JP3640338B2 - 安全な電子データ格納、取出しシステムおよび方法 - Google Patents

安全な電子データ格納、取出しシステムおよび方法 Download PDF

Info

Publication number
JP3640338B2
JP3640338B2 JP31630999A JP31630999A JP3640338B2 JP 3640338 B2 JP3640338 B2 JP 3640338B2 JP 31630999 A JP31630999 A JP 31630999A JP 31630999 A JP31630999 A JP 31630999A JP 3640338 B2 JP3640338 B2 JP 3640338B2
Authority
JP
Japan
Prior art keywords
data
repository
electronic data
document
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP31630999A
Other languages
English (en)
Other versions
JP2000200209A (ja
Inventor
ハミド・バチャ
ロバート・ブルース・キャロル
レフ・ミルラス
スン・ウェイ・チャオ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2000200209A publication Critical patent/JP2000200209A/ja
Application granted granted Critical
Publication of JP3640338B2 publication Critical patent/JP3640338B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、電子データ格納の分野を対象とし、さらに詳細には、データ取出し時にアクセス制御が実施され第三者であるデータ保管者(custodian)によって管理される、安全なデータ・リポジトリ/交換システムを提供する。
【0002】
【従来の技術】
ネットワーク通信と公開キー・インフラストラクチャ(public key infrastructure)(「PKI」)テクノロジにおける最近の平行した進歩によって、企業や公的機関は、あらゆる種類の記録保管および業務処理に際して、電子文書を使用するようになってきた。伝送の保全性および機密保護の向上に伴い、インターネットや他のオープン・ネットワークを介して電子的に送信される文書は、改ざんされずに完全な形で着信すると確信することができる。データベース管理システムを、数ギガバイトのデータを記憶することができる最新のコンピュータ・メモリと組み合わせることによって、企業や公的機関は、不動産コストのかさむ大量の記録用紙を保管しなくてもよくなった。
【0003】
一般に、1つのエンティティから発信されるデータは、寄託、検討などいくつかの理由で他のエンティティへ送信しなければならないことがある。このデータ要素は、銀行口座やその他の財務情報など非構造化文書ファイルまたは構造化レコードの形式を採ることができる。非構造化データの例では、検討の目的で、発信元システムから同じシステム内の他のコンピュータへ、または別のシステム上に常駐するコンピュータへ、文書を転送する必要が生じることがある。こうした状況は、企業の立場(たとえば、合弁事業の申込みや複雑な入札の目的)においても、公的機関の立場(たとえば大学の論文審査委員会に提出する前に指導教官によって検討される卒業論文)においても、等しく発生する可能性がある。文書は(特に長い文書の場合)、毎回文書全体をタイプし直す必要がなく、改訂や追加が容易にできるので、電子的に作成されている。
【0004】
文書を電子書式にすると簡単に伝送できることから、検討も容易になる。ただし、作成者は文書を回覧するのではなく、所期の検討者にその文書が入手可能なことを知らせ、アクセス権を提供することができる。文書を検討するためには、許可された検討者にその文書の格納場所へのアクセス権を与える必要がある。
【0005】
文書作成者が文書をローカルに格納したくないと考えるのには、いくつかの理由がある。ローカル文書格納手段が、そのファイアウォールの背後にある他のエンティティに対してオープン・アクセスを提供している場合、機密保護のリスク(ハッカーの脅威)が生じる。ローカル格納場所にアクセスすると、検討者による1つの不注意な行動によって文書ファイルが消去されてしまう可能性もあるため、データ管理も危険にさらされる。また、システムまたはネットワーク、あるいはその両方の可用性が低いと、検討者が感じる格納場所にある文書に直接アクセスできるという便利さが帳消しになることがある。システムの可用性とは、文書発信者のローカル・マシンまたはLANがいつでも検討者に便利なように利用できるかどうかということであり、ネットワークの可用性とは、数人の検討者が同時にアクセスしようとした場合に、ネットワークがローカル格納場所に複数のポイントを使用可能にし難いようにする制約のことである。
【0006】
企業または公的機関においても、文書の発信者が一定の日付に文書(たとえば商用入札)を提出したことを示す独立した確認を提供しなければならない理由があることがある。
【0007】
解決方法の1つは、第三者、特に安全なデータ・リポジトリのサービスを提供する業務を担当しており、必要であれば寄託証明を発行できる人のリポジトリを使用することである。
【0008】
Document Authentication Systems, Inc.に譲渡された、共に「System and Method for Electronic Transmission Storage and Retrieval of Authenticated Documents」という名称の、米国特許第5615268号および第5748738号は、データ・リポジトリ・サービスと通信するために、知的所有権のあるWindowsクライアントを使用してデータ保全性および非拒否保証を提供するシステムについて記載している。
【0009】
これらの特許で対象とされていない重要な問題は、リポジトリに格納されたデータの保全性およびこのデータへのアクセスが、文書リポジトリを管理する第三者のアクションに依存していないことである。言い換えれば、データ保管者が不注意なアクションまたは不当なアクションによって、システム・ユーザによってアクションが検出されることなくデータの内容を修正できるようであってはならない。さらに、データ保管者が、ユーザのデータ要素にアクセスできるようにする特権またはアクセスできないようにする制約を変更できるようであってはならない。
【0010】
前述の米国特許第5615268号および第5748738号のシステムでは、データ・リポジトリ・サービスは、データを他のユーザに漏らすことがないと信用されている。このシステムでは、暗号技術を使用したデータのプライバシーは実現されていない。
【0011】
【発明が解決しようとする課題】
したがって、本発明の一目的は、電子文書の格納/交換システムを提供することであって、このシステムでは、文書は第三者によって管理されるリポジトリ内に物理的に格納されるが、ユーザはこの文書へのアクセスが可能であり、この文書を互いに共用する。
【0012】
本発明の他の目的は、リポジトリ内に格納されたデータの保全性およびこのデータへのアクセスが第三者である管理者のアクションに依存していないシステムを提供することである。
【0013】
【課題を解決するための手段】
したがって一態様において、本発明は、データ・リポジトリと、寄託側コンピュータの暗号化された電子データをデータ・リポジトリに格納しそこから取り出すのを管理するリポジトリ・マネージャと、寄託側コンピュータのエージェント・プログラムとからなる、安全な電子データの格納/取出しシステムを対象とする。エージェント・プログラムは、寄託側コンピュータがオンラインであろうとオフラインであろうと、リポジトリ・マネージャにアクセス可能である。さらにエージェント・プログラムは、要求元コンピュータの認証時に、要求元コンピュータの要求に応じてデータ・リポジトリから取り出された寄託側コンピュータの暗号化された電子データの暗号を解読する手段も有する。好ましくは、リポジトリ・マネージャが、データ・リポジトリに格納する前に暗号化された電子データにデジタル署名し、次いで、署名付き暗号化データのコピーをエージェント・プログラムに転送して、エージェント・プログラムが暗号解読後に取り出した暗号化電子データを署名付き暗号化データと突き合わせて検証できるようにすることができる。
【0014】
別の態様において、本発明は、データのソースとは無関係にリポジトリ・マネージャによって管理されるデータ・リポジトリに格納された電子データへのユーザ・アクセスを確実に認証するためのシステムおよび方法を提供し、ここでユーザ許可のアクセス制御リストは、データ・リポジトリに格納されるときに電子データに関連付けられる。ソース側が、アクセス制御リストの更新を担当し、現アクセス制御リストの証拠を保持する。現アクセス制御リストの証拠は、更新を実行したどのユーザ・コンピュータにも提供される。ソース側は、データを要求元コンピュータに解放する前に、電子データと共にデータ・リポジトリに格納された更新済みのアクセス制御リストが正確であることを確証する。
【0015】
本発明は、多数のユーザにアクセス可能で、多数のユーザによってアクセスされる多数の文書を有するシステムで使用すると、特に有効である。ユーザ・アクセス情報を集中させると、情報の重複を避けることになるため、システム効率が向上する。さらに、強力な集中化された検索権限を使用すると、豊富な検索が可能になり、パラメータは文書識別に制限する必要がなくなるが、作成時間、文書発信者の識別など、他の識別子を含むことも考えられる。
【0016】
本発明は、前述のシステムまたは方法を実行するためにプログラム・コードを使って符号化された媒体の形式で実現することができる。
【0017】
【発明の実施の形態】
第三者の保管者を利用する文書リポジトリ・システムの従来の配置を図1に示す。文書発信者100は、その接続102を介して、第三者によって管理されるデータベースなどのリモート文書リポジトリ・サービス104に文書を預けることができる。寄託文書の所有者として、文書発信者100はその文書へのアクセスを割り当てることができる。たとえば、文書発信者は、業務パートナ106に「読取り」権限を割り当てることが可能であるが、これは、割り当てられた業務パートナがその文書リポジトリ・サービス104への接続108を介して文書を取り出すことができるが、寄託文書を変更することはできないという意味である。
【0018】
このような従来のシステムでは、一般に、要求時に業務パートナ106が文書を検討できるように、文書発信者100から寄託された文書は暗号化されない。これは、従来技術では文書の暗号解読に関連した問題があるためである。文書を暗号解読するには、文書発信者100の秘密キーにアクセスする必要がある。秘密キーにアクセスするには、文書発信者100が、暗号解読自体を実行するために暗号解読が要求される可能性のある場合にはいつでも自分自身をオンラインで使用できるようにしておく(システム可用性の問題)か、またはその秘密キーを業務パートナ106が直接または信用される代理人(図示せず)を介して使用できるようにするためにあらかじめスキームをセットアップしておく必要がある。
【0019】
インターナショナル・ビジネス・マシーンズ・コーポレイションの米国特許第5491750号は、「Method and Apparatus for Three-Party Entity Authentication and Key Distribution Using Message Authentication Codes」に関するものである。この特許は、2者またはそれ以上の通信パートナが信用される仲介者を介して認証された後に、この通信パートナによって共用される秘密のセッション管理キーの配布を可能にするシステムについて記載している。ただし、このスキームの下で生成されたキーならびにこれと同様の他のキーは一時的なものであって、絶対に必要な場合以外はほとんど使用しないように意図されている。このようなスキームが、永続的な文書リポジトリを使用した文書検討システムで、通信パートナ間での暗号解除キーの安全な伝送を行うのに適しているかどうかは明らかでない。
【0020】
したがって、文書が一定期間寄託され暗号化されない従来のシステム(図1)では、第三者の管理者であるリポジトリ・サービス104は文書の保全性維持について信用できるものでなければならない。
【0021】
本発明の好ましい実施形態の文書リポジトリ・システムは、IBM社に譲渡された1997年11月26日出願の「Secure Server and Method of Operation for a Distributed Information System」という名称の、米国特許出願第980022号の主題である、IBM Vault Registry製品を使用して構築することができる。米国特許出願第980022号は参照により本明細書に組み込まれる。IBM Vault Registry製品は、ヴォールト(Vault)と呼ばれるクライアント環境の安全な拡張を実装する、拡張webサーバ環境を提供する。このシステムは、電子的に伝送される文書および他のデータがそのままの形でエラーもなく着信するという、本明細書の発明の属する技術分野に記載した最新の伝送技術を利用している。クライアントのヴォールト内に含まれるリソースは、認定された公開キーによる強力な認証を使用してクライアントからアクセスされた場合にのみ使用可能となる。環境によっては、クライアントのwebブラウザを介してアクセスすることもある。
【0022】
ヴォールトの情報内容は、プライバシーのため暗号化されている。サーバ上にあるヴォールトは、固有の暗号キー、およびブラウザを介したアクセスなどヴォールトの所有者によって承認された信用できる経路を介したアクセス以外のキーへのアクセスを抑制する機構を有する。ヴォールト内で実行されるプログラムは、以下のことを保証するために、オペレーティング・システム・サービスによって分離されている。
a)ヴォールト内で動作するプログラムによる改変の可能性なしに従属プロセスにその識別が使用できるように、システム識別(仮想ログオン)を使用したプロセスで動作する。
b)その中で動作しているヴォールトのデータ内容だけにアクセスでき、他のものにはアクセスできない。
c)ヴォールトの所有者によって、ヴォールト内での実行が承認されている。
d)改ざんや「トロイの木馬」攻撃を防ぐために署名されている。
【0023】
ヴォールト内で動作するプログラムは、同じヴォールト、または互いの公開キーへの安全なアクセスを有する他のヴォールトに情報を預けることができる。一般に、これらのヴォールトは同じヴォールト・サーバ上に配置されているが、異なるヴォールト・サーバ上に配置し、公開キー情報を提供するために共通の認証機関にアクセスすることもできる。ヴォールト・リポジトリの文脈では、「寄託」という語が様々な意味を持つことがある。一実施態様では、寄託という語は目標ヴォールトの暗号化キーにデータを暗号化し、そのデータを寄託ヴォールトの署名キー中で署名することを表すことができる。ヴォールト・プログラムは、暗号化キーと署名キーのどちらにも直接アクセスすることはできない。これは、APIを介して実行される。任意選択で、「寄託」機能は、目標ヴォールト内に収容されている待ち行列に情報を入れることもできる。別のオプションでは、情報が寄託されたこと、および目標ヴォールト内のプログラムがデータをオープンしたことを確認する「配達証明(return receipt)」が提供される。これらすべての「寄託」機能は、次のような形でヴォールト内で情報を受け渡す手段を提供する。
a)元のプロセスは否定できない。
b)プロセス間通信バッファを検査する機能を有するものによって、内容が閲覧されない。
c)送達が保証されている。
【0024】
アプリケーションが目標ヴォールトへのデータを待ち行列に入れることを選択しない場合は、ファイル、データベース内に情報を格納すること、あるいはデータを「不透明な(opaque)」項目として処理できる(たとえばオブジェクトが永続性になるようにシリアル化する)他の任意のシステム・サービスを使用することを選択することができる。この不透明情報は、バックアップおよび回復用の標準的なシステム技術で管理することができる。ただし、その内容は、SecureDepositorアプリケーション・プログラミング・インタフェースを使用してそれを所有するヴォールトの文脈で実行されるプログラムによってのみ、暗号解読することができる。
【0025】
IBM Vault Registry製品を使用した本発明の好ましい実施形態を、図2に略図で示す。
【0026】
図1に示したシステムと同様に、図2に示したスキームでは、文書発信者200が文書リポジトリ・サービス204との接続202を介して文書を寄託することができ、さらに寄託文書の所有者として、業務パートナなどの第三者206に、その文書へのアクセス・レベルを割り当てることができ、この第三者206は、自分自身のネットワーク接続208を介して文書リポジトリ・サービス204内にある文書へアクセスできるようになる。ただし、前述のシステムとは異なり、文書リポジトリ・システムのユーザには、第三者を信用してリポジトリ内の文書フィールドの保全性を維持させる義務はない。
【0027】
好ましい実施形態の文書リポジトリ・システム204は、2つの構成要素、アプリケーション・サーバ210およびヴォールト・コントローラ214を備える。アプリケーション・サーバ(AS)は、データベース・リポジトリ212を管理するプログラムであって、同じマシン上にあっても、また閉じたネットワーク上のリモート位置にあってもよい。ヴォールト・コントローラ214は、複数の構成要素、すなわち個別に文書発信者200および業務パートナ206に割り当てられたユーザ・ヴォールト216、218、アプリケーション・サーバ210に割り当てられたASヴォールト220、ならびにヴォールト監視プログラム222を含む。
【0028】
ユーザ・ヴォールト216または218には、適切な認証に基づいてヴォールトが割り当てられたユーザ(文書発信者200または業務パートナ206)だけがアクセスすることができる。個々のヴォールトは文書データベース212に直接アクセスすることができず、アクセスはASヴォールト220およびアプリケーション・サーバ210を介して行われる。
【0029】
アプリケーション・サーバ構成要素210は、信用されるコンピューティング・ベースでは実行されないが、任意のプラットフォーム上で実行可能である。アプリケーション・サーバは、ヴォールト・コントローラ214内にあるこれに割り当てられたASヴォールト220内で実行される交互(reciprocating)構成要素を有する。ASヴォールト220はアプリケーション・サーバ210と通信可能であり、このアプリケーション・サーバを介して文書データベース212にアクセスすることができる。
【0030】
図3は、本発明の好ましい実施形態による、文書作成のプロセスを示す流れ図である。IBM Vault Registry環境を使用すると、パーソナル・ヴォールトは概念的にヴォールト所有者環境の安全な拡張となる。したがって、図3では、文書発信者とアプリケーション・サーバのヴォールト間での各プロセス・ステップ間の対話が示されている。
【0031】
データ・リポジトリ内で文書を作成する場合、文書はまずこれを作成または発信したユーザのデスクトップからユーザ(文書発信者)のパーソナル・ヴォールトに送信され(ブロック300)、ここで文書はユーザ・ヴォールトの秘密署名キーで「署名」される(ブロック302)。
【0032】
データ要素の電子署名とは、署名者がそのデータ要素の保全性を保証するものである。署名は、まずデータ要素のダイジェストを計算することにより算出することができる。このダイジェストは、セキュリティを保証するための特有のプロパティを有する、比較的小規模な構造(たとえば、MD2またはMD5ダイジェストの場合128ビット)である。第1に、これは一方向関数であり、すなわちダイジェストが与えられても、それを生成したオリジナル文書を取得することは不可能である。さらに、ダイジェストが与えられても、同じダイジェストを有するはずの第2のプレイメージを見つけることも不可能(または計算による実現不可能)である。ダイジェストは、衝突に対する耐性もある。すなわち、2つの異なるプレイメージが同じダイジェストを生成することはほとんどあり得ない。
【0033】
次いでデータ要素のダイジェストは、ユーザ・ヴォールト・アプリケーションの秘密署名キーを使って暗号化される(ブロック304)。好ましい実施形態では、対称暗号技術および公開キー非対称暗号技術の両方が使用される。
【0034】
公開キー暗号を使用する場合、アプリケーションは、キー・ペアと呼ばれる公開キーと秘密キーの2つのキーを有する。秘密キーはアプリケーションによってローカルに保持されており、下記で詳しく論じる。公開キーは、通常はX.500分散型ディレクトリのようなディレクトリ・サービスを介して、すべてのユーザが使用できるようになっている。公開キー配布は、当技術分野で周知であり、本明細書ではこれ以上詳しくは論じない。
【0035】
公開キー暗号が使用されるとき、公開キーで暗号化されたデータ要素は、対応する秘密キーでのみ暗号解読することができる。同様に、秘密キーで暗号化されたデータ要素は、公開キーでのみ暗号解読することができる。
【0036】
対称キー技法では、暗号化と暗号解読の両方に1つのキーが使用される。現在のところ、対称キー技法による暗号化/暗号解読およびキー生成の方が公開キー非対称技法を用いるよりもかなり高速である。
【0037】
データは通常、ランダムに生成された対称キーを使用して暗号化される。次いでこの対称キーは、ユーザの公共暗号キーを使用してそれ自体が暗号化され文書と共に格納されて、文書の一部となる。
【0038】
さらに図3を続けて見ていくと、暗号化された文書と電子署名は、文書データベースに保管するためにアプリケーション・サーバのヴォールトに転送される(ブロック306)。暗号化された文書を受け取ると(ブロック308)、アプリケーション・サーバのヴォールト内で実行中のアプリケーションは、それ自体の秘密署名キーを使用して再署名することによって、署名を公証する(ブロック310)。
【0039】
電子的文脈において、署名の公証とは、「公証人」としての役割を果たす第三者が、署名の内容を証明するという意味である。(政府機関によって授与された公証人役場に課せられたすべての義務が、本明細書における「公証人」および「公証」の参照によってカバーされるものではない。)一般に署名の電子公証は、後でその署名が許可なく修正されるのを防ぐための特別な予防措置として実行される。本発明の場合、ユーザのデジタル署名の公証は、ユーザが文書リポジトリ内にあるオリジナル文書を置き換えたり修正したりするのを防ぐ。その文書に関連する公証済み署名をチェックすれば、不一致があれば明らかになるはずである。
【0040】
公証済みの電子署名には、所与のデータ要素の発信者署名とその発信者署名の公証人の署名という2つの情報が含まれる。公証人の署名は、発信者署名および現タイム・スタンプに関して計算されるものとする。
【0041】
その後アプリケーション・サーバのヴォールト内で実行中のアプリケーションは、受け取った文書に署名する(ブロック312)。文書発信者から受け取ったデータは暗号化されているため、アプリケーション・サーバは実際には文書の内容について何の知識も持たない。したがって、本発明によれば、この第2の署名は暗号化文書および発信者の公証済み署名に対して計算される。アプリケーション・サーバの署名は、リポジトリ・サービスが文書を受け取ったことを文書発信者(寄託元)に対して証明する、非拒否証明(non-repudiation receipt)となる。その後リポジトリ内で文書を作成しても、後でリポジトリ・サービスによって拒否されることはない。
【0042】
暗号化された文書、文書発信者の公証済み署名、および非拒否証明は、すべてアプリケーション・サーバのリポジトリまたはアプリケーション・データベースに格納される(ブロック314)。非拒否証明は、文書発信者のヴォールトに送信される(ブロック316)。文書発信者のヴォールトは、暗号化された文書の署名を検証することにより、非拒否証明の正確さをチェックする(ブロック318)。文書発信者のヴォールトはまた、公証済み署名のタイム・スタンプが現在のものであるかどうかをチェックする(ブロック320)。タイム・スタンプの許容範囲は、アプリケーションに依存する。これらのテストのどちらかに不合格になると、エラー・メッセージがASヴォールトに戻され(ブロック322)、システムに記録される。証明が正しい現在のものであれば、ユーザのヴォールト内で実行されているアプリケーションは、文書がリポジトリに格納されているとの証明が必要になった場合、非拒否証明を将来の参照用にローカルに保管しておくために発信者ユーザに戻す(ブロック324)。
【0043】
文書発信者は、格納のためにヴォールトに提出する前に、自分の知的所有権のある技法を使用して文書の署名または暗号化あるいはその両方を行うことができる。ただし、文書リポジトリは、格納される文書の内容に関知しない。したがって、暗号化された文書は、他の文書が処理されるのと同様に、ユーザのヴォールトによって再署名および再暗号化される。
【0044】
図4および図5は、本発明の好ましい実施形態による、文書発信者のアクセス制御リスト(ACL)の下で許可された要求元によって文書が取り出されるのを許可するために実行する必要のある、各ステップを示す流れ図である。ACLの確立および保守については、下記で詳しく論じる。
【0045】
図3と同様に、図4および図5に示すプロセス・ステップは、それぞれのパーソナル・ヴォールトがそれぞれの作業スペースの概念的に安全な拡張であることに基づいて、IBM Vault Registry製品または同様の特性を備えた環境で提供される、文書発信者、アプリケーション・サーバ、および要求元の各ヴォールト間でのアクションと対話を示したものである。
【0046】
図4から始めると、要求元が自分のヴォールト・アプリケーションに対して、アプリケーション・サーバ・リポジトリから文書を取り出すように要求し(ブロック400)、要求元のヴォールト・アプリケーションがその文書に対する要求を、アプリケーション・サーバのヴォールトに転送する(ブロック402)。
【0047】
アプリケーション・サーバのヴォールト・アプリケーションは、アクセス要求を受け取り(ブロック404)、暗号化文書、発信者の公証済み署名、および署名付きACLを、アプリケーション・データベースから取り出す(ブロック406)。
【0048】
アプリケーション・サーバのヴォールト・アプリケーションは、暗号化文書、公証済み署名、および署名付きACLを文書発信者のヴォールトに送信する。さらにアプリケーション・サーバのヴォールトは、要求元の識別ヴォールトも発信者のヴォールトに送信する(ブロック408)。
【0049】
発信者のヴォールトは、要求元が文書の取出しを許可されているかどうかチェックする(ブロック412)。好ましい実施形態では、文書アクセスを許可されたエンティティのみに制限するために使用されるアクセス制御リストを介して、文書のアクセス制御が可能になる。アクセス制御リストは文書に関連付けられ、要求元が文書を取り出すことを求める要求を送信するときにチェックする必要がある。要求元は、アクセス権をもっている場合、文書のコピーのみを与えられる。要求元は、機能リストが使用されている場合、要求に先立ってアクセスを検証することができる。要求元が文書へのアクセスを許可されていない場合は、発信者にエラー・メッセージが戻され、システムに記録される(ブロック414)。
【0050】
図5に進むと、要求元が文書の受取りを許可されている場合、発信者のヴォールト・アプリケーションは文書を暗号解読し(ブロック416)、公証済み署名を検証する(ブロック418)。
【0051】
発信者のオリジナル署名は暗号化されていない文書内容に対して計算されたものであるため、文書内容にアクセスできるユーザだけが署名を検証することができる。受け取った署名が暗号解読された文書と対応していない場合は、預けた文書と同じバージョンでないことが明らかなので、発信者はエラー・メッセージをアプリケーション・サーバに戻す(ブロック420)。
【0052】
署名が検証された場合、発信者は暗号解読された文書と公証済み署名を要求元のヴォールトに転送する(ブロック422)。
【0053】
暗号解読された文書を受信すると、要求元のヴォールト・アプリケーションは、公証人の公共署名キーを使用して発信者の公証済み署名の検証を試みる(ブロック424)。要求元がそれを検証できない場合、エラー・メッセージが発信者に戻され、システムに記録される(ブロック426)。
【0054】
発信者の公証済み署名が検証できる場合、要求元のヴォールトは文書と共に受け取った公証済み署名に署名する。この署名は公証済み署名ならびに現タイム・スタンプに対して計算されたもので、文書がリポジトリから取り出されたことを証明する送達証明(delivery receipt)となる(ブロック428)。要求元のヴォールトは、暗号解読された文書を生成した非拒否証明と共に要求元のデスクトップに戻す(ブロック430)。さらに要求元のヴォールトは、非拒否証明をアプリケーション・サーバのヴォールトに転送する(ブロック432)。アプリケーション・サーバは、これを受け取り次第、要求元ヴォールトの署名を検証する(ブロック434)。署名が文書と対応していない場合、その証明は誤りまたは「受取りなし(missing receipt)」としてマークされ、アプリケーションにこの格納機能が含まれている場合はキャッシュされる(ブロック436)。署名が検証できる場合、アプリケーション・サーバ・ヴォールトは、要求元が文書を取り出した証拠としてこの証明をアプリケーション・データベースに格納する(ブロック438)。
【0055】
文書取出しに関するアクセス制御の不変性(immutability)
前述のように、データ・リポジトリでは文書アクセス制御に関する要件がある。すなわち、文書の所有者が許可したユーザだけがその文書を閲覧することが可能であり、文書アクセス許可は、文書の所有者(すなわち文書発信者)と、所与の文書のアクセス制御リストを修正する許可を文書の所有者から与えられている他のユーザだけが修正できるということである。リポジトリ管理者でも、文書の所有者から許可されていない限り文書のアクセス許可を修正する権限のないことを保証することが重要である。
【0056】
文書アクセス制御の不変性を確立するためのアプリケーションの要件には、2つの異なるタイプのものがある。文書アクセスは、
1)ユーザが閲覧する許可を与えられているすべての文書を見つけるための検索を実行するとき、および
2)ユーザが実際に文書の取出しを実行するときに、チェックする必要がある。
【0057】
すべてのアプリケーションは、文書取出し時にアクセス制御を実施する必要がある(上記アクセス・タイプの2)。このタイプのアクセスの場合、リポジトリは、文書のアクセス制御が、競合企業など許可されていないユーザによって修正される可能性がないことを保証しなければならない。
【0058】
またアプリケーションによっては、文書検索時にも、特にユーザがリポジトリのアプリケーション・サーバを使用する以外にどの文書へのアクセス権が認められているかを判定する手段を持たない場合に、アクセス制御を実施する必要がある。文書の検索時および取出し時の両方にアクセス制御の不変性を実施するシステムは、本発明者等が本出願と同時に出願した「System for Electronic Repository of Data Enforcing Access Control on Data Search and Retrieval」という名称の出願(IBM整理番号第CA998−040号)の主題である。
【0059】
一部のアプリケーションでは、ユーザが閲覧を許可されているすべての文書に関して文書リポジトリを照会できることが不可欠ではない。たとえば、この知識は業務会議の際にオフラインで、あるいは電子メールや電話を介して伝えることができる。このような場合、ユーザは既にどの文書にアクセスできるかを知っているため、要求元自身の文書アクセスに関する知識が、リポジトリのアクションによって影響を受けることはない。
【0060】
好ましい実施形態では、各文書が、それに関連付けられた、様々なユーザに関する文書へのアクセス許可を識別するアクセス制御リスト(ACL)を有する。不変性を保証するために、各ACLは文書発信者のヴォールト内で図6に示すように処理される。
【0061】
各ACLには、その最新の修正のバージョン番号およびタイム・スタンプが付随する。ACLが更新されると(ブロック500)、そのバージョン番号は増分され(ブロック502)、ACLに関連する古いタイム・スタンプが最新のタイム・スタンプで置き換えられる(ブロック504)。ACLの不変性を保証するためのトークンが、このときACLに関連する最新のバージョン番号およびタイム・スタンプから作成される。トークンは、文書発信者のヴォールトによって署名される(ブロック506)。テキスト文字列やバイナリ構造などのデータ構造が、ACLにトークンを接続することによって生成される(ブロック508)。このデータ構造は、置き換えられる可能性をなくすために所有者のヴォールトによって署名され(ブロック510)、文書リポジトリ内に格納するためにACLおよびトークンと共にASヴォールトに転送される(ブロック512)。
【0062】
ACLトークンは、将来のACL検証のためにユーザのアクセス・アプリケーションと共にデスクトップに格納するため、文書へのアクセスが許可されている任意のユーザのヴォールトへも転送される(ブロック514)。署名付きトークンは、格納のために文書発信者のデスクトップに転送される(ブロック516)。文書発信者は、署名付きトークンのコピーを保持しているので、文書ACLが最新のものであるか否かの最終決裁者となる。
【0063】
業務パートナが文書を取り出したいときは、ASヴォールト・アプリケーションは、前述のように暗号化された文書を発信者のヴォールトに送信する(図4のブロック408)。ASヴォールトは、この文書、公証済み署名、および要求元のIDと共に、署名付きのACLをも発信者のヴォールトに送信する。要求元の許可を検証するために(図4のブロック412)、その後発信者のヴォールトは次のチェックを実行する。
1.ACL署名が正しいかどうかを検証する。
2.バージョン番号およびタイム・スタンプが発信者のヴォールト内に格納されているものと一致することを検証する。
3.検証済みのACL内で、要求元が指示された文書へのアクセス権を有することをチェックする。
【0064】
この方法を使用すると、アプリケーション・データベース内に格納されたACLを発信者のヴォールトに検出されずに修正することはまったくできない。
【0065】
前述のように、リポジトリ内の文書を所有している各ユーザは、各ACLの正しいバージョンの署名付きトークンをそのデスクトップ上に保持している。ユーザ・ヴォールトによって保持されているACLバージョンは、ユーザのデスクトップ上に格納されている署名付きトークンとユーザのヴォールト内に格納されているそれとを比較することによって検証される。この比較は、様々なときに実行することができる。ユーザのヴォールト内に格納されているACLを検証する好機の1つはログオン時であり、ユーザがログオンするごとにユーザのACLが検証される。
【0066】
ACL検証に失敗した場合、ユーザのヴォールト・アプリケーションは、ACLによって保護されている文書を取り出すことを求めるすべての要求の受付けを自動的に停止する。このような文書のアクセス不能状態は、ユーザが新しいACLを作成するか、または既存のACLを再認証するまで持続する。既存のACLの再認証プロセスには、ユーザのヴォールトに格納されたACLトークンとユーザのデスクトップ上に格納されたトークンとの同期化が含まれる。
【0067】
この実施形態では、実際のACLはアプリケーション・データベースに格納される。ユーザが許可を与えられている文書を検索したい場合、この検索は、アプリケーション・データベースに直接アクセスできる唯一のプログラムであるアプリケーション・サーバのヴォールト・アプリケーションによってのみ実行可能である。ただし、文書へのユーザのアクセス権に関する「悪意の」アプリケーション・サーバによるどんな誤情報も、チェック可能である。アプリケーション・サーバは、ユーザのワークステーション上またはユーザのヴォールト内にある署名付きACLトークンにアクセスすることはできない。ユーザは、次にユーザがトークンを検証する際に、そのトークンが、アプリケーション・サーバから受け取った情報と一致していないことを発見することになる(下記の「バックアップおよび回復」の項を参照)。これは特に、文書へのアクセスが認められているだけで後で除去されないような形で設計されたシステムで有用である。
【0068】
所有者特権の割当て
環境によっては、文書発信者が他の人に所与の文書のアクセス・リストの修正を許可できるようにする必要がある。たとえば、所有者が使用できない場合、別の許可されたユーザが所与の文書のアクセス制御を更新できるようになる。
【0069】
本発明の好ましい実施形態によれば、この機能は図7に示すように実装することができる。ACLの更新を試みるとき、更新を行うユーザは、そのACLの最新の署名付きトークンを提示することができなければならない(ブロック600)。署名付きトークンは、更新を行うユーザ自身のヴォールトに送信され(ブロック602)、それが署名付きトークンを発信者のヴォールトに渡す(ブロック604)。発信者のヴォールトは、このトークンと自分自身の格納場所にある署名付きトークンとを比較することによって、トークンの有効性をチェックする(ブロック606)。発信者のヴォールトは、更新を行うユーザの権限もチェックする(ブロック610)。
【0070】
トークンが無効、または更新を行うユーザがこの文書のACLに割り当てられた所有者特権を持っていない場合、文書発信者のヴォールトはこれを検出して、更新を拒否し、ユーザのヴォールトにエラー・メッセージを戻す(ブロック608)。
【0071】
発信者のヴォールトが署名を行うユーザの文書へのアクセスを検証できる場合、およびACLトークンのバージョン番号とタイム・スタンプが最新のものである場合(ブロック610)、ACLは更新され(ブロック612)、新しいトークンが生成され署名されて(ブロック614)、発信者のヴォールトに格納される(ブロック616)。新しい署名付きトークンは、リポジトリに格納するためにアプリケーション・サーバのヴォールトに転送される(ブロック618)。この新しい署名付きトークンは、更新元のヴォールトに送信される(ブロック620)。この更新元のヴォールトは、新しいトークンを格納するために更新元のデスクトップに戻す(ブロック622)。
【0072】
この手順には、ACLの更新を実行できる人が常に1人だけであることが必要である。たとえば、文書発信者のジョン(John)が休暇で休む場合、彼は同僚のメアリー(Mary)に、文書のACLに関する彼の最新のトークンを与えることによって、彼が会社を休んでいる間に彼女が彼の文書のACLを更新できるように許可することができる。次いでメアリーは、自分のヴォールトを介してジョンのヴォールトにトークンを提示することによって、ACLの更新を発行する。メアリーは、このACLの新しい署名付きトークンを受け取り、ジョンが会社に復帰したとき彼に戻す。この新しいトークンをインストールした後、ジョンは自分自身のACL更新を発行することができる。
【0073】
データのバックアップおよび回復
文書リポジトリの管理者が、以前のバックアップから文書データベースを復元する必要が生じることが時折ある。これはたとえば、ディスク・クラッシュなど破局的なデータベースの障害が生じた場合に必要になる。バックアップに含める必要のあるデータは、文書自体、ACL(アプリケーション・データベースまたは所有者ヴォールトのどちらに格納されている場合でも)、機能リスト(前述のように機能を実行するシステムに関する)、ACLおよび機能リストの検証トークンである。
【0074】
データを復元した後、最新のバックアップ後に実行された更新は失われることがある。本発明では、ACLおよび機能リストの更新がそれに含まれる可能性がある。その場合、ユーザのデスクトップに格納された検証トークンが、対応するヴォールト内のトークンと一致しなくなり、適正なユーザ・アクセスが拒否されることがある。
【0075】
したがって、様々な状況でデータを復元する場合の標準を提供するために、以下のシステムが実装された。バックアップはタイム1で実行され、復元は要求元が文書の取出しを実行したタイム1でのデータの状態に基づきその後のタイム2で発生したと仮定する。
【0076】
ヴォールトに格納された文書データベース、ACL、機能リスト、および対応するトークンの完全なデータ復元が実行される場合、タイム1より前に文書へのアクセスを許可されているユーザは、タイム2の後にもこれにアクセスできる。つまり、ユーザがタイム1より前には許可されていて、タイム1より後でタイム2より前にその権限が取り消された場合、そのユーザは、文書発信者がACLトークンのチェックを実行するまでは文書にアクセスできることになる。したがって、すべてのユーザは、完全なデータ復元の後に、ACLおよび機能リストのチェックを行う必要がある。
【0077】
文書データベースのみが復元され、ACL、機能リスト、およびヴォールトに格納されたトークンはそのままである場合、ユーザは、タイム1より後に追加されたが、その後データベースの復元中に失われたため、データベース内に存在しない文書へのアクセスが許可されていることを発見することがある。すべてのトークンは最新のものであるため、他の異常はいっさい発生しない。
【0078】
別のケースとして、機能リストは使用されていないが、ACLがアプリケーション・データベースに格納されているシステムの場合がある。文書データベースおよびACLが復元されており、ヴォールトに格納されたトークンは復元されていない場合、ユーザは、タイム1より後に変更されたACLを有するすべての文書がアクセス不可能であることを発見する。これは、アプリケーション・データベース内のACLトークンが、個々の所有者のヴォールト内に格納されているトークンと一致しないためである。この問題を処理するためには、すべての文書発信者がACLを更新しなければならない。その一方法としては、管理者が古いACL(タイム1の時点では有効であった)を文書発信者に送信し、対応するトークンをそのヴォールトに再インストールするように依頼することである。この更新は自動ではなく手動で実行され、所有者がこの更新を完了するまで所有者の文書はアクセス不能である。
【0079】
データベースの不整合を避けなければならない場合、リポジトリ管理者は復元後、発信者が是正処置を実行するまで、すべての文書へのアクセスを禁止することができる。このアクセス禁止は、リポジトリ内に格納されているすべての文書に適用されるか、または整合性がクリティカルな文書のサブセットだけに適用される。この場合、リポジトリ管理者に依拠して、システムの整合性を保持しなければならない。ただし前述のように、いずれの場合でも管理者には文書へのユーザ・アクセスを認可したり取り消したりする権限はもたない。
【0080】
システムに一斉(orchestrated)攻撃が加えられる可能性を最小限に抑えるためには、ヴォールト・サーバの管理者および対応するローカル・ヴォールト格納場所と、データベース管理者との間で役割を分けることが重要である。
【0081】
以上、IBM Vault Registry製品を使用して実装された本発明の好ましい実施形態について述べてきた。ただし本発明が、各ユーザのデスクトップにローカルに配置された安全なヴォールト様環境など、類似の機能を提供する他の製品を使用しても実装できることは、当業者には自明であろう。この性質および当業者に自明な他の性質の修正は、添付の特許請求の範囲によってカバーされるものとする。
【0082】
まとめとして、本発明の構成に関して以下の事項を開示する。
【0083】
(1)安全な電子データ格納/取出しシステムであって、
データ・リポジトリと、
寄託側コンピュータが暗号化された電子データをデータ・リポジトリ内へ格納しそこから取り出すのを管理するためのリポジトリ・マネージャと、
寄託側コンピュータがオンラインであれオフラインであれ、リポジトリ・マネージャにアクセス可能な寄託側コンピュータのエージェント・プログラムとを含み、前記エージェント・プログラムが要求元コンピュータの認証時に要求元コンピュータの要求に応じてデータ・リポジトリから取り出された寄託側コンピュータの暗号化された電子データを解読する手段を有するシステム。
(2)リポジトリ・マネージャが、データ・リポジトリに格納する前に暗号化された電子データにデジタル署名し、この署名付き暗号化データのコピーを寄託側コンピュータのエージェント・プログラムに転送するようにさらに適合され、寄託側コンピュータのエージェント・プログラムが、署名付き暗号化データに照らして暗号解読後取り出した暗号化電子データを検証するように適合されている、上記(1)に記載のシステム。
(3)前記エージェント・プログラムが暗号解読した電子データを要求元コンピュータに転送するようにさらに適合された、上記(1)または(2)に記載のシステム。
(4)前記エージェント・プログラムが、寄託側コンピュータの安全な拡張であり、寄託側コンピュータとリポジトリ・マネージャとの間の通信を管理するように適合されている、上記(3)に記載のシステム。
(5)リポジトリ・マネージャ、寄託側コンピュータ、および要求元コンピュータとの通信リンクを有するサーバをさらに含み、前記サーバが、
寄託側コンピュータのエージェント・プログラムと、
リポジトリ・マネージャの安全な拡張を含み、このリポジトリ・マネージャを使用してサーバ上で行われる他の環境との間の通信を管理するように適合された第2の環境と、
要求元コンピュータの安全な拡張を含み、この要求元コンピュータを使用してサーバ上で行われる他の環境との間の通信を管理するように適合された第3の環境とを少なくとも収納する、上記(4)に記載のシステム。
(6)寄託側コンピュータのエージェント・プログラムが、寄託側コンピュータから受け取った電子データを暗号化してデジタル署名する手段と、暗号化した電子データおよび署名をデータ・リポジトリに格納するためにリポジトリ・マネージャに転送する手段とを含む、上記(4)または(5)に記載のシステム。
(7)電子データのソースとは無関係にリポジトリ・マネージャによって管理されるデータ・リポジトリ内に格納された電子データへのユーザ・アクセスを安全に認証するための方法であって、
ユーザ許可のアクセス制御リストをデータ・リポジトリ内に格納されるとき電子データと関連付けるステップと、
前記電子データのソースからアクセス制御リストの更新を実行するステップと、
前記更新されたアクセス制御リストをデータ・リポジトリ内に格納された電子データと共に格納するステップと、
電子データのソース側と更新を行った任意のユーザ・コンピュータ側に更新済みのアクセス制御リストの証拠を格納するステップと、
前記電子データを要求元の許可ユーザに解放する前にソース側に格納された証拠を使用して、前記電子データと共にデータ・リポジトリ内に格納された更新済みアクセス制御リストの正確さを検証するステップとを含む方法。
(8)アクセス制御リストの更新を実行するステップが、
更新されたアクセス制御リストの改訂レベルを識別するステップと、
現タイム・スタンプを更新されたアクセス制御リストに関連付けるステップとを含み、
前記証拠を格納するステップが、
改訂レベルと現タイム・スタンプのトークンを作成するステップと、
データ・リポジトリ内の電子データにアクセスできるあらゆるユーザ側に前記トークンを格納するステップとを含む、上記(7)に記載の方法。
(9)データ構造を形成するために更新済みアクセス制御リストにトークンを付けるステップと、
前記データ構造にデジタル署名するステップと、
署名付きデータ構造を更新済みアクセス制御リストと共にデータ・リポジトリ内およびソース側に格納するステップとをさらに含み、
前記更新済みアクセス制御リストの正確さを検証するステップが、
ソース側でデータ構造署名の暗号解読を検証するステップと、
検証されたデータ構造をデータ・リポジトリから取り出した更新済みアクセス制御リストと比較するステップとを含む、上記(8)に記載の方法。
(10)前記証拠を格納するステップが、
トークンにデジタル署名するステップと、
署名付きトークンをソース側に格納するステップとをさらに含む、上記(8)に記載の方法。
(11)デジタル署名付きトークンを、ソースからアクセス制御リストを更新する許可を与えられたユーザに転送するステップと、
デジタル署名付きトークンがアクセス制御リストを更新する許可を与えられたユーザによって提示される際に、
ソース側でトークン署名を検証するステップと、
検証されたトークンを、データ・リポジトリから取り出した更新済みアクセス制御リストに関連する改訂レベルおよび現タイム・スタンプと比較するステップとをさらに含む、上記(10)に記載の方法。
(12)遠隔データ・リポジトリにおいて電子データを安全に格納し取り出すための方法であって、
ソース側で電子データにデジタル署名するステップと、
ソース側で電子データを暗号化するステップと、
暗号化された電子データをデータ・リポジトリに転送するステップと、
寄託証明を作成するためにデータ・リポジトリ側で暗号化された電子データにデジタル署名するステップと、
暗号化された電子データと寄託証明をデータ・リポジトリに格納するステップと、
寄託証明のコピーをソース側に戻すステップとを含む方法。
(13)格納された電子データにアクセスすることを求める要求を要求元ユーザから受け取るステップと、
暗号化された電子データを取り出し、取り出したデータをソース側に転送するステップと、
要求元ユーザが電子データへのアクセスを許可されたユーザであるか否かを検証するステップと、
確認された場合に取り出したデータの暗号解読を行うステップとをさらに含む、上記(12)に記載の方法。
(14)ユーザ許可のアクセス制御リストを、データ・リポジトリ内に格納されたときに電子データと関連付けるステップと、
電子データのソース側からアクセス制御リストの更新を実行するステップと、更新済みのアクセス制御リストをデータ・リポジトリ内に格納された電子データと共に格納するステップと、
ソース側とデータ・リポジトリ内の電子データへのアクセスを許可されたあらゆるユーザ側に更新済みアクセス制御リストの証拠を格納するステップとをさらに含む、上記(13)に記載の方法。
(15)要求元ユーザが許可されているか否かを検証するステップが、更新済みアクセス制御リストにその要求元ユーザを入れるステップを含む、上記(14)に記載の方法。
(16)電子データを要求元のユーザに解放する前にソース側に格納された証拠を使用して、電子データと共にデータ・リポジトリ内に格納された更新済みアクセス制御リストの正確さを検証するステップをさらに含む、上記(15)に記載の方法。
(17)上記(7)ないし(16)のいずれか一項に記載の方法をコンピュータで実行する際に使用するための命令を格納するコンピュータ可読メモリ。
【図面の簡単な説明】
【図1】第三者保管者を利用する文書リポジトリ・システムの概略図である。
【図2】図1と同様、本発明の好ましい実施形態で使用されるヴォールト文書リポジトリ・システムを示す概略図である。
【図3】本発明による文書作成のプロセスを示す流れ図である。
【図4】本発明による文書検索のプロセスを示す流れ図である。
【図5】本発明による文書検索のプロセスを示す流れ図である。
【図6】本発明の好ましい実施形態による、文書検索に関するアクセス制御の不変性を提供するためのプロセスを示す流れ図である。
【図7】本発明による格納文書に所有者特権を割り当てるためのプロセスを示す流れ図である。
【符号の説明】
200 文書発信者
202 文書の寄託、アクセス制御の割当て
204 文書リポジトリ・サービス
206 業務パートナ
208 文書の調査
210 アプリケーション・サーバ
212 データベース・リポジトリ
214 ヴォールト・コントローラ
216 文書発信者ヴォールト
218 業務パートナ・ヴォールト
220 ASヴォールト
222 ヴォールト監視プログラム

Claims (17)

  1. 安全な電子データ格納/取出しシステムであって、
    データ・リポジトリと、
    電子データを寄託する寄託側コンピュータが暗号化された電子データを前記データ・リポジトリ内へ格納しそこから取り出すのを管理するためのリポジトリ・マネージャと、
    前記寄託側コンピュータがオンラインであろうとオフラインであろうと前記リポジトリ・マネージャにアクセス可能な前記寄託側コンピュータのエージェント・プログラムとを含み、前記エージェント・プログラムが電子データを要求する要求元コンピュータの認証時に要求元コンピュータの要求に応じて前記データ・リポジトリから取り出された前記寄託側コンピュータの前記暗号化された電子データを解読する手段を有するシステム。
  2. 前記リポジトリ・マネージャが、前記データ・リポジトリに格納する前に前記暗号化された電子データにデジタル署名し、この署名付き暗号化データのコピーを前記寄託側コンピュータの前記エージェント・プログラムに転送するようにさらに適合され、前記寄託側コンピュータの前記エージェント・プログラムが、前記署名付き暗号化データに照らして暗号解読後取り出した前記暗号化電子データを検証するように適合されている、請求項1に記載のシステム。
  3. 前記エージェント・プログラムが暗号解読した前記電子データを前記要求元コンピュータに転送するようにさらに適合された、請求項1または2に記載のシステム。
  4. 前記エージェント・プログラムが、前記寄託側コンピュータを安全に機能拡張させ、前記寄託側コンピュータと前記リポジトリ・マネージャとの間の通信を管理するように適合されている、請求項3に記載のシステム。
  5. 前記リポジトリ・マネージャ、前記寄託側コンピュータ、および前記要求元コンピュータとの通信リンクを有するサーバをさらに含み、前記サーバが、
    前記リポジトリ・マネージャにアクセス可能な前記寄託側コンピュータの前記エージェント・プログラムと、
    前記リポジトリ・マネージャを安全に機能拡張させ、このリポジトリ・マネージャを使用して前記サーバ上で行われる他の環境との間の通信を管理するように適合された第2の環境と、
    前記要求元コンピュータを安全に機能拡張させ、この要求元コンピュータを使用して前記サーバ上で行われる他の環境との間の通信を管理するように適合された第3の環境とを少なくとも収納する、請求項4に記載のシステム。
  6. 前記寄託側コンピュータの前記エージェント・プログラムが、前記寄託側コンピュータから受け取った電子データを暗号化してデジタル署名する手段と、暗号化した前記電子データおよび署名を前記データ・リポジトリに格納するために前記リポジトリ・マネージャに転送する手段とを含む、請求項4または5に記載のシステム。
  7. 電子データのソースとは無関係にリポジトリ・マネージャによって管理されるデータ・リポジトリ内に格納された電子データへのユーザ・アクセスを安全に認証するための方法であって、
    ユーザ許可のアクセス制御リストを前記データ・リポジトリ内に格納されるとき前記電子データと関連付けるステップと、
    前記電子データの前記ソースから前記アクセス制御リストの更新を実行するステップと、
    前記更新されたアクセス制御リストを前記データ・リポジトリ内に格納された前記電子データと共に格納するステップと、
    前記電子データのソース側と更新を行った任意のユーザ・コンピュータ側に更新済みの前記アクセス制御リストの証拠を格納するステップと、
    前記電子データを要求元の許可ユーザに解放する前に前記ソース側に格納された前記証拠を使用して、前記電子データと共に前記データ・リポジトリ内に格納された前記更新済みアクセス制御リストの正確さを検証するステップとを含む方法。
  8. 前記アクセス制御リストの更新を実行するステップが、
    更新された前記アクセス制御リストの改訂レベルを識別するステップと、
    現タイム・スタンプを前記更新されたアクセス制御リストに関連付けるステップとを含み、
    前記証拠を格納するステップが、
    前記改訂レベルと前記現タイム・スタンプのトークンを作成するステップと、
    前記データ・リポジトリ内の前記電子データにアクセスできるあらゆるユーザ・コンピュータ側に前記トークンを格納するステップとを含む、請求項7に記載の方法。
  9. データ構造を形成するために前記更新済みアクセス制御リストに前記トークンを付けるステップと、
    前記データ構造にデジタル署名するステップと、
    署名付き前記データ構造を前記更新済みアクセス制御リストと共に前記データ・リポジトリ内および前記ソース側に格納するステップとをさらに含み、
    前記更新済みアクセス制御リストの正確さを検証するステップが、
    前記ソース側でデータ構造署名の暗号解読を検証するステップと、
    検証された前記データ構造を前記データ・リポジトリから取り出した前記更新済みアクセス制御リストと比較するステップとを含む、請求項8に記載の方法。
  10. 前記証拠を格納するステップが、
    前記トークンにデジタル署名するステップと、
    署名付き前記トークンを前記ソース側に格納するステップとをさらに含む、請求項8に記載の方法。
  11. デジタル署名付き前記トークンを、前記ソースから前記アクセス制御リストを更新する許可を与えられたユーザに転送するステップと、
    前記デジタル署名付きトークンが前記アクセス制御リストを更新する許可を与えられた前記ユーザによって提示される際に、
    前記ソース側でトークン署名を検証するステップと、
    検証された前記トークンを、前記データ・リポジトリから取り出した前記更新済みアクセス制御リストに関連する前記改訂レベルおよび現タイム・スタンプと比較するステップとをさらに含む、請求項10に記載の方法。
  12. 遠隔データ・リポジトリにおいて電子データを安全に格納し取り出すための方法であって、
    ソース側で前記電子データにデジタル署名するステップと、
    前記ソース側で前記電子データを暗号化するステップと、
    暗号化された前記電子データを前記データ・リポジトリに転送するステップと、
    寄託証明を作成するためにデータ・リポジトリ側で暗号化された前記電子データにデジタル署名するステップと、
    前記暗号化された電子データと前記寄託証明を前記データ・リポジトリに格納するステップと、
    前記寄託証明のコピーを前記ソース側に戻すステップとを含む方法。
  13. 格納された前記電子データにアクセスすることを求める要求を要求元ユーザから受け取るステップと、
    暗号化された前記電子データを取り出し、取り出した前記データを前記ソース側に転送するステップと、
    前記要求元ユーザが前記電子データへのアクセスを許可されたユーザであるか否かを検証するステップと、
    確認された場合に前記取り出したデータの暗号解読を行うステップとをさらに含む、請求項12に記載の方法。
  14. ユーザ許可のアクセス制御リストを、前記データ・リポジトリ内に格納されたときに前記電子データと関連付けるステップと、
    前記電子データの前記ソース側から前記アクセス制御リストの更新を実行するステップと、
    更新済みの前記アクセス制御リストを前記データ・リポジトリ内に格納された前記電子データと共に格納するステップと、
    前記ソース側と前記データ・リポジトリ内の前記電子データへのアクセスを許可されたあらゆるユーザ側に前記更新済みアクセス制御リストの証拠を格納するステップとをさらに含む、請求項13に記載の方法。
  15. 前記要求元ユーザが許可されているか否かを検証するステップが、前記更新済みアクセス制御リストにその要求元ユーザを入れるステップを含む、請求項14に記載の方法。
  16. 前記電子データを前記要求元のユーザに解放する前に前記ソース側に格納された前記証拠を使用して、前記電子データと共に前記データ・リポジトリ内に格納された前記更新済みアクセス制御リストの正確さを検証するステップをさらに含む、請求項15に記載の方法。
  17. 請求項7ないし16のいずれか一項に記載の方法をコンピュータで実行する際に使用するための命令を格納するコンピュータ可読メモリ。
JP31630999A 1998-12-23 1999-11-08 安全な電子データ格納、取出しシステムおよび方法 Expired - Fee Related JP3640338B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CA002256934A CA2256934C (en) 1998-12-23 1998-12-23 System for electronic repository of data enforcing access control on data retrieval
CA2256934 1998-12-23

Publications (2)

Publication Number Publication Date
JP2000200209A JP2000200209A (ja) 2000-07-18
JP3640338B2 true JP3640338B2 (ja) 2005-04-20

Family

ID=4163117

Family Applications (1)

Application Number Title Priority Date Filing Date
JP31630999A Expired - Fee Related JP3640338B2 (ja) 1998-12-23 1999-11-08 安全な電子データ格納、取出しシステムおよび方法

Country Status (5)

Country Link
US (1) US6839843B1 (ja)
JP (1) JP3640338B2 (ja)
KR (1) KR100339188B1 (ja)
CA (1) CA2256934C (ja)
DE (1) DE19960977B4 (ja)

Families Citing this family (92)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2256936C (en) * 1998-12-23 2002-04-02 Hamid Bacha System for electronic repository of data enforcing access control on data search and retrieval
US20020029339A1 (en) * 2000-02-28 2002-03-07 Rick Rowe Method and apparatus for facilitating monetary and commercial transactions and for securely storing data
US7363633B1 (en) * 2000-04-24 2008-04-22 Microsoft Corporation Registering and storing dependencies among applications and objects in a computer system and communicating the dependencies to a recovery or backup service
KR20000063706A (ko) * 2000-07-31 2000-11-06 이동기 컴퓨터상의 공유저장장소내에서 암호키 알고리즘을 이용한데이타 보안방법
JP2002063167A (ja) * 2000-08-16 2002-02-28 Fuji Xerox Co Ltd オブジェクト管理方法および装置
JP2002083080A (ja) * 2000-09-08 2002-03-22 Toyo Commun Equip Co Ltd 電子公証システム
US7200869B1 (en) * 2000-09-15 2007-04-03 Microsoft Corporation System and method for protecting domain data against unauthorized modification
FR2820848B1 (fr) * 2001-02-13 2003-04-11 Gemplus Card Int Gestion dynamique de listes de droits d'acces dans un objet electronique portable
JP4185363B2 (ja) * 2001-02-22 2008-11-26 ビーイーエイ システムズ, インコーポレイテッド トランザクション処理システムにおけるメッセージ暗号化及び署名のためのシステム及び方法
US7085811B2 (en) * 2001-03-27 2006-08-01 Pitney Bowes Inc. Sender elected messaging services
CN1656778B (zh) * 2001-06-07 2011-01-05 康坦夹德控股股份有限公司 在管理资源使用的系统中跟踪资源状态的方法和装置
DE10131464B4 (de) * 2001-06-29 2006-04-20 Bayer Industry Services Gmbh & Co. Ohg Verfahren zur korrosions- und emissionsarmen Mitverbrennung hochhalogenierter Abfälle in Abfallverbrennungsanlagen
US20030065792A1 (en) * 2001-09-28 2003-04-03 Clark Gregory Scott Securing information in a design collaboration and trading partner environment
US7068309B2 (en) * 2001-10-09 2006-06-27 Microsoft Corp. Image exchange with image annotation
US7831488B2 (en) * 2001-10-24 2010-11-09 Capital Confirmation, Inc. Systems, methods and computer readable medium providing automated third-party confirmations
US7383232B2 (en) * 2001-10-24 2008-06-03 Capital Confirmation, Inc. Systems, methods and computer program products facilitating automated confirmations and third-party verifications
DE10211023C1 (de) * 2002-03-13 2003-10-30 Siemens Ag Verfahren zur Sicherung bei der Archivierung von inhaltserschließbaren Dokumenten
US7146367B2 (en) * 2002-05-14 2006-12-05 Advectis, Inc. Document management system and method
US20030226024A1 (en) * 2002-06-04 2003-12-04 Qwest Communications International Inc. Secure internet documents
US7904720B2 (en) * 2002-11-06 2011-03-08 Palo Alto Research Center Incorporated System and method for providing secure resource management
US7454622B2 (en) * 2002-12-31 2008-11-18 American Express Travel Related Services Company, Inc. Method and system for modular authentication and session management
DE10307996B4 (de) * 2003-02-25 2011-04-28 Siemens Ag Verfahren zum Ver- und Entschlüsseln von Daten durch verschiedene Nutzer
US20040199787A1 (en) * 2003-04-02 2004-10-07 Sun Microsystems, Inc., A Delaware Corporation Card device resource access control
US8176320B1 (en) * 2003-09-11 2012-05-08 Voice Signals Llc System and method for data access and control
US7263685B2 (en) * 2003-09-12 2007-08-28 Intel Corporation Synchronizing use of a device by multiple software components in accordance with information stored at the device
JP2005108063A (ja) * 2003-10-01 2005-04-21 Hitachi Ltd 暗号化データ変換装置を利用した電子自治体共用サーバ及び暗号化データ復号化装置を利用した電子自治体用端末
GB0400270D0 (en) * 2004-01-07 2004-02-11 Nokia Corp A method of authorisation
US7293005B2 (en) 2004-01-26 2007-11-06 International Business Machines Corporation Pipelined architecture for global analysis and index building
US7424467B2 (en) * 2004-01-26 2008-09-09 International Business Machines Corporation Architecture for an indexer with fixed width sort and variable width sort
US7499913B2 (en) 2004-01-26 2009-03-03 International Business Machines Corporation Method for handling anchor text
US8296304B2 (en) 2004-01-26 2012-10-23 International Business Machines Corporation Method, system, and program for handling redirects in a search engine
US7904679B2 (en) 2004-02-04 2011-03-08 Netapp, Inc. Method and apparatus for managing backup data
US7315965B2 (en) 2004-02-04 2008-01-01 Network Appliance, Inc. Method and system for storing data using a continuous data protection system
US7783606B2 (en) 2004-02-04 2010-08-24 Netapp, Inc. Method and system for remote data recovery
US7426617B2 (en) 2004-02-04 2008-09-16 Network Appliance, Inc. Method and system for synchronizing volumes in a continuous data protection system
US7720817B2 (en) 2004-02-04 2010-05-18 Netapp, Inc. Method and system for browsing objects on a protected volume in a continuous data protection system
US7827603B1 (en) 2004-02-13 2010-11-02 Citicorp Development Center, Inc. System and method for secure message reply
US20050289016A1 (en) * 2004-06-15 2005-12-29 Cay Horstmann Personal electronic repository
EP1612636A1 (de) * 2004-07-01 2006-01-04 Tecnostore AG Verfahren zur Datenarchivierung mit automatischer Ver- und Entschlüsselung
US20060026286A1 (en) * 2004-07-06 2006-02-02 Oracle International Corporation System and method for managing user session meta-data in a reverse proxy
US20060010323A1 (en) * 2004-07-07 2006-01-12 Xerox Corporation Method for a repository to provide access to a document, and a repository arranged in accordance with the same method
CA2574885A1 (en) * 2004-07-23 2006-02-02 Privit, Inc. Privacy compliant consent and data access management system and method
US8028135B1 (en) 2004-09-01 2011-09-27 Netapp, Inc. Method and apparatus for maintaining compliant storage
US7461064B2 (en) 2004-09-24 2008-12-02 International Buiness Machines Corporation Method for searching documents for ranges of numeric values
JP4551172B2 (ja) * 2004-09-29 2010-09-22 富士通株式会社 電子文書保管装置、プログラム及び電子文書参照装置
US7664751B2 (en) 2004-09-30 2010-02-16 Google Inc. Variable user interface based on document access privileges
EP1643402A3 (en) * 2004-09-30 2007-01-10 Sap Ag Long-term authenticity proof of electronic documents
US7603355B2 (en) 2004-10-01 2009-10-13 Google Inc. Variably controlling access to content
US7774610B2 (en) 2004-12-14 2010-08-10 Netapp, Inc. Method and apparatus for verifiably migrating WORM data
DE102005011166A1 (de) * 2005-03-09 2006-09-14 Bundesdruckerei Gmbh Computersystem und Verfahren zur Signierung, Signaturverifizierung und/oder Archivierung
US8417693B2 (en) * 2005-07-14 2013-04-09 International Business Machines Corporation Enforcing native access control to indexed documents
US7484657B2 (en) * 2005-07-14 2009-02-03 International Business Machines Corporation On-demand physically secure data storage
US20070027841A1 (en) * 2005-07-26 2007-02-01 Williams Michael G Messaging middleware dynamic, continuous search and response agent system
US7784087B2 (en) 2005-08-04 2010-08-24 Toshiba Corporation System and method for securely sharing electronic documents
US20070073816A1 (en) * 2005-09-28 2007-03-29 Shruti Kumar Method and system for providing increased information and improved user controls for electronic mail return receipts
US9258125B2 (en) 2005-10-06 2016-02-09 International Business Machines Corporation Generating evidence of web services transactions
US8307406B1 (en) 2005-12-28 2012-11-06 At&T Intellectual Property Ii, L.P. Database application security
US7877781B2 (en) 2005-12-29 2011-01-25 Nextlabs, Inc. Enforcing universal access control in an information management system
US8621549B2 (en) 2005-12-29 2013-12-31 Nextlabs, Inc. Enforcing control policies in an information management system
US8627490B2 (en) * 2005-12-29 2014-01-07 Nextlabs, Inc. Enforcing document control in an information management system
US9942271B2 (en) * 2005-12-29 2018-04-10 Nextlabs, Inc. Information management system with two or more interactive enforcement points
US7752401B2 (en) 2006-01-25 2010-07-06 Netapp, Inc. Method and apparatus to automatically commit files to WORM status
WO2007089503A2 (en) * 2006-01-26 2007-08-09 Imprivata, Inc. Systems and methods for multi-factor authentication
US7961076B2 (en) * 2006-02-28 2011-06-14 International Business Machines Corporation Methods and apparatuses for remote control of vehicle devices and vehicle lock-out notification
US8949933B2 (en) * 2006-08-15 2015-02-03 International Business Machines Corporation Centralized management of technical records across an enterprise
JP4419102B2 (ja) 2007-09-03 2010-02-24 富士ゼロックス株式会社 情報管理装置、情報管理システム及び情報管理プログラム
US20090100109A1 (en) * 2007-10-16 2009-04-16 Microsoft Corporation Automatic determination of item replication and associated replication processes
US8015149B1 (en) 2008-01-15 2011-09-06 Adobe Systems Incorporated Asset repository
US7758047B2 (en) * 2008-03-18 2010-07-20 Colas Sean J Word game using stylized letters that share at least one common side
GB2461344A (en) * 2008-07-04 2010-01-06 Canford Audio Plc Secure recording of interviews using a hashed algorithm to produce an authentication code
US8332359B2 (en) * 2008-07-28 2012-12-11 International Business Machines Corporation Extended system for accessing electronic documents with revision history in non-compatible repositories
US8560855B2 (en) * 2009-08-27 2013-10-15 Cleversafe, Inc. Verification of dispersed storage network access control information
US8543475B2 (en) 2011-06-27 2013-09-24 Capital Confirmation, Inc. System and method for obtaining automated third-party confirmations in receivables factoring
US8510185B2 (en) 2011-06-27 2013-08-13 Capital Confirmation, Inc. Systems and methods for obtaining automated third-party audit confirmations including client physical signatures, pin access, and multiple responders
US8484105B2 (en) * 2011-06-27 2013-07-09 Capital Confirmation, Inc. System and method for providing business audit responses from legal professional
CN103023862A (zh) * 2011-09-21 2013-04-03 索尼公司 用于完整性保护和验证的方法、服务器及系统
US8856530B2 (en) 2011-09-21 2014-10-07 Onyx Privacy, Inc. Data storage incorporating cryptographically enhanced data protection
WO2013051061A1 (en) * 2011-10-05 2013-04-11 Hitachi, Ltd. Computer
US9542536B2 (en) 2012-01-13 2017-01-10 Microsoft Technology Licensing, Llc Sustained data protection
US11861696B1 (en) 2013-02-14 2024-01-02 Capital Confirmation, Inc. Systems and methods for obtaining accountant prepared financial statement confirmation
NL2010454C2 (en) * 2013-03-14 2014-09-16 Onlock B V A method and system for authenticating and preserving data within a secure data repository.
US9465800B2 (en) 2013-10-01 2016-10-11 Trunomi Ltd. Systems and methods for sharing verified identity documents
KR102224470B1 (ko) * 2013-12-26 2021-03-09 주식회사 케이티 개인 유전정보 암호화 데이터에 대한 선별적 열람을 제공하는 유전 정보 관리 방법 및 시스템
US20160182494A1 (en) * 2014-12-18 2016-06-23 Bittorrent, Inc. Distributed device management and directory resolution
EP3813331B1 (en) * 2015-04-16 2022-08-10 Trunomi Ltd. Systems and methods for electronically sharing private documents using pointers
WO2017015695A1 (en) * 2015-07-27 2017-02-02 Doring Simon A non-hierarchical binary modular system for the organisation, storage, delivery and management of content in multiple locatable private networks on an overarching platform
KR101975120B1 (ko) 2017-12-08 2019-08-23 안종원 띠형 라벨지 제조용 스트립 분리 장치
CN108717426B (zh) * 2018-05-04 2021-01-05 苏州朗动网络科技有限公司 企业数据的更新方法、装置、计算机设备及存储介质
US11113258B2 (en) 2019-05-08 2021-09-07 Bank Of America Corporation Artificially-intelligent, continuously-updating, centralized-database-identifier repository system
US20210352077A1 (en) * 2020-05-05 2021-11-11 International Business Machines Corporation Low trust privileged access management
US20230297702A1 (en) * 2022-03-16 2023-09-21 UserClouds, Inc. Token generation and management
CN115459929B (zh) * 2022-09-06 2024-05-10 中国建设银行股份有限公司 安全验证方法、装置、电子设备、系统、介质和产品

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5491750A (en) * 1993-12-30 1996-02-13 International Business Machines Corporation Method and apparatus for three-party entity authentication and key distribution using message authentication codes
JP3498268B2 (ja) 1994-09-14 2004-02-16 日本電信電話株式会社 文書通信管理方法
US5629980A (en) 1994-11-23 1997-05-13 Xerox Corporation System for controlling the distribution and use of digital works
US5615268A (en) * 1995-01-17 1997-03-25 Document Authentication Systems, Inc. System and method for electronic transmission storage and retrieval of authenticated documents
US5748738A (en) * 1995-01-17 1998-05-05 Document Authentication Systems, Inc. System and method for electronic transmission, storage and retrieval of authenticated documents
CA2202118A1 (en) * 1996-04-29 1997-10-29 Mitel Corporation Protected persistent storage access for mobile applications
US6526512B1 (en) 1996-05-20 2003-02-25 Ncr Corporation Access key codes for computer resources
US6181336B1 (en) * 1996-05-31 2001-01-30 Silicon Graphics, Inc. Database-independent, scalable, object-oriented architecture and API for managing digital multimedia assets
TW313642B (en) 1996-06-11 1997-08-21 Ibm A uniform mechanism for using signed content
US6105131A (en) * 1997-06-13 2000-08-15 International Business Machines Corporation Secure server and method of operation for a distributed information system

Also Published As

Publication number Publication date
KR20000047640A (ko) 2000-07-25
JP2000200209A (ja) 2000-07-18
DE19960977A1 (de) 2000-07-06
KR100339188B1 (ko) 2002-05-31
CA2256934C (en) 2002-04-02
CA2256934A1 (en) 2000-06-23
DE19960977B4 (de) 2007-07-26
US6839843B1 (en) 2005-01-04

Similar Documents

Publication Publication Date Title
JP3640338B2 (ja) 安全な電子データ格納、取出しシステムおよび方法
JP3640339B2 (ja) 電子データ・ファイルを検索するシステムおよびその維持方法
US11074357B2 (en) Integration of a block chain, managing group authority and access in an enterprise environment
CN111800268A (zh) 用于区块链背书的零知识证明
US20090092252A1 (en) Method and System for Identifying and Managing Keys
US20100228989A1 (en) Access control using identifiers in links
US8887298B2 (en) Updating and validating documents secured cryptographically
US11841957B2 (en) Implementation of a file system on a block chain
US11604888B2 (en) Digital storage and data transport system
Li Secured cloud storage scheme based on blockchain
Duarte et al. Secure and trustworthy file sharing over cloud storage using eID tokens
Rahaman et al. Distributed access control for xml document centric collaborations
Lampson Practical principles for computer security
Kowalski CRYPTOBOX V2.
Gawande et al. A Survey of Various Security Management Models for Cloud Computing Storage Systems

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20031203

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20031212

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20031212

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20040301

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20040304

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040603

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20041221

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20041221

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050114

R150 Certificate of patent or registration of utility model

Ref document number: 3640338

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080128

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090128

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090128

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100128

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100128

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110128

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120128

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130128

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140128

Year of fee payment: 9

LAPS Cancellation because of no payment of annual fees