信息处理装置中的数据安全.pdf

具体实施方式

以下根据附图，详细说明本发明的实施方式。以下以数字式多功能
机等图像形成装置为例说明涉及本发明的信息处理装置。

首先，参照图1，详细说明本实施方式的图像形成装置的硬件结构。
图1表示说明本实施方式的控制所需的构成要素。对其他构成要素，其
图示从略。

该图像形成装置是数字式复印机和数字式多功能机等，将以光学方
式对原稿进行读取而获得的图像作为数字数据进行处理的类型的设备。
该图像形成装置具有PKI适应功能。也就是说，该图像形成装置，具有
私钥—公钥对，该私钥—公钥对与认证局发给图像形成装置的公钥证明
书对应；并具有利用该私钥来对用该公钥加密了的来自外部设备的数据
进行解密的功能。并且，该图像形成装置还具备在向外部设备发送数据
时，利用该外部设备的公钥来对该数据进行加密的功能。

在该装置中，在ROM(只读存储器)12内存储了用于对该图像形成
装置的动作进行控制的控制程序等数字信息。通过由CPU(中央处理机)
10来执行该ROM12内的控制程序，实现图像形成装置的各部分的控制。
对PKI适应处理功能以及下述的对保存数据的安全措施功能进行描述的
程序，也存放在该ROM12内。

RAM(随机存取存储器)14是该图像形成装置的主存储装置，在执
行控制程序时也可以作为工作存储器使用。RAM14，例如也可以用作页
面缓冲器，存储向打印引擎28供给的1个页面的图像数据。

HDD(硬盘驱动器)16是用于保存各种数据的辅助存储装置。例如
在HDD16内保存了作业数据，该作业数据是图像形成装置为所要求的各
种作业而接收或生成的。这种作业数据有，例如从远程主机通过网络进
行委托的印刷作业的印刷对象文件数据、为了复印而由扫描引擎26读取
的原稿图像数据以及根据扫描指示由扫描引擎26读取的图像数据等。

非易失性存储器18(NVM：Non-Valatile Memory)是用于对与该图
像形成装置的控制有关的各种半永久性的设定信息和程序进行存储的存
储器，例如由备用电池的RAM等构成。而且，图像形成装置中也有许多
把HDD16作为任选件的机型。这种机型中，在没有装备HDD16的情况
下，作业数据被存储到该NVM18内。

而且，与对该图像形成装置已发放的公钥证明书对应的私钥，被保
存在上述HDD16或NVM18的任一个中。

一次PROM(One-time Programable Read Onty Memory：一次可编程只
读存储器)20是只能写入一次的非易失性存储器。在该一次PROM中，
例如记录图像形成装置的唯一的装置序列号。

操作板22是该图像形成装置的用户接口用显示或者用于接受用户的
各种指示输入等的用户接口装置。典型的操作板22，具有复印起动钮等
机械操作钮或液晶触摸板。液晶触摸板显示出由CPU10执行的控制程序
所生成的GUI(图形用户接口)画面，检测出用户对该显示器的触摸位
置，并将其传给控制程序。控制程序根据该触摸位置的信息来解释用户
的输入内容。

通信接口24是进行用于与局域网等网络的数据通信的控制的装置。
从远程主机来的打印指示等，通过通信接口24而输入到图像形成装置内。

扫描引擎26是一种提供扫描功能的装置，它以光学方式读取原稿并
生成电子的图像数据。放置在自动原稿传送装置(ADF)(图示从略)上
的原稿，通过ADF的功能而被一张张地传送到扫描引擎内以光学方式被
读取。

打印引擎28是一种提供打印功能的装置，它把在CPU10的控制下
供给的图像数据在纸张上形成(打印)图像。

令牌读取部30是接收用户持有的硬件令牌，并读出该令牌内所存储
的数据的装置。硬件令牌，例如构成为与IC卡或USB(Universal Serial Bus：
通用串行总线)等各种有线接口标准相对应的装置、或者与Bluetooth(蓝
牙)等各种无线接口标准相对应的装置等。

在这种图像形成装置中，本实施方式是谋求提高在HDD16等中所保
存的数据的安全性。

以下参照图2，详细说明该图像形成装置的控制机构的主要部分。图
2所示的控制机构，通过由CPU10执行在ROM12或HDD16或NVM18
内所存储的程序来实现。

首先，数据接收部50连接到LAN等数据通信网络上，从该网络上
的外部设备(PC等)接收作业请求。该作业请求中包括表示要求的处理
内容的指示数据。并且，在要求的作业为打印的情况下，包括作为打印
对象的文件数据。有时，外部设备利用该图像形成装置的公钥来对指示
数据和作为作业对象的文件数据进行加密后发送过来。

作业控制部51接受以下两种作业请求，一种是利用显示在操作板22
上的用户接口画面来输入的；另一种是利用通信接口24和数据接收部50
的功能来接收的，并对涉及这些请求的作业的执行进行控制。作业控制
部51对输入的作业进行排队登记，当轮到该作业的执行顺序时，向应用
程序60赋予所需的数据并执行作业。并且，作业控制部51在收到的数
据已被加密的情况下，请求PKI密码处理部52对其进行解密。并且，作
业控制部51在执行的作业是需要保存作业数据的作业的情况下，为把该
数据保存到HDD16上而进行处理。此外，在需要保存作业数据的作业中
有：安全打印作业、以及把已读取的图像暂时保存到安全箱内的作业等。
对安全打印已进行了说明。

并且，作业控制部51，在已到为进行作业而使用暂时保存在HDD16
上的作业数据的时刻的情况下，将其读出并提供给应用程序60。

应用程序60是一种功能模块，它具有为进行作业而由图像形成装置
提供的打印功能、扫描功能、传真功能等各种功能。

PKI密码处理部52是一种功能模块，用于进行以下处理：根据公钥
基础的公钥密码方式的加密和解密处理、电子签名的提供和验证的处理。

PKI键管理部54是一种功能模块，用于管理PKI密码处理部52的
加密和解密、电子签名提供和验证处理中所使用的键信息。PKI键管理部
54具有读出功能，用于读出HDD16或NVM18中所存储的该图像形成装
置的私钥和公钥、外部设备的公钥。这些键例如由系统管理者通过手动
作业在PKI键管理部54内进行登记。并且，PKI键管理部54构成为能
根据需要从认证局取得这些键。而且，由认证局颁发的公钥证明书中有
有效期限，当其有效期限已到时，该图像形成装置的公钥、私钥事实上
就不能在PKI的系统中使用。

内部键密码处理部56是一种功能模块，进行对HDD16中所保存的
数据的加密处理、以及保存的加密数据的解密处理。内部键密码处理部
56用内部键来进行加密和解密处理。与具有有效期限的公钥和私钥不同，
该内部键是无期限的，在图像形成装置的用户变更之前，使用相同的内
部键。在加密和解密中，只要是能满足对用户安全的要求的密码算法，
就可以采用任何密码算法。根据所用的算法，既有加密用和解密用的内
部键相同的通用键的情况，也有加密用和解密用分别利用各不相同的内
部键的非对称键的情况。

内部键管理部58是一种功能模块，管理内部键密码处理部56的加
密和解密处理中所使用的内部键的信息。

在最佳实施例中，内部键管理部58根据该图像形成装置固有的信息，
自动生成内部键。例如有这样一种方法，即根据一次PROM20中存储的
装置序列号来生成内部键。用于生成内部键的键生成程序存储在ROM12
内。内部键管理部58向该键生成程序提供装置序列号作为参数，以此生
成内部键。因为键生成程序和装置序列号都是固定的，所以，根据此方
法，总是能生成相同值的内部键。内部键的生成也可以在每次需要加密
或解密时进行，但最好是按规定时间来生成内部键，并将其存储到
RAM14内以再利用。该内部键生成的时间最好是在接通电源而对图像形
成装置进行起动处理时。

用图3说明该内部键的生成步骤的一例。该处理在起动时进行。

在该处理中，首先内部键管理部58从一次PROM(One Time
Progarmming ROM，简称OTP-ROM，即，一次可编程只读存储器)20
中读出装置序列号(S10)。然后，把该装置序列号作为参数来执行键生
成程序，计算内部键的值(S12)。并且，将这样计算出的内部键的值存
储到RAM14内，把对该内部键的存取信息(例如RAM14上的内部键的
地址信息)通知到内部键密码处理部56内(S14)。内部键密码处理部56
在需要加密和解密时，根据该存取信息来取得内部键的值。

在该例中，不把内部键本身存储在图像形成装置的非易失生存储媒
体(HDD16或NVM18等)内，所以，能减少内部键的泄密危险。即使
知道了装置序列号，只要键生成程序保持机密，第3者就不能生成内部
键。并且，在该例中，因为生成的加密键存储在易失性RAM14内，所以，
当切断图像形成装置电源时内部键消失。这样，能提高内部键的安全性。

以下参照图4，详细说明该图像形成装置通过网络从外部设备接收作
业请求数据时的处理。

在该处理中，首先，由作业控制部51来判断在数据接收部50接收
的数据是否已被加密(S20)。在此，当判断为已加密时，使PKI密码处
理部52对该数据进行解密。这样，PKI密码处理部52从PKI键管理部
54中取得该图像形成装置的私钥，并利用该私钥来对数据进行解密
(S22)。

对于该解密处理的例子，利用图5所示的加密数据的例子来进行说
明。

图5所示的加密数据是根据W3C的建议方案XML Encryption的。
在该例中，在加密数据要素100中，首先描述表示在数据的加密中所使
用的算法的要素102。要素102表示作为加密算法采用了三元DES。

其次，描述了表示该加密算法中所采用的公钥的要素110和104。在
该例中，将加密对象数据时的公钥，利用作为数据发送目的地的该图像
形成装置的公钥进行了加密。要素110是对该己加密的公钥的信息进行
描述的要素。在该要素110中包括：表示公钥的加密中所用的算法的要
素112、表示该加密中所用的键的要素114、以及表示已加密的公钥的值
的要素116。表示加密键的要素114表示该图像形成装置的名称。它表示
利用了与该名称相对应的公钥。

继该要素110后面的要素104包括一种参照信息，该信息表示作为
对数据的加密用键采用该要素110中所示的键的情况。

并且，在表示这种键信息的要素110和104后面，描述了表示数据
加密结果的值的要素106。

接受这种加密数据的PKI密码处理部52，首先利用该图像形成装置
的私钥，来对要素116中所示的加密公钥值进行解密。然后，利用要素
102所示的算法及该公钥，来对要素106中所包括的已加密数据值进行解
密，使纯文本数据复原。

再回到图4的处理步骤的说明，作业控制部51判断收到的数据是否
需要保存(S24)。该判断能够根据与接收的数据相对应的指示数据中所
示的作业种类来进行。例如，外部设备请求的作业种类，如果是像安全
打印那样不立即进行作业处理的类型，那么，判断为需要保存。与此相
反，像通常的打印作业那样，立即进行作业处理的类型的作业，被判断
为不需要数据的保存。在从外部设备来的指示数据已加密的情况下，该
S24步的判断处理是在该指示数据的解密后进行。

在S24步的判断中，在判断为数据不需要保存的情况下，作业控制
部51尽量迅速地进行对被PKI密码处理部52解密了的数据的处理
(S26)。

对此，在判断为数据需要保存的情况下，进一步判断对保存的数据
是否需要安全保护(S28)。该判断可以根据该数据(或以该数据为对象
的作业)的属性信息来进行。可在该判断中采用的属性，例如可以是作
业请求人对该数据指定的机密等级和保存时间等。这里，保存时间表示
作业请求人希望在图像形成装置中保存该数据的时间长度。该图像形成
装置在接收到该数据后一经过保存时间就把该数据作废。而且，也可以
用保存期限的时刻来代替保存时间。在该例中，利用外部设备上设置的
打印驱动器的用户接口，从用户接受安全打印用的认证信息(例如通过
短语)、机密等级和保存时间的输入。打印驱动器把已输入的这些各信息
组合到指示数据内，发送到该图像形成装置中。

S28步的判断处理的一例示于图6。在该例中，作业控制部51把该
作业的指示数据内所示的机密等级和保存时间，分别与对应的阈值(该
阈值预先由该图像形成装置的管理者进行了设定)进行比较(S40和S42)，
在其中的任一值大于阈值的情况下，判断为需要安全保护(S44)。另一
方面，若机密等级和保存时间均在阈值以下，则判断为不需要安全保护
(S46)。

在图6的例中，为了判断数据保护的必要性，使用了用户指定的机
密等级和保存时间，但这只不过是一例。取而代之的，例如也可以是根
据接收到的加密数据的加密中所使用的公钥(图5的要素116)的键长度，
来判断该数据的机密等级，并根据机密等级来判断是否需要安全保护。

并且，作为该判断的另一例，也有这样的判断方式，即在输入到该
图像形成装置内的数据已加密的情况下，判断为该数据进行保存时需要
安全保护。这是因为，既然把数据加密后送入到该图像形成装置中，就
设想是发送一方希望对数据进行安全保护，按照该意图，在保存时进行
加密。而且，在该方式中，对于已输入的数据未加密的情况下，也可以
简单地判断为保存时不需要加密，并可以规定另外的详细判断规则。

再者，也可以根据该数据的保存方的存储装置来判断是否需要安全
保护。也就是说，如上所述，在HDD16为任选装备的图像形成装置的情
况下，在未配备HDD16的结构中，保存数据被保存在非易失性存储器
18中。在此，HDD16从图像形成装置主体上拆下是比较容易的，所以，
例如，非法利用者有可能在夜间等时候将其拆下来，对内容进行解析。
与此相反，非易失性存储器18固定在图像形成装置的基板上，所以，被
拆下来进行解析的可能性小。是否配备了任选件的HDD16的内容，作为
机器构成信息之一记录在非易失性存储器18内。所以，判断是否要安全
保护的程序，参照该机器构成信息来查询是否配备了HDD16，如果已经
配备，那么判断为保存的数据需要安全保护，如果没有配备，那么判断
为不需要安全保护。

并且，作业请求者也可以对作业指定出数据是否需要安全保护。在
此情况下，是否需要安全保护的信息编入作业的指示数据中，发送到图
像形成装置中。

再次返回到图4的处理步骤的说明，在S28步，在判断为保存的数
据不需要安全保护的情况下，作业控制部51不对用PKI密码处理部52
进行的数据解密结果进行加密，而存储到HDD16内(S30)。与此相反，
在判断为保存的数据需要安全保护的情况下，作业控制部51在内部键密
码处理部56内，对用PKI密码处理部52进行的数据解密结果进行加密，
并把该加密结果存储到HDD16内(S32)。

对这样保存的数据，一到进行作业处理的时间，作业控制部51从
HDD16中取出该保存数据，若该数据已加密，则利用内部键密码处理部
56对其进行解密后，供给应用程序60。

以上说明了在将从外部设备通过网络接收的数据进行保存时的处
理。而且，在本实施方式的图像形成装置中，不仅这样的接收数据，在
将由扫描引擎26生成的图像数据等、在图像形成装置内生成的数据保存
到HDD16内时，也能用内部键密码处理部56来对该数据进行加密。

如以上说明，在本实施方式的图像形成装置中，将从外部设备接收
的公钥加密数据一解密后，再次用自身设备的内部键来加密并进行保存。
在对用公钥加密了的接收数据本身进行保存的情况下，旧的私钥的管理
存在问题，但由于内部键是无期限的键，所以，能解决这样的问题。并
且，在本实施方式中，对用内部键这样的统一的键进行加密的数据进行
保存，所以，保存在HDD16内的加密数据的密码强度是均一的。通过对
作为内部键使用的键的键长度或内部键密码处理部56的密码算法适当地
进行选择，能满足要把HDD16内的保存数据的密码强度保持在一定水平
以上的要求。

再者，假定采用的结构是把用公钥加密的数据原封不动地保存到
HDD16内，那么，当保存的私钥由于某种原因而被破坏时，该加密数据
具有不能解密的危险，但如本实施方式，利用根据装置序列号生成的内
部键来进行加密的结构，能减小这种危险性。也就是说，每个有效期限
进行一次更新的私钥保存在HDD16或非易失性存储器18内，所以读出
和写入动作比较多，有一定的破坏危险。但写入装置序列号的一次
PROM20或写入键生成程序的ROM12，与HDD16或非易失性存储器18
相比，其破坏危险性小。

以上说明的实施方式只是一例，在本发明的范围内能有各种变形例。

例如，也可以使由内部键管理部58生成的内部键适应于用户要求的
密码强度。其中，由用户对图像形成装置设定希望的安全等级值。该设
定值保存在HDD16或非易失性存储器18内。内部键管理部58在系统起
动时等，如图7所示，除装置序列号(S10)外，还读出其安全等级的设
定值(S11)。并且，根据安全等级来决定内部键的键长度，利用键生成
算法来生成该键长度的内部键(S12a)，存储在RAM14中(S14)。

并且，因国家不同而法律等不同，有时对私钥的键长度设定限制，
但本实施方式的设备对此也能适应。例如在图像形成装置的一次
PROM20或者非易失性存储器18中写入表示进口该设备的国家的识别信
息，所以，内部键管理部58在内部键生成处理时，读出该进口国家设定
值，根据该值来决定内部键的键长度即可。

再者，在上述实施方式中，根据装置序列号生成内部键，但也可以
根据图像形成装置所具有的存储装置内保存的其他的该设备固有的信息
来生成内部键。

并且，除装置序列号外，也可以援用硬件令牌(以简称为令牌)来
生成内部键。也就是说，在该变形例中，除装置序列号外，还把令牌内
存储的信息用于内部键生成的参数。通过援用令牌，即使在内部键管理
部58的键生成算法泄密的情况下，也能使其很难非法生成内部键。

该方法的键生成处理的步骤的一例示于图8。在进行键生成的情况
下，内部键管理部58首先判断图像形成装置的键生成的设定是否是利用
令牌的设定(S50)。由图像形成装置的管理者来进行该设定，该设定值
保存在HDD16或非易失性存储器18内。该判断在被判断为不需要令牌
的情况下，进行与图3所示的处理相同的处理(S10、S12、S14)。与此
相反，在判断为键生成需要令牌的情况下，内部键管理部58从令牌读取
部30中判断出是否有令牌数据的输入(S52)。在没有该输入的情况下，
在操作板22的显示器上显示出要求设定令牌的内容的错误信息(S54)，
并催促令牌的设定。在S52步判断为设定了令牌的情况下，内部键管理
部58分别读出装置序列号及其令牌数据(S56)，并将其作为参数使用，
生成内部键(S58)，存储到RAM14内(S14)。

而且，也可以是这样的结构，即不用装置序列号，只用令牌内的参
数来生成内部键。

并且，也可以是这样的结构，即不是在图像形成装置内生成内部键，
而是把内部键存放在令牌内，由图像形成装置将其读出并使用。

再者，在以上的例中，对图像形成装置采用一个内部键，但也可以
对图像形成装置中注册的每个注册用户分别生成内部键，利用它来进行
每个用户的加密。在该例中，图像形成装置根据收到的指示数据或保存
对象数据的标题信息等，来判断该保存对象数据的所有者，利用该所有
者的内部键来对PKI密码处理部52的解密结果再次进行加密，并保存到
HDD16内。

以上说明了将本发明用于数字多功能机等图像形成装置中的情况下
的实施方式。然而，从上述说明中可以看出，本实施方式的存放数据的
安全保护方式，不取决于处理种类或存放对象的数据种类，所以，能够
适用于图像形成装置以外的各种作业处理装置。