能够重新设置安全策略的图像形成装置及其控制方法
【技术领域】
[0001]本发明涉及一种能够重新设置安全策略的图像形成装置及其控制方法、以及存储介质,更具体地,涉及一种用于在网络环境中分发安全策略的技术。
【背景技术】
[0002]期望根据以办公室为单位确定的信息安全策略,来操作连接到例如办公室的网络的个人计算机(PC)以及诸如文件服务器和认证服务器等的服务器装置。信息安全策略是关于整个公司的信息安全的基本策略,其通过编译与信息的使用相关联的策略以及用于防止外部入侵和信息泄露的策略而形成,并且例如由负责安全的管理员来制定。
[0003]连接到办公室的网络的装置的示例不仅包括PC及服务器装置,也包括诸如多功能外围设备等的外围装置。近年的一些多功能外围设备被构造为不仅单纯地打印和发送图像,而且在自身内存储图像数据,并向PC提供文件服务功能,从而起到与网络上存在的其他服务器装置相同的作用。此外,近年来,要安装在多功能外围设备中的应用的开发环境向公众开放,由此与PC的情况类似,使用由第三方开发的应用。
[0004]为了维持安全可靠的办公室环境,与PC及服务器装置类似,还请求各多功能外围设备也遵守信息安全策略。这里提到的遵守信息安全策略是指例如通过使在操作多功能外围设备时必须要求用户认证,来配设对操作的限制,以防止办公室中的多功能外围设备的非授权使用以及信息泄露。
[0005]为了使装置遵守信息安全策略,提出了如下方法:针对PC及服务器装置集中地设置依赖于操作系统(OS)的关于安全性的设置值(下文中,关于安全性的设置值的集合也称为“安全策略”),并且分发设置的安全策略。依赖于OS的关于通信路径的加密的设置值(下文中,各单独的设置值也称为“策略”)的示例包括“许可非SSL连接”,并且,以使由任何厂商提供的PC都遵守信息安全策略的方式来进行统一管理。
[0006]在多功能外围设备中,能够与安全性相关地设置的项目依据各多功能外围设备而不同,因此,无法像PC及服务器装置的情况那样,将依赖于OS的设置值直接作为安全策略来分发。为了应对这种情况,提出了如下系统:基于以设备为单位配设的规则来构造各设备的安全设置,使得安全设置遵守安全策略(参照日本特开2008-219419号公报)。此外,还能够通过从分发服务器集中分发,并且从PC的Web浏览器上显示的画面访问多功能外围设备来单独地设置安全策略。
[0007]在上述传统技术中,主要使用HTTP协作作为用于设置安全策略的通信协议。因此,如果设置了策略“禁止HTTP连接”,则无法从服务器进行安全策略的分发,并且也无法从Web浏览器单独地设置安全策略。通过向各多功能外围设备配设用于从各多功能外围设备的显示屏上改变安全策略的功能,能够应对上述问题。
[0008]然而,也可以预见安全管理员从办公室外部的网络上管理多个设备的情况,并且在这种情况下,难以在所有设备中单独地重新设置安全策略。鉴于这种不便,存在对甚至从远程位置经由网络重新设置安全策略的功能的需求。
【发明内容】
[0009]本发明提供了一种用于安全策略分发的技术,其使得即使在设置了不可重新设置的安全策略时,也能够经由网络来重新设置安全策略。
[0010]在本发明的第一方面中,提供了一种图像形成装置,该图像形成装置包括:接收单元,其被构造为从外部接收访问请求;第一分析单元,其被构造为分析由所述接收单元接收到的所述访问请求;以及控制单元,其被构造为在由所述第一分析单元确定所述访问请求是用于决定对被使得不可重新设置的安全策略的改变的请求的情况下,打开与由所述接收单元当前使用的第一端口不同的第二端口。
[0011]在本发明的第二方面中,提供了一种图像形成装置,该图像形成装置包括:接收单元,其被构造为从外部接收访问请求;第一分析单元,其被构造为分析由所述接收单元接收到的所述访问请求;以及控制单元,其被构造为在由所述第一分析单元确定所述访问请求是用于决定对被使得不可重新设置的安全策略的改变的请求的情况下,从外部获取可重新设置的安全策略。
[0012]在本发明的第三方面中,提供了一种图像形成装置的控制方法,该控制方法包括:接收步骤,从外部接收访问请求;分析步骤,分析在所述接收步骤中接收到的所述访问请求;以及打开步骤,在所述分析步骤确定所述访问请求是用于决定对被使得不可重新设置的安全策略的改变的请求的情况下,打开与在所述接收步骤中当前使用的端口不同的端□。
[0013]在本发明的第四方面中,提供了一种图像形成装置的控制方法,该控制方法包括:接收步骤,从外部接收访问请求;分析步骤,分析在所述接收步骤中接收到的所述访问请求;以及获取步骤,在所述分析步骤中确定所述访问请求是用于决定对被使得不可重新设置的安全策略的改变的请求的情况下,从外部获取可重新设置的安全策略。
[0014]在本发明的第五方面中,提供了一种非暂时性计算机可读存储介质,其存储用于执行图像形成装置的控制方法的计算机可执行程序,其中,所述控制方法包括:接收步骤,从外部接收访问请求;分析步骤,分析在所述接收步骤中接收到的所述访问请求;以及打开步骤,在所述分析步骤中确定所述访问请求是用于决定对被使得不可重新设置的安全策略的改变的请求的情况下,打开与所述接收步骤中当前使用的端口不同的端口。
[0015]在本发明的第六方面中,提供了一种非暂时性计算机可读存储介质,其存储用于执行图像形成装置的控制方法的计算机可执行程序,其中,所述控制方法包括:接收步骤,从外部接收访问请求;分析步骤,分析在所述接收步骤接收到的所述访问请求;以及获取步骤,在所述分析步骤中确定所述访问请求是用于决定对被使得不可重新设置的安全策略的改变的请求的情况下,从外部获取可重新设置的安全策略。
[0016]根据本发明,即使当设置了使安全策略的重新设置无效的策略时,也使用预先设置的紧急端口来访问所述图像形成装置。这使得即使当设置了使安全策略的重新设置无效的策略时,也能够经由网络来重新设置包括该策略的安全策略。
[0017]通过以下参照附图对示例性实施例的描述,本发明的其他特征将变得清楚。
【附图说明】
[0018]图1是示出安装了根据本发明的第一实施例的图像形成装置的网络环境的示例的图。
[0019]图2是图1中出现的图像形成装置的硬件结构的框图。
[0020]图3是图像形成装置的软件结构的框图。
[0021]图4是当客户端PC访问图像形成装置以改变安全策略的设置时、在客户端PC与图像形成装置之间进行的操作的序列图。
[0022]图5是由图像形成装置的HTTP访问控制器进行的HTTP访问控制处理的流程图。
[0023]图6是由图像形成装置的安全策略控制器进行的安全策略控制处理的流程图。
[0024]图7是示出在登录到图像形成装置之前、客户端PC的Web浏览器上显示的登录画面的示例的图。
[0025]图8是示出客户端PC的Web浏览器上显示的设置登记画面的示例的图。
[0026]图9是示出客户端PC的Web浏览器上显示的安全策略设置画面的示例的图。
[0027]图10是示出图像形成装置的HDD中存储的策略数据库的示例的图。
[0028]图11是示出客户端PC的Web浏览器上显示的不能重新设置警告画面的示例的图。
[0029]图12是当在不能够重新设置安全策略的情形下客户端PC访问图像形成装置时、在客户端PC与图像形成装置之间进行的操作的序列图。
[0030]图13是示出客户端PC的Web浏览器上显示的访问失败画面的示例的图。
[0031]图14是当由于不能够重新设置安全策略客户端PC使用紧急端口访问图像形成装置时、在客户端PC与图像形成装置之间进行的操作的序列图。
[0032]图15是示出客户端PC的Web浏览器上显示的用于安全策略设置的登录画面的示例的图。
[0033]图16是由根据本发明的第二实施例的图像形成装置的安全策略控制器进行的安全策略控制处理的流程图