具体实施方式
以下,参照附图详细说明本发明。同时,对于附图中的共通的结构要素附加同样的参照符号。
(第一实施方式)
图1是表示与本发明的第一实施方式有关的通信***的结构的一个例子的方块图。如图1所示,通信***100,主要包含发送装置110、接收装置120、管理服务器130、以及邮件服务器140。这些装置及服务器,能够由包括互联网等的通信网150连接。另外,该通信网150,可包含固定网络及移动通信网。
发送装置110,比如,相当于个人电脑、手机和个人数字助理等。发送装置110通过通信网150对接收装置120发送添加了被加密后的电子文件的电子邮件。
接收装置120也相当于个人电脑、手机或个人数字助理等。接收装置120,通过通信网150接收由发送装置110发送的电子邮件。
邮件服务器140,通过通信网150接收发送装置110发送的电子邮件,通过通信网150将这个电子邮件发送到接收装置120。
管理服务器130,通过通信网150,将对被发送装置100加密的电子文件解码所必需的口令,从发送装置110发送至接收装置120。
<各装置及管理服务器的内部结构>
[发送装置110的内部结构]
图2是表示发送装置110的内部结构的一个例子的方块图。发送装置110,主要包含控制/处理部220、存储部230、通信部240和显示部250。
存储部230存储包括为了实现本实施方式涉及的电子文件发送方法所使用的应用程序、管理服务器130(或接收装置120)的公钥、应该发送给接收装置120的电子文件等的各种各样的信息。
通信部240,接收控制/处理部220的控制,执行对接收装置120的电子邮件的发送,对管理服务器130的口令的发送等。
显示部250,接收该控制/处理部220的控制,对发送装置110用户(发送者)显示由控制/处理部220进行的处理的结果。
控制/处理部220控制存储部230、通信部240及显示部250,进行本实施方式涉及的电子文件发送方法的执行所必需的动作。
具体地说,控制/处理部220,通过执行被存储部230存储的应用程序,控制存储部230、通信部240及显示部250,进行本实施方式涉及的电子文件发送方法的执行所必需的动作(比如,电子文件的加密、添加了被加密后的电子文件的电子邮件的发送、解码被加密后的电子文件所必需的口令的发送等动作)。
[管理服务器130的内部结构]
图3,是表示管理服务器130内部结构的一个例子的方块图。管理服务器130,主要包含控制/处理部310、通信部320和存储部330。
存储部330存储包括为了实现本实施方式的电子文件发送方法所使用的应用程序、从发送装置110接收的口令、能够一对一地识别从发送装置110向接收装置发送的电子文件的识别符等的各种各样的信息。
通信部320,接受控制/处理部310的控制,执行与发送装置110的通信(接收来自发送装置110的口令等)及与接收装置120的通信(对接收装置120的电子邮件的发送\、来自接收装置120的公钥的接收、及针对接收装置120的口令的发送等)。
控制/处理部310,控制通信部320及存储部330,进行在执行本实施方式的电子文件发送方法时所必要的动作。具体地说,控制/处理部310,通过执行被存储部330存储的应用程序,控制存储部330及通信部320,进行在本实施方式涉及的电子文件发送方法的执行中所必需的动作(比如,来自发送装置110的口令等的接收,对接收装置120的口令的发送等)。
[接收装置120的内部结构]
图4是表示接收装置120内部结构的一个例子的方块图。
接收装置120,主要包含控制/处理部410、存储部420、通信部430和显示部440。
存储部420,存储包含为实现本实施方式的电子文件发送方法所使用的应用程序、接收装置120密钥等的各种各样的信息。
通信部430,受到控制/处理部410的控制,执行来自发送装置110的电子邮件的接收、来自管理服务器130的电子邮件的接收、来自管理服务器130的口令的接收等。
显示部440,受到控制/处理部410的控制,对接收装置120的用户(接收者)显示由该控制/处理部410完成的处理结果。
控制/处理部410控制存储部420、通信部430及显示部440,进行在执行本实施方式的电子文件发送方法时所必需的处理。具体地说,控制/处理部410通过执行被存储部420存储的应用程序,来控制存储部420、通信部430及显示部440,进行在执行本实施方式的电子文件发送方法时必要的动作(比如,接收来自发送装置110的电子邮件,对管理服务器130发送公钥,接收来自管理服务器130的口令等)。
<电子文件发送方法的流程>
其次,说明本实施方式涉及的通信***进行的电子文件发送方法的整体性的动作。
[在发送装置110和管理服务器130及邮件服务器140之间的动作]
图5是表示在本发明的第一实施方式的电子文件发送方法中,在发送装置110和管理服务器130及邮件服务器140之间进行的动作的模式图。
在步骤A1中,发送装置110被预先安装了专用应用软件。
在步骤A2中,作为发送装置110用户的发送者X,利用Office(注册商标)等的应用软件,制作应该发送给作为接收装置120用户的接收者Y的电子文件。作为所制作的电子文件的一个例子,图5给出了Word(注册商标)文件501。
在步骤A3中,在专用应用软件上,发送者X指定电子文件501,作为想安全发送的电子文件。具体地说,在发送装置110的显示部250,由专用应用软件显示窗502。在该状态中,发送者X,通过将电子文件501托曳到窗502里面的字段503中,指定电子文件501为发送对象文件。
在步骤A4中,发送者X,在专用应用软件上指定被准许打开文件的接收者(在这里是接收者Y)的电子邮件地址。具体地说,发送者X,在″公开处″字段504输入接收者Y的电子邮件地址。
然后,发送者X,在专用应用软件上指定接收者Y对电子文件501的许可或禁止的操作。具体地说,比如,发送者X,在准许对于电子文件501的全部操作的情况下,在″阅览限制″字段505不进行勾选。
反过来,发送者X,如果对电子文件501付加某种限制,则在″阅览限制″字段505进行勾选。该情况,在对电子文件501的阅览次数付加限制时,发送者X在″阅览次数″字段506进行勾选的同时,对字段507输入可能阅览次数。如果禁止电子文件501的印刷,则发送者X,在″印刷″字段508进行勾选。同样,在禁止对电子文件501的剪贴板操作时,发送者X在″剪贴板操作″字段509进行勾选。
这样,发送者X输入的信息被作为″阅览可否信息″而保存。这个阅览可否信息,是为了由发送者X控制(许可及/或禁止)接收者Y对电子文件501执行可能的处理(操作)所使用的。关于为了实现它的具体的手法,将在后述的第二实施方式中说明。
在步骤A5中,发送者X,将对电子文件501解码所必需的口令(以下称″解码用口令″)输入″确认口令″字段510。或者,专用应用软件,不让发送者X输入解码用口令,也能把随机生成的口令作为解码用口令。以此,能够把所使用的口令的密码方式的最大长度的通用钥作为解码用口令。
在步骤A6中,专用应用软件使用在步骤A5中输入或生成的解码用口令,加密作为发送对象文件而被指定的电子文件501。并且,专用应用软件也能压缩电子文件501。并且,专用应用软件生成能够一对一识别这样被加密(及被压缩)后的电子文件511的文件识别符。
进一步,专用应用软件用管理服务器130公钥加密解码用口令。
再者,也可以用接收装置120公钥替换管理服务器130公钥。
之后,专用应用软件对管理服务器130发送接收者Y的电子邮件地址、阅览可否信息、文件识别符、及被加密的解码用口令。
在步骤A6中由发送装置110对管理服务器130发送的信息,通过通信网150被管理服务器130接收。并且,被加密的解码用口令,用管理服务器130密钥(与发送装置110用的公钥相对应的密钥)解码,这样,得到解码用口令。
之后,在步骤A7中,让接收者Y的电子邮件地址、文件识别符、阅览可否信息及解码用口令互相对应存储在作为存储部330的一部分的数据库330a中。具体地说,将文件识别符作为钥匙,并与其对应地,在数据库330a存储接收者Y的电子邮件地址(公开处地址)、阅览可否信息及解码用口令。
另一方面,再次参照发送装置110的话,在步骤A8中,专用应用软件发送添加了被加密的电子文件511的电子邮件512。这个电子邮件512,通过邮件服务器140发送给接收装置120。
[接收装置120和管理服务器130及邮件服务器140之间的动作(用户登录前)]
管理服务器130,在上述步骤A6中接收来自发送装置110的接收者Y的电子邮件地址的时刻,确认接收者Y是否被管理服务器130作了用户登记。在这里,设接收者Y为没有进行用户登记。
图6是表示在本发明的第一实施方式涉及的电子文件发送方法中,接收装置120和管理服务器130及邮件服务器140之间的动作的模式图。
在步骤B 1中,管理服务器130,由随机的信息构成的权标(数据列,Data Sequence)生成比如由邮件正文记载的电子邮件601。并且,该电子邮件601的比如邮件正文中记载了提供专用应用软件(查看器)的安装程序的网站的URL。本实施方式中,作为一个例子将这个URL设定为是管理服务器130的URL。管理服务器130,将该电子邮件601发送给接收装置120。
在步骤B2中,接收装置120通过邮件服务器140接收被发送装置110(在步骤A8中)发送的电子邮件512。在这个时刻中,因为接收装置120没有解码用口令,所以不能打开接收到的电子邮件512中添加的被加密的电子文件511。
在步骤B3中,接收装置120接收由管理服务器130(在步骤B1中)发送的电子邮件601。在该电子邮件601的邮件正文中,记载了如上所述的权标及URL。
在步骤B4中,通过接收者Y对邮件正文所记载的URL进行点击操作,接收装置120根据这个URL访问管理服务器130,从这个管理服务器130下载专用应用软件(查看器)的安装程序602。之后,接收装置120通过执行已下载的安装程序602,安装专用应用软件(查看器)。
在安装时,如步骤B5所示,安装程序602生成不对称钥的双钥,即,生成密钥603和与这个对应的公钥604。将生成的密钥603隐秘保存。
并且,在安装时,如步骤B6所示,安装程序对接收者Y显示对话框605(显示部440),要求输入电子邮件601的邮件正文记载的权标。
如果专用应用软件(查看器)的安装结束的话,在步骤B7中,所启动的专用应用软件,将在步骤B5中生成的公钥604发送给管理服务器130,并用在步骤B5中生成的密钥603加密在步骤B6中输入的权标后发送给管理服务器130。不过,专用应用软件也可以不对在步骤B6中被输入的权标加密而发送给管理服务器130。
在步骤B8中,管理服务器130接收由接收装置120发送的公钥及被加密的权标。管理服务器130,根据公钥对从接收装置120接收到的被加密的权标进行解码。管理服务器130,在通过解码得到的权标与管理服务器130在步骤B1中发送的权标相符时,判断为接收者Y是正当的用户登记人,用户登记接收者Y。具体地说,管理服务器130,将接收者Y的电子邮件地址和公钥对应保存在数据库330a中。即,认为接收到的公钥为接收者Y的正当的公钥,而与接收者Y的电子邮件地址对应起来被保存在数据库330a中。以此,接收者Y的用户登记完成。
再者,在上述步骤B5,虽然通过安装程序生成密钥及公钥,不过,可以用被安装程序安装后的专用应用软件(查看器)生成。
并且,在上述步骤B6,针对接收者Y的权标输入,还可由安装程序要求,不过,也可以通过被安装程序安装的专用应用软件,比如,在这个应用软件的第一回启动时或在使用开始前要求。
[接收装置120和管理服务器130及邮件服务器140之间的动作(用户登记完毕)]
如上所述,管理服务器130,在上述步骤A6中,在从发送装置110接收了接收者Y的电子邮件地址的时刻,确认接收者Y是否已被管理服务器130做过用户登记。在这里,假设接收者Y为已经被用户登记的用户。
图7,是表示本发明的第一实施方式所涉及的电子文件发送方法中接收装置120和管理服务器130及邮件服务器140之间的动作的模式图。
因为接收者Y的用户登记已经完成,所以如步骤C1所示,接收装置120保存密钥603,与密钥603对应的公钥604被管理服务器130保存到数据库330a。
在步骤C2中,在接收装置120中启动专用应用软件(查看器)。接收者Y,进行用查看器打开由邮件512接收的被加密的电子文件511的操作。
在步骤C3中,查看器对管理服务器130发送用于识别接收者Y的电子邮件地址(即接收者Y的电子邮件地址),及从被加密的电子文件511提取的文件识别符。
在步骤C4中,管理服务器130,把从接收装置120接收了的文件识别符作为钥匙,取出与这个文件识别符对应(在上述步骤A7中)保存的公开处地址,在取出的公开处地址中,检索是否存在从接收装置120接收的接收者Y的电子邮件地址。即,对于通过从接收装置120接收的文件识别符一对一特别指定的电子文件,由管理服务器130判断接收者Y是否被发送者X指定为可对其公开该电子文件的正当的接收者。
在判断出接收者Y是公开可能的接收者的情况下,在步骤C5中,管理服务器130从数据库330a抽出与其文件识别符对应(在上述步骤A7中)而保存的解码用口令701。并且,管理服务器130从数据库330a抽出与接收者Y对应(在上述步骤B8中)而保存的接收装置120的公钥604。并且,管理服务器130,还由公钥604将解码用口令701加密,将被加密得到的口令702发送给接收装置120。
在步骤C6中,接收装置120,接收被加密的口令702。在接收装置120启动的查看器使用被这个接收装置120保存的密钥603解码被加密的口令702,从而得到解码用口令701。
在步骤C7中,查看器通过用解码用口令701将电子邮件512添加的被加密的电子文件511解码,得到电子文件501。
从以上的步骤C2~C7可以明确,接收者为了解码被加密的电子文件,需要预先使查看器启动。并且,查看器为了进行对加密的电子文件的解码,每回,必须为取得解码所必要的口令而访问管理服务器。因而,在接收者解码被加密的电子文件的时候,为了取得口令访问管理服务器130时,管理服务器130,还可采用与文件识别符对应地保留接收者及时刻等的记录的结构。因为接收者为了进行电子文件的解码,必需访问管理服务器130,所以,根据这个结构,发送者通过参照管理服务器130留下的记录,能够追踪接收者什么时候打开了文件。
如以上说明,根据本发明,因为电子文件实体被高度强化加密,因此,即使第三者得到也不能打开。
对被加密的电子文件的解码所必需的口令,不是在网络上原样传输,而是被管理服务器的公钥或者被按照发送者的意图设置的接收者的公钥加密后传送。这样,即使第三者知道这个口令,但是只要没有密钥,也不能解码。
假设,即使是在管理服务器不能被信赖的情况下,也能因为管理服务器只是管理着对加密的电子文件的解码所必需的口令,完全不管理电子文件主体,而能够防止发生第三者对被加密的电子文件的解码。
管理服务器,从其电子文件的发送者接收并管理识别电子文件的信息(比如文件识别符)和识别与此对应的正当的接收者的信息(比如接收者的电子邮件地址)。接收者通过对管理服务器发送识别希望解码的电子文件的信息(文件识别符)和识别自己本身的信息(电子邮件地址),对管理服务器要求被加密的口令。接受了要求的管理服务器,比较从发送者及接收者的两者接收的文件识别符及电子邮件地址,可以确实且自动地判断正当的接收者是否想要解码恰当的接收文件。因而,根据发送者的意图的恰当的电子文件,只能根据发送者的意图被正当的接收者确实取得。
从发送装置对接收装置借助管理服务器的口令的传达,因为由各装置安装的应用程序来执行,所以,发送者及接收者既不需要意识到口令,也不需要管理口令。
因此,根据本发明,能够安全且确实地对正当的接收者传送电子文件。
另外,在本实施方式中,作为优选的实施方式,说明了在发送装置110和管理服务器130之间,及管理服务器130与接收装置120之间,对电子文件的解码所需的口令,通过由公钥加密的与这个公钥对应的密钥进行解码的情况,即,对电子文件的解码所需的口令使用了不对称密码方式进行加密及解码。然而,本发明,也可以适用于对电子文件的解码所必需的口令进行使用了密钥密码方式的加密及解码的情况。
当采用密钥密码方式时,具体地说,发送装置110和管理服务器130的关系为,在步骤A6中,发送装置110用第一密钥加密电子文件501,用第二密钥加密第一密钥,向管理服务器130发送被第二密钥加密的第一密钥。管理服务器130通过第二密钥将被加密的第一密钥解码,而得到第一密钥。在步骤A7中,这个第一密钥作为解码用口令被管理服务器130保存。因而,发送装置110及管理服务器130,需要预先保持第二密钥。
另一方面,接收装置120和管理服务器130的关系中,在步骤B7中,不是用公钥,而是用密钥(在这里,为了叙述上的方便,称之为″第三密钥″)及另外的密钥(″第四密钥″)。即,接收装置120向管理服务器130发送被第四密钥加密的第三密钥和被第三密钥或者第四密钥加密的权标。在步骤B8中,管理服务器130通过用第四密钥将被加密后的第三密钥进行解码而得到第三密钥,由第三密钥或者第四密钥将被加密后的权标解码而得到权标。并且,在步骤C5中,管理服务器130用第三密钥加密解码用口令并发送至接收装置120,在步骤C6中,接收装置120用第三密钥将被加密后的解码用口令解码,得到解码用口令。因而,接收装置120及管理服务器130,需要预先保持第四密钥。
(第二实施方式)
本实施方式中,说明在第一实施方式中说明过的电子文件发送方法中的,由电子文件的发送者控制(许可及/或禁止)对这个电子文件可由接收者执行处理(操作)的方法。
以下,需要注意的是,对本实施方式中与上述第一实施方式相同之处的详细说明被省略。
图8是表示在本发明的第二实施方式的电子文件发送方法中进行的动作的模式图。另外,设接收者Y为已经被管理服务器130注册的用户。
在步骤D1中,发送者X与上述步骤A3同样,在专用应用软件上指定Word(注册商标)文件501为发送对象文件。在步骤D2中,发送者X,与上述步骤A4同样,指定被准许打开文件的接收者(在这里为接收者Y)的电子邮件地址。进一步,和上述步骤A4同样,发送者X对接收者Y指定对电子文件501许可或禁止的操作。
在步骤D3中,专用应用软件,和上述步骤A6同样,使用在上述步骤A5中输入或者生成的解码用口令,将被指定为发送对象文件的电子文件501进行加密(进一步压缩)。之后,和上述步骤A6同样,专用应用软件,对管理服务器130发送:接收者Y的电子邮件地址、阅览可否信息、文件识别符、及被加密的解码用口令。在管理服务器130中对这些的信息所做的处理,与上述步骤A6及以A7中已经说明过的一样。
在该步骤D3中,专用应用软件,能够将被加密的电子文件801文件名设定成与电子文件501的文件名相同。即,把被加密的电子文件801文件名设定成与电子文件501文件名(Important.doc)同名。
在该被加密的电子文件801的页眉(header)部分802中,记载了文件识别符802b。并且,在这个页眉部分802中,附加了表示这个电子文件801为固有形式的页眉802a。同时,也能将上位数据(metadata)802c附加到页眉部分802。上位数据802c,比如,能够包含表示电子文件501的著作权和编辑履历的信息等。该上位数据802c,可以和原来的文件的内容803同样被加密。
在步骤D4中,和上述步骤A8同样,专用应用软件发送添加了被加密的电子文件801的电子邮件804。这个电子邮件804,通过邮件服务器104,被接收装置120接收。
在步骤D5中,和上述步骤C2同样,在接收装置120中启动有专用应用软件(查看器)。接收者Y,进行对由邮件804接收的被加密的电子文件801用查看器打开的操作。
在步骤D6中,虽然被加密的电子文件801文件名与电子文件501文件名相同,不过,因为这个被加密的电子文件801是固有形式的文件,不能原样打开。然而,在本发明中,无需让用户意识到这个事实,而是像下面一样,由操作***(OS)805执行电子文件801的打开操作。
在步骤D7中,查看器806的结构为:监视着OS805启动应用软件的动作,如果识别到由OS805通过打开被加密的电子文件801而启动了预想的特定应用软件(这里是Word(注册商标))807的话,则将由被特定的应用软件807调用的API模块808进行的处理,转换成为通过API钩子由固有的钩子模块809的处理。这样,OS805如果按照电子文件801扩展名(.doc)启动Word(注册商标)的话,查看器806则识别作为特定的应用软件807的Word(注册商标)已被OS805启动,由API钩子调用固有的钩子模块809。
为了在步骤D8中,所启动的特定的应用软件807为了访问文件的内容,调用(呼出)由OS805准备的API模块。可是,在步骤D9,由于被调用的API模块的处理实际上不被执行,而执行被API钩子调用的由固有的钩子模块809进行的处理。固有的钩子模块809,关于对被加密的电子文件801的访问,确认是否在该电子文件801页眉部分802(在上述步骤D3中被附加的)上附加有页眉802a。
固有的钩子模块809,在对页眉部分802没有附加有页眉802a的情况下,判断该电子文件801不是固有形式的(即判断是通常的Word(注册商标)文件),由OS805执行通常的处理(即,在步骤D9被调用的API模块的处理)。
另一方面,固有的钩子模块809,在页眉部分802附加有页眉802a的情况下,判断这个电子文件801是固有形式的,执行下面的步骤D10以后的处理。
在步骤D10中,和上述步骤C3同样,查看器806(固有的钩子模块809)对管理服务器130发送接收者Y的电子邮件地址及文件识别符。
该结果,通过由管理服务器130执行上述步骤C4及以C5说明过的处理,接收装置120从管理服务器130接收被加密的口令702。这样,查看器806(固有的钩子模块809),得到与上述步骤C6同样的解码用口令701,和上述步骤C7同样,使用解码用口令701,将被加密的电子文件801解码,而得到电子文件501。
再者,当接收者Y没被管理服务器130做用户登记时,参照图6执行上述的步骤B1~B8。
在这里,特别着眼于API钩子而进一步具体地说明在上述步骤D8~D10中的动作。
[API钩子的概念]
首先,就API钩子的概念加以说明。
(1)所谓的API(Application Program Interface)是指在OS内,开发应用软件的时候能够使用的OS的功能的集合。应用软件组合OS准备的API模块,并使OS执行该应用软件具有的功能。
比如,以在Windows(注册商标)上读取文件的应用软件(比如Word(注册商标))为例,这个应用软件,通常,进行图9所示的处理。图9是表示一般的应用软件进行的文件的读入处理的模式图。
在步骤910中,应用软件901指定文件名,并调用CreateFile API,打开文件。在步骤920中,应用软件901,指定打开了的文件的识别符(HANDLE)并调用ReadFile API而取得内容。在步骤930中,应用软件901,用CloseHandle API释放读完的文件。
这样,OS902管理设备和资源,在利用OS的功能的时候,应用软件901必定进行某种API的调用。即,应用软件901,通过被公开的API委托OS902进行处理,通过这样的方法,对设备和资源进行访问。
(2)应用程序使用的API,作为一览记述在其程序的执行文件。在其程序的启动的时候,OS在存储器上配置其程序必需的API的实体,将其API的存储器上的地址(门牌),与程序上被记述的API的调用建立连接。这样,如图10所示,程序有″调用叫做CreateFile这个名称的API″的记述的情况下,CreateFile的实体被配置在存储器上之后,执行像″调用0x6fff00 a 0上的函数″的实际的处理那样地,改写存储器。
(3)在这里,如图11所示,能够使固有的程序片(模块)***程序的执行存储器空间,通过改写API的名称和实际地址的相关联的信息,执行与本来应该被调用的CreateFile API的实体不同的处理,把这个称作为″API钩子″。以此,在应用软件打算作为OS的功能调用CreateFile API的时候,能够执行从外部***的钩子模块的固有的处理。钩子模块,因为认识本来的CreateFile API存在于存储器上的哪里,所以,如果必要,能够对本来的CreateFile API转送处理。
以上,说明了关于API钩子的概念。
[在步骤D8~D10的动作的详细]
图12是着眼于API钩子表示在步骤D8~D10中进行的动作的流程图。与图12一起参照图8,在步骤D8中,假设特定的应用软件807为了访问文件的内容指定文件名,而打算调用CreateFile API。可是,实际上,在步骤D9中,执行由API钩子调用的固有的钩子模块809的处理。具体地说,固有的钩子模块809,在步骤D9-1中,指定文件名,调用CreateFile API,打开电子文件801。在步骤D9-2中,固有的钩子模块809,指定所打开的文件801的识别符,调用ReadFile API,取得其内容。固有的钩子模块809,在通过读取电子文件801页眉部分802,识别出该电子文件是固有形式的文件的情况下,在步骤D10中,对管理服务器130发送接收者Y的电子邮件地址及文件识别符。这样,固有的钩子模块809,从管理服务器130取得被加密的口令702。
之后,固有的钩子模块809,在存储器中,将被加密的电子文件801解码,得到电子文件501内容。得到的电子文件501内容,在存储器(暂存区域)上被展开及保持,如步骤D10-1所示,在存储器中,被返回至特定的应用软件807。
以上,对步骤D8~D10进行了说明。
其次,在步骤D11中,固有的钩子模块809,也从管理服务器130接收与文件识别符对应(在上述步骤A7中)存储的阅览可否信息。该阅览可否信息相当于在上述步骤D2(即步骤A4)中由发送者X输入的信息。
固有的钩子模块809,基于接收到的阅览可否信息,能够按照发送者X的意图,许可及/或限制由接收者Y对电子文件501的处理(比如编辑、印刷、剪贴板操作等)。图13表示其具体的实现手法。图13是表示在本发明的第二实施方式涉及的文件发送方法中,限制由接收者对电子文件的剪贴板操作的动作的流程图。
如上所述,因为启动了特定的应用软件807,所以根据这个应用软件被调用的API模块进行的处理,被API钩子转换成由固有的钩子模块809进行的处理。
在这种状态中,接收者Y为了进行剪贴板操作,在步骤E1中,如果进行按压″Ctrl″键及″C″键的操作的话,则应用软件807,在步骤E2中,调用SetClipBoardData API。可是,实际上,因为在步骤E3中,固有的钩子模块809返回″失败″,所以,应用软件807,在步骤E4中对接收者Y表示错误信息等。
因此,由接收者Y对电子文件501的剪贴板操作受到限制。
同样,在印刷电子文件501的时候,因为,当将名为GetDC的API、电子文件501用别名保存时,CreateFile]、WriteFile、CloseHandle一系列的API,被应用软件807调用,所以即使对这些API的调用也能够根据API钩子,由固有的钩子模块809执行固有的处理,得以限制对电子文件501的印刷或别名保存。
再者,在准许由接收者Y对电子文件501的特定操作的情况下,固有的钩子模块809,只需在与特定的操作对应的API模块被应用软件807调用的时候,将该调用转送至API模块即可。在这种情况下,该API模块的执行结果,在存储器中,被固有的钩子模块809返回给应用软件807。
再次参照图8的话,固有的钩子模块809通过监视由特定的应用软件807的各API调用,比如能够监测出接收者Y进行特定的操作(调用特定的API)并将该事实对管理服务器130发送。具体地说,固有的钩子模块809,如步骤D12所示,能够向管理服务器130发送电子文件的识别符及表示特定的操作的操作内容信息(与进行其操作的时间一起)。管理服务器130,与电子文件的识别符对应地把操作内容信息(操作记录)保存到数据库330a。并且,发送者X通过发送装置110对管理服务器130访问,能够如步骤D13所示,查看接收者Y对于自己发送的电子文件进行了怎样的操作。以此,发送者X,能够追踪接收者Y对发送的电子文件在几点钟进行了怎样的操作。
并且,发送者X,还能如步骤D14所示,利用发送装置110,对管理服务器130访问,随时变更与识别符对应保存在管理服务器130中的阅览可否信息。
上述的第一实施方式中,虽然只有根据发送者的意图的正当的接收者才可以接收恰当的电子文件并打开,不过,仍然残存一种可能性,即这个正当的接收者将取得的电子文件传送给违背发送者的意图的第三者。
本实施方式,在接收装置中,不是将通过解码而获得的电子文件作为文件而输出,而是通过在读取被加密的电子文件的时候,钩链API,由固有的钩子模块,在存储器(暂存区域)上进行这个电子文件的解码,所以通过解码得到的电子文件的内容,不作为可从外部读取形式的文件而保留,即,在存储器上展开的电子文件的内容,不在硬盘等的固定存储区域中展开。
并且,关于所谓的能成为使电子文件的内容外部流出的主要原因的操作,比如文件的写出、印刷、剪贴板操作等,能够在存储器上钩链为了实现这些操作的API,得以控制对这些操作的许可及/或限制(禁止)。这样,能够防止电子文件的内容向外部流出。
并且,在接收装置中,根据API钩子,由固有的钩子模块监视特定的应用软件的各API的调用,并通知管理服务器,管理服务器能够记录下由哪个接收者在几点钟做哪些操作。根据这个,访问了管理服务器的发送者,能容易且切实地跟踪由接收者对电子文件的操作内容(比如,文件打开,阅览,印刷以及剪贴板操作等任意的操作内容)。