画像形成装置及び画像形成プログラム
【課題】 セキュリティ機能を有する画像形成装置において、セキュリティ設定を有効としても、ネットワーク以外の接続手段であるローカルポートやメモリ接続ポートや操作パネルから印刷等の操作ができてしまうことを防ぐ。
【解決手段】 画像形成装置の状態管理部がセキュアプロトコルによる通信を行っていると判断したときには、画像形成装置のローカルポートを経由しての画像形成装置の操作やメモリ接続ポートに接続されたメモリ内のファイルの印刷禁止や操作部からの画像形成装置の操作を禁止することにより課題を解決した。
【解決手段】 画像形成装置の状態管理部がセキュアプロトコルによる通信を行っていると判断したときには、画像形成装置のローカルポートを経由しての画像形成装置の操作やメモリ接続ポートに接続されたメモリ内のファイルの印刷禁止や操作部からの画像形成装置の操作を禁止することにより課題を解決した。
【発明の詳細な説明】
【技術分野】
【0001】
ネットワークインタフェースを通してセキュアプロトコル通信が可能な画像形成装置において、ネットワークインタフェース以外のインタフェースを通しての操作によりセキュリティが破られるのを防ぐ技術に関するものである。
【背景技術】
【0002】
IPP(Internet Printing Protocol)により、TCP/IPネットワークを利用して、遠隔地にあるプリンタとコンピュータの間で印刷データなどのやりとりを行う方法が標準化されている(非特許文献1参照)。IPPは、SSLによるサーバ認証、クライアント認証、および暗号化にも対応しており、IPPS(Internet Printing Protocol Security)(セキュアプロトコル)と呼ばれている。
【0003】
一方、画像形成装置ではUSBデバイスポートやパラレルポートなどのローカルポートを用いて印刷を行うことが可能である。前記したIPPSによるセキュリティ対応の印刷プロトコルをサポートしている画像形成装置において、セキュリティ設定を有効にしたとしても、前記したUSBデバイスポートやパラレルポートなどのローカルポートを用いれば画像形成装置に対して誰でも印刷が行えてしまうという問題がある。上記問題と同様に、プリントデータファイルを入れたUSBメモリをプリンタに装着して操作部からそのファイルを選択すれば印刷が行えてしまうという問題がある。
【0004】
また、SNMPプロトコルを用いて、PCアプリケーション(ユーティリティ)から、ネットワーク経由でプリンタ等の画像形成装置の情報取得、設定変更を行うことが可能である。SNMP通信のセキュリティのために、認証・暗号機能を拡張したSNMPv3が2002年に標準化されている(非特許文献2−8参照)。
【0005】
また、HTTPプロトコルを用いて、Webブラウザから、ネットワーク経由でプリンタ等の画像形成装置の情報取得、設定変更を行うことが可能である。HTTPプロトコルのセキュリティのために、認証・暗号に対応した、HTTPS(HTTP over SSL/TLS)(セキュアプロトコル)が標準化されている(非特許文献9参照)。
【0006】
また、プリンタ等の画像形成装置においては、操作部(パネル)から情報取得(設定内容の表示)、設定変更を行うことが可能である。そのため、セキュリティ対応の印刷プロトコルをサポートしている画像形成装置において、セキュリティ設定をオンにしたとしても、操作部(パネル)から誰でも、設定変更を行うことができてしまう。
【0007】
従来技術として、アプリケーション上でネットワーク上のサーバに記憶された、印刷対象となる所望のデータファイルを指定され印刷の指示があると、プリンタドライバにてアクティブになっているプリンタポートを取得し、その取得したプリンタポートで示される送信先IPアドレスが、社内のネットワークセグメント外にあるのか否かを判断する。社内ネットワークセグメント内であると判断した場合には、ジョブチケット内に記述するファイル取得に関するプロトコルとしてHTTPを設定する。また、社外に対して送信すると判断した場合には、ファイル取得に関するプロトコルとしてHTTPSを設定することによりセキュアプロトコルの選択を行う方法がある(特許文献1参照)。
【0008】
また、印刷ジョブ生成要求送信のためにクライアントPCにおいて用いられたプロトコルが判別され、その判別したプロトコルに基づいて、印刷データの送信先を示す提供URLが作成され、その作成された提供URLが、判別したプロトコルを用いて、印刷ジョブ生成要求の送信元のクライアントPCへ送出される。よって、クライアントPC側で用いられるプロトコルに合わせた通信を行い、且つクライアントPC側のユーザに負わせる操作負担を軽減することができる方法がある(特許文献2参照)。
【0009】
しかし、これらの方法は、セキュアプロトコルを選択するだけであって、USBポートやUSBメモリや操作パネル等からの操作を禁止することはできない。
【0010】
従って、セキュリティ対応の印刷プロトコルをサポートしている画像形成装置において、セキュリティ設定をオンにしたとしても、USBデバイスポート、パラレルポートなどのローカルポートを用いて、画像形成装置に対して誰でも印刷を行えてしまうため、セキュリティ上問題がある。
【先行技術文献】
【特許文献】
【0011】
【特許文献1】特開2007−048002号公報
【特許文献2】特開2008−250901号公報
【非特許文献】
【0012】
【非特許文献1】IPP V1.0(RFC2565 - 2569), IPP V1.1(RFC2910 - 2911)
【非特許文献2】RFC3411
【非特許文献3】RFC3412
【非特許文献4】RFC3413
【非特許文献5】RFC3414
【非特許文献6】RFC3415
【非特許文献7】RFC3416
【非特許文献8】RFC3584
【非特許文献9】RFC2818
【発明の概要】
【発明が解決しようとする課題】
【0013】
解決しようとする課題は、画像形成装置においてUSBポートなどのローカルポートからの画像形成装置の操作や、メモリ接続ポートを経由して接続されたUSBメモリ内のファイルの印刷や、操作パネルからの画像形成装置の操作を禁止することができなかった点である。
【課題を解決するための手段】
【0014】
本発明の画像形成装置は、ネットワークを通して端末装置との接続を可能とするネットワークインタフェースと、前記ネットワークインタフェースを通してのセキュアプロトコルによる通信を可能とする制御部と、前記制御部がセキュアプロトコルによる通信を行っているかどうかを管理する状態管理部と、端末装置を直接接続するローカルポートと、を有することを特徴とする。ここで、前記状態管理部がセキュアプロトコルによる通信を行っていると判断した場合には、前記制御部は、前記ローカルポートを経由しての前記端末装置による画像形成装置の操作を禁止する。
【0015】
また、本発明の画像形成装置の前記ローカルポートは、パラレルポート、USBポート及びシリアルポートのうちの少なくともひとつを有することを特徴としてもよい。
【0016】
また、本発明の画像形成装置は、前記状態管理部がセキュアプロトコルによる通信を行っていると判断した場合には、前記制御部は、操作部からの画像形成装置の操作を禁止することを特徴としてもよい。
【発明の効果】
【0017】
本発明の画像形成装置は、ネットワークを通して端末装置との接続を可能とするネットワークインタフェースと、前記ネットワークインタフェースを通してのセキュアプロトコルによる通信を可能とする制御部と、前記制御部がセキュアプロトコルによる通信を行っているかどうかを管理する状態管理部と、端末装置を直接接続するローカルポートと、を有する。ここで、前記状態管理部がセキュアプロトコルによる通信を行っていると判断した場合には、前記制御部は、前記ローカルポートを経由しての前記端末装置による画像形成装置の操作を禁止する。
【0018】
このため、画像形成装置がネットワークを通してセキュアな通信を行っている際にローカルポートを通して端末装置等から画像形成装置の操作を行ったり、印刷をしたりすることを防ぐことが可能となり、画像形成装置のセキュリティを守ることが可能となる。
【0019】
また、本発明の画像形成装置の前記ローカルポートは、パラレルポート、USBポート及びシリアルポートのうちの少なくともひとつを有することを特徴としてもよい。
【0020】
このため、パラレルポート、USBポート又はシリアルポートを経由しての画像形成装置の操作が禁止される。
【0021】
また、本発明の画像形成装置は、前記状態管理部がセキュアプロトコルによる通信を行っていると判断した場合には、前記制御部は、操作部からの画像形成装置の操作を禁止することを特徴としてもよい。
【0022】
このため、画像形成装置がネットワークを通してセキュアな通信を行っている際に操作部からの操作を禁止して画像形成装置のセキュリティを守ることが可能となる。
【図面の簡単な説明】
【0023】
【図1】本発明実施例の画像形成装置の機能ブロック図である(実施例1,2,3)。
【図2】本発明実施例の画像形成装置の実施例1の動作のフローチャートである。
【図3】本発明実施例の画像形成装置の実施例2の動作のフローチャートである。
【図4】本発明実施例の画像形成装置の実施例3の動作のフローチャートである。
【発明を実施するための形態】
【0024】
ネットワークインタフェースを通してセキュアプロトコル通信が可能な画像形成装置において、ネットワークインタフェース以外のインタフェースを通しての操作によりセキュリティが破られるのを防ぐ目的を画像形成装置の状態管理部がセキュアプロトコルによる通信を行っていると判断したときには、画像形成装置のローカルポートを経由しての画像形成装置の操作やメモリ接続ポートに接続されたメモリ内のファイルの印刷禁止や操作部からの画像形成装置の操作を禁止することにより達成した。
【実施例1】
【0025】
本発明実施例1の画像形成装置について以下に説明する。
【0026】
図1は、本発明の画像形成装置及び画像形成システムの実施例に係わるブロック構成図である。
【0027】
画像形成装置(F1)は、NIC(Network Interface Card)(ネットワークインタフェース)(F2)と、USBデバイスコントローラ(F5)と、画像形成装置制御部(CPUを含む)(F11)と、状態管理部(F12)と、情報格納部(記憶デバイス)(F13)と、印刷部(F14)と、操作部(パネル)(F15)と、インタフェース部(F21)と、USBインタフェース(ローカルポート)(F51)とを有する。以下に各機能部について説明する。
【0028】
図1に示すように画像形成装置(F1)は、NIC(F2)を内蔵しており、ネットワーク(F3)を通して、外部端末装置であるPC(Personal Computer)クライアント装置(F4)と接続されている。
【0029】
また、画像形成装置(F1)は、USBデバイスコントローラ(F5)を内蔵している。USBデバイスコントローラ(F5)は、USBインタフェース(ローカルポート)(F51)を介して、USBケーブル(F6)によって接続された外部端末装置であるローカルPC(Personal Computer)(F7)と接続されている。USBデバイスコントローラ(F5)は、USBインタフェース(ローカルポート)(F51)を介して、USBメモリ(メモリ接続ポート)(F61)と接続することが可能である。
【0030】
画像形成装置(F1)は、画像形成装置制御部(F11)と、状態管理部(F12)と、情報格納部(F13)と、印刷部(F14)と、操作部(F15)の各構成部を有する。
【0031】
NIC(F2)は、インタフェース部(F21)を有しており、ネットワーク(F3)を通してPCクライアント(F4)との間で行われる通信の信号の送受信を受け持つ。NICの制御は、画像形成装置制御部(F11)が行い、設定情報(プロトコルの設定など)は、画像形成装置の情報格納部(F13)に格納される。
【0032】
NIC(F2)はPCクライアント(F4)から送信される、画像データを、画像形成装置制御部(F11)を通じ印刷部(F14)から印刷する。
【0033】
NIC(F2)はPCクライアント(F4)から送信される、各種プロトコルの信号に応じて、画像形成装置制御部(F11)を通じ、画像形成装置(F1)の各部の状態をPCクライアント(F4)に通知したり、また信号に従って画像形成装置(F1)の情報格納部(F13)への指定エミュレーションや、パネル操作言語などの各種設定を行う。
【0034】
NIC(F2)に対して、SNMPv3設定を有効にした場合、ユーザ名、認証および暗号方式、パスワードの情報が、情報格納部(F13)に記憶される。SNMPv3設定が有効になると、NIC(F2)に対するSNMP要求は、正しい(設定された)認証方式で認証可能で、かつ正しい(設定された)暗号方式で暗号化されたもののみ受け付け、要求に応じた処理を行う。
NIC(F2)に対して、SSL/TSL設定を有効にした場合、デバイス証明書、認証および暗号方式が、情報格納部(F13)に記憶される。SSL/TSL設定が有効になると、NIC(F2)に対するHTTP要求は、正しい(設定された)認証方式で認証可能で、かつ正しい(設定された)暗号方式で暗号化されたもののみ受け付け、要求に応じた処理を行う。
【0035】
USBデバイスコントローラ(F5)は、USBインタフェース(F51)を有している。USBデバイスコントローラ(F5)は、USBインタフェース(F51)を介して、ローカルPC(F7)との間で行われる通信の信号の送受信を受け持つ。USBデバイスコントローラ(F5)の通信制御は、画像形成装置制御部(F11)が行い、設定情報(双方向通信の設定等)は、画像形成装置の情報格納部(F13)に格納される。
【0036】
USBデバイスコントローラ(F5)はローカルPC(F7)から送信される画像データを受信して、受信された画像データは、画像形成装置制御部(F11)を通じ印刷部(F14)から印刷する。
【0037】
また、USBデバイスコントローラ(F5)は、USBインタフェース(F51)を介して、USBメモリ(メモリ接続ポート)(F61)との間で行われる通信の信号の送受信を受け持つ。USBメモリの通信制御は、画像形成装置の制御部(F11)が行う。
【0038】
USBデバイスコントローラ(F5)はUSBメモリ(F61)から送信される、画像データを、画像形成装置制御部(F11)を通じ印刷部(F14)から印刷する。
【0039】
情報格納部(F13)は、NVRAM(Non Volatile Memory;不揮発性メモリ)や、ハードディスク(磁気ディスク)等の記憶デバイスである。情報格納部(F13)は、画像形成装置(F1)の動作を制御するプログラムを記憶したり画像データを保持したりすると共に、画像形成装置(F1)の設定情報を記憶しておく。
【0040】
状態管理部(RAM;Random Access Memory)(F12)は、半導体メモリからなり、画像形成装置制御部(F11)が画像データを処理するための領域(ワークメモリ)として用いられる。
【0041】
印刷部(F14)は、印刷を実行する印刷エンジンである。
【0042】
操作部(パネル)(F15)は、指定エミュレーションや、パネル操作言語などの各種設定を行う。また、印刷ジョブのキャンセルや、印刷エンジン調整の実行などの各種オペレーションを行う。
【0043】
操作部(F15)は、USBポートを有しており、画像形成装置制御部(F11)とUSB接続されている。
【0044】
画像形成装置制御部(F11)は、CPU(Central Processing Unit)を有しており、上述の通り画像形成装置(F1)の動作制御を行う。
【0045】
NIC(F2)に対して、IPPS設定(セキュリティ印刷)を有効にした場合、ユーザ名、認証および暗号方式、パスワードの情報が、情報格納部(F13)に記憶される。IPPS設定が有効になると、NIC(F2)に対する印刷要求は、正しい(設定された)認証方式で認証可能で、かつ正しい(設定された)暗号方式で暗号化されたもののみ受け付け、印刷処理を行う。
【0046】
USBデバイスコントローラ(F5)経由の印刷に関しては、セキュアな通信はサポートされていないため、ローカルPC(F7)をUSBケーブル(F6)で接続して、画像データを送ることで、印刷が可能になる。
【0047】
[フローチャート]
図2に、ローカルPC(F7)からUSBケーブル(F6)を通して、印刷を行う際のフローチャートを示す。
【0048】
本実施例では、本フローチャートを実行するプログラムは、画像形成装置(F1)内で動作する。
【0049】
ローカルPC(F7)からUSBデバイスコントローラ(F5)に対する、印刷要求があると、インタフェース部(F51)は、その識別を行い、画像形成装置制御部(F11)に処理を要求する。(ステップS11)
画像形成装置制御部(F11)は、情報格納部(F13)に問い合わせを行い、現在のIPPSの設定を取得する。(ステップS12)
画像形成装置制御部(F11)は、取得したIPPSの設定を判別し(ステップS13)、
設定がオンであれば、印刷要求は受け付けず、ローカルPC(F7)にエラー応答を返す。(ステップS14)
オンでなければ、印刷要求を受け付け、印刷を実行する。(ステップS15)
[実施例の効果]
セキュリティ対応の印刷プロトコルをサポートしている画像形成装置において、セキュリティ設定をオンにすると、USBデバイスポート、パラレルポートなどのローカルポートに対する、印刷要求を遮断することにより、セキュリティを向上させる。
【0050】
[その他]
本実施例1では、ローカルPC(F7)と画像形成装置(F1)との接続にはUSBインタフェース(USBポート)(F51)を用いたが、USBインタフェース以外の例えばパラレルポートやシリアルポートを用いても良い。
【実施例2】
【0051】
[USBメモリを通してのセキュリティホールの解消]
実施例2として、USBメモリを通してのセキュリティホールの解消を可能とさせる画像形成装置について説明する。
[構成]
画像形成装置F1の機能ブロックは、実施例1において図1で示した機能ブロック図と同じであるので省略する。
【0052】
[フローチャート]
図2に、USBメモリ(F61)から、印刷を行う際のフローチャートを示す。
【0053】
本実施例2では、本フローチャートを実行するプログラムは、画像形成装置(F1)内で動作する。
【0054】
USBメモリ(F61)を画像形成装置のインタフェース部(F51)に装着し、操作部(F15)から印刷するプリントデータファイルを選択し、印刷を実行すると、USBメモリコントローラ(F5)はその識別を行い、画像形成装置制御部(F11)に処理を要求する。(ステップS21)
画像形成装置制御部(F11)は、情報格納部(F13)に問い合わせを行い、現在のIPPSの設定を取得する。(ステップS222)
画像形成装置制御部(F11)は、取得したIPPSの設定を判別し(ステップS23)、
設定がオンであれば、印刷要求は受け付けず、操作部(F15)にエラーを表示する。(ステップS24)
オンでなければ、印刷要求を受け付け、印刷を実行する。(ステップS25)
[実施例の効果]
セキュリティ対応の印刷プロトコルをサポートしている画像形成装置において、セキュリティ設定をオンにすると、USBメモリなどの記憶デバイスからの印刷要求を遮断することにより、セキュリティを向上させる。
【0055】
[その他]
本実施例2では、USBメモリ(F7)と画像形成装置(F1)との接続にはUSBインタフェース(USBポート)(F51)を用いたが、他のメモリをUSBインタフェース以外の例えばパラレルポートやシリアルポートを介して画像形成装置(F1)と接続してもよい。例えばフラッシュメモリ(登録商標)をフラッシュメモリインタフェース(シリアルポート又はパラレルポート)を介して接続するものであってもよい。
【実施例3】
【0056】
[操作部を通してのセキュリティホールの解消]
実施例3として、操作部(操作パネル)(F15)を通してのセキュリティホールの解消を可能とさせる画像形成装置について説明する。
【0057】
[構成]
画像形成装置F1の機能ブロックは、実施例1において図1で示した機能ブロック図と同じであるので省略する。
【0058】
[フローチャート]
図2に、PCクライアント(F4)からNIC(F2)を通して、操作部(F15)から設定変更要求があった場合の画像形成装置(F1)の情報格納部(F13)の状況を応答するプログラムのフローチャートを示す。
【0059】
本実施例3では、本フローチャートを実行するプログラムは、画像形成装置(F1)内で動作する。
【0060】
操作部(F15)から、設定変更要求があると、画像形成装置制御部(F11)に処理を要求する。(ステップS31)
画像形成装置制御部(F11)は、情報格納部(F13)に問い合わせを行い、現在のSNMPv3、SSL/TSL設定などのセキュリティプロトコルの設定を取得する。(ステップS32)
画像形成装置制御部(F11)は、取得したセキュリティプロトコルの設定を判別し(ステップS33)、
いずれかの設定がONであれば、要求は受け付けず、操作部(F15)にエラーを表示する(ステップS34)。
【0061】
ONでなければ、要求を受け付け、その要求に応じて、状態管理部(F12)や、情報格納部(F13)から情報を取得、もしくは情報格納部(F13)に対する設定を実行する(ステップS35)
[実施例の効果]
セキュリティ対応の印刷プロトコルをサポートしている画像形成装置において、セキュリティ設定をオンにすると、操作部からの設定要求を遮断することにより、セキュリティを向上させる。
【0062】
[その他]
本実施例3では、操作部(F15)と画像形成装置制御部(F11)との接続にはUSBインタフェース(USBポート)(F51)を用いたが、USBインタフェース以外の例えばパラレルポートやシリアルポートを用いてもよい。
【符号の説明】
【0063】
F1 画像形成装置
F2 NIC(Network Interface Card)(ネットワークインタフェース)
F3 ネットワーク
F4 PCクライアント
F5 USBデバイスコントローラ
F6 USBケーブル
F7 ローカルPC
F11 画像形成装置制御部(CPUを含む)
F12 状態管理部
F13 情報格納部(記憶デバイス)
F14 印刷部
F15 操作部(パネル)
F21 インタフェース部
F51 USBインタフェース(ローカルポート)
F61 USBメモリ(メモリ接続ポート)
【技術分野】
【0001】
ネットワークインタフェースを通してセキュアプロトコル通信が可能な画像形成装置において、ネットワークインタフェース以外のインタフェースを通しての操作によりセキュリティが破られるのを防ぐ技術に関するものである。
【背景技術】
【0002】
IPP(Internet Printing Protocol)により、TCP/IPネットワークを利用して、遠隔地にあるプリンタとコンピュータの間で印刷データなどのやりとりを行う方法が標準化されている(非特許文献1参照)。IPPは、SSLによるサーバ認証、クライアント認証、および暗号化にも対応しており、IPPS(Internet Printing Protocol Security)(セキュアプロトコル)と呼ばれている。
【0003】
一方、画像形成装置ではUSBデバイスポートやパラレルポートなどのローカルポートを用いて印刷を行うことが可能である。前記したIPPSによるセキュリティ対応の印刷プロトコルをサポートしている画像形成装置において、セキュリティ設定を有効にしたとしても、前記したUSBデバイスポートやパラレルポートなどのローカルポートを用いれば画像形成装置に対して誰でも印刷が行えてしまうという問題がある。上記問題と同様に、プリントデータファイルを入れたUSBメモリをプリンタに装着して操作部からそのファイルを選択すれば印刷が行えてしまうという問題がある。
【0004】
また、SNMPプロトコルを用いて、PCアプリケーション(ユーティリティ)から、ネットワーク経由でプリンタ等の画像形成装置の情報取得、設定変更を行うことが可能である。SNMP通信のセキュリティのために、認証・暗号機能を拡張したSNMPv3が2002年に標準化されている(非特許文献2−8参照)。
【0005】
また、HTTPプロトコルを用いて、Webブラウザから、ネットワーク経由でプリンタ等の画像形成装置の情報取得、設定変更を行うことが可能である。HTTPプロトコルのセキュリティのために、認証・暗号に対応した、HTTPS(HTTP over SSL/TLS)(セキュアプロトコル)が標準化されている(非特許文献9参照)。
【0006】
また、プリンタ等の画像形成装置においては、操作部(パネル)から情報取得(設定内容の表示)、設定変更を行うことが可能である。そのため、セキュリティ対応の印刷プロトコルをサポートしている画像形成装置において、セキュリティ設定をオンにしたとしても、操作部(パネル)から誰でも、設定変更を行うことができてしまう。
【0007】
従来技術として、アプリケーション上でネットワーク上のサーバに記憶された、印刷対象となる所望のデータファイルを指定され印刷の指示があると、プリンタドライバにてアクティブになっているプリンタポートを取得し、その取得したプリンタポートで示される送信先IPアドレスが、社内のネットワークセグメント外にあるのか否かを判断する。社内ネットワークセグメント内であると判断した場合には、ジョブチケット内に記述するファイル取得に関するプロトコルとしてHTTPを設定する。また、社外に対して送信すると判断した場合には、ファイル取得に関するプロトコルとしてHTTPSを設定することによりセキュアプロトコルの選択を行う方法がある(特許文献1参照)。
【0008】
また、印刷ジョブ生成要求送信のためにクライアントPCにおいて用いられたプロトコルが判別され、その判別したプロトコルに基づいて、印刷データの送信先を示す提供URLが作成され、その作成された提供URLが、判別したプロトコルを用いて、印刷ジョブ生成要求の送信元のクライアントPCへ送出される。よって、クライアントPC側で用いられるプロトコルに合わせた通信を行い、且つクライアントPC側のユーザに負わせる操作負担を軽減することができる方法がある(特許文献2参照)。
【0009】
しかし、これらの方法は、セキュアプロトコルを選択するだけであって、USBポートやUSBメモリや操作パネル等からの操作を禁止することはできない。
【0010】
従って、セキュリティ対応の印刷プロトコルをサポートしている画像形成装置において、セキュリティ設定をオンにしたとしても、USBデバイスポート、パラレルポートなどのローカルポートを用いて、画像形成装置に対して誰でも印刷を行えてしまうため、セキュリティ上問題がある。
【先行技術文献】
【特許文献】
【0011】
【特許文献1】特開2007−048002号公報
【特許文献2】特開2008−250901号公報
【非特許文献】
【0012】
【非特許文献1】IPP V1.0(RFC2565 - 2569), IPP V1.1(RFC2910 - 2911)
【非特許文献2】RFC3411
【非特許文献3】RFC3412
【非特許文献4】RFC3413
【非特許文献5】RFC3414
【非特許文献6】RFC3415
【非特許文献7】RFC3416
【非特許文献8】RFC3584
【非特許文献9】RFC2818
【発明の概要】
【発明が解決しようとする課題】
【0013】
解決しようとする課題は、画像形成装置においてUSBポートなどのローカルポートからの画像形成装置の操作や、メモリ接続ポートを経由して接続されたUSBメモリ内のファイルの印刷や、操作パネルからの画像形成装置の操作を禁止することができなかった点である。
【課題を解決するための手段】
【0014】
本発明の画像形成装置は、ネットワークを通して端末装置との接続を可能とするネットワークインタフェースと、前記ネットワークインタフェースを通してのセキュアプロトコルによる通信を可能とする制御部と、前記制御部がセキュアプロトコルによる通信を行っているかどうかを管理する状態管理部と、端末装置を直接接続するローカルポートと、を有することを特徴とする。ここで、前記状態管理部がセキュアプロトコルによる通信を行っていると判断した場合には、前記制御部は、前記ローカルポートを経由しての前記端末装置による画像形成装置の操作を禁止する。
【0015】
また、本発明の画像形成装置の前記ローカルポートは、パラレルポート、USBポート及びシリアルポートのうちの少なくともひとつを有することを特徴としてもよい。
【0016】
また、本発明の画像形成装置は、前記状態管理部がセキュアプロトコルによる通信を行っていると判断した場合には、前記制御部は、操作部からの画像形成装置の操作を禁止することを特徴としてもよい。
【発明の効果】
【0017】
本発明の画像形成装置は、ネットワークを通して端末装置との接続を可能とするネットワークインタフェースと、前記ネットワークインタフェースを通してのセキュアプロトコルによる通信を可能とする制御部と、前記制御部がセキュアプロトコルによる通信を行っているかどうかを管理する状態管理部と、端末装置を直接接続するローカルポートと、を有する。ここで、前記状態管理部がセキュアプロトコルによる通信を行っていると判断した場合には、前記制御部は、前記ローカルポートを経由しての前記端末装置による画像形成装置の操作を禁止する。
【0018】
このため、画像形成装置がネットワークを通してセキュアな通信を行っている際にローカルポートを通して端末装置等から画像形成装置の操作を行ったり、印刷をしたりすることを防ぐことが可能となり、画像形成装置のセキュリティを守ることが可能となる。
【0019】
また、本発明の画像形成装置の前記ローカルポートは、パラレルポート、USBポート及びシリアルポートのうちの少なくともひとつを有することを特徴としてもよい。
【0020】
このため、パラレルポート、USBポート又はシリアルポートを経由しての画像形成装置の操作が禁止される。
【0021】
また、本発明の画像形成装置は、前記状態管理部がセキュアプロトコルによる通信を行っていると判断した場合には、前記制御部は、操作部からの画像形成装置の操作を禁止することを特徴としてもよい。
【0022】
このため、画像形成装置がネットワークを通してセキュアな通信を行っている際に操作部からの操作を禁止して画像形成装置のセキュリティを守ることが可能となる。
【図面の簡単な説明】
【0023】
【図1】本発明実施例の画像形成装置の機能ブロック図である(実施例1,2,3)。
【図2】本発明実施例の画像形成装置の実施例1の動作のフローチャートである。
【図3】本発明実施例の画像形成装置の実施例2の動作のフローチャートである。
【図4】本発明実施例の画像形成装置の実施例3の動作のフローチャートである。
【発明を実施するための形態】
【0024】
ネットワークインタフェースを通してセキュアプロトコル通信が可能な画像形成装置において、ネットワークインタフェース以外のインタフェースを通しての操作によりセキュリティが破られるのを防ぐ目的を画像形成装置の状態管理部がセキュアプロトコルによる通信を行っていると判断したときには、画像形成装置のローカルポートを経由しての画像形成装置の操作やメモリ接続ポートに接続されたメモリ内のファイルの印刷禁止や操作部からの画像形成装置の操作を禁止することにより達成した。
【実施例1】
【0025】
本発明実施例1の画像形成装置について以下に説明する。
【0026】
図1は、本発明の画像形成装置及び画像形成システムの実施例に係わるブロック構成図である。
【0027】
画像形成装置(F1)は、NIC(Network Interface Card)(ネットワークインタフェース)(F2)と、USBデバイスコントローラ(F5)と、画像形成装置制御部(CPUを含む)(F11)と、状態管理部(F12)と、情報格納部(記憶デバイス)(F13)と、印刷部(F14)と、操作部(パネル)(F15)と、インタフェース部(F21)と、USBインタフェース(ローカルポート)(F51)とを有する。以下に各機能部について説明する。
【0028】
図1に示すように画像形成装置(F1)は、NIC(F2)を内蔵しており、ネットワーク(F3)を通して、外部端末装置であるPC(Personal Computer)クライアント装置(F4)と接続されている。
【0029】
また、画像形成装置(F1)は、USBデバイスコントローラ(F5)を内蔵している。USBデバイスコントローラ(F5)は、USBインタフェース(ローカルポート)(F51)を介して、USBケーブル(F6)によって接続された外部端末装置であるローカルPC(Personal Computer)(F7)と接続されている。USBデバイスコントローラ(F5)は、USBインタフェース(ローカルポート)(F51)を介して、USBメモリ(メモリ接続ポート)(F61)と接続することが可能である。
【0030】
画像形成装置(F1)は、画像形成装置制御部(F11)と、状態管理部(F12)と、情報格納部(F13)と、印刷部(F14)と、操作部(F15)の各構成部を有する。
【0031】
NIC(F2)は、インタフェース部(F21)を有しており、ネットワーク(F3)を通してPCクライアント(F4)との間で行われる通信の信号の送受信を受け持つ。NICの制御は、画像形成装置制御部(F11)が行い、設定情報(プロトコルの設定など)は、画像形成装置の情報格納部(F13)に格納される。
【0032】
NIC(F2)はPCクライアント(F4)から送信される、画像データを、画像形成装置制御部(F11)を通じ印刷部(F14)から印刷する。
【0033】
NIC(F2)はPCクライアント(F4)から送信される、各種プロトコルの信号に応じて、画像形成装置制御部(F11)を通じ、画像形成装置(F1)の各部の状態をPCクライアント(F4)に通知したり、また信号に従って画像形成装置(F1)の情報格納部(F13)への指定エミュレーションや、パネル操作言語などの各種設定を行う。
【0034】
NIC(F2)に対して、SNMPv3設定を有効にした場合、ユーザ名、認証および暗号方式、パスワードの情報が、情報格納部(F13)に記憶される。SNMPv3設定が有効になると、NIC(F2)に対するSNMP要求は、正しい(設定された)認証方式で認証可能で、かつ正しい(設定された)暗号方式で暗号化されたもののみ受け付け、要求に応じた処理を行う。
NIC(F2)に対して、SSL/TSL設定を有効にした場合、デバイス証明書、認証および暗号方式が、情報格納部(F13)に記憶される。SSL/TSL設定が有効になると、NIC(F2)に対するHTTP要求は、正しい(設定された)認証方式で認証可能で、かつ正しい(設定された)暗号方式で暗号化されたもののみ受け付け、要求に応じた処理を行う。
【0035】
USBデバイスコントローラ(F5)は、USBインタフェース(F51)を有している。USBデバイスコントローラ(F5)は、USBインタフェース(F51)を介して、ローカルPC(F7)との間で行われる通信の信号の送受信を受け持つ。USBデバイスコントローラ(F5)の通信制御は、画像形成装置制御部(F11)が行い、設定情報(双方向通信の設定等)は、画像形成装置の情報格納部(F13)に格納される。
【0036】
USBデバイスコントローラ(F5)はローカルPC(F7)から送信される画像データを受信して、受信された画像データは、画像形成装置制御部(F11)を通じ印刷部(F14)から印刷する。
【0037】
また、USBデバイスコントローラ(F5)は、USBインタフェース(F51)を介して、USBメモリ(メモリ接続ポート)(F61)との間で行われる通信の信号の送受信を受け持つ。USBメモリの通信制御は、画像形成装置の制御部(F11)が行う。
【0038】
USBデバイスコントローラ(F5)はUSBメモリ(F61)から送信される、画像データを、画像形成装置制御部(F11)を通じ印刷部(F14)から印刷する。
【0039】
情報格納部(F13)は、NVRAM(Non Volatile Memory;不揮発性メモリ)や、ハードディスク(磁気ディスク)等の記憶デバイスである。情報格納部(F13)は、画像形成装置(F1)の動作を制御するプログラムを記憶したり画像データを保持したりすると共に、画像形成装置(F1)の設定情報を記憶しておく。
【0040】
状態管理部(RAM;Random Access Memory)(F12)は、半導体メモリからなり、画像形成装置制御部(F11)が画像データを処理するための領域(ワークメモリ)として用いられる。
【0041】
印刷部(F14)は、印刷を実行する印刷エンジンである。
【0042】
操作部(パネル)(F15)は、指定エミュレーションや、パネル操作言語などの各種設定を行う。また、印刷ジョブのキャンセルや、印刷エンジン調整の実行などの各種オペレーションを行う。
【0043】
操作部(F15)は、USBポートを有しており、画像形成装置制御部(F11)とUSB接続されている。
【0044】
画像形成装置制御部(F11)は、CPU(Central Processing Unit)を有しており、上述の通り画像形成装置(F1)の動作制御を行う。
【0045】
NIC(F2)に対して、IPPS設定(セキュリティ印刷)を有効にした場合、ユーザ名、認証および暗号方式、パスワードの情報が、情報格納部(F13)に記憶される。IPPS設定が有効になると、NIC(F2)に対する印刷要求は、正しい(設定された)認証方式で認証可能で、かつ正しい(設定された)暗号方式で暗号化されたもののみ受け付け、印刷処理を行う。
【0046】
USBデバイスコントローラ(F5)経由の印刷に関しては、セキュアな通信はサポートされていないため、ローカルPC(F7)をUSBケーブル(F6)で接続して、画像データを送ることで、印刷が可能になる。
【0047】
[フローチャート]
図2に、ローカルPC(F7)からUSBケーブル(F6)を通して、印刷を行う際のフローチャートを示す。
【0048】
本実施例では、本フローチャートを実行するプログラムは、画像形成装置(F1)内で動作する。
【0049】
ローカルPC(F7)からUSBデバイスコントローラ(F5)に対する、印刷要求があると、インタフェース部(F51)は、その識別を行い、画像形成装置制御部(F11)に処理を要求する。(ステップS11)
画像形成装置制御部(F11)は、情報格納部(F13)に問い合わせを行い、現在のIPPSの設定を取得する。(ステップS12)
画像形成装置制御部(F11)は、取得したIPPSの設定を判別し(ステップS13)、
設定がオンであれば、印刷要求は受け付けず、ローカルPC(F7)にエラー応答を返す。(ステップS14)
オンでなければ、印刷要求を受け付け、印刷を実行する。(ステップS15)
[実施例の効果]
セキュリティ対応の印刷プロトコルをサポートしている画像形成装置において、セキュリティ設定をオンにすると、USBデバイスポート、パラレルポートなどのローカルポートに対する、印刷要求を遮断することにより、セキュリティを向上させる。
【0050】
[その他]
本実施例1では、ローカルPC(F7)と画像形成装置(F1)との接続にはUSBインタフェース(USBポート)(F51)を用いたが、USBインタフェース以外の例えばパラレルポートやシリアルポートを用いても良い。
【実施例2】
【0051】
[USBメモリを通してのセキュリティホールの解消]
実施例2として、USBメモリを通してのセキュリティホールの解消を可能とさせる画像形成装置について説明する。
[構成]
画像形成装置F1の機能ブロックは、実施例1において図1で示した機能ブロック図と同じであるので省略する。
【0052】
[フローチャート]
図2に、USBメモリ(F61)から、印刷を行う際のフローチャートを示す。
【0053】
本実施例2では、本フローチャートを実行するプログラムは、画像形成装置(F1)内で動作する。
【0054】
USBメモリ(F61)を画像形成装置のインタフェース部(F51)に装着し、操作部(F15)から印刷するプリントデータファイルを選択し、印刷を実行すると、USBメモリコントローラ(F5)はその識別を行い、画像形成装置制御部(F11)に処理を要求する。(ステップS21)
画像形成装置制御部(F11)は、情報格納部(F13)に問い合わせを行い、現在のIPPSの設定を取得する。(ステップS222)
画像形成装置制御部(F11)は、取得したIPPSの設定を判別し(ステップS23)、
設定がオンであれば、印刷要求は受け付けず、操作部(F15)にエラーを表示する。(ステップS24)
オンでなければ、印刷要求を受け付け、印刷を実行する。(ステップS25)
[実施例の効果]
セキュリティ対応の印刷プロトコルをサポートしている画像形成装置において、セキュリティ設定をオンにすると、USBメモリなどの記憶デバイスからの印刷要求を遮断することにより、セキュリティを向上させる。
【0055】
[その他]
本実施例2では、USBメモリ(F7)と画像形成装置(F1)との接続にはUSBインタフェース(USBポート)(F51)を用いたが、他のメモリをUSBインタフェース以外の例えばパラレルポートやシリアルポートを介して画像形成装置(F1)と接続してもよい。例えばフラッシュメモリ(登録商標)をフラッシュメモリインタフェース(シリアルポート又はパラレルポート)を介して接続するものであってもよい。
【実施例3】
【0056】
[操作部を通してのセキュリティホールの解消]
実施例3として、操作部(操作パネル)(F15)を通してのセキュリティホールの解消を可能とさせる画像形成装置について説明する。
【0057】
[構成]
画像形成装置F1の機能ブロックは、実施例1において図1で示した機能ブロック図と同じであるので省略する。
【0058】
[フローチャート]
図2に、PCクライアント(F4)からNIC(F2)を通して、操作部(F15)から設定変更要求があった場合の画像形成装置(F1)の情報格納部(F13)の状況を応答するプログラムのフローチャートを示す。
【0059】
本実施例3では、本フローチャートを実行するプログラムは、画像形成装置(F1)内で動作する。
【0060】
操作部(F15)から、設定変更要求があると、画像形成装置制御部(F11)に処理を要求する。(ステップS31)
画像形成装置制御部(F11)は、情報格納部(F13)に問い合わせを行い、現在のSNMPv3、SSL/TSL設定などのセキュリティプロトコルの設定を取得する。(ステップS32)
画像形成装置制御部(F11)は、取得したセキュリティプロトコルの設定を判別し(ステップS33)、
いずれかの設定がONであれば、要求は受け付けず、操作部(F15)にエラーを表示する(ステップS34)。
【0061】
ONでなければ、要求を受け付け、その要求に応じて、状態管理部(F12)や、情報格納部(F13)から情報を取得、もしくは情報格納部(F13)に対する設定を実行する(ステップS35)
[実施例の効果]
セキュリティ対応の印刷プロトコルをサポートしている画像形成装置において、セキュリティ設定をオンにすると、操作部からの設定要求を遮断することにより、セキュリティを向上させる。
【0062】
[その他]
本実施例3では、操作部(F15)と画像形成装置制御部(F11)との接続にはUSBインタフェース(USBポート)(F51)を用いたが、USBインタフェース以外の例えばパラレルポートやシリアルポートを用いてもよい。
【符号の説明】
【0063】
F1 画像形成装置
F2 NIC(Network Interface Card)(ネットワークインタフェース)
F3 ネットワーク
F4 PCクライアント
F5 USBデバイスコントローラ
F6 USBケーブル
F7 ローカルPC
F11 画像形成装置制御部(CPUを含む)
F12 状態管理部
F13 情報格納部(記憶デバイス)
F14 印刷部
F15 操作部(パネル)
F21 インタフェース部
F51 USBインタフェース(ローカルポート)
F61 USBメモリ(メモリ接続ポート)
【特許請求の範囲】
【請求項1】
ネットワークを通して端末装置との接続を可能とするネットワークインタフェースと、
前記ネットワークインタフェースを通してのセキュアプロトコルによる通信を可能とする制御部と、
前記制御部がセキュアプロトコルによる通信を行っているかどうかを管理する状態管理部と、
端末装置を直接接続するローカルポートと、を有し、
前記状態管理部がセキュアプロトコルによる通信を行っていると判断した場合には、前記制御部は、前記ローカルポートを経由しての前記端末装置による画像形成装置の操作を禁止する
ことを特徴とする画像形成装置。
【請求項2】
請求項1の画像形成装置であって、
前記ローカルポートは、パラレルポート、USBポート及びシリアルポートのうちの少なくともひとつを有する
ことを特徴とする画像形成装置。
【請求項3】
請求項1又は4の画像形成装置であって、
前記状態管理部がセキュアプロトコルによる通信を行っていると判断した場合には、前記制御部は、操作部からの画像形成装置の操作を禁止する
ことを特徴とする画像形成装置。
【請求項1】
ネットワークを通して端末装置との接続を可能とするネットワークインタフェースと、
前記ネットワークインタフェースを通してのセキュアプロトコルによる通信を可能とする制御部と、
前記制御部がセキュアプロトコルによる通信を行っているかどうかを管理する状態管理部と、
端末装置を直接接続するローカルポートと、を有し、
前記状態管理部がセキュアプロトコルによる通信を行っていると判断した場合には、前記制御部は、前記ローカルポートを経由しての前記端末装置による画像形成装置の操作を禁止する
ことを特徴とする画像形成装置。
【請求項2】
請求項1の画像形成装置であって、
前記ローカルポートは、パラレルポート、USBポート及びシリアルポートのうちの少なくともひとつを有する
ことを特徴とする画像形成装置。
【請求項3】
請求項1又は4の画像形成装置であって、
前記状態管理部がセキュアプロトコルによる通信を行っていると判断した場合には、前記制御部は、操作部からの画像形成装置の操作を禁止する
ことを特徴とする画像形成装置。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2010−176580(P2010−176580A)
【公開日】平成22年8月12日(2010.8.12)
【国際特許分類】
【出願番号】特願2009−20812(P2009−20812)
【出願日】平成21年1月30日(2009.1.30)
【出願人】(000006150)京セラミタ株式会社 (13,173)
【Fターム(参考)】
【公開日】平成22年8月12日(2010.8.12)
【国際特許分類】
【出願日】平成21年1月30日(2009.1.30)
【出願人】(000006150)京セラミタ株式会社 (13,173)
【Fターム(参考)】
[ Back to top ]