JP4357214B2 - アクセス管理プログラム - Google Patents
アクセス管理プログラム Download PDFInfo
- Publication number
- JP4357214B2 JP4357214B2 JP2003159529A JP2003159529A JP4357214B2 JP 4357214 B2 JP4357214 B2 JP 4357214B2 JP 2003159529 A JP2003159529 A JP 2003159529A JP 2003159529 A JP2003159529 A JP 2003159529A JP 4357214 B2 JP4357214 B2 JP 4357214B2
- Authority
- JP
- Japan
- Prior art keywords
- content
- information
- access
- user
- rights
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
【発明の属する技術分野】
本発明は、コンテンツ情報のアクセス権限を管理するためのアクセス管理プログラムに関する。
【0002】
【従来の技術】
従来、企業等の団体においては、社員等の各個人が文書情報や画像情報等のコンテンツ情報を作成する際に、各個人のパーソナルコンピュータ(以下、パソコンという)により作成している。
【0003】
この種のコンテンツ情報を管理するため、上位の管理サーバにコンテンツ情報を登録し、各個人のパソコンが上位の管理サーバからコンテンツ情報を読出して編集し、編集後に上位の管理サーバに戻す方式が知られている。
なお、この方式とは異なるが、この出願の発明に関連する技術としては次のものがある。
【0004】
【特許文献1】
特開2002−123328号公報。
【0005】
【発明が解決しようとする課題】
しかしながら、以上のような上位の管理サーバからコンテンツ情報を読み出す方式は、各個人のパソコンを外部に持出すと、コンテンツ情報の機密保護を図れない問題がある。
【0006】
詳しくは、例えば自宅等に持ち帰ってコンテンツ情報を編集する場合は構わないが、退職した元社員が機密情報を含むコンテンツ情報にアクセスできる状況が問題となっている。
【0007】
本発明は上記実情を考慮してなされたもので、上位の管理サーバに接続されるユーザ端末を外部に持ち出す場合でも、コンテンツ情報の機密保護を図り得るアクセス管理プログラムを提供することを目的とする。
【0008】
【課題を解決するための手段】
第1の発明は、予めユーザの個別識別子とアクセス権利情報とを保持したセキュア記録媒体を着脱自在に保持し、且つ前記ユーザの操作によってコンテンツ情報を作成するためのユーザ端末に用いられ、前記コンテンツ情報のアクセス権限を管理するアクセス管理プログラムであって、前記ユーザ端末のコンピュータに、前記セキュア記録媒体からアクセス権利情報を読み出す機能、このアクセス権利情報に基づいて、前記コンテンツ情報のアクセスを許可する機能、前記アクセス権利情報を定期的又は不定期に更新するように、アクセス権利を管理する管理サーバと交信するための機能、この交信が一定期間できないとき、前記コンテンツ情報へのアクセスを不可とする機能、を実現させるためのアクセス管理プログラムである。
【0009】
このように、ユーザ端末がコンテンツ情報にアクセスする際に、セキュア記録媒体内のアクセス権利情報を必要とし、且つ、アクセス権利を管理する管理サーバとの交信が一定期間できないときにはアクセスを不可とする構成により、上位の管理サーバに接続されるユーザ端末を外部に持ち出す場合でも、コンテンツ情報の機密保護を図ることができる。
【0010】
【発明の実施の形態】
以下、本発明の各実施形態について図面を参照しながら説明するが、その前に、本明細書中の表記法を以下に示す。
IDmA:セキュア媒体MAのシステム領域に格納された媒体識別子。
IDu:個別識別子。ユーザIDであり、中央(管理)サーバが発行する。
Enc_id(IDmA,IDu):暗号化個別識別子であり、個別識別子IDuが媒体識別子IDmAで暗号化されたもの。idは暗号方式を示す添字。
Kci:コンテンツIDが iのコンテンツ鍵情報。
Dci:コンテンツIDが iのコンテンツ属性情報。
Ci:コンテンツIDが iのコンテンツ情報。
Mdi:コンテンツIDが iのコンテンツメタ情報。
ヘッダ情報:コンテンツ識別子iをもつ情報(例、Kci、Dci、Mdi、Ri、Ci等)を互いに関係つける情報。なお、ヘッダ情報は、各情報を暗号化の有無によらずに関連付ける。
【0011】
Enc_k(IDu,Kci):暗号化コンテンツ鍵であり、コンテンツ鍵Kciが個別識別子IDuで暗号化されたもの。
【0012】
Enc_c(Kci,Ci):暗号化コンテンツと呼ぶ。コンテンツ鍵Kciで暗号化された、コンテンツIDが iのコンテンツCi。
【0013】
Ri:コンテンツIDが iのコンテンツ操作に関わる権利。コンテンツ操作権利情報と呼ぶ。閲覧、二次加工(編集、改訂など)等の操作権利を示しており、メタ情報の一部。
【0014】
Enc_k(IDu,Ri):暗号化コンテンツ操作権利情報。
【0015】
(第1の実施形態)
図1は本発明の第1の実施形態に係るアクセス管理プログラムが適用された企業情報保護システムの構成を示す模式図であり、図2は同システムにおけるセキュア記録媒体の構成を示す模式図であり、図3は同システムにおけるユーザ端末の構成を示す模式図である。
【0016】
この企業情報保護システムは、上位の管理サーバとしての中央サーバ10と、複数のユーザ端末20とがネットワークを介して接続可能となっている。
ここで、中央サーバ10は、コンテンツ管理DB(database)11、ユーザ管理DB12、権利テーブルDB13、エージェント管理DB14及び中央サーバエージェント15を備えている。
【0017】
コンテンツ管理DB11は、中央サーバエージェント15から読出/書込可能となっており、各ユーザ端末20からの権利委譲に伴い、個別識別子IDu毎にコンテンツIDi、コンテンツ属性情報Dci、メタ情報Mdi、ヘッダ情報Hdi、暗号化コンテンツ鍵Enc_k(IDu,Kci)、暗号化コンテンツEnc_c(Kci,Ci)、暗号化コンテンツ操作権利Enc_k(IDu,Ri)が記憶される。
【0018】
ユーザ管理DB12は、中央サーバエージェント15から読出/書込可能となっており、各ユーザ毎に、所属する組織、役職(身分)とが記憶されている。
【0019】
権利テーブルDB13は、中央サーバエージェント15から読出/書込可能となっており、各ユーザ固有のコンテンツ操作権利情報をテーブル形式で示す個人権利テーブルと、組織固有のコンテンツ操作権利情報をテーブル形式で示す組織権利テーブルと、役職固有のコンテンツ操作権利情報をテーブル形式で示す役職権利テーブルとが記憶されている。
【0020】
エージェント管理DB14は、中央サーバエージェント15から読出/書込可能となっており、ユーザ端末側のローカルエージェント固有のデバイス鍵と電子透かし情報とが記憶されている。この電子透かし情報は、ローカルエージェント21が復号したコンテンツに入れるものである。
【0021】
中央サーバエージェント15は、各管理DB11〜14を管理しつつ、ユーザ端末20を介してセキュア記録媒体MA内の権利委譲を受ける機能、ユーザ端末20からの権利付与の要求に応じて権利を付与する機能、ユーザ端末20を介してセキュア記録媒体MA内の暗号化されたコンテンツ操作権利情報Riを変更又は削除する機能などをもっている。
【0022】
一方、ユーザ端末20は、着脱自在に保持するセキュア記録媒体MAに対して読出/書込可能なローカルエージェント21を備えている。
なお、セキュア記録媒体MAは、例えばSDメモリカードであり、システム領域1、保護領域2、ユーザデータ領域3及び図示しないコントローラ等を備えている。
【0023】
システム領域1は、媒体製造時に、媒体固有の識別情報である媒体識別子IDm及びMKB(Media Key Block)情報が書換不可に記憶された領域である。
【0024】
保護領域2は、一般のユーザがデータに直接アクセスできない領域であり、セキュア記録媒体MAに固有の媒体固有鍵Kmuにより、ユーザ固有の個別固有鍵IDuが暗号化されてなる暗号化個別識別子Enc(Kmu,IDu)が記憶されている。ここで、媒体固有鍵Kmuは、後述するビューア部40のデバイス鍵や、媒体識別子IDm及びMKB情報に基づいて、MKB処理などにより生成される媒体固有の鍵である。
【0025】
ユーザデータ領域3は、一般のユーザがデータに直接アクセス可能な領域であり、ここでは、暗号化コンテンツ鍵Enc_k(IDu,Kci)、暗号化コンテンツ操作権利情報Enc_k(IDu,Ri)及び暗号化コンテンツEnc_c(Kci,Ci)が記憶されている。但し、ユーザデータ領域3は、これに限らず、ヘッダ情報Hdi、メタ情報Mdi、コンテンツ属性情報Dciなど、任意の情報を記憶させることができる。
【0026】
ローカルエージェント(アクセス管理プログラム)21は、閲覧、編集、印刷、二次加工などの処理を制御する機能を有し、基本的には外部権利記録媒体からの権利、暗号鍵などの読出し機能と、コンテンツの暗号化、復号などを行う機能と、中央サーバ10との権利の委譲、付与された権利行使などを行う機能と、コンテンツ操作権利Riを定期的又は不定期に更新するように、中央サーバ10と交信するための機能と、中央サーバ10との一定期間毎の交信が途絶えると、コンテンツ操作権利Riに関わらず、コンテンツの操作を不可とする機能とをもっている。
【0027】
具体的にはローカルエージェント21は、図3に示すように、暗復号部22、MKB処理部22a、保護領域復号部22b、ユーザ領域復号部22c、コンテンツ復号部22d、コンテンツ暗号化部22e、権限委譲部23、権利要求/付与部24、権利比較部25、コンテンツ操作部26、ファイルシステム27、メモリ28を備えている。
【0028】
ここで、暗復号部22は、セキュア記録媒体MAの記録内容を復号して読出す機能と、ローカルエージェント21による書込データを暗号化してセキュア記録媒体MAに書込む機能をもっており、前述した各部22a〜22eを備えている。
【0029】
MKB処理部22aは、セキュア記録媒体MAから読み出した媒体識別子IDmA及びMKB情報と、ローカルエージェント21のデバイス鍵とに基づいて媒体固有鍵Kmuを生成し、この媒体固有鍵Kmuを保護領域復号部22bに送出する機能をもっている。具体的にはMKB処理部22aは、SDメモリカードに適用する場合、SDメモリカードの再生装置の一部としての、鍵生成用の暗号化処理(MKB処理、C2_G処理)に対応している。
【0030】
保護領域復号部22bは、MKB処理部22aから受けた媒体固有鍵Kmuに基づいて、セキュア記録媒体MAから読み出した暗号化個別識別子Enc(Kmu,IDu)を復号し、得られた個別識別子IDuをユーザ領域復号部22cに送出する機能をもっている。なお、保護領域復号部22bは、後述するが個別識別子がコンテンツ操作権利情報を含む実施形態の場合、得られた個別識別子IDuを権利比較部25に送出する機能を備えたものとする。
【0031】
いずれにしても、具体的には保護領域復号部22bは、SDメモリカードに適用する場合、SDメモリカードの再生装置の一部としての、保護領域読出用の相互認証・鍵交換処理(AKE処理)、読出データの復号処理(C2_DCBC処理、C2_D処理)及び連接解除処理(‖処理)などに対応している。
【0032】
ユーザ領域復号部22cは、保護領域復号部22bから受けた個別識別子IDuに基づいて、セキュア記録媒体MAから読み出した暗号化コンテンツ鍵Enc(IDu,Kci)を復号し、得られたコンテンツ鍵Kciをコンテンツ復号部22d及びコンテンツ暗号化部22eに送出する機能をもっている。
【0033】
また、ユーザ領域復号部22cは、同じく個別識別子IDuに基づいて、セキュア記録媒体MAから読み出した暗号化コンテンツ操作権利Enc(IDu,Ri)を復号し、得られたコンテンツ操作権利Riを権利比較部25に送出する機能とをもっている。
【0034】
具体的にはユーザ領域復号部22cは、SDメモリカードに適用する場合、SDメモリカードの再生装置の一部としての、ユーザデータ領域3からの読出データの復号処理(C2_DCBC処理)に対応している。
【0035】
コンテンツ復号部22dは、ユーザ領域復号部22cから受けたコンテンツ鍵Kcに基づいて、セキュア記録媒体MA又はメモリ28から読み出した暗号化コンテンツEnc(Kci,Ci)を復号し、得られたコンテンツ情報Ciをコンテンツ操作部26に出力する機能をもっている。
【0036】
コンテンツ暗号化部22eは、ユーザ領域復号部22cから受けたコンテンツ鍵Kciに基づいて、コンテンツ操作部26から受けたコンテンツ情報Ciを暗号化し、得られた暗号化コンテンツEnc(Kci,Ci)をセキュア記録媒体MA又はメモリ28に書込む機能をもっている。
【0037】
権利委譲部23は、ユーザの操作により、コンテンツCiの権利委譲の際に、セキュア記録媒体MAのユーザデータ領域3内の、コンテンツCiに対応する記録内容を中央サーバに送信する機能と、送信した記録内容のうち、少なくとも暗号化されている情報をセキュア記録媒体MAから消去する機能とをもっている。
【0038】
権利要求/付与部24は、権利委譲部23による権利委譲の後、ユーザの操作により、コンテンツCiの操作権利を中央サーバ10に要求する機能と、この要求に応じて中央サーバから受けたデータをセキュア記録媒体MAのユーザデータ領域3に書込む機能とをもっている。
【0039】
権利比較部25は、ユーザの操作により、コンテンツCiにアクセスする前に、セキュア記録媒体MAから暗復号部22を介して読み出したコンテンツ操作権利情報Riに基づいて、ユーザ固有のコンテンツ操作権利と、コンテンツ固有の操作権利とを比較し、操作内容毎に許可又は不許可をコンテンツ操作部26に通知する機能をもっている。
【0040】
コンテンツ操作部26は、権利比較部25からの通知内容に基づいて、ユーザの操作により、暗復号部22から受けたコンテンツ情報Ciを操作する機能と、操作後のコンテンツ情報Ciを暗復号部22を介してセキュア記録媒体MA又はメモリ28に書込む機能をもっている。
【0041】
ファイルシステム27は、ローカルエージェント21に用いられ、メモリ28内の暗号化又は平文状態のコンテンツ情報を管理する機能をもっている。メモリ28は、ファイルシステム27に管理される記憶部である。
【0042】
次に、以上のように構成された企業情報保護システムの動作を図4乃至図7の模式図を用いて説明する。なお、以下の説明は、「ローカルエージェントでのコンテンツ作成」、「再読出・編集・加工」、「権利委譲」、「権利付与要求」、「権利行使」、「権利の管理」及び「ローカルエージェントの正当性確認」の順に述べる。
【0043】
(ローカルエージェント21でのコンテンツ作成)
ユーザ端末20は、ユーザの操作により、ローカル文書としてのコンテンツ情報Ciを作成するため、ローカルエージェント21を動作させる。
【0044】
ローカルエージェント21は、始めに、コンテンツ識別子iを生成する。このコンテンツ識別子iは、別の文書名とリンクされ、ユーザからは隠されている。なお、コンテンツ識別子iには、ユーザの個別識別子IDuと関係付けるデータが入っていると良い。この種のデータには、例えば、従業員番号、会員番号など個別識別子と対応したもの。後は、日付やシリアル番号等がある。
【0045】
次に、ローカルエージェント21は、コンテンツCiを作成すると共に、コンテンツ属性情報Dci、メタ情報Mdi、操作権利情報Ri、ヘッダ情報Hdiを生成する。
【0046】
ここで、コンテンツ属性情報Dci、メタ情報Mdi及びヘッダ情報Hdiは、暗号化されずに、セキュア記録媒体MAのユーザデータ領域3に格納され、ファイルシステム27から参照可能となっている。
【0047】
コンテンツ操作権利情報Riは、機密度に従って、ユーザが選択してもよく、又は予め決められていてもよい。このコンテンツ操作権利情報Riは、個別識別子IDuで暗号化され、セキュア記録媒体MAのユーザデータ領域3に格納される。
【0048】
続いて、ローカルエージェント21は、コンテンツ鍵Kciを内部で生成し、このコンテンツ鍵Kciによりコンテンツ情報Ciを暗号化し、得られた暗号化コンテンツEnc_c(Kci,Ci)を、例えばファイルシステム27のメモリ28に格納する。
【0049】
また、ローカルエージェント21は、個別識別子IDuでコンテンツ鍵Kciを暗号化し、得られた暗号化コンテンツ鍵Enc_k(IDu,Kci)を、例えばセキュア記録媒体MAのユーザデータ領域3に格納する。なお、ローカルの非セキュア記憶部としてのメモリ28に格納してもよい。
【0050】
すなわち、ローカルエージェント21は、コンテンツ情報Ciを生成する際に、通常の関連情報の他に、参加権利情報Riを作成し、このRiを改ざんされないように暗号化してユーザデータ領域3に格納する。
【0051】
(再読出・編集・加工)
ローカルエージェント21は、ファイルシステム27などを用い、セキュア記録媒体MAのユーザデータ領域3内のヘッダ情報Hdiからメタ情報Mdiなどを参照して、所望のコンテンツ情報Ciを特定する。なお、コンテンツ識別子iとは別の文書名を参照する。コンテンツ識別子iは、ユーザからは見えない。
【0052】
図3及び図4に示すように、ローカルエージェント21は、暗復号部22により、対応するコンテンツ識別子iに基づいて、保護領域2内の暗号化個別識別子Enc_id(IDmA,IDu)を読出し、復号により個別識別子IDuを得る。
【0053】
次に、ローカルエージェント21は、暗復号部22により、個別識別子IDuに基づいてユーザデータ領域3内の暗号化コンテンツ操作権利Enc(IDu,Ri)を復号し、得られたコンテンツ操作権利Riに基づいて、権利比較部25が操作内容毎に、許可/不許可をコンテンツ操作部26に通知する。
【0054】
コンテンツ操作部26は、この通知により、例えばコンテンツ情報Ciの閲覧及び二次加工が許可されたとして、暗復号部22を制御する。
【0055】
暗復号部22は、コンテンツ操作部26の制御により、前述した復号処理を進める。すなわち、暗復号部22は、個別識別子IDuに基づいて、ユーザデータ領域3内の暗号化コンテンツ鍵Enc_k(IDu,Kci)からコンテンツ鍵Kciを得て、最終的に暗号化コンテンツEnc_c(Kci,Ci)を復号し、コンテンツ情報Ciをコンテンツ操作部26に送出する。
【0056】
コンテンツ操作部26は、ユーザの操作により、コンテンツ操作権利に従って閲覧などを行う。なお、権利行使を確実にする観点から、操作権利が閲覧専用のコンテンツ情報Ciであれば、例えばPDF(Portable Document Format)形式のようにイメージ化しておくとよい。
【0057】
一方、編集、二次加工を操作権利に含むコンテンツ情報Ciは、作成に用いたアプリケーション(ワープロソフト、表作成ソフト)29の扱うファイル形式でコンテンツを表現すると良い。これにより、比較的簡単に、既存のアプリケーションとの整合性を確保できる。
【0058】
権利行使が終了すれば、コンテンツ情報Ciは、再び、コンテンツ鍵Kciを用いて暗号化される。ここで、二次加工後の新たなコンテンツを保存する場合(ユーザが別の文書名で保存する場合)、新たなコンテンツ識別子jが生成され、前述したコンテンツ作成と同様の処理が行われる。
【0059】
すなわち、新しいコンテンツは、ローカルエージェント21の管理下に置くことができる。また、新しいコンテンツは、中央サーバ20に権利委譲することもできる。基本的には、ローカルエージェント21で管理後、中央サーバ10へ権利委譲する。
【0060】
(権利委譲)
作成したコンテンツ識別子iのコンテンツCiに関し、コンテンツ操作権利を中央サーバ10に委譲する際には、ユーザの意志で中央サーバへ権利を委譲する場合と、中央サーバ10がポーリングによってローカルエージェント21と交信し、未だ権利委譲されていないコンテンツを定期的に吸い上げる場合とがある。
【0061】
いずれにしても、ローカルエージェント21が中央サーバ10に権利を委譲するときの必要情報には、コンテンツ識別子i毎に、コンテンツ属性情報Dci、メタ情報Mdi、ヘッダ情報Hdi、暗号化コンテンツ鍵Enc_k(IDu,Kci)、暗号化コンテンツEnc_c(Kci,Ci)、暗号化コンテンツ操作権利Enc_k(IDu,Ri)等がある。
【0062】
従って、図5に示すように、ローカルエージェント21の権利委譲部23は、これら必要情報を中央サーバに送信する。なお、権利委譲の際に送信する情報のうち、暗号化された情報は、通信時にはセキュアな状態である。
【0063】
また、中央サーバ10では、個別識別子IDuが予め登録されているので、暗号化された情報を復号することができる。
【0064】
一方、権利委譲部23は、送信した情報のうち、暗号化された情報を権利委譲後、消去する。また、ヘッダ情報Hdiにおいては、Dci、Mdiをiと関連つけて保存しても良いし、消去しても良い。
【0065】
なお、このように中央サーバ10に権利委譲をすると、ローカルにあった権利が消滅するので、コンテンツ情報Ciにアクセスできなくなる。このため、権利委譲後は、中央サーバ10から権利付与を受ける必要がある。
【0066】
(権利付与要求)
ローカルエージェント21の権利要求/付与部24は、中央サーバ10にアクセスし、所望のコンテンツを選択する。このとき、ユーザは、文書名やコンテンツ属性情報Dciなどからコンテンツを選択する。
【0067】
しかる後、ローカルエージェント21は、対応するコンテンツ識別子i及び媒体識別子IDmAを中央サーバ10に送る。なお、コンテンツ識別子iはコンテンツの特定に必要であり、媒体識別子IDmAはユーザの特定に必要である。
【0068】
中央サーバ10は、中央サーバエージェント15により、この受けた情報に基づいて、付与できる権利の情報として、暗号化コンテンツ操作権利Enc_k(IDu,Ri)、暗号化コンテンツ鍵Enc_k(IDu,Kci)、必要に応じて暗号化コンテンツEnc_k(Kci,Ci)を作成する。場合によって、中央サーバエージェント15は、コンテンツ権利行使ルールの改定、ユーザ属性の更新なども行う。
【0069】
しかる後、中央サーバ10は、これら暗号化コンテンツ操作権利Enc_k(IDu,Ri)、暗号化コンテンツ鍵Enc_k(IDu,Kci)、暗号化コンテンツEnc_k(Kci,Ci)をユーザ端末20に返信する。
【0070】
ユーザ端末20では、権限要求/付与部24が暗号化コンテンツ操作権利Enc_k(IDu,Ri)及び暗号化コンテンツ鍵Enc_k(IDu,Kci)をセキュア記録媒体MAのユーザデータ領域3に書込む。
【0071】
また、権限要求/付与部24は、暗号化コンテンツEnc_k(Kci,Ci)を例えばメモリ28に格納する。
【0072】
(権利行使)
権利行使は、前述した「再読出・編集・加工」の動作と同様である。但し、今回の権利行使は、権利委譲及び権利付与後なので、セキュア記録媒体MAを紛失又は破損した場合でも、中央サーバ10から権利を再付与してもらうことにより、コンテンツ情報Ciにアクセス可能となる点が異なる。
【0073】
(権利の管理)
中央サーバ10は、ユーザ管理DB12により、ユーザ管理を個人、所属組織、役職(身分)の3つの属性に基づいて行う。例えば、個人の権利を基本とし、所属組織、役職の2つで権利を拡大すればよい。ここで、組織変更、役職の変更などが生ずれば、行使できる権利が変化するので、権利を更新する必要がある。
【0074】
権利更新の手法としては、ローカルエージェント21が中央サーバ10と交信したとき、権利確認をする方法が考えられる。
【0075】
例えば、ローカルエージェント21は、定期的に中央サーバ10と交信し、一定期間交信が不可となると、コンテンツ情報Ciのアクセスを停止する。権利再開は中央サーバ10との交信と、行使できる権利の相互確認とが済んだ段階で行われる。
【0076】
以上のような管理により、退社などでユーザの身分が大幅に低下し、権利行使が不能になった場合にも、セキュア記録媒体MAにあるコンテンツ操作権利を行使できる旨の矛盾を軽減できる。また、正当な身分でありながら何らかの理由で中央サーバ10との交信が不可となった場合に起こる障害を軽減できる。
【0077】
仮に正当な身分を失ったユーザのユーザ端末20が中央サーバ10と接続した場合、中央サーバ10はユーザ管理DB12の参照により、ユーザの操作権利が無い旨を知るので、ユーザ側のコンテンツ操作権利Riを全て失効させることができ、もって、安全性を向上できる。
【0078】
(ローカルエージェントの正当性確認)
また、中央サーバ10は、ローカルエージェント21に関し、正当性を確認できるし、また、失効させることもできる。
【0079】
例えば、ローカルエージェント21は、復号したコンテンツに電子透かしを入れる構成とし、この電子透かしにより、復号に携わったローカルエージェントのデバイス鍵に一意に関係付けられた情報がコンテンツに重畳されるようにする。
【0080】
これにより、中央サーバ10は、不当に出回ったコンテンツから電子透かしを検出し、エージェント管理DB14の参照により、対象となるローカルエージェント21を割り出し、該当するローカルエージェント21のデバイス鍵を抹消する。
【0081】
上述したように本実施形態によれば、ユーザ端末20がコンテンツ情報Ciにアクセスする際に、セキュア記録媒体MA内のコンテンツ操作権利Riを必要とし、且つ、一定期間、上位の中央サーバ10との交信ができないときにはアクセスを不可とする構成により、上位の中央サーバ10に接続されるユーザ端末を外部に持ち出す場合でも、コンテンツ情報Ciの機密保護を図ることができる。
【0082】
詳しくは、セキュア記録媒体MA内のコンテンツ操作権利Riを必要とすることにより、ユーザ以外の者から機密保護を図ることができる。また、一定期間、上位の中央サーバ10との交信ができないときにはアクセスを不可とすることにより、時間の経過により操作権利を失ったユーザ自身から機密保護を図ることができる。
【0083】
さらに、権利委譲により、コンテンツ情報Ciの復号や操作に必要な情報が中央サーバ10に管理されるので、不測の事態により、セキュア記録媒体MAを紛失又は破損した際にも、中央サーバ10から必要な情報を再付与できるので、不測の事態に対する安全性を向上させることができる。
【0084】
(第2の実施形態)
次に、本発明の第2の実施形態に係る企業情報保護システムについて説明する。図8は本実施形態における権利比較部による権利の比較を説明するための模式図である。図示するように、コンテンツ操作権利Riは、4つの権利テーブルTc,T1〜T3から構成されている。
【0085】
ここで、コンテンツ権利テーブルTcは、コンテンツが許容する操作権利を操作項目毎に数値で示しており、閲覧がレベル3で可能、印刷がレベル3で可能、編集がレベル3で可能、二次加工がレベル0で可能(=不可)となっている。
【0086】
個人権利テーブルT1は、ユーザ個人の操作権利を操作項目毎に数値で示すものであり、各数値が他のテーブルとは独立に設定されている。
【0087】
組織権利テーブルT2は、組織固有の操作権利を操作項目毎に数値で示すものであり、各数値が他のテーブルとは独立に設定されている。
【0088】
役職権利テーブルT3は、役職固有の操作権利を操作項目毎に数値で示すものであり、各数値が他のテーブルとは独立に設定されている。
【0089】
ここで、権利比較部25は、コンテンツ毎に、コンテンツ操作権利Riから各テーブルTc,T1〜T3を参照し、ユーザに関連する3つの権利テーブルT1〜T3に関し、各操作項目毎に最大値を抽出し、権利の最大値テーブルT4を作成する。
【0090】
しかる後、権利比較部25は、得られた最大値テーブルT4と、コンテンツ権利テーブルTcとに関し、各操作項目毎に数値を比較する。ここで、最大値テーブルT4のある操作項目の数値がコンテンツ権利テーブルTcの同じ操作項目の数値以上のとき(但し、0の場合を除く)には、その操作項目はコンテンツ操作権利が許可される。
【0091】
図8に示す場合、閲覧、印刷及び編集はコンテンツ操作権利が許可されるため、ユーザの権利行使が可能である。二次加工は、コンテンツ権利テーブルの数値が0のため、最大値権利テーブルT4とは無関係に、コンテンツ操作権利が不許可とされるため、権利行使が不可である。
【0092】
以下、権利比較部25は、要求するコンテンツが複数あれば、各コンテンツ毎に上述した処理を行う。
【0093】
ここで、コンテンツ操作権利Riは、定期的に中央サーバ10から更新される。定期的にコンテンツ操作権利Riを変更することにより、ユーザの属性値が変更されたとき、速やかに対応することができる。
【0094】
例えば、図9に示すように、ユーザが定年を迎えたが同じ企業グループで働く場合のように、既存の組織権利テーブルT2と役職権利テーブルT3とが無効となり、個人権利テーブルT1のみ有効に残る場合、権利比較部25は、無効なテーブルの数値を0と扱って、前述同様に、各テーブルT1〜T3から得られる最大値権利テーブルT4を作成し、コンテンツ権利テーブルTcと比較する。
【0095】
図9に示す場合、最大値権利テーブルT4の各数値がいずれもコンテンツ権利テーブルTcの各数値を下回るので、全ての操作項目で権利行使が不可となる。
【0096】
上述したように本実施形態によれば、第1の実施形態の効果に加え、複数の権利テーブルTc,T1〜T3に基づいて、個人、組織、役職などの属性により、権利行使できる操作項目を演算処理で求めることができる。
【0097】
なお、本実施形態は、例えば図10に示すように、変形してもよい。この変形例は、個別識別子IDuに、個人、組織、役職を記述するフィールドを設け、これを確認、変更する構成である。
【0098】
このときには個人、組織、役職によって権利行使できるルールを記述した情報をセキュア記録媒体MAのユーザデータ領域3に個別識別子IDuを用いて暗号化したものを格納させ、これを参照しながら、権利行使を行う。
【0099】
個人は個別識別子IDuで代用できる。既存の組織から所属が離れると中央サーバ10からは削除される。組織、役職も変更があれば改訂される。個人識別子IDuは、一旦付与されれば、その資格を失わない限り変更はない。
【0100】
権利比較部25は、個別識別子IDuの属性から、各権利テーブルT1〜T3が有効か否かを確認する。具体的には、各権利テーブルT1〜T3に付加された有効レベルとの比較を行う。
【0101】
例えば図10に示す場合、組織に特有な組織権利テーブルT2の有効レベルは1、個人の持つ組織レベルは2なので、この組織権利テーブルT2は有効となる。一方、図11に示す場合、組織権利テーブルT2の有効レベルは3、個人の持つ組織レベルは2なので、この組織権利テーブルT2は無効となる。
【0102】
特に、管理サーバからの接続がなされない、企業ネットワークから切り離された状態での企業情報管理をより一層、安全にするために、請求項4では、付与された権利を一時的に制限することを実現する。企業情報が広範囲に漏洩するケースは暗号化を解かれた平文となった情報が、ファイルや印刷物として流出する場合である。係る事態を未然に防止するためには、閲覧以外の権利の行使を一時停止することが望ましい。この実現は、最低限の権利行使である権利テーブルT1だけに一時的に制限することで達せられる。ユーザが文書閲覧など機密の対象となる情報にアクセスする場合にはローカルエージェント21は中央サーバ10に対し、対応するコンテンツ識別子i及び媒体識別子IDmAを送信する。しかし、企業ネットワークに接続されていないため、中央サーバ10からの応答はない。係る条件を検出した際、ローカルエージェント21は権利テーブルT1に従った権利行使に切り替える。もちろん、企業内ネットワークに接続された状態に戻ると、ローカルエージェント21は中央サーバ10との交信が確立され行使できる権利の相互確認とが済んだ段階で、付与された範囲の権利執行に戻る。
【0103】
なお、上記各実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記録媒体に格納して頒布することもできる。
【0104】
また、この記録媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記録媒体であれば、その記憶形式は何れの形態であっても良い。
【0105】
また、記録媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が本実施形態を実現するための各処理の一部を実行しても良い。
【0106】
さらに、本発明における記録媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記録媒体も含まれる。
【0107】
また、記録媒体は1つに限らず、複数の媒体から本実施形態における処理が実行される場合も本発明における記録媒体に含まれ、媒体構成は何れの構成であっても良い。
【0108】
尚、本発明におけるコンピュータは、記録媒体に記憶されたプログラムに基づき、本実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0109】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0110】
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
【0111】
【発明の効果】
以上説明したように本発明によれば、上位の管理サーバに接続されるユーザ端末を外部に持ち出す場合でも、コンテンツ情報の機密保護を図ることができる。
【図面の簡単な説明】
【図1】 本発明の第1の実施形態に係るアクセス管理プログラムが適用された企業情報保護システムの構成を示す模式図である。
【図2】 同実施形態におけるセキュア記録媒体の構成を示す模式図である。
【図3】 同実施形態におけるユーザ端末の構成を示す模式図である。
【図4】 同実施形態における動作を説明するための模式図である。
【図5】 同実施形態における動作を説明するための模式図である。
【図6】 同実施形態における動作を説明するための模式図である。
【図7】 同実施形態における動作を説明するための模式図である。
【図8】 本発明の第2の実施形態における権利比較部による権利の比較を説明するための模式図である。
【図9】 同実施形態における権利の比較を説明するための模式図である。
【図10】 同実施形態における権利の比較を説明するための模式図である。
【図11】 同実施形態における権利の比較を説明するための模式図である。
【図12】 同実施形態における権利の比較を説明するための模式図である。
【符号の説明】
MA…セキュア記録媒体、1…システム領域、2…保護領域、3…ユーザデータ領域、10…中央サーバ、11…コンテンツ管理DB、12…ユーザ管理DB、13…権利テーブルDB、14…エージェント管理DB、15…中央サーバエージェント、20…ユーザ端末、21…ローカルエージェント、22…暗復号部、22a…MKB処理部、22b…保護領域復号部、22c…ユーザ領域復号部、22d…コンテンツ復号部、22e…コンテンツ暗号化部、23…権限委譲部、24…権利要求/付与部、25…権利比較部、26…コンテンツ操作部、27…ファイルシステム、28…メモリ。
Claims (4)
- 予めユーザの個別識別子及びアクセス権利情報を保持したセキュア記録媒体を着脱自在に保持し、且つ前記ユーザの操作によってコンテンツ情報を作成するためのユーザ端末に用いられ、前記コンテンツ情報のアクセス権限を管理するアクセス管理プログラムであって、
前記ユーザ端末のコンピュータに、
前記セキュア記録媒体からアクセス権利情報を読み出す機能、
このアクセス権利情報に基づいて、前記コンテンツ情報へのアクセスを許可する機能、
前記アクセス権利情報を定期的又は不定期に更新するように、アクセス権利を管理する管理サーバと交信するための機能、
この交信が一定期間できないとき、前記コンテンツ情報へのアクセスを不可とする機能、
を実現させるためのアクセス管理プログラム。 - 請求項1に記載のアクセス管理プログラムにおいて、
前記ユーザ端末のコンピュータに、
前記管理サーバに権利を委譲する際に、前記セキュア記録媒体のユーザデータ領域から前記アクセス権利情報を含む記録内容を当該管理サーバに送信する機能、
この送信した記録内容を前記セキュア記録媒体から消去する機能、
を実現させるためのアクセス管理プログラム。 - 請求項2に記載のアクセス管理プログラムにおいて、
前記ユーザ端末のコンピュータに、
前記権利を委譲した後に、前記管理サーバに権利付与を要求する機能、
前記権利付与の要求に応じて当該管理サーバから受けた新たなアクセス権利情報を含む複数の情報を前記セキュア記録媒体のユーザデータ領域に書込む機能、を実現させるためのアクセス管理プログラム。 - 請求項1に記載のアクセス管理プログラムにおいて、
付与された権利を前記ユーザ端末のコンピュータで執行する場合、アクセス権利を管理するコンピュータと交信を行い、交信ができない場合は予め定められた権利を一時停止とする機能、を実現させるためのアクセス管理プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003159529A JP4357214B2 (ja) | 2003-06-04 | 2003-06-04 | アクセス管理プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003159529A JP4357214B2 (ja) | 2003-06-04 | 2003-06-04 | アクセス管理プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004362237A JP2004362237A (ja) | 2004-12-24 |
JP4357214B2 true JP4357214B2 (ja) | 2009-11-04 |
Family
ID=34052561
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003159529A Expired - Fee Related JP4357214B2 (ja) | 2003-06-04 | 2003-06-04 | アクセス管理プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4357214B2 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006260471A (ja) * | 2005-03-18 | 2006-09-28 | Sony Corp | パッケージメディア提供システム及びパッケージメディア提供方法、並びにパッケージメディア制作装置 |
JP2007272844A (ja) | 2006-03-31 | 2007-10-18 | Brother Ind Ltd | 周辺装置およびデータ消去権限管理方法 |
JP2009205673A (ja) * | 2008-02-01 | 2009-09-10 | Canon Electronics Inc | 記憶装置、情報処理装置、端末装置およびコンピュータプログラム |
JP4957732B2 (ja) * | 2009-01-29 | 2012-06-20 | コニカミノルタビジネステクノロジーズ株式会社 | アクセス制限ファイル、制限ファイル生成装置、ファイル生成装置の制御方法、ファイル生成プログラム |
JP5471168B2 (ja) * | 2009-08-26 | 2014-04-16 | 日本電気株式会社 | データ同期システム、データ同期装置、データ同期方法及びデータ同期用プログラム |
-
2003
- 2003-06-04 JP JP2003159529A patent/JP4357214B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2004362237A (ja) | 2004-12-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100423797B1 (ko) | 디지털 정보 보안 방법 및 그 시스템 | |
US20050262361A1 (en) | System and method for magnetic storage disposal | |
US6289450B1 (en) | Information security architecture for encrypting documents for remote access while maintaining access control | |
US5870467A (en) | Method and apparatus for data input/output management suitable for protection of electronic writing data | |
US20060173787A1 (en) | Data protection management apparatus and data protection management method | |
US20100043070A1 (en) | File-access control apparatus and program | |
JP2003058840A (ja) | Rfid搭載コンピュータ記録媒体利用の情報保護管理プログラム | |
US8750519B2 (en) | Data protection system, data protection method, and memory card | |
JP2006526851A (ja) | 動的、分散的および協働的な環境におけるデータオブジェクトの管理 | |
US7650328B2 (en) | Data storage device capable of storing multiple sets of history information on input/output processing of security data without duplication | |
JP2006114029A (ja) | データストレージに対する方法と装置 | |
JP2008537191A (ja) | デジタル情報格納システム、デジタル情報保安システム、デジタル情報格納及び提供方法 | |
US7778417B2 (en) | System and method for managing encrypted content using logical partitions | |
JP4357214B2 (ja) | アクセス管理プログラム | |
JP3983937B2 (ja) | 記憶媒体及び同媒体を使用したコンテンツ管理方法 | |
KR100819382B1 (ko) | 디지털 정보 저장 시스템, 디지털 정보 보안 시스템,디지털 정보 저장 및 제공 방법 | |
US20180083954A1 (en) | Method, system, login device, and application software unit for logging into docbase management system | |
JP2003122615A (ja) | ファイル処理方法とこの方法にて利用可能なファイル処理装置 | |
JPH0784852A (ja) | 情報の機密保護方式 | |
JP2002190795A (ja) | 情報端末及び情報端末システム | |
JP2007220134A (ja) | ライセンス委譲装置、記録媒体およびライセンス委譲方法 | |
JP4974246B2 (ja) | ファイルの持ち出し監視システム | |
JP2004312717A (ja) | データ保護管理装置およびデータ保護管理方法 | |
JP2003016724A (ja) | 情報管理方法 | |
CN111737722B (zh) | 内网终端间数据安全摆渡方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060410 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090227 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090414 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090522 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090707 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090804 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120814 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120814 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120814 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130814 Year of fee payment: 4 |
|
LAPS | Cancellation because of no payment of annual fees |