复合机、复合机控制系统.pdf

本发明提供一种复合机、复合机控制系统。在复合机(1)的存储单元(16)中存储表示了发送执行被许可的控制命令的软件的URL的位置信息。此外，复合机(1)的网络服务器单元(17)包括：保存位置检测单元(17a)，检测参与了接收到的控制命令的发送的软件的保存位置的URL；命令许可与否单元(17c)，当没有通过保存位置检测单元(17a)检测出所述位置信息所表示的URL的情况下，禁止执行接收到的控制命令，当通过保存位置检测单元(17a)检测出了所述位置信息所表示的URL的情况下，许可执行接收到的控制命令。

1.  一种复合机，其特征在于，包括：
执行许可判定单元，若接收通过软件发送的控制命令，则判定是否许可该控制命令的执行；以及
存储单元，存储至少一个位置信息，该位置信息表示了发送执行被许可的控制命令的软件的保存位置的URL，
所述执行许可判定单元包括：
保存位置检测单元，检测参与了接收到的控制命令的发送的软件的保存位置的URL；
判定单元，判定是否通过所述保存位置检测单元检测出了所述位置信息所表示的URL；以及
命令许可与否单元，当所述判定单元判定为没有通过所述保存位置检测单元检测出所述位置信息所表示的URL的情况下，禁止执行接收到的控制命令，当所述判定单元判定为通过所述保存位置检测单元检测出了所述位置信息所表示的URL的情况下，许可执行接收到的控制命令。

2.  如权利要求1所述的复合机，其特征在于，
所述执行许可判定单元所接收的所述控制命令中具有多个软件联合发送的第1控制命令，
所述存储单元所存储的位置信息中的至少一个是，列举了表示参与执行被许可的第1控制命令的发送的多个软件的各自的保存位置的各URL的第1位置信息，
在所述执行许可判定单元接收到第1控制命令的情况下，(a)所述保存位置检测单元检测参与了接收到的第1控制命令的发送的多个软件的各自的保存位置的各URL，(b)所述判定单元参照所述存储单元，判定是否通过所述保存位置检测单元检测出了第1位置信息中所列举的所有的URL，(c)当所述判定单元判定为没有通过所述保存位置检测单元检测出第1位置信息中所列举的所有的URL的情况下，所述命令许可与否单元禁止执行所述第1控制命令，当所述判定单元判定为通过所述保存位置检测单元检测出了第1位置信息中所列举的所有的URL的情况下，所述命令许可与否单元许可执行所述第1控制命令。

3.  如权利要求1或2所述的复合机，其特征在于，
所述存储单元中所述位置信息以及表示在该位置信息所示的保存位置中保存的软件的软件信息相关联地存储，
在所述存储单元中存储的位置信息中，所述判定单元仅参照与表示所述复合机正在利用的软件的软件信息相关联的位置信息而进行所述判定。

4.  如权利要求1或2所述的复合机，其特征在于，包括：
注册单元，若包含所述位置信息的封装信息从插入到所述复合机的可移动介质被安装到所述复合机，则将所述封装信息中包含的所述位置信息注册到所述存储单元。

5.  一种复合机控制系统，其特征在于，
包括复合机和经由通信网络与所述复合机进行通信的信息处理装置，
所述信息处理装置包括：
软件存储单元，保存用于生成控制命令的软件，该控制命令用于控制所述复合机；以及
命令生成单元，利用所述软件生成所述控制命令而将该控制命令发送到所述复合机，
所述复合机包括：
执行许可判定单元，若接收所述控制命令，则判定是否许可该控制命令的执行；以及
位置信息存储单元，存储至少一个位置信息，该位置信息表示了发送执行被许可的控制命令的软件的保存位置的URL，
所述执行许可判定单元包括：
保存位置检测单元，检测参与了接收到的控制命令的发送的软件的URL；
判定单元，判定是否通过所述保存位置检测单元检测出了所述位置信息所表示的URL；以及
命令许可与否单元，当所述判定单元判定为没有通过所述保存位置检测单元检测出所述位置信息所表示的URL的情况下，禁止执行接收到的控制命令，当所述判定单元判定为通过所述保存位置检测单元检测出了所述位置信息所表示的URL的情况下，许可执行接收到的控制命令。

6.  一种复合机，其特征在于，包括：
执行许可判定单元，若接收通过软件发送的控制命令，则判定是否许可 该控制命令的执行；以及
存储单元，存储至少一个位置信息，该位置信息表示了发送执行被许可的控制命令的软件的保存位置的IP地址，
所述执行许可判定单元包括：
保存位置检测单元，检测参与了接收到的控制命令的发送的软件的保存位置的IP地址；
判定单元，判定是否通过所述保存位置检测单元检测出了所述位置信息所表示的IP地址；以及
命令许可与否单元，当所述判定单元判定为没有通过所述保存位置检测单元检测出所述位置信息所表示的IP地址的情况下，禁止执行接收到的控制命令，当所述判定单元判定为通过所述保存位置检测单元检测出了所述位置信息所表示的IP地址的情况下，许可执行接收到的控制命令。

7.  如权利要求6所述的复合机，其特征在于，
所述执行许可判定单元所接收的所述控制命令中具有多个软件联合发送的第1控制命令，
所述存储单元所存储的位置信息中的至少一个是，列举了表示参与执行被许可的第1控制命令的发送的多个软件的各自的保存位置的各IP地址的第1位置信息，
在所述执行许可判定单元接收到第1控制命令的情况下，(a)所述保存位置检测单元检测参与了接收到的第1控制命令的发送的多个软件的各自的保存位置的各IP地址，(b)所述判定单元参照所述存储单元，判定是否通过所述保存位置检测单元检测出了第1位置信息中所列举的所有的IP地址，(c)当所述判定单元判定为没有通过所述保存位置检测单元检测出第1位置信息中所列举的所有的IP地址的情况下，所述命令许可与否单元禁止执行所述第1控制命令，当所述判定单元判定为通过所述保存位置检测单元检测出了第1位置信息中所列举的所有的IP地址的情况下，所述命令许可与否单元许可执行所述第1控制命令。

8.  如权利要求6或7所述的复合机，其特征在于，
所述存储单元中所述位置信息以及表示在该位置信息所示的保存位置中保存的软件的软件信息相关联地存储，
在所述存储单元中存储的位置信息中，所述判定单元仅参照与表示所述 复合机正在利用的软件的软件信息相关联的位置信息而进行所述判定。

9.  如权利要求6或7所述的复合机，其特征在于，包括：
注册单元，若包含所述位置信息的封装信息从插入到所述复合机的可移动介质被安装到所述复合机，则将所述封装信息中包含的所述位置信息注册到所述存储单元。

10.  一种复合机控制系统，其特征在于，
包括复合机和经由通信网络与所述复合机进行通信的信息处理装置，
所述信息处理装置包括：
软件存储单元，保存用于生成控制命令的软件，该控制命令用于控制所述复合机；以及
命令生成单元，利用所述软件生成所述控制命令而将该控制命令发送到所述复合机，
所述复合机包括：
执行许可判定单元，若接收所述控制命令，则判定是否许可该控制命令的执行；以及
位置信息存储单元，存储至少一个位置信息，该位置信息表示了发送执行被许可的控制命令的软件的保存位置的IP地址，
所述执行许可判定单元包括：
保存位置检测单元，检测参与了接收到的控制命令的发送的软件的保存位置的IP地址；
判定单元，判定是否通过所述保存位置检测单元检测出了所述位置信息所表示的IP地址；以及
命令许可与否单元，当所述判定单元判定为没有通过所述保存位置检测单元检测出所述位置信息所表示的IP地址的情况下，禁止执行接收到的控制命令，当所述判定单元判定为通过所述保存位置检测单元检测出了所述位置信息所表示的IP地址的情况下，许可执行接收到的控制命令。

复合机、复合机控制系统
本发明是以下专利申请的分案申请：申请号：201110322451.3，申请日：2011年10月21日，发明名称：复合机
技术领域
本发明涉及与控制服务器连接并且执行通过控制服务器中保存的应用软件所生成的控制命令的复合机。
背景技术
以往，已知同时具有复印功能、扫描功能、印刷功能以及FAX发送接收功能等多个功能的复合机。在近年来，这样的复合机与控制服务器(应用服务器)等经由通信网络而连接，并进行各种处理。即，联合在控制服务器中动作的应用软件(以下，简称为“应用”)和复合机的功能，复合机能够成为总体应用系统的一部分而动作。由此，能够容易构筑适当组合了复合机的功能和控制服务器的功能的具有灵活性的服务。
在上述那样的系统中，通过由控制服务器的应用对复合机发送控制命令，并使复合机的网络服务器(web server)执行与该控制命令相应的处理，从而通过控制服务器的应用来控制复合机具有的功能。
此外，在上述那样的复合机中，有时从安全维护的观点出发而设定为，执行来自可靠度高的应用(可靠度高的供应商开发的应用)的控制命令，并且即使接收到来自可靠度低的应用的控制命令也禁止执行该控制命令。作为其一例，具有如下的方法：从应用对复合机发送的控制命令中包含用于表示控制命令的有效性的安全识别符(供应商密钥)，在复合机侧通过确认在接收到的控制命令中包含的安全识别符的有效性而判定可否执行控制命令。
但是，在该方法中由于安全识别符会在通信路径中移动，因此在利用能够窃听通信数据的通信路径的情况下，需要通过SSL(Secure Socket Layer)等加密协议对通信数据(控制命令)进行加密。但是，存在以下问题，即该方法无法应用于不实施基于加密协议的处理的应用中。
[专利文献1]日本公开专利公报“特开2002-259339号公报(公开日：2002年9月13日)”
专利文献1公开了仅许可对预先许可的URL(统一资源定位器)进行访问的访问限制程序。但是，在该访问限制程序中存在以下问题：与访问被限制的URL之间，所述的控制命令以外的信息通信也被封锁。例如，在对前述的复合机应用了访问限制程序的情况下，产生以下问题：不能进行从复合机的网站浏览，并且，从复合机对控制服务器的状态信息(表示复合机的状态的状态信息)的发送也被封锁。
发明内容
本发明鉴于前述的问题而完成，其目的在于提供一种复合机，该复合机不封锁控制命令以外的信息通信，就能够不禁止执行通过高可靠度的软件所发送的控制命令，且能够禁止执行通过低可靠度的软件所发送的控制命令。
本发明的复合机的特征在于，包括：执行许可判定单元，若接收通过软件发送的控制命令，则判定是否许可该控制命令的执行；以及存储单元，存储至少一个位置信息，该位置信息表示了发送执行被许可的控制命令的软件的保存位置的URL，所述执行许可判定单元包括：保存位置检测单元，检测参与了接收到的控制命令的发送的软件的保存位置的URL；判定单元，判定是否通过所述保存位置检测单元检测出了所述位置信息所表示的URL；以及命令许可与否单元，当所述判定单元判定为没有通过所述保存位置检测单元检测出所述位置信息所表示的URL的情况下，禁止执行接收到的控制命令，当所述判定单元判定为通过所述保存位置检测单元检测出了所述位置信息所表示的URL的情况下，许可执行接收到的控制命令。
本发明的复合机控制系统的特征在于，包括复合机和经由通信网络与所述复合机进行通信的信息处理装置，所述信息处理装置包括：软件存储单元，保存用于生成控制命令的软件，该控制命令用于控制所述复合机；以及命令生成单元，利用所述软件生成所述控制命令而将该控制命令发送到所述复合机，所述复合机包括：执行许可判定单元，若接收所述控制命令，则判定是否许可该控制命令的执行；以及位置信息存储单元，存储至少一个位置信息，该位置信息表示了发送执行被许可的控制命令的软件的保存位置的URL，所述执行许可判定单元包括：保存位置检测单元，检测参与了接收到的控制命 令的发送的软件的URL；判定单元，判定是否通过所述保存位置检测单元检测出了所述位置信息所表示的URL；以及命令许可与否单元，当所述判定单元判定为没有通过所述保存位置检测单元检测出所述位置信息所表示的URL的情况下，禁止执行接收到的控制命令，当所述判定单元判定为通过所述保存位置检测单元检测出了所述位置信息所表示的URL的情况下，许可执行接收到的控制命令。
本发明的复合机的特征在于，包括：执行许可判定单元，若接收通过软件发送的控制命令，则判定是否许可该控制命令的执行；以及存储单元，存储至少一个位置信息，该位置信息表示了发送执行被许可的控制命令的软件的保存位置的IP地址，所述执行许可判定单元包括：保存位置检测单元，检测参与了接收到的控制命令的发送的软件的保存位置的IP地址；判定单元，判定是否通过所述保存位置检测单元检测出了所述位置信息所表示的IP地址；以及命令许可与否单元，当所述判定单元判定为没有通过所述保存位置检测单元检测出所述位置信息所表示的IP地址的情况下，禁止执行接收到的控制命令，当所述判定单元判定为通过所述保存位置检测单元检测出了所述位置信息所表示的IP地址的情况下，许可执行接收到的控制命令。
本发明的复合机控制系统的特征在于，包括复合机和经由通信网络与所述复合机进行通信的信息处理装置，所述信息处理装置包括：软件存储单元，保存用于生成控制命令的软件，该控制命令用于控制所述复合机；以及命令生成单元，利用所述软件生成所述控制命令而将该控制命令发送到所述复合机，所述复合机包括：执行许可判定单元，若接收所述控制命令，则判定是否许可该控制命令的执行；以及位置信息存储单元，存储至少一个位置信息，该位置信息表示了发送执行被许可的控制命令的软件的保存位置的IP地址，所述执行许可判定单元包括：保存位置检测单元，检测参与了接收到的控制命令的发送的软件的保存位置的IP地址；判定单元，判定是否通过所述保存位置检测单元检测出了所述位置信息所表示的IP地址；以及命令许可与否单元，当所述判定单元判定为没有通过所述保存位置检测单元检测出所述位置信息所表示的IP地址的情况下，禁止执行接收到的控制命令，当所述判定单元判定为通过所述保存位置检测单元检测出了所述位置信息所表示的IP地址的情况下，许可执行接收到的控制命令。
为了达成以上的目的，本发明的复合机的特征在于，包括：执行许可判 定单元，若接收通过软件发送的控制命令，则判定是否许可该控制命令的执行；以及存储单元，存储至少一个表示了发送执行被许可的控制命令的软件的保存位置的位置信息，所述执行许可判定单元包括：保存位置检测单元，检测参与了接收到的控制命令的发送的软件的保存位置；判定单元，判定是否通过所述保存位置检测单元检测出了所述位置信息所表示的保存位置；以及命令许可与否单元，当所述判定单元判定为没有通过所述保存位置检测单元检测出所述位置信息所表示的保存位置的情况下，禁止执行接收到的控制命令，当所述判定单元判定为通过所述保存位置检测单元检测出了所述位置信息所表示的保存位置的情况下，许可执行接收到的控制命令。
根据本发明的结构，若不在存储单元中存储表示低可靠度的软件的保存位置的位置信息，而在存储单元中存储表示高可靠度的软件的保存位置的位置信息，则不会禁止通过高可靠度的软件所发送的控制命令的执行，且能够禁止通过低可靠度的软件所发送的控制命令的执行。此外，在本发明中，当判定单元判定为没有通过保存位置检测单元检测出在存储单元中存储的位置信息所表示的保存位置的情况下，只是禁止执行控制命令，并非对与参与了带来该判定结果的控制命令的发送的软件之间的信息通信也禁止。因此，根据本发明的复合机，起到不封锁控制命令以外的信息通信，就能够不禁止执行通过高可靠度的软件所发送的控制命令，且能够禁止执行通过低可靠度的软件所发送的控制命令的效果。
附图说明
图1是表示本实施方式的复合机控制系统的结构的方框图。
图2是表示在本实施方式的复合机的存储单元中存储的判定表的一例的图。
图3是表示图1的网络服务器单元接收到控制命令时的网络服务器单元的处理流程的流程图。
图4(a)是表示变形例中使用的应用注册表的图，图4(b)是表示变形例中使用的判定表的图。
图5(a)是表示应用封装(package)中包含的应用名以及URL的图，图5(b)是表示应用封装中包含的项目类别、项目名、位置信息的图。
图6是表示在将与某一应用对应的位置信息等注册到存储单元的判定表 时的处理流程的流程图。
标号说明
1   复合机
3   信息处理装置
10  设备控制单元(注册单元)
11  操作单元
11a 输入单元
11b 显示单元
15  网络浏览器单元
16  存储单元
17  网络服务器单元(执行许可判定单元)
17a 保存位置检测单元
17b 判定单元
17c 命令许可与否单元
31  外部应用单元
32  外部应用存储单元
33  外部应用
50  通信网络
100 复合机控制系统
具体实施方式
基于图1至图6对本发明的一实施方式说明如下。以下，说明本发明的复合机控制系统的一实施方式。
<复合机控制系统100的结构>
图1是表示本实施方式的复合机控制系统的结构的图。如图1所示，本实施方式的复合机控制系统100包含复合机1和信息处理装置3，复合机1和信息处理装置3经由通信网络50而连接。当然，复合机控制系统100中包含的复合机1的台数可以为多台，信息处理装置3的台数也可以为多台。
另外，作为通信网络50，可以利用LAN(局域网)、串行线缆、互联网、其他的有线线路、或者其他的无线线路等通信线路。并且，复合机1和信息处理装置3通过HTTP(超文本传输协议)进行通信。
本实施方式的复合机1是与信息处理装置3的应用联合起来执行复合机1的各种功能。
例如，若用户将所期望的应用的起动请求输入到复合机1，则该起动请求从复合机1被送到信息处理装置3，由信息处理装置3起动具有起动请求的应用。并且，在信息处理装置3中如果起动中的应用通过HTTP将HTML(超文本链接标识语言)格式的控制命令(例如，扫描作业、印刷作业)发送到复合机1，则复合机的网络服务器单元(执行许可判定单元)17获取该控制命令，并判定可否执行该控制命令。进而，如果复合机1的网络服务器单元17许可该控制命令的执行，则复合机1的各个单元执行该控制命令。
此外，例如，信息处理装置3的应用如果根据来自复合机1的起动请求而起动，则将表示该应用的操作画面的HTML数据发送到复合机1。复合机1的网络浏览器(web browser)单元15从信息处理装置3接收该HTML数据，并将该HTML数据所示的操作画面显示到显示单元11b，将与经由操作画面而输入的指示相应的控制命令发送到网络服务器单元17(即，通过网络浏览器单元15与信息处理装置3的应用的联合，控制命令从网络浏览器单元15被发送到网络服务器单元17)。然后，网络服务器单元17获取该控制命令，并判定可否执行该控制命令。并且，如果网络服务器单元17许可该控制命令的执行，则复合机1的各个单元执行该控制命令。
以下，分别对复合机1以及信息处理装置3进行详细说明。
<复合机1的结构>
复合机1是扫描仪、打印机、传真机等被一体化的多功能装置，执行多个功能(例如，扫描功能、印刷功能、通信功能等)。复合机1包括设备控制单元10、操作单元11、图像读取单元12、图像形成单元13、第1通信单元14、网络浏览器单元15、存储单元16以及网络服务器单元17。
操作单元11是对用户通知(显示)各种信息，并且接受来自用户的输入的用户接口。操作单元11具有包含各种输入键的输入单元11a、以及LCD(Liquid Crystal Display：液晶显示器)等显示单元11b。另外，操作单元11也可以是输入单元11a和显示单元11b作为一体而构成的触摸面板。
图像读取单元12包含扫描仪、以及将原稿搬运至扫描仪的位置的原稿搬运单元，将原稿中所示的字符和图像等作为图像数据而读取。图像形成单元13是电子照相方式的打印机，是印刷与从外部装置或者图像读取单元12输 入的图像数据对应的图像的装置。
第1通信单元14是经由通信网络50与信息处理装置3等外部装置之间进行通信的接口。在本实施方式中，第1通信单元14使用HTTP与信息处理装置3进行通信。另外，第1通信单元14在从信息处理装置3接收到控制命令(HTTP请求)的情况下，经由设备控制单元10将所述控制命令发送到网络服务器单元17，在从信息处理装置3接收到表示操作画面的HTML数据的情况下，经由设备控制单元10将该HTML数据发送到网络浏览器单元15。
网络浏览器单元15按照网络浏览器的软件而进行动作。特别，本实施方式的网络浏览器单元15从信息处理装置3所具备的外部应用单元31接收表示操作画面的HTML数据，并将该HTML数据所示的操作画面显示到显示单元11b。并且，网络浏览器单元15将与经由显示单元11b中显示的操作画面而输入的指示对应的控制命令，经由设备控制单元10发送到网络服务器单元17。
存储单元16是存储复合机1的控制所需的各种信息、在复合机1中所处理的图像数据等的存储装置。此外，在本实施方式中，图2所示的判定表存储在存储单元16中。关于该判定表在后面详细叙述。
设备控制单元10控制复合机1所具备的各个单元。具体地说，设备控制单元10控制操作单元11、图像读取单元12、图像形成单元13、第1通信单元14、网络浏览器单元15、存储单元16以及网络服务器单元17等各个单元的动作。例如，设备控制单元10控制图像读取单元12的动作而进行扫描处理，并取得图像数据。此外，设备控制单元10控制图像形成单元13的动作而进行印刷处理，并输出印刷有所输入的图像数据表示的图像的用纸。
网络服务器单元17按照网络服务器的软件而进行动作。这里，网络服务器是提供构成作为互联网上的信息系统的WWW(万维网)的服务器装置的功能的软件。
本实施方式的网络服务器单元17在经由第1通信单元14以及设备控制单元10从信息处理装置3接收到控制命令(HTTP请求)的情况下，或者，经由设备控制单元10从网络浏览器单元15接收到控制命令的情况下，判定是否许可该控制命令的执行。另外，关于由网络服务器单元17进行的判定的具体内容在后面详细叙述。
另外，网络服务器单元17在判定为许可控制命令的执行的情况下，对设 备控制单元10传递与控制命令相应的处理的执行命令。接受了该执行命令的设备控制单元10使复合机1的各个单元执行与控制命令相应的处理。例如，当控制命令为扫描作业的情况下，设备控制单元10使图像读取单元12执行扫描处理，当控制命令为印刷作业的情况下，设备控制单元10使图像形成单元13执行印刷处理。
相对于此，网络服务器单元17在判定为不许可控制命令的执行的情况下，输出用于表示控制命令的执行没有被许可的情况的错误通知。并且，对于从信息处理装置3的应用所发送的控制命令的错误通知，从网络服务器单元17被发送到设备控制单元10，并从设备控制单元10发送到该应用。相对于此，对于通过网络浏览器单元15和信息处理装置3的应用的联合而从网络浏览器单元15发送的控制命令的错误通知，从网络服务器单元17被发送到设备控制单元10，并从设备控制单元10发送到网络浏览器单元15。
并且，收到错误通知的设备控制单元10不让复合机1执行与控制命令相应的处理，收到错误通知的信息处理装置3的应用或者网络浏览器单元15意识到控制命令的执行没有被许可的情况。
另外，网络浏览器单元15在收到错误通知的情况下，也可以经由显示单元11b将错误发生通知给用户。
例如，也可以是收到错误通知的网络浏览器单元15将该错误通知转发给与该网络浏览器单元15联合发送了控制命令的信息处理装置3的应用，收到该错误通知的信息处理装置3的应用将错误画面的显示指示发送到网络浏览器单元15，网络浏览器单元15将错误画面显示到显示单元11b。
此外，也可以是收到错误通知的网络浏览器单元15将错误画面的请求发送到信息处理装置3的应用，收到该请求的信息处理装置3的应用将表示错误画面的HTML数据发送到网络浏览器单元15，网络浏览器单元15将错误画面显示到显示单元11b。
此外，也可以是收到错误通知的网络浏览器单元15基于已经从信息处理装置3的应用所接收的HTML数据，将错误画面显示到显示单元11b。
如上所述，本实施方式的复合机1，(a)执行基于从信息处理装置3接收到的控制命令的处理，(b)显示与从信息处理装置3提供的HTML数据相应的操作画面，并执行基于由来自该操作画面的指示输入而内部生成的控制命令的处理。即，复合机1与信息处理装置3联合而执行各种处理。
<信息处理装置3的结构>
下面，说明信息处理装置3。信息处理装置3是由CPU(中央处理单元)或专用处理器等的运算处理单元、以及RAM(随机存储存储器)、ROM(只读存储器)、硬盘等的存储装置构成的计算机，作为对于复合机1的控制服务器来发挥作用。如图1所示，信息处理装置3具有第2通信单元30、外部应用单元31、外部应用存储单元32。
第2通信单元30经由通信网络50与复合机1进行通信。此外，第2通信单元30使用HTTP的通信协议与复合机1进行通信。外部应用存储单元32存储用于控制复合机1的各种外部应用33。
外部应用单元31若从复合机1收到外部应用33的起动请求，则从外部应用存储单元32读出请求起动的外部应用33，并基于读出的外部应用33而执行各种信息处理。
例如，外部应用单元31根据从复合机1接受了起动请求的外部应用33，进行将表示该外部应用33的操作画面的HTML数据发送到复合机1的处理。此外，例如，在从复合机1的操作单元11所输入的用户命令从复合机1传输到了信息处理装置3的情况下，外部应用单元31基于该用户命令进行信息处理从而生成控制命令，并将生成的控制命令经由第2通信单元30发送到复合机1。
<关于网络服务器单元17>
下面，详细说明在复合机1的网络服务器单元17中执行的处理。如图1所示，网络服务器单元17是具有保存位置检测单元17a、判定单元17b、命令许可与否单元17c的结构。
保存位置检测单元17a是在网络服务器单元17获取了控制命令时，用于检测参与了所获取的控制命令的发送的软件的URL(保存位置)的模块。另外，在控制命令从信息处理装置3的外部应用33发送到网络服务器单元17的模式(pattern)的情况下，参与了该控制命令的发送的软件为信息处理装置3的外部应用33(以下，有时也将该模式称为“第1模式”)。此外，在网络浏览器单元15将与从信息处理装置3提供的HTML数据相应的操作画面显示到显示单元11b，网络浏览器单元15将由来自该操作画面的指示输入而生成的控制命令发送到网络服务器单元17的模式的情况下，参与了该控制命令的发送的软件为信息处理装置3的外部应用33和网络浏览器单元15的网 络浏览器(以下，有时也将该模式称为“第2模式”)。
首先，保存位置检测单元17a通过参照由网络服务器单元17的网络服务器所生成的服务器变量的“REMOTE_ADDR”，从而检测在与网络服务器单元17之间通信连接的软件的URL。因此，在控制命令从信息处理装置3的外部应用33发送到网络服务器单元17的第1模式的情况下，保存位置检测单元17a通过参照服务器变量的“REMOTE_ADDR”而检测外部应用33的URL。此外，在控制命令从网络浏览器单元15发送到网络服务器单元17的第2模式的情况下，保存位置检测单元17a通过参照服务器变量的“REMOTE_ADDR”而检测网络浏览器单元15的网络浏览器的URL。
此外，在将与来自显示单元11b中显示的操作画面的指示相应的控制命令发送到网络服务器单元17的情况下，网络浏览器单元15将作为操作画面的HTML数据的供应源的外部应用33的URL写入该控制命令的HTTP报头的“REFERER”。因此，保存位置检测单元17a通过参照接收到的控制命令的HTTP报头的“REFERER”，从而检测对网络浏览器单元15提供HTML数据的外部应用33的URL。
综上所述，在控制命令从信息处理装置3的外部应用33发送到复合机1的网络服务器单元17的第1模式的情况下，保存位置检测单元17a通过参照服务器变量的“REMOTE_ADDR”，从而能够检测外部应用33的URL。相对于此，在网络浏览器单元15将与从信息处理装置3提供的HTML数据相应的操作画面显示到显示单元11b，网络浏览器单元15将由来自该操作画面的指示输入而生成的控制命令发送到网络服务器单元17的第2模式的情况下，保存位置检测单元17a能够通过参照服务器变量的“REMOTE_ADDR”而检测网络浏览器单元15的URL，通过参照控制命令的HTTP报头的“REFERER”而检测外部应用33的URL。即，第1模式的情况下，检测外部应用33的URL，在第2模式的情况下，检测外部应用33的URL和网络浏览器单元15的URL的组合。
另外，服务器变量的“REMOTE_ADDR”所示的信息是网络服务器单元17的通信目的地的IP地址，该IP地址是从网络服务器单元17的通信目的地所获得的信息。
此外，在从网络浏览器单元15发送到网络服务器单元17的控制命令的HTTP报头的“REFERER”中，写入了与网络浏览器单元15连接的外部应用 33(对网络浏览器单元15提供HTML画面的外部应用33)的URL，但该URL是网络浏览器单元15基于从外部应用33获得的信息而写入的。
因此，可以说基于服务器变量的“REMOTE_ADDR”或HTTP报头的“REFERER”而检测发送源软件的URL的保存位置检测单元17a是基于从发送源得到的信息而检测发送源的URL。
判定单元17b是对存储单元16中存储的判定表(参照图2)所示的每个ID号，通过对比属于各ID号的项目所示的位置信息的URL和由保存位置检测单元17a检测出的URL，从而判定属于各ID号的项目所示的位置信息的URL是否为由保存位置检测单元17a检测出的URL的模块。以下，顺序说明判定表(控制命令许可信息表)的细节、判定单元17b的处理的细节。
图2是表示判定表的一例的图。如图2所示，判定表中顺序示出了ID号，且示出了属于各ID号的项目类别、项目名、位置信息。这里，在本实施方式中，将属于一个ID号的URL的集合设为位置信息。从而，在图2中，ID号1中所属有一个URL(http://example.com/app1/)，属于ID号1的一个URL相当于一个位置信息。此外，ID号2中所属有两个URL(“http://localhost”和“http://example.com/app2/”)，该两个URL的组合相当于一个位置信息。
换言之，在图2中，ID号1中所属有由一个URL(http://example.com/app1/)构成的位置信息，ID号2中所属有由两个URL(“http://localhost”以及“http://example.com/app2/”)构成的位置信息。
另外，在表示多个URL的组合的位置信息所属的ID号(ID号2)中，附上了多个子ID号，各个子ID号中分别与一个URL相关联。
此外，在图2的判定表中，项目类别以及项目名表示在后述的判定处理中与该项目类别以及项目名所属的项目中示出的URL进行对比的对比对象。即，ID号为“1”的项目的URL与服务器变量的“REMOTE_ADDR”中记述的URL进行对比。此外，在ID号为“2”的项目中，子ID号为“1”的项目的URL与服务器变量的“REMOTE_ADDR”中记述的URL进行对比，子ID号为“2”的项目的URL与HTTP报头的“REFERER”中记述的URL进行对比。
此外，所述的位置信息表示参与了执行被许可的控制命令的发送的软件的URL，或者，表示参与了执行被许可的控制命令的发送的软件的URL的组合。
即，在网络服务器单元17接收到控制命令时，服务器变量的“REMOTE_ADDR”中记述的URL与“http://example.com/app1/”一致的情况下，判定单元17b在后述的判定处理中判定为许可该控制命令的执行(参照图2的ID号1的位置信息)。此外，在网络服务器单元17接收到控制命令时，服务器变量的“REMOTE_ADDR”中记述的URL与“http://localhost”一致，并且，HTTP报头的“REFERER”中记述的URL与“http://example.com/app2/”一致的情况下，判定单元17b在后述的判定处理中判定为许可该控制命令的执行(参照图2的ID号2的位置信息)。
另外，图2的“http://example.com/app1/”表示在外部应用存储单元32中存储的外部应用33中的一个URL，图2的“http://localhost”表示网络浏览器单元15的网络浏览器的URL，图2的“http://example.com/app2/”表示在外部应用存储单元32中存储的外部应用33中的一个URL。
下面，说明判定单元17b的判定处理。判定单元17b对判定表的每个ID号，进行用于判定是否由保存位置检测单元17a检测出了属于各个ID号的位置信息中包含的全部的URL的判定处理。另外，该判定处理按照ID号的值从小到大的顺序进行。
具体地说，判定单元17b在某一ID号中，当判定为由保存位置检测单元17a检测出了属于该ID号的位置信息中包含的全部的URL的情况下，在该时刻结束判定处理，并将“真”的判定结果传递给命令许可与否单元17c。相对于此，判定单元17b在某一ID号中，当判定为属于该ID号的位置信息中包含的全部的URL中的至少一个没有被保存位置检测单元17a检测出的情况下，结束对于该ID号的判定处理，并对下一个ID号重复同样的判定处理。并且，在重复了判定处理的结果，当判定单元17b关于全部的ID号，判定为位置信息中包含的URL中的至少一个没有被保存位置检测单元17a检测出的情况下，将“假”的判定结果传递给命令许可与否单元17c。
即，对由一个URL构成的位置信息所属的ID号(ID号1)进行判定处理，在判定为该URL已被保存位置检测单元17a检测出的情况下，在该时刻停止判定处理，“真”的判定结果被传递给命令许可与否单元17c。相对于此，对由一个URL构成的位置信息所属的ID号(ID号1)进行判定处理，在判定为该URL没有被保存位置检测单元17a检测出的情况下，结束对于该ID号的判定处理，进行对于下一个ID号的判定处理。
此外，对由多个URL构成的位置信息所属的ID号(ID号2)进行判定处理，在判定为该位置信息中包含的全部的URL已被保存位置检测单元17a检测出的情况下，在该时刻停止判定处理，“真”的判定结果被传递给命令许可与否单元17c。相对于此，对由多个URL构成的位置信息所属的ID号(ID号2)进行判定处理，在判定为该位置信息中包含的URL中的至少一个没有被保存位置检测单元17a检测出的情况下，结束对于该ID号的判定处理，进行对于下一个ID号的判定处理。
从而，在网络服务器单元7从信息处理装置3接收控制命令的第1模式中，服务器变量的“REMOTE_ADDR”中记述了“http://example.com/app1/”的情况下，保存位置检测单元17a从服务器变量的“REMOTE_ADDR”中检测“http://example.com/app1/”，判定单元17b在对于ID号1的判定处理中，判定为属于ID号1的位置信息所表示的URL已被保存位置检测单元17a检测出，并将“真”的判定结果传递给命令许可与否单元17c。
此外，在网络浏览器单元15将与从信息处理装置3提供的HTML数据相应的操作画面显示到显示单元11b，网络服务器单元17从网络浏览器单元15接收由来自该操作画面的指示输入而生成的控制命令的第2模式中，服务器变量的“REMOTE_ADDR”中记述了“http://localhost”，HTTP报头的“REFERER”中记述了“http://example.com/app2/”的情况下，保存位置检测单元17a以及判定单元17b如下进行处理。首先，保存位置检测单元17a从服务器变量的“REMOTE_ADDR”检测“http://localhost”，并且从HTTP报头的“REFERER”中检测“http://example.com/app2/”。然后，由于保存位置检测单元17a从服务器变量的“REMOTE_ADDR”检测出了“http://localhost”，但是没有检测出“http://example.com/app1/”，因此在对于ID号1的判定处理中，判定为属于ID号1的位置信息所表示的URL没有被保存位置检测单元17a检测出。相对于此，由于保存位置检测单元17a从服务器变量的“REMOTE_ADDR”检测出“http://localhost”，并且从HTTP报头的“REFERER”中检测出“http://example.com/app2/”，因此，判定单元17b在对于ID号2的判定处理中，判定为属于ID号2的位置信息中包含的全部的URL已被保存位置检测单元17a检测出，并将“真”的判定结果传递给命令许可与否单元17c。
命令许可与否单元17c在从判定单元17b传递的判定结果为“真”的情 况下，判定为许可网络服务器单元17接收到的控制命令的执行，将与该控制命令相应的处理的执行命令传递给设备控制单元10。相对于此，命令许可与否单元17c在从判定单元17b传递的判定结果为“假”的情况下，判定为禁止网络服务器单元17接收到的控制命令的执行，并进行错误响应处理(错误通知的输出)。
下面，基于图3的流程图说明网络服务器单元17接收控制命令时的网络服务器单元17的处理流程。网络服务器单元17在S101中等待接收HTTP请求。网络服务器单元17若接收HTTP请求(S101为“是”)，则判定接收到的HTTP请求是否为控制命令(S102)。
网络服务器单元17在判定为接收到的HTTP请求不是控制命令的情况下，将处理返回到S101(S102为“否”)，在判定为接收到的HTTP请求是控制命令的情况下，将处理移动到S103(S102为“是”)。
在S103中，网络服务器单元17检测参与了接收到的控制命令的发送的软件(应用、网络浏览器)的URL。在S104中，网络服务器单元17对存储单元16的判定表的每个位置信息，判定各个位置信息所示的URL(或者URL的组合)是否在S103中检测出。网络服务器单元17在判定为已检测出的情况下，许可控制命令的执行(S105)，在判定为没有检测出的情况下，进行错误响应处理(错误通知的输出)(S106)。在S105或者S106之后，网络服务器单元17将处理返回到S101。
如上所述，本实施方式的复合机1具有用于接收由软件所发送的控制命令的网络服务器单元17、以及存储记述了至少一个由发送执行被许可的控制命令的软件的URL构成的位置信息的判定表的存储单元16。并且，网络服务器单元17是包括以下单元的结构：保存位置检测单元17a，检测参与了接收到的控制命令的发送的软件的URL；判定单元17b，判定是否通过保存位置检测单元17a检测出了所述位置信息的URL；以及命令许可与否单元17c，当判定单元17b判定为没有通过保存位置检测单元17a检测出所述位置信息的URL的情况下，禁止执行接收到的控制命令，当判定单元17b判定为通过保存位置检测单元17a检测出了所述位置信息的URL的情况下，许可执行接收到的控制命令。
根据这样的结构，若不在所述判定表中记述表示低可靠度的软件的URL的位置信息，而在所述判定表中记述表示高可靠度的软件的URL的位置信 息，则不会禁止通过高可靠度的软件所发送的控制命令的执行，且能够禁止通过低可靠度的软件所发送的控制命令的执行。此外，在本实施方式的结构中，当判定单元17b判定为没有通过保存位置检测单元17a检测出在所述判定表中记述的位置信息的URL的情况下，只是禁止执行控制命令，并非对与参与了带来该判定结果的控制命令的发送的软件之间的信息通信也禁止。因此，根据本实施方式的复合机1，起到不封锁控制命令以外的信息通信，就能够不禁止执行通过高可靠度的软件所发送的控制命令，且能够禁止执行通过低可靠度的软件所发送的控制命令的效果。
此外，在本实施方式中，网络服务器单元17还接收多个软件(应用33以及网络浏览器)联合发送的控制命令(称为第1控制命令)。此外，存储单元16中存储的判定表所记述的位置信息中的至少一个是，对参与执行被许可的第1控制命令的发送的多个软件的各个URL进行了列举的第1位置信息。并且，在网络服务器单元17接收到所述第1控制命令的情况下，(a)保存位置检测单元17a检测参与了第1控制命令的发送的多个软件的各自的保存位置，(b)判定单元17b参照存储单元16的判定表，判定是否通过保存位置检测单元17a检测出了第1位置信息中所列举的所有的保存位置，(c)当判定单元17b判定为没有通过保存位置检测单元17a检测出第1位置信息中所列举的所有的URL的情况下，命令许可与否单元17c禁止执行第1控制命令，当判定单元17b判定为通过保存位置检测单元17a检测出了第1位置信息中所列举的所有的保存位置的情况下，许可执行第1控制命令。
根据该结构，关于通过多个软件的联合而发送的控制命令，也能够准确地判定可否执行。例如，可进行如下的设定：关于由网络浏览器单元15的网络浏览器和低可靠度的应用软件的联合所发送的第1控制命令，禁止执行，另一方面，关于由所述网络浏览器和高可靠度的应用软件的联合所发送的第1控制命令，许可执行。
<变形例>
下面说明变形例。在以下的变形例中，说明与上述实施方式的不同点，对于相同点省略大部分，仅叙述一部分。
在本变形例，存储单元16中没有示出图2的判定表，而是图4(a)所示的应用注册表和图4(b)所示的判定表存储在存储单元16中。
图4(a)的应用注册表是复合机1所利用的应用的名称、用于识别该应 用的应用号、该应用的URL相关联的表。
图4(b)的判定表基本上与图2的判定表相同，但在记述了应用的URL的各个项目或者各个子项目中，附上了在对该项目或者该子项目所记录的URL中存储的应用的号码，这一点是图2的判定表中所没有的。即，在图4(b)的判定表中，包含应用的URL的位置信息与该应用的应用号相关联。
并且，在本变形例中，网络服务器单元17具有号检测单元(未图示)，其在接收到控制命令时，检测当前在复合机1中所利用的应用的名称，并基于检测出的应用的名称和图4(a)的应用注册表，检测当前在复合机1中所利用的应用的应用号。
然后，保存位置检测单元17a检测参与了控制命令的发送的软件的保存位置，这一点与在上述实施方式中叙述的内容相同。判定单元17b在存储单元16存储的判定表(参照图4(b))所示出的ID号中，仅选择与由号检测单元检测出的应用号相关联的ID号。并且，判定单元17b仅对所选择的ID号，进行属于该ID号的位置信息所示的全部的URL是否被保存位置检测单元17a检测出的判定处理。
并且，判定单元17b在某一ID号中，当判定为由保存位置检测单元17a检测出了属于该ID号的位置信息中包含的全部的URL的情况下，在该时刻结束判定处理，并将“真”的判定结果传递给命令许可与否单元17c，这一点与上述的实施方式相同。相对于此，判定单元17b在某一ID号中，当判定为属于该ID号的位置信息中包含的全部的URL中的至少一个没有被保存位置检测单元17a检测出的情况下，结束对于该ID号的判定处理，并对下一个ID号重复同样的判定处理。并且，在重复了判定处理的结果，当判定单元17b关于所选择的全部的ID号，判定为位置信息中包含的URL中的至少一个没有被保存位置检测单元17a检测出的情况下，将“假”的判定结果传递给命令许可与否单元17c。
即，在本变形例，在存储单元16中相关联地存储了表示应用(软件)的URL的位置信息、以及表示该应用的应用号(软件信息)。并且，在存储单元16所存储的位置信息中，判定单元17b仅参照与表示复合机1中正在利用的应用的应用号相关联的位置信息而进行所述判定。
由此，不会执行由复合机1中没有在利用的软件所发送的控制命令，因此安全被强化。另外，以下说明通过禁止执行由复合机1中没有在利用的软 件所发送的控制命令而强化安全的理由。
例如，假设具有操作画面相同或者相似的应用A和B，应用A是进行将扫描后的图像数据发送到地址a的处理的软件，应用B是进行将扫描后的图像数据发送到地址b的处理的软件。并且，当应用A正在被复合机1利用(执行)时(即应用A的操作画面正在复合机1中显示)，复合机1从应用B接收了表示操作画面的显示命令的控制命令的情况下，假如许可该控制命令的执行，则复合机1中显示的图像会从应用A的操作画面切换为应用B的操作画面，并且，从执行应用A的状态转变为执行应用B的状态。这时，由于应用A的操作画面和应用B的操作画面相同或者相似，因此存在用户不会注意到所执行的应用已改变而继续进行操作的危险。并且，如果用户没有注意到所执行的应用的变化而继续进行操作，则原本应发送到地址a的图像数据会发送到地址b，产生信息泄漏。相对于此，根据本变形例的结构，禁止执行来自复合机1中没有在利用的应用的控制命令，因此能够抑制上述那样的信息泄漏(即，安全被强化)。
<应用封装>
下面，基于图6的流程图说明将与某一应用(以下设为“应用C”)对应的位置信息、项目名、项目类别、应用号注册到图4(b)的判定表的方法。
首先，将与应用C对应的位置信息、URL、项目类别、项目名、应用号、应用名、表示了识别信息的应用封装保存到可移动记录介质(例如USB存储器)。另外，图5(a)是表示在应用封装中包含的应用名以及URL的图，图5(b)是表示在应用封装中包含的项目类别、项目名、位置信息的图。
并且，将保存了应用封装(封装信息)的可移动记录介质(可移动介质)插入到复合机1的插槽，并将可移动记录介质中存储的应用封装安装到复合机1。
若该安装开始，则复合机1的设备控制单元10将该应用封装中包含的各个信息在复合机1的存储器(未图示)中展开(S11)。
接着，设备控制单元10判定存储器中所展开的识别信息是否有效(S12)。关于这一点以下具体说明。首先，识别信息是表示应用封装的真实性的识别符，例如使用供应商密钥。在复合机1中预先注册了与该识别信息相同的信息。并且，在S12中，设备控制单元10对存储器中展开的识别信息与预先注册的识别信息进行对比，如果两个信息一致则判定为“有效”，如果两个信息 不同则判定为“无效”。
设备控制单元10在将存储器中展开的识别信息判定为无效的情况下(S12为“否”)，不将存储器中展开的应用封装的信息注册到存储单元16而结束处理。
相对于此，设备控制单元10在将存储器中展开的识别信息判定为有效的情况下(S12为“是”)，将图5(a)所示的应用名以及URL注册到图4(a)的应用注册表(S13)。这时，图4(a)中所示的应用号通过设备控制单元10而被分配。
在S13的处理结束之后，设备控制单元10将图5(b)所示的项目类别、项目名、位置信息和由S13所分配的应用号注册到图4(b)的判定表(S14)。这时，图4(b)的判定表中的ID号通过设备控制单元10而被分配，图5(b)的表中所示的ID号在图4(b)的判定表中作为子ID号来使用。设备控制单元10在S14之后，结束处理。
另外，以上说明的图6的处理是对于图4(b)所示的判定表的注册处理，但也能够应用到对于图2所示的判定表的注册处理中。但是，在对于图2所示的判定表的注册处理中，省略S13的步骤，并且，在S14中，省略应用号的注册。此外，在对于图2所示的判定表的注册处理中，不需要将图5(a)所示的应用名以及URL包含于应用封装中。
根据以上所示的处理，若应用封装被安装到复合机1，则设备控制单元(注册单元)10将应用封装中包含的位置信息、项目类别、项目名、应用名等各个信息统一注册到存储单元16。因此，具有实现注册处理的简化的优点。
此外，在应用封装中，除了图5(a)和图5(b)所示的各个信息之外，若将运行应用所需的各种信息包含于所述封装中，则该信息也能够统一注册，能够实现进一步的注册作业的简化。
进而，根据以上的处理，判定应用封装的识别信息的有效性，并在有效时进行S13以及S14的注册，因此能够仅注册与可靠度高的应用对应的位置信息。此外，本实施方式的应用封装是从可移动介质安装到复合机1，并非是通过通信网络50进行通信而得到的，因此也不存在所述的识别信息通过通信网络50而外流的危险。
另外，在以上的实施方式中，判定单元17b对每个ID号，进行用于判定是否由保存位置检测单元17a检测出了属于各个ID号的位置信息中包含的全 部的URL的判定处理。在该判定处理中，判定单元17b可以仅在位置信息的第1URL和由保存位置检测单元17a检测出的URL完全相同的情况下识别为由保存位置检测单元17a检测出了所述位置信息的所述第1URL，也可以在位置信息的第1URL与由保存位置检测单元17a检测出的URL的开头部分相同的情况下也识别为由保存位置检测单元17a检测出了所述位置信息的第1URL。例如，可以仅在由保存位置检测单元17a检测出的URL为“http://example.com/app1/”的情况下判定为由保存位置检测单元17a检测出了图2的ID号1的URL，也可以是，不仅在由保存位置检测单元17a检测出的URL为“http://example.com/app1/”的情况，在由保存位置检测单元17a检测出了“http://example.com/app1/page1.html”或“http://example.com/app1/somepage.html”的情况下，也判定为由保存位置检测单元17a检测出了图2的ID号1的URL。
此外，在本实施方式中，作为表示外部应用以及网络浏览器等软件的保存位置的信息而使用URL，但也可以使用IP地址。
此外，在本实施方式中，网络服务器单元17构成为，包括保存位置检测单元17a、判定单元17b、命令许可与否单元17c，并且作为在接收由软件发送的控制命令时判定是否许可该控制命令的执行的执行许可判定单元来发挥作用，但不限于这样的结构。即，也可以是网络服务器单元17以外的模块具备保存位置检测单元17a、判定单元17b、命令许可与否单元17c，此时该模块作为执行许可判定单元来发挥作用。例如，也可以是设备控制单元10包括保存位置检测单元17a、判定单元17b、命令许可与否单元17c，并且作为在接收由软件发送的控制命令时判定是否许可该控制命令的执行的执行许可判定单元来发挥作用。
本发明不限于上述的实施方式，在权利要求所示的范围内可进行各种变更。即，关于对在权利要求所示的范围内适当变更的技术手段进行组合而得到的实施方式，也包含在本发明的技术范围内。
另外，网络服务器单元17、网络浏览器单元15、设备控制单元10的各个模块可以通过硬件逻辑来构成，也可以如下那样使用CPU并通过软件来实现。
即，以上的各个模块具有执行用于实现各个功能的控制程序的命令的CPU(中央处理单元)、存储了上述程序的ROM(只读存储器)、展开上述程 序的RAM(随机存取存储器)、存储上述程序以及各种数据的存储器等存储装置(记录介质)等。并且，通过将以计算机可读取的方式记录了实现上述的功能的软件即控制程序的程序代码(执行形式程序、中间代码程序、源程序)的记录介质提供给上述复合机1，并由该计算机(或者CPU、MPU)读出并执行记录介质中所记录的程序代码，也能够达成本发明的目的。
作为上述记录介质，例如可以使用磁带和盒带等带系列、包含软(注册商标)盘/硬盘等磁盘或CD-ROM/MO/MD/DVD/CD-R等光盘的盘系列、IC卡(包含存储卡)/光卡等卡系列、或者掩膜ROM/EPROM/EEPROM/闪速ROM等半导体存储器系列等。
此外，也可以将复合机1构成为能够与通信网络连接，并且经由通信网络而提供上述程序代码。作为该通信网络，不特别限定，例如可利用互联网、内部网(intranet)、外部网、LAN、ISDN、VAN、CATV通信网、虚拟专用网(virtual private network)、电话线路网、移动体通信网、卫星通信网等。此外，作为构成通信网络的传输介质，不特别限定，例如，无论是IEEE1394、USB、电力线传播、线缆TV线路、电话线、ADSL线路等有线，还是IrDA或遥控器那样的红外线、蓝牙(注册商标)、802.11无线、HDR、便携式电话网、卫星线路、地波数字网等无线都可以利用。
此外，本实施方式能够应用于实现复印、扫描、FAX等多个功能的复合机中。
<实施方式的总结>
如上所述，本实施方式的复合机的特征在于，包括：网络服务器单元，接收通过软件发送的控制命令；以及存储单元，存储至少一个表示了发送执行被许可的控制命令的软件的保存位置的位置信息，所述网络服务器单元包括：保存位置检测单元，检测参与了接收到的控制命令的发送的软件的保存位置；判定单元，判定是否通过所述保存位置检测单元检测出了所述位置信息所表示的保存位置；以及命令许可与否单元，当所述判定单元判定为没有通过所述保存位置检测单元检测出所述位置信息所表示的保存位置的情况下，禁止执行接收到的控制命令，当所述判定单元判定为通过所述保存位置检测单元检测出了所述位置信息所表示的保存位置的情况下，许可执行接收到的控制命令。
根据本实施方式的结构，若不在存储单元中保存表示低可靠度的软件的 保存位置的位置信息，而在存储单元中保存表示高可靠度的软件的保存位置的位置信息，则不会禁止通过高可靠度的软件所发送的控制命令的执行，且能够禁止通过低可靠度的软件所发送的控制命令的执行。此外，在本发明中，当判定单元判定为没有通过保存位置检测单元检测出在存储单元中存储的位置信息所表示的保存位置的情况下，只是禁止执行控制命令，并非对与参与了带来该判定结果的控制命令的发送的软件之间的信息通信也禁止。因此，根据本发明的复合机，起到不封锁控制命令以外的信息通信，就能够不禁止执行通过高可靠度的软件所发送的控制命令，且能够禁止执行通过低可靠度的软件所发送的控制命令的效果。
本实施方式的复合机的特征在于，除了上述结构之外，所述网络服务器单元所接收的所述控制命令中具有多个软件联合发送的第1控制命令，所述存储单元所存储的位置信息中的至少一个是，列举了参与执行被许可的第1控制命令的发送的多个软件的各自的保存位置的第1位置信息，在所述网络服务器单元接收到第1控制命令的情况下，(a)所述保存位置检测单元检测参与了接收到的第1控制命令的发送的多个软件的各自的保存位置，(b)所述判定单元参照所述存储单元，判定是否通过所述保存位置检测单元检测出了第1位置信息中所列举的所有的保存位置，(c)当所述判定单元判定为没有通过所述保存位置检测单元检测出第1位置信息中所列举的所有的保存位置的情况下，所述命令许可与否单元禁止执行所述第1控制命令，当所述判定单元判定为通过所述保存位置检测单元检测出了第1位置信息中所列举的所有的保存位置的情况下，许可执行所述第1控制命令。
根据该结构，关于通过多个软件的联合而发送的第1控制命令，也能够准确地判定可否执行。例如，可进行如下的设定：关于由网络浏览器A和低可靠度的应用软件B联合发送的控制命令，禁止执行，另一方面，关于由所述的网络浏览器A和高可靠度的应用软件C联合发送的控制命令，许可执行。
本实施方式的复合机的特征在于，除了上述结构之外，所述存储单元中所述位置信息以及表示在该位置信息所示的保存位置中保存的软件的软件信息相关联地存储，在所述存储单元中存储的位置信息中，所述判定单元仅参照与表示所述复合机正在利用的软件的软件信息相关联的位置信息而进行所述判定。
根据该结构，即使是高可靠度的软件所发出的控制命令，如果是复合机 当前没有在使用的软件所发出的控制命令，则不会被禁止执行，因此起到安全被强化的效果。
本实施方式的复合机的特征在于，除了上述结构之外，包括：注册单元，若包含所述位置信息的封装信息从插入到所述复合机的可移动介质被安装到所述复合机，则将所述封装信息中包含的所述位置信息注册到所述存储单元。
根据该结构，只要安装包含所述位置信息的封装信息就能够将位置信息注册到复合机，具有能够简便地进行位置信息的注册的优点。此外，在除了所述位置信息之外，若将运行所述软件所需的各种信息包含于所述封装中，则这些信息也能够统一注册，能够实现注册作业的简化。
另外，本实施方式的网络服务器单元可以通过计算机来实现，这时，用于使计算机作为上述网络服务器单元来工作的程序、以及记录了该程序的计算机可读取的记录介质也包含在本实施方式的范畴内。
如上所述，根据本实施方式的复合机，起到不封锁控制命令以外的信息通信，就能够不禁止执行通过高可靠度的软件所发送的控制命令，且能够禁止执行通过低可靠度的软件所发送的控制命令的效果。