画像形成装置及びデータ管理方法
【課題】電子データが解読される可能性を適切に低減させることのできる画像形成装置及びデータ管理方法の提供を目的とする。
【解決手段】複数種類の記憶媒体を備えた画像形成装置であって、第一の暗号鍵が予め記録された暗号鍵記憶手段と、複数の電子ファイルを格納したパッケージファイルの入力を受け付けるデータ入力手段と、前記パッケージファイルを前記第一の暗号鍵によって復号する第一の復号手段と、前記パッケージファイルに格納された電子ファイルごとに保存先及び暗号化強度の少なくともいずれか一方を識別するための保護情報を取得する取得手段と、復号された前記パッケージファイルに格納された複数の電子ファイルのそれぞれについて、前記保護情報に基づく保存先への保存及び前記保護情報に基づく暗号強度による暗号化による保存の少なくともいずれか一方を実行する保存手段とを有することにより上記課題を解決する。
【解決手段】複数種類の記憶媒体を備えた画像形成装置であって、第一の暗号鍵が予め記録された暗号鍵記憶手段と、複数の電子ファイルを格納したパッケージファイルの入力を受け付けるデータ入力手段と、前記パッケージファイルを前記第一の暗号鍵によって復号する第一の復号手段と、前記パッケージファイルに格納された電子ファイルごとに保存先及び暗号化強度の少なくともいずれか一方を識別するための保護情報を取得する取得手段と、復号された前記パッケージファイルに格納された複数の電子ファイルのそれぞれについて、前記保護情報に基づく保存先への保存及び前記保護情報に基づく暗号強度による暗号化による保存の少なくともいずれか一方を実行する保存手段とを有することにより上記課題を解決する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、画像形成装置及びデータ管理方法に関する。
【背景技術】
【0002】
近年では、その出荷後にプログラムを追加インストール可能な画像形成装置が提供されている。また、このようなプログラムについても、例えば、画像形成装置のメーカーが運営するWebサイト等よりネットワークを介してダウンロードが可能とされている。
【0003】
ネットワークを介してプログラムの流通を可能とすることにより、画像形成装置のユーザは、簡便にプログラムを入手し、当該画像形成装置の機能強化を行うことができる。
【特許文献1】特開2005−275694号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、プログラムの入手者が善意のユーザばかりであるとは限らない。例えば、入手したプログラムを解読し、海賊版の作成等を試みる者が存在するかもしれない。特に、近年、画像形成装置においてもJava(登録商標)によるプログラムが実行可能とされているが、Java(登録商標)の中間コードの解読は他の言語によるプログラムに比べて非常に容易であり、解読を支援するツールも出回っているという実情がある。
【0005】
本発明は、上記の点に鑑みてなされたものであって、電子データが解読される可能性を適切に低減させることのできる画像形成装置及びデータ管理方法の提供を目的とする。
【課題を解決するための手段】
【0006】
そこで上記課題を解決するため、本発明は、複数種類の記憶媒体を備えた画像形成装置であって、第一の暗号鍵が予め記録された暗号鍵記憶手段と、複数の電子ファイルを格納したパッケージファイルの入力を受け付けるデータ入力手段と、前記パッケージファイルを前記第一の暗号鍵によって復号する第一の復号手段と、前記パッケージファイルに格納された電子ファイルごとに保存先及び暗号化強度の少なくともいずれか一方を識別するための保護情報を取得する取得手段と、復号された前記パッケージファイルに格納された複数の電子ファイルのそれぞれについて、前記保護情報に基づく保存先への保存及び前記保護情報に基づく暗号強度による暗号化による保存の少なくともいずれか一方を実行する保存手段とを有することを特徴とする。
【0007】
このような画像形成装置では、電子データが解読される可能性を適切に低減させることができる。
【発明の効果】
【0008】
本発明によれば、電子データが解読される可能性を適切に低減させることのできる画像形成装置及びデータ管理方法を提供することができる。
【発明を実施するための最良の形態】
【0009】
以下、図面に基づいて本発明の実施の形態を説明する。図1は、本発明の実施の形態におけるシステム構成例を示す図である。同図において、配布サーバ10と一台以上の機器20とはインターネット又はLAN(Local Area Network)等のネットワーク30によって接続されている。
【0010】
配布サーバ10は、プログラムパッケージ11を管理し、機器20からのダウンロード要求に応じてプログラムパッケージ11の配布を実行するコンピュータである。配布サーバ10において、プログラムパッケージ11全体は、暗号鍵Bによって暗号化されている。したがって、ダウンロード時において、プログラムパッケージ11は暗号化された状態でネットワーク上を流通する。なお、図中においてプログラムパッケージ11は一つのブロックとして記載されているが、実現する機能の別(アプリケーションの種別)に応じて複数存在し得る。なお、プログラムパッケージ11は、複数のプログラムファイルが一つのファイルにパッケージ化(書庫化)されたものであり、プログラムの流通単位でもある。Java(登録商標)を例とすると、一つのプログラムパッケージ11は、一つのJARファイルに相当する。
【0011】
図2は、本発明の実施の形態におけるプログラムパッケージ構成例を示す図である。同図において、プログラムパッケージ11には、プロファイルデータファイル111、プログラムファイル112、及びデータファイル113等が含まれている。プロファイルデータファイル111は、プログラムパッケージ11に含まれるプログラムファイル112及びデータファイル113ごとに当該プログラムファイル112の保護情報が定義されたファイルである。ここで、保護情報とは、保護対象とされるファイルのセキュリティを確保するために(保護するために)要求される処理内容等を識別するための情報をいう。
【0012】
プログラムファイル112は、プログラムパッケージ11の実体が格納されたファイルであり、一つのプログラムパッケージ111内に複数格納されうる。例えば、Java(登録商標)を例とするとClassファイルが相当する。データファイル113は、プログラムの設定情報や環境情報等が記録されたファイルであり、一つのプログラムパッケージ内に複数格納される。
【0013】
図1に戻る。機器20は、コピー機能、印刷機能、スキャナ機能、及びFAX機能等を一台の筐体において実現する、一般的に複合機又は融合機と呼ばれる画像形成装置である。機器20は、配布サーバ10よりダウンロードされるプログラムパッケージ11を追加的にインストールし、機能強化等を図ることが可能である。なお、本発明の適用にあたり、機器20は、必ずしも複合機でなくてもよい。例えば、コピー機、プリンタ、スキャナ、又はファクシミリ等の画像形成装置であってもよい。
【0014】
図3は、本発明の実施の形態における機器のハードウェア構成例を示す図である。同図において、機器20は、それぞれバスBによって接続された、ROM21、RAM22、CPU23、TPM(Trusted Platform Module)24、フラッシュメモリ25、HDD(Hard Disk Drive)26、操作パネル27、スキャナ28、及びプリンタ29等を備える。
【0015】
ROM21には、各種のプログラムやプログラムによって利用されるデータ等が記録されている。RAM22は、プログラムをロードするための記憶領域や、ロードされたプログラムのワーク領域等として用いられる。CPU23は、RAM22にロードされたプログラムを処理することにより、後述される機能を実現する。TPM24は、セキュアデバイスの一例であり、セキュリティチップとも呼ばれる。TPM24は、各機器20に対して固有のものであり、機器20より取り外されてしまうと機器20の起動はできなくなる。また、TPM24を取り外して他の機器20又はコンピュータによってTPM24の内容を読み込むことはできない。本実施の形態において、TPM24は、暗号鍵Aを生成し格納する。暗号鍵Aは、フラッシュメモリ25に記録されるデータを暗号化するために用いられる。フラッシュメモリ25の一部の領域又は全体が暗号鍵Aによって暗号化されてもよい。なお、暗号鍵Aは、機器20ごとに固有のTPM24によって生成されるため、機器20ごとに異なるものとなる。
【0016】
フラッシュメモリ25は、書き換え可能な不揮発性のメモリ(ROM)である。本実施の形態では、暗号鍵Bを格納すると共に、プログラムパッケージ11に含まれるプログラムファイル112のインストール先(保存先)の記憶手段として用いられる。暗号鍵Bは、図1における暗号鍵Bと同一の暗号鍵である。暗号鍵Bは、配布サーバ10よりダウンロードされるプログラムパッケージ11に含まれるプログラムファイル112の復号に用いられる。
【0017】
HDD26は、いわゆるHDDであり、ダウンロードされたプログラムパッケージ11に含まれるプログラムファイル112を保存するための記憶手段として用いられる。すなわち、本実施の形態では、フラッシュメモリ25及びHDD26が、プログラムファイル112の保存先とされる複数種類の記憶媒体に相当する。HDD26は、また、機器20においてスキャンされた画像データや、ユーザ情報、又はアドレス帳情報等を格納するための記憶領域としても用いられる。なお、HDD26の代わりに、又はHDD26と併せてNVRAM(Non-volatile RAM)等を用いても良い。
【0018】
操作パネル27は、ユーザからの入力の受け付けや、ユーザに対する情報の通知等を行うめのボタン、液晶パネル等を備えたハードウェアである。スキャナ28は、原稿より画像データを読み取るためのハードウェアである。プリンタは28、画像データを印刷用紙に印刷するためのハードウェアである。
【0019】
図4は、本発明の実施の形態における機器の機能構成例を示す図である。同図において、機器20は、初期化部210及びインストール部220等を備える。同図における各部は、プログラムがCPU23に実行させる処理によって実現される。初期化部210は、機器20が工場より出荷される前に実行される初期化処理を制御する。初期化処理により、暗号鍵A及びBが機器20に格納される。インストール部220は、ダウンロード部221、フラッシュメモリ復号部222、プログラム復号部223、保護情報解析部224、暗号鍵生成部225、及び保存部226等より構成され、プログラムパッケージ11のインストール処理を制御する。
【0020】
ダウンロード部221は、プログラムパッケージ11を配布サーバ10よりダウンロード(受信)することにより、インストール(保存)対象とされたプログラムパッケージ11の入力を受け付ける。フラッシュメモリ復号部222は、TPM24に格納されている暗号鍵Aによって、フラッシュメモリ25に格納されている暗号鍵Bを復号する。プログラム復号部223は、フラッシュメモリ復号部222によって復号された暗号鍵Bによってプログラムパッケージ11を復号する。
【0021】
保護情報解析部224は、ダウンロードされたプログラムパッケージ11のプロファイルデータファイル111に格納されている保護情報に基づいて、プログラムファイル112及びデータファイル113ごとに要求される処理内容を判定する。暗号鍵生成部225は、保護情報に基づいて暗号化が要求されるプログラムファイル112等を暗号化するための暗号鍵をランダムに生成する。保存部226は、保護情報に基づいて判定される保存先(フラッシュメモリ25又はHDD26)にプログラムファイル112等を保存する。なお、保存部226は、保護情報に基づいて暗号化が要求されるプログラムファイル112等については、暗号鍵生成部225によって生成される暗号鍵によって暗号化した後に保存を行う。
【0022】
以下、機器20の処理手順について説明する。図5は、機器の出荷前に実行される処理手順を説明するためのシーケンス図である。
【0023】
機器20の工場出荷前において初期化指示が入力されると、初期化部210は、TPM24に対して暗号鍵Aの初期化命令を行う(S101)。TPM24は、ランダムに暗号鍵Aを生成し、生成された暗号鍵AをTPM24内に記録(格納)すると共に初期化部210に対して出力する(S102)。
【0024】
続いて、暗号鍵Bが入力されると、初期化部210は、暗号鍵Bをフラッシュメモリ25に保存する(S103)。続いて、初期化部210は、フラッシュメモリ25全体、又はフラッシュメモリ25に保存された暗号鍵Bを含む一部の領域を暗号鍵Aを用いて暗号化する(S104)。続いて、初期化部210は、出荷時においてインストールされるプログラム(初期プログラム)をHDD26に保存する(S105)。
【0025】
上述した処理より明らかなように、機器20には、工場出荷時において暗号鍵A及びBがTPM24又はフラッシュメモリ25に記録されている。また、暗号鍵Bは、工場出荷時において暗号鍵Aによって暗号化されている。
【0026】
続いて、出荷された機器20がユーザのオフィス等に設置された後、プログラムパッケージ11が機器20にインストールされる際の処理手順について説明する。図6は、インストール部によるインストール処理の処理手順を説明するためのフローチャートである。
【0027】
例えば、操作パネル27等を介してプログラムパッケージ11のインストール指示が入力されると、ダウンロード部221は、指定されたプログラムパッケージ11を配布サーバ10よりダウンロードする(S201)。なお、プログラムパッケージ11は、暗号鍵Bによって暗号化された状態でダウンロードされる。また、ダウンロード時には、SSL(Secure Socket Layer)等の暗号化通信を用いるとよい。
【0028】
続いて、フラッシュメモリ復号部222は、TPM24より暗号鍵Aを取得し(S202)、暗号鍵Aによってフラッシュメモリ25を復号する(S203)。これにより、フラッシュメモリ25に格納されている暗号鍵Bは復号される。
【0029】
続いて、プログラム復号部223は、復号されたフラッシュメモリ25より暗号鍵Bを取得し(S204)、暗号鍵Bを用いてプログラムパッケージ11を復号する(S205)。続いて、プログラム復号部223は、例えばzip形式等によって圧縮されている又は書庫ファイル化されているプログラムパッケージ11に格納されているプロファイルデータファイル111、プログラムファイル112、及びデータファイル113を一時的にRAM22又はHDD26に展開する(S206)。
【0030】
ステップS207以降は、展開されたプログラムファイル112又はデータファイル113ごとに繰り返し実行されるループ処理である。したがって、一つのプログラムファイル112又はデータファイル113が順番に処理対象とされる。以下、ループ処理において処理対象とされているプログラムファイル112又はデータファイル113を「カレントファイル」という。
【0031】
ステップS207において、保護情報解析部224は、プロファイルデータファイル111に格納されている保護情報に基づいて、カレントファイルに要求される処理内容を判定する(S207)。
【0032】
図7は、保護情報の構成例を示す図である。同図に示されるように保護情報111aは、プログラムファイル112又はデータファイル113ごとに、ファイル名、機密レベル、保存先、及び暗号強度が定義された情報である。機密レベルは、要求されるセキュリティの強度に応じて、「高」、「中」、「低」の3段階に分けられている。保存先は、フラッシュメモリ25又はHDD26が指定される。暗号強度には、ファイルを保存する際の暗号化の強度が指定されている。なお、フラッシュメモリ25は、HDD26に比べて機器20からの物理的な取り外しが困難であり、その分安全性が高いと考えられるため、本実施の形態ではよりセキュアな記憶媒体として扱っている。
【0033】
したがって、ステップS207において、保護情報解析部224は、カレントファイルのファイル名に対応する保護情報(図7の一行分。以下「カレント保護情報」という。)を取得し、RAM22に記録する。
【0034】
続いて、暗号鍵生成部225は、カレント保護情報において暗号化が要求されているか(暗号強度が指定されているか)否かを判定する(S208)。暗号化が要求されている場合(S208でYes)、暗号鍵生成部225は、カレント保護情報に指定されている暗号強度の暗号鍵を乱数等に基づいてランダムに生成する(S209)。ここで生成される暗号鍵はランダムなものであるため、高い可能性で各ファイルに一意なもの(ファイルごとに異なるもの)となる。従って、一つのファイルに対する暗号鍵が仮に漏洩したとしても、他のファイルに対して影響はない。
【0035】
続いて、保存部226は、暗号鍵生成部225によって生成された暗号鍵を用いてカレントファイルを暗号化する(S210)。なお、暗号化の完了後、保存部226は、使用した暗号鍵を例えばフラッシュメモリ25内に、カレントファイルと関連付けて(例えば、ファイル名と関連付けて)保存しておく。そうすることにより、カレントファイルの復号時に、対応する暗号鍵を識別することができる。
【0036】
一方、カレント保護情報において暗号化が要求されていない場合(S208でNo)、暗号鍵生成部225による暗号鍵の生成等は行われない。
【0037】
続いて、保存部226は、カレント保護情報に基づいてカレントファイルの保存先を判定する(S211)。カレント保護情報の保存先が「フラッシュメモリ」である場合、保存部226は、カレントファイルをフラッシュメモリ25に保存し(S212)、フラッシュメモリ25を暗号鍵Aで暗号化する(S213)。一方、カレント保護情報の保存先が「HDD」である場合、保存部226は、カレントファイルをHDD26に保存する(S214)。
【0038】
プログラムパッケージに含まれる全てのファイルについてステップS207以降の処理が完了すると(S215でYes)、インストール処理は終了する。なお、ステップS206において一時的に展開された各ファイルは、それぞれのファイルの保存後に保存部226によって随時削除される。
【0039】
このように、プログラムパッケージ11に含まれる各ファイルは、保護情報111aにおいて指定された暗号化強度によって暗号化される。また、保護情報111aにおいて指定された保存先に基づいて、情報の漏洩に関する安全性が異なる記録媒体の中からファイルの保存先が選択される。すなわち、本実施の形態における機器20では、保存先と暗号化強度(暗号化の要否も含む)との組み合わせによって、ファイルの保護強度を変化させることができる。したがって、ファイルの重要度に応じて柔軟に当該ファイルを保護することができる。
【0040】
図6の処理によって実行される内容を概念的に示すと次のようになる。図8は、保護情報に基づくプログラムパッケージの機器へのインストールを概念的に示す図である。
【0041】
図8では、配布サーバ10よりダウンロードされたプログラムパッケージ11が鍵Bによって復号された後、プロファイルデータファイル111、プログラムファイル112a、112b、及び112c、並びにデーファファイル113a及び113に展開された例が示されている。
【0042】
各ファイルは、プロファイルデータファイル111に格納された保護情報に基づいて処理される。例えば、プログラムファイル112aは、暗号鍵生成部225によって生成された鍵Xaによって暗号化され、フラッシュメモリ25に保存されている。プログラムファイル112bは、暗号鍵生成部225によって生成された鍵Xcによって暗号化され、HDD26に保存されている。プログラムファイル112cは、平文のままHDD26に保存されている。データファイル113aは、暗号鍵生成部225によって生成された鍵Xbによって暗号化され、フラッシュメモリ25に保存されている。データファイル113bは、平文のままHDD26に保存されている。
【0043】
なお、プロファイルデータファイル111は、プログラムパッケージ11内の外部において管理されていてもよい。例えば、機器10に予め保存されていてもよいし、ネットワークを介して接続するコンピュータに保存されていてもよい。
【0044】
また、それぞれのファイルの保護情報を、それぞれのファイル内に記述するようにしてもよい。例えば、プログラムファイル112やデータファイル113がテキスト形式の場合は、当該ファイル内にコメントとして記述すればよい。また、ファイル名に保護情報を識別するための符号を含めるようにしてもよい。保護情報をそれぞれのファイルに付随さえることにより、プログラムパッケージ11のパッケージ構成に対する保護情報の独立性を高めることができる。すなわち、ファイルの追加又は削除に応じてプロファイルデータファイル111を変更する必要はない。
【0045】
また、保護情報の定義方法は、ファイル名ごとでなくてもよい。例えば、ファイル名又はファイル内に含まれているキーワードごとに保護情報を定義してもよい。また、他の情報によって各ファイルをグループに分類し、グループごとに保護情報が定義されてもよい。
【0046】
ところで、プログラムの実体は配布せずに、そのスタブを配布することにより、プログラムの実体を保護するようにしてもよい。図9は、スタブを配布した場合の構成例を示す図である。図9中、図8と同一部分には同一符号を付している。
【0047】
同図では、プログラムファイル112cが、スタブ(プログラムのロジック(実体)は実装されておらず、当該ロジックを呼び出すためのインタフェースのみを備えているプログラム)である例が示されている。プログラムの実体は、例えば、機器10とネットワークを介して接続しているコンピュータであるプログラム実行サーバ40にプログラムファイル112rとして保管されている。
【0048】
このような構成において、例えば、機器20におけるアプリケーションの一つであるアプリ115がプログラムファイル112cの関数又はメソッドを呼び出すと(S301)、プログラムファイル112cは、当該関数又はメソッドに対応する関数のRPC(Remote Procedure Call)による呼び出しをプログラムファイル112rに対して行う(S302)。これにより、プログラムファイル112rによってアプリ115より要求された処理が実行され、その結果がプログラムファイルr112cを介してアプリ115に返却される。
【0049】
当該処理内容についてより詳細に説明する。図10は、スタブによる処理手順を説明するためのフローチャートである。同図では、図9の構成に基づいて説明する。
【0050】
機器10において、プログラムファイル112cの関数がアプリ115より呼び出されると(S401)、プログラムファイル112cは、プログラム実行サーバ40に対して接続要求を行う(S402)。
【0051】
待機中(S501)であったプログラム実行サーバ40は、プログラムファイル112cからの接続要求に応じ、機器10の認証を行う(S502)。なお、当該認証は、例えば、SSL(Secure Socket Layer)のクライアント認証等、公知のものを用いればよい。この場合、ステップS402では、機器10よりプログラム実行サーバ40に対して機器10のクライアント証明書が転送される。
【0052】
機器10が認証されない場合(S503でNo)、プログラム実行サーバ40は、エラーとして機器10との接続を切断する(S506)。機器10が認証された場合、プログラム実行サーバ40は、機器10との接続を維持する。
【0053】
続いて、プログラムファイル112cは、アプリ15より呼び出された関数に対応する関数のRPC(Remote Procedure Call)による呼び出しをプログラムファイル112rに対して行う(S403)。この際、例えば、機器10からの各リクエストを識別するためのメッセージID、プログラムファイル112rを識別するためのプログラムID、及びRPCに係る関数の引数データがプログラム実行サーバ40に対して転送される。
【0054】
プログラム実行サーバ40では、プログラムファイル112rが呼び出され、RPCに係る関数が実行される(S504)。処理が完了すると、プログラムファイル112rは、メッセージID、プログラムID、及び実行結果をプログラムファイル112cに返信する(S505)。
【0055】
プログラムファイル112cは、実行結果を取得すると(S404)、当該実行結果を呼び出し元のアプリ15に返却する(S405)。
【0056】
上述したように、本実施の形態によれば、インストール対象とされるプログラムパッケージ11は暗号化されて流通する。したがって、流通過程において解読される可能性を低減させることができる。特に、Java(登録商標)の中間コード(JARファイル等)は、解読が容易であり、このようなプログラムに対しては、より効果的にソースコードを保護することができる。また、機器20は、出荷前に予め格納された暗号鍵Bによって、インストール対象とされるプログラムパッケージ11を復号する。したがって、暗号鍵Bは流通させる必要がなく、暗号鍵Bが盗まれる可能性を低減させることができる。
【0057】
また、暗号鍵Bは、セキュアデバイスに格納された暗号鍵Aによって暗号化された状態でフラッシュメモリ25に記録される。したがって、フラッシュメモリ25が取り出されたとしても、暗号鍵Bが解読される可能性を低減させることができる。
【0058】
なお、フラッシュメモリに比べてよりセキュアなデバイスをフラッシュメモリ25の代わりに用いても良い。そうすることより、更に、暗号鍵Bをセキュアに管理することができる。斯かるデバイスの具体例としては、耐タンパ性を持ったメモリデバイスが挙げられる。すなわち、内部構造や取り扱っているデータ等の解析が困難であったり、外部からの不正なアクセス(分解して解析を試みる等)が有った場合に、デバイスそのものが回路的に破壊されるような、偽造、変造、改竄等を防止する手段が備えられているものである。
【0059】
なお、フラッシュメモリ25は、その全体を暗号化及び復号するのではなく、フラッシュメモリ25に格納されるデータごと(暗号鍵Bやプログラムファイル112ごと)に、又は一部の領域を暗号化及び復号を行うようにしてもよい。
【0060】
また、本実施の形態における機器20は、プロファイルデータファイル111の保護情報に応じて保存先を選別する。これにより、保護レベルの高いプファイルについてはよりセキュアに管理することができ、保護レベルの低いファイルについては起動時の性能等を優先させることができる。また、保護する必要がないファイルは比較的安価なデバイスに保存することができるため、高価なデバイスの必要量を低下させることができ、機器20全体のコストダウンを図ることができる。
【0061】
また、プログラムパッケージ11は、必ずしもネットワークを介してダウンロードされなくてもよい。例えば、暗号鍵Bによって暗号化されたプログラムパッケージ11が記録されたSDカードやCD−ROM等を介してプログラムパッケージ11のインストールを行っても良い。
【0062】
また、本実施の形態では、保護対象をプログラムパッケージ11として説明したが、本発明は、電子データ全般の保護に対して有効である。すなわち、プログラムパッケージ11を任意の電子データに置き換えて本実施の形態を実現してもよい。
【0063】
また、セキュアデバイスは、TPMに限られない。機器20に取り付けられた状態でのみ正常に機能するもの、又は、取り外されたとしても格納している情報の読み出しが困難なものであれば他のデバイス(例えば、耐タンパ性のあるメモリデバイス)によって代替されてもよい。
【0064】
以上、本発明の実施例について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
【図面の簡単な説明】
【0065】
【図1】本発明の実施の形態におけるシステム構成例を示す図である。
【図2】本発明の実施の形態におけるプログラムパッケージ構成例を示す図である。
【図3】本発明の実施の形態における機器のハードウェア構成例を示す図である。
【図4】本発明の実施の形態における機器の機能構成例を示す図である。
【図5】機器の出荷前に実行される処理手順を説明するためのシーケンス図である。
【図6】インストール部によるインストール処理の処理手順を説明するためのフローチャートである。
【図7】保護情報の構成例を示す図である。
【図8】保護情報に基づくプログラムパッケージの機器へのインストールを概念的に示す図である。
【図9】スタブを配布した場合の構成例を示す図である。
【図10】スタブによる処理手順を説明するためのフローチャートである。
【符号の説明】
【0066】
10 配布サーバ
11 プログラムパッケージ
11 プロファイルデータファイル
12 プログラムファイル
13 データファイル
20 機器
21 ROM
22 RAM
23 CPU
24 TPM
25 フラッシュメモリ
26 HDD
27 操作パネル
28 スキャナ
29 プリンタ
30 ネットワーク
40 プログラム実行サーバ
210 初期化部
220 インストール部
221 ダウンロード部
222 フラッシュメモリ復号部
223 プログラム復号部
224 保護情報解析部
225 暗号鍵生成部
226 保存部
B バス
【技術分野】
【0001】
本発明は、画像形成装置及びデータ管理方法に関する。
【背景技術】
【0002】
近年では、その出荷後にプログラムを追加インストール可能な画像形成装置が提供されている。また、このようなプログラムについても、例えば、画像形成装置のメーカーが運営するWebサイト等よりネットワークを介してダウンロードが可能とされている。
【0003】
ネットワークを介してプログラムの流通を可能とすることにより、画像形成装置のユーザは、簡便にプログラムを入手し、当該画像形成装置の機能強化を行うことができる。
【特許文献1】特開2005−275694号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、プログラムの入手者が善意のユーザばかりであるとは限らない。例えば、入手したプログラムを解読し、海賊版の作成等を試みる者が存在するかもしれない。特に、近年、画像形成装置においてもJava(登録商標)によるプログラムが実行可能とされているが、Java(登録商標)の中間コードの解読は他の言語によるプログラムに比べて非常に容易であり、解読を支援するツールも出回っているという実情がある。
【0005】
本発明は、上記の点に鑑みてなされたものであって、電子データが解読される可能性を適切に低減させることのできる画像形成装置及びデータ管理方法の提供を目的とする。
【課題を解決するための手段】
【0006】
そこで上記課題を解決するため、本発明は、複数種類の記憶媒体を備えた画像形成装置であって、第一の暗号鍵が予め記録された暗号鍵記憶手段と、複数の電子ファイルを格納したパッケージファイルの入力を受け付けるデータ入力手段と、前記パッケージファイルを前記第一の暗号鍵によって復号する第一の復号手段と、前記パッケージファイルに格納された電子ファイルごとに保存先及び暗号化強度の少なくともいずれか一方を識別するための保護情報を取得する取得手段と、復号された前記パッケージファイルに格納された複数の電子ファイルのそれぞれについて、前記保護情報に基づく保存先への保存及び前記保護情報に基づく暗号強度による暗号化による保存の少なくともいずれか一方を実行する保存手段とを有することを特徴とする。
【0007】
このような画像形成装置では、電子データが解読される可能性を適切に低減させることができる。
【発明の効果】
【0008】
本発明によれば、電子データが解読される可能性を適切に低減させることのできる画像形成装置及びデータ管理方法を提供することができる。
【発明を実施するための最良の形態】
【0009】
以下、図面に基づいて本発明の実施の形態を説明する。図1は、本発明の実施の形態におけるシステム構成例を示す図である。同図において、配布サーバ10と一台以上の機器20とはインターネット又はLAN(Local Area Network)等のネットワーク30によって接続されている。
【0010】
配布サーバ10は、プログラムパッケージ11を管理し、機器20からのダウンロード要求に応じてプログラムパッケージ11の配布を実行するコンピュータである。配布サーバ10において、プログラムパッケージ11全体は、暗号鍵Bによって暗号化されている。したがって、ダウンロード時において、プログラムパッケージ11は暗号化された状態でネットワーク上を流通する。なお、図中においてプログラムパッケージ11は一つのブロックとして記載されているが、実現する機能の別(アプリケーションの種別)に応じて複数存在し得る。なお、プログラムパッケージ11は、複数のプログラムファイルが一つのファイルにパッケージ化(書庫化)されたものであり、プログラムの流通単位でもある。Java(登録商標)を例とすると、一つのプログラムパッケージ11は、一つのJARファイルに相当する。
【0011】
図2は、本発明の実施の形態におけるプログラムパッケージ構成例を示す図である。同図において、プログラムパッケージ11には、プロファイルデータファイル111、プログラムファイル112、及びデータファイル113等が含まれている。プロファイルデータファイル111は、プログラムパッケージ11に含まれるプログラムファイル112及びデータファイル113ごとに当該プログラムファイル112の保護情報が定義されたファイルである。ここで、保護情報とは、保護対象とされるファイルのセキュリティを確保するために(保護するために)要求される処理内容等を識別するための情報をいう。
【0012】
プログラムファイル112は、プログラムパッケージ11の実体が格納されたファイルであり、一つのプログラムパッケージ111内に複数格納されうる。例えば、Java(登録商標)を例とするとClassファイルが相当する。データファイル113は、プログラムの設定情報や環境情報等が記録されたファイルであり、一つのプログラムパッケージ内に複数格納される。
【0013】
図1に戻る。機器20は、コピー機能、印刷機能、スキャナ機能、及びFAX機能等を一台の筐体において実現する、一般的に複合機又は融合機と呼ばれる画像形成装置である。機器20は、配布サーバ10よりダウンロードされるプログラムパッケージ11を追加的にインストールし、機能強化等を図ることが可能である。なお、本発明の適用にあたり、機器20は、必ずしも複合機でなくてもよい。例えば、コピー機、プリンタ、スキャナ、又はファクシミリ等の画像形成装置であってもよい。
【0014】
図3は、本発明の実施の形態における機器のハードウェア構成例を示す図である。同図において、機器20は、それぞれバスBによって接続された、ROM21、RAM22、CPU23、TPM(Trusted Platform Module)24、フラッシュメモリ25、HDD(Hard Disk Drive)26、操作パネル27、スキャナ28、及びプリンタ29等を備える。
【0015】
ROM21には、各種のプログラムやプログラムによって利用されるデータ等が記録されている。RAM22は、プログラムをロードするための記憶領域や、ロードされたプログラムのワーク領域等として用いられる。CPU23は、RAM22にロードされたプログラムを処理することにより、後述される機能を実現する。TPM24は、セキュアデバイスの一例であり、セキュリティチップとも呼ばれる。TPM24は、各機器20に対して固有のものであり、機器20より取り外されてしまうと機器20の起動はできなくなる。また、TPM24を取り外して他の機器20又はコンピュータによってTPM24の内容を読み込むことはできない。本実施の形態において、TPM24は、暗号鍵Aを生成し格納する。暗号鍵Aは、フラッシュメモリ25に記録されるデータを暗号化するために用いられる。フラッシュメモリ25の一部の領域又は全体が暗号鍵Aによって暗号化されてもよい。なお、暗号鍵Aは、機器20ごとに固有のTPM24によって生成されるため、機器20ごとに異なるものとなる。
【0016】
フラッシュメモリ25は、書き換え可能な不揮発性のメモリ(ROM)である。本実施の形態では、暗号鍵Bを格納すると共に、プログラムパッケージ11に含まれるプログラムファイル112のインストール先(保存先)の記憶手段として用いられる。暗号鍵Bは、図1における暗号鍵Bと同一の暗号鍵である。暗号鍵Bは、配布サーバ10よりダウンロードされるプログラムパッケージ11に含まれるプログラムファイル112の復号に用いられる。
【0017】
HDD26は、いわゆるHDDであり、ダウンロードされたプログラムパッケージ11に含まれるプログラムファイル112を保存するための記憶手段として用いられる。すなわち、本実施の形態では、フラッシュメモリ25及びHDD26が、プログラムファイル112の保存先とされる複数種類の記憶媒体に相当する。HDD26は、また、機器20においてスキャンされた画像データや、ユーザ情報、又はアドレス帳情報等を格納するための記憶領域としても用いられる。なお、HDD26の代わりに、又はHDD26と併せてNVRAM(Non-volatile RAM)等を用いても良い。
【0018】
操作パネル27は、ユーザからの入力の受け付けや、ユーザに対する情報の通知等を行うめのボタン、液晶パネル等を備えたハードウェアである。スキャナ28は、原稿より画像データを読み取るためのハードウェアである。プリンタは28、画像データを印刷用紙に印刷するためのハードウェアである。
【0019】
図4は、本発明の実施の形態における機器の機能構成例を示す図である。同図において、機器20は、初期化部210及びインストール部220等を備える。同図における各部は、プログラムがCPU23に実行させる処理によって実現される。初期化部210は、機器20が工場より出荷される前に実行される初期化処理を制御する。初期化処理により、暗号鍵A及びBが機器20に格納される。インストール部220は、ダウンロード部221、フラッシュメモリ復号部222、プログラム復号部223、保護情報解析部224、暗号鍵生成部225、及び保存部226等より構成され、プログラムパッケージ11のインストール処理を制御する。
【0020】
ダウンロード部221は、プログラムパッケージ11を配布サーバ10よりダウンロード(受信)することにより、インストール(保存)対象とされたプログラムパッケージ11の入力を受け付ける。フラッシュメモリ復号部222は、TPM24に格納されている暗号鍵Aによって、フラッシュメモリ25に格納されている暗号鍵Bを復号する。プログラム復号部223は、フラッシュメモリ復号部222によって復号された暗号鍵Bによってプログラムパッケージ11を復号する。
【0021】
保護情報解析部224は、ダウンロードされたプログラムパッケージ11のプロファイルデータファイル111に格納されている保護情報に基づいて、プログラムファイル112及びデータファイル113ごとに要求される処理内容を判定する。暗号鍵生成部225は、保護情報に基づいて暗号化が要求されるプログラムファイル112等を暗号化するための暗号鍵をランダムに生成する。保存部226は、保護情報に基づいて判定される保存先(フラッシュメモリ25又はHDD26)にプログラムファイル112等を保存する。なお、保存部226は、保護情報に基づいて暗号化が要求されるプログラムファイル112等については、暗号鍵生成部225によって生成される暗号鍵によって暗号化した後に保存を行う。
【0022】
以下、機器20の処理手順について説明する。図5は、機器の出荷前に実行される処理手順を説明するためのシーケンス図である。
【0023】
機器20の工場出荷前において初期化指示が入力されると、初期化部210は、TPM24に対して暗号鍵Aの初期化命令を行う(S101)。TPM24は、ランダムに暗号鍵Aを生成し、生成された暗号鍵AをTPM24内に記録(格納)すると共に初期化部210に対して出力する(S102)。
【0024】
続いて、暗号鍵Bが入力されると、初期化部210は、暗号鍵Bをフラッシュメモリ25に保存する(S103)。続いて、初期化部210は、フラッシュメモリ25全体、又はフラッシュメモリ25に保存された暗号鍵Bを含む一部の領域を暗号鍵Aを用いて暗号化する(S104)。続いて、初期化部210は、出荷時においてインストールされるプログラム(初期プログラム)をHDD26に保存する(S105)。
【0025】
上述した処理より明らかなように、機器20には、工場出荷時において暗号鍵A及びBがTPM24又はフラッシュメモリ25に記録されている。また、暗号鍵Bは、工場出荷時において暗号鍵Aによって暗号化されている。
【0026】
続いて、出荷された機器20がユーザのオフィス等に設置された後、プログラムパッケージ11が機器20にインストールされる際の処理手順について説明する。図6は、インストール部によるインストール処理の処理手順を説明するためのフローチャートである。
【0027】
例えば、操作パネル27等を介してプログラムパッケージ11のインストール指示が入力されると、ダウンロード部221は、指定されたプログラムパッケージ11を配布サーバ10よりダウンロードする(S201)。なお、プログラムパッケージ11は、暗号鍵Bによって暗号化された状態でダウンロードされる。また、ダウンロード時には、SSL(Secure Socket Layer)等の暗号化通信を用いるとよい。
【0028】
続いて、フラッシュメモリ復号部222は、TPM24より暗号鍵Aを取得し(S202)、暗号鍵Aによってフラッシュメモリ25を復号する(S203)。これにより、フラッシュメモリ25に格納されている暗号鍵Bは復号される。
【0029】
続いて、プログラム復号部223は、復号されたフラッシュメモリ25より暗号鍵Bを取得し(S204)、暗号鍵Bを用いてプログラムパッケージ11を復号する(S205)。続いて、プログラム復号部223は、例えばzip形式等によって圧縮されている又は書庫ファイル化されているプログラムパッケージ11に格納されているプロファイルデータファイル111、プログラムファイル112、及びデータファイル113を一時的にRAM22又はHDD26に展開する(S206)。
【0030】
ステップS207以降は、展開されたプログラムファイル112又はデータファイル113ごとに繰り返し実行されるループ処理である。したがって、一つのプログラムファイル112又はデータファイル113が順番に処理対象とされる。以下、ループ処理において処理対象とされているプログラムファイル112又はデータファイル113を「カレントファイル」という。
【0031】
ステップS207において、保護情報解析部224は、プロファイルデータファイル111に格納されている保護情報に基づいて、カレントファイルに要求される処理内容を判定する(S207)。
【0032】
図7は、保護情報の構成例を示す図である。同図に示されるように保護情報111aは、プログラムファイル112又はデータファイル113ごとに、ファイル名、機密レベル、保存先、及び暗号強度が定義された情報である。機密レベルは、要求されるセキュリティの強度に応じて、「高」、「中」、「低」の3段階に分けられている。保存先は、フラッシュメモリ25又はHDD26が指定される。暗号強度には、ファイルを保存する際の暗号化の強度が指定されている。なお、フラッシュメモリ25は、HDD26に比べて機器20からの物理的な取り外しが困難であり、その分安全性が高いと考えられるため、本実施の形態ではよりセキュアな記憶媒体として扱っている。
【0033】
したがって、ステップS207において、保護情報解析部224は、カレントファイルのファイル名に対応する保護情報(図7の一行分。以下「カレント保護情報」という。)を取得し、RAM22に記録する。
【0034】
続いて、暗号鍵生成部225は、カレント保護情報において暗号化が要求されているか(暗号強度が指定されているか)否かを判定する(S208)。暗号化が要求されている場合(S208でYes)、暗号鍵生成部225は、カレント保護情報に指定されている暗号強度の暗号鍵を乱数等に基づいてランダムに生成する(S209)。ここで生成される暗号鍵はランダムなものであるため、高い可能性で各ファイルに一意なもの(ファイルごとに異なるもの)となる。従って、一つのファイルに対する暗号鍵が仮に漏洩したとしても、他のファイルに対して影響はない。
【0035】
続いて、保存部226は、暗号鍵生成部225によって生成された暗号鍵を用いてカレントファイルを暗号化する(S210)。なお、暗号化の完了後、保存部226は、使用した暗号鍵を例えばフラッシュメモリ25内に、カレントファイルと関連付けて(例えば、ファイル名と関連付けて)保存しておく。そうすることにより、カレントファイルの復号時に、対応する暗号鍵を識別することができる。
【0036】
一方、カレント保護情報において暗号化が要求されていない場合(S208でNo)、暗号鍵生成部225による暗号鍵の生成等は行われない。
【0037】
続いて、保存部226は、カレント保護情報に基づいてカレントファイルの保存先を判定する(S211)。カレント保護情報の保存先が「フラッシュメモリ」である場合、保存部226は、カレントファイルをフラッシュメモリ25に保存し(S212)、フラッシュメモリ25を暗号鍵Aで暗号化する(S213)。一方、カレント保護情報の保存先が「HDD」である場合、保存部226は、カレントファイルをHDD26に保存する(S214)。
【0038】
プログラムパッケージに含まれる全てのファイルについてステップS207以降の処理が完了すると(S215でYes)、インストール処理は終了する。なお、ステップS206において一時的に展開された各ファイルは、それぞれのファイルの保存後に保存部226によって随時削除される。
【0039】
このように、プログラムパッケージ11に含まれる各ファイルは、保護情報111aにおいて指定された暗号化強度によって暗号化される。また、保護情報111aにおいて指定された保存先に基づいて、情報の漏洩に関する安全性が異なる記録媒体の中からファイルの保存先が選択される。すなわち、本実施の形態における機器20では、保存先と暗号化強度(暗号化の要否も含む)との組み合わせによって、ファイルの保護強度を変化させることができる。したがって、ファイルの重要度に応じて柔軟に当該ファイルを保護することができる。
【0040】
図6の処理によって実行される内容を概念的に示すと次のようになる。図8は、保護情報に基づくプログラムパッケージの機器へのインストールを概念的に示す図である。
【0041】
図8では、配布サーバ10よりダウンロードされたプログラムパッケージ11が鍵Bによって復号された後、プロファイルデータファイル111、プログラムファイル112a、112b、及び112c、並びにデーファファイル113a及び113に展開された例が示されている。
【0042】
各ファイルは、プロファイルデータファイル111に格納された保護情報に基づいて処理される。例えば、プログラムファイル112aは、暗号鍵生成部225によって生成された鍵Xaによって暗号化され、フラッシュメモリ25に保存されている。プログラムファイル112bは、暗号鍵生成部225によって生成された鍵Xcによって暗号化され、HDD26に保存されている。プログラムファイル112cは、平文のままHDD26に保存されている。データファイル113aは、暗号鍵生成部225によって生成された鍵Xbによって暗号化され、フラッシュメモリ25に保存されている。データファイル113bは、平文のままHDD26に保存されている。
【0043】
なお、プロファイルデータファイル111は、プログラムパッケージ11内の外部において管理されていてもよい。例えば、機器10に予め保存されていてもよいし、ネットワークを介して接続するコンピュータに保存されていてもよい。
【0044】
また、それぞれのファイルの保護情報を、それぞれのファイル内に記述するようにしてもよい。例えば、プログラムファイル112やデータファイル113がテキスト形式の場合は、当該ファイル内にコメントとして記述すればよい。また、ファイル名に保護情報を識別するための符号を含めるようにしてもよい。保護情報をそれぞれのファイルに付随さえることにより、プログラムパッケージ11のパッケージ構成に対する保護情報の独立性を高めることができる。すなわち、ファイルの追加又は削除に応じてプロファイルデータファイル111を変更する必要はない。
【0045】
また、保護情報の定義方法は、ファイル名ごとでなくてもよい。例えば、ファイル名又はファイル内に含まれているキーワードごとに保護情報を定義してもよい。また、他の情報によって各ファイルをグループに分類し、グループごとに保護情報が定義されてもよい。
【0046】
ところで、プログラムの実体は配布せずに、そのスタブを配布することにより、プログラムの実体を保護するようにしてもよい。図9は、スタブを配布した場合の構成例を示す図である。図9中、図8と同一部分には同一符号を付している。
【0047】
同図では、プログラムファイル112cが、スタブ(プログラムのロジック(実体)は実装されておらず、当該ロジックを呼び出すためのインタフェースのみを備えているプログラム)である例が示されている。プログラムの実体は、例えば、機器10とネットワークを介して接続しているコンピュータであるプログラム実行サーバ40にプログラムファイル112rとして保管されている。
【0048】
このような構成において、例えば、機器20におけるアプリケーションの一つであるアプリ115がプログラムファイル112cの関数又はメソッドを呼び出すと(S301)、プログラムファイル112cは、当該関数又はメソッドに対応する関数のRPC(Remote Procedure Call)による呼び出しをプログラムファイル112rに対して行う(S302)。これにより、プログラムファイル112rによってアプリ115より要求された処理が実行され、その結果がプログラムファイルr112cを介してアプリ115に返却される。
【0049】
当該処理内容についてより詳細に説明する。図10は、スタブによる処理手順を説明するためのフローチャートである。同図では、図9の構成に基づいて説明する。
【0050】
機器10において、プログラムファイル112cの関数がアプリ115より呼び出されると(S401)、プログラムファイル112cは、プログラム実行サーバ40に対して接続要求を行う(S402)。
【0051】
待機中(S501)であったプログラム実行サーバ40は、プログラムファイル112cからの接続要求に応じ、機器10の認証を行う(S502)。なお、当該認証は、例えば、SSL(Secure Socket Layer)のクライアント認証等、公知のものを用いればよい。この場合、ステップS402では、機器10よりプログラム実行サーバ40に対して機器10のクライアント証明書が転送される。
【0052】
機器10が認証されない場合(S503でNo)、プログラム実行サーバ40は、エラーとして機器10との接続を切断する(S506)。機器10が認証された場合、プログラム実行サーバ40は、機器10との接続を維持する。
【0053】
続いて、プログラムファイル112cは、アプリ15より呼び出された関数に対応する関数のRPC(Remote Procedure Call)による呼び出しをプログラムファイル112rに対して行う(S403)。この際、例えば、機器10からの各リクエストを識別するためのメッセージID、プログラムファイル112rを識別するためのプログラムID、及びRPCに係る関数の引数データがプログラム実行サーバ40に対して転送される。
【0054】
プログラム実行サーバ40では、プログラムファイル112rが呼び出され、RPCに係る関数が実行される(S504)。処理が完了すると、プログラムファイル112rは、メッセージID、プログラムID、及び実行結果をプログラムファイル112cに返信する(S505)。
【0055】
プログラムファイル112cは、実行結果を取得すると(S404)、当該実行結果を呼び出し元のアプリ15に返却する(S405)。
【0056】
上述したように、本実施の形態によれば、インストール対象とされるプログラムパッケージ11は暗号化されて流通する。したがって、流通過程において解読される可能性を低減させることができる。特に、Java(登録商標)の中間コード(JARファイル等)は、解読が容易であり、このようなプログラムに対しては、より効果的にソースコードを保護することができる。また、機器20は、出荷前に予め格納された暗号鍵Bによって、インストール対象とされるプログラムパッケージ11を復号する。したがって、暗号鍵Bは流通させる必要がなく、暗号鍵Bが盗まれる可能性を低減させることができる。
【0057】
また、暗号鍵Bは、セキュアデバイスに格納された暗号鍵Aによって暗号化された状態でフラッシュメモリ25に記録される。したがって、フラッシュメモリ25が取り出されたとしても、暗号鍵Bが解読される可能性を低減させることができる。
【0058】
なお、フラッシュメモリに比べてよりセキュアなデバイスをフラッシュメモリ25の代わりに用いても良い。そうすることより、更に、暗号鍵Bをセキュアに管理することができる。斯かるデバイスの具体例としては、耐タンパ性を持ったメモリデバイスが挙げられる。すなわち、内部構造や取り扱っているデータ等の解析が困難であったり、外部からの不正なアクセス(分解して解析を試みる等)が有った場合に、デバイスそのものが回路的に破壊されるような、偽造、変造、改竄等を防止する手段が備えられているものである。
【0059】
なお、フラッシュメモリ25は、その全体を暗号化及び復号するのではなく、フラッシュメモリ25に格納されるデータごと(暗号鍵Bやプログラムファイル112ごと)に、又は一部の領域を暗号化及び復号を行うようにしてもよい。
【0060】
また、本実施の形態における機器20は、プロファイルデータファイル111の保護情報に応じて保存先を選別する。これにより、保護レベルの高いプファイルについてはよりセキュアに管理することができ、保護レベルの低いファイルについては起動時の性能等を優先させることができる。また、保護する必要がないファイルは比較的安価なデバイスに保存することができるため、高価なデバイスの必要量を低下させることができ、機器20全体のコストダウンを図ることができる。
【0061】
また、プログラムパッケージ11は、必ずしもネットワークを介してダウンロードされなくてもよい。例えば、暗号鍵Bによって暗号化されたプログラムパッケージ11が記録されたSDカードやCD−ROM等を介してプログラムパッケージ11のインストールを行っても良い。
【0062】
また、本実施の形態では、保護対象をプログラムパッケージ11として説明したが、本発明は、電子データ全般の保護に対して有効である。すなわち、プログラムパッケージ11を任意の電子データに置き換えて本実施の形態を実現してもよい。
【0063】
また、セキュアデバイスは、TPMに限られない。機器20に取り付けられた状態でのみ正常に機能するもの、又は、取り外されたとしても格納している情報の読み出しが困難なものであれば他のデバイス(例えば、耐タンパ性のあるメモリデバイス)によって代替されてもよい。
【0064】
以上、本発明の実施例について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
【図面の簡単な説明】
【0065】
【図1】本発明の実施の形態におけるシステム構成例を示す図である。
【図2】本発明の実施の形態におけるプログラムパッケージ構成例を示す図である。
【図3】本発明の実施の形態における機器のハードウェア構成例を示す図である。
【図4】本発明の実施の形態における機器の機能構成例を示す図である。
【図5】機器の出荷前に実行される処理手順を説明するためのシーケンス図である。
【図6】インストール部によるインストール処理の処理手順を説明するためのフローチャートである。
【図7】保護情報の構成例を示す図である。
【図8】保護情報に基づくプログラムパッケージの機器へのインストールを概念的に示す図である。
【図9】スタブを配布した場合の構成例を示す図である。
【図10】スタブによる処理手順を説明するためのフローチャートである。
【符号の説明】
【0066】
10 配布サーバ
11 プログラムパッケージ
11 プロファイルデータファイル
12 プログラムファイル
13 データファイル
20 機器
21 ROM
22 RAM
23 CPU
24 TPM
25 フラッシュメモリ
26 HDD
27 操作パネル
28 スキャナ
29 プリンタ
30 ネットワーク
40 プログラム実行サーバ
210 初期化部
220 インストール部
221 ダウンロード部
222 フラッシュメモリ復号部
223 プログラム復号部
224 保護情報解析部
225 暗号鍵生成部
226 保存部
B バス
【特許請求の範囲】
【請求項1】
複数種類の記憶媒体を備えた画像形成装置であって、
第一の暗号鍵が予め記録された暗号鍵記憶手段と、
複数の電子ファイルを格納したパッケージファイルの入力を受け付けるデータ入力手段と、
前記パッケージファイルを前記第一の暗号鍵によって復号する第一の復号手段と、
前記パッケージファイルに格納された電子ファイルごとに保存先及び暗号化強度の少なくともいずれか一方を識別するための保護情報を取得する取得手段と、
復号された前記パッケージファイルに格納された複数の電子ファイルのそれぞれについて、前記保護情報に基づく保存先への保存及び前記保護情報に基づく暗号強度による暗号化による保存の少なくともいずれか一方を実行する保存手段とを有することを特徴とする画像形成装置。
【請求項2】
前記第一の暗号鍵は、第二の暗号鍵によって暗号化されて前記暗号鍵記憶手段に記録されており、
前記第二の暗号鍵が記録されたセキュアデバイスと、
前記第二の暗号鍵によって前記第一の暗号鍵を復号する第二の復号手段とを有し、
前記第一の復号手段は、復号された前記第一の暗号鍵によって前記パッケージファイルを復号することを特徴とする請求項1記載の画像形成装置。
【請求項3】
前記保護情報において指定されている暗号化強度に応じた暗号鍵を生成する暗号鍵生成手段を有し、
前記保存手段は、前記暗号鍵生成手段によって生成された暗号鍵によって前記電子ファイルを暗号化することを特徴とする請求項1又は2記載の画像形成装置。
【請求項4】
前記暗号鍵生成手段は、前記電子ファイルごとに異なる暗号鍵を生成することを特徴とする請求項3記載の画像形成装置。
【請求項5】
前記電子ファイルの少なくとも一つは、当該画像形成装置とネットワークを介して接続されるコンピュータに保管されているプログラムの実体を呼び出すためのインタフェースを備えたスタブであることを特徴とする請求項1乃至4いずれか一項記載の画像形成装置。
【請求項6】
前記複数種類の記憶媒体は、情報の漏洩に関する安全性が異なることを特徴とする請求項1乃至5いずれか一項記載の画像形成装置。
【請求項7】
複数種類の記憶媒体と第一の暗号鍵が予め記録された暗号鍵記憶手段とを備えた画像形成装置が実行するデータ管理方法であって、
複数の電子ファイルを格納したパッケージファイルの入力を受け付けるデータ入力手順と、
前記パッケージファイルを前記第一の暗号鍵によって復号する第一の復号手順と、
前記パッケージファイルに格納された電子ファイルごとに保存先及び暗号化強度の少なくともいずれか一方を識別するための保護情報を取得する取得手順と、
復号された前記パッケージファイルに格納された複数の電子ファイルのそれぞれについて、前記保護情報に基づく保存先への保存及び前記保護情報に基づく暗号強度による暗号化による保存の少なくともいずれか一方を実行する保存手順とを有することを特徴とするデータ管理方法
【請求項8】
前記第一の暗号鍵は、前記画像形成装置が備えるセキュアデバイスに記録された第二の暗号鍵によって暗号化されて前記暗号鍵記憶手段に記録されており、
前記第二の暗号鍵によって前記第一の暗号鍵を復号する第二の復号手順を有し、
前記第一の復号手順は、復号された前記第一の暗号鍵によって前記パッケージファイルを復号することを特徴とする請求項7記載のデータ管理方法
【請求項9】
前記保護情報において指定されている暗号化強度に応じた暗号鍵を生成する暗号鍵生成手順を有し、
前記保存手順は、前記暗号鍵生成手順において生成された暗号鍵によって前記電子ファイルを暗号化することを特徴とする請求項7又は8記載のデータ管理方法
【請求項10】
前記暗号鍵生成手順は、前記電子ファイルごとに異なる暗号鍵を生成することを特徴とする請求項9記載のデータ管理方法
【請求項11】
前記電子ファイルの少なくとも一つは、当該画像形成装置とネットワークを介して接続されるコンピュータに保管されているプログラムの実体を呼び出すためのインタフェースを備えたスタブであることを特徴とする請求項7乃至10いずれか一項記載のデータ管理方法
【請求項12】
前記複数種類の記憶媒体は、情報の漏洩に関する安全性が異なることを特徴とする請求項7乃至11いずれか一項記載のデータ管理方法
【請求項1】
複数種類の記憶媒体を備えた画像形成装置であって、
第一の暗号鍵が予め記録された暗号鍵記憶手段と、
複数の電子ファイルを格納したパッケージファイルの入力を受け付けるデータ入力手段と、
前記パッケージファイルを前記第一の暗号鍵によって復号する第一の復号手段と、
前記パッケージファイルに格納された電子ファイルごとに保存先及び暗号化強度の少なくともいずれか一方を識別するための保護情報を取得する取得手段と、
復号された前記パッケージファイルに格納された複数の電子ファイルのそれぞれについて、前記保護情報に基づく保存先への保存及び前記保護情報に基づく暗号強度による暗号化による保存の少なくともいずれか一方を実行する保存手段とを有することを特徴とする画像形成装置。
【請求項2】
前記第一の暗号鍵は、第二の暗号鍵によって暗号化されて前記暗号鍵記憶手段に記録されており、
前記第二の暗号鍵が記録されたセキュアデバイスと、
前記第二の暗号鍵によって前記第一の暗号鍵を復号する第二の復号手段とを有し、
前記第一の復号手段は、復号された前記第一の暗号鍵によって前記パッケージファイルを復号することを特徴とする請求項1記載の画像形成装置。
【請求項3】
前記保護情報において指定されている暗号化強度に応じた暗号鍵を生成する暗号鍵生成手段を有し、
前記保存手段は、前記暗号鍵生成手段によって生成された暗号鍵によって前記電子ファイルを暗号化することを特徴とする請求項1又は2記載の画像形成装置。
【請求項4】
前記暗号鍵生成手段は、前記電子ファイルごとに異なる暗号鍵を生成することを特徴とする請求項3記載の画像形成装置。
【請求項5】
前記電子ファイルの少なくとも一つは、当該画像形成装置とネットワークを介して接続されるコンピュータに保管されているプログラムの実体を呼び出すためのインタフェースを備えたスタブであることを特徴とする請求項1乃至4いずれか一項記載の画像形成装置。
【請求項6】
前記複数種類の記憶媒体は、情報の漏洩に関する安全性が異なることを特徴とする請求項1乃至5いずれか一項記載の画像形成装置。
【請求項7】
複数種類の記憶媒体と第一の暗号鍵が予め記録された暗号鍵記憶手段とを備えた画像形成装置が実行するデータ管理方法であって、
複数の電子ファイルを格納したパッケージファイルの入力を受け付けるデータ入力手順と、
前記パッケージファイルを前記第一の暗号鍵によって復号する第一の復号手順と、
前記パッケージファイルに格納された電子ファイルごとに保存先及び暗号化強度の少なくともいずれか一方を識別するための保護情報を取得する取得手順と、
復号された前記パッケージファイルに格納された複数の電子ファイルのそれぞれについて、前記保護情報に基づく保存先への保存及び前記保護情報に基づく暗号強度による暗号化による保存の少なくともいずれか一方を実行する保存手順とを有することを特徴とするデータ管理方法
【請求項8】
前記第一の暗号鍵は、前記画像形成装置が備えるセキュアデバイスに記録された第二の暗号鍵によって暗号化されて前記暗号鍵記憶手段に記録されており、
前記第二の暗号鍵によって前記第一の暗号鍵を復号する第二の復号手順を有し、
前記第一の復号手順は、復号された前記第一の暗号鍵によって前記パッケージファイルを復号することを特徴とする請求項7記載のデータ管理方法
【請求項9】
前記保護情報において指定されている暗号化強度に応じた暗号鍵を生成する暗号鍵生成手順を有し、
前記保存手順は、前記暗号鍵生成手順において生成された暗号鍵によって前記電子ファイルを暗号化することを特徴とする請求項7又は8記載のデータ管理方法
【請求項10】
前記暗号鍵生成手順は、前記電子ファイルごとに異なる暗号鍵を生成することを特徴とする請求項9記載のデータ管理方法
【請求項11】
前記電子ファイルの少なくとも一つは、当該画像形成装置とネットワークを介して接続されるコンピュータに保管されているプログラムの実体を呼び出すためのインタフェースを備えたスタブであることを特徴とする請求項7乃至10いずれか一項記載のデータ管理方法
【請求項12】
前記複数種類の記憶媒体は、情報の漏洩に関する安全性が異なることを特徴とする請求項7乃至11いずれか一項記載のデータ管理方法
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2009−194729(P2009−194729A)
【公開日】平成21年8月27日(2009.8.27)
【国際特許分類】
【出願番号】特願2008−34878(P2008−34878)
【出願日】平成20年2月15日(2008.2.15)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
【公開日】平成21年8月27日(2009.8.27)
【国際特許分類】
【出願日】平成20年2月15日(2008.2.15)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
[ Back to top ]