CN110941848A - 文档管理系统 - Google Patents
文档管理系统 Download PDFInfo
- Publication number
- CN110941848A CN110941848A CN201910176254.1A CN201910176254A CN110941848A CN 110941848 A CN110941848 A CN 110941848A CN 201910176254 A CN201910176254 A CN 201910176254A CN 110941848 A CN110941848 A CN 110941848A
- Authority
- CN
- China
- Prior art keywords
- processing device
- document
- processing
- user
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012545 processing Methods 0.000 claims abstract description 798
- 238000003860 storage Methods 0.000 claims abstract description 25
- 230000005540 biological transmission Effects 0.000 claims description 7
- 238000009825 accumulation Methods 0.000 claims description 2
- 238000002360 preparation method Methods 0.000 abstract description 14
- 238000007726 management method Methods 0.000 description 202
- 238000009826 distribution Methods 0.000 description 59
- 238000000034 method Methods 0.000 description 53
- 230000008569 process Effects 0.000 description 48
- 230000008520 organization Effects 0.000 description 43
- 238000004519 manufacturing process Methods 0.000 description 39
- 230000008859 change Effects 0.000 description 20
- 238000010586 diagram Methods 0.000 description 20
- 230000004044 response Effects 0.000 description 16
- 238000004891 communication Methods 0.000 description 15
- 230000006870 function Effects 0.000 description 14
- 238000012423 maintenance Methods 0.000 description 12
- 238000012546 transfer Methods 0.000 description 12
- 238000009434 installation Methods 0.000 description 10
- 238000012217 deletion Methods 0.000 description 7
- 230000037430 deletion Effects 0.000 description 7
- 238000006243 chemical reaction Methods 0.000 description 6
- 239000003795 chemical substances by application Substances 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 238000011960 computer-aided design Methods 0.000 description 3
- YSCNMFDFYJUPEF-OWOJBTEDSA-N 4,4'-diisothiocyano-trans-stilbene-2,2'-disulfonic acid Chemical compound OS(=O)(=O)C1=CC(N=C=S)=CC=C1\C=C\C1=CC=C(N=C=S)C=C1S(O)(=O)=O YSCNMFDFYJUPEF-OWOJBTEDSA-N 0.000 description 2
- 238000010130 dispersion processing Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 239000000872 buffer Substances 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000006837 decompression Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/11—File system administration, e.g. details of archiving or snapshots
- G06F16/122—File system administration, e.g. details of archiving or snapshots using management policies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/93—Document management systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/178—Techniques for file synchronisation in file systems
- G06F16/1794—Details of file format conversion
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/101—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities
- G06F21/1015—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities to users
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5027—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
- G06F9/505—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering the load
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供一种文档管理系统,即便注册了用户信息的处理装置因过负荷而无法进行加密处理时,也将经保护文档保存在注册了所述用户的信息的处理装置中,且管理装置获取所保存的经保护文档的元数据。第一处理装置在从制作终端(102)接到文档的注册要求时,若自身的负荷状况为过负荷,则向负荷更轻的第二处理装置发送包含所述文档的信息。第二处理装置使用所收到的信息将所述文档转换成经保护文档(eDoc)(eDoc化处理),并将经保护文档的派送准备完成通知送至派送目标。若第一处理装置的过负荷解除,则第二处理装置将经保护文档送交至第一处理装置,并从自身的存储装置中删除经保护文档。
Description
技术领域
本发明涉及一种文档管理系统。
背景技术
专利文献1所公开的系统中,从持有具有显示装置或打印机的计算机的多个用户在接收固有的用户识别信息的同时,接收对文书的要求。接着,由著作权服务器对来自多个用户的要求进行认证。然后,著作权服务器指示文书服务器根据各要求的正确认证进行操作。文书服务器响应所述指示,针对经认证的各要求,制作独立编码、压缩并加密的文书,并将发往经认证的各要求用户的文书,通过网络而向经认证的各要求用户对应的显示或印刷的代理(agent)转送。文书与多个用户各自对应地独立编码。最后,由各代理进行文书的解密及解压缩,使文书在仅响应由经认证的要求用户提供给代理的正确私钥时可用。
专利文献2中记载了一种用于对文书赋予唯一的文书识别码,并维持此文书识别码的唯一性的结构。
[现有技术文献]
[专利文献]
[专利文献1]日本专利特开平7-239828号公报
[专利文献2]日本专利特开平9-223130号公报
发明内容
[发明所要解决的问题]
本发明提供下述结构,即:多个处理装置,保存对经用户注册的用户所要求注册的文档进行了加密处理的经保护文档;及管理装置,对所保存的经保护文档的元数据(metadata)进行管理,在包含所述多个处理装置及所述管理装置的系统中,当有来自经用户注册的用户的注册要求时,即便注册了所述用户的信息的处理装置因过负荷而无法进行加密处理时,也将经保护文档保存在注册了所述用户的信息的处理装置中,且管理装置获取所保存的经保护文档的元数据。
[解决问题的技术手段]
技术方案1的发明是一种文档管理系统,其包含管理装置、及针对每个处理装置确定能用对应处理装置进行文档注册的用户的至少两个处理装置,所述管理装置包含:存储部件,存储从所述至少两个处理装置中的任一处理装置接收的经保护文档的元数据;及获取部件,获取所述至少两个处理装置的处理负荷的信息。所述至少两个处理装置包括第一处理装置及第二处理装置。第一处理装置包含:积蓄部件,积蓄能用所述第一处理装置进行文档注册的用户的信息;及发送部件,当从所述用户接收到文档的注册要求时,若所述第一处理装置的处理负荷大于阈值,则针对基于所述管理装置获取的至少一个所述处理装置的处理负荷的信息而决定的第二处理装置,发送所述文档和所述第一处理装置的识别信息,且第一处理装置包含:接收部件,从所述第二处理装置接收由所述第二处理装置根据所述识别信息所发送的对所述文档进行处理所生成的经保护文档。
技术方案2的发明是技术方案1所记载的文档管理系统,其中所述第二处理装置等待所述第一处理装置的处理负荷成为第二阈值以下,将所述经保护文档送交至所述第一处理装置。
技术方案3的发明是技术方案2所记载的文档管理系统,其中所述第二处理装置将所述经保护文档送交至所述第一处理装置后,将所述经保护文档从所述第二处理装置内的存储装置中删除。
技术方案4的发明是技术方案1至3中任一项所记载的文档管理系统,其中所述第二处理装置为与所述第一处理装置不同的处理装置,且包含:发送部件,当所述用户使用允许所述用户临时进行操作的第三处理装置进行了进行文档注册的操作时,将所述经保护文档发送至所述第三处理装置,并且对所述第一处理装置也发送所述经保护文档。
技术方案5的发明是技术方案4所记载的文档管理系统,其中所述第二处理装置与所述第三处理装置在已将所述经保护文档发送至所述第一处理装置时,将所述经保护文档从各处理装置内的存储装置中删除。
技术方案6的发明是技术方案1至5中任一项所记载的文档管理系统,其中所述第二处理装置是从将所述文档转换成所述经保护文档的转换软件的版本与所述第一处理装置持有的所述转换软件的版本相同的所述处理装置中,基于所述处理负荷的信息而决定。
技术方案7的发明是技术方案1至6中任一项所记载的文档管理系统,其中所述注册要求中包含表示与所述文档对应的所述经保护文档的派送目标的派送目标信息,所述第一处理装置的所述发送部件针对所述第二处理装置,除了发送所述文档和所述第一处理装置的识别信息以外,还发送所述派送目标信息,所述第二处理装置在生成了所述经保护文档时,将包含确定所述经保护文档的文档识别信息的通知发送至所述派送目标信息所示的所述派送目标。
[发明的效果]
根据技术方案1或4的发明,能提供下述结构,即:即便注册了用户信息的处理装置因过负荷而无法进行加密处理时,也将经保护文档保存在注册了所述用户的信息的处理装置中,且管理装置获取所保存的经保护文档的元数据。
根据技术方案2的发明,与第二处理装置生成经保护文档后立即送交至第一处理装置的方式相比,能减少对第一处理装置的过负荷的影响。
根据技术方案3或5的发明,能将持有经保护文档的处理装置,限定于注册了发出与此经保护文档有关的注册要求的用户的处理装置。
根据技术方案6的发明,能选择可生成等同于由用户发送了注册要求的第一处理装置所生成的经保护文档的处理装置作为第二处理装置。
根据技术方案7的发明,与由第一处理装置进行向派送目标的通知相比,能由第二处理装置更早地进行所述通知。
附图说明
图1是表示文档管理系统的结构的示例的图。
图2是用于说明利用文档管理系统的文档的派送及阅览的概要的图。
图3是例示元数据的数据内容的图。
图4是例示用户ID服务器管理的数据内容的图。
图5是例示DID服务器管理的数据内容的图。
图6是例示处理装置管理服务器管理的数据内容的图。
图7是例示处理装置的结构及处理装置持有的数据内容的图。
图8是说明文档管理系统中的文档派送及阅览的流程的图。
图9是表示属性数据的输入画面的示例的图。
图10是表示可选项设定画面的示例的图。
图11是表示列表画面的示例的图。
图12是表示设有组织内管理系统的系统结构的示例的图。
图13是表示用户使用未注册自身的处理装置来进行文档的元数据获取及阅览时的处理流程的示例的图。
图14是表示用户使用未注册自身的处理装置在文档管理系统中注册文档时的处理流程的示例的图。
图15是表示DID的数据内容的示例的图。
图16是例示处理装置管理服务器执行的处理装置的状态检查处理的流程的图。
图17是表示处理装置管理服务器执行的处理装置的状态检查处理的流程的另一示例的图。
图18是例示加密软件中可见漏洞时的处理装置的处理流程的图。
图19是例示文档管理系统中的负荷分散处理的流程的图。
图20是表示文档管理系统中的负荷分散处理的流程的另一示例的图。
符号的说明
10:广域网
100:本地系统
102:制作终端
104:阅览终端
108:本地网络
110:处理装置
112:管理信息存储部
112a:管理信息
114a:用户信息
130:认证设备
150:组织内管理系统
152:本地用户ID服务器
154:本地DID服务器
156:本地元数据服务器
200:管理系统
210:用户ID服务器
212:签约方数据
214:普通用户数据
220:DID服务器
230:元数据服务器
240:处理装置管理服务器
242:状态历程
244:状态
246:软件信息
248:硬件信息
300:元数据
400:输入画面
402:派送目标用户选择菜单
404:派送目标用户列表栏
406:派送目标终端选择菜单
408:派送目标终端列表栏
410:访问权限设定栏
412:离线有效期间菜单
414:可选项设定调出按钮
420:可选项设定画面
422:处理装置指定栏
424:原始数据设定栏
500:列表画面
502:通知标记
504:文档名
506:可否阅览标记
602:发行权限密钥
604:处理装置固有信息
606:发行年月日
608:发行证明密钥
610:发行编号
具体实施方式
以下,首先对适用本发明实施的方式(实施方式)的负荷分散处理的结构的文档管理系统进行说明,然后对本实施方式的负荷分散处理进行说明。
图1中表示文档管理系统的一例的概略结构。
纸质文书的情况下,文书持有人能自由复印或交给他人。而且,拿到文书的人能读取此文书。这样,纸质文书导致信息泄漏的风险极高。
相对于此,本文档管理系统提供能保密地使用电子文档的环境,目的在于降低文档信息泄漏的风险。此处,文档是能作为一个单位(例如一个文件)流通的内容数据(content data),数据的种类并无特别限定。例如,文档的概念中,包含文本数据、由文字处理软件制作的文书数据、由制表软件制作的电子表格数据、计算机辅助设计(ComputerAided Design,CAD)数据、图像数据、动画数据、声音数据、多媒体数据、由网页浏览器(webbrowser)显示的页面数据、在其他个人计算机上(Personal Computer,PC)制作、编辑、阅览并成为打印输出对象那样的数据等。
本文档管理系统包含多个本地系统100、及进行与这些本地系统有关的管理(特别是后述的处理装置110的管理)的管理系统200。管理系统200经由互联网等广域网10而可与各本地系统100通信。
本地系统100包含连接于本地网络108的一个以上的制作终端102、一个以上的阅览终端104、及处理装置110。本地网络108是设于企业等组织内的专用网(例如以局域网(Local Area Network,LAN)的形式构成),由防火墙(firewall)等保护不受广域网10影响。处理装置110基本上在本地系统100内设置一个。当组织内的专用网为大规模,也可将构成专用网的各网段(network segment)分别设为本地系统100,并在这些各个本地系统100内各设置一个处理装置110。例如,某公司的每个部门的厅室内的网段分别成为此部门的本地系统100,在此段内设置一个处理装置110。本示例中,在每个公司或各公司的每个部门形成以处理装置110为核心的本地系统100,这些各处理装置110是由中央的管理系统200进行管理。
制作终端102是用于制作文档的终端,例如桌上型或笔记本型的个人计算机、工作站(work station)、平板终端、智能手机、多功能一体机、扫描仪、传真装置、数码相机等为其示例。制作终端102中安装有用于进行文档的制作、编辑等的应用。而且,制作终端102中安装有用于请求文档管理系统派送所制作的文档的软件。作为此软件的形态,可设想作为后述的和处理装置110互换信息的设备驱动程序(device driver)来实现、或以网页应用实现等。
处理装置110执行如下保护处理,即,将制作终端102所制作的文档,转换成在文档管理系统提供的保密环境下使用的形态的经保护文档(以下也称为“eDoc文件”)。保护处理也可谓将原本的文档编码成eDoc的处理,在此含意下,处理装置110是一种编码器。此保护处理中,将文档例如转换成为了系统而设计的专用格式的数据,并且以仅由被指定为此文档的派送目标的用户可解密的形式加密。格式转换与加密可先进行任一者。
而且,处理装置110制作经保护文档的元数据,并将所制作的元数据注册到作为上位系统的管理系统200中。元数据包含此经保护文档的目录事项、派送目标的信息、用于由各派送目标解除经保护文档的加密的密钥信息等。元数据包含多个项目,而由对应的设备或用户根据文档管理系统的服务所提供的功能执行数据赋予、编辑、更新。
作为示例,由进行了对文档管理系统的文档注册指示的用户来指定这些项目中的一部分,另一部分由处理装置110制作。而且,也可由管理系统200或阅览终端104来设定元数据中的一部分项目的值。而且,处理装置110将所生成的经保护文档(eDoc文件)发送给用户指定的派送目标的阅览终端104。
经保护文档即eDoc文件是将原本的文档转换为专用格式并加密而成,也称为eDoc的本体。为了可阅览eDoc文件,需要对应的元数据。eDoc文件与元数据一起构成可阅览的完整受保护文档。这样,以下将eDoc文件与和其对应的元数据的组称为“eDoc”。
处理装置110也可内置有无线LAN的接入点(access point)的功能。此时,阅览终端104利用无线LAN而可与处理装置110通信。
阅览终端104是用于阅览经保护文档(eDoc文件)的终端。此处所提及的“阅览”,是指将经保护文档以与此文档所表示的信息内容相应的形态使用。例如,当经保护文档具有文字处理数据或附图等文书作为信息内容时,阅览是指用户读取或观看阅览终端104所显示的所述文书。而且,当经保护文档所表示的信息内容为声音时,所谓阅览是指用户听取阅览终端104所播放的所述声音。阅览终端104例如是在桌上型或笔记本型个人计算机、工作站、平板终端、智能手机等通用的计算机中,安装用于阅览经保护文档的查看器应用而构成。而且,也可将使电子书籍终端那样的阅览专用终端具有与查看器应用同等的功能者用作阅览终端104。查看器应用具有使用元数据的信息将经加密保护文档解密的功能、或将经保护文档的专用格式所表示的数据解码成可读状态数据的功能。此外,不具有与文档管理系统对应的查看器应用的计算机无法将专用格式的数据解码成可读数据。
阅览终端104也可除了将经保护文档解密及解码并显示的功能以外,还具有受理用户对所显示的所述文档的加工(编辑)的功能。经加工的文档虽然成为与原本的经保护文档不同的内容,但也可设为能将此编辑后的文档从阅览终端104送至处理装置110并注册到文档管理系统中(即,编码成经保护文档)。这样,一个终端也可具有制作终端102与阅览终端104两者的功能。此外,eDoc中设定有对阅览者许可的权限(后述的元数据中的访问权限信息),此权限的内容中也可包含对此eDoc的写入限制、再分配目标的限制等。在访问权限信息中规定了这种限制的eDoc的情况下,阅览终端104仅在其写入限制的范围内受理来自阅览者的加工(编辑)操作,而且仅在其再分配目标的限制的范围内,受理加工后的新eDoc的再分配目标的指定。
而且,作为一例,将用户携带的认证设备130用作用于对利用文档管理系统的用户进行认证的工具。认证设备130是如集成电路(Integrated Circuit,IC)卡那样,内置有携带此设备的用户固有的识别信息,根据来自外部装置的要求而执行用于用户认证的数据处理的设备。认证设备130也可为内置有与这种个人认证用的IC卡同等的功能的智能手机那样的便携式终端。阅览终端104或制作终端102具备使用近场通信(Near FieldCommunication,NFC)等无线通信协议与认证设备130通信的功能。阅览终端104或制作终端102与认证设备130之间按照规定的协议互换用于用户认证的信息,对携带此认证设备130的用户进行认证。或者也可为下述方式,即:实际的用户认证是由处理装置110或管理系统200等文档管理系统的服务器侧执行,阅览终端104或制作终端102进行服务器侧与认证设备130之间的数据转送的中介。而且,阅览终端104或制作终端102也可内置有认证设备130的功能。
管理系统200管理各本地系统100内的处理装置110。而且,管理系统200管理这些各处理装置110所生成的经保护文档的元数据,并根据要求将元数据提供给阅览终端104。管理系统200是由一台计算机或相互可通信的多个计算机所构成,具有用户ID服务器210、DID服务器220、元数据服务器230、处理装置管理服务器240的功能。
用户ID服务器210是管理利用文档管理系统的各用户的信息的服务器。利用文档管理系统的用户中,有两个阶层。其中一个是与本系统的运营方签订用于利用文档管理系统的合约的签约方,另一个是在此合约下实际利用系统进行文档的注册或阅览的普通用户。例如,设想大多情况下公司为签约方,在此公司的本地网络108中设置处理装置110,此公司的职员作为普通用户经由所述处理装置110而利用文档管理系统。用户ID服务器210保持并管理与签约方和普通用户各自有关的信息。
DID服务器220管理作为经保护文档的识别信息(ID)的DID(文档ID)。实际对经保护文档赋予DID的是制作此经保护文档的处理装置110,但DID服务器220对处理装置110赋予DID的发行权限及发行框(发行数),接收处理装置110在此发行权限及发行框中实际发行的DID的报告并进行记录。由此,DID服务器220抑制不当DID的产生,可侦测具有不当DID的文档。
元数据服务器230保持并管理处理装置110所生成的经保护文档(eDoc文件)的元数据。在由用户经由阅览终端104要求经保护文档的元数据时,若此用户为正当者,则元数据服务器230将元数据提供给此阅览终端104。此外,所谓要求元数据的用户(阅览者)对于元数据服务器230来说为“正当者”,是指下述情况,即:此用户、与此用户发出所述要求时所用的阅览终端104的组合,相当于与所述eDoc文件的DID(其包含在所述要求中)对应地由元数据服务器230所保持的元数据中的派送目标信息(详细情况将于后述)所示的派送目标用户及派送目标的阅览终端104的组合。
处理装置管理服务器240是管理各处理装置110的状态(status)的服务器。
参照图2对文档管理系统的结构进行概略说明。
(0)管理系统200(DID服务器220)对本地系统100内的处理装置110事先赋予DID(文档ID)的发行权及随附于其的发行框(文档数)。DID的发行权并非无限制,而是受管理系统200发行框限制。即,只要是从管理系统200赋予的发行框所示的数量以内的文档,则处理装置110能赋予基于同时赋予的发行权的DID。若发行框用毕,则处理装置110从管理系统200接收新的发行权及发行框的赋予。
(1)用户在欲将文档注册到文档管理系统中(即,欲派送)时,向制作终端102指示文档注册(例如在应用的菜单上指示“注册”)。收到此指示的制作终端102请求用户认证。此认证可通过输入用户ID及密码而进行,也可通过用户将认证设备130靠近制作终端102的读卡器部的附近而进行。用户认证可由制作终端102进行,也可由作为文档的注册目标的处理装置110来进行。另外,用户从制作终端102所保持的文档中选择要注册到文档管理系统中者,并指示其注册。
制作终端102(更详细而言是安装在制作终端102中的注册处理用程序)在从用户收到文档的注册指示时,受理针对此文档的属性数据中应由所述用户指定的项目(例如文档的派送目标)的输入。此处,作为派送目标,也可受理用户与阅览终端104的组合的指定。此时,当用户和此用户用于阅览文档的阅览终端104的组合、与被指定为派送目标的组合一致时,用户可阅览此文档。
制作终端102将用户输入的派送目标等属性项目、与制作终端102自身生成的其他属性项目(例如注册者的信息、制作日期时间等)合并的属性数据,与所述文档的数据一起发送至处理装置110。此外,制作终端102也可具有将各种应用所制作的各种格式的文档转换成在阅览终端104侧可处理的统一格式的驱动器。例如,在显示文字处理数据、电子表格、CAD数据那样的静态文书图像的数据的情况下,所述驱动器与打印机驱动器同样地,将此数据转换成以页面描述语言表现的文档。而且,例如当原本的数据为声音数据时,驱动器将此声音数据转换成文档管理系统(特别是阅览终端104)对应的特定声音数据形式的数据(文档)。
(2)处理装置110通过对从制作终端102接收的注册对象的文档实施保护处理而生成经保护文档(eDoc文件)。此生成中,将接收的文档编码成文档管理系统的专用格式,并使用所生成的加密密钥将经编码的数据加密,由此生成eDoc文件。编码与加密的顺序也可相反。而且,处理装置110对此eDoc赋予唯一的DID。此DID中,包含证实是基于从管理系统200接受的发行权限的信息(后述的发行权限密钥)、及证实是由此处理装置110自身所赋予的信息(后述的发行证明密钥)。此外,关于DID的数据结构,将在下文中说明详细例。所生成的DID(例如作为此文件的属性(property)的一项目)嵌入eDoc文件内。
而且,处理装置110生成与所生成的eDoc文件对应的元数据。此元数据中,包含从制作终端102与所述文档一起接收的属性数据、及处理装置110自身生成的属性项目(例如DID、处理装置自身的ID、编码日期时间、加密密钥信息)的值。元数据所含的加密密钥信息是表示用于解除eDoc文件的加密的密钥的信息。当加密使用共享密钥方式时,加密密钥信息是表示此共享密钥的信息。然而,若将共享密钥本身以明文形式包含在元数据中,则可能因窃听或监听而被恶意使用,因而将利用派送目标用户的公钥将此共享密钥加密所得者作为加密密钥信息嵌入元数据中。
而且,处理装置110将所生成的eDoc文件和元数据保存在内置的数据库中。
(3)处理装置110将所生成的元数据发送到管理系统200并进行注册。管理系统200(元数据服务器230)保存所接收的元数据。
(4)处理装置110将所生成的eDoc文件派送给被指定为派送目标的阅览终端104。此派送可为推送(push)型也可为拉取(pull)型,也可为所述两者(例如在eDoc制作时进行推送派送,此时因未运行而并未接收的阅览终端104以拉取型接受派送)。此派送是经由本地系统100内的本地网络108而进行。
(5)阅览终端104所接收的eDoc文件因加密等而受保护,因而无法直接阅览。用户在欲利用阅览终端104阅览此eDoc文件时,将自身的认证设备130靠近此阅览终端104的读卡器部而接受用户认证后,在阅览终端104的画面上指示此eDoc的阅览。受到此指示的阅览终端104访问管理系统200并要求此eDoc的元数据。此要求中包含此eDoc的DID。
(6)管理系统200(元数据服务器230)将从阅览终端104要求的eDoc的最新的元数据发送到此阅览终端104。
(7)阅览终端104从管理系统200接收所要求的元数据时,判定此元数据所含的派送目标信息中,是否包含此阅览终端104与当前利用此阅览终端104的用户(经认证设备130认证)的组合。当不包含时,此用户并无在此阅览终端104阅览所述eDoc的权限,因而阅览终端104不打开eDoc文件,而显示表示内容为并无阅览权限的错误消息。当包含时,此用户持有在此阅览终端104阅览所述eDoc文件的权限。此时,阅览终端104使用所述元数据所含的加密密钥信息将所述eDoc文件解密,并显示在画面上(即,以与所述eDoc文件的信息内容相应的形态输出)。
元数据中能设定有效期限。有效期限例如是通过对发送元数据的日期时间加上规定的有效期间、或派送者等指定的有效期间而求出。在超过元数据的有效期限后,阅览终端104若不再次从管理系统200重新获取元数据,则无法打开(解密及显示)对应的eDoc文件。阅览终端104若可与处理装置110或管理系统200通信,则从处理装置110或管理系统200获取被指示为阅览对象的eDoc文件在此指示时刻的最新的元数据,并基于此最新的元数据来判定可否阅览。
有时在将元数据注册到最初的管理系统200中后,由派送者、或被赋予了派送目标的变更权限者(例如数据的编辑权限的保有者)对此元数据所含的派送目标信息或访问权限信息进行变更。即便是在制作、注册eDoc的时刻被指定为派送目标的用户,当因后续的变更而被排除在派送目标外时,阅览终端104也根据从管理系统200获取的最新的元数据所含的派送目标信息而侦测到这一情况,不进行eDoc文件的显示。
接下来,参照图3对eDoc的元数据300的数据内容的示例进行说明。
元数据300所含的项目中,首先“DID”为生成此eDoc的处理装置110所赋予的文档ID。“文档名”为此eDoc的名称或标题。
“派送者ID”是派送此eDoc者,即从制作终端102对处理装置110进行文档的注册操作并经由处理装置110进行派送者(以下称为派送者)的用户ID。
“编码日期时间”是将来自制作终端102的文档编码(保护处理)而制作其eDoc的日期时间。“处理装置ID”是执行此保护处理的处理装置的识别信息。“加密信息”是与此eDoc的生成时的加密有关的信息,包含用于加密的加密软件名、此加密软件的版本、及表示用于解除此加密(解密)的密钥的密钥信息。密钥信息例如是利用各派送目标用户的公钥将用于解密的密钥加密而成。“关键字信息”是从所述eDoc(或原始数据)提取的关键字的列表。此关键字信息例如是在检索eDoc时利用。
“派送目标信息”表示由派送者指定的用户及阅览终端作为此eDoc的派送目标的信息。图3的示例中,派送目标信息针对每个派送目标的用户而包含此用户的用户ID、和此用户需阅览的阅览终端104的ID(识别信息)。当此用户可用于阅览此eDoc的阅览终端104被指定了多个时,在派送目标信息中嵌入此用户的用户ID与这些多个阅览终端104的ID的组。
而且,作为另一例,当采用派送目标用户利用被指定为派送目标的阅览终端104中的任一个均可阅览此eDoc的方式时,派送目标信息中包含派送目标用户的ID的列表、及派送目标的阅览终端104的ID的列表。例如,作为派送目标的阅览终端104的候补,有时设想部门的共享终端、或部门的厅室或者会议室中配备的终端等。共享终端或厅室等所配备的终端(这也是一种共享终端)等虽未规定是组织内的哪个用户使用,但至少派送者已知是哪种终端,而且也已知随意带出至组织外的可能性低,因而适合作为机密对象的文档的派送目标。当这样在来历已知的共享终端利用eDoc时,也可想到像这样派送目标用户可利用被指定为派送目标的阅览终端104中的任一个的利用形态。
“访问权限信息”是表示派送者对派送目标的用户赋予的对此eDoc的利用权限的信息。
“离线有效期间”是表示此元数据的有效期间的长度的信息。即,即便阅览终端104处于无法访问管理系统200的状态(离线状态)时,只要在此eDoc的前一次阅览时获取并缓存的元数据存在,且距此元数据的获取日期时间为所述“离线有效期间”内,则阅览终端104亦使用此元数据内的加密密钥信息将此eDoc解密并显示。另一方面,当为离线状态,且与被指示阅览的eDoc有关的缓存的元数据的离线有效期间已过期时,阅览终端104不将此eDoc解密,因此也不进行显示。此外,在阅览终端104可访问管理系统200(即在线状态)的期间中,当用户指示了eDoc的阅览时,从管理系统200(特别是元数据服务器230)获取此eDoc的最新的元数据并使用。
“原始数据信息”是表示是否保存生成(编码)eDoc前的原始数据的信息,且在保存时表示此原始数据的保存场所的信息(例如统一资源定位符(Uniform Resource Locator,URL))。此处的原始数据例如是从制作终端102送到处理装置110的文档(实施保护处理前者)、或成为此文档的来源的应用数据(例如当文档为页面描述语言数据时,为转换成此数据前的文字处理软件的数据)、或所述两者。
“文档获取日期时间”是阅览终端104获取所述eDoc的本体数据的文件(即eDoc文件)的日期时间。“元数据获取日期时间”是阅览终端104从管理系统200获取此eDoc的当前缓存的最新元数据的日期时间。文档获取日期时间及元数据获取日期时间不包含在管理系统200所保持的元数据中,是为了由阅览终端104对从管理系统200获取的元数据进行自机中的管理而追加。
而且,图3所示的元数据的项目中,DID、编码日期时间、处理装置ID、加密信息、关键字信息是处理装置110生成的信息。而且,文档名、派送者ID、派送目标信息、访问权限信息、离线有效期间、原始数据信息是源自从制作终端102送至处理装置110的文档或属性数据。
接下来,例示管理系统200的各服务器210~服务器250管理的信息的数据内容。
首先,参照图4,对用户ID服务器210管理的数据内容的示例进行说明。用户ID服务器210中注册了各签约方的签约方数据212、及各普通用户的用户数据214。
签约方数据212中包含签约方ID、合约内容信息及用户列表。签约方ID是与文档管理系统的运营方签约的签约方(例如组织或组织内的部门)的识别信息。用户列表是通过此签约方的合约而利用所述文档管理系统的普通用户(例如属于作为签约方的组织的成员)的用户ID的列表。
普通用户数据214中包含此普通用户的用户ID、密码、用户ID密钥信息、公钥证书、既定的处理装置ID、既定的阅览终端列表、所属信息。用户ID密钥信息是此用户的认证设备130所用的此用户的认证信息。公钥证书是证明此用户的公钥的数字证书。既定的处理装置ID是注册了此用户的处理装置110的ID。通常,用户注册在自身所属的办公室放置的处理装置110中,此处理装置110成为针对此用户的既定的处理装置。既定的阅览终端列表是此用户主要使用的一个以上的阅览终端的ID的列表。此列表所含的阅览终端成为对此用户派送eDoc时的派送目标的终端的候补。所属信息是确定此用户所属的组织或其部门等的信息,例如为此组织或部门的签约方ID。
接下来,参照图5来表示DID服务器220管理的数据内容的示例。
DID服务器220如图5所示,针对发行给处理装置的每个发行权限密钥,保持发行框、赋予目标处理装置、密钥赋予日期时间、密钥结束日期时间、已发行DID列表的各项目的信息。
发行权限密钥是DID服务器220对处理装置110赋予的、证明DID的发行权限的密钥信息(例如随机生成的字符串)。处理装置110通过在自身发行的DID中包含由DID服务器220赋予的发行权限密钥,而证实此DID是在正当的发行权限下发行。
发行框是与所述发行权限密钥一起赋予给处理装置110的DID发行上限数(可赋予DID的上限的文档数)。处理装置110在由DID服务器220赋予发行权限密钥与发行框的对时,能对此发行框所示的上限数以内的eDoc分别赋予固有的DID。
赋予目标处理装置表示此发行权限密钥(及发行框)的赋予目标的处理装置110的ID。密钥赋予日期时间是将此发行权限密钥赋予给处理装置110的日期时间。密钥结束日期时间是赋予目标的处理装置110结束使用所述发行权限密钥的日期时间。即,处理装置110结束对与所述发行权限密钥一起赋予的发行框所示的上限数的eDoc赋予DID的日期时间。此外,当采用处理装置110在用毕发行框后向DID服务器220要求下一发行权限密钥和发行框的结构时,不是明确记录发行权限密钥(称为第一密钥)的密钥结束日期时间,而是将处理装置110在此发行权限密钥之后被赋予的发行权限密钥的密钥赋予日期时间,用作第一密钥的密钥结束日期时间。已发行DID列表是赋予目标的处理装置110已使用此发行权限密钥发行的DID及其发行年月日的列表。赋予目标的处理装置110每当使用发行权限密钥发行DID时,将此DID通知给DID服务器220,DID服务器220将通知的DID及其发行年月日追加到与此DID所含的发行权限密钥对应的已发行DID列表中。
元数据服务器230保管从各处理装置110送来的各eDoc的元数据。保管的元数据的数据内容与图3所例示同样。但是,图3所例示的元数据的项目中,关于仅阅览终端104使用的项目(文档获取日期时间或元数据获取日期时间等),元数据服务器230不进行管理。
接下来,参照图6对处理装置管理服务器240管理的数据进行说明。处理装置管理服务器240针对每个管理对象的处理装置110来存储此处理装置110的状态历程242。状态历程中,与所述处理装置110的ID相对应地,包含制作及各更新的时刻(制作、更新日期时间)的、所述处理装置110的状态244的信息。
各时刻的状态244中,包含设置场所、签约方ID、管理者名、管理者联系方式、注册用户列表、软件信息246、硬件信息248、磁盘空闲容量、安全证书信息。设置场所是表示此处理装置110的设置场所的信息,例如包含住处或建筑物名、楼层数等信息。签约方ID是使用此处理装置110的签约方的ID。管理者名是此处理装置110的管理者的姓名。管理者是在处理装置110的设置目标的部门等中管理此处理装置110的用户。管理者联系方式是此管理者的联系方式的信息(例如电子邮件地址)。注册用户列表是此处理装置110中注册的用户(换言之,将此处理装置110作为“既定的处理装置”的用户)的用户ID的列表。
软件信息246中包含编码软件名、编码软件版本、加密软件名、加密软件版本、安装在处理装置110中的其他软件的名称及版本。此处,编码软件是将从制作终端102输入的文档转换(编码)成文档管理系统的专用格式的软件。加密软件是将文档(例如经转换成专用格式者)加密的软件。
硬件信息248中包含编码电路信息、编码电路FW版本、此处理装置110的制造者名等项目。编码电路信息是表示用于编码处理的硬件电路的机种的信息。编码电路FW版本是此编码电路的固件(FW)的版本。
磁盘空闲容量是处理装置110所具有的硬盘或固态硬盘等二次存储装置的、此时刻的空闲容量。
安全证书信息是确定处理装置110中在此时刻已安装的各安全证书的信息(例如证书的持有者(subject:主体者)识别码、签发者(issuer:发行者)识别码、发行日期时间等信息)。
而且,虽然为了避免繁杂而省略了图示,但状态244中包含安装在处理装置110中的字体(font)的种类(字体名的列表)、用于网络通信的地址(例如互联网协议(InternetProtocol,IP)地址)、搭载的二次存储装置(硬盘驱动器等)的装置ID、表示用于将处理装置110嵌入设置目标的组织的基干系统的处理的自定义(customize)内容的信息、及处理装置110所使用的加密密钥(用于通信路加密或签名等)的安装日期时间等。
接下来,参照图7对处理装置110保持的数据库群进行说明。如图所示,处理装置110包含管理信息存储部112、用户DB 114及文档DB 116。
管理信息存储部112中存储管理信息112a。管理信息112a中包含上位装置地址信息、安全证书、加密密钥、编码软件名、编码软件版本、加密软件名、加密软件版本等项目。上位装置地址信息是管理处理装置110的上位装置各自的通信地址(例如IP地址、URL等)的信息。管理系统200或其中的各服务器210~服务器240、或后述的组织内管理系统150或其中的各服务器152~服务器156为上位装置的示例。安全证书是处理装置110与网络上的其他装置进行公钥基础设施基准的机密通信时所用的数字证书。处理装置110保持作为常通信对象的各上位装置的安全证书。而且,也可保持使用制作终端102或阅览终端104的各用户的安全证书。加密密钥是以处理装置110与网络上的其他装置进行通信时的加密或解密、处理装置110的数字签名(或与此类似的证明信息的生成)等为目的而使用的所述处理装置110的加密密钥,例如为公钥基础设施中对所述处理装置110赋予的私钥与公钥的对。编码软件及加密软件分别是安装于此处理装置110中的用于编码(向专用格式的转换)及加密的软件。
用户DB 114中,存储此处理装置110中注册的各用户(换言之,以此处理装置110作为“既定的处理装置”的用户)的用户信息114a。各注册用户的用户信息114a中,包含用户ID、密码、用户ID密钥信息、公钥信息、既定的阅览终端列表等项目。关于这些项目,已在所述用户ID服务器210所具有的数据的说明(参照图4)中说明。
文档DB 116中保存处理装置110所生成的eDoc文件、及与此eDoc文件对应的元数据。eDoc文件与元数据包含DID的信息,因而可相对应。而且,文档DB 116中,也可将eDoc编码前的原始数据(从制作终端102接受)与此eDoc的DID相对应地注册。
制作终端102及阅览终端104针对利用此终端的每个用户而存储此用户的认证信息(用户ID、密码等)、既定的处理装置的ID、既定的处理装置的地址信息、上位装置(例如管理系统200或后述的组织内管理系统150)的地址信息、处理装置或上位装置的安全证书、用于通信路加密等的加密密钥等。
<系统的处理流程>
当本地网络108上设置有处理装置110时,进行处理装置110的维护的维护作业员对处理装置110注册利用此处理装置110的用户的信息、及这些用户有可能利用的制作终端102或阅览终端104的信息。所注册的用户信息也转送至作为上位装置的用户ID服务器210(或者后述的本地用户ID服务器152)并注册。此外,当设置后利用处理装置110的用户增加或减少时,维护作业员对处理装置110进行下述作业,即:新追加注册增加的用户的信息,或删除减少的用户的信息的注册。这种追加或删除也通知给用户ID服务器210等上位装置,据此更新上位装置保持的信息。而且,维护作业员针对这些各制作终端102,安装用于请求处理装置110注册及派送文档的处理的软件(例如采取处理装置110的设备驱动器的形态)。而且,维护作业员针对各阅览终端104,注册用于与处理装置110通信的信息(例如装置名、通信地址、无线访问设定)等。
接下来,参照图8对经由文档管理系统来注册及派送文档时的处理流程进行说明。
(1)-1:用户(派送者)对制作终端102进行文档的注册指示时,制作终端102显示请求输入登入认证信息(例如用户ID及密码、或认证设备130)的画面。派送者根据此请求而输入认证信息时,制作终端102经由本地网络108将此认证信息发送至处理装置110。
(1)-2:收到登入认证信息的处理装置110使用此信息来进行用户认证。此处,假设此用户认证成功(能确认为正确的用户)。图示例中,使用登入ID和密码来进行登入认证,但在应对制作终端102与认证设备130的通信时,也可使用认证设备130来进行登入认证。
(2)-1:登入认证成功后,用户从制作终端102所保持的文档中选择欲注册到文档管理系统中(而且欲派送给其他用户)的文档,指示向处理装置110的注册。于是,成为与处理装置110的接口的软件(例如设备驱动程序)启动,从用户受理与此文档有关的属性数据的输入,并将受理的属性数据和此文档的数据发送至处理装置110。
图9中表示此属性数据的输入画面400的一例。此输入画面400包含派送目标用户选择菜单402、派送目标用户列表栏404、派送目标终端选择菜单406、派送目标终端列表栏408、访问权限设定栏410、离线有效期间菜单412及可选项设定调出按钮414。
派送目标用户选择菜单402是列举此文档的派送目标用户的选项的、下拉形式的菜单。成为选项的用户是注册在处理装置110中的用户,成为选项的这些用户的ID及用户名的列表只要从处理装置110获取即可。或者,也可使制作终端102从管理属于组织的文档管理系统的用户的信息的、后述的本地用户ID服务器152(参照图12)获取用户的列表,且派送者能将注册在组织内的其他处理装置110中的用户选择为派送目标。此时,派送目标用户选择菜单402中,以可区分各自所注册的处理装置110的显示形态来显示各用户。例如,针对注册了所述用户的每个处理装置110以不同的颜色或字体来显示用户。或者也可设为以下形态:将所述菜单设为阶层结构,首先选择处理装置110而调出注册在此处理装置110中的用户的列表,并从所述列表中选择派送目标的用户。派送目标用户列表栏404中,显示用户所选择的派送目标用户的列表。若派送者在派送目标用户选择菜单402中选择派送目标用户并按下位于右侧的“追加”按钮,则将此派送目标用户的用户ID或用户名追加到派送目标用户列表栏404中。而且,若派送者选择派送目标用户列表栏404内的派送目标用户并按下右侧的“删除”按钮,则将此派送目标用户从派送目标用户列表栏404中删除(即,不成为派送目标)。
派送目标终端选择菜单406是列举作为此文档的派送目标的阅览终端(查看器)104的选项的、下拉形式的菜单。成为选项的阅览终端104已注册在处理装置110中,成为选项的这些阅览终端104的ID及终端名的列表只要从处理装置110获取即可。或者,也可使用处理装置110自身或本地用户ID服务器152(参照图12。详情将于后述)等具有注册在文档管理系统中的组织内的阅览终端104的列表,制作终端102将此列表提示给派送者,而能将组织内的其他处理装置110中注册的用户的阅览终端104选择为派送目标。派送目标终端列表栏408中,与派送目标用户列表栏404的情况同样地,显示派送者在派送目标终端选择菜单406中选择的派送目标的阅览终端104的列表。
此外,也可针对每个派送目标的用户而能指定与此用户对应的派送目标的阅览终端104。为此,制作终端102例如只要每当在派送目标用户列表栏404中选择派送目标的用户时,从处理装置110(或者本地用户ID服务器152或用户ID服务器210)获取此用户的既定的阅览终端的列表,并将此列表设定在派送目标终端选择菜单406中即可。在派送者未明示选择针对派送目标的用户的、派送目标的阅览终端104时,将此用户的既定的阅览终端的列表中的特定者(例如列表的开头)自动选择为派送目标的阅览终端104。
访问权限设定栏410是用于设定派送目标用户对所述文档的访问权限(利用权限)的栏。图示例中,显示与阅览、加工(编辑)、印刷、复印这四个权限项目有关的复选框,派送者针对此文档而在对派送目标用户许可的项目的复选框中打勾。
离线有效期间菜单412是表示对文档设定的离线有效期间的长度的选项的下拉菜单。派送者从离线有效期间菜单412所示的几个阶段的离线有效期间中,选择针对本次注册到系统中并派送的文档所设定的期间。
而且,若按下可选项设定调出按钮414,则制作终端102显示图10所例示的可选项设定画面420。可选项设定画面420包含处理装置指定栏422和原始数据设定栏424。处理装置指定栏422中,包含表示作为文档的发送目标的处理装置110的选项的下拉菜单。此菜单中包含从制作终端102可选择的处理装置110的列表。此列表所含的处理装置110首先是处于此制作终端102所属的本地系统100内的处理装置110(基本上为一个,也可为多个)。而且,相同组织内的其他本地系统100的处理装置110也可包含在此列表中。原始数据设定栏424中,显示受理是否将成为eDoc的来源的原始数据保存在处理装置110中的选择的下拉菜单。
步骤(2)-1中从制作终端102送到处理装置110的属性数据中,包含通过此种设定画面所设定的派送目标信息(用户的列表及阅览终端的列表)、访问权限信息、离线有效期间、原始数据信息等信息。
回到图8的说明。
(2)-2:处理装置110从制作终端102接收文档(称为对象文档)及属性数据。
(3)-1:处理装置110在未收到DID的发行权限及发行框时(或者收到的发行框用毕时),对管理系统200的DID服务器220要求新的发行权限及发行框。此外,在收到的发行框有剩余时,不进行此要求而进入后述的步骤(4)。
(3)-2:DID服务器220根据来自处理装置110的要求,将新的发行权限及发行框发送至此处理装置110。
(4)处理装置110使用从DID服务器220赋予的发行权限来发行DID,并将此DID赋予给由对象文档生成的eDoc(在下一步骤中生成)。
(5)-1:处理装置110使用例如随机数等来生成用于将对象文档加密的加密密钥。而且,处理装置110将对象文档转换成eDoc文件。即,将此对象文档编码成文档管理系统的专用格式,并利用方才生成的加密密钥将编码结果加密,由此生成eDoc文件。所生成的eDoc文件中包含方才生成的DID的信息。
(5)-2:处理装置110生成所生成的eDoc的元数据。即,针对从制作终端102接收的属性数据,追加方才生成的DID、编码的日期时间、此处理装置110的ID、加密信息等,由此生成元数据(参照图3)。此处,加密信息中,包含针对各派送目标用户将用于加密的加密密钥以此派送目标用户的公钥加密而得的密钥信息。
(5)-3:当从制作终端102收到内容为保管原始数据的指示时,处理装置110保存从制作终端102接收的文档(或成为此文档的本源的应用数据)。
(6)-1:处理装置110将方才生成的DID上传至DID服务器220。DID服务器220保管从处理装置110上传的DID。
(6)-2:处理装置110将方才生成的元数据上传至元数据服务器230。元数据服务器230保管从处理装置110上传来的元数据。
(7)处理装置110针对所生成的eDoc的派送目标的各阅览终端104,发送与此eDoc有关的派送准备完成通知。此通知中,包含方才生成的DID、eDoc的文档名的信息。而且,此通知也可包含eDoc的代表页面(开头页面等预先指定的页面)的缩略图像。
此外,利用阅览终端104的用户(称为阅览者)将自身的认证设备130靠近阅览终端104的读卡器部,由此接受用户认证。阅览终端104显示列表画面,此列表画面显示派送到自身的eDoc的列表。图11中表示此列表画面500的示例。本示例的列表画面500中,针对每个eDoc而包含通知标记502、此eDoc的文档名504、可否阅览标记506。通知标记502是用于将此eDoc的状态通知阅览者的标记。通知标记502所表示的eDoc的状态中,有“新到”(从处理装置110派送文档后尚未打开的状态。图中以“☆”记号表示)、“正常”(图中无记号)、“到期”(访问有效期间过期的状态。图中以“!”记号表示)等。关于“到期”状态,虽然在阅览终端104内保存着eDoc文件,但在从处理装置110或管理系统200获取与此eDoc有关的最新的元数据之前,无法阅览。关于“正常”状态的eDoc,在此阅览终端104内保存(缓存)着访问有效期间未到期的元数据,因而即便阅览终端104相对于处理装置110或管理系统200成为离线状态,也可阅览。可否阅览标记506表示阅览终端104及使用其的用户(由认证设备130认证)的组合,与此阅览终端104中缓存的所述eDoc的元数据所示的、所述eDoc的派送目标的用户及阅览终端104的组合是否一致。若一致则此eDoc可阅览(图中为“○”记号),若不一致则不可阅览(图中为“×”记号)。而且,关于虽然收到派送准备完成通知但尚未接收到eDoc文件及元数据的eDoc,因阅览终端104不具有与派送目标的组合是否一致的判断基准的信息,因而可否阅览标记506成为表示未定的“-”记号。图示例中,从上往下三个eDoc为新到,且eDoc本体(文件及元数据)的获取尚未完成,因而可否阅览标记506成为表示未定的标记。
阅览者在此列表画面(图11)上通过例如触摸操作等而选择自身欲阅览的eDoc,进行阅览指示。此处,假设将新到(通知标记502为“☆”记号)的eDoc选择为阅览对象。
(8)回到图8的说明。阅览终端104未保持所选择的阅览对象的eDoc文件及元数据,因而需要从处理装置110获取。因此,阅览终端104针对自身所连接的本地网络108上的处理装置110,将从其阅览者的认证设备130获取的认证信息即用户ID密钥,在自身所连接的本地网络108上发送给处理装置110。处理装置110验证此用户ID密钥是否证明自身中注册的用户(用户认证)。此处,假设此用户认证成功。此外,当从阅览终端104接收的用户ID密钥不相当于注册在处理装置110中的任一用户时,处理装置110也可将此用户ID密钥送至与用户认证有关的上位装置(用户ID服务器210或本地用户ID服务器152),委托用户认证。
(9)-1:而且,阅览终端104接到处理装置110中的用户认证已成功,将包含阅览者所选择的阅览对象的eDoc的DID的派送要求送至处理装置110。
(9)-2:处理装置110将与来自阅览终端104的派送要求所含的DID对应的eDoc文件及元数据送回至阅览终端104。
(10)阅览终端104接收从处理装置110送来的eDoc文件及元数据并保存(缓存)。
(11)阅览终端104判定与自身和当前正使用自身的阅览者的组合一致的组合是否存在于所述元数据中的派送目标信息(参照图3)所示的派送目标用户与派送目标终端的组合中。当判定为不存在时,阅览者在此阅览终端104无法阅览所述eDoc文件。此时,阅览终端104显示表示内容为无法阅览的错误消息。而且,此时阅览终端104也可将所保存的此eDoc的文件(及对应的元数据)删除。另一方面,当判定为与阅览终端104和当前正使用其的阅览者的组合相应者在元数据中的派送者信息内时,阅览终端104允许阅览者阅览eDoc。此时,阅览终端104从所述元数据内的加密信息所含的与各派送目标用户对应的经加密的密钥中取出与阅览者对应者,并以阅览者的私钥(这是由例如认证设备130保持)将此密钥解密,由此复原将eDoc文件解密所需要的解密密钥。
(12)阅览终端104通过使用所复原的解密密钥将此eDoc文件解密而再生可阅览的文档,并将此文档输出(例如画面显示)。而且,阅览终端104按照元数据所含的访问权限信息来控制是否受理阅览者对此文档的操作指示。阅览终端104基本上不将经解密的文档保存为文件。即,阅览结束后,在阅览终端104的非易失性存储装置中保存eDoc文件和元数据,但不保存解密结果的文档。
接着,参照图12对文档管理系统的另一例进行说明。图12所示的示例中,在作为企业等组织的专用网的组织内网内存在多个本地系统100。另外,组织内网中设有组织内管理系统150。组织内管理系统150管理文档管理系统中此组织内的处理或其所需要的信息。即,管理系统200是文档管理系统的服务提供者所运用,管理与利用文档管理系统的多个组织有关的信息或处理,相对于此,组织内管理系统150在管理系统200的管理下,管理这些信息或处理中与此组织有关的部分。
组织内管理系统150具有本地用户ID服务器152、本地DID服务器154及本地元数据服务器156。
本地用户ID服务器152管理此组织的成员中在文档管理系统中进行了用户注册的用户的信息。本地用户ID服务器152保持的各用户的信息与图4记载的用户ID服务器210保持的普通用户的信息同样。若对处理装置110注册获取此处理装置110并利用的用户(即,以此处理装置110作为“既定的处理装置”的用户),则处理装置110将所注册的用户信息送至组织内的本地用户ID服务器152。本地用户ID服务器152保存所收到的用户信息,并且经由广域网10而送至中央的管理系统200的用户ID服务器210。用户ID服务器210保管所收到的用户信息。又,当处理装置110中注册的用户信息发生了变更时,管理者等对处理装置110进行此用户信息的变更。处理装置110将此用户信息的变更内容的信息(例如包含用户ID、经变更的信息项目的项目名、此项目的变更后的值)发送至本地用户ID服务器152,本地用户ID服务器152根据所接收的变更内容来变更自身所保管的此用户的信息。而且,本地用户ID服务器152将收到的变更内容的信息送至中央的用户ID服务器210,用户ID服务器210根据所送来的信息而变更自身所保持的此用户的信息。
本地DID服务器154接收属于此组织的组织内网的各本地系统100内的处理装置110发行的DID,并加以保管。本地DID服务器154保持的信息与图5记载的DID服务器220保持的信息同样。而且,本地DID服务器154将从处理装置110收到的DID的信息送至中央的DID服务器220,DID服务器220保管此信息。而且,本地DID服务器154是由中央的DID服务器220赋予DID的发行权限及发行框,并在此发行框的范围内,基于其发行权限而对管理下的各处理装置110赋予DID的发行权限及发行框。
本地元数据服务器156接收属于此组织的组织内网的各本地系统100内的处理装置110生成的eDoc的元数据,并加以保管。本地元数据服务器156保持的信息与元数据服务器230保持的信息同样。而且,本地元数据服务器156将从处理装置110收到的元数据送至中央的元数据服务器230,元数据服务器230保管此元数据。
图12的系统中,处理装置110在从自身中未注册但注册在相同组织内的其他处理装置110中的用户接到文档的注册(及派送)要求、或eDoc文件或元数据的获取要求等要求时,经由组织内管理系统150而响应这些要求。
作为一例而考虑:处于组织内网内的第一部门的第一本地系统100内的处理装置#1中注册的阅览者,将注册在此处理装置#1中并派送的eDoc保存在自身的阅览终端104中,然后移动到处于处理装置#2的管理下的第二部门而欲阅览此eDoc时。在此时刻,假设所述阅览终端104内保存的此eDoc的元数据已变旧(即,访问有效期间已过期)。此时,阅览者在此阅览终端104进行打开所述eDoc的操作时,进行图13所示的处理。
首先,阅览终端104从自身当前连接的第二本地系统100的本地网络108中搜索处理装置110。由此,发现处理装置#2。此处理装置#2是与派送了所述eDoc的处理装置#1不同的装置,因而不具有此eDoc文件或元数据。
(1)阅览终端104从阅览者的认证设备130读入用户ID密钥(认证信息)。
(2)阅览终端104为了进行用于获取被指示为阅览对象的所述eDoc的最新元数据的用户认证,而对所述处理装置#2发送从认证设备130获取的用户ID密钥。
(3)阅览终端104向处理装置#2要求所述eDoc的元数据。此要求中包含此eDoc的DID。
(4)-1:处理装置#2调查从阅览终端104收到的用户ID密钥是否为自身中注册的用户的用户ID密钥(用户认证)。此示例中,所述阅览者注册在处理装置#1中,而未注册在处理装置#2中,因而处理装置#2针对预先设定的本地用户ID服务器152的地址,发送包含此用户ID密钥的认证要求。而且,处理装置#2将来自阅览终端104的元数据要求所含的DID送至预先设定的本地DID服务器154,请求认证。
(4)-2:本地用户ID服务器152验证从处理装置#2收到的用户ID密钥是否为自身中注册的用户的用户ID密钥(用户认证)。此用户ID密钥的持有人即阅览者注册在处理装置#1中,因而在作为其上位装置的本地用户ID服务器152中也进行了用户注册。因此,此用户认证成功。本地用户ID服务器152将表示认证已成功的回应送回至处理装置#2。
而且,本地DID服务器154调查从处理装置#2送来的验证对象的DID是否为正当的DID,即是否为自身所保存的DID。本示例中,此eDoc的DID是处理装置#1所发行,也保存在作为处理装置#1的与DID有关的上位装置的本地DID服务器154中。因此,认证为此DID正当。本地DID服务器154将认证为DID正当的回应送回至处理装置#2。
(5)-1:用户认证及DID认证成功,因而处理装置#2继续进行用于响应来自阅览终端104的元数据要求的处理。即,处理装置#2将包含DID的元数据要求送至预先设定的本地元数据服务器156的地址。
(5)-2:本地元数据服务器156从处理装置#2接到元数据要求时,则将与此要求所含的DID对应的元数据送回至处理装置#2。eDoc的元数据在由派送者在处理装置110中变更时,此变更随即反映给本地元数据服务器156,因而此时送回至处理装置#2的元数据是阅览对象的eDoc的元数据的最新版。
(6)处理装置#2将从本地元数据服务器156收到的元数据发送给阅览终端104。
(7)阅览终端104从处理装置#2接收元数据并保存(缓存)。
(8)阅览终端104参照所收到的最新的元数据的派送目标信息,进行阅览终端104及阅览者的组合的权限检查。即,若与阅览终端104自身和阅览者的组合一致的组合存在于所述派送目标信息(参照图3)所示的派送目标用户与派送目标终端的组合中,则判定为有阅览权限,若不存在则判定为无阅览权限。当判定为无阅览权限时,阅览终端104进行错误显示。当判定为有阅览权限时,阅览终端104从所述元数据内的加密信息所含的与各派送目标用户对应的经加密的密钥中取出与阅览者对应者,并以阅览者的私钥(这是由例如认证设备130所保持)将此密钥解密,由此复原将eDoc文件解密所需要的解密密钥。
(9)然后,阅览终端104通过使用经复原的解密密钥将所述eDoc文件解密而再生可阅览的文档,并将此文档输出(例如画面显示)。另外,按照元数据所含的访问权限信息来控制是否受理阅览者对此文档的操作指示。
接下来,参照图14,考虑下述情况下的处理流程,即:注册在第一本地系统100内的处理装置#1中的用户在处于处理装置#2的管理下的第二部门,将文档注册在文档管理系统中。假设此用户(文档的派送者)并未注册在处理装置#2中。
(1)用户对自身的制作终端102指示文档的注册时,制作终端102显示请求输入登入认证信息的画面。派送者根据此请求而输入认证信息(例如用户ID及密码)时,制作终端102将此认证信息经由本地网络108发送至处理装置#2。
(2)处理装置#2判定从制作终端102收到的认证信息是否为自身中注册的用户的认证信息。此时,派送者并未注册在处理装置#2中。此时,处理装置#2对上位的本地用户ID服务器152发送此认证信息,请求认证。
(3)本地用户ID服务器152判定所收到的认证信息是否为自身中注册的用户的认证信息(用户认证)。本示例中,派送者是注册在处理装置#1中的用户,因而也注册在本地用户ID服务器152中,此用户认证成功。本地用户ID服务器152向处理装置#2送回表示用户认证成功的信息。
(4)处理装置#2从本地用户ID服务器152收到认证成功的回应时,对制作终端102回应用户认证已成功。
(5)当用户认证成功时,制作终端102将用户选择作为注册对象的文档、及用户输入的属性数据送至处理装置#2。
(6)处理装置#2从制作终端102接收文档及属性数据。
(7)-1:处理装置#2在DID的发行权限及发行框用毕时,对本地DID服务器154要求新的发行权限及发行框。此外,当收到的发行框有剩余时,不进行此要求而进入后述的步骤(8)。
(7)-2:本地DID服务器154根据来自处理装置#2的要求,将新的发行权限及发行框赋予给此处理装置#2。此外,当从中央的DID服务器220赋予的发行框用毕时,本地DID服务器154向DID服务器220要求新的发行权限及发行框,并使用据此所赋予的发行权限及发行框,向处理装置#2赋予DID的发行权及发行框。
(8)处理装置#2使用所赋予的发行权限来发行DID,将此DID赋予给由对象文档生成的eDoc(在下一步骤中生成)。
(9)-1:处理装置#2生成用于将对象文档加密的加密密钥,将对象文档编码成本系统的专用格式,使用方才生成的加密密钥将编码结果加密,由此生成eDoc文件。
(9)-2:处理装置#2针对从制作终端102接收的属性数据,追加方才生成的DID、编码的日期时间等项目,由此生成eDoc的元数据。
(10)处理装置#2将所生成的DID上传至本地DID服务器154,将所生成的元数据上传至本地元数据服务器156。本地DID服务器154将从处理装置#2上传的DID追加至与其中所含的发行权限密钥对应的已发行DID列表(参照图5)中,并且上传至中央的DID服务器220。DID服务器220将从本地DID服务器154上传的DID追加至与发行权限密钥对应的已发行DID列表(参照图5)中。而且,本地元数据服务器156保管从处理装置#2上传的元数据,并且上传至中央的元数据服务器230。元数据服务器230保管从本地元数据服务器156上传的元数据。
处理装置#2将所生成的eDoc派送至派送者所指定的派送目标。此处理与图8的步骤(7)至步骤(12)同样。
(11)而且,处理装置#2将所生成的eDoc文件及元数据发送至制作终端102。处理装置#2可保存此eDoc文件及元数据,也可不保存而删除。当不保存而删除时,在组织内的处理装置110群中,这些eDoc文件及元数据通过后述的步骤(13)而仅保存在作为既定处理装置的处理装置#1中。也可设为:关于并非派送者的既定处理装置的处理装置110是否保存由所述派送者委托注册、派送的eDoc文件及元数据,可在处理装置110中设定。
(12)制作终端102保存从处理装置110收到的eDoc文件及元数据,以随后转送至作为所述派送者的既定处理装置的处理装置#1。
(13)派送者带着制作终端102回到自身所属的第一部门时,制作终端102在第一本地网络108上搜索作为此派送者的既定处理装置的处理装置#1。若发现处理装置#1,则制作终端102将所述步骤(12)中保存的eDoc文件及元数据注册到处理装置#1中。由此,派送者在欲变更元数据的内容(例如派送目标)时,只要访问既定的处理装置#1并进行其变更操作即可。
以上所说明的文档管理系统中,从制作终端102向处理装置110指示派送的文档的本体信息(即eDoc文件)是仅由处理装置110和派送目标的阅览终端104持有,不会出现在其他网络或装置中。因此,使eDoc文件的泄漏风险极小。尤其若将eDoc文件的派送目标限定于生成此eDoc的本地网络108上的阅览终端104,则eDoc完全不会从所述本地网络108泄漏至外部。
另一方面,eDoc的元数据注册在中央的管理系统200或每个组织的组织内管理系统150内,即便阅览终端104移动到各种场所,也可经由广域网10或组织的专用网而获取。阅览终端104从用户收到eDoc的阅览指示时,从组织内管理系统150或中央的管理系统200获取此eDoc的最新的元数据,并基于此最新的元数据所含的派送目标信息,判定可否对其用户允许所述eDoc的阅览。当此用户即便在所述eDoc的注册、派送时被指定为派送目标,但因后续的派送目标变更而被排除在派送目标外时,不允许阅览。
图13及图14的示例中,处理装置#1及处理装置#2均设置在相同的组织内,且设想派送目标的用户也属于此组织,因而用户认证是由此组织的本地用户ID服务器152进行。相对于此,当阅览者为属于与处理装置#2不同的组织的用户时,处理装置#2或其上位的本地用户ID服务器152均无法认证其派送者。此时,也可由更上位的用户ID服务器210来进行其派送者的用户认证。
图13及图14的示例中,另一处理装置#2进行注册在处理装置#1中的用户的阅览终端104或制作终端102、与本地用户ID服务器152或本地元数据服务器156的信息互换的中介。但是,其仅为一例。取而代之,例如当根据从阅览终端104或制作终端102送来的用户的认证信息而此用户未注册在处理装置#2中时,处理装置#2只要对阅览终端104进行不可认证的回应即可。此时,阅览终端104或制作终端102使用自机中注册的上位装置的地址信息,向本地用户ID服务器152请求认证。认证成功时,阅览终端104访问本地元数据服务器156而获取必要的元数据,而制作终端102将所要注册的文件发送至处理装置#2。
图13的示例是用户移动到自身所属的组织内的、处于与自身的既定处理装置不同的处理装置110的管理下的本地系统100而进行文档阅览时的示例。但是,也可设为用户在自身所属的组织外,能阅览从自身的既定处理装置派送的文档。此时,用户的阅览终端104是由中央的管理系统200内的用户ID服务器210接受认证,并从元数据服务器230获取欲阅览的文档的元数据。
<DID的示例>
接下来,参照图15对在文档管理系统中用于eDoc的识别信息的DID600的结构进行说明。
如图所示,DID600包含发行权限密钥602、处理装置固有信息604、发行年月日606、发行证明密钥608及发行编号610。此外,图示的DID600及其结构要素602~结构要素610的位数仅为例示性。
发行权限密钥602是识别DID服务器220对处理装置110赋予的发行权限的密钥信息。DID服务器220在从处理装置110收到发行权限及发行框的要求时,生成发行权限密钥602,将此发行权限密钥602与发行框(例如文档数100个)的数值一起发送至处理装置110。此外,在本地DID服务器154介于DID服务器220与处理装置110之间的系统结构的情况下,DID服务器220对本地DID服务器154例如一并赋予多组发行权限密钥与发行框的组。此赋予也可采用下述方式,即:DID服务器220委托本地DID服务器154进行将所述多组发行权限密钥及发行框赋予给处理装置110的处理。本地DID服务器154在从管理下的处理装置110要求发行权限时,只要将所赋予的多组发行权限密钥及发行框中未赋予者赋予给所述处理装置110即可。
处理装置固有信息604是发行此DID的处理装置110固有的信息。即,通过调查DID600中的处理装置固有信息604,能唯一地确定发行此DID600的处理装置110。处理装置固有信息604是由处理装置110保持。
发行年月日606是表示发行此DID的年月日的字符串。DID的发行年月日是生成(编码)此DID的赋予目标即eDoc的年月日。
发行证明密钥608是证明所述处理装置110(由处理装置固有信息604而确定)使用发行权限密钥602所表示的发行权限而发行所述DID的密钥信息。发行证明密钥608例如是将发行权限密钥602利用所述处理装置110的私钥加密而得的值。此时,若利用所述处理装置110的公钥将发行证明密钥608解密所得的值、与发行权限密钥602一致,则证明此DID600是所述处理装置110使用所述发行权限密钥602所发行。而且,也可将利用处理装置110的私钥将DID600中除了发行权限密钥602以外的部分的值(或由此值所生成的规定位数的散列值(hash value))加密所得的值,设为发行证明密钥608。此时,若利用处理装置110的公钥将发行证明密钥608解密所得的值、与DID600的除了发行证明密钥608以外的部分的值不矛盾(例如解密结果与其值的散列值一致),则证明此DID600是所述处理装置110基于发行权限密钥602所发行,DID600的发行证明密钥608以外的部分并无篡改。
发行编号610是表示此DID600为处理装置110使用所述发行权限密钥602发行的第几个DID的连续编号。使用某发行权限密钥602所生成的DID600的发行编号610可取的最大值是与所述发行权限密钥602一起由DID服务器220(或本地DID服务器154)赋予的发行框的值(文档数)。
<注册后的派送目标变更>
此外,也考虑将eDoc注册在文档管理系统中后,派送者(或者被赋予了派送目标的变更权限的他人)欲删除或追加派送目标,修正给予这些派送目标的对eDoc的访问权限。这种情况下,派送者使用制作终端102或阅览终端104(以下统称为用户终端)访问例如既定的处理装置110,指定成为对象的eDoc的DID,指示执行派送目标(或访问权限)的编辑处理。
接受此指示的处理装置110在通过用户认证而确认到发出此指示的用户为所述对象eDoc的正确派送者等(派送者及被赋予了派送目标变更权限的他人的总称)时,在用户终端上提供派送目标及访问权限的编辑画面。编辑画面可与图9所示的输入画面400同样。派送者等在此编辑画面上,进行派送目标的用户及阅览终端的追加或删除、访问权限内容的变更。派送者等在编辑画面上进行了必要的变更后,进行确定此变更的操作时,处理装置110在所保存的所述eDoc的元数据中反应所述变更,并且将其变更内容通知给上位的本地元数据服务器156及元数据服务器230。本地元数据服务器156及元数据服务器230将所通知的变更内容反映在所保存的所述eDoc的元数据中。例如,即便为在派送时被指定为派送目标的用户,当因后续的变更而从派送目标中删除时,也不可阅览所述eDoc。而且,处理装置110在这样变更eDoc的元数据中的派送目标信息时,针对包含在变更前的派送目标信息中但不包含在变更后的派送目标信息中的派送目标的阅览终端104,发送删除所述eDoc文件(及对应的元数据)的指示。
以上的示例中,处理装置110受理eDoc的派送目标或访问权限的变更指示,但也可取而代之或除此以外,由上位装置、即管理系统200(元数据服务器230)或组织内管理系统150(本地元数据服务器156)接受所述变更指示。此时,上位装置针对生成所述eDoc的处理装置110(及此处理装置110所属组织的本地元数据服务器156),发送根据所述变更指示而变更的新的元数据,以替换处理装置110中的现有的元数据。
<处理装置的状态管理>
接下来,对基于处理装置110的状态管理的控制进行说明。
处理装置110定期将自身的状态通知给管理系统200。管理系统200中,处理装置管理服务器240将收到的状态与其接收的日期时间相对应地,追加到与此处理装置110有关的状态历程242中。而且,处理装置管理服务器240对所收到的状态进行检查,并根据其检查结果,控制处理装置110可、不可对用户提供服务。
处理装置110定期发送给处理装置管理服务器240的状态包含与图6例示的处理装置的状态244同样的项目(其中,状态244中不被处理装置110变更的设置场所或编码电路信息、处理装置的制造者名等也可不定期发送)。
处理装置管理服务器240基于从处理装置110送来的状态,执行例如图16所例示的处理。
首先,处理装置管理服务器240从处理装置110接收状态(S100)时,将此状态中的检查对象项目的值与各项目的基准对照(S102)。检查对象项目中,包含加密软件的名称及版本、编码软件的名称及版本、安装于处理装置110中的安全证书、安装于处理装置110中的加密密钥(例如密钥与公钥对。用于通信路加密或签名目的等)的信息(例如此密钥的识别信息或安装日期时间等)、编码电路的名称及固件(FW)的版本、搭载字体种类、磁盘(二次存储)的空闲容量。而且,作为与各项目有关的基准的示例,有:加密软件或编码软件、固件为最新版本(或者为某版本以后的版本);磁盘的空闲容量为规定的阈值以上;所安装的安全证书中并无列入黑名单中的证书;处理装置110的加密密钥从安装日起未经过规定期间;及安装有规定(即预先设定的)种类的字体等。
例如,处理装置110用于通信路加密或签名等的加密密钥为了维持其安全性,理想的是定期变更为新密钥,因而从安装日期时间起经过规定期间以后判定为不满足基准而不可提供服务(或者发出不可的警告),提示更换新密钥。
接着,处理装置管理服务器240判定从处理装置110收到的状态的检查对象项目中是否存在不满足此项目的基准者(S104),若不存在,则结束与接收到本次状态的处理装置110有关的处理。当S104中存在不满足基准的项目时,处理装置管理服务器240对所述处理装置110通知不可服务(S106)。收到此通知的处理装置110停止对文档管理系统的文档的注册(派送)服务。即,不受理来自制作终端102的文档的注册(派送)要求,送回服务停止中的消息。
根据这种控制,而降低处理装置110生成不满足基准品质的eDoc的可能性。例如,根据所述控制,在生成因旧的加密软件而加密强度不充分的eDoc之前,停止此处理装置110的服务。而且,在发生磁盘空闲容量少或固件旧而eDoc的生成处理发生错误,由此导致发生文档泄漏等事态之前,停止服务。而且,在不具有规定字体的处理装置110将文档中的此字体替换为其他字体来编码而导致eDoc的画质降低之前,停止服务。也不易发生因编码电路的固件旧而导致不支持最新固件所支持的文档的图像尺寸,eDoc的图像尺寸受到限制等事态。
此外,也可在状态的检查对象项目中设置影响eDoc的安全的项目与其他项目的分类,且限于前者的项目不满足基准时使处理装置110停止服务。当后者的项目不满足基准时,向处理装置110或其管理者发送警告,提示消除与此项目有关的不良状况。接到所述警告,处理装置110的管理者针对自己能应对的项目进行处理装置110的修理,针对需要专门的维护作业员介入的项目,委托系统运营方派遣维护作业员。而且,当得知检查对象项目中的特定项目不满足基准时,处理装置管理服务器240也可自动进行对所述处理装置110派遣维护作业员的部署。
参照图17对图16的处理的变形例进行说明。
图17的顺序中,在处理装置110的状态的检查对象项目中,导入紧急项目与其以外的分级。紧急项目是对处理装置110生成的eDoc的安全上的品质或文档管理系统的安全造成大的影响的项目。此项目不满足基准的处理装置110所生成的eDoc未确保充分的安全性,或此项目不满足基准的处理装置110继续运行时,有可能此处理装置110成为文档管理系统的安全漏洞(漏洞)。作为此种紧急项目的对象的示例,有加密软件的版本、安装于处理装置110中的安全证书、在安装于处理装置110的加密密钥中发现漏洞的情况等。
避免由紧急项目不满足基准所致的问题的一个方法为使紧急项目不满足基准的处理装置110停止,派遣维护作业员对此紧急项目进行修正、修理。但是,在修正完成之前的期间,有用户无法使用所述处理装置110的不便。
因此,图17的顺序中,处理装置管理服务器240在S104中发现不满足基准的项目时,判定此项目是否为紧急项目(S110)。另外,当为紧急项目时,从处理装置管理服务器240针对所述处理装置110,经由广域网10而远程安装用于修正所述紧急项目的不良状况的设定信息(S112)。作为用于修正紧急项目的不良状况的设定信息的示例,有最新版本的加密软件、针对发现漏洞的安全证书解决此漏洞的最新版的安全证书、替换其中发现处理装置110的漏洞的私钥-公钥对的新密钥对等。
例如新密钥对的情况下,处理装置管理服务器240准备用于生成所述新密钥对的短语(phrase)并使用此短语来生成密钥对,并利用保密方法将所生成的密钥对传送至处理装置110进行远程安装。
由此,将与处理装置110内的不满足基准的紧急项目有关的设定信息更新为满足基准者。而且,根据此更新而更新所述处理装置110持有的状态中所述紧急项目的值。
而且,当S110的判定结果为否(No)(不相当于紧急项目)时,处理装置管理服务器240对处理装置110或管理者发送表示不满足基准的项目的警告,为了对所述处理装置110的此项目进行修正而进行派遣维护作业员的部署(S114)。关于并非紧急项目的项目,即便处理装置110保持原状继续运行,亦不易产生安全上的重大问题,因而不停止处理装置110,而通过派遣维护作业员来应对。关于紧急项目以外的项目,处理装置管理服务器240亦可不远程安装,因而可避免处理装置管理服务器240的负荷增大。
图17的示例中,从处理装置管理服务器240将与紧急项目有关的设定信息自上而下(top down)安装于处理装置110,据此在处理装置110中安装所述设定信息,更新处理装置110的状态中所述紧急项目的值。相对于此,关于紧急项目以外的状态的项目,在各处理装置110中例如由维护作业员进行值的设定或变更,进行与此项目对应的设定信息(例如加密软件的最新版本)的安装。这样由处理装置110进行的状态项目值的设定或变更通知给上位的处理装置管理服务器240,处理装置管理服务器240根据所述通知而变更自身所持有的此处理装置110的状态的对应项目的值。
<DID的验证>
管理系统200在被通知了处理装置110发行的DID时,或从阅览终端104送来元数据的要求(此要求包含DID)时,或者从用户等接到DID的验证的委托时,验证所述DID是否正确。
此时,DID服务器220关于对象的DID600(参照图15),验证以下方面。
(a)DID600中的发行权限密钥602与处理装置固有信息604之间无矛盾。
DID服务器220调查所述发行权限密钥602在自身所记录的信息(参照图5)中,是否作为以所述处理装置固有信息604所示的处理装置110为赋予目标的发行权限密钥而记录。若并未记录,则发行权限密钥602并非发行给所述处理装置固有信息604所示的处理装置110,因而所述两者矛盾。此时,所述DID600为不当的DID。
(b)DID600中的发行权限密钥602与发行年月日606不矛盾。
DID服务器220与发行权限密钥相对应地记录密钥赋予日期时间和密钥结束日期时间(参照图5)。当DID600中的发行年月日606在与DID600中的发行权限密钥602相对应地记录的密钥赋予日期时间到密钥结束日期时间的期间外时,发行权限密钥602与发行年月日606矛盾。此时,DID600为不当的DID。
(c)DID600中的发行权限密钥602、处理装置固有信息604及发行证明密钥608之间无矛盾。
DID服务器220利用所述处理装置固有信息604所示的处理装置110的公钥将发行证明密钥608解密,并判定其解密结果所示的发行证明密钥是否与DID600中的所述发行证明密钥608一致。当不一致时,所述三者之间存在矛盾,可知DID600不当。
(d)DID600中的发行编号610和与发行权限密钥602对应的发行框不矛盾。
DID服务器220记录与发行权限密钥602一起赋予给处理装置110的发行框(参照图5)。当DID600中的发行编号610为大于与发行权限密钥602对应地记录的发行框的编号时,此DID不当。
(e)DID600中的发行编号610与包含和此DID600的发行权限密钥602相同的发行权限密钥的已发行DID的发行编号相异。此基准在从处理装置110通知了新发行的DID时,用于验证此DID是否与已发行者相异。
DID服务器220与发行权限密钥相对应地,记录使用此发行权限密钥所发行的DID或其发行日期时间的信息(图5的已发行DID列表)。DID服务器220调查具有与验证对象的DID600的发行权限密钥602相同的发行权限密钥的已发行DID中,是否存在具有与此DID600中的发行编号610相同的发行编号者。若存在此种已发行DID,则判定为所述DID600不当。
(f)DID600中的发行年月日606及发行编号610的组合,与包含和此DID600的发行权限密钥602相同的发行权限密钥的已发行DID的发行年月日及发行编号的组合不矛盾。
DID服务器220判定验证对象的DID600的发行年月日606及发行编号610的组合,与包含和此DID600的发行权限密钥602相同的发行权限密钥的各个已发行DID的发行年月日及发行编号的组合是否矛盾,即,前后关系是否颠倒。例如,当发现尽管发行年月日比DID600更靠后,但发行编号小的已发行DID时,DID600与此已发行DID矛盾,即前后关系颠倒。当发现这种矛盾时,仅将验证对象的DID600、或将其与所述已发行DID两者判定为不当。
DID服务器220在通过按照以上那样的基准的验证而判定为某DID不当时,利用电子邮件等向与此不当DID有关的处理装置110的管理者进行警告通知。警告通知中,包含告知发现了伪装成由所述处理装置110所发行的DID的消息。管理者根据所述通知而实施安全强化的对策。处理装置110的管理者或其联系方式只要根据处理装置管理服务器240所持有的信息(参照图6)而求得即可。作为警告通知的目标的与不当DID有关的处理装置110是此DID所含的处理装置固有信息604所示的处理装置110。而且,也可将以往曾赋予与此不当DID所含的发行权限密钥相同的发行权限密钥的处理装置110设为警告通知的目标。
<eDoc的加密发现漏洞时的处理>
另外,接下来对生成eDoc文件时的加密所用的加密软件中发现漏洞时的处理进行说明。文档管理系统的运营方在得知任一处理装置110所用的加密软件的特定版本中发现漏洞时,从管理系统200向各处理装置110发送漏洞通知。漏洞通知中,包含发现漏洞的加密软件的软件名及版本的信息。当存在组织内管理系统150时,漏洞通知是从管理系统200交给组织内管理系统150,组织内管理系统150向下属的各处理装置110发送所述漏洞通知。处理装置110针对所述通知,执行图18所例示的处理。
处理装置110从上位装置(管理系统200或组织内管理系统150)接收漏洞通知(S200)时,确定自机使用此通知所示的发现漏洞的加密软件的版本进行了加密的文件(S202)。处理装置110的文档DB116中,保存着此处理装置110所生成的各eDoc文件及其元数据,根据各eDoc文件的元数据而得知用于生成各eDoc的加密软件名和版本(参照图3所示的元数据的结构例)。S202中,处理装置110确定元数据所含的加密软件名和版本的组合与漏洞通知所示的组合一致的eDoc。
接着,处理装置110以自机中安装的现用加密软件的版本,将所确定的各eDoc文件再加密(S204)。本示例中,设想处理装置110的加密软件适当经版本升级,处理装置110所持有的现用加密软件的版本未发现漏洞。一般而言,认为大多情况下处理装置110以往所用的加密软件的版本中发现漏洞。此外,当万一作为漏洞通知的对象的加密软件的版本为处理装置110的现用版本的加密软件时,处理装置110从上位装置等下载最新版本的加密软件,并使用此最新版本来进行再加密。假设现用的最新版本的加密软件中发现漏洞时,能设想上位装置具有消除了此漏洞的更新版本的加密软件,或具有此软件的发布源的信息。再加密例如是将对象的eDoc文件使用与此eDoc文件对应的元数据中记录的解密密钥的信息进行解密,并对其解密结果使用新生成的加密密钥,利用无漏洞的版本的加密软件进行加密。此外,处理装置110所保存的元数据中,解密密钥的信息例如是以经处理装置110的公钥加密的状态而含有(同样地,送至上位装置的元数据中,也可包含所述解密密钥经此上位装置的公钥加密而得者)。
处理装置110根据所述再加密而更新所述eDoc文件的元数据(S206)。即,将元数据(参照图3)中的编码日期时间、加密信息(加密软件名、版本信息及密钥信息)改写成再加密的日期时间、用于再加密的加密软件名、版本及用于解除所述加密的解密密钥的信息。另外,处理装置110保存更新后的元数据(例如作为针对此eDoc文件的最新元数据而保存),并上传至上位装置。上位装置保存所上传的更新后的元数据。
然后,处理装置110执行用于将通过再加密所得的eDoc文件,派送至元数据的派送目标信息所示的派送目标的各阅览终端104的处理(S208)。即,例如针对派送目标的各阅览终端104,发送派送准备完成通知(参照图8的步骤(7))。此通知中也可除了DID或文档名以外,还包含表示所派送的eDoc为已派送的eDoc的更新版的信息。收到此派送准备完成通知的阅览终端104中,当阅览者在阅览终端104的列表画面500(参照图11)中,将因所述再加密而收到派送准备完成通知的eDoc指示为阅览对象时,阅览终端104将根据所述指示而从处理装置110获取的eDoc文件,覆盖在自机内的再加密前的eDoc文件上。而且,阅览终端104将与此eDoc文件一起接收的更新后的元数据作为此eDoc的最新元数据而保存。由此,经具有漏洞的加密软件加密的eDoc文件及与其对应的元数据从阅览终端104消失,被替换成经未见漏洞的加密软件再加密的eDoc文件及元数据。
此外,处理装置110也可在发送经再加密的eDoc的阅览准备完成通知时或之前,将包含此eDoc的DID的删除通知明示发送至派送目标的各阅览终端104。此时,各阅览终端104根据所述指示,将具有所述DID的现有的eDoc文件(再加密前者)删除。此时,现有的元数据也可一并删除。
<派送目标终端指定的另一例>
到此为止所说明的示例中,派送者在制作终端102的UI画面(图9的输入画面400)中可选择的派送目标的用户及阅览终端104,限于注册在相同的本地系统100内的处理装置110中的用户及阅览终端104、或注册在相同组织的组织内管理系统150中的用户及阅览终端104(此时,注册在其他处理装置110中的用户及阅览终端104也可指定为派送目标)。
但是也存在下述情况,即:在组织内的用户混杂组织外的人(客户)的会议中,欲使客户暂时阅览所制作的会议记录等文档。此种情况下,将客户或客户的便携式终端注册到处理装置110或其上位装置中,或在阅览结束后解除其注册成为烦杂的作业。
因此,本文档管理系统中,对于能判断为客户终端的阅览终端104,在一定的限制下可派送eDoc。
例如,将位于制作终端102附近的用户的终端视为客户终端,将此客户终端添加到派送目标终端选择菜单406的选项中。或者,将位于处理装置110附近的用户的终端视为客户终端,将此客户终端添加到派送目标终端选择菜单406的选项中。关于制作终端102或处理装置110,认为大多情况下设置于组织的建筑物的房间(例如部门的厅室、会议室)内,设想位于制作终端102或处理装置110附近的人是为了会议等而受到许可进入所述房间内的人。
例如,处理装置110或制作终端102使用低功耗蓝牙(Bluetooth Low Energy,注册商标)等近距离无线通信来搜索可通信的对象终端,并将发现的对象终端、或这些对象终端中距自机的距离(所述近距离无线通信中,也有能求出自机与对象的通信距离者)为预定阈值以下的终端判定为位于自机附近的客户终端。然后,在派送目标终端选择菜单406中,以与预先注册的组织内的阅览终端104不同的显示形态,将处理装置110或制作终端102检测出的客户终端的终端名显示为选项。派送者在其中可选择作为派送目标的客户终端。
此处,处理装置110或制作终端102也可不将位于自机附近的所有终端作为客户终端,而仅将这些附近的终端中满足规定条件者作为客户终端,选择为派送目标的选项。例如考虑,以终端搭载的查看器应用、其他特定软件的版本为某版本以上作为条件,或将不包含在预定的拒绝终端列表中作为条件等。
关于携带客户终端的用户,认为通常并未注册在处理装置110或本地用户ID服务器152等中。因此,处理装置110在从被指定为文档的派送目标的客户终端要求eDoc文件或元数据时,也可省略用户认证而派送这些数据。而且,派送到客户终端的eDoc的元数据中,嵌入若满足删除条件则将此eDoc文件及元数据从客户终端删除的删除指示。删除条件例如为所述eDoc的画面显示结束时、或从派送时刻起经过规定的许可期间时等。客户终端在满足删除条件的时刻,将所述eDoc文件及元数据从自终端内删除。由此,降低客户终端所带来的eDoc的泄漏风险。
<对来自派送目标终端以外的要求的应对>
到此为止所说明的示例是处理装置110对派送者指定为派送目标的阅览终端104派送eDoc(或与其对应的派送准备完成通知)的、推送型的派送形态。
但是,作为另一例,也想到拉取型的派送形态,即:根据来自阅览终端104的要求,将处理装置110所保持的eDoc的列表提供给阅览终端104,并将用户从其中选择的阅览对象派送至阅览终端104。拉取型的派送形态的情况下,也想到派送目标用户从未被指定为派送目标的阅览终端104访问处理装置110,要求eDoc。作为有这种要求时处理装置110进行的应对,有以下那样的方式。
(方式1)处理装置110从阅览终端104收到eDoc的派送要求时,判定此阅览终端104是否相当于所述eDoc的最新的元数据的派送目标信息中被设为派送目标的阅览终端。另外,当判定为不相当时,此eDoc的文件(本体)和元数据均不发送至所述阅览终端104。此外,当判定为相当时,也可进一步判定进行所述派送要求的用户(或者此用户和阅览终端104的组合)是否包含在所述元数据的派送目标信息中,当包含时进行派送,当不包含时不进行派送。
这样,方式1中,针对不相当于由派送者指定的派送目标的阅览终端104,不派送eDoc(本体文件及元数据)。
(方式2)本方式中,处理装置110即便在送来eDoc的派送要求的阅览终端104不相当于此eDoc的元数据的派送目标信息中规定的派送目标的阅览终端104时,也在发出此要求的用户(即,使用此阅览终端104的用户)作为派送目标而包含在所述派送目标信息中的情况下,发送eDoc的本体文件及元数据。但是,此时处理装置110在要发送的eDoc文件及元数据中,嵌入表示不可保存的旗标信息。阅览终端104中,虽然显示包含不可保存的旗标信息的eDoc文件及元数据,但不受理来自用户的保存指示,用户的阅览结束时,将这些废弃而不加以保存。
此外也考虑,取代使发送至未被指定为派送目标的阅览终端104的eDoc文件及元数据不保存于此阅览终端104的方式,而暂且允许保存。但是此时,当此阅览终端104以后欲再次打开此eDoc文件时,此阅览终端104向处理装置110等要求此eDoc的最新元数据(这是请求许可阅览的要求),但处理装置110根据此要求而判定所述阅览终端104和发出要求的用户的组合是否包含在所述元数据的派送目标信息中,当不包含时,向阅览终端104发送删除所述eDoc的指示。阅览终端104根据所述指示,将所保存的所述eDoc的文件及与其对应的元数据删除。此外,处理装置110也可取代向要求最新元数据的阅览终端104明示发送eDoc的删除指示,而仅回应所述最新的元数据。此时,阅览终端104判定所接收的最新元数据中是否包含自机和当前用户的组合,当不包含时,不打开eDoc,进而将其所保存的eDoc的文件删除。
以上所说明的图18的示例中,再加密后的eDoc文件沿用再加密前的eDoc文件的DID,但也可对再加密后的eDoc文件赋予与再加密前的eDoc文件不同的DID。此时,处理装置110针对派送目标的各阅览终端104,发送包含再加密前的eDoc文件的DID的明示删除指示,由此使具有漏洞的再加密前的eDoc文件不留在阅览终端104中。而且,将表示再加密后的eDoc文件与再加密前的eDoc文件对应于彼此相同的文档的相关联信息,记录到与再加密后的eDoc文件对应的元数据、或处理装置110内(或上位的DID服务器220、本地DID服务器154内)。当记录到与再加密后的eDoc对应的元数据中时,例如只要在所述元数据中作为例如“更新前的DID”的项目而包含再加密前的eDoc的DID即可。
<处理装置间的负荷分散>
以上所说明的示例中,从用户接到文档注册的要求的处理装置110将此文档转换成eDoc文件。但是,将文档转换成eDoc文件的处理包含编码或加密等高负荷的处理,因而当接到注册要求时处理装置110的负荷高时,有可能执行此要求而到完成为止相当耗费时间。
因此,以下对处理装置110间的负荷分散处理的实施方式进行说明。
(A)对主装置提出文档的注册要求时
参照图19对此负荷分散处理的示例进行说明。图19的示例中,例示用户向自身所注册的处理装置110(称为针对此用户的“主装置”)要求文档注册时的处理流程。
本示例中,考虑到文档泄漏等风险,处理装置110的负荷分散是在相同的组织内网内的处理装置110间进行。组织内网中设有组织内管理系统150(参照图12),属于组织内网的各处理装置110是由组织内管理系统150管理。
(1)本示例中,首先用户从自身的制作终端102对作为主装置的处理装置110-1(以下称为处理装置#1)进行登入。另外,对处理装置#1发送注册对象的文档,要求执行向eDoc文件的转换处理(以下也称为“eDoc化”)。
(2)处理装置#1接到文档的注册要求时,基于处理装置#1的负荷状况,判定是由处理装置#1处理此注册要求,还是使其他处理装置110进行处理。此判定既可由处理装置#1自身进行,也可由组织内管理系统150进行。例如,处理装置#1根据自身当前的中央处理器(Central Processing Unit,CPU)负荷或存储器使用量、待执行的处理量等信息,利用例如众所周知的方法求出自身的处理负荷的值,若此值为预定的阈值以下,则决定为自身处理所述注册要求,若超过阈值,则决定为使其他处理装置110处理所述注册要求(分散负荷)。组织内管理系统150从管理下的各处理装置110定期收集处理负荷的信息(或成为求出处理负荷的材料的CPU负荷等信息)并进行记录,因而也可由组织内管理系统150使用所述信息来求出处理装置#1的处理负荷,并基于此而进行所述判定。图19的示例中,确定为使其他处理装置110处理所述注册要求。
(3)此时,判定使组织内网内的哪个处理装置110处理所述注册要求。此判定是基于组织内网内的各处理装置110的最新的负荷状况而进行。例如,按照越是最新的处理负荷低的处理装置110则越容易被选择的选择基准,选择处理注册要求的处理装置110。典型而言,处理注册要求的处理装置110的选择是由掌握着组织内网内的所有处理装置110的信息的组织内管理系统150来进行。但是这仅为一例。也可取而代之,处理装置#1自身从组织内管理系统150或组织内网内的其他各处理装置110获取处理负荷等信息,并基于这些信息来选择处理注册要求的处理装置110。图19的示例中,假设选择处理装置110-2(以下称为处理装置#2)。本示例中的处理装置#2基本上是未注册进行文档的注册要求的用户的处理装置,但假设进行文档的注册要求的用户的主装置存在多个时,有时也在多个主装置中,将未进行用户进行文档的注册要求的操作的主装置选择为处理装置#2。
(4)处理装置#1针对处理装置#2,将用于处理所述注册要求的全套数据打包,并经由组织内网转送。打包的数据中,包含eDoc化对象的文档、进行了注册要求的用户的用户ID等用户信息、对此文档赋予的DID(文档ID)、处理装置#1自身的处理装置ID、及所生成的eDoc的派送目标的信息等。对象文档的DID是接到注册要求的处理装置#1自身从上位装置(组织内管理系统150或管理系统200)分配给自己的DID的范围中选择。由此,将接到此文档的注册要求的处理装置#1所管理的DID赋予给eDoc。此外,DID的赋予或将数据打包并转送的处理的处理负荷远低于文档的编码或加密,因而即便是处理负荷高的处理装置#1,也无大幅迟滞地执行。
(5)处理装置#2使用从处理装置#1收到的数据包,将此包内的文档eDoc化。此eDoc化的处理中,使用包内的DID作为生成的eDoc的DID,并且进行与图8所示的处理中处理装置#1进行的步骤(5)-1及步骤(5)-2同样的处理。即,将文档转换成eDoc文件,并且生成元数据。
(6)处理装置#2在eDoc文件的生成完成时,生成与其生成处理有关的日志信息,并发送至组织内管理系统150。组织内管理系统150记录所接收的日志信息。此时,处理装置#2也可将所述步骤(5)中生成的元数据(包含DID)上传至组织内管理系统150。
(7)处理装置#2针对从处理装置#1收到的包中所含的派送目标信息所示的各派送目标,发送派送准备完成通知。此通知中包含DID或文档名。而且,也可将文档的缩略图像等包含在派送准备完成通知中。图示例中,向作为预设(default)的派送目标的、进行了文档注册要求的用户的阅览终端104,发送派送准备完成通知。
(8)然后,处理装置#2询问处理装置#1的负荷状况。此询问既可对处理装置#1直接进行,也可对从处理装置#1定期接到负荷状况的通知的组织内管理系统150进行。
(9)若处理装置#1的过负荷(负荷超过阈值的状态)状态解除,则响应所述(8)的询问,而从处理装置#1或组织内管理系统150,将告知过负荷解除的通知送至处理装置#2。
(10)收到过负荷解除的通知的处理装置#2将处理结果的包经由组织内网而送交至处理装置#1。确定作为送交目标的处理装置#1的信息(处理装置ID)包含在所述步骤(4)中从处理装置#1收到的包中。送交的处理结果的包中,包含所生成的eDoc文件、元数据等。当存储处理正常完成时,处理装置#1对处理装置#2发送存储完成的通知。接到存储完成的通知的处理装置#2将所述步骤(4)中从处理装置#1收到的处理对象的数据包、或以此为基础而生成并在步骤(10)中送交至处理装置#1的处理结果,从自身装置内的存储装置中删除。由此,根据来自用户的注册要求而生成的eDoc文件是仅由组织内网中的处理装置110中的处理装置#1保持。这样,图19所例示的处理中,维持用户在系统中注册的eDoc仅保存在此用户的主装置(本示例中为处理装置#1)中的结构。eDoc文件(若将接到派送的阅览终端除外)仅保存在系统内的主装置中,而不保存在其他处理装置110、其上位的组织内管理系统150或总体的管理系统200的任一者中。
(11)处理装置#1将从处理装置#2收到的处理结果包存储在自身装置内的文档DB116中。
(12)接着,处理装置#1针对发出文档的注册要求的作业终端102,发送用于与完成通知同步的信息。
(13)收到派送准备完成通知(所述(7))的阅览终端104的文档的列表画面中,追加所注册的文档作为新到的eDoc。用户在此列表画面进行与此新到的eDoc有关的阅览指示时,此指示到达用户当前所处的本地网络上的处理装置#1。若处理装置#1在此时刻从处理装置#2收到处理结果包并完成存储处理(所述(11)),则处理装置#1将此eDoc的信息与阅览终端104同步。即,处理装置#1将自身所具有的所述eDoc的本体文件和元数据的最新信息发送至阅览终端104。相对于此,当从阅览终端104接到阅览指示的时刻尚未从处理装置#2收到处理结果包时,此阅览指示所含的DID(阅览对象的eDoc的ID)的文档(eDoc)当前正委托处理装置#2进行eDoc化,因而处理装置#1也可将此阅览指示转发(redirect)给处理装置#2。此时,处理装置#2根据转发的阅览指示,将在此时刻已生成的eDoc(文件本体及元数据)提供给阅览终端104。
(14)而且,处理装置#1将处理结果包内的元数据与组织内管理系统150的本地元数据服务器156同步。
(B)对客装置提出文档的注册要求时
参照图20,说明向用户能临时操作的处理装置(称为针对此用户的“客装置”)要求文档注册时的处理流程。此外,设此用户的主装置为处理装置#1。
(1)本示例中,首先用户从自身的制作终端102作为客户而登入作为客装置的处理装置110-3(以下称为处理装置#3)。处理装置#3连接于与作为主装置的处理装置#1相同的组织内网,且处于相同的组织内管理系统150的管理下。此客户登入处理也可与图13的步骤(1)~步骤(4)-2的处理同样。图示例中假设客户登入成功。制作终端102向处理装置#3发送注册对象的文档,要求执行eDoc化(文档注册)。
(2)处理装置#3接到文档的注册要求时,与图19的步骤(2)同样地,处理装置#3自身或组织内管理系统150基于此处理装置#3的负荷状况,判定是处理装置#3处理所述注册要求,还是使其他处理装置110进行处理。图20的示例中,判定为使其他处理装置110处理所述注册要求。
(3)组织内管理系统150或处理装置#3与图19的步骤(3)同样地,判定使组织内网内的哪个处理装置110处理所述注册要求。此判定是基于组织内网内的各处理装置110的最新的负荷状况而进行。图20的示例中,设处理装置110-2(处理装置#2)被选择为注册处理要求的转送目标。
(4)处理装置#3与图19的步骤(4)同样地,针对处理装置#2,将用于处理所述注册要求的全套数据打包,并经由组织内网转送。
(5)处理装置#2与图19的步骤(5)同样地,使用从处理装置#3收到的数据包,将此包内的文档eDoc化。
(6)处理装置#2在eDoc文件的生成完成时,与图19的步骤(6)同样地,生成与此生成处理有关的日志信息,并发送至组织内管理系统150。此时,处理装置#2也可将所述步骤(5)中生成的元数据(包含DID)上传至组织内管理系统150。
(7)处理装置#2与图19的步骤(7)同样地,针对从处理装置#3收到的包中所含的派送目标信息所示的各派送目标,发送派送准备完成通知。图示例中,向作为预设的派送目标的进行了文档注册要求的用户的阅览终端104发送派送准备完成通知。
(8)然后,处理装置#2询问处理装置#3的负荷状况。此询问可对处理装置#3直接进行,也可对从处理装置#3定期接到负荷状况的通知的组织内管理系统150进行。
(9)若处理装置#3的过负荷状态解除,则响应所述(8)的询问,而从处理装置#3或组织内管理系统150将告知过负荷解除的通知送至处理装置#2。
(10)收到过负荷解除的通知的处理装置#2将所生成的eDoc文件和派送目标信息经由组织内网送交至处理装置#3。正常地完成了这些eDoc文件等的接收的处理装置#3将接收成功通知送回至处理装置#2。
(11)接着,处理装置#3针对发出了文档的注册要求的作业终端102,发送用于与完成通知同步的信息。
(12)收到派送准备完成通知(所述(7))的阅览终端104的文档的列表画面中,追加所注册的文档作为新到的eDoc。用户在此列表画面上进行与此新到的eDoc有关的阅览指示时,此指示到达用户当前所处的本地网络上的处理装置#3。若处理装置#3在此时刻已从处理装置#2收到处理结果的eDoc,则处理装置#3将此eDoc与阅览终端104同步。即,处理装置#3将自身所具有的所述eDoc的本体文件发送至阅览终端104。而且,处理装置#3也可在将eDoc的本体文件发送至阅览终端104后,将从处理装置#2收到的eDoc文件删除。此外,处理装置#3也可在将eDoc的本体文件发送至阅览终端104后,以后述的步骤(14)中收到表示处理装置#1存储了eDoc文件的信息作为条件,将从处理装置#2收到的eDoc文件删除。相对于此,当从阅览终端104接到阅览指示的时刻尚未从处理装置#2收到处理结果包时,此阅览指示所含的DID(阅览对象的eDoc的ID)的文档(eDoc)当前正委托处理装置#2进行eDoc化,因而处理装置#3也可将所述阅览指示转发至处理装置#2。
(13)处理装置#2在步骤(5)的eDoc化处理完成时,向进行了注册要求的用户的主装置(处理装置#1)发送处理结果包。此时,处理装置#2例如从组织内管理系统150的本地用户ID服务器152(参照图12)中保持的所述用户的信息中读出“既定的处理装置ID”,并对此ID所示的处理装置#1发送处理结果包。处理结果包中至少包含处理装置#2所生成的eDoc文件。
(14)处理装置#1将从处理装置#2收到的处理结果包存储到自身装置内的文档DB116中。当此存储处理正常完成时,处理装置#1对处理装置#2发送存储完成的通知。
处理装置#2接到此存储完成的通知、与针对所述步骤(10)中的数据发送的来自处理装置#3的接收成功通知两者时,将所述步骤(4)中从处理装置#3收到的处理对象的数据包、或以此为基准而生成并在步骤(13)中发送至处理装置#1的处理结果,从自身装置内的存储装置中删除。由此,根据来自用户的注册要求而生成的eDoc文件是仅由组织内网中的处理装置110中的处理装置#1保持。这样,图20所例示的处理中,维持用户注册在系统中的eDoc仅保存在此用户的主装置(本示例中为处理装置#1)中的结构。
(15)而且,处理装置#1将处理结果包内的元数据与组织内管理系统150的本地元数据服务器156同步。
(C)注册要求的转送目标的处理装置的选择
所述处理例(A)及(B)中,关于步骤(3)中的、转送注册要求的转送目标的其他处理装置110(以下称为“转送目标装置”)的选择,说明作基于组织内网上的各处理装置110的处理负荷来进行,但也可为了此选择而进一步考虑处理负荷以外的信息。例如,转送目标装置也可从编码处理软件及加密处理软件与进行了注册要求的用户的主装置为相同版本的处理装置110中选择(例如选择其中处理负荷最低者)。由此,由转送目标装置生成的eDoc等同于由最初接到注册要求的处理装置#1进行了eDoc化。而且,也可考虑到表示各处理装置110的安全方面的水平等的信息(例如用于eDoc生成的加密软件的版本、所使用的加密密钥的密钥长)而选择转送目标装置。
以上,对本发明的实施方式进行了说明。以上例示的制作终端102、阅览终端104、处理装置110、本地用户ID服务器152、本地DID服务器154、本地元数据服务器156、用户ID服务器210、DID服务器220、元数据服务器230、处理装置管理服务器240等各装置是通过使计算机执行表示所述这些各装置的功能的程序而实现。此处,计算机例如具有下述电路结构,即:作为硬件的CPU等微处理器、控制随机存取存储器(RAM)及只读存储器(ROM)等存储器(一次存储)、闪速存储器或SSD(固态驱动器)、HDD(硬盘驱动器)等固定存储装置的控制器、各种I/O(输入输出)接口、进行用于与本地局域网等网络连接的控制的网络接口等经由例如总线等而连接。描述了这些各功能的处理内容的程序经由网络等而保存在闪速存储器等固定存储装置中,并安装在计算机中。通过由RAM读出固定存储装置中存储的程序并由CPU等微处理器执行,而实现以上所例示的功能模块群。
Claims (7)
1.一种文档管理系统,包含:
管理装置;及
至少两个处理装置,针对每个处理装置,确定能用对应处理装置进行文档注册的用户,
所述管理装置包含:
存储部件,存储从所述至少两个处理装置中的任一处理装置接收的经保护文档的元数据;及
获取部件,获取至少两个处理装置的处理负荷的信息,
所述至少两个处理装置包括第一处理装置及第二处理装置,
所述第一处理装置包含:
积蓄部件,积蓄能用所述第一处理装置进行文档注册的用户的信息;
发送部件,当从所述用户接收到文档的注册要求时,若所述第一处理装置的处理负荷大于阈值,则针对基于所述管理装置获取的至少一个所述处理装置的处理负荷的信息而决定的所述第二处理装置,发送所述文档及所述第一处理装置的识别信息;及
接收部件,从所述第二处理装置接收由所述第二处理装置根据所述识别信息所发送的对所述文档进行处理所生成的所述经保护文档。
2.根据权利要求1所述的文档管理系统,其中,所述第二处理装置等待所述第一处理装置的处理负荷成为第二阈值以下,将所述经保护文档送交至所述第一处理装置。
3.根据权利要求2所述的文档管理系统,其中,所述第二处理装置将所述经保护文档送交至所述第一处理装置后,将所述经保护文档从所述第二处理装置内的存储装置中删除。
4.根据权利要求1至3中任一项所述的文档管理系统,其中,所述第二处理装置为与所述第一处理装置不同的处理装置,且包含:
发送部件,当所述用户使用允许所述用户临时进行操作的第三处理装置进行了文档注册的操作时,将所述经保护文档发送至所述第三处理装置,并且对所述第一处理装置也发送所述经保护文档。
5.根据权利要求4所述的文档管理系统,其中,所述第二处理装置和所述第三处理装置在已将所述经保护文档发送到所述第一处理装置时,将所述经保护文档从各自的处理装置内的存储装置中删除。
6.根据权利要求1至5中任一项所述的文档管理系统,其中,所述第二处理装置是从将所述文档转换成所述经保护文档的转换软件的版本与所述第一处理装置持有的所述转换软件的版本相同的所述处理装置中,基于所述处理负荷的信息而决定。
7.根据权利要求1至6中任一项所述的文档管理系统,其中,所述注册要求中,包含表示与所述文档对应的所述经保护文档的派送目标的派送目标信息,
所述第一处理装置的所述发送部件针对所述第二处理装置,除了发送所述文档和所述第一处理装置的识别信息以外,还发送所述派送目标信息,
所述第二处理装置在生成了所述经保护文档时,将包含确定所述经保护文档的文档识别信息的通知发送至所述派送目标信息所示的所述派送目标。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018-177656 | 2018-09-21 | ||
| JP2018177656A JP6708239B2 (ja) | 2018-09-21 | 2018-09-21 | ドキュメント管理システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110941848A true CN110941848A (zh) | 2020-03-31 |
Family
ID=69883439
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910176254.1A Pending CN110941848A (zh) | 2018-09-21 | 2019-03-08 | 文档管理系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11010331B2 (zh) |
| JP (1) | JP6708239B2 (zh) |
| CN (1) | CN110941848A (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7404715B2 (ja) * | 2019-08-30 | 2023-12-26 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及びプログラム |
| US11290253B2 (en) * | 2020-02-14 | 2022-03-29 | Gideon Samid | Document management cryptography |
Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005149423A (ja) * | 2003-11-19 | 2005-06-09 | Hitachi Ltd | 情報処理システム及び情報処理装置 |
| CN1815946A (zh) * | 2005-02-02 | 2006-08-09 | 华为技术有限公司 | 一种实现数字信息安全存取的方法 |
| US20060206498A1 (en) * | 2005-03-10 | 2006-09-14 | Kabushiki Kaisha Toshiba | Document information management apparatus, document information management method, and document information management program |
| CN1873613A (zh) * | 2005-05-30 | 2006-12-06 | 英业达股份有限公司 | 均衡负载的文件预装系统及方法 |
| JP2007199863A (ja) * | 2006-01-24 | 2007-08-09 | Sharp Corp | 通信プログラム、記録媒体、通信方法および通信端末装置 |
| US20080243836A1 (en) * | 2007-03-30 | 2008-10-02 | Fujitsu Limited | Document retrieval system, document number subsequence acquisition apparatus, and document retrieval method |
| CN101364221A (zh) * | 2007-08-07 | 2009-02-11 | 富士施乐株式会社 | 文档管理装置、文档管理系统和方法 |
| WO2009042834A1 (en) * | 2007-09-27 | 2009-04-02 | Unisys Corporation | System and method for providing web services with load balancing |
| US20110238682A1 (en) * | 2010-03-25 | 2011-09-29 | Canon Kabushiki Kaisha | Document management system and method |
| CN103095806A (zh) * | 2012-12-20 | 2013-05-08 | 中国电力科学研究院 | 一种面向大电网的实时数据库系统的负载均衡管理系统 |
| US20150178365A1 (en) * | 2013-12-19 | 2015-06-25 | Stretchr, Inc. | System And Method For Implementing Nested Relationships Within A Schemaless Database |
| CN105005611A (zh) * | 2015-07-10 | 2015-10-28 | 中国海洋大学 | 一种文件管理系统及文件管理方法 |
| US9596298B1 (en) * | 2013-12-31 | 2017-03-14 | Google Inc. | Load balancing in a distributed processing system |
| CN107547653A (zh) * | 2017-09-11 | 2018-01-05 | 华北水利水电大学 | 一种分布式文件存储系统 |
| US20180268148A1 (en) * | 2017-03-17 | 2018-09-20 | Fuji Xerox Co., Ltd. | Management apparatus and document management system |
| US20180268155A1 (en) * | 2017-03-17 | 2018-09-20 | Fuji Xerox Co., Ltd. | Document management system and processing apparatus |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5509074A (en) | 1994-01-27 | 1996-04-16 | At&T Corp. | Method of protecting electronically published materials using cryptographic protocols |
| JP4205179B2 (ja) | 1996-02-16 | 2009-01-07 | 富士ゼロックス株式会社 | 文書管理システム |
| US10341353B1 (en) * | 2015-06-04 | 2019-07-02 | Wymsical, Inc. | System and method for issuing, authenticating, storing, retrieving, and verifying documents |
| JP6900839B2 (ja) * | 2017-08-25 | 2021-07-07 | 株式会社リコー | 機器システム、サーバ、データ処理方法 |
-
2018
- 2018-09-21 JP JP2018177656A patent/JP6708239B2/ja not_active Expired - Fee Related
-
2019
- 2019-01-31 US US16/262,951 patent/US11010331B2/en active Active
- 2019-03-08 CN CN201910176254.1A patent/CN110941848A/zh active Pending
Patent Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005149423A (ja) * | 2003-11-19 | 2005-06-09 | Hitachi Ltd | 情報処理システム及び情報処理装置 |
| CN1815946A (zh) * | 2005-02-02 | 2006-08-09 | 华为技术有限公司 | 一种实现数字信息安全存取的方法 |
| US20060206498A1 (en) * | 2005-03-10 | 2006-09-14 | Kabushiki Kaisha Toshiba | Document information management apparatus, document information management method, and document information management program |
| CN1873613A (zh) * | 2005-05-30 | 2006-12-06 | 英业达股份有限公司 | 均衡负载的文件预装系统及方法 |
| JP2007199863A (ja) * | 2006-01-24 | 2007-08-09 | Sharp Corp | 通信プログラム、記録媒体、通信方法および通信端末装置 |
| US20080243836A1 (en) * | 2007-03-30 | 2008-10-02 | Fujitsu Limited | Document retrieval system, document number subsequence acquisition apparatus, and document retrieval method |
| CN101364221A (zh) * | 2007-08-07 | 2009-02-11 | 富士施乐株式会社 | 文档管理装置、文档管理系统和方法 |
| WO2009042834A1 (en) * | 2007-09-27 | 2009-04-02 | Unisys Corporation | System and method for providing web services with load balancing |
| US20110238682A1 (en) * | 2010-03-25 | 2011-09-29 | Canon Kabushiki Kaisha | Document management system and method |
| CN103095806A (zh) * | 2012-12-20 | 2013-05-08 | 中国电力科学研究院 | 一种面向大电网的实时数据库系统的负载均衡管理系统 |
| US20150178365A1 (en) * | 2013-12-19 | 2015-06-25 | Stretchr, Inc. | System And Method For Implementing Nested Relationships Within A Schemaless Database |
| US9596298B1 (en) * | 2013-12-31 | 2017-03-14 | Google Inc. | Load balancing in a distributed processing system |
| CN105005611A (zh) * | 2015-07-10 | 2015-10-28 | 中国海洋大学 | 一种文件管理系统及文件管理方法 |
| US20180268148A1 (en) * | 2017-03-17 | 2018-09-20 | Fuji Xerox Co., Ltd. | Management apparatus and document management system |
| US20180268155A1 (en) * | 2017-03-17 | 2018-09-20 | Fuji Xerox Co., Ltd. | Document management system and processing apparatus |
| CN107547653A (zh) * | 2017-09-11 | 2018-01-05 | 华北水利水电大学 | 一种分布式文件存储系统 |
Non-Patent Citations (1)
| Title |
|---|
| 王娟;冯丹;王芳;廖振松;: "一种元数据服务器集群的负载均衡算法", 小型微型计算机系统, no. 04 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200097443A1 (en) | 2020-03-26 |
| JP6708239B2 (ja) | 2020-06-10 |
| US11010331B2 (en) | 2021-05-18 |
| JP2020047222A (ja) | 2020-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10917408B2 (en) | Secure document management through verification of security states of information processing apparatuses in peer-to-peer transmission of encrypted documents | |
| CN108628917B (zh) | 文档管理系统和管理设备 | |
| AU2019222893B2 (en) | Document management system and processing apparatus | |
| JP6819748B2 (ja) | 情報処理装置、情報処理システム及びプログラム | |
| AU2019261686B2 (en) | Management apparatus and document management system | |
| JP2018156410A (ja) | 情報処理装置及びプログラム | |
| CN110941848A (zh) | 文档管理系统 | |
| JP6849018B2 (ja) | ドキュメント管理システム | |
| JP6777213B2 (ja) | 情報処理装置及びプログラム | |
| JP6733791B2 (ja) | 管理装置及び処理装置 | |
| JP6819734B2 (ja) | 情報処理装置及び利用端末 | |
| JP6791308B2 (ja) | ドキュメント管理システム、及び管理装置 | |
| CN110741371B (zh) | 信息处理设备、保护处理设备和使用终端 | |
| JP2019207732A (ja) | ドキュメント管理システム、管理装置及び処理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| CB02 | Change of applicant information |
Address after: No. 3, chiban 9, Dingmu 7, Tokyo port, Japan Applicant after: Fuji film business innovation Co.,Ltd. Address before: No. 3, chiban 9, Dingmu 7, Tokyo port, Japan Applicant before: Fuji Xerox Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |