JP5328260B2 - Individual file access management system - Google Patents
Individual file access management system Download PDFInfo
- Publication number
- JP5328260B2 JP5328260B2 JP2008207819A JP2008207819A JP5328260B2 JP 5328260 B2 JP5328260 B2 JP 5328260B2 JP 2008207819 A JP2008207819 A JP 2008207819A JP 2008207819 A JP2008207819 A JP 2008207819A JP 5328260 B2 JP5328260 B2 JP 5328260B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- information
- client terminal
- access right
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、クライアント端末における電子ファイルのアクセス管理をサーバにて行う個別ファイルアクセス管理システムに関する。 The present invention relates to an individual file access management system that performs electronic file access management in a client terminal using a server.
従来、電子ファイル(以下、電子ファイルを単に「ファイル」という)はファイルを電子メールに添付して送る等のネットワークを用いて交換が行われたり、ネットワークやUSBメモリ等の記憶媒体を用いて交換が行われたりしている。交換されるファイルの中には、機密情報や個人情報等、外部への漏えいが許されない重要な情報を含むファイルがあり、これらのファイルが交換された後もファイルからの情報漏えいを防ぐことは重要である。 Conventionally, electronic files (hereinafter simply referred to as “files”) are exchanged using a network such as sending a file attached to an e-mail, or using a storage medium such as a network or USB memory. Has been done. Among the files that are exchanged, there are files that contain important information that cannot be leaked to the outside, such as confidential information and personal information, and it is not possible to prevent leakage of information from the files even after these files are exchanged is important.
しかし、ファイルがパソコン等に保存されている時に設定されていたアクセス権は、ファイルが交換され、別のパソコン等に移動した後には引き継がれない。そこで、ファイルが交換された後のファイルからの情報漏えいを防ぐために、交換されるファイルを暗号化し、正当なアクセス権をもつユーザのみがファイルを復号できるようにする方法が提案されている(例えば、特許文献1)。 However, the access right that was set when the file was saved on a personal computer or the like cannot be inherited after the file is exchanged and moved to another personal computer or the like. Therefore, in order to prevent information leakage from the file after the file is exchanged, a method has been proposed in which the exchanged file is encrypted so that only a user having a legitimate access right can decrypt the file (for example, Patent Document 1).
特許文献1には、電子メールに添付されるファイルは、サーバによって管理される暗号鍵を用いて暗号化され、暗号化されたファイルが添付された電子メールを受信したユーザは、サーバにてファイルに対して正当なアクセス権をもつ者であると判断された場合にのみ、サーバから復号鍵を受信し、暗号化されたファイルを復号できるシステムが開示されている。
特許文献1のシステムでは、電子メールに添付されて交換されるファイルを暗号化し、ファイルに対して正当なアクセス権をもつユーザしかファイルを復号できないとすることにより、ファイルに元々設定されていたアクセス権が交換後のファイルに引き継がれたのと同様の効果が得られる。しかし、暗号化されたファイルが復号され、受信者の端末に保存されたファイルには、送信前のファイルに元々設定されていたアクセス権が保存後のファイルに引き継がれたのと同様の効果は得られない。そのため、受信者の端末に保存されたファイルのアクセス権をファイル送信者が管理することはできず、送信者の意に反してファイルの情報が外部へ漏えいする可能性があるという問題点がある。
In the system of
本発明は上記課題に鑑み、クライアント端末間にて交換された後のファイルが、交換前のファイルに元々設定されていたアクセス権を引き継ぐことにより、ファイルの情報が外部へ漏えいすることを防ぐ個別ファイルアクセス管理システムを提供することを目的とする。 In view of the above-mentioned problems, the present invention prevents individual file information from leaking to the outside by taking over the access right originally set in the file before the exchange between the client terminals. The object is to provide a file access management system.
(1) クライアント端末と前記クライアント端末のユーザが作成した複数の電子ファイルそれぞれに対するアクセス権情報を管理するアクセス管理サーバとが、ネットワークを介して接続された個別ファイルアクセス管理システムであって、
前記アクセス管理サーバが、
前記クライアント端末から受信した、前記複数の電子ファイルそれぞれの属性情報および前記アクセス権情報の組み合わせに対して一意の払出キーを作成する払出キー作成手段と、
前記属性情報および前記アクセス権情報の組み合わせを払出キーと対応付けて記憶するアクセス権情報記憶手段と、
を備え、
前記クライアント端末が、
前記複数の電子ファイルのうち、前記クライアント端末のユーザが保存指示を行った電子ファイルに対するアクセス権情報を設定するアクセス権情報設定手段と、
前記保存指示を行った電子ファイルの属性情報を取得するファイル情報取得手段と、
前記ファイル情報取得手段にて取得された属性情報および前記アクセス権情報設定手段にて設定されたアクセス権情報の組み合わせをアクセス管理サーバに送信するアクセス権情報送信手段と、
前記アクセス管理サーバにて作成された払出キーを前記アクセス管理サーバから取得する払出キー取得手段と、
前記払出キー取得手段にて取得した払出キーを前記電子ファイルの属性情報に追加し、払出キー付き電子ファイルを作成する払出キー追加手段と、
を備える個別ファイルアクセス管理システム。
(1) An individual file access management system in which a client terminal and an access management server that manages access right information for each of a plurality of electronic files created by a user of the client terminal are connected via a network,
The access management server is
A payout key creating means for creating a unique payout key for the combination of the attribute information and the access right information of each of the plurality of electronic files received from the client terminal;
Access right information storage means for storing a combination of the attribute information and the access right information in association with a payout key;
With
The client terminal is
Of the plurality of electronic files, access right information setting means for setting access right information for an electronic file for which the user of the client terminal has instructed saving;
File information acquisition means for acquiring attribute information of the electronic file for which the storage instruction has been issued;
Access right information transmitting means for transmitting a combination of the attribute information acquired by the file information acquiring means and the access right information set by the access right information setting means to an access management server;
A payout key acquisition means for acquiring a payout key created in the access management server from the access management server;
A payout key adding means for adding the payout key acquired by the payout key acquiring means to the attribute information of the electronic file and creating an electronic file with a payout key;
An individual file access management system comprising:
(1)の構成によれば、アクセス管理サーバにてアクセス権情報を管理することにより、ファイルが交換され他のクライアント端末に保存された場合においても、ファイルのアクセス権情報を引き継ぐことができる。すなわち、アクセス管理サーバにて管理されるアクセス権情報とクライアント端末に保存されているファイルとを払出しキーにて対応付け、その払出キーをファイルの属性情報に追加することにより、新たなファイルを作成等することなく従来のファイルのままで、ファイルが交換され他のクライアント端末に保存された場合においても、ファイルがアクセス権情報を引き継ぐことができる。その結果、ファイルの交換後のアクセス管理を容易に行うことができる。 According to the configuration of (1), by managing the access right information by the access management server, the file access right information can be taken over even when the file is exchanged and stored in another client terminal. In other words, a new file is created by associating the access right information managed by the access management server with the file stored in the client terminal using the payout key and adding the payout key to the file attribute information. Even if the file is exchanged and stored in another client terminal without changing the file, the file can take over the access right information. As a result, access management after file exchange can be easily performed.
(2) 前記アクセス管理サーバが、
前記クライアント端末から、前記払出キー付き電子ファイルから取得された払出キーと前記クライアント端末のユーザ情報を受信し、前記払出キーに対応するアクセス権情報をアクセス権情報記憶手段から取得する判定情報取得手段と、
前記クライアント端末から前記払出キーと合わせて受信した、前記クライアント端末のユーザ情報、および前記判定情報取得手段にて取得したアクセス権情報に基づいて、前記クライアント端末のユーザから前記電子ファイルへのアクセスの可否を判定する判定手段と、
を更に備え、
前記クライアント端末が、
前記クライアント端末のユーザの属性情報を取得するユーザ情報取得手段と、
前記ファイル情報取得手段にて前記払出キー付き電子ファイルから取得した払出キーと、前記ユーザ情報取得手段にて取得されたユーザの属性情報とを判定情報として前記アクセス管理サーバへ送信する情報送信手段と、
前記判定手段による判定結果を取得する結果取得手段と、
前記結果取得手段にて取得された結果に基づいて、前記電子ファイルへのアクセスを制御する制御手段と、
を備える(1)に記載の個別ファイルアクセス管理システム。
(2) The access management server is
Determination information acquisition means for receiving a payout key acquired from the electronic file with the payout key and user information of the client terminal from the client terminal, and acquiring access right information corresponding to the payout key from an access right information storage means When,
Based on the user information of the client terminal received together with the payout key from the client terminal and the access right information acquired by the determination information acquisition means, the user of the client terminal can access the electronic file. A determination means for determining availability;
Further comprising
The client terminal is
User information acquisition means for acquiring attribute information of a user of the client terminal;
Information transmitting means for transmitting the payout key acquired from the electronic file with the payout key by the file information acquiring means and the user attribute information acquired by the user information acquiring means to the access management server as determination information; ,
A result acquisition unit for acquiring a determination result by the determination unit;
Control means for controlling access to the electronic file based on the result obtained by the result obtaining means;
The individual file access management system according to (1).
(2)の構成によれば、電子ファイルの属性情報に追加されている払出キーを基に、アクセス管理サーバにて電子ファイルへのアクセス権限の確認を行うことができる。その結果、電子ファイルへアクセスしたユーザが適正なユーザであるか確認を行うことができる。 According to the configuration of (2), the access authority to the electronic file can be confirmed by the access management server based on the payout key added to the attribute information of the electronic file. As a result, it is possible to confirm whether the user who has accessed the electronic file is an appropriate user.
(3) 前記個別ファイルアクセス管理システムが備える各手段をエージェントソフトウェアにて提供する(1)または(2)に記載の個別ファイルアクセス管理システム。 (3) The individual file access management system according to (1) or (2), wherein each unit included in the individual file access management system is provided by agent software.
(3)の構成によれば、ユーザはエージェントソフトウェアをインストールすることにより、自己の端末を個別ファイルアクセス管理システムのクライアント端末とすることができる。また、クライアント端末のユーザは今まで通りの操作で、ユーザが利用するファイルのアクセス管理をすることができる。なお、エージェントソフトェアとは、クライアント端末の要求を処理する代理ソフトウェアであり、バックエンドで動作するものを意図している。 According to the configuration of (3), the user can make his / her terminal a client terminal of the individual file access management system by installing the agent software. Further, the user of the client terminal can manage access to the file used by the user with the same operation as before. The agent software is proxy software that processes a request from a client terminal, and is intended to operate on the back end.
クライアント端末間にて交換された後のファイルが、交換前のファイルに元々設定されていたアクセス権を引き継ぐことにより、ファイルの情報が外部へ漏えいすることを防ぐ個別ファイルアクセス管理システムを提供することができる。 To provide an individual file access management system that prevents file information from leaking to the outside by taking over the access rights that were originally set for the file before the exchange between the client terminals Can do.
以下、本発明を実施するための最良の形態について図を参照しながら説明する。なお、これはあくまでも一例であって、本発明の技術的範囲はこれに限られるものではない。 Hereinafter, the best mode for carrying out the present invention will be described with reference to the drawings. This is merely an example, and the technical scope of the present invention is not limited to this.
[個別ファイルアクセス管理システムの全体構成]
図1は、本発明の一実施形態(以下、本実施形態という)に係る個別ファイルアクセス管理システム10の全体構成および機能構成を示す図である。個別ファイルアクセス管理システム10は、クライアント端末100と、アクセス管理サーバ200とから構成され、それぞれは、ネットワークを介して接続されている。なお、クライアント端末100およびアクセス管理サーバ200、はそれぞれ複数台で構成されてもよい。
[Overall configuration of individual file access management system]
FIG. 1 is a diagram showing an overall configuration and functional configuration of an individual file
なお、図1に示す実線矢印はクライアント端末100にファイルを保存する処理の流れを表し、破線矢印はクライアント端末100に保存されているファイルを閲覧する処理の流れを表している。但し、白抜き矢印はデータの流れを表している。以下に、クライアント端末100およびアクセス管理サーバ200が備える各手段について説明する。
1 represents the flow of processing for saving a file in the
[クライアント端末の機能構成]
クライアント端末100は、クライアント端末100に保存するファイルに対してアクセス権情報を設定し、また、クライアント端末に保存されているアクセス権情報が設定されたファイルを閲覧する端末である。クライアント端末100は、アクセス制御手段110およびファイル記憶手段130を備える。アクセス制御手段110は操作受付手段111、ファイル情報取得手段112、アクセス権情報設定手段113、アクセス権情報送信手段114、払出キー取得手段115、払出キー追加手段116、ユーザ情報取得手段117、判定情報送信手段118、結果取得手段119、および表示制御手段120を備える。
[Functional configuration of client terminal]
The
操作受付手段111は、クライアント端末100のユーザが操作しようとするファイルに対してキーボード、マウス等の入力手段(図示せず)にて入力した操作情報を受け付ける機能と、受け付けた操作情報をファイル情報取得手段112に出力する機能とを有する。具体的には、ファイルをファイル記憶手段130に保存することを指示する操作、およびファイル記憶手段130に記憶されているファイルの閲覧を指示する操作を受け付ける。ここで、閲覧とは、ファイルを開くことを意味する。操作情報には、ファイル受領端末100のユーザが操作しようとするファイルの特定情報も含まれる。
The
ファイル情報取得手段112は、操作受付手段111が送信した操作情報を受信したことに応じて、ファイル記憶手段130に記憶されたファイルのうち、受信した操作情報に含まれるファイル特定情報にて特定されるファイルに関するファイル情報を取得する機能を有する。また、ファイル情報取得手段112は、取得したファイル情報をアクセス権情報設定手段113、または、ユーザ情報取得手段117に出力する機能も有する。
The file
具体的には、ファイルをファイル記憶手段130に保存することを指示する操作を示す操作情報の場合には、クライアント端末100のユーザが保存指示を行ったファイル(以下、保存対象ファイルという)に関するファイル情報を取得し、取得したファイル情報をアクセス権情報設定手段113に出力する。また、ファイル記憶手段130に記憶されているファイルの閲覧を指示する操作の場合には、クライアント端末100のユーザが閲覧指示を行ったファイル(以下、閲覧対象ファイルという)に関するファイル情報を取得し、取得したファイル情報をユーザ情報取得手段117に出力する。ここで、ファイル情報とは、ファイル名、ファイルの作成ユーザの名前やユーザID、ファイルの作成日時、ファイルのバージョン情報等のファイルの属性情報である。ファイルの作成日時やファイルのバージョン情報を含むことにより、同名ファイルについて作成日時やバージョン毎に異なるアクセス権情報を設定することができる。
Specifically, in the case of operation information indicating an operation for instructing to save a file in the
アクセス権情報設定手段113は、ファイル情報取得手段112から保存対象ファイルのファイル情報を受信したことに応じて、保存対象ファイルに対するアクセス権情報を設定する機能と、保存対象ファイルに対して設定されたアクセス権情報、および受信したファイル情報とをアクセス権情報送信手段114へ出力する機能とを有する。具体的なアクセス権情報の設定方法については後述する。
The access right
アクセス権情報送信手段114は、アクセス権情報設定手段113にて設定された保存対象ファイルに対するアクセス権情報と、ファイル情報取得手段112にて取得された保存対象ファイルに関するファイル情報とを対応付けてアクセス管理サーバ200の払出キー作成手段211に送信する機能を有する。
The access right
払出キー取得手段115は、払出キー作成手段211にて作成された払出キーをアクセス管理サーバ200から取得する機能と、取得した払出来キーを払出キー追加手段116に出力する機能とを有する。払出キー追加手段116は、払出キー取得手段115から取得した払出キーを保存対象ファイルの属性情報に追加する機能と、払出キーが属性情報に追加された保存ファイルをファイル記憶手段130に記憶する機能とを有する。
The payout
ユーザ情報取得手段117は、ファイル情報取得手段112から閲覧対象ファイルのファイル情報を受信したことに応じて、クライアント端末100のユーザに関するユーザ情報を取得する機能と、取得したユーザ情報を判定情報送信手段118に出力する機能とを有する。ここでは、クライアント端末100に接続された外部装置、具体的には、外部装置は、クライアント端末100に接続されたICカードリーダであり、予めユーザ情報が設定されたICカードから読み取ったユーザ情報を読み取り、ユーザ情報取得手段に送信取得する。ユーザ情報取得手段117は、外部装置からのユーザ情報を取得する。ここで、ユーザ情報とは、例えば、ユーザを一意に特定するユーザID、ユーザが所属するグループを一意に特定するグループID、ユーザの名前等である。なお、ユーザは営業グループ、管理職グループ等の複数のグループに所属することがあるので、複数のグループIDを持つことができる。
The user
判定情報送信手段118は、ファイル情報取得手段112にて取得された閲覧対象ファイルのファイル情報とユーザ情報取得手段117にて取得されたユーザ情報とを判定情報としてアクセス管理サーバ200の判定情報取得手段212に送信する機能を有する。判定情報は、クライアント端末100のユーザが閲覧対象ファイルを閲覧できるか否か判定するために用いられる。
The determination
結果取得手段119は、アクセス管理サーバ200の判定手段213から、クライアント端末100のユーザが閲覧対象ファイルを閲覧できるか否かの判定結果を取得する機能と、取得した判定結果を表示制御手段120に出力する機能とを有する。表示制御手段120は、結果取得手段119から取得した判定結果に応じて、クライアント端末100のユーザが行った閲覧指示に対して応答を行う応答機能を有する。応答機能とは、クライアント端末100のユーザが閲覧できるという結果の場合にはファイルをディスプレイ等の出力手段(図示せず)に表示する機能と、閲覧できないという結果の場合にはその旨のメッセージをディスプレイ等の出力手段(図示せず)に表示する機能とを有する。
The
[アクセス管理サーバの機能構成]
アクセス管理サーバ200は、クライアント端末100にて保存されているファイルのアクセス権情報の管理、およびクライアント端末100に保存されている閲覧対象ファイルをクライアント端末100のユーザが閲覧できるか否かの判定を行う。アクセス管理サーバ200は、払出キー作成手段211、判定情報取得手段212、判定手段213、およびアクセス権情報記憶手段230を備える。
[Functional configuration of the access management server]
The
払出キー作成手段211は、クライアント端末100のアクセス権情報送信手段114から取得した、アクセス権情報とファイル情報との組み合わせを一意に特定する払出キーを作成する機能を有する。払出キー作成手段211は、一意に特定する払出キーを作成する機能により、クライアント端末100に保存されるファイルとアクセス権情報記憶手段230に格納されるアクセス権情報とを対応付けることができる。払出キーは任意の英数字等からなる文字列であり、払出キー作成手段211が自動で作成する。また、払出キー作成手段211は、作成した払出キーをアクセス権情報記憶手段230に記憶する機能を有する。
The payout
判定情報取得手段212は、クライアント端末100の判定情報送信手段118から、判定情報、つまり、閲覧対象ファイルに関するファイル情報とクライアント端末100のユーザ情報を取得する機能を有する。また、取得したファイル情報に基づいて、アクセス権情報記憶手段230から、閲覧対象ファイルに設定されているアクセス権情報を取得する機能と、取得したユーザ情報およびアクセス権情報を判定手段213に出力する機能とを有する。
The determination
判定手段213は、判定情報取得手段212にて取得されたクライアント端末100のユーザ情報と閲覧対象ファイルに設定されているアクセス権情報に基づいて、クライアント端末100のユーザが閲覧対象ファイルを閲覧できるか否かの判定を行う機能と、判定結果をクライアント端末100の結果取得手段119に出力する機能とを有する。
Whether the user of the
[アクセス権情報記憶手段]
図2は、本実施形態に係るアクセス権情報記憶手段230に格納されるアクセス権情報テーブルの一例を示す図である。アクセス権情報記憶手段230は、払出キーをキー情報として、クライアント端末100に保存されているファイルに関する情報およびアクセス権情報を対応付けるこのようなテーブルを含んだデータベースで構築してもよい。アクセス権情報記憶手段230は、払出キー欄300a、ファイル名欄300bと、アクセス権欄300cと、作成ユーザ欄300dと、所属欄300eとを有する。
[Access right information storage means]
FIG. 2 is a diagram showing an example of an access right information table stored in the access right
払出キー欄300aには、上述したように、クライアント端末100に保存されているファイルのアクセス権情報とファイル情報との組み合わせを一意に特定記号が格納される。ファイル名欄300bには、クライアント端末100に保存されているファイル名を格納する。
In the payout
アクセス権欄300cには、クライアント端末100に保存されているファイルに対するアクセス権を格納する。図に示すように、アクセス権はクライアント端末100に保存されているファイルにアクセスできるユーザを格納してもよいし、ファイルにアクセスするユーザに許可する権限、例えば、閲覧権や削除権、を格納してもよい。なお、図に示すアクセス権=「本人」とは、ファイルの作成ユーザが閲覧権を有すること、「11111」とは、ユーザID「11111」のユーザが閲覧権を有することを意味する。作成ユーザ欄300dには、クライアント端末100に保存されているファイルの作成ユーザIDが格納される。所属欄300eには、作成ユーザ欄300dに格納されているファイルの作成ユーザの所属グループを一意に示すIDが格納される。
The access
なお、クライアント端末100が備えるアクセス制御手段110は、ユーザの指示に応じて行われる処理のバックグラウンドで動作するように構成され、エージェントソフトウェアにて提供することができる。それによりユーザは今まで通りの操作で、ユーザが利用するファイルのアクセス管理を容易にすることができる。
The
ファイル記憶手段130、およびアクセス権情報記憶手段230はハード・ディスク上のデータベース(DB)限らず、USBメモリやSDカードのような不揮発性メモリ、光ディスク、磁気テープカートリッジ、フレキシブル・ディスク等の外部記憶装置であってもよい。クライアント端末100、およびアクセス管理サーバ200のハードウェア構成については後述する。
The file storage means 130 and the access right information storage means 230 are not limited to a database (DB) on a hard disk, but are external storage such as a nonvolatile memory such as a USB memory or an SD card, an optical disk, a magnetic tape cartridge, a flexible disk, etc. It may be a device. The hardware configurations of the
[ファイル保存処理]
図3は、本実施形態に係るファイル保存処理のフローチャートである。この図では、クライアント端末100上の処理を実線で、アクセス管理サーバ200上の処理を破線で示している。クライアント端末100のユーザがキーボード、マウス等の入力手段(図示せず)にて、クライアント端末100にファイルを保存する操作を入力すると、操作受付手段111が入力を受け付け、処理が開始する。
[File save processing]
FIG. 3 is a flowchart of the file saving process according to the present embodiment. In this figure, processing on the
S110:ファイル情報取得手段112は、保存対象ファイルに関するファイル情報を取得する。なお、ステップS110は後述するステップS120の後でもよいがファイル情報取得手段112にて取得したファイル情報をステップS120にて使用する場合には、先に行う必要がある。
S110: The file
S120:アクセス権情報設定手段113は、保存対象ファイルに対して、アクセス権情報を設定する。アクセス権情報は、ユーザが任意に設定してもよいし、アクセス権情報設定手段113が自動で設定するようにしてもよい。ユーザが任意に設定する場合としては、例えば、クライアント端末100がアクセス権情報を設定するためのウィンドを提供する機能を備え、ユーザにてウィンドに入力されたアクセス権情報をアクセス権情報設定手段113が取得し、保存対象ファイルに対して設定する。また、アクセス権情報設定手段113が自動で設定する場合としては、例えば、クライアント端末100に、予めいくつか種類のアクセス権情報を用意しておき、ステップS110にて取得したファイル情報に応じてそれらからアクセス権情報設定手段113が選択し、自動で保存対象ファイルに対して設定するようにしてもよい。
S120: The access right
S130:アクセス権情報送信手段114は、ステップS110にて取得した保存対象ファイルに関するファイル情報とステップS120にて設定した保存対象ファイルに対するアクセス権情報とをアクセス管理サーバ200へ送信する。
S140:払出キー作成手段211は、ステップS130にてアクセス管理サーバ200へ送信された保存対象ファイルのファイル情報と保存対象ファイルに対するアクセス権情報とを受信し、それらに対して払出キーを作成する。作成された払出キーは、保存対象ファイルのファイル情報と保存対象ファイルに対するアクセス権情報との組み合わせに対応付けて払出キーをアクセス権情報記憶手段に格納する。
S130: The access right
S140: The payout
S150:払出キー取得手段115は、アクセス管理サーバ200の払出キー作成手段211にて作成された払出キーを取得する。
S160:払出キー追加手段116は、ステップS150にて取得した払出キーを保存対象ファイルの属性情報に追加し、属性情報に払出キーを追加した保存対象ファイルをファイル記憶手段130に保存する。
S150: The payout key acquisition means 115 acquires the payout key created by the payout key creation means 211 of the
S160: The payout
上述したように、ファイル記憶手段130に保存されているファイルの属性情報に追加されている払出キーにより、ファイル記憶手段130に保存されているファイルとアクセス管理サーバ200にて管理されているアクセス権情報を対応付けることができる。それにより、新たなファイルを作成等することなく従来のファイルのままで、ファイルが交換され他のクライアント端末に保存された場合においても、ファイルがアクセス権情報を引き継ぐことができる。
As described above, the file stored in the
[ファイル閲覧処理]
図4は、本実施形態に係るファイル閲覧処理のフローチャートである。この図でも、クライアント端末100上の処理を実線で、アクセス管理サーバ200上の処理を破線で示している。クライアント端末100のユーザがキーボード、マウス等の入力手段(図示せず)にて、クライアント端末100にファイルを閲覧する操作を入力すると、操作受付手段111が入力を受け付け、処理が開始する。
[File browsing process]
FIG. 4 is a flowchart of the file browsing process according to the present embodiment. Also in this figure, processing on the
S210:ファイル情報取得手段112は、ファイルの属性情報に設定されている払出キーを取得する。
S220:ユーザ情報取得手段117は、クライアント端末100のユーザ情報を取得する。
S230:判定情報送信手段118は、ステップS210にて取得された払出キーとステップS220にて取得されたユーザ情報とを判定情報としてアクセス管理サーバ200に送信する。
S210: The file
S220: The user
S230: The determination
S240:アクセス管理サーバ200の判定情報取得手段212は、ステップS230にてクライアント端末100から送信された払出キーとユーザ情報とからなる判定情報を取得する。また、判定情報取得手段212は、取得した払出キーに対応するアクセス権情報をアクセス権情報記憶手段230から取得する。
S250:アクセス管理サーバ200の判定手段213は、ステップS240にて取得したユーザ情報と払出キーに対応するアクセス権情報とに基づいて、クライアント端末100のユーザが閲覧対象ファイルを閲覧できるか否かの判定を行う。
S240: The determination
S250: The
例えば、属性情報に払出キーが追加されている閲覧対象ファイル「○○.txt」をクライアント端末100のユーザが閲覧する場合について説明する。アクセス権情報は図2に示すように設定されているとする。また、判定情報送信手段118から、判定情報としてクライアント端末100のユーザ情報として、ユーザID=123456と払出キー=Dsfdsfsfaを受信したとする。払出キーに基づいて取得されたアクセス権情報のアクセス権が本人となっているので、作成ユーザ欄300dに格納されているユーザIDと判定情報のユーザIDとを比較し、一致するか否か判定する。作成ユーザ欄300dに格納されているユーザID=123456であり、判定情報のユーザID=123456で一致するため、クライアント端末100のユーザは閲覧対象ファイルを閲覧できると判定される。
For example, the case where the user of the
S260:アクセス管理サーバ200の判定手段213は、判定結果をクライアント端末100の結果取得手段119に送信する。
S270:クライアント端末100の表示制御手段120は、ステップS260にて結果取得手段119が取得した判定結果により、クライアント端末100のユーザへの表示結果を制御する。クライアント端末100のユーザが閲覧対象ファイルを閲覧することができる場合には、処理をステップS280へ移し、他方、できない場合には処理をステップS290へ移す。
S260: The
S270: The
S280:表示制御手段120は、閲覧対象ファイルを開き、閲覧対象ファイルの内容を出力手段であるディスプレイ等に表示する。
S290:表示制御手段120は、閲覧対象ファイルが閲覧できない旨のメッセージが出力手段であるディスプレイ等に表示する。
S280: The
S290: The
[クライアント端末、およびアクセス管理サーバのハードウェア構成図]
図5は、本実施形態に係るクライアント端末100、およびアクセス管理サーバ200のハードウェア構成を示す図である。本発明が実施される装置は標準的なものでよく、以下に構成の一例を示す。なお、クライアント端末100、およびアクセス管理サーバ200を、コンピュータを典型とする情報処理装置1000として全般的な構成を説明する。
[Hardware configuration of client terminal and access management server]
FIG. 5 is a diagram illustrating a hardware configuration of the
情報処理装置1000は、制御部1300を構成するCPU(Central Processing Unit)1310(マルチプロセッサ構成ではCPU1320等複数のCPUが追加されてもよい)、バスライン1200、通信I/F(I/F:インターフェイス)1330、メインメモリ1340、BIOS(Basic Input Output System)1350、表示装置1360、I/Oコントローラ1370、キーボードおよびマウス等の入力装置1380、ハード・ディスク1390、光ディスク・ドライブ1400、並びに半導体メモリ1420を備える。なお、ハード・ディスク1390、光ディスク・ドライブ1400、並びに半導体メモリ1420はまとめて記憶装置1430と呼ぶ。
The
制御部1300は、情報処理装置1000を統括的に制御する部分であり、ハード・ディスク1390(後述)に記憶された各種プログラムを適宜読み出して実行することにより、上述したハードウェアと協働し、本発明に係る各種機能を実現している。
The
通信I/F1330は、情報処理装置1000が、ネットワークを介してメールサーバと情報を送受信する場合のネットワーク・アダプタである。通信I/F1330は、モデム、ケーブル・モデムおよびイーサネット(登録商標)・アダプタを含んでよい。
The communication I /
BIOS1350は、情報処理装置1000の起動時にCPU1310が実行するブートプログラムや、情報処理装置1000のハードウェアに依存するプログラム等を記録する。
The
表示装置1360は、ブラウン管表示装置(CRT)、液晶表示装置(LCD)等のディスプレイ装置を含む。
I/Oコントローラ1370には、ハード・ディスク1390、光ディスク・ドライブ1400、および半導体メモリ1420等の記憶装置1430を接続することができる。
A
入力装置1380は、情報処理装置1000のユーザによる入力の受け付けを行うものである。
The
ハード・ディスク1390は、本ハードウェアを情報処理装置1000として機能させるための各種プログラム、本発明の機能を実行するプログラムおよび後述するテーブルおよびレコードを記憶する。なお、情報処理装置1000は、外部に別途設けたハード・ディスク(図示せず)を外部記憶装置として利用することもできる。
The
光ディスク・ドライブ1400としては、例えば、DVD−ROMドライブ、CD−ROMドライブ、DVD−RAMドライブ、CD−RAMドライブを使用することができる。この場合は各ドライブに対応した光ディスク1410を使用する。光ディスク1410から光ディスク・ドライブ1400によりプログラムまたはデータを読み取り、I/Oコントローラ1370を介してメインメモリ1340またはハード・ディスク1390に提供することもできる。
As the
なお、本発明でいうコンピュータとは、記憶装置1430、制御部1300等を備えた一または複数の情報処理装置1000により構成される。また、クライアント端末100の各手段は、制御部1300によってコンピュータプログラムが実行されることで実現される。また、ファイル記憶手段130、およびアクセス権情報記憶手段230は、主としてハード・ディスク1390に実装されるが、既に述べたように、他の記憶装置を用いてもよい。
Note that the computer referred to in the present invention includes one or a plurality of
10 個別ファイルアクセス管理システム
100 クライアント端末
110 アクセス制御手段
112 ファイル情報取得手段
113 アクセス権情報設定手段
114 アクセス権情報送信手段
115 払出キー取得手段
116 払出キー追加手段
117 ユーザ情報取得手段
118 判定情報送信手段
119 結果取得手段
120 表示制御手段
200 アクセス管理サーバ
211 払出キー作成手段
212 判定情報取得手段
213 判定手段
230 アクセス権情報記憶手段
DESCRIPTION OF
Claims (3)
前記アクセス管理サーバが、前記クライアント端末から受信した、前記複数の電子ファイルそれぞれのファイル情報および前記アクセス権情報の組み合わせに対して一意の払出キーを作成する払出キー作成手段と、
前記ファイル情報および前記アクセス権情報の組み合わせを払出キーと対応付けて記憶するアクセス権情報記憶手段と、
を備え、
前記クライアント端末が、
前記複数の電子ファイルのうち、前記クライアント端末のユーザが前記クライアント端末のファイル記憶手段に保存指示を行った電子ファイルに対するアクセス権情報を設定するアクセス権情報設定手段と、
前記保存指示を行った電子ファイルのファイル情報を前記電子ファイルの属性情報から取得するファイル情報取得手段と、
前記ファイル情報取得手段にて取得されたファイル情報および前記アクセス権情報設定手段にて設定されたアクセス権情報の組み合わせをアクセス管理サーバに送信するアクセス権情報送信手段と、
前記アクセス管理サーバにて作成された払出キーを前記アクセス管理サーバから取得する払出キー取得手段と、
前記払出キー取得手段にて取得した払出キーを前記電子ファイルの属性情報に追加することで、新たなファイルを作成することなく、払出キーが前記電子ファイルの属性情報に追加された払出キー付き電子ファイルを作成する払出キー追加手段と、
前記クライアント端末の前記アクセス権情報設定手段は、前記保存指示を行った電子ファイルのファイル情報に応じて、当該電子ファイルに対するアクセス権情報を設定する、個別ファイルアクセス管理システム。 An individual file access management system in which a client terminal and an access management server for managing access right information for each of a plurality of electronic files created in the file storage means of the client terminal by a user of the client terminal are connected via a network There,
A payout key creating means for creating a unique payout key for the combination of file information and access right information of each of the plurality of electronic files received by the access management server from the client terminal;
Access right information storage means for storing a combination of the file information and the access right information in association with a payout key;
With
The client terminal is
Of the plurality of electronic files, an access right information setting unit that sets access right information for an electronic file that the user of the client terminal has instructed to store in the file storage unit of the client terminal ;
File information acquisition means for acquiring file information of the electronic file for which the storage instruction has been issued from attribute information of the electronic file ;
Access right information transmitting means for transmitting a combination of the file information acquired by the file information acquiring means and the access right information set by the access right information setting means to an access management server;
A payout key acquisition means for acquiring a payout key created in the access management server from the access management server;
By adding the payout key acquired by the payout key acquisition means to the attribute information of the electronic file , the payout key is added to the attribute information of the electronic file without creating a new file. A pay key addition means for creating a file;
The individual file access management system, wherein the access right information setting means of the client terminal sets access right information for the electronic file in accordance with the file information of the electronic file for which the save instruction has been issued.
前記クライアント端末から、前記払出キー付き電子ファイルから取得された払出キーと前記クライアント端末のユーザ情報を受信し、前記払出キーに対応するアクセス権情報をアクセス権情報記憶手段から取得する判定情報取得手段と、
前記クライアント端末から前記払出キーと合わせて受信した、前記クライアント端末のユーザ情報、および前記判定情報取得手段にて取得したアクセス権情報に基づいて、前記クライアント端末のユーザから前記電子ファイルへのアクセスの可否を判定する判定手段と、
を更に備え、
前記クライアント端末が、
前記クライアント端末のユーザ情報を取得するユーザ情報取得手段と、
前記ファイル情報取得手段にて前記払出キー付き電子ファイルから取得した払出キーと、前記ユーザ情報取得手段にて取得されたユーザ情報とを判定情報として前記アクセス管理サーバへ送信する判定情報送信手段と、
前記判定手段による判定結果を取得する結果取得手段と、
前記結果取得手段にて取得された結果に基づいて、前記電子ファイルへのアクセスを制御する制御手段と、
を備える請求項1に記載の個別ファイルアクセス管理システム。 The access management server is
Determination information acquisition means for receiving a payout key acquired from the electronic file with the payout key and user information of the client terminal from the client terminal, and acquiring access right information corresponding to the payout key from an access right information storage means When,
Based on the user information of the client terminal received together with the payout key from the client terminal and the access right information acquired by the determination information acquisition means, the user of the client terminal can access the electronic file. A determination means for determining availability;
Further comprising
The client terminal is
User information acquisition means for acquiring user information of the client terminal;
A payout key obtained from the payout keyed electronic file by the file information acquisition means, and judgment information transmitting means for transmitting the user information acquired by the user information acquiring unit to the access management server as the determination information,
A result acquisition unit for acquiring a determination result by the determination unit;
Control means for controlling access to the electronic file based on the result obtained by the result obtaining means;
The individual file access management system according to claim 1.
The individual file access management system according to claim 1 or 2, wherein each means included in the individual file access management system is provided by agent software.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008207819A JP5328260B2 (en) | 2008-08-12 | 2008-08-12 | Individual file access management system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008207819A JP5328260B2 (en) | 2008-08-12 | 2008-08-12 | Individual file access management system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010044560A JP2010044560A (en) | 2010-02-25 |
JP5328260B2 true JP5328260B2 (en) | 2013-10-30 |
Family
ID=42015902
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008207819A Expired - Fee Related JP5328260B2 (en) | 2008-08-12 | 2008-08-12 | Individual file access management system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5328260B2 (en) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005038124A (en) * | 2003-07-18 | 2005-02-10 | Hitachi Information Systems Ltd | File access control method and control system |
JP3690685B1 (en) * | 2004-06-17 | 2005-08-31 | クオリティ株式会社 | Electronic file management system and electronic file management program |
JP4481903B2 (en) * | 2005-08-24 | 2010-06-16 | キヤノン株式会社 | Document distribution system, document management client, document distribution method and program |
JP2007249864A (en) * | 2006-03-17 | 2007-09-27 | Ricoh Co Ltd | Document security detecting method, document security detecting device and document security detection program |
JP2008027007A (en) * | 2006-07-18 | 2008-02-07 | Canon Inc | Content management system and its control method |
-
2008
- 2008-08-12 JP JP2008207819A patent/JP5328260B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2010044560A (en) | 2010-02-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210336897A1 (en) | Controllng distribution of resources in a network | |
US7039806B1 (en) | Method and apparatus for packaging and transmitting data | |
US7418737B2 (en) | Encrypted data file transmission | |
US9461819B2 (en) | Information sharing system, computer, project managing server, and information sharing method used in them | |
US7512798B2 (en) | Organization-based content rights management and systems, structures, and methods therefor | |
US8185592B2 (en) | Method and program product for preventing distribution of an e-mail message | |
US7716288B2 (en) | Organization-based content rights management and systems, structures, and methods therefor | |
US9577989B2 (en) | Methods and systems for decrypting an encrypted portion of a uniform resource identifier | |
US7366915B2 (en) | Digital license with referral information | |
US7392547B2 (en) | Organization-based content rights management and systems, structures, and methods therefor | |
CN109635581A (en) | A kind of data processing method, equipment, system and storage medium | |
KR20110102879A (en) | Electronic file sending method | |
JP2009171542A (en) | Electronic mail encryption system and electronic mail encryption program | |
WO2020000765A1 (en) | Off-line data storage method and apparatus, computer device and storage medium | |
US20100138777A1 (en) | Terminal apparatus, information providing system, file accessing method, and data structure | |
CN106575341B (en) | Compound document access | |
JP5328260B2 (en) | Individual file access management system | |
CN108055271B (en) | Encryption and decryption method for electronic mail, storage medium and electronic equipment | |
JP5245242B2 (en) | Document processing management apparatus, program, and document processing management system | |
CA2804465C (en) | Methods and systems for increasing the security of electronic messages | |
JP6888584B2 (en) | Management device, management method, and management program | |
KR101980432B1 (en) | Apparatus and method for managing personal information | |
JP2006268218A (en) | Mail transmitter and mail transmitting method | |
JP4964203B2 (en) | File access management system | |
WO2022012575A1 (en) | Data sharing method and related apparatus |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20101004 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120131 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120313 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120509 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130108 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130307 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130716 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130723 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5328260 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |