專利名稱:包括圖像形成設備的認證系統和方法
技術領域:
本發明涉及一種以能夠通信的方式連接到認證服務器的圖像形成設備、包括認證
服務器和圖像形成設備的認證系統、圖像形成設備中的認證方法、使計算機執行認證方法的程序和存儲程序的計算機可讀存儲介質。
背景技術:
目前,使用IC卡的復合裝置(多功能外圍設備,下文中稱為"MFP")的認證技術和使用鍵盤的MFP的認證技術得到了廣泛使用。這種用于MFP的認證系統使用用于核對從IC卡讀取的信息和通過鍵盤輸入的信息的認證服務器。 認證服務器包括例如在MFP內部生成其自己的認證數據庫以將MFP自身作為認證服務器來利用的方法、在MFP所在的同一網絡中建立其自己的認證服務器的方法、以及在已有認證系統中利用工作中的目錄服務器的方法。 例如,日本特開2006-099714號公報公開了一種利用其自己的認證服務器和目錄服務器二者的機制。具體來說,在日本特開2006-099714號公報中,在利用IC卡進行認證(IC卡認證)的情況下,讀取所保持的IC卡信息,向其自己的認證服務器發出對IC卡信息的詢問。如果在其自己的認證服務器上的表中登記了 IC卡信息,則視為認證成功。如果沒有進行登記,則視為認證失敗。在日本特開2006-099714號公報中,在使用鍵盤進行認證(鍵盤認證)的情況下,用戶輸入用戶名、密碼、登錄目的地域。目錄服務器通過登錄服務PC,基于目錄服務器進行認證。 下面描述用于實現上述現有技術中的IC卡認證和鍵盤認證的認證系統。 圖20是例示背景技術中的用于實現IC卡認證和鍵盤認證的認證系統的概要機構
的示意圖。 圖20所示的認證系統包括MFP 2010、 IC卡認證服務器2020、登錄服務服務器2030、目錄服務器2040和可通信地連接這些設備的網絡105。 MFP 2010包括包含卡讀取操作部分21、認證處理功能部分22和登錄服務連接操作部分23的認證應用程序20、包括鍵盤的操作部分330以及用于讀取IC卡的信息的卡讀取器340。 IC卡認證服務器2020包括IC卡認證服務部分2021和IC卡認證表存儲器2022。登錄服務服務器2030包括登錄服務部分2031。目錄服務器2040包括LDAP(輕量級目錄訪問協議,Lightweight Directory Access Protocol)服務部分2041和管理數據存儲器2042。 對于圖20所示的認證系統中的IC卡認證,首先用戶將IC卡保持在MFP 2010的卡讀取器340上方。然后,MFP 2010的卡讀取操作部分21控制卡讀取器340從卡獲得卡信息。卡讀取操作部分21將獲得的卡信息傳送到認證處理功能部分22。認證處理功能部分22與IC卡認證服務器2020的IC卡認證服務部分2021建立連接,然后向IC卡認證服務部分2021發出對卡信息的認證請求。 IC卡認證服務部分2021接收來自認證處理功能部分22的認證請求,并利用存儲在IC卡認證表存儲器2022中的IC卡認證表搜索相關用戶200。 IC卡認證服務部分2021將搜索結果答復給認證處理功能部分22。認證處理功能部分22將搜索結果傳送到MFP 2010的控制部分,以執行到與搜索結果相對應的MFP 2010的登錄處理。 對于圖20所示的認證系統中的鍵盤認證,用戶200使用MFP 2010的操作部分330中的鍵盤登錄畫面輸入用戶名、密碼和登錄目的地,并按下登錄按鈕。 在這種情況下,MFP 2010的認證處理功能部分22將從操作部分330輸入的用戶輸入信息(用戶名、密碼和登錄目的地)傳送到MFP 2010的登錄服務連接操作部分23,請求進行認證。登錄服務連接操作部分23取出在用戶輸入信息的登錄目的地中指示的域,使用相關域來搜索登錄服務服務器2030。隨后,登錄服務連接操作部分23與搜索到的登錄服務服務器2030的登錄服務部分2031建立連接,并將用戶輸入信息中的用戶名和密碼傳送到相關登錄服務部分2031,請求進行認證。 登錄服務部分2031與在目錄服務器2040上啟動的LDAP服務部分2041建立連接。隨后,登錄服務部分2031使用預先設置的用戶名和密碼登錄LDAP服務部分2041。隨后,登錄服務部分2031將用戶輸入信息的用戶名和密碼傳送到LDAP服務部分2041。
LDAP服務部分2041根據由管理數據存儲器2042管理并存儲的用戶信息以及用戶輸入信息的用戶名和密碼來確定用戶200是否是合法用戶。LDAP服務部分2041將關于用戶的合法性的確定結果答復給登錄服務部分2031。 當登錄服務部分2031接收到來自LDAP服務部分2041的確定結果并將其答復給登錄服務連接操作部分23時,登錄服務連接操作部分23將相關的確定結果答復給認證處理功能部分22。當認證處理功能部分22接收到來自登錄服務連接操作部分23的確定結果,并將確定結果傳送到MFP2010的控制部分時,MFP 2010與相關的確定結果相對應地進行登錄處理。 因此,在傳統示例中描述的用于實現IC卡認證和鍵盤認證的認證系統必須管理其自己的認證服務器(IC卡認證服務器2020)和目錄服務器2040,并且需要將IC卡認證表存儲器2022和管理數據存儲器2042兩者作為用戶信息來進行管理。因此,認證系統的操作管理成本增加,從而成為問題。 為了解決該問題,考慮例如由目錄服務器2040來管理IC卡用戶信息(IC卡認證表)。然而,目錄服務器2040搜索用戶信息,因此需要登錄一次相關的目錄服務器2040。因此,需要用戶名和密碼。在這點上,IC卡認證需要在IC卡中存儲密碼等。因此,這種情況將產生安全性問題。更詳細來說,不管為了安全、密碼會定期改變,而在使用內部信息不定期改變的諸如IC卡的介質的情況下,存儲在IC卡中的密碼是固定的,在這點上產生了很大的安全性問題。 此外,在對目錄服務器2040進行認證的情況下,在傳統示例中描述的用于實現IC卡認證和鍵盤認證的認證系統需要登錄服務PC(登錄服務服務器2030)。從該觀點來看,認證系統的操作管理成本也會增加,從而成為問題。另外,為了解決該問題,考慮由MFP 2010來執行登錄服務功能。然而,在這種情況下,當處理速度劣于PC的MFP 2010直接與目錄服務器2040通信以執行認證處理時,認證由于該復雜的處理而花費時間,從而成為問題。
發明內容
根據本發明,使用存儲用戶的管理數據的認證服務器,使針對多種認證方法的任 何認證變得可行。 根據本發明的第一方面,為了實現上述目的,提供了一種圖像形成設備。該圖像形 成設備以能夠通信的方式連接到認證服務器,所述認證服務器存儲針對用戶至少包括用戶 識別信息和用戶標識信息的用戶管理信息,所述圖像形成設備包括讀取單元,其讀取用于 識別用戶的用戶識別信息;登錄信息記憶單元,其存儲第一登錄信息,所述第一登錄信息至 少包括用于登錄到所述認證服務器的公共用戶標識信息和密碼,所述第一登錄信息用來對 所述讀取單元讀取的所述用戶識別信息進行認證;操作單元,其根據用戶進行的操作接受 對第二登錄信息的輸入操作,所述第二登錄信息至少包括用戶標識信息和密碼;票單請求 單元,其在登錄到所述認證服務器的情況下,利用所述第一登錄信息和所述第二登錄信息 中的一個,請求用來在登錄到所述認證服務器時進行認證的認證票單;認證請求單元,其請 求所述認證服務器,利用通過所述票單請求單元的請求而獲得的認證票單進行認證;以及 搜索請求單元,其在通過所述認證請求單元的請求而由所述認證服務器利用所述認證票單 進行的認證成功的情況下,請求所述認證服務器搜索為了搜索所述用戶管理信息而由所述 讀取單元讀取的用戶識別信息,以及所述第二登錄信息的用戶標識信息中的一個的用戶標
識信息。 根據本發明的第二方面,提供了一種認證系統,其包括上述圖像形成設備、認證服 務器、用于存儲打印數據的打印服務器、以及用于針對各用戶生成打印數據列表的打印管 理服務器,其中,在對存儲在所述打印服務器中的打印數據執行打印處理時,所述打印管理 服務器向所述圖像形成設備輸出所述認證服務器中的允許使用所述圖像形成設備的用戶 的打印數據列表。 從以下結合附圖進行的描述,本發明的其它特征和優點將變得明顯,在所有圖中, 相似的附圖標記表示相同或者類似的部分。包含在說明書中并構成說明書的一部分的附圖 示出了本發明的實施例,并且與說明書一起,用于解釋本發明的原理。
圖1是例示根據本發明的第一實施例的認證系統的外觀圖。 圖2是例示圖1所示的客戶PC和目錄服務器的硬件結構的框圖。 圖3是例示圖1所示的MFP的硬件機構的框圖。 圖4是例示根據本發明的第一實施例的認證系統的概要機構的示意圖。 圖5是例示根據本發明的第一實施例的認證系統的各功能機構的處理的示意圖。 圖6是例示MFP的卡讀取操作部分獲得的卡信息的示意圖。 圖7是例示MFP的設置信息部分設置的設置信息的示意圖。 圖8是例示存儲在MFP的用戶輸入信息部分中的用戶輸入信息的示意圖。 圖9是例示服務票單的數據結構的示意圖。 圖10是例示存儲在目錄服務器的管理數據存儲器中的用戶管理數據的示意圖。 圖11是例示存儲在MFP的MFP登錄用戶信息部分中的MFP登錄用戶信息的示意 圖。
7
圖12是例示根據本發明的第一實施例的認證系統的設置信息的設置處理過程的 流程圖。 圖13A是例示根據本發明的第一實施例的認證系統的IC卡認證的處理過程的流 程圖;包括圖13B-1和13B-2的圖13B是繼續圖13A例示根據本發明的第一實施例的認證 系統的IC卡認證的處理過程的流程圖;以及圖13C是繼續圖13B-1和13B-2例示根據本發 明的第一實施例的認證系統的IC卡認證的處理過程的流程圖。 圖14是例示IC卡票單高速緩存部分和鍵盤票單高速緩存部分中的一個中的服務 票單高速緩存的數據結構的示意圖。 圖15包括例示在MFP的操作部分中顯示的顯示畫面的圖像的圖。 圖16A是例示根據本發明的第一實施例的認證系統的鍵盤認證的處理過程的流
程圖;包括圖16B-1和16B-2的圖16B是繼續圖16A例示根據本發明的第一實施例的認證
系統的鍵盤認證的處理過程的流程圖;以及圖16C是繼續圖16B-1和圖16B-2例示根據本
發明的第一實施例的認證系統的鍵盤認證的處理過程的流程圖。 圖17是描述IC卡票單高速緩存部分和鍵盤票單高速緩存部分中的一個的服務票 單高速緩存處理的示意圖。 圖18是例示IC卡票單高速緩存部分和鍵盤票單高速緩存部分中的一個的高速緩 存方法的示意圖。 圖19是示出根據本發明的第一實施例的認證系統的應用示例的外觀圖。 圖20是例示背景技術中的用于實現IC卡認證和鍵盤認證的認證系統的概要機構
的示意圖。 包括圖21A和21B的圖21是例示根據本發明的第二實施例的認證系統的IC卡認 證的處理過程的流程圖。 圖22是例示圖21A和21B所示的搜索詳情處理的詳細處理過程的流程圖。
圖23是例示存在于由圖4中的認證處理功能部分管理的存儲區域、即圖3中的 HDD內部的DN高速緩存信息的示意圖。 圖24是例示在MFP的認證處理功能部分中設置的搜索信息的示意圖。
圖25是例示圖4中的管理數據存儲器內部的目錄結構的示意圖。
具體實施例方式
參考附圖來詳細描述本發明的最佳實施方式。
(第一實施例) 圖1是例示根據本發明的第一實施例的認證系統的外觀圖。 圖1所示的本實施例的認證系統100包括MFP 101、客戶PC 103、目錄服務器104、 相互可通信地連接這些設備的包括LAN(局域網,Local AreaNetwork)的網絡105。這里, 在網絡105中安裝了多個MFP 101,MFP 101安裝在例如辦公樓的各層。在網絡105中安裝 了多個客戶PC 103,例如為每個管理員安裝一臺客戶PC 103。在網絡105中安裝了多個目 錄服務器104,在每個基站安裝目錄服務器104。 MFP 101是包括諸如打印機、復印機和傳真機功能的圖像形成設備。 客戶PC 103是諸如用于對MFP 101進行設置的PC,并且是具有例如能夠經由網絡105通過HTTP (超文本傳輸協議,Hyper Text TransferProtocol)與MFP 101進行通信 (例如微軟公司的Internet Explorer (注冊商標))的功能的PC。
目錄服務器104包含在根據本發明的認證服務器中。 具體地,目錄服務器104以集中的方式存儲并管理關于諸如存在于網絡105上的 服務器、客戶PC 103和MFP 101的硬件資源、其用戶的屬性(例如微軟公司的Windows (注 冊商標)的登錄用戶名和密碼)以及訪問權限的信息,目錄服務器104是例如具有活動目 錄(Active Directory(注冊商標))功能的服務器。 下面描述適用于圖1所示的客戶PC 103和目錄服務器104的硬件機構。
圖2是示出圖1所示的客戶PC 103和目錄服務器104的硬件機構的框圖。
如圖2所示,客戶PC 103和目錄服務器104分別包括CPU 201、廳202、R0M 203、 系統總線204、輸入控制器205、視頻控制器206、存儲器控制器207、通信接口 (通信I/F) 控制器208、鍵盤(KB) 209、 CRT顯示器(CRT) 210和外部存儲器211的硬件機構。
CPU 201是用于對連接到系統總線204的各個裝置和控制器進行統一控制的處理 器。ROM 203和外部存儲器211中的一個存儲作為CPU 201的控制程序的BIOS(基本輸入 輸出系統,Basic Input/Output System)、操作系統程序(下文中稱為OS)、實現各個客戶 PC 103和各個目錄服務器104中的一個執行的功能所需的各種程序。此外,ROM 203和外 部存儲器211中的一個存儲執行信息程序所使用的定義文件和各種信息表。
RAM 202用作例如CPU 201的主存儲器和工作區。在執行處理時,CPU 201將所需 的程序從ROM 203和外部存儲器211中的一個加載到RAM 202中,以執行加載的相關程序, 從而實現各種操作。 輸入控制器205對來自鍵盤(KB) 209和在圖中未示出的諸如鼠標的指示裝置的輸 入進行控制。 視頻控制器206控制到作為顯示設備的CRT顯示器(CRT) 210的顯示。這里,圖2 示出了應用CRT顯示器(CRT)作為顯示設備的示例。然而,顯示設備可以是不僅應用CRT 顯示器(CRT)、還應用例如液晶顯示器的模式。管理員根據需要來使用這些顯示器。
存儲器控制器207控制對引導程序、各種應用程序、字體數據、用戶文件、編輯文 件、用于存儲例如各種數據的硬盤(HD)、軟盤(FD)和諸如通過適配器連接到PCMCIA卡槽的 緊湊式閃存(compact flash(注冊商標))存儲器的其它外部存儲器211的存取。
通信I/F控制器208經由網絡105連接到外部設備以進行通信,以對網絡105執 行通信控制處理。例如,通信I/F控制器208可以使用TCP/IP進行通信。圖2中由虛線包 圍的區域是例如作為控制器單元而包括的區域。 CPU 201對RAM 202內部的用于顯示信息的區域執行例如空心字體展開(光柵 化)處理,從而使得能夠在CRT顯示器(CRT) 210上進行顯示。CPU 201可以通過在CRT顯 示器(CRT) 210上顯示的在圖中未示出的鼠標光標,接受來自用戶的指令。
接下來,描述圖1所示的適用于MFP 101的硬件機構。
圖3是例示圖1所示的MFP 101的硬件機構的框圖。 如圖3所示,MFP 101包括控制器單元320、操作部分330、卡讀取器340、打印機 350和掃描器360的各個硬件機構。控制器單元320包括CPU 301、 RAM 302、 ROM 303、硬盤驅動器(HDD) 304、網絡接口 (NetworkJ/F)305、調制解調器(MODEM) 306、操作部分接口 (操作部分I/F) 307、圖像 總線接口 (IMAGE—BUSJ/F)308、外部接口 (外部I/F) 309、系統總線310、光柵圖像處理器 (RIP)311、打印接口 (打印機I/F)312、掃描器接口 (1/F)313、圖像處理部分314和圖像總 線315的各個硬件機構。 控制器單元320連接到用作圖像輸入裝置的掃描器360和用作圖像輸出裝置的打 印機350。另一方面,控制器單元320連接到網絡105以及例如PSTN和ISDN中的一個的公 共線路網絡(WAN),從而輸入和輸出圖像數據和裝置信息。 CPU 301是用于統一控制連接到系統總線310和圖像總線315的各個裝置的處理器。
RAM 302是用于操作CPU 301的工作存儲器,并且還用作用于存儲程序的程序存 儲器和臨時存儲圖像數據的圖像存儲器。 ROM 303存儲系統引導程序和各種控制程序。HDD 304存儲用于控制系統的各種 程序和圖像數據。 Network_I/F 305連接到網絡(LAN) 105,以輸入和輸出數據。M0DEM306連接到公 共線路網絡,以輸入和輸出數據,諸如使用傳真進行發送和接收。 操作部分I/F 307是操作部分330中的作為用戶接口 (UI)的接口,其向操作部分 330輸出圖像數據,以在操作部分330上進行顯示。當本系統的用戶從操作部分330輸入信 息(例如用戶信息)時,操作部分I/F 307將信息發送給CPU 301。這里,操作部分330包 括包含相當于鍵盤的觸摸屏的顯示部分。用戶按下(例如用手指觸摸)在相關顯示部分上 顯示的鍵盤的按鈕,由此操作部分330可以發出各種指令。 IMAGE_BUS_I/F 308是用于將系統總線310連接到快速地傳輸圖像數據的圖像總 線315并用于轉換數據結構的總線橋。 外部I/F 309是接受來自USB、IEEE1394、打印機端口、RS-232C等的外部輸入的接 口 。在本實施例中,用于讀取進行IC卡認證所需的IC卡的信息的卡讀取器340連接到外 部I/F 309。 CPU 301控制來自卡讀取器340通過該外部I/F 309讀取的IC卡的信息的讀 取,并且可以獲得相關IC卡讀取的信息。 上述裝置301至309布置在系統總線310上,并且相互能夠進行通信。
RIP 311將諸如PDL代碼的矢量數據展開為位像。 打印機I/F 312將打印機350連接到控制器單元320,以對圖像數據的同步/非同 步系進行轉換。 掃描器I/F 313將掃描器360連接到控制器單元320,以對圖像數據的同步/非同 步系進行轉換。 圖像處理部分314對輸入圖像數據執行校正、處理和編輯,并對打印輸出圖像數 據執行打印機的校正處理和分辨率轉換處理。除了這些處理之外,圖像處理部分314還執 行圖像數據的旋轉以及諸如對多值圖像數據的JPEG和對二值圖像數據的JBIG、匪R和MH 的壓縮和展開處理。 上述裝置308和311至314布置在圖像總線315上,并且相互能夠進行通信。圖 像總線315包括例如PCI總線禾口 IEEE 1394中的一個。 具體來說,操作部分330包括LCD顯示部分。觸摸屏片材粘在相關LCD顯示部分 上,以顯示本系統的操作畫面。當按下所顯示的操作畫面上的鍵(按鈕)時,該位置信息通過操作部分I/F 307發送到CPU 301。操作部分330包括作為諸如開始鍵、停止鍵、ID鍵和 復位鍵的各種操作鍵的鍵盤功能。 這里,操作部分330的開始鍵例如在開始讀取復印圖像的操作時操作。例如綠色 和紅色兩色的LED位于該開始鍵的中心部分。發出的各個顏色的光表示開始鍵是否準備好 使用。操作部分330的停止鍵例如在停止正在進行的操作時操作。操作部分330的ID鍵 例如在輸入用戶的用戶ID時操作。操作部分330的復位鍵例如在初始化操作部分330的 設置時操作。 卡讀取器340由CPU 301控制,以讀取存儲在相當于認證卡的IC卡(例如索尼公 司的FeliCa(注冊商標))內部的用戶標識信息。將卡讀取器340讀取的用戶標識信息通 過外部I/F 309通知給CPU 301。 打印機350將例如光柵圖像數據轉換為紙上的圖像。其轉換方法包括具有感光鼓 和感光帶的電子照相系統以及從微噴嘴陣列排出墨以將圖像直接打印到紙上的噴墨系統。 然而,可以使用任何轉換方法。由來自CPU 301的指令開始打印機350的打印操作的啟動。 這里,打印機350包括多個給紙級,從而可以選擇不同的片材尺寸和不同的片材方向中的 一個。設置了與各個給紙級相對應的紙張盒。 掃描器360照射復印片材上的圖像,用CCD行傳感器掃描復印件,從而將復印圖像 轉換為電信號作為光柵圖像數據。將復印片材放置在原稿給送器的盤上。MFP 101的用戶 從操作部分330發出讀取啟動指令。由此,CPU 301向掃描器360發出指令。給送器逐個 給送復印片材,以讀取復印件的圖像。 上述機構使得MFP 101能夠將從掃描器360讀取的圖像數據發送到網絡(LAN) 105 上,并且使得打印機350能夠打印并輸出從網絡(LAN)105接收的打印數據。另外,MFP 101 可以將從掃描器360讀取的圖像數據通過傳真從MODEM 306發送到公共線路網絡上,并且 打印并輸出通過傳真從公共線路網絡接收的圖像數據。 圖4是例示根據本發明的第一實施例的認證系統的概要機構的示意圖。具體地, 圖4示出了認證系統100的MFP 101和目錄服務器104中的各個功能機構。
如圖4所示,除了包括鍵盤的操作部分330和用于讀取IC卡的用戶標識信息的卡 讀取器340的硬件機構以外,MFP 101還包括包含卡讀取操作部分11、認證處理功能部分 12、 Kerberos認證操作部分13和LDAP通信操作部分14的各個功能機構的認證應用程序 10。認證應用程序10中的各個功能機構包括例如存儲在圖3所示的CPU 301、 ROM 303和 HDD 304中的一個中的程序以及HDD 304和RAM 302中的一個的存儲器。
目錄服務器104包括執行認證服務部分411和票單準許服務部分412的鍵(票 單)分發站41的應用程序以及LDAP服務部分42的應用程序和管理數據存儲器43。鍵分 發站41和LDAP服務部分42的應用程序包括例如存儲在圖2所示的CPU 201以及ROM 203 和外部存儲器211中的一個中的程序。管理數據存儲器43包含在例如圖2所示的外部存 儲器211中。 圖5是例示根據本發明的第一實施例的認證系統的各個功能機構的處理的示意 圖。相似的附圖標記表示圖4和圖5中相同或者類似的機構。 如圖5所示,認證處理功能部分12設置有IC卡票單高速緩存部分121、鍵盤票單 高速緩存部分122、 MFP登錄用戶信息部分123、用戶輸入信息部分124、設置信息部分125
11和卡信息部分126。圖3所示的MFP 101的HDD 304和RAM 302中的一個例如包括這些機 構121至126。 作為存儲區域的IC卡票單高速緩存部分121存儲用于在將IC卡保持在卡讀取器 340上方時進行IC卡認證的服務票單。 作為存儲區域的鍵盤票單高速緩存部分122存儲用于在從操作部分330的鍵盤輸 入用戶信息時進行鍵盤認證的服務票單。 作為存儲區域MFP登錄用戶信息部分123存儲LDAP服務部分42搜索的用戶信息。
作為存儲區域的用戶輸入信息部分124存儲利用操作部分330的鍵盤輸入到MFP 101的用戶輸入信息。 作為存儲區域的設置信息部分125存儲用戶(這里是管理員)利用客戶PC 103 通過網絡在MFP 101中設置的設置信息(例如域、主機、用戶名和密碼的各種信息)。
作為存儲區域的卡信息部分126存儲卡讀取器340讀取的卡信息。
接下來,描述MFP 101的認證應用程序10的各個功能機構。
〈對卡讀取操作部分11的描述> 用戶將IC卡保持在卡讀取器340上方。然后,卡讀取操作部分11控制卡讀取器
340從卡獲得卡信息(602),并將獲得的卡信息傳送給認證處理功能部分12 (603)。 圖6是例示MFP 101的卡讀取操作部分11獲得的卡信息的示意圖。圖6示出了
作為卡信息的卡ID的信息。〈對認證處理功能部分12的描述> 認證處理功能部分12獲得管理員利用客戶PC 103通過網絡105輸入的設置信 息,在設置信息部分125中存儲并設置獲得的設置信息(601)。 圖7是例示MFP 101的設置信息部分125設置的設置信息的示意圖。如圖7所示, 設置域、主機、用戶名和密碼的各種信息,作為設置信息。域和主機的信息是用于識別連接 到網絡105的多個目錄服務器104中的各個目錄服務器的信息。用戶名和密碼的信息是用 于進行獲得服務票單的認證(即允許用戶200使用MFP 101的前一認證階段的認證)的信 息。這里,在一種模式下,可以在設置信息中針對一個域登記多個主機(目錄服務器104)。 還可以有登記多個域的模式。特別地,在進行IC卡認證時,使用圖7所示的設置信息作為 登錄到目錄服務器104的信息。對于本實施例,針對連接到網絡105的各個目錄服務器104 準備好圖7所示的設置信息。 這里,針對目錄服務器104所屬的各個域保存用于在進行IC卡認證時登錄到目錄 服務器104的信息,但是可以配置為由各個目錄服務器104保存該信息。
在進行LDAP通信時,使用存儲在該設置信息部分125中的設置信息。認證處理功 能部分12從設置信息部分125讀取設置信息(604),并將讀取的設置信息傳送到LDAP通信 操作部分14以請求進行連接(605)。此外,當卡讀取操作部分11獲得卡信息時,認證處理功能部分12從卡讀取操作部 分11獲得相關的卡信息,將該信息存儲在卡信息部分126中(603)。之后,在進行IC卡認 證時,認證處理功能部分12讀取存儲在卡信息部分126中的卡信息(621)。
當用戶利用例如操作部分330的鍵盤輸入用戶輸入信息時,認證處理功能部分12 將相關的用戶輸入信息存儲在用戶輸入信息部分124中(702)。
圖8是例示存儲在MFP 101的用戶輸入信息部分124中的用戶輸入信息的示意
圖。如圖8所示,設置域、用戶名和密碼的各種信息,作為用戶輸入信息。 在進行Kerberos認證時,使用存儲在該用戶輸入信息部分124中的用戶輸入信
息。認證處理功能部分12從用戶輸入信息部分124讀取用戶輸入信息(708),并將讀取的
用戶輸入信息傳送到Kerberos認證操作部分13,以請求獲得服務票單(610)。 認證處理功能部分12從卡讀取操作部分11獲得圖6所示的卡信息,然后從圖7
所示的設置信息中獲得域、用戶名和密碼,以從IC卡票單高速緩存部分121獲得圖9所示
的相關用戶的服務票單(609)。這里,服務票單包括如圖9所示的經過加密的加密數據。設
置信息部分125僅針對域和主機的數量(即連接到網絡105的目錄服務器的數量)保存圖
7所示的設置信息。 認證處理功能部分12從用戶輸入信息部分124獲得圖8所示的用戶輸入信息,然后從圖7所示的設置信息中獲得域、用戶名和密碼,以從鍵盤票單高速緩存部分121獲得圖9所示的相關用戶的服務票單(709)。 在上述處理609和處理709中的一個中在IC卡票單高速緩存部分121和鍵盤票單高速緩存部分122中的一個中沒有高速緩存服務票單的情況下,認證處理功能部分12從圖7所示的設置信息中獲得域、用戶名和密碼,并將獲得的信息傳送到Kerberos認證操作部分13,以請求獲得服務票單(610)。 認證處理功能部分12將獲得的服務票單傳送到LDAP通信操作部分14,以請求進行認證(616),并傳送圖6所示的卡信息,以請求進行搜索(622)并請求結束連接(628)。
認證處理功能部分12將在上述處理616中成功認證的服務票單存儲在IC卡票單高速緩存部分121和鍵盤票單高速緩存部分122中的一個中(620和720)。這時,在IC卡票單高速緩存部分121中,針對圖7所示的各個設置信息(即針對連接到網絡105的各個目錄服務器104 (針對本實施例中的各個域)),高速緩存服務票單。在鍵盤票單高速緩存部分122中,基于從操作部分330輸入的用戶輸入信息,針對各個用戶高速緩存服務票單。
圖10是例示存儲在目錄服務器104的管理數據存儲器43中的用戶管理數據的示意圖。如圖10所示,設置用戶名、顯示名、郵箱、組和擴展屬性(例如卡信息)的各種信息,作為用戶的管理數據。另外,管理數據存儲器43存儲用戶和多個用戶中的一個的管理數據。還管理各個用戶的密碼(在圖中未示出)作為管理數據。該密碼在進行稍后描述的圖13B-2中的步驟S216中的認證處理和圖16B-1中的步驟S310中的認證處理時使用。以允許LDAP服務部分42進行參考的方式,將相關的密碼加密。以僅允許LDAP服務部分42知道的方式來管理該密碼。圖10中的管理數據(用戶管理信息)至少存儲一個用戶的用戶名(用戶標識信息)和擴展屬性(用戶識別信息)。 圖11是例示存儲在MFP 101的MFP登錄用戶信息部分123中的MFP登錄用戶信息的示意圖。如圖11所示,設置用戶名、顯示名、域、郵箱和權限的各種信息,作為MFP登錄
用戶信息。 認證處理功能部分12設置通過上述處理622搜索的圖10所示的各種管理數據中的用戶名、顯示名和郵箱,作為圖ll所示的MFP登錄用戶信息的用戶名、顯示名和郵箱。在圖IO所示的管理數據的組是特定組(例如Canon—Peripheral—Admins)的情況下,認證處理功能部分12針對圖ll所示的MFP登錄用戶信息中的權限設置管理員權限(例如Administrator)。認證處理功能部分12對圖11所示的MFP登錄用戶信息中的域設置連接 的目錄服務器104中的域。認證處理功能部分12將圖11所示的設置的MFP登錄用戶信息 存儲在MFP登錄用戶信息部分123中(627)。 認證處理功能部分12讀取存儲在MFP登錄用戶信息部分123中的MFP登錄用戶 信息(630),并將其例如傳送給MFP 101的CPU 301,以請求進行登錄處理,并請求操作部分 330進行畫面轉變處理(631)。由此,操作部分330顯示登錄結果,以將相關的登錄結果通 知給用戶200(632)。〈對Kerberos (票單)認證操作部分13的描述> Kerberos認證操作部分13從認證處理功能部分12接收域、用戶名和密碼(610)。 Kerberos認證操作部分13基于用戶名和密碼生成認證請求,并通過網絡105向指定域中 的目錄服務器104的鍵分發站41管理的認證服務部分411發出相關的認證請求(611)。 Kerberos認證操作部分13接收認證服務部分411生成的認證答復(612)。
這里,認證請求(AS-REQ)是指在進行Kerberos認證時,對認證服務部分411的請 求。另外,認證答復(AS-REP)是指在進行Kerberos認證時,來自認證服務部分411的答復。
Kerberos認證操作部分13基于來自認證服務部分411的認證答復生成票單準許 請求,并向目錄服務器104的票單準許服務部分412發出請求(613) 。 Kerberos認證操作 部分13接收票單準許服務部分412生成的票單準許答復(614)。 票單準許請求(TGT-REQ)是指在進行Kerberos認證時,對票單準許服務部分412 的請求。票單準許答復(TGT-REP)是指在進行Kerberos認證時,來自票單準許服務部分 412的答復。 Kerberos認證操作部分13從發送自票單準許服務部分412的票單準許答復中取 出圖9所示的服務票單,將取出的服務票單傳送到認證處理功能部分12(615)。
〈對LDAP通信操作部分14的描述> LDAP通信操作部分14基于在設置信息部分125中設置的圖7所示的設置信息的 各種信息中的域和主機,執行通過網絡105與指定的目錄服務器104的LDAP服務部分42 的連接處理。LDAP通信操作部分14接收來自LDAP服務部分42的可連接性(607),以答復 認證處理功能部分12(608)。 LDAP通信操作部分14將從認證處理功能部分12接收的圖9所示的服務票單 (616)通過網絡105發送給LDAP服務部分42 (617) 。 LDAP通信操作部分14接收關于LDAP 服務部分42是否可以進行服務票單認證的確定結果(618),并將該結果答復給認證處理功 能部分12(619)。 在進行IC卡認證的情況下,LDAP通信操作部分14從認證處理功能部分12獲得 圖6所示的卡信息(622),并將獲得的卡信息通過網絡105發送給LDAP服務部分42 (623)。 在進行鍵盤認證的情況下,LDAP通信操作部分14從圖8所示的用戶輸入信息中獲得用戶 名(622),并將關于獲得的用戶名的信息通過網絡105發送給LDAP服務部分42 (623)。
當LDAP服務部分42搜索存儲在管理數據存儲器43中的管理數據(624)時,LDAP 通信操作部分14接收來自LDAP服務部分42的搜索到的管理數據(625),并將相關管理數 據答復給認證處理功能部分12(626)。 LDAP通信操作部分14接收來自認證處理功能部分12的通信斷開請求(628),以進行斷開與LDAP服務部分42的通信的處理。LDAP通信操作部分14將該斷開處理的結果答復給認證處理功能部分12(629)。 接下來,描述在IC卡認證和鍵盤認證的前階段中進行的設置信息的設置處理過程。 圖12是例示根據本發明的第一實施例的認證系統的設置信息的設置處理過程的流程圖。在圖12所示的流程圖中,以縱向分開的方式示出了圖12的上部所示的用戶(圖12中的管理員)200、認證應用程序10中的各個功能機構(11至14)和目錄服務器104中的處理。 當設置信息的設置處理開始并且用戶(這里是管理員)200輸入圖7所示的包括域、主機、用戶名和密碼的各種信息的設置信息時,在步驟S101中,認證處理功能部分12搜
索該設置信息。 隨后,在步驟S102中,認證處理功能部分12將在步驟S101中搜索到的設置信息存儲在設置信息部分125中。 如上所述,針對設置信息部分125進行設置信息的設置處理。針對域和主機的數量(即連接到網絡105的目錄服務器的數量)設置在設置信息部分125中設置的設置信息。在連接到目錄服務器104時使用該設置信息。
接下來,描述IC卡認證的處理過程。 圖13A至圖13C是例示根據本發明的第一實施例的認證系統的IC卡認證的處理過程的流程圖。在圖13A至圖13C所示的流程圖中,以縱向分開的方式示出了各個圖的上部所示的用戶200、認證應用程序10中的各個功能機構(11至14)和目錄服務器104中的處理。 當IC卡認證處理開始并且用戶200將她/他自己的IC卡保持在卡讀取器340上方時,在圖13A中的步驟S201中,卡讀取操作部分11通過卡讀取器340搜索該卡。
隨后,在步驟S202中,卡讀取操作部分21讀取卡讀取器340獲得的用戶200的卡信息(例如圖6所示的信息)。 隨后,在步驟S203中,認證處理功能部分12將在步驟S202中讀取的卡信息存儲并保存在卡信息部分126中。 隨后,認證處理功能部分12讀取在圖12中的步驟S102中保存在設置信息部分125中的多個設置信息中的一個設置信息。 隨后,在步驟S205中,認證處理功能部分12將在步驟S204中讀取的圖7所示的設置信息中的關于域和主機的信息傳送到LDAP通信操作部分14,并且請求進行與相應的目錄服務器104進行連接的處理。 隨后,在步驟S206中,LDAP通信操作部分14進行連接到與在步驟S205中傳送的設置信息中的主機和域相對應的目錄服務器104的處理。這里,在與特定域的主機的連接不成功的情況下,與同一個域的另一主機連接的處理是可行的。 隨后,在步驟S207中,目錄服務器104的LDAP服務部分42的處理建立與LDAP通信操作部分14的連接。 隨后,在步驟S208中,LDAP服務部分42將可連接性答復給LDAP通信操作部分14。
隨后,在步驟S209中,LDAP通信操作部分14將從LDAP服務部分42發送的可連
15接性答復給認證處理功能部分12。 隨后,在步驟S210中,認證處理功能部分12基于從LDAP通信操作部分14接收的 可連接性信息來確定連接到目錄服務器104的處理是否成功。 作為步驟S210的確定結果,在連接到目錄服務器104的處理不成功(即失敗)的 情況下,在步驟S210之后執行步驟S211。在步驟S211中,認證處理功能部分12在例如操 作部分330當前顯示的畫面上進行錯誤通知處理。由此,例如由操作部分330顯示稍后說 明的圖15中的錯誤畫面1540。之后,IC卡認證處理結束。 另一方面,作為確定結果,在連接到目錄服務器104的處理成功的情況下,在步驟 S210之后執行圖13B-1中的步驟S212。在步驟S212中,認證處理功能部分12再次讀取在 步驟S204中讀取的設置信息(圖7)。 隨后,在步驟S213中,認證處理功能部分12從在步驟S212中讀取的設置信息中 獲得域、用戶名和密碼,以進行在IC卡票單高速緩存部分121中是否高速緩存了基于獲得 的信息的服務票單的搜索處理。 圖14是例示IC卡票單高速緩存部分121和鍵盤票單高速緩存部分122中的一個 中的服務票單高速緩存的數據結構的示意圖。該服務票單高速緩存用于存儲圖9所示的服 務票單。為了指定要使用的服務票單,該數據結構保存通過利用哈希(hash)函數對圖7中 的設置信息以及圖8中的用戶輸入信息的域、用戶名和密碼中的一個進行哈希而獲得的鍵 信息。服務票單的加密數據包括域、用戶名和密碼。該信息使得LDAP服務部分42能夠確 定是否允許進行認證。 步驟S213中的搜索處理利用哈希函數對域、用戶名和密碼進行哈希,并獲得作為 鍵的值,來進行在IC卡票單高速緩存部分121中搜索是否存在與相關鍵相對應的服務票單 的處理。 隨后,在步驟S214中,認證處理功能部分12確定是否存在基于在步驟S213中的 搜索處理中IC卡票單高速緩存部分121獲得的設置信息的服務票單。
作為步驟S214中的確定結果,在不存在基于獲得的IC卡票單高速緩存部分121 中的設置信息的服務票單的情況下,在步驟S214之后進行步驟S215。在步驟S215中,認證 處理功能部分12將在步驟S212中讀取的設置信息傳送到Kerberos認證操作部分13,作出 發出服務票單的請求。在步驟S204中讀取的設置信息中的用戶名和密碼用來進行該發出 請求。該設置信息是在利用IC卡進行認證處理時使用的公共信息,該設置信息至少包括用 戶名(用戶標識信息)和密碼。對于域和主機的信息,不需要成對地存儲用戶名和密碼,但 是可以配置為例如在域和主機是唯一確定的情況下,將用戶名和密碼存儲在程序和程序適 當地參考的信息文件中的一個中。 隨后,在步驟S216中,Kerberos認證操作部分13接收來自認證處理功能部分12 的設置信息(具體地為設置信息中的域、用戶名和密碼),以基于相關設置信息的域、用戶 名和密碼生成認證請求。Kerberos認證操作部分13通過網絡105向指定域的目錄服務器 104的鍵分發站41管理的認證服務部分411發出生成的認證請求。具體地,在步驟S216 中,如果圖IO所示的管理數據(用戶管理信息)包括相應的用戶名和密碼,則確定相應的 目錄服務器104允許進行認證。之后,在步驟S218中,相應的目錄服務器104答復可以進 行認證。另一方面,在密碼錯誤的情況下,確定目錄服務器104不允許進行認證,之后,在步驟S218中答復不能進行認證。 隨后,在步驟S217中,認證服務部分411接受從Kerberos認證操作部分13發送的認證請求。該認證請求處理使用從步驟S216發送的用戶名和密碼,搜索在圖10中的管理數據(用戶管理信息)中是否存在與發送的用戶名相對應的用戶名,并且在相應的用戶名在管理數據(用戶管理信息)內的情況下,確定與該用戶相對應的密碼是否與發送的密
碼一致。 隨后,在步驟S218中,認證服務部分411基于在步驟S217中接收的認證請求生成認證答復,并向Kerberos認證操作部分13發出答復。 隨后,在步驟S219中,Kerberos認證操作部分13接收來自認證服務部分411的認證答復,并向票單準許服務部分412發出票單準許請求。 隨后,在步驟S220中,票單準許服務部分412接受在步驟S219中從Kerberos認證操作部分13發送的票單準許請求。 隨后,在步驟S221中,票單準許服務部分412基于在步驟S220中接受的票單準許請求生成票單準許答復,并向Kerberos認證操作部分13發出答復。 隨后,在步驟S222中,Kerberos認證操作部分13從接收自票單準許服務部分412
的票單準許答復中取出服務票單,并將服務票單傳送給認證處理功能部分12。 另一方面,作為步驟S214的確定結果,在IC卡票單高速緩存部分121中存在基于
獲得的設置信息的服務票單的情況下,在步驟S214之后進行步驟S223。在步驟S223中,認
證處理功能部分12從IC卡票單高速緩存部分121中取出相應的服務票單。 在步驟S222中的處理結束的情況和步驟S223中的處理結束的情況中的一種情況
下,在步驟S222和步驟S223之后執行步驟S224。在步驟S224中,認證處理功能部分12將
在步驟S222和步驟S223中的一個中獲得的服務票單傳送到LDAP通信操作部分14,以作出
認證請求。 隨后,在步驟S225中,LDAP通信操作部分14將從認證處理功能部分12傳送的服務票單傳送到LDAP服務部分42,以作出認證請求。 隨后,在步驟S226中,LDAP服務部分42對在步驟S225中從LDAP通信操作部分14接收的服務票單進行認證處理。 隨后,在步驟S227中,LDAP服務部分42將是否可以進行在步驟S226中進行的認證處理中的認證答復給LDAP通信操作部分14。 隨后,在步驟S228中,LDAP通信操作部分14將從LDAP服務部分42接收的是否可以進行認證傳送到認證處理功能部分12。 隨后,在步驟S229中,認證處理功能部分12基于從LDAP通信操作部分14接收的是否可以進行認證的信息,來確定認證是否成功。 作為步驟S229的確定結果,在認證不成功(即失敗)的情況下,在步驟S229之后進行步驟S230。在步驟S230中,認證處理功能部分12在圖14所示的服務票單高速緩存(即本實施例中的IC卡票單高速緩存部分121)中搜索具有相應的鍵的服務票單,以刪除相關的服務票單。 隨后,在步驟S231中,認證處理功能部分12確定在步驟S224中請求的認證是否是使用在IC卡票單高速緩存部分121中預先高速緩存的服務票單而獲得的。
作為步驟S231中的確定結果,在步驟S224中請求的認證是使用在IC卡票單高速 緩存部分121中預先高速緩存的服務票單而獲得的情況下,回到步驟S215,并在步驟S215 之后進行新獲得服務票單的處理。 另一方面,作為確定結果,在該認證不是使用在IC卡票單高速緩存部分121中預 先高速緩存的服務票單而獲得的情況下,在步驟S231之后進行步驟S232 。在步驟S232中, 認證處理功能部分12在例如操作部分330當前顯示的畫面上進行錯誤通知處理。由此,例 如由操作部分330顯示稍后描述的圖15中的錯誤畫面1540。之后,IC卡認證處理結束。
另一方面,作為步驟S229中的確定結果,在認證成功的情況下,在步驟S229之后 進行步驟S233。在步驟S233中,認證處理功能部分12更新圖14所示的服務票單高速緩存 (即本實施例中的IC卡票單高速緩存部分121)。 具體地,在圖14所示的服務票單高速緩存包括認證使用的服務票單的情況下,相 關的服務票單移動到圖14所示的服務票單高速緩存的頂部(編號1)。在圖14所示的服務 票單高速緩存中預先不存在相關的服務票單的情況下,使圖14所示的服務票單高速緩存 的頂部(編號1)存儲相關的服務票單。這時,在服務票單高速緩存達到高速緩存上限(在 圖14所示的示例中是10個單位)的情況下,在刪除存儲在末尾(編號10)的服務票單之 后,在頂部(編號1)存儲相關的服務票單。 在完成該處理之后,在步驟S233之后進行圖13C所示的步驟S234。在步驟S234 中,認證處理功能部分12讀取在步驟S203中卡信息部分126存儲的卡信息。
隨后,在步驟S235中,認證處理功能部分12將在步驟S234中讀取的卡信息傳送 到LDAP通信操作部分14,以作出搜索請求。這里,該搜索請求準許IC卡用戶200使用相關 的MFP 101。 隨后,在步驟S236中,LDAP通信操作部分14將在步驟S235中從認證處理功能部 分12接收的卡信息傳送到LDAP服務部分42,以作出搜索請求。 隨后,在步驟S237中,LDAP服務部分42搜索存儲在管理數據存儲器43中的圖10 所示的管理數據(用戶管理信息)中的擴展屬性中與圖10所示的在步驟S236中從LDAP 通信操作部分14接收的卡信息相對應的管理數據(例如用戶名)。 隨后,在步驟S238中,LDAP服務部分42通過網絡105將在步驟S237中搜索到的 管理數據作為管理數據信息答復給LDAP通信操作部分14。這時,作為步驟S237中的搜索 結果,在不存在相關的管理數據的情況下,將表示不存在相關管理數據的含義的信息答復 給LDAP通信操作部分14。 隨后,在步驟S239中,LDAP通信操作部分14將從LDAP服務部分42發送的管理 數據信息傳送到認證處理功能部分12。 隨后,在步驟S240中,認證處理功能部分12向LDAP通信操作部分14發出通信斷 開請求。 隨后,在步驟S241中,LDAP通信操作部分14斷開與LDAP服務部分42的連接。
隨后,在步驟S242中,認證處理功能部分12基于在步驟S239中從LDAP通信操作 部分14接收的管理數據信息(例如存在用戶名),確定目錄服務器104是否包括與用戶200 相對應的用戶信息。這時,在管理數據信息是在步驟S237中搜索到的管理數據的信息(例 如用戶名)的情況下,確定存在與用戶200相對應的用戶信息。另外,在管理數據信息是表
18示不存在相應的管理數據的含義的信息的情況下,確定不存在與用戶200相對應的用戶信息。 作為步驟S242中的確定結果,在不存在與用戶200相對應的用戶信息的情況下,在步驟S242之后進行步驟S243。在步驟S243中,認證處理功能部分12確定是否執行了對在設置信息部分125中保存的所有設置信息的處理。也就是說,步驟S243中的處理確定連接到網絡105的所有目錄服務器104是否都經過了處理。 作為步驟S243中的確定結果,在設置信息部分125中保存的所有設置信息還沒有經過處理的情況下,回到步驟S204。然后,讀取還未處理的設置信息,并執行步驟S205和之后的處理。 另一方面,作為確定結果,在設置信息部分125中保存的所有設置信息都經過了處理的情況下,在步驟S243之后進行步驟S244。在步驟S244中,認證處理功能部分12例如在操作部分330當前顯示的畫面上執行錯誤通知處理。由此,例如由操作部分330顯示稍后描述的圖15中的錯誤對話框1540。之后,IC卡認證處理結束。 另一方面,作為步驟S242中的確定結果,在目錄服務器104包括與用戶200相對應的用戶信息的情況下,在步驟S242之后進行步驟S245。在步驟S245中,認證處理功能部分12基于在步驟S239中從LDAP通信操作部分14接收的管理數據,生成圖11所示的MFP
登錄用戶信息。 具體地,認證處理功能部分12將圖IO所示的管理數據(接收到的管理數據)的各個信息中的用戶名、顯示名和郵箱設置為圖ll所示的MFP登錄用戶信息的用戶名、顯示名和郵箱。在圖10所示的管理數據(接收到的管理數據)的組是特定組的情況下,認證處理功能部分12對圖ll所示的MFP登錄用戶信息的權限設置管理員權限(例如Administator)。認證處理功能部分12對圖11所示的MFP登錄用戶信息的域設置連接的目錄服務器104的域。認證處理功能部分12將設置的圖11所示的MFP登錄用戶信息存儲在MFP登錄用戶信息部分123中。 隨后,在步驟S246中,認證處理功能部分12將存儲在MFP登錄用戶信息部分123中的MFP登錄用戶信息傳送到MFP 101的CPU 301,請求進行登錄處理。
隨后,在步驟S247中,認證處理功能部分12例如請求MFP 101的CPU 301進行操作部分330的畫面轉移處理。 圖15包括例示在MFP 101的操作部分330中顯示的顯示畫面的圖像的圖。圖15所示的登錄畫面1510是在開始認證處理時顯示的畫面。在準許進行用戶認證時,顯示MFP使用畫面1520。在保持登錄畫面1510上的"鍵盤輸入"按鈕按下時,顯示鍵盤輸入畫面1530。在將錯誤通知給用戶200時,顯示錯誤畫面1540。 在步驟S247中的畫面轉移處理中,將圖15中的登錄畫面1510切換為MFP使用畫面1520進行顯示。 通過上述圖13A至圖13C所示的流程圖的處理,進行本實施例的認證系統100中的IC卡認證。 接下來,描述鍵盤認證處理過程。 圖16A至圖16C是例示根據本發明的第一實施例的認證系統的鍵盤認證的處理過程的流程圖。在圖16A至圖16C所示的流程圖中,以縱向分開的方式示出了各個圖的上部所示的用戶200、認證應用程序10中的各個功能機構(11至14)和目錄服務器104中的處 理。在圖16A至圖16C和圖13A至圖13C中,相似的附圖標記表示相同的步驟編號。
當用戶200在操作部分330顯示的登錄畫面1510上保持"鍵盤輸入"按鈕1511按 下時,操作部分330顯示鍵盤輸入畫面1530,以開始鍵盤認證處理。當用戶200在鍵盤輸入 畫面1530上輸入用戶名、密碼和登錄目的地并保持登錄按鈕1531按下時,在圖16A中的步 驟S301中,認證處理功能部分12檢測關于輸入的用戶名、密碼和登錄目的地的信息作為圖 8所示的用戶輸入信息。這時,認證處理功能部分12檢測輸入登錄目的地的信息,作為圖8 所示的域的信息。 隨后,在步驟S302中,認證處理功能部分12將在步驟S301中檢測到的用戶輸入 信息存儲在用戶輸入信息部分124中。 隨后,在步驟S303中,認證處理功能部分12讀取在圖12中的步驟S102中在設置 信息部分125中保存的多個設置信息,以使用在步驟S302中存儲的用戶輸入信息的域(登 錄目的地的信息)作為鍵,從相應的設置信息中獲得關于主機的信息。由此,在鍵盤認證中 確定要連接的一個目錄服務器104。 隨后,在步驟S304中,認證處理功能部分12請求LDAP通信操作部分14進行連接 到與在步驟S303中獲得的關于主機的信息相對應的目錄服務器104的處理。
隨后,在步驟S305中,LDAP通信操作部分14進行在步驟S304中請求的連接到與 關于主機的信息相對應的目錄服務器104的處理。 之后,與IC卡認證的情況相似,進行圖13A所示的步驟S207至步驟S211的處理, 之后進行圖16B-1中的步驟S306。 在步驟S306中,認證處理功能部分12讀取在步驟S302中存儲在用戶輸入信息部 分124中的圖8所示的用戶輸入信息。 隨后,在步驟S307中,認證處理功能部分12從圖8所示的用戶輸入信息中獲得 域、用戶名和密碼,以進行關于在鍵盤票單高速緩存部分122中是否高速緩存了基于獲得 的信息的服務票單的搜索處理。步驟S307中的搜索處理利用哈希函數對域、用戶名和密碼 進行哈希,以進行利用獲得的鍵作為鍵在鍵盤票單高速緩存部分122中搜索是否存在與相 關鍵相對應的服務票單的處理。 隨后,在步驟S308中,認證處理功能部分12確定在步驟S307中的搜索處理中在
鍵盤票單高速緩存部分122中是否存在基于獲得的用戶輸入信息的服務票單。 作為步驟S308中的確定結果,在鍵盤票單高速緩存部分122中不存在基于獲得的
用戶輸入信息的服務票單的情況下,在步驟S308之后進行步驟S309。在步驟S309中,認
證處理功能部分12將在步驟S306中讀取的用戶輸入信息傳送到Kerberos認證操作部分
13,以請求發出服務票單。在步驟S306中讀取的用戶輸入信息(用戶名和密碼)用來進行
該發出請求。 隨后,在步驟S310中,Kerberos認證操作部分13接收來自認證處理功能部分12 的用戶輸入信息(具體地為用戶輸入信息的域、用戶名和密碼),以基于相關用戶輸入信息 的用戶名和密碼來生成認證請求。Kerberos認證操作部分13通過網絡105向指定域的目 錄服務器104的鍵分發站41管理的認證服務部分411發出生成的認證請求。具體地,在步 驟S310中,如果圖10所示的管理數據包括相應的用戶名和密碼,則確定相應的目錄服務器104允許進行認證。之后,在步驟S218中,相應的目錄服務器104答復能夠進行認證。另一方面,在密碼錯誤的情況下,確定目錄服務器104不允許進行認證,之后在步驟S218中,目錄服務器104答復不能進行認證。 之后,與IC卡認證的情況相似,進行圖13B-2所示的步驟S217至步驟S222的處理,之后進行圖16B-1中的步驟S312。 另一方面,作為步驟S308中的確定結果,在鍵盤票單高速緩存部分122中存在基
于獲得的用戶輸入信息的服務票單的情況下,在步驟S308之后進行步驟S311 。在步驟S311
中,認證處理功能部分12從鍵盤票單高速緩存部分122中取出相應的服務票單。 在步驟S222中的處理結束的情況和步驟S311中的處理結束的情況中的一種情況
下,在步驟S222和步驟S311之后執行步驟S312。在步驟S312中,認證處理功能部分12將
在步驟S222和步驟S311中的一個中獲得的服務票單傳送到LDAP通信操作部分14,以作出
認證請求。 之后,與IC卡認證的情況相似,進行圖13B-1所示的步驟S225至步驟S229的處理。 作為步驟S229中的確定結果,在認證不成功(即失敗)的情況下,在步驟S229之后執行步驟S313。在步驟S313中,認證處理功能部分12在圖14所示的服務票單高速緩存(即本實施例中的鍵盤票單高速緩存部分122)中搜索具有相應的鍵的服務票單,以刪除相關的服務票單。 隨后,在步驟S314中,認證處理功能部分12確定在步驟S312中請求的認證是否
是使用在鍵盤票單高速緩存部分122中預先高速緩存的服務票單而獲得的。 作為步驟S314中的確定結果,在步驟S312中請求的認證是使用在鍵盤票單高速
緩存部分122中預先高速緩存的服務票單而獲得的情況下,回到步驟S309,之后進行新獲
得服務票單的處理。 另一方面,作為步驟S314中的確定結果,在步驟S312中請求的認證是使用在鍵盤票單高速緩存部分122中預先高速緩存的服務票單而獲得的情況下,在步驟S314之后執行步驟S232。與IC卡認證的情況相似,進行圖13B-1所示的步驟S232中的錯誤通知處理。
另一方面,作為步驟S229中的確定結果,在認證成功的情況下,在步驟S229之后執行步驟S315。在步驟S315中,認證處理功能部分12更新圖14所示的服務票單高速緩存(在本實施例中為鍵盤票單高速緩存部分122)。該步驟S315中的具體更新處理的內容與IC卡認證的情況下的步驟S233相似。 在完成該處理之后,在步驟S315之后執行圖16C所示的步驟S316。在步驟S316中,認證處理功能部分12讀取在步驟S302中用戶輸入信息部分124存儲的用戶輸入信息。
隨后,在步驟S317中,認證處理功能部分12將在步驟S316中讀取的用戶輸入信息傳送到LDAP通信操作部分14,以作出針對用戶名的搜索請求。這里,該搜索請求準許從操作部分330進行輸入用戶輸入信息的操作的用戶200使用相關MFP 101。
隨后,在步驟S318中,LDAP通信操作部分14從在步驟S317中從認證處理功能部分12接收的用戶輸入信息中取出用戶名,并將用戶名傳送到LDAP通信操作部分14,作出針對用戶名的搜索請求。 隨后,在步驟S319中,LDAP服務部分42在存儲在管理數據存儲器43中的圖10所示的管理數據(用戶管理信息)中搜索與在步驟S318中從LDAP通信操作部分14接收的 用戶輸入信息中的用戶名相對應的管理數據。 隨后,在步驟S320中,LDAP服務部分42通過網絡105將在步驟S319中對LDAP通
信操作部分14搜索到管理數據(例如用戶名)作為管理數據信息答復給LDAP通信操作部
分14。這時,作為步驟S319中的搜索結果,在不存在相關的管理數據的情況下,將表示不存
在相關管理數據的含義的信息作為管理數據信息答復給LDAP通信操作部分14。 之后,與IC卡認證的情況類似,進行圖13C所示的步驟S239至步驟S241的處理,
之后執行步驟S321。 在步驟S321中,認證處理功能部分12基于在步驟S239中從LDAP通信操作部分14 接收的管理數據(例如用戶名)生成并設置圖11所示的MFP登錄用戶信息。該步驟S321 中的處理的具體內容與IC卡認證的情況下的步驟S245相似。 之后,與IC卡認證的情況相似,進行圖13C所示的步驟S246和步驟S247中的處理。 通過上述圖16A至圖16C所示的流程圖的處理,進行本實施例的認證系統100中 的鍵盤認證。 這里,在圖16A至圖16C所示的鍵盤認證中的圖16B-1中的步驟S229中認證成 功的情況下,在該階段,使用用戶輸入信息的認證成功。因此,不進行圖13C中的步驟S242 中的IC認證中的確定。相反,在圖13A至圖13C所示的IC卡認證中的圖13B-1中的步驟 S229中認證成功的情況下,在該階段,僅使用IC卡的卡信息之外的設置信息的認證成功。 因此,之后,在圖13C中的步驟S234和之后的步驟中進行使用卡信息的認證,使得在圖13C 中的步驟S242中確定相關認證的結果。 圖17是描述IC卡票單高速緩存部分121和鍵盤票單高速緩存部分122中的一個 中的服務票單高速緩存處理的示意圖。 具體地,在圖17中,在步驟S315和步驟S233中的一個中的高速緩存更新處理中, 登記并搜索服務票單時的鍵生成處理使用哈希函數對域、用戶名和密碼進行哈希,以獲得 值作為鍵。與相關鍵相關聯地對服務票單進行高速緩存。 圖18是例示IC卡票單高速緩存部分121和鍵盤票單高速緩存部分122中的一個 中的高速緩存方法的示意圖。 例如,在圖14所示的服務票單高速緩存不包括認證使用的服務票單的情況下,如 圖18中的高速緩存方法1801所示,將相關服務票單存儲在頂部(編號1)。將預先存儲的 服務票單存儲在下一個編號中。這里,這時,在圖14所示的服務票單高速緩存達到高速緩 存上限(在圖14所示的示例中是IO個單位)的情況下,如圖18中的高速緩存方法1803 所示,在刪除存儲在末尾(編號10)的服務票單之后,將相關的服務票單存儲在頂部(編號 1)。 另外,例如,在圖14所示的服務票單高速緩存包括認證使用的服務票單的情況 下,如圖18中的高速緩存方法1802所示,將相關的服務票單移動到頂部(編號l)。另外, 在使用圖14所示的服務票單高速緩存中存儲的服務票單的認證失敗的情況下,如圖18中 的高速緩存方法1804所示,將相關的服務票單從服務票單高速緩存中刪除。
如上所述,本實施例的MFP(圖像形成設備)101包括如下面所描述的機構。
卡讀取器(讀取單元)340從相當于認證卡的IC卡讀取相當于用戶識別信息的圖6所示的卡信息。 設置信息部分(登錄信息記憶單元)125存儲用來對卡讀取器340讀取的卡信息
進行認證以登錄到目錄服務器(認證服務器)104的圖7所示的設置信息(第一登錄信息)。
這里,圖7所示的設置信息包括用戶名(用戶標識信息)和密碼的信息。 操作部分(操作單元)330根據用戶200的操作,接受至少包括用戶名(用戶認證
信息)和密碼的圖8所示的用戶輸入信息(第二登錄信息)的輸入操作。 在登錄到目錄服務器104的情況下,Kerberos認證操作部分13利用圖7所示的設
置信息(第一登錄信息)以及圖8所示的用戶輸入信息(第二登錄信息)中的一個,請求
在登錄到目錄服務器104時進行認證所使用的服務票單(認證票單)(圖13B-2和圖16B-2
中的一個中的步驟S219)。請求該服務票單的Kerberos認證操作部分13包含在票單請求
單元中。 LDAP通信操作部分14請求目錄服務器104利用通過Kerberos認證操作部分13的請求而獲得的服務票單進行認證(圖13B-2和圖16B-2中的一個中的步驟S225)。作出該認證請求的LDAP通信操作部分14包含在認證請求單元中。 在通過LDAP通信操作部分14的請求利用針對目錄服務器104的服務票單的認證成功的情況下(圖13B-2和圖16B-1中的一個中的步驟S229中的"是"),認證處理功能部分12請求目錄服務器104利用卡讀取器340讀取的圖6所示的卡信息和圖8所示的用戶輸入信息的用戶名的信息中的一個的信息,搜索圖10所示的管理數據(用戶管理信息)(圖13C中的步驟S235和圖16C中的步驟S317中的一個)。即,認證處理功能部分12請求目錄服務器104進行搜索,以準許IC卡的用戶和進行從操作部分330輸入用戶輸入信息的操作的用戶中的一個使用相關MFP 101。作出該搜索請求的認證處理功能部分12包含在搜索請求單元中。 這種機構使得能夠在進行IC卡認證的情況和進行鍵盤認證的情況兩種情況下,利用存儲用戶的管理數據的一個目錄服務器104來進行認證。也就是說,作為存儲用戶的管理數據的認證服務器的一個目錄服務器104可以使用多個認證方法進行任何認證。由此,管理數據存儲器43可以統一管理用戶信息,并且在不需要安裝其自己的認證服務器的情況下可以實現操作管理成本的降低。在進行IC卡認證的情況下,針對圖7所示的設置信息(第一登錄信息)設置密碼和其它信息。由此,消除了在IC卡中存儲密碼和其它信息的必要性,從而能夠避免關于安全性的問題。通過對認證票單(服務票單)進行高速緩存,以使目錄服務器104側使用該高速緩存的認證票單進行登錄所涉及的認證,與使用MFP進行相關認證的情況相比,可以預期更多地減少認證時間,并且可以避免認證時間增加的出現。使用認證票單(服務票單)進行認證可以建立魯棒(robust)的安全認證環境。
此外,在本實施例的MFP 101中,在利用卡讀取器340讀取的卡信息(用戶識別信息)登錄到相關圖像形成設備的情況下,認證處理功能部分12進行控制,使得將圖7所示的設置信息(第一登錄信息)傳送到作為票單請求單元的Kerberos認證操作部分13 (圖13B-1中的步驟S215)。另一方面,在利用圖8所示的用戶輸入信息(第二登錄信息)登錄到相關圖像形成設備的情況下,認證處理功能部分12進行控制,使得將相關用戶輸入信息傳送到作為票單請求單元的Kerberos認證操作部分13 (圖13B中的步驟S309)。進行該控
23制的認證處理功能部分12包含在認證控制單元中。 此外,本實施例的MFP 101包括用于高速緩存利用圖7所示的設置信息(第一登 錄信息)獲得的服務票單的IC卡票單高速緩存部分(第一票單高速緩存單元)121以及用 于高速緩存利用圖8所示的用戶輸入信息(第二登錄信息)獲得的服務票單的鍵盤票單高 速緩存部分(第二票單高速緩存單元)122。這時,認證處理功能部分12在卡讀取器340 讀取卡信息(用戶識別信息)的情況下,確定IC卡票單高速緩存部分121是否高速緩存了 利用圖7所示的設置信息(第一登錄信息)獲得的認證票單(服務票單)(第一確定)(圖 13B-1中的步驟S214),并且在操作部分330接受了輸入圖8所示的用戶輸入信息(第二登 錄信息)的輸入操作的情況下,確定鍵盤票單高速緩存部分122是否高速緩存了利用相關 用戶輸入信息獲得的認證票單(服務票單)(第二確定)(圖16B-1中的步驟S308)。
在IC卡票單高速緩存部分121和鍵盤票單高速緩存部分122中的一個高速緩存 了請求進行認證的服務票單的情況下,作為認證請求單元的LDAP通信操作部分14請求目 錄服務器104利用相關服務票單進行認證(基于圖13B-1中的步驟S223和步驟S224的步 驟S225以及基于圖16B-1中的步驟S311和步驟S312的步驟S225中的一個)。
這種機構使得能夠多次使用在票單高速緩存部分中一次高速緩存的服務票單。因 此,消除了從目錄服務器104獲得服務票單的必要性,從而可以預期進一步減少認證時間。
此外,在本實施例的MFP 101中,在LDAP通信操作部分14成功請求目錄服務器 104進行認證的情況下(圖13B-1和圖16B-1中的一個中的步驟S229中的"是"),認證處 理功能部分12進行控制,更新高速緩存用于進行相關認證的服務票單的IC卡票單高速緩 存部分121和鍵盤票單高速緩存部分122中的一個的服務票單(圖13B-1中的步驟S233 和圖16B-1中的步驟S315中的一個)。另一方面,在LDAP通信操作部分14請求目錄服務 器104進行認證失敗的情況下(圖13B-1和圖16B-1中的一個中的步驟S229中的"否"), 認證處理功能部分12進行控制,從高速緩存用于進行相關認證的服務票單的IC卡票單高 速緩存部分121和鍵盤票單高速緩存部分122中的一個中,刪除用于進行相關認證的服務 票單(圖13B-1中的步驟S230和圖16B-1中的步驟S313中的一個)。更新和刪除該服務 票單的認證處理功能部分12包含在高速緩存控制單元中。
接下來,描述本實施例的認證系統100的應用示例。 圖19是示出根據本發明的第一實施例的認證系統的應用示例的外觀圖。在圖l和 圖19中,相似的附圖標記表示相同或者類似的設備。即,下面要描述的圖19中的階段(4) 的認證處理進行圖13A至圖13C、圖16A至圖16C和利用下面要描述的第二實施例描述的圖 21A至圖22中的處理。 圖19所示的認證系統(打印系統)除了包括MFP 101、客戶PC 103和目錄服務 器104以外,還包括用于存儲打印數據的打印服務器510以及生成關于各用戶的打印數據 列表的打印管理服務器520。另外,圖19所示的認證系統包括相互可通信地連接MFP 101、 客戶PC 103、目錄服務器104、打印服務器510和打印管理服務器520的網絡105(在圖中 未示出)。 首先,用戶登錄客戶PC 103(階段(l)-l),并向與相關客戶PC 103執行的應用程 序設置為打印目的地的打印機驅動器相對應的邏輯打印機發出打印指令(階段(1)-2)。根 據該打印指令,客戶PC 103的應用程序通過圖形引擎向打印機驅動器發送數據。客戶PC103的打印機驅動器基于通過圖形引擎從相關應用程序接收到的數據生成打印數據。
客戶PC 103將生成的打印數據發送給打印服務器510(階段(2)_1)。打印服務器510將接收到的打印數據存儲到預定存儲位置(階段(2)-2)。這里,例如,采用LPR打印機制,來進行從客戶PC 103到打印服務器510的傳輸。打印服務器510不進行到作為打印機的MFP 101的傳輸,而不管打印數據存儲在上述預定存儲位置。 隨后,打印服務器510從接收自客戶PC 103并且存儲在上述預定存儲位置的打印數據中提取(生成)文獻信息數據(階段(2) -3),并將提取(生成)的相關文獻信息數據發送到打印管理服務器520。打印服務器510使打印管理服務器520利用網絡105上的文件共享機制,將文獻信息數據作為文獻信息文件存儲在打印管理服務器520的預定存儲位置(預先設置的目錄)。 隨后,打印管理服務器520監視上述預定目錄。當打印服務器510將文獻信息文件存儲在相關預定目錄中時,打印管理服務器520分析相關文獻信息文件,以在打印管理服務器520的外部存儲器上建立的文獻信息DB中登記該文獻信息(階段(3)-2)。該文獻信息DB存儲并管理用于指定打印服務器510的打印作業信息的信息(路徑(pass))、輸出用戶名和作業名以及打印管理服務器520管理的作為特有信息的打印數據的時間戳等。
當圖13A至圖13C所示的IC卡認證處理、圖16A至圖16C所示的鍵盤認證處理以及利用下面描述的第二實施例描述的圖21A、圖21B和圖22中的認證處理準許使用相關MFP IOI(階段(4))時,MFP 101向打印管理服務器520發送對打印數據列表的請求(階段(5)_1)。該對打印數據列表的請求包括認證用戶名(用戶ID)。 隨后,打印管理服務器520接收來自MFP 101的對打印數據列表的請求,然后利用包含在對打印數據列表的相關請求中的用戶名(用戶ID)搜索文獻信息DB。打印管理服務器520生成與相關用戶名(用戶ID)相對應的打印數據列表以答復MFP IOI(階段(5)-2)。
MFP 101從打印管理服務器520接收打印數據列表,然后在操作部分330的UI上顯示相關打印數據列表。允許使用MFP 101的用戶200對操作部分330進行操作,以選擇打印數據,從而發出打印指令。然后,MFP 101向打印管理服務器520發送打印所選擇的相關打印數據的請求(輸出指令)(階段(6))。這里,該打印請求包括用戶名(用戶ID)和打印數據的時間戳。 打印管理服務器520接收來自MFP 101的打印打印數據的請求(輸出指令),然后使用用戶名(用戶ID)、打印數據的時間戳作為鍵,在文獻信息DB中搜索進行了相關輸出指令的打印數據的文獻信息。打印管理服務器520從搜索到的文獻信息中識別存儲相關打印數據的打印服務器510,以將相關打印數據的打印指令發送給識別的打印服務器510 (階段(7))。在打印服務器510接收到打印數據時,提供上述時間戳。 打印服務器510接收來自打印管理服務器520的打印指令,然后基于相關打印指令將打印數據發送給發送了打印請求的MFP 101,以使MFP101進行打印處理(LPR打印處
理)(階段(s)-i)。 在LPR打印(階段(S)-l)結束之后,打印服務器510將打印狀態(結果)(關于打印結果的消息)發送給打印管理服務器520(階段(8)_2)。接收到該打印狀態(結果)(關于打印結果的消息)的打印管理服務器520將關于相關打印狀態(結果)(關于打印結果的消息)的信息記憶并保存在其自己的設備的HDD和RAM中的一個中。
另一方面,MFP 101向打印管理服務器520發出輸出指令(階段(6)),之后請求打 印管理服務器520確認打印狀態(階段(9))。以每個恒定時間段,從MFP IOI向打印管理 服務器520請求該打印狀態確認。 打印管理服務器520基于來自MFP 101的打印狀態確認請求(階段(9)),向MFP 101發送(階段(10))記憶并保存在上述HDD和RAM中的一個中的打印狀態(結果)。MFP 101將從打印管理服務器520接收到的打印狀態(結果)記憶并存儲在HDD 304和RAM 302 中的一個中,并在操作部分330上進行顯示。 這里,對于圖19所示的認證系統,還可以應用打印服務器510和打印管理服務器 520包含在一個服務器中的模式。 根據本實施例的認證系統可以在引入相關認證系統時,使用公司已經擁有的目錄 服務器104來運行。因此,不需要僅用于本認證系統的特定認證服務器,從而可以實現操作 管理成本的降低,并且操作管理變得簡單。
(第二實施例) 接下來,描述本發明的第二實施例。 對于下面要描述的第二實施例,利用圖21A至圖25來描述預期在認證系統100中 減少認證時間的處理(或者避免認證時間增加的出現的處理)。這里,用針對第二實施例的 圖21A和圖21B(包括圖22)的處理替換針對第一實施例的圖13C中的處理,由此可實現相 關第二實施例。因此,例如在除圖21A和圖21B(包括圖22)所示的處理之外的處理、認證 系統100的系統機構和硬件機構方面,第二實施例與第一實施例類似。因此,省略其詳細描 述。 圖21A和圖21B是例示根據本發明的第二實施例的認證系統的IC卡認證的處理 過程的流程圖。圖22是例示圖21A和圖21B所示的搜索詳情處理中的詳細處理過程的流 程圖。在圖21A、圖21B和圖22所示的流程圖中,以縱向分開的方式示出在各個圖的上部所 示的用戶200、認證應用程序10的各個功能機構(11至14)和目錄服務器104的處理。這 里,在圖13B-1中的步驟S233之后執行直到步驟S2101的處理,并且直到步驟S2101的處 理與第一實施例相似。因此,省略其描述。 例示了第二實施例包括使用卡信息進行的處理,但是第二實施例可以包括在例如 操作部分330的鍵盤輸入用戶信息時進行的處理。這種情況可以通過利用通過操作部分 330輸入的用戶名替換卡信息來實現。在這種情況下,利用用戶名替換稍后描述的圖23中 的卡ID。這種替換使得能夠在操作部分330的鍵盤輸入用戶信息的情況下,確定是否存在 與輸入用戶信息的用戶名相對應的DN(稍后將描述該DN)。即,在存在DN的情況下,將DN 設置為搜索條件。在不存在DN的情況下,將用戶名和輸入到搜索位置的用戶信息的域名設 置為搜索條件。 圖13B-1中的步驟S233的處理結束。然后,在圖21A中的步驟S2101中,認證處 理功能部分12讀取在步驟S203中存儲在卡信息部分126中的卡信息(卡ID)。該處理與 圖13C中的步驟S234的處理類似。 隨后,在步驟S2102中,認證處理功能部分12確認并確定在圖23所示的DN高速 緩存內部是否存在在步驟S2101中讀取的卡信息。 圖23是例示存在于 圖4中的認證處理功能部分12管理的存儲區域、即圖3中的HDD 304內部的DN高速緩存信息的示意圖。該DN高速緩存保存卡ID和用戶DN的各個信息的組合。卡ID是屬于IC卡的唯一編號,并且例如在圖6中示出。下面描述用戶DN。
圖25是例示圖4中的管理數據存儲器43內部的目錄結構的示意圖。如圖25所示,目錄服務器104以分級結構管理信息。在表示分級結構的各個組成部分的情況下,根據屬性使用不同的名稱。例如,在組成部分是組織的情況下,使用DC(Domain Component (域組成部分))。在組成部分是組織的一個單位的情況下,使用0U(Organization Unit(組織單位))。在組成部分是入口 (entry)(用戶信息)的情況下,使用CN (Common Name (公共名稱))。這些組成部分的類型和數量根據組織而不同,使得能夠沒有限制地進行設計。這里,示出了使用通用組成部分的簡單示例。 在指定組成部分的情況下,使用DN (Distinguished Name (區別名))。該DN例如
通過從后面開始依次排列組成部分名稱并且將名稱以逗號鏈接,來指定相關組成部分所屬
的分級結構內部的位置。該DN在目錄內部是唯一的。S卩,DN是用于在目錄內部唯一識別
特定信息的標識名。這里,該DN是為了搜索用戶而依次指定的搜索位置,其包括用戶信息
(用戶名)。DN還稱為LDAP標識名。 下面,參考圖25描述組成部分2502的DN。 組成部分2502是稱為"OU = divl"的組成部分,并且是從分級結構觀察時緊接在稱為"DC = coml, DC = local"的組成部分2501下面的組成部分。在這種情況下,組成部分2502的DN是"OU = divl, DC = coml, DC = local "。該DN的使用使得能夠在分級結構內部區分組成部分。例如,組成部分2502和組成部分2512具有相同的"OU = divl",并且可以通過使用DN表示,來區分作為"OU = divl, DC = coml, DC = local"禾P"OU = divl,DC = com2, DC = local"的各個組成部分。 每個組成部分可以包括屬性。在利用圖25中的示例進行描述時,屬性2505是組成部分2504的屬性。對于屬性2515、2518、2520和2524,圖25所示的示例僅指定了兩種屬性,然而,實際上,圖25所示的示例包括多個并且是許多個屬性,諸如屬性2505。諸如組成部分2501、組成部分2502和組成部分2503的組成部分可以包括屬性。圖10例示了管理數據。然而,該圖10僅表示省略了圖25中的目錄結構的用戶信息。
通過將DN連接到上述用戶信息的卡ID來獲得圖23所示的DN高速緩存。
對于圖25所示的示例,兩個最高水平的組成部分(具體地是組成部分2501和2511)。這些組成部分可以由單獨的目錄服務器來管理,也可以由同一目錄服務器來管理。然而,同一目錄服務器有時無法根據目錄服務器的應用程序來管理這些組成部分(例如Active Directory(注冊商標))。這里,采用后者的一個目錄服務器一個域的管理方法來進行描述。因此,圖25所示的目錄結構由兩個目錄服務器,即用于管理域2501的目錄服務器和用于管理域2511的目錄服務器,來管理。
現在,回到對圖21A和圖21B的描述。 作為步驟S2102中的確定的結果,在圖23所示的DN高速緩存中不存在在步驟
S2101中讀取的卡信息(卡ID)的情況下,在步驟S2102之后執行步驟S2103。 在步驟S2103中,認證處理功能部分12進行設置搜索信息的處理。這里,由于沒
有針對第一用戶認證存儲卡ID,因此在用戶第一次將IC卡保持在MFP 101上方的情況下執
行該步驟。
27
圖24是例示在MFP 101的認證處理功能部分12中設置的搜索信息的示意圖。
在步驟S2103中,例如,設置圖24所示的搜索信息。具體地,針對圖24所示的搜 索信息的搜索條件2401設置在步驟S2101中讀取的卡信息(卡ID)。在搜索位置2402中 設置域的最高水平的元素。根據存儲在圖5所示的設置信息部分125中的設置信息(圖7 中)獲得設置為搜索位置2402的域的最高水平的元素。由于這里存儲了域,因此將該域轉 換為DN。例如,如果將域設置為"coml. local ",則采用"DC = coml,DC = local "。由于不 知道對應于卡ID的用戶存在于圖25所示的目錄結構內部的哪個位置,因此指定最高水平 的元素和卡ID作為搜索信息。因此,采用指定最高水平的元素并從最高等級開始在屬性中 搜索所有組成部分的過程。 利用圖25來描述這種設置的情況下的搜索的示例。 將"擴展屬性=0123456789"設置為搜索條件。將"DC = coml, DC = local"設 置為搜索位置。在這種設置的情況下,目錄服務器104從組成部分2501開始進行搜索,隨 后以組成部分2502的擴展屬性、組成部分2503的擴展屬性和組成部分2504的擴展屬性的 順序,搜索組成部分2502的擴展屬性、組成部分2503的擴展屬性和組成部分2504的擴展 屬性,以確認各個組成部分的擴展屬性是否與指定的條件一致。在這種情況下,最后建立了 組成部分2504的擴展屬性的對應關系。因此,視為找到了用戶。作為搜索結果返回組成部 分2504及其屬性2505。 也就是說,在認證處理功能部分12在目錄服務器104中進行搜索時,圖24所示的 搜索信息指定在圖25所示的目錄結構中從哪個位置開始進行搜索并且搜索與哪個條件相 對應。 現在,回到對圖21A和圖21B的描述。 當步驟S2103中的處理結束時,隨后在步驟S2104中認證處理功能部分12進行搜 索詳情處理。稍后利用圖22描述該搜索詳情處理的具體處理。在該步驟S2104中,利用在 步驟S2103中設置的搜索信息進行搜索處理。 隨后,在步驟S2105中,認證處理功能部分12確定是否找到了用戶信息。該處理 與圖13C中的步驟S242中的處理類似。 作為步驟S2105中的確定的結果,在找到了用戶信息的情況下,在步驟S2105之后 執行步驟S2117。另一方面,作為確定的結果,在沒有找到用戶信息的情況下,在步驟S2105 之后執行步驟S2121。稍后描述步驟S2117和步驟S2121中的處理。 作為步驟S2102中的確定的結果,在圖23所示的DN高速緩存中存在在步驟S2101
中讀取的卡信息(卡ID)的情況下,在步驟S2102之后執行步驟S2106。 在步驟S2106中,認證處理功能部分12獲得與卡信息(卡ID)相對應的DN。 隨后,在步驟S2107中,認證處理功能部分12進行設置圖24所示的搜索信息的處
理。具體地,將在步驟S2106中獲得的DN設置為圖24所示的搜索條件2401。這時,在搜
索位置2402中不進行設置。由于知道與卡ID相對應的用戶存在于圖25所示的目錄結構
內部的哪個位置,因此將DN直接設置為搜索條件2401。 S卩,在這種情況下,作為搜索條件
2401存儲用戶名和搜索位置兩個信息。 利用圖25描述這種設置的情況下的搜索的示例。 這里,將"CN = userl,OU = d印tl,OU = divl,DC = coml , DC = local "設置為搜索條件。在搜索位置中不進行設置。在這種情況下,目錄服務器104直接對組成部分2504進行訪問。作為搜索結果返回組成部分2504及其屬性2505。
現在,回到對圖21A和圖21B的描述。 當步驟S2107中的處理結束時,隨后在步驟S2108中認證處理功能部分12進行搜索詳情處理。稍后,利用圖22來描述該搜索詳情處理的具體處理。在該步驟S2110中,利用在步驟S2107中設置的搜索信息,進行搜索處理。 隨后,在步驟S2109中,認證處理功能部分12確定是否找到了用戶信息。該處理與圖13C中的步驟S242中的處理類似。 作為步驟S2109中的確定的結果,在找到用戶信息的情況下,在步驟S2109之后執行步驟S2110。 在步驟S2110中,認證處理功能部分12確定卡信息(卡ID)是否正確。具體地,基于在步驟S2101中讀取的卡信息(卡ID)是否對應于用于在步驟S2109中找到的用戶信息的卡搜索的屬性(例如圖10所示的擴展屬性),來確定卡信息(卡ID)是否正確。該處理用來防止在用戶的卡ID從前一次高速緩存的時間改變的情況下獲得不同用戶的信息。
作為步驟S2110中的確定的結果,在卡信息(卡ID)正確的情況下(即在卡信息(卡ID)對應于用于用戶信息的卡搜索的屬性的情況下),在步驟S2110之后執行步驟S2117。稍后描述該步驟S2117中的處理。 另一方面,作為步驟S2110中的確定的結果,在卡信息(卡ID)不正確的情況下(即在卡信息(卡ID)不與用于用戶信息的卡搜索的屬性相對應的情況下),在步驟S2110之后執行步驟S2111。 S卩,在作為步驟S2110中的確定的結果、卡信息(卡ID)不正確的情況和作為步驟S2109中的確定的結果、沒有找到用戶的情況中的一種情況下,分別在步驟S2110和步驟S2109中的一個之后執行步驟S2111。在步驟S2109中,設想的沒有找到用戶的情況例如是從前一次高速緩存的時間、登記用戶的位置改變和刪除用戶中的一個。
在步驟S2111中,認證處理功能部分12從圖23所示的DN高速緩存中刪除登記的DN高速緩存。相關記錄是與在步驟S2101中獲得的卡信息(卡ID)相對應的記錄。
隨后,在步驟S2112中,認證處理功能部分12確定是否存在更高級別。具體地,關于在步驟S2106中獲得(設置)的DN確定更高級別的組成部分的存在。例如,在目錄服務器104中,在作為圖25所示的目錄結構DN表示組成部分2507的情況下,組成部分2516屬于比組成部分2517所屬的級別更高的級別。在這種情況下,確定存在更高級別。例如,在DN表示的組成部分是組成部分2511的情況下,沒有組成部分屬于比組成部分2511所屬的級別更高的級別。在這種情況下,確定不存在更高級別。 作為步驟S2112中的確定的結果,在不存在更高級別的情況下,在步驟S2112之后執行步驟S2121。稍后描述該步驟S2121中的處理。 另一方面,作為確定的結果,在存在更高級別的情況下,在步驟S2112之后執行步驟S2113。 在步驟S2113中,認證處理功能部分12執行獲得更高級別的DN的處理。例如,在DN表示組成部分2517 "CN = user3, OU = d印t2, OU = divl, DC = com2, DC = local"的情況下,執行獲得組成部分2516 "OU = d印t2, OU = divl, DC = com2, DC = local"的DN的處理。 隨后,在步驟S2114中,認證處理功能部分12執行設置圖24所示的搜索信息的處理。具體地,將在步驟S2101中讀取的卡信息(卡ID)設置為圖24所示的搜索條件2401。將在步驟S2113中獲得的更高級別的DN設置為搜索位置2402。依次設置更高級別的DN,以在先前高速緩存的DN附近進行搜索。當在高速緩存的DN中沒有找到用戶信息時,用戶信息在相同級別內部或者到鄰近級別地頻繁移動。因此,為了從前一次的位置開始從附近的位置開始進行搜索,將更高級別的DN設置為搜索位置2402。
利用圖25來描述這種設置的情況下的搜索的示例。 將"擴展屬性=444444444"設置為搜索條件。將"0U = d印t2, 0U = divl, DC =com2, DC = local "設置為搜索位置。在這種設置的情況下,目錄服務器104對組成部分2516進行訪問。目錄服務器104開始依次分別搜索包含在組成部分2516中的組成部分。在這種情況下,最后與組成部分2519建立對應關系。因此,作為搜索結果返回組成部分2519及其屬性2520。 現在,回到對圖21A和圖21B的描述。 當步驟S2114中的處理結束時,隨后在步驟S2115中認證處理功能部分12執行搜索詳情處理。稍后利用圖22描述該搜索詳情處理的具體處理。在該步驟S2115中,利用在步驟S2114中設置的搜索信息執行搜索處理。 隨后,在步驟S2116中,認證處理功能部分12確定是否找到了用戶信息。該處理與圖13C中的步驟S242中的處理類似。 作為該步驟S2116中的確定的結果,在沒有找到用戶信息的情況下,再次回到步驟S2112,對更高級別的DN執行搜索處理。 另一方面,作為確定的結果,在找到了用戶信息的情況下,在步驟S2116之后執行步驟S2117。 S卩,在步驟S2116確定找到了用戶信息的情況、步驟S2110確定卡信息(卡ID)正確的情況以及步驟S2105確定找到了用戶信息的情況中的一種情況下,分別在步驟S2116、步驟S2110和步驟S2105中的一個之后執行步驟S2117。 在步驟S2117中,認證處理功能部分12執行高速緩存DN的處理。具體地,為了將卡信息(卡ID)連接到找到的用戶DN(在稍后描述的圖22中的步驟S2203中的搜索處理中搜索到的管理數據的DN),將各個信息存儲在圖23所示的DN高速緩存中。在已經登記了相同的卡ID的情況下,覆蓋其用戶DN。 隨后,在步驟S2118中,認證處理功能部分12執行設置MFP登錄用戶信息的處理。該處理與圖13C中的步驟S245中的處理類似。 隨后,在步驟S2119中,認證處理功能部分12執行MFP登錄處理。該處理與圖13C中的步驟S246中的處理類似。 隨后,將在步驟S2118中設置的MFP登錄用戶信息傳送到MFP 101。 MFP登錄用戶信息包括例如如圖11所示的用戶名、顯示名、域、郵箱和權限。接收到該信息的MFP 101的操作系統取消操作禁止設置,從而允許MFP 101工作。該取消使得圖5中的操作部分330能夠操作。 隨后,在步驟S2120中,響應于操作禁止設置的取消,認證處理功能部分12切換畫面,并且例如使得顯示圖15所示的MFP使用畫面1520。該處理與圖13C中的步驟S247中的處理類似。 這里,還可以使得圖15所示的MFP使用畫面1520嵌入并顯示登錄用戶的用戶ID,以指示登錄的用戶。還可以使用登錄用戶的用戶名用于打印和復印的日志,使用登錄用戶的郵箱地址信息用于傳送掃描數據,并且使用登錄用戶的權限用于限制MFP的使用的功能。 在作為步驟S2105中的確定的結果、沒有找到用戶信息的情況以及作為步驟S2112中的確定的結果、不存在更高級別的情況中的一種情況下,分別在步驟S2105和步驟S2112中的一個之后執行步驟S2121。 在步驟S2121中,認證處理功能部分12確定是否對所有域進行了搜索。該處理與圖13C中的步驟S243中的處理類似。具體地,可以針對設置信息,設置多個域信息,因此確定是否對圖7所示的設置信息的所有域進行了搜索。在一個目錄服務器中不存在用戶信息的情況下,該處理使得能夠對下一個目錄服務器進行搜索。例如,在針對一個目錄服務器管理一個域的情況下,該處理使得能夠連續對多個域進行搜索。 作為步驟S2121中的確定的結果,在沒有對所有域進行搜索的情況下(即在還未對一些域進行搜索的情況下),在步驟S2121之后執行圖13A中的步驟S204。
另一方面,作為確定的結果,在對所有域進行了搜索的情況下,在步驟S2121之后執行步驟S2122。 在步驟S2122中,認證處理功能部分12進行錯誤通知處理。該處理與圖13C中的步驟S244中的處理類似。 當步驟S2120和步驟S2122中的一個中的處理結束時,本實施例的認證系統100中的IC卡認證結束。 接下來,利用圖22中的流程圖來描述在步驟S2104、步驟S2108和圖21B中的步
驟S2115中執行的搜索詳情處理。圖21A和圖21B示出了僅在認證處理功能部分12中執
行搜索詳情處理。然而,進一步詳細來說,如圖22所示,除了在認證處理功能部分12中之
外,還在LDAP通信操作部分14和LDAP服務部分42中執行該搜索詳情處理。 首先,在步驟S2201中,認證處理功能部分12將設置的搜索信息(圖24)傳送給
LDAP通信操作部分14,以作出搜索請求。該搜索請求準許IC卡的用戶200使用相關MFP
101。 隨后,在步驟S2202中,LDAP通信操作部分14將在步驟S2201中從認證處理功能部分12接收的搜索信息傳送(發送)給LDAP服務部分42,以作出搜索請求。該處理與圖13C中的步驟S236中的處理類似。 隨后,在步驟S2203中,LDAP服務部分42在存儲在管理數據存儲器43中的圖25所示的目錄結構中,利用與圖24所示的搜索信息的搜索條件2401相對應的組成部分作為搜索位置的開始點,進行搜索。該處理與圖13C中的步驟S237中的處理類似。如上所述,圖10所示的管理數據包括簡略地表示的圖25所示的目錄結構。因此,圖13C中的步驟S237中使用圖IO所示的管理數據。然而,在圖21A和圖21B中的步驟S2103、步驟S2107和步驟S2114等中,使用搜索位置的概念。因此,使用圖25所示的目錄結構。圖25在結構上比圖IO更詳細。
隨后,在步驟S2204中,LDAP服務部分42通過網絡105將在步驟S2203中搜索到的管理數據(圖10)作為管理數據信息答復給LDAP通信操作部分14。這時,作為步驟S2203中的搜索結果,在不存在相關管理數據的情況下,將表示不存在相關管理數據的含義的信息作為管理數據信息答復給LDAP通信操作部分14。該處理與圖13C中的步驟S238中的處理類似。 隨后,在步驟S2205中,LDAP通信操作部分14將從LDAP服務部分42發送的管理數據信息傳送給認證處理功能部分12。該處理與圖13C中的步驟S239中的處理類似。
隨后,在步驟S2206中,認證處理功能部分12向LDAP通信操作部分14作出通信斷開請求。該處理與圖13C中的步驟S240中的處理類似。 隨后,在步驟S2207中,LDAP通信操作部分14斷開與LDAP服務部分42的連接。該處理與圖13C中的步驟S241中的處理類似。 經過圖22中的步驟S2201至步驟S2207中的處理,執行了圖21A和圖21B所示的搜索詳情處理(步驟S2104、步驟S2108和步驟S2115)。 如上所述,本實施例的MFP(圖像形成設備)101包括如下面描述的機構。
認證處理功能部分12獲得用于在目錄服務器104內部(在認證服務器內部)的圖IO所示的管理數據(用戶管理信息)中,搜索圖6所示的卡信息(用戶識別信息)和圖8所示的用戶輸入信息(第二登錄信息)中的一個的用戶標識信息的搜索位置(圖21A中的步驟S2103和步驟S2107等)。執行該獲得搜索位置的處理的認證處理功能部分12包含在搜索位置獲得單元中。 認證處理功能部分12將相關搜索位置以及圖6所示的卡信息(用戶識別信息)和圖8所示的用戶輸入信息(第二登錄信息)中的一個的用戶標識信息發送給目錄服務器104,以作出搜索請求(圖22)。 這種機構使得能夠減少認證時間(即避免認證時間增加的出現)。
利用使用IC卡進行IC卡認證作為前提,描述了上述第一和第二實施例。然而,代替IC卡認證,例如可以采用指紋認證,以使用用戶識別信息來識別用戶。在這種情況下,代替例如圖3中的卡讀取器340,可以通過應用讀取用戶200的指紋的指紋讀取器,來實現上述第一和第二實施例中的認證處理。這時,指紋讀取器根據讀取的指紋的圖案(relief)生成指紋圖像來提取特征點。與卡ID類似地使用該提取的特征點的信息來進行認證。艮卩,采用登記用戶200的指紋的特征點信息作為圖25中的屬性2505中的擴展屬性和圖10中的擴展屬性中的一個的模式。這里,以指紋認證為例說明了作為IC卡認證的替選認證的認證。然而,諸如聲紋認證、虹膜認證和使用靜脈血色素的反射光的掌紋認證的生物測量認證也可以應用于該模式。即,本發明不限于對用戶200的認證的形式。 上述第一和第二實施例包括執行認證服務部分411的處理(S217、S218)和票單準許服務部分412的處理(S220、S221)的目錄服務器104 (認證服務器),然而,上述第一和第二實施例可以包括另一服務器(認證票單管理服務器)來執行處理。在這種情況下,步驟S216、步驟S219和步驟S310向另一服務器(認證票單管理服務器)作出請求。
通過CPU 301執行存儲在ROM 303和HDD 304中的一個中的程序,來實現根據上述第一和第二實施例的包含在MFP(圖像形成設備)lOl中的圖5所示的各個功能部分以及示出相關MFP 101中的認證方法的圖13A至圖13C、圖16A至圖16C、圖21A和圖21B以及
32圖22中的各個步驟。本發明包括記錄有該程序和相關程序的計算機可讀存儲介質。
具體地,通過將上述程序記錄在諸如CD-ROM的存儲介質或者通過各種類型的傳輸介質,向計算機提供上述程序。除了 CD-ROM之外,可以使用例如軟盤、硬盤、磁帶、磁光盤和非易失性存儲卡作為記錄上述程序的存儲介質。另一方面,可以使用作為載體傳播和提供程序信息的計算機網絡(諸如LAN、例如因特網的WAN和無線通信網絡)系統中的通信介質,作為上述程序的傳輸介質。這時的通信介質包括例如諸如光纖的有線線路和無線線路。
本發明不限于通過計算機執行提供的程序來實現根據第一和第二實施例的MFP101的功能的這種模式。在程序與在計算機上運行的OS(操作系統)和其它應用軟件中的一個協作來實現根據第一和第二實施例的MFP101的功能的情況下,本發明包括這些程序。此外,在利用計算機的功能增強板和功能增強單元執行所提供的程序的全部或部分處理來實現根據第一和第二實施例的MFP 101的功能的情況下,本發明也包括這些程序。
上述這些實施例中的任何一個僅例示了實現本發明的實施例。不應當以限制的方式來解釋本發明的技術范圍。g卩,可以以各種形式實現本發明,而不脫離其技術思想和主要特征中的一個。 雖然參照示例性實施例描述了本發明,但是應當理解,本發明不限于公開的示例性實施例。所附權利要求的范圍符合最寬的解釋,以覆蓋所有這種變型、等同結構和功能。
本申請要求2007年9月18日提交的日本專利申請第2007-241391號和2008年7月31日提交的日本專利申請第2008-198164號 優先權,其全部內容通過引用包含于此。
權利要求
一種圖像形成設備,其以能夠通信的方式連接到認證服務器,所述認證服務器存儲針對用戶至少包括用戶識別信息和用戶標識信息的用戶管理信息,所述圖像形成設備包括讀取單元,其被配置為讀取用于識別用戶的用戶識別信息;登錄信息記憶單元,其被配置為存儲第一登錄信息,所述第一登錄信息至少包括用于登錄到所述認證服務器的公共用戶標識信息和密碼,所述第一登錄信息用來對所述讀取單元讀取的所述用戶識別信息進行認證;操作單元,其被配置為根據用戶進行的操作接受對第二登錄信息的輸入操作,所述第二登錄信息至少包括用戶標識信息和密碼;票單請求單元,其被配置為在登錄到所述認證服務器的情況下,利用所述第一登錄信息和所述第二登錄信息中的一個,請求用來在登錄到所述認證服務器時進行認證的認證票單;認證請求單元,其被配置為請求所述認證服務器,利用通過所述票單請求單元的請求而獲得的認證票單進行認證;以及搜索請求單元,其被配置為在通過所述認證請求單元的請求而由所述認證服務器利用所述認證票單進行的認證成功的情況下,請求所述認證服務器搜索為了搜索所述用戶管理信息而由所述讀取單元讀取的用戶識別信息,以及所述第二登錄信息的用戶標識信息中的一個的用戶標識信息。
2. 根據權利要求1所述的圖像形成設備,所述圖像形成設備還包括認證控制單元,所述認證控制單元被配置為進行控制,使得在利用所述讀取單元讀取的用戶識別信息登錄到相關圖像形成設備的情況下,將所述第一登錄信息傳送給所述票單請求單元;而在利用所述第二登錄信息登錄到相關圖像形成設備的情況下,將所述第二登錄信息傳送給所述票單請求單元。
3. 根據權利要求1所述的圖像形成設備,所述圖像形成設備還包括第一票單高速緩存單元,其被配置為高速緩存利用所述第一登錄信息獲得的認證票單;第二票單高速緩存單元,其被配置為高速緩存利用所述第二登錄信息獲得的認證票單;第一確定單元,其被配置為在所述讀取單元讀取用戶識別信息的情況下,確定是否在所述第一票單高速緩存單元中高速緩存了利用所述第一登錄信息獲得的認證票單;第二確定單元,其被配置為在所述操作單元接受對所述第二登錄信息的輸入操作的情況下,確定是否在所述第二票單高速緩存單元中高速緩存了利用所述第二登錄信息獲得的認證票單,其中,在利用所述第一確定單元和所述第二確定單元中的一個,高速緩存了所述認證票單的情況下,所述認證請求單元請求所述認證服務器,利用所高速緩存的認證票單進行認證。
4. 根據權利要求3所述的圖像形成設備,所述圖像形成設備還包括高速緩存控制單元,所述高速緩存控制單元被配置為在所述認證請求單元請求所述認證服務器進行的認證成功的情況下,進行控制以更新高速緩存用來進行相關認證的認證票單的所述第一票單高速緩存單元和所述第二票單高速緩存單元中的一個的認證票單;而在所述認證請求單元請求所述認證服務器進行的認證不成功的情況下,進行控制以從高速緩存用來進行相關認證的認證票單的所述第一票單高速緩存單元和所述第二票單高速緩存單元中的一個中刪除用來進行相關認證的所述認證票單。
5. 根據權利要求3所述的圖像形成設備,其中多個所述認證服務器以能夠通信的方式連接到所述圖像形成設備;針對所述認證服務器所屬的各個域準備所述第一登錄信息;以及針對所述域中的各個在所述第一票單高速緩存單元中高速緩存認證票單,并且針對各個用戶在所述第二票單高速緩存單元中高速緩存認證票單。
6. 根據權利要求1所述的圖像形成設備,所述圖像形成設備還包括搜索位置獲得單元,其被配置為獲得搜索所述認證服務器內部的所述用戶管理信息中的所述用戶識別信息和所述第二登錄信息的用戶標識信息中的一個的搜索位置,其中,所述搜索請求單元將所述搜索位置以及所述用戶識別信息和所述第二登錄信息的用戶標識信息中的一個發送給所述認證服務器,從而請求進行所述搜索。
7. 根據權利要求1所述的圖像形成設備,其中,所述票單請求單元向所述認證服務器和用于發出所述認證票單的認證票單管理服務器中的一個請求所述認證票單。
8. —種認證系統,所述認證系統包括認證服務器,其存儲針對用戶至少包括用戶識別信息和用戶標識信息的用戶管理信息;圖像形成設備,其以能夠通信的方式連接到所述認證服務器;打印服務器,用于存儲打印數據;以及打印管理服務器,用于針對各用戶生成打印數據列表,其中,所述圖像形成設備包括讀取單元,其被配置為讀取用于識別用戶的用戶識別信息;登錄信息記憶單元,其被配置為存儲第一登錄信息,所述第一登錄信息至少包括用于登錄到所述認證服務器的公共用戶標識信息和密碼,所述第一登錄信息用來對所述讀取單元讀取的所述用戶識別信息進行認證;操作單元,其被配置為根據用戶進行的操作接受對第二登錄信息的輸入操作,所述第二登錄信息至少包括用戶標識信息和密碼;票單請求單元,其被配置為在登錄到所述認證服務器的情況下,利用所述第一登錄信息和所述第二登錄信息中的一個,請求用來在登錄到所述認證服務器時進行認證的認證票單;認證請求單元,其被配置為請求所述認證服務器,利用通過所述票單請求單元的請求而獲得的認證票單進行認證;以及搜索請求單元,其被配置為在通過所述認證請求單元的請求而由所述認證服務器利用所述認證票單進行的認證成功的情況下,請求所述認證服務器搜索為了搜索所述用戶管理信息而由所述讀取單元讀取的用戶識別信息,以及所述第二登錄信息的用戶標識信息中的一個的用戶標識信息,并且其中,在對存儲在所述打印服務器中的打印數據執行打印處理時,所述打印管理服務器向所述圖像形成設備輸出所述認證服務器中的允許使用所述圖像形成設備的用戶的打印數據列表。
9. 根據權利要求8所述的認證系統,其中,所述圖像形成設備從所述打印服務器獲得從所述打印數據列表中選擇的打印數據,以對所獲得的打印數據執行打印處理。
10. —種圖像形成設備中的認證方法,所述圖像形成設備以能夠通信的方式連接到認證服務器,所述認證服務器存儲針對用戶至少包括用戶識別信息和用戶標識信息的用戶管理信息,所述認證方法包括以下步驟利用讀取單元讀取用于識別用戶的用戶識別信息;存儲第一登錄信息,所述第一登錄信息用來對所述讀取步驟讀取的所述用戶識別信息進行認證,所述第一登錄信息至少包括用于登錄到所述認證服務器的公共用戶標識信息和密碼;根據用戶對操作單元的操作,輸入第二登錄信息,所述第二登錄信息至少包括用戶標識信息和密碼;在登錄到所述認證服務器的情況下,利用所述第一登錄信息和所述第二登錄信息中的一個,請求用來在登錄到所述認證服務器時進行認證的認證票單;請求所述認證服務器,利用通過所述票單請求步驟作出的請求而獲得的認證票單進行認證;以及在通過所述認證請求步驟的請求而由所述認證服務器利用所述認證票單進行的認證成功的情況下,請求所述認證服務器搜索為了搜索所述用戶管理信息而由所述讀取步驟讀取的用戶識別信息,以及所述第二登錄信息的用戶標識信息中的一個。
11. 一種計算機可讀存儲介質,其存儲用于使計算機執行根據權利要求io所述的認證方法的程序。
全文摘要
本發明使得能夠使用用于存儲用戶的管理數據的認證服務器針對多個認證方法進行任何認證。本發明在登錄到目錄服務器的情況下,使用利用IC卡進行登錄的設置信息和來自操作單元的用戶輸入信息中的一個;從Kerberos認證操作部分向目錄服務器請求服務票單;從LDAP通信操作部分向目錄服務器請求利用通過相關請求而獲得的服務票單進行認證;并且在通過相關請求向目錄服務器的認證成功的情況下,從認證處理功能部分向目錄服務器,請求利用卡讀取器讀取的卡信息和用戶輸入信息的用戶名中的一個,進行準許用戶使用相關MFP的搜索。
文檔編號B41J29/38GK101779212SQ200880021
公開日2010年7月14日 申請日期2008年9月18日 優先權日2007年9月18日
發明者橋本纮 申請人:佳能株式會社