JPH08287147A - ペーパーレス公文書管理システム - Google Patents
ペーパーレス公文書管理システムInfo
- Publication number
- JPH08287147A JPH08287147A JP8508595A JP8508595A JPH08287147A JP H08287147 A JPH08287147 A JP H08287147A JP 8508595 A JP8508595 A JP 8508595A JP 8508595 A JP8508595 A JP 8508595A JP H08287147 A JPH08287147 A JP H08287147A
- Authority
- JP
- Japan
- Prior art keywords
- user
- official document
- message
- management server
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 claims description 16
- 230000005540 biological transmission Effects 0.000 abstract description 4
- 238000000034 method Methods 0.000 description 103
- 230000008569 process Effects 0.000 description 100
- 238000007726 management method Methods 0.000 description 69
- 238000012545 processing Methods 0.000 description 28
- 238000010586 diagram Methods 0.000 description 8
- 101000794228 Homo sapiens Mitotic checkpoint serine/threonine-protein kinase BUB1 beta Proteins 0.000 description 7
- 102100030144 Mitotic checkpoint serine/threonine-protein kinase BUB1 beta Human genes 0.000 description 7
- 230000004044 response Effects 0.000 description 6
- 101100395434 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) HOG1 gene Proteins 0.000 description 5
- 101100366702 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) SSK2 gene Proteins 0.000 description 5
- 238000012550 audit Methods 0.000 description 4
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 101100006464 Arabidopsis thaliana CIPK10 gene Proteins 0.000 description 1
- 101100465829 Dictyostelium discoideum psmD14 gene Proteins 0.000 description 1
- 101100244111 Dictyostelium discoideum stlA gene Proteins 0.000 description 1
- 101100056018 Homo sapiens ARAF gene Proteins 0.000 description 1
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 101100185019 Mycobacterium bovis (strain ATCC BAA-935 / AF2122/97) pks15/1 gene Proteins 0.000 description 1
- 101150084980 PKS1 gene Proteins 0.000 description 1
- 101150028297 PKS2 gene Proteins 0.000 description 1
- 101150077645 SKS1 gene Proteins 0.000 description 1
- 101150019161 SKS2 gene Proteins 0.000 description 1
- 101100136769 Sarocladium schorii aspks1 gene Proteins 0.000 description 1
- 101100361291 Schizosaccharomyces pombe (strain 972 / ATCC 24843) rpn11 gene Proteins 0.000 description 1
- 102100029437 Serine/threonine-protein kinase A-Raf Human genes 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
(57)【要約】
【目的】利用者の身分証明書ファイルを管理する身分証
明書発行/管理サーバと、利用者情報ファイルの指定条
件に応じて公文書保管ファイル中の公文書を公開、破棄
する公文書業務管理サーバで、公文書をペーパーレス管
理する。 【構成】ネットワークシステムN上の身分証明書発行サ
ーバS1/管理サーバS2は利用者U1に身分証明書を
発行/配布する。U1は身分証明書をもとに,公文書業
務管理サーバS3に対して、業務条件を提示し、メッセ
ージの保管、公開、及び破棄を要求する。U1は簡易な
APIを利用してメッセージの公文書登録及び保護を要
求でき、身分証明書及びメッセージの送受信には、U1
に意識させない形で暗号化機能が適用され、証拠情報が
添付される。S3は、利用者間に発生した紛争の調停、
セキュリティに関する履歴情報の取得及び監査を行うこ
とにより、取扱に機密性を要するメッセージの送受信を
保証する。
明書発行/管理サーバと、利用者情報ファイルの指定条
件に応じて公文書保管ファイル中の公文書を公開、破棄
する公文書業務管理サーバで、公文書をペーパーレス管
理する。 【構成】ネットワークシステムN上の身分証明書発行サ
ーバS1/管理サーバS2は利用者U1に身分証明書を
発行/配布する。U1は身分証明書をもとに,公文書業
務管理サーバS3に対して、業務条件を提示し、メッセ
ージの保管、公開、及び破棄を要求する。U1は簡易な
APIを利用してメッセージの公文書登録及び保護を要
求でき、身分証明書及びメッセージの送受信には、U1
に意識させない形で暗号化機能が適用され、証拠情報が
添付される。S3は、利用者間に発生した紛争の調停、
セキュリティに関する履歴情報の取得及び監査を行うこ
とにより、取扱に機密性を要するメッセージの送受信を
保証する。
Description
【0001】
【産業上の利用分野】本発明は、ペーパーレス公文書管
理システムに関し、特にネットワークシステムを介して
接続された端末間で、取扱いに機密性を要する公文書を
ペーパーレスの形態で送受信し、利用者からの依頼通り
に公文書管理業務を遂行するペーパーレス公文書管理シ
ステムに関する。
理システムに関し、特にネットワークシステムを介して
接続された端末間で、取扱いに機密性を要する公文書を
ペーパーレスの形態で送受信し、利用者からの依頼通り
に公文書管理業務を遂行するペーパーレス公文書管理シ
ステムに関する。
【0002】
【従来の技術】従来から、例えば遺言状業務のような、
公文書業務を依頼し、ある一定の条件のもとで対象者に
情報を公開させるサービスが法律事務所で行われてい
る。
公文書業務を依頼し、ある一定の条件のもとで対象者に
情報を公開させるサービスが法律事務所で行われてい
る。
【0003】このサービスをペーパーレスで行うために
は、情報の機密性を十分考慮した電子メールシステムが
必要である。機密性を考慮した電子メールシステムを提
供する基盤技術として、身分証明書サーバ、身分証明書
管理サーバを用いて利用者の管理を行い,及びセキュリ
ティ業務管理サーバで利用者の機密業務を実現する一シ
ステムを、「メッセージの信託システム」(特願平6−
327267号)で既に出願している。
は、情報の機密性を十分考慮した電子メールシステムが
必要である。機密性を考慮した電子メールシステムを提
供する基盤技術として、身分証明書サーバ、身分証明書
管理サーバを用いて利用者の管理を行い,及びセキュリ
ティ業務管理サーバで利用者の機密業務を実現する一シ
ステムを、「メッセージの信託システム」(特願平6−
327267号)で既に出願している。
【0004】しかしながら、前記システムを利用する具
体的な業務アプリケーションは提案されていない。従っ
て、法律事務所で行われている公文書業務そのもののシ
ステムの提案が重要である。
体的な業務アプリケーションは提案されていない。従っ
て、法律事務所で行われている公文書業務そのもののシ
ステムの提案が重要である。
【0005】
【発明が解決しようとする課題】例えば、法律事務所に
対して公文書業務を依頼し、ある一定の条件のもとで対
象者に情報を公開させるサービスをペーパーレスで実現
したい場合、現状の電子メールシステムに対してさらに
次の要件が必要となる。
対して公文書業務を依頼し、ある一定の条件のもとで対
象者に情報を公開させるサービスをペーパーレスで実現
したい場合、現状の電子メールシステムに対してさらに
次の要件が必要となる。
【0006】(1)文書が公文書として認められるこ
と。
と。
【0007】作成された文書は決められた形式に従い、
必要であればシステム管理者や管轄省庁の承認を得るこ
と、文書は業務依頼者本人が作成したものであること、
原本であること、何者によっても改ざんされていないこ
とが保証されて いなければならない。
必要であればシステム管理者や管轄省庁の承認を得るこ
と、文書は業務依頼者本人が作成したものであること、
原本であること、何者によっても改ざんされていないこ
とが保証されて いなければならない。
【0008】(2)文書をきちんと管理できること。
【0009】文書の管理者が業務依頼者の依頼条件通り
に文書を管理する。そのためには、第三者に見せないこ
と、当該文書にアクセスを許さないために監視すること
が必要である。
に文書を管理する。そのためには、第三者に見せないこ
と、当該文書にアクセスを許さないために監視すること
が必要である。
【0010】既に、前記「メッセージの信託システム」
(特願平6−327267号)で身分証明書サーバ、身
分証明書管理サーバ,及びセキュリティ業務管理サーバ
からなるセキュリティ製品の基盤技術を提案している。
(特願平6−327267号)で身分証明書サーバ、身
分証明書管理サーバ,及びセキュリティ業務管理サーバ
からなるセキュリティ製品の基盤技術を提案している。
【0011】従って、前記サーバ上にどのようなファイ
ルを持たせ、利用者のアプリケーションにどのようなア
プリケーションインタフェースで公文書管理業務を実現
させるかというシステムを提案することが、本発明が解
決しようとする課題である。
ルを持たせ、利用者のアプリケーションにどのようなア
プリケーションインタフェースで公文書管理業務を実現
させるかというシステムを提案することが、本発明が解
決しようとする課題である。
【0012】
【課題を解決するための手段】本発明は、上述の目的を
達成するために以下のようなシステムにしている。
達成するために以下のようなシステムにしている。
【0013】ネットワーク上に接続された公文書情報の
送受信を行う複数の端末を有するシステムにおいて、身
分証明書発行サーバを設けることにより、公文書業務の
利用者に対して身分証明書を発行し、前記身分証明書の
情報を身分証明書ファイルに登録及び管理する手段と、
公文書業務管理サーバを設けることにより、前記利用者
からの要求を利用者ファイルで管理し、前記利用者から
のメッセージを公文書として登録し、前記利用者ファイ
ルの指定どおりに公文書管理業務を遂行する手段と、前
記利用者の端末から送信されてきた公文書に関する情報
について生成/送受信が行われたことを示す証拠情報を
作成する手段と、前記公文書を他の何者にも見られない
ように秘匿する手段と、前記公文書を他の何者にもねつ
造されないような形式に変換する変換手段と、前記複数
の端末の利用者間での紛争発生時には、前記証拠情報の
真偽を判定する判定手段と、前記システム内の事象につ
いて履歴を取得する手段と、前記履歴に基づいてセキュ
リティ侵害について監査する手段と、さらに、前記身分
証明書発行サーバ及び前記公文書業務管理サーバによ
り、前記利用者に対して、前記身分証明書発行業務と前
記公文書業務を利用させるアプリケーションインタフェ
ースを提供する手段と、を備える。
送受信を行う複数の端末を有するシステムにおいて、身
分証明書発行サーバを設けることにより、公文書業務の
利用者に対して身分証明書を発行し、前記身分証明書の
情報を身分証明書ファイルに登録及び管理する手段と、
公文書業務管理サーバを設けることにより、前記利用者
からの要求を利用者ファイルで管理し、前記利用者から
のメッセージを公文書として登録し、前記利用者ファイ
ルの指定どおりに公文書管理業務を遂行する手段と、前
記利用者の端末から送信されてきた公文書に関する情報
について生成/送受信が行われたことを示す証拠情報を
作成する手段と、前記公文書を他の何者にも見られない
ように秘匿する手段と、前記公文書を他の何者にもねつ
造されないような形式に変換する変換手段と、前記複数
の端末の利用者間での紛争発生時には、前記証拠情報の
真偽を判定する判定手段と、前記システム内の事象につ
いて履歴を取得する手段と、前記履歴に基づいてセキュ
リティ侵害について監査する手段と、さらに、前記身分
証明書発行サーバ及び前記公文書業務管理サーバによ
り、前記利用者に対して、前記身分証明書発行業務と前
記公文書業務を利用させるアプリケーションインタフェ
ースを提供する手段と、を備える。
【0014】
【作用】本発明によれば、身分証明書を発行/登録/管
理する手段は、公文書業務の利用者の身元を保証し、公
文書業務を管理/登録/遂行する手段は、前記身元の保
証が完了した利用者に対して、公文書業務を提供する。
理する手段は、公文書業務の利用者の身元を保証し、公
文書業務を管理/登録/遂行する手段は、前記身元の保
証が完了した利用者に対して、公文書業務を提供する。
【0015】また、証拠情報を作成する手段は、前記公
文書業務の利用者の端末から送信されてきた公文書に関
する情報について生成及び送受信が行われた事実を証明
するための証拠情報を作成するので、端末の公文書業務
利用者間で紛争が発生した時には、証拠情報判定手段が
前記証拠情報を調べることにより、その真偽を判定する
ことができる。
文書業務の利用者の端末から送信されてきた公文書に関
する情報について生成及び送受信が行われた事実を証明
するための証拠情報を作成するので、端末の公文書業務
利用者間で紛争が発生した時には、証拠情報判定手段が
前記証拠情報を調べることにより、その真偽を判定する
ことができる。
【0016】前記公文書については、他の何者もその内
容を見ることができないように、秘匿手段がメッセージ
を暗号化し、さらに、他の何者もその内容をねつ造でき
ないように、変換手段がメッセージの内容を変換するこ
とができる。
容を見ることができないように、秘匿手段がメッセージ
を暗号化し、さらに、他の何者もその内容をねつ造でき
ないように、変換手段がメッセージの内容を変換するこ
とができる。
【0017】また、ネットワークシステムに接続された
端末からは、不正な悪意を持った第三者が侵入する可能
性があるため、履歴の取得手段により、前記システム内
の事象について絶えず記録を取る。そして、監査手段に
より、取得した履歴を分析することによりネットワーク
システム内のセキュリティ侵害を検出することができ
る。
端末からは、不正な悪意を持った第三者が侵入する可能
性があるため、履歴の取得手段により、前記システム内
の事象について絶えず記録を取る。そして、監査手段に
より、取得した履歴を分析することによりネットワーク
システム内のセキュリティ侵害を検出することができ
る。
【0018】さらに、利用者に対して、アプリケーショ
ンインタフェースを提供することにより、利用者のアプ
リケーションから容易に、前記身分証明書発行業務と前
記公文書業務を利用させることが可能になる。
ンインタフェースを提供することにより、利用者のアプ
リケーションから容易に、前記身分証明書発行業務と前
記公文書業務を利用させることが可能になる。
【0019】
【実施例】以下、本発明の一実施例を図面を用いて詳細
に説明する。
に説明する。
【0020】図1は本発明の一実施例を示す法律事務所
システム及びネットワークシステムの構成図である。当
ネットワークシステムNには複数の身分証明書発行サー
バS1、身分証明書管理サーバS2、及び公文書業務管
理サーバS3が存在しており、ネットワークを介して接
続されたWS10〜30から公文書業務の要求ができ
る。 また、公的機関サーバS4は、利用者のメッセー
ジを公文書として承認する機関であり、信頼できる第三
者機関や管轄省庁の機構に相当する。
システム及びネットワークシステムの構成図である。当
ネットワークシステムNには複数の身分証明書発行サー
バS1、身分証明書管理サーバS2、及び公文書業務管
理サーバS3が存在しており、ネットワークを介して接
続されたWS10〜30から公文書業務の要求ができ
る。 また、公的機関サーバS4は、利用者のメッセー
ジを公文書として承認する機関であり、信頼できる第三
者機関や管轄省庁の機構に相当する。
【0021】一方、S1,S2及びS3は法律事務所シ
ステムの一部であり、公文書管理業務の利用者は、WS
10〜30を利用する。以降の例では、WS10の利用
者U1が公文書業務管理サーバS3に公文書業務を依頼
する場合について説明する。
ステムの一部であり、公文書管理業務の利用者は、WS
10〜30を利用する。以降の例では、WS10の利用
者U1が公文書業務管理サーバS3に公文書業務を依頼
する場合について説明する。
【0022】利用者U1は公文書業務管理サーバS3に
メッセ−ジの信託を要求する前に、身分証明書発行サー
バS1に、身分証明書PU1の発行を要求する必要があ
る。図2により、U1がPU1の発行を要求する処理20
1及びS1がU1に対して身分証明書PU1の引替え証
PU1’を渡す処理202を説明する。
メッセ−ジの信託を要求する前に、身分証明書発行サー
バS1に、身分証明書PU1の発行を要求する必要があ
る。図2により、U1がPU1の発行を要求する処理20
1及びS1がU1に対して身分証明書PU1の引替え証
PU1’を渡す処理202を説明する。
【0023】処理201のアプリケーションインタフェー
スとしては、X/Openで規定されているGSS−API(G
eneric Security Service -Application Program Inter
face)を採用しているために、第三者のアプリケーショ
ンにも適用可能である。GSS−API自体はアプリケ
ーションインタフェースであるが、利用者U1の端末に
は、予め法律事務所システム側から配布されたセキュリ
ティ管理プログラムSPU1をインストールしておくため
に、利用者U1は通信に必要なセキュリティ機能(e
x.暗号化や鍵管理等)を全く意識する必要はない。
スとしては、X/Openで規定されているGSS−API(G
eneric Security Service -Application Program Inter
face)を採用しているために、第三者のアプリケーショ
ンにも適用可能である。GSS−API自体はアプリケ
ーションインタフェースであるが、利用者U1の端末に
は、予め法律事務所システム側から配布されたセキュリ
ティ管理プログラムSPU1をインストールしておくため
に、利用者U1は通信に必要なセキュリティ機能(e
x.暗号化や鍵管理等)を全く意識する必要はない。
【0024】図2において、利用者U1は201の処理(GS
S_Acquire_cred要求)で、自分がU1であることを示す
識別情報、パスワード等の情報IU1を指定する。さら
に、必要であれば有効期間、オブジェクト識別子情報,
通信形態(双方向/一方向)を指定することが可能であ
る。
S_Acquire_cred要求)で、自分がU1であることを示す
識別情報、パスワード等の情報IU1を指定する。さら
に、必要であれば有効期間、オブジェクト識別子情報,
通信形態(双方向/一方向)を指定することが可能であ
る。
【0025】前記利用者U1に対して、S1は201の処
理要求を確認し、U1に対してPU1’を202の処理に
より発行する。このPU1’の情報は、身分証明書情報
を身分証明書管理サーバS2から取得する時に必要な情
報なので、U1は大切に保管しておく必要がある。ま
た、当然のことながら、U1は自分であることを示す情
報IU1を他人に知られてはならない。セキュリティ管理
プログラムSPU1は、必要であれば、S1からの応答を
U1に通知する。
理要求を確認し、U1に対してPU1’を202の処理に
より発行する。このPU1’の情報は、身分証明書情報
を身分証明書管理サーバS2から取得する時に必要な情
報なので、U1は大切に保管しておく必要がある。ま
た、当然のことながら、U1は自分であることを示す情
報IU1を他人に知られてはならない。セキュリティ管理
プログラムSPU1は、必要であれば、S1からの応答を
U1に通知する。
【0026】ここで、法律事務所システムとして考慮し
なければならない点は、処理201及び202のやり取りをネ
ットワークシステムN内に介在する可能性のある悪意を
持った第三者U2に見せないということである。そのた
めには、前記処理201及び202のやり取りを暗号化するこ
とが有効である。例えば、ネットワークシステムN内に
公開鍵暗号方式を採用することにより、全ての利用者U
iの公開鍵PKUiと身分証明書発行サーバS1の公開鍵
PKS1,身分証明書管理サーバS2の公開鍵PKS2、及
びセキュリティ業務管理サーバS3の公開鍵PKS3を公
開しておく公開鍵DB(データベース)を用意する。
なければならない点は、処理201及び202のやり取りをネ
ットワークシステムN内に介在する可能性のある悪意を
持った第三者U2に見せないということである。そのた
めには、前記処理201及び202のやり取りを暗号化するこ
とが有効である。例えば、ネットワークシステムN内に
公開鍵暗号方式を採用することにより、全ての利用者U
iの公開鍵PKUiと身分証明書発行サーバS1の公開鍵
PKS1,身分証明書管理サーバS2の公開鍵PKS2、及
びセキュリティ業務管理サーバS3の公開鍵PKS3を公
開しておく公開鍵DB(データベース)を用意する。
【0027】そして、各利用者Uiは予め情報IUiとは
別に秘密鍵SKUiを保管しておく。利用者U1は自分以
外の鍵情報は管理する必要はなく、前記セキュリティ管
理プログラムSPU1が管理する。
別に秘密鍵SKUiを保管しておく。利用者U1は自分以
外の鍵情報は管理する必要はなく、前記セキュリティ管
理プログラムSPU1が管理する。
【0028】具体的には、図3に示すように、SPU1が
処理201の情報を暗号化してS1に送り、S1は暗号化
された情報を復号化する。S1からSPU1に送る時も同
様で、S1が処理202の情報を暗号化してSPU1に送
り、SPU1は暗号化された情報を復号化した後、U1に
渡す。従って、U1はSPU1とS1間の暗号化通信につ
いて意識する必要はない。
処理201の情報を暗号化してS1に送り、S1は暗号化
された情報を復号化する。S1からSPU1に送る時も同
様で、S1が処理202の情報を暗号化してSPU1に送
り、SPU1は暗号化された情報を復号化した後、U1に
渡す。従って、U1はSPU1とS1間の暗号化通信につ
いて意識する必要はない。
【0029】図3に、SPU1が秘密鍵SKU1と前記S1
の公開鍵処理PKS1を用い処理201の通信を暗号化する
一例を示す。SPU1は、利用者U1からの処理201の情
報を、処理301によりSKU1で暗号化し、PKS1で暗号
化して送信する(処理302)。すると、S1では、この暗
号化された処理201のメッセージM,すなわちENCPKS1(E
NCSKU1(IU1))を、処理303により秘密鍵SKS1で解読
し、さらに、U1の公開鍵PKU1により解読する。秘密
鍵SKS1を持つS1だけがENCSKU1(IU1)の内容を確認で
き、さらに公開鍵PKU1により復号化して得た情報Iの
内容を調べることにより、前記メッセージMがU1から
送信されてきたものであることが確認できる(処理30
4)。同様に、処理202についても、処理305により、S1
はメッセージを自分の秘密鍵SKS1で暗号化してから、
さらに、PKU1で暗号化してSPU1に送信する(処理30
6)。
の公開鍵処理PKS1を用い処理201の通信を暗号化する
一例を示す。SPU1は、利用者U1からの処理201の情
報を、処理301によりSKU1で暗号化し、PKS1で暗号
化して送信する(処理302)。すると、S1では、この暗
号化された処理201のメッセージM,すなわちENCPKS1(E
NCSKU1(IU1))を、処理303により秘密鍵SKS1で解読
し、さらに、U1の公開鍵PKU1により解読する。秘密
鍵SKS1を持つS1だけがENCSKU1(IU1)の内容を確認で
き、さらに公開鍵PKU1により復号化して得た情報Iの
内容を調べることにより、前記メッセージMがU1から
送信されてきたものであることが確認できる(処理30
4)。同様に、処理202についても、処理305により、S1
はメッセージを自分の秘密鍵SKS1で暗号化してから、
さらに、PKU1で暗号化してSPU1に送信する(処理30
6)。
【0030】すると、この暗号化されたメッセージM,
すなわちENCPKU1(ENCSKS1(PU1',SSK1,CU1))を解読でき
るのは秘密鍵SKU1を持つSPU1(及びU1)だけであ
り、さらに、処理307により、S1の公開鍵PKS1で解
読することにより、前記処理202のメッセージMはS1
から送信されてきたものであることを確認できる。前記
処理202の指定では、以降の通信で用いるセション鍵S
SK1や身分証明書PU1の取得要求をS2に行うアク
セス条件CU1を付加する(処理305)ことにより、身分
証明書発行業務を確実にしている。
すなわちENCPKU1(ENCSKS1(PU1',SSK1,CU1))を解読でき
るのは秘密鍵SKU1を持つSPU1(及びU1)だけであ
り、さらに、処理307により、S1の公開鍵PKS1で解
読することにより、前記処理202のメッセージMはS1
から送信されてきたものであることを確認できる。前記
処理202の指定では、以降の通信で用いるセション鍵S
SK1や身分証明書PU1の取得要求をS2に行うアク
セス条件CU1を付加する(処理305)ことにより、身分
証明書発行業務を確実にしている。
【0031】例えば、条件CU1により、指定された期
間内に指定された経路でS2に前記取得要求をすること
という条件をつけることにより、悪意のある利用者U2
の介入を阻むことができる。
間内に指定された経路でS2に前記取得要求をすること
という条件をつけることにより、悪意のある利用者U2
の介入を阻むことができる。
【0032】201及び202の処理でやりとりする情報、情
報の保護のレベル、及び利用者の資格審査の方法は、当
公文書業務管理システムの機密度に応じて決められる。
報の保護のレベル、及び利用者の資格審査の方法は、当
公文書業務管理システムの機密度に応じて決められる。
【0033】身分証明書発行サーバS1は、利用者U1
の身分証明書の発行要求を受付けるが、実際にPU1を
配布するのは身分証明書管理サーバS2の役割である。
これは、身分証明書の発行に時間がかかることが予想さ
れることから、身分証明書発行サーバS1の証明書発行
業務が集中した場合のトラフィック量を考慮しているた
めである。
の身分証明書の発行要求を受付けるが、実際にPU1を
配布するのは身分証明書管理サーバS2の役割である。
これは、身分証明書の発行に時間がかかることが予想さ
れることから、身分証明書発行サーバS1の証明書発行
業務が集中した場合のトラフィック量を考慮しているた
めである。
【0034】また、利用者U1が身分証明書管理サーバ
S2にPU1’を提示し、身分証明書の取得を要求する
ことにより、利用者U1の身元を2回確認することがで
きる。身分証明書管理サーバS2は、身分証明書を取得
要求してきた利用者が本当に身分証明書発行サーバS1
に身分証明書の発行を要求した利用者U1であることを
確認する必要がある。図3のシーケンスで示したアクセ
ス条件でCU1を確認することも必要であり、前記条件
を満たさない利用者の身分証明書取得要求は拒否するよ
うにしてもよい。
S2にPU1’を提示し、身分証明書の取得を要求する
ことにより、利用者U1の身元を2回確認することがで
きる。身分証明書管理サーバS2は、身分証明書を取得
要求してきた利用者が本当に身分証明書発行サーバS1
に身分証明書の発行を要求した利用者U1であることを
確認する必要がある。図3のシーケンスで示したアクセ
ス条件でCU1を確認することも必要であり、前記条件
を満たさない利用者の身分証明書取得要求は拒否するよ
うにしてもよい。
【0035】図4では、身分証明書発行サーバS1が利
用者U1に関する情報を身分証明書管理サーバS2に登
録する処理401,利用者U1がS2に対して身分証明書
PU1を取得要求する処理402、及びS2がU1に対し
て身分証明書PU1を配布する処理403を示している。
ここで、処理401では、図2の処理202でS1がU1に対
して発行した引替え証PU1’の情報をS2に対して渡
す。セション鍵SSK1や身分証明書PU1の取得に関
するアクセス条件CU1が指定されていれば、それらも
渡す必要がある。
用者U1に関する情報を身分証明書管理サーバS2に登
録する処理401,利用者U1がS2に対して身分証明書
PU1を取得要求する処理402、及びS2がU1に対し
て身分証明書PU1を配布する処理403を示している。
ここで、処理401では、図2の処理202でS1がU1に対
して発行した引替え証PU1’の情報をS2に対して渡
す。セション鍵SSK1や身分証明書PU1の取得に関
するアクセス条件CU1が指定されていれば、それらも
渡す必要がある。
【0036】S1とS2の間では、処理401に代表され
るような、取扱いに機密性を要する情報が交換されるた
めに、S1とS2の間の通信路は十分保護されていなけ
ればならない。例えば、特殊な保護チャネルを使用する
こと、S1及びS2に対するアクセス管理をきちんと行
うこと、S1とS2しか知らない暗号鍵を設定すること
等によりデータを暗号化して通信する必要がある。
るような、取扱いに機密性を要する情報が交換されるた
めに、S1とS2の間の通信路は十分保護されていなけ
ればならない。例えば、特殊な保護チャネルを使用する
こと、S1及びS2に対するアクセス管理をきちんと行
うこと、S1とS2しか知らない暗号鍵を設定すること
等によりデータを暗号化して通信する必要がある。
【0037】また、処理402では、利用者U1は、身分
証明書管理サーバS2に対して、自分がU1本人である
ことを示す識別情報(処理201で提示した情報)、及び
身分証明書PU1の引替え証PU1’を提示する。処理
403では、U1から入力された前記情報を確認し、問題
がなければ、身分証明書PU1を配布する。この処理40
3により、利用者U1に身分証明書情報の取得の意志が
あることを確認できるが、身分証明書の取得が前提であ
るような実装のシステムでは、図2の応答処理及び図4
の配布要求を省略することができる。
証明書管理サーバS2に対して、自分がU1本人である
ことを示す識別情報(処理201で提示した情報)、及び
身分証明書PU1の引替え証PU1’を提示する。処理
403では、U1から入力された前記情報を確認し、問題
がなければ、身分証明書PU1を配布する。この処理40
3により、利用者U1に身分証明書情報の取得の意志が
あることを確認できるが、身分証明書の取得が前提であ
るような実装のシステムでは、図2の応答処理及び図4
の配布要求を省略することができる。
【0038】この場合には、利用者U1は図2でGSS_Ac
quire_credを発行した後、図4でGSS_Acquire_cred応答
により身分証明書PU1を得るため、利用者U1で引替
え証PU1’の情報を管理する必要がなくなる。このよ
うにして、発行された利用者の身分証明書情報は、身分
証明書管理サ−バS2の管理する身分証明書ファイルF
1に格納される。
quire_credを発行した後、図4でGSS_Acquire_cred応答
により身分証明書PU1を得るため、利用者U1で引替
え証PU1’の情報を管理する必要がなくなる。このよ
うにして、発行された利用者の身分証明書情報は、身分
証明書管理サ−バS2の管理する身分証明書ファイルF
1に格納される。
【0039】ここで、注意しなければならないのは、身
分証明書情報が悪意のある第三者の手に渡った場合であ
る。例えば、正しい利用者U1に発行された身分証明書
PU1を悪意のある第三者U2が盗み見るというケース
について考える。もちろん、利用者U1には身分証明書
PU1をきちんと管理することが義務づけられているた
め、WS10からPU1が盗まれた場合にはU1に責任
がある。しかし、ネットワークシステム内の通信の過程
でPU1が盗まれた場合には、法律事務所システム側の
責任になる。
分証明書情報が悪意のある第三者の手に渡った場合であ
る。例えば、正しい利用者U1に発行された身分証明書
PU1を悪意のある第三者U2が盗み見るというケース
について考える。もちろん、利用者U1には身分証明書
PU1をきちんと管理することが義務づけられているた
め、WS10からPU1が盗まれた場合にはU1に責任
がある。しかし、ネットワークシステム内の通信の過程
でPU1が盗まれた場合には、法律事務所システム側の
責任になる。
【0040】従って、図5に示すように、セキュリティ
管理プログラムSPU1と身分証明書管理サーバS2の間
の通信の保護が必要になる。SPU1は処理402のメッセ
ージ(情報IU1及びPU1’等)を、処理501によりS
KU1で暗号化し、さらにPKS2で暗号化して送信する
(処理502)。セション鍵SSK1が指定されている場合
には、前記暗号化した処理402のメッセージを、さらに
前記SSK1で暗号化して送信することにより、U1と
S2の間の処理の機密性を上げることができる。
管理プログラムSPU1と身分証明書管理サーバS2の間
の通信の保護が必要になる。SPU1は処理402のメッセ
ージ(情報IU1及びPU1’等)を、処理501によりS
KU1で暗号化し、さらにPKS2で暗号化して送信する
(処理502)。セション鍵SSK1が指定されている場合
には、前記暗号化した処理402のメッセージを、さらに
前記SSK1で暗号化して送信することにより、U1と
S2の間の処理の機密性を上げることができる。
【0041】この暗号化されたメッセージM,すなわち
ENCPKS2(ENCSKU1(PU1',...))を解読できるのはSSK
1、秘密鍵SKS2を持つS2だけであり、処理503によ
り、さらにU1の公開鍵PKU1で解読することにより、
前記処理402のメッセージがU1から送信されてきたも
のであることが確認できる。
ENCPKS2(ENCSKU1(PU1',...))を解読できるのはSSK
1、秘密鍵SKS2を持つS2だけであり、処理503によ
り、さらにU1の公開鍵PKU1で解読することにより、
前記処理402のメッセージがU1から送信されてきたも
のであることが確認できる。
【0042】また、処理503の結果、アクセス条件CU
1が満たされていない場合には、処理504により処理402
は拒否される。同様に、処理403のメッセージ(身分証
明書PU1及び必要であれば新しいセション鍵SSK2
等)について、S2はメッセージを処理505により自分
の秘密鍵SKS2で暗号化してから、さらにPKU1で暗号
化してU1に送信する。
1が満たされていない場合には、処理504により処理402
は拒否される。同様に、処理403のメッセージ(身分証
明書PU1及び必要であれば新しいセション鍵SSK2
等)について、S2はメッセージを処理505により自分
の秘密鍵SKS2で暗号化してから、さらにPKU1で暗号
化してU1に送信する。
【0043】すると、この暗号化されたメッセージM,
すなわちENCPKU1(ENCSKS2(PU1,SSKi))を解読できるのは
SSK1、秘密鍵SKU1を持つSPU1(又はU1)だけ
であり、処理507によりさらにS2の公開鍵PKS2で解
読することにより、前記処理403のメッセージはS2か
ら送信されてきたものであることを確認できる。ここ
で、SSKiは以降の通信処理で用いるセション鍵を想
定している。
すなわちENCPKU1(ENCSKS2(PU1,SSKi))を解読できるのは
SSK1、秘密鍵SKU1を持つSPU1(又はU1)だけ
であり、処理507によりさらにS2の公開鍵PKS2で解
読することにより、前記処理403のメッセージはS2か
ら送信されてきたものであることを確認できる。ここ
で、SSKiは以降の通信処理で用いるセション鍵を想
定している。
【0044】一旦、身分証明書PU1が発行されると、
この情報を用いて利用者U1は、公文書業務管理サーバ
S3に公文書管理業務を依頼することができる。図6に
より公文書管理業務処理の概要を説明する。利用者U1
は、公文書業務管理サーバS3に対して、どのようなメ
ッセージをどのような形式で業務依頼するかの業務条件
CU2を処理602で伝える。処理602のアプリケーション
インタフェースとしては、GSS−API(Generic Sec
urity Serv-ice -Application Program Interface)を採
用している。
この情報を用いて利用者U1は、公文書業務管理サーバ
S3に公文書管理業務を依頼することができる。図6に
より公文書管理業務処理の概要を説明する。利用者U1
は、公文書業務管理サーバS3に対して、どのようなメ
ッセージをどのような形式で業務依頼するかの業務条件
CU2を処理602で伝える。処理602のアプリケーション
インタフェースとしては、GSS−API(Generic Sec
urity Serv-ice -Application Program Interface)を採
用している。
【0045】そのため、図6において、利用者U1は60
2の処理(GSS_Init_sec_context要求)で、業務条件CU
2を指定する。公文書業務管理サーバS3では、CU2
の内容を確認し業務条件について合意が取れれば、処理
603(GSS_Accept_sec_context要求)により回答/指示を
返す。このGSS_Accept_sec_contextの出力パラメータ
で、前記業務条件を受付けるか拒否するか指定する。処
理603で業務条件を受付けた場合には、公文書業務管理
サーバ内の利用者情報ファイルF2にCU2を格納す
る。
2の処理(GSS_Init_sec_context要求)で、業務条件CU
2を指定する。公文書業務管理サーバS3では、CU2
の内容を確認し業務条件について合意が取れれば、処理
603(GSS_Accept_sec_context要求)により回答/指示を
返す。このGSS_Accept_sec_contextの出力パラメータ
で、前記業務条件を受付けるか拒否するか指定する。処
理603で業務条件を受付けた場合には、公文書業務管理
サーバ内の利用者情報ファイルF2にCU2を格納す
る。
【0046】また、この時に、前記業務依頼についての
証拠情報を作成するために図5の処理505で与えられる
セション鍵SSK3を使用することが可能である。さら
に、SPU1とS3の間の通信を保護するために、図3及
び図5で示したような暗号化通信を行う(図8を参
照)。
証拠情報を作成するために図5の処理505で与えられる
セション鍵SSK3を使用することが可能である。さら
に、SPU1とS3の間の通信を保護するために、図3及
び図5で示したような暗号化通信を行う(図8を参
照)。
【0047】公文書業務管理サーバS3は、身分証明書
管理サーバS2から利用者U1に関する情報を受け取っ
ている(処理601)。従って、不正な利用者U2が利用
者U1であると偽って業務依頼してきても拒否すること
ができる。
管理サーバS2から利用者U1に関する情報を受け取っ
ている(処理601)。従って、不正な利用者U2が利用
者U1であると偽って業務依頼してきても拒否すること
ができる。
【0048】S2とS3の間では、処理601に代表され
るように、取扱いに機密性を要する情報が交換されるた
めに、S2とS3の間の通信路は十分保護されていなけ
ればならない。例えば、特殊な保護チャネルを使用する
こと、S2及びS3に対するアクセス管理をきちんと行
うこと、S2とS3しか知らない暗号鍵を設定すること
によりデータを暗号化して通信することなどが必要であ
る。
るように、取扱いに機密性を要する情報が交換されるた
めに、S2とS3の間の通信路は十分保護されていなけ
ればならない。例えば、特殊な保護チャネルを使用する
こと、S2及びS3に対するアクセス管理をきちんと行
うこと、S2とS3しか知らない暗号鍵を設定すること
によりデータを暗号化して通信することなどが必要であ
る。
【0049】次に、業務条件CU2の一例を示す。例え
ば、利用者U1は自分のメッセージ情報M1を、公開指
定日時情報T1に、利用者U3に公開するという条件で
あるとする。また、利用者U1はS3に保管依頼するメ
ッセージM1の保護手段についてもCU2で規定するも
のとする。CU2では、図7に示すように、M1に対し
てどのような機密性,完全性,アクセス制御,否認不可
及び監査機能を提供するかを規定している。
ば、利用者U1は自分のメッセージ情報M1を、公開指
定日時情報T1に、利用者U3に公開するという条件で
あるとする。また、利用者U1はS3に保管依頼するメ
ッセージM1の保護手段についてもCU2で規定するも
のとする。CU2では、図7に示すように、M1に対し
てどのような機密性,完全性,アクセス制御,否認不可
及び監査機能を提供するかを規定している。
【0050】例えば、図7の例では、機密性のレベル(C
n)は2、完全性のレベル(In)は1となっているので、メ
ッセージM1のデータ全体を暗号化し改ざん検出のため
のコードを付加することが義務づけられる。また、破棄
指定日時T3が指定されているので、前記T3の時刻を
過ぎたら、前記メッセージM1は破棄されなければなら
ない。また、公的機関の名称がS4と指定されているた
め、メッセージM1を公文書としてS4に対して登録す
る必要がある。前記登録処理については、図13に示
す。
n)は2、完全性のレベル(In)は1となっているので、メ
ッセージM1のデータ全体を暗号化し改ざん検出のため
のコードを付加することが義務づけられる。また、破棄
指定日時T3が指定されているので、前記T3の時刻を
過ぎたら、前記メッセージM1は破棄されなければなら
ない。また、公的機関の名称がS4と指定されているた
め、メッセージM1を公文書としてS4に対して登録す
る必要がある。前記登録処理については、図13に示
す。
【0051】業務条件について合意が取れた後、図6の
処理604に示すように、利用者U1は管理依頼したいメ
ッセージM1を公文書業務管理サーバS3に送る。この
際、本当にM1が利用者U1が作成した情報であり、第
三者によって改ざんされていないことを保証したい場合
に、U1はGSS_signを利用して署名情報を作成すること
ができる。この署名情報は、U1とS3だけが解読でき
る情報であり、SPU1は関知しない点で図8に示す証拠
情報E1,E2と異なる。U1がGSS_signを利用する場
合、公文書業務管理サーバS3はGSS_Verifyにより(処
理605)U1から受け取った処理604の内容を確認する。
処理604に示すように、利用者U1は管理依頼したいメ
ッセージM1を公文書業務管理サーバS3に送る。この
際、本当にM1が利用者U1が作成した情報であり、第
三者によって改ざんされていないことを保証したい場合
に、U1はGSS_signを利用して署名情報を作成すること
ができる。この署名情報は、U1とS3だけが解読でき
る情報であり、SPU1は関知しない点で図8に示す証拠
情報E1,E2と異なる。U1がGSS_signを利用する場
合、公文書業務管理サーバS3はGSS_Verifyにより(処
理605)U1から受け取った処理604の内容を確認する。
【0052】また、同様に、利用者U1の意志により、
メッセージM1の内容を暗号化したい時には、GSS_Seal
を利用でき、受け取り側のS3ではGSS_Unsealにより暗
号化された内容を解読可能である。この場合もGSS_Seal
で暗号化された内容については、SPU1は関知しない。
このように、GSS_signとGSS_Sealというアプリケーショ
ンインタフェースを利用者に提供することにより、容易
に利用者にセキュリティ機能を提供している。また、先
に述べたように、セキュリティ管理プログラムSPU1と
S3との間で暗号化通信も行っており、証拠情報の作成
による送受信されるデータの保証を行なう。
メッセージM1の内容を暗号化したい時には、GSS_Seal
を利用でき、受け取り側のS3ではGSS_Unsealにより暗
号化された内容を解読可能である。この場合もGSS_Seal
で暗号化された内容については、SPU1は関知しない。
このように、GSS_signとGSS_Sealというアプリケーショ
ンインタフェースを利用者に提供することにより、容易
に利用者にセキュリティ機能を提供している。また、先
に述べたように、セキュリティ管理プログラムSPU1と
S3との間で暗号化通信も行っており、証拠情報の作成
による送受信されるデータの保証を行なう。
【0053】図8に示すように、セキュリティ管理プロ
グラムSPU1は、利用者U1の秘密鍵SKU1と公文書業
務管理サーバS3の公開鍵PKS3、及び指定されていれ
ばセション鍵SSK2を用いて利用者U1のメッセージ
の内容を暗号化する。原則として、前記の暗号鍵を用い
てメッセージを暗号化してあれば、内容は悪意を持った
利用者U2によって見られないと期待されるが、SPU1
が送る情報が本当に利用者U1が作成したという事実を
保証するための証拠情報E1と、送信するメッセージ情
報M1が原本であることを保証する証拠情報E2をメッ
セージM1に付加しておくことが有効である。証拠情報
E1及びE2の作成処理を、信頼できる第三者機関に依
頼する場合も考えられる。
グラムSPU1は、利用者U1の秘密鍵SKU1と公文書業
務管理サーバS3の公開鍵PKS3、及び指定されていれ
ばセション鍵SSK2を用いて利用者U1のメッセージ
の内容を暗号化する。原則として、前記の暗号鍵を用い
てメッセージを暗号化してあれば、内容は悪意を持った
利用者U2によって見られないと期待されるが、SPU1
が送る情報が本当に利用者U1が作成したという事実を
保証するための証拠情報E1と、送信するメッセージ情
報M1が原本であることを保証する証拠情報E2をメッ
セージM1に付加しておくことが有効である。証拠情報
E1及びE2の作成処理を、信頼できる第三者機関に依
頼する場合も考えられる。
【0054】図8の例では、SPU1が依頼するメッセー
ジM1に作成日時情報T0を入力情報として、秘密鍵S
KU1で暗号化することにより完全性のためのコードE1
を作成しメッセージM1に付加する。また、処理801で
は、原本性を保証する目的で公文書業務管理サーバから
与えられたセション鍵SSK3を用いて、E1を付加し
たメッセージM1を変換することにより作成したE2を
メッセージM1に付加する。このようにして作成したメ
ッセージM2(メッセージM1にE1とE2を付加した
もの)を、自分の秘密鍵SKU1と公文書業務管理サーバ
S3の公開鍵PKS3、及び指定されていれば処理802に
よりセション鍵SSK2を用いて暗号化した後S3に送
る。
ジM1に作成日時情報T0を入力情報として、秘密鍵S
KU1で暗号化することにより完全性のためのコードE1
を作成しメッセージM1に付加する。また、処理801で
は、原本性を保証する目的で公文書業務管理サーバから
与えられたセション鍵SSK3を用いて、E1を付加し
たメッセージM1を変換することにより作成したE2を
メッセージM1に付加する。このようにして作成したメ
ッセージM2(メッセージM1にE1とE2を付加した
もの)を、自分の秘密鍵SKU1と公文書業務管理サーバ
S3の公開鍵PKS3、及び指定されていれば処理802に
よりセション鍵SSK2を用いて暗号化した後S3に送
る。
【0055】一方、公文書業務管理サーバS3は、前記
メッセージM2を受信すると、処理803でセション鍵S
SK2及び公開鍵PKU1により解読し、さらに自分の秘
密鍵SKS3により解読することにより得たメッセージM
2を業務条件CU2の条件に基づきS3の公文書保管フ
ァイルF3の中に安全に保管する(処理805)。公文書保
管ファイルF3は、図9のフローチャートに従い、業務
条件CU2の条件が満たされなければ、誰にも見せない
しかけになっている。
メッセージM2を受信すると、処理803でセション鍵S
SK2及び公開鍵PKU1により解読し、さらに自分の秘
密鍵SKS3により解読することにより得たメッセージM
2を業務条件CU2の条件に基づきS3の公文書保管フ
ァイルF3の中に安全に保管する(処理805)。公文書保
管ファイルF3は、図9のフローチャートに従い、業務
条件CU2の条件が満たされなければ、誰にも見せない
しかけになっている。
【0056】ここで、図8の処理804では、公文書業務
管理サーバS3がSPU1から受信した証拠情報をE1’
とE2’、受信したメッセージをM1’、受信した作成
日時情報をT0’と区別して呼ぶことにする。実際にS
PU1が作成した情報は、E1,E2であるが(処理801)
途中で何者かによって改ざんされている可能性があるた
めである。S3は、受信した情報が正しいかどうか(処
理804の判定)を図10の処理のフローチャートに従い確
認する。
管理サーバS3がSPU1から受信した証拠情報をE1’
とE2’、受信したメッセージをM1’、受信した作成
日時情報をT0’と区別して呼ぶことにする。実際にS
PU1が作成した情報は、E1,E2であるが(処理801)
途中で何者かによって改ざんされている可能性があるた
めである。S3は、受信した情報が正しいかどうか(処
理804の判定)を図10の処理のフローチャートに従い確
認する。
【0057】S3は、処理1001により受信したE1’を
U1の公開鍵PKU1で復号化し、それにより得られた情
報I,すなわち(M1”、T0”)のM1”が受信した
メッセージM1’と等しいかどうかを調べる(処理100
2)。この時、必要であれば、受信した作成日時情報T
0’を確認する。メッセージが等しい場合には、確か
に、M1’がU1によって作成されたものであることが
確認できる。
U1の公開鍵PKU1で復号化し、それにより得られた情
報I,すなわち(M1”、T0”)のM1”が受信した
メッセージM1’と等しいかどうかを調べる(処理100
2)。この時、必要であれば、受信した作成日時情報T
0’を確認する。メッセージが等しい場合には、確か
に、M1’がU1によって作成されたものであることが
確認できる。
【0058】次に、処理1004により受信したメッセージ
M1’とE1’をセション鍵SSK3を入力パラメタと
してハッシュ関数をかけることによりE2”を作成す
る。ここでは、あらかじめSPU1とS3の間では、同一
の前記ハッシュ関数を秘密に持ち合っているものとす
る。作成したE2”が受信したE2’と等しいかどうか
を処理1005により確認し、等しい場合には、メッセージ
が途中で変更されていないことが確認できる。
M1’とE1’をセション鍵SSK3を入力パラメタと
してハッシュ関数をかけることによりE2”を作成す
る。ここでは、あらかじめSPU1とS3の間では、同一
の前記ハッシュ関数を秘密に持ち合っているものとす
る。作成したE2”が受信したE2’と等しいかどうか
を処理1005により確認し、等しい場合には、メッセージ
が途中で変更されていないことが確認できる。
【0059】このようにして、受信した情報の正当性が
確認された後、S3はメッセージM2(すなわちM1’
とE1’とE2’)の内容をF3に保管する(処理80
5)。
確認された後、S3はメッセージM2(すなわちM1’
とE1’とE2’)の内容をF3に保管する(処理80
5)。
【0060】CU2の条件で公的機関の名称S4が指定
されている場合には、図13に従って、公文書業務管理
サーバS3によるメッセージ登録が必要になる。これ
は、利用者U1のメッセージM2を公文書として公的機
関に登録する処理であリ、一般的には、公的機関に証明
証を発行してもらう形態が考えられる。
されている場合には、図13に従って、公文書業務管理
サーバS3によるメッセージ登録が必要になる。これ
は、利用者U1のメッセージM2を公文書として公的機
関に登録する処理であリ、一般的には、公的機関に証明
証を発行してもらう形態が考えられる。
【0061】図13の例では、S3がS4に対して証明
書発行要求(処理1301)を出し、それに対しS4ではS3
からの処理要求の内容を確認して、問題なければ前記証
明証を発行する(処理1302)シーケンスとなっている。S
3とS4の間のプロトコル及び証明証の形式について
は、説明を省略する。
書発行要求(処理1301)を出し、それに対しS4ではS3
からの処理要求の内容を確認して、問題なければ前記証
明証を発行する(処理1302)シーケンスとなっている。S
3とS4の間のプロトコル及び証明証の形式について
は、説明を省略する。
【0062】利用者U1が指定した業務条件CU2が満
たされた時に、公文書業務管理サーバS3は、業務条件
CU2に基づき、利用者U3に対してメッセージM1を
公開する。今まで、S3はメッセージM2の内容を身分
証明書保管ファイルF3に保管していたが(処理805)、
M2を取り出し、その内容を確認し、メッセージM1’
がU1によって作成されたものであること(すなわちM
1であること)、及びM1が原本であることを確認する
のはS3の役目である。これは、身分証明書保管ファイ
ルF3に格納されている間にM1’,E1’,E2’が
変更されていないことを保証するためである。この目的
で、S3は証拠情報E1’とE2’を確認する。確認方
法は、図10の処理と同様である。
たされた時に、公文書業務管理サーバS3は、業務条件
CU2に基づき、利用者U3に対してメッセージM1を
公開する。今まで、S3はメッセージM2の内容を身分
証明書保管ファイルF3に保管していたが(処理805)、
M2を取り出し、その内容を確認し、メッセージM1’
がU1によって作成されたものであること(すなわちM
1であること)、及びM1が原本であることを確認する
のはS3の役目である。これは、身分証明書保管ファイ
ルF3に格納されている間にM1’,E1’,E2’が
変更されていないことを保証するためである。この目的
で、S3は証拠情報E1’とE2’を確認する。確認方
法は、図10の処理と同様である。
【0063】図10の確認処理が終了した後、公文書業
務管理サーバS3は図11のフローチャートにより、メ
ッセージM1を利用者U3に送信する。この時も、処理
1101により、S3の秘密鍵SKS3及び利用者U3の公開
鍵PKU3によりM1を暗号化して送る(処理1102)必要が
ある。本物の利用者U3であれば、秘密鍵SKU3により
受信したメッセージを解読できるはずであるし、公開鍵
PKS3により解読(処理1103)することにより、前記受信
したメッセージが確かにS3によって保証されているも
のであることが確認できる。また、ここでS3が添付す
るメッセージがあれば処理1101でメッセージM3として
送信する。前記シーケンスを図11に示す。この処理
が、図6の処理606に相当する。
務管理サーバS3は図11のフローチャートにより、メ
ッセージM1を利用者U3に送信する。この時も、処理
1101により、S3の秘密鍵SKS3及び利用者U3の公開
鍵PKU3によりM1を暗号化して送る(処理1102)必要が
ある。本物の利用者U3であれば、秘密鍵SKU3により
受信したメッセージを解読できるはずであるし、公開鍵
PKS3により解読(処理1103)することにより、前記受信
したメッセージが確かにS3によって保証されているも
のであることが確認できる。また、ここでS3が添付す
るメッセージがあれば処理1101でメッセージM3として
送信する。前記シーケンスを図11に示す。この処理
が、図6の処理606に相当する。
【0064】ここで、考慮しなければならないのは、利
用者U1と利用者U3との間で業務依頼されたメッセー
ジの送受信について紛争が発生した場合に、公文書業務
管理サーバS3が果たさなければならない役目について
である。メッセージを依頼する側のU1とS3の間で
は、証拠情報E1,E2の作成によって、処理にかなり
の機密度が保証されていると考えられる。しかし、利用
者U3については、偽りの申告をしてくる可能性があ
る。考えられるケースとしては、次のものがある。
用者U1と利用者U3との間で業務依頼されたメッセー
ジの送受信について紛争が発生した場合に、公文書業務
管理サーバS3が果たさなければならない役目について
である。メッセージを依頼する側のU1とS3の間で
は、証拠情報E1,E2の作成によって、処理にかなり
の機密度が保証されていると考えられる。しかし、利用
者U3については、偽りの申告をしてくる可能性があ
る。考えられるケースとしては、次のものがある。
【0065】(1)利用者U3がメッセージM1に対す
る応答をしない。
る応答をしない。
【0066】(2)利用者U3が受信したメッセージと
別のものを受信したと言い張る。
別のものを受信したと言い張る。
【0067】(3)利用者U3の管理が悪かったため
に、悪意を持った利用者U2にメッセージM1が利用さ
れる。
に、悪意を持った利用者U2にメッセージM1が利用さ
れる。
【0068】まず、(1)のような可能性がある場合、
業務条件CU2の中でメッセージの渡し方について規定
しておく必要がある。例えば、リトライ回数の指定、及
び義務付けた応答を利用者U3が返してこない時には受
信したと解釈する等である。ここで、信頼できる配送サ
ーバを設けて配送の証拠情報E3を作成しておくことも
有効である。
業務条件CU2の中でメッセージの渡し方について規定
しておく必要がある。例えば、リトライ回数の指定、及
び義務付けた応答を利用者U3が返してこない時には受
信したと解釈する等である。ここで、信頼できる配送サ
ーバを設けて配送の証拠情報E3を作成しておくことも
有効である。
【0069】また、(2)のケースについては、証拠情
報E1,及びE2とE3を提示することが有効である。
E1により、メッセージM1が確かにU1によって作成
されたこと、E2により前記M1の原本性(修正されず
に保管されていたこと)、さらにE3により前記M1が
依頼されたままの状態で利用者U3に渡されたことが証
明される。
報E1,及びE2とE3を提示することが有効である。
E1により、メッセージM1が確かにU1によって作成
されたこと、E2により前記M1の原本性(修正されず
に保管されていたこと)、さらにE3により前記M1が
依頼されたままの状態で利用者U3に渡されたことが証
明される。
【0070】前記(3)については、明らかに、利用者
U3の責任が明確であるが、S3はU3にメッセージM
1を送るより前に、前記M1が漏洩したのではないこと
を、次に示すセキュリティ監査機能によって証明しなけ
ればならない。
U3の責任が明確であるが、S3はU3にメッセージM
1を送るより前に、前記M1が漏洩したのではないこと
を、次に示すセキュリティ監査機能によって証明しなけ
ればならない。
【0071】ネットワークシステムのセキュリティ監査
機能の詳細については、先に出願した「セキュリティ管
理装置」(特願平6−47194号)の発明を参照され
たい。 原則として、セキュリティ監査機能としては、
セキュリティ関連の事象についてのメッセージの収集手
段(処理1201)、メッセージ分析手段(処理1202)、メッセ
ージ記録手段(処理1204)、メッセージ選択手段(処理120
3)、及びセキュリティレポート作成手段(処理1205)を備
えている。
機能の詳細については、先に出願した「セキュリティ管
理装置」(特願平6−47194号)の発明を参照され
たい。 原則として、セキュリティ監査機能としては、
セキュリティ関連の事象についてのメッセージの収集手
段(処理1201)、メッセージ分析手段(処理1202)、メッセ
ージ記録手段(処理1204)、メッセージ選択手段(処理120
3)、及びセキュリティレポート作成手段(処理1205)を備
えている。
【0072】ここで処理1206により作成されたセキュリ
ティレポートの情報を分析し、処理1207によりネットワ
ークシステム全体の弱点を診断する手段が提供されてい
るので、本発明の監査手段の目的でも利用することがで
きる。図12にセキュリティ監査機能の概要を示す。
ティレポートの情報を分析し、処理1207によりネットワ
ークシステム全体の弱点を診断する手段が提供されてい
るので、本発明の監査手段の目的でも利用することがで
きる。図12にセキュリティ監査機能の概要を示す。
【0073】最後に、実際の法律事務所での公文書業務
の流れを図14で説明する。法律事務所のシステム構成
は、図1に示す通りである。法律事務所では身分証明書
発行サーバS1内に身分証明書ファイルF1、身分証明
書管理サーバS2内に利用者情報ファイルF2,公文書
業務管理サーバS3内に公文書保管ファイルF3を持
つ。その他に顧客管理ファイルF4を使用するが、顧客
管理ファイルF4には顧客を識別する情報(U1,
IU1,PU1’,CU1,SSK1:具体的には、顧客
氏名、住所、依頼日時、アクセス条件等)を格納し、身
分証明書ファイルF1には実際に公文書業務を行なうこ
とになった顧客を識別する身分証明書情報(U1,
IU1,PU1,CU2,SSK2,SSK3:具体的に
は、顧客氏名、身分証明書、業務条件等)を格納する。
また、実際に顧客から預かる情報(M1’,E1’,E
2’:具体的には公文書、証拠情報)を格納するのが公
文書保管ファイルF3である。
の流れを図14で説明する。法律事務所のシステム構成
は、図1に示す通りである。法律事務所では身分証明書
発行サーバS1内に身分証明書ファイルF1、身分証明
書管理サーバS2内に利用者情報ファイルF2,公文書
業務管理サーバS3内に公文書保管ファイルF3を持
つ。その他に顧客管理ファイルF4を使用するが、顧客
管理ファイルF4には顧客を識別する情報(U1,
IU1,PU1’,CU1,SSK1:具体的には、顧客
氏名、住所、依頼日時、アクセス条件等)を格納し、身
分証明書ファイルF1には実際に公文書業務を行なうこ
とになった顧客を識別する身分証明書情報(U1,
IU1,PU1,CU2,SSK2,SSK3:具体的に
は、顧客氏名、身分証明書、業務条件等)を格納する。
また、実際に顧客から預かる情報(M1’,E1’,E
2’:具体的には公文書、証拠情報)を格納するのが公
文書保管ファイルF3である。
【0074】法律事務所では、図14に示すように、顧
客からの業務依頼の受付と分析(処理1401)、顧客への
業務提案(処理1402)、顧客の意志の確認(処理1403)、顧
客の業務の遂行(処理1404)から構成される。実際に顧客
の公文書業務を受けるかどうかの分析は、業務内容、業
務の委託報酬等の条件から決めることになるが、この点
については法律事務所のポリシーによるためここでは説
明しない。
客からの業務依頼の受付と分析(処理1401)、顧客への
業務提案(処理1402)、顧客の意志の確認(処理1403)、顧
客の業務の遂行(処理1404)から構成される。実際に顧客
の公文書業務を受けるかどうかの分析は、業務内容、業
務の委託報酬等の条件から決めることになるが、この点
については法律事務所のポリシーによるためここでは説
明しない。
【0075】処理1401は図2での身分証明書の引替え証
の発行処理(処理202)、処理1402は図4の身分証明書の
配布処理(処理403)と図6の公文書管理業務の受付処理
(処理603)に対応し、顧客が業務条件CU2を受理した
段階で処理1403が完了する。そして、処理1404は図6の
公文書の受付と保管(処理605)から業務条件CU2に従
った公文書業務の遂行(処理606)に対応している。
の発行処理(処理202)、処理1402は図4の身分証明書の
配布処理(処理403)と図6の公文書管理業務の受付処理
(処理603)に対応し、顧客が業務条件CU2を受理した
段階で処理1403が完了する。そして、処理1404は図6の
公文書の受付と保管(処理605)から業務条件CU2に従
った公文書業務の遂行(処理606)に対応している。
【0076】法律事務所システム内でのアクセス制御を
管理するためには、担当者を明確にすること、及び公文
書保管ファイルF3に保管した公文書へのアクセスを限
定することが特に重要である。
管理するためには、担当者を明確にすること、及び公文
書保管ファイルF3に保管した公文書へのアクセスを限
定することが特に重要である。
【0077】
【発明の効果】以上説明したように、本発明の公文書管
理システムによれば、利用者の業務条件に合わせて、利
用者のメッセージを公文書業務管理サーバに保管、公
開、及び破棄するペーパーレスなサービスを提供できる
という効果がある。
理システムによれば、利用者の業務条件に合わせて、利
用者のメッセージを公文書業務管理サーバに保管、公
開、及び破棄するペーパーレスなサービスを提供できる
という効果がある。
【図1】本発明の一実施例を示す法律事務所システム及
びネットワークシステム構成を示す図である。
びネットワークシステム構成を示す図である。
【図2】利用者U1が身分証明書発行サーバS1に対し
て、身分証明書PU1の発行を要求する処理のシーケン
スを示す図である。
て、身分証明書PU1の発行を要求する処理のシーケン
スを示す図である。
【図3】セキュリティ管理プログラムSPU1がU1の秘
密鍵と身分証明書発行サーバS1の公開鍵を用いて、身
分証明書の発行要求を暗号化することにより、SPU1と
S1の間の通信を保護する処理のフローチャートであ
る。
密鍵と身分証明書発行サーバS1の公開鍵を用いて、身
分証明書の発行要求を暗号化することにより、SPU1と
S1の間の通信を保護する処理のフローチャートであ
る。
【図4】身分証明書発行サーバS1が身分証明書管理サ
ーバS2に対して利用者U1の身分証明書発行要求を登
録する処理,U1がS2に対して身分証明書PU1を取
得要求する処理、及びS2がU1に対してPU1を配布
する処理のシーケンスを示す図である。
ーバS2に対して利用者U1の身分証明書発行要求を登
録する処理,U1がS2に対して身分証明書PU1を取
得要求する処理、及びS2がU1に対してPU1を配布
する処理のシーケンスを示す図である。
【図5】セキュリティ管理プログラムSPU1がU1の秘
密鍵と身分証明書管理サーバS2の公開鍵を用いて、身
分証明書の取得要求を暗号化することにより、SPU1と
S2の間の通信を保護する処理のフローチャートであ
る。
密鍵と身分証明書管理サーバS2の公開鍵を用いて、身
分証明書の取得要求を暗号化することにより、SPU1と
S2の間の通信を保護する処理のフローチャートであ
る。
【図6】利用者U1が公文書業務管理サーバS3に対し
て、公文書管理業務を要求する処理のシーケンスを示す
図である。
て、公文書管理業務を要求する処理のシーケンスを示す
図である。
【図7】利用者U1から公文書業務管理サーバS3に対
する、メッセージM1の業務条件CU2の一例を示す図
である。
する、メッセージM1の業務条件CU2の一例を示す図
である。
【図8】セキュリティ管理プログラムSPU1が公文書業
務管理サーバS3に対して、送信するメッセージM2を
作成する処理、S3で受信したメッセージ及び証拠情報
を確認する処理のフローチャートである。
務管理サーバS3に対して、送信するメッセージM2を
作成する処理、S3で受信したメッセージ及び証拠情報
を確認する処理のフローチャートである。
【図9】公文書業務管理サーバS3が利用者U1から受
信したメッセージM2を公文書保管ファイルF3に保管
し、業務条件CU2に基づき公開又は破棄する処理のフ
ローチャートである。
信したメッセージM2を公文書保管ファイルF3に保管
し、業務条件CU2に基づき公開又は破棄する処理のフ
ローチャートである。
【図10】公文書業務管理サーバS3が証拠情報E1及
びE2を確認する処理のフローチャートである。
びE2を確認する処理のフローチャートである。
【図11】公文書業務管理サーバS3が利用者U3に対
して、業務依頼されていたメッセージM1を公開する処
理のフローチャートである。
して、業務依頼されていたメッセージM1を公開する処
理のフローチャートである。
【図12】公文書業務管理サーバS3によるセキュリテ
ィ監査機能の処理を示す図である。
ィ監査機能の処理を示す図である。
【図13】公文書業務管理サーバS3による公的機関サ
ーバへのメッセージを登録する処理のシーケンスを示す
図である。
ーバへのメッセージを登録する処理のシーケンスを示す
図である。
【図14】実際の法律事務所での公文書業務の流れを法
律事務所のサーバの処理と対応させたフローチャートで
ある。
律事務所のサーバの処理と対応させたフローチャートで
ある。
N ネットワークシステム S1,S2,S3,S4 サーバ WS10,WS20,WS30 端末 U1,U2,U3 利用者 SPU1 セキュリティ管理プログラム PU1 利用者U1の身分証明書 PU1’ PU1の引替え証 I,IU1 情報 PKU1,PKU3,PKS1,PKS2,PKS3 公開鍵 SKU1,SKU3,SKS1,SKS2,SKS3 秘密鍵 公開鍵DB データベース F1 身分証明書ファイル F2 利用者情報ファイル F3 公文書保管ファイル SSK1,SSK2,SSK3 セション鍵 CU1,CU2 条件 Au,Ac,In,Cn,Nr,Ad メッセ−ジ保護
レベル ENC 暗号化関数 DEC 復号化関数 H ハッシュ関数 E1,E2,E1’,E2’,E2” 証拠情報 M,M1,M2,M3,M1’,M1” メッセ−ジ T0,T1,T2,T3,T4,T0” 日時情報
レベル ENC 暗号化関数 DEC 復号化関数 H ハッシュ関数 E1,E2,E1’,E2’,E2” 証拠情報 M,M1,M2,M3,M1’,M1” メッセ−ジ T0,T1,T2,T3,T4,T0” 日時情報
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 庁内整理番号 FI 技術表示箇所 H04L 9/12
Claims (4)
- 【請求項1】公文書保管ファイルと利用者情報ファイル
を含み、前記利用者情報ファイルに指定された条件に応
じて前記公文書保管ファイルの公文書を公開及び破棄す
る管理手段を有する公文書業務管理サーバと、前記公文
書保管ファイルの公文書に関する情報を前記公文書業務
管理サーバとの間で送受信する端末と前記端末の利用者
の身分証明書ファイルを含み、前記利用者の身元を管理
する身分証明書発行/管理サーバを備えることを特徴と
するペーパーレス公文書管理システム。 - 【請求項2】請求項1において、前記利用者のメッセー
ジを公文書として第三者機関に登録する手段と、前記公
文書を他の何者にも見られないように秘匿する手段と、
前記公文書を他の何者にもねつ造されないような形式に
変換する手段と、前記公文書に関する取引の証拠情報を
作成する手段と、システム内の事象について履歴を取得
する手段と、前記履歴に基づいてセキュリティ侵害につ
いて監査する手段を含む公文書業務管理サーバを備える
ことを特徴とするペーパーレス公文書管理システム。 - 【請求項3】請求項1において、公文書業務の利用者の
身元を管理するために、前記利用者に対して身分証明書
を発行する手段と、前記身分証明書の内容の正当性を管
理する手段と、前記公文書業務管理サーバとの間で安全
に通信を行う手段を含む身分証明書発行/管理サーバを
備えることを特徴とするペーパーレス公文書管理システ
ム。 - 【請求項4】請求項1において、前記利用者が身分証明
書の発行を要求する手段と、前記利用者のメッセージを
前記公文書として第三者機関に登録することを要求する
手段と、前記公文書を他の何者にも見られないように秘
匿することを要求する手段と、前記公文書を他の何者に
もねつ造されないような形式に変換することを要求する
手段と、前記公文書に関する業務を要求する手段を実現
するアプリケーションインタフェースを前記利用者のア
プリケーションに提供することを特徴とするペーパーレ
ス公文書管理システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP8508595A JPH08287147A (ja) | 1995-04-11 | 1995-04-11 | ペーパーレス公文書管理システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP8508595A JPH08287147A (ja) | 1995-04-11 | 1995-04-11 | ペーパーレス公文書管理システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JPH08287147A true JPH08287147A (ja) | 1996-11-01 |
Family
ID=13848776
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP8508595A Pending JPH08287147A (ja) | 1995-04-11 | 1995-04-11 | ペーパーレス公文書管理システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JPH08287147A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002533824A (ja) * | 1998-12-28 | 2002-10-08 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | デジタル署名を伴う審査書の伝送 |
JP2002352098A (ja) * | 2001-05-30 | 2002-12-06 | Ricoh Co Ltd | データ管理サービス提供システム、方法、プログラム、記録媒体 |
US11070421B2 (en) * | 2019-03-19 | 2021-07-20 | Microsoft Technology Licensing, Llc | Combined registration and telemetry reporting |
-
1995
- 1995-04-11 JP JP8508595A patent/JPH08287147A/ja active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002533824A (ja) * | 1998-12-28 | 2002-10-08 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | デジタル署名を伴う審査書の伝送 |
JP2002352098A (ja) * | 2001-05-30 | 2002-12-06 | Ricoh Co Ltd | データ管理サービス提供システム、方法、プログラム、記録媒体 |
US11070421B2 (en) * | 2019-03-19 | 2021-07-20 | Microsoft Technology Licensing, Llc | Combined registration and telemetry reporting |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100455326B1 (ko) | 문서 인증 시스템 및 방법 | |
US5872848A (en) | Method and apparatus for witnessed authentication of electronic documents | |
US6363365B1 (en) | Mechanism for secure tendering in an open electronic network | |
JP3754565B2 (ja) | 電子印鑑マーク認証システム | |
US6938157B2 (en) | Distributed information system and protocol for affixing electronic signatures and authenticating documents | |
US6430688B1 (en) | Architecture for web-based on-line-off-line digital certificate authority | |
US6367013B1 (en) | System and method for electronic transmission, storage, and retrieval of authenticated electronic original documents | |
JP3281881B2 (ja) | 数値文書にタイムスタンプを確実に押す方法。 | |
US7676674B2 (en) | Method for authenticating electronic documents | |
Betts et al. | Towards secure and legal e-tendering | |
JP2001237827A (ja) | 構造化デジタル証明書 | |
US20030051172A1 (en) | Method and system for protecting digital objects distributed over a network | |
JP2007282295A (ja) | キー寄託機能付き暗号システムおよび方法 | |
JP2004509398A (ja) | ネットワークにわたって配布されるオブジェクトの保護のために監査証跡を確立するためのシステム | |
JP2002164884A (ja) | プロキシサーバ、電子署名システム、電子署名検証システム、ネットワークシステム、電子署名方法、電子署名検証方法、記憶媒体及びプログラム伝送装置 | |
EP3739805A1 (en) | Method for intention expression identification using block chain, by which anonymity can be guaranteed and sybil attack can be prevented | |
JP2004509399A (ja) | ネットワークにわたって配布されるオブジェクトを保護するためのシステム | |
US20030237005A1 (en) | Method and system for protecting digital objects distributed over a network by electronic mail | |
KR100563515B1 (ko) | 과도 키 디지탈 시간 스탬프 방법 및 시스템 | |
JP2001331104A (ja) | ディジタル署名方法および装置 | |
JPH0962596A (ja) | 電子メールシステム | |
JP2005502269A (ja) | デジタル証明書を作成するための方法及び装置 | |
Kim et al. | A selective encryption/decryption method of sensitive music usage history information on theme, background and signal music blockchain network | |
JP2000215280A (ja) | 本人認証システム | |
JPH07160198A (ja) | 暗号通信における公開鍵登録方法および公開鍵証明書の発行局 |