画像形成装置及びデータ管理方法
【課題】電子データが解読される可能性を低減させることのできる画像形成装置及びデータ管理方法の提供を目的とする。
【解決手段】第一の暗号鍵が予め記録された第一の記憶手段と、保存対象とされた電子データの入力を受け付けるデータ入力手段と、前記電子データを前記第一の暗号鍵によって復号する第一の復号手段と、復号された前記電子データを第二の記憶手段に保存する保存手段とを有することにより上記課題を解決する。
【解決手段】第一の暗号鍵が予め記録された第一の記憶手段と、保存対象とされた電子データの入力を受け付けるデータ入力手段と、前記電子データを前記第一の暗号鍵によって復号する第一の復号手段と、復号された前記電子データを第二の記憶手段に保存する保存手段とを有することにより上記課題を解決する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、画像形成装置及びデータ管理方法に関する。
【背景技術】
【0002】
近年では、その出荷後にプログラムを追加インストール可能な画像形成装置が提供されている。また、このようなプログラムについても、例えば、画像形成装置のメーカーが運営するWebサイト等よりネットワークを介してダウンロードが可能とされている。
【0003】
ネットワークを介してプログラムの流通を可能とすることにより、画像形成装置のユーザは、簡便にプログラムを入手し、当該画像形成装置の機能強化を行うことができる。
【特許文献1】特開2005−275694号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、プログラムの入手者が善意のユーザばかりであるとは限らない。例えば、入手したプログラムを解読し、海賊版の作成等を試みる者が存在するかもしれない。特に、近年、画像形成装置においてもJava(登録商標)によるプログラムが実行可能とされているが、Java(登録商標)の中間コードの解読は他の言語によるプログラムに比べて非常に容易であり、解読を支援するツールも出回っているという実情がある。
【0005】
本発明は、上記の点に鑑みてなされたものであって、電子データが解読される可能性を低減させることのできる画像形成装置及びデータ管理方法の提供を目的とする。
【課題を解決するための手段】
【0006】
そこで上記課題を解決するため、本発明は、第一の暗号鍵が予め記録された第一の記憶手段と、保存対象とされた電子データの入力を受け付けるデータ入力手段と、前記電子データを前記第一の暗号鍵によって復号する第一の復号手段と、復号された前記電子データを第二の記憶手段に保存する保存手段とを有することを特徴とする。
【0007】
このような画像形成装置では、電子データが解読される可能性を低減させることができる。
【発明の効果】
【0008】
本発明によれば、電子データが解読される可能性を低減させることのできる画像形成装置及びデータ管理方法を提供することができる。
【発明を実施するための最良の形態】
【0009】
以下、図面に基づいて本発明の実施の形態を説明する。図1は、本発明の実施の形態におけるシステム構成例を示す図である。同図において、配布サーバ10と一台以上の機器20とはインターネット又はLAN(Local Area Network)等のネットワーク30によって接続されている。
【0010】
配布サーバ10は、プログラム11を管理し、機器20からのダウンロード要求に応じてプログラム11の配布を実行するコンピュータである。配布サーバ10において、プログラム11は、暗号鍵Bによって暗号化されている。したがって、ダウンロード時において、プログラム11は暗号化された状態でネットワーク上を流通する。なお、図中においてプログラム11は一つのブロックとして記載されているが、実現する機能の別(アプリケーションの種別)に応じて複数存在し得る。
【0011】
機器20は、コピー機能、印刷機能、スキャナ機能、及びFAX機能等を一台の筐体において実現する、一般的に複合機又は融合機と呼ばれる画像形成装置である。機器20は、配布サーバ10よりダウンロードされるプログラム11を追加的にインストールし、機能強化等を図ることが可能である。なお、本発明の適用にあたり、機器20は、必ずしも複合機でなくてもよい。例えば、コピー機、プリンタ、スキャナ、又はファクシミリ等の画像形成装置であってもよい。
【0012】
図2は、本発明の実施の形態における機器のハードウェア構成例を示す図である。同図において、機器20は、それぞれバスBによって接続された、ROM21、RAM22、CPU23、TPM(Trusted Platform Module)24、フラッシュメモリ25、HDD(Hard Disk Drive)26、操作パネル27、スキャナ28、及びプリンタ29等を備える。
【0013】
ROM21には、各種のプログラムやプログラムによって利用されるデータ等が記録されている。RAM22は、プログラムをロードするための記憶領域や、ロードされたプログラムのワーク領域等として用いられる。CPU23は、RAM22にロードされたプログラムを処理することにより、後述される機能を実現する。TPM24は、セキュアデバイスの一例であり、セキュリティチップとも呼ばれる。TPM24は、各機器20に対して固有のものであり、機器20より取り外されてしまうと機器20の起動はできなくなる。また、TPM24を取り外して他の機器20又はコンピュータによってTPM24の内容を読み込むことはできない。本実施の形態において、TPM24は、暗号鍵Aを生成し格納する。暗号鍵Aは、フラッシュメモリ25に記録される各暗号鍵を暗号化するために用いられる。なお、暗号鍵Aは、機器20ごとに固有のTPM24によって生成されるため、機器20ごとに異なるものとなる。
【0014】
フラッシュメモリ25は、書き換え可能な不揮発性のメモリ(ROM)である。本実施の形態では、暗号鍵B、暗号鍵C、及び暗号鍵Dを格納するための記憶手段として用いられる。暗号鍵Bは、図1における暗号鍵Bと同一の暗号鍵である。したがって、暗号鍵Bは、配布サーバ10よりダウンロードされるプログラム11の復号に用いられる。暗号鍵C及びDは、HDD26を丸ごと暗号化するために用いられる。なお、暗号鍵B、C、及びDは、暗号鍵Aによって暗号化された状態でフラッシュメモリ25に格納されている。フラッシュメモリ25全体が暗号鍵Aによって暗号化されていてもよい。
【0015】
HDD26は、保存されるデータを自動的に暗号化し、読み出されるデータを自動的に復号する機能を有するHDDである。本実施の形態において、HDD26は、ダウンロードされたプログラム11を保存するための記憶手段として用いられる。また、HDD26は、機器20においてスキャンされた画像データや、ユーザ情報、又はアドレス帳情報等を格納するための記憶領域としても用いられる。なお、HDD26の代わりにNVRAM(Non-volatile RAM)等を用いても良い。
【0016】
操作パネル27は、ユーザからの入力の受け付けや、ユーザに対する情報の通知等を行うめのボタン、液晶パネル等を備えたハードウェアである。スキャナ28は、原稿より画像データを読み取るためのハードウェアである。プリンタは28、画像データを印刷用紙に印刷するためのハードウェアである。
【0017】
図3は、本発明の実施の形態における機器の機能構成例を示す図である。同図において、機器20は、初期化部210、ユーザ鍵設定部220、及びインストール部230等を備える。同図における各部は、プログラムがCPU23に実行させる処理によって実現される。初期化部210は、機器20が工場より出荷される前に実行される初期化処理を制御する。初期化処理により、暗号鍵A、B、及びCが機器20に格納される。ユーザ鍵設定部220は、機器20の出荷後に、ユーザに暗号鍵Dを設定させるための処理を制御する。すなわち、暗号鍵Dは、ユーザによって設定されるものであり、機器20のメーカーに対しては秘匿される。インストール部230は、ダウンロード部231、暗号鍵復号部232、プログラム復号部233、及び保存部234等より構成され、プログラム11のインストール処理を制御する。
【0018】
ダウンロード部231は、プログラム11を配布サーバ10よりダウンロード(受信)することにより、インストール(保存)阿智省とされたプログラム11の入力を受け付ける。暗号鍵復号部232は、TPM24に格納されている暗号鍵Aによって、フラッシュメモリ25に格納されている暗号鍵Bを復号する。プログラム復号部233は、暗号鍵復号部232によって復号された暗号鍵Bによってプログラム11を復号する。保存部234は、復号されたプログラム11をHDD26に記録(保存)する。この際、保存部234は、暗号鍵C及びDによってプログラム11を暗号化させる。
【0019】
以下、機器20の処理手順について説明する。図4は、機器の出荷前に実行される処理手順を説明するためのシーケンス図である。
【0020】
機器20の工場出荷前において初期化指示が入力されると、初期化部210は、TPM24に対して暗号鍵Aの初期化命令を行う(S101)。TPM24は、ランダムに暗号鍵Aを生成し、生成された暗号鍵AをTPM24内に記録(格納)すると共に初期化部210に対して出力する(S102)。
【0021】
続いて、暗号鍵B及びCが入力されると、初期化部210は、暗号鍵B及びCをフラッシュメモリ25に保存する(S103)。続いて、初期化部210は、フラッシュメモリ25全体、又はフラッシュメモリ25に保存された暗号鍵B及びCを暗号鍵Aを用いて暗号化する(S104)。続いて、初期化部210は、HDD26を暗号鍵Cによって暗号化する(S105)。続いて、初期化部210は、出荷時においてインストールされるプログラム(初期プログラム)をHDD210に保存する(S106)。ここで、HDD26は、暗号鍵Cによって暗号化されている。したがって、初期プログラムは、HDD26に保存される際に、自動的に暗号鍵Cによって暗号化される。
【0022】
上述した処理より明らかなように、機器20には、工場出荷時において暗号鍵A、B、及びCがTPM24又はフラッシュメモリ25に記録されている。また、暗号鍵B及びCは、工場出荷時において暗号鍵Aによって暗号化されている。
【0023】
出荷された機器20がユーザのオフィス等に設置されると、ユーザによって暗号鍵Dが設定される。図5は、暗号鍵Dの設定時の処理手順を説明するためのシーケンス図である。
【0024】
例えば、操作パネル27を介して暗号鍵Dがユーザによって入力されると(S201)、ユーザ鍵設定部220は、TPM24より暗号鍵Aを取得する(S202、S203)。続いて、ユーザ鍵設定部220は、入力された暗号鍵Dをフラッシュメモリ25に保存する(S204)。続いて、ユーザ鍵設定部220は、フラッシュメモリ25全体、又はフラッシュメモリ25に保存された暗号鍵Dを暗号鍵Aを用いて暗号化する(S205)。続いて、ユーザ鍵設定部220は、フラッシュメモリ25より暗号鍵Cを取得し、取得された暗号鍵Cを暗号鍵Aを用いて復号する(S206)。続いて、ユーザ鍵設定部220は、復号された暗号鍵Cと、ユーザによって入力された暗号鍵Dとを用いてHDD26を暗号化する(S207)。これにより、以降においてHDD26に保存される電子データは自動的に暗号鍵C及びDによって暗号化される。
【0025】
続いて、暗号鍵Dの設定後に、プログラム11が機器20にインストールされる際の処理手順について説明する。図6は、プログラムインストール時の第一の処理手順を説明するためのシーケンス図である。
【0026】
例えば、操作パネル27等を介してプログラム11のインストール指示が入力されると、インストール部230のダウンロード部231は、指定されたプログラム11を配布サーバ10よりダウンロードする(S301、S302)。なお、プログラム11は、暗号鍵Bによって暗号化された状態でダウンロードされる。続いて、インストール部230の暗号鍵復号部232は、TPM24より暗号鍵Aを取得し(S303、S304)、フラッシュメモリ25より暗号鍵Bを取得する(S305、S306)。続いて、暗号鍵復号部232は、暗号鍵Aを用いて暗号鍵Bを復号する(S307)。
【0027】
続いて、インストール部230のプログラム復号部233は、復号された暗号鍵Bを用いてプログラム11を復号する(S308)。なお、プログラム11が、例えばzip形式等によって圧縮されている場合、又は書庫ファイル化されている場合、プログラム復号部233は、復号後にプログラム11を伸張又は展開する。続いて、インストール部230の保存部234は、復号されたプログラム11をHDD26に保存する(S309)。ここで、HDD26は、暗号鍵C及びDによって暗号化されているため、プログラム11は自動的に暗号鍵C及びDによって暗号化されて保存される。
【0028】
上述したように、本実施の形態によれば、インストール対象とされるプログラム11は暗号化されて流通する。したがって、流通過程において解読される可能性を低減させることができる。特に、Java(登録商標)の中間コード(JARファイル等)は、解読が容易であり、このようなプログラムに対しては、より効果的にソースコードを保護することができる。また、機器20は、出荷前に予め格納された暗号鍵Bによって、インストール対象とされるプログラム11を復号する。したがって、暗号鍵Bは流通させる必要がなく、暗号鍵Bが盗まれる可能性を低減させることができる。
【0029】
また、暗号鍵Bは、セキュアデバイスに格納された暗号鍵Aによって暗号化された状態でフラッシュメモリ25に記録される。したがって、フラッシュメモリ25が取り出されたとしても、暗号鍵Bが解読される可能性を低減させることができる。
【0030】
また、HDD26に保存されるプログラム11は、暗号鍵C及びDによって暗号化される。したがって、HDD26が取り出されたとしても、暗号鍵C及びDが入手されない限り、HDD26内に保存されたプログラム11が解読される可能性を低減させることができる。ここで、暗号鍵C及びDは、セキュアデバイスに格納された暗号鍵Aによって暗号化された状態でフラッシュメモリ25に記録される。したがって、フラッシュメモリ25が取り出されたとしても、暗号鍵C又はDが解読される可能性を低減させることができる。
【0031】
また、HDD26には、プログラムの開発者側の資産であるプログラム11と、機器20のユーザの資産である、スキャンされて蓄積された画像データや、ユーザ情報、又はアドレス帳情報等が混在して保存される。プログラムの開発者及びユーザのいずれについても、他方によって自己に資産が解読されてしまうのは好ましくない。そこで、本実施の形態では、機器20のメーカーによって設定される暗号鍵Cと、ユーザによって設定される暗号鍵Dとの双方によって、HDD26が暗号化されるように構成されている。これにより、HDD26が取り出されたとしても暗号鍵C及びDの双方が揃わない限り、HDD26の内容を解読することはできない。すなわち、暗号鍵Cを知っている機器20のメーカーが仮にユーザの資産を参照しようとしても、暗号鍵Dを入手できない限りユーザの資産を参照することはできない。また、暗号鍵Dを知っているユーザが仮にプログラム11を解読しようとしても、暗号鍵Cを入手できない限りプログラム11を解読することはできない。
【0032】
なお、本実施の形態では、HDD26は、自動的にその全体を暗号化する機能を有するものを用いた例を説明したが、斯かる機能を有さないHDDを用いても良い。この場合、保存する処理を実行する主体(保存部234)が、暗号鍵C及びDを入手し、双方の暗号鍵を暗号鍵Aで復号した後、復号された暗号鍵C及びDによってプログラム11や画像データ等を暗号化し、HDD26に保存すればよい。
【0033】
また、プログラム11は、必ずしもネットワークを介してダウンロードされなくてもよい。例えば、暗号鍵Bによって暗号化されたプログラム11が記録されたSDカードやCD−ROM等を介してプログラム11のインストールを行っても良い。
【0034】
また、本実施の形態では、保護対象をプログラム11として説明したが、本発明は、電子データ全般の保護に対して有効である。すなわち、プログラム11を任意の電子データに置き換えて本実施の形態を実現してもよい。
【0035】
また、暗号鍵B、C、及びDは、本実施の形態のように同一の記憶媒体に記録されてもよいし、それぞれ異なる記録媒体に記録されてもよい。
【0036】
また、セキュアデバイスは、TPMに限られない。機器20に取り付けられた状態でのみ正常に機能するもの、又は、取り外されたとしても格納している情報の読み出しが困難なものであれば他のデバイスによって代替されてもよい。
【0037】
ところで、図6の例では、無条件にプログラム11を暗号化してHDD26に保存する例について説明したが、必ずしもセキュリティを確保する必要のないプログラム11も存在する可能性は有る。そこで、斯かる事情を考慮した処理手順について説明する。
【0038】
図7は、プログラムインストール時の第二の処理手順を説明するためのシーケンス図である。図7中、図6と同一ステップは同一符号を付し、その説明は適宜省略する。同図では、機器20にHDD26が少なくとも二つ備えられていることとする。HDD26aは、暗号化機能を有するものであり、上記におけるHDD26と同様である。暗号化26bは、暗号化機能を備えていないものである。
【0039】
この場合、保存部234は、セキュリティの確保が必要なプログラム11については、HDD26aに保存する(S309)。一方、セキュリティの確保が必要ないプログラム11については、HDD26bに保存する(S310)。HDD26bに保存されたプログラム11は、利用時に復号する必要がないため、相対的に高速に起動等を行うことができる。なお、セキュリティの確保の要否は、プログラムのインストール指示の入力時に、プログラム11ごとにユーザに設定させてもよいし、予めプログラム11に添付されたデータ(電子証明等)に基づいて判断してもよい。
【0040】
以上、本発明の実施例について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
【図面の簡単な説明】
【0041】
【図1】本発明の実施の形態におけるシステム構成例を示す図である。
【図2】本発明の実施の形態における機器のハードウェア構成例を示す図である。
【図3】本発明の実施の形態における機器の機能構成例を示す図である。
【図4】機器の出荷前に実行される処理手順を説明するためのシーケンス図である。
【図5】暗号鍵Dの設定時の処理手順を説明するためのシーケンス図である。
【図6】プログラムインストール時の第一の処理手順を説明するためのシーケンス図である。
【図7】プログラムインストール時の第二の処理手順を説明するためのシーケンス図である。
【符号の説明】
【0042】
10 配布サーバ
20 機器
21 ROM
22 RAM
23 CPU
24 TPM
25 フラッシュメモリ
26 HDD
27 操作パネル
28 スキャナ
29 プリンタ
30 ネットワーク
210 初期化部
220 ユーザ鍵設定部
230 インストール部
231 ダウンロード部
232 暗号鍵復号部
233 プログラム復号部
234 保存部
B バス
【技術分野】
【0001】
本発明は、画像形成装置及びデータ管理方法に関する。
【背景技術】
【0002】
近年では、その出荷後にプログラムを追加インストール可能な画像形成装置が提供されている。また、このようなプログラムについても、例えば、画像形成装置のメーカーが運営するWebサイト等よりネットワークを介してダウンロードが可能とされている。
【0003】
ネットワークを介してプログラムの流通を可能とすることにより、画像形成装置のユーザは、簡便にプログラムを入手し、当該画像形成装置の機能強化を行うことができる。
【特許文献1】特開2005−275694号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、プログラムの入手者が善意のユーザばかりであるとは限らない。例えば、入手したプログラムを解読し、海賊版の作成等を試みる者が存在するかもしれない。特に、近年、画像形成装置においてもJava(登録商標)によるプログラムが実行可能とされているが、Java(登録商標)の中間コードの解読は他の言語によるプログラムに比べて非常に容易であり、解読を支援するツールも出回っているという実情がある。
【0005】
本発明は、上記の点に鑑みてなされたものであって、電子データが解読される可能性を低減させることのできる画像形成装置及びデータ管理方法の提供を目的とする。
【課題を解決するための手段】
【0006】
そこで上記課題を解決するため、本発明は、第一の暗号鍵が予め記録された第一の記憶手段と、保存対象とされた電子データの入力を受け付けるデータ入力手段と、前記電子データを前記第一の暗号鍵によって復号する第一の復号手段と、復号された前記電子データを第二の記憶手段に保存する保存手段とを有することを特徴とする。
【0007】
このような画像形成装置では、電子データが解読される可能性を低減させることができる。
【発明の効果】
【0008】
本発明によれば、電子データが解読される可能性を低減させることのできる画像形成装置及びデータ管理方法を提供することができる。
【発明を実施するための最良の形態】
【0009】
以下、図面に基づいて本発明の実施の形態を説明する。図1は、本発明の実施の形態におけるシステム構成例を示す図である。同図において、配布サーバ10と一台以上の機器20とはインターネット又はLAN(Local Area Network)等のネットワーク30によって接続されている。
【0010】
配布サーバ10は、プログラム11を管理し、機器20からのダウンロード要求に応じてプログラム11の配布を実行するコンピュータである。配布サーバ10において、プログラム11は、暗号鍵Bによって暗号化されている。したがって、ダウンロード時において、プログラム11は暗号化された状態でネットワーク上を流通する。なお、図中においてプログラム11は一つのブロックとして記載されているが、実現する機能の別(アプリケーションの種別)に応じて複数存在し得る。
【0011】
機器20は、コピー機能、印刷機能、スキャナ機能、及びFAX機能等を一台の筐体において実現する、一般的に複合機又は融合機と呼ばれる画像形成装置である。機器20は、配布サーバ10よりダウンロードされるプログラム11を追加的にインストールし、機能強化等を図ることが可能である。なお、本発明の適用にあたり、機器20は、必ずしも複合機でなくてもよい。例えば、コピー機、プリンタ、スキャナ、又はファクシミリ等の画像形成装置であってもよい。
【0012】
図2は、本発明の実施の形態における機器のハードウェア構成例を示す図である。同図において、機器20は、それぞれバスBによって接続された、ROM21、RAM22、CPU23、TPM(Trusted Platform Module)24、フラッシュメモリ25、HDD(Hard Disk Drive)26、操作パネル27、スキャナ28、及びプリンタ29等を備える。
【0013】
ROM21には、各種のプログラムやプログラムによって利用されるデータ等が記録されている。RAM22は、プログラムをロードするための記憶領域や、ロードされたプログラムのワーク領域等として用いられる。CPU23は、RAM22にロードされたプログラムを処理することにより、後述される機能を実現する。TPM24は、セキュアデバイスの一例であり、セキュリティチップとも呼ばれる。TPM24は、各機器20に対して固有のものであり、機器20より取り外されてしまうと機器20の起動はできなくなる。また、TPM24を取り外して他の機器20又はコンピュータによってTPM24の内容を読み込むことはできない。本実施の形態において、TPM24は、暗号鍵Aを生成し格納する。暗号鍵Aは、フラッシュメモリ25に記録される各暗号鍵を暗号化するために用いられる。なお、暗号鍵Aは、機器20ごとに固有のTPM24によって生成されるため、機器20ごとに異なるものとなる。
【0014】
フラッシュメモリ25は、書き換え可能な不揮発性のメモリ(ROM)である。本実施の形態では、暗号鍵B、暗号鍵C、及び暗号鍵Dを格納するための記憶手段として用いられる。暗号鍵Bは、図1における暗号鍵Bと同一の暗号鍵である。したがって、暗号鍵Bは、配布サーバ10よりダウンロードされるプログラム11の復号に用いられる。暗号鍵C及びDは、HDD26を丸ごと暗号化するために用いられる。なお、暗号鍵B、C、及びDは、暗号鍵Aによって暗号化された状態でフラッシュメモリ25に格納されている。フラッシュメモリ25全体が暗号鍵Aによって暗号化されていてもよい。
【0015】
HDD26は、保存されるデータを自動的に暗号化し、読み出されるデータを自動的に復号する機能を有するHDDである。本実施の形態において、HDD26は、ダウンロードされたプログラム11を保存するための記憶手段として用いられる。また、HDD26は、機器20においてスキャンされた画像データや、ユーザ情報、又はアドレス帳情報等を格納するための記憶領域としても用いられる。なお、HDD26の代わりにNVRAM(Non-volatile RAM)等を用いても良い。
【0016】
操作パネル27は、ユーザからの入力の受け付けや、ユーザに対する情報の通知等を行うめのボタン、液晶パネル等を備えたハードウェアである。スキャナ28は、原稿より画像データを読み取るためのハードウェアである。プリンタは28、画像データを印刷用紙に印刷するためのハードウェアである。
【0017】
図3は、本発明の実施の形態における機器の機能構成例を示す図である。同図において、機器20は、初期化部210、ユーザ鍵設定部220、及びインストール部230等を備える。同図における各部は、プログラムがCPU23に実行させる処理によって実現される。初期化部210は、機器20が工場より出荷される前に実行される初期化処理を制御する。初期化処理により、暗号鍵A、B、及びCが機器20に格納される。ユーザ鍵設定部220は、機器20の出荷後に、ユーザに暗号鍵Dを設定させるための処理を制御する。すなわち、暗号鍵Dは、ユーザによって設定されるものであり、機器20のメーカーに対しては秘匿される。インストール部230は、ダウンロード部231、暗号鍵復号部232、プログラム復号部233、及び保存部234等より構成され、プログラム11のインストール処理を制御する。
【0018】
ダウンロード部231は、プログラム11を配布サーバ10よりダウンロード(受信)することにより、インストール(保存)阿智省とされたプログラム11の入力を受け付ける。暗号鍵復号部232は、TPM24に格納されている暗号鍵Aによって、フラッシュメモリ25に格納されている暗号鍵Bを復号する。プログラム復号部233は、暗号鍵復号部232によって復号された暗号鍵Bによってプログラム11を復号する。保存部234は、復号されたプログラム11をHDD26に記録(保存)する。この際、保存部234は、暗号鍵C及びDによってプログラム11を暗号化させる。
【0019】
以下、機器20の処理手順について説明する。図4は、機器の出荷前に実行される処理手順を説明するためのシーケンス図である。
【0020】
機器20の工場出荷前において初期化指示が入力されると、初期化部210は、TPM24に対して暗号鍵Aの初期化命令を行う(S101)。TPM24は、ランダムに暗号鍵Aを生成し、生成された暗号鍵AをTPM24内に記録(格納)すると共に初期化部210に対して出力する(S102)。
【0021】
続いて、暗号鍵B及びCが入力されると、初期化部210は、暗号鍵B及びCをフラッシュメモリ25に保存する(S103)。続いて、初期化部210は、フラッシュメモリ25全体、又はフラッシュメモリ25に保存された暗号鍵B及びCを暗号鍵Aを用いて暗号化する(S104)。続いて、初期化部210は、HDD26を暗号鍵Cによって暗号化する(S105)。続いて、初期化部210は、出荷時においてインストールされるプログラム(初期プログラム)をHDD210に保存する(S106)。ここで、HDD26は、暗号鍵Cによって暗号化されている。したがって、初期プログラムは、HDD26に保存される際に、自動的に暗号鍵Cによって暗号化される。
【0022】
上述した処理より明らかなように、機器20には、工場出荷時において暗号鍵A、B、及びCがTPM24又はフラッシュメモリ25に記録されている。また、暗号鍵B及びCは、工場出荷時において暗号鍵Aによって暗号化されている。
【0023】
出荷された機器20がユーザのオフィス等に設置されると、ユーザによって暗号鍵Dが設定される。図5は、暗号鍵Dの設定時の処理手順を説明するためのシーケンス図である。
【0024】
例えば、操作パネル27を介して暗号鍵Dがユーザによって入力されると(S201)、ユーザ鍵設定部220は、TPM24より暗号鍵Aを取得する(S202、S203)。続いて、ユーザ鍵設定部220は、入力された暗号鍵Dをフラッシュメモリ25に保存する(S204)。続いて、ユーザ鍵設定部220は、フラッシュメモリ25全体、又はフラッシュメモリ25に保存された暗号鍵Dを暗号鍵Aを用いて暗号化する(S205)。続いて、ユーザ鍵設定部220は、フラッシュメモリ25より暗号鍵Cを取得し、取得された暗号鍵Cを暗号鍵Aを用いて復号する(S206)。続いて、ユーザ鍵設定部220は、復号された暗号鍵Cと、ユーザによって入力された暗号鍵Dとを用いてHDD26を暗号化する(S207)。これにより、以降においてHDD26に保存される電子データは自動的に暗号鍵C及びDによって暗号化される。
【0025】
続いて、暗号鍵Dの設定後に、プログラム11が機器20にインストールされる際の処理手順について説明する。図6は、プログラムインストール時の第一の処理手順を説明するためのシーケンス図である。
【0026】
例えば、操作パネル27等を介してプログラム11のインストール指示が入力されると、インストール部230のダウンロード部231は、指定されたプログラム11を配布サーバ10よりダウンロードする(S301、S302)。なお、プログラム11は、暗号鍵Bによって暗号化された状態でダウンロードされる。続いて、インストール部230の暗号鍵復号部232は、TPM24より暗号鍵Aを取得し(S303、S304)、フラッシュメモリ25より暗号鍵Bを取得する(S305、S306)。続いて、暗号鍵復号部232は、暗号鍵Aを用いて暗号鍵Bを復号する(S307)。
【0027】
続いて、インストール部230のプログラム復号部233は、復号された暗号鍵Bを用いてプログラム11を復号する(S308)。なお、プログラム11が、例えばzip形式等によって圧縮されている場合、又は書庫ファイル化されている場合、プログラム復号部233は、復号後にプログラム11を伸張又は展開する。続いて、インストール部230の保存部234は、復号されたプログラム11をHDD26に保存する(S309)。ここで、HDD26は、暗号鍵C及びDによって暗号化されているため、プログラム11は自動的に暗号鍵C及びDによって暗号化されて保存される。
【0028】
上述したように、本実施の形態によれば、インストール対象とされるプログラム11は暗号化されて流通する。したがって、流通過程において解読される可能性を低減させることができる。特に、Java(登録商標)の中間コード(JARファイル等)は、解読が容易であり、このようなプログラムに対しては、より効果的にソースコードを保護することができる。また、機器20は、出荷前に予め格納された暗号鍵Bによって、インストール対象とされるプログラム11を復号する。したがって、暗号鍵Bは流通させる必要がなく、暗号鍵Bが盗まれる可能性を低減させることができる。
【0029】
また、暗号鍵Bは、セキュアデバイスに格納された暗号鍵Aによって暗号化された状態でフラッシュメモリ25に記録される。したがって、フラッシュメモリ25が取り出されたとしても、暗号鍵Bが解読される可能性を低減させることができる。
【0030】
また、HDD26に保存されるプログラム11は、暗号鍵C及びDによって暗号化される。したがって、HDD26が取り出されたとしても、暗号鍵C及びDが入手されない限り、HDD26内に保存されたプログラム11が解読される可能性を低減させることができる。ここで、暗号鍵C及びDは、セキュアデバイスに格納された暗号鍵Aによって暗号化された状態でフラッシュメモリ25に記録される。したがって、フラッシュメモリ25が取り出されたとしても、暗号鍵C又はDが解読される可能性を低減させることができる。
【0031】
また、HDD26には、プログラムの開発者側の資産であるプログラム11と、機器20のユーザの資産である、スキャンされて蓄積された画像データや、ユーザ情報、又はアドレス帳情報等が混在して保存される。プログラムの開発者及びユーザのいずれについても、他方によって自己に資産が解読されてしまうのは好ましくない。そこで、本実施の形態では、機器20のメーカーによって設定される暗号鍵Cと、ユーザによって設定される暗号鍵Dとの双方によって、HDD26が暗号化されるように構成されている。これにより、HDD26が取り出されたとしても暗号鍵C及びDの双方が揃わない限り、HDD26の内容を解読することはできない。すなわち、暗号鍵Cを知っている機器20のメーカーが仮にユーザの資産を参照しようとしても、暗号鍵Dを入手できない限りユーザの資産を参照することはできない。また、暗号鍵Dを知っているユーザが仮にプログラム11を解読しようとしても、暗号鍵Cを入手できない限りプログラム11を解読することはできない。
【0032】
なお、本実施の形態では、HDD26は、自動的にその全体を暗号化する機能を有するものを用いた例を説明したが、斯かる機能を有さないHDDを用いても良い。この場合、保存する処理を実行する主体(保存部234)が、暗号鍵C及びDを入手し、双方の暗号鍵を暗号鍵Aで復号した後、復号された暗号鍵C及びDによってプログラム11や画像データ等を暗号化し、HDD26に保存すればよい。
【0033】
また、プログラム11は、必ずしもネットワークを介してダウンロードされなくてもよい。例えば、暗号鍵Bによって暗号化されたプログラム11が記録されたSDカードやCD−ROM等を介してプログラム11のインストールを行っても良い。
【0034】
また、本実施の形態では、保護対象をプログラム11として説明したが、本発明は、電子データ全般の保護に対して有効である。すなわち、プログラム11を任意の電子データに置き換えて本実施の形態を実現してもよい。
【0035】
また、暗号鍵B、C、及びDは、本実施の形態のように同一の記憶媒体に記録されてもよいし、それぞれ異なる記録媒体に記録されてもよい。
【0036】
また、セキュアデバイスは、TPMに限られない。機器20に取り付けられた状態でのみ正常に機能するもの、又は、取り外されたとしても格納している情報の読み出しが困難なものであれば他のデバイスによって代替されてもよい。
【0037】
ところで、図6の例では、無条件にプログラム11を暗号化してHDD26に保存する例について説明したが、必ずしもセキュリティを確保する必要のないプログラム11も存在する可能性は有る。そこで、斯かる事情を考慮した処理手順について説明する。
【0038】
図7は、プログラムインストール時の第二の処理手順を説明するためのシーケンス図である。図7中、図6と同一ステップは同一符号を付し、その説明は適宜省略する。同図では、機器20にHDD26が少なくとも二つ備えられていることとする。HDD26aは、暗号化機能を有するものであり、上記におけるHDD26と同様である。暗号化26bは、暗号化機能を備えていないものである。
【0039】
この場合、保存部234は、セキュリティの確保が必要なプログラム11については、HDD26aに保存する(S309)。一方、セキュリティの確保が必要ないプログラム11については、HDD26bに保存する(S310)。HDD26bに保存されたプログラム11は、利用時に復号する必要がないため、相対的に高速に起動等を行うことができる。なお、セキュリティの確保の要否は、プログラムのインストール指示の入力時に、プログラム11ごとにユーザに設定させてもよいし、予めプログラム11に添付されたデータ(電子証明等)に基づいて判断してもよい。
【0040】
以上、本発明の実施例について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
【図面の簡単な説明】
【0041】
【図1】本発明の実施の形態におけるシステム構成例を示す図である。
【図2】本発明の実施の形態における機器のハードウェア構成例を示す図である。
【図3】本発明の実施の形態における機器の機能構成例を示す図である。
【図4】機器の出荷前に実行される処理手順を説明するためのシーケンス図である。
【図5】暗号鍵Dの設定時の処理手順を説明するためのシーケンス図である。
【図6】プログラムインストール時の第一の処理手順を説明するためのシーケンス図である。
【図7】プログラムインストール時の第二の処理手順を説明するためのシーケンス図である。
【符号の説明】
【0042】
10 配布サーバ
20 機器
21 ROM
22 RAM
23 CPU
24 TPM
25 フラッシュメモリ
26 HDD
27 操作パネル
28 スキャナ
29 プリンタ
30 ネットワーク
210 初期化部
220 ユーザ鍵設定部
230 インストール部
231 ダウンロード部
232 暗号鍵復号部
233 プログラム復号部
234 保存部
B バス
【特許請求の範囲】
【請求項1】
第一の暗号鍵が予め記録された第一の記憶手段と、
保存対象とされた電子データの入力を受け付けるデータ入力手段と、
前記電子データを前記第一の暗号鍵によって復号する第一の復号手段と、
復号された前記電子データを第二の記憶手段に保存する保存手段とを有することを特徴とする画像形成装置。
【請求項2】
前記第一の暗号鍵は、第二の暗号鍵によって暗号化されて前記第一の記憶手段に記録されており、
前記第二の暗号鍵が記録されたセキュアデバイスと、
前記第二の暗号鍵によって前記第一の暗号鍵を復号する第二の復号手段とを有し、
前記第一の復号手段は、復号された前記第一の暗号鍵によって前記電子データを復号することを特徴とする請求項1記載の画像形成装置。
【請求項3】
第三の暗号鍵が記録された第三の記憶手段を有し、
前記保存手段は、前記第三の暗号鍵によって前記電子データを暗号化して保存させることを特徴とする請求項1又は2記載の画像形成装置。
【請求項4】
前記第三の暗号鍵は、前記第二の暗号鍵によって暗号化されて前記第三の記憶手段に記録されていることを特徴とする請求項3記載の画像形成装置。
【請求項5】
第四の暗号鍵が記録された第四の記憶手段を有し、
前記保存手段は、前記第三の暗号鍵及び前記第四の暗号鍵によって前記電子データを暗号化して保存させることを特徴とする請求項3又は4記載の画像形成装置。
【請求項6】
前記第四の暗号鍵は、前記第二の暗号鍵によって暗号化されて前記第四の記憶手段に記録されていることを特徴とする請求項5記載の画像形成装置。
【請求項7】
第一の暗号鍵が予め記録された第一の記憶手段を備えた画像形成装置が実行するデータ管理方法であって、
保存対象とされた電子データの入力を受け付けるデータ入力手順と、
前記電子データを前記第一の暗号鍵によって復号する第一の復号手順と、
復号された前記電子データを第二の記憶手段に保存する保存手順とを有することを特徴とするデータ管理方法。
【請求項8】
前記第一の暗号鍵は、前記データ管理方法が備えるセキュアデバイスに記録された第二の暗号鍵によって暗号化されて前記第一の記憶手段に記録されており、
前記第二の暗号鍵によって前記第一の暗号鍵を復号する第二の復号手順を有し、
前記第一の復号手順は、復号された前記第一の暗号鍵によって前記電子データを復号することを特徴とする請求項7記載のデータ管理方法。
【請求項9】
前記画像形成装置は、第三の暗号鍵が記録された第三の記憶手段を有し、
前記保存手順は、前記第三の暗号鍵によって前記電子データを暗号化して保存させることを特徴とする請求項7又は8記載のデータ管理方法。
【請求項10】
前記第三の暗号鍵は、前記第二の暗号鍵によって暗号化されて前記第三の記憶手段に記録されていることを特徴とする請求項9記載のデータ管理方法。
【請求項11】
前記画像形成装置は、第四の暗号鍵が記録された第四の記憶手段を有し、
前記保存手順は、前記第三の暗号鍵及び前記第四の暗号鍵によって前記電子データを暗号化して保存させることを特徴とする請求項9又は10記載のデータ管理方法。
【請求項12】
前記第四の暗号鍵は、前記第二の暗号鍵によって暗号化されて前記第四の記憶手段に記録されていることを特徴とする請求項11記載のデータ管理方法。
【請求項1】
第一の暗号鍵が予め記録された第一の記憶手段と、
保存対象とされた電子データの入力を受け付けるデータ入力手段と、
前記電子データを前記第一の暗号鍵によって復号する第一の復号手段と、
復号された前記電子データを第二の記憶手段に保存する保存手段とを有することを特徴とする画像形成装置。
【請求項2】
前記第一の暗号鍵は、第二の暗号鍵によって暗号化されて前記第一の記憶手段に記録されており、
前記第二の暗号鍵が記録されたセキュアデバイスと、
前記第二の暗号鍵によって前記第一の暗号鍵を復号する第二の復号手段とを有し、
前記第一の復号手段は、復号された前記第一の暗号鍵によって前記電子データを復号することを特徴とする請求項1記載の画像形成装置。
【請求項3】
第三の暗号鍵が記録された第三の記憶手段を有し、
前記保存手段は、前記第三の暗号鍵によって前記電子データを暗号化して保存させることを特徴とする請求項1又は2記載の画像形成装置。
【請求項4】
前記第三の暗号鍵は、前記第二の暗号鍵によって暗号化されて前記第三の記憶手段に記録されていることを特徴とする請求項3記載の画像形成装置。
【請求項5】
第四の暗号鍵が記録された第四の記憶手段を有し、
前記保存手段は、前記第三の暗号鍵及び前記第四の暗号鍵によって前記電子データを暗号化して保存させることを特徴とする請求項3又は4記載の画像形成装置。
【請求項6】
前記第四の暗号鍵は、前記第二の暗号鍵によって暗号化されて前記第四の記憶手段に記録されていることを特徴とする請求項5記載の画像形成装置。
【請求項7】
第一の暗号鍵が予め記録された第一の記憶手段を備えた画像形成装置が実行するデータ管理方法であって、
保存対象とされた電子データの入力を受け付けるデータ入力手順と、
前記電子データを前記第一の暗号鍵によって復号する第一の復号手順と、
復号された前記電子データを第二の記憶手段に保存する保存手順とを有することを特徴とするデータ管理方法。
【請求項8】
前記第一の暗号鍵は、前記データ管理方法が備えるセキュアデバイスに記録された第二の暗号鍵によって暗号化されて前記第一の記憶手段に記録されており、
前記第二の暗号鍵によって前記第一の暗号鍵を復号する第二の復号手順を有し、
前記第一の復号手順は、復号された前記第一の暗号鍵によって前記電子データを復号することを特徴とする請求項7記載のデータ管理方法。
【請求項9】
前記画像形成装置は、第三の暗号鍵が記録された第三の記憶手段を有し、
前記保存手順は、前記第三の暗号鍵によって前記電子データを暗号化して保存させることを特徴とする請求項7又は8記載のデータ管理方法。
【請求項10】
前記第三の暗号鍵は、前記第二の暗号鍵によって暗号化されて前記第三の記憶手段に記録されていることを特徴とする請求項9記載のデータ管理方法。
【請求項11】
前記画像形成装置は、第四の暗号鍵が記録された第四の記憶手段を有し、
前記保存手順は、前記第三の暗号鍵及び前記第四の暗号鍵によって前記電子データを暗号化して保存させることを特徴とする請求項9又は10記載のデータ管理方法。
【請求項12】
前記第四の暗号鍵は、前記第二の暗号鍵によって暗号化されて前記第四の記憶手段に記録されていることを特徴とする請求項11記載のデータ管理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2009−141530(P2009−141530A)
【公開日】平成21年6月25日(2009.6.25)
【国際特許分類】
【出願番号】特願2007−313957(P2007−313957)
【出願日】平成19年12月4日(2007.12.4)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
【公開日】平成21年6月25日(2009.6.25)
【国際特許分類】
【出願日】平成19年12月4日(2007.12.4)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
[ Back to top ]