JP2004112598A - データ生成システム及びデータ生成方法 - Google Patents

データ生成システム及びデータ生成方法 Download PDF

Info

Publication number
JP2004112598A
JP2004112598A JP2002274794A JP2002274794A JP2004112598A JP 2004112598 A JP2004112598 A JP 2004112598A JP 2002274794 A JP2002274794 A JP 2002274794A JP 2002274794 A JP2002274794 A JP 2002274794A JP 2004112598 A JP2004112598 A JP 2004112598A
Authority
JP
Japan
Prior art keywords
data
communication terminal
element data
portable
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002274794A
Other languages
English (en)
Inventor
Hiroshi Yamamoto
山本 浩
Hiroshi Yamaguchi
山口 浩志
Shusaku Takara
高良 周作
Takashi Saito
齋藤 崇
Hiroshi Azuma
東 啓史
Teruya Sato
佐藤 光弥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba TEC Corp
Original Assignee
Toshiba TEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba TEC Corp filed Critical Toshiba TEC Corp
Priority to JP2002274794A priority Critical patent/JP2004112598A/ja
Publication of JP2004112598A publication Critical patent/JP2004112598A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/30Computing systems specially adapted for manufacturing

Landscapes

  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】セキュリティ性を高める。
【解決手段】性質の異なる複数の要素データから構成される単位データを、各要素データを合成することによって生成するデータ生成システムにおいて、前記複数の要素データのうち、ユーザが秘匿性が高いと認める要素データである高秘匿性要素データを保存するため、ユーザ自身が携帯する携帯通信端末と、前記複数の要素データのうち当該高秘匿性要素データ以外の要素データである低秘匿性要素データを少なくとも一時的に保存するための保存サーバと、前記携帯通信端末および保存サーバと通信するためのインタフェースを持ち、前記携帯通信端末から供給された高秘匿性要素データと保存サーバから供給された低秘匿性要素データを合成した上で、前記単位データを構成し、所定の出力形態で出力する合成出力端末とを備える。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明はデータ生成システムおよびデータ生成方法に関し、例えば、インターネットなどを経由して、広域に分散配置されたMMK(マルチメディアキオスク)端末等で、個人情報(プロファイル)などを含んだ秘匿性のあるデータを印刷出力する場合などに適用して好適なものである。
【0002】
【従来の技術】
従来、個人情報を含んだドキュメントが欲しい場合、ドキュメント制作会社へ当該ドキュメントの制作を依頼する方法と、ユーザが自身で当該ドキュメントを制作する方法があった。
【0003】
ドキュメントの例としては、例えば、年賀状や宅配便の送り状などがあり、年賀状などの場合には差出人の住所、氏名や、宛先の住所、氏名などが前記個人情報に該当する。
【0004】
ドキュメント制作会社に当該ドキュメントの制作を依頼する場合、年賀状のデザイン(絵柄など)のドキュメント形態を具体的に指定した上で当該個人情報を提供すると、ユーザ自身がドキュメントを制作する場合に比べ、わずかな労力で、高い品質のドキュメントを手に入れることが可能である。
【0005】
【発明が解決しようとする課題】
しかしながら、マスメディアなどで個人情報流出事件が報じられることが少なくない現状を反映して、個人情報の管理状況が必ずしも明確ではないドキュメント制作会社などへ、重要な個人情報を提供することは敬遠する傾向が高まっている。
【0006】
これは、個人情報の提供などがネットワーク経由で行われる場合も同じである。例えば、ドキュメント制作会社などが運営するWebサイトなどを介し、インターネット経由で、前記個人情報の提供やドキュメント形態の指定を行うことができれば、ユーザの労力がさらに軽減できて便利であるが、ドキュメント制作会社側の管理の誤りでユーザの個人情報がWebサイト上で公開されてしまったり、適正な管理を行ってはいても、Webサイトのセキュリティホールを突いた攻撃などによって個人情報が流出する可能性も小さくない。
【0007】
【課題を解決するための手段】
かかる課題を解決するために、第1の発明では、性質の異なる複数の要素データ(一例として、個人情報)から構成される単位データ(一例として、年賀状)を、各要素データを合成することによって生成するデータ生成システムにおいて、前記複数の要素データのうち、ユーザが秘匿性が高いと認める要素データである高秘匿性要素データ(一例として、年賀状の差出人情報)を保存するため、ユーザ自身が携帯する携帯通信端末(一例として、携帯電話機)と、前記複数の要素データのうち当該高秘匿性要素データ以外の要素データである低秘匿性要素データ(一例として、年賀状の宛先情報)を少なくとも一時的に保存するための保存サーバ(一例として、仮想プリントサーバ)と、前記携帯通信端末および保存サーバと通信するためのインタフェースを持ち、前記携帯通信端末から供給された高秘匿性要素データと保存サーバから供給された低秘匿性要素データを合成した上で、前記単位データを構成し、所定の出力形態(一例として印刷出力)で出力する合成出力端末(一例としてプリンタ等の印刷機器を有したMMK端末)とを備えたことを特徴とする。
【0008】
また、第2の発明では、性質の異なる複数の要素データから構成される単位データを、各要素データを合成することによって生成するデータ生成方法において、前記複数の要素データのうち、ユーザが秘匿性が高いと認める要素データである高秘匿性要素データを保存するための携帯通信端末をユーザ自身が携帯し、前記複数の要素データのうち当該高秘匿性要素データ以外の要素データである低秘匿性要素データは少なくとも一時的に保存サーバに保存し、合成出力端末は、前記携帯通信端末および保存サーバと通信するためのインタフェースを持ち、前記携帯通信端末から供給された高秘匿性要素データと保存サーバから供給された低秘匿性要素データを合成した上で、前記単位データを構成して、所定の出力形態で出力することを特徴とする。
【0009】
このような構成により、高秘匿性要素データと低秘匿性要素データを、携帯通信端末と保存サーバに分散して保存することができる。
【0010】
【発明の実施の形態】
(A)実施形態
以下、本発明にかかるデータ生成システム及びデータ生成方法の実施形態について説明する。
【0011】
(A−1)実施形態の構成
本実施形態の通信システム10の全体構成例を図1に示す。
【0012】
図1において、通信システム10は、ネットワーク11と、携帯電話ネットワーク12と、仮想プリントサーバ13と、MMK端末14と、通信端末15と、携帯電話機16とを備えている。
【0013】
このうちネットワーク11は、LAN(ローカルエリアネットワーク)などであってもかまわないが、ここでは、インターネットであるものとする。また、携帯電話ネットワーク12は、携帯電話機16を使用できるようにするため、携帯電話事業者によって運営されているネットワークである。携帯電話ネットワーク12とインターネット11は図示しないゲートウエイなどを介して接続されていて、携帯電話機16からも、インターネット11上のWebサイトを閲覧したり、インターネット11上と電子メールのやり取りを行ったりすることが可能である。
【0014】
通信端末15は、例えば、パーソナルコンピュータなどの情報処理装置である。
【0015】
当該通信端末15も前記携帯電話機16と同様、ユーザ(例えば、U1)によって操作されるが、携帯電話機16のユーザインタフェースは、周知のように、携帯電話機のボディサイズが極めて小さいこと等に起因し、大量の文字の読み書きを快適に行うことができるものではないため、本実施形態では、ドキュメントの作成上、必要な大量の文字の読み書きには、通信端末15のほうを使用する。
【0016】
したがって当該通信端末15は、ノートパソコンや、据え置き型のパーソナルコンピュータなど、携帯電話機に比べると、はるかに大きくて使い勝手のよい表示画面やキーボードなどを装備した情報処理装置であることを要する。
【0017】
仮想プリントサーバ13やMMK端末14は、ユーザU1以外の多数のユーザに対しても、ユーザU1と同様なサービスを提供するものであるが、以下では、主として、ユーザU1がこれらのサービスを利用する場合を例に説明を進める。
【0018】
前記仮想プリントサーバ13は、ユーザU1が最終的にMMK端末14から所望のドキュメントを印刷出力するために必要な各種のサービスを提供するサーバである。当該仮想プリントサーバ13はインターネット11上に配置されており、通信端末15,携帯電話機16,MMK端末14からアクセスを受けることができる。
【0019】
仮想プリントサーバ13の内部構成例を図4に示す。
【0020】
(A−1−1)仮想プリントサーバの内部構成例
図4において、当該仮想プリントサーバ13は、通信部40と、制御部41と、記憶部42とを備えている。
【0021】
通信部40は、アクセスしてきた通信端末15,携帯電話機16,およびMMK端末14に対し、基本的にWebサーバ(あるいは、FTPサーバ)としてのインタフェースを提供するものであってよい。
【0022】
制御部41は、ハードウエア的には当該仮想プリントサーバ13のCPU(中央処理装置)に相当し、ソフトウエア的にはOS(オペレーティングシステム)やDBMS(データベース管理システム)、Webサーバ、CGIプログラムなどの各種プログラムに相当する部分である。
【0023】
後述するように、本実施形態では、前記通信端末15,携帯電話機16,MMK端末14と、この仮想プリントサーバ13のあいだ等で、公開鍵系に属する暗号方式の一種を多用する。この公開鍵暗号方式は、大きな数(大きな素数p、qの積n=pq(p、qのそれぞれは一例として100桁以上))の素因数分解が困難であることに、安全性の根拠を置くものである。この困難性は、当該公開鍵や秘密鍵によって暗号化されたデータに第3者がアタックした場合、例えば、最も効率的で最も計算量の少ない素因数分解アルゴリズムを、最も処理速度の速いコンピュータ上で実行したとしても、その解を得るまでに(すなわち、暗号を解読できるまでに)、現実的でないほど長い時間(一例として、数万年)を要するという程度の困難性である。数万年後に解読できたとしても、この第3者にとっても、ユーザU1にとってもほとんど何の意味もないため、事実上、解読不能であるといえる。
【0024】
なお、解読とは、正規の受信者でない第3者が、素因数分解アルゴリズムなどを利用して暗号化されたデータにアタックし、平文のデータまたは平文の暗号化鍵を得ることを指し、復号化とは、正規の受信者が、復号化鍵(公開鍵または秘密鍵)を利用して暗号化されたデータを処理し平文のデータを得ることを指す。
【0025】
前記公開鍵暗号方式の利用により、仮想プリントサーバ13も、必要に応じて当該公開鍵暗号方式に対応した処理(暗号化や復号化)を行うことになるが、この暗号化や復号化を実行するのは、通信部30または制御部31である。
【0026】
暗号化や復号化をOSI参照モデルのアプリケーション層以下のプロトコルとして実行する場合(例えば、トランスポート層で実行する場合など)は、通信部40が、その実行主体となるが、アプリケーションとして実行する場合には、制御部41がその実行主体となる。
【0027】
記憶部42はハードウエア的には、RAM(ランダムアクセスメモリ)や、ハードディスクなどによって構成される記憶資源であり、ソフトウエア的には、データベースや各種のファイルがこの部分に含まれる。
【0028】
記憶部42には、ユーザ管理ファイルUM、宛先情報ファイルDN、アプリファイル群AF1〜AFN、個人ファイル群PF1〜PFM、テンプレートファイル群TF1〜TFS、ドキュメントリストファイルLT1などの各ファイルが格納されている。
【0029】
このうちユーザ管理ファイルUMは、仮想プリントサーバ13に会員登録を行ったユーザを管理するためのファイルである。
【0030】
したがって、会員として認定するために最小限度の個人情報は、このユーザ管理ファイルUMに登録されている。例えば、ユーザ(会員)の氏名、電子メールアドレス、ユーザID、パスワードなどの情報がこれに該当する。
【0031】
前記ユーザU1も、当該仮想プリントサーバ13が提供するサービスを利用する以上、会員登録した者であることを要するから、その個人情報は、このユーザ管理ファイルUMに登録されている。
【0032】
宛先情報ファイルDN1〜DNLは、前記ドキュメントの宛先情報を登録するためのファイルである。
【0033】
会員である各ユーザ(その一人がU1)ごとに、異なるドキュメントの制作依頼(印刷依頼)が行われるが、そのドキュメントが宛先情報を必要とするものである場合に、当該ユーザに対応付けた形式で、当該宛先情報ファイルDN1〜DNLが生成される。
【0034】
本実施形態で、印刷依頼の対象となり得るドキュメントの例としては、例えば、年賀状、宅配便の送り状、名刺、履歴書、経歴書など、様々なものがあり得るが、このなかでは、年賀状、宅配便の送り状の場合に宛先情報と差出人情報が必要となり、名刺、履歴書、経歴書の場合には、宛先情報や差出人情報は不要である。
【0035】
宛先情報とはドキュメントの宛先となる情報のことで、具体的には、当該年賀状や送り状などの宛先として記述される住所、氏名、電話番号などを指す。同様に、差出人情報とは、ドキュメントの差出人となる人の情報で、具体的には、当該年賀状や送り状などの差出人として記述される住所、氏名、電話番号などを指す。以下の説明では、主として、この年賀状の印刷を行う場合を想定する。
【0036】
この宛先情報ファイルDN1〜DNLは、印刷依頼にかかるドキュメントの印刷が完了したときには削除することが望ましい。一般的な情報処理装置では、削除の操作を行っても、削除の対象となったデータが記憶されていた領域を論理的に有効なデータが存在しない領域として扱うだけで、物理的にデータは記憶されたままであることが多いが、そのような状態の場合、特殊なツールを使うことによって当該データが読み出され再利用される可能性も残るため、本実施形態における削除は、当該データを物理的に消去または上書きして、完全に再利用不能な状態にしてしまうことが望ましい。
【0037】
アプリファイル群AF1〜AFNは、インターネット11経由で携帯電話機16や、通信端末15に送信される可搬性(この可搬性には、クロスプラットフォーム性なども含まれることが好ましい)のプログラムであるアプリを収容したファイルの集合体である。アプリファイルAF1にはアプリAP1が収容され、アプリファイルAF2にはアプリAP2が収容され、アプリファイルAF3にはアプリAP3が収容され、…、アプリファイルAFNにはアプリAPNが収容されている。
【0038】
各ファイル中のアプリAP1〜APNはそれぞれに異なる機能を備えているが、本実施形態では特にアプリAP1〜AP3が重要である。
【0039】
アプリAP1は前記通信端末15上で実行されて通信端末15に固有な一対の公開キー(公開鍵)と秘密キー(秘密鍵)を生成する機能を備えている。このとき当該アプリAP1は、通信端末15に固有な資源(固有資源)である端末ID(端末ID以外に、携帯電話機16の例えば電話番号、電子メールアドレスなども利用可能)を利用して通信端末15に固有な公開キー(PC公開キーPB5)と秘密キー(PC秘密キーPV5)を生成する。端末IDは、パーソナルコンピュータ製品などを一義的に識別するために各製品に付与される識別情報であるから、この端末IDをもとに生成された一対の公開キーPB5と秘密キーPV5は、その生成を行うアプリAP1が同じであっても、端末ごとに異なる一意な鍵とすることができる。
【0040】
なお、この一意性は必ずしも厳格なものとする必要はない。実用上は、同一の鍵が偶然、生成される確率が十分に小さければ足りるし、厳格な一意性を求めると、それによって、鍵生成のアルゴリズムが大きな制約を受けることも少なくないからである。
【0041】
当該アプリAP1はまた、生成した一対のPC公開キーPB5とPC秘密キーPV5のうち、PC公開キーPB5を、仮想プリントサーバ13の公開鍵であるサーバ公開キーPB3で暗号化して仮想プリントサーバ13へ送信する機能なども備えている。
【0042】
サーバ公開キーPB3は、予め通信端末15へ配送しておくものである。
【0043】
アプリAP2はこのAP1と同様な機能を携帯電話機16上で実現するためのプログラムである。パーソナルコンピュータと携帯電話機ではプログラムの実行環境が大きく異なることが多いため、通信端末15用とは別に携帯電話機16用のアプリAP2を用意する必要がある。なお、一般的に携帯電話機では、携帯電話機相互間においても、製品ごとにその実行環境がかなり相違するため、当該アプリAP2と同等な機能を持つアプリを携帯電話機製品ごとに用意することが必要になる可能性がある。
【0044】
当該アプリAP2によって携帯電話機16上で生成された公開キー(携帯公開キー)をPB6とし、秘密キー(携帯秘密キー)をPV6とする。
【0045】
アプリAP3は各ドキュメント(ここでは、年賀状)に対応したユーザインタフェースを通信端末15上でユーザU1に提供するプログラムで、後述するように、通信端末15上で作成した前記個人情報である前記宛先情報および差出人情報のうち、いずれか一方を、前記携帯公開キーPB6等で暗号化して携帯電話機16へ送信し、他方を仮想プリントサーバ13のサーバ公開キーPB3等で暗号化して仮想プリントサーバ13へ送信する機能を備えている。
【0046】
宛先情報および差出人情報のうち、いずれの情報を携帯電話機16に送信するかは、どのように決定してもかまわないが、ここで、携帯電話機16に送信しないほうの情報は、仮想プリントサーバ13に送信され一時的に保存されることになる。携帯電話機16はユーザU1が24時間365日そばに置いて自身で管理することが可能であるのに対し、仮想プリントサーバ13の管理は、通常、ユーザU1と面識のないドキュメント制作会社などのシステム管理者やネットワーク管理者などが行うことになるため、ユーザU1がより重要で、より秘匿性が高いと考えるほうの情報を携帯電話機16へ送信するようにすれば、ユーザU1の安心感が高まる。
【0047】
また、年賀状などのように膨大な数の宛先に同じ差出人からほぼ同じ内容を送るドキュメントの場合、差出人情報はユーザU1の住所、氏名など一人分の個人情報であるのに対し、宛先情報のほうは、例えば数百人分に及ぶ多量の個人情報になる場合なども少なくない。このようなケースでは、携帯電話機16の記憶容量の小ささに配慮することも必要になる。一般的に携帯電話機の記憶容量はパーソナルコンピュータなどに比べてはるかに小さいのが普通であり、数百人分の個人情報を記憶させるほどの余裕のない携帯電話機の場合には、一人分で済む差出人情報を携帯電話機のほうへ送信するしかない。
【0048】
前記アプリAP3は、ユーザU1の選択に応じて、差出人情報、宛先情報の送信先を動的に決定する機能などを備えたものものであってよいが、本実施形態では、当該差出人情報を携帯電話機16へ送信し、宛先情報を仮想プリントサーバ13へ送信するものとする。
【0049】
また、差出人情報を携帯電話機16へ安全に送信することができればどのような方法を用いてもかまわないが、本実施形態では、前記アプリAP3は、差出人情報を収容した状態で、差出人情報とともに携帯電話機16へ送信され、あるいは、宛先情報を収容した状態で、宛先情報とともに仮想プリントサーバ13へ送信されるものとする。
【0050】
アプリAP3はまた、テンプレートや宛先情報を包含した状態で仮想プリントサーバ13からMMK端末14へ送信され、MMK端末14上で実行されて、テンプレートや宛先情報を、携帯電話機16側から供給される差出人情報と合成して前記年賀状を生成したり、印刷出力させたりする機能の少なくとも一部を担うものであってよい。具体的に、テンプレートと、宛先情報と、差出人情報をどのように合成するかについては、XMLなどを利用して記述しておくとよい。
【0051】
前記個人ファイル群PF1〜PFMは、仮想プリントサーバ13のサービスを利用するユーザU1などの各ユーザごとに設けられるファイルの集合体である。例えば、ユーザU1が選択した年賀状のテンプレートなどの情報は、この個人ファイル群PF1〜PFMのうち、ユーザU1に該当する個人ファイル(例えば、PF1)に登録される。必要に応じて、前記宛先情報ファイルDN1〜DNLの内容などは、当該個人ファイルのなかに収容するようにしてもよい。
【0052】
テンプレートファイル群TF1〜TFSは、各種のドキュメントに対応するテンプレートを収容したファイルの集合体である。
【0053】
テンプレートとは、予め用意された複数の標準的なドキュメント形態のことで、例えば、年賀状のテンプレートの場合、裏面に印刷するデザイン(絵柄など)、裏面に差出人情報を印刷するか否か、「明けましておめでとうございます」と記述するか、「あけましておめでとうございます」と記述するか等、ユーザU1が選択可能な多くのバリエーションを含んでいる。
【0054】
ドキュメントリストファイルLT1は、Webページを構成するHTMLファイルであるが、その詳細については後述する。
【0055】
次に、当該仮想プリントサーバ13とインターネット11経由で通信する通信端末15の内部構成例を図2に示す。
【0056】
(A−1−2)通信端末の内部構成例
図2において、当該通信端末15は、通信部20と、制御部21と、記憶部22と、操作部23と、表示部24とを備えている。
【0057】
このうち通信部20は前記通信部40に対応し、制御部21は前記制御部41に対応し、記憶部22は前記記憶部42に対応するため、その詳しい説明は省略する。
【0058】
なお、この制御部21の場合、前記仮想プリントサーバ13側の制御部41と異なり、WebサーバやCGIプログラムを含むことはなく、その替わりにWebブラウザなメーラなどの各種プログラムを含む。
【0059】
また、通信部20は、携帯電話機16と後述するローカル通信を行うための機能を備えている。
【0060】
さらに、記憶部22は前記記憶部42とは、格納しているファイルが異なる。
【0061】
すなわち当該記憶部22は、PIM(個人情報管理)ファイルPM1、差出人情報ファイルSN、宛先情報ファイルDN1、アプリファイルAFS1、AFR1などの各ファイルを格納する。
【0062】
このうちPIMファイルPM1は、例えば、住所録や電話帳などのPIMソフトが生成するファイルで、ユーザU1によって登録された多数の個人情報が収容されている。通信端末15上でこのようなPIMソフトを利用するか否かはユーザU1の自由であり、PIMソフトを利用しない場合にはPIMファイルPM1も存在しないが、すでにユーザU1がPIMソフトを利用し、多数の個人情報を収容したPIMファイルPM1を記憶部22に格納している場合には、前記宛先情報は(あるいは、差出人情報も)新たに作成しなくても、このPIMファイルPM1の内容をそのまま利用することができる。
【0063】
差出人情報ファイルSNは、ユーザU1自身の個人情報である前記差出人情報を収容したファイルである。このファイルSNは、必要に応じて、後述する処理の過程で生成される。同様に、宛先情報ファイルDT1は、前記宛先情報を収容したファイルである。
【0064】
通信端末15から送信することで当該宛先情報ファイルDT1の内容は仮想プリントサーバ13の記憶部42に格納されて、例えば、前記宛先情報ファイルDN1となる。ただし、通信端末15上にあるとき当該宛先情報ファイルDT1の内容は平文であってよいのに対し、仮想プリントサーバ13上にあるときには、必ず暗号化された状態にある。しかもこの暗号化には、事実上、携帯電話機16を持つユーザU1にしか復号化(解読)できない携帯公開キーPB6による暗号化が含まれている。
【0065】
このため、例えば、仮想プリントサーバ13側のシステム管理者などの管理の誤りで、インターネット11上で宛先情報ファイルDN1などが公開されてしまったり、Webサイトのセキュリティホールを突いた攻撃などによって当該宛先情報ファイルDN1が第3者に取得されてしまったりした場合でも、事実上、解読不能な暗号(携帯公開キーPB6等)によって秘匿された状態にあるため、宛先情報ファイルDN1の内容(平文の宛先情報)が第3者に知られることはない。
【0066】
アプリファイルAFS1とAFR1は、前記アプリAP3を収容したファイルである。したがって、前記アプリAP3を前記仮想プリントサーバ13が受信する前には、当該アプリファイルAFS1とAFR1は存在しない。
【0067】
アプリファイルAFS1は、前記差出人情報を包含した状態のアプリAP3を収容し、アプリファイルAFR1は、前記宛先情報を包含した状態のアプリAP3を収容する。
【0068】
操作部23は、ユーザU1が操作して通信端末15に指示を伝える部分で、例えば、マウス等のポインティングデバイスや、キーボードなどを有する。
【0069】
表示部24は、前記Webブラウザなどの機能に応じて画面表示を行うディスプレイ装置に対応する部分で、ユーザU1に仮想プリントサーバ13のWebサーバが提供するWebページなどを閲覧させる。
【0070】
一方、前記仮想プリントサーバ13とインターネット11経由で通信し、MMK端末14や通信端末15とローカル通信を用いて通信する携帯電話機16の内部構成例を図3に示す。
【0071】
(A−1−3)携帯電話機の内部構成例
図3において、当該携帯電話機16は、通信部30と、制御部31と、記憶部32と、操作部33と、表示部34とを備えている。
【0072】
このうち通信部30は前記通信部20に対応し、制御部31は前記制御部21に対応し、記憶部32は前記記憶部22に対応し、操作部33は前記操作部23に対応し、表示部34は前記表示部24に対応するため、その詳しい説明は省略する。
【0073】
なお、上述したように、携帯電話機16で大量の文字の読み書きを快適に行うことができないのは、結局のところ、この操作部33や表示部34のサイズが小さいことが、主な原因である。
【0074】
携帯電話機のなかにも、前記PIMソフトを搭載したものがあり、携帯電話機16がこのような携帯電話機である場合、その記憶部32には、前記PIMファイルPM1と同等なPIMファイルPM2を搭載することになる。
【0075】
また、携帯電話機16は、前記通信端末15から前記差出人情報を包含した状態のアプリAP3を受信すると、当該アプリAP3をアプリファイルAFS2に収容して、記憶部32に格納する。
【0076】
上述したように携帯電話機が搭載している記憶部32の記憶容量は通信端末15に比べるとはるかに小さいが、(PIMファイルPM2と)アプリファイルAFS2程度ならば、十分に格納可能である。
【0077】
なお、本実施形態の構成上、携帯電話機16は通信端末15と通信する必要がある。その際の通信手段は、例えば電子メールなどのように、インターネット11を経由するものであってもかまわないが、ここでは、インターネット11を経由せず、直接、1対1で通信端末15と携帯電話機16が通信するローカル通信を行うものとする。
【0078】
ローカル通信は大きく有線方式と無線方式に分かれる。有線方式は、通信端末15と携帯電話機16を1対1でケーブルなどで直接、接続して通信する(このケーブルには、携帯電話機16と通信端末15以外の端末は接続されない)もので、無線方式は当該ケーブルなどを用いずに通信するものである。無線方式のなかには、赤外線を用いるものと電波を用いるものがある。
【0079】
通信の秘匿性を確保する観点では有線方式のほうが望ましいが、使い勝手などの観点では無線方式のほうが優れている。無線方式のなかでは、回折してどこまで届いているかが不明確な電波を用いるものよりも、見通しが得られる範囲でしか通信できない赤外線を用いるもののほうが傍受される危険性が少なく秘匿性に優れているといえる。
【0080】
このようにケーブルや赤外線を活用すれば、平文で送信しても通信の過程では物理的に秘匿性を確保できるため、暗号を利用して論理的に秘匿性を保証する必要性は低いといえるが、本実施形態では、当該ローカル通信にも暗号を利用するものとする。これは、前記電波を用いる無線方式の利用を前提としたものとみてもよい。
【0081】
なお、各ローカル通信を行うためには、互いに通信する2つの端末(例えば、携帯電話機16と通信端末15)が、そのローカル通信に対応した通信インタフェースを装備していることが必要であることは当然である。
【0082】
最後に、前記MMK端末14の内部構成例を図5に示す。MMK端末14は、コンビニエンスストアや駅など、多数の人が集まる場所に高い密度で配置される情報処理装置で、プリンタ機能を内蔵しているものと外部のプリンタ機能を利用するものがあるが、いずれにしても不特定多数のユーザ(例えば、U1など)に対してプリンタ機能を提供することができる。
【0083】
(A−1−5)MMK端末の内部構成例
図5において、当該MMK端末14は、通信部50と、制御部51と、記憶部52と、操作部53と、表示部54と、印刷部55と、秘密キー対応部56とを備えている。
【0084】
このうち通信部50は前記通信部20に対応し、制御部51は前記制御部21に対応し、記憶部52は前記記憶部22に対応し、操作部53は前記操作部23に対応し、表示部54は前記表示部24に対応するため、その詳しい説明は省略する。
【0085】
なお、当該通信部50は、前記年賀状の印刷出力時に、インターネット11経由で仮想プリントサーバ13と通信するほか、前記ローカル通信を利用して携帯電話機16とも通信する。
【0086】
また、記憶部52は、処理の進行に伴って前記ドキュメントリストファイルLT1、アプリファイルAD1などの各ファイルを格納する。
【0087】
ドキュメントリストファイルLT1は、名刺、年賀状、宅配便の送り状、履歴書、経歴書などユーザU1が印刷依頼することが可能な各ドキュメントの一覧(リスト)を含んだWebページに対応するHTMLファイルである。操作部53を操作することにより、ユーザU1が当該Webページ上で所望のドキュメントを選択すると、例えば、ハイパーリンクとそのハイパーリンクによって指定される前記CGIプログラムの機能によって当該選択に対応した前記アプリAP3が、仮想プリントサーバ13からMMK端末14へ送信される。
【0088】
このときアプリAP3は、該当するテンプレートや宛先情報を包含した状態であるため、MMK端末14は、当該アプリAP3を受信すると、記憶部52には、当該アプリAP3を収容したアプリファイルAD1が格納される。
【0089】
前記秘密キー対応部56は、前記記憶部52に保存される携帯秘密キーPV6に対し物理的な消去または上書きを行ったり、あるいは暗号化を施すことで、完全に再利用不能な状態にするための部分である。
【0090】
一般的に秘密キーは、管理している本来の構成要素(携帯秘密キーPV6の場合には携帯電話機16)の外部へ送信しないほうが望ましいが、後述するように本実施形態では平文の携帯秘密キーPV1が少なくとも一時的にMMK端末14上で保存される必要があるため、当該秘密キー対応部56を用いて、安全性を確保するものである。
【0091】
以下、上記のような構成を有する本実施形態の動作について、図6〜図9のフローチャートを参照しながら説明する。
【0092】
図6のフローチャートは、S10〜S22の各ステップから構成され、図7のフローチャートは、S30〜S38の各ステップから構成され、図8のフローチャートは、S40〜S49の各ステップから構成され、図9のフローチャートは、S50〜S68の各ステップから構成されている。
【0093】
図6のフローチャートはドキュメント印刷出力の申込み等に関する処理を示し、図7のフローチャートはこの申込み等の処理が終了後、前記差出人情報を携帯電話機16に保存するまでの準備処理を示し、同様に、図8のフローチャートはこの申込み後、前記宛先情報やテンプレートを仮想プリントサーバ13に保存するまでの準備処理を示し、図9のフローチャートはこれらの準備処理の終了から、最終的に前記年賀状をMMK端末14で印刷出力するまでの処理を示す。
【0094】
(A−2)実施形態の動作
前記ユーザU1が通信端末(パーソナルコンピュータ)15を用いて、前記仮想プリントサーバ13にインターネット11経由でアクセスし、図6に示すように、当該仮想プリントサーバ13が提供するログイン用のWebページなどに所定のユーザIDやパスワード等を入力してログインする(S10)。
【0095】
ユーザ認証の結果がOKでログインできれば、仮想プリントサーバ13は、鍵生成機能を持つ前記アプリAP1をインターネット11経由で通信端末15へ送信する(S11)。このとき、サーバ公開キーPB3もアプリAP1とともに送信する。
【0096】
これを受信した通信端末15では、サーバ公開キーPB3は記憶部22に保存し、当該アプリAP1は起動する(S12)。これによって、上述したように当該アプリAP1は、通信端末15上の固有資源を利用して、通信端末15に固有のPC公開キーPB5と、PC秘密キーPV5とを生成する(S13)。
【0097】
なお、アプリAP1はインターネット11経由で通信端末15に伝送されるものなので、この伝送の過程で第3者に傍受されないように暗号化を施しておくことが望ましい。
【0098】
この伝送時にはまだ、アプリAP1がユーザU1の個人情報などの秘匿すべき情報を包含してはいないが、個人情報を安全に秘匿するためには、鍵(ここでは、(PC公開キーPB5と)PC秘密キーPV5)を確実に秘匿する必要があり、鍵を秘匿するには、アプリAP1の平文のコードを、第3者から隠す必要があるからである。
【0099】
したがって、アプリAP1は暗号化した上でインターネット11上を伝送する必要があるが、この暗号化には、例えば、サーバ秘密キーPV3を利用することができる。この場合、アプリAP1を受信した通信端末15上では、会員登録の際などに予め取得してあるサーバ公開キーPB3によってこれを復号化して平文のアプリAP1を取得することになる。平文のアプリAP1を取得してからの処理は、前記ステップS12,S13と同じである。
【0100】
これによって、仮想プリントサーバ13の会員以外の第3者から鍵を秘匿することができるが、仮想プリントサーバ13にはユーザU1以外にも正規の会員が存在するため、これらの会員からも鍵を秘匿する必要があると考えられる。正規の会員は正規の方法で平文のアプリAP1を取得することができるため、これらの会員から鍵を秘匿するには、アプリAP1が実行する鍵生成アルゴリズムに例えば乱数などを利用して、再現や推測が困難な鍵生成を行う必要がある。再現や推測が困難な鍵生成を行うことができれば、他の正規の会員からだけではなく、仮想プリントサーバ13上に保存されている平文のアプリAP1自体にアクセスする権限を有する仮想プリントサーバ13側の正規のネットワーク管理者やシステム管理者からも、ユーザU1の鍵を秘匿することができる。実際の個人情報漏洩事件では、このような正規のシステム管理者やネットワーク管理者が漏洩に関与している場合も少なくないことを考慮すると、これらの者から鍵を秘匿する必要性も小さくない。したがって、この鍵生成アルゴリズムは再現や推測の困難性が十分に高いことが求められる。
【0101】
再現や推測の困難性を得られる具体的な鍵生成アルゴリズムとしては、様々なものが考えられるが、一例として次のようなアルゴリズムを利用できる。
【0102】
すなわち、前記公開鍵暗号方式で使用する一対の公開キーと秘密キーの鍵生成には、周知のように、上述した素数p、qの選定、Lと互いに素で、Lよりも小さな整数eの選定の処理が含まれるが(ここで、Lは、p−1とq−1の最小公倍数)、これらの選定の双方または一方に、前記固有資源(例えば、端末ID)だけでなく、動的に生成した乱数の値などを反映させるものである(p、q、eはいずれも、鍵の構成要素である)。
【0103】
なお、端末IDなどの固有資源は必ずしも秘密の情報ではないし、推測も可能であるから、単純にこの固有資源だけを鍵生成に反映させると、端末に固有な一意な鍵を生成することはできても、この鍵は再現したり推測したりすることができるものになる可能性が高い。
【0104】
このように再現や推測が困難な鍵を生成する必要があるのは、通信端末15のPC公開キーPB5とPC秘密キーPV5に限らない。例えば、携帯電話機16の携帯公開キーPB6と携帯秘密キーPV6についても同様である。
【0105】
ステップS13で生成した一対のPC公開キーPB5とPC秘密キーPV5は、後で利用するため、通信端末15の記憶部22に保存しておく(S14)。
【0106】
また、PC公開キーPB5のほうは、予め取得してある仮想プリントサーバ13の公開鍵である前記サーバ公開キーPB3で暗号化して当該通信端末15から仮想プリントサーバ13に送信する(S15)。必要に応じて、この暗号化の実行や、送信の機能も、アプリAP1の機能であってよい。
【0107】
なお、一般に、前記公開鍵暗号方式における一対の公開キーと秘密キーは、一方から他方を容易に求めることができない性質を有するため、当該ステップS15では暗号化を省略して平文のPC公開キーPB5を送信するようにしても一応のセキュリティは確保できる。その場合、サーバ公開キーPB3を予め通信端末15が取得しておく必要もなくなる。
【0108】
一方、当該ステップS10、S12〜S15とほぼ同時に、同じユーザU1が操作する携帯電話機16のほうでも、ステップS17,S18〜S21の処理が進んでいる。これらのステップS17,S18〜S21の処理内容は、前記ステップS10、S12〜S15とほぼ同様である。
【0109】
すなわち、ステップS17は前記S10に対応し、ステップS18は前記S12に対応し、ステップS19は前記S13に対応し、ステップS20は前記S14に対応し、ステップS21は前記S15に対応している。
【0110】
ただし携帯電話機16の場合、ログイン(S17)後に仮想プリントサーバ13から送信されるのはアプリAP1ではなく、前記アプリAP2である。ステップS19で生成された一対の携帯公開キーPB6と携帯秘密キーPV6は、携帯電話機16の記憶部32に保存し(S20)、携帯公開キーPB6を予め取得してあるサーバ公開キーPB3で暗号化して送信する(S21)点などは、前記ステップS10、S12〜S15と同様である。
【0111】
また、必要に応じて、この暗号化の実行や、送信の機能も、アプリAP2の機能であってよい点、携帯公開キーPB6を暗号化せずに平文のまま送信してもよく、その場合には、サーバ公開キーPB3を予め取得しておく必要がない点なども、前記ステップS10、S12〜S15と同様である。
【0112】
さらに、前記ステップS17のログインでユーザU1が携帯電話機16から入力するユーザIDおよびパスワードは、前記ステップS10で通信端末15から入力したユーザIDおよびパスワードと同じであるため、仮想プリントサーバ13側では、この携帯電話機16からのアクセスが前記通信端末15からと同じユーザU1によるものであることを認識することができる。
【0113】
なお、図6の例では、通信端末15側で実行する前記ステップS10、S12〜S15を、携帯電話機16側で実行する前記ステップS17,S18〜S21よりも先に処理しているが、この順番は逆でもかまわない。また、同時並列的に処理してもかまわない。
【0114】
前記ステップS15で送信されたPC公開キーPB5と、前記ステップS21で送信された携帯公開キーPB6が届くと、仮想プリントサーバ13では、記憶部42上に設けたユーザU1の個人ファイルである前記PF1にこれらを収容し、保存する。ユーザU1に関する2つの公開キーPB5およびPB6が個人ファイルPF1に収容された時点で、前記年賀状の印刷依頼に関する申込みが終了する(S16)。ただしこの時点ではまだ、ドキュメントの種類は特定されていない。
【0115】
申込み終了後は、PC公開キーPB5が、仮想プリントサーバ13から携帯電話機16へ送信され(S22)、携帯電話機16の記憶部32に格納され、保存される(S23)。この通信はインターネット11経由の通信になる。
【0116】
なお、PC公開キーPB5の携帯電話機16への送信は、このように仮想プリントサーバ13経由で行わず、通信端末15と携帯電話機16のあいだのローカル通信によって行うようにしてもよい。インターネット11はユーザU1の管理下にはないがローカル通信はほぼ完全にユーザU1の管理下にあり、特に上述した有線方式や赤外線を利用するケースでは、十分な秘匿性を物理的に確保できるため、ローカル通信の利用が安全性の点で有利となる可能性が高い。
【0117】
つづいて図7では、通信端末15からの要求(HTTPリクエスト)に応じて、前記アプリAP3が、前記個人ファイルPF1に格納されている携帯公開キーPB6を包含した状態で仮想プリントサーバ13から送信され(S30)、インターネット11経由でこれを受信した通信端末15では、当該アプリAP3を起動し(S31)、データ入力を受け付ける(S32)。
【0118】
なお、アプリAP3は例えばPC公開キーPB5で暗号化した状態で通信端末15へ送信するようにしてもよい。この場合、通信端末15では、PC秘密キーPV5で復号化した上で、前記ステップS31以降の処理を行うことになる。
【0119】
また、当該アプリAP3を、各ドキュメント(ここでは、年賀状)に対応した専用のアプリとするためには、当該HTTPリクエストを送信する際などに、通信端末15側からドキュメントの種類(ここでは、年賀状)を指定しておく必要がある。
【0120】
ただしアプリAP3をドキュメント別の専用のアプリとせず、すべてのドキュメントに対応可能な分岐を持つプログラムとする場合には、ドキュメントの種類の指定は省略できる。
【0121】
この前後の処理に関し通信端末15の表示部24に画面表示される画面は、例えば、図10のG11〜G18に示すものであってよい。画面遷移は、画面G11、G12,G13,G14,G15,G16,G17,G18の順番である。
【0122】
図10の画面G11は、前記HTTPリクエスト送信のための画面であり、画面G12は、ドキュメントの種類の指定(ドキュメント選択)を行うための画面である。画面G13〜G18は、一人の個人(例えば、前記宛先情報に含まれる一人分の個人情報(プロファイルデータ)を入力するための画面の例である。これらの画面G13〜G18は、アプリAP3の機能に基づいて画面表示されるものであってよい。
【0123】
なお、図10には年賀状の印刷のために必要でない画面も含まれている。例えば、画面G14で入力する生年月日や、年齢などの情報は一般的な年賀状には不要である。
【0124】
前記差出人情報や宛先情報など、年賀状の印刷に必要な個人情報(プロファイル)の入力が終了し、通信端末15の記憶部22に保存されると(S33)、前記アプリAP3が表示させる画面G2をもとに、各個人情報の送信先を選択する。図7の例では、送信先として携帯電話機16を選択している(S34)。
【0125】
画面G2では、ユーザIDやパスワードを入力させてアプリAP3がユーザ認証を行っているため、ユーザ認証の結果がOKの場合にのみ、次のステップS35へ進むことができる。必要に応じて、このようなユーザ認証は省略可能である。
【0126】
当該ステップS35ではPC秘密キーPV5と携帯公開キーPB6で、暗号化するため、これにつづくステップS36では、例えば前記差出人情報を包含し暗号化されたアプリAP3を携帯電話機16へ送信する(S36)。
【0127】
秘匿性を確保するためには、携帯公開キーPB6で暗号化するだけで十分であるが、重ねてPC秘密キーPV5で暗号化することで、信頼できる通信相手である通信端末15から供給されたデータであることを携帯電話機16側で確認でき、なりすましの防止などに有効である。PC秘密キーPV5で暗号化することができるのは通信端末15だけであるため、なりすましがあると、後で、PC公開キーPB5を利用して行う復号化(ステップS37)の結果が、正常なものでなくなるからである。
【0128】
ステップS36の送信は、インターネット11経由で行ってもかまわないが、通信端末15と携帯電話機16が上述した通信インタフェースを装備している場合には、ローカル通信を用いたほうが安全である。また、有線方式や赤外線によるローカル通信では、暗号化の処理(ステップS35)を省略できることも上述した通りである。有線方式はもちろん、赤外線を用いるローカル通信の場合も、伝送路全体がほぼ完全にユーザU1の管理下にあるため、なりすましの危険性もほとんど無い。
【0129】
前記差出人情報を包含した状態でステップS35においてPC秘密キーPV5と携帯公開キーPB6で暗号化され、前記ステップS35で送信されたアプリAP3を受信すると、携帯電話機16は、当該アプリAP3を、携帯秘密キーPV6とPC公開キーPB5を用いて復号化し(S37)、記憶部32に保存する(S38)。
【0130】
必要に応じて、ステップS37とS38の順番を入れ替えてもかまわない。その場合、アプリAP3は携帯電話機16上で保存されているときには暗号化された状態にあり、利用される直前に復号化されることになる。
【0131】
次に図8について説明する。
【0132】
図8のフローチャートは情報の送信先が異なるだけで、基本的に図7のフローチャートと同じである。
【0133】
すなわち、ステップS40は前記S30に対応し、ステップS41は前記S31に対応し、ステップS42は前記S32に対応し、ステップS43は前記S33に対応し、ステップS44は前記S34に対応し、ステップS45は前記S35に対応し、ステップS47は前記S36に対応し、ステップS48は前記S37に対応し、ステップS49は前記S38に対応する。
【0134】
ステップS44では前記ステップS34と異なり、ユーザU1が送信先として仮想プリントサーバ13を選択している。
【0135】
なお、ステップS46は対応する処理が図7には存在しないが、このステップS46では、宛先情報を包含した状態のアプリAP3を、前記サーバ公開キーPB3で暗号化している。
【0136】
また、前記ステップS38に対応するステップS49では、仮想プリントサーバ13上に設けられているユーザU1のための前記個人ファイルPF1に復号結果が保存される。
【0137】
図7のように、通信端末15から携帯電話機16へ送信(S36)する場合と異なり、図8のステップS46では通信端末15から仮想プリントサーバ13へ送信しなければならない。この送信では、前記ローカル通信は使用できず、危険性の高いインターネット11経由の通信を行う必要がある。
【0138】
したがってステップS46でサーバ公開キーPB3で暗号化を施すことにより、サーバ秘密キーPV3を持つ仮想プリントサーバ13でしか当該アプリAP3を復号(解読)できないようにしておく必要性は高い。この場合、さらに、ステップS49にて保存された個人ファイルPF1はサーバ秘密キーPV3により復号化されてはいるが、この時点では平文ではなく依然としてPC秘密キーPV5および携帯公開キーPB6にて暗号化された状態にあるため、ファイルPF1にアクセス可能なサーバ管理者等であっても携帯秘密キーを入手することは不可能であり、セキュリティ性は高い。
【0139】
なお、図8中に示した画面G3は、前記画面G2と同じである。
【0140】
また、図7のフローチャートと図8のフローチャートは、いずれを先に実行してもかまわない。
【0141】
図7と図8のフローチャートの処理が終了し、前記差出人情報が携帯電話機16に保存され、前記宛先情報が仮想プリントサーバ13に保存された状態になると、ユーザU1はいつでも、携帯電話機16を携帯してMMK端末14まで移動し、図9のフローチャートの処理を開始することができる。図9のフローチャートは、携帯電話機16,MMK端末14,仮想プリントサーバ13のあいだで実行される。
【0142】
図9に示すように、ユーザU1の操作によってMMK端末14から仮想プリントサーバ13に要求が送信されると、ログインのため、例えば、画面G4に示すようなWebページが仮想プリントサーバ13から送信されて、MMK端末14の表示部54に画面表示される。
【0143】
この画面G4に対し、ユーザU1が仮想プリントサーバ13の会員としてのユーザIDとパスワードを入力すると(S50)、その入力内容が仮想プリントサーバ13へ送信され、前記ユーザ管理ファイルUMの格納内容などを用いて会員照合を行う(S51)。
【0144】
ユーザU1は正規の会員であるから、そのユーザIDやパスワードがユーザ管理ファイルUMに登録されており、入力内容と一致するユーザIDやパスワードが検索されるため、ステップS52はYES側に分岐する。
【0145】
もし正規の会員でない者がログインしようとした場合には、当該ステップS52はNO側に分岐して所定のエラー処理が行われる(S53)。エラー処理の内容には様々なものが考えられるが、例えば、「あなたは会員登録されておりません」というメッセージを表示部54に画面表示させたり、会員登録を促すメッセージを画面表示させたりするようにしてもよい。
【0146】
ステップS52がYES側に分岐すると、ステップS54とS57が実行される。
【0147】
当該ステップS54では、仮想プリントサーバ13からMMK端末14に対して携帯電話機16が保存中の前記アプリAP3や携帯秘密キーPV6を取得するように指示を出し、この指示に応じてMMK端末14は携帯電話機16に対して、前記アプリAP3と携帯秘密キーPV6の送信を依頼する。この依頼は、前記ローカル通信によって行う。
【0148】
この依頼を受信(S55)した携帯電話機16では、前記差出人情報を包含した状態のアプリAP3と携帯秘密キーPV6が前記ローカル通信によってMMK端末14に送信されて(S56)、前記アプリファイルAD1等に保存される(S58)。このステップS56の送信の前に当該アプリAP3が例えば携帯公開キーPB6で暗号化された場合には、ステップS58の保存の前に、携帯秘密キーPV6を用いて復号化しておくとよい。
【0149】
また、ステップS57では、前記ドキュメントリストファイルTL1を仮想プリントサーバ13からMMK端末14へ送信する。
【0150】
これをインターネット11経由で受信したMMK端末14は、例えば、画面G5のようなWebページを表示部54に表示することで、作成可能なドキュメントをユーザU1に提示する(S59)。ここで、当該画面G5は、ドキュメントリストファイルTL1に対応した画面となっている。
【0151】
このとき当該画面G5に対しユーザU1がMMK端末14の操作部53を用いて行った操作に応じて、あるいは、画面G5の表示当初から、仮想プリントサーバ13またはMMK端末14からユーザU1に伝えるメッセージを表示することができる。
【0152】
例えば、画面G5上ではドキュメントの一つである名刺に対応して、「会社情報が不足」していることを示すメッセージが記述されている。これは、上述したステップS42などにおけるデータ入力で、会社の名称や住所などに関する一般的な名刺では必要とされる記載事項がユーザU1から仮想プリントサーバ13に提供されていないこを伝えるものである。
【0153】
したがって、ユーザU1はこの時点では、名刺を選択することはできない。
【0154】
また、前記ドキュメントリストファイルTL1に所定のプログラムを埋め込んでおくこと等により、埋め込んだ当該プログラムの機能によって、MMK端末14の記憶部52上における前記アプリファイルAD1の存否を検査し、その検査結果により、まだ差出人情報などがMMK端末14に送信されていないことをユーザU1に伝えるようにすること等も可能である。
【0155】
画面G5上でボタンが埋められていることから、当該名刺以外の4つのドキュメント、すなわち年賀状、宅配便の送り状、履歴書、経歴書は選択可能であることが分かる。ただしこの時点で選択可能であるか否かは、前記ステップS42などで入力したデータやアプリファイルAD1の存否などに応じて変化するため、例えば、学歴や職歴などに関するデータをステップS42等で入力していない場合などには、履歴書や経歴書も選択できない状態となる。
【0156】
画面G5上で選択可能な4つのドキュメントのうち、いずれか一つの「作成」ボタンを、ユーザU1が操作部53を操作することによって選択すると(S60)、以降では、そのドキュメントを印刷するための処理が進められる。ここでは、ユーザU1は、前記年賀状の「作成」ボタンを選択したものとする。
【0157】
当該ステップS60で前記年賀状の「作成」ボタンを選択したことにより、年賀状の作成に必要な前記アプリAP3が仮想プリントサーバ13へ要求される(S61)。これは、画像G5の年賀状の「作成」ボタンに、対応するアプリAP3に応じたURLを用いた要求が送信できるようにドキュメントリストファイルTL1を記述しておくことで実現できる。なお、このURLは、前記個人ファイルPF中から前記ステップS49で保存したアプリAP3を検出して返送する機能を持つCGIプログラムを指定するURLである。
【0158】
これを受けて、仮想プリントサーバ13では、当該URLに対応するCGIプログラムが、前記アプリAP3を前記個人ファイルPF1のなかから抽出して(S62)、予め取得してあるMMK公開キーPB4で暗号化した上で、MMK端末14へ送信する(S63)。
【0159】
このとき、テンプレートもアプリAP3とともにMMK端末14へ送信されることになる。テンプレートの内容は必ずしも秘匿性のあるものではないとも考えられるが、もしも秘匿したければ、当該ステップS63でMMK公開キーPB4を用いてテンプレートを暗号化するとよい。
【0160】
個人ファイルPF1から抽出したとき、アプリAP3は前記宛先情報を包含し、PC秘密キーPV5と携帯公開キーPB6で暗号化された状態にあり、それだけでも十分な秘匿性を有するが、このステップS63でさらにMMK公開キーPB4で暗号化するのは、MMK秘密キーPV4を持つMMK端末14でしかアプリAP3の復号化(解読)を行うことができないようにするためである。
【0161】
インターネット11経由でこれを受信すると、MMK端末14は、前記MMK公開キーPB4に対応するMMK秘密キーPV4で復号化し(S64)、さらに携帯秘密キーPV6と、PC公開キーPB5で復号化する(S65)。
【0162】
テンプレートは当該ステップS64が実行された時点で平文にもどるためステップS65の対象外である。アプリAP3と当該アプリAP3に包含されている前記宛先情報のほうは、このステップS65が実行されることによってはじめて平文にもどる。
【0163】
次に、当該テンプレート、宛先情報、および前記ステップS58でアプリファイルAD1に保存されていたほうのアプリAP3が包含する差出人情報が、前記XMLの指定に応じてMMK端末14の記憶部52上で合成され(S66)、印刷出力される(S67)。
【0164】
このステップS66には、テンプレートが提供する多様なバリエーションのなかからユーザU1が望むものを選択する処理が含まれる。
【0165】
その選択には、例えば、図11に示す画面例G20〜G26を用いて行う宛名印刷のバリエーションの選択や、図12に示す画面例G20,G31〜G36を用いて行う裏面印刷のバリエーションの選択が含まれる。
【0166】
画面G20〜G26,G31〜G36は、前記アプリAP3などの機能によってMMK端末14の表示部54に表示される画面を示している。
【0167】
ステップS67の印刷出力が正常に終了すると、自動的に、またはユーザU1からの指示に応じて、前記秘密キー対応部56が動作し、前記物理的な消去または上書きを行ったり、あるいは暗号化を施すことで、MMK端末14上の携帯秘密キーPV6を完全に再利用不能な状態にする(S68)。
【0168】
ステップS67で印刷が終了すると、当該携帯秘密キーPV6をMMK端末14に保存しておく必要はなくなるし、平文の携帯秘密キーPV6はセキュリティ上の観点から、本来、携帯電話機16以外の場所に置くべきものではないからである。
【0169】
(A−3)実施形態の効果
以上のように、本実施形態によれば、個人情報(差出人情報や宛先情報など)のセキュリティ性が高く、安全である。
【0170】
また、個人情報の一部(例えば、差出人情報)を携帯電話機(16)に保存できるようにすることで、ユーザ(U1)に大きな安心感を与えることもできる。
【0171】
(B)他の実施形態
上記実施形態にかかわらず、アプリAP1〜AP3の機能は、2つまたは1つのアプリに集約してもかまわない。ただし一般的に多数の機能を有する分岐の多いプログラムはサイズも大きくなるため、ネットワーク11やローカル通信を介して搬送するアプリの性質上、あまりサイズを大きくすることは好ましくないといえる。また、記憶容量の制約が大きい携帯電話機などは、あまりにサイズの大きなアプリを搭載することができない可能性もある。
【0172】
また、前記宛先情報や差出人情報が不要なドキュメントの印刷を依頼する場合も、これらを必要とする前記年賀状や送り状の場合と同様、一対の情報を、仮想プリントサーバ13と、携帯電話機16に分散して蓄積することができる。例えば、履歴書などの場合には、本人の住所、氏名などの情報と、本人の学歴や職歴などの情報がこの一対の情報に該当するので、これらを分散して蓄積することになる。
【0173】
さらに、上記実施形態にかかわらず、単に通信端末(パーソナルコンピュータ)15上にあるデータを携帯電話機16に送信するだけならば、前記アプリAP3の機能を利用しなくても、そのための一般的なツールを利用することも可能である。また、通信端末15と携帯電話機16を直接、1対1でケーブルで接続してデータ(ここでは、差出人情報)を送信する場合などには暗号化を施さなくても十分な秘匿性が確保できるため、前記アプリAP3の機能のうち、暗号化したデータを携帯電話機16へ送信する機能は省略できる可能性がある。
【0174】
なお、宛先情報を仮想プリントサーバ13へ送信するには、上記実施形態にかかわらず、FTPプロトコルを利用してもよい。サイズの大きなデータ(例えば、宛先情報)をインターネット経由でサーバ側へ送信するにはFTPが適していることが多い。
【0175】
また、前記携帯電話機16がPIMソフトを搭載している場合などには、前記通信端末15を省略することが可能である。
【0176】
すでに前記PIMファイルPM2などに収容している多数の個人情報を前記差出人情報や宛先情報として再利用でき、小さすぎて使い勝手のよくない携帯電話機16を利用したとしても、ユーザU1の操作負担が大きくないからである。
【0177】
なお、上記実施形態では通信端末15から携帯電話機16へ差出人情報を送信するステップS36でも、通信端末15から仮想プリントサーバ13へ宛先情報を送信するステップS47でも、同じアプリAP3を利用するものとしたが、各場合で異なるアプリを利用するようにしてもよい。
【0178】
上記実施形態ではユーザU1が一人で、年賀状の印刷出力を行ったが、複数のユーザで同一のドキュメント形態を共用できるようにしてもよい。その場合、年賀状の宛先情報や差出人情報は各ユーザごとに異なる。
【0179】
また、ドキュメント形態を共用する場合、前記公開鍵暗号方式に対応した鍵を利用することもできるが、共通鍵暗号方式を利用するのが簡便である。共通鍵の配送方法には様々な方法を用いることができるが、例えば、同じ内容の共通鍵を共用にかかる各ユーザの(例えば携帯電話機の)公開キーで暗号化した上で配送することが考えられる。各ユーザが携帯電話機などを用いてMMK端末や仮想プリントサーバと通信するときには、当該共通鍵による暗号化や復号化を行うことになる。
【0180】
共通鍵は1つの印刷依頼に関する処理が完了した時点で廃棄し、新しい印刷依頼があるたびに、異なる共通鍵を用いるようにすると安全性が高まる。
【0181】
なお、上記実施形態では、アプリに宛先情報や差出人情報などのデータを包含させた状態でアプリとともにこれらのデータを、通信相手(例えば、仮想プリントサーバ13)へ送信するようにしたが、必要に応じて、データだけを送信するようにしてもよいことは当然である。
【0182】
また、上記実施形態には、既存の暗号システムを利用してもかまわない。例えば、ステップS50〜S63のあいだにおけるMMK端末14と仮想プリントサーバ13の通信には、SSLなどを利用することも可能である。
【0183】
さらに、前記CGIプログラムはベンダ固有のプログラムに置換可能である。ベンダ固有のプログラムのほうが、高いスループットが得られる可能性がある。
【0184】
なお、上記実施形態で使用した携帯電話機(16)はその他の携帯通信端末に置換可能である。例えば、PDAや、PHS端末などに置換することができる。
【0185】
また、上記実施形態で使用したMMK端末(14)はその他の種類の通信端末に置換可能である。さらに、上記実施形態では、最終的に印刷出力を行ったが、出力の形態は必ずしも印刷出力である必要はない。例えば、画像出力を最終的な出力の形態とするようにしてもかまわない。
【0186】
なお、上記実施形態では、鍵生成機能を持つアプリ(例えば、AP1,AP2)の配送元がテンプレートなどの配送元と同じ仮想プリントサーバ13であったが、これらの配送元は異なるサーバであってもかまわない。
【0187】
また、上記実施形態にかかわらず、各アプリ等を配送する際には、平文のアプリ等を所定のハッシュ関数で演算した結果であるハッシュ値(ダイジェスト)を付加して、アプリ等の受信側で、改ざんが行われていないことを確認できるようにすることも望ましい。
【0188】
さらに、上記実施形態では、印刷出力前に前記ステップS66で合成するデータは、宛先情報と差出人情報とテンプレートの3種類であったが、合成するデータの種類は、2種類であってもよく、4種類以上であってもよい。
【0189】
以上の説明では主としてソフトウエア的に本発明を実現したが、本発明はハードウエア的に実現することも可能である。
【0190】
【発明の効果】
以上に説明したように、本発明のリモート印刷システム及びリモート印刷サービス方法によれば、ユーザの負担が少なく、可用性や利便性が高い。
【図面の簡単な説明】
【図1】実施形態にかかる通信システムの全体構成例を示す概略図である。
【図2】実施形態で使用する通信端末の内部構成例を示す概略図である。
【図3】実施形態で使用する携帯電話機の内部構成例を示す概略図である。
【図4】実施形態で使用する仮想プリントサーバの内部構成例を示す概略図である。
【図5】実施形態で使用するMMK端末の内部構成例を示す概略図である。
【図6】実施形態の動作例を示すフローチャートである。
【図7】実施形態の動作例を示すフローチャートである。
【図8】実施形態の動作例を示すフローチャートである。
【図9】実施形態の動作例を示すフローチャートである。
【図10】実施形態の動作を示す画面例である。
【図11】実施形態の動作を示す画面例である。
【図12】実施形態の動作を示す画面例である。
【符号の説明】
10…通信システム、11…ネットワーク、12…携帯電話ネットワーク、13…仮想プリントサーバ、14…MMK端末、15…通信端末、16…携帯電話機、20,30,40,50…通信部、21,31,41,51…制御部、22,32,42,52…記憶部、55…印刷部、56…秘密キー対応部、PB3…サーバ公開キー、PV3…サーバ秘密キー、PB4…MMK公開キー、PV4…MMK秘密キー、PB5…PC公開キー、PV5…PC秘密キー、PB6…携帯公開キー、PV6…携帯秘密キー、AP1〜APN…アプリ。

Claims (14)

  1. 性質の異なる複数の要素データから構成される単位データを、各要素データを合成することによって生成するデータ生成システムにおいて、前記複数の要素データのうち、ユーザが秘匿性が高いと認める要素データである高秘匿性要素データを保存するため、ユーザ自身が携帯する携帯通信端末と、前記複数の要素データのうち当該高秘匿性要素データ以外の要素データである低秘匿性要素データを少なくとも一時的に保存するための保存サーバと、
    前記携帯通信端末および保存サーバと通信するためのインタフェースを持ち、前記携帯通信端末から供給された高秘匿性要素データと保存サーバから供給された低秘匿性要素データを合成した上で、前記単位データを構成し、所定の出力形態で出力する合成出力端末とを備えたことを特徴とするデータ生成システム。
  2. 請求項1のデータ生成システムにおいて、
    前記低秘匿性要素データのうち第1の低秘匿性要素データは、前記ユーザから供給を受けたデータであり、第2の低秘匿性要素データは、対応する前記単位データの標準的な形態を示すテンプレートデータで、前記保存サーバがその供給元となることを特徴とするデータ生成システム。
  3. 請求項2のデータ生成システムにおいて、
    前記携帯通信端末のほかに、前記ユーザが、前記高秘匿性要素データまたは第1の低秘匿性要素データを作成するために使用するデータ作成用通信端末を備えることを特徴とするデータ生成システム。
  4. 請求項3のデータ生成システムにおいて、
    各ユーザ固有の所定の暗号鍵の生成機能を持つ可搬性プログラムを、前記携帯通信端末またはデータ作成用通信端末に供給する鍵供給手段を、前記保存サーバの内部または外部に備えたことを特徴とするデータ生成システム。
  5. 暗号鍵として公開鍵系の暗号鍵を利用する場合の請求項4のデータ生成システムにおいて、
    前記第1の低秘匿性要素データは、前記ユーザ以外の者に解読不能な形で、前記保存サーバに一時的に保存させることを特徴とするデータ生成システム。
  6. 請求項5のデータ生成システムにおいて、
    前記第1の低秘匿性要素データは、前記保存サーバに一時的に保存されているとき、少なくとも前記携帯通信端末の公開鍵である携帯用公開鍵で、暗号化された状態にあることを特徴とするデータ生成システム。
  7. 請求項6のデータ生成システムにおいて、
    前記携帯通信端末は、
    当該携帯通信端末からの要求に応じて、前記鍵供給手段が可搬性プログラムを届けると、当該可搬性プログラムが携帯通信端末上の固有のリソースを利用して生成した一対の秘密鍵と公開鍵である携帯用秘密鍵と前記携帯用公開鍵とを保存する携帯用鍵保存部を備え、
    前記データ作成用通信端末は、
    当該携帯通信端末から配送を受けた携帯用公開鍵を用いて、前記第1の低秘匿性要素データを暗号化した上で、前記保存サーバに送信し、保存させることを特徴とするデータ生成システム。
  8. 性質の異なる複数の要素データから構成される単位データを、各要素データを合成することによって生成するデータ生成方法において、
    前記複数の要素データのうち、ユーザが秘匿性が高いと認める要素データである高秘匿性要素データを保存するための携帯通信端末をユーザ自身が携帯し、
    前記複数の要素データのうち当該高秘匿性要素データ以外の要素データである低秘匿性要素データは少なくとも一時的に保存サーバに保存し、
    合成出力端末は、前記携帯通信端末および保存サーバと通信するためのインタフェースを持ち、前記携帯通信端末から供給された高秘匿性要素データと保存サーバから供給された低秘匿性要素データを合成した上で、前記単位データを構成して、所定の出力形態で出力することを特徴とするデータ生成方法。
  9. 請求項8のデータ生成方法において、
    前記低秘匿性要素データのうち第1の低秘匿性要素データは、前記ユーザから供給を受けたデータであり、第2の低秘匿性要素データは、対応する前記単位データの標準的な形態を示すテンプレートデータで、前記保存サーバがその供給元となることを特徴とするデータ生成方法。
  10. 請求項9のデータ生成方法において、
    前記携帯通信端末のほかに、前記ユーザは、前記高秘匿性要素データまたは第1の低秘匿性要素データを作成するためにデータ作成用通信端末を使用することを特徴とするデータ生成方法。
  11. 請求項10のデータ生成方法において、
    各ユーザ固有の所定の暗号鍵の生成機能を持つ可搬性プログラムを、前記携帯通信端末またはデータ作成用通信端末に供給する鍵供給手段を、前記保存サーバの内部または外部に備えたことを特徴とするデータ生成方法。
  12. 暗号鍵として公開鍵系の暗号鍵を利用する場合の請求項11のデータ生成方法において、
    前記第1の低秘匿性要素データは、前記ユーザ以外の者に解読不能な形で、前記保存サーバに一時的に保存させることを特徴とするデータ生成方法。
  13. 請求項12のデータ生成方法において、
    前記第1の低秘匿性要素データは、前記保存サーバに一時的に保存されているとき、少なくとも前記携帯通信端末の公開鍵である携帯用公開鍵で、暗号化された状態にあることを特徴とするデータ生成方法。
  14. 請求項13のデータ生成方法において、
    前記携帯通信端末は、
    当該携帯通信端末からの要求に応じて、前記鍵供給手段が可搬性プログラムを届けると、当該可搬性プログラムが携帯通信端末上の固有のリソースを利用して生成した一対の秘密鍵と公開鍵とである携帯用秘密鍵と前記携帯用公開鍵とを、携帯用鍵保存部に保存し、
    前記データ作成用通信端末は、
    当該携帯通信端末から配送を受けた当該携帯用公開鍵を用いて、前記第1の低秘匿性要素データを暗号化した上で、前記保存サーバに送信し、保存させることを特徴とするデータ生成方法。
JP2002274794A 2002-09-20 2002-09-20 データ生成システム及びデータ生成方法 Pending JP2004112598A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002274794A JP2004112598A (ja) 2002-09-20 2002-09-20 データ生成システム及びデータ生成方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002274794A JP2004112598A (ja) 2002-09-20 2002-09-20 データ生成システム及びデータ生成方法

Publications (1)

Publication Number Publication Date
JP2004112598A true JP2004112598A (ja) 2004-04-08

Family

ID=32271166

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002274794A Pending JP2004112598A (ja) 2002-09-20 2002-09-20 データ生成システム及びデータ生成方法

Country Status (1)

Country Link
JP (1) JP2004112598A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014021822A (ja) * 2012-07-20 2014-02-03 Ricoh Co Ltd 画像処理システム、制御プログラム及び画像処理方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014021822A (ja) * 2012-07-20 2014-02-03 Ricoh Co Ltd 画像処理システム、制御プログラム及び画像処理方法

Similar Documents

Publication Publication Date Title
US8005904B2 (en) Electronic business card exchange system and method
JP4991035B2 (ja) 遠隔解読サービスを備えたセキュアメッセージシステム
US9537864B2 (en) Encryption system using web browsers and untrusted web servers
US6665709B1 (en) Method, apparatus, and system for secure data transport
US20040010699A1 (en) Secure data management techniques
US20020023213A1 (en) Encryption system that dynamically locates keys
US20040120525A1 (en) System and method for storage and retrieval of cryptographic keys
US20030135507A1 (en) System and method for managing and securing meta data using central repository
US8281380B2 (en) Information processing system and computer-readable recording medium
JP2006101469A (ja) 電子名刺を交換する端末
JP4040886B2 (ja) コンテンツ管理システムおよびコンテンツ管理方法
US20060059544A1 (en) Distributed secure repository
CN104662870A (zh) 数据安全管理系统
WO2006040806A1 (ja) 暗号鍵配信システム
JPH09179768A (ja) ファイル暗号化システム及びファイル復号化システム
CN107332666A (zh) 终端文件加密方法
JP2005209181A (ja) ファイル管理システム及び管理方法
WO2022242572A1 (zh) 一种个人数字身份管理系统与方法
JPH09321748A (ja) 共有暗号鍵による通信システム、同システム用サーバ装置、同システム用クライアント装置、及び通信システムにおける暗号鍵の共有方法
JP2007142504A (ja) 情報処理システム
Setiawan et al. Design of secure electronic disposition applications by applying blowfish, SHA-512, and RSA digital signature algorithms to government institution
JP7516798B2 (ja) ドキュメント管理システム、処理端末装置及び制御装置
JPH11331145A (ja) 情報共有システム、情報保管装置およびそれらの情報処理方法、並びに記録媒体
JP2004295807A (ja) 配信用文書ファイル作成システム
JP2004112598A (ja) データ生成システム及びデータ生成方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050830

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20051031

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20051129