访问限制文件、限制文件生成装置

摘要

本发明提供访问限制文件及生成该访问限制文件的装置，可以从通用的信息处理装置委托利用管理服务器进行访问权确认。限制文件(40)包含加密数据(41)和标题(42)和自解压缩应用软件(43)。标题中含有表示该限制文件的加密数据的解码或针对解码后的数据的操作(浏览、页移动、印刷、变更、复制)所涉及的访问权的确认地的管理服务器的确认地信息(地址信息)。自解压缩应用软件在利用任意信息处理装置双击限制文件时，进行自解压缩而动作，在进行了下述程序的取得、安装、启动之后，使该程序监视解码或解码后的数据，所述程序是进行向标题内的确认地信息所示的管理服务器确认访问权的处理的程序。

说明书

技术领域

本发明涉及通过加密等对数据施加访问限制的访问限制文件及生成该访问限制文件的限制文件生成装置。

背景技术

在将机密信息等重要数据向外部携带或布署的情况下，从防止信息泄漏的观点出发，通常进行利用加密等的访问限制。

此时，如果仅对数据加密，当以某方法得到密钥而将其解码，则随后的监视将无效。另外，在施以访问限制而进行了布署之后，会有想要提高安全等级或想要变更口令等想要变更限制信息的情况。

在特开2005-309881号公报中，关于文书数据的印刷限制，公开有考虑了上述问题、要求的系统。在该系统中，用管理服务器对密钥和允许打印的打印机或文书的ID(Identification)等限制信息进行管理，被指示进行加密文书的印刷的打印机将该加密文书的文书ID或该打印机的打印机ID等发送给管理服务器，询问是否可以印刷，仅在被允许的情况下，用管理服务器所具有的密钥对加密文书进行解码而印刷。由此，能够利用打印机ID或文书ID等限制信息来进行访问限制，同时通过变更在管理服务器上登录的限制信息，即便在布署了加密文件后也可以变更印刷的允许与否的条件。

在将重要数据加密而携带到出差地等的情况下，在特开2005-309881号公报所公开的技术中，能够印刷加密文书的仅限于具备向管理服务器的访问功能的打印机。为此，如果在出差地没有具备该功能的打印机，则即便能够变更在管理服务器上登录的限制信息(例如许可印刷的打印机的打印机ID)，也无法将加密文书解码而印刷。

发明内容

本发明为了克服上述问题，其目的之一在于，提供一种能够从通用的信息处理装置判断基于管理服务器的访问权的访问限制文件及生成该访问限制文件的限制文件生成装置。

因此，为了克服上述缺点，本发明的上述目的可以通过如下所示的访问限制文件及限制文件生成装置来实现。

[1]一种访问限制文件，其特征在于，包含被限制访问的数据和表示针对上述数据的访问权的确认地的管理服务器的确认地信息。

在上述发明中，访问限制文件自身包含表示针对被限制访问的数据的访问权的确认地的管理服务器的确认地信息。由此，即便在使用该访问限制文件的用户或信息处理装置不知确认地的管理服务器的情况下，也可以委托所指定的管理服务器进行访问权的确认，可以在确保安全的情况下通过通用的信息处理装置来利用访问限制文件。

[2]根据[1]中记载的访问限制文件，其特征在于，进而还含有使带有通信功能的信息处理装置执行委托上述确认地信息所示的管理服务器进行上述确认的处理的程序、或使上述信息处理装置进行取得上述程序的处理的取得程序。

在上述发明中，通过附加在访问限制文件上的程序或由所附加的取得程序而取得的程序，可以使带有通信功能的信息处理装置进行访问权的确认的委托处理。由此，用户没有必要准备与访问限制文件相对应的程序，即便是未安装对应程序的信息处理装置，也可以利用访问限制文件。即，只要有访问限制文件，就可以通过任意信息处理装置来委托访问限制文件的访问权的确认。

[3]根据[2]中记载的访问限制文件，其特征在于，上述程序使上述信息处理装置动作，以使在受理了对上述数据进行规定操作的请求时，委托上述管理服务器进行上述确认，在访问权被确认的情况下，许可针对上述数据的上述操作，在访问权未被确认的情况下，禁止针对上述数据的上述操作。

在上述发明中，与针对访问限制文件内的数据的操作的许可/禁止有关的监视动作，可以通过在访问限制文件上附加的程序或由所附加的取得程序而取得的程序来进行。由于在每次操作时都对访问权进行确认，所以与经一次确认而随后就访问自由的情况相比，可以确保高安全性。

[4]根据[3]中记载的访问限制文件，其特征在于，上述程序使上述信息处理装置动作，以使在上述操作持续了规定时间时，再次委托上述确认，在访问权被确认的情况下，许可继续进行针对上述数据的上述操作，在访问权未被确认的情况下，禁止继续进行针对上述数据的上述操作。

在上述发明中，在操作持续规定时间的情况下，再次进行访问权的确认。由于每当经过规定时间就进行访问权的确认，所以与经一次确认而随后就访问自由的情况相比，可以确保高安全性。

[5]根据[3]中记载的访问限制文件，其特征在于，上述操作是上述数据的开始浏览、上述数据中的浏览页的变更、上述数据的更新、上述数据的印刷、上述数据的复制中的至少一种。

在上述发明中，每当发生数据的开始浏览、浏览页的移动、数据的更新、印刷、复制等操作时就要确认访问权。

[6]根据[2]～[5]中任意一项记载的访问限制文件，其特征在于，上述程序使上述信息处理装置动作，使得输入在上述确认中使用的核对信息，附加该已输入的核对信息进行上述委托。

在上述发明中，当使用访问限制文件时，要求输入在访问权的确认中使用的核对信息。例如，使用该访问限制文件的用户的用户ID、口令、信息处理装置的装置ID等被视为核对信息。

[7]根据[1]～[6]中任意一项记载的访问限制文件，其特征在于，上述被限制访问的数据是加密数据。

在上述发明中，被限制访问的数据通过加密来确保其安全。在访问权被确认的情况下，例如由管理服务器提供解码密钥而访问限制被解除。另外，关于针对浏览或印刷等操作的监视，通过将解码后的数据置于在访问限制文件上附加的程序或由所附加的取得程序而取得的程序的监视下来进行。

[8]一种限制文件生成装置，其特征在于，具有生成部，所述生成部生成访问限制文件，该访问限制文件包含被限制访问的数据和表示针对上述数据的访问权的确认地的管理服务器的确认地信息。

在上述发明中，生成包含被限制访问的数据和表示针对该数据的访问权的确认地的管理服务器的确认地信息的访问限制文件。由此，即便在使用该访问限制文件的用户或信息处理装置不知确认地的管理服务器的情况下，也可以委托所指定的管理服务器进行访问权的确认，可以在确保安全的同时通过通用的信息处理装置来利用访问限制文件。

[9]根据[8]中记载的限制文件生成装置，其特征在于，进而具有在上述管理服务器上登录用于确认上述访问权的条件信息的条件登录部。

在上述发明中，用于确认对访问限制文件的访问权的条件信息被登录在管理服务器上。条件信息成为有无访问权的判断基准，例如，在限制使用用户的情况下，可以使用的用户的信息作为条件信息登录，在限制使用终端的情况下，可以使用的终端的信息作为条件信息登录，在限制使用期间的情况下，表示可以使用的期间的信息作为条件信息登录，在限制可以使用的操作的情况下，可以使用的操作的信息作为条件信息登录。

[10]根据[8]或者[9]记载的限制文件生成装置，其特征在于，上述生成部，在上述访问限制文件中还包含使用上述确认地信息使带有通信功能的信息处理装置执行委托上述管理服务器进行上述确认的处理的程序、或使上述信息处理装置进行取得上述程序的处理的取得程序。

在上述发明中，可以通过附加在访问限制文件上的程序或由所附加的取得程序而取得的程序，使带有通信功能的信息处理装置进行访问权的确认的委托处理。由此，用户没有必要准备与访问限制文件相对应的程序，即便是未安装对应程序的信息处理装置，也可以利用访问限制文件。即，只要有访问限制文件，就可以通过任意信息处理装置来确认访问限制文件的访问权并利用。

[11]根据[10]中记载的限制文件生成装置，其特征在于，上述程序使上述信息处理装置动作，以使在受理了对上述数据进行规定操作的请求时，委托上述管理服务器进行上述确认，在访问权被确认的情况下，许可针对上述数据的上述操作，在访问权未被确认的情况下，禁止针对上述数据的上述操作。

在上述发明中，与针对访问限制文件内的数据的操作的许可/禁止有关的监视动作，可以通过在访问限制文件上附加的程序或由所附加的取得程序而取得的程序来进行。由于在每次操作时都对访问权进行确认，所以与经一次确认而随后就访问自由的情况相比，可以确保高安全性。

[12]根据[11]中记载的限制文件生成装置，其特征在于，上述程序使上述信息处理装置动作，以使在上述操作持续了规定时间时，再次委托上述确认，在访问权被确认的情况下，许可继续进行针对上述数据的上述操作，在访问权未被确认的情况下，禁止继续进行针对上述数据的上述操作。

在上述发明中，在操作持续规定时间的情况下，再次进行访问权的确认。由于每当经过规定时间就进行访问权的确认，所以与经一次确认而随后就访问自由的情况相比，可以确保高安全性。

[13]根据[11]中记载的限制文件生成装置，其特征在于，上述操作包括上述数据的开始浏览、上述数据中的浏览页的变更、上述数据的更新、上述数据的印刷、上述数据的复制中的至少一种。

在上述发明中，每当发生数据的开始浏览、浏览页的移动、数据的更新、印刷、复制等操作时就要确认访问权。

[14]根据[10]～[13]中任意一项记载的限制文件生成装置，其特征在于，上述程序使上述信息处理装置动作，使得输入在上述确认中使用的核对信息，附加该已输入的核对信息进行上述委托。

在上述发明中，当使用访问限制文件时，要求输入在访问权的确认中使用的核对信息。例如，使用该访问限制文件的用户的用户ID、口令、信息处理装置的装置ID等被视为核对信息。

[15]根据[8]～[14]中任意一项记载的限制文件生成装置，其特征在于，上述被限制访问的数据是加密数据，上述生成部对普通文本进行加密而生成上述加密数据。

在上述发明中，被限制访问的数据通过加密来确保其安全。在访问权被确认的情况下，例如由管理服务器提供解码密钥而访问限制被解除。另外，关于针对浏览或印刷等操作的监视，通过将解码后的数据置于在访问限制文件上附加的程序或由所附加的取得程序而取得的程序的监视下来进行。

附图说明

图1是表示本发明的实施方式涉及印刷系统的系统构成例的说明图。

图2是表示本发明的实施方式涉及的图像形成装置的简要构成的框图。

图3是表示终端装置的简要构成的框图。

图4是表示本发明的实施方式涉及的限制文件的数据构成的说明图。

图5是表示在终端装置和图像形成装置之间通信的各种信号的数据结构的说明图。

图6是表示在各种信号的各区域储存的信息的详细内容的说明图。

图7是表示根据来自终端装置的复印操作请求而生成限制文件时的图像形成装置的动作的流程图。

图8是表示管理表格的数据构成的说明图。

图9是与图7的动作对应的次序图(步骤S102为否的情况)。

图10是与图7的动作对应的次序图(步骤S103为否的情况)。

图11是与图7的动作对应的次序图(步骤S103为是的情况)。

图12是表示MFP驱动器的印刷设定画面的主视图。

图13是表示MFP驱动器的属性画面的主视图。

图14是表示MFP驱动器的操作许可条件设定画面的主视图。

图15是表示在情形2的加密中终端装置所进行的动作的流程图。

图16是表示在情形2的加密中图像形成装置所进行的动作的流程图。

图17是与图15、图16涉及的动作对应的次序图。

图18是表示在利用限制文件时由信息处理装置进行的处理的流程图。

图19是表示已从终端装置接收解码密钥请求的管理服务器的动作的流程图。

图20是表示由信息处理装置进行的该应用软件的安装要求处理的流程图。

图21是表示已从终端装置接收安装请求的管理服务器的动作的流程图。

图22是与在图18的处理中未安装该应用软件时(在步骤S407中为否)的动作对应的次序图。

图23是继续图22的次序图。

图24是与在图18的处理中已安装完该应用软件时(在步骤S407中为是)的动作对应的次序图。

图25是继续图24的次序图。

图26是表示监视针对解码数据的操作的应用程序的动作的流程图。

图27是表示已从终端装置接收继续确认请求的管理服务器的动作的流程图。

图28是与图26、图27中确认结果为有访问权时的动作相对应的次序图。

图29是与图26、图27中确认结果为没有访问权时的动作相对应的次序图。

图30是与图26、图27中因通信障碍等而无法接收针对命令信号5的结果信号5时的动作相对应的次序图。

图31表示监视针对解码数据的操作的应用程序的动作中与操作请求发生相伴随的处理(与图26的步骤S503相对应的处理)的流程。

图32是与图31的动作相对应的次序图。

具体实施方式

以下，根据附图说明本发明的实施方式。

图1示出含有本发明的实施方式涉及的图像形成装置20的印刷系统2的构成例。印刷系统2通过网络连接包括作为限制文件生成装置及管理服务器的功能的图像形成装置20、和个人电脑等终端装置10而构成。在该例中，在第一LAN(局域网：Local Area Network)3上连接有图像形成装置20a、20b和终端装置10a，在第二LAN 4上连接有图像形成装置20c、20d和终端装置10b，第一LAN 3和第二LAN 4借助互联网等WAN(广域网：Wide Area Network)5连接。

图像形成装置20是通常被称为复合机的装置，其具有光学性读取原稿图像并将其复制图像印刷到记录纸上的复印功能、将已读取的原稿的图像数据保存在文件中或向外部终端发送的扫描功能、在记录纸上形成从个人电脑等外部终端接收的印刷任务涉及的图像并输出的印刷功能、和收发图像数据的传真功能等。需要说明的是，以后将图像形成装置20也称为MFP。

对图像形成装置20分别给予固有的装置ID(Identification)。在图1的例子中，图像形成装置20a(MFP1)的装置ID为“A-20-001”，图像形成装置20b(MFP2)的装置ID为“A-20-002”，图像形成装置20c(MFP3)的装置ID为“A-30-001”，图像形成装置20d(MFP4)的装置ID为“A-30-002”。通过这些装置ID，确定可以由该图像形成装置利用的MFP驱动器成为可能。

图像形成装置20进而还具有作为限制文件生成装置的功能，即在将本机中保存的图像数据或从终端装置10等外部装置送来的数据加密的同时，生成包括对通过该加密得到的数据(称为加密数据)附加用于限制针对其解码或解码后的数据的各种操作(开始浏览、浏览页的移动(页变更)、印刷、变更、复制等)的信息的数据的限制文件40。

限制文件40从图像形成装置20向终端装置10输出而在其输出目的地的终端装置10被利用，除此之外，存储在作为可拆卸的存储介质的USB(通用串行总线：Universal Serial Bus)存储器6中，携带到外部而使用。限制文件40即便在被携带到外部的情况下，也具备在确保安全的同时能被任意外部终端利用的数据构成。

详细而言，限制文件40具备包括加密数据41、标题(header)42、和作为自解压缩型的程序的自解压缩应用软件43的数据构成。在标题42中登录有表示针对加密数据41的解码或解码后的数据的访问权的确认地的管理服务器的确认地信息(例如地址信息)。在本实施方式中，已生成限制文件40的图像形成装置20发挥确认该限制文件40的访问权的管理服务器的功能。

在限制文件40中所含的自解压缩应用软件43，是在任意的带有通信功能的信息处理装置对该限制文件40进行双击等规定操作时进行自解压缩而动作的程序。自解压缩后的自解压缩应用软件43，发挥使加载有自解压缩应用软件43的带有通信功能的信息处理装置进行下述处理的功能，所述处理是对含于标题42中的地址信息所示的管理服务器委托进行针对加密数据41的解码或解码后的数据的各种操作的执行权(访问权)的确认的处理。

限制文件40的利用方式有：根据来自与第一LAN 3连接的终端装置10a的委托，从图像形成装置20a向终端装置10a输出由图像形成装置20a加密而生成的限制文件40(P1)，将其存在USB存储器6中而携带(P2)，由与第二LAN 4连接的终端装置10b针对该限制文件40的解码或解码后的数据进行各种操作。此时，如果由终端装置10b双击限制文件40，自解压缩应用软件43在自解压缩后读出含于标题42中的确认地信息(地址信息)，按照委托该确认地信息所示的管理服务器(图像形成装置20a)进行有无访问权的确认的方式，使终端装置10b动作(P3)。在确认了作为管理服务器的图像形成装置20a有访问权的情况下，向终端装置10b发送解码密钥(P4)。接收到该解码密钥的终端装置10b使用其对加密数据41进行解码，并进行基于该数据的印刷等(P5)。

图2是表示图像形成装置20的简要构成的框图。图像形成装置20经总线22在作为对该图像形成装置20的动作进行总体控制的控制部的CPU(中央处理器：Central Processing Unit)21上连接ROM(只读存储器：Read Only Memory)23、RAM(随机存取存储器：Random Access Memory)24、硬盘装置25、非易失性存储器26、操作显示部27、认证部28、传真通信部31、网络通信部32、图像处理部33、扫描部34、和打印部35而构成。

在ROM23中储存各种程序，CPU21按照这些程序执行处理，由此实现作为图像形成装置20的各种功能。RAM24是在CPU21执行程序时临时储存各种数据的工作存储器、储存图像数据的图像存储器、作为临时保存与收发有关的数据的通信缓冲器等而使用的随机存取存储器。

硬盘装置25是非易失性且大容量的存储装置。硬盘装置25中存储有用于登录作为管理服务器的功能所涉及的各种数据的管理表格37。另外，作成按用户不同或组别不同被管理的存储区域的框(box)38。框中保存有图像数据等。对框的访问由口令等来限制。

非易失性存储器26是即便切断电源也可以保持其存储内容的可以重写的存储器。在非易失性存储器26中，当将数据加密而生成限制文件40时存储该加密对象数据的所在地信息(文件路径信息)等。除此之外，在非易失性存储器26中存储针对图像形成装置20设定的各种设定内容、用户信息、用户的认证信息、装置ID、系统信息、该图像形成装置20的地址信息(作为管理服务器的IP(网际协议：Internet Protocol)地址、URL(一致资源定址器：Uniform Resource Locator))、为与图像形成装置20进行通信所必需的应用程序(MFP驱动器)的名称或版本信息等。

操作显示部27由液晶显示器(LCD：Liquid Crystal Display)、设置在其画面上且对按下的坐标位置进行检测的触摸板、数字键、启动按钮等各种操作开关构成，在LCD画面上显示各种操作画面、设定画面、引导画面、警告画面等，从用户受理各种操作。例如，从操作显示部27接受用户ID和口令的输入，通过与预先对它们进行登录的用户认证信息核对来进行用户认证。除此之外，可以构成为与位于图像形成装置20附近的用户所持有的个人认证用无线卡进行通讯，从该卡读出用户信息，由此进行用户认征等。

传真通信部31进行呼出(拨号：dial)、呼入、与电话线路的连接等用于传真发送或传真接收的各种通信控制。

网络通信部32发挥借助LAN等网络与其他图像形成装置20或终端装置10通信而对各种数据或信息进行收发的功能。

图像处理部33具备进行如下处理的功能，所述处理有：将从终端装置10接收到的印刷数据转换成图像数据(位图数据)的光栅化处理、图像数据的压缩处理或扩展处理、数据的加密或解码处理、图像的旋转处理等。

扫描部34发挥光学性读取原稿而获得图像数据的功能。扫描部34例如具备向原稿照射光的光源、接受其反射光并在宽度方向读取原稿1行量的行式映像传感器、使行单位的读取位置在原稿的长度方向上顺次移动的移动机构、将来自原稿的反射光导向行式映像传感器并使其成像的透镜或反射镜等所构成的光学路径、将行式映像传感器所输出的模拟图像信号转换成数字图像数据的转换部等构成。

打印部35发挥将对应于图像数据的图像印刷到记录纸上的功能。在这里，具有记录纸的运送装置、感光体鼓、带电装置、激光单元、显影装置、转印分离装置、清洁装置、和定影装置，通过电子照相工艺进行图像形成，即构成为所谓的激光打印机。可以为其他方式的打印机。

图3示出终端装置10的构成例。终端装置10是在通用的PC(PersonalComputer)上安装规定的程序而构成的。终端装置10借助总线52在CPU51上连接ROM53、RAM54、网络I/F部55、操作部56、显示装置57、硬盘装置58、非易失性存储器59等而构成。

在ROM53中存储有由CPU51执行的启动程序或各种固定数据。在非易失性存储器59中存储使用该终端装置10的用户的用户信息或用户ID、用户的认证信息、该终端装置10的识别信息(终端ID)、IP地址等。

另外，在硬盘装置58中，除了OS(操作系统：Operating System)程序61之外，还存储有在该OS上动作的各种应用程序62、MFP驱动器63等。MFP驱动器63或应用程序62被执行时被从硬盘装置58读出而在RAM54中展开，CPU51执行在RAM54上展开的这些程序。

操作部56由键盘、鼠标(点击设备)等构成，从用户受理文书的输入操作、成为印刷对象或加密对象的数据或文件的指定或处理的执行指示等。显示装置57由液晶显示器等构成，按照由MFP驱动器63或应用程序62、OS程序61作成的显示数据来显示操作画面、设定画面、警告画面等各种画面。网络I/F55通过LAN 3、4等网络与图像形成装置20或其他终端装置10等进行各种数据的收发。

在终端装置10中，当受理对限制文件40进行双击等启动操作时，OS程序61启动限制文件40所含的自解压缩应用软件43，进行其自解压缩，进而按照使CPU51执行其自解压缩后的程序的方式进行控制。另外，通过由CPU51执行应用程序62，进行文书或图像等的浏览、印刷、复制、更新等操作的受理或针对该操作的动作。自解压缩后的自解压缩应用软件43对应用程序62的动作进行监视。详细而言，进行如下所述的处理，即监视通过应用程序62对将限制文件40解码后得到的数据进行浏览或各种操作的状况，查询标题42中所含的确认地信息所示的管理服务器来确认有无针对浏览或操作的访问权。

图4更详细地示出限制文件40的数据构成。在标题42中登录有(1)委托图像形成装置20生成该限制文件40的用户的识别信息(用户ID)、(2)生成了该限制文件40的图像形成装置20的识别信息(装置ID)、(3)用于和确认地信息所示的管理服务器进行通信的应用程序所涉及的信息(应用软件信息)、(4)针对该限制文件40的访问权的确认地信息、和(5)限制文件ID。

装置ID由示出公司代码的第一属性、示出机种代码的第二属性、和示出作业号代码的第三属性构成。例如，在“A-20-001”的装置ID中，第一属性为“A”，第二属性为“20”，第三属性为“001”。装置ID的数据构成并不限于此。

应用软件信息在这里是表示与已生成该限制文件40的图像形成装置20相对应的MFP驱动器的信息(驱动器名或版本)。确认地信息是已生成该限制文件40的图像形成装置20的网络上的地址信息。例如，HTTP(超文本传输协议：Hyper Text Transfer Protocol)协议中的URL或IP地址作为确认地信息被登录。

限制文件ID是图像形成装置20对该限制文件40施与的识别信息。

自解压缩应用软件43在自解压缩之后进行以下的处理。

(1)对限制文件40的标题42进行分析。

(2)用注册表等来检查在已执行自解压缩的终端装置10中是否存在标题42内的应用软件信息所示的应用程序(MFP驱动器)。

(3)当在已执行自解压缩应用软件43的终端装置10中不存在标题42内的应用软件信息所示的应用程序(MFP驱动器)时，取得该应用程序并进行安装。

(4)启动标题42内的应用软件信息所示的应用程序(MFP驱动器)。

需要说明的是，被启动的应用程序(MFP驱动器)进行以下的处理。

(1)向标题42内的确认地信息(地址信息)所示的管理服务器(图像形成装置20)请求访问权的确认。

(2)在访问权被确认的情况下，从图像形成装置20接收解码密钥，由该解码密钥尚生成加密数据41的副本(拷贝)，对经复制(拷贝)生成的加密数据41进行解码，然后删除解码密钥。

(3)监视针对解码后的数据的操作，如果请求某操作，则要管理服务器确认针对该操作的访问权。

(4)在继续操作的情况下，每经过一定时间时都要管理服务器确认访问权。

(5)在访问权未被确认的情况(包括通信中断等)下，禁止解码或针对解码后的数据的操作，删除解码后的数据。

图5示出在终端装置10和图像形成装置20之间的通信中使用的命令信号等的数据结构的例子。命令信号由头部(Header)71、同一码(IdenticalCode)72、参数73、和附加数据74构成。命令信号是从终端装置10向图像形成装置20发送的信号。针对命令信号的处理结果是作为结果信号从图像形成装置20向终端装置10发送。结果信号的数据结构与命令信号一样。加密对象的数据或限制文件40、所谓解码密钥的发送对象的数据，被嵌入附加数据74的区域内并被发送。

发送命令信号时的通信次序如下所示，所述命令信号委托图像形成装置20进行将从终端装置10发送的数据加密而生成限制文件40的处理。

(1)用终端装置10作成包括加密对象的数据的命令信号并向图像形成装置20发送。

(2)图像形成装置20接收该命令信号并进行分析。

(3)图像形成装置20作成针对命令信号的Ack信号并向终端装置10发送。

(4)终端装置10接收Ack信号并进行分析。

(5)图像形成装置20进行针对命令信号的处理(在这里为终端装置10的作成)。

(6)图像形成装置20作成包括处理结果的限制文件40的结果信号并向终端装置10发送。

(7)终端装置10接收结果信号并进行分析。

需要说明的是，Ack信号是从图像形成装置20向终端装置10通知已接收了命令信号的信号。

图6示出在命令信号等信号的各区域储存的信息的详细内容。头部71示出该信号(数据包)的属性(种类)。同一码72示出具有头部71所示的属性(种类)的信号中的细分类。例如，表示运行的种类。在Ack信号中，同一码72示出是针对何种运行(operation)所涉及的命令信号的Ack信号。在结果信号中，同一码72示出是针对何种运行(operation)所涉及的命令信号的结果信号。参数73示出结果信号中的通信结果内容(正常、错误的种类等)。附加数据74的区域中储存成为发送对象的各种数据(加密对象的数据、限制文件40、解码密钥、应用程序等)。

接着，对生成限制文件40时的动作进行说明。

关于生成限制文件40的动作，有对在图像形成装置20的框等中保存的数据进行加密而成为限制文件40并向终端装置10输出的动作(情形1)、和从终端装置10向图像形成装置20发送作为加密对象的数据并用图像形成装置20对其进行加密而生成限制文件40并使该限制文件40向终端装置10返回的动作(情形2)。以下分别对各情形进行说明。

<情形1>

进行如下所示的动作，即根据来自终端装置10的拷贝操作请求(或移动操作请求)，对在图像形成装置20的框38中保存的数据进行加密而生成包括该加密数据的限制文件40并将其向请求源的终端装置10输出。通过使框数据为限制文件40，即便向外部携带也会确保其安全性。

图7示出对应于来自终端装置10的拷贝操作请求生成限制文件40时的图像形成装置20的动作的流程。终端装置10在通过MFP驱动器63从用户通过框名和文件名等受理操作对象的数据的指定之后，受理拷贝操作的执行指示，此时，将包括该指定内容的拷贝操作请求向图像形成装置20发送。拷贝操作请求中含有进行了该操作请求的用户的用户ID。图像形成装置20在从终端装置10受理拷贝操作请求时(步骤S101：是)，判断由该拷贝操作请求指定的操作对象的数据是否为重要数据(步骤S102)。需要说明的是，表示是否为重要数据的信息预先作为该数据的标题或管理信息进行了登录。关于表示是否为重要数据的信息，框的所有者或在框中放入数据的用户可以任意设定登录。

图像形成装置20的CPU21在操作对象的数据不是重要数据的情况下(步骤S102：否)，从框中读出该操作对象的数据，将该已读出的数据向该拷贝操作请求的请求源的终端装置10发送(步骤S112)而结束处理。

图像形成装置20的CPU21在操作对象的数据是重要数据的情况下(步骤S102：是)，调查该数据是否加密完毕(已转换成限制文件40)(步骤S103)。在已加密完毕的情况下(步骤S103：是)，将该作为加密完毕的数据的限制文件40向该拷贝操作请求的请求源的终端装置10发送。

图像形成装置20的CPU21在操作对象的数据未加密完毕的情况下(步骤S103；否)，获得操作对象的数据和其文件路径信息(步骤S104)，将该文件路径信息保存在非易失性存储器26中(步骤S105)。然后，对操作对象的数据进行加密(步骤S106)。

接着，收集/获得限制文件40的标题42的作成所必需的信息(步骤S107)。例如，标题42中所含的用户ID使用在来自终端装置10的拷贝操作请求中所含的ID。装置ID、应用软件信息(MFP驱动器名、版本信息等)、确认地信息(地址信息……IP地址、URL)，从自身装置的非易失性存储器26读出而获得。

CPU21根据这些已收集/获得的信息作成标题42，生成含有该标题42和已在步骤S106中加密的加密数据41和规定的自解压缩应用软件43的限制文件40(步骤S108)。需要说明的是，自解压缩应用软件43预先保存在硬盘装置25或ROM23中。将其进行了拷贝而得的软件也含于限制文件40中。

接着，图像形成装置20的CPU21，将与该已生成的限制文件40有关的管理信息登录到管理表格37中(步骤S109)。如图8所示，在管理表格37中，与作为用于确定限制文件40的识别信息的限制文件ID匹配地，登录有与在该限制文件40的标题42中登录的信息相同的用户ID及装置ID、含于该限制文件40中的加密文件41的解码密钥、确认访问权时使用的条件信息。

条件信息有许可访问的用户(许可用户)的识别信息(用户ID)、许可访问的信息处理装置或终端装置(许可终端)的识别信息(终端ID)、许可访问的操作(许可操作)的识别信息(操作名或操作ID)、许可访问的期间(许可期间)等。许可用户、许可终端、许可期间等可以按照不同许可操作来进行设定。许可期间可以是基于年月日时分等的绝对指定，例如可以是像最初的访问开始为3天等那样是起自某基点的相对期间。

返回图7继续说明。图像形成装置20的CPU21，将在步骤S108中生成的限制文件40保存于如下所述的文件路径中(步骤S110)，将该限制文件40向该拷贝操作请求的请求源的终端装置10发送(步骤S111)并结束处理，所述的文件路径是在步骤S105中保存于非易失性存储器26中的文件路径信息所示的文件路径。

图9、图10、图11是用次序来表示图7涉及的动作的图。图9表示操作对象的数据不是重要数据时(图7的步骤S102为否的情况)的次序。图10表示操作对象的数据是重要数据且尚未加密完毕时(图7的步骤S103为否的情况)的次序。图11表示操作对象的数据是重要数据且已加密完毕时(图7的步骤S103为是的情况)的次序。

需要说明的是，即便在使数据从框向终端装置10移动的移动操作请求的情况下，也成为与拷贝操作请求的情况相同的动作及次序。

<情形2>

进行如下所示的动作，即从终端装置10向图像形成装置20发送加密对象的数据，用图像形成装置20对其进行加密而生成限制文件40，向终端装置10发送该限制文件40。在情形2的情况下，在用终端装置10的应用程序62进行有关印刷的指示时，MFP驱动器被自动启动，在该MFP驱动器提供的操作输入画面进行有关加密的各种设定、执行指示。

图12(a)表示终端装置10的CPU51使显示装置57显示的MFP驱动器的印刷设定画面80。在这里，当该终端装置10安装多种MFP驱动器时，缺省的MFP驱动器初始显示于驱动器指定栏81中。在想要通过与缺省设定的MFP驱动器对应的图像形成装置20以外的图像形成装置20执行加密处理(限制文件40的生成处理)时，当如图12(b)所示操作下拉按扭82时，显示出安装完毕的MFP驱动器的清单，从其中进行选择后，就切换成该被选择的MFP驱动器。

接着，用户进行指定加密对象的数据的操作。CPU51在印刷设定画面80的属性按钮84被操作时，使图13(a)所示的属性画面90显示于显示装置57上。在属性画面90上设置有各种项目的标签，图13(a)表示安全标签91被选择时的画面。用该画面进行加密对象的数据的指定、针对操作的许可条件(条件信息)的设定、加密的执行指示等用户操作的受理。

向对象数据指定栏92输入加密对象的数据的路径及文件名。状态栏93中显示有关加密对象的数据的状态信息。

在加密对象的数据的指定结束时，如图13(b)所示，状态栏93的显示变成指定完成。另外，用于指示加密的执行的OK按钮94和许可条件设定按钮95变成可以受理操作的有效状态。需要说明的是，状态栏93所显示的状态，有数据未指定、数据指定完成、数据发送中、数据加密中、限制文件接收中、限制文件保存完成等。

在许可条件设定按钮95被操作时，CPU51使显示装置57将如图14所示的操作许可条件设定画面100弹出显示于属性画面90上。操作许可条件设定画面100上设有设定许可用户的用户ID的许可用户设定栏101、设定许可终端的终端ID的许可终端设定栏102、设定许可期间的许可期间设定栏103、和各许可操作对应的复选框104a～104e。另外，对应于许可用户、许可终端、许可期间的各条件来设置复选框101a、102a、103a。

当向与许可用户、许可终端、许可期间对应的复选框101a、102a、103a标有选中标记时，其许可条件被设成确认访问权时的条件之一，未附加选中标记的许可条件被忽略。另外，在与各操作对应的复选框104a～104e上附加选中标记的操作被视为许可对象，未附加选中标记的操作，即便许可用户等的条件一致也成为未被许可的操作。

例如，在图14中，作为许可操作仅对浏览和印刷的复选框104a、104c附加选中标记，作为许可条件不对许可终端的复选框102a附加选中标记，对许可用户的复选框101a和许可期间的复选框103a附加选中标记，所以成为所谓“进行操作的终端装置10可以是任意终端，仅在许可期间设定栏103所设定的期间内且对在许可用户设定栏101设定的用户许可仅进行浏览(禁止页面移动)和印刷的操作”的条件。需要说明的是，可以构成为按照不同的许可操作来设定许可用户、许可终端、许可期间等条件。另外，许可条件、许可操作不限于例示的内容，适当设定即可。

图15示出情形2中终端装置10所进行的动作的流程，图16示出情形2中图像形成装置20所进行的动作的流程。终端装置10的CPU51在受理MFP驱动器的启动请求后(步骤S201为是)，启动在图12所示的印刷设定画面80的驱动器指定栏81指定的MFP驱动器(步骤S202)，由图13的属性画面90内的对象数据指定栏92受理加密对象数据的指定操作(步骤S203)。接着，在受理许可条件设定按钮95的操作后，弹出显示图14的操作许可条件设定画面100，用该画面100受理对针对解码或解码后的数据的操作的访问权进行确认时的条件设定(步骤S204)。

此外，当由图13的属性画面90受理OK按钮94的操作后，执行将被指定的加密对象数据加密而生成限制文件40的处理。详细而言，终端装置10的CPU51将被指定的加密前的加密对象数据的文件路径保存于非易失性存储器59中(步骤S205)，将命令信号1向与由驱动器指定栏81指定的MFP驱动器对应的图像形成装置20(以后将其作为指定MFP)发送(步骤S206)。命令信号1适用于确认可否通信的命令。

已接收命令信号1的图像形成装置20(图16：步骤S301为是)作成表示已接收命令信号1的结果信号1，将其向命令信号1的发送源的终端装置10发送(步骤S302)。

终端装置10在发送了命令信号1之后，在经过一定时间之前未能从其发送源接收结果信号时(图15：步骤S207为是)，以错误结束本处理。在发送了命令信号1之后，在经过一定时间之前从其发送源接收到了结果信号1时(步骤S207为否，S208为是)，作成作为加密请求的命令信号2(步骤S209)并将其向指定MFP发送(步骤S210)。命令信号2包括加密对象数据、在操作许可条件设定画面100设定的各条件、该终端装置10的终端ID、已指示加密的用户的用户ID等。

已接收命令信号2的图像形成装置20(指定MFP)(图16：步骤S303为是)，向命令信号2的发送源的终端装置10发送与命令信号2对应的Ack信号2(步骤S304)。然后，该图像形成装置20对命令信号2中所含的加密对象数据进行加密(步骤S305)，收集/获得作成限制文件40的标题42所必需的信息(步骤S306)。在这里，标题42中所含的用户ID使用命令信号2中所含的ID。装置ID、应用软件信息(MFP驱动器名、版本信息等)、确认地信息(地址信息……IP地址、URL)，从自身装置获得。它们从非易失性存储器26读出而获得。另外，生成新的限制文件ID。

指定MFP的CPU21根据这些已收集/生成的信息来作成标题42，生成含有该标题42和在步骤S305中经加密而得到的加密数据41和规定的自解压缩应用软件43的限制文件40(步骤S307)。需要说明的是，自解压缩应用软件43预先保存在硬盘装置25或ROM23中，对其进行拷贝而得的软件含于限制文件40中。

接着，指定MFP的CPU21将与该已生成的限制文件40有关的管理信息登录到管理表格37(步骤S308)。在管理表格37上登录的限制文件ID使用CPU21对该限制文件40唯一分配的ID。另外，用户ID及条件信息使用含于命令信号2中的ID及信息。装置ID使用从本机的非易失性存储器26中读出的本机的装置ID。解码密钥登录与作成加密数据41时使用的密钥对应的密钥。

进而，指定MFP的CPU21将包括在步骤S307中生成的限制文件40的结果信号2，向命令信号2的发送源的终端装置10发送(步骤S309)而结束处理。

终端装置10在发送了命令信号2之后，在经过一定时间之前未能从其发送目的地接收Ack信号2时(图15：步骤S211为是)或已接收Ack信号2但其内容为接收错误时(步骤S213为否)，以错误来结束本处理。在发送了命令信号2之后，在经过一定时间之前已接收到示出正常接收的Ack信号2时(步骤S211为否，S212为是，S213为是)，进一步等待结果信号2的接收。在接收了Ack信号2之后，在经过一定时间之前未能从指定MFP接收结果信号2时(步骤S214为是)，以错误来结束本处理。

在已接收Ack信号2之后，在经过一定时间之前从指定MFP接收到结果信号2时(步骤S214为否，S215为是)，从非易失性存储器59读出在步骤S205中保存的加密前的加密对象数据的文件路径信息(步骤S216)，在该文件路径中保存已接收的限制文件40(步骤S217)而结束处理。

图17用次序表示图15、图16涉及的动作。

接着，对于限制文件40的解码及对解码后的数据的操作所涉及的动作进行说明。

从图像形成装置20向终端装置10输出的限制文件40，如图1的说明所示，在USB存储器6等中存储而携带出，可以用任意的信息处理装置来确认访问权而利用。

图18表示用任意的信息处理装置(例如终端装置10b)进行限制文件40的利用的处理的流程。另外，图19示出作为与其相对应的管理服务器的图像形成装置20的动作。信息处理装置的OS程序，在接受了对数据的双击操作后(步骤S401)，辨别该数据的种类，启动与该数据对应的应用软件。例如，如果被双击的数据是普通的文本文件(步骤S402为否)，则启动规定的编辑程序等，进行所谓打开该文本文件的处理(步骤S419)。

信息处理装置的OS程序在被双击的数据是限制文件40的情况下，启动该限制文件40的自解压缩应用软件43(步骤S403)。以后，信息处理装置按照自解压缩应用软件43进行动作。被启动的自解压缩应用软件43进行自解压缩。自解压缩后的自解压缩应用软件43对该限制文件40的标题42进行分析(步骤S404)，进而获得该信息处理装置的注册表信息(步骤S405)。对注册表信息和限制文件40的标题42中所含的应用软件信息进行比较(步骤S406)，判断该应用软件信息所示的应用程序(该应用软件)是否在该信息处理装置上已安装完毕(步骤S407)。

在未安装该应用软件的情况下(步骤S407中为否)，进行该应用软件的安装请求处理(步骤S408)，取得该应用软件而进行安装。安装请求处理的详细内容如后所述。

在该应用软件已安装完毕的情况下(步骤S407中为是)或在步骤S408已完成安装的情况下，启动该应用软件(在这里，由应用软件信息指定的MFP驱动器(该MFP驱动器)(步骤S409)。以后，信息处理装置按照已启动的应用程序(该MFP驱动器)进行动作。该MFP驱动器获得与在访问权的确认处理中登录到管理服务器上条件信息进行核对的核对信息(步骤S410)。例如，作为核对信息之一的用户ID或口令，在该信息处理装置的显示装置显示它们的输入画面，受理用户的输入而获得。另外，终端ID从信息处理装置的系统信息获得。

该MFP驱动器作成含有已获得的核对信息和标题42所含的限制文件ID的命令信号4(步骤S411)。命令信号4是请求提供加密数据41的解码密钥的命令。该MFP驱动器将该命令信号4向限制文件40的标题42所含的确认地信息(地址信息)所示的管理服务器发送(步骤S412)。

已接收命令信号4的图像形成装置20(管理服务器)(图19：步骤S321为是)，向命令信号4的发送源发送Ack信号4(步骤S322)。随后，读出与已接收的命令信号4所含的限制文件ID匹配且在管理表格37中登录的条件信息，对该条件信息和已接收的命令信号4中所含的核对信息进行比较，判断是否许可解码(步骤S323)。

图像形成装置20(管理服务器)在判断许可解码(有访问权)的情况下(图19：步骤S324为是)，对于命令信号4的发送源的信息处理装置，发送含有该解码密钥的结果信号4(步骤S325)而结束处理(结束)。在判断为没有访问权的情况下(步骤S324为否)，返回含有表示无访问权的确认结果的结果信号4(步骤S326)而结束处理(结束)。

在信息处理装置中，在发送命令信号4后，即便经过一定时间也未接收到与该命令信号4相对应的Ack信号4时(图18：步骤S413为是)，该MFP驱动器使自身程序的动作结束(结束)。

信息处理装置在发送命令信号4后，在经过一定时间之前接收到Ack信号4时(步骤S413为否，S414为是)，等待接收含有命令信号4的处理结果的结果信号4(步骤S416为否)。在接收Ack信号4后，即便经过一定时间也无法接收结果信号4时(步骤S416为否，S415为是)，该MFP驱动器使自身程序的动作结束(结束)。

在接收Ack信号4后，在经过一定时间之前接收到结果信号4时(步骤S416为是)，生成加密数据41的副本(拷贝)(步骤S417)，使用该结果信号4中所含的解码密钥，对经复制(拷贝)生成的加密数据41进行解码，在解码完毕的同时删除解码密钥(步骤S418)。此时，该MFP驱动器以后转移至监视针对经解码的数据的操作的后台动作。

如此，由于限制文件40的标题42中含有访问权的确认地信息，所以能够使用该信息从任意的信息处理装置对管理服务器询问有无访问权。另外，由于通过管理服务器进行访问权的确认，所以可以在任何时候变更许可的条件，例如既便是在输出限制文件40之后，可以根据需要变更解码等的许可条件，可以使加密数据具有灵活且坚固的安全性。

图20表示该应用软件的安装请求处理的流程。另外，图21表示已受理安装请求时的管理服务器(图像形成装置20)的动作。自解压缩应用软件43作成包含限制文件40的标题42所含的应用软件信息所示的应用程序的移送请求的命令信号3(步骤S421)，将其向限制文件40的标题42的确认地信息(该管理服务器的地址信息)所示的地址发送(步骤S422)。

已接收命令信号3的图像形成装置20(管理服务器)(图21：步骤S341为是)，将与命令信号3对应的Ack信号3向该命令信号3的发送源发送(步骤S342)。此外，由命令信号3指定的应用程序(在这里，该图像形成装置20的MFP驱动器)向该命令信号3的发送源发送(步骤S343)而结束处理(结束)。

在信息处理装置中，在发送命令信号3后，在经过一定时间之前无法接收Ack信号3时(图20：步骤S424为否，S423为是)，因错误而自解压缩应用软件43强制结束(步骤S426)。

信息处理装置在发送命令信号3后，在经过一定时间之前接收到结果信号3时(步骤S423为否，S424为是)，等待接收含有命令信号3的处理结果(该应用软件)的结果信号3。在接收Ack信号3后，即便经过一定时间也无法接收结果信号3时(步骤S425为是)，因错误而强制结束自解压缩应用软件43(步骤S426)。

在接收Ack信号3后，在经过一定时间之前接收到结果信号3时(步骤S427为是)，将该结果信号3所含的该应用软件安装于该信息处理装置(步骤S428)而结束处理(结束)。

如此，由于根据需要从管理服务器取得该应用软件，所以与限制文件40中含有应用程序的情况相比，可以将限制文件40的容量抑制得尽可能小。另外，由于是从管理服务器获得，所以能够灵活地应对应用程序的变更或版本升级。

图22和其继续的图23表示与图18中未安装该应用软件时(步骤S407为否)的动作相对应的次序。图24和继续的图25表示与图18的流程中该应用软件安装完毕时(步骤S407为是)的动作相对应的次序。

图26表示监视针对解码后的数据(称为解码数据)的操作的应用程序的动作。图27表示针对图26的动作进行访问权的确认的管理服务器的动作。

在信息处理装置中，通过在图18的步骤S409中启动的应用程序的控制，监视解码数据的任务及对解码数据的操作(步骤S501)，如果检测到已进行了浏览开始、浏览页的移动、印刷、修改(变更)、复制等操作的请求(步骤S502为是)，进行与该操作请求的发生相伴随的处理(步骤S503)，移行至步骤S504。需要说明的是，与操作请求的发生相伴随的处理的详细内容如后所述。在未检测到操作请求的情况下，移行至步骤S504(步骤S502为否)。

在步骤S504中，调查是否从前次的访问权确认开始经过了一定时间(例如10分钟)，如果未经过一定时间(步骤S504是否)，移行至步骤S501。需要说明的是，初次的访问权确认在解码密钥的请求中进行。在自前次的访问权确认开始经过了一定时间的情况下(步骤S504为是)，再次进行访问权的确认。

详细而言，作成请求确认继续针对解码数据的浏览等操作的访问权的命令信号5(步骤S505)，将其向标题42的确认地信息所示的管理服务器发送(步骤S506)。在命令信号5中，含有与命令信号4一样地确认访问权所必需的核对信息及限制文件ID。此时，显示输入画面而要求重新输入核对信息(用户ID或口令等)。需要说明的是，在重视便利性的情况下，可以构成为不要求重新输入核对信息而使用前次的信息。

已接收命令信号5的图像形成装置20(管理服务器)(图27：步骤S361为是)，读出与已接收的命令信号5所含的限制文件ID匹配地登录在管理表格37上的条件信息，对该条件信息和已接收的命令信号5中所含的核对信息进行比较，判断有无访问权(是否许可继续操作)(步骤S362)。

图像形成装置20(管理服务器)在判断有访问权的情况下(图27：步骤S363为是)，对于命令信号5的发送源的信息处理装置，发送含有表示有访问权(继续操作的许可)的确认结果的结果信号5(步骤S364)而结束处理(结束)。在判断为没有访问权的情况下(步骤S363为否)，发送含有表示无访问权(不许可继续操作)的确认结果的结果信号5(步骤S365)而结束处理(结束)。

在信息处理装置中，在发送了命令信号5后，在经过一定时间之前已接收到与命令信号5相对应的结果信号5时(图26：步骤S508为是)，对该结果信号5进行分析(步骤S509)，在含有表示有访问权的确认结果的情况下(步骤S510为是)，许可继续解码数据的浏览(步骤S511)。随后，调查解码数据的任务是否已结束，未结束时(步骤S513为否)，返回至步骤S501而继续监视处理。在任务结束时(步骤S513为是)结束本处理(结束)。需要说明的是，在任务结束时将解码数据删除。

在经过一定时间之前无法接受结果信号5时(步骤S508为否，S507为是)以及在已接收的结果信号5含有表示没有访问权的确认结果时(步骤S510为否)，使解码数据的任务强制结束(步骤S512)而结束本处理(结束)。另外，可以构成为在强制结束时删除解码数据。

如此，在解码数据的浏览中每经过一定时间就进行访问权的确认。例如，设定许可期间作为有关访问权的许可的条件时，如果继续浏览中变为许可期间之外，则在该时刻判断为没有访问权而使浏览强制结束。另外，在浏览状态被搁置的情况下，每隔一定时间要求输入核对信息(用户ID或口令等)而进行访问权的确认，所以可以防止没有权限的用户擅自浏览浏览状态被搁置的解码数据的事态。进而，例如，在明确了是由于口令的不当取得等而解码时，如果变更管理服务器侧的许可条件，就可以禁止针对解码数据的以后的访问，可以灵活地应对各种事态而确保坚固的安全性。

图28、图29、图30表示与图26、图27所示的动作对应的次序。图28表示确认结果为有访问权时的次序，图29表示确认结果为没有访问权时的次序。图30表示由于通信障碍等而无法接收针对命令信号5的结果信号5时的次序。由图30的虚线所围绕的期间表示发生通信障碍的期间。

图31表示与操作请求发生相伴随的处理(与图26的步骤S503相对应的处理)的流程。对操作进行监视的应用程序，对已发生的操作请求所涉及的操作施加阻断而禁止该操作的执行(步骤S541)。作成请求确认接下来发生的操作涉及的访问权的命令信号6(步骤S542)，向其标题42的确认地信息所示的管理服务器发送(步骤S543)，在命令信号6中，包含与命令信号5相同地确认访问权所必需的核对信息及限制文件ID。另外，此时，显示输入画面而要求重新输入核对信息(用户ID或口令等)。需要说明的是，在重视便利性的情况下，可以构成为不要求重新输入核对信息而使用前次的信息。

已接收命令信号6的图像形成装置20(管理服务器)，进行与图27相同的处理(其中，将命令信号5置换成命令信号6)，使包含有访问权或没有访问权的确认结果的结果信号6返回。

在信息处理装置中，在发送了命令信号6之后，在经过一定时间之前已接收到与命令信号6相对应的结果信号6时(图31：步骤S545为是)，对该结果信号6进行分析(步骤S546)，在含有表示有访问权的确认结果的情况下(步骤S547为是)，许可针对解码数据的该操作(步骤S549)。随后，检测到该操作已对解码数据执行(步骤S550)，重新进行图26的步骤S504的判断涉及的时间的测量(步骤S551)而结束处理(结束)。

在经过一定时间之前无法接受结果信号6时(步骤S545为否，S544为是)以及在已接收的结果信号6中含有表示没有访问权的确认结果时(步骤S547为否)，使针对解码数据的该操作为不许可而禁止(步骤S548)，结束本处理(结束)。此时，可以构成为显示向用户通知不许可的消息。

图32表示与图31的动作相对应的次序。

如此，由于每当操作发生时，向管理服务器确认针对该操作的访问权，所以可以提高针对解码数据的操作的安全性。另外，由于用管理服务器来确认访问权，所以可以随时变更许可条件，可以灵活地应对许可条件的变更要求。例如，将在已禁止印刷的许可条件下生成的限制文件40携带到出差地，但即便在突然在出差地需要与该限制文件40相关的印刷的情况下，如果向管理者等打电话委托许可条件的变更，得到确认后变更在管理服务器上登录的许可条件，则以后针对印刷操作的访问权也就会得到许可，所以在出差地的印刷成为可能。

以上，根据附图对本发明的实施方式进行了说明，但具体的构成并不限于实施方式，在不脱离本发明的宗旨的范围内的变更或追加都含于本发明中。

例如，在实施方式中，限制文件40中含有自解压缩应用软件43，但也可以是不含其的构成。另外，标题42中至少含有确认地信息即可，可以不附加其他信息。例如，可以构成为标题42中不含用户ID或装置ID、应用软件信息。

在标题42中含有用户信息或装置ID的情况下，可以将其作为核对信息的辅助信息向管理服务器发送。

另外，构成为在管理表格37及限制文件40的标题42中登录限制文件ID，按每个限制文件以不同的条件确认访问权，但当以所有限制文件通用的条件来判断有无访问权时，可以不登录限制文件ID。

另外，在实施方式中，由监视解码数据的应用程序自动地从信息处理装置收集作为核对信息向管理服务器发送的终端ID，但也可以构成为使用者通过输入画面进行输入。

许可对象的操作并不限于在实施方式中例示的操作。另外，向其他终端发送解码数据的操作含于复制的操作中。

确认地信息不限于管理服务器在网络上的地址信息，只要是可以访问指定的管理服务器的信息即可。例如，只要可以从管理服务器的ID信息取得地址信息(只要向已知的服务器查询就会由ID信息提供管理服务器的地址信息的情况等)，就可以将管理服务器的ID信息作为确认地信息。

另外，在实施方式中，由图像形成装置20进行数据的加密，但加密可以由其它装置进行，图像形成装置20可以按照生成对该加密数据至少附加了确认地信息的限制文件40的方式构成。例如，在情形2的情况下，可以为如下构成，即从管理服务器向终端装置10发送密钥，使用该密钥在终端装置10侧进行加密，将经该加密而得到的加密数据向图像形成装置20发送，图像形成装置20生成包括该加密数据的限制文件40并送回至终端装置10，且在管理表格37中登录必需的管理信息。

另外，在实施方式中，图像形成装置20具有作为生成限制文件40的限制文件生成装置的功能和作为管理服务器的功能，但可以将限制文件生成装置和管理服务器分成不同的装置。另外，作为限制文件生成装置的功能或作为管理服务器的功能没有必要设置于图像形成装置，可以作为各自专用的装置来设置。

另外，用信息处理装置进行了解码，但也可以从信息处理装置向管理服务器发送加密数据，由管理服务器进行解码，使解码后的解码数据返回至信息处理装置。

根据本发明涉及的访问限制文件及限制文件生成装置，由于在访问限制文件中含有访问权的确认地信息，所以可以根据该确认地信息从通用的信息处理装置来向管理服务器查询有无访问权并利用数据。