知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024157459
(43)【公開日】2024-11-07
(54)【発明の名称】画像形成システム
(51)【国際特許分類】
H04N 1/00 20060101AFI20241030BHJP
G06F 21/44 20130101ALI20241030BHJP
G06F 21/31 20130101ALI20241030BHJP
【FI】
H04N1/00 838
H04N1/00 127A
H04N1/00 127B
G06F21/44
G06F21/31
【審査請求】未請求
【請求項の数】5
【出願形態】OL
(21)【出願番号】P 2023071847
(22)【出願日】2023-04-25
(71)【出願人】
【識別番号】000006150
【氏名又は名称】京セラドキュメントソリューションズ株式会社
(74)【代理人】
【識別番号】100114971
【弁理士】
【氏名又は名称】青木 修
(72)【発明者】
【氏名】宋 暁丹
【テーマコード(参考)】
5C062
【Fターム(参考)】
5C062AA05
5C062AA13
5C062AA29
5C062AB38
5C062AB40
5C062AC34
5C062AF12
(57)【要約】
【課題】 良好なセキュリティレベルのホットフォルダー機能を提供する画像形成システムを得る。
【解決手段】 画像形成装置1において、ローカル認証処理部21は、ユーザーの端末装置4からのログイン要求に応じてユーザー認証を行う。ネットワーク認証処理部22は、そのユーザー認証が成功した後、チャレンジレスポンス方式のネットワーク認証で端末装置4のデバイス認証を行う。ホットフォルダー管理部23は、そのデバイス認証が成功した後、ホットフォルダー16aへのデータ格納を許可する。
【選択図】図2
【解決手段】 画像形成装置1において、ローカル認証処理部21は、ユーザーの端末装置4からのログイン要求に応じてユーザー認証を行う。ネットワーク認証処理部22は、そのユーザー認証が成功した後、チャレンジレスポンス方式のネットワーク認証で端末装置4のデバイス認証を行う。ホットフォルダー管理部23は、そのデバイス認証が成功した後、ホットフォルダー16aへのデータ格納を許可する。
【選択図】図2
【特許請求の範囲】
【請求項1】
ユーザーの端末装置からのログイン要求に応じてユーザー認証を行うローカル認証処理部と、
前記ユーザー認証が成功した後、チャレンジレスポンス方式のネットワーク認証で前記端末装置のデバイス認証を行うネットワーク認証処理部と、
前記デバイス認証が成功した後、ホットフォルダーへのデータ格納を許可するホットフォルダー管理部と、
を備えることを特徴とする画像形成システム。
前記ユーザー認証が成功した後、チャレンジレスポンス方式のネットワーク認証で前記端末装置のデバイス認証を行うネットワーク認証処理部と、
前記デバイス認証が成功した後、ホットフォルダーへのデータ格納を許可するホットフォルダー管理部と、
を備えることを特徴とする画像形成システム。
【請求項2】
ネットワーク認証要求部をさらに備え、
前記ネットワーク認証要求部は、所定の認証フォルダーへのアクセスが検出されると、(a)前記ネットワーク認証処理部からチャレンジを取得し、(b)前記チャレンジを含む認証ファイルを前記認証フォルダーに生成し、(c)前記チャレンジに対するレスポンスを署名として添付された前記認証ファイルにおける当該レスポンスを前記ネットワーク認証処理部へ送信し、(d)前記ネットワーク認証処理部から前記デバイス認証の認証結果を取得し、前記デバイス認証が成功したか否かを判定し、
前記ネットワーク認証処理部は、前記チャレンジおよび前記レスポンスに基づいて前記デバイス認証を実行すること、
を特徴とする請求項1記載の画像形成システム。
前記ネットワーク認証要求部は、所定の認証フォルダーへのアクセスが検出されると、(a)前記ネットワーク認証処理部からチャレンジを取得し、(b)前記チャレンジを含む認証ファイルを前記認証フォルダーに生成し、(c)前記チャレンジに対するレスポンスを署名として添付された前記認証ファイルにおける当該レスポンスを前記ネットワーク認証処理部へ送信し、(d)前記ネットワーク認証処理部から前記デバイス認証の認証結果を取得し、前記デバイス認証が成功したか否かを判定し、
前記ネットワーク認証処理部は、前記チャレンジおよび前記レスポンスに基づいて前記デバイス認証を実行すること、
を特徴とする請求項1記載の画像形成システム。
【請求項3】
前記ネットワーク認証要求部は、前記デバイス認証に失敗した場合、一時認証処理を実行し、
前記ホットフォルダー管理部は、前記デバイス認証が失敗しても前記一時認証処理が成功したときには、前記ホットフォルダーへのデータ格納を許可すること、
を特徴とする請求項2記載の画像形成システム。
前記ホットフォルダー管理部は、前記デバイス認証が失敗しても前記一時認証処理が成功したときには、前記ホットフォルダーへのデータ格納を許可すること、
を特徴とする請求項2記載の画像形成システム。
【請求項4】
前記ネットワーク認証要求部は、前記一時認証処理において、(a)一時認証ファイルを電子メールに添付して前記ユーザーに送信し、(b)送信した前記一時認証ファイルが前記認証フォルダーに格納された場合、前記一時認証処理に成功したと判定することを特徴とする請求項3記載の画像形成システム。
【請求項5】
前記ネットワーク認証要求部は、前記一時認証処理において、(a)一時認証ウェブページのネットワーク識別情報を含む電子メールに添付して前記ユーザーに送信し、(b)前記一時認証ウェブページで前記ユーザーのユーザー認証を行い、当該ユーザー認証に成功した場合、前記一時認証処理に成功したと判定することを特徴とする請求項3記載の画像形成システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、画像形成システムに関するものである。
【背景技術】
【0002】
ある画像形成装置は、ホットフォルダー機能を有する。ホットフォルダー機能は、フォルダー内のデータ(画像データなど)に対して特定の処理を実行する機能を共有フォルダーに関連付け、その共有フォルダーに格納されたデータに対してその特定の処理を実行するものである。
【0003】
ある画像形成装置は、ホットフォルダーにプリントデータが投入されると、ユーザー認証画面を表示してユーザー認証を行い、ユーザー認証に成功した場合、そのプリントデータに基づくプリントを行い、ユーザー認証に失敗した場合、そのプリントデータに基づくプリントをキャンセルしている(例えば特許文献1参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2006-40060号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、上述の画像形成装置では、ユーザーは、ホットフォルダーにプリントデータを投入する際にSMB(Server Message Block)などといったファイル転送プロトコルに従ってユーザー認証のためのユーザーIDおよびパスワードの転送が必要になり、ユーザーIDおよびパスワードの漏洩に起因する不正アクセスが発生する可能性がある。
【0006】
本発明は、上記の問題に鑑みてなされたものであり、良好なセキュリティレベルのホットフォルダー機能を提供する画像形成システムを得ることを目的とする。
【課題を解決するための手段】
【0007】
本発明に係る画像形成装置は、ユーザーの端末装置からのログイン要求に応じてユーザー認証を行うローカル認証処理部と、前記ユーザー認証が成功した後、チャレンジレスポンス方式のネットワーク認証で前記端末装置のデバイス認証を行うネットワーク認証処理部と、前記デバイス認証が成功した後、ホットフォルダーへのデータ格納を許可するホットフォルダー管理部とを備える。
【発明の効果】
【0008】
本発明によれば、良好なセキュリティレベルのホットフォルダー機能を提供する画像形成システムが得られる。
【0009】
本発明の上記又は他の目的、特徴および優位性は、添付の図面とともに以下の詳細な説明から更に明らかになる。
【図面の簡単な説明】
【0010】
【発明を実施するための形態】
【0011】
以下、図に基づいて本発明の実施の形態を説明する。
【0012】
図1は、本発明の実施の形態に係る画像形成システムの構成を示すブロック図である。図1に示すシステムでは、画像形成装置1がネットワーク2に接続されており、また、認証サーバー3がネットワーク2に接続されている。ネットワーク2は、イントラネットなどのLAN(Local Area Network)、インターネットなどのWAN(Wide Area Network)などを含む。画像形成装置1は、プリンター、複合機などであり、所定の設定項目の設定値に従って動作する電子機器である。さらに、ユーザーの端末装置4(パーソナルコンピューターなど)がネットワーク2に接続されている。
【0013】
図2は、図1における画像形成装置1の構成を示すブロック図である。図2に示す画像形成装置1は、内部装置として、ネットワークインターフェイスなどの通信装置11、画像読取装置12、プリント装置13、操作パネル14、演算処理装置15、および各種プログラムや各種データを格納する不揮発性の記憶装置16を備える。
【0014】
通信装置11は、ネットワーク2に接続され、ネットワーク2に接続されている他の装置(認証サーバー3など)との間でデータ通信を行う。
【0015】
画像読取装置12は、原稿から原稿画像を光学的に読み取り、その原稿画像の画像データを生成する。プリント装置13は、例えば電子写真方式で、画像データに基づく画像をプリント用紙にプリントする。
【0016】
操作パネル14は、液晶ディスプレイ、インジケーターなどを含む表示装置と、タッチパネル、ハードキーなどを含む入力装置とを備え、ユーザーに対して各種操作画面やダイアログを表示装置で表示し、操作画面やダイアログに対するユーザーのユーザー操作を入力装置で検出する。
【0017】
演算処理装置15は、所定のプログラムを実行するコンピューターなどを含み各種処理部として動作する。ここでは、演算処理装置15は、ローカル認証処理部21、ネットワーク認証要求部22、およびホットフォルダー管理部23として動作する。
【0018】
また、記憶装置16には、ホットフォルダー16aが設定されており、また、認証フォルダー16bが設定されている。
【0019】
他方、認証サーバー3は、ネットワーク認証処理部31を備えており、ネットワーク認証処理部31は、画像形成装置1のネットワーク認証要求部22とともに、後述のネットワーク認証を行う。また、端末装置4は、画像形成装置1に各種処理を実行させるアプリケーション41を備えている。なお、画像形成装置1が、各種処理の要求を受け付けるウェブサーバーを備え、アプリケーション41は、ウェブブラウザーとしてもよい。その場合、ウェブブラウザーとしてのアプリケーション41は、ウェブページのデータをそのウェブサーバーから受信してウェブページの表示を行う。
【0020】
そして、画像形成装置1において、ローカル認証処理部21は、ユーザーの端末装置4(アプリケーション41)からログイン要求を受信すると、そのログイン要求に応じてユーザー認証を行う。具体的には、ログイン要求とともに送信されてくるユーザーIDおよびパスワードに基づいてユーザー認証が行われる。
【0021】
ネットワーク認証処理部31は、上述のユーザー認証が成功した後、チャレンジレスポンス方式のネットワーク認証で端末装置4のデバイス認証を行う。具体的には、ネットワーク認証要求部22は、上述のユーザー認証後に、端末装置4からの所定の認証フォルダー16bへのアクセスが検出されると、(a)通信装置11を使用してネットワーク認証処理部31からチャレンジを取得し、(b)そのチャレンジを含む認証ファイルを認証フォルダー16bに生成し、(c)そのチャレンジに対するレスポンスを署名として添付された認証ファイルからレスポンスを抽出し、通信装置11を使用してネットワーク認証処理部31へ送信し、(d)ネットワーク認証処理部31からデバイス認証の認証結果を取得し、端末装置4のデバイス認証が成功したか否かを判定する。他方、ネットワーク認証処理部31は、(a)チャレンジを生成してネットワーク認証要求部22に送信し、(b)そのチャレンジに対応するレスポンスをネットワーク認証要求部22から受信し、(c)そのチャレンジおよびそのレスポンスに基づいてチャレンジレスポンス方式でデバイス認証を実行し、(d)その認証結果をネットワーク認証要求部22に送信する。
【0022】
ホットフォルダー管理部23は、ネットワーク認証処理部31におけるデバイス認証が成功した後、ホットフォルダー16aへのデータ格納を許可する。その後、ホットフォルダー管理部23は、ホットフォルダー16aへデータが格納されると、そのデータに対して所定の処理を実行する。ここでは、ホットフォルダー16aへプリントデータが格納されると、そのプリントデータに基づくプリントが実行される。
【0023】
なお、ネットワーク認証要求部22は、上述のデバイス認証に失敗した場合、ホットフォルダーへのデータ格納を禁止してもよいし、次のように一時認証処理を実行してもよい。その場合、ホットフォルダー管理部23は、上述のデバイス認証が失敗しても一時認証処理が成功したときには、ホットフォルダー16aへのデータ格納を許可する。
【0024】
例えば、一時認証処理において、ネットワーク認証要求部22は、(a)所定の一時認証ファイルを電子メールに添付してユーザーに(つまり、予め登録されているユーザーのメールアドレス宛で)送信し、(b)送信した一時認証ファイルが認証フォルダー16bに格納された場合、一時認証処理に成功したと判定する。具体的には、ネットワーク認証処理部31は、その一時認証ファイルを送信後、認証フォルダー16bを監視し、所定時間内に、その一時認証ファイルを検出した場合には、上述の一時認証処理に成功したと判定する。他方、ユーザーは、一時認証ファイルが添付された電子メールをメールクライアントで受信し、アプリケーション41やオペレーティングシステムのファイル転送機能を利用して、その一時認証ファイルを認証フォルダー16bに格納する。
【0025】
また、例えば、認証サーバー3は、一時認証ウェブページのウェブサーバーを備えており、一時認証処理において、ネットワーク認証要求部22は、(a)一時認証ウェブページのネットワーク識別情報(URLなど)を含む電子メールに添付してユーザーに送信し、(b)その一時認証ウェブページでユーザーのユーザー認証を行い、当該ユーザー認証に成功した場合、上述の一時認証処理に成功したと判定する。その場合、ユーザーは、その電子メールをメールクライアントで受信し、その電子メールに記述されているネットワーク識別情報に従って一時認証ウェブページにアクセスする。ここで、一時認証ウェブページへのアクセスのみで、一時認証処理に成功したものとしてもよいし、ユーザーのIDおよびパスワードでの認証を行ってもよい。
【0026】
【0027】
端末装置4のアプリケーション41がユーザー操作に従って画像形成装置1にアクセスすると、ローカル認証処理部21は、ローカル認証を含むログイン処理を行う(ステップS1)。
【0028】
ログイン処理(ローカルのユーザー認証)の成功後、ユーザー操作に従って、アプリケーション41が認証フォルダー16bにアクセスすると(ステップS2)、ネットワーク認証要求部22は、認証要求をネットワーク認証処理部31へ送信して(ステップS3)、ネットワーク認証処理部31からチャレンジを取得する(ステップS4)。そして、ネットワーク認証要求部22は、そのチャレンジを含む認証ファイルを認証フォルダー16bに生成する(ステップS5)。
【0029】
その後、アプリケーション41は、認証フォルダー16b内のファイルのリストを取得し(ステップS6)、ユーザー操作に従って、そのリストから認証ファイルを指定して認証ファイルを読み出し(ステップS7)、認証ファイルに対して、認証サーバー3(ネットワーク認証処理部31)から提供される公開暗号鍵で、認証ファイルに対してデジタル署名を添付し(ステップS8)、デジタル署名済みの認証ファイルを認証フォルダー16bに書き込む(ステップS9)。
【0030】
他方、画像形成装置1のネットワーク認証要求部22は、認証ファイルの生成後、認証フォルダー16bを監視しており、そのチャレンジに対するレスポンスを署名として添付された認証ファイルを検出すると、その署名済みの認証ファイルからレスポンスを抽出し、通信装置11を使用してネットワーク認証処理部31へ送信する(ステップS10)。
【0031】
認証サーバー3のネットワーク認証処理部31は、そのレスポンスを受信すると、対応するチャレンジとそのレスポンスとに基づいて認証処理を実行し(ステップS11)、その認証処理の結果を画像形成装置1のネットワーク認証要求部22に送信する(ステップS12)。
【0032】
そして、画像形成装置1のホットフォルダー管理部23は、その認証処理の結果に基づいて、端末装置4のデバイス認証に成功した場合には、ホットフォルダー16aへのデータ格納を許可するとともに、その認証処理の結果を端末装置4に通知しユーザーに対して表示させ、その後、ユーザーがホットフォルダー16aへプリントデータ(ドキュメントデータなど)を格納すると、そのプリントデータに基づくプリントをプリント装置13を使用して実行する(ステップS13)。
【0033】
【0034】
画像形成装置1では、上述のように、ログイン処理(ローカルのユーザー認証)の成功後、認証フォルダー16bへのアクセスが検出されると(ステップS21)、ネットワーク認証要求部22は、認証要求をネットワーク認証処理部31へ送信して(ステップS22)、ネットワーク認証処理部31からチャレンジを受信する(ステップS23)。そして、ネットワーク認証要求部22は、そのチャレンジを含む認証ファイルを認証フォルダー16bに生成する(ステップS24)。
【0035】
その後、ネットワーク認証要求部22は、認証フォルダー16bを監視し、署名済みの認証ファイルを検出したか否か、および時間切れ(所定時間の経過)となったか否かを判定する(ステップS25,S26)。ネットワーク認証要求部22は、署名済みの認証ファイルを検出すると、その署名済みの認証ファイルにおけるレスポンスをネットワーク認証処理部31へ送信する(ステップS27)。
【0036】
そして、ネットワーク認証要求部22は、ネットワーク認証処理部31から認証結果を受信し、その認証結果が認証成功を示しているか否かを判定し(ステップS28)、その認証結果が認証成功を示している場合には、ホットフォルダー管理部23は、ホットフォルダー16aへのデータ格納を許可する(ステップS29)。
【0037】
一方、その認証結果が認証失敗を示している場合には、ネットワーク認証要求部22は、上述の一時認証処理を実行する(ステップS30)。
【0038】
ホットフォルダー管理部23は、ネットワーク認証要求部22による一時認証処理の認証結果に基づいて、一時認証処理が成功したか否かを判定し(ステップS31)、一時認証処理が成功した場合には、ホットフォルダー16aへのデータ格納を許可する(ステップS29)。
【0039】
つまり、上述のデバイス認証(ネットワーク認証)が失敗しても一時認証処理が成功した場合には、ホットフォルダー16aへのデータ格納が許可される。他方、上述のデバイス認証(ネットワーク認証)が失敗し一時認証処理も失敗した場合には、ホットフォルダー16aへのデータ格納が禁止される。
【0040】
なお、ステップS26において時間切れが検出された場合、ネットワーク認証要求部22は、端末装置4が画像形成装置1にネットワーク接続されているか否かを判定し(ステップS32)、端末装置4が画像形成装置1にネットワーク接続されていると判定した場合には、ステップS21に戻り、そうではなければ、ホットフォルダー16aへのデータ格納が禁止され、処理が終了される。
【0041】
以上のように、上記実施の形態によれば、ローカル認証処理部21は、ユーザーの端末装置4からのログイン要求に応じてユーザー認証を行う。ネットワーク認証処理部31は、そのユーザー認証が成功した後、チャレンジレスポンス方式のネットワーク認証で端末装置4のデバイス認証を行う。ホットフォルダー管理部23は、そのデバイス認証が成功した後、ホットフォルダー16aへのデータ格納を許可する。
【0042】
これにより、ネットワーク認証ではパスワードの転送を行わずデバイス認証を行うようにしているため、パスワードなどの漏洩が抑制され、良好なセキュリティレベルのホットフォルダー機能が提供される。
【0043】
なお、上述の実施の形態に対する様々な変更および修正については、当業者には明らかである。そのような変更および修正は、その主題の趣旨および範囲から離れることなく、かつ、意図された利点を弱めることなく行われてもよい。つまり、そのような変更および修正が請求の範囲に含まれることを意図している。
【0044】
例えば、上記実施の形態において、ネットワーク認証に、FIDO認証を使用するようにしてもよい。
【産業上の利用可能性】
【0045】
本発明は、例えば、複合機などといった画像形成装置に適用可能である。
【符号の説明】
【0046】
1 画像形成装置
3 認証サーバー
4 端末装置
16a ホットフォルダー
16b 認証フォルダー
21 ローカル認証処理部
22 ネットワーク認証要求部
23 ホットフォルダー管理部
31 ネットワーク認証処理部
3 認証サーバー
4 端末装置
16a ホットフォルダー
16b 認証フォルダー
21 ローカル認証処理部
22 ネットワーク認証要求部
23 ホットフォルダー管理部
31 ネットワーク認証処理部
【図1】
【図2】
【図3】
【図4】