JP2009223625A - 情報処理装置、情報処理方法及び情報処理プログラム - Google Patents

情報処理装置、情報処理方法及び情報処理プログラム Download PDF

Info

Publication number
JP2009223625A
JP2009223625A JP2008067482A JP2008067482A JP2009223625A JP 2009223625 A JP2009223625 A JP 2009223625A JP 2008067482 A JP2008067482 A JP 2008067482A JP 2008067482 A JP2008067482 A JP 2008067482A JP 2009223625 A JP2009223625 A JP 2009223625A
Authority
JP
Japan
Prior art keywords
information
authentication
session information
subagent
session
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008067482A
Other languages
English (en)
Other versions
JP4906761B2 (ja
Inventor
Hiromoto Osaki
博基 大▲崎▼
Yuichiro Hayashi
雄一郎 林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2008067482A priority Critical patent/JP4906761B2/ja
Priority to US12/359,572 priority patent/US20090235344A1/en
Publication of JP2009223625A publication Critical patent/JP2009223625A/ja
Application granted granted Critical
Publication of JP4906761B2 publication Critical patent/JP4906761B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • H04L41/046Network management architectures or arrangements comprising network management agents or mobile agents therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】マスタエージェントとサブエージェントとの間の通信を、AgentXパケットを用いて行う情報処理装置において、AgentXパケットの仕様を変更することなく、サブエージェント側にてアクセス制御を行うことが可能な情報処理装置、情報処理方法及び情報処理プログラムを提供する。
【解決手段】SNMPマネージャから指示される情報の取得要求毎に、当該SNMPマネージャの認証情報とその認証結果とを少なくとも含んだセッション情報を生成し、このセッション情報をAgentXパケットとは異なる経路でサブエージェントに提供する。また。サブエージェント側では、取得したセッション情報に含まれる認証情報及び認証結果に基づいて要求された情報の取得にかかるアクセス処理を行う。
【選択図】 図3

Description

本発明は、SNMPに準拠した管理機能を備える情報処理装置、情報処理方法及び情報処理プログラムに関する。
近年、ネットワークに接続されたパーソナルコンピュータ等の情報処理装置と通信してサービスを提供する通信装置が広く利用されている。このような通信装置としては、例えば、プリンタ装置、コピー機、ファクシミリ装置、スキャナ装置、および、プリンタ、コピー、ファクシミリ、スキャナ等の各機能を1つの筐体内に収納した、いわゆるMFP(Multi Function Peripheral)と呼ばれる画像形成装置(複合機)等が挙げられる。
通常、このような通信装置のサービスを利用する情報処理装置上のアプリケーションは、利用しているサービスの処理状態を監視し、処理状態に応じて各種処理を制御する。処理状態を監視する方法としては、ネットワークを介した監視・制御のためのプロトコルであるSNMP(Simple Network Management Protocol)を用いて処理状態の監視する方法が広く知られている。
SNMPによるネットワーク管理は、エージェントとマネージャと呼ばれるソフトウェアの要素により行われている。ここで、エージェントは、監視対象の対象について、MIB(Management Information Base)と呼ばれる情報を管理し、マネージャからの取得要求に応じて提供する。
また、RFC2741には、SNMPエージェントを拡張したプロトコル(AgentX:Agent Extensibility)が規格化されている。このRFC2741には、マスタエージェントと、サブエージェントと呼ばれる2種類のエージェントが定義されており、AgentXプロトコルはこれらエージェント間の通信に用いられる。従来、このAgentXプロトコルを利用した技術が提案されており、例えば、特許文献1には、マスタエージェントとサブエージェントとの間にプロキシとなるエージェントを置くことで、AgentXプロトコルを用いた通信の利便性を向上させる技術が開示されている。
特開2002−014883号公報
ところで、ユーザ情報やコミュニティ名等を用いたアクセス制御を行う場合、上記AgentXプロトコルでは、マスタエージェントが一括してアクセス制御を行うことになる。この場合、マスタエージェントは、自己が管理していない情報についてもアクセス許可を出すことになるが、アクセス制御は実際に情報(管理情報)を管理するサブエージェントで行うことが望ましい。しかしながら、サブエージェント側では、どのユーザからのアクセスなのかを知る術がないため、ユーザによって提供する情報を変えるといった制御を行うことはできない。なお、特許文献1に開示された技術では、アクセス制御について何等考慮されていないため、この問題を解決することはできない。
本発明は、上記に鑑みてなされたものであって、マスタエージェントとサブエージェントとの間の通信を、AgentXパケットを用いて行う情報処理装置において、AgentXパケットの仕様を変更することなく、サブエージェント側にてアクセス制御を行うことが可能な情報処理装置、情報処理方法及び情報処理プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、請求項1にかかる発明は、SNMPにおけるマスタエージェントとサブエージェントとを有し、当該マスタエージェントとサブエージェントとの間の通信を、AgentXプロトコルに準拠したAgentXパケットを用いて行う情報処理装置において、外部のSNMPマネージャから指示される情報の取得要求毎に、当該取得要求に含まれた認証情報を取得する認証情報取得手段と、前記認証情報取得手段により取得された認証情報に基づいて、前記SNMPマネージャが正規のものか否かの認証を行う認証手段と、前記認証情報と、前記認証手段による認証結果とを少なくとも含んだセッション情報を生成するセッション情報生成手段と、前記セッション情報生成手段により生成されたセッション情報を、前記サブエージェントに提供するセッション情報提供手段と、前記セッション情報提供手段から前記サブエージェントが取得したセッション情報に基づいて、前記情報の取得にかかるアクセス制御を行うアクセス制御手段と、を備えたことを特徴とする。
また、請求項2にかかる発明は、請求項1にかかる発明において、前記生成手段により生成されたセッション情報と、当該セッション情報を一意に識別可能な識別情報とを関連付けて管理する管理手段と、前記識別情報を前記AgentXパケットの所定の領域に付加し、このAgentXパケットを前記マスタエージェントから前記取得要求により指示された情報の取得に関係するサブエージェント宛に出力するパケット生成手段と、前記サブエージェントが受け付けた前記識別情報付加済みのAgentXパケットに基づいて、当該識別情報に対応するセッション情報を前記セッション情報提供手段に要求するセッション情報要求手段と、を更に備え、前記セッション情報提供手段は、前記セッション情報要求手段からの要求に応じて、前記識別情報に関連付けて前記管理手段に管理されたセッション情報を、当該セッション情報要求手段に対応するサブエージェント宛に提供することを特徴とする。
また、請求項3にかかる発明は、請求項2にかかる発明において、前記パケット生成手段は、前記AgentXパケットを構成するヘッダ部のうち、トランザクションIDが格納される領域に前記識別情報を組み込むことを特徴とする。
また、請求項7にかかる発明は、SNMPにおけるマスタエージェントとサブエージェントとを有し、当該マスタエージェントとサブエージェントとの間の通信を、AgentXプロトコルに準拠したAgentXパケットを用いて行う情報処理装置の情報処理方法であって、認証情報取得手段が、外部のSNMPマネージャから指示される情報の取得要求毎に、当該取得要求に含まれた認証情報を取得する認証情報取得工程と、認証手段が、前記認証情報取得工程で取得された認証情報に基づいて、前記SNMPマネージャが正規のものか否かの認証を行う認証工程と、生成手段が、前記認証情報と、前記認証手段による認証結果とを少なくとも含んだセッション情報を生成するセッション情報生成工程と、セッション情報提供手段が、前記セッション情報生成工程で生成されたセッション情報を、前記サブエージェントに提供するセッション情報提供工程と、アクセス制御手段が、前記セッション情報提供工程でサブエージェントが取得した前記セッション情報に基づいて、前記情報の取得にかかるアクセス制御を行うアクセス制御工程と、を含むことを特徴とする。
また、請求項8にかかる発明は、請求項7にかかる発明において、管理手段が、前記セッション情報生成工程で生成されたセッション情報と、当該セッション情報を一意に識別可能な識別情報とを関連付けて管理する管理工程と、パケット生成手段が、前記識別情報を前記AgentXパケットの所定の領域に付加し、このAgentXパケットを前記マスタエージェントから前記取得要求により指示された情報の取得に関係するサブエージェント宛に出力するパケット生成工程と、セッション情報要求手段が、前記サブエージェントが受け付けた前記識別情報付加済みのAgentXパケットに基づいて、当該識別情報に対応するセッション情報を前記セッション情報提供手段に要求するセッション情報要求工程と、を更に含み、前記セッション情報提供手段は、前記セッション情報提供工程において、前記セッション情報要求工程で受け付けた要求に応じて、前記識別情報に関連付けて前記管理工程で管理されたセッション情報を、当該セッション情報要求手段に対応するサブエージェント宛に提供することを特徴とする。
また、請求項9にかかる発明は、請求項8にかかる発明において、前記パケット生成手段は、前記パケット生成工程において、前記AgentXパケットを構成するヘッダ部のうち、トランザクションIDが格納される領域に前記識別情報を組み込むことを特徴とする。
また、請求項10にかかる発明は、SNMPにおけるマスタエージェントとサブエージェントとを有し、当該マスタエージェントとサブエージェントとの間の通信を、AgentXプロトコルに準拠したAgentXパケットを用いて行うコンピュータを、外部のSNMPマネージャから指示される情報の取得要求毎に、当該取得要求に含まれた認証情報を取得する認証情報取得手段と、前記認証情報取得手段により取得された認証情報に基づいて、前記SNMPマネージャが正規のものか否かの認証を行う認証手段と、前記認証情報と、前記認証手段による認証結果とを少なくとも含んだセッション情報を生成するセッション情報生成手段と、前記セッション情報生成手段により生成されたセッション情報を、前記サブエージェントに提供するセッション情報提供手段と、前記セッション情報提供手段から前記サブエージェントが取得したセッション情報に基づいて、前記情報の取得にかかるアクセス制御を行うアクセス制御手段と、して機能させることを特徴とする。
請求項1、7、10にかかる発明によれば、SNMPマネージャから指示される情報の取得要求毎に、当該SNMPマネージャの認証情報とその認証結果とを少なくとも含んだセッション情報を生成し、AgentXパケットとは異なる経路でサブエージェントに提供する。これにより、AgentXパケットの仕様を変更することなく、サブエージェント側にセッション情報を提供することができるため、サブエージェント側にてアクセス制御を行うことができる。
また、請求項2、8にかかる発明によれば、セッション情報に関連付けて管理された識別情報を、AgentXパケットを介してサブエージェントに通知し、サブエージェント側では、この通知された識別情報に基づいてアクセス制御手段がセッション情報を取得する。これにより、AgentXパケットの仕様を変更することなく、サブエージェント側にセッション情報を提供することができるため、サブエージェント側にてアクセス制御を行うことができる。
また、請求項3、9にかかる発明によれば、パケット生成手段は、AgentXパケットを構成するヘッダ部のうち、トランザクションIDが格納される領域に識別情報を組み込むため、AgentXパケットの仕様を変更することなく、サブエージェント側に識別情報を通知することができる。
また、請求項4にかかる発明によれば、アクセス制御手段は、セッション情報に含まれた認証結果に基づいて、SNMPマネージャにより要求された情報へのアクセスの可否を制御する。これにより、要求された情報へのアクセス可否を各サブエージェント側で個別に行うことができるため、情報の保守・運用を容易とし、より精度の高いアクセス制御を行うことができる。
また、請求項5にかかる発明によれば、アクセス制御手段は、セッション情報に含まれた認証情報に基づいて、SNMPマネージャにより要求された情報に所定の処理を施す。これにより、要求された情報に対する認証情報に応じた処理を各サブエージェント側で個別に行うことができるため、情報の保守・運用を容易とし、より精度の高いアクセス制御を行うことができる。
また、請求項6にかかる発明によれば、認証情報は、SNMPマネージャとマスタエージェントとの間で予め設定されたSNMPにかかる設定項目を認証情報として用いるため、情報の保守・運用を容易とすることができる。
以下に添付図面を参照して、この発明にかかる情報処理装置、情報処理方法及び情報処理プログラムの最良な実施の形態を詳細に説明する。
図1は、本実施形態にかかる機器管理システムの構成を示したブロック図である。同図に示したように、機器管理システムは、被管理装置100と、この被管理装置100の管理を行う管理ステーション200(200A、200B)とを有し、これら各機器がネットワークNを介して通信可能に接続されている。なお、ネットワークNに接続される被管理装置100及び管理ステーション200の個数は、図1の例に限定されないものとする。
ここで、被管理装置100は、PC(Personal Computer)、複写機やプリンタ等の画像形成装置、プリンタ機能、画像読取り(スキャナ)機能等を複合した所謂複合機等の情報処理装置であって、本システムにおいて管理の対象となる装置である。
図2は、被管理装置100のハードウェア構成の一例を示したブロック図である。なお、図2では、被管理装置100が複合機である場合を想定した構成例を示している。同図に示したように、被管理装置100は、CPU(Central Processing Unit)11と、ASIC(Application Specific Integrated Circuit)12と、システムメモリ13と、記憶部14と、操作表示部15と、エンジン部16と、スキャナ部17と、インタフェース部18とを備えている。
CPU11は、システムメモリ13(RAM132)の所定領域を作業領域として、後述するROM131又は記憶部14に予め記憶された各種制御プログラムとの協働により各種処理を実行し、被管理装置100全体の動作を統括的に制御する。
また、CPU11は、ROM131又は記憶部14に予め記憶された所定のプログラムとの協働により、後述する各機能部(マスタエージェント21、認証管理部22、認証部23、サブエージェント24、情報管理部25)を実現する。
ASIC12は、画像処理用のハードウェア要素を有する画像処理用途向けのIC(Integrated Circuit)であり、CPU11と各部を夫々接続するブリッジとしての機能を有する。
システムメモリ13は、プログラムやデータの格納用メモリ、プログラムやデータの展開用メモリ、プリンタの描画用メモリ等として用いるシステムメモリであり、ROM131、RAM132等から構成される。ここで、ROM131は、プログラムやデータの格納用メモリとして用いる読み出し専用のメモリであり、RAM132は、プログラムやデータの展開用メモリ、プリンタの描画用メモリ等として用いる書き込み及び読み出し可能な揮発性のメモリである。
記憶部14は、磁気的又は光学的に記録可能な記憶媒体を有し、被管理装置100の制御にかかるプログラムや各種設定情報等を書き換え可能に記憶する。また、記憶部14は、スキャナ部17やインタフェース部18を介して入力される画像データ等を記憶する。
また、記憶部14は、正規の管理ステーション200(マネージャ)に設定された、コミュニティ名やセキュリティレベル、ユーザ情報等のSNMPにかかる設定情報の一部又は全てを後述する認証情報と照合を行う照合用情報として予め記憶する。ここで、ユーザ情報とは、管理ステーション200を操作するユーザに固有の情報であって、例えば、ユーザ名や使用する言語(選択言語)等の情報が挙げられる。なお、この照合用情報は、後述する認証部23(図3参照)での認証の際に用いられる。
操作表示部15は、被管理装置100とユーザとのインタフェースを行う部分であって、LCD(液晶表示装置)等の表示デバイスと、キースイッチ等の入力デバイスとから構成される。操作表示部15は、CPU11の制御の下、装置の各種状態や操作方法をLCDに表示するとともに、ユーザからのタッチパネルやキースイッチ群を介した入力を検出し、CPU11に出力する。
エンジン部16は、プリンタエンジン等であり、例えば白黒プロッタ、1ドラムカラープロッタ、4ドラムカラープロッタ、スキャナまたはファックスユニット等である。なお、このエンジン部16には、プロッタ等のいわゆるエンジン部分に加えて、誤差拡散やガンマ変換等の画像処理部分が含まれる。
スキャナ部17は、CCD光電変換素子からなるラインセンサとA/Dコンバータとそれらの駆動回路等を具備し、セットされた原稿をスキャンすることで得る原稿の濃淡情報から、デジタルの画像データを生成し、CPU11に出力する。
インタフェース部18は、被管理装置100と外部装置とを接続するためのインタフェースである。具体的に、インタフェース部18は、ネットワークNに接続可能なネットワークインタフェースであって、ネットワークNを介し管理端末20との間で授受される情報の送受信を制御する。
図1に戻り、管理ステーション200は、被管理装置100の管理を行うPCやサーバ等の情報処理装置である。なお、図示しないが、管理ステーション200は、CPUやROM、RAM、HDD等のコンピュータ構成を備え、このCPUとROM又はHDDに予め記憶されたプログラムとの協働により、SNMPにおけるマネージャの機能を担う。なお、このマネージャについての設定情報(コミュニティ名やセキュリティレベル、ユーザ情報等)は図示しない記憶装置に予め記憶されているものとし、マネージャは、この設定情報を含んだSNMPパケットを被管理装置100宛に送信するものとする。
次に、図3を参照して、被管理装置100のCPU11とROM131又は記憶部14に記憶されたプログラムとの協働により実現される各機能部の構成について説明する。
図3は、被管理装置100の機能的構成(ソフトウェア構成)を示したブロック図である。同図に示したように、被管理装置100は、マスタエージェント21と、認証管理部22と、認証部23と、サブエージェント24と、情報管理部25とを備えている。同図において、マスタエージェント21とサブエージェント24とは、RFC2741で規定されるマスタエージェントとサブエージェントであるともに、以下に説明する各機能を有している。なお、マスタエージェント21とサブエージェント24との間はAgentXプロトコルにより通信が行われる。
マスタエージェント21は、管理ステーション200(マネージャ)からMIB(Management Information Base)等の状態情報の取得を要求するSNMPパケットを受信すると、このSNMPパケットに含まれた設定情報を認証情報として取得する。以下、このSNMPパケットを、「SNMPパケット(情報要求)」という。
ここで、認証情報とは、SNMPマネージャとマスタエージェントとの間で予め設定されたコミュニティ名やセキュリティレベル、ユーザ情報等のSNMPの設定にかかる設定情報であって、上述した照合用情報と対応するものである。このように、本実施形態ではマネージャとマスタエージェント21との間で予め設定されたSNMPにかかる設定項目を認証情報として用いるため、情報の保守・運用を容易とすることができる。
また、マスタエージェント21は、SNMPパケット(情報要求)から認証情報を取得すると、この認証情報についての認証要求を認証管理部22に出力する。また、マスタエージェント21は、認証要求に対する戻り値として認証管理部22から後述する認証IDを受け付けると、サブエージェント24との通信のために生成したAgentXパケットのtransactionIDにこの認証IDを組み込み、サブエージェント24に出力する。なお、AgentXパケットへの認証IDの組み込みについては後述する。
また、マスタエージェント21は、サブエージェント24から状態情報を受け取ると、この状態情報をSNMPパケットの所定の領域に組み込んだ後、SNMPパケット(状態情報)としてSNMPパケット(情報要求)を送信した管理ステーション200宛に送信する。
認証管理部22は、マスタエージェント21から認証情報の認証要求を受け付けると、この認証要求を認証部23に引き渡す。また、認証管理部22は、認証要求に対する戻り値として認証部23から後述するセッション情報を受け付けると、このセッション情報を一意に識別可能な認証IDを生成し、マスタエージェントに出力する。また、認証管理部22は、生成した認証IDと、この認証IDに対応するセッション情報とを関連付けてRAM132等に一次記憶する。
認証管理部22により生成される認証IDの形式は任意であるものとする。例えば、セッション情報毎に昇順又は降順の数値を認証IDとして割り当てる態様としてもよい。なお、本実施形態では、認証IDをAgentXプロトコルの後述するtransactionIDに格納することを前提としているため、認証IDは4バイト以下の情報量であるものとする。
また、認証管理部22は、サブエージェント24から特定の認証IDについてのセッション情報の取得要求を受け付けると、この認証IDに関連付けて記憶されたセッション情報をRAM132等から読み出し、セッション情報取得要求を出力したサブエージェント24宛に出力する。
認証部23は、認証管理部22から認証要求を受け付けると、この認証要求で指示された認証情報に含まれる情報と、記憶部14に予め記憶された照合用情報に含まれる情報とが合致するか否かを判断することで、当該認証情報を送信した管理ステーション200(マネージャ)が正規のものか否かの認証を行う。
また、認証部23は、認証情報の認証の結果、照合用情報と認証情報との合致を確認すると、このSNMPパケット(情報要求)にかかる一連の通信(セッション)の有効期限や、認証情報等を含んだセッション情報を生成し、認証管理部22に出力する。なお、認証部23は、認証情報の認証の結果、認証情報と照合用情報とが一致しないと判断した場合には、認証が失敗した旨の情報をセッション情報として認証管理部22に出力するものとする。
サブエージェント24は、監視対象となる部位(例えば、エンジン部16やスキャナ部17)やプログラム(プロセス)等の単位で設けられており、自己のサブエージェント24の管理下に置かれた情報管理部25に対して、情報の取得要求を出力することで、監視対象の状態を示したMIB等の状態情報を取得する。以下、サブエージェント24から情報管理部25への状態情報の取得要求を「情報取得要求」という。
具体的に、サブエージェント24は、マスタエージェント21から出力されるAgentXパケットを受け付けると、当該AgentXパケットのtransactionIDに組み込まれた認証IDに基づいて、当該認証IDに関するセッション情報の取得要求を認証管理部22に出力する。以下、サブエージェント24から認証管理部22へのセッション情報の取得要求を、「セッション情報取得要求」という。
また、サブエージェント24は、セッション情報取得要求に対する戻り値として認証管理部22からセッション情報を取得すると、このセッション情報を少なくとも含んだ情報取得要求を情報管理部25に出力する。また、サブエージェント24は、情報取得要求に対する戻り値として情報管理部25から状態情報を取得すると、この状態情報をAgentXパケットの所定の領域に組み込んだ後、マスタエージェント21に出力する。
情報管理部25は、自己を管理するサブエージェント24に関連付けて設けられ、監視対象となる部位やプログラム(プロセス)等に関するMIB等の状態情報の管理を行う機能部である。
情報管理部25は、サブエージェント24から管理情報の取得要求を受け付けると、自己の情報管理部25が管理する監視対象の状態情報をサブエージェント24に出力する。
また、情報管理部25では、状態情報の提供に際し、取得要求に含まれたセッション情報のコミュニティ名やセキュリティレベル、ユーザ情報といった情報に基づいて、状態情報の参照を制御したり、状態情報を変更したりするアクセス制御を行う。ここで、アクセス制御は、記憶部14等に予め記憶されたアクセス制御情報(図示せず)に基づいて行われるものとする。また、アクセス制御情報には、状態情報の参照が可能なコミュニティ名やセキュリティレベル、セキュリティレベルやユーザ情報に応じて参照を可能とする状態情報の範囲等が予め定義されているものとする。
以下、図4を参照して、被管理装置100の動作について説明する。図4は、被管理装置100の各機能部により実行される状態情報提供処理の手順を示したシーケンス図である。
まず、マスタエージェント21は、管理ステーション200(マネージャ)から送信されるSNMPパケット(情報要求)を受信すると(ステップS11)、このSNMPパケット(情報要求)に含まれたコミュニティ名等の情報を認証情報として認証管理部22に出力する(ステップS12)。
認証管理部22では、マスタエージェント21から認証要求を受け付けると、この認証要求を認証情報とともに認証部23に引き渡す(ステップS13)。認証部23では、認証管理部22から受け付けた認証情報を、記憶部14に記憶した照合用情報と照合することで、当該認証情報の認証を行う(ステップS14)。
続いて、認証部23は、認証情報の認証の結果、照合用情報と認証情報との合致を確認すると、このセッションに含まれるコミュニティ名やセキュリティレベル、ユーザ情報等の情報を含んだセッション情報を生成し(ステップS15)、認証管理部22に出力する(ステップS16)。
認証管理部22では、認証要求に対する戻り値として認証部23から後述するセッション情報を受け付けると、このセッション情報を一意に識別可能な認証IDを生成し(ステップS17)、マスタエージェントに出力する(ステップS18)。また、認証管理部22は、ステップS17で生成した認証IDと、認証部23から受け付けたセッション情報とを関連付け、RAM132等に記憶する(ステップS19)。
一方、マスタエージェント21では、認証要求に対する戻り値として認証管理部22から認証IDを受け付けると、サブエージェント24と通信を行うためAgentXパケットを生成し、当該AgentXパケットのtransactionIDに認証IDを組み込む(ステップS20)。
ここで、図5を参照して、AgentXパケットの構造について説明する。図5は、AgebtXパケットの構造を模式的に示した図であって、RFC2741にて規格化されたAgentXパケットの構造に準拠している。なお、以下では本発明にかかるAgentXヘッダ部についてのみ説明し、他の要素についてはRFC2741で規格化された構造と同様であるため説明を省略する。
図5に示したように、AgentXヘッダは、AgentXパケットのヘッダ情報であって、AgentXプロトコルにかかる種々の情報から構成されている。ここで、「h.version」はAgentXプロトコルのバージョンが格納される領域であり、「h.type」はPDU(Protocol Data Unit)が格納される領域である。また、「h.flags」は各種のフラグ情報が格納される領域であり、「h.sessionID」はマスタエージェント21とサブエージェント24間のセッションを識別するIDが格納される領域である。なお、ここでのセッションは認証部23が生成するセッション情報とは異なり、AgentX通信におけるセッションを意味している。
「h.transactionID」は、SNMPによるMIBアクセスを識別するためのトランザクションIDが格納される領域である。ここで、SNMPによるMIBアクセスは、上述したマスタエージェント21がサブエージェント24から状態情報を取得までに相当する。つまり、トランザクションIDの有効期限と、認証部23が生成するセッション情報の有効期限とは一致する。
本実施形態では、このトランザクションIDの有効期限と、認証部23が生成するセッション情報の有効期限とが一致することに着目し、この領域に一のセッション情報に対応する認証IDを組み込むことで、サブエージェント24が認証情報(セッション情報)を参照可能な構成としている。なお、「h.transactionID」は4バイトのデータ長で構成されるため、上述したように認証管理部22はこのデータ長4バイトに応じた認証IDを、セクション情報毎に生成するものとする。
また、「h.packetID」はマスタエージェント21とサブエージェント24間のPDUを識別するパケットIDが格納される領域であり、「h.payload_length」は共通ヘッダを除いたPDUの長さが格納される領域である。
図4に戻り、マスタエージェント21は、認証ID組み込み済みのAgentXパケットをサブエージェント24に送信する(ステップS21)。
一方、サブエージェント24では、マスタエージェント21からAgentXパケットを受け付けると、当該AgentXパケットのtransactionIDに組み込まれた認証IDに基づいて、当該認証IDに関するセッション情報取得要求を認証管理部22に出力する(ステップS22)。
認証管理部22は、サブエージェント24から特定の認証IDについてのセッション情報取得要求を受け付けると、この認証IDに関連付けて記憶されたセッション情報をRAM132等から読み出し(ステップS23)、サブエージェント24宛に出力する(ステップS24)。
サブエージェント24では、セッション情報取得要求に対する戻り値として認証管理部22からセッション情報を取得すると、このセッション情報を少なくとも含んだ情報取得要求を情報管理部25に出力する(ステップS25)。
情報管理部25は、サブエージェント24から情報取得要求を受け付けると、この情報取得要求に含まれたセッション情報に基づいて、アクセス制御処理を実行する(ステップS26)。以下、図6を参照して、ステップS26のアクセス制御処理について説明する。
図6は、情報管理部25が実行するアクセス制御処理の手順を示したフローチャートである。まず、情報管理部25は、セッション情報に含まれたコミュニティ名等の各種の情報と、記憶部14等に予め記憶したアクセス制御情報とを比較し(ステップS261)、状態情報の参照権限があるか否かを判定する(ステップS262)。
ステップS262において、参照権限がないと判定した場合(ステップS262;No)、情報管理部25は、その旨を示したエラー情報を状態情報としてサブエージェント24に出力し(ステップS263)、本処理を終了する。例えば、認証部23により認証の結果、認証情報と照合用情報とが一致しないと判断した場合には、セッション情報には認証が失敗した旨の情報が含まれることになるため、ステップS262において、参照権限がないと判定される。
一方、ステップS262において、参照権限があると判定した場合(ステップS262;Yes)、情報管理部25は、セッション情報に含まれたユーザ情報から選択言語を取得する(ステップS264)。
続いて、情報管理部25は、自己が管理する状態情報をステップS264で取得した選択言語に変換すると(ステップS265)、この変換済みの状態情報をサブエージェント24に出力した後(ステップS266)、本処理を終了する。
このように、情報管理部25では、サブエージェント24からセッション情報が入力されるため、どの管理ステーションか、また、どのユーザからのアクセスを認識することができる。そのため、例えば、図1に示した管理ステーションA、Bの夫々や、当該管理ステーションを操作するユーザの夫々に応じて、状態情報の参照可否や提供する状態情報の内容を変換するといったアクセス制御を行うことが可能となる。
なお、本実施形態では、選択言語に応じて状態情報を変換する態様としたが、この例に限らず、セッション情報に含まれる他の情報(例えば、コミュニティ名やセキュリティレベル等)の設定に応じて、状態情報の内容を制限したり、変更したりする態様としてもよい。
図4に戻り、ステップS26のアクセス制御処理により状態情報がサブエージェント24に出力されると(ステップS27)、サブエージェント24は、この状態情報を情報取得要求に対する戻り値として受け付け、AgentXパケットにセットしてマスタエージェント21に出力する(ステップS28)。
一方、マスタエージェント21では、サブエージェント24から状態情報を受信すると、この状態情報をSNMPパケットにセットしSNMPパケット(状態情報)として、SNMPパケット(情報要求)を送信した管理ステーション200宛に送信する(ステップS29)。
以上のように、本実施形態によれば、管理ステーション200(マネージャ)からの情報取得要求毎に、認証情報とその認証結果とを少なくとも含んだセッション情報を生成し、このセッション情報に関連付けて管理された認証IDを、AgentXパケットのトランザクションIDに組み込むことで、AgentXパケットを介してサブエージェント24に認証IDを通知する。また、サブエージェント24では、この通知された認証IDに基づいて認証管理部22からセッション情報を取得すると、このセッション情報に含まれた認証結果や認証情報に基づいて、情報管理部25がアクセス制御を行う。
これにより、AgentXパケットの仕様を変更することなく、サブエージェント24側にセッション情報を提供することができるため、サブエージェント24側にてアクセス制御を行うことができる。また、要求された情報(状態情報)へのアクセスの可否や、状態情報に対する認証情報に応じた処理の実施を各サブエージェント24側で個別に行うことができるため、情報の保守・運用を容易とし、より精度の高いアクセス制御を行うことができる。
なお、本発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化することができる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成することができる。例えば、実施の形態に示される全構成要素からいくつかの構成要素を削除してもよい。さらに、異なる実施の形態にわたる構成要素を適宜組み合わせても良い。
例えば、上述した被管理装置100で実行される各処理にかかるプログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成しても良い。また、上述した被管理装置100で実行される各処理にかかるプログラムを、インターネット等のネットワーク経由で提供または配布するように構成しても良い。
また、上述した被管理装置100で実行される各処理にかかるプログラムを、ROM等の記憶媒体に予め組み込んで提供するように構成してもよい。
以上のように、本発明にかかる情報処理装置、情報処理方法及び情報処理プログラムは、SNMPを用いて管理されるPCやプリンタ、複写機、複合機等の情報処理装置に有用であり、特に、RFC2741に定義されたマスタエージェント及びサブエージェントを用いて管理を行う情報処理装置、情報処理方法及び情報処理プログラムに適している。
機器管理システムの構成を示したブロック図である。 被管理装置のハードウェア構成の一例を示したブロック図である。 被管理装置の機能的構成を示したブロック図である。 被管理装置の各機能部が実行する状態情報提供処理の手順を示したシーケンス図である。 AgebtXパケットの構造を模式的に示した図である。 情報管理部が実行するアクセス制御処理の手順を示したフローチャートである。
符号の説明
100 被管理装置
200 管理ステーション
11 CPU
12 ASIC
13 システムメモリ
131 ROM
132 RAM
14 記憶部
15 操作表示部
16 エンジン部
17 スキャナ部
18 インタフェース部
21 マスタエージェント
22 認証管理部
23 認証部
24 サブエージェント
25 情報管理部

Claims (10)

  1. SNMPにおけるマスタエージェントとサブエージェントとを有し、当該マスタエージェントとサブエージェントとの間の通信を、AgentXプロトコルに準拠したAgentXパケットを用いて行う情報処理装置において、
    外部のSNMPマネージャから指示される情報の取得要求毎に、当該取得要求に含まれた認証情報を取得する認証情報取得手段と、
    前記認証情報取得手段により取得された認証情報に基づいて、前記SNMPマネージャが正規のものか否かの認証を行う認証手段と、
    前記認証情報と、前記認証手段による認証結果とを少なくとも含んだセッション情報を生成するセッション情報生成手段と、
    前記セッション情報生成手段により生成されたセッション情報を、前記サブエージェントに提供するセッション情報提供手段と、
    前記セッション情報提供手段から前記サブエージェントが取得したセッション情報に基づいて、前記情報の取得にかかるアクセス制御を行うアクセス制御手段と、
    を備えたことを特徴とする情報処理装置。
  2. 前記生成手段により生成されたセッション情報と、当該セッション情報を一意に識別可能な識別情報とを関連付けて管理する管理手段と、
    前記識別情報を前記AgentXパケットの所定の領域に付加し、このAgentXパケットを前記マスタエージェントから前記取得要求により指示された情報の取得に関係するサブエージェント宛に出力するパケット生成手段と、
    前記サブエージェントが受け付けた前記識別情報付加済みのAgentXパケットに基づいて、当該識別情報に対応するセッション情報を前記セッション情報提供手段に要求するセッション情報要求手段と、
    を更に備え、
    前記セッション情報提供手段は、前記セッション情報要求手段からの要求に応じて、前記識別情報に関連付けて前記管理手段に管理されたセッション情報を、当該セッション情報要求手段に対応するサブエージェント宛に提供することを特徴とする請求項1に記載の情報処理装置。
  3. 前記パケット生成手段は、前記AgentXパケットを構成するヘッダ部のうち、トランザクションIDが格納される領域に前記識別情報を組み込むことを特徴とする請求項2に記載の情報処理装置。
  4. 前記アクセス制御手段は、前記セッション情報に含まれた認証結果に基づいて、前記SNMPマネージャにより要求された情報へのアクセスの可否を制御することを特徴とする請求項1〜3の何れか一項に記載の情報処理装置。
  5. 前記アクセス制御手段は、前記セッション情報に含まれた認証情報に基づいて、前記SNMPマネージャにより要求された情報に所定の処理を施すことを特徴とする請求項1〜4の何れか一項に記載の情報処理装置。
  6. 前記認証情報は、前記SNMPマネージャのコミュニティ名、セキュリティレベル、ユーザに関するユーザ情報を少なくとも含むことを特徴とする請求項1〜5の何れか一項に記載の情報処理装置。
  7. SNMPにおけるマスタエージェントとサブエージェントとを有し、当該マスタエージェントとサブエージェントとの間の通信を、AgentXプロトコルに準拠したAgentXパケットを用いて行う情報処理装置の情報処理方法であって、
    認証情報取得手段が、外部のSNMPマネージャから指示される情報の取得要求毎に、当該取得要求に含まれた認証情報を取得する認証情報取得工程と、
    認証手段が、前記認証情報取得工程で取得された認証情報に基づいて、前記SNMPマネージャが正規のものか否かの認証を行う認証工程と、
    生成手段が、前記認証情報と、前記認証手段による認証結果とを少なくとも含んだセッション情報を生成するセッション情報生成工程と、
    セッション情報提供手段が、前記セッション情報生成工程で生成されたセッション情報を、前記サブエージェントに提供するセッション情報提供工程と、
    アクセス制御手段が、前記セッション情報提供工程でサブエージェントが取得した前記セッション情報に基づいて、前記情報の取得にかかるアクセス制御を行うアクセス制御工程と、
    を含むことを特徴とする情報処理方法。
  8. 管理手段が、前記セッション情報生成工程で生成されたセッション情報と、当該セッション情報を一意に識別可能な識別情報とを関連付けて管理する管理工程と、
    パケット生成手段が、前記識別情報を前記AgentXパケットの所定の領域に付加し、このAgentXパケットを前記マスタエージェントから前記取得要求により指示された情報の取得に関係するサブエージェント宛に出力するパケット生成工程と、
    セッション情報要求手段が、前記サブエージェントが受け付けた前記識別情報付加済みのAgentXパケットに基づいて、当該識別情報に対応するセッション情報を前記セッション情報提供手段に要求するセッション情報要求工程と、
    を更に含み、
    前記セッション情報提供手段は、前記セッション情報提供工程において、前記セッション情報要求工程で受け付けた要求に応じて、前記識別情報に関連付けて前記管理工程で管理されたセッション情報を、当該セッション情報要求手段に対応するサブエージェント宛に提供することを特徴とする請求項7に記載の情報処理方法。
  9. 前記パケット生成手段は、前記パケット生成工程において、前記AgentXパケットを構成するヘッダ部のうち、トランザクションIDが格納される領域に前記識別情報を組み込むことを特徴とする請求項8に記載の情報処理方法。
  10. SNMPにおけるマスタエージェントとサブエージェントとを有し、当該マスタエージェントとサブエージェントとの間の通信を、AgentXプロトコルに準拠したAgentXパケットを用いて行うコンピュータを、
    外部のSNMPマネージャから指示される情報の取得要求毎に、当該取得要求に含まれた認証情報を取得する認証情報取得手段と、
    前記認証情報取得手段により取得された認証情報に基づいて、前記SNMPマネージャが正規のものか否かの認証を行う認証手段と、
    前記認証情報と、前記認証手段による認証結果とを少なくとも含んだセッション情報を生成するセッション情報生成手段と、
    前記セッション情報生成手段により生成されたセッション情報を、前記サブエージェントに提供するセッション情報提供手段と、
    前記セッション情報提供手段から前記サブエージェントが取得したセッション情報に基づいて、前記情報の取得にかかるアクセス制御を行うアクセス制御手段と、
    して機能させることを特徴とする情報処理プログラム。
JP2008067482A 2008-03-17 2008-03-17 情報処理装置、情報処理方法及び情報処理プログラム Expired - Fee Related JP4906761B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2008067482A JP4906761B2 (ja) 2008-03-17 2008-03-17 情報処理装置、情報処理方法及び情報処理プログラム
US12/359,572 US20090235344A1 (en) 2008-03-17 2009-01-26 Information processing apparatus, information processing method, and information processing program product

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008067482A JP4906761B2 (ja) 2008-03-17 2008-03-17 情報処理装置、情報処理方法及び情報処理プログラム

Publications (2)

Publication Number Publication Date
JP2009223625A true JP2009223625A (ja) 2009-10-01
JP4906761B2 JP4906761B2 (ja) 2012-03-28

Family

ID=41064467

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008067482A Expired - Fee Related JP4906761B2 (ja) 2008-03-17 2008-03-17 情報処理装置、情報処理方法及び情報処理プログラム

Country Status (2)

Country Link
US (1) US20090235344A1 (ja)
JP (1) JP4906761B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5982917B2 (ja) * 2012-03-22 2016-08-31 株式会社リコー 情報処理装置、操作権限付与プログラム及び投影システム
JP5966596B2 (ja) 2012-05-16 2016-08-10 株式会社リコー 情報処理装置、投影システム及び情報処理プログラム
CN103684851B (zh) * 2013-11-26 2017-03-08 华为技术有限公司 数据采集方法和装置
EP3238376A4 (en) * 2014-12-25 2018-10-31 Thomson Licensing Method and apparatus for snmp set operations
JP6907619B2 (ja) 2017-03-15 2021-07-21 株式会社リコー 情報処理システム、情報処理方法、及び情報処理装置
EP3410364B1 (en) 2017-05-29 2020-09-09 Ricoh Company, Limited Information processing system, information processing apparatus, and information processing method
JP7314491B2 (ja) 2018-09-26 2023-07-26 株式会社リコー 情報処理システム、サービス提供システム、フロー設定方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040158625A1 (en) * 2002-12-30 2004-08-12 Wind River Systems, Inc. System and method for efficient master agent utilization
JP2006059011A (ja) * 2004-08-18 2006-03-02 Ricoh Co Ltd 通信装置、通信装置の制御方法、プログラム及び記録媒体
JP2006079359A (ja) * 2004-09-09 2006-03-23 Ricoh Co Ltd 通信装置、通信装置の制御方法、プログラム及び記録媒体

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6704873B1 (en) * 1999-07-30 2004-03-09 Accenture Llp Secure gateway interconnection in an e-commerce based environment
US7398389B2 (en) * 2001-12-20 2008-07-08 Coretrace Corporation Kernel-based network security infrastructure
US7310664B1 (en) * 2004-02-06 2007-12-18 Extreme Networks Unified, configurable, adaptive, network architecture

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040158625A1 (en) * 2002-12-30 2004-08-12 Wind River Systems, Inc. System and method for efficient master agent utilization
JP2006059011A (ja) * 2004-08-18 2006-03-02 Ricoh Co Ltd 通信装置、通信装置の制御方法、プログラム及び記録媒体
JP2006079359A (ja) * 2004-09-09 2006-03-23 Ricoh Co Ltd 通信装置、通信装置の制御方法、プログラム及び記録媒体

Also Published As

Publication number Publication date
JP4906761B2 (ja) 2012-03-28
US20090235344A1 (en) 2009-09-17

Similar Documents

Publication Publication Date Title
US10645252B2 (en) Image output system, information processing device, and authentication device
US8613063B2 (en) Information processing apparatus, information processing method, and recording medium
US7865933B2 (en) Authentication agent apparatus, authentication method, and program product therefor
JP4906761B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
US20110228311A1 (en) Image Forming System and Image Forming Method for Collectively Supporting Output Data Formats and Authentication Methods
CN104517055B (zh) 能够应用安全策略的图像处理装置及其控制方法
US20080263134A1 (en) Information-processing system, method, computer-readable medium, and computer data signal for controlling provision of information or processing service
US7752288B2 (en) Information processing apparatus, client terminal, setting content changing method, and computer-readable recording medium thereof
US9398099B2 (en) Information processing apparatus for executing processing in response to request from external device, control method of information processing apparatus, and storage medium
JP6488729B2 (ja) 記入フォーム提供装置、画像形成装置及びプログラム
JP5261130B2 (ja) 画像形成装置及び画像出力システム
JP2007087384A (ja) ネットワーク装置管理システム、方法およびプログラム
JP2007164640A (ja) 利用制限管理装置、方法、プログラム及びシステム
JP5779971B2 (ja) 画像処理装置
JP2010170232A (ja) 画像形成システム、サーバ装置および画像形成装置
JP2004213067A (ja) サービス提供装置,画像形成装置、サービス提供方法および不正利用防止方法
US8701171B2 (en) Apparatus, method, and program for acquiring information during an unavailable communication state in accordance with user identification information
JP2004133907A (ja) 画像形成装置,利用認証情報発行方法および利用認証情報発行システム
JP2013093049A (ja) 画像形成システム、サーバ装置および画像形成装置
JP2003345713A (ja) 画像形成装置,蓄積文書出力方法および蓄積文書出力システム
JP5393558B2 (ja) 画像形成装置
JP2004133906A (ja) 画像形成装置,利用認証情報発行方法および利用認証情報発行システム
JP2003345568A (ja) 画像形成装置,蓄積文書印刷方法および蓄積文書印刷システム
JP4011083B2 (ja) 画像形成装置,蓄積文書出力方法および蓄積文書出力システム
JP2005173306A (ja) 画像処理装置およびその制御方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100518

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111220

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120104

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120110

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150120

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4906761

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees