JP4483996B2 - Job processing apparatus, control method for the apparatus, and control program - Google Patents
Job processing apparatus, control method for the apparatus, and control program Download PDFInfo
- Publication number
- JP4483996B2 JP4483996B2 JP2009235679A JP2009235679A JP4483996B2 JP 4483996 B2 JP4483996 B2 JP 4483996B2 JP 2009235679 A JP2009235679 A JP 2009235679A JP 2009235679 A JP2009235679 A JP 2009235679A JP 4483996 B2 JP4483996 B2 JP 4483996B2
- Authority
- JP
- Japan
- Prior art keywords
- job
- data
- storage
- storage device
- stored
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Record Information Processing For Printing (AREA)
- Storage Device Security (AREA)
- Storing Facsimile Image Data (AREA)
Description
本発明は、コピー機、プリンタ、ファクシミリ、複合機など、ユーザの要求に応じて所定のジョブを実行するジョブ処理装置に関し、特にジョブ処理装置に記憶されるデータの秘密保持のための技術に関する。 The present invention relates to a job processing apparatus that executes a predetermined job in response to a user request, such as a copying machine, a printer, a facsimile machine, and a multifunction machine, and more particularly to a technique for maintaining confidentiality of data stored in the job processing apparatus.
近年のデジタル複写機や複合機は、ハードディスク等の大容量記憶装置を搭載するものが多い。このような大容量記憶装置は、原稿を複数部数コピーする場合や両面印刷を行う場合に原稿画像を一時的に保存したり、スキャン要求に応じて原稿読取部で読み取った原稿画像をユーザがネットワークを介してダウンロードするまで保存したりするなどの用途に用いられる。 In recent years, many digital copying machines and multifunction machines are equipped with a large-capacity storage device such as a hard disk. Such a large-capacity storage device temporarily stores a document image when copying a plurality of copies of a document or performing double-sided printing, or allows a user to read a document image read by a document reading unit in response to a scan request. It is used for applications such as saving until it is downloaded via.
近年、ネットワーク化やこれに伴う情報犯罪の増加を背景として、企業の情報セキュリティ管理強化の気運が高まっており、ISMS(Information Security Management System)などの認証制度も始まっている。ハードディスク抜き取りなどによる情報漏洩リスクを考えると、企業の総合的な情報セキュリティ管理においては、デジタル複写機や複合機の大容量記憶装置内に残ったデータも見過ごせない問題である。 In recent years, against the backdrop of networking and the increase in information crimes associated therewith, there is a growing trend of strengthening information security management of companies, and authentication systems such as ISMS (Information Security Management System) have also begun. Considering the risk of information leakage due to the removal of hard disks, etc., in corporate comprehensive information security management, the data remaining in the mass storage devices of digital copiers and multi-function peripherals cannot be overlooked.
この問題に対し、特許文献1に示される技術では、複写機に機密文書モードを設け、このモードが設定されている時には、画像データの処理が完了した時点でハードディスク上のその画像データを消去することとしている。 To deal with this problem, the technique disclosed in Patent Document 1 provides a confidential document mode in the copying machine, and when this mode is set, the image data on the hard disk is erased when the processing of the image data is completed. I am going to do that.
また特許文献2に示される技術では、ハードディスクに保存した画像データを複写機のアイドル時間に消去することとしている。 In the technique disclosed in Patent Document 2, image data stored on a hard disk is erased during idle time of a copying machine.
また特許文献3に示される技術では、割込ジョブの画像データを割込復帰前に消去するか、割り込まれたジョブの終了後に消去するかを、その画像データのデータ量に応じて決めている。またこの技術では、ユーザが複写機を利用しない放置時間が所定時間を超えた時にハードディスク上の画像データを消去したり、ユーザが複写の中止を指示した時にその複写処理に係る画像データをハードディスクから消去したりしている。 In the technique disclosed in Patent Document 3, it is determined according to the data amount of the image data whether the image data of the interrupt job is to be deleted before returning from the interrupt or after the interrupted job is completed. . In this technique, the image data on the hard disk is deleted when the user has not used the copying machine for a predetermined time, or when the user instructs to stop copying, the image data related to the copying process is deleted from the hard disk. Or erased.
なお、ハードディスク上の画像データの消去は、単にファイルシステム上でその画像データファイルを削除するだけでは、ハードディスク上に実体データが残るため不十分である。そこで、従来より、ハードディスク上の実体データまで消去する場合は、その実体データの領域にランダムなデータを複数回上書きすることが行われている。 It should be noted that erasure of image data on the hard disk is not sufficient simply by deleting the image data file on the file system because the actual data remains on the hard disk. Therefore, conventionally, when erasing even actual data on a hard disk, random data is overwritten a plurality of times in the actual data area.
また、画像データを暗号化してからハードディスクに格納することで、更にセキュリティを高めることも行われている。 In addition, security is further improved by encrypting image data and then storing it in a hard disk.
上記特許文献1〜3の技術は、いずれも、ハードディスクからの画像データの消去期間中はハードディスクに対する画像データの読み書きができないため、その間は次の印刷処理や画像読取処理を開始することができない。例えばカラーでページ数の多い原稿など、データ量の多い原稿の処理を行った後は、その原稿の画像データを消去するのに長い時間がかかるため、処理待ちが長くなる。特許文献3の技術では、消去処理を行うタイミングを割込その他の条件に応じて制御することで消去処理の影響を低減しようとしているが、いったん消去を始めると消去が完了するまで次の処理を開始できない点は改善されていない。また、特許文献3の技術では、消去処理を実行するタイミングが来るまでの間、ハードディスク中に実体データが完全な形で残っている場合があるという問題があった。 In any of the techniques disclosed in Patent Documents 1 to 3, the image data cannot be read from or written to the hard disk during the erasing period of the image data from the hard disk, and therefore the next printing process or image reading process cannot be started during that period. For example, after processing a document having a large amount of data such as a color document having a large number of pages, it takes a long time to erase the image data of the document, so that the processing wait time becomes long. The technique of Patent Document 3 tries to reduce the influence of the erasure process by controlling the timing of the erasure process according to interrupts and other conditions, but once the erasure is started, the next process is performed until the erasure is completed. The points that cannot be started are not improved. Further, the technique of Patent Document 3 has a problem that the actual data may remain in the hard disk until the timing for executing the erasure process comes.
本発明は、第1の記憶装置と、前記第1の記憶装置よりも記憶したデータを高速に消去可能な第2の記憶装置と、前記第1の記憶装置と前記第2の記憶装置とに、ジョブの実行に供されるジョブデータを振り分けて格納する格納制御部と、 The present invention provides a first storage device, a second storage device capable of erasing data stored in the first storage device at a higher speed, the first storage device, and the second storage device. A storage control unit that sorts and stores job data for job execution;
前記ジョブを実行するジョブ処理部と、前記格納制御部により前記第2の記憶装置に振り分けて格納されたジョブデータを、前記ジョブ処理部によるジョブの実行が完了した場合に消去する消去部と、前記消去部によるデータ消去処理が完了した場合に前記ジョブ処理部に別のジョブの実行を許可するジョブ制御部とを備えるジョブ処理装置を提供する。 A job processing unit for executing the job; and an erasing unit for erasing job data distributed and stored in the second storage device by the storage control unit when execution of the job by the job processing unit is completed; A job processing apparatus is provided that includes a job control unit that permits the job processing unit to execute another job when data erasing processing by the erasing unit is completed.
以下、本発明の実施の形態(以下実施形態という)について、図面に基づいて説明する。以下では、本発明の方式を、デジタル複合機などの画像形成装置に適用した場合の例を説明する。すなわち以下では、コピー処理やスキャン処理のための原稿読み取りにより生成された画像データのファイルや、リモートホストから要求された印刷指示やそれを展開した画像データのファイル、受信したファクシミリデータなど、画像形成装置が要求される各種のジョブを実行するために受信したり生成したりしたデータのセキュリティ保護のための仕組みを説明する。 Hereinafter, embodiments of the present invention (hereinafter referred to as embodiments) will be described with reference to the drawings. Hereinafter, an example in which the method of the present invention is applied to an image forming apparatus such as a digital multi-function peripheral will be described. That is, in the following, image formation such as an image data file generated by reading a document for copy processing or scanning processing, a print instruction requested from a remote host, a developed image data file, received facsimile data, etc. A mechanism for security protection of data received or generated to execute various jobs required by the apparatus will be described.
まず、図1を参照して、本実施形態の画像形成装置のハードウエア構成を説明する。図1は、本実施形態の制御の説明のために必要な構成要素を図示したものであり、その他の構成要素については図示を省略している。 First, the hardware configuration of the image forming apparatus according to the present embodiment will be described with reference to FIG. FIG. 1 illustrates components necessary for explaining the control of the present embodiment, and other components are not illustrated.
この画像形成装置は、ディジタル複写機やディジタル複合機など、原稿を光学的に読み取って得た画像をディジタルデータとして取り扱うタイプの装置である。 This image forming apparatus is a type of apparatus that handles an image obtained by optically reading a document as digital data, such as a digital copying machine or a digital multifunction machine.
この装置においてROM(リード・オンリ・メモリ)12には、この画像形成装置の動作制御のための制御プログラムなどのデジタル情報が格納されている。CPU(中央処理装置)10がこのROM12内の制御プログラムを実行することにより、画像形成装置の各部の制御が実現される。後述するファイルの格納、読み出し、及び消去の各手順を記述したプログラムも、このROM12に格納されている。
In this apparatus, a ROM (Read Only Memory) 12 stores digital information such as a control program for controlling the operation of the image forming apparatus. A CPU (Central Processing Unit) 10 executes a control program in the
RAM(ランダム・アクセス・メモリ)14は、この画像形成装置の主記憶装置であり、制御プログラムの実行の際にワークメモリとしても用いられる。RAM14は、例えば、プリントエンジン24に供給する1ページ分の画像データを蓄えるページバッファとして用いることもできる。
A RAM (Random Access Memory) 14 is a main storage device of the image forming apparatus, and is also used as a work memory when the control program is executed. The
HDD(ハードディスク・ドライブ)16は、各種のデータを保存するための補助記憶装置である。例えば、HDD16には、画像形成装置が、要求される各種ジョブのために受信したり生成したりしたジョブデータが保存される。このようなジョブデータとしては、例えば、コピーのためにスキャンエンジン22で読み取った原稿画像データや、リモートホストから依頼された親展プリント処理(ユーザ認証が成功して初めて印刷を行う処理)の印刷指示データやこれを展開して得られる画像データ、スキャン指示に従ってスキャンエンジン22で読み取った画像データなどがある。このようなジョブデータのファイルは、ジョブの終了と共にファイルシステムから削除される。ただし、ファイルシステム上で単にファイルを削除しただけではそのファイルの実体データがHDD上に残るというのが従来からの問題であり、本実施形態ではその問題に対する新たな解決を提供する。
An HDD (Hard Disk Drive) 16 is an auxiliary storage device for storing various data. For example, the HDD 16 stores job data received or generated by the image forming apparatus for various requested jobs. As such job data, for example, original image data read by the
操作パネル18は、この画像形成装置のユーザインタフェースのための表示や、ユーザからの各種指示の入力受付などのためのユーザインタフェース手段である。操作パネル18は、典型的には、コピースタートボタンなどの機械的な操作ボタンや液晶タッチパネルを備える。液晶タッチパネルは、CPU10で実行される制御プログラムが生成したGUI(グラフィカルユーザインタフェース)画面を表示し、そのディスプレイに対するユーザのタッチ位置を検出して制御プログラムに渡す。制御プログラムは、そのタッチ位置の情報からユーザの入力内容を解釈する。
The
通信インタフェース20は、ローカルエリアネットワークなどのネットワークとのデータ通信のための制御を行う装置である。リモートホストからのプリント指示等は、この通信インタフェース20を介して画像形成装置内に入力される。
The
スキャンエンジン22は、原稿を光学的に読み取って電子的な画像データを生成するスキャナ機能を提供する装置である。自動原稿送り装置(ADF)(図示省略)にセットされた原稿は、ADFの機能により1枚ずつスキャンエンジンに送られ、光学的に読み取られる。
The
プリントエンジン24は、CPU10の制御により供給される画像データを用紙に画像形成(印刷)するプリンタ機能を提供する装置である。
The
このような画像形成装置において、本実施形態では、保存するジョブデータファイルのセキュリティ向上のための方策として、従来HDD16に格納されていたジョブデータのファイルを、HDD16とRAM14とに振り分けて格納する構成をとる。すなわち、1つのジョブデータファイルは、HDD16内の格納ファイル40と、RAM14内の格納ファイルの一部分42とに分けて記憶されることになる。この構成によれば、ジョブデータファイルを消去する場合には、RAM14上の格納ファイルの一部分42を消去すればよい。RAM14内のデータの消去は高速に行うことができる。RAM14内のデータ42を消去した場合、HDD16内に残った格納ファイル40だけでは、元のジョブデータファイルを復元できないので、ジョブデータの秘密を守ることができる。特に、ジョブデータファイルを暗号化してからHDD16とRAM14とに分散格納する構成とすれば、HDD16に残った格納ファイル40は、暗号化したジョブデータファイルから一部を欠落させたものなので、復号処理が非常に困難となり、高いセキュリティを実現できる。
In such an image forming apparatus, in the present embodiment, as a measure for improving the security of the job data file to be stored, the job data file that has been stored in the
図2は、この画像形成装置におけるジョブデータファイルの記憶・読み出し・消去のための機構を示す機能ブロック図である。 FIG. 2 is a functional block diagram showing a mechanism for storing / reading / erasing a job data file in the image forming apparatus.
この構成において、ジョブ制御部100は、操作パネル18や通信インタフェース20から入力されるジョブ要求を受け付け、それら要求に対応するジョブ処理の実行を制御する。ジョブの実行としては、画像形成処理や種々の画像処理、文字認識処理、他装置への送信処理等が挙げられる。実行中のジョブに対する割込ジョブの受付や、その割込に伴うジョブの退避や復帰の制御も、このジョブ制御部100により行われる。また、ジョブ制御部100は、実行するジョブが、ジョブデータの一時保存が必要な場合、その保存を格納・消去処理部110に要求する。なお、ジョブデータの一時保存が必要なジョブには、例えば原稿を複数部数コピーするジョブや、親展プリントのジョブ、あるいは読み取った画像を親展ボックスに一時保管するジョブなどがある。複数部数コピーの場合は、その部数分の印刷出力が完了した時点でジョブが完了し、親展プリントの場合は、画像形成装置でのユーザ認証が成功して印刷出力が完了した時点でジョブが完了する。また、親展ボックスへのスキャン画像の保存処理は、リモートホストがその親展ボックス内のデータをダウンロードした時点でジョブが完了する。
In this configuration, the
また、ジョブ制御部100は、いったん保存したジョブデータをジョブ実行のために使用する時が来た場合には、格納・消去制御部110に対してそのジョブデータの読み出しを要求する。
Further, when it is time to use job data once saved for job execution, the
格納・消去制御部110は、ジョブデータファイルの格納及び読み出しの処理を行うモジュールである。ジョブ制御部100からジョブデータファイルの格納要求があった場合は、格納・消去制御部110は、それらを所定の振り分けルール(又は手順)に従ってRAM14とHDD16に分散格納する。またジョブ制御部100からジョブデータファイルの読み出し要求があった場合は、格納・消去制御部110は、RAM14とHDD16に分散格納したデータを読み出し、振り分けルールに基づいて統合することで元のジョブデータファイルを復元し、ジョブ制御部100に提供する。
The storage /
暗号処理部112は、格納・消去制御部110によりRAM14やHDD16に格納するデータを所定の暗号アルゴリズムに従って暗号化したり、RAM14やHDD16から読み出したデータを復号したりする。
The
乱数発生部114は、格納・消去制御部110によるRAM14及びHDD16への分散格納処理のために乱数を発生させるモジュールである。
The random
メモリ監視部116は、RAM14の空き容量を監視するモジュールである。監視により求めた空き容量の情報は、格納・消去制御部110が、ジョブデータのRAM14とHDD16への振り分け量を求めるのに利用される。
The
次に図3を参照して、格納・消去制御部110によるジョブデータファイルの格納時の処理を説明する。
Next, with reference to FIG. 3, a process when the job data file is stored by the storage /
ジョブ制御部100からジョブデータファイルの格納要求を受けた場合、格納・消去制御部110は、まずそのファイルを暗号処理部112に暗号化させる(S10)。
When a job data file storage request is received from the
次に格納・消去制御部110は、暗号化したジョブデータのうち、RAM14に格納するデータのサイズを計算する(S12)。この計算は、メモリ監視部116で求めたRAM14の空き容量と、乱数発生部114で発生させた乱数とを用いて、格納サイズを計算する。基本的な考え方は、RAM14の空き容量が多いほど格納サイズを大きくすると共に、空き容量と格納サイズの関係が一定とならないように乱数を用いて調整を加えるというものである。例えば、RAM14の空き容量の所定割合を格納サイズの基準値と決定し、乱数発生部114で発生させた正規分布の乱数によってその基準値に調整を加えることで格納サイズを求める、などの処理となる。格納サイズの決定に際しRAM14の空き容量を考慮することで、格納処理の際のワークメモリ不足を回避することができる。また、乱数により格納サイズを変化させることで、分散格納の規則を分かりにくくすることができ、セキュリティの向上が見込める。
Next, the storage /
RAM14への格納サイズの計算が終わると、格納・消去制御部110は、暗号化されたジョブデータ(以下、混乱のおそれがない場合には単に「ジョブデータ」と呼ぶ)の先頭からその格納サイズ分のデータをRAM14に格納する(S14)。このときのRAM14におけるデータの格納位置(先頭アドレス)は、ランダムに決定しても良いし、所定のルール(空き容量の先頭に格納するなど)に従って決定しても良い。
When the calculation of the storage size in the
RAM14への格納の後、格納・消去制御部110は、HDD16への格納サイズを計算する(S16)。この格納サイズの計算は、RAM14への格納サイズの計算と同様に行えばよい。
After storage in the
HDDへの格納サイズが計算できると、格納・消去制御部110は分散管理情報を作成してHDD16に書き込むと共に(S18)、ジョブデータの未格納部分の先頭からその格納サイズ分のデータをHDD16に書き込む(S20)。なお、HDD16中には、画像形成装置のオペレーティングシステムにより、当該ジョブデータを格納するためのファイル領域が確保されており、この領域にそれら分散管理情報とジョブデータとを書き込んでいくことになる。
When the storage size in the HDD can be calculated, the storage /
以上のステップS12〜S20の処理を、ジョブデータの未格納部分が無くなるまで繰り返す(S22)。これにより、ジョブデータがRAM14とHDD16とに分散格納されることになる。このように、図3の処理では、ジョブデータを少量ずつRAM14とHDD16とに交互に格納していく。
The above steps S12 to S20 are repeated until there is no unstored portion of the job data (S22). As a result, the job data is distributedly stored in the
図3の処理により、HDD16内に生成される格納ファイル40のデータ構造の例を図4に示す。この図に示すように、格納ファイル40は、分散管理情報410と格納ファイルの部分データ450の繰り返しにより構成される。分散管理情報410は、RAM14に格納したデータへのアクセスのための情報であり、部分データ450は、ジョブデータの一部分である。この部分データ450は、例えばASN.1のBERエンコーディング規則に従ったデータ構造で記述される。この場合、部分データ450は、当該データの型を示すオブジェクト型452の情報と、そのデータのサイズ454と、そのデータの値456がこの順に並んだものとなる。図3のステップS12からS20の処理を1回行うごとに、分散管理情報410とその次の部分データ450ができる。
FIG. 4 shows an example of the data structure of the
分散管理情報410のデータ構造の一例を図5に示す。この例では、分散管理情報410は、まずこの管理情報自体の識別子412から始まり、その次にその管理情報自体のサイズ414が記述され、更にその次に、ジョブデータの分散先のデバイス(本実施形態ではRAM14)に格納したデータへのアクセスのための情報420が記述される。情報420は、分散先デバイスの識別子422と、その分散先デバイスに振り分けて記憶したデータのそのデバイス内での記憶位置424と、そのデータのデータサイズ426とを含んでいる。分散先のデバイスがRAM14の場合、記憶位置424としては、例えばRAM14における当該データの記憶領域の先頭アドレスを用いることができる。
An example of the data structure of the distributed
図1の例では、ジョブデータをHDD16とRAM14とに分散させた。しかし、画像形成装置がHDD16とRAM14以外にも記憶装置を備えている場合がある。例えば、画像形成装置がHDDを複数備えていたり、EEPROMや不揮発性RAMを備えていたりする場合もある。このような場合、ジョブデータをそれら複数の記憶装置に分散格納することもできる。分散先デバイスの識別子422は、それら複数の記憶装置を識別するためのものである。そして、ジョブデータをHDD16以外に複数の記憶装置に分散格納した場合は、分散管理情報410には、それら各記憶装置ごとに情報420が記述されることになる。この場合、分散管理情報410における情報420の順序が、分散格納したジョブデータの順序に対応する。
In the example of FIG. 1, job data is distributed to the
次に図6を参照して、分散格納したジョブデータを読み出す際の格納・消去制御部110の処理を説明する。
Next, processing of the storage /
格納・消去制御部110は、ジョブ制御部100からジョブデータファイルの読み出しを要求された場合、まずHDD16内の当該ファイルの先頭にアクセスし(S30)、分散管理情報410を読み出し、その分散管理情報410に示される記憶装置識別子422,記憶位置424及びデータサイズ426の情報に従ってRAM14に分散格納したデータを読み出す(S32)。なお、分散格納先の記憶装置が複数存在する場合には、分散管理情報410中の情報420の順に、それら各記憶装置からデータを読み出して併合していく。このようにしてすべての分散格納先の記憶装置からのデータ読み出しが終わると、その分散管理情報410の直後に格納された部分データ450を読み出し、これを分散先から読み出したデータの後ろに併合する(S34)。このような処理を、格納ファイル40の末尾に達するまで繰り返す(S36)ことにより、ジョブデータの読み出しが完了する。なお、読み出したジョブデータは暗号化されているので、格納・消去制御部110はこれを暗号処理部112に復号させてから、ジョブ制御部100に提供する。
When the
次に図7を参照して、HDD16とRAM14に分散格納したジョブデータファイルの消去処理を説明する。
Next, with reference to FIG. 7, the erasing process of the job data file distributedly stored in the
この消去処理は、ジョブデータファイルに関して所定の消去条件が満たされた時に実行される。代表的な消去条件としては、当該ジョブデータファイルを用いるジョブの実行が完了したことを挙げることができる。またジョブデータファイルを用いるジョブの中止指示がユーザより入力されることも消去条件の一例である。また、ユーザがジョブデータファイルを指定し、そのファイルの消去を明示的に指示することも、消去条件の一例である。 This erasure process is executed when a predetermined erasure condition is satisfied for the job data file. A typical erasure condition is that the execution of a job using the job data file has been completed. An example of an erasure condition is that a user inputs a job stop instruction using a job data file. Another example of the erasure condition is that the user designates a job data file and explicitly instructs the erasure of the file.
格納・消去制御部110は、ジョブ制御部100からのジョブ実行完了通知や、操作パネル12からのユーザの入力を監視し、それら消去条件のいずれかかが満足されるのを待つ(S40,S42,S44)。そして、いずれかの消去条件が満足された場合、その条件を満足したジョブのジョブデータファイルのうちのRAM14に格納された部分42を消去する(S46)。消去部分の特定は、例えば格納ファイル中の分散管理情報410を読み出すことで行うことができる。RAM14上のデータなので、高速かつ完全に消去することができる。次に、HDD16内の当該ジョブデータの格納ファイル40を削除して、その格納ファイルの領域を解放する(S48)。この削除処理は、MS−DOS(商標)のDELコマンドや、UNIX(登録商標)のrmコマンドによるファイル削除のように、ファイルシステム上でそのファイルの管理情報を削除する処理でよい。この場合、HDD16には、削除後にも(上書きされるまでは)格納ファイル40の実体データが残ることになるが、残った実体データだけでは元のジョブデータファイルを完全には復元できない。また、本実施形態では、ジョブデータファイルを暗号化してからHDDとRAMに分散格納しているので、HDDに残った実体データだけでは復号が非常に困難になる。
The storage /
格納ファイルの削除(S48)が完了すると、格納・消去制御部110は、ジョブ制御部100に対し、要求されたデータ消去処理が完了した旨を通知する(S50)。この通知を受けたジョブ制御部100は、次のジョブの実行を許可する。これにより、例えば消去の時点で待機中のジョブ(新たなジョブや、別のジョブに割り込まれたジョブなど)があれば、そのジョブの実行が開始又は再開される。
When the deletion of the stored file (S48) is completed, the storage /
このように、本実施形態によれば、RAM14に分散格納したデータを消去することで、HDD16に保存したジョブデータを無効に近い状態とすることができるので、HDDに保存したジョブデータ全体にランダムデータを何度も上書きしていた従来技術と比べて、はるかに高速にデータ消去を行うことが可能となる。このため、割込ジョブからの復帰時や後続のジョブが待機しているような場合でも、待機中のジョブをほとんど待たせることなく、データ消去を行うことができる。したがって、ジョブデータの消去を次のジョブの完了まで先送りにする必要が無くなる。
As described above, according to the present embodiment, by erasing the data distributedly stored in the
また、本実施形態では、ジョブデータの分散格納先として、揮発性メモリであるRAM14を用いているので、画像形成装置の電源をオフすれば、分散格納したデータも消えてしまうので、上述の消去処理と同様の効果が得られる。
In this embodiment, since the
なお、1つの例として、上述したRAM14内のデータ消去のあと、適切なタイミングでHDD16上に残った格納ファイルの実体データに対し、ランダムデータの繰り返し上書きによるデータ消去を行うことも好適である。このランダムデータ上書きによる消去処理は、例えば画像形成装置の未使用状態が所定時間続いた時や、節電モードに移行する直前、電源スイッチがオフされた時など、ジョブに影響の少ないときに行うことが好適である。本実施形態では、ジョブ終了後からランダムデータ上書きによるデータ消去を行うまでの間、上記各特許文献に示した従来技術よりもジョブデータを安全に保つことができる。
As one example, after erasing data in the
以上に説明した実施形態では、RAM14に分散格納するデータのサイズをRAMの空き容量と乱数に従って決めていたが、これはあくまで一例である。この代わりに、RAM14への格納サイズを固定値としても良いし、空き容量を考慮せずに完全にランダムに決定しても良い。
In the embodiment described above, the size of the data to be distributedly stored in the
また、RAM空き容量の他の状況も考慮して格納サイズを決めることも好適である。この例を図8に示す。この例では、RAM空き容量(S60)の他に、待機中のジョブの有無(S62)や、画像形成装置全体の処理負荷(S64)、ジョブデータの機密度(S66)、などの情報を取得し、これらの情報をパラメータとしてRAM14への格納サイズを決める(S68)。この計算の基本的な考え方は以下の通りである。
It is also preferable to determine the storage size in consideration of other situations of RAM free space. An example of this is shown in FIG. In this example, in addition to the RAM free space (S60), information such as the presence / absence of a waiting job (S62), the processing load of the entire image forming apparatus (S64), the sensitivity of job data (S66), and the like are acquired. The storage size in the
まず、待機中のジョブがある場合や、画像処理装置の処理負荷が高い場合は、HDD16へのランダムデータ上書きによるデータ消去がそれだけ遅くなるため、その消去までの時間のジョブデータの安全性を高めるために、RAM14への振り分け量を多くする。これにより、ジョブ完了後のRAM内データ消去によって、より多くのデータが消滅することになるので、ジョブデータの復元の可能性をより減らすことができる。
First, when there is a waiting job or when the processing load of the image processing apparatus is high, data erasure due to random data overwriting on the
なお、待機中のジョブの有無の情報はジョブ制御部100から、画像処理装置全体の処理負荷はジョブ制御装置100やオペレーティングシステムから、それぞれ取得することができる。
Information about the presence or absence of a waiting job can be acquired from the
また、ジョブデータの機密度が高い場合は、そのデータが不要になった時点で、そのデータのうちできるだけ多くの部分を消すことがセキュリティ上有効である。したがって、機密度が高いほどRAM14へのデータの振り分け量を多くする。
If the confidentiality of job data is high, it is effective in terms of security to delete as much of the data as possible when the data is no longer needed. Therefore, the higher the confidentiality is, the more data is distributed to the
ジョブデータの機密度は、ジョブの属性の一つとしてユーザに指定させても良いし、ジョブの内容から判定しても良い。後者の例としては、例えば親展プリントなど秘密を前提としたジョブの場合は、ジョブデータの機密度を高くするなどである。予めジョブの種類ごとの機密度を画像形成装置に登録しておけばよい。 The sensitivity of the job data may be specified by the user as one of the job attributes, or may be determined from the contents of the job. As an example of the latter, for example, in the case of a job based on a secret such as confidential printing, the confidentiality of job data is increased. The sensitivity for each job type may be registered in the image forming apparatus in advance.
また、HDD16の他にジョブデータを振り分ける記憶装置が複数ある場合、それら複数の記憶装置への振り分け量をそれら記憶装置への書き込み・読み出し速度に応じて決めることも好適である。各記憶装置への書き込み・読み出し速度は、ジョブデータ全体の格納・読み出しの速度に影響するので、書き込み・読み出しが遅い記憶装置へのデータの振り分け量は相対的に小さくすることが好適である。例えば、RAM14の他に、EEPROMにデータを振り分ける場合、EEPROMの書き込み・読み出し速度は、RAM14は当然のこと、HDD16と比べても遅いので、EEPROMへの振り分け量をRAMへの振り分け量よりも小さいものとする。
In addition to the
また、ジョブデータの内容に応じた振り分け制御も考えられる。例えば、ジョブデータがヘッダ部とデータ部(ボディ部)から構成される形式であり、ヘッダ部にデータの特徴が多く含まれている場合には、ヘッダ部のデータはRAM14に多く振り分け、ボディ部のデータはHDD16に多く振り分ける、等といった制御などが考えられる。
Further, distribution control according to the contents of job data is also conceivable. For example, when the job data has a format composed of a header part and a data part (body part), and the header part includes many data features, the header part data is distributed to the
また、以上では、ジョブデータを暗号処理部112で暗号化してから分散格納したが、このような暗号化を行わない場合でも、本発明の分散格納方式はある程度の有効性を持つ。暗号化しなくても、RAM14内のデータ消去により、ジョブデータの一部は消滅するので、万が一HDD16が取り外されるようなことがあっても、完全なジョブデータが漏れることはない。
In the above description, job data is encrypted and stored in the
なお、画像形成装置でジョブデータの暗号化を行わない場合、ジョブデータ自体が暗号化されている場合(例えばホストからの印刷データ自体が暗号化されている場合)と、そうでない場合とで、RAM14とHDD16の間のデータ振り分け割合を変えることも好適である。すなわち、ジョブデータが暗号化されている場合は、RAM内のデータ消去でジョブデータのうちのできるだけ多くの情報が消えるよう、RAMへのデータ振り分け割合を高くするなどである。
In the case where the job data is not encrypted in the image forming apparatus, the job data itself is encrypted (for example, the print data from the host is encrypted), and the case is not. It is also preferable to change the data distribution ratio between the
また、ジョブデータを暗号化せずに分散格納する場合のRAM、HDD間でのデータの振り分け方法として、ジョブデータがタグ付けされた構造化文書の場合、タグ情報(開始タグ、終了タグのうちの一方でも良いし両方でも良い)をRAMに優先的に振り分ける方法が考えられる。この方法では、RAM内のデータ消去により文書構造の情報を消滅させることができる。また、ジョブデータがビジネス文書の場合は文書内の数字情報をRAMに優先的に振り分け、名簿データの場合は人名漢字に該当する文字をRAMに優先的に振り分ける、などと、ジョブデータの種類に応じた特徴部分をRAMに振り分ける方式も好適である。文書の種類は、ジョブデータファイルの属性情報などから求めることができる。 In addition, as a method of distributing data between RAM and HDD when job data is stored in a distributed manner without encryption, in the case of a structured document tagged with job data, tag information (among start tags and end tags) A method of preferentially allocating to the RAM is possible. In this method, document structure information can be erased by erasing data in the RAM. If the job data is a business document, the numerical information in the document is preferentially assigned to the RAM, and if it is name list data, the character corresponding to the personal name kanji is preferentially assigned to the RAM. A method of distributing the corresponding characteristic portion to the RAM is also suitable. The document type can be obtained from the attribute information of the job data file.
また、以上の例では、RAM14とHDD16に交互にジョブデータを振り分けたが、この代わりにそれら両者間での振り分け順序をランダムに変えることも可能である。この場合、分散管理情報410には、各分散格納先に記憶したデータの順序の情報を含める。
In the above example, the job data is alternately distributed to the
また以上の例では、分散管理情報410をHDD16に格納したが、これは必須ではない。分散管理情報410のような、各記憶装置へのジョブデータの分散状況を記述した管理情報は、RAM14やその他画像形成装置内の記憶装置に記憶するようにしてもよい。
In the above example, the distributed
また本実施形態の変形例として、RAM14を利用しない装置構成も考えられる。この例を図9に示す。図9において、図2に示した構成要素と同一又は類似の構成要素には、同一符号を付して説明を省略する。
As a modification of the present embodiment, an apparatus configuration that does not use the
この例では、格納・消去制御部110aは、ジョブデータを暗号処理部112で暗号化した後、従来と同様HDD16のみに格納する。
In this example, the storage /
この変形の特徴は、ジョブデータの消去処理にある。すなわち、図10に示すように、ジョブデータの消去条件が満足された場合(S40〜S44)、格納・消去制御部110aは、乱数発生部114に発生させた乱数を用い、HDD16内のジョブデータのうちの消去箇所を決定する(S52)。ここでは、発生させた1乃至複数の乱数を用い、複数の消去箇所について、その位置や消去するデータサイズを決定する。そして、格納・消去制御部110aは、それら決定した消去箇所に対して、ランダムなデータを所定数回繰り返し上書きする(S54)。この上書き消去が完了すると、格納・消去制御部110aは、当該ジョブデータのファイルをファイルシステム上から削除し、ジョブ制御部100に対してデータ消去完了の旨を通知する(S50)。これにより次のジョブが実行可能な状態となり、待機中のジョブや割込などによる中断中のジョブがあれば、それを実行することができる。また、この消去の後、HDD16内に残ったジョブデータの部分に対し、画像形成装置のアイドル時間などに、ランダムデータの繰り返し上書きによる消去処理を施せば、更にセキュリティを向上させることができる。
The feature of this modification is the job data erasing process. That is, as shown in FIG. 10, when the job data deletion condition is satisfied (S40 to S44), the storage /
本実施形態によれば、HDD16に格納したジョブデータのうちの複数の消去箇所を消去した時点で、HDD16内に残ったジョブデータは完全なものではなくなり、仮にその残りデータが取り出されても秘密漏洩のリスクは少なくなる。
According to the present embodiment, the job data remaining in the
この例では、暗号化したジョブデータの複数の部分を消去するので、残ったデータを復号するのは非常に困難となる。 In this example, since a plurality of portions of the encrypted job data are deleted, it is very difficult to decrypt the remaining data.
また、それら消去箇所のサイズのジョブデータ全体に対する比率を小さくしておけば、この消去処理に要する時間は短くて済むため、待機中のジョブをさほど待たせることなく消去処理を実行できる。 Further, if the ratio of the size of these erased portions to the entire job data is reduced, the time required for this erase processing can be shortened, so that the erase processing can be executed without waiting for the waiting job so much.
以上、本発明をデジタル複合機等の画像形成装置に適用した場合の実施形態を説明した。しかしながら、上述の説明から明らかなように、本実施形態における格納データの秘密保護方式は、処理の種類や格納対象のデータの種類に依存しないので、画像形成装置以外の様々なジョブ処理装置に適用可能である。 The embodiment in which the present invention is applied to an image forming apparatus such as a digital multifunction machine has been described above. However, as is apparent from the above description, the stored data confidentiality protection method according to the present embodiment does not depend on the type of processing or the type of data to be stored, and thus can be applied to various job processing apparatuses other than the image forming apparatus. Is possible.
なお、参考例では、ジョブ処理装置は、所定のルールに従って前記第1の記憶装置と前記第2の記憶装置とにジョブデータを振り分けて格納するとともに、前記ルールを変更するルール管理部を更に備えていてもよい。 In the reference example, the job processing device further includes a rule management unit that distributes and stores job data in the first storage device and the second storage device according to a predetermined rule, and changes the rule. It may be.
ルールの変更は、例えば当該ジョブ処理装置の状態に応じて行うことができる。ここで、ジョブ処理装置の「状態」には、例えば第2の記憶装置の空き容量や書き込み・読み出し速度、ジョブ処理装置の処理負荷、待機中のジョブの有無などがある。 For example, the rule can be changed according to the state of the job processing apparatus. Here, the “state” of the job processing device includes, for example, the free capacity of the second storage device, the writing / reading speed, the processing load of the job processing device, and the presence / absence of a waiting job.
また別の参考例では、ジョブ処理装置は、前記ルールを、前記ジョブの属性に応じて変更するルール管理部を更に備えていてもよい。ここで、ジョブの「属性」には、ジョブに付与された機密度や、ジョブの対象となる文書の種別などがある。 In another reference example, the job processing apparatus may further include a rule management unit that changes the rule according to an attribute of the job. Here, the “attribute” of the job includes the confidentiality given to the job, the type of document to be processed by the job, and the like.
10 CPU、12 ROM、14 RAM、16 HDD(ハードディスク・ドライブ)、18 操作パネル、20 通信インタフェース、22 スキャンエンジン、24 プリントエンジン、40 格納ファイル、42 格納ファイルの一部分。 10 CPU, 12 ROM, 14 RAM, 16 HDD (hard disk drive), 18 operation panel, 20 communication interface, 22 scan engine, 24 print engine, 40 storage file, 42 part of storage file.
Claims (5)
前記第1の記憶装置よりも記憶したデータを高速に消去可能な第2の記憶装置と、
前記第1の記憶装置と前記第2の記憶装置とに、ジョブの実行に供されるジョブデータを振り分けて格納する格納制御部と、
前記ジョブを実行するジョブ処理部と、
前記格納制御部により前記第2の記憶装置に振り分けて格納されたジョブデータを、前記ジョブ処理部によるジョブの実行が完了した場合に消去する消去部と、
前記消去部によるデータ消去処理が完了した場合に前記ジョブ処理部に別のジョブの実行を許可するジョブ制御部と、
を備えるジョブ処理装置。 A first storage device;
A second storage device capable of erasing the stored data faster than the first storage device;
A storage control unit that distributes and stores job data for job execution in the first storage device and the second storage device;
A job processing unit for executing the job;
An erasure unit for erasing job data distributed and stored in the second storage device by the storage control unit when execution of a job by the job processing unit is completed;
A job control unit that allows the job processing unit to execute another job when the data erasing process by the erasing unit is completed;
A job processing apparatus comprising:
前記消去部による前記第2の記憶装置に振り分けて格納されたジョブデータの消去後に、前記第1の記憶装置に振り分けて格納されたジョブデータを消去する残消去部を備えることを特徴とするジョブ処理装置。 The job processing apparatus according to claim 1 ,
A job comprising: a remaining erasure unit for erasing job data distributed and stored in the first storage device after erasing the job data distributed and stored in the second storage device by the erasure unit Processing equipment.
前記ジョブを実行するジョブ処理部と、
前記格納制御部により前記記憶装置に格納されたジョブデータの一部を、前記ジョブ処理部によるジョブの実行が完了した場合に消去する消去部と、
前記消去部による前記ジョブデータの一部の消去が完了した場合に前記ジョブ処理部に別のジョブの実行を許可するジョブ制御部と、
を備えるジョブ処理装置。 A storage control unit for storing job data for job execution in a storage device;
A job processing unit for executing the job;
An erasing unit for erasing a part of the job data stored in the storage device by the storage control unit when the job processing unit completes the job;
A job control unit that permits the job processing unit to execute another job when the erasing unit completes erasing a part of the job data;
A job processing apparatus comprising:
格納された前記ジョブデータのうち前記第2の記憶装置に記憶したデータ部分を、前記ジョブの実行が完了した場合に消去し、
前記ジョブデータのうち前記第2の記憶装置に記憶したデータ部分の消去が完了した場合に別のジョブの実行を許可する、
ことを特徴とするジョブ処理装置の制御方法。 Job data provided for job execution is distributed and stored in a first storage device and a second storage device that is faster to erase data than this,
The stored data portion of the job data stored in the second storage device is erased when the execution of the job is completed,
Permitting execution of another job when erasure of the data portion stored in the second storage device of the job data is completed;
A control method for a job processing apparatus.
ジョブの実行に供されるジョブデータを、第1の記憶装置と、これよりもデータ消去が高速な第2の記憶装置とに振り分けて格納する手順と、
格納された前記ジョブデータのうち前記第2の記憶装置に記憶したデータ部分を前記ジョブの実行が完了した場合に消去する手順と、
前記ジョブデータのうち前記第2の記憶装置に記憶したデータ部分の消去が完了した場合に別のジョブの実行を許可する手順と、
を実行させるための制御プログラム。 On the computer,
A procedure for sorting and storing job data to be used for job execution into a first storage device and a second storage device with faster data erasure;
A procedure of erasing a stored data portion stored in the second storage device when the job has been executed;
A procedure for permitting execution of another job when erasure of a data portion stored in the second storage device of the job data is completed;
A control program to execute.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009235679A JP4483996B2 (en) | 2009-10-09 | 2009-10-09 | Job processing apparatus, control method for the apparatus, and control program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009235679A JP4483996B2 (en) | 2009-10-09 | 2009-10-09 | Job processing apparatus, control method for the apparatus, and control program |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003081445A Division JP4433684B2 (en) | 2003-03-24 | 2003-03-24 | Job processing apparatus and data management method in the apparatus |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010016882A JP2010016882A (en) | 2010-01-21 |
JP4483996B2 true JP4483996B2 (en) | 2010-06-16 |
Family
ID=41702447
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009235679A Expired - Lifetime JP4483996B2 (en) | 2009-10-09 | 2009-10-09 | Job processing apparatus, control method for the apparatus, and control program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4483996B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018029390A (en) * | 2017-10-26 | 2018-02-22 | 株式会社リコー | Image processing apparatus, display control method, and display control program |
-
2009
- 2009-10-09 JP JP2009235679A patent/JP4483996B2/en not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
JP2010016882A (en) | 2010-01-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4433684B2 (en) | Job processing apparatus and data management method in the apparatus | |
JP4928117B2 (en) | Image processing apparatus, image management method, document management apparatus, document management method, computer program, and computer-readable storage medium | |
JP5213539B2 (en) | Image processing apparatus and memory management method for image processing apparatus | |
JP4225049B2 (en) | Job processing device | |
US7864354B2 (en) | System and method for controlled monitoring of pending document processing operations | |
US20070055895A1 (en) | Image processing device, recording medium, and program | |
US7924442B2 (en) | Image forming system and image forming apparatus | |
JP2009152878A (en) | Image processor and data erasing method | |
JP2007128234A (en) | Image formation apparatus, method for setting security function, computer program for setting security function and recording medium | |
JP4483996B2 (en) | Job processing apparatus, control method for the apparatus, and control program | |
JP4434310B2 (en) | Job processing apparatus, control method for the apparatus, and control program | |
JP2009199389A (en) | Image forming apparatus, electronic device and program | |
JP4692669B2 (en) | Job processing apparatus and control program | |
JP2008005318A (en) | Image processor and program | |
JP2006293833A (en) | Image processing apparatus, image processing method, and program | |
JP2004304291A (en) | Image processor and image processing method | |
JP6995607B2 (en) | Information processing equipment, control methods and programs for information processing equipment | |
JP4159382B2 (en) | Image processing method, image processing system, and image processing apparatus | |
JP5544905B2 (en) | Image processing apparatus, data erasing method and program for image processing apparatus | |
JP6269998B2 (en) | Information processing apparatus, program, and image processing system | |
JP2004288140A (en) | Image processor, image processing program and recording medium | |
JP2022157951A (en) | Image forming apparatus | |
JP2022040136A (en) | Job processing device, control method of job processing device, and program | |
JP2022157950A (en) | Image forming apparatus | |
JP2008040708A (en) | Setup terminal, management device, management system and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20091009 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091208 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100203 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100302 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100315 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130402 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130402 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140402 Year of fee payment: 4 |