JP2004213265A - 電子文書管理装置、文書作成者装置、文書閲覧者装置、電子文書管理方法及び電子文書管理システム - Google Patents
電子文書管理装置、文書作成者装置、文書閲覧者装置、電子文書管理方法及び電子文書管理システム Download PDFInfo
- Publication number
- JP2004213265A JP2004213265A JP2002381305A JP2002381305A JP2004213265A JP 2004213265 A JP2004213265 A JP 2004213265A JP 2002381305 A JP2002381305 A JP 2002381305A JP 2002381305 A JP2002381305 A JP 2002381305A JP 2004213265 A JP2004213265 A JP 2004213265A
- Authority
- JP
- Japan
- Prior art keywords
- document
- electronic document
- electronic
- access
- access token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
- Document Processing Apparatus (AREA)
Abstract
【課題】文書作成者は個人的に十分に管理可能な装置を使って電子文書へのアクセス権を付与又は停止することができる。
【解決手段】電子文書管理システムは、文書作成者によって管理される文書作成者装置と該文書作成者装置より送信された電子文書を管理する電子文書管理装置とを有する。上記文書作成者装置は、文書閲覧者装置から上記電子文書管理装置によって管理された電子文書へのアクセス許可の請求を受信したとき該電子文書へのアクセス許可を上記文書閲覧者装置に送信し、上記電子文書管理装置は、上記文書閲覧者装置から上記文書作成者装置によるアクセス許可を受信したとき上記文書閲覧者装置に上記電子文書へのアクセス許可を送信する。文書作成者装置及び文書閲覧者装置はコンピュータに接続可能なICカード又は携帯端末によって構成されている。
【選択図】 図1
【解決手段】電子文書管理システムは、文書作成者によって管理される文書作成者装置と該文書作成者装置より送信された電子文書を管理する電子文書管理装置とを有する。上記文書作成者装置は、文書閲覧者装置から上記電子文書管理装置によって管理された電子文書へのアクセス許可の請求を受信したとき該電子文書へのアクセス許可を上記文書閲覧者装置に送信し、上記電子文書管理装置は、上記文書閲覧者装置から上記文書作成者装置によるアクセス許可を受信したとき上記文書閲覧者装置に上記電子文書へのアクセス許可を送信する。文書作成者装置及び文書閲覧者装置はコンピュータに接続可能なICカード又は携帯端末によって構成されている。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は電子文書を管理するための電子文書管理システムに関し、特に、文書作成者が作成した文書に文書閲覧者がアクセスするための電子文書管理システムに関する。
【0002】
【従来の技術】
近年、顧客リストの漏洩に代表されるような、情報管理の不備に起因する事故が頻発している。このような事故を起こした組織は、経済的にも社会的にも大きな損失を被る可能性が高く、それゆえ、情報セキュリティの重要性があまねく認識されつつある。
【0003】
そのような背景のもと、情報セキュリティを確保するための手段として、情報に対するアクセス権限をきめ細かく管理し、真に必要のある者だけに、アクセス許可を与えるようなシステム運用が行われている。できる限り、成員一人一人の単位でアクセス権限を管理することが望ましい。
【0004】
しかし仮に、成員一人一人の単位でアクセス権限を管理しようとすると、組織の成員数が多ければ多いほど、管理すべきアクセス権限の組み合わせが多くなり、管理に大きな困難を伴うものとなる。
【0005】
このような問題を解決する手段として、アクセス権限の管理と実際にアクセスされる情報の管理とを分けて行う方法が公知となっている。
例えば、特開2000−10930号公報に記載されているシステムでは、アクセス権限を統合的に管理する統合認証サーバが業務サーバの認証業務を代行する。アクセス権限者は、統合認証サーバによって認証を受け、電子証明書形式のアクセス許可証を受領する。アクセス権限者は、その電子証明書を業務サーバに送信する。業務サーバは電子証明書を検証し、電子証明書が真正であると認めると、アクセスを許可する。
【特許文献1】
特開2000−10930号公報
【0006】
【発明が解決しようとする課題】
上記の統合認証サーバによる方法では、認証を受ける者と実際にアクセス許可を受ける者が、常に同一であることを前提としている。仮に同一でないとすると、次のような課題が発生する。
【0007】
第一に、電子証明書は認証を受ける者に関連づけされており、アクセス許可を受ける者に関連づけされているわけではない。従って、認証を受けた者が、アクセス許可を受ける者に電子証明書を正しく譲渡したことを保証する方法を別に用意しないと、セキュリティホールとなる可能性が高い。
第二に、一度発行された電子証明書を失効させることができないので、認証を受ける者に一旦アクセス許可を与えると、それを取り消すことが非常に困難である。
本発明の目的は、電子文書に対するアクセス権限をきめ細かく且つ容易に管理することに資する文書管理システムを提供することにある。
【0008】
【課題を解決するための手段】
本発明によると、電子文書管理システムは、文書作成者によって管理される文書作成者装置又はシステムと該文書作成者装置より送信された電子文書を管理する電子文書管理装置又はシステムとを有する。上記文書作成者装置は、文書閲覧者装置又はシステムから上記電子文書管理装置によって管理された電子文書へのアクセス許可の請求を受信したとき該電子文書へのアクセス許可を上記文書閲覧者装置に送信し、上記電子文書管理装置は、上記文書閲覧者装置から上記文書作成者装置によるアクセス許可を受信したとき上記文書閲覧者装置に上記電子文書へのアクセス許可を送信する。
【0009】
文書作成者装置及び文書閲覧者装置はコンピュータに接続可能なICカード又は携帯端末によって構成されている。
従って、本発明によれば、文書作成者は個人的に十分に管理可能な文書作成者装置を使って電子文書へのアクセス権を付与又は停止することができる。
【0010】
【発明の実施の形態】
以下、本発明の実施の形態を詳細に説明する。図1は、本発明の実施形態の一つである電子文書管理システムのシステム概要図である。本実施例では、電子文書管理システムは、文書作成者システム又は装置100と文書閲覧者システム又は装置200と電子文書管理サーバ又は装置300とを含む。
【0011】
文書作成者システム100は、端末装置110とICカードを読み取るためのICカード読み取り装置120とICカード読み取り装置120に接続可能なICカード型認証局130とを含む。
【0012】
文書閲覧者システム200は、端末装置210とICカードを読み取るためのICカード読み取り装置220とICカード読み取り装置220に接続可能なICカード型演算装置230とを含む。
【0013】
電子文書管理サーバ300はサーバ装置310を含む。
端末装置110、端末装置210及びサーバ装置310はコンピュータ装置であってよい。端末装置110と端末装置210とサーバ装置310は通信ネットワークで接続されている。
【0014】
この通信ネットワークとして、イーサネット等の一般的なネットワーク技術を使用することができるが、オープン且つ暗号化機能に優れたものが好適である。例えばインターネットにてSSL(セキュア・ソケット・レイヤ)を使用してもよい。また、物理的接続を常には維持する必要がない場合は、一時的な通信経路を確立するネットワークを使用することも可能であり、例えば、電話回線を用いたダイヤルアップ接続を使用してもよい。
【0015】
本例では、文書作成者の認証局130と文書閲覧者の演算装置230としてICカードを使用するが、ICカード以外のハードウェアを使用してもよい。以下に説明する認証局130及び演算装置230の機能と同等な機能を有し、端末装置110、210に接続可能であり且つ個人が管理できるものであればよく、例えば、PCカード、メモリカード等であってよい。更に、有線通信や無線通信等を使って端末装置110、210に接続可能な小型のトークン、携帯端末、携帯型小型コンピュータ等であってもよい。
【0016】
また、ICカードに代わるハードウェアとして、例えば、個人情報等を管理するソフトウェアやオンライン上のサービスをハードウェアと見なして、本発明の電子文書管理システムを構築することもできる。
【0017】
文書作成者の認証局130は個人が容易に管理できるように小型又は携帯型であるが、ICカード型演算装置230は端末装置210とハードウェア的に兼用してもよい。
【0018】
本例の電子文書管理システムによる処理の概略を説明する。尚、詳細は、後に、図7及び図8を参照して説明する。先ず、文書作成者は、公開鍵証明書を電子文書管理サーバ300に登録[1]し、作成した文書を電子文書管理サーバ300に登録[2]する。文書閲覧者は文書作成者システム100に未署名アクセストークン240を送信[3]し、電子文書管理サーバ300に登録された文書へのアクセス許可を請求する。文書作成者は文書閲覧者システム200に署名済みアクセストークン250を送信[4]し、アクセス許可を付与する。文書作成者は電子文書管理サーバ300に署名済みアクセストークン250を送信[5]し、文書へのアクセス許可を請求する。電子文書管理サーバ300は、署名済みアクセストークン250を受信すると、文書閲覧者システム200に電子文書を送信[6]する。
【0019】
未署名アクセストークンとは、電子文書管理サーバ300によって管理された電子文書へのアクセス許可の請求を示す情報であり、文書閲覧者が文書作成者に送信する。署名済みアクセストークンとは、電子文書管理サーバ300によって管理された電子文書へのアクセス許可を示す情報であり、文書作成者が文書閲覧者に付与する。
【0020】
図2を参照してICカード型認証局130の構成及び機能の例を説明する。ICカード型認証局130は、電子署名に使用するための認証局秘密鍵131と電子文書管理サーバ300に送信するための認証局公開鍵証明書132と電子署名を行うための署名手段133とICカ−ドを認証するためのICカード認証手段134とを有する。署名手段133は、後に説明するように、未署名アクセストークン及び未署名失効リストに対して電子署名を行う。ICカード認証手段134は例えば、文書閲覧システム200から送信された文書閲覧者のICカード型演算装置230に登録された情報を認証する。
【0021】
認証局秘密鍵131と認証局公開鍵証明書132はデータベースに格納されてよい。署名手段133及びICカード認証手段134は、ソフトウエアであるOS(Operating System:基本プログラム)での機能やアプリケーションプログラムであってよい。
【0022】
図3を参照してICカード型演算装置230の構成及び機能の例を説明する。本例のICカード型演算装置230は、文書作成者システム100に送信する未署名アクセストークンを発行するための未署名アクセストークン発行手段231と文書作成者システム100から送信された署名済みアクセストークンを格納するための署名済みアクセストークン格納手段232とICカードを認証するためのICカード認証手段233とを有する。ICカード認証手段233は例えば、文書作成者システム100から送信された文書作成者のICカード型認証局130に登録された情報を認証する。
【0023】
図4を参照してサーバ装置310の構成及び機能の例を説明する。本例のサーバ装置310は、文書作成者システム100から送信された電子文書を格納するための電子文書格納手段311と、文書作成者システム100から送信された公開鍵証明書を格納するための公開鍵証明書格納手段312と、文書閲覧者システム200から送信された署名済みアクセストークンの電子署名及び文書作成者システム200から送信された署名済み失効リストの電子署名を検証するための署名検証手段313と、文書作成者システム100から送信された失効リストを格納するための失効リスト格納手段314と、文書閲覧者システム200から送信された署名済みアクセストークンと失効リスト格納手段314に格納された失効リストとを照合するための失効リスト照合手段315と、を有する。
【0024】
図5を参照してICカード型演算装置230の未署名アクセストークン発行手段231が発行する未署名アクセストークン240を説明する。未署名アクセストークン240とは、電子文書の閲覧者が電子文書の作成者に対して電子文書管理サーバ300に登録された電子文書へのアクセス許可を請求するときに使用するデータである。
【0025】
未署名アクセストークン240は、アクセストークンID241とアクセス許可を請求する文書のID242と権限種別243とを含む。アクセストークンID241は、本実施例の電子文書管理システム中で必ずユニークとなるようなデータである。アクセス許可を請求する文書のID242は、そのアクセストークンがアクセスを希望する文書を特定するためのデータである。権限種別243は、そのアクセストークンの持つアクセス権限の種別を特定するためのデータである。例えば、閲覧、変更、削除、複写等の権限設定に関する情報が記述されている。尚、本実施例では、この未署名アクセストークン240に含まれる権限種別243には、閲覧の属性が有効になっているものとして記述する。
【0026】
未署名アクセストークン240には上記に挙げた以外のデータを含むことができる。例えば、閲覧者自身の電子署名、閲覧者自身の公開鍵証明書、そのほか閲覧者自身に関する認証情報及び個人情報等が挙げられる。
【0027】
また、未署名アクセストークン240は、一定の構造を取ることができる。例えばXMLに代表されるタグ付きテキストファイル形式や、X.509に代表される電子証明書形式、タグ付きテンプレートに代表されるICカード内格納形式等が挙げられる。
【0028】
図6を参照して署名済みアクセストークン250を説明する。署名済みアクセストークン250とは、上記未署名アクセストークン240に対して、電子文書の作成者が電子文書の閲覧者に対して電子文書管理サーバ300に登録された電子文書へのアクセス許可を付与することを目的として発行したデータである。
署名済みアクセストークン250は、アクセストークンID251とアクセス許可を請求する文書のID252と権限種別253と認証局署名254を含む。
【0029】
多くの場合、署名済みアクセストークン250のアクセストークンID251とアクセス許可を請求する文書のID252と権限種別253は、それぞれ、未署名アクセストークン240のアクセストークンID241とアクセス許可を請求する文書のID242と権限種別243と同一である。しかしながら、一定の合理的な処理の結果として、両者が不一致の場合もある。
【0030】
認証局署名254は、ICカード型認証局130において、認証局秘密鍵131に基づいて署名手段133によって署名処理を行った結果値である。
署名済みアクセストークン241は、一定の構造を取ることができる。例えばXMLに代表されるタグ付きテキストファイル形式や、X.509に代表される電子証明書形式、タグ付きテンプレートに代表されるICカード内格納形式等であってよい。
【0031】
図7を参照して、文書の閲覧者が文書の作成者に対して、電子文書管理サーバ300に登録された文書へのアクセス許可を請求してから、文書の作成者が文書の閲覧者にアクセス許可を与えるまでの処理を説明する。
【0032】
まず前提として、文書作成者の公開鍵証明書が、電子文書管理サーバ300の公開鍵格納手段312に、文書を識別する情報である文書IDと対応付けて格納されている。また、電子文書管理サーバ300は、文書作成者によって作成された文書を電子文書格納手段311に格納している。
【0033】
ステップ11a及びステップ11bにて、文書作成者システム100及び文書閲覧者システム200は相互認証を行う。相互認証とは、互いに相手が正当なアクセス対象であるかを認証しあう手続きであって、「外部認証(ICカードが端末を正しいと認める。)」「内部認証(端末がICカードを正しいと認める。)」という処理の組み合わせの処理を指す。
【0034】
例えば、文書閲覧者システム200のICカード読み取り装置220によって文書閲覧者のICカード型演算装置230のID情報を読み取り、それを文書作成者システム100に送信する。文書作成者システム100では、ICカード型演算装置130のICカード認証手段134によって文書閲覧者のID情報を認証する。同様に、文書作成者システム100のICカード読み取り装置120によって文書作成者のICカード型認証局130のID情報を読み取り、それを文書閲覧者システム200に送信する。文書閲覧者システム200では、ICカード型演算装置230のICカード認証手段233によって文書閲覧者のID情報を認証する。
【0035】
このとき、チャレンジ・レスポンス認証のように、互いに暗号処理及び復号処理を繰り返す検証方式が使用されてよい。認証に成功した場合、次のステップへ処理を進める。また、この相互認証は、場合によっては簡略化もしくは省略されてもよい。
【0036】
次に、ステップ12にて、文書閲覧者システム200は、文書閲覧者のICカード型演算装置230に格納された認証情報を文書作成者システム100に送信する。認証情報とは、文書閲覧者を識別するための情報であり、例えば、閲覧者のユーザIDとパスワードの組み合わせや、生体認証情報等であってよい。
【0037】
次に、ステップ13にて、文書作成者システム100は、送られてきた認証情報に基づいて、閲覧者をユーザ認証する。これはICカード型認証局130のICカード認証手段134が行う。ユーザ認証に成功した場合、次のステップへ処理を進める。
【0038】
次に、ステップ14にて、文書閲覧者システム200は、未署名アクセストークン240を発行する。これは、ICカード型演算装置230の未署名アクセストークン発行手段231が行う。
次に、ステップ15にて、文書閲覧者システム200は、未署名アクセストークン240を文書作成者システム100へ送信する。
【0039】
次に、ステップ16にて、文書作成者システム100は、未署名アクセストークン240に対して電子署名処理を行う。この電子署名処理において、必要な電文が端末装置110からICカード型認証局130へと送信される。この電文は、例えば、電子署名要求を意味するコマンド及び未署名アクセストークン240の特徴値を含むことができる。この特徴値は、例えば、未署名アクセストークン240の特徴値を一方向性関数(ハッシュ関数等)で演算して得た値である。
【0040】
次に、ICカード型認証局130の署名手段133は、ICカード型認証局130に格納された認証局秘密鍵131により、端末装置110から受信した未署名アクセストークン240の特徴値を暗号化し、結果値を端末装置110へ通知する。そのとき、例えば、ステップ11aの相互認証、及びステップ13における閲覧者のユーザ認証が成功していない場合、ICカード型認証局130は処理要求を拒否してもよい。端末装置110側のプログラムが仮に不正に改造されて、例えば、ステップ11a及びステップ13をバイパスさせようとするような、セキュリティ上の脅威に対して、ICカード型認証局130は非常に容易にそれに対抗する手段を持つことができる。
【0041】
また、例えば、端末装置110がICカード型認証局130に送信する電子署名要求の電文に、署名処理に係わる秘密鍵のICカード型認証局130上での識別情報を含ませておき、ICカード型認証局130は予め複数の秘密鍵を格納し、端末装置110からこの電子署名要求を受信したとき、署名処理に係わる秘密鍵をICカード型認証局130の格納情報から選択し、送信されてきた電文の暗号化対象に対して該秘密鍵で署名演算処理を行ったのち、結果値を端末装置110へと通知してもよい。この選択された秘密鍵は、受信した電文に含まれる秘密鍵の識別情報に対応するものとすることができる。ICカード型認証局130が予め複数の秘密鍵を格納しておけば、用途に応じて使用する秘密鍵を変えることができる。
【0042】
次に、ステップ17にて、文書作成者システム100は、ICカード型認証局130から受信した署名演算処理の結果値と未署名アクセストークン240とを、署名済みアクセストークン250として、文書閲覧者システム200へ送信する。次に、ステップ18にて、文書閲覧者システム200は署名済みアクセストークン250を格納する。これは、端末装置210からの要求により、ICカード型演算装置230の署名済みアクセストークン格納手段232が行う。
【0043】
図8を参照して閲覧者が実際に電子文書管理サーバ300に登録された電子文書にアクセスする処理を説明する。本例の処理の前提として、図7の処理によって文書の作成者が文書の閲覧者にアクセス許可を与えたものとする。
【0044】
先ず、ステップ21にて、文書閲覧者システム200は、端末装置210に入力された文書ID252に対応する署名済みアクセストークン250を、電子文書管理サーバ300へ送信する。具体的には、端末装置210は、入力されたユーザ所望の文書に対応する文書ID252と端末装置210が署名済みアクセストークンの取得を要求するコマンドとを含むアクセストークン取得要求をICカード型演算装置230に送信する。ICカード型演算装置230は、署名済みアクセストークン格納手段232に格納された署名済みアクセストークンのうち、受信した文書ID252に対応する署名済みアクセストークン250を端末装置210に送信する。端末装置210は受信した署名済みアクセストークン250をサーバ装置310へ送信する。
【0045】
次に、ステップ22にて、電子文書管理サーバ300は、署名済みアクセストークン250の署名を検証する。予め文書を識別する情報である文書IDと対応付けて公開鍵証明書が公開鍵格納手段に格納されており、この検証は、署名済みアクセストークン250に含まれる文書ID252に対応する公開鍵証明書を用いて、サーバ装置310の署名検証手段313が行う。署名検証に成功した場合、次のステップへ処理を進める。
【0046】
次に、ステップ23にて、電子文書管理サーバ300は、署名済みアクセストークン250の中の、アクセス許可を請求する文書のID252を参照し、該当する電子文書を文書閲覧者システム200へ送信する。当該電子文書そのものを送信してもよいが、電子文書の代わりに、例えば、電子文書へアクセスするための鍵となる認証情報やネットワーク上のアドレス等を送信し、又は、電子文書を一定の規則のもとに加工したものを送信してもよい。
【0047】
また、権限種別253に閲覧以外の属性、例えば、変更や削除や複写等が有効になっている場合、電子文書管理サーバ300は適宜必要な処理を行う。そのとき例えば、変更の権限が有効になっていれば、改変された電子文書を閲覧者が電子文書管理サーバ300にアップロードすると、電子文書管理サーバ300は既存の電子文書に置き換えて改変された電子文書を保存する。また、削除の権限が有効になっていれば、閲覧者が電子文書管理サーバ300へ削除を指示すると、電子文書管理サーバ300は保存している電子文書を削除する。また、複写の権限が有効になっていれば、閲覧所が電子文書管理サーバ300へ複写を指示すると、電子文書管理サーバ300は指定のあった電子文書と同じ内容の電子文書を複製し保存する。
【0048】
一般に、電子文書管理システムは、使用される組織の部署や職位、担当業務などによって、電子文書に対するアクセス権限を複雑にかつ柔軟に設定しようとすることが多い。上記のように実施することで容易にそのような設定が可能となる。
【0049】
図9を参照して未署名失効リスト140の例を説明する。未署名失効リスト140とは、電子文書の作成者が一度発行した署名済みアクセストークンの失効を行うことを目的として発行するデータである。また、電子文書の作成者以外が電子文書の作成者を代行して未署名失効リスト140を発行してもよい。
【0050】
未署名失効リスト140はインデックス141と失効アクセストークンID142とを含む。一度に複数のアクセストークンを失効させる場合には、インデックス141と失効アクセストークンID142を適宜繰り返して記述してもよい。
【0051】
通常、インデックス141には、1つの未署名失効リスト140内で唯一になるような数字が割り当てられる。例えば、0や1等から1ずつ単純増加する整数を使用してもよい。また、失効アクセストークンID142は、実際に失効されるアクセストークンのIDを識別するための情報を記述する。
【0052】
図10を参照して署名済み失効リスト150の例を説明する。署名済み失効リスト150とは、未署名失効リスト140に対して、電子文書の作成者が電子署名を行ったものであり、電子文書の作成者が電子文書管理サーバ300に対して失効したアクセストークンを報告するために発行したデータである。また、電子文書の作成者以外が電子文書の作成者を代行して署名済み失効リスト150を発行してもよい。
【0053】
署名済み失効リスト150は、インデックス151と失効アクセストークンID152と認証局署名153とを含む。一度に複数のアクセストークンを失効させる場合には、インデックス151と失効アクセストークンID142を繰り返して記述してもよい。
【0054】
通常、インデックス151には、1つの未署名失効リスト150内で唯一になるような数字が割り当てられる。例えば、0や1等から1ずつ単純増加する整数を使用してもよい。
また、失効アクセストークンID152は、実際に失効されるアクセストークンのIDを識別するための情報を記述する。
【0055】
多くの場合、署名済み失効リスト150のインデックス151及び失効アクセストークンID152は、それぞれ、未署名失効リスト140のインデックス141及び失効アクセストークン142と同一である。しかしながら、一定の合理的な処理の結果として、両者が不一致の場合もある。
【0056】
認証局署名153は、ICカード型認証局130において、認証局秘密鍵131に基づいて署名手段133によって署名処理を行った結果値である。
署名済み失効リスト150は、一定の構造を取ることができる。例えばXMLに代表されるタグ付きテキストファイル形式や、X.509に代表される電子署名済み失効リスト形式、タグ付きテンプレートに代表されるICカード内格納形式等が挙げられる。
【0057】
図11を参照して署名済み失効リスト150を電子文書管理サーバ300に登録する処理を説明する。
先ず、ステップ31にて、文書作成者システム100の端末装置110は、未署名失効リスト140を発行する。次に、ステップ32にて、文書作成者システム100のICカード型認証局130は、未署名失効リスト140に対して電子署名を行う。ICカード型認証局130は端末装置110からの要求によって署名手段133を用いて電子署名を行い、結果値を端末装置110へ通知する。この電子署名処理において、必要な電文が端末装置110からICカード型認証局130へと送信される。電子署名に成功した場合、次のステップへ処理を進める。
【0058】
この電子署名処理に用いられる電文は、例えば、電子署名要求を意味するコマンド、及び未署名失効リスト140の特徴値を含んでもよい。未署名失効リスト140の特徴値は、未署名失効リスト140を一方向性関数(ハッシュ関数)で演算して得たものでもよい。
【0059】
次に、ICカード型認証局130の署名手段133は、ICカード型認証局130に格納された認証局秘密鍵131により、端末装置110から受信した未署名失効リスト140の特徴値を暗号化し、結果値を端末装置110へ通知する。
【0060】
また例えば、端末装置110がICカード型認証局に送信する電子署名要求の電文に、署名処理に係わる秘密鍵のICカード型認証局130上での識別情報を含ませておき、ICカード型認証局130に予め格納された複数の秘密鍵から1つの秘密鍵を選択し、送信されてきた電文の暗号化対象に対して該秘密鍵で署名演算処理を行ったのち、結果値を端末装置110へと通知してもよい。この選択された秘密鍵は、受信した電文に含まれる秘密鍵の識別情報に対応するものとすることができる。
【0061】
次に、ステップ33にて、文書作成者システム100は、ICカード型認証局130から受信した署名演算処理の結果値と未署名失効リスト140とを、署名済み失効リスト150として、電子文書管理サーバ300へ送信する。次に、ステップ34にて、電子文書管理サーバ300は、署名済み失効リスト150の署名を検証する。これはサーバ装置310の署名検証手段313が行う。署名検証に成功した場合、次のステップへ処理を進める。
【0062】
次に、ステップ35にて、電子文書管理サーバ300は、署名済み失効リスト150を失効リスト格納手段314に保存する。このとき、署名済み失効リスト150の中から、失効アクセストークンID152を抽出し、日付のデータを付加する等の、一定の合理的なデータの加工を行うこともできる。
【0063】
図12を参照して閲覧者が実際に電子文書管理サーバ300に登録された文書にアクセスする処理を説明する。本例の処理の前提として、図7の処理によって文書の作成者が文書の閲覧者にアクセス許可を与えたものとし、図11の処理によって署名済み失効リスト150を電子文書管理サーバ300に登録したものとする。
【0064】
先ず、ステップ41にて、文書閲覧者システム200は、署名済みアクセストークン250を、電子文書管理サーバ300へ送信する。具体的には、端末装置210は、入力されたユーザ所望の文書に対応する文書ID252と端末装置210が署名済みアクセストークンの取得を要求するコマンドとを含むアクセストークン取得要求をICカード型演算装置230に送信する。ICカード型演算装置230は、署名済みアクセストークン格納手段232に格納された署名済みアクセストークンのうち、受信した文書ID252に対応する署名済みアクセストークン250を端末装置210に送信する。端末装置210は受信した署名済みアクセストークン250をサーバ装置310へ送信する。
【0065】
次に、ステップ42にて、電子文書管理サーバ300は、受信した署名済みアクセストークン250の署名を検証する。これはサーバ装置310の署名検証手段313が行う。署名検証に成功した場合、次のステップへ処理を進める。
【0066】
次に、ステップ43にて、電子文書管理サーバ300は、署名済みアクセストークン250の中の、アクセス許可を請求する文書のID252を参照し、これを電子文書管理サーバ300内に保存してある失効リストと照合する。これはサーバ装置310の失効リスト照合手段315が行う。照合に成功すれば、その署名済みアクセストークン250は失効しているものと見なして、電子文書管理サーバ300は処理を中断する。場合によっては電子文書管理サーバ300は文書閲覧者システム200へエラーを通知してもよい。
【0067】
また、照合に失敗すれば、該当する電子文書にアクセスできるよう電子文書管理サーバ300は処理を進める。
また、文書閲覧者システム200は、ユーザが所望する文書のIDの入力を受け付け、入力された文書IDに対応する署名済みアクセストークン250がICカード型演算装置230に格納されていない場合、文書作成者システム100に対し図7に示したような文書アクセス許可請求の処理をし、ICカード型演算装置230にこの文書IDに対応する署名済みアクセストークン250が格納されていた場合、文書閲覧者システム200は電子文書管理サーバ300に対して図8に示したように、この署名済みアクセストークン250を送信するようにしてもよい。
【0068】
上述の実施の形態においては、文書作成者システム100と文書閲覧者システム200と電子文書管理サーバ300は、通常の通信ネットワーク回線及びプロトコルで接続されることを想定している。しかしながら、例えば暗号通信プロトコル等を用いた場合のように、伝送路の確実性や秘密性が十分に担保できるネットワーク環境を用いることができるなら、例えばステップ32における電子署名処理等を省略してもよい。それによって、処理がより簡易になる。
【0069】
また、上述の実施の形態においては、電子文書に対する閲覧の場合を説明した。しかしながら、電子文書に対する変更や削除、複写といったアクセスにも適合できる。
さらに、アクセス制御を行う対象を字義どおり「電子文書」すなわち純粋テキストファイルやワープロアプリケーションの出力ファイル、XML等のタグ付きテキストファイル等に限る必要はなく、電子ファイル一般において広く実施が可能である。
【0070】
以上本発明の例を説明したが、本発明は上述の例に限定されるものではなく、特許請求の範囲に記載された発明の範囲にて様々な変更が可能であることは当業者に理解されよう。
【0071】
【発明の効果】
本発明によれば、文書作成者は個人的に十分に管理可能な認証局を使って電子文書へのアクセス権を付与又は停止することができる効果がある。
本発明によれば、電子文書に対してきめ細かいアクセス権管理を容易に行うことができるシステムを実現できる効果がある。
【図面の簡単な説明】
【図1】本発明の一実施形態における電子文書管理システムの構成を示す図である。
【図2】本発明によるICカード型認証局の構成及び機能を説明するための説明図である。
【図3】本発明によるICカード型演算装置の構成及び機能を説明するための説明図である。
【図4】本発明によるサーバ装置の構成及び機能を説明するための説明図である。
【図5】本発明による未署名アクセストークンの内容を示す図である。
【図6】本発明による署名済みアクセストークンの構造を示す図である。
【図7】本発明による電子文書管理システムにおける文書の作成者が文書の閲覧者にアクセス許可を与えるまでの処理を示す図である。
【図8】本発明による電子文書管理システムにおける閲覧者が実際に電子文書にアクセスする処理を示す図である。
【図9】本発明による未署名失効リストの構造を示す図である。
【図10】本発明による署名済み失効リストの構造を示す図である。
【図11】本発明による電子文書管理システムにおける失効リストを電子文書管理システムに登録する処理を示す図である。
【図12】本発明による電子文書管理システムにおける閲覧者が実際に文書にアクセスする処理を示す図である。
【符号の説明】
100…文書作成者システム、 110…端末装置、 120…ICカード読み取り装置、 130…ICカード型認証局、 200…文書閲覧者システム、210…端末装置、 220…ICカード読み取り装置、 230…ICカード型演算装置、 300…電子文書管理システム、 310…サーバ装置
【発明の属する技術分野】
本発明は電子文書を管理するための電子文書管理システムに関し、特に、文書作成者が作成した文書に文書閲覧者がアクセスするための電子文書管理システムに関する。
【0002】
【従来の技術】
近年、顧客リストの漏洩に代表されるような、情報管理の不備に起因する事故が頻発している。このような事故を起こした組織は、経済的にも社会的にも大きな損失を被る可能性が高く、それゆえ、情報セキュリティの重要性があまねく認識されつつある。
【0003】
そのような背景のもと、情報セキュリティを確保するための手段として、情報に対するアクセス権限をきめ細かく管理し、真に必要のある者だけに、アクセス許可を与えるようなシステム運用が行われている。できる限り、成員一人一人の単位でアクセス権限を管理することが望ましい。
【0004】
しかし仮に、成員一人一人の単位でアクセス権限を管理しようとすると、組織の成員数が多ければ多いほど、管理すべきアクセス権限の組み合わせが多くなり、管理に大きな困難を伴うものとなる。
【0005】
このような問題を解決する手段として、アクセス権限の管理と実際にアクセスされる情報の管理とを分けて行う方法が公知となっている。
例えば、特開2000−10930号公報に記載されているシステムでは、アクセス権限を統合的に管理する統合認証サーバが業務サーバの認証業務を代行する。アクセス権限者は、統合認証サーバによって認証を受け、電子証明書形式のアクセス許可証を受領する。アクセス権限者は、その電子証明書を業務サーバに送信する。業務サーバは電子証明書を検証し、電子証明書が真正であると認めると、アクセスを許可する。
【特許文献1】
特開2000−10930号公報
【0006】
【発明が解決しようとする課題】
上記の統合認証サーバによる方法では、認証を受ける者と実際にアクセス許可を受ける者が、常に同一であることを前提としている。仮に同一でないとすると、次のような課題が発生する。
【0007】
第一に、電子証明書は認証を受ける者に関連づけされており、アクセス許可を受ける者に関連づけされているわけではない。従って、認証を受けた者が、アクセス許可を受ける者に電子証明書を正しく譲渡したことを保証する方法を別に用意しないと、セキュリティホールとなる可能性が高い。
第二に、一度発行された電子証明書を失効させることができないので、認証を受ける者に一旦アクセス許可を与えると、それを取り消すことが非常に困難である。
本発明の目的は、電子文書に対するアクセス権限をきめ細かく且つ容易に管理することに資する文書管理システムを提供することにある。
【0008】
【課題を解決するための手段】
本発明によると、電子文書管理システムは、文書作成者によって管理される文書作成者装置又はシステムと該文書作成者装置より送信された電子文書を管理する電子文書管理装置又はシステムとを有する。上記文書作成者装置は、文書閲覧者装置又はシステムから上記電子文書管理装置によって管理された電子文書へのアクセス許可の請求を受信したとき該電子文書へのアクセス許可を上記文書閲覧者装置に送信し、上記電子文書管理装置は、上記文書閲覧者装置から上記文書作成者装置によるアクセス許可を受信したとき上記文書閲覧者装置に上記電子文書へのアクセス許可を送信する。
【0009】
文書作成者装置及び文書閲覧者装置はコンピュータに接続可能なICカード又は携帯端末によって構成されている。
従って、本発明によれば、文書作成者は個人的に十分に管理可能な文書作成者装置を使って電子文書へのアクセス権を付与又は停止することができる。
【0010】
【発明の実施の形態】
以下、本発明の実施の形態を詳細に説明する。図1は、本発明の実施形態の一つである電子文書管理システムのシステム概要図である。本実施例では、電子文書管理システムは、文書作成者システム又は装置100と文書閲覧者システム又は装置200と電子文書管理サーバ又は装置300とを含む。
【0011】
文書作成者システム100は、端末装置110とICカードを読み取るためのICカード読み取り装置120とICカード読み取り装置120に接続可能なICカード型認証局130とを含む。
【0012】
文書閲覧者システム200は、端末装置210とICカードを読み取るためのICカード読み取り装置220とICカード読み取り装置220に接続可能なICカード型演算装置230とを含む。
【0013】
電子文書管理サーバ300はサーバ装置310を含む。
端末装置110、端末装置210及びサーバ装置310はコンピュータ装置であってよい。端末装置110と端末装置210とサーバ装置310は通信ネットワークで接続されている。
【0014】
この通信ネットワークとして、イーサネット等の一般的なネットワーク技術を使用することができるが、オープン且つ暗号化機能に優れたものが好適である。例えばインターネットにてSSL(セキュア・ソケット・レイヤ)を使用してもよい。また、物理的接続を常には維持する必要がない場合は、一時的な通信経路を確立するネットワークを使用することも可能であり、例えば、電話回線を用いたダイヤルアップ接続を使用してもよい。
【0015】
本例では、文書作成者の認証局130と文書閲覧者の演算装置230としてICカードを使用するが、ICカード以外のハードウェアを使用してもよい。以下に説明する認証局130及び演算装置230の機能と同等な機能を有し、端末装置110、210に接続可能であり且つ個人が管理できるものであればよく、例えば、PCカード、メモリカード等であってよい。更に、有線通信や無線通信等を使って端末装置110、210に接続可能な小型のトークン、携帯端末、携帯型小型コンピュータ等であってもよい。
【0016】
また、ICカードに代わるハードウェアとして、例えば、個人情報等を管理するソフトウェアやオンライン上のサービスをハードウェアと見なして、本発明の電子文書管理システムを構築することもできる。
【0017】
文書作成者の認証局130は個人が容易に管理できるように小型又は携帯型であるが、ICカード型演算装置230は端末装置210とハードウェア的に兼用してもよい。
【0018】
本例の電子文書管理システムによる処理の概略を説明する。尚、詳細は、後に、図7及び図8を参照して説明する。先ず、文書作成者は、公開鍵証明書を電子文書管理サーバ300に登録[1]し、作成した文書を電子文書管理サーバ300に登録[2]する。文書閲覧者は文書作成者システム100に未署名アクセストークン240を送信[3]し、電子文書管理サーバ300に登録された文書へのアクセス許可を請求する。文書作成者は文書閲覧者システム200に署名済みアクセストークン250を送信[4]し、アクセス許可を付与する。文書作成者は電子文書管理サーバ300に署名済みアクセストークン250を送信[5]し、文書へのアクセス許可を請求する。電子文書管理サーバ300は、署名済みアクセストークン250を受信すると、文書閲覧者システム200に電子文書を送信[6]する。
【0019】
未署名アクセストークンとは、電子文書管理サーバ300によって管理された電子文書へのアクセス許可の請求を示す情報であり、文書閲覧者が文書作成者に送信する。署名済みアクセストークンとは、電子文書管理サーバ300によって管理された電子文書へのアクセス許可を示す情報であり、文書作成者が文書閲覧者に付与する。
【0020】
図2を参照してICカード型認証局130の構成及び機能の例を説明する。ICカード型認証局130は、電子署名に使用するための認証局秘密鍵131と電子文書管理サーバ300に送信するための認証局公開鍵証明書132と電子署名を行うための署名手段133とICカ−ドを認証するためのICカード認証手段134とを有する。署名手段133は、後に説明するように、未署名アクセストークン及び未署名失効リストに対して電子署名を行う。ICカード認証手段134は例えば、文書閲覧システム200から送信された文書閲覧者のICカード型演算装置230に登録された情報を認証する。
【0021】
認証局秘密鍵131と認証局公開鍵証明書132はデータベースに格納されてよい。署名手段133及びICカード認証手段134は、ソフトウエアであるOS(Operating System:基本プログラム)での機能やアプリケーションプログラムであってよい。
【0022】
図3を参照してICカード型演算装置230の構成及び機能の例を説明する。本例のICカード型演算装置230は、文書作成者システム100に送信する未署名アクセストークンを発行するための未署名アクセストークン発行手段231と文書作成者システム100から送信された署名済みアクセストークンを格納するための署名済みアクセストークン格納手段232とICカードを認証するためのICカード認証手段233とを有する。ICカード認証手段233は例えば、文書作成者システム100から送信された文書作成者のICカード型認証局130に登録された情報を認証する。
【0023】
図4を参照してサーバ装置310の構成及び機能の例を説明する。本例のサーバ装置310は、文書作成者システム100から送信された電子文書を格納するための電子文書格納手段311と、文書作成者システム100から送信された公開鍵証明書を格納するための公開鍵証明書格納手段312と、文書閲覧者システム200から送信された署名済みアクセストークンの電子署名及び文書作成者システム200から送信された署名済み失効リストの電子署名を検証するための署名検証手段313と、文書作成者システム100から送信された失効リストを格納するための失効リスト格納手段314と、文書閲覧者システム200から送信された署名済みアクセストークンと失効リスト格納手段314に格納された失効リストとを照合するための失効リスト照合手段315と、を有する。
【0024】
図5を参照してICカード型演算装置230の未署名アクセストークン発行手段231が発行する未署名アクセストークン240を説明する。未署名アクセストークン240とは、電子文書の閲覧者が電子文書の作成者に対して電子文書管理サーバ300に登録された電子文書へのアクセス許可を請求するときに使用するデータである。
【0025】
未署名アクセストークン240は、アクセストークンID241とアクセス許可を請求する文書のID242と権限種別243とを含む。アクセストークンID241は、本実施例の電子文書管理システム中で必ずユニークとなるようなデータである。アクセス許可を請求する文書のID242は、そのアクセストークンがアクセスを希望する文書を特定するためのデータである。権限種別243は、そのアクセストークンの持つアクセス権限の種別を特定するためのデータである。例えば、閲覧、変更、削除、複写等の権限設定に関する情報が記述されている。尚、本実施例では、この未署名アクセストークン240に含まれる権限種別243には、閲覧の属性が有効になっているものとして記述する。
【0026】
未署名アクセストークン240には上記に挙げた以外のデータを含むことができる。例えば、閲覧者自身の電子署名、閲覧者自身の公開鍵証明書、そのほか閲覧者自身に関する認証情報及び個人情報等が挙げられる。
【0027】
また、未署名アクセストークン240は、一定の構造を取ることができる。例えばXMLに代表されるタグ付きテキストファイル形式や、X.509に代表される電子証明書形式、タグ付きテンプレートに代表されるICカード内格納形式等が挙げられる。
【0028】
図6を参照して署名済みアクセストークン250を説明する。署名済みアクセストークン250とは、上記未署名アクセストークン240に対して、電子文書の作成者が電子文書の閲覧者に対して電子文書管理サーバ300に登録された電子文書へのアクセス許可を付与することを目的として発行したデータである。
署名済みアクセストークン250は、アクセストークンID251とアクセス許可を請求する文書のID252と権限種別253と認証局署名254を含む。
【0029】
多くの場合、署名済みアクセストークン250のアクセストークンID251とアクセス許可を請求する文書のID252と権限種別253は、それぞれ、未署名アクセストークン240のアクセストークンID241とアクセス許可を請求する文書のID242と権限種別243と同一である。しかしながら、一定の合理的な処理の結果として、両者が不一致の場合もある。
【0030】
認証局署名254は、ICカード型認証局130において、認証局秘密鍵131に基づいて署名手段133によって署名処理を行った結果値である。
署名済みアクセストークン241は、一定の構造を取ることができる。例えばXMLに代表されるタグ付きテキストファイル形式や、X.509に代表される電子証明書形式、タグ付きテンプレートに代表されるICカード内格納形式等であってよい。
【0031】
図7を参照して、文書の閲覧者が文書の作成者に対して、電子文書管理サーバ300に登録された文書へのアクセス許可を請求してから、文書の作成者が文書の閲覧者にアクセス許可を与えるまでの処理を説明する。
【0032】
まず前提として、文書作成者の公開鍵証明書が、電子文書管理サーバ300の公開鍵格納手段312に、文書を識別する情報である文書IDと対応付けて格納されている。また、電子文書管理サーバ300は、文書作成者によって作成された文書を電子文書格納手段311に格納している。
【0033】
ステップ11a及びステップ11bにて、文書作成者システム100及び文書閲覧者システム200は相互認証を行う。相互認証とは、互いに相手が正当なアクセス対象であるかを認証しあう手続きであって、「外部認証(ICカードが端末を正しいと認める。)」「内部認証(端末がICカードを正しいと認める。)」という処理の組み合わせの処理を指す。
【0034】
例えば、文書閲覧者システム200のICカード読み取り装置220によって文書閲覧者のICカード型演算装置230のID情報を読み取り、それを文書作成者システム100に送信する。文書作成者システム100では、ICカード型演算装置130のICカード認証手段134によって文書閲覧者のID情報を認証する。同様に、文書作成者システム100のICカード読み取り装置120によって文書作成者のICカード型認証局130のID情報を読み取り、それを文書閲覧者システム200に送信する。文書閲覧者システム200では、ICカード型演算装置230のICカード認証手段233によって文書閲覧者のID情報を認証する。
【0035】
このとき、チャレンジ・レスポンス認証のように、互いに暗号処理及び復号処理を繰り返す検証方式が使用されてよい。認証に成功した場合、次のステップへ処理を進める。また、この相互認証は、場合によっては簡略化もしくは省略されてもよい。
【0036】
次に、ステップ12にて、文書閲覧者システム200は、文書閲覧者のICカード型演算装置230に格納された認証情報を文書作成者システム100に送信する。認証情報とは、文書閲覧者を識別するための情報であり、例えば、閲覧者のユーザIDとパスワードの組み合わせや、生体認証情報等であってよい。
【0037】
次に、ステップ13にて、文書作成者システム100は、送られてきた認証情報に基づいて、閲覧者をユーザ認証する。これはICカード型認証局130のICカード認証手段134が行う。ユーザ認証に成功した場合、次のステップへ処理を進める。
【0038】
次に、ステップ14にて、文書閲覧者システム200は、未署名アクセストークン240を発行する。これは、ICカード型演算装置230の未署名アクセストークン発行手段231が行う。
次に、ステップ15にて、文書閲覧者システム200は、未署名アクセストークン240を文書作成者システム100へ送信する。
【0039】
次に、ステップ16にて、文書作成者システム100は、未署名アクセストークン240に対して電子署名処理を行う。この電子署名処理において、必要な電文が端末装置110からICカード型認証局130へと送信される。この電文は、例えば、電子署名要求を意味するコマンド及び未署名アクセストークン240の特徴値を含むことができる。この特徴値は、例えば、未署名アクセストークン240の特徴値を一方向性関数(ハッシュ関数等)で演算して得た値である。
【0040】
次に、ICカード型認証局130の署名手段133は、ICカード型認証局130に格納された認証局秘密鍵131により、端末装置110から受信した未署名アクセストークン240の特徴値を暗号化し、結果値を端末装置110へ通知する。そのとき、例えば、ステップ11aの相互認証、及びステップ13における閲覧者のユーザ認証が成功していない場合、ICカード型認証局130は処理要求を拒否してもよい。端末装置110側のプログラムが仮に不正に改造されて、例えば、ステップ11a及びステップ13をバイパスさせようとするような、セキュリティ上の脅威に対して、ICカード型認証局130は非常に容易にそれに対抗する手段を持つことができる。
【0041】
また、例えば、端末装置110がICカード型認証局130に送信する電子署名要求の電文に、署名処理に係わる秘密鍵のICカード型認証局130上での識別情報を含ませておき、ICカード型認証局130は予め複数の秘密鍵を格納し、端末装置110からこの電子署名要求を受信したとき、署名処理に係わる秘密鍵をICカード型認証局130の格納情報から選択し、送信されてきた電文の暗号化対象に対して該秘密鍵で署名演算処理を行ったのち、結果値を端末装置110へと通知してもよい。この選択された秘密鍵は、受信した電文に含まれる秘密鍵の識別情報に対応するものとすることができる。ICカード型認証局130が予め複数の秘密鍵を格納しておけば、用途に応じて使用する秘密鍵を変えることができる。
【0042】
次に、ステップ17にて、文書作成者システム100は、ICカード型認証局130から受信した署名演算処理の結果値と未署名アクセストークン240とを、署名済みアクセストークン250として、文書閲覧者システム200へ送信する。次に、ステップ18にて、文書閲覧者システム200は署名済みアクセストークン250を格納する。これは、端末装置210からの要求により、ICカード型演算装置230の署名済みアクセストークン格納手段232が行う。
【0043】
図8を参照して閲覧者が実際に電子文書管理サーバ300に登録された電子文書にアクセスする処理を説明する。本例の処理の前提として、図7の処理によって文書の作成者が文書の閲覧者にアクセス許可を与えたものとする。
【0044】
先ず、ステップ21にて、文書閲覧者システム200は、端末装置210に入力された文書ID252に対応する署名済みアクセストークン250を、電子文書管理サーバ300へ送信する。具体的には、端末装置210は、入力されたユーザ所望の文書に対応する文書ID252と端末装置210が署名済みアクセストークンの取得を要求するコマンドとを含むアクセストークン取得要求をICカード型演算装置230に送信する。ICカード型演算装置230は、署名済みアクセストークン格納手段232に格納された署名済みアクセストークンのうち、受信した文書ID252に対応する署名済みアクセストークン250を端末装置210に送信する。端末装置210は受信した署名済みアクセストークン250をサーバ装置310へ送信する。
【0045】
次に、ステップ22にて、電子文書管理サーバ300は、署名済みアクセストークン250の署名を検証する。予め文書を識別する情報である文書IDと対応付けて公開鍵証明書が公開鍵格納手段に格納されており、この検証は、署名済みアクセストークン250に含まれる文書ID252に対応する公開鍵証明書を用いて、サーバ装置310の署名検証手段313が行う。署名検証に成功した場合、次のステップへ処理を進める。
【0046】
次に、ステップ23にて、電子文書管理サーバ300は、署名済みアクセストークン250の中の、アクセス許可を請求する文書のID252を参照し、該当する電子文書を文書閲覧者システム200へ送信する。当該電子文書そのものを送信してもよいが、電子文書の代わりに、例えば、電子文書へアクセスするための鍵となる認証情報やネットワーク上のアドレス等を送信し、又は、電子文書を一定の規則のもとに加工したものを送信してもよい。
【0047】
また、権限種別253に閲覧以外の属性、例えば、変更や削除や複写等が有効になっている場合、電子文書管理サーバ300は適宜必要な処理を行う。そのとき例えば、変更の権限が有効になっていれば、改変された電子文書を閲覧者が電子文書管理サーバ300にアップロードすると、電子文書管理サーバ300は既存の電子文書に置き換えて改変された電子文書を保存する。また、削除の権限が有効になっていれば、閲覧者が電子文書管理サーバ300へ削除を指示すると、電子文書管理サーバ300は保存している電子文書を削除する。また、複写の権限が有効になっていれば、閲覧所が電子文書管理サーバ300へ複写を指示すると、電子文書管理サーバ300は指定のあった電子文書と同じ内容の電子文書を複製し保存する。
【0048】
一般に、電子文書管理システムは、使用される組織の部署や職位、担当業務などによって、電子文書に対するアクセス権限を複雑にかつ柔軟に設定しようとすることが多い。上記のように実施することで容易にそのような設定が可能となる。
【0049】
図9を参照して未署名失効リスト140の例を説明する。未署名失効リスト140とは、電子文書の作成者が一度発行した署名済みアクセストークンの失効を行うことを目的として発行するデータである。また、電子文書の作成者以外が電子文書の作成者を代行して未署名失効リスト140を発行してもよい。
【0050】
未署名失効リスト140はインデックス141と失効アクセストークンID142とを含む。一度に複数のアクセストークンを失効させる場合には、インデックス141と失効アクセストークンID142を適宜繰り返して記述してもよい。
【0051】
通常、インデックス141には、1つの未署名失効リスト140内で唯一になるような数字が割り当てられる。例えば、0や1等から1ずつ単純増加する整数を使用してもよい。また、失効アクセストークンID142は、実際に失効されるアクセストークンのIDを識別するための情報を記述する。
【0052】
図10を参照して署名済み失効リスト150の例を説明する。署名済み失効リスト150とは、未署名失効リスト140に対して、電子文書の作成者が電子署名を行ったものであり、電子文書の作成者が電子文書管理サーバ300に対して失効したアクセストークンを報告するために発行したデータである。また、電子文書の作成者以外が電子文書の作成者を代行して署名済み失効リスト150を発行してもよい。
【0053】
署名済み失効リスト150は、インデックス151と失効アクセストークンID152と認証局署名153とを含む。一度に複数のアクセストークンを失効させる場合には、インデックス151と失効アクセストークンID142を繰り返して記述してもよい。
【0054】
通常、インデックス151には、1つの未署名失効リスト150内で唯一になるような数字が割り当てられる。例えば、0や1等から1ずつ単純増加する整数を使用してもよい。
また、失効アクセストークンID152は、実際に失効されるアクセストークンのIDを識別するための情報を記述する。
【0055】
多くの場合、署名済み失効リスト150のインデックス151及び失効アクセストークンID152は、それぞれ、未署名失効リスト140のインデックス141及び失効アクセストークン142と同一である。しかしながら、一定の合理的な処理の結果として、両者が不一致の場合もある。
【0056】
認証局署名153は、ICカード型認証局130において、認証局秘密鍵131に基づいて署名手段133によって署名処理を行った結果値である。
署名済み失効リスト150は、一定の構造を取ることができる。例えばXMLに代表されるタグ付きテキストファイル形式や、X.509に代表される電子署名済み失効リスト形式、タグ付きテンプレートに代表されるICカード内格納形式等が挙げられる。
【0057】
図11を参照して署名済み失効リスト150を電子文書管理サーバ300に登録する処理を説明する。
先ず、ステップ31にて、文書作成者システム100の端末装置110は、未署名失効リスト140を発行する。次に、ステップ32にて、文書作成者システム100のICカード型認証局130は、未署名失効リスト140に対して電子署名を行う。ICカード型認証局130は端末装置110からの要求によって署名手段133を用いて電子署名を行い、結果値を端末装置110へ通知する。この電子署名処理において、必要な電文が端末装置110からICカード型認証局130へと送信される。電子署名に成功した場合、次のステップへ処理を進める。
【0058】
この電子署名処理に用いられる電文は、例えば、電子署名要求を意味するコマンド、及び未署名失効リスト140の特徴値を含んでもよい。未署名失効リスト140の特徴値は、未署名失効リスト140を一方向性関数(ハッシュ関数)で演算して得たものでもよい。
【0059】
次に、ICカード型認証局130の署名手段133は、ICカード型認証局130に格納された認証局秘密鍵131により、端末装置110から受信した未署名失効リスト140の特徴値を暗号化し、結果値を端末装置110へ通知する。
【0060】
また例えば、端末装置110がICカード型認証局に送信する電子署名要求の電文に、署名処理に係わる秘密鍵のICカード型認証局130上での識別情報を含ませておき、ICカード型認証局130に予め格納された複数の秘密鍵から1つの秘密鍵を選択し、送信されてきた電文の暗号化対象に対して該秘密鍵で署名演算処理を行ったのち、結果値を端末装置110へと通知してもよい。この選択された秘密鍵は、受信した電文に含まれる秘密鍵の識別情報に対応するものとすることができる。
【0061】
次に、ステップ33にて、文書作成者システム100は、ICカード型認証局130から受信した署名演算処理の結果値と未署名失効リスト140とを、署名済み失効リスト150として、電子文書管理サーバ300へ送信する。次に、ステップ34にて、電子文書管理サーバ300は、署名済み失効リスト150の署名を検証する。これはサーバ装置310の署名検証手段313が行う。署名検証に成功した場合、次のステップへ処理を進める。
【0062】
次に、ステップ35にて、電子文書管理サーバ300は、署名済み失効リスト150を失効リスト格納手段314に保存する。このとき、署名済み失効リスト150の中から、失効アクセストークンID152を抽出し、日付のデータを付加する等の、一定の合理的なデータの加工を行うこともできる。
【0063】
図12を参照して閲覧者が実際に電子文書管理サーバ300に登録された文書にアクセスする処理を説明する。本例の処理の前提として、図7の処理によって文書の作成者が文書の閲覧者にアクセス許可を与えたものとし、図11の処理によって署名済み失効リスト150を電子文書管理サーバ300に登録したものとする。
【0064】
先ず、ステップ41にて、文書閲覧者システム200は、署名済みアクセストークン250を、電子文書管理サーバ300へ送信する。具体的には、端末装置210は、入力されたユーザ所望の文書に対応する文書ID252と端末装置210が署名済みアクセストークンの取得を要求するコマンドとを含むアクセストークン取得要求をICカード型演算装置230に送信する。ICカード型演算装置230は、署名済みアクセストークン格納手段232に格納された署名済みアクセストークンのうち、受信した文書ID252に対応する署名済みアクセストークン250を端末装置210に送信する。端末装置210は受信した署名済みアクセストークン250をサーバ装置310へ送信する。
【0065】
次に、ステップ42にて、電子文書管理サーバ300は、受信した署名済みアクセストークン250の署名を検証する。これはサーバ装置310の署名検証手段313が行う。署名検証に成功した場合、次のステップへ処理を進める。
【0066】
次に、ステップ43にて、電子文書管理サーバ300は、署名済みアクセストークン250の中の、アクセス許可を請求する文書のID252を参照し、これを電子文書管理サーバ300内に保存してある失効リストと照合する。これはサーバ装置310の失効リスト照合手段315が行う。照合に成功すれば、その署名済みアクセストークン250は失効しているものと見なして、電子文書管理サーバ300は処理を中断する。場合によっては電子文書管理サーバ300は文書閲覧者システム200へエラーを通知してもよい。
【0067】
また、照合に失敗すれば、該当する電子文書にアクセスできるよう電子文書管理サーバ300は処理を進める。
また、文書閲覧者システム200は、ユーザが所望する文書のIDの入力を受け付け、入力された文書IDに対応する署名済みアクセストークン250がICカード型演算装置230に格納されていない場合、文書作成者システム100に対し図7に示したような文書アクセス許可請求の処理をし、ICカード型演算装置230にこの文書IDに対応する署名済みアクセストークン250が格納されていた場合、文書閲覧者システム200は電子文書管理サーバ300に対して図8に示したように、この署名済みアクセストークン250を送信するようにしてもよい。
【0068】
上述の実施の形態においては、文書作成者システム100と文書閲覧者システム200と電子文書管理サーバ300は、通常の通信ネットワーク回線及びプロトコルで接続されることを想定している。しかしながら、例えば暗号通信プロトコル等を用いた場合のように、伝送路の確実性や秘密性が十分に担保できるネットワーク環境を用いることができるなら、例えばステップ32における電子署名処理等を省略してもよい。それによって、処理がより簡易になる。
【0069】
また、上述の実施の形態においては、電子文書に対する閲覧の場合を説明した。しかしながら、電子文書に対する変更や削除、複写といったアクセスにも適合できる。
さらに、アクセス制御を行う対象を字義どおり「電子文書」すなわち純粋テキストファイルやワープロアプリケーションの出力ファイル、XML等のタグ付きテキストファイル等に限る必要はなく、電子ファイル一般において広く実施が可能である。
【0070】
以上本発明の例を説明したが、本発明は上述の例に限定されるものではなく、特許請求の範囲に記載された発明の範囲にて様々な変更が可能であることは当業者に理解されよう。
【0071】
【発明の効果】
本発明によれば、文書作成者は個人的に十分に管理可能な認証局を使って電子文書へのアクセス権を付与又は停止することができる効果がある。
本発明によれば、電子文書に対してきめ細かいアクセス権管理を容易に行うことができるシステムを実現できる効果がある。
【図面の簡単な説明】
【図1】本発明の一実施形態における電子文書管理システムの構成を示す図である。
【図2】本発明によるICカード型認証局の構成及び機能を説明するための説明図である。
【図3】本発明によるICカード型演算装置の構成及び機能を説明するための説明図である。
【図4】本発明によるサーバ装置の構成及び機能を説明するための説明図である。
【図5】本発明による未署名アクセストークンの内容を示す図である。
【図6】本発明による署名済みアクセストークンの構造を示す図である。
【図7】本発明による電子文書管理システムにおける文書の作成者が文書の閲覧者にアクセス許可を与えるまでの処理を示す図である。
【図8】本発明による電子文書管理システムにおける閲覧者が実際に電子文書にアクセスする処理を示す図である。
【図9】本発明による未署名失効リストの構造を示す図である。
【図10】本発明による署名済み失効リストの構造を示す図である。
【図11】本発明による電子文書管理システムにおける失効リストを電子文書管理システムに登録する処理を示す図である。
【図12】本発明による電子文書管理システムにおける閲覧者が実際に文書にアクセスする処理を示す図である。
【符号の説明】
100…文書作成者システム、 110…端末装置、 120…ICカード読み取り装置、 130…ICカード型認証局、 200…文書閲覧者システム、210…端末装置、 220…ICカード読み取り装置、 230…ICカード型演算装置、 300…電子文書管理システム、 310…サーバ装置
Claims (8)
- 文書作成者装置から送信された電子文書を格納する電子文書格納手段と、該電子文書格納手段に格納された電子文書へのアクセス許可を示す署名済みアクセストークンに付された電子署名を検証する署名検証手段と、を有し、文書閲覧者装置から送信された署名済みアクセストークンの電子署名が上記文書作成者装置によって作成されたものであると上記署名検証手段によって検証されたとき上記署名済みアクセストークンに含まれる文書識別情報に対応する電子文書へのアクセス許可を上記文書閲覧者装置に送信することを特徴とする電子文書管理装置。
- 請求項1記載の電子文書管理装置において、更に、上記文書作成者装置によって失効した署名済みアクセストークンのリストを格納する失効リスト格納手段と、上記文書閲覧者装置から署名済みアクセストークンが送信されたとき該署名済みアクセストークンと上記失効リスト格納手段に格納された失効リストとを照合する失効リスト照合手段と、を有し、上記失効リスト照合手段によって上記文書閲覧者装置から送信された署名済みアクセストークンが失効されていないと判定されたとき上記文書閲覧者装置に電子文書へのアクセス許可を送信することを特徴とする電子文書管理装置。
- 文書閲覧者装置から電子文書管理装置によって管理された電子文書へのアクセス許可の請求を示す未署名アクセストークンが送信されたとき該未署名アクセストークンに電子署名を行う署名手段と、該電子署名に使用する秘密鍵を格納する秘密鍵格納手段と、上記文書閲覧者装置から送信された識別情報を認証する認証手段と、を有し、コンピュータに接続可能なICカード又は携帯端末によって構成されていることを特徴とする文書作成者装置。
- 電子文書管理装置によって管理されている電子文書へのアクセス許可の請求を示す未署名アクセストークンを発行する未署名アクセストークン発行手段と上記電子文書管理装置によって管理されている電子文書へのアクセス許可を示す署名済みアクセストークンを格納する署名済みアクセストークン格納手段とを有し、文書作成者装置に送信した未署名アクセストークンに対して該文書作成者装置から署名済みアクセストークンを受信し、該署名済みアクセストークンを上記電子文書管理装置に送信し、該電子文書管理装置から上記署名済みアクセストークンに含まれる文書識別情報に対応する電子文書へのアクセス許可を受信することを特徴とする文書閲覧者装置。
- 請求項4記載の文書閲覧者装置において、上記文書閲覧者装置はコンピュータに接続可能なICカード又は携帯端末であることを特徴とする文書閲覧者装置。
- 文書作成者装置から送信された電子文書を格納する電子文書格納ステップと、該電子文書格納ステップにて格納された電子文書へのアクセス許可を示す署名済みアクセストークンに付された電子署名を検証する署名検証ステップと、文書閲覧者装置から送信された署名済みアクセストークンの電子署名が上記文書作成者装置によって作成されたものであると上記署名検証ステップにて検証されたとき上記署名済みアクセストークンに含まれる文書識別情報に対応する電子文書へのアクセス許可を上記文書閲覧者装置に送信するアクセス許可付与ステップと、を含むことを特徴とする電子文書管理方法。
- 請求項6記載の電子文書管理方法において、更に、上記文書作成者装置によって失効した署名済みアクセストークンのリストを格納する失効リスト格納ステップと、上記文書閲覧者装置から署名済みアクセストークンが送信されたとき該署名済みアクセストークンと上記失効リスト格納ステップにて格納された失効リストとを照合する失効リスト照合ステップと、上記失効リスト照合ステップにて上記文書閲覧者装置から送信された署名済みアクセストークンが失効されていないと判定されたとき上記文書閲覧者装置に電子文書へのアクセス許可を送信するアクセス許可付与ステップと、を含むことを特徴とする電子文書管理方法。
- 文書作成者によって管理される文書作成者装置と該文書作成者装置より送信された電子文書を管理する電子文書管理装置とを有し、上記文書作成者装置は、文書閲覧者装置から上記電子文書管理装置によって管理された電子文書へのアクセス許可の請求を受信したとき該電子文書へのアクセス許可を上記文書閲覧者装置に送信し、上記電子文書管理装置は、上記文書閲覧者装置から上記文書作成者装置によるアクセス許可を受信したとき上記文書閲覧者装置に上記電子文書へのアクセス許可を送信することを特徴とする電子文書管理システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002381305A JP2004213265A (ja) | 2002-12-27 | 2002-12-27 | 電子文書管理装置、文書作成者装置、文書閲覧者装置、電子文書管理方法及び電子文書管理システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002381305A JP2004213265A (ja) | 2002-12-27 | 2002-12-27 | 電子文書管理装置、文書作成者装置、文書閲覧者装置、電子文書管理方法及び電子文書管理システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004213265A true JP2004213265A (ja) | 2004-07-29 |
Family
ID=32817273
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002381305A Pending JP2004213265A (ja) | 2002-12-27 | 2002-12-27 | 電子文書管理装置、文書作成者装置、文書閲覧者装置、電子文書管理方法及び電子文書管理システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004213265A (ja) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006319410A (ja) * | 2005-05-10 | 2006-11-24 | Kddi Corp | ユーザ情報管理方法およびシステム |
| KR100760547B1 (ko) * | 2005-04-28 | 2007-09-20 | 후지제롯쿠스 가부시끼가이샤 | 판독 문서 관리 프로그램을 기록한 매체, 판독 문서 관리시스템, 판독 문서 관리 방법 |
| JP2008530840A (ja) * | 2005-02-07 | 2008-08-07 | フランス テレコム | 距離認識による高速事前認証のための方法 |
| EP1956821A1 (en) | 2007-02-08 | 2008-08-13 | Konica Minolta Business Technologies, Inc. | Image processing apparatus, image forming method and recording medium |
| JP2009230281A (ja) * | 2008-03-19 | 2009-10-08 | Toshiba Tec Corp | グループウェアシステム |
| JP2011107779A (ja) * | 2009-11-12 | 2011-06-02 | Nippon Telegr & Teleph Corp <Ntt> | 情報アクセス制御システム及び方法 |
| JP2012137963A (ja) * | 2010-12-27 | 2012-07-19 | Nec Corp | コンテンツ管理システム、管理サーバ、コンテンツ管理方法、及びプログラム |
| JP2017112503A (ja) * | 2015-12-16 | 2017-06-22 | Kddi株式会社 | 通信システム、端末装置、サーバ、通信方法、及びプログラム |
| US9971901B2 (en) | 2013-06-06 | 2018-05-15 | Canon Kabushiki Kaisha | Content management apparatus and content management method |
| JPWO2018109897A1 (ja) * | 2016-12-15 | 2019-07-25 | 日本電気株式会社 | アクセストークンシステム、情報処理装置、情報処理方法および情報処理プログラム |
| JP2020120173A (ja) * | 2019-01-21 | 2020-08-06 | Gmoグローバルサイン株式会社 | 電子署名システム、証明書発行システム、証明書発行方法及びプログラム |
-
2002
- 2002-12-27 JP JP2002381305A patent/JP2004213265A/ja active Pending
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008530840A (ja) * | 2005-02-07 | 2008-08-07 | フランス テレコム | 距離認識による高速事前認証のための方法 |
| KR100760547B1 (ko) * | 2005-04-28 | 2007-09-20 | 후지제롯쿠스 가부시끼가이샤 | 판독 문서 관리 프로그램을 기록한 매체, 판독 문서 관리시스템, 판독 문서 관리 방법 |
| JP2006319410A (ja) * | 2005-05-10 | 2006-11-24 | Kddi Corp | ユーザ情報管理方法およびシステム |
| EP1956821A1 (en) | 2007-02-08 | 2008-08-13 | Konica Minolta Business Technologies, Inc. | Image processing apparatus, image forming method and recording medium |
| JP2009230281A (ja) * | 2008-03-19 | 2009-10-08 | Toshiba Tec Corp | グループウェアシステム |
| JP2011107779A (ja) * | 2009-11-12 | 2011-06-02 | Nippon Telegr & Teleph Corp <Ntt> | 情報アクセス制御システム及び方法 |
| JP2012137963A (ja) * | 2010-12-27 | 2012-07-19 | Nec Corp | コンテンツ管理システム、管理サーバ、コンテンツ管理方法、及びプログラム |
| US9971901B2 (en) | 2013-06-06 | 2018-05-15 | Canon Kabushiki Kaisha | Content management apparatus and content management method |
| JP2017112503A (ja) * | 2015-12-16 | 2017-06-22 | Kddi株式会社 | 通信システム、端末装置、サーバ、通信方法、及びプログラム |
| JPWO2018109897A1 (ja) * | 2016-12-15 | 2019-07-25 | 日本電気株式会社 | アクセストークンシステム、情報処理装置、情報処理方法および情報処理プログラム |
| US11895240B2 (en) | 2016-12-15 | 2024-02-06 | Nec Corporation | System, apparatus, method and program for preventing illegal distribution of an access token |
| JP2020120173A (ja) * | 2019-01-21 | 2020-08-06 | Gmoグローバルサイン株式会社 | 電子署名システム、証明書発行システム、証明書発行方法及びプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6678821B1 (en) | Method and system for restricting access to the private key of a user in a public key infrastructure | |
| US8499147B2 (en) | Account management system, root-account management apparatus, derived-account management apparatus, and program | |
| US20030078880A1 (en) | Method and system for electronically signing and processing digital documents | |
| EP1244263A2 (en) | Access control method | |
| JP6572926B2 (ja) | ドキュメント管理システム | |
| JP6575547B2 (ja) | ドキュメント管理システム | |
| KR100561629B1 (ko) | 보안 정보 통합 관리 시스템 및 그 방법 | |
| US8887298B2 (en) | Updating and validating documents secured cryptographically | |
| US20030014640A1 (en) | Printer regulation through verification of a user | |
| AU2019261686A1 (en) | Management apparatus and document management system | |
| JP2004213265A (ja) | 電子文書管理装置、文書作成者装置、文書閲覧者装置、電子文書管理方法及び電子文書管理システム | |
| EP4348915A1 (en) | Endorsement claim in a verifiable credential | |
| US20200410123A1 (en) | Document signing system for mobile devices | |
| JP2018156410A (ja) | 情報処理装置及びプログラム | |
| JP6712707B2 (ja) | 複数のサービスシステムを制御するサーバシステム及び方法 | |
| JPH05298174A (ja) | 遠隔ファイルアクセスシステム | |
| CN111740940A (zh) | 信息处理*** | |
| KR101449806B1 (ko) | 디지털 정보 상속 방법 | |
| JP2009181598A (ja) | デジタル著作権管理のための情報処理装置 | |
| US11461451B2 (en) | Document signing system for mobile devices | |
| JP6777213B2 (ja) | 情報処理装置及びプログラム | |
| JP6849018B2 (ja) | ドキュメント管理システム | |
| JP6791308B2 (ja) | ドキュメント管理システム、及び管理装置 | |
| JP2001312466A (ja) | 携帯コンピューター情報管理システム | |
| JP6819734B2 (ja) | 情報処理装置及び利用端末 |