ユーザー及び印刷データの認証を用いてロック印刷データを印刷する方法
【課題】ユーザー及び印刷データの認証を用いてロックされた印刷データを印刷する方法を提供する。
【解決手段】種々の環境に適用され、双方向のセキュリティ手段を実装し使用して、1人以上の対象受領者による、文書のプリンターへの安全な送信、及び文書のプリンターからの読み出しを保証する。特に、双方向のセキュリティ手段は、(1)文書が作成者により指定された対象受領者によってのみ受信されること、(2)文書の作成者と対象受領者の両方が、認証に成功すること、(3)対象受領者により受信された文書が、作成者により作成された文書であること、(4)対象受領者により受信された文書が作成者により作成された文書と同一であること、を保証する。
【解決手段】種々の環境に適用され、双方向のセキュリティ手段を実装し使用して、1人以上の対象受領者による、文書のプリンターへの安全な送信、及び文書のプリンターからの読み出しを保証する。特に、双方向のセキュリティ手段は、(1)文書が作成者により指定された対象受領者によってのみ受信されること、(2)文書の作成者と対象受領者の両方が、認証に成功すること、(3)対象受領者により受信された文書が、作成者により作成された文書であること、(4)対象受領者により受信された文書が作成者により作成された文書と同一であること、を保証する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、印刷装置に関し、特にユーザー及び印刷データの認証を用いてロック印刷データを印刷する方法に関する。
【背景技術】
【0002】
ここで記載される手法は、追求され得た手法であるが、しかし必ずしも以前に考えられ又は追求されていた手法ではない。従って、特に示さない限り、ここに記載される手法は、本願の請求項に対する先行技術ではなく、またここに記載されることにより先行技術とみなされるべきではない。
【0003】
コンピューター技術の普及とインターネットの成長により、電子情報へのアクセスが大幅に向上した。秘密又は機密情報を含む電子文書への不正アクセスに関する問題は、これらの電子文書がスキャンによりプリンターへ提出された後、又はコンピューター・ネットワーク若しくはインターネットを介してプリンターへ送信された後に、印刷される予定になっているときに生じる。
【0004】
秘密又は機密情報を含む電子文書への不正アクセスに関する別の種類の問題は、文書の認可された作成者によりプリンターへ提出されたが、認可されていない団体(人やグループ)により印刷される電子文書に当てはまる。この場合、秘密又は機密情報を含む電子文書は、プリンターのメモリーに安全でないまま格納され、プリンターへアクセスできる認可されていない団体が秘密文書を含む印刷ジョブを解放し、当該文書の多数の認可されていない複製を生成する可能性がある。
【0005】
秘密又は機密情報を含む電子文書への不正アクセスに関する別の種類の問題は、暗号化されていない形式で送信される電子文書に当てはまる。電子文書が通信接続を介して印刷装置へ暗号化されていない形式で送信される場合、当該通信接続にアクセスできる認可されていない団体は、暗号化されていない形式の電子文書を容易に妨害できてしまう。例えば、認可されていない団体は、電子文書へのアクセスを得るために有線による通信接続を傍受しうる。盗聴者は有線ネットワークへの物理的なアクセスを必要とせず、代わりに遠隔で盗聴できるので、無線ネットワークは、特に攻撃されやすい。このように、認可されていない団体は、印刷装置との無線通信を監視し、印刷装置へ送信される電子文書を妨害しうる。
【0006】
秘密又は機密情報を含む電子文書への不正アクセスを防ぐ多くの手法が開発されている。例えば、印刷機のユーザーは、印刷、コピー、又は文書のスキャン等のジョブを始める前に認可される必要がある。
【0007】
印刷のために送信される電子文書を守る多数の保護方式が実施されている。例えば、電子文書は、インターネットのような公衆ネットワークを介して送信される前に暗号化される。これは、使用される暗号に依存するが、暗号化された電子文書を妨害する認可されていない団体が、元の電子文書を復元することを不可能ではないが困難にする。
【0008】
他の解決策は、所謂「ロック印刷」機能(つまり、印刷データが印刷されるまでロックが掛かっていると言う意味である)である。ロック印刷を備えた印刷装置は、電子文書の印刷にある種の制御を提供する。印刷装置がロック印刷を備え、印刷データが印刷装置へ送信される場合、電子文書の印刷されたものは、受領者が確認されるまで印刷装置で生成されない。標準的に、受領者は、パスワードのような認証データを、印刷装置の操作パネルを通じて入力する。印刷装置は認証データを検証し、成功した場合に印刷装置は電子文書の印刷を許可する。このような仕組を、本願明細書ではロック印刷と呼ぶ。
【発明の概要】
【発明が解決しようとする課題】
【0009】
従来のロック印刷の手法に伴う1つの問題は、印刷装置に格納された文書が第三者による不正アクセスを受けやすいことである。ロックされた印刷文書は、従来は、認可された受領者がロックされた印刷文書を印刷するまで、印刷装置に格納されていた。その間、認可されていない第三者は、有効な認証データを入力し、印刷装置に格納されているロックされた印刷データへのアクセスを試みうる。これは、ロックされた印刷データが秘密情報を含む場合に特に問題である。
【0010】
以上に鑑みると、従来の手法の制限に捕らわれず、電子文書を安全に印刷する方法が必要である。
【課題を解決するための手段】
【0011】
ユーザー及び印刷データの認証を用いてロックされた印刷データを印刷する方法を提供する。方法は、種々の環境に適用され、双方向のセキュリティ手段を有し、対象受領者による、文書のプリンターへの安全な送信、及び文書のプリンターからの読み出しを保証する。
【0012】
双方向のセキュリティ手段は、(1)文書が作成者により指定された対象受領者によってのみ受信されること、(2)文書の作成者と対象受領者の両方が、認証に成功すること、(3)対象受領者により受信された文書が、作成者により作成された文書であること、(4)対象受領者により受信された文書が作成者により作成された文書と同一であること、を保証する。
【0013】
方法は、ロックされた印刷データを提出する種々の方法に適用される。ロックされた印刷データを提出する種々の方法には、文書を印刷装置にスキャニングする方法、電子文書を印刷装置へコンピューター・ネットワーク又はインターネット等を介して転送する方法、を含む。
【0014】
方法は、作成者により文書を提出する種々の方法、文書の作成者及び文書の対象受領者を認証する種々の方法、及び文書データの電子版を暗号化し復号化する種々の方法を提供する。
【0015】
本発明のある実施例では、印刷装置は、ユ―ザー・インターフェース、スキャニング・モジュール、ロック印刷モジュール、を有する。各モジュールは、ローカル・メモリーと通信可能に結合される。
【0016】
ユーザー・インターフェースは、作成者及び受領者に情報を表示し、作成者の認証データを受信し、作成者の認証データを用いて作成者を認証し、作成者の認証が成功すると、作成者と関連付けられた作成者の秘密鍵を読み出す。作成者は、限定ではなく、認証カードを用いた認証を含む種々の認証方法を用いて認証される。
【0017】
スキャニング・モジュールは、印刷した文書をスキャンし、電子文書としてローカル・メモリーに格納する。或いは、作成者は、自身の文書を自身のクライアント装置から(作成者のクライアント装置にあるソフトウェア・アプリケーションを用いて)、作成者のクライアント装置と印刷装置のローカル・メモリーとの間の通信接続を介して提出する。
【0018】
ロック印刷モジュールは、電子文書と作成者の秘密鍵とを用いて、デジタル署名を生成する。例えば、作成者の秘密鍵を用いたデジタル署名は、電子文書のハッシュコードを暗号化する。更に、ロック印刷モジュールは、作成者の入力に応じて、電子文書の1又は複数の対象受領者、各受領者が印刷を許可された電子文書の電子版のコピー数、及び作成者の文書の作成者を識別する作成者の識別情報データを指定する受領者データを生成する。更に、ロック印刷モジュールは、電子文書と関連付けられた受領者データを格納する。
【0019】
更に、ロックされた印刷データの印刷処理は、受領者の認証が成功し、受領者が受領者のために表示された文書のリストから電子文書を選択すると、電子文書と関連付けられた受領者データを読み出す。更に、ロックされた印刷データの印刷処理は、作成者の識別情報データを読み出し、作成者の識別情報データを用いて、作成者の公開鍵を読み出す。次に、作成者の公開鍵を用い、ロックされた印刷データの印刷処理は、暗号化されたデジタル署名を復号化し、第1のハッシュコードを復元し、電子文書を用いて第2のハッシュコードを生成し、第1のハッシュコードと第2のハッシュコードが一致した場合、受領者が復号化された電子版の電子文書のコピー数まで印刷することを許可する。
【0020】
図中、同様の参照符号は同様の要素を表す。
【図面の簡単な説明】
【0021】
【図1】本発明の実施例による、ユーザー及び印刷データの認証を用い、ロックされた印刷データを印刷する装置を示すブロック図である。
【図2】本発明の実施例による、ユーザー及び印刷データの認証を用い、ロックされた印刷データを印刷する装置を示すブロック図である。
【図3】本発明の実施例による、文書の作成者を認証する方法のフロー図を示す。
【図4】本発明の実施例による、ユーザー及び印刷データの認証を用い、ロックされた印刷データを印刷する方法を示すフロー図である。
【図5】本発明の実施例による、ユーザー及び印刷データの認証を用い、ロックされた印刷データを印刷する方法を示すブロック図である。
【図6】本発明の実施例が実施され得るコンピューター・システムのブロック図である。
【発明を実施するための形態】
【0022】
以下の詳細な説明では、説明を目的として、本発明の完全な理解を提供するために、多くの詳細事項が説明される。しかしながら、当業者は、本発明がそのような特定の詳細にかかわらず実施されてよいことを理解するだろう。他の例では、本発明を不明瞭にすることを回避するため、良く知られた構造及び装置がブロック図の形式で示される。本発明の種々の態様を以下に記載する。
I.概要
II.ユーザー及び印刷データの認証を用いてロックされた印刷データを印刷する方法
A.アーキテクチャ
B.機能の概要
(1)スキャンしたロックされた印刷データを印刷する実施例
(2)スキャンしたロックされた印刷データを印刷する別の実施例
III.実施のメカニズム。
【0023】
I.概要
ユーザー及び印刷データの認証を用いてロックされた印刷データを印刷する方法を提供する。方法は、種々の環境に適用され、双方向のセキュリティ手段を実装し使用して、1人以上の対象受領者による、文書のプリンターへの安全な送信、及び文書のプリンターからの取り出しを保証する。特に、双方向のセキュリティ手段は、(1)文書が作成者により指定された対象受領者によってのみ受信されること、(2)文書の作成者と対象受領者の両方が、認証に成功すること、(3)対象受領者により受信された文書が、作成者により作成された文書であること、(4)対象受領者により受信された文書が作成者により作成された文書と同一であること、を保証する。
【0024】
方法は、ロックされた印刷データを提出する種々の方法に適用される。ロックされた印刷データを提出する種々の方法には、文書を印刷装置にスキャニングする方法、電子文書を印刷装置へコンピューター・ネットワーク又はインターネット等を介して転送する方法、を含む。
【0025】
II.ユーザー及び印刷データの認証を用いてロックされた印刷データを印刷する方法
ユーザー及び印刷データの認証を用いてロックされた印刷データを印刷することは、一般に、文書の作成者を認証すること、文書の受領者及び各受領者が印刷を許可されるコピー数を指定すること、文書のデジタル署名を作成すること、指定した受領者を認証すること、文書データがデジタル署名されてから変更されたかを検証すること、及び対象受領者に文書の電子版の最大コピー数を印刷することを許可すること、を含む。
【0026】
A.アーキテクチャ
図1は、ユーザー及び印刷データの認証を用い、ロックされた印刷データを印刷する装置100を示すブロック図である。装置100は、文書の作成者102、印刷装置106、及び文書の受領者103を有する。印刷装置106は、図1に示されない他の装置及び要素と通信可能に結合されてよい。
【0027】
ある実施例では、作成者102は、印刷装置106を用い、手動で印刷装置106を操作するユーザーである。同様に、ある実施例では、受領者103は、印刷装置106を用い、手動で印刷装置106を操作するユーザーである。
【0028】
作成者102は、文書を印刷装置106に提出する。一方、受領者103は文書を印刷装置106から取り出す。文書を印刷装置106に提出する方法、及び文書を取り出す方法を以下に説明する。
【0029】
印刷装置106は、電子文書を印刷可能な任意の装置であってよい。印刷装置106の例には、限定ではなく、プリンター、コピー機、ファクシミリ、及び複合機(Multi−Function Peripheral:MFP)が含まれる。MFPは、1つの装置に複数の装置の機能を組み込んだ周辺機器であり、文書の集中管理、分配、生成を提供する。標準的なMFPは、プリンター、スキャナー、複写機、ファクシミリ、及び電子メール・ステーションの一部又は全ての組み合わせとして動作する。
【0030】
本発明のある実施例では、印刷装置106は、ユ―ザー・インターフェース114、スキャニング・モジュール116、ロック印刷モジュール118、及びデータ122を格納する記憶装置120を有する。ユーザー・インターフェース114、スキャニング・モジュール116、ロック印刷モジュール118は、互いに通信可能に接続され、記憶装置120にデータを格納でき、記憶装置120からデータを読み出すことができる。
【0031】
印刷装置106は、個々の実装に依存して、他のメカニズム、処理、及び機能を備えられてよい。また、本願明細書に記載される、ユーザー及び印刷データの認証を用いてロックされた印刷データを印刷する方法は、任意の種類の印刷装置106に限定されない。
【0032】
ユーザー・インターフェース114は、作成者102、受領者103、及び印刷装置106との間の情報交換を提供する任意のメカニズム及び/又は媒体により実施されてよい。ユーザー・インターフェース114の例には、限定でなく、ディスプレイとキーパッド若しくはキーボードを備えた制御パネル、陰極管(CRT)、液晶ディスプレイ(LCD)、キーボード、タッチパッド、マウス、トラックボール、マイク及びスピーカー、及びそれらの任意の組み合わせを含む。
【0033】
ある実施例では、ユーザー・インターフェース114は、作成者及び受領者に情報を表示し、作成者及び受領者からデータ入力を受信し、データ122を記憶装置120に格納及び読み出し、作成者及び受領者を認証する。ユーザー・インターフェース114は、作成者102及び受領者103に情報を表示し、作成者102及び受領者103により情報を入力させる操作パネルを有する。ユーザー・インターフェース114は、情報をユーザーに伝達するディスプレイ、及びタッチパッド、ボタン、又はユーザー入力を受信するタッチスクリーンを有する。
【0034】
印刷装置106は、個々の実装に依存して、ユーザー・インターフェース114に情報を任意の数の言語で表示する。従来の印刷装置と同様に、印刷装置106のユーザー・インターフェース114は、英数字列を簡単に入力可能な限られた機能を提供する。
【0035】
スキャニング・モジュール116は、作成者102から文書を受信し、文書を当該文書の電子版にスキャンし、当該文書の電子版を処理し記憶装置120に格納する1又は複数の処理により実施される。スキャニング・モジュール116は、任意的に画像をスキャンし、文字、手書き文字、若しくはオブジェクトを印刷し、デジタル画像に変換する。スキャニング・モジュール116の実装の共通の例は、文書がスキャニングのためにガラス・ウインドウに置かれるデスクトップ(又は平台)スキャナー、又は装置が手で移動されるハンドヘルド・スキャナーを含む。近年のスキャナーは、標準的に、電荷結合素子(CCD)又は密着型センサー(CIS)を画像センサーとして用いる。一方で、旧式のドラム型スキャナーは、光電子増倍管を画像センサーとして用いる。高速文書スキャンに用いられる回転式スキャナーは、光電子倍増管の代わりにCCDアレイを用いる、別の種類のドラム型スキャナーである。他の種類のスキャナーは、書籍や文書の写真を撮る軌道式スキャナー、オブジェクトの3次元モデルを生成する3Dスキャナー、複写カメラ等の概念に基づくデジタル・カメラ・スキャナー、を含む。
【0036】
スキャニング・モジュール116及びロック印刷モジュール118は、印刷装置106に常駐する処理として実施される。或いは、スキャニング・モジュール116及びロック印刷モジュール118は、取り外し可能な媒体で印刷装置106に利用可能にするか、又は印刷装置106に対し遠隔の位置で実施される。ロック印刷モジュール118は、印刷装置106でロック印刷サービスを提供する1又は複数の処理により実施される。
【0037】
ロック印刷モジュール118は、記憶装置120に格納されたデータ122を処理する1又は複数の処理により実施される。ロック印刷モジュール118に実装される種々の機能は、限定ではなく、記憶装置120からデータ122を読み出す機能、記憶装置120にデータ122を格納する機能、データ122の「ロック印刷」処理を実行する機能、データ122が受領者103に供給されてよいかを決定する機能、及び前記決定が成功した場合に、データ122の指定された数のコピーを指定された受領者103に供給する機能、を含む。
【0038】
ある実施例では、ロック印刷モジュール118は、データを暗号化/復号化する暗号化及び復号化処理を有する。図1に示すように、暗号化/復号化処理の機能は、ロック印刷モジュール118に統合されてよい。或いは、暗号化/復号化処理は、印刷装置106及びロック印刷モジュール118と通信可能に接続された別個のモジュールであってもよい。
【0039】
記憶装置120は、揮発性記憶装置、不揮発性記憶装置、又は揮発性及び不揮発性記憶装置の任意の組み合わせを含む任意の種類の記憶装置により実施されてよい。記憶装置120の例は、限定ではなく、ランダム・アクセス・メモリー(RAM)及び1又は複数のディスクを含む。
【0040】
記憶装置120は、種々の種類のデータ122を格納する。例えば、記憶装置120に格納されたデータ122は、スキャニング・モジュール116によりスキャニングされた際に印刷装置106が作成者102から受信した電子文書を有する。
【0041】
他の実施例では、記憶装置120に格納されたデータ122は、電子文書を用いてロック印刷モジュール118により生成された文書の電子版を暗号化したものを有する。
【0042】
他の実施例では、記憶装置120に格納されたデータ122は、電子文書の暗号化版を用いてロック印刷モジュール118により生成された電子文書の復号化版を有する。
【0043】
他の実施例では、記憶装置120に格納されたデータ122は、ロック印刷モジュール118により生成された、電子文書の復号化版を印刷したものを有する。
【0044】
他の実施例では、記憶装置120に格納されたデータ122は、デジタル証明書、ユーザーの識別データ、ハッシュ・データ等を有してよい。
ある実施例では、作成者102は、印刷装置106のユーザー・インターフェース114により、及び文書の印刷されたコピーを印刷装置106に供給することにより、文書を印刷装置106に提出する。
【0045】
図1に示し本願明細書に記載する構成要素及び処理は、個々の実装に依存して、ハードウェア、ソフトウェア、又はハードウェア若しくはソフトウェアの任意の組み合わせにより実施されてよい。
【0046】
図2は、本発明の実施例による、ユーザー及び印刷データの認証を用い、ロックされた印刷データを印刷する装置100示すブロック図である。図2に示した実施例では、作成者102は、データを電子形式で作成及び処理する作成装置105と通信可能に結合される。図2の作成装置105は、印刷装置106とネットワーク108を介して通信可能に結合された、又は印刷装置106と作成者102と印刷装置106との間の任意の他の種類の通信接続を介して通信可能に結合された任意の種類の「クライアント」であってよい。「クライアント」装置に実装される作成装置105の例は、限定ではなく、ワークステーション、パーソナル・コンピューター、パーソナル・デジタル・アシスタント(PDA)、任意の種類のモバイル装置及び携帯電話機を含む。
【0047】
本発明のある実施例では、作成装置105は、アプリケーション・プログラム110を実行する。アプリケーション・プログラム110は、印刷データを生成可能な任意の処理であってよい。アプリケーション・プログラム110の例は、限定ではなく、ワードプロセッサー、表計算プログラム、電子メール・クライアント、ウェブ・ブラウザ、写真管理プログラム、及び描画若しくはコンピューター支援設計(CAD)プログラムを含む。
【0048】
アプリケーション・プログラム110の出力は、作成者102により作成された電子文書を有し、アプリケーション・プログラム110によりネットワーク108を介して印刷装置106へ送信され、記憶装置120に電子文書データ122として格納される。
【0049】
ある実施例では、作成装置105は、携帯可能な媒体からデータを受信する。携帯可能な媒体は、データの電子版を格納可能な、作成装置105と接続可能な、任意の種類の記憶媒体であってよい。携帯可能な媒体の例は、限定ではなく、メモリー・スティック、スマート・カード、フラッシュ・メモリー・カード、アクセス・カード、携帯型ディスク・ドライブ、及び任意の他の種類の不揮発性メモリーを含む。
【0050】
本実施例では、携帯可能な媒体に格納された電子文書は、携帯可能な媒体により、ネットワーク108を介して印刷装置106へ送信され、電子文書データ122として記憶装置120に格納される。
【0051】
ネットワーク108は、クライアント装置102と印刷装置106との間の情報交換を実現する任意の種類の媒体又は機構(有線又は無線)により実施されてよい。更に、ネットワーク108は、個々のアプリケーションの要求に依存して、任意の種類の通信プロトコルを用い、セキュアであるか又はセキュアでなくてもよい。
【0052】
B.機能の概要
ユーザー及び印刷データの認証を用いてロックされた印刷データを印刷する方法を提供する。方法は、種々の環境に適用され、双方向のセキュリティ手段を実装し使用して、1人以上の対象受領者による、文書のプリンターへの安全な送信、及び文書のプリンターからの読み出しを保証する。
【0053】
特に、双方向のセキュリティ手段は、(1)文書が作成者により指定された対象受領者によってのみ受信されること、(2)文書の作成者と対象受領者の両方が、認証に成功すること、(3)対象受領者により受信された文書が、作成者により作成された文書であること、(4)対象受領者により受信された文書が作成者により作成された文書と同一であること、を保証する。
【0054】
方法は、ロックされた印刷データを提出する種々の方法に適用される。ロックされた印刷データを提出する種々の方法には、文書を印刷装置にスキャニングする方法、電子文書を印刷装置へコンピューター・ネットワーク又はインターネット等を介して転送する方法、を含む。
【0055】
本方法では、文書の作成者が認証され、作成者は文書の受領者及び各受領者が印刷してよいコピーの数を特定し、電子文書はデジタル署名を施され、電子文書の指定された受領者の認証が成功すると、及び電子文書が変更されていない場合には、電子文書を指定された回数だけ印刷できる。
【0056】
(1)スキャンしたロックされた印刷データを印刷する実施例
図3は、本発明の実施例による、文書の作成者を認証する方法のフロー図を示す。
【0057】
文書を作成し当該文書を安全に指定した受領者へ分配したい作成者の認証は、機密又は秘密情報を含む電子文書への不正アクセスを阻止するセキュリティ手段の1つである。
【0058】
文書のセキュリティは、任意の組織において、特に様々な従業員が1つの複合機(MFP)を用いる組織において、主要な関心事である。この問題を解決するために、組織は、自身の従業員のそれぞれに固有の認証データを割り当て、認証が成功した場合のみ当該従業員にMFP装置を使用させる。
【0059】
従業員の認証は、認可されていない団体が印刷装置を使用することを防ぎ、組織の資源を不正使用から守り、組織の知的財産を外部の侵入者から守る手段である。
【0060】
従業員の認証データは、英数文字列を含み、従業員に配布される携帯可能な媒体に符号化され、MFPが安全にアクセスできる中央データベースに格納される。従業員の認証データを有する携帯可能な媒体の例は、限定ではなく、従業員の磁気認識票、磁気認識カード(例えば、SmartCard(登録商標)、Casi−Ruscoカード、NexWatchカード等)、従業員がMFPのデータ入力パネルに又は他のMFPユーザー・インターフェース(例えば、バイオメトリック認証(指紋、虹彩、静脈など))を介して入力するデータ列、を含む。
【0061】
MFP装置を使用するユーザー(文書の作成者、文書の対象受領者)は、自身の認証データをMFP装置に入力し、MFP装置を用いて処理を行う前に、MFP装置により認証が成功する。
【0062】
ユーザーが自身の識別データをMFP装置に入力するために用いる多数の媒体がある。例えば、ユーザーは、自身の磁気識別カードをMFPに通すことによりログインする。
【0063】
磁気識別カードの使用は、例えば正社員が完全にアクセスできる一方で、スキャナーやカラー印刷機にアクセスする必要のない臨時職員のいる会社にとって、有利である。
【0064】
また、MFP認証を利用することにより、及び例えばセキュアに解放する選択肢を導入することにより、MFPは、ユーザーが自身のIDカードを通すまで印刷ジョブを保持することができる。従って、意図しないユーザーは機密文書を入手することがない。
【0065】
シングル・サインオンでは、ユーザーは、自身の認証カードをMFPに通し、MFPの種々の機能を使用するときに再度認証する必要がない。これは、ビジネスの運用及び生産性を向上させる。つまり、ある目的(たとえば、スキャナを利用する)で、1度、シングルサイオンをすると、他の目的での利用の際(続けて、蓄積されているロックされた印刷データを印刷する)には、認証を行う必要が無いと言うことである。なお、所定の時間が過ぎた場合には、再度、認証を要求する必要があることは言うまでもない。
【0066】
個々の実装の要件に依存して異なる種類のユーザー認証が使用される。本発明は特定の種類の作成者認証に限定されない。
【0067】
ある実施例では、作成者は、作成者の認証データを求められる。認証データは、作成者の名前、組織内で作成者を一意に識別するパスワードを有する。作成者の名前とパスワードは、2つの別個の英数文字列として符号化され、作成者が利用可能な機能を制御する。作成者のログイン名とパスワードを統合することにより、連邦政府の活動や他の規則により要求される一層高水準のセキュリティを組織に提供する。本実施例では、作成者の認証データは、印刷装置のインターフェース・モジュールにより要求されたときに作成者が続けて入力しなければならない2つの別個の英数文字列を有する。
【0068】
本発明のある実施例では、作成者はユーザー・インターフェースを介してパスワードを求める。作成者により入力されたパスワードが、印刷装置のデータベースから復元された元のパスワードと一致した場合、作成者は認証に成功する。
【0069】
本発明の別の実施例では、作成者はユーザー・インターフェース・パネルを介して作成者の識別情報(ID)とパスワードの両方を求める。作成者のIDは、任意の種類、文字、又は大きさのデータであってよい。作成者により供給された作成者のIDとパスワードが、印刷装置のデータベースから復元された作成者のIDと元のパスワードと一致した場合、作成者は認証に成功する。
【0070】
ある実施例では、作成者は、作成者の認証PIN(PINコード)を求められる。認証PINは、組織内で作成者を一意に識別する英数文字列を有する。本実施例では、作成者は、印刷装置のユーザー・インターフェース・モジュールにより要求されると、認証PINを入力しなければならない。
【0071】
図3を参照する。段階302で、印刷装置のユーザー・インターフェース・モジュールは、上述の形式の1つで作成者の認証データを受信する。また、印刷装置のユーザー・インターフェース・モジュールは、個々の印刷装置を利用する組織に設置されている。ある実施例では、ユ―ザー・インターフェース・モジュールは、作成者の名前の識別データを有する文字列を受信し、次に作成者のパスワード・デ―タを有する文字列を受信し、両者のデータ文字列(名前とパスワードの対)を印刷装置と関連付けられた記憶装置に格納する。
【0072】
ある実施例では、ユーザー・インターフェース・モジュールは、作成者のPINデータ列を受信し、PINデータ列を印刷装置と関連付けられた記憶装置に格納する。
【0073】
段階304で、ユーザー・インターフェース・モジュールは、作成者の認証データを用いて作成者を認証する。ある実施例では、ユ―ザー・インターフェース・モジュールは、作成者により入力された名前とパスワードの対のデータと、例えばシステム管理者、マネージャー等により初期化され維持される印刷装置の認証データに格納された名前とパスワードの対のデータを比較する。
【0074】
ユーザー・インターフェース・モジュールが作成者により入力された名前とパスワードの対と印刷装置に格納された認証データに格納された名前とパスワードの対と一致したと決定した場合、作成者は、ユーザー・インターフェース・モジュールによる認証に成功し、作成者は、システム管理者、マネージャー等により指定された、印刷装置の機能にアクセスできる。この場合、ユーザー・インターフェース・モジュールは、ユーザー・インターフェース・モジュールのディスプレイに情報を表示し、作成者に、印刷装置の使用に関する認証に成功したことを知らせる。
【0075】
しかしながら、一致しなかった場合、作成者は、印刷装置へのアクセスを拒否される。この場合、ユーザー・インターフェース・モジュールは、ユーザー・インターフェース・モジュールのディスプレイ・パネルに情報を表示し、作成者に、印刷装置へのアクセスが拒否されたことを知らせる。
【0076】
作成者が認証に成功した場合、段階306で、ユーザー・インターフェース・モジュールは、作成者の秘密鍵を読み出す。作成者の秘密鍵は、組織内で作成者を識別するために用いられる英数字データ列である。
【0077】
ある実施例では、作成者の秘密鍵は、印刷装置と関連付けられた記憶装置から読み出される。或いは、作成者の秘密鍵は、印刷装置と通信可能に結合された他の記憶装置から読み出されてもよい。作成者の秘密鍵は、作成者が印刷装置に格納したい電子文書のデジタル署名を生成するために用いられる。デジタル署名を図4に詳細に示す。
【0078】
図3を参照する。段階306が完了すると、ユーザー・インターフェース・モジュールは、文書のスキャンを含む、作成者が利用可能な選択肢(又は選択肢のセット)を表示する。次に、ユーザー・インターフェース・モジュールは、作成者からの入力(つまり、文書をスキャンするという作成者の選択)を受信するまで待機し、印刷装置の制御をスキャニング・モジュールに渡す。
【0079】
段階308で、スキャニング・モジュールは、作成者が文書の印刷したコピーを印刷装置の給紙トレイに挿入したこと、及びユーザー・インターフェース・モジュールにより表示された、作成者が利用可能な選択肢から「文書のスキャン」選択肢を選択したことを検出する。次に、スキャニング・モジュールは、作成者の文書の印刷されたコピーをスキャンし、電子文書を生成し、当該電子文書を印刷装置と関連付けられた記憶装置に格納する。
【0080】
図4は、本発明の実施例による、ユーザー及び印刷データの認証を用い、ロックされた印刷データを印刷する方法を示すブロック図である。図示した実施例では、段階402で、ロック印刷モジュールは、電子文書のためのデジタル署名を生成する。
【0081】
デジタル署名又はデジタル署名方式は、紙面に手書きされた署名のセキュリティ特性をシミュレートするために用いられる非対称暗号化方法である。デジタル署名方式は、通常、2つのアルゴリズムを与える。1つは、ユーザーの秘密鍵又は私有鍵を必要とする署名であり、もう1つは、ユーザーの公開鍵を必要とする署名の検証である。署名処理の出力は、「デジタル署名」と称される。
【0082】
署名は「メッセージ」の認証を可能にする。メッセージは、文書から電子メールまで、又はもっと複雑な暗号化プロトコルで送信されたメッセージのような、如何なるものでもよい。デジタル署名は、ユーザーの公開鍵(公開鍵の暗号化、デジタル署名、又は任意の他の目的)が、認証機関により発行されたデジタル証明書によりユーザーに関係付けられる公開鍵基盤(Public Key Infrastructure)を作成するために用いられる。PKI方式は、作成者の情報を公開鍵に解読できないように結合するので、公開鍵は証明書の形式で用いられる。
【0083】
デジタル署名は、屡々、電子署名を実施するために用いられる。広義には、デジタル署名は、署名の目的を担う任意の電子データを示すが、全ての電子署名がデジタル署名を用いるわけではない。米国、欧州連合を含む幾つかの国では、電子署名は適法な意味をもつ。しかしながら、電子署名に関する法律は、暗号化デジタル署名に対する適用性を明確にしておらず、暗号化デジタル署名の法的な重要性は明示されないままである。
【0084】
ある実施例では、ロック印刷モジュールは、作成者のデジタル署名を、電子文書のハッシュコードから、文書の作成者の秘密鍵を用いて生成する。ハッシュコードは、暗号化ハッシュ関数を用いて生成される。暗号化では、暗号化ハッシュ関数は、入力を取り込み、ハッシュ値と称される固定長の文字列を返す。この特性を有するハッシュ関数は、暗号化を含む種々の計算の目的に用いられ、暗号化ハッシュ関数は、文書の完全性を検査するために用いられる。種々の規格及び用途で、最も一般的に用いられる2つのハッシュ関数は、MD5とSHA−1である。
【0085】
ハッシュコードは、文書から計算された、当該文書の簡潔な表現としてみなされる。ハッシュコードは、文書自身の「デジタル・フィンガープリント」である。
【0086】
ある実施例では、ハッシュ関数は、電子文書を16進又は2進文字列に変換し、当該文字列を入力として、固定長の文字列を出力として生成し、屡々メッセージ要約又はデジタル・フィンガープリントと称される。結果として生成された出力された文字列は、電子文書の第1のハッシュコード(HASH1)として格納される。
【0087】
段階404で、ロック印刷モジュールは、作成者の秘密鍵を用い、HASH1を暗号化してデジタル署名を生成し、当該デジタル署名を印刷装置と関連付けられた記憶装置に格納する。
【0088】
暗号化は、データの暗号文(つまり、文書を暗号化したもの)への変換であり、認可されていない団体には容易に理解できない。復号化は、暗号文を復号化されたデータ、つまり理解できるように変換する処理である。暗号化と復号化が正しく実行されると、暗号化、送信、及び復号化の処理中に、データが認可されていない団体によって変更されていないならば、元のデータと、暗号化データを復号化したものは、同一になる。
【0089】
しかしながら、暗号化と復号化が正しく実行されたが、復号化の後に、暗号化データを復号化したものが元のデータと同一にならない場合、暗号化データを復号化したものの受領者は、データの暗号化、送信、又は復号化の処理中のどこかで、データが認可されていない団体によって変更された及び/又は妨害された証拠を有する。
【0090】
暗号化は、機密又は秘密文書を含む文書を共有する際に、特に重要である。暗号が強力なほど、認可されていない団体が文書データを破壊する(暗号を破る)ことが困難になる。しかしながら、暗号の強度が増大すると、コストも増大する。
【0091】
文書の電子版を暗号化したものを生成する種々の方法がある。例えば、単純な暗号は、文字を数字で置き換えること、数字を文字で置き換えること、英文字の文字をローテーションさせること、を含む。より複雑な暗号化作業は、データ・ビットを文書の電子版に再配置する高度なコンピューター・アルゴリズムに従う。
【0092】
ある実施例では、デジタル署名は、印刷装置と関連付けられた記憶装置に格納される。
【0093】
段階406で、ロック印刷モジュールは、文書の対象受領者と各受領者が受信できる文書の電子版のコピー数を識別する、作成者の入力に応じ、受領者データの構造に格納された受領者のデータを生成し、受領者データの構造を、電子文書と関連付けられた記憶装置に格納する。
【0094】
ある実施例では、受領者データの構造は、受領者の識別子に対応するインデックスでインデックス付けされた多次元テーブルに格納される。受領者の識別子は、受領者の名前、受領者のパスワード、受領者の認証PIN(PINコード)、又は組織内で受領者を一意に識別する任意の他の識別子であってよい。
【0095】
ある実施例では、作成者により電子文書を受信するよう意図された受領者毎に、受領者データの構造は、個々の受領者が印刷を許可されているコピー数を含む。
【0096】
更に、受領者データの構造は、作成者の識別データを有する。作成者の識別データは、作成者の名前、作成者のパスワード、作成者の認証PIN(PINコード)、又は組織内で作成者を一意に識別する任意の他の識別子を有する。受領者データの構造は、ロック印刷機能(ロック印刷モジュール)の実行を実現する任意の追加データを有する。受領者データの構造は、印刷装置と関連付けられた記憶装置に格納される。
【0097】
ある実施例では、ロック印刷モジュールは、作成者により指定された文書の各対象受領者へ送信されるべき通知メッセージを生成する。通知は、電子メール、音声メッセージ、又は組織により採用された任意の他の通知システムの形式で送信される。
【0098】
段階408で、受領者の認証の成功、受領者に表示された文書のリストから作成者の文書を受領者が選択したことに応じて、ロック印刷モジュールは、電子文書と関連付けられた受領者データを読み出し、受領者データから作成者の識別データを読み出す。
【0099】
対象受領者、つまり段階406で文書の作成者により指定された受領者のみが、印刷可能な文書のリストを提示される。当該リストは、作成者により作成された文書のみを有する。(文書の作成者により指定された)対象受領者のみが、文書を印刷する選択肢を提示されることが保証される。また、別のセキュリティ手段は、ロックされた印刷データの安全な印刷を保証する。
【0100】
段階406で記載したように、受領者データは、文書の対象受領者の識別データを有する。また、受領者毎に、受領者データは、受領者が生成してよい文書のコピー数を有する。段階406で記載したように、受領者データは、組織内で文書の作成者を一意に識別する作成者の識別データも有する。
【0101】
段階410で、ロック印刷モジュールは、作成者の識別データを読み出す。作成者の識別データは、図3に詳細に記載される。
【0102】
ある実施例では、ロック印刷モジュールは、作成者の公開鍵を読み出し、作成者の公開鍵が有効か、無効でないか、及び信頼されるエンティティにより発行されたかを決定する。
【0103】
段階412で、ロック印刷モジュールは、作成者の公開鍵を用い、暗号化されたデジタル署名を復号化し、第1のハッシュコード(HASH1)を復元する。
【0104】
ある実施例では、復号化アルゴリズムは、段階404で記載した暗号化アルゴリズムの段階を「戻す」アルゴリズム又は数式である。つまり、復号化アルゴリズムは、暗号化の各段階を順次戻すが、逆の順番ではない。
【0105】
文書データを復号化する目的は、暗号化されたデータを理解できるように翻訳することである。段階404で記載したように、暗号化及び復号化処理は、データの対象受領者が電子文書の読み出しに成功するまで、データが印刷装置に安全に格納されることを保証するために、実行される。
【0106】
復号化は、暗号文を復号化されたデータ、つまり理解できるように変換する処理である。暗号化と復号化が正しく実行されると、暗号化、送信、及び復号化の処理中に、データが認可されていない団体によって変更されていないならば、元のデータと、暗号化データを復号化したものは、同一のデータを有する。
【0107】
しかしながら、暗号化と復号化が正しく実行されたが、復号化の後に、復号化データが元のデータと同一にならない場合、復号化データの受領者は、データの暗号化、送信、又は復号化の処理中のどこかで、データが認可されていない団体によって変更された及び/又は妨害された証拠を有する。
【0108】
データを復号化するために種々のアルゴリズムが用いられる。しかしながら、選択された復号化アルゴリズム又は復号化式は、段階404で実行される暗号化アルゴリズム(又は式)と互換性がなければならず、暗号化の各段階を順次戻さなければならにが、逆の順番でなくてもよい。
【0109】
段階414で、ロック印刷モジュールは、電子文書を用いて第2のハッシュコード(HASH2)を生成する。第2のハッシュコードを生成する目的は、作成者がデータを印刷装置にスキャンした瞬間から、対象受領者が電子文書を印刷する瞬間まで、データが認可されていない団体等により変更又は妨害されていないかを決定できるようにするためである。上述の目的を達成するために、第2のハッシュコードを生成するアルゴリズムは、上述の段階402で第1のハッシュコードを生成するために用いたアルゴリズムと同一でなければならない。
【0110】
段階416で、ロック印刷モジュールは、第1のハッシュコードを第2のハッシュコードと比較し、2つのハッシュコードが一致した場合に、対象受領者が電子文書のコピー数まで印刷することを許可する。
【0111】
第1のハッシュコードを第2のハッシュコードと比較する目的は、対象受領者により印刷されようとしている電子文書が実際に作成者により作成された文書か否かを決定することである。
【0112】
このセキュリティ手段は、認可されていない団体が組織のデータベースにアクセスし、組織の暗号化及び復号化メカニズムを使用し、及びさもなければ適正に暗号化及び復号化された元の電子文書を不法な電子文書に置き換えた状況を識別する。
【0113】
これは、機密又は秘密文書を含む文書を共有する際に、特に重要である。
【0114】
上述の比較の論理的根拠は、暗号化と復号化が適正に実行され、認可された団体が暗号化、送信、及び復号化の処理中に妨害されなかった場合には第2のハッシュコードと第1のハッシュコードが同一のデータを含むことである。
【0115】
しかしながら、暗号化と復号化が正しく実行されたが、第1のハッシュコードが第2のハッシュコードと同一でない場合、復号化した文書の受領者は、データの暗号化、送信、又は復号化の処理中のどこかで、データが認可されていない団体によって妨害された証拠を有する。
【0116】
上述の比較が、データは認可されていない団体により変更及び/又は妨害されたという事実を示す場合、適切なメッセージが、文書の作成者へ、システム管理者へ、及び組織内の任意の他の権威者へ送信される。
【0117】
(2)スキャンしたロックされた印刷データを印刷する別の実施例
図5は、本発明の実施例による、ユーザー及び印刷データの認証を用い、ロックされた印刷データを印刷する方法を示すブロック図である。特に、図5は、文書をプリンターへ安全に送信し、文書をプリンターから対象受領者により安全に取り出すことを保証する、双方向のセキュリティ手段のメカニズムを説明する。
【0118】
図示した実施例では、双方向のセキュリティ手段は、(1)文書が作成者により指定された対象受領者によってのみ受信されること、(2)文書の作成者と対象受領者の両方が、認証に成功すること、(3)対象受領者により受信された文書が、作成者により作成された文書であること、(4)対象受領者により受信された文書が作成者により作成された文書と同一であること、を保証する。
【0119】
図示した実施例では、図3の全ての段階は既に実行されており、従って作成者は認証に成功しており、作成者は文書の対象受領者と各対象受領者が受信してよいコピー数を指定している。更に、作成者は文書を印刷装置に(文書の印刷されたコピーをスキャンすることにより、又は電子文書を印刷装置へ通信接続を介して提出することにより)提出している。更に、文書は印刷装置の記憶装置に安全に格納されている。
【0120】
更に、対象受領者は、印刷装置が、受領者が取り出してよい格納された文書を有すること、及び受領者が印刷装置に近づき、受領者の識別情報を入力していることを通知されている。
【0121】
また、既に暗号化された文書のデータを復号化したものは、本願明細書で電子文書と称される。文書の元の作成者は、「電子文書が最初に印刷装置に格納された時に指定された、電子文書の先の作成者」と称される。
【0122】
最後に、作成者の識別データを受信すると、ロック印刷モジュールは、文書の作成者を識別する既に暗号化された情報を復号化する。文書の作成者を識別する既に暗号化された情報を復号化したものは、「現在の」作成者と称される。
【0123】
段階502で、ロック印刷モジュールは、電子文書の現在の作成者が、電子文書が最初に印刷装置に格納された時に指定された電子文書の先の作成者と同一であることを検証する。
【0124】
電子文書の「現在の」作成者が、電子文書が最初に印刷装置に格納された時に指定された電子文書の先の作成者と同一であることを検証するために、ロック印刷モジュールは、例えば、第1のハッシュコード(HASH1、図4)を第2のハッシュコード(HASH2、図4)と比較する。HASH1とHASH2を計算し使用する方法の詳細は、図4に示す。
【0125】
HASH1がHASH2と一致した場合、電子文書が、電子文書が最初に印刷装置に格納された時から、電子文書が対象受領者により取り出されようとしている瞬間まで変更されていないならば、電子文書の「現在の」作成者が、電子文書が最初に印刷装置に格納された時に指定された電子文書の「先の作成者」と同一であると推定される。電子文書が、電子文書が最初に印刷装置に格納された時から、電子文書が対象受領者により取り出されようとしている瞬間まで変更されていないと推定すると、HASH1とHASH2を生成するために使用した鍵が、実際に有効な公開鍵と、同一の作成者の有効な私有鍵である場合、HASH1はHASH2と同一である。しかしながら、この場合に、ハッシュが一致しない場合、ハッシュを生成するために使用した少なくとも1つの鍵は、作成者の有効な鍵ではない。従って、ハッシュが一致しない場合、「現在の」作成者は、「先の作成者」と同一ではない。
【0126】
「現在の」作成者の検証に成功すると、段階504で、ロック印刷モジュールは、電子文書が、電子文書が最初に印刷装置に格納されてから変更されていないか否かを決定する。この段階は、実際に対象受領者によって取り出された文書が、当該文書が作成者により印刷装置に提出された瞬間から、当該文書が対象受領者に印刷を許可することに成功した瞬間まで、変更されなかったことを保証する。
【0127】
上述のように、保管文書や秘密文書を送信する際の関心事の1つは、最終的には対象受領者によって取り出される保管文書や秘密文書が、実際に元の文書の元の作成者によって作成された文書であることを保証することである。セキュリティ手段の違反は、認可されていない団体が組織のネットワーク又はデータにアクセスし、保管及び秘密文書を変更し、修正し、変換し、又は元の保管文書と同一でない別の文書に置き換えたときに生じる。このような置き換えは、組織のセキュリティを危うくし、一連の不要で望ましくない結果を生じる。
【0128】
電子文書が、電子文書が最初に印刷装置に格納された時から変更されていないか否かを検証するために、ロック印刷モジュールは、例えば、第1のハッシュコード(HASH1、図4)を第2のハッシュコード(HASH2、図4)と比較する。HASH1とHASH2を決定し使用する方法の詳細は、図4に示す。
【0129】
HASH1がHASH2と一致した場合、電子文書の「現在の」作成者が、電子文書が最初に印刷装置に格納された時に指定された電子文書の「先の作成者」と同一であるならば、電子文書は、電子文書が最初に格納された時から変更されていないと推定される。電子文書の「現在の」作成者が、電子文書が最初に印刷装置に格納された時に指定された電子文書の「先の作成者」と同一であるならば、HASH1とHASH2を生成するために使用された鍵は、同一の作成者の有効な鍵である。従って、ハッシュが同一の電子文書を用いて計算されたならば、HASH1はHASH2と同一である。しかしながら、ハッシュが一致しない場合、ハッシュは異なる電子文書を用いて計算されており、元の電子文書が改竄されたと結論づけられる。
【0130】
段階506で、受領者の認証に成功すると、ロックされた印刷処理は、受領者が電子文書を指定されたコピー数まで印刷することを許可する。上述のように、「受領者」は、電子文書の対象受領者であり、作成者が印刷装置に文書を提出したときに作成者により暗に識別されている。このセキュリティ手段は、対象受領者のみが文書にアクセスし、対象受領者のみが文書のコピーを印刷することを保証する。
【0131】
更に、このセキュリティ手段は、対象受領者が電子文書を指定された最大でもコピー数までしか印刷できないことを保証する。対象受領者が印刷できるコピー数を制限することは、組織内で配布される機密文書や秘密文書のコピー数の合計を管理し制御することを支援し、従って機密文書や秘密文書の作成者により暗に識別された受領者によって不正なコピーを作成することも防止する。
【0132】
III.実施のメカニズム
本願明細書に記載した、双方向の(提出と解放)文書保護を用いた電子文書を安全に印刷する方法、及び印刷ロック・メカニズムは、任意の種類のコンピューター・プラットフォーム又はアーキテクチャに実装されてよい。説明を目的として、図6に、本発明の実施例が実施され得るコンピューター・システム600を図示するブロック図を示す。コンピューター・システム600は、バス602又は情報を通信する他の通信機構、及びバス602と結合され情報を処理するプロセッサー604を有する。コンピューター・システム600はまた、バス606と結合され情報及びプロセッサー602により実行されるべき命令を格納するランダム・アクセス・メモリー(RAM)又は他の動的記憶装置のような主記憶604を有する。主記憶606はまた、プロセッサー604による命令の処理中に一時的数値変数又は他の中間情報を格納するために用いられる。コンピューター・システム600はまた、バス608と結合され情報及びプロセッサー602の命令を格納する読み出し専用メモリー(ROM)604又は他の静的記憶装置を更に有する。磁気ディスク又は光ディスクのような記憶装置610が設けられ、及びバス602と結合され、情報及び命令を格納する。
【0133】
コンピューター・システム600は、バス602を介し、陰極管(CRT)のようなコンピューターのユーザーに情報を表示するディスプレイ612と結合されてよい。入力装置614は、英数字及び他のキーを有し、バス602と結合され、プロセッサー604へ情報及びコマンド選択を通信する。他の種類のユーザー入力装置は、マウス、トラックボール、又はカーソルキーのようなカーソル移動制御616であり、方向情報及びコマンド選択をプロセッサー604へ通信し、及びディスプレイ612上のカーソルの動きを制御する。当該入力装置は、標準的に第1の軸(例えばx)及び第2の軸(例えばy)である2軸で2つの自由度を有し、装置に平面内の位置を指定可能にする。
【0134】
本発明は、本願明細書に記載された技術を実施するコンピューター・システム600の使用に関する。本発明の1つの実施例によると、当該技術は、主記憶606内に含まれる1つ以上の命令の1つ以上の命令を実行するプロセッサー604に応じ、コンピューター・システム600により実行される。このような命令は、主記憶606へ記憶装置610のような他のコンピューター可読媒体から読み込まれてよい。主記憶606に含まれる命令の処理は、本願明細書に記載された処理段階を実行させる。マルチ・プロセス装置の1又は複数のプロセッサーは、主記憶606に格納された命令を処理するために用いられる。代案の実施例では、配線論理回路は、ソフトウェア命令の代わりに又はソフトウェア命令と組み合わせて使用され本発明を実施して良い。このように、本発明の実施例は、ハードウェア回路、コンピューター・ソフトウェア、又はハードウェア回路とコンピューター・ソフトウェアの如何なる組み合わせにも限定されない。
【0135】
本願明細書で使用された用語「コンピューター可読媒体」は、実行のためプロセッサー604への命令の提供に関連する任意の媒体を示す。このような媒体は、不揮発性媒体、揮発性媒体、及び伝送媒体を有するがこれらに限定されない多くの形を取ってよい。不揮発性媒体の例は、限定ではなく、記憶装置610のような光又は磁気ディスクを有する。揮発性媒体の一例は、限定ではなく、主記憶606のような動的記憶を有する。伝送媒体の例は、限定ではなく、同軸ケーブル、銅線、光ファイバ、バス602を有する配線、無線波及び赤外線データ通信で生成されるような電磁放射、を有する。
【0136】
コンピューター可読媒体の一般的な形式は、例えば、フロッピー(登録商標)ディスク、フレキシブルディスク、ハードディスク、磁気テープ、又は任意の他の磁気媒体、CD−ROM、任意の他の光媒体、パンチカード、紙テープ、孔のパターンを有する任意の他の物理媒体、RAM、PROM、及びEPROM、フラッシュEPROM、任意の他のメモリーチップ又はカートリッジ、本願明細書に記載された搬送波、又はコンピューターが読み出し得る任意の他の媒体を有する。
【0137】
種々の形式のコンピューター可読媒体は、プロセッサー604への命令を有する。例えば、命令は最初に遠隔コンピューターの磁気ディスクで持ち運ばれてよい。遠隔コンピューターは、命令を遠隔コンピューターの動的記憶にロードし、及びモデムを使用し電話線を介して命令を送出し得る。コンピューター・システム600のローカルなモデムは、電話線でデータを受信し、及び赤外線送信機を用いデータを赤外線信号へ変換する。バス602と結合された赤外線検出器は、赤外線信号で伝達されるデータを受信し、及びデータをバス602に設定し得る。バス602は、データを主記憶606へ伝達する。主記憶606から、プロセッサー604は命令を検索しそして処理する。主記憶606により受信された命令は、任意的に、プロセッサー604による実行の前又は後の何れかに記憶装置610に格納されてよい。
【0138】
コンピューター・システム600はまた、バス602と結合される通信インターフェース618を有する。通信インターフェース618は、ローカル・ネットワーク622と接続されるネットワーク接続620と結合される双方向データ通信を提供する。例えば、通信インターフェース618は、総合デジタル通信網(ISDN)カード又はモデムであってよく、対応する種類の電話線とのデータ通信接続を提供する。別の例として、通信インターフェース618は、ローカル・エリア・ネットワーク(LAN)カードであってよく、適合するLANとのデータ通信接続を提供する。無線接続が実施されてもよい。任意のこのような実施では、通信インターフェース618は、種々の種類の情報を表すデジタル・データ・ストリームを伝達する電気、電磁気又は光信号を送出及び受信する。
【0139】
ネットワーク接続620は、標準的に、1つ以上のネットワークを通じた他のデータ装置へのデータ通信を提供する。例えば、ネットワーク接続620は、ローカル・ネットワーク622を通じたホスト・コンピューター624又はインターネット・サービス・プロバイダー(ISP)626により動作されるデータ機器への接続を提供してよい。ISP626はまた、現在一般的に「インターネット」628として参照される世界規模のパケットデータ通信ネットワークを通じデータ通信サービスを提供する。ローカル・ネットワーク622及びインターネット628の両方は、デジタル・データ・ストリームを伝達する電気、電磁気又は光信号を使用する。種々のネットワークを通じる信号、並びにネットワーク接続620及び通信インターフェース618を通じる信号は、コンピューター・システム600へ及びコンピューター・システム400からのデジタル・データを伝達し、例として情報を伝搬する搬送波の形式である。
【0140】
コンピューター・システム600は、ネットワーク、ネットワーク接続620及び通信インターフェース618を通じ、メッセージを送出し及びプログラム・コードを有するデータを受信し得る。インターネットの例では、サーバー630は、アプリケーション・プログラムの要求されたコードをインターネット628、ISP626、ローカル・ネットワーク622及び通信インターフェース618を通じ送信し得る。プロセッサー604は、命令を受信すると実行し、及び/又は後の実行のため記憶装置610又は他の不揮発性媒体に格納する。
【0141】
[拡張及び代案]
以上、明細書に、本発明の実施例は、実施毎に変化し得る多数の特定の詳細を参照し記載された。本発明であるもの及び出願人により本発明であると意図されるものの唯一の説明的な表示は、請求項が発行する如何なる後に生じる補正も含む、特定の形式で本願から発行される請求項のセットである。本願明細書に前述された当該請求項に含まれる用語の如何なる定義も、請求項で使用される用語の意味を規定する。従って、請求項に明示的に引用されない如何なる制限、要素、特性、特徴、利点又は貢献は、如何様にも当該請求項の範囲を制限しない。本願明細書及び図は、従って制限的でなく説明のためであると見なされる。
【技術分野】
【0001】
本発明は、印刷装置に関し、特にユーザー及び印刷データの認証を用いてロック印刷データを印刷する方法に関する。
【背景技術】
【0002】
ここで記載される手法は、追求され得た手法であるが、しかし必ずしも以前に考えられ又は追求されていた手法ではない。従って、特に示さない限り、ここに記載される手法は、本願の請求項に対する先行技術ではなく、またここに記載されることにより先行技術とみなされるべきではない。
【0003】
コンピューター技術の普及とインターネットの成長により、電子情報へのアクセスが大幅に向上した。秘密又は機密情報を含む電子文書への不正アクセスに関する問題は、これらの電子文書がスキャンによりプリンターへ提出された後、又はコンピューター・ネットワーク若しくはインターネットを介してプリンターへ送信された後に、印刷される予定になっているときに生じる。
【0004】
秘密又は機密情報を含む電子文書への不正アクセスに関する別の種類の問題は、文書の認可された作成者によりプリンターへ提出されたが、認可されていない団体(人やグループ)により印刷される電子文書に当てはまる。この場合、秘密又は機密情報を含む電子文書は、プリンターのメモリーに安全でないまま格納され、プリンターへアクセスできる認可されていない団体が秘密文書を含む印刷ジョブを解放し、当該文書の多数の認可されていない複製を生成する可能性がある。
【0005】
秘密又は機密情報を含む電子文書への不正アクセスに関する別の種類の問題は、暗号化されていない形式で送信される電子文書に当てはまる。電子文書が通信接続を介して印刷装置へ暗号化されていない形式で送信される場合、当該通信接続にアクセスできる認可されていない団体は、暗号化されていない形式の電子文書を容易に妨害できてしまう。例えば、認可されていない団体は、電子文書へのアクセスを得るために有線による通信接続を傍受しうる。盗聴者は有線ネットワークへの物理的なアクセスを必要とせず、代わりに遠隔で盗聴できるので、無線ネットワークは、特に攻撃されやすい。このように、認可されていない団体は、印刷装置との無線通信を監視し、印刷装置へ送信される電子文書を妨害しうる。
【0006】
秘密又は機密情報を含む電子文書への不正アクセスを防ぐ多くの手法が開発されている。例えば、印刷機のユーザーは、印刷、コピー、又は文書のスキャン等のジョブを始める前に認可される必要がある。
【0007】
印刷のために送信される電子文書を守る多数の保護方式が実施されている。例えば、電子文書は、インターネットのような公衆ネットワークを介して送信される前に暗号化される。これは、使用される暗号に依存するが、暗号化された電子文書を妨害する認可されていない団体が、元の電子文書を復元することを不可能ではないが困難にする。
【0008】
他の解決策は、所謂「ロック印刷」機能(つまり、印刷データが印刷されるまでロックが掛かっていると言う意味である)である。ロック印刷を備えた印刷装置は、電子文書の印刷にある種の制御を提供する。印刷装置がロック印刷を備え、印刷データが印刷装置へ送信される場合、電子文書の印刷されたものは、受領者が確認されるまで印刷装置で生成されない。標準的に、受領者は、パスワードのような認証データを、印刷装置の操作パネルを通じて入力する。印刷装置は認証データを検証し、成功した場合に印刷装置は電子文書の印刷を許可する。このような仕組を、本願明細書ではロック印刷と呼ぶ。
【発明の概要】
【発明が解決しようとする課題】
【0009】
従来のロック印刷の手法に伴う1つの問題は、印刷装置に格納された文書が第三者による不正アクセスを受けやすいことである。ロックされた印刷文書は、従来は、認可された受領者がロックされた印刷文書を印刷するまで、印刷装置に格納されていた。その間、認可されていない第三者は、有効な認証データを入力し、印刷装置に格納されているロックされた印刷データへのアクセスを試みうる。これは、ロックされた印刷データが秘密情報を含む場合に特に問題である。
【0010】
以上に鑑みると、従来の手法の制限に捕らわれず、電子文書を安全に印刷する方法が必要である。
【課題を解決するための手段】
【0011】
ユーザー及び印刷データの認証を用いてロックされた印刷データを印刷する方法を提供する。方法は、種々の環境に適用され、双方向のセキュリティ手段を有し、対象受領者による、文書のプリンターへの安全な送信、及び文書のプリンターからの読み出しを保証する。
【0012】
双方向のセキュリティ手段は、(1)文書が作成者により指定された対象受領者によってのみ受信されること、(2)文書の作成者と対象受領者の両方が、認証に成功すること、(3)対象受領者により受信された文書が、作成者により作成された文書であること、(4)対象受領者により受信された文書が作成者により作成された文書と同一であること、を保証する。
【0013】
方法は、ロックされた印刷データを提出する種々の方法に適用される。ロックされた印刷データを提出する種々の方法には、文書を印刷装置にスキャニングする方法、電子文書を印刷装置へコンピューター・ネットワーク又はインターネット等を介して転送する方法、を含む。
【0014】
方法は、作成者により文書を提出する種々の方法、文書の作成者及び文書の対象受領者を認証する種々の方法、及び文書データの電子版を暗号化し復号化する種々の方法を提供する。
【0015】
本発明のある実施例では、印刷装置は、ユ―ザー・インターフェース、スキャニング・モジュール、ロック印刷モジュール、を有する。各モジュールは、ローカル・メモリーと通信可能に結合される。
【0016】
ユーザー・インターフェースは、作成者及び受領者に情報を表示し、作成者の認証データを受信し、作成者の認証データを用いて作成者を認証し、作成者の認証が成功すると、作成者と関連付けられた作成者の秘密鍵を読み出す。作成者は、限定ではなく、認証カードを用いた認証を含む種々の認証方法を用いて認証される。
【0017】
スキャニング・モジュールは、印刷した文書をスキャンし、電子文書としてローカル・メモリーに格納する。或いは、作成者は、自身の文書を自身のクライアント装置から(作成者のクライアント装置にあるソフトウェア・アプリケーションを用いて)、作成者のクライアント装置と印刷装置のローカル・メモリーとの間の通信接続を介して提出する。
【0018】
ロック印刷モジュールは、電子文書と作成者の秘密鍵とを用いて、デジタル署名を生成する。例えば、作成者の秘密鍵を用いたデジタル署名は、電子文書のハッシュコードを暗号化する。更に、ロック印刷モジュールは、作成者の入力に応じて、電子文書の1又は複数の対象受領者、各受領者が印刷を許可された電子文書の電子版のコピー数、及び作成者の文書の作成者を識別する作成者の識別情報データを指定する受領者データを生成する。更に、ロック印刷モジュールは、電子文書と関連付けられた受領者データを格納する。
【0019】
更に、ロックされた印刷データの印刷処理は、受領者の認証が成功し、受領者が受領者のために表示された文書のリストから電子文書を選択すると、電子文書と関連付けられた受領者データを読み出す。更に、ロックされた印刷データの印刷処理は、作成者の識別情報データを読み出し、作成者の識別情報データを用いて、作成者の公開鍵を読み出す。次に、作成者の公開鍵を用い、ロックされた印刷データの印刷処理は、暗号化されたデジタル署名を復号化し、第1のハッシュコードを復元し、電子文書を用いて第2のハッシュコードを生成し、第1のハッシュコードと第2のハッシュコードが一致した場合、受領者が復号化された電子版の電子文書のコピー数まで印刷することを許可する。
【0020】
図中、同様の参照符号は同様の要素を表す。
【図面の簡単な説明】
【0021】
【図1】本発明の実施例による、ユーザー及び印刷データの認証を用い、ロックされた印刷データを印刷する装置を示すブロック図である。
【図2】本発明の実施例による、ユーザー及び印刷データの認証を用い、ロックされた印刷データを印刷する装置を示すブロック図である。
【図3】本発明の実施例による、文書の作成者を認証する方法のフロー図を示す。
【図4】本発明の実施例による、ユーザー及び印刷データの認証を用い、ロックされた印刷データを印刷する方法を示すフロー図である。
【図5】本発明の実施例による、ユーザー及び印刷データの認証を用い、ロックされた印刷データを印刷する方法を示すブロック図である。
【図6】本発明の実施例が実施され得るコンピューター・システムのブロック図である。
【発明を実施するための形態】
【0022】
以下の詳細な説明では、説明を目的として、本発明の完全な理解を提供するために、多くの詳細事項が説明される。しかしながら、当業者は、本発明がそのような特定の詳細にかかわらず実施されてよいことを理解するだろう。他の例では、本発明を不明瞭にすることを回避するため、良く知られた構造及び装置がブロック図の形式で示される。本発明の種々の態様を以下に記載する。
I.概要
II.ユーザー及び印刷データの認証を用いてロックされた印刷データを印刷する方法
A.アーキテクチャ
B.機能の概要
(1)スキャンしたロックされた印刷データを印刷する実施例
(2)スキャンしたロックされた印刷データを印刷する別の実施例
III.実施のメカニズム。
【0023】
I.概要
ユーザー及び印刷データの認証を用いてロックされた印刷データを印刷する方法を提供する。方法は、種々の環境に適用され、双方向のセキュリティ手段を実装し使用して、1人以上の対象受領者による、文書のプリンターへの安全な送信、及び文書のプリンターからの取り出しを保証する。特に、双方向のセキュリティ手段は、(1)文書が作成者により指定された対象受領者によってのみ受信されること、(2)文書の作成者と対象受領者の両方が、認証に成功すること、(3)対象受領者により受信された文書が、作成者により作成された文書であること、(4)対象受領者により受信された文書が作成者により作成された文書と同一であること、を保証する。
【0024】
方法は、ロックされた印刷データを提出する種々の方法に適用される。ロックされた印刷データを提出する種々の方法には、文書を印刷装置にスキャニングする方法、電子文書を印刷装置へコンピューター・ネットワーク又はインターネット等を介して転送する方法、を含む。
【0025】
II.ユーザー及び印刷データの認証を用いてロックされた印刷データを印刷する方法
ユーザー及び印刷データの認証を用いてロックされた印刷データを印刷することは、一般に、文書の作成者を認証すること、文書の受領者及び各受領者が印刷を許可されるコピー数を指定すること、文書のデジタル署名を作成すること、指定した受領者を認証すること、文書データがデジタル署名されてから変更されたかを検証すること、及び対象受領者に文書の電子版の最大コピー数を印刷することを許可すること、を含む。
【0026】
A.アーキテクチャ
図1は、ユーザー及び印刷データの認証を用い、ロックされた印刷データを印刷する装置100を示すブロック図である。装置100は、文書の作成者102、印刷装置106、及び文書の受領者103を有する。印刷装置106は、図1に示されない他の装置及び要素と通信可能に結合されてよい。
【0027】
ある実施例では、作成者102は、印刷装置106を用い、手動で印刷装置106を操作するユーザーである。同様に、ある実施例では、受領者103は、印刷装置106を用い、手動で印刷装置106を操作するユーザーである。
【0028】
作成者102は、文書を印刷装置106に提出する。一方、受領者103は文書を印刷装置106から取り出す。文書を印刷装置106に提出する方法、及び文書を取り出す方法を以下に説明する。
【0029】
印刷装置106は、電子文書を印刷可能な任意の装置であってよい。印刷装置106の例には、限定ではなく、プリンター、コピー機、ファクシミリ、及び複合機(Multi−Function Peripheral:MFP)が含まれる。MFPは、1つの装置に複数の装置の機能を組み込んだ周辺機器であり、文書の集中管理、分配、生成を提供する。標準的なMFPは、プリンター、スキャナー、複写機、ファクシミリ、及び電子メール・ステーションの一部又は全ての組み合わせとして動作する。
【0030】
本発明のある実施例では、印刷装置106は、ユ―ザー・インターフェース114、スキャニング・モジュール116、ロック印刷モジュール118、及びデータ122を格納する記憶装置120を有する。ユーザー・インターフェース114、スキャニング・モジュール116、ロック印刷モジュール118は、互いに通信可能に接続され、記憶装置120にデータを格納でき、記憶装置120からデータを読み出すことができる。
【0031】
印刷装置106は、個々の実装に依存して、他のメカニズム、処理、及び機能を備えられてよい。また、本願明細書に記載される、ユーザー及び印刷データの認証を用いてロックされた印刷データを印刷する方法は、任意の種類の印刷装置106に限定されない。
【0032】
ユーザー・インターフェース114は、作成者102、受領者103、及び印刷装置106との間の情報交換を提供する任意のメカニズム及び/又は媒体により実施されてよい。ユーザー・インターフェース114の例には、限定でなく、ディスプレイとキーパッド若しくはキーボードを備えた制御パネル、陰極管(CRT)、液晶ディスプレイ(LCD)、キーボード、タッチパッド、マウス、トラックボール、マイク及びスピーカー、及びそれらの任意の組み合わせを含む。
【0033】
ある実施例では、ユーザー・インターフェース114は、作成者及び受領者に情報を表示し、作成者及び受領者からデータ入力を受信し、データ122を記憶装置120に格納及び読み出し、作成者及び受領者を認証する。ユーザー・インターフェース114は、作成者102及び受領者103に情報を表示し、作成者102及び受領者103により情報を入力させる操作パネルを有する。ユーザー・インターフェース114は、情報をユーザーに伝達するディスプレイ、及びタッチパッド、ボタン、又はユーザー入力を受信するタッチスクリーンを有する。
【0034】
印刷装置106は、個々の実装に依存して、ユーザー・インターフェース114に情報を任意の数の言語で表示する。従来の印刷装置と同様に、印刷装置106のユーザー・インターフェース114は、英数字列を簡単に入力可能な限られた機能を提供する。
【0035】
スキャニング・モジュール116は、作成者102から文書を受信し、文書を当該文書の電子版にスキャンし、当該文書の電子版を処理し記憶装置120に格納する1又は複数の処理により実施される。スキャニング・モジュール116は、任意的に画像をスキャンし、文字、手書き文字、若しくはオブジェクトを印刷し、デジタル画像に変換する。スキャニング・モジュール116の実装の共通の例は、文書がスキャニングのためにガラス・ウインドウに置かれるデスクトップ(又は平台)スキャナー、又は装置が手で移動されるハンドヘルド・スキャナーを含む。近年のスキャナーは、標準的に、電荷結合素子(CCD)又は密着型センサー(CIS)を画像センサーとして用いる。一方で、旧式のドラム型スキャナーは、光電子増倍管を画像センサーとして用いる。高速文書スキャンに用いられる回転式スキャナーは、光電子倍増管の代わりにCCDアレイを用いる、別の種類のドラム型スキャナーである。他の種類のスキャナーは、書籍や文書の写真を撮る軌道式スキャナー、オブジェクトの3次元モデルを生成する3Dスキャナー、複写カメラ等の概念に基づくデジタル・カメラ・スキャナー、を含む。
【0036】
スキャニング・モジュール116及びロック印刷モジュール118は、印刷装置106に常駐する処理として実施される。或いは、スキャニング・モジュール116及びロック印刷モジュール118は、取り外し可能な媒体で印刷装置106に利用可能にするか、又は印刷装置106に対し遠隔の位置で実施される。ロック印刷モジュール118は、印刷装置106でロック印刷サービスを提供する1又は複数の処理により実施される。
【0037】
ロック印刷モジュール118は、記憶装置120に格納されたデータ122を処理する1又は複数の処理により実施される。ロック印刷モジュール118に実装される種々の機能は、限定ではなく、記憶装置120からデータ122を読み出す機能、記憶装置120にデータ122を格納する機能、データ122の「ロック印刷」処理を実行する機能、データ122が受領者103に供給されてよいかを決定する機能、及び前記決定が成功した場合に、データ122の指定された数のコピーを指定された受領者103に供給する機能、を含む。
【0038】
ある実施例では、ロック印刷モジュール118は、データを暗号化/復号化する暗号化及び復号化処理を有する。図1に示すように、暗号化/復号化処理の機能は、ロック印刷モジュール118に統合されてよい。或いは、暗号化/復号化処理は、印刷装置106及びロック印刷モジュール118と通信可能に接続された別個のモジュールであってもよい。
【0039】
記憶装置120は、揮発性記憶装置、不揮発性記憶装置、又は揮発性及び不揮発性記憶装置の任意の組み合わせを含む任意の種類の記憶装置により実施されてよい。記憶装置120の例は、限定ではなく、ランダム・アクセス・メモリー(RAM)及び1又は複数のディスクを含む。
【0040】
記憶装置120は、種々の種類のデータ122を格納する。例えば、記憶装置120に格納されたデータ122は、スキャニング・モジュール116によりスキャニングされた際に印刷装置106が作成者102から受信した電子文書を有する。
【0041】
他の実施例では、記憶装置120に格納されたデータ122は、電子文書を用いてロック印刷モジュール118により生成された文書の電子版を暗号化したものを有する。
【0042】
他の実施例では、記憶装置120に格納されたデータ122は、電子文書の暗号化版を用いてロック印刷モジュール118により生成された電子文書の復号化版を有する。
【0043】
他の実施例では、記憶装置120に格納されたデータ122は、ロック印刷モジュール118により生成された、電子文書の復号化版を印刷したものを有する。
【0044】
他の実施例では、記憶装置120に格納されたデータ122は、デジタル証明書、ユーザーの識別データ、ハッシュ・データ等を有してよい。
ある実施例では、作成者102は、印刷装置106のユーザー・インターフェース114により、及び文書の印刷されたコピーを印刷装置106に供給することにより、文書を印刷装置106に提出する。
【0045】
図1に示し本願明細書に記載する構成要素及び処理は、個々の実装に依存して、ハードウェア、ソフトウェア、又はハードウェア若しくはソフトウェアの任意の組み合わせにより実施されてよい。
【0046】
図2は、本発明の実施例による、ユーザー及び印刷データの認証を用い、ロックされた印刷データを印刷する装置100示すブロック図である。図2に示した実施例では、作成者102は、データを電子形式で作成及び処理する作成装置105と通信可能に結合される。図2の作成装置105は、印刷装置106とネットワーク108を介して通信可能に結合された、又は印刷装置106と作成者102と印刷装置106との間の任意の他の種類の通信接続を介して通信可能に結合された任意の種類の「クライアント」であってよい。「クライアント」装置に実装される作成装置105の例は、限定ではなく、ワークステーション、パーソナル・コンピューター、パーソナル・デジタル・アシスタント(PDA)、任意の種類のモバイル装置及び携帯電話機を含む。
【0047】
本発明のある実施例では、作成装置105は、アプリケーション・プログラム110を実行する。アプリケーション・プログラム110は、印刷データを生成可能な任意の処理であってよい。アプリケーション・プログラム110の例は、限定ではなく、ワードプロセッサー、表計算プログラム、電子メール・クライアント、ウェブ・ブラウザ、写真管理プログラム、及び描画若しくはコンピューター支援設計(CAD)プログラムを含む。
【0048】
アプリケーション・プログラム110の出力は、作成者102により作成された電子文書を有し、アプリケーション・プログラム110によりネットワーク108を介して印刷装置106へ送信され、記憶装置120に電子文書データ122として格納される。
【0049】
ある実施例では、作成装置105は、携帯可能な媒体からデータを受信する。携帯可能な媒体は、データの電子版を格納可能な、作成装置105と接続可能な、任意の種類の記憶媒体であってよい。携帯可能な媒体の例は、限定ではなく、メモリー・スティック、スマート・カード、フラッシュ・メモリー・カード、アクセス・カード、携帯型ディスク・ドライブ、及び任意の他の種類の不揮発性メモリーを含む。
【0050】
本実施例では、携帯可能な媒体に格納された電子文書は、携帯可能な媒体により、ネットワーク108を介して印刷装置106へ送信され、電子文書データ122として記憶装置120に格納される。
【0051】
ネットワーク108は、クライアント装置102と印刷装置106との間の情報交換を実現する任意の種類の媒体又は機構(有線又は無線)により実施されてよい。更に、ネットワーク108は、個々のアプリケーションの要求に依存して、任意の種類の通信プロトコルを用い、セキュアであるか又はセキュアでなくてもよい。
【0052】
B.機能の概要
ユーザー及び印刷データの認証を用いてロックされた印刷データを印刷する方法を提供する。方法は、種々の環境に適用され、双方向のセキュリティ手段を実装し使用して、1人以上の対象受領者による、文書のプリンターへの安全な送信、及び文書のプリンターからの読み出しを保証する。
【0053】
特に、双方向のセキュリティ手段は、(1)文書が作成者により指定された対象受領者によってのみ受信されること、(2)文書の作成者と対象受領者の両方が、認証に成功すること、(3)対象受領者により受信された文書が、作成者により作成された文書であること、(4)対象受領者により受信された文書が作成者により作成された文書と同一であること、を保証する。
【0054】
方法は、ロックされた印刷データを提出する種々の方法に適用される。ロックされた印刷データを提出する種々の方法には、文書を印刷装置にスキャニングする方法、電子文書を印刷装置へコンピューター・ネットワーク又はインターネット等を介して転送する方法、を含む。
【0055】
本方法では、文書の作成者が認証され、作成者は文書の受領者及び各受領者が印刷してよいコピーの数を特定し、電子文書はデジタル署名を施され、電子文書の指定された受領者の認証が成功すると、及び電子文書が変更されていない場合には、電子文書を指定された回数だけ印刷できる。
【0056】
(1)スキャンしたロックされた印刷データを印刷する実施例
図3は、本発明の実施例による、文書の作成者を認証する方法のフロー図を示す。
【0057】
文書を作成し当該文書を安全に指定した受領者へ分配したい作成者の認証は、機密又は秘密情報を含む電子文書への不正アクセスを阻止するセキュリティ手段の1つである。
【0058】
文書のセキュリティは、任意の組織において、特に様々な従業員が1つの複合機(MFP)を用いる組織において、主要な関心事である。この問題を解決するために、組織は、自身の従業員のそれぞれに固有の認証データを割り当て、認証が成功した場合のみ当該従業員にMFP装置を使用させる。
【0059】
従業員の認証は、認可されていない団体が印刷装置を使用することを防ぎ、組織の資源を不正使用から守り、組織の知的財産を外部の侵入者から守る手段である。
【0060】
従業員の認証データは、英数文字列を含み、従業員に配布される携帯可能な媒体に符号化され、MFPが安全にアクセスできる中央データベースに格納される。従業員の認証データを有する携帯可能な媒体の例は、限定ではなく、従業員の磁気認識票、磁気認識カード(例えば、SmartCard(登録商標)、Casi−Ruscoカード、NexWatchカード等)、従業員がMFPのデータ入力パネルに又は他のMFPユーザー・インターフェース(例えば、バイオメトリック認証(指紋、虹彩、静脈など))を介して入力するデータ列、を含む。
【0061】
MFP装置を使用するユーザー(文書の作成者、文書の対象受領者)は、自身の認証データをMFP装置に入力し、MFP装置を用いて処理を行う前に、MFP装置により認証が成功する。
【0062】
ユーザーが自身の識別データをMFP装置に入力するために用いる多数の媒体がある。例えば、ユーザーは、自身の磁気識別カードをMFPに通すことによりログインする。
【0063】
磁気識別カードの使用は、例えば正社員が完全にアクセスできる一方で、スキャナーやカラー印刷機にアクセスする必要のない臨時職員のいる会社にとって、有利である。
【0064】
また、MFP認証を利用することにより、及び例えばセキュアに解放する選択肢を導入することにより、MFPは、ユーザーが自身のIDカードを通すまで印刷ジョブを保持することができる。従って、意図しないユーザーは機密文書を入手することがない。
【0065】
シングル・サインオンでは、ユーザーは、自身の認証カードをMFPに通し、MFPの種々の機能を使用するときに再度認証する必要がない。これは、ビジネスの運用及び生産性を向上させる。つまり、ある目的(たとえば、スキャナを利用する)で、1度、シングルサイオンをすると、他の目的での利用の際(続けて、蓄積されているロックされた印刷データを印刷する)には、認証を行う必要が無いと言うことである。なお、所定の時間が過ぎた場合には、再度、認証を要求する必要があることは言うまでもない。
【0066】
個々の実装の要件に依存して異なる種類のユーザー認証が使用される。本発明は特定の種類の作成者認証に限定されない。
【0067】
ある実施例では、作成者は、作成者の認証データを求められる。認証データは、作成者の名前、組織内で作成者を一意に識別するパスワードを有する。作成者の名前とパスワードは、2つの別個の英数文字列として符号化され、作成者が利用可能な機能を制御する。作成者のログイン名とパスワードを統合することにより、連邦政府の活動や他の規則により要求される一層高水準のセキュリティを組織に提供する。本実施例では、作成者の認証データは、印刷装置のインターフェース・モジュールにより要求されたときに作成者が続けて入力しなければならない2つの別個の英数文字列を有する。
【0068】
本発明のある実施例では、作成者はユーザー・インターフェースを介してパスワードを求める。作成者により入力されたパスワードが、印刷装置のデータベースから復元された元のパスワードと一致した場合、作成者は認証に成功する。
【0069】
本発明の別の実施例では、作成者はユーザー・インターフェース・パネルを介して作成者の識別情報(ID)とパスワードの両方を求める。作成者のIDは、任意の種類、文字、又は大きさのデータであってよい。作成者により供給された作成者のIDとパスワードが、印刷装置のデータベースから復元された作成者のIDと元のパスワードと一致した場合、作成者は認証に成功する。
【0070】
ある実施例では、作成者は、作成者の認証PIN(PINコード)を求められる。認証PINは、組織内で作成者を一意に識別する英数文字列を有する。本実施例では、作成者は、印刷装置のユーザー・インターフェース・モジュールにより要求されると、認証PINを入力しなければならない。
【0071】
図3を参照する。段階302で、印刷装置のユーザー・インターフェース・モジュールは、上述の形式の1つで作成者の認証データを受信する。また、印刷装置のユーザー・インターフェース・モジュールは、個々の印刷装置を利用する組織に設置されている。ある実施例では、ユ―ザー・インターフェース・モジュールは、作成者の名前の識別データを有する文字列を受信し、次に作成者のパスワード・デ―タを有する文字列を受信し、両者のデータ文字列(名前とパスワードの対)を印刷装置と関連付けられた記憶装置に格納する。
【0072】
ある実施例では、ユーザー・インターフェース・モジュールは、作成者のPINデータ列を受信し、PINデータ列を印刷装置と関連付けられた記憶装置に格納する。
【0073】
段階304で、ユーザー・インターフェース・モジュールは、作成者の認証データを用いて作成者を認証する。ある実施例では、ユ―ザー・インターフェース・モジュールは、作成者により入力された名前とパスワードの対のデータと、例えばシステム管理者、マネージャー等により初期化され維持される印刷装置の認証データに格納された名前とパスワードの対のデータを比較する。
【0074】
ユーザー・インターフェース・モジュールが作成者により入力された名前とパスワードの対と印刷装置に格納された認証データに格納された名前とパスワードの対と一致したと決定した場合、作成者は、ユーザー・インターフェース・モジュールによる認証に成功し、作成者は、システム管理者、マネージャー等により指定された、印刷装置の機能にアクセスできる。この場合、ユーザー・インターフェース・モジュールは、ユーザー・インターフェース・モジュールのディスプレイに情報を表示し、作成者に、印刷装置の使用に関する認証に成功したことを知らせる。
【0075】
しかしながら、一致しなかった場合、作成者は、印刷装置へのアクセスを拒否される。この場合、ユーザー・インターフェース・モジュールは、ユーザー・インターフェース・モジュールのディスプレイ・パネルに情報を表示し、作成者に、印刷装置へのアクセスが拒否されたことを知らせる。
【0076】
作成者が認証に成功した場合、段階306で、ユーザー・インターフェース・モジュールは、作成者の秘密鍵を読み出す。作成者の秘密鍵は、組織内で作成者を識別するために用いられる英数字データ列である。
【0077】
ある実施例では、作成者の秘密鍵は、印刷装置と関連付けられた記憶装置から読み出される。或いは、作成者の秘密鍵は、印刷装置と通信可能に結合された他の記憶装置から読み出されてもよい。作成者の秘密鍵は、作成者が印刷装置に格納したい電子文書のデジタル署名を生成するために用いられる。デジタル署名を図4に詳細に示す。
【0078】
図3を参照する。段階306が完了すると、ユーザー・インターフェース・モジュールは、文書のスキャンを含む、作成者が利用可能な選択肢(又は選択肢のセット)を表示する。次に、ユーザー・インターフェース・モジュールは、作成者からの入力(つまり、文書をスキャンするという作成者の選択)を受信するまで待機し、印刷装置の制御をスキャニング・モジュールに渡す。
【0079】
段階308で、スキャニング・モジュールは、作成者が文書の印刷したコピーを印刷装置の給紙トレイに挿入したこと、及びユーザー・インターフェース・モジュールにより表示された、作成者が利用可能な選択肢から「文書のスキャン」選択肢を選択したことを検出する。次に、スキャニング・モジュールは、作成者の文書の印刷されたコピーをスキャンし、電子文書を生成し、当該電子文書を印刷装置と関連付けられた記憶装置に格納する。
【0080】
図4は、本発明の実施例による、ユーザー及び印刷データの認証を用い、ロックされた印刷データを印刷する方法を示すブロック図である。図示した実施例では、段階402で、ロック印刷モジュールは、電子文書のためのデジタル署名を生成する。
【0081】
デジタル署名又はデジタル署名方式は、紙面に手書きされた署名のセキュリティ特性をシミュレートするために用いられる非対称暗号化方法である。デジタル署名方式は、通常、2つのアルゴリズムを与える。1つは、ユーザーの秘密鍵又は私有鍵を必要とする署名であり、もう1つは、ユーザーの公開鍵を必要とする署名の検証である。署名処理の出力は、「デジタル署名」と称される。
【0082】
署名は「メッセージ」の認証を可能にする。メッセージは、文書から電子メールまで、又はもっと複雑な暗号化プロトコルで送信されたメッセージのような、如何なるものでもよい。デジタル署名は、ユーザーの公開鍵(公開鍵の暗号化、デジタル署名、又は任意の他の目的)が、認証機関により発行されたデジタル証明書によりユーザーに関係付けられる公開鍵基盤(Public Key Infrastructure)を作成するために用いられる。PKI方式は、作成者の情報を公開鍵に解読できないように結合するので、公開鍵は証明書の形式で用いられる。
【0083】
デジタル署名は、屡々、電子署名を実施するために用いられる。広義には、デジタル署名は、署名の目的を担う任意の電子データを示すが、全ての電子署名がデジタル署名を用いるわけではない。米国、欧州連合を含む幾つかの国では、電子署名は適法な意味をもつ。しかしながら、電子署名に関する法律は、暗号化デジタル署名に対する適用性を明確にしておらず、暗号化デジタル署名の法的な重要性は明示されないままである。
【0084】
ある実施例では、ロック印刷モジュールは、作成者のデジタル署名を、電子文書のハッシュコードから、文書の作成者の秘密鍵を用いて生成する。ハッシュコードは、暗号化ハッシュ関数を用いて生成される。暗号化では、暗号化ハッシュ関数は、入力を取り込み、ハッシュ値と称される固定長の文字列を返す。この特性を有するハッシュ関数は、暗号化を含む種々の計算の目的に用いられ、暗号化ハッシュ関数は、文書の完全性を検査するために用いられる。種々の規格及び用途で、最も一般的に用いられる2つのハッシュ関数は、MD5とSHA−1である。
【0085】
ハッシュコードは、文書から計算された、当該文書の簡潔な表現としてみなされる。ハッシュコードは、文書自身の「デジタル・フィンガープリント」である。
【0086】
ある実施例では、ハッシュ関数は、電子文書を16進又は2進文字列に変換し、当該文字列を入力として、固定長の文字列を出力として生成し、屡々メッセージ要約又はデジタル・フィンガープリントと称される。結果として生成された出力された文字列は、電子文書の第1のハッシュコード(HASH1)として格納される。
【0087】
段階404で、ロック印刷モジュールは、作成者の秘密鍵を用い、HASH1を暗号化してデジタル署名を生成し、当該デジタル署名を印刷装置と関連付けられた記憶装置に格納する。
【0088】
暗号化は、データの暗号文(つまり、文書を暗号化したもの)への変換であり、認可されていない団体には容易に理解できない。復号化は、暗号文を復号化されたデータ、つまり理解できるように変換する処理である。暗号化と復号化が正しく実行されると、暗号化、送信、及び復号化の処理中に、データが認可されていない団体によって変更されていないならば、元のデータと、暗号化データを復号化したものは、同一になる。
【0089】
しかしながら、暗号化と復号化が正しく実行されたが、復号化の後に、暗号化データを復号化したものが元のデータと同一にならない場合、暗号化データを復号化したものの受領者は、データの暗号化、送信、又は復号化の処理中のどこかで、データが認可されていない団体によって変更された及び/又は妨害された証拠を有する。
【0090】
暗号化は、機密又は秘密文書を含む文書を共有する際に、特に重要である。暗号が強力なほど、認可されていない団体が文書データを破壊する(暗号を破る)ことが困難になる。しかしながら、暗号の強度が増大すると、コストも増大する。
【0091】
文書の電子版を暗号化したものを生成する種々の方法がある。例えば、単純な暗号は、文字を数字で置き換えること、数字を文字で置き換えること、英文字の文字をローテーションさせること、を含む。より複雑な暗号化作業は、データ・ビットを文書の電子版に再配置する高度なコンピューター・アルゴリズムに従う。
【0092】
ある実施例では、デジタル署名は、印刷装置と関連付けられた記憶装置に格納される。
【0093】
段階406で、ロック印刷モジュールは、文書の対象受領者と各受領者が受信できる文書の電子版のコピー数を識別する、作成者の入力に応じ、受領者データの構造に格納された受領者のデータを生成し、受領者データの構造を、電子文書と関連付けられた記憶装置に格納する。
【0094】
ある実施例では、受領者データの構造は、受領者の識別子に対応するインデックスでインデックス付けされた多次元テーブルに格納される。受領者の識別子は、受領者の名前、受領者のパスワード、受領者の認証PIN(PINコード)、又は組織内で受領者を一意に識別する任意の他の識別子であってよい。
【0095】
ある実施例では、作成者により電子文書を受信するよう意図された受領者毎に、受領者データの構造は、個々の受領者が印刷を許可されているコピー数を含む。
【0096】
更に、受領者データの構造は、作成者の識別データを有する。作成者の識別データは、作成者の名前、作成者のパスワード、作成者の認証PIN(PINコード)、又は組織内で作成者を一意に識別する任意の他の識別子を有する。受領者データの構造は、ロック印刷機能(ロック印刷モジュール)の実行を実現する任意の追加データを有する。受領者データの構造は、印刷装置と関連付けられた記憶装置に格納される。
【0097】
ある実施例では、ロック印刷モジュールは、作成者により指定された文書の各対象受領者へ送信されるべき通知メッセージを生成する。通知は、電子メール、音声メッセージ、又は組織により採用された任意の他の通知システムの形式で送信される。
【0098】
段階408で、受領者の認証の成功、受領者に表示された文書のリストから作成者の文書を受領者が選択したことに応じて、ロック印刷モジュールは、電子文書と関連付けられた受領者データを読み出し、受領者データから作成者の識別データを読み出す。
【0099】
対象受領者、つまり段階406で文書の作成者により指定された受領者のみが、印刷可能な文書のリストを提示される。当該リストは、作成者により作成された文書のみを有する。(文書の作成者により指定された)対象受領者のみが、文書を印刷する選択肢を提示されることが保証される。また、別のセキュリティ手段は、ロックされた印刷データの安全な印刷を保証する。
【0100】
段階406で記載したように、受領者データは、文書の対象受領者の識別データを有する。また、受領者毎に、受領者データは、受領者が生成してよい文書のコピー数を有する。段階406で記載したように、受領者データは、組織内で文書の作成者を一意に識別する作成者の識別データも有する。
【0101】
段階410で、ロック印刷モジュールは、作成者の識別データを読み出す。作成者の識別データは、図3に詳細に記載される。
【0102】
ある実施例では、ロック印刷モジュールは、作成者の公開鍵を読み出し、作成者の公開鍵が有効か、無効でないか、及び信頼されるエンティティにより発行されたかを決定する。
【0103】
段階412で、ロック印刷モジュールは、作成者の公開鍵を用い、暗号化されたデジタル署名を復号化し、第1のハッシュコード(HASH1)を復元する。
【0104】
ある実施例では、復号化アルゴリズムは、段階404で記載した暗号化アルゴリズムの段階を「戻す」アルゴリズム又は数式である。つまり、復号化アルゴリズムは、暗号化の各段階を順次戻すが、逆の順番ではない。
【0105】
文書データを復号化する目的は、暗号化されたデータを理解できるように翻訳することである。段階404で記載したように、暗号化及び復号化処理は、データの対象受領者が電子文書の読み出しに成功するまで、データが印刷装置に安全に格納されることを保証するために、実行される。
【0106】
復号化は、暗号文を復号化されたデータ、つまり理解できるように変換する処理である。暗号化と復号化が正しく実行されると、暗号化、送信、及び復号化の処理中に、データが認可されていない団体によって変更されていないならば、元のデータと、暗号化データを復号化したものは、同一のデータを有する。
【0107】
しかしながら、暗号化と復号化が正しく実行されたが、復号化の後に、復号化データが元のデータと同一にならない場合、復号化データの受領者は、データの暗号化、送信、又は復号化の処理中のどこかで、データが認可されていない団体によって変更された及び/又は妨害された証拠を有する。
【0108】
データを復号化するために種々のアルゴリズムが用いられる。しかしながら、選択された復号化アルゴリズム又は復号化式は、段階404で実行される暗号化アルゴリズム(又は式)と互換性がなければならず、暗号化の各段階を順次戻さなければならにが、逆の順番でなくてもよい。
【0109】
段階414で、ロック印刷モジュールは、電子文書を用いて第2のハッシュコード(HASH2)を生成する。第2のハッシュコードを生成する目的は、作成者がデータを印刷装置にスキャンした瞬間から、対象受領者が電子文書を印刷する瞬間まで、データが認可されていない団体等により変更又は妨害されていないかを決定できるようにするためである。上述の目的を達成するために、第2のハッシュコードを生成するアルゴリズムは、上述の段階402で第1のハッシュコードを生成するために用いたアルゴリズムと同一でなければならない。
【0110】
段階416で、ロック印刷モジュールは、第1のハッシュコードを第2のハッシュコードと比較し、2つのハッシュコードが一致した場合に、対象受領者が電子文書のコピー数まで印刷することを許可する。
【0111】
第1のハッシュコードを第2のハッシュコードと比較する目的は、対象受領者により印刷されようとしている電子文書が実際に作成者により作成された文書か否かを決定することである。
【0112】
このセキュリティ手段は、認可されていない団体が組織のデータベースにアクセスし、組織の暗号化及び復号化メカニズムを使用し、及びさもなければ適正に暗号化及び復号化された元の電子文書を不法な電子文書に置き換えた状況を識別する。
【0113】
これは、機密又は秘密文書を含む文書を共有する際に、特に重要である。
【0114】
上述の比較の論理的根拠は、暗号化と復号化が適正に実行され、認可された団体が暗号化、送信、及び復号化の処理中に妨害されなかった場合には第2のハッシュコードと第1のハッシュコードが同一のデータを含むことである。
【0115】
しかしながら、暗号化と復号化が正しく実行されたが、第1のハッシュコードが第2のハッシュコードと同一でない場合、復号化した文書の受領者は、データの暗号化、送信、又は復号化の処理中のどこかで、データが認可されていない団体によって妨害された証拠を有する。
【0116】
上述の比較が、データは認可されていない団体により変更及び/又は妨害されたという事実を示す場合、適切なメッセージが、文書の作成者へ、システム管理者へ、及び組織内の任意の他の権威者へ送信される。
【0117】
(2)スキャンしたロックされた印刷データを印刷する別の実施例
図5は、本発明の実施例による、ユーザー及び印刷データの認証を用い、ロックされた印刷データを印刷する方法を示すブロック図である。特に、図5は、文書をプリンターへ安全に送信し、文書をプリンターから対象受領者により安全に取り出すことを保証する、双方向のセキュリティ手段のメカニズムを説明する。
【0118】
図示した実施例では、双方向のセキュリティ手段は、(1)文書が作成者により指定された対象受領者によってのみ受信されること、(2)文書の作成者と対象受領者の両方が、認証に成功すること、(3)対象受領者により受信された文書が、作成者により作成された文書であること、(4)対象受領者により受信された文書が作成者により作成された文書と同一であること、を保証する。
【0119】
図示した実施例では、図3の全ての段階は既に実行されており、従って作成者は認証に成功しており、作成者は文書の対象受領者と各対象受領者が受信してよいコピー数を指定している。更に、作成者は文書を印刷装置に(文書の印刷されたコピーをスキャンすることにより、又は電子文書を印刷装置へ通信接続を介して提出することにより)提出している。更に、文書は印刷装置の記憶装置に安全に格納されている。
【0120】
更に、対象受領者は、印刷装置が、受領者が取り出してよい格納された文書を有すること、及び受領者が印刷装置に近づき、受領者の識別情報を入力していることを通知されている。
【0121】
また、既に暗号化された文書のデータを復号化したものは、本願明細書で電子文書と称される。文書の元の作成者は、「電子文書が最初に印刷装置に格納された時に指定された、電子文書の先の作成者」と称される。
【0122】
最後に、作成者の識別データを受信すると、ロック印刷モジュールは、文書の作成者を識別する既に暗号化された情報を復号化する。文書の作成者を識別する既に暗号化された情報を復号化したものは、「現在の」作成者と称される。
【0123】
段階502で、ロック印刷モジュールは、電子文書の現在の作成者が、電子文書が最初に印刷装置に格納された時に指定された電子文書の先の作成者と同一であることを検証する。
【0124】
電子文書の「現在の」作成者が、電子文書が最初に印刷装置に格納された時に指定された電子文書の先の作成者と同一であることを検証するために、ロック印刷モジュールは、例えば、第1のハッシュコード(HASH1、図4)を第2のハッシュコード(HASH2、図4)と比較する。HASH1とHASH2を計算し使用する方法の詳細は、図4に示す。
【0125】
HASH1がHASH2と一致した場合、電子文書が、電子文書が最初に印刷装置に格納された時から、電子文書が対象受領者により取り出されようとしている瞬間まで変更されていないならば、電子文書の「現在の」作成者が、電子文書が最初に印刷装置に格納された時に指定された電子文書の「先の作成者」と同一であると推定される。電子文書が、電子文書が最初に印刷装置に格納された時から、電子文書が対象受領者により取り出されようとしている瞬間まで変更されていないと推定すると、HASH1とHASH2を生成するために使用した鍵が、実際に有効な公開鍵と、同一の作成者の有効な私有鍵である場合、HASH1はHASH2と同一である。しかしながら、この場合に、ハッシュが一致しない場合、ハッシュを生成するために使用した少なくとも1つの鍵は、作成者の有効な鍵ではない。従って、ハッシュが一致しない場合、「現在の」作成者は、「先の作成者」と同一ではない。
【0126】
「現在の」作成者の検証に成功すると、段階504で、ロック印刷モジュールは、電子文書が、電子文書が最初に印刷装置に格納されてから変更されていないか否かを決定する。この段階は、実際に対象受領者によって取り出された文書が、当該文書が作成者により印刷装置に提出された瞬間から、当該文書が対象受領者に印刷を許可することに成功した瞬間まで、変更されなかったことを保証する。
【0127】
上述のように、保管文書や秘密文書を送信する際の関心事の1つは、最終的には対象受領者によって取り出される保管文書や秘密文書が、実際に元の文書の元の作成者によって作成された文書であることを保証することである。セキュリティ手段の違反は、認可されていない団体が組織のネットワーク又はデータにアクセスし、保管及び秘密文書を変更し、修正し、変換し、又は元の保管文書と同一でない別の文書に置き換えたときに生じる。このような置き換えは、組織のセキュリティを危うくし、一連の不要で望ましくない結果を生じる。
【0128】
電子文書が、電子文書が最初に印刷装置に格納された時から変更されていないか否かを検証するために、ロック印刷モジュールは、例えば、第1のハッシュコード(HASH1、図4)を第2のハッシュコード(HASH2、図4)と比較する。HASH1とHASH2を決定し使用する方法の詳細は、図4に示す。
【0129】
HASH1がHASH2と一致した場合、電子文書の「現在の」作成者が、電子文書が最初に印刷装置に格納された時に指定された電子文書の「先の作成者」と同一であるならば、電子文書は、電子文書が最初に格納された時から変更されていないと推定される。電子文書の「現在の」作成者が、電子文書が最初に印刷装置に格納された時に指定された電子文書の「先の作成者」と同一であるならば、HASH1とHASH2を生成するために使用された鍵は、同一の作成者の有効な鍵である。従って、ハッシュが同一の電子文書を用いて計算されたならば、HASH1はHASH2と同一である。しかしながら、ハッシュが一致しない場合、ハッシュは異なる電子文書を用いて計算されており、元の電子文書が改竄されたと結論づけられる。
【0130】
段階506で、受領者の認証に成功すると、ロックされた印刷処理は、受領者が電子文書を指定されたコピー数まで印刷することを許可する。上述のように、「受領者」は、電子文書の対象受領者であり、作成者が印刷装置に文書を提出したときに作成者により暗に識別されている。このセキュリティ手段は、対象受領者のみが文書にアクセスし、対象受領者のみが文書のコピーを印刷することを保証する。
【0131】
更に、このセキュリティ手段は、対象受領者が電子文書を指定された最大でもコピー数までしか印刷できないことを保証する。対象受領者が印刷できるコピー数を制限することは、組織内で配布される機密文書や秘密文書のコピー数の合計を管理し制御することを支援し、従って機密文書や秘密文書の作成者により暗に識別された受領者によって不正なコピーを作成することも防止する。
【0132】
III.実施のメカニズム
本願明細書に記載した、双方向の(提出と解放)文書保護を用いた電子文書を安全に印刷する方法、及び印刷ロック・メカニズムは、任意の種類のコンピューター・プラットフォーム又はアーキテクチャに実装されてよい。説明を目的として、図6に、本発明の実施例が実施され得るコンピューター・システム600を図示するブロック図を示す。コンピューター・システム600は、バス602又は情報を通信する他の通信機構、及びバス602と結合され情報を処理するプロセッサー604を有する。コンピューター・システム600はまた、バス606と結合され情報及びプロセッサー602により実行されるべき命令を格納するランダム・アクセス・メモリー(RAM)又は他の動的記憶装置のような主記憶604を有する。主記憶606はまた、プロセッサー604による命令の処理中に一時的数値変数又は他の中間情報を格納するために用いられる。コンピューター・システム600はまた、バス608と結合され情報及びプロセッサー602の命令を格納する読み出し専用メモリー(ROM)604又は他の静的記憶装置を更に有する。磁気ディスク又は光ディスクのような記憶装置610が設けられ、及びバス602と結合され、情報及び命令を格納する。
【0133】
コンピューター・システム600は、バス602を介し、陰極管(CRT)のようなコンピューターのユーザーに情報を表示するディスプレイ612と結合されてよい。入力装置614は、英数字及び他のキーを有し、バス602と結合され、プロセッサー604へ情報及びコマンド選択を通信する。他の種類のユーザー入力装置は、マウス、トラックボール、又はカーソルキーのようなカーソル移動制御616であり、方向情報及びコマンド選択をプロセッサー604へ通信し、及びディスプレイ612上のカーソルの動きを制御する。当該入力装置は、標準的に第1の軸(例えばx)及び第2の軸(例えばy)である2軸で2つの自由度を有し、装置に平面内の位置を指定可能にする。
【0134】
本発明は、本願明細書に記載された技術を実施するコンピューター・システム600の使用に関する。本発明の1つの実施例によると、当該技術は、主記憶606内に含まれる1つ以上の命令の1つ以上の命令を実行するプロセッサー604に応じ、コンピューター・システム600により実行される。このような命令は、主記憶606へ記憶装置610のような他のコンピューター可読媒体から読み込まれてよい。主記憶606に含まれる命令の処理は、本願明細書に記載された処理段階を実行させる。マルチ・プロセス装置の1又は複数のプロセッサーは、主記憶606に格納された命令を処理するために用いられる。代案の実施例では、配線論理回路は、ソフトウェア命令の代わりに又はソフトウェア命令と組み合わせて使用され本発明を実施して良い。このように、本発明の実施例は、ハードウェア回路、コンピューター・ソフトウェア、又はハードウェア回路とコンピューター・ソフトウェアの如何なる組み合わせにも限定されない。
【0135】
本願明細書で使用された用語「コンピューター可読媒体」は、実行のためプロセッサー604への命令の提供に関連する任意の媒体を示す。このような媒体は、不揮発性媒体、揮発性媒体、及び伝送媒体を有するがこれらに限定されない多くの形を取ってよい。不揮発性媒体の例は、限定ではなく、記憶装置610のような光又は磁気ディスクを有する。揮発性媒体の一例は、限定ではなく、主記憶606のような動的記憶を有する。伝送媒体の例は、限定ではなく、同軸ケーブル、銅線、光ファイバ、バス602を有する配線、無線波及び赤外線データ通信で生成されるような電磁放射、を有する。
【0136】
コンピューター可読媒体の一般的な形式は、例えば、フロッピー(登録商標)ディスク、フレキシブルディスク、ハードディスク、磁気テープ、又は任意の他の磁気媒体、CD−ROM、任意の他の光媒体、パンチカード、紙テープ、孔のパターンを有する任意の他の物理媒体、RAM、PROM、及びEPROM、フラッシュEPROM、任意の他のメモリーチップ又はカートリッジ、本願明細書に記載された搬送波、又はコンピューターが読み出し得る任意の他の媒体を有する。
【0137】
種々の形式のコンピューター可読媒体は、プロセッサー604への命令を有する。例えば、命令は最初に遠隔コンピューターの磁気ディスクで持ち運ばれてよい。遠隔コンピューターは、命令を遠隔コンピューターの動的記憶にロードし、及びモデムを使用し電話線を介して命令を送出し得る。コンピューター・システム600のローカルなモデムは、電話線でデータを受信し、及び赤外線送信機を用いデータを赤外線信号へ変換する。バス602と結合された赤外線検出器は、赤外線信号で伝達されるデータを受信し、及びデータをバス602に設定し得る。バス602は、データを主記憶606へ伝達する。主記憶606から、プロセッサー604は命令を検索しそして処理する。主記憶606により受信された命令は、任意的に、プロセッサー604による実行の前又は後の何れかに記憶装置610に格納されてよい。
【0138】
コンピューター・システム600はまた、バス602と結合される通信インターフェース618を有する。通信インターフェース618は、ローカル・ネットワーク622と接続されるネットワーク接続620と結合される双方向データ通信を提供する。例えば、通信インターフェース618は、総合デジタル通信網(ISDN)カード又はモデムであってよく、対応する種類の電話線とのデータ通信接続を提供する。別の例として、通信インターフェース618は、ローカル・エリア・ネットワーク(LAN)カードであってよく、適合するLANとのデータ通信接続を提供する。無線接続が実施されてもよい。任意のこのような実施では、通信インターフェース618は、種々の種類の情報を表すデジタル・データ・ストリームを伝達する電気、電磁気又は光信号を送出及び受信する。
【0139】
ネットワーク接続620は、標準的に、1つ以上のネットワークを通じた他のデータ装置へのデータ通信を提供する。例えば、ネットワーク接続620は、ローカル・ネットワーク622を通じたホスト・コンピューター624又はインターネット・サービス・プロバイダー(ISP)626により動作されるデータ機器への接続を提供してよい。ISP626はまた、現在一般的に「インターネット」628として参照される世界規模のパケットデータ通信ネットワークを通じデータ通信サービスを提供する。ローカル・ネットワーク622及びインターネット628の両方は、デジタル・データ・ストリームを伝達する電気、電磁気又は光信号を使用する。種々のネットワークを通じる信号、並びにネットワーク接続620及び通信インターフェース618を通じる信号は、コンピューター・システム600へ及びコンピューター・システム400からのデジタル・データを伝達し、例として情報を伝搬する搬送波の形式である。
【0140】
コンピューター・システム600は、ネットワーク、ネットワーク接続620及び通信インターフェース618を通じ、メッセージを送出し及びプログラム・コードを有するデータを受信し得る。インターネットの例では、サーバー630は、アプリケーション・プログラムの要求されたコードをインターネット628、ISP626、ローカル・ネットワーク622及び通信インターフェース618を通じ送信し得る。プロセッサー604は、命令を受信すると実行し、及び/又は後の実行のため記憶装置610又は他の不揮発性媒体に格納する。
【0141】
[拡張及び代案]
以上、明細書に、本発明の実施例は、実施毎に変化し得る多数の特定の詳細を参照し記載された。本発明であるもの及び出願人により本発明であると意図されるものの唯一の説明的な表示は、請求項が発行する如何なる後に生じる補正も含む、特定の形式で本願から発行される請求項のセットである。本願明細書に前述された当該請求項に含まれる用語の如何なる定義も、請求項で使用される用語の意味を規定する。従って、請求項に明示的に引用されない如何なる制限、要素、特性、特徴、利点又は貢献は、如何様にも当該請求項の範囲を制限しない。本願明細書及び図は、従って制限的でなく説明のためであると見なされる。
【特許請求の範囲】
【請求項1】
印刷装置であって:
ユーザー・インターフェース・モジュールであって、ローカル・メモリーと通信可能に結合され、
作成者及び受領者に情報を表示し、
作成者の認証データを受信し、
前記作成者の認証データを用いて前記作成者を認証し、
前記作成者の認証データの認証に成功すると、前記作成者と関連付けられた作成者の秘密鍵を読み出す、ユーザー・インターフェース・モジュール、
スキャニング・モジュールであって、前記ローカル・メモリーと通信可能に結合され、
印刷された文書をスキャンし、前記ローカル・メモリーに電子文書として格納する、スキャニング・モジュール、
ロック印刷モジュールであって、前記ローカル・メモリーと通信可能に結合され、
前記電子文書の第1のハッシュコードを生成し、
前記作成者の秘密鍵を用いてデジタル署名を生成し、前記電子文書の前記第1のハッシュコードを暗号化し、
作成者の入力に応じて、
前記電子文書の1又は複数の受領者、各受領者が印刷を許可される前記電子文書のコピー数、及び前記電子文書の前記作成者を識別する作成者の識別情報を指定する受領者データを生成し、
前記受領者データを前記電子文書と関連付けて格納し、
前記受領者の認証が成功し、前記受領者により、前記受領者に表示された文書のリストから前記電子文書が選択されると、
前記電子文書を読み出し、
前記受領者データから、前記作成者の識別情報データを読み出し、
前記作成者の識別情報データを用い、作成者の公開鍵を読み出し、
前記作成者の公開鍵を用い、前記暗号化されたデジタル署名を復号化して前記第1のハッシュコードを復元し、
前記電子文書を用いて第2のハッシュコードを生成し、
前記第1のハッシュコードと前記第2のハッシュコードが一致した場合、前記受領者が、復号化された前記電子文書を前記コピー数まで印刷することを許可する、ロック印刷モジュール、を有する印刷装置。
【請求項2】
前記ロック印刷モジュールは、前記秘密鍵及び前記公開鍵が有効か、無効でないか、及び信頼されるエンティティにより発行されたかを決定する、請求項1記載の印刷装置。
【請求項3】
前記ロック印刷モジュールは、
電子通知を前記電子文書の受領者へ送信し、前記電子通知は、前記電子文書が印刷のために利用可能であることを示す、請求項1に記載の印刷装置。
【請求項4】
前記ユーザー・インターフェース・モジュールは、作成者の認証カードを用いて前記作成者を認証する、請求項1記載の印刷装置。
【請求項5】
前記ユーザー・インターフェース・モジュールは、受領者の認証カードを用いて受領者を認証する、請求項1記載の印刷装置。
【請求項6】
印刷装置であって:
ユーザー・インターフェース・モジュールであって、ローカル・メモリーと通信可能に結合され、
作成者及び受領者に情報を表示し、
作成者の認証データを受信し、
前記作成者の認証データを用いて前記作成者を認証し、
前記作成者の認証データの認証に成功すると、前記作成者と関連付けられた作成者の秘密鍵を読み出す、ユーザー・インターフェース・モジュール、
ロック印刷モジュールであって、前記ローカル・メモリーと通信可能に結合され、
電子文書を、クライアント装置にあるクライアント・アプリケーションから、前記クライアント装置と前記印刷装置との間に確立された通信接続を介して受信し、
前記電子文書を前記ローカル・メモリーに格納し、
前記電子文書の第1のハッシュコードを生成し、
前記作成者の秘密鍵を用いてデジタル署名を生成し、前記電子文書の前記第1のハッシュコードを暗号化し、
作成者の入力に応じて、
前記電子文書の1又は複数の対象受領者、各受領者が印刷を許可される前記電子文書のコピー数、及び前記電子文書の前記作成者を識別する作成者の識別情報データを指定する受領者データを生成し、
前記受領者データを前記電子文書と関連付けて格納し、
前記受領者の認証が成功し、前記受領者により、前記受領者に表示された文書のリストから前記電子文書が選択されると、
前記電子文書と関連付けられた前記受領者データを読み出し、
前記受領者データから、前記作成者の識別情報データを読み出し、
前記作成者の識別情報データを用いて、作成者の公開鍵を読み出し、
前記作成者の公開鍵を用いて、前記暗号化されたデジタル署名を復号化し、前記第1のハッシュコードを復元し、
前記電子文書を用いて第2のハッシュコードを生成し、
前記第1のハッシュコードと前記第2のハッシュコードが一致した場合、前記受領者が前記電子文書を前記コピー数まで印刷することを許可する、ロック印刷モジュール、を有する印刷装置。
【請求項7】
印刷装置であって、
ユーザー・インターフェース・モジュールであって、ローカル・メモリーと通信可能に結合され、
ユーザーに情報を表示し、ユーザー入力を前記ユーザーから受信し、
1又は複数のユーザーが印刷を許可された、電子文書のコピー数を指定するデータを受信する、ユーザー・インターフェース・モジュール、
スキャニング・モジュールであって、前記ローカル・メモリーと通信可能に結合され、
印刷された文書をスキャンし、前記電子文書を生成し、
前記電子文書を前記ローカル・メモリーに、1又は複数のユーザーが印刷を許可された、電子文書のコピー数と関連付けて格納する、スキャニング・モジュール、
ロック印刷モジュールであって、前記ローカル・メモリーと通信可能に結合され、前記電子文書を前記印刷装置で印刷するというユーザーの要求に応じて、
前記電子文書の現在の作成者が、前記電子文書が前記印刷装置に最初に格納されたときに指定された、前記電子文書の先の作成者と同一であるかを検証し、
前記電子文書が、前記電子文書が前記印刷装置に最初に格納されてから変更されていないかを検証し、
前記ユーザーの認証が成功すると、前記ユーザーが、前記データにより指定された前記電子文書の指定されたコピー数まで、印刷することを許可する、ロック印刷モジュール、を有する印刷装置。
【請求項1】
印刷装置であって:
ユーザー・インターフェース・モジュールであって、ローカル・メモリーと通信可能に結合され、
作成者及び受領者に情報を表示し、
作成者の認証データを受信し、
前記作成者の認証データを用いて前記作成者を認証し、
前記作成者の認証データの認証に成功すると、前記作成者と関連付けられた作成者の秘密鍵を読み出す、ユーザー・インターフェース・モジュール、
スキャニング・モジュールであって、前記ローカル・メモリーと通信可能に結合され、
印刷された文書をスキャンし、前記ローカル・メモリーに電子文書として格納する、スキャニング・モジュール、
ロック印刷モジュールであって、前記ローカル・メモリーと通信可能に結合され、
前記電子文書の第1のハッシュコードを生成し、
前記作成者の秘密鍵を用いてデジタル署名を生成し、前記電子文書の前記第1のハッシュコードを暗号化し、
作成者の入力に応じて、
前記電子文書の1又は複数の受領者、各受領者が印刷を許可される前記電子文書のコピー数、及び前記電子文書の前記作成者を識別する作成者の識別情報を指定する受領者データを生成し、
前記受領者データを前記電子文書と関連付けて格納し、
前記受領者の認証が成功し、前記受領者により、前記受領者に表示された文書のリストから前記電子文書が選択されると、
前記電子文書を読み出し、
前記受領者データから、前記作成者の識別情報データを読み出し、
前記作成者の識別情報データを用い、作成者の公開鍵を読み出し、
前記作成者の公開鍵を用い、前記暗号化されたデジタル署名を復号化して前記第1のハッシュコードを復元し、
前記電子文書を用いて第2のハッシュコードを生成し、
前記第1のハッシュコードと前記第2のハッシュコードが一致した場合、前記受領者が、復号化された前記電子文書を前記コピー数まで印刷することを許可する、ロック印刷モジュール、を有する印刷装置。
【請求項2】
前記ロック印刷モジュールは、前記秘密鍵及び前記公開鍵が有効か、無効でないか、及び信頼されるエンティティにより発行されたかを決定する、請求項1記載の印刷装置。
【請求項3】
前記ロック印刷モジュールは、
電子通知を前記電子文書の受領者へ送信し、前記電子通知は、前記電子文書が印刷のために利用可能であることを示す、請求項1に記載の印刷装置。
【請求項4】
前記ユーザー・インターフェース・モジュールは、作成者の認証カードを用いて前記作成者を認証する、請求項1記載の印刷装置。
【請求項5】
前記ユーザー・インターフェース・モジュールは、受領者の認証カードを用いて受領者を認証する、請求項1記載の印刷装置。
【請求項6】
印刷装置であって:
ユーザー・インターフェース・モジュールであって、ローカル・メモリーと通信可能に結合され、
作成者及び受領者に情報を表示し、
作成者の認証データを受信し、
前記作成者の認証データを用いて前記作成者を認証し、
前記作成者の認証データの認証に成功すると、前記作成者と関連付けられた作成者の秘密鍵を読み出す、ユーザー・インターフェース・モジュール、
ロック印刷モジュールであって、前記ローカル・メモリーと通信可能に結合され、
電子文書を、クライアント装置にあるクライアント・アプリケーションから、前記クライアント装置と前記印刷装置との間に確立された通信接続を介して受信し、
前記電子文書を前記ローカル・メモリーに格納し、
前記電子文書の第1のハッシュコードを生成し、
前記作成者の秘密鍵を用いてデジタル署名を生成し、前記電子文書の前記第1のハッシュコードを暗号化し、
作成者の入力に応じて、
前記電子文書の1又は複数の対象受領者、各受領者が印刷を許可される前記電子文書のコピー数、及び前記電子文書の前記作成者を識別する作成者の識別情報データを指定する受領者データを生成し、
前記受領者データを前記電子文書と関連付けて格納し、
前記受領者の認証が成功し、前記受領者により、前記受領者に表示された文書のリストから前記電子文書が選択されると、
前記電子文書と関連付けられた前記受領者データを読み出し、
前記受領者データから、前記作成者の識別情報データを読み出し、
前記作成者の識別情報データを用いて、作成者の公開鍵を読み出し、
前記作成者の公開鍵を用いて、前記暗号化されたデジタル署名を復号化し、前記第1のハッシュコードを復元し、
前記電子文書を用いて第2のハッシュコードを生成し、
前記第1のハッシュコードと前記第2のハッシュコードが一致した場合、前記受領者が前記電子文書を前記コピー数まで印刷することを許可する、ロック印刷モジュール、を有する印刷装置。
【請求項7】
印刷装置であって、
ユーザー・インターフェース・モジュールであって、ローカル・メモリーと通信可能に結合され、
ユーザーに情報を表示し、ユーザー入力を前記ユーザーから受信し、
1又は複数のユーザーが印刷を許可された、電子文書のコピー数を指定するデータを受信する、ユーザー・インターフェース・モジュール、
スキャニング・モジュールであって、前記ローカル・メモリーと通信可能に結合され、
印刷された文書をスキャンし、前記電子文書を生成し、
前記電子文書を前記ローカル・メモリーに、1又は複数のユーザーが印刷を許可された、電子文書のコピー数と関連付けて格納する、スキャニング・モジュール、
ロック印刷モジュールであって、前記ローカル・メモリーと通信可能に結合され、前記電子文書を前記印刷装置で印刷するというユーザーの要求に応じて、
前記電子文書の現在の作成者が、前記電子文書が前記印刷装置に最初に格納されたときに指定された、前記電子文書の先の作成者と同一であるかを検証し、
前記電子文書が、前記電子文書が前記印刷装置に最初に格納されてから変更されていないかを検証し、
前記ユーザーの認証が成功すると、前記ユーザーが、前記データにより指定された前記電子文書の指定されたコピー数まで、印刷することを許可する、ロック印刷モジュール、を有する印刷装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2010−15559(P2010−15559A)
【公開日】平成22年1月21日(2010.1.21)
【国際特許分類】
【出願番号】特願2009−148366(P2009−148366)
【出願日】平成21年6月23日(2009.6.23)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
【公開日】平成22年1月21日(2010.1.21)
【国際特許分類】
【出願日】平成21年6月23日(2009.6.23)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
[ Back to top ]