JP2005165738A - Electronic content management system, electronic content management method, and its program - Google Patents

Electronic content management system, electronic content management method, and its program Download PDF

Info

Publication number
JP2005165738A
JP2005165738A JP2003404537A JP2003404537A JP2005165738A JP 2005165738 A JP2005165738 A JP 2005165738A JP 2003404537 A JP2003404537 A JP 2003404537A JP 2003404537 A JP2003404537 A JP 2003404537A JP 2005165738 A JP2005165738 A JP 2005165738A
Authority
JP
Japan
Prior art keywords
authority
encryption key
electronic content
encryption
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003404537A
Other languages
Japanese (ja)
Inventor
Tetsuya Takahashi
哲也 高橋
Tadashi Shoji
忠 庄司
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
FUSIONSYS KK
FIT Co Ltd Japan
Original Assignee
FUSIONSYS KK
FIT Co Ltd Japan
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by FUSIONSYS KK, FIT Co Ltd Japan filed Critical FUSIONSYS KK
Priority to JP2003404537A priority Critical patent/JP2005165738A/en
Publication of JP2005165738A publication Critical patent/JP2005165738A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To enhance security; and to simply conduct the management operation of enciphering keys by enciphering/decoding a plurality of data portions being encipherment of interest in an electronic content by means of a plurality of enciphering keys. <P>SOLUTION: An electronic content management method comprises: enciphering the electronic content in a data portion unit being the encipherment of interest by means of the plurality of enciphering keys; linking authority instituting the range of an action being previously effectively done with each of the plurality of enciphering keys to associate identification information on a user with each authority. Checking the identification information provided from the user against the authority-associated identification information specifies the authority corresponding to the identification information on the user and the enciphering key corresponding to the authority when access by the user is authenticated. Reading and changing the data portion corresponding to the enciphering key is permitted. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、文書、音楽、静止画、動画等の電子コンテンツを暗号化して管理する電子コンテンツ管理システム、電子コンテンツ管理方法、及びそのプログラムに関する。   The present invention relates to an electronic content management system, an electronic content management method, and a program thereof that encrypt and manage electronic contents such as documents, music, still images, and moving images.

近年、文書、音楽、静止画、動画等の電子コンテンツの管理に関して、外部からのハッキングや何らかのデータ流出事故に対する対策として、データそのものを暗号化して保管する手法が開示されている。特許文献1は、電子情報の暗号化を行い、必要な復号鍵情報及び利用権限情報を生成する電子情報作成装置と、前記利用権限情報及び前記復号鍵情報を登録する利用権限管理装置と、該暗号化に必要な暗号鍵情報を記憶する電子情報管理装置と、該暗号鍵を用いて暗号化された電子情報を復号化し、復号化された電子情報を表示する電子情報参照装置を有する電子情報配布システムを開示する。
特開2003−30056号公報 In recent years, regarding the management of electronic contents such as documents, music, still images, and moving images, a technique for encrypting and storing the data itself has been disclosed as a countermeasure against external hacking and some data leakage accidents. Patent Document 1 encrypts electronic information and generates necessary decryption key information and usage authority information; an electronic information creation apparatus that registers the usage authority information and the decryption key information; and Electronic information management apparatus for storing encryption key information necessary for encryption, and electronic information reference apparatus for decrypting electronic information encrypted using the encryption key and displaying the decrypted electronic information Disclose the distribution system.
Japanese Patent Laid-Open No. 2003-30056

しかしながら、上記特許文献1は、1つの復号鍵が流出してしまうと、対応する1つの電子情報すべてが復号化されてしまうという問題点がある。また、利用者の権限として閲覧、保存、印刷、転送、編集といった電子情報の利用方法を定義し、利用者に当該権限に応じて電子情報の利用を許可することはできるが、電子情報を閲覧等することができるデータ部分の範囲を権限に応じて定義するものではなかった。したがって、利用者毎に閲覧等することができる範囲を調整したい電子コンテンツに適用することは困難である。   However, Patent Document 1 has a problem that if one decryption key is leaked, all corresponding electronic information is decrypted. In addition, the user's authority can define how to use electronic information such as viewing, saving, printing, transferring, and editing, and the user can be allowed to use the electronic information according to the authority. The range of data parts that can be equalized was not defined according to authority. Therefore, it is difficult to apply to electronic contents whose range that can be browsed for each user is to be adjusted.

本発明は、上記問題点に鑑みてなされたものであり、電子コンテンツ中の暗号化対象となる複数のデータ部分を複数の暗号鍵で暗号化/復号化することにより、セキュリティを高めることができる電子コンテンツ管理システム、電子コンテンツ管理方法、及びそのプログラムを提供することを目的とする。   The present invention has been made in view of the above problems, and can enhance security by encrypting / decrypting a plurality of data portions to be encrypted in electronic contents with a plurality of encryption keys. An object is to provide an electronic content management system, an electronic content management method, and a program thereof.

また本発明は、1つの電子コンテンツに対し複数の暗号鍵で暗号化/復号化する場合における暗号鍵の管理運用を簡便に行うことができる電子コンテンツ管理システム、電子コンテンツ管理方法、及びそのプログラムを提供することを目的とする。   In addition, the present invention provides an electronic content management system, an electronic content management method, and a program thereof that can easily perform encryption key management operations when one electronic content is encrypted / decrypted with a plurality of encryption keys. The purpose is to provide.

かかる目的を達成するために、請求項1記載の発明は、暗号化対象となるデータ部分単位に複数の暗号鍵で暗号化された電子コンテンツを記録する暗号化電子コンテンツ記録手段141と、前記複数の暗号鍵を記録する暗号鍵記録手段142と、前記複数の暗号鍵の各々を、予め有効に行うことのできる行為の範囲を定めた権限に関連付けて定義する暗号鍵/権限関連付手段143と、前記暗号鍵/権限関連付手段143により定義された権限の各々に、ユーザの識別情報を関連付けて定義する権限/個人対応関連付手段144と、前記暗号鍵を作成して前記電子コンテンツを暗号化し、前記暗号鍵を使用して前記暗号化された電子コンテンツを復号化する暗号化/復号化手段123と、ユーザから入力される識別情報と、前記権限/個人対応関連付手段144に定義された識別情報とを照合して、前記ユーザのアクセスを認証するか否かを判断する認証手段121と、前記認証手段121により認証されたユーザのアクセスに対して、前記電子コンテンツの一部または全部の閲覧または変更を許可するデータ処理手段122と、前記暗号化/復号化手段123及び前記データ処理手段122の作業領域として使用される一時記憶手段130と、を有し、前記データ処理手段122は、前記認証手段121により認証されたユーザに対応する権限を前記権限/個人対応関連付手段144を参照して特定し、該権限に対応する暗号鍵を前記暗号鍵/権限対応関連付手段143を参照して特定し、前記暗号化/復号化手段123は、前記データ処理手段122により特定された暗号鍵を使用して、前記暗号化電子コンテンツ記録手段141に記録されている暗号化された電子コンテンツ中の前記特定された暗号鍵に対応するデータ部分を前記一時記憶手段130に復号することを特徴としている。   In order to achieve such an object, the invention described in claim 1 includes an encrypted electronic content recording unit 141 for recording electronic content encrypted with a plurality of encryption keys in a data part unit to be encrypted, and the plurality An encryption key recording unit 142 that records the encryption key of each of the plurality of encryption keys, an encryption key / authority association unit 143 that defines each of the plurality of encryption keys in association with an authority that defines a range of actions that can be effectively performed in advance, and , Authority / individual association means 144 that associates and defines user identification information with each authority defined by the encryption key / authority association means 143, and creates the encryption key to encrypt the electronic content. Encryption / decryption means 123 for decrypting the encrypted electronic content using the encryption key, identification information input from the user, and the authority / individual pair The authentication means 121 for determining whether or not to authenticate the user's access by collating with the identification information defined in the associating means 144, and for the access of the user authenticated by the authentication means 121, A data processing unit 122 that permits browsing or changing part or all of the electronic content; and a temporary storage unit 130 that is used as a work area of the encryption / decryption unit 123 and the data processing unit 122. The data processing means 122 identifies the authority corresponding to the user authenticated by the authentication means 121 with reference to the authority / personal association means 144, and determines the encryption key corresponding to the authority as the encryption key / The encryption / decryption unit 123 specifies the encryption key specified by the data processing unit 122 by specifying with reference to the authority correspondence association unit 143. Thus, the data portion corresponding to the specified encryption key in the encrypted electronic content recorded in the encrypted electronic content recording unit 141 is decrypted in the temporary storage unit 130. .

請求項1記載の発明によれば、データベース等により構築される暗号化電子コンテンツ記録手段141は、電子コンテンツ(例えばXML文書ファイル)を暗号化対象となるデータ部分単位(例えばXML文書ファイルのタグ単位)に複数の暗号鍵で暗号化して記録し、暗号鍵記録手段142は、前記複数の暗号鍵を記録する。暗号鍵/権限対応関連付手段143は、前記複数の暗号鍵の各々を、予め有効に行うことのできる行為の範囲を定めた権限(例えば組織の部署や役職に対応する権限)に関連付け、権限/個人対応関連付手段144は、各権限にユーザの識別情報を関連付ける。揮発性メモリ等で構築される一時記憶手段130は、暗号化/復号化、及び各種データ処理の作業領域として使用される。暗号化/復号化手段123は、DES等の任意の暗号化法により前記電子コンテンツを暗号化し、前記暗号鍵を使用して前記暗号化された電子コンテンツを復号化する。認証手段121は、ユーザからICカード挿入等により提供される識別情報と、前記権限/個人対応関連付手段144に定義された識別情報とを照合して、前記ユーザのアクセスを認証するか否かを判断する。データ処理手段122は、認証されたユーザの権限及び該権限に関連付けられた暗号鍵を特定し、前記電子コンテンツの一部または全部の閲覧または変更を許可する。   According to the first aspect of the present invention, the encrypted electronic content recording means 141 constructed by a database or the like is a data part unit (for example, a tag unit of an XML document file) for encrypting electronic content (for example, an XML document file). ) Are encrypted and recorded with a plurality of encryption keys, and the encryption key recording means 142 records the plurality of encryption keys. The encryption key / authority correspondence associating means 143 associates each of the plurality of encryption keys with an authority (for example, authority corresponding to the department or position of the organization) that defines the range of actions that can be effectively performed in advance. The personal correspondence association means 144 associates the user identification information with each authority. The temporary storage means 130 constructed by a volatile memory or the like is used as a work area for encryption / decryption and various data processing. The encryption / decryption means 123 encrypts the electronic content by an arbitrary encryption method such as DES, and decrypts the encrypted electronic content using the encryption key. Whether the authentication unit 121 authenticates the user's access by collating the identification information provided by the user by inserting an IC card or the like with the identification information defined in the authority / personal correspondence association unit 144 Judging. The data processing unit 122 identifies the authorized user's authority and the encryption key associated with the authority, and permits viewing or changing part or all of the electronic content.

請求項2記載の発明は、請求項1記載の発明において、前記暗号化/復号化手段123は、前記電子コンテンツ中の1以上の前記データ部分を暗号化/復号化できる複数の暗号鍵を作成して、前記電子コンテンツを暗号化/復号化できる範囲が階層化された複数の暗号鍵を作成することを特徴としている。   According to a second aspect of the invention, in the first aspect of the invention, the encryption / decryption means 123 creates a plurality of encryption keys that can encrypt / decrypt one or more data portions in the electronic content. Then, a plurality of encryption keys in which the range in which the electronic content can be encrypted / decrypted are hierarchized are created.

請求項2記載の発明によれば、暗号化/復号化手段123は、電子コンテンツ中の1以上のデータ部分を暗号化/復号化できる複数の暗号鍵(例えば、1つのデータ部分を暗号化/復号化できる暗号鍵、2つのデータ部分を暗号化/復号化できる暗号鍵、すべてのデータ部分を暗号化/復号化できる暗号鍵等)を作成して、前記電子コンテンツを暗号化/復号化できる範囲が階層化された複数の暗号鍵を作成する。   According to the second aspect of the present invention, the encryption / decryption means 123 encrypts / decrypts one or more data parts in the electronic content (for example, encrypts / decrypts one data part). The electronic content can be encrypted / decrypted by creating an encryption key that can be decrypted, an encryption key that can encrypt / decrypt two data parts, an encryption key that can encrypt / decrypt all data parts, etc. Create multiple encryption keys with hierarchical ranges.

請求項3記載の発明は、請求項1または2記載の発明において、前記暗号化/復号化手段123は、前記暗号鍵記録手段142に記録される暗号鍵である一般暗号鍵を暗号化/復号化する主暗号鍵を作成し、前記暗号鍵記録手段142は、前記主暗号鍵により暗号化された前記一般暗号鍵を記録し、前記主暗号鍵は、前記一時記憶手段130に保管されることを特徴としている。   The invention according to claim 3 is the invention according to claim 1 or 2, wherein the encryption / decryption means 123 encrypts / decrypts a general encryption key which is an encryption key recorded in the encryption key recording means 142. The encryption key recording unit 142 records the general encryption key encrypted with the main encryption key, and the main encryption key is stored in the temporary storage unit 130. It is characterized by.

請求項3記載の発明によれば、暗号化/復号化手段123は、暗号鍵記録手段142に記録される暗号鍵を暗号化/復号化する主暗号鍵を1つ作成する。前記主暗号鍵は、ハードディスク等に記録せずに、一時記憶手段130に保管する。   According to the third aspect of the invention, the encryption / decryption means 123 creates one main encryption key for encrypting / decrypting the encryption key recorded in the encryption key recording means 142. The main encryption key is stored in the temporary storage means 130 without being recorded on a hard disk or the like.

請求項4記載の発明は、請求項1から3のいずれか1項に記載の発明において、前記データ部分は、タグ単位であることを特徴としている。   The invention according to claim 4 is the invention according to any one of claims 1 to 3, wherein the data portion is a tag unit.

請求項4記載の発明によれば、1つの電子コンテンツの暗号化対象部分をタグ単位に複数の暗号鍵で暗号化する。   According to the fourth aspect of the present invention, a portion to be encrypted of one electronic content is encrypted with a plurality of encryption keys for each tag.

請求項5記載の発明は、暗号化対象となるデータ部分単位に複数の暗号鍵で暗号化された電子コンテンツを記録する暗号化電子コンテンツ記録手段141と、前記複数の暗号鍵を記録する暗号鍵記録手段142と、前記複数の暗号鍵の各々を、予め有効に行うことのできる行為の範囲を定めた権限に関連付けて定義する暗号鍵/権限関連付手段143と、前記暗号鍵/権限関連付手段143により定義された権限の各々に、ユーザの識別情報を関連付けて定義する権限/個人対応関連付手段144と、を用いて電子コンテンツを管理する電子コンテンツ管理方法であって、ユーザから入力される識別情報と、前記権限/個人関連付手段143に定義された識別情報とを照合して、前記ユーザのアクセスを認証するか否かを判断する認証ステップと、前記認証ステップにより認証されたユーザの識別情報に対応する権限、及び該権限に対応する暗号鍵を特定する暗号鍵特定ステップと、前記暗号鍵特定ステップにより特定された暗号鍵に対応するデータ部分の閲覧または変更を許可する閲覧許可ステップと、を有することを特徴としている。   The invention according to claim 5 is an encrypted electronic content recording means 141 for recording electronic content encrypted with a plurality of encryption keys in a data part unit to be encrypted, and an encryption key for recording the plurality of encryption keys. A recording unit 142; an encryption key / authority association unit 143 that defines each of the plurality of encryption keys in association with an authority that defines a range of actions that can be effectively performed in advance; and the encryption key / authority association An electronic content management method for managing electronic content using authority / individual correspondence associating means 144 that associates and defines user identification information with each of the authorities defined by the means 143, and is input from the user And an identification step for determining whether or not to authenticate the user's access by comparing the identification information and the identification information defined in the authority / personal association means 143. An authority corresponding to the identification information of the user authenticated by the authentication step, an encryption key specifying step for specifying an encryption key corresponding to the authority, and data corresponding to the encryption key specified by the encryption key specifying step A browsing permission step for permitting browsing or changing of the portion.

請求項5記載の発明によれば、認証ステップは、ユーザからICカード挿入等により提供される識別情報と、権限と関連付けられた識別情報とを照合して、前記ユーザのアクセスを認証するか否かを判断する。暗号鍵特定ステップは、認証されたユーザの利用者情報に対応する権限、及び該権限に対応する暗号鍵を特定する。閲覧許可ステップは、特定された暗号鍵に対応するデータ部分の閲覧または変更を許可する。   According to the fifth aspect of the present invention, in the authentication step, whether or not the user's access is authenticated by comparing the identification information provided by the user by inserting the IC card or the like with the identification information associated with the authority. Determine whether. The encryption key specifying step specifies an authority corresponding to the user information of the authenticated user and an encryption key corresponding to the authority. In the browsing permission step, browsing or changing the data portion corresponding to the specified encryption key is permitted.

請求項6記載の発明は、請求項5記載の発明において、前記電子コンテンツが入力されると、該電子コンテンツを暗号化対象となるデータ部分単位に複数の暗号鍵で暗号化する電子コンテンツ暗号化ステップと、前記電子コンテンツ暗号化ステップにより暗号化された複数の暗号鍵の各々を、予め有効に行うことのできる行為の範囲を定めた権限に、関連付ける暗号鍵/権限関連付ステップと、前記権限/個人対応関連付手段144に定義されたユーザに変更があるとき、変更後のユーザの識別情報を、前記権限/個人対応関連付手段144に定義された所定の権限に関連付ける権限/個人関連付ステップと、をさらに有することを特徴としている。   The invention according to claim 6 is the electronic content encryption according to claim 5, wherein when the electronic content is inputted, the electronic content is encrypted with a plurality of encryption keys in units of data parts to be encrypted. A step of associating each of the plurality of encryption keys encrypted in the electronic content encryption step with an authority defining a range of actions that can be effectively performed in advance, and an authority associating step, / When there is a change in the user defined in the personal correspondence association means 144, the authority / individual association for associating the changed user identification information with the predetermined authority defined in the authority / personal correspondence association means 144 And a step.

請求項6記載の発明によれば、電子コンテンツ暗号化ステップは、電子コンテンツ(例えばXML文書ファイル)を暗号化対象となるデータ部分単位(例えばXML文書ファイルのタグ単位)に複数の暗号鍵で暗号化し、暗号鍵/権限関連付けステップは、前記複数の暗号鍵の各々を、予め有効に行うことのできる行為の範囲を定めた権限(例えば組織の部署や役職に対応する権限)に関連付け、権限/個人関連付けステップは、各権限にユーザの識別情報を関連付ける。   According to the invention described in claim 6, the electronic content encryption step encrypts the electronic content (for example, XML document file) in a data portion unit (for example, a tag unit of the XML document file) to be encrypted with a plurality of encryption keys. The encryption key / authority associating step associates each of the plurality of encryption keys with an authority (for example, authority corresponding to the department or job title of the organization) that defines a range of actions that can be effectively performed in advance. The personal association step associates user identification information with each authority.

請求項7記載の発明は、暗号化対象となるデータ部分単位に複数の暗号鍵で暗号化された電子コンテンツを記録する暗号化電子コンテンツ記録手段141と、前記複数の暗号鍵を記録する暗号鍵記録手段142と、前記複数の暗号鍵の各々を、予め有効に行うことのできる行為の範囲を定めた権限に関連付けて定義する暗号鍵/権限関連付手段143と、前記暗号鍵/権限関連付手段143により定義された権限の各々に、ユーザの識別情報を関連付けて定義する権限/個人対応関連付手段144と、を機能させて電子コンテンツを管理するコンピュータ読み取り可能なプログラムであって、ユーザから入力される識別情報と、前記権限/個人関連付手段144に定義された識別情報とを照合して、前記ユーザのアクセスを認証するか否かを判断する認証処理と、前記認証処理により認証されたユーザの識別情報に対応する権限、及び該権限に対応する暗号鍵を特定する暗号鍵特定処理と、前記暗号鍵特定処理により特定された暗号鍵に対応するデータ部分の閲覧または変更を許可する閲覧許可処理と、をコンピュータに実行させることを特徴としている。   The invention described in claim 7 is an encrypted electronic content recording unit 141 for recording electronic content encrypted with a plurality of encryption keys in a data part unit to be encrypted, and an encryption key for recording the plurality of encryption keys. A recording unit 142; an encryption key / authority association unit 143 that defines each of the plurality of encryption keys in association with an authority that defines a range of actions that can be effectively performed in advance; and the encryption key / authority association A computer-readable program for managing electronic contents by causing an authority / personal correspondence association means 144 that associates and defines user identification information to each of the authorities defined by the means 143 to manage electronic content. Whether to authenticate the user's access by collating the input identification information with the identification information defined in the authority / personal association means 144 The authentication process to be refused, the authority corresponding to the identification information of the user authenticated by the authentication process, the encryption key specifying process for specifying the encryption key corresponding to the authority, and the encryption key specified by the encryption key specifying process And a browsing permission process for permitting browsing or changing of a data portion corresponding to.

請求項7記載の発明によれば、認証処理は、ユーザからICカード挿入等により提供される識別情報と、権限と関連付けられた識別情報とを照合して、前記ユーザのアクセスを認証するか否かを判断する。暗号鍵特定処理は、認証されたユーザの識別情報に対応する権限、及び該権限に対応する暗号鍵を特定する。閲覧許可処理は、特定された暗号鍵に対応するデータ部分の閲覧または変更を許可する。   According to the seventh aspect of the present invention, whether or not the authentication process authenticates the user's access by comparing the identification information provided by the user by inserting an IC card and the like with the identification information associated with the authority. Determine whether. The encryption key specifying process specifies the authority corresponding to the authenticated user identification information and the encryption key corresponding to the authority. The browsing permission process permits browsing or changing of the data portion corresponding to the specified encryption key.

請求項8記載の発明は、請求項7記載の発明において、前記電子コンテンツが入力されると、該電子コンテンツを暗号化対象となるデータ部分単位に複数の暗号鍵で暗号化する電子コンテンツ暗号化処理と、前記電子コンテンツ暗号化処理により暗号化された複数の暗号鍵の各々を、予め有効に行うことのできる行為の範囲を定めた権限に関連付ける暗号鍵/権限関連付処理と、前記権限/個人対応関連付手段144に定義されたユーザに変更があると、変更後のユーザの識別情報を、前記権限/個人対応関連付手段144に定義された所定の権限に関連付ける権限/個人関連付処理と、をさらにコンピュータに実行させることを特徴としている。   The invention according to claim 8 is the electronic content encryption according to claim 7, wherein when the electronic content is input, the electronic content is encrypted with a plurality of encryption keys in units of data parts to be encrypted. An encryption key / authority association process for associating each of the plurality of encryption keys encrypted by the electronic content encryption process with an authority that defines a range of actions that can be effectively performed in advance, When there is a change in the user defined in the personal correspondence association means 144, the authority / individual association process for associating the changed user identification information with the predetermined authority defined in the authority / personal correspondence association means 144 Are further executed by a computer.

請求項8記載の発明によれば、電子コンテンツ暗号化処理は、電子コンテンツ(例えばXML文書ファイル)を暗号化対象となるデータ部分単位(例えばXML文書ファイルのタグ単位)に複数の暗号鍵で暗号化し、暗号鍵/権限関連付け処理は、前記複数の暗号鍵の各々を、予め有効に行うことのできる行為の範囲を定めた権限(例えば組織の部署や役職に対応する権限)に関連付け、権限/個人関連付け処理は、各権限に個人単位の利用者情報を関連付ける。   According to the eighth aspect of the invention, the electronic content encryption process encrypts electronic content (for example, an XML document file) with a plurality of encryption keys in a data part unit (for example, a tag unit of the XML document file) to be encrypted. In the encryption key / authority association process, each of the plurality of encryption keys is associated with an authority (for example, authority corresponding to a department or a post of an organization) that defines a range of actions that can be effectively performed in advance. In the personal association process, individual authority user information is associated with each authority.

請求項1記載の発明によれば、電子コンテンツを暗号化対象となるデータ部分単位に複数の暗号鍵で暗号化して記録することにより、1つの暗号鍵で暗号化する場合に比較し、よりセキュリティを高めることができる。また、複数の暗号鍵を個人に割り当てるのではなく、権限に割り当てることから個人が暗号鍵を管理する必要がなく運用を簡便に行うことができる。個人は、暗号鍵を意識することなく一般的な認証を行うのみでよい。組織異動や役割変更等があっても、暗号鍵の受け渡しや再暗号化等が必要なく、暗号鍵と権限との関連付けまたは権限と個人との関連付けのみを変更すればよい。さらに、暗号鍵を個人ではなくシステムで管理することにより、電子コンテンツを受領してから即時に暗号化することができ、セキュリティを高めることができる。   According to the first aspect of the present invention, the electronic content is encrypted and recorded with a plurality of encryption keys in the data portion unit to be encrypted, so that it is more secure than the case where it is encrypted with one encryption key. Can be increased. In addition, since a plurality of encryption keys are not assigned to an individual but are assigned to an authority, it is not necessary for the individual to manage the encryption key, and the operation can be easily performed. Individuals need only perform general authentication without being aware of the encryption key. Even if there is an organizational change or a role change, it is not necessary to transfer or re-encrypt the encryption key, and it is only necessary to change the association between the encryption key and the authority or the association between the authority and the individual. Furthermore, by managing the encryption key not by an individual but by the system, it is possible to immediately encrypt the electronic content after it is received, thereby improving security.

請求項2記載の発明によれば、請求項1記載の発明の効果に加えて、階層化暗号方式を使用して暗号化/復号化できる範囲が異なる複数の暗号鍵を生成し、それらの暗号鍵と権限とを関連付けることにより、官公庁組織や会社組織等の階層化された権限構造に暗号鍵を1対1で対応させることができ、暗号鍵の管理を簡便に行うことができる。   According to the invention described in claim 2, in addition to the effect of the invention described in claim 1, a plurality of encryption keys having different ranges that can be encrypted / decrypted using the hierarchical encryption method are generated, and the encryption By associating the key with the authority, the encryption key can be made to correspond one-to-one to the hierarchical authority structure such as a government agency organization or a company organization, and the encryption key can be managed easily.

請求項3記載の発明によれば、請求項1または2記載の発明の効果に加えて、電子コンテンツ中の暗号化対象となるデータ部分を暗号化/復号化する暗号鍵を、主暗号鍵を使用して暗号化することにより、さらにセキュリティを高めることができる。   According to the invention described in claim 3, in addition to the effect of the invention described in claim 1 or 2, the encryption key for encrypting / decrypting the data portion to be encrypted in the electronic content is the main encryption key. By using and encrypting, security can be further enhanced.

請求項4記載の発明によれば、請求項1から3のいずれか1項に記載の発明の効果に加えて、タグ単位に暗号化することにより、意味内容が理解できる単位で暗号鍵を生成することができ、権限に対して過不足ない情報を関連付けすることができる。   According to the invention described in claim 4, in addition to the effect of the invention described in any one of claims 1 to 3, the encryption key is generated in a unit in which the meaning can be understood by encrypting in tag units. It is possible to associate information that is not excessive or insufficient with respect to authority.

請求項5、7記載の発明によれば、電子コンテンツを暗号化対象となるデータ部分単位に複数の暗号鍵で暗号化して管理することにより、1つの暗号鍵で暗号化する場合に比較し、よりセキュリティを高めることができる。また、複数の暗号鍵を個人に割り当てるのではなく、権限に割り当てることから個人が暗号鍵を管理する必要がなく運用を簡便に行うことができる。個人は、暗号鍵を意識することなく一般的な認証を行うのみでよい。   According to the fifth and seventh aspects of the invention, the electronic content is encrypted and managed with a plurality of encryption keys in the data portion unit to be encrypted, compared with the case of encrypting with one encryption key, Security can be increased. In addition, since a plurality of encryption keys are not assigned to an individual but are assigned to an authority, it is not necessary for the individual to manage the encryption key, and the operation can be easily performed. Individuals need only perform general authentication without being aware of the encryption key.

請求項6、8記載の発明によれば、請求項5、6記載の発明の効果に加えて、暗号鍵と個人とを直接関連付けて管理する手法を採らないため、組織異動や役割変更等があっても、暗号鍵の受け渡しや再暗号化等が必要なく、暗号鍵と権限との関連付けまたは権限と個人との関連付けのみを変更すればよい。さらに、暗号鍵を個人ではなくシステムで管理することにより、電子コンテンツを受領してから即時に暗号化することができ、セキュリティを高めることができる。   According to the inventions of claims 6 and 8, in addition to the effects of the inventions of claims 5 and 6, since a technique for directly associating and managing an encryption key and an individual is not employed, organizational changes, role changes, etc. Even in such a case, it is not necessary to transfer or re-encrypt the encryption key, and it is only necessary to change the association between the encryption key and the authority or the association between the authority and the individual. Furthermore, by managing the encryption key not by an individual but by the system, it is possible to immediately encrypt the electronic content after it is received, thereby improving security.

以下、本発明を実施するための最良の形態を添付図面を参照しながら詳細に説明する。   The best mode for carrying out the present invention will be described below in detail with reference to the accompanying drawings.

図1は、本発明の実施形態における電子コンテンツ管理システムの基本構成を示す図である。図1に示す電子コンテンツ管理システムには、端末装置210,220が接続される。   FIG. 1 is a diagram showing a basic configuration of an electronic content management system according to an embodiment of the present invention. Terminal devices 210 and 220 are connected to the electronic content management system shown in FIG.

電子コンテンツ管理システム100は、入出力インタフェース110、制御部120、一時記憶手段130、暗号化電子コンテンツ記録手段141、暗号鍵記録手段142、暗号鍵/権限関連付手段(暗号鍵/権限対応テーブル)143、及び権限/個人関連付手段(権限/個人対応テーブル)144を備える。   The electronic content management system 100 includes an input / output interface 110, a control unit 120, a temporary storage unit 130, an encrypted electronic content recording unit 141, an encryption key recording unit 142, an encryption key / authority association unit (encryption key / authority correspondence table). 143 and authority / individual association means (authority / individual correspondence table) 144.

入出力インタフェース110は、外部機器と通信するためのインタフェースであり、外部機器とは、SSL(Secure Sockets Layer)やTLS(Transport Layer Security)プロトコルを使用して通信するとよい。   The input / output interface 110 is an interface for communicating with an external device, and may communicate with the external device using an SSL (Secure Sockets Layer) or a TLS (Transport Layer Security) protocol.

制御部120は、認証手段121、データ処理手段122、及び暗号化/復号化手段123を備える。制御部120は、CPU(Central Processing Unit)やROM(Read Only Memory)等により構成される。認証手段121は、端末装置210,220から入力されるユーザID及びパスワード、または図示しないIC(Integrated Circuit)カード等の認証媒体読取装置から入力される認証情報を基に、権限/個人対応テーブル144を参照して、アクセスしたユーザの権限の有無、権限の範囲を特定する。また、認証手段121は、既存あるいは新規の利用者認証システム等と情報を交換して相互認証を行い、それ以外のアクセスを禁止する機能を持つこともでき、その場合、なりすまし等の不正アクセスを防止することができる。   The control unit 120 includes an authentication unit 121, a data processing unit 122, and an encryption / decryption unit 123. The control unit 120 includes a CPU (Central Processing Unit), a ROM (Read Only Memory), and the like. The authentication means 121 is based on the user ID and password input from the terminal devices 210 and 220, or authentication information input from an authentication medium reader such as an IC (Integrated Circuit) card (not shown), and the authority / person correspondence table 144. Referring to the above, specify whether the accessed user has authority and the scope of authority. The authentication unit 121 can also have a function of performing mutual authentication by exchanging information with an existing or new user authentication system or the like and prohibiting other access. In this case, unauthorized access such as impersonation can be prevented. Can be prevented.

データ処理手段122は、暗号化電子コンテンツ記録手段141、暗号鍵記録手段142、暗号鍵/権限対応テーブル143、及び権限/個人対応テーブル144のデータを出し入れしたり、それらのデータを更新したり、その他付随した処理を行う。   The data processing unit 122 reads and writes data of the encrypted electronic content recording unit 141, the encryption key recording unit 142, the encryption key / authority correspondence table 143, and the authority / individual correspondence table 144, updates the data, Other accompanying processing is performed.

暗号化/復号化手段123は、文書、音楽、静止画、動画等の電子コンテンツを暗号化/復号化する。この際、電子コンテンツのデータ部分毎(例えばXML(Extensible Markup Language)文書のタグ毎)に異なる暗号鍵で暗号化/復号化する。また、それらの複数の暗号鍵に対しても暗号化/復号化することができる。暗号化方式は、AES(Advanced Encryption Standard)、DES(Data Encryption Standard)、Rijndael(ラインダール)、及び本発明者が特開2002−366030号公報において開示した階層化暗号方式等を用いることができる。   The encryption / decryption means 123 encrypts / decrypts electronic content such as documents, music, still images, and moving images. At this time, encryption / decryption is performed with a different encryption key for each data portion of electronic content (for example, for each tag of an XML (Extensible Markup Language) document). In addition, the plurality of encryption keys can be encrypted / decrypted. As the encryption method, AES (Advanced Encryption Standard), DES (Data Encryption Standard), Rijndael, and the layered encryption method disclosed by the present inventor in JP-A-2002-366030 can be used. .

なお、暗号化/復号化手段123は、管理者により電子コンテンツが入力されたときや、外部から電子コンテンツを受信したとき、ユーザ自身による暗号化等の処理を必要とせずに、即時かつ自動的に、当該電子コンテンツに階層化暗号方式等の暗号化処理を実行するとよい。   It should be noted that the encryption / decryption means 123 does not require processing such as encryption by the user himself / herself when electronic content is input by the administrator or when electronic content is received from the outside. In addition, encryption processing such as a layered encryption method may be performed on the electronic content.

一時記憶手段130は、暗号化電子コンテンツ記録手段141、暗号鍵記録手段142、暗号鍵/権限対応テーブル143、及び権限/個人対応テーブル144から読み出したデータ等の作業領域として使用する。また、電子コンテンツを暗号化対象となるデータ部分毎に暗号化/復号化する複数の暗号鍵を暗号化して暗号鍵記録手段142に記録する場合は、当該暗号鍵を暗号化するための鍵を常時記憶する。以下、電子コンテンツの暗号化対象となるデータ部分を暗号化する暗号鍵を一般暗号鍵と呼び、当該一般暗号鍵を暗号化する暗号鍵を主暗号鍵と呼ぶ。   The temporary storage unit 130 is used as a work area for data read from the encrypted electronic content recording unit 141, the encryption key recording unit 142, the encryption key / authority correspondence table 143, and the authority / personal correspondence table 144. When a plurality of encryption keys for encrypting / decrypting electronic content for each data part to be encrypted are encrypted and recorded in the encryption key recording unit 142, a key for encrypting the encryption key is used. Always remember. Hereinafter, an encryption key for encrypting a data portion to be encrypted of electronic content is referred to as a general encryption key, and an encryption key for encrypting the general encryption key is referred to as a main encryption key.

一般暗号鍵は、基本的にデータ部分の数と同数生成されることになるが、階層化暗号化方式を使用した場合は、データ部分の数より多く生成される。主暗号鍵は、通常1個とする。主暗号鍵のバックアップは、ハードディスクに記録せずに、フレキシブルディスク等の記録媒体に記録し、管理者がそれを管理する。   The number of general encryption keys is basically the same as the number of data parts. However, when the hierarchical encryption method is used, the number of general encryption keys is more than the number of data parts. There is usually one main encryption key. The backup of the main encryption key is not recorded on the hard disk but is recorded on a recording medium such as a flexible disk, and the administrator manages it.

暗号化電子コンテンツ記録手段141は、暗号化対象となるデータ部分が暗号化された電子コンテンツを記録している。図3は、暗号化電子コンテンツ記録手段141に記録されるデータの一例を示す図である。例えば、氏名、生年月日、住所、本籍、電話番号、配偶者、職業、収入、及び疾病歴等の個人情報をXML文書ファイルとして電子的に管理する場合、各タグ毎に暗号化されて記録される。図3において、各タグに挟まれている文字列が暗号化されたデータである。もちろん、XMLファイルに限るものではなく、WAVEファイル等にも応用可能である。   The encrypted electronic content recording unit 141 records electronic content in which a data portion to be encrypted is encrypted. FIG. 3 is a diagram showing an example of data recorded in the encrypted electronic content recording unit 141. For example, when personal information such as name, date of birth, address, permanent address, phone number, spouse, occupation, income, and medical history is electronically managed as an XML document file, it is encrypted and recorded for each tag. Is done. In FIG. 3, the character string sandwiched between the tags is the encrypted data. Of course, the present invention is not limited to an XML file, and can be applied to a WAVE file or the like.

暗号鍵記録手段142は、電子コンテンツ中の暗号化対象となる1つ以上のデータ部分を暗号化/復号化する一般暗号鍵が複数記録される。これらの一般暗号鍵は、主暗号鍵により暗号化されて記録されてもよい。   The encryption key recording unit 142 records a plurality of general encryption keys for encrypting / decrypting one or more data portions to be encrypted in the electronic content. These general encryption keys may be recorded after being encrypted with the main encryption key.

暗号鍵/権限対応テーブル143は、暗号鍵記録手段142に記録されている複数の一般暗号鍵に対応した権限を定義しているテーブルである。図4は、暗号鍵/権限対応テーブル143に管理されるテーブルの一例を示す図である。図4に示す例は、官公庁組織内の所属及び役職に基づき、それに対応する権限と、使用可能な一般暗号鍵とを関連付けている。これらは、予め決定され、管理者のみが変更することができる。また、権限は、組織内の部署や役職以外にも対応させることができる。例えば、有料で情報を提供するサービスにおいては、権限を料金コースに対応させることができる。   The encryption key / authority correspondence table 143 is a table that defines authorities corresponding to a plurality of general encryption keys recorded in the encryption key recording unit 142. FIG. 4 is a diagram showing an example of a table managed by the encryption key / authority correspondence table 143. As shown in FIG. The example shown in FIG. 4 associates a corresponding authority with a usable general encryption key based on the affiliation and title in the government office organization. These are predetermined and can only be changed by the administrator. In addition, authority can be applied to other departments and positions within the organization. For example, in a service that provides information for a fee, the authority can be associated with a fee course.

権限/個人対応テーブル144は、暗号鍵/権限対応テーブル143に定義した権限に利用者情報を関連付けるテーブルである。図5は、権限/個人対応テーブル144に管理されるテーブルの一例を示す図である。図5に示す例は、図4に示した例において定義した権限に、個人の利用者情報を関連付けている。図5において、認証情報としては、ユーザID(Identification)及びパスワード、またはICカードのIDのいずれか一方でもよい。また、これらの認証情報の代わりに、ユーザの指紋等のバイオメトリクス情報を用いてもよい。権限/個人対応テーブル144も、管理者のみが変更することができる。なお、暗号鍵/権限対応テーブル143及び権限/個人対応テーブル144を分けて説明したが、一つのテーブルで構築してもよい。   The authority / individual correspondence table 144 is a table that associates user information with the authority defined in the encryption key / authority correspondence table 143. FIG. 5 is a diagram illustrating an example of a table managed in the authority / personal correspondence table 144. The example shown in FIG. 5 associates personal user information with the authority defined in the example shown in FIG. In FIG. 5, the authentication information may be either a user ID (Identification) and password, or an IC card ID. In addition, biometric information such as a user's fingerprint may be used instead of the authentication information. Only the administrator can change the authority / individual correspondence table 144. Although the encryption key / authority correspondence table 143 and the authority / individual correspondence table 144 have been described separately, they may be constructed with one table.

暗号化電子コンテンツ記録手段141、暗号鍵記録手段142、暗号鍵/権限対応テーブル143、及び権限/個人対応テーブル144は、SQL(Structured Query Language)で構築することができるが、これに限定するものではない。   The encrypted electronic content recording unit 141, the encryption key recording unit 142, the encryption key / authority correspondence table 143, and the authority / individual correspondence table 144 can be constructed by SQL (Structured Query Language), but are not limited thereto. is not.

電子コンテンツ管理システム100は、1台または複数台のサーバにより構成することができる。図2は、電子コンテンツ管理システム100の一構成例を示すブロック図である。図2において、電子コンテンツ管理システム100は、暗号鍵サーバ100a、運用サーバ100b、及び認証サーバ100cの3台のサーバで構築されている。暗号鍵サーバ100aが暗号鍵記録手段142を構成し、運用サーバ100bが暗号化電子コンテンツ記録手段141を構成し、認証サーバ100cが認証手段121を構成する。その他の要素は、3台のサーバで任意に分担させて構築することができる。したがって、暗号鍵サーバ100aと運用サーバ100bとの間で実際に暗号鍵をやりとりさせずに、運用サーバ100bは、復号化したい電子コンテンツのデータ部分を暗号鍵サーバ100aに送信して復号化してもらい、復号化されたデータ部分を受信することもできる。もちろん、3台のサーバ間の通信も、SSL等を使用してセキュリティを高めるとよい。   The electronic content management system 100 can be configured by one or a plurality of servers. FIG. 2 is a block diagram illustrating a configuration example of the electronic content management system 100. In FIG. 2, the electronic content management system 100 is constructed by three servers: an encryption key server 100a, an operation server 100b, and an authentication server 100c. The encryption key server 100a constitutes the encryption key recording means 142, the operation server 100b constitutes the encrypted electronic content recording means 141, and the authentication server 100c constitutes the authentication means 121. Other elements can be constructed by arbitrarily sharing the three servers. Therefore, without actually exchanging the encryption key between the encryption key server 100a and the operation server 100b, the operation server 100b transmits the data part of the electronic content to be decrypted to the encryption key server 100a for decryption. The decrypted data portion can also be received. Of course, communication between the three servers may be enhanced by using SSL or the like.

暗号鍵サーバ100aが運用サーバ100bから独立して設けられることにより、仮に暗号化電子コンテンツを記録している運用サーバ100bのデータが流出しても、暗号鍵を別のサーバに記録しているため、当該電子コンテンツを復号することができない。また、既存の認証サーバ100cを利用することができる。   Since the encryption key server 100a is provided independently of the operation server 100b, the encryption key is recorded in another server even if the data of the operation server 100b in which the encrypted electronic content is recorded leaks. The electronic content cannot be decrypted. Moreover, the existing authentication server 100c can be used.

端末装置210、220は、PC(Personal Computer )等で構成され、暗号化電子コンテンツ記録手段141内の電子コンテンツにアクセスしたいユーザに使用されるものである。権限/個人対応テーブル144にユーザID及びパスワードが登録されているユーザは、それらを入力することにより、自己の権限に対応する限度で上記電子コンテンツにアクセスすることができる。図1において、端末装置210、220が2台記載されているが、端末装置の数を限定するものではなく、任意の数の端末装置を接続することができる。   The terminal devices 210 and 220 are configured by a PC (Personal Computer) or the like, and are used by a user who wants to access electronic content in the encrypted electronic content recording unit 141. A user whose user ID and password are registered in the authority / personal correspondence table 144 can access the electronic content to the limit corresponding to his / her authority by inputting them. In FIG. 1, two terminal apparatuses 210 and 220 are described, but the number of terminal apparatuses is not limited, and an arbitrary number of terminal apparatuses can be connected.

また図示しないが、ICカード等の認証媒体読取装置や指紋等のバイオメトリクス情報読取装置を接続し、ユーザID及びパスワードの入力の替わりにすることができる。権限/個人対応テーブル144にユーザID及び認証情報が登録されているユーザは、自己が所有するICカード等を認証媒体読取装置に挿入することにより、自己の権限に対応する限度で上記電子コンテンツにアクセスすることができる。   Although not shown, an authentication medium reading device such as an IC card or a biometric information reading device such as a fingerprint can be connected to replace the user ID and password. A user whose user ID and authentication information are registered in the authority / individual correspondence table 144 inserts an IC card or the like owned by the user into the authentication medium reading device, so that the electronic content is limited to the limit corresponding to his authority. Can be accessed.

なお、本実施形態における電子コンテンツ管理システム100は、インターネットや専用回線を介して、他のシステムや装置と電子コンテンツのやりとりを行うことができる。   The electronic content management system 100 according to the present embodiment can exchange electronic content with other systems and devices via the Internet or a dedicated line.

次に、本発明の実施形態における電子コンテンツ管理システムの動作(電子コンテンツ管理方法)について説明する。図6は、本発明の実施形態における電子コンテンツ管理システムの動作(電子コンテンツ管理方法)を説明するためのフローチャートである。まず、ユーザは、端末装置210、220にユーザID及びパスワードを入力する。または、図示しない認証媒体読取装置に自己の所持するICカード等を挿入する。これらの認証情報は、入出力インタフェース110から電子コンテンツ管理システム100に送信される。認証手段210は、権限/個人対応テーブル144を参照して、当該認証情報が有効か否かを判断し、該当する認証情報が登録されている場合、上記ユーザのアクセスを許可する(ステップS1)。   Next, the operation (electronic content management method) of the electronic content management system in the embodiment of the present invention will be described. FIG. 6 is a flowchart for explaining the operation (electronic content management method) of the electronic content management system in the embodiment of the present invention. First, the user inputs a user ID and password to the terminal devices 210 and 220. Alternatively, an IC card owned by the user is inserted into an authentication medium reading device (not shown). Such authentication information is transmitted from the input / output interface 110 to the electronic content management system 100. The authentication unit 210 refers to the authority / individual correspondence table 144 to determine whether or not the authentication information is valid. When the authentication information is registered, the user is allowed to access (step S1). .

次に、データ処理手段122は、権限/個人対応テーブル144を参照して、上記認証情報に対応する権限を特定する(ステップS2)。次に、特定した権限を基に、暗号鍵/権限対応テーブル143を参照して、対応する一般暗号鍵を特定する(ステップS3)。   Next, the data processing means 122 refers to the authority / individual correspondence table 144 and specifies the authority corresponding to the authentication information (step S2). Next, based on the specified authority, the corresponding general encryption key is specified with reference to the encryption key / authority correspondence table 143 (step S3).

次に、データ処理手段122は、暗号鍵記録手段142から特定した1つ以上の一般暗号鍵のコピーを暗号鍵記録手段142から取得して、一時記憶手段130上に作成する(ステップS4)。暗号化/復号化手段123は、一時記憶手段130上に記憶されている主暗号鍵を使用して、当該一般暗号鍵のコピーを復号化する(ステップS5)。   Next, the data processing unit 122 obtains a copy of one or more general encryption keys identified from the encryption key recording unit 142 from the encryption key recording unit 142, and creates it on the temporary storage unit 130 (step S4). The encryption / decryption means 123 decrypts the copy of the general encryption key using the main encryption key stored on the temporary storage means 130 (step S5).

次に、データ処理手段122は、当該一般暗号鍵に対応する電子コンテンツのデータ部分とその周辺データ(以下該当箇所と呼ぶ)を、暗号化電子コンテンツ記録手段141から抽出して、一時記憶手段130上に抽出ファイルを作成する(ステップS6)。同時に、暗号化電子コンテンツ記録手段141の該当箇所に他からアクセスできないように、排他制御を施す(ステップS7)。   Next, the data processing unit 122 extracts the data part of the electronic content corresponding to the general encryption key and its peripheral data (hereinafter referred to as the corresponding part) from the encrypted electronic content recording unit 141, and temporarily stores the data. An extracted file is created above (step S6). At the same time, exclusive control is performed so that the corresponding part of the encrypted electronic content recording means 141 cannot be accessed from others (step S7).

次に、暗号化/復号化手段123は、復号化した一般暗号鍵のコピーを用いて、暗号化されている該当箇所内のデータ部分を復号化する(ステップS8)。   Next, the encryption / decryption means 123 decrypts the encrypted data portion in the corresponding location using the decrypted copy of the general encryption key (step S8).

ユーザは、自己がアクセスしている端末装置2n0から復号化されたデータ部分を閲覧することができる(ステップS9)。データ処理手段122は、暗号鍵/権限対応テーブル143を参照して、当該ユーザの権限でデータ変更が可能であるか否かを調査する。(ステップS10)。データ変更権限がある場合(ステップS10/Y)、当該ユーザは、任意に上記データ部分を更新することができる(ステップS11)。暗号化/復号化手段123は、当該ユーザによる閲覧/更新が終了すると、上記一般暗号鍵のコピーを使用して暗号化する(ステップS12)。そして、データ処理手段122は、暗号化電子コンテンツ記録手段141に出力し、上記該当箇所を更新する(ステップS13)。最後に、データ処理手段122は、上記一般暗号鍵のコピーを消去する(ステップS15)。   The user can browse the decrypted data portion from the terminal device 2n0 that the user is accessing (step S9). The data processing unit 122 refers to the encryption key / authority correspondence table 143 to investigate whether or not data change is possible with the authority of the user. (Step S10). When there is a data change authority (step S10 / Y), the user can arbitrarily update the data portion (step S11). When the browsing / updating by the user is completed, the encryption / decryption means 123 encrypts using the copy of the general encryption key (step S12). Then, the data processing unit 122 outputs the encrypted electronic content recording unit 141 to update the corresponding part (step S13). Finally, the data processing unit 122 deletes the copy of the general encryption key (step S15).

ステップS12において、データ変更権限がない場合(ステップS10/N)、データ処理手段122は、当該ユーザによる閲覧が終了すると、上記抽出ファイルを消去する(ステップS14)。次に、データ処理手段122は、上述してきた処理を終了すると、上記一般暗号鍵のコピーを消去する(ステップS15)。   In step S12, when there is no authority to change data (step S10 / N), the data processing unit 122 deletes the extracted file when browsing by the user is completed (step S14). Next, the data processing means 122 deletes the copy of the general encryption key after completing the above-described processing (step S15).

なお、一般暗号鍵を暗号化しないで暗号鍵記録手段142に記録する場合、主暗号鍵が必要ないためステップS5の処理は、省略される。   Note that when the general encryption key is recorded in the encryption key recording unit 142 without being encrypted, the main encryption key is not necessary, and thus the process of step S5 is omitted.

次に、本発明の実施形態における電子コンテンツ管理システムに階層化暗号方式を使用する場合について説明する。図7は、階層化暗号方式の基本概念を説明するための図である。階層化暗号方式は、電子コンテンツ中の暗号化対象となるすべてのデータ部分を暗号化/復号化することができるマスタ暗号鍵KMを作成する。次に、マスタ暗号鍵KMを基に、文字列A及び文字列Bの双方を暗号化/復号化することができる子暗号鍵KABを作成する。また、マスタ暗号鍵KMを基に、画像Cを暗号化/復号化することができる子暗号鍵KCを作成する。次に、マスタ暗号鍵KM及子暗号鍵KABを基に、文字列Aを暗号化/復号化することができる孫暗号鍵KA、文字列Bを暗号化/復号化することができる孫暗号鍵KBを作成する。   Next, a case where the layered encryption method is used in the electronic content management system according to the embodiment of the present invention will be described. FIG. 7 is a diagram for explaining the basic concept of the hierarchical encryption method. In the hierarchical encryption method, a master encryption key KM that can encrypt / decrypt all data portions to be encrypted in electronic content is created. Next, a child encryption key KAB that can encrypt / decrypt both the character string A and the character string B is created based on the master encryption key KM. Further, a child encryption key KC that can encrypt / decrypt the image C is created based on the master encryption key KM. Next, the grandchild encryption key KA that can encrypt / decrypt the character string A and the grandchild encryption key that can encrypt / decrypt the character string B based on the master encryption key KM and the child encryption key KAB Create a KB.

暗号鍵KA,KB,KCにより電子コンテンツABCのdata1,data2,data3を図7に示すように暗号化すると、復号化することができる暗号鍵KA,KB,KC,KAB,KMは、右欄のように階層化される。階層化暗号化方式の詳細は、上記特開2002−366030号公報に開示されている。   When the data 1, data 2 and data 3 of the electronic content ABC are encrypted as shown in FIG. 7 using the encryption keys KA, KB and KC, the encryption keys KA, KB, KC, KAB and KM that can be decrypted are shown in the right column. It is layered as follows. Details of the hierarchized encryption method are disclosed in the above-mentioned JP-A-2002-366030.

図8は、階層化暗号方式を使用する場合における暗号鍵/権限対応テーブル143、及び権限/個人対応テーブル144の一例を示す図である。図8(a)は、図7に示した電子コンテンツABCの各data(data1,data2,data3 )を暗号化/復号化することができる暗号鍵の種類を示すものである。図8(b)は、暗号鍵/権限対応テーブル143の一例であり、図8(a)に示した暗号鍵と権限(役職)の対応関係を示している。図8(c)は、権限/個人対応テーブル144の一例であり、図8(b)に示した権限(役職)と利用者(個人)情報の対応関係を示している。   FIG. 8 is a diagram showing an example of the encryption key / authority correspondence table 143 and the authority / individual correspondence table 144 when the layered encryption method is used. FIG. 8A shows types of encryption keys that can encrypt / decrypt each data (data1, data2, data3) of the electronic content ABC shown in FIG. FIG. 8B is an example of the encryption key / authority correspondence table 143, and shows the correspondence between the encryption key shown in FIG. 8A and the authority (position). FIG. 8C is an example of the authority / individual correspondence table 144, and shows the correspondence between the authority (position) and user (individual) information shown in FIG. 8B.

このように、利用者情報と、電子コンテンツの暗号化対象となるデータ部分(XMLタグ等)が直接関連付けられていないので、組織の役割や権限等の変更があっても、電子コンテンツに設定された暗号化になんら影響を及ぼさない。したがって、それらを容易に変更することができる。   As described above, since the user information is not directly associated with the data portion (XML tag or the like) to be encrypted, the electronic content is set even if there is a change in the role or authority of the organization. It has no effect on encryption. Therefore, they can be easily changed.

次に、上述した主暗号鍵について詳述する。上述したように主暗号鍵は、一時記憶手段130に保管される。主暗号鍵のバックアップは、サーバ内のハードディスクに記録せずに、フレキシブルディスク等の記録媒体に記録し、管理者がそれを管理する。また、主暗号鍵は、定期的(例えば1ヶ月毎)に変更するとよい。   Next, the above-described main encryption key will be described in detail. As described above, the main encryption key is stored in the temporary storage unit 130. The backup of the main encryption key is not recorded on the hard disk in the server, but is recorded on a recording medium such as a flexible disk, and the administrator manages it. The main encryption key may be changed regularly (for example, every month).

図9は、主暗号鍵の更新処理を説明するためのフローチャートである。まず、主暗号鍵の定期的な更新時期または管理者による更新指示があると、暗号化/復号化手段123は、新たな主暗号鍵を生成する(ステップS20)。次に、暗号鍵記録手段142に記録されている一般暗号鍵を1つ一時記憶手段130に取り出して、古い主暗号鍵を使用して当該一般暗号鍵を復号化する(ステップS21)。これをすべての一般暗号鍵を復号化するまで(ステップS22/N)、続ける。すべての一般暗号鍵を復号化すると(ステップS22/Y)、新たな主暗号鍵を使用して、一時記憶手段130上のすべての一般暗号鍵を暗号化する(ステップS23)。   FIG. 9 is a flowchart for explaining the update process of the main encryption key. First, when the main encryption key is periodically updated or when there is an update instruction by the administrator, the encryption / decryption means 123 generates a new main encryption key (step S20). Next, one general encryption key recorded in the encryption key recording unit 142 is taken out to the temporary storage unit 130, and the general encryption key is decrypted using the old main encryption key (step S21). This is continued until all the general encryption keys are decrypted (step S22 / N). When all the general encryption keys are decrypted (step S22 / Y), all the general encryption keys on the temporary storage unit 130 are encrypted using the new main encryption key (step S23).

そして、古い主暗号鍵を消去する(ステップS24)。新しい主暗号鍵は、一時記憶手段130上に保管される。管理者は、新しい主暗号鍵のバックアップをフレキシブルディスク等の記録媒体に記録して、管理する(ステップS25)。   Then, the old main encryption key is erased (step S24). The new main encryption key is stored on the temporary storage unit 130. The administrator records and manages a backup of the new main encryption key on a recording medium such as a flexible disk (step S25).

次に、主暗号鍵の暗号化について詳述する。まず、シード(seed)を暗号化アルゴリズムに与える。暗号化アルゴリズムとしては、AES、DES、Rijndael等を使用することができる。シードは、管理者が入力してもよいし、自動生成させてもよい。自動生成する場合、ワンタイムパスワードと似た手法を使用して、鍵の暗号化を行ってもよい。例えば、1970年1月1日からの秒数(time()によって取得できる)をシードとし、その数値をファイルとして残しておく。復号化するときは、その数値をシードとして暗号を解除する。暗号の種類や詳細などは公開しないことによって、万一シードとなる数値が漏洩した場合でも、暗号を解除できなくする。   Next, encryption of the main encryption key will be described in detail. First, a seed is given to the encryption algorithm. As an encryption algorithm, AES, DES, Rijndael, etc. can be used. The seed may be input by an administrator or may be automatically generated. In the case of automatic generation, the key may be encrypted using a method similar to a one-time password. For example, the number of seconds from January 1, 1970 (which can be acquired by time ()) is used as a seed, and the numerical value is left as a file. When decrypting, the encryption is canceled using the numerical value as a seed. By not disclosing the encryption type and details, even if the numerical value that becomes the seed is leaked, the encryption cannot be released.

一般暗号鍵も、同様の手法により暗号化することができる。また、暗号化アルゴリズムとして階層化暗号方式を使用してもよい。   A general encryption key can also be encrypted by the same method. Further, a hierarchical encryption method may be used as the encryption algorithm.

また、一般暗号鍵は、分割して保存することができる(割符)。分割された鍵は、同数のICカード等(したがって同数のメンバー)に対応付けられる。もちろん、他のバイオメトリクス認証等の認証方法でもよい。同時にあるいは短い時間内に認証手段121で2つのICカード等が認証されると、暗号鍵は元通り合成され、行使することができる。特に、階層化暗号化方式を使用した場合のマスタ暗号鍵は、割符して保存するとよい。この場合、ICカード等の認証媒体読取装置を2台設置する必要がある。   The general encryption key can be divided and stored (tally). The divided keys are associated with the same number of IC cards (and therefore the same number of members). Of course, other authentication methods such as biometric authentication may be used. If two IC cards or the like are authenticated by the authentication means 121 at the same time or within a short time, the encryption key can be synthesized and used as it is. In particular, the master encryption key when the hierarchical encryption method is used may be stored as a tally. In this case, it is necessary to install two authentication medium readers such as an IC card.

次に、電子コンテンツの各データ部分の改竄の有無をチェックする手法について説明する。図10は、電子コンテンツ管理システムの動作(改竄有無のチェック付き)について説明するためのフローチャートである。図10に示すフローチャートは、基本的に図6に示したフローチャートと同様である。   Next, a method for checking whether or not each data portion of the electronic content is falsified will be described. FIG. 10 is a flowchart for explaining the operation (with tampering check) of the electronic content management system. The flowchart shown in FIG. 10 is basically the same as the flowchart shown in FIG.

以下、相違点について説明すると、ステップS13において暗号化した抽出ファイルを該当個所に埋め込む際に、データ部分の更新が行われた場合は少なくともユーザID及び更新日時を含む履歴をXMLファイル等の電子コンテンツ内に書き込む(ステップS31)。一般暗号化鍵を使用して当該データ部分を暗号化する直前の時刻を書き込み、さらにその時刻を表す文字列を暗号化するとよい。   In the following, the difference will be described. When the data portion is updated when the extracted file encrypted in step S13 is embedded, the history including at least the user ID and the update date and time is stored as an electronic content such as an XML file. (Step S31). It is preferable to write the time immediately before the data portion is encrypted using the general encryption key, and further encrypt the character string representing the time.

同時に、協定世界時(Coordinated Universal Time)と同期したTSA(Time Stamping Authority)から発行されたタイムスタンプを別途のファイルに記録する(ステップS32)。   At the same time, a time stamp issued by a TSA (Time Stamping Authority) synchronized with Coordinated Universal Time is recorded in a separate file (step S32).

ステップS9において、閲覧を許可する前に、電子コンテンツ内に書き込まれた最終更新日時と、タイプスタンプファイルに記録されたタイムスタンプにより認証された更新日時とを比較しデータ改竄の有無をチェックする(ステップS30)。   In step S9, before permitting browsing, the last update date and time written in the electronic content is compared with the update date and time authenticated by the time stamp recorded in the type stamp file to check for data falsification ( Step S30).

なお、上述した実施形態は、本発明の好適な実施形態の一例を示したものであり、本発明はそれに限定されることなく、その要旨を逸脱しない範囲内において種々変形実施が可能である。   The above-described embodiment shows an example of a preferred embodiment of the present invention, and the present invention is not limited thereto, and various modifications can be made without departing from the scope of the invention.

なお、本発明の電子コンテンツ管理方法は、コンピュータにプログラムを実行させることにより実現可能である。当該プログラムは、光記録媒体、磁気記録媒体、光磁気記録媒体もしくは半導体IC記録媒体に記録されて提供される。または、FTP(File Transfer Protocol)、HTTP(Hypertext Transfer Protocol)等のプロトコルによりプログラムサーバからネットワークを介してダウンロードされて提供される。   The electronic content management method of the present invention can be realized by causing a computer to execute a program. The program is provided by being recorded on an optical recording medium, a magnetic recording medium, a magneto-optical recording medium, or a semiconductor IC recording medium. Alternatively, it is provided by being downloaded from a program server via a network using a protocol such as FTP (File Transfer Protocol) or HTTP (Hypertext Transfer Protocol).

本発明の実施形態における電子コンテンツ管理システムの基本構成を示す図である。It is a figure which shows the basic composition of the electronic content management system in embodiment of this invention. 電子コンテンツ管理システム100の一構成例を示すブロック図である。1 is a block diagram illustrating a configuration example of an electronic content management system 100. FIG. 暗号化電子コンテンツ記録手段141に記録されるデータの一例を示す図である。It is a figure which shows an example of the data recorded on the encryption electronic content recording means 141. FIG. 暗号鍵/権限対応テーブル143に管理されるテーブルの一例を示す図である。6 is a diagram illustrating an example of a table managed in an encryption key / authority correspondence table 143. FIG. 権限/個人対応テーブル144に管理されるテーブルの一例を示す図である。5 is a diagram illustrating an example of a table managed in an authority / personal correspondence table 144. FIG. 本発明の実施形態における電子コンテンツ管理システムの動作(電子コンテンツ管理方法)を説明するためのフローチャートである。It is a flowchart for demonstrating operation | movement (electronic content management method) of the electronic content management system in embodiment of this invention. 階層化暗号方式の基本概念を説明するための図である。It is a figure for demonstrating the basic concept of a layered encryption system. 階層化暗号方式を使用する場合における暗号鍵/権限対応テーブル143、及び権限/個人対応テーブル144の一例を示す図である。It is a figure which shows an example of the encryption key / authority correspondence table 143 and the authority / individual correspondence table 144 in the case of using a hierarchized encryption method. 主暗号鍵の更新処理を説明するためのフローチャートである。It is a flowchart for demonstrating the update process of a main encryption key. 電子コンテンツ管理システムの動作(改竄有無のチェック付き)について説明するためのフローチャートである。It is a flowchart for demonstrating operation | movement (with check of the presence or absence of tampering) of an electronic content management system.

符号の説明Explanation of symbols

100 電子コンテンツ管理システム
110 入出力インタフェース
120 制御部
121 認証手段
122 データ処理手段
123 暗号化/復号化手段
130 一時記憶手段
141 暗号化電子コンテンツ記録手段
142 暗号鍵記録手段
143 暗号鍵/権限関連付手段(暗号鍵/権限対応テーブル)
144 権限/個人関連付手段(権限/個人対応テーブル)
210,220 端末装置 DESCRIPTION OF SYMBOLS 100 Electronic content management system 110 Input / output interface 120 Control part 121 Authentication means 122 Data processing means 123 Encryption / decryption means 130 Temporary storage means 141 Encrypted electronic content recording means 142 Encryption key recording means 143 Encryption key / authority association means (Encryption key / authority correspondence table)
144 Authority / personal association means (authority / personal correspondence table)
210,220 Terminal device

Claims (8)

暗号化対象となるデータ部分単位に複数の暗号鍵で暗号化された電子コンテンツを記録する暗号化電子コンテンツ記録手段と、
前記複数の暗号鍵を記録する暗号鍵記録手段と、
前記複数の暗号鍵の各々を、予め有効に行うことのできる行為の範囲を定めた権限に関連付けて定義する暗号鍵/権限関連付手段と、
前記暗号鍵/権限関連付手段により定義された権限の各々に、ユーザの識別情報を関連付けて定義する権限/個人対応関連付手段と、
前記暗号鍵を作成して前記電子コンテンツを暗号化し、前記暗号鍵を使用して前記暗号化された電子コンテンツを復号化する暗号化/復号化手段と、
ユーザから入力される識別情報と、前記権限/個人対応関連付手段に定義された識別情報とを照合して、前記ユーザのアクセスを認証するか否かを判断する認証手段と、
前記認証手段により認証されたユーザのアクセスに対して、前記電子コンテンツの一部または全部の閲覧または変更を許可するデータ処理手段と、
前記暗号化/復号化手段及び前記データ処理手段の作業領域として使用される一時記憶手段と、を有し、
前記データ処理手段は、前記認証手段により認証されたユーザに対応する権限を前記権限/個人対応関連付手段を参照して特定し、該権限に対応する暗号鍵を前記暗号鍵/権限対応関連付手段を参照して特定し、
前記暗号化/復号化手段は、前記データ処理手段により特定された暗号鍵を使用して、前記暗号化電子コンテンツ記録手段に記録されている暗号化された電子コンテンツ中の前記特定された暗号鍵に対応するデータ部分を前記一時記憶手段に復号することを特徴とする電子コンテンツ管理システム。 An encrypted electronic content recording means for recording electronic content encrypted with a plurality of encryption keys in a data portion unit to be encrypted;
Encryption key recording means for recording the plurality of encryption keys;
An encryption key / authority association means for defining each of the plurality of encryption keys in association with an authority that defines a range of actions that can be effectively performed in advance;
Authority / individual association means for associating and defining user identification information with each of the authorities defined by the encryption key / authority association means;
Encryption / decryption means for creating the encryption key, encrypting the electronic content, and decrypting the encrypted electronic content using the encryption key;
Authentication means for verifying whether or not to authenticate the user's access by comparing the identification information input from the user with the identification information defined in the authority / personal association means;
Data processing means for permitting browsing or changing part or all of the electronic content for access of a user authenticated by the authentication means;
Temporary storage means used as a work area for the encryption / decryption means and the data processing means,
The data processing means specifies an authority corresponding to the user authenticated by the authentication means with reference to the authority / personal correspondence association means, and an encryption key corresponding to the authority is associated with the encryption key / authority association Identify with reference to means,
The encryption / decryption means uses the encryption key specified by the data processing means to specify the specified encryption key in the encrypted electronic content recorded in the encrypted electronic content recording means An electronic content management system that decrypts a data portion corresponding to the information into the temporary storage means. 前記暗号化/復号化手段は、前記電子コンテンツ中の1以上の前記データ部分を暗号化/復号化できる複数の暗号鍵を作成して、前記電子コンテンツを暗号化/復号化できる範囲が階層化された複数の暗号鍵を作成することを特徴とする請求項1記載の電子コンテンツ管理システム。   The encryption / decryption means creates a plurality of encryption keys capable of encrypting / decrypting one or more data portions in the electronic content, and the range in which the electronic content can be encrypted / decrypted is hierarchized. The electronic content management system according to claim 1, wherein a plurality of encryption keys are created. 前記暗号化/復号化手段は、前記暗号鍵記録手段に記録される暗号鍵である一般暗号鍵を暗号化/復号化する主暗号鍵を作成し、
前記暗号鍵記録手段は、前記主暗号鍵により暗号化された前記一般暗号鍵を記録し、
前記主暗号鍵は、前記一時記憶手段に保管されることを特徴とする請求項1または2記載の電子コンテンツ管理システム。 The encryption / decryption means creates a main encryption key for encrypting / decrypting a general encryption key that is an encryption key recorded in the encryption key recording means,
The encryption key recording means records the general encryption key encrypted by the main encryption key;
3. The electronic content management system according to claim 1, wherein the main encryption key is stored in the temporary storage unit. 前記データ部分は、タグ単位であることを特徴とする請求項1から3のいずれか1項に記載の電子コンテンツ管理システム。   4. The electronic content management system according to claim 1, wherein the data portion is a tag unit. 暗号化対象となるデータ部分単位に複数の暗号鍵で暗号化された電子コンテンツを記録する暗号化電子コンテンツ記録手段と、前記複数の暗号鍵を記録する暗号鍵記録手段と、前記複数の暗号鍵の各々を、予め有効に行うことのできる行為の範囲を定めた権限に関連付けて定義する暗号鍵/権限関連付手段と、前記暗号鍵/権限関連付手段により定義された権限の各々に、ユーザの識別情報を関連付けて定義する権限/個人対応関連付手段と、を用いて電子コンテンツを管理する電子コンテンツ管理方法であって、
ユーザから入力される識別情報と、前記権限/個人関連付手段に定義された識別情報とを照合して、前記ユーザのアクセスを認証するか否かを判断する認証ステップと、
前記認証ステップにより認証されたユーザの識別情報に対応する権限、及び該権限に対応する暗号鍵を特定する暗号鍵特定ステップと、
前記暗号鍵特定ステップにより特定された暗号鍵に対応するデータ部分の閲覧または変更を許可する閲覧許可ステップと、
を有することを特徴とする電子コンテンツ管理方法。 Encrypted electronic content recording means for recording electronic content encrypted with a plurality of encryption keys in a data portion unit to be encrypted, encryption key recording means for recording the plurality of encryption keys, and the plurality of encryption keys Each of the encryption key / authority association means for defining the range of actions that can be effectively performed in advance and the authority defined by the encryption key / authority association means for each of the users. An electronic content management method for managing electronic content using an authority / personal association means for associating and defining identification information of
An authentication step of determining whether or not to authenticate the user's access by comparing the identification information input from the user with the identification information defined in the authority / personal association means;
An authority corresponding to the identification information of the user authenticated by the authentication step, and an encryption key specifying step for specifying an encryption key corresponding to the authority;
A browsing permission step for permitting browsing or changing a data portion corresponding to the encryption key specified by the encryption key specifying step;
An electronic content management method comprising: 前記電子コンテンツが入力されると、該電子コンテンツを暗号化対象となるデータ部分単位に複数の暗号鍵で暗号化する電子コンテンツ暗号化ステップと、
前記電子コンテンツ暗号化ステップにより暗号化された複数の暗号鍵の各々を、予め有効に行うことのできる行為の範囲を定めた権限に、関連付ける暗号鍵/権限関連付ステップと、
前記権限/個人対応関連付手段に定義されたユーザに変更があるとき、変更後のユーザの識別情報を、前記権限/個人対応関連付手段に定義された所定の権限に関連付ける権限/個人関連付ステップと、
をさらに有することを特徴とする請求項5記載の電子コンテンツ管理方法。 When the electronic content is input, an electronic content encryption step of encrypting the electronic content with a plurality of encryption keys in units of data parts to be encrypted;
An encryption key / authority associating step for associating each of the plurality of encryption keys encrypted in the electronic content encryption step with an authority that defines a range of actions that can be effectively performed in advance;
When there is a change in the user defined in the authority / individual association means, the authority / individual association associates the changed user identification information with the predetermined authority defined in the authority / individual association means. Steps,
The electronic content management method according to claim 5, further comprising: 暗号化対象となるデータ部分単位に複数の暗号鍵で暗号化された電子コンテンツを記録する暗号化電子コンテンツ記録手段と、前記複数の暗号鍵を記録する暗号鍵記録手段と、前記複数の暗号鍵の各々を、予め有効に行うことのできる行為の範囲を定めた権限に関連付けて定義する暗号鍵/権限関連付手段と、前記暗号鍵/権限関連付手段により定義された権限の各々に、ユーザの識別情報を関連付けて定義する権限/個人対応関連付手段と、を機能させて電子コンテンツを管理するコンピュータ読み取り可能なプログラムであって、
ユーザから入力される識別情報と、前記権限/個人関連付手段に定義された識別情報とを照合して、前記ユーザのアクセスを認証するか否かを判断する認証処理と、
前記認証処理により認証されたユーザの識別情報に対応する権限、及び該権限に対応する暗号鍵を特定する暗号鍵特定処理と、
前記暗号鍵特定処理により特定された暗号鍵に対応するデータ部分の閲覧または変更を許可する閲覧許可処理と、
をコンピュータに実行させることを特徴とするコンピュータ読み取り可能なプログラム。 Encrypted electronic content recording means for recording electronic content encrypted with a plurality of encryption keys in a data portion unit to be encrypted, encryption key recording means for recording the plurality of encryption keys, and the plurality of encryption keys Each of the encryption key / authority association means for defining the range of actions that can be effectively performed in advance and the authority defined by the encryption key / authority association means for each of the users. A computer-readable program for managing electronic contents by functioning an authority / personal association means for associating and defining identification information of
An authentication process for determining whether to authenticate the user's access by comparing the identification information input from the user with the identification information defined in the authority / personal association means;
An authority corresponding to the identification information of the user authenticated by the authentication process, and an encryption key specifying process for specifying an encryption key corresponding to the authority;
A browsing permission process for permitting browsing or changing a data portion corresponding to the encryption key specified by the encryption key specifying process;
A computer-readable program characterized by causing a computer to execute. 前記電子コンテンツが入力されると、該電子コンテンツを暗号化対象となるデータ部分単位に複数の暗号鍵で暗号化する電子コンテンツ暗号化処理と、
前記電子コンテンツ暗号化処理により暗号化された複数の暗号鍵の各々を、予め有効に行うことのできる行為の範囲を定めた権限に関連付ける暗号鍵/権限関連付処理と、
前記権限/個人対応関連付手段に定義されたユーザに変更があると、変更後のユーザの識別情報を、前記権限/個人対応関連付手段に定義された所定の権限に関連付ける権限/個人関連付処理と、
をさらにをコンピュータに実行させることを特徴とする請求項7記載のコンピュータ読み取り可能なプログラム。 When the electronic content is input, an electronic content encryption process for encrypting the electronic content with a plurality of encryption keys in units of data parts to be encrypted;
An encryption key / authority association process for associating each of a plurality of encryption keys encrypted by the electronic content encryption process with an authority that defines a range of actions that can be effectively performed in advance;
When there is a change in the user defined in the authority / individual association means, the authority / individual association associates the changed user identification information with the predetermined authority defined in the authority / individual association means. Processing,
The computer-readable program according to claim 7, further comprising:
JP2003404537A 2003-12-03 2003-12-03 Electronic content management system, electronic content management method, and its program Pending JP2005165738A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003404537A JP2005165738A (en) 2003-12-03 2003-12-03 Electronic content management system, electronic content management method, and its program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003404537A JP2005165738A (en) 2003-12-03 2003-12-03 Electronic content management system, electronic content management method, and its program

Publications (1)

Publication Number Publication Date
JP2005165738A true JP2005165738A (en) 2005-06-23

Family

ID=34727502

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003404537A Pending JP2005165738A (en) 2003-12-03 2003-12-03 Electronic content management system, electronic content management method, and its program

Country Status (1)

Country Link
JP (1) JP2005165738A (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006222944A (en) * 2005-02-07 2006-08-24 Microsoft Corp System and method for managing multiple keys for file encryption and decryption
JP2007156970A (en) * 2005-12-07 2007-06-21 Fujitsu Ltd Electronic document management program, electronic document management system and electronic document management method
JP2007251921A (en) * 2006-02-20 2007-09-27 Hitachi Ltd Digital content encryption and decryption method, and workflow system using digital content
JP2007312128A (en) * 2006-05-18 2007-11-29 Toshiba Corp Electronic data browsing system, apparatus, and program
JP2009244768A (en) * 2008-03-31 2009-10-22 Fujitsu Ltd Image decryption apparatus
JP2012133426A (en) * 2010-12-20 2012-07-12 Sony Corp Information processing device, information processing method and program
JP2013527533A (en) * 2010-05-20 2013-06-27 アブシオ コーポレイション Method and apparatus for providing content

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1040100A (en) * 1996-03-29 1998-02-13 Internatl Business Mach Corp <Ibm> Method for preparing cipher envelope
JPH10260903A (en) * 1997-03-19 1998-09-29 Hitachi Ltd Group ciphering method and file ciphering system
JPH1185622A (en) * 1997-06-30 1999-03-30 Microsoft Corp Protection memory for core data secret item
JP2000057036A (en) * 1998-08-11 2000-02-25 Fuji Xerox Co Ltd Hypertext system and hypertext handling method
JP2000306332A (en) * 1999-02-17 2000-11-02 Sony Corp Apparatus and method for processing information, and program storing medium
JP2002007733A (en) * 2000-06-19 2002-01-11 Yamaha Corp Method and device for releasing contents function regulation, and recording medium
JP2002229939A (en) * 2001-02-02 2002-08-16 Casio Comput Co Ltd Data access control system, data transmission device, data display device, data access control method, data transmission processing program and data display processing program
JP2003289500A (en) * 2002-01-16 2003-10-10 Microsoft Corp Secure video card method and system
JP2004534307A (en) * 2001-06-07 2004-11-11 コンテントガード ホールディングズ インコーポレイテッド Application digital rights management method and system

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1040100A (en) * 1996-03-29 1998-02-13 Internatl Business Mach Corp <Ibm> Method for preparing cipher envelope
JPH10260903A (en) * 1997-03-19 1998-09-29 Hitachi Ltd Group ciphering method and file ciphering system
JPH1185622A (en) * 1997-06-30 1999-03-30 Microsoft Corp Protection memory for core data secret item
JP2000057036A (en) * 1998-08-11 2000-02-25 Fuji Xerox Co Ltd Hypertext system and hypertext handling method
JP2000306332A (en) * 1999-02-17 2000-11-02 Sony Corp Apparatus and method for processing information, and program storing medium
JP2002007733A (en) * 2000-06-19 2002-01-11 Yamaha Corp Method and device for releasing contents function regulation, and recording medium
JP2002229939A (en) * 2001-02-02 2002-08-16 Casio Comput Co Ltd Data access control system, data transmission device, data display device, data access control method, data transmission processing program and data display processing program
JP2004534307A (en) * 2001-06-07 2004-11-11 コンテントガード ホールディングズ インコーポレイテッド Application digital rights management method and system
JP2003289500A (en) * 2002-01-16 2003-10-10 Microsoft Corp Secure video card method and system

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006222944A (en) * 2005-02-07 2006-08-24 Microsoft Corp System and method for managing multiple keys for file encryption and decryption
US8798272B2 (en) 2005-02-07 2014-08-05 Microsoft Corporation Systems and methods for managing multiple keys for file encryption and decryption
JP2007156970A (en) * 2005-12-07 2007-06-21 Fujitsu Ltd Electronic document management program, electronic document management system and electronic document management method
JP4739000B2 (en) * 2005-12-07 2011-08-03 富士通株式会社 Electronic document management program, electronic document management system, and electronic document management method
US8028169B2 (en) 2005-12-07 2011-09-27 Fujitsu Limited Electronic document management program, electronic document management system and electronic document management method
JP2007251921A (en) * 2006-02-20 2007-09-27 Hitachi Ltd Digital content encryption and decryption method, and workflow system using digital content
JP2007312128A (en) * 2006-05-18 2007-11-29 Toshiba Corp Electronic data browsing system, apparatus, and program
JP2009244768A (en) * 2008-03-31 2009-10-22 Fujitsu Ltd Image decryption apparatus
JP2013527533A (en) * 2010-05-20 2013-06-27 アブシオ コーポレイション Method and apparatus for providing content
JP2012133426A (en) * 2010-12-20 2012-07-12 Sony Corp Information processing device, information processing method and program

Similar Documents

Publication Publication Date Title
RU2347266C2 (en) Method and device for reception and removal of information concerning objects of digital rights
CN101311950B (en) Electronic stamp realization method and device
US8918633B2 (en) Information processing device, information processing system, and program
CN100552793C (en) Method and apparatus and pocket memory based on the Digital Right Management playback of content
US8281145B2 (en) Doing business without SSN, EIN, and charge card numbers
US8140847B1 (en) Digital safe
CN101710380B (en) Electronic document safety protection method
CN101107611B (en) Private and controlled ownership sharing method, device and system
CN108389059A (en) Digital copyrighted work protection, transaction and distributing method based on ownership and system
CN103561034B (en) A kind of secure file shared system
JP3754565B2 (en) Electronic seal mark authentication system
US8826036B1 (en) Ebook encryption using variable keys
JP2006504176A (en) Method and apparatus for permitting content operation
CN105103488A (en) Policy enforcement with associated data
CN102073826A (en) System and method for digital copyright management using lightweight digital watermark adding component
TWI502397B (en) Document authority management system, terminal device, document authority management method, and computer-readable recording medium
JP7133589B2 (en) NFT Access Restriction System and NFT Access Restriction Program
KR100440037B1 (en) Document security system
CN111586065A (en) Data authorization method based on block chain
KR101062624B1 (en) IC tag system
Chen et al. A novel DRM scheme for accommodating expectations of personal use
JP2004527818A (en) Personal data database system and method for controlling access to a personal data database
JPH11272681A (en) Recording method for individual information and record medium thereof
KR100667475B1 (en) Content management system with usage rule management server
JP2005165738A (en) Electronic content management system, electronic content management method, and its program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061201

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100302

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100629