JP2019215903A - Management apparatus and processing apparatus - Google Patents
Management apparatus and processing apparatus Download PDFInfo
- Publication number
- JP2019215903A JP2019215903A JP2019145918A JP2019145918A JP2019215903A JP 2019215903 A JP2019215903 A JP 2019215903A JP 2019145918 A JP2019145918 A JP 2019145918A JP 2019145918 A JP2019145918 A JP 2019145918A JP 2019215903 A JP2019215903 A JP 2019215903A
- Authority
- JP
- Japan
- Prior art keywords
- processing device
- user
- information
- processing
- document
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Facsimiles In General (AREA)
Abstract
Description
本発明は、管理装置及び処理装置に関する。 The present invention relates to a management device and a processing device.
電子的なドキュメントは不正コピーや漏洩のリスクが紙文書より高い。そのため、電子的なドキュメントを漏洩等から保護するシステムが提案されている。 Electronic documents have a higher risk of unauthorized copying and disclosure than paper documents. Therefore, a system for protecting an electronic document from leakage or the like has been proposed.
例えば特許文献1には、出力されるデータが閲覧を許可された者のみ閲覧できるようにするシステムが開示される。このシステムでは、情報処理装置は、文書を情報表示装置へ出力するように指示されると、文書の画像を表す文書画像データを生成する。また、情報処理装は、情報表示装置のユーザ名を情報表示装置から取得し、取得したユーザ名を表示する。文書の閲覧が許可されるユーザのユーザ名が選択されると、選択されたユーザ名が文書画像データに付加され、この文書画像データが情報表示装置へ出力される。情報表示装置においては、ログインしたユーザのユーザ名が付加された文書画像データのファイル名一覧が表示される。ユーザがファイル名一覧の中から閲覧したいファイルのファイル名を選択すると、情報表示装置は、選択されたファイル名の文書画像データに従って文書の画像を表示する。 For example, Patent Literature 1 discloses a system in which output data can be viewed only by those who are permitted to view the data. In this system, when an information processing apparatus is instructed to output a document to an information display device, the information processing apparatus generates document image data representing an image of the document. The information processing device acquires the user name of the information display device from the information display device, and displays the acquired user name. When the user name of a user who is permitted to view the document is selected, the selected user name is added to the document image data, and the document image data is output to the information display device. The information display device displays a list of file names of document image data to which the user name of the logged-in user has been added. When the user selects a file name of a file to be viewed from the file name list, the information display device displays a document image according to the document image data of the selected file name.
特許文献2には、受信画像データを自動的にプレビューするための情報処理装置及び画像処理方法が開示される。 Patent Literature 2 discloses an information processing apparatus and an image processing method for automatically previewing received image data.
特許文献3には、電子データを電子ペーパーと紙の両方に簡易な操作で出力することを目指した画像形成装置が開示される。 Patent Literature 3 discloses an image forming apparatus that aims to output electronic data to both electronic paper and paper by a simple operation.
特許文献4に開示されたシステムは、まず、表示装置またはプリンタのあるコンピュータを有する複数のユーザから、文書に対する要求を固有のユーザ識別情報とともに受信する。次に、複数のユーザからの要求を著作権サーバで認証する。次に、著作権サーバは、文書サーバに対し各要求の正しい認証に作用するよう指令する。これに応答して、文書サーバは、認証された各要求に対して、独自に符号化され圧縮され暗号化された文書を作成し、認証された各要求ユーザへの文書を、ネットワークを通じて、認証された各要求ユーザの対応する表示または印刷のエージェントへ転送する。文書は、複数のユーザのそれぞれに対応して独自に符号化される。最後に、各エージェントで文書の復号および圧縮解除を行い、認証された要求ユーザによってエージェントに提供された正しい秘密鍵にのみ応答して文書を利用可能にする。 The system disclosed in Patent Document 4 first receives a request for a document together with unique user identification information from a plurality of users each having a computer having a display device or a printer. Next, the requests from the plurality of users are authenticated by the copyright server. Next, the copyright server instructs the document server to affect the correct authentication of each request. In response, the document server creates a uniquely encoded, compressed and encrypted document for each authenticated request and authenticates the document to each authenticated requesting user over the network. To the corresponding display or print agent for each requested user. The document is uniquely encoded for each of a plurality of users. Finally, each agent decrypts and decompresses the document, making the document available only in response to the correct private key provided to the agent by the authenticated requesting user.
入力されたドキュメントに対して処理を行うためには相応の処理負荷がかかる。ドキュメント処理のサービスをインターネット等を介して大規模に展開する場合、ドキュメントの処理を中央のサーバで集中的に行う構成を採用すると、中央のサーバへの処理負荷の集中やネットワークの輻輳等により処理のレスポンスが悪くなる。 To process the input document, a corresponding processing load is applied. When deploying document processing services on a large scale via the Internet, etc., adopting a configuration in which document processing is performed centrally on a central server, processing can be performed due to concentration of processing load on the central server or network congestion. Response becomes worse.
これに対し、ドキュメントの処理を担う処理装置を各顧客のオフィス等のローカルネットワークにそれぞれ設ければ、そのような処理レスポンスの問題は回避される。しかし、この場合、個々のローカルネットワークに設けられた処理装置が提供する処理の品質が問題となる。例えば必要なアップデートがなされていない処理装置で処理されたドキュメントが出回ることは、サービスの品質上好ましくない。 On the other hand, if a processing device for processing a document is provided in each local network such as an office of each customer, such a problem of processing response can be avoided. However, in this case, the quality of the processing provided by the processing device provided in each local network becomes a problem. For example, it is not preferable in terms of service quality that a document processed by a processing device for which a necessary update has not been performed is distributed.
本発明は、個々のローカルネットワーク内の処理装置によりドキュメントを処理するサービスを提供するシステムにおいて、基準を満たさない処理装置によりドキュメントが処理されることを防ぐことを目的とする。 SUMMARY OF THE INVENTION It is an object of the present invention to prevent a document from being processed by a processing device that does not satisfy a criterion in a system that provides a service for processing a document by a processing device in each local network.
請求項1に係る発明は、各ローカルネットワークにそれぞれ設けられた処理装置であって、入力されたドキュメントに対する処理を暗号化鍵を用いて実行する複数の処理装置、と共にドキュメント管理システムを構成し、前記各ローカルネットワークに接続された外部ネットワーク上に設けられた管理装置であって、前記処理装置から、前記処理装置に内蔵されたハードウエア回路のステータスであって、前記暗号化鍵に関する情報とは独立した情報であるステータスを受信する受信手段と、前記ステータスに基づき、前記処理装置に前記処理の実行を許可するか否かを制御する制御手段と、を含む管理装置である。 The invention according to claim 1 is a processing device provided in each local network, wherein the document management system is configured with a plurality of processing devices that execute processing on an input document using an encryption key, A management device provided on an external network connected to each of the local networks, and from the processing device, a status of a hardware circuit built in the processing device, wherein the information about the encryption key is The management device includes a receiving unit that receives a status, which is independent information, and a control unit that controls whether to permit the processing device to execute the process based on the status.
請求項2に係る発明は、前記処理装置の前記ステータスのうちの特定項目についての設定情報を前記処理装置に送信して追加又は更新させる送信手段、を更に含む、請求項1に記載の管理装置である。 The management device according to claim 1, wherein the management device according to claim 1, further comprising a transmission unit configured to transmit setting information about a specific item of the status of the processing device to the processing device to add or update the setting information. It is.
請求項3に係る発明は、前記送信手段が前記処理装置に送信する前記設定情報は、前記処理装置が他の装置との通信に用いるセキュリティ証明書であることを特徴とする請求項2に記載の管理装置である。 The invention according to claim 3, wherein the setting information transmitted by the transmission unit to the processing device is a security certificate used by the processing device for communication with another device. Management device.
請求項4に係る発明は、前記送信手段が前記処理装置に送信する前記設定情報は、前記処理装置が用いる前記暗号化鍵であることを特徴とする請求項2に記載の管理装置である。 The invention according to claim 4 is the management device according to claim 2, wherein the setting information transmitted by the transmission unit to the processing device is the encryption key used by the processing device.
請求項5に係る発明は、前記送信手段が前記処理装置に送信する前記設定情報は、前記処理のための更新版のプログラムであることを特徴とする請求項2に記載の管理装置である。 The invention according to claim 5 is the management apparatus according to claim 2, wherein the setting information transmitted by the transmission unit to the processing device is an updated program for the processing.
請求項6に係る発明は、各ローカルネットワークにそれぞれ設けられた処理装置であって、入力されたドキュメントに対する処理を実行する複数の処理装置、と共にドキュメント管理システムを構成し、前記各ローカルネットワークに接続された外部ネットワーク上に設けられた管理装置であって、前記処理装置から、前記処理装置に内蔵されたハードウエア回路のステータスであって、前記ハードウエア回路の名称及びバージョンのうち少なくとも1つを含む情報であるステータスを受信する受信手段と、前記ステータスに基づき、前記処理装置に前記処理の実行を許可するか否かを示す情報を出力する出力手段と、を含む管理装置である。 The invention according to claim 6 is a processing device provided in each local network, comprising a document management system together with a plurality of processing devices that execute processing on an input document, and connected to each of the local networks. And a status of a hardware circuit built in the processing device, wherein at least one of a name and a version of the hardware circuit is provided from the processing device. The management device includes a receiving unit that receives a status, which is information including the information, and an output unit that outputs information indicating whether to permit the execution of the process to the processing device based on the status.
請求項7に係る発明は、ローカルネットワークに設けられた処理装置であって、当該ローカルネットワークに接続された外部ネットワークに設けられた管理装置と共にドキュメント管理システムを構成する処理装置であって、入力されたドキュメントに対する処理を、暗号化鍵を用いて行う処理手段と、前記処理装置に内蔵されたハードウエア回路のステータスであって、前記暗号化鍵に関する情報とは独立した情報であるステータスを前記管理装置に送信する手段と、前記管理装置に送信した前記ステータスに応じて前記管理装置から許可があった場合に、前記処理手段に対して、入力されたドキュメントに対する前記処理を行うよう制御する制御手段と、を含む処理装置である。 The invention according to claim 7 is a processing device provided in a local network, the processing device constituting a document management system together with a management device provided in an external network connected to the local network, Means for performing processing on the document using the encryption key, and a status of a hardware circuit incorporated in the processing device, the status being information independent of information on the encryption key. Means for transmitting to the apparatus, and control means for controlling the processing means to perform the processing on the input document when there is permission from the management apparatus according to the status transmitted to the management apparatus. And a processing device including:
請求項8に係る発明は、ローカルネットワークに設けられた処理装置であって、当該ローカルネットワークに接続された外部ネットワークに設けられた管理装置と共にドキュメント管理システムを構成する処理装置であって、入力されたドキュメントに対する処理を、暗号化鍵を用いて行う処理手段と、前記処理装置に内蔵されたハードウエア回路のステータスであって、前記ハードウエア回路の名称及びバージョンのうち少なくとも1つを含む情報であるステータスを前記管理装置に送信する手段と、前記管理装置に送信した前記ステータスに応じて前記管理装置から許可があった場合に、前記処理手段に対して、入力されたドキュメントに対する前記処理を行うよう制御する制御手段と、を含む処理装置である。 The invention according to claim 8 is a processing device provided on a local network, which constitutes a document management system together with a management device provided on an external network connected to the local network. Processing means for performing processing on the received document using an encryption key, and information on a status of a hardware circuit built in the processing device, the information including at least one of a name and a version of the hardware circuit. Means for transmitting a certain status to the management device; and performing the process on the input document with respect to the processing means when there is permission from the management device according to the status transmitted to the management device. And a control means for performing such control.
請求項1、5−8に係る発明によれば、個々のローカルネットワークに設けられた処理装置によりドキュメントを処理するサービスを提供するシステムにおいて、基準を満たさない処理装置によりドキュメントが処理されることを防ぐことができる。 According to the first and fifth aspects of the present invention, in a system for providing a service for processing a document by a processing device provided in each local network, it is assumed that a document is processed by a processing device that does not satisfy a standard. Can be prevented.
請求項2−4に係る発明によれば、ドキュメントの品質にとって重要性が高い特定項目については、管理装置から処理装置に対して、対応する設定情報を送信することで、早急な更新を行うことができる。 According to the invention according to claim 2-4, for a specific item that is important to the quality of the document, the corresponding setting information is transmitted from the management device to the processing device, so that the update is performed immediately. Can be.
図1に、ドキュメント管理システムの一つの実施形態の概略構成を示す。 FIG. 1 shows a schematic configuration of one embodiment of a document management system.
紙の文書の場合、文書を持つ者が自由にコピーしたり他人に渡したりすることができる。また、文書を入手した者は、その文書を読むことができる。このように、紙の文書は情報漏洩を招くリスクが極めて高い。 In the case of a paper document, the person holding the document can freely copy or hand it to another person. Also, those who have obtained the document can read the document. Thus, paper documents have an extremely high risk of information leakage.
これに対して、本実施形態のドキュメント管理システムは、電子的なドキュメントをセキュアに利用できる環境を提供し、ドキュメントの情報が漏洩するリスクを下げることを目指す。ここで、ドキュメントは、1つの単位(例えば1つのファイル)として流通可能なコンテントデータであり、データの種類は特に限定されない。例えば、ドキュメントの概念には、テキストデータ、ワードプロセッサソフトで作成された文書データ、表計算ソフトで作成されたスプレッドシートデータ、CAD(Computer Aided Design)データ、画像データ、動画データ、音声データ、マルチメディアデータ、ウェブブラウザで表示されたページデータ、その他PC上で作成・編集・閲覧されプリントアウト対象となる様なデータなどが含まれる。 On the other hand, the document management system according to the present embodiment aims to provide an environment in which electronic documents can be used securely and reduce the risk of information leakage of the documents. Here, the document is content data that can be distributed as one unit (for example, one file), and the type of data is not particularly limited. For example, the concept of a document includes text data, document data created by word processing software, spreadsheet data created by spreadsheet software, CAD (Computer Aided Design) data, image data, video data, audio data, multimedia This includes data, page data displayed on a web browser, and other data created, edited, and viewed on a PC and subjected to printout.
このドキュメント管理システムは、複数のローカルシステム100とそれらローカルシステムに関する管理(特に後述する処理システムの管理)を行う管理システム200とを含む。管理システム200は、インターネット等の広域ネットワーク10を介して各ローカルシステム100と通信可能である。 The document management system includes a plurality of local systems 100 and a management system 200 that manages the local systems (particularly, a processing system described later). The management system 200 can communicate with each local system 100 via the wide area network 10 such as the Internet.
ローカルシステム100は、ローカルネットワーク108に接続された1以上の作成端末102、1以上の閲覧端末104、及び処理装置110を含む。ローカルネットワーク108は、企業等の組織内に設けられたプライベートネットワーク(例えばLANとして構成)であり、ファイアウォール等により広域ネットワーク10から保護されている。処理装置110は、基本的に、ローカルシステム100内に1つ設置される。組織内のプライベートネットワークが大規模なものである場合、プライベートネットワークを構成する個々のネットワークセグメントをそれぞれローカルシステム100とし、それら個々のローカルシステム100内に1つずつ処理装置110を設置してもよい。例えば、ある会社の部署毎の居室内のネットワークセグメントがそれぞれその部署のローカルシステム100となり、そのセグメントに1つの処理装置110が設置される。この例では、会社毎や各会社の部署毎に処理装置110を核とするローカルシステム100が形成され、それら各処理装置110が中央にある管理システム200から管理される。 The local system 100 includes one or more creating terminals 102, one or more viewing terminals 104, and a processing device 110 connected to a local network 108. The local network 108 is a private network (for example, configured as a LAN) provided in an organization such as a company, and is protected from the wide area network 10 by a firewall or the like. Basically, one processing device 110 is installed in the local system 100. When the private network in the organization is large, each network segment constituting the private network may be a local system 100, and one processing device 110 may be installed in each local system 100. . For example, a network segment in a room for each department of a certain company becomes the local system 100 of that department, and one processing device 110 is installed in that segment. In this example, a local system 100 having a processing device 110 as a core is formed for each company or each department of each company, and the processing devices 110 are managed by a central management system 200.
作成端末102は、ドキュメントを作成するために用いられる端末であり、例えばデスクトップ型又はノート型のパーソナルコンピュータ、ワークステーション、タブレット端末、スマートフォン、複合機、スキャナ、ファクシミリ装置、デジタルカメラ等がその例である。作成端末102には、ドキュメントの作成、編集等のためのアプリケーションがインストールされている。また、作成端末102には、作成したドキュメントの配信をドキュメント管理システムに依頼するためのソフトウエアがインストールされている。このソフトウエアの形態としては、後述する処理装置110と情報をやりとりするデバイスドライバとして実装、またはWebアプリによる実装、などが考えられる。 The creation terminal 102 is a terminal used for creating a document, for example, a desktop or notebook personal computer, a workstation, a tablet terminal, a smartphone, a multifunction device, a scanner, a facsimile device, a digital camera, and the like. is there. An application for creating and editing documents is installed in the creating terminal 102. Also, software for requesting the document management system to distribute the created document is installed in the creation terminal 102. As a form of this software, it is conceivable that the software is implemented as a device driver that exchanges information with the processing device 110 described later, or is implemented by a Web application.
処理装置110は、作成端末102が作成したドキュメントを、本実施形態のドキュメント管理システムが提供するセキュアな環境で用いる形態である保護済みドキュメント(以下では「eDocファイル」とも呼ぶ)へと変換するという保護処理を実行する。保護処理は、元のドキュメントをeDocへとエンコードする処理ともいえ、この意味では処理装置110は一種のエンコーダである。この保護処理では、ドキュメントを、例えば、本実施形態のシステムのために設計された専用フォーマットのデータに変換すると共に、そのドキュメントの配信先に指定されたユーザにのみ復号可能な形で暗号化する。フォーマット変換と暗号化はどちらを先に行ってもよい。 The processing device 110 converts the document created by the creating terminal 102 into a protected document (hereinafter, also referred to as an “eDoc file”) that is used in a secure environment provided by the document management system of the present embodiment. Perform protection processing. The protection process can be said to be a process of encoding an original document into an eDoc, and in this sense, the processing device 110 is a kind of encoder. In this protection processing, the document is converted into, for example, data in a special format designed for the system of the present embodiment, and is encrypted in a form that can be decrypted only by the user specified as the distribution destination of the document. . Either format conversion or encryption may be performed first.
また処理装置110は、保護済みドキュメントのメタデータを作成し、作成したメタデータを上位システムである管理システム200に登録する。メタデータは、当該保護済みドキュメントの書誌事項、配信先の情報、各配信先が保護済みドキュメントの暗号化を解除するのに用いるキーの情報等を含む。メタデータは複数の項目を含み、このサービスで提供される機能に応じて対応するデバイスやユーザからデータ付与・編集・更新が実行される。 Further, the processing device 110 creates metadata of the protected document, and registers the created metadata in the management system 200 which is a higher-level system. The metadata includes bibliographic information of the protected document, information on a distribution destination, information on a key used by each distribution destination to decrypt the protected document, and the like. The metadata includes a plurality of items, and data is assigned, edited, and updated by a corresponding device or user according to a function provided by this service.
例として、それら項目のうちの一部を、ドキュメント管理システムに対するドキュメントの登録指示を行ったユーザが指定し、別の一部は処理装置110が作成する。また、メタデータのうちの一部の項目の値を管理システム200や閲覧端末104が設定することもあり得る。また、処理装置110は、生成した保護済みドキュメント(eDocファイル)を、ユーザの指定した配信先の閲覧端末104に送信する。 As an example, some of these items are specified by the user who has issued a document registration instruction to the document management system, and another part is created by the processing device 110. Further, the values of some items of the metadata may be set by the management system 200 or the browsing terminal 104. Further, the processing device 110 transmits the generated protected document (eDoc file) to the viewing terminal 104 of the distribution destination specified by the user.
保護済みドキュメントすなわちeDocファイルは、元のドキュメントを専用フォーマットに変換し暗号化したものであり、eDocの本体とも呼ぶ。eDocファイルを閲覧可能とするには、対応するメタデータが必要となる。eDocファイルとメタデータとが揃って、閲覧可能な完全な保護済みドキュメントを構成する。このように、eDocファイルとこれに対応するメタデータとの組を、以下では「eDoc」と呼ぶ。 The protected document, that is, the eDoc file is obtained by converting the original document into a dedicated format and encrypting it, and is also referred to as the main body of eDoc. To be able to view an eDoc file, corresponding metadata is required. Together, the eDoc file and the metadata make up a complete protected document that can be viewed. The set of the eDoc file and the metadata corresponding to the eDoc file is hereinafter referred to as “eDoc”.
処理装置110は、無線LANのアクセスポイントの機能を内蔵していてもよい。この場合、閲覧端末104は、無線LANで処理装置110と通信可能である。 The processing device 110 may have a function of a wireless LAN access point. In this case, the viewing terminal 104 can communicate with the processing device 110 via the wireless LAN.
閲覧端末104は、保護済みドキュメント(eDocファイル)の閲覧に用いられる端末である。ここで言う「閲覧」は、保護済みドキュメントをそのドキュメントが表す情報内容に応じた態様で利用することを意味する。例えば、保護済みドキュメントがワープロデータや図面等の文書を情報内容として持つ場合、閲覧は、閲覧端末104が表示したその文書をユーザが読む又は見ることである。また保護済みドキュメントが表す情報内容が音声である場合、閲覧とは、閲覧端末104が再生したその音声をユーザが聞くことである。閲覧端末104は、例えば、デスクトップ型又はノート型のパーソナルコンピュータ、ワークステーション、タブレット端末、スマートフォン等の汎用のコンピュータに、保護済みドキュメントを閲覧するためのビューワアプリケーションをインストールして構成される。また、電子書籍端末のような閲覧専用の端末に、ビューワアプリケーションと同等の機能を持たせたものを閲覧端末104として用いてもよい。ビューワアプリケーションは、暗号化されている保護済みドキュメントをメタデータの情報を用いて復号する機能や、保護済みドキュメントの専用フォーマットで表されるデータを可読な状態のデータへとデコードする機能を有する。なお、本実施形態のドキュメント管理システムに対応するビューワアプリケーションを持たないコンピュータは、専用フォーマットのデータを可読なデータへとデコードすることはできない。 The viewing terminal 104 is a terminal used for viewing a protected document (eDoc file). Here, “browsing” means that the protected document is used in a form corresponding to the information content represented by the document. For example, when the protected document has a document such as a word processing data or a drawing as information content, the browsing is to read or view the document displayed by the browsing terminal 104. When the information content represented by the protected document is audio, browsing means that the user listens to the audio reproduced by the browsing terminal 104. The browsing terminal 104 is configured by installing a viewer application for browsing a protected document on a general-purpose computer such as a desktop or notebook personal computer, a workstation, a tablet terminal, and a smartphone. Alternatively, a terminal dedicated to browsing, such as an electronic book terminal, having the same function as the viewer application may be used as the browsing terminal 104. The viewer application has a function of decrypting an encrypted protected document using information of metadata, and a function of decoding data represented in a dedicated format of the protected document into readable data. Note that a computer without a viewer application corresponding to the document management system of the present embodiment cannot decode data in a dedicated format into readable data.
閲覧端末104は、保護済みドキュメントを復号及びデコードして表示する機能に加え、表示したそのドキュメントに対するユーザからの加工(編集)を受け付ける機能を有していてもよい。加工されたドキュメントは、元の保護済みドキュメントとは異なる内容となるが、この編集後のドキュメントを閲覧端末104から処理装置110に送ってドキュメント管理システムに登録(すなわち保護済みドキュメントへとエンコード)できるようにしてもよい。このように、1つの端末が、作成端末102と閲覧端末104の両方の機能を持っていてもよい。なお、eDocには閲覧者に許可する権限(後述するメタデータ中のアクセス権限情報)が設定されており、その権限の内容には、そのeDocへの書き込み制限、再配布先の制限などが含まれてもよい。このような制限がアクセス権限情報中に規定されているeDocの場合、閲覧端末104は、閲覧者からの加工(編集)操作をその書き込み制限の範囲内でのみ受け付け、また加工後の新たなeDocの再配布先の指定を、その再配布先の制限の範囲内でのみ受け付ける。 The browsing terminal 104 may have a function of receiving processing (editing) from the user on the displayed document in addition to the function of decrypting and decoding the protected document and displaying the document. Although the processed document has a different content from the original protected document, the edited document can be sent from the viewing terminal 104 to the processing device 110 and registered in the document management system (that is, encoded into a protected document). You may do so. Thus, one terminal may have the functions of both the creation terminal 102 and the browsing terminal 104. In addition, the authority (access authority information in metadata described later) permitted to the viewer is set in the eDoc, and the contents of the authority include restrictions on writing to the eDoc, restrictions on the redistribution destination, and the like. It may be. In the case of an eDoc defined in the access authority information, such a restriction is accepted by the viewing terminal 104 only for a processing (editing) operation from the viewer within the range of the writing restriction, and for a new eDoc after the processing. The specification of the redistribution destination is accepted only within the limit of the redistribution destination.
また、本実施形態では、一例として、本実施形態のドキュメント管理システムを利用するユーザを認証するためのツールとして、ユーザが携帯する認証デバイス130を用いる。認証デバイス130は、ICカードのように、当該デバイスを携帯するユーザに固有の識別情報を内蔵し、外部装置からの要求に応じてユーザ認証のためのデータ処理を実行するデバイスである。認証デバイス130は、そのような個人認証用のICカードと同等の機能を内蔵したスマートフォンのような携帯端末であってもよい。閲覧端末104や作成端末102は、NFC(Near Field Communication)等の無線通信プロトコルを用いて認証デバイス130と通信する機能を備える。閲覧端末104や作成端末102は、認証デバイス130との間で所定のプロトコルに沿ってユーザ認証のための情報をやりとりし、その認証デバイス130を携帯するユーザを認証する。あるいは、実際のユーザ認証は処理装置110や管理システム200等、本実施形態のドキュメント管理システムのサーバ側が実行し、閲覧端末104や作成端末102は、サーバ側と認証デバイス130との間のデータ転送の仲介を行う方式であってもよい。また、閲覧端末104や作成端末102が認証デバイス130の機能を内蔵していてもよい。 In the embodiment, as an example, the authentication device 130 carried by the user is used as a tool for authenticating the user who uses the document management system of the embodiment. The authentication device 130 is a device, such as an IC card, that incorporates identification information unique to a user who carries the device and executes data processing for user authentication in response to a request from an external device. The authentication device 130 may be a mobile terminal such as a smart phone having a function equivalent to such an IC card for personal authentication. The viewing terminal 104 and the creation terminal 102 have a function of communicating with the authentication device 130 using a wireless communication protocol such as NFC (Near Field Communication). The browsing terminal 104 and the creation terminal 102 exchange information for user authentication with the authentication device 130 according to a predetermined protocol, and authenticate the user who carries the authentication device 130. Alternatively, the actual user authentication is executed by the server side of the document management system of the present embodiment, such as the processing device 110 or the management system 200, and the browsing terminal 104 and the creation terminal 102 transfer data between the server side and the authentication device 130. May be used as a system for mediation. Also, the browsing terminal 104 and the creation terminal 102 may have the function of the authentication device 130 built-in.
管理システム200は、各ローカルシステム100内の処理装置110を管理する。また管理システム200は、それら各処理装置110が生成した保護済みドキュメントのメタデータを管理し、要求に応じてメタデータを閲覧端末104に提供する。管理システム200は、1台のコンピュータ、又は相互に通信可能な複数のコンピュータにより構成され、ユーザIDサーバ210、DIDサーバ220、メタデータサーバ230、処理装置管理サーバ240の機能を有する。 The management system 200 manages the processing devices 110 in each local system 100. The management system 200 manages the metadata of the protected document generated by each of the processing devices 110, and provides the metadata to the browsing terminal 104 in response to a request. The management system 200 includes one computer or a plurality of computers that can communicate with each other, and has functions of a user ID server 210, a DID server 220, a metadata server 230, and a processing device management server 240.
ユーザIDサーバ210は、ドキュメント管理システムを利用する各ユーザの情報を管理するサーバである。ドキュメント管理システムを利用するユーザには、2つの階層がある。1つは、ドキュメント管理システムの利用のための契約を本システムの運営者と結んだ契約者であり、もう1つはその契約の下で実際にシステムを利用してドキュメントの登録や閲覧を行う一般ユーザである。例えば、会社が契約者であり、その会社のローカルネットワーク108に処理装置110が設置され、その会社の社員が一般ユーザとして、その処理装置110を介してドキュメント管理システムを利用するケースが多いと想定される。ユーザIDサーバ210は、契約者と一般ユーザのそれぞれについての情報を保持し、管理する。 The user ID server 210 is a server that manages information of each user who uses the document management system. A user who uses the document management system has two layers. One is a contractor who has concluded a contract for using the document management system with the operator of this system, and the other is to register and browse documents using the system under the contract. General user. For example, it is assumed that a company is a contractor, and a processing device 110 is installed in the local network 108 of the company, and employees of the company often use the document management system via the processing device 110 as general users. Is done. The user ID server 210 holds and manages information on each of the contractor and the general user.
DIDサーバ220は、保護済みドキュメントの識別情報(ID)であるDID(ドキュメントID)を管理する。実際に保護済みドキュメントにDIDを付与するのはその保護済みドキュメントを作成した処理装置110であるが、DIDサーバ220は処理装置110に対してDIDの発行権限と発行枠(発行数)を付与し、その発行権限と発行枠の中で処理装置110が実際に発行したDIDの報告を受けて記録する。これにより、DIDサーバ220は、不正なDIDの発生を抑止し、不正なDIDを持つドキュメントを検知可能とする。 The DID server 220 manages DID (document ID) which is identification information (ID) of the protected document. The processing device 110 that has created the protected document actually assigns the DID to the protected document, but the DID server 220 assigns the DID issuing authority and the issuance limit (number of issuances) to the processing device 110. , And receives and records the report of the DID actually issued by the processing device 110 in the issuance authority and the issuance frame. As a result, the DID server 220 suppresses the occurrence of an illegal DID and makes it possible to detect a document having an illegal DID.
メタデータサーバ230は、処理装置110が生成した保護済みドキュメント(eDocファイル)のメタデータを保持し、管理する。メタデータサーバ230は、ユーザから閲覧端末104を介して保護済みドキュメントのメタデータを要求された場合、そのユーザが正当な者であれば、メタデータをその閲覧端末104に提供する。なお、メタデータを要求するユーザ(閲覧者)がメタデータサーバ230にとって「正当な者」であるとは、そのユーザと、そのユーザがその要求を発する際に用いた閲覧端末104との組合せが、そのeDocファイルのDID(これはその要求に含まれる)に対応づけてメタデータサーバ230が保持しているメタデータ中の配信先情報(詳しくは後述)に示される配信先ユーザ及び配信先の閲覧端末104の組合せに該当する場合のことである。 The metadata server 230 holds and manages the metadata of the protected document (eDoc file) generated by the processing device 110. When a user requests metadata of a protected document from the user via the browsing terminal 104, the metadata server 230 provides the metadata to the browsing terminal 104 if the user is a valid person. It should be noted that a user (browser) who requests metadata is “a legitimate person” for the metadata server 230 when a combination of the user and the browsing terminal 104 used when the user issues the request is described. , The delivery destination user and delivery destination indicated in the delivery destination information (which will be described in detail later) in the metadata held by the metadata server 230 in association with the DID of the eDoc file (this is included in the request). This is the case where the combination corresponds to the combination of the viewing terminals 104.
処理装置管理サーバ240は、各処理装置110のステータス(状態)を管理するサーバである。 The processing device management server 240 is a server that manages the status (state) of each processing device 110.
図2を参照して、本実施形態の仕組みを概略的に説明する。 With reference to FIG. 2, the mechanism of the present embodiment will be schematically described.
(0)管理システム200(DIDサーバ220)は、ローカルシステム100内の処理装置110に対してDID(ドキュメントID)の発行権及びこれに付随する発行枠(ドキュメント数)を事前に付与している。DIDの発行権は、無制限ではなく、管理システム200の発行枠に制限される。すなわち、処理装置110は、管理システム200から付与された発行枠が示す数までのドキュメントであれば、同時に付与された発行権に基づいたDIDを付与することができる。発行枠を使い切れば、処理装置110は、管理システム200から新たな発行権及び発行枠の付与を受ける。 (0) The management system 200 (DID server 220) previously assigns an issuance right of DID (document ID) and an issuance frame (number of documents) accompanying the right to issue to the processing device 110 in the local system 100. . The right to issue the DID is not limited and is limited to the issuance limit of the management system 200. That is, the processing device 110 can assign a DID based on the issuance right granted at the same time as long as the documents are up to the number indicated by the issuance space assigned from the management system 200. When the issue slots are used up, the processing device 110 receives a new issue right and a new issue slot from the management system 200.
(1)ユーザは、ドキュメントを本実施形態のドキュメント管理システムに登録したい(すなわち配信したい)場合、作成端末102にドキュメント登録を指示する(例えばアプリケーションのメニュー上で「登録」を指示する)。この指示を受けた作成端末102は、ユーザ認証を求める。この認証は、ユーザID及びパスワードの入力により行ってもよいし、作成端末102のカードリーダ部の近傍にユーザが認証デバイス130を近づけることで行ってもよい。ユーザ認証は、作成端末102が行ってもよいし、ドキュメントの登録先である処理装置110が行ってもよい。そして、ユーザは、作成端末102に保持されているドキュメントからドキュメント管理システムに登録するものを選んでその登録を指示する。 (1) When the user wants to register a document in the document management system of the present embodiment (that is, to distribute the document), the user instructs the creation terminal 102 to register the document (for example, instructs “registration” on a menu of the application). The creating terminal 102 receiving this instruction requests user authentication. This authentication may be performed by inputting a user ID and a password, or may be performed by the user bringing the authentication device 130 close to the vicinity of the card reader unit of the creation terminal 102. The user authentication may be performed by the creation terminal 102 or the processing device 110 to which the document is registered. Then, the user selects a document to be registered in the document management system from the documents held in the creation terminal 102 and instructs the registration.
作成端末102(より詳しくは、作成端末102にインストールされた登録処理用プログラム)は、ユーザからドキュメントの登録指示を受けた場合、そのドキュメントに対する属性データのうちそのユーザが指定すべき項目(例えばドキュメントの配信先)の入力を受け付ける。ここで、配信先として、ユーザと閲覧端末104の組合せの指定を受け付けるようにしてもよい。この場合、ユーザと、そのユーザがドキュメントの閲覧に用いる閲覧端末104との組合せが、配信先として指定された組合せと一致する場合に、ユーザはそのドキュメントを閲覧可能となる。 When receiving a document registration instruction from a user, the creation terminal 102 (more specifically, a registration processing program installed in the creation terminal 102) specifies items (for example, document Of the distribution destination). Here, the designation of the combination of the user and the viewing terminal 104 may be accepted as the distribution destination. In this case, when the combination of the user and the browsing terminal 104 used by the user for browsing the document matches the combination specified as the distribution destination, the user can browse the document.
作成端末102は、ユーザが入力した配信先等の属性項目と、作成端末102自身が生成した他の属性項目(例えば登録者の情報、作成日時等)と合わせた属性データを、そのドキュメントのデータと共に処理装置110に送信する。なお、作成端末102は、様々なアプリケーションが作成した様々なフォーマットのドキュメントを、閲覧端末104側で取扱可能な統一的なフォーマットに変換するドライバを有していてもよい。例えば、ワープロデータ、スプレッドシート、CADデータのような静的な文書画像を示すデータの場合、そのドライバは、プリンタドライバと同様、そのデータをページ記述言語で表現されたドキュメントへと変換する。また、例えば、元のデータが音声データの場合、ドライバは、その音声データを本実施形態のドキュメント管理システム(特に閲覧端末104)が対応する特定の音声データ形式のデータ(ドキュメント)へと変換する。 The creation terminal 102 converts the attribute data such as the distribution destination input by the user and other attribute items (for example, registrant information, creation date and time) generated by the creation terminal 102 itself into data of the document. With the processing device 110. Note that the creation terminal 102 may have a driver that converts documents in various formats created by various applications into a unified format that can be handled by the viewing terminal 104. For example, in the case of data indicating a static document image such as word processing data, spreadsheet, or CAD data, the driver converts the data into a document described in a page description language, similar to a printer driver. Further, for example, when the original data is audio data, the driver converts the audio data into data (document) in a specific audio data format supported by the document management system (particularly, the browsing terminal 104) of the present embodiment. .
(2)処理装置110は、作成端末102から受信した登録対象のドキュメントに対して保護処理を施すことで保護済みドキュメント(eDocファイル)を生成する。この生成では、受信したドキュメントを本実施形態のドキュメント管理システムの専用フォーマットへとエンコードし、エンコードしたデータを、生成した暗号鍵を用いて暗号化することで、eDocファイルを生成する。エンコードと暗号化の順序は逆でもよい。また処理装置110は、そのeDocに対して一意なDIDを付与する。このDIDには、管理システム200から受けた発行権限に基づくものであることを証する情報(後述する発行権限キー)と、その処理装置110自身が付与したものであることを証する情報(後述する発行証明キー)が含まれる。なお、DIDのデータ構造については、後で詳細な例を説明する。生成されたDIDは、eDocファイル内に(例えばそのファイルのプロパティの一項目として)組み込まれる。 (2) The processing device 110 generates a protected document (eDoc file) by performing protection processing on the document to be registered received from the creation terminal 102. In this generation, an eDoc file is generated by encoding a received document into a dedicated format of the document management system of the present embodiment and encrypting the encoded data using the generated encryption key. The order of encoding and encryption may be reversed. Further, the processing device 110 assigns a unique DID to the eDoc. This DID includes information (issuance authority key described later) that proves that the DID is based on the issuance authority received from the management system 200, and information (issuance described later) that proves that the DID is assigned by the processing apparatus 110 itself. Certification key). A detailed example of the data structure of the DID will be described later. The generated DID is embedded in the eDoc file (for example, as one item of the property of the file).
また処理装置110は、生成したeDocファイルに対応するメタデータを生成する。このメタデータには、作成端末102からそのドキュメントと共に受け取った属性データと、処理装置110自身が生成した属性項目(例えば、DID、処理装置自身のID、エンコード日時、暗号鍵情報)の値とが含まれる。メタデータに含まれる暗号鍵情報は、eDocファイルの暗号化を解除するための鍵を示す情報である。暗号化に共通鍵方式を用いた場合、暗号鍵情報はその共通鍵を示す情報である。ただし、共通鍵そのものを平文でメタデータに含めると、盗聴や傍受により悪用される懸念があるので、その共通鍵を配信先ユーザの公開鍵で暗号化したものを暗号鍵情報としてメタデータに組み込む。 Further, the processing device 110 generates metadata corresponding to the generated eDoc file. The metadata includes attribute data received together with the document from the creation terminal 102 and values of attribute items (for example, DID, ID of the processing device itself, encoding date and time, and encryption key information) generated by the processing device 110 itself. included. The encryption key information included in the metadata is information indicating a key for decrypting the eDoc file. When a common key method is used for encryption, the encryption key information is information indicating the common key. However, if the common key itself is included in the metadata in plain text, there is a concern that it will be misused by eavesdropping or eavesdropping. Therefore, the common key encrypted with the public key of the distribution destination user is embedded in the metadata as encryption key information. .
また、処理装置110は、生成したeDocファイルとメタデータを、内蔵するデータベースに保存する。 Further, the processing device 110 saves the generated eDoc file and metadata in a built-in database.
(3)処理装置110は、生成したメタデータを管理システム200に送信して登録する。管理システム200(メタデータサーバ230)は、受信したメタデータを保存する。 (3) The processing device 110 transmits the generated metadata to the management system 200 and registers it. The management system 200 (metadata server 230) stores the received metadata.
(4)処理装置110は、生成したeDocファイルを、配信先に指定された閲覧端末104に配信する。この配信は、プッシュ型でもプル型でも、それら両方(例えばeDoc作成時にプッシュ配信し、そのときに非稼働で受信しなかった閲覧端末104はプル型で配信を受ける)であってもよい。この配信は、ローカルシステム100内のローカルネットワーク108を介して行われる。 (4) The processing device 110 distributes the generated eDoc file to the viewing terminal 104 specified as the distribution destination. This distribution may be a push type or a pull type, or both of them (for example, push distribution at the time of eDoc creation, and the browsing terminal 104 that is not operating and does not receive at that time receives the distribution in a pull type). This distribution is performed via the local network 108 in the local system 100.
(5)閲覧端末104が受信したeDocファイルは、暗号化等により保護されているのでそのままでは閲覧が不可能である。ユーザは、閲覧端末104でそのeDocファイルを閲覧したい場合、自分の認証デバイス130をその閲覧端末104のカードリーダ部に近づけてユーザ認証を受けた後、閲覧端末104の画面上でそのeDocの閲覧を指示する。この指示を受けた閲覧端末104は、管理システム200にアクセスしてそのeDocのメタデータを要求する。この要求には、そのeDocのDIDが含まれる。 (5) The eDoc file received by the viewing terminal 104 cannot be viewed as it is because it is protected by encryption or the like. When the user wants to browse the eDoc file with the browsing terminal 104, the user is authenticated by bringing his / her authentication device 130 close to the card reader unit of the browsing terminal 104, and then browses the eDoc on the screen of the browsing terminal 104. Instruct. The browsing terminal 104 that has received this instruction accesses the management system 200 and requests the metadata of the eDoc. The request includes the DID of the eDoc.
(6)管理システム200(メタデータサーバ230)は、閲覧端末104から要求されたeDocの最新のメタデータをその閲覧端末104に送信する。 (6) The management system 200 (metadata server 230) transmits the latest metadata of the eDoc requested from the viewing terminal 104 to the viewing terminal 104.
(7)閲覧端末104は、要求したメタデータを管理システム200から受信すると、そのメタデータに含まれる配信先情報に、当該閲覧端末104と現在この閲覧端末104を利用しているユーザ(認証デバイス130で認証済み)との組合せが含まれるかどうかを判定する。含まれていない場合、そのユーザはその閲覧端末104でそのeDocを閲覧する権限がないので、閲覧端末104はeDocファイルを開かず、閲覧権限がない旨を示すエラーメッセージを表示する。含まれる場合は、そのユーザはその閲覧端末104でそのeDocファイルを閲覧する権限を持つ。この場合閲覧端末104は、そのeDocファイルをそのメタデータに含まれる暗号鍵情報を用いて復号し、画面に表示する(すなわちそのeDocファイルの情報内容に応じた態様で出力する)。 (7) When the browsing terminal 104 receives the requested metadata from the management system 200, the distribution destination information included in the metadata includes the browsing terminal 104 and the user (authentication device) currently using the browsing terminal 104 in the distribution destination information. It is determined whether or not the combination with (authenticated in 130) is included. If not included, the user does not have the right to view the eDoc on the viewing terminal 104, so the viewing terminal 104 does not open the eDoc file and displays an error message indicating that there is no viewing right. If so, the user has permission to view the eDoc file at the viewing terminal 104. In this case, the browsing terminal 104 decrypts the eDoc file using the encryption key information included in the metadata and displays the decrypted eDoc file on the screen (that is, outputs the eDoc file in a form corresponding to the information content of the eDoc file).
メタデータには有効期限を設定する事が出来る。有効期限は、例えばメタデータが送信された日時に対し、規定の有効期間、または配信者等が指定した有効期間を足すことで求められる。閲覧端末104は、メタデータの有効期限が過ぎた後には、メタデータを再度管理システム200から取得し直さないと、対応するeDocファイルを開く(復号及び表示する)ことができない。閲覧端末104は、処理装置110又は管理システム200と通信可能であれば、閲覧対象に指示されたeDocファイルのその指示の時点での最新のメタデータを処理装置110又は管理システム200から取得し、この最新のメタデータに基づいて閲覧可否を判定する。 An expiration date can be set for the metadata. The expiration date is obtained, for example, by adding a prescribed expiration period or a expiration period designated by a distributor or the like to the date and time when the metadata is transmitted. After the expiration date of the metadata has passed, the viewing terminal 104 cannot open (decrypt and display) the corresponding eDoc file unless the metadata is acquired again from the management system 200. If the browsing terminal 104 can communicate with the processing device 110 or the management system 200, the browsing terminal 104 acquires the latest metadata of the eDoc file designated as the browsing target at the time of the designation from the processing device 110 or the management system 200, It is determined whether browsing is possible based on the latest metadata.
メタデータが最初の管理システム200に登録された後、そのメタデータに含まれる配信先情報やアクセス権限情報が配信者、または配信先の変更権限が与えられた者(例えばデータの編集権限を保有する者)により変更されることがある。eDocが作成・登録された時点で配信先に指定されたユーザであっても、その後の変更により配信先から外された場合には、閲覧端末104は、管理システム200から取得した最新のメタデータに含まれる配信先情報によりそのことを検知し、eDocファイルの表示を行わない。 After the metadata is registered in the management system 200 for the first time, the distribution destination information and the access right information included in the meta data are distributed by a distributor or a person authorized to change the distribution destination (for example, a user who has a data editing right). May change. Even if the user is designated as the distribution destination when the eDoc is created and registered, if the user is removed from the distribution destination due to a subsequent change, the browsing terminal 104 uses the latest metadata acquired from the management system 200. Is detected by the distribution destination information included in the eDoc file, and the eDoc file is not displayed.
次に、図3を参照して、eDocのメタデータ300のデータ内容の例を説明する。 Next, an example of the data content of the eDoc metadata 300 will be described with reference to FIG.
メタデータ300の含む項目のうち、まず「DID」は、そのeDocを生成した処理装置110が付与したドキュメントIDである。「ドキュメント名」は、そのeDocの名称又はタイトルである。 Of the items included in the metadata 300, “DID” is a document ID assigned by the processing device 110 that has generated the eDoc. “Document name” is the name or title of the eDoc.
「配信者ID」は、そのeDocを配信した者、すなわち作成端末102から処理装置110に対してドキュメントの登録操作を行い、処理装置110を介して配信を行う者(以下、配信者と呼ぶ)のユーザIDである。 The “distributor ID” is a person who has distributed the eDoc, that is, a person who performs a document registration operation from the creation terminal 102 to the processing device 110 and distributes the document via the processing device 110 (hereinafter, referred to as a distributor). User ID.
「エンコード日時」は、作成端末102からのドキュメントがエンコード(保護処理)されてそのeDocが作成された日時である。「処理装置ID」は、その保護処理を実行した処理装置の識別情報である。「暗号化情報」は、そのeDocの生成時の暗号化に関する情報であり、暗号化に用いた暗号化ソフト名、その暗号化ソフトのバージョン、及びその暗号化を解除(復号)するための鍵を表す鍵情報を含む。鍵情報は、例えば、復号のための鍵を各配信先ユーザの公開鍵で暗号化したものである。「キーワード情報」は、そのeDoc(又は元データ)から抽出したキーワードのリストである。このキーワード情報は、例えばeDocの検索の際に利用される。 The “encoding date and time” is the date and time when the document from the creating terminal 102 was encoded (protected) and its eDoc was created. “Processing device ID” is identification information of the processing device that has executed the protection process. The “encryption information” is information on encryption at the time of generation of the eDoc, and includes the name of the encryption software used for encryption, the version of the encryption software, and the key for releasing (decrypting) the encryption. Is included. The key information is, for example, information obtained by encrypting a key for decryption with the public key of each distribution destination user. “Keyword information” is a list of keywords extracted from the eDoc (or original data). This keyword information is used, for example, when searching for eDocs.
「配信先情報」は、配信者がそのeDocの配信先に指定したユーザ及び閲覧端末を表す情報である。図3の例では、配信先情報は、配信先のユーザ毎に、そのユーザのユーザIDとそのユーザが閲覧に用いるべき閲覧端末104のID(識別情報)とを含んでいる。そのユーザがそのeDocの閲覧に利用可能な閲覧端末104が複数指定された場合は、そのユーザのユーザIDとそれら複数の閲覧端末104のIDとの組が配信先情報に組み込まれる。 “Distribution destination information” is information indicating the user and the viewing terminal designated by the distributor as the distribution destination of the eDoc. In the example of FIG. 3, the distribution destination information includes, for each distribution destination user, the user ID of the user and the ID (identification information) of the browsing terminal 104 that the user should use for browsing. When the user specifies a plurality of browsing terminals 104 that can be used for browsing the eDoc, a set of the user ID of the user and the IDs of the plurality of browsing terminals 104 is incorporated in the distribution destination information.
また別の例として、配信先ユーザは配信先に指定された閲覧端末104のうちのいずれを利用してもそのeDocを閲覧可能とする方式を採用した場合、配信先情報には、配信先ユーザのIDのリストと、配信先の閲覧端末104のIDのリストが含まれる。例えば、配信先の閲覧端末104の候補として、部署の共用端末や、部署の居室や会議室に備え付けられた端末等が想定される場合がある。共用端末や居室等の備え付け端末(これも共用端末の一種)等は、組織内のユーザのだれが使うか決まっていないが、少なくともどのような端末であるかは配信者には分かっており、また勝手に組織外に持ち出される可能性が低いことも分かっているので、機密対象のドキュメントの配信先として適格である。このように素性の分かった共用端末でeDocを利用する場合には、このように配信先ユーザは配信先に指定された閲覧端末104のうちのどれを利用してもよい、という利用形態も考えられる。 As another example, when a method is adopted in which the distribution destination user can browse the eDoc using any of the browsing terminals 104 designated as the distribution destination, the distribution destination information includes the distribution destination user. And a list of IDs of the distribution destination viewing terminals 104 are included. For example, as a candidate of the distribution destination viewing terminal 104, a shared terminal of a department, a terminal provided in a room or a conference room of the department, or the like may be assumed. It is not decided who the users in the organization will use, such as shared terminals and equipment installed in rooms (also a type of shared terminal), but the distributor knows at least what kind of terminal it is, It is also known that it is unlikely that the document will be taken out of the organization without permission, so it is suitable as a distribution destination of a confidential document. In the case of using eDocs with a shared terminal whose characteristics are known in this way, a use form in which the distribution destination user may use any of the browsing terminals 104 designated as the distribution destination is considered. Can be
「アクセス権限情報」は、配信者が配信先のユーザに対して付与したそのeDocに対する利用権限を表す情報である。 The “access right information” is information indicating the use right for the eDoc that the distributor has given to the destination user.
「オフライン有効期間」は、そのメタデータの有効期間の長さを表す情報である。すなわち、閲覧端末104が管理システム200にアクセスできない状態(オフライン状態)にあるときでも、そのeDocの前回の閲覧時に取得してキャッシュしているメタデータが存在し、そのメタデータの取得日時からその「オフライン有効期間」内であれば、閲覧端末104はそのメタデータ内の暗号鍵情報を用いてそのeDocを復号して表示する。一方、オフライン状態であり、閲覧を指示されたeDocについてのキャッシュしたメタデータのオフライン有効期間が既に過ぎている場合は、閲覧端末104は、そのeDocを復号せず、したがって表示も行わない。なお、閲覧端末104は、管理システム200にアクセス可能(すなわちオンライン状態)である間は、ユーザがeDocの閲覧を指示した場合、そのeDocの最新のメタデータを管理システム200(特にメタデータサーバ230)から取得して使用する。 “Offline validity period” is information indicating the length of the validity period of the metadata. That is, even when the browsing terminal 104 cannot access the management system 200 (offline state), the metadata acquired and cached at the time of the previous browsing of the eDoc exists, and the metadata is acquired from the date and time of acquiring the metadata. If it is within the “offline validity period”, the browsing terminal 104 decrypts and displays the eDoc using the encryption key information in the metadata. On the other hand, if the offline valid period of the cached metadata for the eDoc for which browsing has been instructed has already passed, the browsing terminal 104 does not decrypt the eDoc and therefore does not display it. When the user instructs browsing of an eDoc while the management terminal 200 is accessible (that is, online), the browsing terminal 104 transmits the latest metadata of the eDoc to the management system 200 (particularly, the metadata server 230). ).
「元データ情報」は、eDocが生成(エンコード)される前の元データが保存されているか否かを示す情報と、保存されている場合はその元データの保存場所を示す情報(例えばURL:Uniform Resource Locator)である。ここでの元データは、例えば作成端末102から処理装置110に送られたドキュメント(保護処理を施す前のもの)、又はそのドキュメントの元になったアプリケーションデータ(例えばドキュメントがページ記述言語データである場合、そのデータに変換する前のワープロソフトのデータ)、又はそれらの両方である。 The “original data information” is information indicating whether or not the original data before the eDoc is generated (encoded) is stored, and if stored, information indicating the storage location of the original data (for example, URL: Uniform Resource Locator). The original data here is, for example, a document (before the protection processing is performed) sent from the creating terminal 102 to the processing device 110, or application data on which the document is based (for example, the document is page description language data. In this case, the data is data of a word processing software before being converted into the data), or both.
「ドキュメント取得日時」は、閲覧端末104がそのeDocの本体データのファイル(すなわちeDocファイル)を取得した日時である。「メタデータ取得日時」は、閲覧端末104がそのeDocの現在キャッシュしている最新のメタデータを管理システム200から取得した日時である。ドキュメント取得日時及びメタデータ取得日時は、管理システム200に保持されているメタデータには含まれず、閲覧端末104が管理システム200から取得したメタデータに対して自機での管理のために追加する。 The “document acquisition date and time” is the date and time when the browsing terminal 104 acquires the file of the body data of the eDoc (that is, the eDoc file). The “metadata acquisition date and time” is the date and time when the browsing terminal 104 acquired the latest metadata currently cached for the eDoc from the management system 200. The document acquisition date and time and the metadata acquisition date and time are not included in the metadata held in the management system 200, but are added by the viewing terminal 104 to the metadata acquired from the management system 200 for management by the own device. .
また図3に示したメタデータの項目のうち、DID、エンコード日時、処理装置ID、暗号化情報、キーワード情報は、処理装置110が生成する情報である。また、ドキュメント名、配信者ID、配信先情報、アクセス権限情報、オフライン有効期間、元データ情報は、作成端末102から処理装置110に送られるドキュメントや属性データに由来する。 In the metadata items shown in FIG. 3, DID, encoding date and time, processing device ID, encryption information, and keyword information are information generated by the processing device 110. Further, the document name, distributor ID, distribution destination information, access authority information, offline validity period, and original data information are derived from documents and attribute data sent from the creation terminal 102 to the processing device 110.
次に、管理システム200の各サーバ210〜240が管理する情報のデータ内容を例示する。 Next, data contents of information managed by each of the servers 210 to 240 of the management system 200 will be exemplified.
まず図4を参照して、ユーザIDサーバ210が管理するデータ内容の例を説明する。ユーザIDサーバ210には、各契約者の契約者データ212と、各一般ユーザのユーザデータ214が登録されている。 First, an example of data content managed by the user ID server 210 will be described with reference to FIG. In the user ID server 210, contractor data 212 of each contractor and user data 214 of each general user are registered.
契約者データ212には、契約者ID、契約内容情報、及びユーザリストが含まれる。契約者IDは、ドキュメント管理システムの運営者と契約した契約者(例えば組織や組織内の部署)の識別情報である。ユーザリストは、その契約者の契約によってこのドキュメント管理システムを利用する一般ユーザ(例えば契約者である組織に所属するメンバ)のユーザIDのリストである。 The contractor data 212 includes a contractor ID, contract content information, and a user list. The contractor ID is identification information of a contractor (for example, an organization or a department within the organization) that has contracted with the operator of the document management system. The user list is a list of user IDs of general users (for example, members belonging to an organization that is a contractor) who use the document management system according to the contract of the contractor.
一般ユーザデータ214には、その一般ユーザのユーザID、パスワード、ユーザIDキー情報、公開鍵証明書、既定の処理装置ID、既定の閲覧端末リスト、所属情報を含む。ユーザIDキー情報は、そのユーザの認証デバイス130が用いるそのユーザの認証情報である。公開鍵証明書は、そのユーザの公開鍵を証明するデジタル証明書である。既定の処理装置IDは、そのユーザが登録された処理装置110のIDである。通常、ユーザは自分が所属するオフィスに置かれた処理装置110に登録され、その処理装置110がそのユーザにとっての既定の処理装置となる。既定の閲覧端末リストは、そのユーザが主として使用する1以上の閲覧端末のIDのリストである。このリストに含まれる閲覧端末が、そのユーザに対してeDocを配信する際の配信先の端末の候補となる。所属情報は、そのユーザが所属する組織やその部署等を特定する情報であり、例えばその組織や部署の契約者IDである。 The general user data 214 includes the general user's user ID, password, user ID key information, public key certificate, predetermined processing device ID, predetermined viewing terminal list, and affiliation information. The user ID key information is authentication information of the user used by the authentication device 130 of the user. The public key certificate is a digital certificate that certifies the user's public key. The default processing device ID is the ID of the processing device 110 in which the user is registered. Usually, a user is registered in a processing device 110 located in the office to which the user belongs, and the processing device 110 is a default processing device for the user. The default browsing terminal list is a list of IDs of one or more browsing terminals mainly used by the user. The browsing terminals included in this list are candidates for distribution destination terminals when eDocs are distributed to the user. The affiliation information is information for specifying an organization to which the user belongs, a department thereof, and the like, and is, for example, a contractor ID of the organization or the department.
次に図5を参照して、DIDサーバ220が管理するデータ内容の例を示す。 Next, an example of data contents managed by the DID server 220 will be described with reference to FIG.
DIDサーバ220は、図5に示すように、処理装置に対して発行した発行権限キー毎に、発行枠、付与先処理装置、キー付与日時、キー終了日時、発行済DIDリストの各項目の情報を保持している。 As shown in FIG. 5, the DID server 220 issues, for each issue authority key issued to the processing device, information on the issue frame, the assignee processing device, the key assignment date and time, the key end date and time, and the items of the issued DID list. Holding.
発行権限キーは、DIDサーバ220が処理装置110に対して付与した、DIDの発行権限を証明するキー情報(例えばランダムに生成した文字列)である。処理装置110は、自らが発行するDIDに、DIDサーバ220から付与された発行権限キーを含めることで、そのDIDが正当な発行権限の下で発行したものであることを証する。 The issuance authority key is key information (for example, a randomly generated character string) that is provided by the DID server 220 to the processing device 110 and certifies the DID issuance authority. The processing device 110 certifies that the DID has been issued under valid issuing authority by including the issuing authority key assigned from the DID server 220 in the DID issued by itself.
発行枠は、その発行権限キーと共に処理装置110に付与したDID発行上限数(DIDを付与可能な上限のドキュメント数)である。処理装置110は、発行権限キーと発行枠のペアをDIDサーバ220から付与されると、その発行枠が示す上限数までのeDocに対して、それぞれ固有のDIDを付与することができる。 The issuance frame is the upper limit of the number of DIDs issued to the processing device 110 together with the issuance authority key (the upper limit of the number of documents that can be assigned a DID). When the pair of the issuing authority key and the issuing slot is assigned from the DID server 220, the processing device 110 can assign a unique DID to each of the eDocs up to the upper limit indicated by the issuing slot.
付与先処理装置は、その発行権限キー(及び発行枠)の付与先の処理装置110のIDを示す。キー付与日時は、その発行権限キーを処理装置110に付与した日時である。キー終了日時は、付与先の処理装置110がその発行権限キーを使い終わった日時である。すなわち、処理装置110がその発行権限キーと共に付与された発行枠が示す上限数のeDocに対するDIDの付与をし終えた日時である。なお、処理装置110が発行枠を使い切った後に次の発行権限キーと発行枠をDIDサーバ220に要求する仕組みを採用している場合、ある発行権限キー(第1のキーと呼ぶ)のキー終了日時を明示的に記録する代わりに、当該発行権限キーの次に処理装置110が付与された発行権限キーのキー付与日時を、第1のキーのキー終了日時として用いてもよい。発行済DIDリストは、付与先の処理装置110がその発行権限キーを用いて発行したDIDとその発行年月日のリストである。付与先の処理装置110は、発行権限キーを用いてDIDを発行する毎にそのDIDをDIDサーバ220に通知し、DIDサーバ220は通知されたDIDとその発行年月日を、そのDIDに含まれる発行権限キーに対応する発行済DIDリストに追加する。 The grant destination processing device indicates the ID of the grant destination processing device 110 of the issuing authority key (and the issuing frame). The key assignment date and time is the date and time when the issuing authority key was assigned to the processing device 110. The key end date and time is the date and time when the granting processing device 110 has finished using the issuing authority key. In other words, it is the date and time when the processing device 110 has finished giving DIDs to the upper limit number of eDocs indicated by the issuance space assigned together with the issuance authority key. When the processing device 110 employs a mechanism for requesting the DID server 220 for the next issuance key and the next issuance key after the issuance slot has been used up, the key end of a certain issuance authority key (referred to as a first key) is terminated. Instead of explicitly recording the date and time, the key assignment date and time of the issue authority key assigned to the processing device 110 after the issue authority key may be used as the key end date and time of the first key. The issued DID list is a list of DIDs issued by the assigning processing device 110 using the issuance authority key and the issuance date. Each time the assigning processing apparatus 110 issues a DID using the issuing authority key, the DID server 220 notifies the DID server 220 of the issued DID, and the DID server 220 includes the notified DID and the issue date in the DID. Is added to the issued DID list corresponding to the issuing authority key to be issued.
メタデータサーバ230は、各処理装置110から送られてくる各eDocのメタデータを保管する。保管するメタデータのデータ内容は、図3に例示したものと同様である。ただし、図3に例示したメタデータの項目のうち、閲覧端末104のみで用いる項目(ドキュメント取得日時やメタデータ取得日時等)については、メタデータサーバ230では管理しない。 The metadata server 230 stores the metadata of each eDoc sent from each processing device 110. The data content of the metadata to be stored is the same as that illustrated in FIG. However, among the metadata items illustrated in FIG. 3, items (document acquisition date and time, metadata acquisition date and time, etc.) used only by the browsing terminal 104 are not managed by the metadata server 230.
次に図6を参照して処理装置管理サーバ240が管理するデータについて説明する。処理装置管理サーバ240は、管理対象の処理装置110毎に、その処理装置110のステータス履歴242を記憶している。ステータス履歴には、その処理装置110のIDに対応付けて、作成及び個々の更新の時点(作成・更新日時)でのその処理装置110のステータス244の情報が含まれる。 Next, data managed by the processing device management server 240 will be described with reference to FIG. The processing device management server 240 stores the status history 242 of the processing device 110 for each processing device 110 to be managed. The status history includes information on the status 244 of the processing device 110 at the time of creation and individual update (creation / update date and time) in association with the ID of the processing device 110.
個々の時点でのステータス244には、設置場所、契約者ID、管理者名、管理者連絡先、登録ユーザリスト、ソフトウエア情報246、ハードウエア情報248、ディスク空き容量、セキュリティ証明書情報が含まれる。設置場所は、その処理装置110の設置場所を示す情報であり、例えば住所や建物名、階数などの情報を含む。契約者IDは、その処理装置110を使用している契約者のIDである。管理者名は、その処理装置110の管理者の名前である。管理者は、処理装置110の設置先の部署等においてその処理装置110を管理しているユーザである。管理者連絡先は、その管理者の連絡先の情報(例えば電子メールアドレス)である。登録ユーザリストは、その処理装置110に登録されたユーザ(言い換えればその処理装置110を「既定の処理装置」とするユーザ)のユーザIDのリストである。 The status 244 at each time includes the installation location, contractor ID, administrator name, administrator contact information, registered user list, software information 246, hardware information 248, free disk space, and security certificate information. It is. The installation location is information indicating the installation location of the processing device 110, and includes, for example, information such as an address, a building name, and the number of floors. The contractor ID is the ID of the contractor using the processing device 110. The administrator name is the name of the administrator of the processing device 110. The administrator is a user who manages the processing device 110 in a department or the like where the processing device 110 is installed. The administrator contact information is information on the contact information of the administrator (for example, an e-mail address). The registered user list is a list of user IDs of the users registered in the processing device 110 (in other words, the users who set the processing device 110 as the “default processing device”).
ソフトウエア情報246には、エンコードソフト名、エンコードソフトバージョン、暗号化ソフト名、暗号化ソフトバージョン、処理装置110にインストールされているその他のソフトウエアの名称及びバージョンが含まれる。ここでエンコードソフトは、作成端末102から入力されたドキュメントを、ドキュメント管理システムの専用フォーマットへと変換(エンコード)するソフトウエアである。暗号化ソフトは、ドキュメント(例えば専用フォーマットに変換されたもの)を暗号化するソフトウエアである。 The software information 246 includes an encoding software name, an encoding software version, an encryption software name, an encryption software version, and names and versions of other software installed in the processing device 110. Here, the encoding software is software that converts (encodes) a document input from the creation terminal 102 into a format dedicated to the document management system. The encryption software is software for encrypting a document (for example, a document converted into a dedicated format).
ハードウエア情報248には、エンコード回路情報、エンコード回路FWバージョン、当該処理装置110の製造者名等の項目が含まれる。エンコード回路情報は、エンコード処理に用いるハードウエア回路の機種を示す情報である。エンコード回路FWバージョンは、そのエンコード回路のファームウエア(FW)のバージョンである。 The hardware information 248 includes items such as encoding circuit information, an encoding circuit FW version, and a manufacturer name of the processing device 110. The encoding circuit information is information indicating a model of a hardware circuit used for the encoding process. The encoding circuit FW version is a firmware (FW) version of the encoding circuit.
ディスク空き容量は、処理装置110が持つハードディスク又はソリッドステートディスク等の二次記憶装置の、その時点での空き容量である。 The disk free space is the free space of the secondary storage device such as a hard disk or a solid state disk of the processing device 110 at that time.
セキュリティ証明書情報は、処理装置110にその時点でインストールされている各セキュリティ証明書を特定する情報(例えば証明書のサブジェクト(subject:主体者)識別子、イシュア(issuer:発行者)識別子、発行日時等の情報)である。 The security certificate information includes information (for example, a subject (subject: subject) identifier, an issuer (issuer: issuer) identifier, and a date and time of issue) of each security certificate installed in the processing device 110 at that time. Etc.).
また煩雑さを避けるために図示は省略したが、ステータス244には、処理装置110にインストールされているフォントの種類(フォント名のリスト)、ネットワーク通信のためのアドレス(例えばIPアドレス)、搭載している二次記憶装置(ハードディスクドライブ等)の装置ID、処理装置110を設置先の組織の基幹システムの処理に繋ぐためのカスタマイズ内容を示す情報、処理装置110が用いる暗号鍵(通信路暗号化や署名等のためのもの)のインストール日時等が含まれる。 Although not shown for the sake of simplicity, the status 244 includes the type of font (a list of font names) installed in the processing device 110, an address for network communication (for example, an IP address), and the like. Device ID of the secondary storage device (such as a hard disk drive), information indicating the contents of customization for connecting the processing device 110 to the core system of the installation organization, and an encryption key (communication path encryption) used by the processing device 110. And the date and time of installation of the signature).
次に図7を参照して、処理装置110が保持するデータベース群について説明する。図示のように、処理装置110は、管理情報記憶部112、ユーザDB114及びドキュメントDB116を含む。 Next, a database group held by the processing device 110 will be described with reference to FIG. As illustrated, the processing device 110 includes a management information storage unit 112, a user DB 114, and a document DB 116.
管理情報記憶部112には、管理情報112aが記憶される。管理情報112aには、上位装置アドレス情報、セキュリティ証明書、暗号鍵、エンコードソフト名、エンコードソフトバージョン、暗号化ソフト名、暗号化ソフトバージョン等の項目が含まれる。上位装置アドレス情報は、処理装置110を管理する上位装置のそれぞれの通信アドレス(例えばIPアドレス、URL等)の情報である。管理システム200やその中の各サーバ210〜240、又は後述する組織内管理システム150やその中の各サーバ152〜156が上位装置の例である。セキュリティ証明書は、処理装置110がネットワーク上の他の装置と公開鍵基盤準拠のセキュアな通信を行う際に用いるデジタル証明書である。処理装置110は、よく通信する相手である各上位装置のセキュリティ証明書を保持している。また作成端末102や閲覧端末104を使用する各ユーザのセキュリティ証明を保持してもよい。暗号鍵は、処理装置110がネットワーク上の他の装置と通信を行う際の暗号化や復号、処理装置110によるデジタル署名(又はそれに類する証明情報の生成)等の目的に用いる、当該処理装置110の暗号鍵であり、例えば公開鍵基盤においてその処理装置110に対して付与された秘密鍵と公開鍵のペアである。エンコードソフト及び暗号化ソフトは、それぞれ、この処理装置110にインストールされているエンコード(専用フォーマットへの変換)及び暗号化のためのソフトウエアである。 The management information storage unit 112 stores management information 112a. The management information 112a includes items such as upper device address information, a security certificate, an encryption key, an encoding software name, an encoding software version, an encryption software name, and an encryption software version. The higher-level device address information is information on each communication address (for example, an IP address, a URL, and the like) of the higher-level device that manages the processing device 110. The management system 200 and the respective servers 210 to 240 therein, or the in-house management system 150 described later and the respective servers 152 to 156 therein are examples of higher-level devices. The security certificate is a digital certificate used when the processing device 110 performs secure communication based on the public key infrastructure with another device on the network. The processing device 110 holds a security certificate of each higher-level device with which communication is frequently performed. Further, the security certificate of each user who uses the creation terminal 102 or the browsing terminal 104 may be held. The encryption key is used for purposes such as encryption and decryption when the processing device 110 communicates with another device on the network, a digital signature by the processing device 110 (or generation of certification information similar thereto), and the like. For example, a pair of a secret key and a public key given to the processing device 110 in a public key infrastructure. The encoding software and the encryption software are software (encoding to a special format) and encryption software installed in the processing device 110, respectively.
ユーザDB114には、この処理装置110に登録されている各ユーザ(言い換えればこの処理装置110を「既定の処理装置」とするユーザ)のユーザ情報114aが記憶されている。個々の登録ユーザのユーザ情報114aには、ユーザID、パスワード、ユーザIDキー情報、公開鍵証明書、既定の閲覧端末リスト等の項目が含まれる。これらの項目については、上述のユーザIDサーバ210が持つデータの説明(図4参照)で説明した。 The user DB 114 stores user information 114a of each user registered in the processing device 110 (in other words, a user who sets the processing device 110 as a “default processing device”). The user information 114a of each registered user includes items such as a user ID, a password, user ID key information, a public key certificate, and a predetermined viewing terminal list. These items have been described in the description of the data of the user ID server 210 (see FIG. 4).
ドキュメントDB116には、処理装置110が生成したeDocファイルと、そのeDocファイルに対応するメタデータとが保存される。eDocファイルとメタデータとはDIDの情報を含んでいるので、対応付けが可能である。またドキュメントDB116には、eDocにエンコードする前の元のデータ(作成端末102から受け取ったもの)を、そのeDocのDIDに対応付けて登録してもよい。 The document DB 116 stores an eDoc file generated by the processing device 110 and metadata corresponding to the eDoc file. Since the eDoc file and the metadata include DID information, they can be associated with each other. In the document DB 116, the original data before being encoded into the eDoc (the data received from the creating terminal 102) may be registered in association with the DID of the eDoc.
作成端末102及び閲覧端末104は、当該端末を利用するユーザ毎に、そのユーザの認証情報(ユーザID、パスワード等)、既定の処理装置のID、既定の処理装置のアドレス情報、上位装置(例えば管理システム200や後述の組織内管理システム150)のアドレス情報、処理装置や上位装置のセキュリティ証明書、通信路暗号化等に用いる暗号鍵等を記憶している。 The creation terminal 102 and the browsing terminal 104 provide, for each user who uses the terminal, authentication information (user ID, password, and the like) of the user, ID of a predetermined processing device, address information of a predetermined processing device, and a higher-level device (for example, It stores the address information of the management system 200 and the in-house management system 150 (described later), security certificates of processing devices and higher-level devices, encryption keys used for communication path encryption, and the like.
<システムの処理の流れ>
ローカルネットワーク108上に処理装置110を設置した場合、処理装置110の保守を行う保守作業員は、処理装置110に対して、その処理装置110を利用するユーザの情報や、それらユーザが利用する可能性のある作成端末102や閲覧端末104の情報を登録する。登録されたユーザの情報は、上位装置であるユーザIDサーバ210(あるいは後述のローカルユーザIDサーバ152)にも転送され、登録される。なお、設置後、処理装置110を利用するユーザが増えたり減ったりした場合には、保守作業員は、処理装置110に対して増えたユーザの情報を新たに追加登録したり、減ったユーザの情報の登録を削除したりする作業を行う。このような追加や削除は、ユーザIDサーバ210等の上位装置にも通知され、これに応じ上位装置の保持する情報が更新される。また保守作業員は、それら各作成端末102に対して、処理装置110にドキュメントの登録及び配信を依頼する処理を行うソフトウエア(例えば処理装置110のデバイスドライバの形態をとる)をインストールする。また、保守作業員は、各閲覧端末104に対して、処理装置110と通信するための情報(例えば装置名、通信アドレス、無線アクセス設定)等を登録する。
<System processing flow>
When the processing device 110 is installed on the local network 108, a maintenance worker who performs maintenance on the processing device 110 can provide the processing device 110 with information on the user who uses the processing device 110 and the information that the user can use The information of the creation terminal 102 and the browsing terminal 104 which have a possibility is registered. The registered user information is also transferred to the user ID server 210 (or a local user ID server 152 described later), which is a higher-level device, and registered. When the number of users who use the processing device 110 increases or decreases after the installation, the maintenance worker newly registers information of the increased user with respect to the processing device 110, or updates the information of the reduced user. Work to delete the registration of information. Such addition or deletion is also notified to a higher-level device such as the user ID server 210, and the information held by the higher-level device is updated accordingly. Further, the maintenance worker installs software (for example, in the form of a device driver of the processing device 110) for performing a process of requesting the processing device 110 to register and distribute a document to each of the creation terminals 102. In addition, the maintenance worker registers information (for example, a device name, a communication address, and wireless access settings) for communicating with the processing device 110 in each viewing terminal 104.
次に図8を参照して、本実施形態のドキュメント管理システムを経由してドキュメントが登録及び配信される際の処理の流れを説明する。 Next, a flow of processing when a document is registered and distributed via the document management system of the present embodiment will be described with reference to FIG.
(1)−1: ユーザ(配信者)が作成端末102に対してドキュメントの登録の指示を行うと、作成端末102は、ログイン認証情報(例えばユーザID及びパスワード、又は認証デバイス130)の入力を求める画面を表示する。配信者がその求めに応じて認証情報を入力すると、作成端末102は、その認証情報をローカルネットワーク108経由で処理装置110に送信する。 (1) -1: When the user (distributor) instructs the creation terminal 102 to register a document, the creation terminal 102 inputs login authentication information (for example, a user ID and password or the authentication device 130). Display the screen you want. When the distributor inputs authentication information in response to the request, the creation terminal 102 transmits the authentication information to the processing device 110 via the local network 108.
(1)−2: ログイン認証情報を受け取った処理装置110はその情報を用いてユーザ認証を行う。ここではそのユーザ認証が成功した(正しいユーザと確認できた)とする。図示例では、ログインIDとパスワードを用いてログイン認証を行っているが、作成端末102が認証デバイス130との通信に対応している場合は認証デバイス130を用いてログイン認証を行ってもよい。 (1) -2: The processing device 110 that has received the login authentication information performs user authentication using the information. Here, it is assumed that the user authentication has succeeded (the user has been confirmed as a correct user). In the illustrated example, login authentication is performed using a login ID and a password. However, if the creation terminal 102 supports communication with the authentication device 130, login authentication may be performed using the authentication device 130.
(2)−1: ログイン認証が成功すると、ユーザは、作成端末102に保持されたドキュメントの中からドキュメント管理システムに登録したい(そして他のユーザに配信したい)ドキュメントを選択し、処理装置110への登録を指示する。すると、処理装置110とのインタフェースとなるソフト(例えばデバイスドライバ)が起動し、ユーザからそのドキュメントについての属性データの入力を受け付け、受け付けた属性データとそのドキュメントのデータを処理装置110に送信する。 (2) -1: When the login authentication is successful, the user selects a document to be registered in the document management system (and to be distributed to another user) from the documents held in the creation terminal 102, and sends the document to the processing device 110. Instruct the registration of. Then, software (e.g., a device driver) serving as an interface with the processing device 110 starts, receives input of attribute data on the document from the user, and transmits the received attribute data and the data of the document to the processing device 110.
図9に、この属性データの入力画面400の一例を示す。この入力画面400は、配信先ユーザ選択メニュー402、配信先ユーザリスト欄404、配信先端末選択メニュー406、配信先端末リスト欄408、アクセス権限設定欄410、オフライン有効期間メニュー412、及びオプション設定呼出ボタン414を含む。 FIG. 9 shows an example of the input screen 400 for the attribute data. The input screen 400 includes a distribution destination user selection menu 402, a distribution destination user list column 404, a distribution destination terminal selection menu 406, a distribution destination terminal list column 408, an access authority setting column 410, an offline valid period menu 412, and an option setting call. Button 414 is included.
配信先ユーザ選択メニュー402は、そのドキュメントの配信先ユーザの選択肢を列挙するプルダウン形式のメニューである。選択肢となるユーザは処理装置110に登録されたユーザであり、選択肢となるそれらユーザのID及びユーザ名のリストは処理装置110から取得すればよい。あるいは、作成端末102が、組織に所属するドキュメント管理システムのユーザの情報を管理する後述のローカルユーザIDサーバ152(図12参照)からユーザのリストを取得し、配信者が、組織内の他の処理装置110に登録されたユーザを配信先に選択できるようにしてもよい。この場合、配信先ユーザ選択メニュー402では、各ユーザを、各々が登録された処理装置110が区別可能な表示形態で表示する。例えば、ユーザを、そのユーザが登録された処理装置110毎に異なる色や字体で表示してもよい。あるいはそのメニューを階層構造とし、まず処理装置110を選んでその処理装置110に登録されたユーザのリストを呼び出し、そのリストの中から配信先のユーザを選ぶ態様としてもよい。配信先ユーザリスト欄404には、ユーザが選んだ配信先ユーザのリストが表示される。配信者が配信先ユーザ選択メニュー402で配信先ユーザを選び、右側にある「追加」ボタンを押下すると、その配信先ユーザのユーザID又はユーザ名が配信先ユーザリスト欄404に追加される。また、配信者が配信先ユーザリスト欄404内の配信先ユーザを選び、右側の「削除」ボタンを押下すると、その配信先ユーザが配信先ユーザリスト欄404から削除される(すなわち配信先ではなくなる)。 The distribution destination user selection menu 402 is a pull-down menu that lists options of distribution destination users of the document. The optional users are the users registered in the processing device 110, and a list of the IDs and user names of the optional users may be obtained from the processing device 110. Alternatively, the creation terminal 102 obtains a list of users from a local user ID server 152 (see FIG. 12) described later that manages information of users of the document management system belonging to the organization, and the distributor transmits the list to other users in the organization. The user registered in the processing device 110 may be selected as a distribution destination. In this case, in the distribution destination user selection menu 402, each user is displayed in a display form in which the processing device 110 in which each user is registered can be distinguished. For example, the user may be displayed in a different color or font for each processing device 110 with which the user is registered. Alternatively, the menu may have a hierarchical structure, in which a processing device 110 is first selected, a list of users registered in the processing device 110 is called, and a distribution destination user is selected from the list. A delivery destination user list field 404 displays a list of delivery destination users selected by the user. When the distributor selects a distribution destination user from the distribution destination user selection menu 402 and presses an “Add” button on the right side, the user ID or user name of the distribution destination user is added to the distribution destination user list field 404. When the distributor selects a distribution destination user in the distribution destination user list field 404 and presses a “Delete” button on the right side, the distribution destination user is deleted from the distribution destination user list field 404 (that is, the distribution destination user is no longer a distribution destination). ).
配信先端末選択メニュー406は、そのドキュメントの配信先とする閲覧端末(ビューワ)104の選択肢を列挙するプルダウン形式のメニューである。選択肢となる閲覧端末104は処理装置110に登録されたものであり、選択肢となるそれら閲覧端末104のID及び端末名のリストは処理装置110から取得すればよい。あるいは、処理装置110自身やローカルユーザIDサーバ152(図12参照。詳細は後述)等がドキュメント管理システムに登録された組織内の閲覧端末104のリストを有しており、作成端末102が、そのリストを配信者に提示して、組織内の他の処理装置110に登録されたユーザの閲覧端末104を配信先に選択できるようにしてもよい。配信先ユーザリスト欄404には、配信先ユーザリスト欄404の場合と同様、配信者が配信先端末選択メニュー406で選んだ配信先の閲覧端末104のリストが表示される。 The distribution destination terminal selection menu 406 is a pull-down menu that lists options of the viewing terminal (viewer) 104 as a distribution destination of the document. The viewing terminals 104 as options are registered in the processing device 110, and a list of IDs and terminal names of the viewing terminals 104 as options may be obtained from the processing device 110. Alternatively, the processing device 110 itself, the local user ID server 152 (see FIG. 12, see below for details), and the like have a list of the browsing terminals 104 in the organization registered in the document management system. The list may be presented to the distributor so that the browsing terminal 104 of the user registered in another processing device 110 in the organization can be selected as the distribution destination. As in the case of the distribution destination user list column 404, a list of distribution destination viewing terminals 104 selected by the distributor in the distribution destination terminal selection menu 406 is displayed in the distribution destination user list column 404.
なお、配信先のユーザ毎にそのユーザに対応する配信先の閲覧端末104を指定できるようにしてもよい。これには作成端末102は、例えば、配信先ユーザリスト欄404で配信先のユーザが選択される毎に、処理装置110(あるいはローカルユーザIDサーバ152又はユーザIDサーバ210)からそのユーザの既定の閲覧端末のリストを取得し、そのリストを配信先端末選択メニュー406に設定すればよい。配信者が配信先のユーザに対する配信先の閲覧端末104を明示的に選択しなかった場合は、そのユーザの既定の閲覧端末のリスト中の特定のもの(例えばリストの先頭)が自動的に配信先の閲覧端末104に選択される。 In addition, you may enable it to specify the browsing terminal 104 of the distribution destination corresponding to the user for every distribution destination user. For this purpose, for example, each time a distribution destination user is selected in the distribution destination user list field 404, the creation terminal 102 sends the user's default from the processing device 110 (or the local user ID server 152 or the user ID server 210). A list of viewing terminals may be obtained, and the list may be set in the distribution destination terminal selection menu 406. If the distributor does not explicitly select the distribution destination viewing terminal 104 for the distribution destination user, a specific one (for example, the top of the list) in the list of the user's default browsing terminal is automatically distributed. The selected terminal 104 is selected.
アクセス権限設定欄410は、そのドキュメントに対する配信先ユーザのアクセス権限(利用権限)を設定するための欄である。図示例では、閲覧、加工(編集)、印刷、コピーの4つの権限項目についてのチェックボックスが示されており、配信者は、そのドキュメントについて配信先ユーザに許可する項目のチェックボックスにチェックを入れる。 The access right setting column 410 is a column for setting the access right (use right) of the distribution destination user to the document. In the illustrated example, check boxes for four authority items of browsing, processing (editing), printing, and copying are shown, and the distributor checks the check boxes of items permitted to the distribution destination user for the document. .
オフライン有効期間メニュー412は、ドキュメントに対して設定するオフライン有効期間の長さの選択肢を示すプルダウンメニューである。配信者は、オフライン有効期間メニュー412に示される数段階のオフライン有効期間の中から、今回システムに登録して配信するドキュメントに対して設定する期間を選ぶ。 The offline valid period menu 412 is a pull-down menu showing options for the length of the offline valid period set for the document. The distributor selects a period to be set for the document to be registered and distributed to the system this time from among several stages of the offline valid period shown in the offline valid period menu 412.
またオプション設定呼出ボタン414が押下されると、作成端末102は、図10に例示するオプション設定画面420を表示する。オプション設定画面420は、処理装置指定欄422と元データ設定欄424を含む。処理装置指定欄422には、ドキュメントの送信先とする処理装置110の選択肢を示したプルダウンメニューが含まれる。このメニューには、作成端末102から選択可能な処理装置110のリストが含まれる。このリストに含まれる処理装置110は、まずその作成端末102が属するローカルシステム100内にある処理装置110(基本は1つだが、複数あってもよい)である。また、同じ組織内の別のローカルシステム100の処理装置110がそのリストに含まれていてもよい。元データ設定欄424には、eDocの元になった元データを処理装置110に保存するかの選択を受け付けるプルダウンメニューが表示される。 When the option setting call button 414 is pressed, the creation terminal 102 displays an option setting screen 420 illustrated in FIG. The option setting screen 420 includes a processing device designation column 422 and an original data setting column 424. The processing device designation column 422 includes a pull-down menu showing options of the processing device 110 to which the document is to be transmitted. This menu includes a list of processing devices 110 that can be selected from the creation terminal 102. The processing devices 110 included in this list are first the processing devices 110 in the local system 100 to which the creation terminal 102 belongs (there is basically one, but there may be more than one). Further, the processing device 110 of another local system 100 in the same organization may be included in the list. In the original data setting column 424, a pull-down menu for accepting a selection as to whether the original data on which the eDoc is based is stored in the processing device 110 is displayed.
ステップ(2)−1で作成端末102から処理装置110に送られる属性データには、このような設定画面により設定された、配信先情報(ユーザのリスト及び閲覧端末のリスト)、アクセス権限情報、オフライン有効期間、元データ情報等の情報が含まれる。 The attribute data sent from the creation terminal 102 to the processing device 110 in step (2) -1 includes distribution destination information (user list and browsing terminal list), access authority information, Information such as an offline valid period and original data information is included.
図8の説明に戻る。 Returning to the description of FIG.
(2)−2: 処理装置110は、作成端末102からドキュメント(対象ドキュメントと呼ぶ)及び属性データを受信する。 (2) -2: The processing device 110 receives a document (called a target document) and attribute data from the creation terminal 102.
(3)−1: 処理装置110は、DIDの発行権限及び発行枠を受け取っていない場合(あるいは受け取った発行枠を使い切った場合)は、管理システム200のDIDサーバ220に対して新たな発行権限及び発行枠を要求する。なお、受け取った発行枠に残りがある場合には、この要求を行わずに後述のステップ(4)に進む。 (3) -1: If the processing device 110 has not received the DID issuing authority and the issuing frame (or has used up the received issuing frame), the processing device 110 issues a new issuing authority to the DID server 220 of the management system 200. And request an issue slot. If there is any remaining in the received issuance slot, the process proceeds to step (4) described later without making this request.
(3)−2: DIDサーバ220は、処理装置110からの要求に応じ、新たな発行権限及び発行枠をその処理装置110に送信する。 (3) -2: In response to a request from the processing device 110, the DID server 220 transmits a new issuing authority and a new issuing frame to the processing device 110.
(4) 処理装置110は、DIDサーバ220から付与された発行権限を用いてDIDを発行し、そのDIDを対象ドキュメントから生成するeDoc(次のステップで生成する)に付与する。 (4) The processing device 110 issues a DID using the issuance authority assigned from the DID server 220, and assigns the DID to an eDoc (generated in the next step) generated from the target document.
(5)−1: 処理装置110は、対象ドキュメントを暗号化するための暗号鍵を例えば乱数等を用いて生成する。また処理装置110は、対象ドキュメントをeDocファイルへ変換する。すなわち、その対象ドキュメントをドキュメント管理システムの専用フォーマットへとエンコードし、エンコード結果を先ほど生成した暗号鍵で暗号化することでeDocファイルを生成する。生成したeDocファイルには先ほど生成したDIDの情報を含める。 (5) -1: The processing device 110 generates an encryption key for encrypting the target document using, for example, a random number or the like. Further, the processing device 110 converts the target document into an eDoc file. In other words, the eDoc file is generated by encoding the target document into a special format of the document management system and encrypting the encoding result with the encryption key generated earlier. The generated eDoc file includes the information of the DID generated earlier.
(5)−2: 処理装置110は、生成したeDocのメタデータを生成する。すなわち、作成端末102から受信した属性データに対して、先ほど生成したDID、エンコードの日時、当該処理装置110のID、暗号化情報等を追加することでメタデータを生成する(図3参照)。ここで、暗号化情報には、配信先ユーザのそれぞれについて、暗号化に用いた暗号鍵をその配信先ユーザの公開鍵で暗号化した鍵情報が含まれる。 (5) -2: The processing device 110 generates metadata of the generated eDoc. That is, metadata is generated by adding the previously generated DID, encoding date and time, ID of the processing device 110, encryption information, and the like to the attribute data received from the creation terminal 102 (see FIG. 3). Here, the encryption information includes, for each distribution destination user, key information obtained by encrypting the encryption key used for encryption with the public key of the distribution destination user.
(5)−3: 作成端末102から元データを保管する旨の指示を受け取った場合は、処理装置110は、作成端末102から受信したドキュメント(又はそのドキュメントの元になったアプリケーションデータ)を保存する。 (5) -3: When receiving an instruction to store the original data from the creation terminal 102, the processing device 110 saves the document received from the creation terminal 102 (or the application data from which the document is based). I do.
(6)−1: 処理装置110は、先ほど生成したDIDをDIDサーバ220にアップロードする。DIDサーバ220は、処理装置110からアップロードされたDIDを保管する。 (6) -1: The processing device 110 uploads the DID generated earlier to the DID server 220. The DID server 220 stores the DID uploaded from the processing device 110.
(6)−2: 処理装置110は、先ほど生成したメタデータをメタデータサーバ230にアップロードする。メタデータサーバ230は、処理装置110からアップロードされてきたメタデータを保管する。 (6) -2: The processing device 110 uploads the metadata generated earlier to the metadata server 230. The metadata server 230 stores the metadata uploaded from the processing device 110.
(7) 処理装置110は、生成したeDocの配信先の各閲覧端末104に対して、そのeDocについての配信準備完了通知を送信する。この通知には、先ほど生成したDID、eDocのドキュメント名の情報を含む。また、この通知は、eDocの代表ページ(先頭ページ等の予め指定されたページ)のサムネイル画像を含んでいてもよい。 (7) The processing device 110 transmits a distribution preparation completion notification for the eDoc to each viewing terminal 104 to which the generated eDoc is distributed. This notification includes information on the DID and the document name of the eDoc generated earlier. Also, this notification may include a thumbnail image of a representative page of the eDoc (a previously specified page such as the first page).
さて、閲覧端末104を利用するユーザ(閲覧者と呼ぶ)は、自分の認証デバイス130を閲覧端末104のカードリーダ部に近づけることで、ユーザ認証を受ける。閲覧端末104は、自身に配信されているeDocのリストを表示するリスト画面を表示する。図11にこのリスト画面500の例を示す。この例のリスト画面500には、eDoc毎に、通知マーク502、そのeDocのドキュメント名504、閲覧可否マーク506が含まれる。通知マーク502は、そのeDocの状態を閲覧者に通知するためのマークである。通知マーク502が表すeDocの状態には、「新着」(処理装置110からドキュメントが配信された後、まだ開かれていない状態。図では「☆」印で示す)、「正常」(図では無印)、「期限切れ」(アクセス有効期間が過ぎている状態。図では「!」印で示す)等がある。「期限切れ」状態については、閲覧端末104内にeDocファイルが保存されていても、そのeDocについての最新のメタデータを処理装置110又は管理システム200から取得するまでは、閲覧できない。「正常」状態のeDocについては、その閲覧端末104内には、アクセス有効期間が切れていないメタデータが保存(キャッシュ)されているので、仮に閲覧端末104が処理装置110や管理システム200に対してオフライン状態となっていても閲覧可能である。閲覧可否マーク506は、閲覧端末104及びこれを使用しているユーザ(認証デバイス130により認証)の組合せが、当該閲覧端末104にキャッシュされたそのeDocのメタデータに示されるそのeDocの配信先のユーザ及び閲覧端末104の組合せに合致するか否かを示す。合致すればそのeDocは閲覧可能(図では「○」印)、合致しなければ閲覧不可(図では「×」印)である。また、配信準備完了通知は受け取ったがまだeDocファイル及びメタデータを受信していないeDocについては、閲覧端末104は配信先の組合せに合致するか否かの判断基準の情報を持たないので、閲覧可否マーク506は、未定であることを示す「−」印となる。図示例では、上から3つのeDocは、新着のものであり、まだeDoc本体(ファイル及びメタデータ)の取得が済んでいないので、閲覧可否マーク506は未定を表すマークとなっている。 Now, the user (referred to as a viewer) using the browsing terminal 104 receives user authentication by bringing his / her authentication device 130 close to the card reader unit of the browsing terminal 104. The browsing terminal 104 displays a list screen displaying a list of eDocs distributed to itself. FIG. 11 shows an example of this list screen 500. The list screen 500 in this example includes a notification mark 502, a document name 504 of the eDoc, and a browsability mark 506 for each eDoc. The notification mark 502 is a mark for notifying the viewer of the state of the eDoc. The state of the eDoc represented by the notification mark 502 includes “new arrival” (a state in which the document has not been opened after the document has been distributed from the processing device 110, which is indicated by a “☆” mark in the figure), and “normal” (no mark in the figure). ), “Expired” (access validity period has expired, indicated by “!” In the figure), and the like. Regarding the “expired” state, even if an eDoc file is stored in the browsing terminal 104, it cannot be browsed until the latest metadata about the eDoc is acquired from the processing device 110 or the management system 200. With respect to the eDoc in the “normal” state, since the metadata whose access validity period has not expired is stored (cached) in the browsing terminal 104, the browsing terminal 104 may temporarily store the metadata in the processing device 110 or the management system 200. Even if you are offline, you can browse. The browsing permission / prohibition mark 506 indicates that the combination of the browsing terminal 104 and the user using the same (authentication by the authentication device 130) indicates the distribution destination of the eDoc indicated in the metadata of the eDoc cached in the browsing terminal 104. It indicates whether the combination of the user and the viewing terminal 104 matches. If they match, the eDoc can be browsed (marked with “○” in the figure), and if they do not match, it cannot be browsed (marked with “x” in the figure). For eDocs that have received the distribution preparation completion notification but have not yet received the eDoc file and metadata, the browsing terminal 104 does not have information on the criteria for determining whether or not the eDocs match the combination of distribution destinations. The permission / inhibition mark 506 is a “-” mark indicating that the status is undecided. In the illustrated example, the three eDocs from the top are new arrivals, and the eDoc body (file and metadata) has not yet been acquired, so that the browsing permission / inhibition mark 506 is a mark indicating undecided.
閲覧者は、このリスト画面(図11)上で、自分が閲覧したいeDocを例えばタッチ操作等で選択し、閲覧指示を行う。ここでは、新着(通知マーク502が「☆」印)のeDocが閲覧対象に選ばれたとする。 The viewer selects an eDoc he / she wants to view on the list screen (FIG. 11) by, for example, a touch operation or the like, and gives a viewing instruction. Here, it is assumed that the newly arrived eDoc (the notification mark 502 is a “☆” mark) is selected as the browsing target.
(8) 図8の説明に戻る。閲覧端末104は、選ばれた閲覧対象のeDocファイル及びメタデータを保持していないので、処理装置110から取得する必要がある。そこで、閲覧端末104は、自身が接続されているローカルネットワーク108上の処理装置110に対して、その閲覧者の認証デバイス130から取得した認証情報であるユーザIDキーを自身が接続されているローカルネットワーク108上に処理装置110に対して送信する。処理装置110は、そのユーザIDキーが自身に登録されているユーザを証明するものであるか検証する(ユーザ認証)。ここでは、そのユーザ認証が成功したとする。なお、閲覧端末104から受信したユーザIDキーが処理装置110に登録されたいずれのユーザにも該当しなかった場合、処理装置110は、そのユーザIDキーをユーザ認証に関する上位装置(ユーザIDサーバ210又はローカルユーザIDサーバ152)に送り、ユーザ認証を依頼してもよい。 (8) Return to the description of FIG. Since the viewing terminal 104 does not hold the selected viewing target eDoc file and metadata, it is necessary to obtain the eDoc file from the processing device 110. Therefore, the browsing terminal 104 sends the user ID key, which is the authentication information acquired from the authentication device 130 of the browsing user, to the processing device 110 on the local network 108 to which the browsing terminal 104 is connected. The information is transmitted to the processing device 110 on the network 108. The processing device 110 verifies whether the user ID key proves a user registered in the processing device 110 (user authentication). Here, it is assumed that the user authentication has succeeded. If the user ID key received from the viewing terminal 104 does not correspond to any of the users registered in the processing device 110, the processing device 110 assigns the user ID key to a higher-level device related to user authentication (user ID server 210). Alternatively, it may be sent to the local user ID server 152) to request user authentication.
(9)−1: また閲覧端末104は、処理装置110でのユーザ認証が成功したのを受けて、閲覧者が選択した閲覧対象のeDocのDIDを含む配信要求を処理装置110に送る。 (9) -1: Further, in response to the successful user authentication in the processing device 110, the viewing terminal 104 sends a distribution request including the DID of the eDoc to be viewed selected by the viewer to the processing device 110.
(9)−2: 処理装置110は、閲覧端末104からの配信要求に含まれるDIDに対応するeDocファイル及びメタデータを、閲覧端末104に返信する。 (9) -2: The processing device 110 returns an eDoc file and metadata corresponding to the DID included in the distribution request from the viewing terminal 104 to the viewing terminal 104.
(10) 閲覧端末104は、処理装置110から送られてきたeDocファイル及びメタデータを受信して保存(キャッシュ)する。 (10) The viewing terminal 104 receives and stores (caches) the eDoc file and the metadata transmitted from the processing device 110.
(11) 閲覧端末104は、自身と、自身を現在使用中の閲覧者との組合せと一致する組合せが、そのメタデータ中の配信先情報(図3参照)に示される配信先ユーザと配信先端末の組合せの中にあるかどうかを判定する。ないと判定した場合は、閲覧者はその閲覧端末104ではそのeDocファイルを閲覧できない。この場合、閲覧端末104は、閲覧できない旨を示すエラーメッセージを表示する。またこの場合、閲覧端末104は、保存しているそのeDocファイル(及び対応するメタデータ)を削除してもよい。一方、閲覧端末104とそれを現在使用中の閲覧者との組合せに該当するものがメタデータ中の配信者情報内にあると判定した場合、閲覧端末104は、閲覧者に対してeDocの閲覧を許可する。この場合、閲覧端末104は、そのメタデータ内の暗号化情報に含まれる各配信先ユーザに対応する暗号化済みの鍵の中から閲覧者に対応するものを取り出し、その鍵を閲覧者の秘密鍵(これは例えば認証デバイス130が保持している)で復号することで、eDocファイルの復号に必要な復号鍵を復元する。 (11) The browsing terminal 104 determines that the combination that matches the combination of itself and the browsing user who is currently using it is the distribution destination user and distribution destination indicated in the distribution destination information (see FIG. 3) in the metadata. It is determined whether it is in the terminal combination. If it is determined that there is no eDoc file, the browsing terminal 104 cannot browse the eDoc file. In this case, the browsing terminal 104 displays an error message indicating that browsing cannot be performed. In this case, the viewing terminal 104 may delete the stored eDoc file (and the corresponding metadata). On the other hand, if the browsing terminal 104 determines that the combination of the browsing terminal 104 and the viewer currently using the browsing terminal 104 is included in the distributor information in the metadata, the browsing terminal 104 requests the browsing user to view the eDoc. Allow In this case, the browsing terminal 104 extracts the key corresponding to the viewer from among the encrypted keys corresponding to the respective distribution destination users included in the encryption information in the metadata, and transfers the key to the secret of the viewer. The decryption key required for decrypting the eDoc file is restored by decrypting with the key (for example, this is held by the authentication device 130).
(12) 閲覧端末104は、復元した復号鍵を用いてそのeDocファイルを復号することで閲覧可能なドキュメントを再生し、そのドキュメントを出力(例えば画面表示)する。また、閲覧端末104は、閲覧者からそのドキュメントに対する操作指示を受け付けるかどうかを、メタデータに含まれるアクセス権限情報に従って制御する。閲覧端末104は、基本的には、復号したドキュメントをファイルに保存することはしない。すなわち、閲覧終了後は、閲覧端末104の不揮発性記憶装置には、eDocファイルとメタデータが保存されるが、復号結果のドキュメントは保存されない。 (12) The browsing terminal 104 reproduces a browsable document by decrypting the eDoc file using the restored decryption key, and outputs the document (for example, screen display). The browsing terminal 104 controls whether to accept an operation instruction for the document from the browsing user according to the access authority information included in the metadata. The viewing terminal 104 does not basically store the decrypted document in a file. That is, after the browsing is completed, the eDoc file and the metadata are stored in the nonvolatile storage device of the browsing terminal 104, but the decrypted document is not stored.
次に、図12を参照して、本実施形態のドキュメント管理システムの別の例を説明する。図12に示す例では、企業等の組織のプライベートネットワークである組織内ネットワーク内にローカルシステム100が複数存在する。そして、組織内ネットワークには、組織内管理システム150が設けられている。組織内管理システム150は、ドキュメント管理システムのうち当該組織内の処理やそれに必要な情報を管理する。すなわち、管理システム200は、ドキュメント管理システムのサービスプロバイダが運用し、ドキュメント管理システムを利用する複数の組織についての情報や処理を管理するのに対し、組織内管理システム150はそれら情報や処理のうち当該組織に関する部分を、管理システム200の管理下で管理する。 Next, another example of the document management system according to the present embodiment will be described with reference to FIG. In the example illustrated in FIG. 12, a plurality of local systems 100 exist in an intra-organizational network that is a private network of an organization such as a company. In addition, an in-house management system 150 is provided in the in-house network. The organization management system 150 manages processing in the organization and information necessary for the processing in the document management system. That is, the management system 200 is operated by a service provider of the document management system, and manages information and processes for a plurality of organizations that use the document management system. The part related to the organization is managed under the management of the management system 200.
組織内管理システム150は、ローカルユーザIDサーバ152、ローカルDIDサーバ154、及びローカルメタデータサーバ156を有する。 The organization management system 150 includes a local user ID server 152, a local DID server 154, and a local metadata server 156.
ローカルユーザIDサーバ152は、当該組織のメンバのうちドキュメント管理システムにユーザ登録されているユーザの情報を管理する。ローカルユーザIDサーバ152が保持する個々のユーザの情報は、図4に記載したユーザIDサーバ210が保持する一般ユーザの情報と同様である。処理装置110に対して、その処理装置110を取得し利用するユーザ(すなわちその処理装置110を「既定の処理装置」とするユーザ)が登録されると、処理装置110は登録されたユーザの情報を組織内のローカルユーザIDサーバ152に送る。ローカルユーザIDサーバ152は、受け取ったユーザの情報を保存すると共に、広域ネットワーク10経由で中央の管理システム200のユーザIDサーバ210に送る。ユーザIDサーバ210は、受け取ったユーザの情報を保管する。又、処理装置110に登録されたユーザの情報に変更が生じた場合、管理者等が処理装置110に対してそのユーザの情報の変更を行う。処理装置110は、このユーザ情報の変更内容の情報(例えばユーザIDと、変更された情報項目の項目名と、その項目の変更後の値とを含む)をローカルユーザIDサーバ152に送信し、ローカルユーザIDサーバ152は、受信した変更に内容に応じて自身が保管している当該ユーザの情報を変更する。また、ローカルユーザIDサーバ152は、受け取った変更内容の情報を中央のユーザIDサーバ210に送り、ユーザIDサーバ210は送られてきた情報に応じて、自分が保持するそのユーザの情報を変更する。 The local user ID server 152 manages information on users who are registered in the document management system among members of the organization. The individual user information held by the local user ID server 152 is the same as the general user information held by the user ID server 210 shown in FIG. When a user who acquires and uses the processing device 110 (that is, a user who sets the processing device 110 as a “default processing device”) is registered in the processing device 110, the processing device 110 acquires information on the registered user. To the local user ID server 152 in the organization. The local user ID server 152 stores the received user information and sends it to the user ID server 210 of the central management system 200 via the wide area network 10. The user ID server 210 stores the received user information. When the information of the user registered in the processing device 110 is changed, an administrator or the like changes the information of the user to the processing device 110. The processing device 110 transmits to the local user ID server 152 information on the content of the change of the user information (including, for example, the user ID, the item name of the changed information item, and the value after the change of the item), The local user ID server 152 changes the information of the user stored therein according to the content of the received change. Further, the local user ID server 152 sends the received change information to the central user ID server 210, and the user ID server 210 changes the information of the user held by the user according to the sent information. .
ローカルDIDサーバ154は、当該組織の組織内ネットワークに属する各ローカルシステム100内の処理装置110が発行したDIDを受け取り、保管する。ローカルDIDサーバ154が保持する情報は、図5に記載したDIDサーバ220が保持する情報と同様である。またローカルDIDサーバ154は、処理装置110から受け取ったDIDの情報を中央のDIDサーバ220に送り、DIDサーバ220はその情報を保管する。また、ローカルDIDサーバ154は、中央のDIDサーバ220からDIDの発行権限及び発行枠を付与され、その発行枠の範囲内で、その発行権限に基づいて管理下の各処理装置110に対してDIDの発行権限及び発行枠を付与する。 The local DID server 154 receives and stores the DID issued by the processing device 110 in each local system 100 belonging to the organization's internal network. The information held by the local DID server 154 is the same as the information held by the DID server 220 shown in FIG. Further, the local DID server 154 sends the DID information received from the processing device 110 to the central DID server 220, and the DID server 220 stores the information. In addition, the local DID server 154 is given a DID issuing authority and an issuing frame from the central DID server 220, and within a range of the issuing frame, sends a DID to each of the managed processing devices 110 based on the issuing authority. Granting the issuance authority and issuance limit.
ローカルメタデータサーバ156は、当該組織の組織内ネットワークに属する各ローカルシステム100内の処理装置110が生成したeDocのメタデータを受け取り、保管する。ローカルメタデータサーバ156が保持する情報は、メタデータサーバ230が保持する情報と同様である。またローカルメタデータサーバ156は、処理装置110から受け取ったメタデータを中央のメタデータサーバ230に送り、メタデータサーバ230はそのメタデータを保管する。 The local metadata server 156 receives and stores eDoc metadata generated by the processing device 110 in each local system 100 belonging to the organization's internal network. The information held by the local metadata server 156 is the same as the information held by the metadata server 230. Further, the local metadata server 156 sends the metadata received from the processing device 110 to the central metadata server 230, and the metadata server 230 stores the metadata.
図12のシステムでは、処理装置110は、自分には登録されていないが同じ組織内の他の処理装置110に登録されているユーザからのドキュメントの登録(及び配信)要求、又はeDocファイル又はメタデータの取得要求等の要求を受けた場合、組織内管理システム150を介してそれら要求に応答する。 In the system shown in FIG. 12, the processing device 110 requests registration (and distribution) of a document from a user who is not registered in the processing device but is registered in another processing device 110 in the same organization, or an eDoc file or meta file. When a request such as a data acquisition request is received, the request is responded to via the in-house management system 150.
1つの例として、組織内ネットワーク内の第1の部署にある第1のローカルシステム100内の処理装置#1に登録されている閲覧者が、その処理装置#1に登録され配信されたeDocを自分の閲覧端末104に保存し、その後処理装置#2の管理下にある第2の部署に移動してそのeDocを閲覧しようとしたときのことを考える。この時点では、その閲覧端末104内に保存されたそのeDocのメタデータは古くなっている(すなわちアクセス有効期間が過ぎている)ものとする。この場合、閲覧者がその閲覧端末104でそのeDocを開く操作を行った場合、図13に示す処理が行われる。 As one example, a viewer registered in the processing device # 1 in the first local system 100 in the first department in the organization network may download the eDoc registered and distributed to the processing device # 1. Consider a case in which the eDoc is saved in the user's own browsing terminal 104 and then moved to the second department under the control of the processing device # 2 to browse the eDoc. At this point, it is assumed that the metadata of the eDoc stored in the browsing terminal 104 is out of date (that is, the access validity period has passed). In this case, when the viewer performs an operation of opening the eDoc at the browsing terminal 104, the processing illustrated in FIG. 13 is performed.
まず、閲覧端末104は、自身が今接続している第2のローカルシステム100のローカルネットワーク108から処理装置110を探す。これにより処理装置#2が見つかる。この処理装置#2は、そのeDocを配信した処理装置#1とは別の装置なので、そのeDocファイルやメタデータは持っていない。 First, the browsing terminal 104 searches for the processing device 110 from the local network 108 of the second local system 100 to which the browsing terminal 104 is currently connected. Thereby, the processing device # 2 is found. Since this processing device # 2 is a device different from the processing device # 1 that has delivered the eDoc, it does not have its eDoc file or metadata.
(1) 閲覧端末104は、閲覧者の認証デバイス130からユーザIDキー(認証情報)を読み込む。 (1) The viewing terminal 104 reads a user ID key (authentication information) from the authentication device 130 of the viewer.
(2) 閲覧端末104は、閲覧の対象として指示されたそのeDocの最新のメタデータを取得するためのユーザ認証のために、その処理装置#2に対して、認証デバイス130から取得したユーザIDキーを送信する。 (2) The browsing terminal 104 sends the user ID acquired from the authentication device 130 to the processing device # 2 for user authentication to acquire the latest metadata of the eDoc designated as the browsing target. Send the key.
(3) 閲覧端末104は、そのeDocのメタデータを処理装置#2に要求する。この要求には、そのeDocのDIDが含まれる。 (3) The browsing terminal 104 requests the metadata of the eDoc from the processing device # 2. The request includes the DID of the eDoc.
(4)−1: 処理装置#2は、閲覧端末104から受け取ったユーザIDキーが自身に登録されたユーザのものかどうかを調べる(ユーザ認証)。この例では、その閲覧者は処理装置#1に登録されており、処理装置#2には登録されていないので、処理装置#2は、予め設定されているローカルユーザIDサーバ152のアドレスに対して、そのユーザIDキーを含む認証要求を送る。また、処理装置#2は、閲覧端末104からのメタデータ要求に含まれるDIDを、予め設定されているローカルDIDサーバ154に送り、認証を求める。 (4) -1: The processing device # 2 checks whether the user ID key received from the browsing terminal 104 belongs to a user registered therein (user authentication). In this example, the viewer is registered in the processing device # 1 and not registered in the processing device # 2. Therefore, the processing device # 2 receives the address of the local user ID server 152 set in advance. Sends an authentication request including the user ID key. Further, the processing device # 2 sends the DID included in the metadata request from the browsing terminal 104 to the preset local DID server 154, and requests authentication.
(4)−2: ローカルユーザIDサーバ152は、処理装置#2から受け取ったユーザIDキーが、自身に登録されているユーザのものであるかどうかを検証する(ユーザ認証)。そのユーザIDキーの持ち主である閲覧者は、処理装置#1に登録されているので、その上位装置であるローカルユーザIDサーバ152にもユーザ登録がなされている。したがって、このユーザ認証は成功する。ローカルユーザIDサーバ152は、認証が成功したことを示す応答を処理装置#2に返す。 (4) -2: The local user ID server 152 verifies whether or not the user ID key received from the processing device # 2 belongs to a user registered therein (user authentication). Since the viewer who owns the user ID key is registered in the processing device # 1, the user is also registered in the local user ID server 152, which is the higher-level device. Therefore, this user authentication succeeds. The local user ID server 152 returns a response indicating that the authentication has succeeded to the processing device # 2.
またローカルDIDサーバ154は、閲覧端末104から送られてきた検証対象のDIDが正当なDIDであるかどうか、すなわち自身が保存しているDIDであるかどうかを調べる。この例では、そのeDocのDIDは、処理装置#1が発行したものであり、処理装置#1のDIDに関する上位装置であるローカルDIDサーバ154にも保存されている。したがって、そのDIDは正当なものであると認証される。ローカルDIDサーバ154は、DIDが正当であると認証する旨の応答を処理装置#2に返す。 The local DID server 154 checks whether the DID to be verified sent from the browsing terminal 104 is a valid DID, that is, whether the local DID server is a stored DID. In this example, the DID of the eDoc is issued by the processing device # 1, and is also stored in the local DID server 154 which is a higher-order device relating to the DID of the processing device # 1. Therefore, the DID is authenticated as valid. The local DID server 154 returns a response to the effect that the DID is authenticated to the processing device # 2.
(5)−1: ユーザ認証及びDID認証が成功したので、処理装置#2は、閲覧端末104からのメタデータ要求に応えるための処理を続行する。すなわち、処理装置#2は、DIDを含むメタデータ要求を、あらかじめ設定されているローカルメタデータサーバ156のアドレスに送る。 (5) -1: Since the user authentication and the DID authentication are successful, the processing device # 2 continues the process for responding to the metadata request from the viewing terminal 104. That is, the processing device # 2 sends a metadata request including the DID to a preset address of the local metadata server 156.
(5)−2: ローカルメタデータサーバ156は、処理装置#2からメタデータ要求を受けると、その要求に含まれるDIDに対応するメタデータを処理装置#2に返す。eDocのメタデータは、配信者から処理装置110にて変更されると、その変更が即座にローカルメタデータサーバ156に反映されるので、このとき処理装置#2に返されるメタデータは、閲覧対象のeDocのメタデータの最新版である。 (5) -2: Upon receiving the metadata request from the processing device # 2, the local metadata server 156 returns the metadata corresponding to the DID included in the request to the processing device # 2. When the eDoc metadata is changed by the processing device 110 from the distributor, the change is immediately reflected on the local metadata server 156. Therefore, the metadata returned to the processing device # 2 at this time is Is the latest version of the eDoc metadata.
(6) 処理装置#2は、ローカルメタデータサーバ156から受け取ったメタデータを、閲覧端末104に対して送信する。 (6) The processing device # 2 transmits the metadata received from the local metadata server 156 to the viewing terminal 104.
(7) 閲覧端末104は、処理装置#2からメタデータを受信し、保存(キャッシュ)する。 (7) The viewing terminal 104 receives the metadata from the processing device # 2 and stores (caches) the metadata.
(8) 閲覧端末104は、受け取った最新のメタデータの配信先情報を参照し、閲覧端末104及び閲覧者の組合せの権限チェックを行う。すなわち、閲覧端末104自身と閲覧者との組合せと一致する組合せが、その配信先情報(図3参照)に示される配信先ユーザと配信先端末の組合せの中にあれば、閲覧権限ありと判定し、なければ閲覧権限なしと判定する。閲覧権限なしと判定した場合、閲覧端末104はエラー表示を行う。閲覧権限ありと判定した場合、閲覧端末104は、そのメタデータ内の暗号化情報に含まれる各配信先ユーザに対応する暗号化済みの鍵の中から閲覧者に対応するものを取り出し、その鍵を閲覧者の秘密鍵(これは例えば認証デバイス130が保持している)で復号することで、eDocファイルの復号に必要な復号鍵を復元する。 (8) The browsing terminal 104 checks the authority of the combination of the browsing terminal 104 and the browsing user by referring to the distribution destination information of the received latest metadata. That is, if a combination that matches the combination of the browsing terminal 104 itself and the viewer is included in the combination of the distribution destination user and the distribution destination terminal indicated in the distribution destination information (see FIG. 3), it is determined that the user has browsing authority. Otherwise, it is determined that there is no viewing authority. If it is determined that there is no viewing authority, the viewing terminal 104 displays an error. If the browsing terminal 104 determines that the user has browsing authority, the browsing terminal 104 extracts a key corresponding to the viewer from among the encrypted keys corresponding to each distribution destination user included in the encryption information in the metadata, and extracts the key. Is decrypted with the private key of the viewer (for example, this is held by the authentication device 130), thereby restoring the decryption key necessary for decrypting the eDoc file.
(9) そして閲覧端末104は、復元した復号鍵を用いてそのeDocファイルを復号することで閲覧可能なドキュメントを再生し、そのドキュメントを出力(例えば画面表示)する。そして、閲覧者からそのドキュメントに対する操作指示を受け付けるかどうかを、メタデータに含まれるアクセス権限情報に従って制御する。 (9) The browsing terminal 104 decrypts the eDoc file using the restored decryption key to reproduce a browsable document and outputs the document (for example, screen display). Then, whether to accept an operation instruction for the document from the viewer is controlled according to the access right information included in the metadata.
次に、図14を参照して、第1のローカルシステム100内の処理装置#1に登録されているユーザが、処理装置#2の管理下にある第2の部署でドキュメントをドキュメント管理システムに登録する場合の処理の流れを考える。そのユーザ(ドキュメントの配信者)は、処理装置#2には登録されていないとする。 Next, referring to FIG. 14, a user registered in processing device # 1 in first local system 100 sends a document to the document management system in a second department under the control of processing device # 2. Consider the flow of processing for registration. It is assumed that the user (the document distributor) is not registered in the processing device # 2.
(1) ユーザは、自分の作成端末102にドキュメントの登録を指示すると、作成端末102はログイン認証情報の入力を求める画面を表示する。配信者がその求めに応じて認証情報(例えばユーザID及びパスワード)を入力すると、作成端末102は、その認証情報をローカルネットワーク108経由で処理装置110に送信する。 (1) When the user instructs the creation terminal 102 to register a document, the creation terminal 102 displays a screen for requesting input of login authentication information. When the distributor inputs authentication information (for example, a user ID and a password) in response to the request, the creation terminal 102 transmits the authentication information to the processing device 110 via the local network 108.
(2) 処理装置#2は、作成端末102から受け取った認証情報が自身に登録されたユーザのものであるか判定する。この場合、配信者は処理装置#2に登録されていない。この場合、処理装置#2は、上位のローカルユーザIDサーバ152に対してその認証情報を送り、認証を求める。 (2) The processing device # 2 determines whether the authentication information received from the creation terminal 102 belongs to the user registered in itself. In this case, the distributor is not registered in the processing device # 2. In this case, the processing device # 2 sends the authentication information to the higher-level local user ID server 152 and requests authentication.
(3) ローカルユーザIDサーバ152は、受け取った認証情報が自身に登録されているユーザのものかどうか判定する(ユーザ認証)。この例では、配信者は処理装置#1に登録されているユーザなので、ローカルユーザIDサーバ152にも登録されており、このユーザ認証は成功する。ローカルユーザIDサーバ152は、処理装置#2に対して、ユーザ認証が成功したことを示す情報を返す。 (3) The local user ID server 152 determines whether the received authentication information belongs to a user registered in the server itself (user authentication). In this example, since the distributor is a user registered in the processing device # 1, the distributor is also registered in the local user ID server 152, and the user authentication is successful. The local user ID server 152 returns information indicating that the user authentication has succeeded to the processing device # 2.
(4) 処理装置#2は、ローカルユーザIDサーバ152から認証成功の旨の応答を受けると、作成端末102に対してユーザ認証が成功した旨を応答する。 (4) When the processing device # 2 receives a response indicating the successful authentication from the local user ID server 152, the processing device # 2 responds to the creating terminal 102 that the user authentication is successful.
(5) 作成端末102は、ユーザ認証が成功した場合、ユーザが登録対象に選択したドキュメントと、ユーザが入力した属性データとを処理装置#2に送る。 (5) When the user authentication is successful, the creation terminal 102 sends the document selected by the user to be registered and the attribute data input by the user to the processing device # 2.
(6) 処理装置#2は、作成端末102からドキュメント及び属性データを受信する。 (6) The processing device # 2 receives the document and the attribute data from the creation terminal 102.
(7)−1: 処理装置#2は、DIDの発行権限及び発行枠を使い切った場合は、ローカルDIDサーバ154に対して新たな発行権限及び発行枠を要求する。なお、受け取った発行枠に残りがある場合には、この要求を行わずに後述のステップ(8)に進む。 (7) -1: The processing device # 2 requests the local DID server 154 for a new issuance authority and an issuance slot when the DID issuance authority and the issuance slot are used up. If there is any remaining in the received issuance slot, the process proceeds to step (8) described later without making this request.
(7)−2: ローカルDIDサーバ154は、処理装置#2からの要求に応じ、新たな発行権限及び発行枠をその処理装置#2に付与する。なお、中央のDIDサーバ220から付与された発行枠を使い切った場合、ローカルDIDサーバ154は、DIDサーバ220に新たな発行権限及び発行枠を要求し、これに応じて付与された発行権限及び発行枠を用いて、処理装置#2にDIDの発行権及び発行枠を付与する。 (7) -2: In response to a request from the processing device # 2, the local DID server 154 assigns a new issuing authority and a new issuing frame to the processing device # 2. When the issue space assigned by the central DID server 220 has been used up, the local DID server 154 requests the DID server 220 for new issue authority and issue space, and issues the issue authority and issue The DID issuance right and the issuance limit are given to the processing device # 2 using the frame.
(8) 処理装置#2は、付与された発行権限を用いてDIDを発行し、そのDIDを対象ドキュメントから生成するeDoc(次のステップで生成する)に付与する。 (8) The processing device # 2 issues a DID using the assigned issuing authority, and assigns the DID to an eDoc (generated in the next step) generated from the target document.
(9)−1: 処理装置#2は、対象ドキュメントを暗号化するための暗号鍵を生成し、対象ドキュメントを本システムの専用フォーマットへとエンコードし、エンコード結果を先ほど生成した暗号鍵で暗号化することでeDocファイルを生成する。 (9) -1: The processing device # 2 generates an encryption key for encrypting the target document, encodes the target document into a dedicated format of the present system, and encrypts the encoding result with the encryption key generated earlier. To generate an eDoc file.
(9)−2: 処理装置#2は、作成端末102から受信した属性データに対して、先ほど生成したDID、エンコードの日時等の項目を追加することで、eDocのメタデータを生成する。 (9) -2: The processing device # 2 generates eDoc metadata by adding items such as the DID generated earlier and the date and time of encoding to the attribute data received from the creation terminal 102.
(10) 処理装置#2は、生成したDIDをローカルDIDサーバ154に、生成したメタデータをローカルメタデータサーバ156に、それぞれアップロードする。ローカルDIDサーバ154は、処理装置#2からアップロードされたDIDを、その中に含まれる発行権限キーに対応する発行済DIDリスト(図5参照)に追加すると共に、中央のDIDサーバ220にアップロードする。DIDサーバ220は、ローカルDIDサーバ154からアップロードされたDIDを、発行権限キーに対応する発行済DIDリスト(図5参照)に追加する。またローカルメタデータサーバ156は、処理装置#2からアップロードされたメタデータを保管すると共に、中央のメタデータサーバ230にアップロードする。メタデータサーバ230は、ローカルメタデータサーバ156からアップロードされたメタデータを保管する。 (10) The processing device # 2 uploads the generated DID to the local DID server 154 and uploads the generated metadata to the local metadata server 156. The local DID server 154 adds the DID uploaded from the processing device # 2 to the issued DID list (see FIG. 5) corresponding to the issuing authority key included therein, and uploads the DID to the central DID server 220. . The DID server 220 adds the DID uploaded from the local DID server 154 to the issued DID list (see FIG. 5) corresponding to the issuing authority key. The local metadata server 156 stores the metadata uploaded from the processing device # 2 and uploads the metadata to the central metadata server 230. The metadata server 230 stores metadata uploaded from the local metadata server 156.
処理装置#2は、生成したeDocを配信者の指定した配信先に配信する。この処理は、図8のステップ(7)乃至(12)と同様である。 The processing device # 2 distributes the generated eDoc to a distribution destination specified by the distributor. This process is the same as steps (7) to (12) in FIG.
(11) また処理装置#2は、生成したeDocファイル及びメタデータを作成端末102に送信する。処理装置#2は、そのeDocファイル及びメタデータを保存してもよいし、保存せずに削除してもよい。保存せずに削除する場合、それらeDocファイル及びメタデータは、組織内の処理装置110群のうち、後述するステップ(13)により既定の処理装置である処理装置#1のみに保存されることになる。配信者の既定の処理装置でない処理装置110がその配信者から登録・配信依頼されたeDocファイル及びメタデータを保存するか否かは、処理装置110に設定可能としてもよい。 (11) The processing device # 2 transmits the generated eDoc file and metadata to the creation terminal 102. The processing device # 2 may save the eDoc file and the metadata, or may delete the eDoc file and the metadata without saving. When the eDoc file and the metadata are deleted without saving, the eDoc file and the metadata are stored only in the processing device # 1 which is the default processing device among the processing devices 110 in the organization by a step (13) described later. Become. Whether or not the processing device 110, which is not the default processing device of the distributor, saves the eDoc file and the metadata registered and distributed by the distributor may be set to the processing device 110.
(12) 作成端末102は、処理装置110から受け取ったeDocファイル及びメタデータを、後でその配信者の既定の処理装置である処理装置#1に転送するために保存する。 (12) The creating terminal 102 stores the eDoc file and the metadata received from the processing device 110 for later transfer to the processing device # 1, which is the default processing device of the distributor.
(13) 配信者は、作成端末102を持って自分の所属する第1の部署に戻った際、作成端末102は、第1のローカルネットワーク108上でその配信者の既定の処理装置である処理装置#1を探す。処理装置#1を見つけると、作成端末102は、上記ステップ(12)で保存していたeDocファイル及びメタデータを処理装置#1に登録する。これにより、配信者は、メタデータの内容(例えば配信先)を変更したい場合には、既定の処理装置#1にアクセスしてその変更の操作を行えばよい。 (13) When the distributor returns to the first department to which the distributor belongs with the creation terminal 102, the creation terminal 102 processes on the first local network 108, which is the default processing device of the distributor. Search for device # 1. When finding the processing device # 1, the creating terminal 102 registers the eDoc file and the metadata saved in step (12) in the processing device # 1. Thus, when the distributor wants to change the content of the metadata (for example, the distribution destination), the distributor may access the predetermined processing device # 1 and perform the change operation.
以上に説明した本実施形態のドキュメント管理システムでは、作成端末102から処理装置110に配信を指示したドキュメントの本体情報(すなわちeDocファイル)は、処理装置110と配信先の閲覧端末104が持つのみで、その他のネットワークや装置には出回らない。このためeDocファイルの漏洩リスクが極小化される。特にeDocファイルの配信先を、そのeDocを生成したローカルネットワーク108上の閲覧端末104に限定すれば、eDocはそのローカルネットワーク108から外に一切出ないことになる。 In the document management system of the present embodiment described above, the main body information (that is, the eDoc file) of the document instructed to be distributed from the creation terminal 102 to the processing device 110 is only possessed by the processing device 110 and the viewing terminal 104 of the distribution destination. , And does not appear on other networks or devices. For this reason, the leakage risk of the eDoc file is minimized. In particular, if the distribution destination of the eDoc file is limited to the browsing terminal 104 on the local network 108 that generated the eDoc, the eDoc will not go out of the local network 108 at all.
一方、eDocのメタデータは、中央の管理システム200や組織毎の組織内管理システム150に登録されており、閲覧端末104がいろいろな場所に移動しても、広域ネットワーク10や組織のプライベートネットワークを介して入手可能となっている。閲覧端末104は、eDocの閲覧指示をユーザから受けた場合、そのeDocの最新のメタデータを組織内管理システム150又は中央の管理システム200から取得し、その最新のメタデータに含まれる配信先情報に基づき、そのユーザにそのeDocの閲覧を許可してよいかどうかを判定する。そのユーザが、そのeDocの登録・配信時には配信先に指定されていても、その後の配信先変更で配信先から外れている場合には、閲覧は許可されない。 On the other hand, the metadata of the eDoc is registered in the central management system 200 or the in-house management system 150 for each organization, so that even if the browsing terminal 104 moves to various places, the wide area network 10 or the organization's private network is not changed. Has become available through. When the browsing terminal 104 receives an eDoc browsing instruction from the user, the browsing terminal 104 acquires the latest metadata of the eDoc from the in-house management system 150 or the central management system 200, and distributes destination information included in the latest metadata. , It is determined whether the user can be permitted to browse the eDoc. Even if the user is designated as the distribution destination at the time of registration and distribution of the eDoc, if the user is out of the distribution destination due to the subsequent distribution destination change, browsing is not permitted.
図13及び図14の例では、処理装置#1及び処理装置#2は共に同じ組織内に設置されたものであり、配信先のユーザもその組織に所属していると想定しているので、ユーザ認証はその組織のローカルユーザIDサーバ152で行った。これに対し、閲覧者が処理装置#2とは異なる組織に属するユーザの場合、処理装置#2でもその上位のローカルユーザIDサーバ152でもその配信者を認証できない。この場合、更に上位のユーザIDサーバ210がその配信者のユーザ認証を行ってもよい。 In the examples of FIGS. 13 and 14, it is assumed that the processing device # 1 and the processing device # 2 are both installed in the same organization, and that the distribution destination user also belongs to that organization. User authentication was performed by the local user ID server 152 of the organization. On the other hand, if the viewer is a user belonging to an organization different from that of the processing device # 2, neither the processing device # 2 nor the local user ID server 152 at a higher level can authenticate the distributor. In this case, a higher-order user ID server 210 may perform user authentication of the distributor.
図13及び図14の例では、別の処理装置#2が、処理装置#1に登録されたユーザの閲覧端末104と、ローカルユーザIDサーバ152やローカルメタデータサーバ156とのやりとりの仲立ちをした。しかし、これは一例に過ぎない。この代わりに、例えば、処理装置#2は、閲覧端末104から送られてきたユーザの認証情報からそのユーザが処理装置#2に登録されたものでない場合、閲覧端末104に対して認証不可の応答を行えばよい。この場合、閲覧端末104は、自機に登録されている上位装置のアドレス情報を用いて、ローカルユーザIDサーバ152に認証を求め、認証が成功すると、ローカルメタデータサーバ156にアクセスして必要なメタデータを取得する。 In the examples of FIGS. 13 and 14, another processing device # 2 mediates the exchange between the browsing terminal 104 of the user registered in the processing device # 1 and the local user ID server 152 or the local metadata server 156. . However, this is only an example. Alternatively, for example, if the user is not registered in the processing device # 2 based on the authentication information of the user sent from the viewing terminal 104, the processing device # 2 may respond to the browsing terminal 104 that the authentication is not possible. Should be performed. In this case, the browsing terminal 104 requests authentication from the local user ID server 152 by using the address information of the higher-level device registered in the own terminal, and if the authentication is successful, accesses the local metadata server 156 to access the necessary information. Get metadata.
図13の例は、ユーザは自分の所属する組織内の、自分の既定の処理装置とは別の処理装置110の管理下にあるローカルシステム100に移動してドキュメントの閲覧を行う場合の例であった。しかしながら、ユーザが、自分の所属する組織の外で、自分の既定の処理装置から配信されたドキュメントを閲覧できるようにしてもよい。この場合、ユーザの閲覧端末104は、中央の管理システム200内のユーザIDサーバ210で認証を受け、閲覧したいドキュメントのメタデータをメタデータサーバ230から取得する。 The example of FIG. 13 is an example of a case where a user browses a document by moving to a local system 100 under the control of a processing device 110 different from his / her default processing device in his / her organization. there were. However, the user may be able to view documents delivered from his or her default processing device outside his / her organization. In this case, the browsing terminal 104 of the user is authenticated by the user ID server 210 in the central management system 200, and acquires the metadata of the document to be browsed from the metadata server 230.
<DIDの例>
次に、図15を参照して、ドキュメント管理システムでeDocの識別情報に用いるDID600の構成について説明する。
<Example of DID>
Next, a configuration of the DID 600 used for the eDoc identification information in the document management system will be described with reference to FIG.
図示のようにDID600は、発行権限キー602、処理装置固有情報604、発行年月日606、発行証明キー608、及び発行番号610を含む。なお、図示のDID600及びその構成要素602〜610の桁数はあくまで例示的なものにすぎない。 As illustrated, the DID 600 includes an issuance authority key 602, processing device specific information 604, an issuance date 606, an issuance certification key 608, and an issuance number 610. It should be noted that the illustrated DID 600 and the number of digits of its components 602 to 610 are merely exemplary.
発行権限キー602は、DIDサーバ220が処理装置110に付与した発行権限を識別するキー情報である。DIDサーバ220は、処理装置110から発行権限及び発行枠の要求を受けた場合、発行権限キー602を生成し、その発行権限キー602を発行枠(例えばドキュメント数100個)の数値と共に処理装置110に送信する。なお、DIDサーバ220と処理装置110との間にローカルDIDサーバ154が介在するシステム構成の場合には、DIDサーバ220がローカルDIDサーバ154に対して、例えば、発行権限キーと発行枠の組を複数組一括して付与する。この付与は、DIDサーバ220が、それら複数組の発行権限キー及び発行枠を処理装置110に付与する処理をローカルDIDサーバ154に依頼することと捉えてもよい。ローカルDIDサーバ154は、管理下の処理装置110から発行権限を要求された場合、付与された複数組の発行権限キー及び発行枠の中の未付与のものをその処理装置110に付与すればよい。 The issuance authority key 602 is key information for identifying the issuance authority assigned to the processing device 110 by the DID server 220. When the DID server 220 receives a request for an issuance authority and an issuance frame from the processing device 110, the DID server 220 generates an issuance authority key 602 and uses the issuance authority key 602 together with the numerical value of the issuance frame (for example, 100 documents). Send to In the case of a system configuration in which the local DID server 154 intervenes between the DID server 220 and the processing device 110, the DID server 220 transmits, for example, a set of an issuance authority key and an issuance frame to the local DID server 154. Multiple sets are given at once. This assignment may be regarded as requesting the local DID server 154 to perform the process of assigning the plurality of sets of the issuing authority key and the issuing frame to the processing device 110 by the DID server 220. When the local DID server 154 receives a request for issuing authority from the processing device 110 under management, the local DID server 154 may assign a plurality of sets of the assigned issuing authority keys and the unassigned ones of the issuing slots to the processing device 110. .
処理装置固有情報604は、そのDIDを発行した処理装置110に固有な情報である。すなわち、DID600中の処理装置固有情報604を調べることで、そのDID600を発行した処理装置110が一意に特定できる。処理装置固有情報604は、処理装置110が保持している。 The processing device unique information 604 is information unique to the processing device 110 that has issued the DID. That is, by examining the processing device unique information 604 in the DID 600, the processing device 110 that has issued the DID 600 can be uniquely specified. The processing device unique information 604 is held by the processing device 110.
発行年月日606は、そのDIDを発行した年月日を示す文字列である。DIDの発行年月日は、そのDIDの付与先であるeDocを生成(エンコード)した年月日でもある。 The issue date 606 is a character string indicating the date when the DID was issued. The issue date of the DID is also the date when the eDoc to which the DID is assigned is generated (encoded).
発行証明キー608は、その処理装置110(処理装置固有情報604により特定される)が、発行権限キー602が示す発行権限を用いてそのDIDを発行したことを証明するキー情報である。発行証明キー608は、例えば、発行権限キー602をその処理装置110の秘密鍵で暗号化することで得られる値である。この場合、発行証明キー608をその処理装置110の公開鍵で復号して得られた値が、発行権限キー602に一致すれば、そのDID600は、その発行権限キー602を用いてその処理装置110が発行したものであることが証明される。また、DID600のうち発行権限キー602を除く部分の値(又はその値から生成した所定桁数のハッシュ値)を処理装置110の秘密鍵で暗号化して得た値を発行証明キー608としてもよい。この場合、発行証明キー608を処理装置110の公開鍵で復号した値が、DID600の発行証明キー608を除いた部分の値と矛盾しなければ(例えば復号結果がその値のハッシュ値と一致)、そのDID600は発行権限キー602に基づきその処理装置110が発行したものであり、DID600の発行証明キー608以外の部分に改ざんがないことが証明される。 The issue certification key 608 is key information for certifying that the processing device 110 (identified by the processing device unique information 604) has issued its DID using the issue authority indicated by the issue authority key 602. The issuance certification key 608 is, for example, a value obtained by encrypting the issuance authority key 602 with the secret key of the processing device 110. In this case, if the value obtained by decrypting the issue certification key 608 with the public key of the processing device 110 matches the issue authority key 602, the DID 600 uses the issue authority key 602 to execute Is issued. Further, a value obtained by encrypting the value of the portion of the DID 600 excluding the issuing authority key 602 (or a hash value of a predetermined number of digits generated from the value) with the secret key of the processing device 110 may be used as the issuing certification key 608. . In this case, if the value obtained by decrypting the issuance certification key 608 with the public key of the processing device 110 does not contradict the value of the part except the issuance certification key 608 of the DID 600 (for example, the decryption result matches the hash value of the value). The DID 600 is issued by the processing device 110 based on the issuance authority key 602, and it is proved that the portion other than the issuance certification key 608 of the DID 600 has not been tampered with.
発行番号610は、そのDID600が、処理装置110がその発行権限キー602を用いて発行した何番目のDIDであるかを示す通し番号である。ある発行権限キー602を用いて生成されたDID600の発行番号610が取り得る最大値は、その発行権限キー602と共にDIDサーバ220(又はローカルDIDサーバ154)が付与した発行枠の値(ドキュメント数)である。 The issue number 610 is a serial number indicating which DID the DID 600 is issued by the processing device 110 using the issue authority key 602. The maximum possible value of the issue number 610 of the DID 600 generated using a certain issue authority key 602 is the value of the issue frame (number of documents) assigned by the DID server 220 (or the local DID server 154) together with the issue authority key 602. It is.
<登録後の配信先変更>
さて、eDocをドキュメント管理システムに登録した後、配信者(あるいは配信先の変更権限を与えられた他の者)が、配信先の削除や追加、それら配信先に与えたeDocへのアクセス権限を修正したくなることも考えられる。そのような場合、配信者は、作成端末102又は閲覧端末104(以下ユーザ端末と総称)を用いて例えば既定の処理装置110にアクセスし、対象となるeDocのDIDを指定して、配信先(又はアクセス権限)の編集処理の実行を指示する。
<Change of distribution destination after registration>
Now, after registering the eDoc in the document management system, the distributor (or another person who has been given the authority to change the distribution destination) deletes or adds the distribution destination, and changes the access right to the eDoc given to those distribution destinations. You may want to fix it. In such a case, the distributor accesses, for example, a predetermined processing device 110 using the creation terminal 102 or the browsing terminal 104 (hereinafter collectively referred to as a user terminal), specifies the DID of the target eDoc, and specifies the distribution destination ( Or, the user instructs the execution of the editing process of the access right).
この指示を受けた処理装置110は、ユーザ認証によりその指示を発したユーザがその対象eDocの正しい配信者等(配信者及び配信先変更権限を与えられた他の者の総称)であることを確認した場合、配信先及びアクセス権限の編集画面をユーザ端末に提供する。編集画面は、図9に示した入力画面400と同様のものでよい。配信者等は、その編集画面上で、配信先のユーザ及び閲覧端末の追加や削除、アクセス権限内容の変更を行う。配信者等が、編集画面上で必要な変更を行った後、その変更を確定する操作を行うと、処理装置110は、保存しているそのeDocのメタデータにその変更を反映させると共に、その変更内容を上位のローカルメタデータサーバ156及びメタデータサーバ230に通知する。ローカルメタデータサーバ156及びメタデータサーバ230は、通知された変更内容を、保存しているそのeDocのメタデータに反映させる。例えば、配信時には配信先に指定されていたユーザであっても、その後の変更で配信先から削除された場合、そのeDocの閲覧が不可となる。また、処理装置110は、このようにeDocのメタデータ中の配信先情報が変更された場合、変更前の配信先情報には含まれていたが、変更後の配信先情報には含まれていない配信先の閲覧端末104に対して、そのeDocファイル(及び対応するメタデータ)を削除する指示を送ってもよい。 Upon receiving this instruction, the processing device 110 determines that the user who issued the instruction by user authentication is the correct distributor or the like of the target eDoc (general term of the distributor and other persons who have been given the authority to change the distribution destination). If confirmed, an edit screen for the distribution destination and access authority is provided to the user terminal. The edit screen may be the same as the input screen 400 shown in FIG. On the editing screen, the distributor or the like adds or deletes the distribution destination user and the viewing terminal, and changes the access authority. When the distributor or the like performs a necessary change on the edit screen and then performs an operation of confirming the change, the processing device 110 reflects the change in the stored metadata of the eDoc, and The contents of the change are notified to the upper-level local metadata server 156 and the metadata server 230. The local metadata server 156 and the metadata server 230 reflect the notified change content in the stored metadata of the eDoc. For example, even if the user is designated as the distribution destination at the time of distribution, if the user is deleted from the distribution destination due to a subsequent change, browsing of the eDoc becomes impossible. Further, when the distribution destination information in the metadata of the eDoc is changed, the processing device 110 includes the distribution destination information before the change but the distribution destination information after the change. An instruction to delete the eDoc file (and the corresponding metadata) may be sent to the browsing terminal 104 that is not the distribution destination.
以上の例では、処理装置110がeDocの配信先やアクセス権限の変更指示を受け付けたが、この代わりに又はこれに加えて、上位装置、すなわち管理システム200(メタデータサーバ230)又は組織内管理システム150(ローカルメタデータサーバ156)がその変更指示を受けてもよい。この場合、上位装置は、そのeDocを生成した処理装置110(及びその処理装置110が属する組織のローカルメタデータサーバ156)に対して、その変更指示に応じて変更された新たなメタデータを送信し、処理装置110内の既存のメタデータと置き換えさせるようにする。 In the above example, the processing device 110 has received the instruction to change the destination of the eDoc or the access authority, but instead or in addition to this, the host device, that is, the management system 200 (metadata server 230) or the management within the organization System 150 (local metadata server 156) may receive the change instruction. In this case, the higher-level device transmits new metadata changed according to the change instruction to the processing device 110 (and the local metadata server 156 of the organization to which the processing device 110 belongs) that generated the eDoc. Then, the existing metadata in the processing device 110 is replaced.
<処理装置のステータス管理>
次に、処理装置110のステータス管理に基づく制御について説明する。
<Status management of processing unit>
Next, control based on status management of the processing device 110 will be described.
処理装置110は、定期的に自身のステータスを管理システム200に通知する。管理システム200では、処理装置管理サーバ240が、受け取ったステータスを、その受け取りの日時と対応付けて当該処理装置110についてのステータス履歴242に追加する。また処理装置管理サーバ240は、受け取ったステータスについてチェックを行い、そのチェックの結果に従って、処理装置110のユーザに対するサービス提供の可・不可を制御する。 The processing device 110 periodically notifies its own status to the management system 200. In the management system 200, the processing device management server 240 adds the received status to the status history 242 of the processing device 110 in association with the date and time of the reception. In addition, the processing device management server 240 checks the received status, and controls whether the service of the user of the processing device 110 can be provided according to the result of the check.
処理装置110が処理装置管理サーバ240に定期送信するステータスは、図6に例示した処理装置のステータス244と同様の項目を含む(ただし、ステータス244のうち処理装置110によっては変更されることがない設置場所やエンコード回路情報、処理装置の製造者名等は定期送信しなくてよい)。 The status that the processing device 110 periodically transmits to the processing device management server 240 includes the same items as the status 244 of the processing device illustrated in FIG. 6 (however, the status 244 is not changed by the processing device 110). The installation location, the encoding circuit information, the manufacturer of the processing device, etc. do not need to be transmitted periodically.
処理装置管理サーバ240は、処理装置110から送られてくるステータスに基づき、例えば図16に例示する処理を実行する。 The processing device management server 240 executes, for example, the process illustrated in FIG. 16 based on the status sent from the processing device 110.
まず、処理装置管理サーバ240は、処理装置110からステータスを受信すると(S100)、そのステータスのうちの検査対象項目の値を、それぞれの項目の基準と照合する(S102)。検査対象項目には、暗号化ソフトの名称及びバージョン、エンコードソフトの名称及びバージョン、処理装置110にインストールされているセキュリティ証明書、処理装置110にインストールされている暗号鍵(例えば秘密鍵と公開鍵ペア。通信路暗号化や署名的な目的等に用いる)の情報(例えば当該鍵の識別情報やインストール日時等)、エンコード回路の名称及びファームウエア(FW)のバージョン、搭載フォント種類、ディスク(二次記憶)の空き容量、が含まれる。また、個々の項目についての基準の例としては、暗号化ソフトやエンコードソフト、ファームウエアが最新バージョンであること(あるいはあるバージョン以降のバージョンであること)、ディスクの空き容量が所定の閾値以上であること、インストールされているセキュリティ証明書の中にブラックリストに入っている証明書がないこと、処理装置110の暗号鍵がインストールされた日から所定期間が経過していないこと、所定(すなわちあらかじめ定めた)種類のフォントがインストールされていること、などがある。 First, when the processing device management server 240 receives the status from the processing device 110 (S100), the processing device management server 240 checks the value of the inspection target item in the status against the reference of each item (S102). The inspection target items include the name and version of the encryption software, the name and version of the encoding software, the security certificate installed in the processing device 110, and the encryption key (for example, a secret key and a public key) installed in the processing device 110. Pair (used for communication channel encryption, signature purpose, etc.) (for example, identification information of the key, installation date and time, etc.), name of encoding circuit and firmware (FW) version, installed font type, disk ( Free space of the next storage). Examples of criteria for individual items are that encryption software, encoding software, and firmware are the latest versions (or that they are versions after a certain version), and that the free space of the disk is greater than or equal to a predetermined threshold. That there is no blacklist among the installed security certificates, that a predetermined period has not elapsed since the date on which the encryption key of the processing device 110 was installed, (Defined) fonts are installed.
例えば、処理装置110が通信路暗号化や署名等に用いる暗号鍵は、その安全性を維持するために、定期的に新しい鍵に変更することが望ましいので、インストール日時から所定期間が経過した以降は基準を満たさないものと判定してサービス提供を不可とし(あるいは不可となる旨の警告を発し)、新しい鍵への交換を促す。 For example, it is desirable that the encryption key used by the processing device 110 for communication path encryption, signature, and the like be periodically changed to a new key in order to maintain its security. Determines that the standard is not satisfied, disables the service provision (or issues a warning to the effect that the service cannot be provided), and prompts the exchange of a new key.
次に処理装置管理サーバ240は、処理装置110から受け取ったステータスの検査対象項目の中に、当該項目の基準を満たさないものがあるかどうかを判定し(S104)、なければ今回ステータスを受信した処理装置110についての処理を終了する。S104で基準を満たさない項目があった場合、処理装置管理サーバ240は、その処理装置110に対してサービス不可を通知する(S106)。この通知を受けた処理装置110は、本実施形態のドキュメント管理システムに対するドキュメントの登録(配信)サービスを停止する。すなわち、作成端末102からのドキュメントの登録(配信)要求を受け付けず、サービス停止中である旨のメッセージを返す。 Next, the processing device management server 240 determines whether or not any of the inspection target items of the status received from the processing device 110 does not satisfy the criterion of the item (S104). The processing for the processing device 110 ends. If there is an item that does not satisfy the criterion in S104, the processing device management server 240 notifies the processing device 110 that the service is unavailable (S106). Upon receiving this notification, the processing device 110 stops the document registration (distribution) service for the document management system of the present embodiment. That is, a document registration (distribution) request from the creation terminal 102 is not accepted, and a message indicating that the service is suspended is returned.
このような制御によれば、処理装置110が基準を満たさない品質のeDocを生成してしまう可能性が低減される。例えば、この制御によれば、古い暗号化ソフトにより暗号化の強度が十分でないeDocが生成される前に、その処理装置110のサービスが停止される。また、ディスク空き容量が少なかったりファームウエアが古かったりしてeDocの生成処理にエラーが生じ、それが元でドキュメントの漏洩が生じるといった事態が起こる前に、サービスが停止される。また、所定のフォントを持たない処理装置110がドキュメント中のそのフォントを別のフォントに置き換えてエンコードしてしまうことによるeDocの画質低下が起こる前に、サービスが停止される。エンコード回路のファームウエアが古いため、最新のファームウエアがサポートしているドキュメントの画像サイズがサポートされておらず、eDocの画像サイズが制限されてしまう等の事態も生じにくくなる。 According to such control, the possibility that the processing device 110 generates an eDoc of a quality that does not satisfy the standard is reduced. For example, according to this control, the service of the processing device 110 is stopped before an eDoc with insufficient encryption strength is generated by old encryption software. In addition, the service is stopped before an error occurs in the eDoc generation process due to a small disk free space or outdated firmware, and a document leakage occurs due to the error. In addition, the service is stopped before the image quality of the eDoc is reduced by the processing device 110 having no predetermined font replacing the font in the document with another font and encoding. Since the firmware of the encoding circuit is old, the image size of the document supported by the latest firmware is not supported, and the situation that the image size of the eDoc is limited is less likely to occur.
なお、ステータスの検査対象項目に、eDocのセキュリティに影響する項目とそうでない項目の分類を設け、処理装置110にサービスを停止させるのは、前者の項目が基準を満たさない場合に限ってもよい。後者の項目が基準を満たさない場合は、処理装置110やその管理者に警告を送り、その項目についての不具合を解消するよう促す。この警告を受けて、処理装置110の管理者は、自分で対処できる項目については処理装置110の修理を行い、専門の保守作業員の介入が必要な項目については、保守作業員の派遣をシステム運営者に依頼する。また、検査対象項目のうちの特定項目が基準を満たさないことが分かった場合に、処理装置管理サーバ240が、当該処理装置110に対して保守作業員を派遣する手配を自動的に行ってもよい。 It should be noted that the inspection target items of the status may be classified into items that affect the security of the eDoc and items that do not, and the processing device 110 may stop the service only when the former item does not satisfy the criteria. . If the latter item does not meet the criteria, a warning is sent to the processing device 110 or its administrator to urge the user to resolve the problem with that item. In response to this warning, the administrator of the processing device 110 repairs the processing device 110 for items that can be dealt with by himself, and dispatches a maintenance worker for items that require the intervention of a specialized maintenance worker. Ask the operator. Further, when it is determined that a specific item among the inspection target items does not satisfy the criteria, the processing device management server 240 may automatically arrange for dispatching a maintenance worker to the processing device 110. Good.
図16の処理の変形例を、図17を参照して説明する。 A modification of the process in FIG. 16 will be described with reference to FIG.
図17の手順では、処理装置110のステータスの検査対象項目に、緊急項目とそれ以外というレベル分けを導入している。緊急項目は、処理装置110が生成するeDocのセキュリティ上の品質やドキュメント管理システムのセキュリティに大きな影響を与える項目である。その項目が基準を満たさない処理装置110が生成したeDocは十分な安全性が確保されないか、またはその項目が基準を満たさない処理装置110が稼働を続けると、その処理装置110がドキュメント管理システムのセキュリティホール(脆弱性)となってしまう可能性がある。そのような緊急項目の対象の例としては、暗号化ソフトのバージョン、処理装置110にインストールされているセキュリティ証明書、処理装置110にインストールされている暗号鍵に脆弱性が見つかった場合等がある。 In the procedure of FIG. 17, an emergency item and other items are classified into levels for the inspection target items of the status of the processing device 110. The urgent item is an item that greatly affects the security quality of the eDoc generated by the processing device 110 and the security of the document management system. If the eDoc generated by the processing device 110 whose item does not satisfy the criterion is not secured sufficiently, or if the processing device 110 whose item does not satisfy the criterion continues to operate, that processing device 110 It could be a security hole (vulnerability). Examples of such urgent items include a case where a vulnerability is found in the version of the encryption software, the security certificate installed in the processing device 110, and the encryption key installed in the processing device 110. .
緊急項目が基準を満たさないことによる問題を避ける1つの方法は、緊急項目が基準を満たさない処理装置110を停止させ、保守作業員を派遣してその緊急項目についての修正・修理を行わせることである。しかし、修正が完了するまでの間、ユーザはその処理装置110を使えないという不便がある。 One method of avoiding the problem caused by the emergency item not meeting the standard is to shut down the processing device 110 in which the emergency item does not meet the standard and dispatch a maintenance worker to correct and repair the emergency item. It is. However, there is an inconvenience that the user cannot use the processing device 110 until the correction is completed.
そこで、図17の手順では、処理装置管理サーバ240は、S104で基準を満たさない項目を見つけた場合、その項目が緊急項目であるかどうかを判定する(S110)。そして、緊急項目である場合、その緊急項目の不具合を修正するための設定情報を処理装置管理サーバ240からその処理装置110に対して、広域ネットワーク10を経由してリモートインストールする(S112)。緊急項目の不具合を修正するための設定情報の例としては、最新バージョンの暗号化ソフト、脆弱性が見つかったセキュリティ証明書に対する脆弱性が解消された最新版のセキュリティ証明書、処理装置110の脆弱性が見つかった秘密鍵・公開鍵のペアを置き換える新たな鍵ペア、等がある。 Therefore, in the procedure of FIG. 17, when finding an item that does not satisfy the criterion in S104, the processing device management server 240 determines whether the item is an urgent item (S110). If the item is an urgent item, the setting information for correcting the defect of the urgent item is remotely installed from the processing device management server 240 to the processing device 110 via the wide area network 10 (S112). Examples of the setting information for correcting the defect of the urgent item include the latest version of the encryption software, the latest version of the security certificate in which the vulnerabilities are removed from the security certificate in which the vulnerability is found, and the vulnerabilities of the processing device 110. There is a new key pair that replaces a secret / public key pair for which a property has been found.
例えば新たな鍵ペアの場合、その新たな鍵ペアを生成するためのフレーズを処理装置管理サーバ240が用意してそのフレーズを用いて鍵ペアを生成し、生成した鍵ペアをセキュアな方法で処理装置110に伝送してリモートインストールする。 For example, in the case of a new key pair, the processing device management server 240 prepares a phrase for generating the new key pair, generates a key pair using the phrase, and processes the generated key pair in a secure manner. It is transmitted to the device 110 and remotely installed.
これにより処理装置110内の基準を満たさない緊急項目についての設定情報が基準を満たすものへと更新される。またこの更新に応じて、その処理装置110が持つステータスのうちのその緊急項目の値が更新される。 As a result, the setting information for the emergency items that do not satisfy the criterion in the processing device 110 is updated to those that satisfy the criterion. Further, in response to this update, the value of the urgent item in the status of the processing device 110 is updated.
またS110の判定結果がNo(緊急項目に該当しない)の場合、処理装置管理サーバ240は、処理装置110又は管理者に対して基準を満たさない項目を示す警告を送り、その処理装置110のその項目についての修正のために保守作業員の派遣の手配を行う(S114)。緊急項目でない項目については、処理装置110がそのまま稼働を続けてもセキュリティ上の重大な問題は生じにくいので、処理装置110は停止させず、保守作業員の派遣により対処するのである。緊急項目以外の項目については、処理装置管理サーバ240がリモートインストールしなくてよいので、処理装置管理サーバ240の負荷増大が避けられる。 If the determination result in S110 is No (not an emergency item), the processing device management server 240 sends a warning indicating an item that does not satisfy the criteria to the processing device 110 or the administrator, and Arrangement of dispatch of a maintenance worker is performed to correct the item (S114). For items that are not urgent items, serious problems in security are unlikely to occur even if the processing device 110 continues to operate as it is. Therefore, the processing device 110 is not stopped and is dealt with by dispatching a maintenance worker. For items other than the urgent items, the processing device management server 240 does not need to perform remote installation, so that an increase in load on the processing device management server 240 can be avoided.
図17の例では、緊急項目についての設定情報を処理装置管理サーバ240からトップダウンで処理装置110にインストールし、これに応じて処理装置110にてその設定情報がインストールされ、処理装置110のステータスのうちその緊急項目の値が更新される。これに対して、緊急項目以外のステータスの項目については、個々の処理装置110にて、例えば保守作業員により値の設定や変更を行い、その項目に対応する設定情報(例えば暗号化ソフトの最新バージョン)のインストールを行う。このように処理装置110で行われたステータス項目値の設定や変更は、上位の処理装置管理サーバ240に通知され、処理装置管理サーバ240は、その通知に応じて自身が持つその処理装置110のステータスの対応項目の値を変更する。 In the example of FIG. 17, the setting information on the urgent item is installed in the processing device 110 from the processing device management server 240 from the top down, and the setting information is installed in the processing device 110 in response thereto. Of the emergency item is updated. On the other hand, for the status items other than the urgent items, the values are set or changed in the individual processing devices 110 by, for example, a maintenance worker, and the setting information (for example, the latest Version). The setting or change of the status item value performed by the processing device 110 in this way is notified to the upper-level processing device management server 240, and the processing device management server 240 responds to the notification to change the status of its own processing device 110. Change the value of the status corresponding item.
<DIDの検証>
管理システム200は、処理装置110が発行したDIDを通知してきた際や、閲覧端末104からメタデータの要求(この要求はDIDを含む)を送ってきた際、あるいはDIDの検証の依頼をユーザ等から受けた際に、そのDIDが正しいものかどうかを検証する。
<DID verification>
The management system 200 transmits a DID issued by the processing device 110, a request for metadata from the browsing terminal 104 (this request includes the DID), or a request for verification of the DID by a user or the like. , Verify that the DID is correct.
この場合DIDサーバ220は、対象のDID600(図15参照)について以下の点を検証する。 In this case, the DID server 220 verifies the following points for the target DID 600 (see FIG. 15).
(a)DID600中の発行権限キー602と処理装置固有情報604との間に矛盾がないこと。 (A) There is no contradiction between the issuing authority key 602 in the DID 600 and the processing device specific information 604.
DIDサーバ220は、その発行権限キー602が、自身の記録している情報(図5参照)の中に、その処理装置固有情報604が示す処理装置110を付与先とする発行権限キーとして記録されているかどうか調べる。記録されていなければ、その発行権限キー602はその処理装置固有情報604が示す処理装置110に発行されたことがないものなので、それら両者は矛盾する。この場合、そのDID600は不正なDIDである。 The DID server 220 records the issuance authority key 602 in its own recorded information (see FIG. 5) as an issuance authority key to which the processing device 110 indicated by the processing device unique information 604 is assigned. Find out if it is. If it is not recorded, the issuance authority key 602 has not been issued to the processing device 110 indicated by the processing device unique information 604, so that both of them are inconsistent. In this case, the DID 600 is an invalid DID.
(b)DID600中の発行権限キー602と発行年月日606とが矛盾しないこと。 (B) The issuing authority key 602 in the DID 600 and the issuing date 606 do not conflict.
DIDサーバ220は、発行権限キーに対応づけて、キー付与日時とキー終了日時を記録している(図5参照)。DID600中の発行年月日606が、DID600中の発行権限キー602に対応付けて記録されているキー付与日時からキー終了日時までの期間から外れている場合、発行権限キー602と発行年月日606は矛盾している。この場合、DID600は不正なDIDである。 The DID server 220 records the key grant date and time and the key end date and time in association with the issuing authority key (see FIG. 5). If the issue date 606 in the DID 600 is out of the period from the key grant date and time to the key end date and time recorded in association with the issue authority key 602 in the DID 600, the issue authority key 602 and the issue date 606 is inconsistent. In this case, DID 600 is an invalid DID.
(c)DID600中の発行権限キー602、処理装置固有情報604及び発行証明キー608の間に矛盾がないこと。 (C) There is no inconsistency between the issuing authority key 602, the processing device unique information 604, and the issuing certification key 608 in the DID 600.
DIDサーバ220は、発行証明キー608を、その処理装置固有情報604が示す処理装置110の公開鍵で復号し、その復号結果が示す発行証明キーが、DID600中のその発行証明キー608と一致するかどうかを判定する。一致しない場合、それら三者の間には矛盾が存在し、DID600は不正なものであると分かる。 The DID server 220 decrypts the issuance certification key 608 with the public key of the processing device 110 indicated by the processing device unique information 604, and the issuance certification key indicated by the decryption result matches the issuance certification key 608 in the DID 600. Is determined. If they do not match, a contradiction exists between the three and the DID 600 is found to be incorrect.
(d)DID600中の発行番号610が、発行権限キー602に対応する発行枠と矛盾しないこと。 (D) The issue number 610 in the DID 600 does not contradict the issue frame corresponding to the issue authority key 602.
DIDサーバ220は、発行権限キー602と共に処理装置110に付与した発行枠を記録している(図5参照)。DID600中の発行番号610が、発行権限キー602に対応して記録されている発行枠よりも大きい番号である場合、そのDIDは不正なものである。 The DID server 220 records the issue slots assigned to the processing device 110 together with the issue authority key 602 (see FIG. 5). If the issue number 610 in the DID 600 is a number larger than the issue frame recorded corresponding to the issue authority key 602, the DID is invalid.
(e)DID600中の発行番号610が、そのDID600の発行権限キー602と同じ発行権限キーを含む発行済みのDIDの発行番号と矛盾しないこと。この基準は、処理装置110から新たに発行したDIDを通知された場合に、そのDIDが既に発行済みのものと矛盾するかどうかの検証に用いる。 (E) The issue number 610 in the DID 600 does not contradict the issue number of the issued DID including the same issue authority key as the issue authority key 602 of the DID 600. This criterion is used for verifying whether or not the DID is inconsistent with an already issued DID when the processing device 110 is notified of a newly issued DID.
DIDサーバ220は、発行権限キーに対応付けて、その発行権限キーを用いて発行されたDIDやその発行日時の情報を記録している(図5の発行済DIDリスト)。DIDサーバ220は、検証対象のDID600の発行権限キー602と同じ発行権限キーを持つ発行済みDIDの中に、そのDID600中の発行番号610と同じ発行番号を持つものがあるかどうかを調べる。そのようなものがあれば、そのDID600は不正なものであると判定される。 The DID server 220 records, in association with the issuing authority key, information on the DID issued using the issuing authority key and the date and time of the issuance (the issued DID list in FIG. 5). The DID server 220 checks whether any of the issued DIDs having the same issue authority key as the issue authority key 602 of the DID 600 to be verified has the same issue number as the issue number 610 in the DID 600. If there is such a thing, the DID 600 is determined to be invalid.
(f)DID600中の発行年月日606及び発行番号610の組合せが、そのDID600の発行権限キー602と同じ発行権限キーを含む発行済みのDIDの発行年月日と発行番号の組合せと矛盾しないこと。 (F) The combination of the issue date 606 and the issue number 610 in the DID 600 does not contradict the combination of the issue date and issue number of the issued DID including the same issue authority key as the issue authority key 602 of the DID 600. thing.
DIDサーバ220は、検証対象のDID600の発行年月日606と発行番号610の組合せが、そのDID600の発行権限キー602と同じ発行権限キーを含む個々の発行済DIDの発行年月日と発行番号の組合せと矛盾するかどうか、すなわち前後関係が逆になっているものがあるかどうか、を判定する。例えばDID600よりも発行年月日が後にもかかわらず、発行番号が小さい発行済みDIDが見つかった場合、DID600とその発行済みDIDとは矛盾、すなわち前後関係が逆転している。このような矛盾が見つかった場合、検証対象のDID600だけ、あるいはこれとその発行済みDIDとの両方を不正なものと判定する。 The DID server 220 determines that the combination of the issue date 606 and the issue number 610 of the DID 600 to be verified includes the issue date and issue number of each issued DID including the same issue authority key as the issue authority key 602 of the DID 600. Is determined to be inconsistent with the combination of the above, that is, whether or not there is a case where the context is reversed. For example, if an issued DID with a smaller issue number is found even though the issue date is later than the DID 600, the DID 600 and the issued DID are inconsistent, that is, the context is reversed. When such a contradiction is found, it is determined that only the DID 600 to be verified or both this and the issued DID are invalid.
DIDサーバ220は、以上のような基準に従った検証によりあるDIDが不正なものであると判定した場合、その不正なDIDに関連する処理装置110の管理者に電子メール等で警告通知を行う。警告通知には、その処理装置110の発行したものと偽装したDIDが見つかったことを知らせるメッセージが含まれる。管理者は、その通知により、セキュリティ強化の施策を行う。処理装置110の管理者やその連絡先は、処理装置管理サーバ240が持つ情報(図6参照)から求めればよい。警告通知の宛先である不正なDIDに関連する処理装置110は、そのDIDに含まれる処理装置固有情報604が示す処理装置110である。また、その不正なDIDに含まれる発行権限キーと同じ発行権限キーを過去に付与したことがある処理装置110を警告通知の宛先としてもよい。 When the DID server 220 determines that a certain DID is invalid by the verification based on the above-described criteria, the DID server 220 notifies the administrator of the processing device 110 related to the invalid DID of a warning by e-mail or the like. . The warning notification includes a message notifying that the DID issued by the processing device 110 and the impersonated DID have been found. The administrator takes measures to strengthen security based on the notification. The administrator of the processing device 110 and the contact information may be obtained from the information (see FIG. 6) of the processing device management server 240. The processing device 110 related to the illegal DID that is the destination of the warning notification is the processing device 110 indicated by the processing device specific information 604 included in the DID. Further, the processing device 110 to which the same issuing authority key as the issuing authority key included in the unauthorized DID has been given in the past may be set as the destination of the warning notification.
<eDocの暗号に脆弱性が発見された場合の処理>
さて、次に、eDocファイルの生成の際の暗号化に用いた暗号化ソフトに脆弱性が発見された場合の処理について説明する。ドキュメント管理システムの運営者は、いずれかの処理装置110が用いた暗号化ソフトの特定バージョンに脆弱性が発見されたことを知得した場合、管理システム200から各処理装置110に対して脆弱性通知を送信する。脆弱性通知には、脆弱性が発見された暗号化ソフトのソフト名及びバージョンの情報が含まれる。組織内管理システム150が存在する場合には、脆弱性通知は、管理システム200から組織内管理システム150に渡され、組織内管理システム150が配下の各処理装置110にその脆弱性通知を送信する。この通知に対して、処理装置110は図18に例示する処理を実行する。
<Process when vulnerability is found in eDoc encryption>
Now, a description will be given of a process when a vulnerability is found in the encryption software used for encryption when generating the eDoc file. When the operator of the document management system learns that a vulnerability has been found in a specific version of the encryption software used by any of the processing devices 110, the management system 200 vulnerable to each of the processing devices 110. Send notifications. The vulnerability notification includes information on the software name and version of the encryption software in which the vulnerability was found. When the in-house management system 150 exists, the vulnerability notification is passed from the management system 200 to the in-house management system 150, and the in-house management system 150 transmits the vulnerability notification to each of the processing devices 110 under the in-house management system. . In response to this notification, the processing device 110 executes a process illustrated in FIG.
処理装置110は、上位装置(管理システム200又は組織内管理システム150)から脆弱性通知を受信(S200)すると、その通知が示す脆弱性が見つかった暗号化ソフトのバージョンを用いて自機が暗号化したファイルを特定する(S202)。処理装置110のドキュメントDB116には、その処理装置110が生成した各eDocファイルとそのメタデータが保存されており、それら各eDocファイルのメタデータから各eDocの生成に用いられた暗号化ソフト名とバージョンが分かる(図3に示すメタデータの構造例を参照)。S202では、処理装置110は、メタデータに含まれる暗号化ソフト名とバージョンの組合せが、脆弱性通知に示された組合せと一致するeDocを特定する。 When the processing device 110 receives the vulnerability notification from the higher-level device (the management system 200 or the in-house management system 150) (S200), the processing device 110 encrypts itself using the version of the encryption software in which the vulnerability indicated by the notification is found. The converted file is specified (S202). In the document DB 116 of the processing device 110, each eDoc file generated by the processing device 110 and its metadata are stored. From the metadata of each eDoc file, the name of the encryption software used to generate each eDoc is stored. The version is known (see the example of the metadata structure shown in FIG. 3). In S202, the processing device 110 specifies an eDoc in which the combination of the encryption software name and the version included in the metadata matches the combination indicated in the vulnerability notification.
次に処理装置110は、特定した各eDocファイルを、自機にインストールされている現用の暗号化ソフトのバージョンで再暗号化する(S204)。この例では、処理装置110の暗号化ソフトは適切にバージョンアップされており、処理装置110が持つ現用の暗号ソフトのバージョンについては脆弱性が未発見であると想定している。一般に、処理装置110が過去に用いた暗号化ソフトのバージョンで脆弱性が発見されることが多いと考えられる。なお万が一、脆弱性通知の対象である暗号化ソフトのバージョンが、処理装置110の現用バージョンの暗号ソフトである場合には、処理装置110は上位装置等から最新バージョンの暗号ソフトをダウンロードし、その最新バージョンを用いて再暗号化を行う。仮に現用の最新バージョンの暗号化ソフトに脆弱性が発見された場合、上位装置は、その脆弱性が解消された更に新しいバージョンの暗号化ソフトを有しているか、そのソフトの配布元の情報を有していると想定できる。再暗号化は、例えば、対象のeDocファイルを、そのeDocファイルに対応するメタデータに記録されている復号鍵の情報を用いて復号し、その復号結果を新たに生成した暗号鍵を用いて、脆弱性のないバージョンの暗号化ソフトを用いて暗号化する。なお、処理装置110の保存するメタデータには復号鍵の情報が、例えば処理装置110の公開鍵で暗号化された状態で含まれているものとする(同様に、上位装置に送るメタデータには、その復号鍵がその上位装置の公開鍵で暗号化されたものを含めてもよい)。 Next, the processing device 110 re-encrypts each of the identified eDoc files with the version of the current encryption software installed in its own device (S204). In this example, it is assumed that the encryption software of the processing device 110 has been appropriately upgraded, and no vulnerability has been found for the version of the current encryption software of the processing device 110. Generally, it is considered that a vulnerability is often found in the version of the encryption software used by the processing device 110 in the past. If the version of the encryption software that is the target of the vulnerability notification is the current version of the encryption software of the processing device 110, the processing device 110 downloads the latest version of the encryption software from a higher-level device or the like, and Re-encrypt using the latest version. If a vulnerability is found in the latest version of the encryption software currently in use, the upper-level device determines whether there is a newer version of the encryption software that has resolved the vulnerability and whether the distribution source of the software is available. It can be assumed that it has. In the re-encryption, for example, the target eDoc file is decrypted by using the information on the decryption key recorded in the metadata corresponding to the eDoc file, and the decryption result is decrypted by using the newly generated encryption key. Encrypt using a non-vulnerable version of encryption software. It is assumed that the metadata stored in the processing device 110 includes information on the decryption key, for example, in a state encrypted with the public key of the processing device 110 (similarly, the metadata sent to the higher-level device is May include those whose decryption keys are encrypted with the public key of the higher-level device).
処理装置110は、その再暗号化に応じて、そのeDocファイルのメタデータを更新する(S206)。すなわち、メタデータ(図3参照)中のエンコード日時、暗号化情報(暗号化ソフト名、バージョン情報及び鍵情報)を、再暗号化の日時、再暗号化に用いた暗号化ソフト名、バージョン及びその暗号化を解くための復号鍵の情報へと書き換える。そして、処理装置110は、更新後のメタデータを保存(例えばそのeDocファイルに対する最新のメタデータとして保存)し、上位装置にアップロードする。上位装置は、アップロードされた更新後のメタデータを保存する。 The processing device 110 updates the metadata of the eDoc file according to the re-encryption (S206). That is, the encoding date and time and the encryption information (encryption software name, version information and key information) in the metadata (see FIG. 3) are re-encrypted, the date and time of the re-encryption, the name and version of the encryption software used for the re-encryption. It is rewritten with information on a decryption key for decrypting the encryption. Then, the processing device 110 saves the updated metadata (for example, saves it as the latest metadata for the eDoc file) and uploads the updated metadata to the higher-level device. The host device saves the uploaded updated metadata.
その後、処理装置110は、再暗号化により得られたeDocファイルを、メタデータの配信先情報に示される配信先の各閲覧端末104に配信するための処理を実行する(S208)。すなわち例えば、配信先の各閲覧端末104に対して、配信準備完了通知を送る(図8のステップ(7)参照)。この通知には、DIDやドキュメント名に加え、配信するeDocが既配信のeDocの更新版である旨を示す情報を含めてもよい。この配信準備完了通知を受け取った閲覧端末104は、閲覧者が閲覧端末104のリスト画面500(図11参照)で、その再暗号化により配信準備完了通知を受けたeDocを閲覧対象に指示した場合、閲覧端末104は、その指示に応じて処理装置110から取得したeDocファイルと、自機内にある再暗号化前のeDocファイルに上書きする。また閲覧端末104は、そのeDocファイルと共に受け取った更新後のメタデータを、そのeDocの最新のメタデータとして保存する。これにより、脆弱性のある暗号化ソフトで暗号化されたeDocファイル及びそれに対応するメタデータは閲覧端末104からなくなり、脆弱性の見つかっていない暗号化ソフトで再暗号化されたeDocファイル及びメタデータに置き換えられる。 Thereafter, the processing device 110 executes a process for distributing the eDoc file obtained by the re-encryption to each of the viewing terminals 104 of the distribution destination indicated in the distribution destination information of the metadata (S208). That is, for example, a distribution preparation completion notification is sent to each distribution destination viewing terminal 104 (see step (7) in FIG. 8). This notification may include, in addition to the DID and the document name, information indicating that the eDoc to be delivered is an updated version of the already delivered eDoc. When the browsing terminal 104 receives the distribution preparation completion notification, the browsing user designates, on the list screen 500 (see FIG. 11) of the browsing terminal 104, the eDoc for which the distribution preparation completion notification has been received by re-encryption as a browsing target. The browsing terminal 104 overwrites the eDoc file obtained from the processing device 110 in response to the instruction and the eDoc file in the own device before re-encryption. The browsing terminal 104 stores the updated metadata received together with the eDoc file as the latest metadata of the eDoc. As a result, the eDoc file encrypted with the vulnerable encryption software and the metadata corresponding thereto disappear from the browsing terminal 104, and the eDoc file and the metadata re-encrypted with the encryption software for which no vulnerability has been found. Is replaced by
なお、処理装置110は、再暗号化したeDocの閲覧準備完了通知を送る際又はその前に、そのeDocのDIDを含む削除通知を配信先の各閲覧端末104に明示的に送信してもよい。この場合、その指示に応じて各閲覧端末104が、そのDIDを持つ既存のeDocファイル(再暗号化前のもの)を削除する。このとき既存のメタデータも併せて削除してもよい。 The processing device 110 may explicitly transmit a deletion notification including the DID of the eDoc to each of the browsing terminals 104 of the distribution destination before or before sending the browsing completion notification of the re-encrypted eDoc. . In this case, in response to the instruction, each viewing terminal 104 deletes the existing eDoc file having the DID (before re-encryption). At this time, the existing metadata may be deleted together.
<配信先端末指定の別の例>
これまでに説明した例では、配信者が作成端末102のUI画面(図9の入力画面400)で選択可能な配信先のユーザ及び閲覧端末104は、同じローカルシステム100内の処理装置110に登録されたユーザ及び閲覧端末104か、あるいは同じ組織の組織内管理システム150に登録されたユーザ及び閲覧端末104(この場合、別の処理装置110に登録されたユーザ及び閲覧端末104も配信先に指定可能)に限られていた。
<Another example of destination terminal designation>
In the example described above, the distribution destination user and the browsing terminal 104 that can be selected by the distributor on the UI screen (the input screen 400 in FIG. 9) of the creation terminal 102 are registered in the processing device 110 in the same local system 100. User or the browsing terminal 104 registered in the in-house management system 150 of the same organization or the registered user and the browsing terminal 104 (in this case, the user and the browsing terminal 104 registered in another processing device 110 are also designated as distribution destinations). Possible).
しかし、組織内のユーザが組織外の人(ゲスト)を交えた会議において、作成した会議メモ等のドキュメントをゲストに対して一時的に閲覧させたい場合もある。このような場合に、ゲストやゲストの携帯端末を処理装置110やその上位装置に登録したり、閲覧終了後にその登録を解除したりするのは煩雑な作業となる。 However, in a meeting in which a user inside the organization exchanges people (guests) outside the organization, there may be a case where the guest wants to temporarily view a document such as a created meeting memo. In such a case, registering the guest or the portable terminal of the guest in the processing device 110 or a host device thereof, or canceling the registration after the browsing is completed, is a complicated operation.
そこで、本実施形態では、ゲストの端末と判断できる閲覧端末104には、一定の制限の下でeDocを配信可能とする。 Therefore, in the present embodiment, the eDoc can be distributed to the browsing terminal 104 that can be determined to be a guest terminal under certain restrictions.
例えば、作成端末102の近傍にいるユーザの端末はゲスト端末であると見なし、そのゲスト端末を配信先端末選択メニュー406の選択肢に加える。あるいは、処理装置110の近傍にいるユーザの端末はゲスト端末であると見なし、そのゲスト端末を配信先端末選択メニュー406の選択肢に加える。作成端末102や処理装置110は、組織の建物の部屋(例えば部署の居室、会議室)に設置されていることが多いと考えられ、作成端末102又は処理装置110の近くにいる人は、会議等のためにしかるべき許可を受けてその部屋に入室している人であると想定される。 For example, the terminal of the user near the creation terminal 102 is regarded as a guest terminal, and the guest terminal is added to the options of the distribution destination terminal selection menu 406. Alternatively, the terminal of the user near the processing device 110 is regarded as a guest terminal, and the guest terminal is added to the options of the distribution destination terminal selection menu 406. It is considered that the creation terminal 102 and the processing device 110 are often installed in a room of a building of an organization (for example, a room in a department or a meeting room). It is assumed that the person has entered the room with appropriate permission for the purpose.
例えば、処理装置110又は作成端末102は、Bluetooth Low Energy(登録商標)等の近距離無線通信を用いて通信可能な相手端末を探し、見つかった相手端末、又はそれら相手端末のうち自機からの距離(その近距離無線通信には、自機と相手の通信距離を求めることができるものもある)があらかじめ定めた閾値以下の端末を、自機の近傍にあるゲスト端末と判定する。そして、配信先端末選択メニュー406には、処理装置110又は作成端末102が検出したゲスト端末の端末名が、あらかじめ登録されている組織内の閲覧端末104とは別の表示態様で、選択肢として表示される。配信者は、その中で、配信先とするゲスト端末を選択可能である。 For example, the processing device 110 or the creation terminal 102 searches for a partner terminal that can communicate using short-range wireless communication such as Bluetooth Low Energy (registered trademark), and finds a partner terminal that has been found, or among those partner terminals, a terminal from its own device. A terminal whose distance (some short-range wireless communication can determine the communication distance between the own device and the other device) is equal to or less than a predetermined threshold value is determined as a guest terminal near the own device. In the distribution destination terminal selection menu 406, the terminal name of the guest terminal detected by the processing device 110 or the creation terminal 102 is displayed as an option in a display mode different from that of the pre-registered browsing terminal 104 in the organization. Is done. The distributor can select a guest terminal as a distribution destination.
ここで、処理装置110又は作成端末102は、自機の近傍にある端末すべてではなく、それら近傍の端末のうち所定の条件を満たすもののみをゲスト端末として配信先の選択肢に選んでもよい。例えば、端末が搭載しているビューワアプリケーションその他の特定のソフトウエアのバージョンがあるバージョン以上であることを条件としたり、あらかじめ定められている拒否端末リストに含まれないことを条件とすること等が考えられる。 Here, the processing device 110 or the creation terminal 102 may select, as the guest terminal, only a terminal that satisfies a predetermined condition among the terminals in the vicinity of the own device, as a guest terminal, instead of all the terminals in the vicinity of the own device. For example, the condition may be that the version of the viewer application or other specific software installed on the terminal is higher than a certain version, or that the terminal is not included in a predetermined rejected terminal list. Conceivable.
ゲスト端末を携帯しているユーザは、処理装置110やローカルユーザIDサーバ152等に登録されていないことが一般的と考えられる。そこで処理装置110は、ドキュメントの配信先に指定されたゲスト端末から、eDocファイルやメタデータを要求された場合には、ユーザ認証を省略してそれらデータを配信してもよい。また、ゲスト端末に配信するeDocのメタデータには、削除条件が満たされたらそのeDocファイル及びメタデータをゲスト端末から削除する旨の削除指示を組み込む。削除条件は、例えばそのeDocの画面表示が終了した場合、又は、配信時点から所定の許可期間が経過した場合、等である。ゲスト端末は、削除条件が満たされた時点で、そのeDocファイル及びメタデータを自端末内から削除する。これにより、ゲスト端末によるeDocの漏洩リスクが低減される。 It is generally considered that the user carrying the guest terminal is not registered in the processing device 110, the local user ID server 152, or the like. Therefore, when an eDoc file or metadata is requested from a guest terminal specified as a document distribution destination, the processing device 110 may distribute the data without user authentication. In addition, the eDoc metadata to be delivered to the guest terminal incorporates a deletion instruction to delete the eDoc file and the metadata from the guest terminal when the deletion condition is satisfied. The deletion condition is, for example, when the screen display of the eDoc ends, or when a predetermined permission period has elapsed from the time of distribution. When the deletion condition is satisfied, the guest terminal deletes the eDoc file and the metadata from the terminal itself. Thereby, the risk of eDoc leakage by the guest terminal is reduced.
<配信先端末以外からの要求に対する対処>
これまでに説明した例は、配信者が配信先として指定した閲覧端末104に対して処理装置110がeDoc(又はこれに対応する配信準備完了通知)を配信するという、プッシュ型の配信形態であった。
<Response to a request from a terminal other than the distribution destination terminal>
The example described so far is a push type distribution mode in which the processing device 110 distributes an eDoc (or a distribution preparation completion notification corresponding thereto) to the viewing terminal 104 designated as a distribution destination by the distributor. Was.
しかし、別の例として、閲覧端末104からの要求に応じて処理装置110が保持しているeDocのリストを閲覧端末104に提供し、その中からユーザが選択した閲覧対象を閲覧端末104に配信するという、プル型の配信形態も考えられる。プル型の配信形態の場合、配信先ユーザが、配信先に指定されていない閲覧端末104から処理装置110にアクセスし、eDocを要求することも考えられる。このような要求があった場合に処理装置110が行う対処として、以下のような方式がある。 However, as another example, a list of eDocs held by the processing device 110 is provided to the browsing terminal 104 in response to a request from the browsing terminal 104, and a browsing target selected by the user from the list is distributed to the browsing terminal 104. A pull-type distribution form is also conceivable. In the case of the pull-type distribution mode, it is conceivable that the distribution destination user accesses the processing device 110 from the browsing terminal 104 that is not specified as the distribution destination and requests the eDoc. The following method is available as a measure to be taken by the processing device 110 when such a request is made.
(方式1) 処理装置110は、閲覧端末104からeDocの配信要求を受けた場合に、その閲覧端末104が、そのeDocの最新のメタデータの配信先情報にて配信先とされている閲覧端末に該当するかどうか判定する。そして、該当しないと判定した場合には、そのeDocのファイル(本体)もメタデータもその閲覧端末104には送信しない。なお、該当すると判定した場合には、更に、その配信要求を行ったユーザ(あるいはそのユーザと閲覧端末104の組合せ)が、そのメタデータの配信先情報に含まれているかどうかを判定し、含まれている場合には配信を行い、含まれていない場合には配信を行わないようにしてもよい。 (Method 1) When the processing device 110 receives an eDoc distribution request from the browsing terminal 104, the processing terminal 110 sets the browsing terminal to which the browsing terminal 104 is set as the distribution destination based on the distribution destination information of the latest metadata of the eDoc. Is determined. When it is determined that the eDoc does not correspond, neither the file (body) nor the metadata of the eDoc is transmitted to the browsing terminal 104. If it is determined that the metadata is applicable, it is further determined whether or not the user who made the distribution request (or a combination of the user and the browsing terminal 104) is included in the distribution destination information of the metadata. If it is included, distribution may be performed, and if not included, distribution may not be performed.
このように、方式1では、配信者から指定された配信先に該当しない閲覧端末104には、eDoc(本体ファイル及びメタデータ)は配信されない。 As described above, in the method 1, the eDoc (body file and metadata) is not distributed to the viewing terminal 104 that does not correspond to the distribution destination specified by the distributor.
(方式2) この方式では、処理装置110は、eDocの配信要求を送ってきた閲覧端末104がそのeDocのメタデータの配信先情報に規定された配信先の閲覧端末104に該当しない場合でも、その要求を発したユーザ(すなわちその閲覧端末104を使用しているユーザ)がその配信先情報に配信先として含まれる場合は、eDocの本体ファイル及びメタデータを送信する。ただし、処理装置110は、この場合、送信するeDocファイル及びメタデータには、保存不可を示すフラグ情報を組み込む。閲覧端末104は、保存不可のフラグ情報を含んだeDocファイル及びメタデータは、表示はするが、ユーザからの保存指示は受け付けず、ユーザの閲覧が終了すると、それらを保存せずに破棄する。 (Method 2) In this method, even when the viewing terminal 104 that has transmitted the eDoc distribution request does not correspond to the distribution destination browsing terminal 104 specified in the distribution destination information of the metadata of the eDoc, When the user who issued the request (that is, the user who is using the browsing terminal 104) is included in the distribution destination information as the distribution destination, the eDoc main body file and the metadata are transmitted. However, in this case, the processing device 110 incorporates flag information indicating that storage is impossible in the eDoc file and the metadata to be transmitted. The browsing terminal 104 displays the eDoc file and the metadata including the flag information indicating that storage is not possible, but does not accept a save instruction from the user, and discards the data without saving the user when browsing is completed.
なお、配信先に指定されていない閲覧端末104に送信したeDocファイル及びメタデータをその閲覧端末104に保存させない方式に代えて、保存はいったん認めることも考えられる。ただし、この場合、その後再びその閲覧端末104がそのeDocファイルを開こうとする際、その閲覧端末104は処理装置110等にそのeDocの最新のメタデータを要求(これは閲覧の許可を求める要求である)するが、その要求に応じて処理装置110がその閲覧端末104と要求したユーザの組合せがそのメタデータの配信先情報に含まれるか判定し、含まれない場合は、閲覧端末104にそのeDocを削除する指示を送る。閲覧端末104は、その指示に応じて、保存しているそのeDocファイルとこれに対応するメタデータを削除する。なお、処理装置110は、最新のメタデータを要求した閲覧端末104に明示的にeDocの削除指示を送る代わりに、単にその最新のメタデータを応答してもよい。この場合、閲覧端末104が、受け取った最新のメタデータに、自機と現在のユーザの組合せが含まれているか判定し、含まれていない場合には、eDocファイルを開かず、更にその保存しているeDocファイルを削除してもよい。 Note that, instead of a method in which the eDoc file and the metadata transmitted to the viewing terminal 104 not specified as the distribution destination are not stored in the viewing terminal 104, the storage may be permitted once. However, in this case, when the browsing terminal 104 tries to open the eDoc file again thereafter, the browsing terminal 104 requests the latest metadata of the eDoc from the processing device 110 or the like (this is a request for requesting browsing permission). However, in response to the request, the processing device 110 determines whether or not the combination of the browsing terminal 104 and the requested user is included in the distribution destination information of the metadata. An instruction to delete the eDoc is sent. The browsing terminal 104 deletes the stored eDoc file and the corresponding metadata in response to the instruction. Note that the processing device 110 may simply respond with the latest metadata, instead of explicitly sending an eDoc deletion instruction to the viewing terminal 104 that has requested the latest metadata. In this case, the browsing terminal 104 determines whether the latest metadata received includes the combination of its own device and the current user, and if not, does not open the eDoc file and further saves it. The eDoc file may be deleted.
以上に説明した図18の例では、再暗号化後のeDocファイルは再暗号化前のeDocファイルのDIDを引き継いだが、再暗号化後のeDocファイルに再暗号化前のeDocファイルとは別のDIDを付与してもよい。この場合、処理装置110は、配信先の各閲覧端末104に対して、再暗号化前のeDocファイルのDIDを含んだ明示的な削除指示を送ることで、脆弱性のある再暗号化前のeDocファイルが閲覧端末104に残らないようにする。また、再暗号化後のeDocファイルと再暗号化前のeDocファイルとが互いに同じドキュメントに対応するものであることを示す関連付けの情報を、再暗号化後のeDocファイルに対応するメタデータ、又は処理装置110内(あるいは上位のDIDサーバ220、ローカルDIDサーバ154内)に記録する。再暗号化後のeDocに対応するメタデータに記録する場合には、例えば、そのメタデータに例えば「更新前のDID」の項目として、再暗号化前のeDocのDIDを含めればよい。 In the example of FIG. 18 described above, the eDoc file after re-encryption inherits the DID of the eDoc file before re-encryption, but the eDoc file after re-encryption has a different eDoc file from the eDoc file before re-encryption. DID may be provided. In this case, the processing device 110 sends an explicit deletion instruction including the DID of the eDoc file before re-encryption to each of the browsing terminals 104 at the distribution destination, so that the vulnerable terminal before re-encryption is transmitted. Make sure that the eDoc file does not remain in the viewing terminal 104. In addition, information on association indicating that the eDoc file after re-encryption and the eDoc file before re-encryption correspond to the same document is written in metadata corresponding to the eDoc file after re-encryption, or It is recorded in the processing device 110 (or in the higher-order DID server 220 or the local DID server 154). When recording in the metadata corresponding to the eDoc after re-encryption, for example, the metadata may include the DID of the eDoc before re-encryption as an item of “DID before update”, for example.
以上、本発明の実施形態を説明した。以上に例示した作成端末102、閲覧端末104、処理装置110、ローカルユーザIDサーバ152、ローカルDIDサーバ154、ローカルメタデータサーバ156、ユーザIDサーバ210、DIDサーバ220、メタデータサーバ230、処理装置管理サーバ240等の各装置は、コンピュータに上述のそれら各装置の機能を表すプログラムを実行させることにより実現される。ここで、コンピュータは、例えば、ハードウエアとして、CPU等のマイクロプロセッサ、ランダムアクセスメモリ(RAM)およびリードオンリメモリ(ROM)等のメモリ(一次記憶)、フラッシュメモリやSSD(ソリッドステートドライブ)、HDD(ハードディスクドライブ)や等の固定記憶装置を制御するコントローラ、各種I/O(入出力)インタフェース、ローカルエリアネットワークなどのネットワークとの接続のための制御を行うネットワークインタフェース等が、たとえばバス等を介して接続された回路構成を有する。それら各機能の処理内容が記述されたプログラムがネットワーク等の経由でフラッシュメモリ等の固定記憶装置に保存され、コンピュータにインストールされる。固定記憶装置に記憶されたプログラムがRAMに読み出されCPU等のマイクロプロセッサにより実行されることにより、上に例示した機能モジュール群が実現される。 The embodiment of the invention has been described. The creation terminal 102, the browsing terminal 104, the processing device 110, the local user ID server 152, the local DID server 154, the local metadata server 156, the user ID server 210, the DID server 220, the metadata server 230, and the processing device management exemplified above. Each device such as the server 240 is realized by causing a computer to execute a program representing the function of each device described above. Here, the computer includes, for example, a microprocessor such as a CPU, a memory (primary storage) such as a random access memory (RAM) and a read-only memory (ROM), a flash memory or an SSD (solid state drive), and an HDD as hardware. A controller for controlling a fixed storage device such as a hard disk drive or the like, various I / O (input / output) interfaces, a network interface for controlling connection with a network such as a local area network, and the like are connected via, for example, a bus. Circuit configuration. A program describing the processing contents of each of these functions is stored in a fixed storage device such as a flash memory via a network or the like, and is installed in a computer. The program stored in the fixed storage device is read into the RAM and executed by the microprocessor such as the CPU, thereby realizing the functional module group exemplified above.
10 広域ネットワーク、100 ローカルシステム、102 作成端末、104 閲覧端末、108 ローカルネットワーク、110 処理装置、112 管理情報記憶部、112a 管理情報、114a ユーザ情報、130 認証デバイス、150 組織内管理システム、152 ローカルユーザIDサーバ、154 ローカルDIDサーバ、156 ローカルメタデータサーバ、200 管理システム、210 ユーザIDサーバ、212 契約者データ、214 一般ユーザデータ、220 DIDサーバ、230 メタデータサーバ、240 処理装置管理サーバ、242 ステータス履歴、244 ステータス、246 ソフトウエア情報、248 ハードウエア情報、300 メタデータ、400 入力画面、402 配信先ユーザ選択メニュー、404 配信先ユーザリスト欄、406 配信先端末選択メニュー、408 配信先端末リスト欄、410 アクセス権限設定欄、412 オフライン有効期間メニュー、414 オプション設定呼出ボタン、420 オプション設定画面、422 処理装置指定欄、424 元データ設定欄、500 リスト画面、502 通知マーク、504 ドキュメント名、506 閲覧可否マーク、602 発行権限キー、604 処理装置固有情報、606 発行年月日、608 発行証明キー、610 発行番号。 Reference Signs List 10 wide area network, 100 local system, 102 creation terminal, 104 viewing terminal, 108 local network, 110 processing device, 112 management information storage unit, 112a management information, 114a user information, 130 authentication device, 150 organization management system, 152 local User ID server, 154 Local DID server, 156 Local metadata server, 200 management system, 210 User ID server, 212 Contractor data, 214 General user data, 220 DID server, 230 Metadata server, 240 Processing device management server, 242 Status history, 244 status, 246 software information, 248 hardware information, 300 metadata, 400 input screen, 402 distribution destination user selection menu 404, distribution destination user list field, 406 distribution destination terminal selection menu, 408 distribution destination terminal list field, 410 access authority setting field, 412 offline validity period menu, 414 option setting call button, 420 option setting screen, 422 processing device designation field 424 Original data setting column, 500 list screen, 502 notification mark, 504 document name, 506 browsability mark, 602 issue authority key, 604 processing unit specific information, 606 issue date, 608 issue certification key, 610 issue number.
Claims (8)
前記処理装置から、前記処理装置に内蔵されたハードウエア回路のステータスであって、前記暗号化鍵に関する情報とは独立した情報であるステータスを受信する受信手段と、
前記ステータスに基づき、前記処理装置に前記処理の実行を許可するか否かを制御する制御手段と、
を含む管理装置。 A processing device provided in each of the local networks, a plurality of processing devices that execute processing on an input document using an encryption key, and a document management system is configured together with the processing device, and connected to each of the local networks. A management device provided on an external network,
Receiving means for receiving, from the processing device, a status of a hardware circuit incorporated in the processing device, the status being information independent of information on the encryption key;
Control means for controlling whether to permit the processing device to execute the processing based on the status,
Management device including.
を更に含む、請求項1に記載の管理装置。 Transmission means for transmitting setting information for a specific item of the status of the processing device to the processing device to add or update,
The management device according to claim 1, further comprising:
前記処理装置から、前記処理装置に内蔵されたハードウエア回路のステータスであって、前記ハードウエア回路の名称及びバージョンのうち少なくとも1つを含む情報であるステータスを受信する受信手段と、
前記ステータスに基づき、前記処理装置に前記処理の実行を許可するか否かを示す情報を出力する出力手段と、
を含む管理装置。 A processing device provided in each local network, a plurality of processing devices that execute processing on an input document, and a document management system are configured, and provided on an external network connected to the local network. Management device,
Receiving means for receiving, from the processing device, a status of a hardware circuit built in the processing device, the status being information including at least one of a name and a version of the hardware circuit;
Output means for outputting information indicating whether or not to permit the processing device to execute the processing based on the status;
Management device including.
入力されたドキュメントに対する処理を、暗号化鍵を用いて行う処理手段と、
前記処理装置に内蔵されたハードウエア回路のステータスであって、前記暗号化鍵に関する情報とは独立した情報であるステータスを前記管理装置に送信する手段と、
前記管理装置に送信した前記ステータスに応じて前記管理装置から許可があった場合に、前記処理手段に対して、入力されたドキュメントに対する前記処理を行うよう制御する制御手段と、
を含む処理装置。 A processing device provided in a local network, the processing device constituting a document management system together with a management device provided in an external network connected to the local network,
Processing means for performing processing on the input document using an encryption key;
Means for transmitting a status, which is a status of a hardware circuit built in the processing device, which is information independent of information on the encryption key, to the management device,
A control unit that controls the processing unit to perform the processing on the input document when there is a permission from the management device according to the status transmitted to the management device;
A processing device including:
入力されたドキュメントに対する処理を、暗号化鍵を用いて行う処理手段と、
前記処理装置に内蔵されたハードウエア回路のステータスであって、前記ハードウエア回路の名称及びバージョンのうち少なくとも1つを含む情報であるステータスを前記管理装置に送信する手段と、
前記管理装置に送信した前記ステータスに応じて前記管理装置から許可があった場合に、前記処理手段に対して、入力されたドキュメントに対する前記処理を行うよう制御する制御手段と、
を含む処理装置。 A processing device provided in a local network, the processing device constituting a document management system together with a management device provided in an external network connected to the local network,
Processing means for performing processing on the input document using an encryption key;
Means for transmitting, to the management device, a status of a hardware circuit built in the processing device, the status being information including at least one of a name and a version of the hardware circuit;
A control unit that controls the processing unit to perform the processing on the input document when there is a permission from the management device according to the status transmitted to the management device;
A processing device including:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019145918A JP6733791B2 (en) | 2019-08-08 | 2019-08-08 | Management device and processing device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019145918A JP6733791B2 (en) | 2019-08-08 | 2019-08-08 | Management device and processing device |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017052852A Division JP6572926B2 (en) | 2017-03-17 | 2017-03-17 | Document management system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019215903A true JP2019215903A (en) | 2019-12-19 |
JP6733791B2 JP6733791B2 (en) | 2020-08-05 |
Family
ID=68919649
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019145918A Active JP6733791B2 (en) | 2019-08-08 | 2019-08-08 | Management device and processing device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6733791B2 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005209181A (en) * | 2003-12-25 | 2005-08-04 | Sorun Corp | File management system and management method |
JP2009289187A (en) * | 2008-05-30 | 2009-12-10 | Toshiba Corp | Takeout control system, takeout device, management device, takeout program and management program |
JP2016535476A (en) * | 2013-10-07 | 2016-11-10 | フォーネティクス・エルエルシー | Systems and methods for encryption key management, collaboration, and distribution |
JP2017017616A (en) * | 2015-07-03 | 2017-01-19 | Kddi株式会社 | Software distribution processing unit, vehicle, software distribution processing method and computer program |
JP2017017559A (en) * | 2015-07-01 | 2017-01-19 | e−Janネットワークス株式会社 | Communication system and program |
-
2019
- 2019-08-08 JP JP2019145918A patent/JP6733791B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005209181A (en) * | 2003-12-25 | 2005-08-04 | Sorun Corp | File management system and management method |
JP2009289187A (en) * | 2008-05-30 | 2009-12-10 | Toshiba Corp | Takeout control system, takeout device, management device, takeout program and management program |
JP2016535476A (en) * | 2013-10-07 | 2016-11-10 | フォーネティクス・エルエルシー | Systems and methods for encryption key management, collaboration, and distribution |
JP2017017559A (en) * | 2015-07-01 | 2017-01-19 | e−Janネットワークス株式会社 | Communication system and program |
JP2017017616A (en) * | 2015-07-03 | 2017-01-19 | Kddi株式会社 | Software distribution processing unit, vehicle, software distribution processing method and computer program |
Also Published As
Publication number | Publication date |
---|---|
JP6733791B2 (en) | 2020-08-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6572926B2 (en) | Document management system | |
JP6575547B2 (en) | Document management system | |
JP6819748B2 (en) | Information processing equipment, information processing systems and programs | |
AU2019261686B2 (en) | Management apparatus and document management system | |
US10853423B2 (en) | Information processing apparatus and non-transitory computer readable medium | |
JP6708239B2 (en) | Document management system | |
JP6604367B2 (en) | Processing apparatus and information processing apparatus | |
JP6849018B2 (en) | Document management system | |
JP6791308B2 (en) | Document management system and management device | |
JP6777213B2 (en) | Information processing equipment and programs | |
JP7516798B2 (en) | Document management system, processing terminal device and control device | |
JP6733791B2 (en) | Management device and processing device | |
JP6819734B2 (en) | Information processing equipment and terminals used | |
JP2019207732A (en) | Document management system, management device, and processing device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190808 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200514 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200609 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200622 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6733791 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |