JP2008276376A - 文書ファイル保護方法 - Google Patents
文書ファイル保護方法 Download PDFInfo
- Publication number
- JP2008276376A JP2008276376A JP2007116988A JP2007116988A JP2008276376A JP 2008276376 A JP2008276376 A JP 2008276376A JP 2007116988 A JP2007116988 A JP 2007116988A JP 2007116988 A JP2007116988 A JP 2007116988A JP 2008276376 A JP2008276376 A JP 2008276376A
- Authority
- JP
- Japan
- Prior art keywords
- authority
- group
- file
- organization
- document file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
- Document Processing Apparatus (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】組織変更の際に組織グループで保有する文書ファイルを変更することなくアクセス権限の変更を可能にする。
【解決手段】用途毎及び権限種別毎のアクセス権限を表す権限グループを作成しディレクトリサービスDBに格納するステップと、組織グループとその権限種別を指示する入力情報に応じて組織グループを権限グループに所属させるステップと、権限グループとそれに所属する組織グループとを対応付けた保護ポリシーファイルを作成するステップと、非保護文書ファイルのアクセス権限情報部に権限種別と権限グループとを対応付けて書き込むステップとを有し、前記権限グループにアクセス権限を付与することで前記権限グループに所属する前記組織グループに対し間接的にアクセス権限を付与することを特徴とする文書ファイル保護方法。
【選択図】図19
【解決手段】用途毎及び権限種別毎のアクセス権限を表す権限グループを作成しディレクトリサービスDBに格納するステップと、組織グループとその権限種別を指示する入力情報に応じて組織グループを権限グループに所属させるステップと、権限グループとそれに所属する組織グループとを対応付けた保護ポリシーファイルを作成するステップと、非保護文書ファイルのアクセス権限情報部に権限種別と権限グループとを対応付けて書き込むステップとを有し、前記権限グループにアクセス権限を付与することで前記権限グループに所属する前記組織グループに対し間接的にアクセス権限を付与することを特徴とする文書ファイル保護方法。
【選択図】図19
Description
本発明は、コンピュータシステムにより管理される文書ファイルを暗号化し、組織内の限られたグループやユーザのみに対し必要なアクセス権限を付与する文書ファイル保護方法に関するものである。
近年企業での情報漏洩や公的文書の改竄が社会的に問題となっており、組織内の種々の文書をコンピュータシステムを用いて電子文書すなわち文書ファイルとし、システム的に厳正に管理することが要求されている。
この問題を解決するために、文書ファイルを暗号化して保存し、決められたユーザやグループに必要なアクセス権限を付与するための文書ファイル保護システムが普及しつつある。
図1〜図3を参照し、一般的な文書ファイル保護システムの一例を説明する。
図1は、この文書ファイル保護システムの概要を示すブロック構成図であり、ユーザとのインタフェースであるクライアントPC(パーソナルコンピュータ)101は文書処理部 102を備えている。クライアントPC101とネットワーク接続され、文書ファイルのアクセス権限の管理を行う権限管理サーバ103は、文書ファイルの暗号・復号を行うための鍵を発行する鍵発行部104と、アクセス権限を判定するアクセス権限認証部105とを備えている。権限管理サーバ103とネットワーク接続され、ユーザ・グループ情報を管理するディレクトリサーバ106は、ディレクトリサービス部107と、ユーザ・グループ情報を格納するディレクトリサービスDB(データベース)108とを備えている。
図1は、この文書ファイル保護システムの概要を示すブロック構成図であり、ユーザとのインタフェースであるクライアントPC(パーソナルコンピュータ)101は文書処理部 102を備えている。クライアントPC101とネットワーク接続され、文書ファイルのアクセス権限の管理を行う権限管理サーバ103は、文書ファイルの暗号・復号を行うための鍵を発行する鍵発行部104と、アクセス権限を判定するアクセス権限認証部105とを備えている。権限管理サーバ103とネットワーク接続され、ユーザ・グループ情報を管理するディレクトリサーバ106は、ディレクトリサービス部107と、ユーザ・グループ情報を格納するディレクトリサービスDB(データベース)108とを備えている。
図2は、図1のような文書保護システムで文書ファイルの保護を行う手順を示している。
ユーザは、クライアントPC101の文書処理部102を用いて非保護文書ファイル201の保護を指示する。文書処理部102は、文書ファイルの暗号化とアクセス権限の付与を行うための鍵を取得するために、権限管理サーバ103の鍵発行部104に依頼する。鍵発行部104は、鍵を発行し文書処理部102に返す。文書処理部102は返却された鍵を用いて保護された文書ファイル202を作成する。
ユーザは、クライアントPC101の文書処理部102を用いて非保護文書ファイル201の保護を指示する。文書処理部102は、文書ファイルの暗号化とアクセス権限の付与を行うための鍵を取得するために、権限管理サーバ103の鍵発行部104に依頼する。鍵発行部104は、鍵を発行し文書処理部102に返す。文書処理部102は返却された鍵を用いて保護された文書ファイル202を作成する。
図3は、保護された文書ファイルに対してユーザがアクセスする手順を示している。
ユーザは、クライアントPC101の文書処理部102を用いて保護された文書ファイル202のアクセスを要求する。文書処理部102は、保護された文書ファイルを解除するための鍵を鍵発行部104に要求する。鍵発行部104は、ユーザが文書ファイルに対するアクセス権限を持っているか否かを判定するために、アクセス権限認証部105に依頼する。アクセス権限認証部105は、ディレクトリサーバ106のディレクトリサービス部107を用いてユーザのアクセス権限を検証する。ユーザにアクセス権限がある場合、鍵発行部104は、復号鍵を文書処理部102に返却し、文書処理部102は返却された鍵を使用して文書ファイルを復号化してアクセスを行う。
ユーザは、クライアントPC101の文書処理部102を用いて保護された文書ファイル202のアクセスを要求する。文書処理部102は、保護された文書ファイルを解除するための鍵を鍵発行部104に要求する。鍵発行部104は、ユーザが文書ファイルに対するアクセス権限を持っているか否かを判定するために、アクセス権限認証部105に依頼する。アクセス権限認証部105は、ディレクトリサーバ106のディレクトリサービス部107を用いてユーザのアクセス権限を検証する。ユーザにアクセス権限がある場合、鍵発行部104は、復号鍵を文書処理部102に返却し、文書処理部102は返却された鍵を使用して文書ファイルを復号化してアクセスを行う。
本発明に関連する公知技術文献としては下記特許文献1があげられる。
特開平8-50559号公報
このような文書ファイル保護システムを用いることで、特定のユーザ・グループに特定のアクセス権限を付与することが可能になるが、組織構造に変更があった際に問題がある。
問題点の具体例を、図4〜図6を参照して説明する。図4は、組織階層図の一例である。ディレクトリサーバ(図1の符号106)のディレクトリサービス部(図1の符号107)の管理する組織階層内の組織グループとしては、会社401の配下に設計部402と総務部403が存在し、また設計部402の配下には設計部第1課404、設計部第2課405、設計部第3課406、設計部第4課407、設計部第5課408が存在する。そして、アクセス権限として、設計部第1課104 には「閲覧権限」を、設計部第2課105には「閲覧+印刷権限」を、設計部第3課106には「編集権限」を、設計部第4課107には「編集+印刷権限」を、設計部第5課108には文書ファイルに対するすべてのアクセス権限である「フルコントロール」をそれぞれ付与する。これらの各組織グループ(実際には、組織グループID)とその権限種別とが対応付けられ、ディレクトリサービスDB(図1の符号108)に格納されている。
この場合、図5のように保護された文書ファイル202の内部構成501は、アクセス権限情報部501aと文書の内容501bに分かれる。保護された文書ファイル202のアクセス権限情報部501aは、「権限種別」と、ディレクトリサービスDBに格納された「組織グループID」とで構成されている。
ここで図6の例で示すように、組織変更で設計部第6課409を新設した場合を考える。設計部第6課409にはアクセス権限として「閲覧権限」を付与するとする。この場合、これまでの文書ファイル保護システムでは既存の全ての文書ファイルの保護を解除して再度文書ファイルの保護処理を行う必要がある。この再保護処理の回数は文書ファイルの数に比例するため、各組織グループで保有する保護された文書ファイルの数が増大するに従って再保護処理の時間も増大してしまうという課題が残っている。
本発明の目的は、組織変更の際に各組織グループが保有する、既存の保護された文書ファイルに変更を加えることなくアクセス権限を変更するための文書ファイル保護方法を提供することにある。
上記目的を達成するために本発明の文書ファイル保護方法では、ディレクトリサービス上に用途毎及び権限種別毎のアクセス権限を表す権限グループを事前に作成し、ディレクトリサービス上の組織グループを権限グループに所属させ、文書へのアクセス権限を付与する対象グループを権限グループとすることで間接的に組織グループにアクセス権限を付与し、アクセス権限の変更では文書ファイルのアクセス権を直接変更するのではなくディレクトリサービス上で権限グループと組織グループの所属関係を変更することで間接的にアクセス権限を変更する方法を設けたものである。
具体的には次の構成を備えた文書ファイル保護方法である。
保護ポリシーの管理を行う保護ポリシーサーバによって、用途毎及び権限種別毎のアクセス権限を表す権限グループを作成しディレクトリサービスDBに格納する第1のステップと、組織グループとその権限種別を指示する入力情報に応じて前記ディレクトリサービスDBを参照し前記組織グループをその権限種別に対応する前記権限グループに所属させる第2のステップと、前記権限グループとそれに所属する前記組織グループとを対応付けて書き込んだ保護ポリシーファイルを作成し保存する第3のステップと、非保護文書ファイルのアクセス権限情報部に権限種別と権限グループとを対応付けて書き込むことにより保護された文書ファイルとする第4のステップとを有し、前記権限グループにアクセス権限を付与することで前記権限グループに所属する前記組織グループに対し間接的にアクセス権限を付与することを特徴とする。
保護ポリシーの管理を行う保護ポリシーサーバによって、用途毎及び権限種別毎のアクセス権限を表す権限グループを作成しディレクトリサービスDBに格納する第1のステップと、組織グループとその権限種別を指示する入力情報に応じて前記ディレクトリサービスDBを参照し前記組織グループをその権限種別に対応する前記権限グループに所属させる第2のステップと、前記権限グループとそれに所属する前記組織グループとを対応付けて書き込んだ保護ポリシーファイルを作成し保存する第3のステップと、非保護文書ファイルのアクセス権限情報部に権限種別と権限グループとを対応付けて書き込むことにより保護された文書ファイルとする第4のステップとを有し、前記権限グループにアクセス権限を付与することで前記権限グループに所属する前記組織グループに対し間接的にアクセス権限を付与することを特徴とする。
組織グループとその権限種別との対応付けに変更があった場合、変更対象の組織グループをその権限種別に対応する権限グループに所属させる第5のステップと、前記保護ポリシーファイルに書き込まれた前記権限グループとそれに所属する組織グループの情報を、前記変更対象の組織グループに係る情報に基づき更新し保存する第6のステップとを有することを特徴とする。
更に、前記第1のステップと、前記第2のステップは、前記ディレクトリサービスDBを保持するディレクトリサーバに対して前記保護ポリシーサーバが指示することによって行うことを特徴とする。
更に、前記第1のステップと、前記第2のステップは、前記ディレクトリサービスDBを保持するディレクトリサーバに対して前記保護ポリシーサーバが指示することによって行うことを特徴とする。
以上のように本発明の文書保護システムによれば次のような効果がある。
組織変更の際に、各組織グループで保有する既存の保護された文書ファイルに対して再保護処理を行うことなく、アクセス権限を変更することができる。
組織変更の際に、各組織グループで保有する既存の保護された文書ファイルに対して再保護処理を行うことなく、アクセス権限を変更することができる。
以下、図面を参照して本発明の実施形態を説明する。
図7は、本発明による文書ファイル保護方法を適用した文書ファイル保護システムの一実施例の構成図である。
クライアントPC701は、ユーザが保護ポリシーファイルを作成・編集するための保護ポリシー入力部702を備えている。
クライアントPC701とネットワーク接続された保護ポリシーサーバ703は、保護ポリシーの管理を行い、文書の保護を行う文書処理部704と、保護ポリシーの作成・変更・読み込み処理を行う保護ポリシー処理部705と、用途毎に保護された文書ファイル706a及び保護ポリシーファイル706bを格納するためのファイル格納部706とを備える。
保護ポリシーサーバ703とネットワーク接続された権限管理サーバ707は、文書の権限の管理を行い、文書の暗号化・復号化を行うための鍵を発行する鍵発行部708と、ユーザのアクセス権限を判定するアクセス権限認証部709とを備える。
ディレクトリサーバ710は、ユーザ・グループ情報を管理するディレクトリサービス部711と、ユーザ・グループ情報を格納するディレクトリサービスDB712とを備えている。ディレクトリサーバ710は、クライアントPC701、保護ポリシーサーバ703及び権限管理サーバ707とネットワーク接続されている。
図7は、本発明による文書ファイル保護方法を適用した文書ファイル保護システムの一実施例の構成図である。
クライアントPC701は、ユーザが保護ポリシーファイルを作成・編集するための保護ポリシー入力部702を備えている。
クライアントPC701とネットワーク接続された保護ポリシーサーバ703は、保護ポリシーの管理を行い、文書の保護を行う文書処理部704と、保護ポリシーの作成・変更・読み込み処理を行う保護ポリシー処理部705と、用途毎に保護された文書ファイル706a及び保護ポリシーファイル706bを格納するためのファイル格納部706とを備える。
保護ポリシーサーバ703とネットワーク接続された権限管理サーバ707は、文書の権限の管理を行い、文書の暗号化・復号化を行うための鍵を発行する鍵発行部708と、ユーザのアクセス権限を判定するアクセス権限認証部709とを備える。
ディレクトリサーバ710は、ユーザ・グループ情報を管理するディレクトリサービス部711と、ユーザ・グループ情報を格納するディレクトリサービスDB712とを備えている。ディレクトリサーバ710は、クライアントPC701、保護ポリシーサーバ703及び権限管理サーバ707とネットワーク接続されている。
図8は、本発明により保護処理される文書ファイルのアクセス権限の定義を模式的に示す図である。本発明の文書ファイル保護システムの運用では、アクセス権限は文書ファイル毎ではなく、用途毎に定義されている。これにより管理が容易となる。図8の例では、設計部関係の文書ファイルを、設計部内部でのみ使用する設計部内部用文書ファイル801と、設計部以外に総務部にも公開する設計部外部公開用文書ファイル803の2つの用途に分けて管理している。
設計部内部用文書ファイル801は、保護対象である実際の文書ファイル801aと、アクセス権限を定義した保護ポリシーファイル801bを含む。また、設計部外部公開用文書ファイル803は、保護対象である実際の文書ファイル803aと、アクセス権限を定義した保護ポリシーファイル803bを含む。
このように保護対象の文書ファイルを用途毎に分けて管理し、用途毎に保護ポリシーファイル801b、803bを設けてアクセス権限を定義する。アクセス権限の定義802、804は、最終的に権限種別と対象組織グループIDとを対応付けることを可能とする(実際の保護ポリシーファイルのデータ構成は、後述する図12に示す)。図8の文書ファイル801a、803aは、図7の文書ファイル706aであり、図8の保護ポリシーファイル801b、803bは、図7の保護ポリシーファイル706bである。
設計部内部用文書ファイル801は、保護対象である実際の文書ファイル801aと、アクセス権限を定義した保護ポリシーファイル801bを含む。また、設計部外部公開用文書ファイル803は、保護対象である実際の文書ファイル803aと、アクセス権限を定義した保護ポリシーファイル803bを含む。
このように保護対象の文書ファイルを用途毎に分けて管理し、用途毎に保護ポリシーファイル801b、803bを設けてアクセス権限を定義する。アクセス権限の定義802、804は、最終的に権限種別と対象組織グループIDとを対応付けることを可能とする(実際の保護ポリシーファイルのデータ構成は、後述する図12に示す)。図8の文書ファイル801a、803aは、図7の文書ファイル706aであり、図8の保護ポリシーファイル801b、803bは、図7の保護ポリシーファイル706bである。
図9〜図13は、保護ポリシーファイル作成時の処理を示す図である。説明においては、図7のシステム構成図の符号を適宜用いる
図9は、保護ポリシーファイルを作成する場合に、保護ポリシー入力部702により画面表示されるユーザインタフェースの例を示す図である。対象とする組織グループ選択欄901でディレクトリサービスDB712に存在する組織グループを選択して、権限種別選択欄902でその組織グループに対して付与するアクセス権限を選択する。OKボタン903を押下すると、保護ポリシーサーバ703の保護ポリシー処理部705に対して保護ポリシー作成の指示を送信する。
図10は、図7のシステムにおいて、保護ポリシー入力部702から保護ポリシー作成を指示された保護ポリシー処理部705が、保護ポリシーファイルを作成する場合に関係する部分のみを示すシステム構成図である。保護ポリシー処理部705は、ディレクトリサーバ710のディレクトリサービス部711に指示して、ディレクトリサービスDB712に当該ポリシーの権限種別を示す権限グループ712aを作成する。またユーザより選択された対象とする組織グループを、作成した権限グループ712aに所属させる(図11で説明する)。最後に保護ポリシーファイル706bを作成してファイル格納部706に格納する。
図11は、保護ポリシーファイル作成の際の、権限グループ712aと組織グループ404〜408との関係付けの例を示す図である。保護ポリシー処理部705では、作成した権限グループ712aに、次のように既存の組織グループ404〜408を所属させる。例えば、「閲覧権限」を与えられた設計部第1課404を閲覧グループ1101に所属させる。「閲覧+印刷権限」を与えられた設計部第2課405を閲覧+印刷グループ1102に所属させる。「編集権限」を与えられた設計部第3課406を編集グループ1103に所属させる。「編集+印刷権限」を与えられた設計部第4課407を編集+印刷グループ1104に所属させる。「フルコントロール権限」を与えられた設計部第5課408をフルコントロールグループ1105に所属させる。
図12は、保護ポリシーファイル706bのデータ構成の例を示した図である。権限種別1201、権限グループID1202、組織グループID1203で構成され、それぞれの「権限種別」に対応するディレクトリサービスDB712の「権限グループID」と、その権限グループに所属する「組織グループID」を格納する。1つの権限グループIDに複数の組織グループIDが所属する場合もある。
図13は、保護ポリシーファイル作成時の保護ポリシー処理部705の処理の概要を示すフローチャートである。保護ポリシー入力部702より選択された権限種別と組織グループを読み込む(ステップ1301)。次に、当該ポリシーの権限種別を表す権限グループを作成するためにディレクトリサービス部711に権限グループ作成を指示する(ステップ1302)。また、読み込んだ組織グループを作成した権限グループに所属させるための指示を送る(ステップ1303)。最後に保護ポリシーファイル706bを作成してファイル格納部706に配置する(ステップ1304)。
図14〜図16は、文書ファイル保護時の処理を示す図である。説明においては、図7のシステム構成図の符号を適宜用いる
図14は、図7のシステムにおいて、文書ファイル保護を行う場合に関連する部分のみを示すシステム構成図である。(クライアントPCから)非保護文書ファイル1401を保護する要求があると、文書処理部704は、保護ポリシー処理部705に保護ポリシーファイル706bを読み込ませる。次に、文書の保護のための鍵を鍵発行部708より取得して、保護ポリシーファイル706bに記述した権限グループに対してアクセス権限を付与し文書ファイルを保護する。最後に、保護された文書ファイル706aをファイル格納部706に格納する。
図15は、保護された文書ファイル706aのデータ構成図の例である。保護された文書ファイル706aには、アクセス権限情報部1501aと、文書の内容1501bとが含まれる。保護処理で付加されたアクセス権限情報部1501aは、「権限種別」と「権限グループID」とを対応付けている。これは、従来技術の図5に示したアクセス権限情報部501aにおいて「権限種別」と「組織グループID」とを対応付けている点と異なる。従って、本発明では、保護された文書ファイル706aのアクセス権限情報部1501aには、組織グループIDは書き込まれておらず、権限グループIDのみが書き込まれている。権限グループIDとそれに含まれる組織グループIDとの対応付けは、保護ポリシーファイル706bに書かれている。従って、個々の保護された文書ファイル706aには、アクセス権限をもつ組織グループが直接的ではなく間接的に指定されていることになる。
図16は、文書ファイル保護処理時の文書処理部704及び保護ポリシー処理部705の処理概要を示すフローチャートである。まず、非保護文書ファイルのパスを取得する(ステップ1601)。次に保護するファイルの格納先を取得する(ステップ1602)。保護するファイルの格納先から保護ポリシーファイル706bの格納先を判定し保護ポリシーファイル読み込む(ステップ1603)。文書保護のために鍵発行部708より鍵を取得する(ステップ1604)。鍵を使用して保護ポリシーファイル706bに記載された権限グループにアクセス権限を付与して文書を保護する(ステップ1605)。具体的には、非保護文書ファイルのデータ構成におけるアクセス権限情報部に権限種別と権限グループを対応付けて書き込むことにより、保護された文書ファイル706aとする。最後に、保護された文書ファイル706aをファイル格納部706に配置する(ステップ1606)。
従来は、保護された文書ファイル706aに、アクセス権限をもつ組織グループが直接書かれていたために、組織グループの変更があると既存の文書ファイル706aを全て再保護処理する必要があったが、本発明では、既存の文書ファイル706aはそのままで、保護ポリシーファイル706bのみを書き換えればよい。
図17〜図21は、アクセス権限の変更を行う処理を示している。
図17は、保護ポリシーを変更する場合の、保護ポリシー入力部702のユーザインタフェースの画面例を示す図である。対象とする組織グループ選択欄1701の初期表示では、既存の保護ポリシーファイルを入力することにより、設計部第1課〜設計部第5課までの権限種別が表示される。新設された設計部第6課に対して閲覧権限を付与する場合、組織グループ欄1701でディレクトリサービスDB上に存在する「設計部第6課」を選択し、対応する権限種別として権限種別選択欄1702で「閲覧権限」を選択する。OKボタン1703を押下すると保護ポリシーサーバ703の保護ポリシー処理部705に保護ポリシーを変更する旨の指示を送る。
図17は、保護ポリシーを変更する場合の、保護ポリシー入力部702のユーザインタフェースの画面例を示す図である。対象とする組織グループ選択欄1701の初期表示では、既存の保護ポリシーファイルを入力することにより、設計部第1課〜設計部第5課までの権限種別が表示される。新設された設計部第6課に対して閲覧権限を付与する場合、組織グループ欄1701でディレクトリサービスDB上に存在する「設計部第6課」を選択し、対応する権限種別として権限種別選択欄1702で「閲覧権限」を選択する。OKボタン1703を押下すると保護ポリシーサーバ703の保護ポリシー処理部705に保護ポリシーを変更する旨の指示を送る。
図18は、保護ポリシー入力部702から保護ポリシー変更を指示された保護ポリシー処理部705が保護ポリシーを変更する場合に関連する部分のみを示すシステム構成図である。保護ポリシー処理部705は、ディレクトリサービス部711に指示して、ユーザより選択された組織グループを権限グループに所属させる(後述する図19で説明する)。最後に保護ポリシーファイル706bの内容を変更してファイル格納部706の保護ポリシーファイルを上書き保存する。
図19は、保護ポリシー変更の際の権限グループと組織グループの関係の例を示す図である。保護ポリシー処理部705では、設計部第6課409を閲覧グループ1101に所属させる。
図20は、保護ポリシー変更後の保護ポリシーファイル760bのデータ構成例を示した図である。権限種別1201「閲覧」の閲覧グループID1202に対応付ける組織グループID1203として、設計部第6課に対応するディレクトリサービスDB上のグループを示す組織グループIDを追加する。これにより「閲覧グループ」には、設計部1課と設計部6課の2つの組織グループが含まれることとなる。
図21は、保護された文書ファイルのアクセス権限を変更する際の文書処理部の処理概要を示すフローチャートである。まず、保護ポリシー入力部702より選択された権限種別と組織グループIDを読み込む(ステップ2101)。次に、読み込んだ組織グループIDを事前に作成済みの権限グループに所属させる(ステップ2102)。最後に入力された内容で保護ポリシーファイル706bを更新する(ステップ2103)。
上記の構成で示すように、文書ファイルのアクセス権限を組織グループに直接付与するのではなく事前に定義した権限グループに付与し、対応する権限グループに各組織グループを所属させることで、組織変更の際に保護された文書ファイルを変更することなくアクセス権限を変更することが可能となる。
以上、好ましい実施の形態について説明したが、本発明は前記実施の形態に限定されるものではなく、本発明の要旨を逸脱することのない範囲内において適宜の変更が可能なものである。例えば、事前に定義する権限グループを「閲覧」、「閲覧+印刷」、「編集」、「編集+印刷」、「フルコントロール」の5種類の例で述べたが、ユーザが使用するアプリケーションの用途に合わせて任意のアクセス権限を定義しても構わない。また、GUIを用いて保護ポリシーを定義するとしたが他のインタフェースであっても構わない。
701:クライアントPC、702:保護ポリシー入力部、703:保護ポリシーサーバ、704:文書処理部、705:保護ポリシー処理部、706:ファイル格納部、706a:保護された文書ファイル、706b:保護ポリシーファイル、707:権限管理サーバ、708:鍵発行部、709:アクセス権限認証部、710:ディレクトリサーバ、711:ディレクトリサービス部、712:ディレクトリサービスDB
Claims (3)
- 保護ポリシーの管理を行う保護ポリシーサーバによって、用途毎及び権限種別毎のアクセス権限を表す権限グループを作成しディレクトリサービスDBに格納する第1のステップと、組織グループとその権限種別を指示する入力情報に応じて前記ディレクトリサービスDBを参照し前記組織グループをその権限種別に対応する前記権限グループに所属させる第2のステップと、前記権限グループとそれに所属する前記組織グループとを対応付けて書き込んだ保護ポリシーファイルを作成し保存する第3のステップと、非保護文書ファイルのアクセス権限情報部に権限種別と権限グループとを対応付けて書き込むことにより保護された文書ファイルとする第4のステップとを有し、前記権限グループにアクセス権限を付与することで前記権限グループに所属する前記組織グループに対し間接的にアクセス権限を付与することを特徴とする文書ファイル保護方法。
- 組織グループとその権限種別との対応付けに変更があった場合、変更対象の組織グループをその権限種別に対応する権限グループに所属させる第5のステップと、前記保護ポリシーファイルに書き込まれた前記権限グループとそれに所属する組織グループの情報を、前記変更対象の組織グループに係る情報に基づき更新し保存する第6のステップとを有することを特徴とする請求項1に記載の文書ファイル保護方法。
- 前記第1のステップと、前記第2のステップは、前記ディレクトリサービスDBを保持するディレクトリサーバに対して前記保護ポリシーサーバが指示することによって行うことを特徴とする請求項1又は2に記載の文書ファイル保護方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007116988A JP2008276376A (ja) | 2007-04-26 | 2007-04-26 | 文書ファイル保護方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007116988A JP2008276376A (ja) | 2007-04-26 | 2007-04-26 | 文書ファイル保護方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008276376A true JP2008276376A (ja) | 2008-11-13 |
Family
ID=40054277
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007116988A Pending JP2008276376A (ja) | 2007-04-26 | 2007-04-26 | 文書ファイル保護方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008276376A (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010152734A (ja) * | 2008-12-25 | 2010-07-08 | Fuji Xerox Co Ltd | ライセンス管理装置及びライセンス管理プログラム |
US9824718B2 (en) | 2014-09-12 | 2017-11-21 | Panasonic Intellectual Property Management Co., Ltd. | Recording and playback device |
JP2019159890A (ja) * | 2018-03-14 | 2019-09-19 | 株式会社沖データ | 印刷方法及び印刷システム |
WO2021250863A1 (ja) * | 2020-06-11 | 2021-12-16 | 日本電気株式会社 | 管理装置、制御方法、コンピュータ可読媒体、及びアクセス制御システム |
JP2022511357A (ja) * | 2018-11-15 | 2022-01-31 | インターナショナル・ビジネス・マシーンズ・コーポレーション | データ暗号化に基づく目的に固有のアクセス制御方法、および装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006092525A (ja) * | 2004-08-26 | 2006-04-06 | Mitsubishi Electric Corp | 鍵管理装置、文書保護・編集システム及び鍵管理方法 |
-
2007
- 2007-04-26 JP JP2007116988A patent/JP2008276376A/ja active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006092525A (ja) * | 2004-08-26 | 2006-04-06 | Mitsubishi Electric Corp | 鍵管理装置、文書保護・編集システム及び鍵管理方法 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010152734A (ja) * | 2008-12-25 | 2010-07-08 | Fuji Xerox Co Ltd | ライセンス管理装置及びライセンス管理プログラム |
JP4631969B2 (ja) * | 2008-12-25 | 2011-02-16 | 富士ゼロックス株式会社 | ライセンス管理装置及びライセンス管理プログラム |
US9824718B2 (en) | 2014-09-12 | 2017-11-21 | Panasonic Intellectual Property Management Co., Ltd. | Recording and playback device |
JP2019159890A (ja) * | 2018-03-14 | 2019-09-19 | 株式会社沖データ | 印刷方法及び印刷システム |
JP2022511357A (ja) * | 2018-11-15 | 2022-01-31 | インターナショナル・ビジネス・マシーンズ・コーポレーション | データ暗号化に基づく目的に固有のアクセス制御方法、および装置 |
JP7465043B2 (ja) | 2018-11-15 | 2024-04-10 | インターナショナル・ビジネス・マシーンズ・コーポレーション | データ暗号化に基づく目的に固有のアクセス制御方法、および装置 |
WO2021250863A1 (ja) * | 2020-06-11 | 2021-12-16 | 日本電気株式会社 | 管理装置、制御方法、コンピュータ可読媒体、及びアクセス制御システム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11755935B2 (en) | Managing information for model training using distributed blockchain ledger | |
JP4759513B2 (ja) | 動的、分散的および協働的な環境におけるデータオブジェクトの管理 | |
JP6900524B2 (ja) | アクセス管理方法、情報処理装置、プログラム、及び記録媒体 | |
JP2008294596A (ja) | 表データの真正性保証システム | |
US20080037789A1 (en) | Document Processing Device, Document Reading Device, and Document Processing Method | |
JP5298891B2 (ja) | アクセス制御プログラム、アクセス制御方法、およびアクセス制御装置 | |
JP2008003846A (ja) | 文書利用管理システム及び方法、文書管理サーバ及びそのプログラム | |
JP2007207087A (ja) | 電子チケット発行管理システム、発行側システム、プログラム及び電子チケット発行管理方法 | |
JP2009042856A (ja) | 文書管理装置、文書管理システム及びプログラム | |
JP5366864B2 (ja) | セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法 | |
JP2010237480A (ja) | コンテンツ保護装置およびコンテンツ保護方法 | |
US8176535B2 (en) | Information processing system, information processing method, and computer readable medium | |
JP2008276376A (ja) | 文書ファイル保護方法 | |
JP5119840B2 (ja) | 情報処理装置、情報処理システム、及びプログラム | |
JP2005174211A (ja) | 情報処理装置及び情報処理方法 | |
JP4266897B2 (ja) | ライセンス管理システム、ライセンス管理方法、ライセンス管理サーバ、及びライセンス管理ソフトウェア | |
JP2009104646A (ja) | データベースシステム及びデータ管理方法 | |
CN108694327B (zh) | 虚拟磁盘的防护系统 | |
JP4946726B2 (ja) | 文書操作システムおよび管理装置およびプログラム | |
US10229276B2 (en) | Method and apparatus for document author control of digital rights management | |
JP2006155279A (ja) | 情報処理システムおよび電子文書安全化方法およびプログラムおよび記録媒体 | |
JP5437215B2 (ja) | 文書保護システム | |
JP4924269B2 (ja) | 操作制限管理システムおよびプログラム | |
JP4882550B2 (ja) | オブジェクト管理システム及びオブジェクト管理方法、並びにコンピュータ・プログラム | |
EP3568798B1 (en) | Data filing method and system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100104 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111117 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120410 |