情報処理装置及び情報処理プログラム
【課題】暗号プロセッサ搭載の認証媒体の不正利用をより確実に防止する。
【解決手段】画像形成装置20は、ユーザー認証に用いられるICカードであって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載したICカードが挿着された状態でユーザー認証を行うことで、ICカードに当該ユーザーによる装置の利用を可能とする確認済み状態を設定するユーザー認証部21と、ICカードに記憶された秘密鍵を利用した秘密鍵処理を含むデータ処理を実行するデータ処理部22と、秘密鍵処理の実行完了を検知する秘密鍵処理完了検知部23と、秘密鍵処理の完了が検知された時点で、ユーザー認証に伴いICカードに設定された当該ユーザーの確認済み状態を未確認状態に変更するユーザー確認状態リセット部24と、を有する。
【解決手段】画像形成装置20は、ユーザー認証に用いられるICカードであって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載したICカードが挿着された状態でユーザー認証を行うことで、ICカードに当該ユーザーによる装置の利用を可能とする確認済み状態を設定するユーザー認証部21と、ICカードに記憶された秘密鍵を利用した秘密鍵処理を含むデータ処理を実行するデータ処理部22と、秘密鍵処理の実行完了を検知する秘密鍵処理完了検知部23と、秘密鍵処理の完了が検知された時点で、ユーザー認証に伴いICカードに設定された当該ユーザーの確認済み状態を未確認状態に変更するユーザー確認状態リセット部24と、を有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体を利用して処理を実行する情報処理装置及び情報処理プログラムに関する。
【背景技術】
【0002】
近年では、セキュリティ対策として、個人の秘密鍵を格納したIC(Integrated Circuit)カード(スマートカード)を利用する場合が少なくない。例えば、ユーザーが画像形成装置を利用する場合、画像形成装置搭載のセキュリティアプリケーションは、ユーザーにICカードを挿着させ、PIN(Personal Identification Number)を入力させる。これにより、画像形成装置は、ユーザー認証を行うと共にICカードに格納された秘密鍵をスキャン文書の電子署名や暗号化されている電子文書(暗号化文書)の復号等に利用することができる。
【0003】
ところで、ICカードには、暗号プロセッサ搭載のICカードと暗号プロセッサが搭載されていないICカードの2種類のタイプがある。ICカードは、秘密鍵やPINの記憶手段を有しているが、暗号プロセッサ搭載のICカードは、更に画像形成装置等のデバイスからの指示に応じてユーザー認証や暗号化等の機能を実現するソフトウェア及びこのソフトウェアを実行するプロセッサが搭載されたICカードである。そして、記憶手段に記憶された秘密鍵等のデータは、外部からの読出しが禁止されている。
【0004】
これに対し、暗号プロセッサが搭載されていないICカードは、暗号プロセッサが搭載されていない、メモリのみのICカードである。従って、暗号プロセッサを搭載していないICカードを利用する場合、ICカードに格納された秘密鍵は、デバイスから読み出されて利用されることになる(例えば、特許文献1)。
【0005】
このように、ICカードの種類によってICカードに格納された秘密鍵の利用形態が異なってくるが、暗号プロセッサが搭載されていないICカードを利用すると、ICカードが取り外された後でも秘密鍵がデバイスのメモリ上に残されたままになる可能性があるため、セキュリティ上必ずしも万全であるとは言えない。
【0006】
これに対し、暗号プロセッサ搭載のICカードを利用すると、ICカードは、デバイスからの指示に応じて秘密鍵を利用した暗号化などの処理を内部にて実施し、その結果をデバイスへ返信することになる。つまり、秘密鍵は、外部へ読み出されることがないので、セキュリティの強化を図る上でより効果的である。
【0007】
【特許文献1】特開2003−224728号公報
【特許文献2】特開2002−259305号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
ただ、秘密鍵がICカードの内部のみに存在するということは、デバイスにおいて秘密鍵を利用する処理が実行されている間、ICカードをアクセス可能な状態のままデバイスに挿着しておかなければならないことになる。例えば、大量のページの原稿をスキャンしてデジタル署名を付加してから電子文書を送信するなど、画像形成装置における処理時間が長くなることが明らかな場合、ユーザーは、ICカードを画像形成装置に挿着し、ログインした状態のまま画像形成装置から離れて他の業務を行うことが容易に想像できる。この例のように、ユーザー認証された状態のICカードが画像形成装置に挿着されたままにしておくと、秘密鍵が第三者により不正利用されてしまう可能性が生じてくる。このように、ICカードから秘密鍵の読出しを禁止することによってセキュリティの強化を図る一方で、ICカードの利用形態によっては、個人所有のICカードが不正利用されてしまう可能性が生じてくる。
【0009】
本発明は、暗号プロセッサ搭載の認証媒体の不正利用をより確実に防止することを目的とする。
【課題を解決するための手段】
【0010】
以上のような目的を達成するために、本発明に係る情報処理装置は、ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行うことで、当該ユーザーによる装置の利用を可能とする確認済み状態に設定するユーザー認証手段と、前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むデータ処理を実行するデータ処理手段と、前記データ処理手段による秘密鍵処理の実行完了を検知する処理完了検知手段と、前記処理完了検知手段により秘密鍵処理の完了が検知されたことに基づいて、ユーザー認証に伴い設定された当該ユーザーの確認済み状態をユーザー未確認状態に変更する確認状態変更手段とを有することを特徴とする。
【0011】
また、前記データ処理手段は、秘密鍵処理として、前記認証媒体に記憶された秘密鍵を用いて、入力された電子文書にデジタル署名を行う署名処理部を有することを特徴とする。
【0012】
また、前記データ処理手段は、秘密鍵処理として、前記認証媒体に記憶された秘密鍵を用いて、入力された暗号化電子文書の復号を行う復号処理部を有することを特徴とする。
【0013】
また、前記処理完了検知手段により秘密鍵処理の完了が検知されたことに基づいて、秘密鍵処理完了を当該ユーザーに通知する通知手段を有することを特徴とする。
【0014】
本発明に係る情報処理装置は、ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行うことで、当該ユーザーによる装置の利用を可能とする確認済み状態に設定するユーザー認証手段と、前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むデータ処理を実行するデータ処理手段と、前記データ処理手段による秘密鍵処理の実行完了を検知する処理完了検知手段と、前記処理完了検知手段により秘密鍵処理の完了が検知されたことに基づいて、秘密鍵処理完了を当該ユーザーに通知する通知手段とを有することを特徴とする。
【0015】
本発明に係る情報処理装置は、ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行うことで、当該ユーザーによる装置の利用を可能とする確認済み状態に設定するユーザー認証手段と、前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むジョブを実行するジョブ実行手段と、前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、新たなジョブの実行を禁止するジョブ実行禁止手段とを有することを特徴とする。
【0016】
また、前記ジョブ実行禁止手段は、前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、新たなジョブの起動を阻止することを特徴とする。
【0017】
また、ユーザーインタフェース手段を有し、前記ジョブ実行禁止手段は、前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、前記ユーザーインタフェース手段への表示を不正操作防止用画面に切り替える表示切替指示部とを有することを特徴とする。
【0018】
また、前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、ジョブ実行開始を当該ユーザーに通知する通知手段を有することを特徴とする。
【0019】
本発明に係る情報処理プログラムは、コンピュータに、ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行わせるとともに当該ユーザーによる前記コンピュータの利用を可能とする確認済み状態に設定させ、前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むデータ処理を実行させ、秘密鍵処理の実行完了を検知させ、秘密鍵処理の完了が検知されたことに基づいて、ユーザー認証に伴い設定された当該ユーザーの確認済み状態をユーザー未確認状態に変更させることを特徴とする。
【0020】
本発明に係る情報処理プログラムは、コンピュータに、ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行わせるとともに当該ユーザーによる前記コンピュータの利用を可能とする確認済み状態に設定させ、前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むジョブを実行させ、秘密鍵処理を含むジョブの実行が開始されたことに基づいて、新たなジョブの実行を禁止させることを特徴とする。
【発明の効果】
【0021】
本発明によれば、認証媒体に記憶された秘密鍵を用いた処理が完了したことに基づいて、ユーザー認証に伴い設定された当該ユーザーの確認済み状態をユーザー未確認状態に変更するようにしたので、情報処理装置に認証媒体が残された状態においても認証媒体に記憶された秘密鍵の不正利用を、より確実に防止することができる。
【0022】
また、認証媒体に記憶された秘密鍵を用いた処理が完了したことに基づいて、認証されたユーザーに秘密鍵の利用完了を通知するようにしたので、情報処理装置からの認証媒体が抜去可能であることを当該ユーザーに知らせることができる。
【0023】
また、ジョブの実行が開始されたことに基づいて、新たなジョブの実行を禁止することができるので、情報処理装置に認証媒体が残された状態においても認証媒体に記憶された秘密鍵の不正利用を、より確実に防止することができる。
【発明を実施するための最良の形態】
【0024】
以下、図面に基づいて、本発明の好適な実施の形態について説明する。
【0025】
実施の形態1.
図1は、本発明に係る情報処理装置の一実施の形態である画像形成装置のハードウェア構成図である。画像形成装置は、情報処理装置であるコンピュータを内部に搭載した画像処理装置であり、本実施の形態では、コピー機能、スキャナ機能等各種機能を搭載した複合機を想定している。図1において、CPU1は、リードオンリメモリ(ROM)9に格納されたプログラムにしたがってスキャナ4やプリンタエンジン6等本装置に搭載された各種機構の動作制御を行う。アドレスデータバス2は、CPU1の制御対象となる各種機構と接続してデータの通信を行う。操作パネル3は、ユーザーからの指示の受け付け、情報の表示を行うユーザーインタフェース手段である。スキャナ4は、ユーザーがセットした原稿を読み取り、電子データとしてHDD(Hard Disk Drive)25等に蓄積する。HDD25は、スキャナ4を使用して読み取った電子文書などを格納する。プリンタエンジン6は、CPU1で実行される制御プログラムからの指示に従い出力用紙上に画像を印字する。ネットワークインタフェース(I/F)7は、ネットワーク12を接続し、ユーザー端末装置14との間で電子文書等の送受信、ブラウザ経由による本装置へのアクセスなどに利用される。ランダムアクセスメモリ(RAM)8は、プログラム実行時のワークメモリや電子データ送受信時の通信バッファとして利用される。ROM9は、本装置の制御や電子データの暗号、電子データの送受信に関する各種プログラムが格納されている。各種プログラムが実行されることで後述する各構成要素が所定の処理機能を発揮する。ICカードリーダー10は、挿着されたICカードとの間でデータの送受信を行う。
【0026】
ここで、本実施の形態においてユーザー認証に用いる認証媒体は、当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体であり、前述した暗号プロセッサ搭載のICカードの利用を想定している。これに伴い、画像形成装置20には、ICカードリーダー10が接続されることになる。ここで、プロセッサというのは、プログラムの実行や各種の演算などを集中的に行なうチップのことをいうが、認証媒体に搭載されたプロセッサは、特に認証媒体に記憶されたソフトウェアを実行する。また、ICカードは、ICが組み込まれたカードである。ところで、スマートカードとは、CPU,メモリなどの半導体を組み込んだプラスティックカードのことを言うが、同じ認証媒体をICカードまたはスマートカードと称する場合もある。本実施の形態では、これらをICカードで総称することにする。なお、現在において暗号プロセッサを搭載してユーザー認証に用いられる認証媒体としては、ICカードが主流を成していると考えられるが、例えばUSB(Universal Serial Memory)メモリ等の記憶媒体に暗号プロセッサが搭載されユーザー認証に用いられるようになった場合には、この記憶媒体も本発明の認証媒体に該当する。
【0027】
図2は、本実施の形態における画像形成装置20のブロック構成図である。なお、本実施の形態の説明に必要でない構成要素については図から省略した。
【0028】
画像形成装置20は、ユーザー認証部21、データ処理部22、秘密鍵処理完了検知部23、ユーザー確認状態リセット部24及び抜取り許可通知部25を有している。ユーザー認証部21は、ICカードがICカードリーダー10に挿着された状態でユーザー認証を行う。データ処理部22は、ユーザーから指示されたデータ処理を実行するが、本実施の形態においては、ICカードに記憶された秘密鍵を利用した処理を実行することになる。本実施の形態では、ICカードに記憶された秘密鍵を利用したデータ処理を、特に秘密鍵処理と称することにした。秘密鍵処理完了検知部23は、データ処理部22が実行している秘密鍵処理の実行完了を検知する。データ処理部22に含まれるデジタル署名処理部26及び復号処理部27は、それぞれ秘密鍵処理を実行する手段として設けられている。このうち、デジタル署名処理部26は、ICカードに記憶された秘密鍵を用いて、入力された電子文書に付加するデジタル署名を生成する。また、復号処理部27は、ICカードに記憶された秘密鍵を用いて、入力された暗号化文書の復号を行う。各処理の詳細については追って説明する。
【0029】
ところで、本実施の形態における画像形成装置20では、画像形成装置20を利用するユーザーがICカードをICカードリーダー10に挿入するだけでは、ユーザーはまだ未認証状態であり、画像処理装置20の利用は不可能な状態にある。次に、ユーザーがPINを操作パネル3から入力し、ICカード側で正しく照合された場合に、ユーザーが認証された状態となり、画像形成装置20の利用が可能な状態となる。一方、ICカードでも、同様にユーザーの確認状態が管理され、ユーザーのPINが正しく照合されまでは、ユーザー未確認状態であり、ICカード内の秘密鍵の利用が不可能な状態となる。この状態は、ICカードの秘密鍵の利用が制限されているという意味でブロック状態とも呼ばれる。さらに、ICカードでPINが正しく照合され、ユーザー確認済み状態となると、ICカードの秘密鍵が利用可能な状態となる。この状態は、ICカードの秘密鍵の利用の制限が解除された状態という意味でアンブロック状態とも呼ばれる。このように、画像処理装置20のユーザー認証状態とICカードのユーザー確認状態は独立に制御されている。
【0030】
ユーザー認証部21は、ユーザー認証を行うことで、画像形成装置20を当該ユーザーの認証済み状態に設定し、ICカードを当該ユーザーの確認済み状態に設定する。これに対し、画像形成装置20の認証済み状態を未認証状態に、ICカードの確認済み状態を未確認状態に設定変更するのは、一般にユーザー操作によりログアウトが明示的に指示された場合、あるいはICカードがICカードリーダー10から抜去されることによる自動ログアウトした場合であるが、本実施の形態におけるユーザー確認状態リセット部24は、秘密鍵処理完了検知部23により秘密鍵処理の完了が検知された時点で、ユーザー認証に伴い設定された当該ユーザーのICカードの確認済み状態を未確認状態に変更する。抜取り許可通知部25は、秘密鍵処理完了検知部23により秘密鍵処理の完了が検知された時点で、秘密鍵処理完了を認証されているユーザーに通知することで、ICカードが抜取り可能であることを通知する。
【0031】
画像形成装置20における各構成要素21〜25は、画像形成装置20に搭載されたコンピュータと、コンピュータに搭載されたCPU1で動作するプログラムとの協調動作により実現される。
【0032】
また、本実施の形態で用いるプログラムは、通信手段により提供することはもちろん、CD−ROMやDVD−ROM等のコンピュータ読み取り可能な記録媒体に格納して提供することも可能である。通信手段や記録媒体から提供されたプログラムはコンピュータにインストールされ、コンピュータのCPU1がインストールプログラムを順次実行することで各種処理が実現される。
【0033】
次に、本実施の形態における秘密鍵処理を含むデータ処理の実行手順について図3に示したフローチャートを用いて説明する。
【0034】
ステップ110において、画像形成装置20を使用したいユーザーが所有するICカードをICカードリーダー10に差し込んだ後、操作パネル3に表示された所定のログイン画面からPINを入力する。ユーザー認証部21は、入力されたPINをICカードへ送ることで当該ユーザーの認証を依頼する。ICカードでは、送られてきたPINに基づき内部に存在するユーザー認証用アプリケーションがユーザー認証を実行し、その認証結果をユーザー認証部21へ返す。ユーザー認証部21は、その認証結果に従って次のように処理する。すなわち、認証が成功していれば、ユーザー認証部21は、当該ユーザーによる画像形成装置20の利用を許可し、画像形成装置20をユーザー認証済み状態に設定し、ICカードのユーザー確認状態を当該ユーザーの確認済み状態に設定する。なお、ここで設定されるユーザー確認状態は、ICカードにおいて保持されるので、ユーザー認証部21は、確認済み状態の設定をICカードに要求する。一方、認証が失敗していれば、当該ユーザーによる画像形成装置20の利用を禁止する。なお、ユーザー認証前にICカードにおいて保持されるユーザー確認状態は未確認状態なので、ユーザー認証部21は、未確認状態にあえて設定する必要はない。
【0035】
ステップ120において、認証されたユーザーがスキャン文書にデジタル署名を付加していずれかのユーザーに送信したいとする。この場合、ユーザーは、原稿文書のスキャンとデジタル署名を、操作パネル3に表示された所定の操作画面から指示し、原稿文書をスキャナ4にセットした後スタートボタンを押下する。なお、この押下操作によって、ユーザーは、画像形成装置20によるデータ処理が終了するまで、画像形成装置20の前で待っている必要がない。従って、データ処理が長時間要することを把握しているユーザーは、画像形成装置20から離れ、自分の席に戻り、パーソナルコンピュータ(PC)等で実現されるユーザー端末装置14を使用して他の業務を行う。
【0036】
スタートボタンの押下により、画像形成装置20におけるデータ処理部22は、署名付き電子文書生成処理を開始する。この例における秘密鍵処理はデジタル署名に相当する。従って、電子文書生成処理が開始され、原稿文書をスキャナ4により読み取ることでスキャン画像が生成されると、デジタル署名処理部26は、スキャン画像からダイジェストを生成し、秘密鍵を用いてデジタル署名を生成する。但し、本実施の形態では、ICカードから秘密鍵を読み出せないので、デジタル署名処理部26は、生成したダイジェストをICカードへ送ってデジタル署名を依頼する。デジタル署名は、原稿文書の各頁単位に行うか、あるいは、全頁をまとめて最後に行うことができる。ICカードでは、送られてきたダイジェストを内部で保持する秘密鍵を用いて暗号化することでデジタル署名を生成し、そのデジタル署名をデジタル署名処理部26へ返す。データ処理部22は、ICカードから送られてきたデジタル署名を、ダイジェストを生成したスキャン画像(電子文書)に付加し、ユーザーにより指定された宛先へ送信する。なお、この文書データ送信は、その都度行わなくても全ての電子文書にデジタル署名が付加されるのを待ってまとめて行うようにしてもよい。
【0037】
以上の秘密鍵処理は、デジタル署名を付加すべきスキャン画像全てに対して繰り返し行われることになるが、以上説明したように、デジタル署名の生成には、秘密鍵がその都度必要であることから、ユーザーは、このデジタル署名が完了するまでICカードをICカードリーダー10から抜き取ることができない。秘密鍵処理完了検知部23は、このデータ処理部22が実行中のデータ処理においてデジタル署名が完了するまで常時監視している(ステップ130でN)。そして、秘密鍵処理完了検知部23が最後のスキャン画像(ページ)に対して付加するデジタル署名の生成が終了したことにより秘密鍵処理が完了したことを検知すると(ステップ130でY)、ユーザー確認状態リセット部24は、ユーザー認証に伴い設定されたICカードの当該ユーザーの確認済み状態を未確認状態にリセットする(ステップ140)。より詳細には、当該ユーザーのユーザー確認状態は、ICカードにて保持されているので、ユーザー確認状態リセット部24は、確認済み状態の設定を未確認状態に変更するようICカードに要求する。
【0038】
また、秘密鍵処理の完了が検知された時点で、抜取り許可通知部25は、秘密鍵処理が完了したことによってICカードが抜き取れる旨を、認証されているユーザーに通知する(ステップ150)。なお、通知先は、この処理の開始時に指示したり、画像形成装置20に予め設定された通知先をそのまま利用したりすればよい。本実施の形態では、当該ユーザーが使用するユーザー端末装置14や携帯電話への電子メールによる通知を想定しているが、操作パネル3へ表示するようにしてもよい。この場合の通知先は操作パネル3となる。電子メール等により通知を受けたユーザーは、この通知内容を参照することで画像形成装置20まで移動し、ICカードをICカードリーダー10から抜去する。
【0039】
このように、秘密鍵処理の完了をユーザーに知らせることができるので、従来と比較してICカードを手元から離れた状態を短期間にすることができる。
【0040】
ここで、前述した処理の流れに沿って画像形成装置20が制御するICカードのユーザー確認状態について図4を用いて確認する。
【0041】
図4A〜Cは、ユーザー操作またはデータ処理に伴い発生するイベントと、画像形成装置20が制御するICカードのユーザー確認状態と、第三者により不正利用される可能性のある期間(不正可能期間)との関係を概念的に示した図であり、図4Aは従来における関係、図4Bは本実施の形態における関係をそれぞれ示した図である。本実施の形態の特徴をより明確にするために、最初に図4Aを用いて従来における画像形成装置20が制御するICカードのユーザー確認状態の遷移について説明する。
【0042】
ユーザーがICカードリーダー10にICカードを挿着し、PINを入力することによってユーザー認証されると、この時点でICカードは当該ユーザーの確認済み状態になることは前述したとおりである。ここで、スタートボタンの押下により、署名付き電子文書生成処理が実行され、文書スキャンが開始されることになるが、従来においては、デジタル署名が完了したことによりICカードに記憶された秘密鍵が不要になった状態でもICカードはICカードリーダー10に挿着されたままであり、ICカードのユーザー確認済み状態がリセットされないので、第三者による不正利用が可能な状態である。つまり、画像形成装置20から離れた認証済みのユーザーが戻ってきてICカードの抜去による自動ログアウトが実施される前に、不正な第三者が画像形成装置20を操作することによってICカードに記憶された秘密鍵を用いてデジタル署名等の不正処理を行うことが可能である。つまり、従来においては、デジタル署名完了からログアウトされるまでの間が、不正利用が可能な期間として存在してしまう。
【0043】
これに対し、本実施の形態においては、デジタル署名が完了したことによりICカードに記憶された秘密鍵が不要になった時点で、画像形成装置20がICカードのユーザー確認状態を確認済み状態から未確認状態に設定変更する。本実施の形態によれば、図4Bに示したようにログアウトされるのを待たずにデジタル署名完了(秘密鍵処理終了)時点でICカードの確認済み状態を未確認状態にリセットするようにしたので、不正利用が可能な期間を消失することができる。
【0044】
なお、PIN入力されてからデジタル署名が完了するまでの間、認証されたユーザーが画像形成装置20から離れることで、例えば実行中のデータ処理のキャンセル、データ処理キャンセル後に他のデータ処理の不正実行、またICカードの持ち逃げ等の不正が行われる可能性がある。しかしながら、このような不正行為は、アウトプット(署名付き電子文書)が不完全であることなどによって不正利用を容易に発見することができる。
【0045】
以上では、データ処理として、署名付き電子文書生成処理を実施した場合の例を示した。続いて、他の例として、暗号化された電子文書を復号して印刷するというデータ処理について説明するが、この処理においても同様に、不正利用を極力回避することができる。この処理について上記と同じく図3に示したフローチャートを用いて説明する。なお、同じ処理は適宜省略して説明する。ここで、電子文書は、ユーザー端末装置14などで、乱数により生成したデータ暗号鍵で電子文書を暗号化し、そのデータ暗号化鍵をユーザーの公開鍵を使って暗号化した暗号化されたデータ暗号鍵と共に暗号化文書となる。この暗号化文書は、当該ユーザーの秘密鍵によってのみ復号化することができる。
【0046】
ユーザー認証後(ステップ110)、認証されたユーザーが保有している暗号化文書を印刷したいとする。この場合、ユーザーは、印刷対象の暗号化文書を、操作パネル3に表示された所定の操作画面から指示し、プリントボタンを押下する。なお、この押下操作によって、ユーザーは、画像形成装置20によるデータ処理が終了するまで、画像形成装置20の前で待っている必要がないので、上記例の同様に画像形成装置20から離れるものとする。
【0047】
プリントボタンの押下により、画像形成装置20におけるデータ処理部22は、印刷処理を開始する。この例における秘密鍵処理は電子文書の復号に相当する。従って、復号処理部27は、暗号化文書に付加されている暗号化されたデータ暗号鍵を、秘密鍵を用いて復号する。但し、本実施の形態では、ICカードから秘密鍵を読み出せないので、復号処理部27は、暗号化されたデータ暗号鍵をICカードへ送って復号を依頼する。ICカードでは、送られてきたデータ暗号鍵を内部で保持する秘密鍵を用いて復号し、その復号により得られるデータ復号鍵を復号処理部27へ返す。データ処理部22は、送られてきたデータ復号鍵を用いて暗号化文書を復号することで平文を生成して、プリンタエンジン6を動作させて印刷する。なお、この印刷は、その都度行わなくても全ての暗号化文書が平文に復号されるのを待ってまとめて行うようにしてもよい。
【0048】
この例では、暗号鍵の復号のために秘密鍵は1回だけ利用されることになるが、秘密鍵処理完了検知部23が暗号鍵の復号完了を検知すると(ステップ130でY)、ユーザー確認状態リセット部24は、ユーザー認証に伴い設定されたICカードにおける当該ユーザーの確認済み状態を未確認状態にリセットする(ステップ140)。そして、抜取り許可通知部25は、秘密鍵処理が完了したことによってICカードが取り外せる旨を認証されているユーザーに通知する(ステップ150)。
【0049】
なお、上記例におけるデジタル署名は、各ページに対して行う必要があるため秘密鍵処理の完了に相対的に長い時間要するのに対し、この例における秘密鍵を用いた復号は、1回だけ実施されればよいため相対的に早いうちに(ユーザーが画像形成装置20から離れる前に)完了する可能性が高い。従って、ステップ150における通知は、遠隔地にいるユーザーへの通知に好適な電子メールを用いるよりも操作パネル3に表示することが好適である。
【0050】
本実施の形態によれば、ICカードに記憶された秘密鍵を用いた処理が完了した時点で、ユーザー認証に伴いICカードに設定された当該ユーザーの確認済み状態を未確認状態に変更するようにしたので、画像形成装置20にICカードが残された状態においてもICカードに記憶された秘密鍵の不正利用を、より確実に防止することができる。
【0051】
なお、本実施の形態では、画像形成装置20がICカードのユーザー確認状態を未確認状態にリセットすることによって秘密鍵の不正利用を防止するようにした。ただ、秘密鍵処理の完了を通知することだけによっても、画像形成装置20からICカードが抜去可能であることを当該ユーザーに即座に知らせることができる。これにより、当該ユーザーは、最適なタイミングで画像形成装置20に戻ることができるので、秘密鍵処理完了の通知手段を設けていない従来と比較して、秘密鍵の不正利用の防止効果を奏することができる。
【0052】
実施の形態2.
図5は、本実施の形態における画像形成装置20のブロック構成図である。なお、本実施の形態の説明に必要でない構成要素については図から省略した。画像形成装置20は、実施の形態1と同じユーザー認証部21、秘密鍵処理完了検知部23及び抜取り許可通知部25に加えて、ジョブ実行部31、ジョブ管理部32及び表示制御部33を有している。ジョブ実行部31は、上記実施の形態1と同様の構成要素であるが、ここでは実行するデータ処理をジョブとして実行することを明確にするためにジョブ実行部とした。ジョブ実行部31により実行されるジョブにおいて秘密鍵処理は実行される。ジョブ管理部32は、ジョブ実行部31におけるジョブの実行管理を行うが、ジョブ実行部31による秘密鍵処理を含むジョブの実行が開始された時点で新たなジョブの実行を禁止する手段として、ジョブ起動禁止設定部35及び表示切替指示部36を有している。このうち、ジョブ起動禁止設定部35は、秘密鍵処理を含むジョブの実行が開始された時点で、ジョブ起動要求があった場合でも新たなジョブを起動しない起動禁止モードに設定する。この起動禁止モードの設定の有無は、例えばフラグ情報として内部に保持しておけばよい。ジョブ管理部32は、この起動禁止モードの設定に応じてジョブの起動制御を行う。また、表示切替指示部36は、秘密鍵処理を含むジョブの実行が開始された時点で、操作パネル3の表示を不正操作防止用画面に切り替えるよう表示制御部33に指示する。表示制御部33は、操作パネル3の表示制御を行うが、前述したように、表示切替指示部36からの指示に応じて不正操作防止用画面を操作パネル3に表示する。
【0053】
画像形成装置20における各構成要素21,25,31〜33は、画像形成装置20に搭載されたコンピュータと、コンピュータに搭載されたCPU1で動作するプログラムとの協調動作により実現される。
【0054】
また、本実施の形態で用いるプログラムは、通信手段により提供することはもちろん、CD−ROMやDVD−ROM等のコンピュータ読み取り可能な記録媒体に格納して提供することも可能である。通信手段や記録媒体から提供されたプログラムはコンピュータにインストールされ、コンピュータのCPU1がインストールプログラムを順次実行することで各種処理が実現される。
【0055】
次に、本実施の形態における秘密鍵処理を含むジョブの実行手順について図6に示したフローチャートを用いて説明する。なお、実施の形態1と同じ処理内容には同じステップ番号を付け、適宜説明を省略する。
【0056】
ユーザーが所有するICカードをICカードリーダー10に差し込んだ後、操作パネル3に表示されたログイン画面からPINを入力すると、ユーザー認証部21は、このユーザー操作に応じてユーザー認証を行う(ステップ110)。ここで、認証されたユーザーがスキャン文書にデジタル署名を付加していずれかのユーザーに送信したいとする。この場合、ユーザーは、原稿文書のスキャンとデジタル署名を操作パネル3の所定の操作画面から指示し、原稿文書をスキャナ4にセットした後スタートボタンを押下する。
【0057】
スタートボタンの押下により、画像形成装置20におけるジョブ管理部32は、ジョブの実行をジョブ実行部31に指示する(ステップ210)。ジョブ実行部31は、この指示に応じてジョブを開始する。このジョブでは、原稿文書をスキャナ4により読み取ることで、デジタル署名が付加されるスキャン画像を生成する。
【0058】
以上のようにして、ジョブの実行が開始されると、ジョブ起動禁止設定部35は、起動禁止モードに設定する(ステップ220)。また、表示制御部33は、表示切替指示部36からの指示に応じて操作パネル3の表示を不正操作防止用画面に切替表示する(ステップ230)。
【0059】
その後、秘密鍵処理完了検知部23は、実行中のジョブにおいてデジタル署名が完了するまで常時監視している(ステップ130でN)。そして、秘密鍵処理完了検知部23が最後のスキャン画像(ページ)に対して付加するデジタル署名の生成が終了したことにより秘密鍵処理が完了したことを検知すると(ステップ130でY)、抜取り許可通知部25は、秘密鍵処理が完了したことによってICカードが抜き取れる旨を、認証されているユーザーに通知する(ステップ150)。
【0060】
本実施の形態においては、以上説明したようにジョブを実行するが、ログアウトされる前に新たなジョブの起動要求があると、ジョブ管理部32は、起動禁止モードに設定されていることを認識してジョブを新たに実行しない。
【0061】
図4Cは、本実施の形態においてユーザー操作またはデータ処理に伴い発生するイベントと、画像形成装置20が制御するICカードのユーザー確認状態と、第三者により不正利用される可能性のある期間(不正可能期間)との関係を概念的に示した図であるが、ここで、この図4Cを用いて前述した処理の流れに沿って画像形成装置20が制御するICカードのユーザー確認状態について確認する。
【0062】
ユーザーがICカードリーダー10にICカードを挿着し、PINを入力することによってユーザー認証されると、この時点でICカードは当該ユーザーの確認済み状態になることは前述したとおりである。そして、ジョブが開始されると、上記のようにジョブ起動禁止モードに設定され、またこれと同時に不正操作防止用画面が表示される。なお、本実施の形態におけるジョブでは、実行開始と共に原稿文書のスキャンが開始されることから、図4Cにおいては、図4A,Bとの比較の関係上、ジョブの実行開始を「スキャン開始」と記述した。そして、ICカードの抜去による自動ログアウトに応じて画像形成装置20はICカードのユーザー確認状態を確認済み状態から未確認状態に設定変更する。なお、実施の形態1と組み合わせてデジタル署名が完了したことによりICカードに記憶された秘密鍵が不要になった時点で、画像形成装置20がICカードのユーザー確認状態を未確認状態にリセットするようにしてもよいが、ここでは、本実施の形態の特徴が明確になるように組み合わせない構成とした。
【0063】
まず、図4Cから明らかなように、本実施の形態では、ジョブ開始時点で新たなジョブが起動できないように設定した。従って、第三者が新たなジョブを起動してICカードリーダー10に挿着されたICカードを不正利用しようとしても、これを未然に防止することができる。
【0064】
また、本実施の形態では、ジョブの起動禁止と合わせて操作パネル3の表示を不正操作防止用画面に切り替えるようにした。この不正操作防止用画面というのは、操作パネル3の表示を見た第三者に、画像形成装置20が今現在、新たなジョブが起動できない状態であると勘違いさせるような表示画面である。例えば、画像形成装置20がユーザー未認証状態やICカードのユーザー確認状態が未確認状態であると勘違いさせるために、ログアウトしている状態を示すログアウト画面あるいはPIN入力画面等を画面表示する。あるいは入力操作ボタンのない画面でもよい。更に操作パネル3に何も表示されていない状態や操作を何ら受け付けないようにしてもよい。このように、カモフラージュ的な画面を操作パネル3に表示することによって新たなジョブの起動を阻止する。
【0065】
上記実施の形態1では、不正利用が可能な期間を消失することで、第三者による不正利用を防止するようにした。本実施の形態では、不正可能期間を消失するのではなく、新たなジョブの起動を阻止する手段を設けて不正可能期間において不正利用させないようにしたことを特徴としている。
【0066】
なお、上記各実施の形態においては、説明の便宜上、指示されたデータ処理(またはジョブ)に秘密鍵処理が含まれており、また秘密鍵を1回若しくは一連の利用のみであることを前提としたが、指示された処理(またはジョブ)に秘密鍵処理が含まれているか否か、また秘密鍵処理が完了したか否かは、データ処理(またはジョブ)の指示内容等から事前に認識できるようにしておく。
【0067】
また、本実施の形態では、情報処理装置として画像形成装置20を用い、ICカードに記憶された秘密鍵をデジタル署名や暗号化文書の印刷に利用する場合を例にして説明した。ただ、本発明は、汎用的なコンピュータや上記説明した画像形成装置20のようなコンピュータ搭載のデバイスにも適用でき、情報処理装置として画像形成装置20に限定されるものではない。また、実行する処理内容や情報処理装置の構成によって、前述した実施の形態1,2を組み合わせて適用することも可能である。
【図面の簡単な説明】
【0068】
【図1】本発明に係る情報処理装置の一実施の形態である画像形成装置のハードウェア構成図である。
【図2】実施の形態1における画像形成装置のブロック構成図である。
【図3】実施の形態1における秘密鍵処理を含むデータ処理を示したフローチャートである。
【図4A】従来において、ICカードを所有するユーザーの画像形成装置に対するICカードのユーザー確認状態と、第三者により不正利用される可能性のある期間とを概念的に示した図である。
【図4B】実施の形態1において、ICカードを所有するユーザーの画像形成装置に対するICカードのユーザー確認状態と、第三者により不正利用される可能性のある期間とを概念的に示した図である。
【図4C】実施の形態2において、ICカードを所有するユーザーの画像形成装置に対するICカードのユーザー確認状態と、第三者により不正利用される可能性のある期間とを概念的に示した図である。
【図5】実施の形態2における画像形成装置のブロック構成図である。
【図6】実施の形態2における秘密鍵処理を含むジョブを実行するときの処理を示したフローチャートである。
【符号の説明】
【0069】
1 CPU、2 アドレスデータバス、3 操作パネル、4 スキャナ、5 ハードディスクドライブ(HDD)、6 プリンタエンジン、7 ネットワークインタフェース(I/F)、8 RAM、9 ROM、10 ICカードリーダー、12 ネットワーク、14 ユーザー端末装置、20 画像形成装置、21 ユーザー認証部、22 データ処理部、23 秘密鍵処理完了検知部、24 ユーザー確認状態リセット部、25 許可通知部、26 デジタル署名処理部、27 復号処理部、31 ジョブ実行部、32 ジョブ管理部、33 表示制御部、35 ジョブ起動禁止設定部、36 表示切替指示部。
【技術分野】
【0001】
本発明は、ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体を利用して処理を実行する情報処理装置及び情報処理プログラムに関する。
【背景技術】
【0002】
近年では、セキュリティ対策として、個人の秘密鍵を格納したIC(Integrated Circuit)カード(スマートカード)を利用する場合が少なくない。例えば、ユーザーが画像形成装置を利用する場合、画像形成装置搭載のセキュリティアプリケーションは、ユーザーにICカードを挿着させ、PIN(Personal Identification Number)を入力させる。これにより、画像形成装置は、ユーザー認証を行うと共にICカードに格納された秘密鍵をスキャン文書の電子署名や暗号化されている電子文書(暗号化文書)の復号等に利用することができる。
【0003】
ところで、ICカードには、暗号プロセッサ搭載のICカードと暗号プロセッサが搭載されていないICカードの2種類のタイプがある。ICカードは、秘密鍵やPINの記憶手段を有しているが、暗号プロセッサ搭載のICカードは、更に画像形成装置等のデバイスからの指示に応じてユーザー認証や暗号化等の機能を実現するソフトウェア及びこのソフトウェアを実行するプロセッサが搭載されたICカードである。そして、記憶手段に記憶された秘密鍵等のデータは、外部からの読出しが禁止されている。
【0004】
これに対し、暗号プロセッサが搭載されていないICカードは、暗号プロセッサが搭載されていない、メモリのみのICカードである。従って、暗号プロセッサを搭載していないICカードを利用する場合、ICカードに格納された秘密鍵は、デバイスから読み出されて利用されることになる(例えば、特許文献1)。
【0005】
このように、ICカードの種類によってICカードに格納された秘密鍵の利用形態が異なってくるが、暗号プロセッサが搭載されていないICカードを利用すると、ICカードが取り外された後でも秘密鍵がデバイスのメモリ上に残されたままになる可能性があるため、セキュリティ上必ずしも万全であるとは言えない。
【0006】
これに対し、暗号プロセッサ搭載のICカードを利用すると、ICカードは、デバイスからの指示に応じて秘密鍵を利用した暗号化などの処理を内部にて実施し、その結果をデバイスへ返信することになる。つまり、秘密鍵は、外部へ読み出されることがないので、セキュリティの強化を図る上でより効果的である。
【0007】
【特許文献1】特開2003−224728号公報
【特許文献2】特開2002−259305号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
ただ、秘密鍵がICカードの内部のみに存在するということは、デバイスにおいて秘密鍵を利用する処理が実行されている間、ICカードをアクセス可能な状態のままデバイスに挿着しておかなければならないことになる。例えば、大量のページの原稿をスキャンしてデジタル署名を付加してから電子文書を送信するなど、画像形成装置における処理時間が長くなることが明らかな場合、ユーザーは、ICカードを画像形成装置に挿着し、ログインした状態のまま画像形成装置から離れて他の業務を行うことが容易に想像できる。この例のように、ユーザー認証された状態のICカードが画像形成装置に挿着されたままにしておくと、秘密鍵が第三者により不正利用されてしまう可能性が生じてくる。このように、ICカードから秘密鍵の読出しを禁止することによってセキュリティの強化を図る一方で、ICカードの利用形態によっては、個人所有のICカードが不正利用されてしまう可能性が生じてくる。
【0009】
本発明は、暗号プロセッサ搭載の認証媒体の不正利用をより確実に防止することを目的とする。
【課題を解決するための手段】
【0010】
以上のような目的を達成するために、本発明に係る情報処理装置は、ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行うことで、当該ユーザーによる装置の利用を可能とする確認済み状態に設定するユーザー認証手段と、前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むデータ処理を実行するデータ処理手段と、前記データ処理手段による秘密鍵処理の実行完了を検知する処理完了検知手段と、前記処理完了検知手段により秘密鍵処理の完了が検知されたことに基づいて、ユーザー認証に伴い設定された当該ユーザーの確認済み状態をユーザー未確認状態に変更する確認状態変更手段とを有することを特徴とする。
【0011】
また、前記データ処理手段は、秘密鍵処理として、前記認証媒体に記憶された秘密鍵を用いて、入力された電子文書にデジタル署名を行う署名処理部を有することを特徴とする。
【0012】
また、前記データ処理手段は、秘密鍵処理として、前記認証媒体に記憶された秘密鍵を用いて、入力された暗号化電子文書の復号を行う復号処理部を有することを特徴とする。
【0013】
また、前記処理完了検知手段により秘密鍵処理の完了が検知されたことに基づいて、秘密鍵処理完了を当該ユーザーに通知する通知手段を有することを特徴とする。
【0014】
本発明に係る情報処理装置は、ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行うことで、当該ユーザーによる装置の利用を可能とする確認済み状態に設定するユーザー認証手段と、前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むデータ処理を実行するデータ処理手段と、前記データ処理手段による秘密鍵処理の実行完了を検知する処理完了検知手段と、前記処理完了検知手段により秘密鍵処理の完了が検知されたことに基づいて、秘密鍵処理完了を当該ユーザーに通知する通知手段とを有することを特徴とする。
【0015】
本発明に係る情報処理装置は、ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行うことで、当該ユーザーによる装置の利用を可能とする確認済み状態に設定するユーザー認証手段と、前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むジョブを実行するジョブ実行手段と、前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、新たなジョブの実行を禁止するジョブ実行禁止手段とを有することを特徴とする。
【0016】
また、前記ジョブ実行禁止手段は、前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、新たなジョブの起動を阻止することを特徴とする。
【0017】
また、ユーザーインタフェース手段を有し、前記ジョブ実行禁止手段は、前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、前記ユーザーインタフェース手段への表示を不正操作防止用画面に切り替える表示切替指示部とを有することを特徴とする。
【0018】
また、前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、ジョブ実行開始を当該ユーザーに通知する通知手段を有することを特徴とする。
【0019】
本発明に係る情報処理プログラムは、コンピュータに、ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行わせるとともに当該ユーザーによる前記コンピュータの利用を可能とする確認済み状態に設定させ、前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むデータ処理を実行させ、秘密鍵処理の実行完了を検知させ、秘密鍵処理の完了が検知されたことに基づいて、ユーザー認証に伴い設定された当該ユーザーの確認済み状態をユーザー未確認状態に変更させることを特徴とする。
【0020】
本発明に係る情報処理プログラムは、コンピュータに、ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行わせるとともに当該ユーザーによる前記コンピュータの利用を可能とする確認済み状態に設定させ、前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むジョブを実行させ、秘密鍵処理を含むジョブの実行が開始されたことに基づいて、新たなジョブの実行を禁止させることを特徴とする。
【発明の効果】
【0021】
本発明によれば、認証媒体に記憶された秘密鍵を用いた処理が完了したことに基づいて、ユーザー認証に伴い設定された当該ユーザーの確認済み状態をユーザー未確認状態に変更するようにしたので、情報処理装置に認証媒体が残された状態においても認証媒体に記憶された秘密鍵の不正利用を、より確実に防止することができる。
【0022】
また、認証媒体に記憶された秘密鍵を用いた処理が完了したことに基づいて、認証されたユーザーに秘密鍵の利用完了を通知するようにしたので、情報処理装置からの認証媒体が抜去可能であることを当該ユーザーに知らせることができる。
【0023】
また、ジョブの実行が開始されたことに基づいて、新たなジョブの実行を禁止することができるので、情報処理装置に認証媒体が残された状態においても認証媒体に記憶された秘密鍵の不正利用を、より確実に防止することができる。
【発明を実施するための最良の形態】
【0024】
以下、図面に基づいて、本発明の好適な実施の形態について説明する。
【0025】
実施の形態1.
図1は、本発明に係る情報処理装置の一実施の形態である画像形成装置のハードウェア構成図である。画像形成装置は、情報処理装置であるコンピュータを内部に搭載した画像処理装置であり、本実施の形態では、コピー機能、スキャナ機能等各種機能を搭載した複合機を想定している。図1において、CPU1は、リードオンリメモリ(ROM)9に格納されたプログラムにしたがってスキャナ4やプリンタエンジン6等本装置に搭載された各種機構の動作制御を行う。アドレスデータバス2は、CPU1の制御対象となる各種機構と接続してデータの通信を行う。操作パネル3は、ユーザーからの指示の受け付け、情報の表示を行うユーザーインタフェース手段である。スキャナ4は、ユーザーがセットした原稿を読み取り、電子データとしてHDD(Hard Disk Drive)25等に蓄積する。HDD25は、スキャナ4を使用して読み取った電子文書などを格納する。プリンタエンジン6は、CPU1で実行される制御プログラムからの指示に従い出力用紙上に画像を印字する。ネットワークインタフェース(I/F)7は、ネットワーク12を接続し、ユーザー端末装置14との間で電子文書等の送受信、ブラウザ経由による本装置へのアクセスなどに利用される。ランダムアクセスメモリ(RAM)8は、プログラム実行時のワークメモリや電子データ送受信時の通信バッファとして利用される。ROM9は、本装置の制御や電子データの暗号、電子データの送受信に関する各種プログラムが格納されている。各種プログラムが実行されることで後述する各構成要素が所定の処理機能を発揮する。ICカードリーダー10は、挿着されたICカードとの間でデータの送受信を行う。
【0026】
ここで、本実施の形態においてユーザー認証に用いる認証媒体は、当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体であり、前述した暗号プロセッサ搭載のICカードの利用を想定している。これに伴い、画像形成装置20には、ICカードリーダー10が接続されることになる。ここで、プロセッサというのは、プログラムの実行や各種の演算などを集中的に行なうチップのことをいうが、認証媒体に搭載されたプロセッサは、特に認証媒体に記憶されたソフトウェアを実行する。また、ICカードは、ICが組み込まれたカードである。ところで、スマートカードとは、CPU,メモリなどの半導体を組み込んだプラスティックカードのことを言うが、同じ認証媒体をICカードまたはスマートカードと称する場合もある。本実施の形態では、これらをICカードで総称することにする。なお、現在において暗号プロセッサを搭載してユーザー認証に用いられる認証媒体としては、ICカードが主流を成していると考えられるが、例えばUSB(Universal Serial Memory)メモリ等の記憶媒体に暗号プロセッサが搭載されユーザー認証に用いられるようになった場合には、この記憶媒体も本発明の認証媒体に該当する。
【0027】
図2は、本実施の形態における画像形成装置20のブロック構成図である。なお、本実施の形態の説明に必要でない構成要素については図から省略した。
【0028】
画像形成装置20は、ユーザー認証部21、データ処理部22、秘密鍵処理完了検知部23、ユーザー確認状態リセット部24及び抜取り許可通知部25を有している。ユーザー認証部21は、ICカードがICカードリーダー10に挿着された状態でユーザー認証を行う。データ処理部22は、ユーザーから指示されたデータ処理を実行するが、本実施の形態においては、ICカードに記憶された秘密鍵を利用した処理を実行することになる。本実施の形態では、ICカードに記憶された秘密鍵を利用したデータ処理を、特に秘密鍵処理と称することにした。秘密鍵処理完了検知部23は、データ処理部22が実行している秘密鍵処理の実行完了を検知する。データ処理部22に含まれるデジタル署名処理部26及び復号処理部27は、それぞれ秘密鍵処理を実行する手段として設けられている。このうち、デジタル署名処理部26は、ICカードに記憶された秘密鍵を用いて、入力された電子文書に付加するデジタル署名を生成する。また、復号処理部27は、ICカードに記憶された秘密鍵を用いて、入力された暗号化文書の復号を行う。各処理の詳細については追って説明する。
【0029】
ところで、本実施の形態における画像形成装置20では、画像形成装置20を利用するユーザーがICカードをICカードリーダー10に挿入するだけでは、ユーザーはまだ未認証状態であり、画像処理装置20の利用は不可能な状態にある。次に、ユーザーがPINを操作パネル3から入力し、ICカード側で正しく照合された場合に、ユーザーが認証された状態となり、画像形成装置20の利用が可能な状態となる。一方、ICカードでも、同様にユーザーの確認状態が管理され、ユーザーのPINが正しく照合されまでは、ユーザー未確認状態であり、ICカード内の秘密鍵の利用が不可能な状態となる。この状態は、ICカードの秘密鍵の利用が制限されているという意味でブロック状態とも呼ばれる。さらに、ICカードでPINが正しく照合され、ユーザー確認済み状態となると、ICカードの秘密鍵が利用可能な状態となる。この状態は、ICカードの秘密鍵の利用の制限が解除された状態という意味でアンブロック状態とも呼ばれる。このように、画像処理装置20のユーザー認証状態とICカードのユーザー確認状態は独立に制御されている。
【0030】
ユーザー認証部21は、ユーザー認証を行うことで、画像形成装置20を当該ユーザーの認証済み状態に設定し、ICカードを当該ユーザーの確認済み状態に設定する。これに対し、画像形成装置20の認証済み状態を未認証状態に、ICカードの確認済み状態を未確認状態に設定変更するのは、一般にユーザー操作によりログアウトが明示的に指示された場合、あるいはICカードがICカードリーダー10から抜去されることによる自動ログアウトした場合であるが、本実施の形態におけるユーザー確認状態リセット部24は、秘密鍵処理完了検知部23により秘密鍵処理の完了が検知された時点で、ユーザー認証に伴い設定された当該ユーザーのICカードの確認済み状態を未確認状態に変更する。抜取り許可通知部25は、秘密鍵処理完了検知部23により秘密鍵処理の完了が検知された時点で、秘密鍵処理完了を認証されているユーザーに通知することで、ICカードが抜取り可能であることを通知する。
【0031】
画像形成装置20における各構成要素21〜25は、画像形成装置20に搭載されたコンピュータと、コンピュータに搭載されたCPU1で動作するプログラムとの協調動作により実現される。
【0032】
また、本実施の形態で用いるプログラムは、通信手段により提供することはもちろん、CD−ROMやDVD−ROM等のコンピュータ読み取り可能な記録媒体に格納して提供することも可能である。通信手段や記録媒体から提供されたプログラムはコンピュータにインストールされ、コンピュータのCPU1がインストールプログラムを順次実行することで各種処理が実現される。
【0033】
次に、本実施の形態における秘密鍵処理を含むデータ処理の実行手順について図3に示したフローチャートを用いて説明する。
【0034】
ステップ110において、画像形成装置20を使用したいユーザーが所有するICカードをICカードリーダー10に差し込んだ後、操作パネル3に表示された所定のログイン画面からPINを入力する。ユーザー認証部21は、入力されたPINをICカードへ送ることで当該ユーザーの認証を依頼する。ICカードでは、送られてきたPINに基づき内部に存在するユーザー認証用アプリケーションがユーザー認証を実行し、その認証結果をユーザー認証部21へ返す。ユーザー認証部21は、その認証結果に従って次のように処理する。すなわち、認証が成功していれば、ユーザー認証部21は、当該ユーザーによる画像形成装置20の利用を許可し、画像形成装置20をユーザー認証済み状態に設定し、ICカードのユーザー確認状態を当該ユーザーの確認済み状態に設定する。なお、ここで設定されるユーザー確認状態は、ICカードにおいて保持されるので、ユーザー認証部21は、確認済み状態の設定をICカードに要求する。一方、認証が失敗していれば、当該ユーザーによる画像形成装置20の利用を禁止する。なお、ユーザー認証前にICカードにおいて保持されるユーザー確認状態は未確認状態なので、ユーザー認証部21は、未確認状態にあえて設定する必要はない。
【0035】
ステップ120において、認証されたユーザーがスキャン文書にデジタル署名を付加していずれかのユーザーに送信したいとする。この場合、ユーザーは、原稿文書のスキャンとデジタル署名を、操作パネル3に表示された所定の操作画面から指示し、原稿文書をスキャナ4にセットした後スタートボタンを押下する。なお、この押下操作によって、ユーザーは、画像形成装置20によるデータ処理が終了するまで、画像形成装置20の前で待っている必要がない。従って、データ処理が長時間要することを把握しているユーザーは、画像形成装置20から離れ、自分の席に戻り、パーソナルコンピュータ(PC)等で実現されるユーザー端末装置14を使用して他の業務を行う。
【0036】
スタートボタンの押下により、画像形成装置20におけるデータ処理部22は、署名付き電子文書生成処理を開始する。この例における秘密鍵処理はデジタル署名に相当する。従って、電子文書生成処理が開始され、原稿文書をスキャナ4により読み取ることでスキャン画像が生成されると、デジタル署名処理部26は、スキャン画像からダイジェストを生成し、秘密鍵を用いてデジタル署名を生成する。但し、本実施の形態では、ICカードから秘密鍵を読み出せないので、デジタル署名処理部26は、生成したダイジェストをICカードへ送ってデジタル署名を依頼する。デジタル署名は、原稿文書の各頁単位に行うか、あるいは、全頁をまとめて最後に行うことができる。ICカードでは、送られてきたダイジェストを内部で保持する秘密鍵を用いて暗号化することでデジタル署名を生成し、そのデジタル署名をデジタル署名処理部26へ返す。データ処理部22は、ICカードから送られてきたデジタル署名を、ダイジェストを生成したスキャン画像(電子文書)に付加し、ユーザーにより指定された宛先へ送信する。なお、この文書データ送信は、その都度行わなくても全ての電子文書にデジタル署名が付加されるのを待ってまとめて行うようにしてもよい。
【0037】
以上の秘密鍵処理は、デジタル署名を付加すべきスキャン画像全てに対して繰り返し行われることになるが、以上説明したように、デジタル署名の生成には、秘密鍵がその都度必要であることから、ユーザーは、このデジタル署名が完了するまでICカードをICカードリーダー10から抜き取ることができない。秘密鍵処理完了検知部23は、このデータ処理部22が実行中のデータ処理においてデジタル署名が完了するまで常時監視している(ステップ130でN)。そして、秘密鍵処理完了検知部23が最後のスキャン画像(ページ)に対して付加するデジタル署名の生成が終了したことにより秘密鍵処理が完了したことを検知すると(ステップ130でY)、ユーザー確認状態リセット部24は、ユーザー認証に伴い設定されたICカードの当該ユーザーの確認済み状態を未確認状態にリセットする(ステップ140)。より詳細には、当該ユーザーのユーザー確認状態は、ICカードにて保持されているので、ユーザー確認状態リセット部24は、確認済み状態の設定を未確認状態に変更するようICカードに要求する。
【0038】
また、秘密鍵処理の完了が検知された時点で、抜取り許可通知部25は、秘密鍵処理が完了したことによってICカードが抜き取れる旨を、認証されているユーザーに通知する(ステップ150)。なお、通知先は、この処理の開始時に指示したり、画像形成装置20に予め設定された通知先をそのまま利用したりすればよい。本実施の形態では、当該ユーザーが使用するユーザー端末装置14や携帯電話への電子メールによる通知を想定しているが、操作パネル3へ表示するようにしてもよい。この場合の通知先は操作パネル3となる。電子メール等により通知を受けたユーザーは、この通知内容を参照することで画像形成装置20まで移動し、ICカードをICカードリーダー10から抜去する。
【0039】
このように、秘密鍵処理の完了をユーザーに知らせることができるので、従来と比較してICカードを手元から離れた状態を短期間にすることができる。
【0040】
ここで、前述した処理の流れに沿って画像形成装置20が制御するICカードのユーザー確認状態について図4を用いて確認する。
【0041】
図4A〜Cは、ユーザー操作またはデータ処理に伴い発生するイベントと、画像形成装置20が制御するICカードのユーザー確認状態と、第三者により不正利用される可能性のある期間(不正可能期間)との関係を概念的に示した図であり、図4Aは従来における関係、図4Bは本実施の形態における関係をそれぞれ示した図である。本実施の形態の特徴をより明確にするために、最初に図4Aを用いて従来における画像形成装置20が制御するICカードのユーザー確認状態の遷移について説明する。
【0042】
ユーザーがICカードリーダー10にICカードを挿着し、PINを入力することによってユーザー認証されると、この時点でICカードは当該ユーザーの確認済み状態になることは前述したとおりである。ここで、スタートボタンの押下により、署名付き電子文書生成処理が実行され、文書スキャンが開始されることになるが、従来においては、デジタル署名が完了したことによりICカードに記憶された秘密鍵が不要になった状態でもICカードはICカードリーダー10に挿着されたままであり、ICカードのユーザー確認済み状態がリセットされないので、第三者による不正利用が可能な状態である。つまり、画像形成装置20から離れた認証済みのユーザーが戻ってきてICカードの抜去による自動ログアウトが実施される前に、不正な第三者が画像形成装置20を操作することによってICカードに記憶された秘密鍵を用いてデジタル署名等の不正処理を行うことが可能である。つまり、従来においては、デジタル署名完了からログアウトされるまでの間が、不正利用が可能な期間として存在してしまう。
【0043】
これに対し、本実施の形態においては、デジタル署名が完了したことによりICカードに記憶された秘密鍵が不要になった時点で、画像形成装置20がICカードのユーザー確認状態を確認済み状態から未確認状態に設定変更する。本実施の形態によれば、図4Bに示したようにログアウトされるのを待たずにデジタル署名完了(秘密鍵処理終了)時点でICカードの確認済み状態を未確認状態にリセットするようにしたので、不正利用が可能な期間を消失することができる。
【0044】
なお、PIN入力されてからデジタル署名が完了するまでの間、認証されたユーザーが画像形成装置20から離れることで、例えば実行中のデータ処理のキャンセル、データ処理キャンセル後に他のデータ処理の不正実行、またICカードの持ち逃げ等の不正が行われる可能性がある。しかしながら、このような不正行為は、アウトプット(署名付き電子文書)が不完全であることなどによって不正利用を容易に発見することができる。
【0045】
以上では、データ処理として、署名付き電子文書生成処理を実施した場合の例を示した。続いて、他の例として、暗号化された電子文書を復号して印刷するというデータ処理について説明するが、この処理においても同様に、不正利用を極力回避することができる。この処理について上記と同じく図3に示したフローチャートを用いて説明する。なお、同じ処理は適宜省略して説明する。ここで、電子文書は、ユーザー端末装置14などで、乱数により生成したデータ暗号鍵で電子文書を暗号化し、そのデータ暗号化鍵をユーザーの公開鍵を使って暗号化した暗号化されたデータ暗号鍵と共に暗号化文書となる。この暗号化文書は、当該ユーザーの秘密鍵によってのみ復号化することができる。
【0046】
ユーザー認証後(ステップ110)、認証されたユーザーが保有している暗号化文書を印刷したいとする。この場合、ユーザーは、印刷対象の暗号化文書を、操作パネル3に表示された所定の操作画面から指示し、プリントボタンを押下する。なお、この押下操作によって、ユーザーは、画像形成装置20によるデータ処理が終了するまで、画像形成装置20の前で待っている必要がないので、上記例の同様に画像形成装置20から離れるものとする。
【0047】
プリントボタンの押下により、画像形成装置20におけるデータ処理部22は、印刷処理を開始する。この例における秘密鍵処理は電子文書の復号に相当する。従って、復号処理部27は、暗号化文書に付加されている暗号化されたデータ暗号鍵を、秘密鍵を用いて復号する。但し、本実施の形態では、ICカードから秘密鍵を読み出せないので、復号処理部27は、暗号化されたデータ暗号鍵をICカードへ送って復号を依頼する。ICカードでは、送られてきたデータ暗号鍵を内部で保持する秘密鍵を用いて復号し、その復号により得られるデータ復号鍵を復号処理部27へ返す。データ処理部22は、送られてきたデータ復号鍵を用いて暗号化文書を復号することで平文を生成して、プリンタエンジン6を動作させて印刷する。なお、この印刷は、その都度行わなくても全ての暗号化文書が平文に復号されるのを待ってまとめて行うようにしてもよい。
【0048】
この例では、暗号鍵の復号のために秘密鍵は1回だけ利用されることになるが、秘密鍵処理完了検知部23が暗号鍵の復号完了を検知すると(ステップ130でY)、ユーザー確認状態リセット部24は、ユーザー認証に伴い設定されたICカードにおける当該ユーザーの確認済み状態を未確認状態にリセットする(ステップ140)。そして、抜取り許可通知部25は、秘密鍵処理が完了したことによってICカードが取り外せる旨を認証されているユーザーに通知する(ステップ150)。
【0049】
なお、上記例におけるデジタル署名は、各ページに対して行う必要があるため秘密鍵処理の完了に相対的に長い時間要するのに対し、この例における秘密鍵を用いた復号は、1回だけ実施されればよいため相対的に早いうちに(ユーザーが画像形成装置20から離れる前に)完了する可能性が高い。従って、ステップ150における通知は、遠隔地にいるユーザーへの通知に好適な電子メールを用いるよりも操作パネル3に表示することが好適である。
【0050】
本実施の形態によれば、ICカードに記憶された秘密鍵を用いた処理が完了した時点で、ユーザー認証に伴いICカードに設定された当該ユーザーの確認済み状態を未確認状態に変更するようにしたので、画像形成装置20にICカードが残された状態においてもICカードに記憶された秘密鍵の不正利用を、より確実に防止することができる。
【0051】
なお、本実施の形態では、画像形成装置20がICカードのユーザー確認状態を未確認状態にリセットすることによって秘密鍵の不正利用を防止するようにした。ただ、秘密鍵処理の完了を通知することだけによっても、画像形成装置20からICカードが抜去可能であることを当該ユーザーに即座に知らせることができる。これにより、当該ユーザーは、最適なタイミングで画像形成装置20に戻ることができるので、秘密鍵処理完了の通知手段を設けていない従来と比較して、秘密鍵の不正利用の防止効果を奏することができる。
【0052】
実施の形態2.
図5は、本実施の形態における画像形成装置20のブロック構成図である。なお、本実施の形態の説明に必要でない構成要素については図から省略した。画像形成装置20は、実施の形態1と同じユーザー認証部21、秘密鍵処理完了検知部23及び抜取り許可通知部25に加えて、ジョブ実行部31、ジョブ管理部32及び表示制御部33を有している。ジョブ実行部31は、上記実施の形態1と同様の構成要素であるが、ここでは実行するデータ処理をジョブとして実行することを明確にするためにジョブ実行部とした。ジョブ実行部31により実行されるジョブにおいて秘密鍵処理は実行される。ジョブ管理部32は、ジョブ実行部31におけるジョブの実行管理を行うが、ジョブ実行部31による秘密鍵処理を含むジョブの実行が開始された時点で新たなジョブの実行を禁止する手段として、ジョブ起動禁止設定部35及び表示切替指示部36を有している。このうち、ジョブ起動禁止設定部35は、秘密鍵処理を含むジョブの実行が開始された時点で、ジョブ起動要求があった場合でも新たなジョブを起動しない起動禁止モードに設定する。この起動禁止モードの設定の有無は、例えばフラグ情報として内部に保持しておけばよい。ジョブ管理部32は、この起動禁止モードの設定に応じてジョブの起動制御を行う。また、表示切替指示部36は、秘密鍵処理を含むジョブの実行が開始された時点で、操作パネル3の表示を不正操作防止用画面に切り替えるよう表示制御部33に指示する。表示制御部33は、操作パネル3の表示制御を行うが、前述したように、表示切替指示部36からの指示に応じて不正操作防止用画面を操作パネル3に表示する。
【0053】
画像形成装置20における各構成要素21,25,31〜33は、画像形成装置20に搭載されたコンピュータと、コンピュータに搭載されたCPU1で動作するプログラムとの協調動作により実現される。
【0054】
また、本実施の形態で用いるプログラムは、通信手段により提供することはもちろん、CD−ROMやDVD−ROM等のコンピュータ読み取り可能な記録媒体に格納して提供することも可能である。通信手段や記録媒体から提供されたプログラムはコンピュータにインストールされ、コンピュータのCPU1がインストールプログラムを順次実行することで各種処理が実現される。
【0055】
次に、本実施の形態における秘密鍵処理を含むジョブの実行手順について図6に示したフローチャートを用いて説明する。なお、実施の形態1と同じ処理内容には同じステップ番号を付け、適宜説明を省略する。
【0056】
ユーザーが所有するICカードをICカードリーダー10に差し込んだ後、操作パネル3に表示されたログイン画面からPINを入力すると、ユーザー認証部21は、このユーザー操作に応じてユーザー認証を行う(ステップ110)。ここで、認証されたユーザーがスキャン文書にデジタル署名を付加していずれかのユーザーに送信したいとする。この場合、ユーザーは、原稿文書のスキャンとデジタル署名を操作パネル3の所定の操作画面から指示し、原稿文書をスキャナ4にセットした後スタートボタンを押下する。
【0057】
スタートボタンの押下により、画像形成装置20におけるジョブ管理部32は、ジョブの実行をジョブ実行部31に指示する(ステップ210)。ジョブ実行部31は、この指示に応じてジョブを開始する。このジョブでは、原稿文書をスキャナ4により読み取ることで、デジタル署名が付加されるスキャン画像を生成する。
【0058】
以上のようにして、ジョブの実行が開始されると、ジョブ起動禁止設定部35は、起動禁止モードに設定する(ステップ220)。また、表示制御部33は、表示切替指示部36からの指示に応じて操作パネル3の表示を不正操作防止用画面に切替表示する(ステップ230)。
【0059】
その後、秘密鍵処理完了検知部23は、実行中のジョブにおいてデジタル署名が完了するまで常時監視している(ステップ130でN)。そして、秘密鍵処理完了検知部23が最後のスキャン画像(ページ)に対して付加するデジタル署名の生成が終了したことにより秘密鍵処理が完了したことを検知すると(ステップ130でY)、抜取り許可通知部25は、秘密鍵処理が完了したことによってICカードが抜き取れる旨を、認証されているユーザーに通知する(ステップ150)。
【0060】
本実施の形態においては、以上説明したようにジョブを実行するが、ログアウトされる前に新たなジョブの起動要求があると、ジョブ管理部32は、起動禁止モードに設定されていることを認識してジョブを新たに実行しない。
【0061】
図4Cは、本実施の形態においてユーザー操作またはデータ処理に伴い発生するイベントと、画像形成装置20が制御するICカードのユーザー確認状態と、第三者により不正利用される可能性のある期間(不正可能期間)との関係を概念的に示した図であるが、ここで、この図4Cを用いて前述した処理の流れに沿って画像形成装置20が制御するICカードのユーザー確認状態について確認する。
【0062】
ユーザーがICカードリーダー10にICカードを挿着し、PINを入力することによってユーザー認証されると、この時点でICカードは当該ユーザーの確認済み状態になることは前述したとおりである。そして、ジョブが開始されると、上記のようにジョブ起動禁止モードに設定され、またこれと同時に不正操作防止用画面が表示される。なお、本実施の形態におけるジョブでは、実行開始と共に原稿文書のスキャンが開始されることから、図4Cにおいては、図4A,Bとの比較の関係上、ジョブの実行開始を「スキャン開始」と記述した。そして、ICカードの抜去による自動ログアウトに応じて画像形成装置20はICカードのユーザー確認状態を確認済み状態から未確認状態に設定変更する。なお、実施の形態1と組み合わせてデジタル署名が完了したことによりICカードに記憶された秘密鍵が不要になった時点で、画像形成装置20がICカードのユーザー確認状態を未確認状態にリセットするようにしてもよいが、ここでは、本実施の形態の特徴が明確になるように組み合わせない構成とした。
【0063】
まず、図4Cから明らかなように、本実施の形態では、ジョブ開始時点で新たなジョブが起動できないように設定した。従って、第三者が新たなジョブを起動してICカードリーダー10に挿着されたICカードを不正利用しようとしても、これを未然に防止することができる。
【0064】
また、本実施の形態では、ジョブの起動禁止と合わせて操作パネル3の表示を不正操作防止用画面に切り替えるようにした。この不正操作防止用画面というのは、操作パネル3の表示を見た第三者に、画像形成装置20が今現在、新たなジョブが起動できない状態であると勘違いさせるような表示画面である。例えば、画像形成装置20がユーザー未認証状態やICカードのユーザー確認状態が未確認状態であると勘違いさせるために、ログアウトしている状態を示すログアウト画面あるいはPIN入力画面等を画面表示する。あるいは入力操作ボタンのない画面でもよい。更に操作パネル3に何も表示されていない状態や操作を何ら受け付けないようにしてもよい。このように、カモフラージュ的な画面を操作パネル3に表示することによって新たなジョブの起動を阻止する。
【0065】
上記実施の形態1では、不正利用が可能な期間を消失することで、第三者による不正利用を防止するようにした。本実施の形態では、不正可能期間を消失するのではなく、新たなジョブの起動を阻止する手段を設けて不正可能期間において不正利用させないようにしたことを特徴としている。
【0066】
なお、上記各実施の形態においては、説明の便宜上、指示されたデータ処理(またはジョブ)に秘密鍵処理が含まれており、また秘密鍵を1回若しくは一連の利用のみであることを前提としたが、指示された処理(またはジョブ)に秘密鍵処理が含まれているか否か、また秘密鍵処理が完了したか否かは、データ処理(またはジョブ)の指示内容等から事前に認識できるようにしておく。
【0067】
また、本実施の形態では、情報処理装置として画像形成装置20を用い、ICカードに記憶された秘密鍵をデジタル署名や暗号化文書の印刷に利用する場合を例にして説明した。ただ、本発明は、汎用的なコンピュータや上記説明した画像形成装置20のようなコンピュータ搭載のデバイスにも適用でき、情報処理装置として画像形成装置20に限定されるものではない。また、実行する処理内容や情報処理装置の構成によって、前述した実施の形態1,2を組み合わせて適用することも可能である。
【図面の簡単な説明】
【0068】
【図1】本発明に係る情報処理装置の一実施の形態である画像形成装置のハードウェア構成図である。
【図2】実施の形態1における画像形成装置のブロック構成図である。
【図3】実施の形態1における秘密鍵処理を含むデータ処理を示したフローチャートである。
【図4A】従来において、ICカードを所有するユーザーの画像形成装置に対するICカードのユーザー確認状態と、第三者により不正利用される可能性のある期間とを概念的に示した図である。
【図4B】実施の形態1において、ICカードを所有するユーザーの画像形成装置に対するICカードのユーザー確認状態と、第三者により不正利用される可能性のある期間とを概念的に示した図である。
【図4C】実施の形態2において、ICカードを所有するユーザーの画像形成装置に対するICカードのユーザー確認状態と、第三者により不正利用される可能性のある期間とを概念的に示した図である。
【図5】実施の形態2における画像形成装置のブロック構成図である。
【図6】実施の形態2における秘密鍵処理を含むジョブを実行するときの処理を示したフローチャートである。
【符号の説明】
【0069】
1 CPU、2 アドレスデータバス、3 操作パネル、4 スキャナ、5 ハードディスクドライブ(HDD)、6 プリンタエンジン、7 ネットワークインタフェース(I/F)、8 RAM、9 ROM、10 ICカードリーダー、12 ネットワーク、14 ユーザー端末装置、20 画像形成装置、21 ユーザー認証部、22 データ処理部、23 秘密鍵処理完了検知部、24 ユーザー確認状態リセット部、25 許可通知部、26 デジタル署名処理部、27 復号処理部、31 ジョブ実行部、32 ジョブ管理部、33 表示制御部、35 ジョブ起動禁止設定部、36 表示切替指示部。
【特許請求の範囲】
【請求項1】
ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行うことで、当該ユーザーによる装置の利用を可能とする確認済み状態に設定するユーザー認証手段と、
前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むデータ処理を実行するデータ処理手段と、
前記データ処理手段による秘密鍵処理の実行完了を検知する処理完了検知手段と、
前記処理完了検知手段により秘密鍵処理の完了が検知されたことに基づいて、ユーザー認証に伴い設定された当該ユーザーの確認済み状態をユーザー未確認状態に変更する確認状態変更手段と、
を有することを特徴とする情報処理装置。
【請求項2】
請求項1記載の情報処理装置において、
前記データ処理手段は、秘密鍵処理として、前記認証媒体に記憶された秘密鍵を用いて、入力された電子文書にデジタル署名を行う署名処理部を有することを特徴とする情報処理装置。
【請求項3】
請求項1記載の情報処理装置において、
前記データ処理手段は、秘密鍵処理として、前記認証媒体に記憶された秘密鍵を用いて、入力された暗号化電子文書の復号を行う復号処理部を有することを特徴とする情報処理装置。
【請求項4】
請求項1乃至3のいずれか1項に記載の情報処理装置において、
前記処理完了検知手段により秘密鍵処理の完了が検知されたことに基づいて、秘密鍵処理完了を当該ユーザーに通知する通知手段を有することを特徴とする情報処理装置。
【請求項5】
ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行うことで、当該ユーザーによる装置の利用を可能とする確認済み状態に設定するユーザー認証手段と、
前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むデータ処理を実行するデータ処理手段と、
前記データ処理手段による秘密鍵処理の実行完了を検知する処理完了検知手段と、
前記処理完了検知手段により秘密鍵処理の完了が検知されたことに基づいて、秘密鍵処理完了を当該ユーザーに通知する通知手段と、
を有することを特徴とする情報処理装置。
【請求項6】
ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行うことで、当該ユーザーによる装置の利用を可能とする確認済み状態に設定するユーザー認証手段と、
前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むジョブを実行するジョブ実行手段と、
前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、新たなジョブの実行を禁止するジョブ実行禁止手段と、
を有することを特徴とする情報処理装置。
【請求項7】
請求項6記載の情報処理装置において、
前記ジョブ実行禁止手段は、前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、新たなジョブの起動を阻止することを特徴とする情報処理装置。
【請求項8】
請求項6記載の情報処理装置において、
ユーザーインタフェース手段を有し、
前記ジョブ実行禁止手段は、前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、前記ユーザーインタフェース手段への表示を不正操作防止用画面に切り替える表示切替指示部と、
を有することを特徴とする情報処理装置。
【請求項9】
請求項6乃至8のいずれか1項に記載の情報処理装置において、
前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、ジョブ実行開始を当該ユーザーに通知する通知手段を有することを特徴とする情報処理装置。
【請求項10】
コンピュータに、
ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行わせるとともに当該ユーザーによる前記コンピュータの利用を可能とする確認済み状態に設定させ、
前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むデータ処理を実行させ、
秘密鍵処理の実行完了を検知させ、
秘密鍵処理の完了が検知されたことに基づいて、ユーザー認証に伴い設定された当該ユーザーの確認済み状態をユーザー未確認状態に変更させる、
ことを特徴とする情報処理プログラム。
【請求項11】
コンピュータに、
ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行わせるとともに当該ユーザーによる前記コンピュータの利用を可能とする確認済み状態に設定させ、
前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むジョブを実行させ、
秘密鍵処理を含むジョブの実行が開始されたことに基づいて、新たなジョブの実行を禁止させる、
ことを特徴とする情報処理プログラム。
【請求項1】
ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行うことで、当該ユーザーによる装置の利用を可能とする確認済み状態に設定するユーザー認証手段と、
前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むデータ処理を実行するデータ処理手段と、
前記データ処理手段による秘密鍵処理の実行完了を検知する処理完了検知手段と、
前記処理完了検知手段により秘密鍵処理の完了が検知されたことに基づいて、ユーザー認証に伴い設定された当該ユーザーの確認済み状態をユーザー未確認状態に変更する確認状態変更手段と、
を有することを特徴とする情報処理装置。
【請求項2】
請求項1記載の情報処理装置において、
前記データ処理手段は、秘密鍵処理として、前記認証媒体に記憶された秘密鍵を用いて、入力された電子文書にデジタル署名を行う署名処理部を有することを特徴とする情報処理装置。
【請求項3】
請求項1記載の情報処理装置において、
前記データ処理手段は、秘密鍵処理として、前記認証媒体に記憶された秘密鍵を用いて、入力された暗号化電子文書の復号を行う復号処理部を有することを特徴とする情報処理装置。
【請求項4】
請求項1乃至3のいずれか1項に記載の情報処理装置において、
前記処理完了検知手段により秘密鍵処理の完了が検知されたことに基づいて、秘密鍵処理完了を当該ユーザーに通知する通知手段を有することを特徴とする情報処理装置。
【請求項5】
ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行うことで、当該ユーザーによる装置の利用を可能とする確認済み状態に設定するユーザー認証手段と、
前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むデータ処理を実行するデータ処理手段と、
前記データ処理手段による秘密鍵処理の実行完了を検知する処理完了検知手段と、
前記処理完了検知手段により秘密鍵処理の完了が検知されたことに基づいて、秘密鍵処理完了を当該ユーザーに通知する通知手段と、
を有することを特徴とする情報処理装置。
【請求項6】
ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行うことで、当該ユーザーによる装置の利用を可能とする確認済み状態に設定するユーザー認証手段と、
前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むジョブを実行するジョブ実行手段と、
前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、新たなジョブの実行を禁止するジョブ実行禁止手段と、
を有することを特徴とする情報処理装置。
【請求項7】
請求項6記載の情報処理装置において、
前記ジョブ実行禁止手段は、前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、新たなジョブの起動を阻止することを特徴とする情報処理装置。
【請求項8】
請求項6記載の情報処理装置において、
ユーザーインタフェース手段を有し、
前記ジョブ実行禁止手段は、前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、前記ユーザーインタフェース手段への表示を不正操作防止用画面に切り替える表示切替指示部と、
を有することを特徴とする情報処理装置。
【請求項9】
請求項6乃至8のいずれか1項に記載の情報処理装置において、
前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、ジョブ実行開始を当該ユーザーに通知する通知手段を有することを特徴とする情報処理装置。
【請求項10】
コンピュータに、
ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行わせるとともに当該ユーザーによる前記コンピュータの利用を可能とする確認済み状態に設定させ、
前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むデータ処理を実行させ、
秘密鍵処理の実行完了を検知させ、
秘密鍵処理の完了が検知されたことに基づいて、ユーザー認証に伴い設定された当該ユーザーの確認済み状態をユーザー未確認状態に変更させる、
ことを特徴とする情報処理プログラム。
【請求項11】
コンピュータに、
ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行わせるとともに当該ユーザーによる前記コンピュータの利用を可能とする確認済み状態に設定させ、
前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むジョブを実行させ、
秘密鍵処理を含むジョブの実行が開始されたことに基づいて、新たなジョブの実行を禁止させる、
ことを特徴とする情報処理プログラム。
【図1】
【図2】
【図3】
【図4A】
【図4B】
【図4C】
【図5】
【図6】
【図2】
【図3】
【図4A】
【図4B】
【図4C】
【図5】
【図6】
【公開番号】特開2008−262363(P2008−262363A)
【公開日】平成20年10月30日(2008.10.30)
【国際特許分類】
【出願番号】特願2007−104164(P2007−104164)
【出願日】平成19年4月11日(2007.4.11)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
【公開日】平成20年10月30日(2008.10.30)
【国際特許分類】
【出願日】平成19年4月11日(2007.4.11)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
[ Back to top ]