JP4946582B2 - 情報処理装置及び情報処理プログラム - Google Patents

情報処理装置及び情報処理プログラム Download PDF

Info

Publication number
JP4946582B2
JP4946582B2 JP2007104164A JP2007104164A JP4946582B2 JP 4946582 B2 JP4946582 B2 JP 4946582B2 JP 2007104164 A JP2007104164 A JP 2007104164A JP 2007104164 A JP2007104164 A JP 2007104164A JP 4946582 B2 JP4946582 B2 JP 4946582B2
Authority
JP
Japan
Prior art keywords
user
job
secret key
execution
card
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007104164A
Other languages
English (en)
Other versions
JP2008262363A (ja
Inventor
隆徳 益井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2007104164A priority Critical patent/JP4946582B2/ja
Priority to US12/054,642 priority patent/US8302184B2/en
Publication of JP2008262363A publication Critical patent/JP2008262363A/ja
Application granted granted Critical
Publication of JP4946582B2 publication Critical patent/JP4946582B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Description

本発明は、ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体を利用して処理を実行する情報処理装置及び情報処理プログラムに関する。
近年では、セキュリティ対策として、個人の秘密鍵を格納したIC(Integrated Circuit)カード(スマートカード)を利用する場合が少なくない。例えば、ユーザーが画像形成装置を利用する場合、画像形成装置搭載のセキュリティアプリケーションは、ユーザーにICカードを挿着させ、PIN(Personal Identification Number)を入力させる。これにより、画像形成装置は、ユーザー認証を行うと共にICカードに格納された秘密鍵をスキャン文書の電子署名や暗号化されている電子文書(暗号化文書)の復号等に利用することができる。
ところで、ICカードには、暗号プロセッサ搭載のICカードと暗号プロセッサが搭載されていないICカードの2種類のタイプがある。ICカードは、秘密鍵やPINの記憶手段を有しているが、暗号プロセッサ搭載のICカードは、更に画像形成装置等のデバイスからの指示に応じてユーザー認証や暗号化等の機能を実現するソフトウェア及びこのソフトウェアを実行するプロセッサが搭載されたICカードである。そして、記憶手段に記憶された秘密鍵等のデータは、外部からの読出しが禁止されている。
これに対し、暗号プロセッサが搭載されていないICカードは、暗号プロセッサが搭載されていない、メモリのみのICカードである。従って、暗号プロセッサを搭載していないICカードを利用する場合、ICカードに格納された秘密鍵は、デバイスから読み出されて利用されることになる(例えば、特許文献1)。
このように、ICカードの種類によってICカードに格納された秘密鍵の利用形態が異なってくるが、暗号プロセッサが搭載されていないICカードを利用すると、ICカードが取り外された後でも秘密鍵がデバイスのメモリ上に残されたままになる可能性があるため、セキュリティ上必ずしも万全であるとは言えない。
これに対し、暗号プロセッサ搭載のICカードを利用すると、ICカードは、デバイスからの指示に応じて秘密鍵を利用した暗号化などの処理を内部にて実施し、その結果をデバイスへ返信することになる。つまり、秘密鍵は、外部へ読み出されることがないので、セキュリティの強化を図る上でより効果的である。
特開2003−224728号公報 特開2002−259305号公報
ただ、秘密鍵がICカードの内部のみに存在するということは、デバイスにおいて秘密鍵を利用する処理が実行されている間、ICカードをアクセス可能な状態のままデバイスに挿着しておかなければならないことになる。例えば、大量のページの原稿をスキャンしてデジタル署名を付加してから電子文書を送信するなど、画像形成装置における処理時間が長くなることが明らかな場合、ユーザーは、ICカードを画像形成装置に挿着し、ログインした状態のまま画像形成装置から離れて他の業務を行うことが容易に想像できる。この例のように、ユーザー認証された状態のICカードが画像形成装置に挿着されたままにしておくと、秘密鍵が第三者により不正利用されてしまう可能性が生じてくる。このように、ICカードから秘密鍵の読出しを禁止することによってセキュリティの強化を図る一方で、ICカードの利用形態によっては、個人所有のICカードが不正利用されてしまう可能性が生じてくる。
本発明は、暗号プロセッサ搭載の認証媒体の不正利用をより確実に防止することを目的とする。
本発明に係る情報処理装置は、ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行うことで、当該ユーザーによる装置の利用を可能とする確認済み状態に設定するユーザー認証手段と、前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むジョブを実行するジョブ実行手段と、前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、新たなジョブの実行を禁止するジョブ実行禁止手段と、ユーザーインタフェース手段と、を有し、前記ジョブ実行禁止手段は、前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、前記ユーザーインタフェース手段への表示を不正操作防止用画面に切り替える表示切替指示部を有することを特徴とする。
また、前記ジョブ実行禁止手段は、前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、新たなジョブの起動を阻止することを特徴とする。
また、前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、ジョブ実行開始を当該ユーザーに通知する通知手段を有することを特徴とする。
本発明に係る情報処理プログラムは、コンピュータ、ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行うことで、当該ユーザーによる前記コンピュータの利用を可能とする確認済み状態に設定するユーザー認証手段、前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むジョブを実行するジョブ実行手段前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、新たなジョブの実行を禁止するジョブ実行禁止手段、ユーザーインタフェース手段、として機能させ、前記ジョブ実行禁止手段は、前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、前記ユーザーインタフェース手段への表示を不正操作防止用画面に切り替えることを特徴とする。
本発明によれば、認証媒体に記憶された秘密鍵を用いた処理が完了したことに基づいて、ユーザー認証に伴い設定された当該ユーザーの確認済み状態をユーザー未確認状態に変更するようにしたので、情報処理装置に認証媒体が残された状態においても認証媒体に記憶された秘密鍵の不正利用を、より確実に防止することができる。
また、認証媒体に記憶された秘密鍵を用いた処理が完了したことに基づいて、認証されたユーザーに秘密鍵の利用完了を通知するようにしたので、情報処理装置からの認証媒体が抜去可能であることを当該ユーザーに知らせることができる。
また、ジョブの実行が開始されたことに基づいて、新たなジョブの実行を禁止することができるので、情報処理装置に認証媒体が残された状態においても認証媒体に記憶された秘密鍵の不正利用を、より確実に防止することができる。
以下、図面に基づいて、本発明の好適な実施の形態について説明する。
実施の形態1.
図1は、本発明に係る情報処理装置の一実施の形態である画像形成装置のハードウェア構成図である。画像形成装置は、情報処理装置であるコンピュータを内部に搭載した画像処理装置であり、本実施の形態では、コピー機能、スキャナ機能等各種機能を搭載した複合機を想定している。図1において、CPU1は、リードオンリメモリ(ROM)9に格納されたプログラムにしたがってスキャナ4やプリンタエンジン6等本装置に搭載された各種機構の動作制御を行う。アドレスデータバス2は、CPU1の制御対象となる各種機構と接続してデータの通信を行う。操作パネル3は、ユーザーからの指示の受け付け、情報の表示を行うユーザーインタフェース手段である。スキャナ4は、ユーザーがセットした原稿を読み取り、電子データとしてHDD(Hard Disk Drive)25等に蓄積する。HDD25は、スキャナ4を使用して読み取った電子文書などを格納する。プリンタエンジン6は、CPU1で実行される制御プログラムからの指示に従い出力用紙上に画像を印字する。ネットワークインタフェース(I/F)7は、ネットワーク12を接続し、ユーザー端末装置14との間で電子文書等の送受信、ブラウザ経由による本装置へのアクセスなどに利用される。ランダムアクセスメモリ(RAM)8は、プログラム実行時のワークメモリや電子データ送受信時の通信バッファとして利用される。ROM9は、本装置の制御や電子データの暗号、電子データの送受信に関する各種プログラムが格納されている。各種プログラムが実行されることで後述する各構成要素が所定の処理機能を発揮する。ICカードリーダー10は、挿着されたICカードとの間でデータの送受信を行う。
ここで、本実施の形態においてユーザー認証に用いる認証媒体は、当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体であり、前述した暗号プロセッサ搭載のICカードの利用を想定している。これに伴い、画像形成装置20には、ICカードリーダー10が接続されることになる。ここで、プロセッサというのは、プログラムの実行や各種の演算などを集中的に行なうチップのことをいうが、認証媒体に搭載されたプロセッサは、特に認証媒体に記憶されたソフトウェアを実行する。また、ICカードは、ICが組み込まれたカードである。ところで、スマートカードとは、CPU,メモリなどの半導体を組み込んだプラスティックカードのことを言うが、同じ認証媒体をICカードまたはスマートカードと称する場合もある。本実施の形態では、これらをICカードで総称することにする。なお、現在において暗号プロセッサを搭載してユーザー認証に用いられる認証媒体としては、ICカードが主流を成していると考えられるが、例えばUSB(Universal Serial Memory)メモリ等の記憶媒体に暗号プロセッサが搭載されユーザー認証に用いられるようになった場合には、この記憶媒体も本発明の認証媒体に該当する。
図2は、本実施の形態における画像形成装置20のブロック構成図である。なお、本実施の形態の説明に必要でない構成要素については図から省略した。
画像形成装置20は、ユーザー認証部21、データ処理部22、秘密鍵処理完了検知部23、ユーザー確認状態リセット部24及び抜取り許可通知部25を有している。ユーザー認証部21は、ICカードがICカードリーダー10に挿着された状態でユーザー認証を行う。データ処理部22は、ユーザーから指示されたデータ処理を実行するが、本実施の形態においては、ICカードに記憶された秘密鍵を利用した処理を実行することになる。本実施の形態では、ICカードに記憶された秘密鍵を利用したデータ処理を、特に秘密鍵処理と称することにした。秘密鍵処理完了検知部23は、データ処理部22が実行している秘密鍵処理の実行完了を検知する。データ処理部22に含まれるデジタル署名処理部26及び復号処理部27は、それぞれ秘密鍵処理を実行する手段として設けられている。このうち、デジタル署名処理部26は、ICカードに記憶された秘密鍵を用いて、入力された電子文書に付加するデジタル署名を生成する。また、復号処理部27は、ICカードに記憶された秘密鍵を用いて、入力された暗号化文書の復号を行う。各処理の詳細については追って説明する。
ところで、本実施の形態における画像形成装置20では、画像形成装置20を利用するユーザーがICカードをICカードリーダー10に挿入するだけでは、ユーザーはまだ未認証状態であり、画像処理装置20の利用は不可能な状態にある。次に、ユーザーがPINを操作パネル3から入力し、ICカード側で正しく照合された場合に、ユーザーが認証された状態となり、画像形成装置20の利用が可能な状態となる。一方、ICカードでも、同様にユーザーの確認状態が管理され、ユーザーのPINが正しく照合されまでは、ユーザー未確認状態であり、ICカード内の秘密鍵の利用が不可能な状態となる。この状態は、ICカードの秘密鍵の利用が制限されているという意味でブロック状態とも呼ばれる。さらに、ICカードでPINが正しく照合され、ユーザー確認済み状態となると、ICカードの秘密鍵が利用可能な状態となる。この状態は、ICカードの秘密鍵の利用の制限が解除された状態という意味でアンブロック状態とも呼ばれる。このように、画像処理装置20のユーザー認証状態とICカードのユーザー確認状態は独立に制御されている。
ユーザー認証部21は、ユーザー認証を行うことで、画像形成装置20を当該ユーザーの認証済み状態に設定し、ICカードを当該ユーザーの確認済み状態に設定する。これに対し、画像形成装置20の認証済み状態を未認証状態に、ICカードの確認済み状態を未確認状態に設定変更するのは、一般にユーザー操作によりログアウトが明示的に指示された場合、あるいはICカードがICカードリーダー10から抜去されることによる自動ログアウトした場合であるが、本実施の形態におけるユーザー確認状態リセット部24は、秘密鍵処理完了検知部23により秘密鍵処理の完了が検知された時点で、ユーザー認証に伴い設定された当該ユーザーのICカードの確認済み状態を未確認状態に変更する。抜取り許可通知部25は、秘密鍵処理完了検知部23により秘密鍵処理の完了が検知された時点で、秘密鍵処理完了を認証されているユーザーに通知することで、ICカードが抜取り可能であることを通知する。
画像形成装置20における各構成要素21〜25は、画像形成装置20に搭載されたコンピュータと、コンピュータに搭載されたCPU1で動作するプログラムとの協調動作により実現される。
また、本実施の形態で用いるプログラムは、通信手段により提供することはもちろん、CD−ROMやDVD−ROM等のコンピュータ読み取り可能な記録媒体に格納して提供することも可能である。通信手段や記録媒体から提供されたプログラムはコンピュータにインストールされ、コンピュータのCPU1がインストールプログラムを順次実行することで各種処理が実現される。
次に、本実施の形態における秘密鍵処理を含むデータ処理の実行手順について図3に示したフローチャートを用いて説明する。
ステップ110において、画像形成装置20を使用したいユーザーが所有するICカードをICカードリーダー10に差し込んだ後、操作パネル3に表示された所定のログイン画面からPINを入力する。ユーザー認証部21は、入力されたPINをICカードへ送ることで当該ユーザーの認証を依頼する。ICカードでは、送られてきたPINに基づき内部に存在するユーザー認証用アプリケーションがユーザー認証を実行し、その認証結果をユーザー認証部21へ返す。ユーザー認証部21は、その認証結果に従って次のように処理する。すなわち、認証が成功していれば、ユーザー認証部21は、当該ユーザーによる画像形成装置20の利用を許可し、画像形成装置20をユーザー認証済み状態に設定し、ICカードのユーザー確認状態を当該ユーザーの確認済み状態に設定する。なお、ここで設定されるユーザー確認状態は、ICカードにおいて保持されるので、ユーザー認証部21は、確認済み状態の設定をICカードに要求する。一方、認証が失敗していれば、当該ユーザーによる画像形成装置20の利用を禁止する。なお、ユーザー認証前にICカードにおいて保持されるユーザー確認状態は未確認状態なので、ユーザー認証部21は、未確認状態にあえて設定する必要はない。
ステップ120において、認証されたユーザーがスキャン文書にデジタル署名を付加していずれかのユーザーに送信したいとする。この場合、ユーザーは、原稿文書のスキャンとデジタル署名を、操作パネル3に表示された所定の操作画面から指示し、原稿文書をスキャナ4にセットした後スタートボタンを押下する。なお、この押下操作によって、ユーザーは、画像形成装置20によるデータ処理が終了するまで、画像形成装置20の前で待っている必要がない。従って、データ処理が長時間要することを把握しているユーザーは、画像形成装置20から離れ、自分の席に戻り、パーソナルコンピュータ(PC)等で実現されるユーザー端末装置14を使用して他の業務を行う。
スタートボタンの押下により、画像形成装置20におけるデータ処理部22は、署名付き電子文書生成処理を開始する。この例における秘密鍵処理はデジタル署名に相当する。従って、電子文書生成処理が開始され、原稿文書をスキャナ4により読み取ることでスキャン画像が生成されると、デジタル署名処理部26は、スキャン画像からダイジェストを生成し、秘密鍵を用いてデジタル署名を生成する。但し、本実施の形態では、ICカードから秘密鍵を読み出せないので、デジタル署名処理部26は、生成したダイジェストをICカードへ送ってデジタル署名を依頼する。デジタル署名は、原稿文書の各頁単位に行うか、あるいは、全頁をまとめて最後に行うことができる。ICカードでは、送られてきたダイジェストを内部で保持する秘密鍵を用いて暗号化することでデジタル署名を生成し、そのデジタル署名をデジタル署名処理部26へ返す。データ処理部22は、ICカードから送られてきたデジタル署名を、ダイジェストを生成したスキャン画像(電子文書)に付加し、ユーザーにより指定された宛先へ送信する。なお、この文書データ送信は、その都度行わなくても全ての電子文書にデジタル署名が付加されるのを待ってまとめて行うようにしてもよい。
以上の秘密鍵処理は、デジタル署名を付加すべきスキャン画像全てに対して繰り返し行われることになるが、以上説明したように、デジタル署名の生成には、秘密鍵がその都度必要であることから、ユーザーは、このデジタル署名が完了するまでICカードをICカードリーダー10から抜き取ることができない。秘密鍵処理完了検知部23は、このデータ処理部22が実行中のデータ処理においてデジタル署名が完了するまで常時監視している(ステップ130でN)。そして、秘密鍵処理完了検知部23が最後のスキャン画像(ページ)に対して付加するデジタル署名の生成が終了したことにより秘密鍵処理が完了したことを検知すると(ステップ130でY)、ユーザー確認状態リセット部24は、ユーザー認証に伴い設定されたICカードの当該ユーザーの確認済み状態を未確認状態にリセットする(ステップ140)。より詳細には、当該ユーザーのユーザー確認状態は、ICカードにて保持されているので、ユーザー確認状態リセット部24は、確認済み状態の設定を未確認状態に変更するようICカードに要求する。
また、秘密鍵処理の完了が検知された時点で、抜取り許可通知部25は、秘密鍵処理が完了したことによってICカードが抜き取れる旨を、認証されているユーザーに通知する(ステップ150)。なお、通知先は、この処理の開始時に指示したり、画像形成装置20に予め設定された通知先をそのまま利用したりすればよい。本実施の形態では、当該ユーザーが使用するユーザー端末装置14や携帯電話への電子メールによる通知を想定しているが、操作パネル3へ表示するようにしてもよい。この場合の通知先は操作パネル3となる。電子メール等により通知を受けたユーザーは、この通知内容を参照することで画像形成装置20まで移動し、ICカードをICカードリーダー10から抜去する。
このように、秘密鍵処理の完了をユーザーに知らせることができるので、従来と比較してICカードを手元から離れた状態を短期間にすることができる。
ここで、前述した処理の流れに沿って画像形成装置20が制御するICカードのユーザー確認状態について図4を用いて確認する。
図4A〜Cは、ユーザー操作またはデータ処理に伴い発生するイベントと、画像形成装置20が制御するICカードのユーザー確認状態と、第三者により不正利用される可能性のある期間(不正可能期間)との関係を概念的に示した図であり、図4Aは従来における関係、図4Bは本実施の形態における関係をそれぞれ示した図である。本実施の形態の特徴をより明確にするために、最初に図4Aを用いて従来における画像形成装置20が制御するICカードのユーザー確認状態の遷移について説明する。
ユーザーがICカードリーダー10にICカードを挿着し、PINを入力することによってユーザー認証されると、この時点でICカードは当該ユーザーの確認済み状態になることは前述したとおりである。ここで、スタートボタンの押下により、署名付き電子文書生成処理が実行され、文書スキャンが開始されることになるが、従来においては、デジタル署名が完了したことによりICカードに記憶された秘密鍵が不要になった状態でもICカードはICカードリーダー10に挿着されたままであり、ICカードのユーザー確認済み状態がリセットされないので、第三者による不正利用が可能な状態である。つまり、画像形成装置20から離れた認証済みのユーザーが戻ってきてICカードの抜去による自動ログアウトが実施される前に、不正な第三者が画像形成装置20を操作することによってICカードに記憶された秘密鍵を用いてデジタル署名等の不正処理を行うことが可能である。つまり、従来においては、デジタル署名完了からログアウトされるまでの間が、不正利用が可能な期間として存在してしまう。
これに対し、本実施の形態においては、デジタル署名が完了したことによりICカードに記憶された秘密鍵が不要になった時点で、画像形成装置20がICカードのユーザー確認状態を確認済み状態から未確認状態に設定変更する。本実施の形態によれば、図4Bに示したようにログアウトされるのを待たずにデジタル署名完了(秘密鍵処理終了)時点でICカードの確認済み状態を未確認状態にリセットするようにしたので、不正利用が可能な期間を消失することができる。
なお、PIN入力されてからデジタル署名が完了するまでの間、認証されたユーザーが画像形成装置20から離れることで、例えば実行中のデータ処理のキャンセル、データ処理キャンセル後に他のデータ処理の不正実行、またICカードの持ち逃げ等の不正が行われる可能性がある。しかしながら、このような不正行為は、アウトプット(署名付き電子文書)が不完全であることなどによって不正利用を容易に発見することができる。
以上では、データ処理として、署名付き電子文書生成処理を実施した場合の例を示した。続いて、他の例として、暗号化された電子文書を復号して印刷するというデータ処理について説明するが、この処理においても同様に、不正利用を極力回避することができる。この処理について上記と同じく図3に示したフローチャートを用いて説明する。なお、同じ処理は適宜省略して説明する。ここで、電子文書は、ユーザー端末装置14などで、乱数により生成したデータ暗号鍵で電子文書を暗号化し、そのデータ暗号化鍵をユーザーの公開鍵を使って暗号化した暗号化されたデータ暗号鍵と共に暗号化文書となる。この暗号化文書は、当該ユーザーの秘密鍵によってのみ復号化することができる。
ユーザー認証後(ステップ110)、認証されたユーザーが保有している暗号化文書を印刷したいとする。この場合、ユーザーは、印刷対象の暗号化文書を、操作パネル3に表示された所定の操作画面から指示し、プリントボタンを押下する。なお、この押下操作によって、ユーザーは、画像形成装置20によるデータ処理が終了するまで、画像形成装置20の前で待っている必要がないので、上記例の同様に画像形成装置20から離れるものとする。
プリントボタンの押下により、画像形成装置20におけるデータ処理部22は、印刷処理を開始する。この例における秘密鍵処理は電子文書の復号に相当する。従って、復号処理部27は、暗号化文書に付加されている暗号化されたデータ暗号鍵を、秘密鍵を用いて復号する。但し、本実施の形態では、ICカードから秘密鍵を読み出せないので、復号処理部27は、暗号化されたデータ暗号鍵をICカードへ送って復号を依頼する。ICカードでは、送られてきたデータ暗号鍵を内部で保持する秘密鍵を用いて復号し、その復号により得られるデータ復号鍵を復号処理部27へ返す。データ処理部22は、送られてきたデータ復号鍵を用いて暗号化文書を復号することで平文を生成して、プリンタエンジン6を動作させて印刷する。なお、この印刷は、その都度行わなくても全ての暗号化文書が平文に復号されるのを待ってまとめて行うようにしてもよい。
この例では、暗号鍵の復号のために秘密鍵は1回だけ利用されることになるが、秘密鍵処理完了検知部23が暗号鍵の復号完了を検知すると(ステップ130でY)、ユーザー確認状態リセット部24は、ユーザー認証に伴い設定されたICカードにおける当該ユーザーの確認済み状態を未確認状態にリセットする(ステップ140)。そして、抜取り許可通知部25は、秘密鍵処理が完了したことによってICカードが取り外せる旨を認証されているユーザーに通知する(ステップ150)。
なお、上記例におけるデジタル署名は、各ページに対して行う必要があるため秘密鍵処理の完了に相対的に長い時間要するのに対し、この例における秘密鍵を用いた復号は、1回だけ実施されればよいため相対的に早いうちに(ユーザーが画像形成装置20から離れる前に)完了する可能性が高い。従って、ステップ150における通知は、遠隔地にいるユーザーへの通知に好適な電子メールを用いるよりも操作パネル3に表示することが好適である。
本実施の形態によれば、ICカードに記憶された秘密鍵を用いた処理が完了した時点で、ユーザー認証に伴いICカードに設定された当該ユーザーの確認済み状態を未確認状態に変更するようにしたので、画像形成装置20にICカードが残された状態においてもICカードに記憶された秘密鍵の不正利用を、より確実に防止することができる。
なお、本実施の形態では、画像形成装置20がICカードのユーザー確認状態を未確認状態にリセットすることによって秘密鍵の不正利用を防止するようにした。ただ、秘密鍵処理の完了を通知することだけによっても、画像形成装置20からICカードが抜去可能であることを当該ユーザーに即座に知らせることができる。これにより、当該ユーザーは、最適なタイミングで画像形成装置20に戻ることができるので、秘密鍵処理完了の通知手段を設けていない従来と比較して、秘密鍵の不正利用の防止効果を奏することができる。
実施の形態2.
図5は、本実施の形態における画像形成装置20のブロック構成図である。なお、本実施の形態の説明に必要でない構成要素については図から省略した。画像形成装置20は、実施の形態1と同じユーザー認証部21、秘密鍵処理完了検知部23及び抜取り許可通知部25に加えて、ジョブ実行部31、ジョブ管理部32及び表示制御部33を有している。ジョブ実行部31は、上記実施の形態1と同様の構成要素であるが、ここでは実行するデータ処理をジョブとして実行することを明確にするためにジョブ実行部とした。ジョブ実行部31により実行されるジョブにおいて秘密鍵処理は実行される。ジョブ管理部32は、ジョブ実行部31におけるジョブの実行管理を行うが、ジョブ実行部31による秘密鍵処理を含むジョブの実行が開始された時点で新たなジョブの実行を禁止する手段として、ジョブ起動禁止設定部35及び表示切替指示部36を有している。このうち、ジョブ起動禁止設定部35は、秘密鍵処理を含むジョブの実行が開始された時点で、ジョブ起動要求があった場合でも新たなジョブを起動しない起動禁止モードに設定する。この起動禁止モードの設定の有無は、例えばフラグ情報として内部に保持しておけばよい。ジョブ管理部32は、この起動禁止モードの設定に応じてジョブの起動制御を行う。また、表示切替指示部36は、秘密鍵処理を含むジョブの実行が開始された時点で、操作パネル3の表示を不正操作防止用画面に切り替えるよう表示制御部33に指示する。表示制御部33は、操作パネル3の表示制御を行うが、前述したように、表示切替指示部36からの指示に応じて不正操作防止用画面を操作パネル3に表示する。
画像形成装置20における各構成要素21,25,31〜33は、画像形成装置20に搭載されたコンピュータと、コンピュータに搭載されたCPU1で動作するプログラムとの協調動作により実現される。
また、本実施の形態で用いるプログラムは、通信手段により提供することはもちろん、CD−ROMやDVD−ROM等のコンピュータ読み取り可能な記録媒体に格納して提供することも可能である。通信手段や記録媒体から提供されたプログラムはコンピュータにインストールされ、コンピュータのCPU1がインストールプログラムを順次実行することで各種処理が実現される。
次に、本実施の形態における秘密鍵処理を含むジョブの実行手順について図6に示したフローチャートを用いて説明する。なお、実施の形態1と同じ処理内容には同じステップ番号を付け、適宜説明を省略する。
ユーザーが所有するICカードをICカードリーダー10に差し込んだ後、操作パネル3に表示されたログイン画面からPINを入力すると、ユーザー認証部21は、このユーザー操作に応じてユーザー認証を行う(ステップ110)。ここで、認証されたユーザーがスキャン文書にデジタル署名を付加していずれかのユーザーに送信したいとする。この場合、ユーザーは、原稿文書のスキャンとデジタル署名を操作パネル3の所定の操作画面から指示し、原稿文書をスキャナ4にセットした後スタートボタンを押下する。
スタートボタンの押下により、画像形成装置20におけるジョブ管理部32は、ジョブの実行をジョブ実行部31に指示する(ステップ210)。ジョブ実行部31は、この指示に応じてジョブを開始する。このジョブでは、原稿文書をスキャナ4により読み取ることで、デジタル署名が付加されるスキャン画像を生成する。
以上のようにして、ジョブの実行が開始されると、ジョブ起動禁止設定部35は、起動禁止モードに設定する(ステップ220)。また、表示制御部33は、表示切替指示部36からの指示に応じて操作パネル3の表示を不正操作防止用画面に切替表示する(ステップ230)。
その後、秘密鍵処理完了検知部23は、実行中のジョブにおいてデジタル署名が完了するまで常時監視している(ステップ130でN)。そして、秘密鍵処理完了検知部23が最後のスキャン画像(ページ)に対して付加するデジタル署名の生成が終了したことにより秘密鍵処理が完了したことを検知すると(ステップ130でY)、抜取り許可通知部25は、秘密鍵処理が完了したことによってICカードが抜き取れる旨を、認証されているユーザーに通知する(ステップ150)。
本実施の形態においては、以上説明したようにジョブを実行するが、ログアウトされる前に新たなジョブの起動要求があると、ジョブ管理部32は、起動禁止モードに設定されていることを認識してジョブを新たに実行しない。
図4Cは、本実施の形態においてユーザー操作またはデータ処理に伴い発生するイベントと、画像形成装置20が制御するICカードのユーザー確認状態と、第三者により不正利用される可能性のある期間(不正可能期間)との関係を概念的に示した図であるが、ここで、この図4Cを用いて前述した処理の流れに沿って画像形成装置20が制御するICカードのユーザー確認状態について確認する。
ユーザーがICカードリーダー10にICカードを挿着し、PINを入力することによってユーザー認証されると、この時点でICカードは当該ユーザーの確認済み状態になることは前述したとおりである。そして、ジョブが開始されると、上記のようにジョブ起動禁止モードに設定され、またこれと同時に不正操作防止用画面が表示される。なお、本実施の形態におけるジョブでは、実行開始と共に原稿文書のスキャンが開始されることから、図4Cにおいては、図4A,Bとの比較の関係上、ジョブの実行開始を「スキャン開始」と記述した。そして、ICカードの抜去による自動ログアウトに応じて画像形成装置20はICカードのユーザー確認状態を確認済み状態から未確認状態に設定変更する。なお、実施の形態1と組み合わせてデジタル署名が完了したことによりICカードに記憶された秘密鍵が不要になった時点で、画像形成装置20がICカードのユーザー確認状態を未確認状態にリセットするようにしてもよいが、ここでは、本実施の形態の特徴が明確になるように組み合わせない構成とした。
まず、図4Cから明らかなように、本実施の形態では、ジョブ開始時点で新たなジョブが起動できないように設定した。従って、第三者が新たなジョブを起動してICカードリーダー10に挿着されたICカードを不正利用しようとしても、これを未然に防止することができる。
また、本実施の形態では、ジョブの起動禁止と合わせて操作パネル3の表示を不正操作防止用画面に切り替えるようにした。この不正操作防止用画面というのは、操作パネル3の表示を見た第三者に、画像形成装置20が今現在、新たなジョブが起動できない状態であると勘違いさせるような表示画面である。例えば、画像形成装置20がユーザー未認証状態やICカードのユーザー確認状態が未確認状態であると勘違いさせるために、ログアウトしている状態を示すログアウト画面あるいはPIN入力画面等を画面表示する。あるいは入力操作ボタンのない画面でもよい。更に操作パネル3に何も表示されていない状態や操作を何ら受け付けないようにしてもよい。このように、カモフラージュ的な画面を操作パネル3に表示することによって新たなジョブの起動を阻止する。
上記実施の形態1では、不正利用が可能な期間を消失することで、第三者による不正利用を防止するようにした。本実施の形態では、不正可能期間を消失するのではなく、新たなジョブの起動を阻止する手段を設けて不正可能期間において不正利用させないようにしたことを特徴としている。
なお、上記各実施の形態においては、説明の便宜上、指示されたデータ処理(またはジョブ)に秘密鍵処理が含まれており、また秘密鍵を1回若しくは一連の利用のみであることを前提としたが、指示された処理(またはジョブ)に秘密鍵処理が含まれているか否か、また秘密鍵処理が完了したか否かは、データ処理(またはジョブ)の指示内容等から事前に認識できるようにしておく。
また、本実施の形態では、情報処理装置として画像形成装置20を用い、ICカードに記憶された秘密鍵をデジタル署名や暗号化文書の印刷に利用する場合を例にして説明した。ただ、本発明は、汎用的なコンピュータや上記説明した画像形成装置20のようなコンピュータ搭載のデバイスにも適用でき、情報処理装置として画像形成装置20に限定されるものではない。また、実行する処理内容や情報処理装置の構成によって、前述した実施の形態1,2を組み合わせて適用することも可能である。
本発明に係る情報処理装置の一実施の形態である画像形成装置のハードウェア構成図である。 実施の形態1における画像形成装置のブロック構成図である。 実施の形態1における秘密鍵処理を含むデータ処理を示したフローチャートである。 従来において、ICカードを所有するユーザーの画像形成装置に対するICカードのユーザー確認状態と、第三者により不正利用される可能性のある期間とを概念的に示した図である。 実施の形態1において、ICカードを所有するユーザーの画像形成装置に対するICカードのユーザー確認状態と、第三者により不正利用される可能性のある期間とを概念的に示した図である。 実施の形態2において、ICカードを所有するユーザーの画像形成装置に対するICカードのユーザー確認状態と、第三者により不正利用される可能性のある期間とを概念的に示した図である。 実施の形態2における画像形成装置のブロック構成図である。 実施の形態2における秘密鍵処理を含むジョブを実行するときの処理を示したフローチャートである。
符号の説明
1 CPU、2 アドレスデータバス、3 操作パネル、4 スキャナ、5 ハードディスクドライブ(HDD)、6 プリンタエンジン、7 ネットワークインタフェース(I/F)、8 RAM、9 ROM、10 ICカードリーダー、12 ネットワーク、14 ユーザー端末装置、20 画像形成装置、21 ユーザー認証部、22 データ処理部、23 秘密鍵処理完了検知部、24 ユーザー確認状態リセット部、25 許可通知部、26 デジタル署名処理部、27 復号処理部、31 ジョブ実行部、32 ジョブ管理部、33 表示制御部、35 ジョブ起動禁止設定部、36 表示切替指示部。

Claims (4)

  1. ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行うことで、当該ユーザーによる装置の利用を可能とする確認済み状態に設定するユーザー認証手段と、
    前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むジョブを実行するジョブ実行手段と、
    前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、新たなジョブの実行を禁止するジョブ実行禁止手段と、
    ユーザーインタフェース手段と、
    を有し、
    前記ジョブ実行禁止手段は、前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、前記ユーザーインタフェース手段への表示を不正操作防止用画面に切り替える表示切替指示部を有することを特徴とする情報処理装置。
  2. 請求項記載の情報処理装置において、
    前記ジョブ実行禁止手段は、前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、新たなジョブの起動を阻止することを特徴とする情報処理装置。
  3. 請求項1又は2に記載の情報処理装置において、
    前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、ジョブ実行開始を当該ユーザーに通知する通知手段を有することを特徴とする情報処理装置。
  4. コンピュータ
    ユーザー認証に用いられる認証媒体であって当該ユーザーの個人識別情報、秘密鍵及びその秘密鍵を利用したソフトウェアを記憶すると共に当該ソフトウェアを実行するプロセッサを搭載した認証媒体が挿着された状態でユーザー認証を行うことで、当該ユーザーによる前記コンピュータの利用を可能とする確認済み状態に設定するユーザー認証手段
    前記認証媒体に記憶された秘密鍵を利用した秘密鍵処理を含むジョブを実行するジョブ実行手段
    前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、新たなジョブの実行を禁止するジョブ実行禁止手段、
    ユーザーインタフェース手段、
    として機能させ、
    前記ジョブ実行禁止手段は、前記ジョブ実行手段による秘密鍵処理を含むジョブの実行が開始されたことに基づいて、前記ユーザーインタフェース手段への表示を不正操作防止用画面に切り替えることを特徴とする情報処理プログラム。
JP2007104164A 2007-04-11 2007-04-11 情報処理装置及び情報処理プログラム Active JP4946582B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007104164A JP4946582B2 (ja) 2007-04-11 2007-04-11 情報処理装置及び情報処理プログラム
US12/054,642 US8302184B2 (en) 2007-04-11 2008-03-25 Information processing apparatus, information processing method and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007104164A JP4946582B2 (ja) 2007-04-11 2007-04-11 情報処理装置及び情報処理プログラム

Publications (2)

Publication Number Publication Date
JP2008262363A JP2008262363A (ja) 2008-10-30
JP4946582B2 true JP4946582B2 (ja) 2012-06-06

Family

ID=39855000

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007104164A Active JP4946582B2 (ja) 2007-04-11 2007-04-11 情報処理装置及び情報処理プログラム

Country Status (2)

Country Link
US (1) US8302184B2 (ja)
JP (1) JP4946582B2 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5084372B2 (ja) * 2007-07-03 2012-11-28 キヤノン株式会社 データ処理装置およびデータ処理装置の制御方法
JP4645688B2 (ja) * 2008-06-16 2011-03-09 コニカミノルタビジネステクノロジーズ株式会社 画像処理装置、認証方法および認証プログラム
JP4687781B2 (ja) * 2008-12-15 2011-05-25 コニカミノルタビジネステクノロジーズ株式会社 画像データ送信方法、画像処理装置、およびコンピュータプログラム
JP5329249B2 (ja) * 2009-02-04 2013-10-30 京セラドキュメントソリューションズ株式会社 画像形成システム
US8613087B2 (en) 2010-12-06 2013-12-17 Samsung Electronics Co., Ltd. Computing system
US10447673B2 (en) 2013-08-05 2019-10-15 Sony Corporation Information processing apparatus, information processing method, and computer program
JP2015115634A (ja) * 2013-12-09 2015-06-22 ソニー株式会社 情報処理装置、情報処理方法及びコンピュータプログラム
EP3048776B2 (en) * 2015-01-22 2021-03-17 Nxp B.V. Methods for managing content, computer program products and secure element
US20210050997A1 (en) * 2018-02-06 2021-02-18 Sony Corporation Information processing apparatus, information processing method, program, and information processing system

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3916293B2 (ja) * 1997-04-28 2007-05-16 株式会社東芝 複合型画像形成装置
WO2001082092A1 (en) * 2000-04-20 2001-11-01 Securenet Limited Secure system access
US20020053028A1 (en) * 2000-10-24 2002-05-02 Davis Steven B. Process and apparatus for improving the security of digital signatures and public key infrastructures for real-world applications
JP4558967B2 (ja) 2001-03-01 2010-10-06 パナソニックシステムネットワークス株式会社 暗号化メール配信システム及びメールサーバ装置
US7783765B2 (en) * 2001-12-12 2010-08-24 Hildebrand Hal S System and method for providing distributed access control to secured documents
JP3616601B2 (ja) 2002-01-30 2005-02-02 京セラミタ株式会社 文書の電子署名可能な画像形成装置、データ処理装置及び文書の電子署名システム
JP2004347630A (ja) * 2003-05-19 2004-12-09 Ricoh Co Ltd デジタル複合機
JP2006134141A (ja) * 2004-11-08 2006-05-25 Canon Inc Icカードを用いた印刷データのプログラマブル復号方法
JP2006262408A (ja) * 2005-03-18 2006-09-28 Canon Inc 電子署名システム及びその構成要素並びにそれらにおいて実行される方法及びコンピュータプログラム
US20070074033A1 (en) * 2005-09-29 2007-03-29 Research In Motion Limited Account management in a system and method for providing code signing services
WO2007099481A1 (en) * 2006-03-03 2007-09-07 Koninklijke Philips Electronics N.V. Recording broadcast digital content in a privacy preserving way

Also Published As

Publication number Publication date
US20080256626A1 (en) 2008-10-16
JP2008262363A (ja) 2008-10-30
US8302184B2 (en) 2012-10-30

Similar Documents

Publication Publication Date Title
JP4946582B2 (ja) 情報処理装置及び情報処理プログラム
JP4655452B2 (ja) 情報処理装置
US8402277B2 (en) Secure mailbox printing system with authentication on both host and device
US20080013727A1 (en) Image processing apparatus and image processing method
JP5642562B2 (ja) 画像形成装置、画像形成処理方法およびそのプログラムが記録されているコンピュータ読取可能な記録媒体
JP2009053808A (ja) 画像形成装置と認証情報管理方法およびプログラム
US20140063534A1 (en) Printing system for improving reliability of temporary authentication in image forming apparatus, and authentication method
JP2007038674A (ja) 機密保持機能を有する画像形成方法及び機密保持機能を有する画像形成装置
JP2006224029A (ja) シュレッダー装置およびシュレッダーシステム
US10356072B2 (en) Data process system, data process apparatus, and data protection method
JP2007087026A (ja) 情報処理装置
US20110026066A1 (en) Image processing apparatus, encrypted job execution method thereof, and recording medium
WO2002021824A1 (fr) Unite de traitement d'image et support d'enregistrement
JP5135239B2 (ja) 画像形成システムおよびサーバ装置
JP4737038B2 (ja) 画像処理装置およびプログラム
JP2008093903A (ja) 画像情報処理システム及び画像情報処理方法
JP2010218154A (ja) ファイル保護装置、ファイル保護方法、ファイル保護プログラム及び記録媒体
JP2004355244A (ja) 画像形成装置
JP5575633B2 (ja) 画像形成システム
JP2011018973A (ja) 印刷装置、印刷制御方法、および排出制御プログラム
JP2008003782A (ja) 認証装置および端末装置のプログラムおよび画像形成装置および端末装置の制御方法および画像形成装置の制御方法
JP2006229854A (ja) 情報処理装置,ユーザ認証プログラム及びそのプログラムを記録したコンピュータ読取り可能な記録媒体
JP4443126B2 (ja) 情報処理装置
JP2010103738A (ja) 画像形成装置
JP5135986B2 (ja) 情報処理装置及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100312

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111213

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111214

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120119

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120207

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120220

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150316

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4946582

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350