JP3640339B2 - 電子データ・ファイルを検索するシステムおよびその維持方法 - Google Patents

電子データ・ファイルを検索するシステムおよびその維持方法 Download PDF

Info

Publication number
JP3640339B2
JP3640339B2 JP31636099A JP31636099A JP3640339B2 JP 3640339 B2 JP3640339 B2 JP 3640339B2 JP 31636099 A JP31636099 A JP 31636099A JP 31636099 A JP31636099 A JP 31636099A JP 3640339 B2 JP3640339 B2 JP 3640339B2
Authority
JP
Japan
Prior art keywords
access
electronic data
document
data file
agent program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP31636099A
Other languages
English (en)
Other versions
JP2000227870A (ja
Inventor
ハミド・バチャ
ロバート・ブルース・キャロル
レフ・ミルラス
スン・ウェイ・チャオ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2000227870A publication Critical patent/JP2000227870A/ja
Application granted granted Critical
Publication of JP3640339B2 publication Critical patent/JP3640339B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、電子データ格納の分野を対象とし、さらに詳細には、データ検索時および取出し時にアクセス制御が実施され第三者であるデータ保管者(custodian)によって管理される、安全なデータ・リポジトリ/交換システムを提供する。
【0002】
【従来の技術】
ネットワーク通信と公開キー・インフラストラクチャ(public key infrastructure)(「PKI」)テクノロジにおける最近の平行した進歩によって、企業や公的機関は、あらゆる種類の記録保管および業務処理に際して、電子文書を使用するようになってきた。伝送の保全性および機密保護の向上に伴い、インターネットや他のオープン・ネットワークを介して電子的に送信される文書は、改ざんされずに完全な形で着信すると確信することができる。データベース管理システムを、数ギガバイトのデータを記憶することができる最新のコンピュータ・メモリと組み合わせることによって、企業や公的機関は、不動産コストのかさむ大量の記録用紙を保管しなくてもよくなった。
【0003】
一般に、1つのエンティティから発信されるデータは、寄託、検討などいくつかの理由で他のエンティティへ送信しなければならないことがある。このデータ要素は、銀行口座やその他の財務情報など非構造化文書ファイルまたは構造化レコードの形式を採ることができる。非構造化データの例では、検討の目的で、発信元システムから同じシステム内の他のコンピュータへ、または別のシステム上に常駐するコンピュータへ、文書を転送する必要が生じることがある。こうした状況は、企業の立場(たとえば、合弁事業の申込みや複雑な入札の目的)においても、公的機関の立場(たとえば大学の論文審査委員会に提出する前に指導教官によって検討される卒業論文)においても、等しく発生する可能性がある。文書は(特に長い文書の場合)、毎回文書全体をタイプし直す必要がなく、改訂や追加が容易にできるので、電子的に作成されている。
【0004】
文書を電子形式にすると簡単に伝送できることから、検討も容易になる。所期の検討者は文書の格納場所へのアクセス権を与えられると、システムを検索することによってその文書が使用可能であることを発見することができる。
【0005】
文書をローカルに格納することがファイアウォールの背後にいる第三者にアクセス権を提供することを意味する場合、文書の作成者がこのような格納を望まないのには、機密保護、データの保全性、およびシステムまたはネットワークの可用性など、いくつかの理由がある。これらの理由については、本発明者等が同時に提出し本願と同じ譲受人に譲渡された「System for Electronic Repository of Data Enforcing Access Control on Data Retrieval」という名称の特許出願(IBM整理番号第CA998−030号)により詳細に記載されており、この出願は、参照により本明細書に組み込まれる。
【0006】
本発明者等が同時に提出した出願は、リポジトリに格納されたデータへの保全性およびアクセスが、そのリポジトリの第三者である管理者が行うどんなアクションとも無関係に維持されるシステムを対象とする。
【0007】
前記出願に記載された発明は、文書に対する許可されたユーザ・アクセスに関する情報が単一の中央位置、すなわちリポジトリ自体に格納されているため、多数のユーザがアクセス可能な多数の文書を含むシステムの場合に非常に効率がよい。ユーザは、システム外部の手段によって文書への自分のアクセスに関する安全な知識を得る。
【0008】
本発明は、許可されたユーザ・アクセスに関する情報をシステム自体に格納するという修正であり、これもリポジトリの第三者である管理者のどんなアクションからも保護されている。
【0009】
【発明が解決しようとする課題】
したがって、本発明の一目的は、第三者によって管理されるリポジトリ内に物理的に格納されるどの文書に対してアクセス権を有するかを判定するために検索することができる電子文書の格納および交換システムを提供することである。
【0010】
本発明の他の目的は、リポジトリに格納されたデータに対する許可されたユーザ・アクセスに関する情報への保全性およびアクセスがそのシステムを介して使用可能であるが、第三者のリポジトリ管理者のアクションには依存しないシステムを提供することである。
【0011】
【課題を解決するための手段】
したがって、一態様において、本発明はデータ・リポジトリ・システムに格納された電子データ・ファイルを検索するための安全なシステムを提供する。このシステムは、データ・リポジトリ・システム内にある電子データ・ファイルの寄託側コンピュータ用の第1のエージェント・プログラムと、その電子データ・ファイルへのアクセス特権を有する第1のユーザ・コンピュータ用の第2のエージェント・プログラムとを収容する通信環境を含む。電子データ・ファイルの目録には、電子データ・ファイルに関するアクセス制御がリストされる。この目録は第1のエージェント・プログラムによってアクセス可能であり維持される。第1のユーザ・コンピュータは、第2のエージェント・プログラムによってアクセス可能であり維持される電子データ・ファイルに対するそれ自体のアクセス特権の記録を有する。電子データ・ファイルに対する第1のユーザ・コンピュータのアクセス特権に影響を与えるような目録の変更が行われた場合、これらの変更が第1のエージェント・プログラムから第2のエージェント・プログラムに伝えられ、第1のユーザ・コンピュータのアクセス特権を更新することができる。第1のエージェント・プログラムはまた、第1のユーザ・コンピュータの電子データ・ファイルが第2のエージェント・プログラムに解放される前に、この電子データ・ファイルに対するアクセス特権を検証することができる。
【0012】
別の態様によれば、本発明は、データ・リポジトリ内に格納された各電子データ・ファイルに関するアクセス制御をリストした目録と、リポジトリ内に格納された電子データに対してアクセス権を有する各コンピュータの文書アクセス特権をリストした記録とを有するシステム内で、電子データ・リポジトリの電子データを安全に検索するのを維持する方法を提供する。この方法は、リポジトリ内に格納されている電子データ・ファイルに関する目録を更新するステップと、この更新によって影響を受ける電子データ・ファイルへのアクセスが変更されるすべてのコンピュータを識別するステップと、このアクセスの変更を影響を受けるすべてのコンピュータに伝えるステップと、影響を受けるすべてのコンピュータのアクセス特権記録を更新するステップと、更新されたアクセス特権記録を影響を受けるコンピュータに伝えるステップからなる。
【0013】
さらに別の態様によれば、本発明は、データ・リポジトリ・システム内に格納された各電子データ・ファイルに関するアクセス制御をリストした目録を維持する手段と、各目録へのアクセス権を寄託特権を有するコンピュータだけに制限する手段と、データ・リポジトリ・システム内の少なくとも1つの電子データ・ファイルへのアクセス特権を有する各コンピュータに関連付けられた電子データ・ファイルに対するアクセス特権をリストした記録を維持する手段と、前記各記録に対するアクセス権をこのアクセス特権を有する関連付けられたコンピュータだけに制限する手段と、目録のアクセス変更によって影響を受ける各コンピュータに関連付けられた記録を更新する手段とを含む、データ・リポジトリ・システム内に格納された電子データ・ファイルを検索するための安全なシステムを提供する。
【0014】
本発明では、上記システムまたは方法を実行するプログラム・コードで符号化された媒体も提供される。
【0015】
【発明の実施の形態】
第三者の保管者を利用する文書リポジトリ・システムの従来の配置を図1に示す。文書発信者100は、その接続102を介して、第三者によって管理されるデータベースなどのリモート文書リポジトリ・サービス104に文書を預けることができる。寄託文書の所有者として、文書発信者100はその文書へのアクセスを割り当てることができる。たとえば、文書発信者は、業務パートナ106に「読取り」権限を割り当てることが可能であるが、これは、割り当てられた業務パートナがその文書リポジトリ・サービス104への接続108を介して文書を取り出すことができるが、寄託文書を変更することはできないという意味である。
【0016】
このような従来のシステムでは、一般に、要求時に業務パートナ106が文書を検討できるように、文書発信者100から寄託された文書は暗号化されない。これは、従来技術では文書の暗号解読に関連した問題があるためである。文書を暗号解読するには、文書発信者100の秘密キーにアクセスする必要がある。秘密キーにアクセスするには、文書発信者100が、暗号解読自体を実行するために暗号解読が要求される可能性のある場合にはいつでも自分自身をオンラインで使用できるようにしておく(システム可用性の問題)か、またはその秘密キーを業務パートナ106が直接または信用される代理人(図示せず)を介して使用できるようにするためにあらかじめスキームをセットアップしておく必要がある。
【0017】
インターナショナル・ビジネス・マシーンズ・コーポレイションの米国特許第5491750号は、「Method and Apparatus for Three-Party Entity Authentication and Key Distribution Using Message Authentication Codes」に関するものである。この特許は、2者またはそれ以上の通信パートナが信用される仲介者を介して認証された後に、この通信パートナによって共用される秘密のセッション管理キーの配布を可能にするシステムについて記載している。ただし、このスキームの下で生成されたキーならびにこれと同様の他のキーは一時的なものであって、絶対に必要な場合以外はほとんど使用しないように意図されている。このようなスキームが、永続的な文書リポジトリを使用した文書検討システムで、通信パートナ間での暗号解除キーの安全な伝送を行うのに適しているかどうかは明らかでない。
【0018】
したがって、文書が一定期間寄託され暗号化されない従来のシステム(図1)では、第三者の管理者であるリポジトリ・サービス104は文書の保全性維持について信用できるものでなければならない。
【0019】
本発明の好ましい実施形態の文書リポジトリ・システムは、IBM社に譲渡された1997年11月26日出願の「Secure Server and Method of Operation for a Distributed Information System」という名称の、米国特許出願第980022号の主題である、IBM Vault Registry製品を使用して構築することができる。米国特許出願第980022号は参照により本明細書に組み込まれる。IBM Vault Registry製品は、ヴォールト(Vault)と呼ばれるクライアント環境の安全な拡張を実装する、拡張webサーバ環境を提供する。このシステムは、電子的に伝送される文書および他のデータがそのままの形でエラーもなく着信するという、本明細書の発明の属する技術分野に記載した最新の伝送技術を利用している。クライアントのヴォールト内に含まれるリソースは、認定された公開キーによる強力な認証を使用してクライアントからアクセスされた場合にのみ使用可能となる。環境によっては、クライアントのwebブラウザを介してアクセスすることもある。
【0020】
ヴォールトの情報内容は、プライバシーのため暗号化されている。サーバ上にあるヴォールトは、固有の暗号キー、およびブラウザを介したアクセスなどヴォールトの所有者によって承認された信用できる経路を介したアクセス以外のキーへのアクセスを抑制する機構を有する。ヴォールト内で実行されるプログラムは、以下のことを保証するために、オペレーティング・システム・サービスによって分離されている。
a)ヴォールト内で動作するプログラムによる改変の可能性なしに従属プロセスにその識別が使用できるように、システム識別(仮想ログオン)を使用したプロセスで動作する。
b)その中で動作しているヴォールトのデータ内容だけにアクセスでき、他のものにはアクセスできない。
c)ヴォールトの所有者によって、ヴォールト内での実行が承認されている。
d)改ざんや「トロイの木馬」攻撃を防ぐために署名されている。
【0021】
ヴォールト内で動作するプログラムは、同じヴォールト、または互いの公開キーへの安全なアクセスを有する他のヴォールトに情報を預けることができる。一般に、これらのヴォールトは同じヴォールト・サーバ上に配置されているが、異なるヴォールト・サーバ上に配置し、公開キー情報を提供するために共通の認証機関にアクセスすることもできる。ヴォールト・リポジトリの文脈では、「寄託」という語が様々な意味を持つことがある。一実施態様では、寄託という語は目標ヴォールトの暗号化キーにデータを暗号化し、そのデータを寄託ヴォールトの署名キー中で署名することを表すことができる。ヴォールト・プログラムは、暗号化キーと署名キーのどちらにも直接アクセスすることはできない。これは、APIを介して実行される。任意選択で、「寄託」機能は、目標ヴォールト内に収容されている待ち行列に情報を入れることもできる。別のオプションでは、情報が寄託されたこと、および目標ヴォールト内のプログラムがデータをオープンしたことを確認する「配達証明(return receipt)」が提供される。これらすべての「寄託」機能は、次のような形でヴォールト内で情報を受け渡す手段を提供する。
a)元のプロセスは否定できない。
b)プロセス間通信バッファを検査する機能を有するものによって、内容が閲覧されない。
c)送達が保証されている。
【0022】
アプリケーションが目標ヴォールトへのデータを待ち行列に入れることを選択しない場合は、ファイル、データベース、あるいはデータを「不透明な(opaque)」項目として処理できる(たとえばオブジェクトをシリアル化して耐久性を付与する、他)の任意のシステム・サービスを使用して、情報を格納することを選択することができる。この不透明情報は、バックアップおよび回復用の標準的なシステム技術で管理することができる。ただし、その内容は、SecureDepositorアプリケーション・プログラミング・インタフェースを使用してそれを所有するヴォールトの文脈で実行されるプログラムによってのみ、暗号解読することができる。
【0023】
IBM Vault Registry製品を使用した本発明の好ましい実施形態を、図2に略図で示す。
【0024】
図1に示したシステムと同様に、図2に示したスキームでは、文書発信者200が文書リポジトリ・サービス204との接続202を介して文書を寄託することができ、さらに寄託文書の所有者として、業務パートナなどの第三者206に、その文書へのアクセス・レベルを割り当てることができ、この第三者206は、自分自身のネットワーク接続208を介して文書リポジトリ・サービス204内にある文書へアクセスできるようになる。ただし、前述のシステムとは異なり、文書リポジトリ・システムのユーザには、第三者を信用してリポジトリ内の文書フィールドの保全性を維持させる義務はない。
【0025】
好ましい実施形態の文書リポジトリ・システム204は、2つの構成要素、アプリケーション・サーバ210およびヴォールト・コントローラ214を備える。アプリケーション・サーバ(AS)は、データベース・リポジトリ212を管理するプログラムであって、同じマシン上にあっても、また閉じたネットワーク上のリモート位置にあってもよい。ヴォールト・コントローラ214は、複数の構成要素、すなわち個別に文書発信者200および業務パートナ206に割り当てられたユーザ・ヴォールト216、218、アプリケーション・サーバ210に割り当てられたASヴォールト220、ならびにヴォールト監視プログラム222を含む。
【0026】
ユーザ・ヴォールト216または218には、適切な認証に基づいてヴォールトが割り当てられたユーザ(文書発信者200または業務パートナ206)だけがアクセスすることができる。個々のヴォールトは文書データベース212に直接アクセスすることができず、アクセスはASヴォールト220およびアプリケーション・サーバ210を介して行われる。
【0027】
アプリケーション・サーバ構成要素210は、信用されるコンピューティング・ベースでは実行されないが、任意のプラットフォーム上で実行可能である。アプリケーション・サーバは、ヴォールト・コントローラ214内にあるこれに割り当てられたASヴォールト220内で実行される交互(reciprocating)構成要素を有する。ASヴォールト220はアプリケーション・サーバ210と通信可能であり、このアプリケーション・サーバを介して文書データベース212にアクセスすることができる。
【0028】
図3は、本発明の好ましい実施形態による、文書作成のプロセスを示す流れ図である。IBM Vault Registry環境を使用すると、パーソナル・ヴォールトは概念的にヴォールト所有者環境の安全な拡張となる。したがって、図3では、文書発信者とアプリケーション・サーバのヴォールト間での各プロセス・ステップ間の対話が示されている。
【0029】
データ・リポジトリ内で文書を作成する場合、文書はまずこれを作成または発信したユーザのデスクトップからユーザ(文書発信者)のパーソナル・ヴォールトに送信され(ブロック300)、ここで文書はユーザ・ヴォールトの秘密署名キーで「署名」される(ブロック302)。
【0030】
データ要素の電子署名とは、署名者がそのデータ要素の保全性を保証するものである。署名は、まずデータ要素のダイジェストを計算することにより算出することができる。このダイジェストは、セキュリティを保証するための特有のプロパティを有する、比較的小規模な構造(たとえば、MD2またはMD5ダイジェストの場合128ビット)である。第1に、これは一方向関数であり、すなわちダイジェストが与えられても、それを生成したオリジナル文書を取得することは不可能である。さらに、ダイジェストが与えられても、同じダイジェストを有するはずの第2のプレイメージを見つけることも不可能(または計算による実現不可能)である。ダイジェストは、衝突に対する耐性もある。すなわち、2つの異なるプレイメージが同じダイジェストを生成することはほとんどあり得ない。
【0031】
次いでデータ要素のダイジェストは、ユーザ・ヴォールト・アプリケーションの秘密署名キーを使って暗号化される(ブロック304)。好ましい実施形態では、対称暗号技術および公開キー非対称暗号技術の両方が使用される。
【0032】
公開キー暗号を使用する場合、アプリケーションは、キー・ペアと呼ばれる公開キーと秘密キーの2つのキーを有する。秘密キーはアプリケーションによってローカルに保持されており、下記で詳しく論じる。公開キーは、通常はX.500分散型ディレクトリのようなディレクトリ・サービスを介して、すべてのユーザが使用できるようになっている。公開キー配布は、当技術分野で周知であり、本明細書ではこれ以上詳しくは論じない。
【0033】
公開キー暗号が使用されるとき、公開キーで暗号化されたデータ要素は、対応する秘密キーでのみ暗号解読することができる。同様に、秘密キーで暗号化されたデータ要素は、公開キーでのみ暗号解読することができる。
【0034】
対称キー技法では、暗号化と暗号解読の両方に1つのキーが使用される。現在のところ、対称キー技法による暗号化/暗号解読およびキー生成の方が公開キー非対称技法を用いるよりもかなり高速である。
【0035】
データは通常、ランダムに生成された対称キーを使用して暗号化される。次いでこの対称キーは、ユーザの公共暗号キーを使用してそれ自体が暗号化され文書と共に格納されて、文書の一部となる。
【0036】
さらに図3を続けて見ていくと、暗号化された文書と電子署名は、文書データベースに保管するためにアプリケーション・サーバのヴォールトに転送される(ブロック306)。暗号化された文書を受け取ると(ブロック308)、アプリケーション・サーバのヴォールト内で実行中のアプリケーションは、それ自体の秘密署名キーを使用して再署名することによって、署名を公証する(ブロック310)。
【0037】
電子的文脈において、署名の公証とは、「公証人」としての役割を果たす第三者が、署名の内容を証明するという意味である。(政府機関によって授与された公証人役場に課せられたすべての義務が、本明細書における「公証人」および「公証」の参照によってカバーされるものではない。)一般に署名の電子公証は、後でその署名が許可なく修正されるのを防ぐための特別な予防措置として実行される。本発明の場合、ユーザのデジタル署名の公証は、ユーザが文書リポジトリ内にあるオリジナル文書を置き換えたり修正したりするのを防ぐ。その文書に関連する公証済み署名をチェックすれば、不一致があれば明らかになるはずである。
【0038】
公証済みの電子署名には、所与のデータ要素の発信者署名とその発信者署名の公証人の署名という2つの情報が含まれる。公証人の署名は、発信者署名および現タイム・スタンプに関して計算されるものとする。
【0039】
その後アプリケーション・サーバのヴォールト内で実行中のアプリケーションは、受け取った文書に署名する(ブロック312)。文書発信者から受け取ったデータは暗号化されているため、アプリケーション・サーバは実際には文書の内容について何の知識も持たない。したがって、本発明によれば、この第2の署名は暗号化文書および発信者の公証済み署名に対して計算される。アプリケーション・サーバの署名は、リポジトリ・サービスが文書を受け取ったことを文書発信者(寄託元)に対して証明する、非拒否証明(non-repudiation receipt)となる。かくして、リポジトリ内での文書の作成は、その後にリポジトリ・サービスによって拒否されることがなくなる。
【0040】
暗号化された文書、文書発信者の公証済み署名、および非拒否証明は、すべてアプリケーション・サーバのリポジトリまたはアプリケーション・データベースに格納される(ブロック314)。非拒否証明は、文書発信者のヴォールトに送信される(ブロック316)。文書発信者のヴォールトは、暗号化された文書の署名を検証することにより、非拒否証明の正確さをチェックする(ブロック318)。文書発信者のヴォールトはまた、公証済み署名のタイム・スタンプが現在のものであるかどうかをチェックする(ブロック320)。タイム・スタンプの許容範囲は、アプリケーションに依存する。これらのテストのどちらかに不合格になると、エラー・メッセージがASヴォールトに戻され(ブロック322)、システムに記録される。証明が正しい現在のものであれば、ユーザのヴォールト内で実行されているアプリケーションは、文書がリポジトリに格納されているとの証明が必要になった場合、非拒否証明を将来の参照用にローカルに保管しておくために発信者ユーザに戻す(ブロック324)。
【0041】
文書発信者は、格納のためにヴォールトに提出する前に、自分の知的所有権のある技法を使用して文書の署名または暗号化あるいはその両方を行うことができる。ただし、文書リポジトリは、格納される文書の内容に関知しない。したがって、暗号化された文書は、他の文書が処理されるのと同様に、ユーザのヴォールトによって再署名および再暗号化される。
【0042】
図4は、本発明の好ましい実施形態による、アクセス制御リスト(ACL)と呼ばれる各文書について文書発信者が維持する一種の目録に従って許可された要求元による文書の取出しを許可する際に実行しなければならないステップを示す流れ図である。図3と同様に、このプロセス・ステップは、各パーソナル・ヴォールトがそれぞれの作業領域の概念的に安全な拡張であることに基づいて、ユーザ、アプリケーション・サーバ、および要求元の3者の間で分割されている。
【0043】
図4から始めると、要求元が自分のヴォールト・アプリケーションに対して、アプリケーション・サーバ・リポジトリから文書を取り出すように要求し(ブロック400)、要求元のヴォールト・アプリケーションがその文書に対する要求を、アプリケーション・サーバのヴォールトに転送する(ブロック402)。
【0044】
アプリケーション・サーバのヴォールト・アプリケーションは、アクセス要求を受け取り(ブロック404)、暗号化文書および発信者の公証済み署名を、アプリケーション・データベースから取り出す(ブロック406)。
【0045】
アプリケーション・サーバのヴォールト・アプリケーションは、暗号化文書および公証済み署名を文書発信者のヴォールトに送信する。アプリケーション・サーバのヴォールトはまた、要求元のヴォールトの識別を発信者のヴォールトに送信する(ブロック408)。
【0046】
発信者のヴォールトは、要求元が文書を取り出す許可を与えられていることをチェックする(ブロック410)。好ましい実施形態では、文書アクセス制御は、文書アクセスを許可されたエンティティだけに制限する際に使用されるアクセス制御リストを介して実行可能になる。アクセス制御リスト(ACL)は文書に関連付けられており、図6および図8に関連して下記に記載するように、文書発信者のヴォールト内に格納され維持される。要求元が文書を取り出すことを求める要求を送信したとき、ACLをチェックしなければならない。要求元は、アクセスが許可されている場合、文書のコピーを与えられるだけである。
【0047】
本発明の好ましい実施形態によれば、要求元が、アクセス要求を実行する前に、自らの文書へのアクセスを検証できるようにするために機能リストを使用することができる。機能リストは、特定のユーザがアクセス特権を有するリポジトリ内のすべての文書を識別する。要求元の機能リストは、自分のヴォールト内に格納され維持される。要求元は、そのリストをチェックするだけで、どの文書にアクセスできるのかを判定する。機能リストの使用および維持については、図7に関連して下記で詳細に説明する。
【0048】
要求元が文書へのアクセスを許可されていない場合は、発信者にエラー・メッセージが戻され、システムに記録される(ブロック414)。
【0049】
図5に進むと、要求元が文書の受取りを許可されている場合、発信者のヴォールト・アプリケーションは文書を暗号解読し(ブロック416)、公証済み署名を検証する(ブロック418)。発信者のオリジナル署名は暗号化されていない文書内容に対して計算されたものであるため、文書内容にアクセスできる(すなわち発信者の秘密キーを有する)ユーザだけが署名を検証することができる。この署名が、文書発信者が自分のファイル内に有するものと対応していない場合は、預けた文書と同じバージョンでないことが明らかなので、発信者はエラー・メッセージをアプリケーション・サーバに戻す(ブロック420)。
【0050】
署名が検証された場合、発信者は暗号解読された文書と公証済み署名を要求元のヴォールトに転送する(ブロック422)。
【0051】
暗号解読された文書を受信すると、要求元のヴォールト・アプリケーションは、発信者の公証済み署名の検証を試みる(ブロック424)。要求元がそれを検証できない場合、エラー・メッセージが発信者に戻され、システムに記録される(ブロック426)。
【0052】
発信者の公証済み署名が検証できる場合、要求元のヴォールトは文書と共に受け取った公証済み署名に署名する。この署名は公証済み署名ならびに現タイム・スタンプに対して計算され、要求元が文書をリポジトリから取り出したことを証明する非拒否証明を構成する(ブロック428)。要求元のヴォールトは、暗号解読された文書を生成した非拒否証明と共に要求元のデスクトップに戻す(ブロック430)。さらに要求元のヴォールトは、非拒否証明をアプリケーション・サーバのヴォールトに転送する(ブロック432)。アプリケーション・サーバは、これを受け取り次第、要求元ヴォールトの署名を検証する(ブロック434)。署名が検証できない場合、発信者にエラー・メッセージが戻されシステムに記録される(ブロック436)。署名が検証できる場合、後で要求元がこの文書を取り出したことをアプリケーション・サーバが証明しなければならない場合に使用するために、アプリケーション・サーバ・ヴォールトはこの証明をアプリケーション・データベースに格納する(ブロック438)。
【0053】
文書取出しに関するアクセス制御の不変性(immutability)
前述のように、データ・リポジトリでは文書アクセス制御に関する要件がある。すなわち、文書の所有者が許可したユーザだけがその文書を閲覧することが可能であり、文書アクセス許可は、文書の所有者(すなわち文書発信者)と、所与の文書のアクセス制御リストを修正する許可を文書の所有者から与えられている他のユーザだけが修正できるということである。リポジトリ管理者でも、文書の所有者から許可されていない限り文書のアクセス許可を修正する権限のないことを保証することが重要である。
【0054】
文書アクセス制御の不変性のためのアプリケーションの要件には、2つの異なるタイプのものがある。文書アクセスは、
1)ユーザが閲覧する許可を与えられているすべての文書を見つけるための検索を実行するとき、および
2)ユーザが実際に文書の取出しを実行するときに、チェックする必要がある。
【0055】
すべてのアプリケーションは、文書取出し時にアクセス制御を実施する必要がある(上記アクセス・タイプの2)。このタイプのアクセスの場合、リポジトリは、文書のアクセス制御が、競合企業など許可されていないユーザによって修正される可能性がないことを保証しなければならない。
【0056】
ただし、一部のアプリケーションでは、閲覧を許可されているすべての文書についてユーザが文書リポジトリを照会できることが不可欠ではない。たとえば、この知識は業務会議の際にオフラインであるいは電話を介して伝えることができる。このような場合、ユーザはすでにどの文書にアクセスできるかを知っているため、要求元の自分の文書アクセスに関する知識は、リポジトリのアクションによって影響を受けることはない。
【0057】
文書の検索時ではなく文書の取出し時のみにアクセス制御の不変性を実施するシステムは、本発明者等が同時に提出した「System for Electronic Repository of Data Enforcing Access Control on Data Retrieval」という名称の出願(IBM整理番号第CA998−030号)の主題である。このシステムでは、アクセス制御情報はアプリケーション・サーバのデータベース/リポジトリに格納される。
【0058】
ユーザが自分の文書アクセスに関する独立した情報を持っていない場合に使用できる、アクセス制御の不変性のより強力な形式は、文書検索と文書取出しの両方に関するものである。この要件を満たすために、アクセス制御情報はアプリケーション・データベース内には格納できず、その代わりに文書の所有者のヴォールトに格納される。このスキームが本発明の主題であって、図6ないし図8の流れ図に示し下記で説明する。
【0059】
好ましい実施形態では、各文書は、様々なユーザの文書に対するアクセス許可を識別する、それに関連付けられたアクセス制御リスト(ACL)を有する。さらに、システムの各ユーザは、ユーザが所有していないけれどもアクセスすることのできるすべての格納文書を識別する機能リストを有する。
【0060】
不変性を保証するために、各ACLは、図6に示すように文書所有者のヴォールト内で処理され、これと平行して、各機能リストは、図7に示すように関連するユーザのヴォールト内で処理される。
【0061】
図6から始めると、ACLが更新されているとき(ブロック500)、文書所有者のヴォールトはその変更によって影響を受けるユーザを決定し(ブロック502)、アクセス変更のタイプ(アクセスの追加、拡張、または制限)を識別するメッセージが、文書へのアクセスが修正された各ユーザのヴォールト内に寄託される(ブロック504)。
【0062】
各ACLには、その最新の修正のバージョン番号およびタイム・スタンプが付随する。したがって、文書所有者のヴォールトはACLのバージョン番号を増分し(ブロック506)、それに関連付けられた古いタイム・スタンプが最新のタイム・スタンプで置き換えられる(ブロック508)。ACLの不変性を保証するためのトークンが、このときACLに関連付けられている現バージョン番号と現タイム・スタンプから作成され、文書発信者のヴォールトによって署名される(ブロック510)。ACLも、文書発信者のヴォールトによって署名される(ブロック512)。
【0063】
ACLトークンは、将来のACL検証のためにユーザのアクセス・アプリケーションと共にデスクトップに格納するため、文書へのアクセスが許可されている任意のユーザのヴォールトへも転送される(ブロック514)。署名付きトークンは、格納のために文書発信者のデスクトップに転送される(ブロック516)。文書発信者は、署名付きトークンのコピーを保持しているので、文書ACLが最新のものであるか否かの最終的な判断を行うとなる
【0064】
業務パートナが文書を取り出したいときは、ASヴォールト・アプリケーションは、前述のように暗号化された文書を発信者のヴォールトに送信する(図4のブロック408)。要求元の許可を検証するために(図4のブロック412)、文書発信者のヴォールトは単に、検証されローカルに保管されたACL内で、要求元が指定された文書に対するアクセス権を有することをチェックする。この方法を使用すると、アプリケーション・データベース内に格納されたACLを発信者のヴォールトに検出されずに修正することはまったくできない。
【0065】
前述のように、リポジトリ内の文書を所有している各ユーザは、各ACLの正しいバージョンの署名付きトークンをそのデスクトップ上に保持している。ユーザ・ヴォールトによって保持されているACLバージョンは、ユーザのデスクトップ上に格納されている署名付きトークンとユーザのヴォールト内に格納されているそれとを比較することによって検証される。この比較は、様々なときに実行することができる。ユーザのヴォールト内に格納されているACLを検証する好機の1つはログオン時であり、ユーザがログオンするごとにユーザのACLが検証される。
【0066】
ACL検証に失敗した場合、ユーザのヴォールト・アプリケーションは、ACLによって保護されている文書を取り出すことを求めるすべての要求の受付けを自動的に停止する。このような文書のアクセス不能状態は、ユーザが新しいACLを作成するか、または既存のACLを再認証するまで持続する。既存のACLの再認証プロセスには、ユーザのヴォールトに格納されたACLトークンとユーザのデスクトップ上に格納されたトークンとの同期化が含まれる。
【0067】
ACLが更新されたとき、図6に示したステップと平行していくつかのステップが実行される。この追加ステップを図7に示す。
【0068】
各ユーザのヴォールトは、ユーザがアクセスできるすべての文書のリストを含む機能リストの維持を担当する。機能リスト自体の現在性(currency)は、バージョン番号および最新のタイム・スタンプによって識別される。つまり、ユーザが文書にアクセスできる能力の修正(文書ACLの更新)を示すメッセージがユーザのヴォールトに着信すると(ブロック520)、ユーザ・ヴォールト内の機能リストはバージョン番号(ブロック522)および最新のタイム・スタンプ(ブロック524)によって自動的に更新される。機能リストの正確さを検証する際に使用できるそのトークンが、バージョン番号およびタイム・スタンプに対して計算される(ブロック526)。このトークンは、ユーザのヴォールトによって署名され(ブロック528)、機能リストも同様に署名される(ブロック530)。署名されたトークンと機能リストは、どちらもユーザのヴォールトに格納されるが(ブロック532)、更新が行えるようになるまでこの古い機能リストのトークンはユーザのデスクトップ上に格納されたトークンと対応しているので、ユーザのヴォールトは古い機能リストとそれに関連付けられたトークンを保存する。
【0069】
現在の機能リストをデスクトップ上に格納された対応するユーザのトークンと同期化させる1つの方法は、ユーザがログオンした際に自動的に同期化させるものである(ブロック532)。ユーザのデスクトップにあるトークンの正確さは、ユーザのヴォールト内に保存されている古いトークンと突き合わせてチェックすることができ、次いでこの更新されたトークンをユーザのデスクトップに送信することができる(ブロック534)。ユーザのデスクトップ上で古いトークンが置き換えられた後、古い機能リストおよびそれに関連付けられたトークンをユーザのヴォールトから削除することができる。
【0070】
ユーザのデスクトップ上にある機能リスト・トークンを更新する代替方法(図示せず)は、最後にログオンした後に行った機能リストへの更新の検討を、自発的に行うようにユーザに要求することである。
【0071】
ACLと機能リストを確実に一致させるためには、システムの基礎となっている環境(たとえばIBM Vault Registry製品)が、ヴォールト間で寄託されたメッセージに対して保証されたメッセージ送達を提供しなければならない。機能更新の送達の保証は、たとえば、更新を受け取ったユーザに受領証を要求することによりアプリケーションが行うこともできる。
【0072】
このスキームの結果、ACLおよび機能リストはすべてそれぞれの所有者によって格納される。システム内のどの当事者も、文書所有者が変更に気付くことなく、文書のアクセス制御リストを変更することはできない。さらに、システム内のどの当事者も、許可されたユーザが変更に気付くことなく、文書へのアクセスに関するユーザの知識(すなわち機能)を変更することはできない。
【0073】
検索がアプリケーション・サーバのヴォールトによって実行される、本発明者の前掲の同時係属出願に記載されたアクセス制御スキームとは違って、本発明によれば、ユーザがアクセスを許可されている文書の検索は、ユーザ自身のヴォールト・アプリケーションによって実行される。
【0074】
所有者特権の割当て
環境によっては、文書所有者が他の人に所与の文書のアクセス・リストの修正を許可できるようにする必要がある。たとえば、所有者が使用できない場合、別の許可されたユーザが所与の文書のアクセス制御を更新できるようになる。
【0075】
本発明の好ましい実施形態によれば、ACLまたは機能リストの更新は、図8に示したステップに従ってシステム内の他のユーザが実行することができる。
【0076】
例えばACLの更新を試みるとき、更新を行うユーザは、そのACLの最新の署名付きトークンを提示することができなければならない(ブロック600)。署名付きトークンは、更新を行うユーザ自身のヴォールトに送信され(ブロック602)、それが署名付きトークンを発信者のヴォールトに渡す(ブロック604)。更新を行うユーザがこの文書のACLに割り当てられた所有者特権を持っていない場合、文書発信者のヴォールトはこれを検出して、更新を拒否し、ユーザのヴォールトにエラー・メッセージを戻す(ブロック608)。
【0077】
発信者のヴォールトが署名を行うユーザの文書へのアクセスを検証できる場合、およびACLトークンのバージョン番号とタイム・スタンプが最新のものである場合(ブロック606)、ACLは更新され(ブロック610)、新しいトークンが生成され署名されて(ブロック612)、発信者のヴォールトに格納される(ブロック14)。この新しい署名付きトークンは、更新元のヴォールトに送信される(ブロック616)。この更新元のヴォールトは、新しいトークンを格納するために更新元のデスクトップに戻す(ブロック618)。新しい署名付きトークンはまた、リポジトリに格納するために任意選択でアプリケーション・サーバのヴォールトに転送することもできる(ブロック620)。
【0078】
この手順には、ACLの更新を実行できる人が常に1人だけであることが必要である。たとえば、文書所有者のジョン(John)が休暇で休む場合、彼は同僚のメアリー(Mary)に、文書のACLに関する彼の最新のトークンを与えることによって、彼が会社を休んでいる間に彼女が彼の文書のACLを更新できるように許可することができる。次いでメアリーは、自分のヴォールトを介してジョンのヴォールトにトークンを提示することによって、ACLの更新を発行する。メアリーは、このACLの新しい署名付きトークンを受け取り、ジョンが会社に復帰したとき彼に戻す。この新しいトークンをインストールした後、ジョンは自分自身のACL更新を発行することができる。
【0079】
データのバックアップおよび回復
文書リポジトリの管理者が、以前のバックアップから文書データベースを復元する必要が生じることが時折ある。これはたとえば、ディスク・クラッシュなど破局的なデータベースの障害が生じた場合に必要になる。
【0080】
バックアップに含める必要のあるデータは、文書自体、ACL(アプリケーション・データベースまたは所有者ヴォールトのどちらに格納されている場合でも)、機能リスト(前述のように機能を実行するシステムに関する)、およびACLの検証トークンである。データを復元した後、最新のバックアップ後に実行された更新は失われることがある。本発明では、ACLおよび機能リストの更新がそれに含まれる可能性がある。その場合、ユーザのデスクトップに格納された検証トークンが、対応するヴォールト内のトークンと一致しなくなり、適正なユーザ・アクセスが拒否されることがある。
【0081】
したがって、様々な状況でデータを復元する場合の標準を提供するために、以下のシステムが実装された。バックアップはタイム1で実行され、復元はその後のタイム2で発生したと仮定する。
【0082】
ヴォールトに格納された文書データベース、ACL、機能リスト、および対応するトークンの完全なデータ復元が実行される場合、タイム1より前に文書へのアクセスを許可されているユーザは、タイム2の後にもこれにアクセスできる。つまり、ユーザがタイム1より前には許可されていて、タイム1より後でタイム2より前にその権限が取り消された場合、そのユーザは、文書発信者がACLトークンのチェックを実行するまでは文書にアクセスできることになる。したがって、すべてのユーザは、完全なデータ復元の後に、ACLおよび機能リストのチェックを行う必要がある。
【0083】
文書データベースのみが復元され、ACL、機能リスト、およびヴォールトに格納されたトークンはそのままである場合、ユーザは、タイム1より後に追加されたが、その後データベースの復元中に失われたため、データベース内に存在しない文書へのアクセスが許可されていることを発見することがある。すべてのトークンは最新のものであるため、他の異常はいっさい発生しない。
【0084】
別のケースとして、機能リストは使用されていないが、ACLがアプリケーション・データベースに格納されているシステムの場合がある。文書データベースおよびACLが復元されており、ヴォールトに格納されたトークンは復元されていない場合、ユーザは、タイム1より後に変更されたACLを有するすべての文書がアクセス不可能であることを発見する。これは、アプリケーション・データベース内のACLトークンが、個々の所有者のヴォールト内に格納されているトークンと一致しないためである。この問題を処理するためには、すべての文書発信者がACLを更新しなければならない。その一方法としては、管理者が古いACL(タイム1の時点では有効であった)を文書所有者に送信し、対応するトークンをそのヴォールトに再インストールするように依頼することである。この更新は自動ではなく手動で実行され、所有者がこの更新を完了するまで所有者の文書はアクセス不能である。
【0085】
データベースの不整合を避けなければならない場合、リポジトリ管理者は復元後、発信者が是正処置を実行するまで、すべての文書へのアクセスを禁止することができる。このアクセス禁止は、リポジトリ内に格納されているすべての文書に適用されるか、または整合性がクリティカルな文書のサブセットだけに適用される。この場合、リポジトリ管理者に依拠して、システムの整合性を保持しなければならない。ただし前述のように、いずれの場合でも管理者には文書へのユーザ・アクセスを認可したり取り消したりする権限はもたない。
【0086】
以上、IBM Vault Registry製品を使用して実装された本発明の好ましい実施形態について述べてきた。ただし本発明が、各ユーザのデスクトップにローカルに配置された安全なヴォールト様環境など、類似の機能を提供する他の製品を使用しても実装できることは、当業者には自明であろう。この性質および当業者に自明な他の性質の修正は、添付の特許請求の範囲によってカバーされるものとする。
【0087】
まとめとして、本発明の構成に関して以下の事項を開示する。
【0088】
(1)データ・リポジトリ・システムに格納された電子データ・ファイルを検索するための安全なシステムであって、
(i)データ・リポジトリ・システム内にある電子データ・ファイルの寄託側コンピュータ用の第1のエージェント・プログラムと、
(ii)電子データ・ファイルへのアクセス特権を有する第1のユーザ・コンピュータ用の第2のエージェント・プログラムとを収容する通信環境と、
前記第1のエージェント・プログラムによってアクセス可能であり維持され、電子データ・ファイルに関するアクセス制御をリストした電子データ・ファイルの目録と、
前記第2のエージェント・プログラムによってアクセス可能であり維持され、電子データ・ファイルに対する第1のユーザ・コンピュータのアクセス特権に関する第1の記録と、
電子データ・ファイルに対する第1のユーザ・コンピュータのアクセス特権に影響を与える目録の変更を、第1の記録を更新するため、前記第1のエージェント・プログラムから前記第2のエージェント・プログラムへ伝える手段と、
電子データ・ファイルが前記第2のエージェント・プログラムに解放される前に、前記第1のエージェント・プログラムが電子データ・ファイルに対する第1のユーザ・コンピュータのアクセス特権を検証するための手段とを含むシステム。
(2)前記第1のエージェント・プログラムが寄託側コンピュータの安全な拡張であり、前記第2のエージェント・プログラムが第1のユーザ・コンピュータの安全な拡張である、上記(1)に記載の安全なシステム。
(3)電子データ・ファイルに対する前記第1のユーザ・コンピュータのアクセス特権に影響を与える目録の変更を、前記第2のエージェント・プログラムから第1のユーザ・コンピュータへ伝える手段をさらに含む、上記(2)に記載の安全なシステム。
(4)電子データ・ファイルに対するアクセス特権を有する第2のユーザ・コンピュータ用の第3のエージェント・プログラムと、
前記第3のエージェント・プログラムによってアクセス可能であり維持され、電子データ・ファイルに対する第2のユーザ・コンピュータのアクセス特権に関する第2の記録とを含み、
第1の記録を更新するために、電子データ・ファイルに対する第1のユーザ・コンピュータのアクセス特権に影響を与える目録の変更を、前記第1のエージェント・プログラムから前記第2のエージェント・プログラムへ伝える手段が、第2の記録を更新するために、電子データ・ファイルに対する第2のユーザ・コンピュータのアクセス特権に影響を与える目録の変更を、前記第1のエージェント・プログラムから前記第3のエージェント・プログラムに伝える手段を含み、
電子データ・ファイルが前記第2のエージェント・プログラムに解放される前に、前記第1のエージェント・プログラムが電子データ・ファイルに対する第1のユーザ・コンピュータのアクセス特権を検証するための手段が、電子データ・ファイルが前記第3のエージェント・プログラムに解放される前に、前記第1のエージェント・プログラムが電子データ・ファイルに対する第2のユーザ・コンピュータのアクセス特権を検証するための手段を含む、上記(1)または(2)にいずれか一項に記載の安全なシステム。
(5)前記第3のエージェント・プログラムが前記第2のユーザ・コンピュータの安全な拡張である、上記(4)に記載の安全なシステム。
(6)電子データ・ファイルに対する前記第2のユーザ・コンピュータのアクセス特権に影響を与える目録の変更を、前記第3のエージェント・プログラムから前記第2のユーザ・コンピュータに伝える手段をさらに含む、上記(5)に記載の安全なシステム。
(7)通信環境がサーバを含む、上記(2)または(5)に記載の安全なシステム。
(8)前記通信環境に収容されたデータ・リポジトリ・システムへのインタフェースをさらに含み、前記インタフェースがデータ・リポジトリ・システムおよびエージェント・プログラムとの間の双方向通信をすべて受け取るように適合されている、上記(1)、(2)、または(5)のいずれか一項に記載の安全なシステム。
(9)前記インタフェースが前記データ・リポジトリ・システムの安全な拡張である、上記(8)に記載の安全なシステム。
(10)電子データ・リポジトリ用の安全な電子データ検索システムを維持する方法であって、前記システムが、データ・リポジトリ内に格納された各電子データ・ファイルに関するアクセス制御をリストした目録と、リポジトリ内に格納された電子データに対するアクセス権を有する各コンピュータの文書アクセス特権をリストした記録とを有し、
リポジトリ内に格納されている電子データ・ファイルに関する目録を更新するステップと、
前記更新によって電子データ・ファイルへのアクセスが変更されたすべてのコンピュータを識別するステップと、
前記アクセスの変更を影響されるすべてのコンピュータに伝えるステップと、
影響されるすべてのコンピュータのアクセス特権記録を更新するステップと、
前記更新されたアクセス特権記録を前記影響されるコンピュータに伝えるステップとを含む方法。
(11)データ・リポジトリ・システム内に格納された電子データ・ファイルを検索するための安全なシステムであって、
データ・リポジトリ・システム内に格納された各電子データ・ファイルに関するアクセス制御をリストした目録を維持する手段と、
各目録へのアクセスを寄託特権を有するコンピュータだけに制限する手段と、
データ・リポジトリ・システム内の少なくとも1つの電子データ・ファイルへのアクセス特権を有する各コンピュータに関連付けられた電子データ・ファイルに対するアクセス特権をリストした記録を維持する手段と、
前記各記録に対するアクセスを前記アクセス特権を有する関連するコンピュータだけに制限する手段と、
目録のアクセス変更によって影響を受ける各コンピュータに関連付けられた前記記録を更新する手段とを含むシステム。
(12)上記(10)に記載の方法をコンピュータで実行する際に使用するための命令を格納するコンピュータ可読メモリ。
【図面の簡単な説明】
【図1】 第三者保管者を利用する文書リポジトリ・システムの概略図である。
【図2】 図1と同様、本発明の好ましい実施形態で使用されるヴォールト文書リポジトリ・システムを示す概略図である。
【図3】 本発明による文書作成のプロセスを示す流れ図である。
【図4】 本発明による文書検索のプロセスを示す流れ図である。
【図5】 本発明による文書検索のプロセスを示す流れ図である。
【図6】 本発明の好ましい実施形態による、文書検索に関するアクセス制御の不変性を提供するためのプロセスを示す流れ図である。
【図7】 本発明の好ましい実施形態による、文書検索に関するアクセス制御の不変性を提供するためのプロセスを示す流れ図である。
【図8】 本発明による格納文書に所有者特権を割り当てるためのプロセスを示す流れ図である。
【符号の説明】
200 文書発信者
202 文書の寄託、アクセス制御の割当て
204 文書リポジトリ・サービス
206 業務パートナ
208 文書の調査
210 アプリケーション・サーバ
212 データベース・リポジトリ
214 ヴォールト・コントローラ
216 文書発信者ヴォールト
218 業務パートナ・ヴォールト
220 ASヴォールト
222 ヴォールト監視プログラム

Claims (12)

  1. データ・リポジトリ・システムに格納された電子データ・ファイルを検索するための安全なシステムであって、
    (i)データ・リポジトリ・システム内にある電子データ・ファイルの寄託側コンピュータ用の第1のエージェント・プログラムと、
    (ii)電子データ・ファイルへのアクセス特権を有する第1のユーザ・コンピュータ用の第2のエージェント・プログラムとを含む通信環境と、
    前記第1のエージェント・プログラムによってアクセス可能であり維持され、電子データ・ファイルに関するアクセス制御をリストした電子データ・ファイルであるアクセス制御リストと、
    前記第2のエージェント・プログラムによってアクセス可能であり維持され、電子データ・ファイルに対する第1のユーザ・コンピュータのアクセス特権に関する第1の記録と、
    電子データ・ファイルに対する第1のユーザ・コンピュータのアクセス特権に影響を与えるアクセス制御リストの変更に対応させて前記第1の記録を更新するため、前記第1のエージェント・プログラムから前記第2のエージェント・プログラムへ伝える手段と、
    電子データ・ファイルが前記第2のエージェント・プログラムに解放される前に、前記第1のエージェント・プログラムが電子データ・ファイルに対する第1のユーザ・コンピュータのアクセス特権を検証するための手段とを含むシステム。
  2. 前記第1のエージェント・プログラムが寄託側コンピュータを安全に機能拡張させ、前記第2のエージェント・プログラムが第1のユーザ・コンピュータを安全に機能拡張させる、請求項1に記載の安全なシステム。
  3. 電子データ・ファイルに対する前記第1のユーザ・コンピュータのアクセス特権に影響を与えるアクセス制御リストの変更を、前記第2のエージェント・プログラムから第1のユーザ・コンピュータへ伝える手段をさらに含む、請求項2に記載の安全なシステム。
  4. 電子データ・ファイルに対するアクセス特権を有する第2のユーザ・コンピュータ用の第3のエージェント・プログラムと、
    前記第3のエージェント・プログラムによってアクセス可能であり維持され、電子データ・ファイルに対する第2のユーザ・コンピュータのアクセス特権に関する第2の記録とを含み、
    第1の記録を更新するために、電子データ・ファイルに対する第1のユーザ・コンピュータのアクセス特権に影響を与えるアクセス制御リストの変更を、前記第1のエージェント・プログラムから前記第2のエージェント・プログラムへ伝える手段が、第2の記録を更新するために、電子データ・ファイルに対する第2のユーザ・コンピュータのアクセス特権に影響を与えるアクセス制御リストの変更を、前記第1のエージェント・プログラムから前記第3のエージェント・プログラムに伝える手段を含み、
    電子データ・ファイルが前記第2のエージェント・プログラムに解放される前に、前記第1のエージェント・プログラムが電子データ・ファイルに対する第1のユーザ・コンピュータのアクセス特権を検証するための手段が、電子データ・ファイルが前記第3のエージェント・プログラムに解放される前に、前記第1のエージェント・プログラムが電子データ・ファイルに対する第2のユーザ・コンピュータのアクセス特権を検証するための手段を含む、請求項1または2にいずれか一項に記載の安全なシステム。
  5. 前記第3のエージェント・プログラムが前記第2のユーザ・コンピュータを安全に機能拡張させる、請求項4に記載の安全なシステム。
  6. 電子データ・ファイルに対する前記第2のユーザ・コンピュータのアクセス特権に影響を与えるアクセス制御リストの変更を、前記第3のエージェント・プログラムから前記第2のユーザ・コンピュータに伝える手段をさらに含む、請求項5に記載の安全なシステム。
  7. 通信環境により接続されたサーバを含む、請求項2または5に記載の安全なシステム。
  8. 前記通信環境は、データ・リポジトリ・システムへのインタフェースをさらに含み、前記インタフェースがデータ・リポジトリ・システムおよびエージェント・プログラムとの間の双方向通信をすべて受け取るように適合されている、請求項1、2、または5のいずれか一項に記載の安全なシステム。
  9. 前記インタフェースが前記データ・リポジトリ・システムを安全に機能拡張する、請求項8に記載の安全なシステム。
  10. 電子データ・リポジトリ用の安全な電子データ検索システムを維持する方法であって、前記システムが、データ・リポジトリ内に格納された各電子データ・ファイルに関するアクセス制御をリストしたアクセス制御リストと、リポジトリ内に格納された電子データに対するアクセス権を有する各コンピュータの文書アクセス特権をリストした記録とを有し、
    リポジトリ内に格納されている電子データ・ファイルに関するアクセス制御リストを更新するステップと、
    前記更新によって電子データ・ファイルへのアクセスが変更されたすべてのコンピュータを識別するステップと、
    前記アクセスの変更を影響されるすべてのコンピュータに関連するヴォールト・コントローラに伝えるステップと、
    前記更新されたアクセス特権の記録を前記影響されるコンピュータに伝えるステップと、
    影響されるすべてのコンピュータのアクセス特権の記録を更新するステップと
    を含む方法。
  11. データ・リポジトリ・システム内に格納された電子データ・ファイルを検索するための安全なシステムであって、
    データ・リポジトリ・システム内に格納された各電子データ・ファイルに関するアクセス制御をリストしたアクセス制御リストを維持する手段と、
    アクセス制御リストへのアクセスを寄託特権を有するコンピュータだけに制限する手段と、
    データ・リポジトリ・システム内の少なくとも1つの電子データ・ファイルへのアクセス特権を有する各コンピュータに関連付けられた電子データ・ファイルに対するアクセス特権をリストした記録を維持する手段と、
    前記各記録に対するアクセスを前記アクセス特権を有する関連するコンピュータだけに制限する手段と、
    アクセス制御リストのアクセス変更によって影響を受ける各コンピュータに関連付けられた前記記録を更新する手段とを含むシステム。
  12. 請求項10に記載の方法をコンピュータで実行する際に使用するための命令を格納するコンピュータ可読な記憶媒体
JP31636099A 1998-12-23 1999-11-08 電子データ・ファイルを検索するシステムおよびその維持方法 Expired - Fee Related JP3640339B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CA2256936 1998-12-23
CA002256936A CA2256936C (en) 1998-12-23 1998-12-23 System for electronic repository of data enforcing access control on data search and retrieval

Publications (2)

Publication Number Publication Date
JP2000227870A JP2000227870A (ja) 2000-08-15
JP3640339B2 true JP3640339B2 (ja) 2005-04-20

Family

ID=4163118

Family Applications (1)

Application Number Title Priority Date Filing Date
JP31636099A Expired - Fee Related JP3640339B2 (ja) 1998-12-23 1999-11-08 電子データ・ファイルを検索するシステムおよびその維持方法

Country Status (5)

Country Link
US (1) US6950943B1 (ja)
JP (1) JP3640339B2 (ja)
KR (1) KR20000047643A (ja)
CA (1) CA2256936C (ja)
DE (1) DE19960978B4 (ja)

Families Citing this family (97)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7080260B2 (en) * 1996-11-19 2006-07-18 Johnson R Brent System and computer based method to automatically archive and retrieve encrypted remote client data files
US20050120217A1 (en) * 2000-06-05 2005-06-02 Reallegal, Llc Apparatus, System, and Method for Electronically Signing Electronic Transcripts
US20020053020A1 (en) * 2000-06-30 2002-05-02 Raytheon Company Secure compartmented mode knowledge management portal
US6959326B1 (en) * 2000-08-24 2005-10-25 International Business Machines Corporation Method, system, and program for gathering indexable metadata on content at a data repository
JP2002083080A (ja) * 2000-09-08 2002-03-22 Toyo Commun Equip Co Ltd 電子公証システム
KR100655551B1 (ko) * 2000-11-02 2006-12-07 엘지전자 주식회사 저작권 보호를 위한 디지털 저작물의 취급 방법
JP4752125B2 (ja) * 2001-04-06 2011-08-17 大日本印刷株式会社 コンピュータシステム
US8407353B2 (en) * 2001-09-17 2013-03-26 Open Text S.A. Method and system for sharing different web components between different web sites in a portal framework
US8606916B2 (en) 2001-09-17 2013-12-10 Open Text S.A. Graphical user interface for performing administration on web components of web sites in a portal framework
US7137004B2 (en) * 2001-11-16 2006-11-14 Microsoft Corporation Manifest-based trusted agent management in a trusted operating system environment
US7260555B2 (en) 2001-12-12 2007-08-21 Guardian Data Storage, Llc Method and architecture for providing pervasive security to digital assets
USRE41546E1 (en) 2001-12-12 2010-08-17 Klimenty Vainstein Method and system for managing security tiers
US8065713B1 (en) 2001-12-12 2011-11-22 Klimenty Vainstein System and method for providing multi-location access management to secured items
US8006280B1 (en) 2001-12-12 2011-08-23 Hildebrand Hal S Security system for generating keys from access rules in a decentralized manner and methods therefor
US7178033B1 (en) 2001-12-12 2007-02-13 Pss Systems, Inc. Method and apparatus for securing digital assets
US10033700B2 (en) 2001-12-12 2018-07-24 Intellectual Ventures I Llc Dynamic evaluation of access rights
US7565683B1 (en) 2001-12-12 2009-07-21 Weiqing Huang Method and system for implementing changes to security policies in a distributed security system
US10360545B2 (en) 2001-12-12 2019-07-23 Guardian Data Storage, Llc Method and apparatus for accessing secured electronic data off-line
US7930756B1 (en) 2001-12-12 2011-04-19 Crocker Steven Toye Multi-level cryptographic transformations for securing digital assets
US7681034B1 (en) 2001-12-12 2010-03-16 Chang-Ping Lee Method and apparatus for securing electronic data
US7921284B1 (en) 2001-12-12 2011-04-05 Gary Mark Kinghorn Method and system for protecting electronic data in enterprise environment
US7921288B1 (en) 2001-12-12 2011-04-05 Hildebrand Hal S System and method for providing different levels of key security for controlling access to secured items
US7380120B1 (en) 2001-12-12 2008-05-27 Guardian Data Storage, Llc Secured data format for access control
US7921450B1 (en) 2001-12-12 2011-04-05 Klimenty Vainstein Security system using indirect key generation from access rules and methods therefor
US7950066B1 (en) 2001-12-21 2011-05-24 Guardian Data Storage, Llc Method and system for restricting use of a clipboard application
US8176334B2 (en) 2002-09-30 2012-05-08 Guardian Data Storage, Llc Document security system that permits external users to gain access to secured files
US8613102B2 (en) 2004-03-30 2013-12-17 Intellectual Ventures I Llc Method and system for providing document retention using cryptography
US7748045B2 (en) 2004-03-30 2010-06-29 Michael Frederick Kenrich Method and system for providing cryptographic document retention with off-line access
US20030226024A1 (en) * 2002-06-04 2003-12-04 Qwest Communications International Inc. Secure internet documents
US7386877B2 (en) * 2002-07-12 2008-06-10 Sun Microsystems, Inc. Specifying a repository for an authentication token in a distributed computing system
US8010405B1 (en) 2002-07-26 2011-08-30 Visa Usa Inc. Multi-application smart card device software solution for smart cardholder reward selection and redemption
US7512810B1 (en) 2002-09-11 2009-03-31 Guardian Data Storage Llc Method and system for protecting encrypted files transmitted over a network
US8015060B2 (en) 2002-09-13 2011-09-06 Visa Usa, Inc. Method and system for managing limited use coupon and coupon prioritization
US9852437B2 (en) 2002-09-13 2017-12-26 Visa U.S.A. Inc. Opt-in/opt-out in loyalty system
US8626577B2 (en) 2002-09-13 2014-01-07 Visa U.S.A Network centric loyalty system
US7121456B2 (en) 2002-09-13 2006-10-17 Visa U.S.A. Inc. Method and system for managing token image replacement
JP2004133761A (ja) * 2002-10-11 2004-04-30 Ricoh Co Ltd 記録媒体読取装置
US7836310B1 (en) 2002-11-01 2010-11-16 Yevgeniy Gutnik Security system that uses indirect password-based encryption
US7890990B1 (en) 2002-12-20 2011-02-15 Klimenty Vainstein Security system with staging capabilities
US7577838B1 (en) * 2002-12-20 2009-08-18 Alain Rossmann Hybrid systems for securing digital assets
US7035860B2 (en) 2003-01-17 2006-04-25 International Business Machines Corporation Trusted access by an extendible framework method, system, article of manufacture, and computer program product
JP4628648B2 (ja) * 2003-02-03 2011-02-09 富士通株式会社 電子データ保管システム及びその方法
US9003295B2 (en) * 2003-03-17 2015-04-07 Leo Martin Baschy User interface driven access control system and method
US7827077B2 (en) 2003-05-02 2010-11-02 Visa U.S.A. Inc. Method and apparatus for management of electronic receipts on portable devices
US8707034B1 (en) 2003-05-30 2014-04-22 Intellectual Ventures I Llc Method and system for using remote headers to secure electronic files
US7730543B1 (en) 2003-06-30 2010-06-01 Satyajit Nath Method and system for enabling users of a group shared across multiple file security systems to access secured files
US8554610B1 (en) 2003-08-29 2013-10-08 Visa U.S.A. Inc. Method and system for providing reward status
US7104446B2 (en) 2003-09-03 2006-09-12 Visa U.S.A., Inc. Method, system and portable consumer device using wildcard values
US7051923B2 (en) 2003-09-12 2006-05-30 Visa U.S.A., Inc. Method and system for providing interactive cardholder rewards image replacement
US8005763B2 (en) 2003-09-30 2011-08-23 Visa U.S.A. Inc. Method and system for providing a distributed adaptive rules based dynamic pricing system
US7703140B2 (en) 2003-09-30 2010-04-20 Guardian Data Storage, Llc Method and system for securing digital assets using process-driven security policies
US8127366B2 (en) 2003-09-30 2012-02-28 Guardian Data Storage, Llc Method and apparatus for transitioning between states of security policies used to secure electronic documents
US8407083B2 (en) 2003-09-30 2013-03-26 Visa U.S.A., Inc. Method and system for managing reward reversal after posting
US7930757B2 (en) 2003-10-31 2011-04-19 Adobe Systems Incorporated Offline access in a document control system
US8627489B2 (en) 2003-10-31 2014-01-07 Adobe Systems Incorporated Distributed document version control
US8108672B1 (en) 2003-10-31 2012-01-31 Adobe Systems Incorporated Transparent authentication process integration
US7653602B2 (en) 2003-11-06 2010-01-26 Visa U.S.A. Inc. Centralized electronic commerce card transactions
US20050203885A1 (en) * 2004-03-12 2005-09-15 U.S. Bank Corporation System and method for storing, creating, and organizing financial information electronically
US20060010323A1 (en) * 2004-07-07 2006-01-12 Xerox Corporation Method for a repository to provide access to a document, and a repository arranged in accordance with the same method
US7707427B1 (en) 2004-07-19 2010-04-27 Michael Frederick Kenrich Multi-level file digests
GB0425857D0 (en) * 2004-11-25 2004-12-29 Ibm A method and apparatus for controlling data access
US7995758B1 (en) 2004-11-30 2011-08-09 Adobe Systems Incorporated Family of encryption keys
US9176934B2 (en) * 2005-05-06 2015-11-03 Leo Baschy User interface for nonuniform access control system and methods
US9129088B1 (en) 2005-06-04 2015-09-08 Leo Martin Baschy User interface driven access control system and methods for multiple users as one audience
US20070027841A1 (en) * 2005-07-26 2007-02-01 Williams Michael G Messaging middleware dynamic, continuous search and response agent system
US8832047B2 (en) 2005-07-27 2014-09-09 Adobe Systems Incorporated Distributed document version control
KR100798571B1 (ko) * 2005-11-02 2008-01-28 엘지전자 주식회사 저작권 보호를 위한 디지털 저작물의 취급 방법
US8307406B1 (en) 2005-12-28 2012-11-06 At&T Intellectual Property Ii, L.P. Database application security
US8621549B2 (en) 2005-12-29 2013-12-31 Nextlabs, Inc. Enforcing control policies in an information management system
US7877781B2 (en) 2005-12-29 2011-01-25 Nextlabs, Inc. Enforcing universal access control in an information management system
US8627490B2 (en) * 2005-12-29 2014-01-07 Nextlabs, Inc. Enforcing document control in an information management system
US9942271B2 (en) * 2005-12-29 2018-04-10 Nextlabs, Inc. Information management system with two or more interactive enforcement points
US9202068B2 (en) * 2006-03-29 2015-12-01 Leo M. Baschy User interface for variable access control system
JP4754412B2 (ja) * 2006-05-31 2011-08-24 日本電信電話株式会社 リアルタイム利用制御を伴う電子データ共有方法およびシステム
US7730088B2 (en) * 2006-09-14 2010-06-01 International Business Machines Corporation Queriable hierarchical text data
JP2008097214A (ja) * 2006-10-10 2008-04-24 Hitachi Ltd アクセス権管理方法、管理計算機、及び管理プログラム
US8086637B1 (en) 2006-12-22 2011-12-27 Emc Corporation Access control for business process data
US20080222141A1 (en) * 2007-03-07 2008-09-11 Altep, Inc. Method and System for Document Searching
US8327450B2 (en) * 2007-07-19 2012-12-04 Wells Fargo Bank N.A. Digital safety deposit box
US8117648B2 (en) * 2008-02-08 2012-02-14 Intersections, Inc. Secure information storage and delivery system and method
US20090300649A1 (en) * 2008-05-30 2009-12-03 Microsoft Corporation Sharing An Object Among Multiple Applications
US8392706B2 (en) * 2008-11-26 2013-03-05 Perlustro, L.P. Method and system for searching for, and collecting, electronically-stored information
EP2302536A1 (en) 2009-09-21 2011-03-30 Thomson Licensing System and method for automatically verifying storage of redundant contents into communication equipments, by data comparison
US7992781B2 (en) 2009-12-16 2011-08-09 Visa International Service Association Merchant alerts incorporating receipt data
US9100171B1 (en) 2009-12-17 2015-08-04 Secure Forward, LLC Computer-implemented forum for enabling secure exchange of information
US8429048B2 (en) 2009-12-28 2013-04-23 Visa International Service Association System and method for processing payment transaction receipts
WO2011099972A1 (en) * 2010-02-11 2011-08-18 Hewlett-Packard Company, L. P. Executable identity based file access
US9659264B2 (en) * 2010-03-16 2017-05-23 International Business Machines Corporation Enablement of licensed features at a logical volume level of granularity
US9218501B2 (en) * 2010-08-06 2015-12-22 Oracle International Corporation Secure access management against volatile identity stores
EP2442253A1 (en) * 2010-10-12 2012-04-18 Research In Motion Limited A method for securing credentials in a remote repository
US8756706B2 (en) 2010-10-12 2014-06-17 Blackberry Limited Method for securing credentials in a remote repository
US8893297B2 (en) 2012-11-21 2014-11-18 Solomo Identity, Llc Personal data management system with sharing revocation
US9092796B2 (en) 2012-11-21 2015-07-28 Solomo Identity, Llc. Personal data management system with global data store
CN104318175B (zh) * 2014-10-28 2018-01-05 深圳市大成天下信息技术有限公司 一种文档保护方法、设备以及系统
US10817357B2 (en) * 2018-04-30 2020-10-27 Servicenow, Inc. Batch representational state transfer (REST) application programming interface (API)
JP7287207B2 (ja) * 2019-09-13 2023-06-06 富士通株式会社 情報処理装置、制御プログラムおよび制御方法
CN113794603A (zh) * 2021-08-20 2021-12-14 新华三信息安全技术有限公司 一种网络状态分析方法、装置、设备及机器可读存储介质

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5263158A (en) * 1990-02-15 1993-11-16 International Business Machines Corporation Method and system for variable authority level user access control in a distributed data processing system having multiple resource manager
US5414844A (en) * 1990-05-24 1995-05-09 International Business Machines Corporation Method and system for controlling public access to a plurality of data objects within a data processing system
JPH04280317A (ja) 1991-03-08 1992-10-06 Matsushita Electric Ind Co Ltd ファイル管理装置
EP0681721B1 (en) * 1993-02-01 2005-03-23 Sun Microsystems, Inc. Archiving file system for data servers in a distributed network environment
US5491750A (en) * 1993-12-30 1996-02-13 International Business Machines Corporation Method and apparatus for three-party entity authentication and key distribution using message authentication codes
US5483596A (en) * 1994-01-24 1996-01-09 Paralon Technologies, Inc. Apparatus and method for controlling access to and interconnection of computer system resources
GB9402935D0 (en) * 1994-02-16 1994-04-06 British Telecomm A method for controlling access to a database
JPH07234843A (ja) 1994-02-23 1995-09-05 Fuji Xerox Co Ltd 共同作業支援システム
US5629980A (en) 1994-11-23 1997-05-13 Xerox Corporation System for controlling the distribution and use of digital works
CN1312549C (zh) * 1995-02-13 2007-04-25 英特特拉斯特技术公司 用于安全交易管理和电子权利保护的系统和方法
AU1690597A (en) * 1996-01-11 1997-08-01 Mitre Corporation, The System for controlling access and distribution of digital property
US6526512B1 (en) * 1996-05-20 2003-02-25 Ncr Corporation Access key codes for computer resources
JPH10232878A (ja) * 1997-02-19 1998-09-02 Hitachi Ltd ドキュメント管理方法および装置
US6105131A (en) * 1997-06-13 2000-08-15 International Business Machines Corporation Secure server and method of operation for a distributed information system
US6292904B1 (en) * 1998-12-16 2001-09-18 International Business Machines Corporation Client account generation and authentication system for a network server
CA2256934C (en) * 1998-12-23 2002-04-02 Hamid Bacha System for electronic repository of data enforcing access control on data retrieval

Also Published As

Publication number Publication date
KR20000047643A (ko) 2000-07-25
CA2256936A1 (en) 2000-06-23
US6950943B1 (en) 2005-09-27
DE19960978B4 (de) 2006-11-09
JP2000227870A (ja) 2000-08-15
DE19960978A1 (de) 2000-08-03
CA2256936C (en) 2002-04-02

Similar Documents

Publication Publication Date Title
JP3640339B2 (ja) 電子データ・ファイルを検索するシステムおよびその維持方法
JP3640338B2 (ja) 安全な電子データ格納、取出しシステムおよび方法
US11803654B2 (en) Integration of a block chain, managing group authority and access in an enterprise environment
CN111213147B (zh) 用于基于区块链的交叉实体认证的系统和方法
CN111316303B (zh) 用于基于区块链的交叉实体认证的系统和方法
CN111800268A (zh) 用于区块链背书的零知识证明
US11831776B2 (en) System for improving data security
US8887298B2 (en) Updating and validating documents secured cryptographically
US20220141014A1 (en) Storing secret data on a blockchain
US11657181B2 (en) System for improving data security through key management
US11803622B2 (en) System for improving data security when redeeming data
CN111859411B (zh) 用于区块链网络中的区块链的方法和系统
Li Secured cloud storage scheme based on blockchain
Duarte et al. Secure and trustworthy file sharing over cloud storage using eID tokens
Gawande et al. A Survey of Various Security Management Models for Cloud Computing Storage Systems

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20031203

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20031212

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20031212

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20040226

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20040302

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040601

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20041221

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20041221

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050114

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080128

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090128

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees