使作业处理装置协同动作的信息处理装置及方法

专利名称：使作业处理装置协同动作的信息处理装置及方法
技术领域：
本发明涉及一种通过使互联网上存在的各种处理装置协同工作来实现多种协同处理的技术，特别涉及协同处理中的安全(security)技术。
背景技术：
在以往，提出了一种工作流程系统，把综合了扫描仪、传真装置、打印机、复印机及它们的功能的复合机器连接LAN(局域网)，并使其和个人电脑及邮件服务器等信息处理装置协同工作，来提供办公任务用的各种服务。
近年来，提出了使散落于因特网上的各种网络应用协同工作的技术。把因特网上的各个提供者提供的应用程序服务联合起来构成的一个系统，可以利用各种已有的服务，所以能够大幅度降低系统开发成本。另外，作为用来实现这种协同服务的公用基础，XML(extensibleMarkup Language)等语言受到注目。
以往的工作流程系统，已公知的有特开平08-123744号公报、特开2002-099686号公报、特开2001-282970号公报公开的技术。
工作流程系统为了实现协同服务，需要给各个处理装置发送表示应执行的处理的指示数据。利用因特网上的处理装置来构成工作流程时，使针对处理装置的指示数据在因特网上流通。但是，以往的工作流程系统对这种在因特网上流通的指示数据的安全性未作考虑。
协同服务中，向协同动作的多个处理装置提供指示数据的方法，例如，可以考虑把所有处理装置的指示数据汇总为一个指示书传递给各处理装置的方式。使用这种方式时，针对某个处理装置的指示数据也会传递到其他处理装置。所有处理装置都处于同一公司内的网络中时，该方式不成问题，但对处于因特网上的外部处理装置，向其他处理装置的指示数据会被泄漏，所以在安全方面是不佳的。

发明内容
本发明提供一种信息处理装置，使根据指示数据所记述的处理记述来执行处理的多个作业处理装置协同动作，从而实现服务，具有加密处理单元，对所述指示数据所记述的处理记述进行加密，使得成为由各作业处理装置的执行对象的部分能够被执行该处理的作业处理装置解密；和发送单元，发送经由所述加密处理单元将处理记述加密后的指示数据，以传递给执行所述处理记述所表述的处理的作业处理装置。
该信息处理装置也可以用作后述说明的发明实施方式的指示输入装置，还可用作流程控制装置。
本发明的合适实施方式，所述加密处理单元进行加密时，包括在作为加密对象的处理记述之后，应执行处理的处理记述的加密数据。
本发明通过多个作业处理装置按规定顺序进行协同动作来实现服务的系统中，构成该系统的信息处理装置具有接收单元，接收已记述处理内容的处理记述被加密后的指示数据；解密处理单元，对成为由所述接收单元接收后的指示数据中包含的自装置的执行对象的处理记述部分进行解密；删除单元，把已由所述解密处理单元解密后的处理记述从指示数据中删除；和发送单元，把经由所述删除单元将处理记述删除后的指示数据发送给执行下一处理的作业处理装置。


图1是表示提供协同服务的系统构成的一个示例图。
图2是表示提供协同服务的系统构成的其他示例图。
图3是表示向协同服务的各服务器发送指示书的一个示例图。
图4是表示向协同服务的各服务器发送指示书的其他示例图。
图5是表示向协同服务的各服务器发送指示书的另外其他示例图。
图6是表示向协同服务的各服务器发送指示书的另外其他示例图。
图7是表示实现下述协同服务的系统构成示例图，即从读取纸原稿获得的文件中仅抽出前头页，将其附加在电子邮件中发送给规定的收件人。
图8是表示在图7的系统中，指示输入装置首先准备的明文总指示书的示例图。
图9是表示对图8的明文总指示书中的各个指示，用执行该指示的服务器的公开密钥进行加密后的结果图。
图10是表示利用嵌套结构加密后的总指示书的结构模式图。
图11是表示利用嵌套结构加密后的总指示书的一个示例图。
图12是表示构成提供协同服务的系统的各装置的内部结构示例图。
实施方式以下，参照

本发明的实施方式。
图1是表示本发明涉及的服务提供系统的系统构成图形的一个示例图。该系统包括指示输入装置10、流程控制装置20和多个应用服务器25。
应用服务器25是根据其他装置的要求提供规定的处理服务的服务器。服务器25例如是文件数据库服务器、邮件服务器、和对图像数据实施颜色变换和旋转等操作的图像处理服务器等。服务器25例如以网络应用服务等形式提供上述的处理服务。
该系统在用某个服务器25检索文件，把所检索到的文件作为电子邮件利用其他服务器进行发送时，可以提供使多个服务器25协同处理的协同服务。
指示输入装置10是用于输入用户对该系统的处理指示的装置。用户可以对该指示输入装置10输入上述的协同服务的执行指示。指示输入装置10也可以是下述形式，例如在个人电脑中安装用于接收用户输入的对该系统的指示的用户接口程序。但是，如果假定是办公中的文件处理服务，则最好把具有信息处理功能和通信功能、并具有读取纸文件并将其电子化的功能的数字复合机器用作指示输入装置10。数字复合机器一并具有扫描仪、打印机、复印机、传真机、网络通信等功能。
流程控制装置20通过把处理委托给各服务器25，使这些服务器25提供的服务能协同进行。这样，流程控制装置20可以实现协同服务。
更适合的方式是指示输入装置10、流程控制装置20及各服务器25具有与明钥加密方式对应的各自加密密钥和明钥。另外，指示输入装置10、流程控制装置20及各服务器25可以保持其他装置10、20和服务器25的明钥，或根据需要从网络上的认证局取得。
在图1的系统中，用户向指示输入装置10输入协同服务指示，指示输入装置10发送表示该指示内容的数据。把该数据(以下称为流程指示书50)发送给流程控制装置20。该流程指示书50包括与协同服务相关的所有服务器的处理内容的记述和这些各个处理的执行顺序信息。接收到流程指示书50的流程控制装置20按照该指示书50来控制各服务器25，由此实现该指示书50指示的协同服务。
此时，流程控制装置20根据所接收的流程指示书50制作给各服务器25的指示书(表示指示内容的数据)52，把这些指示书52发送给各服务器25，由此实现这些服务器25的协同动作。即，流程控制装置20根据流程指示书50的记述，向应动作的下一服务器25发送指示书52，从该服务器25返回对此处理结束的通知(及必要时的处理结果数据)后，再向下一服务器25发送指示书52。
这样，图1所示系统形成服务器25组在流程控制装置20的控制下进行协同的所谓星型系统结构。
下面，参照图2说明本发明涉及的服务提供系统的系统构成图形的其他示例图。对图2中与图1所示系统的构成要素相同的构成要素付与同一标号，并简化其说明。
该系统由指示输入装置10和多个应用服务器25构成。
图1所示系统具有用于协同控制的流程控制装置20，与此相对，图2所示系统不具有这样的中央控制装置，各应用服务器25自身执行协同动作所需的控制动作。为此，指示输入装置10制作流程指示书50，并发送给各服务器25使其执行，其中，流程指示书50中指示出为了进行用户所指示的协同服务，各服务器25应执行的处理。
图2所示结构形成用于构成协同服务的各个处理用各服务器25按照各个处理顺序而排列的所谓连锁型结构。在该结构中，从指示输入装置10向连锁服务器中的最初服务器25-1发送指示书50，以此为契机开始服务处理。服务器25-1的处理一结束，即开始下一服务器25-2的处理，该服务器25-2的处理一结束，即开始下一服务器25-3的处理，各阶段的服务器25之间的处理是协同进行的。此时，从指示输入装置10直接或从前一服务器25向各服务器25发送指示书54。各服务器25按照该指示书执行处理的同时，向该指示书所指示的下一服务器25发送开始处理指示或指示书54。以这种组织结构来实现协同(详细后述)。
以上，作为各服务器25的协同结构，说明了利用流程控制装置20进行集中控制的流程控制装置中介型、和各服务器25顺序向下一服务器25转送处理的流程控制装置非中介型两种结构。
下面，说明为了进行协同服务而发送给各服务器25的指示书52、54的两种类型。
第1方式是向与协同服务有关的各服务器25发送不仅给该服务器25的指示(该服务器25的处理内容的记述)，也包含给其他服务器25的指示的指示书52或指示书54的方式。作为该方式的一个示例，有向各服务器25发送包含给与协同服务有关的所有服务器25的指示的指示书的方式。把这种也包含给其他服务器25的指示的指示书称为“总指示书”。
第2方式是向与协同服务有关的各服务器25发送仅包含给该服务器25的指示，而不包含给其他服务器25的指示的指示书52或指示书54的方式。这样，把不包含给其他服务器25的指示的指示书称为“个别指示书”。
如果把这些指示书52或指示书54的两种类型和前述的系统构成的两种类型进行组合，可以获得几种给各服务器25发送指示书的发送方式。下面，列举其中代表性的四种指示发送方式。
第1指示发送方式是把总指示书适用于流程控制装置中介型系统，从流程控制装置20向各服务器25发送总指示书60的方式。图3表示该方式的一个示例。
在图3的示例中，把包含表示给服务器25-1的指示内容的个别指示书62-1、表示给服务器25-2的指示内容的个别指示书62-2、和表示给服务器25-3的指示内容的个别指示书62-3的总指示书60，从流程控制装置20发送给各服务器25-1、25-2、25-3。在该总指示书60中，各个别指示书62按照处理的执行顺序从开头顺序排列。该总指示书60是根据从指示输入装置10发送给流程控制装置20的流程指示书50的记述内容而制作的。例如，流程指示书50的记述内容可以和总指示书60的内容相同。
此时，流程控制装置20首先向协同服务的最初服务器25-1发送总指示书60。服务器25-1仅对总指示书60中发给自己的个别指示书62-1进行解释并执行处理，把处理结果返回流程控制装置20。接收了该结果的流程控制装置20向下一服务器25-2发送总指示书60。反复进行这种处理，即可实现协同服务。
作为其变形的适合方式是从由流程控制装置20发送给各服务器25的总指示书60中，删除此前完成的处理的有关记述。根据这种结构，至少可以做到处理已结束的服务器25的处理内容对后续服务器25来说是保密的。
作为图3的指示发送方式的其他变形也可以是下述方式。该方式首先从流程控制装置20向各服务器25发送包含给与协同服务有关的所有服务器25的个别指示书62的总指示书60。各服务器25在收到来自其前一服务器25的处理开始指示之前不开始处理，一接收到该开始指示，就按照总指示书60中发给自己的个别指示书62来执行处理，自己的处理一结束，就把该信息通知流程控制装置20。流程控制装置20一接收到该通知，就向下一服务器发出处理开始指示。
第2指示发送方式是把个别指示书适用于流程控制装置中介型系统，从流程控制装置20向各服务器25发送分别与该服务器25对应的个别指示书62。图4表示其一个示例。
在图4的示例中，流程控制装置20根据从指示输入装置10接收的流程指示书，分别制作表示给服务器25-1的指示内容的个别指示书62-1、表示给服务器25-2的指示内容的个别指示书62-2、和表示给服务器25-3的指示内容的个别指示书62-3，把这些各个别指示书62分别发送给对应的服务器25。
第3指示发送方式是把总指示书适用于流程控制装置非中介型系统的方式。图5表示该方式的一个示例。
在图5所示方式中，把与图3方式相同的总指示书60从服务器25-1转交给服务器25-2，从服务器25-2转交给服务器25-3。即，在图5的示例中，首先从指示输入装置10向服务器25-1发送内容和总指示书60相同的流程指示书。服务器25-1执行总指示书60中发给自己的个别指示书62-1所示处理，该处理一结束，就把同一总指示书60(以及必要时的其处理结果)发送给下一服务器25-2。服务器25-2一接收到总指示书60，就执行总指示书60中发给自己的个别指示书62-2所示处理，该处理一结束，就把同一总指示书60(以及必要时的其处理结果)发送给下一服务器25-3。如此来实现通过各服务器25进行的协同处理。
作为图5的指示发送方式的变形的适合方式是，各服务器25一结束处理，就从总指示书60中删除与自己已执行的处理有关的记述(即发给自己的个别指示书62)，制作由剩余的个别指示书62组成的总指示书，并发送给下一服务器25。根据这种结构，至少可以做到处理已结束的服务器25的处理内容对后续服务器25来说是保密的。
作为图5的指示发送方式的其他变形也可以是下述方式。该方式首先从指示输入装置10向各个服务器25发送包含给与协同服务有关的所有服务器25的个别指示书62的总指示书60。各服务器25在收到来自前一服务器25的处理开始指示之前不开始处理，一接收到该开始指示，就按照总指示书60中发给自己的个别指示书62来执行处理，自己的处理一结束，就向下一服务器发出处理开始指示。在总指示书60中，各服务器25的个别指示书62是按处理顺序排列的，所以各服务器25可以根据前后个别指示书62的记述来识别自己前面的服务器25和后面的服务器25，能够实现上述处理流程。
第4指示发送方式是把个别指示书适用于流程控制装置非中介型系统的方式。图6表示该方式的一个示例。
在图6的示例中，从指示输入装置10向与协同服务有关的各服务器25-1、25-2、25-3发送分别与该服务器25对应的个别指示书62-1、62-2、62-3。发给各服务器25的个别指示书62中包括表示该服务器25前后的各服务器25(或指示输入装置10)的信息。各服务器25在收到来自前一服务器25的处理开始指示之后才开始该个别指示书62的处理，处理一结束，就向下一服务器25发出处理开始指示。根据这种结构，可以实现服务器25之间的协同。
以上说明的指示发送方式中，向各服务器25发送个别指示书62的第2及第4方式，有个别指示书62的内容在因特网等网络上可能被盗听的风险。
向各服务器25发送总指示书60的第1及第3方式，除了在网络上被盗听的风险外，还有给各服务器25的指示内容泄漏给其他服务器25的风险。例如，某企业为了进行协同服务，除了本公司的服务器25以外，还使用其他公司提供的因特网50上的服务器25时，发给本公司的服务器25的指示内容中有不少内容是不想被其他公司的服务器25知道的。
以下，说明减少发给各服务器25的指示书的安全风险的结构。
该结构的基本考虑方式是对发给服务器25的个别指示书62，在与该协同服务有关的服务器25组中，仅对该服务器25实施可以解密的加密处理。
对各服务器25仅发送对应的个别指示书62的上述第2及第4指示发送方式，通过采用这种加密处理，可以减少指示内容在网络上的泄漏风险。
对各服务器25发送总指示书60的上述第1及第3指示发送方式，制作仅对与应包含在总指示书60中的各个别指示书62分别对应的服务器25实施可以解密的加密处理，把这些加密后的个别指示书按照处理执行顺序进行排列的总指示书60。由此，可以减少发给各服务器25的个别指示书62的内容在网络上被盗听的风险，同时也可以减少泄漏给其他服务器25的风险。
上述任何场合时，作为个别指示书62的加密处理，可以使用采用公用密钥加密方式的加密处理，也可以使用采用明钥加密方式的加密处理。使用公用密钥加密方式时，用于制作发给各服务器的个别指示书62的流程控制装置20或指示输入装置10和该指示书62的发送地服务器25具有加密·解密用公用密钥即可。另一方面，使用明钥加密方式时，用于制作发给各服务器25的个别指示书62的流程控制装置20或指示输入装置10具有各服务器25的明钥，或具有从网络上的密钥管理服务器和认证局获取这些明钥的功能即可。也可以从随机数中生成将个别指示书62加密的对话密钥(公用密钥)，利用该对话密钥将个别指示书62加密，同时利用各服务器25的明钥将该加密后的对话密钥进行加密，并和加密后的个别指示书62一起发送。
使用流程控制装置20的上述第1及第2指示发送方式在开始处理时，需要从指示输入装置10向流程控制装置20发送流程指示书50。此时，指示输入装置10使用仅流程控制装置20可以解密的加密处理(例如，使用流程控制装置20的明钥进行加密)，将该流程指示书50加密，并把得到的加密后的指示书发送给流程控制装置20。流程控制装置20对所接收的指示书进行解密，根据该解密结果制作发给各服务器25的个别指示书62(第2或第4方式)或总指示书60(第1或第3方式)。
下面，使用协同服务的具体示例，说明本实施方式的指示书加密处理。
作为具体示例，如图7所示，假定系统包括提供散页(把文件分割成以页为单位的文件，返回所要求页的文件的处理)服务的服务器25a和提供电子邮件发送服务的服务器25b。服务器25a具有主机名“pagedivider.foo.jp”，服务器25b具有主机名“mailsender.foo.jp”。该系统用于实现下述服务(以下，为了方便称为“服务A”)，把由指示输入装置10读取的多页的纸原稿中的第1页数据，以电子邮件形式发送给规定收件人。在服务A中，利用指示输入装置10读取纸件原稿，利用服务器25a从读取结果的文件中抽出第1页，利用服务器25b制作包含该第1页文件的电子邮件，发送给规定收件人。另外，在该示例中，指示发送方式使用的是图5示例的第3方式。
此时，指示输入装置10制作表示该服务A的内容的总指示书600。图8表示该总指示书600的示例。
该示例的总指示书600用XML(eXtended Markup Language)进行记述。该总指示书600包括表示该指示书600使用的XML版本和文字码的文件要素605，和表示该指示书600表述的协同服务的文件要素610。表示协同服务的要素610的标记表示该协同服务的名称(name＝“report delivery”)。该要素610记述着给担当这些协同服务的各服务器25a、25b的个别指示书620a、620b。
个别指示书620a的记述622a表示该处理在协同服务中的顺序(order＝“1”)，以及执行该处理的服务器25a的主机名(url＝“pagedivider.foo.jp”)。记述624a的第一行表示该服务器25a提供的各种处理中此次利用的处理名称(jobname＝“ExtractFrontPage”)。例如，服务器25a除了从文件中取出前头页并制作该前头页的文件的处理外，还可以进行把文件拆分成页单位，制作各页的文件的处理等各种各样的处理。记述624a的第一行用于表示这些各种处理中，制作文件的前头页文件的处理。记述624a的第二行及第三行表示该处理的参数。第二行的参数表示针对该处理的输入文件的文件名(“ExtractFrontPage”)，第三行的参数表示该处理的输出文件的文件名(“ExtractedPage”)。如果输入指示装置10对表示所读取原稿的文件付与文件名“ExtractFrontPage”，并附加在该指示书600中进行发送，用服务器25a可以识别到该文件是处理对象。
个别指示书620a包括记述626a，该记述626a表示在该指示书指示的处理之后进行处理的服务器25b。该记述626a表示下一服务器25b的主机名(url＝“pagedivider.foo.jp”)。
针对服务器25b的个别指示书620b和上述个别指示书620a相同，包括表示处理顺序及服务器25b的主机名的记述622b，和表示该服务器25b应进行的处理名称及其处理参数的记述624b。服务器25b进行的处理是电子邮件的发送处理，作为参数包括电子邮件的收件人地址(记述624b的第二行)和附加在该电子邮件中的文件名称(记述624b的第三行)。附加的文件名称和服务器25a的处理的输出文件名称相同。
服务器25b是该总指示书600表示的协同服务中的最后处理，所以不包括表示下一服务器的记述。
在图8所示的总指示书600中，表示各个别指示书620a、620b中的处理内容的记述624a、624b是用明文记述的，所以如果原样发送到网络上，有被盗听的风险，同时第二个服务器25b的处理内容被最初的服务器25a知道。例如，在处理内容的记述中，如果参数包含用户的信用卡号等时，不希望泄漏给该信息涉及的服务器以外的服务器。另外，有时也想对该整体处理内容涉及的服务器以外的服务器进行保密。
在图7的示例中，指示输入装置10对表示该总指示书600的各个别指示书620a、620b中的处理内容的记述624a、624b，使用分别对应的服务器25a、25b的明钥进行加密。图9表示经过这种加密处理后的总指示书的示例。对图9中内容与图8相同的记述，付与和图8相同的标号，并省略说明。
图9所示的总指示书700是根据W3C规格即“XML Encryption”而得的。在该总指示书700中，针对服务器25a的个别指示书720a包括表示处理顺序及服务器25b的主机名的记述622a，表示进行下一处理的服务器25b的记述626a，和加密部分724a。该加密部分724a包括使用服务器25a的明钥对明文个别指示书620a的处理内容的记述624a进行加密后的数据。夹在记述725a的标记“<CipherValue>”和“</CipherValue>”间的ASCII码文字列表示该加密数据的值。加密部分724a的最初标记记述着表示为生成该加密数据所使用的加密方式的信息(”Type＝’http//www.w3.org/2001/04/xmlenc#Element’xmlns＝’http//www.w3.org/2001/04/xmlenc#”)。图9为了简单说明而做了省略，但表示为生成该加密数据所使用的明钥的密钥信息要素(”<KeyInfo>”)记述在该加密部分724a中。
同样，针对服务器25b的个别指示书720b中有表示处理顺序及服务器25b的主机名的记述622b和加密部分724b，该加密部分724b包括用服务器25b的明钥将处理内容624b加密后的数据的记述725b。
如果使用图9所示的总指示书700，假定即使该总指示书700在网络上被盗听时，各服务器25a、25b的处理内容只要其密码未被解读就不能被盗知。另外，服务器25a和服务器25b接收到该总指示书700时，可以用自己的密钥解密发给自己的个别指示书的加密部分724a、724b，但不能解密针对其他服务器的个别指示书的加密部分。
在图7的系统中，指示输入装置10制作上述总指示书700，把用附属的扫描仪读取的原稿文件和该指示书700一起发送给服务器25a。接收到这些数据的服务器25a通过调查指示书700中的处理顺序及主机名的记述622a和622b的明文记述，来识别发给自己的个别指示书620a。然后，用自己的密钥对该个别指示书620a中的加密部分724a进行解密。该解密结果成为图8所示处理内容的记述624a。通过把加密部分724a置换成解密结果即记述624a，使明文个别指示书620a恢复原状，从前头顺序解释该指示书620a，来执行与该解释对应的处理。在该示例中，服务器25a执行从所输入的文件中取出前头页的处理，对该前头页文件付与规定的文件名“ExtractedPage”。这样，所要求的服务处理一结束，服务器25a按照记述626a向下一服务器25b发送所制作的前头页文件和总指示书700。
服务器25b和服务器25a相同，从所接收的总指示书700中识别发给自己的个别指示书720b，利用自己的密钥把其中的加密部分724b解密，使明文的个别指示书620b恢复原状，执行该明文指示书620b所表示的处理。此时的服务器25b制作附加了前头页文件“ExtractedPage”的电子邮件，并发送给明文指示书620b所记述的收件人(“personl@foo.co.jp”)。
以上，为了容易理解说明，列举了非常简单的示例，本实施方式的结构也可以适用于更复杂的处理。例如，作为该示例的扩展，同样可以实现下述的定型处理，把用户所读取的文件前头页发给用户所属的小组负责人，把所有页发送给该小组中的多个同事。此时，针对服务器25a的个别指示书620a记述的处理内容如下，从文件中抽出第一页，同时把第一页文件和该文件发送给服务器25b，针对服务器25b的个别指示书620b记述的处理内容如下，把接收到的第一页文件发送到小组负责人的规定邮件地址，把所有页的文件发送到各个同事的规定邮件地址。有关加密的情况和上述示例相同。
根据这种结构，可以大幅度降低各个别指示书620a、620b的处理内容被第三者盗听，或泄漏到执行该处理的服务器以外的服务器的可能性。
在上述系统中，如果指示输入装置10把服务器25a的处理对象即文件数据用该服务器25a的明钥加密后再发送，或者服务器25a把服务器25b的处理对象即前头页数据用该服务器25b的明钥进行加密，可以保护这些处理对象数据不被网络上的第三者知道。
在以上说明的图9示例中，对各个别指示书的处理内容的记述624a进行了加密，但也可以一并对下一服务器的记述626a进行加密。个别指示书如果仅对可以特定该个别指示书发送给何服务器的信息使用明文记述，那么也可以对其他信息全部加密。
服务器25a也可以用下述结构来取代向下一服务器25b发送总指示书700的结构，即，制作从该总指示书700中删除发给自己的个别指示书720b的指示书，并将其发送给服务器25b。
图7～图9所示示例是用图5所示第3方式作为指示发送方式的场合，使用图3所示第1方式的场合也与此相同，只要把图9所示的已加密总指示书700发送给各服务器25即可。但是，该场合时，各个别指示书的加密也可以用流程控制装置20进行。此时，指示输入装置10把用流程控制装置20的明钥对表示总指示书600的协同服务的文件要素610整体加密后发送给流程控制装置20，由此可以对总指示书600整体进行保密。流程控制装置20用自己的密钥将其解密后，用对应的服务器25a、25b的明钥对各个个别指示书620a、620b进行加密，制作总指示书700。使用了该总指示书700的各服务器25的控制按照上述说明进行即可。
使用图4所示的第2指示发送方式时，向各服务器25仅发送个别指示书即可，所以通过流程控制装置20用收件人的服务器25的明钥对该个别指示书中的处理内容等记述进行加密即可。通过该加密而生成的个别指示书的记述，例如可以使图9所示的总指示书700只包括一个个别指示书720a。
使用图6所示的第4指示发送方式时，向各服务器25仅发送个别指示书即可，所以和第2方式相同，通过指示输入装置10用收件人的服务器25的明钥对该个别指示书中的处理内容等记述进行加密即可。
以上，对本实施方式的各种指示发送方式对应的指示书数据的保密方式进行了说明。
下面，说明总指示书60的变形示例。该变形示例的总指示书特别对第3指示发送方式有益。
图10是用于说明该变形示例的总指示书80的数据结构的图。该指示书80适用的系统构成参照图5。
该总指示书80对发给担当协同服务的各个处理的各服务器25-1、25-2、25-3的各个别指示书62-1、62-2、62-3进行加密，使形成按照它们的各个处理顺序而进行的嵌套结构。
具体而言，首先用服务器25-3的明钥将发给协同服务流程中最后的服务器25-3的个别指示书62-3加密，制作加密数据82-3。该加密是对个别指示书62-3中表示执行该指示书的处理服务器的记述(例如，图8的记述622a)以外的部分进行加密。自然，也可以把加密部分缩小得小于该部分。
然后，用服务器25-2的明钥对发给最后服务器25-3的前一服务器25-2的个别指示书62-2和该加密数据82-3的合并结果进行加密，制作加密数据82-2。
用服务器25-1的明钥对发给其前一服务器25-1的个别指示书62-1和该加密数据82-2的合并结果进行加密，制作加密数据82-1。
循环反复该处理，直到对协同服务流程中的前头服务器的个别指示书进行加密为止。即，在该加密处理中进行加密时，作为加密对象的处理记述(即个别指示书)包括在该记述之后应执行处理的处理记述的加密数据。按执行顺序从最后的处理记述顺序循环适用该加密处理。
图10示例中，服务器25-1是前头服务器，所以其加密的最终结果成为加密数据82-1。通过对该最终加密数据82-1，附加表示协同服务的指示书要旨的记述(图8的记述605和文件要素610的开始标记和结束标记)，由此完成总指示书80。
图11表示该嵌套结构的总指示书的具体示例。该示例对应图8所示明文总指示书600。该指示书适用的系统结构，参照图7所示结构。
图11所示总指示书800包括文件要素810，该文件要素810含有在XML版本等记述605和协同服务的名称记述615的后面，用嵌套结构加密后的加密数据820。在该文件要素810的前头表示含有协同服务的前头服务器25a的主机名的标记815。加密数据820包括表示所使用的加密方式的记述和嵌套结构加密后的最终加密结果值的记述825。
指示输入装置10制作这种总指示书800，发送给协同服务的前头服务器25a。接收到该指示书后的服务器25a根据用明文记述的“<wrapinstruction>”标记815中的主机名识别到该指示书800是发给自己的，使用自己的密钥对其中的记述825所表示的加密结果值进行解密。这样，就得到解密结果830。
解密结果830含有文件要素840，该文件要素840包括发给该服务器25a的明文个别指示书620a，和发给后续的服务器25组的嵌套结构加密数据850。
服务器25a按照该明文个别指示书620a来执行处理。处理一结束，制作针对记述626a中表述的下一服务器25b的指示书，把该指示书和其处理结果发送给服务器25b。此时，发给下一服务器25b的指示书，可以通过从解密结果830中删除已处理的发给自己的个别指示书620a来制作。即，该指示书包括表示指示书的记述605和615，和含有加密数据850的文件要素840。
接收到该指示书的服务器25b根据该文件要素840中包含的主机名的记述622b识别到该指示书是发给自己的，用自己的密钥对包含在记述855中的加密结果值进行解密。这样，可以获得与图7指示书中的处理内容的记述624b(参照图8)对应的明文记述。服务器25b按照该记述624b执行处理。
在图11的示例中，服务器25b是协同服务的最后服务器，所以文件要素840表现为用“<service>”标记表示的文件要素。相反，如果服务器25a的下一服务器25b不是协同服务的最后服务器，文件要素840和最初的总指示书800的文件810相同，用“<wrapinstruction>”标记来表示。发给协同服务的最后服务器的个别指示书，和发给其他服务器的各阶段的加密结果相同，对指示书整体进行加密，用标记“<wrapinstruction>”来包围该加密结果。
这样，作为用指示输入装置10制作嵌套结构的总指示书800的结构，发给某服务器的个别指示书，只要在协同服务流程中不接受通过该服务器前面的所有服务器顺序进行的解密处理，就不能解密。因此，协同服务的前头服务器以外的某服务器X即使从自己前面的服务器以外预先取得总指示书，由于该服务器X不能解密，所有不能开始处理。
如果利用这种结构，可以防止某服务器X不经过基于协同服务流程的处理而随意开始处理。例如，服务器X执行伴随有收费的处理时，如果不经过正确的处理流程，就提前开始处理并开始收费，这对要求协同服务的用户来说是不希望发生的，但通过使用这种嵌套结构的总指示书800，可以抑制这种情况的产生。
以上，说明了本实施方式的系统结构和动作。以上实施方式对有关协同服务用各个处理的指示，利用可以解密的加密处理仅对执行该处理的服务器25进行了加密。此时的加密处理的单位是“服务器”，也可以是通过用计算机执行记述了某服务处理的应用程序而实现的假想机器，也可以是具有一个乃至多个这种应用程序的硬件装置。即，前者是对每个应用使用不同的加密处理，后者是对每个硬件装置使用不同的加密处理。作为对每个应用的不同加密处理的示例，可以使用为每个应用分别分配独力的加密密钥·明钥，使用明钥加密方式的结构。对每个硬件装置的不同加密处理也相同。采用对硬件装置单位的加密处理时，作为针对硬件装置的个别指示书，形成顺序记述连续执行协同服务中硬件装置内各个应用的处理内容的结构。指示输入装置10或流程控制装置20利用与该硬件装置对应的加密处理，对该个别指示书进行加密。
下面参照图12，说明构成该系统的指示输入装置10、流程控制装置20及各服务器25的内部结构的一个示例。
首先说明指示输入装置10。指示输入装置10的UI(用户接口)102是表示指示输入装置10的状态和操作菜单等，并接收用户对此的选择和参数输入的用户接口机构，例如，具有液晶触摸屏和数字按钮、各种指示按钮。处理模块104是执行该指示输入装置10自身提供给用户的服务处理的处理模块。指示输入装置10是复合机器时，处理模块104中含有实现扫描功能、打印功能、复印功能、收发传真功能等的功能模块。这些处理模块104由扫描仪、打印机、传真装置等硬件和控制这些各个硬件的软件组合构成。通信控制单元106是执行该指示输入装置10与LAN等网络35上的其他装置进行通信所需的各种控制处理的功能模块。
加密·解密处理单元108是对从指示输入装置10发送给网络35的数据进行加密，或对所发送的已加密数据进行解密的功能模块。其中，加密·解密处理单元108用来支持作为加密方式的明钥加密方式。但是，这仅是一例，加密·解密处理单元108也可以以公用密钥方式等其他加密方式为基础。
作为利用加密·解密处理单元108进行加密处理的一个示例，可以列举的处理如下，使用由随机数等产生的对话密钥(公用密钥)，对作为对象的文件数据进行加密，用发送地的明钥对该对话密钥进行加密，把这些双加密数据发送给发送地。接收方通过用自己的密钥对所接收的数据进行解密，可以获得对话密钥，利用该对话密钥对已加密的文件数据进行解密。本说明书中所说的“用明钥加密”不仅指用如文字所述的明钥，对对象数据进行加密的场合，也有利用这种对话(session)密钥进行加密处理的场合。
另外，加密·解密处理单元108具有对要发送的数据实施电子署名，或验证所接收数据中附带的电子署名的功能。电子署名例如可以通过利用署名者的密钥对根据署名对象的文件数据按MD5(RFC1321)和SHA-1(RFC3174)等规定摘要方式求出的信息摘要进行加密来获得。该电子署名的验证是通过用署名者的明钥对该署名数据进行解密，判定该解密结果和根据署名对象的文件数据按照规定的摘要方式求出的信息摘要是否一致来进行的。如果一致，即证明该文件数据是来自署名者的真实数据，同时可以证明该文件数据没有被窜改。
加密·解密处理单元108至少保管着流程控制装置20的明钥。另外，加密·解密处理单元108也适合设置根据需要从网络上的规定认证局等取得各服务器和用户的明钥的功能。加密·解密处理单元108具有该指示输入装置10自身的密钥，能够进行指示输入装置10的电子署名。
上述第3和第4指示发送方式(图5和图6)，对发送给各服务器25的指示书的上述加密处理是由该加密·解密处理单元108执行的。第1和第2指示发送方式(图3和图4)，对发送给流程控制装置20的流程指示书50的加密处理也是由该加密·解密处理单元108执行的。
标权(token)I/F(接口)110是接收用户保持的硬件标权，通过与该硬件标权进行通信，取得用该用户的密钥产生的电子署名的机构。硬件标权是用户协同的小型认证装置。利用明钥的加密方式时，硬件标权，例如具有用于存储用户的密钥数据的存储芯片，通过使用用户密钥对署名对象数据进行加密来生成署名数据的运算电路，和署名对象数据的输入及输出用接口机构。硬件标权例如是接触读取式或非接触读取式IC卡、对应USB(Universal Serial Bus)等各种有线接口规格的装置、或对应Bluetooth等各种无线接口规格的装置。
通信控制单元106需要对应发送数据进行用户的电子署名时，例如，按照MD5等方式制作该数据的信息摘要，将其输入到按照在标权I/F110上的硬件标权。硬件标权利用所保持的用户密钥对所输入的信息摘要进行加密，将该加密处理结果(即用户的署名)返回通信控制单元106。通信控制单元106把该用户署名附加到文件数据中，即形成针对文件数据的用户电子署名。
以上说明了利用用户的硬件标权进行用户的电子署名的方式，但作为其他方式，把用户密钥预先保存在指示输入装置10，利用该密钥通过和上述相同的处理来进行该用户的电子署名的方式也是可行的。该方式为了保护用户的密钥必须进行下述控制，要求用户输入密码和生物度量信息等认证信息，仅限于用户认证成功时，认可该用户的电子署名。使用硬件标权的结构，进行用户署名所需的协同服务时，最坏的场合是在该协同服务完成之前，需要在向指示输入装置10安装标权的状态下待机，但由指示输入装置10保管密钥的结构不需要这种待机。反之，使用硬件标权的结构，具有用户可以从任一复合机器的其他装置执行用户署名所需的协同服务的优点。
以上说明了指示输入装置10的一个结构示例。该指示输入装置10可以通过使计算机和上述复合机器等执行程序并能执行信息处理的装置，执行记述了上述各种功能的程序来实现。
下面，说明流程控制装置20的结构。流程控制装置20对应于上述的第1及第2指示发送方式(参照图3和图4)，第3及第4指示发送方式(参照图5和图6)时不需要该流程控制装置20。
流程控制装置20的用户管理单元202管理着该装置20有作为服务对象的用户的各种信息。用户管理单元202管理的信息中，例如有用户认证用认证信息(密码和生物统计信息等)和用户注册的UI画面信息等。即，本实施方式的系统，用户通过组合网络35上的各种服务装置提供的服务，可以定义用户固有的协同服务，从流程控制装置20提供可以指示这些用户固有的协同服务的该用户固有的UI画面。
此时，用户(有时是个人，有时是由多人组成的小组)向指示输入装置10输入认证信息，认证一成功，指示输入装置10向流程控制装置20要求该用户的UI画面。根据该要求，流程控制装置20利用该用户的明钥，把包含该用户注册的协同服务菜单等的UI画面加密后发送给指示输入装置10。用户在指示输入装置10的显示器上显示的该UI画面中选择想使用的协同服务，该选择内容被用流程控制装置20的明钥加密后，从指示输入装置10发送给流程控制装置20。接收到该选择结果的流程控制装置20把表示用户所选择的协同服务的总指示书的雏形数据，利用用户的明钥加密后发送给指示输入装置10。在该总指示书的雏形中包含用户必须输入的参数时，指示输入装置10把该参数的输入画面显示在UI102上，要求用户输入。用户根据输入画面一输入参数组，指示输入装置10即完成总指示书。该总指示书对应上述的流程指示书50。指示输入装置10利用流程控制装置20的明钥把所完成的流程指示书加密后发送给流程控制装置20。
关于由用户进行的向流程控制装置20的协同服务注册处理和从流程控制装置20提供给指示输入装置10的各用户固有的UI画面信息，与本实施方式的要旨没有直接关系，所有省略说明，但这些内容已在本申请人的特愿2002-275229号、特愿2002-275230号、特愿2002-275231号专利中解密，必要时可以参照。
该示例的机构是，UI画面信息和协同服务的总指示书的雏形由流程控制装置20保管，随时提供给指示输入装置10，但这些UI画面和总指示书的雏形也可以保管在指示输入装置10中。
流程控制单元204是为了实现用户要求的协同服务，按照协同服务中规定的流程，对各服务器25和指示输入装置10进行必要处理的执行委托的功能模块。即，协同服务被定义为由各服务器25提供的一个以上的处理(以下也称为单位任务)组成的流程，流程控制装置20把该流程定义表示的单位任务顺序委托给相对应的服务器。各服务器的处理结果根据需要返回流程控制装置20，作为下一单位任务的处理对象数据，从流程控制装置20被发送给相对应的服务器。流程控制单元204执行对这些服务器、复合机器的处理委托和取得与此相对的处理结果等处理。
指示输入装置10除协同服务的指示接收功能外，也具有处理功能，有时为了进行协同服务也提供该处理功能。此时，指示输入装置10可以把该处理功能作为应用服务器25中的一个。
加密·解密处理单元206是对从流程控制装置20发送给网络35的文件数据进行加密，或对所发送的加密数据进行解密的功能模块，具有和加密·解密处理单元108相同的加密、解密、电子署名及其验证功能。
加密·解密处理单元206具有保管指示输入装置10和各服务器25等装置和各服务器的明钥，或从网络上的认证局等取得密钥的功能。需要发送数据时，使用该发送地的装置和用户的明钥进行加密。
上述的第1及第2指示发送方式(图3及图4)时，针对发送给各服务器25的指示书的上述加密处理是由加密·解密处理单元206执行的。
关于电子署名功能，加密·解密处理单元206具有流程控制装置20的密钥，可以对要发送的数据附加流程控制装置20的电子署名。
通信控制单元212是进行流程控制装置20和网络35上的其他装置的通信用各种控制处理的功能模块。
以上说明了流程控制装置20一个结构示例。这种流程控制装置20通过使计算机执行记述了上述各种功能的程序来实现。
下面说明应用服务器25。应用服务器25具有该服务器提供的服务用应用程序252；执行和网络35上的其他装置间的通信用控制处理的通信控制单元254；和执行该通信时的加密及解密处理的加密·解密处理单元256。
服务器25的加密解密处理单元256具有对从指示输入装置10、流程控制装置20或其他服务器25发送的指示书进行上述解密的功能。应用程序252接收该解密结果并进行解释，执行与该解释结果相适应的处理。
加密·解密处理单元256具有对经由该服务器25的处理而获得的数据进行加密的功能。加密·解密处理单元256把这种处理结果数据发送给流程控制装置20或其他服务器25时，使用发送地的明钥对该数据进行加密。
通信控制单元254在上述的第1及第2指示发送方式(图3及图4)时，进行把应用程序252的处理结果发送给流程控制装置20的处理。通信控制单元254在第3指示发送方式(图5)时，执行发送针对下一服务器25的总指示书60(以及必要时的处理结果数据)所需的上述处理，在第4指示发送方式(图6)时，执行发送针对下一服务器25的处理开始指示所需的上述处理，以上说明的指示输入装置10及服务器25、以及流程控制装置中介型系统结构，通过流程控制装置20实现上述的协同服务流程，同时执行对在该流程中发给各服务器25的指示书保密的处理。
权利要求
1.一种信息处理装置，使根据指示数据所记述的处理记述来执行处理的多个作业处理装置协同动作，从而实现服务，其特征在于，具有加密处理单元，对所述指示数据所记述的处理记述进行加密，使得成为由各作业处理装置的执行对象的部分能够被执行该处理的作业处理装置解密；和发送单元，发送经由所述加密处理单元将处理记述加密后的指示数据，以传递给执行所述处理记述所表述的处理的作业处理装置。
2.根据权利要求1所述的信息处理装置，其特征在于，所述加密处理单元还对以下的加密数据加密，该加密数据是在作为加密对象的处理记述之后，应处理的处理记述的加密数据。
3.根据权利要求1所述的信息处理装置，其特征在于，所述加密处理单元使用执行成为加密对象的处理记述的作业处理装置的明钥，进行加密处理。
4.根据权利要求1所述的信息处理装置，其特征在于，所述加密处理单元对成为各作业处理装置的执行对象的多个部分，分别进行加密。
5.根据权利要求4所述的信息处理装置，其特征在于，所述加密处理单元对每个部分使用不同的密钥进行加密。
6.一种信息处理装置，包含于多个作业处理装置按规定顺序协同动作来实现服务的系统中，其特征在于，具有接收单元，接收已记述处理内容的处理记述被加密后的指示数据；解密处理单元，对成为由所述接收单元接收的指示数据中包含的自装置的执行对象的处理记述部分进行解密；删除单元，把已由所述解密处理单元解密后的处理记述从指示数据中删除；和发送单元，把经由所述删除单元删除处理记述后的指示数据发送给执行下一处理的作业处理装置。
7.一种计算机执行的信息处理方法，使根据指示数据所记述的多个处理记述来分别执行处理的多个作业处理装置协同动作，从而实现服务，其特征在于，对所述指示数据所记述的处理记述进行加密，使得成为由各作业处理装置的执行对象的部分能够被执行该处理的作业处理装置解密；和发送已加密的指示数据，以传递给执行所述处理记述所表述的处理的作业处理装置。
8.一种信息处理方法，由包含于多个作业处理装置按规定顺序协同动作来实现服务的系统中的作业处理装置中的至少一个装置来执行的方法，其特征在于，接收已记述处理内容的处理记述被加密后的指示数据，对成为包含于所接收的指示数据中的自装置的执行对象的处理记述部分进行解密，把已解密的处理记述从指示数据中删除，把已删除处理记述的指示数据发送给执行下一处理的作业处理装置。
9.一种作业处理装置，根据指示数据所记述的处理记述来执行处理，其特征在于，具有加密处理单元，对所述指示数据所记述的处理记述进行加密，使得成为由处理下一作业的各作业处理装置的执行对象的部分能够被执行下一处理的作业处理装置解密；发送单元，在所述作业处理的执行结束后，发送经由所述加密处理单元将处理记述加密后的指示数据，以传递给进行下一作业处理的作业处理装置。
10.一种作业处理方法，根据指示数据所记述的处理记述来执行处理，其特征在于，具有加密处理步骤，对所述指示数据所记述的处理记述进行加密，使得成为由处理下一作业的各作业处理装置的执行对象的部分能够被执行下一处理的作业处理装置解密；发送步骤，在所述作业处理的执行结束后，发送经由所述加密处理步骤将处理记述加密后的指示数据，以传递给进行下一作业处理的作业处理装置。
全文摘要
本发明提供一种服务系统，一面在各服务器之间传送已给各服务器作出指示的指示书，一面使各服务器执行指示书中的各自指示，同时遵守指示书中所作出的给各服务器的指示秘密。该系统提供如下协同服务，把某服务器提供的散页(从含有多页的文件中抽出规定的页码，并输出该页文件的处理)和其他服务器提供的电子邮件发送处理进行组合，由此从用户投入到指示输入装置的文件中，抽出前头页码，以电子邮件发送给规定收件人的。指示输入装置利用分别对应的服务器的明钥对所述各服务器的处理内容的记述进行加密，制作含有各个加密结果的指示书，发送给提供散页的服务器。
文档编号G06Q10/00GK1532747SQ20031010121
公开日2004年9月29日 申请日期2003年10月9日 优先权日2003年3月25日
发明者益井隆德, 佐竹雅纪, 纪, 彦, 横滨龙彦 申请人:富士施乐株式会社