DE60313106T2 - Zugangsverwaltung - Google Patents

Zugangsverwaltung Download PDF

Info

Publication number
DE60313106T2
DE60313106T2 DE60313106T DE60313106T DE60313106T2 DE 60313106 T2 DE60313106 T2 DE 60313106T2 DE 60313106 T DE60313106 T DE 60313106T DE 60313106 T DE60313106 T DE 60313106T DE 60313106 T2 DE60313106 T2 DE 60313106T2
Authority
DE
Germany
Prior art keywords
user
network
access
peripheral device
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60313106T
Other languages
English (en)
Other versions
DE60313106D1 (de
Inventor
Neil Y. Iwamoto
Attaullah Seikh
Jeanette Yang Paek
Martin Martinez
Royce E. Slick
Wei-Jhy Chern
Eliza Khosrova
Joseph Yang
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Publication of DE60313106D1 publication Critical patent/DE60313106D1/de
Application granted granted Critical
Publication of DE60313106T2 publication Critical patent/DE60313106T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • G06F21/608Secure printing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/84Protecting input, output or interconnection devices output devices, e.g. displays or monitors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N1/00Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
    • H04N1/0035User-machine interface; Control console
    • H04N1/00501Tailoring a user interface [UI] to specific requirements
    • H04N1/00509Personalising for a particular user or group of users, e.g. a workgroup or company
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Description

  • Die Erfindung bezieht sich auf eine zweiflutige, oder Zwei-Ebenen Zugangsverwaltung für Netzwerkperipherievorrichtungen, und insbesondere auf eine Verwaltung eines Zugangs zu einer Netzwerkperipherievorrichtung auf der Grundlage von Benutzerprivilegieninformationen sowohl bei einer zentralisierten Zugangsverwaltungseinrichtung als auch bei der Netzwerkperipherievorrichtung.
  • Netzwerkperipherievorrichtungen sind typischerweise Multifunktionsvorrichtungen, die Funktionen verwalten, wie Drucken, Abtasten, Kopieren oder Faxen, und sind oft wesentliche Bestandteile bei einer Durchführung von Aufgaben auf Unternehmensebene. Eine Steuerung einer Verwendung einer Netzwerkperipherievorrichtung bedeutet, dass einem Durchgangsbenutzer der Vorrichtung, d. h. ein solcher, der Zugang zu der Vorrichtung lokal bei der Vorrichtung erlangt, oder einem entfernten Benutzer der Vorrichtung, d. h. ein Nicht-Durchgangsbenutzer, Zugang lediglich zu jenen Diensten und/oder Merkmalen ermöglicht wird, die autorisiert sind und der Vorrichtung zur Verfügung stehen. Ein Benutzer kann beispielsweise Zugang zu einem Kopier-, nicht aber zu einem Druckdienst einer Netzwerkperipherievorrichtung haben, die Fax-, Druck-, Kopier- und Abtastdienste anbietet. Ebenso kann einem Benutzer lediglich Zugang zu einem Schwarz- und Weiß- nicht aber zu einem Farbdruckmerkmal des Druckdienstes ermöglicht sein, der durch die Vorrichtung angeboten ist.
  • Eine Steuerung einer Verwendung von Diensten und/oder Merkmalen, die durch eine Netzwerkperipherievorrichtung angeboten sind, ist oft aus ökonomischen sowie anderen Gründen erforderlich. Farbtintenkartuschen, die Tinte zum Farbdrucken enthalten, kosten beispielsweise typischerweise deutlich mehr als Schwarztintenkartuschen, die zum Schwarz-/Weißdrucken verwendet sind. Es kann deshalb wünschenswert sein, den Zugang zu Farbdruckmerkmalen eines Druckers zu beschränken, um Kosten zu sparen.
  • Ein herkömmlicher Ansatz zum Steuern des Zugangs zu einer Netzwerkperipherievorrichtung durch einen Nicht-Unternehmensbenutzer liegt im separaten Programmieren einer jeden Vorrichtung hinsichtlich der Zugangsprivilegien des Benutzers. Dieser Ansatz erfordert ein Vorhandensein eines Eingabemechanismus, wie eine Tastatur oder einen Magnetkartenleser bei der Vorrichtung, durch welchen sich der Benutzer in die Vorrichtung einloggt. Nach dem Login des Benutzers prüft die Vorrichtung die Zugangsprivilegien des Benutzers, die durch die Vorrichtung verwaltet sind, und ermöglicht dem Benutzer Zugang zu der Vorrichtung auf der Grundlage der programmierten Informationen hinsichtlich der Zugangsprivilegien des Benutzers. Eine Übernahme dieses Ansatzes ist mühsam, da dieser ein separates Programmieren einer jeden Netzwerkvorrichtung und ein Reprogrammieren einer jeden Vorrichtung als Antwort auf Änderungen in einer Zugangsrichtlinie erfordert.
  • Ein weiterer herkömmlicher Ansatz zum Steuern des Zugangs zu einer Netzwerkperipherievorrichtung durch einen Nicht-Unternehmensbenutzer liegt im Programmieren von Benutzerzugangsprivilegien auf einer Schlüsselkarte, die der Benutzer mit sich führt. Bei Eingabe der Schlüsselkarte in einen bei der Vorrichtung installierten Kartenleser wird die Benutzerzugangsrichtlinie von der Karte zu der Vorrichtung übermittelt. Dem Benutzer wird dann ermöglicht, die Vorrichtung gemäß den in der Benutzerzugangsrichtlinie enthaltenen Beschränkungen zu verwenden. Dieser Ansatz leidet ebenso an dem Nachteil, an dem die vorstehend beschriebene Alternative leidet, und besteht darin, dass eine jede einzelne Karte programmiert werden muss, um die Benutzerzugangsrichtlinie zu codieren, jedes Mal reprogrammiert werden muss, wenn die Richtlinie hinsichtlich jenes Benutzers überarbeitet wird.
  • Die Druckschrift EP-A-1 320 008 offenbart ein Verfahren zum Steuern des Zugangs zu einer Netzwerkperipherievorrichtung durch einen Durchgangsbenutzer und einen entfernten Benutzer auf der Grundlage von zentralisierten Zugangsverwaltungsinformationen. Authentifizierungsinformationen für den Durchgangsbenutzer werden von der Netzwerkperipherievorrichtung bei einem zentralisierten Ort empfangen. Die Zugangsebene der Netzwerkperipherievorrichtung wird bei dem zentralen Ort bestimmt.
  • Es wäre deshalb vorteilhaft, in der Lage zu sein, den Zugang zu Diensten und/oder Merkmalen einer Netzwerkperipherievorrichtung durch einen Nicht-Unternehmensbenutzer unter Verwendung eines zentralisierten Mechanismus zu steuern und anzupassen, der sowohl eine Unternehmensbenutzerauthentifizierung als auch eine Nicht-Unternehmensbenutzerauthentifizierung und Zugangsprivilegieninformationen zum Verwalten einer Vorrichtungs-/Ressourcenverwendung auf der Unternehmensebene bereitstellt.
  • Die Erfindung wendet sich dem vorstehend Beschriebenen durch Bereitstellen einer zentralisierten Zugangsebenenverwaltung zu Netzwerkperipherievorrichtungen sowohl für Durchgangs- als auch für entfernte Benutzer zu, um eine nicht-autorisierte Verwendung durch einen Nicht-Unternehmensbenutzer von Diensten und/oder Merkmalen zu verhindern, die auf der Vorrichtung zur Verfügung stehen, auf der Grundlage einer Authentifizierung des Benutzers bei der Vorrichtung.
  • Gemäß einer ersten Ausgestaltung der Erfindung ist ein Verfahren zum Steuern des Zugangs zu einer netzwerkbetriebenen Peripherievorrichtung durch einen Benutzer bereitgestellt, wobei die netzwerkbetriebene Peripherievorrichtung durch den Benutzer auf der Grundlage von zentralisierten Zugangsverwaltungsinformationen zugänglich ist, die durch einen Server zugänglich sind, wobei das Verfahren umfasst:
    Authentifizieren eines Benutzers eines Computers auf der Grundlage von dem Benutzer entsprechenden Authentifizierungsinformationen,
    dadurch gekennzeichnet, dass das Verfahren ferner umfasst:
    Bestimmen bei dem Server, ob der Benutzer zum Verwenden von zumindest einem Abschnitt von Merkmalen und/oder Diensten der netzwerkbetriebenen Peripherievorrichtung autorisiert ist,
    Übertragen von Zugangsverwaltungsinformationen für den Benutzer von dem Server zu dem Computer in dem Fall, dass eine Authentifizierung des Benutzers erfolgreich ist und der Benutzer zum Verwenden von zumindest einem Abschnitt des Merkmals und/oder Dienstes der netzwerkbetriebenen Peripherievorrichtung autorisiert ist,
    Übertragen der Zugangsverwaltungsinformationen für den Benutzer und eines durch den Benutzer angeforderten Auftrages von dem Computer zu der netzwerkbetriebenen Peripherievorrichtung,
    Bestimmen bei der netzwerkbetriebenen Peripherievorrichtung, ob eine Zugangsebene zu der netzwerkbetriebenen Peripherievorrichtung, die dem Benutzer auf der Grundlage der übertragenen Zugangsverwaltungsinformatio-nen zugänglich ist, Zugang zu einem Merkmal und/oder einem Dienst bereitstellt, das und/oder der zum Durchführen des durch den Benutzer angeforderten Auftrages erforderlich sind/ist, und
    Durchführen bei der netzwerkbetriebenen Peripherievorrichtung des durch den Benutzer angeforderten Auftrages in einem Fall, dass die Zugangsebene zu der netzwerkbetriebenen Peripherievorrichtung Zugang zu dem Merkmal und/oder dem Dienst bereitstellt, das und/oder der zum Durchführen des durch den Benutzer angeforderten Auftrages erforderlich sind/ist.
  • Gemäß einer zweiten Ausgestaltung der Erfindung ist ein Server zur Verwendung bei einer Steuerung des Zugangs zu einer netzwerkbetriebenen Peripherievorrichtung durch einen Benutzer bereitgestellt, wobei die netzwerkbetriebene Peripherievorrichtung für den Benutzer auf der Grundlage von zentralisierten Zugangsverwaltungsinformationen zugänglich ist, die für einen Server zugänglich sind, wobei der Server dadurch gekennzeichnet ist, dass er umfasst:
    eine Empfangseinrichtung zum Empfangen von einem Benutzer entsprechenden Authentifizierungsinformationen von einem Computer zum Übertragen eines Auftrages zu der netzwerkbetriebenen Peripherievorrichtung,
    eine Authentifizierungseinrichtung zum Authentifizieren des Benutzers, der die Authentifizierungsinformationen verwendet,
    eine Bestimmungseinrichtung zum Bestimmen, ob der Benutzer zum Verwenden von zumindest einem Abschnitt eines Merkmals und/oder Dienstes der netzwerkbetriebenen Peripherievorrichtung autorisiert ist, und
    eine Übertragungseinrichtung zum Übertragen von Zugangsverwaltungsinformationen für den Benutzer zu dem Computer in einem Fall, dass eine Authentifizierung des Benutzers erfolgreich ist und der Benutzer zum Verwenden von zumindest einem Abschnitt des Merkmals und/oder des Dienstes der netzwerkbetriebenen Peripherievorrichtung authentifiziert ist,
    wobei die übertragenen Zugangsverwaltungsinformationen verwendet werden, um zu bestimmen, ob ein Merkmal und/oder ein Dienst der netzwerkbetriebenen Peripherievorrichtung, das und/oder der zum Durchführen des Auftrages erforderlich ist, für den Benutzer verfügbar sind/ist.
  • Gemäß einer dritten Ausgestaltung der Erfindung ist ein Computerprogramm mit prozessorimplementierbaren Anweisungen zum Durchführen aller Schritte eines Verfahrens gemäß der ersten Ausgestaltung bereitgestellt.
  • Gemäß einer vierten Ausgestaltung der Erfindung ist ein computerlesbares Medium bereitgestellt, das ein Computerprogramm gemäß der dritten Ausgestaltung speichert.
  • Die Zugangsrichtlinieninformationen können einen Zugang zu einem Dienst, der durch die Netzwerkperipherievorrichtung selbst angeboten ist, oder bestimmte Merkmalen von Diensten betreffen, die auf der Vorrichtung zur Verfügung stehen. Bei Authentifizieren des Benutzers durch den Authentifizierungs-Server und bei einer erfolgreichen Erstebenen-Benutzerzugangsprüfung werden die Informationen (z. B. Privilegieninformationen oder andere Zugangsrichtlinieninformationen) bezüglich der Zugangsebene des Benutzers zu der Vorrichtung zurückgegeben. Die Vorrichtung bestimmt den Benutzerzugang zu Diensten/Merkmalen der Vorrichtung auf der Grundlage der Zugangsrichtlinien- informationen, die durch den Authentifizierungs-Server zugeführt sind. Die Vorrichtung kann eine angepasste Benutzerschnittstelle, wie ein angepasstes Dienstmenü, für den Benutzer erstellen, das Zugangsrichtlinieninformationen für den Benutzer enthält. Das angepasste Dienstmenü wird dann auf der Vorrichtung angezeigt und ermöglicht dem Benutzer Zugang zu den bestimmten Merkmalen.
  • Ein Bereitstellen eines zentralisierten Ortes für Zugangsverwaltungsinformationen zur Verwendung durch eine Netzwerkperipherievorrichtung, um eine nicht autorisierte Verwendung von Vorrichtungsdiensten/-merkmalen auf der Grundlage einer Authentifizierung des Benutzers zu verhindern, wendet sich den gegenwärtigen Problemen zu, die mit einem Steuern des Zugangs zu einer Netzwerkperipherievorrichtung durch einen Durchgangsbenutzer assoziiert sind, und beseitigt das Erfordernis nach einer einzelnen Programmierung einer jeden Vorrichtung oder Schlüsselkarte als Antwort auf Änderungen in einer Zugangsrichtlinie.
  • Außerdem hilft ein Bereitstellen von zwei Ebenen der Zugangsverwaltung (d. h. zweiflutige Zugangsverwaltung) bei einem Schonen von Computerressourcen und ermöglicht der Netzwerkperipherie, einem Benutzer den Zugang zu verweigern. Ein Netzwerkebenenautorisierungsabschnitt der zweiflutigen Autorisierung hilft bei einem Vermeiden von nicht erforderlichen Aufwendungen von Netzwerkverarbeitungsressourcen (z. B. einem Netzwerk-Client oder -Servercomputer) bei der Ausbildung von Daten als Antwort auf eine Benutzeranforderung, wenn der/das benutzerangeforderte Dienst/Merkmal nicht autorisiert ist, und dann dem Benutzer eine frühzeitige Rückkopplung hinsichtlich der Frage bereitstellen, ob der Benutzer Zugang zu der Peripherievorrichtung erlangen kann, oder nicht. Der Vorrichtungsebenenautorisierungsabschnitt der zweiflutigen Autorisierung hilft bei einem Sicherstellen, dass von dem Netzwerk durch die Peripherie empfangene, ausgebildete Daten keine Anweisungen zur Durchführung eines nicht autorisierten Dienstes/Merkmals enthalten. Die Zweitebenenprüfung kann beispielsweise einen Fälschungsversuch („SPOOF ATTEMPT") (z. B. durch Verändern der ausgebildeten Daten) verhindern, um nicht autorisierte Zugangsrechte zu Diensten/Merkmalen der Peripherie zu erhalten.
  • Diese kurze Zusammenfassung wurde bereitgestellt, so dass die Natur der Erfindung schnell verstanden werden kann. Ein vollständiges Verständnis der Erfindung kann durch Bezugnahme auf die nachstehende ausführliche Beschreibung von deren bevorzugtem/n Ausführungsbeispiel/en in Verbindung mit den beiliegenden Zeichnungen erhalten werden. Es zeigen:
  • 1 eine Ansicht des äußeren Erscheinungsbildes einer repräsentativen Hardware, die ein Ausführungsbeispiel der Erfindung bildet,
  • 2 eine ausführliche Blockdarstellung der internen Architektur des gemäß 1 gezeigten Computers gemäß einem Ausführungsbeispiel der Erfindung,
  • 3 eine Blockdarstellung eines Komponentenüberblicks zur Verwendung bei einem Verwalten und/oder Steuern von Zugang zu Netzwerkperipherievorrichtungen gemäß einem Ausführungsbeispiel der Erfindung,
  • 4, die 4A und 4B umfasst, ein Ablaufdiagramm von Prozessschritten zum Verwalten und/oder Steuern vom Zugang zu einer Netzwerkperipherievorrichtung durch einen Durchgangsbenutzer gemäß einem Ausführungsbeispiel der Erfindung,
  • 5 eine Bildschirmaufnahme des Anzeigeschirms, der eine UI-Benutzerschnittstelle auf einer Stufe vor einem Login eines Durchgangsbenutzers in die Vorrichtung zeigt,
  • 6 eine Bildschirmaufnahme des Anzeigeschirms, der eine UI zeigt, durch die sich ein Durchgangsbenutzer in die Vorrichtung einloggt,
  • 7 eine Bildschirmaufnahme des Anzeigeschirms, der ein angepasstes Dienstmenü zeigt, das für einen Durchgangsbenutzer zur Verfügung stehenden Diensten/Merkmalen entspricht,
  • 8 eine Bildschirmaufnahme des Anzeigeschirms, der ein weiteres angepasstes Dienstmenü zeigt, das für einen Durchgangsbenutzer zur Verfügung stehenden Diensten/Merkmalen entspricht,
  • 9 eine Bildschirmaufnahme des Anzeigeschirms, der eine UI zeigt, durch welche sich ein Durchgangsbenutzer aus der Vorrichtung ausloggt,
  • 10 ein Ablaufdiagramm von Prozessschritten einer Netzwerkperipherievorrichtung zum Anpassen einer Benutzerschnittstelle auf der Grundlage von Zugangssteuerinformationen zum Verwalten und/oder Steuern des Zugangs zu der Vorrichtung durch einen Durchgangsbenutzer gemäß einem Ausführungsbeispiel der Erfindung,
  • 11, die 11A und 11B umfasst, ein Ablaufdiagramm von Prozessschritten zum Verwalten und/oder Steuern vom Zugang zu einer Netzwerkperipherievorrichtung durch einen entfernten Benutzer gemäß einem Ausführungsbeispiel der Erfindung,
  • 12 ein Ablaufdiagramm von Prozessschritten einer Netzwerkperipherievorrichtung zum Verwalten und/oder Steuern des Zugangs zu der Vorrichtung durch einen entfernten Benutzer gemäß einem Ausführungsbeispiel der Erfindung, und
  • 13, die 13A und 13B umfasst, ein Ablaufdiagramm von Prozessschritten eines Servers zum Verwalten und/oder Steuern von Zugang zu der Vorrichtung durch einen entfernten Benutzer oder einen Durchgangsbenutzer gemäß einem Ausführungsbeispiel der Erfindung.
  • 1 zeigt eine Ansicht des äußeren Erscheinungsbildes einer repräsentativen Hardware, die ein Ausführungsbeispiel der Erfindung bildet. Eine Computereinrichtung 1 enthält einen Host-Prozessor 9, umfasst einen Personal-Computer (nachstehend „PC"), der vorzugsweise ein Fensterbetriebssystem wie Microsoft Windows 2000®-, Windows ME®-, usw. Betriebssystem aufweist. Mit der Computereinrichtung 1 sind ein Farbmonitor 2 einschließlich eines Anzeigeschirms 10, eine Tastatur 4 zum Eingeben von Textdaten und Benutzerbefehlen und eine Zeigeeinrichtung 16 bereitgestellt. Die Zeigeeinrichtung 16 umfasst vorzugsweise eine Maus zum Zeigen, Auswählen und Manipulieren von Objekten, die auf dem Anzeigeschirm 10 angezeigt sind.
  • Die Computereinrichtung 1 enthält ein computerlesbares Speichermedium, wie eine Festplatte 17 und/oder ein Diskettenlaufwerk 20 und/oder ein CD-ROM-Laufwerk 19. Derartige computerlesbare Speichermedien ermöglichen der Computereinrichtung 1 einen Zugang zu Informationen, wie benutzerbezogenen Daten, computerausführbaren Prozessschritten, Anwendungsprogrammen und dergleichen, die auf entfernbaren und nicht-entfernbaren Speichermedien gespeichert sind. Außerdem ist die Computereinrichtung 1 durch ein Unternehmensnetzwerk 7 mit einem Server 8 verbunden und kann Informationen und Anwendungsprogramme von dem Server 8 durch das Netzwerk 7 erlangen. Das Unternehmensnetzwerk ist vorzugsweise ein Intranet, kann jedoch ebenso beispielsweise ein lokales Bereichsnetzwerk (LAN, „Local Area Network"), ein Weitbereichsnetzwerk (WAN, „Wide Area Network") oder das Internet sein. Die Computereinrichtung 1 ist durch das Netzwerk 7 mit der Netzwerkperipherievorrichtung 6 verbunden. Die Vorrichtung 6 enthält einen oder mehrere Knöpfe 11, die programmierbar sein können. Wie vorstehend ausführlich beschrieben, können die Knöpfe 11 durch die Vorrichtung 6 abhängig von der empfangenen Zugangsrichtlinie freigegeben oder gesperrt werden.
  • Wie die Computereinrichtung, ist der Server 8 ein Computer, der vorzugsweise ein Fensterbetriebssystem aufweist. Der Server 8 weist eine Speichereinrichtung 41 auf, die vorzugsweise eine große Festplatte zum Speichern von Dateien ist. Während die Vorrichtung 41 gezeigt ist, extern von dem Server 8 angelegt zu sein, muss sie dies nicht sein. Andere Vorrichtungen an dem Netzwerk 7 können deshalb den Server 8 als einen Dateien-Server und zum Speichern von Anwendungen verwenden, wie eine Zugangssteuereinrichtung, die zum Steuern des Benutzerzugangs zu auf der Vorrichtung 6 zur Verfügung stehenden Diensten/Merkmalen konfiguriert ist, und eine Authentifizierungseinrichtung, die zum Authentifizieren eines Benutzers und zum Speichern von Benutzer- und Vorrichtungskonfigurationsinformationen auf einen Verzeichnisdienst konfiguriert ist, die unter Bezugnahme auf 3 aus führlicher beschrieben sind, und wobei der Verzeichnisdienst derartige Informationen als Benutzerkonteninformationen und Zugangsrichtlinieninformationen enthält. Der Verzeichnisdienst ist vorzugsweise ein Microsoft Active Directory, das eine Komponente von Windows 2000® ist, die Verzeichnisdienste für eine Fensterumgebung bereitstellt. Zusätzlich zu dem Bereitstellen zum zentralen Verwalten und zum gemeinsamen Verwenden von Informationen bezüglich Netzwerkressourcen und Benutzern agiert Microsoft Active Directory® als die zentrale Autorität für Netzwerksicherheit, die nachstehend unter Bezugnahme auf 4 ausführlich beschrieben ist. Es sollte offensichtlich sein, dass, während die Speicherung von Authentifizierungs- und Zugangssteuerinformationen unter Bezugnahme auf einen Verzeichnisdienst beschrieben ist, jedwede Einrichtung zum Speichern dieser Informationen mit der Erfindung verwendet werden kann, einschließlich einer, aber nicht eingeschränkt auf eine Domänensteuereinrichtung.
  • Die Schnittstelle zwischen dem Verzeichnisdienst, die Authentifizierungs- und Zugangsrichtlinieninformationen enthält, und anderen Komponenten ist durch die Authentifizierungseinrichtung und/oder die Authentifizierungseinrichtung, Komponenten des Servers 8 bereitgestellt, die für eine Authentifizierung von Benutzern und für ein Bereitstellen von auf dem Verzeichnisdienst gespeicherten Zugangsverwaltungsinformationen zuständig sind. Die Authentifizierungseinrichtung und/oder die Zugangssteuereinrichtung sind vorzugsweise auf dem Server 8 mit dem Verzeichnisdienst befindlich, können aber ebenso auf einem entfernten System oder Server implementiert sein.
  • 2 zeigt eine ausführliche Blockdarstellung der internen Architektur der Computereinrichtung 1. Wie gemäß 2 gezeigt, enthält die Computereinrichtung 1 eine zentrale Verarbeitungseinheit („CPU", Central Processing Unit) 20, die eine Schnittstelle mit einem Computerbus 25 aufweist. Ebenso weisen eine Festplatte 3, eine Netzwerkschnittstelle 21 zum Zugang zum Netzwerk 7, ein Speicher mit wahlfreiem Zugriff („RAM", Random Access Memory) 30 zur Verwendung als ein Hauptspeicher, ein Festwertspeicher („ROM", Read Only Memory) 29, eine Diskettenschnittstelle 28, eine CD-ROM-Schnittstelle 24, eine Anzeigeschnittstelle 26 zu dem Monitor 10, eine Tastaturschnittstelle 22 zu der Tastatur 4, eine Mausschnittstelle 27 zu der Zeigereinrichtung 16 und eine Peripherievorrichtungsschnittstelle 23 zu einer eigenständigen Nicht-Netzwerkvorrichtung 6 eine Schnittstelle mit dem Computerbus 25 auf.
  • Hauptspeicher 30 weist eine Schnittstelle mit dem Computerbus 25 auf, um der CPU 20 während einer Ausführung von Softwareprogrammen, wie dem Betriebssystem, Anwendungsprogrammen und Vorrichtungstreibern einen RAM-Speicher bereitzustellen. Genauer gesagt lädt die CPU 20 computerausführbare Prozessschritte von der Platte 3 oder anderen Speichermedien in einen Bereich des Hauptspeichers 30, und führt danach die gespeicherten Prozessschritte aus dem Hauptspeicher 30 aus, um Softwareprogramme auszuführen. Daten können in Hauptspeicher 30 gespeichert werden, in dem zu den Daten durch die CPU 20 während der Ausführung Zugang erlangt wird. Wie ebenso gemäß 2 gezeigt, enthält die Festplatte 3 ein Fensterbetriebssystem 51, Anwendungsprogramme 52, wie Anwendungstextverarbeitungs-, Tabellenkalkulations-, Datenbank-, Bildgebungs-, Grafik- usw. -anwendungen, und Vorrichtungstreiber 53, wie einen Netzwerkperipherievorrichtungstreiber 54.
  • 3 zeigt eine Blockdarstellung eines Überblicks von Komponenten zur Verwendung bei einem Verwalten und/oder einem Steuern von Zugang zu Netzwerkperipherievorrichtungen gemäß einem Ausführungsbeispiel der Erfindung. In aller Kürze enthält ein Server 8 einen (nicht gezeigten) Host-Prozessor, der ein Fensterbetriebssystem aufweist. Der Server 8 verwendet eine Speichereinrichtung 41, die vorzugsweise eine große Festplatte zum Speichern von zahlreichen Dateien ist, um einen Verzeichnisdienst 47 zu speichern. Der Verzeichnisdienst 47 enthält Benutzerzugangsrichtlinieninformationen und andere Informationen, wie Benutzerautorisierungsinformationen. Die Zugangsrichtlinieninformationen beziehen sich auf Zugangssteuerinformationen (z. B. Regeln), die auf einer Unternehmensebene hinsichtlich des Benutzerzugangs zu auf der Netzwerkperipherievorrichtung 6 zur Verfügung stehenden Diensten/Merkmalen definiert worden sind. Ein Benutzer kann beispielsweise Zugang zu einem Kopier-, nicht aber zu einem Druckdienst einer Multifunktionsnetzwerkperipherievorrichtung 6 erlangen, die Faksimile-, Druck-, Kopier- und Abtastdienste anbietet. In gleicher Weise kann einem Benutzer lediglich Zugang zu einem Schwarz/Weiß-Druckmerkmal, nicht aber zu einem Farbdruckmerkmal eines auf der Vorrichtung 6 zur Verfügung stehenden Druckdienstes gestattet sein.
  • Die Vorrichtung 6 enthält eine Zugangssteuereinrichtung 66, die dem Benutzer einen Zugang zu der Vorrichtung im Einklang mit der bestimmten Zugangsebene gestattet. Die Zugangssteuereinrichtung ist vorzugsweise ein eingebettetes Computersystem mit einer internen Architektur, die jener gemäß 2 gezeigten ähnlich ist, einschließlich einiger oder aller gezeigten Schnittstellen. Die Zugangssteuereinrichtung 66 steuert den Benutzerzugang zu auf der Vorrichtung zur Verfügung stehenden Diensten/ Merkmalen auf der Grundlage der ihr durch den Server 8 bereitgestellten Zugangsrichtlinieninformationen. Die Zugangssteuereinrichtung 66 kann der mit einem Benutzer assoziierten Zugangsrichtlinie durch eine Erstellung einer Benutzerschnittstelle Geltung verschaffen, die gemäß der Benutzerzugangsebene maßgeschneidert ist. Alternativ kann die Zugangssteuereinrichtung 66 Knöpfe (z. B. Knopf 11) sperren/freigeben, die auf der oder durch die Vorrichtung 6 angezeigt sind. Natürlich kann ebenso eine Kombination einer Benutzerschnittstelle und Knopfsperrung/-freigabe verwendet werden. Die Vorrichtung 6 umfasst ferner die Komponenten, die zum Durchführen der Dienste/Merkmale der Vorrichtung 6 erforderlich sind. Im Falle einer Multifunktionsvorrichtung, wobei beispielsweise die Vorrichtung 6 ferner Abtast-, Druck-, Faksimile- und Kopierkomponenten umfasst.
  • Gemäß 3 ist der Server 8 durch ein Unternehmensnetzwerk 7 mit der Computereinrichtung 1 und der Netzwerkperiphervorrichtung 6 verbunden. Die Netzwerkperipherievorrichtung 6 ist vorzugsweise eine Multifunktionsvorrichtung, die Faksimile-, Kopier-, Druck-, und Abtastdienste anbietet, kann aber jedwede Art von Netzwerkperipherievorrichtung sein. Jeder von durch Netzwerkperipherievorrichtungen angebotenen Dienste kann assoziierte Merkmale enthalten. Beispielsweise kann ein Drucken in Farbe und Schwarz/Weiß zur Verfügung stehen; kann ein Abtasten in Farbe, Schwarz/Weiß zur Verfügung stehen und auf verschiedenen Auflösungsebenen zur Verfügung stehen. Nachstehendes ist ein Beispiel einer Struktur einer Unternehmenszugangsrichtlinie zur Verwendung mit einer mulifunktionalen Netzwerkperipherievorrichtung, die Zugangs-/Privilegieninformationen sowohl auf der Dienst- als auch auf der Merkmalsebene enthält:
    Figure 00160001
  • In dem vorstehend beschriebenen Beispiel enthält der Druckdienst Schwarz-/Weiß- (d. h. S/W), Farb- und Tageskontingentmerkmale. Die Informationen unter der Richtlinienspalte identifizieren, ob das Merkmal zur Verfügung steht, oder nicht, und/oder eine Zahl von 0 bis 2000, die ein Tageskontingent (z. B. eine Seitenanzahl) der Anzahl von Seiten darstellt, die dem Benutzer gestattet sind. Beispielsweise kann ein Benutzer eingeschränkt werden, 200 Seiten an einem einzelnen Tag zu drucken.
  • Zusätzlich zu den Merkmalen, die jenen des Druckdienstes ähnlich sind, steht der Abtastdienst bei hoher (H), mittlerer (H/L) und niedriger (L) Auflösung zur Verfügung, wie unter der Richtlinienspalte angegeben (d. h. H, H/L, L). Das Tageskontingentmerkmal für den Abtastdienst liegt zwischen 0 und 100 Seiten. Der Faksimiledienst enthält Lokal-, Fernfax- und Tageskontingentmerkmale. Die Informationen unter der Richtlinienspalte identifizieren, ob das Merkmal zur Verfügung steht, oder nicht, und/oder eine Anzahl von 0 bis 200, die die Anzahl von Seiten darstellt, die der Benutzer faxen kann. Zusätzlich zu den Merkmalen, die jenen des Druckdienstes ähnlich sind, steht der Kopierdienst bei verschiedenen H-, H/L- und L-Auflösungen zur Verfügung, die unter der Richtlinienspalte angegeben sind. Die Informationen unter der Richtlinienspalte identifizieren, ob das Merkmal zur Verfügung steht, oder nicht, und/oder eine Anzahl von 0 bis 200, die die Anzahl von Seiten darstellt, die der Benutzer kopieren kann.
  • Nachdem die Authentifizierungseinrichtung 48 den Benutzer auf der Grundlage von in dem Verzeichnisdienst 47 gespeicherten Informationen authentifiziert hat, bestimmt die Zugangssteuereinrichtung 49 auf der Grundlage der in dem Verzeichnisdienst 47 gespeicherten Zugangsrichtlinieninformationen, ob der Benutzer zu einem Zugang zu den auf der Vorrichtung 6 zur Verfügung stehenden Diensten/Merkmalen autorisiert ist. Während die Authentifizierungseinrichtung 48 und die Zugangssteuereinrichtung 49 gemäß 3 als separate Komponenten gezeigt sind, sollte es offensichtlich sein, dass sie die gleiche Komponente oder beide ein Teil einer anderen Komponente sein können. In einem Fall, in welchem eine Authentifizierung durch die Authentifizierungseinrichtung 48 und eine Zugangssteuerbestimmung durch die Zugangssteuereinrichtung 49 auf dem Server 8 erfolgreich sind, werden die Zugangsrichtlinieninformationen zu der Vorrichtung 6 übertragen. Schlägt entweder die Authentifizierung durch die Authentifizierungseinrichtung 48 fehl oder bestimmt die Zugangssteuer einrichtung 49 auf der Grundlage der mit einem Benutzer assoziierten Zugangsrichtlinie, dass ein Erfordernis zum Zurückweisen des Zugangs besteht, wird eine Nachricht, die anzeigt, dass die Authentifizierung fehlschlug oder der Zugang für den einzelnen Benutzer und/oder die angeforderten Dienste/Merkmale zurückgewiesen wird, zu der Vorrichtung 6 gesendet.
  • Sind die Zugangsrichtlinieninformationen erst einmal durch die Vorrichtung 6 empfangen, dann bestimmt die Zugangssteuereinrichtung 66 die Benutzerzugangsebene zu auf der Vorrichtung 6 zur Verfügung stehenden Diensten/Merkmalen auf der Grundlage der empfangenen Zugangsrichtlinieninformationen. Die Zugangssteuereinrichtung 66 verschafft vorzugsweise der Unternehmenszugangsrichtlinie für den Benutzer durch Erstellen einer maßgeschneiderten Benutzererfahrung (z. B. maßgeschneiderte UI, maßgeschneidertes Dienstmenü) für den Benutzer Geltung. Das maßgeschneiderte Dienstmenü wird dann auf der Vorrichtung 6 angezeigt. Eine Eingabe-/Ausgabe (E/A)-Einheit 76 auf der Netzwerkperipherievorrichtung 6 stellt das maßgeschneiderte Dienstmenü bereit. Die E/A-Einheit 76 kann eine externe Einheit sein, die an die Vorrichtung 6 angebracht ist, kann aber ebenso in die Vorrichtung 6 eingebaut sein, und kann eine Anzeigeeinheit sowie einen Eingabemechanismus (z. B. Tastatur und/oder Medienleseeinrichtung) bereitstellen.
  • Das maßgeschneiderte Dienstmenü ermöglicht dem Benutzer ein Verwenden der auf der Netzwerkperipherievorrichtung 6 zur Verfügung stehenden bestimmten Dienste und/oder Merkmale gemäß den Unternehmenszugangsrichtlinieninformationen für den Benutzer. Das maßgeschneiderte Dienstmenü wird vorzugsweise auf einem Berührschirm angezeigt, der einem Benutzer ein Aktivieren der Tasten durch Berühren der virtuellen Tasten ermöglicht, die auf dem Schirm angezeigt sind, auf dem das Menü angezeigt ist. In einem derartigen Fall kann der Benutzer Zugang zu der Vorrichtung 6 durch Aktivieren der virtuellen Tasten erlangen, die auf der E/A-Einheit 76 angezeigt sind, und die den zur Verfügung stehenden Diensten/Merkmalen auf der Vorrichtung 6 entsprechen. Die Tasten können jedoch ebenso durch andere Einrichtungen, wie eine Verwendung einer Zeigeeinrichtung 16 aktiviert werden, wobei die E/A-Einheit 76 die Computereinrichtung 1 umfasst.
  • Im Allgemeinen kann die E/A-Einheit, die bei der Vorrichtung 6 verwendet ist, nicht-integriert sein, wobei die Eingabe- und Ausgabefunktionen durch separate Einheiten durchgeführt werden. Beispielsweise kann die E/A-Einheit 76 ein separates Tastenfeld umfassen. Die E/A-Einheit kann ebenso integriert sein, wobei die gleiche Einheit sowohl die Eingabe- als auch die Ausgabefunktion durchführt. Die E/A-Einheit kann beispielsweise ein Berührschirm sein, der eine Ausgabe anzeigt, die virtuelle Tasten enthält, die als Antwort auf die Benutzerberührung aktiviert werden.
  • Ein Benutzer der Netzwerkperipherievorrichtung 6 kann ein Durchgangsbenutzer oder ein entfernter Benutzer sein. Ein Durchgangsbenutzer ist als ein solcher definiert, der lokal auf der Vorrichtung Zugang zu der Vorrichtung 6 erlangt. Ein entfernter Benutzer ist ein Nicht-Durchgangsbenutzer. In dem Fall des Durchgangsbenutzers werden wie aus ausführlicher unter Bezugnahme auf 4 beschrieben die durch die Vorrichtung 6 empfangenen Authentifizierungsinformationen von der Vorrichtung 6 zu der Authentifizierungseinrichtung 48 übertragen, und die Vorrichtung 6 empfängt eine Zugangsinformationenrichtlinie von der Authentifizierungseinrichtung 48. In dem Fall des entfernten Benutzers, der sich womöglich bereits in das Netzwerk eingeloggt hat, fordert der Vorrichtungstreiber 54 gemäß 2 Zugangsrichtlinieninformationen an, die dem Benutzer und der Vorrichtung 6 entsprechen, und stellt der Authentifizierungseinrichtung 48 Benutzerlogin- und Vorrichtungsinformationen bereit.
  • Die Authentifizierungseinrichtung 48 überträgt Zugangsrichtlinieninformationen zu dem Vorrichtungstreiber 54. Die Authentifizierungseinrichtung 48 benachrichtigt die Vorrichtung 6 bezüglich Zugangsrichtlinien, die mit dem authentifizierten Benutzer assoziiert sind, vorzugsweise zusammen mit dem Auftrag, der durch den Benutzer über den Vorrichtungstreiber 54 erteilt wurde. Ist die Authentifizierungseinrichtung 48 auf der Grundlage der durch die Vorrichtung 6 gesendeten Authentifizierungsinformationen nicht in der Lage, einen Benutzer zu authentifizieren, dann kann sie eine „Authentifizierung fehlgeschlagen"-Nachricht oder eine „keine Dienste/Merkmale verfügbar"-Nachricht oder beide senden. In einem Fall, dass der Benutzer authentifiziert wird, leitet die Authentifizierungseinrichtung 48 die Zugangsrichtlinieninformationen zu der Zugangssteuereinrichtung 49 weiter, die auf der Grundlage der Auftragsanforderung und der Zugangsrichtlinieninformationen bestimmt, ob Zugang zu gewähren sei. Wenn dem so ist, werden die Zugangsrichtlinieninformationen zusammen mit der Auftragsanforderung zu der Vorrichtung 6 übertragen. Die Vorrichtung 6 verarbeitet dann die Auftragsanforderung in dem Maße, in dem diese mit den Zugangsrichtlinieninformationen in Einklang steht. Bestimmt die Zugangssteuereinrichtung 49, dass ein Zugang zurückgewiesen werden soll, dann kann sie eine „Zugang verweigert"-, oder eine „angeforderte Dienste/Merkmale stehen nicht zur Verfügung„ -Nachricht oder beide senden.
  • 4 zeigt ein Ablaufdiagramm von Prozessschritten zum Verwalten und/oder Steuern von Zugang zu einer Netzwerkperipherievorrichtung durch einen Durchgangsbenutzer gemäß der Erfindung. Bevor dem Benutzer ein Zugang zu der Vorrichtung 6 gestattet wird, muss sich eine vertrauenswürdige Anwendung, wie die Authentifizierungseinrichtung 48, für die Anforderung verbürgen, was auf dem Server 8 gespeichert wird. Alle Authentifizierungsinformationen werden in einem Verzeichnisdienst 47 gehalten, der auf dem Server 8 vorliegt. Ein Benutzer initiiert einen Auftrag durch Bereitstellen von Authentifizierungsinformationen für die Netzwerkperipherievorrichtung 6. Der Benutzer kann jedweden der Dienste, die auf der Netzwerkperipherievorrichtung 6 zur Verfügung stehen, für die der Benutzer autorisiert ist, und jedwedes Merkmal verwenden, das jedweden dieser Dienste entspricht, wie Schwarz/Weiß- oder Farbmerkmale eines Druckdienstes, für die der Benutzer autorisiert ist.
  • Da ein Durchgangsbenutzer direkt Zugang zu der Vorrichtung erlangt, stellt in Schritt S301 ein Durchgangsbenutzer Authentifizierungsinformationen für die Vorrichtung 6 bereit. Vorzugsweise ist eine einzelne universelle Einschreibefunktionalität wirksam, gemäß derer die Authentifizierungsinformationen der Benutzname des Benutzers und dessen Passwort sind. In jedem Fall können die gleichen Authentifizierungsinformationen zum Authentifizieren eines Benutzers für andere Zwecke verwendet werden (z. B. Zugang zu dem Server 8 oder zu den darauf gespeicherten Dateien). Vorteilhafterweise vermeidet ein universelles Einschreiben die Einführung von separaten, einzigartigen Benutzernamen/Passwörtern zum Login auf der Vorrichtung 6 und für jedwede andere Zwecke, für die eine Authentifizierung eine Voraussetzung ist.
  • Schritt S302 veranlasst die Vorrichtung 6 zum Kommunizieren der durch den Benutzer bereitgestellten Authentifizierungsinformationen zu der Authentifizierungseinrichtung 48, die wiederum bestimmt, ob der Benutzer ein autorisierter Benutzer ist. Die Authentifizierungseinrichtung 48 erreichte dies in Schritt S303 durch Vergleichen oder Prüfen der durch den Benutzer bereitgestellten Authentifizierungsinformationen mit Benutzerauthentifizierungsinformationen (z. B. Benutzername und/oder -passwort), die in dem Verzeichnisdienst 47 gespeichert sind.
  • Schritt S304 bestimmt, ob der Benutzer bei einem Erhalten einer Authentifizierung von der Authentifizierungseinrichtung 48 erfolgreich oder erfolglos war. Ist der Benutzer bei einem Erlangen einer Authentifizierung für die Auftragsanforderung erfolglos, dann kommuniziert die Authentifizierungseinrichtung 48 vorzugsweise dieses Fehlschlagen durch eine „Authentifizierung fehlgeschlagen"- Nachricht, die mittels Schritt S305 zu der Vorrichtung 6 übertragen wird. Ist der Benutzer bei einem Erlangen einer Authentifizierung erfolgreich, dann holt in Schritt S306 die Authentifizierungseinrichtung 48 die Zugangsrichtlinieninformationen von den Verzeichnisdiensten 47. Die für einen Durchgangsbenutzer geholten Zugangsrichtlinieninformationen können die gleichen sein, wie die Benutzerunternehmenszugangsrichtlinieninformationen, die ebenso gespeicherte Verzeichnisdienste 47 sein können, oder sich von diesen unterscheiden.
  • In Schritt S307 untersucht die Zugangssteuereinrichtung 49 die Zugangsebene des Durchgangsbenutzers zu Diensten/Merkmalen unter Verwendung der geholten Zugangsrichtlinieninformationen. In Schritt S308 wird eine Bestimmung durchgeführt, ob dem Benutzer ein Zugang zur Vorrichtung 6 und insbesondere zu den Diensten/Merkmalen zu gestatten ist, die zum Durchführen des durch den Benutzer angeforderten Auftrags erforderlich sind. Ist ein Zugang nicht zu gestatten, dann setzt sich die Verarbeitung in Schritt S309 fort, um eine „Zugang verweigert"-Nachricht zu der Vorrichtung 6 zu übertragen. Bestimmt der Server 8, dass dem Benutzer ein Erlangen von Zugang gestattet ist, dann setzt sich die Verarbeitung in Schritt S310 fort, um die Zugangsrichtlinie zu der Vorrichtung 6 zu übertragen.
  • Der Server 8 führt mit anderen Worten eine Authentifizierungsprüfung in einem Durchlauf durch, und ist die Prüfung erfolgreich (d. h. der Server gestattet dem Benutzer Zugang), dann leitet der Server 8 die Zugangsrichtlinieninformationen zu der Vorrichtung 6 weiter, so dass er die zweite und letzte Prüfung durchführen kann, um zu bestimmen, ob der Benutzer zu einem Zugang zu Diensten/Merkmalen der Vorrichtung 6 in der Lage ist.
  • Die Kommunikation zwischen der Vorrichtung 6 und dem Server 8 wird vorzugsweise durch einen sicheren Kommunikationskanal durchgeführt, der ein sicheres Transportprotokoll verwendet, wie Sichere-Socket-Schicht (SSL, „Secure Socket Layer"), Transportschichtsicherheit (TLS, Transport Layer Security"), um die Wahrscheinlichkeit eines nicht-autorisierten Zugangs zu der Vorrichtung durch Hacker zu minimieren. Außerdem werden die Zugangssteuerinformationen vorzugsweise in verschlüsselter Form unter Verwendung eines kryptografischen Algorithmus gespeichert. Ein kryptografischer Hashing- und Signierungsvorgang kann verwendet werden, um nicht-autorisierte Modifikation oder Verfälschung bei den Zugangsinformationen zu erfassen. Verschlüsselte Zugangsinformati onen werden bei Empfang durch die Vorrichtung 6 entschlüsselt. Wird ein kryptografischer Hashing- und Signiervorgang verwendet, dann kann die Vorrichtung 6 den Hash bei dem Versuch verifizieren, zu bestimmen, ob die empfangenen Zugangssteuerinformationen verfälscht wurden, oder nicht. Außerdem kann die Vorrichtung 6 Authentifizierungsinformationen verschlüsseln und/oder einen kryptografischen Hashing- und Signiervorgang zum Übertragen der Authentifizierungsinformationen zu dem Server 8 verwenden.
  • Obwohl die Verschlüsselung vorzugsweise derart durchgeführt wird, dass die bei dem Verzeichnisdienst 47 gespeicherten Informationen verschlüsselt werden, können sie alternativ in nicht-verschlüsselter Form bei dem Verzeichnisdienst 47 gespeichert sein. Demgemäß werden Zugangsrichtlinieninformationen bei dem Verzeichnisdienst 47 in einer nicht-verschlüsselten Form gespeichert und werden durch die Authentifizierungseinrichtung 48 verschlüsselt. Zugehörige Protokolle zur Kommunikation zwischen dem Server 8 und der Vorrichtung 6 und einer Verwendung von zugehörigen sicheren Transportmechanismen in Verbindung mit Standardprotokollen sind ebenso zur Verwendung mit der Erfindung gedacht.
  • Erhält die Vorrichtung 6 erst einmal die Benutzerzugangsrichtlinieninformationen von dem Authentifizierungsserver 8, dann geht die Zugangssteuereinrichtung 66 in Schritt S311 zu einer Bestimmung des Benutzerzugangs zu Diensten und/oder Merkmalen auf der Grundlage der von der Authentifizierungseinrichtung 48 empfangenen Zugangsrichtlinieninformationen über, die durch die Vorrichtung 6 angeboten sind. Nachstehendes ist ein Beispiel von Benutzerzugangsrichtlinieninformationen für eine multifunktionale Netzwerkperipherievorrichtung:
    Figure 00250001
  • In dem vorstehend beschriebenen Beispiel ist es dem Benutzer gestattet, sowohl das Schwarz/Weiß- auch als das Farbmerkmal des Druckdienstes bis hin zu einem Tagesmaximum von 150 Seiten zu verwenden. Der Benutzer kann den Abtastdienst zum Abtasten von bis zu 50 Seiten von Schwarz/Weiß- Seiten pro Tag bei niedriger Auflösung, Faksimile von bis zu 25 Seiten pro Tag, solange die Faxe nicht über eine Ferntelefonleitung übertragen werden, und bei mittlerer oder niedriger Auflösung übertragen werden, und kann den Kopierdienst verwenden, um bis zu 500 Schwarz/Weiß- Kopien pro Tag bei allen Auflösungen zu erstellen.
  • In Schritt S312 wird dem Benutzer ein Zugang zu Diensten/Merkmalen der Vorrichtung 6 im Einklang mit der bestimmten Zugangsebene gewährt. Dies kann durch die Zugangssteuereinrichtung 66 durch Erstellung einer Benutzerschnittstelle implementiert sein, die Auswahlen auf der Grundlage der für den einzelnen Benutzer erlangten Zugangsrichtlinieninformationen enthält. Demgemäß erstellt die Vorrichtung 6 eine maßgeschneiderte Benutzerschnittstelle, wie ein maßgeschneidertes Dienstmenü für den Benutzer, das die Zugangsrichtlinie für den Benutzer enthält. Das maßgeschneiderte Dienstmenü wird dann auf der Vorrichtung 6 dadurch angezeigt, dass Dienste/Merkmale als virtuelle Tasten auf der E/A-Einheit 76 erscheinen.
  • 5 bis 9 zeigen Ansichten des Anzeigeschirms 10, der Änderungen in einer UI bei unterschiedlichen Stufen einer Durchgangsbenutzerinteraktion mit der Vorrichtung 6 zeigt.
  • 5 zeigt eine Bildschirmaufnahme des Anzeigeschirms, der eine UI zeigt, bevor der Benutzer um Zugang zu der Vorrichtung 6 ersucht. Wie gezeigt, ist die Vorrichtung gesperrt und erfordert von dem Durchgangsbenutzer, sich einzuloggen.
  • 6 zeigt eine Bildschirmaufnahme des Anzeigeschirms, der eine UI zeigt, durch die der Benutzer sich in die Vorrichtung 6 einloggen würde. In dem Beispiel gemäß 6 loggt sich der Benutzer durch Bereitstellen eines Benutzernamens und eines Passworts ein, die auf sichere Weise zu dem Server 8 übertragen werden.
  • 7 zeigt eine Bildschirmaufnahme des Anzeigeschirms, der ein maßgeschneidertes Dienstmenü zeigt, das den dem Durchgangsbenutzer zur Verfügung stehenden Diensten/Merkmalen entspricht. Knöpfe 800 am oberen Ende des Schirms sind vorzugsweise virtuelle (d. h. nicht-physikalische) Knöpfe. In diesem Fall stellen sie die Dienste der Vorrichtung 6 dar, die dem Benutzer zur Verfügung stehen (d. h. FTP-Abtasten, Logout, SKopie). Der Abschnitt unterhalb der Knöpfe 800 ist ein Bereich 701, der eine Anzeige eines Auftrages ist, der dem „SKopie"-Dienst entspricht. Der SKopie-Dienst ermöglicht dem Benutzer ein Abtasten und Kopieren unter Verwendung der Vorrichtung 6. Die virtuellen Knöpfe 702 auf der rechten Seite des Schirmes entsprechen zur Verfügung stehenden Merkmalen (Kopie, Anzahl von Seiten, Papierauswahl). Das heißt, der Benutzer kann unter Verwendung der Knöpfe 702 kopieren, die Anzahl von Seiten setzen und Papier wählen. Rollknöpfe 703 ermöglichen dem Benutzer ein Abrollen durch die Auftragsauflistungen, die in dem Bereich 701 angezeigt sind.
  • 8 zeigt eine Bildschirmaufnahme des Anzeigeschirms, der ein weiteres Beispiel eines maßgeschneiderten Dienstmenüs zeigt, das den dem Durchgangsbenutzer zur Verfügung stehenden Diensten/Merkmalen entspricht. In dem Beispiel gemäß 8 entspricht Bereich 701 einem „Halten & Drucken"-Dienst der Vorrichtung 6 und stellt eine Liste von „Halten & Drucken"-Aufträgen bereit. Der Schirm enthält Knöpfe 800, welche in diesem Fall dem „Halten & Drucken"-, „FTP-Abtasten"- und „Logout"-Dienst der Vorrichtung 6 entsprechen. Der „Halten & Drucken"-Dienst ermöglicht dem Benutzer ein Aufspeichern von Druckaufträgen und ein Initiieren des Druckens eines gespeicherten Auftrages bei der Vorrichtung 6. Die virtuellen Knöpfe 802 auf der rechten Seite des Schirmes entsprechen den zur Verfügung stehenden Merkmalen (Liste aktualisieren, Auftrag drucken und Auftrag löschen). Das heißt, der Benutzer kann unter Verwendung der Knöpfe 802 eine Liste aktualisieren/auffrischen, einen Auftrag drucken oder einen Auftrag löschen. Rollknöpfe 703 ermöglichen dem Benutzer ein Abrollen durch die Auftragsauflistung, die in dem Bereich 701 angezeigt ist.
  • 9 zeigt eine Bildschirmaufnahme des Anzeigeschirms, der eine UI zeigt, durch die sich ein Durchgangsbenutzer aus der Vorrichtung 6 ausloggt. Der Bildschirm enthält ähnlich 8 Knöpfe 800, welche in diesem Fall dem „FTP-Abtasten", „SKopie"- und „Logout"-Dienst der Vorrichtung 6 entsprechen.
  • In einem Fall, in welchem die UI „nicht-autorisierte" Auswahlen enthält, können diese Auswahlen derart gesperrt sein, dass die den nicht-autorisierten Diensten/Merkmalen entsprechenden Tasten grau ausgeblendet sind. Der Benutzer schreitet dann zu einem Verwenden der Vorrichtung 6 gemäß der bestimmten Zugangsebene durch Aktivieren von nicht grau ausgeblendeten Tasten über, die auf der I/A-Einheit 76 vorzugsweise durch einen Berührschirm angezeigt sind.
  • 10 zeigt ein Ablaufdiagramm von Prozessschritten einer Netzwerkperipherievorrichtung zum Maßschneidern einer Benutzerschnittstelle auf der Grundlage von Zugangssteuerinformationen zum Verwalten und/oder Steuern von Zugang zu der Vorrichtung durch einen Durchgangsbenutzer gemäß der Erfindung. In Schritt S1001 fragt die Vorrichtung 6 ab, ob der Benutzer eine Authentifizierung und jedwede Auftragsanforderungsinformationen für die Vorrichtung 6 bereitgestellt hat (z. B. Authentifizierungsinformationen, die über einen gemäß 6 gezeigten Bildschirm empfangen sind). Es wird kein Auftrag durch die Vorrichtung initiiert, bis derartige Informationen durch den Benutzer bereitgestellt sind. Nachdem derartige Informationen bereitgestellt sind, kann der Benutzer einen durchzuführenden Auftrag unter Verwendung von Diensten/Merkmalen der Vorrichtung 6 anfordern (z. B. über die gemäß 7 bis 9 gezeigten Bildschirme). Damit die Vorrichtung 6 die Benutzerauftragsanforderung durchführen kann, muss der Server 8 den Benutzer erfolgreich authentifizieren und eine server-seitige Autorisierung erfolgreich durchführen, und die Vorrichtung 6 führt ihren Autorisierungsdurchlauf durch, der ebenfalls erfolgreich sein muss.
  • Schritt S1002 veranlasst, dass die durch den Benutzer in Schritt S1001 eingegebene Authentifizierung und jedwede Auftragsanforderungsinformationen zu der Authentifizierungseinrichtung 48 weitergeleitet werden. Überträgt in Schritt S1002 beispielsweise die Vorrichtung 6 erst einmal die Informationen zu Server 8, dann werden Schritte S303 bis S310 gemäß 4A bis 4B bei dem Server 8 durchgeführt. Die Authentifizierungseinrichtung 48, vergleicht oder prüft die durch den Benutzer bereitgestellten Authentifizierungsinformationen gegenüber den in dem Verzeichnisdienst 47 gespeicherten Authentifizierungsinformationen, und die Zugangssteuereinrichtung 49 bestimmt, ob Zugang zu gewähren ist, oder nicht, und die Ergebnisse werden zurück zu der Vorrichtung 6 übertragen. Hinsichtlich der Autorisierung kann die Zugangssteuereinrichtung 49 Auftragsanforderungsinformationen, falls zugeführt, untersuchen, um zu bestimmen, ob für den einzelnen Auftrag Zugang zu gestatten ist, und werden keine Auftragsanforderungsinformationen bei dem Server 8 empfangen, dann kann die Zugangssteuereinrichtung 49 bestimmen, ob der Benutzer Zugang zu jedweden der Dienste/Merkmale der Vorrichtung 6 hat, oder nicht.
  • In Schritt S1003 wartet die Vorrichtung 6 auf die Ergebnisse von dem Server 8. Schritt S1004 erfragt den Erfolg des Benutzers bei einer Authentifizierung und ob dem Benutzer auf der Grundlage der von dem Server 8 empfangenen Ergebnisse irgendeine Zugangsebene zu Diensten/Merkmalen der Vorrichtung 6 durch die Authentifizierungseinrichtung 48 bzw. die Zugangssteuereinrichtung 49 gewährt wurde. Beispielsweise in einem Fall, in welchem entweder die Authentifizierung oder Autorisation erfolglos waren, leitet der Server 8 eine den Fehler anzeigende Nachricht zu der Vorrichtung 6 weiter.
  • Sollte der Benutzer bei einem Erhalten einer Authentifizierung/Autorisation erfolglos sein, dann wird die von dem Server 8 empfangene Fehlernachricht durch die Vorrichtung 6 in Schritt S1005 verarbeitet, beispielsweise durch Veranlassen einer Anzeige einer „Autorisierung fehlgeschlagen- oder „Zugang verweigert"- Nachricht durch die Vorrichtung 6, wodurch dem Benutzer Zugang zu jedwedem Dienst/Merkmalen der Vorrichtung 6 verweigert wird. Im Falle einer erfolgreichen Authentifizierung/Authentifizierung des Benutzers durch den Server 8 bestimmt die Vorrichtung 6 die Benutzerzugangsebene zu den Diensten/Merkmalen der Vorrichtung 6 auf der Grundlage der in Schritt S1006 empfangenen Zugangsrichtlinieninformationen. Schritt S1007 veranlasst die Vorrichtung 6 zu einem Erstellen eines maßgeschneiderten Menüs für den Benutzer auf der Grundlage der bestimmten Zugangsebene.
  • Ein entfernter Benutzer kann beispielsweise über eine Arbeitsstation, wie eine Computereinrichtung 1, Zugang zu der Vorrichtung 6 erlangen. Jedoch weicht der Prozess, in welchem ein entfernter Benutzer Zugang zu der Vorrichtung 6 erlangt, von jenem eines Durchgangsbenutzers ab. Das nachstehende Beispiel betrifft einen entfernten Benutzer, der um ein Drucken eines Auftrags unter Verwendung der Vorrichtung 6 und um einer Anwendung, die auf der Arbeitsstation vorliegt, ersucht:
    • 1. Der Benutzer initiiert einen Druckvorgang ausgehend von innerhalb der Anwendung.
    • 2. Die Vorrichtung 6 bestimmt den Server 8, auf dem die Authentifizierungseinrichtung 48 läuft.
    • 3. Eine sichere Leitung wird zwischen dem Drucktreiber und der Authentifizierungseinrichtung 48 erstellt, in welcher die Authentifizierungsinformationen zu dem Server 8 gesendet werden.
    • 4. Der Vorrichtungstreiber 54 auf der Arbeitsstation überträgt eine Anforderung nach Zugangsrichtlinieninformationen zu dem Server 8. Die Anforderung identifiziert den Benutzer und die Vorrichtung 6. Der Treiber 54 stellt ebenfalls Authentifizierungsinformationen und jedwede Auftragsanforderungsinformationen in Verbindung mit der Anforderung bereit.
    • 5. Die Authentifizierungseinrichtung 48 führt eine Authentifizierung durch, die Zugangssteuereinrichtung 49 führt eine Autorisierung durch, und überträgt auf der Grundlage des Ausgangs der Authentifizierung/Autorisation eine Antwort (z. B. „Autorisierung fehlgeschlagen" oder „Zugang verweigert"- Nachricht oder Zugangsrichtlinieninformationen) zu der Vorrichtung 6.
    • 6. Der Treiber 54 leitet die empfangenen Zugangsrichtlinieninformationen zu der Vorrichtung 6 zusammen mit dem durch den Benutzer erteilten Auftrag weiter.
  • 11 zeigt ein Ablaufdiagramm von Prozessschritten zum Verwalten und/oder Steuern von Zugang zu einer Netzwerkperipherievorrichtung durch einen entfernten Benutzer gemäß der Erfindung. In Schritt S1101 loggt sich der Benutzer in das Netzwerk 7 ein. Bei Schritt S1102 wird eine Bestimmung durchgeführt, ob der Benutzer eine Auftragsanforderung initiiert hat. Ist die Auftragsanforderung erst einmal initiiert, dann fordert in Schritt S1103 der Vorrichtungstreiber 54 Zugangsrichtlinieninformationen, die mit dem Benutzer und der Vorrichtung entsprechen, von dem Server 8 an und stellt dem Server 8 Authentifizierungs- und Auftragsanforderungsinformationen bereit. Die Authentifizierungsinformationen sind vorzugsweise über einen Frage-/Antwortmechanismus („Challenge and Response Mechanism") bereitgestellt, können aber ebenso durch andere Einrichtungen bereitgestellt werden, wie Benutzername und -passwort.
  • Vor dem Bereitstellen der angeforderten Zugangsrichtlinieninformationen authentifiziert der Server 8 (z. B. Authentifizierungseinrichtung 48 und Zugangssteuereinrichtung 49 des Server 8) den Benutzer unter Verwendung der Authentifizierungsinformationen und bestimmt in Schritt S1104, ob der Benutzer die Zugangsebene aufweist, die zu einem Verwenden des/der durch die Auftragsanforderung angeforderte(n) Dienst/Merkmalen erforderlich ist. In Schritt S1105 bestimmt der Server 8, ob entweder die Authentifizierung oder die Autorisation erfolglos waren, und sendet, wenn dem so ist, eine geeignete Nachricht (z. B. eine „Autorisation fehlgeschlagen"- oder eine „Zugang verweigert"- Nachricht). Waren sowohl die Authentifizierung als auch die Autorisation erfolgreich, dann setzt sich die Verarbeitung mit Schritt S1108 fort.
  • In Schritt S1108 sendet der Server 8 Zugangsrichtlinieninformationen zurück zu dem Treiber. Schritt S1109 veranlasst den Treiber zum Weiterleiten der Zugangsrichtlinieninformationen zusammen mit der Auftragsanforderung zu der Vorrichtung 6. In Schritt S1110 bestimmt die Vorrichtung 6 die Benutzerzugangsebene auf der Grundlage der empfangenen Zugangsrichtlinieninformationen. In Schritt S1111 vergleicht oder prüft die Vorrichtung 6 die angeforderten Dienste/Merkmale gegenüber der Benutzerzugangsebene, um zu bestimmen, ob die Benutzeranforderung mit der Benutzerzugangsebene in Einklang steht.
  • Eine Bestimmung, dass die Benutzerauftragsanforderung nicht mit der bestimmten Benutzerzugangsebene in Einklang steht, führt in Schritt S1112 zu einem „Zugang verweigert"- Zustand, wodurch die Benutzerauftragsanforderung zurückgewiesen wird. Vorzugsweise wird eine Nachricht zu der Benutzerarbeitsstation gesendet, um den Benutzer auf den „Zugang verweigert"- Zustand aufmerksam zu machen. Sollte die Anfrage in Schritt S51111 zu der Bestimmung führen, dass die Benutzerauftragsanforderung mit der bestimmten Benutzerzugangsebene in Einklang steht, dann veranlasst Schritt S1113 die Vorrichtung 6 zum Durchführen des angeforderten Auftrags gemäß der bestimmten Zugangsebene.
  • 11 zeigt einen allgemeinen Überblick von Schritten, die zum Steuern/Verwalten von Zugang zu der Vorrichtung 6 durchgeführt werden. 12 zeigt die Perspektive der Vorrichtung 6. Das heißt, 12 zeigt ein Ablaufdiagramm von Prozessschritten für eine Netzwerkperipherievorrichtung zum Verwalten und/oder Steuern von Zugang zu der Vorrichtung durch einen entfernten Benutzer gemäß der Erfindung. Um einen Auftrag zu verarbeiten, der aus der Ferne zu einer Vorrichtung 6 gesendet ist, muss die Vorrichtung 6 sowohl die angeforderten Dienste/Merkmale als auch die Zugangsrichtlinieninformationen für den Benutzer aufweisen. Der durch den Benutzer erteilte Auftrag identifiziert die angeforderten Dienste/Merkmale. Der Vorrichtungstreiber 54 stellt die Zugangsrichtlinieninformationen bereit, die er von dem Server 8 als ein Teil des zu der Vorrichtung 6 gesendeten Auftragsflusses empfing.
  • In Schritt S1201 leitet der Vorrichtungstreiber 54 den Benutzerauftrag zu der Vorrichtung 6 weiter. In Schritt S202 erfragt die Vorrichtung 6, ob die Benutzerzugangsrichtlinieninformationen zusammen mit der Auftragsanforderung enthalten sind. Sind die Benutzerzugangsrichtlinieninformationen nicht zusammen mit der Auftragsanforderung enthalten, dann veranlasst Schritt S1203, dass eine Fehlernachricht zurück zu dem Treiber 54 gesendet wird, die den Benutzerzugang zu den angeforderten Diensten/Merkmalen zurückweist.
  • Sind die Benutzerzugangsrichtlinieninformationen zusammen mit der Auftragsanforderung enthalten, dann geht Schritt S1204 zu einer Bestimmung der Benutzerzugangsebene auf der Grundlage der empfangenen Zugangsrichtlinieninformationen über. In Schritt S1205 vergleicht oder prüft die Vorrichtung 6 die angeforderten Dienste/Merkmale gegenüber der Benutzerzugangsebene, um zu bestimmen, ob die Benutzeranforderung mit der Benutzerzugangsebene in Einklang steht. Eine Bestimmung, dass die Benutzerauftragsanforderung nicht mit der bestimmten Benutzerzugangsebene in Einklang steht, führt in Schritt S1206 zu einer Fehlernachricht, die zu dem Treiber 54 gesendet wird, wodurch. die Benutzerauftragsanforderung zurückgewiesen wird. Sollte die Anfrage in Schritt S1205 zu der Bestimmung führen, dass die Benutzerauftragsanforderung mit der bestimmten Benutzerzugangsebene in Einklang steht, dann veranlasst Schritt S1207 die Vorrichtung 6 zu einem Durchführen des angeforderten Auftrags.
  • Der Server 8 ist zu einem Bereitstellen von Zugangsrichtlinieninformationen für einen Durchgangsbenutzer und vorzugsweise für alle Unternehmensbenutzer (d. h. Durchgangs- und entfernte Benutzer) konfiguriert, wenn der Benutzer erst einmal durch den Server 8 authentifiziert wurde.
  • 13 zeigt ein Ablaufdiagramm von Prozessschritten eines Servers zum Verwalten und/oder Steuern von Zugang zu der Vorrichtung durch einen entfernten Benutzer oder einen Durchgangsbenutzer gemäß der Erfindung. In Schritt S1301 wartet der Server 8 auf eine Zugangsrichtlinienanforderung zusammen mit Authentifizierungs- und Auftragsanforderungsinformationen von der Vorrichtung 6 oder Treiber 54. In Schritt S1302 holt die bei dem Server 8 befindliche Authentifizierungseinrichtung 48 Authentisierungsinformationen von dem Verzeichnisdienst 47. In Schritt S1303 werden die geholten Informationen gegenüber den in Schritt S1301 empfangenen Benutzerauthentifizierungsinformationen verglichen oder geprüft. Schritt S1304 erfragt, ob der Benutzer erfolgreich authentifiziert wurde. War der Benutzer bei einem Erhalten einer Authentifizierung erfolglos, dann veranlasst Schritt S1305, dass eine „Authentifizierung fehlgeschlagen"- Nachricht von dem Server 8 gesendet wird. Wird der Benutzer erfolgreich authentifiziert, dann wird Zugang und dann die Benutzerzugangsebene zu Diensten/Merkmalen auf der Grundlage der Zugangsrichtlinieninformationen in Schritt S1306 bestimmt. In Schritt S1308 wird eine Bestimmung durchgeführt, ob dem Benutzer ein Zugang zu den mittels der Auftragsanforderung angeforderten Dienste/Merkmalen gestattet ist, und wenn der Benutzerzugang unzureichend ist, dann veranlasst Schritt S1309, dass eine „Zugang verweigert"-Nachricht von dem Server 8 gesendet wird. Wird bestimmt, dass der Benutzer eine zureichende Zugangsebene zu der Vorrichtung 6 aufweist, dann veranlasst Schritt S1310, dass Benutzerzugangsrichtlinieninformationen von dem Server 8 gesendet werden.
  • Der Server 8 kann sich hinsichtlich der Vorrichtung 6, der Computereinrichtung 1, oder beider lokal befinden. In einem Fall, in welchem das Netzwerk 7 das Internet ist, kann beispielsweise der Server 8 hinsichtlich der Vorrichtung 6, der Computereinrichtung 1, oder beider entfernt befindlich sein. Selbst dort, wo der Server 8 lokal ist, kann ein Verwenden einer vertrauenswürdigen Architektur bevorzugt sein, in der Zugangsrichtlinieninformationen, die von dem Server 8 empfangen werden, vertrauenswürdig sind.
  • Obwohl die Erfindung vorstehend hinsichtlich dessen beschrieben ist, was momentan als ihr bevorzugtes Ausführungsbeispiel angesehen ist, ist zu verstehen, dass die Erfindung nicht auf jenes vorstehend Beschriebene beschränkt ist. Die Erfindung ist im Gegenteil beabsichtigt, verschiedene Modifikationen und äquivalente Anordnungen innerhalb des Schutzbereiches der beiliegenden Patentansprüche abzudecken.

Claims (18)

  1. Verfahren zum Steuern des Zugangs zu einer netzwerkbetriebenen Peripherievorrichtung durch einen Benutzer, wobei die netzwerkbetriebene Peripherievorrichtung (6) durch den Benutzer auf der Grundlage von zentralisierten Zugangsverwaltungsinformationen zugänglich ist, die durch einen Server (8) zugänglich sind, wobei das Verfahren umfasst: Authentifizieren eines Benutzers eines Computers (1) auf der Grundlage von dem Benutzer entsprechenden Authentifizierungsinformationen (S1104), dadurch gekennzeichnet, dass das Verfahren ferner umfasst: Bestimmen bei dem Server (8), ob der Benutzer zum Verwenden von zumindest einem Abschnitt von Merkmalen und/oder Diensten der netzwerkbetriebenen Peripherievorrichtung autorisiert ist (S1104), Übertragen von Zugangsverwaltungsinformationen für den Benutzer von dem Server (8) zu dem Computer (S1108) in dem Fall, dass eine Authentifizierung des Benutzers erfolgreich ist und der Benutzer zum Verwenden von zumindest einem Abschnitt des Merkmals und/oder Dienstes der netzwerkbetriebenen Peripherievorrichtung autorisiert ist, Übertragen der Zugangsverwaltungsinformationen für den Benutzer und eines durch den Benutzer angeforderten Auftrages von dem Computer zu der netzwerkbetriebenen Peripherievorrichtung (6), Bestimmen bei der netzwerkbetriebenen Peripherievorrichtung (6), ob eine Zugangsebene zu der netzwerkbetriebenen Peripherievorrichtung (6), die dem Benutzer auf der Grundlage der übertragenen Zugangsverwaltungsinformationen zugänglich ist, Zugang zu einem Merkmal und/oder einem Dienst bereitstellt, das und/oder der zum Durchführen des durch den Benutzer angeforderten Auftrages erforderlich sind/ist (S1204, S1205), und Durchführen bei der netzwerkbetriebenen Peripherievorrichtung (6) des durch den Benutzer angeforderten Auftrages in einem Fall, dass die Zugangsebene zu der netzwerkbetriebenen Peripherievorrichtung Zugang zu dem Merkmal und/oder dem Dienst bereitstellt, das und/oder der zum Durchführen des durch den Benutzer angeforderten Auftrages erforderlich sind/ist (S1207).
  2. Verfahren gemäß Anspruch 1, wobei die netzwerkbetriebene Peripherievorrichtung (6) eine Multifunktionsperipherievorrichtung ist.
  3. Verfahren gemäß Anspruch 1, das den weiteren Schritt umfasst: Empfangen bei dem Server (8) der Authentifizierungsinformationen von dem Computer, wobei der Server die Zugangsverwaltungsinformationen zu dem Computer überträgt, nachdem der Server den Benutzer auf der Grundlage der empfangenen Authentifizierungsinformationen authentifiziert.
  4. Verfahren gemäß Anspruch 1, wobei die Zugangsverwaltungsinformationen durch einen Authentifizierungs- Server (8) zugeführt werden, der sowohl einen Durchgangsbenutzer, der die netzwerkbetriebene Peripherievorrichtung bedient, als auch einen entfernten Benutzer des Computers (1) authentifiziert.
  5. Verfahren gemäß Anspruch 3, wobei die Authentifizierungsinformationen ein Benutzername und/oder Passwort sind.
  6. Verfahren gemäß Anspruch 1, wobei die Zugangsverwaltungsinformationen verschlüsselt werden oder ein kryptographischer Hashing- und Signierungsvorgang für die Zugangsverwaltungsinformationen verwendet wird.
  7. Verfahren gemäß Anspruch 3, wobei die von dem Computer empfangenen Authentifizierungsinformationen verschlüsselt sind.
  8. Verfahren gemäß Anspruch 1, das den weiteren Schritt umfasst: Übertragen einer Fehlernachricht von dem Server (8) zu dem Computer (1), falls eine Authentifizierung des Benutzers nicht erfolgreich ist oder der Server (8) bestimmt, dass eine Zugangsebene zu der netzwerkbetriebenen Peripherievorrichtung (6), die für den Benutzer auf der Grundlage der Zugangsverwaltungsinformationen zugänglich ist, keinen Zugang zu dem Merkmal und/oder dem Dienst bereitstellt, das und/oder der zum Durchführen des durch den Benutzer angeforderten Auftrages erforderlich sind/ist.
  9. Verfahren gemäß Anspruch 1, wobei ein Vorrichtungstreiber in dem Computer (1) die Zugangsverwaltungsinformationen von dem Server (8) anfordert, die von dem Server (8) übertragenen Zugangsverwaltungsinformationen empfängt und die Zugangsverwaltungsinformationen und den durch den Benutzer angeforderten Auftrag zu der netzwerkbetriebenen Peripherievorrichtung (6) überträgt.
  10. Verfahren gemäß Anspruch 1, das die weiteren Schritte umfasst: Authentifizieren eines zweiten Benutzers, der die netzwerkbetriebene Peripherievorrichtung (6) bedient, auf der Grundlage von dem zweiten Benutzer entsprechenden Authentifizierungsinformationen, Übertragen von Zugangsverwaltungsinformationen für den zweiten Benutzer von dem Server (8) zu der netzwerkbetriebenen Peripherievorrichtung (6), Bestimmen bei der netzwerkbetriebenen Peripherievorrichtung (6) einer Zugangsebene zu der netzwerkbetriebenen Peripherievorrichtung (6), die für den zweiten Benutzer auf der Grundlage der übertragenen Zugangsverwaltungsinformationen zugänglich ist, für den zweiten Benutzer, und Zulassen des zweiten Benutzers zu einem Zugang zu der netzwerkbetriebenen Peripherievorrichtung (6) auf der Grundlage der bestimmten Zugangsebene zu der für den zweiten Benutzer verfügbaren netzwerkbetriebenen Peripherievorrichtung.
  11. Verfahren gemäß Anspruch 10, wobei die Zugangsverwaltungsinformationen durch einen Authentifizierungs- Server (8) zugeführt werden, wenn der Authentifizierungs- Server erst einmal den zweiten Benutzer auf der Grundlage der von der netzwerkbetriebenen Peripherievorrichtung (6) empfangenen Authentifizierungsinformationen authentifiziert.
  12. Verfahren gemäß Anspruch 1, wobei die Zugangsverwaltungsinformationen zumindest ein Merkmal und/oder einen Dienst der netzwerkbetriebenen Peripherievorrichtung anzeigen/anzeigt, das oder der für den Benutzer verfügbar sind/ist.
  13. Server zur Verwendung bei einer Steuerung des Zugangs zu einer netzwerkbetriebenen Peripherievorrichtung (6) durch einen Benutzer, wobei die netzwerkbetriebene Peripherievorrichtung (6) für den Benutzer auf der Grundlage von zentralisierten Zugangsverwaltungsinformationen zugänglich ist, die für einen Server (8) zugänglich sind, wobei der Server dadurch gekennzeichnet ist, dass er umfasst: eine Empfangseinrichtung zum Empfangen von einem Benutzer entsprechenden Authentifizierungsinformationen von einem Computer (1) zum Übertragen eines Auftrages zu der netzwerkbetriebenen Peripherievorrichtung, eine Authentifizierungseinrichtung (48) zum Authentifizieren des Benutzers, der die Authentifizierungsinformationen verwendet, eine Bestimmungseinrichtung (49) zum Bestimmen, ob der Benutzer zum Verwenden von zumindest einem Abschnitt eines Merkmals und/oder Dienstes der netzwerkbetriebenen Peripherievorrichtung (6) autorisiert ist, und eine Übertragungseinrichtung zum Übertragen von Zugangsverwaltungsinformationen für den Benutzer zu dem Computer (1) in einem Fall, dass eine Authentifizierung des Benutzers erfolgreich ist und der Benutzer zum Verwenden von zumindest einem Abschnitt des Merkmals und/oder des Dienstes der netzwerkbetriebenen Peripherievorrichtung (6) authentifiziert ist, wobei die übertragenen Zugangsverwaltungsinformationen verwendet werden, um zu bestimmen, ob ein Merkmal und/oder ein Dienst der netzwerkbetriebenen Peripherievorrichtung (6), das und/oder der zum Durchführen des Auftrages erforderlich ist, für den Benutzer verfügbar sind/ist.
  14. Server gemäß Anspruch 13, der ferner umfasst: eine Fehlernachrichtenübertragungseinrichtung zum Übertragen einer Fehlernachricht als die Zugangsverwaltungsinformationen in einem Fall, dass entweder eine Authentifizierung des Benutzers fehlgeschlagen ist oder der Benutzer keine Zugangsebene zu Merkmalen und/oder Diensten der netzwerkbetriebenen Peripherievorrichtung (6) aufweist.
  15. Server gemäß Anspruch 13, der ferner umfasst: eine zweite Empfangseinrichtung zum Empfangen von der netzwerkbetriebenen Peripherievorrichtung (6) von einem zweiten Benutzer entsprechenden Authentifizierungsinformationen, eine zweite Authentifizierungseinrichtung zum Authentifizieren des zweiten Benutzers unter Verwendung der Authentifizierungsinformationen, und eine Übertragungseinrichtung zum Übertragen von Zugangsverwaltungsinformationen für den zweiten Benutzer zu der netzwerkbetriebenen Peripherievorrichtung (6) in dem Fall, dass eine Authentifizierung des zweiten Benutzers erfolgreich ist und der zweite Benutzer zum Verwenden von zumindest einem Abschnitt der Merkmale und/oder der Dienste der netzwerkbetriebenen Peripherievorrichtung (6) autorisiert ist.
  16. Server gemäß Anspruch 13, wobei die Zugangsverwaltungsinformationen zumindest ein Merkmal und/oder einen Dienst der netzwerkbetriebenen Peripherievorrichtung anzeigen/anzeigt, das und/oder der für den Benutzer verfügbar sind/ist.
  17. Computerprogramm mit prozessorimplementierbaren Anweisungen zum Durchführen aller Schritte eines Verfahrens gemäß einem der Ansprüche 1 bis 12.
  18. Computerlesbares Medium, das ein Computerprogramm gemäß Anspruch 17 speichert.
DE60313106T 2002-12-05 2003-12-02 Zugangsverwaltung Expired - Lifetime DE60313106T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/309,884 US7167919B2 (en) 2001-12-05 2002-12-05 Two-pass device access management
US309884 2002-12-05

Publications (2)

Publication Number Publication Date
DE60313106D1 DE60313106D1 (de) 2007-05-24
DE60313106T2 true DE60313106T2 (de) 2007-12-13

Family

ID=32312253

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60313106T Expired - Lifetime DE60313106T2 (de) 2002-12-05 2003-12-02 Zugangsverwaltung

Country Status (6)

Country Link
US (1) US7167919B2 (de)
EP (1) EP1427166B1 (de)
JP (2) JP4143526B2 (de)
KR (1) KR100658024B1 (de)
CN (1) CN100347989C (de)
DE (1) DE60313106T2 (de)

Families Citing this family (117)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7734715B2 (en) * 2001-03-01 2010-06-08 Ricoh Company, Ltd. System, computer program product and method for managing documents
US7487233B2 (en) * 2001-12-05 2009-02-03 Canon Kabushiki Kaisha Device access based on centralized authentication
US20030233437A1 (en) * 2002-04-24 2003-12-18 Hiroshi Kitada Browser, method, and computer program product for managing documents
US20040021893A1 (en) * 2002-07-30 2004-02-05 Stevens Chad A. System for enabling a group of printers to print a document
US7793355B2 (en) 2002-12-12 2010-09-07 Reasearch In Motion Limited System and method of owner control of electronic devices
SG176317A1 (en) 2003-02-21 2011-12-29 Research In Motion Ltd System and method of multiple-level control of electronic devices
US20040267868A1 (en) * 2003-06-26 2004-12-30 International Business Machines Corporation Method for monitoring print jobs in a data processing network
JP4313654B2 (ja) * 2003-11-19 2009-08-12 パナソニック株式会社 ネットワークシステム
KR100544478B1 (ko) * 2003-12-01 2006-01-24 삼성전자주식회사 정보의 보안등급에 따라 인쇄권한을 제한할 수 있는인쇄장치, 이를 이용한 인쇄시스템 및 이들의 인쇄방법
KR100810515B1 (ko) * 2003-12-13 2008-03-10 삼성전자주식회사 디스플레이 관리시스템
JP4537819B2 (ja) * 2003-12-16 2010-09-08 株式会社リコー 情報処理装置、情報処理システム、情報処理方法、情報処理プログラム及び記録媒体
US9026701B2 (en) * 2003-12-30 2015-05-05 Siebel Systems, Inc. Implementing device support in a web-based enterprise application
US7634801B2 (en) * 2004-01-09 2009-12-15 Panasonic Corporation Multifunction machine and personal authentication method of multifunction machine
DE102004007994B4 (de) * 2004-02-18 2007-07-12 Infineon Technologies Ag Verfahren zum Zuweisen von Zugriffsrechten an ein Peripheriegerät
JP4530793B2 (ja) * 2004-02-18 2010-08-25 株式会社リコー 画像形成装置、情報処理装置、情報処理システム、認証方法、認証プログラム及び記録媒体
US7649639B2 (en) * 2004-03-12 2010-01-19 Fuji Xerox Co., Ltd. Device usage limiting method, apparatus and program
JP4326380B2 (ja) * 2004-03-23 2009-09-02 シャープ株式会社 画像形成システム及び画像形成装置
JP4424038B2 (ja) * 2004-03-31 2010-03-03 セイコーエプソン株式会社 印刷管理システムおよび印刷管理装置並びにこれらに用いるプログラム
WO2005106678A1 (en) 2004-04-30 2005-11-10 Research In Motion Limited System and method of operation control on an electronic device
US7663773B2 (en) * 2004-05-21 2010-02-16 Ricoh Company, Ltd. Information processing apparatus, information processing method, information processing program and computer readable recording medium
JP4480621B2 (ja) * 2004-05-28 2010-06-16 株式会社リコー ジョブ管理装置、ジョブ管理システム、ジョブ管理プログラム及び記録媒体
US20070186114A1 (en) * 2004-06-08 2007-08-09 Sanyo Electric Co., Ltd. Electric device
US7869071B2 (en) * 2004-07-13 2011-01-11 Hewlett-Packard Development Company, L.P. Printer with security algorithm
US8156424B2 (en) 2004-10-08 2012-04-10 Sharp Laboratories Of America, Inc. Methods and systems for imaging device dynamic document creation and organization
US8120793B2 (en) 2004-10-08 2012-02-21 Sharp Laboratories Of America, Inc. Methods and systems for displaying content on an imaging device
US8120798B2 (en) 2004-10-08 2012-02-21 Sharp Laboratories Of America, Inc. Methods and systems for providing access to remote, descriptor-related data at an imaging device
US8125666B2 (en) 2004-10-08 2012-02-28 Sharp Laboratories Of America, Inc. Methods and systems for imaging device document management
US8237946B2 (en) 2004-10-08 2012-08-07 Sharp Laboratories Of America, Inc. Methods and systems for imaging device accounting server redundancy
US8115947B2 (en) 2004-10-08 2012-02-14 Sharp Laboratories Of America, Inc. Methods and systems for providing remote, descriptor-related data to an imaging device
US7920101B2 (en) 2004-10-08 2011-04-05 Sharp Laboratories Of America, Inc. Methods and systems for imaging device display standardization
US8115945B2 (en) 2004-10-08 2012-02-14 Sharp Laboratories Of America, Inc. Methods and systems for imaging device job configuration management
US8115946B2 (en) 2004-10-08 2012-02-14 Sharp Laboratories Of America, Inc. Methods and sytems for imaging device job definition
US8060930B2 (en) * 2004-10-08 2011-11-15 Sharp Laboratories Of America, Inc. Methods and systems for imaging device credential receipt and authentication
US8006176B2 (en) 2004-10-08 2011-08-23 Sharp Laboratories Of America, Inc. Methods and systems for imaging-device-based form field management
US8065384B2 (en) 2004-10-08 2011-11-22 Sharp Laboratories Of America, Inc. Methods and systems for imaging device event notification subscription
US8230328B2 (en) 2004-10-08 2012-07-24 Sharp Laboratories Of America, Inc. Methods and systems for distributing localized display elements to an imaging device
US8384925B2 (en) 2004-10-08 2013-02-26 Sharp Laboratories Of America, Inc. Methods and systems for imaging device accounting data management
US8120797B2 (en) 2004-10-08 2012-02-21 Sharp Laboratories Of America, Inc. Methods and systems for transmitting content to an imaging device
US8120799B2 (en) 2004-10-08 2012-02-21 Sharp Laboratories Of America, Inc. Methods and systems for accessing remote, descriptor-related data at an imaging device
US8115944B2 (en) 2004-10-08 2012-02-14 Sharp Laboratories Of America, Inc. Methods and systems for local configuration-based imaging device accounting
US8213034B2 (en) 2004-10-08 2012-07-03 Sharp Laboratories Of America, Inc. Methods and systems for providing remote file structure access on an imaging device
US8060921B2 (en) 2004-10-08 2011-11-15 Sharp Laboratories Of America, Inc. Methods and systems for imaging device credential authentication and communication
US8233998B2 (en) * 2004-11-19 2012-07-31 Fisher-Rosemount Systems, Inc. Secure data write apparatus and methods for use in safety instrumented process control systems
US7853959B2 (en) * 2005-02-08 2010-12-14 Sap Ag Business process extension for productivity suite application
JP4372030B2 (ja) * 2005-03-02 2009-11-25 キヤノン株式会社 印刷装置、印刷装置の制御方法及びコンピュータプログラム
US8428484B2 (en) 2005-03-04 2013-04-23 Sharp Laboratories Of America, Inc. Methods and systems for peripheral accounting
JP2006254325A (ja) * 2005-03-14 2006-09-21 Toshiba Corp 画像形成装置、画像形成システム、及び画像形成方法
US20060230286A1 (en) * 2005-03-30 2006-10-12 Hiroshi Kitada System and method for authenticating a user of an image processing system
US7890962B2 (en) * 2005-04-22 2011-02-15 Sag Ag Business process extensions to enable alerts and reports within the context of groupware
US20060277079A1 (en) * 2005-04-22 2006-12-07 Gilligan Geffrey D Groupware travel itinerary creation
US7890964B2 (en) * 2005-04-22 2011-02-15 Sap Ag Methods and apparatus for contextual awareness in a groupware client
US9111253B2 (en) * 2005-04-22 2015-08-18 Sap Se Groupware time tracking
JP3992050B2 (ja) * 2005-05-10 2007-10-17 コニカミノルタビジネステクノロジーズ株式会社 画像処理装置およびその制御方法ならびにコンピュータプログラム
US7528978B2 (en) * 2005-05-20 2009-05-05 Xerox Corporation Systems and method for controlling hide and hold jobs in a network
JP4741292B2 (ja) * 2005-06-09 2011-08-03 株式会社日立製作所 デバイス管理システム
US20070028187A1 (en) * 2005-08-01 2007-02-01 Goro Katsuyama Apparatus and method for performing display processing, and computer program product
JP2007072605A (ja) * 2005-09-05 2007-03-22 Canon Inc 情報処理装置および情報処理方法
JP4455462B2 (ja) 2005-09-12 2010-04-21 キヤノン株式会社 データ配信装置およびデータ配信方法及びそれを実現するためのプログラム
JP4572805B2 (ja) * 2005-10-27 2010-11-04 コニカミノルタビジネステクノロジーズ株式会社 画像処理装置、画像処理装置の管理装置、画像処理装置の管理方法、プログラム及び記録媒体
US20070107042A1 (en) * 2005-11-04 2007-05-10 Fatima Corona System and method for limiting access to a shared multi-functional peripheral device
US20070103712A1 (en) * 2005-11-04 2007-05-10 Fatima Corona System and method for limiting access to a shared multi-functional peripheral device based on preset user privileges
US8045958B2 (en) 2005-11-21 2011-10-25 Research In Motion Limited System and method for application program operation on a wireless device
JP2007152705A (ja) * 2005-12-02 2007-06-21 Fuji Xerox Co Ltd 画像処理装置および画像処理方法
JP4509091B2 (ja) * 2005-12-12 2010-07-21 キヤノン株式会社 画像処理システム、及び、プリントジョブ出力方法
US7614080B2 (en) * 2005-12-28 2009-11-03 Panasonic Electric Works Co., Ltd. Systems and methods for providing secure access to embedded devices using a trust manager and a security broker
JP4892251B2 (ja) * 2006-02-24 2012-03-07 キヤノン株式会社 画像形成装置、画像形成装置の制御方法、及びプログラム
DE602006006787D1 (de) 2006-02-27 2009-06-25 Research In Motion Ltd Verfahren zum Personalisieren einer standardisierten IT-Richtlinie
JP4801468B2 (ja) * 2006-03-02 2011-10-26 株式会社リコー 管理装置及び画像形成装置管理システム
JP4868906B2 (ja) 2006-03-24 2012-02-01 キヤノン株式会社 制限情報作成装置及び方法と機能制限付き印刷システム及び印刷認証方法
JP4732217B2 (ja) * 2006-03-31 2011-07-27 キヤノン株式会社 情報処理装置、管理装置及びそれらの制御方法、プログラム
JP4719610B2 (ja) 2006-03-31 2011-07-06 キヤノン株式会社 情報処理装置及びデータ出力管理システム
JP4795076B2 (ja) * 2006-03-31 2011-10-19 キヤノン株式会社 印刷機能制限方法及び印刷制御装置
JP4761538B2 (ja) * 2006-03-31 2011-08-31 キヤノン株式会社 デバイス管理システム、情報処理装置及びその制御方法、プログラム
JP4306690B2 (ja) * 2006-04-29 2009-08-05 コニカミノルタビジネステクノロジーズ株式会社 画像形成装置、画像処理システム、プリントデータ出力方法およびプリントデータ出力プログラム
JP2007323314A (ja) * 2006-05-31 2007-12-13 Toshiba Corp 情報通信端末及び情報通信端末を用いたプリント方法
US20070283157A1 (en) * 2006-06-05 2007-12-06 Kabushiki Kaisha Toshiba System and method for enabling secure communications from a shared multifunction peripheral device
US8705064B2 (en) * 2006-08-31 2014-04-22 Xerox Corporation Broadcast secure printing system
JP4991428B2 (ja) * 2006-09-06 2012-08-01 株式会社リコー 情報処理装置、ユーザ情報管理方法及びユーザ情報管理プログラム
JP5026148B2 (ja) * 2006-09-19 2012-09-12 株式会社リコー 画像処理装置、方法、及びプログラム
US8345272B2 (en) 2006-09-28 2013-01-01 Sharp Laboratories Of America, Inc. Methods and systems for third-party control of remote imaging jobs
JP2008112281A (ja) * 2006-10-30 2008-05-15 Fuji Xerox Co Ltd 情報処理システム及びプログラム
EP1942634B1 (de) * 2006-11-24 2012-08-29 Murata Machinery, Ltd. Relaisserver, Relaiskommunikationssystem und Kommunikationsvorrichtung
JP5078332B2 (ja) * 2006-12-04 2012-11-21 キヤノン株式会社 情報処理装置、情報処理方法
JP4845703B2 (ja) 2006-12-15 2011-12-28 キヤノン株式会社 画像処理装置及びその制御方法、並びにプログラム
US20100030346A1 (en) * 2007-02-02 2010-02-04 Mitsuhiro Watanabe Control system and control method for controlling controllable device such as peripheral device, and computer program for control
US8045193B2 (en) * 2007-03-20 2011-10-25 Konica Minolta Laboratory U.S.A., Inc. Automatic detection of user preference for copy or scan setting
US20080252940A1 (en) * 2007-04-11 2008-10-16 Kabushiki Kaisha Toshiba Image scanner and control method thereof
US8305604B2 (en) * 2007-04-18 2012-11-06 Hewlett-Packard Development Company, L.P. System and method of network printing
JP5025342B2 (ja) * 2007-06-18 2012-09-12 キヤノン株式会社 画像処理装置、画像処理システム、画像処理装置の制御方法及びプログラム
EP2028812B1 (de) * 2007-08-21 2011-06-08 Nokia Siemens Networks Oy Verfahren, Vorrichtungen, System und entsprechendes Computerprogramm für den Zugriff eines Benutzergerätes
WO2009069655A1 (ja) * 2007-11-27 2009-06-04 Canon Denshi Kabushiki Kaisha 管理サーバ、クライアント端末、端末管理システム、端末管理方法、プログラム、及び、記録媒体
US20090228962A1 (en) * 2008-03-06 2009-09-10 Sharp Laboratories Of America, Inc. Access control and access tracking for remote front panel
JP4677480B2 (ja) * 2008-09-12 2011-04-27 株式会社沖データ 情報処理システム
US8411303B2 (en) * 2009-02-02 2013-04-02 Xerox Corporation Method and system for tracking data based on governance rules and policies
JP2010211631A (ja) * 2009-03-11 2010-09-24 Toshiba Tec Corp 情報処理装置
JP5451234B2 (ja) * 2009-07-30 2014-03-26 キヤノン株式会社 情報処理装置、情報処理方法及びプログラム
CN101631113B (zh) * 2009-08-19 2011-04-06 西安西电捷通无线网络通信股份有限公司 一种有线局域网的安全访问控制方法及其系统
CN101635710B (zh) * 2009-08-25 2011-08-17 西安西电捷通无线网络通信股份有限公司 一种基于预共享密钥的网络安全访问控制方法及其系统
US20110167477A1 (en) * 2010-01-07 2011-07-07 Nicola Piccirillo Method and apparatus for providing controlled access to a computer system/facility resource for remote equipment monitoring and diagnostics
US8380889B2 (en) 2010-03-31 2013-02-19 Oki Data Americas, Inc. Distributed peripheral device management system
JP5676145B2 (ja) * 2010-05-24 2015-02-25 キヤノン電子株式会社 記憶媒体、情報処理装置およびコンピュータプログラム
US9594886B2 (en) * 2010-06-02 2017-03-14 Avaya Inc. Application and open source information technology policy filter
US10482254B2 (en) * 2010-07-14 2019-11-19 Intel Corporation Domain-authenticated control of platform resources
JP5054810B2 (ja) * 2010-09-03 2012-10-24 株式会社沖データ 情報処理システム
US9524128B2 (en) * 2011-06-03 2016-12-20 Apple Inc. Information security for printing systems
US9213829B2 (en) * 2011-07-12 2015-12-15 Hewlett-Packard Development Company, L.P. Computing device including a port and a guest domain
JP5691978B2 (ja) * 2011-09-30 2015-04-01 ブラザー工業株式会社 管理装置
JP6252739B2 (ja) * 2013-09-13 2017-12-27 株式会社リコー 伝送管理システム、管理方法及びプログラム
JP2015118400A (ja) * 2013-12-16 2015-06-25 キヤノン株式会社 情報処理装置、その制御方法、及びプログラム
CN104579626B (zh) * 2014-08-13 2017-08-25 中铁信安(北京)信息安全技术有限公司 一种基于单向传输的电子文档输出管控系统及方法
JP6067648B2 (ja) * 2014-11-08 2017-01-25 京セラドキュメントソリューションズ株式会社 プルプリントシステム
GB2537814B (en) * 2015-04-14 2017-10-18 Avecto Ltd Computer device and method for controlling untrusted access to a peripheral device
US10540507B2 (en) * 2017-05-17 2020-01-21 Cisco Technology, Inc. Verified device identity providing context to application
JP6957223B2 (ja) 2017-06-16 2021-11-02 キヤノン株式会社 情報処理システム、制御方法及びそのプログラム
CN112955890A (zh) 2018-11-01 2021-06-11 惠普发展公司,有限责任合伙企业 确保对扫描图像的授权访问
EP3734479B1 (de) * 2019-05-02 2022-10-19 ABB Schweiz AG Zugriffssteuerungsvorrichtung und verfahren zur steuerung der konfiguration einer automatisierungsvorrichtung
CN111464509B (zh) * 2020-03-18 2022-02-01 珠海市鸿瑞信息技术股份有限公司 一种双处理系统用网络安全隔离系统

Family Cites Families (71)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5191611A (en) * 1989-04-03 1993-03-02 Lang Gerald S Method and apparatus for protecting material on storage media and for transferring material on storage media to various recipients
US6850252B1 (en) * 1999-10-05 2005-02-01 Steven M. Hoffberg Intelligent electronic appliance system and method
US20040250083A1 (en) * 1994-03-03 2004-12-09 Barry Schwab Secure interactive digital system for displaying items to a user identified as having permission to access the system
JPH08235114A (ja) 1995-02-28 1996-09-13 Hitachi Ltd サーバアクセス方法と課金情報管理方法
US5774551A (en) * 1995-08-07 1998-06-30 Sun Microsystems, Inc. Pluggable account management interface with unified login and logout and multiple user authentication services
JPH09130532A (ja) 1995-10-31 1997-05-16 Canon Inc 画像処理システムおよび画像処理システム管理制御方法
JPH09298544A (ja) * 1996-05-08 1997-11-18 Fujitsu Ltd ネットワーク運用管理装置
JPH10161823A (ja) 1996-11-27 1998-06-19 Nec Corp 印刷システム
FI107501B (fi) * 1997-01-31 2001-08-15 Nokia Mobile Phones Ltd Menetelmä käyttäjätunnuksen varaamiseksi
US5923756A (en) * 1997-02-12 1999-07-13 Gte Laboratories Incorporated Method for providing secure remote command execution over an insecure computer network
US5907598A (en) * 1997-02-20 1999-05-25 International Business Machines Corporation Multimedia web page applications for AIN telephony
DE69825343T2 (de) 1997-03-05 2005-01-13 Matsushita Electric Industrial Co., Ltd., Kadoma Digital integriertes Gerät
US6408336B1 (en) * 1997-03-10 2002-06-18 David S. Schneider Distributed administration of access to information
JP3530710B2 (ja) * 1997-05-12 2004-05-24 キヤノン株式会社 ネットワークデバイスの制御方法及びその装置
JP3762051B2 (ja) 1997-06-20 2006-03-29 キヤノン株式会社 画像読取り装置及びその制御方法
JP3665827B2 (ja) * 1997-06-27 2005-06-29 コニカミノルタビジネステクノロジーズ株式会社 画像形成量管理装置
US6128602A (en) * 1997-10-27 2000-10-03 Bank Of America Corporation Open-architecture system for real-time consolidation of information from multiple financial systems
EP0935182A1 (de) 1998-01-09 1999-08-11 Hewlett-Packard Company Sicheres Drucken
EP0929023B1 (de) 1998-01-09 2005-06-01 Hewlett-Packard Company, A Delaware Corporation Sicheres Drucken
US6161185A (en) 1998-03-06 2000-12-12 Mci Communications Corporation Personal authentication system and method for multiple computer platform
US6604085B1 (en) * 1998-07-20 2003-08-05 Usa Technologies, Inc. Universal interactive advertising and payment system network for public access electronic commerce and business related products and services
US6219700B1 (en) * 1998-07-28 2001-04-17 Sun Microsystems, Inc. Method and apparatus for managing services in a computer network from a central console
US6848045B2 (en) * 1999-01-15 2005-01-25 Rainbow Technologies, Inc. Integrated USB connector for personal token
US6738856B1 (en) * 1999-01-19 2004-05-18 Sequel Imaging, Inc External display peripheral for coupling to a universal serial bus port or hub on a computer
US6820204B1 (en) * 1999-03-31 2004-11-16 Nimesh Desai System and method for selective information exchange
JP2001016383A (ja) 1999-04-30 2001-01-19 Matsushita Electric Ind Co Ltd ディジタル複合機、画像入出力システム、及びユーザ認証方法
US6557049B1 (en) * 1999-08-27 2003-04-29 Lsi Logic Corporation Programmable computerize enclosure module for accommodating SCSI devices and associated method of configuring operation features thereof
US7319986B2 (en) * 1999-09-28 2008-01-15 Bank Of America Corporation Dynamic payment cards and related management systems and associated methods
US6643318B1 (en) * 1999-10-26 2003-11-04 Golden Bridge Technology Incorporated Hybrid DSMA/CDMA (digital sense multiple access/code division multiple access) method with collision resolution for packet communications
FR2802666B1 (fr) * 1999-12-17 2002-04-05 Activcard Systeme informatique pour application a acces par accreditation
US7047411B1 (en) * 1999-12-17 2006-05-16 Microsoft Corporation Server for an electronic distribution system and method of operating same
US6625258B1 (en) * 1999-12-27 2003-09-23 Nortel Networks Ltd System and method for providing unified communication services support
US6889321B1 (en) * 1999-12-30 2005-05-03 At&T Corp. Protected IP telephony calls using encryption
US6904449B1 (en) * 2000-01-14 2005-06-07 Accenture Llp System and method for an application provider framework
US6587873B1 (en) * 2000-01-26 2003-07-01 Viaclix, Inc. System server for channel-based internet network
JP2001297045A (ja) 2000-02-08 2001-10-26 Ricoh Co Ltd 機器管理システム、管理クライアント、管理サーバ、使用状況管理方法及びプログラム
ES2299546T3 (es) 2000-02-08 2008-06-01 Ricoh Company, Ltd. Sistema de gestion de dispositivos.
CA2299824C (en) 2000-03-01 2012-02-21 Spicer Corporation Network resource control system
US6665709B1 (en) * 2000-03-27 2003-12-16 Securit-E-Doc, Inc. Method, apparatus, and system for secure data transport
US6802007B1 (en) * 2000-04-24 2004-10-05 International Business Machines Corporation Privacy and security for smartcards in a method, system and program
US6789126B1 (en) * 2000-05-09 2004-09-07 Sun Microsystems, Inc. Addressing message gates in a distributed computing environment
US20020063154A1 (en) * 2000-05-26 2002-05-30 Hector Hoyos Security system database management
US20040034794A1 (en) * 2000-05-28 2004-02-19 Yaron Mayer System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages
US6329946B1 (en) * 2000-05-31 2001-12-11 Mitsubishi Denki Kabushiki Kaisha GPS position measuring system and GPS position measuring apparatus
US20020016727A1 (en) * 2000-06-16 2002-02-07 Thoughtbank, Inc. Systems and methods for interactive innovation marketplace
US6678515B1 (en) * 2000-06-29 2004-01-13 Qwest Communications International Inc. Method and system for conditionally routing calls
US7587368B2 (en) * 2000-07-06 2009-09-08 David Paul Felsher Information record infrastructure, system and method
JP3578057B2 (ja) * 2000-07-06 2004-10-20 株式会社日立製作所 Id管理システム
DE10033289A1 (de) * 2000-07-07 2002-01-24 Alcatel Sa Netzwerkmanagement-Server
US20020032655A1 (en) * 2000-09-14 2002-03-14 Thierry Antonin System and method for providing financial services terminals with a document driven interface
GB2366882A (en) * 2000-09-19 2002-03-20 Ncr Int Inc A data warehouse and brokerage system
US6498912B1 (en) 2000-09-25 2002-12-24 Xerox Corporation Job-based accounting method and apparatus for image processing
US7884954B2 (en) 2000-10-02 2011-02-08 Canon Kabushiki Kaisha Peripheral equipment and management method thereof
JP4649081B2 (ja) 2000-10-02 2011-03-09 キヤノン株式会社 周辺機器、その制御方法、プログラムおよび記憶媒体
US20030018900A1 (en) 2000-10-02 2003-01-23 Tomoaki Endoh Peripheral equipment and management method thereof
US7254619B2 (en) * 2000-10-13 2007-08-07 Matsushita Electric Industrial Co., Ltd. Apparatus for outputting individual authentication information connectable to a plurality of terminals through a network
US6645077B2 (en) * 2000-10-19 2003-11-11 Igt Gaming terminal data repository and information distribution system
US6832194B1 (en) * 2000-10-26 2004-12-14 Sensory, Incorporated Audio recognition peripheral system
US6901374B1 (en) * 2000-11-29 2005-05-31 Reynolds & Reynolds Holdings, Inc. Loyalty link method and apparatus for integrating customer information with dealer management information
US7079640B2 (en) * 2000-12-22 2006-07-18 Nortel Networks Limited Method and apparatus for implementing an extensible range of communications services in telephone networks
US6867683B2 (en) * 2000-12-28 2005-03-15 Unisys Corporation High security identification system for entry to multiple zones
US20020128986A1 (en) * 2001-02-23 2002-09-12 Peter Stutz Communication system for franking system
JP2002259108A (ja) 2001-03-02 2002-09-13 Canon Inc 印刷システム、印刷装置、印刷方法、記録媒体及びプログラム
US7758428B2 (en) * 2001-04-02 2010-07-20 Igt Method and apparatus for controlling access to areas of gaming machines
JP2002354557A (ja) * 2001-05-29 2002-12-06 Fujitsu Ltd 機器制御システム
US20020194003A1 (en) * 2001-06-05 2002-12-19 Mozer Todd F. Client-server security system and method
US7092950B2 (en) * 2001-06-29 2006-08-15 Microsoft Corporation Method for generic object oriented description of structured data (GDL)
US6988280B2 (en) * 2001-06-29 2006-01-17 International Business Machines Corporation System and method for enhancing authorization request in a computing device
US20030046231A1 (en) * 2001-08-31 2003-03-06 Robert Wu Access terminal for telecommunication and automated teller machine services
US7171562B2 (en) * 2001-09-05 2007-01-30 International Business Machines Corporation Apparatus and method for providing a user interface based on access rights information
US7487233B2 (en) 2001-12-05 2009-02-03 Canon Kabushiki Kaisha Device access based on centralized authentication

Also Published As

Publication number Publication date
JP2008159042A (ja) 2008-07-10
KR20040049283A (ko) 2004-06-11
EP1427166B1 (de) 2007-04-11
DE60313106D1 (de) 2007-05-24
CN100347989C (zh) 2007-11-07
JP2004185629A (ja) 2004-07-02
KR100658024B1 (ko) 2006-12-15
US7167919B2 (en) 2007-01-23
JP4402146B2 (ja) 2010-01-20
JP4143526B2 (ja) 2008-09-03
CN1601972A (zh) 2005-03-30
EP1427166A3 (de) 2005-02-09
US20030167336A1 (en) 2003-09-04
EP1427166A2 (de) 2004-06-09

Similar Documents

Publication Publication Date Title
DE60313106T2 (de) Zugangsverwaltung
JP4383734B2 (ja) ユーザによるネットワーク装置に対するアクセスを制御する方法、ネットワーク装置、プログラム、サーバ及び計算機器
DE60006451T2 (de) Verteilte Authentifizierungsmechanismen zur Behandlung von verschiedenen Authentifizierungssystemen in einem Betriebsrechnersystem
DE69736697T2 (de) Verfahren und Gerät zur Steuerung von Zugriff auf Systembetriebsmittel
DE69915441T2 (de) System und Verfahren für automatischen authentifizierten Zugang zu einer Mehrzahl von Netzbetreibern durch eine einzige Anmeldung
DE69923503T2 (de) Authentifizierung und Zugriffskontrolle in einem Managementterminalprogramm zur Verwaltung von Diensten in einem Computernetzwerk
DE102007033615B4 (de) Verfahren und Vorrichtung zum Umwandeln von Authentisierungs-Token zur Ermöglichung von Interaktionen zwischen Anwendungen
DE60301177T2 (de) Programm, Verfahren und Vorrichtung zum Datenschutz
DE60314871T2 (de) Verfahren zur authentifizierung eines anwenders bei einem zugang zu einem dienst eines diensteanbieters
DE112007000618B4 (de) Hierarchischer, auf Vertrauen basierender Stellungsbericht und Strategiedurchsetzung
DE60225378T2 (de) Verfahren und Systeme zur Steuerung des Umfangs der Delegierung von Authentifizierungsdaten
DE10117038B4 (de) System und Verfahren zur Authentifizierung eines Benutzers eines Multifunktionsperipheriegeräts
DE60319056T2 (de) Methode und Gerät zur Bereitstellung von Informationen und Diensten bei Verhinderung des Missbrauchs derselben
DE112017004033T5 (de) Verfahren zum Erhalten von geprüften Zertifikaten durch Mikrodienste in elastischen Cloud-Umgebungen
US20070103712A1 (en) System and method for limiting access to a shared multi-functional peripheral device based on preset user privileges
DE112020000538T5 (de) Feinkörnige zugriffskontrolle auf token-grundlage
DE102004048959B4 (de) Informationsverarbeitungsgerät, Beglaubigungsverarbeitungsprogramm und Beglaubigungsspeichergerät
JP2005316952A (ja) 情報処理装置、資源管理装置、属性変更許否判定方法、属性変更許否判定プログラム及び記録媒体
DE60212969T2 (de) Verfahren und vorrichtung zum verfolgen des status eines betriebsmittels in einem system zur verwaltung der benutzung der betriebsmittel
DE102011077218A1 (de) Zugriff auf in einer Cloud gespeicherte Daten
DE112011102224T5 (de) Identitätsvermittlung zwischen Client- und Server-Anwendungen
WO2013017394A1 (de) Zugangsregelung für daten oder applikationen eines netzwerks
US20060095433A1 (en) Device and method for managing files in storage device
WO2004039032A2 (de) Verfahren und anordnung zum authentifizieren einer bedieneinheit sowie übertragen einer authentifizierungsinformation zu der bedieneinheit
DE602004013254T2 (de) Verfahren und System zur Generierung von Authentifizierungsstapeln in Kommunikationsnetzen

Legal Events

Date Code Title Description
8364 No opposition during term of opposition