認証出力システム及び方法
【課題】 認証出力ジョブをその出力処理時に編集する場合に、編集に伴うジョブの漏洩や改ざんを防止する。
【解決手段】 認証出力装置12は、複数の編集モジュール32を有しており、各編集モジュール32の安全条件データ30を記憶している。編集方法選択部24は、ユーザに応じて編集方法を決定し、決定された編集方法に応じて候補となる編集モジュールを選択する。候補の編集モジュールを認証出力ジョブに適用する前に、安全性判定部28は編集モジュールの属性を安全条件データ30に照らして、その編集モジュールの安全性を判定する。候補の編集モジュールの安全性が確認された後に、認証出力装置12は安全な編集モジュールを認証印刷ジョブに適用して編集し、その認証印刷ジョブの出力処理を実行する。
【解決手段】 認証出力装置12は、複数の編集モジュール32を有しており、各編集モジュール32の安全条件データ30を記憶している。編集方法選択部24は、ユーザに応じて編集方法を決定し、決定された編集方法に応じて候補となる編集モジュールを選択する。候補の編集モジュールを認証出力ジョブに適用する前に、安全性判定部28は編集モジュールの属性を安全条件データ30に照らして、その編集モジュールの安全性を判定する。候補の編集モジュールの安全性が確認された後に、認証出力装置12は安全な編集モジュールを認証印刷ジョブに適用して編集し、その認証印刷ジョブの出力処理を実行する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、入力されたユーザ情報に基づいて認証出力ジョブを選択して出力処理を行う認証出力システム及び方法に関する。
【背景技術】
【0002】
印刷ジョブを受信すると、その印刷ジョブを一旦保存し、その後、ユーザの認証情報が入力されると、認証処理を行い、認証処理が成功すると、その認証情報に関連する印刷ョブに基づいて印刷を行うように構成されたシステムが知られている(例えば、特許文献1)。
【0003】
特許文献1には、保存されている間に印刷ジョブが盗まれる危険を減らすために、ユーザ公開鍵及びプリンタの公開鍵を用いて印刷ジョブを暗号化することが開示されている。
【0004】
【特許文献1】特開2005−216029号公報(段落0002,0010、0019など)
【発明の開示】
【発明が解決しようとする課題】
【0005】
印刷文書の紛失などに対する安全対策として、印刷ジョブの内容に特別な編集を加えたい(例えば、すかし、印刷時刻刻印、ユーザ名や印刷シリアル番号の刻印などを加えたい)という要求がある。特に、認証印刷の場合には、認証を行ない印刷しようとする時点で、印刷ジョブに編集を加えたいという要望がある。しかも、加えられる編集内容をユーザごとに設定できることが望ましい。さらに、そのような編集機能が、ジョブの抜き取りや改ざんなどに悪用されないような安全対策を講じることも要求される。
【0006】
このようなことは、印刷ジョブだけでなく、その他の種類の出力処理、例えば、文書の電子メール送信、フォルダ格納またはファクシミリ送信などを目的としたジョブについてもあてはまる。
従って、本発明の目的は、ジョブをその出力処理時に編集する場合に、ジョブの改ざんや抜き取りができないような安全な仕組みを提供することにある。
【課題を解決するための手段】
【0007】
本発明の原理は、認証出力ジョブを編集するための1以上の編集モジュール(例えば、編集用のプログラムモジュール)を用意するとともに、情報保護の観点での編集モジュールの安全性を判定するための安全条件を設定しておき、所望の編集モジュールがもつ属性をその安全条件に照らすことで、所望の編集モジュールが安全かどうかをチェックし、安全であると確認された編集モジュールにのみ、認証出力ジョブへの適用を許すことである。
【0008】
ここで、安全性判定で参照される編集モジュールの属性としては、認証出力ジョブの情報保護に影響する属性、換言すれば、編集モジュールを通じて認証出力ジョブの情報が外部へ漏れる可能性の高さに影響を与える属性が採用される。そのような属性としては、例えば、ネットワーク資源の使用制限、外部インタフェース接続用のデバイス資源の使用制限、署名の有無、及び/又は、署名者名などがある。
【0009】
ネットワーク資源の使用制限に関しては、例えば、(1)ネットワーク非使用、(2)ネットワーク上の特定ホストと接続、及び(3)使用ネットワーク不明、という3つの属性値は、より番号の若い方がより制限が厳しく、よって、より安全度が高いことになる。また、外部インタフェース接続用のデバイス資源の使用制限に関しては、例えば、(1)デバイス非使用、(2)特定デバイスのみ使用、及び(3)使用デバイス不明、という3つの属性値は、より番号の若い方がより制限が厳しく、よって、より安全度が高いことになる。
【0010】
本発明の一つの側面に従えば、ユーザ情報を入力し、前記入力されたユーザ情報に基づいて認証出力ジョブを選択し、前記選択された認証出力ジョブに基づいて出力処理を行う認証出力システムであって;所定の編集方法で認証出力ジョブを編集するための1以上の編集モジュールと;前記1以上の編集モジュールがもつ可能性のある情報保護に影響する1以上の属性に関する所定の安全条件データを記憶し、1以上の編集モジュールが情報保護に関して安全か否かを、前記1以上の編集モジュールが実際にもっている属性と前記安全条件データとに基づいて判定し、そして、判定の結果に基づいて、安全な編集モジュールを前記選択された認証出力ジョブを適用する安全性判定手段と;前記安全な編集モジュールが適用された後の認証出力ジョブに基づいて出力処理を行う出力処理手段とを備えた認証出力システムが、提供される。
【0011】
本発明に従う認証出力システムによれば、安全性が確認された編集モジュールが認証出力ジョブに適用されるので、編集モジュールに起因する認証印刷ジョブの盗難や改ざん等を防ぐことができる。
【0012】
本発明に従う認証出力システムの一実施形態では、上記情報保護に影響する属性として、ネットワーク資源の使用制限、外部インタフェース接続用デバイス資源の使用制限、署名の有無及び署名者名の内の少なくとも一つを採用することができる。これらの属性は、編集モジュールを通じて認証出力ジョブの情報が外部へ漏れる可能性の高さに影響を与える属性であるから、これに基づいて安全性が判断できる。
【0013】
本発明に従う認証出力システムの一実施形態は、次のように構成されてよい。すなわち、前記安全性判定手段が、前記選択された認証出力ジョブに複数の編集モジュールを適用すべき場合、前記複数の編集モジュールのすべてが安全であると判定した後に、前記複数の編集モジュールを前記選択された認証出力ジョブに適用する。
【0014】
これにより、適用すべき全ての編集モジュールの安全性が予め確認された後に、それらの編集モジュールが実際に適用されるから、それらの編集の処理時間が長くかかってしまう場合でも、ユーザに早いタイミングで、その認証印刷ジョブが出力できるか否かを通知することができる。
【0015】
本発明に従う認証出力システムの一実施形態は、次のように構成されてよい。すなわち、予め設定されたユーザごとの編集方法を定義した編集方法データを記憶し、前記編集方法データから、前記入力されたユーザ情報により特定されるユーザのための編集方法を選択し、そして、前記1以上の編集モジュールの中から、前記選択された編集方法を行える編集モジュールを、前記選択された認証出力ジョブに適用されるべき編集モジュールの候補として、選択する編集方法選択手段を更に備え;前記安全性判定手段が、前記編集方法選択手段により選択された候補が安全であるか否かを判定し、前記候補の判定結果に従って、前記選択された認証出力ジョブに適用されるべき編集モジュールを決定する。
【0016】
これにより、それぞれのユーザ独自の編集方法(すなわち、編集の種類)をジョブに適用できる。例えば、会社の重役のような特別のユーザは、特別な編集方法を行うことができる。
【0017】
本発明に従う認証出力システムの一実施形態は、次のように構成されてよい。すなわち、前記適用されるべき編集モジュールの候補の中に、同じ編集方法を行える複数の編集モジュールがある場合、前記安全性判定手段が、前記同じ編集方法を行える複数の編集モジュールが実際にもっている属性に基づいて、前記同じ編集方法を行える複数の編集モジュールの中から一つの編集モジュールを、前記適用されるべき編集モジュールとして選択する。
【0018】
例えば、同じ編集方法を行える複数の編集モジュールの中から、ネットワーク資源の使用制限のより厳しいものを優先的に選択する、或いは、外部インタフェース接続用デバイス資源の使用制限のより厳しいものを優先的に選択することができる。
【0019】
これにより、同じ編集方法が行える複数の編集モジュールの中から、例えば最も安全度の高いものを選択して使用することができるから、情報が漏洩しない可能性を高めることができる。
【0020】
本発明に従う認証出力システムの一実施形態は、次のように構成されてよい。すなわち、第1のアプリケーション実行環境がファームウェアとして組み込まれた、認証出力ジョブを処理するためのコンピュータを備える。そして、前記コンピュータが、前記第1のアプリケーション実行環境上で動作する、資源管理を行うための第2のアプリケーション実行環境と、前記第2のアプリケーション実行環境で実行されるアプリケーションプログラムモジュールとしてそれぞれ構成された前記1以上の編集モジュールとを有する。そして、前記第2のアプリケーション実行環境が、前記1以上の編集モジュールが実際にもっている属性を記憶している。さらに、前記第2のアプリケーション実行環境から前記1以上の編集モジュールが実際にもっている属性を示す情報を取得する編集情報取得手段を更に設けられる。そして、前記安全性判定手段が、前記編集情報取得手段により取得された前記属性を示す情報に基づいて、前記1以上の編集モジュールの安全を判定する。
【0021】
例えば、上記コンピュータは、認証出力ジョブの出力処理を行うプリンタや複合機に搭載されたものであり、第1のアプリケーション実行環境として、VXWORKS(登録商標)、TRON(登録商標)又はNetBSDのような異なるリアルタイムオペレーティングシステムが採用でき、第2のアプリケーション実行環境として、第1のアプリケーション実行環境を意識することなくアプリケーション開発ができるJAVA(登録商標)仮想マシンなどが採用できる。
【0022】
これにより、編集モジュールの安全性の管理や資源管理を一つの環境で行うことができ、認証出力ジョブ専用に情報を管理する手間や資源管理の効率性が改善される。また、第2のアプリケーション実行環境上で編集モジュールの追加や切り替えができるので、ユーザの要望に応じた編集方法を、ファームウェアの改変を行うことなく、効率良く開発することができる。
【0023】
本発明は、また、上記認証出力システムによって行われる認証出力方法も提供する。
【発明の効果】
【0024】
本発明によれば、認証出力ジョブをその出力処理時に編集する場合に、編集に伴うジョブの改竄や抜き取りが防止できる。
【発明を実施するための最良の形態】
【0025】
以下、図面を参照して、本発明にかかる認証出力システムの一実施形態を説明する。この実施形態は、印刷を目的としたジョブ(印刷ジョブ)を扱う認証出力システム(以下、認証印刷システムという)に本発明を適用した一例であるが、本発明は印刷目的だけでなく、文書の電子メール送信、フォルダ格納及び/又はファクシミリ送信などの他の出力態様を目的とした力ジョブを扱う認証出力システムにも適用できる。
【0026】
図1は、この実施形態にかかる認証印刷システムの構成を示す。
【0027】
図1に示すように、認証印刷システム10は、認証出力装置としてのプリンタ12と、例えばパーソナルコンピュータにより構成されるスプールサーバ14とを備え、プリンタ12とスプールサーバ14は通信ネットワーク16を介して相互間で通信可能である。
【0028】
この認証印刷システム10は、認証印刷ジョブ(ユーザの認証が行われて初めて印刷出力される印刷ジョブ)と、通常印刷ジョブ(ユーザ認証とは関係がなく、クライアント(図示省略)から出力されたら直ちに印刷出力してよい印刷ジョブ)の双方を扱うことができる。しかし、この明細書では、通常印刷ジョブの処理には言及せず、認証印刷ジョブの処理についてのみ説明する。
【0029】
クライアントからこの認証印刷システム10に入力された認証印刷ジョブは、まず、スプールサーバ14内に保存される。その後、或るユーザの認証情報がプリンタ12に入力されると、そのユーザ認証情報に基づいて認証処理が行われ、その認証処理が成功すると、そのユーザ認証情報により特定されるユーザの認証印刷ジョブがスプールサーバ14からプリンタ12に転送される。その後、プリンタ12は、スプールサーバ14から受け取った認証印刷ジョブに、そのユーザに応じた所定の編集方法(例えば、指定された文字列を各ページのヘッダーに記入する、あるいは、フッターに記入する、など)を施す。その後、プリンタ12は、そのような編集方法が適用された認証印刷ジョブに基づいて印刷を行う。尚、何の編集も認証印刷ジョブに行わないという選択も可能であるが、この明細書では、そのような選択がなされた場合についての説明は省略する。
【0030】
ここで、プリンタ12は、それぞれ所定の編集方法を行うことができる1以上の編集モジュール(例えば、プログラムモジュールである)を有しており、ユーザに応じて、どの編集方法を行うべきかを決定し、そして、その決定された編集方法に応じて、どの編集モジュールを使うべきかを選択する。さらに、プリンタ12は、編集モジュールの情報保護の観点からの安全性を判定するための安全条件を記憶しており、使うべき編集モジュールがもつ所定の属性値をその安全条件に照らすことで、使うべき編集モジュールが安全かどうかをチェックする。その結果、使うべき編集モジュールがすべて安全だと判定された後に、プリンタ12は、それら安全な編集モジュールを認証印刷ジョブに適用して、そのジョブを編集する。編集が終わった後、その認証印刷ジョブの印刷が実行される。
【0031】
以下、本実施形態に係る認証印刷システム10のより詳細な構成を図1を参照して説明する。
【0032】
図1に示すように、プリンタ12は、認証デバイス20、認証ジョブ取得部22、編集方法選択部24、安全性判定部28、一以上(通常複数)の編集モジュール32、編集モジュール属性取得部34、及び出力処理部36を備える。
【0033】
プリンタ12は、コンピュータを内蔵し、そのコンピュータには、ファームウェアとして第1のアプリケーション実行環境44が組み込まれており、かつ、第1のアプリケーション実行環境44上で動作するようになった第2のアプリケーション実行環境40がインストールされている。上述した構成要素20〜36は、第2のアプリケーション実行環境40上で動作し制御されるコンピュータプログラム(例えば、認証ジョブ取得部22、編集方法選択部24、安全性判定部28、編集モジュール32、及び編集モジュール属性取得部34)及びハードウェア(例えば、認証デバイス20及び出力処理部36)である。
【0034】
ここで、第1のアプリケーション実行環境44には、例えば、リアルタイムOSと呼ばれているオペレーティングシステム、より具体的には、例えばVXWORKS(登録商標)、TRON(登録商標)又はNetBSDなどが採用される。また、第2のアプリケーション実行環境40には、例えば、第1のアプリケーション実行環境を意識することなくアプリケーション開発ができる仮想マシン、例えばJAVA(登録商標)仮想マシンなどが採用される。
【0035】
上述した構成要素20〜36が第2のアプリケーション実行環境40上で動作し制御されるようになっていることにより、上述した構成要素20〜36により実現される機能である編集モジュールの安全性の管理や複数の編集モジュールなどの資源の管理が、その一つの環境上で行うことができる。従って、認証印刷ジョブ専用に情報を管理する手間や資源管理の効率性が改善される。また、第2のアプリケーション実行環境40上で編集モジュールの追加や切り替えができるので、ユーザの要望に応じた編集方法を、ファームウェアの改変を行うことなく、効率良く開発することができる。
【0036】
認証デバイス20は、ユーザの認証情報を入力するための、プリンタ12に外付けもしくは内蔵された装置であり、例えば磁気カードリーダ、ICカードリーダ、或いは生体情報読み取り装置などが採用できる。
【0037】
認証ジョブ取得部22は、認証デバイス20から入力された認証情報に基づいて、その認証情報よって特定されるユーザの認証印刷ジョブをスプールサーバ14から取得する要素である。
【0038】
編集方法選択部24は、予め設定された編集方法データ26を有しており、この編集方法データ26を参照して、認証ジョブ取得部22によって取得された認証印刷ジョブのユーザのための編集方法を選択する要素である。さらに、編集方法選択部24は、選択した編集方法に従って、それぞれの編集方法を行うことができる候補となる編集モジュールを複数の編集モジュール32中から選択する。
【0039】
編集方法選択部24内の編集方法データ26を図2に例示する。図2に示す例では、ユーザ(ユーザID)に関連づけて、そのユーザのための編集方法(すなわち、編集の種類)が記述されている。この例では、ユーザID「UserX」には、「Header_Print」(ヘッダーの印刷)及び「Footer_Print」(フッターの印刷)の二種類の編集方法が記述され、「UserX」以外のユーザには、「Header_Print」の編集方法が記述されている。
【0040】
再び図1を参照して、安全性判定部28は、編集方法選択部24によって選択されたそれぞれの候補となる編集モジュール32が情報保護の観点から見て安全かどうかを判定し、実際に認証印刷ジョブに対して適用する編集モジュールを決定する。従って、安全性判定部28は、安全性の判定のために参照する安全条件データ30を有している。
【0041】
安全性判定部28内の安全条件データ30を図3に例示する。図3に示す例では、各編集モジュール32が持ち得る属性データである署名者とセキュリティ情報に関して安全条件が記述されている。この例では、署名者についは、全ての署名者が安全であると判定される。つまり、署名が付されていれば署名者が誰であっても安全と判定される。セキュリティ情報については、ネットワーク資源が使用不可で且つ外部インタフェース接続用デバイスも使用不可であることが、安全と判定される条件である。
【0042】
再び図1を参照して、各編集モジュール32は、所定の編集方法を認証印刷ジョブに対して適用するプログラムモジュールである。
【0043】
各編集モジュール32の構成を図4に例示する。図4に示す例では、各編集モジュール32は、その編集モジュールのプログラムデータの他に、「署名者」、「セキュリティ情報」及び行える「編集方法」などの属性データを有する。この例では、署名者は「XXXXX」である。セキュリティ情報は、ネットワーク資源が使用不可で且つ外部インタフェース接続用デバイスも使用不可である。行える編集方法は、「Header_Print」である。
【0044】
再び図1を参照して、或る編集モジュール32が認証出力装置12にインストールされると、その編集モジュール32に含まれる属性データが第2のアプリケーション実行環境40の編集モジュール属性データ42に登録される。
【0045】
第2のアプリケーション実行環境40内の編集モジュール属性データ42の構成を図5に例示する。図5に示す例では、既にインストールされた例えば4つの編集モジュール32について、それぞれのモジュールに付与されたID「♯1」〜「♯4」と、上述した属性データ、すなわち「署名者」、「セキュリティ情報」、及び行える「編集方法」などが登録されている。
【0046】
再び図1を参照して、編集モジュール属性取得部34は、第2のアプリケーション実行環境40から編集モジュール属性データ42を取得する。取得された編集モジュール属性データ42は、編集方法選択部24により、選択された編集方法を行うことができる編集モジュールを選択するために参照され、また、安全性判定部28により、選択された編集モジュール32の安全性を判定するために、参照される。
【0047】
安全性判定部28は、編集モジュール属性取得部34から渡された編集モジュール属性データ42中のそれぞれの編集モジュール32の属性データを安全条件データ30に照らすことで、それぞれの編集モジュールが安全かどうか判定する。その結果として、安全性判定部28は、安全であると判定された編集モジュールを決定し、その安全な編集モジュールのみを認証印刷ジョブに適用する。
【0048】
出力処理部36は、安全である編集モジュールによる編集が全て終了した認証印刷ジョブを受け取って、その認証印刷ジョブの印刷や電メール送信などの出力処理を行う。
【0049】
スプールサーバ14は、認証印刷ジョブを保持する認証ジョブ保持部50を備えている。この認証ジョブ保持部50は、ジョブDB(ジョブデータベース)52を有し、このジョブDB52内にクライアント(図示省略)から受け取った認証印刷ジョブを認証出力処理が完了するまで保存している。
【0050】
認証ジョブ保持部のジョブDB52を図6に例示する。図6に示す例では、「♯1」〜「♯3」というジョブIDを与えられた例えば3つの認証印刷ジョブが登録されており、各ジョブには、ユーザID及び印刷データが含まれている。
【0051】
そして、認証ジョブ保持部50は、認証出力装置12の認証ジョブ取得部22から特定のユーザの認証印刷ジョブの転送要求を受けると、認証ジョブ保持部50から該当するジョブデータを読み出して、その認証印刷ジョブを認証ジョブ取得部22へ転送する。
【0052】
次に、図7及び図8を参照して、認証印刷ジョブに対してその印刷直前に編集を行う処理の流れを説明する。なお、以下の流れにおいて、プリンタ12とスプールサーバ14との通信は全て暗号化されてもよいし、或いは、全てまたは部分的に暗号化されていなくてもよい。
【0053】
図7に示すように、まず、プリンタ12の認証デバイス20に、ユーザの認証情報が入力される(S1)。
【0054】
すると、プリンタ12では、認証ジョブ取得部22が、入力された認証情報に基づいて、認証印刷ジョブのスプールサーバ14に転送を要求する(S2)。
【0055】
スプールサーバ14は、認証情報から特定されるユーザ(ユーザID)に関連付けられたジョブデータを認証ジョブ保持部50から読み出して、その認証印刷ジョブをプリンタ12へ転送し、その認証ジョブをプリンタ12の認証ジョブ取得部22が受け取る(S3)。
【0056】
上述した認証情報入力から認証印刷ジョブの転送までの流れの具体例を図9に示す。図9に示すように、入力されたユーザ認証情報60からユーザID「UserX」が特定されたならば、ユーザID「UserX」を含んだジョブ要求62がスプールサーバ14内のジョブデータベース52へ与えられる。このとき、ジョブデータベース52に例えば図6に示すような認証印刷ジョブが保持されていたならば、ユーザID「UserX」に関連付けられた認証印刷ジョブは、ジョブID「♯1」の認証印刷ジョブだけということになる。従って、図9に示されるように、該当のジョブ数が「1」という通知とジョブID「♯1」の印刷データとを含んだ返答64が、スプールサーバ14からプリンタ12へ返信される。
【0057】
再び図7を参照して、次にプリンタ12では、編集方法選択部24が、入力されたユーザ認証情報により特定されたユーザ(ユーザID)に関連づけられた編集方法を編集方法データ26から検索する(S4)。例えば、そのユーザIDが「UserX」であって、編集方法データ26が図2に示すようになっているとしたならば、「UserX」に関連づけられた「Header_Print」及び「Footer_Print」の二つの編集方法が検索される。
【0058】
さらに、編集モジュール属性取得部34が、第2のアプリケーション実行環境40から編集モジュール属性データ42を取得する。そして、編集方法選択部24が、取得された編集モジュール属性データ42を参照し、そこに登録された複数の編集モジュール32中から、上記検索された二つの編集方法中の第1の編集方法「Header_Print」を行うことができる1以上の編集モジュール32を、実際に適用される編集モジュールの候補として選択する(S5)。
【0059】
同様に、編集方法選択部24は、編集モジュール属性データ42を参照し、そこに登録された複数の編集モジュール32中から、第2の編集方法「Footer_Print」を行うことができる1以上の編集モジュール32を、実際に適用される編集モジュールの候補として選択する(S6)。
【0060】
例えば、編集モジュール属性データ42が図5に示すようになっているとすると、第1の編集方法「Header_Print」を行う編集モジュールの候補としてモジュールID「♯1」〜「♯3」の3つの編集モジュール32が選択され、第2の編集方法「Footer_Print」を行う編集モジュールの候補としてモジュールID「♯4」の1つの編集モジュール32が選択される。
【0061】
その後、処理流れは図8に移行する。図8を参照して、プリンタ12の安全性判定部28は、編集方法選択部24により選択された第1の編集方法が行える編集モジュール32の安全性を判定する(S7)。上記の例では、第1の編集方法「Header_Print」のための候補として、モジュールID「♯1」〜「♯3」の複数の編集モジュールが選択されているので、候補を一つに絞るために、これらの編集モジュールの安全性の高さが判定され、それらが対比さる。
【0062】
この安全性の高さの対比は、例えば、属性の一つであるセキュリティ情報に基づいて行われることができる。すなわち、編集モジュール属性データ42(図5)に基づいて、候補たるモジュールID「♯1」〜「♯3」の編集モジュール32の中から、ネットワーク資源の使用制限のより厳しいもの、或いは、外部インタフェース接続用デバイス資源の使用制限のより厳しいものが、優先的に選択される。
【0063】
より具体的には、ネットワーク資源の使用制限に関しては、例えば、(1)ネットワーク非使用、(2)ネットワーク上の特定ホストと接続、及び(3)使用ネットワーク不明、という3つの属性値があり得るとしたならば、より番号の若い方がより制限が厳しく、よって、より安全度が高いことになる。また、外部インタフェース接続用のデバイス資源の使用制限に関しては、例えば、(1)デバイス非使用、(2)特定デバイスのみ使用、及び(3)使用デバイス不明、という3つの属性値があり得るとしたならば、より番号の若い方がより制限が厳しく、よって、より安全度が高いことになる。従って、図5に例示された編集モジュール属性データ42に基づけば、モジュールID「♯1」〜「♯3」の編集モジュール32中で最も安全性が高いのは、「♯1」の編集モジュールということになる。従って、この最も安全度の高い「♯1」の編集モジュールが、第1の編集方法のための最終的な候補として選択される。このように、複数の候補中からより安全性の高いものを選択することで、情報が漏洩しない可能性を高めることができる。
【0064】
さらに、編集モジュール属性データ42に登録されている最終候補である「♯1」の編集モジュールの属性データが、図3に示した安全性条件データ30と対照されて、この編集モジュールが安全かどうかが判定される。この例の場合は、「♯1」の編集モジュールが安全性条件データ30を満たしているので、安全と判定される。
【0065】
再び図8を参照して、安全性判定部28は、編集方法選択部24により選択された第2の編集方法のための編集モジュールの候補の安全性を判定する(S8)。上記の例では、第2の編集方法「Footer_Print」のための候補として、「♯4」の一つの編集モジュールだけが選択されているので、この場合は候補を一つに絞るための安全性の高さの対比は省略される。そして、編集モジュール属性データ42に登録されている単一候補たる「♯4」の編集モジュールの属性データと図3に示した安全性条件データ30とが対照されて、その編集モジュールが安全かどうかを判定する。その結果として、「♯4」の編集モジュールも安全であると判定される。
【0066】
再び図8を参照して、そのユーザに関する全ての編集方法のための絞り込まれた編集モジュールの候補が全て安全と判定されたかどうかがチェックされる(S9)。
【0067】
その結果、絞り込まれた編集モジュールの候補が全て安全と判定されたならば、それらの候補は最早候補でなく、実際に適用されるべき編集モジュールとなる。従って、第1の編集方法のための実際に適用されるべき「♯1」の編集モジュールが、取得された認証印刷ジョブに、実際に適用される(S10)。加えて、同様に、第2の編集方法のための実際に適用されるべき「♯4」の編集モジュールが、♯1」の編集モジュールが適用済の認証印刷ジョブに、実際に適用される(S11)。
【0068】
ここで、このように全ての編集方法の候補の安全性のチェックを行った後に、それら編集モジュールの実際の適用を行うようにしている理由は、編集モジュールによる編集処理に長い時間を要する場合であっても、ユーザには早期に、安全性チェックの結果、すなわち、所望の編集処理が行えるのか否かを、知らせるためである。
【0069】
認証印刷ジョブへの編集モジュールの適用例を図10に示す。この例では、取得された認証印刷ジョブ「♯1」には、「♯1」の編集モジュールの適用により、その「Header」(ヘッダー)に「UserX」の文字列が付加されている。また、その後の「♯4」の編集モジュールの適用後により、その「Footer」(フッター)に日付、使用されるプリンタ名及び「社外秘」の文字列が付加されている。
【0070】
再び図8を参照して、プリンタ12は、ユーザに関連付けられた全ての編集方法のための安全な編集モジュールが適用された後の認証印刷ジョブに基づき、出力処理(印刷)を実行する(S12)。
【0071】
以上のように、本実施形態によれば、認証印刷ジョブに編集モジュールを適用する前に、編集モジュールの情報保護に関わる属性に基づいて候補となる編集モジュールの安全性を判定し、候補の判定結果に従って全ての安全性が確認された場合にのみ認証印刷ジョブに適用するようにしているので、編集を行うことに起因する認証印刷ジョブ情報の漏洩や改ざんが防止される。
【0072】
また、それぞれの編集方法を行う手段がモジュールとして構成されており、ユーザ毎に編集モジュールを選択できるようになっているので、ユーザに応じた編集方法の選択が可能である。例えば、会社の重役のような特別のユーザは、特別な編集方法を行うことができる。
【0073】
認証ジョブ取得部22、編集方法選択部24、安全性判定部28、編集モジュール32、及び編集モジュール属性取得部34などの本発明の原理に従った処理を行う要素が、第2のアプリケーション実行環境40上で動作するようになっているので、プリンタの機種毎に異なる可能性のあるファームウェアとして組み込まれた第1のアプリケーション実行環境44を意識することなく、共通の第2のアプリケーション実行環境40上で動作もしくは制御させることができる。
【0074】
以上、本発明の好適な実施形態を説明したが、これは本発明の説明のための例示であり、本発明の範囲をこの実施形態にのみ限定する趣旨ではない。本発明は、その要旨を逸脱しない範囲で、上記実施形態とは異なる種々の態様で実施することができる。
【0075】
例えば、認証出力ジョブをスプールサーバではなく、プリンタに保存するようなシステムにも、本発明は適用できる。また、編集モジュールがプリンタではなくスプールサーバに用意されているシステムや、編集モジュールがスプールサーバで実行されるようなシステムにも、本発明は適用できる。
【図面の簡単な説明】
【0076】
【図1】本発明の一実施形態にかかる認証印刷システムの構成を示すブロック線図。
【図2】編集方法選択部内の編集方法データを例示する説明図。
【図3】安全性判定部内の安全条件データを例示する説明図。
【図4】各編集モジュールの構成を例示する説明図。
【図5】第2のアプリケーション実行環境内の編集モジュール属性データの構成を例示する説明図。
【図6】認証ジョブ保持部のジョブDBを例示する説明図。
【図7】認証印刷ジョブに対して編集を行う処理の流れの前段を示すフロー図。
【図8】認証印刷ジョブに対して編集を行う処理の流れの後段を示すフロー図。
【図9】認証情報入力から認証印刷ジョブの転送までの流れの具体例を示す説明図。
【図10】認証印刷ジョブへの編集モジュールの適用例を示す説明図。
【符号の説明】
【0077】
10…認証出力システム、12…プリンタ(認証出力装置)、24…編集方法選択手段(編集方法選択部)、26…編集方法データ、28…安全性判定手段(安全性判定部)、30…安全条件データ、32…編集モジュール、34…編集情報取得手段(編集モジュール属性取得部)、40…第2のアプリケーション実行環境、44…第1のアプリケーション実行環境。
【技術分野】
【0001】
本発明は、入力されたユーザ情報に基づいて認証出力ジョブを選択して出力処理を行う認証出力システム及び方法に関する。
【背景技術】
【0002】
印刷ジョブを受信すると、その印刷ジョブを一旦保存し、その後、ユーザの認証情報が入力されると、認証処理を行い、認証処理が成功すると、その認証情報に関連する印刷ョブに基づいて印刷を行うように構成されたシステムが知られている(例えば、特許文献1)。
【0003】
特許文献1には、保存されている間に印刷ジョブが盗まれる危険を減らすために、ユーザ公開鍵及びプリンタの公開鍵を用いて印刷ジョブを暗号化することが開示されている。
【0004】
【特許文献1】特開2005−216029号公報(段落0002,0010、0019など)
【発明の開示】
【発明が解決しようとする課題】
【0005】
印刷文書の紛失などに対する安全対策として、印刷ジョブの内容に特別な編集を加えたい(例えば、すかし、印刷時刻刻印、ユーザ名や印刷シリアル番号の刻印などを加えたい)という要求がある。特に、認証印刷の場合には、認証を行ない印刷しようとする時点で、印刷ジョブに編集を加えたいという要望がある。しかも、加えられる編集内容をユーザごとに設定できることが望ましい。さらに、そのような編集機能が、ジョブの抜き取りや改ざんなどに悪用されないような安全対策を講じることも要求される。
【0006】
このようなことは、印刷ジョブだけでなく、その他の種類の出力処理、例えば、文書の電子メール送信、フォルダ格納またはファクシミリ送信などを目的としたジョブについてもあてはまる。
従って、本発明の目的は、ジョブをその出力処理時に編集する場合に、ジョブの改ざんや抜き取りができないような安全な仕組みを提供することにある。
【課題を解決するための手段】
【0007】
本発明の原理は、認証出力ジョブを編集するための1以上の編集モジュール(例えば、編集用のプログラムモジュール)を用意するとともに、情報保護の観点での編集モジュールの安全性を判定するための安全条件を設定しておき、所望の編集モジュールがもつ属性をその安全条件に照らすことで、所望の編集モジュールが安全かどうかをチェックし、安全であると確認された編集モジュールにのみ、認証出力ジョブへの適用を許すことである。
【0008】
ここで、安全性判定で参照される編集モジュールの属性としては、認証出力ジョブの情報保護に影響する属性、換言すれば、編集モジュールを通じて認証出力ジョブの情報が外部へ漏れる可能性の高さに影響を与える属性が採用される。そのような属性としては、例えば、ネットワーク資源の使用制限、外部インタフェース接続用のデバイス資源の使用制限、署名の有無、及び/又は、署名者名などがある。
【0009】
ネットワーク資源の使用制限に関しては、例えば、(1)ネットワーク非使用、(2)ネットワーク上の特定ホストと接続、及び(3)使用ネットワーク不明、という3つの属性値は、より番号の若い方がより制限が厳しく、よって、より安全度が高いことになる。また、外部インタフェース接続用のデバイス資源の使用制限に関しては、例えば、(1)デバイス非使用、(2)特定デバイスのみ使用、及び(3)使用デバイス不明、という3つの属性値は、より番号の若い方がより制限が厳しく、よって、より安全度が高いことになる。
【0010】
本発明の一つの側面に従えば、ユーザ情報を入力し、前記入力されたユーザ情報に基づいて認証出力ジョブを選択し、前記選択された認証出力ジョブに基づいて出力処理を行う認証出力システムであって;所定の編集方法で認証出力ジョブを編集するための1以上の編集モジュールと;前記1以上の編集モジュールがもつ可能性のある情報保護に影響する1以上の属性に関する所定の安全条件データを記憶し、1以上の編集モジュールが情報保護に関して安全か否かを、前記1以上の編集モジュールが実際にもっている属性と前記安全条件データとに基づいて判定し、そして、判定の結果に基づいて、安全な編集モジュールを前記選択された認証出力ジョブを適用する安全性判定手段と;前記安全な編集モジュールが適用された後の認証出力ジョブに基づいて出力処理を行う出力処理手段とを備えた認証出力システムが、提供される。
【0011】
本発明に従う認証出力システムによれば、安全性が確認された編集モジュールが認証出力ジョブに適用されるので、編集モジュールに起因する認証印刷ジョブの盗難や改ざん等を防ぐことができる。
【0012】
本発明に従う認証出力システムの一実施形態では、上記情報保護に影響する属性として、ネットワーク資源の使用制限、外部インタフェース接続用デバイス資源の使用制限、署名の有無及び署名者名の内の少なくとも一つを採用することができる。これらの属性は、編集モジュールを通じて認証出力ジョブの情報が外部へ漏れる可能性の高さに影響を与える属性であるから、これに基づいて安全性が判断できる。
【0013】
本発明に従う認証出力システムの一実施形態は、次のように構成されてよい。すなわち、前記安全性判定手段が、前記選択された認証出力ジョブに複数の編集モジュールを適用すべき場合、前記複数の編集モジュールのすべてが安全であると判定した後に、前記複数の編集モジュールを前記選択された認証出力ジョブに適用する。
【0014】
これにより、適用すべき全ての編集モジュールの安全性が予め確認された後に、それらの編集モジュールが実際に適用されるから、それらの編集の処理時間が長くかかってしまう場合でも、ユーザに早いタイミングで、その認証印刷ジョブが出力できるか否かを通知することができる。
【0015】
本発明に従う認証出力システムの一実施形態は、次のように構成されてよい。すなわち、予め設定されたユーザごとの編集方法を定義した編集方法データを記憶し、前記編集方法データから、前記入力されたユーザ情報により特定されるユーザのための編集方法を選択し、そして、前記1以上の編集モジュールの中から、前記選択された編集方法を行える編集モジュールを、前記選択された認証出力ジョブに適用されるべき編集モジュールの候補として、選択する編集方法選択手段を更に備え;前記安全性判定手段が、前記編集方法選択手段により選択された候補が安全であるか否かを判定し、前記候補の判定結果に従って、前記選択された認証出力ジョブに適用されるべき編集モジュールを決定する。
【0016】
これにより、それぞれのユーザ独自の編集方法(すなわち、編集の種類)をジョブに適用できる。例えば、会社の重役のような特別のユーザは、特別な編集方法を行うことができる。
【0017】
本発明に従う認証出力システムの一実施形態は、次のように構成されてよい。すなわち、前記適用されるべき編集モジュールの候補の中に、同じ編集方法を行える複数の編集モジュールがある場合、前記安全性判定手段が、前記同じ編集方法を行える複数の編集モジュールが実際にもっている属性に基づいて、前記同じ編集方法を行える複数の編集モジュールの中から一つの編集モジュールを、前記適用されるべき編集モジュールとして選択する。
【0018】
例えば、同じ編集方法を行える複数の編集モジュールの中から、ネットワーク資源の使用制限のより厳しいものを優先的に選択する、或いは、外部インタフェース接続用デバイス資源の使用制限のより厳しいものを優先的に選択することができる。
【0019】
これにより、同じ編集方法が行える複数の編集モジュールの中から、例えば最も安全度の高いものを選択して使用することができるから、情報が漏洩しない可能性を高めることができる。
【0020】
本発明に従う認証出力システムの一実施形態は、次のように構成されてよい。すなわち、第1のアプリケーション実行環境がファームウェアとして組み込まれた、認証出力ジョブを処理するためのコンピュータを備える。そして、前記コンピュータが、前記第1のアプリケーション実行環境上で動作する、資源管理を行うための第2のアプリケーション実行環境と、前記第2のアプリケーション実行環境で実行されるアプリケーションプログラムモジュールとしてそれぞれ構成された前記1以上の編集モジュールとを有する。そして、前記第2のアプリケーション実行環境が、前記1以上の編集モジュールが実際にもっている属性を記憶している。さらに、前記第2のアプリケーション実行環境から前記1以上の編集モジュールが実際にもっている属性を示す情報を取得する編集情報取得手段を更に設けられる。そして、前記安全性判定手段が、前記編集情報取得手段により取得された前記属性を示す情報に基づいて、前記1以上の編集モジュールの安全を判定する。
【0021】
例えば、上記コンピュータは、認証出力ジョブの出力処理を行うプリンタや複合機に搭載されたものであり、第1のアプリケーション実行環境として、VXWORKS(登録商標)、TRON(登録商標)又はNetBSDのような異なるリアルタイムオペレーティングシステムが採用でき、第2のアプリケーション実行環境として、第1のアプリケーション実行環境を意識することなくアプリケーション開発ができるJAVA(登録商標)仮想マシンなどが採用できる。
【0022】
これにより、編集モジュールの安全性の管理や資源管理を一つの環境で行うことができ、認証出力ジョブ専用に情報を管理する手間や資源管理の効率性が改善される。また、第2のアプリケーション実行環境上で編集モジュールの追加や切り替えができるので、ユーザの要望に応じた編集方法を、ファームウェアの改変を行うことなく、効率良く開発することができる。
【0023】
本発明は、また、上記認証出力システムによって行われる認証出力方法も提供する。
【発明の効果】
【0024】
本発明によれば、認証出力ジョブをその出力処理時に編集する場合に、編集に伴うジョブの改竄や抜き取りが防止できる。
【発明を実施するための最良の形態】
【0025】
以下、図面を参照して、本発明にかかる認証出力システムの一実施形態を説明する。この実施形態は、印刷を目的としたジョブ(印刷ジョブ)を扱う認証出力システム(以下、認証印刷システムという)に本発明を適用した一例であるが、本発明は印刷目的だけでなく、文書の電子メール送信、フォルダ格納及び/又はファクシミリ送信などの他の出力態様を目的とした力ジョブを扱う認証出力システムにも適用できる。
【0026】
図1は、この実施形態にかかる認証印刷システムの構成を示す。
【0027】
図1に示すように、認証印刷システム10は、認証出力装置としてのプリンタ12と、例えばパーソナルコンピュータにより構成されるスプールサーバ14とを備え、プリンタ12とスプールサーバ14は通信ネットワーク16を介して相互間で通信可能である。
【0028】
この認証印刷システム10は、認証印刷ジョブ(ユーザの認証が行われて初めて印刷出力される印刷ジョブ)と、通常印刷ジョブ(ユーザ認証とは関係がなく、クライアント(図示省略)から出力されたら直ちに印刷出力してよい印刷ジョブ)の双方を扱うことができる。しかし、この明細書では、通常印刷ジョブの処理には言及せず、認証印刷ジョブの処理についてのみ説明する。
【0029】
クライアントからこの認証印刷システム10に入力された認証印刷ジョブは、まず、スプールサーバ14内に保存される。その後、或るユーザの認証情報がプリンタ12に入力されると、そのユーザ認証情報に基づいて認証処理が行われ、その認証処理が成功すると、そのユーザ認証情報により特定されるユーザの認証印刷ジョブがスプールサーバ14からプリンタ12に転送される。その後、プリンタ12は、スプールサーバ14から受け取った認証印刷ジョブに、そのユーザに応じた所定の編集方法(例えば、指定された文字列を各ページのヘッダーに記入する、あるいは、フッターに記入する、など)を施す。その後、プリンタ12は、そのような編集方法が適用された認証印刷ジョブに基づいて印刷を行う。尚、何の編集も認証印刷ジョブに行わないという選択も可能であるが、この明細書では、そのような選択がなされた場合についての説明は省略する。
【0030】
ここで、プリンタ12は、それぞれ所定の編集方法を行うことができる1以上の編集モジュール(例えば、プログラムモジュールである)を有しており、ユーザに応じて、どの編集方法を行うべきかを決定し、そして、その決定された編集方法に応じて、どの編集モジュールを使うべきかを選択する。さらに、プリンタ12は、編集モジュールの情報保護の観点からの安全性を判定するための安全条件を記憶しており、使うべき編集モジュールがもつ所定の属性値をその安全条件に照らすことで、使うべき編集モジュールが安全かどうかをチェックする。その結果、使うべき編集モジュールがすべて安全だと判定された後に、プリンタ12は、それら安全な編集モジュールを認証印刷ジョブに適用して、そのジョブを編集する。編集が終わった後、その認証印刷ジョブの印刷が実行される。
【0031】
以下、本実施形態に係る認証印刷システム10のより詳細な構成を図1を参照して説明する。
【0032】
図1に示すように、プリンタ12は、認証デバイス20、認証ジョブ取得部22、編集方法選択部24、安全性判定部28、一以上(通常複数)の編集モジュール32、編集モジュール属性取得部34、及び出力処理部36を備える。
【0033】
プリンタ12は、コンピュータを内蔵し、そのコンピュータには、ファームウェアとして第1のアプリケーション実行環境44が組み込まれており、かつ、第1のアプリケーション実行環境44上で動作するようになった第2のアプリケーション実行環境40がインストールされている。上述した構成要素20〜36は、第2のアプリケーション実行環境40上で動作し制御されるコンピュータプログラム(例えば、認証ジョブ取得部22、編集方法選択部24、安全性判定部28、編集モジュール32、及び編集モジュール属性取得部34)及びハードウェア(例えば、認証デバイス20及び出力処理部36)である。
【0034】
ここで、第1のアプリケーション実行環境44には、例えば、リアルタイムOSと呼ばれているオペレーティングシステム、より具体的には、例えばVXWORKS(登録商標)、TRON(登録商標)又はNetBSDなどが採用される。また、第2のアプリケーション実行環境40には、例えば、第1のアプリケーション実行環境を意識することなくアプリケーション開発ができる仮想マシン、例えばJAVA(登録商標)仮想マシンなどが採用される。
【0035】
上述した構成要素20〜36が第2のアプリケーション実行環境40上で動作し制御されるようになっていることにより、上述した構成要素20〜36により実現される機能である編集モジュールの安全性の管理や複数の編集モジュールなどの資源の管理が、その一つの環境上で行うことができる。従って、認証印刷ジョブ専用に情報を管理する手間や資源管理の効率性が改善される。また、第2のアプリケーション実行環境40上で編集モジュールの追加や切り替えができるので、ユーザの要望に応じた編集方法を、ファームウェアの改変を行うことなく、効率良く開発することができる。
【0036】
認証デバイス20は、ユーザの認証情報を入力するための、プリンタ12に外付けもしくは内蔵された装置であり、例えば磁気カードリーダ、ICカードリーダ、或いは生体情報読み取り装置などが採用できる。
【0037】
認証ジョブ取得部22は、認証デバイス20から入力された認証情報に基づいて、その認証情報よって特定されるユーザの認証印刷ジョブをスプールサーバ14から取得する要素である。
【0038】
編集方法選択部24は、予め設定された編集方法データ26を有しており、この編集方法データ26を参照して、認証ジョブ取得部22によって取得された認証印刷ジョブのユーザのための編集方法を選択する要素である。さらに、編集方法選択部24は、選択した編集方法に従って、それぞれの編集方法を行うことができる候補となる編集モジュールを複数の編集モジュール32中から選択する。
【0039】
編集方法選択部24内の編集方法データ26を図2に例示する。図2に示す例では、ユーザ(ユーザID)に関連づけて、そのユーザのための編集方法(すなわち、編集の種類)が記述されている。この例では、ユーザID「UserX」には、「Header_Print」(ヘッダーの印刷)及び「Footer_Print」(フッターの印刷)の二種類の編集方法が記述され、「UserX」以外のユーザには、「Header_Print」の編集方法が記述されている。
【0040】
再び図1を参照して、安全性判定部28は、編集方法選択部24によって選択されたそれぞれの候補となる編集モジュール32が情報保護の観点から見て安全かどうかを判定し、実際に認証印刷ジョブに対して適用する編集モジュールを決定する。従って、安全性判定部28は、安全性の判定のために参照する安全条件データ30を有している。
【0041】
安全性判定部28内の安全条件データ30を図3に例示する。図3に示す例では、各編集モジュール32が持ち得る属性データである署名者とセキュリティ情報に関して安全条件が記述されている。この例では、署名者についは、全ての署名者が安全であると判定される。つまり、署名が付されていれば署名者が誰であっても安全と判定される。セキュリティ情報については、ネットワーク資源が使用不可で且つ外部インタフェース接続用デバイスも使用不可であることが、安全と判定される条件である。
【0042】
再び図1を参照して、各編集モジュール32は、所定の編集方法を認証印刷ジョブに対して適用するプログラムモジュールである。
【0043】
各編集モジュール32の構成を図4に例示する。図4に示す例では、各編集モジュール32は、その編集モジュールのプログラムデータの他に、「署名者」、「セキュリティ情報」及び行える「編集方法」などの属性データを有する。この例では、署名者は「XXXXX」である。セキュリティ情報は、ネットワーク資源が使用不可で且つ外部インタフェース接続用デバイスも使用不可である。行える編集方法は、「Header_Print」である。
【0044】
再び図1を参照して、或る編集モジュール32が認証出力装置12にインストールされると、その編集モジュール32に含まれる属性データが第2のアプリケーション実行環境40の編集モジュール属性データ42に登録される。
【0045】
第2のアプリケーション実行環境40内の編集モジュール属性データ42の構成を図5に例示する。図5に示す例では、既にインストールされた例えば4つの編集モジュール32について、それぞれのモジュールに付与されたID「♯1」〜「♯4」と、上述した属性データ、すなわち「署名者」、「セキュリティ情報」、及び行える「編集方法」などが登録されている。
【0046】
再び図1を参照して、編集モジュール属性取得部34は、第2のアプリケーション実行環境40から編集モジュール属性データ42を取得する。取得された編集モジュール属性データ42は、編集方法選択部24により、選択された編集方法を行うことができる編集モジュールを選択するために参照され、また、安全性判定部28により、選択された編集モジュール32の安全性を判定するために、参照される。
【0047】
安全性判定部28は、編集モジュール属性取得部34から渡された編集モジュール属性データ42中のそれぞれの編集モジュール32の属性データを安全条件データ30に照らすことで、それぞれの編集モジュールが安全かどうか判定する。その結果として、安全性判定部28は、安全であると判定された編集モジュールを決定し、その安全な編集モジュールのみを認証印刷ジョブに適用する。
【0048】
出力処理部36は、安全である編集モジュールによる編集が全て終了した認証印刷ジョブを受け取って、その認証印刷ジョブの印刷や電メール送信などの出力処理を行う。
【0049】
スプールサーバ14は、認証印刷ジョブを保持する認証ジョブ保持部50を備えている。この認証ジョブ保持部50は、ジョブDB(ジョブデータベース)52を有し、このジョブDB52内にクライアント(図示省略)から受け取った認証印刷ジョブを認証出力処理が完了するまで保存している。
【0050】
認証ジョブ保持部のジョブDB52を図6に例示する。図6に示す例では、「♯1」〜「♯3」というジョブIDを与えられた例えば3つの認証印刷ジョブが登録されており、各ジョブには、ユーザID及び印刷データが含まれている。
【0051】
そして、認証ジョブ保持部50は、認証出力装置12の認証ジョブ取得部22から特定のユーザの認証印刷ジョブの転送要求を受けると、認証ジョブ保持部50から該当するジョブデータを読み出して、その認証印刷ジョブを認証ジョブ取得部22へ転送する。
【0052】
次に、図7及び図8を参照して、認証印刷ジョブに対してその印刷直前に編集を行う処理の流れを説明する。なお、以下の流れにおいて、プリンタ12とスプールサーバ14との通信は全て暗号化されてもよいし、或いは、全てまたは部分的に暗号化されていなくてもよい。
【0053】
図7に示すように、まず、プリンタ12の認証デバイス20に、ユーザの認証情報が入力される(S1)。
【0054】
すると、プリンタ12では、認証ジョブ取得部22が、入力された認証情報に基づいて、認証印刷ジョブのスプールサーバ14に転送を要求する(S2)。
【0055】
スプールサーバ14は、認証情報から特定されるユーザ(ユーザID)に関連付けられたジョブデータを認証ジョブ保持部50から読み出して、その認証印刷ジョブをプリンタ12へ転送し、その認証ジョブをプリンタ12の認証ジョブ取得部22が受け取る(S3)。
【0056】
上述した認証情報入力から認証印刷ジョブの転送までの流れの具体例を図9に示す。図9に示すように、入力されたユーザ認証情報60からユーザID「UserX」が特定されたならば、ユーザID「UserX」を含んだジョブ要求62がスプールサーバ14内のジョブデータベース52へ与えられる。このとき、ジョブデータベース52に例えば図6に示すような認証印刷ジョブが保持されていたならば、ユーザID「UserX」に関連付けられた認証印刷ジョブは、ジョブID「♯1」の認証印刷ジョブだけということになる。従って、図9に示されるように、該当のジョブ数が「1」という通知とジョブID「♯1」の印刷データとを含んだ返答64が、スプールサーバ14からプリンタ12へ返信される。
【0057】
再び図7を参照して、次にプリンタ12では、編集方法選択部24が、入力されたユーザ認証情報により特定されたユーザ(ユーザID)に関連づけられた編集方法を編集方法データ26から検索する(S4)。例えば、そのユーザIDが「UserX」であって、編集方法データ26が図2に示すようになっているとしたならば、「UserX」に関連づけられた「Header_Print」及び「Footer_Print」の二つの編集方法が検索される。
【0058】
さらに、編集モジュール属性取得部34が、第2のアプリケーション実行環境40から編集モジュール属性データ42を取得する。そして、編集方法選択部24が、取得された編集モジュール属性データ42を参照し、そこに登録された複数の編集モジュール32中から、上記検索された二つの編集方法中の第1の編集方法「Header_Print」を行うことができる1以上の編集モジュール32を、実際に適用される編集モジュールの候補として選択する(S5)。
【0059】
同様に、編集方法選択部24は、編集モジュール属性データ42を参照し、そこに登録された複数の編集モジュール32中から、第2の編集方法「Footer_Print」を行うことができる1以上の編集モジュール32を、実際に適用される編集モジュールの候補として選択する(S6)。
【0060】
例えば、編集モジュール属性データ42が図5に示すようになっているとすると、第1の編集方法「Header_Print」を行う編集モジュールの候補としてモジュールID「♯1」〜「♯3」の3つの編集モジュール32が選択され、第2の編集方法「Footer_Print」を行う編集モジュールの候補としてモジュールID「♯4」の1つの編集モジュール32が選択される。
【0061】
その後、処理流れは図8に移行する。図8を参照して、プリンタ12の安全性判定部28は、編集方法選択部24により選択された第1の編集方法が行える編集モジュール32の安全性を判定する(S7)。上記の例では、第1の編集方法「Header_Print」のための候補として、モジュールID「♯1」〜「♯3」の複数の編集モジュールが選択されているので、候補を一つに絞るために、これらの編集モジュールの安全性の高さが判定され、それらが対比さる。
【0062】
この安全性の高さの対比は、例えば、属性の一つであるセキュリティ情報に基づいて行われることができる。すなわち、編集モジュール属性データ42(図5)に基づいて、候補たるモジュールID「♯1」〜「♯3」の編集モジュール32の中から、ネットワーク資源の使用制限のより厳しいもの、或いは、外部インタフェース接続用デバイス資源の使用制限のより厳しいものが、優先的に選択される。
【0063】
より具体的には、ネットワーク資源の使用制限に関しては、例えば、(1)ネットワーク非使用、(2)ネットワーク上の特定ホストと接続、及び(3)使用ネットワーク不明、という3つの属性値があり得るとしたならば、より番号の若い方がより制限が厳しく、よって、より安全度が高いことになる。また、外部インタフェース接続用のデバイス資源の使用制限に関しては、例えば、(1)デバイス非使用、(2)特定デバイスのみ使用、及び(3)使用デバイス不明、という3つの属性値があり得るとしたならば、より番号の若い方がより制限が厳しく、よって、より安全度が高いことになる。従って、図5に例示された編集モジュール属性データ42に基づけば、モジュールID「♯1」〜「♯3」の編集モジュール32中で最も安全性が高いのは、「♯1」の編集モジュールということになる。従って、この最も安全度の高い「♯1」の編集モジュールが、第1の編集方法のための最終的な候補として選択される。このように、複数の候補中からより安全性の高いものを選択することで、情報が漏洩しない可能性を高めることができる。
【0064】
さらに、編集モジュール属性データ42に登録されている最終候補である「♯1」の編集モジュールの属性データが、図3に示した安全性条件データ30と対照されて、この編集モジュールが安全かどうかが判定される。この例の場合は、「♯1」の編集モジュールが安全性条件データ30を満たしているので、安全と判定される。
【0065】
再び図8を参照して、安全性判定部28は、編集方法選択部24により選択された第2の編集方法のための編集モジュールの候補の安全性を判定する(S8)。上記の例では、第2の編集方法「Footer_Print」のための候補として、「♯4」の一つの編集モジュールだけが選択されているので、この場合は候補を一つに絞るための安全性の高さの対比は省略される。そして、編集モジュール属性データ42に登録されている単一候補たる「♯4」の編集モジュールの属性データと図3に示した安全性条件データ30とが対照されて、その編集モジュールが安全かどうかを判定する。その結果として、「♯4」の編集モジュールも安全であると判定される。
【0066】
再び図8を参照して、そのユーザに関する全ての編集方法のための絞り込まれた編集モジュールの候補が全て安全と判定されたかどうかがチェックされる(S9)。
【0067】
その結果、絞り込まれた編集モジュールの候補が全て安全と判定されたならば、それらの候補は最早候補でなく、実際に適用されるべき編集モジュールとなる。従って、第1の編集方法のための実際に適用されるべき「♯1」の編集モジュールが、取得された認証印刷ジョブに、実際に適用される(S10)。加えて、同様に、第2の編集方法のための実際に適用されるべき「♯4」の編集モジュールが、♯1」の編集モジュールが適用済の認証印刷ジョブに、実際に適用される(S11)。
【0068】
ここで、このように全ての編集方法の候補の安全性のチェックを行った後に、それら編集モジュールの実際の適用を行うようにしている理由は、編集モジュールによる編集処理に長い時間を要する場合であっても、ユーザには早期に、安全性チェックの結果、すなわち、所望の編集処理が行えるのか否かを、知らせるためである。
【0069】
認証印刷ジョブへの編集モジュールの適用例を図10に示す。この例では、取得された認証印刷ジョブ「♯1」には、「♯1」の編集モジュールの適用により、その「Header」(ヘッダー)に「UserX」の文字列が付加されている。また、その後の「♯4」の編集モジュールの適用後により、その「Footer」(フッター)に日付、使用されるプリンタ名及び「社外秘」の文字列が付加されている。
【0070】
再び図8を参照して、プリンタ12は、ユーザに関連付けられた全ての編集方法のための安全な編集モジュールが適用された後の認証印刷ジョブに基づき、出力処理(印刷)を実行する(S12)。
【0071】
以上のように、本実施形態によれば、認証印刷ジョブに編集モジュールを適用する前に、編集モジュールの情報保護に関わる属性に基づいて候補となる編集モジュールの安全性を判定し、候補の判定結果に従って全ての安全性が確認された場合にのみ認証印刷ジョブに適用するようにしているので、編集を行うことに起因する認証印刷ジョブ情報の漏洩や改ざんが防止される。
【0072】
また、それぞれの編集方法を行う手段がモジュールとして構成されており、ユーザ毎に編集モジュールを選択できるようになっているので、ユーザに応じた編集方法の選択が可能である。例えば、会社の重役のような特別のユーザは、特別な編集方法を行うことができる。
【0073】
認証ジョブ取得部22、編集方法選択部24、安全性判定部28、編集モジュール32、及び編集モジュール属性取得部34などの本発明の原理に従った処理を行う要素が、第2のアプリケーション実行環境40上で動作するようになっているので、プリンタの機種毎に異なる可能性のあるファームウェアとして組み込まれた第1のアプリケーション実行環境44を意識することなく、共通の第2のアプリケーション実行環境40上で動作もしくは制御させることができる。
【0074】
以上、本発明の好適な実施形態を説明したが、これは本発明の説明のための例示であり、本発明の範囲をこの実施形態にのみ限定する趣旨ではない。本発明は、その要旨を逸脱しない範囲で、上記実施形態とは異なる種々の態様で実施することができる。
【0075】
例えば、認証出力ジョブをスプールサーバではなく、プリンタに保存するようなシステムにも、本発明は適用できる。また、編集モジュールがプリンタではなくスプールサーバに用意されているシステムや、編集モジュールがスプールサーバで実行されるようなシステムにも、本発明は適用できる。
【図面の簡単な説明】
【0076】
【図1】本発明の一実施形態にかかる認証印刷システムの構成を示すブロック線図。
【図2】編集方法選択部内の編集方法データを例示する説明図。
【図3】安全性判定部内の安全条件データを例示する説明図。
【図4】各編集モジュールの構成を例示する説明図。
【図5】第2のアプリケーション実行環境内の編集モジュール属性データの構成を例示する説明図。
【図6】認証ジョブ保持部のジョブDBを例示する説明図。
【図7】認証印刷ジョブに対して編集を行う処理の流れの前段を示すフロー図。
【図8】認証印刷ジョブに対して編集を行う処理の流れの後段を示すフロー図。
【図9】認証情報入力から認証印刷ジョブの転送までの流れの具体例を示す説明図。
【図10】認証印刷ジョブへの編集モジュールの適用例を示す説明図。
【符号の説明】
【0077】
10…認証出力システム、12…プリンタ(認証出力装置)、24…編集方法選択手段(編集方法選択部)、26…編集方法データ、28…安全性判定手段(安全性判定部)、30…安全条件データ、32…編集モジュール、34…編集情報取得手段(編集モジュール属性取得部)、40…第2のアプリケーション実行環境、44…第1のアプリケーション実行環境。
【特許請求の範囲】
【請求項1】
ユーザ情報を入力し、前記入力されたユーザ情報に基づいて認証出力ジョブを選択し、前記選択された認証出力ジョブに基づいて出力処理を行う認証出力システムにおいて、
所定の編集方法で認証出力ジョブを編集するための1以上の編集モジュールと、
前記1以上の編集モジュールがもつ可能性のある情報保護に影響する1以上の属性に関する所定の安全条件データを記憶し、1以上の編集モジュールが情報保護に関して安全か否かを、前記1以上の編集モジュールが実際にもっている属性と前記安全条件データとに基づいて判定し、そして、判定の結果に基づいて、安全な編集モジュールを前記選択された認証出力ジョブを適用する安全性判定手段と、
前記安全な編集モジュールが適用された後の認証出力ジョブに基づいて出力処理を行う出力処理手段と
を備えた認証出力システム。
【請求項2】
請求項1記載の認証出力システムにおいて、
前記情報保護に影響する属性として、ネットワーク資源の使用制限、外部インタフェース接続用デバイス資源の使用制限、署名の有無及び署名者名の内の少なくとも一つが採用される認証出力システム。
【請求項3】
請求項1又は2記載の認証出力システムにおいて、
前記安全性判定手段が、前記選択された認証出力ジョブに複数の編集モジュールを適用すべき場合、前記複数の編集モジュールのすべてが安全であると判定した後に、前記複数の編集モジュールを前記選択された認証出力ジョブに適用する、
認証出力システム。
【請求項4】
請求項1〜3のいずれか一項記載の認証出力システムにおいて、
予め設定されたユーザごとの編集方法を定義した編集方法データを記憶し、前記編集方法データから、前記入力されたユーザ情報により特定されるユーザのための編集方法を選択し、そして、前記1以上の編集モジュールの中から、前記選択された編集方法を行える編集モジュールを、前記選択された認証出力ジョブに適用されるべき編集モジュールの候補として、選択する編集方法選択手段を更に備え、
前記安全性判定手段が、前記編集方法選択手段により選択された候補が安全であるか否かを判定し、前記候補の判定結果に従って、前記選択された認証出力ジョブに適用されるべき編集モジュールを決定する、
認証出力システム。
【請求項5】
請求項4記載の認証出力システムにおいて、
前記適用されるべき編集モジュールの候補の中に、同じ編集方法を行える複数の編集モジュールがある場合、前記安全性判定手段が、前記同じ編集方法を行える複数の編集モジュールが実際にもっている属性に基づいて、前記同じ編集方法を行える複数の編集モジュールの中から一つの編集モジュールを、前記適用されるべき編集モジュールとして選択する、
認証印刷システム。
【請求項6】
請求項5記載の認証出力システムにおいて、
前記安全性判定手段が、前記同じ編集方法を行える複数の編集モジュールの中から、ネットワーク資源の使用制限のより厳しいものを優先的に、前記適用されるべき編集モジュールとして選択する、
認証出力システム。
【請求項7】
請求項5又は6記載の認証出力システムにおいて、
前記安全性判定手段が、前記同じ編集方法を行える複数の編集モジュールの中から、外部インタフェース接続用デバイス資源の使用制限のより厳しいものを優先的に、前記適用されるべき編集モジュールとして選択する、
認証印刷システム。
【請求項8】
請求項1〜7のいずれか一項記載の認証出力システムにおいて、
第1のアプリケーション実行環境がファームウェアとして組み込まれた、認証出力ジョブを処理するためのコンピュータを備え、
前記コンピュータが、
前記第1のアプリケーション実行環境上で動作する、資源管理を行うための第2のアプリケーション実行環境と、
前記第2のアプリケーション実行環境で実行されるアプリケーションプログラムモジュールとしてそれぞれ構成された前記1以上の編集モジュールと
を有し、
前記第2のアプリケーション実行環境が、前記1以上の編集モジュールが実際にもっている属性を記憶し、
前記第2のアプリケーション実行環境から前記1以上の編集モジュールが実際にもっている属性を示す情報を取得する編集情報取得手段を更に備え、
前記安全性判定手段が、前記編集情報取得手段により取得された前記属性を示す情報に基づいて、前記1以上の編集モジュールの安全を判定する
認証印刷システム。
【請求項9】
ユーザ情報を入力し、前記入力されたユーザ情報に基づいて認証出力ジョブを選択し、前記選択された認証出力ジョブに基づいて出力処理を行う認証出力方法において、
編集モジュールがもつ可能性のある情報保護に影響する1以上の属性に関する所定の安全条件データを記憶するステップと、
所定の編集方法で認証出力ジョブを編集するための予め用意された1以上の編集モジュールが情報保護に関して安全か否かを、前記1以上の編集モジュールが実際にもっている属性と前記安全条件データとに基づいて判定するステップと、
判定の結果に基づいて、前記予め用意された1以上の編集モジュール中の安全な編集モジュールを、前記選択された認証出力ジョブを適用するステップと、
前記安全な編集モジュールが適用された後の認証出力ジョブに基づいて出力処理を行うステップと
を有する認証出力方法。
【請求項1】
ユーザ情報を入力し、前記入力されたユーザ情報に基づいて認証出力ジョブを選択し、前記選択された認証出力ジョブに基づいて出力処理を行う認証出力システムにおいて、
所定の編集方法で認証出力ジョブを編集するための1以上の編集モジュールと、
前記1以上の編集モジュールがもつ可能性のある情報保護に影響する1以上の属性に関する所定の安全条件データを記憶し、1以上の編集モジュールが情報保護に関して安全か否かを、前記1以上の編集モジュールが実際にもっている属性と前記安全条件データとに基づいて判定し、そして、判定の結果に基づいて、安全な編集モジュールを前記選択された認証出力ジョブを適用する安全性判定手段と、
前記安全な編集モジュールが適用された後の認証出力ジョブに基づいて出力処理を行う出力処理手段と
を備えた認証出力システム。
【請求項2】
請求項1記載の認証出力システムにおいて、
前記情報保護に影響する属性として、ネットワーク資源の使用制限、外部インタフェース接続用デバイス資源の使用制限、署名の有無及び署名者名の内の少なくとも一つが採用される認証出力システム。
【請求項3】
請求項1又は2記載の認証出力システムにおいて、
前記安全性判定手段が、前記選択された認証出力ジョブに複数の編集モジュールを適用すべき場合、前記複数の編集モジュールのすべてが安全であると判定した後に、前記複数の編集モジュールを前記選択された認証出力ジョブに適用する、
認証出力システム。
【請求項4】
請求項1〜3のいずれか一項記載の認証出力システムにおいて、
予め設定されたユーザごとの編集方法を定義した編集方法データを記憶し、前記編集方法データから、前記入力されたユーザ情報により特定されるユーザのための編集方法を選択し、そして、前記1以上の編集モジュールの中から、前記選択された編集方法を行える編集モジュールを、前記選択された認証出力ジョブに適用されるべき編集モジュールの候補として、選択する編集方法選択手段を更に備え、
前記安全性判定手段が、前記編集方法選択手段により選択された候補が安全であるか否かを判定し、前記候補の判定結果に従って、前記選択された認証出力ジョブに適用されるべき編集モジュールを決定する、
認証出力システム。
【請求項5】
請求項4記載の認証出力システムにおいて、
前記適用されるべき編集モジュールの候補の中に、同じ編集方法を行える複数の編集モジュールがある場合、前記安全性判定手段が、前記同じ編集方法を行える複数の編集モジュールが実際にもっている属性に基づいて、前記同じ編集方法を行える複数の編集モジュールの中から一つの編集モジュールを、前記適用されるべき編集モジュールとして選択する、
認証印刷システム。
【請求項6】
請求項5記載の認証出力システムにおいて、
前記安全性判定手段が、前記同じ編集方法を行える複数の編集モジュールの中から、ネットワーク資源の使用制限のより厳しいものを優先的に、前記適用されるべき編集モジュールとして選択する、
認証出力システム。
【請求項7】
請求項5又は6記載の認証出力システムにおいて、
前記安全性判定手段が、前記同じ編集方法を行える複数の編集モジュールの中から、外部インタフェース接続用デバイス資源の使用制限のより厳しいものを優先的に、前記適用されるべき編集モジュールとして選択する、
認証印刷システム。
【請求項8】
請求項1〜7のいずれか一項記載の認証出力システムにおいて、
第1のアプリケーション実行環境がファームウェアとして組み込まれた、認証出力ジョブを処理するためのコンピュータを備え、
前記コンピュータが、
前記第1のアプリケーション実行環境上で動作する、資源管理を行うための第2のアプリケーション実行環境と、
前記第2のアプリケーション実行環境で実行されるアプリケーションプログラムモジュールとしてそれぞれ構成された前記1以上の編集モジュールと
を有し、
前記第2のアプリケーション実行環境が、前記1以上の編集モジュールが実際にもっている属性を記憶し、
前記第2のアプリケーション実行環境から前記1以上の編集モジュールが実際にもっている属性を示す情報を取得する編集情報取得手段を更に備え、
前記安全性判定手段が、前記編集情報取得手段により取得された前記属性を示す情報に基づいて、前記1以上の編集モジュールの安全を判定する
認証印刷システム。
【請求項9】
ユーザ情報を入力し、前記入力されたユーザ情報に基づいて認証出力ジョブを選択し、前記選択された認証出力ジョブに基づいて出力処理を行う認証出力方法において、
編集モジュールがもつ可能性のある情報保護に影響する1以上の属性に関する所定の安全条件データを記憶するステップと、
所定の編集方法で認証出力ジョブを編集するための予め用意された1以上の編集モジュールが情報保護に関して安全か否かを、前記1以上の編集モジュールが実際にもっている属性と前記安全条件データとに基づいて判定するステップと、
判定の結果に基づいて、前記予め用意された1以上の編集モジュール中の安全な編集モジュールを、前記選択された認証出力ジョブを適用するステップと、
前記安全な編集モジュールが適用された後の認証出力ジョブに基づいて出力処理を行うステップと
を有する認証出力方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2009−230310(P2009−230310A)
【公開日】平成21年10月8日(2009.10.8)
【国際特許分類】
【出願番号】特願2008−72940(P2008−72940)
【出願日】平成20年3月21日(2008.3.21)
【出願人】(000002369)セイコーエプソン株式会社 (51,324)
【Fターム(参考)】
【公開日】平成21年10月8日(2009.10.8)
【国際特許分類】
【出願日】平成20年3月21日(2008.3.21)
【出願人】(000002369)セイコーエプソン株式会社 (51,324)
【Fターム(参考)】
[ Back to top ]