知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2021-12-28
(45)【発行日】2022-02-10
(54)【発明の名称】ネットワーク機器、入出力装置、認証方法およびプログラム
(51)【国際特許分類】
H04L 12/46 20060101AFI20220203BHJP
【FI】
H04L12/46 100Z
【請求項の数】
19
(21)【出願番号】P 2017185918
(22)【出願日】2017-09-27
(65)【公開番号】P2019062420
(43)【公開日】2019-04-18
【審査請求日】2020-07-07
(73)【特許権者】
【識別番号】000006747
【氏名又は名称】株式会社リコー
(72)【発明者】
【氏名】岩下 真也
【審査官】羽岡 さやか
(56)【参考文献】
【文献】特開2006-005445(JP,A)
【文献】特開2007-328411(JP,A)
【文献】特開2011-107796(JP,A)
【文献】特開2007-219935(JP,A)
【文献】特開2008-287359(JP,A)
【文献】特開2004-320212(JP,A)
【文献】特開平11-041252(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00-12/955
(57)【特許請求の範囲】
【請求項1】
異なる通信ネットワークに属する装置の間における通信を制御するネットワーク機器であって、第1のネットワークを介して入出力装置に接続する第1のネットワークインタフェースと、
第2のネットワークを介して前記入出力装置の認証を実行する第1の認証装置に接続する第2のネットワークインタフェースと、
第3のネットワークを介して前記第1の認証装置とは異なり前記入出力装置の認証を実行する第2の認証装置に接続する第3のネットワークインタフェースと、
前記第2のネットワークインタフェースを用いて前記第1の認証装置と通信可能であり、前記第3のネットワークインタフェースを用いて前記第2の認証装置と通信可能な通信手段と、
前記入出力装置からの認証要求を受信した場合、当該認証要求を送信する際に用いるネットワークインタフェースを対応させる条件情報に基づいて、前記認証要求の送信先となる前記第1の認証装置及び前記第2の認証装置のうちのいずれかの認証装置を選択する選択部と、
前記選択された認証装置への前記認証要求の送信を制御し、当該認証要求に対する応答である認証結果の情報に基づいて、前記入出力装置への認証情報の送信を制御する制御部と、
前記入出力装置からの認証要求に対する応答が前記ネットワーク機器を宛先とするものであった場合、前記第3のネットワークと前記第1のネットワークとの間でアドレス変換する変換部と、
を備えるネットワーク機器。
【請求項2】
前記変換部は、前記第3のネットワークと前記第1のネットワークとの間でNAT(Network Address Translation)変換するNAT変換部を含む、請求項1に記載のネットワーク機器。
【請求項3】
前記変換部は、前記第2のネットワークと前記第1のネットワークとの間でNAPT(Network Address Port Translation)変換する第1のNAPT変換部と、前記第3のネットワークと前記第1のネットワークとの間で前記NAPT変換する第2のNAPT変換部と、を含む、請求項1に記載のネットワーク機器。
【請求項4】
前記制御部は、前記選択された認証装置から送信された前記認証結果の情報が、認証失敗の情報である場合、前記認証結果を送信した認証装置とは異なる認証装置に対して前記認証要求を送信するよう制御する、請求項1乃至3のいずれか一項に記載のネットワーク機器。
【請求項5】
前記制御部は、前記選択された認証装置から送信された前記認証結果の情報が、認証成功の情報である場合、前記入出力装置へ前記認証情報を送信する、請求項1乃至3のいずれか一項に記載のネットワーク機器。
【請求項6】
前記条件情報は、前記第1の認証装置及び前記第2の認証装置の優先度の情報を含み、前記選択部は、前記優先度に基づいて、前記認証要求の送信先となる認証装置を選択する、請求項1乃至5のいずれか一項に記載のネットワーク機器。
【請求項7】
前記選択部は、前記優先度が最も高い認証装置を前記認証要求の送信先となる認証装置として選択し、前記制御部は、前記選択された認証装置から送信された前記認証結果の情報が認証失敗の情報である場合、前記優先度が二番目に高い認証装置へ前記認証要求を送信する、請求項6に記載のネットワーク機器。
【請求項8】
前記条件情報は、前記ネットワークの秘匿性に関する情報を含み、前記選択部は、前記受信した認証要求と前記秘匿性に関する情報とに基づいて、前記認証要求の送信先となる認証装置を選択する、請求項1乃至5のいずれか一項に記載のネットワーク機器。
【請求項9】
前記選択部は、前記認証要求を送信した入出力装置の属性情報と前記秘匿性に関する情報とに基づいて、前記認証要求の送信先となる認証装置を選択する、請求項8に記載のネットワーク機器。
【請求項10】
前記制御部は、前記認証装置に対して前記認証要求を送信する前に、前記認証要求に含まれるユーザ情報を前記選択された認証装置へ送信するよう制御する、請求項1乃至9のいずれか一項に記載のネットワーク機器。
【請求項11】
前記制御部は、前記ユーザ情報を送信した認証装置から前記ユーザ情報に対応するユーザの存在通知を受信した場合、前記存在通知を送信した認証装置に対して前記認証要求を送信するよう制御する、請求項10に記載のネットワーク機器。
【請求項12】
前記制御部は、前記ユーザ情報を送信した認証装置から前記ユーザ情報に対応するユーザの非存在通知を受信した場合、前記非存在通知を送信した認証装置とは異なる認証装置に対して前記ユーザ情報を送信するよう制御する、請求項10に記載のネットワーク機器。
【請求項13】
前記条件情報は、前記認証装置によって認証可能なユーザの前記ユーザ情報を含み、前記選択部は、前記認証要求に含まれる前記ユーザ情報に対応する認証装置を、前記認証要求の送信先となる認証装置を選択する、請求項10乃至12のいずれか一項に記載のットワーク機器。
【請求項14】
請求項1乃至13のいずれか一項に記載のネットワーク機器であって、更に、前記認証装置が接続されたネットワークインタフェースの情報と前記条件情報とを対応づけて記憶する記憶部を備え、
前記選択部は、前記記憶部に記憶された前記条件情報に基づいて、前記認証要求の送信先となる認証装置を選択する、ネットワーク機器。
【請求項15】
前記認証要求は、TLS(Transport Layer Security)の暗号化プロトコル上で動作し、前記制御部は、前記TLSのセッションを終端する、請求項1乃至14のいずれか一項に記載のネットワーク機器。
【請求項16】
請求項1に記載のネットワーク機器であって、更に、前記第2のネットワークと前記第1のネットワークの間でブリッジ接続するブリッジ接続部、
を備えるネットワーク機器。
【請求項17】
請求項1乃至16のいずれか一項に記載のネットワーク機器を有する入出力装置。
【請求項18】
第1のネットワークを介して入出力装置に接続する第1のネットワークインタフェースと、第2のネットワークを介して前記入出力装置の認証を実行する第1の認証装置に接続する第2のネットワークインタフェースと、第3のネットワークを介して前記第1の認証装置とは異なり前記入出力装置の認証を実行する第2の認証装置に接続する第2の認証装置に接続する第3のネットワークインタフェースと、を有し、前記それぞれのネットワークに属する装置の間における通信を制御するネットワーク機器が実行する認証方法であって、前記入出力装置からの認証要求を受信した場合、当該認証要求を送信する際に用いるネットワークインタフェースを対応させる条件情報に基づいて、前記認証要求の送信先となる前記第1の認証装置及び前記第2の認証装置のうちのいずれかの認証装置を選択する選択ステップと、
前記選択された認証装置への前記認証要求の送信を制御し、当該認証要求に対する応答である認証結果の情報に基づいて、前記入出力装置への認証情報の送信を制御する制御ステップと、
前記入出力装置からの認証要求に対する応答が前記ネットワーク機器を宛先とするものであった場合、前記第3のネットワークと前記第1のネットワークとの間でアドレス変換する変換ステップと、
を実行する認証方法。
【請求項19】
コンピュータに、請求項18に記載の認証方法を実行させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク機器、入出力装置、認証方法およびプログラムに関する。
【背景技術】
【0002】
企業等の組織体内におけるネットワークシステムは、同じ組織体内でも異なる複数のネットワークが存在することがある。このような場合、異なるネットワークに属する装置の間における通信は、例えば、ルータ等のネットワーク機器を介して行われる。
【0003】
一方で、同じ組織体内でも異なるネットワークに属する装置の間における通信を制限したい場合がある。例えば、個人情報等の秘匿すべき情報が流れるネットワークと、売上や人事データ等個人情報よりは秘匿性が高くない情報が流れるOA(Office Automation)系のネットワークが存在するような場合である。このような場合、例えば、ユーザ認証を行う認証装置をネットワーク毎に設け、認証装置によりユーザ認証された装置のみが、認証装置と同じネットワークに属する装置との通信を行うことができるシステムが知られている。
【0004】
例えば、特許文献1には、外部の認証装置によるユーザ認証が成功した場合の認証情報を画像形成装置に記憶しておくことで、外部の認証装置を利用できない場合に、記憶された認証情報を用いてユーザ認証を実行する内容が開示されている。
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかし、上記の方法では、ネットワーク毎に認証装置が存在する場合、ユーザが利用したいネットワークに属する認証装置を選択することは困難であり、画像形成装置等の入出力装置のユーザ認証を適切に行うことができないという課題があった。
【課題を解決するための手段】
【0006】
本発明に係るネットワーク機器は、異なる通信ネットワークに属する装置の間における通信を制御するネットワーク機器であって、第1のネットワークを介して入出力装置に接続する第1のネットワークインタフェースと、第2のネットワークを介して前記入出力装置の認証を実行する第1の認証装置に接続する第2のネットワークインタフェースと、第3のネットワークを介して前記第1の認証装置とは異なり前記入出力装置の認証を実行する第2の認証装置に接続する第3のネットワークインタフェースと、前記第2のネットワークインタフェースを用いて前記第1の認証装置と通信可能であり、前記第3のネットワークインタフェースを用いて前記第2の認証装置と通信可能な通信手段と、前記入出力装置からの認証要求を受信した場合、当該認証要求を送信する際に用いるネットワークインタフェースを対応させる条件情報に基づいて、前記認証要求の送信先となる前記第1の認証装置及び前記第2の認証装置のうちのいずれかの認証装置を選択する選択部と、前記選択された認証装置への前記認証要求の送信を制御し、当該認証要求に対する応答である認証結果の情報に基づいて、前記入出力装置への認証情報の送信を制御する制御部と、前記入出力装置からの認証要求に対する応答が前記ネットワーク機器を宛先とするものであった場合、前記第3のネットワークと前記第1のネットワークとの間でアドレス変換する変換部と、を備える。
【発明の効果】
【0007】
本発明によれば、ネットワーク毎に認証装置が存在する場合においても、入出力装置におけるユーザ認証を適切に行うことができる。
【図面の簡単な説明】
【0008】
【図1】実施形態に係るネットワークシステムの全体構成の一例を示す図である。
【図2】第1の実施形態に係るネットワークシステムの概略の一例を示す図である。
【図3】第1の実施形態に係るネットワーク機器のハードウエア構成の一例を示す図である。
【図4】第1の実施形態に係る入出力装置のハードウエア構成の一例を示す図である。
【図5】第1の実施形態に係る認証サーバのハードウエア構成の一例を示す図である。
【図6】第1の実施形態に係るネットワークシステムの機能構成の一例を示す図である。
【図7】第1の実施形態に係る認証サーバリストの一例を示す図である。
【図8】第1の実施形態に係るアドレスリストの一例を示す図である。
【図9】第1の実施形態に係る認証テーブルの一例を示す図である。
【図10】第1の実施形態に係るネットワークシステムにおける認証処理の一例を示すシーケンス図である。
【図11】第1の実施形態に係る認証サーバにおける処理の一例を示すフローチャートである。
【図12】第1の実施形態に係るネットワーク機器における処理の一例を示すフローチャートである。
【図13】第1の実施形態の変形例に係る認証サーバリストの一例を示す図である。
【図14】第2の実施形態に係るネットワークシステムの機能構成の一例を示す図である。
【図15】第2の実施形態に係るネットワークシステムにおける認証処理の一例を示すシーケンス図である。
【図16】第2の実施形態に係る認証サーバにおける処理の一例を示すフローチャートである。
【図17】第2の実施形態に係るネットワーク機器における処理の一例を示すフローチャートである。
【図18】第3の実施形態に係る認証サーバリストの一例を示す図である。
【図19】第3の実施形態に係るネットワークシステムにおける認証処理の一例を示すシーケンス図である。
【図20】その他の実施形態(その1)に係るネットワークシステムの機能構成の一例を示す図である。
【図21】その他の実施形態(その1)に係るアドレスリストの一例を示す図である。
【図22】その他の実施形態(その2)に係るネットワーク機器を有する入出力装置の一例を説明する図である。
【発明を実施するための形態】
【0009】
以下、図面を参照しながら、発明を実施するための形態を説明する。なお、図面の説明において同一要素には同一符号を付し、重複する説明は省略する。
【0010】
●システムの全体構成●
図1は、実施形態に係るネットワークシステムの全体構成の一例を示す図である。ネットワークシステム1は、通信ネットワーク毎に認証サーバ50が存在する場合において、入出力装置30におけるユーザ認証を適切に行うことができるシステムである。ネットワークシステム1は、ネットワーク機器10、入出力装置30、認証サーバ50、ジョブサーバ70および利用者PC90により構成される。
図1は、実施形態に係るネットワークシステムの全体構成の一例を示す図である。ネットワークシステム1は、通信ネットワーク毎に認証サーバ50が存在する場合において、入出力装置30におけるユーザ認証を適切に行うことができるシステムである。ネットワークシステム1は、ネットワーク機器10、入出力装置30、認証サーバ50、ジョブサーバ70および利用者PC90により構成される。
【0011】
ネットワーク機器10は、異なる通信ネットワークに属する装置の間における通信を制御する装置である。ネットワーク機器10は、複数のネットワークインタフェースを備えており、各ネットワークインタフェースを用いて、異なる通信ネットワークに属する外部装置と通信を行うことができる。
【0012】
図1において、ネットワーク機器10は、三つのネットワークインタフェースを有している。ネットワーク機器10は、ネットワークA21を介して、認証サーバ50a、ジョブサーバ70aおよび利用者PC90aのそれぞれと通信可能である。また、ネットワーク機器10は、ネットワークB22を介して、認証サーバ50b、ジョブサーバ70bおよび利用者PC90bのそれぞれと通信可能である。ネットワーク機器10のネットワークA21におけるIP(Internet Protocol)アドレスは、「192.168.1.5」であり、ネットワーク機器10のネットワークB22におけるIPアドレスは、「192.168.2.5」である。
【0013】
さらに、ネットワーク機器10は、ネットワークC23を介して、プリンタ等の入出力装置30と通信可能である。なお、ネットワーク機器10は、ネットワークC23におけるIPアドレスを有していない。これは、ネットワーク機器10のネットワークC23と接続されるネットワークインタフェースは、単に通信のインターフェースを提供すればよく、例えばハブやLANスイッチと同様に扱われるためである。また、入出力装置30がネットワークC23と接続されるネットワークインタフェースのIPアドレスを宛先にして通信することもないため、ネットワーク機器10は、ネットワークC23と接続されるネットワークインタフェースがIPアドレスを有する必要がない。
【0014】
ネットワークA21とネットワークB22は、それぞれに独立した認証サーバ50(認証サーバ50aおよび認証サーバ50b)を有する。ネットワークA21のサブネットマスクは、「192.168.1.0/24」であり、ネットワークB22のサブネットマスクは、「192.168.2.0/24」である。また、認証サーバ50aのIPアドレスは「192.168.1.4」であり、認証サーバ50bのIPアドレスは「192.168.2.4」である。
【0015】
入出力装置30は、ネットワークA21のサブネットに属するIPアドレスを有している。入出力装置30のIPアドレスは、「192.168.1.2」である。ネットワーク機器10は、入出力装置30をネットワークA21に接続されている装置として扱う。入出力装置30は、従来の一系統のネットワークの動作では、認証サーバ50のIPアドレスを「192.168.1.4」または「192.168.2.4」として認識する。一方で、本発明に係るネットワークシステムにおいて、入出力装置30は、ネットワーク機器10のネットワークA21におけるIPアドレス「192.168.1.5」を認証サーバ50として認識する。
【0016】
ネットワーク機器10は、ネットワークC23に接続された入出力装置30とネットワークA21に接続された各装置との間で通信を行う場合、パケットのMAC(Media Access Control)アドレスまたはIP(Internet Protocol)アドレスを変更せずに転送処理を実行するブリッジ動作を行う。また、ネットワーク機器10は、ネットワークC23に接続された入出力装置30とネットワークB22に接続された各装置との間で通信を行う場合、パケットのMACアドレスまたはIPアドレスを変換して転送処理を実行するSNAT(Source Network Address Translation)またはDNAT(Destination Network Address Translation)動作を行う。ネットワーク機器10におけるパケットの転送処理の詳細は、後述する。
【0017】
入出力装置30は、例えば、プリント機能、コピー機能、スキャナ機能およびFAX機能といった複数の機能を1つの筐体で実現する複合機等の画像形成装置である。画像形成装置は、複合機の他、MFP(Multifunction Peripheral)、複写機等と呼ばれてもよい。入出力装置30は、プリント機能、コピー機能、スキャナ機能またはFAX機能の一つだけを有していてもよい。この場合、入出力装置30は、プリンタ、複写機、スキャナ装置、またはFAX装置と呼ばれる。
【0018】
なお、入出力装置30は、画像形成装置に限らず、例えば、PJ(Projector:プロジェクタ)、IWB(Interactive White Board:相互通信が可能な電子式の黒板機能を有する白板)、デジタルサイネージ等の出力装置、HUD(Head Up Display)装置、スピーカ等の音響出力装置、産業機械、撮像装置、集音装置、医療機器、ネットワーク家電等でもよい。
【0019】
認証サーバ50aまたは認証サーバ50b(以下、区別する必要のないときは、認証サーバ50とする。)は、ネットワークA21またはネットワークB22に対してそれぞれ接続される認証サーバ装置である。認証サーバ50は、入出力装置30のユーザ認証を行うコンピュータである。認証サーバ50は、例えば、LDAP(Lightweight Directory Access Protocol)サーバを利用してユーザの認証を行う。認証サーバ50による認証方式は、これに限られない。
【0020】
ジョブサーバ70aまたはジョブサーバ70b(以下、区別する必要のないときは、ジョブサーバ70とする。)は、ネットワークA21またはネットワークB22に対してそれぞれ接続されるサーバ装置である。ジョブサーバ70は、利用者PC90から要求された入出力装置30に対するジョブを蓄積する。そして、ジョブサーバ70は、入出力装置30のユーザ認証が行われた場合に、蓄積したジョブを入出力装置30に対して出力する。
【0021】
利用者PC90aまたは利用者PC90b(以下、区別する必要のないときは、利用者PC90とする。)は、ネットワークA21またはネットワークB22に対してそれぞれ接続される情報処理装置である。利用者PC90は、例えば、ノートPC(Personal Computer)等の利用者により携帯または操作可能な通信端末である。利用者PC90は、携帯電話、スマートフォン、タブレット端末、ゲーム機、PDA(Personal Digital Assistant)、デジタルカメラ、ウェアラブルPC、デスクトップPC等でもよい。
【0022】
なお、ネットワーク機器10は、三つのネットワークインタフェースを有する例を説明したが、ネットワークが三系統以上であり、三つ以上のネットワークインタフェースを有する構成であってもよい。
【0023】
●第1の実施形態●
●概略
図2は、第1の実施形態に係るネットワークシステムの概略の一例を示す図である。図2は、ネットワークシステム1において、入出力装置30がネットワーク機器10を介して認証サーバ50への認証処理を行う例を示している。なお、図2は、第1の実施形態に係るネットワークシステムの概略を簡略的に説明したものであり、ネットワークシステム1が実現する機能等の詳細は、後述する図面等を用いて説明する。
●概略
図2は、第1の実施形態に係るネットワークシステムの概略の一例を示す図である。図2は、ネットワークシステム1において、入出力装置30がネットワーク機器10を介して認証サーバ50への認証処理を行う例を示している。なお、図2は、第1の実施形態に係るネットワークシステムの概略を簡略的に説明したものであり、ネットワークシステム1が実現する機能等の詳細は、後述する図面等を用いて説明する。
【0024】
図2に示すネットワーク機器10は、三つのネットワークインタフェースを有している。NIC(Network Interface Card)_A106aは、認証サーバ50aが接続されたネットワークA21に接続されている。NIC_B106bは、認証サーバ50bが接続されたネットワークB22に接続されている。NIC_C106cは、入出力装置30が接続されたネットワークC23に接続されている。NIC_C106cは、第1のネットワークインタフェースの一例である。NIC_A106aは、第2のネットワークインタフェースの一例である。NIC_B106bは、第3のネットワークインタフェースの一例である。また、ネットワークC23は、第1のネットワークの一例である。ネットワークA21は、第2のネットワークの一例である。ネットワークB22は、第3のネットワークの一例である。さらに、認証サーバ50aは、第1の認証装置の一例である。認証サーバ50bは、第2の認証装置の一例である。
【0025】
図2において、入出力装置30は、ユーザの認証要求をネットワーク機器10へ送信する。入出力装置30は、ネットワーク機器10のIPアドレスを認証サーバ50の宛先として、ネットワーク機器10に対して、認証要求を送信する。ネットワーク機器10は、NIC_C106を用いてユーザの認証要求を受信する。ネットワーク機器10は、入出力装置30から認証要求を受信すると、OSI(Open Systems Interconnection)のアプリケーション層(レイヤ7)において、認証プロキシとして動作する。
【0026】
ネットワーク機器10は、ユーザの認証要求を受信すると、選択部14によって、予め記憶された認証サーバリスト41に基づいて、認証要求を送信する認証サーバ50を選択する。認証サーバリスト41は、ネットワーク機器10に接続された認証サーバ50の優先度を示す情報を記憶している。認証サーバ50の優先度を示す情報は、認証要求を送信する際に用いるネットワークインタフェースを対応させる条件情報の一例である。選択部14は、認証サーバリスト41に含まれる最も優先度の高いネットワークインタフェースに対応づけられた(紐づけられた、関連づけられた)認証サーバを、認証要求を送信する認証サーバ50として選択する。認証サーバリスト41の詳細は、後述する。
【0027】
ネットワーク機器10の制御部17は、選択された認証サーバ50に対して、NIC_A106aまたはNIC_B106bを用いて認証要求を送信するよう制御する。そして、制御部17は、認証サーバ50から認証結果を受信した場合、入出力装置30への認証結果の送信を制御する。制御部17は、認証サーバ50から送信された認証結果が、ユーザ認証に成功したことを示す認証成功通知である場合、入出力装置30に対して認証成功通知を送信するよう制御する。
【0028】
一方で、制御部17は、認証サーバ50から送信された認証結果が、ユーザ認証に失敗したことを示す認証失敗通知である場合、認証失敗通知を送信した認証サーバ50とは異なる認証サーバ50に対して、認証要求を送信するよう制御する。
【0029】
図2に示すネットワークシステム1において、認証サーバ50aは、認証失敗通知をネットワーク機器10に送信する。そして、NIC_A106aを用いて認証失敗通知を受信したネットワーク機器10の制御部17は、認証サーバ50bに対して、NIC_B106bを用いて、ユーザの認証要求を送信する。
【0030】
認証サーバ50bは、認証成功通知をネットワーク機器10に送信する。そして、NIC_B106bを用いて認証成功通知を受信したネットワーク機器10の制御部17は、入出力装置30に対して、認証成功通知を送信する。これにより、ネットワークシステム1は、通信ネットワーク毎に認証サーバ50が運用されている場合においても、ネットワーク機器10を介して認証サーバ50への認証要求を行うことで、入出力装置30のユーザ認証を適切に行うことができる。
【0031】
従来、RADIUS(Remote Authentication Dial In User Service)やLDAP等の認証プロトコルを用いる外部認証サーバは、プロトコルそのものにレルムやドメインと呼ばれる認証ポリシーを設けることで、ユーザが所属する組織等を識別する仕組みがある。また、HTTP等の汎用的なプロトコルを用いて、レルムやドメインと呼ばれる認証ポリシーを持たない独自の方式で認証処理を行う認証サーバも存在する。しかしながら、ネットワーク毎に独自の認証サーバ50が接続されている場合、入出力装置30は、入出力装置30が共有する全ての通信ネットワークに接続された認証サーバ50において、認証ポリシーの設定や認証方式を記憶しておく必要がある。
【0032】
そこで、第1の実施形態によれば、ネットワークシステム1は、異なるネットワークインタフェースを用いて入出力装置30および複数の認証サーバ50と接続するネットワーク機器10を介して、入出力装置30のユーザ認証を行う。ネットワーク機器10は、入出力装置30から送信された認証要求を受信すると、認証サーバリスト41に基づいて、認証要求を送信する認証サーバ50を選択する。そして、ネットワーク機器10は、選択された認証サーバ50への認証要求に対する応答である認証結果の情報に基づいて、入出力装置30への認証情報の送信を制御する。そのため、ネットワークシステム1は、通信ネットワーク毎に独自の認証サーバ50が運用されている場合においても、入出力装置30におけるユーザ認証を適切に行うことができる。
【0033】
●ハードウエア構成
図3は、第1の実施形態に係るネットワーク機器のハードウエア構成の一例を示す図である。なお、図3に示すネットワーク機器10のハードウエア構成は、各実施形態において同様の構成を有していてもよく、必要に応じて構成要素が追加または削除されてもよい。ネットワーク機器10は、CPU(Central Processing Unit)101、ROM(Read Only Memory)102、RAM(Random Access Memory)103、ストレージ104、入出力インターフェース(I/F)105、通信部106およびバス107等を有する。
図3は、第1の実施形態に係るネットワーク機器のハードウエア構成の一例を示す図である。なお、図3に示すネットワーク機器10のハードウエア構成は、各実施形態において同様の構成を有していてもよく、必要に応じて構成要素が追加または削除されてもよい。ネットワーク機器10は、CPU(Central Processing Unit)101、ROM(Read Only Memory)102、RAM(Random Access Memory)103、ストレージ104、入出力インターフェース(I/F)105、通信部106およびバス107等を有する。
【0034】
CPU101は、ROM102やストレージ104等に格納された本発明に係るプログラムやデータをRAM103上に読み出し、処理を実行することで、ネットワーク機器10の各機能を実現する演算装置である。ネットワーク機器10は、例えば、本発明に係るプログラムをCPU101が実行することによって、本発明に係る認証方法を実現する。
【0035】
ROM102は、電源を切ってもプログラムやデータを保持することができる不揮発性のメモリである。ROM102は、例えば、フラッシュROM等により構成される。ROM102は、多種の用途に対応したSDK(Software Development Kit)がインストールされており、SDKのアプリケーションを用いて、ネットワーク機器10の機能やネットワーク接続等を実現することが可能である。RAM103は、CPU101のワークエリア等として用いられる揮発性のメモリである。
【0036】
ストレージ104は、例えば、HDD(Hard Disk Drive)、SSD(Solid State Drive)等のストレージデバイスである。ストレージ104は、OS(Operation System)、アプリケーションプログラム、および各種データ等を記憶する。入出力インターフェース(I/F)105は、ネットワーク機器10に外部装置を接続するためのインターフェースである。外部装置は、例えば、USB(Universal Serial Bus)メモリ、メモリカード、光学ディスク等の記録媒体105aや、各種の電子機器等が含まれる。
【0037】
通信部106は、外部装置とネットワークを介して通信(接続)を行う通信部である。通信部106は、NIC(Network Interface Card)_A106a、NIC_B106bおよびNIC_C106cを有する。NIC_A106a~NIC_C106cは、ネットワーク機器をネットワークA~Cに接続するインターフェースである。NIC_A106a~NIC_C106cは、ネットワーク機器10がLAN(Local Area Network)に接続するためのLANカード等のハードウエアであり、例えば、Ethernet(登録商標)カードである。
【0038】
NIC_A106a~NIC_C106cは、脱着可能でもよいし、ネットワーク機器10に固定されていてもよい。また、NIC_A106a~NIC_C106cは、ネットワーク機器10に対し外付けされる外付け型でもよい。この場合、ネットワーク機器10とNIC_A106a~NIC_C106cは、USBケーブルやIEEE(Institute of Electrical and Electronic Engineers)1394ケーブル等で接続される。また、NIC_A106a~NIC_C106cは、三つであるが、四つ以上でもかまわない。NIC_A106a~NIC_C106cの数は、入出力装置30を共用したい異なるネットワークの数やCPU101の能力によって決定される。
【0039】
バス107は、上記各構成要素に接続され、アドレス信号、データ信号、および各種制御信号等を伝送する。CPU101、ROM102、RAM103、ストレージ104、外部インターフェース(I/F)105および通信部106は、バス107を介して相互に接続されている。
【0040】
図4は、第1の実施形態に係る入出力装置のハードウエア構成の一例を示す図である。図4は、入出力装置30の一例として複合機のハードウエア構成を説明する。なお、図4に示す入出力装置30のハードウエア構成は、各実施形態において同様の構成を有していてもよく、必要に応じて構成要素が追加または削除されてもよい。入出力装置30は、コントローラ310を有する。コントローラ310は、CPU301、SDRAM(Synchronous Dynamic Random Access Memory)302、フラッシュメモリ303、HDD304、ASIC(Application Specific Integrated Circuit)305およびNIC_X306等を有する。
【0041】
ASIC305は、CPUインターフェース、SDRAMインターフェース、ローカルバスインターフェース、PCI(Peripheral Component Interconnect)バスインターフェース、MAC(Media Access Controller)およびHDDインターフェース等を備える多機能デバイスボードである。
【0042】
CPU301は、ASIC305を介して各種プログラムをHDD304から読み取り実行する。SDRAM302は、各種プログラムを記憶するプログラムメモリや、CPU301が各種プログラムを実行する際に使用するワークメモリ等として機能する。なお、SDRAM302の代わりに、DRAM(Dynamic Random Access Memory)やSRAM(Static Random Access Memory)を用いてもよい。
【0043】
フラッシュメモリ303は不揮発性メモリであり、入出力装置30を起動させるブートローダ(ブートプログラム)やOSを記憶する。また、各プログラムを記憶するアプリケーションメモリとして機能する。また、フラッシュメモリ303は、各サービス(コピーサービス、プリントサービス、ファクシミリサービス)のソフトウエアを記憶するサービスメモリとして機能する。
【0044】
さらに、フラッシュメモリ303は、ファームウェアを記憶するファームメモリ、ネットワークアドレスや機種機番等を記憶するデータメモリとして機能する。なお、フラッシュメモリ303の代わりに、RAMと電池を利用したバックアップ回路を集積した不揮発性RAMや、EEPROM(Electrically Erasable Programmable Read-Only Memory)等の他の不揮発性メモリを使用してもよい。
【0045】
HDD304は、入出力装置30の電源のオン、オフに関わりなくデータを記憶する不揮発性の記憶媒体である。HDD304は、フラッシュメモリ303内に記憶されたプログラムおよびデータ以外のプログラム、並びにデータを記録する。なお、HDD304は、ファームメモリとして使用してもよい。
【0046】
NIC_X306は、CPU301の指示に従い、他の機器との通信を行うインターフェースである。NIC_X306は、ネットワーク機器10が有するものと同様である。入出力装置30は、NIC_X306を使用してネットワークC23を介してネットワーク機器10と通信を行う。
【0047】
操作部320は、USBケーブル等を用いてコントローラ310と接続されている。操作部320は、入出力装置30に対して操作を行うユーザのためのインターフェースである。操作部320は、各種の操作キー、表示装置としてのLCD(Liquid Crystal Display)またはCRT(Cathode-Ray Tube)の文字表示器およびタッチパネルを有する。入出力装置30は、操作部320を操作することにより、データの入力、ジョブの実行、表示をすることができる。
【0048】
さらに、コントローラ310には、PCIバス390を介して、ファックス制御ユニット330、記憶媒体340aが脱着可能なUSB340、IEEE1394(350)、プロッタエンジン360、スキャナエンジン370およびNFC(Near Field Communication)モジュール380等が接続されている。これにより、入出力装置30は、コピーサービス、プリントサービス、ファクシミリサービス等の各サービスを提供することができる。プロッタエンジン360は、電子写真方式またはインクジェット方式のいずれの方式を採用していてもよい。
【0049】
なお、図示する構成は一例に過ぎず、入出力装置30のハードウエア構成は、図4の構成には限られない。例えば、NIC_X306は、PCIバス390に接続されていてもよい。また、NIC_X306は、有線でネットワークCに接続される他、無線LAN等の無線で接続されていてもよい。さらに、NIC_X306は、複数あってもよい。また、NIC_X306に代えて、またはNIC_X306と共に、電話回線網に接続するDSU(Digital Service Unit)またはモデムを有していてもよい。さらに、携帯電話網に接続する通信装置を有していてもよい。
【0050】
図5は、第1の実施形態に係る認証サーバのハードウエア構成の一例を示す図である。なお、図5に示す認証サーバ50のハードウエア構成は、各実施形態において同様の構成を有していてもよく、必要に応じて構成要素は追加または削除されてもよい。認証サーバ50は、CPU501、ROM502、RAM503、ストレージ504、入出力インターフェース505、NIC_X506およびバス507等を有する。
【0051】
CPU501は、認証サーバ50全体の動作を制御する。CPU501は、ROM502やストレージ504等に格納されたプログラムやデータをRAM503上に読み出し、処理を実行することで、認証サーバ50の各機能を実現する演算装置である。
【0052】
RAM503は、CPU501のワークエリア等として用いられる揮発性のメモリである。ROM502は、電源を切ってもプログラムやデータを保持することができる不揮発性のメモリである。ストレージ504は、例えば、HDD、SSD、またはフラッシュROM等のストレージデバイスであり、OS、アプリケーションプログラム、および各種データ等を記憶する。
【0053】
入出力インターフェース(I/F)505は、認証サーバ50に外部装置を接続するためのインターフェースである。外部装置は、例えば、USBメモリ、メモリカード、光学ディスク等の記録媒体505aや、各種の電子機器等が含まれる。
【0054】
NIC_X506は、CPU501の指示に従い、他の機器との通信を行うインターフェースである。NIC_X506は、ネットワーク機器10または入出力装置30が有するものと同様である。認証サーバ50aは、例えば、NIC_X506を使用してネットワークA21を介してネットワーク機器10と通信を行う。また、認証サーバ50bは、例えば、NIC_X506を使用してネットワークB22を介してネットワーク機器10と通信を行う。
【0055】
バス507は、上記各構成要素に接続され、アドレス信号、データ信号、および各種制御信号等を伝送する。CPU501、ROM502、RAM503、ストレージ504、外部インターフェース(I/F)505およびNIC_X506は、バス507を介して相互に接続されている。
【0056】
●機能構成
続いて、第1の実施形態に係るネットワークシステムの機能構成について説明する。図6は、第1の実施形態に係るネットワークシステムの機能構成の一例を示す図である。ネットワーク機器10により実現される機能は、第1の送受信部11、第2の送受信部12、第3の送受信部13、選択部14、記憶・読出部15、記憶部16、制御部17、ブリッジ接続部18およびNAT(Network Address Translation)変換部19を含む。
続いて、第1の実施形態に係るネットワークシステムの機能構成について説明する。図6は、第1の実施形態に係るネットワークシステムの機能構成の一例を示す図である。ネットワーク機器10により実現される機能は、第1の送受信部11、第2の送受信部12、第3の送受信部13、選択部14、記憶・読出部15、記憶部16、制御部17、ブリッジ接続部18およびNAT(Network Address Translation)変換部19を含む。
【0057】
第1の送受信部11は、ネットワークC23からパケットを受信し、ネットワークC23にパケットを送信する機能である。第1の送受信部11は、入出力装置30から送信されたユーザの認証要求を受信する。ユーザの認証要求は、ユーザ情報およびパスワード等の認証情報を含む。ユーザ情報は、例えば、ユーザ名である。パスワードは、ユーザ認証に用いられる秘密情報の一例である。
【0058】
また、第1の送受信部11は、認証サーバ50から送信された認証結果を、入出力装置30に対して送信する。第1の送受信部11は、例えば、図3に示したCPU101がプログラムを実行し、NIC_C106cを制御することにより実現される。
【0059】
第2の送受信部12は、ネットワークA21からパケットを受信し、ネットワークA21にパケットを送信する機能である。第2の送受信部12は、例えば、図3に示したCPU101がプログラムを実行し、NIC_A106aを制御することにより実現される。
【0060】
第3の送受信部13は、ネットワークB22からパケットを受信し、ネットワークB22にパケットを送信する機能である。第3の送受信部13は、例えば、図3に示したCPU101がプログラムを実行し、NIC_B106bを制御することにより実現される。第2の送受信部12および第3の送受信部13は、入出力装置30からのユーザの認証要求を認証サーバ50に対して送信し、認証要求に対する応答である認証結果の通知を認証サーバ50から受信する。第2の送受信部12および第3の送受信部13は、通信手段の一例である。
【0061】
選択部14は、記憶部16に記憶された認証サーバリスト41に基づいて、認証要求の送信先となる認証サーバ50を選択する機能である。選択部14は、例えば、図3に示したCPU101で実行されるプログラム等により実現される。
【0062】
ここで、認証サーバリスト41の詳細について説明する。図7は、第1の実施形態に係る認証サーバリストの一例を示す図である。図7に示す認証サーバリスト41は、ネットワーク機器10に接続された認証サーバ50の情報を示す。認証サーバリスト41は、認証サーバ50のIPアドレス、認証サーバ50との通信に利用するネットワークインタフェース、および認証サーバ50の優先度の情報が、認証サーバ50毎に紐づいてリスト化されている。認証サーバ50の優先度を示す情報は、認証要求を送信する際に用いるネットワークインタフェースを対応させる条件情報の一例である。
【0063】
認証サーバ50のIPアドレスは、認証サーバ50とネットワークを介して通信を行うため宛先情報である。なお、認証サーバ50のIPアドレスは、認証サーバ50のネットワーク上の位置を特定できる情報であればよく、例えば、認証サーバ50のMACアドレス等であってもよい。認証サーバ50との通信に利用するネットワークインタフェースは、ネットワーク機器10が備えるネットワークインタフェースのうち、認証サーバ50との通信に利用可能なネットワークインタフェースを示す。
【0064】
認証サーバ50の優先度の情報は、ネットワーク機器10が接続される認証サーバ50毎に優先度が付与されている。図7に示す優先度は、数字が大きいほど優先度が高いものとする。優先度は、ユーザにより適宜設定または変更が可能である。なお、優先度の情報は、数字が小さいほど優先度が高いものと設定されてもよい。また、優先度は、図7に示すような数字の大小だけでなく、優先度の高低を示す情報または優先順位を示す情報であってもよい。優先度は、複数の情報で優先度を示してもよい。さらに、優先度は、ネットワーク機器10が接続される認証サーバ50が三つ以上ある場合であっても、各々の認証サーバ50の優先度が判別できるよう優先度が設定される。
【0065】
図7の例では、認証サーバ50aのIPアドレスは、「192.168.1.4」であり、NIC_A106aを用いて通信可能である。一方で、認証サーバ50bのIPアドレスは、「192.168.2.4」であり、NIC_B106bを用いて通信可能である。さらに、認証サーバ50aは、認証サーバ50bよりも優先度が高く設定されている。
【0066】
図6に戻り、ネットワーク機器10の機能構成の説明を続ける。記憶・読出部15は、記憶部16に各種データを記憶し、記憶部16から各種データを読み出す機能である。記憶・読出部15および記憶部16は、例えば、図3に示したROM102、ストレージ104およびCPU101で実行されるプログラム等により実現される。記憶部16は、図6に示した認証サーバリスト41と後述するアドレスリスト42を記憶している。
【0067】
制御部17は、入出力装置30または認証サーバ50との通信を制御する機能である。制御部17は、選択部14によって選択された認証サーバ50に対して、入出力装置30からの認証要求を送信するよう制御する。また、制御部17は、認証サーバ50への認証要求に対する応答である認証結果の情報に基づいて、入出力装置30に対して認証結果の送信を制御する。
【0068】
具体的には、制御部17は、認証サーバ50からユーザの認証に成功したことを示す認証成功通知を受信した場合、入出力装置30に対して認証成功通知を送信するよう制御する。一方で、制御部17は、認証サーバ50からユーザの認証に失敗したことを示す認証失敗通知を受信した場合、認証失敗通知を送信した認証サーバ50とは異なる認証サーバ50に対して、認証要求を送信する。制御部17は、例えば、図3に示したCPU101で実行されるプログラム等により実現される。
【0069】
ブリッジ接続部18は、OSIのデータリンク層(レイヤ2)で動作するパケットの中継機能である。ブリッジ接続部18は、ネットワークC23から送信されたパケットのMACアドレスをMACアドレステーブル42aに記憶しておき、ネットワークA21から送信されたパケットのMACアドレスをMACアドレステーブル42aに記憶しておく。ブリッジ接続部18は、例えば、図3に示したCPU101で実行されるプログラム等により実現される。
【0070】
ここで、MACアドレステーブル42aの詳細について説明する。図8(a)は、MACアドレステーブルの一例を示す。図8(a)に示すMACアドレステーブルは、ネットワークA21のNIC_A106aとネットワークC23のNIC_C106cとを対応付けて記憶している。図8(a)に示すMACアドレステーブルは、ネットワークA21に接続された認証サーバ50aとネットワークC23に接続された認証サーバ50bのMACアドレスが登録されている。
【0071】
ブリッジ接続部18は、ネットワークC23から、ネットワークA21の機器のMACアドレスを宛先とするパケットが送信された場合、MACアドレステーブル42aを参照して、このMACアドレスの機器がネットワークA21にあることを検出する。そして、ブリッジ接続部18は、ネットワークA21にパケットをそのまま送信する。同様に、ブリッジ接続部18は、ネットワークA21から、ネットワークC23の機器のMACアドレスを宛先とするパケットが送信された場合、MACアドレステーブル42aを参照して、このMACアドレスの機器がネットワークC23にあることを検出する。そして、ブリッジ接続部18は、ネットワークC23にパケットをそのまま送信する。
【0072】
ブリッジ接続部18は、1対1の接続において(この場合は、入出力装置30と認証サーバ50a)、MACアドレスに基づきデータの送信先を制御するブリッジ機能を有し、1対nまたはn対nでMACアドレスに基づきデータの送信先を制御するハブやL2スイッチと機能は同じである。
【0073】
NAT変換部19は、OSIのIP層(レイヤ3)で動作するパケットのIPアドレスの相互変換を行う機能である。NAT変換部19は、NATテーブル42bに基づいて、IPアドレスの相互変換を行う。
【0074】
ここで、NATテーブル42bの詳細について説明する。図8(b)は、NATテーブルの一例を示す。NATテーブル42bは、変換前のIPアドレスと変換後のIPアドレスが対応付けられている。変換前のIPアドレスは、ネットワーク機器10のIPアドレス(認証サーバ50bはネットワーク機器10を宛先にするため)であり、変換後のIPアドレスは、入出力装置30のIPアドレスである。
【0075】
NAT変換部19は、ネットワークB22の認証サーバ50bからネットワーク機器10を宛先とするIPアドレスが送信された場合(送信元のIPアドレスは認証サーバ50b)、NATテーブル42bを参照してこのパケットの宛先のIPアドレスを入出力装置30のIPアドレスに変換する。このパケットの応答として、入出力装置30から認証サーバ50bのIPアドレスを宛先とするパケットが送信された場合、NAT変換部19は、NATテーブル42bを参照して、送信元のIPアドレスを入出力装置30のIPアドレスからネットワーク機器10のIPアドレスに変換してネットワークB22に送信する。
【0076】
続いて、入出力装置30の機能構成について説明する。入出力装置30により実現される機能は、受付部31、送受信部32および表示制御部33を含む。受付部31は、入出力装置30のユーザからユーザの認証要求を受け付ける機能である。受付部31は、例えば、ICカードの読み取り、またはキーボードもしくはタッチパネル等を用いた操作部320への入力によって、ユーザから認証要求を受け付ける。受付部31は、例えば、図4に示した操作部320およびCPU301で実行されるプログラム等により実現される。
【0077】
送受信部32は、ネットワークC23からパケットを受信し、ネットワークC23にパケットを送信する機能である。送受信部32は、ネットワーク機器10に対してユーザの認証要求を送信する。また、送受信部32は、ネットワーク機器10から認証要求に対する認証結果を受信する。送受信部32は、例えば、図4に示したNIC_X306およびCPU301で実行されるプログラム等により実現される。
【0078】
表示制御部33は、ネットワーク機器10から送信された認証結果の情報を操作部320に表示させる機能である。表示制御部33は、例えば、図4に示した操作部320およびCPU301で実行されるプログラム等により実現される。
【0079】
続いて、認証サーバ50の機能構成について説明する。なお、ネットワークA21に接続された認証サーバ50aとネットワークB22に接続された認証サーバ50bは、同様の機能を有するため、重複する説明は省略する。
【0080】
認証サーバ50aにより実現される機能は、送受信部51a、認証部52a、記憶・読出部53aおよび記憶部54aを含む。送受信部51aは、ネットワークA21からパケットを受信し、ネットワークA21にパケットを送信する機能である。送受信部51aは、ネットワーク機器10から入出力装置30のユーザの認証要求を受信する。また、送受信部51aは、受信した認証要求に対する応答である認証結果の情報を、ネットワーク機器10に対して送信する。送受信部51aは、例えば、図5に示したNIC_X506およびCPU501で実行されるプログラム等により実現される。
【0081】
認証部52aは、送受信部51aによって受信された認証要求に含まれる認証情報に基づいて、ユーザ認証を行う機能である。具体的には、送受信部51aは、受信された認証要求に含まれる認証情報が記憶部54aに記憶された認証テーブル43aに含まれる場合、ユーザの認証に成功したことを示す認証成功通知を出力する。一方で、送受信部51aは、受信された認証要求に含まれる認証情報が記憶部54aに記憶された認証テーブル43aに含まれない場合、ユーザの認証に失敗したことを示す認証失敗通知を出力する。認証部52aは、例えば、図5に示したCPU501で実行されるプログラム等により実現される。
【0082】
ここで、認証テーブル43の詳細を説明する。図9は、第1の実施形態に係る認証テーブルの一例を示す図である。図9に示す認証テーブル43は、認証サーバ50において認証処理を行うユーザの認証情報を示す。図9に示すように、認証情報は、ユーザ名およびパスワードを含む。ユーザ名は、例えば、ユーザ情報の一例である。パスワードは、ユーザ認証に用いられる秘密情報の一例である。認証情報は、ユーザまたは管理者により適宜設定または変更が可能である。
【0083】
図9(a)は、認証サーバ50aの記憶部54aに記憶された認証テーブル43aを示す。図9(a)に示すように、認証サーバ50aは、ユーザ名「taro」、パスワード「abcd」の認証情報を有するユーザとユーザ名「jiro」、パスワード「cdef」の認証情報を有するユーザの認証処理を行う。
【0084】
一方で、図9(b)は、認証サーバ50bの記憶部54bに記憶された認証テーブル43bを示す。図9(b)に示すように、認証サーバ50bは、ユーザ名「hanako」、パスワード「bcde」の認証情報を有するユーザと、ユーザ名「kaori」、パスワード「defg」の認証情報を有するユーザの認証処理を行う。
【0085】
図6に戻り、認証サーバ50の機能構成の説明を続ける。記憶・読出部53aは、記憶部54aに各種データを記憶し、記憶部54aから各種データを読み出す機能である。記憶・読出部53aおよび記憶部54aは、例えば、図5に示したROM502、ストレージ504およびCPU501で実行されるプログラム等により実現される。記憶部54aは、図9に示した認証テーブル43aを記憶している。
【0086】
●認証処理
続いて、第1の実施形態に係るネットワークシステムにおける認証処理について説明する。図10は、第1の実施形態に係るネットワークシステムにおける認証処理の一例を示すシーケンス図である。なお、図10は、図9に示すユーザ名が「hanako」であるユーザの認証処理を行う場合について説明する。
続いて、第1の実施形態に係るネットワークシステムにおける認証処理について説明する。図10は、第1の実施形態に係るネットワークシステムにおける認証処理の一例を示すシーケンス図である。なお、図10は、図9に示すユーザ名が「hanako」であるユーザの認証処理を行う場合について説明する。
【0087】
ステップS101において、入出力装置30は、ユーザからの認証要求を受け付ける。具体的には、入出力装置30の受付部31は、操作部320に対するユーザの入力操作等により、ユーザ名が「hanako」であるユーザからの認証要求を受け付ける。そして、受付部31は、受け付けた認証要求を送受信部32に対して出力する。
【0088】
ステップS102において、入出力装置30は、ネットワーク機器10の第1の送受信部11に対して、ユーザの認証要求を送信する、具体的には、入出力装置30の送受信部32は、受付部31から出力されたユーザ名が「hanako」であるユーザからの認証要求を検知した場合、検知した認証要求を、第1の送受信部11に対して送信する。入出力装置30は、ネットワーク機器10を認証サーバとして認識しているため、ネットワーク機器10のIPアドレス「192.168.1.5」に対して、認証要求を送信する。
【0089】
ステップS103において、ネットワーク機器10の第1の送受信部11は、選択部14に対して、受信した認証要求を出力する。ネットワーク機器10は、入出力装置30から認証要求を受信すると、OSIのアプリケーション層(レイヤ7)において、認証プロキシとして動作する。
【0090】
ステップS104において、ネットワーク機器10の選択部14は、認証要求を受信した場合、記憶部16に記憶された認証サーバリスト41の読出しを行う。具体的には、選択部14は、記憶・読出部15に対して認証サーバリスト41の読出要求を出力する。そして、記憶・読出部15は、出力された読出要求を検知した場合、記憶部16に記憶された認証サーバリスト41を読み出す。
【0091】
ステップS105において、ネットワーク機器10の記憶部16は、選択部14に対して、認証サーバリスト41を出力する。具体的には、記憶部16は、記憶・読出部15に対して、認証サーバリスト41を出力する。そして、記憶・読出部15は、選択部14に対して、認証サーバリスト41を出力する。
【0092】
ステップS106において、ネットワーク機器10の選択部14は、出力された認証サーバリスト41に含まれる認証サーバ50に対応する条件情報に基づいて、認証要求を送信する認証サーバ50を選択する。具体的には、選択部14は、認証サーバリスト41に含まれる認証サーバ50の中から、最も優先度の高い認証サーバ50を、認証要求を送信する認証サーバ50として選択する。認証サーバ50の優先度を示す情報は、認証要求を送信する際に用いるネットワークインタフェースを対応させる条件情報の一例である。図7に示す認証サーバリスト41において、認証サーバ50aが最も優先度の高い認証サーバ50であるため、選択部14は、認証サーバ50aを、認証要求を送信する認証サーバ50として選択する。
【0093】
ステップS107において、ネットワーク機器10の選択部14は、選択結果である認証サーバ50の情報を、制御部17に対して出力する。具体的には、選択部14は、選択結果である認証サーバ50aの情報を制御部17に対して出力する。
【0094】
ステップS108において、ネットワーク機器10の制御部17は、第2の送受信部12に対して、認証サーバ50aに対する認証要求の送信指示を出力する。ステップS109において、ネットワーク機器10の第2の送受信部12は、認証サーバ50aに対して、ユーザの認証要求を送信する。
【0095】
ここで、第1の実施形態に係る認証サーバ50におけるユーザの認証処理について説明する。図11は、第1の実施形態に係る認証サーバにおける処理の一例を示すフローチャートである。ステップS201において、認証サーバ50の送受信部51は、ネットワーク機器10から認証要求を受信した場合、処理をステップS202へ移行させる。この場合、送受信部51は、受信した認証要求を認証部52に対して出力する。一方で、認証サーバ50は、ネットワーク機器10から認証要求を受信するまで、ステップS201の処理を繰り返す。ステップS202において、認証サーバ50の認証部52は、出力された認証要求を検知した場合、記憶部54に記憶された認証テーブル43を読み出す。
【0096】
ステップS203において、認証サーバ50の認証部52は、読み出した認証テーブル43と、認証要求に含まれる認証情報とに基づいて、ユーザの認証処理を行う。認証部52は、ユーザの認証に成功した場合、処理をステップS204へ移行させる。ステップS204において、認証サーバ50の送受信部51は、認証成功通知をネットワーク機器10に対して送信する。具体的には、認証部52は、認証要求に含まれる認証情報(ユーザ情報およびパスワード)が、読み出した認証テーブル43に含まれる場合、ユーザの認証に成功したものとして、認証成功通知を送受信部51に対して出力する。そして、送受信部51は、出力された認証成功通知を、ネットワーク機器10に対して送信する。
【0097】
一方で、ステップS203において、認証サーバ50の認証部52は、ユーザの認証に失敗した場合、処理をステップS205へ移行させる。ステップS205において、認証サーバ50の送受信部51は、認証失敗通知をネットワーク機器10に対して送信する。具体的には、認証部52は、認証要求に含まれる認証情報(ユーザ情報およびパスワード)が、読み出した認証テーブル43に含まない場合、ユーザの認証に失敗したものとして、認証失敗通知を送受信部51に対して出力する。そして、送受信部51は、出力された認証失敗通知を、ネットワーク機器10に対して送信する。
【0098】
図10に戻り、第1の実施形態に係るネットワークシステムにおける認証処理の説明を続ける。ステップS110において、認証サーバ50aは、認証テーブル43aにユーザ名「hanako」であるユーザの認証情報が含まれていないため、ネットワーク機器10の第2の送受信部12に対して、認証失敗通知を送信する。認証サーバ50aにおける認証処理は、図9に示した処理が行われる。
【0099】
ステップS111において、ネットワーク機器10の第2の送受信部12は、受信した認証失敗通知を、制御部17に対して出力する。ステップS112において、ネットワーク機器10の制御部17は、選択部14に対して、認証サーバ50の情報の読出しを行う。具体的には、制御部17は、認証サーバ50aの次に優先度の高い認証サーバ50の情報を取得するため、選択部14に対して読出しを行う。
【0100】
ステップS113において、ネットワーク機器10の選択部14は、制御部17からの認証サーバ50の情報の読出しを検知した場合、認証サーバ50の選択を行う。具体的には、選択部14は、認証サーバリスト41に含まれる優先度が二番目に高い認証サーバ50の選択を行う。図9に示す認証サーバリスト41において、優先度が二番目に高い認証サーバ50は、認証サーバ50bであるため、選択部14は、認証サーバ50bを選択する。
【0101】
ステップS114において、ネットワーク機器10の選択部14は、選択結果である認証サーバ50の情報を、制御部17に対して出力する。具体的には、選択部14は、選択結果である認証サーバ50bの情報を制御部17に対して出力する。ステップS115において、ネットワーク機器10の制御部17は、第3の送受信部13に対して、認証サーバ50bに対する認証要求の送信指示を出力する。ステップS116において、ネットワーク機器10の第3の送受信部13は、認証サーバ50bに対して、ユーザの認証要求を送信する。認証サーバ50bに対して送信される認証要求は、ステップS109に示した認証サーバ50aに対する認証要求と同様である。
【0102】
ステップS117において、認証サーバ50bは、認証テーブル43bにユーザ名「hanako」であるユーザの認証情報が含まれているため、ネットワーク機器10の第3の送受信部13に対して、認証成功通知を送信する。認証サーバ50bにおける認証処理は、図9に示した処理が行われる。ステップS118において、ネットワーク機器10の第3の送受信部13は、認証サーバ50bから受信した認証成功通知を、制御部17に対して出力する。ステップS119において、ネットワーク機器10の制御部17は、認証成功通知を第1の送受信部11に対して出力する。
【0103】
ステップS120において、ネットワーク機器10の第1の送受信部11は、入出力装置30に対して、認証成功通知を送信する。認証成功通知を受信した入出力装置30は、操作部320に対して、認証成功の旨を文字や画像によって表示させる。これにより、入出力装置30のユーザ名「hanako」であるユーザの認証処理が完了する。認証サーバ50bによって認証された入出力装置30は、図1に示したジョブサーバ70bまたは利用者PC90bとのデータのやりとりが可能となる。
【0104】
図12は、第1の実施形態に係るネットワーク機器における処理の一例を示すフローチャートである。ステップS301において、ネットワーク機器10は、入出力装置30から認証要求を受信した場合、処理をステップS302へ移行させる。一方で、ネットワーク機器10は、入出力装置30から認証要求を受信するまで、ステップS301の処理を繰り返す。ステップS302において、ネットワーク機器10は、認証要求を受信した場合、記憶部16に記憶された認証サーバリスト41を読み出す。
【0105】
ステップS303において、ネットワーク機器10は、読み出した認証サーバリスト41に含まれる認証サーバ50に対応する条件情報に基づいて、認証要求を送信する際に用いるネットワークインタフェースに対応づけられた(紐づけられた、関連づけられた)認証サーバ50を選択する(選択ステップの一例)。具体的には、ネットワーク機器10は、認証サーバリスト41に含まれる最も優先度の高い認証サーバ50を選択する。ステップS304において、ネットワーク機器10は、選択した認証サーバ50に対して、認証要求を送信する。
【0106】
ステップS305において、ネットワーク機器10は、認証要求を送信した認証サーバ50から認証成功通知を受信した場合、処理をステップS306へ移行させる。ステップS306において、ネットワーク機器10は、認証成功通知を入出力装置30に対して送信する。一方で、ステップS305において、ネットワーク機器10は、認証要求を送信した認証サーバ50から認証失敗通知を受信した場合、処理をステップS307へ移行させる。ステップS307において、ネットワーク機器10は、認証サーバリスト41に含まれる優先度が二番目に高い認証サーバ50を選択し、ステップS304からの処理を繰り返す。ステップS304~S307の処理は、制御ステップの一例である。
【0107】
●第1の実施形態の効果
以上説明したように、第1の実施形態に係るネットワークシステムは、互いに異なる通信ネットワークに接続された複数のネットワークインタフェースを用いて、複数の認証サーバ50と接続するネットワーク機器10を介して、入出力装置30のユーザ認証を行う。ネットワーク機器10は、入出力装置30から送信された認証要求を受信すると、認証サーバリスト41に含まれる認証サーバ50に対応する条件情報に基づいて、認証要求を送信する際に用いるネットワークインタフェースに対応づけられた(紐づけられた、関連づけられた)認証サーバ50を選択する。そして、ネットワーク機器10は、選択された認証サーバ50への認証要求に対する応答である認証結果の情報に基づいて、入出力装置30への認証情報の送信を制御する。そのため、第1の実施形態に係るネットワークシステムは、入出力装置30が接続されている通信ネットワーク毎に認証サーバ50が存在する場合においても、入出力装置30におけるユーザ認証を適切に行うことができる。
以上説明したように、第1の実施形態に係るネットワークシステムは、互いに異なる通信ネットワークに接続された複数のネットワークインタフェースを用いて、複数の認証サーバ50と接続するネットワーク機器10を介して、入出力装置30のユーザ認証を行う。ネットワーク機器10は、入出力装置30から送信された認証要求を受信すると、認証サーバリスト41に含まれる認証サーバ50に対応する条件情報に基づいて、認証要求を送信する際に用いるネットワークインタフェースに対応づけられた(紐づけられた、関連づけられた)認証サーバ50を選択する。そして、ネットワーク機器10は、選択された認証サーバ50への認証要求に対する応答である認証結果の情報に基づいて、入出力装置30への認証情報の送信を制御する。そのため、第1の実施形態に係るネットワークシステムは、入出力装置30が接続されている通信ネットワーク毎に認証サーバ50が存在する場合においても、入出力装置30におけるユーザ認証を適切に行うことができる。
【0108】
●第1の実施形態の変形例●
続いて、第1の実施形態の変形例に係るネットワークシステムの構成について説明する。第1の実施形態の変形例に係るネットワーク機器10は、認証サーバ50が接続されたネットワークの秘匿性に関する情報に基づいて、認証要求の送信先となる認証サーバ50を選択する。そのため、第1の実施形態の変形例に係るネットワークシステムは、入出力装置30により処理される情報の種別(秘匿性)に応じて認証サーバ50を選択することができるので、入出力装置30におけるユーザ認証を適切に行うことができる。
続いて、第1の実施形態の変形例に係るネットワークシステムの構成について説明する。第1の実施形態の変形例に係るネットワーク機器10は、認証サーバ50が接続されたネットワークの秘匿性に関する情報に基づいて、認証要求の送信先となる認証サーバ50を選択する。そのため、第1の実施形態の変形例に係るネットワークシステムは、入出力装置30により処理される情報の種別(秘匿性)に応じて認証サーバ50を選択することができるので、入出力装置30におけるユーザ認証を適切に行うことができる。
【0109】
ここで、ネットワーク機器10の記憶部16に記憶された認証サーバリスト41aについて説明する。図13は、第1の実施形態の変形例に係る認証サーバリストの一例を示す図である。図13に示す認証サーバリスト41aは、図7に示した優先度の情報に変えて、ネットワークの秘匿性に関する情報を含む。ネットワークの秘匿性に関する情報は、認証サーバ50毎に付与されている。ネットワークの秘匿性に関する情報は、認証要求を送信する際に用いるネットワークインタフェースを対応させる条件情報の一例である。認証サーバリスト41aは、例えば、個人情報等の秘匿性すべき情報が流れるネットワークに接続された認証サーバ50(ネットワークインタフェース)には秘匿性が高く設定されている。一方で、認証サーバリスト41aは、個人情報よりも秘匿性が高くない情報が流れるネットワークに接続された認証サーバ50(ネットワークインタフェース)には秘匿性が低く設定されている。
【0110】
図13の例では、認証サーバ50aのIPアドレスは、「192.168.1.4」であり、NIC_A106aを用いて通信可能である。一方で、認証サーバ50bのIPアドレスは、「192.168.2.4」であり、NIC_B106bを用いて通信可能である。さらに、認証サーバ50aは、認証サーバ50bよりも秘匿性が高く設定されている。
【0111】
ネットワーク機器10の選択部14は、例えば、認証要求を送信した入出力装置30の属性情報と、認証サーバリスト41aに含まれる秘匿性に関する情報とに基づいて、認証要求の送信先となる認証サーバ50を選択する。入出力装置30の属性情報は、入出力装置30により処理される情報の種別を示す情報である。入出力装置30の属性情報は、例えば、入出力装置30により処理される情報の秘匿性の高さを示す情報を含む。ネットワーク機器10の選択部14は、入出力装置30の秘匿性が高い場合、認証サーバリスト41aに含まれる秘匿性の高い認証サーバ50を選択する。
【0112】
また、入出力装置30の属性情報は、入出力装置30から送信される認証要求に含まれる。ネットワーク機器の選択部14は、受信した認証要求に含まれる入出力装置30の属性情報と、認証サーバリスト41aに含まれる秘匿性に関する情報とに基づいて、認証要求の送信先となる認証サーバ50を選択する。なお、入出力装置30の属性情報は、入出力装置30から送信される認証要求とは別の形式でネットワーク機器10に対して通知されてもよい。
【0113】
したがって、第1の実施形態の変形例に係るネットワーク機器10は、認証サーバリスト41aに含まれるネットワークの秘匿性に関する情報に基づいて、認証要求の送信先となる認証サーバ50を選択する。そのため、第1の実施形態の変形例に係るネットワークシステムは、入出力装置30により処理される情報の秘匿性に応じて認証サーバ50を選択することができるので、入出力装置30におけるユーザ認証を適切に行うことができる。
【0114】
なお、認証サーバリスト41aは、認証サーバリスト41と同様に、認証サーバ50の優先度の情報を含んでもよい。この場合、第1の実施形態の変形例1に係るネットワーク機器10の選択部14は、秘匿性の度合いが同じ認証サーバ50の中で、最も優先度の高い認証サーバ50を選択する。
【0115】
●第2の実施形態●
次に、第2の実施形態に係るネットワークシステムの構成について説明する。第2の実施形態に係るネットワークシステムは、認証プロトコルにおいて、認証サーバ50に対して認証要求を送信する前に、認証要求を送信するユーザのユーザ情報が、認証サーバ50の認証テーブル43に存在するかを確認する。
次に、第2の実施形態に係るネットワークシステムの構成について説明する。第2の実施形態に係るネットワークシステムは、認証プロトコルにおいて、認証サーバ50に対して認証要求を送信する前に、認証要求を送信するユーザのユーザ情報が、認証サーバ50の認証テーブル43に存在するかを確認する。
【0116】
ネットワークシステムにおいて、ネットワーク毎に認証サーバ50が接続されている場合、ある認証サーバ50により管理されている認証情報を他の認証サーバ50に送信することは、情報漏洩のおそれがあり、セキュリティ上好ましくない。そこで、第2の実施形態に係るネットワークシステムは、認証サーバ50に対して認証情報を含む認証要求を送信する前に、認証情報に含まれるユーザ情報を用いて認証サーバ50に対してユーザの存在確認を行う。
【0117】
すなわち、ユーザの存在確認の処理において、認証情報に含まれるパスワード等の秘密情報は、認証サーバ50に対して送信しない。そのため、認証要求を行うユーザの認証情報を管理していない認証サーバ50に対して認証情報が送信されることを防ぐことにより、セキュリティを高めることができる。
【0118】
●機能構成
図14は、第2の実施形態に係るネットワークシステムの機能構成の一例を示す図である。なお、第1の実施形態と同様の機能は、同一の符号を付しており、説明を省略する。図14に示すネットワーク機器10は、第1の実施形態の機能に加え、制御部17aの機能を有する。制御部17aは、第1の認証要求部61および第2の認証要求部62の機能を含む。
図14は、第2の実施形態に係るネットワークシステムの機能構成の一例を示す図である。なお、第1の実施形態と同様の機能は、同一の符号を付しており、説明を省略する。図14に示すネットワーク機器10は、第1の実施形態の機能に加え、制御部17aの機能を有する。制御部17aは、第1の認証要求部61および第2の認証要求部62の機能を含む。
【0119】
第1の認証要求部61は、選択部14により選択された認証サーバ50に対して、入出力装置30から送信された認証要求に含まれるユーザ情報を送信するよう制御する。ユーザ情報は、例えば、認証情報の一部であるユーザ名の情報である。
【0120】
第1の認証要求部61は、認証サーバ50に対して認証要求を送信する前に、ユーザ確認要求としてユーザ情報を認証サーバ50に対して送信するよう制御する。ユーザ確認要求は、認証サーバ50の認証テーブル43に認証要求を送信するユーザのユーザ情報が含まれていることを確認するための要求である。
【0121】
認証サーバ50は、認証サーバ50が管理する認証テーブル43に、ネットワーク機器10から送信されたユーザ情報が含まれる場合、ユーザの存在通知をネットワーク機器10に対して送信する。一方で、認証サーバ50は、認証サーバ50が管理する認証テーブル43に、ネットワーク機器10から送信されたユーザ情報が含まれていない場合、ユーザの非存在通知をネットワーク機器10に対して送信する。
【0122】
第1の認証要求部61は、ユーザの非存在通知を受信した場合、非存在通知を送信した認証サーバ50とは異なる認証サーバ50に対して、入出力装置30から送信された認証要求に含まれるユーザ情報を送信するよう制御する。第1の認証要求部61は、例えば、図3に示したCPU101で実行されるプログラム等により実現される。
【0123】
第2の認証要求部62は、第1の認証要求部61によってユーザ情報が送信された認証サーバ50からユーザの存在通知を受信した場合、ユーザの存在通知を送信した認証サーバ50に対して、ユーザの認証要求を送信するよう制御する。第2の認証要求部62は、例えば、図3に示したCPU101で実行されるプログラム等により実現される。
【0124】
●認証処理
続いて、第2の実施形態に係るネットワークシステムにおける認証処理について説明する。図15は、第2の実施形態に係るネットワークシステムにおける認証処理の一例を示すシーケンス図である。なお、図15は、図10に示した処理と同様に、図9に示すユーザ名が「hanako」であるユーザの認証処理を行う場合について説明する。また、図15に示すステップS401~S407の処理は、図10に示したステップS101~S107の処理と同様であるため、説明を省略する。
続いて、第2の実施形態に係るネットワークシステムにおける認証処理について説明する。図15は、第2の実施形態に係るネットワークシステムにおける認証処理の一例を示すシーケンス図である。なお、図15は、図10に示した処理と同様に、図9に示すユーザ名が「hanako」であるユーザの認証処理を行う場合について説明する。また、図15に示すステップS401~S407の処理は、図10に示したステップS101~S107の処理と同様であるため、説明を省略する。
【0125】
ステップS408において、ネットワーク機器10の第1の認証要求部61は、出力された選択結果を検知すると、ユーザ確認要求の送信指示を第2の送受信部12に対して出力する。ここで、選択結果は、図10に示すステップS107と同様に、認証サーバ50aであるものとする。具体的には、第1の認証要求部61は、選択結果である認証サーバ50aに対してユーザ確認要求を送信するため、ユーザ確認要求の送信指示を第2の送受信部12へ出力する。ユーザ確認要求は、認証サーバ50の認証テーブル43に認証要求を送信するユーザ情報が含まれていることを確認するための要求である。ユーザ情報は、例えば、認証情報の一部であるユーザ名である。
【0126】
ステップS409において、ネットワーク機器10の第2の送受信部12は、認証サーバ50aに対して、ユーザ確認要求を送信する。具体的には、第2の送受信部12は、認証サーバ50aに対して、入出力装置30からの認証要求に含まれるユーザ情報を送信する。
【0127】
ここで、第2の実施形態に係る認証サーバ50におけるユーザの認証処理について説明する。図16は、第2の実施形態に係る認証サーバにおける処理の一例を示すフローチャートである。ステップS501において、認証サーバ50の送受信部51は、ネットワーク機器10からユーザ確認要求を受信した場合、処理をステップS502へ移行させる。この場合、送受信部51は、受信したユーザ確認要求を認証部52に対して出力する。
【0128】
一方で、認証サーバ50は、ネットワーク機器10からユーザ確認要求を受信するまで、ステップS501の処理を繰り返す。ステップS502において、認証サーバ50の認証部52は、出力されたユーザ確認要求を検知した場合、記憶部54に記憶された認証テーブル43を読み出す。
【0129】
ステップS503において、認証サーバ50の認証部52は、読み出した認証テーブル43と、ユーザ確認要求に含まれるユーザ情報とに基づいて、ユーザ確認を行う。認証部52は、認証テーブル43の中にユーザ確認要求として送信されたユーザ情報が含まれる場合、処理をステップS504へ移行させる。
【0130】
ステップS504において、認証サーバ50の送受信部51は、ユーザの存在通知をネットワーク機器10に対して送信する。具体的には、認証部52は、ユーザ確認要求に含まれるユーザ情報が、読み出した認証テーブル43に含まれる場合、ユーザが存在するものとし、ユーザの存在通知を送受信部51に対して出力する。そして、送受信部51は、出力されたユーザの存在通知を検知した場合、ネットワーク機器10に対して、ユーザの存在通知を出力する。
【0131】
一方で、ステップS503において、認証サーバ50の認証部52は、認証テーブル43の中にユーザ確認要求として送信されたユーザ情報が含まれない場合、処理をステップS505へ移行させる、ステップS505において、認証サーバ50の送受信部51は、ユーザの非存在通知をネットワーク機器10に対して送信する。具体的には、認証部52は、ユーザ確認要求に含まれるユーザ情報が、読み出した認証テーブル43に含まれない場合、ユーザが存在しないものとし、ユーザの非存在通知を送受信部51に対して出力する。そして、送受信部51は、出力されたユーザの非存在通知を検知した場合、ネットワーク機器10に対して、ユーザの非存在通知を出力する。
【0132】
図15に戻り、第2の実施形態に係るネットワークシステムにおける認証処理の説明を続ける。ステップS410において、認証サーバ50aは、認証テーブル43aにユーザ名「hanako」のユーザ情報を有していないため、ネットワーク機器10の第2の送受信部12に対して、ユーザの非存在通知を送信する。認証サーバ50aにおけるユーザ確認処理は、図16に示した処理が行われる。
【0133】
ステップS411において、ネットワーク機器10の第2の送受信部12は、第1の認証要求部61に対して、認証サーバ50aから受信したユーザの非存在通知を出力する。ステップS412において、ネットワーク機器10の第1の認証要求部61は、選択部14に対して、認証サーバ50の情報の読出しを行う。具体的には、第1の認証要求部61は、認証サーバ50aにおけるユーザの確認結果がユーザの非存在通知であるため、認証サーバ50aの次に優先度の高い認証サーバ50の情報を取得するため、選択部14に対して読出しを行う。
【0134】
ステップS413において、ネットワーク機器10の選択部14は、第1の認証要求部61からの認証サーバ50の情報の読出しを検知した場合、認証サーバ50の選択を行う。具体的には、選択部14は、認証サーバリスト41に含まれる、認証サーバ50aの次に優先度の高い認証サーバ50の選択を行う。図9に示す認証サーバリスト41において、認証サーバ50aの次に優先度の高い認証サーバ50は、認証サーバ50bであるため、選択部14は、認証サーバ50bを選択する。
【0135】
ステップS414において、ネットワーク機器10の選択部14は、選択結果である認証サーバ50の情報を、第1の認証要求部61に対して出力する。具体的には、選択部14は、選択結果である認証サーバ50bの情報を第1の認証要求部61に対して出力する。ステップS415において、ネットワーク機器10の第1の認証要求部61は、第3の送受信部13に対して、認証サーバ50bに対するユーザ確認要求の送信指示を出力する。
【0136】
ステップS416において、ネットワーク機器10の第3の送受信部13は、認証サーバ50bに対して、ユーザ確認要求を送信する。具体的には、第3の送受信部13は、認証サーバ50bに対して、入出力装置30からの認証要求に含まれるユーザ情報を送信する。ステップS417において、認証サーバ50bは、認証テーブル43bにユーザ名「hanako」のユーザ情報を有しているため、ネットワーク機器10の第3の送受信部13に対して、ユーザの存在通知を送信する。認証サーバ50bにおけるユーザ確認処理は、図16に示した処理が行われる。
【0137】
ステップS418において、ネットワーク機器10の第3の送受信部13は、第2の認証要求部62に対して、認証サーバ50bから受信したユーザの存在通知を出力する。ステップS419において、ネットワーク機器10の第2の認証要求部62は、第3の送受信部13に対して、認証サーバ50bに対する認証要求の送信指示を出力する。ステップS420において、ネットワーク機器10の第3の送受信部13は、認証サーバ50bに対して、ユーザの認証要求を送信する。
【0138】
ステップS421において、認証サーバ50bは、認証テーブル43bにユーザ名「hanako」のユーザの認証情報が含まれているため、ネットワーク機器10の第3の送受信部13に対して、認証成功通知を送信する。認証サーバ50bにおける認証処理は、図9に示した処理が行われる。ステップS422において、ネットワーク機器10の第3の送受信部13は、認証サーバ50bから受信した認証成功通知を、第2の認証要求部62に対して出力する。ステップS423において、ネットワーク機器10の第2の認証要求部62は、認証成功通知を第1の送受信部11に対して出力する。
【0139】
ステップS424において、ネットワーク機器10の第1の送受信部11は、入出力装置30に対して、認証成功通知を送信する。認証成功通知を受信した入出力装置30は、表示制御部33によって操作部320に対して、認証成功の旨を文字や画像によって表示させる。これにより、入出力装置30のユーザ「hanako」のユーザ認証処理が完了する。認証サーバ50bによって認証された入出力装置30は、図1に示したジョブサーバ70bまたは利用者PC90bとのデータのやりとりが可能となる。
【0140】
図17は、第2の実施形態に係るネットワーク機器における処理の一例を示すフローチャートである。なお、図17に示すステップS601~S603の処理は、図12に示したステップS301~S303の処理と同様であるため、説明を省略する。ステップS603までの処理において、ネットワーク機器10は、選択部14によって、認証サーバリスト41に含まれる最も優先度の高い認証サーバ50が選択されたものとする。
【0141】
ステップS604において、ネットワーク機器10は、選択部14により選択された認証サーバ50に対して、ユーザ確認要求を送信する。ステップS605において、ネットワーク機器10は、ユーザ確認要求の送信先である認証サーバ50からユーザの存在通知を受信した場合、処理をステップS606へ移行させる。ステップS606において、ネットワーク機器10は、ユーザの存在通知を送信した認証サーバ50に対して、入出力装置30から送信された認証要求を送信する。
【0142】
一方で、ステップS605において、ネットワーク機器10は、ユーザ確認要求の送信先である認証サーバ50からユーザの存在通知を受信していない場合、すなわちユーザの非存在通知を受信した場合、処理をステップS607へ移行させる。ステップS607において、ネットワーク機器10は、認証サーバリスト41に含まれる、ユーザの非存在通知を送信した認証サーバ50の次に優先度の高い認証サーバ50を選択し、ステップ604からの処理を繰り返す。
【0143】
ステップS608において、ネットワーク機器10は、ネットワーク機器10は、認証要求を送信した認証サーバ50から認証成功通知を受信した場合、処理をステップS609へ移行させる。ステップS609において、ネットワーク機器10は、認証成功通知を入出力装置30に対して送信する。一方で、ステップS608において、ネットワーク機器10は、認証要求を送信した認証サーバ50から認証失敗通知を受信した場合、処理をステップS607へ移行させ、他の認証サーバ50に対してユーザ確認要求の送信を行う。
【0144】
ここで、典型的な認証プロトコルは、ユーザ名を平文にし、パスワードを暗号化またはハッシュ化させて送信されることが多い。そのため、認証プロキシとして動作するネットワーク機器10は、認証要求からユーザ名を容易に取り出すことができる。
【0145】
また、認証要求から認証結果の通知までの認証処理全体が、TLS(Transport Layer Security)等の暗号化プロトコル上で動作する場合においても、ネットワーク機器10がTLSを終端するようにすれば、ネットワーク機器10は、認証要求からユーザ名を取り出すことができる。「ネットワーク機器10がTLSを終端する」とは、入出力装置30とネットワーク機器10との間、およびネットワーク機器10と認証サーバ50との間で、それぞれ独立にTLSセッションを確立することを示す。
【0146】
●第2の実施形態の効果
以上説明したように、第2の実施形態に係るネットワークシステムは、認証サーバ50に対して認証情報を含む認証要求を送信する前に、認証情報に含まれるユーザ名を用いて認証サーバ50に対してユーザの存在確認を行う。そのため、第2の実施形態に係るネットワークシステムは、認証要求を行うユーザの認証情報を管理していない認証サーバ50に対して認証情報が送信されることを防ぐことにより、セキュリティを高めることができる。
以上説明したように、第2の実施形態に係るネットワークシステムは、認証サーバ50に対して認証情報を含む認証要求を送信する前に、認証情報に含まれるユーザ名を用いて認証サーバ50に対してユーザの存在確認を行う。そのため、第2の実施形態に係るネットワークシステムは、認証要求を行うユーザの認証情報を管理していない認証サーバ50に対して認証情報が送信されることを防ぐことにより、セキュリティを高めることができる。
【0147】
●第3の実施形態●
次に、第3の実施形態に係るネットワークシステムの構成について説明する。第3の実施形態に係るネットワーク機器10は、ユーザが利用可能な認証サーバ50の情報とユーザ情報となるユーザ名の情報とを予め記憶している。そのため、第3の実施形態に係るネットワークシステムは、第2の実施形態と同様に、認証要求を行うユーザの認証情報を管理していない認証サーバ50に対して認証情報が送信されることを防ぐことにより、セキュリティを高めることができる。
次に、第3の実施形態に係るネットワークシステムの構成について説明する。第3の実施形態に係るネットワーク機器10は、ユーザが利用可能な認証サーバ50の情報とユーザ情報となるユーザ名の情報とを予め記憶している。そのため、第3の実施形態に係るネットワークシステムは、第2の実施形態と同様に、認証要求を行うユーザの認証情報を管理していない認証サーバ50に対して認証情報が送信されることを防ぐことにより、セキュリティを高めることができる。
【0148】
ここで、ネットワーク機器10の記憶部16に記憶された認証サーバリスト41bについて説明する。図18は、第3の実施形態に係る認証サーバリストの一例を示す図である。図18に示す認証サーバリスト41bは、図7に示した認証サーバリスト41に含まれる優先度の情報に変えて、認証サーバ50によって認証可能なユーザのユーザ情報であるユーザ名の情報を含む。ユーザ情報であるユーザ名の情報は、認証要求を送信する際に用いるネットワークインタフェースを対応させる条件情報の一例である。認証サーバリスト41bは、ユーザ名、認証サーバ50のIPアドレス、および認証サーバ50との通信に利用するネットワークインタフェースが、認証サーバ50毎に紐づいてリスト化されている。
【0149】
ユーザ名は、リスト内でユーザ名の情報に紐づく認証サーバ50のIPアドレスに対応する認証サーバ50において、ユーザの認証処理を行うことが可能なユーザを示す。すなわち、ユーザ名は、認証テーブル43に同一のユーザ名が記憶されている認証サーバ50と紐づけられている。認証サーバ50のIPアドレスおよび認証サーバ50との通信に利用するネットワークインタフェースの情報は、図7で示した認証サーバリスト41と同様である。
【0150】
図18の例では、ユーザ名が「taro」または「jiro」であるユーザは、NIC_A106aを用いてIPアドレスが「192.168.1.4」である認証サーバ50aによって認証処理を行われる。一方で、ユーザ名が「hanako」または「kaori」であるユーザは、NIC_B106bを用いてIPアドレスが「192.168.2.4」である認証サーバ50bによって認証処理を行われる。また、認証サーバリスト41b内にユーザ名が存在しないユーザは、NIC_A106aを用いてIPアドレスが「192.168.1.4」である認証サーバ50aによって認証処理を行われる。
【0151】
なお、認証サーバリスト41bは、図7に示した認証サーバリスト41と同様に、優先度の情報を含んでもよい。この場合、認証サーバリスト41bは、同一のユーザ名に対して、複数の認証サーバ50の情報を紐づけて記憶する。そして、ネットワーク機器10は、ユーザが利用可能な認証サーバ50の中から、認証サーバリスト41bに含まれる最も優先度の高い認証サーバ50を選択する。
【0152】
また、認証サーバリスト41b内にユーザ名が存在しないユーザの処理は、これに限られず、第1の実施形態または第2の実施形態で示した処理を用いて、認証サーバ50を選択してもよい。さらに、ネットワーク機器10は、認証サーバリスト41b内にユーザ名が存在しないユーザに対して、直ちに認証失敗を通知してもよい。
【0153】
●認証処理
続いて、第3の実施形態に係るネットワークシステムにおける認証処理について説明する。図19は、第3の実施形態に係るネットワークシステムにおける認証処理の一例を示すシーケンス図である。なお、図19は、図10および図15に示した処理と同様に、図9に示すユーザ名が「hanako」であるユーザの認証処理を行う場合について説明する。また、図19に示すステップS701~S703の処理は、図10に示したステップS101~S103の処理と同様であるため、説明を省略する。
続いて、第3の実施形態に係るネットワークシステムにおける認証処理について説明する。図19は、第3の実施形態に係るネットワークシステムにおける認証処理の一例を示すシーケンス図である。なお、図19は、図10および図15に示した処理と同様に、図9に示すユーザ名が「hanako」であるユーザの認証処理を行う場合について説明する。また、図19に示すステップS701~S703の処理は、図10に示したステップS101~S103の処理と同様であるため、説明を省略する。
【0154】
ステップS704において、ネットワーク機器10の選択部14は、認証要求を受信した場合、記憶部16に記憶された認証サーバリスト41bの読出しを行う。具体的には、選択部14は、記憶・読出部15に対して認証サーバリスト41bの読出要求を出力する。そして、記憶・読出部15は、出力された読出要求を検知した場合、記憶部16に記憶された認証サーバリスト41bを読み出す。
【0155】
ステップS705において、ネットワーク機器10の記憶部16は、選択部14に対して、認証サーバリスト41bを出力する。具体的には、記憶部16は、記憶・読出部15に対して、認証サーバリスト41bを出力する。そして、記憶・読出部15は、選択部14に対して、認証サーバリスト41bを出力する。
【0156】
ステップS706において、ネットワーク機器10の選択部14は、入出力装置30から送信された認証要求に含まれるユーザ情報と、出力された認証サーバリスト41bに含まれる認証サーバ50に対応するユーザ情報とに基づいて、認証要求を送信する認証サーバ50を選択する。具体的には、選択部14は、認証サーバリスト41bに含まれる、認証要求に含まれるユーザ名と同一のユーザ名に紐づく認証サーバ50を、認証要求を送信する認証サーバ50として選択する。図18に示す認証サーバリスト41bにおいて、ユーザ名「hanako」は、認証サーバ50bと紐づいて記憶されているため、選択部14は、認証サーバ50bを、認証要求を送信する認証サーバ50として選択する。
【0157】
ステップS707において、ネットワーク機器10の選択部14は、選択結果である認証サーバ50の情報を、制御部17に対して出力する。具体的には、選択部14は、選択結果である認証サーバ50bの情報を制御部17に対して出力する。ステップS708において、ネットワーク機器10の制御部17は、第3の送受信部13に対して、認証サーバ50bに対する認証要求の送信指示を出力する。ステップS709において、ネットワーク機器10の第3の送受信部13は、認証サーバ50bに対して、ユーザの認証要求を送信する。
【0158】
ステップS710において、認証サーバ50bは、認証テーブル43bにユーザ名「hanako」のユーザの認証情報を有しているため、ネットワーク機器10の第3の送受信部13に対して、認証成功通知を送信する。認証サーバ50bにおける認証処理は、図9に示した処理が行われる。ステップS711において、ネットワーク機器10の第3の送受信部13は、認証サーバ50bから受信した認証成功通知を、制御部17に対して出力する。ステップS712において、ネットワーク機器10の制御部17は、認証成功通知を第1の送受信部11に対して出力する。
【0159】
ステップS713において、ネットワーク機器10の第1の送受信部11は、入出力装置30に対して、認証成功通知を送信する。認証成功通知を受信した入出力装置30は、表示制御部33によって操作部320に対して、認証成功の旨を文字や画像によって表示させる。これにより、入出力装置30のユーザ「hanako」のユーザ認証処理が完了する。認証サーバ50bによって認証された入出力装置30は、図1に示したジョブサーバ70bまたは利用者PC90bとのデータのやりとりが可能となる。
【0160】
●第3の実施形態の効果
以上説明したように、第3の実施形態に係るネットワークシステムは、ネットワーク機器10は、ユーザが利用可能な認証サーバ50の情報とユーザ情報とのなるユーザ情報とを予め記憶している。そのため、第3の実施形態に係るネットワークシステムは、第2の実施形態と同様に、認証要求を行うユーザの認証情報を管理していない認証サーバ50に対して認証情報が送信されることを防ぐことにより、セキュリティを高めることができる。
以上説明したように、第3の実施形態に係るネットワークシステムは、ネットワーク機器10は、ユーザが利用可能な認証サーバ50の情報とユーザ情報とのなるユーザ情報とを予め記憶している。そのため、第3の実施形態に係るネットワークシステムは、第2の実施形態と同様に、認証要求を行うユーザの認証情報を管理していない認証サーバ50に対して認証情報が送信されることを防ぐことにより、セキュリティを高めることができる。
【0161】
●その他の実施形態●
次に、その他の実施形態に係る情報処理制御システムについて説明する。なお、その他の実施形態に係るネットワークシステムにおいて、以下で明示する構成以外の部分については、第1の実施形態乃至第3の実施形態の構成が適用される。
次に、その他の実施形態に係る情報処理制御システムについて説明する。なお、その他の実施形態に係るネットワークシステムにおいて、以下で明示する構成以外の部分については、第1の実施形態乃至第3の実施形態の構成が適用される。
【0162】
●その他の実施形態(その1)
図20は、その他の実施形態(その1)に係るネットワークシステムの機能構成の一例を示す図である。図20に示すネットワーク機器10は、ブリッジ接続部18の代わりにNAPT(Network Address Port Translation)変換部63aを有し、NAT変換部19の代わりにNAPT変換部63bを有する。NAPT変換部63aは、第1のNAPT変換部の一例であり、NAPT変換部63bは、第2のNAPT変換部の一例である。
図20は、その他の実施形態(その1)に係るネットワークシステムの機能構成の一例を示す図である。図20に示すネットワーク機器10は、ブリッジ接続部18の代わりにNAPT(Network Address Port Translation)変換部63aを有し、NAT変換部19の代わりにNAPT変換部63bを有する。NAPT変換部63aは、第1のNAPT変換部の一例であり、NAPT変換部63bは、第2のNAPT変換部の一例である。
【0163】
NAPT変換部63aおよびNAPT変換部63bは、OSIのIP層(レイヤ3)で動作するパケットのIPアドレスとポート番号の相互変換を行う機能である。NAPT変換部63aおよびNAPT変換部63bは、NAPTテーブル44aおよびNAPTテーブル44bに基づいて、IPアドレスの相互変換を行う。NAPT変換部63aおよびNAPT変換部63bは、例えば、図3に示したCPU101で実行されるプログラム等により実現される。
【0164】
ここで、NAPTテーブル44の詳細について説明する。図21は、NAPTテーブルの一例を示す。図21(a)は、NAPT変換部63aにより参照されるNAPTテーブル44aの一例を示す。IPアドレスの変換は、図8(b)のNATテーブル42bと同様である。変換前のポート番号は、ネットワーク機器10がパケットの宛先に設定するポート番号(CCAA)であり、変換後のポート番号は、認証サーバ50aにパケットを送信する際の宛先のポート番号(XXAA)である。
【0165】
【0166】
NAPT変換部63aは、ネットワークC23に接続された入出力装置30からネットワーク機器10のNIC_AのIPアドレス「192.168.1.5」とポート番号(CCAA)を宛先とするパケットが送信された場合、NAPTテーブル44aを参照して宛先のIPアドレスを認証サーバ50aのIPアドレス「192.168.1.4」に変換する。また、NAPT変換部63aは、パケットの宛先のポート番号(CCAA)を、認証サーバ50aのポート番号であるポート番号(XXAA)に変換する。
【0167】
ネットワークA21に接続された認証サーバ50aは、入出力装置30のIPアドレス「192.168.1.2」とポート番号(AAAA)を宛先にして、認証サーバ50aのIPアドレス「192.168.1.4」とポート番号(XXAA)を送信元とするパケットを送信する(応答する)。NAPT変換部63aは、送信元のIPアドレス「192.168.1.4」をネットワーク機器10のNIC_A106aのIPアドレス「192.168.1.5」に変換し、送信元のポート番号をネットワーク機器10のNIC_A106aのポート番号(CCAA)に変換する。NAPT変換部63bは、図21(b)に示すNAPTテーブル44bを参照して処理するが、処理の手順はNAPT変換部63aと同様である。
【0168】
●その他の実施形態(その2)
その他の実施形態(その2)に係るネットワークシステムは、ネットワーク機器10が入出力装置30の内部に備えられ、ネットワーク機器10と入出力装置30とが一体となっている。
その他の実施形態(その2)に係るネットワークシステムは、ネットワーク機器10が入出力装置30の内部に備えられ、ネットワーク機器10と入出力装置30とが一体となっている。
【0169】
図22は、その他の実施形態(その2)に係るネットワーク機器を有する入出力装置の一例を説明する図である。入出力装置30と一体となって設けられたネットワーク機器10は、NIC_A106aとNIC_B106bのインターフェースを外部に開放し、ネットワークA21およびネットワークB22と接続されている。また、NIC_C106cは、入出力装置30が本来有するNIC_X306と接続される。したがって、ネットワーク機器10と入出力装置30とが一体となっている場合であっても、ネットワーク機器10は、本実施形態と同様の処理が可能である。
【0170】
●まとめ●
以上説明したように、本発明の一実施形態に係るネットワーク機器は、互いに異なる通信ネットワークのそれぞれにおける認証サーバ50(認証装置の一例)と接続された複数のネットワークインタフェースのそれぞれを用いて、認証サーバ50のそれぞれと通信可能な第2の送受信部12および第3の送受信部13(通信手段の一例)を備える。ネットワーク機器10は、ネットワークC(特定のネットワークの一例)における入出力装置30からの認証要求を受信した場合、認証要求を送信する際に用いるネットワークインタフェースを対応させる条件情報に基づいて、認証要求の送信先となる認証サーバ50を選択し、選択された認証サーバ50への認証要求の送信を制御し、認証要求に対する応答である認証結果の情報に基づいて、入出力装置30への認証情報の送信を制御する。そのため、ネットワーク機器10は、ネットワーク毎に独自の認証サーバ50が運用されている場合においても、ネットワーク機器10を介することで、入出力装置30におけるユーザ認証を適切に行うことができる。
以上説明したように、本発明の一実施形態に係るネットワーク機器は、互いに異なる通信ネットワークのそれぞれにおける認証サーバ50(認証装置の一例)と接続された複数のネットワークインタフェースのそれぞれを用いて、認証サーバ50のそれぞれと通信可能な第2の送受信部12および第3の送受信部13(通信手段の一例)を備える。ネットワーク機器10は、ネットワークC(特定のネットワークの一例)における入出力装置30からの認証要求を受信した場合、認証要求を送信する際に用いるネットワークインタフェースを対応させる条件情報に基づいて、認証要求の送信先となる認証サーバ50を選択し、選択された認証サーバ50への認証要求の送信を制御し、認証要求に対する応答である認証結果の情報に基づいて、入出力装置30への認証情報の送信を制御する。そのため、ネットワーク機器10は、ネットワーク毎に独自の認証サーバ50が運用されている場合においても、ネットワーク機器10を介することで、入出力装置30におけるユーザ認証を適切に行うことができる。
【0171】
また、本発明の一実施形態に係るネットワーク機器は、選択部14により選択された認証サーバ50から送信された認証結果の情報が、認証失敗の情報である場合、認証結果を送信した認証サーバ50とは異なる認証サーバ50に対して、認証要求を送信するよう制御する。そのため、ネットワーク機器10は、一つの認証サーバ50におけるユーザ認証が失敗した場合においても、他の認証サーバ50に対して認証要求を行うことができるため、入出力装置30におけるユーザ認証を適切に行うことができる。
【0172】
さらに、本発明の一実施形態に係るネットワーク機器は、認証サーバ50に対応する条件情報に含まれる最も優先度の高い認証サーバ50を、認証要求を送信する認証サーバ50を選択する。そのため、ネットワーク機器10は、ネットワーク機器10に接続された認証サーバ50が複数存在する場合においても、入出力装置30におけるユーザ認証を適切に行うことができる。
【0173】
また、本発明の一実施形態に係るネットワーク機器は、認証要求を送信する際に用いるネットワークインタフェースを対応させる条件情報に含まれるネットワークの秘匿性に関する情報に基づいて、認証要求を送信する認証サーバ50を選択する。そのため、ネットワーク機器10は、入出力装置30により処理される情報の秘匿性に応じて認証サーバ50を選択することができるので、入出力装置30におけるユーザ認証を適切に行うことができる。
【0174】
さらに、本発明の一実施形態に係るネットワーク機器は、認証サーバ50に対して認証情報を含む認証要求を送信する前に、認証情報に含まれるユーザ情報を用いて認証サーバ50に対してユーザの存在確認を行う。そのため、ネットワーク機器10は、認証要求を行うユーザの認証情報を管理していない認証サーバ50に対して認証情報が送信されることを防ぐことにより、セキュリティを高めることができる
【0175】
また、本発明の一実施形態に係る認証方法は、互いに異なる通信ネットワークのそれぞれにおける認証サーバ50(認証装置の一例)と接続された複数のネットワークインタフェースのそれぞれを用いて、認証サーバ50のそれぞれと通信可能な第2の送受信部12および第3の送受信部13(通信手段の一例)を備えるネットワーク機器10が実行する認証方法であって、ネットワークC(特定のネットワークの一例)における入出力装置30からの認証要求を受信した場合、認証要求を送信する際に用いるネットワークインタフェースを対応させる条件情報に基づいて、認証要求の送信先となる認証サーバ50を選択する選択ステップと、選択された認証サーバ50への認証要求の送信を制御し、認証要求に対する応答である認証結果の情報に基づいて、入出力装置30への認証情報の送信を制御する制御ステップと、を実行する。そのため、本発明の一実施形態に係る認証方法は、ネットワーク毎に独自の認証サーバ50が運用されている場合においても、ネットワーク機器10を介することで、入出力装置30におけるユーザ認証を適切に行うことができる。
【0176】
なお、各実施形態の機能は、アセンブラ、C、C++、C#、Java(登録商標)等のレガシープログラミング言語やオブジェクト指向プログラミング言語等で記述されたコンピュータ実行可能なプログラムにより実現でき、ROM、EEPROM(Electrically Erasable Programmable Read-Only Memory)、EPROM(Erasable Programmable Read-Only Memory)、フラッシュメモリ、フレキシブルディスク、CD(Compact Disc)-ROM、CD-RW(Re-Writable)、DVD-ROM、DVD-RAM、DVD-RW、ブルーレイディスク、SDカード、MO(Magneto-Optical disc)等の装置可読な記録媒体に格納して、または電気通信回線を通じて頒布することができる。
【0177】
また、各実施形態の機能の一部または全部は、例えばFPGA(Field Programmable Gate Array)等のプログラマブル・デバイス(PD)上に実装することができ、またはASIC(Application Specific Integrated Circuit)として実装することができ、各実施形態の機能をPD上に実現するためにPDにダウンロードする回路構成データ(ビットストリームデータ)、回路構成データを生成するためのHDL(Hardware Description Language)、VHDL(Very High Speed Integrated Circuits Hardware Description Language)、Verilog-HDL等により記述されたデータとして記録媒体により配布することができる。
【0178】
これまで本発明の一実施形態に係るネットワーク機器、入出力装置、認証方法およびプログラムについて説明してきたが、本発明は上述した実施形態に限定されるものではなく、他の実施形態、追加、変更、削除等、当業者が想到することができる範囲内で変更することができ、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。
【符号の説明】
【0179】
1 ネットワークシステム
10 ネットワーク機器
21 ネットワークA(第2のネットワークの一例)
22 ネットワークB(第3のネットワークの一例)
23 ネットワークC(第1のネットワークの一例)
30 入出力装置
50 認証サーバ
11 第1の送受信部
12 第2の送受信部(通信手段の一例)
13 第3の送受信部(通信手段の一例)
14 選択部
16 記憶部
17 制御部
106a NIC_A(第2のネットワークインタフェースの一例)
106b NIC_B(第3のネットワークインタフェースの一例)
106c NIC_C(第1のネットワークインタフェースの一例)
10 ネットワーク機器
21 ネットワークA(第2のネットワークの一例)
22 ネットワークB(第3のネットワークの一例)
23 ネットワークC(第1のネットワークの一例)
30 入出力装置
50 認証サーバ
11 第1の送受信部
12 第2の送受信部(通信手段の一例)
13 第3の送受信部(通信手段の一例)
14 選択部
16 記憶部
17 制御部
106a NIC_A(第2のネットワークインタフェースの一例)
106b NIC_B(第3のネットワークインタフェースの一例)
106c NIC_C(第1のネットワークインタフェースの一例)
【先行技術文献】
【特許文献】
【0180】
【文献】特開2010-277185号公報
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】