印刷文書管理装置及びその管理方法
【課題】印刷物や複写物の真正性、及び複写履歴の正当性を確認及び検証する。
【解決手段】文書を印刷した用紙の識別子を含む第1の履歴情報と秘密鍵を用いて生成した第1の履歴情報の第1の電子署名とを複写元用紙から入力する入力装置、複写先用紙の識別子を複写先用紙から入力する入力装置、秘密鍵と対応した公開鍵を用いて、第1の履歴情報と第1の電子署名とのペアの正当性をチェックする暗号演算部、及び暗号演算部によるチェックの結果、第1の履歴情報と第1の電子署名とのペアが正当である場合に、複写先用紙の識別子を第1の履歴情報に加え、複写先用紙の識別子を加えた第2の履歴情報と秘密鍵を用いて生成した第2の履歴情報の第2の電子署名とを複写先用紙に出力する出力装置を有する印刷文書管理装置及びその管理方法である。
【解決手段】文書を印刷した用紙の識別子を含む第1の履歴情報と秘密鍵を用いて生成した第1の履歴情報の第1の電子署名とを複写元用紙から入力する入力装置、複写先用紙の識別子を複写先用紙から入力する入力装置、秘密鍵と対応した公開鍵を用いて、第1の履歴情報と第1の電子署名とのペアの正当性をチェックする暗号演算部、及び暗号演算部によるチェックの結果、第1の履歴情報と第1の電子署名とのペアが正当である場合に、複写先用紙の識別子を第1の履歴情報に加え、複写先用紙の識別子を加えた第2の履歴情報と秘密鍵を用いて生成した第2の履歴情報の第2の電子署名とを複写先用紙に出力する出力装置を有する印刷文書管理装置及びその管理方法である。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、文書(画像等のイメージデータを含む)が印刷された用紙を管理する管理装置及びその管理方法に関する。
【背景技術】
【0002】
近年、情報漏洩による被害が多く発生し、また、適切な内部統制が企業に求められるようになり、情報の管理の重要度が従来にも増して高まっている。管理することが求められる情報媒体には、電子的媒体だけではなく、紙媒体(用紙)も含まれている。
【0003】
情報が書き込まれた紙媒体の管理方法の一つとして、紙媒体の管理を印刷または複写の管理システムの中に組み入れることが考えられている。その例の一つとして、用紙に備えられたICチップに記録された、その用紙に関する情報(用紙ID)とその用紙に印されているデータに関する情報と、ネットワークで接続された管理システムに保持された複写元用紙IDと複写先用紙IDとの対応付け情報とから、用紙に印刷された文書の印刷情報を追跡管理する方法が考えられている(特許文献1)。特許文献1には、複写元用紙IDと複写先用紙IDとの対応付け情報を複合機に保持する場合も開示されている。さらに、複写先用紙のICチップに複写元又は原本の用紙IDを書き込み、原本に遡るように追跡できることも開示されている。
【0004】
【特許文献1】特開2005−222372号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
上記の特許文献1に記載の方法は、管理システム又は複合機に複写元用紙IDと複写先用紙IDとの対応付け情報を保持している場合は、原本からの複写履歴(用紙に印刷された文書の印刷情報)の追跡管理ができ、複写された用紙のICチップに複写元又は原本の用紙IDを書き込んでいる場合は、複写された用紙から原本に遡るようにして追跡管理ができる。このように追跡管理ができる前提は、複写元用紙IDと複写先用紙IDとの対応付け情報やICチップに書き込まれた複写元又は原本の用紙ID(これも対応付け情報と言える。)が正しいことである。
【0006】
この対応付け情報の正しさを保証できなければ、換言すると対応付け情報を改ざんされてしまうと、情報漏洩を防ぐことができないことになる。当然のことながら、改ざんされた後の複写物の正当性は保証できない。特に、特許文献1に記載の主たる方法では、対応付け情報を複合機の出力履歴情報としてネットワークを介して管理システムの送信するので、ネットワーク上における対応付け情報の改ざんの危険性が高い。
【課題を解決するための手段】
【0007】
本発明の印刷文書管理装置及びその管理方法の態様は次のようなものである。
【0008】
態様の一つは、文書を印刷した用紙の識別子を含む第1の履歴情報と秘密鍵を用いて生成した第1の履歴情報の第1の電子署名とを複写元用紙から入力する入力装置、複写元用紙の紙面を第1のイメージとして入力する入力装置、複写先用紙の識別子を複写先用紙から入力する入力装置、秘密鍵と対応した公開鍵を用いて、第1の履歴情報と第1の電子署名とのペアの正当性をチェックする暗号演算部、及び暗号演算部によるチェックの結果、第1の履歴情報と第1の電子署名とのペアが正当である場合に、複写先用紙の識別子を第1の履歴情報に加え、複写先用紙の識別子を加えた第2の履歴情報と秘密鍵を用いて生成した第2の履歴情報の第2の電子署名とを複写先用紙に出力する出力装置を有する印刷文書管理装置及びその管理方法である。この態様には、複写元用紙の識別子を入力する入力装置を設け、さらに入力された複写元用紙の識別子が第1の履歴情報に含まれることを検出する検出器を設けても良い。この態様は複写履歴をチェックする複写装置としての態様である。
【0009】
本発明の印刷文書管理装置及びその管理方法の他の態様は次のようなものである。それは、用紙の識別子を含む履歴情報と秘密鍵を用いて生成した該履歴情報の電子署名とを対象の用紙から入力する入力装置、秘密鍵と対応した公開鍵を用いて、入力した履歴情報と電子署名とのペアの正当性をチェックする暗号演算部、及び暗号演算部によるチェックの結果、履歴情報と電子署名とのペアが正当である場合に、対象の用紙は正当であることを表示する表示装置を有する印刷文書管理装置及びその管理方法である。この態様には、対象の用紙の識別子を入力する入力装置を設け、入力された対象の用紙の識別子が第1の履歴情報に含まれることを検出する検出器を設けても良い。さらにこの態様には、暗号演算部によるチェックの結果、履歴情報と電子署名とのペアが正当でない場合、及び検出器により対象の用紙の識別子が履歴情報に含まれることを検出できない場合の少なくとも一方の場合、前記対象の用紙は不当であることを表示装置に表示するようにしてもよい。この態様は文書が印刷されている用紙の正当性を検証する装置としての態様である。
【0010】
本発明の印刷文書管理装置及びその管理方法のさらに他の態様は次のようなものである。それは、印刷用紙の識別子を印刷用紙から入力する入力装置、及び入力した印刷用紙の識別子と公開鍵暗号方式の秘密鍵を用いて生成した識別子の電子署名とを印刷用紙に出力する出力装置を有する印刷文書管理装置及びその管理方法である。この態様において、出力装置は、識別子と電子署名とをバーコードに変換し、印刷用紙に印刷すべき電子データをイメージに変換し、バーコードとイメージとを合成して印刷用紙に印刷する印刷装置であってもよい。さらに、この態様において、印刷用紙の識別子はこの印刷用紙に漉き込まれたICタグに格納されていても良い。この態様は、正当な用紙に文書を印刷する印刷装置としての態様である。
【発明の効果】
【0011】
本発明によれば、印刷物又は複写物の真正性及び複写履歴が確認及び検証できる。さらに、本発明によれば、複写履歴を管理する管理サーバを用いずに印刷物及び複写物の管理システムを構築できる。
【発明を実施するための最良の形態】
【0012】
以下、本発明の実施の形態を、図面を用いて詳細に説明する。
【0013】
本実施形態は、データ(情報)の用紙への印刷及び印刷物の他の用紙への複写を実現するものであり、印刷又は複写用紙の真正性の検証と印刷又は複写履歴の確認及び検証をオフラインで実行するものである。
【0014】
図1は本実施形態の構成図である。本実施形態では、利用者端末100と複合機200とがネットワーク500を介して接続されている。検証端末300は、利用者端末100や複合機200と接続されている必要はない。ここで、複合機200とは、少なくとも複写機能を実現する機構を持つという意味で用いる。一般に複合機は複写のほか、印刷、スキャナー、ファクシミリなどの機能を併せ持つことが多い。したがって、個別の機能に着目して複写装置や印刷装置と呼んでも良いが、総称して印刷文書管理装置と呼ぶことにする。
【0015】
図2は、本実施形態で使用される用紙10の一例を示す図である。用紙10は、無線ICタグ(RFタグ、単にICタグとも呼ぶ。)11が漉き込まれた用紙であり、印刷用紙又は複写用紙として用いられる。漉き込まれたICタグ11は、データ格納部12とデータ送信部14を持つ。データ格納部12は、ICタグの一つ一つに固有の識別子13を格納している。データ送信部14は、識別子13をICタグ読み取り装置に無線で送信する。ICタグ読み取り装置は、ICタグ11の識別子13を読み取る(受信する)ことにより、そのICタグ11が漉き込まれた用紙10を識別する。
【0016】
図3は、利用者端末100の一例を示したものである。利用者端末100は、制御部101、メモリ120、入出力装置110、読取装置130、記憶装置140及びデータ送受信装置102を備えている。利用者端末100は、データ送受信装置102を通して、ネットワーク500と接続しており、複合機200と情報を交換する。利用者端末100は、印刷データを複合機200にネットワーク500を介して送信し、印刷を要求する。
【0017】
以上のように、利用者端末100はパーソナルコンピュータ(PC)などであり、複合機200はいわゆるプリンタと複写機との機能を備えた装置であり、ネットワーク500は、利用者端末100と複合機200との情報の授受ができる接続線であっても良い。
【0018】
図4は、複合機200の一例を示したものである。複合機200は、制御部201により制御される。複合機200は、データ送受信装置204を通してネットワーク500と接続し、利用者端末100と情報を交換する。複合機200には、公開鍵暗号方式の鍵ペアが対応付けられており、その秘密鍵211と公開鍵212は鍵記憶部210に格納されている。
【0019】
暗号演算部202は、制御部201から受け取るデータの電子署名値を秘密鍵211を用いて生成する。また、暗号演算部202は、制御部201から受け取るメッセージとその電子署名値のペアの正当性を、公開鍵212を用いて検証する。二次元バーコード演算部203は、制御部201から受け取るデータを二次元バーコード画像データに変換する。また、二次元バーコード演算部203は、制御部201から受け取る二次元バーコード画像データをデコードする。印刷データ一時記憶部290は、印刷前のデータを一時的に格納し、制御部201は格納されているデータを変更することができる。
【0020】
印刷部220は、印刷装置221、第一のICタグ読取装置230と用紙トレイ280を含む装置である。用紙トレイ280には、ICタグが漉き込まれた用紙10がセットしてあり、印刷又は複写の際にはこの用紙10を用いる。第一の無線ICタグ読み取り装置230は、用紙トレイ280から用紙10を供給する際にその用紙のICタグ11を読み取る。印刷装置220は、印刷データ一時記憶部290の保持する印刷データを、用紙トレイ280から供給される用紙10に印刷する。
【0021】
原稿読込部240は、用紙設置部241、スキャナ装置250、第二の無線ICタグ読取装置260と二次元バーコード読取装置270を含む装置である。これら装置は、用紙設置部241に置かれた印刷・複写された用紙20(図6に示し、後述する。)に対して、次の働きをする。スキャナ装置250は、用紙20の紙面を画像(イメージ)として読み込む。第二のICタグ読み取り装置260は、用紙20の無線ICタグを読み込む。二次元バーコード読み取り装置270は、用紙20の二次元バーコードを読み込む。二次元バーコード読み取り装置270は、必ずしも装置として用意する必要はなく、スキャナ装置250で読み込んだ紙面のイメージから、二次元バーコードの部分を切り出せればよい。
【0022】
なお、説明を分かり易くするために、各部を分けて図示して説明したが、各部の機能分担は実装上望ましいように設計される。たとえば、二次元バーコード演算部203の二次元バーコード画像データをデコードする機能を原稿読込部240に分担させ、データを二次元バーコード画像データに変換する機能を印刷部220に分担させるなどである。暗号演算部202の電子署名の生成と、正当性の検証の機能を分け、各部への分担を変えることも適宜可能である。
【0023】
図5は、検証端末300の一例を示したものである。検証端末300は、印刷又は複写された用紙20に漉き込まれたICタグと用紙20に印刷された二次元バーコードを読み込み、それらの正当性の検証を行う。情報記憶部310は、複合機の公開鍵証明書311を格納している。
【0024】
暗号演算部302は、制御部301から受け取るメッセージと電子署名値のペアの正当性を、公開鍵証明書311の公開鍵により検証する。二次元バーコード演算部303は、制御部301から受け取る二次元バーコード画像データをデコードする。ICタグ読み取り装置340は、ICタグを読み取る。二次元バーコード読み取り装置350は、二次元バーコード画像データを読み取る。
【0025】
本実施形態において正当に発行される(印刷又は複写される)用紙が持っているICタグの識別子と二次元バーコードに関して説明する。正当に印刷又は複写された用紙の例として、図6に印刷又は複写された用紙20を示す。用紙はその大部分を占める本文部25と下部の小さい領域からなるフッタ部26に分けられている。本文部25には、文書データや画像データなどの本文が印刷される。フッタ部26には、用紙管理に用いられる情報がのせられる。ICタグの漉き込み場所がフッタ部26の左部にあり、二次元バーコード27がフッタ部26の右部に印刷される。
【0026】
本実施形態では、複合機200により正当に発行される用紙は、以下で説明する形式のICタグ21と二次元バーコード27を持っている。ICタグ21は、図6に示すように、用紙10と同じ構成である。二次元バーコードの持つ情報は、その用紙までの印刷及び複写用紙の識別子履歴とその電子署名値を結合したものである。電子署名値は複合機200の秘密鍵211を用いて作られたものである。
【0027】
例として図8に示される場合を説明する。ここでは、原本(印刷された用紙)の識別子がID1であり、ID1の用紙がID2の用紙に複写され、ID2の用紙がID3の用紙に複写され、というように連鎖的に複写された状況となっている。今、考えている用紙はIDnの用紙である。用紙IDnに印刷されている二次元バーコードの持つ情報は、
(ID1 || ID2 || ID3 || ...|| ID(n-1) || IDn) || (sign_sk(ID1 || ID2 || ID3 || ID(n-1) || IDn))
となる。ここでsign_sk()は秘密鍵skを用いて電子署名値を生成する関数であり、skは複合機200の秘密鍵211であり、|| はデータの結合を意味する。図7は、二次元バーコードが持つこの情報を図示したものである。
【0028】
本実施形態において電子データ(印刷データ)を印刷する手順を、図9のフローチャートに基づいて説明する。本実施形態では、印刷にはICタグの漉き込まれた用紙10を用いる。利用者は、利用者端末100で扱う印刷データ(電子データ)を、データ送受信装置102を用いて複合機200に送信する(ステップ600)。データを受け取った複合機200の制御部201は、その印刷データを印刷データ一時記憶部290に格納する。
【0029】
制御部201は、用紙トレイ280から用紙10を抜き出す(ステップ601)。第一のICタグ読み取り装置230は、用紙10のICタグ11から識別子13を読み取る(ステップ602)。読み取れなかった場合、制御部201は、印刷先用紙エラーを、データ送受信装置280を用いて、利用者端末100に送信し(ステップ606)、動作を終える。これにより、本実施形態の印刷又は複写用紙の真正性の検証と印刷又は複写履歴の確認及び検証に適合しない印刷物が発行されるのを防ぐことができる。ステップ602で読み取りに成功した場合、暗号演算部202は、秘密鍵211を用いて、読み取った識別子13の電子署名値を生成する(ステップ603)。電子署名値は、識別子13をID1、秘密鍵211をskとすると、sign_sk(ID1)の値となる。
【0030】
そして、二次元バーコード演算部203は、図7に示すように、識別子13と生成された電子署名値を結合したものを二次元バーコード画像データに変換する(ステップ604)。印刷装置220は、印刷データ一時記憶部290にある印刷データと生成された二次元バーコードの画像データとを結合(合成)したイメージデータを用紙10に印刷する(ステップ605)。この際、二次元バーコードの位置は常に紙面上の同じ場所に配置される。一つの例として、印刷の結果は図6の印刷又は複写された用紙20となる。
【0031】
次に、本実施形態において用紙を複写する手順を、図10のフローチャートに基づいて説明する。まず、利用者は、複合機の用紙設置部241に原稿である用紙をセットし、複合機200の複写操作を開始させる(ステップ700)。複合機200の制御部201は、第二のICタグ読み取り装置260に複写元用紙のICタグを、スキャン装置250に複写元用紙の紙面を、二次元バーコード読取装置270に二次元バーコードをそれぞれ読み込ませる(ステップ701)。
【0032】
ここから、読み込まれた用紙が本実施形態で印刷又は複写された用紙かどうかの検証動作を始める。検証に成功した場合はステップ707に進み、失敗した場合はステップ713に進む。
【0033】
まず、二次元バーコードを読み込めたかを判断する(ステップ702)。読み込めていない場合、検証に失敗したと判断し、ステップ713に進む。ステップ702で二次元バーコードを読み込めている場合、第二のICタグ読取装置260がICタグ21を読み込めたかを判断する(ステップ703)。読み込めていない場合、検証に失敗したとみなし、ステップ713に進む。
【0034】
ステップ703で、読み込めている場合、二次元バーコード演算部203は、二次元バーコード画像データをデコードし、デコードしたデータが図7のデータフォーマットに合っているかを判断する(ステップ704)。合っていない場合、検証に失敗したとみなし、ステップ713に進む。ステップ704で、合っている場合、ICタグから読み取った識別子と二次元バーコードデータの識別子履歴部の最後に記載されている識別子が一致するかを判断する(ステップ705)。一致しない場合、検証に失敗したとみなし、ステップ713に進む。
【0035】
ステップ705において両識別子が一致する場合、暗号演算部は、二次元バーコードデータの識別子履歴部と二次元バーコードデータの電子署名値部のペアの正当性を、公開鍵211を用いて検証する(ステップ706)。ペアが正当でない場合、不正な用紙とみなし、ステップ713に進む。ステップ706において正当な場合、複写元用紙は正当であると判断し、検証は成功とする。
【0036】
複写元用紙の正当性の検証に失敗し、ステップ713に進んだ場合を説明する。複合機200は、複写元用紙エラーを利用者に通知し(ステップ713)、動作を終了する。
【0037】
複写元用紙の正当性の検証が成功した場合、複合機200は複写動作を先に進める。制御部201は、用紙トレイ280から複写先用紙10を抜き出す(ステップ707)。第一のICタグ読取装置230は、用紙10のICタグ11の識別子13を読み込む(ステップ708)。読み込めなかった場合、複写先用紙を不正なものと判断し、複写先用紙エラーを利用者に通知し(ステップ714)、動作を終了する。
【0038】
ステップ708で、読み込めた場合、複写元用紙の二次元バーコードデータの識別子履歴と今読み込んだ識別子12を、この順番で結合し、複写先用紙10までの識別子履歴を作成する。例えば、図8の用紙IDnが今回生成される出力用紙の場合、識別子履歴は、ID1 || ID2 || ...|| IDnとなる。暗号演算部202は、作成されたこの新しい識別子履歴の電子署名値を、秘密鍵211を用いて生成する(ステップ709)。例えば上記例では、電子署名値は、sign_sk(ID1 || ID2 || ...|| IDn)となる。ここで、skは秘密鍵211である。
【0039】
二次元バーコード演算部203は、この新しい識別子履歴と電子署名値とを結合したデータを、二次元バーコード画像データに変換する(ステップ710)。制御部201は、印刷データ一時記憶部290に保持されている複写元用紙の紙面データのうち、二次元バーコード部分をこの新しい二次元バーコードと置き換え印刷データを生成する(ステップ711)。印刷部230は、この印刷データを複写先用紙10に印刷し(ステップ712)、複写動作が終了する。印刷の一例が、図6の印刷・複写された用紙20である。
【0040】
本実施形態における用紙の検証の手順を、図11のフローチャートに基づいて説明する。ここで、検証の対象は、用紙の真正性と複写履歴である。検証者は、検証端末300を用いて、対象の用紙を検証する。
【0041】
まず、用紙に漉き込まれているICタグをICタグ読取装置340を用いて、用紙に印刷されている二次元バーコードを二次元バーコード読取装置350を用いて、それぞれ読み取る。(ステップ800)。ICタグを読み込めたかを判断する(ステップ801)。読み込めていない場合、用紙を不正なものと判断しステップ807に進む。ステップ801で、読み込めている場合は、二次元バーコード27を読み込めているかを判断する(ステップ802)。二次元バーコードを読み込めていない場合、用紙を不正なものと判断し、ステップ807に進む。
【0042】
ステップ802で、読み込めている場合、二次元バーコード演算部303は、二次元バーコード画像データをデコードする。デコードされたデータが、図7のフォーマットに合っているかを判断する(ステップ803)。合っていない場合、用紙を不正なものとみなし、ステップ807に進む。ステップ803で、合っている場合、二次元バーコードの識別子履歴部分の最後の識別子とICタグ21から読み込んだ識別子23とが一致するかを判断する(ステップ804)。一致しない場合、用紙を不正なものとみなし、ステップ807に進む。
【0043】
ステップ804で、一致する場合、暗号演算部202は、二次元バーコードデータの識別子履歴部と二次元バーコードデータの電子署名値部とのペアの正当性を、公開鍵証明書311の公開鍵を用いて検証する(ステップ805)。不正なものであった場合、用紙を不正なものとみなし、ステップ807に進む。
【0044】
ステップ805で、正当なものであった場合、用紙を正当なものと判断し、表示装置320に、用紙は正当である旨と用紙の識別子履歴とを表示し(ステップ806)、動作を終了する。
【0045】
用紙が不正なものとみなされ、ステップ807に進んだ場合を説明する。表示装置320に、用紙は不正である旨を表示し(ステップ807)、動作を終了する。
【0046】
図9〜図11の処理手順は、図3〜図5の各制御部の動作として実行されるが、手順によってはハードウエアとして実装しても良い。たとえば、図10でエラー通知をするための判断手順は、各々のエラー検出に対応した検出器を用意しても良い。ソフトウエアとハードウエアとのいずれで実装するかは、装置性能、装置サイズ、装置コスト等から適宜決定される。
【0047】
本実施形態において作成される印刷及び複写物は、図8に示されるような複写の繰返しの系列を形成する。この系列の形成方法は、既に説明したように、次の通りである。電子データの印刷に関しては、印刷先用紙がICタグの漉き込まれた用紙であることを確認し、印刷先用紙のICタグの識別子に電子署名をして、識別子と電子署名値を二次元バーコードとして紙面に印刷する。印刷物の複写に関しては、複写元用紙が正当な用紙であることを確認し、印刷先(複写先)用紙がICタグの漉き込まれた用紙であることを確認し、ICタグの識別子の履歴データに電子署名をし、識別子履歴データと電子署名値を二次元バーコードとして紙面に印刷する。
【0048】
本実施形態では、図8に例示される系列に用紙が合致しているかどうかで、用紙の正当性の検証を行う。用紙が系列上にある場合は正当な用紙とみなし、系列上にない場合は不正な用紙とみなしてる。
【0049】
本実施形態によれば、印刷又は複写される用紙の偽造を防ぐことができる。さらに、印刷又は複写された用紙の印刷及び複写履歴の改竄を防ぐことができるので、結果として複写された印刷物が正当であることも保証できる。
【0050】
本実施形態によれば、印刷又は複写物の正当性を検証するための情報は当該印刷又は複写物に在るので、検証のための論理を備えた装置(複合機や検証装置など)さえあれば、検証可能になる。すなわち、履歴情報を保持するような管理システムとのネットワークによるオンライン接続の必要性はなく、検証装置等によるスタンドアロン(オフライン)での印刷又は複写物の正当性を検証が可能になる。
【0051】
本実施形態により印刷又は複写物の正当性を検証するということは、逆に言えば、印刷又は複写物の偽造や改竄を検知できるということである。以下で、本実施形態において偽造又は改竄がどのように検知されるかを、例を挙げて説明する。
【0052】
攻撃者が、ICタグの漉き込まれていない用紙を用いて用紙の偽造又は識別子履歴の改竄を試みた場合、ICタグを読み込めないことから、検証者は不正を検知できる。一例として、攻撃者が、本実施形態で発行した用紙をICタグの漉き込まれていない用紙に本実施形態の複合機ではない複合機又は複写機を用いて複写することが考えられる。この場合、出力用紙(複写先用紙)のICタグを読み込めないので、検証者は不正を検知できる。さらに、出力用紙の二次元バーコードには複写元の二次元バーコードがそのまま複写されるため、その複写履歴を読み取ることにより、複写元用紙も特定できる。
【0053】
攻撃者が、ICタグの漉き込まれた用紙を用いて用紙の偽造又は識別子履歴の改竄を試みた場合、正当な履歴と電子署名値ペアを作成することはできないため、検証者は不正を検知できる。これは、秘密鍵無しで、メッセージと電子署名値の正当なペアを作成することはほぼ不可能であるからである。一例として、攻撃者が、本実施形態で発行した用紙をICタグの漉き込まれている用紙10に従来の複写機を用いて複写することが考えられる。この場合、ICタグの識別子情報と二次元バーコードの持つ履歴情報とが矛盾するため、検証者は不正を検知できる。さらに、出力用紙の二次元バーコードには複写元の二次元バーコードが複写されるため、その複写履歴を読み取ることにより、複写元用紙も特定できる。複写先用紙の二次元バーコードの改変をし、ICタグの識別子を履歴に加えたとしても、履歴に対応する正当な署名値は生成できないため、不正を検知できる。
【0054】
攻撃者が、正当な印刷・複写用紙の二次元バーコードの内容を改変することにより履歴の改竄を試みた場合、正当な履歴と電子署名値ペアを作成することはできないため、検証者は不正を検知できる。これは、秘密鍵無しで、メッセージと電子署名値の正当なペアを作成することはほぼ不可能だからである。一例として、攻撃者が、本実施形態で発行した用紙の二次元バーコードを改変することが考えられる。この場合、二次元バーコードの識別子履歴データ部と電子署名値部とがペアをなさないため、検証者は不正を検知できる。
【0055】
本実施形態によれば、検証作業はオフラインでできるため、情報漏えいのリスクが軽減するだけでなく、ネットワークで接続した管理システムを利用してオンラインで印刷物を管理する場合と比べて、様々なリソースにかかるコストを大幅に削減でき、適用可能範囲はより大きなものとなる。例えば、検証作業で用いるネットワークインフラは必要なく、さらに、印刷履歴を管理するサーバは必要ないため、これらを削減することができる。
【0056】
上述の実施形態においては、ICタグの漉き込まれている位置と二次元バーコードの印刷位置は離れているが、これらを重ねてまたは隣接して配置してもよい。この場合、ICタグ読取装置及び二次元バーコード読取装置を1つの装置にまとめることにより、1回の読取動作でICタグと二次元バーコードを読み込むことができる。
【0057】
上述の実施形態においては、1枚の用紙に漉き込まれているICタグは1つとしていたが、複数のICタグを1枚の用紙に漉き込んでもよい。例えば、用紙の対角線に沿ってX字型に同一の識別子を持つICタグを並べて漉き込むことが考えられる。これにより、用紙の一部分が破損した場合にも、ICタグが用紙に残存するために、用紙を識別することが可能となる。
【0058】
上述の実施形態においては、識別子履歴情報と電子署名値を二次元バーコードとして紙面に印刷したが、識別子履歴情報と電子署名値を紙面に格納する方法はこれに限られるものではない。例えば、二次元バーコードの代わりに、一次元バーコードや電子透かし等を用いることが考えられる。また、ICタグが書き込み可能な場合、ICタグにこれらの情報を書き込んでもよい。また、用紙に磁気情報格納装置(磁気ストライプ)がある場合、これに書き込む方法でもよい。
【0059】
上述の実施形態においては、ICタグに用紙識別子を格納していたが、用紙識別子の格納方法はICタグに限られたものではない。例えば、二次元バーコード、一次元バーコード又は電子透かし等の方法で、用紙識別子の情報を用紙に埋め込んでもよい。また、用紙に磁気情報格納装置がある場合、これに書き込む方法でもよい。また、用紙識別子と識別子履歴、電子署名値を同じ媒体に格納してもよい。例として、書き込み可能なICタグ又は磁気記録媒体にこれらを全て格納することが挙げられる。
【0060】
以上のように、上記の実施形態は、用紙の識別子、識別子履歴、及び電子署名値を格納する媒体に依存する必要はなく、これらの情報の媒体への書き込み、読み出しのためには、媒体に対応した入力装置、出力装置が複合機に備えられれば良い。
【0061】
上記の実施形態においては、説明を簡単にするために、複合機が1台のシステムとしたが、複数台の複合機を含むシステムに拡張することもできる。この場合、複合機に対応付けられている秘密鍵、公開鍵のペアが、全ての複合機に共通のものなのか、又は、各複合機ごとに異なるものなのかにより、システムの拡張の仕方が異なる。全ての複合機に共通の秘密鍵、公開鍵ペアを対応付ける場合、全ての複合機は上記の実施形態での複合機と同じものとすればよい。
【0062】
各複合機ごとに異なる鍵のペアを対応付ける場合、変更する点がいくつかある。変更点を説明する。まず、各複合機を区別するために、各複合機に複合機IDを割り当てる。複合機IDに対応して鍵ペアが対応付けられる。各複合機は、鍵記憶装置に自分の秘密鍵と公開鍵に加えて他の全ての複合機の公開鍵証明書を格納する。また、検証端末機は、公開鍵記憶装置に全ての複合機の公開鍵証明書を格納する。印刷又は複写の際、複合機は、二次元バーコードに識別子履歴と電子署名値に加えて自身の複合機ID情報も埋め込む。検証の際に用いる公開鍵又は公開鍵証明書は、二次元バーコードに載っているこの複合機IDのものを用いる。
【0063】
上記実施形態において、公開鍵暗号方式の署名方式として、ID Based署名方式を用いることもできる。この場合、公開鍵及び公開鍵証明書は鍵に対応する識別子に置き換えられる。なお、ID Based署名方式は、たとえばKenneth G. Paterson著“ID-based Signatures from pairings on Elliptic Curves”Electronics Letters, Vol. 38 (18) (2002), 1025-1026による。
【0064】
上記実施形態においては、二次元バーコードが持つ情報は、識別子履歴と電子署名値とした。このうち、識別子履歴は大本の元本から自身までの識別子からなっていたが、これを大本の元本から自身の複写元用紙までの識別子に削減することができる。これは、ICタグが自身の識別子を格納しているので、複写元用紙までの識別子履歴があればICタグ上の識別子と結合することで、自身までの識別子履歴を生成できるからである。
【図面の簡単な説明】
【0065】
【図1】本発明に係る実施形態のシステム例を示す図である。
【図2】無線ICタグが漉き込まれた用紙の一例を示す図である。
【図3】利用者端末の一例を示すブロック図である。
【図4】複合機の一例を示すブロック図である。
【図5】検証端末の一例を示すブロック図である。
【図6】印刷又は複写した結果として出力される用紙の一例を示す図である。
【図7】二次元バーコードが持つ情報を示す図である。
【図8】印刷物及び複写物が形成する系列を示す図である。
【図9】印刷する手順の一例を示すフローチャートである。
【図10】複写する手順の一例を示すフローチャートである。
【図11】検証する手順の一例を示すフローチャートである。
【符号の説明】
【0066】
10:用紙、11、21:無線ICタグ、20:印刷又は複写された用紙、27:二次元バーコード、100:利用者端末、200:複合機、300:検証端末、500:ネットワーク。
【技術分野】
【0001】
本発明は、文書(画像等のイメージデータを含む)が印刷された用紙を管理する管理装置及びその管理方法に関する。
【背景技術】
【0002】
近年、情報漏洩による被害が多く発生し、また、適切な内部統制が企業に求められるようになり、情報の管理の重要度が従来にも増して高まっている。管理することが求められる情報媒体には、電子的媒体だけではなく、紙媒体(用紙)も含まれている。
【0003】
情報が書き込まれた紙媒体の管理方法の一つとして、紙媒体の管理を印刷または複写の管理システムの中に組み入れることが考えられている。その例の一つとして、用紙に備えられたICチップに記録された、その用紙に関する情報(用紙ID)とその用紙に印されているデータに関する情報と、ネットワークで接続された管理システムに保持された複写元用紙IDと複写先用紙IDとの対応付け情報とから、用紙に印刷された文書の印刷情報を追跡管理する方法が考えられている(特許文献1)。特許文献1には、複写元用紙IDと複写先用紙IDとの対応付け情報を複合機に保持する場合も開示されている。さらに、複写先用紙のICチップに複写元又は原本の用紙IDを書き込み、原本に遡るように追跡できることも開示されている。
【0004】
【特許文献1】特開2005−222372号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
上記の特許文献1に記載の方法は、管理システム又は複合機に複写元用紙IDと複写先用紙IDとの対応付け情報を保持している場合は、原本からの複写履歴(用紙に印刷された文書の印刷情報)の追跡管理ができ、複写された用紙のICチップに複写元又は原本の用紙IDを書き込んでいる場合は、複写された用紙から原本に遡るようにして追跡管理ができる。このように追跡管理ができる前提は、複写元用紙IDと複写先用紙IDとの対応付け情報やICチップに書き込まれた複写元又は原本の用紙ID(これも対応付け情報と言える。)が正しいことである。
【0006】
この対応付け情報の正しさを保証できなければ、換言すると対応付け情報を改ざんされてしまうと、情報漏洩を防ぐことができないことになる。当然のことながら、改ざんされた後の複写物の正当性は保証できない。特に、特許文献1に記載の主たる方法では、対応付け情報を複合機の出力履歴情報としてネットワークを介して管理システムの送信するので、ネットワーク上における対応付け情報の改ざんの危険性が高い。
【課題を解決するための手段】
【0007】
本発明の印刷文書管理装置及びその管理方法の態様は次のようなものである。
【0008】
態様の一つは、文書を印刷した用紙の識別子を含む第1の履歴情報と秘密鍵を用いて生成した第1の履歴情報の第1の電子署名とを複写元用紙から入力する入力装置、複写元用紙の紙面を第1のイメージとして入力する入力装置、複写先用紙の識別子を複写先用紙から入力する入力装置、秘密鍵と対応した公開鍵を用いて、第1の履歴情報と第1の電子署名とのペアの正当性をチェックする暗号演算部、及び暗号演算部によるチェックの結果、第1の履歴情報と第1の電子署名とのペアが正当である場合に、複写先用紙の識別子を第1の履歴情報に加え、複写先用紙の識別子を加えた第2の履歴情報と秘密鍵を用いて生成した第2の履歴情報の第2の電子署名とを複写先用紙に出力する出力装置を有する印刷文書管理装置及びその管理方法である。この態様には、複写元用紙の識別子を入力する入力装置を設け、さらに入力された複写元用紙の識別子が第1の履歴情報に含まれることを検出する検出器を設けても良い。この態様は複写履歴をチェックする複写装置としての態様である。
【0009】
本発明の印刷文書管理装置及びその管理方法の他の態様は次のようなものである。それは、用紙の識別子を含む履歴情報と秘密鍵を用いて生成した該履歴情報の電子署名とを対象の用紙から入力する入力装置、秘密鍵と対応した公開鍵を用いて、入力した履歴情報と電子署名とのペアの正当性をチェックする暗号演算部、及び暗号演算部によるチェックの結果、履歴情報と電子署名とのペアが正当である場合に、対象の用紙は正当であることを表示する表示装置を有する印刷文書管理装置及びその管理方法である。この態様には、対象の用紙の識別子を入力する入力装置を設け、入力された対象の用紙の識別子が第1の履歴情報に含まれることを検出する検出器を設けても良い。さらにこの態様には、暗号演算部によるチェックの結果、履歴情報と電子署名とのペアが正当でない場合、及び検出器により対象の用紙の識別子が履歴情報に含まれることを検出できない場合の少なくとも一方の場合、前記対象の用紙は不当であることを表示装置に表示するようにしてもよい。この態様は文書が印刷されている用紙の正当性を検証する装置としての態様である。
【0010】
本発明の印刷文書管理装置及びその管理方法のさらに他の態様は次のようなものである。それは、印刷用紙の識別子を印刷用紙から入力する入力装置、及び入力した印刷用紙の識別子と公開鍵暗号方式の秘密鍵を用いて生成した識別子の電子署名とを印刷用紙に出力する出力装置を有する印刷文書管理装置及びその管理方法である。この態様において、出力装置は、識別子と電子署名とをバーコードに変換し、印刷用紙に印刷すべき電子データをイメージに変換し、バーコードとイメージとを合成して印刷用紙に印刷する印刷装置であってもよい。さらに、この態様において、印刷用紙の識別子はこの印刷用紙に漉き込まれたICタグに格納されていても良い。この態様は、正当な用紙に文書を印刷する印刷装置としての態様である。
【発明の効果】
【0011】
本発明によれば、印刷物又は複写物の真正性及び複写履歴が確認及び検証できる。さらに、本発明によれば、複写履歴を管理する管理サーバを用いずに印刷物及び複写物の管理システムを構築できる。
【発明を実施するための最良の形態】
【0012】
以下、本発明の実施の形態を、図面を用いて詳細に説明する。
【0013】
本実施形態は、データ(情報)の用紙への印刷及び印刷物の他の用紙への複写を実現するものであり、印刷又は複写用紙の真正性の検証と印刷又は複写履歴の確認及び検証をオフラインで実行するものである。
【0014】
図1は本実施形態の構成図である。本実施形態では、利用者端末100と複合機200とがネットワーク500を介して接続されている。検証端末300は、利用者端末100や複合機200と接続されている必要はない。ここで、複合機200とは、少なくとも複写機能を実現する機構を持つという意味で用いる。一般に複合機は複写のほか、印刷、スキャナー、ファクシミリなどの機能を併せ持つことが多い。したがって、個別の機能に着目して複写装置や印刷装置と呼んでも良いが、総称して印刷文書管理装置と呼ぶことにする。
【0015】
図2は、本実施形態で使用される用紙10の一例を示す図である。用紙10は、無線ICタグ(RFタグ、単にICタグとも呼ぶ。)11が漉き込まれた用紙であり、印刷用紙又は複写用紙として用いられる。漉き込まれたICタグ11は、データ格納部12とデータ送信部14を持つ。データ格納部12は、ICタグの一つ一つに固有の識別子13を格納している。データ送信部14は、識別子13をICタグ読み取り装置に無線で送信する。ICタグ読み取り装置は、ICタグ11の識別子13を読み取る(受信する)ことにより、そのICタグ11が漉き込まれた用紙10を識別する。
【0016】
図3は、利用者端末100の一例を示したものである。利用者端末100は、制御部101、メモリ120、入出力装置110、読取装置130、記憶装置140及びデータ送受信装置102を備えている。利用者端末100は、データ送受信装置102を通して、ネットワーク500と接続しており、複合機200と情報を交換する。利用者端末100は、印刷データを複合機200にネットワーク500を介して送信し、印刷を要求する。
【0017】
以上のように、利用者端末100はパーソナルコンピュータ(PC)などであり、複合機200はいわゆるプリンタと複写機との機能を備えた装置であり、ネットワーク500は、利用者端末100と複合機200との情報の授受ができる接続線であっても良い。
【0018】
図4は、複合機200の一例を示したものである。複合機200は、制御部201により制御される。複合機200は、データ送受信装置204を通してネットワーク500と接続し、利用者端末100と情報を交換する。複合機200には、公開鍵暗号方式の鍵ペアが対応付けられており、その秘密鍵211と公開鍵212は鍵記憶部210に格納されている。
【0019】
暗号演算部202は、制御部201から受け取るデータの電子署名値を秘密鍵211を用いて生成する。また、暗号演算部202は、制御部201から受け取るメッセージとその電子署名値のペアの正当性を、公開鍵212を用いて検証する。二次元バーコード演算部203は、制御部201から受け取るデータを二次元バーコード画像データに変換する。また、二次元バーコード演算部203は、制御部201から受け取る二次元バーコード画像データをデコードする。印刷データ一時記憶部290は、印刷前のデータを一時的に格納し、制御部201は格納されているデータを変更することができる。
【0020】
印刷部220は、印刷装置221、第一のICタグ読取装置230と用紙トレイ280を含む装置である。用紙トレイ280には、ICタグが漉き込まれた用紙10がセットしてあり、印刷又は複写の際にはこの用紙10を用いる。第一の無線ICタグ読み取り装置230は、用紙トレイ280から用紙10を供給する際にその用紙のICタグ11を読み取る。印刷装置220は、印刷データ一時記憶部290の保持する印刷データを、用紙トレイ280から供給される用紙10に印刷する。
【0021】
原稿読込部240は、用紙設置部241、スキャナ装置250、第二の無線ICタグ読取装置260と二次元バーコード読取装置270を含む装置である。これら装置は、用紙設置部241に置かれた印刷・複写された用紙20(図6に示し、後述する。)に対して、次の働きをする。スキャナ装置250は、用紙20の紙面を画像(イメージ)として読み込む。第二のICタグ読み取り装置260は、用紙20の無線ICタグを読み込む。二次元バーコード読み取り装置270は、用紙20の二次元バーコードを読み込む。二次元バーコード読み取り装置270は、必ずしも装置として用意する必要はなく、スキャナ装置250で読み込んだ紙面のイメージから、二次元バーコードの部分を切り出せればよい。
【0022】
なお、説明を分かり易くするために、各部を分けて図示して説明したが、各部の機能分担は実装上望ましいように設計される。たとえば、二次元バーコード演算部203の二次元バーコード画像データをデコードする機能を原稿読込部240に分担させ、データを二次元バーコード画像データに変換する機能を印刷部220に分担させるなどである。暗号演算部202の電子署名の生成と、正当性の検証の機能を分け、各部への分担を変えることも適宜可能である。
【0023】
図5は、検証端末300の一例を示したものである。検証端末300は、印刷又は複写された用紙20に漉き込まれたICタグと用紙20に印刷された二次元バーコードを読み込み、それらの正当性の検証を行う。情報記憶部310は、複合機の公開鍵証明書311を格納している。
【0024】
暗号演算部302は、制御部301から受け取るメッセージと電子署名値のペアの正当性を、公開鍵証明書311の公開鍵により検証する。二次元バーコード演算部303は、制御部301から受け取る二次元バーコード画像データをデコードする。ICタグ読み取り装置340は、ICタグを読み取る。二次元バーコード読み取り装置350は、二次元バーコード画像データを読み取る。
【0025】
本実施形態において正当に発行される(印刷又は複写される)用紙が持っているICタグの識別子と二次元バーコードに関して説明する。正当に印刷又は複写された用紙の例として、図6に印刷又は複写された用紙20を示す。用紙はその大部分を占める本文部25と下部の小さい領域からなるフッタ部26に分けられている。本文部25には、文書データや画像データなどの本文が印刷される。フッタ部26には、用紙管理に用いられる情報がのせられる。ICタグの漉き込み場所がフッタ部26の左部にあり、二次元バーコード27がフッタ部26の右部に印刷される。
【0026】
本実施形態では、複合機200により正当に発行される用紙は、以下で説明する形式のICタグ21と二次元バーコード27を持っている。ICタグ21は、図6に示すように、用紙10と同じ構成である。二次元バーコードの持つ情報は、その用紙までの印刷及び複写用紙の識別子履歴とその電子署名値を結合したものである。電子署名値は複合機200の秘密鍵211を用いて作られたものである。
【0027】
例として図8に示される場合を説明する。ここでは、原本(印刷された用紙)の識別子がID1であり、ID1の用紙がID2の用紙に複写され、ID2の用紙がID3の用紙に複写され、というように連鎖的に複写された状況となっている。今、考えている用紙はIDnの用紙である。用紙IDnに印刷されている二次元バーコードの持つ情報は、
(ID1 || ID2 || ID3 || ...|| ID(n-1) || IDn) || (sign_sk(ID1 || ID2 || ID3 || ID(n-1) || IDn))
となる。ここでsign_sk()は秘密鍵skを用いて電子署名値を生成する関数であり、skは複合機200の秘密鍵211であり、|| はデータの結合を意味する。図7は、二次元バーコードが持つこの情報を図示したものである。
【0028】
本実施形態において電子データ(印刷データ)を印刷する手順を、図9のフローチャートに基づいて説明する。本実施形態では、印刷にはICタグの漉き込まれた用紙10を用いる。利用者は、利用者端末100で扱う印刷データ(電子データ)を、データ送受信装置102を用いて複合機200に送信する(ステップ600)。データを受け取った複合機200の制御部201は、その印刷データを印刷データ一時記憶部290に格納する。
【0029】
制御部201は、用紙トレイ280から用紙10を抜き出す(ステップ601)。第一のICタグ読み取り装置230は、用紙10のICタグ11から識別子13を読み取る(ステップ602)。読み取れなかった場合、制御部201は、印刷先用紙エラーを、データ送受信装置280を用いて、利用者端末100に送信し(ステップ606)、動作を終える。これにより、本実施形態の印刷又は複写用紙の真正性の検証と印刷又は複写履歴の確認及び検証に適合しない印刷物が発行されるのを防ぐことができる。ステップ602で読み取りに成功した場合、暗号演算部202は、秘密鍵211を用いて、読み取った識別子13の電子署名値を生成する(ステップ603)。電子署名値は、識別子13をID1、秘密鍵211をskとすると、sign_sk(ID1)の値となる。
【0030】
そして、二次元バーコード演算部203は、図7に示すように、識別子13と生成された電子署名値を結合したものを二次元バーコード画像データに変換する(ステップ604)。印刷装置220は、印刷データ一時記憶部290にある印刷データと生成された二次元バーコードの画像データとを結合(合成)したイメージデータを用紙10に印刷する(ステップ605)。この際、二次元バーコードの位置は常に紙面上の同じ場所に配置される。一つの例として、印刷の結果は図6の印刷又は複写された用紙20となる。
【0031】
次に、本実施形態において用紙を複写する手順を、図10のフローチャートに基づいて説明する。まず、利用者は、複合機の用紙設置部241に原稿である用紙をセットし、複合機200の複写操作を開始させる(ステップ700)。複合機200の制御部201は、第二のICタグ読み取り装置260に複写元用紙のICタグを、スキャン装置250に複写元用紙の紙面を、二次元バーコード読取装置270に二次元バーコードをそれぞれ読み込ませる(ステップ701)。
【0032】
ここから、読み込まれた用紙が本実施形態で印刷又は複写された用紙かどうかの検証動作を始める。検証に成功した場合はステップ707に進み、失敗した場合はステップ713に進む。
【0033】
まず、二次元バーコードを読み込めたかを判断する(ステップ702)。読み込めていない場合、検証に失敗したと判断し、ステップ713に進む。ステップ702で二次元バーコードを読み込めている場合、第二のICタグ読取装置260がICタグ21を読み込めたかを判断する(ステップ703)。読み込めていない場合、検証に失敗したとみなし、ステップ713に進む。
【0034】
ステップ703で、読み込めている場合、二次元バーコード演算部203は、二次元バーコード画像データをデコードし、デコードしたデータが図7のデータフォーマットに合っているかを判断する(ステップ704)。合っていない場合、検証に失敗したとみなし、ステップ713に進む。ステップ704で、合っている場合、ICタグから読み取った識別子と二次元バーコードデータの識別子履歴部の最後に記載されている識別子が一致するかを判断する(ステップ705)。一致しない場合、検証に失敗したとみなし、ステップ713に進む。
【0035】
ステップ705において両識別子が一致する場合、暗号演算部は、二次元バーコードデータの識別子履歴部と二次元バーコードデータの電子署名値部のペアの正当性を、公開鍵211を用いて検証する(ステップ706)。ペアが正当でない場合、不正な用紙とみなし、ステップ713に進む。ステップ706において正当な場合、複写元用紙は正当であると判断し、検証は成功とする。
【0036】
複写元用紙の正当性の検証に失敗し、ステップ713に進んだ場合を説明する。複合機200は、複写元用紙エラーを利用者に通知し(ステップ713)、動作を終了する。
【0037】
複写元用紙の正当性の検証が成功した場合、複合機200は複写動作を先に進める。制御部201は、用紙トレイ280から複写先用紙10を抜き出す(ステップ707)。第一のICタグ読取装置230は、用紙10のICタグ11の識別子13を読み込む(ステップ708)。読み込めなかった場合、複写先用紙を不正なものと判断し、複写先用紙エラーを利用者に通知し(ステップ714)、動作を終了する。
【0038】
ステップ708で、読み込めた場合、複写元用紙の二次元バーコードデータの識別子履歴と今読み込んだ識別子12を、この順番で結合し、複写先用紙10までの識別子履歴を作成する。例えば、図8の用紙IDnが今回生成される出力用紙の場合、識別子履歴は、ID1 || ID2 || ...|| IDnとなる。暗号演算部202は、作成されたこの新しい識別子履歴の電子署名値を、秘密鍵211を用いて生成する(ステップ709)。例えば上記例では、電子署名値は、sign_sk(ID1 || ID2 || ...|| IDn)となる。ここで、skは秘密鍵211である。
【0039】
二次元バーコード演算部203は、この新しい識別子履歴と電子署名値とを結合したデータを、二次元バーコード画像データに変換する(ステップ710)。制御部201は、印刷データ一時記憶部290に保持されている複写元用紙の紙面データのうち、二次元バーコード部分をこの新しい二次元バーコードと置き換え印刷データを生成する(ステップ711)。印刷部230は、この印刷データを複写先用紙10に印刷し(ステップ712)、複写動作が終了する。印刷の一例が、図6の印刷・複写された用紙20である。
【0040】
本実施形態における用紙の検証の手順を、図11のフローチャートに基づいて説明する。ここで、検証の対象は、用紙の真正性と複写履歴である。検証者は、検証端末300を用いて、対象の用紙を検証する。
【0041】
まず、用紙に漉き込まれているICタグをICタグ読取装置340を用いて、用紙に印刷されている二次元バーコードを二次元バーコード読取装置350を用いて、それぞれ読み取る。(ステップ800)。ICタグを読み込めたかを判断する(ステップ801)。読み込めていない場合、用紙を不正なものと判断しステップ807に進む。ステップ801で、読み込めている場合は、二次元バーコード27を読み込めているかを判断する(ステップ802)。二次元バーコードを読み込めていない場合、用紙を不正なものと判断し、ステップ807に進む。
【0042】
ステップ802で、読み込めている場合、二次元バーコード演算部303は、二次元バーコード画像データをデコードする。デコードされたデータが、図7のフォーマットに合っているかを判断する(ステップ803)。合っていない場合、用紙を不正なものとみなし、ステップ807に進む。ステップ803で、合っている場合、二次元バーコードの識別子履歴部分の最後の識別子とICタグ21から読み込んだ識別子23とが一致するかを判断する(ステップ804)。一致しない場合、用紙を不正なものとみなし、ステップ807に進む。
【0043】
ステップ804で、一致する場合、暗号演算部202は、二次元バーコードデータの識別子履歴部と二次元バーコードデータの電子署名値部とのペアの正当性を、公開鍵証明書311の公開鍵を用いて検証する(ステップ805)。不正なものであった場合、用紙を不正なものとみなし、ステップ807に進む。
【0044】
ステップ805で、正当なものであった場合、用紙を正当なものと判断し、表示装置320に、用紙は正当である旨と用紙の識別子履歴とを表示し(ステップ806)、動作を終了する。
【0045】
用紙が不正なものとみなされ、ステップ807に進んだ場合を説明する。表示装置320に、用紙は不正である旨を表示し(ステップ807)、動作を終了する。
【0046】
図9〜図11の処理手順は、図3〜図5の各制御部の動作として実行されるが、手順によってはハードウエアとして実装しても良い。たとえば、図10でエラー通知をするための判断手順は、各々のエラー検出に対応した検出器を用意しても良い。ソフトウエアとハードウエアとのいずれで実装するかは、装置性能、装置サイズ、装置コスト等から適宜決定される。
【0047】
本実施形態において作成される印刷及び複写物は、図8に示されるような複写の繰返しの系列を形成する。この系列の形成方法は、既に説明したように、次の通りである。電子データの印刷に関しては、印刷先用紙がICタグの漉き込まれた用紙であることを確認し、印刷先用紙のICタグの識別子に電子署名をして、識別子と電子署名値を二次元バーコードとして紙面に印刷する。印刷物の複写に関しては、複写元用紙が正当な用紙であることを確認し、印刷先(複写先)用紙がICタグの漉き込まれた用紙であることを確認し、ICタグの識別子の履歴データに電子署名をし、識別子履歴データと電子署名値を二次元バーコードとして紙面に印刷する。
【0048】
本実施形態では、図8に例示される系列に用紙が合致しているかどうかで、用紙の正当性の検証を行う。用紙が系列上にある場合は正当な用紙とみなし、系列上にない場合は不正な用紙とみなしてる。
【0049】
本実施形態によれば、印刷又は複写される用紙の偽造を防ぐことができる。さらに、印刷又は複写された用紙の印刷及び複写履歴の改竄を防ぐことができるので、結果として複写された印刷物が正当であることも保証できる。
【0050】
本実施形態によれば、印刷又は複写物の正当性を検証するための情報は当該印刷又は複写物に在るので、検証のための論理を備えた装置(複合機や検証装置など)さえあれば、検証可能になる。すなわち、履歴情報を保持するような管理システムとのネットワークによるオンライン接続の必要性はなく、検証装置等によるスタンドアロン(オフライン)での印刷又は複写物の正当性を検証が可能になる。
【0051】
本実施形態により印刷又は複写物の正当性を検証するということは、逆に言えば、印刷又は複写物の偽造や改竄を検知できるということである。以下で、本実施形態において偽造又は改竄がどのように検知されるかを、例を挙げて説明する。
【0052】
攻撃者が、ICタグの漉き込まれていない用紙を用いて用紙の偽造又は識別子履歴の改竄を試みた場合、ICタグを読み込めないことから、検証者は不正を検知できる。一例として、攻撃者が、本実施形態で発行した用紙をICタグの漉き込まれていない用紙に本実施形態の複合機ではない複合機又は複写機を用いて複写することが考えられる。この場合、出力用紙(複写先用紙)のICタグを読み込めないので、検証者は不正を検知できる。さらに、出力用紙の二次元バーコードには複写元の二次元バーコードがそのまま複写されるため、その複写履歴を読み取ることにより、複写元用紙も特定できる。
【0053】
攻撃者が、ICタグの漉き込まれた用紙を用いて用紙の偽造又は識別子履歴の改竄を試みた場合、正当な履歴と電子署名値ペアを作成することはできないため、検証者は不正を検知できる。これは、秘密鍵無しで、メッセージと電子署名値の正当なペアを作成することはほぼ不可能であるからである。一例として、攻撃者が、本実施形態で発行した用紙をICタグの漉き込まれている用紙10に従来の複写機を用いて複写することが考えられる。この場合、ICタグの識別子情報と二次元バーコードの持つ履歴情報とが矛盾するため、検証者は不正を検知できる。さらに、出力用紙の二次元バーコードには複写元の二次元バーコードが複写されるため、その複写履歴を読み取ることにより、複写元用紙も特定できる。複写先用紙の二次元バーコードの改変をし、ICタグの識別子を履歴に加えたとしても、履歴に対応する正当な署名値は生成できないため、不正を検知できる。
【0054】
攻撃者が、正当な印刷・複写用紙の二次元バーコードの内容を改変することにより履歴の改竄を試みた場合、正当な履歴と電子署名値ペアを作成することはできないため、検証者は不正を検知できる。これは、秘密鍵無しで、メッセージと電子署名値の正当なペアを作成することはほぼ不可能だからである。一例として、攻撃者が、本実施形態で発行した用紙の二次元バーコードを改変することが考えられる。この場合、二次元バーコードの識別子履歴データ部と電子署名値部とがペアをなさないため、検証者は不正を検知できる。
【0055】
本実施形態によれば、検証作業はオフラインでできるため、情報漏えいのリスクが軽減するだけでなく、ネットワークで接続した管理システムを利用してオンラインで印刷物を管理する場合と比べて、様々なリソースにかかるコストを大幅に削減でき、適用可能範囲はより大きなものとなる。例えば、検証作業で用いるネットワークインフラは必要なく、さらに、印刷履歴を管理するサーバは必要ないため、これらを削減することができる。
【0056】
上述の実施形態においては、ICタグの漉き込まれている位置と二次元バーコードの印刷位置は離れているが、これらを重ねてまたは隣接して配置してもよい。この場合、ICタグ読取装置及び二次元バーコード読取装置を1つの装置にまとめることにより、1回の読取動作でICタグと二次元バーコードを読み込むことができる。
【0057】
上述の実施形態においては、1枚の用紙に漉き込まれているICタグは1つとしていたが、複数のICタグを1枚の用紙に漉き込んでもよい。例えば、用紙の対角線に沿ってX字型に同一の識別子を持つICタグを並べて漉き込むことが考えられる。これにより、用紙の一部分が破損した場合にも、ICタグが用紙に残存するために、用紙を識別することが可能となる。
【0058】
上述の実施形態においては、識別子履歴情報と電子署名値を二次元バーコードとして紙面に印刷したが、識別子履歴情報と電子署名値を紙面に格納する方法はこれに限られるものではない。例えば、二次元バーコードの代わりに、一次元バーコードや電子透かし等を用いることが考えられる。また、ICタグが書き込み可能な場合、ICタグにこれらの情報を書き込んでもよい。また、用紙に磁気情報格納装置(磁気ストライプ)がある場合、これに書き込む方法でもよい。
【0059】
上述の実施形態においては、ICタグに用紙識別子を格納していたが、用紙識別子の格納方法はICタグに限られたものではない。例えば、二次元バーコード、一次元バーコード又は電子透かし等の方法で、用紙識別子の情報を用紙に埋め込んでもよい。また、用紙に磁気情報格納装置がある場合、これに書き込む方法でもよい。また、用紙識別子と識別子履歴、電子署名値を同じ媒体に格納してもよい。例として、書き込み可能なICタグ又は磁気記録媒体にこれらを全て格納することが挙げられる。
【0060】
以上のように、上記の実施形態は、用紙の識別子、識別子履歴、及び電子署名値を格納する媒体に依存する必要はなく、これらの情報の媒体への書き込み、読み出しのためには、媒体に対応した入力装置、出力装置が複合機に備えられれば良い。
【0061】
上記の実施形態においては、説明を簡単にするために、複合機が1台のシステムとしたが、複数台の複合機を含むシステムに拡張することもできる。この場合、複合機に対応付けられている秘密鍵、公開鍵のペアが、全ての複合機に共通のものなのか、又は、各複合機ごとに異なるものなのかにより、システムの拡張の仕方が異なる。全ての複合機に共通の秘密鍵、公開鍵ペアを対応付ける場合、全ての複合機は上記の実施形態での複合機と同じものとすればよい。
【0062】
各複合機ごとに異なる鍵のペアを対応付ける場合、変更する点がいくつかある。変更点を説明する。まず、各複合機を区別するために、各複合機に複合機IDを割り当てる。複合機IDに対応して鍵ペアが対応付けられる。各複合機は、鍵記憶装置に自分の秘密鍵と公開鍵に加えて他の全ての複合機の公開鍵証明書を格納する。また、検証端末機は、公開鍵記憶装置に全ての複合機の公開鍵証明書を格納する。印刷又は複写の際、複合機は、二次元バーコードに識別子履歴と電子署名値に加えて自身の複合機ID情報も埋め込む。検証の際に用いる公開鍵又は公開鍵証明書は、二次元バーコードに載っているこの複合機IDのものを用いる。
【0063】
上記実施形態において、公開鍵暗号方式の署名方式として、ID Based署名方式を用いることもできる。この場合、公開鍵及び公開鍵証明書は鍵に対応する識別子に置き換えられる。なお、ID Based署名方式は、たとえばKenneth G. Paterson著“ID-based Signatures from pairings on Elliptic Curves”Electronics Letters, Vol. 38 (18) (2002), 1025-1026による。
【0064】
上記実施形態においては、二次元バーコードが持つ情報は、識別子履歴と電子署名値とした。このうち、識別子履歴は大本の元本から自身までの識別子からなっていたが、これを大本の元本から自身の複写元用紙までの識別子に削減することができる。これは、ICタグが自身の識別子を格納しているので、複写元用紙までの識別子履歴があればICタグ上の識別子と結合することで、自身までの識別子履歴を生成できるからである。
【図面の簡単な説明】
【0065】
【図1】本発明に係る実施形態のシステム例を示す図である。
【図2】無線ICタグが漉き込まれた用紙の一例を示す図である。
【図3】利用者端末の一例を示すブロック図である。
【図4】複合機の一例を示すブロック図である。
【図5】検証端末の一例を示すブロック図である。
【図6】印刷又は複写した結果として出力される用紙の一例を示す図である。
【図7】二次元バーコードが持つ情報を示す図である。
【図8】印刷物及び複写物が形成する系列を示す図である。
【図9】印刷する手順の一例を示すフローチャートである。
【図10】複写する手順の一例を示すフローチャートである。
【図11】検証する手順の一例を示すフローチャートである。
【符号の説明】
【0066】
10:用紙、11、21:無線ICタグ、20:印刷又は複写された用紙、27:二次元バーコード、100:利用者端末、200:複合機、300:検証端末、500:ネットワーク。
【特許請求の範囲】
【請求項1】
用紙の識別子を含む第1の履歴情報と秘密鍵を用いて生成した該第1の履歴情報の第1の電子署名とを複写元用紙から入力する第1の入力装置、
前記複写元用紙の紙面を第1のイメージとして入力する第2の入力装置、
複写先用紙の識別子を該複写先用紙から入力する第3の入力装置、
前記秘密鍵と対応した公開鍵を用いて、前記第1の入力装置により入力した前記第1の履歴情報と前記第1の電子署名とのペアの正当性をチェックする暗号演算部、及び
前記暗号演算部によるチェックの結果、前記ペアが正当である場合に、前記第3の入力装置によって入力した前記複写先用紙の識別子を前記第1の履歴情報に加え、前記複写先用紙の識別子を加えた第2の履歴情報と前記秘密鍵を用いて生成した該第2の履歴情報の第2の電子署名とを前記複写先用紙に出力する出力装置
を有することを特徴とする印刷文書管理装置。
【請求項2】
前記複写元用紙の識別子を入力する第4の入力装置を設け、該第4の入力装置により入力された前記複写元用紙の識別子が前記第1の履歴情報に含まれることを検出する検出器を有することを特徴とする請求項1記載の印刷文書管理装置。
【請求項3】
前記第1の履歴情報と前記第1の電子署名は第1のバーコードとして前記複写元用紙に印刷され、前記第1の読取装置はバーコード読取装置であることを特徴とする請求項2記載の印刷文書管理装置。
【請求項4】
前記出力装置は、前記第2の履歴情報と前記第2の電子署名とを第2のバーコードに変換し、前記第2の読取装置で読み込んだ前記第1のイメージ上の前記第1のバーコードを該第2のバーコードに置き換えて、該置き換えた第2のイメージを前記複写先用紙に印刷する印刷装置であることを特徴とする請求項3記載の印刷文書管理装置。
【請求項5】
前記複写先用紙の識別子は該複写先用紙に漉き込まれたICタグに格納され、前記複写元用紙の識別子は該複写元用紙に漉き込まれたICタグに格納され、前記各識別子を入力する前記第3の入力装置及び前記第4の入力装置はICタグ読取装置であることを特徴とする請求項2記載の印刷文書管理装置。
【請求項6】
前記暗号演算部によるチェックの結果、前記第1の履歴情報と前記第1の電子署名とのペアが正当でない場合、及び前記検出器により前記複写元用紙の識別子が前記第1の履歴情報に含まれることを検出できない場合の少なくとも一方の場合、前記複写元用紙の紙面のイメージを前記複写先用紙に複写しないように制御する制御部を有することを特徴とする請求項2記載の印刷文書管理装置。
【請求項7】
用紙の識別子を含む履歴情報と秘密鍵を用いて生成した該履歴情報の電子署名とを対象の用紙から入力する第1の入力装置、
前記秘密鍵と対応した公開鍵を用いて、前記第1の入力装置により入力した前記履歴情報と前記電子署名とのペアの正当性をチェックする暗号演算部、及び
前記暗号演算部によるチェックの結果、前記ペアが正当である場合に、前記対象の用紙は正当であることを表示する表示装置
を有することを特徴とする印刷文書管理装置。
【請求項8】
前記対象の用紙の識別子を入力する第2の入力装置を設け、該第2の入力装置により入力された前記対象の用紙の識別子が前記第1の履歴情報に含まれることを検出する検出器を有することを特徴とする請求項7記載の印刷文書管理装置。
【請求項9】
前記履歴情報と前記電子署名はバーコードとして前記対象の用紙に印刷され、前記第1の読取装置はバーコード読取装置であることを特徴とする請求項8記載の印刷文書管理装置。
【請求項10】
前記対象の用紙の識別子は該対象の紙に漉き込まれたICタグに格納され、前記識別子を入力する前記第2の入力装置はICタグ読取装置であることを特徴とする請求項8記載の印刷文書管理装置。
【請求項11】
前記暗号演算部によるチェックの結果、前記履歴情報と前記電子署名とのペアが正当でない場合、及び前記検出器により前記対象の用紙の識別子が前記履歴情報に含まれることを検出できない場合の少なくとも一方の場合、前記表示装置は前記対象の用紙は不当であることを表示することを特徴とする請求項8記載の印刷文書管理装置。
【請求項12】
印刷用紙の識別子を該印刷用紙から入力する入力装置、及び
前記入力装置によって入力した前記印刷用紙の識別子と公開鍵暗号方式の秘密鍵を用いて生成した該識別子の電子署名とを前記印刷用紙に出力する出力装置
を有することを特徴とする印刷文書管理装置。
【請求項13】
前記出力装置は、前記識別子と前記電子署名とをバーコードに変換し、前記印刷用紙に印刷すべき電子データをイメージに変換し、前記バーコードと前記イメージとを合成して前記印刷用紙に印刷する印刷装置であることを特徴とする請求項12記載の印刷文書管理装置。
【請求項14】
前記印刷用紙の識別子は該印刷用紙に漉き込まれたICタグに格納され、前記識別子を入力する前記入力装置はICタグ読取装置であることを特徴とする請求項13記載の印刷文書管理装置。
【請求項15】
用紙の識別子を含む第1の履歴情報と秘密鍵を用いて生成した該第1の履歴情報の第1の電子署名とを複写元用紙から入力し、
前記複写元用紙の紙面を第1のイメージとして入力し、
複写先用紙の識別子を該複写先用紙から入力し、
前記秘密鍵と対応した公開鍵を用いて、前記入力した前記第1の履歴情報と前記第1の電子署名とのペアの正当性をチェックし、
前記暗号演算部によるチェックの結果、前記ペアが正当である場合に、前記入力した前記複写先用紙の識別子を前記第1の履歴情報に加え、
前記複写先用紙の識別子を加えた第2の履歴情報と前記秘密鍵を用いて、該第2の履歴情報の第2の電子署名を生成し、及び
前記第2の履歴情報と前記生成した第2の電子署名とを前記複写先用紙に出力することを特徴とする印刷文書管理方法。
【請求項16】
前記複写元用紙の識別子を入力し、該入力した前記複写元用紙の識別子が前記第1の履歴情報に含まれることを検出することを特徴とする請求項15記載の印刷文書管理方法。
【請求項17】
前記第1の履歴情報と前記第1の電子署名は第1のバーコードとして前記複写元用紙に印刷されていることを特徴とする請求項16記載の印刷文書管理方法。
【請求項18】
前記第2の履歴情報と前記第2の電子署名とを第2のバーコードに変換し、前記第1のイメージ上の前記第1のバーコードを該第2のバーコードに置き換え、該置き換えた第2のイメージを前記複写先用紙に印刷することを特徴とする請求項17記載の印刷文書管理方法。
【請求項19】
前記複写先用紙の識別子は該複写先用紙に漉き込まれたICタグに格納され、前記複写元用紙の識別子は該複写元用紙に漉き込まれたICタグに格納され、前記各識別子ICタグ読取装置により読み込まれることを特徴とする請求項16記載の印刷文書管理方法。
【請求項20】
前記暗号演算部によるチェックの結果、前記第1の履歴情報と前記第1の電子署名とのペアが正当でない場合、及び前記複写元用紙の識別子が前記第1の履歴情報に含まれることを検出できない場合の少なくとも一方の場合、前記複写元用紙の紙面のイメージを前記複写先用紙に複写しないように制御することを特徴とする請求項16記載の印刷文書管理方法。
【請求項21】
用紙の識別子を含む履歴情報と秘密鍵を用いて生成した該履歴情報の電子署名とを対象の用紙から入力し、
前記秘密鍵と対応した公開鍵を用いて、前記入力した前記履歴情報と前記電子署名とのペアの正当性をチェックし、及び
前記チェックの結果、前記ペアが正当である場合に、前記対象の用紙は正当であることを表示装置に表示する
ことを特徴とする印刷文書管理方法。
【請求項22】
前記対象の用紙の識別子を入力し、前記入力された前記対象の用紙の識別子が前記第1の履歴情報に含まれることを検出することを特徴とする請求項21記載の印刷文書管理方法。
【請求項23】
前記履歴情報と前記電子署名はバーコードとして前記対象の用紙に印刷されていることを特徴とする請求項22記載の印刷文書管理方法。
【請求項24】
前記対象の用紙の識別子は該対象の紙に漉き込まれたICタグに格納されていることを特徴とする請求項22記載の印刷文書管理方法。
【請求項25】
前記チェックの結果、前記履歴情報と前記電子署名とのペアが正当でない場合、及び前記対象の用紙の識別子が前記履歴情報に含まれることを検出できない場合の少なくとも一方の場合、前記表示装置に前記対象の用紙は不当であることを表示することを特徴とする請求項22記載の印刷文書管理方法。
【請求項1】
用紙の識別子を含む第1の履歴情報と秘密鍵を用いて生成した該第1の履歴情報の第1の電子署名とを複写元用紙から入力する第1の入力装置、
前記複写元用紙の紙面を第1のイメージとして入力する第2の入力装置、
複写先用紙の識別子を該複写先用紙から入力する第3の入力装置、
前記秘密鍵と対応した公開鍵を用いて、前記第1の入力装置により入力した前記第1の履歴情報と前記第1の電子署名とのペアの正当性をチェックする暗号演算部、及び
前記暗号演算部によるチェックの結果、前記ペアが正当である場合に、前記第3の入力装置によって入力した前記複写先用紙の識別子を前記第1の履歴情報に加え、前記複写先用紙の識別子を加えた第2の履歴情報と前記秘密鍵を用いて生成した該第2の履歴情報の第2の電子署名とを前記複写先用紙に出力する出力装置
を有することを特徴とする印刷文書管理装置。
【請求項2】
前記複写元用紙の識別子を入力する第4の入力装置を設け、該第4の入力装置により入力された前記複写元用紙の識別子が前記第1の履歴情報に含まれることを検出する検出器を有することを特徴とする請求項1記載の印刷文書管理装置。
【請求項3】
前記第1の履歴情報と前記第1の電子署名は第1のバーコードとして前記複写元用紙に印刷され、前記第1の読取装置はバーコード読取装置であることを特徴とする請求項2記載の印刷文書管理装置。
【請求項4】
前記出力装置は、前記第2の履歴情報と前記第2の電子署名とを第2のバーコードに変換し、前記第2の読取装置で読み込んだ前記第1のイメージ上の前記第1のバーコードを該第2のバーコードに置き換えて、該置き換えた第2のイメージを前記複写先用紙に印刷する印刷装置であることを特徴とする請求項3記載の印刷文書管理装置。
【請求項5】
前記複写先用紙の識別子は該複写先用紙に漉き込まれたICタグに格納され、前記複写元用紙の識別子は該複写元用紙に漉き込まれたICタグに格納され、前記各識別子を入力する前記第3の入力装置及び前記第4の入力装置はICタグ読取装置であることを特徴とする請求項2記載の印刷文書管理装置。
【請求項6】
前記暗号演算部によるチェックの結果、前記第1の履歴情報と前記第1の電子署名とのペアが正当でない場合、及び前記検出器により前記複写元用紙の識別子が前記第1の履歴情報に含まれることを検出できない場合の少なくとも一方の場合、前記複写元用紙の紙面のイメージを前記複写先用紙に複写しないように制御する制御部を有することを特徴とする請求項2記載の印刷文書管理装置。
【請求項7】
用紙の識別子を含む履歴情報と秘密鍵を用いて生成した該履歴情報の電子署名とを対象の用紙から入力する第1の入力装置、
前記秘密鍵と対応した公開鍵を用いて、前記第1の入力装置により入力した前記履歴情報と前記電子署名とのペアの正当性をチェックする暗号演算部、及び
前記暗号演算部によるチェックの結果、前記ペアが正当である場合に、前記対象の用紙は正当であることを表示する表示装置
を有することを特徴とする印刷文書管理装置。
【請求項8】
前記対象の用紙の識別子を入力する第2の入力装置を設け、該第2の入力装置により入力された前記対象の用紙の識別子が前記第1の履歴情報に含まれることを検出する検出器を有することを特徴とする請求項7記載の印刷文書管理装置。
【請求項9】
前記履歴情報と前記電子署名はバーコードとして前記対象の用紙に印刷され、前記第1の読取装置はバーコード読取装置であることを特徴とする請求項8記載の印刷文書管理装置。
【請求項10】
前記対象の用紙の識別子は該対象の紙に漉き込まれたICタグに格納され、前記識別子を入力する前記第2の入力装置はICタグ読取装置であることを特徴とする請求項8記載の印刷文書管理装置。
【請求項11】
前記暗号演算部によるチェックの結果、前記履歴情報と前記電子署名とのペアが正当でない場合、及び前記検出器により前記対象の用紙の識別子が前記履歴情報に含まれることを検出できない場合の少なくとも一方の場合、前記表示装置は前記対象の用紙は不当であることを表示することを特徴とする請求項8記載の印刷文書管理装置。
【請求項12】
印刷用紙の識別子を該印刷用紙から入力する入力装置、及び
前記入力装置によって入力した前記印刷用紙の識別子と公開鍵暗号方式の秘密鍵を用いて生成した該識別子の電子署名とを前記印刷用紙に出力する出力装置
を有することを特徴とする印刷文書管理装置。
【請求項13】
前記出力装置は、前記識別子と前記電子署名とをバーコードに変換し、前記印刷用紙に印刷すべき電子データをイメージに変換し、前記バーコードと前記イメージとを合成して前記印刷用紙に印刷する印刷装置であることを特徴とする請求項12記載の印刷文書管理装置。
【請求項14】
前記印刷用紙の識別子は該印刷用紙に漉き込まれたICタグに格納され、前記識別子を入力する前記入力装置はICタグ読取装置であることを特徴とする請求項13記載の印刷文書管理装置。
【請求項15】
用紙の識別子を含む第1の履歴情報と秘密鍵を用いて生成した該第1の履歴情報の第1の電子署名とを複写元用紙から入力し、
前記複写元用紙の紙面を第1のイメージとして入力し、
複写先用紙の識別子を該複写先用紙から入力し、
前記秘密鍵と対応した公開鍵を用いて、前記入力した前記第1の履歴情報と前記第1の電子署名とのペアの正当性をチェックし、
前記暗号演算部によるチェックの結果、前記ペアが正当である場合に、前記入力した前記複写先用紙の識別子を前記第1の履歴情報に加え、
前記複写先用紙の識別子を加えた第2の履歴情報と前記秘密鍵を用いて、該第2の履歴情報の第2の電子署名を生成し、及び
前記第2の履歴情報と前記生成した第2の電子署名とを前記複写先用紙に出力することを特徴とする印刷文書管理方法。
【請求項16】
前記複写元用紙の識別子を入力し、該入力した前記複写元用紙の識別子が前記第1の履歴情報に含まれることを検出することを特徴とする請求項15記載の印刷文書管理方法。
【請求項17】
前記第1の履歴情報と前記第1の電子署名は第1のバーコードとして前記複写元用紙に印刷されていることを特徴とする請求項16記載の印刷文書管理方法。
【請求項18】
前記第2の履歴情報と前記第2の電子署名とを第2のバーコードに変換し、前記第1のイメージ上の前記第1のバーコードを該第2のバーコードに置き換え、該置き換えた第2のイメージを前記複写先用紙に印刷することを特徴とする請求項17記載の印刷文書管理方法。
【請求項19】
前記複写先用紙の識別子は該複写先用紙に漉き込まれたICタグに格納され、前記複写元用紙の識別子は該複写元用紙に漉き込まれたICタグに格納され、前記各識別子ICタグ読取装置により読み込まれることを特徴とする請求項16記載の印刷文書管理方法。
【請求項20】
前記暗号演算部によるチェックの結果、前記第1の履歴情報と前記第1の電子署名とのペアが正当でない場合、及び前記複写元用紙の識別子が前記第1の履歴情報に含まれることを検出できない場合の少なくとも一方の場合、前記複写元用紙の紙面のイメージを前記複写先用紙に複写しないように制御することを特徴とする請求項16記載の印刷文書管理方法。
【請求項21】
用紙の識別子を含む履歴情報と秘密鍵を用いて生成した該履歴情報の電子署名とを対象の用紙から入力し、
前記秘密鍵と対応した公開鍵を用いて、前記入力した前記履歴情報と前記電子署名とのペアの正当性をチェックし、及び
前記チェックの結果、前記ペアが正当である場合に、前記対象の用紙は正当であることを表示装置に表示する
ことを特徴とする印刷文書管理方法。
【請求項22】
前記対象の用紙の識別子を入力し、前記入力された前記対象の用紙の識別子が前記第1の履歴情報に含まれることを検出することを特徴とする請求項21記載の印刷文書管理方法。
【請求項23】
前記履歴情報と前記電子署名はバーコードとして前記対象の用紙に印刷されていることを特徴とする請求項22記載の印刷文書管理方法。
【請求項24】
前記対象の用紙の識別子は該対象の紙に漉き込まれたICタグに格納されていることを特徴とする請求項22記載の印刷文書管理方法。
【請求項25】
前記チェックの結果、前記履歴情報と前記電子署名とのペアが正当でない場合、及び前記対象の用紙の識別子が前記履歴情報に含まれることを検出できない場合の少なくとも一方の場合、前記表示装置に前記対象の用紙は不当であることを表示することを特徴とする請求項22記載の印刷文書管理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2009−129079(P2009−129079A)
【公開日】平成21年6月11日(2009.6.11)
【国際特許分類】
【出願番号】特願2007−301709(P2007−301709)
【出願日】平成19年11月21日(2007.11.21)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成21年6月11日(2009.6.11)
【国際特許分類】
【出願日】平成19年11月21日(2007.11.21)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]