JP4465952B2 - Document management system and method - Google Patents

Document management system and method Download PDF

Info

Publication number
JP4465952B2
JP4465952B2 JP2002313546A JP2002313546A JP4465952B2 JP 4465952 B2 JP4465952 B2 JP 4465952B2 JP 2002313546 A JP2002313546 A JP 2002313546A JP 2002313546 A JP2002313546 A JP 2002313546A JP 4465952 B2 JP4465952 B2 JP 4465952B2
Authority
JP
Japan
Prior art keywords
document
confidential
confidentiality
policy
browsing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002313546A
Other languages
Japanese (ja)
Other versions
JP2004151163A (en
JP2004151163A5 (en
Inventor
博行 江口
幸雄 山川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2002313546A priority Critical patent/JP4465952B2/en
Publication of JP2004151163A publication Critical patent/JP2004151163A/en
Publication of JP2004151163A5 publication Critical patent/JP2004151163A5/ja
Application granted granted Critical
Publication of JP4465952B2 publication Critical patent/JP4465952B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
この発明は、文書管理システムおよび方法に関し、特に、機密保持を要する文書を管理する文書管理システムおよび方法に関する。
【0002】
【従来の技術】
近年、コンピュータ技術の発達に伴って、様々な文書が電子化されている。また、最近では、ネットワーク技術の発達に伴い、電子化された文書の交換や配布を容易に行うことができるようになっている。特に、インターネットが広く利用されるようになったことで、文書の交換や配布が広範囲に行うことができるようになっている。
【0003】
しかしながら、電子化された文書の流通量が増大するに従って、これらの文書から情報が漏洩する機会も増加しており、企業等においては、情報漏洩を防止することが新たな課題になりつつある。
【0004】
文書からの情報漏洩は、サーバ等へ蓄積された文書の不正取得、文書の配布時等における伝送過程での盗聴、正当な文書取得権者の過失若しくは意図的なもの等、様々な状況で発生し得る。このため、様々な状況における情報漏洩を防止するための技術が提案されている。
【0005】
このような技術としては、文書に対してその機密度等に応じて設定されたレベルの暗号化を施して、当該文書を保存、伝送するものがある(例えば、特許文献1参照)。
【0006】
また、配信する文書のアクセス権限や使用権限のコントロールをポリシーとして設定し、ポリシーサーバに登録するものがある。アクセス権限は、ユーザまたはグループ単位、時間単位、ネットワーク(ドメイン)単位で設定され、使用権限としては、印刷・転記の可/不可が設定可能となっている。また、文書配信後の権限の剥奪・変更もポリシーサーバ側で容易に行うことができる。
【0007】
【特許文献1】
特開平7−295892号公報
【0008】
【発明が解決しようとする課題】
上述のように、従来の技術では、文書の機密保護に際して文書に対して暗号化処理を施すものが多い。文書の暗号化処理では、暗号化と復号化の両者に共通の鍵を用いるものや、暗号化と復号化に異なる鍵を用いるもの等、様々な方式があるが、いずれの場合でも、鍵の管理が重要な課題となる。
【0009】
例えば、鍵をネットワークを介して伝送する場合には、その伝送時に鍵が不正取得されることが考えられる。また、鍵をサーバ等で管理する場合には、鍵の消失を防止するための仕組みやサーバへの攻撃に対処するための仕組み等を考慮する必要がある。
【0010】
また、文書の暗号化に際しては、当該文書を閲覧可能な権限者を設定する必要がある場合やその権限者の数に応じた暗号化処理を施す必要がある場合等もあり、暗号化処理自体に多大な手間を要することもある。
【0011】
そこで、この発明は、文書をその機密度に応じて容易に、かつ、適切に管理することができる文書管理システムおよび方法を提供することを目的とする。
【0012】
【課題を解決するための手段】
上述した目的を達成するため、請求項1の発明は、機密の保持を要する文書を管理する文書管理システムであって、文書に対する閲覧許可者を指定する情報と該閲覧許可者の正当性を証明するとともに閲覧許可者に固有の公開暗号鍵が含まれる証明書とを有する機密方針を管理し、機密方針に基づいて機密化された文書の閲覧の許可と不許可とを制御する管理装置と、前記管理装置が管理する機密方針から機密方針を取得するとともに、共通暗号鍵を生成し該生成した共通暗号鍵で機密化対象の文書を暗号化し、該共通暗号鍵を該取得した機密方針の証明書に含まれる公開暗号鍵で暗号化し、該暗号化した共通暗号鍵を該暗号化した文書に添付する暗号化処理を含む文書の機密化処理を実行する機密化装置と、前記公開暗号鍵に対応する秘密暗号鍵を有し、かつ、前記管理装置により機密化された文書の閲覧が許可されたことを条件に、該機密化された文書を復号化して表示する閲覧装置とを具備することを特徴とする。
【0013】
また、請求項2の発明は、請求項1の発明において、前記機密方針は、機密化対象の文書に貼り付けるイメージ情報を含み、前記機密化処理は、前記機密方針に基づくイメージを機密化対象の文書に貼り付ける処理を含むことを特徴とする。
【0014】
また、請求項3の発明は、請求項1の発明において、前記管理装置は、前記閲覧装置に対して所定期間内での機密化された文書の閲覧を許可し、前記閲覧装置は、前記所定期間内であることを条件に、前記管理装置から再度の許可を得ることなく該機密化された文書を復号化して表示することを特徴とする。
【0015】
また、請求項4の発明は、請求項1の発明において、前記機密方針は、機密化された文書の閲覧期限を含み、前記管理装置は、前記閲覧期限に基づいて前記閲覧装置による機密化された文書の閲覧を制御することを特徴とする。
【0016】
また、請求項5の発明は、請求項1の発明において、前記機密方針は、機密化された文書の印刷可否情報を含み、前記管理装置は、前記印刷か否情報に基づいて前記閲覧装置による機密化された文書の印刷処理を制御することを特徴とする。
【0017】
また、請求項6の発明は、機密の保持を要する文書を管理する文書管理方法であって、管理装置が、文書に対する閲覧許可者の指定と該閲覧許可者の正当性を証明するとともに閲覧許可者に固有の公開暗号鍵を含む証明書とを含む機密方針を記憶手段に記憶して管理し、機密化装置が、通信手段を介して前記管理装置が管理する機密方針を取得し、演算手段による共通暗号鍵を用いた演算処理で機密化対象の文書を暗号化するとともに、該共通暗号鍵を該取得した機密方針の証明書に含まれる公開暗号鍵を用いた演算処理で暗号化し、該暗号化した共通暗号鍵を該暗号化した文書に添付する暗号化処理を含む文書の機密化処理を実行し、閲覧装置が、前記公開暗号鍵に対応する秘密暗号鍵を記憶手段に記憶し、かつ、通信手段を介して前記管理装置から機密化された文書の閲覧を許可する情報を取得したことを条件に、該機密化された文書を復号化して表示することを特徴とする。
【0018】
また、請求項7の発明は、請求項6の発明において、前記機密方針は、機密化された文書の閲覧期限を含み、該閲覧期限に基づいて機密化された文書の閲覧を制御することを特徴とする。
【0019】
また、請求項8の発明は、請求項6の発明において、前記機密方針は、機密化された文書の印刷可否情報を含み、該印刷か否情報に基づいて機密化された文書の印刷処理を制御することを特徴とする。
【0043】
【発明の実施の形態】
以下、この発明に係る文書管理システムおよび方法の一実施の形態について、添付図面を参照して詳細に説明する。
【0044】
図1は、この発明に係る文書管理システムの基本的な構成例を示すブロック図である。同図に示すように、文書管理システムは、文書の管理に際して利用される様々な情報を管理する管理サーバ1と、当該文書管理システムの管理者が利用するクライアント2、文書の作成者が利用するクライアント3(3−1〜3−n)と、文書の閲覧者が利用するクライアント4(4−1〜4−m)がネットワーク5を介して接続されて構成される。
【0045】
図2は、図1に示した文書管理システムを実際に利用する際の構成例を示すブロック図である。同図に示すように、文書管理システムは、文書の管理に際して利用される様々な情報を管理する管理サーバ1と、当該文書管理システムの管理者が利用するクライアント2、文書の作成者が利用するクライアント3、文書の閲覧者が利用するクライアント4がインターネット6を介して接続されて構成される。なお、同図に示した構成では、説明の簡略化のため、クライアント3とクライアント4の数を1としているが、クライアント3とクライアント4は、それぞれ複数のものを利用可能である。また、管理者が利用するクライアント2の数も必ずしも1である必要はない。
【0046】
この構成において、管理サーバ1は、当該文書管理システムにおける機密ポリシーの管理を行うとともに、各ユーザの認証や、文書の属性、履歴、ログ等の管理を行う。
【0047】
クライアント2は、当該文書管理システムの管理者により操作され、管理者により、管理サーバ1が管理している機密ポリシーの設定や変更、ログの閲覧等が行われる。このクライアント2では、これらの処理を行うための専用のソフトウェアを動作させてもよいが、汎用のウェブブラウザによりこれらの処理を行うようにしてもよい。なお、クライアント2で汎用のウェブブラウザを利用する場合には、管理サーバ1でウェブサーバを動作させることとなる。
【0048】
クライアント3は、文書の作成者により操作され、作成した文書を機密文書化するための暗号化処理等を行う。暗号化処理に際しては、管理サーバ1が管理している機密ポリシーを利用する。
【0049】
クライアント4は、文書の閲覧者により操作され、機密化された文書の閲覧等を行うための復号化処理等を行う。
【0050】
なお、クライアント3とクライアント4は、以下に説明する両者の機能を兼ね備えたものとすることもできる。
【0051】
次に、図2に示した文書管理システムを構成する各部の詳細について説明するが、最初に、管理サーバ1の詳細について説明する。
【0052】
管理サーバ1は、機密ポリシーの管理を行うとともに、各ユーザの認証処理、文書属性の管理、文書属性に基づく文書の閲覧等の可否制御、文書に対する処理の履歴の管理、ログ情報の管理等を行う。
【0053】
機密ポリシーは、クライアント2を操作する管理者により設定されるもので、文書を機密化する際の閲覧許可者や文書への貼付イメージ、印刷可否、閲覧期限等の設定を有するものである。
【0054】
図3および図4は、機密ポリシーの構成例を示した図である。管理サーバ1へは、複数の機密ポリシーが設定可能であり、例えば、図3に示す機密ポリシー10A、図4(a)に示す機密ポリシー10B、図4(b)に示す機密ポリシー10Cが設定される。これらの機密ポリシー10A等には、任意の名前を付すことが可能である(図中では、それぞれ機密ポリシーA、機密ポリシーB、機密ポリシーCとしている)。
【0055】
機密ポリシーは、階層構造を有しており、閲覧許可者や文書への貼付イメージ、印刷可否、閲覧期限等が設定されている。例えば、機密ポリシー10Aには、閲覧許可者としてロール11Aとロール11Bが設定されている。ロールは、閲覧許可者のグループであり、ロール11Aには、閲覧許可者12Aが含まれている。また、ロール11Bには、さらにロール11Cが含まれており、これとともに閲覧許可者12B、閲覧許可者12Cが含まれている。ロール11Cには、閲覧許可者12Dと閲覧許可者12Eが含まれている。なお、ロール11A等には、任意の名前を付すことが可能である(図中では、ロールA等としている)。また、閲覧許可者12A等では、図中で閲覧許可者A等と表記しているが、実際には、閲覧許可者の氏名やユーザ名等の閲覧許可者を特定することのできる情報が設定されている。
【0056】
また、閲覧許可者12A等は、該当する閲覧許可者のデジタル証明書若しくは当該デジタル証明書を取得するための情報を含んでいる。つまり、機密ポリシーに閲覧許可者のデジタル証明書を含むように構成してもよく、デジタル証明書自体を含ませずに、これを取得するための情報を含むように構成してもよい。このデジタル証明書は、管理サーバ1で発行したものでもよく、他の認証機関が発行したものでもよく、情報に基づいてデジタル証明書の取得を行わせる場合には、その取得先は、管理サーバ1若しくは他の認証機関となる。
【0057】
また、機密ポリシー10Aには、文書への貼付イメージとして貼付イメージ13Aと貼付イメージ13Bが設定され、印刷可否制御情報として印刷可否設定14A、文書の閲覧期限情報として閲覧期限情報15Aが設定されている。貼付イメージ13Aや貼付イメージ13Bは、文書に貼り付けるイメージ自体若しくは、文書に貼り付けるイメージを生成するための情報が設定されている。文書に貼り付けるイメージとは、例えば、図5(a)に示す文書の所定の領域18に貼り付けを行うもので、図5(b)に示すような情報を含むものや図5(c)に示すシンボルのようなものがある。印刷可否設定14Aは、文書の印刷を許可するか否かの情報が設定されている。閲覧期限情報15Aは、文書の閲覧が許可される期限が設定されている。この期限は、機密ポリシー10Aで設定される全ての閲覧許可者に共通のものであってもよく、閲覧許可者毎に異なるものであってもよい。
【0058】
同様に、機密ポリシー10Bには、閲覧許可者12Dと閲覧許可者12Eを含むロール11Cが設定されるとともに、貼付イメージ13B、閲覧期限15Bが設定され、機密ポリシー10Cには、閲覧許可者12Aを含むロール11Aが設定されている。この機密ポリシー10B、機密ポリシー10Cの構成から明かなように、貼付イメージの設定や閲覧期限の設定は、任意である。
【0059】
また、管理サーバ1における各ユーザの認証処理は、デジタル証明書を利用して行う。デジタル証明書は、管理サーバ1で発行したものでもよく、他の認証機関が発行したものでもよい。このデジタル証明書は、クライアント2、クライアント3、クライアント4に設定されており、これらから管理サーバ1へアクセスが行われた際に、デジタル証明書の提示を受けてユーザ認証を行う。
【0060】
文書属性の管理は、クライアント3で文書が機密化された際に、クライアント3から当該文書を識別する識別情報とともに、当該文書の属性を受け取り、これを管理する。ここで管理する属性は、当該文書の閲覧期限や印刷可否の情報等である。
【0061】
文書の閲覧等の制御は、文書の閲覧者がクライアント4で文書を閲覧しようとする際に、クライアント4から文書の識別情報を受け取り、この識別情報と管理している文書属性に基づいて、閲覧の可否や印刷の可否をクライアント4に通知する。
【0062】
文書に対する処理の履歴の管理は、クライアント4で文書が閲覧されたり、印刷された際に、その処理情報を受け取り、これを蓄積して管理する。そして、文書の作成者等からの問合せがあった際に、この履歴を提示する。
【0063】
ログ情報の管理は、上述した各処理が行われる毎に発生するログ情報を蓄積して管理し、管理者等にからの問合せがあった際に、これを提示する。
【0064】
次に、クライアント3の詳細について説明する。クライアント3は、文書の作成者により操作されるもので、文書の機密化を行う。この文書の機密化処理は、専用のソフトウェアをクライアント3で動作させることで行ってもよく、ワードプロセッサ等の汎用の文書処理ソフトウェアのプラグインとして提供されるソフトウェアをクライアント3で動作させることで行ってもよい。
【0065】
ここで、クライアント3による文書の機密化処理について説明するが、まず、作成者によるクライアント3の操作の流れを説明する。図6は、作成者によるクライアント3の操作の流れを示すフローチャートである。
【0066】
まず、作成者は、文書の作成または編集を行う(ステップ101)。文書の作成または編集が終了すると、作成者は、メニュー等から当該文書の機密化を指示する(ステップ102)。これにより、クライアント3は、管理サーバ1へのアクセスを行うが、この際にデジタル証明書の提示が必要であるため、クライアント3に複数のデジタル証明書が設定されている場合には、該当するデジタル証明書を選択する(ステップ103)。そして、クライアント3は、管理サーバ1から機密ポリシーの一覧を取得し、これを作成者に提示する。これに応じて、作成者は、所望の機密ポリシーを選択する(ステップ104)。作成者が機密ポリシーを選択すると、クライアント3は、選択された機密ポリシーに従って文書の機密化を行う。その後、作成者は、機密化された文書を電子メール等を利用して配布し(ステップ105)、操作を終了する。
【0067】
ところで、作成者は、機密ポリシーを選択する際に、一覧表示のみでその内容を判別できない場合には、機密ポリシーの詳細を確認することとなる。その際に、機密ポリシーの詳細は、様々な形式で表示することができる。表示形式の1つとしては、機密ポリシーの階層構造をそのまま表示する方法である。この場合、例えば、図3に示した機密ポリシー10Aを表示する場合には、まず、図7(a)に示すように、最初の階層が表示される。ここで、作成者がロールBを選択すると、その表示は、図7(b)に示すように、次の階層が表示される。また、別の表示方法としては、ロールの表示を行わずに、各閲覧許可者を並列に列挙して表示する方法がある。この場合、機密ポリシー10Aを表示すると、図7(c)に示すような表示となる。また、閲覧期限や印刷可否を閲覧許可者別に設定している場合には、図7(d)に示すような表示となる。
【0068】
次に、クライアント3による文書の機密化の処理の流れを説明する。図8は、クライアント3による文書の機密化処理の流れを示すフローチャートである。
【0069】
クライアント3は、作成者による文書の機密化処理の指示操作を受け付けると、管理サーバ1へのアクセスを行い、認証処理を行う(ステップ151)、この認証処理に際しては、該当するデジタル証明書を管理サーバ1に提示する。認証に成功すると、クライアント3は、管理サーバ1から機密ポリシーの一覧を取得し、これを表示する(ステップ152)。
【0070】
その後、作成者により、機密ポリシーが選択されると、選択された機密ポリシーを管理サーバ1から取得する(ステップ153)。このとき、クライアント3は、機密ポリシーに含まれる閲覧許可者のデジタル証明書若しくは機密ポリシーから特定されるデジタル証明書も併せて管理サーバ1等から取得する。そして、取得した機密ポリシーに基づいて貼付イメージを文書に貼り付け(ステップ154)、印刷可否の設定等の属性を文書に設定する(ステップ155)。ただし、ステップ154およびステップ155の処理は、必ずしも実行されるわけではない(例えば、機密ポリシーに貼付イメージが含まれていない場合等)。
【0071】
次に、クライアント3は、文書を暗号化するための共通鍵を生成する(ステップ156)。この共通鍵は、クライアント3が任意に生成するものである。ただし、共通鍵は、必ずしもこのタイミングで生成する必要はなく、予め生成したものを保持しておき、これを取得するようにしてもよい。そして、生成した若しくは取得した共通鍵で文書を暗号化する(ステップ157)。
【0072】
続いて、クライアント3は、文書を暗号化した共通鍵を先に取得した閲覧許可者のデジタル証明書に含まれる公開鍵を用いて暗号化する(ステップ158)。この共通鍵の暗号化は、閲覧許可者の数に応じて各公開鍵を利用して実行される。そして、暗号化した共通鍵(複数の場合あり)と暗号化した文書を合成する(ステップ159)。その後、当該文書を識別する識別情報等の文書情報を管理サーバ1に送出し(ステップ160)。文書の機密化処理を終了する。
【0073】
ここで、クライアント3が実行する文書の機密化処理について、詳細に説明する。図9は、文書の機密化処理の流れを説明するための図である。
【0074】
クライアント3による文書の機密化処理では、まず、機密化しようとする文書30に暗号化処理を施すための共通鍵31を生成若しくは予め生成して保持しておいたものを取得し、この共通鍵31で文書30を暗号化し、暗号化文書32を得る。次に、管理サーバ1等から取得したデジタル証明書33(33A、33B、33C)のそれぞれに付されている公開鍵34(34A、34B、34C)を用いて、共通鍵31を暗号化する。この公開鍵34は、それぞれデジタル証明書33により証明される閲覧許可者に固有のものである。次に、クライアント3は、公開鍵34で共通鍵31を暗号化して得られる暗号化共通鍵35(35A、35B、35C)と先に暗号化された暗号化文書32とを合成し、機密文書36を得て、文書の機密化処理を終了する。
【0075】
この機密文書36は、上述したように暗号化文書32と暗号化共通鍵35により構成されるが、この機密文書36から元の文書30を得るためには、暗号化共通鍵35を復号化するための秘密鍵が必要であり、この秘密鍵は、それぞれの閲覧許可者のみが有しているものである。そして、秘密鍵により暗号化共通鍵35を復号化して共通鍵31を取得することができれば、暗号化文書32を復号化することができ、元の文書30を得ることができる。なお、機密文書36の閲覧(復号化処理を含む)についての詳細は、後述する。
【0076】
このような機密化処理を文書に施すことにより、同一の機密文書を複数の閲覧許可者に配布することが可能となる。これに対して、例えば、文書をそれぞれの閲覧許可者に対応する公開鍵で暗号化した場合には、閲覧許可者の数に応じた暗号化文書が生成されることとなり、その後の管理等が複雑となる。
【0077】
次に、クライアント4の詳細について説明する。クライアント4は、文書の閲覧者により操作されるもので、文書の機密化の解除等を行う。この文書の機密化解除の処理は、専用のソフトウェアをクライアント4で動作させることで行ってもよく、ワードプロセッサ等の汎用の文書処理ソフトウェアのプラグインとして提供されるソフトウェアをクライアント4で動作させることで行ってもよい。
【0078】
ここで、クライアント4による文書の機密化解除処理について説明するが、まず、閲覧者によるクライアント4の操作の流れを説明する。図10は、閲覧者によるクライアント4の操作の流れを示すフローチャートである。
【0079】
まず、閲覧者は、閲覧する文書を選択する(ステップ201)。選択した文書が機密文書であれば、クライアント4は、管理サーバ1へのアクセスを行うが、この際にデジタル証明書の提示が必要であるため、クライアント4に複数のデジタル証明書が設定されている場合には、該当するデジタル証明書を選択する(ステップ202)。そして、クライアント4は、管理サーバ1から閲覧許可通知を受けると、文書の機密化を解除して表示し、閲覧者が当該文書を閲覧して(ステップ203)、操作を終了する。このとき、クライアント4は、機密化を解除した文書をメモリ上に展開するが、ディスク等への記憶は行わない。そして、機密化を解除した状態での文書保存を禁止する。
【0080】
次に、クライアント4による文書の機密化解除の処理の流れを説明する。図11は、クライアント4による文書の機密化解除処理の流れを示すフローチャートである。
【0081】
クライアント4は、閲覧者による文書の閲覧指示操作を受け付けると、管理サーバ1へのアクセスを行い、認証処理を行う(ステップ251)、この認証処理に際しては、該当するデジタル証明書を管理サーバ1に提示する。認証に成功すると、クライアント4は、管理サーバ1に文書の識別情報を送信し、当該文書の閲覧が許可されていることを確認する(ステップ252)。この確認の結果、閲覧が許可されていなければ、直ちに処理を終了する。なお、閲覧が許可されている場合には、印刷可否の情報も併せて取得する。
【0082】
確認の結果、当該文書の閲覧が許可されていれば、機密文書から暗号化共通鍵を抽出し(ステップ253)、抽出した暗号化共通鍵を秘密鍵によって復号化する(ステップ254)。そして、復号化した共通鍵で暗号化文書を復号化し、復号化した文書を表示して閲覧者に閲覧させる(ステップ255)。そして、文書の機密化を解除した旨を通知する処理情報を管理サーバ1に送出する(ステップ256)。この後、閲覧者が当該文書の印刷を行わない場合には、クライアント4は、文書の機密化解除処理を終了する。
【0083】
また、閲覧者が当該文書の印刷を指示した場合には、クライアント4は、印刷が許可されていることを条件に印刷処理を実行し(ステップ257)、文書の印刷を行った旨を通知する処理情報を管理サーバ1に送出し(ステップ258)、文書の機密化解除処理を終了する。
【0084】
ここで、クライアント4が実行する文書の機密化解除処理について、詳細に説明する。図12は、文書の機密化解除処理の流れを説明するための図である。
【0085】
クライアント4による文書の機密化解除処理では、まず、クライアント4が有する閲覧者自身の秘密鍵を用いて、機密文書36に含まれている暗号化共通鍵35のうち、対応するもの、例えば、暗号化共通鍵35Bを復号化し、共通鍵31を得る。そして、この共通鍵31を用いて暗号化文書32を復号化して、元の文書30を得る。このとき、クライアント4は、文書30をメモリ上に展開するのみで、ディスク等への記憶は行わず、文書30としての保存は行わない。もちろん、ディスク等には、機密文書36が保存されているため、必要に応じて再度機密文書36の機密化を解除して閲覧を行うことができる。ただし、機密文書36の機密化を解除できるのは、閲覧が許可されている期間内である。
【0086】
次に、上述した文書の機密化処理および機密化解除処理において、管理サーバ1とクライアント3、クライアント4の間で授受される情報について説明する。図13は、管理サーバ1、クライアント3、クライアント4の間で授受される情報の流れを示した図である。
【0087】
文書の機密化が行われる際には、まず、クライアント3から管理サーバ1に認証情報としてデジタル証明書が提示される(ステップ301)。管理サーバ1がこの認証情報に基づいてクライアント3の認証を行い、認証に成功すると、その旨の応答がクライアント3に返される。
【0088】
続いて、クライアント3は、管理サーバ1に設定されている機密ポリシーの一覧情報の取得を要求し(ステップ302)、これに応じて、管理サーバ1が機密ポリシーの一覧情報をクライアント3に送信する(ステップ303)。
【0089】
次に、クライアント3が作成者により選択された機密ポリシーの取得要求を管理サーバ1に送信し(ステップ304)、これに応じて管理サーバ1が選択された機密ポリシーをクライアント3に送信する(ステップ305)。
【0090】
この後、クライアント3で文書の機密化が実行されると、その文書の識別情報等を含む文書情報がクライアント3から管理サーバ1に送信され(ステップ306)、機密化された文書がクライアント3からクライアント4に送信される(ステップ307)。
【0091】
その後、クライアント4により文書の機密化解除処理が行われる際に、クライアント4から管理サーバ1に認証情報としてデジタル証明書が提示される(ステップ308)。管理サーバ1がこの認証情報に基づいてクライアント4の認証を行い、認証に成功すると、その旨の応答がクライアント4に返される。
【0092】
続いて、クライアント4は、機密化を解除しようとする文書の識別情報等を含む文書情報を管理サーバ1に送信する(ステップ309)。管理サーバ1は、受信した文書情報に基づいて、当該文書の閲覧の可否を確認し、閲覧が可能であれば、閲覧を許可する許可情報をクライアント4に送信する(ステップ310)。そして、文書の閲覧が許可されたクライアント4が当該文書の機密化を解除すると、その旨を示す処理情報がクライアント4から管理サーバ1に送信される。
【0093】
ところで、クライアント4では、管理サーバ1に接続できない状態、つまり、オフラインの状態で機密化された文書の閲覧を行いたい場合が生じることが考えられる。このような要望に対処する方法としては、管理サーバ1からクライアント4に通知される閲覧許可に一定の有効期間を設けるようにすることで、クライアント4は、一度閲覧の許可を受ければ、一定の期間、オフラインで機密文書を閲覧することが可能となる。この場合のクライアント4の処理について説明する。
【0094】
図14は、オフライン状態でのクライアント4による文書の機密化解除処理の流れを示すフローチャートである。
【0095】
クライアント4は、閲覧者による文書の閲覧指示操作を受け付けると、管理サーバ1へのアクセスの可否を確認する。管理サーバ1へのアクセスが可能であるならば(ステップ401でYES)、上述した処理を行い、文書の機密化を解除する。
【0096】
一方、クライアント4からの管理サーバ1へのアクセスが不可能である場合には(ステップ401でNO)、クライアント4は、先に文書の機密化を解除した際の閲覧許可情報を確認する(ステップ402)。確認の結果、現時点での閲覧が許可されている、つまり、先に受けた閲覧許可が有効期間内であるならば(ステップ403でYES)、機密文書から暗号化共通鍵を抽出し(ステップ405)、抽出した暗号化共通鍵を秘密鍵によって復号化する(ステップ406)。そして、復号化した共通鍵で暗号化文書を復号化し、復号化した文書を表示して閲覧者に閲覧させる(ステップ407)。そして、文書の機密化を解除した旨を通知する処理情報を蓄積し(ステップ408)、文書の機密化解除処理を終了する。蓄積した処理情報は、後に管理サーバ1へのアクセスが可能となった際に、管理サーバ1へ送信される。また、先に受けた閲覧許可が無効となっている場合には(ステップ404でNO)、当然のことながら文書の閲覧は許可されないため、クライアント4は、直ちに処理を終了する。
【0097】
このように、クライアント4において、管理サーバ1とオフラインの状態で文書の機密化を解除する場合であっても、機密化の解除は閲覧が許可されている閲覧者の秘密鍵を必要とするため、第三者による機密化の解除は不可能である。逆に言えば、クライアント4が管理サーバ1とオンラインの状態での処理は、セキュリティが二重になっているものであると言える。
【0098】
【発明の効果】
以上説明したように、この発明によれば、文書の閲覧許可者の指定を含む機密ポリシーを管理サーバで管理し、機密文書を作成する作成側のクライアントが管理サーバから機密ポリシーを取得し、取得した機密ポリシーに基づいて文書の暗号化やイメージの貼付等を含む機密文書化処理を実行し、機密化された文書に関する情報を管理サーバで管理して、管理サーバが閲覧の可否や印刷の可否を制御するように構成したので、機密文書の作成者は、管理サーバで管理されている機密ポリシーから所望の機密ポリシーを選択するだけの操作で、文書を機密化することが可能となる。
【図面の簡単な説明】
【図1】この発明に係る文書管理システムの基本的な構成例を示すブロック図である。
【図2】図1に示した文書管理システムを実際に利用する際の構成例を示すブロック図である。
【図3】機密ポリシーの構成例を示した図(1)である。
【図4】機密ポリシーの構成例を示した図(2)である。
【図5】貼付イメージを説明するための図である。
【図6】作成者によるクライアント3の操作の流れを示すフローチャートである。
【図7】作成者への機密ポリシーの表示例を示した図である。
【図8】クライアント3による文書の機密化処理の流れを示すフローチャートである。
【図9】文書の機密化処理の流れを説明するための図である。
【図10】閲覧者によるクライアント4の操作の流れを示すフローチャートである。
【図11】クライアント4による文書の機密化解除処理の流れを示すフローチャートである。
【図12】文書の機密化解除処理の流れを説明するための図である。
【図13】管理サーバ1、クライアント3、クライアント4の間で授受される情報の流れを示した図である。
【図14】オフライン状態でのクライアント4による文書の機密化解除処理の流れを示すフローチャートである。
【符号の説明】
1 管理サーバ
2 クライアント
3、3−1〜3−n クライアント
4、4−1〜4−m クライアント
5 ネットワーク
6 インターネット
10A、10B、10C 機密ポリシー
11A、11B、11C ロール
12A、12B、12C、12D、12E 閲覧許可者
13A、13B 貼付イメージ
14A 印刷可否設定
15A、15B 閲覧期限情報
18 領域
30 文書
31 共通鍵
32 暗号化文書
33A、33B、33C デジタル証明書
34A、34B、34C 公開鍵
35A、35B、35C 暗号化共通鍵
36 機密文書
37 秘密鍵[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a document management system and method To the law In particular, a document management system and method for managing confidential documents To the law Related.
[0002]
[Prior art]
In recent years, with the development of computer technology, various documents have been digitized. Recently, with the development of network technology, it has become possible to easily exchange and distribute digitized documents. In particular, since the Internet has become widely used, documents can be exchanged and distributed over a wide range.
[0003]
However, as the distribution amount of digitized documents increases, the opportunity for information leakage from these documents has also increased, and prevention of information leakage is becoming a new issue in companies and the like.
[0004]
Information leakage from documents occurs in various situations, such as unauthorized acquisition of documents stored on servers, eavesdropping during transmission during document distribution, negligence or intention of the right document acquisition rights Can do. For this reason, techniques for preventing information leakage in various situations have been proposed.
[0005]
As such a technique, there is a technique in which a document is stored and transmitted by performing encryption at a level set according to the confidentiality of the document (for example, see Patent Document 1).
[0006]
In addition, there is a method in which access authority and usage authority control of a document to be distributed is set as a policy and registered in a policy server. The access authority is set for each user or group, for each time, and for each network (domain). For the use authority, it is possible to set whether printing / posting is possible. In addition, the policy server can easily remove or change authority after document distribution.
[0007]
[Patent Document 1]
JP-A-7-295589
[0008]
[Problems to be solved by the invention]
As described above, many conventional techniques perform encryption processing on a document when protecting the document. There are various methods for encrypting documents, such as using a common key for both encryption and decryption, and using different keys for encryption and decryption. Management is an important issue.
[0009]
For example, when transmitting a key via a network, it is conceivable that the key is illegally acquired during the transmission. In addition, when the key is managed by a server or the like, it is necessary to consider a mechanism for preventing the loss of the key, a mechanism for dealing with an attack on the server, or the like.
[0010]
In addition, when encrypting a document, it may be necessary to set an authorized person who can view the document, or it may be necessary to perform an encryption process according to the number of authorized persons. It may take a lot of time and effort.
[0011]
Therefore, the present invention provides a document management system and method capable of easily and appropriately managing documents according to their sensitivity. The law The purpose is to provide.
[0012]
[Means for Solving the Problems]
In order to achieve the above-described object, the invention of claim 1 is a document management system for managing a document that needs to maintain confidentiality, and includes information for designating a person who is permitted to view the document. , Prove the legitimacy of the authorized person A public encryption key that is unique to the viewer is also included Manage confidentiality policy with certificates And control permission and disapproval of confidential documents based on confidentiality policy Obtaining a confidentiality policy from the management device and the confidentiality policy managed by the management device And generating a common encryption key, encrypting the document to be confidentialized with the generated common encryption key, encrypting the common encryption key with the public encryption key included in the certificate of the acquired confidentiality policy, and Attach the encrypted common encryption key to the encrypted document A security device for performing security processing of a document including encryption processing; and Viewing the decrypted confidential document on the condition that it has a private encryption key corresponding to the public encryption key and is permitted to view the confidential document by the management device Equipment and It is characterized by comprising.
[0013]
The invention of claim 2 is the invention of claim 1, The confidentiality policy includes image information to be pasted on a confidentiality target document, and the confidentiality processing includes processing to paste an image based on the confidentiality policy on the confidentiality target document. It is characterized by that.
[0014]
The invention of claim 3 In the invention of claim 1, the management device permits the browsing device to browse a confidential document within a predetermined period, and the browsing device is within the predetermined period. Decrypt and display the confidential document without obtaining permission again from the management device It is characterized by that.
[0015]
The invention of claim 4 2. The security policy according to claim 1, wherein the confidentiality policy includes a period for browsing confidential documents, and the management apparatus controls browsing of the confidential documents by the browsing apparatus based on the browsing period. It is characterized by that.
[0016]
The invention of claim 5 In the invention of claim 1, the confidentiality policy includes confidentiality document printability information, and the management device performs confidentialized document printing processing by the browsing device based on the printability information. Control It is characterized by that.
[0017]
The invention of claim 6 A document management method for managing a document that requires confidentiality, wherein the management device certifies the authorized person of browsing and the legitimacy of the permitted person of browsing, and includes a public encryption key unique to the permitted person of browsing. A confidential policy including a certificate is stored and managed in the storage means, and the confidentiality device acquires the confidential policy managed by the management device via the communication means, and the arithmetic processing using the common encryption key by the arithmetic means The document to be confidentialized is encrypted with the encryption method, and the common encryption key is encrypted by a calculation process using a public encryption key included in the acquired certificate of the confidential policy, and the encrypted common encryption key is encrypted. The confidential processing of the document including the encryption processing to be attached to the converted document is executed, the browsing device stores the secret encryption key corresponding to the public encryption key in the storage means, and the management via the communication means Confidential statement from device View on the condition that obtains information that allows the displays to decode the secret of document It is characterized by that.
[0018]
The invention of claim 7 In the invention of claim 6, the confidentiality policy includes a period for browsing confidential documents, and controls browsing of confidential documents based on the period for browsing. It is characterized by that.
[0019]
The invention of claim 8 In the invention of claim 6, the confidentiality policy includes information on whether or not to print a confidential document, and controls printing processing of the confidential document based on the information on whether or not to print. It is characterized by that.
[0043]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, the document management system and method according to the present invention Legal An embodiment will be described in detail with reference to the accompanying drawings.
[0044]
FIG. 1 is a block diagram showing a basic configuration example of a document management system according to the present invention. As shown in the figure, the document management system is used by a management server 1 for managing various information used for document management, a client 2 used by an administrator of the document management system, and a document creator. A client 3 (3-1 to 3-n) and a client 4 (4-1 to 4-m) used by a document viewer are connected via a network 5.
[0045]
FIG. 2 is a block diagram showing a configuration example when the document management system shown in FIG. 1 is actually used. As shown in the figure, the document management system is used by a management server 1 for managing various information used for document management, a client 2 used by an administrator of the document management system, and a document creator. A client 3 and a client 4 used by a document viewer are connected via the Internet 6. In the configuration shown in the figure, the number of clients 3 and 4 is set to 1 for simplification of explanation, but a plurality of clients 3 and 4 can be used. Further, the number of clients 2 used by the administrator is not necessarily one.
[0046]
In this configuration, the management server 1 manages confidential policies in the document management system, and also manages each user's authentication, document attributes, history, logs, and the like.
[0047]
The client 2 is operated by the administrator of the document management system, and the administrator sets or changes the confidential policy managed by the management server 1 and browses the log. In the client 2, dedicated software for performing these processes may be operated, but these processes may be performed by a general-purpose web browser. When a general-purpose web browser is used on the client 2, the management server 1 operates the web server.
[0048]
The client 3 is operated by a document creator, and performs encryption processing for converting the created document into a confidential document. In the encryption process, a confidential policy managed by the management server 1 is used.
[0049]
The client 4 is operated by a document viewer and performs a decryption process for browsing a confidential document.
[0050]
Note that the client 3 and the client 4 may have both functions described below.
[0051]
Next, details of each unit constituting the document management system shown in FIG. 2 will be described. First, details of the management server 1 will be described.
[0052]
The management server 1 manages confidential policies, and performs authentication processing for each user, management of document attributes, control of whether or not to view a document based on the document attributes, management of processing history for documents, management of log information, and the like. Do.
[0053]
The confidential policy is set by an administrator who operates the client 2, and has settings such as an authorized person to view the document, a pasted image on the document, whether or not to allow printing, and a viewing time limit.
[0054]
3 and 4 are diagrams showing an example of the configuration of the confidential policy. A plurality of confidential policies can be set in the management server 1. For example, a confidential policy 10A shown in FIG. 3, a confidential policy 10B shown in FIG. 4A, and a confidential policy 10C shown in FIG. 4B are set. The These confidential policies 10A and the like can be given arbitrary names (in the figure, they are classified as confidential policy A, confidential policy B, and confidential policy C, respectively).
[0055]
The confidential policy has a hierarchical structure, in which an authorized person for browsing, an image to be attached to a document, whether or not printing is possible, a viewing time limit, and the like are set. For example, in the confidential policy 10A, a role 11A and a role 11B are set as browsing authorized persons. The role is a group of authorized users, and the authorized person 12A is included in the role 11A. Further, the roll 11B further includes a roll 11C, and together with this, a viewing authorized person 12B and a viewing authorized person 12C are included. The role 11C includes a browsing permitted person 12D and a browsing permitted person 12E. Note that an arbitrary name can be assigned to the roll 11A or the like (in the figure, it is referred to as a roll A or the like). In addition, in the permitted viewing person 12A and the like, it is described as permitted viewing person A and the like in the figure, but actually, information that can identify the permitted viewing person such as the name and the user name of the permitted viewing person is set. Has been.
[0056]
In addition, the viewing-permitted person 12A or the like includes a digital certificate of the corresponding viewing-permitted person or information for obtaining the digital certificate. In other words, the confidential policy may be configured to include the digital certificate of the authorized person, or may be configured to include information for acquiring the digital certificate without including the digital certificate itself. This digital certificate may be issued by the management server 1 or may be issued by another certification authority. When the digital certificate is obtained based on the information, the acquisition destination is the management server. 1 or other certification body.
[0057]
Also, in the confidential policy 10A, a pasting image 13A and a pasting image 13B are set as pasting images to a document, a printing permission / non-permission setting 14A is set as printing permission / prohibition control information, and a browsing deadline information 15A is set as document browsing deadline information. . In the pasted image 13A and pasted image 13B, information for generating an image to be pasted on a document or an image to be pasted on a document is set. The image to be pasted on the document is, for example, pasted on a predetermined area 18 of the document shown in FIG. 5A, and includes information including information shown in FIG. 5B or FIG. There is something like the symbol shown in. In the print permission / inhibition setting 14A, information as to whether or not to permit document printing is set. In the browsing time limit information 15A, a time limit for permitting browsing of the document is set. This time limit may be common to all viewing permitters set in the confidential policy 10A, or may be different for each viewing permitting user.
[0058]
Similarly, the confidential policy 10B is set with a roll 11C including a browsing permitted person 12D and a browsing permitted person 12E, and a pasted image 13B and a browsing time limit 15B are set. The confidential policy 10C includes a browsing permitted person 12A. The roll 11A to be included is set. As is clear from the configuration of the confidential policy 10B and the confidential policy 10C, the setting of the pasted image and the setting of the viewing time limit are arbitrary.
[0059]
The authentication process for each user in the management server 1 is performed using a digital certificate. The digital certificate may be issued by the management server 1 or may be issued by another certification authority. This digital certificate is set in the client 2, the client 3, and the client 4. When the management server 1 is accessed from these, the digital certificate is presented and user authentication is performed.
[0060]
Document attributes are managed by receiving the attributes of the document together with identification information for identifying the document from the client 3 when the client 3 makes the document confidential. The attributes managed here are information such as the viewing time limit of the document and whether or not printing is possible.
[0061]
When a document viewer tries to browse a document with the client 4, the document browsing control receives document identification information from the client 4 and browses based on this identification information and managed document attributes. The client 4 is notified of whether or not printing is possible and whether or not printing is possible.
[0062]
The management of processing history for a document is performed by receiving processing information when the document is browsed or printed by the client 4 and storing and receiving the processing information. This history is presented when there is an inquiry from the document creator or the like.
[0063]
Log information management is performed by accumulating and managing log information generated each time the above-described processes are performed, and presenting this when there is an inquiry from an administrator or the like.
[0064]
Next, details of the client 3 will be described. The client 3 is operated by the document creator, and makes the document confidential. The confidential processing of the document may be performed by operating dedicated software on the client 3, or by operating software provided as a plug-in of general-purpose document processing software such as a word processor on the client 3. Also good.
[0065]
Here, the confidential processing of the document by the client 3 will be described. First, the operation flow of the client 3 by the creator will be described. FIG. 6 is a flowchart showing a flow of operation of the client 3 by the creator.
[0066]
First, the creator creates or edits a document (step 101). When the creation or editing of the document is completed, the creator instructs the confidentiality of the document from a menu or the like (step 102). As a result, the client 3 accesses the management server 1. In this case, since it is necessary to present a digital certificate, this is applicable when a plurality of digital certificates are set in the client 3. A digital certificate is selected (step 103). Then, the client 3 acquires a list of confidential policies from the management server 1 and presents it to the creator. In response, the creator selects a desired confidentiality policy (step 104). When the creator selects the confidential policy, the client 3 performs confidentialization of the document according to the selected confidential policy. Thereafter, the creator distributes the confidential document using e-mail or the like (step 105), and ends the operation.
[0067]
By the way, when selecting the confidential policy, the creator confirms the details of the confidential policy if the content cannot be determined only by the list display. At that time, the details of the confidential policy can be displayed in various formats. One of the display formats is a method for displaying the hierarchical structure of the confidential policy as it is. In this case, for example, when the confidential policy 10A shown in FIG. 3 is displayed, first, as shown in FIG. 7A, the first hierarchy is displayed. Here, when the creator selects the role B, as shown in FIG. 7B, the next hierarchy is displayed. Further, as another display method, there is a method of enumerating and displaying each permitted viewer in parallel without displaying a role. In this case, when the confidential policy 10A is displayed, a display as shown in FIG. Further, when the browsing deadline and the print permission / inhibition are set for each browsing authorized person, the display is as shown in FIG.
[0068]
Next, the flow of processing for document confidentiality by the client 3 will be described. FIG. 8 is a flowchart showing a flow of document confidentialization processing by the client 3.
[0069]
When the client 3 receives an instruction operation for document confidentiality processing by the creator, the client 3 accesses the management server 1 and performs authentication processing (step 151). In this authentication processing, the corresponding digital certificate is managed. Present to server 1. If the authentication is successful, the client 3 acquires a list of confidential policies from the management server 1 and displays it (step 152).
[0070]
Thereafter, when the secret policy is selected by the creator, the selected secret policy is acquired from the management server 1 (step 153). At this time, the client 3 also obtains from the management server 1 or the like a digital certificate of a viewing-permitted person included in the confidential policy or a digital certificate specified from the confidential policy. Then, the pasted image is pasted on the document based on the acquired confidentiality policy (step 154), and attributes such as setting of whether printing is permitted are set on the document (step 155). However, the processing of step 154 and step 155 is not necessarily executed (for example, when a pasted image is not included in the confidential policy).
[0071]
Next, the client 3 generates a common key for encrypting the document (step 156). This common key is arbitrarily generated by the client 3. However, the common key does not necessarily have to be generated at this timing, and a previously generated one may be held and acquired. Then, the document is encrypted with the generated or acquired common key (step 157).
[0072]
Subsequently, the client 3 encrypts the common key obtained by encrypting the document by using the public key included in the digital certificate of the viewing-permitted person who has previously obtained (step 158). The encryption of the common key is executed using each public key according to the number of authorized users. Then, the encrypted common key (there may be a plurality of cases) and the encrypted document are synthesized (step 159). Thereafter, document information such as identification information for identifying the document is sent to the management server 1 (step 160). The document confidentialization process ends.
[0073]
Here, the document confidentialization process executed by the client 3 will be described in detail. FIG. 9 is a diagram for explaining the flow of confidential processing of a document.
[0074]
In document confidentiality processing by the client 3, first, a common key 31 for performing encryption processing on the document 30 to be confidentialized is generated or acquired in advance, and this common key is acquired. The document 30 is encrypted at 31 to obtain an encrypted document 32. Next, the common key 31 is encrypted using the public key 34 (34A, 34B, 34C) attached to each of the digital certificates 33 (33A, 33B, 33C) acquired from the management server 1 or the like. This public key 34 is unique to each authorized person who is certified by the digital certificate 33. Next, the client 3 synthesizes the encrypted common key 35 (35A, 35B, 35C) obtained by encrypting the common key 31 with the public key 34 and the encrypted document 32 previously encrypted, thereby obtaining a confidential document. 36 is obtained, and the confidential processing of the document is completed.
[0075]
As described above, the confidential document 36 is composed of the encrypted document 32 and the encrypted common key 35. In order to obtain the original document 30 from the confidential document 36, the encrypted common key 35 is decrypted. A secret key is required for the user, and this secret key is possessed only by each authorized viewer. If the common key 31 can be obtained by decrypting the encrypted common key 35 with the secret key, the encrypted document 32 can be decrypted, and the original document 30 can be obtained. Details of browsing the confidential document 36 (including decryption processing) will be described later.
[0076]
By applying such confidentialization processing to the document, it is possible to distribute the same confidential document to a plurality of authorized users. On the other hand, for example, when a document is encrypted with a public key corresponding to each authorized person, an encrypted document corresponding to the number of authorized persons is generated. It becomes complicated.
[0077]
Next, details of the client 4 will be described. The client 4 is operated by a document viewer and releases the confidentiality of the document. This declassification processing of the document may be performed by operating dedicated software on the client 4, and software provided as a plug-in of general-purpose document processing software such as a word processor is operated on the client 4. You may go.
[0078]
Here, the process of declassifying the document by the client 4 will be described. First, the flow of operations of the client 4 by the viewer will be described. FIG. 10 is a flowchart showing the flow of operation of the client 4 by the viewer.
[0079]
First, the viewer selects a document to browse (step 201). If the selected document is a confidential document, the client 4 accesses the management server 1. At this time, since a digital certificate must be presented, a plurality of digital certificates are set in the client 4. If so, the corresponding digital certificate is selected (step 202). Then, when the client 4 receives the browsing permission notification from the management server 1, the confidentiality of the document is canceled and displayed, and the viewer browses the document (step 203), and the operation ends. At this time, the client 4 expands the confidential document on the memory, but does not store it on a disk or the like. Then, document storage in a state where confidentiality is released is prohibited.
[0080]
Next, the flow of processing for declassifying a document by the client 4 will be described. FIG. 11 is a flowchart showing the flow of the declassification process of the document by the client 4.
[0081]
When the client 4 accepts a document browsing instruction operation by the viewer, the client 4 accesses the management server 1 and performs an authentication process (step 251). In this authentication process, the client 4 sends the corresponding digital certificate to the management server 1. Present. If the authentication is successful, the client 4 transmits document identification information to the management server 1 and confirms that browsing of the document is permitted (step 252). As a result of the confirmation, if browsing is not permitted, the processing is immediately terminated. If browsing is permitted, information on whether printing is possible is also acquired.
[0082]
As a result of the confirmation, if browsing of the document is permitted, the encryption common key is extracted from the confidential document (step 253), and the extracted encryption common key is decrypted with the secret key (step 254). Then, the encrypted document is decrypted with the decrypted common key, and the decrypted document is displayed to allow the viewer to browse (step 255). Then, processing information for notifying that the confidentiality of the document has been released is sent to the management server 1 (step 256). Thereafter, when the viewer does not print the document, the client 4 ends the document declassification process.
[0083]
When the viewer instructs printing of the document, the client 4 executes printing processing on the condition that printing is permitted (step 257), and notifies that the document has been printed. The processing information is sent to the management server 1 (step 258), and the confidentiality release processing for the document is terminated.
[0084]
Here, the declassification processing of the document that is executed by the client 4 will be described in detail. FIG. 12 is a diagram for explaining the flow of the declassification process of a document.
[0085]
In the declassification processing of the document by the client 4, first, a corresponding one of the encryption common keys 35 included in the confidential document 36, for example, encryption, is used by using the private key of the viewer himself / herself that the client 4 has. The common key 35B is decrypted to obtain the common key 31. Then, the encrypted document 32 is decrypted using the common key 31 to obtain the original document 30. At this time, the client 4 only expands the document 30 on the memory, does not store it on a disk or the like, and does not store it as the document 30. Of course, since the confidential document 36 is stored on the disc or the like, the confidential document 36 can be declassified again and browsed as necessary. However, the confidentiality of the confidential document 36 can be canceled within a period during which browsing is permitted.
[0086]
Next, information exchanged between the management server 1, the client 3, and the client 4 in the above-described document confidentiality processing and confidentiality cancellation processing will be described. FIG. 13 is a diagram illustrating a flow of information exchanged between the management server 1, the client 3, and the client 4.
[0087]
When a document is classified, first, a digital certificate is presented as authentication information from the client 3 to the management server 1 (step 301). The management server 1 authenticates the client 3 based on this authentication information, and when the authentication is successful, a response to that effect is returned to the client 3.
[0088]
Subsequently, the client 3 requests acquisition of the confidential policy list information set in the management server 1 (step 302), and in response thereto, the management server 1 transmits the confidential policy list information to the client 3. (Step 303).
[0089]
Next, the client 3 transmits an acquisition request for the confidential policy selected by the creator to the management server 1 (step 304), and the management server 1 transmits the selected confidential policy to the client 3 in response thereto (step 304). 305).
[0090]
Thereafter, when the confidentiality of the document is executed by the client 3, document information including identification information of the document is transmitted from the client 3 to the management server 1 (step 306), and the confidential document is transmitted from the client 3. It is transmitted to the client 4 (step 307).
[0091]
Thereafter, when the declassification processing of the document is performed by the client 4, a digital certificate is presented as authentication information from the client 4 to the management server 1 (step 308). The management server 1 authenticates the client 4 based on this authentication information, and when the authentication is successful, a response to that effect is returned to the client 4.
[0092]
Subsequently, the client 4 transmits document information including identification information of the document to be declassified to the management server 1 (step 309). The management server 1 confirms whether or not the document can be browsed based on the received document information, and if browsing is possible, transmits permission information permitting browsing to the client 4 (step 310). When the client 4 permitted to view the document releases the confidentiality of the document, processing information indicating that fact is transmitted from the client 4 to the management server 1.
[0093]
By the way, it is conceivable that the client 4 may not be able to connect to the management server 1, that is, when it is desired to browse a confidential document in an offline state. As a method of coping with such a request, by providing a certain effective period for the browsing permission notified from the management server 1 to the client 4, once the client 4 receives permission for browsing, the client 4 can perform a certain period of time. It is possible to browse confidential documents offline for a period of time. Processing of the client 4 in this case will be described.
[0094]
FIG. 14 is a flowchart showing the flow of the document declassification processing by the client 4 in the offline state.
[0095]
When the client 4 accepts a document browsing instruction operation by the viewer, the client 4 confirms whether the management server 1 can be accessed. If access to the management server 1 is possible (YES in step 401), the above-described processing is performed to release the confidentiality of the document.
[0096]
On the other hand, if the access to the management server 1 from the client 4 is impossible (NO in step 401), the client 4 confirms the browsing permission information when the confidentialization of the document is first canceled (step 401). 402). As a result of the confirmation, if the current browsing is permitted, that is, if the previously received browsing permission is within the valid period (YES in step 403), the encrypted common key is extracted from the confidential document (step 405). ) Decrypt the extracted encrypted common key with the secret key (step 406). Then, the encrypted document is decrypted with the decrypted common key, and the decrypted document is displayed to allow the viewer to browse (step 407). Then, processing information for notifying that the confidentiality of the document has been released is accumulated (step 408), and the confidentiality releasing processing of the document is terminated. The accumulated processing information is transmitted to the management server 1 when access to the management server 1 becomes possible later. If the browsing permission received first is invalid (NO in step 404), the client 4 naturally terminates the process because browsing of the document is not permitted.
[0097]
In this way, even when the client 4 releases the confidentiality of the document offline with the management server 1, the release of the confidentiality requires the secret key of the viewer who is permitted to view the document. The declassification by a third party is impossible. In other words, it can be said that the processing when the client 4 is online with the management server 1 has double security.
[0098]
【The invention's effect】
As described above, according to the present invention, the confidential policy including the designation of the person who is permitted to view the document is managed by the management server, and the creating client that creates the confidential document acquires the confidential policy from the management server. Execute confidential document processing including encryption of documents and pasting of images based on the confidential policy, manage information on confidential documents on the management server, and whether the management server can view or print Therefore, the creator of the confidential document can make the document confidential by simply selecting a desired confidential policy from the confidential policies managed by the management server.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a basic configuration example of a document management system according to the present invention.
FIG. 2 is a block diagram showing a configuration example when the document management system shown in FIG. 1 is actually used.
FIG. 3 is a diagram (1) illustrating a configuration example of a confidential policy.
FIG. 4 is a diagram (2) illustrating a configuration example of a confidential policy.
FIG. 5 is a diagram for explaining a pasting image.
FIG. 6 is a flowchart showing a flow of operation of the client 3 by the creator.
FIG. 7 is a diagram showing a display example of a confidential policy to a creator.
FIG. 8 is a flowchart showing a flow of document confidentialization processing by the client 3;
FIG. 9 is a diagram for explaining the flow of a confidentialization process of a document.
FIG. 10 is a flowchart showing a flow of operations of the client 4 by a viewer.
FIG. 11 is a flowchart illustrating a flow of a document declassification process performed by a client.
FIG. 12 is a diagram for explaining the flow of a declassification process of a document.
13 is a diagram showing a flow of information exchanged between the management server 1, the client 3, and the client 4. FIG.
FIG. 14 is a flowchart showing a flow of a document declassification process by the client 4 in an offline state.
[Explanation of symbols]
1 management server
2 clients
3, 3-1 to 3-n client
4, 4-1 to 4-m client
5 network
6 Internet
10A, 10B, 10C Confidential policy
11A, 11B, 11C roll
12A, 12B, 12C, 12D, 12E
13A, 13B pasted image
14A Print availability setting
15A, 15B Viewing deadline information
18 areas
30 documents
31 Common key
32 Encrypted documents
33A, 33B, 33C Digital certificate
34A, 34B, 34C Public key
35A, 35B, 35C Encryption common key
36 Confidential documents
37 private key

Claims (8)

機密の保持を要する文書を管理する文書管理システムであって、
文書に対する閲覧許可者を指定する情報と該閲覧許可者の正当性を証明するとともに閲覧許可者に固有の公開暗号鍵が含まれる証明書とを有する機密方針を管理し、機密方針に基づいて機密化された文書の閲覧の許可と不許可とを制御する管理装置と、
前記管理装置が管理する機密方針から機密方針を取得するとともに、共通暗号鍵を生成し該生成した共通暗号鍵で機密化対象の文書を暗号化し、該共通暗号鍵を該取得した機密方針の証明書に含まれる公開暗号鍵で暗号化し、該暗号化した共通暗号鍵を該暗号化した文書に添付する暗号化処理を含む文書の機密化処理を実行する機密化装置と
前記公開暗号鍵に対応する秘密暗号鍵を有し、かつ、前記管理装置により機密化された文書の閲覧が許可されたことを条件に、該機密化された文書を復号化して表示する閲覧装置と
を具備する
ことを特徴とする文書管理システム。A document management system for managing documents that require confidentiality,
And management and information specifying the browsing-permitted person to the document, the confidentiality policy and a certificate that contains the unique public encryption key to browse the authorized person with to prove the validity of the view the authorized person, on the basis of confidential policy A management device that controls permission and disapproval of browsing confidential documents ;
Obtaining a confidentiality policy from the confidentiality policy managed by the management apparatus, generating a common encryption key, encrypting a confidential document with the generated common encryption key, and certifying the acquired confidentiality policy A confidentiality device for performing a confidentiality process of a document including an encryption process for encrypting with a public encryption key included in the document and attaching the encrypted common encryption key to the encrypted document ;
A browsing device that has a secret encryption key corresponding to the public encryption key and decrypts and displays the classified document on condition that browsing of the classified document is permitted by the management device document management system characterized by comprising and. 前記機密方針は、機密化対象の文書に貼り付けるイメージ情報を含み、
前記機密化処理は、前記機密方針に基づくイメージを機密化対象の文書に貼り付ける処理を含む
ことを特徴とする請求項記載の文書管理システム。The confidential policy includes image information to be pasted on a confidential document.
The confidential process, the document management system according to claim 1, characterized in that it comprises a process of pasting an image based on the confidential policy document confidentiality of interest. 前記管理装置は、前記閲覧装置に対して所定期間内での機密化された文書の閲覧を許可し、
前記閲覧装置は、前記所定期間内であることを条件に、前記管理装置から再度の許可を得ることなく該機密化された文書を復号化して表示する
ことを特徴とする請求項記載の文書管理システム。The management device permits the browsing device to browse a confidential document within a predetermined period,
The viewing device, the on condition that is within a predetermined time period, documents of claim 1, wherein the displaying by decoding the secret of documents without obtaining permission again from the management device Management system. 前記機密方針は、機密化された文書の閲覧期限を含み、
前記管理装置は、前記閲覧期限に基づいて前記閲覧装置による機密化された文書の閲覧を制御する
ことを特徴とする請求項記載の文書管理システム。The confidentiality policy includes a period for browsing confidential documents,
The management apparatus, a document management system according to claim 1, wherein the controlling the viewing of sensitive of documents by the viewing device based on the access limit. 前記機密方針は、機密化された文書の印刷可否情報を含み、
前記管理装置は、前記印刷か否情報に基づいて前記閲覧装置による機密化された文書の印刷処理を制御する
ことを特徴とする請求項記載の文書管理システム。The confidentiality policy includes confidentiality document printability information,
The management apparatus, a document management system according to claim 1, wherein the controlling the printing process of the confidential of documents by the viewing device based on the print or not information. 機密の保持を要する文書を管理する文書管理方法であって、
管理装置が、文書に対する閲覧許可者の指定と該閲覧許可者の正当性を証明するとともに閲覧許可者に固有の公開暗号鍵を含む証明書とを含む機密方針を記憶手段に記憶して管理し、
機密化装置が、通信手段を介して前記管理装置が管理する機密方針を取得し、演算手段による共通暗号鍵を用いた演算処理で機密化対象の文書を暗号化するとともに、該共通暗号鍵を該取得した機密方針の証明書に含まれる公開暗号鍵を用いた演算処理で暗号化し、該暗号化した共通暗号鍵を該暗号化した文書に添付する暗号化処理を含む文書の機密化処理を実行し、
閲覧装置が、前記公開暗号鍵に対応する秘密暗号鍵を記憶手段に記憶し、かつ、通信手段を介して前記管理装置から機密化された文書の閲覧を許可する情報を取得したことを条件に、該機密化された文書を復号化して表示する
ことを特徴とする文書管理方法。A document management method for managing documents that require confidentiality,
The management device stores in the storage means and manages the confidential policy including the designation of the authorized person to view the document and the validity of the authorized person and the certificate including the public encryption key unique to the authorized person. ,
The security device acquires a security policy managed by the management device via the communication unit, encrypts a confidentiality target document by a calculation process using the common encryption key by the calculation unit, and uses the common encryption key. A document confidentiality process including an encryption process in which the encrypted common encryption key is attached to the encrypted document is encrypted by a calculation process using a public encryption key included in the acquired confidentiality policy certificate. Run,
On condition that the browsing device stores the secret encryption key corresponding to the public encryption key in the storage unit, and has acquired information permitting browsing of the confidential document from the management unit via the communication unit A document management method comprising: decrypting and displaying the classified document. 前記機密方針は、機密化された文書の閲覧期限を含み、該閲覧期限に基づいて機密化された文書の閲覧を制御することを特徴とする請求項記載の文書管理方法。The document management method according to claim 6 , wherein the confidentiality policy includes a period for browsing the classified document, and the browsing of the classified document is controlled based on the period for browsing. 前記機密方針は、機密化された文書の印刷可否情報を含み、該印刷か否情報に基づいて機密化された文書の印刷処理を制御することを特徴とする請求項記載の文書管理方法。7. The document management method according to claim 6 , wherein the confidential policy includes information on whether or not to print a confidential document, and print processing of the confidential document is controlled based on the information on whether or not to print.
JP2002313546A 2002-10-28 2002-10-28 Document management system and method Expired - Fee Related JP4465952B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002313546A JP4465952B2 (en) 2002-10-28 2002-10-28 Document management system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002313546A JP4465952B2 (en) 2002-10-28 2002-10-28 Document management system and method

Publications (3)

Publication Number Publication Date
JP2004151163A JP2004151163A (en) 2004-05-27
JP2004151163A5 JP2004151163A5 (en) 2005-11-10
JP4465952B2 true JP4465952B2 (en) 2010-05-26

Family

ID=32458106

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002313546A Expired - Fee Related JP4465952B2 (en) 2002-10-28 2002-10-28 Document management system and method

Country Status (1)

Country Link
JP (1) JP4465952B2 (en)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2872979A1 (en) * 2004-07-09 2006-01-13 France Telecom ACCESS SYSTEM CONTROLLING INFORMATION CONTAINED IN A TERMINAL
CN100483367C (en) * 2004-08-17 2009-04-29 三菱电机株式会社 Storage device and storage method
JP2006079448A (en) 2004-09-10 2006-03-23 Konica Minolta Business Technologies Inc Data control method, data control device and data control server
JP2006092292A (en) * 2004-09-24 2006-04-06 Fuji Xerox Co Ltd Output control device, output device and program
JP4673629B2 (en) * 2004-10-13 2011-04-20 株式会社リコー Document file protection system
JP2006119751A (en) * 2004-10-19 2006-05-11 Victor Co Of Japan Ltd Data use device and attribute information issuing device
JP4717464B2 (en) * 2005-02-18 2011-07-06 キヤノン株式会社 Information processing apparatus, information processing method, and program
JP4831461B2 (en) * 2005-03-15 2011-12-07 富士ゼロックス株式会社 Document processing apparatus and method
JP4843325B2 (en) * 2006-02-06 2011-12-21 株式会社リコー Document access control system
JP4838631B2 (en) * 2006-05-17 2011-12-14 富士通株式会社 Document access management program, document access management apparatus, and document access management method
JP4835266B2 (en) * 2006-05-30 2011-12-14 富士ゼロックス株式会社 Encrypted transfer device and program
JP4569593B2 (en) * 2007-03-28 2010-10-27 日本電気株式会社 Encryption communication system, encryption communication method, encryption device, and decryption device
US8887297B2 (en) 2007-07-13 2014-11-11 Microsoft Corporation Creating and validating cryptographically secured documents
WO2009069655A1 (en) * 2007-11-27 2009-06-04 Canon Denshi Kabushiki Kaisha Management server, client terminal, terminal management system, terminal management method, program, and recording medium
JP5024056B2 (en) * 2008-01-07 2012-09-12 富士ゼロックス株式会社 Operation management system
JP5304736B2 (en) * 2010-06-15 2013-10-02 日本電気株式会社 Cryptographic communication system, cryptographic communication method, and decryption device

Also Published As

Publication number Publication date
JP2004151163A (en) 2004-05-27

Similar Documents

Publication Publication Date Title
KR100423797B1 (en) Method of protecting digital information and system thereof
USRE44364E1 (en) Method of encrypting information for remote access while maintaining access control
US6978376B2 (en) Information security architecture for encrypting documents for remote access while maintaining access control
JP4350549B2 (en) Information processing device for digital rights management
CN105122265B (en) Data safety service system
JP4465952B2 (en) Document management system and method
US20030051172A1 (en) Method and system for protecting digital objects distributed over a network
JP2004509398A (en) System for establishing an audit trail for the protection of objects distributed over a network
JP2004509399A (en) System for protecting objects distributed over a network
JP2010538349A (en) Digital copyright management method for compressed files
CN114175580B (en) Enhanced secure encryption and decryption system
JP2002244927A (en) Data distribution system
JP2002041347A (en) Information presentation system and device
JP2005309887A (en) Unauthorized browsing monitoring system
JP3920971B2 (en) Data communication system and method
JP5494171B2 (en) File management system, storage server, client, file management method and program
JP3636087B2 (en) Personal information providing system, personal information providing method, and personal information providing program
JP2009093670A (en) File security management system, authentication server, client device, program and recording medium
JP2004030056A (en) Method and equipment for controlling contents use and program
JP2008269544A (en) Using object information management device, using object information management method, and program therefor
JP2009181598A (en) Information processor for digital right management
JP5158601B2 (en) File management device, file management system, and program
JP4047318B2 (en) Content distribution usage control method
JP2004282116A (en) Key distribution system, contents encryption method, contents encryption program, decryption method of encrypted contents, decryption program of encrypted contents, and contents distribution system
EP4322470A1 (en) Data encryption system and method

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050927

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050927

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090210

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090413

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100202

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100215

R150 Certificate of patent or registration of utility model

Ref document number: 4465952

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130305

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130305

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140305

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees