JP2014087010A - 画像形成装置、サーバー装置、情報処理方法及びプログラム - Google Patents
画像形成装置、サーバー装置、情報処理方法及びプログラム Download PDFInfo
- Publication number
- JP2014087010A JP2014087010A JP2012236954A JP2012236954A JP2014087010A JP 2014087010 A JP2014087010 A JP 2014087010A JP 2012236954 A JP2012236954 A JP 2012236954A JP 2012236954 A JP2012236954 A JP 2012236954A JP 2014087010 A JP2014087010 A JP 2014087010A
- Authority
- JP
- Japan
- Prior art keywords
- authentication information
- information
- forming apparatus
- image forming
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/61—Installation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Accessory Devices And Overall Control Thereof (AREA)
Abstract
【解決手段】サーバー装置のサービスを利用する画像形成装置であって、画像形成装置の暗号化された共通認証情報と、共通認証情報を復号化する秘密鍵情報とを含むアプリケーションプログラムをインストールして不揮発性メモリに展開し、前記共通認証情報を前記秘密鍵情報に基づいて復号化して揮発性メモリに格納し、復号化した共通認証情報と、管理している画像形成装置を識別する識別情報とに基づいてサーバー装置に対して画像形成装置の暗号化された個体認証情報を要求し、前記個体認証情報をサーバー装置から取得し、取得した前記個体認証情報を復号化した個体認証情報と、管理しているサービス利用情報とに基づいてサーバー装置に対してサービスの利用許可情報を要求し、利用許可情報をサーバー装置から取得することによって課題を解決する。
【選択図】図15
Description
クラウドサービスではプリント機能等が提供され、ユーザーは、パーソナルコンピュータやモバイル端末等を利用し、インターネットを経由して、ドライバソフトを使用することなく印刷リクエストを任意の画像形成装置に投入することができる。クラウドサービスの印刷リクエストを受け取る画像形成装置は、クラウドサービスのプリント機能を利用するためのアプリケーションプログラムを予めインストールしておくことで、印刷リクエストを受け取り、印刷を実行する。
また、画像形成装置が、サーバーと連携して印刷する際の不正利用を防止することが特許文献1に開示されている。
本発明はこのような問題点に鑑みてなされたもので、セキュリティ上のリスクを低減することを目的とする。
図1は、本実施形態のシステム構成の一例を示す図である。
本実施形態のシステムは、画像形成装置300、クラウドサービス200、WAN(WideAreaNetwork)100、LAN(LocalAreaNetwork)101を含む。なお、本実施形態では、WorldWideWeb(WWW)システムが構築されているものとする。
クラウドサービス200は、クラウドサービスを提供するサーバーであり、認証サービス及び印刷サービスや帳票サービス等を提供できる。そのため、クラウドサーバーと呼ぶこともできる。なお、各サービス単位にサーバーが設置されても良い。以降、帳票サービスや印刷サービスのように、インターネット上で機能を提供しているサービスを、リソースサービスと呼ぶ。
画像形成装置300には、1つ又は複数のリソースサービス連携アプリケーションプログラムがインストールされている。ユーザーは、それらのリソースサービス連携アプリケーションを用いてリソースサービスを利用する。
クラウドサービス200及び画像形成装置300は、それぞれWAN100及びLAN101を介して接続されている。なお、クラウドサービス200及び画像形成装置300は、それぞれ個別のLAN上に構成されていてもよいし、同一のLAN上に構成されていてもよい。
図2は、クラウドサービス200及び画像形成装置300のハードウェア構成の一例を示す図である。なお、クラウドサービス200と、画像形成装置300とは、WAN100及びLAN101を介して互いに通信可能である。
まず、クラウドサービス200のハードウェア構成について説明する。なお、図2に示されるハードウェア構成図は、一般的な情報処理装置のハードウェア構成図に相当するものであり、本実施形態のクラウドサービス200を提供するサーバーに対しても適用できる。
CPU201は、不揮発性メモリであるROM203のプログラムROMに記憶された、又はハードディスク(HD)等の不揮発性の外部メモリ211からRAM202にロードされたOSやアプリケーション等のプログラムを実行する。そして、CPU201は、システムバス204に接続される各ブロックを制御する。ここでOSとはコンピュータ上で稼動するオペレーティングシステムの略語であり、以下オペレーティングシステムのことをOSと呼ぶ。
また、CPU201は、上記のプログラムを実行することにより後述のクラウドサービス200の機能(ソフトウェア構成)及びクラウドサービス200に関するフローチャートに係る処理を実現する。
キーボードコントローラ(KBC)205は、キーボード209や不図示のポインティングデバイスからのキー入力を制御する。
CRTコントローラ(CRTC)206は、CRTディスプレイ210の表示を制御する。
ディスクコントローラ(DKC)207は、各種データを記憶するハードディスク(HD)等の外部メモリ211におけるデータアクセスを制御する。
ネットワークコントローラ(NC)208は、WAN100、LAN101を介して接続された画像形成装置300や他の機器との通信制御処理を実行する。
なお、上述したように、CPU201が、プログラムを実行することによってクラウドサービス200(モジュール)が実現されるが、説明の簡略化のため、クラウドサービス200が処理を行う様に説明する場合もある。
CPU301は、不揮発性メモリであるROM302や、不揮発性の外部メモリ303に記憶された制御プログラムに基づいてシステムバス304に接続される各ブロックを制御する。CPU301は、生成した画像信号を、印刷部I/F305を介して、印刷部(画像形成装置エンジン)306に出力情報として出力する。CPU301は、入力部307、ネットワーク部310を介してクラウドサービス200との通信処理が可能であり、画像形成装置300内の情報等をクラウドサービス200に通知することができる。
また、CPU301は、上記のプログラムを実行することにより後述の画像形成装置300のソフトウェアの機能(ソフトウェア構成)及び画像形成装置300に関するフローチャートに係る処理を実現する。
ROM302内のプログラムROMは、CPU301の制御プログラム等を記憶している。ROM302内のフォントROMは、出力情報を生成する際に使用するフォントデータ等を記憶している。ROM302内のデータ用ROMは、ハードディスク等の外部メモリ303が無い画像形成装置の場合、クラウドサービス200と送受信を行う情報等を記憶している。
外部メモリ303は、メモリコントローラ(MC)309によりアクセスが制御される。外部メモリ303は、オプションとして接続され、フォントデータ、エミュレーションプログラム、フォームデータ等を記憶する。
操作部311は、操作のためのスイッチ及びLED表示器等を含む。
なお、CPU301が、プログラムを実行することによってアプリケーションが実現されるが、説明の簡略化のため、アプリケーションが処理を行う様に説明する場合もある。
画像形成装置300に追加するアプリケーションプログラムにはクラウドサービス200へのアクセス処理の手続き内容が記載され、画像形成装置300にインストールされると画像形成装置300のCPU301による実行時に読み取り可能な形式でハードディスクに展開される。そして、画像形成装置300のCPU301が前記内容に基づきクラウドサービス200を呼び出す。
画像形成装置300は、クラウドサービス200へアクセスするために、デフォルトクレデンシャル及びデバイスクレデンシャルを用いる。デフォルトクレデンシャルとは、クラウドサービス200へアクセスするための画像形成装置300共通のデフォルトとなる共通鍵(以下、初期共通鍵と称する。)である。つまり、複数の画像形成装置300は、同じ初期共通鍵を備える。デバイスクレデンシャルとは、クラウドサービスへのアクセスをデバイス毎に許可する認証鍵(以下、個体固有鍵と称する。)である。つまり、複数の画像形成装置300は、それぞれ異なる個体固有鍵を備える。
なお、読み取り可能な形式で展開されたデータの保全を目的に、ユーザーは画像形成装置300のハードディスクを取り外すことも可能である。
秘密鍵管理部3001は、初期共通鍵管理部3002及び個体固有鍵管理部3004が保有する暗号化データを復号化するための鍵を管理する。
初期共通鍵管理部3002は、暗号化した状態の初期共通鍵を管理する。また、初期共通鍵管理部3002は、暗号化して初期共通鍵を格納したり、暗号化した初期共通鍵を返したり、管理する初期共通鍵を削除したりする機能を提供する。なお、初期共通鍵は、画像形成装置の共通認証情報の一例である。
個体固有鍵取得部3003は、初期共通鍵管理部3002から取得した暗号化された初期共通鍵と、後述の個体識別情報管理部3007から取得した情報とを使用して、個体固有鍵をクラウドサービス200から取得する。なお、個体固有鍵は、画像形成装置の個体認証情報の一例である。
個体固有鍵管理部3004は、個体固有鍵取得部3003で取得した個体固有鍵を管理する。また、個体固有鍵管理部3004は、個体固有鍵取得部3003で取得した個体固有鍵を暗号化して保有し、取得依頼を受けると暗号化した個体固有鍵を返す。
操作許可証管理部3006は、操作許可証取得部3005で取得した操作許可証を管理し、管理する操作許可証を提供する。
個体識別情報管理部3007は、画像形成装置300のデバイス識別情報を管理し、管理するデバイス識別情報を提供する。
アプリケーション識別情報管理部3008は、アプリケーションプログラムが保有する固有の識別情報を管理し、管理する識別情報を提供する。
アプリケーションインストール部3009は、画像形成装置300にアプリケーションプログラムをインストールして展開するための機能を提供する。
発行済み個体固有鍵管理部3014は、個体固有鍵発行部3013が発行した個体固有鍵情報を管理する。
操作許可証発行部3015は、画像形成装置300から個体固有鍵、アプリケーションプログラムの識別情報、及び入力情報を受け取り、操作許可証を発行する。
発行済み操作許可証管理部3016は、操作許可証発行部3015が発行した操作許可証情報を管理する。
制御部3010及び3017は、ROM302及び203に格納されているアプリケーションプログラムに基づいて、各種機能の管理や呼び出し等の各機能の処理の制御を行う。
ネットワークI/F3012及び3019は、ネットワークコントローラ208及び310と同様に構成されるものであり、他機器とネットワークによる通信を行うためのネットワーク機器である。
図4に示されるテーブルは、用途401毎に利用可能な秘密鍵情報402を、初期共通鍵用403と、個体固有鍵用405との2件含む。秘密鍵管理部3001は、各用途が指定されることで対応する秘密鍵情報404又は406を返す。なお、初期共通鍵用の秘密鍵情報は、アクセストークン取得アプリケーションをインストールすることで取得され、個体固有鍵用の秘密鍵情報は、後述の図13AのS1308により取得される。
図5は、初期共通鍵管理部3002が管理するテーブルの一例を示す図である。
図5に示されるテーブルは、利用可能な初期共通鍵情報501に対応する暗号化した初期共通鍵"DF−ZZZ"502の情報を1件含む。本実施形態のデータでは、説明の便宜上、可読データ"DF−ZZZ"502が記載されている。
図6に示されるテーブルは、デバイス識別情報(以後、個体識別情報という)600に対応する利用可能な個体固有鍵601を1件含む。より具体的には、個体識別情報が"1001"602であり、対応する個体固有鍵が"DC−1001"603である。なお、個体固有鍵管理部3004は、個体固有鍵601を暗号化して格納する。本実施形態のデータでは、説明の便宜上、可読データが記載されている。
図7は、操作許可証管理部3006が管理するテーブルの一例を示す図である。
図7に示されるテーブルは、個体固有鍵701、アプリケーション識別情報702、アプリケーション入力情報703に対応して取得した操作許可証704を1件含む。より具体的には、個体固有鍵"DC−1001"705、アプリケーション識別情報"Appl−0002"706、アプリケーション入力情報"USER−AA"707、操作許可証"AT−00A"708である。なお、アプリケーション入力情報とは、クラウドサービス200を利用するために入力が必須なユーザー名称、パスワード、アクセス先のサーバー情報等、いわゆる認証情報が挙げられる。アプリケーション入力情報は、サービスを利用するためのサービス認証情報の一例である。
図8に示されるテーブルは、デバイスに関連する情報として、個体識別情報800及び個体名称801を1件含む。より具体的には、個体識別情報が"1001"802であり、対応する個体名称が"個体xxx−yyy"803である。
図9は、アプリケーション識別情報管理部3008が管理するテーブルの一例を示す図である。
図9に示されるテーブルは、アプリケーション識別情報900に対応するアプリケーション名称902及び初期共通鍵の有無の情報を2件含む。なお、図9に示されるテーブルは、利用可能なアプリケーションプログラムが画像形成装置300に2件インストールされている状態を示している。なお、図9のテーブルは、後述する図12のS1206の処理により生成される。初期共通鍵907は、初期共通鍵を保有するアプリケーションプログラムであるか否かを示す。より具体的には、"Appl−0001"903に対応する"アクセストークン取得アプリケーション"904は、暗号化された初期共通鍵を含むアプリケーションプログラムである。"Appl−0002"905に対応する"印刷アプリケーション"906は、暗号化された初期共通鍵を含まないアプリケーションプログラムである。
図10に示されるテーブルは、個体識別情報1001に対応する個体固有鍵1002及び状態1003を1件含む。図10に示されるテーブルは、発行済み個体固有鍵を1件含んでいる。より具体的には、個体識別情報が"1001"1004に対応する個体固有鍵は"DC−1001"1005であり、状態は"発行済み"1006である。
図11は、発行済み操作許可証管理部3016が管理するテーブルの一例を示す図である。
図11に示されるテーブルは、個体固有鍵1101、アプリケーション識別情報1102、アプリケーション入力情報1103に対応して発行された操作許可証1104及び状態1105を1件含む。より具体的には、データキーは、個体固有鍵"DC−1001"1106、アプリケーション識別情報"Appl−0002"1107、アプリケーション入力情報"USER−AA"1108である。対応データは、操作許可証"AT−00A"1109及び状態"発行済み"1110である。
S1200において、制御部3010は、インストール対象のアプリケーション情報を特定する。より具体的には、制御部3010は、インストール対象のアプリケーションプログラムから、例えば、アプリケーション識別情報やアプリケーション名称を取得することで、S1200の処理を実現する。
S1201において、制御部3010は、インストール対象のアプリケーションプログラムが暗号化された初期共通鍵を含んでいる否かを判定する。制御部3010は、アプリケーションプログラムが初期共通鍵を含んでいるか否かを、アプリケーション識別情報管理部3008が管理する図9に示されるテーブルの初期共通鍵907の情報を取得することで判定する。より具体的には、制御部3010は、図9に示されるテーブルから、S1200で特定したインストール対象のアプリケーション情報に対応する初期共通鍵の情報を検索し、暗号化された初期共通鍵を含んでいるか否かを判定する。なお、図9のテーブルはS1206の処理により生成されるため、画像形成装置300が最初にアプリケーションをインストールする場合、図9のテーブルは存在しない。よって、画像形成装置300が最初にアプリケーションをインストールする場合、制御部3010は、S1201でNoと判定する。制御部3010は、インストール対象のアプリケーションプログラムが暗号化された初期共通鍵を含んでいると判定した場合、処理をS1202へ進め、含んでいないと判定した場合、処理をS1206へ進める。
S1202において、制御部3010は、個体固有鍵管理部3004が管理する情報を取得し、個体固有鍵を取得済みであるか否かを判定する。より具体的には、制御部3010は、個体固有鍵管理部3004が管理する図6に示されるテーブルを検索することにより個体固有鍵を取得済みであるか否かを判定する。制御部3010は、個体固有鍵を取得済みであると判定した場合、処理をS1203へ進め、取得していないと判定した場合、処理をS1204へ進める。
S1204において、制御部3010は、インストール対象のアプリケーションプログラムに含まれる暗号化された初期共通鍵を初期共通鍵管理部3002に渡す。
S1206において、制御部3010は、インストール対象のアプリケーションプログラムに含まれるアプリケーション識別情報やアプリケーション名称をアプリケーション識別情報管理部3008に渡す。なお、アプリケーション識別情報管理部3008は、制御部3010から渡されたアプリケーション識別情報やアプリケーション名称を管理することで図9のテーブルが生成される。
S1207において、制御部3010は、インストール対象のアプリケーションプログラムを外部メモリ303に格納する。
S1300において、制御部3010は、個体固有鍵管理部3004が保有する情報を取得し、個体固有鍵を取得済みであるか否かを判定する。より具体的には、制御部3010は、個体固有鍵管理部3004が保有する図6に示されるテーブルの個体固有鍵601を取得することで、個体固有鍵を取得済みであるか否かを判定する。制御部3010は、個体固有鍵を取得済みであると判定した場合、処理を終了し、取得済みでないと判定した場合、処理をS1301に進める。
S1301において、制御部3010は、秘密鍵管理部3001から初期共通鍵用の秘密鍵情報"xxx−yyy−zzz"404を取得する。
S1302において、制御部3010は、初期共通鍵管理部3002が保有する暗号化された初期共通鍵"DF−ZZZ"502を取得する。
S1303において、制御部3010は、S1301で取得した初期共通鍵用の秘密鍵情報404を使用してS1302で取得した暗号化された初期共通鍵を復号化する。
S1304において、制御部3010は、S1303において復号化した初期共通鍵をRAM308に記憶する。
S1306において、制御部3010は、S1305で取得した個体識別情報をRAM308に記憶する。
S1307において、制御部3010は、RAM308から復号化した初期共通鍵"DF−ZZZ"及び個体識別情報"1001"を取得する。そして、制御部3010は、取得した情報を引数に、ネットワークI/F3012を介してクラウドサービス200から後述する図13Bの個体固有鍵発行処理を呼び出し、個体固有鍵の取得を要求する。前記個体固有鍵の取得は、個体認証情報取得処理の一例である。
S1308において、制御部3010は、ネットワークI/F3012を介して、後述する図13Bのクラウドサービス200による個体固有鍵発行処理の処理結果の個体固有鍵を取得する。そして、制御部3010は、取得した個体固有鍵を個体固有鍵管理部3004に渡す。個体固有鍵管理部3004は、個体識別情報"1001"に対応する個体固有鍵"DC−1001"を格納する。また、制御部3010は、同梱されて渡される個体固有鍵を復号化するため秘密鍵を、秘密鍵管理部3001に渡す。秘密鍵管理部3001は、制御部3010から渡された秘密鍵を個体固有鍵用405の秘密鍵情報406として格納する。
S1309において、制御部3010は、初期共通鍵管理部3002が保有する暗号化された初期共通鍵を削除する。
S1310において、制御部3017は、ネットワークI/F3019を介して画像形成装置300から取得する初期共通鍵と、個体識別情報とを特定する。本実施形態では、画像形成装置300からクラウドサービス200に、初期共通鍵"DF−ZZZ"と、デバイス識別情報"1001"とが渡される。
S1311において、制御部3017は、S1310で特定した情報を基に個体固有鍵発行処理を実行し、個体固有鍵を発行する。本実施形態では、制御部3017は、個体固有鍵"DC−1001"を発行する。
S1312において、制御部3017は、S1311で発行した個体固有鍵を発行済み個体固有鍵管理部3014に渡す。発行済み個体固有鍵管理部3014は、制御部3017から渡されたデータの個体識別情報"1001"1004に対応するデータを格納する。より具体的には、発行済み個体固有鍵管理部3014は、S1311で発行された個体固有鍵"DC−1001"1005の状態が"発行済み"1006であるデータを格納する。
S1313において、制御部3017は、S1312で発行した個体固有鍵をネットワークI/F3019を介して画像形成装置300に返す。なお、制御部3017は、個体固有鍵を暗号化して返す際に、暗号化した個体固有鍵を復号化するための秘密鍵も同梱して返す。上記の個体固有鍵を発行し、画像形成装置300に送信する一連の処理は、個体認証情報発行処理の一例である。
S1400において、制御部3010は、個体固有鍵管理部3004が保有する情報を取得し、個体固有鍵を取得済みであるか否かを判定する。より具体的には、制御部3010は、個体固有鍵管理部3004が管理する図6に示されるテーブルの個体固有鍵601を取得することで、個体固有鍵を取得済みであるか否かを判定する。制御部3010は、個体固有鍵を取得済みであると判定した場合、処理をS1401へ進め、取得済みでないと判定した場合、処理をS1411へ進める。
S1401において、制御部3010は、秘密鍵管理部3001から個体固有鍵用の秘密鍵情報"vvv−www−aaa"406を取得する。
S1402において、制御部3010は、個体固有鍵管理部3004が保有する暗号化された個体固有鍵を取得する。より具体的には、制御部3010は、個体識別情報"1001"602に対応する暗号化された個体固有鍵"DC−1001"603を個体固有鍵管理部3004から取得する。
S1404において、制御部3010は、S1403において復号化した個体固有鍵をRAM308に格納する。
S1405において、制御部3010は、操作許可証取得依頼元のアプリケーションプログラムを特定し、特定したアプリケーションプログラムの識別情報をアプリケーション識別情報管理部3008から取得する。本実施形態では、操作許可証取得依頼元のアプリケーションプログラムは、アプリケーション識別情報"Appl−0002"905のアプリケーションプログラムであるとする。
S1406において、制御部3010は、S1405で特定したアプリケーション識別情報をRAM308に格納する。本実施形態では、上述したようにS1405で特定したアプリケーション識別情報は、"Appl−0002"905であるとする。
S1408において、制御部3010は、S1407で特定したアプリケーション入力情報をRAM308に格納する。本実施形態では、アプリケーション入力情報は、"USER−AA"とする。
S1409において、制御部3010は、RAM308から、復号化した個体固有鍵"DC−1001"、アプリケーション識別情報"Appl−0002"及びアプリケーション入力情報"USER−AA"を取得する。制御部3010は、RAM308から取得した上記の情報を引数に、ネットワークI/F3012を介して、後述する図14Bのクラウドサービス200による操作許可証発行処理を呼び出す。なお、アプリケーション識別情報及びアプリケーション入力情報は、サービスを利用するためのサービス利用情報の一例である。
S1410において、制御部3010は、ネットワークI/F3012を介して、後述する図14Bのクラウドサービス200による操作許可証発行処理の処理結果の操作許可証の取得を要求する。前記操作許可証の取得は、利用許可情報取得処理の一例である。制御部3010は、クラウドサービス200から取得した操作許可証を操作許可証管理部3006に渡す。制御部3010が操作許可証管理部3006に渡すデータキーは、個体固有鍵"DC−1001"705、アプリケーション識別情報"Appl−0002"706、アプリケーション入力情報"USER−AA"707である。操作許可証管理部3006は、データキーに操作許可証"AT−00A"708を対応付けて格納する。
S1411において、制御部3010は、上述した図13Aのフローチャートに示されるS1300からS1313までの個体固有鍵取得処理を実行する。
S1412において、制御部3017は、ネットワークI/F3019を介して画像形成装置300から取得する個体固有鍵、アプリケーション識別情報及びアプリケーション入力情報を特定する。本実施形態では、制御部3017が特定するデータは、個体固有鍵"DC−1001"、アプリケーション識別情報"Appl−0002"及びアプリケーション入力情報"USER−AA"である。
S1413において、制御部3017は、S1412で特定した情報を基に、操作許可証発行処理を実行し操作許可証を発行する。本実施形態では、制御部3017は、操作許可証発行処理において、"AT−00A"を発行するものとする。
S1414において、制御部3017は、S1413で発行した操作許可証"AT−00A"を発行済み操作許可証管理部3016に渡す。発行済み操作許可証管理部3016は、個体固有鍵"DC−1001"1106、アプリケーション識別情報"Appl−0
002"1107、アプリケーション入力情報"USER−AA"1108の対応データを格納する。本実施形態における対応データとは、操作許可証"AT−00A"1109及び状態"発行済み"1110である。
S1415において、制御部3017は、S1313で発行した操作許可証の処理結果をネットワークI/F3019を介して画像形成装置300に返す。上記の操作許可証を発行し、画像形成装置300に送信する一連の処理は、利用許可情報発行処理の一例である。
以上の処理により、S1405で特定されたアプリケーションが、操作許可証を使ってクラウドサービスと連携することが可能となる。
S1500において、プリント機能を利用するアプリケーション1500は、クラウドサービス200の利用を開始するために操作許可証取得部3005に対して、操作許可証取得依頼を行う。操作許可証の取得依頼を認識した操作許可証取得部3005は、前記操作許可証を取得するまでの処理シーケンスであるS1401からS1409までの処理、及びS1410の処理を実行する。なお、上述した通り、S1400において、個体固有鍵取得部3003は、個体固有鍵を取得済みである。
操作許可証取得部3005は、S1401からS1409までの処理を実行する。S1409において、個体固有鍵"DC−1001"、アプリケーション識別情報"Appl−0002"、アプリケーション入力情報"USER−AA"を引数として、操作許可証発行部3015による操作許可証発行処理を呼び出す。
S1415において、制御部3017は、S1313で発行した操作許可証の処理結果をネットワークI/F3019を介して画像形成装置300に返す。
S1410において、操作許可証取得部3005は、操作許可証を操作許可証管理部3006に渡す。
S1501において、アプリケーション1500は、操作許可証取得部3005に対して依頼をした操作許可証"AT−00A"を対応するデータと共に取得することになる。
(1)何万台もの画像形成装置分のアプリケーション毎に、利用されるかどうか不明な個体固有鍵をクラウドサービスが発行しておく。
(2)画像形成装置の個体毎のアプリケーションに、(1)で発行した個体固有鍵を組み込んでリリースできるように管理する。
(3)ユーザーが画像形成装置を購入した場合、購入された画像形成装置の個体に対応するアプリケーションをリリースする。
本実施形態では、画像形成装置300は、クラウドサービス200にアクセスするための初期共通鍵、個体固有鍵を暗号化して格納するため、セキュリティ上のリスクを軽減することができる。また、画像形成装置300がクラウドサービス200からアプリケーションの機能を実行するための操作許可証を取得するためには個体固有鍵が必須となるため、セキュリティ上のリスクを軽減することができる。
本実施形態では、画像形成装置300が操作許可証を取得するためのアクセストークン取得アプリケーション904をインストールした状態では、初期共通鍵のみが画像形成装置300に格納された状態である。この状態では、悪意あるアプリケーションがクラウドサービス200にアクセスできない。更に、画像形成装置300が個体固有鍵を取得する処理を実行することで、個体固有鍵及び操作許可証が画像形成装置に格納された状態となる。この状態では、印刷アプリケーション906用の操作許可証が発行されているため、クラウドサービス200にアクセス可能である。しかし、悪意あるアプリケーションは、操作許可証が発行されていないため、クラウドサービス200にアクセスすることができない。
また、本実施形態は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(又はCPUやMPU等)がプログラムを読み出して実行する処理である。
Claims (13)
- ネットワークを介して通信可能なサーバー装置が提供するサービスを利用する画像形成装置であって、
前記画像形成装置の暗号化された共通認証情報と、前記共通認証情報を復号化する秘密鍵情報とを含むアプリケーションプログラムをインストールして不揮発性メモリに展開する展開手段と、
前記展開手段により展開された前記アプリケーションプログラムに含まれる前記暗号化された共通認証情報を、前記アプリケーションプログラムに含まれる前記暗号化された共通認証情報を復号化する秘密鍵情報に基づいて復号化して揮発性メモリに格納する復号化手段と、
前記復号化手段により復号化された共通認証情報と、管理している前記画像形成装置を識別する識別情報とに基づいて前記サーバー装置に対して前記画像形成装置の暗号化された個体認証情報を要求し、前記暗号化された個体認証情報を前記サーバー装置から取得する個体認証情報取得手段と、
前記個体認証情報取得手段により取得された前記暗号化された個体認証情報を復号化した個体認証情報と、管理している前記サービスを利用するためのサービス利用情報とに基づいて前記サーバー装置に対して前記サービスの利用許可情報を要求し、前記利用許可情報を前記サーバー装置から取得する利用許可情報取得手段と、
を有する画像形成装置。 - 前記個体認証情報取得手段により前記暗号化された個体認証情報が取得されると、前記展開手段により前記不揮発性メモリに展開された前記アプリケーションプログラムに含まれる前記暗号化された共通認証情報を削除する削除手段を更に有する請求項1記載の画像形成装置。
- 前記展開手段は、前記不揮発性メモリに前記暗号化された個体認証情報が格納されていない場合、前記暗号化された共通認証情報と、前記暗号化された共通認証情報を復号化する秘密鍵情報とを不揮発性メモリに格納する請求項1又は2記載の画像形成装置。
- 前記個体認証情報取得手段は、取得した前記暗号化された個体認証情報を前記不揮発性メモリに格納する請求項1乃至3何れか1項記載の画像形成装置。
- 前記個体認証情報取得手段は、前記サーバー装置から前記暗号化された個体認証情報を復号化する秘密鍵情報を更に取得し、
前記利用許可情報取得手段は、前記個体認証情報取得手段により取得された前記暗号化された個体認証情報を、前記個体認証情報取得手段により取得された前記暗号化された個体認証情報を復号化する秘密鍵情報に基づいて復号化した個体認証情報と、管理している前記サービスを利用するための情報とに基づいて前記サーバー装置に対して前記サービスの利用許可情報を要求し、前記利用許可情報を前記サーバー装置から取得する請求項1乃至4何れか1項記載の画像形成装置。 - 前記サービス利用情報とは、前記サービスを利用するためのアプリケーションプログラムを識別する識別情報と、前記サービスを利用するためのサービス認証情報とであり、
前記利用許可情報取得手段は、前記個体認証情報と、前記サービス利用情報とに基づいて前記サーバー装置に対して前記サービスの利用許可情報を要求し、前記利用許可情報を前記サーバー装置から取得する請求項1乃至5何れか1項記載の画像形成装置。 - ネットワークを介して通信可能な画像形成装置にサービスを提供するサーバー装置であって、
前記画像形成装置から受信した前記画像形成装置の共通認証情報と、前記画像形成装置を識別する識別情報とに基づいて特定した前記画像形成装置の暗号化された個体認証情報を発行し、前記画像形成装置に送信する個体認証情報発行手段と、
前記画像形成装置から受信した、前記個体認証情報発行手段により送信された前記暗号化された個体認証情報を復号化した個体認証情報と、前記サービスを利用するためのサービス利用情報とに基づいて、前記サービスの利用許可情報を発行し、前記画像形成装置に送信する利用許可情報発行手段と、
を有するサーバー装置。 - 前記個体認証情報発行手段は、発行した前記暗号化された個体認証情報と共に、前記暗号化された個体認証情報を復号化するための秘密鍵情報を前記画像形成装置に送信する請求項7記載のサーバー装置。
- 前記サービス利用情報とは、前記サービスを利用するためのアプリケーションプログラムを識別する識別情報と、前記サービスを利用するためのサービス認証情報とであり、
前記利用許可情報発行手段は、前記個体認証情報と、前記サービス利用情報とに基づいて、前記サービスの利用許可情報を発行し、前記画像形成装置に送信する請求項7又は8記載のサーバー装置。 - ネットワークを介して通信可能なサーバー装置が提供するサービスを利用する画像形成装置が実行する情報処理方法であって、
前記画像形成装置の暗号化された共通認証情報と、前記共通認証情報を復号化する秘密鍵情報とを含むアプリケーションプログラムをインストールして不揮発性メモリに展開する展開ステップと、
前記展開ステップにより展開された前記アプリケーションプログラムに含まれる前記暗号化された共通認証情報を、前記アプリケーションプログラムに含まれる前記暗号化された共通認証情報を復号化する秘密鍵情報に基づいて復号化して揮発性メモリに格納する復号化ステップと、
前記復号化ステップにより復号化された共通認証情報と、管理している前記画像形成装置を識別する識別情報とに基づいて前記サーバー装置に対して前記画像形成装置の暗号化された個体認証情報を要求し、前記暗号化された個体認証情報を前記サーバー装置から取得する個体認証情報取得ステップと、
前記個体認証情報取得ステップにより取得された前記暗号化された個体認証情報を復号化した個体認証情報と、管理している前記サービスを利用するためのサービス利用情報とに基づいて前記サーバー装置に対して前記サービスの利用許可情報を要求し、前記利用許可情報を前記サーバー装置から取得する利用許可情報取得ステップと、
を含む情報処理方法。 - ネットワークを介して通信可能な画像形成装置にサービスを提供するサーバー装置が実行する情報処理方法であって、
前記画像形成装置から受信した前記画像形成装置の共通認証情報と、前記画像形成装置を識別する識別情報とに基づいて特定した前記画像形成装置の暗号化された個体認証情報を発行し、前記画像形成装置に送信する個体認証情報発行ステップと、
前記画像形成装置から受信した、前記個体認証情報発行ステップにより送信された前記暗号化された個体認証情報を復号化した個体認証情報と、前記サービスを利用するためのサービス利用情報とに基づいて、前記サービスの利用許可情報を発行し、前記画像形成装置に送信する利用許可情報発行ステップと、
を含む情報処理方法。 - ネットワークを介して通信可能なサーバー装置が提供するサービスを利用するコンピュータに、
前記コンピュータの暗号化された共通認証情報と、前記共通認証情報を復号化する秘密鍵情報とを含むアプリケーションプログラムをインストールして不揮発性メモリに展開する展開ステップと、
前記展開ステップにより展開された前記アプリケーションプログラムに含まれる前記暗号化された共通認証情報を、前記アプリケーションプログラムに含まれる前記暗号化された共通認証情報を復号化する秘密鍵情報に基づいて復号化して揮発性メモリに格納する復号化ステップと、
前記復号化ステップにより復号化された共通認証情報と、管理している前記コンピュータを識別する識別情報とに基づいて前記サーバー装置に対して前記コンピュータの暗号化された個体認証情報を要求し、前記暗号化された個体認証情報を前記サーバー装置から取得する個体認証情報取得ステップと、
前記個体認証情報取得ステップにより取得された前記暗号化された個体認証情報を復号化した個体認証情報と、管理している前記サービスを利用するためのサービス利用情報とに基づいて前記サーバー装置に対して前記サービスの利用許可情報を要求し、前記利用許可情報を前記サーバー装置から取得する利用許可情報取得ステップと、
を実行させるプログラム。 - ネットワークを介して通信可能な画像形成装置にサービスを提供するコンピュータに、
前記画像形成装置から受信した前記画像形成装置の共通認証情報と、前記画像形成装置を識別する識別情報とに基づいて特定した前記画像形成装置の暗号化された個体認証情報を発行し、前記画像形成装置に送信する個体認証情報発行ステップと、
前記画像形成装置から受信した、前記個体認証情報発行ステップにより送信された前記暗号化された個体認証情報を復号化した個体認証情報と、前記サービスを利用するためのサービス利用情報とに基づいて、前記サービスの利用許可情報を発行し、前記画像形成装置に送信する利用許可情報発行ステップと、
を実行させるプログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012236954A JP6039364B2 (ja) | 2012-10-26 | 2012-10-26 | 画像形成装置、サーバー装置、情報処理方法及びプログラム |
US14/056,142 US9571272B2 (en) | 2012-10-26 | 2013-10-17 | Image forming apparatus, information processing method, and control method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012236954A JP6039364B2 (ja) | 2012-10-26 | 2012-10-26 | 画像形成装置、サーバー装置、情報処理方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014087010A true JP2014087010A (ja) | 2014-05-12 |
JP6039364B2 JP6039364B2 (ja) | 2016-12-07 |
Family
ID=50548588
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012236954A Active JP6039364B2 (ja) | 2012-10-26 | 2012-10-26 | 画像形成装置、サーバー装置、情報処理方法及びプログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US9571272B2 (ja) |
JP (1) | JP6039364B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10277780B2 (en) | 2017-01-06 | 2019-04-30 | Canon Kabushiki Kaisha | Client device, system, information processing method, and recording medium adapted for changing an authentication mode from an individual authentication mode to a common authentication in a case where a transmission of at least first operation information has failed due to an authentication error |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5900456B2 (ja) * | 2013-10-09 | 2016-04-06 | コニカミノルタ株式会社 | 画像処理システム、画像形成装置、中継装置、管理方法、および制御プログラム |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002352149A (ja) * | 2001-05-28 | 2002-12-06 | Nec Nexsolutions Ltd | インターネット上のサービスにおける課金システム及び課金方法 |
JP2007013731A (ja) * | 2005-06-30 | 2007-01-18 | Canon Inc | 画像形成方法、画像形成システム、画像形成装置、ドライバプログラム、情報処理装置、及びライセンス管理サーバ |
US20070041584A1 (en) * | 2005-08-16 | 2007-02-22 | O'connor Clint H | Method for providing activation key protection |
JP2009230198A (ja) * | 2008-03-19 | 2009-10-08 | Sharp Corp | 画像認証システム、端末装置、及び認証サーバ装置 |
JP2010176446A (ja) * | 2009-01-30 | 2010-08-12 | Azabu East Managements:Kk | 商品授受システム、商品サーバ、プログラム、商品授受方法 |
JP2011054044A (ja) * | 2009-09-03 | 2011-03-17 | Ricoh Co Ltd | 画像形成装置、ライセンス処理方法、及びライセンス処理プログラム |
JP2012113696A (ja) * | 2010-11-04 | 2012-06-14 | Brother Ind Ltd | 通信システム、中継装置、通信装置、中継方法、および通信方法 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040117664A1 (en) * | 1998-06-04 | 2004-06-17 | Z4 Technologies, Inc. | Apparatus for establishing a connectivity platform for digital rights management |
AU1651901A (en) * | 1999-12-14 | 2001-06-25 | Sony Corporation | Registering device and method, information processing device and method, providing device and method, and program storage medium |
US20050005137A1 (en) * | 2003-06-16 | 2005-01-06 | Microsoft Corporation | System and method for individualizing installation media |
JP4656161B2 (ja) | 2008-02-14 | 2011-03-23 | セイコーエプソン株式会社 | 認証装置、印刷装置、認証印刷システム、認証データ入力装置およびそれらの方法 |
US8984293B2 (en) * | 2010-11-19 | 2015-03-17 | Microsoft Corporation | Secure software product identifier for product validation and activation |
US8683579B2 (en) * | 2010-12-14 | 2014-03-25 | Microsoft Corporation | Software activation using digital licenses |
US8578362B2 (en) * | 2011-03-18 | 2013-11-05 | Hamilton Sundstrand Corporation | Method for downloading software to an electronics product |
-
2012
- 2012-10-26 JP JP2012236954A patent/JP6039364B2/ja active Active
-
2013
- 2013-10-17 US US14/056,142 patent/US9571272B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002352149A (ja) * | 2001-05-28 | 2002-12-06 | Nec Nexsolutions Ltd | インターネット上のサービスにおける課金システム及び課金方法 |
JP2007013731A (ja) * | 2005-06-30 | 2007-01-18 | Canon Inc | 画像形成方法、画像形成システム、画像形成装置、ドライバプログラム、情報処理装置、及びライセンス管理サーバ |
US20070041584A1 (en) * | 2005-08-16 | 2007-02-22 | O'connor Clint H | Method for providing activation key protection |
JP2009230198A (ja) * | 2008-03-19 | 2009-10-08 | Sharp Corp | 画像認証システム、端末装置、及び認証サーバ装置 |
JP2010176446A (ja) * | 2009-01-30 | 2010-08-12 | Azabu East Managements:Kk | 商品授受システム、商品サーバ、プログラム、商品授受方法 |
JP2011054044A (ja) * | 2009-09-03 | 2011-03-17 | Ricoh Co Ltd | 画像形成装置、ライセンス処理方法、及びライセンス処理プログラム |
JP2012113696A (ja) * | 2010-11-04 | 2012-06-14 | Brother Ind Ltd | 通信システム、中継装置、通信装置、中継方法、および通信方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10277780B2 (en) | 2017-01-06 | 2019-04-30 | Canon Kabushiki Kaisha | Client device, system, information processing method, and recording medium adapted for changing an authentication mode from an individual authentication mode to a common authentication in a case where a transmission of at least first operation information has failed due to an authentication error |
Also Published As
Publication number | Publication date |
---|---|
US20140122877A1 (en) | 2014-05-01 |
US9571272B2 (en) | 2017-02-14 |
JP6039364B2 (ja) | 2016-12-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8264731B1 (en) | Printing management system and printing management method | |
US9419954B1 (en) | Storing and transmitting sensitive data | |
US9195420B2 (en) | Secure print job through mobile device ID | |
US20110311046A1 (en) | Image Forming System, Image Forming Apparatus, and Method in which an Application is Added | |
CN109347839B (zh) | 集中式密码管理方法、装置、电子设备及计算机存储介质 | |
JP2015217659A (ja) | 画像形成装置、画像形成方法、およびプログラム | |
JP6041622B2 (ja) | 印刷文書管理システム、印刷文書管理方法、及びコンピュータプログラム | |
US20160196130A1 (en) | Image forming apparatus and control method for image forming apparatus | |
EP2869232A1 (en) | Security key device for secure cloud services, and system and method of providing security cloud services | |
US10803195B2 (en) | Control method of image communication apparatus, data distribution system, export apparatus, and import apparatus | |
JP2016010867A (ja) | 印刷装置、印刷システム、印刷装置の制御方法、及びプログラム | |
JP2013175175A (ja) | 印刷方法及びシステム | |
JP4888945B2 (ja) | 電子帳票システム、電子帳票サーバ、クライアント端末、情報提供方法、情報利用方法、サーバプログラム、及びクライアント端末プログラム | |
US20090307745A1 (en) | Document management apparatus, policy server, method for managing document, method for controlling policy server, and computer-readable recording medium | |
CN105706098A (zh) | 数据可访问性控制 | |
JP6351245B2 (ja) | 画像形成装置及びその制御方法、並びにプログラム | |
JP6039364B2 (ja) | 画像形成装置、サーバー装置、情報処理方法及びプログラム | |
CN116724309A (zh) | 设备和通信方法 | |
US8924733B2 (en) | Enabling access to removable hard disk drives | |
US20140211242A1 (en) | Print job management | |
US8869291B2 (en) | Generating and storing document data | |
TWI649661B (zh) | 合成文件存取技術 | |
EP2887247B1 (en) | Information processing apparatus, information processing method and program | |
JP6996022B1 (ja) | 印刷システム、モバイル端末およびプログラム | |
CN113574837A (zh) | 跟踪客户端设备上的图像发送者 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20151019 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160726 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160906 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160909 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161004 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161104 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6039364 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |