JP4814483B2 - 画像形成装置、画像形成方法、プログラム及び記憶媒体 - Google Patents

画像形成装置、画像形成方法、プログラム及び記憶媒体 Download PDF

Info

Publication number
JP4814483B2
JP4814483B2 JP2003314464A JP2003314464A JP4814483B2 JP 4814483 B2 JP4814483 B2 JP 4814483B2 JP 2003314464 A JP2003314464 A JP 2003314464A JP 2003314464 A JP2003314464 A JP 2003314464A JP 4814483 B2 JP4814483 B2 JP 4814483B2
Authority
JP
Japan
Prior art keywords
document
user
identification information
requirement
procedure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003314464A
Other languages
English (en)
Other versions
JP2004152260A (ja
Inventor
敦久 斉藤
洋一 金井
益義 谷内田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2003314464A priority Critical patent/JP4814483B2/ja
Priority to US10/665,484 priority patent/US20040128555A1/en
Publication of JP2004152260A publication Critical patent/JP2004152260A/ja
Application granted granted Critical
Publication of JP4814483B2 publication Critical patent/JP4814483B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Accessory Devices And Overall Control Thereof (AREA)
  • Record Information Processing For Printing (AREA)

Description

本発明は、セキュリティポリシーに基づいた画像形成装置、画像形成方法、プログラム及び記憶媒体に関連する。
オフィスに代表されるようなドキュメントを扱うフィールドでは、そのドキュメントのセキュリティをコントロールしたいという要望が、常に存在する。例えば秘密の文書を複写する際には管理責任者の許可を得なければならない等,特に情報のコンテナであるドキュメントに対するポリシー,中でも機密保持に関するポリシーの制御が重要視される。一般に、情報システムのセキュリティ確保は機密性、完全性、可用性の確保に大別されるが、完全性や可用性はシステムの管理者が適切に運営、管理すれば実質上問題のないレベルまで確保できることが多い。これに対して、機密性の確保のためには、ユーザ組織に所属するメンバに、ポリシーを共有及び徹底させなければならないためであろうと推測される。
現実に多くの企業では文書管理規定などを設け、セキュリティをコントロールしようとしている。しかし、実際のオフィスシステムにおけるセキュリティの確保については、文書についてのセキュリティではなく、オフィスシステムを構成するさまざまな機器に関して、個別にセキュリティ設定を行う必要がある。
セキュリティポリシーに基づいてアクセス制御を行う方法に関する従来技術としては、種々のものが挙げられる(特許文献1から、特許文献14)。
例えば、アクセス制御において、条件付のアクセス許可を評価することが記載されている(特許文献1)。
また、例えば、情報セキュリティポリシーに従った企業情報システムのセキュリティ管理、監査の簡単化について記載されている(特許文献2)。
しかし、特に、上述の特許文献1では、データファイルへのアクセス制御システムで、アクセス後のデータの処理、特に読み取りなどには言及されていない。
また、上述の特許文献2では、セキュリティポリシー、システム、制御手段から構成され、それぞれの組み合わせを登録してあるDB(データベース)から制御手段を抽出して、システムをポリシーに合うように制御する手段を有しているがしかし、その状態を監査する手段では、システムに対して登録された制御手段で制御するだけであり、実現の自由度が低い。
また、特許文献7の操作者IDを入力させ、文書からIDを取り出し、複写を制御する方法では、複写を拒否する、又は、複写を許可してログを記録するという固定されたルールに基づく制御しか行えない。
特許文献8の画像から機密文書であることを示すマークを取り出してチェックする方法では、得られた情報からどのような動作を行うか否かが決められているため、ルールの柔軟性に欠ける。
特許文献9の印刷情報に含まれる出力制限データに基づいて出力先を制御する方法では、印刷情報にルールを含めなければならない。
特許文献10の画像を読み取ってパスワードとともに記憶し,出力の際にパスワードが一致したときに許可する方法では、判断する基準がパスワードだけであり、それによって制御される動作も許可、又は、不許可だけである。
特許文献11のネットワーク上の複数のMFPのうち、一つのMFPがユーザ管理を行ってネットワーク上のMFPすべての操作の許可、不許可を制御する方法では、制御される動作は許可、又は、不許可だけである。
特許文献12の複数の機器について利用の許可、操作の許可をユーザごとに判断する方法では、許可,不許可だけしか制御できないし、ユーザ情報に基づいた制御しかできない。というように、従来技術の問題点はルールが限定的で柔軟性がなく、またそのルールもあらかじめ決められたものだけであるという欠点がある。すなわち、従来の入出力装置は、「ユーザ」と「ドキュメント」のIDに対する、操作の「許可」、「禁止」だけを、「あらかじめ」決められているものばかりである。
特開2001−184264号公報 特開2001−273388号公報 特開2001−337864号公報 特開平09−293036号公報 特開平07−141296号公報 特許第02735966号公報 特許3203103号公報 特開平7−58950号公報 特開平7−152520号公報 特開平10−191072号公報 特開2000−15898号公報 特開2000−357064号公報 特開2001−125759号公報 特開2001−325249号公報。
このようなセキュリティの実施方法では、ドキュメントの印刷に対するセキュリティを実行する場合には、第1に、セキュリティの施行者が、さまざまな機器のセキュリティに関する知識を必要とする。そして、第2には、すべての機器に対してセキュリティが、一つ一つ実行される必要がある。第3には、システムの全体がどのようなセキュリティ状態になっているのかを容易に把握することが必要であるが、把握しにくい。そして、第4に、個々の機器にセキュリティが実施されていても、実際に文書のセキュリティが守られていることが実感できない。このように、実際のオフィスシステムにおけるセキュリティの確保については、以上のような問題点がある。
本発明は、上述の問題点を解決することを目的とする。
特に本発明の目的は、ドキュメントに関するセキュリティポリシーに基く、画像形成装置、画像形成方法、プログラム及びそのプログラムを記憶した記憶媒体を提供することである。
上記課題を解決するため、本発明は、請求項1に記載されるように、ドキュメントに対して定められた識別情報と、ドキュメントのカテゴリ及びセキュリティレベルを含むドキュメント属性とを予め対応付けたドキュメント属性管理情報を管理するドキュメント属性管理手段と、
ドキュメントに対する所定読み取り動作によって取得したデータを前記識別情報として認識する識別情報認識手段と、
上記ドキュメント属性管理情報を参照することによって、上記識別情報認識手段によって認識された上記識別情報に対応する上記ドキュメント属性を取得するドキュメント属性取得手段と、
上記ドキュメント属性取得手段によって取得された前記カテゴリ及びセキュリティレベルに対応するドキュメントのセキュリティポリシーに基づいて、当該画像形成装置の所定のオペレーションである所定動作毎に、該所定動作の許可又は不許可を判断し、さらに、許可の場合は、許可される場合の動作要件を選択し、その判断及び選択結果を出力する動作要件選択手段と、
上記動作要件選択手段によって出力された判断及び選択結果に基づいて、上記所定動作の実行を制御する動作制御手段とを有し、
上記セキュリティポリシーは、
上記所定動作毎に動作の許可又は不許可が規定され、該許可が規定される場合は、動作を許可するための動作要件が規定され
上記動作制御手段は、上記動作要件選択手段の判断及び選択結果が不許可の場合は、上記ドキュメントのデータ処理を行うデータ処理部に対してデータ処理を禁止するように指示し、上記動作要件選択手段の判定結果が許可の場合は、その要件を満たすようにデータ処理を行うよう上記データ処理部に指示し、
上記セキュリティポリシーに規定された前記動作要件は、上記ドキュメントに対するセキュリティに関する要件であるように構成される。
このような画像形成装置では、読み取った識別情報で動作要件(動作条件)を選択することができる。すなわち、紙のドキュメントに対して、例えば、組織のセキュリティポリシーに従った動作要件を満たすように印刷、コピー、FAX等を制御することができる。
また、本発明は、請求項に記載されるように、上記所定動作は、電子データで画像を形成するように構成することができる。
また、本発明は、請求項に記載されるように、上記所定動作は、上記ドキュメントを用紙上に印刷するように構成することができる。
また、本発明は、請求項に記載されるように、上記所定動作を要求するユーザに関するユーザ属性を取得するユーザ属性取得手段を更に有するように構成することができる。
また、本発明は、請求項5に記載されるように、上記ユーザ属性取得手段は、
上記ユーザからの入力により該ユーザを識別するユーザ識別情報を取得するユーザ識別情報取得手段と、
該ユーザ識別情報と上記ユーザ属性とを予め対応付けたユーザ属性管理情報を管理するユーザ属性管理手段と、
上記ユーザ識別情報に基づいて上記ユーザを認証するユーザ認証手段と、
上記ユーザ認証手段による認証結果に基づいて、上記ユーザ属性管理情報を参照することによって、上記ユーザ識別情報取得手段によって取得された上記ユーザ識別情報に対応する上記ユーザ属性を取得するユーザ属性取得手段とを有するように構成することができる。
また、本発明は、請求項に記載されるように、上記ユーザ属性取得手段は、上記ユーザから該ユーザを識別するユーザ識別情報を取得するユーザ識別情報取得手段と、上記ユーザを認証し、上記ユーザ属性を提供する外部サーバに対して該ユーザ属性を要求するユーザ属性要求手段とを有するように構成することができる。
また、本発明は、請求項に記載されるように、上記動作要件は、上記ドキュメント対する上記所定動作の実行の際に、電子透かしを埋め込むことを指示するように構成することができる。
また、本発明は、請求項に記載されるように、上記動作要件は、上記ドキュメント対する上記所定動作の実行の際に、表示可能なラベルを埋め込むことを指示するように構成することができる。
また、本発明は、請求項に記載されるように、上記表示可能なラベルは、少なくとも上記所定動作を要求したユーザの認証データと、上記所定動作を要求した時点のタイムスタンプを含むように構成することができる。
また、本発明は、請求項10に記載されるように、上記動作要件は、上記ドキュメント対する上記所定動作の実行の際に、少なくとも上記所定動作を要求したユーザの認証データと、該所定動作によって生成される上記ドキュメントのドキュメントデータと、読み取りを指示した時点のタイムスタンプとをログに記録するように構成することができる。
上記課題を解決するための手段として、本発明は、上記画像形成装置での処理をコンピュータに行なわせるための画像形成方法及びプログラム、及び、そのプログラムを記憶したコンピュータ読み取り可能な記憶媒体とすることもできる。
本願発明によれば、情報システムのセキュリティを確保するシステムに関し、特に、セキュリティポリシーに基づいたドキュメントの読み取りとネットワーク配信を行う画像形成装置及び画像形成方法を提供することができる。
以下、本発明の実施の形態を図面に基づいて説明する。
本発明の実施例を、以下に詳細に説明する。
本実施例では、異なるタイプのシステムでドキュメントに対するセキュリティポリシーを共有するために、以下のような仕組みを使用して、セキュリティポリシーを記述する。ここでは、記述したセキュリティポリシーのことをドキュメントセキュリティポリシー(DSP)と呼ぶ。
図1は、セキュリティポリシーの例を示す。ユーザの属する組織は、例えば、機密文書、丸秘文書、社外秘文書のような、文書の機密レベルごとに、ドキュメントに対して、例えば、図1のようなセキュリティポリシーを掲げることが想定される。
このようなポリシーをDSPとして記述できるようにするために,以下のような方法を使用する。
まず最初に、ドキュメントを機密レベル(極秘、丸秘、社外秘など)と、カテゴリー(人事文書、技術文書など)に応じて分類する。この、機密レベルとカテゴリーの組みを、ドキュメントのセキュリティラベルと呼ぶ。このセキュリティラベルは、実際には、個々のドキュメントに属性情報として付与される。
上記のような、分類の仕方の一例を図2に示す。図2は、ドキュメントラベル用語ファイルの例を示す。図2に示されるようなドキュメントラベル用語ファイル300は、個々のドキュメントに属性情報として付与されるラベルのリストを管理するファイルであり、例えば、XMLによって記述される。
DSPには、ドキュメントの機密レベル及びカテゴリーに応じて、ドキュメントに対して許可される操作(オペレーション)を規定し、そして、その操作を許可する際に実行されるべき要件(管理責任者の許可を得る、ラベルを印刷する、など)を指定できるようにする必要がある。そのような、ドキュメントの機密レベル及びカテゴリーを記述するのが、図2のドキュメントラベル用語ファイル300である。
図2において、<enumeration>から</enumeration>で示される記述311及び記述321によって、2種類のカテゴリーが示される。
記述311において、<enum_id>doc_category</enum_id>を示す記述312は、カテゴリーの識別情報が「doc_category」であることを示す。<enum_name>Document Category</enum_name>を示す記述313は、カテゴリーの名称が「Document Category」であることを示す。<description>文書カテゴリーの種類</description>を示す記述314は、このカテゴリーが何を分類するか示す説明「文書カテゴリーの種類」を示す。
<item>から</item>を示す記述315、記述316及び記述317によって、3つのカテゴリーの項目が示される。記述315は、<name>internal_doc</name>を示す記述によって、項目名が「internal_doc」であることを示し、<description>社内一般文書</description>を示す記述によって、その項目の説明「社内一般文書」を示す。
記述316は、<name>human_resource_doc</name>を示す記述によって、項目名が「human_resource_doc」であることを示し、<description>人事関連文書</description>を示す記述によって、その項目の説明「人事関連文書」を示す。
記述317は、<name>technical_doc</name>を示す記述によって、項目名が「technical_doc」であることを示し、<description>技術関連文書</description>を示す記述によって、その項目の説明「技術関連文書」を示す。
同様に、記述321において、<enum_id>doc_security_level</enum_id>を示す記述322は、カテゴリーの識別情報が「doc_security_level」であることを示す。<enum_name>Document Security Level</enum_name>を示す記述323は、カテゴリーの名称が「Document Security Level」であることを示す。<description>文書のセキュリティレベルの種類</description>を示す記述324は、このカテゴリーが何を分類するか示す説明「文書のセキュリティレベルの種類」を示す。
<item>から</item>を示す記述325、記述326及び記述327によって、3つのカテゴリーの項目が示される。記述325は、<name>basic</name>を示す記述によって、項目名が「basic」であることを示し、<description>社外秘</description>を示す記述によって、その項目の説明「社外秘」を示す。
記述326は、<name>medium</name>を示す記述によって、項目名が「medium」であることを示し、<description>秘</description>を示す記述によって、その項目の説明「秘」を示す。
記述327は、<name>high</name>を示す記述によって、項目名が「high」であることを示し、<description>極秘</description>を示す記述によって、その項目の説明「極秘」を示す。
このように、ドキュメントラベル用語ファイル300によって、社内一般文書、人事関連文書及び技術関連文書のような、文書カテゴリーの種類が規定される。また、社外秘、秘、極秘のような、文書のセキュリティレベルの種類が規定される。
図3から図13は、ポリシー用語ファイルの例を示す図を示す。図3から図13により、1つのポリシー用語ファイル400を構成する。
図3から図13に示されるようなポリシー用語ファイル400は、システムタイプの分類を記述し、そのシステムタイプごとに、オペレーションを列挙する。そして、そのオペレーションごとに、オペレーションの実行の際にサポート可能な要件を列挙しておく。ポリシー用語ファイル400は、例えば、XMLによって記述される。
図3において、列挙して記述する方法は、図2に示すドキュメントラベルファイル300での記述方法と同様に<enumeration>から</enumeration>までの記述を繰り返すことによって示される。<enumeration>から</enumeration>までの詳細な記述は、図2に示すドキュメントラベルファイル300での記述方法と同様であるので、ここでは、簡単な説明のみとする。
例えば、図3においては、記述411によってシステムタイプが列挙される。記述411によると、「システムタイプの種類」として、「複写機」、「プリンタ」、「ファクシミリ」、「スキャナ」、「文書リポジトリ」、及び、「電子会議システム」が記述される。
そして、例えば、図4に示されたように、記述421から記述471によってシステムタイプごとの各オペレーションが列挙される。
記述421において、「複写機に関わるオペレーション」として、「紙から紙への複写」が記述される。記述431において、「プリンタに係わるオペレーション」として、「電子文書を紙へ印刷」が記載される。記述441において、「ファックスに関わるオペレーション」として、「ファックス送信」及び「ファックス受信」が記載される。記述451において、「スキャナに関わるオペレーション」として、「紙文書をスキャンして電子文書にする」が記載される。
記述461において、「文書リポジトリに関わるオペレーション」として、「保存する」、「改訂・編集する」、「削除・破棄する」、「参照する」、「ネットワークで配布する(送信する)」、「ディスクで配布する(送付する)」、及び、「アーカイブ・バックアップする」が記述される。記述471において、「電子会議システムに関わるオペレーション」として、「会議で利用する」が記述される。
更に、例えば、図6から図13示すように、記述481から記述601によってオペレーション毎に適用できる要件が列挙される。
記述481において、「複写に関わる要件」として、「明示的な許可」、「監査証跡の記録」、及び、「監査証跡のイメージ付き記録」が記載される。
記述491において、「印刷に関わる要件」として、「明示的な許可(利用制限)」、「監査証跡の記録」、「監査証跡のイメージ付き記録」、「プリントした本人による紙出力」、「信頼チャネルの利用(印刷データの暗号化)」、及び、「プリントアウトに追跡情報埋め込み(透かし、ラベル、バーコード)」が記載される。
記述501において、「ファックス送信に関わる要件」として、「明示的な許可(利用制限)」、「監査証跡の記録」、「監査証跡のイメージ付き記録」、「宛先制限」、「親展モードでの送信」、「信頼チャネルの利用」、「送信ファックスに追跡情報埋め込み(透かし、ラベル、バーコード)」、及び、「否認防止(受取証の取得)」が記載される。
記述511において、「ファックス受信に関わる要件」として、「監査証跡の記録」、「監査証跡のイメージ付き記録」、「親展ファックスの宛先本人による取り出し」、「信頼タイムスタンプ」、及び、「受信ファックスに追跡情報埋め込み(透かし、ラベル、バーコード)」が記載される。
記述521において、「スキャンに関わる要件(保存した後については保存要件を適用する)」として、「明示的な許可(利用制限)」、「監査証跡の記録」、「監査証跡のイメージ付き記録」、及び、「スキャン画像に追跡情報埋め込み(透かし、ラベル、バーコード)」が記載される。
記述531において、「保存に関わる要件」として、「明示的な許可(利用制限)」、「監査証跡の記録」、「保存データの暗号化」、及び、「保存データの改ざん保護」が記載される。
記述541において、「改訂に関わる要件」として、「明示的な許可(利用制限)」、「監査証跡の記録」、及び、「バージョン管理」が記載される。
記述551において、「削除・破棄に関わる要件」として、「明示的な許可(利用制限)」、「監査証跡の記録」、「監査証跡のイメージ付き記録」、及び、「完全消去」が記載される。
記述561において、「参照に関わる要件」として、「明示的な許可(利用制限)」、「監査証跡の記録」、「編集禁止のデータのみ参照許可」、「印刷禁止のデータのみ参照許可」、「参照場所限定のデータのみ参照許可」、及び、「ユーザ限定のデータのみ参照許可」が記載される。
記述571において、「ネットワーク配信(送信)に関わる要件」として、「明示的な許可(利用制限)」、「監査証跡の記録」、「監査証跡のイメージ付き記録」、「信頼チャネルの利用(送信データの暗号化)」、「宛先制限(社内のみ配信可能など)」、「編集禁止のデータのみ配信許可」、「印刷禁止のみ配信許可」、「参照場所限定のデータのみ配信許可」、及び、「ユーザ限定のデータのみ配信許可」が記載される。
記述581において、「ディスク配布(送付)に関わる要件」として、「明示的な許可(利用制限)」、「監査証跡の記録」、「監査証跡のイメージ付き記録」、「送付データの暗号化」、「送付データの改ざん保護」、「編集禁止のデータのみ送付許可」、「印刷禁止のみ送付許可」、「参照場所限定のデータのみ送付許可」、及び、「ユーザ限定のデータのみ送付許可」が記載される。
記述591において、「アーカイブ・バックアップに関わる要件」として、「明示的な許可(利用制限)」、「監査証跡の記録」、「アーカイブデータの暗号化」、及び、「アーカイブデータの改ざん保護」が記載される。
記述601において、「会議での利用に関わる要件」として、「明示的な許可(利用制限)」、「監査証跡の記録」、及び、「監査証跡のイメージ付き記録」が記載される。
図2のドキュメントラベル用語ファイルと図3から図13のポリシー用語ファイルとに基づくDSPについて図14から図22で説明する。図14から図22は、ポリシーファイルの例を示す図である。上述の図2に示すドキュメントラベル用語ファイル300と、図3から図13のポリシー用語ファイル400とに基づいて、ユーザの組織内でのセキュリティに対するポリシーが、例えば図14から図22に示すDSP2000のようにXMLで記述され、1つのポリシーファイルを構成する。
図14から図22に示されるようなDSP2000は、<policy>で示される記述2001から</policy>で示される記述2002にてポリシーが示される。
図14の<acc_rule>を示す記述2011から図16の</acc_rule>を示す記述2012において、<doc_category>ANY</doc_category>及び<doc_security_level>basic</doc_security_level>を示す記述2013によって、ドキュメントカテゴリ「ANY(非限定)」かつドキュメントセキュリティレベル「basic(基本レベル)」であるドキュメント属性を有するドキュメントに対して、<user_category>ANY</user_category>及び<user_security_level>ANY</user_security_level>を示す記述2017によって、ユーザカテゴリ「ANY(非限定)」かつユーザセキュリティレベル「ANY(非限定)」であるユーザ属性を有するユーザが行うオペレーション毎のポリシーが記述される。<operation>から</operation>までの記述毎に、オペレーションの許可(<allowed/>)又は不許可(<denied/>)が規定される。更に、オペレーションが許可される場合は、許可するための要件(<requirement>)が規定される。
図16の<acc_rule>を示す記述2021から図19の</acc_rule>を示す記述2022において、<doc_category>ANY</doc_category>及び<doc_security_level>medium</doc_security_level>を示す記述2023によって、ドキュメントカテゴリ「ANY(非限定)」かつドキュメントセキュリティレベル「medium(中レベル)」であるドキュメント属性を有するドキュメントに対して、<user_category>DOC-CATEGORY</user_category>及び<user_security_level>ANY</user_security_level>を示す記述2027によって、ユーザカテゴリ「DOC-CATEGORY(文書カテゴリーの種類)」(図2の記述312、313及び314参照)かつユーザセキュリティレベル「ANY(非限定)」であるユーザ属性を有するユーザが行うオペレーション毎のポリシーが記述される。<operation>から</operation>までの記述毎に、オペレーションの許可(<allowed/>)又は不許可(<denied/>)が規定される。更に、オペレーションが許可される場合は、許可するための要件(<requirement>)が規定される。
また、同様のドキュメント属性を有するドキュメントに対して、図18の<user_category>ANY</user_category>及び<user_security_level>ANY</user_security_level>を示す記述2028によって、ユーザカテゴリ「ANY(非限定)」かつユーザセキュリティレベル「ANY(非限定)」であるユーザ属性を有するユーザが行うオペレーション毎のポリシーが記述される。<operation>から</operation>までの記述毎に、オペレーションの許可(<allowed/>)又は不許可(<denied/>)が規定される。更に、オペレーションが許可される場合は、許可するための要件(<requirement>)が規定される。
図19の<acc_rule>を示す記述2031から図19の</acc_rule>を示す記述2032において、<doc_category>ANY</doc_category>及び<doc_security_level>high</doc_security_level>を示す記述2023によって、ドキュメントカテゴリ「ANY(非限定)」かつドキュメントセキュリティレベル「high(高レベル)」であるドキュメント属性を有するドキュメントに対して、<user_category>DOC-CATEGORY</user_category>及び<user_security_level>ANY</user_security_level>を示す記述2037によって、ユーザカテゴリ「DOC-CATEGORY(文書カテゴリーの種類)」(図2の記述312、313及び314参照)かつユーザセキュリティレベル「ANY(非限定)」であるユーザ属性を有するユーザが行うオペレーション毎のポリシーが記述される。<operation>から</operation>までの記述毎に、オペレーションの許可(<allowed/>)又は不許可(<denied/>)が規定される。更に、オペレーションが許可される場合は、許可するための要件(<requirement>)が規定される。
次に、図14から図22のDSP2000の構造を、図23から図25を参照して、以下に、詳しく説明する。
図23は、DSPの識別情報の例を示す図である。DSP2000の識別情報210において、<about_this_policy>と</about_this_policy>とで囲まれた範囲の記述211〜213には、DSP2000を識別するための識別情報が記述される。
<serial_number>RDSP2023</serial_number>を示す記述211には、DSP2000を他のDSPと区別するためのシリアル番号が記述される。
<terminology_applied>RDST9487</terminology_applied>で示される記述212には、DSP2000に対応するポリシー用語ファイル400のシリアル番号が記述される。尚、この定義ファイルは更新される可能性があるため、このDSP2000がどのポリシー用語ファイルに基づいて記述されているのかを明確にするために記録しておく。記述213には、<title> DOCUMENT-SECURITY-POLICY</title>を示す記述によってDSP2000のタイトル、<version>1.20</version>を示す記述によってバージョン番号、<creation_date>2002/02/18 22:30:24</creation_date>を示す記述によって作成日時、<creator>Taro Tokyo</creator>を示す記述によって作成者、<description>sample document security policy.</description>を示す記述によって説明などの一般的な書誌情報が記述される。
そして、DSP2000の識別情報は、</about_this_policy>により終了する。
次に、上述のDSP200の識別情報に続いて、ポリシーの内容を<policy>と</policy>で囲まれた範囲に記述する。図24は、DSPの構造を説明するための記述例を示す図である。
図24に示されるポリシーの内容220は、以下に説明するように、階層構造を用いて記録する。
ポリシー<policy>は、複数のアクセス制御ルール<acc_rule>(記述221)で構成される。一つのアクセス制御ルール<acc_rule>(記述221)は、対象とするドキュメントのカテゴリー<doc_category>とレベル<doc_security_level>を一意に指定し(記述222),さらにアクセス制御リスト<acl>(記述223)を一つ含むように構成される。
アクセス制御リスト<acl>(記述223)は、複数のアクセス制御エレメント<ace>(記述224)で構成される。
各アクセス制御エレメント<ace>(記述224)は、対象とするユーザのカテゴリー<user_category>(記述225)とレベル<user_security_level>(記述226)を一意に指定し,さらに複数のオペレーション<operation>(記述227)で構成される。
各<operation>(記述227)は、一つのオペレーション名<name>(記述228)と、一つの禁止<denied/>(記述229)、または一つの許可<allowed/>(記述232)、または複数の<requirement>(記述230及び記述231)で構成される。
記述222において、ドキュメントのカテゴリー<doc_category>やユーザのカテゴリー<user_category_level>に記述している”ANY”は、どのカテゴリー、及び、レベルにも適用されることを示している。また、記述225によって示されるユーザのカテゴリー<user_category>の”DOC-CATEGORY”は、ユーザのカテゴリーがドキュメントのカテゴリーと同じときに適用されることを示している。
この実施例では、禁止するオペレーションには<denied/>(記述229)を指定するようにしているが、DSP2000に記載されていなければアクセスは許可されていないことを表している、というように構成してもよい。
このように、DSPを記述することにより、ドキュメントのタイプ(カテゴリー、レベル)に応じて,どのようなユーザタイプ(カテゴリー、レベル)が、ドキュメントに対してどのようなオペレーションが可能なのかを記述できる。そして更に、そのドキュメントについて、ユーザが、オペレーションが可能な場合には、どのような要件を満たさなければならないのかを明確に記述することができる。
そして、DSPを、上記のようにプラットフォームに依存しないXMLで記述することにより、異なるタイプのシステム間で、このDSPを共通に利用することができる。特に、セキュリティポリシーを適用したい対象は、電子的なドキュメントに限らず、紙のドキュメントに対しても適用できなければならないため、図3から図13のドキュメントラベルファイルや図14から図22のDSP2000に記述しているように、紙ドキュメントに関するオペレーション(hardcopy,scanなど)も規定できる。
本実施例の、図24に示す要件の中に、以下の<requirement>explicit_authorization</requirement>を示す記述231が存在する。これは、「ドキュメントの管理責任者により明示的な許可が得られた場合には、そのオペレーションを許可する」という要件である。すべて、このDSPに従ってオペレーションがコントロールされるようになると、自由度が無くなる恐れが生じる。しかし、この明示的な許可という要件を指定できるようにすることにより、柔軟なオペレーションコントロールが可能となる。
また、本実施例の特徴として、その「明示的な許可」という要件を指定可能にすることによって、明示的な許可が得られれば実行してもよいオペレーションと,明示的な許可が得られたとしても禁止しなければならないオペレーションとを区別することができるということである。
従って、DSPに記載しないか又は、<denied/>で指定されたオペレーションは明示的な許可が得られたとしても禁止しなければならないオペレーションである。これにより、ポリシーを記述している側の意図を、的確に規定できるようになり、誤って許可を与えてしまってオペレーションが実行されてしまうというような事態をあらかじめ防ぐように規定することができる。
次に本発明のDSPの別の記述形を図26で説明する。図25は、DSPの他の記述例を示す図である。図26に示すポリシーの内容240は、無条件で許可するオペレーションや、禁止するオペレーションが多くなった場合には、オペレーションごとに<operation><allowed/></operation>というような入れ子構造を記述するのは効率が悪いので、無条件で許可するオペレーションを列挙する、<allowed_operations>を示す記述243と、許可しないオペレーションを列挙する、<denied_operations>を示す記述241を使用するようにしても良い。
また、<requirement>explicit_authorization</requirement>を示す記述242は、図24での説明と同様である。
図26は、上述のDSPを蓄積し且つ配布する種々の媒体を示す。
以上で説明したように、図26に示されたDSP2000は、XML(Extensible Markup Language)で記述されている。そして、電子的なファイルとして記録しておくことができる。また、その電子的なファイルを格納した、例えば、ハードディスク51、光磁気ディスク52、フレキシブルディスク53、又は、CD−ROM、CD−R、CD−RW、DVD、DVD−R、DVD−RAM、DVD−RW、DVD+RW、DVD+Rのような光ディスク54のような記憶媒体を作成することができる。また、その電子的なDSP2000をコンピュータ55を使用して、ネットワーク56を介してで伝送することができる。
このDSP2000は、特定のシステム向けのセキュリティポリシーの記述ではなく、異なる複数のシステムで共通に利用できるセキュリティポリシーの記述である。従って、このセキュリティポリシー記述を記憶した記憶媒体を作成し、そして配布したり又は、ネットワーク経由して伝送したりすることにより、複数のシステムで共通に利用しやすくなる。
図27は、本発明の一実施例に係る画像形成装置のハードウェア構成を示すブロック図である。図27において、画像形成装置1000は、コンピュータによって制御される装置であって、CPU(中央処理装置)11と、ROM(Read-Only Memory)12と、RAM(Random Access Memory)13と、不揮発性RAM(non-volatile Random Access Memory)14と、リアルタイムクロック15、イーサネット(登録商標)I/F(Ethernet(登録商標) Interface)21と、USB(Universal Serial Bus)22と、IEEE(Institute of Electrical and Electronics Engineers)1284 23と、ハードディスクI/F24と、エンジンI/F25と、RS−232C I/F26と、ドライバ27とで構成され、システムバスBに接続される。
CPU11は、ROM12に格納されたプログラムに従って画像形成装置1000を制御する。RAM13には、例えば、各インターフェース21から26に接続される資源に領域が割り当てられる。不揮発性RAM14には、画像形成装置1000を制御するためにCPU11による処理で必要な情報が格納される。リアルタイムクロック15は、現時刻を計ると共に、処理を同期させる場合にCPU11によって使用される。
イーサネット(登録商標)I/F21には、10BASE−T又は100BASE−TX等のイーサネット(登録商標)用インターフェースケーブルが接続される。USB22には、USB用インターフェースケーブルが接続される。IEEE1284 23には、IEEE1284用インターフェースケーブルが接続される。
ハードディスクI/F24には、ハードディスク34が接続され、ネットワークを介して送信された印刷すべき文書の文書データ、又は、印刷処理後の画像データがハードディスクI/F24を介してハードディスク34に格納される。エンジンI/F25には、文書データに基づいて所定媒体に印刷を行うプロッタ35−1及び画像データを取り込むスキャナ35−2等が接続される。RS−232C I/F26には、オペレーションパネル36が接続され、ユーザへの情報の表示及びユーザから入力情報又は設定情報の取得が行われる。
画像形成装置1000によって行われる処理を実現するプログラムは、例えば、CD−ROM等の記憶媒体37によって画像形成装置1000に提供される。即ち、プログラムが保存された記憶媒体37がドライバ27にセットされると、ドライバ27が記憶媒体37からプログラムを読み出し、その読み出されたプログラムがシステムバスBを介してハードディスク34にインストールされる。そして、プログラムが起動されると、ハードディスク34にインストールされたプログラムに従ってCPU11がその処理を開始する。尚、プログラムを格納する記憶媒体37としてCD−ROMに限定するものではなく、コンピュータが読み取り可能な記憶媒体であればよい。プログラムをネットワークを介してダウンロードし、ハードディスク34にインストールするようにしても良い。
セキュリティポリシーに従って動作する画像形成装置について図28、図29及び図30を参照して以下に詳細に説明する。
図28は、セキュリティポリシーに従って動作する読み取り装置としての画像形成装置の機能構成を示す図である。
図28に示す読み取り装置としての画像形成装置1000は、主に、読み取り部71と、読み取り条件取得部72と、データ送信先取得部73と、データ処理部74と、データ送信部75と、ポリシー実行部1001と、読み取り画像データ61と、蓄積データ62とを有する。
また、ポリシー実行部1001は、ドキュメント属性取得部1011と、動作要件選択部1012と、動作制御部1013と、ユーザ属性取得部1021とを有する。ドキュメント属性取得部1011は紙原稿60から又は読み取り画像データ61からドキュメント属性を取得して、動作要件選択部1021へ通知する。
一方、ユーザ属性取得部1021は、ユーザによって入力されたユーザ情報を取得すると、動作要件選択部1012に通知する。動作要件選択部1012は、DSP2000に従って許可される場合の要件を選択し、その結果を動作制御部1013に通知する。動作制御部1013は、読み取った紙原稿60の画像データに対するデータ処理を指示する。
ポリシー実行部1001において、点線で示される部分について省略しても良い。
読み取り部71は、読み取り条件取得部72から通知されるユーザによって入力された読み取り条件に従って、紙原稿60を読み取る(スキャン)する処理部であり、読み取った画像データは、読み取り画像データ61に格納される。また、画像データ61から取得したドキュメント属性をドキュメント属性取得部1011に通知する。
読み取り条件取得部72は、ユーザによって入力された読み取り条件を取得し、読み取り部71とデータ処理部74とへ通知する。
データ送信先取得部73は、ユーザによって入力されたデータ送信先を取得し、データ送信部75に通知すする処理部である。
データ処理部74は、動作制御部1013から提供される要件を満たすように読み取り条件取得部72から通知されるユーザによって入力された読み取り条件に従って、データ処理を読み取った画像データに行い、データ処理された画像データを蓄積データ62に蓄積する。
データ送信部75は、動作制御部1013から通知される要件を満たすように、蓄積データ62から取り出した処理対象となる画像データをデータ送信先取得部73から通知された送信先へ送信する。
画像データを外部に送信する必要がない場合、データ送信部28を省略しても良い。また、画像データを記憶媒体37に記憶するようにしても良い。
図28において、読み取り装置としての画像形成装置1000は、専用のハードウェアにより構成するように記載されているが、汎用のコンピュータとそのコンピュータ上で実行されるプログラムにより構成されても良い。
また、以下に説明する本発明の実施例をコンピュータ上で実行するプログラムは、コンピュータにより読み出し可能な記憶媒体に記録され、その実行前に、コンピュータにより読みこまれる。また、このようなプログラムは、コンピュータネットワークを介して配信されることも可能である。
図29は、簡略化したDSPの例を示す図である。説明の便宜のため、DSP2000を簡略化したDSPで説明する。図29に示されるDSP2100において、つぎのようにルール1からルール3を示す。
ルール1は、図29の第4行目の<acc_rule>から、第10行目の<user_security_level>ANY</user_security_level>までの部分及び、第11行目<operation>から、第14行目</operation>までの部分により記述される。
第5行目の <doc_category>ANY</doc_category>は、文書カテゴリーにかかわりなくルール1が適用されることを示す。
第6行目の<doc_security_level>basic</doc_security_level>は、文書のセキュリティレベルがbasicのときを示す。
第9行目の<user_category>ANY</user_category>は、ユーザのカテゴリーにかかわりないことを示す。
第10行目の<user_security_level>ANY</user_security_level>は、ユーザのセキュリティレベルにかかわりないことを示す。
更に第12行目と第13行目の<name>scan</name>及び<allowed/>は、読み取りは要件なく許可されることを示す。
従って、ルール1では、第5行目、第6行目、第9行目、第10行目、第12行目及び第13行目により、文書カテゴリーにかかわりなく、文書のセキュリティレベルが”basic”の場合には、ユーザのカテゴリーにかかわりなく、且つ、ユーザのセキュリティレベルにかかわりなく、読み取りは要件なく許可される。
次に、ルール2は、図29の第4行目の<acc_rule>から、第10行目の<user_security_level>ANY</user_security_level>までの部分及び、第15行目<operation>から、第20行目</operation>までの部分により記述される。
第5行目の <doc_category>ANY</doc_category>は、文書カテゴリーにかかわりなくルール2が適用されることを示している。
第6行目の<doc_security_level>basic</doc_security_level>は、文書のセキュリティレベルがbasicのときを示す。
第9行目の<user_category>ANY</user_category>は、ユーザのカテゴリーにかかわりないことを示す。
第10行目の<user_security_level>ANY</user_security_level>は、ユーザのセキュリティレベルにかかわりないことを示す。
更に、第16行目から第19行目の
<name>net_delivery</name>
<requirement>audit</requirement>
<requirement>print_restriction</requirement>
<requirement>trusted_channel</requirement>
は、ネットワーク配信は、「ログを記録すること」と、「プリント制限をかけること」、「信頼できるチャネルを使用すること」の要件を満たすときに許可されることを示す。
従って、ルール2では、第5行目、第6行目、第9行目、第10行目、第16行目から第19行目により、文書カテゴリーにかかわりなく、文書のセキュリティレベルが”basic”の場合には、ユーザのカテゴリーにかかわりなく、且つ、ユーザのセキュリティレベルにかかわりなく、ネットワーク配信は、ログを記録することと、プリント制限をかけること、信頼できるチャネルを使用することの要件を満たすときに許可されることを示している。
そして、ルール3は、図29の第24行目の<acc_rule>から、第30行目の<user_security_level>ANY</user_security_level>までの部分及び、第31行目<operation>から、第35行目</operation>までの部分により記述される。
第25行目の<doc_category>ANY</doc_category>は、文書カテゴリーにかかわりないことを示す。
第26行目の<doc_security_level>high</doc_security_level>は、
文書のセキュリティレベルがhighの場合を示す。
第29行目の<user_category>DOC-CATEGORY</user_category>は、ユーザのカテゴリーが文書のカテゴリーと同じであることを示す。
第30行目の<user_security_level>ANY</user_security_level>は、ユーザのセキュリティレベルにかかわりないことを示す。
第32行目から第34行目の、
<name>scan</name>
<requirement>audit</requirement>
<requirement>embed_trace_info</requirement>
は、読み取りは、「ログを記録すること」及び、「追跡可能な情報を埋め込むこと」の要件を満たすときに許可される。
従って、ルール3では、第25行目、第26行目、第29行目、第30行目、第31行目から第34行目により、文書カテゴリーにかかわりなく、文書のセキュリティレベルが”high”の場合には、ユーザのカテゴリーが文書のカテゴリーと同じであり、且つ、ユーザのセキュリティレベルにかかわりなく、読み取りは、ログを記録することと、追跡可能な情報を埋め込むことの要件を満たすときに許可されることを示している。
ここで、「追跡可能な情報を埋め込むこと」には、例えば、電子すかしの埋め込み、表示可能なラベルの埋め込み、文書属性情報の追加などを含んでも良い。また、表示可能なラベルは、読み取りを指示したユーザの認証データと読み取りを指示した時点のタイムスタンプを含んでもよい。さらに、「ログを記録すること」には、読み取りを指示したユーザの認証データと、読み取り対象の文書データと、読み取りを指示した時点のタイムスタンプをログに記録するようにしてもよい。また、「ログを記録すること」には、ネットワーク配信を指示したユーザの認証データとネットワーク配信先の情報と、読み取り対象の文書データと、読み取りを指示した時点のタイムスタンプをログに記録するようにしてもよい。
図28を参照しつつ、詳細な動作について説明する。
上述の図29に示すDSP2100に基づいて、例えば、セキュリティレベルが”basic”の文書を読み取りしようとしている場合には、抽出すべき要件はない。
また、上述の図29に示すセキュリティポリシーに基づいて、例えば、セキュリティレベルが”high”の文書を読み取りしようとしている場合には、前述のように、「ログを記録すること」及び「追跡可能な情報を埋め込むこと」が、読み取りの要件となる。「ログを記録すること」及び「追跡可能な情報を埋め込むこと」の内容に関しては、上述と同様である。
次に、セキュリティレベルが”basic”のときの場合のように、抽出すべき要件がない場合には、動作制御部1013は、データ処理部71に対して、文書の読み取りを指示し、ユーザは文書データを取得して終了する。
一方、キュリティレベルが”high”のときの場合のように、抽出すべき要件がある場合には、動作要件選択部1012は、その要件をすべて満たすことができるかを判定し、その判断結果を動作制御部1013に通知する。
動作要件選択部1012による判断結果がすべての要件を満たすことができないことを示す場合は、動作制御部1013は、データ処理部74に対してデータ処理を禁止するように指示し、データ処理部74は読み取りデータを破棄して終了する。ユーザに対してはデータ処理が行えないことを通知する。
一方、動作要件選択部1012による判断結果がすべての要件を満たすことができることを示す場合は、動作制御部1013データ処理部74に対して、その要件を満たすようにデータ処理を行うように指示する。ユーザは文書データを取得して終了する。
この場合には、以下の処理が実行される。
ユーザ属性取得部1021は、オペレーションパネル36から読み取り指示を出したユーザに、ユーザIDの入力要求を出す。ユーザは、オペレーションパネル36からユーザIDを入力する。ユーザ属性取得部1021は、ユーザIDからデータベース102に登録されている入力されたユーザIDに対応するカテゴリー、セキュリティレベルを取得し、動作要件選択部1021に通知する。
ログを記録する場合、読み取った文書データに追跡可能な情報の埋め込み(例えば、電子すかしの埋め込み、表示可能なラベルの埋め込み、文書属性情報の追加など)を行う。表示可能なラベルは、読み取りを指示したユーザの認証データと読み取りを指示した時点のタイムスタンプを含んでもよい。
最後に、ユーザは紙原稿60の画像データを蓄積データ62内に取得して終了する。
以上のように、図29に示したセキュリティポリシーに従って、紙原稿(ドキュメント)60を読み取ることができる。
次に、画像形成装置1000が紙原稿60を読み取り且つ読み取った文書をネットワークに配信する場合について説明する。
先ず、ユーザが、画像形成装置1000に紙原稿60をセットし、オペレーションパネル36から、読み取り条件の入力、読み取りデータの配信先の指定及び紙原稿60の読み取り指示を出す。
読み取り部71が、紙文書の読み取りを行う。ドキュメント属性取得部1011は、読み取った紙原稿60の画像データのバーコードや電子透かしなどの画像情報から文書IDを抽出し、カテゴリー、セキュリティレベルを取得して、動作要件選択部1012に通知する。
動作要件選択部1012は、ドキュメント属性取得部1011が通知したドキュメント属性に従って、DSP2100の中の対応するエントリを検索し、要件を抽出する。
上述の図29に示すDSP2100に基づいて、例えば、セキュリティレベルが”basic”の文書を読み取り、ネットワーク配信しようとしている場合には、読み取りに関する要件はない。しかし、上述のように、ネットワークに配信する時には、「ログを記録すること」と「プリント制限をかけること」と「信頼できるチャネルを使用すること」が要件となる。
また、上述の図29に示すDSP2100に基づいて、例えば、セキュリティレベルが”high”の文書を読み取りしようとしている場合には、読み取りに関する要件として、「ログを記録すること」と「追跡可能な情報を埋め込むこと(例えば、上述のような、電子すかしの埋め込み、表示可能なラベルの埋め込み、文書属性情報の追加など)」が要件となる。しかし、ネットワークに配信することを許可するルールがないため、許可されない。
例えば、ドキュメントをネットワークへ配信する際の要件が、DSP2100内に存在しない場合には、動作制御部1013は、データ送信部75に対して配信の指示を行い、ドキュメントをネットワークへ配信して、処理を終了する。
一方、例えば、ドキュメントをネットワークへ配信する際の要件が、DSP2100内に存在する場合には、動作要件選択部1012が、その要件をすべて満たすことができるかを判定する。
ネットワークに配信することを許可するルールがない場合には、動作制御部1013が、ユーザに、「ネットワークに配信することを許可するルールがない」ことを通知をして、紙原稿60の画像データを破棄して終了する。例えば、セキュリティレベルが”high”の場合である。
動作要件選択部1012によってすべての要件を満たすことができないと判断した場合は、動作制御部1013が、ユーザに通知をして、データ処理部74に対して紙原稿60の画像データを破棄するように指示して終了する。
例えば、上述のセキュリティレベルが”basic”の場合のように、すべての要件を満たすことができる場合は、動作制御部1013は、その要件を満たした読み取りをデータ処理部74に指示し、また、データ送信部75にドキュメントをネットワークに配信するように指示して終了する。
そして、ユーザ属性取得部1012は、オペレーションパネル36から読み取り指示を出したユーザに、ユーザIDの入力要求を出す。
ユーザが、オペレーションパネル36からユーザIDを入力すると、ユーザ属性取得部1021は、ユーザIDに対応するカテゴリー、セキュリティレベルを取得し、動作要件選択部1012に通知する。動作制御部1013は、動作要件選択部1012から通知される要件に従ってログを記録する。
更に、動作制御部1013は、データ処理部74に対して、読み取った紙原稿60の画像データを、印刷不可能なデータ(たとえばADOBE(登録商標)の印刷禁止属性を持ったPDFなど)に変換するように指示を行う。
最後に、動作制御部1013は、データ送信部75に対して配信指示を行い、データ送信部75は、信頼できる通信経路(たとえばIPsecやVPNなど)を通じて、ドキュメントをネットワークへ配信し、終了する。
以上のように、図29に示したDSP2100を使用して、図28に示した文書読み取り装置としての画像形成装置1000が、文書を読み取り且つ読み取った文書をネットワークに配信することができる。
セキュリティポリシーに従った動作を実現する複写装置としての画像形成装置の機能構成について図30で説明する。図30は、セキュリティポリシーに従って動作する複写装置としての画像形成装置の機能構成を示す図である。図30中、図28と同様の処理部には同一符号を付しその詳細な説明を省略する。
図30において、複写装置としての画像形成装置1000−2は、図28に示す画像形成装置1000の読み取り条件取得部72及びデータ送信先取得部73の代わりに複写条件取得部81と、図28に示す画像形成装置1000のデータ送信部75の代わりに印刷部82とを有する点において、図28に示す画像形成装置1000と異なっている。
しかしながら、画像形成装置1000が画像形成装置1000−2の複写条件取得部81と、印刷部82とを更に有するように構成しても良い。点線で示される部分1002は省略しても良い。
複写条件取得部81は、ユーザがオペレーションパネル36に入力した複写条件を取得して、読み取り部71とデータ処理部74とへ複写条件を通知すると共に、印刷部82へも通知する。
印刷部82は、動作制御部1013からの指示に応じて、蓄積データ62から紙原稿60の画像データを取得し、動作制御部1013から通知された要件を満たすように複写条件取得部81から通知された複写条件に従って印刷処理を行い、用紙に画像データが形成された複写原稿60bを出力する。
以下に、ドキュメント属性取得部1011とユーザ属性取得部1021について詳述する。
図31は、ドキュメントの識別情報をバーコードで印字した場合を示す図である。図31に示すドキュメント610では、所定位置にバーコード611で識別情報が印字されている。この場合、ドキュメント属性取得部1011は、図32に示すように、紙原稿60としてのドキュメント610から直接識別情報を取得し、その識別情報からドキュメント属性を取得するように構成される。
図32は、ドキュメント属性取得部の第一機能構成を示す図である。図32において、ドキュメント属性取得部1011−1は、識別情報取得部1031と、ドキュメント属性読み取り部1032と、ドキュメント属性DB64とを有する。
識別情報取得部1031は、紙原稿60から図31に示されるドキュメント610のパーコード611を読み取って、識別情報として取得し、ドキュメント属性読み取り部1032に通知する。
ドキュメント属性読み取り部1032は、テーブルT100を参照することによって、識別情報取得部1031から通知された識別情報に基づいてドキュメント属性を取得して、動作要件選択部1012へ通知する。
ドキュメント属性DB1011−1は、テーブルT100によってドキュメント属性を管理する。テーブルT100は、識別情報としてドキュメントID、カテゴリー、レベル、取り扱い可能ゾーン等の項目を有する。ドキュメント属性読み取り部1032は、ドキュメント属性として、カテゴリー、レベル、取り扱い可能ゾーン等の情報を取得することができる。
このような機能構成は、バーコード、RFID、MCR等の専用の読み取り装置が既に利用されている場合に適している。
図33は、ドキュメントの識別情報を数字で印字した場合を示す図である。図33に示すドキュメント620では、所定位置に数字621で識別情報が印字されている。この場合、ドキュメント属性取得部1011は、図34に示すように、紙原稿60としてのドキュメント610から直接識別情報を取得し、その識別情報からドキュメント属性を取得するように構成される。
図34は、ドキュメント属性取得部の第二機能構成を示す図である。図34中、図32と同様の処理部には同一の符号を付し、その説明を省略する。
図34において、ドキュメント属性取得部1011−2は、識別情報取得部1031と、ドキュメント属性読み取り部1032と、ドキュメント属性DB64とを有する点で図32に示すドキュメント属性取得部1011−1と同様であるが、一旦読み取り部71によって読み取った紙原稿60の画像データが格納されている読み取り画像データ61からその画像データを取り出して、OCR等の文字認識機能を利用して識別することによって、ドキュメント属性を取得する点が異なっている。テーブルT100のデータ構成も図32に示すドキュメント属性取得部1011−1と同様である。
図35は、ドキュメントの識別情報を前面に印字した場合を示す図である。図35に示すドキュメント630では、前面に識別情報を示すドットパターンが印字されている。
図36は、ドキュメントのセキュリティ属性を文字で印字した場合を示す図である。図36に示すドキュメント640は、所定位置に例えばドキュメント属性を示す「秘」641が直接印字されている。
このような場合、読み取り部71によって取得した画像データをOCRなどで文字認識し、所定位置に印字されているドキュメント属性を取得する。
図37は、ドキュメント属性取得部の第三機能構成を示す図である。図37において、ドキュメント属性取得部1011−3は、文字読み取り部1035と、カテゴリー辞書65と、レベル辞書66と、取り扱いゾーン辞書67等を夫々管理するデータベースとを有する。
次に、ユーザ属性取得部1021について詳述する。
図38は、ユーザ属性取得部の機能構成を示す図である。図38において、ユーザ属性取得部1021は、ユーザ情報取得部1041と、ユーザ認証部1042と、ユーザ属性読み取り部1043と、ユーザ属性DB68とを有する。
ユーザ情報取得部1041は、ユーザによってオペレーションパネル36に入力されたユーザ情報を取得して、ユーザ認証部1042に通知する。
ユーザ認証部1042は、ユーザ属性DB68を参照することによって、ユーザ情報に基づいて、ユーザ認証を行い、認証が成功した場合にユーザ属性を取得して、ユーザ属性読み取り部1043に通知する。
ユーザ属性DB68は、ユーザ情報としてユーザIDとパスワードの項目を有し、ユーザ属性としてカテゴリー、レベル等の項目を有するテーブルT200によってユーザ属性を管理する。
ユーザ属性読み取り部1043は、ユーザ属性を動作要件選択部1012に通知する。
ドキュメント属性と同様に外部サーバによって実現することも可能である。外部サーバを利用することで、Windows(登録商標)、LotusNotesなどを利用するユーザ等との連携が容易に実現可能となる。
図39は、ユーザ属性を外部を外部サーバから取得する場合の機能構成を示す図である。図39中、図38と同様の処理部には同一の符号を付し、その説明を省略する。図39において、ユーザ属性取得部1012−2は、ユーザ情報取得部1041と通信処理部1045とを有する。
通信処理部1045は、外部サーバとしてのユーザ属性サーバ80へ、ユーザ情報を送信することによってユーザ属性の要求を行い、ユーザ属性サーバ80から取得したユーザ属性を動作要件選択部1012に通知する。
外部サーバとしてのユーザ属性サーバ80は、通信処理部85と、ユーザ認証部82と、ユーザ属性読み取り部83と、ユーザ属性DB69とを有する。
通信処理部85は、ユーザ属性取得部1021−2からの要求に応じて、ユーザ情報をユーザ認証部82に通知する。
ユーザ認証部82は、ユーザ属性DB689参照することによって、ユーザ情報に基づいて、ユーザ認証を行い、認証が成功した場合にユーザ属性を取得して、通信処理部85に通知する。
通信処理部85は、ユーザ属性をユーザ属性取得部1021−2に通知する。
上述より、埋め込み情報が文書を一意に識別するバーコード情報、透かし情報、地紋情報のうち少なくとも一つの情報であることにより、埋め込み情報で文書のコンテンツや文書属性を識別して文書に関する処理が実行されるため、文書のセキュリティを確保することができる。
本発明の一実施例に係る画像形成装置1000は、プリンタ、FAX、コピー等の複数の異なる画像形成機能の少なくとも1つを有する装置である。
セキュリティポリシーの例を示す図である。 ドキュメントラベル用語ファイルのリストの例を示す図である。 ポリシー用語ファイルの例を示す図である。 ポリシー用語ファイルの例を示す図である。 ポリシー用語ファイルの例を示す図である。 ポリシー用語ファイルの例を示す図である。 ポリシー用語ファイルの例を示す図である。 ポリシー用語ファイルの例を示す図である。 ポリシー用語ファイルの例を示す図である。 ポリシー用語ファイルの例を示す図である。 ポリシー用語ファイルの例を示す図である。 ポリシー用語ファイルの例を示す図である。 ポリシー用語ファイルの例を示す図である。 ポリシーファイルの例を示す図である。 ポリシーファイルの例を示す図である。 ポリシーファイルの例を示す図である。 ポリシーファイルの例を示す図である。 ポリシーファイルの例を示す図である。 ポリシーファイルの例を示す図である。 ポリシーファイルの例を示す図である。 ポリシーファイルの例を示す図である。 ポリシーファイルの例を示す図である。 DSPの識別情報の例を示す図である。 DSPの構造を説明するための記述例を示す図である。 DSPの他の記述例を示す図である DSPを蓄積し且つ配布する種々の媒体を示す図である。 本発明の一実施例に係る画像形成装置のハードウェア構成を示すブロック図である。 セキュリティポリシーに従って動作する読み取り装置としての画像形成装置の機能構成を示す図である。 簡略化したDSPの例を示す図である。 セキュリティポリシーに従って動作する複写装置としての画像形成装置の機能構成を示す図である。 ドキュメントの識別情報をバーコードで印字した場合を示す図である。 ドキュメント属性取得部の第一機能構成を示す図である。 ドキュメントの識別情報を数字で印字した場合を示す図である。 ドキュメント属性取得部の第二機能構成を示す図である。 ドキュメントの識別情報を前面に印字した場合を示す図である。 ドキュメントのセキュリティ属性を文字で印字した場合を示す図である。 ドキュメント属性取得部の第三機能構成を示す図である。 ユーザ属性取得部の機能構成を示す図である。 ユーザ属性を外部を外部サーバから取得する場合の機能構成を示す図である。
符号の説明
51 ハードディスク
52 光磁気ディスク
53 フレキシブルディスク
54 光ディスク
55 コンピュータ
56 ネットワーク
71 読み取り部
72 読み取り条件取得部
73 データ送信先取得部
74 データ処理部
1000 画像形成装置
1001 ポリシー実行部
1011 ドキュメント属性取得部
1012 動作要件選択部
1013 動作制御部
1021 ユーザ属性取得部
2000 DSP

Claims (14)

  1. ドキュメントに対して定められた識別情報と、ドキュメントのカテゴリ及びセキュリティレベルを含むドキュメント属性とを予め対応付けたドキュメント属性管理情報を管理するドキュメント属性管理手段と、
    ドキュメントに対する所定読み取り動作によって取得したデータを前記識別情報として認識する識別情報認識手段と、
    上記ドキュメント属性管理情報を参照することによって、上記識別情報認識手段によって認識された上記識別情報に対応する上記ドキュメント属性を取得するドキュメント属性取得手段と、
    上記ドキュメント属性取得手段によって取得された前記カテゴリ及びセキュリティレベルに対応するドキュメントのセキュリティポリシーに基づいて、当該画像形成装置の所定のオペレーションである所定動作毎に、該所定動作の許可又は不許可を判断し、さらに、許可の場合は、許可される場合の動作要件を選択し、その判断及び選択結果を出力する動作要件選択手段と、
    上記動作要件選択手段によって出力された判断及び選択結果に基づいて、上記所定動作の実行を制御する動作制御手段とを有し、
    上記セキュリティポリシーは、
    上記所定動作毎に動作の許可又は不許可が規定され、該許可が規定される場合は、動作を許可するための動作要件が規定され
    上記動作制御手段は、上記動作要件選択手段の判断及び選択結果が不許可の場合は、上記ドキュメントのデータ処理を行うデータ処理部に対してデータ処理を禁止するように指示し、上記動作要件選択手段の判定結果が許可の場合は、その要件を満たすようにデータ処理を行うよう上記データ処理部に指示し、
    上記セキュリティポリシーに規定された前記動作要件は、上記ドキュメントに対するセキュリティに関する要件であることを特徴とする画像形成装置。
  2. 上記所定動作は、電子データで画像を形成することを特徴とする請求項1記載の画像形成装置。
  3. 上記所定動作は、上記ドキュメントを用紙上に印刷することを特徴とする請求項記載の画像形成装置。
  4. 上記所定動作を要求するユーザに関するユーザ属性を取得するユーザ属性取得手段を更に有することを特徴とする請求項1乃至のいずれか一項記載の画像形成装置。
  5. 上記ユーザ属性取得手段は、
    上記ユーザからの入力により該ユーザを識別するユーザ識別情報を取得するユーザ識別情報取得手段と、
    該ユーザ識別情報と上記ユーザ属性とを予め対応付けたユーザ属性管理情報を管理するユーザ属性管理手段と、
    上記ユーザ識別情報に基づいて上記ユーザを認証するユーザ認証手段と、
    上記ユーザ認証手段による認証結果に基づいて、上記ユーザ属性管理情報を参照することによって、上記ユーザ識別情報取得手段によって取得された上記ユーザ識別情報に対応する上記ユーザ属性を取得するユーザ属性取得手段とを有することを特徴とする請求項記載の画像形成装置。
  6. 上記ユーザ属性取得手段は、
    上記ユーザから該ユーザを識別するユーザ識別情報を取得するユーザ識別情報取得手段と、
    上記ユーザを認証し、上記ユーザ属性を提供する外部サーバに対して該ユーザ属性を要求するユーザ属性要求手段とを有することを特徴とする請求項記載の画像形成装置。
  7. 上記動作要件は、上記ドキュメントに対する上記所定動作の実行の際に、電子透かしを埋め込むことを指示することを特徴とする請求項1乃至のいずれか一項記載の画像形成装置。
  8. 上記動作要件は、上記ドキュメントに対する上記所定動作の実行の際に、表示可能なラベルを埋め込むことを指示することを特徴とする請求項1乃至のいずれか一項記載の画像形成装置。
  9. 上記表示可能なラベルは、少なくとも上記所定動作を要求したユーザの認証データと、上記所定動作を要求した時点のタイムスタンプを含むことを特徴とする請求項記載の画像形成装置。
  10. 上記動作要件は、上記ドキュメント対する上記所定動作の実行の際に、少なくとも上記所定動作を要求したユーザの認証データと、該所定動作によって生成される上記ドキュメントのドキュメントデータと、読み取りを指示した時点のタイムスタンプとをログに記録することを特徴とする請求項5又は6のいずれか一項記載の画像形成装置。
  11. ドキュメントに対する所定読み取り動作によって取得したデータを識別情報として認識する識別情報認識手順と、
    ドキュメントに対して定められた識別情報と、ドキュメントのカテゴリ及びセキュリティレベルを含むドキュメント属性とを予め対応付けたドキュメント属性管理情報を管理するドキュメント属性管理手段のドキュメント属性管理情報を参照することによって、上記識別情報認識手順によって認識された上記識別情報に対応する上記ドキュメント属性を取得するドキュメント属性取得手順と、
    上記ドキュメント属性取得手順によって取得された前記カテゴリ及びセキュリティレベルに対応するドキュメントのセキュリティポリシーに基づいて、当該画像形成装置の所定のオペレーションである所定動作毎に、該所定動作の許可又は不許可を判断し、さらに、許可の場合は、許可される場合の動作要件を選択し、その判断及び選択結果を出力する動作要件選択手順と、
    上記動作要件選択手順によって出力された判断及び選択結果に基づいて、上記所定動作の実行を制御する動作制御手順とを有し、
    上記セキュリティポリシーは、
    上記所定動作毎に動作の許可又は不許可が規定され、該許可が規定される場合は、動作を許可するための動作要件が規定され
    上記動作制御手順は、上記動作要件選択手順による判断及び選択結果が不許可の場合は、上記ドキュメントのデータ処理を行うデータ処理部に対してデータ処理を禁止するように指示し、上記動作要件選択手順による判定結果が許可の場合は、その要件を満たすようにデータ処理を行うよう上記データ処理部に指示し、
    上記セキュリティポリシーに規定された前記動作要件は、上記ドキュメントに対するセキュリティに関する要件であることを特徴とする画像形成方法。
  12. 上記動作要件が実行可能であるか否かを判断する動作要件判断手順と、
    上記動作要件判断手順による判断結果が上記動作要件が実行可能でないことを示す場合、上記所定動作を禁止する動作禁止手順とを有することを特徴とする請求項11記載の画像形成方法。
  13. ドキュメントに対する所定読み取り動作によって取得したデータを識別情報として認識する識別情報認識手順と、
    ドキュメントに対して定められた識別情報と、ドキュメントのカテゴリ及びセキュリティレベルを含むドキュメント属性とを予め対応付けたドキュメント属性管理情報を管理するドキュメント属性管理手段のドキュメント属性管理情報を参照することによって、上記識別情報認識手順によって認識された上記識別情報に対応する上記ドキュメント属性を取得するドキュメント属性取得手順と、
    上記ドキュメント属性取得手順によって取得された前記カテゴリ及びセキュリティレベルに対応するドキュメントのセキュリティポリシーに基づいて、当該画像形成装置の所定のオペレーションである所定動作毎に、該所定動作の許可又は不許可を判断し、さらに、許可の場合は、許可される場合の動作要件を選択し、その判断及び選択結果を出力する動作要件選択手順と、
    上記動作要件選択手順によって出力された判断及び選択結果に基づいて、上記所定動作の実行を制御する動作制御手順とをコンピュータに実行させ、
    上記セキュリティポリシーは、
    上記所定動作毎に動作の許可又は不許可が規定され、該許可が規定される場合は、動作を許可するための動作要件が規定され
    上記動作制御手順は、上記動作要件選択手順による判断及び選択結果が不許可の場合は、上記ドキュメントのデータ処理を行うデータ処理部に対してデータ処理を禁止するように指示し、上記動作要件選択手順による判定結果が許可の場合は、その要件を満たすようにデータ処理を行うよう上記データ処理部に指示し、
    上記セキュリティポリシーに規定された前記動作要件は、上記ドキュメントに対するセキュリティに関する要件であることを特徴とするコンピュータに実行可能なプログラム。
  14. ドキュメントに対する所定読み取り動作によって取得したデータを識別情報として認識する識別情報認識手順と、
    ドキュメントに対して定められた識別情報と、ドキュメントのカテゴリ及びセキュリティレベルを含むドキュメント属性とを予め対応付けたドキュメント属性管理情報を管理するドキュメント属性管理手段のドキュメント属性管理情報を参照することによって、上記識別情報認識手順によって認識された上記識別情報に対応する上記ドキュメント属性を取得するドキュメント属性取得手順と、
    上記ドキュメント属性取得手順によって取得された前記カテゴリ及びセキュリティレベルに対応するドキュメントのセキュリティポリシーに基づいて、当該画像形成装置の所定のオペレーションである所定動作毎に、該所定動作の許可又は不許可を判断し、さらに、許可の場合は、許可される場合の動作要件を選択し、その判断及び選択結果を出力する動作要件選択手順と、
    上記動作要件選択手順によって出力された判断及び選択結果に基づいて、上記所定動作の実行を制御する動作制御手順とをコンピュータに実行させ、
    上記セキュリティポリシーは、
    上記所定動作毎に動作の許可又は不許可が規定され、該許可が規定される場合は、動作を許可するための動作要件が規定され
    上記動作制御手順は、上記動作要件選択手順による判断及び選択結果が不許可の場合は、上記ドキュメントのデータ処理を行うデータ処理部に対してデータ処理を禁止するように指示し、上記動作要件選択手順による判定結果が許可の場合は、その要件を満たすようにデータ処理を行うよう上記データ処理部に指示し、
    上記セキュリティポリシーに規定された前記動作要件は、上記ドキュメントに対するセキュリティに関する要件であることを特徴とするコンピュータに実行可能なプログラムが記憶されたコンピュータ読み取り可能な記憶媒体。
JP2003314464A 2002-09-19 2003-09-05 画像形成装置、画像形成方法、プログラム及び記憶媒体 Expired - Fee Related JP4814483B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2003314464A JP4814483B2 (ja) 2002-09-19 2003-09-05 画像形成装置、画像形成方法、プログラム及び記憶媒体
US10/665,484 US20040128555A1 (en) 2002-09-19 2003-09-22 Image forming device controlling operation according to document security policy

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
JP2002273985 2002-09-19
JP2002273985 2002-09-19
JP2002275973 2002-09-20
JP2002275973 2002-09-20
JP2002297888 2002-10-10
JP2002297888 2002-10-10
JP2003314464A JP4814483B2 (ja) 2002-09-19 2003-09-05 画像形成装置、画像形成方法、プログラム及び記憶媒体

Publications (2)

Publication Number Publication Date
JP2004152260A JP2004152260A (ja) 2004-05-27
JP4814483B2 true JP4814483B2 (ja) 2011-11-16

Family

ID=32475622

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003314464A Expired - Fee Related JP4814483B2 (ja) 2002-09-19 2003-09-05 画像形成装置、画像形成方法、プログラム及び記憶媒体

Country Status (1)

Country Link
JP (1) JP4814483B2 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4606052B2 (ja) * 2004-04-08 2011-01-05 株式会社リコー 情報処理装置、操作許否情報生成方法、操作許否情報生成プログラム及び記録媒体
JP2006235885A (ja) * 2005-02-23 2006-09-07 Ricoh Co Ltd 文書電子化方法、文書電子化装置及び文書電子化プログラム
JP2006279869A (ja) * 2005-03-30 2006-10-12 Kyocera Mita Corp 画像形成装置
JP4544054B2 (ja) * 2005-06-23 2010-09-15 富士ゼロックス株式会社 画像処理装置
JP4922656B2 (ja) * 2006-05-02 2012-04-25 株式会社リコー ドキュメントセキュリティシステム
JP4628384B2 (ja) * 2006-05-24 2011-02-09 株式会社リコー 記憶素子付き用紙を使用可能な装置及び用紙選択装置
JP2008110499A (ja) * 2006-10-30 2008-05-15 Kyocera Mita Corp 画像形成装置
JP5054967B2 (ja) 2006-12-20 2012-10-24 株式会社リコー 画像送信装置
JP2009152852A (ja) 2007-12-20 2009-07-09 Fuji Xerox Co Ltd 画像処理装置、画像処理システム及び画像処理プログラム
JP5195113B2 (ja) * 2008-07-23 2013-05-08 カシオ電子工業株式会社 印刷装置
KR101311286B1 (ko) * 2011-10-11 2013-09-25 주식회사 파수닷컴 워터마크를 화면상에 표시하는 장치 및 방법
JP2021004860A (ja) * 2019-06-27 2021-01-14 Popchat株式会社 移動情報活用装置および移動情報活用方法

Also Published As

Publication number Publication date
JP2004152260A (ja) 2004-05-27

Similar Documents

Publication Publication Date Title
JP4527374B2 (ja) 画像形成装置及びドキュメント属性管理サーバ
US20040128555A1 (en) Image forming device controlling operation according to document security policy
JP4147166B2 (ja) 画像形成装置及びポリシー配布サーバ並びにポリシー解釈サーバ
JP4826265B2 (ja) セキュリティポリシ付与装置、プログラム及び方法
JP5390910B2 (ja) ファイル管理システム
KR100951599B1 (ko) 문서 보안 시스템
US20040125402A1 (en) Document printing program, document protecting program, document protecting system, document printing apparatus for printing out a document based on security policy
US20070174896A1 (en) Security policy assignment apparatus and method and storage medium stored with security policy assignment program
JP5004868B2 (ja) 情報処理装置及びその制御方法、並びにプログラム
US20090319480A1 (en) Security policy management device, security policy management system, and storage medium
JP6204900B2 (ja) 文書の電子メール送信と一体化された権限管理システムおよび方法
US8335985B2 (en) Document use managing system, document processing apparatus, manipulation authority managing apparatus, document managing apparatus and computer readable medium
JP2007108883A (ja) 情報処理方法およびその装置
JP4814483B2 (ja) 画像形成装置、画像形成方法、プログラム及び記憶媒体
WO2009147855A1 (ja) ファイル管理システム
JP2009282611A5 (ja)
US20070171485A1 (en) Document computerizing apparatus, method thereof, and program product for executing the method
EP2027555B1 (en) Information processing apparatus,information processing method, and information processing program
JP4398685B2 (ja) アクセス制御判断システム、アクセス制御判断方法、アクセス制御判断プログラム、及びそのプログラムを記憶したコンピュータ読み取り可能な記憶媒体
JP2013012070A (ja) 画像形成装置、ファイル管理システム、プログラム
JP2005148393A (ja) 画像形成装置
JP4764897B2 (ja) 画像形成装置、画像形成方法、情報処理システム及びプログラム
JP2005151149A (ja) 画像形成装置
JP2008181290A (ja) 文書管理システム、文書管理装置、制限情報管理装置、文書管理プログラムおよび制限情報管理プログラム
JP4954254B2 (ja) セキュリティポリシー

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060123

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080710

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081014

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081212

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090428

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090727

A911 Transfer of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20090807

A912 Removal of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20091113

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110627

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110826

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140902

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees