JP4997920B2 - Management system - Google Patents

Management system Download PDF

Info

Publication number
JP4997920B2
JP4997920B2 JP2006290164A JP2006290164A JP4997920B2 JP 4997920 B2 JP4997920 B2 JP 4997920B2 JP 2006290164 A JP2006290164 A JP 2006290164A JP 2006290164 A JP2006290164 A JP 2006290164A JP 4997920 B2 JP4997920 B2 JP 4997920B2
Authority
JP
Japan
Prior art keywords
security level
storage means
stored
key
wireless
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006290164A
Other languages
Japanese (ja)
Other versions
JP2008109387A (en
Inventor
敦 成沢
雅紀 森田
護 坂井
統丈 石井
康仁 永友
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Seiko Epson Corp
Original Assignee
Seiko Epson Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Seiko Epson Corp filed Critical Seiko Epson Corp
Priority to JP2006290164A priority Critical patent/JP4997920B2/en
Publication of JP2008109387A publication Critical patent/JP2008109387A/en
Application granted granted Critical
Publication of JP4997920B2 publication Critical patent/JP4997920B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、移動端末装置において文書のセキュリティを管理する技術に関する。   The present invention relates to a technique for managing document security in a mobile terminal device.

今日、いわゆる電子ブックリーダのような小型の情報表示装置(移動端末装置)が普及し始めている。これらの情報表示装置は小型でありながら大量の情報を持ち運び閲覧することができるというメリットを有している。しかしその一方で、機密情報が持ち出される危険性が増すという問題がある。ここで、文書のセキュリティを管理する技術として、例えば、特許文献1に記載された技術がある。特許文献1は、情報が記載される紙に無線タグを埋め込むことにより、文書の複製や配布先を管理する技術を開示している。   Today, small information display devices (mobile terminal devices) such as so-called electronic book readers are beginning to become popular. These information display devices are advantageous in that they can carry and browse a large amount of information while being small. However, on the other hand, there is a problem that the risk of confidential information being taken out increases. Here, as a technique for managing the security of a document, for example, there is a technique described in Patent Document 1. Patent Document 1 discloses a technique for managing document duplication and distribution destination by embedding a wireless tag in paper on which information is described.

特開2005−035095号公報JP 2005-035095 A

特許文献1によれば、文書がどこに配布されたかを知ることはできる。しかし、文書すなわちそこに記載された情報の持ち出しを制限することはできないという問題があった。これに対し本発明は、文書の持ち出しを制限することができる技術を提供する。   According to Patent Document 1, it is possible to know where a document has been distributed. However, there is a problem that it is not possible to limit the taking out of documents, that is, the information described therein. On the other hand, the present invention provides a technique capable of limiting document take-out.

上述の課題を解決するため、本発明は、暗号鍵で暗号化された文書データを記憶するデータ記憶手段と、復号鍵を記憶した第1の無線書き込み装置および消去情報を記憶した第2の無線書き込み装置と非接触通信を行う非接触通信手段と、前記非接触通信手段を介して前記第1の無線書き込み装置から受信した前記復号鍵を記憶する端末鍵記憶手段と、前記非接触通信手段を介して前記第2の無線書き込み装置から受信した前記消去情報に基づいて、前記端末鍵記憶手段に記憶されている復号鍵を消去する記憶制御手段と、前記端末鍵記憶手段に復号鍵が記憶されている場合、その復号鍵を用いて、前記文書データ記憶手段に記憶された文書データを復号化する復号化手段と、前記復号化手段により復号化された文書データに従って画像を表示する画像表示手段とを有する移動端末装置を提供する。この移動端末装置が第2の無線書き込み装置と先に、第1の無線書き込み装置と後に通信した場合には、端末鍵記憶手段には、復号鍵が記憶される。この場合は、復号化手段は文書データを正しく復号化することができる。一方、移動端末装置が第1の無線書き込み装置と先に、第2の無線書き込み装置と後に通信した場合には、端末鍵記憶手段には、復号鍵が記憶されていない。この場合は、復号化手段は文書データを正しく復号化することができない。このように、この移動端末装置によれば、文書の持ち出しを制限することができる。   In order to solve the above-described problems, the present invention provides a data storage unit that stores document data encrypted with an encryption key, a first wireless writing device that stores a decryption key, and a second wireless that stores erasure information. Non-contact communication means for performing non-contact communication with a writing device, terminal key storage means for storing the decryption key received from the first wireless writing device via the non-contact communication means, and the non-contact communication means A storage control means for erasing the decryption key stored in the terminal key storage means on the basis of the erasure information received from the second wireless writing device, and a decryption key is stored in the terminal key storage means The decryption unit decrypts the document data stored in the document data storage unit using the decryption key, and displays the image according to the document data decrypted by the decryption unit. To provide a mobile terminal having an image display means for. When this mobile terminal device communicates with the second wireless writing device first and later with the first wireless writing device, the terminal key storage means stores the decryption key. In this case, the decoding unit can correctly decode the document data. On the other hand, when the mobile terminal device communicates with the first wireless writing device first and later with the second wireless writing device, the terminal key storage means stores no decryption key. In this case, the decoding unit cannot correctly decode the document data. As described above, according to the mobile terminal device, it is possible to limit document take-out.

好ましい態様において、この移動端末装置は、前記非接触通信手段が、前記第1の無線書き込み装置または前記第2の無線書き込み装置から、セキュリティレベルを示す情報を受信し、前記非接触通信手段により受信されたセキュリティレベルを示す情報を記憶するセキュリティレベル記憶手段と、前記移動端末装置の動作に関する複数の処理のうち一の処理を行う処理制御手段と、前記複数の処理の各々について、その処理の識別子と、その処理に要求されるセキュリティレベルとを含むテーブルを記憶するテーブル記憶手段と、ユーザの操作に応じて、前記複数の処理から一の処理を選択する選択手段と、前記記憶手段に記憶されたセキュリティレベルが、前記テーブル記憶手段に記憶されたテーブルに含まれるセキュリティレベルのうち前記選択手段により選択された処理に対応するセキュリティレベルに適合しているか判断する判断手段とを有し、前記判断手段により、前記記憶手段に記憶されたセキュリティレベルが前記テーブル記憶手段に記憶されたテーブルに含まれるセキュリティレベルのうち前記選択手段により選択された処理に対応するセキュリティレベルに適合していると判断した場合、前記処理制御手段が、前記選択手段により選択された一の処理を行ってもよい。この移動端末装置によれば、復号鍵による管理に加えて、セキュリティレベルにより移動端末装置が行う処理を管理することができる。   In a preferred aspect, in the mobile terminal device, the contactless communication means receives information indicating a security level from the first wireless writing device or the second wireless writing device, and is received by the contactless communication means. Security level storage means for storing the information indicating the security level, processing control means for performing one process among a plurality of processes related to the operation of the mobile terminal device, and an identifier of the process for each of the plurality of processes Stored in the storage means, a table storage means for storing a table including a security level required for the process, a selection means for selecting one process from the plurality of processes in response to a user operation. The security level corresponding to the security level included in the table stored in the table storage means. Determination means for determining whether or not the security level corresponding to the process selected by the selection means is met, and the security level stored in the storage means is stored in the table storage means by the determination means. If it is determined that the security level corresponding to the process selected by the selection means among the security levels included in the table is satisfied, the process control means performs one process selected by the selection means. Also good. According to this mobile terminal device, processing performed by the mobile terminal device can be managed according to the security level, in addition to management by the decryption key.

別の好ましい態様において、この移動端末装置は、前記非接触通信手段が、前記第1の無線書き込み装置または前記第2の無線書き込み装置から、セキュリティレベルを示す情報を受信し、前記非接触通信手段により受信されたセキュリティレベルを示す情報を記憶するセキュリティレベル記憶手段と、前記移動端末装置の動作に関する複数の処理のうち一の処理を行う処理制御手段と、前記複数の処理の各々について、その処理の識別子と、その処理に要求されるセキュリティレベルとを含むテーブルを記憶するテーブル記憶手段と、ユーザの操作に応じて、前記複数の処理から一の処理を選択する選択手段と、前記記憶手段に記憶されたセキュリティレベルが、前記テーブル記憶手段に記憶されたテーブルに含まれるセキュリティレベルのうち前記選択手段により選択された処理に対応するセキュリティレベルに適合しているか判断する判断手段と前記判断手段により、前記記憶手段に記憶されたセキュリティレベルが前記テーブル記憶手段に記憶されたテーブルに含まれるセキュリティレベルのうち前記選択手段により選択された処理に対応するセキュリティレベルに適合しないと判断された回数を記憶する回数記憶手段と、前記回数記憶手段に記憶された回数がしきい値を超えた場合、前記移動端末装置をロックするロック手段とを有してもよい。この移動端末装置によれば、一定の場合には、移動端末装置をロックすることができる。   In another preferred embodiment, in the mobile terminal device, the contactless communication means receives information indicating a security level from the first wireless writing device or the second wireless writing device, and the contactless communication means. Security level storage means for storing information indicating the security level received by the mobile terminal apparatus, processing control means for performing one process among a plurality of processes related to the operation of the mobile terminal apparatus, and each of the plurality of processes. A table storing means for storing a table including the identifier of the information and a security level required for the process, a selecting means for selecting one process from the plurality of processes according to a user operation, and a storage means The security level stored in the table stored in the table storage means Of these, the determination means for determining whether or not the security level corresponding to the process selected by the selection means is matched, and the security level stored in the storage means is included in the table stored in the table storage means by the determination means. Number of times storage means for storing the number of times determined not to match the security level corresponding to the process selected by the selection means among the security levels to be selected, and the number of times stored in the number of times storage means exceeded a threshold In this case, the mobile terminal device may include a lock unit that locks the mobile terminal device. According to this mobile terminal device, the mobile terminal device can be locked in a fixed case.

さらに別の好ましい態様において、この移動端末装置は、前記非接触通信手段が、前記第2の無線書き込み装置から、前記データ記憶手段に記憶されたデータの消去を要求する命令を受信し、前記記憶制御手段が、前記非接触通信手段により受信された命令に従って、前記データ記憶手段に記憶されたデータを消去してもよい。この移動端末装置によれば、第2の無線書き込み装置と通信した後は、文書データを消去することができる。   In yet another preferred aspect, in the mobile terminal device, the non-contact communication means receives an instruction for requesting erasure of data stored in the data storage means from the second wireless writing device, and the storage The control means may erase the data stored in the data storage means in accordance with the command received by the non-contact communication means. According to this mobile terminal device, the document data can be deleted after communicating with the second wireless writing device.

また、本発明は、復号鍵を記憶した第1の無線書き込み装置と、消去情報を記憶した第2の無線書き込み装置と、移動端末装置とを有する管理システムであって、前記移動端末装置が、暗号鍵で暗号化された文書データを記憶するデータ記憶手段と、復号鍵を記憶した第1の無線書き込み装置および消去情報を記憶した第2の無線書き込み装置と非接触通信を行う非接触通信手段と、前記非接触通信手段を介して前記第1の無線書き込み装置から受信した前記復号鍵を記憶する端末鍵記憶手段と、前記非接触通信手段を介して前記第2の無線書き込み装置から受信した前記消去情報に基づいて、前記端末鍵記憶手段に記憶されている復号鍵を消去する記憶制御手段と、前記端末鍵記憶手段に復号鍵が記憶されている場合、その復号鍵を用いて、前記文書データ記憶手段に記憶された文書データを復号化する復号化手段と、前記復号化手段により復号化された文書データに従って画像を表示する画像表示手段とを有することを特徴とする管理システムを提供する。この管理システムによれば、移動端末装置が第2の無線書き込み装置と先に、第1の無線書き込み装置と後に通信した場合には、端末鍵記憶手段には、復号鍵が記憶される。この場合は、復号化手段は文書データを正しく復号化することができる。一方、移動端末装置が第1の無線書き込み装置と先に、第2の無線書き込み装置と後に通信した場合には、端末鍵記憶手段には、復号鍵が記憶されていない。この場合は、復号化手段は文書データを正しく復号化することができない。このように、この管理システムによれば、文書の持ち出しを制限することができる。   The present invention is also a management system including a first wireless writing device that stores a decryption key, a second wireless writing device that stores erasure information, and a mobile terminal device, wherein the mobile terminal device includes: Data storage means for storing document data encrypted with an encryption key, non-contact communication means for making contactless communication with a first wireless writing device storing a decryption key and a second wireless writing device storing erasure information Terminal key storage means for storing the decryption key received from the first wireless writing device via the non-contact communication means, and received from the second wireless writing device via the non-contact communication means Based on the erasure information, a storage control means for erasing the decryption key stored in the terminal key storage means, and if the decryption key is stored in the terminal key storage means, use the decryption key A management system comprising: decoding means for decoding the document data stored in the document data storage means; and image display means for displaying an image according to the document data decoded by the decoding means. provide. According to this management system, when the mobile terminal device communicates with the second wireless writing device first and later with the first wireless writing device, the terminal key storage means stores the decryption key. In this case, the decoding unit can correctly decode the document data. On the other hand, when the mobile terminal device communicates with the first wireless writing device first and later with the second wireless writing device, the terminal key storage means stores no decryption key. In this case, the decoding unit cannot correctly decode the document data. As described above, according to this management system, it is possible to limit document take-out.

さらに、本発明は、暗号鍵で暗号化された文書データを記憶するデータ記憶手段と、復号鍵を記憶した第1の無線書き込み装置および消去情報を記憶した第2の無線書き込み装置と非接触通信を行う非接触通信手段と、前記第1の無線書き込み装置または前記第2の無線書き込み装置から受信した情報を記憶する鍵記憶手段とを有するコンピュータ装置に、前記非接触通信手段を介して前記第1の無線書き込み装置から受信した前記復号鍵を、前記鍵記憶手段に記憶する鍵記憶処理と、前記非接触通信手段を介して前記第2の無線書き込み装置から受信した前記消去情報に基づいて、前記鍵記憶手段に記憶されている復号鍵を消去する記憶制御処理と、前記端末鍵記憶手段に復号鍵が記憶されている場合、その復号鍵を用いて、前記文書データ記憶手段に記憶された文書データを復号化する復号化処理と、前記復号化処理により復号化された文書データに従って画像を表示する画像表示処理とを実行させるプログラムを提供する。このプログラムによれば、移動端末装置が第2の無線書き込み装置と先に、第1の無線書き込み装置と後に通信した場合には、端末鍵記憶手段には、復号鍵が記憶される。この場合は、復号化手段は文書データを正しく復号化することができる。一方、移動端末装置が第1の無線書き込み装置と先に、第2の無線書き込み装置と後に通信した場合には、端末鍵記憶手段には、復号鍵が記憶されていない。この場合は、復号化手段は文書データを正しく復号化することができない。このように、このプログラムによれば、文書の持ち出しを制限することができる。   Furthermore, the present invention provides a data storage means for storing document data encrypted with an encryption key, a first wireless writing device storing a decryption key, and a second wireless writing device storing erasure information, and contactless communication. A non-contact communication means for performing information and a key storage means for storing information received from the first wireless writer or the second wireless writer, the computer via the non-contact communication means Based on the key storage processing for storing the decryption key received from one wireless writing device in the key storage means and the erasure information received from the second wireless writing device via the non-contact communication means, A storage control process for erasing the decryption key stored in the key storage means, and when the decryption key is stored in the terminal key storage means, the decryption key is used to store the document data. A decoding process for decoding the stored document data in the storage means, to provide a program for executing the image display processing for displaying an image in accordance with the document data decoded by the decoding process. According to this program, when the mobile terminal device communicates with the second wireless writing device first and later with the first wireless writing device, the terminal key storage means stores the decryption key. In this case, the decoding unit can correctly decode the document data. On the other hand, when the mobile terminal device communicates with the first wireless writing device first and later with the second wireless writing device, the terminal key storage means stores no decryption key. In this case, the decoding unit cannot correctly decode the document data. As described above, according to this program, it is possible to limit document take-out.

1.構成
図1は、本発明の一実施形態に係る文書管理システム1の機能構成を示すブロック図である。文書管理システム1は、文書表示装置100と、ゲート装置200と、ゲート装置300とを有する。文書表示装置100は、電子ペーパーまたは電子ブックリーダなどの、持ち運び可能な画像表示装置すなわち移動端末装置である。文書記憶部101は、文書データDを記憶する。文書データDは、暗号鍵Kにより暗号化されている。無線通信部102は、ゲート装置200またはゲート装置300と無線通信を行う。文書表示装置100は、ゲート装置200またはゲート装置300から、無線通信部102を介して鍵の情報を取得する。鍵記憶部103は、取得された鍵を記憶する。復号化部104は、鍵記憶部103に記憶された鍵を用いて、文書データDを復号化する。表示部105は、復号化された文書データDに従って画像を表示する。 1. Configuration FIG. 1 is a block diagram showing a functional configuration of a document management system 1 according to an embodiment of the present invention. The document management system 1 includes a document display device 100, a gate device 200, and a gate device 300. The document display device 100 is a portable image display device such as an electronic paper or an electronic book reader, that is, a mobile terminal device. The document storage unit 101 stores document data D. Document data D is encrypted by the encryption key K E. The wireless communication unit 102 performs wireless communication with the gate device 200 or the gate device 300. The document display device 100 acquires key information from the gate device 200 or the gate device 300 via the wireless communication unit 102. The key storage unit 103 stores the acquired key. The decryption unit 104 decrypts the document data D using the key stored in the key storage unit 103. The display unit 105 displays an image according to the decrypted document data D.

ゲート装置200およびゲート装置300は、求められる機密度が異なる2つの領域の間に設置される装置である。ゲート装置200およびゲート装置300は、それぞれ、無線読み取り装置および無線書き込み装置(いわゆる無線リーダ/ライタ)としての機能を有する。例えば、ゲート装置200およびゲート装置300は、研究所の実験室の出入り口に設置される。いま、実験室の内部は機密度が高く、実験室の外部は機密度が低い場合を例に説明する。すなわち、実験室の内部においては、文書表示装置100に記憶された文書は自由に閲覧可能であるが、実験室の外部においては、文書の閲覧は制限される。   The gate device 200 and the gate device 300 are devices installed between two regions having different required sensitivity. The gate device 200 and the gate device 300 have functions as a wireless reading device and a wireless writing device (so-called wireless reader / writer), respectively. For example, the gate device 200 and the gate device 300 are installed at the entrance of a laboratory in a laboratory. Now, a case will be described as an example where the inside of the laboratory has a high density and the outside of the laboratory has a low density. In other words, the document stored in the document display device 100 can be freely browsed inside the laboratory, but the browsing of the document is limited outside the laboratory.

ゲート装置200において、記憶部201は、文書データDを復号化する鍵Kを記憶している。鍵Kは、文書データDの暗号鍵である鍵Kに対して正当な鍵である。無線通信部202は、無線通信により復号鍵Kを文書表示装置100に送信する。ゲート装置300において、記憶部301は、復号鍵Kと異なる鍵である鍵Kを記憶している。鍵Kは、文書データDの暗号鍵である鍵Kに対して正当な鍵ではない。無線通信部302は、無線通信により鍵Kを文書表示装置100に送信する。 In the gate apparatus 200, the storage unit 201 stores a key K D for decrypting the document data D. Key the K D, is a legitimate key to the key K E is an encryption key of the document data D. The wireless communication unit 202 transmits a decryption key K D by wireless communication in the text display device 100. In the gate apparatus 300, the storage unit 301 stores a key K N is a different key and the decryption key K D. The key K N is not a valid key to the key K E is an encryption key of the document data D. The wireless communication unit 302 transmits the key KN to the document display device 100 by wireless communication.

図2は、文書表示装置100のハードウェア構成を示すブロック図である。CPU(Central Processing Unit)110は、文書表示装置100の要素を制御する制御装置である。ROM(Read Only Memory)120は、文書表示装置100の動作に必要なプログラムやデータを記憶した記憶装置である。RAM130は、CPU110がプログラムを実行する際の作業エリアとして機能する記憶装置である。VRAM(Video Random Access Memory)131は、表示装置151に表示させる画像を記憶する記憶装置である。I/O(Input/Output)140は、入出力インターフェースである。キーボタン141は、ユーザの操作に応じた信号をI/O140に出力する。無線モジュール400は、文書表示装置100に無線通信機能を提供するものである。無線モジュール400の詳細については後述する。以下の説明において、便宜上、文書表示装置100のうち無線モジュール400以外の部分を「文書表示装置100本体」という。   FIG. 2 is a block diagram illustrating a hardware configuration of the document display device 100. A CPU (Central Processing Unit) 110 is a control device that controls elements of the document display device 100. A ROM (Read Only Memory) 120 is a storage device that stores programs and data necessary for the operation of the document display device 100. The RAM 130 is a storage device that functions as a work area when the CPU 110 executes a program. A video random access memory (VRAM) 131 is a storage device that stores an image to be displayed on the display device 151. An I / O (Input / Output) 140 is an input / output interface. The key button 141 outputs a signal corresponding to a user operation to the I / O 140. The wireless module 400 provides the document display apparatus 100 with a wireless communication function. Details of the wireless module 400 will be described later. In the following description, for the sake of convenience, a portion of the document display device 100 other than the wireless module 400 is referred to as “document display device 100 main body”.

表示制御部150は、VRAM131に記憶された画像データに従って表示装置151を駆動する。表示装置151は、コレステリック液晶などの記憶性液晶層を有する表示装置である。電源制御部160は、バッテリー161からの電力の供給を制御する制御装置である。バッテリー161は、Ni−Cd系電池、Liイオン系電池などの2次電池である。通信制御部170は、通信用IF(Interface)171を介した他の機器との通信を制御する制御装置である。通信用IF171は、USB(Universal Serial Bus)、Blue Tooth(登録商標)、無線LAN(Local Area Network)などの規格に準拠した通信を行うインターフェースである。記憶装置制御部180は、内蔵記憶装置181およびリムーバブルメディア183を制御する制御装置である。内蔵記憶装置181は、フラッシュメモリ等の書き換え可能な不揮発性の記憶装置である。リムーバブルメディア183は、メモリIF182を介して文書表示装置100に接続された、着脱可能な記憶装置である。リムーバブルメディア183は、例えば、SD(登録商標)メモリカードまたはメモリースティック(登録商標)である。以上の要素は、バス190を介して接続されている。   The display control unit 150 drives the display device 151 according to the image data stored in the VRAM 131. The display device 151 is a display device having a memory liquid crystal layer such as a cholesteric liquid crystal. The power control unit 160 is a control device that controls the supply of power from the battery 161. The battery 161 is a secondary battery such as a Ni—Cd battery or a Li ion battery. The communication control unit 170 is a control device that controls communication with other devices via a communication IF (Interface) 171. The communication IF 171 is an interface that performs communication conforming to standards such as USB (Universal Serial Bus), Blue Tooth (registered trademark), and wireless LAN (Local Area Network). The storage device control unit 180 is a control device that controls the internal storage device 181 and the removable medium 183. The built-in storage device 181 is a rewritable nonvolatile storage device such as a flash memory. The removable medium 183 is a detachable storage device connected to the document display device 100 via the memory IF 182. The removable medium 183 is, for example, an SD (registered trademark) memory card or a memory stick (registered trademark). The above elements are connected via a bus 190.

図3は、無線モジュール400のハードウェア構成を示すブロック図である。CPU410は、無線モジュール400の要素を制御する制御装置である。ROM420は、無線モジュール400の動作に必要なプログラムやデータを記憶した記憶装置である。RAM430は、CPU410がプログラムを実行する際のワークエリアとして機能する記憶装置である。EEPROM(Electronically Erasable and Programmable Read Only Memory)431は、取得した暗号鍵やセキュリティレベルなどのデータを記憶する記憶装置である。暗号エンジン440は、トリプルデス(Triple DES)方式やRSA(Rivest Shamir Adleman)方式などの公知のアルゴリズムに従って暗号化または復号化を行うプロセッサである。送信部450は、アンテナ452を介してデータを無線送信する送信機である。受信部451は、アンテナ452を介してデータを受信する受信機である。I/O480は、入出力インターフェースである。無線モジュール400は、I/O480およびI/O140を介して、文書表示装置100の他の要素とデータや信号の入出力を行う。以上の要素は、バス490を介して相互に接続されている。なお、無線モジュール400は、文書表示装置100から着脱可能であってもよい。   FIG. 3 is a block diagram illustrating a hardware configuration of the wireless module 400. The CPU 410 is a control device that controls elements of the wireless module 400. The ROM 420 is a storage device that stores programs and data necessary for the operation of the wireless module 400. The RAM 430 is a storage device that functions as a work area when the CPU 410 executes a program. An EEPROM (Electronically Erasable and Programmable Read Only Memory) 431 is a storage device that stores data such as acquired encryption keys and security levels. The cryptographic engine 440 is a processor that performs encryption or decryption according to a known algorithm such as a Triple DES method or an RSA (Rivest Shamir Adleman) method. The transmission unit 450 is a transmitter that wirelessly transmits data via the antenna 452. The receiving unit 451 is a receiver that receives data via the antenna 452. The I / O 480 is an input / output interface. The wireless module 400 inputs / outputs data and signals to / from other elements of the document display device 100 via the I / O 480 and the I / O 140. The above elements are connected to each other via a bus 490. The wireless module 400 may be detachable from the document display device 100.

なお、無線モジュール400は、文書表示装置100の本体とは別に独自の電源を有していてもよい。文書表示装置100においては、省電力化のため、電源制御部160が電力の供給または停止を細かく制御しているが、無線モジュール400には常に電力が供給されている方が好ましいからである。また、文書表示装置100とゲート装置との通信可能距離という観点からも、無線モジュール400は独自の電源を有するアクティブな装置であることが好ましい。例えば、無線モジュール400は、UHF(Ultra High Frequency)帯のRFID(Radio Frequency Identification)を用いたものでもよい。   Note that the wireless module 400 may have its own power source separately from the main body of the document display device 100. In the document display device 100, the power supply control unit 160 finely controls the supply or stop of power for power saving, but it is preferable that power is always supplied to the wireless module 400. From the viewpoint of the communicable distance between the document display device 100 and the gate device, the wireless module 400 is preferably an active device having a unique power source. For example, the wireless module 400 may use a UHF (Ultra High Frequency) band RFID (Radio Frequency Identification).

図4は、ゲート装置200のハードウェア構成を示すブロック図である。CPU210は、ゲート装置200の要素を制御する制御装置である。ROM220は、ゲート装置200の動作に必要なプログラム等を記憶した記憶装置である。RAM230は、CPU210がプログラムを実行する際のワークエリアとして機能するプログラムである。送信部240は、アンテナ260を介してデータを無線送信する送信機である。受信部250は、アンテナ260を介してデータを受信する受信機である。EEPROM270は、復号鍵KおよびセキュリティレベルLを記憶する記憶装置である。以上の要素は、バス290を介して相互に接続されている。 FIG. 4 is a block diagram illustrating a hardware configuration of the gate device 200. The CPU 210 is a control device that controls elements of the gate device 200. The ROM 220 is a storage device that stores programs necessary for the operation of the gate device 200. The RAM 230 is a program that functions as a work area when the CPU 210 executes the program. The transmission unit 240 is a transmitter that wirelessly transmits data via the antenna 260. The receiving unit 250 is a receiver that receives data via the antenna 260. EEPROM270 is a storage device for storing a decryption key K D and security level L H. The above elements are connected to each other via a bus 290.

図5は、ゲート装置300のハードウェア構成を示すブロック図である。ゲート装置300は、CPU310、ROM320、RAM330、送信部340、受信部350、アンテナ360、EEPROM370、およびバス390を有する。EEPROM370は、不正鍵KおよびセキュリティレベルLを記憶している。それ以外の要素の機能はゲート装置200と同様である。文書表示装置100、ゲート装置200およびゲート装置300がそれぞれ制御プログラムを実行することにより、文書管理システム1は、図1に示される機能を備える。 FIG. 5 is a block diagram illustrating a hardware configuration of the gate device 300. The gate device 300 includes a CPU 310, a ROM 320, a RAM 330, a transmission unit 340, a reception unit 350, an antenna 360, an EEPROM 370, and a bus 390. The EEPROM 370 stores an unauthorized key K N and a security level L L. The functions of other elements are the same as those of the gate device 200. As the document display device 100, the gate device 200, and the gate device 300 each execute a control program, the document management system 1 has the functions shown in FIG.

2.動作
図6は、文書管理システム1の概要を説明するイメージ図である。ゲート装置200およびゲート装置300は、セキュリティの高い部屋の出入り口に設置されている。図6において右手が高セキュリティの部屋であり、左手が低セキュリティの部屋である。ゲート装置200およびゲート装置300は、低セキュリティの部屋と高セキュリティの部屋の間の移動経路(図中点線の矢印)において、異なる位置に配置されている。具体的には、より高セキュリティの部屋に近い位置にゲート装置200が、より低セキュリティの部屋に近い位置にゲート装置300が配置されている。ユーザは、文書表示装置100を持ったまま高セキュリティの部屋に出入りできるが、ゲート装置200およびゲート装置300が配置されているところを通過しなければ高セキュリティの部屋に入ることはできない。ユーザ(すなわち文書表示装置100)がゲート装置300の通信可能領域に入ると、文書表示装置100はゲート装置300と通信を行う。また、ユーザがゲート装置200の通信可能領域に入ると、文書表示装置100はゲート装置200と通信を行う。 2. Operation FIG. 6 is an image diagram for explaining the outline of the document management system 1. The gate device 200 and the gate device 300 are installed at the entrance and exit of a room with high security. In FIG. 6, the right hand is a high security room and the left hand is a low security room. The gate device 200 and the gate device 300 are arranged at different positions in the movement route (dotted arrow in the drawing) between the low security room and the high security room. Specifically, the gate device 200 is disposed near the higher security room, and the gate device 300 is disposed near the lower security room. The user can go in and out of the high security room while holding the document display device 100, but cannot enter the high security room unless passing through the place where the gate device 200 and the gate device 300 are arranged. When the user (that is, the document display device 100) enters the communicable area of the gate device 300, the document display device 100 communicates with the gate device 300. When the user enters the communicable area of the gate device 200, the document display device 100 communicates with the gate device 200.

図7は、文書管理システム1の動作を示す図である。高セキュリティの部屋に入るときと高セキュリティの部屋から出るときはともに、文書管理システム1は基本的に図7のフローに従って動作する。以下では、高セキュリティの部屋に入るときと高セキュリティの部屋から出るときとに分けて、文書管理システム1の動作を説明する。   FIG. 7 is a diagram illustrating the operation of the document management system 1. The document management system 1 basically operates according to the flow of FIG. 7 both when entering the high security room and when leaving the high security room. Hereinafter, the operation of the document management system 1 will be described separately when entering the high security room and when leaving the high security room.

2−1.高セキュリティの部屋へ入るときの動作
ユーザが文書表示装置100を持って高セキュリティの部屋に入るとき、文書表示装置100の無線モジュール400は、まずゲート装置300と通信し、次にゲート装置200と通信する。まずは文書表示装置100とゲート装置300との通信について説明する。 2-1. Operation when entering the high security room When the user enters the high security room with the document display device 100, the wireless module 400 of the document display device 100 first communicates with the gate device 300 and then with the gate device 200. connect. First, communication between the document display device 100 and the gate device 300 will be described.

ステップS100において、ゲート装置300のCPU310は、文書表示装置100の認証を行う。認証処理は、公知の技術を用いて行われる。ゲート装置300は、送信部340およびアンテナ360を介して、移動端末装置(ここでは文書表示装置100)にIDの送信を要求する要求信号を出力している。無線モジュール400は、要求信号を受信すると、自己のIDなど、認証処理に必要な情報を送信する。ゲート装置300のCPU310は、受信した情報に基づいて、文書表示装置100の認証処理を行う。文書表示装置100が正当な端末であると認証されなかった場合、ゲート装置300のCPU310は以下の処理を行わない。文書表示装置100が正当な端末であると認証された場合、ゲート装置300のCPU310は、EEPROM370から、鍵情報およびセキュリティレベルを読み出す。EEPROM370は、鍵情報としてKを、セキュリティレベルとしてLを記憶している。CPU310は、鍵およびセキュリティレベルを示す情報を含む信号を、文書表示装置100に送信する。 In step S100, the CPU 310 of the gate device 300 authenticates the document display device 100. The authentication process is performed using a known technique. The gate device 300 outputs a request signal for requesting transmission of an ID to the mobile terminal device (here, the document display device 100) via the transmission unit 340 and the antenna 360. When receiving the request signal, the wireless module 400 transmits information necessary for authentication processing such as its own ID. The CPU 310 of the gate device 300 performs an authentication process for the document display device 100 based on the received information. When the document display device 100 is not authenticated as a valid terminal, the CPU 310 of the gate device 300 does not perform the following processing. When the document display device 100 is authenticated as a valid terminal, the CPU 310 of the gate device 300 reads key information and a security level from the EEPROM 370. The EEPROM 370 stores K N as key information and L L as a security level. CPU 310 transmits a signal including information indicating a key and a security level to document display device 100.

ゲート装置300(ゲート装置200も同様である)は、一定の時間間隔で要求信号を出力してもよい。あるいは、文書表示装置100が、認証処理の開始を要求する信号を出力してもよい。このように、認証処理のトリガとなる処理はどのようなものでもよい。   The gate device 300 (the same applies to the gate device 200) may output the request signal at regular time intervals. Alternatively, the document display device 100 may output a signal requesting the start of the authentication process. In this way, any process that triggers the authentication process may be used.

ステップS110において、無線モジュール400のCPU410は、ゲート装置300から受信した鍵KおよびセキュリティレベルLをEEPROM431に記憶する。ここで、EEPROM431に既に鍵およびセキュリティレベルが記憶されている場合、CPU410は、既に記憶されている鍵およびセキュリティレベルを、受信した鍵KおよびセキュリティレベルLで上書きする。すなわち、それ以前に記憶されていた鍵およびセキュリティレベルは消去される。このように、ゲート装置300との通信が完了すると、無線モジュール400のEEPROM431には、鍵KおよびセキュリティレベルLが記憶されている。例えば、L=0である。なお、以下において、セキュリティレベルが0〜10の整数で表され、数字が大きいほど高セキュリティを示す例について説明する。 In step S <b> 110, the CPU 410 of the wireless module 400 stores the key K N and the security level L L received from the gate device 300 in the EEPROM 431. If the key and security level are already stored in the EEPROM 431, the CPU 410 overwrites the already stored key and security level with the received key K N and security level L L. That is, previously stored keys and security levels are erased. Thus, when the communication with the gate device 300 is completed, the key K N and the security level L L are stored in the EEPROM 431 of the wireless module 400. For example, L L = 0. In the following, an example will be described in which the security level is represented by an integer of 0 to 10, and the higher the number, the higher the security.

ユーザが高セキュリティの部屋へ向かって歩いていくと、文書表示装置100はゲート装置200と通信可能な領域に達する。こうして、文書表示装置100は、ゲート装置200と通信を行う。文書表示装置100とゲート装置200との通信は、文書表示装置100とゲート装置300との通信と同様に行われる。ただし、ゲート装置200から送信される鍵およびセキュリティレベルが、鍵KおよびセキュリティレベルLである点が異なっている。ここで、例えば、L=10である。無線モジュール400のCPU410は、ゲート装置200から受信した鍵KおよびセキュリティレベルLをEEPROM431に記憶する。ここで、EEPROM431には既にKおよびセキュリティレベルLが記憶されているが、CPU410は、これらのデータを、受信した鍵KおよびセキュリティレベルLで上書きする。すなわち、高セキュリティの部屋に入った時点で、無線モジュール400のEEPROM431には、鍵KおよびセキュリティレベルLが記憶されている。 As the user walks toward the high-security room, the document display device 100 reaches an area where it can communicate with the gate device 200. In this way, the document display device 100 communicates with the gate device 200. Communication between the document display device 100 and the gate device 200 is performed in the same manner as communication between the document display device 100 and the gate device 300. However, the key and the security level is transmitted from the gate apparatus 200, the point is the key K D and security level L H are different. Here, for example, L H = 10. CPU410 wireless module 400 stores the key K D and security level L H received from the gate device 200 to EEPROM431. Here, although already K N and security level L L in EEPROM431 is stored, CPU 410 makes these data are overwritten with the received key K D and security level L H. That is, upon entering the room of a high security, the EEPROM431 radio module 400, the key K D and security level L H is stored.

以上のように、低セキュリティの領域から高セキュリティの部屋に入ったとき、無線モジュール400のEEPROM431には、鍵KおよびセキュリティレベルLが記憶されている。この状態で、ユーザがキーボタン141を操作して文書データDを表示する命令を入力するなど、トリガとなる処理が行われた場合、文書表示装置100は、ステップS120〜S140の処理を行う。 Thus, upon entering the region of the low security room high security, the EEPROM431 radio module 400, the key K D and security level L H is stored. In this state, when a triggering process is performed, such as the user operating the key button 141 to input a command to display the document data D, the document display apparatus 100 performs the processes of steps S120 to S140.

ステップS120において、CPU110は、レベルチェックを行う。「レベルチェック」とは、要求されている処理のセキュリティレベルと文書表示装置100のセキュリティレベルとが適合しているかチェックする処理をいう。レベルチェックは、例えば次のように行われる。CPU110は、無線モジュール400に対し、現在のセキュリティレベルを返すように要求する命令を出力する。この命令が入力されると、無線モジュール400のCPU410は、EEPROM431に記憶されているセキュリティレベルを読み出す。CPU410は、読み出したセキュリティレベルをI/O480を介して文書表示装置100本体に出力する。文書表示装置100のCPU110は、無線モジュール400から出力されたセキュリティレベルおよび内蔵記憶装置181に記憶された処理レベルテーブルに基づいて、レベルチェックを行う。   In step S120, the CPU 110 performs a level check. “Level check” refers to a process of checking whether the security level of the requested process is compatible with the security level of the document display apparatus 100. The level check is performed as follows, for example. The CPU 110 outputs a command requesting the wireless module 400 to return the current security level. When this command is input, the CPU 410 of the wireless module 400 reads the security level stored in the EEPROM 431. The CPU 410 outputs the read security level to the main body of the document display device 100 via the I / O 480. The CPU 110 of the document display device 100 performs a level check based on the security level output from the wireless module 400 and the processing level table stored in the internal storage device 181.

図8は、処理レベルテーブルを例示する図である。内蔵記憶装置181(ROM120、リムーバブルメディア183など別の記憶装置でもよい)は、図8に示されるような処理レベルテーブルをあらかじめ記憶している。処理レベルテーブルは、処理と、その処理を実行するのに必要なセキュリティレベルLREQとを含むデータの組を複数有している。例えば「ナビゲート操作」に必要なセキュリティレベルLREQは「1」である。また、現時点での文書表示装置100のセキュリティレベルはLである。すなわち、Lが1以上であれば、CPU110は、要求されている処理のセキュリティレベルと文書表示装置100のセキュリティレベルとが適合していると判断する。また別の例では、「設定変更」に必要なセキュリティレベルLREQは「7」である。すなわち、Lが7以上であれば、CPU110は、要求されている処理のセキュリティレベルと文書表示装置100のセキュリティレベルとが適合していると判断する。Lが7未満であれば、CPU110は、要求されている処理のセキュリティレベルと文書表示装置100のセキュリティレベルとが適合していないと判断する。 FIG. 8 is a diagram illustrating a processing level table. The internal storage device 181 (which may be another storage device such as the ROM 120 and the removable medium 183) stores in advance a processing level table as shown in FIG. The processing level table has a plurality of data sets including a processing and a security level L REQ necessary for executing the processing. For example, the security level L REQ required for the “navigation operation” is “1”. The security level of the document display device 100 at this time is L H. That is, if L H is 1 or more, CPU 110 includes a requested operation being security level and security level of the document display apparatus 100 is judged to be compatible. In another example, the security level L REQ required for “setting change” is “7”. That is, if L H 7 or more, CPU 110 includes a requested operation being security level and security level of the document display apparatus 100 is judged to be compatible. If L H is less than 7, CPU 110 includes a requested operation being security level and security level of the document display device 100 is determined not to be relevant.

再び図7を参照して説明する。要求されている処理のセキュリティレベルと文書表示装置100のセキュリティレベルとが適合しないと判断された場合(S120:NG)、CPU110は、処理をステップS150に移行する。要求されている処理のセキュリティレベルと文書表示装置100のセキュリティレベルとが適合していると判断された場合(S120:OK)、CPU110は、処理をステップS130に移行する。いま、L=10であるので、要求されている処理のセキュリティレベルと文書表示装置100のセキュリティレベルとが適合していると判断される。 A description will be given with reference to FIG. 7 again. If it is determined that the security level of the requested process does not match the security level of the document display device 100 (S120: NG), the CPU 110 shifts the process to step S150. If it is determined that the security level of the requested process and the security level of the document display device 100 are compatible (S120: OK), the CPU 110 shifts the process to step S130. Now, since L H = 10, it is determined that the security level of the requested processing and the security level of the document display device 100 are compatible.

ステップS130において、CPU110は、要求されている処理、ここでは、文書データDの表示の前段階として、文書データDを復号化する処理を行う。この処理は例えば以下のように行われる。CPU110は、文書データDおよび文書データDの復号化命令を、I/O140を介して無線モジュール400に出力する。I/O480を介して復号化命令が入力されると、無線モジュール400のCPU410は、入力された命令に従って処理を行う。いま、入力された命令は復号化命令であるので、まず、CPU410は、入力された文書データDをRAM430に記憶する。次に、CPU410は、EEPROM431に記憶された鍵(ここでは、鍵K)を用いて、文書データDを復号化するように、暗号エンジン440を制御する。暗号エンジン440は、鍵Kを用いて文書データDを復号化する。鍵Kは文書データDを暗号化した際に用いられた鍵Kに対する正当な復号鍵であるから、文書データDは正常に復号化される。CPU410は、復号化された文書データDをRAM430に記憶する。CPU410は、復号化された文書データDを、I/O480を介して文書表示装置100本体に出力する。文書表示装置100のCPU110は、入力された文書データDをRAM130に記憶する。 In step S <b> 130, the CPU 110 performs a requested process, here, a process of decoding the document data D as a previous stage of displaying the document data D. This process is performed as follows, for example. The CPU 110 outputs the document data D and a decryption instruction for the document data D to the wireless module 400 via the I / O 140. When a decryption command is input via the I / O 480, the CPU 410 of the wireless module 400 performs processing according to the input command. Since the input command is a decryption command, the CPU 410 first stores the input document data D in the RAM 430. Next, the CPU 410 controls the encryption engine 440 so as to decrypt the document data D using the key (here, the key K D ) stored in the EEPROM 431. Cipher engine 440 decrypts the document data D by using the key K D. Since key the K D is a legitimate decryption key for the key K E used when encrypting the document data D, the document data D is successfully decoded. The CPU 410 stores the decrypted document data D in the RAM 430. The CPU 410 outputs the decrypted document data D to the main body of the document display device 100 via the I / O 480. The CPU 110 of the document display device 100 stores the input document data D in the RAM 130.

ステップS140において、CPU110は、文書を表示する。CPU110は、文書データDのうち表示させる画面に関するものをVRAM131に記憶させる。表示制御部150は、VRAM131に記憶されたデータに従って表示装置151を制御する。ここで、文書データDは正常に復号化されているので、正常な文書(の一部)が表示装置151に表示される。   In step S140, CPU 110 displays the document. The CPU 110 stores the document data D related to the screen to be displayed in the VRAM 131. The display control unit 150 controls the display device 151 according to the data stored in the VRAM 131. Here, since the document data D is normally decrypted, a normal document (a part thereof) is displayed on the display device 151.

2−2.高セキュリティの部屋から出るときの動作
ユーザが文書表示装置100を持って高セキュリティの部屋から出ると、先ほどとは逆に、文書表示装置100の無線モジュール400は、まずゲート装置200と通信し、次にゲート装置300と通信する。すなわち、高セキュリティの部屋から出た時点で、無線モジュール400のEEPROM431には、鍵KおよびセキュリティレベルLが記憶されている。 2-2. Operation when exiting the high security room When the user exits the high security room with the document display device 100, the wireless module 400 of the document display device 100 first communicates with the gate device 200. Next, it communicates with the gate device 300. That is, when leaving the room with high security, the EEPROM 431 of the wireless module 400 stores the key K N and the security level L L.

いまL=0かつLREQ=5であるので、ステップS120のレベルチェックにおいて、要求されている処理のセキュリティレベルと文書表示装置100のセキュリティレベルとが適合しないと判断される。したがって、ステップS150において、CPU110は、その旨を示すメッセージを表示装置151に表示させる。 Since L L = 0 and L REQ = 5 now, in the level check in step S120, it is determined that the security level of the requested process does not match the security level of the document display device 100. Accordingly, in step S150, CPU 110 causes display device 151 to display a message indicating that effect.

例えばL=5であった場合、ステップS120のレベルチェックにおいて、要求されている処理のセキュリティレベルと文書表示装置100のセキュリティレベルとは適合すると判断される。しかし、EEPROM431に記憶されている鍵は、不正鍵Kである、すなわち、EEPROM431に記憶されている鍵は、文書データDの暗号鍵である鍵Kに対して正当な鍵ではない。したがって、暗号エンジン440は、文書データDを正常に復号化することができない。よって、ステップS140において表示装置151に表示される画像は、意味不明なものである。 For example, if L L = 5, it is determined that the security level of the requested process and the security level of the document display device 100 match in the level check in step S120. However, key stored in EEPROM431 are incorrect key K N, i.e., key stored in EEPROM431 is not a valid key to the key K E is an encryption key of the document data D. Therefore, the encryption engine 440 cannot normally decrypt the document data D. Therefore, the image displayed on the display device 151 in step S140 is unclear.

以上で説明したように、本実施形態によれば、文書表示装置100に記憶されている鍵は、高セキュリティの領域に入ると正当なものに書き換えられ、低セキュリティの領域に入ると不正なものに書き換えられる。したがって、文書データDの持ち出しを制限することができる。   As described above, according to the present embodiment, the key stored in the document display device 100 is rewritten to a valid one when entering the high security area, and is illegal when entering the low security area. To be rewritten. Accordingly, it is possible to limit the document data D from being taken out.

3.他の実施形態
本発明は上述の実施形態に限定されるものではなく、種々の変形実施が可能である。
上述の実施形態においては、ゲート装置200およびゲート装置300は、鍵およびセキュリティレベルの2つの情報を文書表示装置100に送信した。しかし、ゲート装置200およびゲート装置300は、セキュリティレベルを送信しなくてもよい。すなわち、文書表示装置100は、セキュリティレベルに基づく処理制限機能を有さなくてもよい。この場合、図7のステップS120の処理は行われない。すなわち、文書表示装置100において、正当な復号鍵が記憶されていれば文書が正常に表示され、不正な鍵が記憶されていれば意味不明の画像が表示される。 3. Other Embodiments The present invention is not limited to the above-described embodiments, and various modifications can be made.
In the above-described embodiment, the gate device 200 and the gate device 300 transmit two pieces of information of the key and the security level to the document display device 100. However, the gate device 200 and the gate device 300 may not transmit the security level. That is, the document display device 100 may not have a processing restriction function based on the security level. In this case, the process of step S120 in FIG. 7 is not performed. That is, in the document display device 100, the document is normally displayed if a valid decryption key is stored, and an unknown image is displayed if an invalid key is stored.

上述の実施形態において、高セキュリティ側に位置するゲート装置200が正当な復号鍵を無線モジュール400に書き込み、低セキュリティ側に位置するゲート装置300が不正な鍵を無線モジュール400に書き込む例について説明した。しかし、ゲート装置200およびゲート装置300の役割分担は上述の実施形態で説明したものに限られない。例えば、通信を行った時刻に基づいて入退室の方向が判断され、その判断結果に応じてゲート装置から文書表示装置100に送信されるデータが決定されてもよい。詳細には次のとおりである。ゲート装置200およびゲート装置300には、サーバ装置が接続されている。サーバ装置はタイマーなどにより時刻を計測する機能を有している。また、サーバ装置は、正当な復号鍵Kおよび不正な鍵Kを記憶している。ゲート装置200およびゲート装置300は、文書表示装置100と通信したことを示す信号をサーバ装置に出力する。サーバ装置は、ゲート装置の識別子と、そのゲート装置と通信した時刻とを含むデータの組を記憶する。サーバ装置は、このデータに基づいて入退室の方向を判断する。すなわち、先にゲート装置200と、後にゲート装置300と通信した場合、サーバ装置は、高セキュリティの部屋から出たと判断する。先にゲート装置300と、後にゲート装置200と通信した場合、サーバ装置は、高セキュリティの部屋に入ったと判断する。高セキュリティの部屋に入ったと判断された場合、サーバ装置は、鍵Kを文書表示装置100に送信するように、ゲート装置200を制御する。高セキュリティの部屋から出たと判断された場合、サーバ装置は、鍵Kを文書表示装置100に送信するように、ゲート装置300を制御する。 In the above-described embodiment, an example in which the gate device 200 located on the high security side writes a valid decryption key to the wireless module 400 and the gate device 300 located on the low security side writes an unauthorized key to the wireless module 400 has been described. . However, the division of roles between the gate device 200 and the gate device 300 is not limited to that described in the above embodiment. For example, the direction of entry / exit may be determined based on the communication time, and data transmitted from the gate device to the document display device 100 may be determined according to the determination result. Details are as follows. A server device is connected to the gate device 200 and the gate device 300. The server device has a function of measuring time using a timer or the like. The server device stores a valid decryption key K D and unauthorized key K N. Gate device 200 and gate device 300 output a signal indicating that communication with document display device 100 has been made to the server device. The server device stores a data set including an identifier of the gate device and a time when the gate device communicates with the gate device. The server device determines the direction of entry / exit based on this data. That is, when communicating with the gate device 200 first and the gate device 300 later, the server device determines that it has left the high security room. When first communicating with the gate device 300 and later with the gate device 200, the server device determines that it has entered a high security room. If it is determined that entered the room of high security, the server device to transmit the key K D in the text display device 100, controls the gate unit 200. When it is determined that the user has left the high security room, the server device controls the gate device 300 to transmit the key K N to the document display device 100.

なお、時刻に基づいて入退室の方向を判断する代わりに、2つのゲート装置の電界強度に基づいて移動方向が判断されてもよい。   Instead of determining the entrance / exit direction based on the time, the moving direction may be determined based on the electric field strengths of the two gate devices.

上述の実施形態においては、ゲート装置300は、文書表示装置100に対し不正鍵Kを送信した。しかし、ゲート装置300が送信する情報は暗号鍵に限られない。正当な復号鍵K以外のデータであれば、どのようなデータが送信されてもよい。例えば、無意味なビット列が送信されてもよい。あるいは、EEPROM431に記憶された鍵または正当な復号鍵Kを消去する命令が送信されてもよい。この命令を受信した場合、CPU410は、EEPROM431に記憶されている鍵を消去する。要は、文書表示装置100のEEPROM431に記憶された鍵データを消去させるものであれば、どのような情報が用いられてもよい。 In the embodiment described above, the gate device 300 transmits the unauthorized key K N to the document display device 100. However, the information transmitted by the gate device 300 is not limited to the encryption key. If data other than legitimate decryption key K D, any data may be transmitted. For example, a meaningless bit string may be transmitted. Alternatively, the instruction to erase the stored key or authorized decryption key K D in EEPROM431 may be transmitted. When receiving this command, the CPU 410 deletes the key stored in the EEPROM 431. In short, any information may be used as long as the key data stored in the EEPROM 431 of the document display device 100 can be deleted.

上述の実施形態においては、ゲート装置300は、文書表示装置100に対し不正鍵Kを送信した。しかし、ゲート装置300は、不正鍵Kの代わりに、文書データDの消去を要求する命令(この命令は文書データDの識別子を含んでいてもよい)を文書表示装置100に送信してもよい。この命令を受信した文書表示装置100は、内蔵記憶装置181から文書データDを消去してもよい。すなわち、無線モジュール400は、文書表示装置100本体に対し、文書データDを消去させる割り込み処理を行ってもよい。 In the embodiment described above, the gate device 300 transmits the unauthorized key K N to the document display device 100. However, the gate device 300 may transmit to the document display device 100 a command for requesting deletion of the document data D (this command may include an identifier of the document data D) instead of the unauthorized key K N. Good. The document display device 100 that has received this command may erase the document data D from the internal storage device 181. That is, the wireless module 400 may perform an interrupt process for erasing the document data D on the document display device 100 main body.

上述の実施形態においては、要求されている処理のセキュリティレベルと文書表示装置100のセキュリティレベルとが適合しない場合、要求されている処理が行われなかった。しかし、この場合でも、要求されている処理が行われてもよい。このとき、CPU110は、セキュリティレベルが適合しない処理が行われたことを示すログデータを生成し、これを内蔵記憶装置181に記憶してもよい。あるいは、CPU110は、セキュリティレベルが適合しない処理が行われた回数をRAM130に記憶してもよい。さらに、一定回数以上セキュリティレベルが適合しない処理が行われた場合、CPU110は、文書表示装置100をロックしてもよい。すなわち、ユーザからのいかなる操作も受け付けない状態としてもよい。   In the above-described embodiment, when the security level of the requested process does not match the security level of the document display apparatus 100, the requested process is not performed. However, even in this case, the requested processing may be performed. At this time, the CPU 110 may generate log data indicating that processing not conforming to the security level has been performed, and store the log data in the internal storage device 181. Or CPU110 may memorize | store in RAM130 the frequency | count that the process which a security level does not adapt was performed. Furthermore, if processing that does not match the security level is performed a certain number of times or more, the CPU 110 may lock the document display device 100. In other words, any operation from the user may not be accepted.

上述の実施形態においては、ゲート装置200およびゲート装置300がそれぞれ別個の装置である例について説明した。しかし、単一の装置が、ゲート装置200およびゲート装置300の機能を有してもよい。この場合、この装置は、アンテナ、送信部および受信部をそれぞれ2つ有していればよく、CPUやRAMなどは1つ有していればよい。また、メモリおよびその制御装置は、記憶するデータごとに個別に設けられてもよい。   In the above-described embodiment, the example in which the gate device 200 and the gate device 300 are separate devices has been described. However, a single device may have the functions of the gate device 200 and the gate device 300. In this case, this apparatus only needs to have two antennas, two transmission units, and one reception unit, and only one CPU, RAM, and the like. Further, the memory and its control device may be provided individually for each data to be stored.

上述の実施形態においては、暗号鍵と復号鍵が異なる鍵である例について説明した。しかし、暗号鍵と復号鍵が同一である、いわゆる共通鍵暗号のシステムが用いられてもよい。   In the above-described embodiment, the example in which the encryption key and the decryption key are different has been described. However, a so-called common key encryption system in which the encryption key and the decryption key are the same may be used.

上述の実施形態においては、暗号鍵および復号鍵の更新のタイミングについては特に言及しなかったが、所定のタイミングで(例えば、一定期間経過後に、あるいは、通信を行うたびに毎回)暗号鍵および復号鍵を新しいものに更新してもよい。あるいは、ゲート装置は、1回の通信で複数の復号鍵を移動端末装置に送信してもよい。このとき、ゲート装置は、復号鍵と文書データの対応関係を示す情報を移動端末装置に送信してもよい。移動端末装置は、複数の復号鍵の中から、処理対象の文書データに対応する復号鍵を用いて文書データを復号化することができる。   In the above-described embodiment, the update timing of the encryption key and the decryption key is not particularly mentioned, but the encryption key and the decryption are performed at a predetermined timing (for example, after a certain period of time or every time communication is performed). The key may be updated to a new one. Alternatively, the gate device may transmit a plurality of decryption keys to the mobile terminal device in one communication. At this time, the gate device may transmit information indicating the correspondence between the decryption key and the document data to the mobile terminal device. The mobile terminal device can decrypt the document data using a decryption key corresponding to the document data to be processed from among a plurality of decryption keys.

一実施形態に係る文書管理システム1の機能構成を示すブロック図である。It is a block diagram which shows the function structure of the document management system 1 which concerns on one Embodiment. 文書表示装置100のハードウェア構成を示すブロック図である。2 is a block diagram illustrating a hardware configuration of a document display device 100. FIG. 無線モジュール400のハードウェア構成を示すブロック図である。2 is a block diagram showing a hardware configuration of a wireless module 400. FIG. ゲート装置200のハードウェア構成を示すブロック図である。2 is a block diagram showing a hardware configuration of a gate device 200. FIG. ゲート装置300のハードウェア構成を示すブロック図である。3 is a block diagram showing a hardware configuration of a gate device 300. FIG. 文書管理システム1の概要を説明するイメージ図である。It is an image figure explaining the outline | summary of the document management system 1. FIG. 文書管理システム1の動作を示す図である。It is a figure which shows operation | movement of the document management system. 処理レベルテーブルを例示する図である。It is a figure which illustrates a processing level table.

符号の説明Explanation of symbols

1…文書管理システム、100…文書表示装置、101…文書記憶部、102…無線通信部、103…鍵記憶部、104…復号化部、105…表示部、110…CPU、120…ROM、130…RAM、131…VRAM、140…I/O、141…キーボタン、150…表示制御部、151…表示装置、160…電源制御部、161…バッテリー、170…通信制御部、171…通信用IF、180…記憶装置制御部、181…内蔵記憶装置、182…メモリIF、183…リムーバブルメディア、190…バス、200…ゲート装置、201…記憶部、202…無線通信部、210…CPU、220…ROM、230…RAM、240…送信部、250…受信部、260…アンテナ、270…EEPROM、290…バス、300…ゲート装置、301…記憶部、302…無線通信部、310…CPU、320…ROM、330…RAM、340…送信部、350…受信部、360…アンテナ、370…EEPROM、390…バス、400…無線モジュール、410…CPU、420…ROM、430…RAM、431…EEPROM、440…暗号エンジン、450…送信部、451…受信部、452…アンテナ、460…バッテリ、480…I/O、490…バス DESCRIPTION OF SYMBOLS 1 ... Document management system 100 ... Document display apparatus 101 ... Document storage part 102 ... Wireless communication part 103 ... Key storage part 104 ... Decryption part 105 ... Display part 110 ... CPU, 120 ... ROM, 130 ... RAM, 131 ... VRAM, 140 ... I / O, 141 ... key button, 150 ... display control unit, 151 ... display device, 160 ... power supply control unit, 161 ... battery, 170 ... communication control unit, 171 ... IF for communication , 180 ... Storage device control unit, 181 ... Built-in storage device, 182 ... Memory IF, 183 ... Removable media, 190 ... Bus, 200 ... Gate device, 201 ... Storage unit, 202 ... Wireless communication unit, 210 ... CPU, 220 ... ROM, 230 ... RAM, 240 ... transmitter, 250 ... receiver, 260 ... antenna, 270 ... EEPROM, 290 ... bus, 300 ... gate 301, storage unit, 302 ... wireless communication unit, 310 ... CPU, 320 ... ROM, 330 ... RAM, 340 ... transmission unit, 350 ... reception unit, 360 ... antenna, 370 ... EEPROM, 390 ... bus, 400 ... Wireless module, 410 ... CPU, 420 ... ROM, 430 ... RAM, 431 ... EEPROM, 440 ... cryptographic engine, 450 ... transmitting unit, 451 ... receiving unit, 452 ... antenna, 460 ... battery, 480 ... I / O, 490 ... bus

Claims (4)

1の無線書き込み装置と、前記第1の無線書き込み装置より高セキュリティ側に配置された第2の無線書き込み装置と、移動端末装置とを有
前記第1の無線書き込み装置が、
復号鍵を記憶した第1の記憶手段と、
前記第1の無線書き込み装置を基準とする所定の領域内に入った前記移動端末装置に、前記第1の記憶手段に記憶されている前記復号鍵を非接触通信で送信する第1の送信手段と
を有し、
前記第2の無線書き込み装置が、
消去情報を記憶した第2の記憶手段と、
前記第2の無線書き込み装置を基準とする所定の領域内に入った前記移動端末装置に、前記第2の記憶手段に記憶されている前記消去情報を非接触通信で送信する第2の送信手段と
を有し、
前記移動端末装置が、
暗号鍵で暗号化された文書データを記憶するデータ記憶手段と、
前記第1の無線書き込み装置または前記第2の無線書き込み装置と非接触通信を行う非接触通信手段と、
前記非接触通信手段を介して前記第1の無線書き込み装置から受信した前記復号鍵および前記非接触通信手段を介して前記第2の無線書き込み装置から受信した前記消去情報のいずれか一方を記憶する端末鍵記憶手段と、
前記非接触通信手段を介して前記第1の無線書き込み装置または前記第2の無線書き込み装置から前記復号鍵または前記消去情報を受信した場合受信した前記復号鍵または前記消去情報で、前記端末鍵記憶手段に記憶されている情報を上書きする記憶制御手段と、
前記端末鍵記憶手段に復号鍵が記憶されている場合、その復号鍵を用いて、前記文書データ記憶手段に記憶された文書データを復号化する復号化手段と、
前記復号化手段により復号化された文書データに従って画像を表示する画像表示手段と
を有する
ことを特徴とする管理システム。 A first radio frequency write device, a second wireless write device disposed in high-security side than the first radio writing apparatus, and a mobile terminal device possess,
The first wireless writing device is
First storage means for storing a decryption key;
First transmission means for transmitting the decryption key stored in the first storage means to the mobile terminal device that has entered the predetermined area with the first wireless writing device as a reference by non-contact communication When
Have
The second wireless writing device comprises:
Second storage means for storing erasure information;
Second transmission means for transmitting the erasure information stored in the second storage means to the mobile terminal device that has entered the predetermined area with the second wireless writing device as a reference by non-contact communication When
Have
The mobile terminal device
Data storage means for storing document data encrypted with an encryption key;
A non-contact communication means for performing first wireless writing device or the second radio writing apparatus and the non-contact communication,
Stores either the decryption key received from the first wireless writing device via the non-contact communication means or the erasure information received from the second wireless writing device via the non-contact communication means Terminal key storage means;
When the decryption key or the erasure information is received from the first wireless writing device or the second wireless writing device via the non-contact communication means , the terminal key is used with the received decryption key or the erasure information. Storage control means for overwriting information stored in the storage means;
A decryption means for decrypting the document data stored in the document data storage means using the decryption key when a decryption key is stored in the terminal key storage means;
An image display means for displaying an image according to the document data decoded by the decoding means. 前記非接触通信手段が、前記第1の無線書き込み装置または前記第2の無線書き込み装置から、セキュリティレベルを示す情報を受信し、
前記移動通信端末が、
前記非接触通信手段により受信されたセキュリティレベルを示す情報を記憶するセキュリティレベル記憶手段と、
前記移動端末装置の動作に関する複数の処理のうち一の処理を行う処理制御手段と、
前記複数の処理の各々について、その処理の識別子と、その処理に要求されるセキュリティレベルとを含むテーブルを記憶するテーブル記憶手段と、
ユーザの操作に応じて、前記複数の処理から一の処理を選択する選択手段と、
前記記憶手段に記憶されたセキュリティレベルが、前記テーブル記憶手段に記憶されたテーブルに含まれるセキュリティレベルのうち前記選択手段により選択された処理に対応するセキュリティレベルに適合しているか判断する判断手段と
を有し、
前記判断手段により、前記記憶手段に記憶されたセキュリティレベルが前記テーブル記憶手段に記憶されたテーブルに含まれるセキュリティレベルのうち前記選択手段により選択された処理に対応するセキュリティレベルに適合していると判断した場合、前記処理制御手段が、前記選択手段により選択された一の処理を行う
ことを特徴とする請求項1に記載の管理システムThe contactless communication means receives information indicating a security level from the first wireless writing device or the second wireless writing device;
The mobile communication terminal is
Security level storage means for storing information indicating the security level received by the non-contact communication means;
A process control means for performing one of a plurality of processes related to the operation of the mobile terminal device;
For each of the plurality of processes, table storage means for storing a table including an identifier of the process and a security level required for the process;
Selecting means for selecting one process from the plurality of processes in accordance with a user operation;
Determination means for determining whether the security level stored in the storage means is compatible with the security level corresponding to the process selected by the selection means among the security levels included in the table stored in the table storage means; Have
The security level stored in the storage unit by the determination unit is adapted to the security level corresponding to the process selected by the selection unit among the security levels included in the table stored in the table storage unit. 2. The management system according to claim 1, wherein when the determination is made, the process control unit performs the one process selected by the selection unit. 前記非接触通信手段が、前記第1の無線書き込み装置または前記第2の無線書き込み装置から、セキュリティレベルを示す情報を受信し、
前記移動通信端末が、
前記非接触通信手段により受信されたセキュリティレベルを示す情報を記憶するセキュリティレベル記憶手段と、
前記移動端末装置の動作に関する複数の処理のうち一の処理を行う処理制御手段と、
前記複数の処理の各々について、その処理の識別子と、その処理に要求されるセキュリティレベルとを含むテーブルを記憶するテーブル記憶手段と、
ユーザの操作に応じて、前記複数の処理から一の処理を選択する選択手段と、
前記記憶手段に記憶されたセキュリティレベルが、前記テーブル記憶手段に記憶されたテーブルに含まれるセキュリティレベルのうち前記選択手段により選択された処理に対応するセキュリティレベルに適合しているか判断する判断手段と
前記判断手段により、前記記憶手段に記憶されたセキュリティレベルが前記テーブル記憶手段に記憶されたテーブルに含まれるセキュリティレベルのうち前記選択手段により選択された処理に対応するセキュリティレベルに適合しないと判断された回数を記憶する回数記憶手段と、
前記回数記憶手段に記憶された回数がしきい値を超えた場合、前記移動端末装置をロックするロック手段と
を有する請求項1に記載の管理システムThe contactless communication means receives information indicating a security level from the first wireless writing device or the second wireless writing device;
The mobile communication terminal is
Security level storage means for storing information indicating the security level received by the non-contact communication means;
A process control means for performing one of a plurality of processes related to the operation of the mobile terminal device;
For each of the plurality of processes, table storage means for storing a table including an identifier of the process and a security level required for the process;
Selecting means for selecting one process from the plurality of processes in accordance with a user operation;
Determination means for determining whether the security level stored in the storage means is compatible with the security level corresponding to the process selected by the selection means among the security levels included in the table stored in the table storage means; The determination means determines that the security level stored in the storage means does not conform to the security level corresponding to the process selected by the selection means among the security levels included in the table stored in the table storage means. A number storage means for storing the number of times
The management system according to claim 1, further comprising: a lock unit that locks the mobile terminal device when the number of times stored in the number storage unit exceeds a threshold value. 前記非接触通信手段が、前記第2の無線書き込み装置から、前記データ記憶手段に記憶されたデータの消去を要求する命令を受信し、
前記記憶制御手段が、前記非接触通信手段により受信された命令に従って、前記データ記憶手段に記憶されたデータを消去する
ことを特徴とする請求項1に記載の管理システムThe non-contact communication means receives a command for requesting erasure of data stored in the data storage means from the second wireless writing device;
The management system according to claim 1, wherein the storage control unit erases data stored in the data storage unit in accordance with a command received by the non-contact communication unit.
JP2006290164A 2006-10-25 2006-10-25 Management system Expired - Fee Related JP4997920B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006290164A JP4997920B2 (en) 2006-10-25 2006-10-25 Management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006290164A JP4997920B2 (en) 2006-10-25 2006-10-25 Management system

Publications (2)

Publication Number Publication Date
JP2008109387A JP2008109387A (en) 2008-05-08
JP4997920B2 true JP4997920B2 (en) 2012-08-15

Family

ID=39442382

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006290164A Expired - Fee Related JP4997920B2 (en) 2006-10-25 2006-10-25 Management system

Country Status (1)

Country Link
JP (1) JP4997920B2 (en)

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004086441A (en) * 2002-08-26 2004-03-18 Ntt Data Corp Contents management system
JP4291068B2 (en) * 2003-07-30 2009-07-08 大日本印刷株式会社 IC card and IC card system
JP2006039708A (en) * 2004-07-23 2006-02-09 Matsushita Electric Ind Co Ltd Information processing system
US20060015752A1 (en) * 2004-07-16 2006-01-19 Promega Corporation Memory having RFID tag, decryption technique for use with the memory, and memory reader or writer for use with the memory
WO2006027723A1 (en) * 2004-09-06 2006-03-16 Koninklijke Philips Electronics N.V. Portable storage device and method for exchanging data
JP4763453B2 (en) * 2005-12-28 2011-08-31 株式会社Pfu Data falsification prevention method and data falsification prevention system
JP4943751B2 (en) * 2006-07-04 2012-05-30 株式会社内田洋行 Electronic data access control system, program, and information storage medium
JP4735460B2 (en) * 2006-07-26 2011-07-27 大日本印刷株式会社 Entrance / exit management device, managed device and management system

Also Published As

Publication number Publication date
JP2008109387A (en) 2008-05-08

Similar Documents

Publication Publication Date Title
JP5521803B2 (en) COMMUNICATION DEVICE, COMMUNICATION METHOD, AND COMMUNICATION SYSTEM
US5949881A (en) Apparatus and method for cryptographic companion imprinting
US7366916B2 (en) Method and apparatus for an encrypting keyboard
JP2008059450A (en) Vehicle information rewriting system
JP2009100394A (en) Information processing apparatus and method, recording medium, program, and information processing system
EP3241143B1 (en) Secure element
JP2008124810A (en) Information display device, communication method and program
JP2006023957A (en) Semiconductor integrated circuit and information processor
US10318933B2 (en) Settlement terminal and method of protecting data stored in the settlement terminal against tampering
JP4765608B2 (en) Data processing apparatus, data processing program, and data processing system
US8782749B2 (en) Information processing device, information processing method, and program
JP2004303092A (en) Memory device, memory access restriction system and memory access method
JP5413018B2 (en) Confidential information management system
JP4997920B2 (en) Management system
JP2009032003A (en) Portable electronic device, terminal device, authentication system, and authentication method
CN103699853B (en) A kind of intelligent SD card and control system thereof and method
JP2005174315A (en) Information processor and information processing method
JP5528198B2 (en) Information processing apparatus and program
JP3903629B2 (en) Information processing apparatus and storage medium storing program used for information processing apparatus
JP2005045582A (en) Radio data communication system
JP5692441B2 (en) Information processing apparatus, information processing method, and program
JP2000232442A (en) Information processing method/system
JP4919046B2 (en) Management system and data management method
JP5133743B2 (en) Authentication system, authentication method, reader / writer, and program
JP2006059127A (en) Authentication terminal apparatus, authentication system, authentication method, and authentication program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090806

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110930

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111011

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120417

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120430

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150525

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees