画像形成装置、画像形成装置の起動方法、およびプログラム
【課題】記録媒体に登録されたファームウェア設定に関連する構成情報を利用して画像形成を行う、画像形成装置、画像形成装置に起動方法、およびプログラムを提供すること。
【解決手段】画像形成装置100に着脱自在に構成された記録媒体から取得した画像形成装置100が利用する少なくとも1つのファームウェア構成である構成情報を一時記録する一時記憶手段と、画像形成装置100が現在起動時に利用するファームウェア構成である現在構成を記録する不揮発性記憶手段と、現在構成と一時記憶手段に記憶された構成情報との間の設定の相違がある場合、前記構成情報を前記画像形成装置の現在構成として承認するための承認手段(SCS112、CCS114、LCS116)と、構成情報と現在構成とが相違すると判断した場合に承認手段の承認結果に対応し現在構成または構成情報により現在構成を更新して画像形成装置を起動する起動手段(124)とを含む。
【解決手段】画像形成装置100に着脱自在に構成された記録媒体から取得した画像形成装置100が利用する少なくとも1つのファームウェア構成である構成情報を一時記録する一時記憶手段と、画像形成装置100が現在起動時に利用するファームウェア構成である現在構成を記録する不揮発性記憶手段と、現在構成と一時記憶手段に記憶された構成情報との間の設定の相違がある場合、前記構成情報を前記画像形成装置の現在構成として承認するための承認手段(SCS112、CCS114、LCS116)と、構成情報と現在構成とが相違すると判断した場合に承認手段の承認結果に対応し現在構成または構成情報により現在構成を更新して画像形成装置を起動する起動手段(124)とを含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、画像形成に関し、より詳細には、記録媒体に登録された少なくとも1つのファームウェア設定に関連する構成情報を利用して画像形成を行う、画像形成装置、画像形成装置に起動方法、およびプログラムに関する。
【背景技術】
【0002】
近年、SDカード、ハードディスク装置、EEPROM、EPROM、NVRAMなどの書換え可能な記録媒体を実装する画像形成装置が知られている。記録媒体に登録された情報は、画像形成装置の起動時またはユーザからの読み取り指令などにより画像形成装置が読み出され、画像形成装置の処理実行のためのプログラムや各種データを提供する。
【0003】
例えば、特開2004−318871号公報(特許文献1)では、更新用OSをダウンロードして記憶させ、それとは別にリカバリプログラムを格納しておき、ダウンロードの成功または失敗に対応して、起動用プログラムの読み出し先を変更する画像形成装置を開示している。
【0004】
画像形成装置側では、記録媒体から取得したデータを使用して画像形成装置のセットアップを開始したり、またジョブ実行のためのハードウェアのセットアップを開始して、画像形成処理を開始する。
【0005】
また、特開2004−165734号公報(特許文献2)は、トラブル発生時のファームウェアの更新処理を開示する。しかしながら、画像形成装置がスムースに画像形成処理に遷移できるように、外部から移植される構成情報を検査する技術については何ら開示するものではない。
【特許文献1】特開2004−318871号公報
【特許文献2】特開2004−165734号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
すなわち、従来の画像形成装置では、記録媒体から取得したファームウェア設定に関連するオプション設定のデータやプログラムを読み込んでセットアップ処理を実行させる場合、画像形成装置のその時点でのオプション設定やプログラムなどの構成情報と適合していない場合も想定される。構成情報が適合していない環境で画像形成装置をリブートする場合、オプション設定などによっては、他の機能が利用不能となったり、ハードウェアモジュールの不具合を生じさせるケースも想定される。このような状況は発生すると、ユーザは、スムーズな画像形成処理を開始できず、かえって処理効率の低下を招くことになる。
【0007】
上述したファームウェア構成の装置であって、スムーズな画像形成の障害となる設定の不整合を、コンフリクトとして参照する。
【0008】
上述したハードウェア設定などの装置の他、近年では、オプション設定としてセキュリティ設定も設定可能な場合も想定される。セキュリティレベルを装置管理者やスーパユーザのレベルまで引き上げた構成情報を取得してしまうと無条件に画像形成装置が保有する個人情報などが取得されてしまうという不都合も想定される。
【0009】
セキュリティ設定は、ハードウェア構成や設定などのコンフリクトとして参照するファームウェア設定の不具合ではない。しかしながら、画像形成装置がネットワークを経由してデータサーバなどに接続されている場合には、画像形成装置を介してより重大な情報漏洩を引き起こす可能性がある。
【0010】
本発明は、上記従来技術の問題点に鑑みてなされたものであり、ファームウェア構成などの構成情報を記録媒体から取得して、よりスムーズ、かつ高いセキュリティ条件下で画像形成を行うことが可能な、画像形成装置、画像形成装置の起動方法、およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0011】
本発明は、SDカード、スマートメディア、USBメモリなどの記録媒体から取得したプログラムやデータを使用して、よりスムーズな画像形成を実行するため、画像形成装置は、構成情報を、一時記憶手段に一旦登録する。着脱自在な記録媒体から取得した構成情報は、画像形成装置がNVRAMなどの不揮発性記憶媒体に登録された構成情報である現在構成と比較・検査される。
【0012】
なお、本発明では、画像形成装置をその時点で起動するべきファームウェア設定を含む構成情報を現在構成として参照する。また、本発明では、ファームウェアとして許容可能なオプション機能、プログラム識別値、プログラムバージョン、セキュリティ設定の少なくとも1つを含むファームウェア構成を、構成情報として参照する。
【0013】
現在構成は、画像形成装置が初期起動される場合に、BOOTPプロトコルなどにしたがって読み出しが行われるNVRAMなどに登録されるデータである。また、現在構成とは、画像形成装置が省エネモードに遷移している場合であって、RAM内のデータをNVRAMなどに退避させている場合、退避先からRAM内に再構成される場合に再現される構成のことを意味する。
【0014】
また、構成情報は、本発明にしたがい、承認が得られたとき、現在構成の対応する項目を更新し、現在構成を更新することが可能なデータを意味する。承認が得られない場合、構成情報は破棄され、画像形成装置の現在構成として利用されない。
【0015】
また、画像形成装置は、当該比較・検査が終了するまで、比較および検査のための処理手段以外、他の制御システムに関連する起動指令を発行せず、この結果、他手段の起動が阻止される。
【0016】
このため、構成情報の承認を行うための制御システムしか起動させない。したがって、画像形成装置は記録媒体からの構成情報を自動読み込みする設定、または手動読み込みする設定にかかわらず、画像形成装置が記録媒体の構成情報をそのまま使用して自動的に起動されることによる問題を防止することができる。また、ユーザおよびセキュリティ設定に関するオプション設定が修正される場合についても検査・検査される。セキュリティ設定の照合結果についても装置管理者に通知され、ユーザおよび装置管理者による承認を受けた後に画像形成装置の起動が許可される。
【0017】
悪意あるユーザが、装置管理者やスーパユーザの権原でアクセスしようとしても、正当な装置管理者による承認がない限り、画像形成装置は起動されず、情報漏洩に対しても高いロバスト性を付与することができる。
【0018】
上記処理のため、画像形成装置は、記録媒体を介したアクセスを受領すると、直ちに指令される動作を行うのではなく、承認手段のみを起動し、記録媒体から取得した構成情報を、バッファメモリなどの一時記憶手段に格納する。一時記憶手段に格納された構成情報は、承認手段により、画像形成装置がNVRAMなどの不揮発性記憶手段に登録された現在設定と比較される。承認手段は、ミドルウェアシステムとして提供されており、例えば、特定用途集積回路(ASIC)として構成される制御回路として提供される。この検査の結果、設定変更が必要であると判断された場合、承認手段は、その時点で画像形成装置は、画像形成装置のファームウェア構成の修正を承認する権原を有する装置管理者の承認を要求する。
【0019】
画像形成装置は、装置管理者のログイン名やパスワードなどの管理者識別値の入力を受け付けない限り、一時記憶装置に登録された構成情報を、現在構成に反映することなく、画像形成装置自体の起動を停止させるか、または現在構成のまま、起動を行う。このため、画像形成装置は、よりスムーズに画像形成操作を行うことが可能となる。また、他の実施形態では、装置管理者は、画像形成装置からのSNMPプロトコルのトラップコマンドを通して設定変更の可能性を通知されても良い。この実施形態では、装置管理者は、パーソナルコンピュータに表示された変更内容などをチェックし、承認処理を行う。
【0020】
他の実施形態では、装置管理者は、当該通知を遠隔的に判断してプログラム、オプション機能の変更により生じる画像形成上の問題について判断することが可能となり、よりユーザの負担を軽減しつつ、スムーズに画像形成操作を行うことが可能となる。また、記録媒体に登録されたオプション設定によっては画像形成装置内に蓄積された個人情報などが事由に閲覧可能となる設定も想定できる。このような場合であっても、オプション設定が変更された時点で装置管理者により認証を経ることを可能とし、セキュリティ性を向上させることができる。
【発明を実施するための最良の形態】
【0021】
以下、本発明につき、実施形態をもって説明するが、本発明は上述する実施形態に限定されるものではない。図1は、本実施形態の画像形成装置100の機能ブロック図である。画像形成装置100は、コピー、ファクシミリ、プリンタ、スキャナなどの多機能を提供するMFP(Multi-Function Peripheral)として構成されている。この目的のため、画像形成装置100は、プリンタ機能、ファクシミリ機能、スキャナ機能を提供するための、複数のアプリケーション102、104、106とを含んで構成される。アプリケーション102〜106は、API(Application
Program Interface)を介して複数のミドルウェアシステムへと処理結果を渡し、またミドルウェアシステムからの指令を受領したOS122からの呼出しを受けて処理を開始または停止する。
【0022】
ミドルウェアシステムは、サービスコントロールシステム(SCS)112、サーティフィカットシステム(CCS)114、ログコントロールシステム(LCS)116、ユーザコントロールサービス(UCS)118、オペレーションコントロールサービス(OCS)120などの各種制御システムを実装する。なお、ミドルウェアシステムは、さらに、他の制御システムを含んで実装することができる。これらのミドルウェアシステムのうち、本画像形成装置100は、SCS112、CCS114および説明している実施形態では、ログを記録するためのLCS116がおよびユーザインタフェースを提供するUCS118が承認手段を構成するものとして説明する。なお、LCS116は、ログ管理を承認プロセスで使用しない場合、承認手段から排除することもできる。
【0023】
ミドルウェアシステム112〜120は、UNIX(登録商標)、Linux(登録商標)などのオペレーティングシステム(以下、単にOSとして参照する。)122との間で通信を行う。OS122は、中央処理装置(CPU)により実行され、システム上の処理およびアプリケーションの実行管理などを行っている。ミドルウェアシステム112〜120が発生した処理要求は、ミドルウェアシステムのI/OポートおよびCPUなどのI/Oポートを介して割込、シリアル通信パラレルなどのデータ送受信などにより通信される。OS側では、当該割込をI/Oポートを介して受け付け、例えば、OS122が実装するシグナルハンドラなどを介して、OSのプロセスへと通知され、各種のプロセス間通信を介してデータ処理、アプリケーションの呼出し・終了およびメモリ管理などが制御される。
【0024】
本実施形態では、OS122は、C、C++、Java(登録商標)などのコンパイラ、リンカなどを実装し、各種言語で記述されたアプリケーションを起動し、プロセス間通信を使用してアプリケーションの管理を行う。OSは、アプリケーションの処理終了および処理結果を各種コントロールシステムに通知して、画像形成装置100がユーザ指令に基づく画像形成を可能とさせている。
【0025】
OS122は、画像形成装置100が起動される場合に、装置設定を行い、起動するべきプログラムをロードさせるための起動モジュール(BRD)124を含んで実装する。BRD124は、OS122に標準搭載されたBOOTPプロトコルを利用するブートローダを含む構成とすることができる。また、BRD124は、記録媒体が存在する場合、記録媒体に登録されたプログラムやオプション設定などを含む構成情報を取得する。この場合、SDカードなどの記録媒体に登録された構成情報は、動作に必要とされる全情報とすることもできるし、ユーザがオプションで設定した項目のみを構成情報として登録することができる。
【0026】
BRD124は、起動時に、ブート処理に先立ってSDカード、スマートメディアスティック型メモリなどの着脱自在の記録媒体から取得したファームウェア構成を含む構成情報を、バッファメモリなどとして構成される一時記憶手段に格納する。また、BRD124は、NVRAM(不図示)といった不揮発性記憶手段から、画像形成装置100のプログラム識別値、プログラムバージョン、オプション設定、セキュリティ設定などの現在構成を取得する。これらの構成情報および現在構成は、比較および検査の効率を考慮して、共通の項目を含んで構成される構成情報リストなどのデータ構造とすることができる。
【0027】
BRD124は、記録媒体に記録されたデータと、画像形成装置100の現在構成との比較結果を使用して、記録媒体の存在および比較の結果に応答した起動処理を各ミドルウェアシステムに通知する。BRD124による起動処理は、(1)記録媒体が存在しない場合、または比較の結果構成変更がない場合、または常に現在構成で起動する場合、現在構成のまま起動処理を実行する:
(2)記録媒体が存在し、記録媒体のデータと現在構成とが相違している場合であって、ユーザおよび装置管理者の認証が得られた場合、記録媒体から取得したデータを含むように現在構成を更新し、起動処理を実行する:
(3)記録媒体が存在し、記録媒体のデータと現在構成とが相違している場合であって、ユーザおよび装置管理者の認証が得られない場合、記録媒体のデータを廃棄して起動処理を終了するか、または現在構成を使用して起動処理を実行する:
の複数の起動条件にしたがい、異なる内容の起動処理を実行する。
【0028】
画像形成装置100は、さらにハードウェアを制御するためのインタフェース(I/F)126を介して各種のハードウェアモジュール群を制御する。ハードウェアモジュール群には、プリンタモジュール、コピーモジュール、ファックスモジュール、スキャナモジュールなど画像形成に必要なモジュールの他、RAM、ROM、NVRAM、SDカード、スマートメディア、USBメモリなどのメモリ手段や、ハードディスク装置などを含むことができる。また、RAMの一部は、本発明では、記録媒体から取得した構成情報を一時的に記憶する一時記憶手段を提供することができる。また、この一時記憶手段は、ミドルウェアシステムを構成するASIC内に実装することもできる。NVRAMは、画像形成装置100の現在構成を構成情報リストのデータ構造などとして登録しており、不揮発性記憶手段として機能している。オプション設定が正当に修正される場合には、変更後のオプション設定を当該画像形成装置100の現在構成として登録する。
【0029】
また、SDカード、スマートカードまたはUSBメモリなどの着脱自在の記録媒体は、他の画像形成装置(不図示)でユーザがオプション設定した条件データ、プログラムなどのファームウェア設定の他、セキュリティ情報などを登録している。画像形成装置100は、記憶媒体が挿入された状態でユーザからタッチパネルを介した指令を受け付けた時点で起動モジュールを起動させ、記録媒体からの構成情報についての承認結果に応答した内容の起動処理を実行する。
【0030】
図2は、画像形成装置100が実行する処理の実施形態のフローチャートである。図2に示した処理は、ステップS200から開始し、ステップS201で、BRD124は、構成変更検出モード設定情報を取得する。構成情報変更検出モード設定情報は、例えば、SCS112がユーザからの指令またはサービスマンの設定などにより変更され、例えば、NVRAMの適切なアドレスのフラグなどとして設定することができる。
【0031】
その後、ステップS202で、BRD124は、NVRAMなどの不揮発性記憶領域に格納された構成変更検出モード設定情報を検査し、構成変更検出モードとなっているか否かを判断する。構成変更検出モード設定情報が構成変更を検出する値に設定されている場合(yes)、ステップS203で現在、画像形成装置100の構成情報としてNVRAMなどに格納されている構成情報をRAMなどに取得する。ステップS204では、SDカードなどの記録媒体に登録された構成情報を、バッファメモリなどに取得する。
【0032】
ステップS205では、取得した構成情報と現在構成とを比較し構成変更が検出された場合(yes)、BRD124または他の適切なモジュールがステップS206で、同一項目に登録されたnullではないデータ内容であって、構成情報と、現在情報とが異なるプログラム識別値、プログラムバージョン、オプション識別値、セキュリティ設定などの値を取得して、一旦バッファリングする。これらの値は、承認後に現在設定を更新するために利用される。
【0033】
また、ステップS205で取得した構成情報と現在構成とを比較して、相違項目を検査し、構成変更が検出されない場合(no)、処理をステップS213に分岐させて、リブートを行うことなく、現在設定のままで起動させる。
【0034】
ステップS207では、当該変更をユーザが承認したか否かを判断する。ユーザが当該変更を承認した場合(yes)、続いてステップS208で装置管理者からの承認を受領したか否かを判断する。なお、ユーザの承認は、画像形成装置100のタッチパネルなどを介して入力される。また、装置管理者からの許可は、装置管理者が画像形成装置100のタッチパネルから装置管理者のログイン名およびパスワードなどの管理者識別値が入力されたことにより判断する。
【0035】
なお、画像形成装置100がハードウェアモジュールとしてNIC(Network Interface Card)を実装し、SNMPプロトコルを使用したスレーブ管理を介して装置管理者などのパーソナルコンピュータと通信できる場合には、LAN経由で装置管理者のパーソナルコンピュータからの承認を受領して判断することもできる。
【0036】
ステップS208で装置管理者からの承認が得られた場合(yes)、バッファリングしておいた構成情報について、例えばSCS112は、バッファリングされた構成情報のうち、現在構成と同一の項目であって内容の異なる値で現在構成を上書きして、NVRAM内に登録された構成情報である現在構成を更新する。BRD124は、更新された現在構成にしたがってステップS210でリブートを実行し、変更された条件で画像形成装置100を立ち上げる。なお、現在構成を修正する構成情報更新手段は、SCS112の他、いかなる適切な手段、例えばBRD124にも実装することができる。
【0037】
一方、BRD124が構成変更検出モードではないと判断した場合、処理をステップS213に分岐させ、構成情報として現在構成を使用して起動処理を開始する。現在構成を使用する起動処理は、2態様想定される。例えば、画像形成装置100が電源断などの状態から起動される場合および省エネモードなどから復帰する場合である。電源断などの状態から復帰する場合、画像形成装置は、BOOTPプロトコルなどに従い、システムを検査し、各デバイス状態の確認などを行って、ミドルウェアの設定、アプリケーションのロードおよび起動などを実行する。また、省エネモードからの復帰の場合、NVRAMなどに退避させておいたRAM内での実行環境をRAMに読み出し、アプリケーションなどを差イロードする処理を実行する。
【0038】
これらのいずれの場合も、NVRAMに格納されて現在設定をそのまま利用して画像形成装置100を起動することとなるので、画像形成装置100の動作設定を全く変更しない。
【0039】
また、ステップS207でユーザによる承認が得られない場合(no)処理をステップS212に分岐させて処理を終了する。また、ステップS208で装置管理者の承認がなされなかった場合(no)、処理をステップS211に分岐させ、さらにタイムアウトが経過したか否かを判断する。タイムアウトが経過していない場合(no)、ステップS208に処理を戻し、装置管理者からの承認を待機する。一方、ステップS211でタイムアウトが経過した場合(yes)、処理は、ステップS212に分岐して全体の処理を終了させる。なお、他の実施形態では、タイムアウトタイマではなく、リトライカウンタを実装しておき、設定されたリトライ数を超えた場合、処理をステップS212に分岐させても良い。
【0040】
図3は、画像処理装置100が、SDカードなどの記録媒体から構成情報を取得し、設定変更する場合の処理を示したシーケンス300である。図3に示したシーケンス300では、BRD124は、画像形成装置100がユーザからの起動指令を受け付けると、起動され、ステップS301でSDカードからのオプション設定などの構成情報の取得する。次いで、ステップS302でNVRAMに登録されたファームウェア設定を現在構成として読み取る。その後、BRD124は、読み込んだ構成情報と現在構成とを比較し、構成の相違についての検査を実行する。
【0041】
この比較で、設定変更が検出される場合、BRD124は、ステップS303〜ステップS305でそれぞれSCS112、CCD114、LCS116に設定変更が検出されたことを通知する。SCS112は、設定変更検出の通知を受け付けると、ユーザ入力および装置管理者入力を可能とするために、オペレーションパネルなどを表示させるUCS118を起動させる。また、CCS114、LCS116は、ステップS304およびステップS305で設定変更検出が通知されると起動する。この段階で、SCS112は、ユーザがその他の指令ボタンの押し下げた場合でも指令されたサービスモジュールの起動を許可せず、入力されたとしても当該指令をアボートし、承認が完了するまで画像形成装置100を、初期承認状態に保持させている。
【0042】
LCS116は、ステップS305の通知を受領すると、その通知をログに記入する。一方、CCS114は、画像形成装置100のタッチパネル上にユーザ承認および装置管理者による承認を行うための承認画面を表示させ、ユーザ承認および装置管理者承認の両方の値がtrueとなったとき、ステップS306でSCS112に対して承認成功を通知する。SCS112は、当該通知を受領すると、ステップS307でBRD124に対して承認が成功したことを通知する。SCS112からの承認成功の通知を受け付けると、BRD124は、ステップS308でそれまで一旦バッファリングしておいた構成変更に関連するモジュール識別値やプログラム識別値などをNVRAMに登録した現在構成を更新する。なお、現在構成の更新や、データ読み出し、比較等の処理は、BRD124自体ではなく、BRD124の指令を受領したSCS112が実行することもできる。
【0043】
ステップS309〜ステップS311では、BRD124は、SCS112、CCS114、LCA116に対してリブート開始を通知する。なお、このとき、LCS116は、リブートをログとして記録する。ステップS312で、BRD124は、リブート処理を開始し、更新された構成情報を使用して画像形成装置100の初期セットアップを実行する。BRD124は、BOOTPプロトコルなどを使用してミドルウェアシステムの設定および起動を行い、アプリケーションのロードなどを実行し、画像形成装置100を、ユーザからの指令を待機する状態とする。
【0044】
なお、本発明の他の実施形態では、BRD112は、直接管理するSCS112に対してのみ設定変更検出情報を通知することができる。この場合、SCS112は、設定変更検出通知を受領して起動し、それぞれ承認手段として登録されたCCS114、LCS116およびUCS118に起動のための割込を送付することもできる。同様に、BRD124は、リブート開始の通知をSCS112のみに発行することもできる。
【0045】
なお、説明している他の実施形態では、リブート開始の通知を受領した受け取ったSCS112は、承認処理の場合と同様に、それぞれCCS114およびLCS116に対してリブート開始通知を発行し、各システムのシャットダウン処理を開始させてもよい。なお、各ミドルウェアシステムとOSとの間の通信は、OS側のシグナルなどを使用するプロセス間通信および割込などを使用して実行される。このため、BRD124が直接指令するミドルウェアシステムが少なくなるほど、シグナルハンドラに対する修正も少なくて済み、効率的にBRD124を構成することができる。
【0046】
図4は、SDカードから構成情報を取得した場合であって、設定を変更する必要がないと判断した場合のシーケンス400を示す。BRD124は、ステップS401で現在構成をNVRAMなどから取得する。ステップS402では、SDカードに登録されたファームウェア設定についての構成情報を読み込ませる。その後、BRD124は、構成情報と現在構成とを比較結果の通知を使用して、その内容が完全に一致したと判断する。この場合、BRD124は、ステップS403〜ステップS405で設定変更不検出をSCS112、CCS114、LCS116に通知する。
【0047】
また、設定変更不検出の通知は、SCS112のみに通知されてもよい。この場合、SCS112は、CCS114およびLCS116に設定変更不検出を通知する。この段階でLCS116は、構成変更せずに画像形成装置100が起動されたことをログに記録する。さらにSCS112は、ステップS406で他のミドルウェアシステムに対し起動を通知し、同時にOSに通知を行い、OSに対し、現在構成で指定される各アプリケーションのロード開始またはメソッド呼出しなどを実行させる。
【0048】
図5は、ユーザおよび装置管理者による承認に失敗したときの画像形成装置100が実行する実施形態のシーケンス500を示す。BRD124は、ステップS501で現在構成をNVRAMなどから取得する。その後、さらにステップS502で画像形成装置100の現在構成を取得する。ステップS503〜ステップS505で、構成情報と現在情報とを比較させて設定変更を検出し、設定変更検出通知をSCS112、CCS114、LCS116に対して通知する。
【0049】
また、説明している実施形態では、CCS114は、ユーザ承認がなされたものの、装置管理者承認が、タイムアウトが満了するまでに受領できなかったので、BRD124に対してステップS507で承認失敗を通知する。BRD124は、ステップS509〜ステップS512で、SCS112〜LCS116に対して起動処理終了を通知する。その後、SCS112は、UCS118に対して起動処理が承認を受けられなかったので終了する旨の通知をユーザに表示させてもよい。その後、BRD124は、メモリなどのハードウェアリソースを開放して処理を終了する。なお、図5に示した実施形態でも、BRD124は、直接的にSCS112のみに通知を行い、以後の通知をSCS112に管理させることもできる。
【0050】
以上のシーケンス300、シーケンス400、およびシーケンス500を実装することにより、画像形成装置100は、承認を受けないと画像形成装置100がスムーズに画像形成を行うことができなくなるオプション設定やプログラムなどを無条件に実行することなく、画像形成装置100が提供することができる機能範囲で最適な画像形成動作を可能とする。また、セキュリティ設定が、画像形成装置100のセキュリティレベルを装置管理者レベルに引き上げるような設定がなされる場合であっても、装置管理者による承認がなされない限り、現在構成が修正されない。このため、本実施形態の画像形成装置100は、画像形成装置100が保有する個人情報、または画像形成装置100を介してネットワーク接続されたサーバなどに保管された各種情報への管理者レベルでのアクセスを可能とする設定変更を防止することができる。
【0051】
図6は、ミドルウェアシステムを実装する制御回路の実施形態を示す。図6に示す制御回路600は、SCS処理部602と、LCS処理部604と、CCS処理部606と、UCS処理部608とを実装している。これらは、単一またはそれぞれ独立した特定用途集積回路(ASIC)とされ、単一の制御器板上に実装されてもよい。SCS処理部602〜UCS処理部608は、ミドルウェアシステムとしてそれぞれ、OS122と通信し、各種アプリケーションの呼出しやデータ送受信などを制御する。
【0052】
これらの処理部は、内部バス612を介して相互接続されていて、各処理部間の通信を可能としている。また、内部バス612は、システムバス620およびインタフェースバス614に接続されている。インタフェースバス614は、適切なインタフェースを介してNVRAM、SDカード、バッファメモリなどのストレージデバイスに接続されていて、制御回路600からのデータ書き込みおよび読み出しを可能とする。
【0053】
制御回路600は、画像形成装置100に対してユーザアクセスがあり、BRD124が構成変更検出モードであると判断した場合に、他のミドルウェアシステムから独立して起動が通知されて、その処理を開始する。制御回路600は、BRD124からの共通の割込信号として処理し、SCS処理部602〜LCS処理部608を同時に起動させることができる。また、他の実施形態では、BRD124からの通知をまず、SCS処理部602が受領し、その後SCS112がその他の処理モジュールの起動を管理する構成とすることができる。本実施形態で承認が不成功となった場合、SCS処理部602は、制御回路600以外のミドルウェアシステムに対して起動割込などの通知を行わず、画像形成装置の各種機能の開始を防止する。
【0054】
図7は、画像形成装置のCCS114がユーザ承認を受領するため、オペレーションパネルなどに表示させるディスプレイ表示700の実施形態を示す。図7に示すように、CCS114は、表示領域702内に、ユーザ承認を受領するために、ファームウェアの構成変更が検出され処理が一時停止していること、および承認を得るために、この構成で起動を許可する場合の処理を表示し、ユーザによる後続処理を待機している。
【0055】
また、表示領域704内に、変更が検出されたモジュールのモジュール識別値(図示した実施形態ではプログラム)と、そのバージョン値1.13などが表示され、ユーザに対し、確認を促している。ユーザは、表示領域704で変更に関連する項目を確認する。確認後、ユーザは、「ログインして許可する」の表示された領域にタッチすることにより、ユーザ承認を行う。
【0056】
図8は、その後画像形成装置100が提供するディスプレイ表示を示す。図8に示されたディスプレイ表示800の表示領域802内には、管理者確認画面であることが表示されている。さらに、装置管理者のログイン名を入力することを表示する表示領域804と、そのパスワードを入力することを表示する表示領域806とが表示されている。装置管理者は、図8に示された表示領域内のログイン名およびパスワードを入力するべき領域に、それぞれログイン名、パスワードを入力する。その後、「ログイン」が表示された表示領域808にタッチすることにより、装置管理者承認を与える。
【0057】
なお、他の実施形態で、画像形成装置100がこの段階で、例えばSNMPプロトコルで規定されるトラップコマンドを装置管理者のパーソナルコンピュータに送信することもできる。この実施形態の場合、装置管理者のパーソナルコンピュータは、SNMPプロトコルでのマスタノードとして機能する。パーソナルコンピュータは、設定変更が検出され、ユーザ承認がなされた段階で、承認を要求するメッセージを装置管理者のパーソナルコンピュータに送付する。装置管理者のパーソナルコンピュータは、当該メッセージの受信に対応して図8に表示されたディスプレイ表示を含むウィンドウを表示させ、パーソナルコンピュータから、ログイン名およびパスワードを入力し、送信することができる。この実施形態では、装置管理者がログイン名およびパスワードの入力を行う場合にユーザによりそれらの値が取得されてしまうなどの不都合が防止できる。
【0058】
図9は、図8の装置管理者承認に成功した後、UCS118が表示させるリブート指令画面を示す。SCS112は、CCS114から装置管理者承認を受領したとの通知を受け取ると、図9の表示画面をオペレーションパネルなどに表示させる。リブート指令画面900の表示領域902には、ファームウェアの構成が変更されたこと、およびそのために再起動が必要であることを表示するテキストストリング904が表示されている。
【0059】
また、表示領域906には変更が確定された構成変更に関連する項目が表示されていて、ユーザが変更する構成内容の再確認を可能としている。ユーザは、この段階で、表示領域908に表示された「再起動」にタッチすることにより、BRD124によるリブート処理を開始させることができる。BRD124は、NVRAMに登録された設定変更に関連するモジュール識別値やオプション識別値などを含む構成情報を使用して、順次処理モジュールをロードし、起動を行う。起動完了後、ユーザは、SDカードなどの記録媒体から取得したオプション設定やプログラムを使用する画像形成を行うことができる。
【0060】
図10は、図8に示した管理者確認画面からの入力データが、NVRAMなどに登録されている装置管理者による承認が得られなかった場合にCCS114が表示するディスプレイ表示1000を示す。図10に示したディスプレイ表示1000は、ファームウェアの構成変更は検出され、起動処理が停止したものの、装置管理者のログイン名およびパスワードの値が入力されず、ユーザは、再度「ログインして許可する」の表示領域1008をタッチすることにより、図8に示した管理者確認画面を表示させ、再度のログイン名およびパスワードの入力を行うことができる。
【0061】
一方、画像形成装置100は、装置管理者承認処理を開始すると、タイムアウトタイマのリセットおよび起動を開始し、タイムアウトの経過を監視する。タイムアウトタイマの満了前に装置管理者からの承認が受け付けられない場合、画像形成装置100は、起動処理を終了させ、待機状態に復帰することができる。また、他の実施形態では、タイムアウトタイマの満了までに装置管理者による承認が得られない場合、当該画像形成装置100の現在構成のまま起動処理を実行させ、オプション設定の再入力などによる画像形成を可能とすることもできる。
【0062】
また、さらに他の実施形態では、タイムアウトカウンタのかわりにリトライカウンタを実装することもできる。リトライカウンタは、ログイン名またはパスワードの総当たり的な攻撃から画像形成装置100を保護するために効果的であり、リトライ設定値を超えたログイン名およびパスワードの入力がなされると、起動処理を終了させるか、または画像形成装置100を現在構成のまま起動させる起動処理を実行することができる。
【0063】
以上説明したように、本画像形成装置によれば、SDカードなどの着脱自在の記録媒体から取得した構成情報を、そのまま画像形成装置100に実行させない。画像形成装置100は、画像形成装置100が記録媒体から取得した構成情報とその時点で画像形成装置100が構成のために使用している設定である現在構成とを最初に検査する。画像形成装置100は、検査の結果、変更内容を現在構成として反映させてかまわないことが承認されるまで、関連するミドルウェアシステム以外の起動を遮断する。このため、記録媒体から自動的に構成情報をロードする場合の他、記録媒体から画像形成装置100の起動後に手動でロードする設定の両方の設定について、スムーズな起動を行うことが可能となる。
【0064】
また、本実施形態の画像形成装置100では、例えばセキュリティレベルなどの設定が管理者やスーパユーザの権原にまで引上げられている構成情報について自動的にロードする設定の他、手動でロードする設定の場合についても、正当な権原を有する装置管理者の承認なく、セキュリティレベルの変更が不可能となり、画像形成装置100からの情報漏洩に対するロバスト性を与えることができる。
【0065】
また、本発明の上記機能は、アセンブラ、C、C++、Java(登録商標)、などのレガシープログラミング言語やオブジェクト指向プログラミング言語またはそれの適切な組合わせで記述された装置実行可能なプログラムにより実現でき、装置可読な記録媒体に格納して頒布することができる。
【0066】
これまで本発明について実施形態をもって説明してきたが、本発明は、上述した実施形態に限定されるものではなく、他の実施形態、追加、変更、削除など、当業者が想到することができる範囲内で変更することができ、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。
【図面の簡単な説明】
【0067】
【図1】本実施形態の画像形成装置の機能ブロック図。
【図2】画像形成装置が実行する処理の実施形態のフローチャート。
【図3】画像処理装置が、SDカードなどの記録媒体からオプション設定、プログラムおよびデータなどを含む構成情報を取得し、設定変更する場合の処理を示したシーケンスを示した図。
【図4】SDカードから構成情報を取得した場合であって、設定を変更する必要がないと判断した場合のシーケンスを示した図。
【図5】ユーザおよび装置管理者による承認に失敗したときの画像形成装置が実行する実施形態のシーケンスを示した図。
【図6】ミドルウェアシステムを実装する制御回路の実施形態を示した図。
【図7】図7は、画像形成装置のCCSがユーザ承認を受領するため、オペレーションパネルなどに表示させるディスプレイ表示の実施形態を示す
【図8】ユーザ承認後に画像形成装置が提供するディスプレイ表示の実施形態を示した図。
【図9】図8の装置管理者承認に成功した後、UCSが表示させるリブート指令画面の実施形態を示した図。
【図10】図8に示した管理者確認画面からの入力データが、NVRAMなどに登録されている装置管理者による承認が得られなかった場合にCCSが表示するディスプレイ表示を示した図。
【符号の説明】
【0068】
100…画像形成装置、102〜106…アプリケーション、110…API、112…SCS、114…CCS、116…LCS、118…UCS、120…OCS、122…OS、124…起動モジュール(BRD)、126…インタフェース(I/F)、128…ハードウェアモジュール群、600…制御回路、602…SCS処理部、604…LCS処理部、606…CCS処理部、608…USC処理部、612…内部バス、614…インタフェースバス、618…ストレージデバイス、620…システムバス
【技術分野】
【0001】
本発明は、画像形成に関し、より詳細には、記録媒体に登録された少なくとも1つのファームウェア設定に関連する構成情報を利用して画像形成を行う、画像形成装置、画像形成装置に起動方法、およびプログラムに関する。
【背景技術】
【0002】
近年、SDカード、ハードディスク装置、EEPROM、EPROM、NVRAMなどの書換え可能な記録媒体を実装する画像形成装置が知られている。記録媒体に登録された情報は、画像形成装置の起動時またはユーザからの読み取り指令などにより画像形成装置が読み出され、画像形成装置の処理実行のためのプログラムや各種データを提供する。
【0003】
例えば、特開2004−318871号公報(特許文献1)では、更新用OSをダウンロードして記憶させ、それとは別にリカバリプログラムを格納しておき、ダウンロードの成功または失敗に対応して、起動用プログラムの読み出し先を変更する画像形成装置を開示している。
【0004】
画像形成装置側では、記録媒体から取得したデータを使用して画像形成装置のセットアップを開始したり、またジョブ実行のためのハードウェアのセットアップを開始して、画像形成処理を開始する。
【0005】
また、特開2004−165734号公報(特許文献2)は、トラブル発生時のファームウェアの更新処理を開示する。しかしながら、画像形成装置がスムースに画像形成処理に遷移できるように、外部から移植される構成情報を検査する技術については何ら開示するものではない。
【特許文献1】特開2004−318871号公報
【特許文献2】特開2004−165734号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
すなわち、従来の画像形成装置では、記録媒体から取得したファームウェア設定に関連するオプション設定のデータやプログラムを読み込んでセットアップ処理を実行させる場合、画像形成装置のその時点でのオプション設定やプログラムなどの構成情報と適合していない場合も想定される。構成情報が適合していない環境で画像形成装置をリブートする場合、オプション設定などによっては、他の機能が利用不能となったり、ハードウェアモジュールの不具合を生じさせるケースも想定される。このような状況は発生すると、ユーザは、スムーズな画像形成処理を開始できず、かえって処理効率の低下を招くことになる。
【0007】
上述したファームウェア構成の装置であって、スムーズな画像形成の障害となる設定の不整合を、コンフリクトとして参照する。
【0008】
上述したハードウェア設定などの装置の他、近年では、オプション設定としてセキュリティ設定も設定可能な場合も想定される。セキュリティレベルを装置管理者やスーパユーザのレベルまで引き上げた構成情報を取得してしまうと無条件に画像形成装置が保有する個人情報などが取得されてしまうという不都合も想定される。
【0009】
セキュリティ設定は、ハードウェア構成や設定などのコンフリクトとして参照するファームウェア設定の不具合ではない。しかしながら、画像形成装置がネットワークを経由してデータサーバなどに接続されている場合には、画像形成装置を介してより重大な情報漏洩を引き起こす可能性がある。
【0010】
本発明は、上記従来技術の問題点に鑑みてなされたものであり、ファームウェア構成などの構成情報を記録媒体から取得して、よりスムーズ、かつ高いセキュリティ条件下で画像形成を行うことが可能な、画像形成装置、画像形成装置の起動方法、およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0011】
本発明は、SDカード、スマートメディア、USBメモリなどの記録媒体から取得したプログラムやデータを使用して、よりスムーズな画像形成を実行するため、画像形成装置は、構成情報を、一時記憶手段に一旦登録する。着脱自在な記録媒体から取得した構成情報は、画像形成装置がNVRAMなどの不揮発性記憶媒体に登録された構成情報である現在構成と比較・検査される。
【0012】
なお、本発明では、画像形成装置をその時点で起動するべきファームウェア設定を含む構成情報を現在構成として参照する。また、本発明では、ファームウェアとして許容可能なオプション機能、プログラム識別値、プログラムバージョン、セキュリティ設定の少なくとも1つを含むファームウェア構成を、構成情報として参照する。
【0013】
現在構成は、画像形成装置が初期起動される場合に、BOOTPプロトコルなどにしたがって読み出しが行われるNVRAMなどに登録されるデータである。また、現在構成とは、画像形成装置が省エネモードに遷移している場合であって、RAM内のデータをNVRAMなどに退避させている場合、退避先からRAM内に再構成される場合に再現される構成のことを意味する。
【0014】
また、構成情報は、本発明にしたがい、承認が得られたとき、現在構成の対応する項目を更新し、現在構成を更新することが可能なデータを意味する。承認が得られない場合、構成情報は破棄され、画像形成装置の現在構成として利用されない。
【0015】
また、画像形成装置は、当該比較・検査が終了するまで、比較および検査のための処理手段以外、他の制御システムに関連する起動指令を発行せず、この結果、他手段の起動が阻止される。
【0016】
このため、構成情報の承認を行うための制御システムしか起動させない。したがって、画像形成装置は記録媒体からの構成情報を自動読み込みする設定、または手動読み込みする設定にかかわらず、画像形成装置が記録媒体の構成情報をそのまま使用して自動的に起動されることによる問題を防止することができる。また、ユーザおよびセキュリティ設定に関するオプション設定が修正される場合についても検査・検査される。セキュリティ設定の照合結果についても装置管理者に通知され、ユーザおよび装置管理者による承認を受けた後に画像形成装置の起動が許可される。
【0017】
悪意あるユーザが、装置管理者やスーパユーザの権原でアクセスしようとしても、正当な装置管理者による承認がない限り、画像形成装置は起動されず、情報漏洩に対しても高いロバスト性を付与することができる。
【0018】
上記処理のため、画像形成装置は、記録媒体を介したアクセスを受領すると、直ちに指令される動作を行うのではなく、承認手段のみを起動し、記録媒体から取得した構成情報を、バッファメモリなどの一時記憶手段に格納する。一時記憶手段に格納された構成情報は、承認手段により、画像形成装置がNVRAMなどの不揮発性記憶手段に登録された現在設定と比較される。承認手段は、ミドルウェアシステムとして提供されており、例えば、特定用途集積回路(ASIC)として構成される制御回路として提供される。この検査の結果、設定変更が必要であると判断された場合、承認手段は、その時点で画像形成装置は、画像形成装置のファームウェア構成の修正を承認する権原を有する装置管理者の承認を要求する。
【0019】
画像形成装置は、装置管理者のログイン名やパスワードなどの管理者識別値の入力を受け付けない限り、一時記憶装置に登録された構成情報を、現在構成に反映することなく、画像形成装置自体の起動を停止させるか、または現在構成のまま、起動を行う。このため、画像形成装置は、よりスムーズに画像形成操作を行うことが可能となる。また、他の実施形態では、装置管理者は、画像形成装置からのSNMPプロトコルのトラップコマンドを通して設定変更の可能性を通知されても良い。この実施形態では、装置管理者は、パーソナルコンピュータに表示された変更内容などをチェックし、承認処理を行う。
【0020】
他の実施形態では、装置管理者は、当該通知を遠隔的に判断してプログラム、オプション機能の変更により生じる画像形成上の問題について判断することが可能となり、よりユーザの負担を軽減しつつ、スムーズに画像形成操作を行うことが可能となる。また、記録媒体に登録されたオプション設定によっては画像形成装置内に蓄積された個人情報などが事由に閲覧可能となる設定も想定できる。このような場合であっても、オプション設定が変更された時点で装置管理者により認証を経ることを可能とし、セキュリティ性を向上させることができる。
【発明を実施するための最良の形態】
【0021】
以下、本発明につき、実施形態をもって説明するが、本発明は上述する実施形態に限定されるものではない。図1は、本実施形態の画像形成装置100の機能ブロック図である。画像形成装置100は、コピー、ファクシミリ、プリンタ、スキャナなどの多機能を提供するMFP(Multi-Function Peripheral)として構成されている。この目的のため、画像形成装置100は、プリンタ機能、ファクシミリ機能、スキャナ機能を提供するための、複数のアプリケーション102、104、106とを含んで構成される。アプリケーション102〜106は、API(Application
Program Interface)を介して複数のミドルウェアシステムへと処理結果を渡し、またミドルウェアシステムからの指令を受領したOS122からの呼出しを受けて処理を開始または停止する。
【0022】
ミドルウェアシステムは、サービスコントロールシステム(SCS)112、サーティフィカットシステム(CCS)114、ログコントロールシステム(LCS)116、ユーザコントロールサービス(UCS)118、オペレーションコントロールサービス(OCS)120などの各種制御システムを実装する。なお、ミドルウェアシステムは、さらに、他の制御システムを含んで実装することができる。これらのミドルウェアシステムのうち、本画像形成装置100は、SCS112、CCS114および説明している実施形態では、ログを記録するためのLCS116がおよびユーザインタフェースを提供するUCS118が承認手段を構成するものとして説明する。なお、LCS116は、ログ管理を承認プロセスで使用しない場合、承認手段から排除することもできる。
【0023】
ミドルウェアシステム112〜120は、UNIX(登録商標)、Linux(登録商標)などのオペレーティングシステム(以下、単にOSとして参照する。)122との間で通信を行う。OS122は、中央処理装置(CPU)により実行され、システム上の処理およびアプリケーションの実行管理などを行っている。ミドルウェアシステム112〜120が発生した処理要求は、ミドルウェアシステムのI/OポートおよびCPUなどのI/Oポートを介して割込、シリアル通信パラレルなどのデータ送受信などにより通信される。OS側では、当該割込をI/Oポートを介して受け付け、例えば、OS122が実装するシグナルハンドラなどを介して、OSのプロセスへと通知され、各種のプロセス間通信を介してデータ処理、アプリケーションの呼出し・終了およびメモリ管理などが制御される。
【0024】
本実施形態では、OS122は、C、C++、Java(登録商標)などのコンパイラ、リンカなどを実装し、各種言語で記述されたアプリケーションを起動し、プロセス間通信を使用してアプリケーションの管理を行う。OSは、アプリケーションの処理終了および処理結果を各種コントロールシステムに通知して、画像形成装置100がユーザ指令に基づく画像形成を可能とさせている。
【0025】
OS122は、画像形成装置100が起動される場合に、装置設定を行い、起動するべきプログラムをロードさせるための起動モジュール(BRD)124を含んで実装する。BRD124は、OS122に標準搭載されたBOOTPプロトコルを利用するブートローダを含む構成とすることができる。また、BRD124は、記録媒体が存在する場合、記録媒体に登録されたプログラムやオプション設定などを含む構成情報を取得する。この場合、SDカードなどの記録媒体に登録された構成情報は、動作に必要とされる全情報とすることもできるし、ユーザがオプションで設定した項目のみを構成情報として登録することができる。
【0026】
BRD124は、起動時に、ブート処理に先立ってSDカード、スマートメディアスティック型メモリなどの着脱自在の記録媒体から取得したファームウェア構成を含む構成情報を、バッファメモリなどとして構成される一時記憶手段に格納する。また、BRD124は、NVRAM(不図示)といった不揮発性記憶手段から、画像形成装置100のプログラム識別値、プログラムバージョン、オプション設定、セキュリティ設定などの現在構成を取得する。これらの構成情報および現在構成は、比較および検査の効率を考慮して、共通の項目を含んで構成される構成情報リストなどのデータ構造とすることができる。
【0027】
BRD124は、記録媒体に記録されたデータと、画像形成装置100の現在構成との比較結果を使用して、記録媒体の存在および比較の結果に応答した起動処理を各ミドルウェアシステムに通知する。BRD124による起動処理は、(1)記録媒体が存在しない場合、または比較の結果構成変更がない場合、または常に現在構成で起動する場合、現在構成のまま起動処理を実行する:
(2)記録媒体が存在し、記録媒体のデータと現在構成とが相違している場合であって、ユーザおよび装置管理者の認証が得られた場合、記録媒体から取得したデータを含むように現在構成を更新し、起動処理を実行する:
(3)記録媒体が存在し、記録媒体のデータと現在構成とが相違している場合であって、ユーザおよび装置管理者の認証が得られない場合、記録媒体のデータを廃棄して起動処理を終了するか、または現在構成を使用して起動処理を実行する:
の複数の起動条件にしたがい、異なる内容の起動処理を実行する。
【0028】
画像形成装置100は、さらにハードウェアを制御するためのインタフェース(I/F)126を介して各種のハードウェアモジュール群を制御する。ハードウェアモジュール群には、プリンタモジュール、コピーモジュール、ファックスモジュール、スキャナモジュールなど画像形成に必要なモジュールの他、RAM、ROM、NVRAM、SDカード、スマートメディア、USBメモリなどのメモリ手段や、ハードディスク装置などを含むことができる。また、RAMの一部は、本発明では、記録媒体から取得した構成情報を一時的に記憶する一時記憶手段を提供することができる。また、この一時記憶手段は、ミドルウェアシステムを構成するASIC内に実装することもできる。NVRAMは、画像形成装置100の現在構成を構成情報リストのデータ構造などとして登録しており、不揮発性記憶手段として機能している。オプション設定が正当に修正される場合には、変更後のオプション設定を当該画像形成装置100の現在構成として登録する。
【0029】
また、SDカード、スマートカードまたはUSBメモリなどの着脱自在の記録媒体は、他の画像形成装置(不図示)でユーザがオプション設定した条件データ、プログラムなどのファームウェア設定の他、セキュリティ情報などを登録している。画像形成装置100は、記憶媒体が挿入された状態でユーザからタッチパネルを介した指令を受け付けた時点で起動モジュールを起動させ、記録媒体からの構成情報についての承認結果に応答した内容の起動処理を実行する。
【0030】
図2は、画像形成装置100が実行する処理の実施形態のフローチャートである。図2に示した処理は、ステップS200から開始し、ステップS201で、BRD124は、構成変更検出モード設定情報を取得する。構成情報変更検出モード設定情報は、例えば、SCS112がユーザからの指令またはサービスマンの設定などにより変更され、例えば、NVRAMの適切なアドレスのフラグなどとして設定することができる。
【0031】
その後、ステップS202で、BRD124は、NVRAMなどの不揮発性記憶領域に格納された構成変更検出モード設定情報を検査し、構成変更検出モードとなっているか否かを判断する。構成変更検出モード設定情報が構成変更を検出する値に設定されている場合(yes)、ステップS203で現在、画像形成装置100の構成情報としてNVRAMなどに格納されている構成情報をRAMなどに取得する。ステップS204では、SDカードなどの記録媒体に登録された構成情報を、バッファメモリなどに取得する。
【0032】
ステップS205では、取得した構成情報と現在構成とを比較し構成変更が検出された場合(yes)、BRD124または他の適切なモジュールがステップS206で、同一項目に登録されたnullではないデータ内容であって、構成情報と、現在情報とが異なるプログラム識別値、プログラムバージョン、オプション識別値、セキュリティ設定などの値を取得して、一旦バッファリングする。これらの値は、承認後に現在設定を更新するために利用される。
【0033】
また、ステップS205で取得した構成情報と現在構成とを比較して、相違項目を検査し、構成変更が検出されない場合(no)、処理をステップS213に分岐させて、リブートを行うことなく、現在設定のままで起動させる。
【0034】
ステップS207では、当該変更をユーザが承認したか否かを判断する。ユーザが当該変更を承認した場合(yes)、続いてステップS208で装置管理者からの承認を受領したか否かを判断する。なお、ユーザの承認は、画像形成装置100のタッチパネルなどを介して入力される。また、装置管理者からの許可は、装置管理者が画像形成装置100のタッチパネルから装置管理者のログイン名およびパスワードなどの管理者識別値が入力されたことにより判断する。
【0035】
なお、画像形成装置100がハードウェアモジュールとしてNIC(Network Interface Card)を実装し、SNMPプロトコルを使用したスレーブ管理を介して装置管理者などのパーソナルコンピュータと通信できる場合には、LAN経由で装置管理者のパーソナルコンピュータからの承認を受領して判断することもできる。
【0036】
ステップS208で装置管理者からの承認が得られた場合(yes)、バッファリングしておいた構成情報について、例えばSCS112は、バッファリングされた構成情報のうち、現在構成と同一の項目であって内容の異なる値で現在構成を上書きして、NVRAM内に登録された構成情報である現在構成を更新する。BRD124は、更新された現在構成にしたがってステップS210でリブートを実行し、変更された条件で画像形成装置100を立ち上げる。なお、現在構成を修正する構成情報更新手段は、SCS112の他、いかなる適切な手段、例えばBRD124にも実装することができる。
【0037】
一方、BRD124が構成変更検出モードではないと判断した場合、処理をステップS213に分岐させ、構成情報として現在構成を使用して起動処理を開始する。現在構成を使用する起動処理は、2態様想定される。例えば、画像形成装置100が電源断などの状態から起動される場合および省エネモードなどから復帰する場合である。電源断などの状態から復帰する場合、画像形成装置は、BOOTPプロトコルなどに従い、システムを検査し、各デバイス状態の確認などを行って、ミドルウェアの設定、アプリケーションのロードおよび起動などを実行する。また、省エネモードからの復帰の場合、NVRAMなどに退避させておいたRAM内での実行環境をRAMに読み出し、アプリケーションなどを差イロードする処理を実行する。
【0038】
これらのいずれの場合も、NVRAMに格納されて現在設定をそのまま利用して画像形成装置100を起動することとなるので、画像形成装置100の動作設定を全く変更しない。
【0039】
また、ステップS207でユーザによる承認が得られない場合(no)処理をステップS212に分岐させて処理を終了する。また、ステップS208で装置管理者の承認がなされなかった場合(no)、処理をステップS211に分岐させ、さらにタイムアウトが経過したか否かを判断する。タイムアウトが経過していない場合(no)、ステップS208に処理を戻し、装置管理者からの承認を待機する。一方、ステップS211でタイムアウトが経過した場合(yes)、処理は、ステップS212に分岐して全体の処理を終了させる。なお、他の実施形態では、タイムアウトタイマではなく、リトライカウンタを実装しておき、設定されたリトライ数を超えた場合、処理をステップS212に分岐させても良い。
【0040】
図3は、画像処理装置100が、SDカードなどの記録媒体から構成情報を取得し、設定変更する場合の処理を示したシーケンス300である。図3に示したシーケンス300では、BRD124は、画像形成装置100がユーザからの起動指令を受け付けると、起動され、ステップS301でSDカードからのオプション設定などの構成情報の取得する。次いで、ステップS302でNVRAMに登録されたファームウェア設定を現在構成として読み取る。その後、BRD124は、読み込んだ構成情報と現在構成とを比較し、構成の相違についての検査を実行する。
【0041】
この比較で、設定変更が検出される場合、BRD124は、ステップS303〜ステップS305でそれぞれSCS112、CCD114、LCS116に設定変更が検出されたことを通知する。SCS112は、設定変更検出の通知を受け付けると、ユーザ入力および装置管理者入力を可能とするために、オペレーションパネルなどを表示させるUCS118を起動させる。また、CCS114、LCS116は、ステップS304およびステップS305で設定変更検出が通知されると起動する。この段階で、SCS112は、ユーザがその他の指令ボタンの押し下げた場合でも指令されたサービスモジュールの起動を許可せず、入力されたとしても当該指令をアボートし、承認が完了するまで画像形成装置100を、初期承認状態に保持させている。
【0042】
LCS116は、ステップS305の通知を受領すると、その通知をログに記入する。一方、CCS114は、画像形成装置100のタッチパネル上にユーザ承認および装置管理者による承認を行うための承認画面を表示させ、ユーザ承認および装置管理者承認の両方の値がtrueとなったとき、ステップS306でSCS112に対して承認成功を通知する。SCS112は、当該通知を受領すると、ステップS307でBRD124に対して承認が成功したことを通知する。SCS112からの承認成功の通知を受け付けると、BRD124は、ステップS308でそれまで一旦バッファリングしておいた構成変更に関連するモジュール識別値やプログラム識別値などをNVRAMに登録した現在構成を更新する。なお、現在構成の更新や、データ読み出し、比較等の処理は、BRD124自体ではなく、BRD124の指令を受領したSCS112が実行することもできる。
【0043】
ステップS309〜ステップS311では、BRD124は、SCS112、CCS114、LCA116に対してリブート開始を通知する。なお、このとき、LCS116は、リブートをログとして記録する。ステップS312で、BRD124は、リブート処理を開始し、更新された構成情報を使用して画像形成装置100の初期セットアップを実行する。BRD124は、BOOTPプロトコルなどを使用してミドルウェアシステムの設定および起動を行い、アプリケーションのロードなどを実行し、画像形成装置100を、ユーザからの指令を待機する状態とする。
【0044】
なお、本発明の他の実施形態では、BRD112は、直接管理するSCS112に対してのみ設定変更検出情報を通知することができる。この場合、SCS112は、設定変更検出通知を受領して起動し、それぞれ承認手段として登録されたCCS114、LCS116およびUCS118に起動のための割込を送付することもできる。同様に、BRD124は、リブート開始の通知をSCS112のみに発行することもできる。
【0045】
なお、説明している他の実施形態では、リブート開始の通知を受領した受け取ったSCS112は、承認処理の場合と同様に、それぞれCCS114およびLCS116に対してリブート開始通知を発行し、各システムのシャットダウン処理を開始させてもよい。なお、各ミドルウェアシステムとOSとの間の通信は、OS側のシグナルなどを使用するプロセス間通信および割込などを使用して実行される。このため、BRD124が直接指令するミドルウェアシステムが少なくなるほど、シグナルハンドラに対する修正も少なくて済み、効率的にBRD124を構成することができる。
【0046】
図4は、SDカードから構成情報を取得した場合であって、設定を変更する必要がないと判断した場合のシーケンス400を示す。BRD124は、ステップS401で現在構成をNVRAMなどから取得する。ステップS402では、SDカードに登録されたファームウェア設定についての構成情報を読み込ませる。その後、BRD124は、構成情報と現在構成とを比較結果の通知を使用して、その内容が完全に一致したと判断する。この場合、BRD124は、ステップS403〜ステップS405で設定変更不検出をSCS112、CCS114、LCS116に通知する。
【0047】
また、設定変更不検出の通知は、SCS112のみに通知されてもよい。この場合、SCS112は、CCS114およびLCS116に設定変更不検出を通知する。この段階でLCS116は、構成変更せずに画像形成装置100が起動されたことをログに記録する。さらにSCS112は、ステップS406で他のミドルウェアシステムに対し起動を通知し、同時にOSに通知を行い、OSに対し、現在構成で指定される各アプリケーションのロード開始またはメソッド呼出しなどを実行させる。
【0048】
図5は、ユーザおよび装置管理者による承認に失敗したときの画像形成装置100が実行する実施形態のシーケンス500を示す。BRD124は、ステップS501で現在構成をNVRAMなどから取得する。その後、さらにステップS502で画像形成装置100の現在構成を取得する。ステップS503〜ステップS505で、構成情報と現在情報とを比較させて設定変更を検出し、設定変更検出通知をSCS112、CCS114、LCS116に対して通知する。
【0049】
また、説明している実施形態では、CCS114は、ユーザ承認がなされたものの、装置管理者承認が、タイムアウトが満了するまでに受領できなかったので、BRD124に対してステップS507で承認失敗を通知する。BRD124は、ステップS509〜ステップS512で、SCS112〜LCS116に対して起動処理終了を通知する。その後、SCS112は、UCS118に対して起動処理が承認を受けられなかったので終了する旨の通知をユーザに表示させてもよい。その後、BRD124は、メモリなどのハードウェアリソースを開放して処理を終了する。なお、図5に示した実施形態でも、BRD124は、直接的にSCS112のみに通知を行い、以後の通知をSCS112に管理させることもできる。
【0050】
以上のシーケンス300、シーケンス400、およびシーケンス500を実装することにより、画像形成装置100は、承認を受けないと画像形成装置100がスムーズに画像形成を行うことができなくなるオプション設定やプログラムなどを無条件に実行することなく、画像形成装置100が提供することができる機能範囲で最適な画像形成動作を可能とする。また、セキュリティ設定が、画像形成装置100のセキュリティレベルを装置管理者レベルに引き上げるような設定がなされる場合であっても、装置管理者による承認がなされない限り、現在構成が修正されない。このため、本実施形態の画像形成装置100は、画像形成装置100が保有する個人情報、または画像形成装置100を介してネットワーク接続されたサーバなどに保管された各種情報への管理者レベルでのアクセスを可能とする設定変更を防止することができる。
【0051】
図6は、ミドルウェアシステムを実装する制御回路の実施形態を示す。図6に示す制御回路600は、SCS処理部602と、LCS処理部604と、CCS処理部606と、UCS処理部608とを実装している。これらは、単一またはそれぞれ独立した特定用途集積回路(ASIC)とされ、単一の制御器板上に実装されてもよい。SCS処理部602〜UCS処理部608は、ミドルウェアシステムとしてそれぞれ、OS122と通信し、各種アプリケーションの呼出しやデータ送受信などを制御する。
【0052】
これらの処理部は、内部バス612を介して相互接続されていて、各処理部間の通信を可能としている。また、内部バス612は、システムバス620およびインタフェースバス614に接続されている。インタフェースバス614は、適切なインタフェースを介してNVRAM、SDカード、バッファメモリなどのストレージデバイスに接続されていて、制御回路600からのデータ書き込みおよび読み出しを可能とする。
【0053】
制御回路600は、画像形成装置100に対してユーザアクセスがあり、BRD124が構成変更検出モードであると判断した場合に、他のミドルウェアシステムから独立して起動が通知されて、その処理を開始する。制御回路600は、BRD124からの共通の割込信号として処理し、SCS処理部602〜LCS処理部608を同時に起動させることができる。また、他の実施形態では、BRD124からの通知をまず、SCS処理部602が受領し、その後SCS112がその他の処理モジュールの起動を管理する構成とすることができる。本実施形態で承認が不成功となった場合、SCS処理部602は、制御回路600以外のミドルウェアシステムに対して起動割込などの通知を行わず、画像形成装置の各種機能の開始を防止する。
【0054】
図7は、画像形成装置のCCS114がユーザ承認を受領するため、オペレーションパネルなどに表示させるディスプレイ表示700の実施形態を示す。図7に示すように、CCS114は、表示領域702内に、ユーザ承認を受領するために、ファームウェアの構成変更が検出され処理が一時停止していること、および承認を得るために、この構成で起動を許可する場合の処理を表示し、ユーザによる後続処理を待機している。
【0055】
また、表示領域704内に、変更が検出されたモジュールのモジュール識別値(図示した実施形態ではプログラム)と、そのバージョン値1.13などが表示され、ユーザに対し、確認を促している。ユーザは、表示領域704で変更に関連する項目を確認する。確認後、ユーザは、「ログインして許可する」の表示された領域にタッチすることにより、ユーザ承認を行う。
【0056】
図8は、その後画像形成装置100が提供するディスプレイ表示を示す。図8に示されたディスプレイ表示800の表示領域802内には、管理者確認画面であることが表示されている。さらに、装置管理者のログイン名を入力することを表示する表示領域804と、そのパスワードを入力することを表示する表示領域806とが表示されている。装置管理者は、図8に示された表示領域内のログイン名およびパスワードを入力するべき領域に、それぞれログイン名、パスワードを入力する。その後、「ログイン」が表示された表示領域808にタッチすることにより、装置管理者承認を与える。
【0057】
なお、他の実施形態で、画像形成装置100がこの段階で、例えばSNMPプロトコルで規定されるトラップコマンドを装置管理者のパーソナルコンピュータに送信することもできる。この実施形態の場合、装置管理者のパーソナルコンピュータは、SNMPプロトコルでのマスタノードとして機能する。パーソナルコンピュータは、設定変更が検出され、ユーザ承認がなされた段階で、承認を要求するメッセージを装置管理者のパーソナルコンピュータに送付する。装置管理者のパーソナルコンピュータは、当該メッセージの受信に対応して図8に表示されたディスプレイ表示を含むウィンドウを表示させ、パーソナルコンピュータから、ログイン名およびパスワードを入力し、送信することができる。この実施形態では、装置管理者がログイン名およびパスワードの入力を行う場合にユーザによりそれらの値が取得されてしまうなどの不都合が防止できる。
【0058】
図9は、図8の装置管理者承認に成功した後、UCS118が表示させるリブート指令画面を示す。SCS112は、CCS114から装置管理者承認を受領したとの通知を受け取ると、図9の表示画面をオペレーションパネルなどに表示させる。リブート指令画面900の表示領域902には、ファームウェアの構成が変更されたこと、およびそのために再起動が必要であることを表示するテキストストリング904が表示されている。
【0059】
また、表示領域906には変更が確定された構成変更に関連する項目が表示されていて、ユーザが変更する構成内容の再確認を可能としている。ユーザは、この段階で、表示領域908に表示された「再起動」にタッチすることにより、BRD124によるリブート処理を開始させることができる。BRD124は、NVRAMに登録された設定変更に関連するモジュール識別値やオプション識別値などを含む構成情報を使用して、順次処理モジュールをロードし、起動を行う。起動完了後、ユーザは、SDカードなどの記録媒体から取得したオプション設定やプログラムを使用する画像形成を行うことができる。
【0060】
図10は、図8に示した管理者確認画面からの入力データが、NVRAMなどに登録されている装置管理者による承認が得られなかった場合にCCS114が表示するディスプレイ表示1000を示す。図10に示したディスプレイ表示1000は、ファームウェアの構成変更は検出され、起動処理が停止したものの、装置管理者のログイン名およびパスワードの値が入力されず、ユーザは、再度「ログインして許可する」の表示領域1008をタッチすることにより、図8に示した管理者確認画面を表示させ、再度のログイン名およびパスワードの入力を行うことができる。
【0061】
一方、画像形成装置100は、装置管理者承認処理を開始すると、タイムアウトタイマのリセットおよび起動を開始し、タイムアウトの経過を監視する。タイムアウトタイマの満了前に装置管理者からの承認が受け付けられない場合、画像形成装置100は、起動処理を終了させ、待機状態に復帰することができる。また、他の実施形態では、タイムアウトタイマの満了までに装置管理者による承認が得られない場合、当該画像形成装置100の現在構成のまま起動処理を実行させ、オプション設定の再入力などによる画像形成を可能とすることもできる。
【0062】
また、さらに他の実施形態では、タイムアウトカウンタのかわりにリトライカウンタを実装することもできる。リトライカウンタは、ログイン名またはパスワードの総当たり的な攻撃から画像形成装置100を保護するために効果的であり、リトライ設定値を超えたログイン名およびパスワードの入力がなされると、起動処理を終了させるか、または画像形成装置100を現在構成のまま起動させる起動処理を実行することができる。
【0063】
以上説明したように、本画像形成装置によれば、SDカードなどの着脱自在の記録媒体から取得した構成情報を、そのまま画像形成装置100に実行させない。画像形成装置100は、画像形成装置100が記録媒体から取得した構成情報とその時点で画像形成装置100が構成のために使用している設定である現在構成とを最初に検査する。画像形成装置100は、検査の結果、変更内容を現在構成として反映させてかまわないことが承認されるまで、関連するミドルウェアシステム以外の起動を遮断する。このため、記録媒体から自動的に構成情報をロードする場合の他、記録媒体から画像形成装置100の起動後に手動でロードする設定の両方の設定について、スムーズな起動を行うことが可能となる。
【0064】
また、本実施形態の画像形成装置100では、例えばセキュリティレベルなどの設定が管理者やスーパユーザの権原にまで引上げられている構成情報について自動的にロードする設定の他、手動でロードする設定の場合についても、正当な権原を有する装置管理者の承認なく、セキュリティレベルの変更が不可能となり、画像形成装置100からの情報漏洩に対するロバスト性を与えることができる。
【0065】
また、本発明の上記機能は、アセンブラ、C、C++、Java(登録商標)、などのレガシープログラミング言語やオブジェクト指向プログラミング言語またはそれの適切な組合わせで記述された装置実行可能なプログラムにより実現でき、装置可読な記録媒体に格納して頒布することができる。
【0066】
これまで本発明について実施形態をもって説明してきたが、本発明は、上述した実施形態に限定されるものではなく、他の実施形態、追加、変更、削除など、当業者が想到することができる範囲内で変更することができ、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。
【図面の簡単な説明】
【0067】
【図1】本実施形態の画像形成装置の機能ブロック図。
【図2】画像形成装置が実行する処理の実施形態のフローチャート。
【図3】画像処理装置が、SDカードなどの記録媒体からオプション設定、プログラムおよびデータなどを含む構成情報を取得し、設定変更する場合の処理を示したシーケンスを示した図。
【図4】SDカードから構成情報を取得した場合であって、設定を変更する必要がないと判断した場合のシーケンスを示した図。
【図5】ユーザおよび装置管理者による承認に失敗したときの画像形成装置が実行する実施形態のシーケンスを示した図。
【図6】ミドルウェアシステムを実装する制御回路の実施形態を示した図。
【図7】図7は、画像形成装置のCCSがユーザ承認を受領するため、オペレーションパネルなどに表示させるディスプレイ表示の実施形態を示す
【図8】ユーザ承認後に画像形成装置が提供するディスプレイ表示の実施形態を示した図。
【図9】図8の装置管理者承認に成功した後、UCSが表示させるリブート指令画面の実施形態を示した図。
【図10】図8に示した管理者確認画面からの入力データが、NVRAMなどに登録されている装置管理者による承認が得られなかった場合にCCSが表示するディスプレイ表示を示した図。
【符号の説明】
【0068】
100…画像形成装置、102〜106…アプリケーション、110…API、112…SCS、114…CCS、116…LCS、118…UCS、120…OCS、122…OS、124…起動モジュール(BRD)、126…インタフェース(I/F)、128…ハードウェアモジュール群、600…制御回路、602…SCS処理部、604…LCS処理部、606…CCS処理部、608…USC処理部、612…内部バス、614…インタフェースバス、618…ストレージデバイス、620…システムバス
【特許請求の範囲】
【請求項1】
画像形成装置に着脱自在に構成された記録媒体から取得し、前記画像形成装置が利用する少なくとも1つのファームウェア構成である構成情報を一時記録する一時記憶手段と、
前記画像形成装置が現在起動時に利用するファームウェア構成である現在構成を記録する不揮発性記憶手段と、
前記現在構成と前記一時記憶手段に記憶された構成情報との間に設定の相違がある場合、前記構成情報を前記画像形成装置の前記現在構成として承認するための承認手段と、
前記構成情報と前記現在構成とが相違すると判断した場合に設定変更検出を通知して前記承認手段のみを起動し、前記承認手段の承認結果に対応し前記現在構成または前記構成情報により更新した異なる現在構成を使用して前記画像形成装置を起動する起動手段と
を含む画像形成装置。
【請求項2】
前記画像形成装置は、
前記承認手段により、前記構成情報が前記画像形成装置の前記現在構成として承認された場合、前記構成情報を含むように前記不揮発性記憶手段に登録された現在構成を更新する構成情報更新手段と、
前記承認手段により、前記構成情報を前記画像形成装置の前記現在構成として承認されない場合、前記構成情報の有無によらず、前記現在構成を保存する構成情報保存手段と
を含む請求項1に記載の画像形成装置。
【請求項3】
前記起動手段は、前記承認手段により前記構成情報が承認された場合には、前記更新された前記構成情報にしたがって前記画像形成装置のリブート処理を実行し、前記承認手段により承認されない場合、起動処理を終了させるか、または前記現在構成にしたがって前記画像形成装置の起動処理を実行する、請求項2に記載の画像形成装置。
【請求項4】
前記画像形成装置は、前記承認手段による承認が成功するまで前記画像形成装置の他手段の起動を阻止する、請求項1〜3のいずれか1項に記載の画像形成装置。
【請求項5】
前記ファームウェア構成は、少なくともオプション設定、プログラム、プログラムバージョン、またはセキュリティ設定を含むデータを含む群から選択される、請求項1〜4のいずれか1項に記載の画像形成装置。
【請求項6】
画像形成装置の起動方法であって、着脱自在な記録媒体から取得したファームウェア構成である構成情報を一時記憶手段に読み込むステップと、
画像形成装置が現在起動時に利用するファームウェア構成である現在構成を不揮発性記憶手段から読み込むステップと、
前記構成情報と前記現在構成との間の設定の相違を検出するステップと、
前記設定の装置が検出された場合、前記構成情報を前記画像形成装置の前記現在構成として承認するか否かを外部入力を使用して決定するステップと、
前記構成情報と前記現在構成とが相違すると判断した場合に設定変更検出を通知して承認手段のみを起動し、承認手段の承認結果に対応し前記現在構成または前記構成情報により更新した異なる現在構成を使用して前記画像形成装置を起動するステップと
を含む、画像形成装置の起動方法。
【請求項7】
前記起動するステップは、
前記構成情報を前記画像形成装置の前記現在構成として承認された場合、前記構成情報を前記現在構成として使用してリブートするステップと、
前記構成情報を前記画像形成装置の前記現在構成として承認されない場合、前記構成情報の有無によらず、前記現在構成のまま起動するステップと、
を含む請求項6に記載の起動方法。
【請求項8】
前記承認手段による承認が成功するまで前記画像形成装置の他手段の起動を阻止するステップを含む、請求項6または7に記載の起動方法。
【請求項9】
前記ファームウェア構成は、少なくともオプション設定、プログラム、プログラムバージョン、またはセキュリティ設定を含むデータを含む群から選択される、請求項6〜7のいずれか1項に記載の起動方法。
【請求項10】
画像形成装置を、請求項1〜5のいずれか1項に記載の各手段として機能させる、装置実行可能なプログラム。
【請求項1】
画像形成装置に着脱自在に構成された記録媒体から取得し、前記画像形成装置が利用する少なくとも1つのファームウェア構成である構成情報を一時記録する一時記憶手段と、
前記画像形成装置が現在起動時に利用するファームウェア構成である現在構成を記録する不揮発性記憶手段と、
前記現在構成と前記一時記憶手段に記憶された構成情報との間に設定の相違がある場合、前記構成情報を前記画像形成装置の前記現在構成として承認するための承認手段と、
前記構成情報と前記現在構成とが相違すると判断した場合に設定変更検出を通知して前記承認手段のみを起動し、前記承認手段の承認結果に対応し前記現在構成または前記構成情報により更新した異なる現在構成を使用して前記画像形成装置を起動する起動手段と
を含む画像形成装置。
【請求項2】
前記画像形成装置は、
前記承認手段により、前記構成情報が前記画像形成装置の前記現在構成として承認された場合、前記構成情報を含むように前記不揮発性記憶手段に登録された現在構成を更新する構成情報更新手段と、
前記承認手段により、前記構成情報を前記画像形成装置の前記現在構成として承認されない場合、前記構成情報の有無によらず、前記現在構成を保存する構成情報保存手段と
を含む請求項1に記載の画像形成装置。
【請求項3】
前記起動手段は、前記承認手段により前記構成情報が承認された場合には、前記更新された前記構成情報にしたがって前記画像形成装置のリブート処理を実行し、前記承認手段により承認されない場合、起動処理を終了させるか、または前記現在構成にしたがって前記画像形成装置の起動処理を実行する、請求項2に記載の画像形成装置。
【請求項4】
前記画像形成装置は、前記承認手段による承認が成功するまで前記画像形成装置の他手段の起動を阻止する、請求項1〜3のいずれか1項に記載の画像形成装置。
【請求項5】
前記ファームウェア構成は、少なくともオプション設定、プログラム、プログラムバージョン、またはセキュリティ設定を含むデータを含む群から選択される、請求項1〜4のいずれか1項に記載の画像形成装置。
【請求項6】
画像形成装置の起動方法であって、着脱自在な記録媒体から取得したファームウェア構成である構成情報を一時記憶手段に読み込むステップと、
画像形成装置が現在起動時に利用するファームウェア構成である現在構成を不揮発性記憶手段から読み込むステップと、
前記構成情報と前記現在構成との間の設定の相違を検出するステップと、
前記設定の装置が検出された場合、前記構成情報を前記画像形成装置の前記現在構成として承認するか否かを外部入力を使用して決定するステップと、
前記構成情報と前記現在構成とが相違すると判断した場合に設定変更検出を通知して承認手段のみを起動し、承認手段の承認結果に対応し前記現在構成または前記構成情報により更新した異なる現在構成を使用して前記画像形成装置を起動するステップと
を含む、画像形成装置の起動方法。
【請求項7】
前記起動するステップは、
前記構成情報を前記画像形成装置の前記現在構成として承認された場合、前記構成情報を前記現在構成として使用してリブートするステップと、
前記構成情報を前記画像形成装置の前記現在構成として承認されない場合、前記構成情報の有無によらず、前記現在構成のまま起動するステップと、
を含む請求項6に記載の起動方法。
【請求項8】
前記承認手段による承認が成功するまで前記画像形成装置の他手段の起動を阻止するステップを含む、請求項6または7に記載の起動方法。
【請求項9】
前記ファームウェア構成は、少なくともオプション設定、プログラム、プログラムバージョン、またはセキュリティ設定を含むデータを含む群から選択される、請求項6〜7のいずれか1項に記載の起動方法。
【請求項10】
画像形成装置を、請求項1〜5のいずれか1項に記載の各手段として機能させる、装置実行可能なプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2009−20566(P2009−20566A)
【公開日】平成21年1月29日(2009.1.29)
【国際特許分類】
【出願番号】特願2007−180711(P2007−180711)
【出願日】平成19年7月10日(2007.7.10)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
【公開日】平成21年1月29日(2009.1.29)
【国際特許分類】
【出願日】平成19年7月10日(2007.7.10)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
[ Back to top ]