JP4973032B2 - アクセス権限管理プログラム、アクセス権限管理装置およびアクセス権限管理方法 - Google Patents

アクセス権限管理プログラム、アクセス権限管理装置およびアクセス権限管理方法 Download PDF

Info

Publication number
JP4973032B2
JP4973032B2 JP2006183725A JP2006183725A JP4973032B2 JP 4973032 B2 JP4973032 B2 JP 4973032B2 JP 2006183725 A JP2006183725 A JP 2006183725A JP 2006183725 A JP2006183725 A JP 2006183725A JP 4973032 B2 JP4973032 B2 JP 4973032B2
Authority
JP
Japan
Prior art keywords
access policy
access
destination
distribution destination
electronic document
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006183725A
Other languages
English (en)
Other versions
JP2008015625A (ja
Inventor
正彦 武仲
壮一 岡田
孝司 吉岡
敏達 野田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2006183725A priority Critical patent/JP4973032B2/ja
Priority to US11/595,626 priority patent/US8032921B2/en
Publication of JP2008015625A publication Critical patent/JP2008015625A/ja
Application granted granted Critical
Publication of JP4973032B2 publication Critical patent/JP4973032B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/603Digital right managament [DRM]

Description

本発明はアクセス権限管理プログラム、アクセス権限管理装置およびアクセス権限管理方法に関し、特に、電子文書に対するアクセス権限を管理するためのアクセス権限管理プログラム、アクセス権限管理装置およびアクセス権限管理方法に関する。
文書作成者(作成者)がコンピュータを用いて作成した電子文書を他のユーザに閲覧させる場合、例えば、電子文書をファイルサーバに格納し、他のユーザに、ファイルサーバにアクセスさせることでその文書を容易に複数のユーザに閲覧させることができる。
ここで、電子文書の第三者への漏洩を防止するために、電子文書を管理する種々の方法が知られている(例えば特許文献1、2参照)。基本的な電子文書の管理方法としては、例えばユーザ毎に、電子文書に対するアクセス条件を示す情報であるポリシを管理するユーザベース(Identity Base)管理方法が知られている。これは作成者が電子文書を配布するときに配布される者毎にアクセス条件を設定する方法で、比較的小さな規模の組織での運用管理には有効である。しかし、組織の規模が大きくなったり組織の階層構造が複雑になったりした場合、配布者の手間が煩雑になるという問題がある。
また、ユーザの役割や属性によりポリシを管理するロールベース管理方法が知られている。これによりアクセス条件は役割毎や属性毎に可能となり、中規模程度までポリシ管理の運用が可能である。
特開2001−167016号公報 特開2002−244927号公報
しかし、ロールベース管理方法を用いた場合でも大規模な組織や深い階層構造の組織の場合、役割や属性が膨大になり作成者はどのポリシを利用すればよいかが判らずに手間が煩雑になり運用が破綻する場合がある。
このように、安全に電子文書の運用管理を行うために作成者の意志、権限で配布先を細かく指定することは容易ではない。
一方、ポリシ管理されていない電子文書の大規模な組織や深い階層構造の組織での運用は、作成者が一次配布者(作成者から電子文書を配布された者)を信頼して一次配布者による二次、三次配布を許容することで運用が成り立っている。特に、階層的な組織において階層上位の配布者から下位の配布者への配布の場合、このような運用が顕著に行われている。
しかし、二次、三次と再配布が繰り返される毎に作成者や一次配布者のポリシが下位に伝わらなくなる場合が発生する。この場合、ポリシの管理が曖昧になり、末端の配布者からの電子文書が漏洩する恐れがある。
本発明はこのような点に鑑みてなされたものであり、大規模で階層化された組織でも容易かつ効率的に安全な電子文書の運用管理を行うことができるアクセス権限管理プログラム、アクセス権限管理装置およびアクセス権限管理方法を提供することを目的とする。
本発明では上記問題を解決するために、図1に示すような処理をコンピュータに実行させるためのアクセス権限管理プログラムが提供される。
本発明に係るアクセス権限管理プログラムは、電子文書に対するアクセス権限を管理するプログラムである。
アクセス権限管理プログラムを実行するコンピュータ1は以下の機能を有する。
アクセスポリシ格納手段2が、電子文書が配布された第1の配布先3の情報および第1の配布先3が電子文書を配布可能な範囲を示す第2の配布先4の情報と、第2の配布先4に対し定められた権限内で電子文書の利用を許可する利用権の情報とを有する第1のアクセスポリシAP1を格納する。
記憶手段6が、第2の配布先4を示す配布対象を記憶する。
アクセスポリシ確認手段7が、ある特定先への利用権の配布許可を求める配布先特定依頼が第1の配布先3からあると、配布対象を参照して特定先が第2の配布先4に含まれるか否かを確認する。
登録手段8が、アクセスポリシ確認手段7により特定先が第2の配布先4に含まれることが確認されると、特定先と利用権の情報とを関連づけた第2のアクセスポリシをアクセスポリシ格納手段2に登録する。
利用権確認手段9が、電子文書の利用を希望する利用依頼が特定先からあると、第2のアクセスポリシを参照し、特定先に利用権での電子文書の利用を許可する。
このようなアクセス権限管理プログラムによれば、配布先特定依頼が第1の配布先3からあると、アクセスポリシ確認手段7により、配布対象が参照され特定先が第2の配布先に含まれるか否かが確認される。アクセスポリシ確認手段7により特定先が第2の配布先4に含まれることが確認されると、登録手段8により、特定先と利用権の情報とを関連づけた第2のアクセスポリシAP2がアクセスポリシ格納手段2に登録される。その後、利用依頼が特定先からあると、利用権確認手段9により第2のアクセスポリシAP2が参照され、特定先に利用権での電子文書の利用が許可される。
また、上記課題を解決するために、電子文書に対するアクセス権限を管理するためのアクセス権限管理方法において、アクセスポリシ格納手段に前記電子文書が配布された第1の配布先の情報および前記第1の配布先が前記電子文書を配布可能な範囲を示す第2の配布先の情報と、前記第2の配布先に対し定められた権限内で前記電子文書の利用を許可する利用権の情報とを有する第1のアクセスポリシが格納され、記憶手段に前記第2の配布先を示す配布対象が記憶された状態で、ある特定先への前記利用権の配布許可を求める配布先特定依頼が前記第1の配布先からあると、前記配布対象を参照して前記特定先が前記第2の配布先に含まれるか否かを確認し、前記特定先が第2の配布先に含まれることが確認されると、前記特定先と前記利用権の情報とを関連づけた第2のアクセスポリシを前記アクセスポリシ格納手段に登録し、前記電子文書の利用を希望する利用依頼が前記特定先からあると、前記第2のアクセスポリシを参照し、前記特定先に前記利用権での前記電子文書の利用を許可する、ことを特徴とするアクセス権限管理方法が提供される。
このようなアクセス権限管理方法によれば、配布先特定依頼が第1の配布先からあると、配布対象を参照して特定先が第2の配布先に含まれるか否かが確認される。特定先が第2の配布先に含まれることが確認されると、特定先と利用権とを関連づけた第2のアクセスポリシがアクセスポリシ格納手段に登録される。電子文書の利用を希望する利用依頼が特定先からあると、第2のアクセスポリシを参照し、特定先に利用権での電子文書の利用が許可される。
また、上記課題を解決するために、電子文書に対するアクセス権限を管理するためのアクセス権限管理装置において、前記電子文書が配布された第1の配布先の情報および前記第1の配布先が前記電子文書を配布可能な範囲を示す第2の配布先の情報と、前記第2の配布先に対し定められた権限内で前記電子文書の利用を許可する利用権の情報とを有する第1のアクセスポリシを格納するアクセスポリシ格納手段と、前記第2の配布先を示す配布対象を記憶する記憶手段と、ある特定先への前記利用権の配布許可を求める配布先特定依頼が前記第1の配布先からあると、前記配布対象を参照して前記特定先が前記第2の配布先に含まれるか否かを確認するアクセスポリシ確認手段と、前記アクセスポリシ確認手段により前記特定先が第2の配布先に含まれることが確認されると、前記特定先と前記利用権の情報とを関連づけた第2のアクセスポリシを前記アクセスポリシ格納手段に登録する登録手段と、前記電子文書の利用を希望する利用依頼が前記特定先からあると、前記第2のアクセスポリシを参照し、前記特定先に前記利用権での前記電子文書の利用を許可する利用権確認手段と、を有することを特徴とするアクセス権限管理装置が提供される。
このようなアクセス権限管理装置によれば、上記アクセス権限管理プログラムを実行するコンピュータと同様の処理が実行される。
本発明によれば、電子文書を第1の配布先に配布した配布者自身は電子文書の最終的な配布先を特定しなくてもよい。よって、配布者の負荷を軽減させることができる。また、第1の配布先は、配布者の意志の確認をしないで第2の配布先の範囲内で特定先を特定し、電子文書を利用させることができる。また、特定先は与えられた利用権の範囲内でのみ電子文書の利用が可能となる。これにより、電子文書の漏洩を容易かつ確実に抑制または防止することができる。これらにより容易かつ効率的に安全な電子文書の運用管理を行うことができる。
以下、本発明の実施の形態を、図面を参照して詳細に説明する。
まず、本発明の概要について説明し、その後、実施の形態の具体的な内容を説明する。
図1は、本発明の概要を示す図である。
図1に示すコンピュータ1は、アクセスポリシ格納手段2、記憶手段6、アクセスポリシ確認手段7、登録手段8、利用権確認手段9として機能する。
アクセスポリシ格納手段2は、電子文書が配布された第1の配布先3の情報および第1の配布先3が電子文書を配布可能な範囲を示す第2の配布先4の情報と、第2の配布先4に対し定められた権限内で電子文書の利用を許可する利用権の情報とを有する第1のアクセスポリシAP1を格納する。
第1の配布先および第2の配布先としては、例えばユーザがログインしているコンピュータや、あるグループを構成する複数のコンピュータ等が挙げられる。図1では課長が使用する(課長のユーザIDでログインしている)コンピュータ3aが第1の配布先3に相当し、課内に設けられ、担当Aが使用するコンピュータ4aおよび担当Bが使用する4bが第2の配布先4に相当する。
また、アクセスポリシAP1は電子文書を第1の配布先3に配布する配布者がコンピュータ5を用いて設定する。
記憶手段6は、第2の配布先4を示す(特定できる)配布対象を記憶する。図1では配布対象として課内の担当A(のユーザID)および担当B(のユーザID)が設定されている。
アクセスポリシ確認手段7は、ある特定先への利用権の配布許可を求める配布先特定依頼が第1の配布先3からあると、配布対象を参照して特定先が第2の配布先4に含まれるか否かを確認する。
登録手段8は、アクセスポリシ確認手段7により特定先が第2の配布先に含まれることが確認されると、特定先と利用権の情報とを関連づけた第2のアクセスポリシAP2をアクセスポリシ格納手段2に登録する。
利用権確認手段9は、電子文書の利用を希望する利用依頼が特定先からあると、第2のアクセスポリシAP2を参照し、特定先に利用権での電子文書の利用を許可する。
電子文書は、第1の配布先から特定先に例えば電子メール等を用いて配布する。
次に、図1に示す具体例を用いてアクセス権限管理プログラムの作用を説明する。
課長が使用するコンピュータ3aから担当Aに利用権の配布許可を求める配布先特定依頼がコンピュータ1にあると、アクセスポリシ確認手段7により、配布対象が参照され担当Aが課内に含まれるか否かが確認される。アクセスポリシ確認手段7により担当Aが課内に含まれることが確認されると、登録手段8により、担当Aと利用権(閲覧)の情報とを関連づけた第2のアクセスポリシAP2がアクセスポリシ格納手段2に登録される。その後、利用依頼が担当Aからあると、利用権確認手段9により第2のアクセスポリシAP2が参照され、担当Aに利用権の範囲での電子文書の利用が許可される。ここでは担当Aが与えられた利用権は閲覧のみであるため、例えばプリンタ4cを利用して電子文書を印刷することはできない。
次に、本実施の形態の詳細を説明する。
図2は、本実施の形態のシステム構成例を示す図である。本実施の形態では、アクセス権限管理サーバ100に対して、ネットワーク10を介して複数のクライアント200、クライアント300、・・・が接続されている。
アクセス権限管理サーバ100は、クライアント200、クライアント300、・・・間で受け渡される電子文書に関するアクセスポリシを管理する。クライアント200、クライアント300、・・・は、ユーザの操作入力に応答して、電子文書の作成、配布、閲覧(表示)、印刷等を行う。
以下に、このようなシステムを実現するための各コンピュータのハードウェア構成について説明する。
図3は、アクセス権限管理サーバのハードウェア構成例を示す図である。
アクセス権限管理サーバ100は、CPU(Central Processing Unit)101によって装置全体が制御されている。CPU101には、バス107を介してRAM(Random Access Memory)102、ハードディスクドライブ(HDD:Hard Disk Drive)103、グラフィック処理装置104、入力インタフェース105、および通信インタフェース106が接続されている。
RAM102には、CPU101に実行させるOS(Operating System)のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、RAM102には、CPU101による処理に必要な各種データが格納される。HDD103には、OSやアプリケーションプログラムが格納される。また、HDD103内には、プログラムファイルが格納される。
グラフィック処理装置104には、モニタ11が接続されている。グラフィック処理装置104は、CPU101からの命令に従って、画像をモニタ11の画面に表示させる。入力インタフェース105には、キーボード12とマウス13とが接続されている。入力インタフェース105は、キーボード12やマウス13から送られてくる信号を、バス107を介してCPU101に送信する。
通信インタフェース106は、ネットワーク10に接続されている。通信インタフェース106は、ネットワーク10を介して、他のコンピュータとの間でデータの送受信を行う。
以上のようなハードウェア構成によって、本実施の形態の処理機能を実現することができる。なお、図3にはアクセス権限管理サーバ100のハードウェア構成を示したがクライアント200、300・・・についても同様のハードウェア構成で実現することができる。
図4は、本システムの処理の概略を示す図である。
電子文書を作成したユーザ(作成者)は、クライアント200を用いて電子文書を暗号化した保護電子文書31を作成し、ネットワーク10を介して作成した電子文書を送信する。保護電子文書31は、電子文書を閲覧するユーザ(閲覧者)が使用するクライアント300において、アクセス権限管理サーバ100から鍵を受け取ることで復号できる。なお、保護電子文書31は、例えば、電子メールの添付ファイルとして送信することができる。
保護電子文書31を配布する際、作成者は、クライアント200を用いて電子文書へのアクセスポリシ等の設定を行うと、アクセス権限管理サーバ100へ登録依頼が出される。アクセスポリシは、電子文書に対するアクセス条件を示す情報である。例えば、アクセスポリシには、電子文書を閲覧可能なユーザのリスト等が設定される。より詳しくは、アクセスポリシは、電子文書の閲覧や印刷の許否等、電子文書を利用することができる権限の範囲を示す利用権の情報と、利用権を設定することができる権限の範囲を示すアクセスポリシ設定権の情報とを有している。
アクセス権限管理サーバ100では、アクセスポリシが設定されると、その設定内容をアクセスポリシDB(データベース)160に保存する。そして、クライアント200は、アクセス権限管理サーバ100からの登録依頼結果を参照し、登録成功であれば保護電子文書31をクライアント300に送信する。
閲覧者が、クライアント300に対して保護電子文書31の利用を要求すると、クライアント300からアクセス権限管理サーバ100へ保護電子文書31の利用依頼が出される。アクセス権限管理サーバ100は、その利用依頼に応じて利用依頼結果をクライアント300に送信する。
クライアント300では、利用依頼結果を参照し、閲覧者に閲覧が許可されていることを確認する。これによりクライアント300は保護電子文書を復号することができ、復号した電子文書の内容をモニタに表示する。
また、作成者は、クライアント200を用いて電子文書へのアクセスポリシ等の特定先の指定を要求すると、アクセス権限管理サーバ100へ特定先指定依頼が出される。
アクセス権限管理サーバ100は、特定先が指定されると、その特定先の指定内容をアクセスポリシDB160に保存する。
以下、前述したハードウェア構成のシステムにおいて文書アクセス管理を行うために、アクセス権限管理サーバ100およびクライアント200、300内には、以下のような機能が設けられる。
図5は、サーバの機能を示すブロック図である。
アクセス権限管理サーバ100は、サーバコントロール部110と、通信部120と、アクセスポリシ制御部130と、ユーザ認証部140と、ユーザDB150と、アクセスポリシDB160とを有している。
サーバコントロール部110は、アクセス権限管理サーバ100内の各部の動作を制御する。すなわち、通信部120と、アクセスポリシ制御部130と、ユーザ認証部140とは、サーバコントロール部110の指示により定められた動作を行う。そして、これら各部は、実行を行った結果のデータ(受信した電子文書や生成したデータ、認証結果、判定結果等)をサーバコントロール部110に返す。サーバコントロール部110は、この実行結果に応じて他の部位に新たな指示を送る。
通信部120は、クライアント200、300・・・からの電子文書をネットワーク10経由で受信すると、受信した電子文書をサーバコントロール部110に送る。また、サーバコントロール部110からデータを受け取ると、対応するクライアント200、300・・・にネットワーク10経由で送信する。
アクセスポリシ制御部130は、利用権確認部131と、アクセスポリシ設定権確認部132と、アクセスポリシ登録部133と、アクセスポリシ読み出し部134とを有している。
利用権確認部131は、ユーザを一意に特定するユーザIDと電子文書を一意に特定するドキュメントIDとを受け取ると、アクセスポリシDB160を参照し、ユーザIDを利用するユーザがドキュメントIDによって特定された電子文書の利用権を有するか否かを確認する。
アクセスポリシ設定権確認部132は、ドキュメントIDを受け取ると、受け取ったドキュメントIDがアクセスポリシDB160に存在するか否かを確認する。また、アクセスポリシ設定権確認部132は、ドキュメントIDとユーザIDとを受け取ると、ユーザIDのドキュメントIDに対してのアクセスポリシ設定権の有無を確認する。
アクセスポリシ登録部133は、受け取ったアクセスポリシやドキュメントID等をアクセスポリシDB160に登録する。
アクセスポリシ読み出し部134は、アクセスポリシDB160からアクセスポリシを読み出してサーバコントロール部110に渡す。
ユーザ認証部140は、ユーザIDおよびパスワードを受け取ると、ユーザDB150を参照し、該当するユーザIDおよびパスワードの認証を行う。具体的にはユーザDB150に該当するユーザIDおよびパスワードが存在するか否かの判断を行い、ユーザIDが存在し、かつ、ユーザIDとパスワードとが一致する場合にのみ認証を行う。
ユーザDB150には、複数のユーザIDおよび各ユーザIDにそれぞれ対応する複数のパスワードが格納されている。
また、ユーザDB150には、各ユーザと各ユーザがそれぞれ所属するグループのID(グループID)とが関連づけられて格納されている。例えば、HDD103の記憶領域の一部がユーザDB150として使用される。
アクセスポリシDB160には、アクセスポリシが格納されている。例えば、HDD103の記憶領域の一部がアクセスポリシDB160として使用される。
図6は、クライアントの機能を示すブロック図である。
クライアント200は、クライアントコントロール部210と、保護文書生成部220と、保護電子文書記憶部230と、アクセスポリシ設定部240と、保護文書使用部250と、アプリケーション制御部260と、通信部270とを有している。
クライアントコントロール部210は、サーバコントロール部110と同様に、クライアント200の各部の動作を制御する。
保護文書生成部220は、他のユーザに配布する電子文書の作成機能を有する。例えば、保護文書生成部220は、ワードプロセッサで構成されている。
保護文書生成部220は、ドキュメントID生成部221と暗号化部222とを有している。
ドキュメントID生成部221は、ドキュメントIDを生成する。
暗号化部222は、電子文書を暗号化し、ドキュメントID生成部221にて生成したドキュメントIDを付加した保護電子文書を生成する。暗号化は、電子文書の配布先のクライアント300の保護文書使用部350にて復号できる秘密鍵(例えば、クライアント300内の秘密鍵に対応する公開鍵)を用いて行われる。この秘密鍵は、暗号化部222で作成してもよいし、予め与えられておいてもよい。
保護電子文書記憶部230は、暗号化部222で生成した保護電子文書を記憶する。例えば、クライアント200が備えるRAMの記憶領域の一部が保護電子文書記憶部230として使用される。
アクセスポリシ設定部240は、GUI(Graphical User Interface)を有しており、ユーザの操作入力により、モニタにアクセスポリシを設定するためのアクセスポリシ設定画面を表示させる。
保護文書使用部250は、ドキュメントID読み出し部251と復号部252とを有している。
ドキュメントID読み出し部251は、保護電子文書からドキュメントIDを読み出す。
復号部252は、秘密鍵を受け取ると、暗号化された電子文書を復号する。
アプリケーション制御部260は、アクセス権限管理サーバ100からの利用権の利用範囲を判断する判断機能を有している。そして電子文書を受け取ると、利用権で制限された範囲内で電子文書の利用を開始する。例えば、利用権のうち閲覧権が許可されていれば、受け取った電子文書の内容をモニタに表示する。
通信部270は、保護文書生成部220で生成した保護電子文書をネットワーク10経由でクライアント300に送信する。例えば、通信部270は、電子メールの添付ファイルとしてクライアント300に保護電子文書を送信する。また、通信部270は、クライアント300から送信された保護電子文書をネットワーク10経由で受信する。
なお、図示しないが、クライアント300もクライアント200のクライアントコントロール部210と、保護文書生成部220と、保護電子文書記憶部230と、アクセスポリシ設定部240と、保護文書使用部250と、アプリケーション制御部260と、通信部270とそれぞれ同機能のクライアントコントロール部310と、保護文書生成部320と、保護電子文書記憶部330と、アクセスポリシ設定部340と、保護文書使用部350と、アプリケーション制御部360と、通信部370とを有している。
次に、ユーザDB150の内容について詳しく説明する。ユーザDB150ではユーザIDおよびパスワードがテーブル化されて格納されている。
図7は、ユーザ管理テーブルのデータ構造例を示す図である。
ユーザ管理テーブル151には、ユーザIDおよびパスワードの欄が設けられており、各欄の横方向に並べられた情報同士が互いに関連づけられている。
ユーザIDの欄には、アクセス権限管理サーバ100に接続を許可する(管理対象となる)ユーザIDが設定される。
パスワードの欄には、ユーザIDに対応するパスワードが設定される。
次に、アクセスポリシDB160の内容について詳しく説明する。アクセスポリシDB160には、ユーザとユーザが属するグループとの関連を示すグループ管理テーブルと、アクセスポリシの設定に関するアクセスポリシ管理テーブルおよびリンクアクセスポリシ管理テーブルとが格納されている。
図8は、グループ管理テーブルのデータ構造例を示す図である。
グループ管理テーブル161には、グループIDおよびグループIDorユーザIDの欄が設けられており、各欄の横方向に並べられた情報同士が互いに関連づけられている。
グループIDの欄には、管理対象となるグループIDが設定される。
グループIDorユーザIDの欄には、グループIDの欄に設定されたグループの下位に属するグループまたは、グループIDの欄に設定されたグループに属するユーザのユーザIDが設定される。
図8では「グループC」および「グループD」がそれぞれ「グループA」に属していることが分かる。そして、グループCにはユーザbが属しており、グループDにはユーザcが属していることが分かる。また、グループBにはユーザaおよびユーザcが属していることが分かる。
図9は、図8に示すグループ関係を示す図である。
このように、各ユーザは1つ以上のグループに属している。グループの従属関係はループにならないように設定されている。
図10は、アクセスポリシ管理テーブルのデータ構造例を示す図である。
アクセスポリシ管理テーブルには、一次配布者の内容が設定される。
アクセスポリシ管理テーブル162には、ドキュメントID、秘密鍵、ユーザIDorグループID、利用権、アクセスポリシ設定権の欄が設けられており、横方向に並べられた情報同士が互いに関連づけられている。また、利用権の欄には、利用権の内容を示す閲覧権と印刷権の欄が設けられている。アクセスポリシ設定権の欄にはアクセスポリシ設定と権限情報リンクの欄が設けられている。
ドキュメントIDの欄には、ドキュメントID生成部221により生成されたドキュメントIDが設定される。
秘密鍵の欄には、暗号化部222で電子文書を暗号化する際に使用した秘密鍵が設定される。
ユーザIDorグループIDの欄には、一次配布者のグループIDまたはユーザIDが設定される。
閲覧権の欄には、ユーザIDorグループIDの欄に設定されたユーザIDを備えるユーザ(以下、単に「設定ユーザ」という)またはグループIDを備えるグループ(以下、単に「設定グループ」という)がドキュメントIDの欄に設定されたドキュメントID(以下、単に「設定ドキュメントID」という)に対応する電子文書を閲覧可能か否か(YesまたはNo)が設定される。
印刷権の欄には、設定ユーザまたは設定グループが設定ドキュメントIDに対応する電子文書を印刷可能か否か(YesまたはNo)が設定される。
このように本実施の形態の利用権には閲覧権と印刷権とが存在するため、設定ユーザまたは設定グループは、利用権のうち閲覧権のみを有している場合は前述したように閲覧のみが可能となり、印刷は不可となる。閲覧権と印刷権との両方を有している場合は、印刷も可能となる。
アクセスポリシ設定の欄には、設定ユーザまたは設定グループが設定ドキュメントIDに対応する電子文書に対するアクセスポリシを二次配布者(第2の配布先)に設定可能か否か(YesまたはNo)が設定される。
二次配布者に関する情報は、リンクアクセスポリシ管理テーブルに設定される。
権限情報リンクの欄には、リンクアクセスポリシ管理テーブルへのリンクIDが設定される。
図10では、ドキュメントID「DOC0001」の電子文書に対し、ユーザID「yamada」を有するユーザが、利用権およびアクセスポリシ設定権を有していること(利用可能およびアクセスポリシ設定可能であること)を示している。より詳しくは、ユーザID「yamada」を有するユーザ自身の、ドキュメントID「DOC0001」の電子文書利用は、閲覧のみが可能で印刷は不可であることを示している。また、ユーザID「yamada」を有するユーザのアクセスポリシは、リンク名「LINK00001」を有するリンクアクセスポリシ管理テーブルの二次配布者に対して設定可能であることを示している。
ここで、ユーザIDorグループID、利用権およびアクセスポリシ設定権に設定された内容が一次配布者のアクセスポリシを構成している。
図11は、リンクアクセスポリシ管理テーブルのデータ構造例を示す図である。
リンクアクセスポリシ管理テーブル163には、一次配布者が、二次配布者に対して設定できる内容(一次配布者の二次配布者に対する設定内容)が設定される。
リンクアクセスポリシ管理テーブル163には、リンクID、設定範囲ユーザIDorグループID、設定可能利用権、設定可能アクセスポリシ設定権、次リンクIDの欄が設けられており、横方向に並べられた情報同士が互いに関連づけられている。また、利用権の欄には、利用権の内容を示す閲覧権と印刷権の欄が設けられている。
リンクIDの欄には、アクセスポリシ管理テーブル162の権限情報リンクの欄に設定されたリンク名に関連づけられたリンク名が設定される。
設定範囲ユーザIDorグループIDの欄には、二次配布者のユーザIDまたはグループのグループIDが設定される。
設定可能利用権の欄は、アクセスポリシ管理テーブル162の利用権の欄と同様に、閲覧権および印刷権の欄に分かれている。各権利の内容は、アクセスポリシ管理テーブル162で説明したものと同様であるため、説明を省略する。
設定可能アクセスポリシ設定権の欄には、二次配布者が三次配布者に対し、アクセスポリシを設定可能か否かが設定される。三次配布者が存在しない場合は、Noに設定される。
次リンクIDの欄には、他のリンクアクセスポリシが存在する場合のリンクIDが設定される。他のリンクアクセスポリシが存在しない場合は、「Null」が設定される。例えば、作成者が1つの電子文書の一次配布者として第一営業課の課長を設定し、二次配布者として第一営業課に対するリンクアクセスポリシを設定し、さらに営業第二課に対してリンクアクセスポリシを設定した場合、第一営業課のリンクアクセスポリシの次リンクIDの欄には「LINK00002」が設定される。そして、リンクアクセスポリシ管理テーブル163には、リンクIDの欄に「LINK00001」が設定され、設定範囲ユーザIDorグループIDの欄に営業第一課のグループIDが設定されたリンクアクセスポリシと、リンクIDの欄に「LINK00002」が設定され、設定範囲ユーザIDorグループIDの欄に営業第二課のグループIDが設定されたリンクアクセスポリシとが設定される。
ここで、設定範囲ユーザIDor設定範囲グループID、設定可能利用権およびアクセスポリシ設定権に設定された内容がリンクアクセスポリシを構成している。
そして、アクセスポリシとリンクアクセスポリシとが第1のアクセスポリシを構成している。
このようにアクセス権限管理サーバ100では、アクセスポリシ管理テーブル162とリンクアクセスポリシ管理テーブル163とを用いてアクセスポリシの管理を行っている。作成者は、リンクアクセスポリシ管理テーブル163に、新たなリンクアクセスポリシを設定することにより、複数の二次配布者のアクセスポリシを設定することができる。また、図示していないが、三次以上の配布者が存在する場合は、新たなリンクアクセスポリシ管理テーブルを作成すること等により、三次以上の配布者に対しても容易にアクセスポリシを設定することができる。
なお、図10および図11では利用権として閲覧権と印刷権とを例示したが、本発明ではこれに限らず、利用権として例えば電子文書の別名での保存の許否を示す保存権等の利用権を設定することもできる。
また、以下では、単に、「アクセスポリシの設定」という場合は、アクセスポリシおよびリンクアクセスポリシの設定を意味する。
作成者が保護電子文書を配布する際、クライアント200を用いて電子文書から保護電子文書を作成し、アクセス権限管理サーバ100にアクセスポリシを登録する処理(作成・登録処理)を行わせる。作成・登録処理を行わせるには作成者がキーボード等を操作することによりクライアントコントロール部210に設定要求を送る。クライアントコントロール部210は設定要求を受け取ると、アクセスポリシ設定部240に設定要求を送る。アクセスポリシ設定部240は、クライアント200に接続されたモニタにアクセスポリシ設定画面を起動する。作成者は、キーボードやマウス等を用いてアクセスポリシ設定画面を見ながら設定動作を行うことにより、アクセスポリシの設定を行う。
図12は、アクセスポリシ設定画面を示す図である。
アクセスポリシ設定画面50は、アクセスポリシを入力するアクセスポリシ入力部50aと、リンクアクセスポリシを入力するリンクアクセスポリシ入力部50bと、作成者のユーザID入力用の入力欄51と、パスワード入力用の入力欄52と、新規登録ボタン53aと、追加ボタン53bと、中止ボタン54とを有している。
アクセスポリシ入力部50aには配布を希望する電子文書を入力する入力欄55と、一次配布者のユーザIDまたはグループIDを入力する入力欄56と、閲覧権の許否を選択する選択欄57と、印刷権の許否を選択する選択欄58と、アクセスポリシ設定権の許否を選択する選択欄59とが設けられている。閲覧権、印刷権およびアクセスポリシ選択権の許否は、各選択欄に設けられたチェックボックスをマウス等でクリックすることにより選択することができる。
リンクアクセスポリシ入力部50bには二次配布者である設定範囲ユーザIDまたは設定範囲グループIDを入力する入力欄60と、閲覧権の許否を選択する選択欄61と、印刷権の許否を選択する選択欄62と、設定可能アクセスポリシ設定権の許否を選択する選択欄63とが設けられている。
また、リンクアクセスポリシ入力部50bには作成するリンクアクセスポリシの数が複数存在する場合、リンクアクセスポリシを切り替えるためのタブ(図12では2つのタブ64、65)が設けられている。
作成者は、各入力欄に必要事項を入力し、各選択欄の内容を選択する。その後、作成者が新規登録ボタン53aを押下することにより、作成・登録処理が開始され、アクセスポリシ設定部240がクライアントコントロール部210に確定通知を送り、クライアントコントロール部210が各部に指示を与える。
また、ユーザが中止ボタン54を押下すると、アクセスポリシ設定部240がアクセスポリシ設定画面50を閉じる。この場合作成・登録処理は行われない。
次に、作成・登録処理について説明する。
図13は、作成・登録処理を示す図である。
まず、クライアントコントロール部210が、作成者(ユーザA)の保護電子文書の作成を指示する操作入力を受け付ける。具体的には、ユーザAにより新規登録ボタン53aが押下されると、アクセスポリシ設定画面50に入力されたユーザAのユーザID「UID」およびパスワード「PWD」と、ユーザAの(第1の)アクセスポリシ「AP」と、電子文書「Doc」との入力を受け付ける(ステップS11)。
次に、クライアントコントロール部210が、保護文書生成部220に電子文書「Doc」を渡す。すると、暗号化部222が、電子文書「Doc」に対する秘密鍵「Key」を生成する。そして、生成した秘密鍵「Key」を用いて電子文書を暗号化し(ステップS12)、中間電子文書「E[Key、Doc]」を生成する。
次に、ドキュメントID生成部221が、ドキュメントID「DID」を生成し、中間電子文書「E[Key、Doc]」にドキュメントID生成部221で生成されたドキュメントID「DID」を付加して保護電子文書「EDoc」を生成する(ステップS13)。そして生成した保護電子文書「EDoc」を保護電子文書記憶部230に記憶する。
次に、クライアントコントロール部210が、ユーザID「UID」とパスワード「PWD」と、アクセスポリシ「AP」と、秘密鍵「Key」と、ドキュメントID「DID」とを登録依頼としてアクセス権限管理サーバ100に送信する(ステップS14)。
一方、アクセス権限管理サーバ100の通信部120が、これらの情報を受信すると(ステップS15)、サーバコントロール部110が、ユーザID「UID」とパスワード「PWD」とをユーザ認証部140に渡す。
次に、ユーザ認証部140が、ユーザID「UID」とパスワード「PWD」との認証を行う(ステップS16)。
認証されなければ(ステップS16のNo)、通信部120が失敗通知(登録依頼結果)をクライアント200に送信する(ステップS17)。
一方、認証されれば(ステップS16のYes)、アクセスポリシ設定権確認部132が、ドキュメントID「DID」が新規登録であるか否かを確認する(ステップS18)。具体的には、アクセスポリシ管理テーブル162およびリンクアクセスポリシ管理テーブル163に該当するドキュメントID「DID」が存在するか否かを判断する。
新規登録でなければ(ステップS18のNo)、通信部120が失敗通知をクライアント200に送信する。
新規登録であれば(ステップS18のYes)、アクセスポリシ登録部133が、ドキュメントID「DID」と、秘密鍵「Key」と、アクセスポリシ「AP」のうちの一次配布者アクセスポリシとをアクセスポリシ管理テーブル162に登録する。この際、権限情報リンクの欄にリンクIDを生成し、リンクアクセスポリシ管理テーブル163に、アクセスポリシ管理テーブル162に生成した権限情報リンクに等しいリンクIDと二次配布者アクセスポリシとを設定する(ステップS19)。
その後、通信部120が、クライアント200に登録が成功したことを示す成功通知(登録依頼結果)を送信する(ステップS20)。
ここで、クライアント200の通信部270が失敗通知を受信すると(ステップS21のNo)、例えばクライアントコントロール部210が、モニタに登録失敗を報知する報知画面を表示させる(ステップS22)。
通信部270が成功通知を受信すると(ステップS21のYes)、クライアントコントロール部210が、成功通知を確認後、保護電子文書「EDoc」を保護電子文書記憶部230から取り出し、例えば電子メールアプリケーションを起動し、添付ファイルとして保護電子文書「EDoc」を添付する。ユーザAが一次配布者のメールアドレス等を入力して送信ボタンを押下することにより、通信部270が電子メールをクライアント300に送信する(ステップS23)。
以上で、作成・登録処理を終了する。
図14は、作成・登録処理の概要を示す図である。
図14中の各ステップは、それぞれ図13に示すフローチャートの各ステップに対応している。
なお、本実施の形態では、アクセスポリシ「AP」は、ユーザID「UID」と、パスワード「PWD」と、電子文書「Doc」と同時に入力する例を示したが、本発明ではこれに限らず、予めアクセスポリシ「AP」をアクセスポリシ管理テーブル162およびリンクアクセスポリシ管理テーブル163に設定しておき、その後ユーザID「UID」と、パスワード「PWD」と、電子文書「Doc」とを入力してもよい。
一次配布者が、保護電子文書「EDoc」を利用するには、クライアント300を用いてアクセス権限管理サーバ100から利用許可を受ける利用処理を行わせる。利用処理を行わせるには、一次配布者がキーボード等を操作することによりクライアントコントロール部310に利用要求を送る。クライアントコントロール部310は利用要求を受け取ると、保護文書使用部350に利用要求を送る。保護文書使用部350は、クライアント300に接続されたモニタに保護文書利用画面を起動する。
図15は、保護文書利用画面を示す図である。
保護文書利用画面70は、保護文書の利用を希望するユーザのユーザID入力用の入力欄71と、パスワード入力用の入力欄72と、利用対象の電子文書名入力用の入力欄73と、確定ボタン74と中止ボタン75とを有している。
ユーザが必要事項を入力して確定ボタン74を押下することにより利用処理が開始され、保護文書使用部350がクライアントコントロール部310に確定通知を送り、クライアントコントロール部310が、各部に指示を与える。
次に、利用処理について、クライアント200により作成された保護電子文書「EDoc」を、クライアント300を使用する一次配布者(ユーザB)が利用する場合を例にとって説明する。
図16は、利用処理を示す図である。
まず、保護文書使用部350が、ユーザBの保護電子文書の利用を指示する操作入力を受け付ける。具体的には、ユーザBにより確定ボタン74が押下されると、保護文書利用画面70に入力されたユーザID「UID」と、パスワード「PWD」と、保護電子文書「EDoc」との入力を受け付ける(ステップS31)。
次に、ドキュメントID読み出し部351が、ドキュメントID「DID」を読み出す(ステップS32)。
次に、通信部370が、ユーザID「UID」と、パスワード「PWD」と、ドキュメントID「DID」とを利用依頼としてアクセス権限管理サーバ100に送信する(ステップS33)。
一方、アクセス権限管理サーバ100の通信部120が、これらの情報を受信すると(ステップS34)、サーバコントロール部110が、ユーザID「UID」とパスワード「PWD」とをユーザ認証部140に渡す。
次に、ユーザ認証部140が、ユーザID「UID」とパスワード「PWD」との認証を行う(ステップS35)。
認証されなければ(ステップS35のNo)、通信部120が失敗通知(利用依頼結果)をクライアント300に送信する(ステップS36)。そして、例えばクライアントコントロール部310が、モニタに利用失敗である旨を報知する報知画面を表示させる(ステップS37)。そして利用処理を終了する。
一方、認証されれば(ステップS35のYes)、利用権確認部131が、アクセスポリシ管理テーブル162およびリンクアクセスポリシ管理テーブル163を参照してドキュメントID「DID」に対してユーザID「UID」が利用権「UaB」を有するか否かを判断する(ステップS38)。
利用権「UaB」を有していなければ(ステップS38のNo)、ステップS36以降の動作を行う。
一方、利用権「UaB」を有していれば(ステップS38のYes)、アクセスポリシ読み出し部134が、利用権「UaB」と秘密鍵「Key」とをアクセスポリシ管理テーブル162から読み出す(ステップS39)。
次に、通信部120が、利用権「UaB」と秘密鍵「Key」とを利用依頼結果としてクライアント300に送信する(ステップS40)。
クライアント300の通信部370が、利用権「UaB」と秘密鍵「Key」とを受信すると(ステップS41)、復号部352が、受信した秘密鍵「Key」を用いて保護電子文書「E[Key、Doc]」を復号する(ステップS42)。その後、クライアントコントロール部310が、電子文書「Doc」をアプリケーション制御部360に渡す。
次に、アプリケーション制御部360が、利用権に従って電子文書「Doc」の利用を開始する(ステップS43)。
以上で、利用処理を終了する。
図17は、利用処理の概要を示す図である。
ところで、一次配布者は二次配布者から1人の配布者(特定先)を指定し、その配布者に電子文書を利用させる場合、一次配布者が使用するクライアント300を用いてアクセスポリシ設定画面50の入力欄51、52に一次配布者のユーザIDおよびパスワードを入力する。そして、アクセスポリシ入力部50aの入力欄55に利用させたい保護電子文書を入力し、入力欄56に追加したい特定先のユーザIDまたはグループIDを入力し、各選択欄の内容を選択する。その後、一次配布者が追加ボタン53bを押下することにより、アクセス権限管理サーバ100のアクセスポリシDB160に格納されているアクセスポリシ管理テーブル162やリンクアクセスポリシ管理テーブル163に特定先のアクセスポリシを追加する処理(特定先指定処理)が開始される。すなわち、アクセスポリシ設定部340がクライアントコントロール部310に確定通知を送り、クライアントコントロール部310が、各部に指示を与えて処理を行う。
次に、特定先指定処理について、保護電子文書「EDoc」にクライアント300を使用するユーザBがユーザCを特定先に指定する場合を例にとって説明する。
図18および図19は、特定先指定処理を示す図である。
まず、クライアントコントロール部310が、ユーザCの保護電子文書のアクセスポリシの追加を指示する操作入力を受け付ける。具体的には、ユーザBにより追加ボタン53bが押下されると、ユーザBによりアクセスポリシ設定画面50に入力されたユーザBのユーザID「UID」およびパスワード「PWD」と、アクセスポリシ(以下、追加アクセスポリシという)「AP」と、保護電子文書「EDoc」の入力を受け付ける(ステップS51)。ここで、追加アクセスポリシ「AP」には、ユーザCのユーザIDが格納されている。
次に、ドキュメントID読み出し部351が、ドキュメントID「DID」を読み出す(ステップS52)。
次に、通信部370が、ユーザID「UID」と、パスワード「PWD」と、アクセスポリシ「AP」と、ドキュメントID「DID」とを特定先指定依頼としてアクセス権限管理サーバ100に送信する(ステップS53)。
一方、アクセス権限管理サーバ100の通信部120が、これらの情報を受信すると(ステップS54)、サーバコントロール部110が、ユーザID「UID」とパスワード「PWD」とをユーザ認証部140に渡す。
次に、ユーザ認証部140が、ユーザID「UID」とパスワード「PWD」との認証を試みる(ステップS55)。認証されなければ(ステップS55のNo)、通信部120が失敗通知(特定先指定依頼結果)をクライアント200に送信する(ステップS56)。
一方、認証されれば(ステップS55のYes)、アクセスポリシ設定権確認部132が、アクセスポリシ管理テーブル162を参照し、ドキュメントID「DID」に対してユーザID「UID」がアクセスポリシ設定権を有するか否かを判断する(ステップS57)。アクセスポリシ設定権を有していなければ(ステップS57のNo)、通信部120が失敗通知をクライアント200に送信する(ステップS56)。
一方、アクセスポリシ設定権を有していれば(ステップS57のYes)、アクセスポリシ読み出し部134が、アクセスポリシDB160からユーザID「UID」のアクセスポリシ設定権「AaB」を読み出す(ステップS58)。
次に、アクセスポリシ設定権確認部132が、追加アクセスポリシ「AP」が、ユーザID「UID」のアクセスポリシ設定権「AaB」の範囲内か否かを確認する確認処理を行う(ステップS59)。
確認処理が成功すると、アクセスポリシ登録部133が、ドキュメントID「DID」のアクセスポリシ「AP」が設定されたアクセスポリシ管理テーブルに追加アクセスポリシ「AP」を登録する(ステップS60)。
次に、通信部120が、クライアント300に登録が成功したことを示す成功通知(特定先指定依頼結果)を送信する(ステップS61)。
通信部370は、成功通知を受信したか否かを判断する(ステップS62)。
通信部370が失敗通知を受信すると(ステップS62のNo)、クライアントコントロール部310が、例えばモニタに登録失敗を報知する報知画面を表示させる(ステップS63)。
クライアント300の通信部370が、成功通知を受信すると(ステップS62のYes)、クライアントコントロール部310が、例えばモニタに登録成功を報知する報知画面を表示させること等によりユーザBに登録の成功を報知する(ステップS64)。
以上で、特定先指定処理を終了する。
図20は、特定先指定処理の概要を示す図である。
次に、ステップS59の確認処理について説明する。
図21は、確認処理を示すフローチャートである。
まず、ユーザID「UID」のアクセスポリシ設定権「AaB」と、追加アクセスポリシ「AP」の入力を受け付ける(ステップS591)。
次に、アクセスポリシ設定権「AaB」が設定できる利用権が、追加アクセスポリシ「AP」の利用権の範囲を含むか(包含しているか)否かを判断する(ステップS592)。これは、リンクアクセスポリシ管理テーブル163の設定可能利用権の欄を参照することにより判断することができる。
包含していない場合(ステップS592のNo)、通信部120が失敗通知をクライアント200に送信する(ステップS593)。
包含している場合(ステップS592のYes)、アクセスポリシ設定権「AaB」が(アクセスポリシ設定権「AaB」を用いて)設定できるアクセスポリシ設定権が存在するか否かを判断する(ステップS594)。これは、アクセスポリシ管理テーブル162のアクセスポリシ設定の欄を参照することにより判断することができる。
アクセスポリシ設定権「AaB」が設定できるアクセスポリシ設定権が存在しない場合(ステップS594のNo)、通信部120が失敗通知をクライアント200に送信する(ステップS593)。
アクセスポリシ設定権「AaB」が設定できるアクセスポリシ設定権が存在する場合(ステップS594のYes)、グループ管理テーブル161を参照し、アクセスポリシ設定権「AaB」の設定範囲ユーザIDorグループIDの欄に設定されたユーザIDまたはグループIDが、アクセスポリシ「AP」のユーザID「UID」を含むか否かを判断する(ステップS595)。
アクセスポリシ「AP」のユーザID「UID」を含まない場合(ステップS595のNo)、通信部120が失敗通知をクライアント200に送信する(ステップS593)。
アクセスポリシ「AP」のユーザID「UID」を含む場合(ステップS595のYes)、アクセスポリシ設定OKと判断する(ステップS596)。以上で確認処理を終了する。
なお、本実施の形態ではアクセスポリシの特定先を指定する場合について説明したが、アクセスポリシの特定先を変更する場合においても特定先指定処理と略同様にして行うことができる。具体的には変更者がアクセスポリシ設定画面50の各入力欄の入力事項または各選択欄の内容を変更する。そして、追加ボタン53bを押下する。そして、アクセス権限管理サーバ100は、確認処理が成功すると、アクセスポリシ登録部133が、アクセスポリシ管理テーブル162に変更者のユーザIDを有するアクセスポリシが存在するか否かを判断し、存在する場合は、アクセスポリシの内容を変更し、アクセスポリシ管理テーブル162に登録する。
次に、前述した各処理を、具体例を用いて説明する。
(第1の具体例)
第1の具体例では、閲覧権、印刷権およびアクセスポリシ設定権を任意に設定する権限を有し、ユーザID「suzuki」を有する部長が、グループID「eigyo1」を有する第一営業課に電子文書を配布する際の例を示す。
部長は、第一営業課を統括しているユーザID「yamada」を有する第一営業課長(以下、単に課長という)に保護電子文書を配布する。
部長は、アクセスポリシ設定画面50のアクセスポリシ入力部50aにドキュメントID「DOC0001」、ユーザIDorグループID「yamada」、閲覧権、印刷権ともに「Yes」、アクセスポリシ設定権「Yes」を設定する。さらに、リンクアクセスポリシ入力部50bにてリンク1のタブ64を選択し、設定範囲ユーザIDorグループID「eigyo1」、閲覧権「Yes」、印刷権「No」、アクセスポリシ「No」を設定する。この時部長は誰が担当になるか分からない。
図22は、本実施の形態の具体例を示すアクセスポリシ管理テーブルおよびリンクアクセスポリシ管理テーブルを示す図である。
その後、部長が新規登録ボタン53aを押下することにより、アクセスポリシDB160において、図22(a)に示すように課長に対するアクセスポリシ管理テーブル162aと、図22(b)に示すように第一営業課に対するリンクアクセスポリシ管理テーブル163aとが設定される。その後、例えば「この件について担当を付けて処理するように」と保護電子文書を電子メールにより課長に送信する。
アクセスポリシ管理テーブル162aの閲覧権および印刷権ともに「Yes」であるため、課長は前述した利用処理を行うことにより、電子文書の閲覧および印刷を行うことができる。
また、課長は、部長により与えられたアクセスポリシ設定権を行使し、第一営業課内のユーザID「sato」を有する部下Aを担当に決定し、部下Aに対して閲覧のみを許可する場合、アクセスポリシ設定画面50により、課長から見た一次配布者(部長から見た二次配布者)として部下Aのアクセスポリシを追加する。
図23は、具体例のアクセスポリシ設定画面を示す図である。
課長はアクセスポリシ設定権を有しているが、部長が設定したリンクアクセスポリシ管理テーブル163aの内容により、実質的に設定の変更が可能な部分は、ユーザIDorグループIDと、閲覧権の許否のみである。すなわち利用権として印刷権(与えられた権利外の利用権)を選択したり、アクセスポリシ設定権を「Yes」に変更して部下Aにアクセスポリシ設定権を与えたり、第二営業課の人員を選択したりすることはできない。このような変更を行って確定ボタンを押下した場合、アクセス権限管理サーバ100が前述した特定先指定処理を行い、変更を却下する。逆に部下Aへの利用権を全て不可にする等、課長のアクセスポリシ設定権内で利用権やアクセスポリシ設定権を制限する変更は可能である。
課長が、ユーザID「sato」、閲覧権「Yes」に設定し、確定ボタンを押下すると、前述した特定先指定処理が実行された後に、アクセスポリシ管理テーブル162aが変更される。
図24は、担当指定後のアクセスポリシ管理テーブルを示す図である。
これにより、部下Aは、利用処理を行うことにより電子文書を閲覧することができるようになる。
このように、電子文書の作成者である部長は、課長に「アクセスポリシ設定権」を与えることで、第一営業課の中から処理を行わせる部下Aを直接指定しなくてもよい。よって、部長の負荷を軽減させることができる。
また、部長は、第1のアクセスポリシ設定時にリンクアクセスポリシ管理テーブル163に設定可能アクセスポリシ設定権を設定することにより、第一営業課の課員は、与えられた利用権の範囲内でのみ電子文書の利用が可能となる。このように、第一営業課に対する電子文書の配布の許否の設定を厳密に行うことができるため、電子文書の漏洩を容易かつ確実に抑制または防止することができる。
また、課長は、部長に再度確認をとることなく第一営業課内で処理を行わせる部下Aを特定し、特定先指定処理を行うことで第一営業課内の部下Aのみに電子文書を利用させることができる。
ユーザベースやロールベースといった従来のアクセスポリシ管理では、ポリシを運用する組織の規模が大きくなり、階層化されていくと、作成者の手間が非常に煩雑になって運用が破綻するのに対し、本実施の形態によれば大規模で階層化された組織でも容易かつ効率的に安全な電子文書の運用管理を行うことができる。
また、各ユーザが1つ以上のグループに属していてもグループ管理テーブル161を参照することにより、グループ−グループ間およびユーザ−グループ間の関係を容易に把握することができるため、容易に管理を行うことができる。
(第2の具体例)
第2の具体例では、閲覧権、印刷権およびアクセスポリシ設定権を任意に設定する権限を有する部長が、課長のアクセスポリシでアクセスポリシの設定可能なユーザとして第一営業課以外の課のユーザID「tanaka」を有するユーザを新たに加える際の例を示す。
図25は、第2の具体例のアクセスポリシ設定画面を示す図である。
部長は、アクセスポリシ設定画面50のアクセスポリシ入力部50aにドキュメントID「DOC0001」、ユーザIDorグループID「yamada」、閲覧権、印刷権ともに「Yes」、アクセスポリシ設定権「Yes」を設定する。さらに、リンクアクセスポリシ入力部50bにてリンク2のタブ65を選択し、設定範囲ユーザIDorグループID「tanaka」、閲覧権「Yes」、印刷権「No」、アクセスポリシ「No」を設定する。その後、追加ボタン53bを押下する。
図26は、ユーザ追加後のリンクアクセスポリシ管理テーブルを示す図である。
図26(a)および図26(b)に示すように、ユーザが追加されることによりリンクアクセスポリシ管理テーブル163aは、リンクアクセスポリシ管理テーブル163bに更新される。リンクアクセスポリシ管理テーブル163bでは、次リンクIDの欄が変更される。具体的には次リンクIDの欄に「LINK00002」が設定される。そして、アクセスポリシ設定画面上での変更内容を示す新たなリンクアクセスポリシが作成される。具体的には、リンクIDの欄には「LINK00002」が設定される。設定範囲ユーザorグループIDの欄には「tanaka」が設定される。閲覧権の欄には「Yes」が設定される。印刷権の欄には「No」が設定される。設定可能アクセスポリシ設定権の欄には「No」が設定される。次リンクIDの欄には「Null」が設定される。これにより、課長は、特定先指定処理をユーザID「tanaka」を有するユーザに適用し、かつ、ユーザID「tanaka」を有するユーザが利用処理を行うことにより電子文書を閲覧することができるようになる。このように、第2の具体例によれば、容易に特定先の追加や削除を行うことができる。
次に、第2の実施の形態のシステムについて説明する。
以下、第2の実施の形態のシステムについて、前述した第1の実施の形態との相違点を中心に説明し、同様の事項については、その説明を省略する。
第2の実施の形態のシステムは、アクセスポリシ設定権をあるユーザに設定する場合にデフォルトのアクセスポリシを設定することができる点が第1の実施の形態と異なっている。
クライアント200を使用する一次配布者がアクセスポリシ設定権のデフォルト設定を行う場合、キーボード等を操作することによりクライアントコントロール部210にデフォルトアクセスポリシ設定要求を送る。クライアントコントロール部210はデフォルトアクセスポリシ設定要求を受け取ると、アクセスポリシ設定部240にデフォルトアクセスポリシ設定要求を送る。アクセスポリシ設定部240は、クライアント200に接続されたモニタにデフォルトアクセスポリシ設定画面を起動する。
図27は、デフォルトアクセスポリシ設定画面を示す図である。
デフォルトアクセスポリシ追加画面80は、デフォルトアクセスポリシ作成ユーザのユーザID入力用の入力欄81と、パスワード入力用の入力欄82と、アクセスポリシ適用ユーザの入力欄83と、保護電子文書の入力欄84と、確定ボタン85と、中止ボタン86とを有している。
一次配布者であるユーザAが自己のユーザIDおよびパスワードと、アクセスポリシを適用するユーザBのユーザIDと、保護電子文書名を入力して確定ボタン85を押下することにより、デフォルトアクセスポリシ設定処理が開始される。すなわち、アクセスポリシ設定部240がクライアントコントロール部210に確定通知を送り、クライアントコントロール部210が、各部に指示を与えて処理を行う。
次に、デフォルトアクセスポリシ設定処理について、ユーザAがユーザBに対してアクセスポリシ設定権を次のようなルールで設定する場合について説明する。
・設定範囲ユーザIDorグループID:ユーザAのアクセスポリシ設定範囲とユーザBの属するグループのAND条件を満たす範囲
・設定可能利用権:ユーザAの利用権
・設定可能アクセスポリシ設定権:なし
なお、このルールは、予めアクセス権限管理サーバ100側に格納されている。
図28および図29は、デフォルトアクセスポリシ設定処理を示す図である。
まず、クライアントコントロール部210が、ユーザAの保護電子文書の作成を指示する操作入力を受け付ける。具体的には、ユーザAにより確定ボタン85が押下されると、デフォルトアクセスポリシ追加画面80に入力されたユーザAのユーザID「UID」およびパスワード「PWD」と、追加アクセスポリシ適用ユーザのユーザID(適用ユーザID)「UID」と、保護電子文書「Doc」との入力を受け付ける(ステップS71)。
次に、ドキュメントID読み出し部251が、ドキュメントID「DID」を読み出す(ステップS72)。
次に、通信部270が、ユーザID「UID」と、パスワード「PWD」と、ドキュメントID「DID」と、ユーザID「UID」とをアクセス権限管理サーバ100に送信する(ステップS73)。
一方、アクセス権限管理サーバ100の通信部120が、これらの情報を受信すると(ステップS74)、サーバコントロール部110が、ユーザID「UID」とパスワード「PWD」とをユーザ認証部140に渡す。
次に、ユーザ認証部140が、ユーザID「UID」とパスワード「PWD」との認証を試みる(ステップS75)。認証されなければ(ステップS75のNo)、通信部120が失敗通知をクライアント200に送信する(ステップS76)。そして、クライアントコントロール部210が、例えばモニタに設定失敗を報知する報知画面を表示させる(ステップS77)。そしてデフォルトアクセスポリシ設定処理を終了する。
一方、認証されれば(ステップS75のYes)、ユーザID「UID」の所属グループ「Rol」をグループ管理テーブル161から読み出す(ステップS78)。
次に、アクセスポリシ設定権確認部132が、ユーザID「UID」がドキュメントIDに対してアクセスポリシ設定権を有するか否かを判断する(ステップS79)。
アクセスポリシ設定権を有しない場合(ステップS79のNo)、ステップS76以降の処理を行う。
アクセスポリシ設定権を有する場合(ステップS79のYes)、利用権確認部131が、ユーザID「UID」がドキュメントID「DID」に対して利用権を有するか否かを判断する(ステップS80)。
利用権を有しない場合(ステップS80のNo)、ステップS76以降の処理を行う。
利用権を有する場合(ステップS80のYes)、アクセスポリシ読み出し部134が、ユーザID「UID」のアクセスポリシ設定権「AaA」と利用権「UaA」とをアクセスポリシ管理テーブル162から読み出す(ステップS81)。
次に、アクセスポリシ設定権確認部132が、ユーザID「UID」の所属グループ「Rol」とユーザ「UID」のアクセスポリシ設定権「AaA」の設定範囲との重なる範囲(AND)を抽出する(ステップS82)。
次に、通信部120が、利用権「UaA」と抽出した重なる範囲とをクライアント200に送信する(ステップS83)。
通信部270は、利用権「UaA」と抽出した重なる範囲とを受信すると(ステップS84)、アクセスポリシ設定部240が、利用権「UaA」と抽出した重なる範囲とでデフォルトアクセスポリシ「AaB」を生成する(ステップS85)。
次にアクセスポリシ設定部240が、生成したデフォルトアクセスポリシを例えばモニタ等に出力する(ステップS86)。
以上で、デフォルトアクセスポリシ設定処理を終了する。
なお、アクセスポリシ設定部240が出力したデフォルトアクセスポリシは、クライアント200のHDD203等に記憶しておき、例えばアクセスポリシ設定画面50上で、デフォルトアクセスポリシを読み出せるようにしておくのが好ましい。これにより、円滑なアクセスポリシの設定を行うことができる。
この第2の実施形態のシステムによれば、第1の実施の形態のシステムと同様の効果が得られる。
そして、第2の実施形態のシステムによれば、配布者の数が多い場合においても容易にアクセスポリシの設定を行うことができる。さらに、アクセスポリシ設定権確認部132が、ユーザID「UID」の所属グループ「Rol」とユーザ「UID」のアクセスポリシ設定権「AaA」の設定範囲との重なる範囲(AND)を抽出するようにしたので、配布者に対し過剰な権限を与えることなく、容易に安全な電子文書の運用管理を行うことができる。
以上、本発明のアクセス権限管理プログラム、アクセス権限管理装置およびアクセス権限管理方法を、図示の実施の形態に基づいて説明したが、本発明はこれに限定されるものではなく、各部の構成は、同様の機能を有する任意の構成のものに置換することができる。また、本発明に、他の任意の構成物や工程が付加されていてもよい。
また、本発明は、前述した各実施の形態のうちの、任意の2以上の構成(特徴)を組み合わせたものであってもよい。
さらに、本発明のアクセス権限管理プログラムを実行するコンピュータに、アクセスポリシが変更された場合であっても、文書へのアクセスログに基づくアクセス状況をアクセスポリシに基づいて正確に判断することができる文書アクセス管理プログラムを実行させるのが好ましい。
図30は、文書アクセス管理プログラムの概要を示す図である。
この文書アクセスプログラムは、図30に示す機能をコンピュータ100aに実行させることができる。
コンピュータ100aには、第1のクライアント600、第2のクライアント700および第3のクライアント800が接続されている。第1のクライアント600から第2のクライアント700へは文書(電子文書)500が配布される。第2のクライアント700は、文書500の閲覧等のアクセス機能に加え、文書500に対するアクセスログの取得機能を備えている。第2のクライアント700が取得したアクセスログは、所定のタイミング(例えば、文書500へアクセスした直後やコンピュータ100aとの間で通信が可能となったとき)でコンピュータ100aに送信される。
コンピュータ100aは、文書500へのアクセス状況を管理するために、アクセスポリシ記憶手段500a、ポリシログ記憶手段500b、アクセスログ記憶手段500c、アクセスポリシ管理手段500d、ポリシログ取得手段500e、アクセスポリシ送信手段500f、アクセスログ取得手段500gおよびログ検索手段500hを有する。
アクセスポリシ記憶手段500aは、文書500に対するアクセスの許可条件が定義されたアクセスポリシを記憶する。例えば、アクセスポリシには、文書500を閲覧可能なユーザや、文書500を閲覧可能なクライアント等が定義されている。
ポリシログ記憶手段500bは、アクセスポリシの設定操作の内容を示すポリシログを記憶する。ポリシログには、例えば、変更前後のアクセスポリシの内容が含まれる。
アクセスログ記憶手段500cは、文書500に対するアクセスの内容を示すアクセスログを記憶する。アクセスログには、例えば、アクセス日時やアクセス対象の文書名に加え、不正なアクセスか否か等の情報が含まれる。
アクセスポリシ管理手段500dは、第1のクライアント600からアクセスポリシの設定要求を受け付け、設定要求に応じてアクセスポリシ記憶手段500aに対するアクセスポリシの新規設定または記憶されているアクセスポリシの内容変更を行う。なお、アクセスポリシ管理手段500dは、アクセスログの改竄等の不正を検出した際に、そのアクセスログの送信元に関連するアクセスポリシの内容を自動変更し、アクセスログの送信元のクライアントから文書500へのアクセスを禁止させることもできる。
ポリシログ取得手段500eは、アクセスポリシ管理手段500dによってアクセスポリシの新規設定または内容変更が行われると、新規設定された内容または変更後の内容をポリシログ記憶手段500bに格納する。ポリシログ取得手段500eが取得するポリシログには、アクセスポリシの設定要求に応じて行われたアクセスポリシの操作内容を示すポリシログと、不正検出等によりアクセスポリシ管理手段500dが自動で実行したアクセスポリシの操作内容を示すポリシログとが含まれる。
アクセスポリシ送信手段500fは、第2のクライアント700から文書500に関するアクセスポリシ取得要求が入力されると、アクセスポリシ記憶手段500aから文書500に関するアクセスポリシを取得し、取得したアクセスポリシを第2のクライアント700に対して送信する。これによって、第2のクライアント700では、アクセスポリシにおいて許可された文書500へのアクセスのみが実行される。その際、第2のクライアント700では、アクセス状況を示すアクセスログが生成される。なお、第2のクライアント700に対して、アクセスポリシで許可されていないアクセスを要求する操作入力が行われた場合には、不正アクセスがあったことを示すアクセスログが生成される。
アクセスログ取得手段500gは、第2のクライアント700から文書500に関するアクセスログを取得し、アクセスログ記憶手段500cに格納する。なお、アクセスログ取得手段500gは、アクセスログを取得する際に、そのアクセスログに対して改竄等の不正が行われていないことを確認する。例えば、第2のクライアント700において、アクセスログを送信する際に、そのアクセスログに署名を付加する。アクセスログ取得手段500gは、署名の正当性を確認することで、アクセスログに対する不正操作の有無を判断する。
ログ検索手段500hは、第3のクライアント800から検索条件を受け取ると、検索条件に合致するポリシログをポリシログ記憶手段500bから取得し、検索条件に合致するアクセスログをアクセスログ記憶手段500cから取得し、取得したポリシログとアクセスログとを第3のクライアント800に送信する。
このようなコンピュータ100aによれば、第1のクライアント600からアクセスポリシの設定要求が入力されると、アクセスポリシ管理手段500dにより、設定要求に応じてアクセスポリシ記憶手段500aに対するアクセスポリシの新規設定または記憶されているアクセスポリシの内容変更が行われる。すると、ポリシログ取得手段500eにより、新規設定された内容または変更後の内容がポリシログ記憶手段500bに格納される。また、第2のクライアント700から文書500に関するアクセスポリシ取得要求が入力されると、アクセスポリシ送信手段500fにより、アクセスポリシ記憶手段500aから文書500に関するアクセスポリシが取得され、取得したアクセスポリシが第2のクライアント700に対して送信される。その後、アクセスログ取得手段500gにより、第2のクライアント700から文書500に関するアクセスログが取得され、アクセスログ記憶手段500cに格納される。そして、第3のクライアント800から検索キーを含むログ取得要求が入力されると、ログ検索手段500hにより、検索条件に合致するポリシログがポリシログ記憶手段500bから取得され、検索条件に合致するアクセスログがアクセスログ記憶手段500cから取得され、取得されたポリシログとアクセスログとが第3のクライアント800に送信される。
このように、アクセスポリシの設定や変更が行われた際に、その操作の内容をポリシログとして格納しておき、ログ取得要求に応じて、アクセスログとポリシログとを検索して検索結果を応答するようにした。その結果、アクセスログだけでは不明であった事項を、明確に判断できるようになる。
例えば、あるユーザに対して文書500の閲覧が許可されていたが、アクセスポリシの変更により閲覧が不許可になる場合がある。このような場合、アクセスログだけを参照すると、過去に文書500を閲覧したことのあるユーザによる文書500の閲覧処理が、ある時期を境に不正と判断されていることしか分からない。そこで、ポリシログを参照すれば、アクセスポリシの変更が原因で文書500の閲覧ができなくなったことが判断できる。
なお、文書アクセス管理プログラムの詳細は「特願2006−137961」に記載されている。
これにより、作成者が自分の配布した電子文書を容易に追跡することができ、一次配布者以降の配布先の配布内容を容易かつ確実に把握することができるため、例えば電子文書の配布内容に応じたアクセスポリシの変更等を容易に行うことができる。
なお、上記の処理機能は、コンピュータによって(コンピュータに所定の権限管理プログラムを実行させることにより)実現することができる。その場合、アクセス権限管理サーバ100が有すべき機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等が挙げられる。磁気記録装置としては、例えば、ハードディスク装置、フレキシブルディスク(FD)、磁気テープ等が挙げられる。光ディスクとしては、例えば、DVD(Digital Versatile Disc)、DVD−RAM、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等が挙げられる。光磁気記録媒体としては、例えば、MO(Magneto-Optical disk)等が挙げられる。
プログラムを流通させる場合には、例えば、そのプログラムが記録されたDVD、CD−ROM等の可搬型記録媒体が販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。
アクセス権限管理プログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、サーバコンピュータからプログラムが転送される毎に、逐次、受け取ったプログラムに従った処理を実行することもできる。
(付記1) 電子文書に対するアクセス権限を管理するためのアクセス権限管理プログラムにおいて、
コンピュータを、
前記電子文書が配布された第1の配布先の情報および前記第1の配布先が前記電子文書を配布可能な範囲を示す第2の配布先の情報と、前記第2の配布先に対し定められた権限内で前記電子文書の利用を許可する利用権の情報とを有する第1のアクセスポリシを格納するアクセスポリシ格納手段、
前記第2の配布先を示す配布対象を記憶する記憶手段、
ある特定先への前記利用権の配布許可を求める配布先特定依頼が前記第1の配布先からあると、前記配布対象を参照して前記特定先が前記第2の配布先に含まれるか否かを確認するアクセスポリシ確認手段、
前記アクセスポリシ確認手段により前記特定先が第2の配布先に含まれることが確認されると、前記特定先と前記利用権の情報とを関連づけた第2のアクセスポリシを前記アクセスポリシ格納手段に登録する登録手段、
前記電子文書の利用を希望する利用依頼が前記特定先からあると、前記第2のアクセスポリシを参照し、前記特定先に前記利用権での前記電子文書の利用を許可する利用権確認手段、
として機能させることを特徴とするアクセス権限管理プログラム。
(付記2) 前記利用権確認手段は、前記利用依頼があると前記利用権の権限内での利用か否かを確認し、前記利用権の権限内での利用であることを確認すると、前記特定先に前記利用権での前記電子文書の利用を許可することを特徴とする付記1記載のアクセス権限管理プログラム。
(付記3) 前記第1のアクセスポリシは、前記第1の配布先に対し定められた権限内で前記電子文書の利用を許可する利用権を有していることを特徴とする付記1記載のアクセス権限管理プログラム。
(付記4) 前記配布先特定依頼には、前記電子文書の利用希望範囲を示す情報が含まれており、
前記アクセスポリシ確認手段は、前記配布先特定依頼があると、前記アクセスポリシ格納手段を参照して前記利用希望範囲が前記第1のアクセスポリシで定められた前記利用権の範囲内か否かを確認し、
前記アクセスポリシ確認手段により前記利用希望範囲が前記第1のアクセスポリシで定められた前記利用権の範囲内であることが確認されると、前記登録手段は前記第2のアクセスポリシを登録することを特徴とする付記1記載のアクセス権限管理プログラム。
(付記5) 前記第1のアクセスポリシは、前記第1の配布先の前記第2の配布先に対する前記電子文書の利用の許否を示すアクセスポリシ設定権を有し、
前記コンピュータを、
前記配布先特定依頼があると、前記アクセスポリシ設定権が許可されているか否かを確認するアクセスポリシ設定権確認手段、として機能させ、
前記アクセスポリシ設定権確認手段により前記アクセスポリシ設定権が許可されていることが確認された場合、前記登録手段は、前記第2のアクセスポリシを前記アクセスポリシ格納手段に登録することを特徴とする付記1記載のアクセス権限管理プログラム。
(付記6) 前記第1のアクセスポリシは、前記第1の配布先に対し定められた権限内で前記電子文書の利用を許可する利用権を有し、
前記アクセスポリシ設定権確認手段により前記アクセスポリシ設定権が許可されていることが確認された場合、前記アクセスポリシ設定権確認手段は、前記第1の配布先に対し定められた前記利用権に等しい前記利用権を前記第2の配布先の前記利用権とすることを特徴とする付記5記載のアクセス権限管理プログラム。
(付記7) 前記コンピュータを更に、前記配布先特定依頼が前記第1の配布先からの依頼であるか否かおよび前記利用依頼が前記特定先からの依頼であるか否かをそれぞれ認証する認証手段として機能させることを特徴とする付記1記載のアクセス権限管理プログラム。
(付記8) 前記登録手段は、前記電子文書を暗号化した暗号化キーを受け取ると、前記第1のアクセスポリシに前記暗号化キーを関連づけて前記アクセスポリシ格納手段に記憶させ、
前記コンピュータを更に、前記利用権確認手段が前記特定先に前記利用権での前記電子文書の利用を許可すると、前記アクセスポリシ格納手段から前記利用権と前記暗号化キーとを読み出すアクセスポリシ読み出し手段、
前記アクセスポリシ読み出し手段が読み出した前記利用権と前記暗号化キーとを前記クライアントに送信する送信手段、
として機能させることを特徴とする付記1記載のアクセス権限管理プログラム。
(付記9) 電子文書に対するアクセス権限を管理するためのアクセス権限管理方法において、
アクセスポリシ格納手段に前記電子文書が配布された第1の配布先の情報および前記第1の配布先が前記電子文書を配布可能な範囲を示す第2の配布先の情報と、前記第2の配布先に対し定められた権限内で前記電子文書の利用を許可する利用権の情報とを有する第1のアクセスポリシが格納され、記憶手段に前記第2の配布先を示す配布対象が記憶された状態で、
ある特定先への前記利用権の配布許可を求める配布先特定依頼が前記第1の配布先からあると、前記配布対象を参照して前記特定先が前記第2の配布先に含まれるか否かを確認し、
前記特定先が第2の配布先に含まれることが確認されると、前記特定先と前記利用権の情報とを関連づけた第2のアクセスポリシを前記アクセスポリシ格納手段に登録し、
前記電子文書の利用を希望する利用依頼が前記特定先からあると、前記第2のアクセスポリシを参照し、前記特定先に前記利用権での前記電子文書の利用を許可する、
ことを特徴とするアクセス権限管理方法。
(付記10) 電子文書に対するアクセス権限を管理するためのアクセス権限管理装置において、
前記電子文書が配布された第1の配布先の情報および前記第1の配布先が前記電子文書を配布可能な範囲を示す第2の配布先の情報と、前記第2の配布先に対し定められた権限内で前記電子文書の利用を許可する利用権の情報とを有する第1のアクセスポリシを格納するアクセスポリシ格納手段と、
前記第2の配布先を示す配布対象を記憶する記憶手段と、
ある特定先への前記利用権の配布許可を求める配布先特定依頼が前記第1の配布先からあると、前記配布対象を参照して前記特定先が前記第2の配布先に含まれるか否かを確認するアクセスポリシ確認手段と、
前記アクセスポリシ確認手段により前記特定先が第2の配布先に含まれることが確認されると、前記特定先と前記利用権の情報とを関連づけた第2のアクセスポリシを前記アクセスポリシ格納手段に登録する登録手段と、
前記電子文書の利用を希望する利用依頼が前記特定先からあると、前記第2のアクセスポリシを参照し、前記特定先に前記利用権での前記電子文書の利用を許可する利用権確認手段と、
を有することを特徴とするアクセス権限管理装置。
本発明の概要を示す図である。 本実施の形態のシステム構成例を示す図である。 アクセス権限管理サーバのハードウェア構成例を示す図である。 本システムの処理の概略を示す図である。 サーバの機能を示すブロック図である。 クライアントの機能を示すブロック図である。 ユーザ管理テーブルのデータ構造例を示す図である。 グループ管理テーブルのデータ構造例を示す図である。 図8に示すグループ関係を示す図である。 アクセスポリシ管理テーブルのデータ構造例を示す図である。 リンクアクセスポリシ管理テーブルのデータ構造例を示す図である。 アクセスポリシ設定画面を示す図である。 作成・登録処理を示す図である。 作成・登録処理の概要を示す図である。 保護文書利用画面を示す図である。 利用処理を示す図である。 利用処理の概要を示す図である。 特定先指定処理を示す図である。 特定先指定処理を示す図である。 特定先指定処理の概要を示す図である。 確認処理を示すフローチャートである。 本実施の形態の具体例を示すアクセスポリシ管理テーブルおよびリンクアクセスポリシ管理テーブルを示す図である。 具体例のアクセスポリシ設定画面を示す図である。 担当指定後のアクセスポリシ管理テーブルを示す図である。 第2の具体例のアクセスポリシ設定画面を示す図である。 ユーザ追加後のリンクアクセスポリシ管理テーブルを示す図である。 デフォルトアクセスポリシ設定画面を示す図である。 デフォルトアクセスポリシ設定処理を示す図である。 デフォルトアクセスポリシ設定処理を示す図である。 文書アクセス管理プログラムの概要を示す図である。
符号の説明
1、3a、4a、4b、5 コンピュータ
2 アクセスポリシ格納手段
3 第1の配布先
4 第2の配布先
4c プリンタ
6 記憶手段
7 アクセスポリシ確認手段
8 登録手段
9 利用権確認手段
10 ネットワーク
31 保護電子文書
50 アクセスポリシ設定画面
70 保護文書利用画面
80 デフォルトアクセスポリシ追加画面
100 アクセス権限管理サーバ
110 サーバコントロール部
120 通信部
130 アクセスポリシ制御部
131 利用権確認部
132 アクセスポリシ設定権確認部
133 アクセスポリシ登録部
134 アクセスポリシ読み出し部
140 ユーザ認証部
150 ユーザDB
160 アクセスポリシDB
151 ユーザ管理テーブル
161 グループ管理テーブル
162、162a アクセスポリシ管理テーブル
163、163a、163b リンクアクセスポリシ管理テーブル
200、300 クライアント
210、310 クライアントコントロール部
220、320 保護文書生成部
221 ドキュメントID生成部
222 暗号化部
230、330 保護電子文書記憶部
240、340 アクセスポリシ設定部
250、350 保護文書使用部
251、351 ドキュメントID読み出し部
252、352 復号部
260、360 アプリケーション制御部
270、370 通信部
AP1、AP2 アクセスポリシ

Claims (5)

  1. 電子文書に対するアクセス権限を管理するためのアクセス権限管理プログラムにおいて、
    コンピュータを、
    前記電子文書が配布された第1の配布先の情報および前記第1の配布先が前記電子文書を配布可能な範囲を示す第2の配布先の情報と、前記第2の配布先に対し定められた権限内で前記電子文書の利用を許可する利用権の情報とを有する第1のアクセスポリシを格納するアクセスポリシ格納手段、
    前記第2の配布先を示す配布対象を記憶する記憶手段、
    前記第1のアクセスポリシに含まれる前記第2の配布先の情報を基に前記第1の配布先が選択したある特定先への前記利用権の配布許可を求める配布先特定依頼が前記第1の配布先からあると、前記配布対象を参照して前記特定先が前記第2の配布先に含まれるか否かを確認するアクセスポリシ確認手段、
    前記アクセスポリシ確認手段により前記特定先が前記第2の配布先に含まれることが確認されると、前記特定先と前記利用権の情報とを関連づけており、かつ、前記第1の配布先により、前記第1のアクセスポリシの利用権を制限された第2のアクセスポリシを前記アクセスポリシ格納手段に登録する登録手段、
    前記電子文書の利用を希望する利用依頼が前記特定先からあると、前記第2のアクセスポリシを参照し、前記特定先に前記利用権での前記電子文書の利用を許可する利用権確認手段、
    として機能させることを特徴とするアクセス権限管理プログラム。
  2. 前記配布先特定依頼には、前記電子文書の利用希望範囲を示す情報が含まれており、
    前記アクセスポリシ確認手段は、前記配布先特定依頼があると、前記アクセスポリシ格納手段を参照して前記利用希望範囲が前記第1のアクセスポリシで定められた前記利用権の範囲内か否かを確認し、
    前記アクセスポリシ確認手段により前記利用希望範囲が前記第1のアクセスポリシで定められた前記利用権の範囲内であることが確認されると、前記登録手段は前記第2のアクセスポリシを登録することを特徴とする請求項1記載のアクセス権限管理プログラム。
  3. 前記第1のアクセスポリシは、前記第1の配布先の前記第2の配布先に対する前記電子文書の利用の許否を示すアクセスポリシ設定権を有し、
    前記コンピュータを、
    前記配布先特定依頼があると、前記アクセスポリシ設定権が許可されているか否かを確認するアクセスポリシ設定権確認手段、として機能させ、
    前記アクセスポリシ設定権確認手段により前記アクセスポリシ設定権が許可されていることが確認された場合、前記登録手段は、前記第2のアクセスポリシを前記アクセスポリシ格納手段に登録することを特徴とする請求項1記載のアクセス権限管理プログラム。
  4. 電子文書に対するアクセス権限を管理するためのアクセス権限管理方法において、
    アクセスポリシ格納手段に前記電子文書が配布された第1の配布先の情報および前記第1の配布先が前記電子文書を配布可能な範囲を示す第2の配布先の情報と、前記第2の配布先に対し定められた権限内で前記電子文書の利用を許可する利用権の情報とを有する第1のアクセスポリシが格納され、記憶手段に前記第2の配布先を示す配布対象が記憶された状態で、
    前記第1のアクセスポリシに含まれる前記第2の配布先の情報を基に前記第1の配布先が選択したある特定先への前記利用権の配布許可を求める配布先特定依頼が前記第1の配布先からあると、前記配布対象を参照して前記特定先が前記第2の配布先に含まれるか否かを確認し、
    前記特定先が前記第2の配布先に含まれることが確認されると、前記特定先と前記利用権の情報とを関連づけており、かつ、前記第1の配布先により、前記第1のアクセスポリシの利用権を制限された第2のアクセスポリシを前記アクセスポリシ格納手段に登録し、
    前記電子文書の利用を希望する利用依頼が前記特定先からあると、前記第2のアクセスポリシを参照し、前記特定先に前記利用権での前記電子文書の利用を許可する、
    ことを特徴とするアクセス権限管理方法。
  5. 電子文書に対するアクセス権限を管理するためのアクセス権限管理装置において、
    前記電子文書が配布された第1の配布先の情報および前記第1の配布先が前記電子文書を配布可能な範囲を示す第2の配布先の情報と、前記第2の配布先に対し定められた権限内で前記電子文書の利用を許可する利用権の情報とを有する第1のアクセスポリシを格納するアクセスポリシ格納手段と、
    前記第2の配布先を示す配布対象を記憶する記憶手段と、
    前記第1のアクセスポリシに含まれる前記第2の配布先の情報を基に前記第1の配布先が選択したある特定先への前記利用権の配布許可を求める配布先特定依頼が前記第1の配布先からあると、前記配布対象を参照して前記特定先が前記第2の配布先に含まれるか否かを確認するアクセスポリシ確認手段と、
    前記アクセスポリシ確認手段により前記特定先が前記第2の配布先に含まれることが確認されると、前記特定先と前記利用権の情報とを関連づけており、かつ、前記第1の配布先により、前記第1のアクセスポリシの利用権を制限された第2のアクセスポリシを前記アクセスポリシ格納手段に登録する登録手段と、
    前記電子文書の利用を希望する利用依頼が前記特定先からあると、前記第2のアクセスポリシを参照し、前記特定先に前記利用権での前記電子文書の利用を許可する利用権確認手段と、
    を有することを特徴とするアクセス権限管理装置。
JP2006183725A 2006-07-03 2006-07-03 アクセス権限管理プログラム、アクセス権限管理装置およびアクセス権限管理方法 Expired - Fee Related JP4973032B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006183725A JP4973032B2 (ja) 2006-07-03 2006-07-03 アクセス権限管理プログラム、アクセス権限管理装置およびアクセス権限管理方法
US11/595,626 US8032921B2 (en) 2006-07-03 2006-11-09 Computer-readable recording medium storing access rights management program, access rights management apparatus, and access rights management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006183725A JP4973032B2 (ja) 2006-07-03 2006-07-03 アクセス権限管理プログラム、アクセス権限管理装置およびアクセス権限管理方法

Publications (2)

Publication Number Publication Date
JP2008015625A JP2008015625A (ja) 2008-01-24
JP4973032B2 true JP4973032B2 (ja) 2012-07-11

Family

ID=38878421

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006183725A Expired - Fee Related JP4973032B2 (ja) 2006-07-03 2006-07-03 アクセス権限管理プログラム、アクセス権限管理装置およびアクセス権限管理方法

Country Status (2)

Country Link
US (1) US8032921B2 (ja)
JP (1) JP4973032B2 (ja)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8910241B2 (en) 2002-04-25 2014-12-09 Citrix Systems, Inc. Computer security system
US8434127B2 (en) * 2007-02-08 2013-04-30 Nec Corporation Access control system, access control method, electronic device and control program
US8726370B2 (en) * 2007-08-02 2014-05-13 Ricoh Company, Ltd. Controlling image forming function
US8839452B1 (en) * 2007-09-04 2014-09-16 Bank Of America Corporation Access rights mechanism for corporate records
US8516539B2 (en) * 2007-11-09 2013-08-20 Citrix Systems, Inc System and method for inferring access policies from access event records
US8990910B2 (en) * 2007-11-13 2015-03-24 Citrix Systems, Inc. System and method using globally unique identities
US9240945B2 (en) * 2008-03-19 2016-01-19 Citrix Systems, Inc. Access, priority and bandwidth management based on application identity
JP2009265854A (ja) * 2008-04-23 2009-11-12 Soriton Syst:Kk 機密ファイル管理システム
US8943575B2 (en) * 2008-04-30 2015-01-27 Citrix Systems, Inc. Method and system for policy simulation
JP2009271609A (ja) * 2008-04-30 2009-11-19 Soriton Syst:Kk 機密ファイル管理システム
FR2934392B1 (fr) * 2008-07-22 2010-08-13 Jean Patrice Glafkides Procede pour gerer des objets accessibles a des utilisateurs et dispositif informatique implique par la mise en oeuvre du procede
JP4715901B2 (ja) * 2008-10-15 2011-07-06 コニカミノルタビジネステクノロジーズ株式会社 管理システム
US8990573B2 (en) * 2008-11-10 2015-03-24 Citrix Systems, Inc. System and method for using variable security tag location in network communications
EP2207126A1 (en) * 2008-12-30 2010-07-14 BRITISH TELECOMMUNICATIONS public limited company Access control
WO2010127380A1 (en) * 2009-05-08 2010-11-11 Hewlett-Packard Development Company, L.P. Access control of distributed computing resources system and method
US9049236B2 (en) 2010-10-22 2015-06-02 Hewlett-Packard Development Company, L. P. Distributed network instrumentation system
US9613092B2 (en) * 2010-12-31 2017-04-04 Microsoft Technology Licensing, Llc Allocation of tenants to database services
US9836585B2 (en) * 2013-03-15 2017-12-05 Konica Minolta Laboratory U.S.A., Inc. User centric method and adaptor for digital rights management system
US9195388B2 (en) * 2013-03-15 2015-11-24 Apple Inc. Specifying applications to share in a shared access mode
CN103269268A (zh) * 2013-04-28 2013-08-28 苏州亿倍信息技术有限公司 一种信息安全的管理方法及系统
CN103281302A (zh) * 2013-04-28 2013-09-04 苏州亿倍信息技术有限公司 一种实现信息安全的管理方法及系统
EP3161704B1 (en) 2014-06-24 2021-02-17 Hewlett-Packard Development Company, L.P. Composite document access
US10419410B2 (en) * 2016-12-15 2019-09-17 Seagate Technology Llc Automatic generation of unique identifiers for distributed directory management users
JP6572926B2 (ja) * 2017-03-17 2019-09-11 富士ゼロックス株式会社 ドキュメント管理システム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2896055B2 (ja) 1993-09-28 1999-05-31 日立ソフトウエアエンジニアリング株式会社 配布先別の帳票仕分け処理方法
JP2001034558A (ja) 1999-07-26 2001-02-09 Nippon Telegr & Teleph Corp <Ntt> コンテンツ利用条件変更方法およびコンテンツ流通システム
JP2001167016A (ja) 1999-12-10 2001-06-22 Matsushita Electric Ind Co Ltd データ送受信装置
JP2002244927A (ja) 2001-02-16 2002-08-30 Matsushita Electric Ind Co Ltd データ配布システム
US6895503B2 (en) * 2001-05-31 2005-05-17 Contentguard Holdings, Inc. Method and apparatus for hierarchical assignment of rights to documents and documents having such rights
WO2002101494A2 (en) * 2001-06-07 2002-12-19 Contentguard Holdings, Inc. Protected content distribution system
JP2003203162A (ja) * 2002-01-09 2003-07-18 Sony Corp コンテンツ配布装置、コンテンツ配布管理装置、コンテンツ鍵管理装置、コンテンツ配布管理方法、コンテンツ配布管理プログラム及びコンテンツ鍵管理プログラム
KR100467929B1 (ko) * 2002-02-28 2005-01-24 주식회사 마크애니 디지털 컨텐츠의 보호 및 관리를 위한 시스템
JP4832744B2 (ja) * 2004-09-29 2011-12-07 コニカミノルタビジネステクノロジーズ株式会社 文書管理システム
JP4791760B2 (ja) * 2005-05-17 2011-10-12 株式会社リコー アクセス制御装置、アクセス制御方法、及びアクセス制御プログラム

Also Published As

Publication number Publication date
JP2008015625A (ja) 2008-01-24
US20080005779A1 (en) 2008-01-03
US8032921B2 (en) 2011-10-04

Similar Documents

Publication Publication Date Title
JP4973032B2 (ja) アクセス権限管理プログラム、アクセス権限管理装置およびアクセス権限管理方法
US7487366B2 (en) Data protection program and data protection method
JP4838631B2 (ja) 文書アクセス管理プログラム、文書アクセス管理装置および文書アクセス管理方法
US7424586B2 (en) Data processing method with restricted data arrangement, storage area management method, and data processing system
KR100423797B1 (ko) 디지털 정보 보안 방법 및 그 시스템
AU2019222900B2 (en) Document management system and management apparatus
AU2019222893B2 (en) Document management system and processing apparatus
JP4728610B2 (ja) アクセス制御リスト添付システム、オリジナルコンテンツ作成者端末、ポリシーサーバ、オリジナルコンテンツデータ管理サーバ、プログラム及び記録媒体
JP2004135004A (ja) 個人データ保護流通方法及びプログラム
JP4353552B2 (ja) コンテンツサーバ,端末装置及びコンテンツ送信システム
AU2019261686B2 (en) Management apparatus and document management system
JP4246112B2 (ja) ファイルのセキュリティー管理システムおよび認証サーバ、クライアント装置ならびにプログラムおよび記録媒体
JP2018156410A (ja) 情報処理装置及びプログラム
JP2009093670A (ja) ファイルのセキュリティー管理システムおよび認証サーバ、クライアント装置ならびにプログラムおよび記録媒体
JP2016218770A (ja) 電子ファイル授受システム
JP7172709B2 (ja) 情報処理システム、及びプログラム
JP2008225645A (ja) 文書管理システム、追加編集情報管理装置および文書利用処理装置、追加編集情報管理プログラムおよび文書利用処理プログラム
JP3840580B1 (ja) ソフトウエア管理システムおよびソフトウエア管理プログラム
WO2023119554A1 (ja) 制御方法、情報処理装置および制御プログラム
JP6604367B2 (ja) 処理装置及び情報処理装置
JP4468755B2 (ja) ログ管理装置、ログ管理方法及びログ管理プログラム
JP2020043396A (ja) 電子データ管理システム、電子データ管理サーバ、及び電子データ管理プログラム
Huawei Technologies Co., Ltd. Database Security Fundamentals
US20200117816A1 (en) Methods for securing and accessing a digital document
JP4826577B2 (ja) 情報処理システムおよび情報利用制御システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090319

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110617

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110719

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110916

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120313

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120326

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150420

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees