以下、本実施形態について説明するが、実施形態は、以下に説明する実施形態に限定されるものではない。なお、以下に説明する実施形態では、情報処理システム、データ蓄積装置および情報機器として、画像形成システム100、プリントサーバ140および画像形成装置170を一例として説明する。
図1は、本実施形態による画像形成システム100を示す概略図である。図1に示すように、画像形成システム100は、1以上の端末装置110と、プリントサーバ140と、1以上の画像形成装置170と、認証サーバ190とを含み構成される。1以上の端末装置110、プリントサーバ140、1以上の画像形成装置170および認証サーバ190は、それぞれ、ローカル・エリア・ネットワークなどのネットワーク102に接続されており、互いにデータをやり取りすることができるよう構成される。なお、図1には、端末装置として、1台の端末装置110が示されており、情報機器として、2台の画像形成装置170a,170bが示されているが、端末装置および情報機器の数は、特に限定されるものではない。
端末装置110は、特に限定されるものではないが、デスクトップ型、ラップトップ型またはタブレット型の汎用コンピュータや、スマートフォンなどの携帯情報端末といった端末装置である。端末装置110には、典型的には、文書などを作成するアプリケーションおよび印刷データを生成するためのプリンタドライバなどがインストールされている。利用者は、印刷物を得るために、端末装置110を用いて印刷ジョブを発行することができる。
プリントサーバ140は、特に限定されるものではないが、パーソナル・コンピュータ、ワークステーション、サーバ・コンピュータなどの汎用コンピュータとして構成される。説明する実施形態において、プリントサーバ140は、端末装置110から受信した印刷データを蓄積し、画像形成装置170からの要求に応答して、印刷データを送信するサーバ機能を提供する。
画像形成装置170は、印刷データに基づいて印刷処理を実行する複合機やプリンタなどの画像形成装置である。画像形成装置170は、端末装置110からプリントサーバ140に蓄積された印刷データを、プリントサーバ140から受信し、受信した印刷データに基づいて画像形成処理を実行する。
なお、説明する実施形態においては、印刷データがジョブデータを構成し、印刷処理がジョブ処理を構成する。しかしながら、ジョブデータおよびジョブ処理は、特に限定されるものではなく、情報機器としても、画像形成装置に限定されるものではない。1または複数の実施形態では、印刷以外のジョブデータおよびジョブ処理であってもよく、情報機器としても、ジョブデータに基づいてジョブ処理を実行する如何なる機器とすることができる。
認証サーバ190は、パーソナル・コンピュータ、ワークステーション、サーバ・コンピュータなどの汎用コンピュータとして構成される。認証サーバ190は、画像形成装置170を操作する利用者のユーザ認証を実施する認証サーバ機能を提供する。
説明する実施形態による画像形成システム100においては、利用者は、端末装置110を用いて、暗号化された状態で印刷データをプリントサーバ140に送信し、プリントサーバ140に一旦蓄積することができる。そして、利用者は、所望の画像形成装置170の前に移動して、操作パネルを操作し、プリントサーバ140に蓄積された印刷データを引き取り、自身が有する暗号鍵を用いて印刷データを復号し、所望の印刷物を得ることができる。
このような画像形成システム100では、プリントサーバ140上で印刷データの復号が行えない場合に不具合が発生する。すなわち、画像形成装置170でプリントサーバ140から印刷データを引き取る際に、プリントサーバ140側で印刷データに含まれる印刷設定情報を変更することが難しくなる。そのため、印刷物の機密性を保持したいという要請と、印刷時に画像形成装置170によらず、プリントサーバ140上で印刷設定を変更したいという要請の両方を共に満たすことが求められる。
そこで、本実施形態による画像形成システム100では、端末装置110は、印刷データを印刷設定情報部分および描画情報部分に分割し、分割された各部分に対し異なる暗号化処理を選択する。好ましくは、印刷データの描画情報部分に対し適用される暗号化処理は、ユーザ固有の鍵情報に基づいて復号できる形に暗号化する処理とすることができる。端末装置110は、プリントサーバ140に対し、暗号化された印刷設定情報部分および描画情報部分を含む印刷データを送信するとともに、少なくとも印刷設定情報部分に対し適用された暗号化処理の情報を通知する。
プリントサーバ140は、端末装置110から受信した印刷データを蓄積する。プリントサーバ140は、さらに、端末装置110から通知された暗号化処理の情報に基づいて、受信した印刷データの印刷設定情報部分が、当該プリントサーバ140が保持する鍵情報に基づいて設定変更できるかを判定する。好ましくは、プリントサーバ140は、設定変更できると判定された場合に、設定情報部分を復号することができる。プリントサーバ140は、好ましくは、設定情報部分に対する変更情報を受領した場合に、復号された設定情報部分に対し変更情報を反映し、変更された設定情報部分を、ユーザ固有の鍵情報に基づいて復号できる形に再暗号化することができる。
画像形成装置170は、プリントサーバ140から印刷データを受信し、受信した印刷データを復号し、設定情報部分および実体情報部分を統合する。好ましくは、画像形成装置170は、ユーザ固有の鍵情報に基づいて、受信したジョブデータの各部分を復号することができる。画像形成装置170は、統合された印刷データに基づいて印刷処理を実行することができる。
上記構成により、通信経路およびプリントサーバ140上での印刷データの描画情報部分の機密性を保持しながら、プリントサーバ140上で印刷データの印刷設定情報部分を変更可能とする。
なお、図1に示した実施形態では、認証処理を担う認証サーバ190を含む画像形成システム100を一例として説明した。しかしながら、特に限定されるものではなく、他の実施形態では、画像形成装置170が認証処理を担うよう構成し、図1で破線104に含まれる認証サーバ190を設けない態様としてもよい。
以下、図2〜図14を参照しながら、本実施形態による画像形成システム100で実行される、セキュリティ保護された印刷処理について、より詳細を説明する。
以下、まず、図2および図3を参照しながら、画像形成システム100を構成する各装置のハードウェア構成について説明する。
図2は、本実施形態によるプリントサーバ140のハードウェア構成を示す図である。プリントサーバ140は、汎用コンピュータなどとして構成されている。図2に示すプリントサーバ140は、シングルコアまたはマルチコアのCPU(Central Processing Unit)12と、RAM(Random Access Memory)14と、ROM(Read Only Memory)16と、HDD(Hard Disk Drive)18と、通信インタフェース機器24とを含み構成される。プリントサーバ140は、必要に応じて、入力装置20と、表示装置22とを含むことができる。
CPU12は、プリントサーバ140内部の処理などの全体制御を行う。RAM14は、CPU12の作業領域を提供する。ROM16は、BIOS(Basic Input / Output System)などの制御プログラムを記憶する。HDD18は、コンピュータ装置を制御するためのOS、後述する機能部を実現するためのプログラムや各種システム情報や各種設定情報を格納する。
入力装置20は、マウス、キーボード、タッチスクリーンパネルなどの入力装置である。表示装置22は、液晶ディスプレイ装置、有機EL(Electroluminescence)ディスプレイなどの表示装置である。入力装置20および表示装置22は、操作者からの各種指示の入力を受け付けるためのユーザ・インタフェースを提供する。通信インタフェース機器24は、NIC(Network Interface Card)などのプリントサーバ140をネットワーク102に接続させるインタフェース機器である。
本実施形態によるプリントサーバ140は、ROM16やHDD18からプログラムを読み出し、RAM14が提供する作業空間に展開することにより、CPU12の制御の下、後述する各部および各処理を実現する。なお、図2を参照してプリントサーバ140のハードウェア構成を説明したが、端末装置110および認証サーバ190も、図2に示したハードウェアコンポーネントに適宜追加または削除を行い、同様なハードウェア構成を採用することができる。
図3は、本実施形態による画像形成装置170のハードウェア構成を示す。画像形成装置170は、画像形成機能および画像読取機能を備えた画像形成装置として構成されている。図3に示す画像形成装置170は、コントローラボード50上に、シングルコアまたはマルチコアのCPU52と、ROM54と、CPU52の作業領域を提供するRAM56と、画像メモリ58と、通信インタフェース機器60とを備える。コントローラボード50には、さらに、操作パネル62と、スキャナ64と、プロッタ66とが接続される。
CPU52は、画像形成装置170内部の画像処理などの動作を制御する。ROM54は、画像形成装置170を機能させるためのプログラムを格納する。RAM56は、CPU52の作業領域を提供し、ROM54やHDDなどに格納されているプログラムを実行する。画像メモリ58は、スキャンや印刷での画像処理に利用する作業領域を提供する。通信インタフェース機器60は、IEEE802.11などの規格に従った無線LANアダプタやNICなどの画像形成装置170をネットワーク102に接続させるインタフェース機器である。
操作パネル62は、コントローラボード50と接続され、液晶パネルや有機ELなどの表示装置と、タッチスクリーンパネルなどの入力装置とを備える。操作パネル62は、操作画面を表示し、操作者からの各種指示の入力を受付け、画面表示を行なうためのユーザ・インタフェースを提供する。スキャナ64は、コントローラボード50からの画像読取の実行指令に応答して、画像読取処理を実行する。プロッタ66は、コントローラボード50からの画像形成の実行指令に応答して、端末装置110からの印刷データやスキャナ64により読み取られた画像読取データに基づき画像形成処理を実行する。
以下、図4を参照しながら、本実施形態による画像形成システム100における、セキュリティ保護された印刷処理を実行するための機能ブロックについて説明する。図4は、本実施形態による画像形成システム100の構成を示すブロック図である。図4(A)〜図4(D)は、それぞれ、端末装置110が備えるモジュール構成210、プリントサーバ140が備えるモジュール構成240、画像形成装置170が備えるモジュール構成270、および、認証サーバ190が備えるモジュール構成290を示す。
まず、図4(A)を参照しながら、端末装置110側の機能構成について説明する。図4(A)に示すように、端末装置110のモジュール構成210としては、印刷データ分割部212と、暗号化方式選択部214と、印刷データ暗号化部216と、暗号化情報付加部218と、印刷データ送信部220とが含まれる。
端末装置110上で、アプリケーションから、プリントサーバ140に対応するプリンタドライバを指定した印刷指示が行われると、印刷データが印刷データ分割部212に渡される。図5には、一般的な印刷データのデータ構造が示されている。
図5に示すように、印刷データ300は、主として、印刷設定情報部分302と、描画情報部分304とを含み構成される。印刷設定情報部分302には、ジョブ名、各種印刷設定情報および各種属性情報が含まれる。描画情報部分304には、印刷物の描画内容がページ記述言語(PDL:Page Description Language)により記述されたPDLデータが含まれる。印刷物における機密情報は、通常、描画情報部分304に含まれることになる。印刷設定情報部分302および描画情報部分304は、それぞれ、本実施形態における設定情報部分および実体情報部分を構成する。
ここで、再び図4(A)を参照する。印刷データ分割部212は、受け取った印刷データ300を印刷設定情報部分302および描画情報部分304それぞれに分割する。暗号化方式選択部214は、印刷データ300の各部分302,304に対し、それぞれ異なる暗号化方式の暗号化処理を選択する。各部分302,304に対し適用される暗号化方式は、事前の設定に従う。印刷データ暗号化部216は、暗号化方式選択部214により選択された暗号化方式の暗号化処理で、分割された印刷設定情報部分302および描画情報部分304をそれぞれ暗号化する。なお、暗号化方式選択部214は、本実施形態における端末装置の選択手段を構成する。
説明する実施形態において、各部分302,304に対し適用される暗号化方式の選択は、上述したように、事前の設定に従う。好ましくは、印刷設定情報部分302に対し適用される暗号化方式の暗号化処理としては、プリントサーバ固有の鍵情報に基づいて復号できる形で暗号化する処理が選択可能とされる。これに対し、描画情報部分304に対し適用される暗号化方式の暗号化処理としては、好ましくは、ユーザ固有の鍵情報に基づいて復号できる形で暗号化する処理が選択可能とされる。
暗号化情報付加部218は、各部分302,304に対し適用された暗号化方式の暗号化処理を示す暗号化情報を印刷データに付加する。印刷データ送信部220は、暗号化された印刷設定情報部分および描画情報部分を含む印刷データをプリントサーバ140に送信する処理を行う。印刷データがプリントサーバ140に伝達されることにより、それに付加された暗号化情報がプリントサーバ140にも通知されることになる。暗号化情報付加部218および印刷データ送信部220は、本実施形態における端末装置の通知手段を構成する。なお、ここでいう暗号化情報は、暗号化の方式および暗号化に用いた鍵の種類を示す情報を含み、復号で用いる鍵情報自体は含まない。
図6には、本実施形態による画像形成システム100におけるデータの全体の流れが示されている。なお、図6に示す例は、印刷設定情報部分302に対しプリントサーバ公開鍵を用いた暗号化が設定され、描画情報部分304に対しユーザ固有公開鍵を用いた暗号化が設定された場合のものである。端末装置110は、適宜、プリントサーバ公開鍵およびユーザ固有公開鍵を取得することができる。
図6に示す例では、印刷データ300の印刷設定情報部分302は、プリントサーバ公開鍵で暗号化され、描画情報部分304は、ジョブ固有共通鍵で暗号化される。このジョブ固有共通鍵は、特定の印刷データのジョブ固有に生成された、共通鍵暗号方式の一時的な暗号鍵である。このジョブ固有共通鍵は、さらに、ユーザ固有公開鍵により暗号化される。したがって、暗号化された印刷設定情報部分312は、プリントサーバ公開鍵に対応したプリントサーバ秘密鍵を用いて復号可能となる。一方で、暗号化された描画情報部分314は、ユーザ固有公開鍵に対応したユーザ固有秘密鍵を用いて復号可能となる。
なお、説明する実施形態では、印刷設定情報部分302が、プリントサーバ公開鍵を用いて公開鍵暗号方式で暗号化されるものとして説明した。そして、描画情報部分304が、後にユーザ固有公開鍵により公開鍵暗号方式で暗号化されるジョブ固有共通鍵を用いて共通鍵暗号化方式で暗号化されるものとして説明した。しかしながら、適用する暗号化処理は、特に限定されるものではない。各部分に対して、公開鍵暗号方式での該当部分の暗号化、または、共通鍵暗号方式での該当部分の暗号化と公開鍵暗号方式での共通鍵の暗号化とを独立に適用することができる。
印刷データ蓄積を要求する場合、図6に示すように、暗号化された部分312,314を含む印刷データ310が、暗号化されたジョブ固有共通鍵316とともに、端末装置110からプリントサーバ140へと送信される。
以下、図4(B)を参照しながら、プリントサーバ140側の機能構成について説明する。図4(B)に示すように、プリントサーバ140のモジュール構成240としては、印刷データ受信部242と、設定変更可否判定部244と、印刷データ蓄積部246と、印刷設定情報復号部248と、印刷設定変更部250と、印刷設定情報暗号化部252と、印刷データ送信部254とが含まれる。
印刷データ受信部242は、端末装置110から、それぞれ異なる暗号化処理で暗号化された印刷設定情報部分312および描画情報部分314を含む印刷データ310を受信する。印刷データ受信部242は、本実施形態におけるデータ蓄積装置の受信手段を構成する。
設定変更可否判定部244は、印刷データ310に付加された暗号化情報に基づいて、受信した印刷データ310の印刷設定情報部分312が、当該プリントサーバ140が保持するプリントサーバ秘密鍵に基づいて復号できるか、ひいては、設定変更できるかを判定する。暗号化情報は、上述したように、印刷設定情報部分312に対し適用された暗号化の方式および暗号化に用いた鍵の種類などを示す情報が含まれる。したがって、暗号化情報が、プリントサーバ公開鍵を用いた暗号化処理を示す場合、復号可能かつ設定更可能であると判定される。設定変更可否判定部244は、判定した結果、設定変更の可否を印刷設定変更可否情報として印刷データ310に付加する。設定変更可否判定部244は、本実施形態におけるデータ蓄積装置の判定手段を構成する。
印刷データ蓄積部246は、端末装置110から受信した印刷データを蓄積する。好ましくは、印刷データ310が印刷設定変更可否情報と共に印刷データ蓄積部246に蓄積される。印刷データが蓄積される記憶領域は、例えば、プリントサーバ140のHDD18などにより提供される。印刷データ蓄積部246は、本実施形態におけるデータ蓄積装置の蓄積手段を構成する。
外部から印刷設定変更が要求された場合、設定変更できると判定された場合には、印刷設定変更部250は、印刷設定情報復号部248および印刷設定情報暗号化部252を用いて印刷設定の変更を実施する。
印刷設定情報復号部248は、設定変更できると判定された場合に、暗号化情報に基づいて印刷設定情報部分312を復号する。印刷設定変更部250は、印刷設定変更が要求された際に受領した変更情報に基づいて、復号された印刷設定情報部分に対し変更を反映する。印刷設定情報暗号化部252は、変更が反映された印刷設定情報部分を再暗号化する。印刷設定情報復号部248、印刷設定変更部250および印刷設定情報暗号化部252は、それぞれ、本実施形態における復号手段、変更手段および暗号化手段を構成する。
印刷データ送信部254は、画像形成装置170からの印刷データの取得要求に応答して、画像形成装置170に対し、取得要求にかかる印刷データを送信する。この印刷データには、暗号化された描画情報部分および再暗号化された印刷設定情報部分が含まれ得る。印刷データ送信部254は、本実施形態におけるデータ蓄積装置の送信手段を構成する。
ここで、再び図6を参照する。図6に示すように、プリントサーバ140は、端末装置110から印刷データ310を受信して、蓄積する。このとき、説明する例では、暗号化された印刷設定情報部分312は、端末装置110で暗号化する際に用いられたプリントサーバ公開鍵に対応したプリントサーバ秘密鍵を用いて復号化される。これにより、以後、印刷設定の読取および変更が可能となる。印刷設定の変更が要求される場合、プリントサーバ140は、変更情報324を受領する。
ユーザ認証された画像形成装置170から印刷データの引き取りが要求されると、プリントサーバ140は、復号化された印刷設定情報部分322に対し、必要に応じて、受領した変更情報324に基づく変更を反映した後、変更済印刷設定情報部分332を、ユーザ固有公開鍵により再び暗号化する。したがって、再暗号化された印刷設定情報部分342は、ユーザ固有公開鍵に対応したユーザ固有秘密鍵を用いて復号可能となり、その結果として、印刷データ340全体が、(暗号化されたジョブ固有共通鍵と併せて)ユーザ固有秘密鍵を用いて復号可能となる。なお、プリントサーバ140は、適宜、ユーザ固有公開鍵を取得することができる。
ユーザ固有公開鍵により暗号化された印刷設定情報部分342、元の暗号化された描画情報部分314を含む印刷データ340は、元の暗号化されたジョブ固有共通鍵316とともに画像形成装置170に送信される。
以下、図4(C)を参照しながら、画像形成装置170側の機能構成について説明する。図4(C)に示すように、画像形成装置170のモジュール構成270としては、印刷データ受信部272と、印刷データ復号部274と、印刷データ統合部276と、印刷処理実行部278と、認証情報読取部280と、認証問い合わせ部282とが含まれる。
画像形成装置170には、例えば、IC(Integrated Circuit)カードなどの認証デバイスを読み取るICカードリーダなどの認証情報読取装置が備えられる。ICカードなどの認証デバイスは、ユーザの認証情報または認証情報に紐付けられる識別情報、および、ユーザ固有秘密鍵を安全に担持する機能を有する。そして、ICカードがICカードリーダにかざされ、または挿入されるなどの認証手続が要求されると、ICカードが担持する認証情報が読み取られ、認証処理が実行される。認証に成功し、利用権限が付与されると、ICカードが担持するユーザ固有秘密鍵が利用可能となる。
なお、認証デバイスとしては、ICカードを一例として挙げるが、特に限定されるものではなく、スマートフォンなどの携帯端末といった、利用者に携帯され、秘密鍵を安全に担持することができる如何なる装置を挙げることができる。認証デバイスに担持される秘密鍵も、官公庁、教育機関、企業などの組織において生成管理されたものを用いることができる。
認証情報読取部280は、ICカードなどの認証デバイスと通信し、認証情報を読み取る。認証情報読取部280は、本実施形態における情報機器の読取手段を構成する。認証問い合わせ部282は、利用者からの認証手続に応答して、認証サーバ190に対し、認証情報に基づく認証問い合わせを送信する。認証問い合わせ部282は、認証サーバ190から返答される認証結果、認証に成功し、適切な利用権限が付与されたと判断した場合は、認証デバイス内のユーザ固有秘密鍵を利用可能とする。認証問い合わせ部282は、本実施形態における情報機器の認証手段を構成する。
印刷データ受信部272は、プリントサーバ140から、暗号化された印刷データを受信する。印刷データ復号部274は、暗号化情報に基づいて、各部分に適用された暗号化処理を判定し、受信した印刷データの各部分を復号する。印刷データ統合部276は、受信した印刷データの復号された印刷設定情報部分および描画情報部分を統合する。印刷処理実行部278は、統合された印刷データに基づいて、図3に示すプロッタ66を制御し、印刷処理を実行する。なお、印刷データ受信部272、印刷データ復号部274および印刷データ統合部276は、それぞれ、本実施形態における情報機器の受信手段、復号手段および統合手段を構成する。
ここで、再び図6を参照する。説明する例では、図6に示すように、印刷データ復号部274は、認証後に利用可能となったユーザ固有秘密鍵を用いて印刷設定情報部分342および描画情報部分314を復号する。より具体的には、印刷データ復号部274は、ユーザ固有秘密鍵を用いて、暗号化された印刷設定情報部分342およびジョブ固有共通鍵316を復号する。印刷データ復号部274は、さらに、復号されたジョブ固有共通鍵を用いて、端末装置110側で同じくジョブ固有共通鍵を用いて暗号化された描画情報部分314を復号する。
以下、図4(D)を参照しながら、認証サーバ190側の機能構成について説明する。図4(D)に示すように、認証サーバ190のモジュール構成290としては、認証問い合わせ受信部292と、認証管理部294と、認証結果送信部296とが含まれる。
ユーザ認証に際しては、画像形成装置170からは、認証情報読取部280により読み取られた認証情報が認証サーバ190に送信される。認証問い合わせ受信部292は、認証情報が付された認証問合わせを受信し、認証管理部294に認証情報を渡し、認証処理を求める。認証管理部294は、認証問い合わせに応答して、ユーザ情報と照合し、認証処理を実行し、認証に成功した場合に利用権限を付与する。認証に失敗した場合は、利用権限は付与されない。認証結果送信部296は、認証管理部294による認証結果を、問い合わせ元の画像形成装置170に返す。
なお、説明する実施形態では、認証処理を担う認証サーバ190が設けられる場合について説明した。しかしながら、上述したように、他の実施形態では、認証サーバ190を設けなくともよい。認証サーバ190が設けられない実施形態では、画像形成装置170が、認証管理部294に相当する認証管理部を含み、認証管理部が、認証手続を受け付けたことに応答して、認証処理を実行し、認証に成功した場合に利用権限を付与することとなる。
以下、図4を参照して、さらに、本実施形態におけるプリントサーバ140上での印刷設定変更について説明する。特定の実施形態では、プリントサーバ140の印刷設定変更部250は、端末装置110や画像形成装置170などの外部装置から、印刷データ蓄積部246内に蓄積された印刷データの印刷設定情報部分に対する変更情報を受領する機能を備える。
図4に示す画像形成装置170は、モジュール構成270として、さらに、操作受付部284と、画面表示部286と、データ通信部288とを含む。
データ通信部288は、プリントサーバ140の印刷設定変更部250と通信して、ジョブ一覧取得要求、所定の印刷データの印刷設定情報取得要求、印刷データの印刷設定情報に対する変更要求を送信し、また、ジョブ一覧情報、印刷データの印刷設定情報および印刷設定変更結果を取得する。データ通信部288は、さらに、プリントサーバ140から、例えばジョブ一覧情報とともに、所定の印刷データの設定情報部分がプリンタサーバ秘密鍵に基づいて設定変更できるかを示す印刷設定変更可否情報も取得することができる。データ通信部288は、本実施形態における情報機器の取得手段および伝達手段を構成する。
画面表示部286は、取得したジョブ一覧情報、印刷データの印刷設定情報に基づいて、ジョブ一覧画面など各種画面を操作パネル62の表示装置上に表示させる。画面表示部286は、所定の印刷データの印刷設定変更可否情報が設定変更できることを示す場合には、印刷設定情報部分の情報を表示するとともに、印刷設定情報部分に対する変更の指示を受け付けるための印刷設定変更画面を表示する。操作受付部284は、各種画面を介して行われるユーザ操作を操作パネル62の入力装置で受け付ける。操作受付部284は、印刷設定変更可否情報が設定変更できることを示す場合には、設定情報部分に対する変更指示を受け付ける。操作受付部284および画面表示部286は、それぞれ、本実施形態における情報機器の操作手段および表示手段を構成する。
図7は、本実施形態による画像形成システム100において画像形成装置170の操作パネル62の表示装置上に表示される印刷設定変更画面400を例示する。なお、図7に示す印刷設定変更画面400は、画像形成装置170上での印刷実行時に、実際の印刷を行う前に表示される画面である。
図7に示す印刷設定変更画面400は、ジョブ名を示すジョブ名表示402と、印刷部数を変更する部数変更ボタン404と、印刷部数を1にリセットするリセットボタン406と、片面印刷または両面印刷を選択指定するラジオボタン408a,408bと、カラー印刷またはモノクロ印刷を選択指定するラジオボタン410a,410bと、印刷実行の指示を受け付ける印刷ボタン412と、印刷のキャンセルの指示を受け付けるキャンセルボタン414とを含む。この印刷設定変更画面400上で、設定変更項目を表示し、選択可能とすることにより、蓄積を行った印刷条件に対しての変更が可能となる。
操作受付部284は、印刷設定変更画面400を介して入力される設定情報部分の変更指示を受け付ける。印刷設定変更画面を介して変更情報が入力された場合には、データ通信部288は、印刷設定情報部分に対する変更指示に基づく変更情報を、プリントサーバ140に伝達する。印刷設定変更部250は、この画面を介して入力された、設定情報部分に対する変更情報を受領することができる。
印刷設定変更部250は、さらに、端末装置110などの汎用ブラウザを備える外部装置に対し、印刷データ蓄積部246内に蓄積された印刷データの印刷設定情報部分に対する変更情報を入力するための画面を提供することもできる。その場合、印刷設定変更部250は、ウェブサーバ機能を有し、ウェブ・ユーザ・インタフェース(WebUI)として、印刷設定変更画面を提供することができる。
以下、図8〜図14を参照しながら、本実施形態によるセキュリティ保護された印刷処理における各装置での処理およびデータフローについて、より詳細に説明する。
図8には、本実施形態による画像形成システムにおいて端末装置110からプリントサーバ140へ印刷データを蓄積する際の処理フローが示されている。図8に示す処理は、ステップS100から開始され、ステップS101では、端末装置110は、利用者からの印刷指示を受領し、プリンタドライバにより印刷データを生成する。
ステップS102では、端末装置110は、設定を参照して、印刷データの各部分に対する暗号化方式を選択する。ステップS103では、端末装置110は、印刷データを印刷設定情報部分および描画情報部分に分割する。
ステップS104およびステップS105では、端末装置110は、分割した印刷データの印刷設定情報部分および描画情報部分それぞれに対し、事前に設定された暗号化方式で暗号化処理を実行する。端末装置110は、ステップS106で、暗号化された印刷データに暗号化情報を付与し、ステップS107で、プリントサーバ140に対し印刷データを送信する。これにより、印刷データとともに、設定情報部分に対し適用された暗号化処理の情報がプリントサーバ140に通知される。
ステップS108で印刷データを受信したプリントサーバ140は、ステップS109で、暗号化情報に基づいて設定変更の可否を判定し、印刷データに印刷設定変更可否情報を付与する。プリントサーバ140は、ステップS110で、印刷データの蓄積処理を行い、ステップS111で、端末装置110に対し蓄積結果を送信する。蓄積結果を受け取った端末装置110は、ステップS112で、蓄積結果を表示装置上で行うなどにより印刷データの蓄積処理を完了し、ステップS113で本処理を終了させる。
図9は、本実施形態による端末装置110において印刷データを分割および暗号化する際のデータフローを例示する。図9に示すように、プリンタドライバから渡された印刷データ300は、印刷データ分割処理(S103)により印刷設定情報部分302および描画情報部分304に分割される。
印刷設定情報部分302は、暗号化方式設定に基づき、プリントサーバ公開鍵を用いた暗号化処理(S104)により暗号化される。描画情報部分304は、暗号化方式設定に基づき、ジョブ固有共通鍵を用いた暗号化処理(S105−1)により暗号化される。ジョブ固有共通鍵は、さらにユーザ固有公開鍵を用いた暗号化処理(S105−2)により暗号化される。暗号化された印刷設定情報部分312、描画情報部分314、ジョブ固有共通鍵316は、暗号化方式設定に基づき生成された暗号化情報318とともにプリントサーバ140へ送信される。
図10は、本実施形態によるプリントサーバ140において印刷データを蓄積する際のデータフローを例示する。受信処理(S108)により、暗号化された印刷データ310がプリントサーバ140によって受信される。印刷データ310のうち暗号化情報318が取り出され、判定処理(S109)により、暗号化に用いた鍵の種類に基づいて、プリントサーバ140での復号可能性が判定される。
暗号化処理がプリントサーバ公開鍵を用いた公開鍵暗号方式であり、プリントサーバ140上で復号可能なものだった場合は、設定変更可能として、そうでない場合は設定変更不可として印刷設定変更可否情報320が設定される。蓄積処理(S110)により、印刷データ310に含まれる、暗号化された印刷設定情報部分312、描画情報部分314、ジョブ固有共通鍵316とともに、印刷設定変更可否情報320がプリントサーバ140上で蓄積される。
図11には、本実施形態による画像形成システム100においてプリントサーバ140から画像形成装置170へ印刷データを引き取り、印刷処理を実行する際の処理フローが示されている。図11に示す処理は、ステップS200から開始し、ステップS201では、画像形成装置170は、ユーザ認証処理を実行する。なお、ユーザ認証処理については後述する。
ステップS202では、画像形成装置170は、認証結果に基づいて、当該ユーザのジョブ一覧取得要求をプリントサーバ140に送信する。ステップS203でジョブ一覧取得要求を受信したプリントサーバ140は、ステップS204で、印刷データ蓄積部246から当該ユーザのジョブ一覧を取得し、ステップS205で、ジョブ一覧を画像形成装置170に送信する。例えば、ジョブ一覧とともに各印刷データの印刷設定変更可否情報がプリントサーバ140から画像形成装置170へ伝達される。
ステップS206でジョブ一覧を受信した画像形成装置170は、画面表示部286により表示装置上にジョブ一覧画面を表示し、ステップS207で、操作受付部284により利用者からの印刷データの選択を受け付ける。ステップS208では、画像形成装置170は、選択された印刷データの印刷設定変更可否情報を読取り、設定変更が可能であるか否かを判定する。ステップS208で、設定変更できると判定された場合(YES)は、ステップS209へ処理が分岐される。ステップS209では、画像形成装置170は、設定変更画面を表示する。
ステップS210では、画像形成装置170は、さらに、設定変更画面を介して利用者により設定変更が行われたか否かを判定する。ステップS210で、設定変更が有りと判定された場合(YES)は、ステップS211へ処理が分岐される。ステップS211では、画像形成装置170は、設定変更画面を介して入力された設定変更情報を印刷データ取得要求に付与し、ステップS212で、印刷データ取得要求をプリントサーバ140に送信する。一方、ステップS208で、設定変更が可能ではないと判定された場合(NO)、および、ステップS210で、設定変更が無しであると判定された場合(NO)は、ステップS212へ直接処理が分岐される。
ステップS213で印刷データ取得要求を受信したプリントサーバ140は、ステップS214で、印刷データ蓄積部246から、要求された印刷データを取得する。ステップS215では、プリントサーバ140は、取得要求に設定変更情報が含まれるか否かを判定する。ステップS215で、取得要求に設定変更情報が含まれていると判定された場合(YES)は、ステップS216へ処理が分岐される。なお、取得要求に設定変更情報が含まれていることは、ユーザが印刷設定を変更する指示をしたことを意味するほか、当該印刷データの設定変更が可能であることも意味する。
プリントサーバ140は、ステップS216で、印刷データのうち印刷設定情報部分を復号し、ステップS217で、設定変更情報に基づいて設定を更新し、ステップS218で、印刷設定情報部分を再び暗号化する。一方、ステップS215で、設定変更がなかった場合(NO)は、ステップS219へ直接分岐される。ステップS219では、プリントサーバ140は、印刷データを画像形成装置170に送信する。
ステップS220で印刷データを受信した画像形成装置170は、ステップS221およびS222で、印刷設定情報部分および描画情報部分をそれぞれ復号し、ステップS223で、印刷データを統合する。ステップS224では、画像形成装置170は、統合された印刷データに基づいて、印刷処理を実行し、完了させる。ステップS225では、画像形成装置170は、プリントサーバ140へ印刷結果を送信する。ステップS226では、プリントサーバ140は、印刷結果を受信し、必要に応じて印刷ジョブの終了を記録したり、完了した印刷ジョブの印刷データを削除したりし、ステップS227で本処理を終了させる。
図12は、本実施形態によるプリントサーバ140において印刷データの取得要求に応答して印刷データを送信する際のデータフローを例示する。なお、図12に示すフローは、設定変更情報を含む印刷データ取得要求をした場合に対応する。
受信処理(S213)により、印刷データ取得要求350がプリントサーバ140によって受信される。蓄積データ取得処理(S214)により、印刷データ取得要求350に含まれる取得要求情報352から印刷データ蓄積部246内の要求された印刷データ310が取得される。判定処理(S215)により、設定変更可能であると判定されば、プリントサーバ秘密鍵を用いた復号処理(S216)により印刷設定情報部分312が復号され、復号された印刷設定情報部分322が得られる。なお、判定処理(S215)は、印刷データ310に含まれる印刷設定変更可否情報320に基づいて行ってもよいし、印刷データ取得要求350に設定変更情報354が含まれているか否かにより行ってもよい。
設定変更処理(S217)により、印刷データ取得要求350に含まれる設定変更情報354に基づいて、復号化された印刷設定情報部分322の更新処理が行われる。更新された印刷設定情報部分332は、ユーザ固有公開鍵を用いてた暗号化処理(S218)により再び暗号化される。送信処理(S219)により、暗号化された変更済印刷設定情報部分342は、暗号化情報318、暗号化されたジョブ固有共通鍵316、描画情報部分314とともに、画像形成装置170へ送信される。
図13は、本実施形態による画像形成システム100において画像形成装置170と認証サーバ190とが連携して行う認証処理を示すフローチャートである。図13に示す処理は、ステップS300から開始される。ステップS301では、画像形成装置170は、認証情報読取部280により認証デバイスから認証情報を取得する。ステップS302では、画像形成装置170は、認証サーバ190に対し、取得した認証情報とともに認証問い合わせを送信する。
ステップS303で認証問い合わせを受信した認証サーバ190は、ステップS304で、ディレクトリデータベースから認証情報を検索し、ステップS305で、検索結果を取得する。ステップS306では、認証サーバ190は、ユーザ情報が整合するか否かを判定する。ステップS306で、ディレクトリデータベース内に問い合わせにかかる認証情報が存在し、ユーザ情報が整合すると判定された場合(YES)は、ステップS307へ処理が分岐される。ステップS307では、認証サーバ190は、該当ユーザに対してアプリケーションなどの利用権限を設定し、ステップS308で認証結果を送信する。
ステップS309で認証結果を受信した画像形成装置170は、ステップS310で、利用権限があるか否かを判定する。ステップS310で、利用権限があると判定された場合(YES)には、画像形成装置170は、ステップS311で、ログインを成功させて、上述利用権限で設定されたアプリケーションおよび各機能の利用を可能とし、ステップS313で本処理を終了させる。この際に、認証デバイス内のユーザ固有秘密鍵も利用可能となる。これに対して、ステップS310で、利用権限がないと判定された場合(NO)は、ステップS312へ処理が分岐される。画像形成装置170は、ステップS312で、ログインを失敗させて、ステップS313で本処理を終了させる。この場合、画像形成装置170の操作パネル62の表示装置で失敗通知が表示され、アプリケーションおよび各機能の利用が可能とはならない。
図13は、認証サーバ190を用いる場合の実施形態を示すものであった。なお、認証サーバ190を用いない場合は、ステップS301で、認証デバイスから取得された認証情報は、画像形成装置170が備える認証管理部へ渡され、対応する認証情報の検索が行われる。認証情報が存在した場合は、画像形成装置内で該当ユーザに対してアプリケーションの利用権限が設定される。この際に、ユーザ固有秘密鍵も利用可能となる。認証情報が存在していなかった場合には、画像形成装置170の操作パネル62の表示装置上に失敗通知が表示される。
上述した図11では、画像形成装置170でプリントサーバ140から印刷データを引き取る際に印刷設定の変更が行われた。以下、図14を参照しながら、端末装置110からプリントサーバ140上の印刷データの印刷設定変更をする際の処理を説明する。図14に示す処理は、ステップS400から開始し、ステップS401では、端末装置110は、ブラウザを用いて、当該ユーザのジョブ一覧取得要求をプリントサーバ140に送信する。ステップS402でジョブ一覧取得要求を受信したプリントサーバ140は、ステップS403で、当該ユーザのジョブ一覧を取得し、ステップS404で、ジョブ一覧を含む画面情報を端末装置110に送信する。
ステップS405でジョブ一覧を含む画面情報を受信した端末装置110は、ジョブ一覧画面をブラウザ上で表示し、ステップS406で、入力装置を介した利用者からの印刷ジョブの選択を受け付ける。ステップS407では、端末装置110は、ジョブ一覧情報から、選択された印刷ジョブの印刷設定変更可否情報を読取り、設定変更が可能であるか否かを判定する。ステップS407で、設定変更が可能であると判定された場合(YES)は、ステップS408へ処理が分岐される。ステップS408では、端末装置110は、プリントサーバ140に設定変更画面要求を送信し、プリントサーバ140から設定変更画面を受信し、設定変更画面をブラウザ上で表示する。利用者は、設定変更画面を介して設定変更情報を入力することができる。ステップS409では、端末装置110は、設定変更情報を付与した印刷設定変更要求をプリントサーバ140に送信する。
ステップS410で印刷設定変更要求を受信したプリントサーバ140は、ステップS411で、変更要求にかかる印刷データを取得する。プリントサーバ140は、ステップS412で、印刷データのうち印刷設定情報部分を復号し、ステップS413で、設定変更情報に基づいて印刷設定情報部分を更新し、ステップS414で、印刷設定情報部を再び暗号化したものを再蓄積する。ステップS415では、プリントサーバ140は、端末装置110に印刷設定変更結果を送信する。ステップS416で印刷設定変更結果を受信した端末装置110は、ステップS417で、変更結果をブラウザ上表示し、印刷設定変更を完了させて、ステップS418で本処理を終了する。ステップS407で、設定変更が可能ではないと判定された場合(NO)は、ステップS417へ直接処理が分岐される。
以上説明したように、上述した実施形態によれば、通信経路およびデータ蓄積装置上でのジョブデータの実体情報部分の機密性を保持しながら、データ蓄積装置上でジョブデータの設定情報部分の変更が可能な情報処理システム、ジョブ処理方法、データ蓄積装置および情報機器を提供することができる。
通信経路上には、暗号化された状態でジョブデータが伝送される。データ蓄積装置上では、機密情報を含み得る実体情報部分は、暗号化されており、一方で、設定情報部分の変更は、復号可能な場合は、復号され、設定変更が可能な状態となる。
なお、上記機能部は、アセンブラ、C、C++、C#、Java(登録商標)などのレガシープログラミング言語やオブジェクト指向プログラミング言語などで記述されたコンピュータ実行可能なプログラムにより実現でき、ROM、EEPROM、EPROM、フラッシュメモリ、フレキシブルディスク、CD−ROM、CD−RW、DVD−ROM、DVD−RAM、DVD−RW、ブルーレイディスク、SDカード、MOなど装置可読な記録媒体に格納して、あるいは電気通信回線を通じて頒布することができる。
これまで本発明の実施形態について説明してきたが、本発明の実施形態は上述した実施形態に限定されるものではなく、他の実施形態、追加、変更、削除など、当業者が想到することができる範囲内で変更することができ、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。