務(wù)器的系統(tǒng)配置的示例的圖�。
[0037]圖12是用于示出根據(jù)第二實施例的MFP和認證服務(wù)器的軟件配置的框圖。
【具體實施方式】
[0038]現(xiàn)在將參照附圖在下文中詳細描述本發(fā)明的實施例����。應(yīng)當理解,下面的實施例并不旨在限制本發(fā)明的權(quán)利要求的范圍�����,針對根據(jù)下面實施例描述的方面的所有組合并不都是根據(jù)本發(fā)明的解決問題的手段所必須的����。
[0039]圖1描繪了示出根據(jù)本發(fā)明第一實施例的網(wǎng)絡(luò)的配置的簡化圖。
[0040]作為根據(jù)本發(fā)明的信息處理裝置的示例的MFP 101和個人計算機(PC) 102連接到網(wǎng)絡(luò)(LAN) 100�。MFP 101和PC 102能夠經(jīng)由LAN100執(zhí)行相互通信���。這里,MFP 101是配備有諸如用于掃描�����、打印和通信的多種功能的多功能外圍設(shè)備�����。
[0041]圖2是用于示出根據(jù)第一實施例的MFP 101的硬件配置的框圖�。
[0042]包括CPU 201的控制單元200控制MFP 101的整體操作。CPU 201根據(jù)ROM 202中存儲的引導程序��,將安裝在HDD 204中的操作系統(tǒng)(OS)����、控制程序等展開到RAM 203中�����,MFP 101在執(zhí)行這些程序的CPU 201的控制下進行操作�����。RAM 203被用作CPU 201的臨時存儲區(qū)域(例如主存儲器、工作區(qū)等)����。HDD 204存儲圖像數(shù)據(jù)、各種程序等��?��?刂婆_單元接口 205連接控制臺單元209和控制單元200��?��?刂婆_單元209配備有作為觸摸屏幕操作的顯示單元。打印機接口 206連接打印機單元210和控制單元200��。將由打印機單元210打印的圖像數(shù)據(jù)經(jīng)由打印接口 206從控制單元200傳送到打印機單元210���,并且通過打印機單元210將該圖像數(shù)據(jù)打印在諸如片材的記錄介質(zhì)上����。掃描器接口 207連接掃描器單元211和控制單元200�����。掃描器單元211通過掃描原稿上的圖像生成圖像數(shù)據(jù),并將該圖像數(shù)據(jù)經(jīng)由掃描器接口 207提供給控制單元200����。網(wǎng)絡(luò)接口 208將控制單元200 (MFP 101)連接到LAN 100。網(wǎng)絡(luò)接口 208將圖像數(shù)據(jù)���、信息等發(fā)送到與LAN 100連接的外部裝置(例如網(wǎng)絡(luò)服務(wù)器等)��,并從LAN 100上的外部裝置接收各種信息�。
[0043]請注意�����,由于通過公知的通用計算機的硬件配置來構(gòu)成PC 102���,因此省略對PC102的配置的說明���。
[0044]圖3是用于說明根據(jù)第一實施例的MFP 101和PC 102的軟件配置以及軟件管理的數(shù)據(jù)的配置的框圖。請注意���,圖3的箭頭符號代表在主用例中針對功能的調(diào)用方和調(diào)用目標。下面給出了針對軟件功能和軟件管理的數(shù)據(jù)的說明����。
[0045]MFP 101的軟件作為程序被存儲在MFP 101的HDD 204中�,通過將該程序展開到RAM 203中���、CPU 201執(zhí)行該程序來實現(xiàn)下文說明的功能�。
[0046]本地UI (用戶界面)301在控制臺單元209上顯示用戶可操作的用戶界面�����,并向用戶提供MFP 101具有的功能��。
[0047]圖4A至圖4D描繪了用于示出根據(jù)第一實施例的本地UI在控制臺209上顯示的用戶界面的示例的圖�。
[0048]例如,圖4A描繪了用于示出用于對使用控制臺單元209的用戶進行認證的用戶認證畫面的示例的圖���。圖4B表示用于請求在圖4A的用戶認證畫面上認證的用戶改變密碼的改變密碼畫面的示例�。圖4C表示示出向使用控制臺單元209的用戶提供的功能的功能列表的菜單畫面的示例�����。圖4D表示用于使用MFP 101的箱(box)功能的用戶界面畫面的示例��。例如,用戶能夠通過使用圖4D的用戶界面畫面將從掃描器單元211獲得的圖像數(shù)據(jù)作為電子文檔保存到HDD 204��?���;蛘撸脩裟軌蛲ㄟ^使用打印機單元210打印從HDD 204獲得的電子文檔���。
[0049]PC 102配備有諸如Web瀏覽器317��、文件管理工具319��、MFP管理工具321等軟件����。
[0050]Web瀏覽器317配備有作為HTTP客戶端318的Web瀏覽器317與MFP 101的HTTP服務(wù)器302通信的功能�����。HTTP服務(wù)器302在接收到來自Web瀏覽器317的請求時調(diào)用遠程UI 303����。遠程UI 303將在超文本標記語言(HyperText Markup language, HTML)中定義的用戶界面提供給操作Web瀏覽器317的用戶。HTTP服務(wù)器302將從遠程UI 303獲得的HTML數(shù)據(jù)作為對來自Web瀏覽器317的請求的響應(yīng)返回到Web瀏覽器317����。
[0051]文件管理工具319配備有作為SMB/CIFS客戶端320的文件管理工具319與MFP101的SMB/CIFS服務(wù)器304通信的功能。SMB/CIFS服務(wù)器304配備有用于處理NTLM(NTLAN管理器)認證協(xié)議的NTLM認證處理器305���。當SMB/CIFS服務(wù)器304接收到來自文件管理工具319的諸如用于瀏覽文件�����、用于文件保存等請求時�����,調(diào)用文檔管理服務(wù)306���。文檔管理服務(wù)306配備有用于執(zhí)行瀏覽或更新HDD 204中保存的電子文檔(具有諸如HF、JPEG�、PNG、DOC等文件擴展名的文件)以及用于執(zhí)行新文件保存等功能��。
[0052]MFP管理工具321配備有作為SNMP客戶端322的功能��,其用于通過訪問MFP 101的SNMP服務(wù)器307來訪問MFP 101配設(shè)的MIB 309�。SNMP服務(wù)器307配備有用于處理由SNMP版本3的USM定義的用戶認證協(xié)議的USM認證處理單元308。當SNMP服務(wù)器307接收到來自PC 102的MFP管理工具321的訪問請求時�����,SNMP服務(wù)器307參照MIB 309中保存的數(shù)據(jù)并執(zhí)行設(shè)置。
[0053]用戶認證系統(tǒng)310配備有用于對使用MFP 101的用戶進行認證的機制�。下文給出對用戶認證系統(tǒng)310具有的功能的詳情的說明。
[0054]用戶認證系統(tǒng)310配設(shè)有使管理MFP 101的用戶執(zhí)行與MFP 101的用戶認證相關(guān)的設(shè)置的設(shè)置Π 311���。與遠程Π 303類似����,設(shè)置Π 311能夠被配置為以PC 102的Web瀏覽器317可使用的HTML中描述的用戶界面�����。
[0055]圖5A至圖5F描繪了用于說明設(shè)置Π 311的用戶界面的圖����。
[0056]圖5A表示菜單畫面的示例。當在圖5A的畫面上指定數(shù)字502至505表示的項目中的任一項目時�,處理轉(zhuǎn)換到用于指定的功能的畫面。用戶認證設(shè)置502是用于將MFP 101的用戶認證功能設(shè)置為打開(ON)或關(guān)閉(OFF)的用戶界面�。當在圖5A的畫面上指定用戶認證設(shè)置502時,處理轉(zhuǎn)換到圖5B的畫面����。在圖5B的畫面上����,用戶能夠?qū)⒂脩粽J證設(shè)置為打開或關(guān)閉��,并且用戶認證系統(tǒng)310將這里設(shè)置的內(nèi)容作為認證設(shè)置312存儲到HDD 204中�����。各軟件模塊能夠通過訪問認證設(shè)置312來參照用戶認證的打開/關(guān)閉設(shè)置�����。在圖5B的示例中����,用戶認證被設(shè)置為打開(用戶認證是有效的)�����。
[0057]通過在圖5A的畫面中指定用戶賬戶管理503來顯示圖5C的畫面���。在圖5C的畫面中�,用戶能夠登記并編輯用戶名和用戶權(quán)限�。圖的畫面表示在圖5C的畫面中指定登記或編輯時顯示的畫面的示例�。用戶能夠經(jīng)由圖5C和圖所示的用戶界面畫面來執(zhí)行用戶賬戶的登記���、編輯等�����。用戶認證系統(tǒng)310通過將與利用圖的畫面登記的用戶賬戶相關(guān)的信息存儲在HDD 204的用戶數(shù)據(jù)庫313中來對該信息進行管理�����。在圖的畫面中將用戶名“Alice”登記為管理員�����,而且登記了與該用戶名相對應(yīng)的密碼�。
[0058]圖6描繪了用于示出根據(jù)第一實施例的用戶數(shù)據(jù)庫313的數(shù)據(jù)結(jié)構(gòu)的示例的圖�����。
[0059]這里�,經(jīng)由圖5C和圖所示的用戶界面畫面來登記用戶名601、密碼602以及權(quán)限603�。密碼最后更新日期/時間604表示經(jīng)由圖的畫面登記或更新密碼的日期和時間。
[0060]通過在圖5A的畫面中指定密碼策略設(shè)置504來顯示圖5E的畫面��。圖5E表示用于設(shè)置與密碼相關(guān)的策略的用戶界面畫面的示例。例如����,“無有效期”、“30天”以及“90天”能夠被選擇作為密碼有效期����。另外,作為用于密碼復雜度的設(shè)置����,“3個字符或更多”(用于強制密碼為3個字符或更多的設(shè)置)��、“包含符號”(用于強制將符號包括在密碼中的設(shè)置)等可以被選擇是否有效/無效�����。用戶認證系統(tǒng)310將經(jīng)由圖5E的畫面而設(shè)置為密碼策略設(shè)置314的項目存儲在HDD 204中��。
[0061]通過在圖5A的畫面中指定認證日志管理505來顯示圖5F的畫面�。圖5F表示用于管理認證結(jié)果的日志記錄的用戶界面畫面。在圖5F中�����,可以查看用戶認證系統(tǒng)310記錄到HDD 204中的認證日志316。在該畫面中顯示在認證日志316中登記的用戶名���、認證模式���、執(zhí)行認證的日期和時間以及認證結(jié)果(0K或NG(不好))。
[0062]圖7A至圖7C描繪了用于示出根據(jù)第一實施例的用戶認證系統(tǒng)310配設(shè)的API (應(yīng)用程序界面)的示例的圖���。
[0063]通過其他軟件模塊調(diào)用圖7A的API 701����,能夠?qū)⒄埱笥脩粽J證的認證請求發(fā)送給用戶認證系統(tǒng)310����。用戶認證系統(tǒng)310基于調(diào)用方702的信息通過參照認證處理表315來確定API 701的操作。
[0064]圖8描繪了用于示出根據(jù)第一實施例的認證處理表315的內(nèi)容的示例的圖��。
[0065]認證處理表315存儲了調(diào)用方信息801�����、調(diào)用方改變密碼功能的存在或不存在802�����、計算模式803以及認證處理類型804等的組合。在調(diào)用方信息801中����,登記了作為認證請求的發(fā)送源的調(diào)用方通信協(xié)議。調(diào)用方改變密碼功能的存在或不存在802表示調(diào)用方的軟件模塊是否包括密碼改變功能�。例如,由于對于控制與用戶的界面的本地Π 301而言���,調(diào)用方改變密碼功能的存在或不存在802是“存在”�����,因此用于顯示圖4B的改變密碼畫面操作畫面的功能也存在。
[0066]同時����,針對諸如HTTP、SMB/CIFS和SNMP v3的通信協(xié)議�����,還未定義用于改變密碼的協(xié)議���。為此��,HTTP服務(wù)器302���、SMB/CIFS服務(wù)器304和SNMP v3服務(wù)器307不具有用于請求密碼改變的功能�。計算模式803表示API 701使用以將密碼轉(zhuǎn)換為其他值的計算算法���?��!癛AW”表示照原樣使用密碼而不對密碼進行處理?�!癕D4”表示根據(jù)密碼進行MD4 (信息摘要算法4)摘要(哈希值)的計算��?�!癕D5”表示根據(jù)密碼進行MD5(信息摘要算法5)摘要(哈希值)的計算��。計算模式803不限于“MD4”�、“MD5”等,可以是任何類型的計算模式�,只要計算模式803是用戶認證系統(tǒng)310能執(zhí)行的已知計算模式即可。例如�,公知的諸如密鑰相關(guān)的哈希運算消息認證碼(HMAC) (RFC 2104)、安全哈希算法(SHA)等計算算法?����?梢赃M行配置�����,使得用戶認證系統(tǒng)310配設(shè)有作為計算模式的NTLM或SNMP版本3的USM的計算算法�。認證處理類型804將API 701的操作分類為“驗證”或“計算值返回”?��!膀炞C”表示API 701執(zhí)行如下操作:根據(jù)從調(diào)用方接收到的認證數(shù)據(jù)704來驗證由密碼計算出的值并返回驗證結(jié)果����?����!坝嬎阒捣祷亍北硎続PI 701執(zhí)行如下操作:利用“計算模式”803所表示的算法根據(jù)密碼計算出與密碼不同的值并返回計算出的值(圖7A的數(shù)字705所示的輸出數(shù)據(jù))�。
[0067]接下來�����,在下面給出對API 701返回的圖7A中返回值706的意思的說明。
[0068]-SUCCESS
[0069]“SUCCESS”表示API 701的處理成功���。在認證處理類型804是“驗證”的情況下�����,“SUCCESS”表示用戶認證處理成功��。在認證處理類型804是“計算值返回”的情況下���,從密碼計算出的值被存儲在圖7A的輸出數(shù)據(jù)705中并返回。
[0070]-SUCCESS_NEED_PWD_CHANGE
[0071]“SUCCESS_NEED_PWD_CHANGE”表示盡管API 701的處理成功���,但由于密碼不滿足密碼策略���,因此用戶必須改變密碼。在有調(diào)用方密碼改變功能的情況下���,返回“SUCCESS_NEED_PWD_CHANGE” 值���。
[0072]-ERROR
[0073]“ERROR”表示暫停API 701的處理。在認證處理類型804是“驗證”的情況下��,“ERROR”表示用戶認證處理失敗。在認證處理類型804是“計算值返回”的情況下�����,不返回由密碼計算出的值��。
[0074]-ERROR_NEED_PWD_CHANGE
[0075]“ERROR_NEED_PWD_CHANGE”表示由于密碼不滿足密碼策略���,因此暫停API 701的處理���。在沒有調(diào)用方密碼改變功能的情況下,返回“ERROR_NEED_PWD_CHANGE”值��。
[0076]對以上說明的API 701的具體描述僅為一個示例�����,本發(fā)明不限于該示例��。例如���,可以進行配置����,以從API的調(diào)用方獲得圖8所示的認證處理表315的信息的部分或全部�����。在僅從調(diào)用方獲得信息的部分的情況下�����,進行配置以從認證處理表315僅獲得確定API的操作所需的信息����。通過配置使認證處理表315可從外部進行編輯,使得能夠靈活地支持API使用的軟件模塊的變更或增加��。
[0077]圖7B示出了 API的其他示例��。圖7B的API使用參數(shù)708���,并使得圖8所示的認證處理表315的所有信息將能夠從調(diào)用方獲得����。這樣���,在進行配置以從調(diào)用方獲得所有信息的情況下����,用戶認證系統(tǒng)310不必參照認證處理表315。另外���,用于認證處理的API不必限于一個API���,可以為預先設(shè)想的處理的各組合準備多個API。在下面的說明中��,給出了使用圖7A所示的API 701的說明�����,該API 701用作認證處理的API���。
[0078]圖7C的API獲得軟件模塊執(zhí)行的用戶認證的結(jié)果�����,并在認證日志316中記錄日
ο
[0079]圖9是用于描述根據(jù)第一實施例的當在MFP 101中軟件模塊調(diào)用圖7A的API 701時的用戶認證系統(tǒng)310的操作的流程圖����。請注意�,執(zhí)行該處理的程序在執(zhí)行時被展開到RAM203中����,并在CPU 201的控制下執(zhí)行�����。
[0080]正在被調(diào)用的圖7A所示的API 701以及接收用于與用戶認證相關(guān)的處理的請求的用戶認證系統(tǒng)310初始化該處理����。首先�����,在步驟S901中�����,用戶認證系統(tǒng)310從API 701的參數(shù)中獲得調(diào)用方702的信息和用戶名703 (用戶標識)���。接下來�����,處理進行到步驟S902���,用戶認證系統(tǒng)310基于調(diào)用方702的信息參照認證處理表315來獲得認證模式(改變密碼功能存在或不存在���、計算模式、認證處理類型)��。接下來�����,處理進行到步驟S903����,用戶認證系統(tǒng)310確定在用戶數(shù)據(jù)庫313 (圖6)中是否登記了在步驟S901中獲得的用戶名。在登記了用戶名的情況下����,獲得與用戶名相關(guān)聯(lián)登記的密碼602和密碼最新更新日期/時間604。同時�,在在用戶數(shù)據(jù)庫313中未登記用戶名并且在步驟S903中無法獲得密碼的情況下,由于用戶認證系統(tǒng)310無法獲得密碼����,因此在步驟S904中用戶認證系統(tǒng)310確定認證失敗,處理進行到步驟S914。在步驟S914中�,用戶認證系統(tǒng)310記錄認證失敗日志。然后�,處理進行到步驟S915,用戶認證系統(tǒng)310向API 701的調(diào)用方返回錯誤(ERROR)��,并且處理結(jié)束�����。
[0081]同時����,在步驟S904中成功獲得密碼的情況下�����,處理進行到步驟S905��,用戶認證系統(tǒng)310參考密碼策略設(shè)置314來確定獲得的密碼是否滿足有效期�����、復雜度設(shè)置等���。這里���,在密碼的有效期過期或不滿足復雜度的情況下�,處理進行到步驟S906�,用戶認證系統(tǒng)310還確定調(diào)用方改變密碼功能的存在或不存在。這里�,在存在改變密碼功能的情況下,處理進行到步驟S907��,并且處理繼續(xù)�。然而,在步驟S906中確定不存在改變密碼功能的情況下�����,處理進行到步驟S914��,記錄認證失敗日志����,然后在步驟S915中,向API 701的調(diào)用方返回錯誤(ERROR_NEED_PWD_CHANGE)�����,并且處理結(jié)束。
[0082]在步驟S905中���,在用戶認證系統(tǒng)310確定所獲得的密碼滿足有效期和復雜度設(shè)置的情況下���,或在步驟S906中,在確定存在調(diào)用方改變密碼功能的情況下��,處理進行到步驟S907��。在步驟S907中�����,用戶認證系統(tǒng)310參照認證處理表315來確認針對調(diào)用方設(shè)置的計算模式803��。在這里的計算模式不是“RAW”的情況下(例如���,“MD4”或“MD5”的情況),處理進行到步驟S908�,根據(jù)計算模式基于所獲得的密碼來執(zhí)行計算處理。例如���,這里根據(jù)MD4算法或MD5的算法來計算MD4摘要或MD5摘要�����。然后����,處理進行到步驟S909,用戶認證系統(tǒng)310參照認證處理表315來確認針對調(diào)用方設(shè)置的認證處理類型804�。這里,在認證處理類型804是“計算值返回”的情況下���,處理進行到步驟S910�,用戶認證系統(tǒng)310將計算值存儲在輸出數(shù)據(jù)705中�����,并返回處理成功(SUCCESS)�����,然后處理結(jié)束���。另外����,這里在步驟S905的密碼策略檢查失敗的情況下,返回(SUCCESS_NEED_PWD_CHANGE)�����。
[0083]同時��,在步驟S909中���,在用戶認證系統(tǒng)310確定認證處理類型804是“驗證”的情況下�����,處理進行到步驟S911����,用戶認證系統(tǒng)310根據(jù)在步驟S908中計算出的值來驗證認證數(shù)據(jù)704 (圖7A)����。在驗證結(jié)果是認證數(shù)據(jù)704與計算出的值匹配的情況下�,處理進行到步驟S912,用戶認證系統(tǒng)310記錄認證成功日志����,處理進行到步驟S913��,向API的調(diào)用方返回處理成功(SUCCESS)�����,并且處理結(jié)束����。在此情況下��,在步驟S905的密碼策略檢查為NG的情況下�����,返回(SUCCESS_NEED_PWD_CHANGE)�。
[0084]同時,在確定步驟S911中的驗證結(jié)果是認證數(shù)據(jù)704并且計算值不匹配的情況下�,然后確定認證失敗,處理進行到步驟S914��,用戶認證系統(tǒng)310記錄認證失敗日志����。然后,在步驟S915中�,向API的調(diào)用方返回錯誤(ERROR)��,并且處理結(jié)束��。
[0085]接下來�,將給出對當MFP 101上的用戶認證被設(shè)置為打開并且各種軟件模塊利用用戶認證系統(tǒng)310執(zhí)行用戶認證時的操作示例的說明�。這里,將給出對軟件模塊是本地UI301�����、HTTP服務(wù)器302���、SMB/CIFS服務(wù)器304以及SNMP服務(wù)器307的情況的說明��。
[0086]圖1OA至圖1OD描繪了用于示出根據(jù)第一實施例的當MFP 101與數(shù)據(jù)流一起執(zhí)行用戶認證時的軟件模塊的關(guān)系的圖��。
[0087]圖1OA描繪了用于說明在本地UI 301利用用戶認證系統(tǒng)310執(zhí)行用戶認證的情況的圖����。在圖1OA中�����,將用戶認證畫面顯示在操作畫面上��,利用MFP 101為用戶請求用戶認證����。在步驟S1001中,本地Π 301獲得用戶輸入到圖4A的用戶認證畫面中的用戶名和密碼����。另外,在步驟S1002中��,本地Π 301經(jīng)由圖7A的API 701將用戶名和密碼傳輸給用戶認證系統(tǒng)310來作出用于認證處理的請求�。這樣,用戶認證系統(tǒng)310參照認證處理表315執(zhí)行密碼策略檢查��、密碼驗證和認證日志記錄�,并在步驟S1003中利用處理結(jié)果來回復本地 UI 301。
[0088]這里��,本地Π 301顯示例如圖4C的菜單畫面����,并在結(jié)果是成功(SUCCESS)的情況下允許用戶使用MFP 101的功能。另一方面����,在認證結(jié)果是NG(SUCCESS_NEED_PWD_CHANGE)的情況下���,由于密碼策略檢查是NG,因此在操作畫面上顯示圖4B的改變密碼畫面�����,用戶請求改變密碼�����。另外����,在認證結(jié)果是錯誤(ERROR)的情況下,顯示圖4A的用戶認證畫面���,請求用戶重新輸入認證信息���。
[0089]接下來,將參照圖1OB給出對MFP 101的HTTP服務(wù)器302的操作的說明�����。圖1OB描繪了用于說明HTTP服務(wù)器302利用用戶認證系統(tǒng)310執(zhí)行用戶認證的情況的圖�����。
[0090]在步驟S1004中���,HTTP服務(wù)器302從Web瀏覽器317接收包括HTTP摘要認證(RFC2617)的HTML獲得請求���。這樣,HTTP服務(wù)器302從數(shù)據(jù)包獲得用戶名和MD5摘要����,然后,在步驟S1005中�����,經(jīng)由API701向用戶認證系統(tǒng)310作出用于認證處理的請求�����。這樣���,用戶認證系統(tǒng)310參照認證處理表315執(zhí)行密碼策略檢查�、對MD5摘要計算進行驗證的驗證處理,執(zhí)行認證日志的記錄����,然后在步驟S1006中,利用認證結(jié)果進行回復�。在認證結(jié)果是成功(SUCCESS)的情況下,在步驟S1007中���,HTTP服務(wù)器302向遠程UI 303發(fā)送HTML獲得請求��。這樣����,遠程Π 303從HTTP服務(wù)器302獲得已認證的用戶的信息�����,并根據(jù)用戶執(zhí)行HTML提供和訪問控制��。同時�,在結(jié)果是失敗(ERROR/ERROR_NEED_PWD_CHANGE)的情況下,HTTP服務(wù)器302向Web瀏覽器317通知錯誤���。
[0091]接下來��,將參照圖1OC給出對MFP 101的SMB/CIFS服務(wù)器304的操作的說明�。圖1OC描繪了用于說明SMB/CIFS服務(wù)器304利用用戶認證系統(tǒng)310執(zhí)行用戶認證的情況的圖。
[0092]在步驟S1008中�,SMB/CIFS服務(wù)器304從PC 102的文件管理工具319接收包括NTLM數(shù)據(jù)格式的認證數(shù)據(jù)的數(shù)據(jù)包�����。這樣�����,SMB/CIFS服務(wù)器304從數(shù)據(jù)包中獲得用戶名���,然后在步驟S1009中經(jīng)由API 701向用戶認證系統(tǒng)310作出用于認證處理的請求��。這樣���,用戶認證系統(tǒng)310參照認證處理表315執(zhí)行密碼策略檢查和MD4摘要計算,然后在步驟S1010中連同MD4摘要一起返回處理結(jié)果��。這樣�����,在SMB/CIFS服務(wù)器304中,NTLM認證處理器305利用從用戶認證系統(tǒng)310獲得的MD4摘要和從數(shù)據(jù)包獲得的NTLM認證數(shù)據(jù)執(zhí)行NTLM認證處理��。然后���,SMB/CIFS服務(wù)器304獲得由NTLM認證處理器305產(chǎn)生的認證結(jié)果�,在步驟SlOll中��,經(jīng)由圖7C的API向用戶認證系統(tǒng)310通知用戶名和認證結(jié)果�����。
[0093]這里���,在用戶認證成功的情況下���,之后SMB/CIFS服務(wù)器304允許從PC 102的文件管理工具319到文檔管理服務(wù)306的訪問。在步驟S1012中��,文檔管理服務(wù)306從SMB/CIFS服務(wù)器304獲得用戶信息�,并根據(jù)用戶執(zhí)行服務(wù)提供、訪問控制等�����。同時,在用戶認證失敗的情況下��,SMB/CIFS服務(wù)器304向PC 102的文件管理工具319通知錯誤���。
[0094]接下來��,將參照圖1OD給出對MFP 101的SNMP服務(wù)器307的操作的說明����。圖1OD描繪了用于說明SNMP服務(wù)器307利用用戶認證系統(tǒng)310執(zhí)行用戶認證的情況的圖����。
[0095]在步驟S1013中�����,SNMP服務(wù)器307從PC 102的MFP管理工具321接收包含根據(jù)SNMP v3的USM(RFC3414)的認證數(shù)據(jù)的數(shù)據(jù)包�。然后,SNMP服務(wù)器307從該數(shù)據(jù)包獲得用戶名�,并在步驟S1014中通過API701向用戶認證系統(tǒng)310作出用于認證處理的請求。這樣���,用戶認證系統(tǒng)310參照認證處理表315執(zhí)行密碼策略檢查和MD5摘要計算���,然后在步驟S1015中���,連同MD5摘要一起返回處理結(jié)果。這樣��,在SNMP服務(wù)器307中����,USM認證處理單元308利用從用戶認證系統(tǒng)310獲得的MD4摘要和從數(shù)據(jù)包獲得的NTLM認證數(shù)據(jù)執(zhí)行NTLM認證處理。然后�����,SNMP服務(wù)器307獲得USM認證處理單元308的認證結(jié)果�����,并在步驟S1016中�,經(jīng)由圖7C的API向用戶認證系統(tǒng)310通知用戶名和認證結(jié)果。在用戶認證成功的情況下�,在步驟S1017中,SNMP服務(wù)器307執(zhí)行MFP管理工具321請求的對MIB 309的訪問����。SNMP服務(wù)器307根據(jù)用戶執(zhí)行對訪問MIB 309的訪問控制�����。同時���,在用戶認證失敗的情況下,SNMP服務(wù)器307向PC 102的MFP管理工具321通知錯誤����。
[0096]通過第一實施例,如上所述�,由于通過單個用戶認證系統(tǒng)310來實現(xiàn)MFP 101的用戶認證機制,因此�,可以降低與用戶認證相關(guān)的設(shè)置的管理負擔和用戶賬戶的管理負擔��。
[0097]另外�,通過第一實施例,由于對所有訪問路徑提供了密碼安全策略和認證日志打印功能����,因此,可以對所有訪問路徑適用同等的安全功能����。
[0098]另外�,使用MFP 101的用戶認證系統(tǒng)310的軟件模塊來支持密碼安全策略��、認證日志記錄等并不總是必須的�,因此,存在不會引起現(xiàn)有的軟件模塊或源代碼的重建成本的優(yōu)點�����。
[0099]此外��,通過第一實施例����,用戶認證系統(tǒng)310和使用用戶認證系統(tǒng)310的軟件模塊可以執(zhí)行與用戶認證相關(guān)的分配處理。為此��,存在如下效果:在最大限度使用現(xiàn)有的軟件模塊和源代碼時����,能夠配置集成了與用戶認證相關(guān)的管理的設(shè)備。
[0100][第二實施例]
[0101]之前描述的用戶認證系統(tǒng)310并不必須在MFP 101的內(nèi)部��,可以進行配置使用戶認證系統(tǒng)310是網(wǎng)絡(luò)上的獨立節(jié)點��。
[0102]圖11描繪了用于示出根據(jù)本發(fā)明的第二實施例的用戶認證系統(tǒng)被構(gòu)造為認證服務(wù)器的系統(tǒng)配置的示例的圖���。
[0103]這里��,MFP 1101�、PC 1102和認證服務(wù)器1103經(jīng)由LAN 1100連接。請注意����,由于MFP 1101和PC 1102的硬件配置與根據(jù)之前描述的第一實施例的MFP 101和PC 102的硬件配置相同,因此�����,將省略對它們的說明�。
[0104]圖12是用于示出根據(jù)第二實施例的MFP 1101和認證服務(wù)器1103的軟件配置的框圖。由于PC 1102的配置與之前描述的第一實施例的PC 102的配置相同���,因此省略說明。請注意��,與之前圖3描述的相同部分由相同的附圖標記表示���,省略對它們的說明�。另外���,由于由用戶認證服務(wù)器1103的附圖標記1211至1216所示的布置具有與之前圖3描述的附圖標記311至316所示的布置相同的功能��,因此��,省略對它們的說明�。
[0105]MFP 1101配備有用于與認證服務(wù)器1103通信的代理1201。認證服務(wù)器1103配備有用戶認證系統(tǒng)1202�。MFP 1101和認證服務(wù)器1103能夠通過預先交換將用于通信的加密密鑰來建立信任關(guān)系?����?梢岳肞KI技術(shù)來交換第三方發(fā)布的證書���,例如客戶端證書���、月艮務(wù)器證書等。
[0106]代理1201配設(shè)有API (圖7A或圖7C中的數(shù)字701等)相當于用戶認證系統(tǒng)1202具有的API��。當從其他軟件模塊調(diào)用API時���,代理1201經(jīng)由網(wǎng)絡(luò)上的通信�,通過調(diào)用用戶認證系統(tǒng)1202的API來獲得處理結(jié)果。由于這里網(wǎng)絡(luò)中流過的信息必須保密�����,因此�����,利用預先交換的密鑰執(zhí)行加密�����。這樣�,通過將用戶認證系統(tǒng)1202配置為網(wǎng)絡(luò)上的獨立節(jié)點(認證服務(wù)器),能夠提供由多個MFP可使用的用戶認證系統(tǒng)1202���。
[0107]如上所述�����,通過該實施例能夠獲得下面的效果�。
[0108]-通過將可實現(xiàn)的用戶認證機制作為單個用戶認證系統(tǒng)�,能夠降低與用戶認證相關(guān)的設(shè)置的管理負擔和用戶賬戶的管理負擔�。
[0109]-利用該用戶認證系統(tǒng),可以將同一用戶認證機制應(yīng)用于設(shè)備的所有訪問路徑。
[0110]-可以重復使用現(xiàn)有的軟件模塊和源代碼�,并且能夠配置使用相對較少的勞動和工時就能夠執(zhí)行用戶認證的設(shè)備。
[0111]本發(fā)明的實施例還可以通過讀出并執(zhí)行記錄在存儲介質(zhì)(例如���,非暫時性計算機可讀存儲介質(zhì))上的用于執(zhí)行本發(fā)明的上述實施例的一個或更多個的功能的計算機可執(zhí)行指令的系統(tǒng)或裝置的計算機來實現(xiàn)�����,以及通過由系統(tǒng)或裝置的計算機通過例如從存儲介質(zhì)讀出并執(zhí)行用于執(zhí)行上述實施例的一個或更多個的功能的計算機可執(zhí)行指令來執(zhí)行的方法來實現(xiàn)�����。計算機可以包括中央處理單元(CPU)���、微處理單元(MPU)、或其他電路的一個或多個�,并且可以包括單獨的計算機或單獨的計算機處理器的網(wǎng)絡(luò)。例如可以從網(wǎng)絡(luò)或者存儲介質(zhì)向計算機提供計算機可執(zhí)行指令����。存儲介質(zhì)可以包括例如硬盤、隨機存取存儲器(RAM)��、只讀存儲器(ROM)�、分布式計算系統(tǒng)的存儲器�����、光盤(諸如壓縮光盤(⑶)����、數(shù)字通用光盤(DVD)�、或藍光盤(BD)?)、閃存設(shè)備���、存儲卡等的一個或多個����。
[0112]雖然參照示例性實施例對本發(fā)明進行了描述�,但是應(yīng)當理解,本發(fā)明并不限于所公開的示例性實施例�。應(yīng)當對所附權(quán)利要求的范圍給予最寬的解釋,以使其涵蓋所有這些變型例以及等同的結(jié)構(gòu)和功能����。
【權(quán)利要求】
1.一種信息處理裝置,其能夠根據(jù)多個協(xié)議中的協(xié)議來接收認證請求���,所述信息處理裝置包括: 存儲單元��,其被配置為存儲針對各用戶的用戶標識和密碼以及針對各協(xié)議的計算方法; 接收單元��,其被配置為根據(jù)所述多個協(xié)議中的協(xié)議���,從遠程計算機接收認證請求,所述認證請求包括認證數(shù)據(jù)�����; 控制單元�����,其被配置為: (i)從所述存儲單元獲得與所述認證請求中包括的所述認證數(shù)據(jù)相對應(yīng)的密碼����; (?)從所述存儲單元獲得與所述協(xié)議相對應(yīng)的計算方法; (iii)根據(jù)所獲得的計算方法�,將所獲得的密碼轉(zhuǎn)換為哈希;以及 (iv)使用所述哈希來驗證所述認證數(shù)據(jù)��。
2.根據(jù)權(quán)利要求1所述的信息處理裝置���,其中�����,所述控制單元基于所述驗證�,允許用戶登錄到所述信息處理裝置。
3.根據(jù)權(quán)利要求1所述的信息處理裝置�,其中,所述協(xié)議是HTTP��、SMB和SNMP中的任意一者O
4.根據(jù)權(quán)利要求1所述的信息處理裝置�,所述信息處理裝置還包括: 發(fā)送單元,其被配置為在所述協(xié)議是所述控制單元無法執(zhí)行所述用戶認證的協(xié)議的情況下��,將所述哈希發(fā)送到認證單元���。
5.根據(jù)權(quán)利要求1所述的信息處理裝置�,所述信息處理裝置還包括: 通知單元��,其被配置為在從所述存儲單元獲得密碼失敗的情況下��,向所述遠程計算機通知認證錯誤����。
6.根據(jù)權(quán)利要求1所述的信息處理裝置,所述信息處理裝置還包括: 通知單元�����,其被配置為在與所述認證數(shù)據(jù)相對應(yīng)的密碼的有效性過期的情況下,向所述遠程計算機通知認證錯誤�。
7.根據(jù)權(quán)利要求1至6中任一項所述的信息處理裝置,所述信息處理裝置還包括: 控制臺單元�,其被配置為從用戶接收認證數(shù)據(jù)��, 其中�,所述控制單元從所述存儲單元獲得與所述控制臺單元接收的所述認證數(shù)據(jù)相對應(yīng)的密碼,并且在不將所獲得的密碼轉(zhuǎn)換為哈希的情況下�,使用所獲得的密碼來驗證所述認證數(shù)據(jù)。
8.根據(jù)權(quán)利要求1所述的信息處理裝置��,所述信息處理裝置還包括: 日志記錄單元�����,其被配置為記錄所述控制單元的認證結(jié)果���。
9.一種信息處理裝置的控制方法��,所述信息處理裝置能夠根據(jù)多個協(xié)議中的協(xié)議來接收認證請求���,所述控制方法包括: 存儲步驟����,將針對各用戶的用戶標識和密碼以及針對各協(xié)議的計算方法存儲到存儲器中���; 接收步驟��,根據(jù)所述多個協(xié)議中的協(xié)議�����,從遠程計算機接收認證請求����,所述認證請求包括認證數(shù)據(jù)�����; 控制步驟: (i)從所述存儲器獲得與所述認證請求中包括的所述認證數(shù)據(jù)相對應(yīng)的密碼����;(ii)從所述存儲器中獲得與所述協(xié)議相對應(yīng)的計算方法;(iii)根據(jù)所獲得的計算方法�,將所獲得的密碼轉(zhuǎn)換為哈希;以及(iv)使用所述哈希來驗證所述認證數(shù)據(jù)。
【文檔編號】H04L29/06GK104426912SQ201410440836
【公開日】2015年3月18日 申請日期:2014年9月1日 優(yōu)先權(quán)日:2013年9月2日
【發(fā)明者】細田泰弘 申請人:佳能株式會社