JP5120091B2 - 文書追跡システム、利用者端末、文書管理サーバおよびプログラム - Google Patents

文書追跡システム、利用者端末、文書管理サーバおよびプログラム Download PDF

Info

Publication number
JP5120091B2
JP5120091B2 JP2008160135A JP2008160135A JP5120091B2 JP 5120091 B2 JP5120091 B2 JP 5120091B2 JP 2008160135 A JP2008160135 A JP 2008160135A JP 2008160135 A JP2008160135 A JP 2008160135A JP 5120091 B2 JP5120091 B2 JP 5120091B2
Authority
JP
Japan
Prior art keywords
information
document
management
browsing
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008160135A
Other languages
English (en)
Other versions
JP2010003044A (ja
Inventor
佳弘 増田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2008160135A priority Critical patent/JP5120091B2/ja
Publication of JP2010003044A publication Critical patent/JP2010003044A/ja
Application granted granted Critical
Publication of JP5120091B2 publication Critical patent/JP5120091B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は文書追跡システム、利用者端末、文書管理サーバおよびプログラムに関する。
デジタル化された文書情報を管理するために、例えば所定の者以外に閲覧させないためのアクセス権限の管理や、デジタル文書に対し行われた編集の版の管理などが行われている。これらの管理を行うためのシステムとして、文書管理システムがある。従来の文書管理システムは企業内において運用することを前提としており、上述のアクセス権限や編集の版などは、企業内に設置した文書管理サーバで集中的に管理されていた。
特開平8−292961号公報
近年、個人情報保護法などの法整備や社会のセキュリティに対する意識の変化などにより、企業間で交換した文書情報が相手先企業でどのように扱われているかを把握することが求められている。この対応方法として文書管理システムを適用することが考えられるが、文書管理システムは企業内での運用のように、例えば利用者端末やそれを操作する操作者の流動性が小さい状況を前提としている。このため利用者端末も操作者も流動的である企業間で文書管理システムを運用する場合、例えば操作者情報の管理負担や文書ID管理負担などの運用上の問題に直面することになる。
本発明は上記課題に鑑みてなされたものであって、その目的は、企業間で交換した文書情報の操作を把握することができ、かつ運用に必要な手間の軽減を図ることが可能になる文書追跡システム、利用者端末、文書管理サーバおよびプログラムを提供することにある。
請求項1の発明は利用者端末と文書管理サーバからなる文書追跡システムであって、前記利用者端末は、閲覧対象となる文書情報が暗号化されてなる暗号化閲覧文書情報を取得する手段と、前記暗号化閲覧文書情報の特徴値を生成する手段と、前記利用者端末の操作者を特定しかつ前記操作者の正当性を示す操作者情報を取得する手段と、前記暗号化閲覧文書情報の特徴値および前記操作者情報を含む閲覧管理情報を前記文書管理サーバに送信する閲覧管理情報送信手段と、前記文書管理サーバから送信される復号化用鍵情報を受信する鍵受信手段と、前記復号化用鍵情報に基づいて前記暗号化閲覧文書情報を復号化する手段と、を含み、前記文書管理サーバは、前記閲覧管理情報送信手段より前記閲覧管理情報を受信する閲覧管理情報受信手段と、前記閲覧管理情報に含まれる前記操作者情報に基づいて、前記操作者を認証する認証手段と、前記操作者が認証される場合に、鍵情報記憶手段より前記暗号化閲覧文書情報の特徴値に関連づけられた復号化用鍵情報を取得し、前記利用者端末に前記復号化用鍵情報を送信する鍵応答送信手段と、前記閲覧管理情報を受信する場合には、管理情報として少なくとも前記閲覧管理情報に含まれる前記操作者情報に応じた前記操作者の情報を取得する管理情報取得手段と、前記管理情報を記憶する管理情報記憶手段と、を含むことを特徴とする。
請求項2の発明は請求項1に記載の文書追跡システムであって、前記利用者端末は、新規に作成された文書情報である新規文書情報を取得する手段と、前記新規文書情報に対応する暗号化用鍵情報および復号化用鍵情報を生成する手段と、前記新規文書情報に対応する暗号化用鍵情報に基づいて前記新規文書情報を暗号化してなる情報を暗号化新規文書情報として生成する手段と、前記暗号化新規文書情報の特徴値を生成する手段と、前記暗号化新規文書情報の特徴値と前記暗号化新規文書情報に対する復号化用鍵情報を通信によりアクセス可能な前記鍵情報記憶手段に格納する手段と、をさらに含むことを特徴とする。
請求項3の発明は請求項2に記載の文書追跡システムであって、前記文書管理サーバは、前記管理情報取得手段は、前記暗号化新規文書情報に対する復号化用鍵情報が前記鍵情報記憶手段に格納される場合には、少なくとも管理情報として前記新規文書情報を示す情報を取得する、ことを特徴とする。
請求項4の発明は請求項1から3のいずれか一項に記載の文書追跡システムであって、前記利用者端末は、復号化された文書情報である編集対象文書情報が編集され編集済文書情報が生成されたことを検出する手段と、前記生成された編集済文書情報に対応する暗号化用鍵情報および復号化用鍵情報を生成する手段と、前記編集済文書情報に対する暗号化用鍵情報に基づいて前記編集済文書情報を暗号化してなる情報を暗号化編集済文書情報として生成する手段と、前記暗号化編集済文書情報の特徴値を生成する手段と、前記暗号化編集済文書情報の特徴値と前記暗号化編集済文書情報に対する復号化用鍵情報を通信によりアクセス可能な鍵情報記憶手段に格納する手段と、前記編集済文書情報を示す情報および前記編集対象文書情報を示す情報を含む編集管理情報を前記文書管理サーバに送信する編集管理情報送信手段と、をさらに含み、前記文書管理サーバは、前記編集管理情報送信手段より前記編集管理情報を受信する編集管理情報受信手段、をさらに含み、前記管理情報取得手段は、前記編集管理情報を受信する場合には、管理情報として少なくとも前記編集済文書情報を示す情報および前記編集対象文書情報を示す情報を取得し、前記閲覧管理情報を受信する場合には、管理情報として少なくとも前記閲覧文書情報を示す情報および前記閲覧管理情報に含まれる前記操作者情報に応じた前記操作者の情報を取得する、ことを特徴とする。
請求項5の発明は利用者端末であって、閲覧対象となる文書情報が暗号化されてなる暗号化閲覧文書情報を取得する手段と、前記暗号化閲覧文書情報の特徴値を生成する手段と、前記利用者端末の操作者を特定しかつ前記操作者の正当性を示す操作者情報を取得する手段と、前記暗号化閲覧文書情報の特徴値および前記操作者情報を含む閲覧管理情報を前記文書管理サーバに送信する閲覧管理情報送信手段と、前記文書管理サーバから送信される復号化用鍵情報を受信する鍵受信手段と、前記復号化用鍵情報に基づいて前記暗号化閲覧文書情報を復号化する手段と、を含むことを特徴とする。
請求項6の発明は文書管理サーバであって、利用者端末より閲覧管理情報を受信する閲覧管理情報受信手段と、前記閲覧管理情報に含まれる操作者情報に基づいて、操作者を認証する認証手段と、前記操作者が認証される場合に、鍵情報記憶手段より前記文書情報の特徴値に関連づけられた復号化用鍵情報を取得し、前記利用者端末に前記復号化用鍵情報を送信する鍵応答送信手段と、前記閲覧管理情報を受信する場合には、管理情報として少なくとも前記閲覧管理情報に含まれる前記操作者情報に応じた前記操作者の情報を取得する管理情報取得手段と、前記管理情報を記憶する管理情報記憶手段と、を含むことを特徴とする。
請求項7の発明は閲覧対象となる文書情報が暗号化されてなる暗号化閲覧文書情報を取得する手段、前記暗号化閲覧文書情報の特徴値を生成する手段、前記利用者端末の操作者を特定しかつ前記操作者の正当性を示す操作者情報を取得する手段、前記暗号化閲覧文書情報の特徴値および前記操作者情報を含む閲覧管理情報を前記文書管理サーバに送信する閲覧管理情報送信手段、前記文書管理サーバから送信される復号化用鍵情報を受信する鍵受信手段、及び、前記復号化用鍵情報に基づいて前記暗号化閲覧文書情報を復号化する手段、としてコンピュータを機能させるためのプログラムである。
請求項8の発明は利用者端末より閲覧管理情報を受信する閲覧管理情報受信手段、前記閲覧管理情報に含まれる操作者情報に基づいて、操作者を認証する認証手段、前記操作者が認証される場合に、鍵情報記憶手段より前記文書情報の特徴値に関連づけられた復号化用鍵情報を取得し、前記利用者端末に前記復号化用鍵情報を送信する鍵応答送信手段、前記閲覧管理情報を受信する場合には、管理情報として少なくとも前記閲覧管理情報に含まれる前記操作者情報に応じた前記操作者の情報を取得する管理情報取得手段、及び、前記管理情報を記憶する管理情報記憶手段、としてコンピュータを機能させるためのプログラムである。
請求項1の発明によれば、利用者端末から送信された暗号化閲覧文書情報の特徴値と操作者情報によって、少なくとも文書情報を閲覧する操作者の情報を文書管理サーバで記憶することができる。
請求項2の発明によれば、新規に作成された文書情報を暗号化してなる情報の特徴値と、それに対応する復号化用鍵情報を利用者端末から登録することができる。
請求項3の発明によれば、利用者端末において文書が新規に作成されたことを文書管理サーバで記憶することができる。
請求項4の発明によれば、利用者端末において編集対象文書情報が編集され、編集済文書情報が生成されたことを文書管理サーバ側で記憶し、編集済文書情報を暗号化してなる情報の特徴値と、それに対応する復号化用鍵情報を利用者端末から登録することができる。
請求項5,7の発明によれば、利用者端末から文書管理サーバに文書情報を閲覧した操作者の情報を暗号化閲覧文書情報の特徴値とともに送ることができる。
請求項6,8の発明によれば、利用者端末から送信された操作者の情報を認証し、暗号化閲覧文書情報の特徴値に関連づけられた復号化用鍵情報を利用者端末に送信することができる。
以下、本発明の実施形態について図面に基づき詳細に説明する。図1は、本実施形態に係る文書追跡システムの構成および処理の概略の一例を示す図である。同図に示すように、文書追跡システムは利用者端末1a,1b(以下区別が必要な時を除き利用者端末1という)、文書管理サーバ2、ネットワーク3を含んでいる。利用者端末1は例えばパーソナルコンピュータ等によって、文書管理サーバ2は例えばサーバコンピュータ等によって実現される。ネットワーク3は例えばインターネット、LAN(構内通信網)等で構成されており、利用者端末1と文書管理サーバ2との間の通信接続を提供している。
本実施形態においては、利用者端末1と文書管理サーバ2間で行われる処理の種類は、例えば企業間文書交換の対象となる文書情報を新規作成した際の処理(以下新規作成時処理という。同図(1)と(2)に相当)、暗号化された文書を閲覧する際の処理(以下閲覧時処理という。同図(4)から(6)に相当)、文書情報を編集した際の処理(以下編集時処理という。図示しない)の3種類に分けられる。
新規作成時処理を行う前に、利用者端末の操作者(以下新規操作者という)は事前に他企業への文書交換の対象となる文書情報Dを利用者端末1a内に準備する。新規作成時処理では、はじめに利用者端末1aはその文書情報Dに対して暗号化用の鍵Keおよび復号化用の鍵Kdを生成する。次に暗号化用の鍵Keを用いて文書情報Dを暗号化し暗号化文書情報Deを生成する(図1の(1))。次に利用者端末1aは復号化用の鍵Kdおよび暗号化文書情報の特徴値の一種であるハッシュ値Hash(De)を文書管理サーバ2に送信する(同図の(2))。文書管理サーバ2は、受信したハッシュ値Hash(De)をキーとして復号用の鍵Kdを文書管理サーバ内に登録する。新規操作者は、新規作成時処理で得られた暗号化された文書情報Deを他企業にある利用者端末1bの操作者(以下閲覧操作者)にメール送信などの手段で送付する(同図の(3))。
閲覧操作者は暗号化文書情報Deを閲覧するために利用者端末1bに以下の閲覧時処理を行わせる。はじめに、利用者端末1bは送付された暗号化文書情報Deのハッシュ値Hash(De)を含む履歴情報および閲覧操作者の正当性を証明する電子証明書を文書管理サーバ2に送信し(同図の(4))、文書管理サーバはそれらの情報を記録する。電子証明書によって閲覧操作者の正当性が認証されれば、文書管理サーバは上記ハッシュ値Hash(De)をキーとして復号化用の鍵Kdをデータベースから取得し、利用者端末1bに返信する(同図の(5))。利用者端末1bは受け取った復号用の鍵Kdによって暗号化された文書情報Deを復号化してもとの文書情報Dを得る(同図の(6))。これにより、閲覧操作者は復号化された文書を閲覧、もしくは編集する。
上記新規作成時処理等を行った後に文書情報Dが編集(例えば変更など)される場合は、編集時処理を行う。編集時処理では、変更された文書の暗号化や復号化用の鍵の登録など新規作成時処理に行う処理と同様の処理(同図(1)と(2)参照)を行うほかに、変更前の文書情報と変更後の文書情報との関係を示す履歴情報を文書管理サーバ2に対して送信する処理等を行う。
以下、本実施形態にかかる文書追跡システムの詳細について説明する。図2は、本実施形態に係る利用者端末1の構成の一例を示す図である。利用者端末1は、CPU11、記憶部12、通信部13、入出力部14を含んでいる。
CPU11は、記憶部12に格納されているプログラムに従って動作する。なお、上記プログラムは、CD−ROMやDVD−ROM等の情報記録媒体に格納されて提供されるものであってもよいし、インターネット等のネットワークを介して提供されるものであってもよい。
記憶部12は、RAMやROM等のメモリ素子およびハードディスクドライブ等によって構成されている。記憶部12は、上記プログラムを格納する。また、記憶部12は、各部から入力される情報や演算結果を格納する。
通信部13は、他の装置と通信接続するための通信手段等で構成されている。通信部13は、CPU11の制御に基づいて、他の装置から受信した情報をCPU11や記憶部12に入力し、他の装置に情報を送信(出力)する。
入出力部14は、モニタやキーボード、マウス等の表示出力手段および入力手段等で構成されている。入出力部14は、CPU11の制御に基づいて、画像データ等をモニタ等に表示(出力)し、キーボードやマウスより操作者からの情報を取得する。
図3は、本実施形態に係る文書管理サーバ2の構成の一例を示す図である。文書管理サーバ2は、CPU21、記憶部22、通信部23、入出力部24を含んでいる。文書管理サーバ2において、CPU21、記憶部22、通信部23、入出力部24はそれぞれCPU11、記憶部12、通信部13、入出力部14と同様の構成であるため詳細な説明は省略する。
図4は、本実施形態に係る利用者端末1の機能ブロックを示す図である。利用者端末1は機能的に、新規作成時処理に関連する新規文書情報取得部41、新管理情報生成送信部42および新規鍵登録部43と、閲覧時処理に関連する暗号化閲覧文書情報取得部44、閲覧管理情報生成送信部45、鍵受信部46および復号化部47と、編集時処理に関連する編集検出部48、編集管理情報生成送信部49および編集鍵登録部50と、共通して用いられる鍵生成部51および暗号化部52と、を含む。これらの機能はCPU11が記憶部12に格納されたプログラムを実行し、通信部13および入出力部14を制御することによって実現される。なお、各機能の詳細は共通して用いられる機能を除き、文書管理サーバ2の機能とともに処理の種類毎に説明する。
鍵生成部51は、CPU11、記憶部12を中心として実現される。鍵生成部51は他の機能から呼び出され、暗号化用の鍵情報と復号化用の鍵情報を生成する。例えば公開鍵暗号方式を用いる場合は、生成される鍵は秘密鍵が暗号化用の鍵情報であり公開鍵が復号化用の鍵情報となる。また、共通鍵暗号方式を用い、暗号化用の鍵情報と復号化用の鍵情報とが同じとなっても良い。
暗号化部52は、CPU11、記憶部12を中心として実現される。暗号化部52は他の機能から呼び出され、上記生成された暗号化用の鍵情報を用いて指定された文書情報を暗号化し、暗号化文書情報を生成する。
図5は、本実施形態に係る文書管理サーバ2の機能ブロックを示す図である。文書管理サーバ2は機能的に、新規作成時処理に関連する新管理情報受信部61と、閲覧時処理に関連する閲覧管理情報受信部62および鍵応答送信部63と、編集処理時に関連する編集管理情報受信部64と、共通して用いられる管理情報取得部71、認証部72、管理情報記憶部73および鍵情報記憶部74と、を含む。これらの機能はCPU21が記憶部22に格納されたプログラムを実行し、通信部23および入出力部24を制御することによって実現される。
管理情報取得部71は、CPU21、記憶部22、通信部23を中心として実現される。新規作成時処理、閲覧時処理および編集時処理のそれぞれにおいて利用者端末1から送信された情報(以下、それぞれ新管理情報、閲覧管理情報および編集管理情報という)から必要な情報を取得する。新管理情報、閲覧管理情報および編集管理情報は、それぞれ履歴情報と電子証明書情報とからなる。
図6および図7は、履歴情報のデータ形式の一例を示す図である。履歴IDは、各履歴情報を一意に識別する情報であり、例えば、この履歴IDを除く履歴情報の内容の特徴を示す値であるハッシュ値を求めることで取得してよい。ハッシュ値の計算方法としては、例えばSHA−256など、ハッシュ値どうしが衝突する確率が十分に小さい方法を選択すればよい。本図の例では、履歴情報の内容はXML形式で表されている。userタグの値は操作者情報の一種である操作者の名称を表している。timestampタグの値は、この履歴情報が作成される日時を表す。この項目については、編集時処理の場合などは、代わりに文書情報が編集された日時としてもよい。methodタグの値は、新規作成時処理、閲覧時処理又は編集時処理の種類を表している。ここで、種類は前述の3種類だけではなく、例えば変更、コピーなど編集時処理の詳細について細かく表すようにしてもよい。bodyタグの値は、暗号化文書情報の特徴値が格納されている。暗号化文書情報の特徴値は、文書情報を一意に識別できる値である必要があり、例えば上述のハッシュ値を用いればよい。baseタグの値は、この文書情報に関連して直前に送られた履歴情報の履歴IDである。これによって、直前に行われた操作と関連づけをしている。filenameタグの値は、利用者端末上の文書情報のファイルのファイル名を格納している。ここで、bodyタグにより文書情報と履歴IDが紐付けられている。つまり、編集時処理では履歴IDは編集対象となった文書情報も示し、baseタグの値は編集済の文書情報も示すことになる。なお、履歴情報の項目には、暗号化されていない文書情報の特徴値や、文書ファイルのサイズなど、文書を追跡する際に有用と思われる項目を追加してもよい。各項目の取得方法の詳細については後述する。
電子証明書情報は操作者情報の一種であり、操作者を特定しかつ操作者の正当性を表すことができる。電子証明書は例えば第三者の認証機関(CA)によって各操作者に対し発行される。
認証部72は、CPU21、記憶部22、通信部23を中心として実現される。認証部72は、管理情報取得部71で取得した情報を用いて、操作者の正当性を認証する。認証は、例えば、電子証明書を用いる公知の手法などによって行う。認証に必要な情報は電子証明書およびそれと同時に受信した情報に含まれているため、操作者を認証するための情報をデータベースとして準備しておく必要はない。
管理情報記憶部73は、CPU21、記憶部22を中心として実現される。管理情報取得部71が新規作成時処理、閲覧時処理、編集時処理のそれぞれの場合に対して取得した管理情報を記憶する。
鍵情報記憶部74は、CPU21、記憶部22、通信部23を中心として実現される。通信部23を用いて新規作成時処理、編集時処理に利用者端末から送られる暗号化文書情報の特徴値と復号化用鍵情報とを取得し、暗号化文書情報の特徴値と関連づけて復号化用鍵情報を記憶部22に記憶する。また、他の機能ブロックから指定された暗号化文書情報の特徴値に対応する復号化用鍵情報を記憶部22から取得し、呼び出し元の機能ブロックに渡す。
以下では、処理の種類ごとに処理フローとともに関連する機能ブロックについて説明していく。ここで図8は新規作成処理時における利用者端末1の処理フローの一例を示す図である。
新規文書情報取得部41は、CPU11、記憶部12、入出力部14を中心として実現される。新規文書情報取得部41は操作者が文書交換の対象として準備した文書情報(以下「新規文書情報」という)として記憶部12や入出力部14から取得する(S101)。
新管理情報生成送信部42は、CPU11、記憶部12、通信部13を中心として実現される。新管理情報生成送信部42は、鍵生成部51を呼び出して、取得した新規文書情報に対する暗号化用の鍵情報と復号化用の鍵情報を生成する(S102)。生成された暗号化用鍵情報を用いて暗号化部52を呼び出して新規文書情報を暗号化し(S103)、さらに新規文書情報が暗号化された情報の特徴値としてハッシュ値を生成する(S104)。次に、記憶部12に予め記憶されている操作者に対応した電子証明書情報を取得する(S105)。次に新管理情報を生成する(S106)。具体的には、例えば図7に示されるような履歴情報を電子証明書情報でデジタル署名し、電子証明書情報を添付することで新管理情報を生成する。履歴情報の各項目について、例えばuserタグには証明書情報から取得したユーザ名の情報が、timestampタグには履歴情報の作成日時が、methodタグには新規作成処理時であることを示す文字列が、bodyタグには新規文書情報が暗号化された情報の特徴値が格納されている。そして、生成された新管理情報を文書管理サーバ2に送信する(S107)。
新規鍵登録部43は、CPU11、記憶部12、通信部13を中心として実現される。鍵生成部51で生成された復号化用鍵情報を、新規文書情報が暗号化された情報の特徴値とともに文書管理サーバ2の鍵情報記憶部74に送信し、鍵情報記憶部74にその情報を格納させる(S108)。
図9は、新規作成処理時における文書管理サーバ2の処理フローの一例を示す図である。新管理情報受信部61は、CPU21、記憶部22、通信部23を中心として実現される。新管理情報受信部61は、通信部23を通じて利用者端末1の新管理情報生成送信部42から新管理情報を受信する(S111)。
管理情報取得部71は、新規作成処理時には、受信した新管理情報から、格納対象の情報である管理情報を抽出する(S112)。管理情報の項目としては、例えば、図7に示される履歴情報の履歴ID、bodyタグの値、timestampタグの値、filenameタグの値、userタグの値や、電子証明書から取得する操作者を特定する文字列がある。そして、管理情報記憶部73は、それらの項目からなる管理情報を記憶する(S113)。なお、記憶する前に認証部72によって操作者の認証を行い、正当でない場合にはその旨を記憶するようにしてもよい。
図10は閲覧処理時における利用者端末1の処理フローの一例を示す図である。暗号化閲覧文書情報取得部44は、CPU11、記憶部12、入出力部14を中心として実現される。暗号化閲覧文書情報取得部44は先ほどの新規作成処理時などに作成された閲覧対象となる暗号化された文書情報(以下「暗号化閲覧文書情報」という)を記憶部12や入出力部14などから取得する(S121)。なお、暗号化閲覧文書情報は、新規作成処理時の操作をした操作者から、電子メール等の文書追跡システムが直接管理しない方法で予め取得する。
閲覧管理情報生成送信部45は、CPU11、記憶部12、通信部13を中心として実現される。閲覧管理情報生成送信部45は、はじめに暗号化閲覧文書情報の特徴値としてハッシュ値を生成し(S122)、記憶部12に予め記憶されている、操作者に対応した電子証明書情報を取得する(S123)。次に閲覧管理情報を生成する(S124)。具体的には閲覧管理情報は、例えば図6の閲覧時の欄に示されるような履歴情報を電子証明書情報でデジタル署名し、電子証明書情報を添付して生成する。履歴情報の各項目について、例えばuserタグには証明書情報から抽出したユーザ名の情報が、timestampタグには履歴情報の作成日時が、methodタグには閲覧処理時であることを示す文字列が、bodyタグには暗号化閲覧文書情報の特徴値が格納されている。そして、生成された閲覧管理情報を文書管理サーバ2に送信する(S125)。
図11は、閲覧処理時における文書管理サーバ2の処理フローの一例を示す図である。
閲覧管理情報受信部62は、CPU21、記憶部22、通信部23を中心として実現される。閲覧管理情報受信部62は、利用者端末1の閲覧管理情報生成送信部45から閲覧管理情報を受信する(S131)。
管理情報取得部71は、閲覧処理時には、その閲覧管理情報から、格納対象の情報である管理情報を抽出する(S132)。管理情報の項目としては、例えば、図6に示される履歴情報の履歴ID、bodyタグの値、timestampタグの値、filenameタグの値、userタグの値や、電子証明書から取得する操作者を特定する文字列がある。管理情報記憶部73は、管理情報取得部71で抽出された項目からなる管理情報を記憶する(S133)。
鍵応答送信部63は、CPU21、記憶部22、通信部23を中心として実現される。鍵応答送信部63は、認証部72を用いて操作者が正当であるか認証する(S134)。正当である場合にはbodyタグの値としても含まれている暗号化閲覧文書情報の特徴値を用いて鍵情報記憶部74より復号化用鍵情報を取得し(S135)、利用者端末1に復号化用鍵情報を送信する(S136)。
利用者端末1の鍵受信部46は、CPU11、記憶部12、通信部13を中心として実現される。文書管理サーバ2の鍵応答送信部63から送信された復号化用鍵情報を受信する(S126)。
復号化部47は、CPU11、記憶部12を中心として実現される。受信した復号化用鍵情報を用いて、暗号化閲覧文書情報を復号化する(S127)。
図12は編集処理時における利用者端末1の処理フローの一例を示す図である。編集検出部48は、CPU11、記憶部12、入出力部14を中心として実現される。編集検出部48は操作者が行った文書情報(以下「編集対象文書情報」という)に対する編集操作を検出する(S141)。編集操作を検出するには、例えば予め編集対象文書情報のファイルのタイムスタンプを記憶しておき、何らかのタイミングでそのタイムスタンプが変更されているか確認するなどの公知の手法を用いて行う。次に、その編集対象文書情報の編集前のファイルに対応する履歴情報の履歴IDを取得する(S142)。図14はその履歴IDを取得するために利用者端末1に記憶される情報の例である。本図のように編集対象文書情報のファイルパスとそのファイルに対してされた直前の操作に対応する履歴IDを記憶しておくことで、編集操作がされたファイルに対応する文書情報(以下「編集済文書情報」という)の編集前の文書である編集対象文書情報に対応する履歴IDを取得することができる。なお、これらの情報は、新規作成処理時、閲覧処理時、編集処理時のそれぞれ履歴情報を作成する際に生成、更新するようにすればよい。
編集管理情報生成送信部49は、CPU11、記憶部12、通信部13を中心として実現される。編集管理情報生成送信部49は、鍵生成部51を呼び出して、編集済文書情報に対する暗号化用の鍵情報と復号化用の鍵情報を生成する(S143)。生成された暗号化用鍵情報を用いて暗号化部52を呼び出して編集済文書情報を暗号化し(S144)、さらに編集済文書情報が暗号化された情報の特徴値としてハッシュ値を生成する(S145)。記憶部12に予め記憶されている、操作者に対応した電子証明書情報を取得する(S146)。次に編集管理情報を生成する(S147)。具体的には、例えば図6の編集時欄に示されるような履歴情報を電子証明書情報でデジタル署名し、電子証明書情報を添付することで生成する。履歴情報の各項目について、例えばuserタグには証明書情報から取得したユーザ名の情報が、timestampタグには履歴情報の作成日時が、methodタグには編集処理時であることを示す文字列が、baseタグには編集対象文書情報に対応する履歴IDが、bodyタグには編集済文書情報が暗号化された情報の特徴値が格納されている。そして、生成された編集管理情報を文書管理サーバ2に送信する(S148)。
編集鍵登録部50は、CPU11、記憶部12、通信部13を中心として実現される。鍵生成部51で生成された復号化用鍵情報を、編集済文書情報が暗号化された情報の特徴値とともに文書管理サーバ2の鍵情報記憶部74に送信し、鍵情報記憶部74にその情報を格納させる(S149)。
図13は、編集処理時における文書管理サーバ2の処理フローの一例を示す図である。編集管理情報受信部64は、CPU21、記憶部22、通信部23を中心として実現される。編集管理情報受信部64は、利用者端末1の編集管理情報生成送信部49から編集管理情報を受信する(S151)。
管理情報取得部71は、編集処理時には、受信した編集管理情報から、格納対象の情報である管理情報を抽出する(S152)。管理情報の項目としては、例えば、図6に示される履歴情報の履歴ID、baseタグの値、bodyタグの値、timestampタグの値、filenameタグの値や、電子証明書から取得する操作者を特定する文字列がある。そして、管理情報記憶部73は、それらの項目からなる管理情報を記憶する(S153)。なお、記憶する前に認証部72によって操作者の認証を行い、正当でない場合にはその旨を記憶するようにしてもよい。
編集処理時には、baseタグの値に履歴IDを格納することで、直前の操作との対応をとることが可能になる。さらに直前の操作との対応をとることで、編集前の文書情報との対応も取ることができる。例えば図6の閲覧時の履歴情報の履歴IDが、編集時の履歴情報のbaseタグの欄に格納されている。これによって、編集によって文書情報が変化しbodyタグの値が変化しても、事後的に元のファイルを追跡することが可能である。図15は、操作者Aliceが文書を編集し、編集済文書情報を暗号化した情報をBobに送付し、Bobが閲覧した場合の履歴情報の例である。この例では閲覧時処理でbaseタグに情報が格納されないために、履歴IDからは元の文書を追跡することができないが、文書情報が等しいためbodyタグの値は等しく、事後的に元のファイルを追跡することができる。なお文書情報の追跡を確実に行うために、他人に送信可能な状態のファイルとして操作者が直接アクセスできるのは暗号化された文書情報のみにするよう利用者端末で制御する方が好適である。
これまで実施形態について説明してきたが、本発明はこの実施形態に限られるものではない。例えば、本実施形態では文書管理サーバで復号化用鍵も記憶しているが、他のサーバに分離してもよい。鍵の記憶自体は独立して可能な動作であるからである。また、復号化用鍵の記憶を文書管理サーバで管理する場合は、復号化用鍵情報と各種管理情報を一つの情報としてまとめて送受信するようにしてもよい。
なお、本実施形態で記載している文書情報の内容は、単なるテキスト文書には限られず、図形、音声、動画等も含む。ワードプロセッサ等のアプリケーションにおいて上記のものを分け隔て無く扱える以上、図形、音声、動画等を別扱いする必要は存在しないからである。
本実施形態に係る文書追跡システムの構成および処理の概略の一例を示す図である。 本実施形態に係る利用者端末の構成の一例を示す図である。 本実施形態に係る文書管理サーバの構成の一例を示す図である。 本実施形態に係る利用者端末の機能ブロックを示す図である。 本実施形態に係る文書管理サーバの機能ブロックを示す図である。 履歴情報のデータ形式の一例を示す図である。 履歴情報のデータ形式の一例を示す図である。 新規作成処理時における利用者端末の処理フローの一例を示す図である。 新規作成処理時における文書管理サーバの処理フローの一例を示す図である。 閲覧処理時における利用者端末の処理フローの一例を示す図である。 閲覧処理時における文書管理サーバの処理フローの一例を示す図である。 編集処理時における利用者端末の処理フローの一例を示す図である。 編集処理時における文書管理サーバの処理フローの一例を示す図である。 履歴IDを取得するために利用者端末に記憶される情報の例を示す図である。 編集済文書情報を暗号化した情報を他者が閲覧した場合の履歴情報の例を示す図である。
符号の説明
1,1a,1b 利用者端末、2 文書管理サーバ、3 ネットワーク、D 文書情報、De 暗号化文書情報、Kd 復号化用の鍵、11,21 CPU、12,22 記憶部、13,23 通信部、14,24 入出力部、41 新規文書情報取得部、42 新管理情報生成送信部、43 新規鍵登録部、44 暗号化閲覧文書情報取得部、45 閲覧管理情報生成送信部、46 鍵受信部、47 復号化部、48 編集検出部、49 編集管理情報生成送信部、50 編集鍵登録部、51 鍵生成部、52 暗号化部、61 新管理情報受信部、62 閲覧管理情報受信部、63 鍵応答送信部、64 編集管理情報受信部、71 管理情報受信部、72 認証部、73 管理情報記憶部、74 鍵情報記憶部。

Claims (7)

  1. 利用者端末と文書管理サーバからなる文書追跡システムであって、
    前記利用者端末は、
    閲覧対象となる文書情報が暗号化されてなる暗号化閲覧文書情報を取得する手段と、
    前記暗号化閲覧文書情報の特徴値を生成する手段と、
    前記利用者端末の操作者を特定しかつ前記操作者の正当性を示す操作者情報を取得する手段と、
    前記暗号化閲覧文書情報の特徴値および前記操作者情報を含む閲覧管理情報を前記文書管理サーバに送信する閲覧管理情報送信手段と、
    前記文書管理サーバから送信される復号化用鍵情報を受信する鍵受信手段と、
    前記復号化用鍵情報に基づいて前記暗号化閲覧文書情報を復号化する手段と、
    を含み、
    前記文書管理サーバは、
    前記閲覧管理情報送信手段より前記閲覧管理情報を受信する閲覧管理情報受信手段と、
    前記閲覧管理情報に含まれる前記操作者情報に基づいて、前記操作者を認証する認証手段と、
    前記操作者が認証される場合に、鍵情報記憶手段より前記暗号化閲覧文書情報の特徴値に関連づけられた復号化用鍵情報を取得し、前記利用者端末に前記復号化用鍵情報を送信する鍵応答送信手段と、
    前記閲覧管理情報を受信する場合には、管理情報として少なくとも前記閲覧管理情報に含まれる前記操作者情報に応じた前記操作者の情報を取得する管理情報取得手段と、
    前記管理情報を記憶する管理情報記憶手段と、
    を含み、
    前記利用者端末は、
    復号化された文書情報である編集対象文書情報が編集され編集済文書情報が生成されたことを検出する手段と、
    前記生成された編集済文書情報に対応する暗号化用鍵情報および復号化用鍵情報を生成する手段と、
    前記編集済文書情報に対する暗号化用鍵情報に基づいて前記編集済文書情報を暗号化してなる情報を暗号化編集済文書情報として生成する手段と、
    前記暗号化編集済文書情報の特徴値を生成する手段と、
    前記暗号化編集済文書情報の特徴値と前記暗号化編集済文書情報に対する復号化用鍵情報を通信によりアクセス可能な鍵情報記憶手段に格納する手段と、
    前記暗号化編集済文書情報の特徴値および前記編集対象文書情報を示す情報を含む編集管理情報を前記文書管理サーバに送信する編集管理情報送信手段と、
    をさらに含み、
    前記文書管理サーバは、
    前記編集管理情報送信手段より前記編集管理情報を受信する編集管理情報受信手段、
    をさらに含み、
    前記管理情報取得手段は、前記編集管理情報を受信する場合には、管理情報として少なくとも前記暗号化編集済文書情報の特徴値および前記編集対象文書情報を示す情報を取得する、
    ことを特徴とする文書追跡システム。
  2. 前記利用者端末は、
    新規に作成された文書情報である新規文書情報を取得する手段と、
    前記新規文書情報に対応する暗号化用鍵情報および復号化用鍵情報を生成する手段と、
    前記新規文書情報に対応する暗号化用鍵情報に基づいて前記新規文書情報を暗号化してなる情報を暗号化新規文書情報として生成する手段と、
    前記暗号化新規文書情報の特徴値を生成する手段と、
    前記暗号化新規文書情報の特徴値と前記暗号化新規文書情報に対する復号化用鍵情報を通信によりアクセス可能な前記鍵情報記憶手段に格納する手段と、
    をさらに含むことを特徴とする請求項1に記載の文書追跡システム。
  3. 前記文書管理サーバに含まれる前記管理情報取得手段は、前記暗号化新規文書情報に対する復号化用鍵情報が前記鍵情報記憶手段に格納される場合には、少なくとも管理情報として前記暗号化新規文書情報の特徴値を取得する、
    ことを特徴とする請求項2に記載の文書追跡システム。
  4. 閲覧対象となる文書情報が暗号化されてなる暗号化閲覧文書情報を取得する手段と、
    前記暗号化閲覧文書情報の特徴値を生成する手段と、
    前記利用者端末の操作者を特定しかつ前記操作者の正当性を示す操作者情報を取得する手段と、
    前記暗号化閲覧文書情報の特徴値および前記操作者情報を含む閲覧管理情報を文書管理サーバに送信する閲覧管理情報送信手段と、
    前記文書管理サーバから送信される復号化用鍵情報を受信する鍵受信手段と、
    前記復号化用鍵情報に基づいて前記暗号化閲覧文書情報を復号化する手段と、
    復号化された文書情報である編集対象文書情報が編集され編集済文書情報が生成されたことを検出する手段と、
    前記生成された編集済文書情報に対応する暗号化用鍵情報および復号化用鍵情報を生成する手段と、
    前記編集済文書情報に対する暗号化用鍵情報に基づいて前記編集済文書情報を暗号化してなる情報を暗号化編集済文書情報として生成する手段と、
    前記暗号化編集済文書情報の特徴値を生成する手段と、
    前記暗号化編集済文書情報の特徴値と前記暗号化編集済文書情報に対する復号化用鍵情報を通信によりアクセス可能な鍵情報記憶手段に格納する手段と、
    前記暗号化編集済文書情報の特徴値および前記編集対象文書情報を示す情報を含む編集管理情報を前記文書管理サーバに送信する編集管理情報送信手段と、
    を含むことを特徴とする利用者端末。
  5. 利用者端末より閲覧管理情報を受信する閲覧管理情報受信手段と、
    前記閲覧管理情報に含まれる操作者情報に基づいて、操作者を認証する認証手段と、
    前記操作者が認証される場合に、鍵情報記憶手段より前記文書情報の特徴値に関連づけられた復号化用鍵情報を取得し、前記利用者端末に前記復号化用鍵情報を送信する鍵応答送信手段と、
    前記閲覧管理情報を受信する場合には、管理情報として少なくとも前記閲覧管理情報に含まれる前記操作者情報に応じた前記操作者の情報を取得する管理情報取得手段と、
    前記管理情報を記憶する管理情報記憶手段と、
    利用者端末より暗号化編集済文書情報の特徴値および編集対象文書情報を示す情報を含む編集管理情報を受信する編集管理情報受信手段と、
    を含み、
    前記管理情報取得手段は、前記編集管理情報を受信する場合には、管理情報として少なくとも前記暗号化編集済文書情報の特徴値および前記編集対象文書情報を示す情報を取得する、
    ことを特徴とする文書管理サーバ。
  6. 閲覧対象となる文書情報が暗号化されてなる暗号化閲覧文書情報を取得する手段、
    前記暗号化閲覧文書情報の特徴値を生成する手段、
    前記利用者端末の操作者を特定しかつ前記操作者の正当性を示す操作者情報を取得する手段、
    前記暗号化閲覧文書情報の特徴値および前記操作者情報を含む閲覧管理情報を文書管理サーバに送信する閲覧管理情報送信手段、
    前記文書管理サーバから送信される復号化用鍵情報を受信する鍵受信手段
    記復号化用鍵情報に基づいて前記暗号化閲覧文書情報を復号化する手段、
    復号化された文書情報である編集対象文書情報が編集され編集済文書情報が生成されたことを検出する手段、
    前記生成された編集済文書情報に対応する暗号化用鍵情報および復号化用鍵情報を生成する手段、
    前記編集済文書情報に対する暗号化用鍵情報に基づいて前記編集済文書情報を暗号化してなる情報を暗号化編集済文書情報として生成する手段、
    前記暗号化編集済文書情報の特徴値を生成する手段、
    前記暗号化編集済文書情報の特徴値と前記暗号化編集済文書情報に対する復号化用鍵情報を通信によりアクセス可能な鍵情報記憶手段に格納する手段、及び、
    前記暗号化編集済文書情報の特徴値および前記編集対象文書情報を示す情報を含む編集管理情報を前記文書管理サーバに送信する編集管理情報送信手段、
    としてコンピュータを機能させるためのプログラム。
  7. 利用者端末より閲覧管理情報を受信する閲覧管理情報受信手段、
    前記閲覧管理情報に含まれる操作者情報に基づいて、操作者を認証する認証手段、
    前記操作者が認証される場合に、鍵情報記憶手段より前記文書情報の特徴値に関連づけられた復号化用鍵情報を取得し、前記利用者端末に前記復号化用鍵情報を送信する鍵応答送信手段、
    前記閲覧管理情報を受信する場合には、管理情報として少なくとも前記閲覧管理情報に含まれる前記操作者情報に応じた前記操作者の情報を取得する管理情報取得手段
    記管理情報を記憶する管理情報記憶手段、及び、
    利用者端末より暗号化編集済文書情報の特徴値および編集対象文書情報を示す情報を含む編集管理情報を受信する編集管理情報受信手段、
    としてコンピュータを機能させるためのプログラムであって、
    前記管理情報取得手段は、前記編集管理情報を受信する場合には、管理情報として少なくとも前記暗号化編集済文書情報の特徴値および前記編集対象文書情報を示す情報を取得する、
    ことを特徴とするプログラム
JP2008160135A 2008-06-19 2008-06-19 文書追跡システム、利用者端末、文書管理サーバおよびプログラム Expired - Fee Related JP5120091B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008160135A JP5120091B2 (ja) 2008-06-19 2008-06-19 文書追跡システム、利用者端末、文書管理サーバおよびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008160135A JP5120091B2 (ja) 2008-06-19 2008-06-19 文書追跡システム、利用者端末、文書管理サーバおよびプログラム

Publications (2)

Publication Number Publication Date
JP2010003044A JP2010003044A (ja) 2010-01-07
JP5120091B2 true JP5120091B2 (ja) 2013-01-16

Family

ID=41584734

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008160135A Expired - Fee Related JP5120091B2 (ja) 2008-06-19 2008-06-19 文書追跡システム、利用者端末、文書管理サーバおよびプログラム

Country Status (1)

Country Link
JP (1) JP5120091B2 (ja)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1125048A (ja) * 1997-06-30 1999-01-29 Hitachi Ltd ネットワークシステムのセキュリティ管理方法
JP4246112B2 (ja) * 2003-10-31 2009-04-02 マルチネット株式会社 ファイルのセキュリティー管理システムおよび認証サーバ、クライアント装置ならびにプログラムおよび記録媒体
JP4832744B2 (ja) * 2004-09-29 2011-12-07 コニカミノルタビジネステクノロジーズ株式会社 文書管理システム
JP4564370B2 (ja) * 2005-02-08 2010-10-20 三井住友海上火災保険株式会社 情報管理システム及び情報管理方法
JP4403124B2 (ja) * 2005-09-22 2010-01-20 株式会社ドリームボート コンテンツ共有のためのシステム、装置、方法およびプログラム

Also Published As

Publication number Publication date
JP2010003044A (ja) 2010-01-07

Similar Documents

Publication Publication Date Title
CN108076057B (zh) 一种基于区块链的数据保全系统及方法
EP3710974B1 (en) Method and arrangement for detecting digital content tampering
CN101118586B (zh) 数据处理设备和数据处理方法
US8005904B2 (en) Electronic business card exchange system and method
US7320076B2 (en) Method and apparatus for a transaction-based secure storage file system
US8756416B2 (en) Checking revocation status of a biometric reference template
EP2234323A1 (en) Information distribution system and program for the same
JP2013513834A (ja) 信頼できるコンピューティングおよびデータサービスのための信頼できる拡張マークアップ言語
KR20120029424A (ko) 신뢰성있는 컴퓨팅 및 데이터 서비스들을 위한 안전하고 사적인 백업 저장부 및 프로세싱
US9727753B2 (en) Watermark access/control system and method
US20190020648A1 (en) Systems and methods for managing device association
JP2004304304A (ja) 電子署名生成方法,電子署名検証方法,電子署名生成依頼プログラム,及び電子署名検証依頼プログラム
CN112434336A (zh) 基于区块链的电子病历共享方法、装置、系统及存储介质
JP2010514000A (ja) 電子装置にプログラム状態データをセキュアに記憶するための方法
JP4811840B2 (ja) ログ収集システムならびにログ収集システムに用いられるサーバおよびサーバを制御するプログラムを記録した媒体
JP2007043321A (ja) 電子文書の真正性検証方法及びシステム
JP2006209270A (ja) 個人情報通信システム及びその方法
JP2008219742A (ja) 添付ファイル暗号化方法及びこの方法を実施するメールサーバ
JP2008160485A (ja) 文書管理システム及び文書管理方法、文書管理サーバ、作業端末、並びにプログラム
JP2004234538A (ja) 暗号化データ共有システム
JP5586397B2 (ja) セキュア・ネットワーク・ストレージ・システム、方法、クライアント装置、サーバ装置、及びプログラム
JP2008035019A (ja) 電子署名装置
JP2005063268A (ja) 電子ファイル認証システムおよび電子ファイル認証サーバならびに電子ファイル認証方法
JP5120091B2 (ja) 文書追跡システム、利用者端末、文書管理サーバおよびプログラム
JP2007181093A (ja) タイムスタンプサーバ装置、及びタイムスタンプ発行方法、及びタイムスタンプ発行プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110520

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120618

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120703

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120828

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120925

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121008

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151102

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5120091

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees