JP2000196590A - 暗号化電子デ―タのコンテントを分析する方法 - Google Patents

暗号化電子デ―タのコンテントを分析する方法

Info

Publication number
JP2000196590A
JP2000196590A JP11365274A JP36527499A JP2000196590A JP 2000196590 A JP2000196590 A JP 2000196590A JP 11365274 A JP11365274 A JP 11365274A JP 36527499 A JP36527499 A JP 36527499A JP 2000196590 A JP2000196590 A JP 2000196590A
Authority
JP
Japan
Prior art keywords
content
data
encrypted
security provider
document
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP11365274A
Other languages
English (en)
Inventor
S Harris Andrew
エス. ハリス アンドリュー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CONTENT TECHNOLOGIES Ltd
Original Assignee
CONTENT TECHNOLOGIES Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CONTENT TECHNOLOGIES Ltd filed Critical CONTENT TECHNOLOGIES Ltd
Publication of JP2000196590A publication Critical patent/JP2000196590A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 【課題】 暗号化のために必要なプライベート暗号情報
にアクセスすることなく、暗号化データのコンテントを
分析する。 【解決手段】 非暗号化に必要なプライベート暗号情報
にアクセスせずに、暗号化データのコンテントを分析す
る。暗号化データの非暗号化コピーにアクセスすること
ができるように、プライベート暗号情報にアクセスする
セキュリティプロバイダと対話する。配布またはアクセ
ス予定の電子データの指示を受け取ると、データが暗号
化されているか否かを判定する。暗号化されている場合
は、セキュリティプロバイダと対話して前記データの非
暗号化コピーを受け取る。そして、暗号化コピーのコン
テントを分析して、コンテントがコンプロマイズドデー
タか否かを判定する。必要な場合は、非暗号化データを
モディファイし、コンプロマイズドデータを削除し、適
正でないデータのアクセスや配布を阻止する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、電子データを分析
することに関し、特に、ユーザによりアクセスされる
か、ユーザに配布される前に、暗号化電子データを分析
することに関する。
【0002】
【従来の技術】情報が電子形態でストアされ配布されれ
ばされる程、このような電子データのコンテントをアク
セス可能にすることがますます重要になっている。電子
形態としては、例えば、webページとコンピュータファ
イルのような文書と、emailと、webページと、ボイスメ
ールと、ポケットベルメッセージのような一人の送り側
から一人以上の受取側への通信がある。このような電子
データのコンテントへのアクセスはさまざまな理由から
有用である。これらの理由としては、当該データのバッ
クアップおよびアーカイブのようなルーチン活動を行う
ことと、当該コンテントがコンプロマイズドデータ(co
mpromised data)(すなわち、アクセスまたは配布が適
正でないデータ)を含むか否かを判定することと、種々
のタイプの情報をデータ(例えば、法的否認またはデジ
タル透かし)に付加することがある。
【0003】例えば、個人または組織の間で行われる通
信には、コンプロマイズドデータ、例えば、秘密情報
(例えば、トレードシークレットまたはプライベート情
報)と、攻撃的情報(例えば、冒涜と、ポルノと、過激
な中傷と、誹謗と、求められていない広告と、等々)
と、機能的能力を有するデータ(例えば、コンピュータ
ウィルスと、JAVA(商標)アプレットまたはACTIVEX
(商標)コントロールのようなモバイルコードと、JAVA
SCRIPT(商標)またはVISUAL BASIC(商標)を使用する
ようなスクリプトまたはマクロ、等々)が含まれる可能
性がある。
【0004】そのようなコンプロマイズドデータが通信
に存在する場合には、当該データを、当該通信が配布さ
れる前に除去するか、当該通信の配布を完全に阻止する
ことが、望ましい。文書がストアされると、コンプロマ
イズドデータを検出し削除するか、コンテントを分析し
て情報の精度または完全性を保証することは、おそらく
望ましい。したがって、個人であれ、組織であれ、電子
データのコンテントにアクセスできる能力を必要とする
が、このことは、データが配布されているか、データが
アクセス可能なロケーションにストアされているかに関
係しない。
【0005】配布された通信が通過するコンテント分析
ゲートウェイ(例えば、Content Technologies, Inc.の
MINESWEEPER(登録商標))は、電子データのコンテン
トへアクセスする必要があるシステムの1種である。こ
のようなコンテント分析ゲートウェイは、種々のカスタ
マイズが可能な形で電子通信を分析し、通信のコンテン
トが適正であるかどうかを判定することができる。
【0006】しかし、セキュリティに対する必要性が増
加したため、このようなシステムに対する問題が生じて
いる。具体的には、指定された受取人だけに、通信のコ
ンテントが使用可能になり、しかも、、許可されたユー
ザだけに、ストアされた文書のコンテントが使用可能に
なることを保証するため、個人および組織は、多くの場
合、暗号を使用している。暗号機構は種々の方法でイン
プリメントすることができる。このような方法として
は、1つ以上のパスワードを使用したり、対称暗号キー
(すなわち、文書の暗号化と非暗号化の両方に同一のキ
ーが使用される)を使用したり、非対称パブリックキー
/プライベートキーペア暗号化(すなわち、暗号化キー
と非暗号化キーが異なる)を使用したりする方法があ
る。
【0007】しかし、残念なことに、電子データが暗号
化されると、暗号化された電子データのコンテントは、
データの非暗号化に必要なプライベート暗号情報(例え
ば、許可されたユーザのパスワードか、通信受取人のプ
ライベート暗号化キー)がなければアクセスできない。
さらに、このようなプライベート暗号情報をコンテント
分析システムに供給するのは、おそらく望ましくないで
あろう。というのは、システムへのアクセス権を有する
全てのユーザ(例えば、組織の内部システムアドミニス
トレータ)が、暗号化された全データへアクセスするこ
とになるからである。したがって、プライベート暗号情
報へのアクセスは、綿密に監視されなければならない。
【0008】パブリックキー/プライベートキーペア暗
号化(「パブリックキー暗号化」)は、他の暗号方法に
比して種々の利点があり、特に、プライベートキー情報
の防護の点では、種々の利点がある。例えば、パブリッ
クキー暗号化の利点は、1つに、各ユーザが自分のプラ
イベートキーを綿密に防護するが、ユーザのパブリック
キーを広範囲に配布できることである。
【0009】このようにすると、暗号化されたデータへ
のアクセスを必要とする各ユーザに、プライベート暗号
情報(例えば、パスワードまたはペア暗号キー)を、防
護された形で送信する必要がなくなる。他方、メッセー
ジの送り側は、受取人のパブリックキーを使用して、メ
ッセージを暗号化することができ、得られた暗号化メッ
セージは、受取人が自分のプライベートキーを使わない
限り非暗号化できない。あるいはまた、メッセージの送
り側は自分のプライベートキーを使用してメッセージを
暗号化することができ、どのユーザでも、送り側のパブ
リックキーのみを使用して、暗号化メッセージを非暗号
化することができる。このようにすると、メッセージが
実際に当該送り側から来たことが確認され、したがっ
て、これは、メッセージ送信者の一致を確認することが
できる、ある種の「デジタル署名」になる。
【0010】パブリックキー暗号化も、複数の受取人の
ためにメッセージを暗号化するとき、効率的に使用する
ことができる。このようなメッセージ配布方法の1つと
して、受取人ごとに個別にメッセージのコピーを作成
し、得られたコピーをその受取人のパブリックキーを使
用して暗号化する方法がある。
【0011】あるいはまた、より空間効率のよい方法と
しては、ランダムに生成された対称キー、すなわち、
「セッションキー」といわれるキーを使用して暗号化さ
れたメッセージの単一のコピーを作成する方法がある。
セッションキーの個別のコピー(典型的には、サイズが
メッセージよりはるかに小さい)は、受取人ごとに作成
することができ、その受取人のパブリックキーを使用し
て暗号化することができる。このスキームでは、暗号化
メッセージおよび暗号化セッションキーの受取人は、自
分のプライベートキーを使ってセッションキーの適正な
コピーを非暗号化することができ、その後、非暗号化セ
ッションキーを使用してメッセージを非暗号化すること
ができる。文書は、文書の非暗号化をオーソライズされ
たユーザごとに暗号化されたセッションキーのコピーと
ともに、暗号化形式で、同様に、ストアすることができ
る。
【0012】組織はパブリックキー暗号化により1つ以
上のコーポレートキーも作成することができる。また、
組織は、組織内で暗号化されたデータに、少なくとも1
つのコーポレートプライベートキーでアクセスすること
もできる。このアクセスは、例えば、データの暗号化に
使用されるパブリックキーのうちの1つと対応するコー
ポレートパブリックキーを使用して行うことができる。
コーポレートプライベートキーへのアクセス権を有する
個人またはコンピュータプログラム、例えば、会社社長
か、システムアドミニストレータか、アーカイブプログ
ラムは、プライベートキーを使用して、暗号化データを
非暗号化することができる。
【0013】このようなコーポレートキーペアを用いる
ことができるのは、他のオーソライズされたユーザまた
は受取人の手があいていないときにデータを回復するた
めと、コーポレートデータのバックアップおよびアーカ
イブのようなルーチン管理活動を行うためである。この
ような方法により、内部ユーザのプライベート暗号情報
へのアクセスを必要とせずに、データへのアクセスを保
証することができる。暗号化情報へのアクセスのための
他の関連する代替例てしは、キー寄託とキー回復スキー
ムがある。
【0014】パブリックキー暗号化の例を図1を参照し
て検討する。図1の例では、ユーザ1が種々の受取人に
文書Z(例えば、emailメッセージ)を配布しようとし
ている。セキュリティプロバイダ(SP)システム11
0のローカルコピーが、送信される電子文書の暗号化
と、受信またはアクセスされる電子文書の非暗号化のた
めに、ユーザ1(115)によって使用される。このよ
うなSPシステムのうち市販のものとしては、Sapher S
ervers LimitedのSECRETS FOR WINDOWS(登録商標)
と、Network Associates Inc.のPGP PERSONAL PRIVACY
(登録商標)と、Entrust Technologies Ltd.のENTRUST
/PKI(登録商標)がある。SPシステムは、典型的に
は、プライベート暗号情報をストアするか、プライベー
ト暗号情報にアクセスするのであるから、このようなシ
ステムへのアクセスは綿密に制御され、当該システムに
対しては、当該システムによって提供されるセキュリテ
ィ度を示す種々のセキュリティ等級を(例えば、政府に
より)認可することができる。
【0015】ユーザ1は、非暗号化(すなわち、現在は
暗号化されていない)文書Zと、ユーザ2および3の受
取人リストとをSPシステム110に供給して(16
0)開始する。この例では、SPシステム110は、ま
ず、文書Zを一方向ハッシング関数(例えば、Secure H
ashing Algorithm(SHA)またはチェックサム関数)
に通して、その現在の形の文書Zの識別子を作る。文書
Zが後にモディファイされた場合、モディファイされた
文書Zに関して生成される新しい識別子は、通常は、元
の識別子と異なるので、文書がモディファイされたこと
を立証することができる。識別子が作られた後に、SP
システム110はユーザ1のプライベートキーを使用し
て識別子を暗号化し、文書Zに付随するデジタル署名を
作成する。デジタル署名を作成した後に、SPシステム
110は、次に、種々のアルゴリズムのうちの1つ(例
えば、Triple-DES)を使用して、ランダムな対称セッシ
ョンキーを生成し、その後、そのセッションキーを使用
して、文書Zとデジタル署名を暗号化する。最後に、S
Pシステム110は、指定された受取人のそれぞれのパ
ブリックキーを取り出し、受取人ごとに、その受取人の
パブリックキーを用いて、セッションキーのコピーを暗
号化する。さらに、ユーザ1が、後にアクセスするため
に暗号化されたフォーマットで(例えば、ストレージシ
ステムがセキュアでない場合)、文書Zのコピーをスト
アすることを望む場合には、SPシステム110はユー
ザ1のためにセッションキーのコピーを暗号化すること
もでき、また、ユーザ1のパブリックキーのみを用いて
暗号化された文書Zの追加コピーを作成することができ
る。
【0016】したがって、文書Zが暗号化された後は、
受取人のうちの1人のプライベートキーにアクセスする
者のみが、セッションキーのコピーのうちの1つを非暗
号化することができ、その後、非暗号化されたセッショ
ンキーを使用して、文書Zとデジタル署名を非暗号化す
ることができる。デジタル署名を取得したときは、ユー
ザ1のパブリックキーを使用して、当該文書がユーザ1
によって送られたことを確認することができる。さら
に、デジタル署名を暗号化することによって、文書Zの
元の識別子にアクセスすることができる。受取人によっ
て取り出された文書は、原始に使用されたものと同一の
一方向ハッシングアルゴリズムに通され、当該文書の受
信バージョンの識別子が生成される。新たに生成された
識別子が、ユーザ1のデジタル署名からの原始の識別子
と一致する場合は、受取人は、原始の署名が生成された
後に文書のコンテントがモディファイされていないこと
を、確信することができる。
【0017】SPシステム110は、文書Zの暗号化バ
ージョンを作成した後に、文書の暗号化バージョンと、
セッションキーの暗号化コピーを、ユーザ3(135)
およびユーザ4(145)に配布する(164)ため、
ユーザ1に返す(162)。あるいはまた、SPシステ
ム110は、配布のためにユーザ1に文書を返さずに、
自分で文書を配布することもできる。ユーザ1は文書Z
の非暗号化バージョンをユーザ2(125)にも送る
(166)。図1から分かるように、ユーザ1と、ユー
ザ2と、ユーザ3は、全員、ある組織の内部のユーザで
あり、ユーザ4は当該組織の外部のユーザである。
【0018】非暗号化バージョンをユーザ2へ送ること
は、種々の理由で行われる。このような理由としては、
例えば、セキュアな内部のネットワークにより、メッセ
ージが内部ユーザに暗号化せずに送られるという理由
か、SPシステム110がユーザ2のパブリックキーを
持っていないという理由か、ユーザ2がSPシステムに
アクセスして文書の非暗号化を許可するアクセス権がな
いという理由がある。
【0019】ユーザ3が暗号化文書Zを受け取ったと
き、当該文書はユーザ3のローカルSPシステム130
に転送される(172)。既に説明したように、ローカ
ルSPシステム130は、ユーザ3のプライベートキー
とユーザ1のパブリックキーを使用して、受信した文書
を非暗号化し、確認し、その後、非暗号化バージョンを
ユーザ3に返す(174)。ユーザ4はローカルSPシ
ステム(140)を用いて同様の処理を行う。
【0020】ローカルSPシステムは文書Zの保護を支
援する追加的な活動もパフォームすることもできる。例
えば、SPシステムは、暗号化に使用されるパブリック
キーに、コーポレートパブリックキーを自動的に含める
ように構成することができる。しかし、暗号化メカニズ
ムが適正に動作することを保証するため、システムアド
ミニストレータ(155)のような別のユーザが、ロー
カルSPシステムにアクセスする(182および18
4)ことが必要になる。SPシステムへのこのようなア
クセスにより、システムアドミニストレータは、各SP
システムが他の全内部ユーザのためのパブリックキーお
よびコーポレートキーを持つことができることを保証す
ることができ、同様に、各SPシステムがそれらのキー
を使用するように適正に構成されていることを保証でき
る。あるいはまた、全ての内部ユーザが、各内部ユーザ
のためのプライベートキー情報を含む単一のマスタSP
システムを共用することができ、そうすると、システム
アドミニストレータは1つのSPシステムを保守するだ
けでよい。
【0021】パブリックキー暗号化には利点もあれば弱
点もある。具体的には、あるユーザ(例えば、システム
アドミニストレータ)に、別のユーザのプライベートキ
ーへのアクセス権を与える必要がある場合には、この暗
号化スキームは脆弱になる。悪意のシステムアドミニス
トレータにそのようなアクセス権が与えられると、この
悪意のシステムアドミニストレータは自分がアクセスで
きるプライベートキーのユーザの全文書のコンテントを
非暗号化しアクセスすることができる。
【0022】
【発明が解決しようとする課題】したがって、既に説明
したように、組織および個人は電子データのコンテント
にアクセスし分析する能力が必要である。しかし、その
ような組織および個人は、ストアされ配布されるデータ
の強い暗号防護を与える能力もおそらく必要になる。S
Pシステムに、内部セキュリティメカニズムによるプラ
イベート暗号情報を任せることはできるが、他の種類の
システム、例えば、コンテント分析システムまたはバッ
クアップ/アーカイブプログラムには、任せることはで
きない。ところが、これらの他のシステムは、おそら
く、暗号化データのコンテントへのアクセスを必要とす
る。したがって、組織および個人は、暗号化データのコ
ンテントにアクセスする必要性と、プライベート暗号情
報を防護して暗号スキームの保全性を防護する必要性と
のトレードオフに直面する。
【0023】
【課題を解決するための手段】本発明の実施の形態の中
には、暗号化のために必要なプライベート暗号情報にア
クセスすることなく、暗号化データのコンテントを分析
する方法およびシステムを提供するものもある。具体的
に言うと、本発明のコンテントプロセッサ(CP)シス
テムと、プライベート暗号情報へアクセスするセキュリ
ティプロバイダ(SP)システムとの対話は、CPシス
テムが暗号化データの非暗号化コピーにアクセスすると
いう方法で行われる。この方法では、SPシステムは、
プライベート暗号情報にアクセスするのに必要な信用を
デリゲートせずに、非暗号化データにアクセスするのに
必要な信用を、オーソライズされたCPシステムにデリ
ゲートすることができる。CPシステムとSPシステム
の間の対話は、全て、Isolation APIを介して行われ
る。Isolation APIは、オーソライズされたCPシステ
ムのみが非暗号化データを獲得することを保証し、SP
システムからアクセス可能なプライベート暗号情報が暴
かれないことを保証している。
【0024】本発明の一実施の形態には、コンピュータ
によりインプリメントされた方法が含まれている。この
方法によれば、プライベート暗号情報にアクセスせず
に、プライベート暗号情報によりデータのコンテントに
アクセスさせる方法で暗号化されたデータのコンテント
にアクセスされる。
【0025】この方法には、コンピュータによりインプ
リメントされたセキュリティプロバイダであって、プラ
イベート暗号情報にアクセスするセキュリティプロバイ
ダとの信用を確立するステップと、暗号化データの指示
を受け取るステップと、データのコンテントへのアクセ
スを、ユーザ入力により行なわないステップであって、
暗号化データをセキュリティプロバイダに通知するとと
もに、セキュリティプロバイダから、信用に基づいて、
コンテントにアクセス可能な暗号化データの非暗号化コ
ピーを受け取ることにより行うステップとが含まれてい
る。この方法では、当該データのコンテントへアクセス
が、プライベート暗号情報にアクセスせずに、行われ
る。
【0026】代替実施の形態では、暗号化電子メッセー
ジのコンテントを分析する方法に、メッセージアナライ
ザとセキュリティプロバイダとの対話が含まれている。
メッセージアナライザは、メッセージが暗号化されてい
る間はメッセージのコンテントがメッセージアナライザ
からアクセス不能である、送信者から受取人へ配布され
るメッセージの暗号化されたコピーを受け取ることによ
ってコンテントを分析する。
【0027】メッセージアナライザは、メッセージアナ
ライザの一致を確認するための一致識別子を、暗号化コ
ピーをプライベート暗号情報を使用して非暗号化する能
力を有するセキュリティプロバイダに送る。
【0028】次に、暗号化コピーがセキュリティプロバ
イダに送られ、メッセージの非暗号化コピーがセキュリ
ティプロバイダから受け取られる。そこで、メッセージ
アナライザは、非暗号化コピーのコンテントを分析し
て、受取人へのメッセージの配布が許容可能であるか否
かを判定することができる。当該配布が許容可能である
と判定されると、メッセージが受取人に配布される。セ
キュリティプロバイダはメッセージアナライザから一致
識別子と暗号化コピーを受け取る。セキュリティプロバ
イダは、一致識別子によってメッセージアナライザの識
別が確認されると、メッセージの暗号化コピーをプライ
ベート暗号情報を使用して非暗号化し非暗号化コピーを
作る。したがって、メッセージアナライザはプライベー
ト暗号情報にアクセスせずにメッセージのコンテントに
アクセスすることができる。
【0029】
【発明の実施の形態】本発明に係る実施の形態では、非
暗号化に必要なプライベート暗号情報にアクセスせず
に、暗号化データのコンテントを分析する方法およびシ
ステムが提供される。特に、本願は発明に係るコンテン
トプロセッサ(Content Processor;CP)システム
は、暗号化データの非暗号化コピーにアクセスできるよ
うに、プライベート暗号情報を有するセキュリティプロ
バイダ(Security Provider;SP)システムと対話す
る。この方法では、プライベート暗号情報にアクセスす
るために必要な信用(trust)をデリゲートせずに、S
Pシステムは、非暗号化データにアクセスするのに必要
な信用を、オーソライズされたCPシステムにデリゲー
トすることができる。CPとSPシステムの間の対話
は、Isolation APIを介して行われる。このCPシステ
ムとSPシステムとの対話により、オーソライズされた
CPシステムのみが非暗号化データを獲得することが保
証され、SPシステムにアクセスすることができるプラ
イベート暗号情報は暴露されないことが保証される。
【0030】配布されるかアクセスされる電子データの
指示を、CPシステムが受け取ると、CPシステムは、
まず、そのデータが暗号化されたか否かを判定する。幾
つかの例では、CPシステムは、組織のメンバ間の通信
を全てゲートウェイを通過させる編成に対して、このゲ
ートウェィとしてアクトする。
【0031】このCPシステムによりデータが暗号化さ
れていると判定されると、このCPシステムは、当該デ
ータの非暗号化データを獲得するため、Isolation API
を介して、SPシステムと対話する。幾つかの実施の形
態では、このCPシステムは、自分自身が、非暗号化デ
ータを受け取るようにオーソライズされたかどうかを確
認するための識別子も、SPシステムに提供する。一
度、CPシステムが、原始に受け取った当該データの非
暗号化コピーか、SPシステムからの当該データの非暗
号化コピーのいずれかを持つと、CPシステムはこの非
暗号化コピーのコンテントを分析し、当該コンテントが
適正か否か、例えば、当該コンテントが、コンプロマイ
ズドデータを有するか否かを判定する。必要な場合は、
CPシステムは非暗号化データを修正して不適正な情報
を削除する。
【0032】あるいはまた、このCPシステムはコンテ
ントに不適正な情報を配布したりアクセスしたりできな
いようにすることができる。その上、このCPシステム
は、情報、例えば、当該CPシステムによる論理ディス
クレマ(discalimer)または承認(approval)指示を付
加して、当該データを修正することができる。この非暗
号化データが修正されなかった場合は、CPシステムは
(暗号化されるか、非暗号化された)オリジナルのデー
タを配布するかアクセスすることができる。逆に、この
非暗号化データが修正された場合は、このCPシステム
は、非暗号化の形式で、この修正されたデータを配布ま
たは供給するか、あるいは、暗号化のために、当該修正
されたデータをSPシステムに供給することにより、ま
ず当該データを暗号化する。
【0033】次に、CPシステムのオペレーションを詳
細に説明する。システム・アドミニストレータのような
ユーザは、暗号化データのコンテントにアクセスしかつ
分析することができる上、CPシステムにより、当該S
Pシステムに対して管理機能をパフォームすることがで
きる。しかし、当該ユーザは、Isolation APIによりプ
ライベートキー情報にアクセスすることができない。例
えば、CPシステムのユーザは他のユーザのためのプラ
イベートおよびパブリック・キーをSPシステムから削
除することができ、よって、このような他のユーザは、
当該CPシステムを介して暗号化データにアクセスし配
布することができなくなる。CPシステムが、全ての通
信を通過させる編成ゲートウェイとしてアクトすると、
そのため、システム・アドミニストレータとしてのユー
ザは、どのユーザに暗号化情報を配布するか、どのユー
ザが暗号化情報を受け取るかをコントロールすることが
できる。ユーザ、例えば、以前の従業員がプライベート
キー情報に関係していて、電子データが、当該ユーザの
組織から配布されたようにだまそうとしても、(例え
ば、CPシステムのデジタル署名を含む)CPシステム
の処理がなくても、当該データが当該組織外からのもの
であると識別することができる。
【0034】上述したように、信用されたCPシステム
のみに情報を供給するように当該SPシステムを構成す
ることができ、当該SPシステムの信用を確認するよう
に当該CPシステムをデザインすることができる。この
ようにすると、CPシステムおよびSPシステムが異な
るベンダからのものであっても、CPシステムは、SP
システムに与えられた信用の譲渡を受け取ることができ
る。オーソライズされないかモディファィされたCPシ
ステムがSPシステムと対話して非暗号化データを検索
する場合は、SPシステムは、例えば、デジタル証明を
使用して、このようなアクセスを検知し防止することが
できる。
【0035】図1および図2は、それぞれ、CPシステ
ムを用いた例を示す。特に、図1は、組織の内部ユーザ
が文書を暗号化し複数の受取人に配布する例を示すとと
もに、CPシステム200は、配布をオーソライズされ
る前に、当該暗号化文書のコンテントを分析する。周知
のことであるが、内部ユーザ1は、まず、非暗号化文書
Xと受取人リストをローカルSPシステム110に供給
する。この受取人リストには、内部ユーザ2および3
と、外部ユーザ4が含まれている。SPシステム110
はこれらのユーザのために文書Xを(例えば、彼らのパ
ブリックキーを用いて暗号化し)、ついで、当該暗号化
文書をユーザ1に戻す。ユーザ1が引き続き当該暗号化
文書を配布すると、このCPシステムは、種々の方法の
1つで分析するため、当該暗号化文書を受け取る。この
方法としては、例えば、全ての配布データを当該CPシ
ステムを通過させる方法か、あるいは、全ての内部ユー
ザに対するデータ配布ソフトウエアに従って、配布デー
タをCPシステムに供給するように、これらデータ配布
ソフトウエアを構成する方法がある。
【0036】このCPシステムが当該暗号化文書を受け
取った後、このCPシステムは、編成のため、当該文書
をマスタSPシステム260に供給する。本例では、マ
スタSPシステムは、全ての内部ユーザに対するパブリ
ックおよびプライベート暗号情報にアクセスし、同様
に、種々の外部ユーザに対するパブリック暗号情報、例
えば、パブリックキーにアクセスする。このマスタSP
システムは、当該暗号化文書を受け取った後、当該文書
を非暗号化するためプライベート暗号情報を使用する。
このプライベート暗号情報としては、例えば、ユーザ1
のような内部受取人に対するプライベート暗号情報か、
ユーザ1に対するプライベート暗号情報であり、プライ
ベート暗号情報がSPシステム110により受取人リス
トに含まれている場合は、コーポレートキーペアであ
る。そして、マスタSPシステムは文書Xの非暗号化バ
ージョンをこのCPシステムに返す。
【0037】CPシステムとSPシステムの間の全通信
は、Isolation API250により行われる。このIsolati
on API250は、SPシステムにアクセス可能なプライ
ベート暗号情報に、CPシステムが任意にアクセスでき
ないようにしている。当業者にとって当然のことである
が、Isolation APIは種々の方法でインプリメントする
ことができる。例えば、Isolation APIを、CPおよび
SPコンポーネントにより呼び出される定義済み機能お
よびライブラリのセットとすることができ、CPシステ
ムがプライベート暗号情報にアクセスするのを阻止する
機能とすることができる。あるいはまた、Isolation AP
Iは、ソフトウエアを流れる情報を分析し、暗号情報が
SPシステムからCPシステムにパスされないためのソ
フトウエアモジュールとすることができる。当業者にと
って当然のことであるが、当該Isolation APIは種々の
方法でインプリメントすることができる。
【0038】文書Xの非暗号化コピーを受け取った後、
CPシステムは、次に、文書Xのコンテントを分析し
て、当該文書の配布が適正か否かを判定する。この配布
が適正でない場合は、例えば、当該文書がコンプロマイ
ズドデータを含む場合は、当該文書が配布に適するよう
に、CPシステムはこの配布を阻止するか、当該文書を
モディファイするかのいずれかを行う。あるいはまた、
ユーザまたは別のソフトウエアモジュールがさらに分析
するかモディファイするまで、CPシステムは当該文書
の配布を遅延させることができる。当該文書が修正せず
に配布に適している場合には、CPシステムが受け取っ
た当該文書の暗号化バージョンは、指名した受取人にホ
ワードすることができる。しかし、当該文書がモディフ
ァイされた場合は、暗号化配布の必要に応じて、当該モ
ディファィされた文書は、最初に、暗号化しなければな
らない。このような状態では、CPシステムはモディフ
ァイされた文書をマスタSPシステムに供給し、つい
で、モディファイされた文書であって、内部受取人のた
めに暗号化された文書のバージョンを受け取る。最後
に、当該文書は内部ユーザ2および3と、外部ユーザ4
にホワードされる。
【0039】本実施の形態では、CPシステムは、文書
Xが内部ユーザ2に配布される前に文書Xをモディファ
アしなければならないと判定し、当該文書の非暗号化バ
ージョンの配布は、暗号化バージョンより、ユーザ2に
とってより適正である。よって、CPシステムは、文書
Xのモディファイされた非暗号化バージョンを、内部ユ
ーザ2にホワードする。逆に、CPシステムは、ユーザ
3および4が共に文書Xの未モディファィの暗号化バー
ジョンを受け取るべきと判定し、ついで、オリジナルの
当該暗号化文書をこれらユーザにホワードする。そし
て、これらユーザはSPシステム130および140
は、個別に、文書Xを非暗号化しアクセスする。本実施
の形態では、ユーザ1および3が、マスタSPシステム
とは異なるローカルSPシステムを有する例を説明した
が、これらシステムが相互通信を行うか、あるいは、単
独のSPシステムになることも可能である。その上、シ
ステムアドミニストレーションは、図示したように、種
々の管理要求(例えば、暗号情報の付加または削除)
を、Isolation APIを介して、マスタSPシステムにホ
ワードすることになるCPシステムに、発行する。
【0040】図2はCPシステムの例を示す。これは、
組織の内部ユーザが、暗号化されていない文書を互いに
配布するが、外部ユーザに配布された文書が暗号化され
る例である。図1および図2の例では、ユーザ1が、再
び、文書Xをユーザ2、3、4に配布しようとしてい
る。この例では、文書Xは、最初、CPシステム200
に非暗号化形態で送られる。文書Xは暗号化されていな
いので、CPシステムは直ちに文書Xのコンテントを分
析し、必要なモディファイを行うことができる。必要な
モディファイを行った後、CPシステムは当該非暗号化
(可能であれば、モディファイされた)文書を内部ユー
ザ2および3にホワードすることができる。しかし、文
書Xも外部ユーザに配布されるので、CPシステムは分
析のため、このモディファイされた非暗号化文書をマス
タSPシステム260に供給する。マスタSPシステム
はユーザ4に対して文書Xを暗号化し、必要であれば、
ユーザ1に対してデジタル署名を行うため、ユーザ1の
プライベート暗号情報を用いることもできる。あるいは
また、その上、(例えば、当該配布を承認するため)C
Pシステムが自分自身のためにデジタル署名を行うた
め、SPシステムはプライベートキーを用いることがで
きる。このデジタル署名は当該暗号化文書に含まれる。
【0041】CPシステムは、当該暗号化文書を受け取
った後、当該暗号化文書を外部ユーザ4にホワードす
る。そして、ユーザ4は文書Xを非暗号化するためロー
カルSPシステム140を用いる。図1と同様にして、
システムアドミニストレータは、種々の管理要求をマス
タSPシステムに供給するため、CPシステムを使用す
ることができる。
【0042】当業者にとって当然のことであるが、図1
および図2はCPシステムの例を示す。しかし、この例
は本発明の範囲を限定するものではない。種々のタイプ
の暗号化データ(例えば、email、ボイスメールと、ペ
ージング・メッセージ等)は、CPシステムにより分析
することができる。その上、ユーザ4のような外部ユー
ザから内部ユーザに配布されると、暗号化滅セージまた
は非暗号化メッセージは、同様にして、分析することが
でき、CPシステムは、同様にして、ストアされている
暗号化データにアクセスすることができる。本実施の形
態では、CPシステムはマスタSPシステムと異なるも
のであるが、CPおよびSPシステムを組み合わせて単
一のシステムにすることも可能である。この単一のシス
テムでも、Isolation APIは、当該システムのCPポー
ションがプライベート暗号情報にアクセスしないように
アクトする。従って、本発明は他のコンピュータシステ
ム構成とともに実施可能である。
【0043】図3はCPシステムにおけるコンテントお
よび情報の流れを示す。本実施の形態では、パブリック
キー暗号化は、電子文書を配布するために用いられてい
る。図3のCPシステムには、CPシステム200およ
びマスタSPシステム260をメモリ305で実行する
のに適したコンピュータが含まれている。このコンピュ
ータには、ストレージ装置380と、入出力装置385
と、CPU390とが含まれている。システムアドミニ
ストレータ395は入出力装置を用いてCPシステムと
対話する。種々の内部ユーザ350も管理情報(例え
ば、ストアするため、CPシステムを介してSPシステ
ムにパッシングされる)をCPシステムに供給する。内
部ユーザと種々の外部ユーザ355も、CPシステムに
より分析されている暗号化および非暗号化文書を供給し
ている。
【0044】このCPシステムには、SP Interfaceコン
ポーネント310と、CPシステム識別子316と、Do
cument Content Analyzer/Modifierコンポーネント32
0と、Document Distributorコンポーネント325と、
SP Administratorコンポーネント330とが含まれてい
る。このCPシステムは、最初に、SPシステムと対話
を開始し、SP InterfaceコンポーネントのSession ID G
enerator314は、CPシステム識別子を検索し、得ら
れたCPシステム識別子を、SPシステムのSession ID
Generator/Checker312に供給する。CPシステム識
別子は、前のトラスティッド(trusted)・セキュリテ
ィ・プロバイダ(例えば、SPシステム260)に発行
されており、CPシステムのIDを確認し、同様に、こ
の特定のCPシステムに対して、セキュリティおよび信
用を確立する可能性を有する。この識別子には、CPシ
ステムに関する一意の情報(例えば、当該コードのチェ
ックサム)が含まれている。その結果、SPシステム
は、他のシステムにより当該識別子が誤って使用された
ことを検出することができる。その上、オーソライズさ
れたCPシステムのみによりSPシステムとの対話がオ
ーソライズされるように、オーソライズされたCPシス
テムのリストを用いて、SPシステムを構成することが
できる。
【0045】本実施の形態では、Session ID Generator
/Checkerは、CPシステム識別子を受け取り、確認した
後、ランダムな数値のセッションIDをSession ID Gen
eratorに供給する。各通信では、CPシステム識別子を
確認するようにSPシステムに要求しないで、その代わ
り、後でCPシステムとSPシステムの間で通信を行う
ため、数値のセッションIDが用いられることになる。
しかし、モディファイのないセッションIDが(むし
ろ、ランダムに)用いられた場合は、別のシステムが当
該セッションIDを検出し乱用することができる。よっ
て、当該CPシステムの1つの例では、CPおよびSP
システムに、ともに、マッチング乱数発生アルゴリズム
が含まれている。SPシステムがランダムな初期セッシ
ョンIDを発生すると、SPおよびCPシステムは、共
に、このセッションIDを、乱数発生装置のためのシー
ド(seed)として用いることになる。そして、CPシス
テムは各通信ごとに新しいランダムセッションIDを発
生することになり、マッチングアルゴリズムとシェアー
ド初期シードにより、SPシステムは、独立に、同様の
乱数シーケンスを発生する。当業者にとって当然のこと
であるが、CPシステムとSPシステムのセキュア通信
を行う他の方法も可能である。
【0046】CPシステムが、自分自身をトラスティッ
ド・システムとして確立し、Session ID Generatorが、
認識されたセッションIDのシーケンスを発生するため
にレディになった後は、他のCPコンポーネントは当該
SPシステムと通信することができる。効率的に機能さ
せるため、SPシステムは、内部ユーザと通信を行うこ
とになる各外部ユーザのためのパブリックキーにアクセ
スする必要があり、同様に、各ユーザのためのフルキー
ペアにアクセスする必要がある。その上、SPシステム
は、コーポレートデータ回復を容易にするため、1つ以
上のコーポレートキーペアを含むことができる。
【0047】SP AdministratorコンポーネントはSPシ
ステムのキー管理340と通信を行い、種々の管理タス
クを行う。このような管理タスクには、キー情報をSP
システムに供給することが含まれる。よって、当該シス
テムアドミニストレータは周知の外部ユーザに対するパ
ブリックキーをSPシステムに供給することができ、同
様に、新しいコーポレートキーペアの生成をSPシステ
ムに要求することができる。よって、システムアドミニ
ストレータがコーポレート・プライベートキーにアクセ
スすることができなくできる。その上、内部ユーザはこ
れらのキーペアをSP Administratorコンポーネントを介
してSPシステムに供給することができる。また、外部
ユーザは、図示しない自分自身のパブリックキー情報を
SP Administratorコンポーネントを介して供給すること
ができる。プライベートキー情報がSPシステムにCP
システムを介して供給された場合は、悪意のCPシステ
ムがプライベートキーのコピーを保持することは可能で
ある。あるいはまた、内部ユーザがプライベートキー情
報をSPシステムに(例えば、SPシステムに当該キー
情報を発生させるか保持させることにより)直接供給す
るか、あるいは、プライベートキー情報が保持されない
ことが確認されたときのみ、SPシステムと対話するた
めに、CPシステムをオーソライズすることができる。
【0048】SPシステムに付加されるキー情報を、SP
Administratorコンポーネントが受け取ると、このキー
情報を、SP AdministratorコンポーネントはSPシステ
ムにSP Interfaceコンポーネントを介してホワードす
る。SPシステムに送られているメッセージを検出する
と、直ちに、SP Interfaceコンポーネントは、次に連続
するセッションIDを発生するため、Session ID Gener
atorを使用し、当該メッセージに当該セッションIDを
含む。Key AdministratorがSP Administratorコンポー
ネントのメッセージとセッションIDを受け取ると、Ke
y Administratorは、セッションIDが正しいか否かを
確認するため、まず、Session ID Generator/Checkerを
使用する。そして、このセッションIDが確認された
後、Key Administratorは当該キー情報を、内部ユーザ
のパブリックおよびプライベートキー372か、あるい
は、外部ユーザのパブリックキー376のいずれかに付
加する。Key Administratorがコーポレートキーペア発
生の要求を受けると、Key Administratorはキーペアを
発生し、このキーペアにコーポレートパブリックおよび
プライベートキー374をストアする。
【0049】キー情報を付加した後、CPシステムの中
には、内部および外部ユーザに、これらユーザ自身のキ
ー情報をSPシステムから削除させようとする要求を行
うことができるものもある。これらの要求はSP Adminis
tratorコンポーネントを介してKey Administratorに、
キー情報付加要求と同様にして、送られる。このシステ
ムアドミニストレータは、コーポレートキーペアをSP
システムから削除するという同様の要求を行うことがで
きる。システムアドミニストレータが充分なオーソライ
ゼーションを有する場合は、システムアドミニストレー
タはSPシステムに対する種々の管理機能をパフォーム
することもできる。このような機能の1つに、システム
アドミニストレータが、他のユーザに対するSPシステ
ムキー情報から削除することができる能力がある。
【0050】一度、内部ユーザのキー情報が削除される
と、当該内部ユーザは当該暗号化文書を受け取ることが
できないし、当該暗号化文書にアクセスすることができ
ないし、当該暗号化文書を配布することができなくな
る。例えば、内部ユーザが独立に(例えば、個人的なパ
スワードを有する)メッセージを暗号化し、このメッセ
ージを配布しようとしたとしても、システムがこのメッ
セージを非暗号化し分析できない場合は、ゲートウェイ
CPシステムにより当該メッセージは配布することがで
きない。同様にして、ユーザが独立に暗号化メッセージ
をストアしようとした場合は、定期的にバックアップす
るかスキャンしているCPシステムは、当該文書は非暗
号化できないか、当該文書を削除できないことを検出す
ることができる。同様にして、ストアされたパブリック
キー情報を持たない外部ユーザが、暗号化メッセージを
内部の送り主から受け取ることができなくするか、この
ような文書を内部ユーザに配布することができなくする
ことができる。よって、外部ユーザからの文書を、当該
ユーザのキー情報から削除するのを、効率的に阻止する
ことができ、内部ユーザ(例えば、オーソライゼーショ
ン・ステータスがモディファイされた者)のストアされ
た文書へのアクセスを拒否することができ、同様、当該
暗号化文書を配布し受け取る能力を拒否することができ
る。
【0051】他の例では、CPシステムはユーザアクセ
ス特権を他の方法でコントロールすることができる。例
えば、マルチプル・コーポレートキーペアを、組織内の
種々の定義されたグループのような階層レベルで定義し
使用することができる。よって、グループ・スーパバイ
ザはグループ・コーポレート・プライベートキーにアク
セスすることができる。そして、当該グループのメンバ
により配布され受け取られた情報が、グループパブリッ
クキーに対して暗号化された場合は、スーパバイザは当
該情報にアクセスすることができる。システムアドミニ
ストレータはSPシステムまたはCPシステムのいずれ
かに対して、他の管理機能、例えば、SPシステムに指
示して、ストアされたキー情報の有効性を定期的にリビ
ューするか、SPシステムとコンカレントに対話するこ
とができるCPシステムの数を制限する機能をパフォー
ムすることもできる。あるいはまた、当該システムアド
ミニストレータはハッシングか、キー発生か、セッショ
ンID発生アルゴリズムを、CPおよびSPシステムで
モディファイすることができる。
【0052】SPシステムが適正なキー情報にアクセス
した後、CPシステムは当該暗号化文書のコンテントに
アクセスすることができる。Document Distributorコン
ポーネントは内部ユーザまたは外部ユーザから、配布さ
れる種々の暗号化および非暗号化文書を受け取ることが
できる。Document Distributorコンポーネントが非暗号
化文書を受け取ると、Document Distributorコンポーネ
ントは当該文書をDocument Content Analyzer/Modifier
コンポーネントにホワードする。当業者にとって当然の
ことであるが、種々のタイプのコンテント分析を行うこ
とができる。コンテント分析としては、異なるCPシス
テムに行なわせる異なるタイプの分析か、所定のCPシ
ステムに行なわせるマルチプルタイプの分析がある。
【0053】本実施の形態では、このDocument Content
Analyzer/Modifierコンポーネントは、コンプロマイズ
ドデータが当該文書に存在するか否かを判定する。肯定
判定した場合は、Document Content Analyzer/Modifier
コンポーネントは、削除可能であれば、このコンプロマ
イズドデータを削除し、また、必要なモディフィファイ
が可能でない場合は、当該文書の配布を阻止する。代替
例では、CPシステム文書をモディファイすることがで
きないが、このような文書の配布を阻止するか、当該文
書をセキュアロケーションにホールドすることができ
る。これは人間または別の自動システムにより処理する
ためである。
【0054】Document Content Analyzer/Modifierコン
ポーネントが、(そのままか、モディファイされるかの
いずれかで)当該文書を配布することができると判定す
るとともに、明示された受取人のうちの何人かが当該文
書を非暗号化形式で受け取ると判定した場合は、Docume
nt Content Analyzer/Modifierコンポーネントは非暗号
化文書をDocumentDistributorコンポーネントに戻す。
そして、Document Distributorコンポーネントは当該文
書を適正な受取人に送る。受取人が文書を受け取る形式
は種々の方法、例えば、送り側から明示するか、CPま
たはSPシステムにより情報を優先してストアするか、
デフォルトで当該文書が受け取られた形式にするかし
て、決定することができる。
【0055】Document Content Analyzer/Modifierコン
ポーネントが、当該文書を少なくとも幾人かの受取人
に、暗号化形式で送ると決定した場合は、当該文書(そ
のままか、モディファイするかのいずれかで)が、SP
システムのDecryptor/Encryptor345にホワードされ
る。SP Administratorコンポーネントからのメッセージ
の場合のように、SP Interfaceコンポーネントは、当該
メッセージをDecryptor/Encryptor345にホワードす
る前に、適正なセッションIDを当該メッセージに付加
する。Decryptor/Encryptor345が非暗号化文書を受
け取った後、必要な場合には、当該文書を暗号化するた
め種々のキー情報を使用し、そして、適正な受取人に配
布するため、当該暗号化文書をDocument Distributorコ
ンポーネントに返す。
【0056】同様に、Document Distributorコンポーネ
ントが原始に暗号化メッセージを受け取った場合は、Do
cument Distributorコンポーネントは、非暗号化するた
め、まず、暗号化メッセージをDecryptor/Encryptorコ
ンポーネントにホワードする。そして、Decryptor/Encr
yptorコンポーネントは、暗号化文書を、Document Cont
ent Analyzer/Modifierコンポーネントに、分析のため
に供給する前に、当該メッセージを非暗号化するため、
当該キー情報を使用する。Document Content Analyzer/
Modifierコンポーネントが当該文書を受け取ると、当該
文書を分析し、モディファイする。このことを次に説明
する。
【0057】当該文書がモディファイされない場合は、
Document Content Analyzer/Modifierコンポーネント
は、当該暗号化文書(例えば、一時的にストアされたコ
ピー)を前記適正な受取人にホワードする。他方、前記
文書を非暗号化形式で配布する必要がある場合は、Docu
ment Content Analyzer/Modifierコンポーネントは、当
該非暗号化文書をDocument Distributorコンポーネント
がさらに配布するため、Document Distributorコンポー
ネントに供給する。既に説明したように、当該文書がモ
ディファイされ、暗号化形式でさらに配布される場合
は、この暗号化形式のモディファイされた文書をDocume
nt Distributorコンポーネントがさらに配布するため、
当該モディファイされた文書がDocument Distributorコ
ンポーネントにホワードされる前に、当該モディファイ
された文書はDecryptor/Encryptorコンポーネントに暗
号化のために送り返される。
【0058】当業者にとって当然のことであるが、コン
ピュータシステム300は単に例示に過ぎず、本発明の
範囲を制限するためのものではない。コンピュータシス
テム300はさらにコンポーネントを含むことができる
か、あるいは、幾つかの説明したコンポーネントを取り
除くこともできる。例えば、CPおよびSPシステムは
個別のコンピュータ上で実行することができるか、単一
のシステムとして実行することができる。さらに、当業
者にとって当然のことであるが、Isolation APIを種々
の方法でインプリメントすることができる。したがっ
て、本発明は、他のコンピュータシステム構成とともに
実施することができる。
【0059】図4はSP Interfaceルーチン400の一例
を示すフローチャートである。SP Interfaceルーチンは
メッセージと文書をSPシステムと種々の他のCPシス
テム・コンポーネントの間で搬送する。その際、Isolat
ion APIを用いて、CPシステムが、SPシステムが利
用可能なプライベート暗号情報にアクセスできないよう
にする。SP Interfaceルーチンは、まず、CPシステム
とSPシステムの間に、初期コネクションを確立する。
初期コネクションの確立は、例えば、CPシステムが、
非暗号化データを受け取るのにオーソライズされている
ことを示すことにより行われる。そして、SP Interface
ルーチンは、CPシステムの一致を確認する識別子を使
用して、CPシステムからSPシステムに通信を行う。
本実施の形態では、あるタイプの情報のみをSPシステ
ムから受け取ることにより、Isolation APIがインプリ
メントされている。あるタイプの情報としては、文書
と、種々の定義されたCPシステム要求に対する応答が
ある。
【0060】このルーチンはステップ405から開始さ
れる。ステップ405では、CPシステム識別子が検索
されマスタSPシステムに送られる。このルーチンは、
ステップ410で、マスタSPシステムから、引き続
き、初期セッションIDをCPシステムのために受け取
る。そして、ステップ415にて、このルーチンは、マ
スタSPシステムから送られた文書を受け取るか、CP
システム・コンポーネントからマスタSPシステムに送
られたメッセージを受け取る。このルーチンは、ステッ
プ420にて、マスタSPシステムからの文書が受け取
られたか否かを判定する。そして、受け取られないと判
定した場合は、このルーチンは、ステップ425にて、
現在のセッションIDに基づき、新しいセッションID
を発生し、ステップ430にて、このルーチンは、受け
取ったメッセージと、発生したセッションIDを、マス
タSPシステムに送る。新しいセッションIDは種々の
方法で、例えば、初期セッションIDを、シェアード乱
数発生アルゴリズムのシードとして、発生することがで
きる。
【0061】他方、ステップ420にて、マスタSPシ
ステムからの文書が受け取られたと判定した場合は、こ
のルーチンは、ステップ435にて、当該文書が暗号化
されたか否かを判定する。そして、当該文書が暗号化さ
れた場合は、ステップ445にて、当該暗号化文書をDo
cument Distributorコンポーネントに、Document Distr
ibutorコンポーネントがさらに配布するため、送られ
る。他方、当該文書が暗号化されなかった場合は、この
ルーチンは、ステップ440にて、非暗号化文書を、Do
cument Content Analyzer/Modifierコンポーネントに、
Document ContentAnalyzer/Modifierコンポーネントが
分析し可能なモディファイを行うため、Document Conte
nt Analyzer/Modifierコンポーネントに送られる。ステ
ップ430か、ステップ440か、ステップ445の
後、このルーチンは、ステップ450にて、さらに受け
取る文書またはメッセージが存在するか否かを判定す
る。存在すると判定した場合は、このルーチンはステッ
プ410に戻り、他方、存在しないと判定した場合は、
このルーチンはステップ495にて終了する。
【0062】図5はSP Administratorルーチン500の
一例を示すフローチャートである。このルーチンはSP
システムに供給されるキー情報を受け取り、同様に、S
Pシステムに対する管理要求を受け取り、受け取った管
理要求またはキー情報をSPシステムにホワードする。
このルーチンはSPシステムからの要求に対する応答も
受け取り、受け取った応答をユーザに表示する。
【0063】このルーチンはステップ505から開始さ
れる。ステップ505にて、システムアドミニストレー
タからの要求か、ストアされるキー情報を受け取る。こ
のルーチンは、ステップ510にて、キー情報が受け取
られたか否かを判定する。このキー情報は、組織の内部
または外部のユーザ宛にすることができ、種々の方法で
供給することができる。キー情報が受け取られた場合
は、このルーチンは、ステップ515にて、当該情報が
内部ユーザに宛てたものか否かを判定する。この判定は
種々の方法で行うことができる。このような方法として
は、明示的な識別子によるか、当該情報がどこから送ら
れたかによるか、全ての内部ユーザのリストにアクセス
することにより、行う方法がある。他方、当該情報が内
部ユーザに宛てたものである場合は、当該情報には、当
該ユーザのために、パブリックキーおよびプライベート
キーをともに含むべきであ。そして、このルーチンは、
ステップ520にて、内部ユーザのための当該パブリッ
クおよびプライベートキーペアをSPシステムに付加す
るための要求を、マスタSPシステムに送る。他方、ス
テップ515てに、当該キー情報が外部ユーザに宛てた
ものと判定した場合、パブリックキー情報のみを一時的
に供給する。そして、このルーチンは、ステップ525
にて、外部ユーザのためのパブリックキーのみを付加す
るという要求を、マスタSPシステムに送る。
【0064】ステップ510にて、システムアドミニス
トレータ・ユーザからの要求が受け取られたと判定した
場合は、このルーチンは、ステップ530にて、当該要
求がコーポレートキーペアの付加か否かを判定する。肯
定判定した場合は、このルーチンは、ステップ535に
て、コーポレートキーペアを発生しSPシステムに付加
するという要求を、SPシステムに送る。当該要求がコ
ーポレートキーペアを付加するという要求でない場合
は、このルーチンは、ステップ540にて、当該要求が
内部ユーザのキーの情報を削除するという要求か否かを
判定する。肯定判定した場合は、このルーチンは、ステ
ップ550にて、指定された内部ユーザのためのキーペ
ア情報を削除するという要求を、マスタSPシステムに
送る。当該要求が内部ユーザのキーを削除するという要
求でないが、他の幾つかのオーソライズされた管理機能
を要求する要求(例えば、外部ユーザのためのキー情報
を削除するという要求)である場合は、このルーチン
は、ステップ545にて、指定された機能をパフォーム
するという要求を、マスタSPシステムに送る。
【0065】ステップ535か、ステップ545か、ス
テップ550の後、このルーチンは、ステップ555に
て、マスタSPシステムからの要求に対する応答を受け
取り、受け取った応答をシステムアドミニストレータに
表示する。ステップ520か、ステップ525か、ステ
ップ555の後、このルーチンは、ステップ560に
て、受け取るキーまたは要求があるか否かを判定する。
肯定判定した場合は、このルーチンはステップ505に
戻り、否定判定した場合は、このルーチンはステップ5
95で終了する。当業者にとって当然のことであるが、
種々の他のタイプの要求を、システムアドミニストレー
タからか、あるいは、CPシステムのユーザから受け取
ることができる。
【0066】図6はMaster SP Systemルーチン600の
一例を示すフローチャートである。Master SP Systemル
ーチンは、内部ユーザのためのパブリックおよびプライ
ベートキー情報を、コーポレートデータ回復の目的のた
めに、ストアし、外部ユーザのためのパブリックキー情
報をストアする。オーソライズされたCPシステムから
の文書を非暗号化および暗号化するという要求を受け取
ると、直ちに、このルーチンは、この要求をパフォーム
するため、ストアされているキー情報を用いる。さら
に、このルーチンは種々の管理要求を受け取りパフォー
ムすることができる。
【0067】このルーチンはステップ605から開始さ
れる。ステップ605にて、識別子がCPシステムから
受け取られると、このルーチンは、ステップ610に
て、送り側のCPシステムの識別子が有効か否かを確認
するとともに、この送り側のCPシステムはSPシステ
ムへのアクセスがオーソライズされているか否かを確認
する。そして、ステップ613にて、当該識別子が有効
と判定した場合は、このルーチンは、ステップ615に
移行し、他方、当該識別子が有効でないと判定した場合
は、このルーチンは、ステップ685に移行する。ステ
ップ615にて、このルーチンは、CPシステムとのセ
ッションのためのランダムな初期セッションIDを発生
する。この初期セッションIDは、CPシステムからそ
の後に受け取られたセッションIDのシーケンスのため
の基礎(basis)を提供する。この基礎の提供は、例え
ば、シェアード乱数発生アルゴリズムのシードとして初
期セッションIDを用いて行われる。そして、このルー
チンは、ステップ620にて、発生されたセッションI
DをCPシステムに送る。
【0068】ステップ625にて、このルーチンは、メ
ッセージとセッションIDをCPシステムから受け取
る。ステップ630にて、このルーチンは、当該セッシ
ョンIDの有効性を確認し、ステップ635にて、当該
セッションIDが有効か否かを判定する。当該セッショ
ンIDが有効でないと判定した場合は、このルーチン
は、ステップ640にて、エラーメッセージをCPシス
テムに送り、そして、ステップ685に移行する。他
方、ステップ635にて、当該セッションIDが有効と
判定した場合は、このルーチンは、ステップ645に
て、受け取ったメッセージのタイプを判定する。文書を
受け取った場合は、このルーチンは、ステップ650に
て、当該文書が暗号化されているか否かを判定する。肯
定判定した場合は、このルーチンは、ステップ660に
て、当該文書を、受取人のプライベートキーを用いて非
暗号化し、デジタル署名が含まれている場合は、送り側
のパブリックキーを用いて非暗号化する。他方、ステッ
プ650にて、当該文書が暗号化されていない場合は、
このルーチンは、ステップ655にて、意図された受取
人のパブリックキーとコーポレートパブリックキーを用
いて、当該文書を暗号化する。
【0069】既に説明したように、このようなことは、
セッションキーを用いるか、各受取人のための異なるコ
ピーを使用して、行うことができる。さらに、当該メッ
セージの送り側が内部ユーザであって、この内部ユーザ
のためのプライベートキーをSPシステムが持つ場合
は、このSPシステムは、デジタル署名を行うため、プ
ライベートキーを用いることができる。ステップ655
またはステップ660の後、このルーチンは、ステップ
665にて、当該文書をCPシステムに送る。
【0070】ステップ645にて、このルーチンが、当
該メッセージにキー情報を付加するかキー情報を削除す
る場合は、このルーチンは、ステップ670にて、要求
にしたがって、当該キー情報を付加するか削除する。こ
のキー情報の削除は、オーソライズされたユーザのみ、
例えば、システムアドミニストレータまたは当該キー情
報の所有者によりパフォームすることができる。
【0071】そして、このルーチンは、ステップ672
にて、当該要求に応じてとったアクションを示す応答を
CPシステムに送る。このルーチンは、ステップ645
にて、当該メッセージが他の幾つかのタイプの要求であ
ると判定した場合は、このルーチンは、ステップ675
にて、この要求が適正である場合には、要求をパフォー
ムする。そして、ステップ677にて、取ったアクショ
ンを示す応答をCPシステムに送る。ステップ665
か、ステップ672か、ステップ677の後、このルー
チンは、ステップ680にて、現在のCPシステムから
受け取るメッセージがあるか否かを判定する。そして、
肯定判定した場合は、このルーチンはステップ625に
戻り、否定判定した場合は、このルーチンはステップ6
85に移行する。
【0072】ステップ685にて、このルーチンは、当
該SPシステムと通信を行う他のCPシステムが存在す
るか否かを判定する。肯定判定した場合は、ステップ6
05に戻り、CPシステムからの識別子を受けるために
待機する。他方、ステップ685にて、CPシステムが
ないと判定した場合は、このルーチンはステップ695
にて終了する。当業者にとって当然のことであるが、こ
のルーチンを種々の方法で、例えば、マルチプルCPシ
ステムがSPシステムにコンカレントにアクセスするこ
とにより、モディファイすることができる。
【0073】図7はDocument Distributorルーチン70
0の一例を示すフローチャートである。Document Distr
ibutorルーチンは内部ユーザまたは外部ユーザから配布
される文書を受け取り、当該文書のコンテントを分析
し、必要に応じて、当該文書をモディファイする(例え
ば、不適正な情報を削除するか、法律上のディスクレマ
のような情報を付加する)、そして、当該文書を、暗号
化形式または非暗号化形式のいずれかで適正に配布す
る。
【0074】このルーチンはステップ705から開始さ
れる。ステップ705にて、1人以上の受取人のリスト
に配布される文書を受け取る。このルーチンは、ステッ
プ710にて、Analyze And Modify Document Via Isol
ation APIサブルーチンを実行する。そして、ステップ
715にて、このルーチンは、当該文書を受取人に配布
するため、Distribute Documentサブルーチンを実行す
る。そして、このルーチンは、ステップ720にて、受
け取るる文書が存在するか否かを判定する。肯定判定し
た場合は、このルーチンはステップ705に戻り、他
方、否定判定した場合は、このルーチンはステップ79
5で終了する。
【0075】図8はAnalyze And Modify Document Via
Isolation APIサブルーチン710の一例を示すフロー
チャートである。このサブルーチンは、分析される文書
(暗号化または非暗号化のいずれか)を受け取り、当該
文書が暗号化されている場合は、当該文書を非暗号化
し、当該非暗号化文書を分析し、必要ならモディファイ
する。このルーチンはステップ805から開始される。
ステップ805にて、受け取った文書が暗号化されてい
るか否かを判定する。肯定判定した場合は、このルーチ
ンは、ステップ810にて、当該暗号化文書を、文書送
り側および受け取り側情報を含めて、マスタSPシステ
ムに、非暗号化のために送る。SPシステムへの他のこ
のようなメッセージの場合と同様に、SP Interfaceルー
チンは、必要な場合には、当該通信を管理する。そし
て、ステップ815にて、このサブルーチンは、当該文
書の非暗号化コピーをマスタSPシステムから受け取
る。
【0076】ステップ815の後か、あるいは、ステッ
プ805にて当該文書が暗号化されていないと判定した
場合は、このサブルーチンは、ステップ820にて、当
該文書のコンテント、例えば、コンプロマイズドデータ
のコンテントを分析する。そして、このルーチンは、ス
テップ825にて、コンプロマイズドデータが見付けら
れたか否かを判定する。肯定判定した場合は、このサブ
ルーチンは、ステップ830にて、コンプロマイズドデ
ータを当該文書から削除する。ステップ830の後か、
あるいは、ステップ825にて、コンプロマイズドデー
タが存在しないと判定した場合は、このサブルーチン
は、ステップ835にて、CPシステムにより分析が行
われたことを確認する情報を当該文書に付加する。そし
て、このサブルーチンは、ステップ895に移行し、そ
の後、戻る。当業者にとって当然のことであるが、非暗
号化文書のコンテントは種々の方法で分析することがで
きる。
【0077】図9はDistribute Documentサブルーチン
715の一例を示すフローチャートである。このサブル
ーチンは、配布される非暗号化文書を受け取り分析し、
当該文書を、暗号化または非暗号化形式で種々の受取人
に配布するかどうかを判定し、ついで、当該文書を適正
に配布する。このサブルーチンはステップ905から開
始される。ステップ905にて、受取人がいる場合は、
どの受取人が当該文書を暗号化形式で受け取るかを判定
する。そして、このサブルーチンは、ステップ910に
て、このように判定された受取人が存在するか否かを判
定する。存在しないと判定した場合は、このサブルーチ
ンはステップ935に移行する。
【0078】他方、このように判定された受取人が存在
すると判定した場合は、サブルーチンは、ステップ91
5にて、非暗号化文書を、当該文書の送り側と受け取り
側の情報を含めて、マスタSPシステムに送る。ステッ
プ920にて、このサブルーチンは、マスタSPシステ
ムからの当該文書のコピーであって、判定された受取人
のために暗号化され、同様に、コーポレートデータ回復
キーのための暗号化コピーを受け取る。このサブルーチ
ンは、ステップ925にて、当該暗号化文書をこの判定
された受取人に送り、ステップ930にて、その後にコ
ーポレートデータを検索するため、当該暗号化文書をス
トアする。ステップ935にて、このサブルーチンは、
当該文書を暗号化形式で受け取っていない受取人に、非
暗号化文書を送り、ステップ995(return)に移行す
る。当業者にとって当然のことであるが、当該文書を暗
号化形式で受け取る受取人に種々の方法で送る。これら
の方法としては、例えば、可能であれば、当該文書を常
に暗号化形式で送る方法か、内部ユーザ−外部ユーザへ
のDocument Distributorに対する予め定めたガイドライ
ンを使用する方法か、送り側からの明示の指示を受け取
る方法か、あるいは、当該文書を暗号化形式で送るか否
かを示すため、送り側から受け取ったような当該文書の
オリジナルな形式を用いる方法がある。
【0079】以上、本発明の実施の形態を説明したが、
これら実施の形態は説明のために過ぎず、本発明の精神
および範囲を逸脱しない限り種々の変更も可能である、
ことは当然のことである。従って、本発明は、特許請求
の範囲により制限される他は制限されるものではない。
【図面の簡単な説明】
【図1】本発明のコンテントプロセッサシステムの一例
を示すブロック図である。
【図2】本発明のコンテントプロセッサシステムの一例
を示すブロック図である。
【図3】本発明のコンテントプロセッサシステムのコン
テントおよび情報のフローを示すブロック図である。
【図4】SP Interfaceルーチンの処理手順の一例を示す
フローチャートである。
【図5】SP Administratorルーチンの処理手順の一例を
示すフローチャートである。
【図6】Master SP Systemルーチンの処理手順の一例を
示すフローチャートである。
【図7】Document Distributorルーチンの処理手順の一
例を示すフローチャートである。
【図8】Analyze And Modify Document Via Isolation
APIサブルーチンの処理手順の一例を示すフローチャー
トである。
【図9】Distribute Documentサブルーチンの処理手順
の一例を示すフローチャートである。
【図10】パブリックキー暗号化を用いて電子文書を配
布する例を示す図である。
───────────────────────────────────────────────────── フロントページの続き (71)出願人 500002065 1220 Parkview Arlingt on Business Park Th eale,Berkshire RG7 4SA United Kingdom

Claims (58)

    【特許請求の範囲】
  1. 【請求項1】 プライベート暗号情報にアクセスせず
    に、該プライベート暗号情報によりデータのコンテント
    にアクセスさせるように暗号化したコンテントにアクセ
    スする、コンピュータによりインプリメントされた方法
    において、 プライベート暗号情報にアクセスするセキュリティプロ
    バイダとの間で信用を確立するステップと、 暗号化データの指示を受け取るステップと、 ユーザ入力で前記コンテントにアクセスしないステップ
    であって、前記暗号化データの前記セキュリティプロバ
    イダに通知し、前記コンテントにアクセス可能な暗号化
    データの非暗号化コピーを前記信用に基づき前記セキュ
    リティプロバイダから受け取り、前記プライベート暗号
    情報にはアクセスせずに、前記データのコンテントにア
    クセスするステップとを備えたことを特徴とする方法。
  2. 【請求項2】 請求項1において、 前記暗号化データは、送り側から受取人に配布される電
    子メッセージの暗号化コピーであり、 前記信用を確立するステップは、 プライベート暗号情報にアクセスしないメッセージアナ
    ライザによりコントロールされており、 前記メッセージアナライザの識別子の一致を識別する一
    致識別子をセキュリティプロバイダに送るステップを含
    み前記セキュリティプロバイダに通知するステップは、
    前記データの暗号化コピーを前記セキュリティプロバイ
    ダに送るステップを含み前記セキュリティプロバイダ
    は、 前記一致識別子をメッセージアナライザから受け取り、 前記メッセージアナライザから前記暗号化コピーを受け
    取り、 前記メッセージアナライザの一致が一致識別子により確
    認されたとき、前記メッセージの暗号化コピーを、前記
    プライベート暗号情報を用いて非暗号化し、非暗号化コ
    ピーを作成し、 前記メッセージアナライザに前記非暗号化コピーを送
    り、 前記メッセージアナライザは、前記非暗号化コピーを受
    け取った後、 前記非暗号化コピーのコンテントを分析して、前記メッ
    セージの前記受取人への配布が許可できるか否かを判定
    し、 前記配布が許可できると判定したとき、前記メッセージ
    を受取人に配布し、 前記メッセージアナライザは、前記プライベート暗号情
    報にアクセスせずに、前記メッセージのコンテントにア
    クセスすることができることを特徴とする方法。
  3. 【請求項3】 請求項2において、 前記暗号化コピーは前記受取人のパブリックキーを使用
    して暗号化され、 前記非暗号化のために前記セキュリティプロバイダによ
    り使用された前記プライベート暗号情報は、前記受取人
    のプライベートキーを含み、 前記パブリックキーおよび前記プライベートキーはキー
    ペアを形成し、 前記メッセージアナライザは前記プライベートキーにア
    クセスしないことを特徴とする方法。
  4. 【請求項4】 請求項2において、 暗号化コピーの少なくとも一部は、送り側のプライベー
    トキーを使用して、追加的に暗号化され、 前記セキュリティプロバイダは、暗号化コピーの少なく
    とも一部に対するパブリックキーと、キーペアを構成す
    るパブリックおよびプライベートキーを追加的に用いる
    ことを特徴とする方法。
  5. 【請求項5】 請求項2において、 前記配布は、分析の結果、非暗号化コピーのコンテント
    がコンプロマイズドデータを含む場合は、不許可と判定
    され、 前記メッセージのモディファイされたコピーを受取人に
    配布する前に、前記コンプロマイズドデータを削除する
    ために、前記配布が不許可と判定されたとき、メッセー
    ジアナライザの制御により、非暗号化コピーをモディフ
    ァイするステップを含むことを特徴とする方法。
  6. 【請求項6】 請求項2において、メッセージアナライ
    ザとセキュリティプロバイダの間の通信は、セキュリテ
    ィプロバイダがアクセス可能なプライベート暗号情報
    に、アイソレーションAPIがアクセスできないように
    することを特徴とする方法。
  7. 【請求項7】 請求項6において、前記メッセージアナ
    ライザと前記セキュリティプロバイダは単一のソフトウ
    エアプログラムであることを特徴とする方法。
  8. 【請求項8】 請求項2において、 前記メッセージアナライザは、 非暗号化メッセージを非暗号化するため、別のプライベ
    ート暗号情報を用いることを停止するという要求をユー
    ザから受け、 前記要求をセキュリティプロバイダに送り、 前記セキュリティプロバイダは、 前記送られた要求を受け、 前記メッセージアナライザの識別子を確認した後、前記
    受けた要求を満足させることを特徴とする方法。
  9. 【請求項9】 請求項1において、 前記データは少なくとも1つの受取人への通信であり、 本方法は、前記受取人のうちの任意の受取人によって前
    記通信が受信される前に実施されることを特徴とする方
    法。
  10. 【請求項10】 請求項9において、前記コンテントが
    前記任意の受取人により受け取るのが適正でない情報を
    含むとき、前記任意の受取人が当該通信を受信するの
    を、前記受取人のために阻止することを特徴とする方
    法。
  11. 【請求項11】 請求項9において、前記少なくとも一
    人の受取人に対して、前記コンテントが、前記受取人が
    受け取るのに適正でない情報を含むとき、前記通信が前
    記受取人により受け取られる前に、前記適正でない情報
    を除去するため、前記通信をモディファイすることを特
    徴とする方法。
  12. 【請求項12】 請求項9において、前記受取人のうち
    の少なくとも一人の受取人か当該通信の送り側は、ある
    グループのメンバであり、 本方法は、前記グループのメンバの間での通信を配布す
    るゲートウェイによって実施されることを特徴とする方
    法。
  13. 【請求項13】 請求項1において、 前記データは、暗号化されたデータであって、オーソラ
    イズされたユーザのみが前記コンテントにアクセスする
    ことができるようにしたデータであり、 本発明は、オーソライズされたユーザにとって前記コン
    テントが利用可能になる前に実施されることを特徴とす
    る方法。
  14. 【請求項14】 請求項13において、前記オーソライ
    ズされた各ユーザは、それぞれ、前記情報が前記オーソ
    ライズされたユーザにとって適正でないコンテントを含
    むとき、前記コンテントにアクセスできないことを特徴
    とする方法。
  15. 【請求項15】 請求項13において、前記オーソライ
    ズされたユーザは、それぞれ、前記情報が前記オーソラ
    イズされたユーザに利用可能にするのに適正でないコン
    テントを含むとき、前記コンテントが前記オーソライズ
    されたユーザに利用可能になる前に、前記情報を削除す
    るため、前記文書をモディファイすることを特徴とする
    方法。
  16. 【請求項16】 請求項1において、プライベート暗号
    情報にアクセスするユーザにとって前記コンテントが利
    用可能であるか否かを判定するため前記コンテントを分
    析するステップを含むことを特徴とする方法。
  17. 【請求項17】 請求項16において、前記分析の結
    果、前記コンテントがコンプロマイズドデータを含む場
    合に、前記コンテントが適正であると判定することを特
    徴とする方法。
  18. 【請求項18】 請求項17において、前記コンプロマ
    イズドデータは攻撃的な情報を含むことを特徴とする方
    法。
  19. 【請求項19】 請求項17において、前記コンプロマ
    イズドデータは不正確な情報を含むことを特徴とする方
    法。
  20. 【請求項20】 請求項17において、前記コンプロマ
    イズドデータは優先的なビジネス情報を含むことを特徴
    とする方法。
  21. 【請求項21】 請求項17において、前記コンプロマ
    イズドデータは、暗号化データの作成者にとってプライ
    ベートな情報を含むことを特徴とする方法。
  22. 【請求項22】 請求項17において、前記コンプロマ
    イズドデータは機能的な能力を有するモバイルコードを
    含むことを特徴とする方法。
  23. 【請求項23】 請求項17において、 前記分析により、前記コンテントがコンプロマイズドデ
    ータを含むことが判明したとき、前記コンプロマイズド
    データを前記非暗号化コピーから削除するステップと、 前記削除を行った後、前記非暗号化コピーを暗号化する
    ステップと、 前記コンプロマイズドデータを欠く前記暗号化コピー
    と、前記暗号化データを置換するステップとを含むこと
    を特徴とする方法。
  24. 【請求項24】 請求項16において、示されたデータ
    が暗号化されてないと判定されたとき、前記セキュリテ
    ィプロバイダに通知したり、前記非暗号化コピーを前記
    セキュリティプロバイダから受け取ったりしないで、前
    記示されたデータを分析するステップを含むことを特徴
    とする方法。
  25. 【請求項25】 請求項1において、本方法が、前記セ
    キュリティプロバイダを供給するベンダと異なるベンダ
    からのソフトウエアにより実施されることを特徴とする
    方法。
  26. 【請求項26】 請求項1において、 前記セキュリティプロバイダは、指定されたセキュリテ
    ィ規格を有し、 確立された信用に基づき、 本方法を実施するものは、前記指定されたセキュリティ
    規格と少なくとも同程度のセキュリティ規格を有する
    と、前記セキュリティプロバイダを取り扱うことを特徴
    とする方法。
  27. 【請求項27】 請求項1において、前記信用を確立す
    るステップは、 前記セキュリティプロバイダへの初期の通信で、信頼あ
    るソースから証明を供給し、 前記セキュリティプロバイダへのその後の通信で、前記
    セキュリティプロバイダにより示された識別子を供給す
    ることを特徴とする方法。
  28. 【請求項28】 請求項1において、前記信用を確立す
    るステップは、本方法を実施するものの一致を供給する
    ことを特徴とする方法。
  29. 【請求項29】 請求項1において、前記セキュリティ
    プロバイダは複数のユーザのためのプライベート暗号情
    報にアクセスし、 暗号化データを非暗号化するため、前記1つのプライベ
    ート暗号情報を使用するように、前記セキュリティプロ
    バイダに示し、その後、前記1つのユーザのために暗号
    化されたデータに前記セキュリティプロバイダがアクセ
    スできなくすることを特徴とする方法。
  30. 【請求項30】 請求項1において、 前記セキュリティプロバイダは、指定されたグループの
    各メンバの前記プライベート暗号情報をストアするよう
    に委任され、 前記セキュリティプロバイダは、前記メンバのうちの一
    人のメンバに対して、前記データが暗号化されたとき非
    暗号化コピーを供給するため、ストアされているプライ
    ベート暗号情報を用いることを特徴とする方法。
  31. 【請求項31】 請求項1において、 第2グループのデータの指示を受け取るステップと、 プライベート暗号情報が前記文書の内容にアクセスする
    必要があるように、前記第2グループのデータが暗号化
    されているか否かを判定するとき、 前記暗号化された第2グループのデータをセキュリティ
    プロバイダに通知し、 前記コンテントにアクセス可能な前記第2グループのデ
    ータの非暗号化コピーを前記セキュリティプロバイダか
    ら受け取り、 前記非暗号化コピーを分析し、分析結果に基づき、前記
    コンテントを、前記プライベート暗号情報と前記第2グ
    ループのデータにアクセスするユーザにとって、利用可
    能にするのが適正か否かを判定するステップと、 プライベート暗号情報により前記文書の内容にアクセス
    させる必要があるように、前記第2グループのデータが
    暗号化されているか否かを判定するとき、 前記プライベート暗号情報にアクセスせずに、前記示さ
    れた第2グループのデータを分析し、分析結果に基づ
    き、前記第2グループのデータにアクセスするユーザに
    とって前記コンテントを利用可能にするのが適正か否か
    を判定するステップとを含むことを特徴とする方法。
  32. 【請求項32】 請求項31において、 前記第2グループのデータは少なくとも一人の受取人に
    対する暗号化通信であり、 本方法は、前記受取人のうちの任意の受取人により前記
    通信が受信される前に、実施されることを特徴とする方
    法。
  33. 【請求項33】 請求項31において、前記第2グルー
    プのデータは、オーソライズされたユーザのみが前記文
    書の前記コンテントにアクセスできるように、暗号化さ
    れた文書であり、 本方法は、前記文書の前記コンテントが前記オーソライ
    ズされたユーザに利用可能になる前に、パフォームされ
    ることを特徴とする方法。
  34. 【請求項34】 請求項31において、前記コンテント
    が、利用可能にするのに不適正な情報を含むとき、前記
    コンテントにユーザがアクセスするのを阻止するステッ
    プを含むことを特徴とする方法。
  35. 【請求項35】 請求項31において、 前記プライベート暗号情報により前記コンテントにアク
    セスさせるように、前記第2グループのデータが暗号化
    されているか否かを判定するとき、 前記非暗号化コピーを受け取るため、本方法がパフォー
    マが信用されているか否かを確認する識別子を、前記セ
    キュリティプロバイダに供給するステップを含むことを
    特徴とする方法。
  36. 【請求項36】 請求項31において、前記セキュリテ
    ィプロバイダは、指定されたグループの各メンバの前記
    プライベート暗号情報をストアするのに信用されてお
    り、 前記セキュリティプロバイダは、前記メンバのために暗
    号化されストアされた非暗号化コピーと、前記メンバと
    の間で通信を行った暗号化データの非暗号化コピーを供
    給するため、前記ストアされたプライベート暗号情報を
    使用することを特徴とする方法。
  37. 【請求項37】 請求項1において、 前記信用の確立は送り側により行われ、 本方法は、前記セキュリティプロバイダの制御により、 前記送り側からの識別子であって、前記送り側が前記プ
    ライベート暗号情報にアクセスしないとしても、前記デ
    ータのコンテントにアクセスするのに、前記送り側が信
    用されていることを確認する識別子を受け取るステップ
    と、 前記暗号化データの指示を受け取るステップとを含み、 前記識別子が、前記送り側が信用される予定であること
    を確認したとき、 前記プライベート暗号情報にアクセスせずに、 前記プライベート暗号情報を使用して前記暗号化データ
    を非暗号化し、 前記データの非暗号化コピーを前記送り側に送り、前記
    送り側が前記データの前記コンテントを分析するように
    して前記送り側を前記暗号化データのコンテントにアク
    セスさせるステップを含むことを特徴とする方法。
  38. 【請求項38】 請求項37において、 前記データは少なくとも一人の受取人のために暗号化さ
    れた通信であり、 前記送り側は前記受取人のうちの一人ではなく、 前記方法は、前記通信が前記受取人のうちの任意の受取
    人により受信される前に、実施されることを特徴とする
    方法。
  39. 【請求項39】 請求項37において、 前記データは、オーソライズされたユーザのみが前記文
    書のコンテントにアクセスすることができるように暗号
    化された文書であり、 前記送り側は、前記オーソライズされたユーザではな
    く、 本方法は、前記オーソライズされたユーザにとって前記
    文書のコンテントが利用可能になる前に、実施されるこ
    とを特徴とする方法。
  40. 【請求項40】 請求項37において、前記送り側は、
    前記コンテントが利用可能になるのが適正でないとき、
    前記送り側が前記コンテントにアクセスするのを阻止す
    ることを特徴とする方法。
  41. 【請求項41】 請求項37において、指定されたグル
    ープの各メンバの前記プライベート暗号情報は、ストア
    されており、 前記メンバのためにストアされるとともに、前記メンバ
    との間で通信が行われた暗号化データの非暗号化に、前
    記ストアされたプライベート暗号情報を使用し、 前記ストアされるとともに通信が行われたデータは、前
    記非暗号化された後、前記送り側により分析されること
    を特徴とする方法。
  42. 【請求項42】 プライベート暗号情報に当該コンテン
    トをアクセスさせるように暗号化されたデータのコンテ
    ントに、コンピュータをコントロールしてアクセスさせ
    る命令を含むコンピュータ読み取り可能な記録媒体であ
    って、 前記コンテントの前記アクセスは、前記プライベート暗
    号情報にアクセスせずに、 プライベート暗号情報にアクセスするセキュリティプロ
    バイダとの信用を確立し、 暗号化データの指示を受け取り、 当該コンテントにアクセスし、 前記暗号化データを前記セキュリティプロバイダに通知
    し、 前記コンテントがアクセス可能になるように暗号化され
    たデータの非暗号化コピーを、前記セキュリティプロバ
    イダから、前記信用に基づき、受け取るステップを含む
    ことを特徴とする記録媒体。
  43. 【請求項43】 請求項42において、前記データは少
    なくとも一人の受取人に対する暗号化通信であり、 前記コンピュータは、前記通信が前記受取人のうちの任
    意の受取人により受け取られる前に、前記コンテントに
    アクセスすることを特徴とする記録媒体。
  44. 【請求項44】 請求項42において、 前記データは、オーソライズされたユーザのみが前記文
    書のコンテントにアクセスすることができるように暗号
    化された文書であり、 前記コンピュータは、前記文書のコンテントが、前記オ
    ーソライズされたユーザにとって利用可能になる前に、
    前記コンテントにアクセスすることを特徴とする記録媒
    体。
  45. 【請求項45】 請求項42において、前記コンピュー
    タは、 利用可能になるのが適正でない情報が、前記コンテント
    に含まれるとき、ユーザが前記データのコンテントにア
    クセスできないようにさらにコントロールすることを特
    徴とする記録媒体。
  46. 【請求項46】 請求項42において、前記セキュリテ
    ィプロバイダは、指定されたグループの各メンバのプラ
    イベート暗号情報をストアするのに、信用されており、 前記セキュリティプロバイダは、前記メンバのために暗
    号化されストアされたデータの非暗号化コピーと前記メ
    ンバとの間で通信された暗号化データの非暗号コピーを
    供給するため、前記ストアされたプライベート暗号情報
    を使用することを特徴とする記録媒体。
  47. 【請求項47】 請求項42において、前記コンピュー
    タは、前記コンテントを利用可能にするのが適正か否か
    を判定するため、前記非暗号化コピーを分析することを
    特徴とする記録媒体。
  48. 【請求項48】 請求項42において、 前記セキュリティプロバイダは、複数のユーザのための
    プライベート暗号情報にアクセスし、 前記コンピュータは、暗号化データを非暗号化するた
    め、前記ユーザのうちの一人の有するプライベート暗号
    情報を使用するのを停止することを、前記セキュリティ
    プロバイダに示し、これを示した後は、前記セキュリテ
    ィプロバイダによるアクセスを不可能にするようにさら
    にコントロールされることを特徴とする記録媒体。
  49. 【請求項49】 プライベート暗号情報によりデータの
    コンテントにアクセスさせるように暗号化されたデータ
    のコンテントにアクセスするコンピュータシステムであ
    って、前記コンテントのアクセスを、前記プライベート
    暗号情報にアクセスせずに行うコンピュータシステムに
    おいて、 前記暗号化データの指示を受け取るコンテントアナライ
    ザであって、前記プライベート暗号情報にアクセスする
    セキュリティプロバイダに前記暗号化データを通知する
    とともに、前記コンテントにアクセス可能になるよう
    に、前記暗号化データの非暗号化コピーを前記セキュリ
    ティプロバイダから受け取って、前記コンテントにアク
    セスするコンテントアナライザと、 前記アナライザを実行させることができるメモリとを備
    えたことを特徴とするコンピュータシステム。
  50. 【請求項50】 請求項49において、前記コンテント
    アナライザは、前記非暗号化コピーの受取が可能な前記
    セキュリティプロバイダとの信用のレベルを追加的に確
    立することを特徴とするコンピュータシステム。
  51. 【請求項51】 請求項49において、前記セキュリテ
    ィプロバイダは、 前記コンテントアナライザからの暗号化データの通知を
    受け取り、 プライベート暗号情報を用いて暗号化データを非暗号化
    し、しかも、前記データの非暗号化コピーを前記コンテ
    ントアナライザに送ることにより、前記コンテントアナ
    ライザに、プライベート暗号情報にアクセスさせずに、
    前記暗号化データのコンテントにアクセスさせることを
    特徴とするコンピュータシステム。
  52. 【請求項52】 請求項51において、前記コンテント
    アナライザにアクセスせずに、前記プライベート暗号情
    報にストアするためのストレージ装置をさらに備えたこ
    とを特徴とするコンピュータシステム。
  53. 【請求項53】 請求項49において、 アイソレーションAPIであって、該アイソレーション
    APIを介して、前記メッセージアナライザと前記セキ
    ュリティプロバイダの間で通信を行い、セキュリティプ
    ロバイダにアクセス可能なプライベート暗号情報にメッ
    セージアナライザがアクセスできないようにするアイソ
    レーションAPIをさらに備えたことを特徴とするコン
    ピュータシステム。
  54. 【請求項54】 請求項49において、前記コンテント
    アナライザは、前記コンテントが適正に利用可能か否か
    を判定するため、非暗号化コピーを追加的に分析するこ
    とを特徴とするコンピュータシステム。
  55. 【請求項55】 請求項54において、 前記データは少なくとも一人の受取人に対する暗号化通
    信であり、 前記コンテントアナライザは、前記通信が受取人により
    受信される前に、前記コンテントを分析することを特徴
    とするコンピュータシステム。
  56. 【請求項56】 請求項54において、 前記データは、オーソライズされたユーザのみが前記文
    書のコンテントにアクセスすることができるように暗号
    化された文書であり、 前記コンテントアナライザは、前記文書のコンテント
    が、オーソライズされたユーザに利用可能になる前に、
    前記コンテントを分析することを特徴とするコンピュー
    タシステム。
  57. 【請求項57】 請求項54において、前記コンテント
    アナライザは、当該コンテントが適正でないと判定され
    た場合に、前記データのコンテントにユーザがアクセス
    できないように追加的にすることを特徴とするコンピュ
    ータシステム。
  58. 【請求項58】 請求項49において、 前記セキュリティプロバイダは複数のユーザのためのプ
    ライベート暗号情報にアクセスし、 前記コンテントは、暗号化データを非暗号化するため、
    前記ユーザのうちの一人のユーザのプライベート暗号情
    報を使用することを停止させることを、前記セキュリテ
    ィプロバイダに追加的に示し、前記一人のユーザのため
    に暗号化されたデータを示すことが、前記コンテントア
    ナライザによりアクセスされないようにすることを特徴
    とするコンピュータシステム。
JP11365274A 1998-12-22 1999-12-22 暗号化電子デ―タのコンテントを分析する方法 Pending JP2000196590A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GBGB9828341.9A GB9828341D0 (en) 1998-12-22 1998-12-22 Method and system for analyzing the content of encrypted electronic data
GB9828341.9 1998-12-22

Publications (1)

Publication Number Publication Date
JP2000196590A true JP2000196590A (ja) 2000-07-14

Family

ID=10844813

Family Applications (1)

Application Number Title Priority Date Filing Date
JP11365274A Pending JP2000196590A (ja) 1998-12-22 1999-12-22 暗号化電子デ―タのコンテントを分析する方法

Country Status (3)

Country Link
EP (1) EP1026854A3 (ja)
JP (1) JP2000196590A (ja)
GB (1) GB9828341D0 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001287609A (ja) * 2000-04-07 2001-10-16 Asahi Kasei Corp エアバッグ用コーティング組成物及びエアバッグ

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4127587B2 (ja) * 1999-07-09 2008-07-30 株式会社東芝 コンテンツ管理方法およびコンテンツ管理装置および記録媒体
GB0027280D0 (en) 2000-11-08 2000-12-27 Malcolm Peter An information management system
US7912909B2 (en) * 2005-09-27 2011-03-22 Morgan Stanley Processing encumbered electronic communications
US20120308008A1 (en) * 2011-05-31 2012-12-06 Broadcom Corporation Wireless Transmission of Protected Content
US11616651B2 (en) 2019-01-04 2023-03-28 Baidu Usa Llc Method for establishing a secure information exchange channel between a host system and a data processing accelerator

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5475757A (en) * 1994-06-07 1995-12-12 At&T Corp. Secure data transmission method
US5812671A (en) * 1996-07-17 1998-09-22 Xante Corporation Cryptographic communication system
JPH1084338A (ja) * 1996-09-06 1998-03-31 Syst Kogaku Kk 暗号化情報通信システム
GB2320167B (en) * 1996-12-06 2002-08-21 Distrib Systems Res Inst The Integrated information communication system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001287609A (ja) * 2000-04-07 2001-10-16 Asahi Kasei Corp エアバッグ用コーティング組成物及びエアバッグ
JP4719333B2 (ja) * 2000-04-07 2011-07-06 旭化成せんい株式会社 エアバッグ用コーティング組成物及びエアバッグ

Also Published As

Publication number Publication date
EP1026854A3 (en) 2005-01-26
GB9828341D0 (en) 1999-02-17
EP1026854A2 (en) 2000-08-09

Similar Documents

Publication Publication Date Title
US6801998B1 (en) Method and apparatus for presenting anonymous group names
US6230269B1 (en) Distributed authentication system and method
US7284263B2 (en) Rights management inter-entity message policies and enforcement
JP3193610B2 (ja) 通信システム
JP4560051B2 (ja) 権利管理保護されたコンテンツのプレライセンス供与
US20030194085A1 (en) Protection of application secrets
US20030237005A1 (en) Method and system for protecting digital objects distributed over a network by electronic mail
WO2001078285A1 (en) System and method for controlling and enforcing access rights to encrypted media
EP1320957A1 (en) System for establishing an audit trail to protect objects distributed over a network
JP2006514478A (ja) オンライン/オフライン復号システム
EP1323258A1 (en) System for protecting objects distributed over a network
US7099478B2 (en) Apparatus for and method of controlling propagation of decryption keys
CN114175580B (zh) 增强的安全加密和解密系统
US7359518B2 (en) Distribution of secured information
US8161565B1 (en) Key release systems, components and methods
US11165568B2 (en) System and method for secure electronic data transfer
JP2000196590A (ja) 暗号化電子デ―タのコンテントを分析する方法
Finin et al. A Security Architecture for Agent Communication Language