JP2004152263A - ドキュメント印刷装置 - Google Patents

ドキュメント印刷装置 Download PDF

Info

Publication number
JP2004152263A
JP2004152263A JP2003314468A JP2003314468A JP2004152263A JP 2004152263 A JP2004152263 A JP 2004152263A JP 2003314468 A JP2003314468 A JP 2003314468A JP 2003314468 A JP2003314468 A JP 2003314468A JP 2004152263 A JP2004152263 A JP 2004152263A
Authority
JP
Japan
Prior art keywords
document
printing
user
security
print
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003314468A
Other languages
English (en)
Inventor
Yoichi Kanai
洋一 金井
Atsuhisa Saito
敦久 斉藤
Masuyoshi Yanaida
益義 谷内田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2003314468A priority Critical patent/JP2004152263A/ja
Priority to US10/661,650 priority patent/US20040125402A1/en
Publication of JP2004152263A publication Critical patent/JP2004152263A/ja
Priority to US12/405,101 priority patent/US20090185223A1/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Accessory Devices And Overall Control Thereof (AREA)
  • Document Processing Apparatus (AREA)

Abstract

【課題】 文書印刷のセキュリティ設定に関して、機器のセキュリティに関する知識が必要である、一つ一つの機器にセキュリティを設定する必要がある、全体のセキュリティ状態が把握できない、実際の文書のセキュリティが守られているかが実感できない、などの問題を解決することを目的とする。
【解決手段】 ドキュメントファイルの印刷を行うユーザの属性を取得する手段と、上記ドキュメントファイルの属性を取得する手段と、取得した上記ユーザおよび上記ドキュメントファイルの属性に基づき、印刷許否および印刷要件を規定したセキュリティポリシーを検索して印刷要件を取得する手段と、取得した上記印刷要件を印刷時に強制する手段とを備えるドキュメント印刷装置により構成される。
【選択図】 図1

Description

本発明は、文書に関するセキュリティポリシーに基づき印刷を行うドキュメント印刷装置に関する。
オフィスに代表されるような文書(ドキュメント)を扱うフィールドでは、その文書のセキュリティをコントロールしたいという要望は常に存在する。現実に多くの企業では文書管理規定などを設け、セキュリティをコントロールしようとしている。しかし、実際のオフィスシステムにおけるセキュリティの確保については、文書についてのセキュリティではなく、オフィスシステムを構成するさまざまな機器に関して、個別にセキュリティ設定を行う必要がある。文書に関するセキュリティポリシーに基づいて印刷を行う方法に関する従来技術としては、以下のものが挙げられる。
特許文献1では、データファイルへのアクセスに対応するポリシー、その評価を行う手段に加えて、ポリシーに条件が記述してあって、その条件をクリアにするための執行手段がある場合にはそれを執行することで評価を行うアクセス制御システムの技術が開示されている。
特許文献2では、ポリシー、システム、制御手段から構成されていて、それぞれの組み合わせを登録してあるデータベースから制御手段を抽出して、システムをポリシーにあうように制御する手段、その状態を監査する手段を有するセキュリティ管理システムの技術が開示されている。
特開2001−184264号公報 特開2001−273388号公報
オフィスシステムを構成するさまざまな機器に関して、個別にセキュリティの設定を行う方法では、さまざまな機器のセキュリティに関する知識が必要であり、すべての機器にセキュリティを一つ一つ設定する必要がある上、全体がどのようなセキュリティ状態になっているのかが把握しにくく、個々の機器の設定ができていても、実際に文書のセキュリティが守られていることが実感できないなどの問題がある。
特許文献1に開示されている技術は、データファイルへのアクセス制御システムであって、アクセス後のデータの処理、特に印刷などには言及されていない。
また、特許文献2に開示されている技術において、そして、システムをポリシーにあうように制御する手段を監査する手段では、システムに対して登録された制御手段で制御するだけであり、実現の自由度が低いという問題がある。
本発明は、上記事情に鑑みてなされたものであり、文書印刷のセキュリティ設定に関して、機器のセキュリティに関する知識が必要である、一つ一つの機器にセキュリティを設定する必要がある、全体のセキュリティ状態が把握できない、実際の文書のセキュリティが守られているかが実感できない、などの問題を解決することを目的とする。
上記の目的を達成するため、本発明のドキュメント印刷装置は、ドキュメントファイルの印刷を行うユーザの属性を取得する手段と、上記ドキュメントファイルの属性を取得する手段と、取得した上記ユーザおよび上記ドキュメントファイルの属性に基づき、印刷許否および印刷要件を規定したセキュリティポリシーを検索して印刷要件を取得する手段と、取得した上記印刷要件を印刷時に強制する手段とを備えるようにしている。
これにより、印刷時におけるセキュリティ対策を強制することができる。
また、上記セキュリティポリシーを上記ドキュメント印刷装置内部に有するものとすることができる。これにより、ドキュメント印刷装置と一体にセキュリティポリシーを管理することができる。
また、サーバ上に配置した上記セキュリティポリシーを参照するようにすることができる。これにより、多数のドキュメント印刷装置が設置された環境においてもセキュリティポリシーを一元的に管理することができる。
また、上記セキュリティポリシーを参照し、上記ドキュメントファイルの印刷処理を実行するドキュメント印刷プログラムを備えるようにすることができる。これにより、印刷時のセキュリティーに関する処理を一括に行わせることができる。
本発明によれば、文書印刷のセキュリティ設定に関して、機器のセキュリティに関する知識は不必要となり、一つ一つの機器にセキュリティを設定する必要をなくすことができる。
また、全体のセキュリティ状態を把握することができ、実際の文書のセキュリティが守られているかを実感することができる。
以下、本発明の実施の形態を添付図面を参照しながら詳細に説明する。
なお、以下の説明では「プリンタ」という用語を用いているが、これは狭義のプリンタ専用機に限らず、コピー、ファクシミリ、これらの複合・融合された機器等、すなわち印刷機能を有するあらゆる機器を意味するものである。
〔第1の実施形態〕
図1は本発明を好適に実施した第1の実施形態にかかるプリンタの内部構成を示す図である。
図1において、プリンタ1は、電子的に記述されたセキュリティポリシー2と、印刷処理を実行する印刷部3と、ドキュメントの印刷を要求したユーザの属性(カテゴリ、セキュリティレベル)を取得するユーザ属性取得部4と、印刷対象ドキュメントの属性(カテゴリ、セキュリティレベル)を取得する文書属性取得部5とを含んでいる。印刷指示部6はユーザの要求に基づいて印刷指示を行うとともに、ユーザおよびドキュメントの属性をプリンタ1に通知する部分である。
セキュリティポリシー2は、例えば図2に示すような文書で表現されたものを電子的に記述したものである。
図3はXML(eXtensible Markup Language)により記述したセキュリティポリシー2の例を示したものである。
図3に示したセキュリティポリシー2は、前半において、ドキュメントのカテゴリに関わりなく(<doc_category>ANY</doc_category>)、ドキュメントのセキュリティレベルがbasicの時は(<doc_security_level>basic</doc_security_level>)、ユーザのカテゴリにかかわりなく(<user_category>ANY</user_category>)、ユーザのセキュリティレベルに関わりなく(<user_security_level>basic</user_security_level>)、印刷は要件なく許可する(<name>print</name><allowed/>)、という条件を表している。
また、後半において、ドキュメントのカテゴリにかかわりなく(<doc_category>ANY</doc_category>)、ドキュメントのセキュリティレベルがhighのときは(<doc_security_level>high</doc_security_level>)、ユーザのカテゴリがドキュメントのカテゴリと同じで(<user_category>DOC-CATEGORY</user_category>)、ユーザのセキュリティレベルに関わりなく(<user_security_level>basic</user_security_level>)、印刷は、ログを記録することと、追跡可能な情報を埋め込むことの要件を満たすときに許可する(<name>print</name><requirement>audit</requirement><requirement>embed_trace_info</requirement>)、という条件を表している。
以下、図1に基づいて第1の実施形態の動作を説明する。
印刷にあたり、ユーザの要求に基づいて印刷指示部6からプリンタ1にドキュメントの印刷指示が出されると、ユーザ属性取得部4は印刷指示部6からユーザのカテゴリ、セキュリティレベルを取得し、印刷部3に通知する。文書属性取得部5は印刷指示部6からドキュメントのカテゴリ、セキュリティレベルを取得し、印刷部3に通知する。そして、印刷部3はユーザ属性取得部4と文書属性取得部5とから与えられたユーザおよびドキュメントのカテゴリとセキュリティレベルとからセキュリティポリシー2の対応するエントリを検索し、印刷時に強制する要件(印刷要件)を抽出する。
図3に示したセキュリティポリシー2に基づくならば、例えばセキュリティレベルが「basic」のドキュメントを印刷しようとしていれば、要件はない。例えばセキュリティレベルが「high」のドキュメントを印刷しようとしていれば、要件として「ログを記録すること」と「追跡可能な情報を埋め込むこと」が要件となる。
要件がない場合、印刷部3はドキュメントの印刷を行って終了する。例えば上記の例でセキュリティレベルが「basic」の場合に該当する。要件がある場合、印刷部3はその要件をすべて満たすことができるかを判定する。すべての要件を満たすことができない場合は、ユーザに通知をして、印刷をせずに終了する。すべての要件を満たすことができる場合は、その要件を満たして印刷を行い終了する。例えば上記の例でセキュリティレベルが「high」の場合に該当する。すなわち、ログを記録し、追跡可能な情報の埋め込み(電子透かし、バーコードの追加など)を行って、印刷を行い終了する。
印刷要件には、電子透かしやバーコードの追加、通常とは異なる紙への印刷、ログを記録する等がある。例えば、電子透かしは、一般には音楽や画像などのデジタルデータに著作物に関する情報等を埋め込む場合に用いられる技術である。バーコードと同様、電子透かしを用いて、ドキュメントへ情報を埋め込むことができる。通常とは異なる紙とは、通常時に印刷する白紙の用紙ではない、特別な紙のことである。つまり、通常の白紙と区別をつけることができる紙であって、例えば色紙などがある。
以上の動作によって、予め定めたセキュリティポリシー2に基づく印刷要件をドキュメントの印刷時において自動的に強制することができる。この場合、文書印刷のセキュリティ設定に関して、機器のセキュリティに関する知識は不必要である。一つ一つの機器にセキュリティを設定する必要もない。さらに、全体のセキュリティ状態を把握させることができ、実際の文書のセキュリティが守られていることをユーザに実感させることができる。
〔第2の実施形態〕
図4は本発明を好適に実施した第2の実施形態にかかるドキュメント保護・印刷システムの構成を示す図である。
本実施形態にかかるドキュメント保護・印刷システムは、配布者端末401、ユーザ端末402、プリンタ403およびアクセスコントロールサーバ404を有する。
配布者端末401およびユーザ端末402は、表示装置(例えば、LCD)、入力装置(例えば、キーボード)、外部記録装置(例えば、FDD、HDD)などを備えたコンピュータ端末を適用できる。なお、配布者端末401にはドキュメント保護プログラム411が、プリンタ403にはドキュメント印刷プログラム421がそれぞれ実装されている。
ドキュメント保護プログラム411は、ドキュメントファイルに配布者端末401の使用者(配布者)の入力操作に応じた処理要件を設定するとともに、暗号化アルゴリズム(RC4、Triple DES、IDEAなど)を用いてドキュメントファイルを暗号化し、保護ドキュメントを生成する処理を行うプログラムである。図5はドキュメント保護プログラム411の構成例を示したものであり、暗号化部411aと暗号鍵取得部411bと属性付与部411cと属性登録部411dとを含んでいる。各部の機能については後の動作において説明する。
ドキュメント印刷プログラム421は、ユーザ端末402の使用者(ユーザ)からの印刷要求時に、保護ドキュメントを復号するとともに設定されている印刷要件に応じた印刷処理をプリンタ403に実行させる処理を行うプログラムである。図6はドキュメント印刷プログラム421を有したプリンタ403の構成例を示したものであり、ドキュメント印刷プログラム421は復号部421aと復号鍵取得部421bと印刷要件取得部421cと印刷処理部421dとを含んでおり、プリントエンジン403aに印刷データを渡すようになっている。また、図7は図6における印刷処理部421dの構成例を示したものであり、要件処理部421eとドキュメント加工部421fとプリンタドライバ421gと警告表示部421hとログ記録部421iとを含んでいる。各部の機能については後の動作において説明する。
図4に戻り、アクセスコントロールサーバ404は、ユーザがドキュメントを印刷しようとする場合に、プリンタ403内のドキュメント印刷プログラム421からの要求に応じて自身が記録保持しているセキュリティポリシー444を参照し、ドキュメントを印刷する権限があるか否か、印刷要件がどのように設定されているかを取得するサーバである。図8はアクセスコントロールサーバ404の構成例を示したものであり、属性DB登録部404aとユーザ認証部404bとアクセス権限確認部404cと印刷要件取得送付部404dとを含んでいる。各部の機能については後の動作において説明する。
なお、配布者の入力操作に応じてドキュメント保護プログラム411がドキュメントファイルに設定する印刷要件の例としては、地紋印刷(Background Dot Pattern:以下、BDPという)、機密印刷(Private Access:以下、PACという)、電子透かし(Digital Watermark:以下、DWMという)の付加、バーコード付加(Embedding Barcode:以下、EBCという)、機密ラベルスタンプ(Security Label Stamp:以下、SLSという)などが挙げられる。
図9に、アクセスコントロールサーバ404に登録されるセキュリティポリシー444の例を示す。組織におけるセキュリティポリシーは、ドキュメントに対して機密レベル(Sensitivity)および分野(Category)を設定した上で、ドキュメントに対するアクセスを許可するユーザの階級(Level)や部門(Category)およびその印刷要件を設定したものである。図9では、例えば、カテゴリが「技術(Technical)」で機密レベルが「マル秘(Secret)」のドキュメントファイルは、カテゴリが「技術(Technical)」で階級が「中(Medium)」又は「上(High)」のユーザに対して、閲覧は許可するがRADを要件とすること、印刷を許可するがPACとBDPとEBCとRADとを要件とすること、および、ハードコピーは許可しないことが規定されている。
アクセスコントロールサーバ404は、セキュリティポリシー444のデータをどのような形で記録保持していても構わない。なお、XMLを用いれば、図10に示すように、簡単に記述できる。
図4に戻り、アクセスコントロールサーバ404には、ユーザ各人の認証用の情報(ユーザ名とパスワードとの組)が格納されたユーザデータベース441と、各保護ドキュメントにどのようなセキュリティ属性が設定されているかを示す情報およびその保護ドキュメントを復号するための暗号鍵が関連付けられて登録されるセキュリティ属性データベース443とが接続されている。
図11に、ユーザデータベース441に登録される情報の例を示す。
図11においてはユーザごとにカテゴリと階級とを別々の属性として管理する構造としているが、たとえば、Windows(R)Domainのユーザ管理機構を利用してユーザを管理するような場合には、グループアカウントとしてTechnical_Mediumのようなものを生成し、Ichiroというユーザをそのグループに所属させるようにしてもよい。所属グループの命名規則をこのように設定しておくことで、カテゴリと階級とを管理することが可能となる。
次に、本実施形態にかかるドキュメント保護・印刷システムの動作について説明する。最初に、システム全体の動作について説明する。
配布者は、配布者端末401を操作してこれにドキュメントファイルを実装しておく。例えば、入力装置を用いて配布者がドキュメントファイルを作成してもよいし、外部記録装置を用いて情報記録媒体に記録されたドキュメントファイルを読み取らせても良い。
ドキュメントファイルにセキュリティを設定する場合、配布者は配布者端末401の入力装置を操作してドキュメントファイルをドキュメント保護プログラム411に受け渡す。ドキュメントファイルを取得したドキュメント保護プログラム411は、セキュリティ属性の設定を配布者に要求する。例えば、ドキュメント保護プログラム411は、配布者端末401の表示装置にメッセージを表示するなどして、セキュリティ属性の設定を要求する。図12はセキュリティ属性の設定を要求する画面の例を示したものであり、文書カテゴリ(技術関連、人事関連等)および機密レベル(極秘、秘、社外秘、公開等)の設定がプルダウンメニュー等から選択することにより行えるようになっている。なお、図12の画面では保護するドキュメントファイルを指定することもできるようになっている。なお、ここでのセキュリティ属性とは、保護しようとするドキュメントがセキュリティ属性データベース443に登録されているセキュリティ属性のうちのいずれに該当するかを示す情報である。
配布者が配布者端末401の入力装置を介してドキュメントファイルにセキュリティ属性を設定すると、ドキュメント保護プログラム411はこれを取得する。
セキュリティ属性を取得したドキュメント保護プログラム411は、ドキュメントファイルごとに固有のドキュメントIDを生成し、復号に使用する暗号鍵とセキュリティ属性とをこれに関連付けてアクセスコントロールサーバ404へ送信し、登録する。
また、ドキュメント保護プログラム411は、暗号鍵を用いて暗号化したドキュメントファイルに対してドキュメントIDを付加して保護ドキュメントを生成する。
配布者は、ドキュメント保護プログラム411が生成した保護ドキュメントをユーザに受け渡す。
ユーザがドキュメントを印刷しようとする場合には、ユーザ端末402に保護ドキュメントを実装する。例えば、情報記録媒体に記録された保護ドキュメントを外部記録装置を用いてユーザ端末402に読み取らせても良いし、ユーザ端末402が配布者端末401と通信可能である場合には、通信網を介して配布者端末401から保護ドキュメントを取得するようにしてもよい。
ユーザが、ユーザ端末402の入力装置を介してプリンタ403に対して印刷を指示すると、プリンタ403内のドキュメント印刷プログラム421は、ユーザを認証するために必要となるユーザ名とパスワードの入力をユーザ端末402を介してユーザに要求する。例えば、ドキュメント印刷プログラム421は、ユーザ端末402の表示装置にメッセージを表示するなどして、ユーザ名とパスワードの入力を要求する。図13はユーザ名(ユーザID)とパスワードを要求する画面の例を示したものであり、キーボード等によって入力が行えるようになっている。
ドキュメント印刷プログラム421は、ユーザから入力されたユーザ名とパスワードとをアクセスコントロールサーバ404へ送信して、ユーザ認証を要求する。
アクセスコントロールサーバ404は、ドキュメント印刷プログラム421から受け渡されたユーザ名とパスワードとを用いてユーザ認証を行い、ユーザを特定する。
ユーザを特定すると、アクセスコントロールサーバ404は、セキュリティ属性データベース443を参照し、保護ドキュメントに設定されているセキュリティ属性の種類を特定する。
アクセスコントロールサーバ404は、ユーザデータベース441から取得したユーザの階級を示す情報および、ドキュメントに設定されているセキュリティ属性とに基づいて、ドキュメントを印刷する権限がユーザにあるか否かや、ユーザがドキュメントファイルを印刷する際にはどのような印刷要件が設定されているのかを取得する。
ユーザにドキュメントファイルを印刷する権限がある場合、アクセスコントロールサーバ404は、印刷が許可されていることを示す許可情報とともに、保護ドキュメントを復号するための暗号鍵とユーザがドキュメントファイルを印刷する際の印刷要件とをドキュメント印刷プログラム421に受け渡す。
アクセスコントロールサーバ404から許可情報とともに、暗号鍵と印刷要件とを取得したドキュメント印刷プログラム421は、暗号鍵を用いて保護ドキュメントを復号してドキュメントファイルに復元する。
そしてドキュメント印刷プログラム421は、印刷要件を満たすようにプリンタ403のプリントエンジン403aに印刷処理を実行させる。例えば、ドキュメントファイルにBDPが印刷要件として設定されている場合には、ドキュメントの内容とともに地紋画像を印刷する。
これにより、ドキュメントファイルを印刷する際に、予め設定されたセキュリティ属性に応じた印刷要件を強制することが可能となる。
なお、ユーザが印刷要件について意識していない場合があると共に、印刷要件によっては特定のプリンタでないと処理できないものもあるため、印刷の実行前にその旨の情報がユーザに提供されることが望ましい。図14はユーザ端末402の表示装置上に表示される確認画面の例を示したものであり、印刷要件と利用できるプリンタとが表示され、使用するプリンタを選択することができるようになっている。
ここで、ドキュメントを保護する際のドキュメント保護プログラム411およびアクセスコントロールサーバ404の動作、および保護ドキュメントをドキュメントファイルに復元して印刷する際のドキュメント印刷プログラム421およびアクセスコントロールサーバ404の動作についてさらに詳しく説明する。
図15に、ドキュメント保護プログラム411が保護ドキュメントを生成する際の処理を示す。また、図16に、ドキュメント保護プログラム411およびアクセスコントロールサーバ404の動作の流れを示す。
ドキュメント保護プログラム411は、配布者端末401の入力装置における配布者の入力操作によってドキュメントファイルとそのセキュリティ属性とを取得すると、ドキュメントファイルを暗号化および復号するための暗号鍵を生成する。そして、ドキュメント保護プログラム411は、生成した暗号鍵を用いてドキュメントファイルを暗号化して、暗号化ドキュメントを生成する。
さらに、ドキュメント保護プログラム411は、ドキュメントファイルごとに固有のドキュメントIDを暗号化ドキュメントに添付して保護ドキュメントを生成する。
保護ドキュメントを生成した後、ドキュメント保護プログラム411は、配布者端末401の通信機能を用いて、暗号鍵とセキュリティ属性とドキュメントIDとをアクセスコントロールサーバ404へ送信し、これらの登録をアクセスコントロールサーバ404に要求する。
暗号鍵とセキュリティ属性とドキュメントIDとをドキュメント保護プログラム411から受け渡されたアクセスコントロールサーバ404は、これらを一つのレコードとしてセキュリティ属性データベース443に記録保持する。
上記の動作を図5および図8に基づいてさらに詳しく説明する。
まず、図5において、ドキュメント保護プログラム411の暗号化部411aは、配布者から引き渡されたドキュメントファイルに対し、暗号鍵取得部411bが生成した暗号鍵を用いて暗号化を行い、この暗号化ドキュメントを属性付与部411cに渡す。
属性付与部411cはドキュメントIDを生成し、暗号化部411aから渡された暗号化ドキュメントにドキュメントIDを付与して保護ドキュメントとして出力する。
また、属性登録部411dは配布者からセキュリティ属性を受け取るとともに、暗号鍵取得部411bから暗号鍵を、属性付与部411cからドキュメントIDをそれぞれ受け取り、アクセスコントロールサーバ404に対してこれらのドキュメントID、暗号鍵、セキュリティ属性を渡して登録を要求する。
次いで、図8において、アクセスコントロールサーバ404の属性DB登録部404aは、渡されたドキュメントID、暗号鍵、セキュリティ属性をセキュリティ属性データベース443に登録する。
なお、ドキュメント保護プログラム411がドキュメントIDを生成して暗号化ドキュメントに添付する場合を例に挙げたが、SHA−1などのハッシュアルゴリズムを用いて暗号化ドキュメントファイルを生成した場合には、そのハッシュ値をドキュメントIDの代わりに用いてもよい。この場合は、保護ドキュメントにドキュメントIDを添付する必要はなく、後でドキュメントIDを取得したい時は、再度ハッシュ値を計算すれば良い。
また、上記の例においてはドキュメントIDの生成や暗号鍵の生成をドキュメント保護プログラム411が行う場合を示したが、これらの処理はアクセスコントロールサーバ404や不図示のサーバなどで行っても良い。
また、配布者端末401とアクセスコントロールサーバ404との間が専用回線ではなくネットワーク網を介して接続されており、暗号鍵など送信する際に盗聴される懸念がある場合には、SSL(Secure Socket Layer)を用いて通信を行えばよい。
ドキュメント保護プログラム411がアクセスコントロールサーバ404と通信する際のプロトコルは、どのようなものを用いてもよい。例えば、分散オブジェクト環境を導入し、Java(R)RMI(Remote Method Invocation)やSOAP(Simple Object Access Protocol)をベースとして情報を送受信するようにしても良い。その場合、アクセスコントロールサーバ404は、例えば「register(String docId, byte[] key, byte[] acl)」のようなメソッドを実装するようにしてもよい。SOAPであれば、HTTPSの上でSOAPプロトコルをやりとりし、RMIであればSSLベースのSocketFactoryを用いてRMIを実行するようにすれば、ネットワーク上でのセキュリティを確保することができる。
次に、ドキュメント印刷プログラム421が保護ドキュメントを印刷する際の動作について説明する。図17に、ドキュメント印刷プログラム421およびアクセスコントロールサーバ404の動作の流れを示す。
プリンタ403内のドキュメント印刷プログラム421は、ユーザ端末402の入力装置におけるユーザの入力操作によって保護ドキュメントとユーザ名とパスワードとを取得すると、保護ドキュメントに添付されているドキュメントIDを取得する。
そして、ユーザ名とパスワードとドキュメントIDとアクセスタイプ(ユーザが要求する処理を示す情報。ここでは、保護ドキュメントを印刷しようとするので、“print”となる。)とをアクセスコントロールサーバ404へ送信して、アクセス権限があるか否かのチェックを要求する。なお、図18はアクセスコントロールサーバ404へのSOAPによる問い合わせの例を示す図であり、ユーザ名(userId)とドキュメントID(docId)とアクセスタイプ(accessType)とを渡してアクセスが許可されているかを問い合わせるSOAPメッセージ(isAllowed)を送付し、その結果(isAllowedResponse)を受け取っている例である。結果には、許可されているということ(allowedがtrue)と要件(requirements)とが含まれている。
アクセスコントロールサーバ404は、ドキュメント印刷プログラム421からユーザ名とパスワードとドキュメントIDとアクセスタイプとを取得すると、ユーザデータベース441に登録されている情報を参照し、ユーザ認証を行う。
換言すると、アクセスコントロールサーバ404は、ユーザデータベース441に登録されている情報を参照し、ドキュメント印刷プログラム421から取得した情報に含まれるユーザ名とパスワードとの組と一致するものが、ユーザデータベース441に登録されているか否かを判断する。
ユーザ認証に失敗した場合(換言すると、ドキュメント印刷プログラム421から受け渡された情報に含まれるユーザ名とパスワードとを組としたものがユーザデータベース441に登録されていない場合)、アクセスコントロールサーバ404は、許可情報を「不許可」としてプリンタ403内のドキュメント印刷プログラム421へ受け渡す。なお、この場合は「エラー」とした許可情報をドキュメント印刷プログラム421へ受け渡すようにしてもよい。
一方、ユーザ認証に成功した場合、アクセスコントロールサーバ404は、セキュリティ属性データベース443に登録されているレコードのうち、ドキュメント印刷プログラム421から取得した情報に含まれるドキュメントIDに関するレコードを読み出す。また、アクセスコントロールサーバ404は、ユーザデータベース441からユーザの「階級」および「部門」を取得する。
アクセスコントロールサーバ404は、読み出したレコードに基づいてドキュメントファイルに設定されているセキュリティ属性(すなわち、機密レベルおよびカテゴリ)を取得する。そして、自身が記録保持しているセキュリティポリシー444とレコードから読み出したセキュリティ属性に基づいて、ユーザがドキュメントに対してアクセスタイプで示される処理を行う場合の可否を示す許可情報とユーザがドキュメントを印刷する際の印刷要件を取得する。
ユーザにドキュメントファイルを印刷する権限がある場合は、セキュリティポリシー444として設定されている許可情報は「許可」であるため、アクセスコントロールサーバ404は、レコードに格納されていた暗号鍵と印刷要件とを許可情報とともにプリンタ403のドキュメント印刷プログラム421に受け渡す。
一方、ユーザにドキュメントファイルを印刷する権限がない場合は、セキュリティポリシー444として設定されている許可情報は「不許可」であるため、アクセスコントロールサーバ404は、許可情報のみをプリンタ403のドキュメント印刷プログラム421に受け渡す。
次いで、ドキュメント印刷プログラム421は、許可情報と共に取得した印刷要件を満足するようにプリンタドライバを設定し(例えば、PACが指定されていれば機密印刷モードに設定する)、プリントエンジン403aにドキュメントファイルの印刷処理を実行させる。
なお、必要があれば、表示装置にメッセージを表示するなどして、印刷パラメータの設定をユーザに要求するようにしてもよい。
アクセスコントロールサーバ404から取得した印刷要件を満足する印刷をプリンタ403では実行できない場合、換言すると、プリンタ403がセキュリティポリシー444として設定されていた印刷要件を満たす機能を備えていない場合には、その旨を示すメッセージを表示装置に表示させるなどしてユーザに通知し、印刷は行わずに処理を終了する。
上記の動作を図6〜図8に基づいてさらに詳しく説明する。
まず、図6において、プリンタ403内のドキュメント印刷プログラム421の復号鍵取得部421bはアクセスコントロールサーバ404に対してアクセス権の確認を行う。
確認の問い合わせを受けたアクセスコントロールサーバ404は、図8において、ユーザ認証部404bがユーザデータベース441を参照してユーザ認証を行い、認証結果をアクセス権限確認部404cに通知する。また、ユーザ認証に成功した場合、アクセス権限確認部404cがセキュリティ属性データベース443およびセキュリティポリシー444を参照して許可情報および復号鍵を取得するとともに、印刷要件取得送付部404dがセキュリティポリシー444から印刷要件を取得し、ドキュメント印刷プログラム421に通知する。なお、図8では許可情報、復号鍵および印刷要件を別々に返すようにしているが、これらを一度に返すようにしてもよい。
図6において、復号鍵取得部421bはアクセス権の確認ができた場合にアクセスコントロールサーバ404から復号鍵を得て、これを復号部421aに渡す。また、印刷要件取得部421cはアクセスコントロールサーバ404から印刷要件を取得し、印刷処理部421dに渡す。
復号部421aは復号鍵取得部421bから取得した復号鍵を用いて保護ドキュメントを復号し、ドキュメントファイルを得て印刷処理部421dに渡す。
次いで、図7において、印刷処理部421dの要件処理部421eは、受け取った印刷要件の内容に応じて複数の処理を行う。すなわち、前述したBDP、EBC、SLSのようにドキュメントファイルそのものを加工する必要がある処理についてはドキュメント加工部421fに加工情報を与えてドキュメントファイルの加工を行わせ、加工済みのドキュメントファイルをプリンタドライバ421gに渡し、印刷データをプリントエンジン403aに与えて印刷を行う。また、PACのようにプリンタドライバに特別な設定を行う必要がある処理についてはプリンタドライバ421gに印刷設定を行う。さらに、ユーザに対して警告メッセージを表示する必要がある場合には警告表示部421hに警告メッセージを渡し、表示装置に表示を行わせる。また、印刷のログを残す必要がある場合にはログ記録部421iにログ情報を渡し、リモートサーバ等にログデータを登録させる。
以上の動作によって、ユーザごとに異なるアクセス権や印刷要件を設定することが可能となる。また、上記のように、サーバ側でドキュメントファイルに対するアクセス権を判断するシステム構成においては、アクセスコントロールサーバ404に登録されているセキュリティポリシー444を配布者端末401やアクセスコントロールサーバ404における入力操作によって変更できるようにしてもよく、この場合には、保護ドキュメントを配布したあとで印刷要件を変更したりすることが可能となる。
例えば、既に配布した保護ドキュメントに対するアクセス権限を新たなユーザに設定したり、特定のユーザに対して印刷要件を追加することなどが可能となる。
なお、ドキュメントファイルを印刷する際に、ドキュメント印刷プログラム421が必ずアクセスコントロールサーバ404に対してセキュリティポリシーを問い合わせる方式とすると、ユーザ数の増加に伴いアクセスコントロールサーバ404の情報処理量が増え、負担が大きくなってしまう。
このため、アクセスコントロールサーバ404の機能の一部をドキュメント印刷プログラム421に移行してもよい。
例えば、ドキュメント印刷プログラム421は、ユーザ認証を行った上で、ドキュメントIDをアクセスコントロールサーバ404へ受け渡すと、セキュリティポリシーと暗号鍵とセキュリティ属性とをアクセスコントロールサーバ404から取得し、これを基に許可情報や印刷要件を判断して処理するようにしてもよい。
このようにすれば、アクセスコントロールサーバ404の情報処理量を減らし、システム動作上の負担を軽減できる。この場合は、セキュリティポリシーに基づいた判断をドキュメント印刷プログラム421が行うため、ドキュメントにセキュリティ属性を添付した後に暗号化して暗号化ドキュメントとし、ドキュメントIDを添付して保護ドキュメントとすることが好ましい。これにより、セキュリティ属性をアクセスコントロールサーバ404で管理する必要がなくなり、システム動作上のアクセスコントロールサーバ404の負担をさらに軽減できる。
なお、本実施形態にかかるドキュメント保護・印刷システムが上記のような手法でドキュメントファイルを保護していることを知っている者は、ドキュメント印刷プログラム421に成りすますプログラムをコンピュータ端末に実行させて暗号鍵を不正に入手し、保護ドキュメントを復号することも可能ではある。この場合は、セキュリティポリシーとして設定されている印刷要件を強制されることなく、保護ドキュメントを印刷できてしまうこととなる。
このため、単に暗号鍵のみを用いてドキュメントファイルを暗号化するのではなく、ドキュメント保護プログラム411の内部に埋め込まれた秘密鍵と暗号鍵とを合わせたもの(排他的論理和を取ったもの)でドキュメントファイルを暗号化することが好ましい。 この場合は、ドキュメント印刷プログラム421にも同一の秘密鍵を埋め込んでおくことで、配布者が設定した印刷要件を印刷時に強制するドキュメント印刷プログラム421のみが、保護ドキュメントを復号して印刷することが可能となる。
図19および図20は上述したような内部に秘密鍵を埋め込んでおくタイプの構成例を示したものであり、図19はドキュメント保護プログラム411の構成例を示し、図20はドキュメント印刷プログラム421の構成例のうち復号に関係する部分のみを示している。なお、この例は、単に内部に秘密鍵を埋め込んでおくだけではなく、乱数を導入して不正アクセスに対しより強化している。
図19において、ドキュメント保護プログラム411は暗号化部411aと暗号鍵取得部411bと属性付与部411cと属性登録部411dとパラメータ取得部411eとを含んでいる。
動作にあっては、パラメータ取得部411eはパラメータ(kp)を生成し、暗号鍵取得部411bに渡す。なお、パラメータ(kp)はドキュメント保護プログラム411の内部に保持しておくか、要求があった場合に生成するようにする。
暗号鍵取得部411bはパラメータ取得部411eからパラメータ(kp)を受け取った上で、二つの乱数(kd)(ks)を生成し、暗号鍵(k)を式k=H{ks,kp,kd}あるいはk=D{kd,D{ks,kp}}で計算して生成し、暗号鍵(k)を暗号化部411aに、乱数(kd)を属性付与部411cに、乱数(ks)を属性登録部411dにそれぞれ渡す。なお、H{data1,data2,・・}はdata1,data2,・・のハッシュ値を計算することを意味し、D{data,key}はkeyでdataを復号することを意味している。
暗号化部411aは配布者から引き渡されたドキュメントファイル(doc)に対し、暗号鍵取得部411bから取得した暗号鍵(k)を用いて暗号化を行い、暗号化されたドキュメント(enc)を属性付与部411cに渡す。式で示せばenc=E{doc,k}となる。なお、E{data,key}はkeyでdataを暗号化することを意味している。
次いで、属性付与部411cはドキュメントID(id)を生成し、暗号化されたドキュメント(enc)にそのドキュメントID(id)と暗号鍵取得部411bから渡された乱数(kd)を付与して保護ドキュメント(enc+id+kd)を出力する。また、属性付与部411cは生成したドキュメントID(id)を属性登録部411dに渡す。
属性登録部411dは、属性付与部411cから渡されたドキュメントID(id)と暗号鍵取得部411bから渡された乱数(ks)と配布者から取得したセキュリティ属性(attr)とをアクセスコントロールサーバ404に通知し、登録を要求することになる。
復号にあっては、図20において、復号鍵取得部421bは保護ドキュメントから乱数(kd)を取得するとともに、パラメータ取得部421jからドキュメント印刷プログラム421の内部に保持してある、あるいは要求に応じて生成したパラメータ(kp)を取得し、さらにアクセスコントロールサーバ404から乱数(ks)を取得し、暗号化の場合と同様に式k=H{ks,kp,kd}あるいはk=D{kd,D{ks,kp}}で計算して復号鍵(暗号鍵)(k)を得る。
そして、復号部421aは暗号化されたドキュメント(enc)を復号鍵(k)で復号し、ドキュメントファイル(doc)を得る。
図19および図20は、アクセスコントロールサーバ404に登録される乱数(ks)と保護ドキュメント内の乱数(kd)とドキュメント保護プログラム411もしくはドキュメント印刷プログラム421内から取得されるパラメータ(kp)とに基づいて暗号鍵(復号鍵)(k)を生成する方式であるが、こうすることでアクセスコントロールサーバ404が悪意のあるユーザによって不正アクセスされて乱数(ks)が知られてしまった場合であっても、乱数(kd)やパラメータ(kp)が知られなければ保護ドキュメントを復号できないことになる。なお、アクセスコントロールサーバ404が不正アクセスされないように十分にガードされている環境にあっては、乱数(ks)をそのまま暗号鍵(復号鍵)(k)として使用してもよい。
一方、これまで説明してきた第2の実施形態では、印刷要件をアクセスコントロールサーバ404にのみ格納するものとしてきたが、そのような形式に限定されず、保護ドキュメントに含めるようにしてもよい。例えば、ユーザによらずドキュメントファイルに対して必ず指定するような印刷要件については保護ドキュメントの中に含めるようにしてもよい。
図21は、印刷要件を保護ドキュメントに含める第一印刷要件と、アクセスコントロールサーバ404に格納される第二印刷要件とに分けた場合のドキュメント印刷プログラム421の構成例を示したものであり、印刷要件取得部421cにおいてアクセスコントロールサーバ404から第二印刷要件を取得するとともに、復号部421aにおいて保護ドキュメントから第一印刷要件を取得し、第一印刷要件および第二印刷要件に基づいて印刷処理部421dで印刷処理を行うようにしている。その他は図6に示したドキュメント印刷プログラム421と同様である。
また、本実施形態においては、ドキュメント印刷プログラム421はドキュメントファイルの印刷に関する処理のみを行っているが、ユーザ端末402に対してドキュメントファイルの内容をユーザに提示したり、ドキュメントファイルを編集する機能を提供するものとしても良い。例えば、Adobe Acrobat(R)のPlug-inと連携してポータブルドキュメントファイル(Portable Document Format:PDF File)の表示、編集および印刷の機能を実現することが可能である。
このように、本実施形態にかかるドキュメント保護・印刷システムによれば、予めセキュリティポリシーとして設定されている印刷要件をドキュメントを印刷する際に強制することができる。
図22に、上記各実施形態において適用されるプリンタが備えるセキュリティ機能の一部を示す。これらについて第2の実施形態におけるシステム構成を例として具体的に説明する。
まず、印刷要件としてPACが設定されている場合のドキュメント印刷プログラム421の動作について説明する。PACが設定されている場合のドキュメント印刷プログラム421の動作を図23に示す。
(1)ドキュメント印刷プログラム421はPACが設定されているドキュメントファイルを印刷する際には、図24に示すように、プリントダイアログを表示させた後に個人識別番号(Personal Identification Number:PIN)を入力するダイアログをユーザ端末402の表示装置に表示させ、ユーザにPINの入力を要求する。
(2)ユーザ端末402の入力装置を用いてユーザがPINを入力すると、ドキュメント印刷プログラム421は、これをプリンタドライバに設定し、印刷を指示する。
プリンタドライバは、ドキュメントからPostscriptなどのPDL(Page Description Language)で記述された印刷データ(PDLデータ)を生成し、印刷部数や出力トレイなどの印刷ジョブ情報を記述したPJL(Print Job Language)データをPDLデータの先頭に付加する。プリンタドライバはさらにPJLデータの一部としてPINを付加し、そのPJLデータ付きPDLデータをプリントエンジン403aに送る。
プリントエンジン403aは、PJLデータ付きPDLデータを受け取るとPJLデータの内容を参照し、機密印刷用のPINが含まれている場合は印刷出力せずにプリンタ403内部の記憶装置(HDDなど)にPJLデータ付きPDLデータを保存する。ユーザがPINをプリンタ403のオペレーションパネルを介して入力すると、プリンタ403は入力されたPINをPJLデータに含まれるPINと照合し、一致すればPJLデータに含まれていた印刷ジョブ条件(部数、トレイなど)を適用しながらPDLデータに従って印刷出力する。
(3)プリンタドライバにPINが設定できない、すなわち、プリンタ403が機密印刷をサポートしていない場合には、機密印刷をサポートしている別のプリンタを選択するようにユーザに通知し、ドキュメントを印刷せずに処理を終了する。
このようにすることで、印刷実行後、プリンタ403のオペレーションパネルにおいて印刷実行前に入力したものと同一のPINが入力されるまでドキュメントのプリントアウトがプリンタ403から出力されなくなる。このため、ドキュメントのプリントアウトがプリンタ403に不用意に放置されることがなくなり、プリントアウトによるドキュメントの漏洩を防止することが可能となる。さらに、ネットワーク上を流れるプリントデータを盗聴されないようにプリンタ403とのやりとりをSSLで保護してもよい。
また、ドキュメント印刷プログラム421をWindows(R)Domainのユーザ管理と連動させて、ユーザに対してPINの入力を要求しないようにしてもよい。例えば、PINをユーザに入力させるのではなく、Windows(R)Domainから現在ログオン中のユーザIDを取得し、プリントデータとともにユーザIDをプリンタ403へ送付するようにする。プリンタ403は、オペレーションパネルでユーザからのパスワード入力を受け、そのユーザIDとパスワードとでWindows(R)Domainのユーザ認証機構を用いてユーザ認証を行い、成功すればプリントアウトするようにしても良い。Windows(R)Domainに限定されず、予め導入されているユーザ管理と連動させることで、ユーザにとって面倒なPIN入力の手間を削減できる。
次に、印刷要件としてEBCが設定されている場合のドキュメント印刷プログラム421の動作について説明する。
(1)ドキュメント印刷プログラム421は、EBCが設定されているドキュメントを印刷する際にドキュメントIDを示すバーコード画像データ(又は、二次元コード)のデータを生成する。
(2)ドキュメント印刷プログラム421は、生成したバーコード画像データをスタンプ画像としてプリンタドライバにセットし、プリントエンジン403aに印刷を指示する。
(3)プリンタドライバにEBCが設定できない、すなわち、プリンタ403がスタンプ機能をサポートしていない場合は、スタンプ機能をサポートしている他のプリンタを選択するようにユーザに通知し、印刷を行わずに処理を終了する。
このようにすることで、ドキュメントのプリントアウトの各ページにはバーコードが印刷されるため、このバーコードを識別できる複写機、ファックス、スキャナのみがバーコードをデコードすることでドキュメントIDを取得し、そのドキュメントIDを基にアクセスコントロールサーバ404でハードコピー、画像読み取り、ファックス送信などが許可されているか否かを判断することが可能となる。これにより、紙文書まで一貫したセキュリティ確保が可能となる。
次に、印刷要件としてBDPが設定されている場合のドキュメント印刷プログラム421の動作について説明する。
(1)ドキュメント印刷プログラム421は、BDPが設定されているドキュメントを印刷する際に、印刷を要求しているユーザ名と印刷日時とを文字列として取得する(例えば、Ichiro,2002/08/04 23:47:10)。
(2)ドキュメント印刷プログラム421は、ドキュメントのプリントアウトを複写機で複写した際に、生成した文字列が浮き上がるように地紋画像を生成する。
(3)ドキュメント印刷プログラム421は、生成した地紋画像をスタンプとしてプリンタドライバにセットし、プリントエンジン403aにドキュメントの印刷を指示する。
(4)プリンタドライバにBDPが設定できない場合、すなわちプリンタ403が地紋印刷をサポートしていない場合には、地紋印刷をサポートしている別のプリンタを選択するようにユーザに通知し、印刷を行わずに処理を終了する。
このようにすることで、ドキュメントのプリントアウトの各ページには、印刷処理を実行したユーザ名と日時とが浮き出る地紋画像として印刷され、プリントアウトを複写機やスキャナ、ファックスで処理すると文字列が浮き出ることとなる。これ、EBCをサポートしていない複写機を使用する場合などに有効であり、ドキュメントのプリントアウトを複写することによる情報漏洩に対して抑止力を有する。
次に、印刷要件としてSLSが設定されている場合のドキュメント印刷プログラム421の動作について説明する。
(1)ドキュメント印刷プログラム421は、SLSが設定されているドキュメントファイルを印刷する際に、予め用意された画像のうち、そのドキュメントの機密レベルに応じたもの(Top Secretならば「極秘」のマークなど)を選択する。
(2)選択した画像のデータを、スタンプとしてプリンタドライバにセットし、プリントエンジン403aに印刷を指示する。
(3)プリンタドライバにSLSをセットできない場合、すなわち、プリンタ403がSLSをサポートしていない場合には、ラベルスタンプをサポートしている別のプリンタを選択するようにユーザに通知し、印刷を行わずに処理を終了する。
このようにすることで、ドキュメントファイルのプリントアウトには、自動的に「極秘」や「マル秘」がスタンプとして印刷されるため、ドキュメントが機密文書であることが明らかとなる。すなわち、プリントアウトを所持する者に管理上の注意を喚起することができる。
上記の各例は、あくまでも印刷要件の例であり、改ざん防止用の電子透かしを印刷するようにしたり、保護されているドキュメントは特殊な用紙に印刷する(印刷に使用する用紙トレイを特殊用紙のトレイに限定する)ようにしてもよい。
さらに付言すると、印刷要件には、機能を制限・禁止するものと、機能を強制的に使用させるもの、加えて通常の印刷条件指定などを含めることができる。機能を制限・禁止する例としては、機密文書原本と区別をするために特別なユーザのみカラーでの印刷を許可して、他のユーザはグレースケールでの印刷のみを許可するように制限するための印刷要件などである。機能を強制的に使用させる例としては、機密印刷モードを強制的に使用するような印刷要件や、ログを強制的に記録するような印刷要件、印刷紙面に印刷したユーザの名前を強制的に印字するような印刷要件、ウォーターマークを強制的に印刷する印刷要件、地紋を強制的に印刷する印刷要件などである。通常の印刷条件を指定する例としては、用紙設定としてA4を指定する印刷要件,再生紙トレイを使用する印刷要件,両面印刷を指定する印刷要件などである。
また、これまで印刷要件の表現形式としてRAD、PACといったキーワードを用いて説明してきたが、そのようなキーワードでなくとも、例えば、プリンタドライバに設定する設定ファイルのデータそのものや、プリントデータに挿入するページ記述言語で表現したデータ、画面に表示する文字列そのもの、処理すべき要件の内容をスクリプト言語で記述したデータのようなものを用いて印刷要件を表現して規定するようにしても良い。すなわち、印刷要件の表現をキーワードのようなものに限定するものではない。
このように、プリンタ403がサポートする様々なセキュリティ機能を利用してセキュリティポリシーに沿った印刷要件を設定することによって、プリンタ403のセキュリティ機能を無駄なく活用して、プリントアウトに至るまで一貫したセキュリティの確保が可能となる。これは他の実施形態のシステム構成においても同様である。
一方、これまでの説明において、保護対象はドキュメント全体であるように記述してきたが、ドキュメントの中に保護対象となる部分(セグメントと呼ぶ)と、保護対象としない部分が混在していても良い。例えば、図25に示すように、保護セグメントが複数保護ドキュメント内に存在していても良い。この場合、保護セグメントごとに異なるセグメントIDをつけ、これまでの説明におけるドキュメントIDをセグメントIDと読みかえれば、同じ原理で保護セグメントごとに印刷を含むアクセスの制御が可能になる。実際には、保護セグメントの先頭と末尾には、そこから保護セグメントが開始することを示しそこで保護セグメントが終了することを示すマーカのようなものをつける必要がある。そういったマーカの入れ方については、MIMEのマルチパートセパレータなどの従来技術を用いることができる。
また、これまではドキュメント保護プログラムが配布者端末に配置されるような実施例に基づいて説明してきたが、ドキュメント保護プログラム本体はリモートサーバ上に配置するようにしても良い。例えば図4の配布者端末401、ドキュメント保護プログラム411およびアクセスコントロールサーバ404の関係は、図26に示すように変形することができる。このように配置することにより、ドキュメント保護プログラムがインストールされていない端末からでもリモートサーバにドキュメントと必要なパラメータを送付して保護ドキュメントを取得することができる。
なお、上述した各実施形態は、本発明の好適な実施の例であり、本発明はこれらに限定されることはない。
例えば、上記実施形態においては、配布者端末とユーザ端末とが別個の装置である場合を例に説明を行ったが、これらは同一の装置を共用するような構成であっても構わない。
また、ユーザ認証の方法は、ユーザ名とパスワードとを用いる方法に限定されることはなく、スマートカードを用いたPKIベースの認証方法を適用してもよい。
このように、本発明は様々な変形が可能である。
本発明を好適に実施した第1の実施形態にかかるプリンタの内部構成を示す図である。 セキュリティポリシーの例を示す図である。 セキュリティポリシーをXML記述により書き表したプログラムの例を示す図である。 本発明を好適に実施した第2の実施形態にかかるドキュメント保護・印刷システムの構成を示す図である。 ドキュメント保護プログラムの構成例を示す図である。 ドキュメント印刷プログラムを有したプリンタの構成例を示す図である。 印刷処理部の構成例を示す図である。 アクセスコントロールサーバの構成例を示す図である。 セキュリティポリシーを電子データとした場合のデータ構造を示す図である。 セキュリティポリシーを電子データとして記述した例を示す図である。 ユーザデータベースに記録される情報の構造例を示す図である。 セキュリティ属性の設定を要求する画面の例を示す図である。 ユーザ名(ユーザID)とパスワードを要求する画面の例を示す図である。 ユーザ端末の表示装置上に表示される確認画面の例を示す図である。 第2の実施形態にかかるドキュメント保護プログラムの処理を示す図である。 第2の実施形態にかかるドキュメント保護プログラムおよびアクセスコントロールサーバの動作の流れを示す図である。 第2の実施形態にかかるドキュメント印刷プログラムおよびアクセスコントロールサーバの動作の流れを示す図である。 アクセスコントロールサーバへのSOAPによる問い合わせの例を示す図である。 ドキュメント保護プログラムの構成例を示す図である。 復号の様子を示す図である。 ドキュメント印刷プログラムを有したプリンタの構成例を示す図である。 プリンタが備えるセキュリティ機能の例を示す図である。 PACが設定されたドキュメントを印刷する際の処理を示す図である。 PIN入力のダイアログを示す図である。 ドキュメントを複数のセグメントに分けて保護する場合の処理を示す図である。 ドキュメント保護プログラムをリモートサーバ上に配置した状態を示す図である。
符号の説明
1 プリンタ
2 セキュリティポリシー
3 印刷部
4 ユーザ属性取得部
5 文書属性取得部
6 印刷指示部
401 配布者端末
402 ユーザ端末
403 プリンタ
403a プリントエンジン
404 アクセスコントロールサーバ
411 ドキュメント保護プログラム
421 ドキュメント印刷プログラム
441 ユーザデータベース
443 セキュリティ属性データベース
444 セキュリティポリシー
411a 暗号化部
411b 暗号鍵取得部
411c 属性付与部
411d 属性登録部
411e パラメータ取得部
421a 復号部
421b 復号鍵取得部
421c 印刷要件取得部
421d 印刷処理部
421e 要件処理部
421f ドキュメント加工部
421g プリンタドライバ
421h 警告表示部
421i ログ記録部
421j パラメータ取得部
404a 属性DB登録部
404b ユーザ認証部
404c アクセス権限確認部
404d 印刷要件取得送付部

Claims (10)

  1. ドキュメントファイルの印刷を行うユーザの属性を取得する手段と、
    上記ドキュメントファイルの属性を取得する手段と、
    取得した上記ユーザおよび上記ドキュメントファイルの属性に基づき、印刷許否および印刷要件を規定したセキュリティポリシーを検索して印刷要件を取得する手段と、
    取得した上記印刷要件を印刷時に強制する手段とを備えたことを特徴とするドキュメント印刷装置。
  2. 上記セキュリティポリシーを上記ドキュメント印刷装置内部に有する請求項1に記載のドキュメント印刷装置。
  3. サーバ上に配置した上記セキュリティポリシーを参照する請求項1に記載のドキュメント印刷装置。
  4. 上記セキュリティポリシーを参照し、上記ドキュメントファイルの印刷処理を実行するドキュメント印刷プログラムを備えた請求項3に記載のドキュメント印刷装置。
  5. ドキュメント印刷プログラムは、
    暗号化された上記ドキュメントファイルの復号鍵を取得する手段と、
    取得した上記復号鍵に基づいて上記ドキュメントファイルを復号する手段と、
    上記印刷要件をネットワークを介してサーバから取得する手段と、
    取得した上記印刷要件を満たす印刷処理を実行させる手段とを有する請求項4に記載のドキュメント印刷装置。
  6. 上記ドキュメントファイルの属性を上記ドキュメントファイルと関連付けて登録するセキュリティ属性データベースをサーバに備えた請求項5に記載のドキュメント印刷装置。
  7. 上記ドキュメントファイルの属性は文書カテゴリと機密レベルとを含み、上記ユーザの属性はカテゴリとレベルとを含む請求項6に記載のドキュメント印刷装置。
  8. 上記ドキュメントファイルを暗号化した暗号鍵に相当するパラメータをネットワークを介してサーバから取得し、このパラメータから復号鍵を導出する請求項5に記載のドキュメント印刷装置。
  9. 内部で保持もしくは生成したパラメータを上記復号鍵の生成に利用する請求項8に記載のドキュメント印刷装置。
  10. 上記ドキュメントファイルに含まれるパラメータを上記復号鍵の生成に利用する請求項8または9のいずれか一項に記載のドキュメント印刷装置。

JP2003314468A 2002-09-13 2003-09-05 ドキュメント印刷装置 Pending JP2004152263A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2003314468A JP2004152263A (ja) 2002-09-13 2003-09-05 ドキュメント印刷装置
US10/661,650 US20040125402A1 (en) 2002-09-13 2003-09-15 Document printing program, document protecting program, document protecting system, document printing apparatus for printing out a document based on security policy
US12/405,101 US20090185223A1 (en) 2002-09-13 2009-03-16 Document printing program, document protecting program, document protecting system, document printing apparatus for printing out a document based on security policy

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2002269102 2002-09-13
JP2002299712 2002-10-11
JP2003314468A JP2004152263A (ja) 2002-09-13 2003-09-05 ドキュメント印刷装置

Publications (1)

Publication Number Publication Date
JP2004152263A true JP2004152263A (ja) 2004-05-27

Family

ID=32475187

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003314468A Pending JP2004152263A (ja) 2002-09-13 2003-09-05 ドキュメント印刷装置

Country Status (1)

Country Link
JP (1) JP2004152263A (ja)

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005196338A (ja) * 2004-01-05 2005-07-21 Ricoh Co Ltd 文書セキュリティ維持管理方法、文書セキュリティ維持管理システム及びプログラム
JP2006048340A (ja) * 2004-08-04 2006-02-16 Ricoh Co Ltd アクセス制御リスト添付システム、オリジナルコンテンツ作成者端末、ポリシーサーバ、オリジナルコンテンツデータ管理サーバ、プログラム及び記録媒体
JP2006139744A (ja) * 2004-10-13 2006-06-01 Ricoh Co Ltd 文書ファイル保護システム
JP2006211157A (ja) * 2005-01-26 2006-08-10 Fuji Xerox Co Ltd サービス提供装置、サービス提供システム、サービス提供方法
JP2006221612A (ja) * 2005-01-17 2006-08-24 Canon Inc 情報処理装置、情報処理方法、ならびにプログラム、記憶媒体
JP2007026109A (ja) * 2005-07-15 2007-02-01 Ricoh Co Ltd スキャナ装置およびプリンタ装置
JP2007094620A (ja) * 2005-09-28 2007-04-12 Hitachi Software Eng Co Ltd 透かし印刷管理システム
JP2007168154A (ja) * 2005-12-20 2007-07-05 Murata Mach Ltd 画像形成装置、クライアント端末装置、及び、画像処理システム
JP2007200151A (ja) * 2006-01-27 2007-08-09 Konica Minolta Business Technologies Inc ワークフロー設定装置及び同設定方法、並びにワークフロー設定処理プログラム
JP2007299096A (ja) * 2006-04-28 2007-11-15 Hitachi Software Eng Co Ltd 透かし印刷管理システム
JP2008040675A (ja) * 2006-08-03 2008-02-21 Canon Inc 情報処理装置、印刷装置およびこれらを含む印刷システム
JP2009107217A (ja) * 2007-10-30 2009-05-21 Canon It Solutions Inc 画像形成装置、印刷システム、印刷方法及びプログラム
JP2009123008A (ja) * 2007-11-15 2009-06-04 Konica Minolta Business Technologies Inc 画像形成装置およびセキュリティ管理プログラム
JP2009148963A (ja) * 2007-12-20 2009-07-09 Fuji Xerox Co Ltd 画像形成装置および画像形成プログラム
JP2009199389A (ja) * 2008-02-22 2009-09-03 Fuji Xerox Co Ltd 画像形成装置、電子機器、プログラム
JP2009205527A (ja) * 2008-02-28 2009-09-10 Oki Data Corp 印刷装置
JP2010214961A (ja) * 2010-04-28 2010-09-30 Canon It Solutions Inc 画像形成装置、印刷システム、印刷方法及びプログラム
US8237939B2 (en) 2005-09-01 2012-08-07 Canon Kabushiki Kaisha Apparatus and method for restricting file operations
US8547570B2 (en) 2006-01-24 2013-10-01 Canon Kabushiki Kaisha Image processing system and access control information registration method of function access control
JP2015003407A (ja) * 2013-06-19 2015-01-08 キヤノン株式会社 画像形成装置及びその制御方法、並びにプログラム
JP2015118623A (ja) * 2013-12-19 2015-06-25 株式会社リコー 文書情報処理システム、文書情報処理方法、文書情報処理装置及び文書情報処理プログラム

Cited By (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005196338A (ja) * 2004-01-05 2005-07-21 Ricoh Co Ltd 文書セキュリティ維持管理方法、文書セキュリティ維持管理システム及びプログラム
JP2006048340A (ja) * 2004-08-04 2006-02-16 Ricoh Co Ltd アクセス制御リスト添付システム、オリジナルコンテンツ作成者端末、ポリシーサーバ、オリジナルコンテンツデータ管理サーバ、プログラム及び記録媒体
JP4673629B2 (ja) * 2004-10-13 2011-04-20 株式会社リコー 文書ファイル保護システム
JP2006139744A (ja) * 2004-10-13 2006-06-01 Ricoh Co Ltd 文書ファイル保護システム
JP2006221612A (ja) * 2005-01-17 2006-08-24 Canon Inc 情報処理装置、情報処理方法、ならびにプログラム、記憶媒体
US8305596B2 (en) 2005-01-17 2012-11-06 Canon Kabushiki Kaisha Information processing apparatus, information processing method, program, and storage medium
JP2006211157A (ja) * 2005-01-26 2006-08-10 Fuji Xerox Co Ltd サービス提供装置、サービス提供システム、サービス提供方法
JP2007026109A (ja) * 2005-07-15 2007-02-01 Ricoh Co Ltd スキャナ装置およびプリンタ装置
US8334991B2 (en) 2005-09-01 2012-12-18 Canon Kabushiki Kaisha Apparatus and method for restricting file operations
US8237939B2 (en) 2005-09-01 2012-08-07 Canon Kabushiki Kaisha Apparatus and method for restricting file operations
JP2007094620A (ja) * 2005-09-28 2007-04-12 Hitachi Software Eng Co Ltd 透かし印刷管理システム
JP2007168154A (ja) * 2005-12-20 2007-07-05 Murata Mach Ltd 画像形成装置、クライアント端末装置、及び、画像処理システム
US8547570B2 (en) 2006-01-24 2013-10-01 Canon Kabushiki Kaisha Image processing system and access control information registration method of function access control
JP2007200151A (ja) * 2006-01-27 2007-08-09 Konica Minolta Business Technologies Inc ワークフロー設定装置及び同設定方法、並びにワークフロー設定処理プログラム
JP2007299096A (ja) * 2006-04-28 2007-11-15 Hitachi Software Eng Co Ltd 透かし印刷管理システム
JP2008040675A (ja) * 2006-08-03 2008-02-21 Canon Inc 情報処理装置、印刷装置およびこれらを含む印刷システム
JP2009107217A (ja) * 2007-10-30 2009-05-21 Canon It Solutions Inc 画像形成装置、印刷システム、印刷方法及びプログラム
JP4510866B2 (ja) * 2007-10-30 2010-07-28 キヤノンItソリューションズ株式会社 画像形成装置、印刷システム、印刷方法及びプログラム
JP2009123008A (ja) * 2007-11-15 2009-06-04 Konica Minolta Business Technologies Inc 画像形成装置およびセキュリティ管理プログラム
JP2009148963A (ja) * 2007-12-20 2009-07-09 Fuji Xerox Co Ltd 画像形成装置および画像形成プログラム
JP2009199389A (ja) * 2008-02-22 2009-09-03 Fuji Xerox Co Ltd 画像形成装置、電子機器、プログラム
JP2009205527A (ja) * 2008-02-28 2009-09-10 Oki Data Corp 印刷装置
US8593667B2 (en) 2008-02-28 2013-11-26 Oki Data Corporation Printing apparatus having a confidential file storage for storing files attached to blind carbon copy mail received by the printing apparatus
JP2010214961A (ja) * 2010-04-28 2010-09-30 Canon It Solutions Inc 画像形成装置、印刷システム、印刷方法及びプログラム
JP2015003407A (ja) * 2013-06-19 2015-01-08 キヤノン株式会社 画像形成装置及びその制御方法、並びにプログラム
JP2015118623A (ja) * 2013-12-19 2015-06-25 株式会社リコー 文書情報処理システム、文書情報処理方法、文書情報処理装置及び文書情報処理プログラム

Similar Documents

Publication Publication Date Title
US8081327B2 (en) Information processing apparatus that controls transmission of print job data based on a processing designation, and control method and program therefor
US20040125402A1 (en) Document printing program, document protecting program, document protecting system, document printing apparatus for printing out a document based on security policy
JP2004152263A (ja) ドキュメント印刷装置
KR100613156B1 (ko) 정보 처리 장치에 있어서의 데이터 보안
JP4055807B2 (ja) ドキュメント管理方法、ドキュメント管理システム、およびコンピュータプログラム
US7782477B2 (en) Information processing apparatus connected to a printing apparatus via a network and computer-readable storage medium having stored thereon a program for causing a computer to execute generating print data in the information processing apparatus connected to the printing apparatus via the network
US8054970B2 (en) Image forming apparatus, image forming method, information processing apparatus and information processing method
US20090083831A1 (en) Access control decision system, access control enforcing system, and security policy
US20070115494A1 (en) Image processing system, information processing device, computer readable recording medium, and information processing method
JP4506598B2 (ja) 印刷システムおよび印刷制御方法および印刷システムのサーバ装置
KR101324181B1 (ko) 화상형성장치 및 화상형성장치의 보안인쇄방법
JP4135733B2 (ja) ジョブチケット発行装置及びジョブ実行装置
JP4282301B2 (ja) アクセス制御サーバ、電子データ発行ワークフロー処理方法、そのプログラム、コンピュータ装置、および記録媒体
JP2004164604A (ja) 電子ファイル管理装置及びプログラム並びにファイルアクセス制御方法
KR101391756B1 (ko) 화상형성장치 및 화상형성장치의 보안인쇄방법
JP2004152261A (ja) ドキュメント印刷プログラム、ドキュメント保護プログラムおよびドキュメント保護システム
JP4719420B2 (ja) アクセス許可付与方法、アクセス許可処理方法、そのプログラム、およびコンピュータ装置
JP2007257527A (ja) 印刷システムおよび制御方法
JP2004152262A (ja) ドキュメント印刷プログラム、ドキュメント保護プログラムおよびドキュメント保護システム
JP4396377B2 (ja) 印刷制御システム、サーバ装置
US8976966B2 (en) Information processor, information processing method and system
JP2008046830A (ja) 画像出力装置、電子入稿システムおよびプログラム
JP5170831B2 (ja) 画像形成装置、電子機器、プログラム
JP5135239B2 (ja) 画像形成システムおよびサーバ装置
JP4396378B2 (ja) 印刷制御システム及び方法並びにサーバ装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060123

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080710

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080902

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081031

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090106