JP4465952B2 - 文書管理システムおよび方法 - Google Patents

文書管理システムおよび方法 Download PDF

Info

Publication number
JP4465952B2
JP4465952B2 JP2002313546A JP2002313546A JP4465952B2 JP 4465952 B2 JP4465952 B2 JP 4465952B2 JP 2002313546 A JP2002313546 A JP 2002313546A JP 2002313546 A JP2002313546 A JP 2002313546A JP 4465952 B2 JP4465952 B2 JP 4465952B2
Authority
JP
Japan
Prior art keywords
document
confidential
confidentiality
policy
browsing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002313546A
Other languages
English (en)
Other versions
JP2004151163A5 (ja
JP2004151163A (ja
Inventor
博行 江口
幸雄 山川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2002313546A priority Critical patent/JP4465952B2/ja
Publication of JP2004151163A publication Critical patent/JP2004151163A/ja
Publication of JP2004151163A5 publication Critical patent/JP2004151163A5/ja
Application granted granted Critical
Publication of JP4465952B2 publication Critical patent/JP4465952B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

【0001】
【発明の属する技術分野】
この発明は、文書管理システムおよび方法に関し、特に、機密保持を要する文書を管理する文書管理システムおよび方法に関する。
【0002】
【従来の技術】
近年、コンピュータ技術の発達に伴って、様々な文書が電子化されている。また、最近では、ネットワーク技術の発達に伴い、電子化された文書の交換や配布を容易に行うことができるようになっている。特に、インターネットが広く利用されるようになったことで、文書の交換や配布が広範囲に行うことができるようになっている。
【0003】
しかしながら、電子化された文書の流通量が増大するに従って、これらの文書から情報が漏洩する機会も増加しており、企業等においては、情報漏洩を防止することが新たな課題になりつつある。
【0004】
文書からの情報漏洩は、サーバ等へ蓄積された文書の不正取得、文書の配布時等における伝送過程での盗聴、正当な文書取得権者の過失若しくは意図的なもの等、様々な状況で発生し得る。このため、様々な状況における情報漏洩を防止するための技術が提案されている。
【0005】
このような技術としては、文書に対してその機密度等に応じて設定されたレベルの暗号化を施して、当該文書を保存、伝送するものがある(例えば、特許文献1参照)。
【0006】
また、配信する文書のアクセス権限や使用権限のコントロールをポリシーとして設定し、ポリシーサーバに登録するものがある。アクセス権限は、ユーザまたはグループ単位、時間単位、ネットワーク(ドメイン)単位で設定され、使用権限としては、印刷・転記の可/不可が設定可能となっている。また、文書配信後の権限の剥奪・変更もポリシーサーバ側で容易に行うことができる。
【0007】
【特許文献1】
特開平7−295892号公報
【0008】
【発明が解決しようとする課題】
上述のように、従来の技術では、文書の機密保護に際して文書に対して暗号化処理を施すものが多い。文書の暗号化処理では、暗号化と復号化の両者に共通の鍵を用いるものや、暗号化と復号化に異なる鍵を用いるもの等、様々な方式があるが、いずれの場合でも、鍵の管理が重要な課題となる。
【0009】
例えば、鍵をネットワークを介して伝送する場合には、その伝送時に鍵が不正取得されることが考えられる。また、鍵をサーバ等で管理する場合には、鍵の消失を防止するための仕組みやサーバへの攻撃に対処するための仕組み等を考慮する必要がある。
【0010】
また、文書の暗号化に際しては、当該文書を閲覧可能な権限者を設定する必要がある場合やその権限者の数に応じた暗号化処理を施す必要がある場合等もあり、暗号化処理自体に多大な手間を要することもある。
【0011】
そこで、この発明は、文書をその機密度に応じて容易に、かつ、適切に管理することができる文書管理システムおよび方法を提供することを目的とする。
【0012】
【課題を解決するための手段】
上述した目的を達成するため、請求項1の発明は、機密の保持を要する文書を管理する文書管理システムであって、文書に対する閲覧許可者を指定する情報と該閲覧許可者の正当性を証明するとともに閲覧許可者に固有の公開暗号鍵が含まれる証明書とを有する機密方針を管理し、機密方針に基づいて機密化された文書の閲覧の許可と不許可とを制御する管理装置と、前記管理装置が管理する機密方針から機密方針を取得するとともに、共通暗号鍵を生成し該生成した共通暗号鍵で機密化対象の文書を暗号化し、該共通暗号鍵を該取得した機密方針の証明書に含まれる公開暗号鍵で暗号化し、該暗号化した共通暗号鍵を該暗号化した文書に添付する暗号化処理を含む文書の機密化処理を実行する機密化装置と、前記公開暗号鍵に対応する秘密暗号鍵を有し、かつ、前記管理装置により機密化された文書の閲覧が許可されたことを条件に、該機密化された文書を復号化して表示する閲覧装置とを具備することを特徴とする。
【0013】
また、請求項2の発明は、請求項1の発明において、前記機密方針は、機密化対象の文書に貼り付けるイメージ情報を含み、前記機密化処理は、前記機密方針に基づくイメージを機密化対象の文書に貼り付ける処理を含むことを特徴とする。
【0014】
また、請求項3の発明は、請求項1の発明において、前記管理装置は、前記閲覧装置に対して所定期間内での機密化された文書の閲覧を許可し、前記閲覧装置は、前記所定期間内であることを条件に、前記管理装置から再度の許可を得ることなく該機密化された文書を復号化して表示することを特徴とする。
【0015】
また、請求項4の発明は、請求項1の発明において、前記機密方針は、機密化された文書の閲覧期限を含み、前記管理装置は、前記閲覧期限に基づいて前記閲覧装置による機密化された文書の閲覧を制御することを特徴とする。
【0016】
また、請求項5の発明は、請求項1の発明において、前記機密方針は、機密化された文書の印刷可否情報を含み、前記管理装置は、前記印刷か否情報に基づいて前記閲覧装置による機密化された文書の印刷処理を制御することを特徴とする。
【0017】
また、請求項6の発明は、機密の保持を要する文書を管理する文書管理方法であって、管理装置が、文書に対する閲覧許可者の指定と該閲覧許可者の正当性を証明するとともに閲覧許可者に固有の公開暗号鍵を含む証明書とを含む機密方針を記憶手段に記憶して管理し、機密化装置が、通信手段を介して前記管理装置が管理する機密方針を取得し、演算手段による共通暗号鍵を用いた演算処理で機密化対象の文書を暗号化するとともに、該共通暗号鍵を該取得した機密方針の証明書に含まれる公開暗号鍵を用いた演算処理で暗号化し、該暗号化した共通暗号鍵を該暗号化した文書に添付する暗号化処理を含む文書の機密化処理を実行し、閲覧装置が、前記公開暗号鍵に対応する秘密暗号鍵を記憶手段に記憶し、かつ、通信手段を介して前記管理装置から機密化された文書の閲覧を許可する情報を取得したことを条件に、該機密化された文書を復号化して表示することを特徴とする。
【0018】
また、請求項7の発明は、請求項6の発明において、前記機密方針は、機密化された文書の閲覧期限を含み、該閲覧期限に基づいて機密化された文書の閲覧を制御することを特徴とする。
【0019】
また、請求項8の発明は、請求項6の発明において、前記機密方針は、機密化された文書の印刷可否情報を含み、該印刷か否情報に基づいて機密化された文書の印刷処理を制御することを特徴とする。
【0043】
【発明の実施の形態】
以下、この発明に係る文書管理システムおよび方法の一実施の形態について、添付図面を参照して詳細に説明する。
【0044】
図1は、この発明に係る文書管理システムの基本的な構成例を示すブロック図である。同図に示すように、文書管理システムは、文書の管理に際して利用される様々な情報を管理する管理サーバ1と、当該文書管理システムの管理者が利用するクライアント2、文書の作成者が利用するクライアント3(3−1〜3−n)と、文書の閲覧者が利用するクライアント4(4−1〜4−m)がネットワーク5を介して接続されて構成される。
【0045】
図2は、図1に示した文書管理システムを実際に利用する際の構成例を示すブロック図である。同図に示すように、文書管理システムは、文書の管理に際して利用される様々な情報を管理する管理サーバ1と、当該文書管理システムの管理者が利用するクライアント2、文書の作成者が利用するクライアント3、文書の閲覧者が利用するクライアント4がインターネット6を介して接続されて構成される。なお、同図に示した構成では、説明の簡略化のため、クライアント3とクライアント4の数を1としているが、クライアント3とクライアント4は、それぞれ複数のものを利用可能である。また、管理者が利用するクライアント2の数も必ずしも1である必要はない。
【0046】
この構成において、管理サーバ1は、当該文書管理システムにおける機密ポリシーの管理を行うとともに、各ユーザの認証や、文書の属性、履歴、ログ等の管理を行う。
【0047】
クライアント2は、当該文書管理システムの管理者により操作され、管理者により、管理サーバ1が管理している機密ポリシーの設定や変更、ログの閲覧等が行われる。このクライアント2では、これらの処理を行うための専用のソフトウェアを動作させてもよいが、汎用のウェブブラウザによりこれらの処理を行うようにしてもよい。なお、クライアント2で汎用のウェブブラウザを利用する場合には、管理サーバ1でウェブサーバを動作させることとなる。
【0048】
クライアント3は、文書の作成者により操作され、作成した文書を機密文書化するための暗号化処理等を行う。暗号化処理に際しては、管理サーバ1が管理している機密ポリシーを利用する。
【0049】
クライアント4は、文書の閲覧者により操作され、機密化された文書の閲覧等を行うための復号化処理等を行う。
【0050】
なお、クライアント3とクライアント4は、以下に説明する両者の機能を兼ね備えたものとすることもできる。
【0051】
次に、図2に示した文書管理システムを構成する各部の詳細について説明するが、最初に、管理サーバ1の詳細について説明する。
【0052】
管理サーバ1は、機密ポリシーの管理を行うとともに、各ユーザの認証処理、文書属性の管理、文書属性に基づく文書の閲覧等の可否制御、文書に対する処理の履歴の管理、ログ情報の管理等を行う。
【0053】
機密ポリシーは、クライアント2を操作する管理者により設定されるもので、文書を機密化する際の閲覧許可者や文書への貼付イメージ、印刷可否、閲覧期限等の設定を有するものである。
【0054】
図3および図4は、機密ポリシーの構成例を示した図である。管理サーバ1へは、複数の機密ポリシーが設定可能であり、例えば、図3に示す機密ポリシー10A、図4(a)に示す機密ポリシー10B、図4(b)に示す機密ポリシー10Cが設定される。これらの機密ポリシー10A等には、任意の名前を付すことが可能である(図中では、それぞれ機密ポリシーA、機密ポリシーB、機密ポリシーCとしている)。
【0055】
機密ポリシーは、階層構造を有しており、閲覧許可者や文書への貼付イメージ、印刷可否、閲覧期限等が設定されている。例えば、機密ポリシー10Aには、閲覧許可者としてロール11Aとロール11Bが設定されている。ロールは、閲覧許可者のグループであり、ロール11Aには、閲覧許可者12Aが含まれている。また、ロール11Bには、さらにロール11Cが含まれており、これとともに閲覧許可者12B、閲覧許可者12Cが含まれている。ロール11Cには、閲覧許可者12Dと閲覧許可者12Eが含まれている。なお、ロール11A等には、任意の名前を付すことが可能である(図中では、ロールA等としている)。また、閲覧許可者12A等では、図中で閲覧許可者A等と表記しているが、実際には、閲覧許可者の氏名やユーザ名等の閲覧許可者を特定することのできる情報が設定されている。
【0056】
また、閲覧許可者12A等は、該当する閲覧許可者のデジタル証明書若しくは当該デジタル証明書を取得するための情報を含んでいる。つまり、機密ポリシーに閲覧許可者のデジタル証明書を含むように構成してもよく、デジタル証明書自体を含ませずに、これを取得するための情報を含むように構成してもよい。このデジタル証明書は、管理サーバ1で発行したものでもよく、他の認証機関が発行したものでもよく、情報に基づいてデジタル証明書の取得を行わせる場合には、その取得先は、管理サーバ1若しくは他の認証機関となる。
【0057】
また、機密ポリシー10Aには、文書への貼付イメージとして貼付イメージ13Aと貼付イメージ13Bが設定され、印刷可否制御情報として印刷可否設定14A、文書の閲覧期限情報として閲覧期限情報15Aが設定されている。貼付イメージ13Aや貼付イメージ13Bは、文書に貼り付けるイメージ自体若しくは、文書に貼り付けるイメージを生成するための情報が設定されている。文書に貼り付けるイメージとは、例えば、図5(a)に示す文書の所定の領域18に貼り付けを行うもので、図5(b)に示すような情報を含むものや図5(c)に示すシンボルのようなものがある。印刷可否設定14Aは、文書の印刷を許可するか否かの情報が設定されている。閲覧期限情報15Aは、文書の閲覧が許可される期限が設定されている。この期限は、機密ポリシー10Aで設定される全ての閲覧許可者に共通のものであってもよく、閲覧許可者毎に異なるものであってもよい。
【0058】
同様に、機密ポリシー10Bには、閲覧許可者12Dと閲覧許可者12Eを含むロール11Cが設定されるとともに、貼付イメージ13B、閲覧期限15Bが設定され、機密ポリシー10Cには、閲覧許可者12Aを含むロール11Aが設定されている。この機密ポリシー10B、機密ポリシー10Cの構成から明かなように、貼付イメージの設定や閲覧期限の設定は、任意である。
【0059】
また、管理サーバ1における各ユーザの認証処理は、デジタル証明書を利用して行う。デジタル証明書は、管理サーバ1で発行したものでもよく、他の認証機関が発行したものでもよい。このデジタル証明書は、クライアント2、クライアント3、クライアント4に設定されており、これらから管理サーバ1へアクセスが行われた際に、デジタル証明書の提示を受けてユーザ認証を行う。
【0060】
文書属性の管理は、クライアント3で文書が機密化された際に、クライアント3から当該文書を識別する識別情報とともに、当該文書の属性を受け取り、これを管理する。ここで管理する属性は、当該文書の閲覧期限や印刷可否の情報等である。
【0061】
文書の閲覧等の制御は、文書の閲覧者がクライアント4で文書を閲覧しようとする際に、クライアント4から文書の識別情報を受け取り、この識別情報と管理している文書属性に基づいて、閲覧の可否や印刷の可否をクライアント4に通知する。
【0062】
文書に対する処理の履歴の管理は、クライアント4で文書が閲覧されたり、印刷された際に、その処理情報を受け取り、これを蓄積して管理する。そして、文書の作成者等からの問合せがあった際に、この履歴を提示する。
【0063】
ログ情報の管理は、上述した各処理が行われる毎に発生するログ情報を蓄積して管理し、管理者等にからの問合せがあった際に、これを提示する。
【0064】
次に、クライアント3の詳細について説明する。クライアント3は、文書の作成者により操作されるもので、文書の機密化を行う。この文書の機密化処理は、専用のソフトウェアをクライアント3で動作させることで行ってもよく、ワードプロセッサ等の汎用の文書処理ソフトウェアのプラグインとして提供されるソフトウェアをクライアント3で動作させることで行ってもよい。
【0065】
ここで、クライアント3による文書の機密化処理について説明するが、まず、作成者によるクライアント3の操作の流れを説明する。図6は、作成者によるクライアント3の操作の流れを示すフローチャートである。
【0066】
まず、作成者は、文書の作成または編集を行う(ステップ101)。文書の作成または編集が終了すると、作成者は、メニュー等から当該文書の機密化を指示する(ステップ102)。これにより、クライアント3は、管理サーバ1へのアクセスを行うが、この際にデジタル証明書の提示が必要であるため、クライアント3に複数のデジタル証明書が設定されている場合には、該当するデジタル証明書を選択する(ステップ103)。そして、クライアント3は、管理サーバ1から機密ポリシーの一覧を取得し、これを作成者に提示する。これに応じて、作成者は、所望の機密ポリシーを選択する(ステップ104)。作成者が機密ポリシーを選択すると、クライアント3は、選択された機密ポリシーに従って文書の機密化を行う。その後、作成者は、機密化された文書を電子メール等を利用して配布し(ステップ105)、操作を終了する。
【0067】
ところで、作成者は、機密ポリシーを選択する際に、一覧表示のみでその内容を判別できない場合には、機密ポリシーの詳細を確認することとなる。その際に、機密ポリシーの詳細は、様々な形式で表示することができる。表示形式の1つとしては、機密ポリシーの階層構造をそのまま表示する方法である。この場合、例えば、図3に示した機密ポリシー10Aを表示する場合には、まず、図7(a)に示すように、最初の階層が表示される。ここで、作成者がロールBを選択すると、その表示は、図7(b)に示すように、次の階層が表示される。また、別の表示方法としては、ロールの表示を行わずに、各閲覧許可者を並列に列挙して表示する方法がある。この場合、機密ポリシー10Aを表示すると、図7(c)に示すような表示となる。また、閲覧期限や印刷可否を閲覧許可者別に設定している場合には、図7(d)に示すような表示となる。
【0068】
次に、クライアント3による文書の機密化の処理の流れを説明する。図8は、クライアント3による文書の機密化処理の流れを示すフローチャートである。
【0069】
クライアント3は、作成者による文書の機密化処理の指示操作を受け付けると、管理サーバ1へのアクセスを行い、認証処理を行う(ステップ151)、この認証処理に際しては、該当するデジタル証明書を管理サーバ1に提示する。認証に成功すると、クライアント3は、管理サーバ1から機密ポリシーの一覧を取得し、これを表示する(ステップ152)。
【0070】
その後、作成者により、機密ポリシーが選択されると、選択された機密ポリシーを管理サーバ1から取得する(ステップ153)。このとき、クライアント3は、機密ポリシーに含まれる閲覧許可者のデジタル証明書若しくは機密ポリシーから特定されるデジタル証明書も併せて管理サーバ1等から取得する。そして、取得した機密ポリシーに基づいて貼付イメージを文書に貼り付け(ステップ154)、印刷可否の設定等の属性を文書に設定する(ステップ155)。ただし、ステップ154およびステップ155の処理は、必ずしも実行されるわけではない(例えば、機密ポリシーに貼付イメージが含まれていない場合等)。
【0071】
次に、クライアント3は、文書を暗号化するための共通鍵を生成する(ステップ156)。この共通鍵は、クライアント3が任意に生成するものである。ただし、共通鍵は、必ずしもこのタイミングで生成する必要はなく、予め生成したものを保持しておき、これを取得するようにしてもよい。そして、生成した若しくは取得した共通鍵で文書を暗号化する(ステップ157)。
【0072】
続いて、クライアント3は、文書を暗号化した共通鍵を先に取得した閲覧許可者のデジタル証明書に含まれる公開鍵を用いて暗号化する(ステップ158)。この共通鍵の暗号化は、閲覧許可者の数に応じて各公開鍵を利用して実行される。そして、暗号化した共通鍵(複数の場合あり)と暗号化した文書を合成する(ステップ159)。その後、当該文書を識別する識別情報等の文書情報を管理サーバ1に送出し(ステップ160)。文書の機密化処理を終了する。
【0073】
ここで、クライアント3が実行する文書の機密化処理について、詳細に説明する。図9は、文書の機密化処理の流れを説明するための図である。
【0074】
クライアント3による文書の機密化処理では、まず、機密化しようとする文書30に暗号化処理を施すための共通鍵31を生成若しくは予め生成して保持しておいたものを取得し、この共通鍵31で文書30を暗号化し、暗号化文書32を得る。次に、管理サーバ1等から取得したデジタル証明書33(33A、33B、33C)のそれぞれに付されている公開鍵34(34A、34B、34C)を用いて、共通鍵31を暗号化する。この公開鍵34は、それぞれデジタル証明書33により証明される閲覧許可者に固有のものである。次に、クライアント3は、公開鍵34で共通鍵31を暗号化して得られる暗号化共通鍵35(35A、35B、35C)と先に暗号化された暗号化文書32とを合成し、機密文書36を得て、文書の機密化処理を終了する。
【0075】
この機密文書36は、上述したように暗号化文書32と暗号化共通鍵35により構成されるが、この機密文書36から元の文書30を得るためには、暗号化共通鍵35を復号化するための秘密鍵が必要であり、この秘密鍵は、それぞれの閲覧許可者のみが有しているものである。そして、秘密鍵により暗号化共通鍵35を復号化して共通鍵31を取得することができれば、暗号化文書32を復号化することができ、元の文書30を得ることができる。なお、機密文書36の閲覧(復号化処理を含む)についての詳細は、後述する。
【0076】
このような機密化処理を文書に施すことにより、同一の機密文書を複数の閲覧許可者に配布することが可能となる。これに対して、例えば、文書をそれぞれの閲覧許可者に対応する公開鍵で暗号化した場合には、閲覧許可者の数に応じた暗号化文書が生成されることとなり、その後の管理等が複雑となる。
【0077】
次に、クライアント4の詳細について説明する。クライアント4は、文書の閲覧者により操作されるもので、文書の機密化の解除等を行う。この文書の機密化解除の処理は、専用のソフトウェアをクライアント4で動作させることで行ってもよく、ワードプロセッサ等の汎用の文書処理ソフトウェアのプラグインとして提供されるソフトウェアをクライアント4で動作させることで行ってもよい。
【0078】
ここで、クライアント4による文書の機密化解除処理について説明するが、まず、閲覧者によるクライアント4の操作の流れを説明する。図10は、閲覧者によるクライアント4の操作の流れを示すフローチャートである。
【0079】
まず、閲覧者は、閲覧する文書を選択する(ステップ201)。選択した文書が機密文書であれば、クライアント4は、管理サーバ1へのアクセスを行うが、この際にデジタル証明書の提示が必要であるため、クライアント4に複数のデジタル証明書が設定されている場合には、該当するデジタル証明書を選択する(ステップ202)。そして、クライアント4は、管理サーバ1から閲覧許可通知を受けると、文書の機密化を解除して表示し、閲覧者が当該文書を閲覧して(ステップ203)、操作を終了する。このとき、クライアント4は、機密化を解除した文書をメモリ上に展開するが、ディスク等への記憶は行わない。そして、機密化を解除した状態での文書保存を禁止する。
【0080】
次に、クライアント4による文書の機密化解除の処理の流れを説明する。図11は、クライアント4による文書の機密化解除処理の流れを示すフローチャートである。
【0081】
クライアント4は、閲覧者による文書の閲覧指示操作を受け付けると、管理サーバ1へのアクセスを行い、認証処理を行う(ステップ251)、この認証処理に際しては、該当するデジタル証明書を管理サーバ1に提示する。認証に成功すると、クライアント4は、管理サーバ1に文書の識別情報を送信し、当該文書の閲覧が許可されていることを確認する(ステップ252)。この確認の結果、閲覧が許可されていなければ、直ちに処理を終了する。なお、閲覧が許可されている場合には、印刷可否の情報も併せて取得する。
【0082】
確認の結果、当該文書の閲覧が許可されていれば、機密文書から暗号化共通鍵を抽出し(ステップ253)、抽出した暗号化共通鍵を秘密鍵によって復号化する(ステップ254)。そして、復号化した共通鍵で暗号化文書を復号化し、復号化した文書を表示して閲覧者に閲覧させる(ステップ255)。そして、文書の機密化を解除した旨を通知する処理情報を管理サーバ1に送出する(ステップ256)。この後、閲覧者が当該文書の印刷を行わない場合には、クライアント4は、文書の機密化解除処理を終了する。
【0083】
また、閲覧者が当該文書の印刷を指示した場合には、クライアント4は、印刷が許可されていることを条件に印刷処理を実行し(ステップ257)、文書の印刷を行った旨を通知する処理情報を管理サーバ1に送出し(ステップ258)、文書の機密化解除処理を終了する。
【0084】
ここで、クライアント4が実行する文書の機密化解除処理について、詳細に説明する。図12は、文書の機密化解除処理の流れを説明するための図である。
【0085】
クライアント4による文書の機密化解除処理では、まず、クライアント4が有する閲覧者自身の秘密鍵を用いて、機密文書36に含まれている暗号化共通鍵35のうち、対応するもの、例えば、暗号化共通鍵35Bを復号化し、共通鍵31を得る。そして、この共通鍵31を用いて暗号化文書32を復号化して、元の文書30を得る。このとき、クライアント4は、文書30をメモリ上に展開するのみで、ディスク等への記憶は行わず、文書30としての保存は行わない。もちろん、ディスク等には、機密文書36が保存されているため、必要に応じて再度機密文書36の機密化を解除して閲覧を行うことができる。ただし、機密文書36の機密化を解除できるのは、閲覧が許可されている期間内である。
【0086】
次に、上述した文書の機密化処理および機密化解除処理において、管理サーバ1とクライアント3、クライアント4の間で授受される情報について説明する。図13は、管理サーバ1、クライアント3、クライアント4の間で授受される情報の流れを示した図である。
【0087】
文書の機密化が行われる際には、まず、クライアント3から管理サーバ1に認証情報としてデジタル証明書が提示される(ステップ301)。管理サーバ1がこの認証情報に基づいてクライアント3の認証を行い、認証に成功すると、その旨の応答がクライアント3に返される。
【0088】
続いて、クライアント3は、管理サーバ1に設定されている機密ポリシーの一覧情報の取得を要求し(ステップ302)、これに応じて、管理サーバ1が機密ポリシーの一覧情報をクライアント3に送信する(ステップ303)。
【0089】
次に、クライアント3が作成者により選択された機密ポリシーの取得要求を管理サーバ1に送信し(ステップ304)、これに応じて管理サーバ1が選択された機密ポリシーをクライアント3に送信する(ステップ305)。
【0090】
この後、クライアント3で文書の機密化が実行されると、その文書の識別情報等を含む文書情報がクライアント3から管理サーバ1に送信され(ステップ306)、機密化された文書がクライアント3からクライアント4に送信される(ステップ307)。
【0091】
その後、クライアント4により文書の機密化解除処理が行われる際に、クライアント4から管理サーバ1に認証情報としてデジタル証明書が提示される(ステップ308)。管理サーバ1がこの認証情報に基づいてクライアント4の認証を行い、認証に成功すると、その旨の応答がクライアント4に返される。
【0092】
続いて、クライアント4は、機密化を解除しようとする文書の識別情報等を含む文書情報を管理サーバ1に送信する(ステップ309)。管理サーバ1は、受信した文書情報に基づいて、当該文書の閲覧の可否を確認し、閲覧が可能であれば、閲覧を許可する許可情報をクライアント4に送信する(ステップ310)。そして、文書の閲覧が許可されたクライアント4が当該文書の機密化を解除すると、その旨を示す処理情報がクライアント4から管理サーバ1に送信される。
【0093】
ところで、クライアント4では、管理サーバ1に接続できない状態、つまり、オフラインの状態で機密化された文書の閲覧を行いたい場合が生じることが考えられる。このような要望に対処する方法としては、管理サーバ1からクライアント4に通知される閲覧許可に一定の有効期間を設けるようにすることで、クライアント4は、一度閲覧の許可を受ければ、一定の期間、オフラインで機密文書を閲覧することが可能となる。この場合のクライアント4の処理について説明する。
【0094】
図14は、オフライン状態でのクライアント4による文書の機密化解除処理の流れを示すフローチャートである。
【0095】
クライアント4は、閲覧者による文書の閲覧指示操作を受け付けると、管理サーバ1へのアクセスの可否を確認する。管理サーバ1へのアクセスが可能であるならば(ステップ401でYES)、上述した処理を行い、文書の機密化を解除する。
【0096】
一方、クライアント4からの管理サーバ1へのアクセスが不可能である場合には(ステップ401でNO)、クライアント4は、先に文書の機密化を解除した際の閲覧許可情報を確認する(ステップ402)。確認の結果、現時点での閲覧が許可されている、つまり、先に受けた閲覧許可が有効期間内であるならば(ステップ403でYES)、機密文書から暗号化共通鍵を抽出し(ステップ405)、抽出した暗号化共通鍵を秘密鍵によって復号化する(ステップ406)。そして、復号化した共通鍵で暗号化文書を復号化し、復号化した文書を表示して閲覧者に閲覧させる(ステップ407)。そして、文書の機密化を解除した旨を通知する処理情報を蓄積し(ステップ408)、文書の機密化解除処理を終了する。蓄積した処理情報は、後に管理サーバ1へのアクセスが可能となった際に、管理サーバ1へ送信される。また、先に受けた閲覧許可が無効となっている場合には(ステップ404でNO)、当然のことながら文書の閲覧は許可されないため、クライアント4は、直ちに処理を終了する。
【0097】
このように、クライアント4において、管理サーバ1とオフラインの状態で文書の機密化を解除する場合であっても、機密化の解除は閲覧が許可されている閲覧者の秘密鍵を必要とするため、第三者による機密化の解除は不可能である。逆に言えば、クライアント4が管理サーバ1とオンラインの状態での処理は、セキュリティが二重になっているものであると言える。
【0098】
【発明の効果】
以上説明したように、この発明によれば、文書の閲覧許可者の指定を含む機密ポリシーを管理サーバで管理し、機密文書を作成する作成側のクライアントが管理サーバから機密ポリシーを取得し、取得した機密ポリシーに基づいて文書の暗号化やイメージの貼付等を含む機密文書化処理を実行し、機密化された文書に関する情報を管理サーバで管理して、管理サーバが閲覧の可否や印刷の可否を制御するように構成したので、機密文書の作成者は、管理サーバで管理されている機密ポリシーから所望の機密ポリシーを選択するだけの操作で、文書を機密化することが可能となる。
【図面の簡単な説明】
【図1】この発明に係る文書管理システムの基本的な構成例を示すブロック図である。
【図2】図1に示した文書管理システムを実際に利用する際の構成例を示すブロック図である。
【図3】機密ポリシーの構成例を示した図(1)である。
【図4】機密ポリシーの構成例を示した図(2)である。
【図5】貼付イメージを説明するための図である。
【図6】作成者によるクライアント3の操作の流れを示すフローチャートである。
【図7】作成者への機密ポリシーの表示例を示した図である。
【図8】クライアント3による文書の機密化処理の流れを示すフローチャートである。
【図9】文書の機密化処理の流れを説明するための図である。
【図10】閲覧者によるクライアント4の操作の流れを示すフローチャートである。
【図11】クライアント4による文書の機密化解除処理の流れを示すフローチャートである。
【図12】文書の機密化解除処理の流れを説明するための図である。
【図13】管理サーバ1、クライアント3、クライアント4の間で授受される情報の流れを示した図である。
【図14】オフライン状態でのクライアント4による文書の機密化解除処理の流れを示すフローチャートである。
【符号の説明】
1 管理サーバ
2 クライアント
3、3−1〜3−n クライアント
4、4−1〜4−m クライアント
5 ネットワーク
6 インターネット
10A、10B、10C 機密ポリシー
11A、11B、11C ロール
12A、12B、12C、12D、12E 閲覧許可者
13A、13B 貼付イメージ
14A 印刷可否設定
15A、15B 閲覧期限情報
18 領域
30 文書
31 共通鍵
32 暗号化文書
33A、33B、33C デジタル証明書
34A、34B、34C 公開鍵
35A、35B、35C 暗号化共通鍵
36 機密文書
37 秘密鍵

Claims (8)

  1. 機密の保持を要する文書を管理する文書管理システムであって、
    文書に対する閲覧許可者を指定する情報と該閲覧許可者の正当性を証明するとともに閲覧許可者に固有の公開暗号鍵が含まれる証明書とを有する機密方針を管理し、機密方針に基づいて機密化された文書の閲覧の許可と不許可とを制御する管理装置と、
    前記管理装置が管理する機密方針から機密方針を取得するとともに、共通暗号鍵を生成し該生成した共通暗号鍵で機密化対象の文書を暗号化し、該共通暗号鍵を該取得した機密方針の証明書に含まれる公開暗号鍵で暗号化し、該暗号化した共通暗号鍵を該暗号化した文書に添付する暗号化処理を含む文書の機密化処理を実行する機密化装置と
    前記公開暗号鍵に対応する秘密暗号鍵を有し、かつ、前記管理装置により機密化された文書の閲覧が許可されたことを条件に、該機密化された文書を復号化して表示する閲覧装置と
    を具備する
    ことを特徴とする文書管理システム。
  2. 前記機密方針は、機密化対象の文書に貼り付けるイメージ情報を含み、
    前記機密化処理は、前記機密方針に基づくイメージを機密化対象の文書に貼り付ける処理を含む
    ことを特徴とする請求項記載の文書管理システム。
  3. 前記管理装置は、前記閲覧装置に対して所定期間内での機密化された文書の閲覧を許可し、
    前記閲覧装置は、前記所定期間内であることを条件に、前記管理装置から再度の許可を得ることなく該機密化された文書を復号化して表示する
    ことを特徴とする請求項記載の文書管理システム。
  4. 前記機密方針は、機密化された文書の閲覧期限を含み、
    前記管理装置は、前記閲覧期限に基づいて前記閲覧装置による機密化された文書の閲覧を制御する
    ことを特徴とする請求項記載の文書管理システム。
  5. 前記機密方針は、機密化された文書の印刷可否情報を含み、
    前記管理装置は、前記印刷か否情報に基づいて前記閲覧装置による機密化された文書の印刷処理を制御する
    ことを特徴とする請求項記載の文書管理システム。
  6. 機密の保持を要する文書を管理する文書管理方法であって、
    管理装置が、文書に対する閲覧許可者の指定と該閲覧許可者の正当性を証明するとともに閲覧許可者に固有の公開暗号鍵を含む証明書とを含む機密方針を記憶手段に記憶して管理し、
    機密化装置が、通信手段を介して前記管理装置が管理する機密方針を取得し、演算手段による共通暗号鍵を用いた演算処理で機密化対象の文書を暗号化するとともに、該共通暗号鍵を該取得した機密方針の証明書に含まれる公開暗号鍵を用いた演算処理で暗号化し、該暗号化した共通暗号鍵を該暗号化した文書に添付する暗号化処理を含む文書の機密化処理を実行し、
    閲覧装置が、前記公開暗号鍵に対応する秘密暗号鍵を記憶手段に記憶し、かつ、通信手段を介して前記管理装置から機密化された文書の閲覧を許可する情報を取得したことを条件に、該機密化された文書を復号化して表示する
    ことを特徴とする文書管理方法。
  7. 前記機密方針は、機密化された文書の閲覧期限を含み、該閲覧期限に基づいて機密化された文書の閲覧を制御することを特徴とする請求項記載の文書管理方法。
  8. 前記機密方針は、機密化された文書の印刷可否情報を含み、該印刷か否情報に基づいて機密化された文書の印刷処理を制御することを特徴とする請求項記載の文書管理方法。
JP2002313546A 2002-10-28 2002-10-28 文書管理システムおよび方法 Expired - Fee Related JP4465952B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002313546A JP4465952B2 (ja) 2002-10-28 2002-10-28 文書管理システムおよび方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002313546A JP4465952B2 (ja) 2002-10-28 2002-10-28 文書管理システムおよび方法

Publications (3)

Publication Number Publication Date
JP2004151163A JP2004151163A (ja) 2004-05-27
JP2004151163A5 JP2004151163A5 (ja) 2005-11-10
JP4465952B2 true JP4465952B2 (ja) 2010-05-26

Family

ID=32458106

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002313546A Expired - Fee Related JP4465952B2 (ja) 2002-10-28 2002-10-28 文書管理システムおよび方法

Country Status (1)

Country Link
JP (1) JP4465952B2 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2872979A1 (fr) * 2004-07-09 2006-01-13 France Telecom Systeme d'acces controle a des informations contenues dans un terminal
WO2006018864A1 (ja) * 2004-08-17 2006-02-23 Mitsubishi Denki Kabushiki Kaisha 記憶装置および記憶方法
JP2006079448A (ja) 2004-09-10 2006-03-23 Konica Minolta Business Technologies Inc データ管理方法、データ管理装置およびデータ管理サーバ
JP2006092292A (ja) * 2004-09-24 2006-04-06 Fuji Xerox Co Ltd 出力制御装置、出力装置及びプログラム
JP4673629B2 (ja) * 2004-10-13 2011-04-20 株式会社リコー 文書ファイル保護システム
JP2006119751A (ja) * 2004-10-19 2006-05-11 Victor Co Of Japan Ltd データ利用装置及び属性情報発行装置
JP4717464B2 (ja) 2005-02-18 2011-07-06 キヤノン株式会社 情報処理装置、情報処理方法及びプログラム
JP4831461B2 (ja) * 2005-03-15 2011-12-07 富士ゼロックス株式会社 文書処理装置及び方法
JP4843325B2 (ja) * 2006-02-06 2011-12-21 株式会社リコー 文書アクセス制御システム
JP4838631B2 (ja) * 2006-05-17 2011-12-14 富士通株式会社 文書アクセス管理プログラム、文書アクセス管理装置および文書アクセス管理方法
JP4835266B2 (ja) * 2006-05-30 2011-12-14 富士ゼロックス株式会社 暗号化転送装置及びプログラム
JP4569593B2 (ja) 2007-03-28 2010-10-27 日本電気株式会社 暗号通信システム、暗号通信方法、暗号化装置、及び、復号装置
US8887297B2 (en) * 2007-07-13 2014-11-11 Microsoft Corporation Creating and validating cryptographically secured documents
KR101300948B1 (ko) 2007-11-27 2013-09-16 캐논 덴시 가부시키가이샤 관리 서버, 클라이언트 단말기, 단말기 관리 시스템, 단말기 관리 방법, 및 기록 매체
JP5024056B2 (ja) * 2008-01-07 2012-09-12 富士ゼロックス株式会社 操作管理システム
JP5304736B2 (ja) * 2010-06-15 2013-10-02 日本電気株式会社 暗号通信システム、暗号通信方法、及び、復号装置

Also Published As

Publication number Publication date
JP2004151163A (ja) 2004-05-27

Similar Documents

Publication Publication Date Title
KR100423797B1 (ko) 디지털 정보 보안 방법 및 그 시스템
USRE44364E1 (en) Method of encrypting information for remote access while maintaining access control
US6978376B2 (en) Information security architecture for encrypting documents for remote access while maintaining access control
JP4350549B2 (ja) デジタル著作権管理のための情報処理装置
CN105122265B (zh) 数据安全服务***
JP4465952B2 (ja) 文書管理システムおよび方法
US20030051172A1 (en) Method and system for protecting digital objects distributed over a network
JP2004509398A (ja) ネットワークにわたって配布されるオブジェクトの保護のために監査証跡を確立するためのシステム
JP2004509399A (ja) ネットワークにわたって配布されるオブジェクトを保護するためのシステム
JP2010538349A (ja) 圧縮ファイルに係わるデジタル著作権の管理方法
CN114175580B (zh) 增强的安全加密和解密***
JP2002244927A (ja) データ配布システム
JP2002041347A (ja) 情報提供システムおよび装置
JP2005309887A (ja) 不正閲覧監視システム
JP3920971B2 (ja) データ通信システムおよび方法
JP5494171B2 (ja) ファイル管理システム、ストレージサーバ、クライアント、ファイル管理方法およびプログラム
JP3636087B2 (ja) 個人情報提供システム、個人情報提供方法、および個人情報提供プログラム
JP2009181598A (ja) デジタル著作権管理のための情報処理装置
JP2009093670A (ja) ファイルのセキュリティー管理システムおよび認証サーバ、クライアント装置ならびにプログラムおよび記録媒体
JP2004030056A (ja) コンテンツ利用制御の方法と装置並びにプログラム
JP2008269544A (ja) 利用対象情報管理装置及び利用対象情報管理方法ならびにそのプログラム
JP5158601B2 (ja) ファイル管理装置、ファイル管理システム、及び、プログラム
JP4047318B2 (ja) コンテンツ配信利用制御方法
JP2004282116A (ja) 鍵配信システム、コンテンツの暗号化方法、コンテンツの暗号化プログラム、暗号化コンテンツの復元方法、暗号化コンテンツの復元プログラム及びコンテンツ配信システム
EP4322470A1 (en) Data encryption system and method

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050927

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050927

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090210

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090413

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100202

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100215

R150 Certificate of patent or registration of utility model

Ref document number: 4465952

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130305

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130305

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140305

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees