文書管理システム、文書操作装置及びプログラム
【課題】ポリシー管理装置と通信できない文書操作装置でも、ポリシー管理装置のセキュリティポリシーに従って、紙文書に対するユーザの操作を制御できるようにする。
【解決手段】ポリシー管理装置10内の各ポリシーには一意な秘密鍵と公開鍵が割り当てられる。チケット発行装置14はユーザのトークン210に対し、ポリシー管理装置10内のユーザに関連するポリシーの秘密鍵に対応するチケット情報とそのポリシーに対応する操作条件とが公開鍵と対応づけて書き込まれる。印刷装置12は、印刷した紙文書220に対しその文書に対応するポリシーの公開鍵を埋め込む。ユーザが紙文書220とトークン210をセットし、紙文書220への操作を指示すると、文書操作装置100は紙文書220の公開鍵を読み取り、その公開鍵と操作内容と乱数とをトークン210に送り、トークン210からの応答がその公開鍵で復号できる場合に操作を実行する。
【解決手段】ポリシー管理装置10内の各ポリシーには一意な秘密鍵と公開鍵が割り当てられる。チケット発行装置14はユーザのトークン210に対し、ポリシー管理装置10内のユーザに関連するポリシーの秘密鍵に対応するチケット情報とそのポリシーに対応する操作条件とが公開鍵と対応づけて書き込まれる。印刷装置12は、印刷した紙文書220に対しその文書に対応するポリシーの公開鍵を埋め込む。ユーザが紙文書220とトークン210をセットし、紙文書220への操作を指示すると、文書操作装置100は紙文書220の公開鍵を読み取り、その公開鍵と操作内容と乱数とをトークン210に送り、トークン210からの応答がその公開鍵で復号できる場合に操作を実行する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、文書管理システム、文書操作装置及びプログラムに関する。
【背景技術】
【0002】
特許文献1に開示された画像処理装置は、非対称公開鍵暗号方式に基づく公開鍵を、複写動作時に紙文書上に人間の視覚には目立ちにくい形で埋め込む暗号鍵画像生成部を有する。ユーザは、その紙文書を複写する場合、画像処理装置に秘密鍵を入力する。入力した秘密鍵が紙文書の公開鍵に対応する正しいものである場合にのみ、画像処理装置はその紙文書を複写する。
特許文献2に開示された装置は、紙面に文書を作成した個人の情報と機密レベルから決まる情報を埋め込む。そして、その紙文書をその装置で利用する際に、認証したユーザの個人情報と、紙面に埋め込まれた個人情報と機密レベルとから、操作の可否の判定を行う。
【0003】
特許文献3に開示されたシステムでは、スキャンした紙文書の画像を暗号化し、セキュリティポリシーと結びつけて保存する。保存した文書の印刷が指示された場合には、指示したユーザを認証し、そのユーザがその文書を印刷する権利を持つかどうかをその文書に対応づけられたセキュリティポリシーにより確認し、印刷可と確認された場合のみ、暗号化された画像を復号して印刷する。
【0004】
特許文献4に開示されたシステムでは、文書を用紙に印刷する際に、その文書にあらかじめ設定されているセキュリティレベルをその用紙のRFID(Radio Frequency IDentification)タグに書き込む。ユーザの持つIDカードには、そのユーザのセキュリティレベルが書き込まれている。ユーザが出力機器に紙文書をセットし、複写やFAX送信等の処理の実行を指示すると、出力機器はその紙文書のRFIDタグのセキュリティレベルと、そのユーザのIDカードのセキュリティレベルを比較し、後者が前者を下回る場合には処理を実行しない。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開平11−215351号公報
【特許文献2】特開2006−167986号公報
【特許文献3】特開2007−026109号公報
【特許文献4】特開2007−168372号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、文書保護方針記憶装置と通信できない文書操作装置でも、文書保護方針記憶装置が記憶している文書保護方針情報に従って、紙文書に対してユーザが要求する操作の実行を制御できるようにすることを目的とする。
【課題を解決するための手段】
【0007】
請求項1に係る発明は、ユーザに許可される操作を表す文書操作条件をユーザまたはグループごとに含む1以上の文書保護方針情報を、それぞれ当該文書保護方針情報に割り当てられた秘密鍵及び公開鍵と対応づけて記憶する保護方針記憶装置と、電子文書と、当該電子文書に割り当てられた文書保護方針情報と、の対応関係を記憶する対応関係記憶手段と、電子文書の印刷を用紙に印刷する場合に、その電子文書に割り当てられた文書保護方針情報に対応する公開鍵を示す公開鍵情報を、その印刷結果の紙文書に埋め込む埋め込み手段と、ユーザが携帯する携帯証明装置と、前記携帯証明装置に対し、前記保護方針記憶装置に記憶された文書保護方針情報のうち当該ユーザまたは当該ユーザが属するグループに許可される文書操作条件を含んだ文書保護方針情報に対応する秘密鍵と当該携帯証明装置自体の固有情報とに基づき求められる認証補助情報と、当該文書保護方針情報に含まれる当該ユーザに許可される文書操作条件とを、当該文書保護方針情報に対応する公開鍵情報と対応づけて記憶させる制御を行う記憶制御手段と、ユーザが入力した紙文書に対して当該ユーザが指示した操作を実行するための文書操作装置と、を備え、前記文書操作装置は、前記紙文書に対する操作の指示を前記ユーザから受け付ける指示受付手段と、前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段と、前記公開鍵読取手段が読み取った公開鍵情報と、前記ユーザから指示された前記操作を示す情報と、認証用データと、を含む問合せを前記ユーザの前記携帯証明装置に送信する送信手段と、前記送信手段が送った問合せに対して前記携帯証明装置から返信された検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段と、を備え、前記携帯証明装置は、前記文書操作装置の前記送信手段から受け取った前記問合せに含まれる前記操作が、当該携帯証明装置が記憶する文書操作条件のうち当該問合せに含まれる前記公開鍵情報に対応する文書操作条件を満たす場合に、当該携帯証明装置が記憶する認証補助情報のうち当該問合せに含まれる前記公開鍵情報に対応する認証補助情報と、当該携帯証明装置の前記固有情報と、当該問合せに含まれる認証用データとを用いて、検証データを生成する検証データ生成手段と、生成された検証データを前記文書操作装置に返信する返信手段と、を備える、文書管理システムである。
【0008】
請求項2に係る発明は、前記記憶制御手段が前記携帯証明装置に対して記憶させる前記認証補助情報は、前記秘密鍵と前記固有情報とに加え、更に当該文書保護方針情報に含まれる当該ユーザまたは当該ユーザが属するグループに許可される文書操作条件に基づき求められる情報であり、前記検証データ生成手段は、前記認証補助情報と前記固有情報と前記認証用データとに加え、更に前記携帯証明装置が記憶する文書操作条件のうち当該問合せに含まれる前記公開鍵情報に対応する文書操作条件に基づき前記検証データを生成する、ことをと特徴とする請求項1に記載の文書管理システムである。
【0009】
請求項3に係る発明は、紙文書に対する操作の指示をユーザから受け付ける指示受付手段と、前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段と、前記公開鍵読取手段が読み取った公開鍵情報と、前記ユーザから指示された前記操作を示す情報と、認証用データと、を含む問合せを前記ユーザの携帯証明装置に送信する送信手段と、前記送信手段が送った問合せに対して前記携帯証明装置から返信された検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段と、を備える文書操作装置である。
【0010】
請求項4に係る発明は、コンピュータを、紙文書に対する操作の指示をユーザから受け付ける指示受付手段、前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段、前記公開鍵読取手段が読み取った公開鍵情報と、前記ユーザから指示された前記操作を示す情報と、認証用データと、を含む問合せを前記ユーザの携帯証明装置に送信する送信手段、前記送信手段が送った問合せに対して前記携帯証明装置から返信された検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段、として機能させるためのプログラムである。
【0011】
請求項5に係る発明は、ユーザに許可される操作を表す文書操作条件をユーザまたはグループごとに含む1以上の文書保護方針情報を、それぞれ当該文書保護方針情報に割り当てられた秘密鍵及び公開鍵と対応づけて記憶する保護方針記憶装置と、電子文書と、当該電子文書に割り当てられた文書保護方針情報と、の対応関係を記憶する対応関係記憶手段と、電子文書の印刷を用紙に印刷する場合に、その電子文書に割り当てられた文書保護方針情報に対応する公開鍵を示す公開鍵情報を、その印刷結果の紙文書に埋め込む埋め込み手段と、ユーザが携帯する携帯証明装置と、前記携帯証明装置に対し、前記保護方針記憶装置に記憶された文書保護方針情報のうち当該ユーザまたは当該ユーザが属するグループに許可される文書操作条件を含んだ文書保護方針情報に対応する秘密鍵と当該携帯証明装置自体の固有情報とに基づき求められる認証補助情報と、当該文書保護方針情報に含まれる当該ユーザに許可される文書操作条件とを、当該文書保護方針情報に対応する公開鍵情報と対応づけて記憶させる制御を行う記憶制御手段と、ユーザが入力した紙文書に対して当該ユーザが指示した操作を実行するための文書操作装置と、を備え、前記文書操作装置は、前記紙文書に対する操作の指示を前記ユーザから受け付ける指示受付手段と、前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段と、前記公開鍵読取手段が読み取った公開鍵情報と、認証用データと、を含む問合せを前記ユーザの前記携帯証明装置に送信する送信手段と、前記ユーザから指示された前記操作が、前記送信手段が送った問合せに対する前記携帯証明装置からの応答データに含まれる文書操作条件を満足し、且つ、当該応答データに含まれる認証補助情報及び検証補助データと、前記認証用データと、を用いて計算した検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段と、を備え、前記携帯証明装置は、当該携帯証明装置が記憶する認証補助情報のうち前記文書操作装置の前記送信手段から受け取った問合せに含まれる前記認証用データと、当該携帯証明装置の前記固有情報と、を用いて、検証補助データを生成する検証補助データ生成手段と、当該携帯証明装置が記憶する文書操作条件及び認証補助情報のうち前記問合せに含まれる前記公開鍵情報に対応する文書操作条件及び認証補助情報と、前記検証補助データとを含む応答データを前記文書操作装置に返信する返信手段と、を備える、文書管理システムである。
【0012】
請求項6に係る発明は、前記記憶制御手段が前記携帯証明装置に対して記憶させる前記認証補助情報は、前記秘密鍵と前記固有情報とに加え、更に当該文書保護方針情報に含まれる当該ユーザまたは当該ユーザが属するグループに許可される文書操作条件に基づき求められる情報であり、前記検証補助データ生成手段は、前記認証用データと前記固有情報とに加え、更に前記携帯証明装置が記憶する文書操作条件のうち当該問合せに含まれる前記公開鍵情報に対応する文書操作条件に基づき前記検証データを生成する、ことをと特徴とする請求項5に記載の文書管理システムである。
【0013】
請求項7に係る発明は、紙文書に対する操作の指示を前記ユーザから受け付ける指示受付手段と、前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段と、前記公開鍵読取手段が読み取った公開鍵情報と、認証用データと、を含む問合せを前記ユーザの携帯証明装置に送信する送信手段と、前記ユーザから指示された前記操作が、前記送信手段が送った問合せに対する前記携帯証明装置からの応答データに含まれる文書操作条件を満足し、且つ、当該応答データに含まれる認証補助情報及び検証補助データと、前記認証用データと、を用いて計算した検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段と、を備える文書操作装置である。
【0014】
請求項8に係る発明は、紙文書に対する操作の指示を前記ユーザから受け付ける指示受付手段、前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段、前記公開鍵読取手段が読み取った公開鍵情報と、認証用データと、を含む問合せを前記ユーザの携帯証明装置に送信する送信手段、前記ユーザから指示された前記操作が、前記送信手段が送った問合せに対する前記携帯証明装置からの応答データに含まれる文書操作条件を満足し、且つ、当該応答データに含まれる認証補助情報及び検証補助データと、前記認証用データと、を用いて計算した検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段、として機能させるためのプログラムである。
【発明の効果】
【0015】
請求項1,3,4に係る発明によれば、文書保護方針記憶装置と通信できない文書操作装置でも、文書保護方針記憶装置が記憶している文書保護方針情報に従って、紙文書に対してユーザが要求する操作の実行を制御できる。
【0016】
請求項2に係る発明によれば、携帯証明装置内に記憶された文書操作条件が改ざんされた場合に、紙文書に対する操作が実行されないようにすることができる。
【0017】
請求項5,7,8に係る発明によれば、文書保護方針記憶装置と通信できない文書操作装置でも、文書保護方針記憶装置が記憶している文書保護方針情報に従って、紙文書に対してユーザが要求する操作の実行を制御できるとともに、更に文書操作条件が満たされるかどうかの検査を文書操作装置側で行うことができる。
【0018】
請求項6に係る発明によれば、携帯証明装置内に記憶された文書操作条件が改ざんされた場合に、紙文書に対する操作が実行されないようにすることができる。
【図面の簡単な説明】
【0019】
【図1】実施形態のシステム構成の例を示す図である。
【図2】ポリシー定義のデータ内容の一例を示す図である。
【図3】文書管理情報のデータ内容の一例を示す図である。
【図4】チケット発行装置が管理する、ユーザIDとトークン固有秘密情報との対応を表す情報の一例を示す図である。
【図5】ディレクトリサーバが記憶するユーザとグループの対応関係を示す情報の例を示す図である。
【図6】文書操作装置の内部構成の一例を示す図である。
【図7】実施形態のシステムでの処理の流れの例を説明するためのシーケンス図である。
【図8】変形例における処理の流れの例を説明するためのシーケンス図である。
【図9】第2の変形例における公開鍵テーブルの一例を示す図である。
【発明を実施するための形態】
【0020】
図1に、実施形態のシステム構成の一例を示す。このシステムは、ローカルエリアネットワークなどのネットワーク18に接続されたポリシー管理装置10、印刷装置12、チケット発行装置14、ディレクトリサーバ16、及びPC(パーソナルコンピュータ)20と、そのネットワーク18に接続されていない文書操作装置100とを含んでいる。
【0021】
ポリシー管理装置10は、管理対象の文書についてのセキュリティ(情報保護)のための制御又は管理を行う装置である。管理対象の文書には、紙文書も電子文書も含まれる。ここで、電子文書とは、文書をあらかじめ定められたデータ形式で表現した電子的なデータである。電子文書には、例えば、ワードプロセッサや表計算等のアプリケーションで作成された文書ファイルも、紙文書をスキャンして得た画像データファイルも含まれる。紙文書は、紙面に文書内容を筆記又は印刷したものである。このポリシー管理装置10での管理対象となる紙文書は、ポリシー管理装置10に登録された管理対象の電子文書を印刷したものである。すなわち、このシステムでは、ポリシー管理装置10が管理する電子文書には、当該文書を一意に示す識別情報、すなわちこの実施形態では文書公開鍵、が付与されている。その電子文書を印刷する際に、その識別情報が文書内容と共に用紙に印刷されたり、用紙に装着されたRFIDタグなどの記録媒体に書き込まれたりすることで、印刷結果の紙文書が、ポリシー管理装置10の管理対象となる。
【0022】
ポリシー管理装置10は、各電子文書(ひいてはその印刷結果の紙文書)に対してセキュリティポリシー(以下、単に「ポリシー」と呼ぶ)を割り当てる。ポリシーは、各ユーザが文書に対してどのような操作を許可されているのかを記述した情報であり、逆の観点で言えば、ポリシーは、各ユーザが電子文書の操作についてどのような制限を受けるのかを表す情報である。ポリシーは、文書の保護方針を示す文書保護方針情報と呼ぶこともできる。なお、文書に対する操作には、例えば閲覧、編集、印刷、スキャン、コピー、FAX送信などが含まれる。
【0023】
ユーザがある電子文書に対するある操作を要求した場合、ポリシー管理装置10がその電子文書に割り当てられたポリシーを参照することで、そのユーザがその電子文書に対してその操作を許可されているか否かを判定する。そして、許可されている場合にのみ要求が受け入れられる。なお、後述するように、ユーザのみではなく、ユーザが属するグループに許可される操作か否かを含めて判定するようにしてもよい。
【0024】
このような制御のために、ポリシー管理装置10は、個々のポリシーを定義するポリシー定義情報と、各文書に対しどのポリシーが割り当てられているのかを示す文書管理情報とを記憶している。
【0025】
図2にポリシー定義情報のデータ内容の一例を例示する。この例では、1つのポリシーのポリシー定義情報には、そのポリシーの識別情報である「ポリシーID」、そのポリシーの「名称」、そのポリシーを作成した「作成者」の識別情報、そのポリシーに付与された「公開鍵」と「秘密鍵」の鍵ペア、及びそのポリシーの内容を示す情報が含まれる。ポリシーの内容を示す情報は、例えば、そのポリシーが割り当てられた文書に対する操作が許可されるユーザ(「対象」)ごとに、そのユーザに許可される操作の種類のリストと、その許可の有効期限を示す情報とを含む。なお、「対象」の一例として図2に示された「マネージャ」は、組織内でのユーザの職位の一種であり、各部署の「マネージャ」から構成されるグループと解することができる。
【0026】
図2の例では、ポリシーIDが「P0012002」のポリシーは、「名称」が「プロジェクトX公開資料」であり、「社員A」が作成し、「開発部1課」のメンバーにはポリシーの適用、ポリシーが適用された文書に対する閲覧、編集、印刷、スキャン、コピー、FAX送信の操作が2020年12月31日まで許可されることなどを示している。また、この例ではRSA公開鍵暗号を前提としており、「公開鍵」=(e, n)のうちのeが「AQAB」、nが「Iga9Y7kaeT78ar83aTlIohK3...」であり、秘密鍵dが「A478SeouGa4REraIE34qk....」であることを示している。なお、e, nはいずれもBASE64形式で表現している。
【0027】
図3に文書管理情報の一例を示す。この例では、個々の文書ごとに、その識別情報である「文書ID」、その文書に適用されたポリシーの「ポリシーID」、その文書をポリシー管理装置10に登録した「登録者」のユーザID、及びその登録が行われた「登録日時」が含まれる。
【0028】
図2及び図3の例では、文書IDが「D000000132000」の文書は、「開発部1課」のメンバーに対し、閲覧、編集、印刷、スキャン、コピー、FAX送信の操作が2020年12月31日まで許可されることが分かる。
【0029】
なお、文書に対するポリシーの割り当ては、例えば、その文書の作成者或いは管理者が公知の方法で行えばよい。
【0030】
再び図1の説明に戻ると、ユーザが、例えばPC20を操作することで、ポリシーが割り当てられた電子文書に対するある操作(例えば印刷)を要求したとする。この場合、その電子文書の文書IDと、要求したユーザのユーザIDと、そのユーザが要求した操作の種類を示す情報を含んだ問合せがそのPC20からポリシー管理装置10に送られる。ポリシー管理装置10は、その問合せに係る文書IDに対応するポリシーIDを文書管理情報から特定し、問合せに含まれるユーザIDに対し、その問合せ内の操作の種類が許可されるかどうかを、そのポリシーIDに対応するポリシー定義を参照して判定し、その判定結果を含む応答をPC20に返す。PC20は、その応答が許可を示す場合はユーザから要求された操作をその文書に対して実行し、その応答が不許可を示す場合はその操作を実行せずに、エラー処理(例えば「その操作は許可されていません」などのエラーメッセージの表示)を行う。
【0031】
ネットワーク18に接続された印刷装置12は、ユーザ200からのPC20を介する指示に応じて、電子文書を用紙に印刷して出力する。印刷装置12は、印刷のみの単機能の装置であってもよいし、ネットワーク通信可能な複写機又は複合機(印刷、スキャン、コピー、FAX送信などの機能を兼ね備えた装置)であってもよい。
【0032】
ここで、印刷対象の電子文書がポリシー管理装置10により管理されている文書(すなわち、図3に例示した文書管理情報にポリシーとの対応付けが登録されている文書)である場合は、ポリシー管理装置10で印刷が許可された場合にのみ印刷装置12は印刷を実行する。また、この場合、印刷装置12は、その電子文書に割り当てられたポリシーの公開鍵(e, n)を、その電子文書の印刷結果である紙文書220に埋め込む。
【0033】
公開鍵の埋込は、例えば公開鍵を、文字列、或いはバーコードなどの画像コード222のように機械により認識できる形式で表現したものを、電子文書が表す画像と共に用紙(例えば用紙紙面上のあらかじめ指定された位置)に印刷することで行えばよい。例えば、PC20が電子文書の画像内容に公開鍵を表す文字列又は画像コード222を重畳した画像を表す(例えばページ記述言語で記述された)印刷データを生成して印刷装置12に送ってもよい。また、印刷装置12が、公開鍵の文字列又は画像コードを電子文書の画像に重畳してもよい。
【0034】
また、用紙にRFIDタグ等のような読み書き可能なメモリを含んだデバイスが装着されている場合は、印刷装置12は、そのデバイスに対してデータを書き込む書込装置により、そのデバイスに対して公開鍵を書き込んでもよい。
【0035】
また、紙文書220に埋め込む公開鍵は、ポリシー管理装置10が印刷許可の旨の応答に対応づける形でPC20(PC20が印刷可否の問合せを行う場合)又は印刷装置12(印刷装置12が問合せを行う場合)に提供すればよい。また、この代わりに、PC20に配布される電子文書に対し、その公開鍵の情報を属性情報として持たせておき、PC20がポリシー管理装置10から印刷の許可を受けると、その公開鍵を印刷装置12に渡して印刷或いはデバイスへの書き込みを指示するようにしてもよい。
【0036】
このような紙文書220への情報の埋込については、従来様々な方式が開発されており、この実施形態ではそれら従来のどの方式を用いてもよい。
【0037】
なお、以上では、公開鍵(e, n)を用紙に埋め込むとしたが、実施形態のシステム全体でeを固定値とし、nのみがポリシーごとに異なるようにして、用紙にはnのみを埋め込むようにしてもよい。
【0038】
PC20は、ユーザが操作するパーソナルコンピュータであり、インストールされた各種のアプリケーションにより、電子文書に対して操作を行う。この例では、PC20には、トークンリーダライタ22が接続されている。トークンリーダライタ22は、ユーザが携帯するトークン210に対してデータを読み書きするための装置である。
【0039】
トークン210は、各ユーザに対してそれぞれ一意に割り当てられた身分証であり、データを格納するメモリと、後述する認証のための演算処理を実行するプロセッサ、及びその演算処理を記述したプログラムを有する。トークン210は、例えば接触式又は非接触式で外部とデータのやりとりが可能なICカードやUSBトークンなどの形のものでよい。
【0040】
トークン210が備えるメモリには、当該トークン210に一意的に付与された固有秘密情報(u)と、チケット発行装置14より発行されたチケット(T)が記憶される。固有秘密情報(u)は、トークン210自体(ひいてはそれを携帯するユーザ)のいわば認証情報であり、この情報は書き換えできないようになっている。チケット(T)は、当該トークン210が割り当てられたユーザに対して付与された、文書に対する操作の許可条件を示す情報である。チケット(T)は、当該ユーザに何らかの操作を許可しているポリシーごとに、チケット発行装置14から発行される。トークン210内のメモリには、複数のチケット(T)を記憶することもできる。なお、チケット(T)が含む情報内容の具体的な例については、後で詳しく説明する。
【0041】
また、トークン210のプロセッサは、後述するスタンドアローンの文書操作装置100に対してユーザが紙文書を投入し、その紙文書に対する操作を要求した場合に、文書操作装置100からチャレンジ(C) として、乱数(r)、当該紙文書の公開鍵(e,n)、ユーザ200が要求した操作内容(o)の組を受け取ると、公開鍵(e,n)に対応するチケット(T)を特定し、要求された操作内容(o)がチケット(T)に記載された条件(L)を満たすことを確認した後、チケット(T)に含まれるチケット鍵(t)と、条件(L)と、トークン固有秘密情報(u)と、乱数(r) とからレスポンス(R)を計算し、文書操作装置100へ返す。
【0042】
PC20には、チケット発行装置14からチケット(T)を取得し、トークンリーダライタ22を介してトークン210に書き込むためのプログラムがインストールされている。ユーザ200が、PC20のそのプログラムを起動して、チケット発行装置14にチケット(T)の発行を要求すると、チケット発行装置14がそのユーザ200に対応するチケット(T)を発行する。そのプログラムは、チケット発行装置14から発行されたチケット(T)をトークンリーダライタ22にセットされたトークン210に書き込む。
【0043】
なお、この例ではユーザ200は、トークンリーダライタ22を備えるPC20を操作してチケット(T)を取得したが、この他にも、ネットワーク18に接続された複合機等、トークンリーダライタ22を備える他の種類の装置を介してチケット(T)をトークン210に取得してもよい。
【0044】
チケット発行装置14は、ユーザ200からの要求に応じて、そのユーザ200に対応するチケット(T)を発行する。チケット発行装置14は、各ユーザ200のトークン210ごとのトークン固有秘密情報(u)と、どのトークンがどのユーザ200に所持されているかを表す情報(例えば、図4に例示する、ユーザIDとトークン固有秘密情報との対応を表す情報)とを管理している。そして、ポリシー管理装置10にて管理されるポリシーにて文書に対する操作が許可されているユーザが所持するトークン210に対し、少なくともポリシーに関連付けられた秘密鍵(d)と、そのトークン210の固有秘密情報(u)と、ポリシーに記述されている操作の内容(図2における「許可される操作」)としての条件(L)と、からチケット鍵(t)を生成し、チケット鍵(t)、条件(L)、及びそのポリシーの公開鍵(e, n)の組を含んだチケット(T)を発行する。
【0045】
例えば、このチケット発行の処理では、まずユーザ200がPC20を操作して、ネットワーク18を介してチケット発行装置14にログインし、チケット発行を要求する。チケット発行装置14は、そのユーザ200に割り当てられたトークン210の固有秘密情報(u)を読み出すと共に、ポリシー管理装置10に対してそのユーザに対して何らかの操作を許可しているポリシーの情報を要求する。この要求に対し、ポリシー管理装置10は、自らが管理しているポリシー定義情報を調べることで、そのユーザに対して何らかの操作を許可しているポリシーを特定し、特定したポリシーごとに、そのポリシーの公開鍵(e, n)(eをシステムで固定としている場合はnのみでもよい)と、そのユーザに対して「許可される操作」のリストと、その許可の「有効期限」と、を含んだ情報をチケット発行装置14に返す。そのユーザに対して「許可される操作」は、そのユーザ個人に対して許可される操作だけでなく、そのユーザが属するグループに対して許可される操作も含まれる。ユーザがどのグループに属するかは、ディレクトリサーバ16を参照して特定すればよい。ディレクトリサーバ16には、図5に例示するように、各ユーザが所属するグループを表す情報が記憶されている。
【0046】
このチケット発行装置14のチケット発行処理の流れを、具体例を用いて説明する。PC20から社員Aが所有するトークンに対するチケットの発行を要求された場合、チケット発行装置14は、ポリシー管理装置10に対し社員Aが関連するポリシーの問い合わせを行う。ポリシー管理装置10は、図2のポリシー定義情報、及びディレクトリサーバ16が持つ図5のグループ情報から、社員Aは「プロジェクトX公開資料」のポリシーに関係しており、該ポリシーが割り当てられた文書に対し、閲覧、編集、印刷、スキャン、コピー、FAX送信の操作が2020年12月31日まで許可されることが分かる。なお、操作「適用」は、当該ポリシーを文書に対して適用(割り当て)する操作であり、既にポリシー割り当てを受けてポリシー管理装置10に登録された文書に対してはそのような操作は不要なので、この場合許可される操作のリストには「適用」は含まれない。ポリシー管理装置10は、そのポリシーの公開鍵(e=「AQAB」、n=「Iga9Y7kaeT78ar83aTlIohK3...」)と、許可される操作のリスト(閲覧、編集、印刷、スキャン、コピー、FAX)と、許可の有効期限(2020年12月31日)の情報と、を含む応答をチケット発行装置14に返す。
【0047】
この応答を受け取ったチケット発行装置14は、条件(L)を以下のように定める。
L = "operation=[view,edit,print,scan,copy,fax]; valid_to=[2020-12-31]"
ここで、"operation=[]"は、許可される操作のリストを表し、その内容"[view,edit,print,scan,copy,fax]"はこの順に閲覧、編集、印刷、スキャン、コピー、FAX送信の各操作種類を表す。また、"valid_to=[2020-12-31]"は、その許可される操作のリストの有効期限が020年12月31日であることを示す。また、チケット発行装置14は、チケット鍵(t)を以下の式により算出する。
t = d - f(u, n, L) mod Φ(n)
【0048】
ここで、f(u, n, L)はトークン固有秘密情報(u)、公開鍵の法数(n)、及び条件(L)を引数に取る一方向性関数であり、例えばSHAなどのセキュアハッシュ関数がその一例である。Φ(n)はオイラー関数であり、RSA暗号でn=p*qの場合、Φ(n)=(p-1)(q-1)となる。
【0049】
そして、チケット発行装置14は、求めた条件(L)とチケット鍵(t)と公開鍵(e, n)との組み合わせを含んだ情報をチケット(T)として生成し、PC20を介してトークン210に配布する。
【0050】
ここで、社員Fのように"P0012002"のポリシーにおいて、「開発2課」としての立場と、「マネージャ」としての立場で条件が異なる場合は、両方の権利(すなわち、許可された操作種類のリスト)の論理和をとったものをLとして1つのチケットの発行を行ってもよいし、個々の立場に対してそれぞれチケットを発行してもよい。
【0051】
また、チケット発行装置14は、ユーザが複数のポリシーに関係している場合、関係しているポリシーの数だけチケットの発行を行ってもよい。この代わりに、ユーザが関係する複数のポリシーのリストを、PC20を介してユーザに提示し、その中でユーザが選択したポリシーについてのみチケットを発行してもよい。
【0052】
このようにして発行されたチケット(T)は、トークンリーダライタ22によりトークン210に書き込まれる。
このようなチケット(T)の発行は、例えば、特開平10-93550号公報に開示された本願の発明者らが提案した方法と同様の方法を用いればよい。
【0053】
以上の例では、ポリシー管理装置10、チケット発行装置14及びディレクトリサーバ16を別々の装置とした場合の例であるが、これは一例に過ぎない。それら三種の装置の機能のうちの二種以上を1つの装置に実装してももちろんよい。
【0054】
文書操作装置100は、紙文書を読み取って、その読取結果の文書画像についての操作を行う装置である。例えば、複写機、複合機、スキャナ、FAX装置などがその一例である。ここで、文書操作装置100は、ポリシー管理装置10と通信できない状態にあるとする。この状態は、文書操作装置100がいわゆるスタンドアローン状態(すなわちどのネットワークにも接続されていない状態)にある場合のみならず、ポリシー管理装置10とは接続されていないネットワークに接続されている場合も含むものとする。
【0055】
この場合、仮にその紙文書に文書IDを埋め込んでおいたとしても、その紙文書を投入したユーザに、そのユーザが要求する操作を行う権利があるかどうかをポリシー管理装置10に問い合わせることはできない。そこで、この実施形態では、紙文書に埋め込まれたポリシーの公開鍵情報と、ユーザが携帯するトークン210との連携により、ユーザが要求した操作が許可されるかどうかを判定する。
【0056】
図6に文書操作装置100の内部構成の一例を示す。この例は、文書操作装置100が複合機である場合の例である。この場合、文書操作装置100は、用紙に画像を印刷する印刷装置102、原稿の紙面上の画像を光学的に読み取るスキャン装置104、及び外部の装置との間で電話回線を介してFAX通信を行うFAX装置106を備える。紙文書のコピーは、スキャン装置104で読み取った画像を印刷装置102で用紙に印刷することにより実現される。UI(ユーザインタフェース)機構108は、文書操作装置100の状態を表示したり、文書操作装置100に対するユーザからの入力を受け付けたりするユーザインタフェースである。UI機構108は、液晶タッチパネルや、テンキー、スタートボタンなどの機械的なボタン、などの入出力装置と、その入出力装置に対するメニュー表示や入出力装置からの入力の解釈などのためのプログラム等を備える。例えば、ユーザは、複写、スキャン、FAX送信など、自分が希望する操作の種類をUI機構108に対して指定する。なお、図示は省略したが、文書操作装置100は、ネットワーク(ただしこのネットワークはポリシー管理装置10には接続されていない)との間で通信を行う通信装置を備えていてもよく、そのネットワーク上の装置から印刷指示を受け取り、その指示に応じて印刷装置102により印刷を行ってもよい。
【0057】
実行制御部110は、UI機構108を介して入力されたユーザ200の指示、又はネットワークを介した他の装置からのユーザの指示に応じて、印刷装置102、スキャン装置104又はFAX装置106を制御することで、ユーザ200からの指示に応じた処理を実行する。ここで、実行制御部110は、スキャン装置104の原稿送り装置(図示省略)又はプラテンにセットされた紙文書220に対する操作の指示を、UI機構108を介してユーザから受けた場合に、その操作を許可するかどうかを判定する。この判定は、その紙文書220に埋め込まれた公開鍵(e, n)と、そのユーザ200が携帯するトークン210とを用いて行われる。この判定のために、文書公開鍵認識部112は、セットされた操作対象の紙文書220から、埋め込まれている公開鍵を認識する。例えば、公開鍵がバーコード等の画像コードの形で紙文書220に印刷されている場合は、紙文書220をスキャンして得た画像からその画像コードを特定し、特定した画像コードを解析することでそのコードが表す公開鍵の値を認識すればよい。また、公開鍵が紙文書220に装着されたRFIDタグなどのデバイスに記憶されている場合は、そのデバイスと通信して公開鍵を取得すればよい。また、ユーザ200が携帯するトークン210は、文書操作装置100に付属するトークンリーダライタ120にセットされ、トークンリーダライタ120を介して実行制御部110と通信する。
【0058】
公開鍵が埋め込まれた紙文書220に対するコピー、スキャン、FAX送信などの操作がユーザから指示された場合、実行制御部110は、以下のステップを実行することで権利認証、すなわちユーザがその文書に対してその操作を行うことが許されるか否かの判定、を行う。なお、この例では、公開鍵は画像コードの形で紙文書220に印刷されているものとする。
(1)紙文書220のスキャンを行い、紙面に埋め込まれた公開鍵の画像コード222を読み取り、その画像コード222を認識することで公開鍵(e,n)を特定する。
(2)乱数(r)を生成し、乱数(r)、公開鍵(e,n)、ユーザが指示した操作内容(o)(例えばコピー、FAX送信など)の組を、チャレンジ(C)として、トークンリーダライタ120を介したそのユーザのトークン210に対し送信する。
(3)トークン210から、そのチャレンジ(C)に対するレスポンス(R)を受信する。
(4)ステップ(1)で特定した公開鍵(e,n)を用いて、レスポンス(R)がチャレンジ(C)に対応するか否かを判定する。
(5)検証結果が正しい場合のみ、ユーザが指示した操作を実行する。
【0059】
次に、図7を参照して、この文書操作装置100に対しユーザが紙文書をセットして操作を指示したときに行われる処理の流れを、トークン210が行う処理も含めて説明する。
【0060】
ユーザがスキャン装置104の原稿読取装置に紙文書をセットし、UI機構108からその文書に対する操作(例えばコピーやFAX送信など)を指示すると(S10)、スキャン装置104がその紙文書の画像を読み取り、文書公開鍵認識部112がその画像から公開鍵(e,n)を認識する(S12)。実行制御部110は、乱数(r)を生成し、生成した乱数(r)、認識した公開鍵(e,n)、及びユーザが指示した操作の内容(o)の3つ組みを、チャレンジ(C)の情報として、トークンリーダライタ120を介してトークン210に送信する(S14)。
【0061】
チャレンジ(C)を受け取ったトークン210は、自身のメモリ内から、チャレンジ(C)に含まれる公開鍵(e,n)を含んだチケット(T)を探す(S16)。もし、該当するチケット(T)が見つからない場合は、そのユーザにはその文書を操作する権利がないと判断し、エラー情報を実行制御部110に返す。エラー情報を受け取った実行制御部110は、指示された操作を行う権利がユーザに無いことを示すメッセージを例えばUI機構108の表示装置を介して提示し、処理を終了する。
該当するチケット(T)が見つかった場合、トークン210は、チャレンジ(C)に含まれる操作内容(o)が、そのチケット(T)に含まれる条件(L)を満たすか否かを判定する(S18)。具体例で説明すると、チケット(T)に含まれる条件(L)が
L = "operation=[view,edit,print,scan,copy ]; valid_to=[2020-12-31]"
であり、ユーザが入力した操作内容(o)が、
o= "operation=copy"
であった場合、その操作内容は条件(L)のoperationのリストに含まれる。そこで更に、実行制御部110の内蔵時計が示す現在時刻が、条件(L)に含まれる有効期限である2020年12月31日以前であるかどうかを判定する。有効期限の条件も満足されれば、条件(L)が満足されたと判定する。
【0062】
仮に例えば操作内容(o)が
o= "operation=fax"
である場合や、現在時刻が2020年12月31以降である場合は、条件(L)が満たされないと判定する。条件(L)が満たされない場合は、紙文書の公開鍵(e,n)に対応するチケット(T)が他にないかメモリ内を調べ、そのようなチケットが見つかれば同様に条件(L)を満たすかどうかを判定する。その公開鍵(e,n)に対応するチケット(T)がメモリ内から見つからない場合は、トークン210は、要求元のユーザに当該文書を操作する権利がないと判断し、エラー情報を文書操作装置に返す。
以上のようにして条件(L)を満たすチケット(T)が見つかった場合、トークン210は、例えば以下の式にてレスポンス(R)を計算し(S20)、実行制御部110に返す(S22)。
R = rt・rf(u,n,L) mod n
【0063】
トークン210からレスポンス(R)を受け取った実行制御部110は、以下の式よりr'を計算し、この計算結果がS14で生成した乱数rに等しいかどうかを判定する(S24)。
r' = Re mod n
【0064】
このときrとr'が等しければ権利認証に成功したと判定し、紙文書に対する操作を実行し(S26)、その捜査の結果を出力する(S28)。rとr'が等しくなければ、権利認証に失敗したとしてその旨をユーザに通知し、処理を終了する。
【0065】
なお、トークン210が正しいレスポンス(R)を返した場合は、
r' = Re mod n
= (rt・rf(u,n,L) ) e mod n
= (r(d - f(u,n,L)) ・rf(u,n,L) ) e mod n
= (r(d - f(u,n,L) + f(u,n,L)) ) e mod n
= (r d ) e mod n
= r d・e mod n
= r
となり、r'とrは等しくなる。
【0066】
以上のようにして、文書操作装置100では、紙文書に埋め込まれた公開鍵とユーザの携帯するトークン210とから、そのユーザがその紙文書に対して、要求した操作を行う権利を持つのかどうかを判定する。この判定の際、文書操作装置100は、ポリシー管理装置10との通信を行わなくてよい。
【0067】
この例では、乱数rに対してチケット(T)とトークン210を用いて署名値を計算したものをレスポンス(R)とし、公開鍵(e,n)を用いて署名の検証を行うこととしているが、検証の方法は、前記の署名検証に基づくものに限らない。例えば、乱数(r)を生成し、乱数(r)を公開鍵(e,n)で暗号化したものと、乱数(r)、当該紙文書の公開鍵(e,n)およびユーザが要求した操作内容(o)の組をチャレンジ(C) として、チケット(T)とトークン210を用いて同様の計算を行い、チャレンジ(C)に含まれる乱数(r)を公開鍵(e,n)で暗号化したものが正しく復号されていることに基づき検証を行ってもよい。
【0068】
なお、トークン210が正しいレスポンス(R)を返した場合は、
R = ((re)t・(re)f(u,n,L) ) mod n
= (rt・rf(u,n,L) ) e mod n
= (r(d - f(u,n,L)) ・rf(u,n,L) ) e mod n
= (r(d - f(u,n,L) + f(u,n,L)) ) e mod n
= (r d ) e mod n
= r d・e mod n
= r
となり、レスポンス(R)は最初に生成した乱数(r)と等しくなる。
【0069】
次に、変形例を説明する。上記実施形態では、トークン210がチケットを持っていなければチケット鍵(t)を推測できないため、認証を成功させることはできない。しかし、条件(L)の確認をトークン210にて行うため、トークン210がポリシーに対して発行されたチケット(T)さえ持っていれば、条件(L)を無視してレスポンス(R)を生成することで不正を行うことも考えられる。このような点を改善したものとして、以下のような変形例を説明する。
【0070】
ポリシー管理装置10及び印刷装置12については、上記実施形態と同じ振舞いをするため説明を省略する。チケット発行装置14も上記実施形態の場合とほぼ同じ振舞いを行うが、チケット(T)として、チケット鍵(t)と条件(L)以外に、チケット鍵(t)と条件(L)に対する署名値(sign)を含む点が異なる。
T = [t, L, sign]
【0071】
この署名値signは、例えば、チケット発行装置14の秘密鍵を[t, L]に対して適用することにより得られるデジタル署名の値である。このようなチケット(T)がポリシーの公開鍵(e, n)と対応づけてトークン210に保存される。
【0072】
図8を参照して、この変形例の処理の流れを説明する。
【0073】
ステップS10〜S18までは上記実施形態と同様の処理でよいため、説明を割愛する。この変形例ではトークン210は認証情報(s)を以下の式で計算し(S30)、特定したチケット(T)と認証情報(s)の組をレスポンス(R)として文書操作装置に返す(S32)。
s = rf(u,n,L) mod n
【0074】
トークンからレスポンス(R)を受け取った実行制御部110は、まずレスポンス(R)に含まれるチケット(T)が改ざんされていないかどうかを、チケット(T)に含まれる署名値(sign)により確認を行う(S34)。この署名確認では、例えばチケット発行装置14の公開鍵(これはあらかじめ文書操作装置100に登録しておく)を用いればよい。署名確認によりチケット(T)の改ざんが検知された場合は、不正が行われたとしてユーザにその旨を通知し、処理を終了する。
【0075】
署名確認によりチケット(T)の改ざんがないことが分かった場合、実行制御部110は、次に、ユーザがS10で入力した操作内容(o)がチケット(T)に含まれる条件(L)を満たしていることを確認する(S34)。条件(L)を満たさない場合は、不正が行われたとしてユーザにその旨を通知し、処理を終了する。以上のチェックがすべて成功した場合、実行制御部110は、以下の式よりr'を計算し、この計算結果がS14で生成した乱数rに等しいかどうかを判定する(S24)。
r' = (rt ・s)e mod n
【0076】
このとき、rとr'が等しければ認証に成功したと判定し、紙文書に対する操作を実行する(S26)。rとr'が等しくなければ、認証に失敗したとしてその旨をユーザに通知し、処理を終了する。
【0077】
なお、トークン210が正しいレスポンス(R)を返した場合は、
r' = (rt・s)e mod n
= (rt・rf(u,n,L) ) e mod n
= (r(d - f(u,n,L)) ・rf(u,n,L) ) e mod n
= (r(d - f(u,n,L) + f(u,n,L)) ) e mod n
= (r d ) e mod n
= r d・e mod n
= r
となり、r'とrは等しくなる。
【0078】
このように、この変形例では、検証側である文書操作装置100の実行制御部110にて、ユーザの指示した操作がチケット(T)中の条件(L)を満たすかどうかを確認する。なお、レスポンス(R)内のチケット(T)に含まれる条件(L)を改ざんすることで文書操作装置100をだます攻撃が考えられるが、このような改ざんは、チケット(T)の署名(sign)を検証することで検知可能である。また、別のチケット(別のポリシーに対応するチケットや別のトークン210に対応するチケット)をレスポンス(R)に含めることもできるが、この場合、トークン210で計算する認証情報(s)とチケット鍵(t)の対応が崩れ、rとr'が等しくならない。
【0079】
この例においても、乱数(r)に対し、チケット(T)とトークン210を用いて署名値を計算し、公開鍵(e,n)を用いて署名の検証を行うことで、レスポンス(R)がチャレンジ(C)に対応するものであることを検証しているが、前述の実施例と同様に、事前に乱数(r)を公開鍵(e,n)で暗号化したものをチャレンジ(C)に含め、チケット(T)とトークン210を用いて復号を行い、結果がもとの乱数(r)と等しくなる(正しく復号される)ことに基づきレスポンス(R)がチャレンジ(C)に対応するものであることを検証しても良い。
【0080】
次に第2の変形例を説明する。
【0081】
紙面に印刷して埋め込める情報の量には限度がある。このため、埋め込み方法(例えば画像コードの形式)によっては公開鍵(e,n)そのものを埋め込むことができない場合がある。そのための回避手段についてこの第2の変形例にて説明する。
【0082】
この変形例では、ポリシーの公開鍵(e,n)の代わりに、その公開鍵を一意的に識別する公開鍵IDを紙文書に埋め込む。そして、各文書操作装置100には、図9に示すように、公開鍵IDと公開鍵(e,n)との対応関係を表す公開鍵テーブルを登録しておく。例えば、公開鍵テーブルの内容がすべての文書操作装置100で共通になるよう出荷時に予め設定しておけばよい。この場合、ポリシー管理装置10は各ポリシーに対し、そのテーブルにある公開鍵を割り振り、印刷装置12から文書を印刷出力する場合は、その文書に割り当てられたポリシーの公開鍵IDを紙面に埋め込むようにすればよい。また、ポリシーの作成時に生成された公開鍵を後から文書操作装置100がインポートできるようにしてもよい。
【0083】
文書操作装置100は、操作に先立ち、紙文書の紙面から公開鍵IDを認識し、公開鍵テーブルを参照することでその公開鍵IDに対応する公開鍵(e, n)を特定する。公開鍵を特定する以外の振舞いは、上述の実施形態又は最初の変形例と同じでよいので、これ以上の説明は省略する。
【0084】
以上に例示したポリシー管理装置10、チケット発行装置14、PC20、文書操作装置100の実行制御部110は、例えば、汎用のコンピュータに上述の各機能モジュールの処理を表すプログラムを実行させることにより実現される。ここで、コンピュータは、例えば、ハードウエアとしてCPU等のマイクロプロセッサ、ランダムアクセスメモリ(RAM)およびリードオンリメモリ(ROM)等のメモリ、HDD(ハードディスクドライブ)を制御するHDDコントローラ、各種I/O(入出力)インタフェース、ローカルエリアネットワークなどのネットワークとの接続のための制御を行うネットワークインタフェース等が、たとえばバスを介して接続された回路構成を有する。また、そのバスに対し、例えばI/Oインタフェース経由で、CDやDVDなどの可搬型ディスク記録媒体に対する読み取り及び/又は書き込みのためのディスクドライブ、フラッシュメモリなどの各種規格の可搬型の不揮発性記録媒体に対する読み取り及び/又は書き込みのためのメモリリーダ・ライタなどが接続されてもよい。上に例示した各機能モジュールの処理内容が記述されたプログラムがCDやDVD等の記録媒体を経由して、又はネットワーク等の通信手段経由で、ハードディスクドライブ等の固定記憶装置に保存され、コンピュータにインストールされる。固定記憶装置に記憶されたプログラムがRAMに読み出されマイクロプロセッサにより実行されることにより、上に例示した機能モジュール群が実現される。なお、それら機能モジュール群のうちの一部又は全部を、専用LSI(Large Scale Integration)、ASIC(Application Specific Integrated Circuit、特定用途向け集積回路)又はFPGA(Field Programmable Gate Array)等のハードウエア回路として構成してもよい。
【符号の説明】
【0085】
10 ポリシー管理装置、12 印刷装置、14 チケット発行装置、16 ディレクトリサーバ、20 PC、22 トークンリーダライタ、200 ユーザ、210 トークン、220 紙文書、222 公開鍵を表す画像コード、100 文書操作装置、120 トークンリーダライタ。
【技術分野】
【0001】
本発明は、文書管理システム、文書操作装置及びプログラムに関する。
【背景技術】
【0002】
特許文献1に開示された画像処理装置は、非対称公開鍵暗号方式に基づく公開鍵を、複写動作時に紙文書上に人間の視覚には目立ちにくい形で埋め込む暗号鍵画像生成部を有する。ユーザは、その紙文書を複写する場合、画像処理装置に秘密鍵を入力する。入力した秘密鍵が紙文書の公開鍵に対応する正しいものである場合にのみ、画像処理装置はその紙文書を複写する。
特許文献2に開示された装置は、紙面に文書を作成した個人の情報と機密レベルから決まる情報を埋め込む。そして、その紙文書をその装置で利用する際に、認証したユーザの個人情報と、紙面に埋め込まれた個人情報と機密レベルとから、操作の可否の判定を行う。
【0003】
特許文献3に開示されたシステムでは、スキャンした紙文書の画像を暗号化し、セキュリティポリシーと結びつけて保存する。保存した文書の印刷が指示された場合には、指示したユーザを認証し、そのユーザがその文書を印刷する権利を持つかどうかをその文書に対応づけられたセキュリティポリシーにより確認し、印刷可と確認された場合のみ、暗号化された画像を復号して印刷する。
【0004】
特許文献4に開示されたシステムでは、文書を用紙に印刷する際に、その文書にあらかじめ設定されているセキュリティレベルをその用紙のRFID(Radio Frequency IDentification)タグに書き込む。ユーザの持つIDカードには、そのユーザのセキュリティレベルが書き込まれている。ユーザが出力機器に紙文書をセットし、複写やFAX送信等の処理の実行を指示すると、出力機器はその紙文書のRFIDタグのセキュリティレベルと、そのユーザのIDカードのセキュリティレベルを比較し、後者が前者を下回る場合には処理を実行しない。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開平11−215351号公報
【特許文献2】特開2006−167986号公報
【特許文献3】特開2007−026109号公報
【特許文献4】特開2007−168372号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、文書保護方針記憶装置と通信できない文書操作装置でも、文書保護方針記憶装置が記憶している文書保護方針情報に従って、紙文書に対してユーザが要求する操作の実行を制御できるようにすることを目的とする。
【課題を解決するための手段】
【0007】
請求項1に係る発明は、ユーザに許可される操作を表す文書操作条件をユーザまたはグループごとに含む1以上の文書保護方針情報を、それぞれ当該文書保護方針情報に割り当てられた秘密鍵及び公開鍵と対応づけて記憶する保護方針記憶装置と、電子文書と、当該電子文書に割り当てられた文書保護方針情報と、の対応関係を記憶する対応関係記憶手段と、電子文書の印刷を用紙に印刷する場合に、その電子文書に割り当てられた文書保護方針情報に対応する公開鍵を示す公開鍵情報を、その印刷結果の紙文書に埋め込む埋め込み手段と、ユーザが携帯する携帯証明装置と、前記携帯証明装置に対し、前記保護方針記憶装置に記憶された文書保護方針情報のうち当該ユーザまたは当該ユーザが属するグループに許可される文書操作条件を含んだ文書保護方針情報に対応する秘密鍵と当該携帯証明装置自体の固有情報とに基づき求められる認証補助情報と、当該文書保護方針情報に含まれる当該ユーザに許可される文書操作条件とを、当該文書保護方針情報に対応する公開鍵情報と対応づけて記憶させる制御を行う記憶制御手段と、ユーザが入力した紙文書に対して当該ユーザが指示した操作を実行するための文書操作装置と、を備え、前記文書操作装置は、前記紙文書に対する操作の指示を前記ユーザから受け付ける指示受付手段と、前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段と、前記公開鍵読取手段が読み取った公開鍵情報と、前記ユーザから指示された前記操作を示す情報と、認証用データと、を含む問合せを前記ユーザの前記携帯証明装置に送信する送信手段と、前記送信手段が送った問合せに対して前記携帯証明装置から返信された検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段と、を備え、前記携帯証明装置は、前記文書操作装置の前記送信手段から受け取った前記問合せに含まれる前記操作が、当該携帯証明装置が記憶する文書操作条件のうち当該問合せに含まれる前記公開鍵情報に対応する文書操作条件を満たす場合に、当該携帯証明装置が記憶する認証補助情報のうち当該問合せに含まれる前記公開鍵情報に対応する認証補助情報と、当該携帯証明装置の前記固有情報と、当該問合せに含まれる認証用データとを用いて、検証データを生成する検証データ生成手段と、生成された検証データを前記文書操作装置に返信する返信手段と、を備える、文書管理システムである。
【0008】
請求項2に係る発明は、前記記憶制御手段が前記携帯証明装置に対して記憶させる前記認証補助情報は、前記秘密鍵と前記固有情報とに加え、更に当該文書保護方針情報に含まれる当該ユーザまたは当該ユーザが属するグループに許可される文書操作条件に基づき求められる情報であり、前記検証データ生成手段は、前記認証補助情報と前記固有情報と前記認証用データとに加え、更に前記携帯証明装置が記憶する文書操作条件のうち当該問合せに含まれる前記公開鍵情報に対応する文書操作条件に基づき前記検証データを生成する、ことをと特徴とする請求項1に記載の文書管理システムである。
【0009】
請求項3に係る発明は、紙文書に対する操作の指示をユーザから受け付ける指示受付手段と、前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段と、前記公開鍵読取手段が読み取った公開鍵情報と、前記ユーザから指示された前記操作を示す情報と、認証用データと、を含む問合せを前記ユーザの携帯証明装置に送信する送信手段と、前記送信手段が送った問合せに対して前記携帯証明装置から返信された検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段と、を備える文書操作装置である。
【0010】
請求項4に係る発明は、コンピュータを、紙文書に対する操作の指示をユーザから受け付ける指示受付手段、前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段、前記公開鍵読取手段が読み取った公開鍵情報と、前記ユーザから指示された前記操作を示す情報と、認証用データと、を含む問合せを前記ユーザの携帯証明装置に送信する送信手段、前記送信手段が送った問合せに対して前記携帯証明装置から返信された検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段、として機能させるためのプログラムである。
【0011】
請求項5に係る発明は、ユーザに許可される操作を表す文書操作条件をユーザまたはグループごとに含む1以上の文書保護方針情報を、それぞれ当該文書保護方針情報に割り当てられた秘密鍵及び公開鍵と対応づけて記憶する保護方針記憶装置と、電子文書と、当該電子文書に割り当てられた文書保護方針情報と、の対応関係を記憶する対応関係記憶手段と、電子文書の印刷を用紙に印刷する場合に、その電子文書に割り当てられた文書保護方針情報に対応する公開鍵を示す公開鍵情報を、その印刷結果の紙文書に埋め込む埋め込み手段と、ユーザが携帯する携帯証明装置と、前記携帯証明装置に対し、前記保護方針記憶装置に記憶された文書保護方針情報のうち当該ユーザまたは当該ユーザが属するグループに許可される文書操作条件を含んだ文書保護方針情報に対応する秘密鍵と当該携帯証明装置自体の固有情報とに基づき求められる認証補助情報と、当該文書保護方針情報に含まれる当該ユーザに許可される文書操作条件とを、当該文書保護方針情報に対応する公開鍵情報と対応づけて記憶させる制御を行う記憶制御手段と、ユーザが入力した紙文書に対して当該ユーザが指示した操作を実行するための文書操作装置と、を備え、前記文書操作装置は、前記紙文書に対する操作の指示を前記ユーザから受け付ける指示受付手段と、前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段と、前記公開鍵読取手段が読み取った公開鍵情報と、認証用データと、を含む問合せを前記ユーザの前記携帯証明装置に送信する送信手段と、前記ユーザから指示された前記操作が、前記送信手段が送った問合せに対する前記携帯証明装置からの応答データに含まれる文書操作条件を満足し、且つ、当該応答データに含まれる認証補助情報及び検証補助データと、前記認証用データと、を用いて計算した検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段と、を備え、前記携帯証明装置は、当該携帯証明装置が記憶する認証補助情報のうち前記文書操作装置の前記送信手段から受け取った問合せに含まれる前記認証用データと、当該携帯証明装置の前記固有情報と、を用いて、検証補助データを生成する検証補助データ生成手段と、当該携帯証明装置が記憶する文書操作条件及び認証補助情報のうち前記問合せに含まれる前記公開鍵情報に対応する文書操作条件及び認証補助情報と、前記検証補助データとを含む応答データを前記文書操作装置に返信する返信手段と、を備える、文書管理システムである。
【0012】
請求項6に係る発明は、前記記憶制御手段が前記携帯証明装置に対して記憶させる前記認証補助情報は、前記秘密鍵と前記固有情報とに加え、更に当該文書保護方針情報に含まれる当該ユーザまたは当該ユーザが属するグループに許可される文書操作条件に基づき求められる情報であり、前記検証補助データ生成手段は、前記認証用データと前記固有情報とに加え、更に前記携帯証明装置が記憶する文書操作条件のうち当該問合せに含まれる前記公開鍵情報に対応する文書操作条件に基づき前記検証データを生成する、ことをと特徴とする請求項5に記載の文書管理システムである。
【0013】
請求項7に係る発明は、紙文書に対する操作の指示を前記ユーザから受け付ける指示受付手段と、前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段と、前記公開鍵読取手段が読み取った公開鍵情報と、認証用データと、を含む問合せを前記ユーザの携帯証明装置に送信する送信手段と、前記ユーザから指示された前記操作が、前記送信手段が送った問合せに対する前記携帯証明装置からの応答データに含まれる文書操作条件を満足し、且つ、当該応答データに含まれる認証補助情報及び検証補助データと、前記認証用データと、を用いて計算した検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段と、を備える文書操作装置である。
【0014】
請求項8に係る発明は、紙文書に対する操作の指示を前記ユーザから受け付ける指示受付手段、前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段、前記公開鍵読取手段が読み取った公開鍵情報と、認証用データと、を含む問合せを前記ユーザの携帯証明装置に送信する送信手段、前記ユーザから指示された前記操作が、前記送信手段が送った問合せに対する前記携帯証明装置からの応答データに含まれる文書操作条件を満足し、且つ、当該応答データに含まれる認証補助情報及び検証補助データと、前記認証用データと、を用いて計算した検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段、として機能させるためのプログラムである。
【発明の効果】
【0015】
請求項1,3,4に係る発明によれば、文書保護方針記憶装置と通信できない文書操作装置でも、文書保護方針記憶装置が記憶している文書保護方針情報に従って、紙文書に対してユーザが要求する操作の実行を制御できる。
【0016】
請求項2に係る発明によれば、携帯証明装置内に記憶された文書操作条件が改ざんされた場合に、紙文書に対する操作が実行されないようにすることができる。
【0017】
請求項5,7,8に係る発明によれば、文書保護方針記憶装置と通信できない文書操作装置でも、文書保護方針記憶装置が記憶している文書保護方針情報に従って、紙文書に対してユーザが要求する操作の実行を制御できるとともに、更に文書操作条件が満たされるかどうかの検査を文書操作装置側で行うことができる。
【0018】
請求項6に係る発明によれば、携帯証明装置内に記憶された文書操作条件が改ざんされた場合に、紙文書に対する操作が実行されないようにすることができる。
【図面の簡単な説明】
【0019】
【図1】実施形態のシステム構成の例を示す図である。
【図2】ポリシー定義のデータ内容の一例を示す図である。
【図3】文書管理情報のデータ内容の一例を示す図である。
【図4】チケット発行装置が管理する、ユーザIDとトークン固有秘密情報との対応を表す情報の一例を示す図である。
【図5】ディレクトリサーバが記憶するユーザとグループの対応関係を示す情報の例を示す図である。
【図6】文書操作装置の内部構成の一例を示す図である。
【図7】実施形態のシステムでの処理の流れの例を説明するためのシーケンス図である。
【図8】変形例における処理の流れの例を説明するためのシーケンス図である。
【図9】第2の変形例における公開鍵テーブルの一例を示す図である。
【発明を実施するための形態】
【0020】
図1に、実施形態のシステム構成の一例を示す。このシステムは、ローカルエリアネットワークなどのネットワーク18に接続されたポリシー管理装置10、印刷装置12、チケット発行装置14、ディレクトリサーバ16、及びPC(パーソナルコンピュータ)20と、そのネットワーク18に接続されていない文書操作装置100とを含んでいる。
【0021】
ポリシー管理装置10は、管理対象の文書についてのセキュリティ(情報保護)のための制御又は管理を行う装置である。管理対象の文書には、紙文書も電子文書も含まれる。ここで、電子文書とは、文書をあらかじめ定められたデータ形式で表現した電子的なデータである。電子文書には、例えば、ワードプロセッサや表計算等のアプリケーションで作成された文書ファイルも、紙文書をスキャンして得た画像データファイルも含まれる。紙文書は、紙面に文書内容を筆記又は印刷したものである。このポリシー管理装置10での管理対象となる紙文書は、ポリシー管理装置10に登録された管理対象の電子文書を印刷したものである。すなわち、このシステムでは、ポリシー管理装置10が管理する電子文書には、当該文書を一意に示す識別情報、すなわちこの実施形態では文書公開鍵、が付与されている。その電子文書を印刷する際に、その識別情報が文書内容と共に用紙に印刷されたり、用紙に装着されたRFIDタグなどの記録媒体に書き込まれたりすることで、印刷結果の紙文書が、ポリシー管理装置10の管理対象となる。
【0022】
ポリシー管理装置10は、各電子文書(ひいてはその印刷結果の紙文書)に対してセキュリティポリシー(以下、単に「ポリシー」と呼ぶ)を割り当てる。ポリシーは、各ユーザが文書に対してどのような操作を許可されているのかを記述した情報であり、逆の観点で言えば、ポリシーは、各ユーザが電子文書の操作についてどのような制限を受けるのかを表す情報である。ポリシーは、文書の保護方針を示す文書保護方針情報と呼ぶこともできる。なお、文書に対する操作には、例えば閲覧、編集、印刷、スキャン、コピー、FAX送信などが含まれる。
【0023】
ユーザがある電子文書に対するある操作を要求した場合、ポリシー管理装置10がその電子文書に割り当てられたポリシーを参照することで、そのユーザがその電子文書に対してその操作を許可されているか否かを判定する。そして、許可されている場合にのみ要求が受け入れられる。なお、後述するように、ユーザのみではなく、ユーザが属するグループに許可される操作か否かを含めて判定するようにしてもよい。
【0024】
このような制御のために、ポリシー管理装置10は、個々のポリシーを定義するポリシー定義情報と、各文書に対しどのポリシーが割り当てられているのかを示す文書管理情報とを記憶している。
【0025】
図2にポリシー定義情報のデータ内容の一例を例示する。この例では、1つのポリシーのポリシー定義情報には、そのポリシーの識別情報である「ポリシーID」、そのポリシーの「名称」、そのポリシーを作成した「作成者」の識別情報、そのポリシーに付与された「公開鍵」と「秘密鍵」の鍵ペア、及びそのポリシーの内容を示す情報が含まれる。ポリシーの内容を示す情報は、例えば、そのポリシーが割り当てられた文書に対する操作が許可されるユーザ(「対象」)ごとに、そのユーザに許可される操作の種類のリストと、その許可の有効期限を示す情報とを含む。なお、「対象」の一例として図2に示された「マネージャ」は、組織内でのユーザの職位の一種であり、各部署の「マネージャ」から構成されるグループと解することができる。
【0026】
図2の例では、ポリシーIDが「P0012002」のポリシーは、「名称」が「プロジェクトX公開資料」であり、「社員A」が作成し、「開発部1課」のメンバーにはポリシーの適用、ポリシーが適用された文書に対する閲覧、編集、印刷、スキャン、コピー、FAX送信の操作が2020年12月31日まで許可されることなどを示している。また、この例ではRSA公開鍵暗号を前提としており、「公開鍵」=(e, n)のうちのeが「AQAB」、nが「Iga9Y7kaeT78ar83aTlIohK3...」であり、秘密鍵dが「A478SeouGa4REraIE34qk....」であることを示している。なお、e, nはいずれもBASE64形式で表現している。
【0027】
図3に文書管理情報の一例を示す。この例では、個々の文書ごとに、その識別情報である「文書ID」、その文書に適用されたポリシーの「ポリシーID」、その文書をポリシー管理装置10に登録した「登録者」のユーザID、及びその登録が行われた「登録日時」が含まれる。
【0028】
図2及び図3の例では、文書IDが「D000000132000」の文書は、「開発部1課」のメンバーに対し、閲覧、編集、印刷、スキャン、コピー、FAX送信の操作が2020年12月31日まで許可されることが分かる。
【0029】
なお、文書に対するポリシーの割り当ては、例えば、その文書の作成者或いは管理者が公知の方法で行えばよい。
【0030】
再び図1の説明に戻ると、ユーザが、例えばPC20を操作することで、ポリシーが割り当てられた電子文書に対するある操作(例えば印刷)を要求したとする。この場合、その電子文書の文書IDと、要求したユーザのユーザIDと、そのユーザが要求した操作の種類を示す情報を含んだ問合せがそのPC20からポリシー管理装置10に送られる。ポリシー管理装置10は、その問合せに係る文書IDに対応するポリシーIDを文書管理情報から特定し、問合せに含まれるユーザIDに対し、その問合せ内の操作の種類が許可されるかどうかを、そのポリシーIDに対応するポリシー定義を参照して判定し、その判定結果を含む応答をPC20に返す。PC20は、その応答が許可を示す場合はユーザから要求された操作をその文書に対して実行し、その応答が不許可を示す場合はその操作を実行せずに、エラー処理(例えば「その操作は許可されていません」などのエラーメッセージの表示)を行う。
【0031】
ネットワーク18に接続された印刷装置12は、ユーザ200からのPC20を介する指示に応じて、電子文書を用紙に印刷して出力する。印刷装置12は、印刷のみの単機能の装置であってもよいし、ネットワーク通信可能な複写機又は複合機(印刷、スキャン、コピー、FAX送信などの機能を兼ね備えた装置)であってもよい。
【0032】
ここで、印刷対象の電子文書がポリシー管理装置10により管理されている文書(すなわち、図3に例示した文書管理情報にポリシーとの対応付けが登録されている文書)である場合は、ポリシー管理装置10で印刷が許可された場合にのみ印刷装置12は印刷を実行する。また、この場合、印刷装置12は、その電子文書に割り当てられたポリシーの公開鍵(e, n)を、その電子文書の印刷結果である紙文書220に埋め込む。
【0033】
公開鍵の埋込は、例えば公開鍵を、文字列、或いはバーコードなどの画像コード222のように機械により認識できる形式で表現したものを、電子文書が表す画像と共に用紙(例えば用紙紙面上のあらかじめ指定された位置)に印刷することで行えばよい。例えば、PC20が電子文書の画像内容に公開鍵を表す文字列又は画像コード222を重畳した画像を表す(例えばページ記述言語で記述された)印刷データを生成して印刷装置12に送ってもよい。また、印刷装置12が、公開鍵の文字列又は画像コードを電子文書の画像に重畳してもよい。
【0034】
また、用紙にRFIDタグ等のような読み書き可能なメモリを含んだデバイスが装着されている場合は、印刷装置12は、そのデバイスに対してデータを書き込む書込装置により、そのデバイスに対して公開鍵を書き込んでもよい。
【0035】
また、紙文書220に埋め込む公開鍵は、ポリシー管理装置10が印刷許可の旨の応答に対応づける形でPC20(PC20が印刷可否の問合せを行う場合)又は印刷装置12(印刷装置12が問合せを行う場合)に提供すればよい。また、この代わりに、PC20に配布される電子文書に対し、その公開鍵の情報を属性情報として持たせておき、PC20がポリシー管理装置10から印刷の許可を受けると、その公開鍵を印刷装置12に渡して印刷或いはデバイスへの書き込みを指示するようにしてもよい。
【0036】
このような紙文書220への情報の埋込については、従来様々な方式が開発されており、この実施形態ではそれら従来のどの方式を用いてもよい。
【0037】
なお、以上では、公開鍵(e, n)を用紙に埋め込むとしたが、実施形態のシステム全体でeを固定値とし、nのみがポリシーごとに異なるようにして、用紙にはnのみを埋め込むようにしてもよい。
【0038】
PC20は、ユーザが操作するパーソナルコンピュータであり、インストールされた各種のアプリケーションにより、電子文書に対して操作を行う。この例では、PC20には、トークンリーダライタ22が接続されている。トークンリーダライタ22は、ユーザが携帯するトークン210に対してデータを読み書きするための装置である。
【0039】
トークン210は、各ユーザに対してそれぞれ一意に割り当てられた身分証であり、データを格納するメモリと、後述する認証のための演算処理を実行するプロセッサ、及びその演算処理を記述したプログラムを有する。トークン210は、例えば接触式又は非接触式で外部とデータのやりとりが可能なICカードやUSBトークンなどの形のものでよい。
【0040】
トークン210が備えるメモリには、当該トークン210に一意的に付与された固有秘密情報(u)と、チケット発行装置14より発行されたチケット(T)が記憶される。固有秘密情報(u)は、トークン210自体(ひいてはそれを携帯するユーザ)のいわば認証情報であり、この情報は書き換えできないようになっている。チケット(T)は、当該トークン210が割り当てられたユーザに対して付与された、文書に対する操作の許可条件を示す情報である。チケット(T)は、当該ユーザに何らかの操作を許可しているポリシーごとに、チケット発行装置14から発行される。トークン210内のメモリには、複数のチケット(T)を記憶することもできる。なお、チケット(T)が含む情報内容の具体的な例については、後で詳しく説明する。
【0041】
また、トークン210のプロセッサは、後述するスタンドアローンの文書操作装置100に対してユーザが紙文書を投入し、その紙文書に対する操作を要求した場合に、文書操作装置100からチャレンジ(C) として、乱数(r)、当該紙文書の公開鍵(e,n)、ユーザ200が要求した操作内容(o)の組を受け取ると、公開鍵(e,n)に対応するチケット(T)を特定し、要求された操作内容(o)がチケット(T)に記載された条件(L)を満たすことを確認した後、チケット(T)に含まれるチケット鍵(t)と、条件(L)と、トークン固有秘密情報(u)と、乱数(r) とからレスポンス(R)を計算し、文書操作装置100へ返す。
【0042】
PC20には、チケット発行装置14からチケット(T)を取得し、トークンリーダライタ22を介してトークン210に書き込むためのプログラムがインストールされている。ユーザ200が、PC20のそのプログラムを起動して、チケット発行装置14にチケット(T)の発行を要求すると、チケット発行装置14がそのユーザ200に対応するチケット(T)を発行する。そのプログラムは、チケット発行装置14から発行されたチケット(T)をトークンリーダライタ22にセットされたトークン210に書き込む。
【0043】
なお、この例ではユーザ200は、トークンリーダライタ22を備えるPC20を操作してチケット(T)を取得したが、この他にも、ネットワーク18に接続された複合機等、トークンリーダライタ22を備える他の種類の装置を介してチケット(T)をトークン210に取得してもよい。
【0044】
チケット発行装置14は、ユーザ200からの要求に応じて、そのユーザ200に対応するチケット(T)を発行する。チケット発行装置14は、各ユーザ200のトークン210ごとのトークン固有秘密情報(u)と、どのトークンがどのユーザ200に所持されているかを表す情報(例えば、図4に例示する、ユーザIDとトークン固有秘密情報との対応を表す情報)とを管理している。そして、ポリシー管理装置10にて管理されるポリシーにて文書に対する操作が許可されているユーザが所持するトークン210に対し、少なくともポリシーに関連付けられた秘密鍵(d)と、そのトークン210の固有秘密情報(u)と、ポリシーに記述されている操作の内容(図2における「許可される操作」)としての条件(L)と、からチケット鍵(t)を生成し、チケット鍵(t)、条件(L)、及びそのポリシーの公開鍵(e, n)の組を含んだチケット(T)を発行する。
【0045】
例えば、このチケット発行の処理では、まずユーザ200がPC20を操作して、ネットワーク18を介してチケット発行装置14にログインし、チケット発行を要求する。チケット発行装置14は、そのユーザ200に割り当てられたトークン210の固有秘密情報(u)を読み出すと共に、ポリシー管理装置10に対してそのユーザに対して何らかの操作を許可しているポリシーの情報を要求する。この要求に対し、ポリシー管理装置10は、自らが管理しているポリシー定義情報を調べることで、そのユーザに対して何らかの操作を許可しているポリシーを特定し、特定したポリシーごとに、そのポリシーの公開鍵(e, n)(eをシステムで固定としている場合はnのみでもよい)と、そのユーザに対して「許可される操作」のリストと、その許可の「有効期限」と、を含んだ情報をチケット発行装置14に返す。そのユーザに対して「許可される操作」は、そのユーザ個人に対して許可される操作だけでなく、そのユーザが属するグループに対して許可される操作も含まれる。ユーザがどのグループに属するかは、ディレクトリサーバ16を参照して特定すればよい。ディレクトリサーバ16には、図5に例示するように、各ユーザが所属するグループを表す情報が記憶されている。
【0046】
このチケット発行装置14のチケット発行処理の流れを、具体例を用いて説明する。PC20から社員Aが所有するトークンに対するチケットの発行を要求された場合、チケット発行装置14は、ポリシー管理装置10に対し社員Aが関連するポリシーの問い合わせを行う。ポリシー管理装置10は、図2のポリシー定義情報、及びディレクトリサーバ16が持つ図5のグループ情報から、社員Aは「プロジェクトX公開資料」のポリシーに関係しており、該ポリシーが割り当てられた文書に対し、閲覧、編集、印刷、スキャン、コピー、FAX送信の操作が2020年12月31日まで許可されることが分かる。なお、操作「適用」は、当該ポリシーを文書に対して適用(割り当て)する操作であり、既にポリシー割り当てを受けてポリシー管理装置10に登録された文書に対してはそのような操作は不要なので、この場合許可される操作のリストには「適用」は含まれない。ポリシー管理装置10は、そのポリシーの公開鍵(e=「AQAB」、n=「Iga9Y7kaeT78ar83aTlIohK3...」)と、許可される操作のリスト(閲覧、編集、印刷、スキャン、コピー、FAX)と、許可の有効期限(2020年12月31日)の情報と、を含む応答をチケット発行装置14に返す。
【0047】
この応答を受け取ったチケット発行装置14は、条件(L)を以下のように定める。
L = "operation=[view,edit,print,scan,copy,fax]; valid_to=[2020-12-31]"
ここで、"operation=[]"は、許可される操作のリストを表し、その内容"[view,edit,print,scan,copy,fax]"はこの順に閲覧、編集、印刷、スキャン、コピー、FAX送信の各操作種類を表す。また、"valid_to=[2020-12-31]"は、その許可される操作のリストの有効期限が020年12月31日であることを示す。また、チケット発行装置14は、チケット鍵(t)を以下の式により算出する。
t = d - f(u, n, L) mod Φ(n)
【0048】
ここで、f(u, n, L)はトークン固有秘密情報(u)、公開鍵の法数(n)、及び条件(L)を引数に取る一方向性関数であり、例えばSHAなどのセキュアハッシュ関数がその一例である。Φ(n)はオイラー関数であり、RSA暗号でn=p*qの場合、Φ(n)=(p-1)(q-1)となる。
【0049】
そして、チケット発行装置14は、求めた条件(L)とチケット鍵(t)と公開鍵(e, n)との組み合わせを含んだ情報をチケット(T)として生成し、PC20を介してトークン210に配布する。
【0050】
ここで、社員Fのように"P0012002"のポリシーにおいて、「開発2課」としての立場と、「マネージャ」としての立場で条件が異なる場合は、両方の権利(すなわち、許可された操作種類のリスト)の論理和をとったものをLとして1つのチケットの発行を行ってもよいし、個々の立場に対してそれぞれチケットを発行してもよい。
【0051】
また、チケット発行装置14は、ユーザが複数のポリシーに関係している場合、関係しているポリシーの数だけチケットの発行を行ってもよい。この代わりに、ユーザが関係する複数のポリシーのリストを、PC20を介してユーザに提示し、その中でユーザが選択したポリシーについてのみチケットを発行してもよい。
【0052】
このようにして発行されたチケット(T)は、トークンリーダライタ22によりトークン210に書き込まれる。
このようなチケット(T)の発行は、例えば、特開平10-93550号公報に開示された本願の発明者らが提案した方法と同様の方法を用いればよい。
【0053】
以上の例では、ポリシー管理装置10、チケット発行装置14及びディレクトリサーバ16を別々の装置とした場合の例であるが、これは一例に過ぎない。それら三種の装置の機能のうちの二種以上を1つの装置に実装してももちろんよい。
【0054】
文書操作装置100は、紙文書を読み取って、その読取結果の文書画像についての操作を行う装置である。例えば、複写機、複合機、スキャナ、FAX装置などがその一例である。ここで、文書操作装置100は、ポリシー管理装置10と通信できない状態にあるとする。この状態は、文書操作装置100がいわゆるスタンドアローン状態(すなわちどのネットワークにも接続されていない状態)にある場合のみならず、ポリシー管理装置10とは接続されていないネットワークに接続されている場合も含むものとする。
【0055】
この場合、仮にその紙文書に文書IDを埋め込んでおいたとしても、その紙文書を投入したユーザに、そのユーザが要求する操作を行う権利があるかどうかをポリシー管理装置10に問い合わせることはできない。そこで、この実施形態では、紙文書に埋め込まれたポリシーの公開鍵情報と、ユーザが携帯するトークン210との連携により、ユーザが要求した操作が許可されるかどうかを判定する。
【0056】
図6に文書操作装置100の内部構成の一例を示す。この例は、文書操作装置100が複合機である場合の例である。この場合、文書操作装置100は、用紙に画像を印刷する印刷装置102、原稿の紙面上の画像を光学的に読み取るスキャン装置104、及び外部の装置との間で電話回線を介してFAX通信を行うFAX装置106を備える。紙文書のコピーは、スキャン装置104で読み取った画像を印刷装置102で用紙に印刷することにより実現される。UI(ユーザインタフェース)機構108は、文書操作装置100の状態を表示したり、文書操作装置100に対するユーザからの入力を受け付けたりするユーザインタフェースである。UI機構108は、液晶タッチパネルや、テンキー、スタートボタンなどの機械的なボタン、などの入出力装置と、その入出力装置に対するメニュー表示や入出力装置からの入力の解釈などのためのプログラム等を備える。例えば、ユーザは、複写、スキャン、FAX送信など、自分が希望する操作の種類をUI機構108に対して指定する。なお、図示は省略したが、文書操作装置100は、ネットワーク(ただしこのネットワークはポリシー管理装置10には接続されていない)との間で通信を行う通信装置を備えていてもよく、そのネットワーク上の装置から印刷指示を受け取り、その指示に応じて印刷装置102により印刷を行ってもよい。
【0057】
実行制御部110は、UI機構108を介して入力されたユーザ200の指示、又はネットワークを介した他の装置からのユーザの指示に応じて、印刷装置102、スキャン装置104又はFAX装置106を制御することで、ユーザ200からの指示に応じた処理を実行する。ここで、実行制御部110は、スキャン装置104の原稿送り装置(図示省略)又はプラテンにセットされた紙文書220に対する操作の指示を、UI機構108を介してユーザから受けた場合に、その操作を許可するかどうかを判定する。この判定は、その紙文書220に埋め込まれた公開鍵(e, n)と、そのユーザ200が携帯するトークン210とを用いて行われる。この判定のために、文書公開鍵認識部112は、セットされた操作対象の紙文書220から、埋め込まれている公開鍵を認識する。例えば、公開鍵がバーコード等の画像コードの形で紙文書220に印刷されている場合は、紙文書220をスキャンして得た画像からその画像コードを特定し、特定した画像コードを解析することでそのコードが表す公開鍵の値を認識すればよい。また、公開鍵が紙文書220に装着されたRFIDタグなどのデバイスに記憶されている場合は、そのデバイスと通信して公開鍵を取得すればよい。また、ユーザ200が携帯するトークン210は、文書操作装置100に付属するトークンリーダライタ120にセットされ、トークンリーダライタ120を介して実行制御部110と通信する。
【0058】
公開鍵が埋め込まれた紙文書220に対するコピー、スキャン、FAX送信などの操作がユーザから指示された場合、実行制御部110は、以下のステップを実行することで権利認証、すなわちユーザがその文書に対してその操作を行うことが許されるか否かの判定、を行う。なお、この例では、公開鍵は画像コードの形で紙文書220に印刷されているものとする。
(1)紙文書220のスキャンを行い、紙面に埋め込まれた公開鍵の画像コード222を読み取り、その画像コード222を認識することで公開鍵(e,n)を特定する。
(2)乱数(r)を生成し、乱数(r)、公開鍵(e,n)、ユーザが指示した操作内容(o)(例えばコピー、FAX送信など)の組を、チャレンジ(C)として、トークンリーダライタ120を介したそのユーザのトークン210に対し送信する。
(3)トークン210から、そのチャレンジ(C)に対するレスポンス(R)を受信する。
(4)ステップ(1)で特定した公開鍵(e,n)を用いて、レスポンス(R)がチャレンジ(C)に対応するか否かを判定する。
(5)検証結果が正しい場合のみ、ユーザが指示した操作を実行する。
【0059】
次に、図7を参照して、この文書操作装置100に対しユーザが紙文書をセットして操作を指示したときに行われる処理の流れを、トークン210が行う処理も含めて説明する。
【0060】
ユーザがスキャン装置104の原稿読取装置に紙文書をセットし、UI機構108からその文書に対する操作(例えばコピーやFAX送信など)を指示すると(S10)、スキャン装置104がその紙文書の画像を読み取り、文書公開鍵認識部112がその画像から公開鍵(e,n)を認識する(S12)。実行制御部110は、乱数(r)を生成し、生成した乱数(r)、認識した公開鍵(e,n)、及びユーザが指示した操作の内容(o)の3つ組みを、チャレンジ(C)の情報として、トークンリーダライタ120を介してトークン210に送信する(S14)。
【0061】
チャレンジ(C)を受け取ったトークン210は、自身のメモリ内から、チャレンジ(C)に含まれる公開鍵(e,n)を含んだチケット(T)を探す(S16)。もし、該当するチケット(T)が見つからない場合は、そのユーザにはその文書を操作する権利がないと判断し、エラー情報を実行制御部110に返す。エラー情報を受け取った実行制御部110は、指示された操作を行う権利がユーザに無いことを示すメッセージを例えばUI機構108の表示装置を介して提示し、処理を終了する。
該当するチケット(T)が見つかった場合、トークン210は、チャレンジ(C)に含まれる操作内容(o)が、そのチケット(T)に含まれる条件(L)を満たすか否かを判定する(S18)。具体例で説明すると、チケット(T)に含まれる条件(L)が
L = "operation=[view,edit,print,scan,copy ]; valid_to=[2020-12-31]"
であり、ユーザが入力した操作内容(o)が、
o= "operation=copy"
であった場合、その操作内容は条件(L)のoperationのリストに含まれる。そこで更に、実行制御部110の内蔵時計が示す現在時刻が、条件(L)に含まれる有効期限である2020年12月31日以前であるかどうかを判定する。有効期限の条件も満足されれば、条件(L)が満足されたと判定する。
【0062】
仮に例えば操作内容(o)が
o= "operation=fax"
である場合や、現在時刻が2020年12月31以降である場合は、条件(L)が満たされないと判定する。条件(L)が満たされない場合は、紙文書の公開鍵(e,n)に対応するチケット(T)が他にないかメモリ内を調べ、そのようなチケットが見つかれば同様に条件(L)を満たすかどうかを判定する。その公開鍵(e,n)に対応するチケット(T)がメモリ内から見つからない場合は、トークン210は、要求元のユーザに当該文書を操作する権利がないと判断し、エラー情報を文書操作装置に返す。
以上のようにして条件(L)を満たすチケット(T)が見つかった場合、トークン210は、例えば以下の式にてレスポンス(R)を計算し(S20)、実行制御部110に返す(S22)。
R = rt・rf(u,n,L) mod n
【0063】
トークン210からレスポンス(R)を受け取った実行制御部110は、以下の式よりr'を計算し、この計算結果がS14で生成した乱数rに等しいかどうかを判定する(S24)。
r' = Re mod n
【0064】
このときrとr'が等しければ権利認証に成功したと判定し、紙文書に対する操作を実行し(S26)、その捜査の結果を出力する(S28)。rとr'が等しくなければ、権利認証に失敗したとしてその旨をユーザに通知し、処理を終了する。
【0065】
なお、トークン210が正しいレスポンス(R)を返した場合は、
r' = Re mod n
= (rt・rf(u,n,L) ) e mod n
= (r(d - f(u,n,L)) ・rf(u,n,L) ) e mod n
= (r(d - f(u,n,L) + f(u,n,L)) ) e mod n
= (r d ) e mod n
= r d・e mod n
= r
となり、r'とrは等しくなる。
【0066】
以上のようにして、文書操作装置100では、紙文書に埋め込まれた公開鍵とユーザの携帯するトークン210とから、そのユーザがその紙文書に対して、要求した操作を行う権利を持つのかどうかを判定する。この判定の際、文書操作装置100は、ポリシー管理装置10との通信を行わなくてよい。
【0067】
この例では、乱数rに対してチケット(T)とトークン210を用いて署名値を計算したものをレスポンス(R)とし、公開鍵(e,n)を用いて署名の検証を行うこととしているが、検証の方法は、前記の署名検証に基づくものに限らない。例えば、乱数(r)を生成し、乱数(r)を公開鍵(e,n)で暗号化したものと、乱数(r)、当該紙文書の公開鍵(e,n)およびユーザが要求した操作内容(o)の組をチャレンジ(C) として、チケット(T)とトークン210を用いて同様の計算を行い、チャレンジ(C)に含まれる乱数(r)を公開鍵(e,n)で暗号化したものが正しく復号されていることに基づき検証を行ってもよい。
【0068】
なお、トークン210が正しいレスポンス(R)を返した場合は、
R = ((re)t・(re)f(u,n,L) ) mod n
= (rt・rf(u,n,L) ) e mod n
= (r(d - f(u,n,L)) ・rf(u,n,L) ) e mod n
= (r(d - f(u,n,L) + f(u,n,L)) ) e mod n
= (r d ) e mod n
= r d・e mod n
= r
となり、レスポンス(R)は最初に生成した乱数(r)と等しくなる。
【0069】
次に、変形例を説明する。上記実施形態では、トークン210がチケットを持っていなければチケット鍵(t)を推測できないため、認証を成功させることはできない。しかし、条件(L)の確認をトークン210にて行うため、トークン210がポリシーに対して発行されたチケット(T)さえ持っていれば、条件(L)を無視してレスポンス(R)を生成することで不正を行うことも考えられる。このような点を改善したものとして、以下のような変形例を説明する。
【0070】
ポリシー管理装置10及び印刷装置12については、上記実施形態と同じ振舞いをするため説明を省略する。チケット発行装置14も上記実施形態の場合とほぼ同じ振舞いを行うが、チケット(T)として、チケット鍵(t)と条件(L)以外に、チケット鍵(t)と条件(L)に対する署名値(sign)を含む点が異なる。
T = [t, L, sign]
【0071】
この署名値signは、例えば、チケット発行装置14の秘密鍵を[t, L]に対して適用することにより得られるデジタル署名の値である。このようなチケット(T)がポリシーの公開鍵(e, n)と対応づけてトークン210に保存される。
【0072】
図8を参照して、この変形例の処理の流れを説明する。
【0073】
ステップS10〜S18までは上記実施形態と同様の処理でよいため、説明を割愛する。この変形例ではトークン210は認証情報(s)を以下の式で計算し(S30)、特定したチケット(T)と認証情報(s)の組をレスポンス(R)として文書操作装置に返す(S32)。
s = rf(u,n,L) mod n
【0074】
トークンからレスポンス(R)を受け取った実行制御部110は、まずレスポンス(R)に含まれるチケット(T)が改ざんされていないかどうかを、チケット(T)に含まれる署名値(sign)により確認を行う(S34)。この署名確認では、例えばチケット発行装置14の公開鍵(これはあらかじめ文書操作装置100に登録しておく)を用いればよい。署名確認によりチケット(T)の改ざんが検知された場合は、不正が行われたとしてユーザにその旨を通知し、処理を終了する。
【0075】
署名確認によりチケット(T)の改ざんがないことが分かった場合、実行制御部110は、次に、ユーザがS10で入力した操作内容(o)がチケット(T)に含まれる条件(L)を満たしていることを確認する(S34)。条件(L)を満たさない場合は、不正が行われたとしてユーザにその旨を通知し、処理を終了する。以上のチェックがすべて成功した場合、実行制御部110は、以下の式よりr'を計算し、この計算結果がS14で生成した乱数rに等しいかどうかを判定する(S24)。
r' = (rt ・s)e mod n
【0076】
このとき、rとr'が等しければ認証に成功したと判定し、紙文書に対する操作を実行する(S26)。rとr'が等しくなければ、認証に失敗したとしてその旨をユーザに通知し、処理を終了する。
【0077】
なお、トークン210が正しいレスポンス(R)を返した場合は、
r' = (rt・s)e mod n
= (rt・rf(u,n,L) ) e mod n
= (r(d - f(u,n,L)) ・rf(u,n,L) ) e mod n
= (r(d - f(u,n,L) + f(u,n,L)) ) e mod n
= (r d ) e mod n
= r d・e mod n
= r
となり、r'とrは等しくなる。
【0078】
このように、この変形例では、検証側である文書操作装置100の実行制御部110にて、ユーザの指示した操作がチケット(T)中の条件(L)を満たすかどうかを確認する。なお、レスポンス(R)内のチケット(T)に含まれる条件(L)を改ざんすることで文書操作装置100をだます攻撃が考えられるが、このような改ざんは、チケット(T)の署名(sign)を検証することで検知可能である。また、別のチケット(別のポリシーに対応するチケットや別のトークン210に対応するチケット)をレスポンス(R)に含めることもできるが、この場合、トークン210で計算する認証情報(s)とチケット鍵(t)の対応が崩れ、rとr'が等しくならない。
【0079】
この例においても、乱数(r)に対し、チケット(T)とトークン210を用いて署名値を計算し、公開鍵(e,n)を用いて署名の検証を行うことで、レスポンス(R)がチャレンジ(C)に対応するものであることを検証しているが、前述の実施例と同様に、事前に乱数(r)を公開鍵(e,n)で暗号化したものをチャレンジ(C)に含め、チケット(T)とトークン210を用いて復号を行い、結果がもとの乱数(r)と等しくなる(正しく復号される)ことに基づきレスポンス(R)がチャレンジ(C)に対応するものであることを検証しても良い。
【0080】
次に第2の変形例を説明する。
【0081】
紙面に印刷して埋め込める情報の量には限度がある。このため、埋め込み方法(例えば画像コードの形式)によっては公開鍵(e,n)そのものを埋め込むことができない場合がある。そのための回避手段についてこの第2の変形例にて説明する。
【0082】
この変形例では、ポリシーの公開鍵(e,n)の代わりに、その公開鍵を一意的に識別する公開鍵IDを紙文書に埋め込む。そして、各文書操作装置100には、図9に示すように、公開鍵IDと公開鍵(e,n)との対応関係を表す公開鍵テーブルを登録しておく。例えば、公開鍵テーブルの内容がすべての文書操作装置100で共通になるよう出荷時に予め設定しておけばよい。この場合、ポリシー管理装置10は各ポリシーに対し、そのテーブルにある公開鍵を割り振り、印刷装置12から文書を印刷出力する場合は、その文書に割り当てられたポリシーの公開鍵IDを紙面に埋め込むようにすればよい。また、ポリシーの作成時に生成された公開鍵を後から文書操作装置100がインポートできるようにしてもよい。
【0083】
文書操作装置100は、操作に先立ち、紙文書の紙面から公開鍵IDを認識し、公開鍵テーブルを参照することでその公開鍵IDに対応する公開鍵(e, n)を特定する。公開鍵を特定する以外の振舞いは、上述の実施形態又は最初の変形例と同じでよいので、これ以上の説明は省略する。
【0084】
以上に例示したポリシー管理装置10、チケット発行装置14、PC20、文書操作装置100の実行制御部110は、例えば、汎用のコンピュータに上述の各機能モジュールの処理を表すプログラムを実行させることにより実現される。ここで、コンピュータは、例えば、ハードウエアとしてCPU等のマイクロプロセッサ、ランダムアクセスメモリ(RAM)およびリードオンリメモリ(ROM)等のメモリ、HDD(ハードディスクドライブ)を制御するHDDコントローラ、各種I/O(入出力)インタフェース、ローカルエリアネットワークなどのネットワークとの接続のための制御を行うネットワークインタフェース等が、たとえばバスを介して接続された回路構成を有する。また、そのバスに対し、例えばI/Oインタフェース経由で、CDやDVDなどの可搬型ディスク記録媒体に対する読み取り及び/又は書き込みのためのディスクドライブ、フラッシュメモリなどの各種規格の可搬型の不揮発性記録媒体に対する読み取り及び/又は書き込みのためのメモリリーダ・ライタなどが接続されてもよい。上に例示した各機能モジュールの処理内容が記述されたプログラムがCDやDVD等の記録媒体を経由して、又はネットワーク等の通信手段経由で、ハードディスクドライブ等の固定記憶装置に保存され、コンピュータにインストールされる。固定記憶装置に記憶されたプログラムがRAMに読み出されマイクロプロセッサにより実行されることにより、上に例示した機能モジュール群が実現される。なお、それら機能モジュール群のうちの一部又は全部を、専用LSI(Large Scale Integration)、ASIC(Application Specific Integrated Circuit、特定用途向け集積回路)又はFPGA(Field Programmable Gate Array)等のハードウエア回路として構成してもよい。
【符号の説明】
【0085】
10 ポリシー管理装置、12 印刷装置、14 チケット発行装置、16 ディレクトリサーバ、20 PC、22 トークンリーダライタ、200 ユーザ、210 トークン、220 紙文書、222 公開鍵を表す画像コード、100 文書操作装置、120 トークンリーダライタ。
【特許請求の範囲】
【請求項1】
ユーザに許可される操作を表す文書操作条件をユーザまたはグループごとに含む1以上の文書保護方針情報を、それぞれ当該文書保護方針情報に割り当てられた秘密鍵及び公開鍵と対応づけて記憶する保護方針記憶装置と、
電子文書と、当該電子文書に割り当てられた文書保護方針情報と、の対応関係を記憶する対応関係記憶手段と、
電子文書の印刷を用紙に印刷する場合に、その電子文書に割り当てられた文書保護方針情報に対応する公開鍵を示す公開鍵情報を、その印刷結果の紙文書に埋め込む埋め込み手段と、
ユーザが携帯する携帯証明装置と、
前記携帯証明装置に対し、前記保護方針記憶装置に記憶された文書保護方針情報のうち当該ユーザまたは当該ユーザが属するグループに許可される文書操作条件を含んだ文書保護方針情報に対応する秘密鍵と当該携帯証明装置自体の固有情報とに基づき求められる認証補助情報と、当該文書保護方針情報に含まれる当該ユーザに許可される文書操作条件とを、当該文書保護方針情報に対応する公開鍵情報と対応づけて記憶させる制御を行う記憶制御手段と、
ユーザが入力した紙文書に対して当該ユーザが指示した操作を実行するための文書操作装置と、
を備え、
前記文書操作装置は、
前記紙文書に対する操作の指示を前記ユーザから受け付ける指示受付手段と、
前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段と、
前記公開鍵読取手段が読み取った公開鍵情報と、前記ユーザから指示された前記操作を示す情報と、認証用データと、を含む問合せを前記ユーザの前記携帯証明装置に送信する送信手段と、
前記送信手段が送った問合せに対して前記携帯証明装置から返信された検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段と、
を備え、
前記携帯証明装置は、
前記文書操作装置の前記送信手段から受け取った前記問合せに含まれる前記操作が、当該携帯証明装置が記憶する文書操作条件のうち当該問合せに含まれる前記公開鍵情報に対応する文書操作条件を満たす場合に、当該携帯証明装置が記憶する認証補助情報のうち当該問合せに含まれる前記公開鍵情報に対応する認証補助情報と、当該携帯証明装置の前記固有情報と、当該問合せに含まれる認証用データとを用いて、検証データを生成する検証データ生成手段と、
生成された検証データを前記文書操作装置に返信する返信手段と、
を備える、文書管理システム。
【請求項2】
前記記憶制御手段が前記携帯証明装置に対して記憶させる前記認証補助情報は、前記秘密鍵と前記固有情報とに加え、更に当該文書保護方針情報に含まれる当該ユーザまたは当該ユーザが属するグループに許可される文書操作条件に基づき求められる情報であり、
前記検証データ生成手段は、前記認証補助情報と前記固有情報と前記認証用データとに加え、更に前記携帯証明装置が記憶する文書操作条件のうち当該問合せに含まれる前記公開鍵情報に対応する文書操作条件に基づき前記検証データを生成する、
ことをと特徴とする請求項1に記載の文書管理システム。
【請求項3】
紙文書に対する操作の指示をユーザから受け付ける指示受付手段と、
前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段と、
前記公開鍵読取手段が読み取った公開鍵情報と、前記ユーザから指示された前記操作を示す情報と、認証用データと、を含む問合せを前記ユーザの携帯証明装置に送信する送信手段と、
前記送信手段が送った問合せに対して前記携帯証明装置から返信された検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段と、
を備える文書操作装置。
【請求項4】
コンピュータを、
紙文書に対する操作の指示をユーザから受け付ける指示受付手段、
前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段、
前記公開鍵読取手段が読み取った公開鍵情報と、前記ユーザから指示された前記操作を示す情報と、認証用データと、を含む問合せを前記ユーザの携帯証明装置に送信する送信手段、
前記送信手段が送った問合せに対して前記携帯証明装置から返信された検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段、
として機能させるためのプログラム。
【請求項5】
ユーザに許可される操作を表す文書操作条件をユーザまたはグループごとに含む1以上の文書保護方針情報を、それぞれ当該文書保護方針情報に割り当てられた秘密鍵及び公開鍵と対応づけて記憶する保護方針記憶装置と、
電子文書と、当該電子文書に割り当てられた文書保護方針情報と、の対応関係を記憶する対応関係記憶手段と、
電子文書の印刷を用紙に印刷する場合に、その電子文書に割り当てられた文書保護方針情報に対応する公開鍵を示す公開鍵情報を、その印刷結果の紙文書に埋め込む埋め込み手段と、
ユーザが携帯する携帯証明装置と、
前記携帯証明装置に対し、前記保護方針記憶装置に記憶された文書保護方針情報のうち当該ユーザまたは当該ユーザが属するグループに許可される文書操作条件を含んだ文書保護方針情報に対応する秘密鍵と当該携帯証明装置自体の固有情報とに基づき求められる認証補助情報と、当該文書保護方針情報に含まれる当該ユーザに許可される文書操作条件とを、当該文書保護方針情報に対応する公開鍵情報と対応づけて記憶させる制御を行う記憶制御手段と、
ユーザが入力した紙文書に対して当該ユーザが指示した操作を実行するための文書操作装置と、
を備え、
前記文書操作装置は、
前記紙文書に対する操作の指示を前記ユーザから受け付ける指示受付手段と、
前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段と、
前記公開鍵読取手段が読み取った公開鍵情報と、認証用データと、を含む問合せを前記ユーザの前記携帯証明装置に送信する送信手段と、
前記ユーザから指示された前記操作が、前記送信手段が送った問合せに対する前記携帯証明装置からの応答データに含まれる文書操作条件を満足し、且つ、当該応答データに含まれる認証補助情報及び検証補助データと、前記認証用データと、を用いて計算した検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段と、
を備え、
前記携帯証明装置は、
当該携帯証明装置が記憶する認証補助情報のうち前記文書操作装置の前記送信手段から受け取った問合せに含まれる前記認証用データと、当該携帯証明装置の前記固有情報と、を用いて、検証補助データを生成する検証補助データ生成手段と、
当該携帯証明装置が記憶する文書操作条件及び認証補助情報のうち前記問合せに含まれる前記公開鍵情報に対応する文書操作条件及び認証補助情報と、前記検証補助データとを含む応答データを前記文書操作装置に返信する返信手段と、
を備える、文書管理システム。
【請求項6】
前記記憶制御手段が前記携帯証明装置に対して記憶させる前記認証補助情報は、前記秘密鍵と前記固有情報とに加え、更に当該文書保護方針情報に含まれる当該ユーザまたは当該ユーザが属するグループに許可される文書操作条件に基づき求められる情報であり、
前記検証補助データ生成手段は、前記認証用データと前記固有情報とに加え、更に前記携帯証明装置が記憶する文書操作条件のうち当該問合せに含まれる前記公開鍵情報に対応する文書操作条件に基づき前記検証データを生成する、
ことをと特徴とする請求項5に記載の文書管理システム。
【請求項7】
紙文書に対する操作の指示を前記ユーザから受け付ける指示受付手段と、
前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段と、
前記公開鍵読取手段が読み取った公開鍵情報と、認証用データと、を含む問合せを前記ユーザの携帯証明装置に送信する送信手段と、
前記ユーザから指示された前記操作が、前記送信手段が送った問合せに対する前記携帯証明装置からの応答データに含まれる文書操作条件を満足し、且つ、当該応答データに含まれる認証補助情報及び検証補助データと、前記認証用データと、を用いて計算した検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段と、
を備える文書操作装置。
【請求項8】
紙文書に対する操作の指示を前記ユーザから受け付ける指示受付手段、
前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段、
前記公開鍵読取手段が読み取った公開鍵情報と、認証用データと、を含む問合せを前記ユーザの携帯証明装置に送信する送信手段、
前記ユーザから指示された前記操作が、前記送信手段が送った問合せに対する前記携帯証明装置からの応答データに含まれる文書操作条件を満足し、且つ、当該応答データに含まれる認証補助情報及び検証補助データと、前記認証用データと、を用いて計算した検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段、
として機能させるためのプログラム。
【請求項1】
ユーザに許可される操作を表す文書操作条件をユーザまたはグループごとに含む1以上の文書保護方針情報を、それぞれ当該文書保護方針情報に割り当てられた秘密鍵及び公開鍵と対応づけて記憶する保護方針記憶装置と、
電子文書と、当該電子文書に割り当てられた文書保護方針情報と、の対応関係を記憶する対応関係記憶手段と、
電子文書の印刷を用紙に印刷する場合に、その電子文書に割り当てられた文書保護方針情報に対応する公開鍵を示す公開鍵情報を、その印刷結果の紙文書に埋め込む埋め込み手段と、
ユーザが携帯する携帯証明装置と、
前記携帯証明装置に対し、前記保護方針記憶装置に記憶された文書保護方針情報のうち当該ユーザまたは当該ユーザが属するグループに許可される文書操作条件を含んだ文書保護方針情報に対応する秘密鍵と当該携帯証明装置自体の固有情報とに基づき求められる認証補助情報と、当該文書保護方針情報に含まれる当該ユーザに許可される文書操作条件とを、当該文書保護方針情報に対応する公開鍵情報と対応づけて記憶させる制御を行う記憶制御手段と、
ユーザが入力した紙文書に対して当該ユーザが指示した操作を実行するための文書操作装置と、
を備え、
前記文書操作装置は、
前記紙文書に対する操作の指示を前記ユーザから受け付ける指示受付手段と、
前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段と、
前記公開鍵読取手段が読み取った公開鍵情報と、前記ユーザから指示された前記操作を示す情報と、認証用データと、を含む問合せを前記ユーザの前記携帯証明装置に送信する送信手段と、
前記送信手段が送った問合せに対して前記携帯証明装置から返信された検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段と、
を備え、
前記携帯証明装置は、
前記文書操作装置の前記送信手段から受け取った前記問合せに含まれる前記操作が、当該携帯証明装置が記憶する文書操作条件のうち当該問合せに含まれる前記公開鍵情報に対応する文書操作条件を満たす場合に、当該携帯証明装置が記憶する認証補助情報のうち当該問合せに含まれる前記公開鍵情報に対応する認証補助情報と、当該携帯証明装置の前記固有情報と、当該問合せに含まれる認証用データとを用いて、検証データを生成する検証データ生成手段と、
生成された検証データを前記文書操作装置に返信する返信手段と、
を備える、文書管理システム。
【請求項2】
前記記憶制御手段が前記携帯証明装置に対して記憶させる前記認証補助情報は、前記秘密鍵と前記固有情報とに加え、更に当該文書保護方針情報に含まれる当該ユーザまたは当該ユーザが属するグループに許可される文書操作条件に基づき求められる情報であり、
前記検証データ生成手段は、前記認証補助情報と前記固有情報と前記認証用データとに加え、更に前記携帯証明装置が記憶する文書操作条件のうち当該問合せに含まれる前記公開鍵情報に対応する文書操作条件に基づき前記検証データを生成する、
ことをと特徴とする請求項1に記載の文書管理システム。
【請求項3】
紙文書に対する操作の指示をユーザから受け付ける指示受付手段と、
前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段と、
前記公開鍵読取手段が読み取った公開鍵情報と、前記ユーザから指示された前記操作を示す情報と、認証用データと、を含む問合せを前記ユーザの携帯証明装置に送信する送信手段と、
前記送信手段が送った問合せに対して前記携帯証明装置から返信された検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段と、
を備える文書操作装置。
【請求項4】
コンピュータを、
紙文書に対する操作の指示をユーザから受け付ける指示受付手段、
前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段、
前記公開鍵読取手段が読み取った公開鍵情報と、前記ユーザから指示された前記操作を示す情報と、認証用データと、を含む問合せを前記ユーザの携帯証明装置に送信する送信手段、
前記送信手段が送った問合せに対して前記携帯証明装置から返信された検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段、
として機能させるためのプログラム。
【請求項5】
ユーザに許可される操作を表す文書操作条件をユーザまたはグループごとに含む1以上の文書保護方針情報を、それぞれ当該文書保護方針情報に割り当てられた秘密鍵及び公開鍵と対応づけて記憶する保護方針記憶装置と、
電子文書と、当該電子文書に割り当てられた文書保護方針情報と、の対応関係を記憶する対応関係記憶手段と、
電子文書の印刷を用紙に印刷する場合に、その電子文書に割り当てられた文書保護方針情報に対応する公開鍵を示す公開鍵情報を、その印刷結果の紙文書に埋め込む埋め込み手段と、
ユーザが携帯する携帯証明装置と、
前記携帯証明装置に対し、前記保護方針記憶装置に記憶された文書保護方針情報のうち当該ユーザまたは当該ユーザが属するグループに許可される文書操作条件を含んだ文書保護方針情報に対応する秘密鍵と当該携帯証明装置自体の固有情報とに基づき求められる認証補助情報と、当該文書保護方針情報に含まれる当該ユーザに許可される文書操作条件とを、当該文書保護方針情報に対応する公開鍵情報と対応づけて記憶させる制御を行う記憶制御手段と、
ユーザが入力した紙文書に対して当該ユーザが指示した操作を実行するための文書操作装置と、
を備え、
前記文書操作装置は、
前記紙文書に対する操作の指示を前記ユーザから受け付ける指示受付手段と、
前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段と、
前記公開鍵読取手段が読み取った公開鍵情報と、認証用データと、を含む問合せを前記ユーザの前記携帯証明装置に送信する送信手段と、
前記ユーザから指示された前記操作が、前記送信手段が送った問合せに対する前記携帯証明装置からの応答データに含まれる文書操作条件を満足し、且つ、当該応答データに含まれる認証補助情報及び検証補助データと、前記認証用データと、を用いて計算した検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段と、
を備え、
前記携帯証明装置は、
当該携帯証明装置が記憶する認証補助情報のうち前記文書操作装置の前記送信手段から受け取った問合せに含まれる前記認証用データと、当該携帯証明装置の前記固有情報と、を用いて、検証補助データを生成する検証補助データ生成手段と、
当該携帯証明装置が記憶する文書操作条件及び認証補助情報のうち前記問合せに含まれる前記公開鍵情報に対応する文書操作条件及び認証補助情報と、前記検証補助データとを含む応答データを前記文書操作装置に返信する返信手段と、
を備える、文書管理システム。
【請求項6】
前記記憶制御手段が前記携帯証明装置に対して記憶させる前記認証補助情報は、前記秘密鍵と前記固有情報とに加え、更に当該文書保護方針情報に含まれる当該ユーザまたは当該ユーザが属するグループに許可される文書操作条件に基づき求められる情報であり、
前記検証補助データ生成手段は、前記認証用データと前記固有情報とに加え、更に前記携帯証明装置が記憶する文書操作条件のうち当該問合せに含まれる前記公開鍵情報に対応する文書操作条件に基づき前記検証データを生成する、
ことをと特徴とする請求項5に記載の文書管理システム。
【請求項7】
紙文書に対する操作の指示を前記ユーザから受け付ける指示受付手段と、
前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段と、
前記公開鍵読取手段が読み取った公開鍵情報と、認証用データと、を含む問合せを前記ユーザの携帯証明装置に送信する送信手段と、
前記ユーザから指示された前記操作が、前記送信手段が送った問合せに対する前記携帯証明装置からの応答データに含まれる文書操作条件を満足し、且つ、当該応答データに含まれる認証補助情報及び検証補助データと、前記認証用データと、を用いて計算した検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段と、
を備える文書操作装置。
【請求項8】
紙文書に対する操作の指示を前記ユーザから受け付ける指示受付手段、
前記紙文書に埋め込まれた公開鍵情報を読み取る公開鍵読取手段、
前記公開鍵読取手段が読み取った公開鍵情報と、認証用データと、を含む問合せを前記ユーザの携帯証明装置に送信する送信手段、
前記ユーザから指示された前記操作が、前記送信手段が送った問合せに対する前記携帯証明装置からの応答データに含まれる文書操作条件を満足し、且つ、当該応答データに含まれる認証補助情報及び検証補助データと、前記認証用データと、を用いて計算した検証データが、前記認証用データに対応するものであることを正しく検証できた場合に、前記ユーザが指示した前記操作を実行する操作実行手段、
として機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2011−60092(P2011−60092A)
【公開日】平成23年3月24日(2011.3.24)
【国際特許分類】
【出願番号】特願2009−210471(P2009−210471)
【出願日】平成21年9月11日(2009.9.11)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
【公開日】平成23年3月24日(2011.3.24)
【国際特許分類】
【出願日】平成21年9月11日(2009.9.11)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
[ Back to top ]