[go: up one dir, main page]

JP2004164604A - 電子ファイル管理装置及びプログラム並びにファイルアクセス制御方法 - Google Patents

電子ファイル管理装置及びプログラム並びにファイルアクセス制御方法 Download PDF

Info

Publication number
JP2004164604A
JP2004164604A JP2003318475A JP2003318475A JP2004164604A JP 2004164604 A JP2004164604 A JP 2004164604A JP 2003318475 A JP2003318475 A JP 2003318475A JP 2003318475 A JP2003318475 A JP 2003318475A JP 2004164604 A JP2004164604 A JP 2004164604A
Authority
JP
Japan
Prior art keywords
electronic file
document
protected
access
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003318475A
Other languages
English (en)
Inventor
Atsuhisa Saito
敦久 斉藤
Yoichi Kanai
洋一 金井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2003318475A priority Critical patent/JP2004164604A/ja
Priority to US10/661,650 priority patent/US20040125402A1/en
Publication of JP2004164604A publication Critical patent/JP2004164604A/ja
Priority to US12/405,101 priority patent/US20090185223A1/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】 本発明の課題は、セキュリティを必要とする技術文書などの電子ファイルを管理し、アクセス権限に応じて該電子ファイルに対するアクセス制御を行う電子ファイル管理装置及びプログラム並びにファイルアクセス制御方法を提供することを目的とする。
【解決手段】 本発明の課題は、電子ファイルを格納する電子ファイル格納領域と、上記電子ファイルにアクセス権限情報を付加して上記電子ファイル格納領域に格納する電子ファイル管理手段と、上記電子ファイルへのアクセス要求に応じて、該電子ファイルを暗号化して保護した保護電子ファイルを出力する保護電子ファイル出力手段とを有する電子ファイル管理装置によって達成される。
【選択図】 図1

Description

本発明は、セキュリティを必要とする技術文書などの電子ファイルを管理し、アクセス権限に応じて該電子ファイルに対するアクセス制御を行う電子ファイル管理装置及びプログラム並びにファイルアクセス制御方法に関する。
従来より、電子ファイルを管理する電子ファイル管理装置では、格納する電子ファイルに対して予めパスワードを登録させ、ユーザからのアクセス要求を受けると、そのユーザが登録されたパスワードを入力した場合にのみ、そのパスワードに対応する電子ファイルを表示装置や外部記憶装置に出力する。
また、本出願人により先に出願されている(例えば、特許文献1)の「文書管理システム」は、電子化された文書を作成して登録し、承認されるとその文書を変換して印刷可能なPDFと印刷不可能なPDFとを作成し、利用権限に応じて閲覧できるファイルを制限するものである。
特開2001−142874号公報
しかしながら、従来の電子ファイル管理装置では、アクセス権限を認められたユーザが電子ファイルを取得した後、アクセス権限を認められていないユーザに取得した電子ファイルを渡すと、アクセス権限を認められていないユーザであってもその電子ファイルにアクセスできてしまうという問題があった。
また、上述した特許文献1の文書管理システムは、電子化された文書を利用権限を認められていないユーザに対しても閲覧のみを許可しつつ印刷を不可能とする好適なものであるが、利用権限を認められているユーザが印刷可能なPDFを読み出した後、他の利用者にその印刷可能はPDFを渡してしまうと、本来印刷可能なPDFへのアクセス権限のない利用者でもPDFを印刷することができてしまっていた。
本発明はこのような状況に鑑みてなされたものであり、オリジナルのドキュメントと、ユーザの権限に応じたアクセス制限を施した保護ドキュメントとをアクセス権限に応じて適切に管理することができる電子ファイル管理装置、方法、プログラム、及び該プログラムを記録した記録媒体を提供することである。
上記課題を解決するため、本発明は、請求項1に記載されるように、電子ファイルを格納する電子ファイル格納領域と、上記電子ファイルにアクセス権限情報を付加して上記電子ファイル格納領域に格納する電子ファイル管理手段と、上記電子ファイルへのアクセス要求に応じて、該電子ファイルを暗号化して保護した保護電子ファイルを出力する保護電子ファイル出力手段とを有するように構成される。
このような電子ファイル管理装置では、アクセス権限情報を付加して電子ファイル(ドキュメント)を管理し、保護電子ファイル(保護ドキュメント)を出力するため、オリジナルの電子ファイルに対するセキュリティを向上することができる。
また、本発明は、請求項2に記載されるように、上記電子ファイル管理手段は、上記電子ファイルの格納要求を受けると、該電子ファイルを暗号化することによって保護された上記保護電子ファイルを取得して、該電子ファイルと該保護電子ファイルとを関連付けて上記電子ファイル格納領域に格納するように構成することができる。
また、本発明は、請求項3に記載されるように、上記電子ファイル管理手段は、上記電子ファイルの格納要求を受けると、該電子ファイルを暗号化することによって保護された上記保護電子ファイルを取得して、該電子ファイルを格納する代わりに、その保護電子ファイルを上記電子ファイル格納領域に格納するように構成することができる。
また、本発明は、請求項4に記載されるように、上記保護電子ファイル出力手段は、上記電子ファイルのアクセス要求を受けると、該電子ファイルを暗号化することによって保護された上記保護電子ファイルを取得して、その保護電子ファイルを出力するように構成することができる。
また、本発明は、請求項5に記載されるように、上記電子ファイル管理手段は、上記電子ファイルの格納要求時に上記電子ファイルと上記保護電子ファイルとを受付けて、該電子ファイルと該保護電子ファイルとを関連付けて上記電子ファイル格納領域に格納するように構成することができる。
また、本発明は、請求項6に記載されるように、上記電子ファイルを暗号化する外部手段に対して、該電子ファイルと上記アクセス権限情報とを送信することによって上記保護電子ファイルを取得して、上記電子ファイル管理手段に提供する保護電子ファイル取得手段を有するように構成することができる。
また、本発明は、請求項7に記載されるように、上記保護電子ファイルは、上記アクセス権限情報に基づいて上記電子ファイルを暗号化されるように構成することができる。
また、本発明は、請求項8に記載されるように、上記保護電子ファイル出力手段は、保護前の上記電子ファイルへのアクセス要求を受けると、保護前のドキュメントのアクセス権限があるか否かを判断し、その判断結果に基づいて、該アクセスを拒否するように構成することができる。
また、本発明は、請求項9に記載されるように、上記電子ファイルにアクセス権限情報を付加して電子ファイル格納領域に格納する電子ファイル管理手順と、上記電子ファイルへのアクセス要求に応じて、該電子ファイルを暗号化して保護した保護電子ファイルを出力する保護電子ファイル出力手順とをコンピュータに実行させるように構成することができる。
また、本発明は、請求項10に記載されるように、アクセス要求に応じて、電子ファイルをアクセス権限情報に基づいて暗号化して保護した保護電子ファイルを提供するように該電子ファイルを管理し、上記電子ファイルに対する処理要求に応じて上記保護電子ファイルを取得し、上記保護電子ファイルが復号できた場合、上記アクセス権限情報に従って、復号された該保護電子ファイルに対して該処理を制御するように構成することができる。
また、本発明は、請求項11に記載されるように、上記電子ファイルを識別する電子ファイル識別情報と、上記保護電子ファイルを復号する鍵と、上記アクセス制御情報とを管理し、上記処理要求時に、該処理要求を行ったユーザを認証するユーザ認証情報、上記電子ファイル識別情報と、該処理タイプとを取得し、ユーザ認証が成功した場合、上記アクセス権限情報に基づいて上記処理に対する許可又は不許可を判断し、その判断結果に基づいて、上記処理への許可時に指定される処理要件と、上記鍵とを取得し、上記鍵によって上記保護電子ファイルを復号し、上記処理要件に従って上記処理を制御するように構成することができる。
本願発明によれば、アクセス制限電子ファイルを、アクセス権限情報でアクセス権限を認められているユーザのみが復号可能であるように生成し、そのアクセス制限電子ファイルとオリジナル電子ファイルとを上記のアクセス権限情報に基づいて管理することにより、アクセス権限情報でアクセス権限を認められていないユーザに対して、アクセス制限電子ファイルをたとえ入手したとしてもアクセスできないようにすることができると共に、そのアクセス権限の管理を、管理者(アクセス権限の設定者)がアクセス権限情報を作成するだけで自動的に行うことができる。
以下、本発明の実施の形態を図面に基づいて説明する。
先ず、本発明の実施形態としての電子ファイル管理装置における、各実施形態に共通する概要について説明する。
本発明の実施形態としての電子ファイル管理装置は、コンピュータ装置本体と、ユーザが入力を行う入力装置と、ユーザに対して各種の情報を表示する表示装置とを備えて構成される。
上記の入力装置は、例えばキーボードやマウスなどであり、表示装置は、例えばディスプレイなどである。
コンピュータ装置本体は、オリジナルのドキュメント(Document;オリジナル電子ファイル)と保護ドキュメント(Protected Document;アクセス制限電子ファイル)との管理を行い、入力装置から操作を行うユーザに認められたアクセス権限に応じて上記の表示装置に出力する。
コンピュータ装置本体からの出力先は上記の表示装置に限定されず、例えばプリンタをコンピュータ装置本体に接続することで、そのプリンタから印字(出力)することもできる。また、ユーザからのアクセス要求がFD(フロッピー(登録商標)ディスク)などのリムーバブルディスクといった情報記録媒体への保存である場合には、その情報記録媒体に保存することとしてよい。
次に、本発明の第1の実施形態としての電子ファイル管理装置501について図1で説明する。図1は、本発明の第1の実施形態に係る電子ファイル管理装置を示す図である。
図1(A)において、この第1の実施形態は、ドキュメント管理プログラム(Document Management Program)21を用いてドキュメント11(オリジナルのドキュメント;オリジナル電子ファイル)とACL(Access Control List;アクセス権限情報)12とを保存した際に、保護ドキュメント13を作成して、基本的にその保護ドキュメント13にのみアクセスさせるモデルである。
第1の実施形態におけるコンピュータ装置本体によって制御される電子ファイル管理装置501は、管理者からドキュメント11とACL12とを受け取って管理するドキュメント管理プログラム(管理部)21と、そのドキュメント11とACL12とからアクセス制限をかけた保護ドキュメント13を生成するドキュメント保護プログラム(Document Protection Program;アクセス制限部)511と、電子ファイル(各種ドキュメント)やACL12などを格納するドキュメント管理DB(Document Management Database;格納部)23とを有し、これらをHDDなどの記憶装置(不図示)に備えてなる。
上記のACL12は、管理者によって設定されたドキュメント11へのアクセス権限であって、アクセスしてくるユーザによってドキュメント11へのアクセスを制限するための情報を含むものである。
この第1の実施形態に係る電子ファイル管理装置501は、物理的には、各種のプログラムやデータなどを記憶する上記した記憶装置と、CPUなどの主制御装置とを備えて構成され、この主制御装置が記憶装置に格納されたプログラムにより処理を行うことで、この電子ファイル管理装置501は上述した管理部と、アクセス制限部と、格納部として機能する。
すなわち、電子ファイル管理装置501は、上記の記憶部に記憶されたドキュメント管理プログラム21により主制御装置が処理を行うことで上記した管理部として機能し、上記の記憶装置に記憶されたドキュメント保護プログラム511により主制御装置が処理を行うことで、上記したアクセス制限装置として機能する。
ACL12の構成例を図2に示す。この図2に示す例では、ACL12は、ユーザ名(User name)、アクセスタイプ(Access type)、許可情報(Permission)及び処理要件(Requirement)をパラメータとして構成される。
すなわち、何らかのアクセス権限を認められたユーザのユーザ名(User name)に、そのユーザに認められたアクセス権限が、ユーザからの操作命令(Access type)ごとに関連付けられて構成されている。また、ユーザによる操作命令ごとに、許可(Allowed)と拒絶(Denied)とが定められている。
なお、図1(A)及び図1(B)、図2に示す例では、ACL12には処理要件(Requirement)の項が入っているが、一般的なアクセス制御しかしないのであれば、ACL12は処理要件(Requirement)の項がないものであってよい。
このACL12は、ドキュメント11を作成した作成者や、電子ファイル管理装置501の管理者(管理者権限を持つユーザ)が作成し、そのドキュメント11に付与しておくこととする。電子ファイル管理装置501は、ドキュメント管理プログラム21により、入力装置によるユーザからの各操作命令に対し、このACL12に基づいて、上述した各種の出力を行う。
次に、第1の実施形態にかかる電子ファイル管理装置501における電子ファイルの格納時の動作について、図1(A)、図3、図4、図5を参照して説明する。
ドキュメント管理プログラム21がドキュメント11とACL12とを受け取って保存する際、ドキュメント管理プログラム21は受け取ったドキュメント11とACL12をドキュメント保護プログラム511に渡して保護ドキュメント13を受け取る。
すなわち、ドキュメント保護プログラム511は、受け取ったACL12に設定されているアクセス権限の制限と同一の制限がドキュメント11にかけられるように、ドキュメント11から保護ドキュメント13を生成する。
このドキュメント保護プログラム511による保護ドキュメント13の生成(暗号化)とその復号化にかかるドキュメント保護・印刷システムの構成例を図3に示す。以下の説明では、この保護ドキュメント13の活用(復号化)用途を、プリンタ503により記録紙に印刷することであるとする。
この図3に示すドキュメント保護・印刷システム5001は、電子ファイル管理装置501、印刷用端末502、プリンタ503及びアクセスコントロールサーバ504を有する。
電子ファイル管理装置501と印刷用端末502は、表示装置(例えば、LCD)、入力装置(例えば、キーボード)、外部記録装置(例えば、FDD、HDD)などを備えたコンピュータ端末を適用できる。なお、電子ファイル管理装置501にはドキュメント保護プログラム511が、印刷用端末502にはドキュメント印刷プログラム521がそれぞれ実装されている。
ドキュメント保護プログラム511は、ドキュメントファイルに電子ファイル管理装置501の管理者としてのユーザの入力操作に応じた印刷要件を設定するとともに、暗号化アルゴリズム(RC4、Triple DES、IDEAなど)を用いてドキュメントファイルを暗号化し、保護ドキュメントを生成する処理を行うプログラムである。
なお、管理者の入力操作に応じてドキュメント保護プログラム111がドキュメントファイルに設定する印刷要件の例としては、地紋印刷(Background Dot Pattern:以下、BDPという)、機密印刷(Private Access:以下、PACという)、電子透かし(Digital Watermark:以下、DWMという)の付加、バーコード付加(Embedding Barcode:以下、EBCという)、機密ラベルスタンプ(Security Label Stamp:以下、SLSという)などが挙げられる。
ドキュメント印刷プログラム521は、ユーザの入力操作に応じ、保護ドキュメント13を復号化するとともに、設定されている印刷要件に応じた印刷処理をプリンタ503に実行させる処理を行うプログラムである。
アクセスコントロールサーバ504は、ユーザがドキュメントを印刷しようとする場合に、ドキュメント印刷プログラム521からの要求に応じてACL12を参照し、ドキュメントを印刷する権限があるか否か、印刷要件がどのように設定されているかを取得するサーバである。
アクセスコントロールサーバ504には、ユーザ各人の認証用の情報(ユーザ名とパスワードとの組)が格納されたユーザデータベース541と、ユーザ各人ごとに設定された印刷要件を含むACL12が登録されるACLデータベース542とが接続されている。
上述のドキュメント保護・印刷システム5001において、ドキュメント11とACL12とを取得したドキュメント保護プログラム511は、上記の保護ドキュメント13を生成するに当たって、ドキュメントファイルごとに固有のドキュメントID(Document ID)を生成し、復号に使用する暗号鍵(Key)とACL12とをこれに関連づけてアクセスコントロールサーバ504へ送信し、登録する。
また、ドキュメント保護プログラム511は、図5に示すように、暗号鍵を用いてドキュメント11を暗号化し、その暗号化されたドキュメントファイル(暗号化ドキュメント)に対してドキュメントIDを付加して保護ドキュメント13を生成する。
こうして保護ドキュメント13が生成されると、ドキュメント管理プログラム21は、受け取った保護ドキュメント13をドキュメント11及びACL12と共に(関連づけて)ドキュメント管理DB23に格納する。こうして、電子ファイル管理装置501は、ドキュメント11と保護ドキュメント13のペア(これをドキュメント・ペア(Document Pair)と呼ぶ)にACL12を付与して(関連付けて)管理する。
次に、第1の実施形態にかかる電子ファイル管理装置501が、管理しているドキュメント・ペアに対してユーザからアクセス要求を受けた時の動作について、図1(B)、図3を参照して説明する。
ドキュメント管理プログラム21は、ユーザからドキュメント・ペアに対するアクセス要求を受けるとユーザの認証を行う。この認証では、ドキュメント管理プログラム21は、ドキュメント・ペアに付与されているACL12を参照して、アクセスしてきたユーザに参照権限がある、すなわちread権限があると判断すると、保護ドキュメント13を返す。すなわち、電子ファイル管理装置501から上述のように表示装置などに出力する。
上記の認証で、アクセスしてきたユーザに参照権限がない、すなわちread権限が認められていないとドキュメント管理プログラム21が判断すると、表示装置にその旨を表示する。
この出力された保護ドキュメント13の復号化について、上述した図3に示すドキュメント保護・印刷システム5001の例により説明する。
なお、図3に示すドキュメント保護・印刷システム5001の例では、ドキュメントファイルを印刷や参照しようとするユーザに対する上述の電子ファイル管理装置501からの出力として、管理者によりFDなどの情報記録媒体による受け渡しを行う場合と、通信網により印刷用端末502へ送信する場合とを示している。
ユーザがドキュメント11を印刷しようとする場合には、印刷用端末502に保護ドキュメント13を実装する。例えば、上述のように電子ファイル管理装置501から情報記録媒体に出力(記録)された保護ドキュメント13を外部記録装置を用いて印刷用端末502に読み取らせても良いし、印刷用端末502が電子ファイル管理装置501と通信可能である場合には、通信網を介して電子ファイル管理装置501から保護ドキュメント13を印刷用端末502に出力させるようにしてもよい。
ユーザが、印刷用端末502の入力装置を介してドキュメント印刷プログラム521に対して印刷を指示すると、印刷を要求されたドキュメント印刷プログラム521は、ユーザを認証するために必要となるユーザ名とパスワードの入力をユーザに要求する。例えば、ドキュメント印刷プログラム521は、印刷用端末502の表示装置にメッセージを表示するなどして、ユーザ名とパスワードの入力を要求する。
ドキュメント印刷プログラム521は、ユーザから入力されたユーザ名とパスワードとをアクセスコントロールサーバ504へ送信して、ユーザ認証を要求する。
アクセスコントロールサーバ504は、ドキュメント印刷プログラム521から受け渡されたユーザ名とパスワードとを用いてユーザ認証を行い、ユーザを特定する。
ユーザを特定すると、アクセスコントロールサーバ504は、ACLデータベース542を参照し、ドキュメントファイルを印刷する権限がユーザにあるか否かや、ユーザがドキュメントファイルを印刷する際には、どのような印刷要件が設定されているかといった、アクセス権限の制限の情報を取得する。
ユーザにドキュメントファイル(保護ドキュメント13)を印刷する権限がある場合、アクセスコントロールサーバ504は、その旨を示す認証情報とともに、保護ドキュメント13を復号化するための暗号鍵とユーザがドキュメントファイルを印刷する際の印刷要件とを印刷用端末502を介してドキュメント印刷プログラム521に通知する。
アクセスコントロールサーバ504から認証情報とともに、暗証鍵と印刷要件とを取得したドキュメント印刷プログラム521は、暗号鍵を用いて保護ドキュメント13を復号化してドキュメント11に復元する。
そしてドキュメント印刷プログラム521は、印刷要件を満たすようにプリンタ503に印刷処理を実行させる。例えば、ドキュメントファイルにBDP(地紋印刷)が印刷要件として設定されている場合には、ドキュメントの内容とともに地紋を印刷する。
以上により、ドキュメントファイルを印刷する際に、管理者がユーザ各人に対して設定した印刷要件、すなわちACL12としてユーザ各人に対して設定したアクセス権限の制限を強制することが可能となる。
次に、第1の実施形態に係るドキュメント管理プログラム21によって実現される機能構成について図4で説明する。図4は、第1の実施形態に係るドキュメント管理プログラムによって実現される機能構成を示す図である。図中、クライアントc1及びc2は、同一クライアントであってもよい。
図4において、ドキュメント管理プログラム21によって、少なくとも、ドキュメント保管要求受付部21aと、ドキュメント保管部21b保護ドキュメント取得部21cと、ドキュメント参照要求受付部21dと、ドキュメント取得部21eとが機能として構成される。
ドキュメント保管要求受付部21aは,ドキュメント11の保管を要求するクライアントc1から,ドキュメント保管要求とともにドキュメント11とACL12を受け取ると,受け取ったドキュメント11とACL12をドキュメント保管部21bに渡す。
ドキュメント保管部21bは受け取ったドキュメント11をドキュメント管理DB23に格納し、受け取ったACL12をその格納したドキュメント11のACL12として設定する。ドキュメント保管部21bは格納したドキュメント11の識別子(ドキュメントID)を返す。
ドキュメント保管要求受付部21aは、ドキュメント保管部21bからドキュメントIDを受け取ると、ドキュメント11、ACL12、ドキュメントIDを保護ドキュメント取得部21cに渡す.保護ドキュメント取得部21cはドキュメント11とACL12をドキュメント保護プログラム511に渡して保護ドキュメント13を取得し、ドキュメントIDと保護ドキュメント13をドキュメント保管部21bに渡す。
ドキュメント保管部21bはドキュメントIDで指定されたドキュメント11に関連付けてその保護ドキュメント13をドキュメント管理DB23に格納する。
ドキュメント保管要求受付部21aは、ドキュメント保管要求をしたクライアントc1にドキュメントIDを返す。返すタイミングは、ドキュメント11を保管してすぐでも良いし、保護ドキュメント13が格納されたことを確認した後でも良い。
また、ドキュメント参照要求受付部21dは、ドキュメント11の参照を要求するクライアントc2から、ドキュメント参照要求とともにドキュメントIDを受け取ると、受け取ったドキュメントIDをドキュメント取得部21eに渡す。
ドキュメント取得部21eは、受け取ったドキュメントIDをもとにドキュメント管理DB23から該当するドキュメント11のACL12を確認し、参照権限のあるユーザからの要求であれば、そのドキュメント11とともに格納されている保護ドキュメント13をドキュメント管理DB23から取得し、ドキュメント参照要求受付部21dに返す。
ドキュメント参照要求受付部21dは、ドキュメント参照要求をしたクライアントc2に受け取った保護ドキュメント13を返す。ドキュメント参照要求をしてクライアントc2を使用しているユーザに参照権限がない場合にはエラーを返す。その一方で、ユーザにオリジナルを参照する特別な権限が与えられている場合には、保護ドキュメント13を返すのではなく、オリジナルのドキュメント11を返すようにしても良い。
次に、ドキュメント11から保護ドキュメント13を生成する際のドキュメント保護プログラム511及びアクセスコントロールサーバ504の動作、及び保護ドキュメント13をドキュメント11に復元して印刷する際のドキュメント印刷プログラム521及びアクセスコントロールサーバ504の動作についてさらに詳しく説明する。
ドキュメント保護プログラム511が保護ドキュメント13を生成する際の動作を図で説明する。図5は、ドキュメント保護プログラムの動作を示す図である。
図5において、ドキュメント保護プログラム511は、電子ファイル管理装置501の入力装置における管理者の入力操作によってドキュメントファイルとACL12とを取得すると、ドキュメントファイルの暗号化・復号化するための暗号鍵を生成する。そして、ドキュメント保護プログラム511は、生成した暗号鍵を用いてドキュメントファイルを暗号化して、暗号化ドキュメントを生成する。
さらにドキュメント保護プログラム511は、ドキュメントファイルごとに固有のドキュメントIDを暗号化ドキュメントに添付して保護ドキュメント13を生成する。
保護ドキュメント13を生成した後、ドキュメント保護プログラム511は電子ファイル管理装置501の通信機能を用いて、暗号鍵とACL12とドキュメントIDとをアクセスコントロールサーバ504へ送信し、これらの登録をアクセスコントロールサーバ504に要求する。
暗号鍵とACL12とドキュメントIDとをドキュメント保護プログラム511から受け渡されたアクセスコントロールサーバ504は、図6に示すように、これらを関連づけて一つのレコードとしてACLデータベース542に記録保持する。図6は、ACLデータベースに記録される情報の構造例を示す図である。図6において、ACLデータベース542は、ドキュメントID(Document ID)ごとに、暗号鍵(Key)と、ACL12とを管理する。
なお、上記の例においてはドキュメントIDの生成や暗号鍵の生成をドキュメント保護プログラム511が行う場合を示したが、これらの処理はアクセスコントロールサーバ504やドキュメントIDの生成や暗号鍵の生成を行う別のサーバ(不図示)などで行っても良い。
また、電子ファイル管理装置501とアクセスコントロールサーバ504との間が専用回線ではなくネットワーク網を介して接続されており、暗号鍵など送信する際に盗聴される懸念がある場合には、SSL(Secure Socket Layer)を用いて通信を行えばよい。
ドキュメント保護プログラム511がアクセスコントロールサーバ503と通信する際のプロトコルは、どのようなものを用いてもよい。例えば、分散オブジェクト環境を導入し、Java(登録商標) RMI(Remote Method Invocation)やSOAP(Simple Object Access Protocol)をベースとして情報を送受信するようにしても良い。その場合、アクセスコントロールサーバ504は、例えばregister (String docId, byte[] key, byte[] acl)のようなメソッドを実装するようにしてもよい。SOAPであれば、HTTPSの上でSOAPプロトコルをやりとりし、RMIであればSSLベースのSocketFactoryを用いてRMIを実行するようにすれば、ネットワーク上でのセキュリティを確保できる。
次に、ドキュメント印刷プログラム521が保護ドキュメント13を印刷する際の動作について図7で説明する。
図7は、ドキュメント印刷プログラム及びアクセスコントロールサーバの動作の流れを示す図である。
図7において、ドキュメント印刷プログラム521は、印刷用端末502の入力装置におけるユーザの入力操作によって保護ドキュメント13とユーザ名とパスワードとを取得すると、保護ドキュメント13に添付されているドキュメントIDを取得する(ステップS511)。
そして、ユーザ名とパスワードとドキュメントIDとアクセスタイプ(ユーザが要求する処理を示す情報。ここでは、保護ドキュメント13を印刷しようとするので“print”となる。)とをアクセスコントロールサーバ504へ送信して、アクセス権限があるか否かのチェックを要求する(ステップS512)。
なお、図8は、アクセスコントロールへのSOAPによる問い合わせの例を示す図であり、ユーザ名(userId)とドキュメントID(docId)とアクセスタイプ(accessType)とを渡してアクセスが許可されているかを問い合わせるSOAPメッセージ(isAllowed)を送付し、その結果(isAllowedResponse)を受け取っている例である。結果には、許可されているということ(allowedがtrue)と要件(requirements)とが含まれている。
アクセスコントロールサーバ504は、ドキュメント印刷プログラム521からユーザ名とパスワードとドキュメントIDとアクセスタイプとを取得すると、ユーザデータベース541に登録されている情報を参照し(ステップS513)、ユーザ認証を行う(ステップS514)。
換言すると、アクセスコントロールサーバ504は、ユーザデータベース541に登録されている情報を参照し、ドキュメント印刷プログラム521から取得した情報に含まれるユーザ名とパスワードとを組としたものが、ユーザデータベース541に組として登録されているか否かを判断する。
ユーザ認証に失敗した場合(換言すると、ドキュメント印刷プログラム521から受け渡された情報に含まれるユーザ名とパスワードとを組としたものがユーザデータベース541に登録されていない場合)、アクセスコントロールサーバ504は、許可情報(ユーザが要求する処理を許可するか否かを示す情報)を「不許可」として印刷用端末502へ送信し、ドキュメント印刷プログラム521へ受け渡す(ステップS515)。なお、この場合は「エラー」とした許可情報をドキュメント印刷プログラム521へ受け渡すようにしてもよい(ステップS516)。
一方、ユーザ認証に成功した場合、アクセスコントロールサーバ504は、ACLデータベース542に格納されているレコードのうち、ドキュメント印刷プログラム521から取得した情報に含まれるドキュメントIDに関するレコードを読み出す(ステップS517)。
アクセスコントロールサーバ504は、読み出したレコードに含まれるACL12を取得し、ドキュメント印刷プログラム521から取得したユーザ名及びアクセスタイプに基づいて、ACL12から許可情報および印刷要件を取得する(ステップS518)。
換言すると、アクセスコントロールサーバ504は、ユーザ名とアクセスタイプとに基づいて、予めACL12に設定されている許可情報と印刷要件とを取得する(ステップS519)。
ACL12から取得した許可情報が「許可」を示すか否かを判断する(ステップS520)。ACL12から取得した許可情報が「許可」である場合、アクセスコントロールサーバ504は、レコードに格納されている暗号鍵と印刷要件とを許可情報とともに印刷用端末502へ送信してドキュメント印刷プログラム521に受け渡す(ステップS521)。
一方、ACL12から取得した許可情報が「不許可」である場合、アクセスコントロールサーバ504は、許可情報のみを印刷用端末502へ送信してドキュメント印刷プログラム521に受け渡す。
アクセスコントロールサーバ504から許可情報を受け渡されたドキュメント印刷プログラム521は、取得した許可情報を参照し、「不許可」である場合には、印刷用端末502の表示装置にメッセージを表示するなどして、要求された処理を実行できないことをユーザに通知する(ステップS522)。
一方、取得した許可情報が「許可」である場合には、許可情報と共に受け渡された暗号鍵を用いて、保護ドキュメントのうちの暗号化ドキュメントの部分を復号してドキュメントファイルに復元する(ステップS523)。
また、ドキュメント印刷プログラム521は、許可情報と共に取得した印刷要件を満足するようにプリンタドライバを設定し(例えば、PACが指定されていれば機密印刷モードに設定する)、プリンタ503にドキュメントの印刷処理を実行させる。
なお、必要があれば、印刷用端末502の表示装置にメッセージを表示するなどして、印刷パラメータの設定をユーザに要求するようにしてもよい。
アクセスコントロールサーバ504から取得した印刷要件を満足する印刷をプリンタ503では実行できない場合、換言すると、プリンタ503がACL12に設定されていた印刷要件を満たす機能を備えていない場合には、その旨を示すメッセージを表示装置に表示させるなどしてユーザに通知し、印刷は行わずに処理を終了する。
以上の動作によって、ユーザごとに異なるアクセス権や印刷要件を設定することが可能となる。また、上記のように、アクセスコントロールサーバ504側でドキュメントファイルに対するアクセス権限を判断するシステム構成においては、ACLデータベース542に登録されているACL12の内容を電子ファイル管理装置501やアクセスコントロールサーバ504における入力操作によって変更できるようにてもよく、この場合には、保護ドキュメント13を配布した後で印刷要件を変更したりすることが可能となる。
例えば、既に配布した保護ドキュメント13に対するアクセス権限を新たなユーザに設定したり、特定のユーザに対して印刷要件を追加することなどが可能となる。
なお、本実施形態を用いる図3に示すドキュメント保護・印刷システム5001が上記のような手法でドキュメントファイルを保護していることを知っている者は、ドキュメント印刷プログラム521に成りすますプログラムをコンピュータ端末に実行させて暗号鍵を不正に入手し、保護ドキュメント13を復号することも可能ではある。この場合は、ACL12として設定されている印刷要件を強制されることなく、保護ドキュメント13を印刷できてしまうこととなる。
このため、単に暗号鍵のみを用いてドキュメントファイルを暗号化するのではなく、ドキュメント保護プログラム511の内部に埋め込まれた秘密鍵と暗号鍵とを合わせたもの(排他的論理和を取ったもの)でドキュメントファイルを暗号化することが好ましい。
この場合は、ドキュメント印刷プログラム521にも同一の秘密鍵を埋め込んでおくことで、管理者が設定した印刷要件を印刷時に強制するドキュメント印刷プログラム521のみが、保護ドキュメント13を復号して印刷することが可能となる。
また、図3を用いて上述したドキュメント保護・印刷システム5001においては、ドキュメント印刷プログラム521は、ドキュメントファイルの印刷に関する処理のみを行っているが、ドキュメント印刷プログラム521は、ドキュメントファイルの内容をユーザに提示したり、ドキュメントファイルを編集する機能を備えていても良い。例えば、Adobe Acrobat(登録商標)のプラグインとしてこの機能を実現することが可能である。
なお、この第1の実施形態としての電子ファイル管理装置501では、上述した図2に示すACL12の例には記載していないが、ACL12のAccess typeとして例えばGetOriginal(オリジナル電子ファイルへのアクセス権限)を定義し、そのGetOriginalのアクセス権限を認められているユーザがドキュメント・ペアにアクセスした場合には、ドキュメント管理プログラム511は保護ドキュメント13を返すのではなく、ドキュメント11を返すようにしてもよい。
すなわち、電子ファイル管理装置501がGetOriginalを定義されたACL12に基づいてユーザ認証を行い、アクセスしたユーザにGetOriginalのアクセス権限が認められている場合にはドキュメント11を電子ファイル管理装置501から上述のように出力するようにしてもよい。
また、ACL12にオリジナル電子ファイルであるドキュメント11へのアクセス権限を定義しなくても、特別なユーザのみ(例えば保存したユーザのみ)がドキュメント11へのアクセス権限を認められることとしてもよい。すなわち、ドキュメント管理プログラム511が、予め設定された特別なユーザのみにドキュメント11へのアクセス権限を認めることとしてもよい。
本実施形態によれば、ドキュメント管理プログラム511により管理・格納されているドキュメントに対するアクセス制御(アクセス権限の制限)と、ユーザに渡された(電子ファイル管理装置501から出力された)ドキュメント(ポータブルドキュメント)へのアクセス制御とを統一することができる。
また、管理者はACL12としてアクセス権限の制限を設定し、ドキュメント11とACL12とをドキュメント管理プログラム511に渡すよう電子ファイル管理装置501を入力装置により操作するだけで、設定したアクセス権限に応じて保護ドキュメント13をユーザに渡すよう電子ファイル管理装置501に管理させることができる。
すなわち、管理者がACL12としてアクセス権限の制限を一度設定するだけで、電子ファイル管理装置501は、表示装置や外部記録装置などへの出力をそのアクセス権限の制限により管理することができる。
さらに、上述のようにオリジナル電子ファイルへのアクセス権限を定義することで、電子ファイル管理装置501は、上記したアクセス権限の制限による管理をドキュメント11と保護ドキュメント13とに対して行うことができる。すなわち、電子ファイル管理装置501は、ACL12として設定されたアクセス権限に応じてドキュメント11又は/及び保護ドキュメント13を出力するよう管理することができる。
図1(A)及び図1(B)に示す電子ファイル管理装置501の他の例を図9で説明する。図9は、本発明の第1の実施形態に係る電子ファイル管理装置の他の例を示す図である。図1(A)及び図1(B)に示す電子ファイル管理装置501において、図9(A)及び図9(B)に示すようにオリジナルのドキュメント11−2のみを管理することもできる。
図9(A)において、ドキュメント管理プログラム21がドキュメント11−2のみを受け取って保存する際、ドキュメント管理プログラム21は、受け取ったドキュメント11−2を、直接ドキュメント管理DB23に格納する。また、図9(B)において、ドキュメント管理プログラム21は、ユーザからのドキュメント・ペアに対してではなく、ドキュメント11−2に対するアクセス要求に対してドキュメント11−2を表示装置などに出力する。この場合、ユーザの認証を行っても良いが、ACL12との比較によるユーザのread権限の判断は行わない。
次に、本発明の第2の実施形態としての電子ファイル管理装置505について、図10を参照して説明する。図10は、本発明の第2の実施形態に係る電子ファイル管理装置を示す図である。
この第2の実施形態は、ドキュメント管理プログラム21が、第1の実施形態でドキュメント管理DB23にドキュメント11と保護ドキュメント13(ドキュメント・ペア)をACL12に関連付けて格納していたのに替えて、保護ドキュメント13を格納し、ドキュメント11を破棄するものである。
すなわち、第1の実施形態のようにドキュメント11を残しておくと、そのドキュメント11にアクセス可能なユーザがプロテクトされていないドキュメント11を流通させてしまう可能性がある。そのようなことが心配される環境では、この第2の実施形態とすることで保護ドキュメント13を好適に管理することができる。
この第2の実施形態の電子ファイル管理装置505は、物理的な構成は上述した第1の実施形態と同様であり、図10に示すように、ドキュメント管理プログラム51と、ドキュメント保護プログラム22と、ドキュメント管理DB23と、をHDDなどの記憶部(不図示)に備えてなる。
上述した第1の実施形態と同様のものについては同じ符号とし、説明を省略する。
また、ドキュメント保護プログラム22がドキュメント11から保護ドキュメント13を生成する動作や、ユーザからのアクセスにより出力された保護ドキュメント13を復号してプリンタにより印刷する際のシステムや動作も、図3、図5から図8を用いて上述したものと同様であってよい。
この第2の実施形態にかかる電子ファイル管理装置505における電子ファイル格納時の動作について、図10(A)を参照して説明する。
ドキュメント管理プログラム51にドキュメント11とACL12を渡し、ユーザが入力装置から格納するよう操作すると、ドキュメント管理プログラム51は、受け取ったドキュメント11とACL12とをドキュメント保護プログラム511に渡して保護ドキュメント13を受け取る。すなわち、上述のようにドキュメント保護プログラム511に保護ドキュメント13を生成させる。
生成された保護ドキュメント13を受け取ると、ドキュメント管理プログラム51は、受け取った保護ドキュメント13をドキュメント管理DB23に格納し、ドキュメント11とACL12とは破棄する。
この第2の実施形態にかかる電子ファイル管理装置505が、管理しているドキュメントに対してユーザからアクセス要求を受けた時の動作について、図10(B)を参照して説明する。
ドキュメント管理プログラム51はドキュメントに対するアクセス要求を受けると、ドキュメント管理DB23に格納している保護ドキュメント13を返す。すなわち、電子ファイル管理装置505から上述のように表示装置などに出力する。
本実施形態では、ドキュメント11は破棄され、保護ドキュメント13はユーザによって読み出された後、ACL12に従ってアクセス制御されるため、ドキュメント管理プログラム51でアクセス制御を行う必要はない。
しかし、保護ドキュメント13を取得されると暗号を解読されて内容にアクセスされる可能性もあるため、その可能性を少しでも減らすために、上述した第1の実施形態と同様に、ドキュメント管理プログラム51が保護ドキュメント13をドキュメント管理DB23に格納する際、保護ドキュメント13にACL12を関連付けて格納(ACL12を付与して管理)し、そのACL12に基づいてアクセス制御を行うようにしてもよい。すなわち、上記したドキュメント11を破棄する際に、ドキュメント管理プログラム51はACL12を破棄せず、保護ドキュメント13に関連付けてドキュメント管理DB23に格納することとしてもよい。
このようにアクセス制御を行うことで、ドキュメント管理プログラム51により管理・格納されているドキュメントに対するアクセス制御(アクセス権限の制限)と、ユーザに渡された(電子ファイル管理装置505から出力された)ドキュメント(ポータブルドキュメント)へのアクセス制御とを統一することができる。
本実施形態によれば、暗号化されていないドキュメント11を破棄することにより、管理しているドキュメントをより確実に保護することができる。
図10(A)及び図10(B)に示す電子ファイル管理装置505の他の例を図11で説明する。図11は、本発明の第2の実施形態に係る電子ファイル管理装置の他の例を示す図である。図10(A)及び図10(B)に示す電子ファイル管理装置505−2において、図11(A)及び図11(B)に示すようにオリジナルのドキュメント11−2のみを管理することもできる。
図11(A)において、ドキュメント管理プログラム51がドキュメント11−2のみを受け取って保存する際、ドキュメント管理プログラム51は、受け取ったドキュメント11−2を、直接ドキュメント管理DB23に格納する。また、図11(B)において、ドキュメント管理プログラム51は、ユーザからのドキュメント・ペアに対してではなく、ドキュメント11−2に対するアクセス要求に対してドキュメント11−2を表示装置などに出力する。
次に、第2の実施形態に係るドキュメント管理プログラム51によって実現される機能構成について図12で説明する。図12は、第2の実施形態に係るドキュメント管理プログラムによって実現される機能構成を示す図である。
図12において、図4に示すドキュメント管理プログラム21とは異なり、こちらはオリジナルのドキュメント11はドキュメント管理DB13で管理しない実施例である。ドキュメント管理プログラム51によって、少なくとも、ドキュメント保管要求受付部51aと、ドキュメント保管部51bと、保護ドキュメント取得部51cと、ドキュメント参照要求受付部51dと、ドキュメント取得部51eとが機能として構成される。
ドキュメント保管要求受付部51aは、ドキュメント保管部51bにドキュメント11を渡さず、ACL12のみを渡してドキュメントIDを取得しておく。図12に示すドキュメント管理プログラム51では、ACL12のみが設定された空のドキュメントエリア13−2をドキュメント管理DB23に作成しておいて、後からその空のドキュメントエリア13−2に保護ドキュメント13を格納する例を示している。
保護ドキュメント取得部51cと、ドキュメント参照要求受付部51dと、ドキュメント取得部51eとは、図4に示す保護ドキュメント取得部21cと、ドキュメント参照要求受付部21dと、ドキュメント取得部21eと同様の動作を行うため、その説明を省略する。
もちろん、空のドキュメントエリア13−2を先に作らず、保護ドキュメント13を作成してからドキュメントエリア13−2を確保して格納するようにしても良い。
この例の場合、ドキュメント管理プログラム51は保護ドキュメント13のみを管理するプログラムとなるため、ドキュメント保護プログラム511と同じコンピュータで稼動させるのが現実的である。
次に、本発明の第3の実施形態としての電子ファイル管理装置61について、図13で説明する。
この第3の実施形態は、ドキュメント管理プログラムが、第1の実施形態でドキュメント保護プログラム511に保護ドキュメント13を生成させて、ドキュメント管理DB23にドキュメント11と保護ドキュメント13(ドキュメント・ペア)をACL12に関連付けて格納していたのに替えて、ドキュメント11をACL12に関連付けてそのまま格納し、ユーザからアクセス要求を受けた際にドキュメント保護プログラム511に保護ドキュメント13を生成させて上述のように出力するものである。
すなわち、第1の実施形態のような管理を行う場合、保護ドキュメント13を保存しておく分だけディスク領域を多く必要とすることになる。そこで、この第3の実施形態は、ドキュメントへのアクセスがユーザから要求されたときに動的に保護ドキュメント13を作成することで、余分なディスク領域を使用せずにすむ好適な管理を行うことができる。
図13は、第3の実施形態の電子ファイル管理装置の例を示す図である。図13において、この第3の実施形態の電子ファイル管理装置506は、物理的な構成は上述した第1の実施形態と同様であり、ドキュメント管理プログラム61と、ドキュメント保護プログラム511と、ドキュメント管理DB23と、をHDDなどの記憶部(不図示)に備えてなる。上述した第1の実施形態と同様のものについては同じ符号とし、説明を省略する。
また、ドキュメント保護プログラム511がドキュメント11から保護ドキュメント13を生成する動作や、ユーザからのアクセスにより出力された保護ドキュ
メント13を復号してプリンタ503により印刷する際のシステムや動作も、図3、図5から図8を用いて上述したものと同様であってよい。
この第3の実施形態にかかる電子ファイル管理装置506における電子ファイル格納時の動作について、図13(A)を参照して説明する。
ドキュメント管理プログラム61にドキュメント11とACL12を渡し、ユーザが入力装置から格納するよう操作すると、ドキュメント管理プログラム61は、受け取ったドキュメント11にACL12を付与してドキュメント管理DB23に格納する。
この第3の実施形態にかかる電子ファイル管理装置506が、管理しているドキュメントに対してユーザからアクセス要求を受けた時の動作について、図8(B)を参照して説明する。
ドキュメント管理プログラム61は、ドキュメントに対するアクセス要求を受けるとユーザ認証を行い、ドキュメント11に付与されているACL12に基づいてそのユーザにアクセス権限があるかどうか確認する。そのユーザにアクセス権限がある場合、ドキュメント管理プログラム61は、ドキュメント管理DB23から指定されたドキュメント11とACL12を取り出し、ドキュメント保護プログラム511に渡して保護ドキュメント13を上述のように生成させて受け取り、その生成された保護ドキュメント13をドキュメント管理プログラム61への呼び出し側へ返す。すなわち、電子ファイル管理装置506から上述のように表示装置などに出力する。
なお、この第3の実施形態においても、上述した第1の実施形態と同様に、ACL12のAccess typeとして例えばGetOriginal(オリジナル電子ファイルへのアクセス権限)を定義し、電子ファイル管理装置506がユーザ認証を行うことで、GetOriginalのアクセス権限が認められているユーザに対して、保護ドキュメント13ではなく、ドキュメント11を返す(要求に応じて出力する)ようにしてもよい。
図13(A)及び図13(B)に示す電子ファイル管理装置506の他の例を図14で説明する。図14は、本発明の第3の実施形態に係る電子ファイル管理装置の他の例を示す図である。図14(A)及び図14(B)に示す電子ファイル管理装置506−2において、オリジナルのドキュメント11−2のみを管理するようにすることもできる。
図14(A)において、ドキュメント管理プログラム61がドキュメント11−2のみを受け取って保存する際、ドキュメント管理プログラム61は、受け取ったドキュメント11−2を、直接ドキュメント管理DB23に格納する。また、図14(B)において、ドキュメント管理プログラム61は、ユーザからのドキュメント・ペアに対してではなく、ドキュメント11−2に対するアクセス要求に対してドキュメント11−2を表示装置などに出力する。この場合、ユーザの認証を行っても良いが、ACL12との比較によるユーザのread権限の判断は行わない。
次に、第3の実施形態に係るドキュメント管理プログラム61によって実現される機能構成について図15で説明する。図15は、第3の実施形態に係るドキュメント管理プログラムによって実現される機能構成を示す図である。図中、クライアントc1及びc2は、同一クライアントであってもよい。
図15において、ドキュメント管理プログラム61は、予め保護ドキュメントを13生成しておくのではなく、ユーザからのアクセス要求があったときに動的に保護ドキュメント13を生成する。ドキュメント管理プログラム61によって、少なくとも、ドキュメント保管要求受付部61aと、ドキュメント保管部61bと、保護ドキュメント取得部61cと、ドキュメント参照要求受付部61dと、ドキュメント取得部61eとが機能として構成される。
ドキュメント保管要求受付部61aは、ドキュメント保管要求を行ったクライアントc1からドキュメント保管要求と共に、ドキュメント13、ACL12を受け取ると、そのドキュメント11とACL13をドキュメント保管部61bに渡す。
ドキュメント保管部61bは、受け取ったドキュメント11をドキュメント管理DB23に格納し、受け取ったACL12を格納したドキュメント11に設定して、そのドキュメント11を識別するドキュメントIDを返す。
そして、ドキュメント保管要求受付部61aは、ドキュメントIDをドキュメント保管要求を行ったクライアントc1に返す。
ドキュメント参照要求受付部61dは、ドキュメント参照要求を行ったクライアントc1からドキュメント参照要求とともにドキュメントIDを受け取ると、ドキュメント取得部61eにドキュメントIDを渡す。
ドキュメント取得部61eは、受け取ったドキュメントIDに該当するドキュメント11に付与されているACL12を参照し、アクセスを要求しているユーザに参照する権限があるかどうか確認する。権限がある場合には、ドキュメントIDに該当するドキュメント11をドキュメント管理DB23から取得する。取得したドキュメント11とACL12を保護ドキュメント取得部61cに渡す。
保護ドキュメント取得部61cは受け取ったドキュメント11とACL12をドキュメント保護プログラム511に渡して保護ドキュメント13を取得して保護ドキュメント取得部61cに返す。
保護ドキュメント取得部61cは、受け取った保護ドキュメント13をドキュメント取得部61cに渡す。ドキュメント取得部61eは、受け取った保護ドキュメント13をドキュメント参照要求受付部61dに渡す。
ドキュメント参照要求受付部61dは、受け取った保護ドキュメント13をドキュメント参照要求を行ったクライアントc2に返す。
参照する権限がないユーザは、結局、保護ドキュメント13にアクセスできないのだから権限を確認せずに誰にでも保護ドキュメント13を取得して渡すようにしても良い。ただし、暗号化されているとはいえ、保護ドキュメント13を渡してしまうことは暗号を力ずくで解読するチャンスを与えることになるため、上記のようにアクセス権のないユーザには保護ドキュメントすらアクセスさせないようにするのは意味がある。
本実施形態によれば、ドキュメント管理プログラム61により管理・格納されているドキュメントに対するアクセス制御(アクセス権限の制限)と、ユーザに渡された(装置本体6aから出力された)ドキュメント(ポータブルドキュメント)へのアクセス制御とを統一することができる。
また、使用するディスク領域を保護ドキュメント13の分だけ小さくすることができるため、ディスク容量が比較的小さい場合であっても好適な管理ができるようになる。
次に、本発明の第4の実施形態としての電子ファイル管理装置507について、図16を参照して説明する。図16は、本発明の第4の実施形態に係る電子ファイル管理装置を示す図である。
この第4の実施形態における電子ファイル管理装置507では、ドキュメント管理プログラム71が、第1の実施形態でドキュメント保護プログラム511に保護ドキュメント13を生成させて、ドキュメント管理DB23にドキュメント11と保護ドキュメント13(ドキュメント・ペア)をACL12に関連付けて格納していたのに対し、予めドキュメント保護プログラム511に保護ドキュメント13を生成させて保存し、ドキュメント管理DB23にドキュメント11と保護ドキュメント13(ドキュメント・ペア)とをACL12に関連付けて格納する。
すなわち、電子ファイル管理装置507が内部でドキュメント保護プログラム511を実行するのは、処理のパフォーマンス面から難しくなることも考えられる。そのような場合であっても、あらかじめドキュメント保護プログラム511によってプロテクトした保護ドキュメント13をドキュメント管理プログラム71により保存することで、ドキュメント11と保護ドキュメント13を適切に管理することができるようにするものである。
この第4の実施形態の電子ファイル管理装置507は、物理的な構成は上述した第1の実施形態と同様であり、図16に示すように、ドキュメント管理プログラム71と、ドキュメント保護プログラム511と、ドキュメント管理DB23と、をHDDなどの記憶部(不図示)に備えてなる。
上述した第1の実施形態と同様のものについては同じ符号とし、説明を省略する。
また、ドキュメント保護プログラム22がドキュメント11から保護ドキュメント13を生成する動作や、ユーザからのアクセスにより出力された保護ドキュメント13を復号してプリンタにより印刷する際のシステムや動作も、図3、図5から図8を用いて上述したものと同様であってよい。
この第4の実施形態にかかる電子ファイル管理装置507における電子ファイル格納時の動作について、図16(A)を参照して説明する。
ユーザはまず、ドキュメント保護プログラム511にドキュメント11とACL12とを渡して保護ドキュメント13を生成させる。
ドキュメント管理プログラム71にドキュメント11とACL12と生成された保護ドキュメント13とを渡し、ユーザが入力装置から格納するよう操作すると、ドキュメント管理プログラム71は、受け取ったドキュメント11と保護ドキュメント13(ドキュメント・ペア)をドキュメント管理DB23に格納し、受け取ったACL12を付与して管理する。
この第4の実施形態にかかる電子ファイル管理装置507が、管理しているドキュメントに対してユーザからアクセス要求を受けた時の動作について、図16(B)を参照して説明する。
ドキュメント管理プログラム71は、ドキュメント・ペアに対するアクセス要求を受けるとユーザ認証を行い、ドキュメント・ペアに付与されているACL12に基づいてアクセス権限があるかどうかを確認する。アクセス権限がある場合には、ドキュメント管理DB23に格納している保護ドキュメント13を返す。すなわち、電子ファイル管理装置507から上述のように表示装置などに出力する。
なお、この第4の実施形態においても、上述した第1の実施形態と同様に、ACL12のAccess typeとして例えばGetOriginal(オリジナル電子ファイルへのアクセス権限)を定義し、電子ファイル管理装置7がユーザ認証を行うことで、GetOriginalのアクセス権限が認められているユーザに対して、保護ドキュメント13ではなく、ドキュメント11を返す(要求に応じて出力する)ようにしてもよい。
また、この第4の実施形態では、ドキュメント保護プログラム511は電子ファイル管理装置507に替えて、他の装置に実装されていてもよい。この場合、ドキュメント保護プログラム511が実装された装置でドキュメント11から保護ドキュメント13を生成し、その生成を行った装置からネットワークや情報記録媒体などにより電子ファイル管理装置507にドキュメント11と、保護ドキュメント13と、ACL12とを渡すこととなる。
また、ドキュメント管理プログラム71への保存の際にドキュメント11と保護ドキュメント13を両方渡すのではなく、保護ドキュメント13のみを渡してドキュメント11を破棄するようにしてもよい。この場合、ユーザからのアクセス要求を受けた際には、上述した第2の実施形態と同様の動作となる。
本実施形態によれば、ドキュメント管理プログラム71により管理・格納されているドキュメントに対するアクセス制御(アクセス権限の制限)と、ユーザに渡された(電子ファイル管理装置507から出力された)ドキュメント(ポータブルドキュメント)へのアクセス制御とを統一することができる。
また、ドキュメント保護プログラム511による保護ドキュメント13の生成を、電子ファイル管理装置507における他の重い処理と同時にならないよう行うことができるため、電子ファイル管理装置507の処理能力が比較的低い場合であっても保護ドキュメント13の生成などの処理を適切に行うことができる。
また、ドキュメント保護プログラム511による保護ドキュメント13の生成を他の装置で行うことにより、生成などの処理にかかる負担を効果的に分散させることができる。このことにより、電子ファイル管理装置507や上記他の装置の処理能力が比較的低い場合であっても、保護ドキュメント13の生成などの処理を適切に行うことができる。
図16(A)及び図16(B)に示す電子ファイル管理装置507の他の例を図17で説明する。図17は、本発明の第4の実施形態に係る電子ファイル管理装置の他の例を示す図である。図17(A)及び図17(B)に示す電子ファイル管理装置507−2において、オリジナルのドキュメント11−2のみを管理するようにすることもできる。
図17(A)において、ドキュメント管理プログラム71がドキュメント11−2のみを受け取って保存する際、ドキュメント管理プログラム71は、受け取ったドキュメント11−2を、直接ドキュメント管理DB23に格納する。また、図14(B)において、ドキュメント管理プログラム71は、ユーザからのドキュメント・ペアに対してではなく、ドキュメント11−2に対するアクセス要求に対してドキュメント11−2を表示装置などに出力する。この場合、ユーザの認証を行っても良いが、ACL12との比較によるユーザのread権限の判断は行わない。
次に、第4の実施形態に係るドキュメント管理プログラム71によって実現される機能構成について図18で説明する。図18は、第4の実施形態に係るドキュメント管理プログラムによって実現される機能構成を示す図である。図中、クライアントc1−2及びc2は、同一クライアントであってもよい。
図18において、ドキュメント管理プログラム71によって、少なくとも、ドキュメント保管要求受付部71aと、ドキュメント保管部71bと、ドキュメント参照要求受付部71dと、ドキュメント取得部71eとが機能として構成される。
また、ドキュメント管理プログラム71の外部で保護ドキュメント13を作成してから保管する仕組みの場合、ドキュメント保管要求を行うクライアントc1−2は、ドキュメント保管要求部71fと、保護ドキュメント取得部71gとを有する。
ドキュメント保管要求部71fは、保護ドキュメント取得部71gにドキュメント11とACL12とを渡す。保護ドキュメント取得部71gは受け取ったドキュメント11とACL12をドキュメント保護プログラム511に渡して保護ドキュメント13を取得し、その保護ドキュメント13をドキュメント保管要求部71fに返す。
ドキュメント保管要求部71fは、ドキュメント保管要求を行うクライアントc1−2として、ドキュメント管理プログラム71にドキュメント保管要求とともにドキュメント11と、保護ドキュメント13と、ACL12とを渡す。
ドキュメント管理プログラム71のドキュメント保管要求受付部71aは、ドキュメント保管要求を行ったクライアントc1−2からドキュメント保管要求とともにドキュメント11と、保護ドキュメント13と、ACL12とを受け取ると、それらをドキュメント保管部71bに渡す。
ドキュメント保管部71bは、受け取ったドキュメント11と保護ドキュメントとをドキュメント・ペアとしてドキュメント管理DB23に格納し、そのドキュメント・ペアに受け取ったACL12を付与する。ドキュメント・ペアの識別子をドキュメントIDとしてドキュメント保管要求受付部71aに返す。
ドキュメント保管要求受付部71aは、ドキュメントIDをドキュメント保管要求をしたクライアントc1−2に返す。
ドキュメント管理プログラム71において、ドキュメント参照要求を行うクライアントc2からドキュメント参照要求を受け取ったときの流れは図4と同様であるので、説明を省略する。
次に、上述した各実施形態で、印刷用端末503に接続されたプリンタ502から機密印刷にて出力させる場合について説明する。
先ず、上記各実施形態において適用されるプリンタが備えるセキュリティ機能の一部を図19で説明する。図19は、プリンタが備えるセキュリティ機能の例を示す図である。
図19において、まず、印刷要件としてPACが設定されている場合のドキュメント印刷プログラム521の動作について説明する。PACが設定されている場合のドキュメント印刷プログラム521の動作を図20に示す。
(1)ドキュメント印刷プログラム521はPACが設定されているドキュメントファイルを印刷する際には、図21に示すように、プリントダイアログ558を表示させた後に個人識別番号(Personal Identification Number:PIN)を入力するPIN入力ダイアログ559を印刷用端末503の表示装置に表示させ、ユーザにPINの入力を要求する。
(2)印刷用端末502の入力装置を用いてユーザがPINを入力すると、ドキュメント印刷プログラム521は、これをプリンタドライバ503bに設定し、印刷を指示する。
プリンタドライバ503bは、ドキュメントからPostscriptPDL(Page Description Language)で記述された印刷データ(PDLデータ)を生成し、印刷部数や出力トレイなどの印刷ジョブ情報を記述したPJL(Print Job Language)データをPDLデータの先頭に付加する。プリンタドライバ503bはさらにPJLデータの一部としてPINを付加し、そのPJLデータ付きPDLデータをプリントエンジン503aに送る。
プリンタ503は、PJLデータ付きPDLデータを受け取るとPJLデータの内容を参照し、機密印刷用のPINが含まれている場合は印刷出力せずにプリンタ503内部の記憶装置(HDDなど)にPJLデータ付きPDLデータを保存する。ユーザがPINをプリンタ503のオペレーションパネルを介して入力すると、プリンタ503は入力されたPINをPJLデータに含まれるPINと照合し、一致すればPJLデータに含まれていた印刷ジョブ条件(部数、トレイなど)を適用しながらPDLデータに従って印刷出力する。
(3)プリンタドライバ503bにPINが設定できない、すなわち、プリンタ3
3が機密印刷をサポートしていない場合には、機密印刷をサポートしている別の
プリンタを選択するようにユーザに通知し、ドキュメントを印刷せずに処理を終
了する。
このようにすることで、印刷実行後、プリンタ503のオペレーションパネルにおいて印刷実行前に入力したものと同一のPINが入力されるまでドキュメントのプリントアウトがプリンタ503から出力されなくなる。このため、ドキュメントのプリントアウトがプリンタ503に不用意に放置されることがなくなり、プリントアウトによるドキュメントの漏洩を防止することが可能となる。
さらに、ネットワーク上を流れるプリントデータを盗聴されないようにプリンタ503とやりとりをSSLで保護してもよい。
また、ドキュメント印刷プログラム521をWindows(登録商標)Domainのユーザ管理と連動させて、ユーザに対してPINの入力を要求しないようにしてもよい。例えば、PINをユーザに入力させるのではなく、Windows(登録商標)Domainから現在ログオン中のユーザIDを取得し、プリントデータとともにユーザIDをプリンタ503へ送付するようにする。プリンタ503は、オペレーションパネルでユーザからのパスワード入力を受け、そのユーザIDとパスワードとでWindows(登録商標)Domainのユーザ認証機構を用いてユーザ認証を行い、成功すればプリントアウトするようにしても良い。Windows(登録商標)Domainに限定されず、予め導入されているユーザ管理と連動させることで、ユーザにとって面倒なPIN入力の手間を削減できる。
次に、印刷要件としてEBCが設定されている場合のドキュメント印刷プログラム521の動作について説明する。
(1)ドキュメント印刷プログラム521は、EBCが設定されているドキュメントを印刷する際にドキュメントIDを示すバーコード画像データ(又は、二次元コード)のデータを生成する。
(2)ドキュメント印刷プログラム521は、生成したバーコード画像データをスタンプ画像としてプリンタドライバ503bにセットし、プリンタ503に印刷を指示する。
(3)プリンタドライバ503bにEBCが設定できない、すなわち、プリンタ503がスタンプ機能をサポートしていない場合は、スタンプ機能をサポートしている他のプリンタを選択するようにユーザに通知し、印刷を行わずに処理を終了する。
このようにすることで、ドキュメントのプリントアウトの各ページにはバーコードが印刷されるため、このバーコードを識別できる複写機、ファックス、スキャナのみがバーコードをデコードすることでドキュメントIDを取得し、そのドキュメントIDを基にアクセスコントロールサーバ504が、ハードコピー、画像読み取り、ファックス送信などが許可されているか否かを判断することが可能となる。これにより、紙文書まで一貫したセキュリティ確保が可能となる。
次に、印刷要件としてBDPが設定されている場合のドキュメント印刷プログラム521の動作について説明する。
(1)ドキュメント印刷プログラム521は、BDPが設定されているドキュメントを印刷する際に、印刷を要求しているユーザ名と印刷日時とを文字列として取得する(例えば、Ichiro,2002/08/04 23:47:10)。
(2)ドキュメント印刷プログラム521は、ドキュメントのプリントアウトを複写機で複写した際に、生成した文字列が浮き上がるように地紋画像を生成する。
(3)ドキュメント印刷プログラム521は、生成した地紋画像をスタンプとしてプリンタドライバ503bにセットし、プリンタ503にドキュメントの印刷を指示する。
(4)プリンタドライバ503bにBDPが設定できない場合、すなわちプリンタ503が地紋印刷をサポートしていない場合には、地紋印刷をサポートしている別のプリンタを選択するようにユーザに通知し、印刷を行わずに処理を終了する。
このようにすることで、ドキュメントのプリントアウトの各ページには、印刷処理を実行したユーザ名と日時とが浮き出る地紋として印刷され、プリントアウトを複写機やスキャナ、ファックスで処理すると文字列が浮き出ることとなる。これ、EBCをサポートしていない複写機をしようとする場合などに有効であり、ドキュメントのプリントアウトを複写することによる情報漏洩に対して抑止力を有する。
次に、印刷要件としてSLSが設定されている場合のドキュメント印刷プログラム521の動作について説明する。
(1)ドキュメント印刷プログラム521は、SLSが設定されているドキュメントファイルを印刷する際に、予め用意された画像のうち、そのドキュメントの機密レベルに応じたもの(Top Secretならば「極秘」のマークなど)を選択する。
(2)選択した画像のデータを、スタンプとしてプリンタドライバ503bにセットし、プリンタ503に印刷を指示する。
(3)プリンタドライバ503bにSLSをセットできない場合、すなわち、プリンタ503がSLSをサポートしていない場合には、ラベルスタンプをサポートしている別のプリンタを選択するようにユーザに通知し、印刷を行わずに処理を終了する。
このようにすることで、ドキュメントファイルのプリントアウトには、自動的に「極秘」や「マル秘」がスタンプとして印刷されるため、ドキュメントが機密文書であることが明らかとなる。すなわち、プリントアウトを所持する者に管理上の注意を喚起することができる。
上記の各例は、あくまでも印刷要件の一例であり、改ざん防止用の電子透かしを印刷するようにしたり、保護されているドキュメントは特殊な用紙に印刷する(印刷に使用する用紙トレイを特殊用紙のトレイに限定する)ようにしてもよい。
このように、プリンタ503がサポートする様々なセキュリティ機能を利用してセキュリティポリシーを設定することによって、プリンタ503のセキュリティ機能を無駄なく活用して、プリントアウトに至るまで一貫したセキュリティの確保が可能となる。これは上述した各実施形態のシステム構成においても同様である。
上記各実施例において共通のユーザにて提供される画面について図22から図26で説明する。
図22は、電子ファイル管理装置にアクセスした際に表示される画面例を示す図である。図22において、例えば、管理者としてのユーザが、ユーザが利用しているクライアントの画面550に表示される文書管理551を選択すると、ユーザを認証するためのダイアログ552が表示される。画面552のユーザ名及びパスワードの入力域553に、ユーザがユーザ名及びパスワードを入力し、認証を実行するためにOKボタン554をクリックすると、電子ファイル管理装置511にてユーザの認証が行われる。一方、ユーザがキャンセルボタン555をクリックすると、電子ファイル管理装置511へのアクセスがキャンセルされる。
ユーザの認証に成功すると、次のように電子ファイル管理装置501にて管理されているドキュメントの一覧を、例えば、図23に示すように表示する。図23は、電子ファイル管理装置にて管理されるドキュメントの一覧を表示する画面例を示す図である。
図23において、画面560は、ユーザの認証が成功した場合に表示される場面であって、電子ファイル管理装置501にて管理されるドキュメントの一覧を表示する。
ドキュメントの一覧として、フォルダ1、フォルダ2、フォルダ3、及びフォルダ4、文書01、文書02、及び文書03とが表示される。フォルダ1から4は、例えば、フォルダの形状を示すアイコンで表示され、文書01から03は、例えば、サムネイルで表示される。
例えば、ユーザが文書02を選択すると、ドキュメント参照要求が電子ファイル管理装置501に送信され、文書02に対するアクセス権が確認される。参照権限がある場合には、文書02の保護ドキュメントだけをクライアントに提示する。
図24は、保護ドキュメントが提示されている画面例を示す図である。図24において、画面570では、文書02として文書02の保護ドキュメントが提供されることがアイコン571によって示される。例えば、アイコン571は、PDFファイルを示しており、有効の状態で表示されることによって、文書02の保護ドキュメントしかアクセスできないことを示す。
文書02を示すサムネイル572では、例えば、左端にオリジナルのドキュメントがMS Word(登録商標)のファイル形式を示すアイコン573が表示される。
クライアント側では文書02の保護ドキュメントを開くために、ダイアログ574を表示して、再度ユーザ認証が求められる、先のユーザ認証で入力されたものを自動的に使用するようにしても良い。
ダイアログ574に設定された認証情報による認証が生協すると、例えば、図25に示されるような画面が表示される。図25は、保護ドキュメントが開かれた状態を示す図である。
図25において、画面580は、文書02の保護ドキュメントに対するユーザ認証が成功し、かつ、保護ドキュメントを開く権限があった場合に、開かれた保護ドキュメントを表示する。
そして、ユーザは、文書02の保護ドキュメントの内容を参照することができ、更に、印刷権限があればこの保護ドキュメントを印刷することができる。つまり、ユーザが印刷するためのアイコン581をクリックすると、印刷権限がこのユーザにあるか否かが確認され、規定されているこの文書02に対するセキュリティの要件を満たすように処理が行われ印刷される。
一方、図24に示す画面570において、ユーザがオリジナルの文書02を参照する場合について図26で説明する。図26は、ユーザにオリジナル参照権限が与えられていない場合の画面例を示す図である。
図26において、ユーザがアイコン575をクリックすることによって、オリジナルの文書02にアクセスしようとすると、ユーザにオリジナルの文書02にアクセスする権限があるか否かが判断される。ユーザにオリジナルの文書02を参照する権限がない場合には、「セキュリティポリシーによるオリジナル参照権限が与えられていません。」等のメッセージを示すダイアログ576が表示される。従って、ユーザは、オリジナルの文書02を参照することができない。
なお、上述した各実施形態は、本発明の好適な実施形態であり、本発明の主旨を逸脱しない範囲内において、種々変形して実施することが可能である。
例えば、上述した各実施形態で用いられる各種ドキュメント(電子ファイル)の内容は、文書に限定されず、例えば画像を含めた文書ファイルや画像ファイルなどであってもよい。
また、本発明に係る電子ファイル管理装置が入力装置と表示装置とを備えることとしているが、この構成に限定されず、例えば、ネットワークを介して接続されたユーザ端末により電子ファイル管理装置がユーザからの入力を受けたり、ネットワークを介して接続された表示装置や外部記録装置に電子ファイル管理装置から出力したりしてもよい。
また、プリンタを電子ファイル管理装置や印刷用端末に接続して出力に用いる場合、ネットワークを介して接続されたものであっても、電子ファイル管理装置や印刷用端末と一体化されたものであってもよい。
また、格納装置が複数ある場合、ACLなどが付与されていることを確認できるのであれば(例えば、上述のように関連付けて格納する、など)、ドキュメント・ペアのそれぞれやACLを異なる格納部に格納してもよい。
また、以上に、ドキュメント保護プログラムとしてユーザベース・アクセス制御モデルのものを利用した場合の実施形態について説明したが、アクセス権限を管理するための情報を設定して電子ファイルの管理を行うことができれば本発明はこのものに限定されない。例えば、ポリシーベース・アクセス制御モデルのドキュメント保護プログラムを利用した場合には、ACLではなくポリシーに従ってアクセスが制御されるだけで基本的には同じ仕組みとして本発明は同様に適用可能である。
本発明の第1の実施形態に係る電子ファイル管理装置を示す図である。 ACLの構成例を示す図である。 ドキュメント保護・印刷システムの構成を示す図である。 第1の実施形態に係るドキュメント管理プログラムによって実現される機能構成を示す図である。 ドキュメント保護プログラムの動作を示す図である。 ACLデータベースに記録される情報の構造例を示す図である。 ドキュメント印刷プログラム及びアクセスコントロールサーバの動作の流れを示す図である。 アクセスコントロールへのSOAPによる問い合わせの例を示す図である。 本発明の第1の実施形態に係る電子ファイル管理装置の他の例を示す図である。 本発明の第2の実施形態に係る電子ファイル管理装置を示す図である。 本発明の第2の実施形態に係る電子ファイル管理装置の他の例を示す図である。 第2の実施形態に係るドキュメント管理プログラムによって実現される機能構成を示す図である。 第3の実施形態の電子ファイル管理装置の例を示す図である。 本発明の第3の実施形態に係る電子ファイル管理装置の他の例を示す図である。 第3の実施形態に係るドキュメント管理プログラムによって実現される機能構成を示す図である。 本発明の第4の実施形態に係る電子ファイル管理装置を示す図である。 本発明の第4の実施形態に係る電子ファイル管理装置の他の例を示す図である。 第4の実施形態に係るドキュメント管理プログラムによって実現される機能構成を示す図である。 プリンタが備えるセキュリティ機能の例を示す図である。 PACが設定されたドキュメントを印刷する際の処理を示す図である。 PIN入力のダイアログを示す図である。 電子ファイル管理装置にアクセスした際に表示される画面例を示す図である。 電子ファイル管理装置にて管理されるドキュメントの一覧を表示する画面例を示す図である。 保護ドキュメントが提示されている画面例を示す図である。 保護ドキュメントが開かれた状態を示す図である。 ユーザにオリジナル参照権限が与えられていない場合の画面例を示す図である。
符号の説明
11 ドキュメント
12 ACL
13 保護ドキュメント
21 ドキュメント管理プログラム
23 ドキュメント管理DB
501 電子ファイル管理装置
502 印刷用端末
503 プリンタ
504 アクセスコントロールサーバ
511 ドキュメント保護プログラム
521 ドキュメント印刷プログラム
541 ユーザデータベース
542 ACLデータベース

Claims (11)

  1. 電子ファイルを格納する電子ファイル格納領域と、
    上記電子ファイルにアクセス権限情報を付加して上記電子ファイル格納領域に格納する電子ファイル管理手段と、
    上記電子ファイルへのアクセス要求に応じて、該電子ファイルを暗号化して保護した保護電子ファイルを出力する保護電子ファイル出力手段とを有することを特徴とする電子ファイル管理装置。
  2. 上記電子ファイル管理手段は、
    上記電子ファイルの格納要求を受けると、該電子ファイルを暗号化することによって保護された上記保護電子ファイルを取得して、該電子ファイルと該保護電子ファイルとを関連付けて上記電子ファイル格納領域に格納することを特徴とする請求項1記載の電子ファイル管理装置。
  3. 上記電子ファイル管理手段は、
    上記電子ファイルの格納要求を受けると、該電子ファイルを暗号化することによって保護された上記保護電子ファイルを取得して、該電子ファイルを格納する代わりに、その保護電子ファイルを上記電子ファイル格納領域に格納することを特徴とする請求項1記載の電子ファイル管理装置。
  4. 上記保護電子ファイル出力手段は、
    上記電子ファイルのアクセス要求を受けると、該電子ファイルを暗号化することによって保護された上記保護電子ファイルを取得して、その保護電子ファイルを出力することを特徴とする請求項1記載の電子ファイル管理装置。
  5. 上記電子ファイル管理手段は、
    上記電子ファイルの格納要求時に上記電子ファイルと上記保護電子ファイルとを受付けて、該電子ファイルと該保護電子ファイルとを関連付けて上記電子ファイル格納領域に格納することを特徴とする請求項1記載の電子ファイル管理装置。
  6. 上記電子ファイルを暗号化する外部手段に対して、該電子ファイルと上記アクセス権限情報とを送信することによって上記保護電子ファイルを取得して、上記電子ファイル管理手段に提供する保護電子ファイル取得手段を有することを特徴とする請求項1記載の電子ファイル管理装置。
  7. 上記保護電子ファイルは、上記アクセス権限情報に基づいて上記電子ファイルを暗号化されたことを特徴とする請求項1乃至6記載の電子ファイル管理装置。
  8. 上記保護電子ファイル出力手段は、保護前の上記電子ファイルへのアクセス要求を受けると、保護前のドキュメントのアクセス権限があるか否かを判断し、その判断結果に基づいて、該アクセスを拒否することを特徴とする請求項1乃至6記載の電子ファイル管理装置。
  9. 上記電子ファイルにアクセス権限情報を付加して電子ファイル格納領域に格納する電子ファイル管理手順と、
    上記電子ファイルへのアクセス要求に応じて、該電子ファイルを暗号化して保護した保護電子ファイルを出力する保護電子ファイル出力手順とをコンピュータに実行させることを特徴とするコンピュータ実行可能なプログラム。
  10. アクセス要求に応じて、電子ファイルをアクセス権限情報に基づいて暗号化して保護した保護電子ファイルを提供するように該電子ファイルを管理し、
    上記電子ファイルに対する処理要求に応じて上記保護電子ファイルを取得し、
    上記保護電子ファイルが復号できた場合、上記アクセス権限情報に従って、復号された該保護電子ファイルに対して該処理を制御することを特徴とするファイルアクセス制御方法。
  11. 上記電子ファイルを識別する電子ファイル識別情報と、上記保護電子ファイルを復号する鍵と、上記アクセス制御情報とを管理し、
    上記処理要求時に、該処理要求を行ったユーザを認証するユーザ認証情報、上記電子ファイル識別情報と、該処理タイプとを取得し、
    ユーザ認証が成功した場合、上記アクセス権限情報に基づいて上記処理に対する許可又は不許可を判断し、その判断結果に基づいて、上記処理への許可時に指定される処理要件と、上記鍵とを取得し、
    上記鍵によって上記保護電子ファイルを復号し、
    上記処理要件に従って上記処理を制御することを特徴とするファイルアクセス制御方法。
JP2003318475A 2002-09-13 2003-09-10 電子ファイル管理装置及びプログラム並びにファイルアクセス制御方法 Pending JP2004164604A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2003318475A JP2004164604A (ja) 2002-10-11 2003-09-10 電子ファイル管理装置及びプログラム並びにファイルアクセス制御方法
US10/661,650 US20040125402A1 (en) 2002-09-13 2003-09-15 Document printing program, document protecting program, document protecting system, document printing apparatus for printing out a document based on security policy
US12/405,101 US20090185223A1 (en) 2002-09-13 2009-03-16 Document printing program, document protecting program, document protecting system, document printing apparatus for printing out a document based on security policy

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2002299721 2002-10-11
JP2002299714 2002-10-11
JP2003318475A JP2004164604A (ja) 2002-10-11 2003-09-10 電子ファイル管理装置及びプログラム並びにファイルアクセス制御方法

Publications (1)

Publication Number Publication Date
JP2004164604A true JP2004164604A (ja) 2004-06-10

Family

ID=32830598

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003318475A Pending JP2004164604A (ja) 2002-09-13 2003-09-10 電子ファイル管理装置及びプログラム並びにファイルアクセス制御方法

Country Status (1)

Country Link
JP (1) JP2004164604A (ja)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006059366A (ja) * 2004-08-19 2006-03-02 Sap Ag データ管理の調整
JP2006072664A (ja) * 2004-09-01 2006-03-16 Nec Corp ファイル管理システム、およびファイル管理プログラム
JP2006133860A (ja) * 2004-11-02 2006-05-25 Konica Minolta Business Technologies Inc 情報処理装置及び機能実行エリア管理プログラム
WO2006059390A1 (ja) * 2004-12-03 2006-06-08 Mobile Technika Inc. 暗号システム
JP2007026109A (ja) * 2005-07-15 2007-02-01 Ricoh Co Ltd スキャナ装置およびプリンタ装置
JP2007108883A (ja) * 2005-10-11 2007-04-26 Canon Inc 情報処理方法およびその装置
JP2007265242A (ja) * 2006-03-29 2007-10-11 Fuji Xerox Co Ltd ファイルアクセス制御装置、パスワード設定装置、処理指示装置、ファイルアクセス制御方法
JP2010009621A (ja) * 2009-10-06 2010-01-14 Canon Inc 情報処理方法およびその装置
JP2010199997A (ja) * 2009-02-25 2010-09-09 Nec Corp アクセス認証システム、情報処理装置、アクセス認証方法、プログラム及び記録媒体
JP2011076378A (ja) * 2009-09-30 2011-04-14 Hitachi Solutions Ltd 文書管理システム及び文書管理方法
JP2012043292A (ja) * 2010-08-20 2012-03-01 Fujitsu Ltd ファイル管理方法、ファイル管理装置、及びファイル管理プログラム
JP2014002618A (ja) * 2012-06-19 2014-01-09 Canon Inc 画像形成装置及びその制御方法
JP2014035610A (ja) * 2012-08-08 2014-02-24 Hitachi Ltd 認証システム及び認証方法
JP2018011192A (ja) * 2016-07-13 2018-01-18 日本電信電話株式会社 暗号化機能提供システムおよび暗号化機能提供方法
US10922434B1 (en) * 2010-03-12 2021-02-16 8X8, Inc. Information security implementations with extended capabilities

Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0785007A (ja) * 1993-06-30 1995-03-31 Toshiba Corp 文書管理システム
JPH08102735A (ja) * 1994-09-30 1996-04-16 Toshiba Corp 電子文書処理方法
JPH09218827A (ja) * 1996-02-14 1997-08-19 Fuji Xerox Co Ltd 電子文書管理装置
JPH10161823A (ja) * 1996-11-27 1998-06-19 Nec Corp 印刷システム
JP2000503154A (ja) * 1996-01-11 2000-03-14 エムアールジェイ インコーポレイテッド デジタル所有権のアクセスと分配を制御するためのシステム
JP2000235569A (ja) * 1999-02-17 2000-08-29 Ntt Data Corp 電子文書の管理方法及び文書管理システム
JP2000285026A (ja) * 1999-03-31 2000-10-13 Ricoh Co Ltd 電子文書管理システム、電子文書管理方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体
JP2000293439A (ja) * 1999-04-06 2000-10-20 Fujitsu Ltd コンテンツ利用制御システム、コンテンツ利用装置およびその利用方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体
JP2000298569A (ja) * 1999-02-08 2000-10-24 Canon Inc 印刷属性情報を管理するサーバ装置及び印刷処理方法及び情報処理装置及び情報処理方法
JP2001184264A (ja) * 1999-12-16 2001-07-06 Internatl Business Mach Corp <Ibm> アクセス制御システム、アクセス制御方法、記憶媒体、及びプログラム伝送装置
JP2001209726A (ja) * 2000-11-02 2001-08-03 Fujitsu Ltd ライセンスサーバ、著作権者システム、利用者システム、システム、記録媒体およびコンテンツ利用制御方法
US6289450B1 (en) * 1999-05-28 2001-09-11 Authentica, Inc. Information security architecture for encrypting documents for remote access while maintaining access control
JP2001270198A (ja) * 2000-03-28 2001-10-02 Seiko Epson Corp 印刷データ配布システム及び印刷装置
JP2002171400A (ja) * 2000-05-10 2002-06-14 Fuji Xerox Co Ltd 画像処理装置
JP2002190947A (ja) * 2000-11-28 2002-07-05 Xerox Corp 文書偽造を防止する印刷方法

Patent Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0785007A (ja) * 1993-06-30 1995-03-31 Toshiba Corp 文書管理システム
JPH08102735A (ja) * 1994-09-30 1996-04-16 Toshiba Corp 電子文書処理方法
JP2000503154A (ja) * 1996-01-11 2000-03-14 エムアールジェイ インコーポレイテッド デジタル所有権のアクセスと分配を制御するためのシステム
JPH09218827A (ja) * 1996-02-14 1997-08-19 Fuji Xerox Co Ltd 電子文書管理装置
JPH10161823A (ja) * 1996-11-27 1998-06-19 Nec Corp 印刷システム
JP2000298569A (ja) * 1999-02-08 2000-10-24 Canon Inc 印刷属性情報を管理するサーバ装置及び印刷処理方法及び情報処理装置及び情報処理方法
JP2000235569A (ja) * 1999-02-17 2000-08-29 Ntt Data Corp 電子文書の管理方法及び文書管理システム
JP2000285026A (ja) * 1999-03-31 2000-10-13 Ricoh Co Ltd 電子文書管理システム、電子文書管理方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体
JP2000293439A (ja) * 1999-04-06 2000-10-20 Fujitsu Ltd コンテンツ利用制御システム、コンテンツ利用装置およびその利用方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体
US6289450B1 (en) * 1999-05-28 2001-09-11 Authentica, Inc. Information security architecture for encrypting documents for remote access while maintaining access control
JP2001184264A (ja) * 1999-12-16 2001-07-06 Internatl Business Mach Corp <Ibm> アクセス制御システム、アクセス制御方法、記憶媒体、及びプログラム伝送装置
JP2001270198A (ja) * 2000-03-28 2001-10-02 Seiko Epson Corp 印刷データ配布システム及び印刷装置
JP2002171400A (ja) * 2000-05-10 2002-06-14 Fuji Xerox Co Ltd 画像処理装置
JP2001209726A (ja) * 2000-11-02 2001-08-03 Fujitsu Ltd ライセンスサーバ、著作権者システム、利用者システム、システム、記録媒体およびコンテンツ利用制御方法
JP2002190947A (ja) * 2000-11-28 2002-07-05 Xerox Corp 文書偽造を防止する印刷方法

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006059366A (ja) * 2004-08-19 2006-03-02 Sap Ag データ管理の調整
JP2006072664A (ja) * 2004-09-01 2006-03-16 Nec Corp ファイル管理システム、およびファイル管理プログラム
JP4539240B2 (ja) * 2004-09-01 2010-09-08 日本電気株式会社 ファイル管理システム、およびファイル管理サーバ
JP2006133860A (ja) * 2004-11-02 2006-05-25 Konica Minolta Business Technologies Inc 情報処理装置及び機能実行エリア管理プログラム
WO2006059390A1 (ja) * 2004-12-03 2006-06-08 Mobile Technika Inc. 暗号システム
JP2007026109A (ja) * 2005-07-15 2007-02-01 Ricoh Co Ltd スキャナ装置およびプリンタ装置
JP4481914B2 (ja) * 2005-10-11 2010-06-16 キヤノン株式会社 情報処理方法およびその装置
JP2007108883A (ja) * 2005-10-11 2007-04-26 Canon Inc 情報処理方法およびその装置
JP2007265242A (ja) * 2006-03-29 2007-10-11 Fuji Xerox Co Ltd ファイルアクセス制御装置、パスワード設定装置、処理指示装置、ファイルアクセス制御方法
JP2010199997A (ja) * 2009-02-25 2010-09-09 Nec Corp アクセス認証システム、情報処理装置、アクセス認証方法、プログラム及び記録媒体
JP2011076378A (ja) * 2009-09-30 2011-04-14 Hitachi Solutions Ltd 文書管理システム及び文書管理方法
JP2010009621A (ja) * 2009-10-06 2010-01-14 Canon Inc 情報処理方法およびその装置
US10922434B1 (en) * 2010-03-12 2021-02-16 8X8, Inc. Information security implementations with extended capabilities
US11520927B1 (en) * 2010-03-12 2022-12-06 8X8, Inc. Information security implementations with extended capabilities
US11989323B1 (en) * 2010-03-12 2024-05-21 8X8, Inc. Information security implementations with extended capabilities
JP2012043292A (ja) * 2010-08-20 2012-03-01 Fujitsu Ltd ファイル管理方法、ファイル管理装置、及びファイル管理プログラム
JP2014002618A (ja) * 2012-06-19 2014-01-09 Canon Inc 画像形成装置及びその制御方法
JP2014035610A (ja) * 2012-08-08 2014-02-24 Hitachi Ltd 認証システム及び認証方法
JP2018011192A (ja) * 2016-07-13 2018-01-18 日本電信電話株式会社 暗号化機能提供システムおよび暗号化機能提供方法

Similar Documents

Publication Publication Date Title
US20040125402A1 (en) Document printing program, document protecting program, document protecting system, document printing apparatus for printing out a document based on security policy
US8564804B2 (en) Information processing apparatus that does not transmit print job data when both encryption and saving in a printing apparatus are designated, and control method and medium therefor
JP4655452B2 (ja) 情報処理装置
JP4055807B2 (ja) ドキュメント管理方法、ドキュメント管理システム、およびコンピュータプログラム
EP1536305A1 (en) Secure transmission of electronic documents
US20070115494A1 (en) Image processing system, information processing device, computer readable recording medium, and information processing method
JP2006341600A (ja) 電子文書のセキュアな印刷
JP2004152263A (ja) ドキュメント印刷装置
JP2006344212A (ja) 電子文書のセキュアな印刷
JP2006341601A (ja) 電子文書のセキュアな印刷
JP2004164604A (ja) 電子ファイル管理装置及びプログラム並びにファイルアクセス制御方法
JP4481914B2 (ja) 情報処理方法およびその装置
JP4282301B2 (ja) アクセス制御サーバ、電子データ発行ワークフロー処理方法、そのプログラム、コンピュータ装置、および記録媒体
JP4225049B2 (ja) ジョブ処理装置
US20080267402A1 (en) Image Forming Apparatus, Image Forming Method, Information Processing Apparatus and Information Processing Method
JP4719420B2 (ja) アクセス許可付与方法、アクセス許可処理方法、そのプログラム、およびコンピュータ装置
JP2004152261A (ja) ドキュメント印刷プログラム、ドキュメント保護プログラムおよびドキュメント保護システム
JP2004152262A (ja) ドキュメント印刷プログラム、ドキュメント保護プログラムおよびドキュメント保護システム
JP4396377B2 (ja) 印刷制御システム、サーバ装置
JP2008046830A (ja) 画像出力装置、電子入稿システムおよびプログラム
JP2007034493A (ja) 印刷システムおよび印刷制御方法
US9858016B2 (en) Providing device functionality utilizing authorization tokens
JP5135239B2 (ja) 画像形成システムおよびサーバ装置
JP2008181290A (ja) 文書管理システム、文書管理装置、制限情報管理装置、文書管理プログラムおよび制限情報管理プログラム
JP4396378B2 (ja) 印刷制御システム及び方法並びにサーバ装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060606

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090603

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090609

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090810

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100201

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100511