WO2010029981A1

WO2010029981A1 - 画像処理装置、同装置における暗号化されたジョブの実行方法及び記録媒体

Info

Publication number: WO2010029981A1
Application number: PCT/JP2009/065867
Authority: WO
Inventors: 勝彦穐田; 小林　美奈子; 山口　武久; 和也姉崎; 吉田　英一
Original assignee: コニカミノルタビジネステクノロジーズ株式会社
Priority date: 2008-09-12
Filing date: 2009-09-10
Publication date: 2010-03-18
Also published as: JP4666034B2; JP2010068480A; US8072627B2; US20110026066A1

Abstract

　共通鍵により暗号化された処理対象データと、ユーザの公開鍵により暗号化された暗号化共通鍵とを含む複数のジョブを実行する場合の外部記憶媒体の接続時間を短縮化し、セキュリティの低下を防止することができる画像処理装置等を提供する。　共通鍵により暗号化された処理対象データと、ユーザの公開鍵により暗号化された暗号化共通鍵とを含むジョブが受信され、ジョブ保存部２１に保存される。保存されている複数のジョブを実行する場合、各ジョブに含まれる暗号化された共通鍵が、外部記憶媒体３で秘密鍵により復号化される。復号化された複数の共通鍵の全ての取得が完了した後に、復号化された各共通鍵により対応する処理対象データが復号化され、ジョブが実行される。

Description

画像処理装置、同装置における暗号化されたジョブの実行方法及び記録媒体

　この発明は、ネットワーク上のユーザ端末から送信された、暗号化された処理対象データを含ジョブを受信し、処理対象データを復号化して該データについてのジョブを実行する画像形成装置等の画像処理装置、同装置による暗号化されたジョブの実行方法、及び前記実行方法を画像処理装置のコンピュータに実行させるための実行プログラムが記録された記録媒体に関する。

　従来より、ネットワーク上のユーザ（クライアント）端末としてのパーソナルコンピュータ（以下ＰＣという）から、多機能デジタル画像形成装置であるＭＦＰ（Multi Function Peripherals）などの画像処理装置にジョブを送信する場合、セキュリティの観点から、秘密鍵および公開鍵を有し該秘密鍵による復号化機能を有する外部記憶媒体を用いて、ジョブの処理対象データを暗号化する技術が知られている。

　即ち、ＰＣによりデータ毎に異なる共通鍵を生成し、その共通鍵で処理対象データを暗号化すると共に、前記外部記憶媒体の公開鍵で共通鍵を暗号化し、これらの暗号化された処理対象データ及び共通鍵を画像処理装置に送信する。一方、前記暗号化された処理対象データ及び共通鍵を受信した画像処理装置では、前記外部記憶媒体が接続されることにより、この外部記憶媒体上で該外部記憶媒体の秘密鍵により暗号化共通鍵を復号化し、この復号化された共通鍵により処理対象データを復号化して、ジョブを実行するものである。

　具体的な技術として、特許文献１には、処理対象データを共通鍵を用いて暗号化するとともに、その共通鍵を公開鍵を用いて暗号化し、処理対象データと暗号化共通鍵を関連付けて格納しておき、ジョブデータの印刷時には、暗号化共通鍵の秘密鍵を保持する１Ｃカードに送り、該秘密鍵で復号化された共通鍵を取得し、この復号化共通鍵で暗号化ジョブデータを復号化する画像処理装置が開示されている。
特開２００５－３４８２５０号公報

　しかし、上記従来の技術においては、画像処理装置で受信したジョブの暗号化された共通鍵を外部記憶媒体の秘密鍵で復号化し、この復号化された共通鍵により、暗号化された印刷データを復号化してジョブを実行し、この手順がジョブ毎に繰り返されていた。このため、ユーザが複数のジョブを画像処理装置に送信して実行させる場合、最後のジョブの暗号化された共通鍵を秘密鍵で復号化するまでは、前記外部記憶媒体を画像処理装置から取り外すことができず、該外部記憶媒体の接続時間が比較的長くなってしまう。

　特に、複数のジョブの印刷途中に紙切れなどが発生した場合、外部記憶媒体を接続したままで用紙補給を行うことになり、該外部記憶媒体が盗難等に逢うおそれがあった。

　この発明の目的は、共通鍵により暗号化された処理対象データと、ユーザの公開鍵により暗号化された暗号化共通鍵とを含む複数のジョブを実行する場合の外部記憶媒体の接続時間を短縮化し、セキュリティの低下を防止することができる画像処理装置を提供することにある。

　この発明の他の目的は、前記画像処理装置により実行される暗号化されたジョブの実行方法を提供することにある。

　この発明のさらに他の目的は、前記実行方法を画像処理装置のコンピュータに実行させるための実行プログラムが記録された記録媒体を提供することにある。

　この発明の第１のものは、共通鍵により暗号化された処理対象データと、ユーザの公開鍵により暗号化された共通鍵とを含み、ネットワーク上の端末を介してユーザから送信されたジョブを受信するジョブ受信部と、前記受信したジョブを保存するジョブ保存部と、前記ジョブ保存部に保存されている実行対象の複数のジョブから、各ジョブに含まれる暗号化された共通鍵を取り出す暗号化共通鍵取り出し部と、前記ユーザの公開鍵および秘密鍵を保持し、前記暗号化された共通鍵を秘密鍵により復号化する機能を有する外部記憶媒体を、取り外し可能に接続する外部記憶媒体接続部と、前記共通鍵取り出し部により各ジョブから取り出された暗号化された複数の共通鍵を、前記外部記憶媒体接続部に接続された外部記憶媒体に送信し、秘密鍵により復号化された複数の共通鍵を外部記憶媒体から取得する復号化共通鍵取得部と、前記復号化された複数の共通鍵の外部記憶媒体からの取得完了後に、復号化された各共通鍵により対応する処理対象データを復号化する処理対象データ復号化部と、前記復号化された処理対象データについてのジョブを実行するジョブ実行部と、を備えた画像処理装置にある。

　この発明の第２のものは、共通鍵により暗号化された処理対象データと、ユーザの公開鍵により暗号化された共通鍵とを含み、ネットワーク上の端末を介してユーザから送信されたジョブを受信するステップと、前記受信したジョブをジョブ保存部に保存するステップと、前記ジョブ保存部に保存されている実行対象の複数のジョブから、各ジョブに含まれる暗号化された共通鍵を取り出す共通鍵取り出しステップと、前記ユーザの公開鍵および秘密鍵を保持し、前記暗号化された共通鍵を秘密鍵により復号化する機能を有するとともに、外部記憶媒体接続部に取り外し可能に接続された外部記憶媒体に、前記共通鍵取り出しステップにより各ジョブから取り出された暗号化された複数の共通鍵を送信し、秘密鍵により復号化された複数の共通鍵を外部記憶媒体から取得するステップと、前記復号化された複数の共通鍵の外部記憶媒体からの取得完了後に、復号化された各共通鍵により対応する処理対象データを復号化するステップと、前記復号化された処理対象データについてのジョブをジョブ実行部により実行するステップと、を備えた画像処理装置による暗号化されたジョブの実行方法にある。

　この発明の第３のものは、共通鍵により暗号化された処理対象データと、ユーザの公開鍵により暗号化された共通鍵とを含み、ネットワーク上の端末を介してユーザから送信されたジョブを受信するステップと、前記受信したジョブをジョブ保存部に保存するステップと、前記ジョブ保存部に保存されている実行対象の複数のジョブから、各ジョブに含まれる暗号化された共通鍵を取り出す共通鍵取り出しステップと、前記ユーザの公開鍵および秘密鍵を保持し、前記暗号化された共通鍵を秘密鍵により復号化する機能を有するとともに、外部記憶媒体接続部に取り外し可能に接続された外部記憶媒体に、前記共通鍵取り出しステップにより各ジョブから取り出された暗号化された複数の共通鍵を送信し、秘密鍵により復号化された複数の共通鍵を外部記憶媒体から取得するステップと、前記復号化された複数の共通鍵の外部記憶媒体からの取得完了後に、復号化された各共通鍵により対応する処理対象データを復号化するステップと、前記復号化された処理対象データについてのジョブをジョブ実行部により実行するステップと、を画像処理装置のコンピュータに実行させるための暗号化されたジョブの実行プログラムが記録された記録媒体にある。

この発明の一実施形態に係る画像形成装置が用いられた画像処理システムを示す全体構成図である。図１の画像形成装置の電気的構成を示すブロック図である。外部記憶媒体の電気的構成を示すブロック図である。画像形成装置の操作パネル部の平面図である。クライアントＰＣから送信されるジョブの例を示す図である。ジョブ管理テーブルの一例を示す図である。クライアントＰＣの動作を示すフローチャートである。画像処理装置の動作を示すフローチャートである。図６のジョブ管理テーブルが更新された状態を示す図である。この発明の他の実施形態を示すもので、画像処理装置の動作を示すフローチャートである。図１０の実施形態において、ジョブ管理テーブルが更新された状態を示す図である。図１０の実施形態において、画像形成装置の操作パネル部に表示されたメッセージを示す平面図である。この発明のさらに他の実施形態を示すもので、画像形成装置の動作を示すフローチャートである。図１３の実施形態において、ジョブ管理テーブルが更新された状態を示す図である。この発明のさらに他の実施形態を示すもので、クライアントＰＣの動作を示すフローチャートである。クライアントＰＣから送信されるジョブの例を示す図である。図１５の実施形態における画像形成装置の動作を示すフローチャートである。図１５の実施形態におけるジョブ管理テーブルの一例を示す図である。図１５の実施形態において、ジョブ管理テーブルが更新された状態を示す図である。

　以下、この発明の一実施形態を図面に基づいて説明する。

　図１は、この発明の第１の実施形態に係る画像処理装置が用いられた画像処理システムを示す構成図である。

　図１において、この画像処理システムは、画像処理装置としての画像形成装置１と、外部端末としてのクライアントＰＣ２と、前記画像形成装置１やクライアントＰＣ２に接続可能な外部記憶媒体３とを備えており、画像形成装置１とクライアントＰＣ２とは、ネットワーク４を介して接続されている。

　前記画像形成装置１として、この実施形態では、コピー機能、プリント機能、スキャン機能、ファクシミリ機能等の機能を有する多機能デジタル複合機である前述したＭＦＰが用いられている。また、この実施形態では、ジョブが印刷ジョブである場合を示すが、ジョブは印刷ジョブに限定されることはなく、ファクシミリやデータ送信等のジョブであっても良い。

　ユーザは画像形成装置１に印刷ジョブを実行させる場合、前記クライアントＰＣ２に、例えばＵＳＢメモリのような可搬性の外部記憶媒体３を接続し、画像形成装置１を指定する。

　クライアントＰＣ２では、共通鍵を生成し、この共通鍵で、印刷ジョブに含まれる処理対象データである印刷データを暗号化する。印刷ジョブが複数の場合、ジョブ毎に異なる共通鍵が生成される。そして、共通鍵が外部記憶媒体３が有する公開鍵で暗号化される。この印刷データにユーザ情報を追加し、暗号化された印刷データ、暗号化された共通鍵及び暗号化されていないユーザ情報を、図５に示すように一つの印刷ジョブとして画像形成装置１に送信する。なお、ユーザ情報は、ユーザ（この例ではユーザＡ）を特定する情報である。

　図２は、画像形成装置１の電気的構成を示すブロック図である。

　図２において、画像形成装置１は、ＣＰＵ１１と、外部記憶媒体インターフェース（ＩＦ）部１２と、外部記憶媒体制御部１３と、共通鍵制御部１４と、ネットワークインターフェース（ＩＦ）部１５と、操作パネル部１６と、ＲＯＭ１７と、ジョブ管理部１８と、認証部１９と、ＲＡＭ２０と、記憶部２１を備えている。

　前記ＣＰＵ１１は、画像形成装置１の全体動作を統括的に制御するものである。

　前記外部記憶媒体ＩＦ部１２は、前記外部記憶媒体３が取り外し自在に接続される接続部を構成している。

　前記外部記憶媒体制御部１３は、暗号化された共通鍵を、外部記憶媒体インターフェース部１２に接続された外部記憶媒体３に送信する機能、ならびに外部記憶媒体３で復号化された共通鍵を受信する機能を備えている。

　前記ネットワークＩＦ部１５は、ネットワーク４を介して外部装置との間でデータの送受信を行うものであり、この実施形態では、前記クライアントＰＣ２から送信されたジョブを受信するジョブ受信部として機能する。

　前記操作パネル部１６は、入力部１６ａと表示部１６ｂとを備えている。入力部１６ａは、図４に示すように、テンキー、スタートキーなどの各種キーを備え、ユーザ名、パスワード等の入力に使用されるものである。表示部１６ｂは、外部記憶媒体３の取り外し許可、ユーザ名やパスワードの入力情報、操作結果等を表示するものであり、この実施形態では液晶タッチパネル等により構成されている。

　前記ＲＯＭ１７は、前記ＣＰＵ１１の動作プログラムやその他のデータを格納するメモリである。

　前記ジョブ管理部１８は、クライアントＰＣ２からジョブを受信すると、図６に示すような管理テーブルを作成するとともに、受信したジョブの各種管理を行うものである。

　図６の管理テーブルには、ユーザ情報、「共通鍵で暗号化された印刷データ」、「共通鍵」、「共通鍵の公開鍵での暗号化の有無」の項目が設けられ、各ジョブ毎にそれらの内容が書き込まれている。

　前記認証部１９は、画像形成装置１を使用するユーザの操作を許可するか否かを判断するための認証を行うものである。

　前記ＲＡＭ２０は、前記ＣＰＵ１１がＲＯＭ１７に格納された動作プログラムに従って動作する際の作業領域を提供するものである。

　前記記憶部２１は、ハードディスク装置（ＨＤＤ）等の不揮発性記憶媒体からなり、前記ジョブに含まれるデータ、及び図６のジョブ管理テーブル、さらには各種のアプリケーション等が格納される。なお、記憶部２１に、共通鍵により暗号化された処理対象データを含むジョブのみが保存されるボックス（ＢＯＸ）と称される領域を形成し、この領域に、前記暗号化されたジョブに関するデータのみをまとめて保存する構成としても良い。

　図３は、前記外部記憶媒体３の電気的構成を示すブロック図である。

　図３において、この外部記憶媒体３は、ＣＰＵ３１と、装着部３２と、共通鍵制御部３３と、ユーザ情報管理部３４と、記憶部３５と、公開鍵制御部３６と、秘密鍵制御部３７を備えている。

　前記ＣＰＵ３１は、外部記憶媒体３の全体動作を統括的に制御するものである。

　前記装着部３２は、前記クライアントＰＣ２や画像形成装置１に対する接続や取り外しを認識するものである。

　前記共通鍵制御部３３は、外部記憶媒体３がクライアントＰＣ２に接続された場合には、該クライアントＰＣ２で作成された共通鍵を受信して公開鍵制御部３６に送り、公開鍵制御部３６で公開鍵により暗号化された共通鍵を、クライアントＰＣ２に送信する。また、外部記憶媒体３が画像形成装置１に接続された場合には、画像形成装置１から送信された暗号化された共通鍵を受信して秘密鍵制御部３７に送り、秘密鍵制御部３７で秘密鍵により復号化された共通鍵を、画像形成装置１に送信する。

　前記ユーザ情報管理部３４は、ユーザ名、パスワード等を管理するものである。

　前記記憶部３５は、ユーザの公開鍵、秘密鍵、ユーザ名、パスワード等を記憶するものである。

　前記公開鍵制御部３６は、クライアントＰＣ２から送信された共通鍵を公開鍵で暗号化するものであり、秘密鍵制御部３７は画像形成装置１から送信された暗号化された共通鍵を秘密鍵で復号化するものである。

　次に、クライアントＰＣ２で暗号化された印刷データ等を含むジョブを生成して画像形成装置１に送信するとともに、画像形成装置１で前記受信した印刷ジョブを実行するまでの動作を、説明する。

　まず、クライアントＰＣ２の動作を、図７のフローチャートを参照して説明する。

　ユーザが外部記憶媒体３をクライアントＰＣ２に接続すると、クライアントＰＣ２はステップＳ１で、接続された外部記憶媒体３からユーザ名、パスワードを取得し、ユーザ認証を行う。

　ステップＳ２では、ユーザ認証が成功か否かを判断し、ユーザ認証が成功しなければ（ステップＳ２でＮＯ）、そのまま終了する。ユーザ認証が成功すれば（ステップＳ２でＹＥＳ）、ステップＳ３で、ユーザによる画像形成装置（図ではＭＦＰと記している）１の選択、実行ボタンの押下による実行指示を受け付ける。

　ステップＳ４では、クライアントＰＣ２は共通鍵を生成し、この共通鍵で印刷データを暗号化する。次いで、ステップＳ５で、共通鍵を外部記憶媒体３に送信する。

　外部記憶媒体３は、クライアントＰＣ２から送信された前記共通鍵を、自身が保有するユーザの公開鍵で暗号化した後、暗号化された共通鍵をクライアントＰＣ２へ返信する。

　クライアントＰＣ２は、ステップＳ６で、ユーザ情報と、共通鍵で暗号化された印刷データと、ユーザの公開鍵で暗号化された共通鍵を一つのジョブとして画像形成装置１に送信したのち、処理を終了する。

　図８は、画像形成装置１の動作を示すフローチャートである。この動作は、ＣＰＵ１１がＲＯＭ１７等の記録媒体に記録された動作プログラムに従って動作することにより実行される。

　クライアントＰＣ２から前記ジョブを受信した画像形成装置１は、前記ジョブについての情報を図６に示すジョブ管理テーブルに記録する。

　ユーザが外部記憶媒体３を外部記憶媒体ＩＦ部１２に接続すると、画像形成装置１は図９のステップＳ１１において、外部記憶媒体ＩＦ部１２に接続された外部記憶媒体３からユーザ名、パスワードを取得し、ユーザ認証を行う。なお、ユーザ認証は、ユーザが操作パネル部１６から入力したユーザ名、パスワードに基づいて行われても良い。

　ステップＳ１２では、ユーザ認証が成功か否かを判断し、ユーザ認証が成功しなければ（ステップＳ１２でＮＯ）、そのまま終了する。ユーザ認証が成功すれば（ステップＳ１２でＹＥＳ）、ステップＳ１３に進む。

　ステップＳ１３では、ジョブ管理テーブルに、認証されたユーザの公開鍵で暗号化された共通鍵が存在するか否かを判断する。ジョブ管理テーブルにユーザの公開鍵で暗号化された共通鍵が存在すれば（ステップＳ１３でＹＥＳ）、ステップＳ１４で、画像形成装置１は、ジョブ管理テーブルからユーザの公開鍵で暗号化された共通鍵を取り出し、外部記憶媒体３に送信する。このように、実行対象のジョブの中からユーザ認証されたユーザのジョブが自動的に抽出され、抽出されたジョブに含まれる暗号化された共通鍵が取り出されるから、ユーザが実行対象のジョブを選択するような操作が不要となる。

　暗号化された共通鍵を受信した外部記憶媒体３は、暗号化された共通鍵を秘密鍵により復号化して、画像形成装置１に返信する。

　画像形成装置１は、ステップＳ１５で、復号化された共通鍵を受信し、ジョブ管理テーブルを図９に示すように更新したのち、ステップＳ１３に戻って、ステップＳ１３～Ｓ１５が繰り返される。従って、同一ユーザの複数のジョブがジョブ管理テーブルにある場合には、全てのジョブについて、ユーザの公開鍵で暗号化された共通鍵を取り出して、外部記憶媒体３に送信し、復号化された共通鍵を受信（取得）して管理テーブルを更新する。

　図９に示す更新後のジョブ管理テーブルは、ユーザＡのジョブである「共通鍵で暗号化された印刷データＡ００１」及び「共通鍵で暗号化された印刷データＡ００２」について、「共通鍵の公開鍵での暗号化の有無」の項目がいずれも「有」から「無」に変更されている。また、ジョブが実行されると、そのジョブについての情報はジョブ管理テーブルから削除される。

　ユーザの全ての暗号化された共通鍵が復号化され、ジョブ管理テーブルが更新されると（ステップＳ１３でＮＯ）、ステップＳ１６で、画像形成装置１は図４に示すように、操作パネル部１６の表示部１６ｂに、「外部記憶媒体３を取り外してもよい」旨のメッセージを表示する。これにより、ユーザは外部記憶媒体３を取り外すことができる。

　次いでステップＳ１７では、ジョブ管理テーブルにジョブが存在するか否かを判断し、ジョブ管理テーブルにジョブが存在すれば（ステップＳ１７でＹＥＳ）、ステップＳ１８では、その印刷データを復号化して印刷を行ったのち、ステップＳ１７に戻り、ジョブ管理テーブルからユーザのジョブがなくなるまで、印刷データの復号化と印刷が行われる。

　ジョブ管理テーブルにユーザのジョブがなくなると（ステップＳ１７でＮＯ）、処理を終了する。

　このように、ジョブ管理テーブルにある所定のユーザの複数のジョブを実行する場合、複数のジョブから暗号化された各共通鍵が取り出され、取り出された全ての共通鍵が外部記憶媒体により復号化されたのち、それぞれの処理対象データが復号化されるから、これら復号化された共通鍵を外部記憶媒体３から全て取得してしまえば、いつでも外部記憶媒体３の取り外しを行うことができる。従って、外部記憶媒体３の接続時間の短縮化を図ることができる。また、復号化された複数の共通鍵の外部記憶媒体３からの全ての取得が完了した際に、当該ユーザが外部記憶媒体３を取り外しておけば、例えばジョブの印刷途中に紙切れなどが発生しても、用紙補給を行ったりする際に外部記憶媒体３が盗まれるおそれもなくなり、セキュリティを向上することができる。

　次に、この発明の他の実施形態を説明する。

　上記実施形態ではステップＳ１６で、外部記憶媒体３を取り外しても良い旨が操作パネル部１６に表示されるが、これを見たユーザが印刷データの印刷前に、画像形成装置１から外部記憶媒体３を取り外して一旦画像形成装置から離れるおそれもある。この場合、そのまま印刷が行われてしまうと、印刷内容が第三者に漏洩される恐れがある。そこで、この実施形態ではその対策を講じたものである。

　この実施形態における画像形成装置１の動作を、図１０に示すフローチャートで説明する。この動作は、ＣＰＵ１１がＲＯＭ１７等の記録媒体に記録された動作プログラムに従って動作することにより実行される。

　この状態で、外部記憶媒体３を外部記憶媒体ＩＦ部１２に接続すると、画像形成装置１は図１０のステップＳ２１において、外部記憶媒体ＩＦ部１２に接続された外部記憶媒体３からユーザ名、パスワードを取得し、画像形成装置１の記憶部２１に記憶されている図５のユーザ情報を基にユーザ認証を行う。

　ステップＳ２２では、ユーザ認証が成功か否かを判断し、ユーザ認証が成功しなければ（ステップＳ２２でＮＯ）、そのまま終了する。ユーザ認証が成功すれば（ステップＳ２２でＹＥＳ）、ステップＳ２３に進む。

　ステップＳ２３では、ジョブ管理テーブルに、認証されたユーザの公開鍵で暗号化された共通鍵が存在するか否かを判断する。ジョブ管理テーブルにユーザの公開鍵で暗号化された共通鍵が存在すれば（ステップＳ２３でＹＥＳ）、ステップＳ２４で、画像形成装置１は、ジョブ管理テーブルからユーザの公開鍵で暗号化された共通鍵を取り出し、外部記憶媒体３に送信する。

　これらの暗号化された共通鍵を受信した外部記憶媒体３は、暗号化された共通鍵をそれぞれ秘密鍵により復号化して、画像形成装置１に返信する。

　画像形成装置１は、ステップＳ２５で、復号化された共通鍵を受信し、ジョブ管理テーブルを図１１に示すように更新したのち、ステップＳ２３に戻って、ステップＳ２３～Ｓ２５が繰り返される。

　なお、図１１のジョブ管理テーブルは、「印刷データの共通鍵での暗号化の有無」の項目を有しており、この段階では、ユーザＡのジョブである「印刷データＡ００１」及び「印刷データＡ００２」について、前記「印刷データの共通鍵での暗号化の有無」の項目はいずれも「有」となっている。

　ユーザの全ての暗号化された共通鍵が復号化され、ジョブ管理テーブルが更新されると（ステップＳ２３でＮＯ）、ステップＳ２６で、図１２に示すように、操作パネル部１６の表示部１６ｂに、「外部記憶媒体３を取り外してもよいが、印刷は外部記憶媒体３の再接続時に行う」旨のメッセージを表示する。なお、外部記憶媒体３の取り外しを検知したときに、「印刷は外部記憶媒体３の接続時に行う」旨のメッセージを表示してもよい。

　ステップＳ２７では、ジョブ管理テーブルに、復号化していないユーザの印刷データが存在するか否かを判断し、復号化していないユーザの印刷データが存在すれば（ステップＳ２７でＹＥＳ）、ステップＳ２８に進む。

　ステップＳ２８では、画像形成装置１は、ジョブ管理テーブルにあるユーザの印刷データを復号化し、図１１のジョブ管理テーブルの「印刷データの共通鍵での暗号化の有無」の項目を「有」から「無」に変更することにより更新したのち、ステップＳ２７に戻る。

　復号化していないユーザの印刷データが存在しなくなると（ステップＳ２７でＮＯ）、ステップＳ２９で、ユーザの外部記憶媒体３が接続されているか否かを判断し、ユーザの外部記憶媒体３が接続されていなければ（ステップＳ２９でＮＯ）、そのまま終了する。従って、外部記憶媒体３が取り外された場合には、印刷データは復号化されるが、印刷は行われない。ユーザの外部記憶媒体３が接続されていれば（ステップＳ２９でＹＥＳ）、ステップＳ３０に進む。

　ステップＳ３０では、ジョブ管理テーブルに復号化済のユーザの印刷データが存在するか否かを判断し、存在すれば（ステップＳ３０でＹＥＳ）、ステップＳ３１でその印刷データについて印刷を行ったのち、ステップＳ２９に戻り、ジョブ管理テーブルにあるユーザの印刷データが全て印刷されるまで、ステップＳ２９～３１が繰り返される。

　ジョブ管理テーブルにユーザの印刷データがなくなると（ステップＳ３０でＮＯ）、処理を終了する。

　このように、この実施形態では、復号化された複数の共通鍵の外部記憶媒体３からの取得完了後であって、印刷データが印刷される前に、外部記憶媒体３が取り外された場合には、各共通鍵による印刷データの復号化のみが行われ、外部記憶媒体３が再接続された時に印刷が実行されるから、ユーザが外部記憶媒体３を取り外して一旦画像形成装置１から離れたような場合に、印刷が実行されることによるデータ内容の第三者への漏洩等を防止でき、セキュリティを高めることができる。

　次に、この発明のさらに他の実施形態を説明する。図１０に示した実施形態では、復号化された複数の共通鍵の外部記憶媒体３からの取得完了後であって、印刷データが印刷される前に、外部記憶媒体３が取り外された場合には、外部記憶媒体３が再接続された時に印刷が実行される構成としたが、再接続されるまでの時間が長いと、復号化された印刷データの内容が漏洩される恐れがある。

　そこで、この実施形態では、処理対象データの復号化後一定時間経過したときに、未印刷ジョブが存在している場合は、これを破棄する構成としたものである。

　この実施形態における画像形成装置１の動作を、図１３に示すフローチャートで説明する。この動作は、ＣＰＵ１１がＲＯＭ１７等の記録媒体に記録された動作プログラムに従って動作することにより実行される。なお、図１３のフローチャートにおいて、ステップＳ２１～３１は図１０のフローチャートと同一であるので、同一のステップ番号を付し詳細な説明は省略する。

　ステップＳ２９では、ユーザの外部記憶媒体３が接続されているか否かを判断し、ユーザの外部記憶媒体３が接続されていなければ（ステップＳ２９でＮＯ）、ステップＳ３２で、ジョブ管理テーブルに、共通鍵による印刷データ復号化後、予め設定された一定時間であるＴ時間が経過したデータが存在するかどうかを判断する。

　管理テーブルには、図１４に示すように、「共通鍵による印刷データ復号化後の経過時間（秒）」の項目があり、この実施形態ではユーザＡのジョブに関して、印刷データＡ００１は復号化後の経過時間が「６００（秒）」であり、印刷データＡ００２は復号化後の経過時間が「６６０（秒）」となっている。

　Ｔ時間が経過した印刷データが存在しなければ（ステップＳ３２でＮＯ）、ステップＳ２９に戻る。Ｔ時間が経過した印刷データが存在すれば（ステップＳ３２でＹＥＳ）、ステップＳ３３で、共通鍵による印刷データの復号化後Ｔ時間経過している印刷データを、ジョブ管理テーブルから削除（破棄）したのち、ステップＳ２９に戻る。

　このように、この実施形態によれば、印刷データの復号化後、一定時間経過した未印刷ジョブは破棄されるので、印刷データが印刷実行されないまま画像形成装置１内に長時間存在することによるデータ内容の漏洩等を防止でき、高いセキュリティを確保できる。

　次に、この発明のさらに他の実施形態を示す。この実施形態では、ジョブに、暗号化された印刷データや共通鍵の他に、ジョブの種類を示すジョブ指示情報が共通鍵により暗号化された状態で含まれ、画像形成装置１は、処理対象データを復号化する前に前記ジョブ指示情報を復号化し、復号化されたジョブ指示情報で示されるジョブの種類のうち、特定の種類のジョブについてのみ、処理対象データの復号化を行ってジョブを優先的に実行するものである。

　この実施形態におけるクライアントＰＣ２の動作を、図１５のフローチャートで説明する。この例では、ジョブの種類が印刷ジョブ及びボックス保存ジョブである場合を例示するが、ジョブの種類はこれらに限定されることはない。

　ユーザが外部記憶媒体３をクライアントＰＣ２に接続すると、クライアントＰＣ２はステップＳ６１で、接続された外部記憶媒体３からユーザ名、パスワードを取得し、ユーザ認証を行う。

　ステップＳ６２では、ユーザ認証が成功か否かを判断し、ユーザ認証が成功しなければ（ステップＳ６２でＮＯ）、そのまま終了する。ユーザ認証が成功すれば（ステップＳ６２でＹＥＳ）、ステップＳ６３で、ユーザによる画像形成装置１の選択、実行ボタンの押下による実行指示を受け付ける。

　ステップＳ６４では、クライアントＰＣ２は共通鍵を生成し、この共通鍵で処理対象データ及びジョブ指示情報を暗号化する。次いで、ステップＳ６５で、共通鍵を外部記憶媒体３に送信する。

　クライアントＰＣ２は、ステップＳ６６で、ユーザ情報と、共通鍵で暗号化されたジョブ指示情報及び処理対象データと、ユーザの公開鍵で暗号化された共通鍵を、図１６に示すように一つのジョブとして画像形成装置１に送信したのち、終了する。

　図１６のジョブには、ジョブがユーザＡのジョブであり、共通鍵で暗号化されたジョブ指示情報が「ＢＯＸ保存」、共通鍵で暗号化された印刷データが「Ａ００１」、ユーザの公開鍵で暗号化された共通鍵が「共通鍵Ａ００１」であることが示されている。

　図１７は、画像形成装置１の動作を示すフローチャートである。この動作は、ＣＰＵ１１がＲＯＭ１７等の記録媒体に記録された動作プログラムに従って動作することにより実行される。

　クライアントＰＣ２から前記ジョブを受信した画像形成装置１は、前記ジョブについての情報を図１８に示すジョブ管理テーブルに記録する。

　図１８のジョブ管理テーブルには、「ジョブ指示情報」の項目と「ジョブ指示情報の共通鍵での暗号化の有無」の項目が含まれ、「ジョブ指示情報の共通鍵での暗号化の有無」の項目はすべてのジョブについて「有」となっている。

　ユーザが外部記憶媒体３を外部記憶媒体ＩＦ部１２に接続すると、画像形成装置１は図１７のステップＳ７１において、外部記憶媒体ＩＦ部１２に接続された外部記憶媒体３からユーザ名、パスワードを取得し、ユーザ認証を行う。

　ステップＳ７２では、ユーザ認証が成功か否かを判断し、ユーザ認証が成功しなければ（ステップＳ７２でＮＯ）、そのまま終了する。ユーザ認証が成功すれば（ステップＳ７２でＹＥＳ）、ステップＳ７３に進む。

　ステップＳ７３では、ジョブ管理テーブルに、認証されたユーザの公開鍵で暗号化された共通鍵が存在するか否かを判断する。ジョブ管理テーブルにユーザの公開鍵で暗号化された共通鍵が存在すれば（ステップＳ７３でＹＥＳ）、ステップＳ７４で、画像形成装置１は、ジョブ管理テーブルからユーザの公開鍵で暗号化された共通鍵を取り出し、外部記憶媒体３に送信する。

　画像形成装置１は、ステップＳ７５で、復号化された共通鍵を受信し、ジョブ管理テーブルの「共通鍵の公開鍵での暗号化の有無」の項目を図１９に示すように更新したのち、ステップＳ７３に戻って、ステップＳ７３～Ｓ７５が繰り返される。

　ユーザの全ての暗号化された共通鍵が復号化され、ジョブ管理テーブルが更新されると（ステップＳ７３でＮＯ）、ステップＳ７６で、ユーザのジョブのうち、ジョブ指示情報が共通鍵で暗号化されたジョブがジョブ管理テーブルに存在するかどうかを判断する。存在すれば（ステップＳ７６でＹＥＳ）、ステップＳ７７で、そのジョブ指示情報をユーザの共通鍵で復号化し、図１９に示すように、ジョブ管理テーブルの「ジョブ指示情報の共通鍵での暗号化の有無」を「有」から「無」に変更して更新したのち、ステップＳ７６に戻る。そして、ジョブ指示情報が共通鍵で暗号化されたジョブがジョブ管理テーブルに存在しなくなるまで、ステップＳ７６及び７７を繰り返す。存在しなくなると（ステップＳ７６でＮＯ）、ステップＳ７８に進む。

　ステップＳ７８では、ジョブ指示情報が「印刷」であるジョブが存在するかどうかを判断し、存在すれば（ステップＳ７８でＹＥＳ）、ステップＳ７９で、そのジョブの暗号化された印刷データを共通鍵で復号化し、印刷を行う。そして、ジョブ指示情報が「印刷」であるジョブが存在しなくなるまでステップＳ７８及び７９を繰り返し、存在しなくなると（ステップＳ７８でＮＯ）、ステップＳ８０で、操作パネル１６に、外部記憶媒体３を取り外しても良い旨を表示する。

　こうして印刷ジョブが優先的に実行される。

　次いで、ステップＳ８１で、ジョブ指示情報が「ボックス保存」であるジョブが存在するかどうかを判断し、存在すれば（ステップＳ８１でＹＥＳ）、ステップＳ８２で、そのジョブの暗号化されたボックス保存対象データを共通鍵で復号化し、ボックスへ保存する。そして、ジョブ指示情報が「ボックス保存」であるジョブが存在しなくなるまでステップＳ８１及び８２を繰り返し、存在しなくなると（ステップＳ８１でＮＯ）、処理を終了する。

　本願は、２００８年９月１２日に出願された日本国特許出願の特願２００８－２３５６３０号の優先権主張を伴うものであり、その開示内容はそのまま本願の一部を構成するものである。

　ここに用いられた用語及び表現は、説明のために用いられたものであって、限定的に解釈するために用いられたものではなく、ここに示されかつ述べられた特徴事項のいかなる均等物をも排除するものではなく、この発明のクレームされた範囲内における各種変形をも許容するものであると認識されなければならない。

　１　　　画像形成装置（画像処理装置）
　２　　　クライアントＰＣ
　３　　　外部記憶媒体
　４　　　ネットワーク
　１２　　外部記憶媒体インターフェース部（外部記憶媒体接続手段）
　１３　　外部記憶媒体制御部
　１４　　共通鍵制御部
　１５　　ネットワークインターフェース部
　１６　　操作パネル部
　１７　　ＲＯＭ
　１８　　ジョブ管理部
　１９　　認証部
　２１　　記憶部

Claims

　共通鍵により暗号化された処理対象データと、ユーザの公開鍵により暗号化された共通鍵とを含み、ネットワーク上の端末を介してユーザから送信されたジョブを受信するジョブ受信部と、
　前記受信したジョブを保存するジョブ保存部と、
　前記ジョブ保存部に保存されている実行対象の複数のジョブから、各ジョブに含まれる暗号化された共通鍵を取り出す暗号化共通鍵取り出し部と、
　前記ユーザの公開鍵および秘密鍵を保持し、前記暗号化された共通鍵を秘密鍵により復号化する機能を有する外部記憶媒体を、取り外し可能に接続する外部記憶媒体接続部と、
　前記共通鍵取り出し部により各ジョブから取り出された暗号化された複数の共通鍵を、前記外部記憶媒体接続部に接続された外部記憶媒体に送信し、秘密鍵により復号化された複数の共通鍵を外部記憶媒体から取得する復号化共通鍵取得部と、
　前記復号化された複数の共通鍵の外部記憶媒体からの取得完了後に、復号化された各共通鍵により対応する処理対象データを復号化する処理対象データ復号化部と、
　前記復号化された処理対象データについてのジョブを実行するジョブ実行部と、
　を備えた画像処理装置。
　ユーザ認証を行う認証部を備え、
　前記受信したジョブには暗号化されていないユーザ情報が含まれ、
　前記暗号化共通鍵取り出し部は、前記ジョブに含まれるユーザ情報に基づいて、前記保存部に保存されている実行対象のジョブの中から、前記認証部により認証されたユーザのジョブを抽出するとともに、抽出されたジョブに含まれる暗号化された共通鍵を取り出す請求項１に記載の画像処理装置。
　前記復号化された複数の共通鍵の外部記憶媒体からの取得完了後であって、処理対象データのジョブ実行前に、外部記憶媒体が取り外された場合には、前記処理対象データ復号化部により各共通鍵による処理対象データの復号化のみを行い、前記外部記憶媒体が再接続された時に前記ジョブ実行部によりジョブを実行する請求項１に記載の画像処理装置。
　前記処理対象データ復号化部による処理対象データの復号化後、一定時間経過した未実行ジョブを破棄する請求項３に記載の画像処理装置。
　前記ジョブには、共通鍵により暗号化された、ジョブの種類を示すジョブ指示情報が含まれ、
　前記処理対象データ復号化部は、処理対象データを復号化する前に前記ジョブ指示情報を復号化し、復号化されたジョブ指示情報で示されるジョブの種類のうち、特定の種類のジョブについてのみ、処理対象データの復号化を行う請求項１に記載の画像処理装置。
　前記ジョブ保存部には、共通鍵により暗号化された処理対象データを含むジョブのみが保存される領域が形成されている請求項１に記載の画像処理装置。
　共通鍵により暗号化された処理対象データと、ユーザの公開鍵により暗号化された共通鍵とを含み、ネットワーク上の端末を介してユーザから送信されたジョブを受信するステップと、
　前記受信したジョブをジョブ保存部に保存するステップと、
　前記ジョブ保存部に保存されている実行対象の複数のジョブから、各ジョブに含まれる暗号化された共通鍵を取り出す共通鍵取り出しステップと、
　前記ユーザの公開鍵および秘密鍵を保持し、前記暗号化された共通鍵を秘密鍵により復号化する機能を有するとともに、外部記憶媒体接続部に取り外し可能に接続された外部記憶媒体に、前記共通鍵取り出しステップにより各ジョブから取り出された暗号化された複数の共通鍵を送信し、秘密鍵により復号化された複数の共通鍵を外部記憶媒体から取得するステップと、
　前記復号化された複数の共通鍵の外部記憶媒体からの取得完了後に、復号化された各共通鍵により対応する処理対象データを復号化するステップと、
　前記復号化された処理対象データについてのジョブをジョブ実行部により実行するステップと、
　を備えた画像処理装置による暗号化されたジョブの実行方法。
　ユーザ認証を行う認証ステップを備え、
　前記受信したジョブには暗号化されていないユーザ情報が含まれ、
　前記共通鍵取り出しステップでは、前記ジョブに含まれるユーザ情報に基づいて、前記保存部に保存されている実行対象のジョブの中から、前記認証ステップにより認証されたユーザのジョブを抽出するとともに、抽出されたジョブに含まれる暗号化された共通鍵を取り出す請求項７に記載の暗号化されたジョブの実行方法。
　前記復号化された複数の共通鍵の外部記憶媒体からの取得完了後であって、処理対象データのジョブ実行前に、外部記憶媒体が取り外された場合には、各共通鍵による処理対象データの復号化のみを行い、前記外部記憶媒体が再接続された時に前記ジョブ実行部によりジョブを実行する請求項７に記載の暗号化されたジョブの実行方法。
　前記処理対象データの復号化後、一定時間経過した未実行ジョブを破棄する請求項９に記載の暗号化されたジョブの実行方法。
　前記ジョブには、共通鍵により暗号化された、ジョブの種類を示すジョブ指示情報が含まれ、
　前記処理対象データの復号化ステップでは、処理対象データを復号化する前に前記ジョブ指示情報を復号化し、復号化されたジョブ指示情報で示されるジョブの種類のうち、特定の種類のジョブについてのみ、処理対象データの復号化を行う請求項７に記載の暗号化されたジョブの実行方法。
　前記ジョブ保存部には、共通鍵により暗号化された処理対象データを含むジョブのみが保存される領域が形成されている請求項７に記載の暗号化されたジョブの実行方法。
　共通鍵により暗号化された処理対象データと、ユーザの公開鍵により暗号化された共通鍵とを含み、ネットワーク上の端末を介してユーザから送信されたジョブを受信するステップと、
　前記受信したジョブをジョブ保存部に保存するステップと、
　前記ジョブ保存部に保存されている実行対象の複数のジョブから、各ジョブに含まれる暗号化された共通鍵を取り出す共通鍵取り出しステップと、
　前記ユーザの公開鍵および秘密鍵を保持し、前記暗号化された共通鍵を秘密鍵により復号化する機能を有するとともに、外部記憶媒体接続部に取り外し可能に接続された外部記憶媒体に、前記共通鍵取り出しステップにより各ジョブから取り出された暗号化された複数の共通鍵を送信し、秘密鍵により復号化された複数の共通鍵を外部記憶媒体から取得するステップと、
　前記復号化された複数の共通鍵の外部記憶媒体からの取得完了後に、復号化された各共通鍵により対応する処理対象データを復号化するステップと、
　前記復号化された処理対象データについてのジョブをジョブ実行部により実行するステップと、
　を画像処理装置のコンピュータに実行させるための暗号化されたジョブの実行プログラムが記録された記録媒体。
　前記プログラムは、
　ユーザ認証を行う認証ステップをさらにコンピュータに実行させ、
　前記受信したジョブには暗号化されていないユーザ情報が含まれ、
　前記共通鍵取り出しステップでは、前記ジョブに含まれるユーザ情報に基づいて、前記保存部に保存されている実行対象のジョブの中から、前記認証ステップにより認証されたユーザのジョブを抽出するとともに、抽出されたジョブに含まれる暗号化された共通鍵を取り出す処理をコンピュータに実行させる請求項１３に記載の記録媒体。
　前記プログラムは、前記復号化された複数の共通鍵の外部記憶媒体からの取得完了後であって、処理対象データのジョブ実行前に、外部記憶媒体が取り外された場合には、各共通鍵による処理対象データの復号化のみを行わせ、前記外部記憶媒体が再接続された時に前記ジョブ実行部によりジョブを実行させる請求項１３に記載の記録媒体。
　前記プログラムは、前記処理対象データの復号化後、一定時間経過した未実行ジョブを破棄する処理をコンピュータに実行させる請求項１５に記載の記録媒体。
　前記ジョブには、共通鍵により暗号化された、ジョブの種類を示すジョブ指示情報が含まれ、
　前記プログラムは、前記処理対象データの復号化ステップでは、処理対象データを復号化する前に前記ジョブ指示情報を復号化し、復号化されたジョブ指示情報で示されるジョブの種類のうち、特定の種類のジョブについてのみ、処理対象データの復号化を行う処理をコンピュータに実行させる請求項１３に記載の記録媒体。
　前記ジョブ保存部には、共通鍵により暗号化された処理対象データを含むジョブのみが保存される領域が形成されている請求項１３に記載の記録媒体。