JP2024024444A - 印刷装置、印刷装置の制御方法、プログラム - Google Patents

印刷装置、印刷装置の制御方法、プログラム Download PDF

Info

Publication number
JP2024024444A
JP2024024444A JP2022127269A JP2022127269A JP2024024444A JP 2024024444 A JP2024024444 A JP 2024024444A JP 2022127269 A JP2022127269 A JP 2022127269A JP 2022127269 A JP2022127269 A JP 2022127269A JP 2024024444 A JP2024024444 A JP 2024024444A
Authority
JP
Japan
Prior art keywords
data
file
sector
storage area
volatile memory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022127269A
Other languages
English (en)
Inventor
一成 山本
Kazunari Yamamoto
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2022127269A priority Critical patent/JP2024024444A/ja
Priority to US18/221,994 priority patent/US20240053933A1/en
Publication of JP2024024444A publication Critical patent/JP2024024444A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/12Digital output to print unit, e.g. line printer, chain printer
    • G06F3/1201Dedicated interfaces to print systems
    • G06F3/1202Dedicated interfaces to print systems specifically adapted to achieve a particular effect
    • G06F3/1218Reducing or saving of used resources, e.g. avoiding waste of consumables or improving usage of hardware resources
    • G06F3/122Reducing or saving of used resources, e.g. avoiding waste of consumables or improving usage of hardware resources with regard to computing resources, e.g. memory, CPU
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/12Digital output to print unit, e.g. line printer, chain printer
    • G06F3/1201Dedicated interfaces to print systems
    • G06F3/1202Dedicated interfaces to print systems specifically adapted to achieve a particular effect
    • G06F3/1222Increasing security of the print job
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/12Digital output to print unit, e.g. line printer, chain printer
    • G06F3/1201Dedicated interfaces to print systems
    • G06F3/1223Dedicated interfaces to print systems specifically adapted to use a particular technique
    • G06F3/1237Print job management
    • G06F3/1238Secure printing, e.g. user identification, user rights for device usage, unallowed content, blanking portions or fields of a page, releasing held jobs

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computer Security & Cryptography (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

【課題】簡易な手法によって、メモリに残留しているデータの復元を困難にする技術を提供することを目的とする。【解決手段】印刷装置は、外部装置から送信されたファイルを受信する受信手段と、外部装置が所定のサーバである場合、ファイルに含まれているデータを保存する揮発性メモリと、データを保存している揮発性メモリのセクタが無効になっている場合、揮発性メモリにおける容量の限界までセクタに保存されているデータをダミーデータに書き換える上書き手段と、を備えることを特徴とする。【選択図】図5

Description

本開示は、印刷装置、印刷装置の制御方法、プログラムに関する。
特許文献1には、ファイルを管理する際に、RAMをRAMDISKとして使用する技術が開示されている。一般的に、ファイルを管理する際には、ファイルシステムが使用される。ファイルシステムでは、ファイルに含まれているデータの保存領域が、「セクタ」と呼ばれる単位ごとに分割され、ファイルは、セクタ群により管理されている。
ところで、近年、ユーザの端末装置から送信された画像データを印刷装置によってすぐに印刷出力せず、ユーザが印刷装置の前でログイン認証をしてから印刷指示を入力することで、初めて印刷出力が行われるサービスが提供されている。この様なサービスは、データセキュリティの観点から、「セキュア印刷サービス」と呼ばれている。「セキュア印刷サービス」では、機密性を有するデータ(「機密データ」ともいう。)を含むファイルが、サーバから印刷装置に転送されることがある。
また、「セキュア印刷サービス」では、印刷装置から、ファイルを消去する際に、そのファイルに含まれていたデータを復元することができないように完全に消去することが望まれている。
特開2018-124717号公報
ところが、ファイルを消去する際に、ファイルシステムの管理上、ファイルが消去されたように見えたとしても、実際には、そのファイルに含まれているデータが、揮発性メモリに残留していることがあった。
また、RAMをRAMDISKとして使用している際に、そのRAMに残留しているデータを完全に消去するには、ファイルシステムドライバに手を加えなければならず、煩雑である。
そこで、本開示は、従来より簡易な手法によって、揮発性メモリに残留しているデータの復元を困難にする技術を提供することを目的とする。
上記目的を達成するため、本開示の印刷装置は、外部装置から送信されたファイルを受信する受信手段と、前記外部装置が所定のサーバである場合、前記ファイルに含まれているデータを保存する揮発性メモリと、前記データを保存している前記揮発性メモリのセクタが無効になっている場合、前記揮発性メモリにおける容量の限界まで前記セクタに保存されている前記データをダミーデータに書き換える上書き手段と、を備える、ことを特徴とする。
本開示の技術によれば、従来より簡易な手法によって、揮発性メモリに残留しているデータの復元を困難にすることができる。
一実施形態における印刷システムの構成の一例を示す図である。 一実施形態におけるデータのフローを示す図である。 一実施形態における第1の保存領域の模式図である。 一実施形態におけるフローチャートを示す図である。 一実施形態におけるフローチャートを示す図である。 一実施形態におけるフローチャートを示す図である。 一実施形態における第1の保存領域の模式図である。 一実施形態におけるフローチャートを示す図である。
以下、本発明の実施の形態について図面を参照して説明する。尚、以下の実施形態は特許請求の範囲に係る本発明を限定するものでなく、また本実施形態で説明されている特徴の組み合わせの全てが本発明の解決手段に必須のものとは限らない。尚、同一の構成要素には同一の参照番号を付して、説明を省略する。
[第1の実施形態]
<システムの全体構成>
図1は、本実施形態における印刷システムの構成の一例を示す図である。
図1に示す様に、本実施形態における印刷システムは、印刷装置100と、第1のサーバ101と、第2のサーバ102と、を備える。印刷装置100、第1のサーバ101、及び、第2のサーバ102は、ネットワークを介して接続されており、互いに所定のデータ含むファイルを送受信することが可能である。第1のサーバ101及び第2のサーバ102は、端末装置(不図示)からのリクエストに応じて、所定のサービスを提供することができる外部装置である。
第1のサーバ101が提供するサービスの一例として、「セキュア印刷サービス」が挙げられる。つまり、第1のサーバ101は、画像データ、及び、機密データを含む印刷ジョブを送受信することが可能である。機密データの例として、「セキュア印刷サービス」を利用するユーザのID、パスワード、「セキュア印刷サービス」の構成、及び、第1のサーバ101のIPアドレス等が挙げられる。「セキュア印刷サービス」では、ユーザの端末装置が送信した印刷ジョブは、まず、第1のサーバ101に送信される。続いて、当該印刷ジョブが、第1のサーバ101から印刷装置100に転送される。そして、ユーザが印刷装置100の前でログイン認証をしてから印刷指示を入力することで、初めて印刷出力が行われる。
一方、第2のサーバ102は、印刷装置100に印刷ジョブを送信することが可能であるが、「セキュア印刷サービス」を提供していない。つまり、第2のサーバ102から印刷装置100に送信されるファイルに機密データが含まれている可能性は、第1のサーバ101よりも低い。従って、第1のサーバ101から印刷装置100に送信されるファイルは、第2のサーバ102から印刷装置100送信されるファイルよりも機密データを含んでいる可能性が高いと言える。
印刷装置100は、CPU103と、ROM104と、RAM105と、第1の不揮発性メモリ106と、プリンタユニット107と、を備える。更に、印刷装置100は、第2の不揮発性メモリ108と、コントローラ109と、表示操作部110と、ネットワークドライバ111と、ネットワークI/F112と、を備える。
CPU103は、印刷装置100を制御する機能を有する。そして、プリンタユニット107は、印刷出力を行う機能を有する。ROM104には、印刷装置100の制御実行コード(プログラム)が、保存されている。更に、ROM104には、第1のサーバ101から送信されたデータを印刷する際に動作するアプリケーションと、ファイルの管理に用いるプログラムであるファイルシステムとが保存されている。本実施形態では、ROM104には、RAM105をRAMDISKとして使用するためのアプリケーションが保存されている。RAM105は、印刷に用いられる画像データを一時的に保存したり印刷装置100の制御に関するデータを一時的に保存したりする保存部として機能する。本実施形態におけるRAM105は、RAMDISKとして使用することができる。第1の不揮発性メモリ106は、印刷装置100の保守に必要な各種情報を保存する。第1の不揮発性メモリ106の例として、NVRAMが挙げられる。
第2の不揮発性メモリ108は、プリンタユニット107の印刷に用いられる画像データを保存する。本実施形態における第2の不揮発性メモリ108は、画像データ以外にも、第1のサーバ101及び第2のサーバ102から送信された、第1のサーバ101及び第2のサーバ102が提供するサービスに関する、各種のデータを保存する。第2の不揮発性メモリ108の例として、NAND型フラッシュメモリが挙げられる。
印刷装置100は、LCD、LED、キー、又はタッチパネル等のユーザインターフェースとしての機能を有する表示操作部110を備える。表示操作部110を用いて、ユーザによる印刷装置100の各機能の実行操作又は設定操作等が行われる。コントローラ109は、表示操作部110とCPU103との間で、これらの操作指示の伝達および表示内容の制御を行う。印刷装置100は、外部接続機器と接続するためのネットワークI/F112を有する。CPU103は、ネットワークドライバ111を介して、ネットワークI/F112と接続される。ネットワークI/F112によって、第1のサーバ101又は第2のサーバ102等の外部装置と印刷装置100との間で印刷の実行指示及び印刷ジョブを含むファイルの送受信等が行われる。
図2は、本実施形態におけるデータのフローを示す図である。
図2に示す様に、ROM104には、セキュア印刷アプリケーション200が保存されている。セキュア印刷アプリケーション200は、ネットワークI/F112を介して、第1のサーバ101又は第2のサーバ102と、所定のデータを含むファイルの送受信を行う機能を有する。
また、セキュア印刷アプリケーション200は、第1のサーバ101とデータの送受信を行うことで、「セキュア印刷サービス」の提供時における、ログイン認証、印刷ジョブの取得、及び、印刷リクエストの取得等を行う機能を有する。「セキュア印刷サービス」を利用するユーザは、表示操作部110に一時的に表示されたユーザインターフェースを利用して、ログイン認証、及び、印刷ジョブの選択等の操作をすることができる。
また、RAM105は、第1のサーバ101から送信されたデータを一時的に保存する第1の保存領域201と、第2のサーバ102から送信されたデータを一時的に保存する第2の保存領域202と、を備える。第1の保存領域201及び第2の保存領域202は、RAMDISKとして使用することが可能である。
また、本実施形態では、印刷装置100が、第1のサーバ101又は第2のサーバ102から所定のデータを含むファイルを受信したことをトリガとして、セキュア印刷アプリケーション200が動作する。セキュア印刷アプリケーション200が動作している場合、CPU103は、印刷装置100にデータを送信したサーバの種類に応じて、処理を振り分ける。サーバの種類の種類を判定する手法は、公知技術を用いることができる。例えば、CPU103は、受信したファイルに含まれているIPアドレスが、予め第2の不揮発性メモリ108に保存されている第1のサーバ101のIPアドレスと一致する場合、第1のサーバ101からデータが送信されたと判定する。印刷装置100にファイルを送信したサーバが第1のサーバ101である場合、CPU103は、当該ファイルに含まれているデータを第1の保存領域201に一時的に保存する。この際、ファイルが第1の保存領域201に一時的に保存されたことを示すデータが、当該ファイルに付加される。
他方、印刷装置100にファイルを送信したサーバが第2のサーバ102である場合、CPU103は、当該ファイルに含まれているデータを第2の保存領域202に一時的に保存する。この際、ファイルが第2の保存領域202に一時的に保存されたことを示すデータが、当該ファイルに付加される。以下、RAM105に一時的にデータを保存する際に選択された領域を示すデータを「保存領域データ」と呼ぶ。
ここで、第2の保存領域202の容量は、第1の保存領域201の容量より大きい方が好ましい。つまり、第1の保存領域201の容量は、第2の保存領域202の容量より小さい方が好ましい。本実施形態では、第1のサーバ101から送信されたファイルに含まれているデータを当該データに関連しないダミーデータに書き換える処理(以下、「上書き処理」と呼ぶ)が、第1の保存領域201にて、実行される。「上書き処理」を実行するために必要となる時間は、保存領域の残容量に比例する。
従って、第1の保存領域201の容量は、「上書き処理」を実行することができる大きさを限度として、必要最小限の大きさであることが望ましい。このような構成によれば、第1の保存領域201の容量と第2の保存領域202の容量とが、等しい場合に比べると、「上書き処理」にかかる掛かる負荷を小さくすることができる。
最後に、CPU103は、ファイルを送信したサーバの種類に関わらず、当該ファイルに含まれているデータを、RAM105に電力が供給されなくなる時点よりも前の時点で、第2の不揮発性メモリ108に保存する。つまり、ファイルに含まれているデータが、第1の保存領域201又は第2の保存領域202の何れに一時的に保存されたかに関わらず、当該データは、第2の不揮発性メモリ108に保存される。例えば、印刷装置100の電源がシャットダウンする時点よりも前の時点で、ファイルに含まれているデータは、第2の不揮発性メモリ108に保存される。尚、印刷装置100が受信したファイルに含まれるデータは、第1の不揮発性メモリ106に保存されてもよい。
また、印刷装置100が起動する際には、第2の不揮発性メモリ108に保存されているデータが、RAM105にコピーされ、一時的に保存される。この際、第1の保存領域201又は第2の保存領域202の何れにデータが一時的に保存されるかは、印刷装置100が受信したファイルに付加された「保存領域データ」に基づいて決まる。「保存領域データ」が、第1の保存領域201に一時的に保存されたことを示している場合、第2の不揮発性メモリ108に保存されているデータは、第1の保存領域201にコピーされ、一時的に保存される。他方、「保存領域データ」が、第2の保存領域202に一時的に保存されたことを示している場合、第2の不揮発性メモリ108に保存されているデータは、第2の保存領域202にコピーされ、一時的に保存される。
<上書き処理>
一般的には、揮発性メモリに一時的に保存されているデータは、その揮発性メモリに電力が供給されなくなることで、完全に消去される。これに鑑みると、一般的な印刷装置が、揮発性メモリに一時的に保存されているデータを完全に消去(「セキュア消去」ともいう。)する機能を備えていることは、極めて稀であるといえる。加えて、揮発性メモリに一時的に保存されているデータを完全に消去するには、ファイルシステムに手を加えなければならず、煩雑である。
そこで、本実施形態における印刷装置100は、ファイルを消去する際、RAM105に設けられた第1の保存領域201のセクタに残留しているデータを、そのデータに関連しないダミーデータに書き換える。これにより、セクタに残留しているデータを完全に消去することが困難な場合であっても、データセキュリティは確保される。
尚、セクタとは、ファイルシステムが記憶媒体(例えば、RAM105)を分割して管理する際の単位である。セクタは、一般的には、512バイト等の固定値に設定されている。ファイルシステムは、複数のセクタからなるセクタ群を使用してファイル及びディレクトリを構成する。各セクタには、ヘッダデータが付加されている。セクタに付加されているヘッダデータには、そのセクタ群では、どのファイルを管理しているか、又は、そのセクタ群に含まれているセクタが使用されているか否か等を判定するためのデータが含まれる。
ファイルに含まれているデータ保存しているセクタを示すデータは、ファイルシステムによって管理されている。ファイルシステムは、ファイルを物理ディスク上における何れの領域に保存するかを定める際、ファイルを保存する領域を定めた後、当該ディスク上のセクタを決めて、そのセクタから連続して、そのファイルに含まれているデータを保存する。尚、連続したセクタの途中に、既に使用されているセクタがある場合は、そのセクタを飛ばして、不連続となる別のセクタにデータが保存されることもある。本実施形態では、ファイルがRAM105に一時的に保存される場合、メモリにおいて、そのファイルを管理するセクタ群が決まり、そのファイルに含まれているデータは、そのセクタ群の最初のセクタから連続して一時的に保存される。尚、これらのファイルは、当該ファイルを管理するセクタの場所を示すアドレスに一時的に保存されてもよい。
図3は、本実施形態における第1の保存領域201の模式図である。図3(a)~図3(e)では、有効(つまり、活性状態)となっているセクタをホワイトで示している。他方、無効(つまり、非活性状態)となっているセクタをグレーで示している。
図3(a)は、ファイルが消去される際に、ファイルが第1の保存領域201に一時的に保存されている状態を示す図である。図3(a)に示す様に、第1の保存領域201は、第1のセクタ群301と、第2のセクタ群302と、第3のセクタ群303と、第4のセクタ群304と、第5のセクタ群305と、を備える。図示した例では、消去対象のデータ含むファイルが、第2のセクタ群302にコピーされている。他方、消去対象ではないデータ含むファイルは、第4のセクタ群304にコピーされている。
図3(b)は、図3(a)の状態から、ファイルを消去したことを示すフラグが、第2のセクタ群302の各セクタに対して設定された状態を示す図である。例えば、セキュア印刷アプリケーション200を使用してファイルを消去した場合、ファイルシステムは、そのファイルがコピーされているセクタ群のセクタに、ファイルを消去したことを示すフラグを設定する。そうすると、そのフラグを設定されたセクタを含むセクタ群が、無効(つまり、非活性状態)になる。図示した例では、第2のセクタ群302の各セクタが、活性状態から非活性状態に変わっている。但し、ここでは、第2のセクタ群302の各セクタは無効になっているが、第2のセクタ群302の各セクタには、まだ、消去対象のデータが残留している。つまり、この時点では、ファイルシステムの管理上、第2のセクタ群302の各セクタからデータが消去されているように見えるが、実際には、消去対象のデータが残留している。そこで、本実施形態では、セクタに残留しているデータを、当該データに関連しないダミーデータに書き換える「上書き処理」が実行される。
図3(c)は、図3(b)に示した状態から、非活性状態のセクタが活性状態に変わった様子を示す図である。図示する様に、この時点では、第1の保存領域201における全てのセクタが有効となる。
図3(d)は、ダミーファイルが作成され、保護されていないセクタ群にダミーファイルがコピーされ、そのダミーファイルにダミーデータが書き込まれた状態を示す図である。図示した例では、第4のセクタ群304以外のセクタ群にダミーファイルがコピーされ、第4のセクタ群304以外の各セクタに、ダミーデータが書き込まれている。ダミーデータの一例として、数字の「0」が挙げられる。図示する様に、第4のセクタ群304の各セクタは保護されており、第4のセクタ群304の各セクタに対して、「上書き処理」は、実行されない。尚、消去対象ではないデータを保存しているセクタを保護する手法は、公知技術を用いればよい。「上書き処理」に使用されるダミーデータは、第1の保存領域201の容量の限界となるまで書き込まれる。第1の保存領域201の容量の限界まで、ダミーファイルにダミーデータが書き込まれた後、当該ダミーファイルは、ファイルシステムにより、クローズされる。その後、当該ダミーファイルは、ファイルシステムにより、消去される。そして、ダミーファイルを消去したことを示すフラグが、ファイルシステムにより、ダミーファイルを管理しているセクタ群のセクタに付加される。
図3(e)は、図3(d)の状態から、ダミーファイルを消去したことを示すフラグが、ダミーファイルを管理しているセクタ群のセクタに付加された状態を示す図である。図示する様に、この時点では、第4のセクタ群304以外におけるセクタ群の各セクタが、無効となっている。つまり、この時点では、ファイルシステムの管理上、ダミーファイルは削除されたように見えるが、実際には、第4のセクタ群304以外のセクタ群の各セクタには、ダミーデータが残留している状態となる。
この様な構成によれば、仮に、RAM105が解析されたとしても、消去対象のデータは、ダミーデータに上書きされている。このため、元の消去対象のデータを復元することは、困難となる。即ち、本実施形態の構成によれば、消去対象のデータを消去する代わりに、ダミーデータに上書きすることで、データセキュリティが確保される。
<新規ファイルを保存する場合>
図4は、印刷装置100が、新規のデータを含む新規ファイルを受信してから当該データを第2の不揮発性メモリ108に保存するまでの処理を示すフローチャートである。尚、図4のフローチャートに示される一連の処理は、CPU103がROM104等に保存されているセキュア印刷アプリケーション200をRAM105に展開し、実行することにより行われる。各処理の説明における記号「S」は、当該フローチャートにおけるステップを意味する。尚、図4以外のその他のフローチャートについても同様である。
S401において、CPU103は、サーバから新規のデータ含む新規ファイルを受信する。S402において、CPU103は、印刷装置100に新規ファイルを送信したサーバの種類に応じて処理を振り分ける。印刷装置100に新規ファイルを送信したサーバが第1のサーバ101である場合、CPU103は、S403の処理を実行する。一方、印刷装置100に新規ファイルを送信したサーバが第1のサーバ101ではない場合、CPU103は、S405の処理を実行する。
S403において、CPU103は、新規ファイルに含まれているデータを第1の保存領域201に一時的に保存する。CPU103は、新規ファイルに含まれているデータを第1の保存領域201に一時的に保存すると、S404の処理を実行する。S404において、CPU103は、新規ファイルに含まれているデータが第1の保存領域201に一時的に保存されたことを示す保存領域データを新規ファイルに付加する。CPU103は、新規ファイルに上記の保存領域データを付加すると、S407の処理を実行する。
S405において、CPU103は、新規ファイルに含まれているデータを第2の保存領域202に一時的に保存する。この場合、新規ファイルは、第1のサーバ101以外のサーバから送信されており、本実施形態における上書き処理が必要ないためである。CPU103は、新規ファイルに含まれているデータを第2の保存領域202に一時的に保存すると、S406の処理を実行する。S406において、CPU103は、新規ファイルに含まれているデータが第2の保存領域202に一時的に保存されたことを示す保存領域データを新規ファイルに付加する。CPU103は、新規ファイルに上記の保存領域データを付加すると、S407の処理を実行する。
S407において、CPU103は、保存領域データが付加された新規ファイルを第2の不揮発性メモリ108に保存する。つまり、新規ファイルが、第2の不揮発性メモリ108に新しく追加される。CPU103は、新規ファイルを第2の不揮発性メモリ108に保存すると、本フローチャートにおける一連の処理を終了する。尚、新規ファイルは、第1の不揮発性メモリ106に保存されてもよい。
以上が、印刷装置100が、サーバから新規ファイルを受信して、不揮発性メモリに保存するまでの全体的な制御の内容である。尚、印刷装置100に、新規ファイルが追加される場合には、「上書き処理」は実行されない。
<保存されているデータを消去する場合>
図5は、本実施形態におけるファイルを受信してから上書き処理が実行されるまでの処理を示すフローチャートである。ここでは、印刷装置100が印刷ジョブを受信した例を挙げて説明するが、印刷装置100が受信するファイルの種類は、ファイルシステムを使用した削除の対象となり得る限りにおいて印刷ジョブに限られない。
S501において、CPU103は、サーバから所定のデータ含む印刷ジョブを受信する。S502において、CPU103は、印刷ジョブを第2の不揮発性メモリ108に保存する。尚、印刷ジョブの保存場所は、第1の不揮発性メモリ106でもよい。
S503において、CPU103は、ユーザによる印刷指示の入力があったか否かによって処理を振り分ける。ユーザによる印刷指示の入力があった場合、CPU103は、S504の処理を実行する。一方、ユーザによる印刷指示の入力が無い場合、CPU103は、ユーザによる印刷指示を待つ。S504において、CPU103は、ユーザにより印刷指示が入力された印刷ジョブの印刷出力を実行する。
S505において、CPU103は、印刷装置100に印刷ジョブを送信したサーバの種類に応じて処理を振り分ける。印刷装置100に印刷ジョブを送信したサーバが第1のサーバ101である場合、CPU103は、S506の処理を実行する。一方、印刷装置100に印刷ジョブを送信したサーバが第1のサーバ101ではない場合、CPU103は、S508の処理を実行する。
S506において、CPU103は、第2の不揮発性メモリ108に保存されている印刷ジョブを第1の保存領域201に一時的に保存する。つまり、本ステップでは、ユーザにより印刷指示が入力された印刷ジョブが、RAM105の第1の保存領域201にコピーされる。尚、印刷ジョブを第1の保存領域201にコピーする際には、当該印刷ジョブに含まれる保存領域データが参照される。CPU103は、保存領域データが、第1の保存領域201に一時的に保存されたことがあることを示している場合、印刷ジョブを第1の保存領域201にコピーする。CPU103は、印刷ジョブを第1の保存領域201に一時的に保存すると、S507の処理を実行する。
S507において、CPU103は、第1の保存領域201における印刷出力が完了した印刷ジョブを管理しているセクタ群の各セクタを無効にする。本ステップの処理の終了後、CPU103は、S510の処理を実行する。
S508において、CPU103は、印刷ジョブを第2の保存領域202に保存する。S509において、CPU103は、第2の保存領域202における印刷ジョブを管理しているセクタ群を無効にする。本ステップの処理の終了後、CPU103は、S510の処理を実行する。
S510において、CPU103は、「上書き処理」を実行する。本ステップの詳細については、図6を用いて後述する。CPU103は、「上書き処理」を実行し終えると、本フローチャートにおける一連の処理を終了する。
以上が、印刷装置100が、印刷ジョブを受信してから「上書き処理」を実行するまでの全体的な制御の内容である。
<上書き処理の詳細>
続いて、図5のフローチャートの過程で実行されるサブルーチンについて説明する。S510で実行される「上書き処理」の詳細について、図6のフローチャートに沿って説明する。
図6は、本実施形態における「上書き処理」の処理を示すフローチャートである。
S601において、CPU103は、ダミーファイルを作成し、第1の保存領域201における保護されていないセクタ群にダミーファイルを一時的に保存する。S602において、CPU103は、消去パターンとして定義したダミーデータをダミーファイルに書き込む。つまり、本ステップでは、保護されていない全てのセクタ群の各セクタにダミーデータが書き込まれる。
S603において、CPU103は、第1の保存領域201における容量の限界まで、ダミーファイルにダミーデータを書き込んだか否かを判定する。例えば、標準Cライブラリにて、「ENOSPC」というエラーが発生した場合、ダミーデータが、第1の保存領域201の容量の限界まで、ダミーファイルに書き込まれたと判定される。CPU103が、第1の保存領域201の容量の限界まで、ダミーファイルにダミーデータを書き込んだと判定した場合、CPU103は、S604の処理を実行する。一方、CPU103が、第1の保存領域201の容量の限界まで、ダミーファイルにダミーデータを書き込んでいないと判定した場合、CPU103は、再びS602の処理を実行する。
S604において、CPU103は、ダミーファイルに対するダミーデータの書き込みを止め、ダミーファイルをクローズする。CPU103は、ダミーファイルをクローズすると、S605の処理を実行する。S605において、CPU103は、ダミーファイルを管理しているセクタ群の各セクタを無効にする。CPU103は、ダミーファイルを管理しているセクタ群の各セクタを無効にすると、本フローチャートにおける一連の処理を終了する。
以上が、本実施形態における上書き処理の内容である。上述した通り、本実施形態では、RAMDISKとして使用されるRAM105に対し、一般的なファイル操作(オープン、書き込み、クローズ、消去)を実行することによって、ダミーデータを上書きしている。
本実施形態のような構成であれば、セキュア消去の代替処理として、揮発性メモリに残留している消去対象のデータを、そのデータに関連しないダミーデータに上書きすることができる。従って、揮発性メモリに残留している消去対象のデータを正しく読み出すことが困難となり、データセキュリティを確保することができる。よって、本開示の技術によれば、従来より簡易な手法によって、揮発性メモリに残留しているデータの復元を困難にすることができる。
尚、データがRAM105に残留することがあり得る場合として想定されるのは、ファイルシステムによるファイル消去が実行される場合である。つまり、第2の不揮発性メモリ108に保存されているデータが消去又は更新される場合、データがRAM105に残留し得る。このため、本実施形態では、第2の不揮発性メモリ108に、新規ファイルが追加される場合は、上書き処理が実行されないようにしている。つまり、本実施形態では、第1のサーバ101から新規ファイルを受信することが、「上書き処理」のトリガとならないように制御されている。
[第2の実施形態]
本実施形態では、データを更新する場合であっても、従来より簡易な手法によって、機密データの復元を困難にすることを目的とする。
以下の説明において、第1の実施形態と同様の又は対応する構成については、同一の符号を付すとともに説明を省略し、異なる点を中心に説明する。以下、第1のサーバ101から印刷装置100に、第2の不揮発性メモリ108に保存されているデータの更新指示が送信された場合を想定して説明する。ここでは、ユーザが新規にパスワードを設定し直し、古いパスワードが新しいパスワードに更新される場合を想定して説明する。
<データを更新する場合>
図7は、本実施形態における第1の保存領域201の模式図である。
図7(a)は、第2の不揮発性メモリ108に保存されているファイルが、第1の保存領域201にコピーされた状態を示す模式図である。ここでは、印刷装置100が更新指示を受信した時点で、既に第2の不揮発性メモリ108に保存されているデータを「旧データ」と呼ぶ。図示した例では、コピーされた「旧データ」を含むファイルが、第1の保存領域201における第2のセクタ群302にて、管理されている。「旧データ」の例として、ユーザが、以前から使用していた古いパスワードが挙げられる。
図7(b)は、図7(a)の状態から、旧データを含むファイルを管理しているセクタ群が無効になった状態を示す図である。図示した例では、旧データを含むファイルを管理している第2のセクタ群302が無効になっている。
図7(c)は、図7(b)に示した状態から、更新指示と共に送信されたデータを含むファイルを管理するセクタ群が有効になった状態を示す図である。ここでは、更新指示と共に送信されたデータを「新データ」と呼ぶ。「新データ」の例として、ユーザが、新規に設定した新しいパスワードが挙げられる。
図7(d)は、図7(c)に示した状態から、第1の保存領域201における全てセクタが有効になった状態を示す図である。
図7(e)は、図7(d)に示した時点で、保護されていないセクタ群において管理されているダミーファイルに「ダミーデータ」が書き込まれた状態を示す図である。尚、「新データ」を含むファイルを管理する第4のセクタ群304は、保護されている。このため、第4のセクタ群304では、「上書き処理」は実行されない。
図7(f)は、図7(e)の状態から、ダミーファイルを消去したことを示すフラグが、ダミーファイルを管理しているセクタ群に対して設定された状態を示す図である
従って、本実施形態のような構成によれば、セキュア消去の代替処理として、更新される旧データを保存している各セクタに対して、ダミーデータを上書きすることができる。例えば、ユーザが以前から使用していた古いパスワードをダミーデータに上書きすることができる。よって、セクタに残留している旧データが、ダミーデータに書き換えられることにより、旧データを正しく読み出すことが困難となる。これにより、セクタに残留しているデータのデータセキュリティを確保することができる。
図8は、印刷装置100が、データの更新指示を受信してから上書き処理を実行するまでの処理を示すフローチャートである。
S801において、CPU103は、サーバから第2の不揮発性メモリ108に保存されている旧データの更新指示と、更新内容を含む新データを含む更新用ファイルと、を受信する。S802において、CPU103は、印刷装置100に更新指示と更新用ファイルとを送信したサーバの種類に応じて処理を振り分ける。印刷装置100に更新指示と更新用ファイルとを送信したサーバが第1のサーバ101である場合、CPU103は、S803の処理を実行する。一方、印刷装置100に更新指示と更新用ファイルとを送信したサーバが第1のサーバ101ではない場合、CPU103は、S808の処理を実行する。
S803において、CPU103は、第2の不揮発性メモリ108に保存されているファイルを第1の保存領域201に一時的に保存する。具体的には、第2の不揮発性メモリ108に保存されている旧データが、第1の保存領域201における旧データを含むファイルを管理するセクタ群の各セクタに、コピーされる。S804において、CPU103は、旧データを含むファイルを管理している第1の保存領域201のセクタ群の各セクタを無効にする。S805において、CPU103は、更新用ファイルを管理する第1の保存領域201のセクタ群の各セクタを有効にする。S806において、CPU103は、第1の保存領域201の全てのセクタを有効にする。S807において、CPU103は、「上書き処理」を実行する。尚、本ステップの内容は、図6に示した例と同様である。CPU103は、「上書き処理」を実行し終えると、S811の処理を実行する。
S808において、CPU103は、第2の不揮発性メモリ108に保存されているファイルを第2の保存領域202に一時的に保存する。具体的には、第2の不揮発性メモリ108に保存されている旧データが、第2の保存領域202における旧データを含むファイルを管理するセクタ群の各セクタに、コピーされる。S809において、CPU103は、旧データを含むファイルを管理している第2の保存領域202のセクタ群の各セクタを無効にする。S810において、CPU103は、更新用ファイルを管理する第2の保存領域202のセクタ群の各セクタを有効にして、新データを当該各セクタ一時的に保存する。
S811において、CPU103は、第2の不揮発性メモリ108に、新データを含む更新用ファイル保存する。
以上が、印刷装置100が、データの更新指示を受信してから更新用ファイルを保存するまでの全体的な制御の内容である。本実施形態における印刷装置100によれば、データを更新する場合であっても、従来より簡易な手法によって、機密データの復元を困難にすることができる。
[その他の実施形態]
本実施形態の開示は、以下の構成を含む。
[構成1]
外部装置から送信されたファイルを受信する受信手段と、
前記外部装置が所定のサーバである場合、前記ファイルに含まれているデータを保存する揮発性メモリと、
前記データを保存している前記揮発性メモリのセクタが無効になっている場合、前記揮発性メモリにおける容量の限界まで前記セクタに保存されている前記データをダミーデータに書き換える上書き手段と、を備える、
ことを特徴とする印刷装置。
[構成2]
所定のサーバは、セキュア印刷サービスを提供するサーバである、
構成1に記載の印刷装置。
[構成3]
前記揮発性メモリは、RAMであり、RAMDISKとして使用することができる、
構成1又は2に記載の印刷装置。
[構成4]
第1の保存領域と、前記第1の保存領域よりも容量が大きい第2の保存領域と、を備える前記RAMと、
前記第1の保存領域に残留している前記データを前記ダミーデータに書き換える前記上書き手段と、
構成3に記載の印刷装置。
[構成5]
前記受信手段が所定の回数よりも多い回数、前記ファイルを受信した場合、前記データを前記ダミーデータに書き換える前記上書き手段を備える、
構成1乃至4の何れか1項に記載の印刷装置。
[構成6]
前記揮発性メモリに電力が供給されなくなることが予定されている場合、前記揮発性メモリに保存されている前記データを前記ダミーデータに書き換えない前記上書き手段を備える、
構成1乃至5の何れか1項に記載の印刷装置。
[構成7]
前記データがランレングスアルゴリズムにより圧縮されている場合、前記データをランダムデータに書き換える前記上書き手段を備える、
構成1乃至6の何れか1項に記載の印刷装置。
[構成8]
不揮発性の保存手段に保存されている前記データを更新するための、新データと、更新指示と、
を受信する前記受信手段と、
前記データと、前記更新用データと、を同時に一時的に保存する前記揮発性メモリと、
前記データを前記更新用データに更新する際、前記データを前記ダミーデータに書き換える前記上書き手段と、を備える、
構成1乃至7の何れか1項に記載の印刷装置。
[構成9]
外部装置から送信されたファイルを受信する受信ステップと、
前記外部装置が所定のサーバである場合、前記ファイルに含まれているデータを揮発性メモリに保存する保存ステップと、
前記データを保存している前記揮発性メモリのセクタが無効になっている場合、前記セクタに保存されている前記データをダミーデータに書き換える上書きステップと、を含む、
ことを特徴とする印刷装置の制御方法。
[構成10]
コンピュータを構成1乃至8の何れか1項に記載の印刷装置として機能させるためのプログラム。
図5では、印刷ジョブが送信される例を挙げて説明したが、サーバから送信されるファイルは、印刷ジョブに限られない。サーバから送信されるファイルは、機密データを含む可能性があるのであれば、一般的な文書ファイルであってもよい。
一般的に、メモリに対するデータの書き換えが繰り返されると、そのメモリにダメージが蓄積し、そのメモリの寿命が縮まることが知られている。そこで、印刷ジョブ又は更新指示を受信する度に、毎回、上書き処理が実行されないようにしてもよい。これにより、メモリの書き換え回数を抑制することができる。例えば、CPU103は、所定の回数よりも多い回数、印刷ジョブを受信した場合に、上書き処理を実行することとしてもよい。このような構成によれば、印刷ジョブを受信する度に上書き処理を実行する場合に比べると、メモリの書き換え回数を減らすことができる。このため、例えば、RAM105に掛かる処理負荷を低減することができる。つまり、印刷ジョブを受信する度に上書き処理を実行する場合に比べると、RAM105の寿命を延ばすことができる。
また、RAM105に電力が供給されなくなることが予定されている場合、RAM105に一時的に保存されているデータがダミーデータに書き換えられないようにしてもよい。例えば、印刷装置100がシャットダウンされる事が予定されている場合、上書き処理が実行されないようにしてもよい。印刷装置100がシャットダウンする場合、RAM105に一時的に保存されているデータは、上書き処理せずとも完全に消えるためである。これにより、印刷装置100がシャットダウンする事が予定されているにも関わらず、RAM105に対して上書き処理を実行する場合に比べると、RAM105の寿命を延ばすことができる。
具体的には、印刷装置100におけるファームウェアの更新をジョブとして受信するツールが、予め印刷装置100にインストールされている場合がある。この場合におけるネットワーク接続環境では、当該ツールが最新のファームウェアを自動的に受信する。印刷装置100が、ファームウェアの更新ジョブを受信すると、それまでキューに積まれたジョブが全て完了した後に、「ファームウェアの更新を実行し、再起動する」というアクションが確定する。この場合、印刷装置100は、再起動するために自動的にシャットダウンする。このように、印刷装置100がファームウェアの更新ジョブを受信した場合には、上書き処理が、実行されないようにしてもよい。
第1の実施形態では、ダミーデータとして、ゼロデータが使用されていた。ダミーデータの他の例として、第1の保存領域201に一時的に保存されているデータがランレングスアルゴリズムにより圧縮されている場合、ランダムデータが使用されてもよい。例えば、第1の保存領域201に一時的に保存されているデータが、ランレングスアルゴリズムにより圧縮された結果、ゼロデータとなってしまう場合がある。このような場合、保存されているデータが、上書き処理により、ゼロデータとなっているのか、ランレングスアルゴリズムにより圧縮された結果、ゼロデータとなっているのか、区別できなくなる虞がある。
しかし、第1の保存領域201に一時的に保存されているデータをランダムデータ上書きすることで、データの区別が困難になることを抑制することができる。更に、データをランレングスアルゴリズムにより圧縮する場合、圧縮後のデータは、比較的単純な数字等の配列となるところ、データが解析されてしまう虞がある。これに対して、ランダムデータを使用する場合は、ゼロデータを使用する場合に比べると、ゼロデータより複雑な数字等の配列となるため、データを解析することが困難となる。つまり、第1の保存領域201に一時的に保存されているデータをランダムデータ上書きすることで、データが解析されることを抑制することもできる。
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。

Claims (10)

  1. 外部装置から送信されたファイルを受信する受信手段と、
    前記外部装置が所定のサーバである場合、前記ファイルに含まれているデータを保存する揮発性メモリと、
    前記データを保存している前記揮発性メモリのセクタが無効になっている場合、前記揮発性メモリにおける容量の限界まで前記セクタに保存されている前記データをダミーデータに書き換える上書き手段と、を備える、
    ことを特徴とする印刷装置。
  2. 所定のサーバは、セキュア印刷サービスを提供するサーバである、
    請求項1に記載の印刷装置。
  3. 前記揮発性メモリは、RAMであり、RAMDISKとして使用することができる、
    請求項1又は2に記載の印刷装置。
  4. 第1の保存領域と、前記第1の保存領域よりも容量が大きい第2の保存領域と、を備える前記RAMと、
    前記第1の保存領域に残留している前記データを前記ダミーデータに書き換える前記上書き手段と、
    請求項3に記載の印刷装置。
  5. 前記受信手段が所定の回数よりも多い回数、前記ファイルを受信した場合、前記データを前記ダミーデータに書き換える前記上書き手段を備える、
    請求項1又は2に記載の印刷装置。
  6. 前記揮発性メモリに電力が供給されなくなることが予定されている場合、前記揮発性メモリに保存されている前記データを前記ダミーデータに書き換えない前記上書き手段を備える、
    請求項1又は2に記載の印刷装置。
  7. 前記データがランレングスアルゴリズムにより圧縮されている場合、前記データをランダムデータに書き換える前記上書き手段を備える、
    請求項1又は2に記載の印刷装置。
  8. 不揮発性の保存手段に保存されている前記データを更新するための、新データと、更新指示と、を受信する前記受信手段と、
    前記データと、前記新データと、を同時に一時的に保存する前記揮発性メモリと、
    前記データを前記新データに更新する際、前記データを前記ダミーデータに書き換える前記上書き手段と、を備える、
    請求項1又は2に記載の印刷装置。
  9. 外部装置から送信されたファイルを受信する受信ステップと、
    前記外部装置が所定のサーバである場合、前記ファイルに含まれているデータを揮発性メモリに保存する保存ステップと、
    前記データを保存している前記揮発性メモリのセクタが無効になっている場合、前記セクタに保存されている前記データをダミーデータに書き換える上書きステップと、を含む、
    ことを特徴とする印刷装置の制御方法。
  10. コンピュータを請求項1又は2に記載の印刷装置として機能させるためのプログラム。
JP2022127269A 2022-08-09 2022-08-09 印刷装置、印刷装置の制御方法、プログラム Pending JP2024024444A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2022127269A JP2024024444A (ja) 2022-08-09 2022-08-09 印刷装置、印刷装置の制御方法、プログラム
US18/221,994 US20240053933A1 (en) 2022-08-09 2023-07-14 Printing apparatus, control method of printing apparatus, and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022127269A JP2024024444A (ja) 2022-08-09 2022-08-09 印刷装置、印刷装置の制御方法、プログラム

Publications (1)

Publication Number Publication Date
JP2024024444A true JP2024024444A (ja) 2024-02-22

Family

ID=89846093

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022127269A Pending JP2024024444A (ja) 2022-08-09 2022-08-09 印刷装置、印刷装置の制御方法、プログラム

Country Status (2)

Country Link
US (1) US20240053933A1 (ja)
JP (1) JP2024024444A (ja)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7889363B2 (en) * 2006-12-01 2011-02-15 Lexmark International, Inc. Color laser printer for printing prismatic duo-tone copy-resistant backgrounds
JP2015201806A (ja) * 2014-04-10 2015-11-12 キヤノン株式会社 画像読み取り装置

Also Published As

Publication number Publication date
US20240053933A1 (en) 2024-02-15

Similar Documents

Publication Publication Date Title
KR100578143B1 (ko) 버퍼 메모리에 저장된 데이터를 무효화시키는 스킴을 갖는저장 시스템 및 그것을 포함한 컴퓨팅 시스템
JP5574858B2 (ja) 情報処理装置、情報処理装置の制御方法、プログラム
JP2008015768A (ja) 記憶システム並びにこれを用いたデータの管理方法
JP4837378B2 (ja) データの改竄を防止する記憶装置
JP6875808B2 (ja) 情報処理装置
JP2009169650A (ja) 計算機システム、管理計算機及びデータ管理方法
JP2017027244A (ja) 情報処理装置と、前記情報処理装置による不揮発記憶装置の初期化方法、及びプログラム
WO2009153917A1 (ja) 仮想計算機システム、仮想計算機システムを提供する情報処理装置およびプログラム
JP2015141603A (ja) 画像処理装置およびその制御方法、並びにプログラム
JP5451799B2 (ja) Pos装置
JP2008033527A (ja) ストレージ装置、ディスク装置及びデータ復元方法
JP2006344177A (ja) データ消去装置及びデータ消去プログラム
JP2010009553A (ja) 情報処理装置、情報処理方法、及び情報処理プログラム
JP4962727B2 (ja) データ保存装置
JP2024024444A (ja) 印刷装置、印刷装置の制御方法、プログラム
JP5871497B2 (ja) 情報処理装置、データ消去管理方法およびコンピュータプログラム
JP5133230B2 (ja) 情報処理装置、情報処理方法、及び、プログラム
JP2004013536A (ja) フラッシュメモリ書き換え制御システム、フラッシュメモリ書き換え制御方法、フラッシュメモリ書き換え制御方法の各工程を実行させるプログラムおよび情報記録媒体
JP4707335B2 (ja) 記憶装置、画像形成装置及びファイルサーバ
JP2005313568A (ja) 印刷装置、印刷装置におけるデータの消去方法およびプログラムならびに記録媒体
JP5483933B2 (ja) 記憶装置及びその制御方法、並びにプログラム
JP2024022079A (ja) 情報処理装置および情報処理装置の制御方法
JP2006235791A (ja) 画像処理装置
JP5229855B2 (ja) メモリシステム及びコンピュータシステム
JP6819535B2 (ja) 画像形成装置、画像形成方法及びデータ消去プログラム