JP2005038372A - Access control decision system, and access control execution system - Google Patents
Access control decision system, and access control execution system Download PDFInfo
- Publication number
- JP2005038372A JP2005038372A JP2003315996A JP2003315996A JP2005038372A JP 2005038372 A JP2005038372 A JP 2005038372A JP 2003315996 A JP2003315996 A JP 2003315996A JP 2003315996 A JP2003315996 A JP 2003315996A JP 2005038372 A JP2005038372 A JP 2005038372A
- Authority
- JP
- Japan
- Prior art keywords
- information
- access control
- requirement
- document
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
Description
本発明は、情報処理システムに対して組織のセキュリティポリシーを適用可能とし、電子化された文書のみならず紙による文書に対する組織のセキュリティを向上することができるアクセス制御判断システム及びアクセス制御執行システムを提供することである。 The present invention provides an access control determination system and an access control enforcement system that can apply an organization security policy to an information processing system and improve the organization security for not only an electronic document but also a paper document. Is to provide.
オフィスでの業務が電子化されるにつれ、機密文書等の電子文書の管理についてその重要性が増大してきている。このような電子文書に対して所定のセキュリティポリシーに従ってアクセス制御することが行われるようになってきた。 As office work is digitized, the importance of managing electronic documents such as confidential documents has increased. Access control has been performed on such electronic documents in accordance with a predetermined security policy.
企業内にて統一したセキュリティポリシーによって電子文書に対するセキュリティを確保すると言う観点において、セキュリティポリシーの記述方法及びそのセキュリティポリシーを伝送する装置が提案されている(例えば、特許文献1)。また、そのようなセキュリティポリシーを配布する方法、セキュリティポリシーに基づいて動作する装置等がある(例えば、特許文献2)。更に、電子文書の印刷を、電子文書の暗号化及び復号と共にセキュリティポリシーに従って制御する方法及び装置等がある(例えば、特許文献3)。 From the viewpoint of ensuring the security of electronic documents with a unified security policy within a company, a security policy description method and an apparatus for transmitting the security policy have been proposed (for example, Patent Document 1). Further, there are a method for distributing such a security policy, a device that operates based on the security policy, and the like (for example, Patent Document 2). Furthermore, there is a method and apparatus for controlling printing of an electronic document according to a security policy together with encryption and decryption of the electronic document (for example, Patent Document 3).
また、主に音楽データや画像データなどデジタルコンテンツを販売することを目的としたシステムでは企業秘密管理と同じような課題が存在するため、類似の技術を応用することがある(例えば、特許文献4、特許文献5、特許文献6及び特許文献7)。特に、著作権が関わるようなデジタルデータ(音楽データや画像データなどdigital workと呼んでいる)について、それを参照したり印刷したりする際に条件を満たさなければならないようなシステムを提供している。その権限記述文法(usage right grammar)と、権限を行使するための条件が満たされているかどうかを確認するためのプロトコルが開示されている。この技術を用いると、配布された音楽データや画像データなどについて、その参照や印刷に料金を支払うことを条件としたり、料金を支払わずに利用できる期間を制限したり、ということが実現できる。 In addition, a system mainly for selling digital contents such as music data and image data has the same problem as trade secret management, and therefore a similar technique may be applied (for example, Patent Document 4). Patent Document 5, Patent Document 6, and Patent Document 7). In particular, we provide a system that must satisfy the conditions when referring to or printing digital data (called digital work such as music data and image data) that involves copyright. Yes. The authority description grammar (usage right grammar) and a protocol for checking whether the conditions for exercising the authority are satisfied are disclosed. By using this technology, it is possible to realize that, for distributed music data, image data, etc., it is necessary to pay a fee for referencing or printing, or to limit the period of time that can be used without paying the fee.
しかし、これらの発明はオフィスでの企業秘密管理を念頭に置いたものではなく、デジタルコンテンツの販売を目的にしたものであるために、機密文書を印刷した際の印刷物まで含めたアクセス制御が想定されていない。 However, these inventions are not intended for the management of trade secrets in the office, but for the purpose of selling digital contents. Therefore, it is assumed that access control including the printed matter when confidential documents are printed is assumed. It has not been.
また、デジタルコンテンツを表示し、印刷時に様々な処理を行うシステムが提案されている(例えば、特許文献8及び特許文献9)。例えば、印刷時にグリフコードを埋め込むことができる。しかし、埋め込む情報を個々の文書ごとに定めなければならない。 In addition, systems that display digital contents and perform various processes during printing have been proposed (for example, Patent Document 8 and Patent Document 9). For example, glyph codes can be embedded during printing. However, the information to be embedded must be determined for each individual document.
更に、ポリシーに従ってアクセス許可、不許可を判断するポリシー評価モジュールと、許可するための条件が規定されていたときにその条件を執行可能か否かを判断する執行機能検証モジュールと、そして執行モジュールとで構成されるアクセス制御サブシステムが提案されている(例えば、特許文献10)。
しかしながら、上記従来技術では、下記のような運用面で柔軟性にかける問題があった。
・ポリシーで「関係者のみ参照可能」と規定される場合、関係者はドキュメント単位で様々に変わるが、ドキュメント単位で関係者を管理できない。
・ポリシーで「印刷する際にはマル秘スタンプを押すこと」と規定される場合、マル秘スタンプ、極秘スタンプ、持ち出し禁止スタンプ等の様々なものに対応できない。
・ポリシーで「利用者に取扱注意の警告をすること」と規定される場合、ドキュメントのタイプに応じて警告する内容(文章)を変えることができない。
・文書を取り扱ってよい「許可ゾーン」を定義して、その範囲内のみの利用として制限することができない。
・紙文書に対するオペレーションを制御するには紙文書が識別できなければならないが、紙文書の識別がうまくできなかった場合の対処の仕方を規定し処理されるようにできない。
However, the above prior art has a problem in terms of operational flexibility as described below.
-When the policy stipulates that “only related parties can be referred to”, the related parties vary in units of documents, but the related parties cannot be managed in units of documents.
・ If the policy stipulates “Press confidential stamps when printing”, it cannot handle various stamps such as confidential stamps, top secret stamps, and carry-out prohibited stamps.
・ If the policy stipulates “warn users of handling cautions,” the warning content (text) cannot be changed according to the document type.
• It is not possible to define “permitted zones” where documents can be handled and to restrict usage within that range.
-To control operations on paper documents, paper documents must be identifiable, but it is not possible to define and handle how to deal with paper document identification failures.
また、このような問題を解決したとしても、組織のセキュリティポリシーに従って統一的なアクセス制御を行うためには、ポリシーに従ってアクセス制御の判断を行う部分を様々なアプリケーションシステムから利用できるように完全に分離し、アクセスを実際に執行する部分と分けて構成することが望ましい。 Even if these problems are solved, in order to perform unified access control according to the security policy of the organization, the part that determines access control according to the policy is completely separated so that it can be used from various application systems. However, it is desirable to configure it separately from the part that actually executes access.
また、組織のセキュリティポリシーのように抽象的な記述に従ってアクセスを制御することができない等の問題があった。 In addition, there is a problem that access cannot be controlled in accordance with an abstract description like an organization security policy.
そこで、本発明の課題は、情報処理システムに対して組織のセキュリティポリシーを適用可能とし、紙文書と電子文書のセキュリティを確保するアクセス制御判断システム及びアクセス制御執行システムを提供することである。 Therefore, an object of the present invention is to provide an access control determination system and an access control execution system that can apply an organization security policy to an information processing system and ensure the security of paper documents and electronic documents.
上記課題を解決するため、本発明は、請求項1に記載されるように、アクセスされる対象情報へのアクセス制御の判断を要求するアクセス判断要求を受信すると、該アクセス判断要求にて指定される第一情報を該第一情報より抽象度の高い第二情報へ変換する抽象度変換手段と、上記第二情報に基づいて、抽象的に規定されるセキュリティポリシーを参照することによって、上記対象情報へのアクセス制御を判断するアクセス制御判断手段と、上記アクセス制御判断手段による上記対象情報へのアクセス制御を示す判断結果を上記アクセス判断要求を行った要求元へ送信する判断結果送信手段とを有するように構成される。 In order to solve the above-described problem, the present invention is specified by an access determination request when receiving an access determination request for requesting an access control determination to access target information. The first information is converted to second information having a higher abstraction level than the first information, and the security policy defined abstractly based on the second information is referred to, thereby Access control determination means for determining access control to information, and determination result transmission means for transmitting a determination result indicating access control to the target information by the access control determination means to the request source that made the access determination request. Configured to have.
このようなアクセス制御判断システムでは、アクセス制御を判断するための情報を、組織のセキュリティポリシーの抽象度と同程度に変換することができる。従って、アクセス制御を抽象的なセキュリティポリシーに従って判断することができる。 In such an access control determination system, information for determining access control can be converted to the same level as the abstraction level of the security policy of the organization. Therefore, access control can be determined according to the abstract security policy.
また、本発明は、請求項2に記載されるように、上記抽象化変換手段は、上記第一情報に基づいて、抽象度の異なる該第一情報と上記第二情報とを対応付けて管理する管理テーブルを参照することによって、該第二情報へとマッピグするマッピング手段を有するように構成することができる。 Further, according to the present invention, as described in claim 2, the abstraction conversion means manages the first information having different abstraction levels and the second information in association with each other based on the first information. By referring to the management table, it can be configured to have mapping means for mapping to the second information.
このようなアクセス制御判断システムでは、抽象度の低い第一情報と抽象度の高い第二情報とを対応づけしたテーブルを参照することによって第一情報の抽象度を高めることができる。 In such an access control determination system, the degree of abstraction of the first information can be increased by referring to a table in which the first information having a low level of abstraction is associated with the second information having a high level of abstraction.
更に、本発明は、請求項3に記載されるように、上記抽象化変換手段は、上記第一情報に基づいて、抽象度の異なる該第一情報と上記第二情報とを対応付けて管理する第一管理テーブルを参照することによって、該第二情報へとマッピグする第一マッピング手段と、上記第一情報に基づいて、抽象度の異なる該第一情報と上記第二情報とは異なる第三情報とを対応付けて管理する第二管理テーブルを参照することによって、該第三情報へとマッピグする第二マッピング手段とを有し、上記アクセス制御判断手段は、上記第二情報及び上記第三情報の少なくとも一方に基づいて、上記セキュリティポリシーを参照することによって、上記対象情報へのアクセス制御を判断するように構成することができる。 Further, according to the present invention, as described in claim 3, the abstraction conversion means manages the first information having different abstraction levels and the second information in association with each other based on the first information. By referring to the first management table, the first mapping means for mapping to the second information, and the first information and the second information having different abstractions based on the first information are different from each other. A second mapping means for mapping to the third information by referring to a second management table that manages the three information in association with each other, and the access control determining means includes the second information and the second information. The access control to the target information can be determined by referring to the security policy based on at least one of the three information.
このようなアクセス制御判断システムでは、抽象度を高める管理テーブルを複数参照することによって、第一情報から抽象度を高くした複数の情報へと変換することができる。 In such an access control determination system, it is possible to convert from the first information to a plurality of pieces of information with a high level of abstraction by referring to a plurality of management tables that increase the degree of abstraction.
また、本発明は、請求項4に記載されるように、上記抽象化変換手段は、上記第一情報に基づいて、該第一情報と該第一情報とは属性の異なる中間情報とを対応付けて管理する第一管理テーブルを参照することによって該中間情報を取得し、取得した該中間情報に基づいて、該中間情報と上記第一情報の抽象度とは異なる上記第二情報とを対応付けて管理する第二管理テーブルを参照することによって該第二情報へとマッピングするマッピング手段を有するように構成することができる。 Further, according to the present invention, as described in claim 4, the abstraction conversion means associates the first information with intermediate information having different attributes based on the first information. The intermediate information is acquired by referring to the first management table to be attached, and based on the acquired intermediate information, the intermediate information corresponds to the second information different in the abstraction level of the first information A mapping means for mapping to the second information by referring to the second management table to be attached can be configured.
このようなアクセス制御判断システムでは、抽象度を高める管理テーブルを複数参照することによって、第一情報から抽象度を高くした第二情報へ変換することができる。 In such an access control determination system, it is possible to convert from the first information to the second information having a higher level of abstraction by referring to a plurality of management tables that increase the level of abstraction.
更に、本発明は、請求項5に記載されるように、上記第一情報は、上記対象情報へアクセスするユーザを識別するユーザ識別情報であって、上記第二情報は、該ユーザの権限レベルを示す情報であるように構成することができる。 Further, according to the present invention, the first information is user identification information for identifying a user who accesses the target information, and the second information is the authority level of the user. It can be constituted so that it is information which shows.
このようなアクセス制御判断システムでは、ユーザ識別情報からユーザの権限レベルに抽象度を高めることができる。 In such an access control determination system, the level of abstraction can be increased from the user identification information to the authority level of the user.
また、本発明は、請求項6に記載されるように、上記第一情報は、上記対象情報へアクセスするユーザを識別するユーザ識別情報であって、上記第二情報は、該ユーザが該対象情報の関係者であるか否かを示す情報であるように構成することができる。 In the present invention, the first information is user identification information for identifying a user who accesses the target information, and the second information is defined by the user as the target. It can be configured to be information indicating whether or not the person is an information related person.
このようなアクセス制御判断システムでは、ユーザ識別情報から関係者/非関係者に抽象度を高めることができる。 In such an access control determination system, the degree of abstraction can be increased from the user identification information to the related party / non-related party.
更に、本発明は、請求項7に記載されるように、上記第一情報は、上記対象情報へアクセスしている場所を示す情報であって、上記第二情報は、所定のゾーン内であるか否かを示す情報であるように構成することができる。 Further, according to the present invention, the first information is information indicating a location where the target information is accessed, and the second information is in a predetermined zone. It can be configured to be information indicating whether or not.
このようなアクセス制御判断システムでは、コンテキスト情報からゾーン内/ゾーン外に抽象度を高めることができる。 In such an access control determination system, the level of abstraction can be increased in the zone / outside the zone from the context information.
また、本発明は、請求項8に記載されるように、上記第一情報は、上記対象情報を示す紙文書をスキャンした画像データであって、上記第二情報は、該画像データに基づいて該対象情報のセキュリティ属性を示す情報であるように構成することができる。 In the present invention, the first information is image data obtained by scanning a paper document indicating the target information, and the second information is based on the image data. It can be configured to be information indicating the security attribute of the target information.
このようなアクセス制御判断システムでは、対象情報が紙文書で示される場合であっても、その紙文書をスキャンした画像データを抽象度の高いセキュリティ属性を示す情報へ変換することができる。 In such an access control determination system, even when the target information is indicated by a paper document, image data obtained by scanning the paper document can be converted into information indicating a security attribute having a high abstraction level.
更に、本発明は、請求項9に記載されるように、上記アクセス制御判断手段は、上記セキュリティポリシーに従って、上記対象情報へのアクセスを許可する場合の要件付きでアクセス制御を判断し、上記判断結果送信手段は、判断結果に要件を示す情報を付加して上記要求元へ送信するように構成することができる。 Further, according to the present invention, as described in claim 9, the access control determination means determines access control with a requirement for permitting access to the target information according to the security policy, and determines the determination. The result transmitting means can be configured to add information indicating a requirement to the determination result and transmit the information to the request source.
このようなアクセス制御判断システムでは、アクセス許可に要件を付けてアクセス制御を行うことができる。 In such an access control determination system, access control can be performed with a requirement for access permission.
また、本発明は、請求項10に記載されるように、上記アクセス制御判断手段は、上記セキュリティポリシーに従って、上記対象情報へのアクセスを許可する場合の上記要件に該要件を処理する際に指定される補足情報を含めるように構成することができる。 Further, according to the present invention, the access control determination means is specified when processing the requirement in the requirement for permitting access to the target information in accordance with the security policy. Can be configured to include supplemental information.
このようなアクセス制御判断システムでは、アクセス許可する要件に補足情報を付けてアクセス制御を行うことができる。 In such an access control determination system, it is possible to perform access control by adding supplementary information to requirements for permitting access.
更に、本発明は、請求項11に記載されるように、上記アクセス制御判断手段は、上記セキュリティポリシーに従って、上記対象情報へのアクセスを許可する場合の上記要件に該要件が処理できない場合の代替要件を含めるように構成することができる。 Further, according to the present invention, as described in claim 11, the access control determination unit is an alternative to the case where the requirement cannot be processed in the requirement when the access to the target information is permitted according to the security policy. Can be configured to include requirements.
このようなアクセス制御判断システムでは、アクセス許可する要件の代替要件を指定可能とする。 In such an access control determination system, it is possible to specify an alternative requirement for a requirement for permitting access.
また、本発明は、請求項12に記載されるように、上記セキュリティポリシーは、外部から設定可能であるように構成することができる。 Further, according to the present invention, the security policy can be configured to be settable from the outside.
このようなアクセス制御判断システムでは、セキュリティポリシーの変更を外部から行うことができる。また、一箇所でセキュリティポリシーを管理し変更することで、組織全体で変更に応じたセキュリティポリシーに従うようにアクセス制御を行うことができる。 In such an access control determination system, the security policy can be changed from the outside. Also, by managing and changing the security policy in one place, access control can be performed so that the entire organization follows the security policy corresponding to the change.
上記課題を解決するための手段として、本発明は、上記アクセス制御判断システムでの処理をコンピュータに行なわせるためのアクセス制御判断方法、及び、プログラム、並びに、そのプログラムを記憶した記憶媒体とすることもできる。 As means for solving the above-described problems, the present invention provides an access control determination method for causing a computer to perform processing in the access control determination system, a program, and a storage medium storing the program. You can also.
また、上記課題を解決するため、本発明は、請求項16に記載されるように、セキュリティポリシーに従って対象情報へのアクセスに関する制御を指定するアクセス制御情報に基づいて、該対象情報に対するアクセス制御を執行するアクセス制御執行手段を有し、
ように構成することができる。
In order to solve the above-mentioned problem, according to the present invention, the access control for the target information is performed based on the access control information that specifies the control related to the access to the target information according to the security policy. Have access control enforcement means to enforce,
It can be constituted as follows.
このようなアクセス制御判断システムでは、セキュリティポリシーに従って対象情報へアクセスする際、アクセスが許可されるための要件が実行可能か否かを判断し、その結果に基づいて、その要件を満たすように対象情報に対するアクセス制御を執行することができる。 In such an access control determination system, when accessing target information according to the security policy, it is determined whether or not the requirement for permitting access is feasible, and based on the result, the target is satisfied so as to satisfy the requirement. It can enforce access control to information.
また、本発明は、請求項17に記載されるように、上記アクセス制御執行手段は、更に、上記要件可否判断手段による上記判断結果が上記要件を満たすように上記アクセスを実行できないことを示す場合、上記対象情報への上記アクセスを禁止するアクセス禁止手段を有するように構成することができる。 In the present invention, the access control execution means further indicates that the access cannot be executed so that the determination result by the requirement availability determination means satisfies the requirement as described in claim 17 It is possible to configure to have access prohibiting means for prohibiting the access to the target information.
このようなアクセス制御判断システムでは、要件を満たさない場合、アクセスを禁止することができる。 In such an access control determination system, access can be prohibited if the requirements are not satisfied.
更に、本発明は、請求項18に記載されるように、上記アクセス制御執行手段は、上記要件可否判断手段による上記判断結果が上記要件を満たすように上記アクセスを実行できないことを示す場合、上記アクセス制御情報にて指定される代替要件を見たすように上記アクセス制御を執行するように構成することができる。 Furthermore, as described in claim 18, when the access control execution unit indicates that the access cannot be performed so that the determination result by the requirement availability determination unit satisfies the requirement, The access control can be executed so as to find an alternative requirement specified by the access control information.
このようなアクセス制御判断システムでは、要件を満たさない場合、代替要件を実行することができる。 In such an access control determination system, an alternative requirement can be executed if the requirement is not satisfied.
また、本発明は、請求項19に記載されるように、上記アクセス制御執行手段は、更に、上記要件可否判断手段による上記判断結果が上記要件を満たすように上記アクセスを実行できないことを示す場合、上記アクセス制御情報によって指定される上記代替要件を実行できるか否かを判断する代替要件可否判断手段を有し、上記代替要件可否判断手段による判断結果が上記代替要件を実行できないことを示す場合、上記アクセスを禁止するように構成することができる。 In the present invention, the access control execution unit further indicates that the access cannot be performed so that the determination result by the requirement availability determination unit satisfies the requirement. When there is an alternative requirement availability determination unit that determines whether the alternative requirement specified by the access control information can be executed, and the determination result by the alternative requirement availability determination unit indicates that the alternative requirement cannot be executed The access can be prohibited.
このようなアクセス制御判断システムでは、代替要件を満たさない場合、アクセスを禁止することができる。 In such an access control determination system, access can be prohibited when alternative requirements are not satisfied.
更に、本発明は、請求項20に記載されるように、上記アクセス制御執行手段は、上記要件可否判断手段による上記判断結果が上記要件を満たすように上記アクセスを実行できる場合、上記アクセス制御情報で指定される補足情報を用いて該要件を満たすように上記対象情報に対する上記アクセス制御を執行するように構成することができる。 Further, according to the present invention, as described in claim 20, when the access control execution unit can execute the access so that the determination result by the requirement availability determination unit satisfies the requirement, the access control information The access control for the target information can be executed so as to satisfy the requirement using the supplementary information specified in (1).
このようなアクセス制御判断システムでは、補足情報を用いて要件を実行することができる。 In such an access control determination system, requirements can be executed using supplementary information.
また、本発明は、請求項21に記載されるように、ログ記録、暗号化保存、原本性確保、厳密なユーザ認証、版管理、完全消去、警告表示の少なくとも1つを上記要件として実行可能であるように構成することができる。 Further, as described in claim 21, the present invention can execute at least one of log recording, encrypted storage, originality assurance, strict user authentication, version management, complete erasure, and warning display as the above requirements. It can be configured to be.
このようなアクセス制御判断システムでは、文書管理システムとして要求される要件を実行することができる。 In such an access control determination system, requirements required as a document management system can be executed.
更に、本発明は、請求項22に記載されるように、ログ記録、ラベル印字、操作者印字、イメージログ記録、警告表示、警告印字、宛先制限、親展送信、ウォーターマーク印字、電子透かし埋め込みの少なくとも1つを上記要件として実行可能であるように構成することができる。 Further, the present invention provides log recording, label printing, operator printing, image log recording, warning display, warning printing, destination restriction, confidential transmission, watermark printing, digital watermark embedding as described in claim 22. At least one can be configured to be executable as the requirement.
このようなアクセス制御判断システムでは、デジタル複合機として要求される要件を実行することができる。 In such an access control determination system, requirements required for a digital multi-function peripheral can be executed.
また、本発明は、請求項23に記載されるように、ログ記録、厳密なユーザ認証、警告表示、機密印刷、イメージログ記録、識別情報印字、ラベル印字、ウォーターマーク印字、複写抑止地紋印刷、識別背景パターン印刷、警告印字の少なくとも1つを上記要件として実行可能であるように構成することができる。 The present invention also provides log recording, strict user authentication, warning display, confidential printing, image log recording, identification information printing, label printing, watermark printing, copy suppression copy-forgery-inhibited pattern printing, It can be configured such that at least one of identification background pattern printing and warning printing can be executed as the requirement.
このようなアクセス制御判断システムでは、ドキュメントビューアとして要求される要件を実行することができる。 In such an access control determination system, requirements required as a document viewer can be executed.
更に、本発明は、請求項24に記載されるように、上記対象情報へのアクセス要求に応じて、抽象的に規定される上記セキュリティポリシーに従ってアクセス制御を判断するアクセス制御判断システムに対して、該アクセス制御の判断を要求するアクセス判断要求手段と、上記アクセス制御判断システムから上記アクセス制御の判断の要求に応じて提供される上記アクセス制御情報を受信するアクセス制御受信手段とを更に有し、上記アクセス制御執行手段は、上記アクセス制御受信手段によって受信した上記アクセス制御情報に基づいて、上記対象情報に対する上記アクセス制御を執行するように構成することができる。 Furthermore, as described in claim 24, the present invention provides an access control determination system that determines access control in accordance with the security policy defined abstractly in response to an access request to the target information. Access determination request means for requesting the access control determination; and access control reception means for receiving the access control information provided in response to the access control determination request from the access control determination system; The access control execution means can be configured to execute the access control for the target information based on the access control information received by the access control reception means.
このようなアクセス制御判断システムでは、アクセス制御判断システムが提供する抽象度の低い情報に対して、抽象度の高いセキュリティポリシーに従ったアクセス制御情報をアクセス制御判断システムから取得することができる。従って、セキュリティの管理と、アクセス制御とを分離させることができる。 In such an access control determination system, access control information according to a security policy with a high abstraction level can be acquired from the access control determination system for information with a low abstraction level provided by the access control determination system. Therefore, security management and access control can be separated.
上記課題を解決するための手段として、本発明は、上記アクセス制御執行システムでの処理をコンピュータに行なわせるためのアクセス制御執行方法とすることもできる。 As a means for solving the above-mentioned problems, the present invention can also be an access control execution method for causing a computer to perform processing in the access control execution system.
組織のセキュリティポリシーに従って紙文書及び電子文書のセキュリティを確保することができる。そして組織のセキュリティポリシーに従ったアクセス制御において許可又は不許可だけでなく要件を規定するようにし、その要件をユーザの情報漏洩抑止力を高めるために利用し、また電子文書の印刷時にセキュリティ処理を強制するために利用することで、電子文書だけでなく紙文書の取り扱いまで一貫して組織のセキュリティポリシーを徹底させる効果を奏する。 Security of paper documents and electronic documents can be ensured according to the security policy of the organization. In addition, the access control according to the organization's security policy specifies not only permission or disapproval but also requirements, and the requirements are used to enhance the ability of users to prevent information leakage, and security processing is performed when printing electronic documents. By using it for enforcement, it has the effect of consistently enforcing the security policy of the organization from handling not only electronic documents but also paper documents.
以下、本発明の実施の形態を図面に基づいて説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
本発明の一実施例に係るアクセス制御判断システムをセキュリティサーバとして適応した本システムは、例えば、図1に示すようなシステムを構成する。図1は、本発明の一実施例に係るシステム構成を示す図である。図1において、電子文書又は紙文書に対するアクセス制御を行うセキュリティサーバ200は、電子文書を管理する文書管理システム100と、コピー、ファクス、プリンタ、スキャナなど複数の異なる画像形成機能を搭載したデジタル複合機70と、電子文書をユーザの端末51に表示するドキュメントビューア53とネットワークを介して接続する。 The system in which the access control determination system according to an embodiment of the present invention is applied as a security server constitutes a system as shown in FIG. 1, for example. FIG. 1 is a diagram showing a system configuration according to an embodiment of the present invention. In FIG. 1, a security server 200 that controls access to an electronic document or paper document includes a document management system 100 that manages the electronic document, and a digital multi-function peripheral equipped with a plurality of different image forming functions such as a copy, a fax, a printer, and a scanner. 70 and a document viewer 53 that displays an electronic document on the user terminal 51 are connected via a network.
図1において、ドキュメントビューア53は、端末51上で動作する所定のアプリケーションである。また、端末51は、ネットワークを介して、文書管理システム100に保管されている目的文書へのアクセスを行う。また、ユーザ52は、持ち込んだ紙文書をデジタル複合機70でコピー等を行う。図1中、端末51及びユーザ52は、夫々複数であっても良い。 In FIG. 1, a document viewer 53 is a predetermined application that operates on the terminal 51. Further, the terminal 51 accesses the target document stored in the document management system 100 via the network. In addition, the user 52 performs copying or the like of the brought-in paper document with the digital multi-function peripheral 70. In FIG. 1, there may be a plurality of terminals 51 and users 52, respectively.
文書管理システム100で管理され、電子文書そのものへのアクセスが制御されているような電子文書を以下、サーバドキュメント61と言う。デジタル複合機70で取り扱う紙文書を以下、ペーパードキュメント62と言う。文書管理システム100等からダウンロードして端末51のローカルストレージに保持し、ドキュメントビューア53で開いて参照する電子文書を以下、ポータブルドキュメント63と言う。 An electronic document that is managed by the document management system 100 and whose access to the electronic document itself is controlled is hereinafter referred to as a server document 61. A paper document handled by the digital multifunction peripheral 70 is hereinafter referred to as a paper document 62. An electronic document downloaded from the document management system 100 or the like, stored in the local storage of the terminal 51, and opened and referred to by the document viewer 53 is hereinafter referred to as a portable document 63.
ユーザ52が端末51を用いて、文書管理システム100に接続し、サーバドキュメント61に対してアクセスすると、文書管理システム100は、ユーザ52から認証情報を取得し、ユーザ管理サーバ300へユーザ認証の問い合わせを行う。文書管理システム100は、ユーザ管理サーバ300からの認証結果に基づいて、セキュリティサーバ200へアクセス制御の問い合せを行う。文書管理システム100は、セキュリティサーバ200から通知されるアクセス制御情報に基づいて、サーバドキュメント61に対するアクセスを行う。 When the user 52 connects to the document management system 100 using the terminal 51 and accesses the server document 61, the document management system 100 acquires authentication information from the user 52 and asks the user management server 300 for user authentication. I do. The document management system 100 makes an access control inquiry to the security server 200 based on the authentication result from the user management server 300. The document management system 100 accesses the server document 61 based on the access control information notified from the security server 200.
同様に、ユーザ52がデジタル複合機70でペーパードキュメント62を複写する際、デジタル複合機70は、ユーザ52から認証情報を取得し、ユーザ管理サーバ300へユーザ認証の問い合わせを行う。デジタル複合機70は、ユーザ管理サーバ300からの認証結果に基づいて、セキュリティサーバ200へアクセス制御の問い合せを行う。デジタル複合機70は、セキュリティサーバ200から通知されるアクセス制御情報に基づいて、ペーパードキュメント62の複写を行う。 Similarly, when the user 52 copies the paper document 62 with the digital multifunction peripheral 70, the digital multifunction peripheral 70 acquires authentication information from the user 52 and makes an inquiry to the user management server 300 for user authentication. The digital multi-function peripheral 70 makes an access control inquiry to the security server 200 based on the authentication result from the user management server 300. The digital multi-function peripheral 70 copies the paper document 62 based on the access control information notified from the security server 200.
同様に、ユーザ52が端末51にてドキュメントビューア53を起動して、ポータブルドキュメント63を表示する際、ドキュメントビューア53は、ユーザ52から認証情報を取得し、ユーザ管理サーバ300へユーザ認証の問い合わせを行う。ドキュメントビューア53は、ユーザ管理サーバ300からの認証結果に基づいて、セキュリティサーバ200へアクセス制御の問い合せを行う。ドキュメントビューア53は、セキュリティサーバ200から通知されるアクセス制御情報に基づいて、ポータブルドキュメント63の表示、又は、表示したポータブルドキュメント63の出力等を行う。 Similarly, when the user 52 activates the document viewer 53 on the terminal 51 and displays the portable document 63, the document viewer 53 acquires authentication information from the user 52 and makes an inquiry about user authentication to the user management server 300. Do. The document viewer 53 makes an access control inquiry to the security server 200 based on the authentication result from the user management server 300. The document viewer 53 displays the portable document 63 or outputs the displayed portable document 63 based on the access control information notified from the security server 200.
ユーザ管理サーバ300は、文書管理システム100、デジタル複合機70、又は、ドキュメントビューア53からユーザ52の認証情報を受信すると、ユーザ52毎に認証情報を含むユーザ52のユーザ情報を管理するユーザ管理テーブル310を参照して、ユーザ52の認証を行う。ユーザ管理サーバ300は、その認証結果をユーザ認証の問い合わせをした文書管理システム100、デジタル複合機70、又は、ドキュメントビューア53へ送信する。 When the user management server 300 receives the authentication information of the user 52 from the document management system 100, the digital multi-function peripheral 70, or the document viewer 53, the user management table 300 manages the user information of the user 52 including the authentication information for each user 52. Referring to 310, the user 52 is authenticated. The user management server 300 transmits the authentication result to the document management system 100, the digital multi-function peripheral 70, or the document viewer 53 that has inquired about user authentication.
セキュリティサーバ200は、組織におけるアクセス制御ルールが記載されたポリシーファイル240と、ユーザ52毎にユーザ権限を管理するユーザ権限管理レベルテーブル250と、ドキュメント毎にそのプロファイルを管理するドキュメントプロファイル260と、ゾーン毎にアクセス制御を管理するゾーン管理テーブル270と、印刷毎に印刷に関する情報を管理するプリントプロファイル管理テーブル280とを有する。セキュリティサーバ200は、ポリシーファイル240とこれらテーブル250から280を用いて、文書管理システム100、デジタル複合機70、及び、ドキュメントビューア53からのアクセス制御の問い合わせに応じる。 The security server 200 includes a policy file 240 that describes access control rules in the organization, a user authority management level table 250 that manages user authority for each user 52, a document profile 260 that manages the profile for each document, a zone A zone management table 270 that manages access control for each print, and a print profile management table 280 that manages information related to printing for each printing. The security server 200 responds to an access control inquiry from the document management system 100, the digital multi-function peripheral 70, and the document viewer 53 using the policy file 240 and these tables 250 to 280.
ポリシーファイル240には「関係者のみアクセス許可」などの規定ができるが、どの文書については誰が関係者なのか、その関係を管理できなければならない。そういったポリシーを補足するテーブルは、ポリシーとは別にセキュリティサーバ内で管理する。ポリシーにそのような関係者を記載してしまうと汎用性に欠けたポリシーになってしまうためである。つまり、組織の企業秘密管理規則のような「ルール」として規定できる部分のみポリシーとして規定し、ドキュメントごと、ユーザごとに様々に設定すべきものはテーブルで管理する。そして、その「ルール」は組織によって様々に異なるため、ポリシーファイル240という形にすることによって、入れ替え可能となる。 The policy file 240 can define “access permission only for related persons” and the like, but it must be able to manage who is related to which document. A table supplementing such a policy is managed in the security server separately from the policy. This is because if such a party is described in the policy, it becomes a policy lacking versatility. That is, only a part that can be defined as a “rule” such as an organization's trade secret management rule is defined as a policy, and various items to be set for each document and each user are managed in a table. Since the “rule” varies depending on the organization, the policy file 240 can be replaced.
以下、サーバドキュメント61、ペーパードキュメント62、及びポータブルドキュメント63を総称してドキュメント60(図2)と言う。 Hereinafter, the server document 61, the paper document 62, and the portable document 63 are collectively referred to as a document 60 (FIG. 2).
端末51及びユーザ52を含め、ドキュメント60に対してアクセスするものをイニシエータ50と言う。 A device that accesses the document 60 including the terminal 51 and the user 52 is called an initiator 50.
また、文書管理システム100、デジタル複合機70、ドキュメントビューア53等を総称してアプリシステム400と言う。 The document management system 100, the digital multi-function peripheral 70, the document viewer 53, and the like are collectively referred to as an application system 400.
システム1000では、セキュリティサーバ200とユーザ管理サーバ300とを分けて構成しているが、1つのサーバでセキュリティサーバ200の機能とユーザ管理サーバ300の機能とを有するように構成しても良い。 In the system 1000, the security server 200 and the user management server 300 are configured separately, but a single server may be configured to have the functions of the security server 200 and the user management server 300.
アクセス制御の概要を、ISO/IEC 10181-3に従って記述したアクセス制御モデルを示す図2を参照しつつ説明する。図2は、アクセス制御モデルを示す図である。 An overview of access control will be described with reference to FIG. 2 showing an access control model described according to ISO / IEC 10181-3. FIG. 2 is a diagram illustrating an access control model.
図2において、アプリシステム400は、イニシエータ50からドキュメント60に対してアクセスを要求されると、ユーザ認証後にアクセスを許可するか否かをセキュリティサーバ200に許可の判断を要求する。特に、ユーザ認証を必要としない場合には、anonymous(匿名)ユーザ又はguest(ゲスト)ユーザとしてアクセス許可を問い合わせるようにしても良い。 In FIG. 2, when the application system 400 is requested to access the document 60 from the initiator 50, the application system 400 requests the security server 200 to determine whether or not to permit access after user authentication. In particular, when user authentication is not required, access permission may be inquired as an anonymous (anonymous) user or a guest (guest) user.
セキュリティサーバは、そのユーザがそのドキュメントにアクセスする権限があるかどうかを内部に保持しているポリシーファイル240に記述されるアクセス制御ルール(ポリシー)に従って判断し、許可されているか、禁止されているか、許可されている場合に満たさなければならない要件は何か、を判断結果としてアプリシステムに返す。 The security server determines whether the user is authorized to access the document according to the access control rule (policy) described in the policy file 240 held therein, and whether the user is permitted or prohibited. If it is permitted, what is the requirement that must be satisfied is returned to the application system as a determination result.
アプリシステム400は、判断結果を受け取り、許可されている場合にはユーザから要求されたアクセスを処理する。その際、判断結果として要件が指定されていれば、その要件を満たすようにドキュメント60を処理する。禁止されている、要件が満たせない等の場合にはアクセスを拒否する。 The application system 400 receives the determination result, and processes the access requested by the user if permitted. At this time, if a requirement is specified as a determination result, the document 60 is processed so as to satisfy the requirement. If it is prohibited or the requirements are not met, access is denied.
次に、セキュリティサーバ200のハードウェア構成及び機能構成について説明する。図3は、本発明の一実施例に係るセキュリティサーバのハードウェア構成を示す図である。 Next, the hardware configuration and functional configuration of the security server 200 will be described. FIG. 3 is a diagram showing a hardware configuration of the security server according to an embodiment of the present invention.
図3において、セキュリティサーバ200は、サーバコンピュータであって、CPU(中央処理装置)41と、メモリユニット42と、表示ユニット43と、入力ユニット44と、通信ユニット45と、記憶装置46とを有し、各ユニット41から46はシステムバスB2に接続される。 In FIG. 3, the security server 200 is a server computer having a CPU (Central Processing Unit) 41, a memory unit 42, a display unit 43, an input unit 44, a communication unit 45, and a storage device 46. The units 41 to 46 are connected to the system bus B2.
CPU41は、メモリユニット42に格納されたプログラムに従ってストレージ200を制御する。メモリユニット42は、RAM(Random Access Memory)及びROM(Read-Only Memory)等にて構成され、CPU41にて実行されるプログラム、CPU41での処理に必要なデータ、CPU41での処理にて得られたデータ等を格納する。また、メモリユニット42の一部の領域が、CPU41での処理に利用されるワークエリアとして割り付けられている。 The CPU 41 controls the storage 200 according to a program stored in the memory unit 42. The memory unit 42 includes a RAM (Random Access Memory), a ROM (Read-Only Memory), and the like, and is obtained by a program executed by the CPU 41, data necessary for processing by the CPU 41, and processing by the CPU 41. Stored data. A part of the memory unit 42 is allocated as a work area used for processing by the CPU 41.
表示ユニット43は、CPU41の制御のもとに必要な各種情報を表示する。通信ユニット45は、アプリシステム400と例えばLAN(Local Area Network)等で接続される場合に、アプリシステム400との間で通信制御をするためのユニットである。記憶装置46は、例えば、ハードディスクユニットにて構成され、ポリシーファイル240と、ユーザ権限レベルテーブル250、ドキュメントプロファイル管理テーブル260、ゾーン管理テーブル270、プリントプロファイル管理テーブル290等の管理テーブルとを保存する。 The display unit 43 displays various information necessary under the control of the CPU 41. The communication unit 45 is a unit for controlling communication with the application system 400 when connected to the application system 400 via, for example, a LAN (Local Area Network). The storage device 46 is configured by, for example, a hard disk unit, and stores a policy file 240 and management tables such as a user authority level table 250, a document profile management table 260, a zone management table 270, and a print profile management table 290.
セキュリティサーバ200を制御するプログラムは、予め、記憶装置46にインストールされている。 A program for controlling the security server 200 is installed in the storage device 46 in advance.
図4は、セキュリティサーバの機能構成を示す図である。図4において、セキュリティサーバ200は、主に、アプリシステム400から提供される情報等を企業のセキュリティポリシーに対応させるために抽象化を行う抽象化処理部231と、抽象化処理部231によって抽象化された情報に基づいてアクセス制御を判断するポリシーベースアクセス制御判断部241とを有する。 FIG. 4 is a diagram illustrating a functional configuration of the security server. In FIG. 4, the security server 200 is mainly abstracted by an abstraction processing unit 231 that performs abstraction in order to make information provided from the application system 400 correspond to a company security policy, and the abstraction processing unit 231. A policy-based access control determination unit 241 that determines access control based on the received information.
抽象化処理部231は、更に、ユーザ権限レベルマッピング部232と、ユーザ区分マッピング233と、ゾーンマッピング部234と、ドキュメントセキュリティ属性マッピング部235とを有する。 The abstraction processing unit 231 further includes a user authority level mapping unit 232, a user category mapping 233, a zone mapping unit 234, and a document security attribute mapping unit 235.
抽象化処理部231において、アプリシステム400からユーザ識別情報と、アクセス種別情報と、ドキュメント識別情報と、コンテキスト情報とを受信すると、ユーザ権限レベルマッピング部232は、ユーザ識別情報に基づいてユーザ権限レベルテーブル250を参照して抽象化した権限レベルを取得し(1)、ユーザ区分マッピング233は、ユーザ識別情報に基づいてドキュメントプロファイル管理テーブル260を参照して抽象化した関係者又は非限定を示す関係者区分を取得し(2)、アクセス種別情報はそのままとし(3)、ゾーンマッピング部234は、コンテキスト情報に基づいてドキュメントプロファイル管理テーブル260とゾーン管理テーブル270とを参照して抽象化したゾーン内又はゾーン外を示すゾーン区分を取得し(4)、ドキュメントセキュリティ属性マッピング部235は、ドキュメント識別情報に基づいてドキュメントプロファイル管理テーブル260とプリントプロファイル管理テーブル280とを参照して抽象化した機密レベルと文書カテゴリとを取得する(5)。 When the abstraction processing unit 231 receives user identification information, access type information, document identification information, and context information from the application system 400, the user authority level mapping unit 232 determines the user authority level based on the user identification information. The authority level abstracted by referring to the table 250 is acquired (1), and the user category mapping 233 refers to the document profile management table 260 based on the user identification information and the relation indicating the parties or non-restrictions abstracted. The zone mapping unit 234 refers to the document profile management table 260 and the zone management table 270 based on the context information and abstracts the zone within the zone. Or zone classification indicating outside the zone In step (4), the document security attribute mapping unit 235 refers to the document profile management table 260 and the print profile management table 280 based on the document identification information, and acquires the abstracted confidential level and document category (5). ).
上記において、コンテキスト情報にて時間帯が設定されるように構成し、所定時間内又は所定時間外を示す時間区分を取得するようにしても良い。 In the above, it may be configured such that the time zone is set in the context information, and a time segment indicating a predetermined time or outside a predetermined time may be acquired.
マッピング部232から235の夫々を1つの抽象化処理部として構成しても良い。この場合、1つの抽象化処理部は、1つ以上の管理テーブルを参照する構成となる。 Each of the mapping units 232 to 235 may be configured as one abstraction processing unit. In this case, one abstraction processing unit is configured to refer to one or more management tables.
或いは、権限レベルと関係者区分とをユーザセキュリティ属性、機密レベルと文書カテゴリとをドキュメントセキュリティ属性、そして、ゾーン区分をアクセス環境属性等の3種類の属性に分類することができるため、属性毎に抽象化処理部を構成するようにしても良い。この場合、抽象化処理部は、1つ以上のマッピング処理部を有し、各マッピング処理部は、1つ以上のテーブルを参照する構成となる。 Alternatively, the authority level and the party classification can be classified into three types of attributes such as a user security attribute, a confidentiality level and a document category as a document security attribute, and a zone classification as an access environment attribute. An abstraction processing unit may be configured. In this case, the abstraction processing unit has one or more mapping processing units, and each mapping processing unit is configured to refer to one or more tables.
ポリシーベースアクセス制御判断部241は、抽象化処理部231によって抽象化された情報をパラメータとして受信し、ポリシーファイル240に記載されたアクセス制御ルール(ポリシー)に従ってアクセス制御を判断する。ポリシーファイル240は、外部から設定可能である。従って、企業のセキュリティポリシーに応じて変更が容易となる。 The policy-based access control determination unit 241 receives the information abstracted by the abstraction processing unit 231 as a parameter, and determines access control according to the access control rule (policy) described in the policy file 240. The policy file 240 can be set from the outside. Therefore, it becomes easy to change according to the security policy of the company.
本実施例では、抽象化処理部231とポリシーベースアクセス制御判断部241との2段階による処理によって、汎用的なセキュリティポリシーに従いながら、また、セキュリティポリシーの変更にも柔軟に対応しつつアクセス制御判断を行うことができる。 In this embodiment, the two-stage processing of the abstraction processing unit 231 and the policy-based access control determination unit 241 performs access control determination while complying with a general-purpose security policy and flexibly responding to security policy changes. It can be performed.
また、抽象化処理部231を備えることによって、セキュリティポリシーの変更によって、アプリシステム400が提供する情報の形式を変更する必要がない。セキュリティポリシーの変更に応じたアプリシステム400側のソフトウェアを変更する必要がないため、メンテナンスが容易となる。 In addition, since the abstraction processing unit 231 is provided, it is not necessary to change the format of information provided by the application system 400 by changing the security policy. Since it is not necessary to change the software on the application system 400 side according to the change of the security policy, the maintenance becomes easy.
各ドキュメントに対してACL(Access Control List)というものを管理して、どのユーザにはどのようなアクセスを許可或いは禁止する、というアクセス制御を行うことは可能である。そして、そのようなACLをセキュリティポリシーと呼んでいる従来システムもある(米国特許第6、289、450号)。しかしながら、従来システムでは、ドキュメント毎にポリシーを設定してしまっているようなもので、「マル秘は関係者のみアクセス可能」、いうような「組織」の企業秘密管理規則(ポリシー)通りに適用されているかどうかが分からないという問題がある.
本発明に係るアクセス制御を判断するセキュリティサーバ200は、アクセス制御のための汎用的な判断ルールと、各ドキュメントの詳細なセキュリティ設定とを分離して、ドキュメントやユーザの属性を抽象的なセキュリティ属性にマッピングした上でアクセス判断をする。また、その汎用的な判断ルールをポリシーファイルとして記述できるようにすることでルールが固定されているのではなく入れ替えが可能である。
It is possible to manage what is called an ACL (Access Control List) for each document and to perform access control such that what access is permitted or prohibited for which user. There is also a conventional system in which such an ACL is called a security policy (US Pat. No. 6,289,450). However, in the conventional system, the policy is set for each document, and it is applied according to the “organization” trade secret management rule (policy), such as “The secret is accessible only to related parties”. There is a problem that it is not known whether it is done or not.
The security server 200 for judging access control according to the present invention separates general judgment rules for access control from detailed security settings of each document, and abstracts the attributes of documents and users. Make an access decision after mapping to. Further, by allowing the general-purpose judgment rule to be described as a policy file, the rule is not fixed but can be replaced.
判断ルールをソフトウェアのロジックとしてプログラミングしている例は他にもあるであろうが、その判断ルールを組織のセキュリティポリシーに応じて様々に定義して設定できるようにしている例はない.
セキュリティサーバ200によって管理されるテーブルのデータ構造について説明する。
There may be other examples in which decision rules are programmed as software logic, but there are no examples in which the decision rules can be defined and set in various ways according to the security policy of the organization.
The data structure of the table managed by the security server 200 will be described.
図5は、ユーザ権限レベルテーブルのデータ構造を示す図である。図5において、ユーザ権限レベルテーブル250のデータ構造251は、「UserMapList{userMap[] userMap;};」を示すコード252により、ユーザまたはグループ毎にそのユーザまたはそのグループに所属するユーザの権限を示すuserMapを配列によって管理するUserMapListで構成される。このようなUserMapListによって複数のユーザの権限が管理される。 FIG. 5 is a diagram illustrating a data structure of the user authority level table. In FIG. 5, the data structure 251 of the user authority level table 250 indicates the authority of the user or the user belonging to the group for each user or group by the code 252 indicating “UserMapList {userMap [] userMap;};”. It is composed of UserMapList that manages userMap by array. The authority of a plurality of users is managed by such UserMapList.
このuserMapは、「String principalId;」を示すコード253−1により文字列で示されるユーザID又はグループIDと、「String entryType;」を示すコード253−2によりユーザ又はグループ等の文字列で示されるエントリのタイプと、「String leveleId;」を示すコード253−3により文字列で示される権限レベルとで構成される。 This userMap is indicated by a user ID or group ID indicated by a character string by a code 253-1 indicating "String principalId;" and by a character string such as a user or a group by a code 253-2 indicating "String entryType;". It is composed of an entry type and an authority level indicated by a character string by a code 253-3 indicating "String leveleId;".
アプリシステム400を利用するユーザ52毎にuserMapのエントリをUserMapListに作成して、ユーザ52を登録する。 An entry of userMap is created in UserMapList for each user 52 who uses the application system 400, and the user 52 is registered.
図6は、ドキュメントプロファイル管理テーブルのデータ構造を示す図である。図6において、ドキュメントプロファイル管理テーブル260のデータ構造261は、「DocProfileTable{DocProfile[] docProfiles;};」を示すコード262により、電子文書毎にその電子文書に対するセキュリティポリシーを示すdocProfileを配列によって管理するDocProfileTableで構成される。このようなDocProfileTableによって複数の電子文書が管理される。 FIG. 6 shows the data structure of the document profile management table. In FIG. 6, the data structure 261 of the document profile management table 260 manages a docProfile indicating a security policy for an electronic document for each electronic document with an array by a code 262 indicating “DocProfileTable {DocProfile [] docProfiles;};”. It is composed of DocProfileTable. A plurality of electronic documents are managed by such a DocProfileTable.
このdocProfileは、「String docId;」を示すコード263−1により文字列で示される電子文書と、「String DocCategory;」を示すコード263−2により文字列で示される文書カテゴリと、「String docLevel;」を示すコード263−3により文字列で示される機密レベルと、「String[] relatedPersons;」を示すコード263−4により文字列で示される関係者の配列によって構成される複数の関係者のリストと、「String[] zones;」を示すコード263−5により文字列で示されるゾーンIDの配列によって構成される複数のゾーンIDのリストと、「Date nondisclosure;」を示すコード263−6により日付で示される秘密保持期間と、「Date retention;」を示すコード263−7により日付で示される保存期限と、「Date validity;」を示すコード263−8により日付で示される有効期限とで構成される。 This docProfile includes an electronic document indicated by a character string by a code 263-1 indicating “String docId;”, a document category indicated by a character string by a code 263-2 indicating “String DocCategory;”, and “String docLevel; A list of a plurality of parties composed of a confidential level indicated by a character string by a code 263-3 indicating "" and an array of parties indicated by a character string by a code 263-4 indicating "String [] relatedPersons;" A list of a plurality of zone IDs configured by an array of zone IDs indicated by a character string by a code 263-5 indicating "String [] zones;" and a date by a code 263-6 indicating "Date nondisclosure;" By the secret retention period indicated by the date, the retention period indicated by the date by the code 263-7 indicating "Date retention;", and the code 263-8 indicating "Date validity;" Constituted by the expiration date indicated by the date.
アクセス制御する電子文書毎にDocProfileのエントリをDocProfileTableに作成して、電子文書を登録する。文書IDは、電子文書毎に一意に示される識別情報である。文書カテゴリ及び機密レベルはセキュリティポリシーによって使用される文書カテゴリ及び機密レベルの識別情報を指定する。 An entry of DocProfile is created in DocProfileTable for each electronic document to be accessed, and the electronic document is registered. The document ID is identification information uniquely indicated for each electronic document. The document category and confidential level specify identification information of the document category and confidential level used by the security policy.
関係者リストには、その電子文書の関係者のユーザID又はグループIDが列挙される。ゾーンには、その電子文書へのアクセスが許可されるゾーンを特定するゾーンIDのリストが指定される。 In the related person list, user IDs or group IDs of related persons of the electronic document are listed. In the zone, a list of zone IDs that specify a zone in which access to the electronic document is permitted is designated.
図7は、ゾーン管理テーブルのデータ構造を示す図である。図7において、ゾーン管理テーブル270のデータ構造271は、「ZoneInfo Table{ZoneInfo[] zones};」を示すコード272により、ゾーン毎にゾーンを特定する情報を示すZoneInfoを配列によって管理するZoneInfoTableで構成される。このようなZoneInfoTableによって複数のゾーンが管理される。 FIG. 7 shows the data structure of the zone management table. In FIG. 7, the data structure 271 of the zone management table 270 is configured by a ZoneInfoTable that manages a ZoneInfo indicating information specifying a zone for each zone by an array by a code 272 indicating “ZoneInfo Table {ZoneInfo [] zones};”. Is done. A plurality of zones are managed by such a ZoneInfoTable.
このZoneInfoは、「String id;」を示すコード273−1により文字列で示されるゾーンIDと、「String name;」を示すコード273−2により文字列で示されるゾーン名と、「AddressInfo[] addresses;」を示すコード273−3によりAddressInfo[]の配列によって示されるゾーンのアドレスとで構成される。 This ZoneInfo includes a zone ID indicated by a character string by a code 273-1 indicating "String id;", a zone name indicated by a character string by a code 273-2 indicating "String name;", and "AddressInfo [] The address of the zone indicated by the array of AddressInfo [] by a code 273-3 indicating "addresses;".
コード273−3によって記述されるAddressInfoのデータ構造は、「String address;」を示すコード275−1により文字列で示されるIPアドレス又はMACアドレスと、「String addressType;」を示すコード275−2により文字列で示される「IP」又は「MAC」と、「String netmask;」を示すコード275−3によりIPアドレスの場合に「255.255.255.0」等の文字列で示されるサブネットマスクとで構成される。 The data structure of AddressInfo described by the code 273-3 is an IP address or MAC address indicated by a character string by a code 275-1 indicating "String address;" and a code 275-2 indicating "String addressType;" "IP" or "MAC" indicated by a character string, and a subnet mask indicated by a character string such as "255.255.255.0" in the case of an IP address by a code 275-3 indicating "String netmask;" .
ゾーン管理テーブル270は、アクセスを許可するゾーンをアドレスのリストによって管理するテーブルである。一つのゾーンIDに対して複数のIPアドレス又はMACアドレスを列挙して割り当てて管理する。 The zone management table 270 is a table for managing a zone for which access is permitted by using a list of addresses. A plurality of IP addresses or MAC addresses are listed and assigned to one zone ID for management.
図8は、プリントプロファイル管理テーブルのデータ構造を示す図である。図8において、プリントプロファイル管理テーブル280のデータ構造281は、「PrintProfileTable{PrintProfile[] printprofiles;};」を示すコード281により、プリント毎にプリントに関するプロファイルを示すPrintProfileを配列によって管理するPrintProfileTableで構成される。このようなPrintProfileTableによって複数のプリントプロファイルが管理される。 FIG. 8 shows the data structure of the print profile management table. In FIG. 8, the data structure 281 of the print profile management table 280 is composed of a PrintProfileTable that manages a PrintProfile indicating a print-related profile for each print by an array by a code 281 indicating “PrintProfileTable {PrintProfile [] printprofiles;};”. The A plurality of print profiles are managed by such a PrintProfileTable.
PrintProfileは、「String printId;」を示すコード283−1により文字列で示されるプリントIDと、「String docId;」を示すコード283−2により文字列で示される電子文書の文書IDと、「Date printedDate;」を示すコード283−3により日付で示されるプリント日時と、「String printedUserId;」を示すコード283−4により文字列で示されるプリントユーザIDと、「String printedUserName;」を示す283−5により文字列で示されるプリントユーザ名とで構成される。 PrintProfile includes a print ID indicated by a character string by a code 283-1 indicating “String printId;”, a document ID of an electronic document indicated by a character string by a code 283-2 indicating “String docId;”, and “Date printed date and time indicated by a code 283-3 indicating "printedDate;", a print user ID indicated by a character string by code 283-4 indicating "String printedUserId;", and 283-5 indicating "String printedUserName;" And a print user name indicated by a character string.
アクセス制御されている電子文書がプリントされる毎に、PrintProfileのエントリをPrintProfileTableに作成することによって登録する。プリントIDは、プリント毎に一意に特定される識別情報である。文書IDは、プリントした文書の文書IDである。 Each time an electronic document whose access is controlled is printed, a PrintProfile entry is registered in the PrintProfileTable. The print ID is identification information uniquely specified for each print. The document ID is the document ID of the printed document.
以下に具体的なアクセス制御のシーケンスを説明する。文書管理システム100、デジタル複合機70、ドキュメントビューア53の夫々について説明する。
[文書管理システムでのアクセス制御]
文書管理システム100でのアクセス制御について、図9を参照しつつ図10で説明する。
A specific access control sequence will be described below. Each of the document management system 100, the digital multi-function peripheral 70, and the document viewer 53 will be described.
[Access control in document management system]
Access control in the document management system 100 will be described with reference to FIG. 9 and FIG.
図9は、文書管理システムでのアクセス制御シーケンスを示す図である。図10は、文書管理システムでのアクセス制御処理を説明するためのフローチャート図である。図9及び図10中、図9に示すアクセス制御シーケンスにおける各処理と、図10の各処理の説明と同一符号によって対応付けられる。 FIG. 9 is a diagram showing an access control sequence in the document management system. FIG. 10 is a flowchart for explaining an access control process in the document management system. 9 and 10, the processes in the access control sequence shown in FIG. 9 are associated with the same reference numerals as the descriptions of the processes in FIG. 10.
図9及び図10において、文書管理システム100は、端末51からユーザ52のログインの要求と共に、ユーザIDとパスワードとを受け取る(S1001)。 9 and 10, the document management system 100 receives a user ID and password from the terminal 51 together with a login request of the user 52 (S1001).
文書管理システム100は、受け取ったユーザIDとパスワードとをユーザ管理サーバ300に送信して認証要求を行う(S1002)。ユーザ管理サーバ300は、受け取ったユーザIDとパスワードとで認証処理を行う(S1003)。ユーザ管理サーバ300は、認証の成功又は失敗を示す認証結果情報を文書管理システム100に返す(S1004)。認証結果情報では、ユーザを識別するユーザ識別情報と、認証の成功又は失敗を示す情報とが含まれる。 The document management system 100 sends the received user ID and password to the user management server 300 to make an authentication request (S1002). The user management server 300 performs an authentication process with the received user ID and password (S1003). The user management server 300 returns authentication result information indicating the success or failure of the authentication to the document management system 100 (S1004). The authentication result information includes user identification information for identifying the user and information indicating success or failure of the authentication.
文書管理システム100は、認証結果情報に応じた処理を行う(S1005)。認証結果情報が認証の成功を示す場合、文書管理システム100は、ユーザ管理サーバ300から受け取った認証結果情報を端末51へ送信し、S1006へ進む。一方、認証結果情報が認証の失敗を示す場合、文書管理システム100は、アクセス制御処理を終了する。 The document management system 100 performs processing according to the authentication result information (S1005). If the authentication result information indicates that the authentication is successful, the document management system 100 transmits the authentication result information received from the user management server 300 to the terminal 51, and proceeds to S1006. On the other hand, when the authentication result information indicates that the authentication has failed, the document management system 100 ends the access control process.
端末51は、文書管理システム100に保管されているサーバドキュメント61に対する文書読込要求を文書IDを指定することによって、文書管理システム100に対して行う(S1006)。 The terminal 51 makes a document read request for the server document 61 stored in the document management system 100 to the document management system 100 by designating the document ID (S1006).
文書管理システム100は、そのユーザ52の認証結果情報とサーバドキュメント61の文書ID、アクセス種別、クライアントのコンテキスト情報をセキュリティサーバ200に送信して、サーバドキュメント61に対するアクセス制御を問い合わせる(S1007)。アクセス種別には、例えば、文書読込要求に応じた読込アクセスが指定される。 The document management system 100 sends the authentication result information of the user 52, the document ID of the server document 61, the access type, and the client context information to the security server 200, and inquires about access control for the server document 61 (S1007). For example, read access corresponding to a document read request is specified as the access type.
セキュリティサーバ200は、受け取った情報に基づいてアクセスを許可するか否かを判断する(S1008)。 The security server 200 determines whether to permit access based on the received information (S1008).
セキュリティサーバ200は、判断結果を文書管理システム100に返す(S1009)。文書管理システム100は、セキュリティサーバ200から受信した判断結果に応じた処理を行う(S1009)。判断結果が「許可」を示す場合、文書管理システム100は、判断結果で指定される要件を処理し、S1011へ進む。一方、判断結果が「禁止」を示す場合、アクセスは禁止され、アクセス制御処理を終了する。 The security server 200 returns the determination result to the document management system 100 (S1009). The document management system 100 performs processing according to the determination result received from the security server 200 (S1009). If the determination result indicates “permitted”, the document management system 100 processes the requirement specified by the determination result, and proceeds to S1011. On the other hand, if the determination result indicates “prohibited”, access is prohibited and the access control process is terminated.
文書管理システム100は、端末51から要求されたアクセス要求に応じた処理を行い、サーバドキュメント61を端末51に送信し、アクセス制御処理を正常に終了する(S1011)。 The document management system 100 performs processing according to the access request requested from the terminal 51, transmits the server document 61 to the terminal 51, and normally ends the access control processing (S1011).
S1002でのユーザ認証の問い合わせをセキュリティサーバ200を経由して行っても良い。ユーザ52を認証する方法は、ユーザIDとパスワードとによって認証する方法に限定されるものではない。より高度なバイオメトリック認証、又は、スマートカードを用いたチャレンジ・レスポンス認証等を適用しても良い。 The user authentication inquiry in S1002 may be made via the security server 200. The method of authenticating the user 52 is not limited to the method of authenticating with the user ID and password. More advanced biometric authentication or challenge / response authentication using a smart card may be applied.
次に、ユーザ管理サーバ300で行われる認証処理について図11で説明する。図11は、ユーザ管理サーバでの認証処理を説明する図である。図11において、ユーザ管理サーバ300は、文書管理システム100から受け取ったユーザIDとパスワードとをユーザ管理310と照合してユーザ52に対する認証を行う(L0011)。 Next, an authentication process performed by the user management server 300 will be described with reference to FIG. FIG. 11 is a diagram for explaining the authentication process in the user management server. In FIG. 11, the user management server 300 authenticates the user 52 by comparing the user ID and password received from the document management system 100 with the user management 310 (L0011).
ユーザ52の認証が成功したか否かを判断する(L0012)。ユーザ52の認証が成功した場合、ユーザ管理サーバ300は、そのユーザ52が所属しているグループIDのリストを取得して(L0013)、ユーザIDと、ユーザ名と、所属するグループIDのリストとによって認証結果情報を作成する(L0014)。認証結果情報には、ユーザを識別するユーザ識別情報と、認証の成功を示す情報とが含まれる。 It is determined whether or not the user 52 has been successfully authenticated (L0012). When the authentication of the user 52 is successful, the user management server 300 acquires a list of group IDs to which the user 52 belongs (L0013), and lists the user ID, the user name, and the group ID to which the user 52 belongs. To create authentication result information (L0014). The authentication result information includes user identification information for identifying a user and information indicating a successful authentication.
ユーザ管理サーバ300は、作成した認証結果情報を文書管理システム100へ返し(L0015)、ユーザ52の認証が成功した場合の処理を終了する(L0016)。そして、認証処理を終了する(L0020)。 The user management server 300 returns the created authentication result information to the document management system 100 (L0015), and ends the process when the user 52 is successfully authenticated (L0016). Then, the authentication process ends (L0020).
一方、ユーザ52の認証が失敗した場合(L0017)、ユーザ管理サーバ300は、認証の失敗を示す認証結果情報を作成し文書管理システム100へ返し(L0018)、ユーザ52の認証が失敗した場合の処理を終了すると共に(L0019)、認証処理を終了する(L0020)。 On the other hand, when the user 52 authentication fails (L0017), the user management server 300 creates authentication result information indicating the authentication failure and returns it to the document management system 100 (L0018), and the user 52 authentication fails. The process ends (L0019) and the authentication process ends (L0020).
図12は、認証結果情報のデータ構造を示す図である。図12において、認証結果情報のデータ構造501は、例えば、構造体AuthInfoで定義され、「String userId;」を示すコード502−1により文字列で示されるユーザIDと、「String username;」を示すコード502−2により文字列で示されるユーザ名と、「String[] groups;」を示すコード502−3により文字列で示されるユーザ52が所属するグループのグループIDの配列によって構成される複数のグループIDのリストとで構成される。 FIG. 12 is a diagram illustrating a data structure of authentication result information. In FIG. 12, the data structure 501 of the authentication result information is defined by, for example, a structure AuthInfo, and indicates a user ID indicated by a character string by a code 502-1 indicating “String userId;” and “String username;” A user name indicated by a character string by the code 502-2, and a plurality of group ID arrays of groups to which the user 52 indicated by the character string by the code 502-3 indicating "String [] groups;" belongs It consists of a list of group IDs.
次に、S1008でのセキュリティサーバ200によって行われる許可処理について図13、図14及び図15で説明する。図13、図14及び図15は、文書管理システムからの問い合わせに応じたセキュリティサーバでの許可処理を説明する図である。 Next, the permission process performed by the security server 200 in S1008 will be described with reference to FIGS. FIGS. 13, 14 and 15 are diagrams for explaining permission processing in the security server in response to an inquiry from the document management system.
図13、図14及び図15では、端末51で文書管理システム100のサーバドキュメント61を読み込むオペレーションがユーザ52によって行われたことによって、端末51から文書読込要求が文書管理システム100へ送信された場合の処理を例示している。端末51での他のオペレーションとして、例えば、プロパティ参照、オリジナル参照、改訂、削除、保存等があり、夫々、プロパティ参照要求、オリジナル参照要求、改訂要求、削除要求、保存要求等として文書管理システム100からセキュリティサーバ100へ送信される。 In FIGS. 13, 14, and 15, when a user 52 performs an operation for reading the server document 61 of the document management system 100 at the terminal 51, a document read request is transmitted from the terminal 51 to the document management system 100. This process is exemplified. Other operations at the terminal 51 include, for example, property reference, original reference, revision, deletion, storage, etc., and the document management system 100 as a property reference request, original reference request, revision request, deletion request, storage request, etc., respectively. To the security server 100.
オリジナル参照のオペレーションは、文書管理システム100に管理されているオリジナルのサーバドキュメント61を取得するアクセスである。また、例示される文書読込のオペレーションは、オリジナルのサーバドキュメント61を特別なドキュメントビューア53でしか開くことができないように変換したサーバドキュメント61を取得するアクセスである。 The original reference operation is an access to acquire the original server document 61 managed by the document management system 100. Further, the document reading operation illustrated is an access to acquire the server document 61 that is converted so that the original server document 61 can be opened only by the special document viewer 53.
また、夫々の要求に対するセキュリティサーバ100での許可処理は同様である。 Further, the permission processing in the security server 100 for each request is the same.
図13において、セキュリティサーバ200は、認証結果情報、文書ID、アクセス種別、コンテキスト情報を判断要求をした文書管理システム100から受け取る(L0031)。例えば、アクセス種別には、「サーバドキュメントに対する文書読込」が指定される。アクセス種別によって、ドキュメント60の種別(つまり、サーバドキュメント61)と、オペレーションの種別(つまり、文書読込)とが特定される。 In FIG. 13, the security server 200 receives authentication result information, document ID, access type, and context information from the document management system 100 that made the determination request (L0031). For example, “read document for server document” is specified as the access type. The type of the document 60 (that is, the server document 61) and the type of operation (that is, reading the document) are specified by the access type.
セキュリティサーバ200は、文書管理システム100から受け取った文書ID(docid)に該当するドキュメントプロファイル(docProfile)をドキュメントプロファイル管理テーブル260から取得する(L0032)。 The security server 200 acquires the document profile (docProfile) corresponding to the document ID (docid) received from the document management system 100 from the document profile management table 260 (L0032).
セキュリティサーバ200は、ドキュメントプロファイル(docProfile)を参照して文書カテゴリ(docCategory)と機密レベル(docLevel)とを取得する(L0033)。 The security server 200 refers to the document profile (docProfile) and acquires the document category (docCategory) and the confidential level (docLevel) (L0033).
セキュリティサーバ200は、ドキュメントプロファイル(docProfile)を参照して関係者リスト(relatedPersons)を取得する(L0034)。 The security server 200 refers to the document profile (docProfile) and acquires a related person list (relatedPersons) (L0034).
セキュリティサーバ200は、関係者リスト(relatedPersons)に認証結果情報(authInfo)のユーザID(userId)または所属グループ(groups)が含まれているか否かを判別する(L0035)。 The security server 200 determines whether or not the user ID (userId) or group (groups) of the authentication result information (authInfo) is included in the related party list (relatedPersons) (L0035).
含まれている場合、セキュリティサーバ200は、ユーザカテゴリ(userCategory)に 関係者(RELATED_PERSONS)を設定する(L0036)。一方、含まれていない場合、セキュリティサーバ200は、ユーザカテゴリ(userCategory)に非限定(ANY)を設定する(L0037)。 If included, the security server 200 sets a related party (RELATED_PERSONS) in the user category (userCategory) (L0036). On the other hand, if not included, the security server 200 sets unrestricted (ANY) to the user category (userCategory) (L0037).
セキュリティサーバ200は、ユーザ権限レベルテーブル(UserMapTable)を参照して、 ユーザID又はグループID(principalId)に対応するレベルを権限レベル(userLevel)に格納する(L0038)。 The security server 200 refers to the user authority level table (UserMapTable) and stores the level corresponding to the user ID or group ID (principalId) in the authority level (userLevel) (L0038).
セキュリティサーバ200は、ドキュメントプロファイル(docProfile)を参照してゾーンIDリスト(zones)を取得する(L0039)。 The security server 200 refers to the document profile (docProfile) and acquires a zone ID list (zones) (L0039).
セキュリティサーバ200は、ゾーン管理テーブル(ZoneInfoTable)を参照してゾーンIDリスト(zones)に対応するIPアドレス及びMACアドレスを取得して、許可アドレスリストを作成する(L0040)。 The security server 200 refers to the zone management table (ZoneInfoTable), acquires the IP address and MAC address corresponding to the zone ID list (zones), and creates a permitted address list (L0040).
セキュリティサーバ200は、コンテキスト情報に含まれているアドレスが、作成した許可アドレスリストに含まれるか否かを判別する(L0041)。 The security server 200 determines whether the address included in the context information is included in the created permitted address list (L0041).
含まれている場合、セキュリティサーバ200は、ゾーン(zone)に限定(RESTRICTED)を設定する(L0042)。一方、含まれていない場合、セキュリティサーバ200は、ゾーン(zone)に非限定(ANY)を設定する(L0043)。 If it is included, the security server 200 sets a restriction (RESTRICTED) for the zone (L0042). On the other hand, if not included, the security server 200 sets non-limited (ANY) to the zone (LNY) (L0043).
セキュリティサーバ200は、セキュリティポリシーファイルをメモリにロードしてアクセス制限ルール(rule)の配列を取得する(L0044)。 The security server 200 loads the security policy file into the memory and acquires an array of access restriction rules (rule) (L0044).
セキュリティサーバ200は、個々のアクセス制御ルール(rule)について、以下のL0046からL0071までの処理を繰り返す(L0045)。 The security server 200 repeats the following processing from L0046 to L0071 for each access control rule (rule) (L0045).
セキュリティサーバ200は、アクセス制御ルール(rule)の文書カテゴリ(docCategory)が非限定(ANY)又は文書カテゴリ(docCategory)と一致し、且つ、アクセス制御ルール(rule)の文書レベル(docLevel)が非限定(ANY)又は文書レベル(docLevel)と一致するか否かを判断する(L0046)。アクセス制御ルール(rule)の文書カテゴリ(docCategory)が非限定(ANY)又は文書カテゴリ(docCategory)と一致し、且つ、アクセス制御ルール(rule)の文書レベル(docLevel)が非限定(ANY)又は文書レベル(docLevel)と一致する場合、セキュリティサーバ200は、更にそのアクセス制御ルール(rule)の各アクセス制御リスト(Ace)について、以下のL0049からL0064までの処理を繰り返す(L0048)。 In the security server 200, the document category (docCategory) of the access control rule (rule) matches the non-limited (ANY) or the document category (docCategory), and the document level (docLevel) of the access control rule (rule) is not limited. It is determined whether or not (ANY) or the document level (docLevel) is matched (L0046). Document category (docCategory) of access control rule (rule) matches unrestricted (ANY) or document category (docCategory), and document level (docLevel) of access control rule (rule) is unrestricted (ANY) or document If it matches the level (docLevel), the security server 200 further repeats the following processing from L0049 to L0064 for each access control list (Ace) of the access control rule (rule) (L0048).
一方、一致しない場合(L0070及びL0071)、セキュリティサーバ200は、L0045に戻り、次のアクセス制御ルール(rule)について上記処理を繰り返す。 On the other hand, if they do not match (L0070 and L0071), the security server 200 returns to L0045 and repeats the above processing for the next access control rule (rule).
セキュリティサーバ200は、一致する場合に、アクセス制御リスト(Ace)のユーザカテゴリ(userCategory)が非限定(ANY)又はユーザカテゴリ(userCategory)と一致し、且つ、アクセス制御リスト(Ace)のユーザレベル(UserLevel)が非限定(ANY)又はユーザレベル(userLevel)と一致し、且つ、アクセス制御リスト(Ace)のゾーン(Zone)が非限定(ANY)又はゾーン(zone)と一致するか否かを判断する(L0049、L0050及びL0051)。アクセス制御リスト(Ace)のユーザカテゴリ(userCategory)が非限定(ANY)又はユーザカテゴリ(userCategory)と一致し、且つ、アクセス制御リスト(Ace)のユーザレベル(UserLevel)が非限定(ANY)又はユーザレベル(userLevel)と一致し、且つ、アクセス制御リスト(Ace)のゾーン(Zone)が非限定(ANY)又はソーン(zone)と一致する場合、セキュリティサーバ200は、アクセス制御リスト(Ace)の各オペレーション(Operation)について、以下のL0053からL0058を繰り返す(L0052)。 When the security server 200 matches, the user category (userCategory) of the access control list (Ace) matches the unrestricted (ANY) or user category (userCategory), and the user level (Ace) of the access control list (Ace) Determine whether (UserLevel) matches unrestricted (ANY) or user level (userLevel) and the access control list (Ace) zone (Zone) matches unrestricted (ANY) or zone (zone) (L0049, L0050 and L0051). The user category (userCategory) in the access control list (Ace) matches the unrestricted (ANY) or user category (userCategory), and the user level (UserLevel) in the access control list (Ace) is unrestricted (ANY) or user If it matches the level (userLevel) and the zone (Zone) of the access control list (Ace) matches the non-restricted (ANY) or the zone (zone), the security server 200 determines each of the access control list (Ace) For the operation (Operation), the following L0053 to L0058 are repeated (L0052).
一方、一致しない場合(L0064及びL0065)、セキュリティサーバ200は、L0048に戻り、アクセス制御ルール(rule)の次のアクセス制御リスト(Ace)について上記処理を繰り返す。 On the other hand, if they do not match (L0064 and L0065), the security server 200 returns to L0048 and repeats the above processing for the access control list (Ace) next to the access control rule (rule).
セキュリティサーバ200は、L0049、L0050及びL0051での判断において一致すると判断した場合に、そのオペレーションのID(Operation.Id)がオペレーション(operation)と一致するか否かを判断する(L0053)。一致する場合、判断結果情報(decisionInfo)の許可(allowed)に許可(true)を格納する(L0054)。また、セキュリティサーバ200は、そのオペレーション(operation)に指定されている要件(requirement)を全て判断結果情報に格納し(L0055)、L0072へと進む(L0056)。 When the security server 200 determines that the IDs match in the determinations in L0049, L0050, and L0051, the security server 200 determines whether the ID (Operation.Id) of the operation matches the operation (L0053). If they match, permission (true) is stored in permission (allowed) of the determination result information (decisionInfo) (L0054). Also, the security server 200 stores all the requirements (requirement) specified in the operation (operation) in the determination result information (L0055), and proceeds to L0072 (L0056).
一方、一致しない場合(L0058及びL0059)、セキュリティサーバ200は、L0052に戻り、アクセス制御リスト(Ace)の次の各オペレーション(Operation)について上記処理を繰り返す。 On the other hand, if they do not match (L0058 and L0059), the security server 200 returns to L0052 and repeats the above processing for each operation (Operation) in the access control list (Ace).
アクセス制御リスト(Ace)の各オペレーション(Operation)に対する処理が終了すると、セキュリティサーバ200は、該当するオペレーション(Operation)がなかったか否かを判断する(L0060)。なかった場合、セキュリティサーバ200は、判断結果情報(decisionInfo)の許可(allowed)に不許可(false)を格納し(L0061)、L0072へと進む(L0063)。 When the processing for each operation (Operation) in the access control list (Ace) is completed, the security server 200 determines whether or not there is a corresponding operation (L0060). If not, the security server 200 stores “not permitted” (false) in the permitted (allowed) of the determination result information (decisionInfo) (L0061), and proceeds to L0072 (L0063).
一方、あった場合、セキュリティサーバ200は、そのままL0072へと進む(L0063)。 On the other hand, if there is, the security server 200 proceeds to L0072 as it is (L0063).
L0048におけるアクセス制御ルール(rule)の各アクセス制御リスト(Ace)に対する処理が終了すると、
セキュリティサーバ200は、該当する各アクセス制御リスト(Ace)がなかったか否かを判断する(L0066)。なかった場合、セキュリティサーバ200は、判断結果情報(decisionInfo)の許可(allowed)に不許可(false)を格納し(L0067)、L0072へと進む(L0063)。
When the processing for each access control list (Ace) of the access control rule (rule) in L0048 ends,
The security server 200 determines whether there is no corresponding access control list (Ace) (L0066). If not, the security server 200 stores “not permitted” (false) in the permitted (allowed) of the determination result information (decisionInfo) (L0067), and proceeds to L0072 (L0063).
一方、あった場合、セキュリティサーバ200は、そのままL0072へと進む(L0069)。 On the other hand, if there is, the security server 200 proceeds to L0072 as it is (L0069).
L0045において、個々のアクセス制御ルール(rule)に対する処理が終了すると、セキュリティサーバ200は、該当するアクセス制御ルール(rule)があったか否かを判断する(L0072)。なかった場合、セキュリティサーバ200は、判断結果情報(decisionInfo)の許可(allowed)に不許可(false)を格納し(L0073)、L0075へと進む。一方、あった場合、セキュリティサーバ200は、そのままL0075へと進む。 In L0045, when the processing for each access control rule (rule) is completed, the security server 200 determines whether or not there is a corresponding access control rule (rule) (L0072). If not, the security server 200 stores “not permitted” (false) in the permitted (allowed) of the determination result information (decisionInfo) (L0073), and proceeds to L0075. On the other hand, if there is, the security server 200 proceeds to L0075 as it is.
セキュリティサーバ200は、判断結果情報(decisionInfo)の許可(allowed)が不許可(false)であるか否かを判断する(L0075)。判断結果情報(decisionInfo)の許可(allowed)が不許可(false)である場合、その判断結果情報(decisionInfo)を判断要求をした文書管理システム100に返し(L0076)、許可処理を終了する(L0082)。 The security server 200 determines whether permission (allowed) of the determination result information (decisionInfo) is not permitted (false) (L0075). When the permission (allowed) of the determination result information (decisionInfo) is not permitted (false), the determination result information (decisionInfo) is returned to the document management system 100 that made the determination request (L0076), and the permission process is terminated (L0082). ).
一方、判断結果情報(decisionInfo)の許可(allowed)が不許可(false)でない場合(L0078)、その判断結果(decisionInfo)に含まれる要件(requirement)の補正処理を行い(L0079)、その判断結果情報(decisionInfo)を判断要求をした文書管理システム100に返し(L0080)、許可処理を終了する(L0082)。 On the other hand, if the decision result information (decisionInfo) is not permitted (false) (L0078), the requirement (requirement) included in the decision result (decisionInfo) is corrected (L0079). The information (decisionInfo) is returned to the document management system 100 that made the determination request (L0080), and the permission process is terminated (L0082).
文書管理システム100からセキュリティサーバ200へ送信されるコンテキスト情報のデータ構造について図16で説明する。図16は、コンテキスト情報のデータ構造を示す図である。 The data structure of the context information transmitted from the document management system 100 to the security server 200 will be described with reference to FIG. FIG. 16 is a diagram illustrating a data structure of context information.
図16において、コンテキスト情報は、ユーザ52が使用している端末51のアドレスを示す情報であって、コンテキスト情報のデータ構造511は、例えば、構造体ContextInfoで定義され、「String ipAddress;」を示すコード513−1により文字列で示されるIPアドレスと、「String macAddress;」を示すコード513−2により文字列で示されるMACアドレスとで構成される。 In FIG. 16, context information is information indicating the address of the terminal 51 used by the user 52, and the data structure 511 of the context information is defined by, for example, a structure ContextInfo and indicates “String ipAddress;”. It is composed of an IP address indicated by a character string by code 513-1 and a MAC address indicated by a character string by code 513-2 indicating "String macAddress;".
セキュリティサーバ200から文書管理システム100へ送信される判断結果情報(decisionInfo)について図17で説明する。図17は、判断結果情報のデータ構造を示す図である。 Determination result information (decisionInfo) transmitted from the security server 200 to the document management system 100 will be described with reference to FIG. FIG. 17 is a diagram illustrating a data structure of the determination result information.
図17において、判断結果情報は、アクセス制御の判断結果を示す情報であって、判断結果情報のデータ構造521は、例えば、構造体DecisionInfoで定義され、「Boolean allowed;」を示すコード523−1により真偽で示される許可情報と、「Requirement[] requirements;」を示すコード523−2により要件の配列によって構成される複数の要件とで構成される。 In FIG. 17, the determination result information is information indicating the determination result of access control, and the data structure 521 of the determination result information is defined by, for example, the structure DecisionInfo, and a code 523-1 indicating “Boolean allowed;” And the plurality of requirements configured by an array of requirements by a code 523-2 indicating "Requirement [] requirements;".
更に、個々の要件は、構造体Requirementで定義され、「String requirement;」を示すコード525−1により文字列で示される要件を識別する要件IDと、「Property[] supplements;」を示すコード525−2により補足情報の配列によって構成される複数の補足情報と、「byte[] data;」を示すコード525−3によりバイトの配列によって構成される補足データと、「Requirement[] alternatives;」を示すコード525−4により要件の配列によって構成される複数の代替要件とで構成される。 Furthermore, each requirement is defined by the structure “Requirement”, a requirement ID for identifying a requirement indicated by a string by a code 525-1 indicating “String requirement;”, and a code 525 indicating “Property [] supplements;” -2, a plurality of supplementary information constituted by an array of supplementary information, supplementary data constituted by an array of bytes by a code 525-3 indicating "byte [] data;", and "Requirement [] alternatives;" The code 525-4 shown includes a plurality of alternative requirements configured by an array of requirements.
補足情報は、構造体Propertyで定義され、「String name;」を示すコード527−1により文字列で示される名前と、「String value;」を示すコード527−2により文字列で示される値とを構成される。 The supplementary information is defined in the structure Property, and is a name indicated by a character string by a code 527-1 indicating "String name;" and a value indicated by a character string by a code 527-2 indicating "String value;" Configured.
次に文書管理システム100での要件の補正処理について図18で説明する。図18は、文書管理システムでの用件の補正処理を説明するためのフローチャート図である。 Next, the requirement correction processing in the document management system 100 will be described with reference to FIG. FIG. 18 is a flowchart for explaining the process for correcting a requirement in the document management system.
図18において、文書管理システム100は、判断結果情報(decisionInfo)の要件(requirement)に含まれる各補足情報(supplement)について、L1102からL1110まで繰り返す(L1101)。 In FIG. 18, the document management system 100 repeats from L1102 to L1110 for each supplemental information (supplement) included in the requirement (requirement) of the determination result information (decisionInfo) (L1101).
文書管理システム100は、補足情報のプロパティ(Property)の名前(name)に固定画像(static_image)が指定されているか否かを判断する(L1102)。固定画像(static_image)が指定されている場合、文書管理システム100は、補足情報のプロパティ(Property)の値(value)に指定されているスタンプ画像ファイルのデータをローカルハードディスクから読み出して要件(requirement)の補足データ(data)に格納し(L1103)、L1105へ進む。 The document management system 100 determines whether or not a fixed image (static_image) is designated as the name of the property (Property) of the supplementary information (L1102). When a fixed image (static_image) is specified, the document management system 100 reads out the data of the stamp image file specified in the value (value) of the supplemental information (Property) from the local hard disk, and requires (requirement) (L1103), and the process proceeds to L1105.
一方、固定画像(static_image)が指定されていない場合、文書管理システム100は、そのままL1105へ進む。 On the other hand, when the fixed image (static_image) is not designated, the document management system 100 proceeds to L1105 as it is.
ここで、固定画像とは、例えば、スタンプ画像等である。 Here, the fixed image is, for example, a stamp image or the like.
文書管理システム100は、補足情報のプロパティ(Property)の名前(name)に動的画像(dynamic_image)が指定され、 且つ 、オペレーション(operation)が”プリント”であるか否かを判断する(L1105)。補足情報のプロパティ(Property)の名前(name)に動的画像(dynamic_image)が指定され、 且つ 、オペレーション(operation)が”プリント”である場合、新しいプリントプロファイル(printProfile)を作成する(L1106)。また、文書管理システム100は、プリントプロファイル(printProfile)のプリントID(printId)を識別画像データにエンコードして(L1107)、識別画像データを要件(requirement)の補足データ(data)に格納する(L1108)。そして、文書管理システム100は、要件の補正処理を終了する。 The document management system 100 determines whether or not a dynamic image (dynamic_image) is specified as the name (name) of the property (Property) of the supplementary information and the operation is “print” (L1105). . When the dynamic image (dynamic_image) is specified as the name (name) of the property (Property) of the supplementary information and the operation (operation) is “print”, a new print profile (printProfile) is created (L1106). Further, the document management system 100 encodes the print ID (printId) of the print profile (printProfile) into identification image data (L1107), and stores the identification image data in the supplementary data (data) of the requirement (requirement) (L1108). ). Then, the document management system 100 ends the requirement correction process.
一方、補足情報のプロパティ(Property)の名前(name)に動的画像(dynamic_image)が指定されていない、又は 、オペレーション(operation)が”プリント”でない場合、文書管理システム100は、そのまま要件の補正処理を終了する。 On the other hand, when the dynamic image (dynamic_image) is not specified in the name (name) of the supplementary information property (Property) or the operation (operation) is not “print”, the document management system 100 corrects the requirement as it is. End the process.
ここで、動的画像とは、バーコード画像又は識別パターン画像等である。 Here, the dynamic image is a barcode image or an identification pattern image.
次に、文書管理システム100での要件処理について図19及び図20で説明する。図19及び図20は、文書管理システムでの要件処理を説明するためのフローチャート図である。 Next, requirement processing in the document management system 100 will be described with reference to FIGS. 19 and 20 are flowcharts for explaining the requirement processing in the document management system.
図19において、文書管理システム100は、判断結果情報(decisionInfo)の許可(allowed)が不許可(false)を示しているか否かを判断する(L1121)。不許可を示している場合、文書管理システム100は、アクセスを拒否して要件処理を終了する(L1122)。 In FIG. 19, the document management system 100 determines whether or not the permission (allowed) of the determination result information (decisionInfo) indicates disapproval (false) (L1121). When the permission is indicated, the document management system 100 rejects the access and ends the requirement processing (L1122).
一方、不許可を示していない場合、判断結果情報(decisionInfo)の各要件(requirement)について、L1125からL1160までを繰り返す(L1124)。 On the other hand, if no disapproval is indicated, L1125 to L1160 are repeated for each requirement (requirement) of the determination result information (decisionInfo) (L1124).
文書管理システム100は、文書管理システム100がサポートしていない要件(requirement)が指定されているか否かを判断する(L1125)。文書管理システム100がサポートしていない要件(requirement)が指定されていない場合、文書管理システム100は、L1131へ進む。 The document management system 100 determines whether or not a requirement (requirement) that is not supported by the document management system 100 is specified (L1125). If a requirement that is not supported by the document management system 100 is not specified, the document management system 100 proceeds to L1131.
一方、文書管理システム100がサポートしていない要件(requirement)が指定されている場合、文書管理システム100は、更に、要件(requirement)の代替要件(alternative)にサポートしていないものが指定されているか否かを判断する(L1126)。要件(requirement)の代替要件(alternative)にサポートしていないものが指定されている場合、文書管理システム100は、アクセスを拒否して要件処理を終了する(L1127)。 On the other hand, when a requirement (requirement) that is not supported by the document management system 100 is designated, the document management system 100 further designates a requirement that is not supported by an alternative requirement (alternative) of the requirement (requirement). It is determined whether or not (L1126). If an unsupported requirement is specified as an alternative requirement (alternative) of the requirement (requirement), the document management system 100 denies access and ends the requirement processing (L1127).
一方、要件(requirement)の代替要件(alternative)にサポートしていないものが指定されていない場合、文書管理システム100は、要件(requirement)の代替要件(alternative)を処理する。 On the other hand, if an unsupported requirement is not specified as an alternative requirement (alternative) of the requirement (requirement), the document management system 100 processes the alternative requirement (alternative) of the requirement (requirement).
続けて、文書管理システム100は、要件(requirement)にログの記録(record_audit_data)が指定されているか否かを判断する(L1131)。ログの記録(record_audit_data)が指定されている場合、文書管理システム100は、ユーザID(userid)と、文書ID(docid)と、オペレーション(operation)と、日時と、コンテキスト情報(contextInfo)とを含むログデータを生成する(L1132)。 Subsequently, the document management system 100 determines whether or not a log record (record_audit_data) is specified in the requirement (requirement) (L1131). When log recording (record_audit_data) is designated, the document management system 100 includes a user ID (userid), a document ID (docid), an operation (operation), a date and time, and context information (contextInfo). Log data is generated (L1132).
そして、文書管理システム100は、ログデータをセキュリティサーバに送信する(L1133)。文書管理システム100は、ログデータの送信に失敗したか否かを判断する(L1134)。ログデータの送信に失敗した場合、文書管理システム100は、アクセスを拒否して要件処理を終了する(L1135)。一方、ログデータの送信に成功した場合、文書管理システム100は、そのままL1138へ進む。 The document management system 100 transmits the log data to the security server (L1133). The document management system 100 determines whether or not the log data transmission has failed (L1134). If transmission of log data fails, the document management system 100 denies access and ends the requirement processing (L1135). On the other hand, when the log data has been successfully transmitted, the document management system 100 proceeds to L1138 as it is.
更に、文書管理システム100は、要件(requirement)に暗号化(encryption)が指定されているか否かを判断する(L1138)。暗号化(encryption)が指定されている場合、文書管理システム100は、保存しているドキュメントを暗号化する(L1139)。一方、暗号化(encryption)が指定されていない場合、文書管理システム100は、そのままL1141へ進む。 Furthermore, the document management system 100 determines whether or not encryption is specified in the requirement (requirement) (L1138). If encryption is specified, the document management system 100 encrypts the stored document (L1139). On the other hand, when encryption is not designated, the document management system 100 proceeds to L1141 as it is.
続けて、文書管理システム100は、要件(requirement)に電子文書の原本性の確保(integrity_protection)が指定されているか否かを判断する(L1141)。電子文書の原本性の確保(integrity_protection)が指定されている場合、文書管理システム100は、ドキュメントを原本性確保支援システムに転送して保存する。原本性確保支援システムは、例えば、特開2000−285024号で開示されているようなシステムであれば良い。また、文書管理システム100内にこのような原本性確保支援システムを構成しても良い。 Next, the document management system 100 determines whether or not the requirement (requirement) specifies the originality of the electronic document (integrity_protection) (L1141). When ensuring of the originality (integrity_protection) of the electronic document is designated, the document management system 100 transfers the document to the originality ensuring support system and stores it. The originality ensuring support system may be a system as disclosed in, for example, Japanese Patent Laid-Open No. 2000-285024. Further, such an originality ensuring support system may be configured in the document management system 100.
一方、要件(requirement)に電子文書の原本性の確保(integrity_protection)が指定されていない場合、文書管理システム100は、そのままL1144へ進む。 On the other hand, when the originality of the electronic document (integrity_protection) is not specified in the requirement (requirement), the document management system 100 proceeds to L1144 as it is.
更に、文書管理システム100は、要件(requirement)に電子文書へのアクセスに多段階認証を認めること(multi_authentication)が指定されているか否かを判断する(L1144)。指定されていない場合、文書管理システム100は、そのままL1150へ進む。 Further, the document management system 100 determines whether or not multi-authentication is permitted for access to the electronic document (requirement) (L1144). If not specified, the document management system 100 proceeds to L1150 as it is.
一方、指定されている場合、文書管理システム100は、端末52を使用しているユーザ52に厳密なユーザ認証(指紋認証など)を要求する(L1145)。厳密なユーザ認証後、文書管理システム100は、厳密な認証に失敗したか否かを判断する(L1146)。失敗した場合、文書管理システム100は、アクセスを拒否して要件処理を終了する(L1147)。一方、失敗でない場合、文書管理システム100は、そのまあL1150へ進む。 On the other hand, if specified, the document management system 100 requests strict user authentication (such as fingerprint authentication) from the user 52 using the terminal 52 (L1145). After strict user authentication, the document management system 100 determines whether strict authentication has failed (L1146). If it fails, the document management system 100 denies access and ends the requirement processing (L1147). On the other hand, if it is not a failure, the document management system 100 proceeds to L1150.
続けて、文書管理システム100は、要件(requirement)に電子文書のバーション管理(versioning)が指定されているか否かを判断する(L1150)。指定されている場合、文書管理システム100は、改訂されたドキュメントを新しい版として保存して(L1151)、L1153へ進む。一方、指定されていない場合、文書管理システム100は、そのままL1153へ進む。 Subsequently, the document management system 100 determines whether or not version management of the electronic document is specified in the requirement (requirement) (L1150). If specified, the document management system 100 saves the revised document as a new version (L1151), and proceeds to L1153. On the other hand, if not specified, the document management system 100 proceeds to L1153 as it is.
更に、文書管理システム100は、要件(requirement)に電子文書の完全削除(complete_deletion)が指定されているか否かを判断する(L1153)。指定されている場合、文書管理システム100は、削除したドキュメントに対して完全削除処理を実行して(L1154)、L1156へ進む。一方、指定されていない場合、文書管理システム100は、そのままL1156へ進む。 Further, the document management system 100 determines whether or not complete deletion (complete_deletion) of the electronic document is designated in the requirement (requirement) (L1153). If specified, the document management system 100 executes a complete deletion process for the deleted document (L1154), and proceeds to L1156. On the other hand, if not specified, the document management system 100 proceeds to L1156 as it is.
続けて、文書管理システム100は、要件(requirement)に警告の表示(show_alarm)が指定されているか否かを判断する(L1156)。指定されている場合、文書管理システム100は、要件(requirement)の補足情報(supplement)に指定されている文字列フォーマットで警告文字列を作成し(L1157)、警告文字列をダイアログボックスでユーザ52に表示する(L1168)。そして、次の要件(requirement)に付いて上記同様の処理を繰り返すため、L1124へ戻る。一方、指定されていない場合、文書管理システム100は、そのままL1124へ戻る。 Subsequently, the document management system 100 determines whether a warning display (show_alarm) is specified in the requirement (requirement) (L1156). If specified, the document management system 100 creates a warning character string in the character string format specified in the supplement information (supplement) of the requirement (requirement) (L1157), and the warning character string is displayed in the dialog box by the user 52. (L1168). Then, in order to repeat the same process as described above for the next requirement (requirement), the process returns to L1124. On the other hand, if not designated, the document management system 100 returns to L1124 as it is.
全ての要件(requirement)について上記処理が行われた後、文書管理システム100は、端末51から要求されたアクセス処理を行い(L1161)、要件処理を終了する(L1162)。 After the above processing is performed for all requirements (requirement), the document management system 100 performs the access processing requested from the terminal 51 (L1161), and ends the requirement processing (L1162).
図19及び図20での説明において、判断結果情報(decisionInfo)の要件(requirement)について並列に処理しているが、対応しなければならない要件(requirement)はオペレーション(operation)毎に決まっているので上記のようにすべての要件(requirement)のパターンに対する処理を行わなくても良い。例えば、電子文書の完全削除(complete_deletion)が要件(requirement)として指定されるのはサーバドキュメント61に対してなされるときだけである。説明を簡単にするために上記のような処理例とした。文書管理システム100は、代替要件の処理についても上記と同様の処理を実行する。 In the description of FIG. 19 and FIG. 20, the requirement (requirement) of the determination result information (decisionInfo) is processed in parallel, but the requirement (requirement) that must be dealt with is determined for each operation (operation). As described above, it is not necessary to perform processing for all requirement patterns. For example, the complete deletion (complete_deletion) of the electronic document is designated as a requirement only when it is made for the server document 61. In order to simplify the explanation, the above processing example is used. The document management system 100 executes the same process as described above for the alternative requirement process.
このように、文書管理システム100はセキュリティサーバ200に設定されたセキュリティポリシーに従ってアクセス制御を行うことができる。その際に、セキュリティポリシーで規定された許可要件を適用することができる。また、許可要件を満たすために必要となる補足情報の処理及び代替要件の処理を盛り込むことで柔軟な処理が可能となる。
[デジタル複合機でのアクセス制御]
デジタル複合機70でのアクセス制御について、図21を参照しつつ図22で説明する。
As described above, the document management system 100 can perform access control according to the security policy set in the security server 200. At that time, the permission requirements defined in the security policy can be applied. In addition, flexible processing is possible by including processing of supplementary information and processing of alternative requirements necessary to satisfy the permission requirements.
[Access control with digital MFP]
Access control in the digital multi-function peripheral 70 will be described with reference to FIG.
図21は、デジタル複合機でのアクセス制御シーケンスを示す図である。図22は、デジタル複合機でのアクセス制御処理を説明するためのフローチャート図である。図21及び図22中、図21に示すアクセス制御シーケンスにおける各処理と、図22の各処理の説明とが同一符号によって対応付けられる。 FIG. 21 is a diagram showing an access control sequence in the digital multi-function peripheral. FIG. 22 is a flowchart for explaining access control processing in the digital multi-function peripheral. In FIG. 21 and FIG. 22, each process in the access control sequence shown in FIG. 21 is associated with the description of each process in FIG.
図21及び図22において、デジタル複合機70は、ユーザ52のログインの要求と共に、ユーザIDとパスワードとを受け取る(S2001)。 21 and 22, the digital multi-function peripheral 70 receives the user ID and password together with the login request of the user 52 (S2001).
デジタル複合機70は、受け取ったユーザIDとパスワードとをユーザ管理サーバ300に送信して認証要求を行う(S2002)。ユーザ管理サーバ300は、受け取ったユーザIDとパスワードとで認証処理を行う(S2003)。ユーザ管理サーバ300は、認証の成功又は失敗を示す認証結果情報をデジタル複合機70に返す(S2004)。 The digital multi-function peripheral 70 transmits the received user ID and password to the user management server 300 to make an authentication request (S2002). The user management server 300 performs an authentication process with the received user ID and password (S2003). The user management server 300 returns authentication result information indicating the success or failure of the authentication to the digital multi-function peripheral 70 (S2004).
デジタル複合機70は、認証結果情報に応じた処理を行う(S2005)。認証結果情報が認証の成功を示す場合、デジタル複合機70は、ユーザ管理サーバ300から受け取った認証結果情報を端末51へ送信し、S2006へ進む。一方、認証結果情報が認証の失敗を示す場合、デジタル複合機70は、アクセス制御処理を終了する。 The digital multi-function peripheral 70 performs processing according to the authentication result information (S2005). If the authentication result information indicates a successful authentication, the digital multi-function peripheral 70 transmits the authentication result information received from the user management server 300 to the terminal 51, and the process proceeds to S2006. On the other hand, when the authentication result information indicates that the authentication has failed, the digital multi-function peripheral 70 ends the access control process.
ユーザ52がデジタル複合機70で紙原稿の複写を要求する(S2006)。 The user 52 requests a copy of a paper document with the digital multi-function peripheral 70 (S2006).
デジタル複合機70は、紙原稿の複写の要求を受信すると、紙原稿を識別するために、紙原稿をスキャンした画像データから識別用の領域を切り出す(S2007)。 Upon receiving a request for copying a paper document, the digital multi-function peripheral 70 cuts out an identification area from image data obtained by scanning the paper document in order to identify the paper document (S2007).
そのユーザ52の認証情報と、切り出し画像と、アクセス種別と、コンテキスト情報とをセキュリティサーバ200に送って、アクセス制御を問い合わせる(S2008)。アクセス種別には、例えば、複写要求に応じた複写アクセスが指定される。 The authentication information, cut-out image, access type, and context information of the user 52 are sent to the security server 200 to inquire access control (S2008). For example, copy access corresponding to a copy request is designated as the access type.
セキュリティサーバ200は受け取った情報に基づいて、アクセスを許可するか否かを判断する(S2009)。セキュリティサーバ200は、判断結果をデジタル複合機に返す(S2010)。 The security server 200 determines whether to permit access based on the received information (S2009). The security server 200 returns the determination result to the digital multifunction peripheral (S2010).
デジタル複合機70は、セキュリティサーバ200から受信した判断結果に応じた処理を行う(S2011)。判断結果が「許可」を示す場合、デジタル複合機70は、判断結果に含まれる要件を処理する。一方、判断結果が「禁止」を示す場合、デジタル複合機70は、アクセスを行わずアクセス制御処理を終了する。 The digital multi-function peripheral 70 performs processing according to the determination result received from the security server 200 (S2011). When the determination result indicates “permitted”, the digital multi-function peripheral 70 processes the requirements included in the determination result. On the other hand, when the determination result indicates “prohibited”, the digital multi-function peripheral 70 ends the access control process without performing access.
デジタル複合機70は、ユーザに要求されたにアクセス要求(複写要求)を処理して、複写した紙を出力し、アクセス制御処理を終了する(S2012)。 The digital multifunction peripheral 70 processes the access request (copy request) requested by the user, outputs the copied paper, and ends the access control process (S2012).
上記例では、アクセス要求が複写要求である場合について説明したが、スキャン要求、ファックス送信要求等についても同様の処理を行い、例えば、アクセス要求がスキャン要求である場合、スキャンした画像データを所定の記憶領域に格納し、アクセス要求がファックス送信要求である場合、ユーザ52によって指定された相手先へスキャンした画像データをファックス送信する。 In the above example, the case where the access request is a copy request has been described. However, the same processing is performed for a scan request, a fax transmission request, and the like. For example, when the access request is a scan request, If the access request is stored in the storage area and the access request is a fax transmission request, the scanned image data is faxed to the destination designated by the user 52.
S2002でのユーザ認証の問い合わせをセキュリティサーバ200を経由して行っても良い。ユーザを認証する方法は、ユーザIDとパスワードとによって認証する方法に限定されるものではない。より高度なバイオメトリック認証、又は、スマートカードを用いたチャレンジ・レスポンス認証等を適用しても良い。 The user authentication inquiry in S2002 may be performed via the security server 200. The method of authenticating the user is not limited to the method of authenticating with the user ID and password. More advanced biometric authentication or challenge / response authentication using a smart card may be applied.
S2003でのユーザ管理サーバ300による認証処理は、文書管理システム100におけるアクセス制御の場合と同様であるので、その説明を省略する。また、認証結果情報のデータ構造についても、文書管理システム100におけるアクセス制御の場合と同様であるので、その説明を省略する。 The authentication process by the user management server 300 in S2003 is the same as that in the case of access control in the document management system 100, and a description thereof will be omitted. Also, the data structure of the authentication result information is the same as that in the case of access control in the document management system 100, and thus the description thereof is omitted.
S2009でのセキュリティサーバ200によって行われる許可処理について図23、図24及び図25で説明する。図23、図24及び図25は、デジタル複合機からの問い合わせに応じたセキュリティサーバでの許可処理を説明する図である。 The permission process performed by the security server 200 in S2009 will be described with reference to FIGS. 23, 24, and 25 are diagrams for explaining permission processing in the security server in response to an inquiry from the digital multi-function peripheral.
図23、図24及び図25では、ユーザ52がデジタル複合機70でペーパードキュメント62を複写する複写要求を行った場合の処理を例示している。デジタル複合機70での他のオペレーションとして、例えば、ファックス送信、スキャン等があり、夫々、ファックス送信要求、スキャン要求等としてデジタル複合機70からセキュリティサーバ100へ送信される。 23, 24, and 25 exemplify processing when the user 52 makes a copy request for copying the paper document 62 using the digital multifunction peripheral 70. Other operations in the digital multi-function peripheral 70 include, for example, fax transmission, scanning, and the like, which are transmitted from the digital multi-function peripheral 70 to the security server 100 as fax transmission requests, scan requests, and the like, respectively.
ファックス送信のオペレーションは、デジタル複合機70でスキャンしたペーパードキュメント62をユーザ52が指定した宛先へファックス送信するアクセスである。また、スキャンのオペレーションは、ペーパードキュメント62をスキャンし、所定の記憶領域に画像データを格納するオペレーションである。 The fax transmission operation is an access for faxing the paper document 62 scanned by the digital multi-function peripheral 70 to a destination designated by the user 52. The scan operation is an operation of scanning the paper document 62 and storing image data in a predetermined storage area.
また、夫々の要求に対するセキュリティサーバ100での許可処理は同様である。 Further, the permission processing in the security server 100 for each request is the same.
図23において、セキュリティサーバ200は、認証結果情報と、文書IDと、アクセス種別と、コンテキスト情報とを判断要求をした文書管理システム100から受け取る(L2031)。例えば、アクセス種別には、「ペーパードキュメントに対する複写」が指定される。アクセス種別によって、ドキュメント60の種別(つまり、ペーパードキュメント62)と、オペレーションの種別(つまり、複写)とが特定される。 In FIG. 23, the security server 200 receives the authentication result information, the document ID, the access type, and the context information from the document management system 100 that made the determination request (L2031). For example, “copy for paper document” is designated as the access type. The access type identifies the type of document 60 (ie, paper document 62) and the type of operation (ie, copy).
セキュリティサーバ200は、受け取った切り出し画像をデコードしてプリントID(printId)を得る(L2032)。切り出し画像のデコードをセキュリティサーバ200側で行うのではなく、デジタル複合機70で行ってプリントID(printId)を取得し、そのプリントID(printId)を切り出し画像の替わりセキュリティサーバ200に送るようにしても良い。 The security server 200 decodes the received cutout image to obtain a print ID (printId) (L2032). Instead of decoding the clipped image on the security server 200 side, the digital MFP 70 acquires the print ID (printId) and sends the print ID (printId) to the security server 200 instead of the clipped image. Also good.
セキュリティサーバ200は、デコードできないか否かを判断する(L2033)。デコードできない場合、セキュリティサーバ200は、文書カテゴリ(docCategory)に不明(UNKNOWN)を設定し(L2034)、文書レベル(docLevel)に不明(UNKNOWN)を設定し(L2035)、ユーザカテゴリ(userCategory)に非限定(ANY)を設定し(L2036)、ゾーン(zone)に非限定(ANY)を設定する(L2037)。 The security server 200 determines whether it cannot be decoded (L2033). If decoding is not possible, the security server 200 sets unknown (UNKNOWN) for the document category (docCategory) (L2034), sets unknown (UNKNOWN) for the document level (docLevel) (L2035), and sets the user category (userCategory) to non-descriptive. Restriction (ANY) is set (L2036), and non-limitation (ANY) is set to the zone (L2037).
一方、デコードできた場合、セキュリティサーバ200は、プリントプロファイル管理テーブルを参照してプリントID(printId)に該当するプリントプロファイル(printProfile)を取得する(L2040)。 On the other hand, if the decoding is successful, the security server 200 refers to the print profile management table and acquires the print profile (printProfile) corresponding to the print ID (printId) (L2040).
そして、セキュリティサーバ200は、該当するプリントプロファイルが存在しないか否かを判断する(L2041)。存在しない場合、セキュリティサーバ200は、文書カテゴリ(docCategory)に不明(UNKNOWN)を設定し(L2042)、文書レベル(docLevel)に不明(UNKNOWN)を設定し(L2043)、ユーザカテゴリ(userCategory)に非限定(ANY)を設定し(L2044)、ゾーン(zone)に非限定(ANY)を設定する(L2045)。 Then, the security server 200 determines whether or not the corresponding print profile exists (L2041). If not, the security server 200 sets unknown (UNKNOWN) for the document category (docCategory) (L2042), sets unknown (UNKNOWN) for the document level (docLevel) (L2043), and sets the user category (userCategory) to non-existing. Limited (ANY) is set (L2044), and non-limited (ANY) is set to the zone (L2045).
一方、該当するプリントプロファイルが存在する場合(L2047)、セキュリティサーバ200は、プリントプロファイル(printProfile)から文書ID(docid)を取得し(L2048)、ドキュメントプロファイル管理テーブルを参照して文書ID(docid)に該当するドキュメントプロファイル(docProfile)を取得し(L2049)、ドキュメントプロファイル(docProfile)を参照して文書カテゴリ(docCategory)と機密レベル(docLevel)とを取得し(L2050)、ドキュメントプロファイル(docProfile)を参照して関係者リスト(relatedPersons)を取得する(L2051)。 On the other hand, when the corresponding print profile exists (L2047), the security server 200 acquires the document ID (docid) from the print profile (printProfile) (L2048), and refers to the document profile management table for the document ID (docid). The document profile (docProfile) corresponding to is acquired (L2049), the document category (docCategory) and the confidential level (docLevel) are acquired by referring to the document profile (docProfile) (L2050), and the document profile (docProfile) is referred to Then, a related person list (relatedPersons) is acquired (L2051).
セキュリティサーバ200は、更に、関係者(relatedPersons)に認証情報のユーザID(userId)又は所属グループ(groups)が含まれているか否かを判別する(L2052)。含まれている場合、セキュリティサーバ200は、ユーザカテゴリ(userCategory)に関係者(RELATED_PERSONS)に設定し(L2053)、L2055へ進む。一方、含まれていない場合、セキュリティサーバ200は、ユーザカテゴリ(userCategory)に非限定(ANY)を設定し(L2054)、L2055へ進む。 The security server 200 further determines whether or not the related person (relatedPersons) includes the user ID (userId) or the group to which the user belongs (L2052). If included, the security server 200 sets the related person (RELATED_PERSONS) in the user category (userCategory) (L2053), and proceeds to L2055. On the other hand, if not included, the security server 200 sets unrestricted (ANY) to the user category (userCategory) (L2054), and proceeds to L2055.
セキュリティサーバ200は、ドキュメントプロファイル(docProfile)を参照してゾーンIDリスト(zones)を取得する(L2055)。セキュリティサーバ200は、ゾーン管理テーブル(ZoneInfoTable)を参照してゾーンIDリストに該当するIPアドレス、MACアドレスを取得する(許可アドレスリスト)(L2056)。 The security server 200 refers to the document profile (docProfile) and acquires a zone ID list (zones) (L2055). The security server 200 refers to the zone management table (ZoneInfoTable) and acquires the IP address and MAC address corresponding to the zone ID list (permitted address list) (L2056).
セキュリティサーバ200は、コンテキスト情報に含まれているアドレスが、上記許可アドレスリストに含まれるか否かを判別する(L2057)。含まれる場合、セキュリティサーバ200は、ゾーン(zone)に限定(RESTRICTED)を設定し(L2058)、L2062へ進む。一方、含まない場合、セキュリティサーバ200は、ゾーン(zone)に非限定(ANY)を設定する(L2059)し、L2062へ進む。 The security server 200 determines whether or not the address included in the context information is included in the permitted address list (L2057). If included, the security server 200 sets a limitation (RESTRICTED) to the zone (L2058), and proceeds to L2062. On the other hand, if not included, the security server 200 sets non-limited (ANY) to the zone (LNY) (L2059), and proceeds to L2062.
セキュリティサーバ200は、ユーザ権限レベルテーブル(UserMapTable)を参照して、ユーザID(userId)又は所属グループ(groups)が該当するレベルをユーザレベル(userLevel)に格納する(L2062)。 The security server 200 refers to the user authority level table (UserMapTable), and stores the level corresponding to the user ID (userId) or group (groups) in the user level (userLevel) (L2062).
セキュリティサーバ200は、セキュリティポリシーファイルをメモリにロードしてアクセス制御ルール(rule)の配列を取得する(L2063)。 The security server 200 loads the security policy file into the memory and acquires an array of access control rules (rule) (L2063).
セキュリティサーバ200は、個々のアクセス制御ルール(rule)について以下のL2065からL2068までの処理を繰り返す(L0064)。 The security server 200 repeats the following processing from L2065 to L2068 for each access control rule (rule) (L0064).
セキュリティサーバ200は、アクセス制御ルール(rule)の文書カテゴリ(docCategory)が非限定(ANY)又は文書カテゴリ(docCategory)と一致し、且つ、アクセス制御ルール(rule)の文書レベル(docLevel)が非限定(ANY)又は文書レベル(docLevel)と一致するか否かを判断する(L0065及びL2066)。一致する場合、セキュリティサーバ200は、更に、そのアクセス制御ルール(rule)の各アクセス制御リスト(Ace)について、以下のL2068からL2083までの処理を繰り返す(L2067)。 In the security server 200, the document category (docCategory) of the access control rule (rule) matches the non-limited (ANY) or the document category (docCategory), and the document level (docLevel) of the access control rule (rule) is not limited. It is determined whether or not it matches (ANY) or the document level (docLevel) (L0065 and L2066). If they match, the security server 200 further repeats the following processing from L 2068 to L 2083 for each access control list (Ace) of the access control rule (rule) (L 2067).
一方、一致しない場合(L2088及びL2089)、セキュリティサーバ200は、L2064に戻り、次のアクセス制御ルール(rule)について上記処理を繰り返す。 On the other hand, if they do not match (L2088 and L2089), the security server 200 returns to L2064 and repeats the above processing for the next access control rule (rule).
セキュリティサーバ200は、L0065及びL2066において一致する場合に、アクセス制御リスト(Ace)のユーザカテゴリ(userCategory)が非限定(ANY)又はユーザカテゴリ(userCategory)と一致し、且つ、アクセス制御リスト(Ace)のユーザレベル(UserLevel)が非限定(ANY)又はユーザレベル(userLevel)と一致し、且つ、アクセス制御リスト(Ace)のソーン(Zone)が非限定(ANY)又はゾーン(zone)と一致するか否かを判断する(L2068、L2069及びL2070)。アクセス制御リスト(Ace)のユーザカテゴリ(userCategory)が非限定(ANY)又はユーザカテゴリ(userCategory)と一致し、且つ、アクセス制御リスト(Ace)のユーザレベル(UserLevel)が非限定(ANY)又はユーザレベル(userLevel)と一致し、且つ、アクセス制御リスト(Ace)のソーン(Zone)が非限定(ANY)又はソーン(zone)と一致する場合、セキュリティサーバ200は、アクセス制御リスト(Ace)の各オペレーション(Operation)について、以下のL2072からL2077を繰り返す(L2071)。 When the security server 200 matches in L0065 and L2066, the user category (userCategory) of the access control list (Ace) matches the unrestricted (ANY) or user category (userCategory), and the access control list (Ace) Does the user level (UserLevel) match the unrestricted (ANY) or user level (userLevel), and the access control list (Ace) zone (Zone) matches the unrestricted (ANY) or zone (zone)? It is determined whether or not (L2068, L2069 and L2070). The user category (userCategory) in the access control list (Ace) matches the unrestricted (ANY) or user category (userCategory), and the user level (UserLevel) in the access control list (Ace) is unrestricted (ANY) or user If it matches the level (userLevel), and the zone of the access control list (Ace) matches non-limited (ANY) or zone (zone), the security server 200 determines each of the access control lists (Ace). For the operation (Operation), the following L2072 to L2077 are repeated (L2071).
一方、一致しない場合(L0082及びL0083)、セキュリティサーバ200は、L2067に戻り、アクセス制御ルール(rule)の次のアクセス制御リスト(Ace)について上記処理を繰り返す。 On the other hand, if they do not match (L0082 and L0083), the security server 200 returns to L2067 and repeats the above processing for the access control list (Ace) next to the access control rule (rule).
セキュリティサーバ200は、L2068、L2069及びL2070での判断において一致すると判断した場合に、そのオペレーションのID(Operation.Id)がオペレーション(operation)と一致するか否かを判断する(L2072)。一致する場合、判断結果情報(decisionInfo)の許可(allowed)に許可(true)を格納する(L2073)。また、セキュリティサーバ200は、そのオペレーション(operation)に指定されている要件(requirement)を全て判断結果情報に格納し(L2074)、L2098へと進む(L2081)。 If the security server 200 determines that they match in the determinations in L2068, L2069, and L2070, it determines whether the ID (Operation.Id) of the operation matches the operation (L2072). If they match, permission (true) is stored in permission (allowed) of the determination result information (decisionInfo) (L2073). Further, the security server 200 stores all the requirements (requirement) specified in the operation in the determination result information (L2074), and proceeds to L2098 (L2081).
一方、一致しない場合(L2076及びL2077)、セキュリティサーバ200は、L2071に戻り、アクセス制御リスト(Ace)の次の各オペレーション(Operation)について上記処理を繰り返す。 On the other hand, if they do not match (L2076 and L2077), the security server 200 returns to L2071 and repeats the above processing for each operation (Operation) in the access control list (Ace).
L2071において、アクセス制御リスト(Ace)の各オペレーション(Operation)に対する処理が終了すると、セキュリティサーバ200は、該当するオペレーション(Operation)がなかったか否かを判断する(L2078)。なかった場合、セキュリティサーバ200は、判断結果情報(decisionInfo)の許可(allowed)に不許可(false)を格納し(L2079)、L2090へと進む(L2081)。 In L2071, when the processing for each operation (Operation) in the access control list (Ace) is completed, the security server 200 determines whether or not there is a corresponding operation (L2078). If not, the security server 200 stores “not permitted” (false) in the permitted (allowed) of the determination result information (decisionInfo) (L2079), and proceeds to L2090 (L2081).
一方、あった場合、セキュリティサーバ200は、そのままL2090へと進む(L2081)。 On the other hand, if there is, the security server 200 proceeds to L2090 as it is (L2081).
L2067において、個々のアクセス制御ルール(rule)に対する処理が終了すると、セキュリティサーバ200は、該当するアクセス制御ルール(rule)があったか否かを判断する(L2090)。なかった場合、セキュリティサーバ200は、判断結果情報(decisionInfo)の許可(allowed)に不許可(false)を格納し(L2091)、L2093へと進む。一方、あった場合、セキュリティサーバ200は、そのままL2093へと進む。 In L2067, when the processing for each access control rule (rule) ends, the security server 200 determines whether or not there is a corresponding access control rule (rule) (L2090). If not, the security server 200 stores “not permitted” (false) in the permitted (allowed) of the determination result information (decisionInfo) (L2091), and proceeds to L2093. On the other hand, if there is, the security server 200 proceeds to L2093 as it is.
セキュリティサーバ200は、判断結果情報(decisionInfo)の許可(allowed)が不許可(false)であるか否かを判断する(L2093)。判断結果情報(decisionInfo)の許可(allowed)が不許可(false)である場合、その判断結果情報(decisionInfo)を判断要求をしたデジタル複合機70に返し(L2094)、許可処理を終了する(L2100)。 The security server 200 determines whether permission (allowed) of the determination result information (decisionInfo) is not permitted (false) (L2093). When the permission (allowed) of the determination result information (decisionInfo) is not permitted (false), the determination result information (decisionInfo) is returned to the digital multifunction peripheral 70 that has requested the determination (L2094), and the permission process is terminated (L2100). ).
一方、判断結果情報(decisionInfo)の許可(allowed)が不許可(false)でない場合(L2096)、その判断結果(decisionInfo)に含まれる要件(requirement)の補正処理を行い(L2097)、その判断結果情報(decisionInfo)を判断要求をした文書管理システム100に返し(L2098)、許可処理を終了する(L2100)。 On the other hand, if the decision result information (decisionInfo) is not permitted (false) (L2096), the requirement (requirement) included in the decision result (decisionInfo) is corrected (L2097). The information (decisionInfo) is returned to the document management system 100 that made the determination request (L2098), and the permission process is terminated (L2100).
デジタル複合機70からセキュリティサーバ200へ送信されるコンテキスト情報のデータ構造は、文書管理システム100からセキュリティサーバ200へ送信されるコンテキスト情報のデータ構造と同様であるので、その説明を省略する。 Since the data structure of the context information transmitted from the digital multifunction peripheral 70 to the security server 200 is the same as the data structure of the context information transmitted from the document management system 100 to the security server 200, the description thereof is omitted.
セキュリティサーバ200からデジタル複合機70からへ送信される判断結果情報のデータ構造は、セキュリティサーバ200から文書管理システム100へ送信される判断結果情報のデータ構造と同様であるので、その説明を省略する。 Since the data structure of the determination result information transmitted from the security server 200 to the digital multifunction peripheral 70 is the same as the data structure of the determination result information transmitted from the security server 200 to the document management system 100, the description thereof is omitted. .
デジタル複合機70での要件の補正処理は、文書管理システム100での要件の補正処理と同様であるので、その説明を省略する。 Since the requirement correction processing in the digital multi-function peripheral 70 is the same as the requirement correction processing in the document management system 100, the description thereof is omitted.
次に、デジタル複合機70での要件処理について図26、図27及び図28で説明する。図26、図27及び図28は、デジタル複合機での要件処理を説明するためのフローチャート図である。 Next, requirement processing in the digital multi-function peripheral 70 will be described with reference to FIGS. 26, 27, and 28. FIG. 26, 27 and 28 are flowcharts for explaining the requirement processing in the digital multi-function peripheral.
図26において、デジタル複合機70は、判断結果情報(decisionInfo)の許可(allowed)が不許可(false)を示しているか否かを判断する(L2121)。不許可を示している場合、アクセスを拒否して終了する(L2122)。 In FIG. 26, the digital multi-function peripheral 70 determines whether or not the permission (allowed) of the determination result information (decisionInfo) indicates disapproval (false) (L2121). If not permitted, the access is denied and the process ends (L2122).
一方、不許可を示していない場合、判断結果情報(decisionInfo)の各要件(requirement)について、L2125からL2178までを繰り返す(L2124)。 On the other hand, if no disapproval is indicated, L2125 to L2178 are repeated for each requirement (requirement) of the determination result information (decisionInfo) (L2124).
デジタル複合機70は、デジタル複合機70がサポートしていない要件(requirement)が指定されているか否かを判断する(L2125)。デジタル複合機70がサポートしていない要件(requirement)が指定されていない場合、デジタル複合機70は、L2131へ進む。 The digital multi-function peripheral 70 determines whether or not a requirement (requirement) that is not supported by the digital multi-function peripheral 70 is designated (L2125). When a requirement (requirement) that is not supported by the digital multifunction peripheral 70 is not designated, the digital multifunction peripheral 70 proceeds to L2131.
一方、デジタル複合機70がサポートしていない要件(requirement)が指定されている場合、デジタル複合機70は、更に、要件(requirement)の代替要件(alternative)にサポートしていないものが指定されているか否かを判断する(L2126)。要件(requirement)の代替要件(alternative)にサポートしていないものが指定されている場合、デジタル複合機70は、アクセスを拒否して要件処理を終了する(L2127)。 On the other hand, when a requirement (requirement) that is not supported by the digital multi-function peripheral 70 is designated, the digital multi-function peripheral 70 is further designated by an alternative requirement (alternative) that is not supported by the requirement (requirement). It is determined whether or not there is (L2126). If an unsupported requirement is specified as an alternative requirement (alternative) of the requirement (requirement), the digital multifunction peripheral 70 denies access and ends the requirement processing (L2127).
一方、要件(requirement)の代替要件(alternative)にサポートしていないものが指定されていない場合、デジタル複合機70は、要件(requirement)の代替要件(alternative)を処理する(L2128)。 On the other hand, if an unsupported requirement is not specified in the requirement (requirement) alternative requirement (alternative), the digital multi-function peripheral 70 processes the requirement (requirement) alternative requirement (alternative) (L2128).
続けて、デジタル複合機70は、要件(requirement)にログの記録(record_audit_data)が指定されているか否かを判断する(L2131)。ログの記録(record_audit_data)が指定されている場合、デジタル複合機70は、ユーザID(userid)と、文書ID(docid)と、オペレーション(operation)と、日時と、コンテキスト情報(contextInfo)とを含むログデータを生成する(L2132)。 Subsequently, the digital multi-function peripheral 70 determines whether or not log recording (record_audit_data) is designated in the requirement (requirement) (L2131). When log recording (record_audit_data) is designated, the digital multi-function peripheral 70 includes a user ID (userid), a document ID (docid), an operation (operation), a date and time, and context information (contextInfo). Log data is generated (L2132).
そして、デジタル複合機70は、ログデータをセキュリティサーバ200に送信する(L2133)。デジタル複合機70は、ログデータの送信に失敗したか否かを判断する(L2134)。ログデータの送信に失敗した場合、デジタル複合機70は、アクセスを拒否して要件処理を終了する(L2135)。一方、ログデータの送信に成功した場合、デジタル複合機70は、そのままL2138へ進む。 Then, the digital multi-function peripheral 70 transmits log data to the security server 200 (L2133). The digital multi-function peripheral 70 determines whether or not the log data transmission has failed (L2134). If the log data transmission fails, the digital multi-function peripheral 70 denies access and ends the requirement processing (L2135). On the other hand, if the log data is successfully transmitted, the digital multi-function peripheral 70 proceeds to L2138 as it is.
更に、デジタル複合機70は、ラベルの印刷(show_label)が指定されているか否かを判断する(L2138)。指定されている場合、デジタル複合機70は、その要件(requirement)の補足情報(supplement)に指定されているスタンプ画像をドキュメントに印字して埋め込む(L2139)。一方、指定されていない場合、デジタル複合機70は、そのままL2141へ進む。 Further, the digital multi-function peripheral 70 determines whether or not label printing (show_label) is designated (L2138). If specified, the digital multi-function peripheral 70 prints and embeds the stamp image specified in the supplement information (supplement) of the requirement (requirement) in the document (L2139). On the other hand, if not designated, the digital multi-function peripheral 70 proceeds to L2141 as it is.
続けて、デジタル複合機70は、ユーザ名の印刷(show_operator)が指定されているか否かを判断する(L2141)。指定されている場合、デジタル複合機70は、ドキュメントに操作者名(operator)を印字して埋め込む(L2142)。一方、指定されていない場合、デジタル複合機70は、そのままL2144へ進む。 Subsequently, the digital multi-function peripheral 70 determines whether or not user name printing (show_operator) is designated (L2141). When designated, the digital multi-function peripheral 70 prints and embeds an operator name (operator) in the document (L2142). On the other hand, if not designated, the digital multi-function peripheral 70 proceeds directly to L2144.
更に、デジタル複合機70は、イメージログの記録(record_image_data)が指定されているか否かを判断する(L2144)。指定されている場合、デジタル複合機70は、ユーザID(userid)と、文書ID(docid)と、オペレーション(operation)と、日時と、コンテキスト情報(contextInfo)と、ドキュメントデータ(スキャンデータ)とを含むイメージログデータを生成する(L2145)。続けて、デジタル複合機70は、イメージログデータをデジタル複合機の内部ハードディスクに保存する(L2146)。一方、指定されていない場合、デジタル複合機70は、そのままL2148へ進む。 Further, the digital multi-function peripheral 70 determines whether or not image log recording (record_image_data) is designated (L2144). If specified, the digital multi-function peripheral 70 receives the user ID (userid), document ID (docid), operation (operation), date and time, context information (contextInfo), and document data (scan data). Including image log data is generated (L2145). Subsequently, the digital multifunction peripheral 70 stores the image log data in the internal hard disk of the digital multifunction peripheral (L2146). On the other hand, if not designated, the digital multi-function peripheral 70 proceeds directly to L2148.
続けて、デジタル複合機70は、警告の表示(show_alarm)が指定されているか否かを判断する(L2148)。指定されている場合、デジタル複合機70は、その要件(requirement)の補足情報(supplement)に指定されている文字列フォーマットで警告文字列を作成し(L2149)、警告文字列をオペパネ上でユーザに表示する(L2150)。一方、指定されていない場合、デジタル複合機70は、そのままL2152へ進む。 Subsequently, the digital multi-function peripheral 70 determines whether or not a warning display (show_alarm) is designated (L2148). If specified, the digital multi-function peripheral 70 creates a warning character string in the character string format specified in the supplementary information (supplement) of the requirement (requirement) (L2149), and the warning character string is created on the operation panel by the user. (L2150). On the other hand, if not designated, the digital multi-function peripheral 70 proceeds to L2152 as it is.
更に、デジタル複合機70は、警告の印刷(print_alarm)が指定されているか否かを判断する(L2152)。指定されている場合、デジタル複合機70は、その要件(requirement)の補足情報(supplement)に指定されている文字列フォーマットで警告文字列を作成し(L2153)、警告文字列をドキュメントに印字して埋め込む(L2154)。一方、指定されていない場合、デジタル複合機70は、そのままL2156へ進む。 Furthermore, the digital multi-function peripheral 70 determines whether or not warning printing (print_alarm) is designated (L2152). If specified, the digital multi-function peripheral 70 creates a warning character string in the character string format specified in the supplement information (supplement) of the requirement (requirement) (L2153), and prints the warning character string on the document. Embedded (L2154). On the other hand, if not designated, the digital multi-function peripheral 70 proceeds directly to L2156.
続けて、デジタル複合機70は、ファックス送信の宛先制限(address_restriction)が指定されているか否かを判断する(L2156)。指定されている場合、デジタル複合機70は、その要件(requirement)の補足情報(supplement)に指定されている宛先条件で、ユーザが指定した宛先をチェックする(L2157)。更に、デジタル複合機70は、宛先条件にマッチしないか否かを判断する(L2158)。マッチしない場合、デジタル複合機70は、宛先が条件にマッチしないことをオペパネ上でユーザに通知して(L2159)、アクセスを拒否して終了する(L2160)。一方、マッチする場合、デジタル複合機70は、そのままL2162へ進む。 Subsequently, the digital multi-function peripheral 70 determines whether or not destination restriction (address_restriction) for fax transmission is specified (L2156). If specified, the digital multi-function peripheral 70 checks the destination specified by the user according to the destination condition specified in the supplement information (supplement) of the requirement (requirement) (L2157). Further, the digital multi-function peripheral 70 determines whether or not it matches the destination condition (L2158). If not matched, the digital multi-function peripheral 70 notifies the user on the operation panel that the destination does not match the condition (L2159), denies access, and ends (L2160). On the other hand, if there is a match, the digital multi-function peripheral 70 proceeds directly to L2162.
L2156での判断によって指定されていないと判断した場合、デジタル複合機70は、そのままL2162へ進む。 If it is determined by the determination at L2156 that it has not been designated, the digital multi-function peripheral 70 proceeds directly to L2162.
更に、デジタル複合機70は、親展送信モードの使用(private_send)が指定されているか否かを判断する(L2163)。指定されている場合、デジタル複合機70は、送信条件を親展送信モードに設定する(L2164)。そして、デジタル複合機70は、親展送信モードに設定できないかを判断する(L2165)。設定できない場合、デジタル複合機70は、相手が親展送信を受け付けられないことをオペパネ上でユーザに通知して(L2166)、アクセスを拒否して要件処理終了する(L2167)。一方、設定できる場合、デジタル複合機70は、そのままL2170へ進む。 Furthermore, the digital multi-function peripheral 70 determines whether or not the use of the confidential transmission mode (private_send) is designated (L2163). If designated, the digital multi-function peripheral 70 sets the transmission condition to the confidential transmission mode (L2164). Then, the digital multifunction peripheral 70 determines whether or not the confidential transmission mode can be set (L2165). If it cannot be set, the digital multi-function peripheral 70 notifies the user on the operation panel that the other party cannot accept confidential transmission (L2166), denies access, and ends the requirement processing (L2167). On the other hand, if it can be set, the digital multi-function peripheral 70 proceeds to L2170 as it is.
L2163での判断によって指定されていないと判断した場合、デジタル複合機70は、そのままL2170へ進む。 If it is determined by the determination at L2163 that it is not designated, the digital multifunction peripheral 70 proceeds to L2170 as it is.
続けて、デジタル複合機70は、目に見える透かし文字の印刷(visible_watermark)が指定されているか否かを判断する(L2170)。指定されている場合、デジタル複合機70は、その要件(requirement)の補足情報(supplement)に指定されている文字列フォーマットで文字列を作成し(L2171)、その文字列をウォーターマークとしてドキュメントに埋め込む(L2172)。一方、指定されていない場合、デジタル複合機70は、そのままL2174へ進む。 Subsequently, the digital multi-function peripheral 70 determines whether printing of visible watermark characters (visible_watermark) is designated (L2170). If so, the digital multi-function peripheral 70 creates a character string in the character string format specified in the supplementary information (supplement) of the requirement (requirement) (L2171), and uses the character string as a watermark in the document. Embed (L2172). On the other hand, if not designated, the digital multi-function peripheral 70 proceeds directly to L2174.
更に、デジタル複合機70は、電子透かしの埋め込み(digital_watermark)が指定されているか否かを判断する(L2174)。指定されている場合、デジタル複合機70は、その要件(requirement)の補足情報(supplement)に指定されている文字列フォーマットで文字列を作成し(L2175)、その文字列を電子透かしとしてスキャンしたデータに埋め込む(L2176)。そして、次の要件(requirement)について上記同様の処理を繰り返すため、L2124へ戻る。一方、指定されていない場合、デジタル複合機70は、そのままL2124へ戻る。 Furthermore, the digital multi-function peripheral 70 determines whether or not digital watermark embedding (digital_watermark) is designated (L2174). If so, the digital multi-function peripheral 70 creates a character string in the character string format specified in the supplementary information (supplement) of the requirement (requirement) (L2175), and scans the character string as a digital watermark Embed in the data (L2176). The process returns to L2124 to repeat the same processing as described above for the next requirement (requirement). On the other hand, if not designated, the digital multi-function peripheral 70 returns to L2124 as it is.
全ての要件(requirement)について上記処理が行われた後、デジタル複合機70は、端末51から要求されたアクセス処理を行い(L2179)、要件処理を終了する(L2180)。 After the above processing is performed for all requirements (requirement), the digital multi-function peripheral 70 performs the access processing requested from the terminal 51 (L2179), and ends the requirements processing (L2180).
上記より、デジタル複合機70はセキュリティサーバ200に設定されたセキュリティポリシーに従ってアクセス制御を行うことができる。その際に、セキュリティポリシーで規定された許可要件を適用することができる。また、許可要件を満たすために必要となる補足情報の処理や、代替要件の処理を盛り込むことで柔軟な処理が可能となる。 As described above, the digital multi-function peripheral 70 can perform access control according to the security policy set in the security server 200. At that time, the permission requirements defined in the security policy can be applied. In addition, flexible processing is possible by incorporating supplementary information processing necessary to satisfy the permission requirements and processing of alternative requirements.
ペーパードキュメント62の識別は100%完全であるわけではないため、識別エラーが発生することもある。デジタル複合機70で紙文書を複写する際にその紙文書が識別できなかった場合、基本的にはセキュリティ保護されていない一般の紙文書として複写できなければならない。そのような事情があるため、識別できなかったときにも何らかのセキュリティ処理を働かせられるようにする必要がある。そのようなケースも考え、識別できなかった原稿(UNKNOWNという文書カテゴリになる)の処理もポリシーに従って実行できるようにしている。
[ドキュメントビューアでのアクセス制御]
ドキュメントビューア53でのアクセス制御について、図29を参照しつつ図30及び図31で説明する。
Since the identification of the paper document 62 is not 100% complete, an identification error may occur. If a paper document cannot be identified when copying a paper document with the digital multi-function peripheral 70, it must basically be copied as a general paper document that is not security protected. Because of such circumstances, it is necessary to allow some security processing to work even when identification is not possible. Considering such a case, the processing of a manuscript that could not be identified (in the document category UNKNOWN) can be executed according to the policy.
[Access control in Document Viewer]
Access control by the document viewer 53 will be described with reference to FIGS. 30 and 31 with reference to FIG.
図29は、ドキュメントビューアでのアクセス制御シーケンスを示す図である。図30及び図31は、ドキュメントビューアでのアクセス制御処理を説明するためのフローチャート図である。図29、図30及び図31中、図29に示すアクセス制御シーケンスにおける各処理と、図30及び図31の各処理の説明と同一符号によって対応付けられる。 FIG. 29 is a diagram showing an access control sequence in the document viewer. 30 and 31 are flowcharts for explaining the access control processing in the document viewer. 29, 30, and 31, the processes in the access control sequence shown in FIG. 29 are associated with the same reference numerals as the descriptions of the processes in FIGS. 30 and 31.
図29及び図30において、ドキュメントビューア53は、ユーザ52からファイル(ポータブルドキュメント63)をオープンするオープン要求を受け取る(S3001)。 29 and 30, the document viewer 53 receives an open request for opening a file (portable document 63) from the user 52 (S3001).
ドキュメントビューア53は、ポータブルドキュメント63がセキュリティで保護されているかどうか確認する(S3002)。ドキュメントビューア53は、ポータブルドキュメント63に対する保護の有無に応じた処理を行う(S3003)。ポータブルドキュメント63が保護されていない場合、ドキュメントビューア53は、ポータブルドキュメント63の内容を表示して、アクセス制御処理を終了する。一方、ポータブルドキュメント63が保護されている場合、ドキュメントビューア53は、そのままS3004へ進む。 The document viewer 53 checks whether the portable document 63 is protected by security (S3002). The document viewer 53 performs processing according to whether or not the portable document 63 is protected (S3003). If the portable document 63 is not protected, the document viewer 53 displays the contents of the portable document 63 and ends the access control process. On the other hand, if the portable document 63 is protected, the document viewer 53 proceeds directly to S3004.
ドキュメントビューア53は、ユーザにユーザIDとパスワードとの入力を求めて、それらを受け取る(S3004)。 The document viewer 53 requests the user to input a user ID and a password and receives them (S3004).
ドキュメントビューア53は、受け取ったユーザIDとパスワードとをユーザ管理サーバに送信してユーザ認証を行う(S3005)。 The document viewer 53 transmits the received user ID and password to the user management server to perform user authentication (S3005).
ユーザ管理サーバ300は、受け取ったユーザIDとパスワードでユーザ認証処理を行い(S3006)、認証結果情報をドキュメントビューア53に返す(S3007)。 The user management server 300 performs user authentication processing with the received user ID and password (S3006), and returns authentication result information to the document viewer 53 (S3007).
ドキュメントビューア53は、ユーザ管理サーバ300から認証結果情報を受信すると、認証結果情報に応じた処理を行う(S3008)。認証が失敗した場合、ドキュメントビューア53は、ユーザ52に認証エラーを通知して、アクセス制御処理を終了する。認証が成功した場合、ドキュメントビューア53は、そのままS3009へ進む。 Upon receiving the authentication result information from the user management server 300, the document viewer 53 performs a process according to the authentication result information (S3008). If the authentication fails, the document viewer 53 notifies the user 52 of an authentication error and ends the access control process. If the authentication is successful, the document viewer 53 proceeds directly to S3009.
ドキュメントビューア53は、ポータブルドキュメント63の中から文書IDを取り出す(S3009)。そして、ドキュメントビューア53は、認証結果情報、文書ID、アクセス種別、ドキュメントビューア53が動作している端末52のコンテキスト情報をセキュリティサーバ200に送信して、アクセス制御を問い合わせる(S3010)。アクセス種別は、例えば、オープン要求に応じた読込アクセスが指定される。 The document viewer 53 extracts the document ID from the portable document 63 (S3009). Then, the document viewer 53 sends authentication result information, document ID, access type, and context information of the terminal 52 on which the document viewer 53 is operating to the security server 200 to inquire access control (S3010). As the access type, for example, read access corresponding to the open request is designated.
セキュリティサーバ200は、受け取った情報に基づいてアクセスを許可するかどうか判断する(S3011)。セキュリティサーバ200は、判断結果をドキュメントビューア53に返す(S3012)。 The security server 200 determines whether to permit access based on the received information (S3011). The security server 200 returns the determination result to the document viewer 53 (S3012).
判断結果が「許可」を示す場合、ドキュメントビューア53は、判断結果に含まれる要件を処理する(S3013)。判断結果が「禁止」を示す場合は、アクセスは禁止され、アクセス制御処理を終了する。 If the determination result indicates “permitted”, the document viewer 53 processes the requirements included in the determination result (S3013). If the determination result indicates “prohibited”, access is prohibited and the access control process is terminated.
ドキュメントビューア53は、ユーザ52に要求されたアクセス(ファイルオープン)を処理して、ポータブルドキュメント63の内容を表示する(S3014)。 The document viewer 53 processes the access (file open) requested by the user 52 and displays the contents of the portable document 63 (S3014).
ドキュメントビューア53は、ユーザ52からポータブルドキュメント63の印刷要求を受け取る(S3015)。 The document viewer 53 receives a print request for the portable document 63 from the user 52 (S3015).
ドキュメントビューア53は、認証結果情報、文書ID、アクセス種別、ドキュメントビューアが動作している端末のコンテキスト情報をセキュリティサーバに送信して、アクセス制御を問い合わせる(S3016)。アクセス種別は、例えば、印刷要求に応じた印刷アクセスが指定される。 The document viewer 53 sends authentication result information, document ID, access type, and context information of the terminal on which the document viewer is operating to the security server, and inquires about access control (S3016). As the access type, for example, print access corresponding to a print request is designated.
セキュリティサーバ200は、受け取った情報に基づいてアクセスを許可するかどうか判断し(S3017)、判断結果をドキュメントビューアに返す(S3018)。 The security server 200 determines whether to permit access based on the received information (S3017), and returns the determination result to the document viewer (S3018).
判断結果が「許可」を示す場合、ドキュメントビューア53は。判断結果に含まれる要件を処理する(S3019)。判断結果が「禁止」を示す場合は、アクセスは禁止され、アクセス制御処理を終了する。 If the determination result indicates “permitted”, the document viewer 53 determines. The requirements included in the determination result are processed (S3019). If the determination result indicates “prohibited”, access is prohibited and the access control process is terminated.
ドキュメントビューア53は、ユーザに要求されたアクセス(印刷)を処理して、ポータブルドキュメント63の内容を印刷出力する(S3020)。 The document viewer 53 processes the access (printing) requested by the user and prints out the contents of the portable document 63 (S3020).
S3005でのユーザ認証の問い合わせをセキュリティサーバ200を経由して行っても良い。ユーザ52を認証する方法は、ユーザIDとパスワードとによって認証する方法に限定されるものではない。より高度なバイオメトリック認証、又は、スマートカードを用いたチャレンジ・レスポンス認証等を適用しても良い。 The user authentication inquiry in S3005 may be performed via the security server 200. The method of authenticating the user 52 is not limited to the method of authenticating with the user ID and password. More advanced biometric authentication or challenge / response authentication using a smart card may be applied.
S3006でのユーザ管理サーバ300による認証処理は、文書管理システム100におけるアクセス制御の場合と同様であるので、その説明を省略する。また、認証結果情報のデータ構造についても、文書管理システム100におけるアクセス制御の場合と同様であるので、その説明を省略する。 Since the authentication processing by the user management server 300 in S3006 is the same as that in the case of access control in the document management system 100, the description thereof is omitted. Also, the data structure of the authentication result information is the same as that in the case of access control in the document management system 100, and thus the description thereof is omitted.
S3011及びS3017でのセキュリティサーバ200によって行われる許可処理は、文書管理システム100におけるアクセス制御の場合と同様であるので、その説明を省略する。また、判断結果情報のデータ構造についても、文書管理システム100におけるアクセス制御の場合と同様であるので、その説明を省略する。 Since the permission processing performed by the security server 200 in S3011 and S3017 is the same as that in the case of access control in the document management system 100, the description thereof is omitted. Further, the data structure of the determination result information is the same as that in the case of access control in the document management system 100, and thus the description thereof is omitted.
ドキュメントビューア53での要件の補正処理は、文書管理システム100での要件の補正処理と同様であるので、その説明を省略する。 The requirement correction processing in the document viewer 53 is the same as the requirement correction processing in the document management system 100, and thus the description thereof is omitted.
次に、ドキュメントビューア53での要件処理について図32から図36で説明する。図32から図36は、ドキュメントビューアでの要件処理を説明するためのフローチャート図である。 Next, requirement processing in the document viewer 53 will be described with reference to FIGS. 32 to 36 are flowcharts for explaining the requirement processing in the document viewer.
図32において、ドキュメントビューア53は、判断結果情報(decisionInfo)の許可(allowed)が不許可(false)を示しているか否かを判断する(L3121)。不許可を示している場合、アクセスを拒否して終了する(L3122)。 In FIG. 32, the document viewer 53 determines whether or not the permission (allowed) of the determination result information (decisionInfo) indicates disapproval (false) (L3121). If not permitted, the access is denied and the process ends (L3122).
一方、不許可を示していない場合、判断結果情報(decisionInfo)の各要件(requirement)について、L3125からL3243までを繰り返す(L3124)。 On the other hand, when the disapproval is not indicated, L3125 to L3243 are repeated for each requirement (requirement) of the determination result information (decisionInfo) (L3124).
ドキュメントビューア53は、ドキュメントビューア53がサポートしていない要件(requirement)が指定されているか否かを判断する(L3125)。ドキュメントビューア53がサポートしていない要件(requirement)が指定されていない場合、ドキュメントビューア53は、L3131へ進む。 The document viewer 53 determines whether or not a requirement (requirement) that is not supported by the document viewer 53 is specified (L3125). If a requirement that is not supported by the document viewer 53 is not specified, the document viewer 53 proceeds to L3131.
一方、ドキュメントビューア53がサポートしていない要件(requirement)が指定されている場合、ドキュメントビューア53は、更に、要件(requirement)の代替要件(alternative)にサポートしていないものが指定されているか否かを判断する(L3126)。要件(requirement)の代替要件(alternative)にサポートしていないものが指定されている場合、ドキュメントビューア53は、アクセスを拒否して要件処理を終了する(L3127)。 On the other hand, when a requirement (requirement) that is not supported by the document viewer 53 is designated, the document viewer 53 further designates an unsupported requirement (alternative) of the requirement (requirement). Is determined (L3126). When an unsupported requirement is specified as an alternative requirement (alternative) of the requirement (requirement), the document viewer 53 denies access and ends the requirement processing (L3127).
一方、要件(requirement)の代替要件(alternative)にサポートしていないものが指定されていない場合、ドキュメントビューア53は、要件(requirement)の代替要件(alternative)を処理する(L3128)。 On the other hand, if an unsupported requirement (alternative) is not specified in the requirement (requirement), the document viewer 53 processes the alternative requirement (alternative) of the requirement (requirement) (L3128).
続けて、ドキュメントビューア53は、要件(requirement)にログの記録(record_audit_data)が指定されているか否かを判断する(L3131)。ログの記録(record_audit_data)が指定されている場合、ドキュメントビューア53は、ユーザID(userid)と、文書ID(docid)と、オペレーション(operation)と、日時と、コンテキスト情報(contextInfo)とを含むログデータを生成する(L3132)。 Subsequently, the document viewer 53 determines whether or not log recording (record_audit_data) is specified in the requirement (requirement) (L3131). When log recording (record_audit_data) is specified, the document viewer 53 includes a user ID (userid), document ID (docid), operation (operation), date and time, and context information (contextInfo). Data is generated (L3132).
そして、ドキュメントビューア53は、ログデータをセキュリティサーバ200に送信する(L3133)。ドキュメントビューア53は、ログデータの送信に失敗したか否かを判断する(L3134)。ログデータの送信に失敗した場合、ドキュメントビューア53は、アクセスを拒否して要件処理を終了する(L3135)。一方、ログデータの送信に成功した場合、ドキュメントビューア53は、そのままL3138へ進む。 Then, the document viewer 53 transmits the log data to the security server 200 (L3133). The document viewer 53 determines whether or not the log data transmission has failed (L3134). If the log data transmission fails, the document viewer 53 denies access and ends the requirement processing (L3135). On the other hand, when the log data is successfully transmitted, the document viewer 53 proceeds to L3138 as it is.
更に、ドキュメントビューア53は、電子文書へのアクセスに多段階認証を認めること(multi_authentication)が指定されているか否かを判断する(L3138)。指定されている場合、ドキュメントビューア53は、ユーザ52に厳密なユーザ認証(指紋認証など)を要求する(L3139)。ドキュメントビューア53は、更に、厳密な認証に失敗したか否かを判断する(L3140)。失敗した場合、アクセスを拒否して終了する(L3141)。一方、多段階認証が指定されていない場合及び厳密な認証に成功した場合、ドキュメントビューア53は、そのままL3144へ進む。 Further, the document viewer 53 determines whether or not multi-step authentication is permitted for access to the electronic document (multi_authentication) (L3138). If specified, the document viewer 53 requests the user 52 for strict user authentication (such as fingerprint authentication) (L3139). The document viewer 53 further determines whether or not strict authentication has failed (L3140). If unsuccessful, access is denied and the process ends (L3141). On the other hand, when the multi-step authentication is not designated and when the strict authentication is successful, the document viewer 53 proceeds to L3144 as it is.
続けて、ドキュメントビューア53は、警告の表示(show_alarm)が指定されているか否かを判断する(L3144)。指定されている場合、ドキュメントビューア53は、その要件(requirement)の補足情報(supplement)に指定されている文字列フォーマットで警告文字列を作成し(L3145)、警告文字列を画面(ディスプレイ)上でユーザに表示する(L3146)。一方、指定されていない場合、ドキュメントビューア53は、そのままL3148へ進む。 Subsequently, the document viewer 53 determines whether or not a warning display (show_alarm) is designated (L3144). If specified, the document viewer 53 creates a warning character string in the character string format specified in the supplement information (supplement) of the requirement (requirement) (L3145), and displays the warning character string on the screen (display). Is displayed to the user (L3146). On the other hand, if it is not designated, the document viewer 53 proceeds to L3148 as it is.
更に、ドキュメントビューア53は、機密印刷モード(private_access)が指定されているか否かを判断する(L3148)。指定されていない場合、ドキュメントビューア53は、そのままL3160へ進む。 Further, the document viewer 53 determines whether or not the confidential printing mode (private_access) is designated (L3148). If not specified, the document viewer 53 proceeds to L3160 as it is.
一方、指定されている場合、ドキュメントビューア53は、印刷先プリンタが機密印刷をサポートしていないか否かを判断する(L3149)。サポートしていない場合、ドキュメントビューア53は、その要件(requirement)の代替要件(alternative)を処理する(L3150)。そして、ドキュメントビューア53は、代替要件(alternative)が処理できなかったか否かを判断する(L3151)。処理できなかった場合、ドキュメントビューア53は、アクセスを拒否して終了する(L3152)。一方、代替要件(alternative)が処理できた場合、ドキュメントビューア53は、そのままL3160へ進む。 On the other hand, if specified, the document viewer 53 determines whether the printing destination printer does not support confidential printing (L3149). If not supported, the document viewer 53 processes an alternative requirement (alternative) of the requirement (requirement) (L3150). Then, the document viewer 53 determines whether or not the alternative requirement (alternative) could not be processed (L3151). If the processing cannot be performed, the document viewer 53 denies access and ends (L3152). On the other hand, when the alternative requirement (alternative) can be processed, the document viewer 53 proceeds to L3160 as it is.
一方、機密印刷をサポートしている場合(L3155)、ドキュメントビューア53は、ユーザ52にパスワードを入力するダイアログを表示し(L3156)、ユーザ52から入力されたパスワードをプリンタドライバにセットして機密印刷モードにする(L3157)。そして、ドキュメントビューア53は、L3160へ進む。 On the other hand, when confidential printing is supported (L3155), the document viewer 53 displays a dialog for inputting a password to the user 52 (L3156), sets the password input from the user 52 in the printer driver, and performs confidential printing. The mode is set (L3157). Then, the document viewer 53 proceeds to L3160.
続けて、ドキュメントビューア53は、イメージログの記録(record_image_data)が指定されているか否かを判断する(L3160)。指定されている場合、ドキュメントビューア53は、更に、印刷先プリンタがイメージログ記録をサポートしていないか否かを判断する(L3161)。サポートしていない場合、ドキュメントビューア53は、その要件(requirement)の代替要件(alternative)を処理する(L3162)。そして、ドキュメントビューア53は、代替要件(alternative)が処理できなかったか否かを判断する(L3163)。処理できなかった場合、ドキュメントビューア53は、アクセスを拒否して終了する(L3164)。一方、代替要件(alternative)が処理できた場合、ドキュメントビューア53は、そのままL3173へ進む。 Subsequently, the document viewer 53 determines whether or not image log recording (record_image_data) is designated (L3160). If specified, the document viewer 53 further determines whether the print destination printer does not support image log recording (L3161). If not supported, the document viewer 53 processes an alternative requirement (alternative) of the requirement (requirement) (L3162). Then, the document viewer 53 determines whether or not the alternative requirement (alternative) could not be processed (L3163). If the processing cannot be performed, the document viewer 53 denies access and ends (L3164). On the other hand, when the alternative requirement (alternative) can be processed, the document viewer 53 proceeds to L3173 as it is.
一方、イメージログ記録をサポートしている場合(L3167)、ドキュメントビューア53は、ユーザID(userid)と、文書ID(docid)と、オペレーション(operation)と、日時と、コンテキスト情報(contextInfo)とを含むログデータを生成する(L3168)。ドキュメントビューア53は、イメージログ書誌事項をプリンタドライバに設定し(L3169)、イメージログ記録モードをプリンタドライバに設定する(L3170)。そして、ドキュメントビューア53は、L3173へ進む。 On the other hand, when image log recording is supported (L3167), the document viewer 53 displays the user ID (userid), document ID (docid), operation (operation), date and time, and context information (contextInfo). The log data including it is generated (L3168). The document viewer 53 sets the image log bibliographic item in the printer driver (L3169), and sets the image log recording mode in the printer driver (L3170). Then, the document viewer 53 advances to L3173.
更に、ドキュメントビューア53は、追跡情報の埋め込み(embed_trace_info)が指定されているか否かを判断する(L3173)。指定されていない場合、ドキュメントビューア53は、そのままL3187へ進む。 Further, the document viewer 53 determines whether or not embedding of trace information (embed_trace_info) is designated (L3173). If not specified, the document viewer 53 proceeds to L3187 as it is.
追跡情報の埋め込みが指定されている場合、ドキュメントビューア53は、更に、印刷先プリンタのドライバがスタンプ印字をサポートしているか否かを判断する(L3174)。サポートしている場合、ドキュメントビューア53は、その要件(requirement)の補足情報(supplement)に指定されているバーコード画像をプリンタドライバにセットしてスタンプ印字モードにする(L3175)。そして、ドキュメントビューア53は、L3187へ進む。 If the embedding of the tracking information is designated, the document viewer 53 further determines whether or not the driver of the printing destination printer supports stamp printing (L3174). If it is supported, the document viewer 53 sets the barcode image specified in the supplement information (supplement) of the requirement (requirement) to the printer driver and sets the stamp print mode (L3175). Then, the document viewer 53 proceeds to L3187.
一方、印刷先プリンタのドライバがスタンプ印字をサポートしていない場合、ドキュメントビューア53は、更に、ドキュメントビューア53がドキュメント編集をサポートしているか否かを判断する(L3177)。指定されている場合、ドキュメントビューア53は、ドキュメントを編集してその要件(requirement)の補足情報(supplement)に指定されているバーコード画像を印刷する各ページに埋め込む(L3178)。一方、指定されている場合(L3180)、ドキュメントビューア53は、その要件(requirement)の代替要件(alternative)を処理する(L3181)。ドキュメントビューア53は、代替要件(alternative)が処理できなかった否かを判断する(L3182)。処理できなかった場合、ドキュメントビューア53は、アクセスを拒否して、要件処理を終了する(L3183)。処理できた場合、ドキュメントビューア53は、そのままL3187へ進む。 On the other hand, when the driver of the printing destination printer does not support stamp printing, the document viewer 53 further determines whether or not the document viewer 53 supports document editing (L3177). If specified, the document viewer 53 edits the document and embeds the barcode image specified in the supplement information (supplement) of the requirement (requirement) in each page to be printed (L3178). On the other hand, when specified (L3180), the document viewer 53 processes an alternative requirement (alternative) of the requirement (requirement) (L3181). The document viewer 53 determines whether or not the alternative requirement (alternative) could not be processed (L3182). If the processing cannot be performed, the document viewer 53 denies access and ends the requirement processing (L3183). If the processing can be performed, the document viewer 53 proceeds to L3187 as it is.
続けて、ドキュメントビューア53は、ラベルをスタンプとして印刷すること(show_label)が指定されているか否かを判断する(L3187)。指定されていない場合、ドキュメントビューア53は、そのままL3201へ進む。指定されている場合、ドキュメントビューア53は、更に、印刷先プリンタのドライバがスタンプ印字をサポートしているか否かを判断する(L3188)。スタンプ印字をサポートしている場合、ドキュメントビューア53は、その要件(requirement)の補足情報(supplement)に指定されているスタンプ画像をプリンタドライバにセットしてスタンプ印字モードにする(埋め込み位置はその要件(requirement)の補足情報(supplement)に指定されている「埋め込み位置」)(L3189)。そして、ドキュメントビューア53は、L3201へ進む。 Subsequently, the document viewer 53 determines whether or not printing of a label as a stamp (show_label) is designated (L3187). If not specified, the document viewer 53 proceeds to L3201 as it is. If specified, the document viewer 53 further determines whether or not the driver of the printing destination printer supports stamp printing (L3188). When the stamp printing is supported, the document viewer 53 sets the stamp image specified in the supplement information (supplement) of the requirement (requirement) to the printer driver and sets the stamp printing mode (the embedding position is the requirement). ("Embedding position" specified in supplement information (supplement) of (requirement)) (L3189). Then, the document viewer 53 advances to L3201.
一方、スタンプ印字をサポートしていない場合(L3191)、ドキュメントビューア53は、ドキュメントビューア53がドキュメント編集をサポートしているか否かを判断する(L3191)。ドキュメント編集をサポートしている場合、ドキュメントビューア53は、ドキュメントを編集してその要件(requirement)の補足情報(supplement)に指定されているスタンプ画像を印刷する各ページに埋め込む(埋め込み位置はその要件(requirement)の補足情報(supplement)に指定されている「埋め込み位置」)(L3192)。 On the other hand, when stamp printing is not supported (L3191), the document viewer 53 determines whether or not the document viewer 53 supports document editing (L3191). When document editing is supported, the document viewer 53 edits the document and embeds the stamp image specified in the supplementary information (supplement) of the requirement (requirement) on each page to be printed (the embedding position is the requirement) ("Embedding position" specified in the supplement information (supplement) of (requirement)) (L3192).
一方、ドキュメント編集をサポートしていない場合、ドキュメントビューア53は、その要件(requirement)の代替要件(alternative)を処理する(L3195)。そして、ドキュメントビューア53は、代替要件(alternative)が処理できなかったか否かを判断する(L3196)。処理できなかった場合、ドキュメントビューア53は、アクセスを拒否して要件処理を終了する(L3197)。一方、処理できた場合、ドキュメントビューア53は、そのままL3201へ進む。 On the other hand, when document editing is not supported, the document viewer 53 processes an alternative requirement (alternative) of the requirement (requirement) (L3195). Then, the document viewer 53 determines whether or not the alternative requirement (alternative) could not be processed (L3196). If the processing cannot be performed, the document viewer 53 denies access and ends the requirement processing (L3197). On the other hand, if the processing can be performed, the document viewer 53 proceeds to L3201 as it is.
更に、ドキュメントビューア53は、目に見える透かし文字の印刷(visible_watermark)が指定されているか否かを判断する(L3201)。指定されていない場合、ドキュメントビューア53は、そのままL3216へ進む。 Further, the document viewer 53 determines whether printing of visible watermark characters (visible_watermark) is designated (L3201). If not specified, the document viewer 53 proceeds to L3216 as it is.
一方、指定されている場合、ドキュメントビューア53は、その要件(requirement)の補足情報(supplement)に指定されている文字列フォーマットで背景文字列を作成する(L3202)。そして、ドキュメントビューア53は、更に、印刷先プリンタのドライバが合成印刷をサポートしているか否かを判断する(L3203)。サポートしている場合、ドキュメントビューア53は、その背景文字列を合成文字列としてプリンタドライバにセットする(L3204)。そして、ドキュメントビューア53は、L3216へ進む。 On the other hand, if specified, the document viewer 53 creates a background character string in the character string format specified in the supplement information (supplement) of the requirement (requirement) (L3202). The document viewer 53 further determines whether or not the driver of the printing destination printer supports composite printing (L3203). If it is supported, the document viewer 53 sets the background character string as a composite character string in the printer driver (L3204). Then, the document viewer 53 proceeds to L3216.
一方、印刷先プリンタのドライバが合成印刷をサポートしていない場合、ドキュメントビューア53は、ドキュメントビューア53がドキュメント編集をサポートしているか否かを判断する(L3206)。サポートしている場合、ドキュメントを編集してその背景文字列をドキュメントの背景に埋め込む(L3207)。そして、ドキュメントビューア53は、L3216へ進む。 On the other hand, when the driver of the print destination printer does not support composite printing, the document viewer 53 determines whether the document viewer 53 supports document editing (L3206). If it is supported, the document is edited and the background character string is embedded in the document background (L3207). Then, the document viewer 53 advances to L3216.
一方、ドキュメント編集をサポートしていない場合、ドキュメントビューア53は、その要件(requirement)の代替要件(alternative)処理する(L3200)。そして、ドキュメントビューア53は、更に、代替要件(alternative)が処理できないか否かを判断する(L3211)。ドキュメントビューア53は、アクセスを拒否して、要件処理を終了する(L3212)。 On the other hand, when document editing is not supported, the document viewer 53 performs an alternative requirement (alternative) of the requirement (requirement) (L3200). Then, the document viewer 53 further determines whether or not the alternative requirement (alternative) cannot be processed (L3211). The document viewer 53 denies access and ends the requirement processing (L3212).
続けて、ドキュメントビューア53は、浮き出る透かし文字の印刷(anti_copy_watermark)が指定されているか否かを判断する(L3216)。指定されていない場合、ドキュメントビューア53は、L3232へ進む。 Subsequently, the document viewer 53 determines whether or not printing of a floating watermark character (anti_copy_watermark) is designated (L3216). If not specified, the document viewer 53 proceeds to L3232.
一方、指定されている場合、ドキュメントビューア53は、その要件(requirement)の補足情報(supplement)に指定されている文字列フォーマットで地紋文字列を作成する(L3217)。ドキュメントビューア53は、更に、印刷先プリンタのドライバが地紋印刷をサポートしているか否かを判断する(L3218)。サポートしている場合、ドキュメントビューア53は、その地紋文字列をプリンタドライバにセットする(L3219)。そして、ドキュメントビューア53は、L3232へ進む。 On the other hand, if specified, the document viewer 53 creates a tint block character string in the character string format specified in the supplementary information (supplement) of the requirement (requirement) (L3217). Further, the document viewer 53 determines whether or not the driver of the printing destination printer supports tint block printing (L3218). If it is supported, the document viewer 53 sets the copy-forgery-inhibited pattern character string in the printer driver (L3219). Then, the document viewer 53 proceeds to L3232.
一方、地紋印刷をサポートしていない場合、ドキュメントビューア53は、ドキュメントビューア53がドキュメント編集をサポートしているか否かを判断する(L3221)。サポートしている場合、ドキュメントビューア53は、地紋文字列に基づいて地紋画像を生成し(L3222)、ドキュメントを編集してその地紋画像をドキュメントの背景に埋め込む(L3223)。 On the other hand, when the copy-forgery-inhibited pattern printing is not supported, the document viewer 53 determines whether or not the document viewer 53 supports document editing (L3221). If it is supported, the document viewer 53 generates a copy-forgery-inhibited pattern image based on the copy-forgery-inhibited pattern character string (L3222), edits the document, and embeds the copy-forgery-inhibited pattern image in the background of the document (L3223).
一方、ドキュメント編集をサポートしていない場合(L3225)、ドキュメントビューア53は、その要件(requirement)の代替要件(alternative)を処理する(L3226)。そして、ドキュメントビューア53は、代替要件(alternative)が処理できないか否かを判断する(L3227)。処理できなかった場合、ドキュメントビューア53は、アクセスを拒否して、要件処理を終了する(L3228)。一方、処理できた場合、ドキュメントビューア53は、そのままL3232へ進む。 On the other hand, when document editing is not supported (L3225), the document viewer 53 processes an alternative requirement (alternative) of the requirement (requirement) (L3226). Then, the document viewer 53 determines whether or not the alternative requirement (alternative) cannot be processed (L3227). If the processing cannot be performed, the document viewer 53 denies access and ends the requirement processing (L3228). On the other hand, if the processing can be performed, the document viewer 53 proceeds to L3232.
更に、ドキュメントビューア53は、識別パターンの印刷(identifiable_bg_pattern)が指定されているか否かを判断する(L3232)。指定されていない場合、ドキュメントビューア53は、L3247へ進む。 Further, the document viewer 53 determines whether or not identification pattern printing (identifiable_bg_pattern) is designated (L3232). If not specified, the document viewer 53 proceeds to L3247.
識別パターンの印刷が指定されている場合、ドキュメントビューア53は、その要件(requirement)の補足情報(supplement)に指定されている識別パターン画像で地紋文字列を作成する(L3233)。そして、ドキュメントビューア53は、更に、印刷先プリンタのドライバが繰り返しスタンプ印刷をサポートしているか否かを判断する(L3234)。サポートしている場合、ドキュメントビューア53は、その要件(requirement)の補足情報(supplement)に指定されている識別パターン画像をプリンタドライバにセットして繰り返しスタンプ印刷モードにする(L3235)。そして、ドキュメントビューア53は、L3247へ進む。 When printing of the identification pattern is designated, the document viewer 53 creates a copy-forgery-inhibited pattern character string with the identification pattern image designated in the supplementary information (supplement) of the requirement (requirement) (L3233). Then, the document viewer 53 further determines whether or not the driver of the printing destination printer repeatedly supports stamp printing (L3234). If it is supported, the document viewer 53 sets the identification pattern image specified in the supplementary information (supplement) of the requirement (requirement) in the printer driver and repeatedly enters the stamp printing mode (L3235). Then, the document viewer 53 proceeds to L3247.
一方、繰り返しスタンプ印刷をサポートしていない場合(L3237)、ドキュメントビューア53は、更に、ドキュメントビューアがドキュメント編集をサポートしているか否かを判断する(L3237)。サポートしている場合、ドキュメントビューア53は、ドキュメントを編集して、その要件(requirement)の補足情報(supplement)に指定されている識別パターン画像をドキュメントの背景に繰り返し埋め込む(L3238)。そして、ドキュメントビューア53は、L3247へ進む。 On the other hand, when repeated stamp printing is not supported (L3237), the document viewer 53 further determines whether or not the document viewer supports document editing (L3237). If it is supported, the document viewer 53 edits the document, and repeatedly embeds the identification pattern image specified in the supplementary information (supplement) of the requirement (requirement) in the background of the document (L3238). Then, the document viewer 53 proceeds to L3247.
一方、ドキュメント編集をサポートしていない場合(L3240)、ドキュメントビューア53は、その要件(requirement)の代替要件(alternative)を処理する(L3241)。そして、ドキュメントビューア53は、代替要件(alternative)が処理できないか否かを判断する(L3242)。処理できなかった場合、ドキュメントビューア53は、アクセスを拒否して要件処理を終了する(L3243)。一方、処理できた場合、ドキュメントビューア53は、L3247へ進む。 On the other hand, when document editing is not supported (L3240), the document viewer 53 processes an alternative requirement (alternative) of the requirement (requirement) (L3241). Then, the document viewer 53 determines whether or not the alternative requirement (alternative) cannot be processed (L3242). If the process cannot be performed, the document viewer 53 denies access and ends the requirement process (L3243). On the other hand, if the processing can be performed, the document viewer 53 proceeds to L3247.
続けて、ドキュメントビューア53は、警告の印刷(print_alarm)が指定されているか否かを判断する(L3247)。指定されていない場合、ドキュメントビューア53は、そのままL3124へ戻る。 Subsequently, the document viewer 53 determines whether or not warning printing (print_alarm) is designated (L3247). If not specified, the document viewer 53 returns to L3124 as it is.
一方、指定されている場合、ドキュメントビューア53は、その要件(requirement)の補足情報(supplement)に指定されている文字列フォーマットで警告文字列を作成する(L3248)。そして、ドキュメントビューア53は、更に、印刷先プリンタのドライバがヘッダー/フッター印刷をサポートしているか否かを判断する(L3249)。サポートしている場合、ドキュメントビューア53は、その警告文字列をプリンタドライバにヘッダー/フッターとしてセットする(L3250)。 On the other hand, if specified, the document viewer 53 creates a warning character string in the character string format specified in the supplement information (supplement) of the requirement (requirement) (L3248). Then, the document viewer 53 further determines whether or not the driver of the printing destination printer supports header / footer printing (L3249). If it is supported, the document viewer 53 sets the warning character string in the printer driver as a header / footer (L3250).
一方、ヘッダー/フッター印刷をサポートしていない場合、ドキュメントビューア53は、更に、ドキュメントビューア53がドキュメント編集をサポートしているか否かを判断する(L3252)。サポートしている場合、ドキュメントビューア53は、警告文字列をドキュメントのヘッダー/フッターに埋め込む(L3253)。 On the other hand, when the header / footer printing is not supported, the document viewer 53 further determines whether or not the document viewer 53 supports document editing (L3252). If it is supported, the document viewer 53 embeds the warning character string in the header / footer of the document (L3253).
一方、ドキュメント編集をサポートしていない場合(L3255)、ドキュメントビューア53は、その要件(requirement)の代替要件(alternative)を処理する(L3256)。そして、ドキュメントビューア53は、更に、代替要件(alternative)が処理できなかったか否かを判断する(L3257)。処理できなかった場合、ドキュメントビューア53は、アクセスを拒否して、要件処理を終了する(L3258)。 On the other hand, when document editing is not supported (L3255), the document viewer 53 processes an alternative requirement (alternative) of the requirement (requirement) (L3256). Then, the document viewer 53 further determines whether or not the alternative requirement (alternative) could not be processed (L3257). If the processing cannot be performed, the document viewer 53 denies access and ends the requirement processing (L3258).
一方、代替要件の処理ができた場合、ドキュメントビューア53は、次の要件(requirement)について上記同様の処理を繰り返すため、L2124へ戻る。 On the other hand, when the alternative requirement processing is completed, the document viewer 53 returns to L2124 in order to repeat the same processing as described above for the next requirement (requirement).
全ての要件(requirement)について上記処理が行われた後、ドキュメントビューア53は、ユーザ52から要求されたアクセス処理を行い(L3263)、要件処理を終了する(L3264)。 After the above processing is performed for all requirements (requirement), the document viewer 53 performs the access processing requested by the user 52 (L3263), and ends the requirement processing (L3264).
上記より、ドキュメントビューア53はセキュリティサーバ200に設定されたセキュリティポリシーに従ってアクセス制御を行うことができる。その際に、セキュリティポリシーで規定された許可要件を適用することができる。また、許可要件を満たすために必要となる補足情報の処理や、代替要件の処理を盛り込むことで柔軟な処理が可能となる。 As described above, the document viewer 53 can perform access control according to the security policy set in the security server 200. At that time, the permission requirements defined in the security policy can be applied. In addition, flexible processing is possible by incorporating supplementary information processing necessary to satisfy the permission requirements and processing of alternative requirements.
上記において、ドキュメントビューア53が編集機能をサポートしているか否かの判断が行われる要件処理では、指定されている要件が実現できない場合においても、ポータブルドキュメント63の内容を一時的に編集して必要な情報をポータブルドキュメント63中に埋め込んだ上で処理を行うことができる。 In the above, in the requirement processing in which it is determined whether or not the document viewer 53 supports the editing function, it is necessary to temporarily edit the contents of the portable document 63 even when the specified requirement cannot be realized. It is possible to perform processing after embedding various information in the portable document 63.
上記のようなアクセス制御を実現するドキュメントビューア53でしかポータブルドキュメント63を開くことができないように、ポータブルドキュメント63は暗号化しておく必要がある。 The portable document 63 needs to be encrypted so that the portable document 63 can be opened only by the document viewer 53 that realizes the access control as described above.
暗号化/復号に使用する鍵は、上記アクセス制御を実現できる特殊なドキュメントビューア53に組み込んでおいても良いし、アクセス制御を執行できる特殊なドキュメントビューア53であることが確認できた場合にだけ、セキュリティサーバ200側からドキュメントビューア53側に復号鍵を転送するようにしても良い。 The key used for encryption / decryption may be incorporated in the special document viewer 53 that can realize the above access control, or only when it is confirmed that the special document viewer 53 can execute the access control. The decryption key may be transferred from the security server 200 side to the document viewer 53 side.
そのようにしておくことでアクセス制御を実現することのできない一般のドキュメントビューア53でポータブルドキュメント63を開かれてしまうのを防ぐことができる.
上記のようにセキュリティポリシーに基づいて、印刷要求に対するアクセス制御が行われる場合に、ドキュメントビューア53を表示している端末51に表示される画面例を図37から図41で説明する。ユーザ52は、以下に説明されるような画面にてどのような要件が処理されるのかを知ることができる。
By doing so, it is possible to prevent the portable document 63 from being opened by a general document viewer 53 that cannot implement access control.
Examples of screens displayed on the terminal 51 displaying the document viewer 53 when access control for a print request is performed based on the security policy as described above will be described with reference to FIGS. The user 52 can know what requirements are processed on the screen described below.
図37は、要件として警告の印刷が指定された場合の画面例を示す図である。図37(A)は、警告の印刷のための設定がなされている画面例を示す図である。図37(B)は、警告の印刷のための詳細が設定されている画面例を示す図である。 FIG. 37 is a diagram illustrating an example of a screen when warning printing is designated as a requirement. FIG. 37A is a diagram showing an example of a screen on which settings for warning printing are made. FIG. 37B is a diagram showing an example of a screen on which details for warning printing are set.
図37(A)において、画面600は、要件として警告の印刷が指定された場合の画面であって、画面600の設定域601は、本来、ユーザ52によってヘッダー又はフッターに印字するための設定域である。警告の印刷がユーザ62の印刷要求を実行するための要件として処理される場合、ドキュメントビューア53による要件処理によって強制的にヘッダー又はフッターへの印字が設定されると共に、グレー表示され、ユーザ52によってその設定を変更することができないように制御される。 In FIG. 37A, a screen 600 is a screen when warning printing is specified as a requirement, and a setting area 601 of the screen 600 is originally a setting area for printing on the header or footer by the user 52. It is. When the warning print is processed as a requirement for executing the print request of the user 62, the print to the header or footer is forcibly set by the requirement processing by the document viewer 53 and is displayed in gray and is displayed by the user 52. Control is performed so that the setting cannot be changed.
ユーザ52が、設定域601内の詳細ボタンをクリックすると図37(B)のような画面が表示される。 When the user 52 clicks the detail button in the setting area 601, a screen as shown in FIG. 37B is displayed.
図37(B)において、画面605は、要件として警告の印刷が指定された場合の詳細な設定を示す画面であって、画面605の設定域606は、本来、ユーザ52によってヘッダー又はフッターに印字するための文字列の配置位置及び書式を設定するための設定域である。警告の印刷がユーザ62の印刷要求を実行するための要件として処理される場合、ドキュメントビューア53による要件処理によって強制的に文字列の配置位置及び書式が設定されると共に、グレー表示され、ユーザ52によってその設定を変更することができないように制御される。 In FIG. 37B, a screen 605 is a screen showing detailed settings when warning printing is designated as a requirement. A setting area 606 of the screen 605 is originally printed on the header or footer by the user 52. This is a setting area for setting the arrangement position and format of the character string to be used. When the warning print is processed as a requirement for executing the print request of the user 62, the arrangement position and format of the character string are forcibly set by the requirement processing by the document viewer 53, and are grayed out. It is controlled so that the setting cannot be changed.
ユーザ52は、設定を変更することは禁止されるが、警告の印刷が要件であることを印刷する前に確認することができる。この確認によって、ユーザ52は、実際に印刷を実行するかキャンセルするかを判断することもできる。 The user 52 is prohibited from changing the setting, but can confirm that printing of a warning is a requirement before printing. By this confirmation, the user 52 can also determine whether to actually execute printing or cancel.
図38は、要件として機密印刷が指定された場合の画面例を示す図である。図38(A)は、機密印刷のための設定がなされている画面例を示す図である。図38(B)は、機密印刷のための認証情報を設定するための画面例を示す図である。 FIG. 38 is a diagram illustrating an example of a screen when confidential printing is designated as a requirement. FIG. 38A is a diagram showing an example of a screen on which settings for confidential printing are made. FIG. 38B is a diagram showing an example of a screen for setting authentication information for confidential printing.
図38(A)において、画面610は、要件として機密印刷が指定された場合の画面であって、画面610の印刷方法を選択する選択域611は、本来、ユーザ52によって選択される選択域である。機密印刷がユーザ62の印刷要求を実行するための要件として処理される場合、ドキュメントビューア53による要件処理によって強制的に機密印刷が
選択されると共に、グレー表示され、ユーザ52によってその選択を変更することができないように制御される。
In FIG. 38A, a screen 610 is a screen when confidential printing is designated as a requirement, and a selection area 611 for selecting the printing method of the screen 610 is a selection area originally selected by the user 52. is there. When the confidential printing is processed as a requirement for executing the print request of the user 62, the confidential printing is forcibly selected by the requirement processing by the document viewer 53 and is grayed out, and the selection is changed by the user 52. It is controlled so that it cannot.
ユーザ52によってその設定を変更することができないように制御される。ユーザ52が、設定域611内の詳細ボタンをクリックすると図38(B)のような画面が表示される。 Control is performed so that the user 52 cannot change the setting. When the user 52 clicks the detail button in the setting area 611, a screen as shown in FIG. 38B is displayed.
図38(B)において、画面613は、要件として機密印刷が指定された場合の詳細な設定を示す画面であって、画面613の入力域614及び615は、本来、ユーザ52によって認証情報を設定するための入力域である。入力域614は、ユーザ52がユーザIDを入力する領域で、入力域615は、ユーザ52がパスワードを入力する領域である。ユーザ52は、プリンタとしてのデジタル複合機70にて、この画面613で入力したユーザID及びパスワードを入力することによって、印刷されたポータブルドキュメント63をデジタル複合機70から出力させることができる。 In FIG. 38B, a screen 613 is a screen showing detailed settings when confidential printing is designated as a requirement. The input areas 614 and 615 of the screen 613 are originally set by the user 52 as authentication information. It is an input area for The input area 614 is an area where the user 52 inputs a user ID, and the input area 615 is an area where the user 52 inputs a password. The user 52 can output the printed portable document 63 from the digital multi-function peripheral 70 by inputting the user ID and password entered on the screen 613 on the digital multi-function peripheral 70 as a printer.
ユーザ52は、機密印刷によってポータブルドキュメント63が印刷されることを知ることができる。 The user 52 can know that the portable document 63 is printed by confidential printing.
図39は、要件としてラベルをスタンプとして印刷することが指定された場合の画面例を示す図である。図39において、画面620は、要件としてラベルをスタンプとして印刷することが指定された場合の画面であって、画面620の設定域621は、本来、ユーザ52によってスタンプを設定するための設定域である。ラベルをスタンプとして印刷することがユーザ62の印刷要求を実行するための要件として処理される場合、ドキュメントビューア53による要件処理によって強制的にスタンプの印字が設定されると共に、グレー表示され、ユーザ52によってその設定を変更することができないように制御される。 FIG. 39 is a diagram illustrating an example of a screen when it is specified that a label is printed as a stamp as a requirement. In FIG. 39, a screen 620 is a screen when printing a label as a stamp as a requirement. A setting area 621 of the screen 620 is originally a setting area for setting a stamp by the user 52. is there. When printing the label as a stamp is processed as a requirement for executing the print request of the user 62, the stamp print is forcibly set by the requirement processing by the document viewer 53 and is displayed in gray, and the user 52 It is controlled so that the setting cannot be changed.
ユーザ52は、設定を変更することは禁止されるが、スタンプの印字が要件であることを印刷する前に確認することができる。この確認によって、ユーザ52は、実際に印刷を実行するかキャンセルするかを判断することもできる。 The user 52 is prohibited from changing the setting, but can confirm that printing of the stamp is a requirement before printing. By this confirmation, the user 52 can also determine whether to actually execute printing or cancel.
図40は、要件として目に見える透かし文字の印刷が指定された場合の画面例を示す図である。図40において、画面630は、要件として目に見える透かし文字の印刷が指定された場合の画面であって、画面630の設定域631は、本来、ユーザ52によって目に見える透かし文字の印刷を設定するための設定域である。目に見える透かし文字の印刷がユーザ62の印刷要求を実行するための要件として処理される場合、ドキュメントビューア53による要件処理によって強制的に目に見える透かし文字の印刷が設定されると共に、グレー表示され、ユーザ52によってその設定を変更することができないように制御される。 FIG. 40 is a diagram illustrating a screen example when printing of visible watermark characters is designated as a requirement. In FIG. 40, a screen 630 is a screen in the case where printing of visible watermark characters is specified as a requirement. A setting area 631 of the screen 630 originally sets printing of watermark characters visible by the user 52. This is a setting area for When visible watermark printing is processed as a requirement for executing the print request of the user 62, visible watermark printing is forcibly set by the requirement processing by the document viewer 53, and gray display is performed. The user 52 is controlled so that the setting cannot be changed.
ユーザ52は、設定を変更することは禁止されるが、目に見える透かし文字の印刷が要件であることを印刷する前に確認することができる。この確認によって、ユーザ52は、実際に印刷を実行するかキャンセルするかを判断することもできる。 The user 52 is prohibited from changing the settings, but can confirm that printing of visible watermark characters is a requirement before printing. By this confirmation, the user 52 can also determine whether to actually execute printing or cancel.
ユーザ52が、表示された画面630の設定域631のイメージスタンプの詳細を示すボタン632をクリックすると、図41で示されるような画面が表示される。 When the user 52 clicks the button 632 showing the details of the image stamp in the setting area 631 of the displayed screen 630, a screen as shown in FIG. 41 is displayed.
図41は、要件として識別パターンの印刷が指定された場合の画面例を示す図である。図41(A)は、要件として識別パターンの印刷が指定された場合の詳細を表示する画面例を示す図である。 FIG. 41 is a diagram illustrating a screen example when printing of an identification pattern is designated as a requirement. FIG. 41A is a diagram showing an example of a screen for displaying details when printing of an identification pattern is designated as a requirement.
図41(A)において、画面640の表示域641には識別パターンが印刷された場合のイメージ図が表示される。ユーザ52は、画面640での設定を変更することは禁止されるが、識別パターンの印刷要件であることを印刷する前に確認することができる。この確認によって、ユーザ52は、実際に印刷を実行するかキャンセルするかを判断することもできる。 In FIG. 41A, an image diagram when the identification pattern is printed is displayed in the display area 641 of the screen 640. The user 52 is prohibited from changing the setting on the screen 640, but can confirm that it is a printing requirement of the identification pattern before printing. By this confirmation, the user 52 can also determine whether to actually execute printing or cancel.
識別パターンは、例えば、図41(B)に示すようなドットで印字される。図41(B)は、識別パターンを拡大した例を示す図である。図41(B)において、識別パターン646は、例えば、縦12ドット、横8ドットを間隔3ドット(つまり画像サイズは48pixel × 32pixel)の識別画像データである。 The identification pattern is printed with dots as shown in FIG. FIG. 41B is a diagram illustrating an example in which the identification pattern is enlarged. In FIG. 41B, the identification pattern 646 is identification image data having, for example, 12 dots vertically and 8 dots horizontally with an interval of 3 dots (that is, the image size is 48 pixels × 32 pixels).
上下左右を識別するために右1列と下1行はすべてドットを打っておき、その他の11×7=77ドットに77ビットのコードをエンコードするようにすれば良い。ビットの値が1であればドットを打ち、0であればドットを打たないという単純なルールでこれを実現することができる。 In order to identify the top, bottom, left, and right, all the right column and bottom row should be dotted with dots, and the other 11 × 7 = 77 dots should be encoded with a 77-bit code. This can be realized by a simple rule that a dot is hit if the bit value is 1, and no dot is hit if the bit value is 0.
図41(C)は、図41(B)に示す識別パターンのエンコードの例を示す図である。図41(C)において、図41(B)に示す識別パターン646は、上記エンコードによってビットパターン647となる。ドットが乱れたときに識別エラーが発生するため、誤り訂正符号を入れるようにしても良い。 FIG. 41C is a diagram showing an example of encoding of the identification pattern shown in FIG. In FIG. 41C, the identification pattern 646 shown in FIG. 41B becomes a bit pattern 647 by the above encoding. Since an identification error occurs when the dots are disturbed, an error correction code may be inserted.
例えば、ユーザ52がデジタル複合機70のプリンタ機能を利用して、ドキュメントビューア53からポータブルドキュメントを印刷する場合に、印刷の要件として機密印刷モードが指定される場合の図29のS3019での要件処理のシーケンスについて図42で詳細に説明する。図42は、機密印刷モードの要件処理シーケンスを示す図である。 For example, when the user 52 uses the printer function of the digital multifunction peripheral 70 to print a portable document from the document viewer 53, the requirement processing in S3019 in FIG. 29 when the confidential printing mode is designated as the printing requirement. The sequence will be described in detail with reference to FIG. FIG. 42 is a diagram showing a requirement processing sequence in the confidential printing mode.
図42において、ユーザ52がドキュメントビューア53に表示したポータブルドキュメント63に対して印刷要求をすると、ドキュメントビューア53は、ユーザ52に対してパスワードを要求する(S4001)。ユーザ52がパスワードを入力すると(S4002)、ドキュメントビューア53は、ユーザ52の端末51にインストールされているプリンタドライバ54に機密印刷モード及びパスワードを設定する(S4003)。そして、ドキュメントビューア53は、プリンタドライバ54に印刷指示を行う(S4004)。 42, when the user 52 makes a print request for the portable document 63 displayed on the document viewer 53, the document viewer 53 requests a password from the user 52 (S4001). When the user 52 inputs a password (S4002), the document viewer 53 sets the confidential print mode and password in the printer driver 54 installed on the terminal 51 of the user 52 (S4003). Then, the document viewer 53 gives a print instruction to the printer driver 54 (S4004).
プリンタドライバ54は、ドキュメントビューア53による印刷指示に応じて、PDL(Page Description Language)を生成して(S4005)、PDL(例えば、RPCS又はポストスクリプト)と、機密印刷モードと、パスワードとがデジタル複合機70へ送信する(S4006)。その後、プリンタドライバ54は、ドキュメントビューア53に対して印刷終了を通知する(S4007)。 The printer driver 54 generates a PDL (Page Description Language) in response to a print instruction from the document viewer 53 (S4005), and the PDL (for example, RPCS or postscript), the confidential print mode, and the password are digitally combined. It transmits to the machine 70 (S4006). Thereafter, the printer driver 54 notifies the document viewer 53 of the end of printing (S4007).
一方、デジタル複合機70は、プリンタドライバ54から受信したPDLと、機密印刷モードと、パスワードとを一時的に内部のハードディスクに保存し(S4008)、ユーザ52によるパスワードの入力を待つ。 On the other hand, the digital multifunction peripheral 70 temporarily stores the PDL received from the printer driver 54, the confidential printing mode, and the password in the internal hard disk (S4008), and waits for the user 52 to input the password.
ユーザ52は、ポータブルドキュメント63をデジタル複合機70から出力させるために、デジタル複合機70にパスワードを入力する(S4009)。 The user 52 inputs a password to the digital multifunction peripheral 70 in order to output the portable document 63 from the digital multifunction peripheral 70 (S4009).
デジタル複合機70は、ユーザ52から入力されたパスワードとプリンタドライバ54から受信したパスワードとを照合して、一致した場合に印刷処理を実行する(S4010)。一致しない場合、デジタル複合機70は、印刷処理を行わない。印刷処理の実行によって、ポータブルドキュメント63が印刷されたペーパードキュメント62が、デジタル複合機70から出力される(S4011)。 The digital multi-function peripheral 70 collates the password input from the user 52 with the password received from the printer driver 54, and executes a printing process if they match (S4010). If they do not match, the digital multi-function peripheral 70 does not perform print processing. By executing the printing process, the paper document 62 on which the portable document 63 is printed is output from the digital multi-function peripheral 70 (S4011).
このような機密印刷モードの処理シーケンスによって、ユーザ52以外の他のユーザに、デジタル複合機70にて出力されたペーパードキュメント62を見られること、また、持って行かれることを防止することができる。 By such a confidential print mode processing sequence, it is possible to prevent other users other than the user 52 from seeing and taking the paper document 62 output from the digital multifunction peripheral 70. .
また、ユーザ52がデジタル複合機70のプリンタ機能を利用して、ドキュメントビューア53からポータブルドキュメントを印刷する場合に、印刷の要件として地紋印刷モードが指定される場合の図29のS3019での要件処理のシーケンスについて図42で詳細に説明する。図43は、地紋印刷モードの要件処理シーケンスを示す図である。 In addition, when the user 52 prints a portable document from the document viewer 53 using the printer function of the digital multi-function peripheral 70, the requirement processing in S3019 of FIG. 29 when the copy-forgery-inhibited pattern printing mode is designated as a printing requirement. The sequence will be described in detail with reference to FIG. FIG. 43 is a diagram showing a requirement processing sequence in the tint block printing mode.
図43において、ドキュメントユーア53は、ユーザ52の端末51にインストールされているプリンタドライバ54に地紋印刷が可能か否かを確認する(S5001)。確認後、ドキュメントユーア53は、プリンタドライバ54に対して、地紋印刷モードと指定文字列とを送信し(S5002)、そして、印刷指示を行う(S5003)。 In FIG. 43, the document user 53 confirms whether or not copy-forgery-inhibited pattern printing is possible with the printer driver 54 installed in the terminal 51 of the user 52 (S5001). After confirmation, the document user 53 transmits the copy-forgery-inhibited pattern print mode and the designated character string to the printer driver 54 (S5002), and issues a print instruction (S5003).
プリンタドライバ54は、地紋印刷モードと指定文字列とを受信し、印刷指示をドキュメントビューア53から受信すると、指定文字列に従った地紋入りPDLを生成する(S5004)。そして、プリンタドライバ54は、デジタル複合機70へ地紋入りのPDLを送信する(S5005)。 The printer driver 54 receives the copy-forgery-inhibited pattern print mode and the designated character string, and when receiving a print instruction from the document viewer 53, generates a PDL with a copy-forgery-inhibited pattern according to the designated character string (S5004). Then, the printer driver 54 transmits a PDL with a background pattern to the digital multi-function peripheral 70 (S5005).
以下、セキュリティサーバ200によってアプリシステム400から提供される情報を企業のセキュリティポリシーに対応させる抽象化処理について詳述する。
[セキュリティサーバによる抽象化処理]
セキュリティサーバ200による抽象化処理を説明するために、各テーブル250から270は、図44から図48に示すようなデータを管理していると仮定する。
Hereinafter, the abstraction processing for associating the information provided from the application system 400 by the security server 200 with the company security policy will be described in detail.
[Abstract processing by security server]
In order to explain the abstraction processing by the security server 200, it is assumed that the tables 250 to 270 manage data as shown in FIGS.
図44は、ユーザ権限レベルテーブルで管理されるデータ例を示す図である。図44において、ユーザ権限レベルテーブル250は、図5に示す構造体UserMapに従ってデータを管理する。例えば、「principalId」としての「GroupLeaders/Sales/Com」は、「entryType」が「group」であり、「levelId」が「manager」であることが示される。このように、他のデータについても同様に示される。 FIG. 44 is a diagram illustrating an example of data managed in the user authority level table. 44, the user authority level table 250 manages data according to the structure UserMap shown in FIG. For example, “GroupLeaders / Sales / Com” as “principalId” indicates that “entryType” is “group” and “levelId” is “manager”. In this way, the other data is similarly shown.
このようなユーザ管理レベルテーブル250は、例えば、XML(eXtensible Markup Language)で記述することによって、図45に示すようなXMLファイルでデータを管理しても良い。図45は、ユーザ権限レベルテーブルのXMLファイルを示す図である。 Such a user management level table 250 may manage data in an XML file as shown in FIG. 45 by describing it in XML (eXtensible Markup Language), for example. FIG. 45 is a diagram showing an XML file of the user authority level table.
図45において、ユーザ権限レベルテーブル250は、図5に示すデータ構造251に従って、データ構造251に示す構造体名及び要素名がタグで示された階層的なデータ構造でユーザ権限レベルテーブル250のデータが記述される。例えば、<UserMapList>タグの下位層には、並列に<UserMap>タグによって複数のユーザに関するデータが記述され、各<UserMap>タグの下位層には、< principalId>タグと、<EntryType>タグと、<LevelId>タグとによって要素に対応させたデータが記述される。 45, the user authority level table 250 is a hierarchical data structure in which the structure names and element names shown in the data structure 251 are indicated by tags in accordance with the data structure 251 shown in FIG. Is described. For example, in the lower layer of the <UserMapList> tag, data related to multiple users is described in parallel by the <UserMap> tag, and in each lower layer of the <UserMap> tag, a <principalId> tag, an <EntryType> tag, and , <LevelId> tag describes the data corresponding to the element.
図46は、ドキュメントプロファイル管理テーブルで管理されるデータ例を示す図である。図46において、ドキュメントプロファイル管理テーブル260は、図6に示す構造体データ261に従って、データ構造261に示す構造体名及び要素名がタグで示された階層的なデータ構造でドキュメントプロファイル管理テーブル260のデータが記述される。例えば、「docId」としての「0000000001」は、「docCategory」が「development」であり、「docLevel」が「secret」であり、「relatedPersons」が「Members/Dev/Com」であり、「zones」が「ANY」であり、「nondisclosure」が「2005/04/01」であり、「retention」が「2010/04/01」であり、「validity」が空欄であることが示される。このように、他のデータについても同様に示される。 FIG. 46 is a diagram illustrating an example of data managed by the document profile management table. 46, the document profile management table 260 has a hierarchical data structure in which the structure name and element name shown in the data structure 261 are indicated by tags in accordance with the structure data 261 shown in FIG. Data is described. For example, for “0000000001” as “docId”, “docCategory” is “development”, “docLevel” is “secret”, “relatedPersons” is “Members / Dev / Com”, and “zones” is “ANY”, “nondisclosure” is “2005/04/01”, “retention” is “2010/04/01”, and “validity” is blank. In this way, the other data is similarly shown.
このようなドキュメントプロファイル管理テーブル26は、ユーザ管理レベルテーブル250のようにXMLファイルとすることができるが、ドキュメント毎にテーブルのエントリを作成するため、テーブルの規模が大きくなるため、データベースで管理する方が良い。 Such a document profile management table 26 can be an XML file like the user management level table 250. However, since a table entry is created for each document, the size of the table becomes large, so that it is managed by a database. Better.
図47は、ゾーン管理テーブルで管理されるデータ例を示す図である。図47において、ゾーン管理テーブル270は、図7に示す構造体データ271に従って、データ構造271に示す構造体名及び要素名がタグで示された階層的なデータ構造でゾーン管理テーブル270のデータが記述される。例えば、「id」としての「saleszone01」は、「name」が「Sales (Yokohama)」であり、「addressInfo」の「address」が「192.207.138.1」であり、「addressesInfo」の「addressType」が「IP」であり、「addressesInfo」の「netmask」が「255.255.255.0」であることが示される。更に、1つに「id」に対して複数の「addressInfo」を管理することができるため、「saleszone01」に対して更に、addressInfo」の「address」が「192.207.139.1」であり、「addressesInfo」の「addressType」が「IP」であり、「addressesInfo」の「netmask」が「255.255.255.0」であることが示される。このように、他のデータについても同様に示される。 FIG. 47 is a diagram showing an example of data managed by the zone management table. 47, the zone management table 270 has a hierarchical data structure in which the structure name and element name shown in the data structure 271 are indicated by tags in accordance with the structure data 271 shown in FIG. Described. For example, in “saleszone01” as “id”, “name” is “Sales (Yokohama)”, “addressInfo” “address” is “192.207.138.1”, and “addressesInfo” “addressType” is “ IP ”and“ netmask ”of“ addressesInfo ”is“ 255.255.255.0 ”. Furthermore, since multiple “addressInfo” can be managed for one “id”, the “address” of “addressInfo” is “192.207.139.1” for “saleszone01”, and “addressesInfo” “AddressType” of “IP” is “IP” and “netmask” of “addressesInfo” is “255.255.255.0”. In this way, the other data is similarly shown.
このようなゾーン管理テーブル270は、例えば、XMLで記述することによって、図48に示すようなXMLファイルでデータを管理しても良い。図48は、ゾーン管理テーブルのXMLファイルを示す図である。 Such a zone management table 270 may be managed in an XML file as shown in FIG. 48 by describing it in XML, for example. FIG. 48 is a diagram showing an XML file of the zone management table.
図48において、ゾーン管理テーブル270は、図7に示すデータ構造271に従って、データ構造271に示す構造体名及び要素名がタグで示された階層的なゾーン管理テーブル270のデータが記述される。例えば、<ZoneInfoTable>タグの下位層には、並列に<ZoneInfo>タグによって複数のゾーンに関するデータが記述され、各<ZoneInfo>タグの下位層には、<Id>タグと、<Name>タグと、<AddressInfo>タグとによって要素に対応させたデータが記述される。<AddressInfo>タグでは、更に、下位層を構成し、<Address>タグと、<AddressType>タグと、<Netmask>タグとによって要素に対応させたデータが記述される。<AddressInfo>タグは、<AddressInfo>タグの配下に複数構成しても良い。 48, the zone management table 270 describes the data of the hierarchical zone management table 270 in which the structure name and the element name shown in the data structure 271 are indicated by tags in accordance with the data structure 271 shown in FIG. For example, data related to multiple zones is described in parallel in the lower layer of the <ZoneInfoTable> tag by the <ZoneInfo> tag, and in the lower layer of each <ZoneInfo> tag, the <Id> tag, <Name> tag, and , <AddressInfo> tag describes data corresponding to the element. The <AddressInfo> tag further constitutes a lower layer, and data corresponding to the element is described by an <Address> tag, an <AddressType> tag, and a <Netmask> tag. A plurality of <AddressInfo> tags may be configured under the <AddressInfo> tag.
そして、例えば、ポリシーファイル240には、図49及び図50に示されるようにアクセス制御ルールが記述される。図49及び図50は、ポリシーファイルに記述されるアクセス制御ルールを示す図である。 For example, in the policy file 240, access control rules are described as shown in FIGS. 49 and 50 are diagrams showing access control rules described in the policy file.
図49及び図50において、ポリシーファイル240では、<Policy>タグの記述701から</Policy>タグの記述702までにドキュメント毎にアクセス制御ルールが規定される。例えば、ポリシーファイル240では、<Rule>タグの記述703から</Rule>タグの記述704で文書属性に応じたルール1が示され、他<Rule>タグから</Rule>タグによって他の文書属性に応じたルール2及びルール3が示される。 49 and 50, in the policy file 240, an access control rule is defined for each document from a <Policy> tag description 701 to a </ Policy> tag description 702. For example, in the policy file 240, the rule 1 corresponding to the document attribute is shown in the description 704 of the <Rule> tag to the description 704 of the </ Rule> tag. Rules 2 and 3 corresponding to the attributes are shown.
ルール1の記述について説明し、ルール2及びルール3は、同様の記述方法であるためその説明を省略する。 The description of rule 1 will be described. Since rules 2 and 3 have the same description method, the description thereof will be omitted.
ルール1は、<DocCategory>sales</DocCategory>及び<DocLevel>topsecret</DocLevel>の記述705は、文書カテゴリが「sales(販売部門)」であって、かつ、文書レベルが「topsecret(極秘文書)」である文書属性に対するアクセス制御ルールが規定されていることを示している。次に、記述705による文書属性において、<Ace>タグから</Ace>タグまでの記述710及び720において、ユーザ属性に応じたアクセス制御ルールが複数記述される。 Rule 1 is that the description 705 of <DocCategory> sales </ DocCategory> and <DocLevel> topsecret </ DocLevel> is that the document category is “sales (sales department)” and the document level is “topsecret (confidential document). ")" Indicates that an access control rule for the document attribute is defined. Next, in the document attribute according to the description 705, in the descriptions 710 and 720 from the <Ace> tag to the </ Ace> tag, a plurality of access control rules according to the user attribute are described.
記述710では、<UserCategory>RELATED_PERSON</UserCategory>、 <UserLevel>manager</UserLevel>及び<Zone>RESTRICTED</Zone>の記述711は、ユーザカテゴリが「RELATED_PERSON(関係者)」であって、かつ、ユーザレベルが「manager(管理者)」であって、かつ、ゾーンが「RESTRICTED(制限される)」であるユーザ属性に対するアクセス制御ルールが記述される。更に、記述720では、<UserCategory>RELATED_PERSON</UserCategory>及び<UserLevel>ANY</UserLevel>の記述721は、ユーザカテゴリが「RELATED_PERSON(関係者)」であって、かつ、ユーザレベルが「ANY(非限定)」であるユーザ属性に対するアクセス制御ルールが記述される。記述721ではゾーンは特に指定されない。このように、1つの文書属性に対して、複数のユーザ属性毎にアクセス制御ルールが記述される。 In the description 710, the description 711 of <UserCategory> RELATED_PERSON </ UserCategory>, <UserLevel> manager </ UserLevel>, and <Zone> RESTRICTED </ Zone> has the user category “RELATED_PERSON (related party)” and The access control rule for the user attribute whose user level is “manager (manager)” and whose zone is “RESTRICTED (restricted)” is described. Furthermore, in the description 720, the description 721 of <UserCategory> RELATED_PERSON </ UserCategory> and <UserLevel> ANY </ UserLevel> has a user category “RELATED_PERSON (related party)” and a user level “ANY ( An access control rule for a user attribute that is “unlimited” is described. In the description 721, no zone is specified. Thus, an access control rule is described for each of a plurality of user attributes for one document attribute.
記述710では、<Operation>から</Operation>の記述712及び713は、アクセス制御ルールが適応されるオペレーションが示される。 In the description 710, descriptions 712 and 713 from <Operation> to </ Operation> indicate an operation to which the access control rule is applied.
記述712では、<id>read</id>の記述により、記述705に属するドキュメントが、記述711に属するユーザ52に対してそのドキュメントの読込(read)を許可することを示している。 The description 712 indicates that the document belonging to the description 705 permits the user 52 belonging to the description 711 to read the document by the description of <id> read </ id>.
また、記述713では、<id>print</id>の記述により、記述705に属するドキュメントが、記述711に属するユーザ52に対してそのドキュメントの印刷(print)を続いて記述される要件を処理することによって許可することを示している。 Further, in the description 713, the description of <id> print </ id> processes the requirement that the document belonging to the description 705 is subsequently described for the user 52 belonging to the description 711 to print the document. Indicates that you allow by.
この記述713では、ドキュメントの印刷(print)時の要件として3つの要件が指定されている。<Requirement>、<id>private_access</id>及び</Requirement>の記述714により、印刷時の要件として「private_access(機密印刷モード)」が指定される。 In this description 713, three requirements are specified as requirements for printing a document. According to the description 714 of <Requirement>, <id> private_access </ id>, and </ Requirement>, “private_access (confidential print mode)” is specified as a requirement at the time of printing.
また、<Requirement>、<id>print_alarm</id>及び<Supplement>"Printed by %u"</Supplement>の記述715により、印刷時の要件として、「print_alarm(警告の印刷)」が「Printed by %u」で指定される文字フォーマットによる警告文字で行われることが指定される。 Also, according to the description 715 of <Requirement>, <id> print_alarm </ id> and <Supplement> "Printed by% u" </ Supplement>, “print_alarm (print warning)” is “Printed” It is specified that the warning character is used in the character format specified by “by% u”.
更に、<id>identifiable_bg_pattern</id>及び<Supplement>dynamic_image</Supplement> の記述716により、印刷時の要件として、「identifiable_bg_pattern(識別パターンの印刷)」が「dynamic_image(動的画像)」で指定される識別パターン画像で地紋文字列によって行われることが指定される。 Furthermore, according to the description 716 of <id> identifiable_bg_pattern </ id> and <Supplement> dynamic_image </ Supplement>, “identifiable_bg_pattern” is specified as “dynamic_image” as a printing requirement. The identification pattern image is designated to be performed by a tint block character string.
さて、上記したようなデータを前提として、例えば、「Com」会社の「Sales」部門の「Marketing」グループのリーダである「Taro Yamada」がIPアドレス「192.207.138.64」のPCから文書IDが「0000000003」の文書を印刷する場合、例えば、図51に示すような認証結果情報が、ユーザ管理サーバ300によってアプリシステム400に対して提供される。図51は、認証結果情報の一例を示す図である。 Given the above data, for example, “Taro Yamada” who is the leader of the “Marketing” group of the “Sales” department of the “Com” company has a document ID of “192.207.138.64” from the PC with the IP address “192.207.138.64”. When printing the document “0000000003”, for example, authentication result information as shown in FIG. 51 is provided to the application system 400 by the user management server 300. FIG. 51 is a diagram illustrating an example of authentication result information.
図51において、認証結果情報は、図12に示すデータ構造501に従って、例えば、「userId」として「Taro Yamada/Sales/Com」、「userName」として「Taro Yamada」、「groups」として「Members/Sales/Com」、「Marketing/Sales/Com」、「Employee/Com」、そして「GroupLeaders/Sales/Com」が示される。 In FIG. 51, the authentication result information includes, for example, “Taro Yamada / Sales / Com” as “userId”, “Taro Yamada” as “userName”, and “Members / Sales” as “groups” in accordance with the data structure 501 shown in FIG. / Com "," Marketing / Sales / Com "," Employee / Com ", and" GroupLeaders / Sales / Com "are shown.
「Taro Yamda」はこのような認証結果情報によって特定され、セキュリティサーバ200は許可処理を実行する。セキュリティサーバ200において、ユーザ権限レベルマッピング部232は、認証結果情報の「Taro Yamda」と、図44に示すユーザ権限レベルテーブル250とを照合する。「userId」又は「groups」の中で「GroupLeaders/Sales/Com」が最初に一致し、「manager」にマッピングされる(図4の(1))。 “Taro Yamda” is specified by such authentication result information, and the security server 200 executes a permission process. In the security server 200, the user authority level mapping unit 232 collates the authentication result information “Taro Yamda” with the user authority level table 250 shown in FIG. In “userId” or “groups”, “GroupLeaders / Sales / Com” first matches and is mapped to “manager” ((1) in FIG. 4).
そして、ユーザ区分マッピング部233は、図46に示すドキュメントプロファイル管理テーブル260を参照して、「0000000003」の文書の「relatedPersons」の「Members/Sales/Com」と照らし合わせて関係者か否かを判定する。ユーザ区分マッピング部233は、「Taro Yamada」は「Members/Sales/Com」に所属しているため、関係者であると判定する(図4の(2))。 Then, the user category mapping unit 233 refers to the document profile management table 260 shown in FIG. 46 to determine whether or not the person is a related person in comparison with “Members / Sales / Com” of “relatedPersons” of the document “0000000003”. judge. The user category mapping unit 233 determines that “Taro Yamada” belongs to “Members / Sales / Com” and is therefore a related party ((2) in FIG. 4).
アクセス種別は、印刷(print)である(図4の(3))。 The access type is print ((3) in FIG. 4).
ゾーンマッピング部234は、例えば、図52に示すようなコンテキスト情報を受信する。図52は、コンテキスト情報の一例を示す図である。図52において、コンテキスト情報には、「ipAddress」として「192.207.138.64」、及び、「macAddress」として「02-36-55-22-78-01」が指定される。 The zone mapping unit 234 receives context information as shown in FIG. 52, for example. FIG. 52 is a diagram illustrating an example of context information. In FIG. 52, “192.207.138.64” is designated as “ipAddress” and “02-36-55-22-78-01” is designated as “macAddress” in the context information.
ゾーンマッピング部234は、ドキュメントプロファイル管理テーブル160を参照して、「0000000003」の文書の「zones」として「saleszone01」と「saleszone02」を取得する。ゾーンマッピング部234は、更に、ゾーン管理テーブル270を参照して、「saleszone01」と「saleszone02」とに含まれるIPアドレス及びMACアドレスのリストを取得する。図52に示すコンテキスト情報のIPアドレス「192.207.138.64」が「saleszone01」に含まれるため、ゾーン内と判定する(図4の(4))。 The zone mapping unit 234 refers to the document profile management table 160 and acquires “saleszone01” and “saleszone02” as “zones” of the document “0000000003”. The zone mapping unit 234 further refers to the zone management table 270 to obtain a list of IP addresses and MAC addresses included in “saleszone01” and “saleszone02”. Since the IP address “192.207.138.64” of the context information shown in FIG. 52 is included in “saleszone01”, it is determined to be in the zone ((4) in FIG. 4).
ドキュメントセキュリティ属性マッピング部235は、例えば、図53に示すようなドキュメント識別情報を受信する。図53は、ドキュメント識別情報の一例を示す図である。図53において、ドキュメント識別情報には、「docId」として「0000000003」が指定される。この場合、「printId」及び「image」は指定されない。 For example, the document security attribute mapping unit 235 receives document identification information as shown in FIG. FIG. 53 is a diagram showing an example of document identification information. In FIG. 53, “0000000003” is designated as “docId” in the document identification information. In this case, “printId” and “image” are not specified.
ドキュメントセキュリティ属性マッピング部235は、ドキュメントプロファイル管理テーブル260を参照して、「0000000003」の文書の文書カテゴリが「sales」で、機密レベルが「topsecret」であると判定する(図4の(5))。 The document security attribute mapping unit 235 refers to the document profile management table 260 and determines that the document category of the document “0000000003” is “sales” and the confidentiality level is “topsecret” ((5) in FIG. 4). ).
上記のような各マッピング部232、233及び234でのマッピング処理によって、ユーザ権限レベルとして「manager」、関係者区分として「関係者」、アクセス種別として「print」、ゾーン区分として「ゾーン内」、文書カテゴリとして「sales」、機密レベルとして「topsecret」という抽象的なパラメータにマッピングすることができる。 By the mapping process in each of the mapping units 232, 233 and 234 as described above, the user authority level is “manager”, the related party classification is “related party”, the access type is “print”, the zone classification is “in zone”, It can be mapped to abstract parameters “sales” as document category and “topsecret” as confidential level.
この抽象的なパラメータに基づいて、ポリシーベースアクセス制御判断部241が、図49に示されるポリシーファイル240で記述されるアクセス制御ルール(ポリシー)に従って、許可されるか否かを判定すると、記述711及び713により、「sales」の「topsecret」は関係者の「manager」クラスに「print」を許可している。ただし、「private_access(機密印刷モード)」と、「print_alarm(警告の印刷)」と、「identifiable_bg_pattern(識別パターンの印刷)」とが要件として規定されているため、図54に示すようなアクセス制御判断結果を返す。 When the policy-based access control determination unit 241 determines whether or not the policy is permitted according to the access control rule (policy) described in the policy file 240 shown in FIG. And 713, the “topsecret” of “sales” permits “print” to the “manager” class of the parties concerned. However, since “private_access (confidential print mode)”, “print_alarm (print warning)”, and “identifiable_bg_pattern (print identification pattern)” are defined as requirements, access control determination as shown in FIG. Returns the result.
図54は、判断結果情報の一例を示す図である。図54において、判断結果情報では、「allowed」として「true(許可)」が設定され、「requirements」には、「requirement」として「private_access(機密印刷モード)」が指定され、この要件に対する「supplements(補足情報)」、「data」及び「alternatives」は指定されない。また、「requirement」として「print_alarm(警告の印刷)」が指定され、この要件に対する「supplements(補足情報)」として「“Printed by Taro Yamda”」が指定され、「data」及び「alternatives」は指定されない。更に、「requirement」として「identifiable_bg_pattern(識別パターンの印刷)」が指定され、この要件に対する「supplements(補足情報)」として「dynamic_image(動的画像)」及び「data」として[binary image data](バイナリデータによる実際の動的画像)が指定され、「alternatives」は指定されない。 FIG. 54 is a diagram illustrating an example of determination result information. 54, in the determination result information, “true (permitted)” is set as “allowed”, “private_access (confidential print mode)” is specified as “requirement” in “requirements”, and “supplements” for this requirement (Supplementary information) "," data ", and" alternatives "are not specified. Also, “print_alarm” is specified as “requirement”, “Printed by Taro Yamda” is specified as “supplements” for this requirement, and “data” and “alternatives” are specified Not. In addition, “identifiable_bg_pattern” is specified as “requirement”, “dynamic_image” as “supplements” and “binary image data” (binary) as “data” for this requirement. Actual dynamic image by data) is specified, and “alternatives” is not specified.
ここで、ポリシーファイル240のアクセス制御ルールでは、「Printed by %u」と記述されているが、補正処理により%uの部分がTaro Yamadaに置き換えられる。 Here, although “Printed by% u” is described in the access control rule of the policy file 240, the portion of% u is replaced with Taro Yamada by the correction process.
また、ポリシーファイル240のアクセス制御ルールにおいて「dynamic_image」と記述されていて、アクセス種別が「print」の場合には、図55に示すようなプリントプロファイル管理テーブル280に新しいプリントプロファイルのエントリを作成する。図55は、プリントプロファイル管理テーブルの一例を示す図である。図55において、新しいプリントプロファイルのエントリを作成することによって、「printId」を取得する。そして、その「printId」をエンコードして識別画像データにする.その識別画像データを上記の「data」に[binary image data]として格納する。 If “dynamic_image” is described in the access control rule of the policy file 240 and the access type is “print”, a new print profile entry is created in the print profile management table 280 as shown in FIG. . FIG. 55 is a diagram illustrating an example of a print profile management table. In FIG. 55, “printId” is acquired by creating a new print profile entry. Then, the “printId” is encoded into identification image data. The identification image data is stored in [data] as [binary image data].
識別画像データは、例えば、印刷時に紙面に重ねて印刷され、後で識別したり追跡したりするために利用することができる。図56は、印刷された識別パターンの例を示す図である。図56に示すように、例えば、図41(B)に示されるような識別パターン646が重ねられて印刷される。 The identification image data is printed, for example, on a sheet of paper at the time of printing, and can be used for later identification or tracking. FIG. 56 is a diagram illustrating an example of a printed identification pattern. As shown in FIG. 56, for example, an identification pattern 646 as shown in FIG. 41B is overlaid and printed.
もしも同じ文書に同じ端末51から別のユーザ52、例えば、図57に示すような認証結果情報によって特定される「Hanako Satoh」が印刷を要求した場合について説明する。図57は、認証結果情報のその他の例を示す図である。 A case will be described where another user 52, for example, “Hanako Satoh” specified by authentication result information as shown in FIG. 57 requests printing from the same terminal 51 to the same document. FIG. 57 is a diagram illustrating another example of the authentication result information.
図57において、認証結果情報は、図12に示すデータ構造501に従って、例えば、「userId」として「Hanako Satoh/Sales/Com」、「userName」として「Hanako Satoh」、「groups」として「Members/Sales/Com」、「Marketing/Sales/Com」、そして「Employee/Com」が示される。 In FIG. 57, the authentication result information includes, for example, “Hanako Satoh / Sales / Com” as “userId”, “Hanako Satoh” as “userName”, and “Members / Sales” as “groups” in accordance with the data structure 501 shown in FIG. / Com "," Marketing / Sales / Com ", and" Employee / Com "are shown.
「Hanako Satoh」はこのような認証結果情報によって特定され、セキュリティサーバ200は許可処理を実行する。許可処理の実行によって、ユーザ権限レベルは「regular」、関係者区分は「関係者」、アクセス種別は「print」、ゾーン区分は「ゾーン内」、文書カテゴリは「sales」、機密レベルは「topsecret」となり、図49に示されるポリシーファイル240で記述されるアクセス制御ルール(ポリシー)に従って判定すると、アクセス制御判断結果は、許可されないことになる。 “Hanako Satoh” is specified by such authentication result information, and the security server 200 executes a permission process. By executing the permission process, the user authority level is “regular”, the party category is “stakeholder”, the access type is “print”, the zone category is “in-zone”, the document category is “sales”, and the confidentiality level is “topsecret” If the access control rule (policy) described in the policy file 240 shown in FIG. 49 is determined, the access control determination result is not permitted.
また、もしも「Taro Yamada」が「0000000001」の文書を参照(read)しようとしたとすると、該当するポリシーが規定されておらず、アクセス制御判断結果は、許可されないことになる。 If “Taro Yamada” tries to read (read) the document “0000000001”, the corresponding policy is not defined and the access control determination result is not permitted.
また、先に「Taro Yamada」が印刷した紙をデジタル複合機70で複写する場合、デジタル複合機70は、紙面をスキャンした画像データに基づいて、セキュリティサーバ200に対してアクセス制御の問い合わせを行う。 Further, when the paper previously printed by “Taro Yamada” is copied by the digital multi-function peripheral 70, the digital multi-function peripheral 70 makes an access control inquiry to the security server 200 based on the image data obtained by scanning the paper surface. .
セキュリティサーバ200は、デジタル複合機70から図58(A)又は図58(B)に示すようなドキュメント識別情報を受信する。 The security server 200 receives document identification information as shown in FIG. 58A or 58B from the digital multi-function peripheral 70.
図58は、ドキュメント識別情報の例を示す図である。図58(A)は、画像データそのものをセキュリティサーバへ送信する場合のドキュメント識別情報の一例を示す図である。図58(A)において、「docId」及び「printId」は指定されず、「image」に画像データがバイナリ([binary image data])が設定される。 FIG. 58 is a diagram showing an example of document identification information. FIG. 58A shows an example of document identification information when image data itself is transmitted to the security server. In FIG. 58A, “docId” and “printId” are not specified, and binary image data ([binary image data]) is set in “image”.
図58(B)は、画像データをデコードしてセキュリティサーバへ送信する場合のドキュメント識別情報の一例を示す図である。図58(B)において、「docId」及び「image」は指定されず、「printId」にデジタル複合機70でエンコードされたバイナリの画像データ([binary image data])が設定される。 FIG. 58B is a diagram showing an example of document identification information when image data is decoded and transmitted to the security server. In FIG. 58B, “docId” and “image” are not specified, and binary image data ([binary image data]) encoded by the digital multi-function peripheral 70 is set in “printId”.
セキュリティサーバ200は、図58(A)に示すようなバイナリの画像データをデジタル複合機70から受信した場合、「printId」として「p000000001」を取得する。その「printId」に基づいて、プリントプロファイルを参照して、「docId」として「0000000003」を取得する。そして、セキュリティサーバ200は、「Taro Yamada」による「print」の場合と同様に、アクセス種別が「copy」を示す場合のポリシーに従ってアクセス制御判断を行う。 When the binary image data as illustrated in FIG. 58A is received from the digital multi-function peripheral 70, the security server 200 acquires “p000000001” as “printId”. Based on the “printId”, referring to the print profile, “0000000003” is acquired as “docId”. The security server 200 determines access control according to the policy when the access type indicates “copy”, as in the case of “print” by “Taro Yamada”.
上記より、本発明によれば、セキュリティサーバ200がアプリシステム400から提供される情報等を企業のセキュリティポリシーに対応させるために抽象化することができる。つまり、アプリシステム400から提供される抽象度の低い情報を抽象度の高いセキュリティポリシーに対応させるために抽象度を上げることができる。従って、組織のセキュリティポリシーに従って、電子文書のみならず紙文書のセキュリティを確保することができる。 As described above, according to the present invention, the security server 200 can abstract the information provided from the application system 400 in order to correspond to the security policy of the company. That is, the degree of abstraction can be increased in order to make the low-level information provided from the application system 400 correspond to a security policy with a high degree of abstraction. Therefore, according to the security policy of the organization, it is possible to ensure the security of not only the electronic document but also the paper document.
文書管理サーバとドキュメントビューア53とが、サーバドキュメント61及びポータブルドキュメント等の電子文書に対するアクセス制御を組織のセキュリティポリシーに従って行い、ドキュメントユーバ53からポータブルドキュメント63を印刷する際に、ポリシーに従ってセキュリティ処理を行うことで、印刷者本人に印刷された紙文書をポリシーに従って適切に扱わせることができる。 The document management server and the document viewer 53 perform access control on the electronic document such as the server document 61 and the portable document according to the organizational security policy, and perform security processing according to the policy when the portable document 63 is printed from the document user 53. Thus, the paper document printed by the printer himself / herself can be appropriately handled according to the policy.
また、印刷されたペーパードキュメント62をデジタル複合機70で複写する際にもポリシーに従って、その処理をコントロールすることができる。 In addition, when the printed paper document 62 is copied by the digital multifunction peripheral 70, the processing can be controlled according to the policy.
従って、一般オフィスにおいて、紙文書と電子文書のセキュリティを十分確保可能となる。 Accordingly, it is possible to ensure sufficient security of paper documents and electronic documents in a general office.
50 イニシエータ
51 端末
52 ユーザ
53 ドキュメントビューア
61 サーバドキュメント
62 ペーパードキュメント
63 ポータブルドキュメント
70 デジタル複合機
100 文書管理システム
200 セキュリティサーバ
240 ポリシーファイル
250 ユーザ権限レベルテーブル
260 ドキュメントプロファイル管理テーブル
270 ゾーン管理テーブル270
280 プリントプロファイル管理テーブル
300 ユーザ管理サーバ
310 ユーザ管理テーブル
400 アプリシステム
50 Initiator 51 Terminal 52 User 53 Document Viewer 61 Server Document 62 Paper Document 63 Portable Document 70 Digital Multifunction Machine 100 Document Management System 200 Security Server 240 Policy File 250 User Authority Level Table 260 Document Profile Management Table 270 Zone Management Table 270
280 Print profile management table 300 User management server 310 User management table 400 Application system
Claims (25)
上記第二情報に基づいて、抽象的に規定されるセキュリティポリシーを参照することによって、上記対象情報へのアクセス制御を判断するアクセス制御判断手段と、
上記アクセス制御判断手段による上記対象情報へのアクセス制御を示す判断結果を上記アクセス判断要求を行った要求元へ送信する判断結果送信手段とを有することを特徴とするアクセス制御判断システム。 Upon receiving an access determination request for requesting access control determination to access target information, an abstract that converts the first information specified in the access determination request into second information having a higher abstraction level than the first information Degree conversion means;
An access control determination means for determining access control to the target information by referring to an abstractly defined security policy based on the second information;
An access control determination system comprising: determination result transmission means for transmitting a determination result indicating access control to the target information by the access control determination means to a request source that has made the access determination request.
上記第一情報に基づいて、抽象度の異なる該第一情報と上記第二情報とを対応付けて管理する管理テーブルを参照することによって、該第二情報へとマッピグするマッピング手段をすることを特徴とする請求項1記載のアクセス制御判断システム。 The abstraction conversion means is:
Based on the first information, mapping means for mapping to the second information by referring to a management table that manages the first information and the second information having different degrees of abstraction in association with each other The access control determination system according to claim 1, wherein:
上記第一情報に基づいて、抽象度の異なる該第一情報と上記第二情報とを対応付けて管理する第一管理テーブルを参照することによって、該第二情報へとマッピグする第一マッピング手段と、
上記第一情報に基づいて、抽象度の異なる該第一情報と上記第二情報とは異なる第三情報とを対応付けて管理する第二管理テーブルを参照することによって、該第三情報へとマッピグする第二マッピング手段とを有し、
上記アクセス制御判断手段は、
上記第二情報及び上記第三情報の少なくとも一方に基づいて、上記セキュリティポリシーを参照することによって、上記対象情報へのアクセス制御を判断することを特徴とする請求項1記載のアクセス制御判断システム。 The abstraction conversion means is:
Based on the first information, a first mapping means for mapping to the second information by referring to a first management table for managing the first information and the second information having different degrees of abstraction in association with each other When,
Based on the first information, the third information is obtained by referring to the second management table that manages the first information having different abstraction levels and the third information different from the second information in association with each other. A second mapping means for mapping,
The access control determination means is
The access control determination system according to claim 1, wherein access control to the target information is determined by referring to the security policy based on at least one of the second information and the third information.
上記第一情報に基づいて、該第一情報と該第一情報とは属性の異なる中間情報とを対応付けて管理する第一管理テーブルを参照することによって該中間情報を取得し、取得した該中間情報に基づいて、該中間情報と上記第一情報の抽象度とは異なる上記第二情報とを対応付けて管理する第二管理テーブルを参照することによって該第二情報へとマッピングするマッピング手段を有することを特徴とする請求項1記載のアクセス制御判断システム。 The abstraction conversion means is:
Based on the first information, the intermediate information is acquired by referring to the first management table that associates and manages the first information and the intermediate information having different attributes. Mapping means for mapping to the second information by referring to a second management table that associates and manages the intermediate information and the second information different from the abstraction level of the first information based on the intermediate information The access control determination system according to claim 1, further comprising:
上記判断結果送信手段は、判断結果に要件を示す情報を付加して上記要求元へ送信することを特徴とする請求項1記載のアクセス制御判断システム。 The access control determining means determines access control with a requirement for permitting access to the target information in accordance with the security policy,
2. The access control determination system according to claim 1, wherein the determination result transmission means adds information indicating a requirement to the determination result and transmits the information to the request source.
アクセスされる対象情報へのアクセス制御の判断を要求するアクセス判断要求の受信し、
上記アクセス判断要求にて指定される第一情報を該第一情報より抽象度の高い第二情報へ変換し、
上記第二情報に基づいて、上記格納領域に格納された上記セキュリティポリシーを参照することによって上記対象情報へのアクセス制御を判断し、
上記対象情報へのアクセス制御を示す判断結果を上記アクセス判断要求を行った要求元へ送信することを特徴とするアクセス制御判断方法。 Security policy that can be set from the outside and defined abstractly is stored in the storage area,
Receiving an access determination request for requesting an access control determination to the target information to be accessed;
Converting the first information specified in the access determination request into second information having a higher abstraction level than the first information;
Based on the second information, the access control to the target information is determined by referring to the security policy stored in the storage area,
An access control determination method, comprising: transmitting a determination result indicating access control to the target information to a request source that has made the access determination request.
アクセスされる対象情報へのアクセス制御の判断を要求するアクセス判断要求の受信し、
上記アクセス判断要求にて指定される第一情報を該第一情報より抽象度の高い第二情報へ変換し、
上記第二情報に基づいて、上記格納領域に格納された上記セキュリティポリシーを参照することによって上記対象情報へのアクセス制御を判断し、
上記対象情報へのアクセス制御を示す判断結果を上記アクセス判断要求を行った要求元へ送信することをコンピュータに実行させることを特徴とするアクセス制御判断プログラム。 Security policy that can be set from the outside and defined abstractly is stored in the storage area,
Receiving an access determination request for requesting an access control determination to the target information to be accessed;
Converting the first information specified in the access determination request into second information having a higher abstraction level than the first information;
Based on the second information, the access control to the target information is determined by referring to the security policy stored in the storage area,
An access control determination program for causing a computer to transmit a determination result indicating access control to the target information to a request source that has made the access determination request.
アクセスされる対象情報へのアクセス制御の判断を要求するアクセス判断要求の受信し、
上記アクセス判断要求にて指定される第一情報を該第一情報より抽象度の高い第二情報へ変換し、
上記第二情報に基づいて、上記格納領域に格納された上記セキュリティポリシーを参照することによって上記対象情報へのアクセス制御を判断し、
上記対象情報へのアクセス制御を示す判断結果を上記アクセス判断要求を行った要求元へ送信することをコンピュータに実行させることを特徴とするアクセス制御判断プログラムを記憶したコンピュータ読み取り可能な記憶媒体。 Security policy that can be set from the outside and defined abstractly is stored in the storage area,
Receiving an access determination request for requesting an access control determination to the target information to be accessed;
Converting the first information specified in the access determination request into second information having a higher abstraction level than the first information;
Based on the second information, the access control to the target information is determined by referring to the security policy stored in the storage area,
A computer-readable storage medium storing an access control determination program, which causes a computer to transmit a determination result indicating access control to the target information to a request source that has made the access determination request.
上記アクセス制御執行手段は、更に、
上記アクセス制御情報によって指定される上記アクセスを実行するための要件を実行できるか否かを判断する要件可否判断手段を有し、
上記要件可否判断手段による判断結果に基づいて、上記要件を満たすように上記対象情報に対する上記アクセス制御を執行することを特徴とするアクセス制御執行システム。 Based on access control information that specifies control related to access to target information in accordance with a security policy, access control enforcement means for executing access control on the target information;
The access control enforcement means further includes:
A requirement availability judging means for judging whether or not the requirement for executing the access specified by the access control information can be executed;
An access control execution system for executing the access control on the target information so as to satisfy the requirements based on a determination result by the requirement availability determination means.
上記要件可否判断手段による上記判断結果が上記要件を満たすように上記アクセスを実行できないことを示す場合、上記対象情報への上記アクセスを禁止するアクセス禁止手段を有することを特徴とする請求項16記載のアクセス制御執行システム。 The access control enforcement means further includes:
17. The apparatus according to claim 16, further comprising: an access prohibiting unit that prohibits the access to the target information when the determination result by the requirement availability determining unit indicates that the access cannot be performed so as to satisfy the requirement. Access control enforcement system.
上記要件可否判断手段による上記判断結果が上記要件を満たすように上記アクセスを実行できないことを示す場合、上記アクセス制御情報にて指定される代替要件を見たすように上記アクセス制御を執行することを特徴とする請求項17記載のアクセス制御執行システム。 The access control enforcement means is
When the determination result by the requirement availability determination means indicates that the access cannot be executed so as to satisfy the requirement, the access control is executed so as to find the alternative requirement specified in the access control information. The access control enforcement system according to claim 17.
上記要件可否判断手段による上記判断結果が上記要件を満たすように上記アクセスを実行できないことを示す場合、上記アクセス制御情報によって指定される上記代替要件を実行できるか否かを判断する代替要件可否判断手段を有し、
上記代替要件可否判断手段による判断結果が上記代替要件を実行できないことを示す場合、上記アクセスを禁止することを特徴とする請求項18記載のアクセス制御執行システム。 The access control enforcement means further includes:
When the determination result by the requirement determination unit indicates that the access cannot be performed so as to satisfy the requirement, the replacement requirement determination for determining whether the replacement requirement specified by the access control information can be executed Having means,
19. The access control execution system according to claim 18, wherein the access is prohibited when the result of determination by the replacement requirement availability determination means indicates that the replacement requirement cannot be executed.
上記アクセス制御判断システムから上記アクセス制御の判断の要求に応じて提供される上記アクセス制御情報を受信するアクセス制御受信手段とを更に有し、
上記アクセス制御執行手段は、上記アクセス制御受信手段によって受信した上記アクセス制御情報に基づいて、上記対象情報に対する上記アクセス制御を執行することを特徴とする請求項16乃至23のいずれか一項記載のアクセス制御執行システム。 An access determination request means for requesting an access control determination to an access control determination system that determines an access control according to the security policy that is abstractly defined in response to an access request to the target information;
Access control receiving means for receiving the access control information provided in response to the access control determination request from the access control determination system;
24. The access control execution unit executes the access control for the target information based on the access control information received by the access control reception unit. Access control enforcement system.
上記アクセス制御情報によって指定される上記アクセスを実行するための要件を実行できるか否かを判断し、
その判断結果に基づいて、上記要件を満たすように上記対象情報に対する上記アクセス制御を執行することを特徴とするアクセス制御執行システム。 Based on access control information that specifies control related to access to the target information according to the security policy, when executing access control for the target information,
Determine whether the requirements for performing the access specified by the access control information can be executed,
An access control execution system that executes the access control for the target information so as to satisfy the requirements based on the determination result.
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003315996A JP2005038372A (en) | 2003-06-23 | 2003-09-08 | Access control decision system, and access control execution system |
| US10/872,574 US20050021980A1 (en) | 2003-06-23 | 2004-06-22 | Access control decision system, access control enforcing system, and security policy |
| EP04014618A EP1507402A3 (en) | 2003-06-23 | 2004-06-22 | Access control decision system, access control enforcing system, and security policy |
| US12/275,796 US8302205B2 (en) | 2003-06-23 | 2008-11-21 | Access control decision system, access control enforcing system, and security policy |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003178033 | 2003-06-23 | ||
| JP2003315996A JP2005038372A (en) | 2003-06-23 | 2003-09-08 | Access control decision system, and access control execution system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005038372A true JP2005038372A (en) | 2005-02-10 |
Family
ID=34220124
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003315996A Pending JP2005038372A (en) | 2003-06-23 | 2003-09-08 | Access control decision system, and access control execution system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005038372A (en) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007034447A (en) * | 2005-07-25 | 2007-02-08 | Fujitsu Support & Service Kk | Information management device and information management system |
| JP2007065777A (en) * | 2005-08-29 | 2007-03-15 | Ricoh Co Ltd | Electronic data distribution system, electronic data distribution program, recording medium with the program recorded thereon, and input device |
| JP2008123201A (en) * | 2006-11-10 | 2008-05-29 | Fuji Xerox Co Ltd | Image processing program, indicating device, processing apparatus, and image processing system |
| JP2008158857A (en) * | 2006-12-25 | 2008-07-10 | Fuji Xerox Co Ltd | Document registration program, system and device |
| JP2009512001A (en) * | 2006-08-10 | 2009-03-19 | コリア インスティテュート フォー エレクトロニック コマース | Electronic document storage system for performing proof of fact and proof of electronic document, and electronic document registration method, browsing method, issuing method, transfer method, certificate issuing method performed in the system |
| WO2010140628A1 (en) * | 2009-06-03 | 2010-12-09 | 株式会社 東芝 | Access control system |
| US7969619B2 (en) | 2006-08-08 | 2011-06-28 | Ricoh Company, Ltd. | Information tracking method, image forming apparatus, information processing apparatus, and information tracking program |
| JP2012018698A (en) * | 2011-10-24 | 2012-01-26 | Ricoh Co Ltd | Portable information processor, electronic device, operation control method, and operation control program |
| US8259328B2 (en) | 2006-12-20 | 2012-09-04 | Ricoh Company, Ltd. | Apparatus for transmitting image |
| KR101468019B1 (en) * | 2013-04-17 | 2014-12-02 | 삼성전자주식회사 | The data transmitting method in image forming apparatus and the image forming apparatus for performing the method |
| KR101586339B1 (en) * | 2014-09-29 | 2016-01-18 | 주식회사 포워드벤처스 | System and method for executing application |
| US9727745B2 (en) | 2008-09-24 | 2017-08-08 | S-Printing Solution Co., Ltd. | Data transmitting method of image forming apparatus and image forming apparatus for performing data transmitting method |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH02216561A (en) * | 1989-02-17 | 1990-08-29 | Hitachi Ltd | Multi-level secrecy protective system |
| JPH103429A (en) * | 1996-06-19 | 1998-01-06 | Kobe Nippon Denki Software Kk | Picture processor |
| JPH11161672A (en) * | 1997-12-01 | 1999-06-18 | Mitsubishi Electric Corp | Server |
| JPH11338825A (en) * | 1998-05-29 | 1999-12-10 | Hitachi Ltd | Access control method considering configuration of organization |
| JP2000020377A (en) * | 1998-06-30 | 2000-01-21 | Lion Corp | Database system, data managing method and storage medium storing software for data management |
| JP2000231509A (en) * | 1999-02-10 | 2000-08-22 | Mitsubishi Electric Corp | Access control method in computer system |
| JP2001184264A (en) * | 1999-12-16 | 2001-07-06 | Internatl Business Mach Corp <Ibm> | Access control system, access control method, storage medium, and program transmitting device |
| WO2002003215A1 (en) * | 2000-06-30 | 2002-01-10 | Matsushita Electric Industrial Co., Ltd. | User information control device |
| JP2003069595A (en) * | 2001-08-24 | 2003-03-07 | Sanyo Electric Co Ltd | Access control system |
| JP2003122635A (en) * | 2001-08-03 | 2003-04-25 | Matsushita Electric Ind Co Ltd | Access right control system |
| JP2004280227A (en) * | 2003-03-13 | 2004-10-07 | E4C-Link Corp | Documentation management system |
-
2003
- 2003-09-08 JP JP2003315996A patent/JP2005038372A/en active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH02216561A (en) * | 1989-02-17 | 1990-08-29 | Hitachi Ltd | Multi-level secrecy protective system |
| JPH103429A (en) * | 1996-06-19 | 1998-01-06 | Kobe Nippon Denki Software Kk | Picture processor |
| JPH11161672A (en) * | 1997-12-01 | 1999-06-18 | Mitsubishi Electric Corp | Server |
| JPH11338825A (en) * | 1998-05-29 | 1999-12-10 | Hitachi Ltd | Access control method considering configuration of organization |
| JP2000020377A (en) * | 1998-06-30 | 2000-01-21 | Lion Corp | Database system, data managing method and storage medium storing software for data management |
| JP2000231509A (en) * | 1999-02-10 | 2000-08-22 | Mitsubishi Electric Corp | Access control method in computer system |
| JP2001184264A (en) * | 1999-12-16 | 2001-07-06 | Internatl Business Mach Corp <Ibm> | Access control system, access control method, storage medium, and program transmitting device |
| WO2002003215A1 (en) * | 2000-06-30 | 2002-01-10 | Matsushita Electric Industrial Co., Ltd. | User information control device |
| JP2003122635A (en) * | 2001-08-03 | 2003-04-25 | Matsushita Electric Ind Co Ltd | Access right control system |
| JP2003069595A (en) * | 2001-08-24 | 2003-03-07 | Sanyo Electric Co Ltd | Access control system |
| JP2004280227A (en) * | 2003-03-13 | 2004-10-07 | E4C-Link Corp | Documentation management system |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007034447A (en) * | 2005-07-25 | 2007-02-08 | Fujitsu Support & Service Kk | Information management device and information management system |
| JP4732820B2 (en) * | 2005-07-25 | 2011-07-27 | 株式会社富士通エフサス | Information management system |
| JP2007065777A (en) * | 2005-08-29 | 2007-03-15 | Ricoh Co Ltd | Electronic data distribution system, electronic data distribution program, recording medium with the program recorded thereon, and input device |
| US7969619B2 (en) | 2006-08-08 | 2011-06-28 | Ricoh Company, Ltd. | Information tracking method, image forming apparatus, information processing apparatus, and information tracking program |
| JP2009512001A (en) * | 2006-08-10 | 2009-03-19 | コリア インスティテュート フォー エレクトロニック コマース | Electronic document storage system for performing proof of fact and proof of electronic document, and electronic document registration method, browsing method, issuing method, transfer method, certificate issuing method performed in the system |
| JP4918092B2 (en) * | 2006-08-10 | 2012-04-18 | ナショナル アイティ− インダストリ− プロモ−ション エ−ジェンシ− | Electronic document storage system for performing proof of fact and proof of electronic document, and electronic document registration method, browsing method, issuing method, transfer method, certificate issuing method performed in the system |
| JP2008123201A (en) * | 2006-11-10 | 2008-05-29 | Fuji Xerox Co Ltd | Image processing program, indicating device, processing apparatus, and image processing system |
| US8259328B2 (en) | 2006-12-20 | 2012-09-04 | Ricoh Company, Ltd. | Apparatus for transmitting image |
| JP2008158857A (en) * | 2006-12-25 | 2008-07-10 | Fuji Xerox Co Ltd | Document registration program, system and device |
| US9727745B2 (en) | 2008-09-24 | 2017-08-08 | S-Printing Solution Co., Ltd. | Data transmitting method of image forming apparatus and image forming apparatus for performing data transmitting method |
| WO2010140628A1 (en) * | 2009-06-03 | 2010-12-09 | 株式会社 東芝 | Access control system |
| JP2010282362A (en) * | 2009-06-03 | 2010-12-16 | Toshiba Corp | Access control system |
| JP4649523B2 (en) * | 2009-06-03 | 2011-03-09 | 株式会社東芝 | Access control system |
| JP2012018698A (en) * | 2011-10-24 | 2012-01-26 | Ricoh Co Ltd | Portable information processor, electronic device, operation control method, and operation control program |
| KR101468019B1 (en) * | 2013-04-17 | 2014-12-02 | 삼성전자주식회사 | The data transmitting method in image forming apparatus and the image forming apparatus for performing the method |
| KR101586339B1 (en) * | 2014-09-29 | 2016-01-18 | 주식회사 포워드벤처스 | System and method for executing application |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1507402A2 (en) | Access control decision system, access control enforcing system, and security policy | |
| JP4826265B2 (en) | Security policy assigning apparatus, program, and method | |
| US20040125402A1 (en) | Document printing program, document protecting program, document protecting system, document printing apparatus for printing out a document based on security policy | |
| CN101192135B (en) | Access control apparatus, access control method and printing system | |
| US7526812B2 (en) | Systems and methods for manipulating rights management data | |
| JP4704010B2 (en) | Image forming apparatus, image forming system, security management apparatus, and security management method | |
| JP4398685B2 (en) | Access control determination system, access control determination method, access control determination program, and computer-readable storage medium storing the program | |
| US8340346B2 (en) | Information processing device, information processing method, and computer readable medium | |
| US20050168769A1 (en) | Security print system and method | |
| JP4706574B2 (en) | Printing system and program | |
| US20050171914A1 (en) | Document security management for repeatedly reproduced hardcopy and electronic documents | |
| JP4922656B2 (en) | Document security system | |
| JP4527374B2 (en) | Image forming apparatus and document attribute management server | |
| US7784102B2 (en) | Method for secure access to document repositories | |
| US8335985B2 (en) | Document use managing system, document processing apparatus, manipulation authority managing apparatus, document managing apparatus and computer readable medium | |
| JP4282301B2 (en) | Access control server, electronic data issuing workflow processing method, program thereof, computer apparatus, and recording medium | |
| JP2005038372A (en) | Access control decision system, and access control execution system | |
| US20210099612A1 (en) | Method and system for secure scan and copy | |
| JP2008301480A (en) | Cac (common access card) security and document security enhancement | |
| JP4719420B2 (en) | Permission grant method, access permission processing method, program thereof, and computer apparatus | |
| JP2004152261A (en) | Document print program, document protection program, and document protection system | |
| US8208157B2 (en) | System and apparatus for authorizing access to a network and a method of using the same | |
| KR102179513B1 (en) | QR code printing method and system for outputted documents using image forming apparatus | |
| JP4954254B2 (en) | Security policy | |
| US20060101523A1 (en) | Automatic custom interface based upon the security level of a document |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060123 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090714 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090914 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091013 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091214 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100831 |