CN110741371A - 信息处理设备、保护处理设备和使用终端 - Google Patents
信息处理设备、保护处理设备和使用终端 Download PDFInfo
- Publication number
- CN110741371A CN110741371A CN201880039082.7A CN201880039082A CN110741371A CN 110741371 A CN110741371 A CN 110741371A CN 201880039082 A CN201880039082 A CN 201880039082A CN 110741371 A CN110741371 A CN 110741371A
- Authority
- CN
- China
- Prior art keywords
- terminal
- user
- processing device
- information
- document
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/00127—Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture
- H04N1/00204—Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture with a digital computer or a digital computer system, e.g. an internet server
- H04N1/00206—Transmitting or receiving computer data via an image communication device, e.g. a facsimile transceiver
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B41—PRINTING; LINING MACHINES; TYPEWRITERS; STAMPS
- B41J—TYPEWRITERS; SELECTIVE PRINTING MECHANISMS, i.e. MECHANISMS PRINTING OTHERWISE THAN FROM A FORME; CORRECTION OF TYPOGRAPHICAL ERRORS
- B41J29/00—Details of, or accessories for, typewriters or selective printing mechanisms not otherwise provided for
- B41J29/38—Drives, motors, controls or automatic cut-off devices for the entire printing mechanism
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/00127—Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture
- H04N1/00204—Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture with a digital computer or a digital computer system, e.g. an internet server
- H04N1/00209—Transmitting or receiving image data, e.g. facsimile data, via a computer, e.g. using e-mail, a computer network, the internet, I-fax
- H04N1/00214—Transmitting or receiving image data, e.g. facsimile data, via a computer, e.g. using e-mail, a computer network, the internet, I-fax details of transmission
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/00127—Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture
- H04N1/00204—Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture with a digital computer or a digital computer system, e.g. an internet server
- H04N1/00209—Transmitting or receiving image data, e.g. facsimile data, via a computer, e.g. using e-mail, a computer network, the internet, I-fax
- H04N1/00222—Transmitting or receiving image data, e.g. facsimile data, via a computer, e.g. using e-mail, a computer network, the internet, I-fax details of image data generation or reproduction, e.g. scan-to-email or network printing
- H04N1/00225—Transmitting or receiving image data, e.g. facsimile data, via a computer, e.g. using e-mail, a computer network, the internet, I-fax details of image data generation or reproduction, e.g. scan-to-email or network printing details of image data generation, e.g. scan-to-email or network scanners
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/44—Secrecy systems
- H04N1/4406—Restricting access, e.g. according to user identity
- H04N1/444—Restricting access, e.g. according to user identity to a particular document or image or part thereof
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Accessory Devices And Overall Control Thereof (AREA)
- Document Processing Apparatus (AREA)
Abstract
分发目的地用户选择菜单和分发目的地终端选择菜单显示在准备终端的画面上,并且分发者从其选择分发目的地。准备终端将所选择的分发目的地信息与文档一起发送到处理设备。处理设备将该文档转换为受保护文档,并将该受保护文档与包括分发目的地信息的元数据一起提供给分发目的地终端。当终端与操作该终端的用户的组合不包括在所接收的元数据中的分发目的地信息中时,终端不打开受保护文档。
Description
技术领域
本发明涉及一种信息处理设备、保护处理设备和使用终端。
背景技术
专利文献1中公开的系统被配置为从具有包括显示装置或打印机的计算机的多个用户接收对文档的请求以及固有用户识别信息。该系统被配置为在版权服务器中认证从多个用户接收的请求。然后,版权服务器被配置为指示文档服务器正确地认证各个请求。响应于该指令,文档服务器被配置为针对各个已认证请求准备独特编码、压缩和加密的文档,并经由网络将已认证请求的各个用户的文档传送到已认证请求的各个用户的对应显示器或打印代理。文档与多个用户中的每一个对应被独特地编码。最后,该系统被配置为在各个代理处将文档解密和解压缩,并使得文档能够仅响应于由已认证请求的用户提供给代理的正确秘密密钥而使用。
引用列表
专利文献
专利文献1:JP-A-H07-239828
发明内容
本发明要解决的问题
存在许多系统,用户利用其来指定文档以及文档的传输目的地的用户并将该文档注册在传输目的地的用户的账户中,以使得传输目的地的用户可使用该文档。
然而,考虑到需要具有机密性的文档(例如,内部文档)的管理,简单地指定文档的传输目的地的用户的配置可能没有提供足够的泄漏对策。例如,当传输目的地的用户通过未进行完全安全管理的终端使用文档时,文档从该终端泄漏的可能性增加。
根据本发明的至少一个例示性实施方式,与被指定为文档的传输目的地的任何用户可利用任何终端使用该文档的方法相比,可降低文档的泄漏可能性。
解决问题的手段
[1]本发明的至少一个例示性实施方式是一种信息处理设备,该信息处理设备包括:指定单元,其允许文档的传输源的用户指定传输目的地用户和传输目的地终端;以及传输单元,其被配置为将所述文档以及指示利用指定单元指定的传输目的地用户和传输目的地终端的传输目的地信息发送到特定保护处理设备。
[2]根据项[1]所述的信息处理设备,该信息处理设备还包括:候选获取单元,其从保护处理设备获取指示传输目的地终端的候选的候选信息,其中,指定单元可允许用户从候选信息所指示的候选中指定传输目的地终端。
[3]根据项[1]所述的信息处理设备,该信息处理设备还包括:候选/条件获取单元,其从保护处理设备获取指示传输目的地终端的候选的候选信息以及传输目的地终端的缩小条件信息,其中,当新添加候选信息所指示的候选以外的候选时,指定单元可仅选择并添加满足所述缩小条件的候选。
[4]根据项[1]至[3]中的一项所述的信息处理设备,该信息处理设备还包括:检测单元,其检测存在于信息处理设备附近的终端,其中,指定单元可将检测单元所检测为候选的终端以与其它候选不同的方式显示,并使得用户能够从所显示的候选指定传输目的地终端。
[5]根据项[1]至[4]中的一项所述的信息处理设备,该信息处理设备还包括:邻近终端信息获取单元,其从保护处理设备获取存在于保护处理设备附近的终端的信息,其中,指定单元可将由获取单元获取的信息所指示为候选的终端以与其它候选不同的方式显示,并使得用户能够从所显示的候选指定传输目的地终端。
[6]本发明的至少一个例示性实施方式是一种保护处理设备,该保护处理设备包括:获取单元,其从信息处理设备获取文档以及指示传输目的地用户和传输目的地终端的传输目的地信息;生成单元,其通过实现对所获取的文档的保护处理来生成受保护文档;以及传输单元,其将元数据和受保护文档发送到传输目的地终端,所述元数据用于进行控制以使得当使用受保护文档的用户和用于使用的使用终端对应于传输目的地信息所指示的传输目的地用户和传输目的地终端时,可利用所述使用终端来使用受保护文档。
[7]根据项[6]所述的保护处理设备,该保护处理设备还包括:第二传输单元,在从终端请求受保护文档的情况下,当该终端对应于与受保护文档对应的元数据所指示的传输目的地终端时,该第二传输单元将受保护文档发送到该终端,否则不将受保护文档发送到该终端。
[8]根据项[6]或[7]所述的保护处理设备,其中,生成单元可向受保护文档或元数据指派指示受保护文档不可保存在传输目的地信息所指示的传输目的地终端以外的终端处的标志。
[9]根据项[6]至[8]中的一项所述的保护处理设备,该保护处理设备还包括:删除指令传输单元,在从终端接收到对文档的使用请求的情况下,当终端不对应于与文档对应的传输目的地信息的传输目的地终端时,该删除指令传输单元向终端发送文档的删除指令。
[10]根据项[6]至[9]中的一项所述的保护处理设备,该保护处理设备还包括:保存单元,其保存与文档对应的元数据;以及第二删除指令传输单元,当存在作为保存在保存单元中的元数据的变更的结果不再是传输目的地终端的终端时,该第二删除指令传输单元向所述终端发送删除文档的指令。
[11]根据项[6]至[10]中的一项所述的保护处理设备,该保护处理设备还包括:组存储部,其中存储有指示保护处理设备所属的组的从属组信息;保持单元,其保持生成单元所生成的受保护文档;以及传送请求传输单元,当从终端请求的受保护文档未保持在保持单元中时,该传送请求传输单元将从属组信息以及对受保护文档的传送请求发送到生成受保护文档的其它保护处理设备,其中,当响应于传送请求传送受保护文档时,第二传输单元可将受保护文档发送到终端。
[12]根据项[11]所述的保护处理设备,该保护处理设备还包括:删除单元,其在与受保护文档关联地通知的高速缓存时间段期间将响应于传送请求而传送的受保护文档保持在高速缓存中,并在高速缓存时间段之后从高速缓存删除受保护文档,其中,当在从终端请求的受保护文档未保持在保持单元中的同时受保护文档被保持在高速缓存中时,传送请求传输单元可允许第二传输单元将保持在高速缓存中的受保护文档发送到终端。
[13]根据项[6]至[10]中的一项所述的保护处理设备,该保护处理设备还包括:组存储部,其中存储有指示保护处理设备所属的组的从属组信息;保持单元,其保持生成单元所生成的受保护文档;以及传送单元,在从其它保护处理设备接收到所述其它保护处理设备的从属组信息以及对保持在保持单元中的受保护文档的传送请求的情况下,当与存储在组存储部中的保护处理设备的从属组信息所指示的组共同的组被包括在所接收的从属组信息中时,该传送单元将与传送请求有关的受保护文档传送到所述其它保护处理设备。
[14]根据项[13]所述的保护处理设备,其中,传送单元可按照与所述共同组对应的传送方式将与传送请求有关的受保护文档传送到所述其它保护处理设备。
[15]根据项[13]或[14]所述的保护处理设备,其中,传送单元可与传送请求有关的受保护文档关联地将与所述共同组对应的高速缓存时间段的信息发送到所述其它保护处理设备。
[16]根据项[13]至[15]中的一项所述的保护处理设备,其中,当为所述共同组设定指示只有当请求经由所述其它保护处理设备传送受保护文档的用户对受保护文档具有特定权限时才允许传送的条件时,只有传送请求的传输源的用户满足所述条件,传送单元才可将受保护文档发送到所述其它保护处理设备。
[17]本发明的至少一个例示性实施方式是一种使用终端,该使用终端包括:接收单元,其接收受保护文档以及指示受保护文档的传输目的地用户和传输目的地终端的传输目的地信息;认证单元,其对使用所述使用终端的用户进行认证;使用控制单元,在由认证单元认证的用户和终端装置的集合对应于所接收的传输目的地信息所指示的传输目的地用户和传输目的地终端的集合的情况下,该使用控制单元执行控制以打开受保护文档并允许用户使用受保护文档;以及保存控制单元,当由认证单元认证的用户和使用终端的集合不对应于所接收的传输目的地信息所指示的传输目的地用户和传输目的地终端的集合时,该保存控制单元执行控制不保存受保护文档。
[18]本发明的至少一个例示性实施方式是一种使用终端,该使用终端包括:接收单元,其接收受保护文档以及指示受保护文档的传输目的地用户和传输目的地终端的传输目的地信息;保存单元,其保存所接收的受保护文档;认证单元,其对使用所述使用终端的用户进行认证;使用控制单元,当由认证单元认证的用户和使用终端的集合对应于所接收的传输目的地信息所指示的传输目的地用户和传输目的地终端的集合时,该使用控制单元执行控制以打开受保护文档并将其提供给用户以便使用;传输单元,其向保护处理设备发送对保存在保存单元中的受保护文档的使用请求;以及删除单元,当响应于使用请求从保护处理设备发出不可用响应时,该删除单元从保存单元删除受保护文档。
本发明的效果
根据项[1]或[6],与指定为文档的传输目的地的任何用户可利用任何终端使用文档的方法相比,可降低文档的泄漏可能性。
根据项[2],可防止保护处理设备未料想的终端被指定为传输目的地终端。
根据项[3],即使当保护处理设备未料想的终端被指定为传输目的地终端时,也可防止不满足保护处理设备的缩小条件的终端被指定为传输目的地终端。
根据项[4],可将操作信息处理设备的用户可觉察到的邻近终端包括在传输目的地终端的候选中。
根据项[5],可将在保护处理设备附近的终端包括在传输目的地终端的候选中。
根据项[7],可禁止未指定为受保护文档的传输目的地终端的终端获取受保护文档。
根据项[8],可防止受保护文档被保存在指定的传输目的地终端以外的终端中。
根据项[9],即使当受保护文档被保存在指定的传输目的地终端以外的终端中时,也可防止受保护文档被删除。
根据项[10],即使当受保护文档被保存在不再是指定的传输目的地终端的终端中时,也可防止受保护文档被删除。
根据项[11]或[13],可经由可预期能够获得安全性的共同组的范围内的其它保护处理设备将受保护文档发送到用户。
根据项[12]或[15],可节省在受保护文档的高速缓存时间段内将受保护文档从传送源的保护处理设备到传送目的地的保护处理设备传送超过一次的工作量,并在高速缓存时间段之后从最初未保持受保护文档的传送目的地的保护处理设备删除受保护文档。
根据项[14],可按照与各个组对应的传送方式在保护处理设备之间传送受保护文档。
根据项[16],对于特定组,即使当满足组为共同的条件时也不允许传送受保护文档,只有当进一步满足请求源的用户具有特定权限的条件时才允许传送受保护文档。
根据项[17],可防止受保护文档被保存在指定的传输目的地终端以外的使用终端中。
根据项[18],即使当受保护文档被保存在指定的传输目的地终端以外的终端中时,也可防止受保护文档被删除。
附图说明
图1描绘了文档管理系统的配置的示例。
图2描绘了使用文档管理系统的文档分发和阅读的概要。
图3举例说明了元数据的数据内容。
图4举例说明了由用户ID服务器管理的数据内容。
图5举例说明了由DID服务器管理的数据内容。
图6举例说明了由处理设备管理服务器管理的数据内容。
图7举例说明了处理设备的配置和处理设备的数据内容。
图8描绘了由文档管理系统执行的文档分发和阅读的流程。
图9描绘了属性数据的输入画面的示例。
图10描绘了选项设定画面的示例。
图11描绘了列表画面的示例。
图12描绘了包括组织内管理系统的系统配置的示例。
图13描绘了当用户通过用户未注册的处理设备执行文档的元数据获取和阅读时执行的处理的流程的示例。
图14描绘了当用户使用用户未注册的处理设备在文档管理系统中注册文档时执行的处理的流程的示例。
图15描绘了DID的数据内容的示例。
图16描绘了由处理设备管理服务器执行的处理设备的状况检查处理的流程的示例。
图17描绘了由处理设备管理服务器执行的处理设备的状况检查处理的流程的另一示例。
图18描绘了当在加密软件中发现漏洞(vulnerability)时执行的处理设备的处理的流程的示例。
图19描绘了处理设备的组设定的示例。
图20描绘了为处理设备的传送管理而保持的各种信息。
图21描绘了处理设备的传送设定信息的示例。
图22举例说明了由与客设备(away apparatus)对应的处理设备执行的处理序列。
图23举例说明了由与主设备(home apparatus)对应的处理设备执行的处理序列。
具体实施方式
图1描绘了文档管理系统的一个示例性例示性实施方式的示意性配置。
在纸质文档的情况下,持有文档的人可自由地复制文档或将其交给另一人。另外,已获得文档的人可阅读该文档。即,纸质文档具有信息将泄漏的高风险。
对此,例示性实施方式的文档管理系统旨在提供一种可安全地使用电子文档的环境,并且降低文档的信息将泄漏的风险。这里,文档是可按照一个单位(例如,一个文件)分发的内容数据,并且数据的类型不受具体限制。例如,文档的概念包括文本数据、通过文字处理器软件准备的文档数据、通过电子表格软件准备的电子表格数据、显示在网络浏览器上的页数据、CAD(计算机辅助设计)数据、图像数据、运动画面数据、语音数据、多媒体数据、在计算机上准备/编辑/阅读并要打印的数据等。
文档管理系统包括多个本地系统100以及被配置为管理本地系统(具体地,管理稍后描述的处理系统)的管理系统200。管理系统200可经由广域网10(例如,互联网)来与各个本地系统100执行通信。
本地系统100包括连接到本地网络108的一个或更多个准备终端102、一个或更多个阅读终端104以及处理设备110。本地网络108是设置在诸如公司的组织中的专用网络(例如,配置成LAN(局域网))并通过防火墙等相对于广域网10进行保护。基本上,在本地系统100中设置一个处理设备110。当组织内专用网络具有较大规模时,配置专用网络的各个网络段可被配置成本地系统100,并且处理设备110可逐一设置在各个本地系统100中。例如,公司的各个部门的起居室中的网络段成为该部门的本地系统100,并且一个处理设备110设置在该网络段中。在此示例中,在各个公司中或在公司的各个部门中设置以处理设备110为核心的本地系统100,并且从中央管理系统200管理各个处理设备110。
准备终端102是在准备文档时使用的终端,并且包括例如台式或笔记本式个人计算机、工作站、平板终端、智能电话、复合机、扫描仪、传真设备、数字相机等。在准备终端102中,安装有用于对文档进行准备、编辑等的应用。另外,在准备终端 102中,安装有用于请求文档管理系统分发准备好的文档的软件。例如,软件可作为被配置为向处理设备110(将稍后描述)发送信息以及从其接收信息的装置驱动器安装,或者可通过网络应用安装。
处理设备110被配置为执行将准备终端102所准备的文档转换为要在例示性实施方式的文档管理系统所提供的安全环境中使用的受保护文档(以下,称为“eDoc文件”)的保护处理。保护处理是将原始文档编码为eDoc的处理。由此看,处理设备 110是一种编码器。在保护处理中,例如,文档被转换为针对例示性实施方式的系统设计的专用格式的数据,并且被加密成可由被指定为文档的分发目的地的用户解密的格式。可首先执行格式转换和加密中的任一个。
另外,处理设备110被配置为准备受保护文档的元数据,并将所准备的元数据注册在作为上层系统的管理系统200中。元数据包括受保护文档的书目项、分发目的地的信息、各个分发目的地对受保护文档进行解密时使用的密钥信息等。元数据包括多个项,并且根据服务所提供的功能从对应装置或用户执行数据指派/编辑/更新。
例如,元数据的多个项的一部分由发出在文档管理系统中注册文档的指令的用户指定,其它一部分项由处理设备110准备。另外,元数据的一些项的值可由管理系统 200或阅读终端104设定。另外,处理设备110被配置为将所生成的受保护文档(eDoc 文件)发送到指定的分发目的地的用户的阅读终端104。
受保护文档(即,eDoc文件)是通过将原始文档转换为专用格式并将其加密而获得的文档,也称为eDoc的主体。为了使得eDoc文件可阅读,需要对应元数据。准备eDoc文件和元数据,从而配置完全可阅读受保护文档。eDoc文件和与之对应的元数据的集合以下称为“eDoc”。
处理设备110可具有无线LAN的访问点的功能。在这种情况下,阅读终端104 可利用无线LAN与处理设备110执行通信。
阅读终端104是用于阅读受保护文档(eDoc文件)的终端。“阅读”意指按照与文档所表达的信息内容对应的方式使用受保护文档。例如,当受保护文档具有诸如文字处理器数据和图画的文档作为信息内容时,“阅读”意指用户阅读或看阅读终端104 所显示的文档。另外,当受保护文档所表达的信息内容是语音时,“阅读”意指用户听阅读终端104所再现的语音。阅读终端104通过在通用计算机(例如,台式或笔记本式个人计算机、工作站、平板终端、智能电话等)中安装用于阅读受保护文档的查看器应用来配置。另外,设置有等同于查看器应用的功能的阅读专用终端(例如,电子文档终端)可用作阅读终端104。查看器应用具有使用元数据的信息将加密的受保护文档解密的功能,以及将受保护文档的专用格式所表达的数据解码为可读数据的功能。同时,不具有与例示性实施方式的文档管理系统对应的查看器应用的计算机无法将专用格式的数据解码为可读数据。
除了解密、解码和显示受保护文档的功能之外,阅读终端104还可具有从该用户接收对所显示的文档的处理(编辑)的功能。处理的文档具有与原始受保护文档不同的内容。然而,编辑的文档可从阅读终端104发送到处理设备110并注册在文档管理系统中(即,编码为受保护文档)。这样,一个终端可具有准备终端102和阅读终端 104二者的功能。同时,eDoc设定有指派给阅读者的权限(将稍后描述的元数据中的访问权限信息),并且权限的内容可包括对eDoc的写限制、对再分发目的地的限制等。在访问权限信息中定义了限制的eDoc的情况下,阅读终端104被配置为仅在写限制的范围内从阅读者接收处理(编辑)操作,并且在处理之后仅在再分发目的地的限制的范围内接收新eDoc的再分发目的地的指定。
另外,在例示性实施方式中,例如,用户所携带的认证装置130用作认证使用例示性实施方式的文档管理系统的用户的工具。认证装置130是诸如IC卡的装置,其中具有携带装置的用户固有的识别信息并被配置为响应于来自外部设备的请求执行用于用户认证的数据处理。认证装置130可以是具有与用于个人认证的IC卡等同的功能的便携式终端(例如,智能电话)。阅读终端104和准备终端102具有使用诸如 NFC(近场通信)的无线通信协议与认证装置130执行通信的功能。阅读终端104和准备终端102被配置为根据预定义的协议向认证装置130发送以及从其接收用于用户认证的信息,从而认证携带认证装置130的用户。另选地,实际用户认证可由例示性实施方式的文档管理系统的服务器侧(例如,处理设备110和管理系统200)执行,并且阅读终端104和准备终端102可被配置为对服务器侧与认证装置130之间的数据传送进行中继。另外,阅读终端104和准备终端102中可具有认证装置130的功能。
管理系统200被配置为管理各个本地系统100中的处理设备110。另外,管理系统200被配置为管理由各个处理设备110生成的受保护文档的元数据,并响应于请求将元数据提供给阅读终端104。管理系统200由一个计算机或者能够彼此执行通信的多个计算机配置,并且具有用户ID服务器210、DID服务器220、元数据服务器230 和处理设备管理服务器240的功能。
用户ID服务器210是被配置为管理使用文档管理系统的各个用户的信息的服务器。使用文档管理系统的用户包括两个层次。一个是与系统的管理员订立契约以使用文档管理系统的订约人。另一个是在契约下实际使用系统注册或阅读文档的一般用户。例如,在许多情况下,可假设公司是订约人,处理设备110配备在公司的本地网络108中,并且公司的职员作为一般用户利用处理设备110使用文档管理系统。用户 ID服务器210被配置为保持和管理关于订约人和各个一般用户的信息。
DID服务器220被配置为管理作为受保护文档的识别信息(ID)的DID(文档 ID)。实际上,准备好受保护文档的处理设备110向受保护文档指派DID。DID服务器220被配置为向处理设备110指派DID的发布权限和发布限量(发布数),并且接收并记录处理设备110在发布权限和发布限量内实际发布的DID的报告。由此,DID 服务器220可抑制不当DID的发生并检测具有不当DID的文档。
元数据服务器230被配置为保持并管理由处理设备110生成的受保护文档(eDoc文件)的元数据。在经由阅读终端104从用户接收到对受保护文档的元数据的请求的情况下,当用户是适当的人时,元数据服务器230将元数据提供给阅读终端104。同时,描述“请求元数据的用户(阅读者)是元数据服务器230中的“适当的人””意指用户与用户利用其发出请求的阅读终端104的组合对应于与eDoc文件的DID(包括在请求中)关联保持在元数据服务器230中的元数据中的分发目的地信息(将稍后描述) 所指示的分发目的地用户与分发目的地的的阅读终端104的组合。
处理设备管理服务器240是被配置为管理各个处理设备110的状况的服务器。
参照图2示意性地描述例示性实施方式的结构。
(0)管理系统200(DID服务器220)预先向本地系统100中的处理设备110指派与DID(文档ID)的发布权限关联的发布权限和发布限量(文档数)。DID的发布权限不是无限制的,而是被限制为从管理系统200指派的发布限量。即,处理设备110 可基于与发布限量同时指派的发布权限来指派DID,因为文档数至多是从管理系统 200指派的发布限量所指示的数量。当发布限量被完全消耗时,从管理系统200向处理设备110指派新的发布权限和发布限量。
(1)当用户打算在例示性实施方式的文档管理系统中注册(即,分发)文档时,用户指示准备终端102注册文档。例如,用户在应用的菜单上指示“注册”。接收到指令的准备终端102请求用户认证。该认证可通过输入用户ID和密码来执行,或者可通过用户将认证装置130靠近准备终端102的读卡器单元来执行。用户认证可由准备终端102执行,或者可由作为文档的注册目的地的处理设备110执行。然后,用户从保持在准备终端102中的文档选择要在文档管理系统中注册的文档,并指示其注册。
当准备终端102(更具体地,安装在准备终端102中的用于注册处理的程序)从用户接收到文档的注册指令时,准备终端接收与文档有关的属性数据的用户所指定的项(例如,文档的分发目的地)的输入。这里,作为分发目的地,可接收用户与阅读终端104的组合的指定。在这种情况下,当用户与用户用来阅读文档的阅读终端104 的组合与指定为分发目的地的组合一致时,用户可阅读文档。
准备终端102将组合有用户所输入的诸如分发目的地的属性项与准备终端102 所生成的其它属性项(例如,注册者的信息、准备日期和时间等)的属性数据与文档的数据一起发送到处理设备110。同时,准备终端102可包括驱动器,其被配置为将通过各种应用准备的不同格式的文档转换为可由阅读终端104处理的统一格式。例如,在诸如文字处理器数据、电子表格和CAD数据的指示静态文档图像的数据的情况下,驱动器将其数据转换为由页描述语言表达的文档(例如,打印机驱动器)。另外,例如,当原始数据是语音数据时,驱动器将语音数据转换为与例示性实施方式的文档管理系统(具体地,阅读终端104)对应的特定语音数据格式的数据(文档)。
(2)处理设备110实现对从准备终端102接收的作为注册目标的文档的保护处理,从而生成受保护文档(eDoc文件)。处理设备110将所接收的文档编码为例示性实施方式的文档管理系统的专用格式,并使用所生成的加密密钥对编码的数据进行加密,从而生成eDoc文件。编码和加密的顺序可颠倒。另外,处理设备110向eDoc指派独特DID。该DID包括用于验证DID基于从管理系统200指派的发布权限的信息(将稍后描述的发布权限密钥)以及用于验证DID已由处理设备110指派的信息(将稍后描述的发布证书密钥)。同时,DID数据结构的详细示例将稍后描述。所生成的DID 被并入eDoc文件中(例如,作为文件的性质的一个项)。
另外,处理设备110生成与所生成的eDoc文件对应的元数据。该元数据包括与文档一起从准备终端102接收的属性数据以及由处理设备110生成的属性项(例如, DID、处理设备的ID、编码日期和时间、加密密钥信息等)的值。包括在元数据中的加密密钥信息是指示用于将eDoc文件解密的密钥的信息。当公共密钥方法用于加密时,加密密钥信息是指示公共密钥的信息。同时,当公共密钥以明文格式包括在元数据中时,公共密钥可能因窃听和拦截而被滥用。因此,通过利用分发目的地用户的公开密钥对公共密钥进行加密而获得的密钥作为加密密钥信息被并入元数据中。
另外,处理设备110将所生成的eDoc文件和元数据保存在嵌入其中的数据库中。
(3)处理设备110将所生成的元数据发送并注册在管理系统200中。管理系统200(元数据服务器230)保存所接收的元数据。
(4)处理设备110将所生成的eDoc文件分发到指定为分发目的地的阅读终端104。该分发可以是推送型、拉取型或这两种类型。例如,处理设备110可在准备好eDoc 时以拉取型方式执行向阅读终端104的分发,并且那时未操作并因此还未接收到eDoc 文件的阅读终端104可按照拉取型方式接收eDoc文件。该分发经由本地系统100中的本地网络108执行。
(5)由阅读终端104接收的eDoc文件因为通过加密等保护而无法原样阅读。当用户打算利用阅读终端104阅读eDoc文件时,用户将认证装置130靠近阅读终端104 的读卡器单元以进行用户认证,然后在阅读终端104的画面上指示eDoc的阅读。接收到指令的阅读终端104访问管理系统200以请求eDoc的元数据。该请求包括eDoc 的DID。
(6)管理系统200(元数据服务器230)将阅读终端104所请求的eDoc的最新元数据发送到阅读终端104。
(7)当阅读终端104从管理系统200接收到所请求的元数据时,阅读终端确定阅读终端104与当前使用阅读终端104的用户(利用认证装置130认证)的组合是否包括在元数据中所包括的分发目的地信息中。当不包括该组合时,由于用户没有利用阅读终端104阅读eDoc的权限,所以阅读终端104不打开eDoc文件并显示指示用户没有阅读权限的错误消息。当包括该组合时,用户有利用阅读终端104阅读eDoc文件的权限。在这种情况下,阅读终端104使用包括在元数据中的加密密钥信息来将 eDoc文件解密并将其显示在画面上。即,阅读终端104按照与eDoc文件的信息内容对应的方式输出。
在元数据中,可设定有效期限。例如,通过将规定的有效期限或分发者等指定的有效期限与发送元数据的日期和时间相加来计算有效期限。在元数据的有效期限之后,阅读终端104无法打开(解密和显示)对应eDoc文件,直至再次从管理系统200 获取元数据。当阅读终端104可与处理设备110或管理系统200执行通信时,阅读终端从处理设备110或管理系统200获取在指示为阅读目标的eDoc文件的指令时最新的元数据,并基于最新元数据来确定是否阅读eDoc。
在元数据在管理系统200中首次注册之后,可由分发者或指派有变更分发目的地的权限的人(例如,拥有数据编辑权限的人)变更包括在元数据中的分发目的地信息或访问权限信息。如果甚至在eDoc准备/注册时指定为分发目的地的用户通过之后的变更从分发目的地被排除,则阅读终端104通过从管理系统200获取的最新元数据中所包括的分发目的地信息来检测其,并且不显示eDoc文件。
随后,参照图3描述eDoc的元数据300的数据内容的示例。
包括在元数据300中的项的“DID”是由生成eDoc的处理设备110指派的文档ID。“文档名”是eDoc的名称或标题。
“分发者ID”是分发eDoc的人,即,从准备终端102对处理设备110执行文档的注册操作并经由处理设备110执行分发的人(以下,称为“分发者”)的用户ID。
“编码日期和时间”是来自准备终端102的文档被编码(保护处理)并且准备好其eDoc的日期和时间。“处理设备ID”是执行保护处理的处理设备的识别信息。“加密信息”是关于生成eDoc时的加密的信息,并且包括用于加密的加密软件名称、加密软件的版本以及指示用于解密的密钥的密钥信息。例如,通过利用各个分发目的地用户的公开密钥对用于解密的密钥进行加密来获得密钥信息。“关键字信息”是从eDoc(或原始数据)提取的关键字的列表。例如,当检索eDoc时使用关键字信息。
“分发目的地信息”是指示由分发者指定为eDoc的分发目的地的用户和阅读终端的信息。在图3的示例中,针对分发目的地的各个用户,分发目的地信息包括用户的用户ID以及用户用来阅读的阅读终端104的ID(识别信息)。当指定用户可用来阅读eDoc的多个阅读终端104时,用户的用户ID和多个阅读终端104的ID的集合被并入分发目的地信息中。
作为另一示例,在即使当分发目的地用户使用指定为分发目的地的任何阅读终端104时也可阅读eDoc的情况下,分发目的地信息包括分发目的地用户的ID的列表和分发目的地的阅读终端104的ID的列表。例如,存在部门的公共终端、设置在部门的起居室或会议室中的终端等被设定为分发目的地的阅读终端104的候选的情况。在公共终端和设置在起居室等中的终端(也是一种公共终端)的情况下,不确定组织中的哪些用户将使用其。然而,分发者至少知道终端的类型,并且还知道对应终端将无法自由地从组织取出。因此,对应终端具备作为机密目标的文档的分发目的地的资格。当利用特征熟知的公共终端使用eDoc时,分发目的地用户可使用指定为分发目的地的任何阅读终端104。
“访问权限信息”是指示由分发者指派给分发目的地用户的对eDoc的使用权限的信息。
“离线有效期限”是指示元数据的有效期限的长度的信息。即,即使阅读终端104处于无法访问管理系统200的状态(离线状态),当存在先前阅读eDoc时获取并高速缓存的元数据并且从元数据的获取日期和时间起还未逝去“离线有效期限”时,阅读终端104使用元数据中的加密密钥信息来解密并显示eDoc。另一方面,当阅读终端处于离线状态并且指示阅读的eDoc的高速缓存的元数据的离线有效期限已经逝去时,阅读终端104不解密并显示eDoc。同时,在阅读终端104可访问管理系统200(即,阅读终端处于在线状态)的同时,当用户指示阅读eDoc时,阅读终端从管理系统200 (具体地,元数据服务器230)获取并使用eDoc的最新元数据。
“原始数据信息”是指示eDoc生成(编码)之前的原始数据是否被保存的信息,并且是指示当原始数据被保存时原始数据的保存地点的信息(例如,URL:统一资源定位符)。这里,原始数据是从准备终端102发送到处理设备110并且还未经受保护处理的文档、作为文档源的应用数据(例如,当文档是页描述语言数据时,转换为页描述语言数据之前的文字处理器软件的数据)或这二者。
“文档获取日期和时间”是阅读终端104获取eDoc的主体数据的文件(即,eDoc 文件)的日期和时间。“元数据获取日期和时间”是阅读终端104从管理系统200获取 eDoc的当前高速缓存的最新元数据的日期和时间。文档获取日期和时间和元数据获取日期和时间不包括在管理系统200中保持的元数据中,并且被添加到由阅读终端 104从管理系统200获取以用于在阅读终端中管理的元数据。
另外,图3所示的元数据的项的DID、编码日期和时间、处理设备ID、加密信息和关键字信息是由处理设备110生成的信息。另外,文档名、分发者ID、分发目的地信息、访问权限信息、离线有效期限和原始数据信息源自从准备终端102发送到处理设备110的文档或属性数据。
随后,举例说明由管理系统200的各个服务器210至250管理的信息的数据内容。
首先,参照图4描述由用户ID服务器210管理的数据内容的示例。在用户ID 服务器210中,注册各个订约人的订约人数据212和各个一般用户的用户数据214。
订约人数据212包括订约人ID、契约内容信息和用户列表。订约人ID是与文档管理系统的管理员订约的订约人(例如,组织或组织中的部门)的识别信息。用户列表是通过订约人的契约使用文档管理系统的一般用户的用户ID的列表(例如,属于作为订约人的组织的成员)。
一般用户数据214包括一般用户的用户ID、密码、用户ID密钥信息、公开密钥证书、预定处理设备ID、预定阅读终端列表和从属信息。用户ID密钥信息是由用户的认证装置130使用的用户的认证信息。公开密钥证书是用于证明用户的公开密钥的数字证书。预定处理设备ID是用户已注册的处理设备110的ID。通常,用户被注册在设置在用户所属的办公室中的处理设备110中,并且处理设备110是用户的预定处理设备。预定阅读终端列表是用户主要使用的一个或更多个阅读终端的ID的列表。包括在列表中的阅读终端在将eDoc分发给用户时成为分发目的地终端的候选。从属信息是用于指定用户所属的组织或其部门的信息,例如是组织或其部门的订约人ID。
随后,参照图5描述由DID服务器220管理的数据内容的示例。
如图5所示,DID服务器220被配置为针对为处理设备发布的各个发布权限密钥,保持发布限量、指派目的地处理设备、密钥指派日期和时间、密钥结束日期和时间以及发布的DID列表的各个项的信息。
发布权限密钥是由DID服务器220指派给处理设备110以用于验证DID的发布权限的密钥信息(例如,随机生成的字符串)。处理设备110包括从DID服务器220 指派给处理设备所发布的DID的发布权限密钥,从而验证在适当的发布权限下发布该DID。
发布限量是与发布权限密钥一起指派给处理设备110的DID发布的上限(可指派DID的文档上限数)。当从DID服务器220向处理设备110指派一对发布权限密钥和发布限量时,处理设备可向至多发布限量所指示的上限数的eDoc中的每一个指派固有DID。
指派目的地处理设备指示作为发布权限密钥(以及发布限量)的指派目的地的处理设备110的ID。密钥指派日期和时间是发布权限密钥被指派给处理设备110的日期和时间。密钥结束日期和时间是指派目的地的处理设备110完成发布权限密钥的日期和时间。即,密钥结束日期和时间是处理设备110将DID完全指派给与发布权限密钥一起指派的发布限量所指示的上限数的所有eDoc的日期和时间。同时,当采用已用完发布限量的处理设备110向DID服务器220请求下一发布权限密钥和发布限量的结构时,代替明确地记录任何发布权限密钥(称为“第一密钥”)的密钥结束日期和时间,在该发布权限密钥之后指派给处理设备110的发布权限密钥的密钥指派日期和时间可用作第一密钥的密钥结束日期和时间。发布DID列表是由指派目的地的处理设备110使用发布权限密钥发布的的DID及其发布日期的列表。指派目的地的处理设备110被配置为每当使用发布权限密钥发布DID时将DID通知给DID服务器 220,并且DID服务器220被配置为将通知的DID及其发布日期添加到与DID中所包括的发布权限密钥对应的发布DID列表。
元数据服务器230被配置为保存从各个处理设备110发送的各个eDoc的元数据。保存的元数据的数据内容与图3的示例类似。然而,元数据服务器230不管理图3 所示的元数据的项中仅在阅读终端104中使用的项(文档获取日期和时间、元数据获取日期和时间等)。
随后,参照图6描述由处理设备管理服务器240管理的数据。处理设备管理服务器240被配置为针对作为管理目标的各个处理设备110,存储处理设备110的状况滞后242。在状况滞后中,与处理设备110的ID关联地包括在准备和各次更新时(准备/更新日期和时间)处理设备110的状况244的信息。
在各个时间点,在状况244中,包括装备地点、订约人ID、管理员姓名、管理员联络点、注册用户列表、软件信息246、硬件信息248、盘空闲空间和安全证书信息。装备地点是指示处理设备110的装备地点的信息,并且包括例如地址、建筑名、楼层数等的信息。订约人ID是使用处理设备110的订约人的ID。管理员姓名是处理设备110的管理员的姓名。例如,管理员是处理设备110的装备目的地的部门中管理处理设备110的用户。管理员联络点是管理员的联络点的信息(例如,电子邮件地址)。注册用户列表是处理设备110中注册的用户(换言之,作为处理设备110的“预定处理设备”的用户)的用户ID的列表。
软件信息246包括编码软件名、编码软件版本、加密软件名、加密软件版本以及安装在处理设备110中的其它软件的名称和版本。编码软件是用于将从准备终端102 输入的文档转换(编码)为文档管理系统的专用格式的软件。加密软件是用于对文档 (例如,转换为专用格式的文档)进行加密的软件。
在硬件信息248中,包括编码电路信息、编码电路FW版本、处理设备110的制造商名称等。编码电路信息是指示用于编码处理的硬件电路的类型的信息。编码电路 FW版本是编码电路的固件(FW)的版本。
盘空闲空间是处理设备110的诸如硬盘、固态盘等的辅助存储部在该时间点的空闲空间。
安全证书信息是用于指定在该时间点安装在处理设备110中的各个安全证书的信息(例如,证书的主体标识符的信息、发布者标识符、发布日期和时间等)。
另外,尽管为了避免复杂未示出,在状况244中,包括安装在处理设备110中的字体的类型(字体的列表)、网络通信的地址(例如,IP地址)、安装的辅助存储部 (硬盘驱动器等)的装置ID、指示用于将处理设备110连接到装备目的地的组织的核心系统的处理的定制内容的信息、处理设备110使用的加密密钥(用于通信信道加密或签名的密钥等)的安装日期和时间等。
随后,参照图7描述处理设备110所保持的数据库组。如所示,处理设备110包括管理信息存储部112、用户DB 114和文档DB 116。
在管理信息存储部112中,存储管理信息112a。管理信息112a包括上层设备地址信息、安全证书、加密密钥、编码软件名、编码软件版本、加密软件名、加密软件版本等。上层设备地址信息是被配置为管理处理设备110的各个上层设备的通信地址 (例如,IP地址、URL等)的信息。管理系统200、管理系统中的各个服务器210 至240、组织内管理系统150以及组织内管理系统中的各个服务器152至156是上层设备的示例。安全证书是当处理设备110基于公开密钥与网络上的其它设备执行安全通信时使用的数字证书。处理设备110保持作为频繁通信伙伴的各个上层设备的安全证书。另外,处理设备可保持使用准备终端102和阅读终端104的各个用户的安全证书。加密密钥是当处理设备110与网络上的其它设备执行通信时用于加密和解密的处理设备110的加密密钥,由处理设备110用于数字签名(或生成与数字签名类似的证书信息)等。例如,在公开密钥基础设施中,可举例说明指派给处理设备110的一对秘密密钥和公开密钥。编码软件和解密软件分别是安装在处理设备110中的用于编码 (转换为专用格式)和加密的软件。
在用户DB 114中,存储处理设备110中注册的各个用户(换言之,作为处理设备110的“预定处理设备”的用户)的用户信息114a。各个注册的用户的用户信息114a 包括用户ID、密码、用户ID密钥信息、公开密钥信息、预定阅读终端列表等。这些项是与参照图4描述的用户ID服务器210的数据相同的数据。
在文档DB 116中,保存由处理设备110生成的eDoc文件以及与eDoc文件对应的元数据。由于eDoc文件和元数据包括DID的信息,所以它们彼此关联。另外,在文档DB 116中,编码为eDoc之前的原始数据(从准备终端102接收的数据)可与 eDoc的DID关联地注册。
准备终端102和阅读终端104针对使用终端的各个用户存储用户的认证信息(用户ID、密码等)和预定处理设备的ID、预定处理设备的地址信息、上层设备(例如,管理系统200和稍后描述的组织内管理系统150)的地址信息、处理设备和上层设备的安全证书、用于通信信道的加密的加密密钥等。
<系统的处理流程>
当在本地网络108上配备处理设备110时,对处理设备110执行维护的维修操作员在处理设备110中注册使用处理设备110的用户的信息以及可由用户使用的准备终端102和阅读终端104的信息。注册的用户的信息被传送并注册在作为上层设备的用户ID服务器210(或稍后描述的本地用户ID服务器152)中。同时,在装备之后,当使用处理设备110的用户的数量增加或减少时,维修操作员针对处理设备110执行新注册增加的用户的信息或删除减少的用户的信息的注册的操作。添加或删除也被通知给诸如用户ID服务器210的上层设备,并且上层设备所保持的信息对应地更新。另外,维修操作员在各个准备终端102中安装用于执行请求处理设备110注册和分发文档的处理的软件(例如,处理设备110的装置驱动器)。另外,维修操作员在各个阅读终端104中注册用于与处理设备110执行通信的信息(例如,设备名称、通信地址、无线接入设定)。
随后,参照图8描述经由例示性实施方式的文档管理系统注册和分发文档时执行的处理的流程。
(1)-1:登录ID(=用户名)和密码的传输
当用户(分发者)指示准备终端102注册文档时,准备终端102显示用于请求输入登录认证信息(例如,用户ID和密码或认证装置130)的画面。当分发者输入认证信息时,响应于请求,准备终端102经由本地网络108将认证信息发送到处理设备 110。
(1)-2:用户认证
接收到登录认证信息的处理设备110使用该信息来执行用户认证。这里,假设用户认证成功(确认正确的用户)。可使用登录ID和密码执行登录认证,并且当准备终端102适于与认证装置130通信时,可使用认证装置130执行登录认证。
(2)-1:文档(+原始文件)和属性数据的传输
当登录认证成功时,用户从准备终端102中所保持的文档选择用户打算在文档管理系统中注册(并分发给其他用户)的文档,并指示处理设备110将其注册。然后,成为与处理设备110的接口的软件(例如,装置驱动器)被启用以从用户接收与文档有关的属性数据的输入并将所接收的属性数据和文档的数据发送到处理设备110。
图9描绘了属性数据的输入画面400的示例。输入画面400包括分发目的地用户选择菜单402、分发目的地用户列表栏404、分发目的地终端选择菜单406、分发目的地终端列表栏408、访问权限设定栏410、离线有效期限菜单412和选项设定调用按钮414。
分发目的地用户选择菜单402是用于列举文档的分发目的地用户的选项的下拉菜单。成为选项的用户是处理设备110中注册的用户,并且可从处理设备110获取成为选项的用户的ID和用户名的列表。另选地,准备终端102可从被配置为管理属于组织的文档管理系统的用户的信息的本地用户ID服务器152(参照图12)(将稍后描述)获取用户的列表,并且分发者可选择组织中的其它处理设备110中注册的用户作为分发目的地。在这种情况下,在分发目的地用户选择菜单402中,显示各个用户以使得可区分注册有用户的处理设备110。例如,可利用对于注册有用户的各个处理设备110不同的颜色或字符样式来显示用户。另选地,分发目的地用户选择菜单402可被配置成层次结构,可首先选择处理设备110以呼叫对应处理设备110中注册的用户的列表,并且可从该列表选择分发目的地的用户。在分发目的地用户列表栏404中,显示用户所选择的分发目的地用户的列表。当分发者从分发目的地用户选择菜单402 选择分发目的地用户并按下右侧的“添加”按钮时,分发目的地用户的用户ID或用户名被添加到分发目的地用户列表栏404。另外,当分发者从分发目的地用户列表栏404 选择一个分发目的地用户并按下右侧的“删除”按钮时,从分发目的地用户列表栏404删除分发目的地用户。即,分发目的地用户不再是分发目的地。
分发目的地终端选择菜单406是用于列举作为文档的分发目的地的阅读终端(查看器)104的选项的下拉菜单。成为选项的阅读终端104是处理设备110中注册的阅读终端,并且可从处理设备110获取成为选项的阅读终端104的ID和终端名称的列表。另选地,处理设备110、本地用户ID服务器152(参照图12)(将稍后描述)等具有文档管理系统中注册的组织中的阅读终端104的列表,并且准备终端102可向分发者呈现列表,以使得分发者可选择组织中的其它处理设备110中注册的用户的阅读终端104作为分发目的地。在分发目的地用户列表栏404中,显示由分发者从分发目的地终端选择菜单406选择的分发目的地的阅读终端104的列表,类似分发目的地用户列表栏404。
同时,对于分发目的地的各个用户,可指定与用户对应的分发目的地的阅读终端104。例如,每当从分发目的地用户列表栏404选择分发目的地的用户时,准备终端 102可从处理设备110(或本地用户ID服务器152或用户ID服务器210)获取用户的预定阅读终端的列表,并将该列表设定在分发目的地终端选择菜单406中。当分发者没有明确地为分发目的地的用户选择分发目的地的阅读终端104时,用户的预定阅读终端的列表中的特定阅读终端(例如,列表的头)被自动地选为分发目的地的阅读终端104。
访问权限设定栏410是用于为文档设定分发目的地用户的访问权限(使用权限)的栏。在所示的示例中,示出关于阅读、处理(编辑)、打印和复印四个权限项的复选框,并且分发者勾选针对文档允许分发目的地用户的项的复选框。
离线有效期限菜单412是指示为文档设定的离线有效期限的长度的选项的下拉菜单。分发者从离线有效期限菜单412所示的离线有效期限选择为在系统中注册并分发的文档设定的时间段。
另外,当选项设定调用按钮414被按下时,准备终端102显示图10所示的选项设定画面420。选项设定画面420包括处理设备指定栏422和原始数据设定栏424。处理设备指定栏422包括下拉菜单,其中指示作为文档的分发目的地的处理设备110 的选项。在该菜单中,包括可从准备终端102选择的处理设备110的列表。包括在该列表中的处理设备110是准备终端102所属的本地系统100中的处理设备110(基本上一个,但也可为多个)。另外,同一组织中的其它本地系统100的处理设备110可包括在列表中。在原始数据设定栏424中,用于接收关于是否将作为eDoc源的原始数据保存在处理设备110中的选择的下拉菜单。
在步骤(2)-1中从准备终端102发送到处理设备110的属性数据包括通过设定画面设定的分发目的地信息(用户列表和阅读终端列表)、访问权限信息、离线有效期限、原始数据信息等。
描述返回到图8。
(2)-2:文档(+原始文件)和属性数据的接收
处理设备110从准备终端102接收文档(称为“目标文档”)和属性数据。
(3)-1:对DID发布权限和发布限量的请求
当处理设备110未接收到DID的发布权限和发布限量(或已用完所接收的发布限量)时,处理设备向管理系统200的DID服务器220请求新的发布权限和发布限量。另一方面,当所接收的发布限量中有剩余时,处理设备进行到将稍后描述的步骤 (4),而无需请求。
(3)-2:DID发布权限和发布限量的指派
DID服务器220响应于处理设备110的请求向处理设备110发送新的发布权限和发布限量。
(4):生成DID并向eDoc文件指派DID
处理设备110使用从DID服务器220指派的发布权限来发布DID并将DID指派给从目标文档生成的eDoc(在下一步骤中生成)。
(5)-1:准备eDoc文件(转换为独特格式以及加密密钥的生成和加密)
例如,处理设备110使用随机数等来生成用于对目标文档进行加密的加密密钥。另外,处理设备110将目标文档转换为eDoc文件。即,处理设备110将目标文档编码为文档管理系统的专用格式并利用先前生成的加密密钥对编码结果进行加密,从而生成eDoc文件。在所生成的eDoc文件中,包括先前生成的DID的信息。
(5)-2:准备元数据(将加密密钥信息等添加到属性数据)
处理设备110生成所生成的eDoc的元数据。即,处理设备110将先前生成的DID、编码日期和时间、处理设备110的ID、加密信息等添加到从准备终端102接收的属性数据,从而生成元数据(参照图3)。这里,在加密信息中,对于各个分发目的地用户,包括利用分发目的地用户的公开密钥对用于加密的加密密钥进行加密的密钥信息。
(5)-3:保存原始数据
当从准备终端102接收到保存原始数据的指令时,处理设备110保存从准备终端102接收的文档(或作为文档源的应用数据)。
(6)-1:上传DID
处理设备110将先前生成的DID上传到DID服务器220。DID服务器220保存从处理设备110上传的DID。
(6)-2:更新元数据
处理设备110将先前生成的元数据上传到元数据服务器230。元数据服务器230 保存从处理设备110上传的元数据。
(7):传输eDoc的分发准备完成通知(该通知被发送到元数据中指定的阅读终端)
处理设备110将关于所生成的eDoc的分发准备完成通知发送到分发目的地的各个阅读终端104。该通知包括先前生成的DID和eDoc的文档名的信息。另外,该通知可包括eDoc的代表页(诸如第一页的预指定页)的缩略图。
使用阅读终端104的用户(称为“阅读者”)将认证装置130靠近阅读终端104的读卡器单元以进行用户认证。阅读终端104显示用于显示分发给阅读终端的eDoc的列表的列表画面。图11描绘了列表画面500的示例。在示例的列表画面500中,针对各个eDoc包括通知标记502、eDoc的文档名504和指示是否允许阅读的标记506。通知标记502是用于通知阅读者eDoc的状态的标记。由通知标记502指示的eDoc 的状态包括“新到”(在从处理设备110分发文档之后文档还未打开的状态,在图中以“☆”标记示出)、“正常”(图中未示出)、“到期”(访问有效期限已逝去的状态,在图中以“!”标记示出)等。处于状态“到期”的eDoc即使eDoc文件保存在阅读终端104 中也无法阅读,直至从处理设备110或管理系统200获取eDoc的最新元数据。处于状态“正常”的eDoc即使阅读终端104相对于处理设备110或管理系统200处于离线状态也可阅读,因为访问有效期限还未到期的元数据保存(高速缓存)在阅读终端 104中。指示是否允许阅读的标记506指示阅读终端104与使用阅读终端的用户(通过认证装置130认证)的组合是否与阅读终端104中高速缓存的eDoc的元数据所指示的eDoc的分发目的地的用户和阅读终端104的组合一致。当组合彼此一致时,eDoc 可阅读(在图中以“○”示出),否则无法阅读(在图中以“×”示出)。另外,在接收到分发准备完成通知,但还未接收到eDoc文件和元数据的eDoc的情况下,由于阅读终端104没有用于确定组合是否与分发目的地的组合一致的确定标准的信息,所以指示是否允许阅读的标记506以指示“还未确定”的“-”标记示出。在所示的示例中,由于自上三个eDoc中的每一个是新到的并且其eDoc主体(文件和元数据)的获取还未完成,所以指示是否允许阅读的标记506以指示“还未确定”的标记示出。
阅读者例如通过触摸操作在列表画面(图11)上选择阅读者打算阅读的eDoc并发出阅读指令。这里,假设选择新到(通知标记502为“☆”)的eDoc作为阅读目标。
描述返回到图8。
(8):用户ID密钥读取(装置ID认证)
由于阅读终端104未保持所选阅读目标的eDoc文件和元数据,所以阅读终端需要从处理设备110获取其。因此,阅读终端104在阅读终端连接到的本地网络108上将作为从阅读者的认证装置130获取的认证信息的用户ID密钥发送到处理设备110。处理设备110验证用户ID密钥是否验证处理设备中注册的用户(用户认证)。这里,假设用户认证成功。同时,当从阅读终端104接收的用户ID密钥不与处理设备110 中注册的任何用户一致时,处理设备110可关于用户认证将用户ID密钥发送到上层设备(用户ID服务器210或本地用户ID服务器152)并请求用户认证。
(9)-1:对eDoc的分发请求
阅读终端104接收指示处理设备110中的用户认证成功的信息,并向处理设备 110发送包括作为阅读者所选择的阅读目标的eDoc的DID的分发请求。
(9)-2:传输eDoc(文件和元数据)
处理设备110作为中继器将与来自阅读终端104的分发请求中所包括的DID对应的eDoc文件和元数据发送到阅读终端104。
(10):接收eDoc
阅读终端104接收并保存(高速缓存)从处理设备110发送的eDoc文件和元数据。
(11):确认阅读权限并生成解密密钥
阅读终端104确定元数据中的分发目的地信息(参照图3)所指示的分发目的地用户和分发目的地终端的组合中是否存在与阅读终端和当前使用其的阅读者的组合一致的组合。当确定结果为否时,阅读者无法利用阅读终端104阅读eDoc文件。在这种情况下,阅读终端104显示指示阅读者无法阅读eDoc文件的错误消息。另外,在这种情况下,阅读终端104可删除所保存的eDoc的文件(和对应元数据)。另一方面,当确定元数据的分发者信息中存在阅读终端104和当前使用其的阅读者的组合时,阅读终端104允许阅读者阅读eDoc。在这种情况下,阅读终端104从与元数据的加密信息中所包括的各个分发目的地用户对应的加密的密钥取出与阅读者对应的密钥。阅读终端104利用阅读者的秘密密钥(例如由认证装置130保持)将密钥解密,从而恢复将eDoc文件解密所需的解密密钥。
(12):eDoc文件的解密和画面显示
阅读终端104使用恢复的解密密钥将eDoc文件解密,从而再现可阅读的文档并输出文档(例如,画面显示)。另外,阅读终端104根据包括在元数据中的访问权限信息来控制是否从阅读者接收对文档的操作指令。基本上,阅读终端104不将恢复的文档保存在文件中。即,在阅读结束之后,eDoc文件和元数据被保存在阅读终端104 的非易失性存储部中,但不保存解密结果的文档。
随后,参照图12描述例示性实施方式的文档管理系统的另一示例。在图12的示例中,在作为诸如公司的组织的专用网络的组织内网络中设置多个本地系统100。组织内网络设置有组织内管理系统150。组织内管理系统150被配置为管理文档管理系统的组织中的处理和处理所需的信息。即,尽管管理系统200由文档管理系统的服务提供商操作并被配置为使用文档管理系统来管理与多个组织有关的信息和处理,但组织内管理系统150被配置为在管理系统200的管理下管理信息和处理中与该组织有关的部分。
组织内管理系统150包括本地用户ID服务器152、本地DID服务器154和本地元数据服务器156。
本地用户ID服务器152被配置为管理组织的成员中作为用户注册在文档管理系统中的用户的信息。本地用户ID服务器152所保持的各个用户的信息与图4所示的用户ID服务器210所保持的用户的一般信息类似。当获取并使用处理设备110的用户(即,作为处理设备110的“预定处理设备”的用户)被注册在处理设备110中时,处理设备110将注册的用户的信息发送到组织中的本地用户ID服务器152。本地用户ID服务器152被配置为保存所接收的用户的信息,并经由广域网10将其发送到中央管理系统200的用户ID服务器210。用户ID服务器210被配置为保存所接收的用户的信息。另外,当处理设备110中注册的用户的信息变更时,管理员等变更处理设备110的用户的信息。处理设备110被配置为将用户信息的变更的内容的信息(包括例如用户ID、变更的信息项的项名称和项的变更的值)发送到本地用户ID服务器152,并且本地用户ID服务器152被配置为与所接收的变更的内容对应变更保存在其中的用户的信息。另外,本地用户ID服务器152被配置为将所接收的变更的内容的信息发送到中央用户ID服务器210,并且用户ID服务器210被配置为与所发送的信息对应变更保持在其中的用户的信息。
本地DID服务器154被配置为接收处理设备110所发布的DID并将其保存在属于组织的组织内网络的各个本地系统100中。本地DID服务器154中保持的信息与图5所示的DID服务器220中保持的信息类似。另外,本地DID服务器154被配置为将从处理设备110接收的DID的信息发送到中央DID服务器220,并且DID服务器220被配置为保存该信息。另外,本地DID服务器154从中央DID服务器220被指派有DID的发布权限和发布限量,并且被配置为在发布限量内基于发布权限的管理下将DID的发布权限和发布限量指派给各个处理设备110。
本地元数据服务器156被配置为接收由处理设备110生成的eDoc的元数据并将其保存在属于组织的组织内网络的各个本地系统100中。本地元数据服务器156所保持的信息与元数据服务器230所保持的信息类似。另外,本地元数据服务器156被配置为将从处理设备110接收的元数据发送到中央元数据服务器230,并且元数据服务器230被配置为保存该元数据。
在图12的系统中,当处理设备110从未注册在对应处理设备中,但注册在同一组织中的其它处理设备110中的用户接收到对文档的注册(和分发)请求、对eDoc 文件或元数据的获取请求等时,处理设备经由组织内管理系统150来响应请求。
作为一个示例,考虑在组织内网络中设置在第一部门中的第一本地系统100中的处理设备#1中注册的阅读者将注册并分发给处理设备#1的eDoc保存在用户的阅读终端104中,然后打算在处理设备#2的管理下在第二部门中阅读eDoc的情况。在阅读者打算阅读eDoc的时间点,假设保存在阅读终端104中的eDoc的元数据过时并且访问有效期限已逝去。在这种情况下,当阅读者利用阅读终端104打开eDoc时,执行图13所示的处理。
首先,阅读终端104针对处理设备110搜索阅读终端当前连接到的第二本地系统100的本地网络108。由此,找到处理设备#2。由于处理设备#2是与已分发eDoc的处理设备#1不同的设备,所以处理设备#2不具有eDoc文件或元数据。
(1):读取用户ID密钥(装置ID认证)
阅读终端104从阅读者的认证装置130读取用户ID密钥(认证信息)。
(2):访客连接到处理设备#2(用户ID密钥)
为了执行获取指示为阅读目标的eDoc的最新元数据的用户认证,阅读终端104 向处理设备#2发送从认证装置130获取的用户ID密钥。
(3):请求要阅读的eDoc的元数据
阅读终端104向处理设备#2请求eDoc的元数据。该请求包括eDoc的DID。
(4)-1:(未注册用户的)用户ID和DID认证
处理设备#2检查从阅读终端104获取的用户ID密钥是否属于注册在其中的用户(用户认证)。在此示例中,由于阅读者注册在处理设备#1中并且未注册在处理设备 #2中,所以处理设备#2将包括用户ID密钥的认证请求发送到预设本地用户ID服务器152的地址。另外,处理设备#2将包括在来自阅读终端104的元数据请求中的DID 发送到预设本地DID服务器154并请求认证。
(4)-2:用户ID和DID的认证确认
本地用户ID服务器152验证从处理设备#2接收的用户ID密钥是否属于注册在其中的用户(用户认证)。由于拥有用户ID密钥的阅读者注册在处理设备#1中,所以也在作为上层设备的本地用户ID服务器152中进行用户注册。因此,用户认证成功。本地用户ID服务器152向处理设备#2回复指示认证成功的响应。
另外,本地DID服务器154检查从阅读终端104发送的验证目标的DID是不是适当DID,即,是不是保存在其中的DID。在此示例中,eDoc的DID由处理设备#1 发布并且也保存在相对于处理设备#1的DID作为上层设备的本地DID服务器154中。因此,认证DID是适当DID。本地DID服务器154向处理设备#2回复指示DID是适当DID的响应。
(5)-1:请求与目标eDoc有关的元数据
由于用户认证和DID认证成功,所以处理设备#2继续响应来自阅读终端104的元数据请求的处理。即,处理设备#2将包括DID的元数据请求发送到预设本地元数据服务器156的地址。
(5)-2:传输请求的元数据(最新版本)
当本地元数据服务器156从处理设备#2接收到元数据请求时,本地元数据服务器将与请求中所包括的DID对应的元数据返回给处理设备#2。当在处理设备110处从分发者变更eDoc的元数据时,该变更立即反映在本地元数据服务器156上。因此,此时返回给处理设备#2的元数据是阅读目标的eDoc的元数据的最新版本。
(6):传输请求的元数据(最新版本)
处理设备#2将从本地元数据服务器156接收的元数据发送到阅读终端104。
(7):接收(获取)最新版本的元数据
阅读终端104从处理设备#2接收并保存(高速缓存)元数据。
(8):确认阅读权限并基于用户ID生成解密密钥
阅读终端104通过参考所接收的最新元数据的分发目的地信息来检查阅读终端104和阅读者的组合的权限。即,当在元数据中的分发目的地信息(参照图3)所指示的分发目的地用户和分发目的地终端的组合中存在与阅读终端104和阅读者的组合一致的组合时,确定存在阅读权限,否则,确定不存在阅读权限。当确定不存在阅读权限时,阅读终端104显示错误。当确定存在阅读权限时,阅读终端104从与元数据的加密信息中所包括的各个分发目的地用户对应的加密的密钥取出与阅读者对应的密钥并利用阅读者的秘密密钥(例如由认证装置130保持)将密钥解密,从而恢复将eDoc文件解密所需的解密密钥。
(9):eDoc文件的解密和画面显示
阅读终端104使用恢复的解密密钥来将eDoc文件解密,从而再现可阅读的文档并输出文档(例如,画面显示)。然后,阅读终端104根据包括在元数据中的访问权限信息来控制是否从阅读者接收对文档的操作指令。
随后,参照图14,描述当注册在第一本地系统100的处理设备#1中的用户在处理设备#2的管理下在第二部门处在文档管理系统中注册文档时执行的处理的流程。这里,假设用户(文档的分发者)未注册在处理设备#2中。
(1):访客连接到处理设备#2(传输登录ID和密码)
当用户指示用户的准备终端102注册文档时,准备终端102显示用于请求输入登录认证信息的画面。当分发者响应于请求输入认证信息(例如,用户ID和密码)时,准备终端102经由本地网络108将认证信息发送到处理设备110。
(2):传输(查询)非注册用户的认证信息
处理设备#2确定从准备终端102接收的认证信息是否属于注册在其中的用户。如上所述,分发者未注册在处理设备#2中。在这种情况下,处理设备#2将认证信息发送到上层本地用户ID服务器152以用于认证。
(3):非注册用户的认证确认(响应)
本地用户ID服务器152确定所接收的认证信息是否属于注册在其中的用户(用户认证)。在此示例中,由于分发者是注册在处理设备#1中的用户,所以分发者也注册在本地用户ID服务器152中,从而用户认证成功。本地用户ID服务器152向处理设备#2回复指示用户认证成功的信息。
(4):接收用户的认证结果(认证确立)
当处理设备#2从本地用户ID服务器152接收到指示用户认证成功的响应时,处理设备#2向准备终端102发送指示用户认证成功的响应。
(5):传输文档(+原始数据)和属性数据
当用户认证成功时,准备终端102将作为注册目标由用户选择的文档和通过数据输入的属性数据发送到处理设备#2。
(6):接收文档(+原始数据)和属性数据
处理设备#2从准备终端102接收文档和属性数据。
(7)-1:对DID发布权限和发布限量的请求
当处理设备#2已用完DID的发布权限和发布限量时,处理设备#2向本地DID服务器154请求新的发布权限和发布限量。另一方面,当所接收的发布限量中有剩余时,处理设备#2进行到步骤(8)而无需请求。
(7)-2:指派DID发布权限和发布限量
本地DID服务器154响应于来自处理设备#2的请求向处理设备#2指派新的发布权限和发布限量。另一方面,当从中央DID服务器220指派的发布限量已用完时,本地DID服务器154向DID服务器220请求新的发布权限和发布限量并使用响应于请求而指派的发布权限和发布限量将DID的发布权限和发布限量指派给处理设备#2。
(8):生成DID和确定(指派)eDoc文件的eDID
处理设备#2使用所指派的发布权限来发布DID,并将DID指派给从目标文档生成的eDoc(在下一步骤中生成)。
(9)-1:准备eDOC文件(独特格式、解密)
处理设备#2生成用于对目标文档进行加密的加密密钥,将目标文档编码为系统的专用格式,并通过先前生成的加密密钥对编码结果进行加密,从而生成eDoc文件。
(9)-2:准备元数据
处理设备#2将先前生成的DID、编码日期和时间等添加到从准备终端102接收的属性数据,从而生成eDoc的元数据。
(10):上传DID和元数据
处理设备#2将所生成的DID和所生成的元数据分别上传到本地DID服务器154 和本地元数据服务器156。本地DID服务器154将从处理设备#2上传的DID添加到与包括在DID中的发布权限密钥对应的发布DID列表(参照图5),并将其上传到中央DID服务器220。DID服务器220将从本地DID服务器154上传的DID添加到与发布权限密钥对应的发布DID列表(参照图5)。另外,本地元数据服务器156保存从处理设备#2上传的元数据,并将其上传到中央元数据服务器230。元数据服务器 230保存从本地元数据服务器156上传的元数据。
处理设备#2将所生成的eDoc分发到由分发者指定的分发目的地。该处理与图8 的步骤(7)至(12)类似。
(11):传输eDoc
另外,处理设备#2将所生成的eDoc文件和元数据发送到准备终端102。处理设备#2可将eDoc文件和元数据保存在处理设备#2中,或删除eDoc文件和元数据而不将其保存在处理设备#2中。当删除eDoc文件和元数据而不将其保存在处理设备#2 中时,eDoc文件和元数据仅保存在组织中的处理设备110组中的处理设备#1(稍后描述的步骤(13)中的预定处理设备)中。处理设备110可设定不是分发者的预定处理设备的处理设备110是否将保存分发者请求注册/分发的eDoc文件和元数据。
(12):eDoc的接收和暂时保存
准备终端102保存从处理设备110接收的eDoc文件和元数据以稍后将其传送至作为分发者的预定处理设备的处理设备#1。
(13):连接到归属的处理设备#1时,eDoc的同步和压缩版本的原始数据的保存
当分发者经由准备终端102返回到分发者所属的第一部门时,准备终端102在第一本地网络108上搜索作为分发者的预定处理设备的处理设备#1。当找到处理设备#1 时,准备终端102将步骤(12)中保存的eDoc文件和元数据注册在处理设备#1中。由此,当分发者打算变更元数据的内容(例如,分发目的地)时,分发者可访问预定处理设备#1以执行变更操作。
在如上所述的例示性实施方式的文档管理系统中,已指示从准备终端102分发到处理设备110的文档的主体信息(即,eDoc文件)仅被提供给处理设备110和分发目的地的阅读终端104并且不出现在其它网络和设备上。因此,eDoc文件的泄漏风险最小化。具体地,当eDoc文件的分发目的地被限制为生成eDoc的本地网络108 的阅读终端104时,eDoc绝不会从本地网络108泄漏外部。
同时,eDoc的元数据注册在中央管理系统200或各个组织的组织内管理系统150中,并且即使当阅读终端104移动到不同地点时也可经由广域网10或组织的专用网络获得。当阅读终端104从用户接收到eDoc的阅读指令时,阅读终端从组织内管理系统150或中央管理系统200获取eDoc的最新元数据,并基于包括在最新元数据中的分发目的地信息来确定是否允许用户阅读eDoc。即使在eDoc注册/分发时用户被指定为分发目的地,当由于分发目的地的稍后变更从分发目的地排除用户时,用户不被允许阅读eDoc。
在图13和图14的示例中,假设处理设备#1和处理设备#2二者配备在同一组织中并且分发目的地的用户也属于该组织。因此,在组织的本地用户ID服务器152处执行用户认证。相反,当阅读者是属于与处理设备#2不同的组织的用户时,既无法在处理设备#2,也无法在上层本地用户ID服务器152处认证分发者。在这种情况下,更上层用户ID服务器210可执行分发者的用户认证。
在图13和图14的示例中,另一处理设备#2对注册在处理设备#1中的用户的阅读终端104与本地用户ID服务器152或本地元数据服务器156之间的通信进行中继。然而,这仅是示例性的。代替该配置,例如,当从发送自阅读终端104的用户的认证信息确定用户未注册在处理设备#2中时,处理设备#2可向阅读终端104发送指示无法认证的响应。在这种情况下,阅读终端104使用阅读终端中注册的上层设备的地址信息来向本地用户ID服务器152请求认证,并且当认证成功时访问本地元数据服务器156并获取必要的元数据。
在图13的示例中,用户移动到在与用户所属的组织中的用户的预定处理设备分离的处理设备110的管理下的本地系统100,并阅读文档。然而,用户可在用户所属的组织之外阅读从用户的预定处理设备分发的文档。在这种情况下,用户的阅读终端 104在中央管理系统200的用户ID服务器210处经受认证,并从元数据服务器230 获取要阅读的文档的元数据。
<DID的示例>
随后,参照图15描述文档管理系统中用于eDoc的识别信息的DID 600的配置。
如所示,DID 600包括发布权限密钥602、处理设备特定信息604、发布日期606、发布证书密钥608和发布编号610。同时,所示的DID 600以及构成元素602至610 的位数仅是示例性的。
发布权限密钥602是用于识别由DID服务器220指派给处理设备110的发布权限的密钥信息。当DID服务器220从处理设备110接收到对发布权限和发布限量的请求时,DID服务器生成发布权限密钥602并将发布权限密钥602与发布限量的数值 (例如,文档数:100)一起发送到处理设备110。同时,在本地DID服务器154介于DID服务器220和处理设备110之间的系统配置中,例如,DID服务器220将发布权限密钥和发布限量的多个集合一同指派给本地DID服务器154。该指派可被理解为DID服务器220请求本地DID服务器154执行将发布权限密钥和发布限量的多个集合指派给处理设备110的处理。当本地DID服务器154从管理下的处理设备110 接收到对发布权限的请求时,本地DID服务器可将所指派的发布权限密钥和发布限量的多个集合当中还未被指派的集合指派给处理设备110。
处理设备特定信息604是发布DID的处理设备110所特定的信息。即,可通过检查DID 600中的处理设备特定信息604来唯一地指定发布DID 600的处理设备110。处理设备特定信息604由处理设备110保持。
发布日期606是指示发布DID的日期的字符串。DID的发布日期也是作为DID 的指派目的地的eDoc生成(编码)的日期。
发布证书密钥608是使用发布权限密钥602所指示的发布权限来验证处理设备110(由处理设备特定信息604指定)发布DID的密钥信息。例如,发布证书密钥608 是通过利用处理设备110的秘密密钥对发布权限密钥602进行加密而获得的值。在这种情况下,当通过利用处理设备110的秘密密钥对发布证书密钥608解密而获得的值与发布权限密钥602一致时,使用发布权限密钥602来验证处理设备110发布了DID 600。另外,通过利用处理设备110的秘密密钥对DID 600的除了发布权限密钥602 之外的部分的值(或者从该值生成的具有预定位数的散列值)进行加密而获得的值可被设定为发布证书密钥608。在这种情况下,当通过利用处理设备110的公开密钥对发布证书密钥608解密而获得的值不与DID 600的除了发布证书密钥608之外的部分的值冲突(例如,解密结果与该值的散列值一致)时,验证处理设备110基于发布权限密钥602发布了DID 600并且DID 600的除了发布证书密钥608之外的部分非伪造。
发布编号610是指示DID 600是处理设备110使用发布权限密钥602发布的哪一编号的DID的序列号。使用任何发布权限密钥602生成的DID 600的发布编号610 的最大值是由DID服务器220(或本地DID服务器154)与发布权限密钥602一起指派的发布限量的值(文档数)。
<注册之后分发目的地的变更>
同时,还考虑在文档管理系统中注册eDoc之后,分发者(或具有变更分发目的地的权限的人)打算删除或添加分发目的地或修改指派给分发目的地的eDoc的访问权限的情况。在这种情况下,分发者使用准备终端102或阅读终端104(以下,统称为用户终端)来访问预定处理设备110,例如,指定目标eDoc的DID并指示执行分发目的地(或访问权限)的编辑处理。
当通过用户认证确认发出指令的用户是目标eDoc的适当分发者等(分发者和指派有变更分发目的地的权限的其他人的统称)时,接收到指令的处理设备110向用户终端提供分发目的地和访问权限的编辑画面。编辑画面优选与图9所述的输入画面 400类似。分发者等在编辑画面上添加或删除分发目的地的用户和阅读终端并变更访问权限内容。当分发者等在编辑画面上执行必要变更,然后执行确认变更的操作时,处理设备110将该变更反映在所保存的eDoc的元数据上并将变更的内容通知给上层本地元数据服务器156和元数据服务器230。本地元数据服务器156和元数据服务器 230将所通知的变更的内容反映在所保存的eDoc的元数据上。例如,当在分发时被指定为分发目的地的用户此后由于变更而从分发目的地被删除时,用户无法阅读 eDoc。另外,当eDoc的元数据中的分发目的地信息以这种方式变更时,处理设备110 可向包括在变更前的分发目的地信息中,但不包括在变更后的分发目的地信息中的分发目的地的阅读终端104发送删除eDoc文件(和对应元数据)的指令。
在以上示例中,处理设备110接收变更eDoc的分发目的地和访问权限的指令。然而,代替该配置或除了该配置之外,上层设备,即,管理系统200(元数据服务器 230)或组织内管理系统150(本地元数据服务器156)可被配置为接收变更指令。在这种情况下,上层设备被配置为将与变更指令对应变更的新元数据发送到处理设备110(以及处理设备110所属组织的本地元数据服务器156)以利用其替换处理设备 110中的现有元数据。
<处理设备的状况管理>
随后,描述基于处理设备110的状况管理的控制。
处理设备110被配置为周期性地将其状况通知给管理系统200。在管理系统200中,处理设备管理服务器240被配置为将所接收的状况与接收日期和时间关联地添加到处理设备110的状况滞后242。另外,处理设备管理服务器240被配置为检查所接收的状况并根据检查结果来控制是否可或不可向处理设备110的用户提供服务。
由处理设备110周期性地发送到处理设备管理服务器240的状况包括与图6所示的处理设备的状况244类似的项。然而,状况244中不根据处理设备110变更的处理设备的制造商名称、装备地点、编码电路信息等可不周期性地发送。
例如,处理设备管理服务器240被配置为基于从处理设备110发送来的状况来执行图16中举例说明的处理。
首先,当处理设备管理服务器240从处理设备110接收到状况(S100)时,处理设备管理服务器将状况的检查目标项的值与各个项的标准进行比较(S102)。检查目标项包括加密软件的名称和版本、编码软件的名称和版本、安装在处理设备110中的安全证书、安装在处理设备110中的加密密钥(例如,用于通信信道加密和签名等的一对秘密密钥和公开密钥)的信息(例如,加密密钥的识别信息和安装日期和时间等)、编码电路的名称和固件(FW)版本、安装的字体的类型和盘(辅助存储部)的空闲空间。另外,各个项的标准的示例包括加密软件、编码软件或固件是最新版本或任何版本之后的版本的标准、盘的空闲空间等于或大于预定阈值的标准、黑名单中描述的证书不包括在安装的安全证书中的标准、在处理设备110的加密密钥安装之后预定时间段未逝去的标准、安装预定类型的字体的标准等。
例如,处理设备110用于通信信道加密、签名等的加密密钥优选周期性地变更为新密钥以保持其安全性。因此,在从其安装日期和时间起逝去了预定时间段的加密密钥的情况下,处理设备管理服务器240确定加密密钥不满足标准,并禁用服务提供或发出指示将禁用服务提供的警告,从而催促更换为新密钥。
处理设备管理服务器240确定从处理设备110接收的状况的检查目标项是否包括不满足项的标准的检查目标项(S104)。当不存在对应项时,处理设备管理服务器结束已接收到状况的处理设备110的处理。当在S104中确定存在不满足标准的项时,处理设备管理服务器240向处理设备110通知不可服务(S106)。接收到指示不可服务的通知的处理设备110停止向例示性实施方式的文档管理系统的文档注册(分发) 服务。即,处理设备不从准备终端102接收对文档的注册(分发)请求并回复指示服务暂停的消息。
根据以上控制,处理设备110将生成不满足标准的eDoc的可能性降低。例如,根据以上控制,在通过旧加密软件进行的加密级别不足的eDoc生成之前,停止处理设备110的服务。另外,在eDoc的生成处理中由于盘的空闲空间不足或旧固件而导致错误,以使得文档被泄漏的情况发生之前,停止服务。另外,在没有预定字体的处理设备110利用另一字体替换文档中的对应字体并对其进行编码,以使得eDoc的图像质量劣化之前,停止服务。另外,例如,编码电路的固件较旧,以使得不支持最新固件所支持的文档的图像大小并且eDoc的图像大小受限的情况也难以发生。
同时,影响eDoc的安全性的项和不影响的项可被分类为状态的检查目标项,并且只有当前者项不满足标准时,才可停止处理设备110的服务。当后者项不满足标准时,处理设备管理服务器240向处理设备110或其管理员发出催促解决项的故障的警告。接收到该警告,处理设备110的管理员针对管理员可解决的项修理处理设备110,并针对应该由维修操作员管理的项请求系统操作员派遣专门的维修操作员。另外,当觉察到检查目标项的特定项不满足标准时,处理设备管理服务器240可自动地准备向处理设备110派遣维修操作员。
参照图17描述图16所示的处理的修改的实施方式。
在图17的序列中,作为处理设备110的状况的检查目标项,引入紧急项和其它的级别分类。紧急项是极大影响要由处理设备110生成的eDoc的安全质量和文档管理系统的安全的项。由项不满足标准的处理设备110生成的eDoc无法确保足够的安全性。另外,当项不满足标准的处理设备110继续其操作时,处理设备110可能成为文档管理系统的安全漏洞(漏洞)。紧急项的目标的示例可包括在加密软件的版本、安装在处理设备110中的安全证书和安装在处理设备110中的加密密钥中发现漏洞的情况等。
避免作为紧急项不满足标准的结果导致的问题的一个方法包括停止紧急项不满足标准的处理设备110以及针对紧急项派遣维修操作员执行修正/修理。然而,用户无法使用处理设备110,直至修正完成。
因此,在图17的序列中,当在S104中发现不满足标准的项时,处理设备管理服务器240确定项是不是紧急项(S110)。当项是紧急项时,处理设备管理服务器240 经由广域网10在处理设备110中远程安装用于修正紧急项的故障的设定信息(S112)。用于修正紧急项的故障的设定信息的示例包括最新版本的加密软件、安全证书中发现的漏洞已解决的最新版本的安全证书、用于替换发现处理设备110的漏洞的一对秘密密钥和公开密钥的新密钥对等。
例如,在新密钥对的情况下,处理设备管理服务器240准备用于生成新密钥对的短语,使用该短语来生成密钥对,并以安全方式将所生成的密钥对发送并远程安装在处理设备110中。
由此,处理设备110中不满足标准的紧急项的设定信息被更新为满足标准的设定信息。另外,与该更新对应地更新处理设备110的状况的紧急项的值。
另外,当S110中的确定结果为否(项不对应于紧急项)时,处理设备管理服务器240向处理设备110或管理员发送指示不满足标准的项的警告,并准备派遣维修操作员以修正处理设备110的对应项(S114)。在不是紧急项的项的情况下,即使处理设备110继续其操作时,也难以在安全性方面发生严重问题。因此,仅派遣维修操作员以处理该项而无需停止处理设备110。由于处理设备管理服务器240不会远程安装紧急项以外的项,所以避免处理设备管理服务器240的负荷增加。
在图17的示例中,以自上而下的方式从处理设备管理服务器240在处理设备110中安装与紧急项有关的设定信息,并且设定信息对应地安装在处理设备110中,以使得处理设备110的状况的紧急项的值更新。相反,在紧急项以外的项的情况下,维修操作员在各个处理设备110处设定和变更其值,并安装与项对应的设定信息(例如,加密软件的最新版本)。在处理设备110处以这种方式进行的状况项值的设定和变更被通知给上层处理设备管理服务器240,以使得处理设备管理服务器240与该通知对应地变更提供用于处理设备管理服务器并与处理设备110的状况的项对应的项的值。
<DID的验证>
当从处理设备110通知发布的DID时、当从阅读终端104发送元数据的请求(包括DID)时或者当从用户接收到对DID的验证请求时,管理系统200验证DID是否正确。
在这种情况下,DID服务器220针对以下验证目标DID 600(参照图15)。
(a)在DID 600中的发布权限密钥602与处理设备特定信息604之间不应该存在矛盾。
DID服务器220检查记录在其中的信息(参照图5)中是否记录有发布权限密钥602,作为处理设备特定信息604所指示的处理设备110被设定为指派目的地的发布权限密钥。当检查结果为否时,意味着还未向处理设备特定信息604所指示的处理设备110发布发布权限密钥602。这是矛盾的。在这种情况下,DID 600是不当DID。
(b)在DID 600中的发布权限密钥602与发布日期606之间不应该存在矛盾。
DID服务器220与发布权限密钥(参照图5)关联地记录密钥指派日期和时间和密钥结束日期和时间。当DID 600中的发布日期606偏离从与DID 600的发布权限密钥602关联记录的密钥指派日期和时间到密钥结束日期和时间的时间段时,发布权限密钥602和发布日期606彼此矛盾。在这种情况下,DID 600是不当DID。
(c)在DID 600中的发布权限密钥602、处理设备特定信息604和发布证书密钥 608之间不应该存在矛盾。
DID服务器220利用处理设备特定信息604所指示的处理设备110的公开密钥将发布证书密钥608解密,并确定解密结果所指示的发布证书密钥是否与DID 600中的发布证书密钥608一致。当密钥彼此不一致时,三方之间存在矛盾。因此,可觉察到 DID 600不当。
(d)DID 600中的发布编号610不应与发布权限密钥602所对应的发布限量矛盾。
DID服务器220与发布权限密钥602一起记录指派给处理设备110的发布限量 (参照图5)。当DID 600中的发布编号610是大于记录在发布权限密钥602中的发布限量的编号时,DID不当。
(e)DID 600中的发布编号610不应与包括与DID 600的发布权限密钥602相同的发布权限密钥的发布DID的发布编号矛盾。当从处理设备110通知新发布的DID时,该标准用于验证新发布的DID是否与已经发布的DID矛盾。
DID服务器220与发布权限密钥关联地记录使用发布权限密钥发布的DID及其发布日期和时间的信息(图5中的发布DID列表)。DID服务器220检查在具有与作为验证目标的DID 600的发布权限密钥602相同的发布权限密钥的发布DID中是否存在具有与DID 600中的发布编号610相同的发布编号的DID。如果检查结果为是,则确定DID 600不当。
(f)DID 600中的发布日期606和发布编号610的组合不应与包括与DID 600的发布权限密钥602相同的发布权限密钥的发布DID的发布日期和发布编号的组合矛盾。
DID服务器220确定作为验证目标的DID 600的发布日期606和发布编号610 的组合是否与包括与DID 600的发布权限密钥602相同的发布权限密钥的各个发布DID的发布日期和发布编号的组合矛盾,即,是否存在前后关系与验证目标相反的 DID。例如,当发现发布日期比DID 600晚,但发布编号较小的发布DID时,前后关系反转,以使得DID 600和发布DID彼此矛盾。当发现矛盾时,确定仅作为验证目标的DID 600或DID 600和发布DID二者不当。
当基于如上所述的标准确定任何DID不当时,DID服务器220通过电子邮件等向处理设备110的管理员通知与不当DID有关的警告。该警告通知包括通知发现伪造为由处理设备110发布的DID的消息。管理员通过该通知来执行用于改进安全性的措施和策略。处理设备110的管理员或其联络点可从处理设备管理服务器240的信息(参照图6)获得。作为警告通知的目的地并且与不当DID有关的处理设备110 是包括在DID中的处理设备特定信息604所指示的处理设备110。另外,先前指派与包括在不当DID中的发布权限密钥相同的发布权限密钥的处理设备110可被设定为警告通知的目的地。
<当在eDoc的代码中发现漏洞时执行的处理>
随后,描述当在生成eDoc文件时用于加密的加密软件中发现漏洞时执行的处理。当文档管理系统的管理员觉察到在任一个处理设备110所使用的加密软件的特定版本中发现漏洞时,管理员从管理系统200向各个处理设备110发送漏洞通知。该漏洞通知包括发现漏洞的加密软件的软件名和版本的信息。当存在组织内管理系统150 时,从管理系统200向组织内管理系统150发送漏洞通知,并且组织内管理系统150 将漏洞通知发送给各个下层处理设备110。处理设备110响应于该通知执行图18中举例说明的处理。
当处理设备110从上层设备(管理系统200或组织内管理系统150)接收到漏洞通知(S200)时,处理设备110指定由处理设备利用具有该通知所指示的漏洞的加密软件的版本加密的文件(S202)。在处理设备110的文档DB 116中,保存由处理设备110生成的各个eDoc文件及其元数据,以使得可觉察到用于从各个eDoc文件的元数据生成各个eDoc的加密软件的名称和版本(参照图3所示的元数据的结构示例)。在S202中,处理设备110指定包括在元数据中的加密软件的名称和版本的组合与漏洞通知所指示的组合一致的eDoc。
然后,处理设备110利用安装在其中并当前使用的加密软件的版本对各个指定的eDoc文件重新加密(S204)。在此示例中,假设处理设备110的加密软件被适当地版本升级,并且在处理设备110的加密软件的当前版本中未发现漏洞。通常,在许多情况下,认为在处理设备110先前使用的加密软件的版本中发现漏洞。同时,如果作为漏洞通知的目标的加密软件的版本是处理设备110的加密软件的当前版本,则处理设备110从上层设备等下载加密软件的最新版本,并使用最新版本执行重新加密。可假设如果在当前使用的加密软件的最新版本中发现漏洞,则上层设备具有漏洞已解决的加密软件的更新版本或者加密软件的分发源的信息。例如,通过使用与eDoc文件对应的元数据中记录的解密密钥的信息将作为目标的eDoc文件解密,并利用没有漏洞的加密软件使用新生成的加密密钥对解密结果进行加密来执行重新加密。同时,假设保存在处理设备110中的元数据包括例如通过处理设备110的公开密钥加密的解密密钥的信息。同样,发送到上层设备的元数据可包括利用上层设备的公开密钥加密的其解密密钥。
处理设备110与重新加密对应地更新eDoc文件的元数据(S206)。即,元数据 (参照图3)中的编码日期和时间和加密信息(加密软件名和版本信息和密钥信息) 与重新加密的日期和时间、用于重新加密的加密软件名和版本以及用于将加密解密的解密密钥的信息重新记录。然后,处理设备110保存更新的元数据(例如,将更新的元数据作为eDoc文件的最新元数据保存),并将其上传到上层设备。上层设备保存所上传的更新的元数据。
然后,处理设备110执行用于将通过重新加密而获得的eDoc文件分发到元数据的分发目的地信息所指示的分发目的地的各个阅读终端104的处理(S208)。即,例如,向分发目的地的各个阅读终端104发送分发准备完成通知(参照图8中的步骤 (7))。在该通知中,除了DID和文档名之外,还可包括指示分发的eDoc是已经更新的eDoc的更新版本的信息。当阅读者在阅读终端104的列表画面500(参照图11) 上指示作为重新加密的结果接收到分发准备完成通知的eDoc作为阅读目标时,接收到分发准备完成通知的阅读终端104响应于指令利用从处理设备110获取的eDoc文件覆写保存在阅读终端中的重新加密前的eDoc文件。另外,阅读终端104保存与eDoc 文件一起接收的更新的元数据,作为eDoc的最新元数据。由此,利用具有漏洞的加密软件加密的eDoc文件和与之对应的元数据从阅读终端104被移除,并替换为利用没有漏洞的加密软件重新加密的eDoc文件和元数据。
同时,在发送重新加密的eDoc的阅读准备完成通知时或之前,处理设备110可明确地向分发目的地的各个阅读终端104发送包括eDoc的DID的删除通知。在这种情况下,各个阅读终端104响应于指令删除具有该DID的现有eDoc文件(重新加密前的eDoc文件)。此时,现有元数据也可被删除。
<分发目的地终端指定的其它示例>
在以上示例中,分发者可在准备终端102的UI画面(图9中的输入画面400) 上选择的分发目的地的用户和阅读终端104被限制为同一本地系统100的处理设备 110中注册的用户和阅读终端104或同一组织的组织内管理系统150中注册的用户和阅读终端104(在这种情况下,其它处理设备110中注册的用户和阅读终端104也可被指定为分发目的地)。
然而,在包括组织内的用户和组织外的人(访客)的会议中,存在允许访客暂时阅读诸如所准备的会议备忘录的文档的情况。在这种情况下,在处理设备110或上层设备中注册访客或访客的便携式终端并在阅读结束之后将注册注销是麻烦的。
因此,在例示性实施方式中,可被确定为访客的终端的阅读终端104被允许在预定限制下分发eDoc。
例如,在例示性实施方式中,在准备终端102附近的用户的终端被视为访客终端,并且访客终端被添加到分发目的地终端选择菜单406的选项。另选地,在处理设备 110附近的用户的终端被视为访客终端,并且访客终端被添加到分发目的地终端选择菜单406的选项。认为准备终端102或处理设备110被配备在组织的建筑物的房间(例如,部门的起居室、会议室等)中。因此,假设准备终端102或处理设备110附近的人是为了会议等基于正当许可进入房间的人。
例如,处理设备110或准备终端102搜索可使用诸如Bluetooth Low Energy(注册商标)的近场通信执行通信的伙伴终端。然后,处理设备110或准备终端102确定搜索到的伙伴终端或伙伴终端中距主装置的距离(在近场通信中,可计算主装置与伙伴之间的通信装置)等于或小于预设阈值的终端,作为其附近的访客终端。在分发目的地终端选择菜单406中,处理设备110或准备终端102所检测的访客终端的终端名称作为选项按照与组织中的预注册的阅读终端104不同的显示方式显示。分发者可从选项中选择要设定为分发目的地的访客终端。
这里,处理设备110或准备终端102可仅选择主装置附近的终端中满足预定条件的终端(而非所有邻近终端)作为访客终端,作为分发目的地的选项。例如,预定条件可包括安装在终端中的查看器应用和其它特定软件的版本是任何版本或以上的条件、终端不应包括在预定拒绝终端列表中的条件等。
通常认为,携带访客终端的用户未注册在处理设备110、本地用户ID服务器152 等中。因此,当处理设备110从指定为文档的分发目的地的访客终端接收到对eDoc 文件或元数据的请求时,处理设备可分发数据而无需用户认证。另外,处理设备110 将指示当满足删除条件时从访客终端删除eDoc文件和元数据的删除指令并入分发到访客终端的eDoc的元数据中。例如,删除条件包括eDoc的画面显示结束的条件、在执行分发之后已逝去预定许可时间段的条件等。当满足删除条件时,访客终端从访客终端删除eDoc文件和元数据。由此,eDoc通过访客终端的泄漏风险降低。
<处理来自分发目的地终端以外的终端的请求>
以上示例涉及处理设备110将eDoc(或与eDoc对应的分发准备完成通知)分发到由分发者指定为分发目的地的阅读终端104的推送型分发。
作为另一示例,还考虑拉取型分发,其中处理设备110中保持的eDoc的列表响应于来自阅读终端104的请求被提供给阅读终端104,并且用户从该列表选择的阅读目标被分发到阅读终端104。在拉取型分发中,还考虑分发目的地用户从未指定为分发目的地的阅读终端104访问处理设备110并请求eDoc。当发出请求时,处理设备 110执行以下方法。
(方法1)当处理设备110从阅读终端104接收到对eDoc的分发请求时,处理设备110确定阅读终端104是否对应于通过eDoc的最新元数据的分发目的地信息设定为分发目的地的阅读终端。当确定结果为否时,处理设备110将eDoc的文件(主体)及其元数据发送到阅读终端104。另一方面,当确定结果为是时,处理设备110 进一步确定发出分发请求的用户(或用户和阅读终端104的组合)是否包括在元数据的分发目的地信息中。当包括用户时,执行分发,否则,不执行分发。
在方法1中,eDoc(主体文件和元数据)不被分发到不与从分发者指定的分发目的地对应的阅读终端104。
(方法2)即使发送了对eDoc的分发请求的阅读终端104不与eDoc的元数据的分发目的地信息中定义的分发目的地的阅读终端104对应,当发出请求的用户(即,使用阅读终端104的用户)作为分发目的地包括在分发目的地信息中时,处理设备 110发送eDoc的主体文件和元数据。在这种情况下,处理设备110将指示不可保存的标志信息并入要发送的eDoc文件和元数据中。阅读终端104显示包括指示不可保存的标志信息的eDoc文件和元数据,但不从用户接收保存指令。然后,当用户的阅读结束时,阅读终端104丢弃eDoc文件和元数据而不将其保存。
同时,代替发送到未指定为分发目的地的阅读终端104的Doc文件和元数据不被保存在阅读终端104中的方法,还考虑允许保存一次的方法。此后,当阅读终端 104打算再次打开eDoc文件时,阅读终端104向处理设备110等请求eDoc的最新元数据(对阅读许可的请求)。此时,响应于请求,处理设备110确定阅读终端104和发出请求的用户的组合是否包括在元数据的分发目的地信息中。当不包括该组合时,处理设备110向阅读终端104发送删除eDoc的指令。阅读终端104响应于指令删除保存的eDoc的文件和与之对应的元数据。同时,处理设备110可仅回复最新元数据,而非向请求最新元数据的阅读终端104明确地发送删除eDoc的指令。在这种情况下,阅读终端104确定阅读终端和当前用户的组合是否包括在所接收的最新元数据中。当不包括该组合时,阅读终端104可删除所保存的eDoc的文件,而不打开eDoc。
在图18的示例中,重新加密后的eDoc文件继承重新加密前的eDoc文件的DID。然而,处理设备110可向重新加密后的eDoc文件指派与重新加密前的eDoc文件分离的DID。在这种情况下,处理设备110向分发目的地的各个阅读终端104发送包括重新加密前的eDoc文件的DID的明确删除指令,以使得重新加密前具有漏洞的eDoc 文件不保留在阅读终端104中。另外,处理设备110将指示重新加密后的eDoc文件和重新加密前的eDoc文件对应于同一文档的关联信息记录在与重新加密后的eDoc 文件对应的元数据中或处理设备110(或上层DID服务器220和本地DID服务器154) 中。在将关联信息记录在与重新加密后的eDoc文件对应的元数据中时,例如,处理设备110优选将重新加密前的eDoc文件的DID包括在元数据中,作为“更新前的DID”的项。
在以上示例中,eDoc文件不被分发到可连接到注册有eDoc文件的处理设备110 连接到的本地网络108的阅读终端104以外的终端。然而,在要获得安全性的特殊情况下,可将eDoc文件从处理设备110分发到连接到其它网络的阅读终端104。下面描述其示例。
在示例中,处理设备110被分组,并且也允许向连接到属于同一组的其它处理设备110的阅读终端104分发任何处理设备110所保持的eDoc。根据订约人的要求规定组。例如,在与同一订约人对应的处理设备110被设定为一个组或者配备在作为订约人的公司的同一枢纽(工厂或办公室)或部门处的处理设备110被设定为一个组的方面定义组。另外,当多个订约人彼此协作时,配备在订约人的协作部门中的处理设备110可被设定为一个组。
图19举例说明为X公司和Y公司两个订约人设定的组。在示例中,对于X公司,设定由配备在X公司中的所有处理设备110组成的组A。另外,设定由配备在X 公司的中央办公室中的处理设备110组成的组B以及分别由配备在技术部门、工厂部门和业务部门中的处理设备110组成的组C1、C2和D。组B、C1、C2和D包括在组A中。另外,在业务部门的组D中,包括由配备在东京业务部中的处理设备110 组成的组D1以及由配备在关西业务部中的处理设备110组成的组D2。组A、B、C1、 C2、D、D1和D2是根据X公司的组织配置提供的组,并且被假设为基本上持久存在。这样,假设为持久存在的组被称为固定组。此外,在X公司中,设定为临时项目而临时形成的组G1和G2。例如,组G1包括配备在参与项目团队的部门中的处理设备110。类似组G1和G2,假设为临时的组被称为可变组。
同样,在Y公司中,设定四个固定组,即,由配备在Y公司中的所有处理设备 110组成的组A以及由分别配备在业务部门、会计部门和审计部门中的处理设备110 组成的组B、C和D。组B、C和D包括在组A中。
另外,在所示的示例中,X公司和Y公司彼此协作,以使得由属于相应X公司和Y公司的协作相关部门的处理设备110设定作为跨两个公司的可变组的组 G-Y-X-1,以相对于协作执行特殊审计项目。
此外,在示例中,如图20所示,除了管理信息112a之外,在各个处理设备110 中保持从属组信息112b和传送设定信息112c。
从属组信息112b是指示处理设备110所属的组的信息。在一个示例中,提供给处理设备110的从属组信息是处理设备110所属的组ID的列表。组ID是全世界唯一地识别组的识别信息。例如,组ID的全局唯一性可由包括全世界唯一的订约人ID 的类型(例如,订约人中的组的序列号被综合在订约人ID中)实现。
除了与配备有处理设备110的部门对应的组之外,还包括包括对应组的上层组的组ID。例如,在图19的示例中,东京业务部中也参与特殊审计项目的部门中配备的处理设备110的从属组信息包括四个组(即,组D1、D、A和G-Y-X-1)的组ID。
传送设定信息112c是关于响应于来自其它处理设备110的请求传送处理设备110所保持的eDoc的传送方法的设定信息。在示例中,当处理设备110从其它处理设备 110接收到对其eDoc的传送请求时,当请求源的处理设备110属于与主装置相同的组时处理设备110向请求源回复eDoc。这里,如上所述,处理设备110可属于多个组。因此,提供传送设定信息112c以使得可为各个从属组不同地设定传送方法和条件。
图21描绘了传送设定信息112c的示例。所示示例是在图19的组配置示例中在 X公司的东京业务部中也参与特殊审计项目的部门中配备的处理设备110中设定的传送设定信息112c。处理设备110属于组D1、D、A和G-Y-X-1的四个组,并且为四个组中的每一个设定三阶段级别“◎”、“○”、“△”中的任一个。
级别“◎”指示利用预定传送协议将请求的eDoc立即传送到请求源的方法。该级别应用于由可彼此信任的处理设备110组成的紧密组。同时,传送协议包括诸如FTP、 TFTP、FTPS、WebDAV、rsync、SCP等的不同协议,并且它们中的任一个可以是预定传送协议。另外,可使用通过改变(例如,高级加密)协议以改进安全性而获得的协议。
级别“○”指示检查与请求源的通信连接的状态,并使用根据预定标准从主装置和请求源二者可使用的传送协议选择的传送协议(例如,具有最高安全级别的传送协议) 传送请求的eDoc的方法。该级别的方法等同于一般数据传送中使用的方法。
级别“△”指示只有从对eDoc具有特定高权限的人(例如,所有者,即,在处理设备110中注册eDoc的用户)发出请求时将请求的eDoc传送到请求源的处理设备 110的方法。用于传送的协议类似级别“○”通过与请求源的处理设备110协商来确定。级别“△”应用于包括在安全性方面信赖级别低的处理设备110的组。
另外,各个级别可与传输目的地的处理设备110中的eDoc的高速缓存时间段关联。例如,级别越高,高速缓存时间段越长。组的高级别意指属于该组的处理设备110之间的信赖级别高。在以上示例中,级别按照“◎”、“○”和“△”的顺序越高。
处理设备110将请求的eDoc与为请求源确定的级别所对应的高速缓存时间段的信息一起发送到请求源。请求源的处理设备110将所接收的eDoc存储高速缓存时间段。当在高速缓存时间段期间接收到对eDoc的请求时,处理设备110使用高速缓存的eDoc来响应。
图21中举例说明的传送设定信息包括两列“一致”和“特殊设定”。列“一致”是指示应用于保持有传送请求目标的eDoc的处理设备110与传送请求源的处理设备110 之间一致的从属组的级别的列。列“特殊设定”是用于业务审计、管理等的类似主密钥的设定的列。列“特殊设定”使得eDoc能够从属于固定组的所有处理设备110传送到审计员或管理员的设备。当请求源是审计员的设备时,例如,通过发送指示设备相对于请求目的地的处理设备110是审计员的特殊认证信息来验证。
由各个处理设备110的管理员或提供系统的服务的经营者的服务人员为各个处理设备110设定从属组信息112b和传送设定信息112c。
同时,在图6的处理设备管理服务器240中注册由处理设备110保持的从属组信息112b和传送设定信息112c,作为与处理设备110的处理设备ID对应的状况滞后 242的状况244的项。
在下文中,描述注册在任何处理设备110(称为“主设备”)中的用户在主设备所连接到的本地网络之外的其它枢纽处经由配备在该其它枢纽中的处理设备110(称为“客设备”)获取主设备中的eDoc的处理。在用户ID服务器210中,主设备的ID被注册为用户的预定处理设备ID(参照图4)。用户通常连接到主设备所连接到的本地网络108,并接收主设备中注册的eDoc的分发。这里,描述当用户出去到另一地点时,用户经由连接到该地点中的本地网络108的客设备从主设备接收eDoc的分发的情况的流程。
参照图22描述客设备的处理序列。在该序列中,客设备从用户(未注册在客设备中的用户)的阅读终端104接收作为获取目标的eDoc的DID的输入(S10)。这里,在该步骤之前,客设备可使用上层用户ID服务器210来认证访问其的用户。另外,用户的阅读终端104可在用户认证之后从元数据服务器230或主设备获取用户被设定为分发目的地的eDoc的列表,将该列表呈现给用户,并接收获取目标的选择。
然后,客设备从元数据服务器230获取与S10中输入的DID对应的最新元数据(S12),并检查用户是否包括在元数据的分发目的地信息(参照图3)中(S14、S16)。当检查出用户未包括在分发目的地信息中时,客设备向阅读终端104发送指示不允许分发的错误信息(S17)。阅读终端104根据错误信息在画面上显示指示不可分发的信息。
当在S16中检查出用户是eDoc的分发目的地时,客设备检查eDoc的文件是否存在于客设备的高速缓存中(S18)。当eDoc仍留在从主设备获取的高速缓存中时, S18中的确定结果为是。在这种情况下,客设备向阅读终端104回复高速缓存中的 eDoc(S20)。当S18中的确定结果为否时,客设备从元数据指定具有eDoc的主设备 (S22)。与包括在元数据(参照图3)中的处理设备ID对应的处理设备是主设备。客设备从管理系统200获取主设备的地址信息,使用访问信息来访问主设备,并发送对eDoc的传输请求(S24)。传输请求包括eDoc的DID和客设备的从属组信息。
然后,客设备响应于传输请求确定是否从主设备提供eDoc(S26)。如稍后所述,当客设备不属于与主设备共同的组时,由于主设备不向客设备发送eDoc,所以S26 中的确定结果为否。在这种情况下,客设备向阅读终端104发送指示不允许分发的错误信息(S17)。阅读终端104根据错误信息在画面上显示指示不可分发的信息。
当S26中的确定结果为是时,客设备向请求源用户的阅读终端104回复从主设备发送的eDoc(S28)。另外,客设备将eDoc高速缓存在其存储部中(S29)。这里,在从主设备发送的eDoc中指定高速缓存的时间段的情况下,当在获取eDoc之后高速缓存时间段逝去时,客设备从高速缓存删除eDoc。独立于阅读终端104上的eDoc 的有效期限,确定高速缓存时间段。另一方面,在未指定高速缓存的时间段的情况下,客设备根据诸如最近最少使用的常用高速缓存算法丢弃旧eDoc。
参照图23描述当从客设备接收到对eDoc的传输请求时由主设备执行的处理序列的示例。当主设备从客设备接收到传输请求时(S30),主设备将传输请求中的从属组信息(客设备的信息)与主设备的从属组信息进行比较,并确定是否存在两个信息之间一致(共同)的组ID(S32)。当不存在共同的组ID时,主设备对客设备作出指示不可发送请求的eDoc的响应(S38)。在这种情况下,由于客设备不属于与主设备相同的组时,客设备是主设备无法信任或不清楚的设备。因此,不允许传输。
当S32中的确定结果为是时,主设备指定两个信息之间一致的组ID的级别中的最高级别(S34),并使用与指定的级别对应的传输方法将eDoc发送到客设备(S36)。当为指定的级别设定高速缓存时间段时,主设备与eDoc关联向客设备发送指示高速缓存时间段的信息。同时,当S34中指定的最高级别是级别“△”时,主设备确定传输请求源的用户ID是否对应于对eDoc具有特定高权限的人(例如,所有者)。当确定结果为是时,主设备进行到S36以发送eDoc,否则进行到S38以作出指示不允许传输的响应。
此外,在需要通过防火墙以传输eDoc的处理设备110的情况下,并入隧穿协议。要并入的隧穿协议可以是L2F、PPTP、L2TP、GRE、Ipsec等中的任一个。另外,多个隧穿协议可被并入处理设备110中,并且可选择并使用传输伙伴共同的协议。
另外,为了改进传输稳定性,可与用于eDoc传输的传输协议的类型、是否使用隧穿协议和/或隧穿协议的类型对应来设定通过上述处理自动发送的eDoc的数据量的上限。当eDoc的数据量超过上限时,eDoc可被分成等于或小于上限的部分,然后发送。
在以上示例中,各个处理设备110的从属组信息112b不仅包括处理设备110直接所属的组的ID,而且包括处理设备110分层次所属的所有组的ID(例如,组所属的更大组的ID)。然而,从属组信息112b的形式仅是示例性的。代替处理设备110 具有从属组信息112b的配置,从属组信息112b可保持在可从处理设备110访问的网络上设置的服务器上并且处理设备110可参考它。另外,处理设备110可仅具有处理设备110所属的组的ID,并且可针对组之间的层次关系的信息参考网络上的服务器。
如上面举例说明的,处理设备110根据订约人的意图来分组,并且在同一组中的处理设备110之间允许eDoc传输。因此,即使当用户处于配备有用户已注册的处理设备110的地点(例如,用户的办公室)以外的地点时,用户将获取eDoc的主体的机会增加。
已描述了本发明的例示性实施方式。上面举例说明的各个设备(例如,准备终端102、阅读终端104、处理设备110、本地用户ID服务器152、本地DID服务器154、本地元数据服务器156、用户ID服务器210、DID服务器220、元数据服务器230、处理设备管理服务器240等)通过使得计算机能够执行指示各个设备的功能的程序来实现。这里,例如,计算机具有诸如CPU的微处理器、诸如随机存取存储器(RAM) 和只读存储器(ROM)的存储器(主存储部)、被配置为控制诸如闪存、SSD(固态驱动器)和HDD(硬盘驱动器)的固定存储部的控制器、各种I/O(输入/输出)接口、被配置为执行控制以用于与诸如局域网的网络连接的网络接口等经由总线等连接的电路配置作为硬件。描述各个功能的处理内容的程序经由网络等保存在诸如闪存的固定存储部中,并安装在计算机中。存储在固定存储部中的程序被读取到RAM并由诸如CPU的微处理器执行,从而实现上面举例说明的功能模块组。
本申请基于2017年9月20日提交的日本专利申请No.2017-180213,其内容通过引用并入本文。
标号的描述
10:WAN,100:本地系统,102:准备终端,104:阅读终端,108:本地网络, 110:处理设备,112:管理信息存储部,112a:管理信息,114a:用户信息,130:认证装置,150:组织内管理系统,152:本地用户ID服务器,154:本地DID服务器,156:本地元数据服务器,200:管理系统,210:用户ID服务器,212:订约人数据,214:一般用户数据,220:DID服务器,230:元数据服务器,240:处理设备管理服务器,242:状况滞后,244:状况,246:软件信息,248:硬件信息,300:元数据,400:输入画面,402:分发目的地用户选择菜单,404:分发目的地用户列表栏,406:分发目的地终端选择菜单,408:分发目的地终端列表栏,410:访问权限设定栏,412:离线有效期限菜单,414:选项设定调用按钮,420:选项设定画面, 422:处理设备指定栏,424:原始数据设定栏,500:列表画面,502:通知标记,504:文档名,506:指示是否允许阅读的标记,602:发布权限密钥,604:处理设备特定信息,606:发布日期,608:发布证书密钥,610:发布编号。
Claims (18)
1.一种信息处理设备,该信息处理设备包括:
指定单元,该指定单元允许文档的传输源的用户指定传输目的地用户和传输目的地终端;以及
传输单元,该传输单元将所述文档以及指示利用所述指定单元指定的所述传输目的地用户和所述传输目的地终端的传输目的地信息发送到特定保护处理设备。
2.根据权利要求1所述的信息处理设备,该信息处理设备还包括:
候选获取单元,该候选获取单元从所述保护处理设备获取指示所述传输目的地终端的候选的候选信息,
其中,所述指定单元允许所述用户从所述候选信息所指示的候选中指定所述传输目的地终端。
3.根据权利要求1所述的信息处理设备,该信息处理设备还包括:
候选/条件获取单元,该候选/条件获取单元从所述保护处理设备获取指示所述传输目的地终端的候选的候选信息以及所述传输目的地终端的缩小条件信息,
其中,当新添加所述候选信息所指示的候选以外的候选时,所述指定单元仅选择并添加满足缩小条件的候选。
4.根据权利要求1至3中的一项所述的信息处理设备,该信息处理设备还包括:
检测单元,该检测单元检测存在于所述信息处理设备附近的终端,
其中,所述指定单元将所述检测单元所检测为候选的所述终端以与其它候选不同的方式显示,并允许所述用户从所显示的候选指定所述传输目的地终端。
5.根据权利要求1至4中的一项所述的信息处理设备,该信息处理设备还包括:
邻近终端信息获取单元,该邻近终端信息获取单元从所述保护处理设备获取存在于所述保护处理设备附近的终端的信息,
其中,所述指定单元将由所述邻近终端信息获取单元获取的信息所指示为候选的所述终端以与其它候选不同的方式显示,并允许所述用户从所显示的候选指定所述传输目的地终端。
6.一种保护处理设备,该保护处理设备包括:
获取单元,该获取单元从信息处理设备获取文档以及指示传输目的地用户和传输目的地终端的传输目的地信息;
生成单元,该生成单元通过对所获取的文档执行保护处理来生成受保护文档;以及
传输单元,该传输单元将所述受保护文档和元数据发送到所述传输目的地终端,所述元数据用于进行控制以使得在使用所述受保护文档的用户和要使用的终端装置分别对应于所述传输目的地信息所指示的所述传输目的地用户和所述传输目的地终端的情况下,允许利用所述终端装置来使用所述受保护文档。
7.根据权利要求6所述的保护处理设备,该保护处理设备还包括:
第二传输单元,在从终端请求所述受保护文档的情况下,当所述终端对应于由与所述受保护文档对应的所述元数据所指示的所述传输目的地终端时,该第二传输单元将所述受保护文档发送到所述终端,否则,该第二传输单元不将所述受保护文档发送到所述终端。
8.根据权利要求6或7所述的保护处理设备,
其中,所述生成单元向所述受保护文档或所述元数据指派指示不允许所述受保护文档保存在所述传输目的地信息所指示的所述传输目的地终端以外的终端处的标志。
9.根据权利要求6至8中的一项所述的保护处理设备,该保护处理设备还包括:
删除指令传输单元,在从终端接收到对所述文档的使用请求的情况下,当所述终端不对应于与所述文档对应的所述传输目的地信息的所述传输目的地终端时,该删除指令传输单元向所述终端发送所述文档的删除指令。
10.根据权利要求6至9中的一项所述的保护处理设备,该保护处理设备还包括:
保存单元,该保存单元保存与所述文档对应的所述元数据;以及
第二删除指令传输单元,当存在作为保存在所述保存单元中的所述元数据的变更的结果而不再是所述传输目的地终端的终端时,该第二删除指令传输单元向所述终端发送删除所述文档的指令。
11.根据权利要求6至10中的一项所述的保护处理设备,该保护处理设备还包括:
组存储部,该组存储部存储指示所述保护处理设备所属的组的所属组信息;
保持单元,该保持单元保持所述生成单元所生成的所述受保护文档;以及
传送请求传输单元,当从所述终端请求的受保护文档未保持在所述保持单元中时,该传送请求传输单元将所述所属组信息以及对所述受保护文档的传送请求发送到生成所述受保护文档的其它保护处理设备,
其中,当响应于所述传送请求传送所述受保护文档时,第二传输单元将所述受保护文档发送到所述终端。
12.根据权利要求11所述的保护处理设备,该保护处理设备还包括:
删除单元,该删除单元在与所述受保护文档关联地通知的高速缓存时间段期间将响应于所述传送请求而传送的所述受保护文档保持在高速缓存中,并在所述高速缓存时间段逝去之后从所述高速缓存删除所述受保护文档,
其中,当在从所述终端请求的所述受保护文档未保持在所述保持单元中的同时所述受保护文档被保持在所述高速缓存中时,所述传送请求传输单元允许所述第二传输单元将保持在所述高速缓存中的所述受保护文档发送到所述终端。
13.根据权利要求6至10中的一项所述的保护处理设备,该保护处理设备还包括:
组存储部,该组存储部存储指示所述保护处理设备所属的组的所属组信息;
保持单元,该保持单元保持所述生成单元所生成的所述受保护文档;以及
传送单元,在从其它保护处理设备接收到所述其它保护处理设备的所属组信息以及对保持在所述保持单元中的所述受保护文档的传送请求的情况下,当与存储在所述组存储部中的所述保护处理设备的所述所属组信息所指示的组共同的组被包括在所接收的所属组信息中时,该传送单元将与所述传送请求有关的所述受保护文档传送到所述其它保护处理设备。
14.根据权利要求13所述的保护处理设备,
其中,所述传送单元按照与共同组对应的传送方式将与所述传送请求有关的所述受保护文档传送到所述其它保护处理设备。
15.根据权利要求13或14所述的保护处理设备,
其中,所述传送单元与所述传送请求相关的所述受保护文档关联地将与共同组对应的高速缓存时间段的信息发送到所述其它保护处理设备。
16.根据权利要求13至15中的一项所述的保护处理设备,
其中,当为共同组设定指示只有当请求经由所述其它保护处理设备传送所述受保护文档的用户对所述受保护文档具有特定权限时才允许传送的条件时,只有所述传送请求的传输源的用户满足所述条件,所述传送单元才将所述受保护文档发送到所述其它保护处理设备。
17.一种使用终端,该使用终端包括:
接收单元,该接收单元接收受保护文档以及指示所述受保护文档的传输目的地用户和传输目的地终端的传输目的地信息;
认证单元,该认证单元对使用所述使用终端的用户进行认证;
使用控制单元,在由所述认证单元认证的所述用户和终端装置的集合对应于由所接收的传输目的地信息所指示的所述传输目的地用户和所述传输目的地终端的集合的情况下,该使用控制单元执行控制以打开所述受保护文档并允许所述用户使用所述受保护文档;以及
保存控制单元,当由所述认证单元认证的所述用户和所述使用终端的集合不对应于由所接收的传输目的地信息所指示的所述传输目的地用户和所述传输目的地终端的集合时,该保存控制单元执行控制以不保存所述受保护文档。
18.一种使用终端,该使用终端包括:
接收单元,该接收单元接收受保护文档以及指示所述受保护文档的传输目的地用户和传输目的地终端的传输目的地信息;
保存单元,该保存单元保存所接收的受保护文档;
认证单元,该认证单元对使用所述使用终端的用户进行认证;
使用控制单元,在由所述认证单元认证的所述用户和终端装置的集合对应于由所接收的传输目的地信息所指示的所述传输目的地用户和所述传输目的地终端的集合的情况下,该使用控制单元执行控制以打开所述受保护文档并允许所述用户使用所述受保护文档;
传输单元,该传输单元向保护处理设备发送对保存在所述保存单元中的所述受保护文档的使用请求;以及
删除单元,当响应于所述使用请求从所述保护处理设备发出不可用响应时,该删除单元从所述保存单元删除所述受保护文档。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017-180213 | 2017-09-20 | ||
| JP2017180213A JP6604367B2 (ja) | 2017-09-20 | 2017-09-20 | 処理装置及び情報処理装置 |
| PCT/JP2018/024704 WO2019058696A1 (ja) | 2017-09-20 | 2018-06-28 | 情報処理装置、保護処理装置及び利用端末 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110741371A true CN110741371A (zh) | 2020-01-31 |
| CN110741371B CN110741371B (zh) | 2023-09-19 |
Family
ID=65811171
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880039082.7A Active CN110741371B (zh) | 2017-09-20 | 2018-06-28 | 信息处理设备、保护处理设备和使用终端 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US11178292B2 (zh) |
| JP (1) | JP6604367B2 (zh) |
| CN (1) | CN110741371B (zh) |
| AU (1) | AU2018336213B2 (zh) |
| SG (1) | SG11201912244YA (zh) |
| WO (1) | WO2019058696A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7484294B2 (ja) | 2020-03-25 | 2024-05-16 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理システム |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09167067A (ja) * | 1995-12-18 | 1997-06-24 | Nec Corp | 帳票出力宛先プリンタ選択運用システムおよび帳票出力宛先プリンタ選択方法 |
| US20050198330A1 (en) * | 2003-08-06 | 2005-09-08 | Konica Minolta Business Technologies, Inc. | Data management server, data management method and computer program |
| US20050243364A1 (en) * | 2004-04-28 | 2005-11-03 | Canon Kabushiki Kaisha | Image processing system |
| US20050273600A1 (en) * | 2003-02-03 | 2005-12-08 | Seeman El-Azar | Method and system for file data access within a secure environment |
| JP2009070241A (ja) * | 2007-09-14 | 2009-04-02 | Fuji Xerox Co Ltd | 携帯端末装置による印刷者指定印刷方式 |
| CN101409592A (zh) * | 2008-11-17 | 2009-04-15 | 普天信息技术研究院有限公司 | 一种基于条件接收卡实现多应用业务的方法、系统及装置 |
| CN101420500A (zh) * | 2007-10-10 | 2009-04-29 | 柯尼卡美能达商用科技株式会社 | 图像发送设备、登记方法和登记程序 |
| JP2010237728A (ja) * | 2009-03-30 | 2010-10-21 | Nippon Telegraph & Telephone West Corp | コンテンツ送受信システム |
| CN102200894A (zh) * | 2010-03-25 | 2011-09-28 | 富士施乐株式会社 | 信息处理装置、打印装置和信息处理方法 |
| KR20110113445A (ko) * | 2010-04-09 | 2011-10-17 | 임원기 | 디지털 문서 배포 및 사용 인증 시스템과, 디지털 문서 배포 및 사용자 인증 방법 |
| CN102821093A (zh) * | 2012-06-29 | 2012-12-12 | 北京牡丹电子集团有限责任公司 | 一种支持跨终端应用的内容保护授权系统和方法 |
| CN104904185A (zh) * | 2013-01-11 | 2015-09-09 | 富士通株式会社 | 内容传送系统、内容传送装置以及终端及内容传送方法 |
| CN105915739A (zh) * | 2015-02-24 | 2016-08-31 | 富士施乐株式会社 | 图像形成设备、图像形成系统和图像形成方法 |
| CN107066216A (zh) * | 2016-01-08 | 2017-08-18 | 兄弟工业株式会社 | 打印系统、打印装置及数据处理方法 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5509074A (en) | 1994-01-27 | 1996-04-16 | At&T Corp. | Method of protecting electronically published materials using cryptographic protocols |
| JP2002176419A (ja) * | 2000-12-06 | 2002-06-21 | Hitachi Ltd | 権利保護方法 |
| JP4767453B2 (ja) * | 2001-08-30 | 2011-09-07 | 富士通株式会社 | データ送信方法、送信先決定装置及び撮影端末 |
| JP2003085084A (ja) | 2001-09-12 | 2003-03-20 | Sony Corp | コンテンツ配信システム及びコンテンツ配信方法、携帯端末、配信サーバ、並びに記憶媒体 |
| JP2003122660A (ja) * | 2001-10-18 | 2003-04-25 | Nippon Telegr & Teleph Corp <Ntt> | コンテンツ転送方法、ゲートウェイサーバ、コンテンツ転送プログラム、同プログラムを記録した記録媒体 |
| JP2003256597A (ja) * | 2002-03-01 | 2003-09-12 | Nippon Telegr & Teleph Corp <Ntt> | 再販可能な著作権保護コンテンツ配信方法及びシステム、著作権保護管理方法、著作権保護管理端末、プログラム並びに記録媒体 |
| JP2004303108A (ja) * | 2003-04-01 | 2004-10-28 | Hitachi Ltd | ライセンス移動機能付き端末装置 |
| JP4518056B2 (ja) | 2006-09-25 | 2010-08-04 | 富士ゼロックス株式会社 | 文書操作認証装置、及びプログラム |
| JP2008123070A (ja) * | 2006-11-09 | 2008-05-29 | Hitachi Information & Control Solutions Ltd | シンクライアントシステム及びシンクライアントシステムにおけるクライアント端末の表示プログラム |
| JP4930121B2 (ja) | 2007-03-15 | 2012-05-16 | セイコーエプソン株式会社 | 情報処理装置、文書表示システムおよびプログラム |
| JP2008299395A (ja) | 2007-05-29 | 2008-12-11 | Fuji Xerox Co Ltd | 文書操作権限情報管理システム、文書操作権限情報管理装置、及び文書操作権限情報管理プログラム |
| JP2010237726A (ja) * | 2009-03-30 | 2010-10-21 | Nec Personal Products Co Ltd | 情報処理装置、そのパラメータ設定方法、プログラム及び記録媒体 |
| JP5185176B2 (ja) * | 2009-03-30 | 2013-04-17 | 株式会社富士通エフサス | ドキュメント提供装置,方法,およびプログラム |
| JP2011257983A (ja) | 2010-06-09 | 2011-12-22 | Nec Access Technica Ltd | セキュリティ管理システム、セキュリティ管理方法およびセキュリティ管理プログラム |
| US8504480B2 (en) * | 2011-02-03 | 2013-08-06 | Ricoh Co., Ltd | Creation of signatures for authenticating applications |
| JP2013242705A (ja) * | 2012-05-21 | 2013-12-05 | Konica Minolta Inc | 表示システム、表示装置、情報機器およびコンピュータープログラム |
| JP5885715B2 (ja) | 2013-08-30 | 2016-03-15 | 京セラドキュメントソリューションズ株式会社 | 印刷システム、情報処理装置 |
| JP2016143214A (ja) | 2015-02-02 | 2016-08-08 | セイコーエプソン株式会社 | 通信装置、通信プログラム |
| JP6195865B2 (ja) | 2015-05-12 | 2017-09-13 | 株式会社オプティム | データ送信装置、データ送信方法及び、データ送信装置用プログラム |
-
2017
- 2017-09-20 JP JP2017180213A patent/JP6604367B2/ja active Active
-
2018
- 2018-06-28 SG SG11201912244YA patent/SG11201912244YA/en unknown
- 2018-06-28 CN CN201880039082.7A patent/CN110741371B/zh active Active
- 2018-06-28 AU AU2018336213A patent/AU2018336213B2/en active Active
- 2018-06-28 WO PCT/JP2018/024704 patent/WO2019058696A1/ja active Application Filing
-
2019
- 2019-11-14 US US16/683,739 patent/US11178292B2/en active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09167067A (ja) * | 1995-12-18 | 1997-06-24 | Nec Corp | 帳票出力宛先プリンタ選択運用システムおよび帳票出力宛先プリンタ選択方法 |
| US20050273600A1 (en) * | 2003-02-03 | 2005-12-08 | Seeman El-Azar | Method and system for file data access within a secure environment |
| US20050198330A1 (en) * | 2003-08-06 | 2005-09-08 | Konica Minolta Business Technologies, Inc. | Data management server, data management method and computer program |
| US20050243364A1 (en) * | 2004-04-28 | 2005-11-03 | Canon Kabushiki Kaisha | Image processing system |
| JP2009070241A (ja) * | 2007-09-14 | 2009-04-02 | Fuji Xerox Co Ltd | 携帯端末装置による印刷者指定印刷方式 |
| CN101420500A (zh) * | 2007-10-10 | 2009-04-29 | 柯尼卡美能达商用科技株式会社 | 图像发送设备、登记方法和登记程序 |
| CN101409592A (zh) * | 2008-11-17 | 2009-04-15 | 普天信息技术研究院有限公司 | 一种基于条件接收卡实现多应用业务的方法、系统及装置 |
| JP2010237728A (ja) * | 2009-03-30 | 2010-10-21 | Nippon Telegraph & Telephone West Corp | コンテンツ送受信システム |
| CN102200894A (zh) * | 2010-03-25 | 2011-09-28 | 富士施乐株式会社 | 信息处理装置、打印装置和信息处理方法 |
| KR20110113445A (ko) * | 2010-04-09 | 2011-10-17 | 임원기 | 디지털 문서 배포 및 사용 인증 시스템과, 디지털 문서 배포 및 사용자 인증 방법 |
| CN102821093A (zh) * | 2012-06-29 | 2012-12-12 | 北京牡丹电子集团有限责任公司 | 一种支持跨终端应用的内容保护授权系统和方法 |
| CN104904185A (zh) * | 2013-01-11 | 2015-09-09 | 富士通株式会社 | 内容传送系统、内容传送装置以及终端及内容传送方法 |
| CN105915739A (zh) * | 2015-02-24 | 2016-08-31 | 富士施乐株式会社 | 图像形成设备、图像形成系统和图像形成方法 |
| CN107066216A (zh) * | 2016-01-08 | 2017-08-18 | 兄弟工业株式会社 | 打印系统、打印装置及数据处理方法 |
Non-Patent Citations (2)
| Title |
|---|
| I.SATOH 等: ""A compound document framework for multimedia networking"", pages 1 - 8 * |
| 景瑞霞 等: ""基于DRM的安全文档访问控制研究"", vol. 29, no. 1, pages 37 - 40 * |
Also Published As
| Publication number | Publication date |
|---|---|
| SG11201912244YA (en) | 2020-04-29 |
| AU2018336213A1 (en) | 2020-01-16 |
| CN110741371B (zh) | 2023-09-19 |
| AU2018336213B2 (en) | 2021-04-29 |
| WO2019058696A1 (ja) | 2019-03-28 |
| JP2019057040A (ja) | 2019-04-11 |
| JP6604367B2 (ja) | 2019-11-13 |
| US20200084322A1 (en) | 2020-03-12 |
| US11178292B2 (en) | 2021-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10917408B2 (en) | Secure document management through verification of security states of information processing apparatuses in peer-to-peer transmission of encrypted documents | |
| AU2019222900B2 (en) | Document management system and management apparatus | |
| AU2019222893B2 (en) | Document management system and processing apparatus | |
| US10938863B2 (en) | Secure document management through verification of security states of information processing apparatuses in the peer-to-peer transmission of encrypted documents | |
| AU2019261686B2 (en) | Management apparatus and document management system | |
| JP2018156410A (ja) | 情報処理装置及びプログラム | |
| US11010331B2 (en) | Document management system | |
| CN110741371B (zh) | 信息处理设备、保护处理设备和使用终端 | |
| JP2020017308A (ja) | 情報処理装置及びプログラム | |
| JP2019179579A (ja) | ドキュメント管理システム、処理装置及び管理装置 | |
| JP6819734B2 (ja) | 情報処理装置及び利用端末 | |
| JP2019215903A (ja) | 管理装置及び処理装置 | |
| JP2019207732A (ja) | ドキュメント管理システム、管理装置及び処理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Tokyo, Japan Applicant after: Fuji film business innovation Co.,Ltd. Address before: Tokyo, Japan Applicant before: Fuji Xerox Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |