JP2004140715A - 電子文書管理方法及びシステム - Google Patents
電子文書管理方法及びシステム Download PDFInfo
- Publication number
- JP2004140715A JP2004140715A JP2002305277A JP2002305277A JP2004140715A JP 2004140715 A JP2004140715 A JP 2004140715A JP 2002305277 A JP2002305277 A JP 2002305277A JP 2002305277 A JP2002305277 A JP 2002305277A JP 2004140715 A JP2004140715 A JP 2004140715A
- Authority
- JP
- Japan
- Prior art keywords
- browsing
- electronic document
- document data
- decryption key
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
- Document Processing Apparatus (AREA)
Abstract
【課題】閲覧者が正規の利用者であることを確認し、本人確認がなされた以降においては、電子ドキュメントを管理する。
【解決手段】文書配信サーバに、電子文書を暗号化する手段と、暗号化した文書にヘッダ情報等を付与して管理可能な状態にする手段と、この文書の閲覧記録を初期設定する手段を設け、閲覧受付サーバに、復号鍵を管理する手段と、復号鍵が使われた履歴を記録する手段とを設けた。
【選択図】 図1
【解決手段】文書配信サーバに、電子文書を暗号化する手段と、暗号化した文書にヘッダ情報等を付与して管理可能な状態にする手段と、この文書の閲覧記録を初期設定する手段を設け、閲覧受付サーバに、復号鍵を管理する手段と、復号鍵が使われた履歴を記録する手段とを設けた。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、デジタル化された文書データの管理方法に関わり、特に、閲覧者が管理する電子文書が第3者に見られていないことを確認するシステムおよび方法、あるいは、該電子文書が第3者によって不正に見られたことを検知するシステムおよび方法に関する。
【0002】
【従来の技術】
【特許文献1】
特開2002−63168号公報
特許文献1には、利用者のID番号と利用者の生体特徴情報をリンクして登録したデータベースを備え、電子ドキュメントを文書データベースに登録するときに、当該ドキュメントに対し閲覧許可者を利用者のID番号で指定させ、当該ドキュメントに閲覧許可者が指定されているときはID番号の入力を要求し、入力されたID番号が当該ドキュメントに指定されているID番号である場合には生体特徴情報の入力を要求し、入力された生体特徴情報とデータベースに登録されている生体特徴情報を照合して本人認証を行なうものであり、秘匿性の高い電子ドキュメントに対する閲覧許可/不許可のセキュリティを高くすることができることが記載されている。
【0003】
【発明が解決しようとする課題】
上記従来技術は、閲覧者が指定された正規の利用者であることを確認する仕組みであり、生体特徴情報を照合することで本人確認の精度を高めることができる。
【0004】
しかし、本人確認がなされた以降における電子ドキュメントの管理までは想定されていない。すなわち、閲覧可能な状態にある電子ドキュメントが、利用者の過失によって第3者に閲覧されてしまうことは想定されていない。
【0005】
本発明の第1の目的は、電子ドキュメントの漏洩が疑われた場合に、利用者が管理するデータは本人以外の第3者に持ち出されていないことを確認することができるシステム及び方法を提供することである。
【0006】
本発明の第2の目的は、利用者の過失等により、電子ドキュメントが第3者に持ち出されてしまった場合、持ち出されたことを早急に検出できるシステム及び方法を提供することである。
【0007】
【課題を解決するための手段】
本発明では第1の課題を解決するために、文書配信サーバに、電子文書を暗号化する手段と、暗号化した文書にヘッダ情報等を付与して管理可能な状態にする手段と、この文書の閲覧記録を初期設定する手段を設けた。さらに、閲覧受付サーバに、復号鍵を管理する手段と、復号鍵が使われた履歴を記録する手段とを設けた。
【0008】
本発明では第2の課題を解決するために、前記第1の課題を解決するための手段と、閲覧受付サーバに、閲覧者端末と閲覧受付サーバの履歴を比較し、履歴が一致したときだけ復号鍵を送信する手段とを設けた。
【0009】
【発明の実施の形態】
図1は、本発明を実現するためのシステム構成図である。
【0010】
本発明における関与者は、文書配信者(文書配信サーバ100)と閲覧履歴の管理者(閲覧受付サーバ110)と利用者(閲覧者端末120)である。そして、文書配信者と閲覧履歴の管理者は、物理的に離れた場所にある情報処理装置であっても、同一の情報処理装置内にある機能であっても良い。また、文書配信サーバ100、閲覧受付サーバ110、1つ以上の閲覧者端末(1からK)はオープンなネットワーク130で接続されている。ネットワーク130は公衆回線、専用回線のいずれでも良く、また、有線・無線を問わない。
【0011】
文書配信サーバ100は、配信する文書を閲覧できる端末を限定するために暗号機能112によって暗号化する。また、暗号化されたデータをシステムで管理するために、文書発行機能116においてヘッダ情報を付加する。さらに、文書を閲覧した履歴を管理するために、初期化機能114において関与者を初期化するための初期値を生成する。
【0012】
閲覧受付サーバ110は、文書配信サーバ100より復号鍵を預託され、鍵管理機能112において保管する。また、閲覧者端末120より閲覧要求があった場合、閲覧ログ記録機能114において要求した端末の情報を履歴として記録し、復号鍵を端末に返信する。そして、閲覧者端末120は、閲覧受付サーバから入手した復号鍵を用い、復号機能122において暗号化されたデータを復号する。
【0013】
図2は、文書データを配信するための処理フローであり、図3は文書を閲覧するための処理フローである。また、図4は文書データと復号データのファイル構造を示す説明図である。さらに、図8は、文書配信サーバ100のハードウェア構成図であり、図9は閲覧受付サーバ110のハードウェア構成図である。
【0014】
閲覧者端末120は、ステップ200においてユーザ情報の入力を受け付ける。ここでユーザ情報とは、ユーザIDとパスワードの組み合わせによる本人認証情報、閲覧者端末が持つMACアドレスなどの固有情報などを指すが、これに限定されるものではない。図8には記載しないが、メモリ830にはユーザ情報および本人確認プログラムが記録保持されており、文書配信サーバ100は、ステップ210において該ユーザ情報を受信し、閲覧者が事前に登録された本人かどうかの本人認証を行なう。本人が確認できない場合、文書配信サーバ100は閲覧者端末120に本人確認が失敗した旨を通知する。本人が確認された場合、文書配信サーバ100は閲覧者端末120に本人が確認できたことを通知し、ステップ220で指定された閲覧文書を蓄積手段820からメモリ830に読み出す。そして、文書配信サーバ100は、ステップ230において暗号プログラム833を用いて該文書を暗号化する。なお、暗号鍵及び復号鍵は文書配信サーバ100のメモリ830にある鍵生成・管理プログラム831により生成されたものである。この暗号鍵は、暗復合化処理で同じ鍵を使う共通鍵方式でも良いし、暗号化と復号化で異なる鍵を使う公開鍵暗号方式でも良い。
【0015】
次に、文書配信サーバ100はステップ240において、該文書の閲覧履歴を初期値(例えば、文書IDで特定された文書データの閲覧回数を0にする)とする電文(復号データ450)を初期値設定プログラム834で作成し、閲覧受付サーバ110に対して送信する。この復号データ450は、文書を識別するための文書ID425、履歴の回数を意味するログ更新情報435、復号鍵460で構成されている。
【0016】
閲覧受付サーバ110は、この復号データ450を受信し、復号鍵を鍵管理プログラム931で保管する。また、閲覧ログ記録プログラム932は復号データ450のログ更新情報435を読み取り、蓄積手段920(例えば、ハードディスク装置等)に初期値として登録する。
【0017】
文書配信サーバ100はステップ270において、文書ヘッダ410を設定し、文書データ生成プログラム832で文書データ400(=文書データ835)を作成する。なお、文書ヘッダ410は、文書ID420(=文書ID425)とログ情報430で構成されている。
【0018】
閲覧者端末120はステップ280において、この文書データ400を受信し、端末内の蓄積手段に保存する。以上に述べた文書配信サーバの処理は、制御手段840において処理を行なう。
【0019】
また、図示はしないが、メモリ830には文書発行サーバ100の稼動処理で必要となるデータやプログラムも記録保持されている。
【0020】
次に、図3について説明する。
【0021】
閲覧者端末120はステップ300において、閲覧する文書の指定を受け付ける。すなわち、文書データは閲覧者端末120に保存されており、閲覧者端末120のアプリケーションによって文書データのリストを表示し、このリストから閲覧したい文書を、利用者が選択することができる。そして、利用者が文書データ400を指定することで、ステップ310において文書ヘッダ410を取得することができ、この文書ヘッダを閲覧受付サーバ110に送信する。
【0022】
閲覧受付サーバ110のステップ320は、文書ヘッダ410に含まれるログ情報430を取り出し、閲覧ログ検査プログラム933を用いて蓄積手段920の閲覧ログデータと比較する。つまり、閲覧受付サーバ110は、文書ヘッダ410に含まれるログ情報430の数(閲覧回数)をメモリ930に読み出し、蓄積手段920の閲覧ログデータの数(閲覧回数)をメモリ930に読み出し、メモリ930上で両者を比較し、両者が一致しているか否かを判定する。そして、比較結果が一致しなければ文書配信サーバ100にその旨を通知する。この場合は、ステップ360において閲覧者端末からのアクセスに矛盾があることをユーザ情報に追記する。
【0023】
閲覧ログが一致した場合、閲覧受付サーバ110の処理はステップ330に進み、文書に対応する復号鍵(復号データ450)が選択される。次に、ステップ340において、復号データ450のログ更新情報435が1回加算され、ステップ350で更新された復号データ450が、閲覧者端末120へ送信される。このとき、閲覧ログ記録プログラム932により、蓄積手段920の閲覧ログデータが更新される。
【0024】
閲覧者端末120は、更新された復号データ450のログ更新情報435を用いて、文書データ400のログ情報430を更新する。その後、ステップ380において、復号データ450の復号鍵460を用いて暗号化文書データ440を復号する。
【0025】
図3において、閲覧受付サーバ110は閲覧要求の度に1つの復号鍵を送信しているが、同じ1つの鍵を使う場合、閲覧者端末120は、閲覧が終わるとメモリ930の復号鍵データを消去しなければならない。ただし、送信する復号鍵が毎回変更される場合は、閲覧端末120のメモリ930上の復号鍵を消去する処理は必須ではない。なお、復号鍵データ生成プログラム934は、復号鍵を毎回変更する場合に用いるプログラムである。また、図示はしないが、メモリ930には閲覧受付サーバ110の稼動処理で必要となるデータやプログラムも記録保持されている。
【0026】
図5及び図6は、メモリ930の復号鍵データを確実に消去しなければならないという課題に対応し、図5は文書データを配信するための処理フローを、図6は文書を閲覧するための処理フローを示したものである。また、図7は、文書データのファイル構造を示す説明図である。ここで、ステップ500からステップ530は、ステップ200からステップ230と同じであるから説明は省略する。
【0027】
ステップ540において、暗号化された文書データのビット操作を行なう為に、ビット操作値Bを設定する。この値Bは特定の値(固定値)でも良いが、閲覧者に予測できない規則性の無い乱数のほうが望ましい。
【0028】
次に、ステップ550及びステップ560において、次の式1を満たす関数Fと関数Gを設定する。
【0029】
B = F { G(k+1), G(k) }…(1)
例えば、関数F = G(k+1) G(k)とし、関数G = B×k+Cとすれば、Bは常に一定になる。ただし、関数Fは階差数列に限定されるものではなく、等比数列のような性質を持つ関数でも構わない。
【0030】
ステップ570において、ステップ530の暗号化に対応する復号鍵700を暗号化文書データ710と一緒に格納する。そして、ステップ580において、文書ヘッダ720を除く部分に対して値Bだけビット操作を行なう。このようなビット操作を行なうことによって、暗号化文書データ710と復号鍵700の組み合わせだけでは文書を閲覧できなくなる。ビット操作を行なった文書データ730(及び720)は閲覧者端末120に送付され、ステップ590において閲覧者端末120の蓄積手段に保存される。
【0031】
文書を見る場合は、ステップ600において閲覧する文書IDが指定される。そして、文書ヘッダ720を閲覧受付サーバ110に送信する。
【0032】
閲覧受付サーバ110はステップ610において、受信した文書ヘッダ720のログ情報430から閲覧回数の情報kを取り出し、kに1を加算する。つまり、閲覧回数を更新する。また、閲覧受付サーバ110はステップ620において、関数A = G(k)の値Aを計算し、復号データ450として閲覧者端末120に返信する。例えば、復号鍵460の領域に値Aを記録しても良い。
【0033】
閲覧者端末120はステップ630において、式1によりビット操作値Bを算出する。なお、ステップ630に書かれた計算式はB = F{A, G(k)}であり式1と異なるが、フロー表記上の違いであり、実質的に同一である。次に、ステップ640において、暗号化文書データ730を逆ビット操作する。そして、ステップ650において、復号鍵を取り出し、ステップ660において、暗号化文書データを復号する。また、ステップ670において、閲覧履歴の更新等を行なう。すなわち、復号データ450のログ更新情報435を、文書ヘッダ720のログ情報430に代入する。また、G(k)に値Aを代入する。これらの後処理によって、ステップ630のビット操作値Bが正しく算出できるようになる。
【0034】
以上に述べた閲覧受付サーバの処理は、制御手段940(例えば、CPU等)において処理を行なう。
【0035】
なお、本実施の形態において、文書配信サーバ100、閲覧受付サーバ110、閲覧者端末120は、いわゆるパーソナルコンピュータ、ワークステーション等が用いられ、このようなコンピュータ上で動作するプログラムにより上述した各手段が機能的に実現される。
【0036】
また、特に利用者のコンピュータは、記憶手段や表示・入力手段や通信手段を持ち、プログラムを搭載できる多機能携帯端末でも良いので、いわゆるコンピュータ装置に限定されるものではない。
【0037】
以上に述べた実施の形態では、閲覧者端末120にはプログラムが予めインストールされていた。すなわち、特別なプログラムが搭載されたコンピュータ装置を利用しなければ、このサービスを受けることができない仕組みであり、関与者に特別なプログラムをインストールするという手間を強いていた。
【0038】
ところが、Java(R)等の技術を利用し、特別なプログラムに相当する処理をJava(R)アプレットとして実装し、該アプレットを文書発行サーバなどからダウンロードして利用できれば、閲覧者は汎用的なブラウザでの利用が可能となる。現在では、ネットワークに接続されているほとんどのコンピュータは、汎用ブラウザをインストール済みであるから、Java(R)技術を利用すると閲覧者は特別なインストール作業をする必要が無くなる。
【0039】
【発明の効果】
本発明によれば、電子ドキュメントの漏洩が疑われた場合に、利用者が管理するデータは本人以外の第3者に持ち出されていないことを確認することができる。
【0040】
また、利用者の過失等により、電子ドキュメントが第3者に持ち出されてしまった場合、持ち出されたことを早急に検出できる。これにより、電子ドキュメントを持ち出されたことを利用者本人が知ることができれば、被害届けを出すなど問題が大きくなる前に対策を取ることができる。
【図面の簡単な説明】
【図1】本発明を実現するためのシステム構成図である。
【図2】文書データを配信するための処理フローである。
【図3】文書を閲覧するための処理フローである。
【図4】文書データと復号データのファイル構造を示す説明図である。
【図5】復号鍵データを確実に消去しなければならないという課題に対応し、文書データを配信するための処理フローを示したものである。
【図6】復号鍵データを確実に消去しなければならないという課題に対応し、文書を閲覧するための処理フローを示したものである。
【図7】文書データのファイル構造を示す説明図である。
【図8】文書配信サーバ100のハードウェア構成図である。
【図9】閲覧受付サーバ110のハードウェア構成図である。
【符号の説明】
100…文書配信サーバ、110…閲覧受付サーバ、120…閲覧者端末、130…値とワーク、400…文書データ、450…復号データ、810,910…通信手段、820,920…蓄積手段、830,930…メモリ、840,940…制御手段、850,950…バス。
【発明の属する技術分野】
本発明は、デジタル化された文書データの管理方法に関わり、特に、閲覧者が管理する電子文書が第3者に見られていないことを確認するシステムおよび方法、あるいは、該電子文書が第3者によって不正に見られたことを検知するシステムおよび方法に関する。
【0002】
【従来の技術】
【特許文献1】
特開2002−63168号公報
特許文献1には、利用者のID番号と利用者の生体特徴情報をリンクして登録したデータベースを備え、電子ドキュメントを文書データベースに登録するときに、当該ドキュメントに対し閲覧許可者を利用者のID番号で指定させ、当該ドキュメントに閲覧許可者が指定されているときはID番号の入力を要求し、入力されたID番号が当該ドキュメントに指定されているID番号である場合には生体特徴情報の入力を要求し、入力された生体特徴情報とデータベースに登録されている生体特徴情報を照合して本人認証を行なうものであり、秘匿性の高い電子ドキュメントに対する閲覧許可/不許可のセキュリティを高くすることができることが記載されている。
【0003】
【発明が解決しようとする課題】
上記従来技術は、閲覧者が指定された正規の利用者であることを確認する仕組みであり、生体特徴情報を照合することで本人確認の精度を高めることができる。
【0004】
しかし、本人確認がなされた以降における電子ドキュメントの管理までは想定されていない。すなわち、閲覧可能な状態にある電子ドキュメントが、利用者の過失によって第3者に閲覧されてしまうことは想定されていない。
【0005】
本発明の第1の目的は、電子ドキュメントの漏洩が疑われた場合に、利用者が管理するデータは本人以外の第3者に持ち出されていないことを確認することができるシステム及び方法を提供することである。
【0006】
本発明の第2の目的は、利用者の過失等により、電子ドキュメントが第3者に持ち出されてしまった場合、持ち出されたことを早急に検出できるシステム及び方法を提供することである。
【0007】
【課題を解決するための手段】
本発明では第1の課題を解決するために、文書配信サーバに、電子文書を暗号化する手段と、暗号化した文書にヘッダ情報等を付与して管理可能な状態にする手段と、この文書の閲覧記録を初期設定する手段を設けた。さらに、閲覧受付サーバに、復号鍵を管理する手段と、復号鍵が使われた履歴を記録する手段とを設けた。
【0008】
本発明では第2の課題を解決するために、前記第1の課題を解決するための手段と、閲覧受付サーバに、閲覧者端末と閲覧受付サーバの履歴を比較し、履歴が一致したときだけ復号鍵を送信する手段とを設けた。
【0009】
【発明の実施の形態】
図1は、本発明を実現するためのシステム構成図である。
【0010】
本発明における関与者は、文書配信者(文書配信サーバ100)と閲覧履歴の管理者(閲覧受付サーバ110)と利用者(閲覧者端末120)である。そして、文書配信者と閲覧履歴の管理者は、物理的に離れた場所にある情報処理装置であっても、同一の情報処理装置内にある機能であっても良い。また、文書配信サーバ100、閲覧受付サーバ110、1つ以上の閲覧者端末(1からK)はオープンなネットワーク130で接続されている。ネットワーク130は公衆回線、専用回線のいずれでも良く、また、有線・無線を問わない。
【0011】
文書配信サーバ100は、配信する文書を閲覧できる端末を限定するために暗号機能112によって暗号化する。また、暗号化されたデータをシステムで管理するために、文書発行機能116においてヘッダ情報を付加する。さらに、文書を閲覧した履歴を管理するために、初期化機能114において関与者を初期化するための初期値を生成する。
【0012】
閲覧受付サーバ110は、文書配信サーバ100より復号鍵を預託され、鍵管理機能112において保管する。また、閲覧者端末120より閲覧要求があった場合、閲覧ログ記録機能114において要求した端末の情報を履歴として記録し、復号鍵を端末に返信する。そして、閲覧者端末120は、閲覧受付サーバから入手した復号鍵を用い、復号機能122において暗号化されたデータを復号する。
【0013】
図2は、文書データを配信するための処理フローであり、図3は文書を閲覧するための処理フローである。また、図4は文書データと復号データのファイル構造を示す説明図である。さらに、図8は、文書配信サーバ100のハードウェア構成図であり、図9は閲覧受付サーバ110のハードウェア構成図である。
【0014】
閲覧者端末120は、ステップ200においてユーザ情報の入力を受け付ける。ここでユーザ情報とは、ユーザIDとパスワードの組み合わせによる本人認証情報、閲覧者端末が持つMACアドレスなどの固有情報などを指すが、これに限定されるものではない。図8には記載しないが、メモリ830にはユーザ情報および本人確認プログラムが記録保持されており、文書配信サーバ100は、ステップ210において該ユーザ情報を受信し、閲覧者が事前に登録された本人かどうかの本人認証を行なう。本人が確認できない場合、文書配信サーバ100は閲覧者端末120に本人確認が失敗した旨を通知する。本人が確認された場合、文書配信サーバ100は閲覧者端末120に本人が確認できたことを通知し、ステップ220で指定された閲覧文書を蓄積手段820からメモリ830に読み出す。そして、文書配信サーバ100は、ステップ230において暗号プログラム833を用いて該文書を暗号化する。なお、暗号鍵及び復号鍵は文書配信サーバ100のメモリ830にある鍵生成・管理プログラム831により生成されたものである。この暗号鍵は、暗復合化処理で同じ鍵を使う共通鍵方式でも良いし、暗号化と復号化で異なる鍵を使う公開鍵暗号方式でも良い。
【0015】
次に、文書配信サーバ100はステップ240において、該文書の閲覧履歴を初期値(例えば、文書IDで特定された文書データの閲覧回数を0にする)とする電文(復号データ450)を初期値設定プログラム834で作成し、閲覧受付サーバ110に対して送信する。この復号データ450は、文書を識別するための文書ID425、履歴の回数を意味するログ更新情報435、復号鍵460で構成されている。
【0016】
閲覧受付サーバ110は、この復号データ450を受信し、復号鍵を鍵管理プログラム931で保管する。また、閲覧ログ記録プログラム932は復号データ450のログ更新情報435を読み取り、蓄積手段920(例えば、ハードディスク装置等)に初期値として登録する。
【0017】
文書配信サーバ100はステップ270において、文書ヘッダ410を設定し、文書データ生成プログラム832で文書データ400(=文書データ835)を作成する。なお、文書ヘッダ410は、文書ID420(=文書ID425)とログ情報430で構成されている。
【0018】
閲覧者端末120はステップ280において、この文書データ400を受信し、端末内の蓄積手段に保存する。以上に述べた文書配信サーバの処理は、制御手段840において処理を行なう。
【0019】
また、図示はしないが、メモリ830には文書発行サーバ100の稼動処理で必要となるデータやプログラムも記録保持されている。
【0020】
次に、図3について説明する。
【0021】
閲覧者端末120はステップ300において、閲覧する文書の指定を受け付ける。すなわち、文書データは閲覧者端末120に保存されており、閲覧者端末120のアプリケーションによって文書データのリストを表示し、このリストから閲覧したい文書を、利用者が選択することができる。そして、利用者が文書データ400を指定することで、ステップ310において文書ヘッダ410を取得することができ、この文書ヘッダを閲覧受付サーバ110に送信する。
【0022】
閲覧受付サーバ110のステップ320は、文書ヘッダ410に含まれるログ情報430を取り出し、閲覧ログ検査プログラム933を用いて蓄積手段920の閲覧ログデータと比較する。つまり、閲覧受付サーバ110は、文書ヘッダ410に含まれるログ情報430の数(閲覧回数)をメモリ930に読み出し、蓄積手段920の閲覧ログデータの数(閲覧回数)をメモリ930に読み出し、メモリ930上で両者を比較し、両者が一致しているか否かを判定する。そして、比較結果が一致しなければ文書配信サーバ100にその旨を通知する。この場合は、ステップ360において閲覧者端末からのアクセスに矛盾があることをユーザ情報に追記する。
【0023】
閲覧ログが一致した場合、閲覧受付サーバ110の処理はステップ330に進み、文書に対応する復号鍵(復号データ450)が選択される。次に、ステップ340において、復号データ450のログ更新情報435が1回加算され、ステップ350で更新された復号データ450が、閲覧者端末120へ送信される。このとき、閲覧ログ記録プログラム932により、蓄積手段920の閲覧ログデータが更新される。
【0024】
閲覧者端末120は、更新された復号データ450のログ更新情報435を用いて、文書データ400のログ情報430を更新する。その後、ステップ380において、復号データ450の復号鍵460を用いて暗号化文書データ440を復号する。
【0025】
図3において、閲覧受付サーバ110は閲覧要求の度に1つの復号鍵を送信しているが、同じ1つの鍵を使う場合、閲覧者端末120は、閲覧が終わるとメモリ930の復号鍵データを消去しなければならない。ただし、送信する復号鍵が毎回変更される場合は、閲覧端末120のメモリ930上の復号鍵を消去する処理は必須ではない。なお、復号鍵データ生成プログラム934は、復号鍵を毎回変更する場合に用いるプログラムである。また、図示はしないが、メモリ930には閲覧受付サーバ110の稼動処理で必要となるデータやプログラムも記録保持されている。
【0026】
図5及び図6は、メモリ930の復号鍵データを確実に消去しなければならないという課題に対応し、図5は文書データを配信するための処理フローを、図6は文書を閲覧するための処理フローを示したものである。また、図7は、文書データのファイル構造を示す説明図である。ここで、ステップ500からステップ530は、ステップ200からステップ230と同じであるから説明は省略する。
【0027】
ステップ540において、暗号化された文書データのビット操作を行なう為に、ビット操作値Bを設定する。この値Bは特定の値(固定値)でも良いが、閲覧者に予測できない規則性の無い乱数のほうが望ましい。
【0028】
次に、ステップ550及びステップ560において、次の式1を満たす関数Fと関数Gを設定する。
【0029】
B = F { G(k+1), G(k) }…(1)
例えば、関数F = G(k+1) G(k)とし、関数G = B×k+Cとすれば、Bは常に一定になる。ただし、関数Fは階差数列に限定されるものではなく、等比数列のような性質を持つ関数でも構わない。
【0030】
ステップ570において、ステップ530の暗号化に対応する復号鍵700を暗号化文書データ710と一緒に格納する。そして、ステップ580において、文書ヘッダ720を除く部分に対して値Bだけビット操作を行なう。このようなビット操作を行なうことによって、暗号化文書データ710と復号鍵700の組み合わせだけでは文書を閲覧できなくなる。ビット操作を行なった文書データ730(及び720)は閲覧者端末120に送付され、ステップ590において閲覧者端末120の蓄積手段に保存される。
【0031】
文書を見る場合は、ステップ600において閲覧する文書IDが指定される。そして、文書ヘッダ720を閲覧受付サーバ110に送信する。
【0032】
閲覧受付サーバ110はステップ610において、受信した文書ヘッダ720のログ情報430から閲覧回数の情報kを取り出し、kに1を加算する。つまり、閲覧回数を更新する。また、閲覧受付サーバ110はステップ620において、関数A = G(k)の値Aを計算し、復号データ450として閲覧者端末120に返信する。例えば、復号鍵460の領域に値Aを記録しても良い。
【0033】
閲覧者端末120はステップ630において、式1によりビット操作値Bを算出する。なお、ステップ630に書かれた計算式はB = F{A, G(k)}であり式1と異なるが、フロー表記上の違いであり、実質的に同一である。次に、ステップ640において、暗号化文書データ730を逆ビット操作する。そして、ステップ650において、復号鍵を取り出し、ステップ660において、暗号化文書データを復号する。また、ステップ670において、閲覧履歴の更新等を行なう。すなわち、復号データ450のログ更新情報435を、文書ヘッダ720のログ情報430に代入する。また、G(k)に値Aを代入する。これらの後処理によって、ステップ630のビット操作値Bが正しく算出できるようになる。
【0034】
以上に述べた閲覧受付サーバの処理は、制御手段940(例えば、CPU等)において処理を行なう。
【0035】
なお、本実施の形態において、文書配信サーバ100、閲覧受付サーバ110、閲覧者端末120は、いわゆるパーソナルコンピュータ、ワークステーション等が用いられ、このようなコンピュータ上で動作するプログラムにより上述した各手段が機能的に実現される。
【0036】
また、特に利用者のコンピュータは、記憶手段や表示・入力手段や通信手段を持ち、プログラムを搭載できる多機能携帯端末でも良いので、いわゆるコンピュータ装置に限定されるものではない。
【0037】
以上に述べた実施の形態では、閲覧者端末120にはプログラムが予めインストールされていた。すなわち、特別なプログラムが搭載されたコンピュータ装置を利用しなければ、このサービスを受けることができない仕組みであり、関与者に特別なプログラムをインストールするという手間を強いていた。
【0038】
ところが、Java(R)等の技術を利用し、特別なプログラムに相当する処理をJava(R)アプレットとして実装し、該アプレットを文書発行サーバなどからダウンロードして利用できれば、閲覧者は汎用的なブラウザでの利用が可能となる。現在では、ネットワークに接続されているほとんどのコンピュータは、汎用ブラウザをインストール済みであるから、Java(R)技術を利用すると閲覧者は特別なインストール作業をする必要が無くなる。
【0039】
【発明の効果】
本発明によれば、電子ドキュメントの漏洩が疑われた場合に、利用者が管理するデータは本人以外の第3者に持ち出されていないことを確認することができる。
【0040】
また、利用者の過失等により、電子ドキュメントが第3者に持ち出されてしまった場合、持ち出されたことを早急に検出できる。これにより、電子ドキュメントを持ち出されたことを利用者本人が知ることができれば、被害届けを出すなど問題が大きくなる前に対策を取ることができる。
【図面の簡単な説明】
【図1】本発明を実現するためのシステム構成図である。
【図2】文書データを配信するための処理フローである。
【図3】文書を閲覧するための処理フローである。
【図4】文書データと復号データのファイル構造を示す説明図である。
【図5】復号鍵データを確実に消去しなければならないという課題に対応し、文書データを配信するための処理フローを示したものである。
【図6】復号鍵データを確実に消去しなければならないという課題に対応し、文書を閲覧するための処理フローを示したものである。
【図7】文書データのファイル構造を示す説明図である。
【図8】文書配信サーバ100のハードウェア構成図である。
【図9】閲覧受付サーバ110のハードウェア構成図である。
【符号の説明】
100…文書配信サーバ、110…閲覧受付サーバ、120…閲覧者端末、130…値とワーク、400…文書データ、450…復号データ、810,910…通信手段、820,920…蓄積手段、830,930…メモリ、840,940…制御手段、850,950…バス。
Claims (7)
- 電子文書データの閲覧履歴を管理可能な電子文書管理システムにおいて、
前記電子文書データを暗号化する手段と、暗号化された前記電子文書データにヘッダ情報を付与する手段を有する文書配信サーバと、
暗号化された前記電子文書データを復号可能な復号鍵を管理する手段と、前記復号鍵が使われた履歴を記録する手段を有する閲覧受付サーバとを備えた電子文書管理システム。 - 請求項1記載の電子文書管理システムにおいて、
前記閲覧受付サーバは、さらに、閲覧者端末と前記閲覧受付サーバの閲覧履歴を比較する手段と、両者の閲覧履歴が一致したときだけ前記復号鍵を前記閲覧者端末へ送信する手段を有する電子文書管理システム。 - 電子文書データの閲覧履歴を管理可能な電子文書管理システムにおいて、
前記電子文書データを暗号化する手段と、暗号化された前記電子文書データにヘッダ情報を付与する手段を有する文書配信サーバと、
閲覧申し込み時に閲覧回数を変数とする一次関数を計算する手段と、この計算値を返信する手段と、閲覧履歴を記録する手段を閲覧受付サーバと、
閲覧受付サーバから受信した計算値を記憶する手段と、前回の閲覧時に受信した計算値と今回の閲覧時に受信した計算値の差分を計算し、この差分から復号鍵を生成する手段と、前記復号鍵を用いて暗号化された前記電子文書データを復号する閲覧者端末を備えた電子文書管理システム。 - 請求項3記載の電子文書管理システムにおいて、
前記閲覧受付サーバは、前記復号鍵をビット操作する手段と、ビット操作した前記復号鍵を暗号化した前記電子文書データと一緒に前記閲覧者端末に送る手段を有し、
前記閲覧者端末は、閲覧申し込み時に前記閲覧受付サーバから受信した計算値を記憶する手段と、前記差分をビット操作値としてビット操作された復号鍵を逆変換する手段と、前記復号鍵を用いて暗号化された文書データを復号する電子文書管理システム。 - 請求項4記載の電子文書管理システムにおいて、
前記一次関数は、階差数列のテーブル又は等比数列のテーブルである電子文書管理システム。 - 電子文書データの閲覧履歴を管理可能な電子文書管理方法において、
文書配信サーバが、前記電子文書データを識別するための識別情報と前記電子文書データの閲覧回数情報と復号鍵を生成し、前記識別情報と前記閲覧回数情報と前記復号鍵を閲覧受付サーバへ送信し、
前記閲覧受付サーバが、前記識別情報と前記閲覧回数情報と前記復号鍵を蓄積手段に蓄積し、
前記文書配信サーバが、前記復号鍵に対応する暗号鍵を用いて前記電子文書データを暗号化し、暗号化された前記電子文書データに前記識別情報と前記閲覧回数情報を付加し、暗号化された前記電子文書データを閲覧者端末へ送信し、
前記閲覧受付サーバが、前記識別情報と前記閲覧回数情報を前記閲覧者端末から受信し、受信された前記識別情報をキーとして前記閲覧回数情報を蓄積手段から読み出し、受信された前記閲覧回数情報と読み出された前記閲覧回数情報とを比較し、その比較結果に応じて前記蓄積手段に蓄積された前記閲覧回数情報を更新すると共に、更新された前記閲覧回数情報と前記識別情報と前記復号鍵を前記閲覧者端末へ送信する電子文書管理方法。 - 電子文書データの閲覧履歴を管理可能な電子文書管理方法において、
文書配信サーバが、前記電子文書データを識別するための識別情報と前記電子文書データの閲覧回数情報と復号鍵とビット操作のためのビット操作値を生成し、前記復号鍵に対応する暗号鍵を用いて前記電子文書データを暗号化し、前記ビット操作値を用いて、暗号化された前記電子文書データと前記復号鍵を合わせてビット操作し、ビット操作された前記電子文書データ及び前記復号鍵と前記識別情報を閲覧者端末へ送信し、
前記閲覧受付サーバが、前記閲覧者端末からの閲覧要求ごとに、前記閲覧回数情報を前記閲覧者端末から受信し、前記閲覧回数情報を更新し、更新された前記閲覧回数情報に基づいて、閲覧回数を変数とする関数を用いて計算値を算出し、前記計算値を前記閲覧者端末へ送信する電子文書管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002305277A JP2004140715A (ja) | 2002-10-21 | 2002-10-21 | 電子文書管理方法及びシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002305277A JP2004140715A (ja) | 2002-10-21 | 2002-10-21 | 電子文書管理方法及びシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004140715A true JP2004140715A (ja) | 2004-05-13 |
Family
ID=32452436
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002305277A Pending JP2004140715A (ja) | 2002-10-21 | 2002-10-21 | 電子文書管理方法及びシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004140715A (ja) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006268412A (ja) * | 2005-03-24 | 2006-10-05 | Fuji Xerox Co Ltd | ファイル配信システム、ファイルサーバ、ファイル配信方法、ファイル配信プログラム |
| KR100652990B1 (ko) | 2004-08-20 | 2006-12-01 | 주식회사 엘지데이콤 | 전자 문서 보안을 위한 프레임워크 |
| JP2007122356A (ja) * | 2005-10-27 | 2007-05-17 | Mizuho Information & Research Institute Inc | ファイル管理サーバ、ファイル管理方法及びファイル管理プログラム |
| JP2007286728A (ja) * | 2006-04-13 | 2007-11-01 | Fuji Xerox Co Ltd | 文書管理装置、文書管理方法及びプログラム |
| JP2009005202A (ja) * | 2007-06-25 | 2009-01-08 | Ripplex Inc | 情報交換装置 |
| US7599929B2 (en) | 2006-05-09 | 2009-10-06 | Fuji Xerox Co., Ltd. | Document use tracking system, method, computer readable medium, and computer data signal |
| JP2012078923A (ja) * | 2010-09-30 | 2012-04-19 | Nec Personal Computers Ltd | 検証システム及び方法 |
| JP2015022514A (ja) * | 2013-07-18 | 2015-02-02 | サクサ株式会社 | 文書管理システム |
-
2002
- 2002-10-21 JP JP2002305277A patent/JP2004140715A/ja active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100652990B1 (ko) | 2004-08-20 | 2006-12-01 | 주식회사 엘지데이콤 | 전자 문서 보안을 위한 프레임워크 |
| JP2006268412A (ja) * | 2005-03-24 | 2006-10-05 | Fuji Xerox Co Ltd | ファイル配信システム、ファイルサーバ、ファイル配信方法、ファイル配信プログラム |
| JP4725152B2 (ja) * | 2005-03-24 | 2011-07-13 | 富士ゼロックス株式会社 | ファイル配信システム、ファイルサーバ、ファイル配信方法、ファイル配信プログラム |
| JP2007122356A (ja) * | 2005-10-27 | 2007-05-17 | Mizuho Information & Research Institute Inc | ファイル管理サーバ、ファイル管理方法及びファイル管理プログラム |
| JP2007286728A (ja) * | 2006-04-13 | 2007-11-01 | Fuji Xerox Co Ltd | 文書管理装置、文書管理方法及びプログラム |
| US7599929B2 (en) | 2006-05-09 | 2009-10-06 | Fuji Xerox Co., Ltd. | Document use tracking system, method, computer readable medium, and computer data signal |
| JP2009005202A (ja) * | 2007-06-25 | 2009-01-08 | Ripplex Inc | 情報交換装置 |
| JP2012078923A (ja) * | 2010-09-30 | 2012-04-19 | Nec Personal Computers Ltd | 検証システム及び方法 |
| JP2015022514A (ja) * | 2013-07-18 | 2015-02-02 | サクサ株式会社 | 文書管理システム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6678821B1 (en) | Method and system for restricting access to the private key of a user in a public key infrastructure | |
| EP3701668B1 (en) | Methods for recording and sharing a digital identity of a user using distributed ledgers | |
| US6334118B1 (en) | Software rental system and method for renting software | |
| JP4463979B2 (ja) | 暗号方式でカムフラージュされた暗号方式キーをストアし証明し使用する装置および方法 | |
| US7890993B2 (en) | Secret file access authorization system with fingerprint limitation | |
| JP3516591B2 (ja) | データの保存方法およびシステム並びにデータ保存処理用記録媒体 | |
| US20060018484A1 (en) | Information processing device, information processing system, and program | |
| US20080059797A1 (en) | Data Communication System, Agent System Server, Computer Program, and Data Communication Method | |
| US20080260156A1 (en) | Management Service Device, Backup Service Device, Communication Terminal Device, and Storage Medium | |
| JP2005537559A (ja) | トランザクションの安全な記録 | |
| JP2004295271A (ja) | カード及びパスコード生成器 | |
| US6990582B2 (en) | Authentication method in an agent system | |
| US20090112883A1 (en) | Application processing method, and intermediation server device | |
| US11706022B1 (en) | Method for trusted data decryption based on privacy-preserving computation | |
| US7234060B1 (en) | Generation and use of digital signatures | |
| CN111401901A (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
| JPH1198134A (ja) | クッキーの改ざん・コピー検出処理方法およびプログラム記憶媒体 | |
| JP2012065123A (ja) | Icカードシステム、その通信端末、携帯端末 | |
| JP4947562B2 (ja) | 鍵情報管理装置 | |
| JP2004070674A (ja) | 電子データ交換システムにおけるデータ保護装置及びデータ保護方法並びにそれに用いるプログラム | |
| JP2004140715A (ja) | 電子文書管理方法及びシステム | |
| CN110955909B (zh) | 个人数据保护方法及区块链节点 | |
| JPH05298174A (ja) | 遠隔ファイルアクセスシステム | |
| JPH1124916A (ja) | ソフトウェアライセンス管理装置および方法 | |
| JP2008011092A (ja) | 暗号化コンテンツ検索方式 |