アクセス制限ファイル、制限ファイル生成装置
【課題】管理サーバでのアクセス権の確認を汎用の情報処理装置から依頼可能にするアクセス制限ファイルおよび該アクセス制限ファイルを生成する装置を提供する。
【解決手段】制限ファイル40は暗号化データ41とヘッダ42と自己解凍アプリケーション43を含んで構成される。ヘッダには、この制限ファイルの暗号化データの復号化や復号化後のデータに対する操作(閲覧、ページ移動、印刷、変更、複製)に関するアクセス権の確認先の管理サーバを示す確認先情報(アドレス情報)が含まれる。自己解凍アプリケーションは、任意の情報処理装置にて制限ファイルがダブルクリックされると自己解凍して動作し、ヘッダ内の確認先情報が示す管理サーバにアクセス権を確認する処理を行うプログラムの入手、インストール、起動を行った後、該プログラムに復号化や復号後のデータの監視を行なわせる。
【解決手段】制限ファイル40は暗号化データ41とヘッダ42と自己解凍アプリケーション43を含んで構成される。ヘッダには、この制限ファイルの暗号化データの復号化や復号化後のデータに対する操作(閲覧、ページ移動、印刷、変更、複製)に関するアクセス権の確認先の管理サーバを示す確認先情報(アドレス情報)が含まれる。自己解凍アプリケーションは、任意の情報処理装置にて制限ファイルがダブルクリックされると自己解凍して動作し、ヘッダ内の確認先情報が示す管理サーバにアクセス権を確認する処理を行うプログラムの入手、インストール、起動を行った後、該プログラムに復号化や復号後のデータの監視を行なわせる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号化などによってデータにアクセス制限をかけたアクセス制限ファイルおよび該アクセス制限ファイルを生成する制限ファイル生成装置に関する。
【背景技術】
【0002】
機密情報などの重要データを外部へ持ち出したり配布したりする場合には情報漏洩防止の観点から、一般に、暗号化などによるアクセス制限が行われる。
【0003】
この際、データを単に暗号化するだけでは、暗号鍵を何らかの方法で入手して復号化されると、その後の監視がきかなくなる。また、アクセス制限をかけて配布等した後に、セキュリティレベルを高めたい、あるいはパスワードを変更したいなど、制限情報を変更したい場合も生じ得る。
【0004】
特許文献1には、文書データの印刷制限に関して、上記の問題や要請に配慮したシステムが開示されている。このシステムでは、暗号鍵とプリントを許可するプリンタや文書のID(Identification)などの制限情報とを管理サーバで管理しておき、暗号化文書の印刷を指示されたプリンタが、その暗号化文書の文書IDや当該プリンタのプリンタIDなどを管理サーバに送信して印刷の許否を問い合わせし、許可された場合にのみ管理サーバの有する暗号鍵で暗号化文書を復号化して印刷するようになっている。これにより、プリンタIDや文書IDなどの制限情報でアクセス制限できると共に、管理サーバに登録する制限情報を変更することで、暗号化文書の配布後においても印刷の許否条件を変更することができるようになっている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−309881号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
重要なデータを出張先などに暗号化して持ち出す場合、特許文献1に開示の技術では、暗号化文書を印刷できるのは、管理サーバへのアクセス機能を備えたプリンタのみに限定される。このため、出張先にこの機能を備えたプリンタがなければ、管理サーバに登録されている制限情報(たとえば、印刷を許可するプリンタのプリンタID)を変更できたとしても、暗号化文書を復号化させて印刷することはできない。
【0007】
本発明は、上記の問題を解決しようとするものであり、管理サーバによるアクセス権の判定を汎用の情報処理装置から可能にするアクセス制限ファイルおよび該アクセス制限ファイルを生成する制限ファイル生成装置を提供することを目的としている。
【課題を解決するための手段】
【0008】
かかる目的を達成するための本発明の要旨とするところは、次の各項の発明に存する。
【0009】
[1]アクセス制限されたデータと、前記データに対するアクセス権の確認先の管理サーバを示す確認先情報とを含む
ことを特徴とするアクセス制限ファイル。
【0010】
上記発明では、アクセス制限ファイル自体に、アクセス制限されたデータに対するアクセス権の確認先の管理サーバを示す確認先情報が含まれている。これにより、当該アクセス制限ファイルを使用するユーザや情報処理装置が確認先の管理サーバを既知でない場合であっても、指定された管理サーバにアクセス権の確認を依頼することができ、セキュリティを確保しつつアクセス制限ファイルを汎用の情報処理装置で利用可能になる。
【0011】
[2]前記確認先情報が示す管理サーバに前記確認を依頼する処理を通信機能付きの情報処理装置に行わせるプログラム、もしくは前記情報処理装置に前記プログラムを入手する処理を行わせる入手プログラムをさらに含む
ことを特徴とする[1]に記載のアクセス制限ファイル。
【0012】
上記発明では、アクセス制限ファイルに付加されているプログラムもしくは、付加されている入手プログラムによって入手したプログラムによって通信機能付きの情報処理装置にアクセス権の確認を依頼する処理を行わせることができる。これにより、アクセス制限ファイルに対応したプログラムをユーザが用意する必要がなく、対応プログラムがインストールされていない情報処理装置においてもアクセス制限ファイルの利用が可能になる。すなわち、アクセス制限ファイルさえ有れば、任意の情報処理装置でアクセス制限ファイルのアクセス権の確認を依頼することが可能になる。
【0013】
[3]前記プログラムは、前記データに対して所定の操作を行う要求を受けたとき、前記管理サーバに対して前記確認を依頼し、アクセス権が確認された場合は前記データに対する前記操作を許可し、アクセス権が確認されない場合は前記データに対する前記操作を禁止するように前記情報処理装置を動作させるものである
ことを特徴とする[2]に記載のアクセス制限ファイル。
【0014】
上記発明では、アクセス制限ファイル内のデータに対する操作の許可・禁止にかかわる監視動作が、アクセス制限ファイルに付加されているプログラムもしくは付加されている入手プログラムによって入手したプログラムによって行われる。操作毎にアクセス権を確認するので、一度の確認でその後はアクセス自由とする場合に比べて、高いセキュリティを確保することができる。
【0015】
[4]前記プログラムは、前記操作が所定時間継続されたとき、前記確認を再度依頼し、アクセス権が確認された場合は前記データに対する前記操作の継続を許可し、アクセス権が確認されない場合は前記データに対する前記操作の継続を禁止するように前記情報処理装置を動作させるものである
ことを特徴とする[3]に記載のアクセス制限ファイル。
【0016】
上記発明では、操作が所定時間継続された場合に、アクセス権の確認が再度行われる。所定時間の経過毎にアクセス権を確認するので、一度の確認でその後はアクセス自由とする場合に比べて、高いセキュリティを確保することができる。
【0017】
[5]前記操作は、前記データの閲覧開始、前記データにおける閲覧ページの変更、前記データの更新、前記データの印刷、前記データの複製の少なくとも1つである
ことを特徴とする[3]に記載のアクセス制限ファイル。
【0018】
上記発明では、データの閲覧開始、閲覧ページの移動、データの更新、
印刷、複製などの操作に係る要求が発生する毎にアクセス権が確認される。
【0019】
[6]前記プログラムは、前記確認に使用される照合情報を入力し、該入力された照合情報を付加して前記依頼を行うように前記情報処理装置を動作させるものである
ことを特徴とする[2]乃至[5]のいずれか1つに記載のアクセス制限ファイル。
【0020】
上記発明では、アクセス制限ファイルの使用に際して、アクセス権の確認に使用される照合情報の入力が求められる。たとえば、当該アクセス制限ファイルを使用するユーザのユーザID、パスワード、情報処理装置の装置IDなどが照合情報にされる。
【0021】
[7]前記アクセス制限データは暗号化データである
ことを特徴とする[1]乃至[6]のいずれか1つに記載のアクセス制限ファイル。
【0022】
上記発明では、アクセス制限データは暗号化によりセキュリティが確保される。アクセス権が確認された場合には、たとえば、管理サーバから復号鍵が提供されてアクセス制限が解除される。また、閲覧や印刷などの操作に対する監視は、復号後のデータをアクセス制限ファイルに付加されているプログラムもしくは付加されている入手プログラムによって入手したプログラムの監視下に置くことによって行われる。
【0023】
[8]アクセス制限されたデータと、前記データに対するアクセス権の確認先の管理サーバを示す確認先情報とを含むアクセス制限ファイルを生成する生成部、
を有する
ことを特徴とする制限ファイル生成装置。
【0024】
上記発明では、アクセス制限されたデータと、このデータに対するアクセス権の確認先の管理サーバを示す確認先情報とを含むアクセス制限ファイルが生成される。これにより、当該アクセス制限ファイルを使用するユーザや情報処理装置が確認先の管理サーバを既知でない場合であっても、指定された管理サーバにアクセス権の確認を依頼することができ、セキュリティを確保しつつアクセス制限ファイルを汎用の情報処理装置で利用可能になる。
【0025】
[9]前記アクセス権を確認するための条件情報を前記管理サーバに登録する条件登録部をさらに有する
ことを特徴とする[8]に記載の制限ファイル生成装置。
【0026】
上記発明では、アクセス制限ファイルに対するアクセス権を確認するための条件情報が管理サーバに登録される。条件情報は、アクセス権有無の判断基準となるものであり、たとえば、使用ユーザを制限する場合は使用可能なユーザの情報、使用端末を制限する場合は使用可能な端末の情報、使用期間を制限する場合は使用可能な期間を示す情報、使用可能な操作を制限する場合は使用可能とする操作の情報が条件情報として登録される。
【0027】
[10]前記生成部は、前記確認先情報を使用して前記管理サーバに前記確認を依頼する処理を通信機能付きの情報処理装置に行わせるプログラム、もしくは前記情報処理装置に前記プログラムを入手する処理を行わせる入手プログラムをさらに前記アクセス制限ファイルに含める
ことを特徴とする[8]または[9]に記載の制限ファイル生成装置。
【0028】
上記発明では、アクセス制限ファイルに付加するプログラムもしくは付加した入手プログラムによって入手されたプログラムによって通信機能付きの情報処理装置にアクセス権の確認を依頼する処理を行わせることができる。これにより、アクセス制限ファイルに対応したプログラムをユーザが用意する必要がなく、対応プログラムがインストールされていない情報処理装置においてもアクセス制限ファイルの利用が可能になる。すなわち、アクセス制限ファイルさえ有れば、任意の情報処理装置でアクセス制限ファイルのアクセス権を確認して利用することが可能になる。
【0029】
[11]前記プログラムは、前記データに対して所定の操作を行う要求を受けたとき、前記管理サーバに対して前記確認を依頼し、アクセス権が確認された場合は前記データに対する前記操作を許可し、アクセス権が確認されない場合は前記データに対する前記操作を禁止するように前記情報処理装置を動作させるものである
ことを特徴とする[10]に記載の制限ファイル生成装置。
【0030】
上記発明では、アクセス制限ファイル内のデータに対する操作の許可・禁止にかかわる監視動作が、アクセス制限ファイルに付加されているプログラムもしくは付加されている入手プログラムによって入手したプログラムによって行われる。操作毎にアクセス権を確認するので、一度の確認でその後はアクセス自由とする場合に比べて、高いセキュリティを確保することができる。
【0031】
[12]前記プログラムは、前記操作が所定時間継続されたとき、前記確認を再度依頼し、アクセス権が確認された場合は前記データに対する前記操作の継続を許可し、アクセス権が確認されない場合は前記データに対する前記操作の継続を禁止するように前記情報処理装置を動作させるものである
ことを特徴とする[11]に記載の制限ファイル生成装置。
【0032】
上記発明では、操作が所定時間継続された場合に、アクセス権の確認が再度行われる。所定時間の経過毎にアクセス権を確認するので、一度の確認でその後はアクセス自由とする場合に比べて、高いセキュリティを確保することができる。
【0033】
[13]前記操作は、前記データの閲覧開始、前記データにおける閲覧ページの変更、前記データの更新、前記データの印刷、前記データの複製の少なくとも1つを含む
ことを特徴とする[11]に記載のアクセス制限ファイル。
【0034】
上記発明では、データの閲覧開始、閲覧ページの移動、データの更新、
印刷、複製などの操作に係る要求が発生する毎にアクセス権が確認される。
【0035】
[14]前記プログラムは、前記確認に使用される照合情報を入力し、その入力された照合情報を付加して前記依頼を行うように前記情報処理装置を動作させるものである
ことを特徴とする[10]乃至[13]のいずれか1つに記載の制限ファイル生成装置。
【0036】
上記発明では、アクセス制限ファイルの使用に際して、アクセス権の確認に使用される照合情報の入力が求められる。たとえば、当該アクセス制限ファイルを使用するユーザのユーザID、パスワード、情報処理装置の装置IDなどが照合情報にされる。
【0037】
[15]前記アクセス制限されたデータは暗号化データであり、
前記生成部は、平文を暗号化して前記暗号化データを生成する
ことを特徴とする[8]乃至[14]のいずれか1つに記載の制限ファイル生成装置。
【0038】
上記発明では、アクセス制限データは暗号化によりセキュリティが確保される。アクセス権が確認された場合には、たとえば、管理サーバから復号鍵が提供されてアクセス制限が解除される。また、閲覧や印刷などの操作に対する監視は、復号後のデータをアクセス制限ファイルに付加されているプログラムもしくは付加されている入手プログラムによって入手したプログラムの監視下に置くことによって行われる。
【発明の効果】
【0039】
本発明に係るアクセス制限ファイルおよび制限ファイル生成装置によれば、アクセス制限ファイルにアクセス権の確認先情報を含めたので、この確認先情報に基づいて汎用の情報処理装置から管理サーバにアクセス権の有無を問い合わせてデータを利用することが可能になる。
【図面の簡単な説明】
【0040】
【図1】本発明の実施の形態に係わる印刷システムのシステム構成例を示す説明図である。
【図2】本発明の実施の形態に係る画像形成装置の概略構成を示すブロック図である。
【図3】端末装置の概略構成を示すブロック図である。
【図4】本発明の実施の形態に係る制限ファイルのデータ構成を示す説明図である。
【図5】端末装置と画像形成装置との間で通信される各種信号のデータ構造を示す説明図である。
【図6】各種信号の各領域に格納される情報の詳細を示す説明図である。
【図7】端末装置からのコピー操作要求に応じて制限ファイルを生成する際の画像形成装置の動作を示す流れ図である。
【図8】管理テーブルのデータ構成を示す説明図である。
【図9】図7の動作に対応したシーケンス図である(ステップS102;Noの場合)。
【図10】図7の動作に対応したシーケンス図である(ステップS103;Noの場合)。
【図11】図7の動作に対応したシーケンス図である(ステップS103;Yesの場合)。
【図12】MFPドライバの印刷設定画面を示す正面図である。
【図13】MFPドライバのプロパティ画面を示す正面図である。
【図14】MFPドライバの操作許可条件設定画面を示す正面図である。
【図15】ケース2の暗号化において端末装置が行う動作を示す流れ図である。
【図16】ケース2の暗号化において画像形成装置が行う動作を示す流れ図である。
【図17】図15、図16に係る動作に対応したシーケンス図である。
【図18】制限ファイルの利用時に情報処理装置で行われる処理を示す流れ図である。
【図19】復号鍵要求を端末装置から受信した管理サーバの動作を示す流れ図である。
【図20】情報処理装置で行われる該当アプリケーションのインストール要求処理を示す流れ図である。
【図21】インストール要求を端末装置から受信した管理サーバの動作を示す流れ図である。
【図22】図18の処理において該当アプリケーションがインストールされていない場合(ステップS407;No)の動作に対応するシーケンス図である。
【図23】図22の続きを示すシーケンス図である。
【図24】図18の処理において該当アプリケーションがインストール済みの場合(ステップS407;Yes)の動作に対応するシーケンス図である。
【図25】図24の続きを示すシーケンス図である。
【図26】復号データに対する操作を監視するアプリケーションプログラムの動作を示す流れ図である。
【図27】継続確認要求を端末装置から受信した管理サーバの動作を示す流れ図である。
【図28】図26、図27で確認結果がアクセス権ありの場合の動作に対応するシーケンス図である。
【図29】図26、図27で確認結果がアクセス権なしの場合の動作に対応するシーケンス図である。
【図30】図26、図27で通信障害などによりCommand信号5に対するResult信号5を受信できなかった場合の動作に対応するシーケンス図である。
【図31】復号データに対する操作を監視するアプリケーションプログラムの動作のうち操作要求発生に伴う処理(図26のステップS503に対応する処理)の流れを示している。
【図32】図31の動作に対応するシーケンス図である。
【発明を実施するための形態】
【0041】
以下、図面に基づき本発明の実施の形態を説明する。
【0042】
図1は、本発明の実施の形態に係る画像形成装置20を含む印刷システム2の構成例を示している。印刷システム2は、制限ファイル生成装置および管理サーバとしての機能を含む画像形成装置20とパーソナルコンピュータなど端末装置10とをネットワークに接続して構成される。この例では、第1LAN(Local Area Network)3に画像形成装置20a、20bと端末装置10aが接続され、第2LAN4に画像形成装置20c、20dと端末装置10bが接続され、第1LAN3と第2LAN4はインターネットなどのWAN(Wide Area Network)5を介して接続されている。
【0043】
画像形成装置20は、原稿画像を光学的に読み取ってその複製画像を記録紙に印刷するコピー機能、読み取った原稿の画像データをファイルにして保存したり外部端末へ送信したりするスキャン機能、パーソナルコンピュータなどの外部端末から受信した印刷ジョブに係る画像を記録紙上に形成して出力する印刷機能、画像データを送受信するファクシミリ機能などを備えた、一般に複合機と称される装置である。なお、以後、画像形成装置20をMFPとも呼ぶものとする。
【0044】
画像形成装置20にはそれぞれ固有の装置ID(Identification)が与えられている。図1の例では、画像形成装置20a(MFP1)の装置IDは「A−20−001」、画像形成装置20b(MFP2)の装置IDは「A−20−002」、画像形成装置20c(MFP3)の装置IDは「A−30−001」、画像形成装置20d(MFP4)の装置IDは「A−30−002」となっている。これらの装置IDにより、その画像形成装置で利用可能なMFPドライバを特定可能となっている。
【0045】
画像形成装置20はさらに、自機に保存されている画像データあるいは端末装置10等の外部装置から送られてきたデータを暗号化すると共に、該暗号化により得たデータ(暗号化データと呼ぶ。)に、その復号化や復号化後のデータに対する各種の操作(閲覧開始、閲覧ページの移動(ページ変更)、印刷、変更、複製など)を制限するための情報を付加した制限ファイル40を生成する制限ファイル生成装置としての機能を備えている。
【0046】
制限ファイル40は画像形成装置20から端末装置10へ出力されてその出力先の端末装置10で利用されるほか、たとえば、リムーバブルの記憶媒体であるUSB(Universal Serial Bus)メモリ6に記憶して外部へ持ち出して使用される。制限ファイル40は、外部へ持ち出されたような場合でも、セキュリティを確保しつつ任意の外部端末で利用可能となるデータ構成を備えている。
【0047】
詳細には、制限ファイル40は、暗号化データ41と、ヘッダ42と、自己解凍型のプログラムである自己解凍アプリケーション43とを含むデータ構成を備えている。ヘッダ42には、暗号化データ41の復号化や復号化後のデータに対するアクセス権の確認先の管理サーバを示す確認先情報(たとえば、アドレス情報)が登録されている。本実施の形態では、制限ファイル40を生成した画像形成装置20がその制限ファイル40のアクセス権を確認する管理サーバの機能を果たすようになっている。
【0048】
制限ファイル40に含まれる自己解凍アプリケーション43は、当該制限ファイル40に対してダブルクリックなどの所定操作が任意の通信機能付き情報処理装置で行われると自己解凍して動作するプログラムである。自己解凍後の自己解凍アプリケーション43は、ヘッダ42に含まれているアドレス情報が示す管理サーバに対して、暗号化データ41の復号化や復号化後のデータに対する各種操作の実行権(アクセス権)の確認を依頼する処理を、自己解凍アプリケーション43がロードされている通信機能付きの情報処理装置に行わせる機能を果たす。
【0049】
制限ファイル40の利用形態には、たとえば、第1LAN3に接続された端末装置10aからの依頼に基づいて画像形成装置20aで暗号化して生成した制限ファイル40を画像形成装置20aから端末装置10aに出力し(P1)、これをUSBメモリ6に入れて持ち出し(P2)、第2LAN4に接続された端末装置10bで該制限ファイル40の復号化や復号化後のデータに対する各種操作を行うといったものがある。この場合、端末装置10bにて制限ファイル40がダブルクリックされると、自己解凍アプリケーション43は、自己解凍した後、ヘッダ42に含まれる確認先情報(アドレス情報)を読み出し、この確認先情報が示す管理サーバ(画像形成装置20a)に対してアクセス権の有無の確認を依頼するように端末装置10bを動作させる(P3)。管理サーバとしての画像形成装置20aはアクセス権が有ることを確認した場合は端末装置10bに対して復号鍵を送信する(P4)。この復号鍵を受信した端末装置10bはこれを使用して暗号化データ41を復号化し、このデータに基づく印刷などを行う(P5)。
【0050】
図2は、画像形成装置20の概略構成を示すブロック図である。画像形成装置20は、当該画像形成装置20の動作を統括制御する制御部としてのCPU(Central Processing Unit)21にバス22を介して、ROM(Read Only Memory)23と、RAM(Random Access Memory)24と、ハードディスク装置25と、不揮発メモリ26と、操作表示部27と、認証部28と、ファクシミリ通信部31と、ネットワーク通信部32と、画像処理部33と、スキャナ部34と、プリンタ部35とを接続して構成される。
【0051】
ROM23には各種のプログラムが格納されており、これらのプログラムに従ってCPU21が処理を実行することにより画像形成装置20としての各機能が実現される。RAM24はCPU21がプログラムを実行する際に各種のデータを一時的に格納するワークメモリや画像データを格納する画像メモリ、送受信に係るデータを一時的に保存する通信バッファなどとして使用されるランダム・アクセス・メモリである。
【0052】
ハードディスク装置25は不揮発かつ大容量の記憶装置である。ハードディスク装置25には、管理サーバとしての機能にかかわる各種データを登録するための管理テーブル37が記憶される。また、ユーザ別やグループ別に管理される記憶領域であるボックス38が作成される。ボックスには、画像データなどが保存される。ボックスへのアクセスはパスワードなどにより制限される。
【0053】
不揮発メモリ26は、電源をオフしてもその記憶内容が保持される書き換え可能なメモリである。不揮発メモリ26には、データを暗号化して制限ファイル40を生成する場合にその暗号化対象データの所在情報(ファイルパス情報)などが記憶される。このほか不揮発メモリ26には、画像形成装置20に対して設定された各種の設定内容、ユーザ情報、ユーザの認証情報、装置ID、システム情報、当該画像形成装置20のアドレス情報(管理サーバとしてのIP(Internet Protocol)アドレスやURL(Uniform Resource Locator))、当該画像形成装置20と通信を行うために必要なアプリケーションプログラム(MFPドライバ)の名称やバージョン情報などが記憶される。
【0054】
操作表示部27は、液晶ディスプレイ(LCD…Liquid Crystal Display)と、その画面上に設けられて押下された座標位置を検出するタッチパネル、テンキー、スタートボタンなどの各種操作スイッチで構成され、各種の操作画面や設定画面、案内画面、警告画面などを表示する機能およびユーザから各種の操作を受け付ける機能を果たす。たとえば、操作表示部27からユーザIDとパスワードの入力を受け、これらを予め登録されているユーザ認証情報と照合することでユーザ認証を行う。このほか、画像形成装置20の近くに居るユーザが所持する個人認証用無線カードと交信して該カードからユーザ情報を読み出すことによってユーザ認証を行うなどの構成でもかまわない。
【0055】
ファクシミリ通信部31は、ファクシミリ送信やファクシミリ受信のための通信制御、発呼(ダイアル)、着呼、電話回線との接続などを行う。
【0056】
ネットワーク通信部32は、LANなどのネットワークを介して他の画像形成装置20や端末装置10と通信して各種のデータや情報を送受信する機能を果たす。
【0057】
画像処理部33は、端末装置10から受信した印刷データをイメージデータ(ビットマップデータ)に変換するラスタライズ処理、画像データの圧縮処理や伸張処理、データの暗号化や復号化処理、画像の回転処理などを行う機能を備えている。
【0058】
スキャナ部34は、原稿を光学的に読み取って画像データを取得する機能を果たす。スキャナ部34は、たとえば、原稿に光を照射する光源と、その反射光を受けて原稿を幅方向に1ライン分読み取るラインイメージセンサと、ライン単位の読取位置を原稿の長さ方向に順次移動させる移動手段と、原稿からの反射光をラインイメージセンサに導いて結像させるレンズやミラーなどからなる光学経路、ラインイメージセンサの出力するアナログ画像信号をデジタルの画像データに変換する変換部などを備えて構成される。
【0059】
プリンタ部35は、画像データに応じた画像を記録紙に印刷する機能を果たす。ここでは、記録紙の搬送装置と、感光体ドラムと、帯電装置と、レーザーユニットと、現像装置と、転写分離装置と、クリーニング装置と、定着装置とを有し、電子写真プロセスによって画像形成を行う、所謂、レーザープリンタとして構成されている。他の方式のプリンタであっても構わない。
【0060】
図3は、端末装置10の構成例を示している。端末装置10は、汎用のPC(Personal Computer)に所定のプログラムをインストールして構成される。端末装置10は、CPU51にバス52を介して、ROM53と、RAM54と、ネットワークI/F部55と、操作部56と、表示装置57と、ハードディスク装置58と、不揮発メモリ59などを接続して構成される。
【0061】
ROM53には、CPU51によって実行される起動プログラムや各種の固定データが記憶されている。不揮発メモリ59には、当該端末装置10を使用するユーザのユーザ情報やユーザID、ユーザの認証情報、当該端末装置10の識別情報(端末ID)、IPアドレスなどが記憶される。
【0062】
また、ハードディスク装置58には、OS(Operating System)プログラム61のほか、該OS上で動作する各種のアプリケーション・プログラム62、MFPドライバ63などが記憶されている。MFPドライバ63やアプリケーション・プログラム62は実行時にはハードディスク装置58から読み出されてRAM54に展開され、CPU51はRAM54上に展開されたそれらのプログラムを実行する。
【0063】
操作部56は、キーボード、マウス(ポインティングデバイス)などで構成され、ユーザから文書の入力操作、印刷対象や暗号化対象となるデータやファイルの指定や処理の実行指示などを受ける。表示装置57は、液晶ディスプレイなどで構成され、MFPドライバ63やアプリケーション・プログラム62、OSプログラム61によって作成された表示データに従って操作画面、設定画面、警告画面など各種画面を表示する機能を果たす。ネットワークI/F部55はLAN3、4などのネットワークを通じて画像形成装置20や他の端末装置10などと各種のデータを送受信する機能を果たす。
【0064】
端末装置10では、制限ファイル40に対してダブルクリックなどの起動操作を受けたとき、OSプログラム61が制限ファイル40に含まれている自己解凍アプリケーション43を起動し、その自己解凍を行わせ、さらに、その自己解凍後のプログラムの実行をCPU51に行わせるように制御する。また、アプリケーション・プログラム62をCPU51が実行することにより、文書や画像などの閲覧や印刷、複製、更新などの操作の受付や該操作に対応する動作が行われる。自己解凍後の自己解凍アプリケーション43は、アプリケーション・プログラム62の動作を監視している。詳細には、制限ファイル40を復号化して得たデータに対して閲覧や各種の操作がアプリケーション・プログラム62を通じて行われる状況を監視し、閲覧や操作に対するアクセス権の有無をヘッダ42に含まれる確認先情報が示す管理サーバに問い合わせて確認する処理を行う。
【0065】
図4は、制限ファイル40のデータ構成をより詳細に示している。ヘッダ42には、(1)この制限ファイル40の生成を画像形成装置20に依頼したユーザの識別情報(ユーザID)と、(2)この制限ファイル40を生成した画像形成装置20の識別情報(装置ID)と、(3)確認先情報の示す管理サーバと通信を行うためのアプリケーションプログラムに関する情報(アプリケーション情報)と、(4)この制限ファイル40に対するアクセス権の確認先情報と、(5)制限ファイルID、が登録されている。
【0066】
装置IDは、会社コードを示す第1属性と、機種コードを示す第2属性と、製番コードを示す第3属性とから構成される。たとえば、「A−20−001」の装置IDでは、第1属性が「A」、第2属性が「20」、第3属性が「001」となっている。装置IDのデータ構成はこれに限定されるものではない。
【0067】
アプリケーション情報は、ここでは、この制限ファイル40を生成した画像形成装置20に対応したMFPドライバを示す情報(ドライバ名やバージョン)である。確認先情報はこの制限ファイル40を生成した画像形成装置20のネットワーク上のアドレス情報である。たとえば、HTTP(Hyper Text Transfer Protocol)プロトコルでのURLやIPアドレスが確認先情報として登録される。
【0068】
制限ファイルIDは、画像形成装置20が当該制限ファイル40に対して与えた識別情報である。
【0069】
自己解凍アプリケーション43は自己解凍した後、以下の処理を行う。
(1)制限ファイル40のヘッダ42を解析する。
(2)自己解凍の実行された端末装置10にヘッダ42内のアプリケーション情報が示すアプリケーションプログラム(MFPドライバ)が存在するか否かをレジストリなどでチェックする。
(3)ヘッダ42内のアプリケーション情報が示すアプリケーションプログラム(MFPドライバ)が自己解凍アプリケーション43の実行された端末装置10に存在しない場合は該アプリケーションプログラムを入手してインストールする。
(4)ヘッダ42内のアプリケーション情報が示すアプリケーションプログラム(MFPドライバ)を起動する。
【0070】
なお、起動されたアプリケーションプログラム(MFPドライバ)は、以下の処理を行う。
(1)ヘッダ42内の確認先情報(アドレス情報)が示す管理サーバ(画像形成装置20)にアクセス権の確認を要求する。
(2)アクセス権が確認された場合は画像形成装置20から復号鍵を受信し、該復号鍵で暗号化データ41を復号化し、その後、復号鍵を削除する。
(3)復号化後のデータに対する操作を監視し、何らかの操作が要求されたら、その操作に対するアクセス権を管理サーバに確認する。
(4)操作が継続する場合は、一定時間の経過毎にアクセス権を管理サーバに確認する。
(5)アクセス権が確認されない場合(通信断なども含む)は、復号化や復号化後のデータに対する操作を禁止し、復号化後のデータは削除する。
【0071】
図5は、端末装置10と画像形成装置20との間の通信で使用されるCommand信号等のデータ構造を例示している。Command信号は、Header71と、IdenticalCode72と、パラメータ73と、付属データ74とから構成される。Command信号は端末装置10から画像形成装置20へ送信する信号である。Command信号に対する処理結果はResult信号として画像形成装置20から端末装置10へ送信される。Result信号もCommand信号と同様のデータ構造になっている。暗号化対象のデータや制限ファイル40、復号鍵といった送信対象のデータは付属データ74の領域に埋め込まれて送信される。
【0072】
端末装置10から送信するデータを暗号化して制限ファイル40を生成する処理を画像形成装置20に依頼するCommand信号を送信する場合の通信シーケンスは以下のようになる。
【0073】
(1)端末装置10で暗号化対象のデータを含むCommand信号を作成して画像形成装置20へ送信する。
(2)画像形成装置20は該Command信号を受信して解析する。
(3)画像形成装置20はCommand信号に対するAck信号を作成して端末装置10へ送信する。
(4)端末装置10はAck信号を受信して解析する。
(5)画像形成装置20はCommand信号に対する処理(ここでは制限ファイル40の作成)を行う。
(6)画像形成装置20は処理結果の制限ファイル40を含むResult信号を作成して端末装置10に送信する。
(7)端末装置10はResult信号を受信して解析する。
なお、Ack信号は、Command信号を受信したことを画像形成装置20から端末装置10へ通知する信号である。
【0074】
図6は、Command信号等の信号の各領域に格納される情報の詳細を示している。Header71は当該信号(パケット)の属性(種類)を示す。IdenticalCode72は、Header71の示す属性(種類)をもつ信号の中での細分類を示す。たとえば、オペレーションの種類を示す。Ack信号においてIdenticalCode72は、どのオペレーションに係るCommand信号に対するAck信号であるかを示す。Result信号においてIdenticalCode72は、どのオペレーションに係るCommand信号に対するResutl信号であるかを示す。パラメータ73は、Result信号における通信結果内容(正常、エラーの種類など)を示している。付属データ74の領域には送信対象にされる各種のデータ(暗号化対象のデータ、制限ファイル40、復号鍵、アプリケーションプログラムなど)が格納される。
【0075】
次に、制限ファイル40を生成する場合の動作について説明する。
【0076】
制限ファイル40を生成する動作には、画像形成装置20のボックスなどに保存されているデータを暗号化し制限ファイル40にして端末装置10へ出力する動作(ケース1)と、端末装置10から暗号化対象のデータを画像形成装置20に送信し、画像形成装置20でこれを暗号化して生成した制限ファイル40を端末装置10へ返信する動作(ケース2)がある。以下それぞれのケースについて説明する。
【0077】
<ケース1>
端末装置10からのコピー操作要求(もしくは移動操作要求)に基づいて、画像形成装置20のボックス38に保存されているデータを暗号化し、その暗号化データを含む制限ファイル40を生成しこれを要求元の端末装置10へ出力する、という動作が行われる。ボックスデータを制限ファイル40にすることで外部に持ち出してもそのセキュリティが確保される。
【0078】
図7は、端末装置10からのコピー操作要求に応じて制限ファイル40を生成する際の画像形成装置20の動作の流れを示している。端末装置10は、MFPドライバ63を通じてユーザから操作対象のデータの指定をボックス名とファイル名などで受け付けた後にコピー操作の実行指示を受けると、該指定内容を含むコピー操作要求を画像形成装置20へ送信する。コピー操作要求には当該操作要求を行ったユーザのユーザIDが含まれる。画像形成装置20は、端末装置10からコピー操作要求を受信すると(ステップS101;Yes)、該コピー操作要求で指定されている操作対象のデータが重要データか否かを判断する(ステップS102)。なお、重要データか否かを示す情報は予めそのデータのヘッダや管理情報として登録されている。重要データか否かを示す情報はボックスの所有者あるいはボックスにデータを入れたユーザが任意に設定登録できるようになっている。
【0079】
画像形成装置20のCPU21は、操作対象のデータが重要データでない場合は(ステップS102;No)、該操作対象のデータをボックスから読み出し、この読み出したデータを当該コピー操作要求の要求元の端末装置10へ送信して(ステップS112)処理を終了する。
【0080】
画像形成装置20のCPU21は、操作対象のデータが重要データの場合は(ステップS102;Yes)、そのデータが暗号化済み(制限ファイル40に変換済み)か否かを調べる(ステップS103)。暗号化済みの場合は(ステップS103;Yes)、その暗号化済みのデータである制限ファイル40を当該コピー操作要求の要求元の端末装置10へ送信して(ステップS111)処理を終了する。
【0081】
画像形成装置20のCPU21は、操作対象のデータが暗号化済みでない場合は(ステップS103;No)、操作対象のデータとそのファイルパス情報とを取得し(ステップS104)、該ファイルパス情報を不揮発メモリ26に保存する(ステップS105)。そして操作対象のデータを暗号化する(ステップS106)。
【0082】
次に、制限ファイル40のヘッダ42の作成に必要な情報を収集・取得する(ステップS107)。たとえば、ヘッダ42に含めるユーザIDは、端末装置10からのコピー操作要求に含まれているものを使用する。装置IDやアプリケーション情報(MFPドライバ名、バージョン情報など)、確認先情報(アドレス情報…IPアドレスやURL)は、自装置の不揮発メモリ26から読み出して取得する。
【0083】
CPU21はこれら収集・取得した情報に基づいてヘッダ42を作成し、該ヘッダ42とステップS106で暗号化した暗号化データ41と所定の自己解凍アプリケーション43とを含む制限ファイル40を生成する(ステップS108)。なお、自己解凍アプリケーション43は予めハードディスク装置25あるいはROM23に保存されており、これをコピーしたものを制限ファイル40に含めるようになっている。
【0084】
次に画像形成装置20のCPU21は、この生成した制限ファイル40に関する管理情報を管理テーブル37に登録する(ステップS109)。管理テーブル37には、図8に示すように、制限ファイル40を特定するための識別情報である制限ファイルIDに対応つけて、該制限ファイル40のヘッダ42に登録したものと同じユーザIDおよび装置IDと、当該制限ファイル40に含まれる暗号化データ41の復号鍵と、アクセス権を確認する際に使用する条件情報が登録される。
【0085】
条件情報には、アクセスを許可するユーザ(許可ユーザ)の識別情報(ユーザID)、アクセスを許可する情報処理装置や端末装置(許可端末)の識別情報(端末ID)、アクセスを許可する操作(許可操作)の識別情報(操作名や操作ID)、アクセスを許可する期間(許可期間)などがある。許可ユーザ、許可端末、許可期間などは許可操作別に設定可能にされてもよい。許可期間は、年月日時分などによる絶対指定でもよし、たとえば、最初のアクセスから3日間などのように、ある基点からの相対的な期間であってもよい。
【0086】
図7に戻って説明を続ける。画像形成装置20のCPU21は、ステップS105で不揮発メモリ26に保存したファイルパス情報が示すファイルパスにステップS108で生成した制限ファイル40を保存し(ステップS110)、該制限ファイル40を当該コピー操作要求の要求元の端末装置10へ送信して(ステップS111)処理を終了する。
【0087】
図9、図10、図11は、図7に係る動作をシーケンスで表わしたものである。図9は、操作対象のデータが重要データではない場合(図7のステップS102;Noの場合)のシーケンスを示している。図10は、操作対象のデータが重要データであり、かつ暗号化済みでない場合(図7のステップS103;Noの場合)のシーケンスを示している。図11は、操作対象のデータが重要データであり、かつ暗号化済みの場合(図7のステップS103;Yesの場合)のシーケンスを示している。
【0088】
なお、データをボックスから端末装置10へ移動する移動操作要求の場合にもコピー操作要求の場合と同様の動作およびシーケンスとなる。
【0089】
<ケース2>
端末装置10から暗号化対象のデータを画像形成装置20に送信し、画像形成装置20でこれを暗号化して制限ファイル40を生成し、この制限ファイル40を端末装置10へ送信するという動作が行われる。ケース2の場合、端末装置10のアプリケーション・プログラム62にて印刷に関する指示を行うと自動的にMFPドライバが起動され、該MFPドライバが提供する操作入力画面において、暗号化に関する各種の設定や実行指示が行われる。
【0090】
図12(a)は、端末装置10のCPU51が表示装置57に表示させるMFPドライバの印刷設定画面80を示している。ここで当該端末装置10に複数種類のMFPドライバがインストールされている場合には、ドライバ指定欄81にデフォルトのMFPドライバが初期表示される。デフォルト設定されているMFPドライバに対応する画像形成装置20以外の画像形成装置20で暗号化処理(制限ファイル40の生成処理)を実行させたい場合は、図12(b)に示すようにプルダウン釦82を操作すると、インストール済みのMFPドライバのリスト83が表示され、その中から選択を受けると、その選択されたMFPドライバに切り替わるようになっている。
【0091】
次に、ユーザは暗号化対象のデータを指定する操作を行う。CPU51は、印刷設定画面80のプロパティ釦84が操作されると、図13(a)に示すプロパティ画面90を表示装置57に表示させる。プロパティ画面90には各種項目のタブが設けてあり、図13(a)はセキュリティタブ91が選択された場合の画面を示している。この画面にて暗号化対象のデータの指定や操作に対する許可条件(条件情報)の設定、暗号化の実行指示などのユーザ操作の受け付けが行われる。
【0092】
対象データ指定欄92には、暗号化対象のデータのパスおよびファイル名が入力される。ステータス欄93には、暗号化対象のデータに関する状態情報が表示される。
【0093】
暗号化対象のデータの指定が完了すると、図13(b)に示すように、ステータス欄93の表示が指定完了に変化する。また、暗号化の実行を指示するためのOK釦94と許可条件設定釦95が、操作を受け付け可能な有効状態に変化する。なお、ステータス欄93に表示されるステータスには、データ未指定、データ指定完了、データ送信中、データ暗号化中、制限ファイル受信中、制限ファイル保存完了などがある。
【0094】
許可条件設定釦95が操作されると、CPU51は表示装置57に図14に示すような操作許可条件設定画面100をプロパティ画面90上にポップアップ表示させる。操作許可条件設定画面100には、許可ユーザのユーザIDを設定する許可ユーザ設定欄101と、許可端末の端末IDを設定する許可端末設定欄102と、許可期間を設定する許可期間設定欄103と、許可操作毎のチェックボックス104a〜104eが設けられている。また、許可ユーザ、許可端末、許可期間の各条件に対応させてチェックボックス101a、102a、103aが設けてある。
【0095】
許可ユーザ、許可端末、許可期間に対応するチェックボックス101a、102a、103aにチャックマークを付すと、その許可条件がアクセス権を確認する際の条件の1つに設定され、チェックマークをつけていない許可条件は無視される。また、各操作に対応するチャックボックス104a〜104eにチェックマークが付された操作は許可対象にされ、チェックマークが付されていない操作は、許可ユーザ等の条件が一致しても許可されない操作になる。
【0096】
たとえば、図14では、許可操作として閲覧と印刷のチェックボックス104a、104cのみにチェックマークが付され、許可条件として許可端末のチェックボックス102aにはチェックマークが付されず、許可ユーザのチェックボックス101aと許可期間のチェックボックス103aにチェックマークが付されているので、「操作が行われる端末装置10は任意の端末でよく、許可期間設定欄103に設定された期間内かつ許可ユーザ設定欄101に設定されたユーザのみに対して閲覧(ぺージ移動は禁止)と印刷の操作のみを許可する」という条件になっている。なお、許可操作別に許可ユーザ、許可端末、許可期間などの条件を設定可能に構成されてもよい。また、許可条件や許可操作は例示したものに限定されず適宜設定すればよい。
【0097】
図15は、ケース2にて端末装置10が行う動作の流れを示し、図16は、ケース2にて画像形成装置20が行う動作の流れを示している。端末装置10のCPU51は、MFPドライバの起動要求を受けると(ステップS201;Yes)、図12に示す印刷設定画面80のドライバ指定欄81で指定されたMFPドライバを起動し(ステップS202)、図13のプロパティ画面90内の対象データ指定欄92にて暗号化対象データの指定操作を受ける(ステップS203)。次に、許可条件設定釦95の操作を受けると図14の操作許可条件設定画面100をポップアップ表示させ、この画面100にて、復号化や復号化後のデータの操作に対するアクセス権を確認する際の条件の設定を受け付ける(ステップS204)。
【0098】
そして、図13のプロパティ画面90にてOK釦94の操作を受けると、指定された暗号化対象データを暗号化して制限ファイル40を生成する処理を実行する。詳細には、端末装置10のCPU51は、指定された暗号化前の暗号化対象データのファイルパスを不揮発メモリ59に保存し(ステップS205)、Command信号1を、ドライバ指定欄81で指定されたMFPドライバに対応する画像形成装置20(以後これを、指定MFPとする)へ送信する(ステップS206)。Command信号1は、通信の可否を確認するためのコマンドである。
【0099】
Command信号1を受信した画像形成装置20は(図16:ステップS301;Yes)、Command信号1を受信したことを示すResult信号1を作成し、これをCommand信号1の送信元の端末装置10へ送信する(ステップS302)。
【0100】
端末装置10は、Command信号1を送信後、一定時間が経過する前にその送信先からResult信号を受信できない場合は(図15:ステップS207;Yes)、エラーで本処理を終了する。Command信号1を送信後、一定時間が経過する前にその送信先からResult信号1を受信した場合は(ステップS207;No、S208;Yes)、暗号化要求であるCommand信号2を作成して(ステップS209)これを指定MFPに送信する(ステップS210)。Command信号2には、暗号化対象データ、操作許可条件設定画面100にて設定された各条件、当該端末装置10の端末ID、暗号化を指示したユーザのユーザIDなどが含まれる。
【0101】
Command信号2を受信した画像形成装置20(指定MFP)は(図16:ステップS303;Yes)、Command信号2に対応するAck信号2をCommand信号2の送信元の端末装置10へ送信する(ステップS304)。さらに該画像形成装置20は、Command信号2に含まれている暗号化対象データを暗号化し(ステップS305)、制限ファイル40のヘッダ42の作成に必要な情報を収集・取得する(ステップS306)。ここでは、ヘッダ42に含めるユーザIDはCommand信号2に含まれていたものを使用する。装置IDやアプリケーション情報(MFPドライバ名、バージョン情報など)、確認先情報(アドレス情報…IPアドレスやURL)は、自装置のものを使用する。これらは不揮発メモリ26から読み出して取得する。また、新たな制限ファイルIDを生成する。
【0102】
指定MFPのCPU21は、これら収集・生成した情報に基づいてヘッダ42を作成し、該ヘッダ42とステップS305で暗号化して得た暗号化データ41と所定の自己解凍アプリケーション43とを含む制限ファイル40を生成する(ステップS307)。なお、自己解凍アプリケーション43は予めハードディスク装置25あるいはROM23に保存されており、これをコピーしたものを制限ファイル40に含めるようになっている。
【0103】
次に、指定MFPのCPU21は、この生成した制限ファイル40に関する管理情報を管理テーブル37に登録する(ステップS308)。管理テーブル37に登録する制限ファイルIDはCPU21が当該制限ファイル40に対してユニークに割り付けたものを使用する。またユーザIDおよび条件情報はCommand信号2に含まれるものを使用する。装置IDは自機の不揮発メモリ26から読み出した自機の装置IDを使用する。復号鍵は、暗号化データ41の作成時に使用した暗号鍵に対応するものを登録する。
【0104】
さらに指定MFPのCPU21は、ステップS307で生成した制限ファイル40を含むResult信号2を、Command信号2の送信元の端末装置10へ送信して(ステップS309)処理を終了する。
【0105】
端末装置10は、Command信号2を送信後、一定時間が経過する前にその送信先からAck信号2を受信できない場合(図15:ステップS211;Yes)もしくはAck信号2を受信したがその内容が受信エラーであった場合は(ステップS213;No)、エラーで本処理を終了する。Command信号2を送信後、一定時間が経過する前に正常受信を示すAck信号2を受信した場合は(ステップS211;No、S212;Yes、S213;Yes)、さらにResult信号2の受信を待つ。Ack信号2の受信後、一定時間が経過する前に指定MFPからResult信号2を受信できない場合は(ステップS214;Yes)、エラーで本処理を終了する。
【0106】
Ack信号2の受信後、一定時間が経過する前に指定MFPからResult信号2を受信した場合は(ステップS241;No、S215;Yes)、ステップS205にて保存した暗号化前の暗号化対象データのファイルパス情報を不揮発メモリ59から読み出し(ステップS216)、そのファイルパスに、受信した制限ファイル40を保存して(ステップS217)処理を終了する。
【0107】
図17は、図15、図16に係る動作をシーケンスで表わしている。
【0108】
次に、制限ファイル40の復号化および復号化後のデータへの操作に関する動作について説明する。
【0109】
画像形成装置20から端末装置10へ出力された制限ファイル40は、図1でも説明したように、USBメモリ6などに記憶して持ち出し、任意の情報処理装置でアクセス権を確認して利用することができる。
【0110】
図18は、制限ファイル40の利用に関して任意の情報処理装置(たとえば、端末装置10b)で行われる処理の流れを示している。また、図19はこれに対応する管理サーバとしての画像形成装置20の動作を示している。情報処理装置のOSプログラムは、データに対してダブルクリック操作を受けると(ステップS401)、そのデータの種類を判別し、そのデータに応じたアプリケーションを起動する。たとえば、ダブルクリックされたデータが通常の文書ファイルであれば(ステップS402;No)、規定のエディタプログラムなどを起動して、該文書ファイルを開くといった処理を行う(ステップS418)。
【0111】
情報処理装置のOSプログラムはダブルクリックされたデータが制限ファイル40の場合には、当該制限ファイル40の自己解凍アプリケーション43を起動する(ステップS403)。以後、情報処理装置は自己解凍アプリケーション43に従って動作する。起動された自己解凍アプリケーション43は自己解凍する。自己解凍後の自己解凍アプリケーション43は、当該制限ファイル40のヘッダ42を解析し(ステップS404)、さらに当該情報処理装置のレジストリ情報を取得する(ステップS405)。レジストリ情報と制限ファイル40のヘッダ42に含まれるアプリケーション情報とを比較し(ステップS406)、該アプリケーション情報の示すアプリケーションプログラム(該当アプリケーション)が当該情報処理装置にインストール済みか否かを判断する(ステップS407)。
【0112】
該当アプリケーションがインストールされていない場合は(ステップS407;No)、該当アプリケーションのインストール要求処理(ステップS408)を行って、該当アプリケーションを入手してインストールする。インストール要求処理の詳細は後述する。
【0113】
該当アプリケーションがインストール済みの場合(ステップS407;Yes)もしくはステップS408にてインストールを完了した場合は、その該当アプリケーション(ここでは、アプリケーション情報で指定されたMFPドライバ(該当MFPドライバ))を起動する(ステップS409)。以後、情報処理装置は起動したアプリケーションプログラム(該当MFPドライバ)に従って動作する。該当MFPドライバは、アクセス権の確認処理において管理サーバに登録されている条件情報と照合される照合情報を取得する。たとえば、照合情報の1つであるユーザIDやパスワードは、当該情報処理装置の表示装置にこれらの入力画面を表示し、ユーザから入力を受けることによって取得する。また、端末IDは、情報処理装置のシステム情報から取得する。
【0114】
該当MFPドライバは、取得した照合情報とヘッダ42に含まれていた制限ファイルIDとを含むCommand信号4を作成する(ステップS411)。Command信号4は、暗号化データ41の復号鍵の提供を求めるコマンドである。該当MFPドライバはこのCommand信号4を制限ファイル40のヘッダ42に含まれている確認先情報(アドレス情報)が示す管理サーバに送信する(ステップS412)。
【0115】
Command信号4を受信した画像形成装置20(管理サーバ)は(図19:ステップS321;Yes)、Ack信号4をCommand信号4の送信元に送信する(ステップS322)。その後、受信したCommand信号4に含まれている制限ファイルIDに対応付けて管理テーブル37に登録されている条件情報を読み出し、該条件情報と受信したCommand信号4に含まれている照合情報とを比較して、復号化を許可するか否かを判定する(ステップS323)。
【0116】
画像形成装置20(管理サーバ)は、復号化を許可する(アクセス権あり)と判定した場合は(図19:ステップS324;Yes)、Command信号4の送信元の情報処理装置に対して、該当の復号鍵を含むResult信号4を送信して(ステップS325)処理を終了する(End)。アクセス権なしと判定した場合は(ステップS324;No)、アクセス権なしを示す確認結果を含むResult信号4を返信して(ステップS326)処理を終了する(End)。
【0117】
情報処理装置では、Command信号4の送信後、一定時間が経過しても、当該Command信号4に対応するAck信号4を受信しない場合は(図18:ステップS413;Yes)、該当MFPドライバは自プログラムの動作を終了させる(End)。
【0118】
情報処理装置は、Command信号4の送信後、一定時間の経過前にAck信号4を受信した場合は(ステップS413;No、S414;Yes)、Command信号4の処理結果を含むResult信号4の受信を待つ(ステップS416;No)。Ack信号4の受信後、一定時間が経過してもResult信号4を受信できない場合は(ステップS416;No、S415;Yes)該当MFPドライバは自プログラムの動作を終了させる(End)。
【0119】
Ack信号4の受信後、一定時間の経過前にResult信号4を受信した場合は(ステップS416;Yes)、暗号化データ41の複製(コピー)を生成し(ステップS417)、該Result信号4に含まれる復号鍵を使用して複製(コピー)生成された暗号化データ41を復号化し、復号化完了と同時に復号鍵を削除する(ステップS417)。この場合、該当MFPドライバは、以後、復号化されたデータに対する操作を監視するバックグラウンド動作に移行する。
【0120】
このように、制限ファイル40のヘッダ42にアクセス権の確認先情報が含まれているので、この情報を使用して任意の情報処理装置から管理サーバに対してアクセス権の有無を問い合わせることができる。また、アクセス権の確認を管理サーバで行うので、許可の条件をいつでも変更することができ、たとえば、制限ファイル40を出力した後でも、必要に応じて復号化などの許可条件を変更することができ、暗号化データに柔軟で強固なセキュリティを与えることができる。
【0121】
図20は、該当アプリケーションのインストール要求処理の流れを示している。また図21はインストール要求を受けた場合の管理サーバ(画像形成装置20)の動作を示している。自己解凍アプリケーション43は、制限ファイル40のヘッダ42に含まれるアプリケーション情報が示すアプリケーションプログラムの転送要求を含むCommand信号3を作成し(ステップS421)、これを制限ファイル40のヘッダ42の確認先情報(該当管理サーバのアドレス情報)が示すアドレスへ送信する(ステップS422)。
【0122】
Command信号3を受信した画像形成装置20(管理サーバ)は(図21:ステップS341;Yes)、Command信号3に対応するAck信号3を該Command信号3の送信元へ送信する(ステップS342)。そして、Command信号3にて指定されたアプリケーションプログラム(ここでは、当該画像形成装置20のMFPドライバ)を該Command信号3の送信元へ送信して(ステップS343)処理を終了する(End)。
【0123】
情報処理装置では、Command信号3の送信後、一定時間が経過する前にAck信号3を受信できない場合は(図20:ステップS424;No、S423;Yes)、エラーで自己解凍アプリケーション43が強制終了する(ステップS426)。
【0124】
情報処理装置は、Command信号3の送信後、一定時間の経過前にAck信号3を受信した場合は(ステップS423;No、S424;Yes)、Command信号3の処理結果(該当アプリケーション)を含むResult信号3の受信を待つ。Ack信号3の受信後、一定時間が経過してもResult信号3を受信できない場合は(ステップS425;Yes)エラーで自己解凍アプリケーション43を強制終了する(ステップS426)。
【0125】
Ack信号3の受信後、一定時間の経過前にResult信号3を受信した場合は(ステップS427;Yes)、該Result信号3に含まれる該当アプリケーションを当該情報処理装置にインストールして(ステップS428)処理を終了する(End)。
【0126】
このように、該当アプリケーションを必要に応じて管理サーバから入手するので、制限ファイル40にアプリケーションプログラムを含める場合に比べて、制限ファイル40の容量を小さく抑えることができる。また、管理サーバから入手するので、アプリケーションプログラムの変更やバージョンUPに対して柔軟に対応することができる。
【0127】
図22およびその続きの図23は、図18において該当アプリケーションがインストールされていない場合(ステップS407;No)の動作に対応するシーケンスを示している。図24およびその続きの図25は、図18の流れにおいて該当アプリケーションがインストール済みの場合(ステップS407;Yes)の動作に対応するシーケンスを示している。
【0128】
図26は、復号化後のデータ(復号データと呼ぶ。)に対する操作を監視するアプリケーションプログラムの動作を示している。図27は、図26の動作に対してアクセス権の確認を行う管理サーバの動作を示している。
【0129】
情報処理装置では、図18のステップS409で起動されたアプリケーションプログラムの制御により、復号データのタスクおよび復号データへの操作を監視しており(ステップS501)、閲覧開始、閲覧ページの移動、印刷、修正(変更)、複製などの操作の要求が行われたことを検知すると(ステップS502)、該操作要求の発生に伴う処理を行って(ステップS503)、ステップS504へ移行する。なお、操作要求の発生に伴う処理の詳細は後述する。操作要求が検知されない場合はステップS504へ移行する(ステップS502;No)。
【0130】
ステップS504では、前回のアクセス権確認から一定時間(たとえば、10分)が経過したか否かを調べ、一定時間が経過していなければ(ステップS504;No)、ステップS501へ移行する。なお、初回のアクセス権確認は、復号鍵の要求において行われている。前回のアクセス権確認から一定時間が経過した場合は(ステップS504;Yes)、再度、アクセス権の確認を行う。
【0131】
詳細には、復号データに対する閲覧等の操作の継続に対するアクセス権の確認を要求するCommand信号5を作成し(ステップS505)、これをヘッダ42の確認先情報が示す管理サーバへ送信する(ステップS506)。Command信号5には、Command信号4と同様にアクセス権の確認に必要な照合情報および制限ファイルIDが含まれる。この際、入力画面を表示して照合情報(ユーザIDやパスワードなど)の再入力を求めるようになっている。なお、利便性を重視する場合は、照合情報の再入力を求めず、前回のものを使用する構成とされてもよい。
【0132】
Command信号5を受信した画像形成装置20(管理サーバ)は(図27:ステップS361;Yes)、受信したCommand信号5に含まれている制限ファイルIDに対応付けて管理テーブル37に登録されている条件情報を読み出し、該条件情報と受信したCommand信号5に含まれている照合情報とを比較して、アクセス権の有無(操作の継続を許可するか否か)を判定する(ステップS362)。
【0133】
画像形成装置20(管理サーバ)は、アクセス権ありと判定した場合は(図27:ステップS363;Yes)、Command信号5の送信元の情報処理装置に対して、アクセス権あり(継続操作の許可)を示す確認結果を含むResult信号5を送信して(ステップS364)処理を終了する(End)。アクセス権なしと判定した場合は(ステップS363;No)、アクセス権なし(継続操作の不許可)を示す確認結果を含むResult信号5を送信して(ステップS365)処理を終了する(End)。
【0134】
情報処理装置では、Command信号5を送信後、一定時間が経過する前にCommand信号5に対応するResult信号5を受信した場合は(図26:ステップS508;Yes)、そのResult信号5を解析し(ステップS509)、アクセス権ありを示す確認結果が含まれている場合は(ステップS510;Yes)、復号データの閲覧の継続を許可する(ステップS511)。その後、復号データのタスクが終了したか否かを調べ、終了していない場合は(ステップS513;No)、ステップS501に戻って監視処理を継続する。タスク終了の場合は、(ステップS513;Yes)本処理を終了する(End)。なお、タスク終了時に復号データを削除するようになっている。
【0135】
一定時間の経過前にResult信号5を受信できなかった場合(ステップS508;No、S507;Yes)および受信したRersult信号5がアクセス権なしを示す確認結果を含んでいる場合は(ステップS510;No)、復号データのタスクを強制終了させて(ステップS512)本処理を終了する(End)。なお、強制終了の場合に復号データを削除するように構成されてもよい。
【0136】
このように、復号データの閲覧中は一定時間の経過毎にアクセス権の確認が行われる。たとえば、アクセス権の許可に関する条件として許可期間が設定されている場合には、継続閲覧中に許可期間外になれば、その時点でアクセス権なしと判定されて閲覧が強制終了される。また、閲覧状態で放置された場合には、一定時間毎に照合情報(ユーザIDやパスワードなど)の入力を求めてアクセス権の確認を行うので、閲覧状態で放置された復号データを権限のないユーザが無断で閲覧するといった事態を防止することができる。さらに、たとえば、パスワードの不正入手などによって復号化されたことが判明したような場合には、管理サーバ側の許可条件を変更すれば、復号データに対する以後のアクセスを禁止することができ、各種の事態に柔軟に対応して強固なセキュリティを確保することができる。
【0137】
図28、図29、図30は、図26、図27に示す動作に対応するシーケンスを示している。図28は、確認結果がアクセス権ありの場合のシーケンスを示し、図29は、確認結果がアクセス権なしの場合のシーケンスを示している。図30は、通信障害などによりCommand信号5に対するResult信号5を受信できなかった場合のシーケンスを示している。図30の破線で囲った期間は通信障害が生じた期間を示している。
【0138】
図31は、操作要求発生に伴う処理(図26のステップS503に対応する処理)の流れを示している。操作を監視するアプリケーションプログラムは、発生した操作要求にかかわる操作に対してブロックをかけてその操作の実行を禁止する(ステップS541)。次に発生した操作に係るアクセス権の確認を要求するCommand信号6を作成し(ステップS542)、これをヘッダ42の確認先情報が示す管理サーバへ送信する(ステップS543)。Command信号6には、Command信号5と同様にアクセス権の確認に必要が照合情報および制限ファイルIDが含まれる。また、この際、入力画面を表示して照合情報(ユーザIDやパスワードなど)の再入力を求める。なお、利便性を重視する場合は、照合情報の再入力を求めず、前回のものを使用する構成とされてもよい。
【0139】
Command信号6を受信した画像形成装置20(管理サーバ)は図27と同様の処理(ただし、Command信号5をCommand信号6に置き換える)が行われ、アクセス権あり、または、アクセス権なしの確認結果を含むResulut信号6が返信される。
【0140】
情報処理装置では、Command信号6を送信後、一定時間が経過する前にCommand信号6に対応するResult信号6を受信した場合は(図31:ステップS545;Yes)、そのResult信号6を解析し(ステップS546)、アクセス権ありを示す確認結果が含まれている場合は(ステップS547;Yes)、復号データに対する当該操作を許可する(ステップS549)。その後、当該操作が復号データに対して実行されたことを検知し(ステップS550)、図26のステップS504の判定に係る時間の計測を再開して(ステップS551)処理を終了する(End)。
【0141】
一定時間の経過前にResult信号6を受信できないかった場合(ステップS545;No、S544;Yes)および受信したRersult信号6がアクセス権なしを示す確認結果を含んでいる場合は(ステップS547;No)、復号データに対する当該操作を不許可として禁止し(ステップS548)、本処理を終了する(End)。このとき、不許可であることを操作中のユーザに通知するメッセージを表示するように構成してもよい。
【0142】
図32は、図31の動作に対応するシーケンスを示している。
【0143】
このように、操作が発生するごとに、その操作に対するアクセス権を管理サーバに確認するので、復号データの操作に対するセキュリティを高めることができる。また、管理サーバでアクセス権を確認するので、許可条件を随時変更することができ、許可条件の変更要請に柔軟に対応することができる。たとえば、印刷を禁止した許可条件で生成された制限ファイル40を出張先に持ち出したが、急に出張先で該制限ファイル40にかかわる印刷が必要となったような場合でも、管理者等に電話して許可条件の変更を依頼し、それが認められて管理サーバに登録されている許可条件が変更されれば、以後は印刷操作に対するアクセス権も許可されるようになるので、出張先での印刷が可能になる。
【0144】
以上、本発明の実施の形態を図面によって説明してきたが、具体的な構成は実施の形態に示したものに限られるものではなく、本発明の要旨を逸脱しない範囲における変更や追加があっても本発明に含まれる。
【0145】
たとえば、実施の形態では、制限ファイル40に自己解凍アプリケーション43を含めるようにしたが、これを含めない構成にされてもよい。またヘッダ42には少なくとも確認先情報が含まれればよく、他の情報は付加されなくてもかまわない。たとえば、ユーザIDや装置ID、アプリケーション情報はヘッダ42に含めない構成にされてもよい。
【0146】
ヘッダ42にユーザ情報や装置IDが含まれている場合は、これを照合情報の補助情報として管理サーバに送信する構成にしてもよい。
【0147】
また、管理テーブル37および制限ファイル40のヘッダ42に制限ファイルIDを登録し、制限ファイル毎に個別の条件でアクセス権を確認するように構成したが、すべての制限ファイルに共通の条件でアクセス権の有無を判定する場合には、制限ファイルIDの登録はなくてもよい。
【0148】
また、実施の形態では、照合情報として管理サーバに送信する端末IDを、復号データを監視するアプリケーションプログラムが自動的に情報処理装置から収集するようにしたが、使用者が入力画面を通じて入力する構成にされてもよい。
【0149】
許可対象の操作は、実施の形態に例示したものに限定されない。なお、復号データを他の端末へ送信する操作は複製の操作に含まれる。
【0150】
確認先情報は、管理サーバのネットワーク上のアドレス情報に限定されるものではなく、指定の管理サーバへのアクセスを可能にする情報であればよい。たとえば、管理サーバのID情報からアドレス情報を入手可能(既知のサーバに問い合わせればID情報から管理サーバのアドレス情報が提供されるような場合など)であれば、管理サーバのID情報を確認先情報としてもかまわない。
【0151】
また、実施の形態では画像形成装置20にてデータの暗号化を行うようにしたが、暗号化は別の装置で行われてもよく、画像形成装置20は、その暗号化データに少なくとも確認先情報を付加した制限ファイル40を生成するように構成されてもよい。たとえば、ケース2の場合に、暗号鍵を管理サーバから端末装置10へ送信し、この暗号鍵を使用して端末装置10側で暗号化を行い、該暗号化で得た暗号化データを画像形成装置20へ送信し、画像形成装置20はこの暗号化データを含む制限ファイル40を生成して端末装置10へ返送しかつ管理テーブル37に必要な管理情報を登録する、といった構成にされてもよい。
【0152】
また、実施の形態では画像形成装置20が制限ファイル40を生成する制限ファイル生成装置としての機能と管理サーバとしての機能を併せ持つように構成したが、制限ファイル生成装置と管理サーバとを別装置に分けられて構成してもかまわない。また、制限ファイル生成装置としての機能や管理サーバとしての機能は画像形成装置に設ける必要はなく、それぞれ専用の装置として設けられてもよい。
【0153】
また、復号化を情報処理装置で行うようにしたが、情報処理装置から管理サーバへ暗号化データを送信し、管理サーバで復号化し、復号化後の復号データを情報処理装置に返信するように構成されてもよい。
【符号の説明】
【0154】
2…印刷システム
3…第1LAN
4…第2LAN
5…WAN
6…USBメモリ
10…端末装置
20…画像形成装置(MFP)
21…CPU
22…バス
23…ROM
24…RAM
25…ハードディスク装置
26…不揮発メモリ
27…操作表示部
28…認証部
31…ファクシミリ通信部
32…ネットワーク通信部
33…画像処理部
34…スキャナ部
35…プリンタ部
37…管理テーブル
38…ボックス
40…制限ファイル
41…暗号化データ
42…ヘッダ
43…自己解凍アプリケーション
51…CPU
52…バス
53…ROM
54…RAM
55…ネットワークI/F部
56…操作部
57…表示装置
58…ハードディスク装置
59…不揮発メモリ
61…OSプログラム
62…アプリケーション・プログラム
63…MFPドライバ
71…Header
72…IdenticalCode
73…パラメータ
74…付属データ
80…印刷設定画面
81…ドライバ指定欄
82…プルダウン釦
83…リスト
84…プロパティ釦
90…プロパティ画面
91…セキュリティタブ
92…対象データ指定欄
93…ステータス欄
94…OK釦
95…許可条件設定釦
100…操作許可条件設定画面
101…許可ユーザ設定欄
102…許可端末設定欄
103…許可期間設定欄
【技術分野】
【0001】
本発明は、暗号化などによってデータにアクセス制限をかけたアクセス制限ファイルおよび該アクセス制限ファイルを生成する制限ファイル生成装置に関する。
【背景技術】
【0002】
機密情報などの重要データを外部へ持ち出したり配布したりする場合には情報漏洩防止の観点から、一般に、暗号化などによるアクセス制限が行われる。
【0003】
この際、データを単に暗号化するだけでは、暗号鍵を何らかの方法で入手して復号化されると、その後の監視がきかなくなる。また、アクセス制限をかけて配布等した後に、セキュリティレベルを高めたい、あるいはパスワードを変更したいなど、制限情報を変更したい場合も生じ得る。
【0004】
特許文献1には、文書データの印刷制限に関して、上記の問題や要請に配慮したシステムが開示されている。このシステムでは、暗号鍵とプリントを許可するプリンタや文書のID(Identification)などの制限情報とを管理サーバで管理しておき、暗号化文書の印刷を指示されたプリンタが、その暗号化文書の文書IDや当該プリンタのプリンタIDなどを管理サーバに送信して印刷の許否を問い合わせし、許可された場合にのみ管理サーバの有する暗号鍵で暗号化文書を復号化して印刷するようになっている。これにより、プリンタIDや文書IDなどの制限情報でアクセス制限できると共に、管理サーバに登録する制限情報を変更することで、暗号化文書の配布後においても印刷の許否条件を変更することができるようになっている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−309881号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
重要なデータを出張先などに暗号化して持ち出す場合、特許文献1に開示の技術では、暗号化文書を印刷できるのは、管理サーバへのアクセス機能を備えたプリンタのみに限定される。このため、出張先にこの機能を備えたプリンタがなければ、管理サーバに登録されている制限情報(たとえば、印刷を許可するプリンタのプリンタID)を変更できたとしても、暗号化文書を復号化させて印刷することはできない。
【0007】
本発明は、上記の問題を解決しようとするものであり、管理サーバによるアクセス権の判定を汎用の情報処理装置から可能にするアクセス制限ファイルおよび該アクセス制限ファイルを生成する制限ファイル生成装置を提供することを目的としている。
【課題を解決するための手段】
【0008】
かかる目的を達成するための本発明の要旨とするところは、次の各項の発明に存する。
【0009】
[1]アクセス制限されたデータと、前記データに対するアクセス権の確認先の管理サーバを示す確認先情報とを含む
ことを特徴とするアクセス制限ファイル。
【0010】
上記発明では、アクセス制限ファイル自体に、アクセス制限されたデータに対するアクセス権の確認先の管理サーバを示す確認先情報が含まれている。これにより、当該アクセス制限ファイルを使用するユーザや情報処理装置が確認先の管理サーバを既知でない場合であっても、指定された管理サーバにアクセス権の確認を依頼することができ、セキュリティを確保しつつアクセス制限ファイルを汎用の情報処理装置で利用可能になる。
【0011】
[2]前記確認先情報が示す管理サーバに前記確認を依頼する処理を通信機能付きの情報処理装置に行わせるプログラム、もしくは前記情報処理装置に前記プログラムを入手する処理を行わせる入手プログラムをさらに含む
ことを特徴とする[1]に記載のアクセス制限ファイル。
【0012】
上記発明では、アクセス制限ファイルに付加されているプログラムもしくは、付加されている入手プログラムによって入手したプログラムによって通信機能付きの情報処理装置にアクセス権の確認を依頼する処理を行わせることができる。これにより、アクセス制限ファイルに対応したプログラムをユーザが用意する必要がなく、対応プログラムがインストールされていない情報処理装置においてもアクセス制限ファイルの利用が可能になる。すなわち、アクセス制限ファイルさえ有れば、任意の情報処理装置でアクセス制限ファイルのアクセス権の確認を依頼することが可能になる。
【0013】
[3]前記プログラムは、前記データに対して所定の操作を行う要求を受けたとき、前記管理サーバに対して前記確認を依頼し、アクセス権が確認された場合は前記データに対する前記操作を許可し、アクセス権が確認されない場合は前記データに対する前記操作を禁止するように前記情報処理装置を動作させるものである
ことを特徴とする[2]に記載のアクセス制限ファイル。
【0014】
上記発明では、アクセス制限ファイル内のデータに対する操作の許可・禁止にかかわる監視動作が、アクセス制限ファイルに付加されているプログラムもしくは付加されている入手プログラムによって入手したプログラムによって行われる。操作毎にアクセス権を確認するので、一度の確認でその後はアクセス自由とする場合に比べて、高いセキュリティを確保することができる。
【0015】
[4]前記プログラムは、前記操作が所定時間継続されたとき、前記確認を再度依頼し、アクセス権が確認された場合は前記データに対する前記操作の継続を許可し、アクセス権が確認されない場合は前記データに対する前記操作の継続を禁止するように前記情報処理装置を動作させるものである
ことを特徴とする[3]に記載のアクセス制限ファイル。
【0016】
上記発明では、操作が所定時間継続された場合に、アクセス権の確認が再度行われる。所定時間の経過毎にアクセス権を確認するので、一度の確認でその後はアクセス自由とする場合に比べて、高いセキュリティを確保することができる。
【0017】
[5]前記操作は、前記データの閲覧開始、前記データにおける閲覧ページの変更、前記データの更新、前記データの印刷、前記データの複製の少なくとも1つである
ことを特徴とする[3]に記載のアクセス制限ファイル。
【0018】
上記発明では、データの閲覧開始、閲覧ページの移動、データの更新、
印刷、複製などの操作に係る要求が発生する毎にアクセス権が確認される。
【0019】
[6]前記プログラムは、前記確認に使用される照合情報を入力し、該入力された照合情報を付加して前記依頼を行うように前記情報処理装置を動作させるものである
ことを特徴とする[2]乃至[5]のいずれか1つに記載のアクセス制限ファイル。
【0020】
上記発明では、アクセス制限ファイルの使用に際して、アクセス権の確認に使用される照合情報の入力が求められる。たとえば、当該アクセス制限ファイルを使用するユーザのユーザID、パスワード、情報処理装置の装置IDなどが照合情報にされる。
【0021】
[7]前記アクセス制限データは暗号化データである
ことを特徴とする[1]乃至[6]のいずれか1つに記載のアクセス制限ファイル。
【0022】
上記発明では、アクセス制限データは暗号化によりセキュリティが確保される。アクセス権が確認された場合には、たとえば、管理サーバから復号鍵が提供されてアクセス制限が解除される。また、閲覧や印刷などの操作に対する監視は、復号後のデータをアクセス制限ファイルに付加されているプログラムもしくは付加されている入手プログラムによって入手したプログラムの監視下に置くことによって行われる。
【0023】
[8]アクセス制限されたデータと、前記データに対するアクセス権の確認先の管理サーバを示す確認先情報とを含むアクセス制限ファイルを生成する生成部、
を有する
ことを特徴とする制限ファイル生成装置。
【0024】
上記発明では、アクセス制限されたデータと、このデータに対するアクセス権の確認先の管理サーバを示す確認先情報とを含むアクセス制限ファイルが生成される。これにより、当該アクセス制限ファイルを使用するユーザや情報処理装置が確認先の管理サーバを既知でない場合であっても、指定された管理サーバにアクセス権の確認を依頼することができ、セキュリティを確保しつつアクセス制限ファイルを汎用の情報処理装置で利用可能になる。
【0025】
[9]前記アクセス権を確認するための条件情報を前記管理サーバに登録する条件登録部をさらに有する
ことを特徴とする[8]に記載の制限ファイル生成装置。
【0026】
上記発明では、アクセス制限ファイルに対するアクセス権を確認するための条件情報が管理サーバに登録される。条件情報は、アクセス権有無の判断基準となるものであり、たとえば、使用ユーザを制限する場合は使用可能なユーザの情報、使用端末を制限する場合は使用可能な端末の情報、使用期間を制限する場合は使用可能な期間を示す情報、使用可能な操作を制限する場合は使用可能とする操作の情報が条件情報として登録される。
【0027】
[10]前記生成部は、前記確認先情報を使用して前記管理サーバに前記確認を依頼する処理を通信機能付きの情報処理装置に行わせるプログラム、もしくは前記情報処理装置に前記プログラムを入手する処理を行わせる入手プログラムをさらに前記アクセス制限ファイルに含める
ことを特徴とする[8]または[9]に記載の制限ファイル生成装置。
【0028】
上記発明では、アクセス制限ファイルに付加するプログラムもしくは付加した入手プログラムによって入手されたプログラムによって通信機能付きの情報処理装置にアクセス権の確認を依頼する処理を行わせることができる。これにより、アクセス制限ファイルに対応したプログラムをユーザが用意する必要がなく、対応プログラムがインストールされていない情報処理装置においてもアクセス制限ファイルの利用が可能になる。すなわち、アクセス制限ファイルさえ有れば、任意の情報処理装置でアクセス制限ファイルのアクセス権を確認して利用することが可能になる。
【0029】
[11]前記プログラムは、前記データに対して所定の操作を行う要求を受けたとき、前記管理サーバに対して前記確認を依頼し、アクセス権が確認された場合は前記データに対する前記操作を許可し、アクセス権が確認されない場合は前記データに対する前記操作を禁止するように前記情報処理装置を動作させるものである
ことを特徴とする[10]に記載の制限ファイル生成装置。
【0030】
上記発明では、アクセス制限ファイル内のデータに対する操作の許可・禁止にかかわる監視動作が、アクセス制限ファイルに付加されているプログラムもしくは付加されている入手プログラムによって入手したプログラムによって行われる。操作毎にアクセス権を確認するので、一度の確認でその後はアクセス自由とする場合に比べて、高いセキュリティを確保することができる。
【0031】
[12]前記プログラムは、前記操作が所定時間継続されたとき、前記確認を再度依頼し、アクセス権が確認された場合は前記データに対する前記操作の継続を許可し、アクセス権が確認されない場合は前記データに対する前記操作の継続を禁止するように前記情報処理装置を動作させるものである
ことを特徴とする[11]に記載の制限ファイル生成装置。
【0032】
上記発明では、操作が所定時間継続された場合に、アクセス権の確認が再度行われる。所定時間の経過毎にアクセス権を確認するので、一度の確認でその後はアクセス自由とする場合に比べて、高いセキュリティを確保することができる。
【0033】
[13]前記操作は、前記データの閲覧開始、前記データにおける閲覧ページの変更、前記データの更新、前記データの印刷、前記データの複製の少なくとも1つを含む
ことを特徴とする[11]に記載のアクセス制限ファイル。
【0034】
上記発明では、データの閲覧開始、閲覧ページの移動、データの更新、
印刷、複製などの操作に係る要求が発生する毎にアクセス権が確認される。
【0035】
[14]前記プログラムは、前記確認に使用される照合情報を入力し、その入力された照合情報を付加して前記依頼を行うように前記情報処理装置を動作させるものである
ことを特徴とする[10]乃至[13]のいずれか1つに記載の制限ファイル生成装置。
【0036】
上記発明では、アクセス制限ファイルの使用に際して、アクセス権の確認に使用される照合情報の入力が求められる。たとえば、当該アクセス制限ファイルを使用するユーザのユーザID、パスワード、情報処理装置の装置IDなどが照合情報にされる。
【0037】
[15]前記アクセス制限されたデータは暗号化データであり、
前記生成部は、平文を暗号化して前記暗号化データを生成する
ことを特徴とする[8]乃至[14]のいずれか1つに記載の制限ファイル生成装置。
【0038】
上記発明では、アクセス制限データは暗号化によりセキュリティが確保される。アクセス権が確認された場合には、たとえば、管理サーバから復号鍵が提供されてアクセス制限が解除される。また、閲覧や印刷などの操作に対する監視は、復号後のデータをアクセス制限ファイルに付加されているプログラムもしくは付加されている入手プログラムによって入手したプログラムの監視下に置くことによって行われる。
【発明の効果】
【0039】
本発明に係るアクセス制限ファイルおよび制限ファイル生成装置によれば、アクセス制限ファイルにアクセス権の確認先情報を含めたので、この確認先情報に基づいて汎用の情報処理装置から管理サーバにアクセス権の有無を問い合わせてデータを利用することが可能になる。
【図面の簡単な説明】
【0040】
【図1】本発明の実施の形態に係わる印刷システムのシステム構成例を示す説明図である。
【図2】本発明の実施の形態に係る画像形成装置の概略構成を示すブロック図である。
【図3】端末装置の概略構成を示すブロック図である。
【図4】本発明の実施の形態に係る制限ファイルのデータ構成を示す説明図である。
【図5】端末装置と画像形成装置との間で通信される各種信号のデータ構造を示す説明図である。
【図6】各種信号の各領域に格納される情報の詳細を示す説明図である。
【図7】端末装置からのコピー操作要求に応じて制限ファイルを生成する際の画像形成装置の動作を示す流れ図である。
【図8】管理テーブルのデータ構成を示す説明図である。
【図9】図7の動作に対応したシーケンス図である(ステップS102;Noの場合)。
【図10】図7の動作に対応したシーケンス図である(ステップS103;Noの場合)。
【図11】図7の動作に対応したシーケンス図である(ステップS103;Yesの場合)。
【図12】MFPドライバの印刷設定画面を示す正面図である。
【図13】MFPドライバのプロパティ画面を示す正面図である。
【図14】MFPドライバの操作許可条件設定画面を示す正面図である。
【図15】ケース2の暗号化において端末装置が行う動作を示す流れ図である。
【図16】ケース2の暗号化において画像形成装置が行う動作を示す流れ図である。
【図17】図15、図16に係る動作に対応したシーケンス図である。
【図18】制限ファイルの利用時に情報処理装置で行われる処理を示す流れ図である。
【図19】復号鍵要求を端末装置から受信した管理サーバの動作を示す流れ図である。
【図20】情報処理装置で行われる該当アプリケーションのインストール要求処理を示す流れ図である。
【図21】インストール要求を端末装置から受信した管理サーバの動作を示す流れ図である。
【図22】図18の処理において該当アプリケーションがインストールされていない場合(ステップS407;No)の動作に対応するシーケンス図である。
【図23】図22の続きを示すシーケンス図である。
【図24】図18の処理において該当アプリケーションがインストール済みの場合(ステップS407;Yes)の動作に対応するシーケンス図である。
【図25】図24の続きを示すシーケンス図である。
【図26】復号データに対する操作を監視するアプリケーションプログラムの動作を示す流れ図である。
【図27】継続確認要求を端末装置から受信した管理サーバの動作を示す流れ図である。
【図28】図26、図27で確認結果がアクセス権ありの場合の動作に対応するシーケンス図である。
【図29】図26、図27で確認結果がアクセス権なしの場合の動作に対応するシーケンス図である。
【図30】図26、図27で通信障害などによりCommand信号5に対するResult信号5を受信できなかった場合の動作に対応するシーケンス図である。
【図31】復号データに対する操作を監視するアプリケーションプログラムの動作のうち操作要求発生に伴う処理(図26のステップS503に対応する処理)の流れを示している。
【図32】図31の動作に対応するシーケンス図である。
【発明を実施するための形態】
【0041】
以下、図面に基づき本発明の実施の形態を説明する。
【0042】
図1は、本発明の実施の形態に係る画像形成装置20を含む印刷システム2の構成例を示している。印刷システム2は、制限ファイル生成装置および管理サーバとしての機能を含む画像形成装置20とパーソナルコンピュータなど端末装置10とをネットワークに接続して構成される。この例では、第1LAN(Local Area Network)3に画像形成装置20a、20bと端末装置10aが接続され、第2LAN4に画像形成装置20c、20dと端末装置10bが接続され、第1LAN3と第2LAN4はインターネットなどのWAN(Wide Area Network)5を介して接続されている。
【0043】
画像形成装置20は、原稿画像を光学的に読み取ってその複製画像を記録紙に印刷するコピー機能、読み取った原稿の画像データをファイルにして保存したり外部端末へ送信したりするスキャン機能、パーソナルコンピュータなどの外部端末から受信した印刷ジョブに係る画像を記録紙上に形成して出力する印刷機能、画像データを送受信するファクシミリ機能などを備えた、一般に複合機と称される装置である。なお、以後、画像形成装置20をMFPとも呼ぶものとする。
【0044】
画像形成装置20にはそれぞれ固有の装置ID(Identification)が与えられている。図1の例では、画像形成装置20a(MFP1)の装置IDは「A−20−001」、画像形成装置20b(MFP2)の装置IDは「A−20−002」、画像形成装置20c(MFP3)の装置IDは「A−30−001」、画像形成装置20d(MFP4)の装置IDは「A−30−002」となっている。これらの装置IDにより、その画像形成装置で利用可能なMFPドライバを特定可能となっている。
【0045】
画像形成装置20はさらに、自機に保存されている画像データあるいは端末装置10等の外部装置から送られてきたデータを暗号化すると共に、該暗号化により得たデータ(暗号化データと呼ぶ。)に、その復号化や復号化後のデータに対する各種の操作(閲覧開始、閲覧ページの移動(ページ変更)、印刷、変更、複製など)を制限するための情報を付加した制限ファイル40を生成する制限ファイル生成装置としての機能を備えている。
【0046】
制限ファイル40は画像形成装置20から端末装置10へ出力されてその出力先の端末装置10で利用されるほか、たとえば、リムーバブルの記憶媒体であるUSB(Universal Serial Bus)メモリ6に記憶して外部へ持ち出して使用される。制限ファイル40は、外部へ持ち出されたような場合でも、セキュリティを確保しつつ任意の外部端末で利用可能となるデータ構成を備えている。
【0047】
詳細には、制限ファイル40は、暗号化データ41と、ヘッダ42と、自己解凍型のプログラムである自己解凍アプリケーション43とを含むデータ構成を備えている。ヘッダ42には、暗号化データ41の復号化や復号化後のデータに対するアクセス権の確認先の管理サーバを示す確認先情報(たとえば、アドレス情報)が登録されている。本実施の形態では、制限ファイル40を生成した画像形成装置20がその制限ファイル40のアクセス権を確認する管理サーバの機能を果たすようになっている。
【0048】
制限ファイル40に含まれる自己解凍アプリケーション43は、当該制限ファイル40に対してダブルクリックなどの所定操作が任意の通信機能付き情報処理装置で行われると自己解凍して動作するプログラムである。自己解凍後の自己解凍アプリケーション43は、ヘッダ42に含まれているアドレス情報が示す管理サーバに対して、暗号化データ41の復号化や復号化後のデータに対する各種操作の実行権(アクセス権)の確認を依頼する処理を、自己解凍アプリケーション43がロードされている通信機能付きの情報処理装置に行わせる機能を果たす。
【0049】
制限ファイル40の利用形態には、たとえば、第1LAN3に接続された端末装置10aからの依頼に基づいて画像形成装置20aで暗号化して生成した制限ファイル40を画像形成装置20aから端末装置10aに出力し(P1)、これをUSBメモリ6に入れて持ち出し(P2)、第2LAN4に接続された端末装置10bで該制限ファイル40の復号化や復号化後のデータに対する各種操作を行うといったものがある。この場合、端末装置10bにて制限ファイル40がダブルクリックされると、自己解凍アプリケーション43は、自己解凍した後、ヘッダ42に含まれる確認先情報(アドレス情報)を読み出し、この確認先情報が示す管理サーバ(画像形成装置20a)に対してアクセス権の有無の確認を依頼するように端末装置10bを動作させる(P3)。管理サーバとしての画像形成装置20aはアクセス権が有ることを確認した場合は端末装置10bに対して復号鍵を送信する(P4)。この復号鍵を受信した端末装置10bはこれを使用して暗号化データ41を復号化し、このデータに基づく印刷などを行う(P5)。
【0050】
図2は、画像形成装置20の概略構成を示すブロック図である。画像形成装置20は、当該画像形成装置20の動作を統括制御する制御部としてのCPU(Central Processing Unit)21にバス22を介して、ROM(Read Only Memory)23と、RAM(Random Access Memory)24と、ハードディスク装置25と、不揮発メモリ26と、操作表示部27と、認証部28と、ファクシミリ通信部31と、ネットワーク通信部32と、画像処理部33と、スキャナ部34と、プリンタ部35とを接続して構成される。
【0051】
ROM23には各種のプログラムが格納されており、これらのプログラムに従ってCPU21が処理を実行することにより画像形成装置20としての各機能が実現される。RAM24はCPU21がプログラムを実行する際に各種のデータを一時的に格納するワークメモリや画像データを格納する画像メモリ、送受信に係るデータを一時的に保存する通信バッファなどとして使用されるランダム・アクセス・メモリである。
【0052】
ハードディスク装置25は不揮発かつ大容量の記憶装置である。ハードディスク装置25には、管理サーバとしての機能にかかわる各種データを登録するための管理テーブル37が記憶される。また、ユーザ別やグループ別に管理される記憶領域であるボックス38が作成される。ボックスには、画像データなどが保存される。ボックスへのアクセスはパスワードなどにより制限される。
【0053】
不揮発メモリ26は、電源をオフしてもその記憶内容が保持される書き換え可能なメモリである。不揮発メモリ26には、データを暗号化して制限ファイル40を生成する場合にその暗号化対象データの所在情報(ファイルパス情報)などが記憶される。このほか不揮発メモリ26には、画像形成装置20に対して設定された各種の設定内容、ユーザ情報、ユーザの認証情報、装置ID、システム情報、当該画像形成装置20のアドレス情報(管理サーバとしてのIP(Internet Protocol)アドレスやURL(Uniform Resource Locator))、当該画像形成装置20と通信を行うために必要なアプリケーションプログラム(MFPドライバ)の名称やバージョン情報などが記憶される。
【0054】
操作表示部27は、液晶ディスプレイ(LCD…Liquid Crystal Display)と、その画面上に設けられて押下された座標位置を検出するタッチパネル、テンキー、スタートボタンなどの各種操作スイッチで構成され、各種の操作画面や設定画面、案内画面、警告画面などを表示する機能およびユーザから各種の操作を受け付ける機能を果たす。たとえば、操作表示部27からユーザIDとパスワードの入力を受け、これらを予め登録されているユーザ認証情報と照合することでユーザ認証を行う。このほか、画像形成装置20の近くに居るユーザが所持する個人認証用無線カードと交信して該カードからユーザ情報を読み出すことによってユーザ認証を行うなどの構成でもかまわない。
【0055】
ファクシミリ通信部31は、ファクシミリ送信やファクシミリ受信のための通信制御、発呼(ダイアル)、着呼、電話回線との接続などを行う。
【0056】
ネットワーク通信部32は、LANなどのネットワークを介して他の画像形成装置20や端末装置10と通信して各種のデータや情報を送受信する機能を果たす。
【0057】
画像処理部33は、端末装置10から受信した印刷データをイメージデータ(ビットマップデータ)に変換するラスタライズ処理、画像データの圧縮処理や伸張処理、データの暗号化や復号化処理、画像の回転処理などを行う機能を備えている。
【0058】
スキャナ部34は、原稿を光学的に読み取って画像データを取得する機能を果たす。スキャナ部34は、たとえば、原稿に光を照射する光源と、その反射光を受けて原稿を幅方向に1ライン分読み取るラインイメージセンサと、ライン単位の読取位置を原稿の長さ方向に順次移動させる移動手段と、原稿からの反射光をラインイメージセンサに導いて結像させるレンズやミラーなどからなる光学経路、ラインイメージセンサの出力するアナログ画像信号をデジタルの画像データに変換する変換部などを備えて構成される。
【0059】
プリンタ部35は、画像データに応じた画像を記録紙に印刷する機能を果たす。ここでは、記録紙の搬送装置と、感光体ドラムと、帯電装置と、レーザーユニットと、現像装置と、転写分離装置と、クリーニング装置と、定着装置とを有し、電子写真プロセスによって画像形成を行う、所謂、レーザープリンタとして構成されている。他の方式のプリンタであっても構わない。
【0060】
図3は、端末装置10の構成例を示している。端末装置10は、汎用のPC(Personal Computer)に所定のプログラムをインストールして構成される。端末装置10は、CPU51にバス52を介して、ROM53と、RAM54と、ネットワークI/F部55と、操作部56と、表示装置57と、ハードディスク装置58と、不揮発メモリ59などを接続して構成される。
【0061】
ROM53には、CPU51によって実行される起動プログラムや各種の固定データが記憶されている。不揮発メモリ59には、当該端末装置10を使用するユーザのユーザ情報やユーザID、ユーザの認証情報、当該端末装置10の識別情報(端末ID)、IPアドレスなどが記憶される。
【0062】
また、ハードディスク装置58には、OS(Operating System)プログラム61のほか、該OS上で動作する各種のアプリケーション・プログラム62、MFPドライバ63などが記憶されている。MFPドライバ63やアプリケーション・プログラム62は実行時にはハードディスク装置58から読み出されてRAM54に展開され、CPU51はRAM54上に展開されたそれらのプログラムを実行する。
【0063】
操作部56は、キーボード、マウス(ポインティングデバイス)などで構成され、ユーザから文書の入力操作、印刷対象や暗号化対象となるデータやファイルの指定や処理の実行指示などを受ける。表示装置57は、液晶ディスプレイなどで構成され、MFPドライバ63やアプリケーション・プログラム62、OSプログラム61によって作成された表示データに従って操作画面、設定画面、警告画面など各種画面を表示する機能を果たす。ネットワークI/F部55はLAN3、4などのネットワークを通じて画像形成装置20や他の端末装置10などと各種のデータを送受信する機能を果たす。
【0064】
端末装置10では、制限ファイル40に対してダブルクリックなどの起動操作を受けたとき、OSプログラム61が制限ファイル40に含まれている自己解凍アプリケーション43を起動し、その自己解凍を行わせ、さらに、その自己解凍後のプログラムの実行をCPU51に行わせるように制御する。また、アプリケーション・プログラム62をCPU51が実行することにより、文書や画像などの閲覧や印刷、複製、更新などの操作の受付や該操作に対応する動作が行われる。自己解凍後の自己解凍アプリケーション43は、アプリケーション・プログラム62の動作を監視している。詳細には、制限ファイル40を復号化して得たデータに対して閲覧や各種の操作がアプリケーション・プログラム62を通じて行われる状況を監視し、閲覧や操作に対するアクセス権の有無をヘッダ42に含まれる確認先情報が示す管理サーバに問い合わせて確認する処理を行う。
【0065】
図4は、制限ファイル40のデータ構成をより詳細に示している。ヘッダ42には、(1)この制限ファイル40の生成を画像形成装置20に依頼したユーザの識別情報(ユーザID)と、(2)この制限ファイル40を生成した画像形成装置20の識別情報(装置ID)と、(3)確認先情報の示す管理サーバと通信を行うためのアプリケーションプログラムに関する情報(アプリケーション情報)と、(4)この制限ファイル40に対するアクセス権の確認先情報と、(5)制限ファイルID、が登録されている。
【0066】
装置IDは、会社コードを示す第1属性と、機種コードを示す第2属性と、製番コードを示す第3属性とから構成される。たとえば、「A−20−001」の装置IDでは、第1属性が「A」、第2属性が「20」、第3属性が「001」となっている。装置IDのデータ構成はこれに限定されるものではない。
【0067】
アプリケーション情報は、ここでは、この制限ファイル40を生成した画像形成装置20に対応したMFPドライバを示す情報(ドライバ名やバージョン)である。確認先情報はこの制限ファイル40を生成した画像形成装置20のネットワーク上のアドレス情報である。たとえば、HTTP(Hyper Text Transfer Protocol)プロトコルでのURLやIPアドレスが確認先情報として登録される。
【0068】
制限ファイルIDは、画像形成装置20が当該制限ファイル40に対して与えた識別情報である。
【0069】
自己解凍アプリケーション43は自己解凍した後、以下の処理を行う。
(1)制限ファイル40のヘッダ42を解析する。
(2)自己解凍の実行された端末装置10にヘッダ42内のアプリケーション情報が示すアプリケーションプログラム(MFPドライバ)が存在するか否かをレジストリなどでチェックする。
(3)ヘッダ42内のアプリケーション情報が示すアプリケーションプログラム(MFPドライバ)が自己解凍アプリケーション43の実行された端末装置10に存在しない場合は該アプリケーションプログラムを入手してインストールする。
(4)ヘッダ42内のアプリケーション情報が示すアプリケーションプログラム(MFPドライバ)を起動する。
【0070】
なお、起動されたアプリケーションプログラム(MFPドライバ)は、以下の処理を行う。
(1)ヘッダ42内の確認先情報(アドレス情報)が示す管理サーバ(画像形成装置20)にアクセス権の確認を要求する。
(2)アクセス権が確認された場合は画像形成装置20から復号鍵を受信し、該復号鍵で暗号化データ41を復号化し、その後、復号鍵を削除する。
(3)復号化後のデータに対する操作を監視し、何らかの操作が要求されたら、その操作に対するアクセス権を管理サーバに確認する。
(4)操作が継続する場合は、一定時間の経過毎にアクセス権を管理サーバに確認する。
(5)アクセス権が確認されない場合(通信断なども含む)は、復号化や復号化後のデータに対する操作を禁止し、復号化後のデータは削除する。
【0071】
図5は、端末装置10と画像形成装置20との間の通信で使用されるCommand信号等のデータ構造を例示している。Command信号は、Header71と、IdenticalCode72と、パラメータ73と、付属データ74とから構成される。Command信号は端末装置10から画像形成装置20へ送信する信号である。Command信号に対する処理結果はResult信号として画像形成装置20から端末装置10へ送信される。Result信号もCommand信号と同様のデータ構造になっている。暗号化対象のデータや制限ファイル40、復号鍵といった送信対象のデータは付属データ74の領域に埋め込まれて送信される。
【0072】
端末装置10から送信するデータを暗号化して制限ファイル40を生成する処理を画像形成装置20に依頼するCommand信号を送信する場合の通信シーケンスは以下のようになる。
【0073】
(1)端末装置10で暗号化対象のデータを含むCommand信号を作成して画像形成装置20へ送信する。
(2)画像形成装置20は該Command信号を受信して解析する。
(3)画像形成装置20はCommand信号に対するAck信号を作成して端末装置10へ送信する。
(4)端末装置10はAck信号を受信して解析する。
(5)画像形成装置20はCommand信号に対する処理(ここでは制限ファイル40の作成)を行う。
(6)画像形成装置20は処理結果の制限ファイル40を含むResult信号を作成して端末装置10に送信する。
(7)端末装置10はResult信号を受信して解析する。
なお、Ack信号は、Command信号を受信したことを画像形成装置20から端末装置10へ通知する信号である。
【0074】
図6は、Command信号等の信号の各領域に格納される情報の詳細を示している。Header71は当該信号(パケット)の属性(種類)を示す。IdenticalCode72は、Header71の示す属性(種類)をもつ信号の中での細分類を示す。たとえば、オペレーションの種類を示す。Ack信号においてIdenticalCode72は、どのオペレーションに係るCommand信号に対するAck信号であるかを示す。Result信号においてIdenticalCode72は、どのオペレーションに係るCommand信号に対するResutl信号であるかを示す。パラメータ73は、Result信号における通信結果内容(正常、エラーの種類など)を示している。付属データ74の領域には送信対象にされる各種のデータ(暗号化対象のデータ、制限ファイル40、復号鍵、アプリケーションプログラムなど)が格納される。
【0075】
次に、制限ファイル40を生成する場合の動作について説明する。
【0076】
制限ファイル40を生成する動作には、画像形成装置20のボックスなどに保存されているデータを暗号化し制限ファイル40にして端末装置10へ出力する動作(ケース1)と、端末装置10から暗号化対象のデータを画像形成装置20に送信し、画像形成装置20でこれを暗号化して生成した制限ファイル40を端末装置10へ返信する動作(ケース2)がある。以下それぞれのケースについて説明する。
【0077】
<ケース1>
端末装置10からのコピー操作要求(もしくは移動操作要求)に基づいて、画像形成装置20のボックス38に保存されているデータを暗号化し、その暗号化データを含む制限ファイル40を生成しこれを要求元の端末装置10へ出力する、という動作が行われる。ボックスデータを制限ファイル40にすることで外部に持ち出してもそのセキュリティが確保される。
【0078】
図7は、端末装置10からのコピー操作要求に応じて制限ファイル40を生成する際の画像形成装置20の動作の流れを示している。端末装置10は、MFPドライバ63を通じてユーザから操作対象のデータの指定をボックス名とファイル名などで受け付けた後にコピー操作の実行指示を受けると、該指定内容を含むコピー操作要求を画像形成装置20へ送信する。コピー操作要求には当該操作要求を行ったユーザのユーザIDが含まれる。画像形成装置20は、端末装置10からコピー操作要求を受信すると(ステップS101;Yes)、該コピー操作要求で指定されている操作対象のデータが重要データか否かを判断する(ステップS102)。なお、重要データか否かを示す情報は予めそのデータのヘッダや管理情報として登録されている。重要データか否かを示す情報はボックスの所有者あるいはボックスにデータを入れたユーザが任意に設定登録できるようになっている。
【0079】
画像形成装置20のCPU21は、操作対象のデータが重要データでない場合は(ステップS102;No)、該操作対象のデータをボックスから読み出し、この読み出したデータを当該コピー操作要求の要求元の端末装置10へ送信して(ステップS112)処理を終了する。
【0080】
画像形成装置20のCPU21は、操作対象のデータが重要データの場合は(ステップS102;Yes)、そのデータが暗号化済み(制限ファイル40に変換済み)か否かを調べる(ステップS103)。暗号化済みの場合は(ステップS103;Yes)、その暗号化済みのデータである制限ファイル40を当該コピー操作要求の要求元の端末装置10へ送信して(ステップS111)処理を終了する。
【0081】
画像形成装置20のCPU21は、操作対象のデータが暗号化済みでない場合は(ステップS103;No)、操作対象のデータとそのファイルパス情報とを取得し(ステップS104)、該ファイルパス情報を不揮発メモリ26に保存する(ステップS105)。そして操作対象のデータを暗号化する(ステップS106)。
【0082】
次に、制限ファイル40のヘッダ42の作成に必要な情報を収集・取得する(ステップS107)。たとえば、ヘッダ42に含めるユーザIDは、端末装置10からのコピー操作要求に含まれているものを使用する。装置IDやアプリケーション情報(MFPドライバ名、バージョン情報など)、確認先情報(アドレス情報…IPアドレスやURL)は、自装置の不揮発メモリ26から読み出して取得する。
【0083】
CPU21はこれら収集・取得した情報に基づいてヘッダ42を作成し、該ヘッダ42とステップS106で暗号化した暗号化データ41と所定の自己解凍アプリケーション43とを含む制限ファイル40を生成する(ステップS108)。なお、自己解凍アプリケーション43は予めハードディスク装置25あるいはROM23に保存されており、これをコピーしたものを制限ファイル40に含めるようになっている。
【0084】
次に画像形成装置20のCPU21は、この生成した制限ファイル40に関する管理情報を管理テーブル37に登録する(ステップS109)。管理テーブル37には、図8に示すように、制限ファイル40を特定するための識別情報である制限ファイルIDに対応つけて、該制限ファイル40のヘッダ42に登録したものと同じユーザIDおよび装置IDと、当該制限ファイル40に含まれる暗号化データ41の復号鍵と、アクセス権を確認する際に使用する条件情報が登録される。
【0085】
条件情報には、アクセスを許可するユーザ(許可ユーザ)の識別情報(ユーザID)、アクセスを許可する情報処理装置や端末装置(許可端末)の識別情報(端末ID)、アクセスを許可する操作(許可操作)の識別情報(操作名や操作ID)、アクセスを許可する期間(許可期間)などがある。許可ユーザ、許可端末、許可期間などは許可操作別に設定可能にされてもよい。許可期間は、年月日時分などによる絶対指定でもよし、たとえば、最初のアクセスから3日間などのように、ある基点からの相対的な期間であってもよい。
【0086】
図7に戻って説明を続ける。画像形成装置20のCPU21は、ステップS105で不揮発メモリ26に保存したファイルパス情報が示すファイルパスにステップS108で生成した制限ファイル40を保存し(ステップS110)、該制限ファイル40を当該コピー操作要求の要求元の端末装置10へ送信して(ステップS111)処理を終了する。
【0087】
図9、図10、図11は、図7に係る動作をシーケンスで表わしたものである。図9は、操作対象のデータが重要データではない場合(図7のステップS102;Noの場合)のシーケンスを示している。図10は、操作対象のデータが重要データであり、かつ暗号化済みでない場合(図7のステップS103;Noの場合)のシーケンスを示している。図11は、操作対象のデータが重要データであり、かつ暗号化済みの場合(図7のステップS103;Yesの場合)のシーケンスを示している。
【0088】
なお、データをボックスから端末装置10へ移動する移動操作要求の場合にもコピー操作要求の場合と同様の動作およびシーケンスとなる。
【0089】
<ケース2>
端末装置10から暗号化対象のデータを画像形成装置20に送信し、画像形成装置20でこれを暗号化して制限ファイル40を生成し、この制限ファイル40を端末装置10へ送信するという動作が行われる。ケース2の場合、端末装置10のアプリケーション・プログラム62にて印刷に関する指示を行うと自動的にMFPドライバが起動され、該MFPドライバが提供する操作入力画面において、暗号化に関する各種の設定や実行指示が行われる。
【0090】
図12(a)は、端末装置10のCPU51が表示装置57に表示させるMFPドライバの印刷設定画面80を示している。ここで当該端末装置10に複数種類のMFPドライバがインストールされている場合には、ドライバ指定欄81にデフォルトのMFPドライバが初期表示される。デフォルト設定されているMFPドライバに対応する画像形成装置20以外の画像形成装置20で暗号化処理(制限ファイル40の生成処理)を実行させたい場合は、図12(b)に示すようにプルダウン釦82を操作すると、インストール済みのMFPドライバのリスト83が表示され、その中から選択を受けると、その選択されたMFPドライバに切り替わるようになっている。
【0091】
次に、ユーザは暗号化対象のデータを指定する操作を行う。CPU51は、印刷設定画面80のプロパティ釦84が操作されると、図13(a)に示すプロパティ画面90を表示装置57に表示させる。プロパティ画面90には各種項目のタブが設けてあり、図13(a)はセキュリティタブ91が選択された場合の画面を示している。この画面にて暗号化対象のデータの指定や操作に対する許可条件(条件情報)の設定、暗号化の実行指示などのユーザ操作の受け付けが行われる。
【0092】
対象データ指定欄92には、暗号化対象のデータのパスおよびファイル名が入力される。ステータス欄93には、暗号化対象のデータに関する状態情報が表示される。
【0093】
暗号化対象のデータの指定が完了すると、図13(b)に示すように、ステータス欄93の表示が指定完了に変化する。また、暗号化の実行を指示するためのOK釦94と許可条件設定釦95が、操作を受け付け可能な有効状態に変化する。なお、ステータス欄93に表示されるステータスには、データ未指定、データ指定完了、データ送信中、データ暗号化中、制限ファイル受信中、制限ファイル保存完了などがある。
【0094】
許可条件設定釦95が操作されると、CPU51は表示装置57に図14に示すような操作許可条件設定画面100をプロパティ画面90上にポップアップ表示させる。操作許可条件設定画面100には、許可ユーザのユーザIDを設定する許可ユーザ設定欄101と、許可端末の端末IDを設定する許可端末設定欄102と、許可期間を設定する許可期間設定欄103と、許可操作毎のチェックボックス104a〜104eが設けられている。また、許可ユーザ、許可端末、許可期間の各条件に対応させてチェックボックス101a、102a、103aが設けてある。
【0095】
許可ユーザ、許可端末、許可期間に対応するチェックボックス101a、102a、103aにチャックマークを付すと、その許可条件がアクセス権を確認する際の条件の1つに設定され、チェックマークをつけていない許可条件は無視される。また、各操作に対応するチャックボックス104a〜104eにチェックマークが付された操作は許可対象にされ、チェックマークが付されていない操作は、許可ユーザ等の条件が一致しても許可されない操作になる。
【0096】
たとえば、図14では、許可操作として閲覧と印刷のチェックボックス104a、104cのみにチェックマークが付され、許可条件として許可端末のチェックボックス102aにはチェックマークが付されず、許可ユーザのチェックボックス101aと許可期間のチェックボックス103aにチェックマークが付されているので、「操作が行われる端末装置10は任意の端末でよく、許可期間設定欄103に設定された期間内かつ許可ユーザ設定欄101に設定されたユーザのみに対して閲覧(ぺージ移動は禁止)と印刷の操作のみを許可する」という条件になっている。なお、許可操作別に許可ユーザ、許可端末、許可期間などの条件を設定可能に構成されてもよい。また、許可条件や許可操作は例示したものに限定されず適宜設定すればよい。
【0097】
図15は、ケース2にて端末装置10が行う動作の流れを示し、図16は、ケース2にて画像形成装置20が行う動作の流れを示している。端末装置10のCPU51は、MFPドライバの起動要求を受けると(ステップS201;Yes)、図12に示す印刷設定画面80のドライバ指定欄81で指定されたMFPドライバを起動し(ステップS202)、図13のプロパティ画面90内の対象データ指定欄92にて暗号化対象データの指定操作を受ける(ステップS203)。次に、許可条件設定釦95の操作を受けると図14の操作許可条件設定画面100をポップアップ表示させ、この画面100にて、復号化や復号化後のデータの操作に対するアクセス権を確認する際の条件の設定を受け付ける(ステップS204)。
【0098】
そして、図13のプロパティ画面90にてOK釦94の操作を受けると、指定された暗号化対象データを暗号化して制限ファイル40を生成する処理を実行する。詳細には、端末装置10のCPU51は、指定された暗号化前の暗号化対象データのファイルパスを不揮発メモリ59に保存し(ステップS205)、Command信号1を、ドライバ指定欄81で指定されたMFPドライバに対応する画像形成装置20(以後これを、指定MFPとする)へ送信する(ステップS206)。Command信号1は、通信の可否を確認するためのコマンドである。
【0099】
Command信号1を受信した画像形成装置20は(図16:ステップS301;Yes)、Command信号1を受信したことを示すResult信号1を作成し、これをCommand信号1の送信元の端末装置10へ送信する(ステップS302)。
【0100】
端末装置10は、Command信号1を送信後、一定時間が経過する前にその送信先からResult信号を受信できない場合は(図15:ステップS207;Yes)、エラーで本処理を終了する。Command信号1を送信後、一定時間が経過する前にその送信先からResult信号1を受信した場合は(ステップS207;No、S208;Yes)、暗号化要求であるCommand信号2を作成して(ステップS209)これを指定MFPに送信する(ステップS210)。Command信号2には、暗号化対象データ、操作許可条件設定画面100にて設定された各条件、当該端末装置10の端末ID、暗号化を指示したユーザのユーザIDなどが含まれる。
【0101】
Command信号2を受信した画像形成装置20(指定MFP)は(図16:ステップS303;Yes)、Command信号2に対応するAck信号2をCommand信号2の送信元の端末装置10へ送信する(ステップS304)。さらに該画像形成装置20は、Command信号2に含まれている暗号化対象データを暗号化し(ステップS305)、制限ファイル40のヘッダ42の作成に必要な情報を収集・取得する(ステップS306)。ここでは、ヘッダ42に含めるユーザIDはCommand信号2に含まれていたものを使用する。装置IDやアプリケーション情報(MFPドライバ名、バージョン情報など)、確認先情報(アドレス情報…IPアドレスやURL)は、自装置のものを使用する。これらは不揮発メモリ26から読み出して取得する。また、新たな制限ファイルIDを生成する。
【0102】
指定MFPのCPU21は、これら収集・生成した情報に基づいてヘッダ42を作成し、該ヘッダ42とステップS305で暗号化して得た暗号化データ41と所定の自己解凍アプリケーション43とを含む制限ファイル40を生成する(ステップS307)。なお、自己解凍アプリケーション43は予めハードディスク装置25あるいはROM23に保存されており、これをコピーしたものを制限ファイル40に含めるようになっている。
【0103】
次に、指定MFPのCPU21は、この生成した制限ファイル40に関する管理情報を管理テーブル37に登録する(ステップS308)。管理テーブル37に登録する制限ファイルIDはCPU21が当該制限ファイル40に対してユニークに割り付けたものを使用する。またユーザIDおよび条件情報はCommand信号2に含まれるものを使用する。装置IDは自機の不揮発メモリ26から読み出した自機の装置IDを使用する。復号鍵は、暗号化データ41の作成時に使用した暗号鍵に対応するものを登録する。
【0104】
さらに指定MFPのCPU21は、ステップS307で生成した制限ファイル40を含むResult信号2を、Command信号2の送信元の端末装置10へ送信して(ステップS309)処理を終了する。
【0105】
端末装置10は、Command信号2を送信後、一定時間が経過する前にその送信先からAck信号2を受信できない場合(図15:ステップS211;Yes)もしくはAck信号2を受信したがその内容が受信エラーであった場合は(ステップS213;No)、エラーで本処理を終了する。Command信号2を送信後、一定時間が経過する前に正常受信を示すAck信号2を受信した場合は(ステップS211;No、S212;Yes、S213;Yes)、さらにResult信号2の受信を待つ。Ack信号2の受信後、一定時間が経過する前に指定MFPからResult信号2を受信できない場合は(ステップS214;Yes)、エラーで本処理を終了する。
【0106】
Ack信号2の受信後、一定時間が経過する前に指定MFPからResult信号2を受信した場合は(ステップS241;No、S215;Yes)、ステップS205にて保存した暗号化前の暗号化対象データのファイルパス情報を不揮発メモリ59から読み出し(ステップS216)、そのファイルパスに、受信した制限ファイル40を保存して(ステップS217)処理を終了する。
【0107】
図17は、図15、図16に係る動作をシーケンスで表わしている。
【0108】
次に、制限ファイル40の復号化および復号化後のデータへの操作に関する動作について説明する。
【0109】
画像形成装置20から端末装置10へ出力された制限ファイル40は、図1でも説明したように、USBメモリ6などに記憶して持ち出し、任意の情報処理装置でアクセス権を確認して利用することができる。
【0110】
図18は、制限ファイル40の利用に関して任意の情報処理装置(たとえば、端末装置10b)で行われる処理の流れを示している。また、図19はこれに対応する管理サーバとしての画像形成装置20の動作を示している。情報処理装置のOSプログラムは、データに対してダブルクリック操作を受けると(ステップS401)、そのデータの種類を判別し、そのデータに応じたアプリケーションを起動する。たとえば、ダブルクリックされたデータが通常の文書ファイルであれば(ステップS402;No)、規定のエディタプログラムなどを起動して、該文書ファイルを開くといった処理を行う(ステップS418)。
【0111】
情報処理装置のOSプログラムはダブルクリックされたデータが制限ファイル40の場合には、当該制限ファイル40の自己解凍アプリケーション43を起動する(ステップS403)。以後、情報処理装置は自己解凍アプリケーション43に従って動作する。起動された自己解凍アプリケーション43は自己解凍する。自己解凍後の自己解凍アプリケーション43は、当該制限ファイル40のヘッダ42を解析し(ステップS404)、さらに当該情報処理装置のレジストリ情報を取得する(ステップS405)。レジストリ情報と制限ファイル40のヘッダ42に含まれるアプリケーション情報とを比較し(ステップS406)、該アプリケーション情報の示すアプリケーションプログラム(該当アプリケーション)が当該情報処理装置にインストール済みか否かを判断する(ステップS407)。
【0112】
該当アプリケーションがインストールされていない場合は(ステップS407;No)、該当アプリケーションのインストール要求処理(ステップS408)を行って、該当アプリケーションを入手してインストールする。インストール要求処理の詳細は後述する。
【0113】
該当アプリケーションがインストール済みの場合(ステップS407;Yes)もしくはステップS408にてインストールを完了した場合は、その該当アプリケーション(ここでは、アプリケーション情報で指定されたMFPドライバ(該当MFPドライバ))を起動する(ステップS409)。以後、情報処理装置は起動したアプリケーションプログラム(該当MFPドライバ)に従って動作する。該当MFPドライバは、アクセス権の確認処理において管理サーバに登録されている条件情報と照合される照合情報を取得する。たとえば、照合情報の1つであるユーザIDやパスワードは、当該情報処理装置の表示装置にこれらの入力画面を表示し、ユーザから入力を受けることによって取得する。また、端末IDは、情報処理装置のシステム情報から取得する。
【0114】
該当MFPドライバは、取得した照合情報とヘッダ42に含まれていた制限ファイルIDとを含むCommand信号4を作成する(ステップS411)。Command信号4は、暗号化データ41の復号鍵の提供を求めるコマンドである。該当MFPドライバはこのCommand信号4を制限ファイル40のヘッダ42に含まれている確認先情報(アドレス情報)が示す管理サーバに送信する(ステップS412)。
【0115】
Command信号4を受信した画像形成装置20(管理サーバ)は(図19:ステップS321;Yes)、Ack信号4をCommand信号4の送信元に送信する(ステップS322)。その後、受信したCommand信号4に含まれている制限ファイルIDに対応付けて管理テーブル37に登録されている条件情報を読み出し、該条件情報と受信したCommand信号4に含まれている照合情報とを比較して、復号化を許可するか否かを判定する(ステップS323)。
【0116】
画像形成装置20(管理サーバ)は、復号化を許可する(アクセス権あり)と判定した場合は(図19:ステップS324;Yes)、Command信号4の送信元の情報処理装置に対して、該当の復号鍵を含むResult信号4を送信して(ステップS325)処理を終了する(End)。アクセス権なしと判定した場合は(ステップS324;No)、アクセス権なしを示す確認結果を含むResult信号4を返信して(ステップS326)処理を終了する(End)。
【0117】
情報処理装置では、Command信号4の送信後、一定時間が経過しても、当該Command信号4に対応するAck信号4を受信しない場合は(図18:ステップS413;Yes)、該当MFPドライバは自プログラムの動作を終了させる(End)。
【0118】
情報処理装置は、Command信号4の送信後、一定時間の経過前にAck信号4を受信した場合は(ステップS413;No、S414;Yes)、Command信号4の処理結果を含むResult信号4の受信を待つ(ステップS416;No)。Ack信号4の受信後、一定時間が経過してもResult信号4を受信できない場合は(ステップS416;No、S415;Yes)該当MFPドライバは自プログラムの動作を終了させる(End)。
【0119】
Ack信号4の受信後、一定時間の経過前にResult信号4を受信した場合は(ステップS416;Yes)、暗号化データ41の複製(コピー)を生成し(ステップS417)、該Result信号4に含まれる復号鍵を使用して複製(コピー)生成された暗号化データ41を復号化し、復号化完了と同時に復号鍵を削除する(ステップS417)。この場合、該当MFPドライバは、以後、復号化されたデータに対する操作を監視するバックグラウンド動作に移行する。
【0120】
このように、制限ファイル40のヘッダ42にアクセス権の確認先情報が含まれているので、この情報を使用して任意の情報処理装置から管理サーバに対してアクセス権の有無を問い合わせることができる。また、アクセス権の確認を管理サーバで行うので、許可の条件をいつでも変更することができ、たとえば、制限ファイル40を出力した後でも、必要に応じて復号化などの許可条件を変更することができ、暗号化データに柔軟で強固なセキュリティを与えることができる。
【0121】
図20は、該当アプリケーションのインストール要求処理の流れを示している。また図21はインストール要求を受けた場合の管理サーバ(画像形成装置20)の動作を示している。自己解凍アプリケーション43は、制限ファイル40のヘッダ42に含まれるアプリケーション情報が示すアプリケーションプログラムの転送要求を含むCommand信号3を作成し(ステップS421)、これを制限ファイル40のヘッダ42の確認先情報(該当管理サーバのアドレス情報)が示すアドレスへ送信する(ステップS422)。
【0122】
Command信号3を受信した画像形成装置20(管理サーバ)は(図21:ステップS341;Yes)、Command信号3に対応するAck信号3を該Command信号3の送信元へ送信する(ステップS342)。そして、Command信号3にて指定されたアプリケーションプログラム(ここでは、当該画像形成装置20のMFPドライバ)を該Command信号3の送信元へ送信して(ステップS343)処理を終了する(End)。
【0123】
情報処理装置では、Command信号3の送信後、一定時間が経過する前にAck信号3を受信できない場合は(図20:ステップS424;No、S423;Yes)、エラーで自己解凍アプリケーション43が強制終了する(ステップS426)。
【0124】
情報処理装置は、Command信号3の送信後、一定時間の経過前にAck信号3を受信した場合は(ステップS423;No、S424;Yes)、Command信号3の処理結果(該当アプリケーション)を含むResult信号3の受信を待つ。Ack信号3の受信後、一定時間が経過してもResult信号3を受信できない場合は(ステップS425;Yes)エラーで自己解凍アプリケーション43を強制終了する(ステップS426)。
【0125】
Ack信号3の受信後、一定時間の経過前にResult信号3を受信した場合は(ステップS427;Yes)、該Result信号3に含まれる該当アプリケーションを当該情報処理装置にインストールして(ステップS428)処理を終了する(End)。
【0126】
このように、該当アプリケーションを必要に応じて管理サーバから入手するので、制限ファイル40にアプリケーションプログラムを含める場合に比べて、制限ファイル40の容量を小さく抑えることができる。また、管理サーバから入手するので、アプリケーションプログラムの変更やバージョンUPに対して柔軟に対応することができる。
【0127】
図22およびその続きの図23は、図18において該当アプリケーションがインストールされていない場合(ステップS407;No)の動作に対応するシーケンスを示している。図24およびその続きの図25は、図18の流れにおいて該当アプリケーションがインストール済みの場合(ステップS407;Yes)の動作に対応するシーケンスを示している。
【0128】
図26は、復号化後のデータ(復号データと呼ぶ。)に対する操作を監視するアプリケーションプログラムの動作を示している。図27は、図26の動作に対してアクセス権の確認を行う管理サーバの動作を示している。
【0129】
情報処理装置では、図18のステップS409で起動されたアプリケーションプログラムの制御により、復号データのタスクおよび復号データへの操作を監視しており(ステップS501)、閲覧開始、閲覧ページの移動、印刷、修正(変更)、複製などの操作の要求が行われたことを検知すると(ステップS502)、該操作要求の発生に伴う処理を行って(ステップS503)、ステップS504へ移行する。なお、操作要求の発生に伴う処理の詳細は後述する。操作要求が検知されない場合はステップS504へ移行する(ステップS502;No)。
【0130】
ステップS504では、前回のアクセス権確認から一定時間(たとえば、10分)が経過したか否かを調べ、一定時間が経過していなければ(ステップS504;No)、ステップS501へ移行する。なお、初回のアクセス権確認は、復号鍵の要求において行われている。前回のアクセス権確認から一定時間が経過した場合は(ステップS504;Yes)、再度、アクセス権の確認を行う。
【0131】
詳細には、復号データに対する閲覧等の操作の継続に対するアクセス権の確認を要求するCommand信号5を作成し(ステップS505)、これをヘッダ42の確認先情報が示す管理サーバへ送信する(ステップS506)。Command信号5には、Command信号4と同様にアクセス権の確認に必要な照合情報および制限ファイルIDが含まれる。この際、入力画面を表示して照合情報(ユーザIDやパスワードなど)の再入力を求めるようになっている。なお、利便性を重視する場合は、照合情報の再入力を求めず、前回のものを使用する構成とされてもよい。
【0132】
Command信号5を受信した画像形成装置20(管理サーバ)は(図27:ステップS361;Yes)、受信したCommand信号5に含まれている制限ファイルIDに対応付けて管理テーブル37に登録されている条件情報を読み出し、該条件情報と受信したCommand信号5に含まれている照合情報とを比較して、アクセス権の有無(操作の継続を許可するか否か)を判定する(ステップS362)。
【0133】
画像形成装置20(管理サーバ)は、アクセス権ありと判定した場合は(図27:ステップS363;Yes)、Command信号5の送信元の情報処理装置に対して、アクセス権あり(継続操作の許可)を示す確認結果を含むResult信号5を送信して(ステップS364)処理を終了する(End)。アクセス権なしと判定した場合は(ステップS363;No)、アクセス権なし(継続操作の不許可)を示す確認結果を含むResult信号5を送信して(ステップS365)処理を終了する(End)。
【0134】
情報処理装置では、Command信号5を送信後、一定時間が経過する前にCommand信号5に対応するResult信号5を受信した場合は(図26:ステップS508;Yes)、そのResult信号5を解析し(ステップS509)、アクセス権ありを示す確認結果が含まれている場合は(ステップS510;Yes)、復号データの閲覧の継続を許可する(ステップS511)。その後、復号データのタスクが終了したか否かを調べ、終了していない場合は(ステップS513;No)、ステップS501に戻って監視処理を継続する。タスク終了の場合は、(ステップS513;Yes)本処理を終了する(End)。なお、タスク終了時に復号データを削除するようになっている。
【0135】
一定時間の経過前にResult信号5を受信できなかった場合(ステップS508;No、S507;Yes)および受信したRersult信号5がアクセス権なしを示す確認結果を含んでいる場合は(ステップS510;No)、復号データのタスクを強制終了させて(ステップS512)本処理を終了する(End)。なお、強制終了の場合に復号データを削除するように構成されてもよい。
【0136】
このように、復号データの閲覧中は一定時間の経過毎にアクセス権の確認が行われる。たとえば、アクセス権の許可に関する条件として許可期間が設定されている場合には、継続閲覧中に許可期間外になれば、その時点でアクセス権なしと判定されて閲覧が強制終了される。また、閲覧状態で放置された場合には、一定時間毎に照合情報(ユーザIDやパスワードなど)の入力を求めてアクセス権の確認を行うので、閲覧状態で放置された復号データを権限のないユーザが無断で閲覧するといった事態を防止することができる。さらに、たとえば、パスワードの不正入手などによって復号化されたことが判明したような場合には、管理サーバ側の許可条件を変更すれば、復号データに対する以後のアクセスを禁止することができ、各種の事態に柔軟に対応して強固なセキュリティを確保することができる。
【0137】
図28、図29、図30は、図26、図27に示す動作に対応するシーケンスを示している。図28は、確認結果がアクセス権ありの場合のシーケンスを示し、図29は、確認結果がアクセス権なしの場合のシーケンスを示している。図30は、通信障害などによりCommand信号5に対するResult信号5を受信できなかった場合のシーケンスを示している。図30の破線で囲った期間は通信障害が生じた期間を示している。
【0138】
図31は、操作要求発生に伴う処理(図26のステップS503に対応する処理)の流れを示している。操作を監視するアプリケーションプログラムは、発生した操作要求にかかわる操作に対してブロックをかけてその操作の実行を禁止する(ステップS541)。次に発生した操作に係るアクセス権の確認を要求するCommand信号6を作成し(ステップS542)、これをヘッダ42の確認先情報が示す管理サーバへ送信する(ステップS543)。Command信号6には、Command信号5と同様にアクセス権の確認に必要が照合情報および制限ファイルIDが含まれる。また、この際、入力画面を表示して照合情報(ユーザIDやパスワードなど)の再入力を求める。なお、利便性を重視する場合は、照合情報の再入力を求めず、前回のものを使用する構成とされてもよい。
【0139】
Command信号6を受信した画像形成装置20(管理サーバ)は図27と同様の処理(ただし、Command信号5をCommand信号6に置き換える)が行われ、アクセス権あり、または、アクセス権なしの確認結果を含むResulut信号6が返信される。
【0140】
情報処理装置では、Command信号6を送信後、一定時間が経過する前にCommand信号6に対応するResult信号6を受信した場合は(図31:ステップS545;Yes)、そのResult信号6を解析し(ステップS546)、アクセス権ありを示す確認結果が含まれている場合は(ステップS547;Yes)、復号データに対する当該操作を許可する(ステップS549)。その後、当該操作が復号データに対して実行されたことを検知し(ステップS550)、図26のステップS504の判定に係る時間の計測を再開して(ステップS551)処理を終了する(End)。
【0141】
一定時間の経過前にResult信号6を受信できないかった場合(ステップS545;No、S544;Yes)および受信したRersult信号6がアクセス権なしを示す確認結果を含んでいる場合は(ステップS547;No)、復号データに対する当該操作を不許可として禁止し(ステップS548)、本処理を終了する(End)。このとき、不許可であることを操作中のユーザに通知するメッセージを表示するように構成してもよい。
【0142】
図32は、図31の動作に対応するシーケンスを示している。
【0143】
このように、操作が発生するごとに、その操作に対するアクセス権を管理サーバに確認するので、復号データの操作に対するセキュリティを高めることができる。また、管理サーバでアクセス権を確認するので、許可条件を随時変更することができ、許可条件の変更要請に柔軟に対応することができる。たとえば、印刷を禁止した許可条件で生成された制限ファイル40を出張先に持ち出したが、急に出張先で該制限ファイル40にかかわる印刷が必要となったような場合でも、管理者等に電話して許可条件の変更を依頼し、それが認められて管理サーバに登録されている許可条件が変更されれば、以後は印刷操作に対するアクセス権も許可されるようになるので、出張先での印刷が可能になる。
【0144】
以上、本発明の実施の形態を図面によって説明してきたが、具体的な構成は実施の形態に示したものに限られるものではなく、本発明の要旨を逸脱しない範囲における変更や追加があっても本発明に含まれる。
【0145】
たとえば、実施の形態では、制限ファイル40に自己解凍アプリケーション43を含めるようにしたが、これを含めない構成にされてもよい。またヘッダ42には少なくとも確認先情報が含まれればよく、他の情報は付加されなくてもかまわない。たとえば、ユーザIDや装置ID、アプリケーション情報はヘッダ42に含めない構成にされてもよい。
【0146】
ヘッダ42にユーザ情報や装置IDが含まれている場合は、これを照合情報の補助情報として管理サーバに送信する構成にしてもよい。
【0147】
また、管理テーブル37および制限ファイル40のヘッダ42に制限ファイルIDを登録し、制限ファイル毎に個別の条件でアクセス権を確認するように構成したが、すべての制限ファイルに共通の条件でアクセス権の有無を判定する場合には、制限ファイルIDの登録はなくてもよい。
【0148】
また、実施の形態では、照合情報として管理サーバに送信する端末IDを、復号データを監視するアプリケーションプログラムが自動的に情報処理装置から収集するようにしたが、使用者が入力画面を通じて入力する構成にされてもよい。
【0149】
許可対象の操作は、実施の形態に例示したものに限定されない。なお、復号データを他の端末へ送信する操作は複製の操作に含まれる。
【0150】
確認先情報は、管理サーバのネットワーク上のアドレス情報に限定されるものではなく、指定の管理サーバへのアクセスを可能にする情報であればよい。たとえば、管理サーバのID情報からアドレス情報を入手可能(既知のサーバに問い合わせればID情報から管理サーバのアドレス情報が提供されるような場合など)であれば、管理サーバのID情報を確認先情報としてもかまわない。
【0151】
また、実施の形態では画像形成装置20にてデータの暗号化を行うようにしたが、暗号化は別の装置で行われてもよく、画像形成装置20は、その暗号化データに少なくとも確認先情報を付加した制限ファイル40を生成するように構成されてもよい。たとえば、ケース2の場合に、暗号鍵を管理サーバから端末装置10へ送信し、この暗号鍵を使用して端末装置10側で暗号化を行い、該暗号化で得た暗号化データを画像形成装置20へ送信し、画像形成装置20はこの暗号化データを含む制限ファイル40を生成して端末装置10へ返送しかつ管理テーブル37に必要な管理情報を登録する、といった構成にされてもよい。
【0152】
また、実施の形態では画像形成装置20が制限ファイル40を生成する制限ファイル生成装置としての機能と管理サーバとしての機能を併せ持つように構成したが、制限ファイル生成装置と管理サーバとを別装置に分けられて構成してもかまわない。また、制限ファイル生成装置としての機能や管理サーバとしての機能は画像形成装置に設ける必要はなく、それぞれ専用の装置として設けられてもよい。
【0153】
また、復号化を情報処理装置で行うようにしたが、情報処理装置から管理サーバへ暗号化データを送信し、管理サーバで復号化し、復号化後の復号データを情報処理装置に返信するように構成されてもよい。
【符号の説明】
【0154】
2…印刷システム
3…第1LAN
4…第2LAN
5…WAN
6…USBメモリ
10…端末装置
20…画像形成装置(MFP)
21…CPU
22…バス
23…ROM
24…RAM
25…ハードディスク装置
26…不揮発メモリ
27…操作表示部
28…認証部
31…ファクシミリ通信部
32…ネットワーク通信部
33…画像処理部
34…スキャナ部
35…プリンタ部
37…管理テーブル
38…ボックス
40…制限ファイル
41…暗号化データ
42…ヘッダ
43…自己解凍アプリケーション
51…CPU
52…バス
53…ROM
54…RAM
55…ネットワークI/F部
56…操作部
57…表示装置
58…ハードディスク装置
59…不揮発メモリ
61…OSプログラム
62…アプリケーション・プログラム
63…MFPドライバ
71…Header
72…IdenticalCode
73…パラメータ
74…付属データ
80…印刷設定画面
81…ドライバ指定欄
82…プルダウン釦
83…リスト
84…プロパティ釦
90…プロパティ画面
91…セキュリティタブ
92…対象データ指定欄
93…ステータス欄
94…OK釦
95…許可条件設定釦
100…操作許可条件設定画面
101…許可ユーザ設定欄
102…許可端末設定欄
103…許可期間設定欄
【特許請求の範囲】
【請求項1】
アクセス制限されたデータと、前記データに対するアクセス権の確認先の管理サーバを示す確認先情報とを含む
ことを特徴とするアクセス制限ファイル。
【請求項2】
前記確認先情報が示す管理サーバに前記確認を依頼する処理を通信機能付きの情報処理装置に行わせるプログラム、もしくは前記情報処理装置に前記プログラムを入手する処理を行わせる入手プログラムをさらに含む
ことを特徴とする請求項1に記載のアクセス制限ファイル。
【請求項3】
前記プログラムは、前記データに対して所定の操作を行う要求を受けたとき、前記管理サーバに対して前記確認を依頼し、アクセス権が確認された場合は前記データに対する前記操作を許可し、アクセス権が確認されない場合は前記データに対する前記操作を禁止するように前記情報処理装置を動作させるものである
ことを特徴とする請求項2に記載のアクセス制限ファイル。
【請求項4】
前記プログラムは、前記操作が所定時間継続されたとき、前記確認を再度依頼し、アクセス権が確認された場合は前記データに対する前記操作の継続を許可し、アクセス権が確認されない場合は前記データに対する前記操作の継続を禁止するように前記情報処理装置を動作させるものである
ことを特徴とする請求項3に記載のアクセス制限ファイル。
【請求項5】
前記操作は、前記データの閲覧開始、前記データにおける閲覧ページの変更、前記データの更新、前記データの印刷、前記データの複製の少なくとも1つである
ことを特徴とする請求項3に記載のアクセス制限ファイル。
【請求項6】
前記プログラムは、前記確認に使用される照合情報を入力し、該入力された照合情報を付加して前記依頼を行うように前記情報処理装置を動作させるものである
ことを特徴とする請求項2乃至5のいずれか1つに記載のアクセス制限ファイル。
【請求項7】
前記アクセス制限データは暗号化データである
ことを特徴とする請求項1乃至6のいずれか1つに記載のアクセス制限ファイル。
【請求項8】
アクセス制限されたデータと、前記データに対するアクセス権の確認先の管理サーバを示す確認先情報とを含むアクセス制限ファイルを生成する生成部、
を有する
ことを特徴とする制限ファイル生成装置。
【請求項9】
前記アクセス権を確認するための条件情報を前記管理サーバに登録する条件登録部をさらに有する
ことを特徴とする請求項8に記載の制限ファイル生成装置。
【請求項10】
前記生成部は、前記確認先情報を使用して前記管理サーバに前記確認を依頼する処理を通信機能付きの情報処理装置に行わせるプログラム、もしくは前記情報処理装置に前記プログラムを入手する処理を行わせる入手プログラムをさらに前記アクセス制限ファイルに含める
ことを特徴とする請求項8または9に記載の制限ファイル生成装置。
【請求項11】
前記プログラムは、前記データに対して所定の操作を行う要求を受けたとき、前記管理サーバに対して前記確認を依頼し、アクセス権が確認された場合は前記データに対する前記操作を許可し、アクセス権が確認されない場合は前記データに対する前記操作を禁止するように前記情報処理装置を動作させるものである
ことを特徴とする請求項10に記載の制限ファイル生成装置。
【請求項12】
前記プログラムは、前記操作が所定時間継続されたとき、前記確認を再度依頼し、アクセス権が確認された場合は前記データに対する前記操作の継続を許可し、アクセス権が確認されない場合は前記データに対する前記操作の継続を禁止するように前記情報処理装置を動作させるものである
ことを特徴とする請求項11に記載の制限ファイル生成装置。
【請求項13】
前記操作は、前記データの閲覧開始、前記データにおける閲覧ページの変更、前記データの更新、前記データの印刷、前記データの複製の少なくとも1つを含む
ことを特徴とする請求項11に記載のアクセス制限ファイル。
【請求項14】
前記プログラムは、前記確認に使用される照合情報を入力し、その入力された照合情報を付加して前記依頼を行うように前記情報処理装置を動作させるものである
ことを特徴とする請求項10乃至13のいずれか1つに記載の制限ファイル生成装置。
【請求項15】
前記アクセス制限されたデータは暗号化データであり、
前記生成部は、平文を暗号化して前記暗号化データを生成する
ことを特徴とする請求項8乃至14のいずれか1つに記載の制限ファイル生成装置。
【請求項1】
アクセス制限されたデータと、前記データに対するアクセス権の確認先の管理サーバを示す確認先情報とを含む
ことを特徴とするアクセス制限ファイル。
【請求項2】
前記確認先情報が示す管理サーバに前記確認を依頼する処理を通信機能付きの情報処理装置に行わせるプログラム、もしくは前記情報処理装置に前記プログラムを入手する処理を行わせる入手プログラムをさらに含む
ことを特徴とする請求項1に記載のアクセス制限ファイル。
【請求項3】
前記プログラムは、前記データに対して所定の操作を行う要求を受けたとき、前記管理サーバに対して前記確認を依頼し、アクセス権が確認された場合は前記データに対する前記操作を許可し、アクセス権が確認されない場合は前記データに対する前記操作を禁止するように前記情報処理装置を動作させるものである
ことを特徴とする請求項2に記載のアクセス制限ファイル。
【請求項4】
前記プログラムは、前記操作が所定時間継続されたとき、前記確認を再度依頼し、アクセス権が確認された場合は前記データに対する前記操作の継続を許可し、アクセス権が確認されない場合は前記データに対する前記操作の継続を禁止するように前記情報処理装置を動作させるものである
ことを特徴とする請求項3に記載のアクセス制限ファイル。
【請求項5】
前記操作は、前記データの閲覧開始、前記データにおける閲覧ページの変更、前記データの更新、前記データの印刷、前記データの複製の少なくとも1つである
ことを特徴とする請求項3に記載のアクセス制限ファイル。
【請求項6】
前記プログラムは、前記確認に使用される照合情報を入力し、該入力された照合情報を付加して前記依頼を行うように前記情報処理装置を動作させるものである
ことを特徴とする請求項2乃至5のいずれか1つに記載のアクセス制限ファイル。
【請求項7】
前記アクセス制限データは暗号化データである
ことを特徴とする請求項1乃至6のいずれか1つに記載のアクセス制限ファイル。
【請求項8】
アクセス制限されたデータと、前記データに対するアクセス権の確認先の管理サーバを示す確認先情報とを含むアクセス制限ファイルを生成する生成部、
を有する
ことを特徴とする制限ファイル生成装置。
【請求項9】
前記アクセス権を確認するための条件情報を前記管理サーバに登録する条件登録部をさらに有する
ことを特徴とする請求項8に記載の制限ファイル生成装置。
【請求項10】
前記生成部は、前記確認先情報を使用して前記管理サーバに前記確認を依頼する処理を通信機能付きの情報処理装置に行わせるプログラム、もしくは前記情報処理装置に前記プログラムを入手する処理を行わせる入手プログラムをさらに前記アクセス制限ファイルに含める
ことを特徴とする請求項8または9に記載の制限ファイル生成装置。
【請求項11】
前記プログラムは、前記データに対して所定の操作を行う要求を受けたとき、前記管理サーバに対して前記確認を依頼し、アクセス権が確認された場合は前記データに対する前記操作を許可し、アクセス権が確認されない場合は前記データに対する前記操作を禁止するように前記情報処理装置を動作させるものである
ことを特徴とする請求項10に記載の制限ファイル生成装置。
【請求項12】
前記プログラムは、前記操作が所定時間継続されたとき、前記確認を再度依頼し、アクセス権が確認された場合は前記データに対する前記操作の継続を許可し、アクセス権が確認されない場合は前記データに対する前記操作の継続を禁止するように前記情報処理装置を動作させるものである
ことを特徴とする請求項11に記載の制限ファイル生成装置。
【請求項13】
前記操作は、前記データの閲覧開始、前記データにおける閲覧ページの変更、前記データの更新、前記データの印刷、前記データの複製の少なくとも1つを含む
ことを特徴とする請求項11に記載のアクセス制限ファイル。
【請求項14】
前記プログラムは、前記確認に使用される照合情報を入力し、その入力された照合情報を付加して前記依頼を行うように前記情報処理装置を動作させるものである
ことを特徴とする請求項10乃至13のいずれか1つに記載の制限ファイル生成装置。
【請求項15】
前記アクセス制限されたデータは暗号化データであり、
前記生成部は、平文を暗号化して前記暗号化データを生成する
ことを特徴とする請求項8乃至14のいずれか1つに記載の制限ファイル生成装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【公開番号】特開2010−178077(P2010−178077A)
【公開日】平成22年8月12日(2010.8.12)
【国際特許分類】
【出願番号】特願2009−18676(P2009−18676)
【出願日】平成21年1月29日(2009.1.29)
【出願人】(303000372)コニカミノルタビジネステクノロジーズ株式会社 (12,802)
【Fターム(参考)】
【公開日】平成22年8月12日(2010.8.12)
【国際特許分類】
【出願日】平成21年1月29日(2009.1.29)
【出願人】(303000372)コニカミノルタビジネステクノロジーズ株式会社 (12,802)
【Fターム(参考)】
[ Back to top ]