具有多因素认证功能的图像形成装置的制作方法

1.本发明涉及一种具有多因素认证功能的图像形成装置、控制图像形成装置的方法和存储介质。


背景技术：

2.近年来，网络攻击变得越来越复杂，并且已经针对复杂的网络攻击引入了多因素认证。多因素认证具有“知识信息”、“持有信息”、“生物特征信息”三个因素。“知识信息”是指只有用户知道的信息，例如密码或个人识别码(pin)。“持有信息”是指只有用户持有的东西，例如集成电路(ic)卡或硬件令牌(一次性密码)。“生物特征信息”是用户具有的生物固有信息/特征，例如指纹、静脉或面部。
3.使用多个“知识信息”、“持有信息”和“生物特征信息”的组合的多因素认证的使用提供了针对网络攻击的保护，并降低了系统不当使用的风险。作为在使用安装在办公室中的图像形成装置的操作面板时的用户认证方法，提供了使用作为雇员标识卡发行的ic卡的用户认证。由于仅通过将ic卡靠近读卡器即可进行用户认证，因此该方法非常方便，并被广泛使用。
4.此外，存在一种图像形成装置，其提供了使用作为“持有信息”的ic卡和作为“知识信息”的密码或pin的组合的多因素认证的方法。此外，还存在另一种图像形成装置，其提供了使用作为“持有信息”的ic卡和生物特征认证的组合的多因素认证的方法(参见日本专利申请特开2019-155610)。
5.此外，图像形成装置包括允许从个人计算机(pc)终端的网络浏览器访问的网络服务器功能。因此，用户可以使用pc终端的网络浏览器远程访问图像形成装置，并操作超文本标记语言(html)用户界面。在下文中，html用户界面将被称为“远程ui”。通常，诸如id和密码的“知识信息”用于验证图像形成装置的远程ui的用户。
6.使用作为“持有信息”的ic卡和作为“知识信息”的pin和密码的组合的多因素认证是使用图像形成装置的操作中的多因素认证的方法。但是，存在未向远程ui提供多因素认证方法的问题。此外，一些使用远程ui的pc终端不包括使用图像形成装置的本地用户界面(本地ui)时所用的认证功能。例如，许多pc终端不包括ic卡读取设备，存在不能将ic卡认证用作使用远程ui时的多因素认证方法的问题。


技术实现要素：

7.本发明涉及一种图像形成装置，其通过为远程访问用户建立与本地访问的多因素认证中采用的认证因素不同的认证因素，从而具有针对网络攻击的安全性。
8.根据本发明的一方面，提供了一种具有至少包括打印功能的功能的图像形成装置，图像形成装置包括：第一认证单元，用于认证对图像形成装置的本地用户界面(ui)功能的本地访问；和第二认证单元，用于认证对图像形成装置的远程用户界面(ui)功能的远程访问，其中，第一认证单元和第二认证单元支持多因素认证，且第二认证单元的至少一个认
证因素与第一认证单元的认证因素不同。
9.根据以下参照附图对示例性实施例的详细描述，本发明的其他特征将变得清楚。
附图说明
10.图1是示出网络配置的图。
11.图2是示出多功能外围设备(mfp)的硬件配置的框图。
12.图3是示出软件配置的框图。
13.图4是示出用于用户认证设置的用户界面的图。
14.图5是示出用于用户管理的用户界面的图。
15.图6是示出用于编辑“我的配置文件”的用户界面的图。
16.图7是示出本地用户界面(本地ui)上的集成电路(ic)卡认证处理的流程图。
17.图8是示出通过本地ui显示在操作面板上的画面和画面转变的图。
18.图9是示出远程用户界面(远程ui)上的用户认证处理的流程图。
19.图10是示出通过远程ui提供给个人计算机(pc)的网络浏览器的画面和画面转变的图。
20.图11是示出通过本地ui显示在操作面板上的画面和画面转变的图。
21.图12是示出根据第二示例性实施例的用于用户管理的用户界面的图。
22.图13是示出发送的电子邮件的示例的图。
具体实施方式
23.下面将参照附图描述本发明的各种示例性实施例。
24.作为根据本发明第一示例性实施例的图像形成装置的示例，将描述安装在办公室中并包括复印、打印和扫描功能的多功能外围设备(mfp)。
25.《系统配置》
26.首先参考图1描述根据本示例性实施例的办公环境中的网络配置。
27.mfp 101是至少包括打印功能并且应用本发明的mfp。mfp 101与经由网络局域网(网络lan)103连接到mfp 101的个人计算机终端(例如，pc 102)通信。用户从pc终端的网络浏览器访问mfp 101，以使用mfp 101的远程用户界面(远程ui)。此外，mfp 101可以从终端(例如pc 102)接收打印作业。
28.每个用户持有一个或多个移动终端104。在实现本示例性实施例时，移动终端104不必连接到网络lan 103。支持下述基于时间的一次性密码(totp)的移动应用安装在每个移动终端104中，并用于生成一次性密码。一次性密码是通过用户持有的移动终端104发布的，因此软件令牌认证是持有信息认证，是多因素认证的认证因素之一。在办公环境中，假设还有多个具有类似配置的其他mfp(未示出)、pc终端(未示出)和移动终端(未示出)。
29.《硬件配置》
30.图2是示出mfp 101的硬件配置的框图。中央处理单元(cpu)201是控制整个mfp 101的操作的中央处理单元(处理器)。随机存取存储器(ram))203是易失性存储器和工作区，用作加载存储在只读存储器(rom)202和硬盘驱动器(hdd)204中的各种控制程序的临时存储区。
31.rom 202是非易失性存储器，存储mfp 101的引导程序等。hdd 204是非易失性硬盘驱动器，并且具有比ram 203大的容量。hdd 204存储用于mfp控制的程序。hdd 204还存储操作系统(os)和应用程序。
32.cpu 201在启动mfp 101时执行存储在rom 202中的引导程序。引导程序用于读取存储在hdd 204中的os的程序，并将读取的程序加载到ram 203上。在执行了引导程序之后，cpu 201接着执行加载在ram203上的os的程序，并控制mfp 101。此外，cpu 201还基于ram 203上的控制程序存储用于操作的数据，并执行读取和写入。
33.虽然mfp 101的单个cpu 201执行下面描述的流程图中所示的每个处理，但是可以采用任何其他形式。例如，多个cpu或微处理器(mpu)可以协作以执行流程图中所示的处理。此外，可以使用诸如专用集成电路(asic)或现场可编程门阵列(fpga)之类的硬件电路来执行部分处理。
34.操作面板205是可以通过触摸来操作的显示器。打印机206是打印经由通信单元208从外部接收的打印数据和从扫描仪207获取的数字数据的打印机引擎。扫描仪207是读取纸质原稿并将读取的原稿转换为数字数据的扫描仪设备。通信单元208是用于连接到办公室中的因特网和局域网(lan)的网络接口。集成电路(ic)卡读取器209是从ic卡读取用于用户认证的信息的设备。ic卡读取器209是用于实现ic卡认证的单元。
35.《软件配置》
36.图3是示出mfp 101的软件配置的框图。mfp 101的本地用户界面(本地ui)301使用操作面板205的显示器提供用户界面，并且本地访问用户可以通过本地ui 301改变mfp 101的设置，并使用mfp 101的功能。远程用户界面(远程ui)302包括超文本传输协议(http)服务器功能。远程ui 302向远程访问用户提供超文本标记语言(html)用户界面。
37.用户可以使用pc终端的网络浏览器访问远程ui 302，以改变mfp 101的设置并使用mfp 101的功能。pc终端的网络浏览器显示html用户界面。用户可以通过操作网络浏览器上显示的用户界面来更改设置和使用功能。
38.用户认证服务303是认证本地ui 301和远程ui 302的用户的软件模块。用户认证服务303基于ic卡和个人识别码(pin)对本地ui 301的用户进行认证。此外，用户认证服务303基于用户名、密码和一次性密码来认证远程ui 302的用户。ic卡读取器驱动程序304是控制ic卡读取器209从ic卡获取信息并将ic卡信息提供给用户认证服务303的驱动程序。
39.《一次性密码》
40.将描述在本示例性实施例中使用的一次性密码。征求意见书(rfc)6238中定义的基于时间的一次性密码(totp)可用作生成一次性密码的方法。在该方法中，利用针对每个用户生成的totp秘密和时间信息来生成作为认证信息的一次性密码。totp秘密是一个随机数。如今，支持totp的移动应用(智能手机应用)被广泛使用。示例是谷歌公司的google和微软公司的microsoft通过在移动应用中将totp秘密注册为字符串或通过使用移动应用拍摄包含totp秘密信息的快速响应(qr)代码的图像，将totp秘密存储在支持totp的移动应用中。这样，totp秘密的发布者和移动应用共享totp秘密。支持totp的移动应用根据totp秘密和时间生成一次性密码。
41.此外，除了支持totp的移动应用之外，还有支持totp并可以作为pc终端的网络浏览器的扩展功能而安装的插件。根据本示例性实施例，totp秘密的发布者是用户认证服务
303。mfp 101的每个用户使用支持totp的移动应用或网络浏览器的插件。通常，使用移动应用或网络浏览器插件等软件生成的一次性密码被称为“软件令牌”。此外，使用软件令牌的认证方法被称为“软件令牌认证”。
42.根据本示例性实施例，用户认证服务303生成totp秘密和一次性密码，并基于来自检测用户操作的本地ui 301或远程ui 302的请求来验证一次性密码。
43.此外，根据本示例性实施例，与账户相关联的totp秘密被记录在下述用户信息表中的状态被称为“一次性密码激活状态”，而totp秘密未记录在用户信息表中的状态将被称为“一次性密码无效状态”。
44.《用户信息》
45.将描述由用户认证服务303管理的用户信息。用户认证服务303通过将用户信息存储在如表1所示的用户信息表中来管理用户信息。用户信息表是记录在hdd 204中的数据库。也可以使用对通信路径和存储器实施加密或防篡改的网络上的另一个节点的数据库。用户信息表存储关于每个用户的个人信息，包括用于ic卡认证的卡id、pin、密码、totp秘密、角色和用户的电子邮件地址等认证信息。
46.[表格1]
[0047]
用户名卡idpin密码totp秘密角色电子邮件地址adminf1eabb15
…
479960********6fc11e17-faf4
…
管理员admin@canon.comalice44e7158e
…
922524********96df7500-7e82
…
管理员alice@canon.combob045bb438
…
033886******** 普通用户bob@canon.comcarol19e313b6
…
838214********1fb233f6-1f8e
…
普通用户carol@canon.comdavebdfdb35
…
375384******** 有限用户dave@canon.com
[0048]
角色信息是指示用户使用mfp 101的权限的信息。下面描述的角色信息表(表2)指定角色和使用权限的示例。除了在出厂时mfp 101中包括的角色的定义之外，还可以通过设置使用权限的细节，来允许用户生成新的角色。表2中的术语“改变设置”是指改变为mfp 101设置的值的动作，例如下面描述的用户认证设置和用户管理。mfp 101的网络设置和打印功能设置等各种设置也可以设置为可改变。“管理员”是分配给管理员用户的角色，而“普通用户”和“有限用户”是分配给普通用户的角色。
[0049]
[表格2]
[0050]
角色权限管理员允许改变设置、执行彩色打印以及编辑地址簿普通用户不允许改变设置，但允许执行彩色打印和参照地址簿有限用户不允许改变设置、执行彩色打印以及参照地址簿
[0051]
《用户认证设置》
[0052]
接下来，将描述mfp 101的用户认证设置。图4示出了用于远程ui 302提供的mfp 101的用户认证设置的ui的示例。不仅远程ui 302而且本地ui 301都可以向管理员提供类似的ui。
[0053]
画面401是用于设置用户认证设置的整个画面。只有具有管理员角色的管理员才能访问画面401。用户认证设置402是本地ui 301的用户认证设置。用户认证设置403是远程ui 302的用户认证设置。
[0054]
认证设置404是本地ui认证设置，并提供“不认证”和“ic卡认证”的选项。在选择“ic卡认证”选项的情况下，提供“使用多因素认证(pin)”设置405。“使用多因素认证(pin)”设置405向用户提供“不需要”、“仅要求管理员使用pin”和“要求所有用户使用pin”的选项。
[0055]
在选择“不需要”选项并且预先与用户账户相关联地记录了pin的情况下，在ic卡认证中提示用户输入pin。在未记录pin的情况下，仅基于成功的ic卡认证执行允许用户登录到本地ui 301的操作，而不要求用户输入pin。
[0056]
在选择“仅要求管理员使用pin”或“要求所有用户使用pin”选项的情况下，提示用户设置“未注册pin的用户登录”设置406。“未注册pin的用户登录”设置406是定义针对以下情况的操作的设置：在未与需要使用pin的目标账户相关联地记录pin的状态下，需要使用pin的账户的用户尝试ic卡认证。提供“在ic卡认证中注册pin”和“禁止登录本地ui”选项。
[0057]“使用多因素认证(一次性密码)”设置407是远程ui多因素认证设置。向用户提供“不需要”、“仅要求管理员使用一次性密码”和“要求所有用户使用一次性密码”选项。
[0058]
在选择“不需要”选项的情况下，使用用户名和密码来认证访问远程ui 302的用户。每个用户都可以选择是否使用一次性密码。在用户激活一次性密码的情况下，除了用户名/密码认证外，还提示用户输入一次性密码。在一次性密码未被激活的情况下，仅基于成功的用户名/密码认证来执行允许用户登录到远程ui 302的操作，而不要求用户输入一次性密码。
[0059]
在选择“仅要求管理员使用一次性密码”或“要求所有用户使用一次性密码”选项时，提示用户设置“未注册一次性密码用户登录”设置408。“未注册一次性密码用户登录”设置408是定义针对在一次性密码没有提前激活的状态下、账户的用户尝试对远程ui 302进行用户认证的情况的操作的设置。提供了“登录远程ui时注册一次性密码”和“禁止登录远程ui(下次登录本地ui时在本地ui注册一次性密码)”的选项。
[0060]
虽然根据本示例性实施例将多因素认证设置分别提供给本地ui 301和远程ui 302中的每一个，但是可以提供单个多因素认证设置作为应用于本地ui 301和远程ui 302这两者的公用设置。在这种情况下，可以采用任何认证方法，并提供“不需要”、“仅要求管理员使用多因素认证”和“要求所有用户使用多因素认证”的选项作为多因素认证要求设置。此外，向未设置多因素认证的用户提供“在登录时设置多因素认证”和“禁止登录”的选项。
[0061]
《用户管理》
[0062]
图5示出了由远程ui 302提供并且管理mfp 101的用户账户的ui的示例。不仅是远程ui 302，本地ui 301也可以向管理员提供类似的ui。
[0063]
用户管理画面501是管理用户账户列表的用户管理画面。只有具有管理员角色的管理员才能访问用户管理画面501。在用户管理画面501上提供了注册新用户账户和选择注册账户以编辑/删除所选账户的功能。例如，在“admin”在用户管理画面501上选择账户“alice”并按下编辑按钮的情况下，远程ui 302显示用户编辑画面502。密码、pin、卡id、电子邮件地址和角色可以被编辑，且编辑的密码、pin、卡id、电子邮件地址和角色可以存储在用户编辑画面502上。此外，用户编辑画面502显示远程ui 302的用户认证中使用的一次性密码的状态(激活/无效)。管理员可以在用户编辑画面502上初始化(无效)一次性密码。在用户编辑画面502上没有提供激活一次性密码的功能。
[0064]
《“我的配置文件”编辑》
301在操作面板205上显示ic卡认证画面801。用户认证服务303使用ic卡读取器驱动程序304驱动ic卡读取器209以准备检测ic卡。
[0076]
在步骤s701中，用户认证服务303通过ic读取器驱动程序304检测ic卡读取器209附近持有的ic卡。在步骤s702中，用户认证服务303通过获取检测到的ic卡的卡id来认证检测到的ic卡，并将检测到的ic卡与在用户信息表(表1)中注册的ic卡进行验证，并确定结果。在未注册卡id的情况下(步骤s702中的“否”)，显示认证错误，并再次显示ic卡认证画面801。然后，处理返回到步骤s701。另一方面，在与注册的卡id的验证成功的情况下(步骤s702中的“是”)，识别与卡id相关联的账户。然后，处理进行到步骤s703。
[0077]
接下来，在步骤s703中，参考识别出的账户的pin，并确定该pin是否被注册。在注册了pin的情况下(步骤s703中的“是”)，处理进行到步骤s704。在步骤s704中，显示pin输入画面802以请求pin输入。接下来，在步骤s705中，用户认证服务303验证输入的pin，认证pin并确定结果。在输入的pin正确的情况下(步骤s705中的“是”)，处理进行到步骤s706。在步骤s706中，执行允许用户登录到mfp 101的处理。另一方面，在pin验证不成功的情况下(步骤s705中的“否”)，处理返回到步骤s704。显示消息以通知用户pin不匹配，并且再次显示pin输入画面802以再次请求pin输入。在输入错误连续发生预定次数或更多的情况下，确定存在攻击，账户被锁定预定时间。
[0078]
在步骤s706中，通过参考用户信息表(表1)和角色信息表(表2)，为允许登录的用户分配该用户的角色和与该角色相关联的权限，并进行控制以允许用户登录到mfp 101。显示用于允许使用由本地ui 301提供的mfp 101的功能的菜单画面803，登录操作结束。菜单画面803的显示被控制为使用户无权使用的每个功能都变灰，从而使得用户不能选择该功能。
[0079]
另一方面，在步骤s703中，在确定未注册pin的情况下(步骤s703中的“否”)，处理进行到步骤s707。在步骤s707中，参考存储在hdd 204中的“使用多因素认证(pin)”设置405和识别出的账户的角色，并基于信息确定账户是否需要使用pin来登录。例如，在设置了“仅要求管理员使用pin”的选项、并且通过ic卡认证识别的用户的账户角色为管理员的情况下，确定需要使用pin。在不需要使用pin的情况下(步骤s707中的“否”)，处理进行到步骤s706。在步骤s706中，执行允许用户登录到mfp 101的处理。
[0080]
另一方面，在需要使用pin的情况下(步骤s707中的“是”)，处理进行到步骤s708。在步骤s708中，参考存储在hdd 204中的“未注册pin的用户登录”设置406，并且检查为未注册pin的用户设置的选项。在设置了“在ic卡认证中注册pin”的选项的情况下(步骤s708中的“是”)，处理进行到步骤s709。在步骤s709中，显示pin注册画面804以请求用户注册pin。接着，在步骤s710中，确定pin是否注册成功。在确认pin注册成功的情况下(步骤s710中的“是”)，处理进行到步骤s706。在步骤s706中，执行允许用户登录到mfp 101的处理。另一方面，在拒绝pin注册的情况下(步骤s710中的“否”)，处理进行到步骤s711。在步骤s711中，再次显示ic卡认证画面801。在步骤s708中的确定中，在设置了“禁止登录本地ui”的选项的情况下(步骤s708中的“否”)，处理进行到步骤s712。在步骤s712中，在错误画面805上显示指示由于未注册pin而禁止登录的消息。在错误画面805关闭的情况下，处理进行到步骤s711。在步骤s711中，再次显示ic卡认证画面801。
[0081]
《登录远程ui的处理》
[0082]
将参照图9和图10描述登录到远程ui 302的处理。图9是示出远程ui 302上的用户认证处理的流程图。图10是示出由远程ui 302提供给pc终端的网络浏览器的html画面和画面转变的图。
[0083]
在检测到对远程ui 302的访问的情况下，远程ui 302提供并显示远程ui登录画面1001。在步骤s901中，在用户输入用户名和密码并按下登录按钮的情况下，远程ui 302检测到登录操作。在步骤s902中，用户认证服务303通过参考用户信息表(表1)并验证输入的用户名和输入的密码来认证用户。在验证不成功的情况下(步骤s902中的“否”)，处理返回到步骤s901。在步骤s901中，显示验证错误，然后再次显示登录画面1001以请求输入用户名/密码。在用户名/密码验证成功的情况下(步骤s902中的“是”)，识别成功验证的账户。处理进入步骤s903。
[0084]
接着，在步骤s903中，参照用户信息表(表1)中识别出的账户的totp秘密，确定该totp秘密是否被注册。在totp秘密被注册的情况下(步骤s903中的“是”)，确定一次性密码被激活，并且处理进行到步骤s904。在步骤s904中，显示一次性密码输入画面1002以请求一次性密码输入。接着，在步骤s905中，通过将输入的一次性密码与用户认证服务303基于时间信息和totp秘密计算出的一次性密码进行验证，来认证输入的一次性密码。
[0085]
在输入的一次性密码正确的情况下(步骤s905中的“是”)，处理进行到步骤s906。在步骤s906中，执行允许用户登录到mfp 101的处理。另一方面，在一次性密码的验证不成功的情况下(步骤s905中的“否”)，处理返回到步骤s904。在步骤s904中，显示消息以通知用户一次性密码不匹配，并且再次显示一次性密码输入画面1002以请求再次输入一次性密码。在输入错误连续发生预定次数或更多的情况下，确定存在攻击，并且账户被锁定预定时段。
[0086]
在步骤s906中，通过参考用户信息表(表1)和角色信息表(表2)，为被允许登录的用户分配用户的角色和与该角色相关联的权限，并执行控制以允许用户登录到mfp 101。显示用于使用由远程ui 302提供的mfp 101的功能的菜单画面1003，并且登录操作结束。菜单画面1003的显示被控制为使用户无权使用的每个功能都变灰，从而使得用户不能选择该功能。
[0087]
另一方面，在步骤s903中，在确定未注册totp秘密并且未激活一次性密码的情况下(步骤s903中的“否”)，处理进行到步骤s907，并参照存储在hdd 204中的“使用多因素认证(一次性密码)”设置407和识别的账户的角色。
[0088]
在步骤s907中，基于该信息确定尝试登录的账户是否需要使用一次性密码。例如，在设置了“仅要求管理员使用一次性密码”的选项、并通过用户名/密码认证识别的用户账户的角色为管理员的情况下，确定需要使用一次性密码。
[0089]
在不需要使用一次性密码的情况下(步骤s907中的“否”)，处理进行到步骤s906。在步骤s906中，执行允许用户登录到mfp 101的处理。另一方面，在需要使用一次性密码的情况下(步骤s907中的“是”)，处理进行到步骤s908。在步骤s908中，参照存储在hdd 204中的“未注册一次性密码的用户登录”设置408，并检查为未注册一次性密码的用户设置的选项。在设置了“在登录到远程ui时注册一次性密码”的选项的情况下(步骤s908中的“是”)，显示一次性密码激活画面1004。这是对远程访问的响应。然后，处理进行到步骤s909。
[0090]
在步骤s909中，一次性密码激活画面1004请求用户输入一次性密码，用以检查一
次性密码是否由使用移动应用的用户正确生成。接下来，在检测到确认按钮被按下的情况下，对输入的一次性密码进行验证，在一次性密码正确的情况下，将totp秘密记录在用户信息表(表1)中，激活结束。
[0091]
在步骤s910中，确定是否成功激活一次性密码。在确认成功激活一次性密码的情况下(步骤s910中的“是”)，处理进行到步骤s906。在步骤s906中，执行允许用户登录到mfp 101的处理。在检测到用户按下取消按钮以拒绝激活一次性密码的情况下(步骤s910中的“否”)，处理进行到步骤s911。在步骤s911中，再次显示远程ui登录画面1001。在步骤s908中的确定中，在设置了“禁止登录到远程ui(在下次登录到本地ui时在本地ui上设置一次性密码)”的选项的情况下(步骤s908中的“否”)，处理进行到步骤s912。在步骤s912中，错误画面1005显示表示“因为一次性密码未被激活而禁止登录”的消息和表示“建议在操作面板上激活一次性密码”的消息。在错误画面1005关闭的情况下，处理进行到步骤s911。在步骤s911中，再次显示远程ui登录画面1001。
[0092]
《本地ui上激活一次性密码的操作》
[0093]
将参考图11描述在设置了“未注册一次性密码的用户登录”设置408的“禁止登录远程ui(在下次登录本地ui时在本地ui上设置一次性密码)”的选项的情况下登录本地ui 301的操作。
[0094]
在本地ui 301登录成功的情况下(步骤s704中的“是”)，参考用户信息表(表1)中登录账户的totp秘密，并在图7的步骤s706的登录处理中确定一次性密码是否激活。在确定一次性密码未激活的情况下，显示画面806以提示对远程ui 302激活一次性密码。
[0095]
在用户选择“是”的情况下，显示远程ui一次性密码激活画面807。接下来，对输入的一次性密码进行验证，并在一次性密码正确的情况下，将totp秘密记录在用户信息表中(表1)。在确认一次性密码成功激活的情况下，允许用户登录mfp 101，并显示菜单画面803。在用户在本地ui 301上激活一次性密码的情况下，确定在登录远程ui 302时激活了一次性密码，从而用户可以不进入错误画面1005，而进入一次性密码输入画面1002。
[0096]
在提示激活远程ui 302的一次性密码的画面806上选择“否”的情况下，允许用户登录到mfp 101而不显示远程ui一次性密码激活画面807，并显示菜单画面803。存在由于用户不使用远程ui 302而无意向激活远程ui 302的一次性密码的用户。该类型的用户可以在提示激活一次性密码的画面806上选择“不再显示”的选项，且选择的“不再显示”选项存储在用户信息表(表1)中。即使在没有记录totp秘密的情况下，提示激活一次性密码的画面806的显示也被控制为不向已经选择“不再显示”的选项的用户显示画面806。
[0097]
前述参照图11的描述是基于pin由用户设置的情况。在不是由用户设置pin的情况下，pin注册画面804可以改变为提示对远程ui 302激活一次性密码的画面806。
[0098]
《第一示例性实施例的优点》
[0099]
如上所述，根据本示例性实施例的mfp 101可以提供包括ic卡认证和pin的多因素认证，操作次数相对较少，并且极大地方便用户本地访问操作面板205。
[0100]
对于不能使用ic卡认证的远程访问，提供不同于本地访问的多因素认证处理。这增强了mfp 101的安全性，并且用户可以安全地使用远程访问。
[0101]
由于本地访问的需要多因素认证的设置和远程访问的需要多因素认证的设置是分开设置的，因此，可以采用例如需要远程访问多因素认证但不需要本地访问多因素认证
的操作。该操作适用于提供另一种物理手段仅允许有限用户访问操作面板的情况，例如办公室入口管理。以此方式，为安装mfp 101的每个环境设置合适的设置。
[0102]
此外，通过选择相应的设置，可以基于用户的角色来选择是否需要多因素认证。因此，可以采用仅对具有管理员权限的用户应用多因素认证而不对基于权限仅被允许访问有限项目的普通用户应用多因素认证的操作。
[0103]
虽然本地访问和远程访问的用户认证处理不同，但是该配置被设计为使得同一用户可以基于相同的角色和权限使用mfp 101。因此，可以基于相同的权限使用mfp 101的功能，而不受访问处理的差异的影响。
[0104]
该配置被设计为使得管理员可以在多因素认证的第一因素认证成功但未设置多因素认证的第二因素认证的情况下、通过预先设置来选择是拒绝登录还是提示用户设置第二因素认证。
[0105]
尽管管理员进行了需要多因素认证的设置，但是在用户长时间未登录mfp 101而离开mfp 101的情况下，存在多因素认证基本上长时间未被激活的风险。在设置了拒绝没有设置第二因素认证的用户登录的设置的情况下，防止了不正确地获取认证的第一因素(ic卡、密码)的攻击者的未授权登录的风险。
[0106]
在设置了拒绝未设置作为本地访问的多因素认证的第二因素的pin的用户登录的情况下，在需要使用多因素认证的设置被实施之前，需要设置所有用户的pin。在难以设置所有用户的pin的情况下，在还未设置多因素认证的第二因素认证的用户尝试登录的情况下，可以通过设置选择提示用户进行第二因素认证的操作。
[0107]
在远程访问的第二因素认证(一次性密码)未激活的情况下，可以在拒绝通过远程访问登录的同时，通过本地访问激活远程访问的第二因素认证(一次性密码)。
[0108]
以此方式，mfp 101的管理员向用户提供了一种在使用双因素认证安全地保护远程访问的同时、激活远程访问的第二因素认证的方法。
[0109]
根据第一示例性实施例，只有用户可以激活作为远程访问的多因素认证的第二因素的用户的一次性密码。因此，存在这样的风险：在用户激活一次性密码之前，认证保持单因素认证状态。此外，根据第一示例性实施例，远程访问的多因素认证由本地访问激活。但是，远程用户到本地进行设置是不方便的。
[0110]
因此，根据第二示例性实施例，管理员强制激活另一用户的一次性密码。将仅描述本示例性实施例与第一示例性实施例之间的区别。
[0111]
图12示出了用户管理画面，通过该用户管理画面，管理员可以强制激活另一用户的一次性密码。
[0112]
在提供给远程ui 302的用户管理画面501上选择用户账户并按下编辑按钮的情况下，显示用户编辑画面502。将描述“admin”在用户管理画面501上选择“alice”的账户并按下编辑按钮的情况作为示例。在“alice”的账户的一次性密码的状态为“无效”的情况下，用户编辑画面502提供“激活”一次性密码的功能。
[0113]
在远程ui 302检测到按下“激活”按钮的情况下，显示画面504以提示用户选择totp秘密分发方法。可以选择“通过电子邮件通知”或“打印”选项作为画面504上的totp秘密分发方法。
[0114]
在检测到选择“通过电子邮件通知”选项并按下“执行”按钮的操作的情况下，用户
认证服务303生成totp秘密，并发送totp秘密的字符串和qr码的图像发送到“alice”的电子邮件地址。在从电子邮件服务器接收到作为对电子邮件发送的响应结果的发送完成通知的情况下，用户认证服务303将totp秘密存储在用户信息表(表1)中，并在远程ui 302上显示指示激活成功的消息(画面505)。可以采用电子邮件以外的电子通信，例如使用电话号码的短消息服务。在检测到ok按钮的按下的情况下，显示一次性密码的状态从“无效”改为“激活”的用户编辑画面502。在从电子邮件服务器接收到错误作为对电子邮件发送的响应结果的情况下，用户认证服务303丢弃totp秘密，并在远程ui 302上显示指示激活不成功的消息(画面506)。在检测到ok按钮的按下的情况下，显示一次性密码的状态保持为“无效”的用户编辑画面502。
[0115]
图13示出了发送的电子邮件的示例。其中示出了电子邮件的标题部分1301、电子邮件的正文1302和附件部分1303。“alice”可以利用从电子邮件获取的totp秘密的字符串和qr码以及支持totp的移动应用，来生成一次性密码。或者，仅为alice生成用于激活远程ui 302提供的二因素认证的画面的通用资源定位符(url)，并且生成的url通过电子邮件来发送。“alice”访问从邮件中获取的url，并获取totp秘密的字符串和qr码。通过例如只允许在有限的时间内访问该url，可以降低其他人对“alice”的url进行不当访问的风险。
[0116]
另一方面，在检测到在画面504上选择“打印”选项并按下“执行”按钮的操作的情况下，用户认证服务303发布totp秘密，并使用打印机206将totp秘密的字符串和qr码打印在片材上。在打印成功的情况下，totp秘密存储在用户信息表(表1)中，并在远程ui 302上显示指示激活成功的消息(画面505)。在检测到ok按钮被按下的情况下，显示一次性密码的状态从“无效”变为“有效”的用户编辑画面502。在因为打印机206的纸用完而打印不成功的情况下，用户认证服务303丢弃totp秘密，并且在远程ui 302上显示指示激活不成功的消息(画面506)。在检测到ok按钮的按下的情况下，显示一次性密码的状态保持为“无效”的用户编辑画面502。
[0117]
已执行打印的“admin”执行将其上打印有totp秘密的字符串和qr码的片材分发给“alice”的操作。alice可以利用打印在所获得片材上的totp密码的字符串和qr码以及支持totp的移动应用，来生成一次性密码。
[0118]
进一步地，虽然未示出，但是可以选择多个用户账户来一起强制激活所选择的用户账户的一次性密码。在这种情况下，用户认证服务303为多个选择的用户共同生成totp秘密的字符串和qr码的图像，并将所生成的totp秘密的字符串和qr码的图像发送到用户的电子邮件地址，或将生成的totp秘密字符串和qr码的图像打印在一起。
[0119]
《第二示例性实施例的优点》
[0120]
根据第二示例性实施例，管理员强制发布totp秘密，并分发所发布的totp秘密。这降低了在管理员将设置设定为需要多因素认证之后、用户未设置二因素认证而放置其的风险。
[0121]
此外，普通用户无需访问mfp 101和操作ui即可获得totp秘密的字符串和qr码的图像。这很方便。进一步地，由于可以存储电子邮件和片材，因此即使移动终端104丢失，也可以使用另一个移动终端生成一次性密码，并根据totp秘密的字符串和qr码的图像的持有来证明用户的身份。
[0122]
其他示例性实施例
[0123]
根据第一和第二示例性实施例，本地ui 301的第二因素认证和远程ui 302的第二因素认证使用不同的认证方法。更具体地说，前者是pin，后者是支持totp的一次性密码。或者，例如，可以不考虑多个“知识信息”、“持有信息”和“生物特征信息”的组合，而采用多个“持有信息”的组合，并且本地ui 301的第二因素认证可以像在远程ui 302的第二因素认证中那样使用支持totp的一次性密码。这同样适用于第一因素认证。作为结果，可能存在本地ui 301的第一因素认证和远程ui 302的第一因素认证都使用登录id和密码、而本地ui 301的第二因素认证和远程ui 302的第二因素认证使用支持totp的一次性密码的情况。
[0124]
其它实施例
[0125]
本发明的实施例还可以通过如下的方法来实现，即，通过网络或者各种存储介质将执行上述实施例的功能的软件(程序)提供给系统或装置，该系统或装置的计算机或是中央处理单元(cpu)、微处理单元(mpu)读出并执行程序的方法。
[0126]
虽然已经参考示例性实施例描述了本发明，但是应当理解，本发明不限于所公开的示例性实施例。所附权利要求的范围被赋予最广泛的解释以涵盖所有此类修改和等效结构和功能。