JP4773123B2 - 通信装置、証明書転送装置、認証データ転送装置、証明書設定システム、認証データ設定システム、通信装置の制御方法、証明書設定方法、認証データ設定方法、プログラム、および記録媒体 - Google Patents

通信装置、証明書転送装置、認証データ転送装置、証明書設定システム、認証データ設定システム、通信装置の制御方法、証明書設定方法、認証データ設定方法、プログラム、および記録媒体 Download PDF

Info

Publication number
JP4773123B2
JP4773123B2 JP2005105305A JP2005105305A JP4773123B2 JP 4773123 B2 JP4773123 B2 JP 4773123B2 JP 2005105305 A JP2005105305 A JP 2005105305A JP 2005105305 A JP2005105305 A JP 2005105305A JP 4773123 B2 JP4773123 B2 JP 4773123B2
Authority
JP
Japan
Prior art keywords
certificate
authentication
authentication data
communication device
update
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005105305A
Other languages
English (en)
Other versions
JP2005318572A (ja
Inventor
政巳 奈須
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2005105305A priority Critical patent/JP4773123B2/ja
Publication of JP2005318572A publication Critical patent/JP2005318572A/ja
Application granted granted Critical
Publication of JP4773123B2 publication Critical patent/JP4773123B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

この発明は、外部装置と通信可能であり、証明書を記憶している部材を備える交換部材を使用する通信装置、このような通信装置に証明書を転送する証明書転送装置、このような通信装置に認証データを転送する認証データ転送装置、上記の証明書転送装置と通信装置とを備えた証明書設定システム、上記の認証データ転送装置と通信装置とを備えた認証データ設定システム、上記の通信装置の制御方法、上記の通信装置によって上記の交換部材に証明書を設定させる証明書設定方法、上記の通信装置に認証データを設定させる認証データ設定方法、コンピュータに上記の通信装置、証明書転送装置あるいは認証データ転送装置を制御させるためのプログラム、およびこのようなプログラムを記録したコンピュータ読み取り可能な記録媒体に関する。
従来から、種々の装置において、一部の部品を本体から着脱自在なユニットとして構成することにより、そのユニットが故障したり、摩耗あるいは消耗したり、ユニットとしての寿命が経過したりして使用不能になったりしても、ユーザやサービスマンによって容易に交換し、装置全体としての動作を維持できるようにすることが行われている。
そして、このような構成を取ることは、装置の他の部分と比べて耐久性の低い部品や、装置の動作に従って消費される消耗品のような、装置を動作させるに当たって適宜交換して使用する部材を使用する装置においては特に重要である。
また、このような構成を取ることが可能な装置は広範囲に及び、プリンタ,FAX装置,デジタル複写機,スキャナ装置,デジタル複合機等の画像処理装置を始め、ネットワーク家電,自動販売機,医療機器,電源装置,空調システム,ガス・水道・電気等の計量システム,汎用コンピュータ,自動車,航空機等の種々の装置が考えられる。
ここで、具体例として、電子写真方式のプリンタ、デジタル複写機、デジタル複合機等の画像処理装置において使用される、画像形成のためのプロセスカートリッジを取り上げ、この交換可能な部品についてさらに説明する。
また、このような画像処理装置においては、感光体ドラム、帯電ユニット、現像ユニット、トナーボトル、クリーニングユニット、光学ユニット、転写ユニット、給紙ユニット、定着ユニット等の単位でユニット構成とし、交換可能にすることも行われている。
ところで、これらのユニットは、交換用のユニットとして流通させる必要があることから、必ずしも装置本体と同じように流通するとは限らない。また、近年では、装置本体を生産するメーカーの他、装置本体を供給するメーカーとは無関係のメーカーが非純正の交換用のユニットを製造して供給することも行われている。
しかしながら、非純正のユニット(ユニットを使用する装置のメーカーと全く無関係なメーカーが生産する等、ユニットを使用する装置のメーカーが品質を十分に管理できない状態で生産されたユニット)については、装置本体を供給するメーカーが品質を管理することができない場合が多い。従って、このような非純正のユニットを使用した場合、必ずしも装置の動作を保証することができず、また一見正常に動作しているように見えたとしても、細部に不具合が生じたり、異常が発生しやすくなったりすることも考えられる。例えば、上記の画像処理装置の場合には、画像形成品質が低下する等である。そして、このような事態が発生すると、装置自体への信用の低下につながる恐れもある。
そこで、装置本体を供給するメーカーとしては、できるだけ純正のユニット(ユニットを使用する装置のメーカー自身が生産したか、またはそのメーカーが十分に品質を管理できる状態で生産されたユニット)を使用して欲しいという要求がある。
このような要求を実現するための技術としては、例えば特許文献1に記載の技術が考えられる。特許文献1には、消耗品に予め識別情報を記録しておき、その消耗品を用いる画像処理装置が、その識別情報を予め登録してある識別情報と一致するか否かに従って画像形成可否を決定することが記載されている。
特開2002−333800号公報
ここで、上記のような、できるだけ純正のユニットを使用して欲しいという要求を満たすためには、特許文献1の技術を利用して、ユニットに記録してある識別情報が、純正ユニットの識別情報と一致する場合のみ画像形成を可能にすることにより、純正ユニット以外の使用を排除できるようにすることが考えられる。
しかしながら、このような構成とした場合、装置に予め登録してある識別情報を解析されてしまうと、それと同じ識別情報をユニットに記録することが容易である。従って、非純正のユニットの供給者がそのユニットに同じ識別情報を記録してしまえば、それを使用する装置の側では、純正のユニットと非純正のユニットとを区別できなくなってしまうという問題があった。
さらに、非純正のユニットであっても、必ずしも品質に問題があるとは限らず、純正ユニットと同等な品質を有するユニットもあることが考えられる。そして、このようなユニットを使用した場合でも、非純正であるからという理由で一律に装置を動作不能にしてしまうのは、装置のユーザの選択肢を制限することになり、適当な対応とは言えないという問題もあった。
そこで、本件出願人は、電子装置において使用する部材にデジタル証明書を記憶させ、電子装置にそのデジタル証明書を用いてその部材を認証させ、その認証結果に基づいて電子装置に自身の動作を制御させる技術を開発し、このような技術について特許出願を行っている(特願2003−418673、未公開)。
そして、このような技術を採用した場合、部材に改竄や偽造の極めて困難なデジタル証明書を用いて部材を認証するため、単にID番号等の識別情報を取得したとしても、非純正ユニットに純正ユニットと同様なデジタル証明書を記憶させることはきわめて困難であり、純正ユニットを騙るような不正な非純正ユニットの製造は困難となる。
また、部材の純正/非純正等を電子装置自らが識別できるため、部材を使用するに当たって外部装置に部材の適否を問い合わせる必要がなく、ユーザに通信に関する手間、時間、経費等の負担をかけることもない。
しかしながら、このような技術を採用した場合でも、デジタル証明書を記憶させたメモリユニットをまるごと載せ換えたり、メモリ内のデータをまるごとコピーして流用されたりした場合には、非純正ユニットにも純正ユニットのものと同じデジタル証明書を不正に記憶させることが可能になってしまう。そして、このような非純正ユニットについては、電子装置側では純正ユニットと区別することができなくなってしまうという問題があった。
このような問題に対しては、上記のような不正な非純正ユニットが市場に出回ったことを察知した場合に、電子装置のファームウェアを更新し、認証処理の方式や認証に使用するデータ等を更新することが考えられる。そして、ファームウェアの更新は、サービスエンジニアがメモリカードを現場に持参し、直接装置を操作して行うことが考えられるが、対象の装置の数が多い場合には人手や費用の問題で現実的ではない。
また、電子装置が外部装置と通信可能な通信装置である場合には、更新装置からリモートで更新を行うことも考えられるが、一律にファームウェアを更新してしまうと、純正ユニットについても認証が失敗してしまうようになり、純正ユニットも使用できなくなってしまうという問題が考えられる。
この発明は、このような問題を解決し、通信装置が使用する交換部材に証明書を記憶させ、通信装置にその証明書を用いて部材を認証させる場合において、その証明書をまるごとコピーしたような部材の不正品が出回った場合でも、通信装置がその不正品を容易に識別できるようにすることを目的とする。
上記の目的を達成するため、この発明の通信装置は、外部装置と通信可能であり、証明書を記憶している部材を備える交換部材を使用する通信装置において、上記部材が記憶している、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を取得する取得手段と、その手段が取得した証明書を用いて上記交換部材を認証する認証手段と、前記認証手段が前記交換部材の認証に使用する交換部材認証専用の認証データを記憶する記憶手段と、その手段による認証結果に基づいてその通信装置の動作を制御する手段と、前記外部装置から更新用の交換部材認証専用の認証データを受信した場合に前記記憶手段に記憶している認証データをその更新用の認証データに更新する認証データ更新手段と、上記外部装置から上記交換部材の更新用の証明書であって前記更新用の認証データを用いてその正当性を確認できる証明書を受信した場合に上記交換部材が備える上記部材にその更新用の証明書を設定する証明書設定手段とを設けたものである。
また、この発明は、外部装置と通信可能であり、証明書を記憶している部材を備える交換部材を使用する通信装置において、上記部材が記憶している、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を取得する取得手段と、その手段が取得した証明書を用いて上記交換部材を認証する認証手段と、その手段による認証結果に基づいてその通信装置の動作を制御する手段と、上記認証手段が上記交換部材の認証に使用する交換部材認証専用の認証データを記憶する記憶手段と、上記外部装置から更新用の交換部材認証専用の認証データを受信した場合に上記記憶手段に記憶している認証データをその更新用の認証データに更新する認証データ更新手段とを設けた通信装置も提供する。
また、上記の通信装置において、上記証明書設定手段を、上記認証手段による上記交換部材の認証が失敗した場合には、上記更新用の証明書の設定を行わない手段とするとよい。
さらに、上記交換部材が備える上記部材が記憶している証明書を、上記交換部材を使用する通信装置の識別情報が記載されている証明書とするとよい。
また、この発明の証明書転送装置は、通信相手となる通信装置に証明書を転送する証明書転送装置において、上記通信装置から通信要求を受信した場合に、その受信に基づいて、上記通信装置が使用する交換部材であって交換部材認証専用の認証データを用いてその正当性を確認できる証明書を記憶している部材を備える交換部材に記憶させる更新用の証明書の転送要否を判断する判断手段と、その手段が転送が必要と判断した場合に、上記更新用の証明書であって更新前の証明書とはその正当性を確認するための認証データが異なるものと、前記通信装置がその更新用の証明書を用いて前記交換部材を認証する際に使用する更新用の交換部材認証専用の認証データとを上記通信装置に転送する転送手段とを設けたものである。
また、上記更新用の証明書を、上記通信装置の識別情報が記載されている証明書とするとよい。
さらに、上記証明書転送手段に、上記更新用の証明書の転送を行う場合に、転送先の通信装置に、適切な交換部材が備える部材にその証明書を設定するよう要求する手段を設けるとよい。
また、この発明の認証データ転送装置は、通信相手となる通信装置に認証データを転送する認証データ転送装置において、上記通信装置から通信要求を受信した場合に、その受信に基づいて、上記通信装置が自身において使用する交換部材であって交換部材認証専用の認証データを用いてその正当性を確認できる証明書を記憶している部材を備える交換部材を認証する際に使用する更新用の交換部材認証専用の認証データの転送要否を判断する判断手段と、その手段が転送が必要と判断した場合に、上記更新用の認証データを上記通信装置に転送する転送手段とを設けたものである。
また、この発明の証明書設定システムは、通信装置に証明書を転送する証明書転送装置と、その通信相手となる通信装置であり、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を記憶している部材を備える交換部材を使用する通信装置とを備えた証明書設定システムにおいて、上記証明書転送装置に、上記通信装置から通信要求を受信した場合に、その受信に基づいて、上記通信装置が使用する交換部材の更新用の証明書の転送要否を判断する判断手段と、その手段が転送が必要と判断した場合に、上記更新用の証明書であって更新前の証明書とはその正当性を確認するための認証データが異なるものと、前記通信装置がその更新用の証明書を用いて前記交換部材を認証する際に使用する更新用の交換部材認証専用の認証データとを上記通信装置に転送する転送手段とを設け、上記通信装置に、前記交換部材が備える前記部材が記憶している、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を取得する取得手段と、該手段が取得した証明書を用いて前記交換部材を認証する認証手段と、該手段による認証結果に基づいて当該通信装置の動作を制御する手段と、前記認証手段が前記交換部材の認証に使用する交換部材認証専用の認証データを記憶する記憶手段と、前記外部装置から更新用の交換部材認証専用の認証データを受信した場合に前記記憶手段に記憶している認証データをその更新用の認証データに更新する認証データ更新手段と、上記証明書転送装置から上記交換部材の更新用の証明書を受信した場合に上記交換部材が備える上記部材にその更新用の証明書を設定する証明書設定手段とを設けたものである。
また、上記通信装置の上記証明書設定手段を、上記認証手段による上記交換部材の認証が失敗した場合には、上記更新用の証明書の設定を行わない手段とするとよい。
さらにまた、上記交換部材が備える上記部材が記憶している証明書を、上記交換部材を使用する通信装置の識別情報が記載されている証明書とするとよい。
また、この発明の認証データ設定システムは、通信装置に認証データを転送する認証データ転送装置と、その通信相手となる通信装置であり、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を記憶している部材を備える交換部材を使用する通信装置とを備えた認証データ設定システムにおいて、上記認証データ転送装置に、上記通信装置から通信要求を受信した場合に、上記通信装置が上記証明書を用いて上記交換部材を認証する際に使用する更新用の交換部材認証専用の認証データの転送要否を判断する判断手段と、その手段が転送が必要と判断した場合に、上記更新用の認証データを上記通信装置に転送する転送手段とを設け、上記通信装置に、上記部材が記憶している、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を取得する取得手段と、その手段が取得した証明書を用いて上記交換部材を認証する認証手段と、その手段による認証結果に基づいてその通信装置の動作を制御する手段と、上記認証手段が上記交換部材の認証に使用する交換部材認証専用の認証データを記憶する記憶手段と、上記外部装置から更新用の交換部材認証専用の認証データを受信した場合に上記記憶手段に記憶している認証データをその更新用の認証データに更新する認証データ更新手段とを設けたものである。
また、この発明の通信装置の制御方法は、外部装置と通信可能であり、証明書を記憶している部材を備える交換部材を使用する通信装置の制御方法において、上記部材が記憶している、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を取得する取得手順と、その手順で取得した上記証明書を用いて上記交換部材を認証する認証手順とを上記通信装置に実行させ、前記認証手順で前記交換部材の認証に使用する交換部材認証専用の認証データを記憶させておき、上記認証手順における認証結果に基づいて上記通信装置の動作を制御するようにし、さらに、前記外部装置から更新用の交換部材認証専用の認証データを受信した場合に前記記憶させておいた認証データをその更新用の認証データに更新する認証データ更新手順と、上記外部装置から上記交換部材の更新用の証明書であって前記更新用の認証データを用いてその正当性を確認できる証明書を受信した場合に上記交換部材が備える上記部材にその更新用の証明書を設定する証明書設定手順も上記通信装置に実行させるようにしたものである。
また、この発明は、外部装置と通信可能であり、証明書を記憶している部材を備える交換部材を使用する通信装置の制御方法において、上記部材が記憶している、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を取得する取得手順と、その手順で取得した上記証明書を用いて上記交換部材を認証する認証手順とを上記通信装置に実行させ、上記認証手順における認証結果に基づいて上記通信装置の動作を制御するようにし、さらに、上記認証手順で上記交換部材の認証に使用する交換部材認証専用の認証データを記憶させておき、上記外部装置から更新用の交換部材認証専用の認証データを受信した場合に上記記憶させておいた認証データをその更新用の認証データに更新する認証データ更新手順を上記通信装置に実行させるようにした通信装置の制御方法も提供する。
さらに、上記証明書設定手順において、上記認証手順における上記交換部材の認証が失敗した場合には、上記更新用の証明書の設定を行わないようにするとよい。
さらに、上記交換部材が備える上記部材が記憶している証明書を、上記交換部材を使用する通信装置の識別情報が記載されている証明書とするとよい。
また、この発明の証明書設定方法は、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を記憶している部材を備える交換部材を使用する通信装置によってその交換部材に証明書を設定させる証明書設定方法において、上記通信装置と通信可能な証明書転送装置に、上記通信装置から通信要求を受信した場合に、その受信に基づいて、上記通信装置が使用する交換部材の更新用の証明書の転送要否を判断する判断手順と、その手段が転送が必要と判断した場合に、上記更新用の証明書であって更新前の証明書とはその正当性を確認するための認証データが異なるものと、前記通信装置がその更新用の証明書を用いて前記交換部材を認証する際に使用する更新用の交換部材認証専用の認証データとを上記通信装置に転送する転送手順とを実行させ、上記通信装置に、前記交換部材が備える前記部材が記憶している、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を取得する取得手順と、該手順で取得した証明書を用いて前記交換部材を認証する認証手順とを実行させ、前記認証手順で前記交換部材の認証に使用する交換部材認証専用の認証データを記憶させておき、前記認証手順における認証結果に基づいて当該通信装置の動作を制御させ、前記外部装置から更新用の交換部材認証専用の認証データを受信した場合に、前記記憶させておいた認証データをその更新用の認証データに更新する認証データ更新手順と、上記証明書転送装置から上記交換部材の更新用の証明書を受信した場合に上記交換部材が備える上記部材にその更新用の証明書を設定する証明書設定手順を実行させるようにしたものである。
また、上記通信装置に実行させる上記証明書設定手順を、上記認証手順において上記部材の認証が失敗した場合には、上記更新用の証明書の設定を行わない手順とするとよい。
さらにまた、上記交換部材が備える記部材が記憶している証明書を、上記部材を使用する通信装置の識別情報が記載されている証明書とするとよい。
また、この発明の認証データ設定方法は、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を記憶している部材を備える交換部材を使用する通信装置に認証データを設定させる認証データ設定方法において、上記通信装置と通信可能な証明書転送装置に、上記通信装置から通信要求を受信した場合に、その受信に基づいて、上記通信装置上記証明書を用いて上記交換部材を認証する際に使用する更新用の交換部材認証専用の認証データの転送要否を判断する判断手段と、その手段が転送が必要と判断した場合に、上記更新用の認証データを上記通信装置に転送する転送手順とを実行させ、上記通信装置に、上記部材が記憶している、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を取得する取得手順と、その手順で取得した証明書を用いて上記交換部材を認証する認証手順とを実行させ、上記認証手順における認証結果に基づいてその通信装置の動作を制御させ、上記外部装置から更新用の交換部材認証専用の認証データを受信した場合に、上記認証手順において上記交換部材の認証に使用する認証データとしてその更新用の認証データを設定する認証データ更新手順も実行させるようにしたものである。
また、この発明のプログラムは、外部装置と通信可能であり、証明書を記憶している部材を備える交換部材を使用する通信装置を制御するコンピュータを、上記部材が記憶している、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を取得する取得手段と、その手段が取得した証明書を用いて上記交換部材を認証する認証手段と、前記認証手段が前記交換部材の認証に使用する交換部材認証専用の認証データを記憶する記憶手段と、その手段による認証結果に基づいてその通信装置の動作を制御する手段と、前記外部装置から更新用の交換部材認証専用の認証データを受信した場合に前記記憶手段に記憶している認証データをその更新用の認証データに更新する認証データ更新手段と、上記外部装置から上記交換部材の更新用の証明書であって前記更新用の認証データを用いてその正当性を確認できる証明書を受信した場合に上記交換部材が備える上記部材にその更新用の証明書を設定する証明書設定手段として機能させるためのプログラムである。
また、この発明は、外部装置と通信可能であり、証明書を記憶している部材を備える交換部材を使用する通信装置を制御するコンピュータを、上記部材が記憶している、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を取得する取得手段と、その手段が取得した証明書を用いて上記交換部材を認証する認証手段と、その手段による認証結果に基づいてその通信装置の動作を制御する手段と、上記認証手段が上記交換部材の認証に使用する交換部材認証専用の認証データを記憶する記憶手段と、上記外部装置から更新用の交換部材認証専用の認証データを受信した場合に上記記憶手段に記憶している認証データをその更新用の認証データに更新する認証データ更新手段として機能させるためのプログラムも提供する。
さらに、この発明は、通信相手となる通信装置に証明書を転送する証明書転送装置を制御するコンピュータを、上記通信装置から通信要求を受信した場合に、その受信に基づいて、上記通信装置が使用する交換部材であって交換部材認証専用の認証データを用いてその正当性を確認できる証明書を記憶している部材を備える交換部材に記憶させる更新用の証明書の転送要否を判断する判断手段と、その手段が転送が必要と判断した場合に、上記更新用の証明書であって更新前の証明書とはその正当性を確認するための認証データが異なるものと、前記通信装置がその更新用の証明書を用いて前記交換部材を認証する際に使用する更新用の交換部材認証専用の認証データとを上記通信装置に転送する転送手段として機能させるためのプログラムも提供する。
さらに、この発明は、通信相手となる通信装置に認証データを転送する認証データ転送装置を制御するコンピュータを、上記通信装置から通信要求を受信した場合に、その受信に基づいて、上記通信装置が自身において使用する交換部材であって交換部材認証専用の認証データを用いてその正当性を確認できる証明書を記憶している部材を備える交換部材を認証する際に使用する更新用の交換部材認証専用の認証データの転送要否を判断する判断手段と、その手段が転送が必要と判断した場合に、上記更新用の認証データを上記通信装置に転送する転送手段として機能させるためのプログラムも提供する。
また、この発明の記録媒体は、上記のいずれかのプログラムを記録したコンピュータ読み取り可能な記録媒体である。
以上のようなこの発明の通信装置、証明書転送装置、認証データ転送装置、証明書設定システム、認証データ設定システム、通信装置の制御方法、証明書設定方法、または認証データ設定方法によれば、通信装置が使用する部材に証明書を記憶させ、通信装置にその証明書を用いて部材を認証させる場合において、その証明書をまるごとコピーしたような部材の不正品が出回った場合でも、通信装置がその不正品を容易に識別できるようにすることができる。
また、この発明のプログラムによれば、コンピュータに通信装置、証明書転送装置あるいは認証データ転送装置を制御させてその特徴を実現し、同様な効果を得ることができる。この発明の記録媒体によれば、上記のプログラムを記憶していないコンピュータにそのプログラムを読み出させて実行させ、上記の効果を得ることができる。
以下、この発明の好ましい実施の形態を図面を参照して説明する。
〔第1の実施形態:図1乃至図28〕
まず、この発明によるデジタル証明書設定システム及び認証データ設定システムの第1の実施形態について説明する。なお、デジタル証明書と認証データとの双方を取り扱うことは必須ではないが、以下に説明する各実施形態においては、これら双方を取り扱う例を示しているので、説明を簡単にするため、「デジタル証明書設定システム」、「デジタル証明書設定装置」等の呼称を用いることにする。
このデジタル証明書設定システムの構成は、図1(a)に示すとおりであり、下位装置1と上位装置700とを備える。そしてここでは、下位装置1は、この発明の通信装置の実施形態とし、上位装置700は、この発明のデジタル証明書転送装置の実施形態であり、画像処理装置の遠隔管理を行う管理装置とする。また、上位装置700は、下位装置1や下位装置1が使用する部材に記憶させるデジタル証明書を発行する認証局(CA)800と通信可能としている。このようなCA800は用途に応じて複数設けても良いが、説明を簡単にするため、ここでは1つにしている。
このようなデジタル証明書管理システムは、図1(b)に示すように複数の下位装置1を設け、上位装置700が各下位装置1と通信可能なような構成とすることもできる。また、上位装置700は1つのデジタル証明書設定システムについて1つであるが、1つのCA800を複数の上位装置700と通信可能とし、複数のデジタル証明書設定システムと通信可能としても構わない。
ここで、まず、下位装置1(ここでは通信装置であるので、以下、「通信装置1」と呼ぶ)単独での構成及び機能について先に説明する。
この通信装置1は、図1(a)に示すように、装置本体10と、部品20とを備え、これらをバスで接続して構成している。そして、部品20は、装置本体10とは独立して交換可能な部品であり、デジタル証明書を記憶した部材である。
また、この通信装置1においては、電源ONやリセット等により、装置が起動された場合、その初期化処理において、装置本体10と部品20との間で、PKI(Public Key Infrastructure)を利用した認証処理を行い、認証が失敗した場合に警告を発するようにしている。また、認証失敗の内容に応じてその警告の内容を変化させるようにしている。
そして、図1(a)には、装置本体10と部品20とが相互認証を行う場合、これに関与する構成を簡単に表わしている。
すなわち、装置本体10のCPU11が証明書メモリとして機能するNVRAM14から認証処理に必要な装置本体10側のデジタル証明書や鍵を読み出す。
また、部品20のCPU21が証明書メモリとして機能するNVRAM24から認証処理に必要な部品20側のデジタル証明書や鍵を読み出す。そして、CPU11とCPU21との間で通信を行い、これらのデジタル証明書や鍵を用いて認証処理を行うという具合である。なお、この場合において、CPU11とCPU21及びこれらの間のバスやインタフェースがそれぞれ通信手段に該当する。
ここで、図2に、図1に示した通信装置1の構成を、より詳細に示す。
この図に示すように、通信装置1において、装置本体10は、CPU11、ROM12、RAM13、NVRAM(不揮発RAM)14、I/O(入出力)ポート15を備え、これらが内部バス16によって接続されている。そして、CPU11がROM12やNVRAM14に記憶しているプログラムを実行することにより、取得手段、認証手段、制御手段を初めとする各手段として機能し、部品20を初めとする装置各部の制御や、その各部との間のデータ通信に関する処理を行う。
また、NVRAM14は、記憶手段であり、ここに上記の認証処理に使用するデジタル証明書及び鍵を記憶する。I/Oポート15は、装置本体10をバス30に接続するためのインタフェースであり、CPU11と共に通信手段として機能する。またここには、必要に応じて、通信装置1をLAN(ローカルエリアネットワーク)等のネットワークに接続するためのインタフェースも設ける。
一方、部品20も、CPU21、ROM22、RAM23、NVRAM24、I/Oポート25を備え、これらが内部バス26によって接続されている。このうちNVRAM24には、上記の認証処理に使用するデジタル証明書及び鍵を記憶する。そして、CPU21がROM22やNVRAM24に記憶しているプログラムを実行することにより、部品20の制御やデータ管理、装置本体10とのデータ通信及び認証処理に関する処理を行う。すなわち、CPU21は、通信手段及び演算手段として機能する。なお、これらの各部は、制御チップとして設けてもよいし、部品20を装置本体10と接続するためのソケット上に設けることもできる。
なお、図2に示した構成のうち、図1(a)に示していない部分は、装置本体10と部品20との間の認証処理に補助的に関与するのみであるので、以後は、図1(a)に示した構成を前提として説明する。
また、説明を簡単にするため、以下の説明(他の実施形態も含む)においては、認証を行う部品20が1つである場合に関する構成及び処理のみについて説明するが、このような部品を複数設ける場合には、他の部品についても同様な構成を有し、装置本体10との間で並列にあるいは順次に同様な処理を行うものとする。
次に、NVRAM14及び24に記憶させる、認証処理に使用するための証明書及び鍵について説明する。図3に、それぞれのNVRAMに記憶させる証明書及び鍵の種類を示す。
この通信装置1においては、部品20のNVRAM24には図3(a)に示す部品公開鍵証明書、部品私有鍵及びルート鍵証明書を、装置本体10のNVRAM14には図3(b)に示す装置公開鍵証明書、装置私有鍵及びルート鍵証明書を記憶させる。
これらの証明書等は、それぞれ公開鍵暗号に係る公開鍵証明書、私有鍵及びルート鍵証明書を含む。このうち私有鍵は、図1に示した認証局(CA:certificate authority)800が各装置(ここでは通信装置1)あるいはその装置が使用する部材(ここでは部品20)に対して発行した私有鍵であり、公開鍵証明書は、その私有鍵と対応する公開鍵にCA800がデジタル署名を付してデジタル証明書としたものである。また、ルート鍵証明書は、CA800がデジタル署名に用いたルート私有鍵と対応するルート鍵に、デジタル署名を付してデジタル証明書としたものである。
図4にこれらの関係を示す。
図4(a)に示すように、例えば公開鍵Aは、これと対応する私有鍵を用いて暗号化された文書を復号化するための鍵本体と、その公開鍵の発行者(CA)や有効期限等の情報を含む書誌情報とによって構成される。そして、CAは、鍵本体や書誌情報が改竄されていないことを示すため、公開鍵Aをハッシュ処理して得たハッシュ値を、ルート私有鍵を用いて暗号化し、デジタル署名として公開鍵Aに付す。またこの際に、デジタル署名に用いるルート私有鍵の識別情報を署名鍵情報として公開鍵Aの書誌情報に加える。そして、このデジタル署名を付した公開鍵証明書が、公開鍵証明書Aである。
この公開鍵証明書Aを認証処理に用いる場合には、ここに含まれるデジタル署名を、ルート私有鍵と対応する公開鍵であるルート鍵の鍵本体を用いて復号化する。この復号化が正常に行われれば、デジタル署名が確かにCAによって付されたことがわかる。また、公開鍵Aの部分をハッシュ処理して得たハッシュ値と、復号して得たハッシュ値とが一致すれば、鍵自体も損傷や改竄を受けていないことがわかる。さらに、受信したデータをこの公開鍵Aを用いて正常に復号化できれば、そのデータは、私有鍵Aの持ち主から送信されたものであることがわかる。
以上のような公開鍵証明書は、例えばX.509と呼ばれるフォーマットに従って作成することができるが、これに限定されるものではない。
ここで、認証を行うためには、ルート鍵を予め記憶しておく必要があるが、このルート鍵も、図4(b)に示すように、CAがデジタル署名を付したルート鍵証明書として記憶しておくようにしている。このルート鍵証明書は、自身に含まれる公開鍵でデジタル署名を復号化可能な、自己署名形式である。そして、ルート鍵を使用する際に、そのルート鍵証明書に含まれる鍵本体を用いてデジタル署名を復号化し、ルート鍵をハッシュ処理して得たハッシュ値と比較する。これが一致すれば、ルート鍵が破損等していないことを確認できるのである。
以上から、通信装置1においては、ルート鍵が部品20を認証する際に部品公開鍵証明書の正当性を確認するための認証データであり、そのデータをルート鍵証明書の形式で記憶しているということができる。
次に、図5に部品公開鍵証明書及び装置公開鍵証明書に記載する情報をより詳細に示す。
図5(a)に示すように、部品公開鍵証明書には、書誌情報に、その公開鍵証明書の有効期限と共に、公開鍵の発行対象の部品に関する情報として、その部品の種別、製造メーカー、製造年月日、使用装置ID等の情報を記載している。これらの情報は、書き換えが不要な情報であるので、改竄を防止するため、公開鍵の内部に記載するようにしたものである。
なお、部品の種別は、「プロセスカートリッジ」のような大まかなカテゴリでもよいし、バージョン情報を加えたり、品番で記載したりして、より詳細に示すようにしてもよい。シリアル番号を記載するようにすれば、部材の個体を識別することもできる。
また、「使用装置ID」は、公開鍵の発行対象の部品の使用を許可されている装置の識別情報、すなわち、この証明書を記憶している部品を使用できる装置の識別情報である。そして、この情報は装置のシリアル番号等により記載することができる。また、複数の装置の識別情報を記載してもよく、その場合には、記載されたどの装置もその証明書を記憶している部品を使用することができるという意味になる。
部品公開鍵証明書にこのような「使用装置ID」の情報を記載することにより、後述するように、交換可能な部品を、同一機種中においても特定の装置においてのみ使用可能とすることができる。また、このことにより、仮に純正ユニットのメモリから公開鍵証明書,私有鍵及びルート鍵証明書の全てをダンプして他のユニットにコピーしたとしても、コピー先のユニットを他の装置で使用することができないため、証明書の不正使用防止に効果がある。なお、この「使用装置ID」については、書き換えが必要になるケースも考えられるが、改竄の防止を優先して公開鍵の内部に記載している。
この他にも、部品に関する情報であって書き換えの不要な情報があれば、書誌情報の部分に記載するようにするとよい。例えば、部品の製造時に定まる固定的な動作条件や使用条件を記載しておき、装置本体10側でこれを取得して動作時の制御に使用するようにしてもよい。
そして、このような情報を部品公開鍵証明書に記載しておけば、上記のようなコピー証明書により認証処理をクリアしたとしても、動作条件や使用条件を変更することができないため、コピー先のユニットを使用しても高い動作品質を得ることができない。従って、部品公開鍵証明書に動作条件や使用条件等を記載することも、証明書の不正使用防止に効果がある。
また、装置公開鍵証明書には、図5(b)に示すように、書誌情報に、その公開鍵証明書の有効期限と共に、公開鍵の発行対象の装置に関する情報として、その装置の識別情報であるID(シリアル番号等)の情報を記載している。従って、各装置毎に別々の公開鍵証明書を記憶させることになる。ただし、ID等、個体を識別するための情報を記載せず、例えば特定の機能(カラー画像処理装置等)の装置には全て同じ公開鍵証明書を記憶させるようにすることもできる。
次に、図6に、このような通信装置1において装置本体10のCPU11が起動時に行う処理のフローチャートを示し、この処理について説明する。
通信装置1において、CPU11は、電源ONやリセット等により装置の起動処理を行う場合、所要の制御プログラムを実行することにより、図6のフローチャートに示す処理を開始する。
この処理においては、まずステップS1で、各部の初期化や動作可能状態への移行等の一般的な起動処理を行う。なお、部品20が設置されていなかった場合等は、この時点でエラーとする。
そしてその後、ステップS2で、図3乃至図5を用いて説明した証明書等を使用して部品20の認証処理を行う。この処理の具体的な内容については後に詳述するが、この認証は、部品20が純正ユニットである場合に成功し、非純正ユニットである場合には失敗するような処理である。またこの処理において、部品公開鍵証明書に記載されている「使用装置ID」の情報を記憶しておく。そして、この処理が取得手順及び認証手順の処理であり、ここではCPU11が取得手段及び認証手段として機能する。
図6の説明に戻ると、次に、ステップS3で、ステップS2の認証処理において部品20の認証が成功したか否か判断する。そして、成功していれば、部品20は純正ユニットであることがわかるので、次のステップS6に進む。
一方、ステップS3で認証が失敗していれば、部品20は非純正ユニットであり、品質に問題がある可能性があるので、ステップS4で操作部209のディスプレイに警告表示を行う。その表示画面としては、例えば図7に示すものが考えられる。また、この処理が警告手順の処理であり、ここではCPU11及び操作部209が警告手段として機能する。
そして、ユーザがその表示画面中で確認キー240を押下するか、または所定時間経過すると、ステップS5で警告を解除するタイミングであると判断し、ステップS9に進んで以後は通常動作を許可する。このとき、操作部209における表示も通常のものに戻す。
すなわち、ステップS3乃至S5の処理により、認証処理における認証結果に基づいて通信装置1の動作を変化させるように制御する。
また、ステップS3からステップS6に進んだ場合には、ステップS6で、ステップS2の認証処理において記憶した「使用装置ID」の情報に自身のIDが含まれているか否か判断し、このことにより認証結果を決定し、ここでは設置されている部品20が通信装置1において使用が許可されているものであるか否かを判断する。この処理も部品を認証する認証手順の処理の一部であり、ここでもCPU11は認証手段として機能する。
そして、IDが含まれていれば認証成功であり、部品20は通信装置1において使用が許可されている部品であり、通常動作を許可してよいことがわかるので、そのままステップS9で通信装置1の通常動作を許可し、以後は各部の通常動作を制御する通常動作処理に移行する。
一方、ステップS6でIDが含まれていなければ認証失敗であり、部品20は通信装置1での使用が許可されていない部品であることがわかるので、ステップS7で操作部209のディスプレイに警告表示を行う。その表示画面としては、例えば図8に示すものが考えられる。また、この処理も警告手順の処理であり、ここでもCPU11及び操作部209が警告手段として機能する。
ステップS7の状態になる場合、ユーザが部品20を誤った装置に設置したか、あるいは他の純正部品から証明書をコピーした不正な部品を設置したかのどちらかである可能性が高いと考えられる。そこで、確認キーの押下により通常動作へ移行させることはせず、ユーザに部品を交換させるようにしている。
そして、交換が完了するまでステップS8で待機し、その後ステップS2に戻って処理を繰り返すようにしている。
このように、これらのステップS6乃至S8の処理によっても、認証処理における認証結果に基づいて通信装置1の動作を変化させるように制御している。
なお、ステップS7での警告表示を図7に示したようなものにし、ステップS4及びS5の場合と同様に、所定の条件が満たされた場合に警告を解除して通常動作を許可するようにすることも考えられる。
以上のような処理を行うことにより、部品20として非純正の部品が設置されている場合には、通信装置1が正常に動作しない可能性がある旨の警告を発することができる。そして、このとき部品20の認証にデジタル証明書を使用するので、部品の種別やメーカー名等の情報が改竄された場合でもこれを見破ることができ、非純正の部品を高い信頼性で識別することができる。
従って、ユーザが非純正の部品を純正の部品と思い込んで使用することはないので、非純正部品の不具合によって動作品質の低下等装置の動作に悪影響が生じた場合には、部品に原因があることを理解しやすく、装置本体の信用の低下を防止することができる。また、品質を重視するユーザには、純正の部品の選択を促すことができるので、装置の供給者が品質を管理できる消耗品を使用してもらえるようにすることにもつながる。そして、純正の消耗品は、使用する装置に合わせてメーカー側で十分に特性を調整できることから、このような純正品の使用は、高い動作品質が得られるという点でユーザ側にもメリットがある。
また、上記の処理を行うことにより、通信装置1での使用が許可されていない部品が設置されている場合には、その旨及び交換を促す旨の警告を発することができる。そして、このとき部品20の識別にデジタル証明書を使用するので、部品の使用装置IDの情報が改竄された場合でもこれを見破ることができる。
従って、純正部品の証明書や鍵セットをそっくりコピーした不正部品が出回った場合でも、使用装置IDの情報を書き換えることができないため、その部品を特定の装置でしか使用できないようにすることができ、被害を最小限に抑えることができる。そして、純正部品についても、供給側が許可した装置においてのみ使用させることができるので、製品をユーザに渡して使用させる場合においても、供給側で使用目的の管理を容易に行うことができ、供給者の意図しない使用を防止することができる。また、このような処理を行うに際して、外部の装置と通信を行う必要がないので、通信に係る余計なコストをユーザに負担させることがない。
なお、上記の処理において、ステップS6の処理をステップS3の処理の後にしているのは、使用装置IDの情報を含んでいなかったり、そもそも公開鍵証明書を記憶していなかったりする非純正の部品に対し、一律に不正部品あるいは誤った装置に装着された部品と同一な取扱いをしないようにするためである。このようにする必要がないのであれば、ステップS6の処理を先に行い、通信装置1自身の使用装置IDを含む証明書を有しない部品を先に排除するようにしてもよい。あるいは、ステップS2の認証処理で、通信装置1自身の使用装置IDが記載されていない公開鍵証明書を正当な公開鍵証明書と認めないようにしてもよい。
また、上記の警告は、メッセージの表示に加えて、またはこれに代えて、警告音、音声による案内、光源の点灯や点滅等によって行ってもよいことはもちろんである。さらに、警告以外でも、認証処理の結果を報知できる内容の動作であれば、その手段は問わない。
また、ここでは起動処理直後に認証処理を行う例について説明したが、認証処理を行うタイミングはこれに限られず、任意のタイミングで行うことができる。
ここで、図6のステップS2で行う認証処理の詳細を図9のフローチャートに示す。なお、この図において、2本のフローチャート間の矢印は、データの転送を示し、送信側は矢印の根元のステップで転送処理を行い、受信側はその情報を受信すると矢印の先端のステップの処理を行うものとする。また、各ステップの処理が正常に完了しなかった場合には、その時点で通信相手に認証失敗の応答を返して処理を中断し、図6のステップS3に進むものとする。相手から認証失敗の応答を受けた場合、処理がタイムアウトした場合等も同様である。
ここで、図6のステップS2で行う認証処理の詳細を図10のフローチャートに示す。なお、この図において、2本のフローチャート間の矢印は、データの転送を示し、送信側は矢印の根元のステップで転送処理を行い、受信側はその情報を受信すると矢印の先端のステップの処理を行うものとする。また、各ステップの処理が正常に完了しなかった場合には、その時点で通信相手に認証失敗の応答を返して処理を中断し、図6のステップS3に進むものとする。相手から認証失敗の応答を受けた場合、処理がタイムアウトした場合等も同様である。
図6のステップS2の処理においては、装置本体10のCPU11は、図9の左側に示すフローチャートの処理を行う。そして、まずステップS10で装置本体10側の証明書や鍵をNVRAM14から読み込み、ステップS11で部品20に対して接続要求を送信する。
一方、部品20のCPU21は、この接続要求を受信すると、所要の制御プログラムを実行することにより、図9の右側に示すフローチャートの処理を開始する。そして、ステップS20でNVRAM24から部品側の証明書や鍵を読み込み、ステップS21で第1の乱数を生成し、これを部品私有鍵を用いて暗号化する。そして、ステップS22でその暗号化した第1の乱数と部品公開鍵証明書とを装置本体10に送信する。
装置本体10側では、これを受信すると、ステップS12でルート鍵証明書を用いて部品公開鍵証明書の正当性を確認する。これには、上述のように損傷や改竄を受けていないことを確認するのみならず、書誌情報を参照して、装置本体10側で記憶している情報と比較し、部品20が通信装置1(あるいは装置本体10)での使用に適した部品であること、例えば純正の部品であることや、適当な種別の部品であることを確認する処理を含む。
部品20が非純正のものであった場合には、適切な公開鍵証明書を記憶させておくことはできないはずであるので、認証処理はここで失敗すると考えられる。逆に、部品20が純正のものである場合には、適切な公開鍵証明書を記憶させておくことができるので、ユーザが誤った部品を設置していなければ、この部分の処理を成功させることができると考えられる。
そしてステップS12で確認ができると、ステップS13で、受信した部品公開鍵証明書に含まれる部品公開鍵を用いて第1の乱数を復号化する。ここで復号化が成功すれば、第1の乱数は確かに部品公開鍵証明書の発行対象から受信したものだと確認できる。そして、これが確認できた場合、部品20に対して認証成功の旨を示す情報を送信する。
また、部品20側では、この情報を受信すると、ステップS23で装置本体10に対し、認証のための公開鍵証明書の送信を要求する。
すると、装置本体10側ではこれに応じてステップS14で第2の乱数及び共通鍵の種を生成する。共通鍵の種は、例えばそれまでの通信でやり取りしたデータに基づいて作成することができる。そして、ステップS15で第2の乱数を装置私有鍵を用いて暗号化し、共通鍵の種を部品公開鍵を用いて暗号化し、ステップS16でこれらを装置公開鍵証明書と共に部品20に送信する。共通鍵の種の暗号化は、部品20以外の対象に乱数を知られないようにするために行うものである。
部品20側では、これを受信すると、ステップS24でルート鍵証明書を用いて装置公開鍵証明書の正当性を確認する。これにも、ステップS12の場合と同様、通信装置1(または装置本体10)が部品20の使用に適した装置であることを確認する処理を含めるようにするとよい。
そして確認ができると、ステップS25で、受信した装置公開鍵証明書に含まれる装置公開鍵を用いて第2の乱数を復号化する。ここで復号化が成功すれば、第2の乱数は確かに装置公開鍵証明書の発行対象から受信したものだと確認できる。
その後、ステップS26で部品私有鍵を用いて共通鍵の種を復号化する。ここまでの処理で、装置本体10側と部品20側に共通鍵の種が共有されたことになる。そして、少なくとも共通鍵の種は、生成した装置本体10と、部品私有鍵を持つ部品20以外が知ることはない。ここまでの処理が成功すると、部品20側でもステップS27で復号化で得た共通鍵の種から以後の通信の暗号化に用いる共通鍵を生成する。
そして、装置本体10側のステップS17と部品20側のステップS27の処理が終了すると、相互に認証の成功と以後の通信に使用する暗号化方式とを確認し、生成した共通鍵を用いてその暗号化方式で以後の通信を行うものとして認証に関する処理を終了する。なお、この確認には、部品20からの認証が成功した旨の応答も含むものとする。以上の処理によって互いに通信を確立し、以後はステップS17又はS27で生成した共通鍵を用い、共通鍵暗号方式でデータを暗号化して通信を行うことができる。
このような処理を行うことにより、装置本体10と部品20が安全に共通鍵を共有することができ、デジタル証明書を利用して通信を暗号化した、安全な通信経路を確立することができる。
なお、ここでは互いに相手が記憶しているデジタル証明書を用いて相互認証を行う例について説明したが、上述した処理において、第2の乱数を装置公開鍵で暗号化し、装置公開鍵証明書を部品20に送信することは必須ではない。
この場合、部品20側のステップS23及びS24の処理は不要になり、処理は図10に示すようになる。このようにすると、部品20が装置本体10を認証することはできないが、装置本体10が部品20を認証するだけでよい場合にはこの処理で十分である。そしてこの場合には、装置本体10に記憶させるのはルート鍵証明書のみでよく、装置私有鍵及び装置公開鍵証明書は不要である。また、部品20にはルート鍵証明書を記憶させる必要はない。
ところで、上述のような認証に使用するデジタル証明書は、図3及び図5に示したものには限られない。
例えば、部品20に対する公開鍵を、部品用の専用のCAが発行するようにするとよい。このようにした場合、図11に示すように、公開鍵に付すデジタル署名は、その専用のCAが付すことになるわけであるから、これの正当性を確認するためのルート鍵証明書も、それに対応して部品認証専用のルート鍵証明書を使用することになる。
すなわち、図12(b)に示すように、装置本体10に、他の装置との通信に使用する通常ルート鍵証明書とは別に、部品20を認証するための専用のルート鍵証明書として、部品認証用ルート鍵証明書を記憶させておくことになる。そして、図9あるいは図10に示したような認証処理を行う場合には、この部品認証用ルート鍵証明書を使用して行うことになる。
このようにした場合、部品20から受信した公開鍵証明書の正当性を、部品認証用ルート鍵証明書を用いて確認でき、また乱数の復号により部品20が確かにその公開鍵証明書の発行対象であることがわかれば、部品の種別等の情報を参照しなくても、対象が純正の部品であることがわかる。部品用CAによるデジタル証明書の発行対象は純正の部品のみであり、部品20の設置箇所に正常に設置できていることで、認証対象の部品が適当な種類の部品であることがわかるためである。
従って、部品専用のCAを用いる場合には、図13(a)に示すように、公開鍵証明書を部材の種別やメーカー等の情報を記載しない形式とすることもできる。ここで、「common」は、部材の種別によらず共通の内容であることを示す情報である。このような証明書を使用すれば、CAに部品に対する公開鍵証明書の発行を要求する際に部品の識別情報を通知する必要がないため、証明書の取得に係る処理を単純化することができる。
また、最低限の認証を行えばよいのであれば、図13(b)に示すように、通信装置1側の公開鍵証明書と共通のCAが発行する場合であっても、部品の種別やメーカー等の情報を記載しない形式の公開鍵証明書を使用してもよい。さらに、部品の情報が全く記載されていない公開鍵証明書を使用することも考えられる。
このようにした場合でも、CAを通信装置1のメーカー自身が管理するようにすれば、装置本体10が記憶しているルート鍵証明書で正当性を確認できる公開鍵証明書を記憶している部品は、同じメーカーの製品であると判断することができる。
また、後述する変形例のように、使用装置IDを記載していない公開鍵証明書を使用することも考えられるし、逆に使用装置IDとして複数の装置のIDを記載してもよい。
ところで、以上説明してきたような、使用する部品20をデジタル証明書を用いて認証するような通信装置1であっても、メモリユニットの載せ換えやまるごとコピー等により、部品公開鍵証明書、部品私有鍵及びルート鍵証明書をそっくりそのままコピーしたような不正な部品が製造された場合、認証処理によってこれを純正品と見分けることができない。
上述のように部品公開鍵証明書に使用装置IDを記載することにより、このような不正品が流通した場合でもそれを使用できる通信装置を制限し、被害を抑えることはできる。しかし、大手顧客について、その顧客の装置のどれでも使えるような使用装置IDを記載した証明書を発行した場合等は、その証明書をコピーして不正品を製造された場合の被害が無視できないことも考えられる。
そこでここでは、図1に示したように、通信装置1を上位装置(ここでは管理装置であるので、以後「管理装置」と呼ぶ)700と接続し、証明書や鍵をまるごとコピーした不正品の流通が確認された場合等に、管理装置700から通信装置1に更新用のデジタル証明書を転送し、通信装置1が装置本体10と部品20にこれを設定することにより、不正品と純正品とを認証処理によって区別できるようにする機能を設けている。
次に、この機能について説明するが、それに先立って、まず図1に示した各装置間の通信に係る機能について説明する。
図1に示したデジタル証明書設定システムにおいて、管理装置700は、通信装置1の遠隔管理を行うと共に、通信装置1(の装置本体10)や部品20に記憶させてあるデジタル証明書を管理し、また装置本体10や部品20に設定させるべきデジタル証明書を通信装置1に転送する機能を有する装置である。
そして、ハードウェアとしては、図14に示すように、CPU701,ROM702,RAM703,HDD704,通信インタフェース(I/F)705を備え、これらが内部バス706によって接続されている。そして、CPU701がROM702やHDD704に記憶している各種制御プログラムを実行することによってこの管理装置700の動作を制御し、通信装置1の遠隔管理及び、デジタル証明書の管理や転送等の機能を実現させている。
なお、管理装置700のハードウェアとしては、適宜公知のコンピュータを採用することができる。もちろん、必要に応じて他のハードウェアを付加してもよい。また、管理装置700に通信装置1の遠隔管理等の別の機能を持たせることもできる。
また、CA800は、装置本体10や部品20に対してデジタル証明書を発行する認証局としての機能を有する装置であり、基本的なハードウェア構成は、図14に示した管理装置700の場合と同様である。そして、CPUがROMやHDDに記憶している各種制御プログラムを実行することによってCA800の動作を制御し、デジタル証明書の管理や発行等の機能を実現させている。また、CA800は管理装置700と一体として、同一のハードウェアで構成してもよい。
そして、このデジタル証明書設定システムにおいては、管理装置700は、通信装置1と通信を行おうとする場合、公開鍵暗号とデジタル証明書を用いる認証方式であるSSLプロトコルに従った認証処理によって通信装置1を正当な通信相手として認証した場合に、通信装置1との間で通信を確立させるようにしている。そして、管理装置700が送信した動作要求(コマンド)に対し、通信装置1が必要な処理を行って応答を返すことにより、クライアント・サーバシステムとして機能する。
逆に、通信装置1が管理装置700と通信を行おうとする場合にも、同じくSSLに従った認証処理によって管理装置700を正当な通信相手として認証した場合に、管理装置700との間で通信を確立させるようにしている。そして、通信装置1が送信した動作要求(コマンド)に対し、管理装置700が必要な処理を行って応答を返すことにより、クライアント・サーバシステムとして機能する。
どちらの場合も、通信を要求する側がクライアント、要求される側がサーバとして機能するものとする。また、この場合の認証に通信装置1が使用する認証情報は、図3(b)に示した装置公開鍵証明書,装置私有鍵及びルート鍵証明書であり、管理装置700が使用する認証情報は、図15に示す管理装置公開鍵証明書,管理装置私有鍵及びルート鍵証明書である。ただし、通信装置1において、図3(b)に示した装置公開鍵証明書等は内部で使用する部品認証専用のものとし、管理装置700のような外部装置と通信する際に使用する証明書等を別に用意するようにしてもよい。
そして、SSLに従った認証処理の詳細は説明を省略するが、概ね図9又は図10を用いて説明したPKIを利用した認証処理と同様なものである。すなわち、例えば通信装置1が管理装置700に通信を要求する場合、図16に示すように、管理装置700の所定の通信用URL(Uniform Resource Locator)に対して通信要求を送信すると、管理装置700が通信装置1に対して、管理装置公開鍵証明書を暗号化した乱数と共に返す。そして、通信装置1側での認証処理が成功すると、通信装置1が管理装置700に、認証成功の応答を返す。また、管理装置700側でも通信装置1の認証を希望する場合には、通信装置1に対して証明書要求を送信し、通信装置1は、これに応じて装置公開鍵証明書を暗号化した乱数と共に送信する。そして、管理装置700側でも認証処理が成功すると、これらのシーケンスの間で共有された共通鍵の種から生成した共通鍵を用いて内容を暗号化した通信を行う経路が確立される。
また、この通信には、有線,無線を問わず、ネットワークを構築可能な各種通信回線(通信経路)を採用することができる。管理装置700とCA800との間の通信についても同様にすることができる。ただし、管理装置700とCA800との間の通信については、セキュリティ面を考慮し、専用線によるネットワークにより行うようにするとよく、ここではそのようにしている。
そして、このデジタル証明書設定システムにおいて、CA800,管理装置700,通信装置1の各ノードは、RPC(remote procedure call)により、相互の実装するアプリケーションプログラムのメソッドに対する処理の依頼である「要求」を送信し、この依頼された処理の結果である「応答」を取得することができるようになっている。
この、RPCを実現するためには、SOAP(Simple Object Access Protocol),HTTP(Hyper Text Transfer Protocol),FTP(File Transfer Protocol),COM(Component Object Model),CORBA(Common Object Request Broker Architecture)等の既知のプロトコル(通信規格),技術,仕様などを利用することができる。
ここで、図17に、管理装置700及び通信装置1の、相互間の通信及び認証に関連する部分の機能構成に係る機能ブロック図を示す。この図において、相互間の通信及び認証と関連しない部分の図示は省略している。
まず、管理装置700には、HTTPS(Hypertext Transfer Protocol Security)クライアント機能部711,HTTPSサーバ機能部712,認証処理部713,証明書設定要求部714,証明書記憶部715,対CA通信機能部716を備えている。
HTTPSクライアント機能部711は、SSLに従った認証や暗号化の処理を含むHTTPSプロトコルを用いて、通信装置1等のHTTPSサーバの機能を有する装置に対して通信を要求する機能を有する。
一方、HTTPSサーバ機能部712は、HTTPSクライアントの機能を有する装置からのHTTPSプロトコルを用いた通信要求を受け付ける機能を有する。
そして、これらのHTTPSクライアント機能部711とHTTPSサーバ機能部712とで、通信相手に対してコマンドやデータを送信してそれに応じた動作を実行させる機能と、通信相手から要求やデータを受信してそれに応じた動作を装置の各部に実行させ、その結果を応答として要求元に返す機能とを実現している。この場合において、通信を要求した側がコマンドを送信することもあるし、通信要求を受け付けた側がコマンドを送信することもある。応答についても同様である。
認証処理部713は、HTTPSクライアント機能部711やHTTPSサーバ機能部712が通信相手を認証する際に、通信相手から受信したデジタル証明書や、証明書記憶部715に記憶している各種証明書、私有鍵等を用いて認証処理を行う認証手段の機能を有する。また、通信相手に認証を要求するために証明書記憶部715に記憶している図15に示したようなデジタル証明書をHTTPSクライアント機能部711やHTTPSサーバ機能部712を介して通信相手に送信する機能も有する。
証明書設定要求部714は、後述するように所定の場合に通信装置1等の通信相手に対して更新用の証明書や鍵を転送する転送手段及びその転送を行う場合に転送先の装置にこれを設定するよう要求する設定手段の機能を有する。
証明書記憶部715は、各種の証明書や私有鍵等の認証情報を記憶し、認証処理部713における認証処理に供する機能を有する。
対CA通信機能部716は、CA800のような認証局と通信を行い、通信装置1の装置本体10や部品20が認証処理に使用するためのデジタル証明書や鍵の発行を要求し、発行された証明書や鍵を受信する機能を有する。なお、ここでは、管理装置700と認証局との通信は専用線によるネットワークを介して行うものとしているので、外部からの接続は不可能であるから、SSLを使用していない。しかし、SSLを使用する場合には、HTTPSクライアント機能部711から認証局に通信を要求するようにしてもよい。
そして、これらの各部の機能は、管理装置700のCPUが所要の制御プログラムを実行して管理装置700の各部の動作を制御することにより実現される。
次に、通信装置1には、HTTPSクライアント機能部251,HTTPSサーバ機能部252,認証処理部253,要求管理部254,証明書メモリ14,状態通知部256,ログ通知部257,証明書設定部258,コマンド受信部259を備えており、これらの各部の機能は、装置本体10のCPU11が所要の制御プログラムを実行して管理装置700の各部の動作を制御することにより実現される。また、部品20にも証明書メモリ24の機能を有するが、これは図1及び図2に示した通りCPU21及びNVRAMによって実現される。
そして、HTTPSクライアント機能部251は、管理装置700のHTTPSクライアント機能部711と同様に、HTTPSプロトコルを用いて管理装置700等のHTTPSサーバの機能を有する装置に対して通信を要求すると共に、コマンドやそれに対する応答を送受信する機能を有する。
HTTPSサーバ機能部252も、管理装置700のHTTPSサーバ機能部712と同様であり、HTTPSクライアントの機能を有する装置からの通信要求を受け付けると共に、コマンドやそれに対する応答を送受信する機能を有する。
認証処理部253も、管理装置700の認証処理部713と同様な認証手段の機能を有するが、認証処理に使用する証明書等は、証明書メモリ14に記憶しているものである。また、部品20を認証する認証処理を行う機能も有する。
要求管理部254は、上位装置から受信したコマンドについて、そのコマンドに基づいた動作の実行可否を判断する機能を有する。そして、実行を許可する場合に、そのコマンドに基づいた動作を実行する機能部256〜259に対してコマンドを伝える機能も有する。なお、通常は、管理装置700からのコマンドは実行を許可するようにしている。
証明書メモリ14は、図1,図2等を用いて説明した通り、各種の証明書や私有鍵等の認証情報を記憶し、認証処理部253における認証処理に供する証明書記憶手段の機能を有する。ただし、記憶している証明書等は、前述したように証明書記憶部715とは異なる。
状態通知部256は、異常を検知したりユーザによる指示があったりした場合に管理装置700に対してその旨を通知する機能を有する。
ログ通知部257は、通信装置1から管理装置700へのログの通知を行う機能を有する。その通知の内容としては、通信装置1の動作ログの他、例えば通信装置1が画像形成装置であれば画像形成枚数カウンタのカウント値、計量システムであればその計量値等が考えられる。
証明書設定部258は、管理装置700から受信した証明書等を認証処理に使用するものとして証明書メモリ14に設定し、証明書等を更新したり、部品20に転送して証明書メモリ24に設定させたりする機能を有する。
コマンド受信部259は、上述した各機能部256〜258以外の機能に係る要求に対応する動作を実行する機能を有する。この動作としては、例えば通信装置1が記憶しているデータの送信や、必要に応じて図示しないエンジン部の動作を制御することが挙げられる。
また図18に、CA800のこの発明の特徴と関連する部分の機能構成を示す。
この図に示すように、CA800は、通信機能部811,証明書更新部813,証明用鍵作成部814,証明書発行部815,証明書管理部816を備えている。
通信機能部811は、管理装置700と通信し、証明書や鍵の発行要求を受信したり、発行した証明書や鍵を送信したりといった動作を始め、受信した要求やデータに応じた動作を装置の各部に実行させ、要求元に応答を返す機能を有する。
なお、管理装置700との間の通信にSSLを用いる場合には、通信機能部811にHTTPSサーバ機能部やHTTPSクライアント機能部のような機能を持たせることも考えられる。この場合には、管理装置700や通信装置1の場合と同様な認証処理部を設け、適当な証明書を用いた認証処理を行うようにすることになる。
証明書更新部813は、管理装置700からバージョンアップ証明書要求があった場合に、通信装置1の装置本体10や部品20に設定させる新たな証明書や鍵を証明用鍵作成部814や証明書発行部815に発行させ、これを証明書管理部816から通信機能部811を介して管理装置700に送信させる機能を有する。
証明用鍵作成部814は、デジタル署名の作成に用いる証明用私有鍵であるルート私有鍵と、そのデジタル証明書の正当性を確認するための、ルート私有鍵と対応する証明用公開鍵(証明鍵)であるルート鍵とを作成する証明用鍵作成手段の機能を有する。
証明書発行部815は、通信装置1の装置本体10と部品20とに対して、PKIを利用した認証処理に用いる公開鍵及びこれと対応する私有鍵を発行する機能を有する。そしてさらに、それぞれ発行した公開鍵に証明用鍵作成部814で作成したルート私有鍵を用いてデジタル署名を付して、デジタル証明書である公開鍵証明書を発行する証明書発行手段の機能を有する。また、ルート鍵にデジタル署名を付したルート鍵証明書の発行もこの証明書発行部815の機能である。
証明書管理部816は、証明書発行部815が発行したデジタル証明書、その作成に用いたルート私有鍵、およびそのルート私有鍵と対応するルート鍵を管理する証明書管理手段の機能を有する。そして、これらの証明書や鍵を、その有効期限や発行先、ID、更新の有無等の情報と共に記憶する。
そして、これらの各部の機能は、CA800のCPUが所要の制御プログラムを実行してCA800の各部の動作を制御することにより実現される。
次に、以上のような管理装置700が図16に示した通信用URLに対する通信要求を受けた場合に実行する処理について説明する。この処理は、図19のフローチャートに示すものである。
管理装置700のCPU701は、所定の通信用URLに対する通信要求を受けると、図19のフローチャートに示す処理を開始する。
そして、まずステップS101で、通信要求の要求元の装置との間で公開鍵証明書と乱数及び共通鍵の種を送受信し、上述したようなSSLによる相互認証処理を行う。この処理には、受信した公開鍵証明書から、通信要求の要求元の識別情報を取得する処理も含まれる。
そして、ステップS102でこの認証が成功したか否か判断し、ここで失敗していればステップS116に進んでそのまま通信を切断し、処理を終了する。一方、ステップS102で認証が成功していれば、通信要求の送信元との間で通信を確立してステップS103に進み、ステップS101で共有した共通鍵の種から共通鍵を生成する。
そして、ステップS104で、コマンド及び受信したコマンドに対する応答を、生成した共通鍵で暗号化して通信中の装置(ここでは通信装置1)に送信し、ステップS105で、コマンド及び送信したコマンドに対する応答を、同じ共通鍵で暗号化された状態で通信中の装置から受信する。そして、ステップS106でコマンド及び応答を全て送受信したか否か判断し、まだ残っていればステップS104に戻って処理を繰り返し、全て送受信していればステップS107に進む。
なお、ステップS104及びS105の処理は、順不同で構わないし、送受信すべきコマンドや応答がなければ省略する。また、受信したコマンドに係る処理を実行して応答を生成する処理や、受信した応答の内容を解釈してそれに対応した動作を行う処理は、受信したコマンドや応答を記憶しておき、図19に示したフローチャートとは別に実行するものとする。
次のステップS107では、ステップS101での認証処理で取得した識別情報をもとに、通信中の装置について証明書更新フラグがONになっているか否か判断する。
ここで、証明書更新フラグは、図20に示すように、管理装置700が、通信相手となり得る各装置について、その識別情報(ここでは機番)と対応させて記憶しているフラグである。そして、ONである場合に、対応する識別情報を持つ装置に、その装置に装着されている部品20に記憶させるための更新用のデジタル証明書(部品公開鍵証明書)を転送する必要があることを示すフラグである。あるいは、ONである場合に、その装置において部品20を認証する際に使用する新しいルート鍵証明書(部材認証用新ルート鍵証明書)を転送する必要があることを示すフラグであると考えることもできる。なお、これらの転送は、例えば後述のように図24に示す新部品公開鍵証明書及び新部品私有鍵と部品認証用新ルート鍵証明書を転送して行うことができる。
また、このフラグの設定は、通信装置1に部品公開鍵証明書及び/又は部品認証用新ルート鍵証明書を転送する必要が生じた場合に管理装置700のオペレータが手動で行ってもよいし、管理装置700自身が自動で行うようにしてもよい。
そして、ステップS107でこの証明書更新フラグがOFFであれば、証明書等を送信する必要はないので、そのままステップS116に進んで通信を切断し、処理を終了する。
一方、ステップS107で証明書更新フラグがONであれば、通信中の装置に対して更新用の部品公開鍵証明書及び/又はルート鍵証明書の転送が必要と判断できるので、ステップS108以降の、更新用証明書等の転送に係る処理に進む。なお、ここでは、通信装置1から受信した公開鍵証明書に記載されている機番の情報をもとに更新用の部品公開鍵証明書及び/又はルート鍵証明書の転送要否を判断したことになる。ステップS107の処理が判断手順の処理であり、この処理においては、CPU701が判断手段として機能する。
そして、更新用証明書等の転送に係る処理においては、まずステップS108で、通信中の装置に装着されている部品の情報を取得する。その情報は、更新用の部品公開鍵証明書に記載すべき情報であり、例えば種別、製造メーカー、製造年月日等が考えられる。また、取得は、管理装置700側でデータベース等により通信装置1と部品20との対応関係を把握していれば、そのデータベースから読み出して行うことが考えられる。また、通信中の装置に要求して必要な情報を送信させたり、現在の部品公開鍵証明書を送信させてそこから抽出したりすることも考えられる。
以上の情報が取得できると、ステップS109で、CA800に対して、通信中の装置の識別情報及びステップS108で取得した部品の情報と共にバージョンアップ証明書要求を送信する。ここで送信する識別情報は、更新用の部品証明書において、使用装置IDとして記載すべき情報である。更新時点で使用中の装置のIDを記載しておけば、証明書の更新後に使用装置IDの不一致により部品が使用できなくなってしまうようなことはないが、他の装置のIDも記載する必要がある場合には、部品の情報の場合と同様に、使用装置IDとして記載すべき装置の識別情報を取得してCA800に送信するようにするとよい。なお、更新時点で使用中の部品公開鍵証明書のIDがわかれば、その情報をキーにしてCA800に発行済みの公開鍵証明書一覧から更新時点で使用中の(更新前の)部品公開鍵証明書を抽出させ、そこから必要な情報を取得させることも可能である。
ここで、図21に、CA800がバージョンアップ証明書要求を受けた場合に実行する処理のフローチャートをに示す。
CA800のCPUは、管理装置700からバージョンアップ証明書要求を受信すると、図21に示す処理を開始する。そして、まずステップS201で、受信した識別情報をキーに証明書管理テーブルを検索し、その識別情報(ここでは一例として機番を利用している)の装置が部品20の認証に使用しているルート鍵証明書のバージョン情報を取得する。
証明書管理テーブルは、図22に示すようなものであり、CA800がデジタル証明書を発行した各装置について、装置の機番と、その装置が部品20の認証に使用しているルート鍵証明書のバージョン情報とを対応させて記載したテーブルである。もちろん、他の情報も一緒に記憶するためのテーブルに、一つの項目としてバージョン情報が登録してあるものでもよい。また、バージョン情報以外の種類情報により、証明書の種類を区別するようにしてもよい。
次のステップS202では、図23に示すようなバージョン遷移情報を参照し、発行する証明書のバージョンを決定する。バージョン遷移情報としては、各バージョンの証明書をバージョンアップする場合に次にどのバージョンの証明書を発行するかを記載している。バージョン1.00の次はバージョン1.01、その次は1.02といった具合である。そしてここでは、ステップS201で取得したバージョンの次のバージョンの証明書を発行するよう決定する。なお、公開鍵証明書のバージョンはルート鍵証明書のバージョンと対応しており、バージョン1.00のルート鍵証明書で正当性を確認できる公開鍵証明書はバージョン1.00の公開鍵証明書、バージョン1.01のルート鍵証明書で正当性を確認できる公開鍵証明書はバージョン1.01の公開鍵証明書、等とする。
そして、ステップS203では、ステップS202で決定したバージョンの更新用の証明書等を発行する。その内容は、図24に示すものであり、更新用の部品公開鍵証明書である新部品公開鍵証明書、そこに含まれる公開鍵と対応する新部品私有鍵、および新部品公開鍵証明書の正当性を確認するためのルート鍵を含むデジタル証明書である部品認証用新ルート鍵証明書である。前2者は部品20に記憶させるためのものであり、後者は装置本体10に記憶させるためのものである。
なお、ここでの更新の狙いは、あるバージョンの公開鍵証明書等をコピーした不正な部品が発見された場合あるいはその存在が疑われる場合に、通信装置1(の装置本体10)が部品20の認証に使用するルート鍵証明書を新しいバージョンのものに更新してしまうことにより、コピーされた古いバージョンの部品公開鍵証明書を使えなくしてしまうことである。そして、この更新の後で通信装置1のユーザに供給する部品には新しいバージョンの公開鍵証明書等を設定しておくようにすれば、純正の部品は認証可能であり、不正な部品を純正のものと識別できるようになる。
ただ、一方的に装置本体10のルート鍵証明書を更新してしまうと、その時点で装着されている部品20が純正の部品であっても、更新後は認証が失敗するようになってしまう。そこで、このような不都合を解消するため、装置本体10のルート鍵証明書をバージョンアップすると同時に、部品の公開鍵証明書及び私有鍵についても対応するバージョンアップを行わせ、認証可能な状態を維持できるようにしている。このための更新用の証明書及び鍵が、新部品公開鍵証明書及び新部品私有鍵である。
ステップS203の後は、ステップS204に進み、発行した更新用の証明書等をバージョンアップ証明書要求の要求元である管理装置700に送信し、処理を終了する。
図19の説明に戻る。
図19の処理において、次のステップS110では、ステップS109でのバージョンアップ証明書要求に応じてCA800が発行して送信してくる更新用の証明書等を取得する。その内容は、上述の通りである。
そして、次のステップS111では、ステップS110で取得した更新用の証明書等を通信中の装置(ここでは通信装置1)に送信する。このとき、送信した新部品公開鍵証明書及び新部品私有鍵を使用中の部品20に設定させると共に、部品認証用新ルート鍵証明書を部品の認証に使用するためのルート鍵証明書として装置本体10に設定するように要求する証明書設定コマンドも、通信中の装置に送信する。
なお、このような送信は、更新用の証明書等を、証明書設定コマンドの引数として送信することによって行うとよい。また、この送信は、ステップS101での認証に使用したデジタル証明書を用いて確保した、SSLによる安全な通信経路で行うものである。また、この処理は転送手順の処理であり、この処理においてはCPU701が転送手段として機能する。
この処理が完了すると、ステップS112で証明書設定コマンドに対する応答を待つ。そして、応答があると、ステップS113に進んで設定結果を判断する。そして、「成功」又は「ルートのみ」であればステップS114に進んで、証明書の更新が済んだ通信中の装置について、証明書更新フラグをOFFにし、もはや部品公開鍵証明書の更新が必要ないことを示す。
そして、ステップS115でCA800に対して更新完了を通知する。CA800は、この通知があると、図22に示した証明書管理テーブルにおいて、更新が完了した装置の機番に対応するバージョン情報を、更新後のものに書き換え、管理装置700に応答を返す。
管理装置700は、この応答があるとステップS116に進んで通信を切断し、処理を終了する。「失敗」であれば(所定時間以内に応答がなかった場合も失敗したものとする)、そのままステップS116に進んで通信を切断し、処理を終了する。この場合には、同じ下位装置から次に通信要求があった場合に、再度部品公開鍵証明書の更新を試みることになる。どのような場合にこれらの応答が返されるかは、図25の説明において後述する。
以上の処理により、管理装置700が、通信相手の装置から公開鍵証明書を受信し、その受信に基づいて、更新用の部品公開鍵証明書及び/又はルート鍵証明書の転送が必要と判断した場合に、通信装置1に、更新用の証明書等を、通信用の公開鍵証明書を用いて確保した安全な通信経路で送信すると共に、部品20及び装置本体10にこれらを設定するように要求することができる。
なお、公開鍵証明書の受信は、通信要求の受信に応じて行う認証処理の一部として行われるものであるから、更新用の部品公開鍵証明書等の転送要否の判断は、通信要求の受信に基づいて行うということもできる。また、公開鍵証明書に記載の情報を使用することは必須ではなく、通信要求自体に送信元のIPアドレスや識別情報が記載されていれば、これを参照して転送要否を判断することもできる。
ここで、管理装置700から証明書設定コマンドを受信した場合に通信装置1が実行する処理を図25に示す。
通信装置1のCPU11は、通信装置1が管理装置700から証明書設定コマンドを受信すると、図25のフローチャートに示す処理を開始する。この処理は、通常のコマンド実行に係る処理の一種である。そして、まずステップS301で、証明書設定コマンドと共に受信した更新用の証明書等のうち、部品認証用新ルート鍵証明書を図17に示した証明書メモリ14に記憶させ、部品20の認証に使用するルート鍵証明書として設定して、ルート鍵証明書を更新する。この処理が認証データ更新手順の処理であり、この処理においては、CPU11が認証データ更新手段として機能する。
また、この状態では、まだ設定した証明書を用いた認証を行う状態にならず、設定前の古い証明書を用いた認証を行う状態であり、後述する再起動を行った後で、更新した証明書を用いた認証を行う状態になるようにしている。
このとき、通信装置1において、図3(b)に示したように、外部装置と通信する際の認証処理に使用するルート鍵証明書と、部品20の認証に使用するルート鍵証明書とを区別していない場合、ルート鍵証明書を上書き更新してしまうと、以後の外部装置との通信に支障が出てしまう。そこで、このような場合には、更新前のルート鍵証明書は外部装置の認証用に用途を限定し、部品認証用新ルート鍵証明書は、部品20認証用のルート鍵証明書として新たに記憶させるようにするとよい。そして、このような更新を行った後は、実質的には、図11及び図12を用いて説明したような、部品用CAを用いる場合と同様な状態となる。
次のステップS302では、ステップS301での設定が成功したか否か判断する。そして、成功していればステップS303に進んで部品20との間で認証処理を行う。この時に使用する証明書等は、ステップS301での更新前のものであり、この処理は、図9又は図10に示したものと同様な処理であるので、起動時に行った処理の結果を記憶しておいて、その結果をそのまま使用するようにしてもよい。
そして、ステップS304ではステップS303での認証が成功したか否か判断する。そして、成功していればステップS305に進み、部品20のCPU21に対し、証明書設定コマンドと共に受信した更新用の証明書等のうち、新部品公開鍵証明書と新部品私有鍵とを図17に示した証明書メモリ24に記憶させ、装置本体10との間の認証処理に使用する公開鍵証明書及び私有鍵として設定するよう要求する。この処理が証明書設定手順の処理であり、この処理においては、CPU11が証明書設定手段として機能する。
そして、CPU21はこの要求に応じて設定を行い、公開鍵証明書及び私有鍵を更新して応答を返してくるので、ステップS306でその応答を待つ。
その後、ステップS307でその応答から設定の成否を判断し、成功していればステップS308に進み、管理装置700に更新成功の応答を返し、ステップS309で通信を切断して自身の証明書を扱う機能を再起動する。この再起動は、通信装置1において認証に使用する証明書等を更新する際に必要なものであり、この時点で行うことは必須ではないが、速やかに新たな証明書を用いた認証を可能とするために、この時点で行うことが好ましい。また、再起動を行う際に、ユーザに再起動の許可を求めるようにしてもよい。
なお、図19に示した処理において、ステップS107乃至S114の証明書転送に係る処理を、ステップS104乃至S106のコマンド及び応答の送受信に係る処理よりも後で行うようにしているのは、証明書を設定させることになる場合でも、このステップS309で通信が切断されないうちに、他のコマンド及び応答の送受信を済ませてしまうことができるようにするためである。
また、再起動を行わなくても、証明書等の更新時点から新たな証明書等を用いた認証を行うようにしてもよく、この場合、ステップS303をステップS301より前に行うようにするようにすればよい。
一方、ステップS302又はステップS307で設定失敗と判断した場合には、管理装置700にその旨の応答を返して処理を終了する。この原因としては、受信した証明書が破損していたり、不適当なものであったり、書き込み先のメモリユニットにアクセスできなかったりといったことが考えられる。そして、その内容も管理装置700に通知するようにしてもよい。
また、図示の都合上、図25では装置本体10側の設定が完了してから部品20側の設定に関する処理を行うように示したが、実際には、ステップS307で更新失敗になると、装置本体10側のルート鍵のみ更新されてしまい、装置本体10が部品20を認証できない状態になってしまう。そこで、先に双方に設定すべき証明書等のフォーマットチェックやメモリへのアクセス確認等を行い、異常があった場合にはその時点で設定失敗としてしまうようにしてもよい。そして、形式的には設定が可能であると判断してから双方の更新処理に入るようにするとよい。
また、ステップS304で認証が失敗していた場合には、部品20への証明書や鍵の設定は行わずに、そのままステップS310に進み、管理装置700に対してルート鍵証明書のみ更新した旨の応答として「ルートのみ」を返して、ステップS309に進む。認証が失敗したということは、通信装置1に装着されている部品20は非純正のユニットであるか又は不適正な(使用装置IDの合わない)装置に装着されているユニットであると考えられるので、このような部品にあえて正しい公開鍵証明書や私有鍵を記憶させる必要はないためである。また、非純正のユニットであれば、証明書メモリ504がなく、そもそも証明書を記憶させることができない場合も考えられる。
以上の処理により、通信装置1は、管理装置700から受信した更新用の各証明書や鍵を装置本体10及び部品20に記憶させ、以後のこれらの間の認証処理に使用するものとして設定することができる。そして、これらの設定が成功していれば、使用中の部品20の認証が可能な状態を維持しながら、古いバージョンの証明書をまるごとコピーしたような不正な部品は認証しない状態とすることができる。
なお、このようにした場合、古いバージョンの証明書等を記憶している純正の部品も認証できなくなってしまうため、既に市場に出回っていたり、顧客先にストックとして保管されたりしている部品についても、回収・交換等して新しいバージョンの証明書等を記憶させる必要がある。しかし、純正品の流通経路や販売先等はメーカー側である程度把握可能であるから、適当なビジネスモデルを構築することにより、適宜対応可能である。例えば、後述する第3の実施形態のようなシステムを採用すれば、証明書記憶後にストックされている部品の数を少数にできるので、さほど労力を要さずにこのような回収・交換が可能であると考えられる。
また、上述の図25に示したような処理を行うと、通信装置1において、装置本体10側とバージョンの合った証明書をまるごとコピーした不正な部品20を使用中であった場合、その部品20には、新しいバージョンの証明書を記憶させてしまうことになる。そして、この証明書が、その部品20と共に、不正品の製造業者に回収されてしまう危険もある。
しかし、仮に回収されたとしても、再度メモリを解析して証明書を取得しなければ、新しいバージョンの証明書をまるごとコピーして記憶させた不正品は製造できない。さらに、再度まるごとコピーしたとしても、使用装置IDを用いた使用制限を行うようにしてあれば、取得された証明書に使用装置IDが記載された範囲内の装置でしか使用できない不正品しか製造できない。
従って、上記のように新しいバージョンの証明書を不正品の製造業者に取得される危険が多少あったとしても、新しいバージョンの証明書に対応した不正品の製造は困難であり、上述したような証明書等の更新は、不正品の蔓延防止には十分な効果を得ることができると言える。また、新しいバージョンの証明書を丸ごとコピーした不正品が再度問題になった場合には、再度証明書をバージョンアップするという対応も、比較的容易に行うことができる。
次に、管理装置700及び通信装置1が上記のような証明書の更新を行う処理を実行する場合の処理シーケンスの例を、CA800における処理も含めて説明する。図26にこの処理シーケンスを示す。この図において、破線部分は人手による作業であることを示す。
この例においては、まずメーカーの担当者が、証明書コピーによる不正な部品あるいは疑わしい部品を発見したり、そのような部品を使用している疑いのある通信装置1を発見した場合(S401)、不正部品を区別できるようにするために証明書の更新が必要な装置の機番を特定し、管理装置700に通知する(S402)。この特定は、装置1台1台を特定するだけでなく、地域単位、機種単位、顧客単位等で特定するようにしてもよい。
また、このような不正部品は、例えば、メーカーが新聞や雑誌の記事や広告等により情報を収集したり、顧客先や販売店等をエンジニアが訪問した際に実地で調査したりした際に発見されることが考えられる。
さらに、管理装置700における通信装置1の管理情報をもとに不正部品を使用している疑いのある通信装置1を抽出することもできる。例えば、認証処理の結果では純正の部品を使用しているはずであるのに、部品の購入量に対して使用量や装置の動作回数が多い場合、通信装置1が記憶している部品の交換回数が、購入量に比べて多い場合等である。また、通信装置1に部品公開鍵証明書を管理装置700に対して送信させ、その証明書に記載の有効期限、製造年月日等を確認することも考えられる。
そして、メーカーの担当者が、これらの情報をもとに総合的に判断して疑わしい装置を抽出すればよい。不正か否かの判断には様々な要因がからみ、微妙な判断が要求されることから、最終的な決定は人手で行うことが好ましい。
ただし、経験則によってパラメータと閾値を定め、パラメータが閾値を越えた(又は下回った)場合に管理装置700が自動的に疑わしいと判断し、証明書更新の対象とするようにすることも考えられる。この場合、正当な非純正の部品の使用と不正部品の使用とを区別できるように留意すべきである。
そして、以上のように、証明書の更新が必要な装置が通知されると、管理装置700は、その装置について証明書更新フラグをセット(ONに)する。このセットは、ステップS402の通知に応じて自動で行うようにしてもよいし、さらに担当者が確認してから行うようにしてもよい。
そして、証明書更新フラグがセットされた状態で対応する通信装置1から通信要求があると、通常のコマンドや応答の送受信(S404)の後、CA800にバージョンアップ証明書要求を送信する(S405)。そして、この要求に応じてCA800が更新用の証明書及び鍵を発行して送信してくるので(S406,S407)、これを受信する。そして、証明書設定コマンドと共にその証明書及び鍵を通信装置1に送信する(S408)。
すると、これを受信した通信装置1の装置本体10は、自身にルート鍵証明書を設定すると共に(S409)、部品20に証明書設定コマンドと共に更新用の公開鍵証明書と私有鍵を送信する(S410)。部品20は、この要求に応じてこれらの証明書と鍵を設定し(S411)、装置本体10に応答を返す(S412)。すると、装置本体10も管理装置700に応答を返す(S413)。
管理装置700では、設定(更新)成功の応答を受けると、その通信装置1についての証明書更新フラグを解除(OFFに)すると共に(S414)、CA800に対して証明書の設定が成功した旨を通知する(S415)。そして、これを受けたCA800が証明書テーブルにおいて証明書を更新した通信装置1についてのバージョン情報を更新後のものに書き換え(S416)、管理装置700に応答を返す(S417)。
図1に示したデジタル証明書設定システムにおいては、以上のような処理を行うことにより、証明書をまるごとコピーしたような不正な部品又はその疑いのある部品が発見された場合に、そのような部品を使用する可能性のある画像処理装置について、部品の認証に使用するルート鍵証明書を更新し、更新前のルート鍵に対応した証明書を記憶している部品を、認証処理により純正でないものと認識できるようにすることができる。不正な又はその疑いのある部品を使用していたりその疑いがあったりする画像処理装置を発見した場合についても、同様である。
また、ルート鍵証明書を更新する場合に、対象の画像処理装置に装着してある部品の公開鍵証明書及び私有鍵も同時に更新するので、使用中の部品について、認証が成功していたものが急に失敗するようになってしまうといった不具合は発生せず、純正の部品を使用する上で不都合はない。
また、管理装置700が更新対象の通信装置1から通信要求を受けた場合に通信装置1に更新用の証明書等を送信するようにすることにより、通信装置1がファイアウォールの内側にあるようなシステムにも適用可能である。また、通信装置1から何らかの用件で管理装置700に通信を要求してきた際に、更新の要否を確認し、必要なら証明書を更新することができるので、通信装置1のユーザに証明書の更新のためにかける通信の時間や料金の負担を最小限にすることができる。
ただし、このようにすることは必須ではない。管理装置700についても、証明書更新専用の装置として構成することを妨げるものではない。
また、証明書の更新が必要な画像処理装置について証明書更新フラグを設定しておき、これがONになっている装置についてのみ更新を行うようにすることにより、不正な部品と関係ない装置や管理装置700自身に余計な処理負担をかけることがない。また、一旦フラグをセットしてしまえば、更新が必要な装置を自動的に識別して選択的に更新を行うことができる。さらに、対象装置を公開鍵証明書を用いて認証した後で更新用の証明書等を送信するようにすれば、対象装置が識別情報を偽って新しい証明書を取得するような事態を防止し、いわゆる「なりすまし」を防止することができる。また、SSLのような暗号化した通信経路で更新用の証明書等を送信するようにすれば、更新用の証明書等が通信の過程で第3者に漏洩することを防止できる。
また、通信装置1が管理装置700との通信する際に使用する公開鍵証明書に、発行対象の装置の国別コード、機種情報等を記載しておけば、証明書更新フラグに代えてこれらの情報を参照することにより、国毎や機種毎に更新用の証明書等の転送の要否を判断することができる。さらに、公開鍵証明書に記載してある証明書のシリアル番号や、フォーマットのバージョン、期限、ユーザ情報等を参照して更新用の証明書等の転送の要否を判断することも考えられる。
そして、このような判断のための条件は、例えば図27に示すような条件テーブルとして記憶しておくとよい。図27には、判断の基礎となりうる各パラメータについて判断条件が列挙されている。例えば、国別コードが「JP」の装置に更新用証明セットを転送する、機種が「1234」及び「4567」の装置に転送する、機種が「1474」の装置に転送する、証明書シリアル番号が1000以下の装置に転送する等である。そして、これらの各条件について、実際に更新用の証明書等の転送の要否の判断に使用するか否かの情報も記載されている。
そして、図19に示した処理を行う場合に、ステップS107の判断に代えて、公開鍵証明書に記載されている発行対象の装置の情報が、条件テーブルにおいて転送要否の判断に使用すると設定されている条件に当てはまるか否かを判断することにより、更新用の証明書等の転送の要否を判断することができる。図27に示した例では、国別コードが「JP」で、かつ機種が「1234」又は「4567」の装置に更新用の証明書等の転送が必要と判断することになる。
もちろん、条件テーブルに記載する条件は、図27に示したものに限られることはないし、これらの条件を組み合わせたり、優先順位を付けたり、論理演算を行ったりしたりして複雑な条件を設定してもよい。
また、管理装置700に、通信相手となる通信装置1の情報や、そのユーザあるいは記憶している公開鍵証明書の情報を記載した図28に示すような機器情報テーブルを記憶しておくようにすることも考えられる。このようにすれば、受信した公開鍵証明書に詳細な情報が記載されていない場合でも、機番情報等をキーに機器情報テーブルを検索して通信相手の通信装置1に関する詳細な情報を取得し、条件テーブルを利用した更新用の証明書等の転送要否の判断に用いることができる。管理装置700が通信装置1を遠隔管理するようなシステム構成の場合には、管理装置700は通常は機器情報テーブルに相当する情報を記憶していると考えられるから、このテーブルを利用するようにするとよい。
なお、公開鍵証明書を受信する度に機器情報テーブルを検索したり、条件テーブルに規定された条件に基づいた判断を行ったりすると、処理負荷が大きくなる。そこで、予め機器情報テーブル中から条件テーブルに既定された条件を満たす装置を抽出し、その装置について証明書更新フラグをONにしておき、図19を用いて説明したように、そのON/OFFに応じて更新用の証明書等の転送要否を判断する方式も、処理負荷低減の観点から有効である。
さらにまた、処理の簡略化のためには、転送の必要な装置について、管理装置700側で更新用の証明書等を予めCA800から取得しておき、これを設定するための証明書設定コマンドを、その装置に送信すべきコマンドとして設定しておくことも考えられる。このようにした場合、対象の通信装置1が管理装置700に通信を要求し、認証が成功すると、図19のステップS104の処理において、通常のコマンドの送信と共に証明書設定コマンドを通信装置1に送信して実行させることができる。従って、ステップS107乃至S114の処理が不要になり、通常のコマンド送受信処理の範疇で、更新用の証明書等を通信装置1に転送できるので、さらに処理の簡略化を図ることができる。ただし、この場合でもステップS115のような処理は必要である。
このようにした場合には、通信装置1から受信した公開鍵証明書に付された識別情報の装置に送信すべき証明書設定コマンドが設定されていたことによって、更新用の証明書等の転送が必要と判断していると考えることができる。
〔第1の実施形態の変形例:図29乃至図33〕
次に、上述したデジタル証明書設定システムの第1の実施形態の変形例について説明する。
まず、上述した第1の実施形態では、部品20に記憶させるデジタル証明書として、図5に示したように「使用装置ID」を記載したデジタル証明書を使用する例について説明した。しかし、このようにすることは必須ではなく、図29に示すように、「使用装置ID」の項目がないデジタル証明書を使用することも可能である。
そしてこの場合、通信装置1の起動時の処理として、図6に示した処理に代えて、図30に示す処理を行う。この処理は、ステップS6乃至S8の処理がなくなった点以外は図6のフローチャートに示した処理と同様であるので、詳細な説明は省略するが、部品公開鍵証明書に「使用装置ID」の項目がなくなったことに伴い、このデータを使用した認証に係る処理を削除したものである。
従って、図29に示したようなデジタル証明書を使用する場合、部品20を使用可能な通信装置が特定のものに限られることはなく、部品20を装着可能な画像処理装置であれば、どの装置でも使用することができる。従って、部品20の販売時に、使用する装置のIDを特定した上でその装置のIDを含むデジタル証明書を記憶させるような取扱いが不要であり、販売時の制約が緩和される。ただし、部品に記憶させる証明書や鍵をまるごとコピーした不正な部品が登場した場合には、その部品も同様にどの装置でも使用できてしまい、使用可能な機種の装置全てについてルート鍵の更新を行う必要が生じてしまうので、注意が必要である。
また、上述した第1の実施形態においては、管理装置700から通信装置1に転送する更新用の証明書等として、CA800が図24に示した証明書等を発行する例について説明した。しかし、図31に示すように、図3に示した記憶形式に対応させ、部品20側に記憶させる証明書等と、装置本体10側に記憶させる証明書等とを全て発行し、転送するようにしてもよい。この場合において、更新が不要な証明書、例えば装置公開鍵証明書等は、更新用のものも更新前と同じ証明書でよい。
SSLで使用する証明書等については、公開鍵証明書、私有鍵、およびルート鍵証明書がセットで取り扱われることが多いため、このような形式で更新用の証明書等の転送を行い、証明書の更新を、これら3つのセットの単位で置き換えて行うことができるようにすれば、SSLにおいて使用する証明書等の更新に係る既存のプログラムモジュールを利用して図19や図25に示したような処理を行うためのプログラムを開発でき、装置の設計、開発に係る労力を低減することができる。転送についても、公開鍵証明書、私有鍵、およびルート鍵証明書をセットとして行うようにしてもよい。
また、部品として、図2に示したCPU21,ROM22,RAM23を設けていない部品20′を使用するようにしてもよい。この場合、図1に対応する構成を示すと図32に示すようになる。
このような構成であっても、部品20′が通信装置1′内に設置された状態では、装置本体10と部品20′は同じ装置内に存在し、バスで接続されているので、PKIによる認証処理を行う場合であっても、部品20′と装置本体10との間の通信自体は認証と関係なく行うことができる。
従って、部品20′にCPUを設けなくても、装置本体10のCPU11が部品20′のNVRAM24から直接部品証明書等を取得し、自身で装置本体10側の証明書等と部品20側の証明書等の両方を使用して認証処理を行うことができる。
このようにした場合も、装置本体10のCPU11が通信装置1′の起動時に行う処理は、第1の実施形態で図6を用いて説明したものと同様なものでよい。しかし、ステップS2に示した認証処理は、図33のフローチャートに示すような処理になる。
すなわち、まずステップS31でNVRAM14から装置本体10側の証明書や鍵を読み込み、ステップS32で部品20′のNVRAM24から部品20側の証明書や鍵を読み込む。
そして、ステップS33で第1の乱数を生成し、これを部品私有鍵を用いて暗号化する。その後、ステップS34でルート鍵証明書を用いて部品公開鍵証明書の正当性を確認する。これには、図9のステップS12の場合と同様、書誌情報を参照して部品20が通信装置1での使用に適した部品であることを確認する処理を含む。
そして確認ができると、ステップS35で、図9のステップS13の場合と同様に、部品公開鍵証明書内の「使用装置ID」の情報を記憶する。
その後、ステップS36で、部品公開鍵証明書に含まれる部品公開鍵を用いて第1の乱数を復号化する。ここで復号化が成功すれば、部品私有鍵と部品公開鍵証明書とは確かに対応したものであり、一方だけ入れ替えられたりはしていないことがわかる。
以上の処理により、装置本体10が部品20′を認証することができ、部品20′を使用可能な装置のIDも取得することができる。そして、このことにより、第1の実施形態の場合と同様な効果を得ることができる。ただし、部品20′側にはCPUがないため、部品20′が装置本体10を認証することはしないから、必然的に図10を用いて説明した片方向認証となる。また、部品20′側では復号化処理をしないので、部品20′と装置本体10との間の通信を暗号化することもない。さらに、図25に示した処理においても、ステップS305では装置本体10側のCPU11が直接NVRAM24にアクセスして更新用の部品公開鍵証明書及び部品私有鍵を設定することになり、ステップS306の処理は不要となる。
なお、このような変形を行う場合においても、認証処理に図10乃至図12を用いて説明したようなデジタル証明書を使用することは可能である。
また、以上の各変形は、組み合わせて適用することも当然可能である。
〔第2の実施形態:図34乃至図41〕
次に、この発明のデジタル証明書設定システム及び認証データ設定システムの第2の実施形態について説明する。システム等の呼称については、第1の実施形態の場合と同様である。
この実施形態では、図1に示した下位装置1を、より具体的な例として、また、コピー,ファクシミリ,スキャナ等の機能および外部装置と通信を行う機能を備えたデジタル複合機であり、それらの機能に係るサービスを提供するためのアプリケーションプログラムを実装している画像処理装置100としている。その他の点は、上述した第1の実施形態と同じものである。
そして、この画像処理装置100は、消耗品として、デジタル証明書を記憶している部材の一例であるプロセスカートリッジを使用する装置である。なお、プロセスカートリッジは、後述するように画像形成手段と画像形成手段にトナーを供給するトナー供給部材とを備えるユニットである。
図34の断面図に、その画像処理装置100の全体構成を模式的に示す。
画像処理装置100は、この図に示すように、画像情報に基づいたレーザ光を発する光学部(光学ユニット)112、各色(イエロー、マゼンタ、シアン、ブラック)に対応した設置位置に交換可能に設置されるユニットであるプロセスカートリッジ500Y,500M,500C,500BK(以下、符号「500」にて総称する)、転写紙等の被転写材Pが収納される給紙部(給紙ユニット)165、給紙ローラ162,搬送ガイド163,レジストローラ164,吸着ローラ137,転写ベルト140等からなる用紙搬送手段、加熱ローラ167,加圧ローラ168及び排紙ローラ169を備え、被転写材P上の未定着画像を定着する定着部(定着ユニット)166、載置された原稿を光学的に読み取るスキャナ190、装置本体の外装に一部が露呈するように設けられた操作部209、画像処理装置100の動作を統括制御する制御手段であるコントローラ200、エンジン部の動作を制御するエンジン制御部400等を備えている。
なお、ここではカラーの画像形成手段を備えた画像処理装置を示しているが、モノクロの画像形成手段を備えた画像処理装置にもこの発明はもちろん適用可能である。そしてこの場合には、画像処理装置に備えるプロセスカートリッジは1つだけになる。
画像処理装置100において、各色のプロセスカートリッジ500には、像担持体である感光体ドラム131、感光体ドラム131上を帯電する帯電部132、感光体ドラム131上に形成される静電潜像を現像する現像部133、感光体ドラム131上の未転写トナーを回収するクリーニング部135、現像部133にトナーを供給するトナー供給手段であるトナー供給部142、プロセスカートリッジ500の識別に使用する制御チップ180等を備え、これらが一体的に保持されている。また、感光体ドラム131と対応する位置には、感光体ドラム131上に形成されたトナー像を被転写材Pに転写する転写ローラ134が配置されている。
そして、各プロセスカートリッジ500の感光体ドラム131上で、それぞれ対応した色の画像形成が行われる。このとき、各プロセスカートリッジ500の現像部133には、トナー供給部142Y,142M,142C,142BKから各色のトナーが供給される。
以下、この画像処理装置100における、通常のカラー画像形成時の動作について説明する。
画像形成を行う場合、4つの感光体ドラム131は、それぞれ、図34で時計回りに回転している。そして、まず、感光体ドラム131の表面は、帯電部132との対向位置で、一様に帯電される(帯電工程)。その後、帯電された感光体ドラム131表面は、それぞれのレーザ光の照射位置に達する。
一方、光学部112には、形成すべき画像についての画像データが供給される。そして、光学部112において、LD光源から画像信号に対応したレーザ光が各色に対応して射出される。レーザ光は、ポリゴンミラー113に入射して反射した後に、レンズ114,115を透過する。レンズ114,115を透過した後のレーザ光は、イエロー、マゼンタ、シアン、ブラックの各色成分ごとに別の光路を通過することになる。
イエロー成分のレーザ光は、ミラー116〜118で反射された後に、紙面右側から1番目のプロセスカートリッジ500Yの感光体ドラム131表面に照射される。このとき、イエロー成分のレーザ光は、高速回転するポリゴンミラー113により、感光体ドラム131の回転軸方向(主走査方向)に走査される。こうして、帯電部132にて帯電された後の感光体ドラム131上には、イエロー成分の静電潜像が形成される。
同様に、マゼンタ成分のレーザ光は、ミラー119〜121で反射された後に、紙面右から2番目のプロセスカートリッジ500Mの感光体ドラム131表面に照射されて、マゼンタ成分の静電潜像が形成される。シアン成分のレーザ光は、ミラー122〜124で反射された後に、紙面右から3番目のプロセスカートリッジ500Cの感光体ドラム131の表面に照射されて、シアン成分の静電潜像が形成される。ブラック成分のレーザ光は、ミラー125で反射された後に、紙面右から4番目のプロセスカートリッジ500BKの感光体ドラム131表面に照射されて、ブラック成分の静電潜像が形成される(露光工程)。
その後、各色の静電潜像が形成された感光体ドラム131表面は、さらに回転して、現像部133との対向位置に達する。そして、現像部133から感光体ドラム131上に各色のトナーが供給されて、感光体ドラム131上の潜像が現像される(現像工程)。
その後、現像工程後の感光体ドラム131表面は、それぞれ、転写ベルト140との対向位置に達する。ここで、それぞれの対向位置には、転写ベルト140の内周面に当接するように転写ローラ134が設置されている。そして、転写ローラ134の位置で、転写ベルト140によって搬送された被転写材P上に、感光体ドラム131上に形成された各色のトナー像が、順次転写される(転写工程)。
なお、転写ベルトユニット(転写部)において、転写ベルト140は駆動ローラと3つの従動ローラとによって張架・支持されている。そして、駆動ローラによって、転写ベルト140は図中の矢印方向に走行する。この転写ベルトユニットは、上述の転写ローラ134や転写ベルト140等の部材が一体的に構成されていて、装置本体に対して交換可能な装置ユニットとして構成されている。
そして、転写工程後の感光体ドラム131表面は、それぞれ、クリーニング部135との対向位置に達する。そして、クリーニング部135で、感光体ドラム131上に残存する未転写トナーが回収される(クリーニング工程)。
その後、感光体ドラム131表面は、不図示の除電部を通過して、一連の作像プロセスが終了する。
一方、給紙部165(給紙ユニット)からは、給紙ローラ162により給送された被転写材Pが、搬送ガイド163を通過した後に、レジストローラ164の位置に導かれる。レジストローラ164に導かれた被転写材Pは、搬送タイミングを制御されながら、転写ベルト140と吸着ローラ137との当接部に向けて搬送される。
その後、被転写材Pは、図中矢印方向に走行する転写ベルト140に搬送されながら、4つの感光体ドラム131の対向位置を順次通過する。こうして、被転写材P上には各色のトナー像が重ねて転写されて、カラー画像が形成される。
その後、カラー画像が形成された被転写材Pは、転写ベルトユニットの転写ベルト140から離脱して、定着部166に導かれる。定着部166では、加熱ローラ167と加圧ローラ168とのニップ部にて、カラー画像が被転写材P上に定着される。
そして、定着工程後の被転写材Pは、排紙ローラ169によって、装置本体外に排出されて、一連の画像形成動作が完了する。
次に、画像処理装置100に交換自在に設置されるプロセスカートリッジについて詳述する。
図35は、新品状態(非リサイクル品又はリサイクル品が、製造後又は再生処理後に一度も装置本体にて使用されていない状態)のプロセスカートリッジ500を示す断面図である。
同図に示すように、プロセスカートリッジ500には、主として、像担持体としての感光体ドラム131と、帯電部132と、現像部133と、クリーニング部135とが、ケース136内に一体的に収納され、さらにトナー供給部142とも一体的に構成されている。そしてこのことから、プロセスカートリッジ500はトナーカートリッジとも呼ばれる。
また、現像部133は、現像ローラ133a、撹拌ローラ133b,133c、ドクターブレード133d、Tセンサ139(トナー濃度センサ)等で構成され、その内部にはキャリアCとトナーTとからなる現像剤が収納されている。そして、トナー供給部142に備えるトナーボトル143内のトナーTは、現像部133内のトナーTの消費にともない、現像部133内に適宜に供給される。また、クリーニング部135は、クリーニングブレード135a、クリーニングローラ135b等で構成されている。
また、プロセスカートリッジ500のケース136上には、制御チップ180が固着されている。詳細は後述するが、制御チップ180は、CPUやNVRAM(不揮発RAM)等を備えたマイクロコンピュータであり、外部端子を備えたパッケージ化されたICである。そして、制御チップ180の外部端子が、ケース136に固設されたソケット181の接続端子に接続される。なお、制御チップ180の形態に特に制限はなく、大きさが数mm角前後のICチップとすることもできるし、外部端子を備えたPCB(プリント基板)上にICチップを搭載したものとすることもできる。
ところで、このプロセスカートリッジ500は、画像処理装置100の本体よりも寿命が短く、感光体ドラム131やクリーニング部135等が摩耗した場合、あるいはトナーボトル143内のトナーがなくなった場合に交換すべき消耗品である。そして、交換を行う場合には、このプロセスカートリッジ500の単位で、作業者によって装置本体への交換作業がおこなわれる。この際、作業者は、装置本体のドア(不図示である。)を開放し、不図示のレールに沿ってプロセスカートリッジ500を装置本体に挿入することにより、プロセスカートリッジ500を装置本体内に設置することができる。
図36は、プロセスカートリッジが画像処理装置の設置部に設置された場合のその周辺の状態を模式的に示す断面図である。
この状態では、プロセスカートリッジ500のソケット181はエンジン制御部400のCPU401とシリアルバス230を介して接続され、制御チップ180は、このエンジン制御部400及びPCIバス218を介してコントローラ200とも通信可能な状態となる。
また、プロセスカートリッジ500は、この状態で、トナーボトル143から供給されるトナーを使用して画像形成動作を行う。
すなわち、現像ローラ133aは、図中の矢印方向に回転し、現像部133内のトナーTは、図中の反時計回りに回転する撹拌ローラ133b,133cによって、トナー供給部142から供給されたトナーTとともに、キャリアCと混合される。そして、摩擦帯電したトナーTは、一方の撹拌ローラ133bによって、キャリアCとともに現像ローラ133a上に供給される。
現像部133内のトナーTの消費は、感光体ドラム131に対向する光学センサとしてのトナー濃度センサ(Pセンサ)138と、現像部133内に設けられた透磁率センサとしてのトナー濃度センサ(Tセンサ)139とによって検出され、制御チップ180上のCPUに通知される。
また、現像ローラ133aに担持されたトナーTは、ドクターブレード133dの位置を通過した後に、感光体ドラム131との対向位置に達する。そして、その対向位置で、トナーTは、感光体ドラム131表面に形成された静電潜像に付着する。具体的には、レーザ光Lが照射された領域の表面電位と、現像ローラ133aに印加された現像バイアスとの、電位差によって形成される電界によって、トナーTが感光体ドラム131の表面に付着する。
そして、感光体ドラム131に付着したトナーTは、そのほとんどが被転写材P上に転写される。そして、感光体ドラム131上に残存したトナーTが、クリーニングブレード135a及びクリーニングローラ135bによってクリーニング部135内に回収される。
なお、ここではプロセスカートリッジ500とトナー供給部142を一体として1つの消耗品として構成しているが、トナー供給部142を独立して交換可能なユニットとして構成することもできる。そして、このような場合には、トナーボトル143中のトナーがなくなった場合には、トナーボトルあるいはトナー供給部の単位で新たなユニットに交換することになる。
次に、画像処理装置100の構成について、制御及び通信に関連するハードウェアを中心にさらに説明する。図37は、その画像処理装置の構成を、制御及び通信に関連するハードウェアを中心に示したブロック図である。
この画像処理装置100は、図37に示すように、CPU201,ASIC(Application Specific Integrated Circuit)202,SDRAM203,NVRAM(不揮発性メモリ)204,NRS用メモリ205,PHY(物理メディアインタフェース)206,操作部209,HDD(ハードディスクドライブ)210,モデム211,PI(パーソナルインタフェース)212,FCU(ファックスコントロールユニット)213,USB(Universal Serial Bus)214,IEEE1394_215,エンジン制御部400,エンジン部410,およびプロセスカートリッジ500を備えている。
そして、CPU201,ASIC202,SDRAM203,NVRAM204,NRS用メモリ205,HDD210が画像処理装置100の全体の動作を制御する制御手段であるコントローラ200を構成する。
また、CPU201は、ASIC202を介してデータ処理(各機能の制御)を行う演算処理手段である。
ASIC202は、CPUインタフェース,SDRAMインタフェース,ローカルバスインタフェース,PCIインタフェース,MAC(Media Access Controller)、HDDインタフェースなどからなる多機能デバイスボードであり、CPU201の制御対象となるデバイスの共有化を図り、アーキテクチャの面からアプリ(アプリケーションソフト)や共通システムサービスの開発の高効率化を支援するものである。
SDRAM203は、OSを含む各種プログラムを記憶するプログラムメモリや、CPU201がデータ処理を行う際に使用するワークメモリ等として使用するメインメモリである。なお、このSDRAM203の代わりに、DRAMやSRAMを使用してもよい。
NVRAM204は、不揮発性のメモリ(記憶手段)であり、電源がオフになっても記憶内容を保持するようになっている。そして、このNVRAM204の用途としては、この画像処理装置100を起動させるブートローダ(ブートプログラム)やOSのファイルであるOSイメージを記憶するプログラムメモリ、外部の通信相手との通信時のSSL(Secure Socket Layer)による相互認証や、プロセスカートリッジ500のような部材との間のPKI(Public Key Infrastructure)を利用した相互認証に用いるデジタル証明書を記憶する証明書メモリ、プリンタ機能の初期値やスキャナ機能の初期値のような、ほとんど値を変更しない種々の固定パラメータを記憶する固定パラメータメモリ、この画像処理装置100の識別情報である機種機番を記憶する機種機番メモリ、操作部209による操作上の初期値を記憶するメモリ、各アプリ(APL)の初期値を記憶するメモリ、各カウンタ情報(課金カウンタのデータ等)を記憶するメモリ等が挙げられる。
なお、NVRAM204は、複数のメモリユニットによって構成したり、装置の各部に分散して設けたりしてももちろん構わない。また、それらのメモリユニットとしては、例えばRAMと電池を利用したバックアップ回路を集積した不揮発性RAMや、EEPROM、あるいはフラッシュメモリ等の不揮発性メモリを使用することができる。
NRS用メモリ205は、後述するNRSアプリを記憶する不揮発性メモリであり、オプションでNRS機能を追加することができる。
PHY206は、LANを介して上位装置(管理装置)700等の外部装置と通信を行うためのインタフェースであり、CPU201と併せて通信手段として機能する。
操作部209は、操作表示手段(操作手段および表示手段)である。
HDD210は、電源のオン・オフに関係なくデータを記憶保存する記憶手段(記録媒体)である。このHDD210に、上述したNVRAM204内のプログラムやそれ以外のデータを記憶しておくこともできる。
モデム211は、変復調手段であり、外部装置へ公衆回線経由でデータを送信する場合、そのデータを公衆回線に流せる形に変調する。また、外部装置から送られてくる変調されたデータを受信した場合、そのデータを復調する。
PI212は、RS485規格に準拠したインタフェースを備え、図示しないラインアダプタを介して公衆回線に接続している。これらのモデム211やPI212を用いて外部装置と通信することもできる。
FCU213は、FAX装置又は、モデム機能(FAX通信機能)を有するデジタル複写機やデジタル複合機等の画像処理装置の外部装置との通信を公衆回線経由で制御する。
USB214及びIEEE1394_215はそれぞれ、周辺機器と通信を行うための、USB規格及びIEEE1394規格のインタフェースである。
エンジン制御部400は、コントローラ200からの指示に従ってエンジン部410の動作を制御する制御手段であり、また、エンジン部410をPCIバス218に接続するためのインタフェースである。さらに、プロセスカートリッジ500のCPUとコントローラ200のCPU201との間の通信を仲介する機能も有する。
エンジン部410は、図34に示した画像読み取り/形成用のエンジンや、プロッタエンジンによって画像を形成した用紙に、ソート、穴開け、ステープル処理等の後処理を行う後処理ユニット等が該当する。
プロセスカートリッジ500については、上述した通りであり、エンジン制御部400とシリアルバス230によって接続される。
ここで、電源投入(電源オン)時には、CPU201は、ASIC202経由でNVRAM204内のブートローダを起動させ、そのブートローダに従い、NVRAM204内のOSイメージを読み出し、それをSDRAM203にロードして使用可能なOSに展開する。そして、OSの展開が完了すると、そのOSを起動させる。その後、必要に応じてNVRAM204内のアプリ等のプログラムあるいはNRS用メモリ205内のNRSアプリを読み出し、それをSDRAM203にロードして展開し、起動させることにより、各種機能を実現することができる。
次に、画像処理装置100におけるソフトウェア構成を図38を用いて説明する。
図38は、画像処理装置100のソフトウェア構成の一例を示すブロック図である。この画像処理装置100のソフトウェア構成は、最上位のアプリケーションモジュール層、およびその下位のサービスモジュール層からなる。そして、これらのソフトウェアを構成するプログラムはNVRAM204やNRS用メモリ205に記憶され、必要に応じて読み出されてCPU201によって実行される。
アプリケーションモジュール層のソフトウェアは、CPU201を、ハードウェア資源を動作させて所定の機能を実現させる複数のアプリケーション制御手段(処理実行手段)として機能させるためのプログラムによって構成され、サービスモジュール層のソフトウェアは、CPU201を、ハードウェア資源と各アプリケーション制御手段との間に介在し、複数のアプリケーション制御手段からのハードウェア資源に対する動作要求の受付,その動作要求の調停,およびその動作要求に基づく動作の実行制御を行うサービス制御手段(処理実行手段)として機能させるためのプログラムによって構成される。
OS319はUNIX(登録商標)などのオペレーティングシステムであり、サービスモジュール層及びアプリケーションモジュール層の各プログラムをそれぞれプロセスとして並列実行する。
サービスモジュール層には、オペレーションコントロールサービス(OCS)300、エンジンコントロールサービス(ECS)301、メモリコントロールサービス(MCS)302、ネットワークコントロールサービス(NCS)303、ファクスコントロールサービス(FCS)304、カスタマーサポートシステム(CSS)305、システムコントロールサービス(SCS)306、システムリソースマネージャ(SRM)307、イメージメモリハンドラ(IMH)308、デリバリーコントロールサービス(DCS)316、ユーザコントロールサービス(UCS)317、データエンクリプションセキュリティサービス(DESS)318を実装している。更に、アプリケーションモジュール層には、コピーアプリ309、ファクスアプリ310、プリンタアプリ311、スキャナアプリ312、ネットファイルアプリ313、ウェブアプリ314、NRS(ニューリモートサービス)アプリ315を実装している。
これらを更に詳述する。
OCS300は、操作部209を制御するモジュールである。
ECS301は、ハードウェアリソース等のエンジンを制御するモジュールである。
MCS302は、メモリ制御をするモジュールであり、例えば、画像メモリの取得及び開放、HDD210の利用等を行う。
NCS303は、ネットワークとアプリケーションモジュール層の各アプリケーションプログラムとの仲介処理を行わせるモジュールである。
FCS304は、ファクシミリ送受信、ファクシミリ読み取り、ファクシミリ受信印刷等を行うモジュールである。
CSS305は、公衆回線を介してデータを送受信する際のデータの変換等をするモジュールであり、また公衆回線を介した遠隔管理に関する機能をまとめたモジュールである。
SCS306は、コマンドの内容に応じたアプリケーションモジュール層の各アプリケーションプログラムの起動管理及び終了管理を行うモジュールである。
SRM307は、システムの制御及びリソースの管理を行うモジュールである。
IMH308は、一時的に画像データを入れておくメモリを管理するモジュールである。
DCS316は、HDD210やSDRAM203に記憶している(する)画像ファイル等をSMTP(Simple Mail Transfer Protocol)やFTP(File Transfer Protocol)を用いて送受信するモジュールである。
UCS317は、ユーザが登録した宛先情報や宛名情報等のユーザ情報を管理するモジュールである。
DESS318は、PKIやSSLを利用した各ユニットあるいは外部装置の認証や、通信の暗号化を行うモジュールである。
コピーアプリ309は、コピーサービスを実現するためのアプリケーションプログラムである。
ファクスアプリ310は、ファクスサービスを実現するためのアプリケーションプログラムである。
プリンタアプリ311は、プリンタサービスを実現するためのアプリケーションプログラムである。
スキャナアプリ312は、スキャナサービスを実現するためのアプリケーションプログラムである。
ネットファイルアプリ313は、ネットファイルサービスを実現するためのアプリケーションプログラムである。
ウェブアプリ314は、ウェブサービスを実現するためのアプリケーションプログラムである。
NRSアプリ315は、ネットワークを介してデータを送受信する際のデータの変換や、ネットワークを介した遠隔管理に関する機能(管理装置102との通信に係わる機能を含む)を実現するためのアプリケーションプログラムである。
次に、図39に、NRSアプリの構成の一例を示し、上述した画像処理装置100のソフトウェアの構成に含まれるNRSアプリ315の内部構成をこの機能ブロック図を用いて更に説明する。
同図に示すように、NRSアプリ315は、SCS306とNCS303との間で処理を行っている。ウェブサーバ機能部600は、外部から受信した要求に関する応答処理を行う。ここでの要求は、例えば、構造化言語であるXML(Extensible Markup Language)形式で記載された、SOAP(Simple Object Access Protocol)によるSOAPリクエストであることが考えられる。ウェブクライアント機能部601は、外部への要求を発行する処理を行う。libsoap602は、SOAPを処理するライブラリであり、libxml603は、XML形式で記載されたデータを処理するライブラリである。また、libgwww604は、HTTPを処理するライブラリであり、libgw_ncs605は、NCS303との間の処理をするライブラリである。
以上のような画像処理装置100においては、電源ONやリセット等により、装置が起動された場合、その初期化処理において、コントローラ200と、交換可能な消耗品であるプロセスカートリッジ500との間で、PKIを利用した認証処理を行い、認証が失敗した場合に警告を発するようにしている。また、認証失敗の内容に応じてその警告の内容を変化させるようにしている。
次に、この認証処理及び警告に関連する各部の構成及び動作について説明する。図40に、この認証処理及び警告に関連する各部の構成を示す。なお、説明を簡単にするため、以下の説明(他の実施形態も含む)においては1つのプロセスカートリッジに関する構成及び処理のみについて説明するが、他のプロセスカートリッジについても同様な構成を有し、コントローラ200やエンジン制御部400との間で並列にあるいは順次に同様な処理を行うものとする。
まず、相互認証に関与するのは、実際にはコントローラ200、エンジン制御部400、プロセスカートリッジ500である。
このうち、コントローラ200の構成については上述した通りであるが、ここでは一部の構成のみを示している。ただし、I/Oポート220は、ASIC202に備えたPCIバス218との接続ポートを示す。
また、エンジン制御部400は、CPU401、ROM402、RAM403、NVRAM404、I/Oポート405を備え、これらが内部バス406によって接続されている。そして、CPU401がROM402やNVRAM404に記憶しているプログラムを実行することにより、エンジン部410の制御やコントローラ200及びプロセスカートリッジ500との間のデータ通信に関する処理を行う。
プロセスカートリッジ500も、CPU501、ROM502、RAM503、NVRAM504、I/Oポート505を備え、これらが内部バス506によって接続されている。このうちNVRAM504には、上記の認証処理に使用するデジタル証明書及び鍵を記憶する。そして、CPU501がROM502やNVRAM504に記憶しているプログラムを実行することにより、プロセスカートリッジ500の制御やデータ管理、エンジン制御部400とのデータ通信及び認証処理に関する処理を行う。すなわち、CPU501は、通信手段及び演算手段として機能する。なお、これらの各部は、制御チップ180あるいはソケット181上に設けられるものである。
ところで、図40に示した構成について、コントローラ200とプロセスカートリッジ500とが通信を行う場合、エンジン制御部400は単にその間の通信を仲介する機能を果たすのみである。従って、コントローラ200とプロセスカートリッジ500とが認証処理を行う場合、これに関与する構成を簡単に表わすと、図41に示すようになる。
すなわち、コントローラ200のCPU201が証明書メモリとして機能するNVRAM204から認証処理に必要なコントローラ200側のデジタル証明書や鍵を読み出す。
また、プロセスカートリッジ500のCPU501が証明書メモリとして機能するNVRAM504から認証処理に必要なプロセスカートリッジ500側のデジタル証明書や鍵を読み出す。そして、CPU201とCPU501との間で通信を行い、これらのデジタル証明書や鍵を用いて認証処理を行うという具合である。なお、この場合において、CPU201とCPU501及びこれらの間のバスやインタフェースがそれぞれ通信手段に該当する。図40等に示したその他の構成は、この認証処理に補助的に関与するのみである。
そして、この画像処理装置100において、コントローラ200を第1の実施形態の通信装置1における装置本体10、プロセスカートリッジ500を同じく部品20と同様に取り扱い、各装置に第1の実施形態の場合と同様な証明書等を記憶させ、同様な処理を行わせることにより、上述した第1の実施形態の場合と同様な効果を得ることができる。また、第1の実施形態の場合と同様な変形も適用できることは、もちろんである。
なお、プロセスカートリッジ500に記憶させる公開鍵証明書には、第1の実施形態の場合よりも多くの情報を記載するようにすることが考えられる。例えば、プロセスカートリッジのロット番号やシリアル番号を記載したり、リサイクル回数の上限を記載したりしてもよい。
また、露光量、帯電量、現像バイアスのような、プロセスカートリッジの製造時に定まる固定的な作像条件を記載しておき、コントローラ200側でこれを取得して画像形成時の制御に使用するようにしてもよい。
そして、このような情報をカートリッジ公開鍵証明書に記載しておけば、上述のようなコピー証明書により認証処理をクリアしたとしても、作像条件を変更することができないため、コピー先のユニットを使用しても高い画像形成品質を得ることができない。従って、カートリッジ公開鍵証明書に作像条件等を記載することも、証明書の不正使用防止に効果がある。
〔第3の実施形態:図42乃至図57〕
次に、この発明のデジタル証明書設定システム及び認証データ設定システムの第3の実施形態について説明する。システム等の呼称については、第1の実施形態の場合と同様である。
図42に、そのデジタル証明書設定システムを含む画像処理装置管理システム及びその周辺装置の構成を示す。そして、この図に示す管理装置102がこの発明のデジタル証明書転送装置の実施形態であり、各画像処理装置100a〜100f及び仲介機能付画像処理装置110a,110bがこの発明の通信装置の実施形態である。
図42に示した画像処理装置管理システム1000は、管理装置102によって被管理装置である複数の画像処理装置100及び仲介機能付画像処理装置110を遠隔管理する遠隔管理システムである。
また、画像処理装置管理システム1000とは別に、サービス拠点Eの各装置及び認証局(CA)800を設け、これらの装置により、画像処理装置100及び仲介機能付画像処理装置110において使用するプロセスカートリッジをユーザに供給する際に、そのプロセスカートリッジに、そのカートリッジを使用する装置の情報を記載したデジタル証明書を設定することができるようにしている。
図42に示すように、画像処理装置管理システム1000は、管理装置102と、複数の画像処理装置100と、これらの間の通信を仲介する仲介装置101を備える。そして、このうち仲介装置101及び画像処理装置100をユーザ側の設置環境に配置し、これらと管理装置102とがインターネット103を介して通信可能な構成としている。そして、管理装置102が各画像処理装置100と通信を行って各画像処理装置100を集中的に遠隔管理する遠隔管理システムを構成している。
ところで、このシステムにおいて、各設置環境内の仲介装置101と画像処理装置100とは、互いにLAN(ローカルエリアネットワーク)によって接続し、これを介して通信可能としている。そして、セキュリティ面を考慮し、ファイアウォール104を介してLANをインターネット103に接続している。
なお、仲介装置101と画像処理装置100との接続は、LANに限らず、RS−485規格等に準拠したシリアル接続や、SCSI(Small Computer System Interface)規格等に準拠したパラレル接続等によって行ってもよい。例えばRS−485規格の場合には、仲介装置101に直列に5台までの画像処理装置100を接続することができる。
また、これらの仲介装置101及び画像処理装置100は、その利用環境に応じて多様な階層構造を成す。
例えば、図42に示す設置環境Aでは、管理装置102とHTTPによる直接的なコネクションを確立できる仲介装置101aが、画像処理装置100a及び100bを従える単純な階層構造になっているが、同図に示す設置環境Bでは、4台の画像処理装置100を設置するため、1台の仲介装置101を設置しただけでは負荷が大きくなる。そのため、管理装置102とHTTPによる直接的なコネクションを確立できる仲介装置101bが、画像処理装置100c及び100dだけでなく、他の仲介装置101cを従え、この仲介装置101cが画像処理装置100e及び100fを更に従えるという階層構造を形成している。この場合、画像処理装置100e及び100fを遠隔管理するために管理装置102から発せられた情報は、仲介装置101bとその下位のノードである仲介装置101cとを経由して、画像処理装置100e又は100fに到達することになる。
また、設置環境Cのように、画像処理装置100に仲介装置101の機能を併せ持たせた仲介機能付画像処理装置(以下単に「画像処理装置」ともいう)110a,110bを、別途仲介装置を介さずにインターネット103によって管理装置102に接続するようにしてもよい。
図示はしていないが、仲介機能付画像処理装置110の下位に更に画像処理装置100と同等の画像処理装置を接続することもできる。
また、このような遠隔管理システムにおいて、仲介装置101は、これに接続された画像処理装置100の制御管理のためのアプリケーションプログラムを実装している。管理装置102は、各仲介装置101の制御管理、更にはこの仲介装置101を介した画像処理装置100及び他の仲介装置101の制御管理を行うためのアプリケーションプログラムを実装している。そして、画像処理装置100も含め、この遠隔管理システムにおけるこれら各ノードは、RPC(remote procedure call)により、相互の実装するアプリケーションプログラムのメソッドに対する処理の依頼である「動作要求」を送信し、この依頼された処理の結果である「動作応答」を取得することができるようになっている。
即ち、管理装置102は、画像処理装置100や仲介装置101への動作要求を生成してこれを画像処理装置100や仲介装置101へ引き渡し、この動作要求に対する動作応答を取得できる一方で、画像処理装置100は、管理装置102への動作要求を生成してこれを管理装置102へ引き渡し、この動作要求に対する動作応答を取得できるようになっている。また、仲介装置101も、管理装置102への動作要求を生成してこれを管理装置102へ引き渡し、この動作要求に対する動作応答を取得できるようになっている。ここで、動作要求による要求の内容には、意味のある実行結果を伴わない通知も含まれるものとする。
また、このようなRPCを実現するために、SOAP,HTTP,FTP,COM,CORBA等の既知のプロトコル(通信規格),技術,仕様などを利用することができる。
これらの動作要求、動作応答の送受信のデータ送受モデルを図43の概念図に示す。
(A)は、画像処理装置100で管理装置102に対する動作要求が発生したケースである。このケースでは、画像処理装置100が被管理装置側要求aを生成し、これを仲介装置101を経由して受け取った管理装置102がこの要求に対する応答aを返すというモデルになる。同図に示す仲介装置101は複数であるケースも想定できる(上記図42に示す設置環境B)。なお、(A)では、応答aだけでなく応答遅延通知a′を返信するケースが表記されている。これは、管理装置102を、仲介装置101を経由して被管理装置側要求を受け取って、当該要求に対する応答を即座に返せないと判断したときには、応答遅延通知を通知して一旦接続状態を切断し、次回の接続の際に上記要求に対する応答を改めて引き渡す構成としているためである。
(B)は、管理装置102で画像処理装置100に対する要求が発生したケースである。このケースでは、管理装置102が管理装置側要求bを生成し、これを仲介装置101を経由して受け取った画像処理装置100が、当該要求に対する応答bを返すというモデルになっている。なお、(B)のケースでも、応答を即座に返せないときに応答遅延通知b′を返すことは(A)のケースと同様である。
次に、図44に、管理装置102の概略構成例を示す。
この管理装置102は、モデム611,通信端末612,外部接続I/F613,操作者端末614,制御装置615,ファイルサーバ616等からなる。
モデム611は、図示しない公衆回線を介して機器利用者側(例えば画像処理装置を利用しているユーザ先)の仲介装置101又は画像処理装置110と通信するものであり、送受信するデータを変復調する。また、通信端末612は、モデム611による通信を制御するものである。そして、これらのモデム611と通信端末612により通信手段としての機能を果たす。
外部接続I/F613は、インターネット103あるいは専用線等によるネットワークを介した通信を行うためのインタフェースである。そして、ここを介して機器利用者側の仲介装置101又は画像処理装置110や、サービス拠点Eの通信端末150との通信を行う。また、セキュリティ管理のためのプロキシサーバ等を設けてもよい。
操作者端末614は、各種データの入力をオペレータによるキーボード等の入力装置上の操作により受け付ける。入力されるデータとしては、例えば、各機器利用者側の仲介装置101又は画像処理装置110と通信する際に使用するそれらのIPアドレスや電話番号(発呼先電話番号)等の顧客情報がある。
制御装置615は、図示しないCPU,ROM,RAM等からなるマイクロコンピュータを備えており、管理装置102全体を統括的に制御する。
ファイルサーバ616は、図示しないハードディスク装置等の記憶装置を備え、そこに各機器利用者側の仲介装置101および画像処理装置110のIPアドレスや電話番号、それらの装置から受信したデータ、管理対象の画像処理装置の識別情報、操作者端末614から入力されたデータ等の各種データをそれぞれデータベース(DB)として記憶している。
また、仲介装置101の物理的構成について説明すると、仲介装置101は、不図示のCPU,ROM,RAM,不揮発性メモリ,ネットワークインタフェースカード(NIC)等によって構成されている。
仲介機能付画像処理装置110については、仲介装置101の機能を実現するためにこれらのユニットを単に画像処理装置100に付加しても良いが、画像処理装置100に備えるCPU,ROM,RAM等のハードウェア資源を利用し、CPUに適当なアプリケーションやプログラムモジュールを実行させることによって仲介装置101の機能を実現することもできる。
また、画像処理装置100のハードウェア構成は、上述の第2の実施形態の場合と同様なものである。
そして、以上のような画像処理装置管理システム100において、管理装置102は、各画像処理装置100,110に対し、少なくとも、第1の実施形態における管理装置700の場合と同様な管理動作、およびルート鍵証明書やカートリッジ公開鍵証明書等の更新に係る動作を行うことができる。この場合の更新用の証明書等は、CA800が発行する。そして、管理装置102とCA800とが専用線によって通信可能な構成としてもよい。
次に、図42に示した通信端末150、サービス拠点端末160及びCA800について説明する。これらのうち、通信端末150とサービス拠点端末160とが、サービス拠点に設置される端末装置に該当する。
図45は、これらの装置と管理装置102との関係を、より詳細に示す図である。
まず、通信端末150は、サービス拠点Eの外部と通信を行い、必要な情報を取得したり、要求を送信したりする装置である。この通信は、ここではインターネット103を用いて行い、図示は省略したが、SSLやVPN(Virtual Private Network)等の技術を利用したり、ファイアウォールを設けたりしてセキュリティを確保するようにしている。しかし、専用線によるネットワークや公衆回線等の他のネットワークを使用して通信を行うようにしてもよい。
ここで、サービス拠点Eは、画像処理装置100,110において使用するプロセスカートリッジ500等の部材を販売あるいは配送する施設であり、例えば販売店や、カスタマーエンジニア(CE)の派遣拠点がこれに該当する。
そして、サービス拠点Eにおいて、セキュリティ面を考慮して管理者室Fに通信端末150を設置している。そして、その管理者室Fは、特定の管理者しか入れないように、ドアGに鍵をかけるようにし、通信端末150は、特定のIDとパスワードが入力された場合にのみ操作できるようにするとよい。
そして、通信端末150は、管理装置102から、プロセスカートリッジ500等の部材の発注に関する情報を受け付ける機能と、CA800に対して、その情報と共に受け付けた通信装置の識別情報を証明書発行要求と共に送信する機能と、その要求に応じてCA800が発行するデジタル証明書を取得し、サービス拠点端末160及び証明書設定装置161を介して、発注に係る部材にそのデジタル証明書を設定する機能とを有する。
ハードウェア構成としては、CPU,ROM,RAM,HDD,通信I/F,入力装置(入力手段),表示装置(表示手段)を備え、これらがシステムバスよって接続された構成である。
サービス拠点端末160は、サービス拠点Eにおいて、一般のCE162が直接操作する端末であり、通信端末150とはLANを介して通信可能である。そして、通信端末150に、CA800に対して証明書発行要求を送信させると共に、CA800が発行したデジタル証明書を、通信端末150を介して取得する機能を有する。
また、ハードウェア構成としては、CPU,ROM,RAM,HDD,通信I/F,入力装置(入力手段),表示装置(表示手段)を備え、これらがシステムバスよって接続された構成である。公知のPCを使用してもよい。
また、サービス拠点端末160には、プロセスカートリッジ500にデジタル証明書を記憶させて設定するための証明書設定装置161が接続されており、この証明書設定装置161を介してプロセスカートリッジ500のNVRAM504にデジタル証明書を設定することができる。
証明書設定装置161は、プロセスカートリッジ500のソケット181との接続I/Fを有する装置であり、プロセスカートリッジ500を証明書設定装置161にはめ込むような構成でも、単なるI/F付のケーブルのような構成でも構わない。少なくとも、サービス拠点端末160が制御チップ180上のNVRAM504にデータを書き込むことを可能にできるような構成であれば足りる。
なお、図45では、サービス拠点端末160と証明書設定装置161とを、aからcまでの3組設けた例を示しているが、この数に限られることはない。1組だけ設けてもよい。また、1つのサービス拠点端末160に複数の証明書設定装置161を接続してもよいし、通信端末150とサービス拠点端末160や、サービス拠点端末160と証明書設定装置161を一体に構成してもよい。
CA800は、デジタル証明書や私有鍵の発行、署名、管理等を行う装置であり、外部装置からの要求に応じてデジタル証明書を発行し、送信することもできる。そして、通信端末150からの証明書発行要求に応じて、受信した識別情報をもとに、プロセスカートリッジ500を使用する画像処理装置100に記憶しているルート鍵証明書を用いて正当性を確認可能であり、その画像処理装置100の識別情報が記載されているデジタル証明書を発行して通信端末150に送信する機能を有する。
次に、上述した画像処理装置管理システム1000及び証明書設定システムにおいて画像処理装置100が行う処理の例として、トナー残量が減少した場合の自動発注機能に関する処理について説明する。また、上述のように、プロセスカートリッジ500に記憶させる公開鍵証明書は、そのカートリッジを使用する装置の情報を記載したものとする必要がある。そこで、画像処理装置100からの発注に応じてこのような証明書を設定したプロセスカートリッジ500を供給するための処理についても説明する。
画像処理装置100においては、プロセスカートリッジ500のNVRAM504に、所定の記憶領域を確保し、図46に示すような、プロセスカートリッジ500に関する情報のうち書き換えの必要な情報をここに記録している。これらの情報の全部又は一部は、コントローラ200が画像処理装置100の動作を制御する際の制御情報として使用される。
例えば、「画像形成枚数」は、プロセスカートリッジ500が画像処理装置100に設置されてから画像形成が行われた枚数であり、これが所定枚数を越えた場合に、感光体ドラム131が摩耗している可能性があると判断できる。「リサイクル回数」は使用済みのプロセスカートリッジ500をリサイクルした回数であり、これがカートリッジ証明書中の「最大リサイクル回数」を越えている場合には、コントローラ200の制御により、プロセスカートリッジ500を用いた画像形成が行えないようにしている。
また、「トナー残量」は、トナーボトル143中のトナー量であり、ここで説明する動作は、この値が所定値以下になった場合に自動的に管理装置102に対して交換用プロセスカートリッジの発注を行う動作である。
なお、上述の第2の実施形態において同様な情報をNVRAM504に記憶させて同様な制御に用いてよいことは、もちろんである。
次に、図47に、上記のカートリッジ発注の動作に関連してプロセスカートリッジ500のCPU501とコントローラ200のCPU201が実行する処理を示す。
まず、プロセスカートリッジ500のCPU501は、所定タイミング毎あるいは画像形成が行われる毎等の適当なタイミングで、図47の左側のフローチャートに示す処理を開始する。そして、まずステップS501で、前回この処理を実行してからのトナー使用量を検出する。この検出は、例えば図36に示したPセンサ138やTセンサ139を用いて物理的に行うことができる。また、使用量に代えて残量を直接検出してもよい。
そして、次のステップS502で、プロセスカートリッジ500のNVRAM504に記憶しているトナー残量のパラメータを、ステップS501での検出結果に従って変更する。
その後、ステップS503で変更後のトナー残量をコントローラ200に通知する。この通知は、図9に示したような認証処理において交換した共通鍵を用いて暗号化するとよい。このようにすれば、信号線をモニタリングしたとしても通知の内容を知ることができないため、通信内容の漏洩や、それに伴って図46に示したようなデータを不正に改変されることを防止できる。
暗号化に用いる共通鍵は、画像処理装置起動時の認証処理の際に作成したものを以後再度認証処理が行われるまで使用してもよいし、コントローラ200との間で通信を行う毎に図9に示した処理を行って新たに作成するようにしてもよい。
プロセスカートリッジ500側の処理は、トナー残量の通知後に終了する。
一方、コントローラ200側では、このトナー残量の通知を受信すると、図20の右側のフローチャートに示す処理を開始する。この処理は、図38に示したNRSアプリ315により実現されるものである。また、ステップS503での通知を暗号化するようにした場合、この処理は、CPU501が、暗号化した通信経路でプロセスカートリッジ200から受信した制御情報に従って画像処理装置100の動作を制御する処理となる。
そして、まずステップS511でトナー残量が所定の閾値以下か否か判断し、閾値以下であればステップS512で管理装置102にトナーサプライコールを通知し、交換用のトナーカートリッジを発注して処理を終了する。このとき、ユーザに確認を求めるようにしてもよい。また、ステップS511で閾値以下でなければ、そのまま処理を終了する。なお、この閾値は、交換用トナーカートリッジの発注からユーザの手元に届くまでの期間を考慮して、トナーエンドあるいはニアエンドを示す閾値よりはいくぶん多い値とするとよい。
図48に、図47のフローチャートに示した処理を行う際の各部の動作シーケンスの例を示す。ここでは、トナー残量が閾値以下であった場合の例を示している。
この図に示すように、この処理においては、まずプロセスカートリッジ500のCPU501が適当なタイミングでトナーの使用量を検出し(S601)、NVRAM504にアクセスしてトナー残量を読み出し(S602)、ステップS601で検出したトナー使用量を差し引いた新たなトナー残量に書き換える(S603)。そして、その新たなトナー残量の情報を共通鍵で暗号化してコントローラ200のCPU201に通知する(S604)。
一方、CPU201は、この通知を受けるとNVRAM204からトナー残量の閾値を読み出し、これを受信したトナー残量の値と比較する(S605)。そして、トナー残量が閾値以下と判定すると(S606)、交換用のプロセスカートリッジを発注するためのサプライコールの送信処理に入る。
この処理においては、まず操作部209に図49に示すようなサプライコール画面を表示させる。そして、管理装置102にサプライコールを送信するのであるが、画像処理装置100は管理装置102との通信は仲介装置101を介して行うため、まず仲介装置101にサプライコールを送信する(S608)。このとき、NVRAM204に記憶している前述した公開鍵証明書等を用いて仲介装置101との間でSSLによる相互認証処理を行い、安全な通信経路を確保した上で送信を行う。この相互認証処理は、登場する装置は異なるが、図9のフローチャートに示した処理と同様なものである。
次に、これを受信した仲介装置101は、管理装置102との間で同様にSSLによる安全な通信経路を確保した上でサプライコールを転送し(S609)、管理装置102はこれを受信するとコールに係る交換用プロセスカートリッジの発注を受け付け、この情報をファイルサーバ616に記憶する(S610)。
なお、ここで送信するサプライコールは、SOAPリクエストとして記載したものであり、その形式は例えば図50に示すものである。そして、このメッセージには図51に示すような情報が含まれており、コールタイプ及びコール詳細から、このコールが交換用プロセスカートリッジの発注を示すコールであることがわかり、機番情報から、どの装置からの発注であるかがわかる。従って、これをファイルサーバ616中の顧客情報と照らし合わせることにより、装置の設置先の住所や電話番号がわかることから、最寄のサービス拠点に発注データを転送し、交換用のプロセスカートリッジを顧客先に速やかに届けるよう指示することができる。
一方、サプライコールを受信した管理装置102は、そのコールに対する応答として、仲介装置101を介して画像処理装置100にコールOK通知を返す(S611,612)。このコールOK通知は、詳細な図示は省略するが、SOAPレスポンスとして記載したものである。
そして、この通知を受けることにより、CPU201は、交換用プロセスカートリッジの発注が正常に完了したことがわかる。そこで、コール完了フラグをONにする等により、以後プロセスカートリッジが交換されるまでは同じトナーサプライコールは行わないようにするとよい。
次に、図52に、図48に示した処理シーケンスにおいて管理装置102がサプライコールを受信してから、適当な公開鍵証明書を設定した交換用のプロセスカートリッジ500が用意されるまでの処理シーケンスを示す。交換用のプロセスカートリッジについても、画像処理装置100に装着されているものと同じ符号を用いるが、当然ながらこれらは異なる個体である。
この処理においては、図52に示すように、まず管理装置102が、受信したサプライコールに係る発注情報を記載した電子メールを、その顧客(又は顧客の所在地)を担当するCEに宛てて送信する(S621)。
ここで送信する電子メールの内容は、例えば図53に示すようなものである。
そして、この電子メールに記載する情報のうち、「サプライ品名」は、発注に係る部材の種類を示す情報であり、ここではサプライコールによって発注されたプロセスカートリッジ500の種類を記載している。
また、「使用画像IO機番」には、サプライコールの送信元装置の識別情報を、発注に係るプロセスカートリッジを使用する装置の識別情報として記載している。なお、カートリッジを顧客先の複数の装置で使い回す場合等、注文時点ではどの装置に使用されるかが確定的でない場合には、管理装置102にその旨を登録しておき、管理装置102が、発注に係るカートリッジを使用する可能性のある装置全ての識別情報を、「使用画像IO機番」として記載するようにするとよい。
「お客様氏名」や「TEL」は、サプライコールの送信元装置を使用している顧客の連絡先を示す情報であり、これらの項目は、管理装置102が、ファイルサーバ616に記憶している顧客情報を参照して作成する。
「ID」は、この電子メールによる発注通知のID番号である。
管理装置102からのこのような電子メールは、図示しないメールサーバを介して、サービス拠点E内のメールサーバにおけるCEのメールボックス150aに記憶される。通信端末150にこのメールサーバの機能を持たせるようにしてもよい。
一方、メールサーバは、電子メールのタイトルにフィルタ処理を行う等して発注情報を記載した電子メールを識別し、これを受信した場合、その電子メールを変換装置150bに転送する(S622)。すると、変換装置150bは、この電子メールから、少なくとも発注に係る部材の品名及びその部材を使用する装置の識別情報を含む、以後の処理に使用する情報を抽出し(S623)、そのデータと共に発注受付通知をサービス拠点端末160に送信する(S624)。サービス拠点端末160がサービス拠点E内に複数ある場合には、発注に係る電子メールの宛先であるCEが操作する端末に送信する。また、ハードウェア面では、通信端末150に変換装置150bの機能を担わせるようにするとよい。
サービス拠点端末160は、ステップS624の通知を受け付けると、図54に示すような確認画面を表示して、担当のCEに発注の可否を確認させる(S625)。この画面に表示する情報は、変換装置150bから受信した情報である。CEは、この画面で発注内容を確認し、発注に係る部材を証明書設定装置161にセットして発注キー241を押下し、発注を確認する。すると、その行の表示が削除され、表示が更新される。
また、サービス拠点端末160は、発注の確認があると、証明書設定装置161に対してプロセスカートリッジ500の識別情報を読み出すよう指示する(S626)。そして、証明書設定装置161は、指示に応じて、プロセスカートリッジのNVRAM204からロット番号やシリアル番号等の、カートリッジ公開鍵証明書への記載が必要な識別情報を読み出し(S627)、サービス拠点端末160へ返す(S628)。
なおここでは、製造後、メーカーの手を離れる前の段階であるので、データが改竄や偽造されていることは考えにくく、ID自体をそのまま記憶させてあるような識別情報を使用しても、セキュリティは維持できる。しかし、このような記録態様の識別情報は、カートリッジがメーカーから外部に出てしまうと改竄されたり偽造されたりする恐れがあるため、図6に示したような制御を行う際の判断には使用しない方がよい。
サービス拠点端末160は、ステップS628でプロセスカートリッジ500の識別情報を取得すると、通信端末150に対し、証明書発行要求の送信指示及び、その証明書発行要求に記載すべきデータ(例えばステップS627で読み出した識別情報)を送信する(S629)。すると、通信端末150はこの指示に応じて証明書発行要求をCA800に送信する(S630)。また、CA800はこの要求に応じてプロセスカートリッジ500に対して公開鍵証明書と私有鍵を発行し、適当なルート鍵証明書とセットにして返してくるので、通信端末150はこれを取得する(S631)。
ここで、上記の証明書発行要求及び、CA800からの証明書の送信は、図55に示すような形式のSOAPメッセージで行う。証明書発行要求はSOAPリクエスト、証明書はそのSOAPリクエストに対するSOAPレスポンスとして送信する。そして、これらのメッセージは構造化言語であるXMLの形式で記載されており、具体例はそれぞれ図56及び図57に示すものとなる。
この例において、図56に示すSOAPリクエストでは、SOAPボディに、証明書発行要求であることを示す「証明書発行要求」タグを設け、その下位のタグに、カートリッジ公開鍵証明書に記載すべき情報を列記している。また、図57に示すSOAPレスポンスでは、SOAPボディに、証明書発行要求に対する応答であることを示す「証明書発行要求Response」タグを設け、その下位のタグに、証明書発行要求に記載されていた部材のシリアル番号と共に、その部材に対して発行した、ルート鍵証明書、公開鍵証明書、私有鍵の証明書セットを記載している。
この発行は、証明書発行要求と共に受信した識別情報をもとに行い、発行する公開鍵証明書は、発行対象の部材を使用する通信装置(ここでは画像処理装置)に記憶しているルート鍵を用いて正当性を確認可能であり、その部材を使用する通信装置の識別情報が記載されているものである。
なお、証明書の転送は、証明書セットの形式でなく、ばらばらに行ってもよい。
また、発行対象の部材を使用する通信装置がどのバージョンのルート鍵証明書を記憶しているかは、図22に示した証明書管理テーブルを参照して把握できるので、発行した公開鍵には、そのバージョンのルート鍵で正当性を確認可能な署名を付せばよい。また、サービス拠点端末160から証明書のバージョンアップを指示できるようにしてもよく、この場合、CA800は、図23に示したバージョン遷移情報も参照して新たなバージョンの証明書を作成すると共に、管理装置102に指示を出して第1の実施形態で説明したような証明書更新を行わせる。
また、使用装置IDとして複数の装置のIDを記載する場合、それらの装置間でルート鍵証明書のバージョンがばらついている場合には、どのバージョンと対応した署名を付すかが問題となるが、例えば最も新しいバージョンに対応した署名を付しておき、古いバージョンのルート鍵証明書を使用している装置については、管理装置102に指示を出して第1の実施形態で説明したような証明書更新を行わせ、新しいバージョンに揃えるようにすることが考えられる。
図52の説明に戻る。通信端末150は、ステップS631で証明書セットを受信すると、ステップS632でその証明書セットをサービス拠点端末160に返す(S632)。すると、サービス拠点端末160は、証明書設定装置161にその証明書セットをプロセスカートリッジ500に設定するよう指示し(S633)、証明書設定装置161がその証明書セットをプロセスカートリッジ500のNVRAM504に書き込んで設定する(S634)。
以上の図52に示した処理により、使用装置IDを記載した公開鍵証明書を、安全な通信経路で容易にCA800から取得して交換用のプロセスカートリッジ500に記憶させることができる。
すなわち、通信端末150が証明書発行要求と共に使用装置IDをCA800に送信し、これに応じてCA800が送信する、証明書発行要求と共に送信した使用装置IDを公開鍵証明書に含む証明書セットを、通信端末150が受信するようにしたことにより、各プロセスカートリッジ毎に使用装置IDを含む公開鍵証明書を設定するようにし、プロセスカートリッジ毎に異なる証明書セットを記憶させる場合であっても、各プロセスカートリッジに設定すべき証明書セットを容易に取得して設定を行うことができる。
従って、その後このプロセスカートリッジ500を、画像処理装置100に設置する交換用のユニットとして顧客先に配送し、供給することができる。そして、このことにより、上述の第2の実施形態で説明したようなプロセスカートリッジを容易に流通経路に乗せ、そのようなプロセスカートリッジを使用することによる効果を得ることができる。
またユーザは、サプライコールの機能により、通常はトナーがなくなるかそれに近い状態になる前に交換用のプロセスカートリッジを受け取ることができ、そのような状態になった場合に速やかにプロセスカートリッジを交換することができる。画像処理装置100のCPU201がこの交換を検出した場合に、コール完了フラグをOFFにし、元通りの動作に戻るようにするとよい。
以上のような図47,図48及び図52に示した各処理を行うことにより、画像処理装置100のユーザは、特にトナーの残量を監視したり、電話等によって注文したりしなくても、トナーがなくなる前に交換用のプロセスカートリッジを受け取ることができるので、装置のメンテナンスにかかる労力を低減することができる。
また、メーカー側から見ると、交換用のカートリッジとしてほぼ自動的に自社の純正カートリッジを注文してもらうことができる。プロセスカートリッジは、画像処理装置100の中でも比較的頻繁に交換する必要がある一方で比較的高価な消耗品であり、またリサイクルを利用した非純正のカートリッジも出まわっているので、このような消耗品についてこの発明を適用すると、特に効果が大きい。
なお、ここで説明した例では、認証処理以外でのプロセスカートリッジ500とコントローラ200との間の情報の送受信は、プロセスカートリッジ500からコントローラ200へ一方的にトナー残量を通知する場合のみであった。
しかし、例えばコピー枚数の情報は、コントローラ200側で検出してプロセスカートリッジ500に送信し、NVRAM504に書き込ませる情報である。また、トナー使用量について、コントローラ200側で画像形成に係る画像データの内容から計算によって求めるようにすることもできる。このようにした場合には、トナー使用量も、コントローラ200側で検出してプロセスカートリッジ500に送信し、NVRAM504に書き込ませる情報となる。
さらにまた、例えば、図47に示した処理において、トナー残量が閾値以下であってもコピー枚数が所定枚数以下の場合にはサプライコールを行わないようにするといった対応が考えられるが、このような判断をしようとする場合には、コントローラ200側からプロセスカートリッジ500に要求して、NVRAM504に記憶しているコピー枚数の情報を取得することになる。
また、NVRAM504に記憶している有効期限の情報を利用することにより、プロセスカートリッジ500の有効期限が切れるか又はその所定期間前になった場合にサプライコールを行う対応も可能である。
このように、コントローラ200における制御の内容に応じて、コントローラ200とプロセスカートリッジ500との間で、NVRAM504に記憶している又は記憶させる種々の制御情報を送受信することになるが、この通信を上述のトナー残量の場合と同様に暗号化して行うことにより、制御情報の漏洩や不正な改竄の危険を低減できる。特に、リサイクル回数のような情報は、プロセスカートリッジ500の品質と密接に関連する情報であるので、このような情報の改竄を防止する効果は大きい。
また、プロセスカートリッジ500の特性に関連するような制御情報をプロセスカートリッジ500側に記憶させておき、コントローラ200がここから必要な情報を読み出して制御を行うことにより、プロセスカートリッジ500が使用中に他の画像処理装置に移設された場合等でも、新たに設置された装置において、それまでの動作履歴を勘案した制御動作を容易に行うことができる。
なお、第1の実施形態の変形例の場合のように、プロセスカートリッジにCPUを設けない構成の装置であっても、上述したように画像処理装置管理システムの被管理装置とすることができることはもちろんである。
また、このような構成で図47や図48に示したような処理を行おうとする場合、プロセスカートリッジ500のNVRAM504へのアクセスは、全てコントローラ200側のCPU201から行うことになり、コントローラ200とプロセスカートリッジ500との間の通信を暗号化することはしない。しかし、それ以外の点では、ここまで説明した第2の実施形態の場合と同様な処理が可能であり、そのことによって同様な効果を得ることができる。
〔第2の実施形態の変形例:図58〕
次に、上述した第2の実施形態の変形例について説明する。
まず、第2の実施形態においては、CEのメールボックス150aに発注情報を記載した電子メールが届いた場合、変換装置150bによって自動でサービス拠点端末160に発注があった旨を通知する例について説明したが、これをCEが手動で行うようにしてもよい。この場合、図52に示した処理シーケンスは、図58に示すようになる。この場合、変換装置150bは当然不要である。
図58に示した処理のうち、図52に示した処理と同じステップ番号を付したものはこれと同じ処理である。従って、図58に示した処理は、図52に示した処理のステップS622乃至S625の部分を、CEによる手作業(SX)に置き換えたものとなる。このステップSXの部分では、CEは、サービス拠点端末160から自分のメールボックス150a内のメールを開き、発注情報があった場合には、発注に係る部材を証明書設定装置161にセットした上で、その種別やその部材を使用する装置の識別情報等の必要な情報をサービス拠点端末160に入力して証明書の取得及び設定を行わせる作業を行うことなる。
このようにしても、ユーザに対して適切な交換用のプロセスカートリッジを供給することができる点は、第2の実施形態の場合と変わらない。
なお、管理装置102からサービス拠点Eまでの発注情報の伝達には、必ずしも電子メールを使用する必要はない。例えば、SOAPメッセージに発注情報を記載し、HTTP等のプロトコルを用いて、通信端末150を介してサービス拠点端末160に送信できるようにしてもよい。
また、発注に係るメッセージの送信を、管理装置102が自動で行う必要はなく、オペレータの指示あるいはオペレータが入力した情報に従って送信するようにしてもよい。
さらにまた、画像処理装置100が、サプライコールあるいは別の発注用メッセージを直接適当なサービス拠点E内の通信端末150やサービス拠点端末160に送信し、これらの装置に発注に係る処理を実行させることも考えられる。
また、単に注文に応じて必要な部材を提供するだけでよいのであれば、販売や営業の担当者が顧客から直接あるいは電話で注文を受け、その情報をサービス拠点端末160に入力して図52のステップS626以降と同様な処理を行わせることも可能である。もちろん、店舗で注文を受け、適切なデジタル証明書を取得して部材に記憶させ、これをその場で直接顧客に販売するような対応も可能である。
さらに、図13に示したような、部材の識別情報を記載していない公開鍵証明書を使用する場合には、ステップS626乃至S628の処理を行う必要はない。
〔各実施形態の変形例:図59,図60〕
以下、上述した各実施形態に適用できる変形例について説明する。
以上説明した第2及び第3の実施形態においては、通信装置が画像処理装置であり、部材がプロセスカートリッジである例について説明したが、第1の実施形態の説明から明らかなように、この発明がこれに限定されないことは言うまでもない。例えば、通信装置が画像処理装置であったとしても、感光体ドラム、帯電ユニット、現像ユニット、トナーボトル、クリーニングユニット、光学ユニット、転写ユニット、給紙ユニット、定着ユニット等を単独で交換可能とし、1単位の部材として取り扱うこともできる。各装置あるいはユニットの具体的な形状や配置等も、上述のものに限定されることはない。
また、複数種類の部材それぞれについて、その部材を使用する通信装置に記憶しているルート鍵証明書を用いて正当性を確認可能であり、かつその部材を使用する通信装置の識別情報が記載されている公開鍵証明書を記憶させ、部材の種類あるいは設置箇所毎に上述の各実施形態で説明したような処理を行うようにしてもよい。このようにすれば、その部材の各々について、上述した各実施形態の場合と同様な効果を得ることができる。この場合において、例えば部材が純正のものであることを確認するのみでよいのであれば、部材の種類毎に別々の公開鍵証明書を記憶させることは必須ではない。例えば、全ての部材に図13に示したような証明書を共通に記憶させることも考えられる。
また、通信装置についても、プリンタ,FAX装置,デジタル複写機,スキャナ装置,デジタル複合機等の画像処理装置を始め、ネットワーク家電,自動販売機,医療機器,電源装置,空調システム,ガス・水道・電気等の計量システム,汎用コンピュータ,自動車,航空機等の種々の電子装置に通信機能を設けた種々の通信装置にこの発明を適用することができる。
例えば、図42に示した遠隔管理システムにおいて、これらの各装置を被管理装置とし、図59に示すような遠隔管理システム及び証明書設定システムを構成することが考えられる。この図においては、仲介装置101を別途設ける被管理装置の例としてテレビ受像機42aや冷蔵庫42bのようなネットワーク家電、医療機器42c,自動販売機42d,計量システム42e,空調システム42fを挙げている。そして、仲介装置101の機能を併せ持つ被管理装置の例として、自動車43aや航空機43bを挙げている。また、自動車43aや航空機43bのように広範囲を移動する装置においては、ファイアウォール(FW)104の機能も併せ持つようにすることが好ましい。
このような遠隔管理システムにおいて被管理装置となる各装置やその装置において使用する部材等にも、この発明はもちろん適用可能である。
さらに、コンピュータや家庭用ゲーム機、CDプレイヤやDVDプレイヤのような情報再生装置及び、このような装置において使用し、コンピュータを動作させるためのソフトウェアや、鑑賞の対象となる音楽や映像、あるいはその他の有用なデータを記録した記録媒体等の部材にも、この発明を適用することができる。
このような記録媒体に関しては、メーカー側には、顧客の手に渡した場合でも特定の装置以外で使用させたくないという要求がある。そこで、上述したような使用装置IDを記載したデジタル証明書を利用することにより、予め証明書に記載してある装置以外で使用した場合に警告を行ったりそのような使用自体を禁止したりすることも可能となり、容易にこのような要求を満たすことができる。
例えばCDあるはDVDのような記録媒体に適用する場合を考えると、上述した第1の実施形態の変形例と同様な、部材側にCPUを設けない構成を採用するとよい。この場合の図32に対応する構成を図60に示すが、記録媒体910側に証明書記憶領域911を設けて使用装置IDを記載した記録媒体用の公開鍵証明書や私有鍵を記憶させておくようにするとよい。そして、記録媒体読取装置900のCPU901に、記録媒体910の内容を読み取ろうとする際に、証明書記憶領域911から公開鍵証明書や私有鍵を読み出して第1の実施形態の変形例で説明したような認証処理を行わせるようにするとよい。
また、被管理装置が特定の種類あるいは機能の装置で統一されている必要はない。また、このような遠隔管理システムを構成する各ノード間の通信は、有線、無線を問わず、ネットワークを構築可能な種々の通信経路を用いて行うことができる。
さらにまた、消耗品と電子装置本体の制御手段との間の通信も、有線に限られることはなく、無線で行うようにしてもよい。また、小型でかつ非接触の情報授受が可能な素子にデジタル証明書を記憶させるようにすれば、非常に広汎な使用態様の部材にデジタル証明書を記憶させることができ、その部材及びその部材を使用する電子装置にこの発明を適用できる。
また、必ずしも定期的な交換を前提としない部品にもこの発明を適用し、部品の出所や使用履歴を管理するために使用することも当然可能である。
なお、上述の各実施形態及び変形例で説明した技術を相互に組み合わせて用いることも当然可能である。
また、この発明によるプログラムは、コンピュータに電子装置を制御させ、上述の各実施形態や変形例で説明したような処理を行わせるためのプログラムであり、このようなプログラムをコンピュータに実行させることにより、上述したような効果を得ることができる。
このようなプログラムは、はじめからコンピュータに備えるROMあるいはHDD等の記憶手段に格納しておいてもよいが、記録媒体であるCD−ROMあるいはフレキシブルディスク,SRAM,EEPROM,メモリカード等の不揮発性記録媒体(メモリ)に記録して提供することもできる。そのメモリに記録されたプログラムをコンピュータにインストールしてCPUに実行させるか、CPUにそのメモリからこのプログラムを読み出して実行させることにより、上述した各手順を実行させることができる。
さらに、ネットワークに接続され、プログラムを記録した記録媒体を備える外部機器あるいはプログラムを記憶手段に記憶した外部機器からダウンロードして実行させることも可能である。
以上説明してきたように、この発明の通信装置、証明書転送装置、認証データ転送装置、証明書設定システム、認証データ設定システム、通信装置の制御方法、証明書設定方法、認証データ設定方法、プログラム、または記録媒体によれば、通信装置が使用する部材に証明書を記憶させ、通信装置にその証明書を用いて部材を認証させる場合において、その証明書をまるごとコピーしたような部材の不正品が出回った場合でも、通信装置がその不正品を容易に識別できるようにすることができる。
従って、この発明を適用することにより、不正品の使用を防止できると共に、不正品を供給しようというモチベーションも低下させ、不正品の流通を抑制することができる。
この発明のデジタル証明書設定システムの第1の実施形態の構成を示すブロック図である。 図1に示した通信装置の構成をより詳細に示すブロック図である。 図2に示した各NVRAMに記憶させる証明書及び鍵の種類を示す図である。 認証処理に用いる公開鍵証明書と私有鍵とルート鍵証明書との関係について説明するための図である。 図3に示した部品公開鍵証明書及び装置公開鍵証明書に記載する情報をより詳細に示す図である。 図1に示した通信装置において装置本体のCPUが起動時に行う処理を示すフローチャートである。 図6のステップS4で行う警告表示の例を示す図である。 図6のステップS7で行う警告表示の例を示す図である。 図6のステップS2で行う認証処理の詳細を示すフローチャートである。 図9に示した認証処理の変形例を示すフローチャートである。
部品公開鍵証明書の変形例を示す図である。 図11に示した部品公開鍵証明書を使用して認証処理を行う場合に、図2に示した各NVRAMに記憶させる証明書及び鍵の種類を示す図である。 部品公開鍵証明書のさらに別の変形例を示す図である。 図1に示した管理装置のハードウェア構成を示すブロック図である。 同じく管理装置が画像処理装置と通信する際に使用する証明書及び鍵の種類を示す図である。 同じく画像処理装置が管理装置に通信を要求した場合の認証処理の手順を簡略化して示す図である。 同じく管理装置及び画像処理装置の、相互間の通信及び認証に関連する部分の機能構成を示す機能ブロック図である。 同じくCAの機能構成を示す機能ブロック図である。 図1に示した管理装置が図16に示した通信用URLに対する通信要求を受けた場合に実行する処理を示すフローチャートである。 同じく管理装置における証明書更新フラグの設定例を示す図である。
同じくCAが管理装置からバージョンアップ証明書要求を受けた場合に実行する処理を示すフローチャートである。 そのCAが記憶している証明書管理テーブルの例を示す図である。 同じくバージョン遷移情報の例を示す図である。 同じくCAが発行する更新用の証明書及び鍵の種類を示す図である。 図1に示した画像処理装置が管理装置から証明書設定コマンドを受けた場合に実行する処理の例を示す図である。 管理装置及び画像処理装置が図19及び図25に示したような証明書の更新を行う処理を実行する場合の処理シーケンスの例を示す図である。 図1に示した管理装置に記憶させる更新条件テーブルの例を示す図である。 同じく機器情報テーブルの例を示す図である。 第1の実施形態の変形例において部品に記憶させる部品公開鍵証明書の例を示す図である。 図29に示した部品公開鍵証明書を使用する場合の、図6に示した処理と対応する処理を示すフローチャートである。
CAが発行する更新用証明書の図24とは別の例を示す図である。 第1の実施形態の変形例の構成を示すブロック図である。 その変形例の画像処理装置において図6のステップS2に相当する処理で行う認証処理の詳細を示すフローチャートである。 この発明のデジタル証明書設定システムの第2の実施形態を構成する画像処理装置の全体構成を示す模式的な断面図である。 図34に示した画像処理装置に設置する、プロセスカートリッジの新品状態の時の構成を示す断面図である。 そのプロセスカートリッジが画像処理装置に設置された場合のその周辺の状態を示す模式的な断面図である。 図34に示した画像処理装置の構成を、制御及び通信に関連するハードウェアを中心に示したブロック図である。 その画像処理装置のソフトウェア構成の一例を示すブロック図である。 図38に示したNRSアプリの構成例を示す機能ブロック図である。 図34に示した画像処理装置において、コントローラとプロセスカートリッジとの間で行う認証処理、および警告処理に関連する各部の構成を示すブロック図である。
図40に示した構成を簡単に表わしたブロック図である。 この発明のデジタル証明書設定システムの第3の実施形態を含む画像処理装置管理システム及びその周辺装置の構成を示すブロック図である。 図42に示した画像処理装置管理システムにおける動作要求、動作応答の送受信のデータ送受モデルを示す図である。 図42に示した管理装置の概略構成例を示す図である。 図42に示した管理装置、通信端末、サービス拠点端末、および認証局の関係をより詳細に示す図である。 図42に示した画像処理装置においてプロセスカートリッジのNVRAMに記憶させるデータの種類及び形式の一部を示す図である。 図42に示した画像処理装置において、交換用プロセスカートリッジの自動発注に関連してプロセスカートリッジのCPUとコントローラのCPUとが実行する処理を示すフローチャートである。 図47のフローチャートに示した処理を行う際の各部の動作シーケンスの例を示すシーケンス図である。 図48のステップS607で表示するサプライコール画面の表示例を示す図である。 同じくステップS608で送信するサプライコールに係るSOAPリクエストの記載例を示す図である。
図50に示したSOAPリクエストのボディ部に含まれるデータの構成を示す図である。 管理装置がサプライコールを受信してから適当な公開鍵証明書を設定した交換用のプロセスカートリッジが用意されるまでの処理シーケンスを示すシーケンス図である。 図52のステップS621において管理装置が送信する電子メールの例を示す図である。 同じくサービス拠点端末がステップS624の通知を受信した場合に表示する確認画面の例を示す図である。 同じくステップS630及びS631での証明書発行要求及び証明書セットの送信に係るメッセージのフォーマット例を示す図である。 図55に示した証明書発行要求に係るSOAPリクエストの具体例を示す図である。 同じく証明書セットの送信に係るSOAPレスポンスの具体例を示す図である。 図52に示した処理シーケンスの変形例を示す図である。 図42に示した遠隔管理システムの別の構成例を示す図である。 この発明の第3の実施形態の変形例の構成を示す、図32と対応するブロック図である。
符号の説明
1:通信装置 10:装置本体
20:部品 11,21:CPU
12,22:ROM 13,23:RAM
14,24:NVRAM 15,25:I/Oポート
100:画像処理装置 101:仲介装置
102,700:管理装置 103:インターネット
104:ファイアウォール
110:仲介機能付画像処理装置
150:通信端末 160:サービス拠点端末
161:証明書設定装置 180:制御チップ
181:ソケット 200:コントローラ
201,401,501,701:CPU
202:ASIC 203:SDRAM
204,404,504:NVRAM
205:NRS用メモリ 206:PHY
209:操作部 211:モデム
212:PI 218:PCIバス
220,405,505:I/Oポート
230:シリアルバス 400:エンジン制御部
402,502,702:ROM
403,503,703:RAM
406,506,706:内部バス
410:エンジン部 500:プロセスカートリッジ
800:CA

Claims (25)

  1. 外部装置と通信可能であり、証明書を記憶している部材を備える交換部材を使用する通信装置であって、
    前記部材が記憶している、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を取得する取得手段と、
    該手段が取得した証明書を用いて前記交換部材を認証する認証手段と、
    前記認証手段が前記交換部材の認証に使用する交換部材認証専用の認証データを記憶する記憶手段と、
    該手段による認証結果に基づいて当該通信装置の動作を制御する手段と、
    前記外部装置から更新用の交換部材認証専用の認証データを受信した場合に前記記憶手段に記憶している認証データをその更新用の認証データに更新する認証データ更新手段と、
    前記外部装置から前記交換部材の更新用の証明書であって前記更新用の認証データを用いてその正当性を確認できる証明書を受信した場合に前記交換部材が備える前記部材にその更新用の証明書を設定する証明書設定手段とを設けたことを特徴とする通信装置。
  2. 外部装置と通信可能であり、証明書を記憶している部材を備える交換部材を使用する通信装置であって、
    前記部材が記憶している、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を取得する取得手段と、
    該手段が取得した証明書を用いて前記交換部材を認証する認証手段と、
    該手段による認証結果に基づいて当該通信装置の動作を制御する手段と、
    前記認証手段が前記交換部材の認証に使用する交換部材認証専用の認証データを記憶する記憶手段と、
    前記外部装置から更新用の交換部材認証専用の認証データを受信した場合に前記記憶手段に記憶している認証データをその更新用の認証データに更新する認証データ更新手段とを設けたことを特徴とする通信装置。
  3. 請求項記載の通信装置であって、
    前記証明書設定手段は、前記認証手段による前記交換部材の認証が失敗した場合には、前記更新用の証明書の設定を行わない手段であることを特徴とする通信装置。
  4. 請求項1乃至のいずれか一項記載の通信装置であって、
    前記交換部材が備える前記部材が記憶している証明書は、前記交換部材を使用する通信装置の識別情報が記載されている証明書であることを特徴とする通信装置。
  5. 通信相手となる通信装置に証明書を転送する証明書転送装置であって、
    前記通信装置から通信要求を受信した場合に、その受信に基づいて、前記通信装置が使用する交換部材であって交換部材認証専用の認証データを用いてその正当性を確認できる証明書を記憶している部材を備える交換部材に記憶させる更新用の証明書の転送要否を判断する判断手段と、
    該手段が転送が必要と判断した場合に、前記更新用の証明書であって更新前の証明書とはその正当性を確認するための認証データが異なるものと、前記通信装置がその更新用の証明書を用いて前記交換部材を認証する際に使用する更新用の交換部材認証専用の認証データとを前記通信装置に転送する転送手段とを設けたことを特徴とする証明書転送装置。
  6. 請求項記載の証明書転送装置であって、
    前記更新用の証明書は、前記通信装置の識別情報が記載されている証明書であることを特徴とする証明書転送装置。
  7. 請求項5又は6記載の証明書転送装置であって、
    前記証明書転送手段に、前記更新用の証明書の転送を行う場合に、転送先の通信装置に、適切な交換部材が備える部材にその証明書を設定するよう要求する手段を設けたことを特徴とする証明書転送装置。
  8. 通信相手となる通信装置に認証データを転送する認証データ転送装置であって、
    前記通信装置から通信要求を受信した場合に、その受信に基づいて、前記通信装置が自身において使用する交換部材であって交換部材認証専用の認証データを用いてその正当性を確認できる証明書を記憶している部材を備える交換部材を認証する際に使用する更新用の交換部材認証専用の認証データの転送要否を判断する判断手段と、
    該手段が転送が必要と判断した場合に、前記更新用の認証データを前記通信装置に転送する転送手段とを設けたことを特徴とする認証データ転送装置。
  9. 通信装置に証明書を転送する証明書転送装置と、その通信相手となる通信装置であり、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を記憶している部材を備える交換部材を使用する通信装置とを備えた証明書設定システムであって、
    前記証明書転送装置に、
    前記通信装置から通信要求を受信した場合に、その受信に基づいて、前記通信装置が使用する交換部材の更新用の証明書の転送要否を判断する判断手段と、
    該手段が転送が必要と判断した場合に、前記更新用の証明書であって更新前の証明書とはその正当性を確認するための認証データが異なるものと、前記通信装置がその更新用の証明書を用いて前記交換部材を認証する際に使用する更新用の交換部材認証専用の認証データとを前記通信装置に転送する転送手段とを設け、
    前記通信装置に、
    前記交換部材が備える前記部材が記憶している、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を取得する取得手段と、
    該手段が取得した証明書を用いて前記交換部材を認証する認証手段と、
    該手段による認証結果に基づいて当該通信装置の動作を制御する手段と、
    前記認証手段が前記交換部材の認証に使用する交換部材認証専用の認証データを記憶する記憶手段と、
    前記外部装置から更新用の交換部材認証専用の認証データを受信した場合に前記記憶手段に記憶している認証データをその更新用の認証データに更新する認証データ更新手段と、
    前記証明書転送装置から前記交換部材の更新用の証明書を受信した場合に前記交換部材が備える前記部材にその更新用の証明書を設定する証明書設定手段とを設けたことを特徴とする証明書設定システム。
  10. 請求項記載の証明書設定システムであって、
    前記通信装置の前記証明書設定手段は、前記認証手段による前記交換部材の認証が失敗した場合には、前記更新用の証明書の設定を行わない手段であることを特徴とする証明書設定システム。
  11. 請求項9又は10記載の証明書設定システムであって、
    前記交換部材が備える前記部材が記憶している証明書は、前記交換部材を使用する通信装置の識別情報が記載されている証明書であることを特徴とする証明書設定システム。
  12. 通信装置に認証データを転送する認証データ転送装置と、その通信相手となる通信装置であり、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を記憶している部材を備える交換部材を使用する通信装置とを備えた認証データ設定システムであって、
    前記認証データ転送装置に、
    前記通信装置から通信要求を受信した場合に、前記通信装置が前記証明書を用いて前記交換部材を認証する際に使用する更新用の交換部材認証専用の認証データの転送要否を判断する判断手段と、
    該手段が転送が必要と判断した場合に、前記更新用の認証データを前記通信装置に転送する転送手段とを設け、
    前記通信装置に、
    前記部材が記憶している、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を取得する取得手段と、
    該手段が取得した証明書を用いて前記交換部材を認証する認証手段と、
    該手段による認証結果に基づいて当該通信装置の動作を制御する手段と、
    前記認証手段が前記交換部材の認証に使用する交換部材認証専用の認証データを記憶する記憶手段と、
    前記外部装置から更新用の交換部材認証専用の認証データを受信した場合に前記記憶手段に記憶している認証データをその更新用の認証データに更新する認証データ更新手段とを設けたことを特徴とする認証データ設定システム。
  13. 外部装置と通信可能であり、証明書を記憶している部材を備える交換部材を使用する通信装置の制御方法であって、
    前記部材が記憶している、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を取得する取得手順と、
    該手順で取得した前記証明書を用いて前記交換部材を認証する認証手順とを前記通信装置に実行させ、
    前記認証手順で前記交換部材の認証に使用する交換部材認証専用の認証データを記憶させておき、
    前記認証手順における認証結果に基づいて前記通信装置の動作を制御するようにし、
    さらに、
    前記外部装置から更新用の交換部材認証専用の認証データを受信した場合に前記記憶させておいた認証データをその更新用の認証データに更新する認証データ更新手順と、
    前記外部装置から前記交換部材の更新用の証明書であって前記更新用の認証データを用いてその正当性を確認できる証明書を受信した場合に前記交換部材が備える前記部材にその更新用の証明書を設定する証明書設定手順も前記通信装置に実行させるようにしたことを特徴とする通信装置の制御方法。
  14. 外部装置と通信可能であり、証明書を記憶している部材を備える交換部材を使用する通信装置の制御方法であって、
    前記部材が記憶している、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を取得する取得手順と、
    該手順で取得した前記証明書を用いて前記交換部材を認証する認証手順とを前記通信装置に実行させ、
    前記認証手順における認証結果に基づいて前記通信装置の動作を制御するようにし、
    さらに、前記認証手順で前記交換部材の認証に使用する交換部材認証専用の認証データを記憶させておき、
    前記外部装置から更新用の交換部材認証専用の認証データを受信した場合に前記記憶させておいた認証データをその更新用の認証データに更新する認証データ更新手順を前記通信装置に実行させるようにしたことを特徴とする通信装置の制御方法。
  15. 請求項13記載の通信装置の制御方法であって、
    前記証明書設定手順において、前記認証手順における前記交換部材の認証が失敗した場合には、前記更新用の証明書の設定を行わないようにしたことを特徴とする通信装置の制御方法。
  16. 請求項13乃至15のいずれか一項記載の通信装置の制御方法であって、
    前記交換部材が備える前記部材が記憶している証明書は、前記交換部材を使用する通信装置の識別情報が記載されている証明書であることを特徴とする通信装置の制御方法。
  17. 交換部材認証専用の認証データを用いてその正当性を確認できる証明書を記憶している部材を備える交換部材を使用する通信装置によって該交換部材に証明書を設定させる証明書設定方法であって、
    前記通信装置と通信可能な証明書転送装置に、
    前記通信装置から通信要求を受信した場合に、その受信に基づいて、前記通信装置が使用する交換部材の更新用の証明書の転送要否を判断する判断手順と、
    該手段が転送が必要と判断した場合に、前記更新用の証明書であって更新前の証明書とはその正当性を確認するための認証データが異なるものと、前記通信装置がその更新用の証明書を用いて前記交換部材を認証する際に使用する更新用の交換部材認証専用の認証データとを前記通信装置に転送する転送手順とを実行させ、
    前記通信装置に、
    前記交換部材が備える前記部材が記憶している、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を取得する取得手順と、
    該手順で取得した証明書を用いて前記交換部材を認証する認証手順とを実行させ、
    前記認証手順で前記交換部材の認証に使用する交換部材認証専用の認証データを記憶させておき、
    前記認証手順における認証結果に基づいて当該通信装置の動作を制御させ、
    前記外部装置から更新用の交換部材認証専用の認証データを受信した場合に、前記記憶させておいた認証データをその更新用の認証データに更新する認証データ更新手順と、
    前記証明書転送装置から前記交換部材の更新用の証明書を受信した場合に前記交換部材が備える前記部材にその更新用の証明書を設定する証明書設定手順を実行させることを特徴とする証明書設定方法。
  18. 請求項17記載の証明書設定方法であって、
    前記通信装置に実行させる前記証明書設定手順は、前記認証手順において前記交換部材の認証が失敗した場合には、前記更新用の証明書の設定を行わない手順であることを特徴とする証明書設定方法。
  19. 請求項17又は18のいずれか一項記載の証明書設定方法であって、
    前記交換部材が備える前記部材が記憶している証明書は、前記交換部材を使用する通信装置の識別情報が記載されている証明書であることを特徴とする証明書設定方法。
  20. 交換部材認証専用の認証データを用いてその正当性を確認できる証明書を記憶している部材を備える交換部材を使用する通信装置に認証データを設定させる認証データ設定方法であって、
    前記通信装置と通信可能な証明書転送装置に、
    前記通信装置から通信要求を受信した場合に、その受信に基づいて、前記通信装置前記証明書を用いて前記交換部材を認証する際に使用する更新用の交換部材認証専用の認証データの転送要否を判断する判断手段と、
    該手段が転送が必要と判断した場合に、前記更新用の認証データを前記通信装置に転送する転送手順とを実行させ、
    前記通信装置に、
    前記部材が記憶している、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を取得する取得手順と、
    該手順で取得した証明書を用いて前記交換部材を認証する認証手順とを実行させ、
    前記認証手順における認証結果に基づいて当該通信装置の動作を制御させ、
    前記外部装置から更新用の交換部材認証専用の認証データを受信した場合に、前記認証手順において前記交換部材の認証に使用する認証データとしてその更新用の認証データを設定する認証データ更新手順も実行させることを特徴とする認証データ設定方法。
  21. 外部装置と通信可能であり、証明書を記憶している部材を備える交換部材を使用する通信装置を制御するコンピュータを、
    前記部材が記憶している、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を取得する取得手段と、
    該手段が取得した証明書を用いて前記交換部材を認証する認証手段と、
    前記認証手段が前記交換部材の認証に使用する交換部材認証専用の認証データを記憶する記憶手段と、
    該手段による認証結果に基づいて当該通信装置の動作を制御する手段と、
    前記外部装置から更新用の交換部材認証専用の認証データを受信した場合に前記記憶手段に記憶している認証データをその更新用の認証データに更新する認証データ更新手段と、
    前記外部装置から前記交換部材の更新用の証明書であって前記更新用の認証データを用いてその正当性を確認できる証明書を受信した場合に前記交換部材が備える前記部材にその更新用の証明書を設定する証明書設定手段として機能させるためのプログラム。
  22. 外部装置と通信可能であり、証明書を記憶している部材を備える交換部材を使用する通信装置を制御するコンピュータを、
    前記部材が記憶している、交換部材認証専用の認証データを用いてその正当性を確認できる証明書を取得する取得手段と、
    該手段が取得した証明書を用いて前記交換部材を認証する認証手段と、
    該手段による認証結果に基づいて当該通信装置の動作を制御する手段と、
    前記認証手段が前記交換部材の認証に使用する交換部材認証専用の認証データを記憶する記憶手段と、
    前記外部装置から更新用の交換部材認証専用の認証データを受信した場合に前記記憶手段に記憶している認証データをその更新用の認証データに更新する認証データ更新手段として機能させるためのプログラム。
  23. 通信相手となる通信装置に証明書を転送する証明書転送装置を制御するコンピュータを、
    前記通信装置から通信要求を受信した場合に、その受信に基づいて、前記通信装置が使用する交換部材であって交換部材認証専用の認証データを用いてその正当性を確認できる証明書を記憶している部材を備える交換部材に記憶させる更新用の証明書の転送要否を判断する判断手段と、
    該手段が転送が必要と判断した場合に、前記更新用の証明書であって更新前の証明書とはその正当性を確認するための認証データが異なるものと、前記通信装置がその更新用の証明書を用いて前記交換部材を認証する際に使用する更新用の交換部材認証専用の認証データとを前記通信装置に転送する転送手段として機能させるためのプログラム。
  24. 通信相手となる通信装置に認証データを転送する認証データ転送装置を制御するコンピュータを、
    前記通信装置から通信要求を受信した場合に、その受信に基づいて、前記通信装置が自身において使用する交換部材であって交換部材認証専用の認証データを用いてその正当性を確認できる証明書を記憶している部材を備える交換部材を認証する際に使用する更新用の交換部材認証専用の認証データの転送要否を判断する判断手段と、
    該手段が転送が必要と判断した場合に、前記更新用の認証データを前記通信装置に転送する転送手段として機能させるためのプログラム。
  25. 請求項21乃至24のいずれか一項記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
JP2005105305A 2004-03-31 2005-03-31 通信装置、証明書転送装置、認証データ転送装置、証明書設定システム、認証データ設定システム、通信装置の制御方法、証明書設定方法、認証データ設定方法、プログラム、および記録媒体 Expired - Fee Related JP4773123B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005105305A JP4773123B2 (ja) 2004-03-31 2005-03-31 通信装置、証明書転送装置、認証データ転送装置、証明書設定システム、認証データ設定システム、通信装置の制御方法、証明書設定方法、認証データ設定方法、プログラム、および記録媒体

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2004105282 2004-03-31
JP2004105282 2004-03-31
JP2005105305A JP4773123B2 (ja) 2004-03-31 2005-03-31 通信装置、証明書転送装置、認証データ転送装置、証明書設定システム、認証データ設定システム、通信装置の制御方法、証明書設定方法、認証データ設定方法、プログラム、および記録媒体

Publications (2)

Publication Number Publication Date
JP2005318572A JP2005318572A (ja) 2005-11-10
JP4773123B2 true JP4773123B2 (ja) 2011-09-14

Family

ID=35445465

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005105305A Expired - Fee Related JP4773123B2 (ja) 2004-03-31 2005-03-31 通信装置、証明書転送装置、認証データ転送装置、証明書設定システム、認証データ設定システム、通信装置の制御方法、証明書設定方法、認証データ設定方法、プログラム、および記録媒体

Country Status (1)

Country Link
JP (1) JP4773123B2 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4764735B2 (ja) * 2006-02-03 2011-09-07 株式会社リコー 画像形成装置、画像処理プログラム及び画像処理プログラムを格納する記憶媒体
JP4919335B2 (ja) * 2006-08-04 2012-04-18 株式会社リコー セキュリティ印刷処理装置
JP4227641B2 (ja) 2006-11-20 2009-02-18 キヤノン株式会社 情報処理装置及び情報処理装置の制御方法
JP6786830B2 (ja) * 2016-03-18 2020-11-18 株式会社リコー 証明書管理システム、証明書管理方法及びプログラム
US11165575B2 (en) * 2019-01-02 2021-11-02 Citrix Systems, Inc. Tracking tainted connection agents
CN110111459B (zh) * 2019-04-16 2021-07-09 深圳联友科技有限公司 一种虚拟钥匙管理方法及系统
US11296872B2 (en) * 2019-11-07 2022-04-05 Micron Technology, Inc. Delegation of cryptographic key to a memory sub-system
JP7467971B2 (ja) * 2020-02-14 2024-04-16 株式会社リコー 情報処理システム、メッセージ通知システム、メッセージ通知方法
WO2022180877A1 (ja) * 2021-02-24 2022-09-01 パナソニックIpマネジメント株式会社 情報処理システム、機器、およびサーバ
CN114518724B (zh) * 2022-01-28 2023-04-28 弥费科技(上海)股份有限公司 一种适用于amhs系统的通讯装置及通讯方式

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3266002B2 (ja) * 1996-08-29 2002-03-18 オムロン株式会社 純正交換部品識別装置及び純正交換部品識別方法
JP2000137417A (ja) * 1998-11-04 2000-05-16 Minolta Co Ltd 交換部品使用時の処理方法と装置、これを用いた作業装置
JP2001197054A (ja) * 2000-01-06 2001-07-19 Mitsubishi Electric Systemware Corp 認証書管理装置及び認証書管理方法及びコンピュータ読み取り可能な記録媒体
JP4690532B2 (ja) * 2000-09-26 2011-06-01 株式会社日立製作所 画像形成装置
JP2002259108A (ja) * 2001-03-02 2002-09-13 Canon Inc 印刷システム、印刷装置、印刷方法、記録媒体及びプログラム
JP4038995B2 (ja) * 2001-04-23 2008-01-30 カシオ電子工業株式会社 再生状態識別機能付き消耗品及び画像形成装置
JP2002333800A (ja) * 2001-05-10 2002-11-22 Canon Inc 画像形成装置及びその消耗品、画像形成装置の管理装置並びに画像形成システム
JP2003050877A (ja) * 2001-08-06 2003-02-21 Canon Sales Co Inc サーバ装置およびサーバ装置の制御方法、機器保証システム、機器保証サーバ装置、機器保証システムの制御方法
JP2003076532A (ja) * 2001-09-04 2003-03-14 Canon Inc 画像プリント課金システム、情報処理装置、印刷装置、画像プリント課金方法およびプログラム
JP2003231304A (ja) * 2002-02-05 2003-08-19 Canon Inc 印刷装置、該印刷装置に印刷データを供給する印刷データ供給装置および印刷システム
JP4109470B2 (ja) * 2002-03-13 2008-07-02 富士通エフ・アイ・ピー株式会社 ディジタル証明書管理方法、ディジタル証明書配布サーバ、ディジタル証明書送信クライアント、ディジタル証明書管理プログラム及び記録媒体
JP4126972B2 (ja) * 2002-04-09 2008-07-30 ソニー株式会社 データ転送装置及びデータ転送方法
JP3928589B2 (ja) * 2003-06-12 2007-06-13 コニカミノルタビジネステクノロジーズ株式会社 通信システムおよび方法
JP4293033B2 (ja) * 2004-03-29 2009-07-08 セイコーエプソン株式会社 リフィル管理システム
US20050243118A1 (en) * 2004-04-29 2005-11-03 Ward Jefferson P Consumable cartridge theft deterrence apparatus and methods
JP2005331626A (ja) * 2004-05-19 2005-12-02 Fuji Xerox Co Ltd 画像形成装置、画像形成装置の制御方法及び制御プログラム

Also Published As

Publication number Publication date
JP2005318572A (ja) 2005-11-10

Similar Documents

Publication Publication Date Title
JP4707373B2 (ja) 電子装置、電子装置の制御方法、プログラム、記録媒体、管理システム、および交換部材
JP4773123B2 (ja) 通信装置、証明書転送装置、認証データ転送装置、証明書設定システム、認証データ設定システム、通信装置の制御方法、証明書設定方法、認証データ設定方法、プログラム、および記録媒体
CN102195961B (zh) 图像形成系统以及图像形成方法
JP4829822B2 (ja) 遠隔機器管理システム
US20110321172A1 (en) Management apparatus, license management server, electronic equipment, electronic equipment management system, management method, program, and recording medium
EP2285088B1 (en) Charging for image processing services carried out by service providing devices external to an image processing device
JP5016189B2 (ja) 電子装置、電子装置の制御方法、プログラム及び記録媒体
US8954350B2 (en) Order supporting apparatus, control method for an order supporting apparatus, order supporting system, and computer readable storage medium
JP4229735B2 (ja) 情報処理方法、情報処理システム、管理サーバ、コンピュータプログラム、及び記録媒体
JP2006079415A (ja) プログラム更新システムおよびプログラム更新方法
JP2005251156A (ja) 電子装置、画像形成装置、電子装置の制御方法、プログラム、記録媒体、画像形成装置管理システム、デジタル証明書を記憶した部材、デジタル証明書取得方法、およびデジタル証明書設定システム
KR20130054914A (ko) 관리 디바이스, 정보 처리 시스템, 관리 방법, 및 저장 매체
JP4526809B2 (ja) 通信装置の製造方法及び製造システム
US8054977B2 (en) Monitoring apparatus, method of controlling the monitoring apparatus, and program therefor
JP2012119850A (ja) 遠隔管理システム、被遠隔管理装置、遠隔管理装置、仲介装置および制御プログラム
US11321067B2 (en) Software installing and updating method, and process via communication interface
JP2010211469A (ja) 情報処理装置、情報処理方法及びプログラム
CN102082887B (zh) 图像形成系统以及图像形成装置
US8587798B2 (en) Replacement component for a printing device
JP6572684B2 (ja) 画像形成装置及びプログラム
JP2006059141A (ja) デバイス、機能管理方法、プログラム及び記録媒体
JP2002120438A (ja) 画像形成装置、画像形成装置における制御プログラムの更新方法
JP5614197B2 (ja) 通信装置及び管理システム
JP2005351958A (ja) 画像形成装置、交換部品情報管理システム及び制御方法
JP2014134954A (ja) 動作モード管理装置及び動作モード管理方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080324

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110308

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110509

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20110509

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110614

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110623

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140701

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4773123

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees