信息處理裝置及其控制方法

信息處理裝置及其控制方法
【專利摘要】本發明提供一種信息處理裝置及其控制方法。所述信息處理裝置能夠根據多個協議中的協議來接收認證請求。所述信息處理裝置存儲針對各用戶的用戶標識和密碼以及針對各協議的計算方法，并且在所述裝置根據所述多個協議中的協議從遠程計算機接收包括認證數據的認證請求的情況下，所述裝置獲得存儲的與所述認證請求中包括的所述認證數據相對應的密碼，獲得存儲的與所述協議相對應的計算方法，根據所獲得的計算方法將所獲得的密碼轉換為哈希，以及使用所述哈希來驗證所述認證數據。
【專利說明】信息處理裝置及其控制方法

【技術領域】
[0001]本發明涉及一種信息處理裝置及其控制方法。

【背景技術】
[0002]已知多功能外圍設備(皿111:1 ^111101:1011 1)61*11)1161^1，班7?)具有諸如用于掃描、打印以及通信的功能。班在主體上配備有操作面板，用戶可以通過操作該操作面板來使用I？？的復印功能、掃描功能等。另外，近年來，配備有諸如用于文件共享服務器、166服務器等的功能，網絡上的終端能夠利用諸如服務器信息塊(361^61 16888^6 8100^, 318)、超文本傳輸協議？1~01:00017肌了?)等通信協議來訪問1？？的服務器功能。另外，班7?配備有管理信息庫(此的陰郵社111？01~11181:1011 8^186，118)，網絡上的終端能夠利用被稱為網絡設備管理協議的3匪？ 乂3 (針對簡單網絡管理協議的第3版本061*8101130？1:116 31即16 ^6切01^ 18118^61116111: ？1~01:0001，3匪？ ^3)的 14 (基于用戶的安全模型(1)861-)3886(1 860111~11:7 10(161, 1181)))來訪問 1？？的 118。
[0003]此外，近年來，I？？配備有用于識別使用即？的用戶的用戶認證機制。通常，在單個1？？配設有多種功能、通信協議等的情況下，I？？被配設有與各功能、通信協議等相對應的多種用戶認證機制。例如，存在針對操作面板、針對網絡服務器、針對文件共享服務器和針對3匪？ ^3的用戶認證機制各不相同的情況。
[0004]在單個班^以這種方式配備有多種用戶認證機制的情況下，存在下面的協調認證機制的技術。已知用于將主要用于針對操作面板的認證的用戶信息與由3匪？ ^3的…1管理的用戶信息進行關聯和同步的方法(例如，日本特開第2006-195755號公報)。
[0005]此外，近年來，認為與諸如個人計算機的網絡終端類似的安全性對于班^是必要的。為此，出現了配備有與密碼策略(密碼有效期、密碼復雜度、鎖定的設置/控制)、認證日志(認證成功/失敗的日志記錄)等相對應的用戶認證機制的班
[0006]在多種用戶認證機制存在于單個設備中的情況下，存在下面的問題。
[0007]-存在針對各用戶認證機制登記了同一用戶的賬戶，并且管理用戶信息是麻煩的情況。為了使相同的賬戶能夠用在多種用戶認證機制且不會給用戶帶來負擔，如同日本特開第2006-195755號公報中所述的發明，在用于執行用戶認證的機制之間進行協作變得必要。
[0008]-從安全的角度來看，支持密碼策略、認證日志等的用戶認證機制與不支持密碼策略、認證日志等的用戶認證機制被混和在單個設備上不是優選的。為此，為了對多種用戶認證機制提供等同的安全功能，存在制造設備的供應商必須承受開發成本的問題。
[0009]在多種用戶認證機制存在于單個設備中的情況下，由于上述問題，在通信協議、功能等不同的情況下，使用單個用戶認證機制的配置通常是有利的。然而，各種通信協議的各用戶認證方法中的規范不同，通過單個用戶認證機制支持針對所有通信協議的用戶認證相關的處理是困難的。例如，由于在3匪？ V〗的舊1中定義的模式不僅利用用戶的密碼執行用戶認證，還使用基于密碼生成的密鑰來執行加密處理、簽名丨偽造檢測處理等，因此這種處理是復雜的。
[0010]另外，對于由RFC定義的和公知的協議，通常已公開實現該協議的軟件模塊或源代碼。為此，實現服務器的供應商能夠使用現有的軟件模塊或源代碼等。然而，制造設備的供應商將現有軟件模塊和針對各協議而不同的源代碼替換為對于設備的所有部分而言具有共同的用戶認證的用戶認證機制，將會花費非常大量的勞動和很多工時。另外，在協議中未定義關于密碼策略檢查、密碼改變和認證日志記錄的規范的情況下，現有已公布的軟件模塊和源代碼也不具有這些功能。因此，制造設備的供應商必須在現有的軟件模塊和源代碼中增加/實現諸如密碼策略檢查、密碼改變和認證日志記錄的功能，這存在花費非常大量的勞動和很多工時的問題。


【發明內容】

[0011]本發明的一個方面在于消除使用上述傳統技術的問題。
[0012]本發明的特征在于提供一種能夠使與用戶認證相關的管理一體化的技術。
[0013]本發明的第一方面提供了一種信息處理裝置，其能夠根據多個協議中的協議來接收認證請求，所述信息處理裝置包括:存儲單元，其被配置為存儲針對各用戶的用戶標識和密碼以及針對各協議的計算方法；接收單元，其被配置為根據所述多個協議中的協議從遠程計算機接收認證請求，所述認證請求包括認證數據；
[0014]控制單元，其被配置為:
[0015](i)從所述存儲單元獲得與所述認證請求中包括的所述認證數據相對應的密碼；
[0016](ii)從所述存儲單元獲得與所述協議相對應的計算方法；
[0017](iii)根據所獲得的計算方法，將所獲得的密碼轉換為哈希；以及
[0018](iv)使用所述哈希來驗證所述認證數據。
[0019]本發明的第二方面提供了一種信息處理裝置的控制方法，所述信息處理裝置能夠根據多個協議中的協議來接收認證請求，所述控制方法包括:存儲步驟，將針對各用戶的用戶標識和密碼以及針對各協議的計算方法存儲到存儲器中；接收步驟，根據所述多個協議中的協議，從遠程計算機接收認證請求，所述認證請求包括認證數據；控制步驟:
[0020](i)從所述存儲器獲得與所述認證請求中包括的所述認證數據相對應的密碼；
[0021](ii)從所述存儲器中獲得與所述協議相對應的計算方法；
[0022](iii)根據所獲得的計算方法，將所獲得的密碼轉換為哈希；以及
[0023](iv)使用所述哈希來驗證所述認證數據。
[0024]根據以下參照附圖對示例性實施例的描述，本發明的其他特征將變得清楚。

【專利附圖】

【附圖說明】
[0025]包含在說明書中的且構成說明書一部分的附圖示出了本發明的實施例，并與文字描述一起用于說明本發明的原理。
[0026]圖1描繪了示出根據本發明的第一實施例的網絡配置的簡化圖。
[0027]圖2是用于示出根據第一實施例的MFP的硬件配置的框圖。
[0028]圖3是用于說明根據第一實施例的MFP和PC的軟件以及軟件管理的數據的配置的框圖。
[0029]圖4A至圖4D描繪了用于示出根據第一實施例的在控制臺單元上顯示本地Π的用戶界面的示例的圖。
[0030]圖5A至圖5F描繪了用于說明設置用戶界面的圖。
[0031]圖6描繪了用于示出根據第一實施例的用戶數據庫的數據結構的示例的圖。
[0032]圖7A至圖7C描繪了用于示出根據第一實施例的用戶認證系統具有的API的示例的圖。
[0033]圖8描繪了用于示出根據第一實施例的認證處理表的內容的示例的圖。
[0034]圖9是用于描述根據第一實施例當在MFP中調用圖7A的API時的用戶認證系統的操作的流程圖。
[0035]圖1OA至圖1OD描繪了用于示出根據第一實施例當MFP與數據流一起執行用戶認證時的軟件模塊的關系的圖。
[0036]圖11描繪了用于示出根據本發明的第二實施例用戶認證系統被構造為認證服務器的系統配置的示例的圖。
[0037]圖12是用于示出根據第二實施例的MFP和認證服務器的軟件配置的框圖。

【具體實施方式】
[0038]現在將參照附圖在下文中詳細描述本發明的實施例。應當理解，下面的實施例并不旨在限制本發明的權利要求的范圍，針對根據下面實施例描述的方面的所有組合并不都是根據本發明的解決問題的手段所必須的。
[0039]圖1描繪了示出根據本發明第一實施例的網絡的配置的簡化圖。
[0040]作為根據本發明的信息處理裝置的示例的MFP 101和個人計算機(PC) 102連接到網絡(LAN) 100。MFP 101和PC 102能夠經由LAN100執行相互通信。這里，MFP 101是配備有諸如用于掃描、打印和通信的多種功能的多功能外圍設備。
[0041]圖2是用于示出根據第一實施例的MFP 101的硬件配置的框圖。
[0042]包括CPU 201的控制單元200控制MFP 101的整體操作。CPU 201根據ROM 202中存儲的引導程序，將安裝在HDD 204中的操作系統(OS)、控制程序等展開到RAM 203中，MFP 101在執行這些程序的CPU 201的控制下進行操作。RAM 203被用作CPU 201的臨時存儲區域(例如主存儲器、工作區等)。HDD 204存儲圖像數據、各種程序等。控制臺單元接口 205連接控制臺單元209和控制單元200。控制臺單元209配備有作為觸摸屏幕操作的顯示單元。打印機接口 206連接打印機單元210和控制單元200。將由打印機單元210打印的圖像數據經由打印接口 206從控制單元200傳送到打印機單元210，并且通過打印機單元210將該圖像數據打印在諸如片材的記錄介質上。掃描器接口 207連接掃描器單元211和控制單元200。掃描器單元211通過掃描原稿上的圖像生成圖像數據，并將該圖像數據經由掃描器接口 207提供給控制單元200。網絡接口 208將控制單元200 (MFP 101)連接到LAN 100。網絡接口 208將圖像數據、信息等發送到與LAN 100連接的外部裝置(例如網絡服務器等)，并從LAN 100上的外部裝置接收各種信息。
[0043]請注意，由于通過公知的通用計算機的硬件配置來構成PC 102，因此省略對PC102的配置的說明。
[0044]圖3是用于說明根據第一實施例的MFP 101和PC 102的軟件配置以及軟件管理的數據的配置的框圖。請注意，圖3的箭頭符號代表在主用例中針對功能的調用方和調用目標。下面給出了針對軟件功能和軟件管理的數據的說明。
[0045]MFP 101的軟件作為程序被存儲在MFP 101的HDD 204中，通過將該程序展開到RAM 203中、CPU 201執行該程序來實現下文說明的功能。
[0046]本地UI (用戶界面)301在控制臺單元209上顯示用戶可操作的用戶界面，并向用戶提供MFP 101具有的功能。
[0047]圖4A至圖4D描繪了用于示出根據第一實施例的本地UI在控制臺209上顯示的用戶界面的示例的圖。
[0048]例如，圖4A描繪了用于示出用于對使用控制臺單元209的用戶進行認證的用戶認證畫面的示例的圖。圖4B表示用于請求在圖4A的用戶認證畫面上認證的用戶改變密碼的改變密碼畫面的示例。圖4C表示示出向使用控制臺單元209的用戶提供的功能的功能列表的菜單畫面的示例。圖4D表示用于使用MFP 101的箱(box)功能的用戶界面畫面的示例。例如，用戶能夠通過使用圖4D的用戶界面畫面將從掃描器單元211獲得的圖像數據作為電子文檔保存到HDD 204。或者，用戶能夠通過使用打印機單元210打印從HDD 204獲得的電子文檔。
[0049]PC 102配備有諸如Web瀏覽器317、文件管理工具319、MFP管理工具321等軟件。
[0050]Web瀏覽器317配備有作為HTTP客戶端318的Web瀏覽器317與MFP 101的HTTP服務器302通信的功能。HTTP服務器302在接收到來自Web瀏覽器317的請求時調用遠程UI 303。遠程UI 303將在超文本標記語言(HyperText Markup language, HTML)中定義的用戶界面提供給操作Web瀏覽器317的用戶。HTTP服務器302將從遠程UI 303獲得的HTML數據作為對來自Web瀏覽器317的請求的響應返回到Web瀏覽器317。
[0051]文件管理工具319配備有作為SMB/CIFS客戶端320的文件管理工具319與MFP101的SMB/CIFS服務器304通信的功能。SMB/CIFS服務器304配備有用于處理NTLM(NTLAN管理器)認證協議的NTLM認證處理器305。當SMB/CIFS服務器304接收到來自文件管理工具319的諸如用于瀏覽文件、用于文件保存等請求時，調用文檔管理服務306。文檔管理服務306配備有用于執行瀏覽或更新HDD 204中保存的電子文檔(具有諸如HF、JPEG、PNG、DOC等文件擴展名的文件)以及用于執行新文件保存等功能。
[0052]MFP管理工具321配備有作為SNMP客戶端322的功能，其用于通過訪問MFP 101的SNMP服務器307來訪問MFP 101配設的MIB 309。SNMP服務器307配備有用于處理由SNMP版本3的USM定義的用戶認證協議的USM認證處理單元308。當SNMP服務器307接收到來自PC 102的MFP管理工具321的訪問請求時，SNMP服務器307參照MIB 309中保存的數據并執行設置。
[0053]用戶認證系統310配備有用于對使用MFP 101的用戶進行認證的機制。下文給出對用戶認證系統310具有的功能的詳情的說明。
[0054]用戶認證系統310配設有使管理MFP 101的用戶執行與MFP 101的用戶認證相關的設置的設置Π 311。與遠程Π 303類似，設置Π 311能夠被配置為以PC 102的Web瀏覽器317可使用的HTML中描述的用戶界面。
[0055]圖5A至圖5F描繪了用于說明設置Π 311的用戶界面的圖。
[0056]圖5A表示菜單畫面的示例。當在圖5A的畫面上指定數字502至505表示的項目中的任一項目時，處理轉換到用于指定的功能的畫面。用戶認證設置502是用于將MFP 101的用戶認證功能設置為打開(ON)或關閉(OFF)的用戶界面。當在圖5A的畫面上指定用戶認證設置502時，處理轉換到圖5B的畫面。在圖5B的畫面上，用戶能夠將用戶認證設置為打開或關閉，并且用戶認證系統310將這里設置的內容作為認證設置312存儲到HDD 204中。各軟件模塊能夠通過訪問認證設置312來參照用戶認證的打開/關閉設置。在圖5B的示例中，用戶認證被設置為打開(用戶認證是有效的)。
[0057]通過在圖5A的畫面中指定用戶賬戶管理503來顯示圖5C的畫面。在圖5C的畫面中，用戶能夠登記并編輯用戶名和用戶權限。圖的畫面表示在圖5C的畫面中指定登記或編輯時顯示的畫面的示例。用戶能夠經由圖5C和圖所示的用戶界面畫面來執行用戶賬戶的登記、編輯等。用戶認證系統310通過將與利用圖的畫面登記的用戶賬戶相關的信息存儲在HDD 204的用戶數據庫313中來對該信息進行管理。在圖的畫面中將用戶名“Alice”登記為管理員，而且登記了與該用戶名相對應的密碼。
[0058]圖6描繪了用于示出根據第一實施例的用戶數據庫313的數據結構的示例的圖。
[0059]這里，經由圖5C和圖所示的用戶界面畫面來登記用戶名601、密碼602以及權限603。密碼最后更新日期/時間604表示經由圖的畫面登記或更新密碼的日期和時間。
[0060]通過在圖5A的畫面中指定密碼策略設置504來顯示圖5E的畫面。圖5E表示用于設置與密碼相關的策略的用戶界面畫面的示例。例如，“無有效期”、“30天”以及“90天”能夠被選擇作為密碼有效期。另外，作為用于密碼復雜度的設置，“3個字符或更多”(用于強制密碼為3個字符或更多的設置)、“包含符號”(用于強制將符號包括在密碼中的設置)等可以被選擇是否有效/無效。用戶認證系統310將經由圖5E的畫面而設置為密碼策略設置314的項目存儲在HDD 204中。
[0061]通過在圖5A的畫面中指定認證日志管理505來顯示圖5F的畫面。圖5F表示用于管理認證結果的日志記錄的用戶界面畫面。在圖5F中，可以查看用戶認證系統310記錄到HDD 204中的認證日志316。在該畫面中顯示在認證日志316中登記的用戶名、認證模式、執行認證的日期和時間以及認證結果(0K或NG(不好))。
[0062]圖7A至圖7C描繪了用于示出根據第一實施例的用戶認證系統310配設的API (應用程序界面)的示例的圖。
[0063]通過其他軟件模塊調用圖7A的API 701，能夠將請求用戶認證的認證請求發送給用戶認證系統310。用戶認證系統310基于調用方702的信息通過參照認證處理表315來確定API 701的操作。
[0064]圖8描繪了用于示出根據第一實施例的認證處理表315的內容的示例的圖。
[0065]認證處理表315存儲了調用方信息801、調用方改變密碼功能的存在或不存在802、計算模式803以及認證處理類型804等的組合。在調用方信息801中，登記了作為認證請求的發送源的調用方通信協議。調用方改變密碼功能的存在或不存在802表示調用方的軟件模塊是否包括密碼改變功能。例如，由于對于控制與用戶的界面的本地Π 301而言，調用方改變密碼功能的存在或不存在802是“存在”，因此用于顯示圖4B的改變密碼畫面操作畫面的功能也存在。
[0066]同時，針對諸如HTTP、SMB/CIFS和SNMP v3的通信協議，還未定義用于改變密碼的協議。為此，HTTP服務器302、SMB/CIFS服務器304和SNMP v3服務器307不具有用于請求密碼改變的功能。計算模式803表示API 701使用以將密碼轉換為其他值的計算算法。“RAW”表示照原樣使用密碼而不對密碼進行處理。“MD4”表示根據密碼進行MD4 (信息摘要算法4)摘要(哈希值)的計算。“MD5”表示根據密碼進行MD5(信息摘要算法5)摘要(哈希值)的計算。計算模式803不限于“MD4”、“MD5”等，可以是任何類型的計算模式，只要計算模式803是用戶認證系統310能執行的已知計算模式即可。例如，公知的諸如密鑰相關的哈希運算消息認證碼(HMAC) (RFC 2104)、安全哈希算法(SHA)等計算算法。可以進行配置，使得用戶認證系統310配設有作為計算模式的NTLM或SNMP版本3的USM的計算算法。認證處理類型804將API 701的操作分類為“驗證”或“計算值返回”。“驗證”表示API 701執行如下操作:根據從調用方接收到的認證數據704來驗證由密碼計算出的值并返回驗證結果。“計算值返回”表示API 701執行如下操作:利用“計算模式”803所表示的算法根據密碼計算出與密碼不同的值并返回計算出的值(圖7A的數字705所示的輸出數據)。
[0067]接下來，在下面給出對API 701返回的圖7A中返回值706的意思的說明。
[0068]-SUCCESS
[0069]“SUCCESS”表示API 701的處理成功。在認證處理類型804是“驗證”的情況下，“SUCCESS”表示用戶認證處理成功。在認證處理類型804是“計算值返回”的情況下，從密碼計算出的值被存儲在圖7A的輸出數據705中并返回。
[0070]-SUCCESS_NEED_PWD_CHANGE
[0071]“SUCCESS_NEED_PWD_CHANGE”表示盡管API 701的處理成功，但由于密碼不滿足密碼策略，因此用戶必須改變密碼。在有調用方密碼改變功能的情況下，返回“SUCCESS_NEED_PWD_CHANGE” 值。
[0072]-ERROR
[0073]“ERROR”表示暫停API 701的處理。在認證處理類型804是“驗證”的情況下，“ERROR”表示用戶認證處理失敗。在認證處理類型804是“計算值返回”的情況下，不返回由密碼計算出的值。
[0074]-ERROR_NEED_PWD_CHANGE
[0075]“ERROR_NEED_PWD_CHANGE”表示由于密碼不滿足密碼策略，因此暫停API 701的處理。在沒有調用方密碼改變功能的情況下，返回“ERROR_NEED_PWD_CHANGE”值。
[0076]對以上說明的API 701的具體描述僅為一個示例，本發明不限于該示例。例如，可以進行配置，以從API的調用方獲得圖8所示的認證處理表315的信息的部分或全部。在僅從調用方獲得信息的部分的情況下，進行配置以從認證處理表315僅獲得確定API的操作所需的信息。通過配置使認證處理表315可從外部進行編輯，使得能夠靈活地支持API使用的軟件模塊的變更或增加。
[0077]圖7B示出了 API的其他示例。圖7B的API使用參數708，并使得圖8所示的認證處理表315的所有信息將能夠從調用方獲得。這樣，在進行配置以從調用方獲得所有信息的情況下，用戶認證系統310不必參照認證處理表315。另外，用于認證處理的API不必限于一個API，可以為預先設想的處理的各組合準備多個API。在下面的說明中，給出了使用圖7A所示的API 701的說明，該API 701用作認證處理的API。
[0078]圖7C的API獲得軟件模塊執行的用戶認證的結果，并在認證日志316中記錄日
ο
[0079]圖9是用于描述根據第一實施例的當在MFP 101中軟件模塊調用圖7A的API 701時的用戶認證系統310的操作的流程圖。請注意，執行該處理的程序在執行時被展開到RAM203中，并在CPU 201的控制下執行。
[0080]正在被調用的圖7A所示的API 701以及接收用于與用戶認證相關的處理的請求的用戶認證系統310初始化該處理。首先，在步驟S901中，用戶認證系統310從API 701的參數中獲得調用方702的信息和用戶名703 (用戶標識)。接下來，處理進行到步驟S902，用戶認證系統310基于調用方702的信息參照認證處理表315來獲得認證模式(改變密碼功能存在或不存在、計算模式、認證處理類型)。接下來，處理進行到步驟S903，用戶認證系統310確定在用戶數據庫313 (圖6)中是否登記了在步驟S901中獲得的用戶名。在登記了用戶名的情況下，獲得與用戶名相關聯登記的密碼602和密碼最新更新日期/時間604。同時，在在用戶數據庫313中未登記用戶名并且在步驟S903中無法獲得密碼的情況下，由于用戶認證系統310無法獲得密碼，因此在步驟S904中用戶認證系統310確定認證失敗，處理進行到步驟S914。在步驟S914中，用戶認證系統310記錄認證失敗日志。然后，處理進行到步驟S915，用戶認證系統310向API 701的調用方返回錯誤(ERROR)，并且處理結束。
[0081]同時，在步驟S904中成功獲得密碼的情況下，處理進行到步驟S905，用戶認證系統310參考密碼策略設置314來確定獲得的密碼是否滿足有效期、復雜度設置等。這里，在密碼的有效期過期或不滿足復雜度的情況下，處理進行到步驟S906，用戶認證系統310還確定調用方改變密碼功能的存在或不存在。這里，在存在改變密碼功能的情況下，處理進行到步驟S907，并且處理繼續。然而，在步驟S906中確定不存在改變密碼功能的情況下，處理進行到步驟S914，記錄認證失敗日志，然后在步驟S915中，向API 701的調用方返回錯誤(ERROR_NEED_PWD_CHANGE)，并且處理結束。
[0082]在步驟S905中，在用戶認證系統310確定所獲得的密碼滿足有效期和復雜度設置的情況下，或在步驟S906中，在確定存在調用方改變密碼功能的情況下，處理進行到步驟S907。在步驟S907中，用戶認證系統310參照認證處理表315來確認針對調用方設置的計算模式803。在這里的計算模式不是“RAW”的情況下(例如，“MD4”或“MD5”的情況)，處理進行到步驟S908，根據計算模式基于所獲得的密碼來執行計算處理。例如，這里根據MD4算法或MD5的算法來計算MD4摘要或MD5摘要。然后，處理進行到步驟S909，用戶認證系統310參照認證處理表315來確認針對調用方設置的認證處理類型804。這里，在認證處理類型804是“計算值返回”的情況下，處理進行到步驟S910，用戶認證系統310將計算值存儲在輸出數據705中，并返回處理成功(SUCCESS)，然后處理結束。另外，這里在步驟S905的密碼策略檢查失敗的情況下，返回(SUCCESS_NEED_PWD_CHANGE)。
[0083]同時，在步驟S909中，在用戶認證系統310確定認證處理類型804是“驗證”的情況下，處理進行到步驟S911，用戶認證系統310根據在步驟S908中計算出的值來驗證認證數據704 (圖7A)。在驗證結果是認證數據704與計算出的值匹配的情況下，處理進行到步驟S912，用戶認證系統310記錄認證成功日志，處理進行到步驟S913，向API的調用方返回處理成功(SUCCESS)，并且處理結束。在此情況下，在步驟S905的密碼策略檢查為NG的情況下，返回(SUCCESS_NEED_PWD_CHANGE)。
[0084]同時，在確定步驟S911中的驗證結果是認證數據704并且計算值不匹配的情況下，然后確定認證失敗，處理進行到步驟S914，用戶認證系統310記錄認證失敗日志。然后，在步驟S915中，向API的調用方返回錯誤(ERROR)，并且處理結束。
[0085]接下來，將給出對當MFP 101上的用戶認證被設置為打開并且各種軟件模塊利用用戶認證系統310執行用戶認證時的操作示例的說明。這里，將給出對軟件模塊是本地UI301、HTTP服務器302、SMB/CIFS服務器304以及SNMP服務器307的情況的說明。
[0086]圖1OA至圖1OD描繪了用于示出根據第一實施例的當MFP 101與數據流一起執行用戶認證時的軟件模塊的關系的圖。
[0087]圖1OA描繪了用于說明在本地UI 301利用用戶認證系統310執行用戶認證的情況的圖。在圖1OA中，將用戶認證畫面顯示在操作畫面上，利用MFP 101為用戶請求用戶認證。在步驟S1001中，本地Π 301獲得用戶輸入到圖4A的用戶認證畫面中的用戶名和密碼。另外，在步驟S1002中，本地Π 301經由圖7A的API 701將用戶名和密碼傳輸給用戶認證系統310來作出用于認證處理的請求。這樣，用戶認證系統310參照認證處理表315執行密碼策略檢查、密碼驗證和認證日志記錄，并在步驟S1003中利用處理結果來回復本地 UI 301。
[0088]這里，本地Π 301顯示例如圖4C的菜單畫面，并在結果是成功(SUCCESS)的情況下允許用戶使用MFP 101的功能。另一方面，在認證結果是NG(SUCCESS_NEED_PWD_CHANGE)的情況下，由于密碼策略檢查是NG，因此在操作畫面上顯示圖4B的改變密碼畫面，用戶請求改變密碼。另外，在認證結果是錯誤(ERROR)的情況下，顯示圖4A的用戶認證畫面，請求用戶重新輸入認證信息。
[0089]接下來，將參照圖1OB給出對MFP 101的HTTP服務器302的操作的說明。圖1OB描繪了用于說明HTTP服務器302利用用戶認證系統310執行用戶認證的情況的圖。
[0090]在步驟S1004中，HTTP服務器302從Web瀏覽器317接收包括HTTP摘要認證(RFC2617)的HTML獲得請求。這樣，HTTP服務器302從數據包獲得用戶名和MD5摘要，然后，在步驟S1005中，經由API701向用戶認證系統310作出用于認證處理的請求。這樣，用戶認證系統310參照認證處理表315執行密碼策略檢查、對MD5摘要計算進行驗證的驗證處理，執行認證日志的記錄，然后在步驟S1006中，利用認證結果進行回復。在認證結果是成功(SUCCESS)的情況下，在步驟S1007中，HTTP服務器302向遠程UI 303發送HTML獲得請求。這樣，遠程Π 303從HTTP服務器302獲得已認證的用戶的信息，并根據用戶執行HTML提供和訪問控制。同時，在結果是失敗(ERROR/ERROR_NEED_PWD_CHANGE)的情況下，HTTP服務器302向Web瀏覽器317通知錯誤。
[0091]接下來，將參照圖1OC給出對MFP 101的SMB/CIFS服務器304的操作的說明。圖1OC描繪了用于說明SMB/CIFS服務器304利用用戶認證系統310執行用戶認證的情況的圖。
[0092]在步驟S1008中，SMB/CIFS服務器304從PC 102的文件管理工具319接收包括NTLM數據格式的認證數據的數據包。這樣，SMB/CIFS服務器304從數據包中獲得用戶名，然后在步驟S1009中經由API 701向用戶認證系統310作出用于認證處理的請求。這樣，用戶認證系統310參照認證處理表315執行密碼策略檢查和MD4摘要計算，然后在步驟S1010中連同MD4摘要一起返回處理結果。這樣，在SMB/CIFS服務器304中，NTLM認證處理器305利用從用戶認證系統310獲得的MD4摘要和從數據包獲得的NTLM認證數據執行NTLM認證處理。然后，SMB/CIFS服務器304獲得由NTLM認證處理器305產生的認證結果，在步驟SlOll中，經由圖7C的API向用戶認證系統310通知用戶名和認證結果。
[0093]這里，在用戶認證成功的情況下，之后SMB/CIFS服務器304允許從PC 102的文件管理工具319到文檔管理服務306的訪問。在步驟S1012中，文檔管理服務306從SMB/CIFS服務器304獲得用戶信息，并根據用戶執行服務提供、訪問控制等。同時，在用戶認證失敗的情況下，SMB/CIFS服務器304向PC 102的文件管理工具319通知錯誤。
[0094]接下來，將參照圖1OD給出對MFP 101的SNMP服務器307的操作的說明。圖1OD描繪了用于說明SNMP服務器307利用用戶認證系統310執行用戶認證的情況的圖。
[0095]在步驟S1013中，SNMP服務器307從PC 102的MFP管理工具321接收包含根據SNMP v3的USM(RFC3414)的認證數據的數據包。然后，SNMP服務器307從該數據包獲得用戶名，并在步驟S1014中通過API701向用戶認證系統310作出用于認證處理的請求。這樣，用戶認證系統310參照認證處理表315執行密碼策略檢查和MD5摘要計算，然后在步驟S1015中，連同MD5摘要一起返回處理結果。這樣，在SNMP服務器307中，USM認證處理單元308利用從用戶認證系統310獲得的MD4摘要和從數據包獲得的NTLM認證數據執行NTLM認證處理。然后，SNMP服務器307獲得USM認證處理單元308的認證結果，并在步驟S1016中，經由圖7C的API向用戶認證系統310通知用戶名和認證結果。在用戶認證成功的情況下，在步驟S1017中，SNMP服務器307執行MFP管理工具321請求的對MIB 309的訪問。SNMP服務器307根據用戶執行對訪問MIB 309的訪問控制。同時，在用戶認證失敗的情況下，SNMP服務器307向PC 102的MFP管理工具321通知錯誤。
[0096]通過第一實施例，如上所述，由于通過單個用戶認證系統310來實現MFP 101的用戶認證機制，因此，可以降低與用戶認證相關的設置的管理負擔和用戶賬戶的管理負擔。
[0097]另外，通過第一實施例，由于對所有訪問路徑提供了密碼安全策略和認證日志打印功能，因此，可以對所有訪問路徑適用同等的安全功能。
[0098]另外，使用MFP 101的用戶認證系統310的軟件模塊來支持密碼安全策略、認證日志記錄等并不總是必須的，因此，存在不會引起現有的軟件模塊或源代碼的重建成本的優點。
[0099]此外，通過第一實施例，用戶認證系統310和使用用戶認證系統310的軟件模塊可以執行與用戶認證相關的分配處理。為此，存在如下效果:在最大限度使用現有的軟件模塊和源代碼時，能夠配置集成了與用戶認證相關的管理的設備。
[0100][第二實施例]
[0101]之前描述的用戶認證系統310并不必須在MFP 101的內部，可以進行配置使用戶認證系統310是網絡上的獨立節點。
[0102]圖11描繪了用于示出根據本發明的第二實施例的用戶認證系統被構造為認證服務器的系統配置的示例的圖。
[0103]這里，MFP 1101、PC 1102和認證服務器1103經由LAN 1100連接。請注意，由于MFP 1101和PC 1102的硬件配置與根據之前描述的第一實施例的MFP 101和PC 102的硬件配置相同，因此，將省略對它們的說明。
[0104]圖12是用于示出根據第二實施例的MFP 1101和認證服務器1103的軟件配置的框圖。由于PC 1102的配置與之前描述的第一實施例的PC 102的配置相同，因此省略說明。請注意，與之前圖3描述的相同部分由相同的附圖標記表示，省略對它們的說明。另外，由于由用戶認證服務器1103的附圖標記1211至1216所示的布置具有與之前圖3描述的附圖標記311至316所示的布置相同的功能，因此，省略對它們的說明。
[0105]MFP 1101配備有用于與認證服務器1103通信的代理1201。認證服務器1103配備有用戶認證系統1202。MFP 1101和認證服務器1103能夠通過預先交換將用于通信的加密密鑰來建立信任關系。可以利用PKI技術來交換第三方發布的證書，例如客戶端證書、月艮務器證書等。
[0106]代理1201配設有API (圖7A或圖7C中的數字701等)相當于用戶認證系統1202具有的API。當從其他軟件模塊調用API時，代理1201經由網絡上的通信，通過調用用戶認證系統1202的API來獲得處理結果。由于這里網絡中流過的信息必須保密，因此，利用預先交換的密鑰執行加密。這樣，通過將用戶認證系統1202配置為網絡上的獨立節點(認證服務器)，能夠提供由多個MFP可使用的用戶認證系統1202。
[0107]如上所述，通過該實施例能夠獲得下面的效果。
[0108]-通過將可實現的用戶認證機制作為單個用戶認證系統，能夠降低與用戶認證相關的設置的管理負擔和用戶賬戶的管理負擔。
[0109]-利用該用戶認證系統，可以將同一用戶認證機制應用于設備的所有訪問路徑。
[0110]-可以重復使用現有的軟件模塊和源代碼，并且能夠配置使用相對較少的勞動和工時就能夠執行用戶認證的設備。
[0111]本發明的實施例還可以通過讀出并執行記錄在存儲介質(例如，非暫時性計算機可讀存儲介質)上的用于執行本發明的上述實施例的一個或更多個的功能的計算機可執行指令的系統或裝置的計算機來實現，以及通過由系統或裝置的計算機通過例如從存儲介質讀出并執行用于執行上述實施例的一個或更多個的功能的計算機可執行指令來執行的方法來實現。計算機可以包括中央處理單元(CPU)、微處理單元(MPU)、或其他電路的一個或多個，并且可以包括單獨的計算機或單獨的計算機處理器的網絡。例如可以從網絡或者存儲介質向計算機提供計算機可執行指令。存儲介質可以包括例如硬盤、隨機存取存儲器(RAM)、只讀存儲器(ROM)、分布式計算系統的存儲器、光盤(諸如壓縮光盤(⑶)、數字通用光盤(DVD)、或藍光盤(BD)?)、閃存設備、存儲卡等的一個或多個。
[0112]雖然參照示例性實施例對本發明進行了描述，但是應當理解，本發明并不限于所公開的示例性實施例。應當對所附權利要求的范圍給予最寬的解釋，以使其涵蓋所有這些變型例以及等同的結構和功能。
【權利要求】
1.一種信息處理裝置，其能夠根據多個協議中的協議來接收認證請求，所述信息處理裝置包括: 存儲單元，其被配置為存儲針對各用戶的用戶標識和密碼以及針對各協議的計算方法; 接收單元，其被配置為根據所述多個協議中的協議，從遠程計算機接收認證請求，所述認證請求包括認證數據； 控制單元，其被配置為: (i)從所述存儲單元獲得與所述認證請求中包括的所述認證數據相對應的密碼； (?)從所述存儲單元獲得與所述協議相對應的計算方法； (iii)根據所獲得的計算方法，將所獲得的密碼轉換為哈希；以及 (iv)使用所述哈希來驗證所述認證數據。
2.根據權利要求1所述的信息處理裝置，其中，所述控制單元基于所述驗證，允許用戶登錄到所述信息處理裝置。
3.根據權利要求1所述的信息處理裝置，其中，所述協議是HTTP、SMB和SNMP中的任意一者O
4.根據權利要求1所述的信息處理裝置，所述信息處理裝置還包括: 發送單元，其被配置為在所述協議是所述控制單元無法執行所述用戶認證的協議的情況下，將所述哈希發送到認證單元。
5.根據權利要求1所述的信息處理裝置，所述信息處理裝置還包括: 通知單元，其被配置為在從所述存儲單元獲得密碼失敗的情況下，向所述遠程計算機通知認證錯誤。
6.根據權利要求1所述的信息處理裝置，所述信息處理裝置還包括: 通知單元，其被配置為在與所述認證數據相對應的密碼的有效性過期的情況下，向所述遠程計算機通知認證錯誤。
7.根據權利要求1至6中任一項所述的信息處理裝置，所述信息處理裝置還包括: 控制臺單元，其被配置為從用戶接收認證數據， 其中，所述控制單元從所述存儲單元獲得與所述控制臺單元接收的所述認證數據相對應的密碼，并且在不將所獲得的密碼轉換為哈希的情況下，使用所獲得的密碼來驗證所述認證數據。
8.根據權利要求1所述的信息處理裝置，所述信息處理裝置還包括: 日志記錄單元，其被配置為記錄所述控制單元的認證結果。
9.一種信息處理裝置的控制方法，所述信息處理裝置能夠根據多個協議中的協議來接收認證請求，所述控制方法包括: 存儲步驟，將針對各用戶的用戶標識和密碼以及針對各協議的計算方法存儲到存儲器中； 接收步驟，根據所述多個協議中的協議，從遠程計算機接收認證請求，所述認證請求包括認證數據； 控制步驟: (i)從所述存儲器獲得與所述認證請求中包括的所述認證數據相對應的密碼；(ii)從所述存儲器中獲得與所述協議相對應的計算方法；(iii)根據所獲得的計算方法，將所獲得的密碼轉換為哈希；以及(iv)使用所述哈希來驗證所述認證數據。
【文檔編號】H04L29/06GK104426912SQ201410440836
【公開日】2015年3月18日 申請日期:2014年9月1日 優先權日:2013年9月2日
【發明者】細田泰弘 申請人:佳能株式會社