Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4997920B2 - 管理システム - Google Patents
[go: Go Back, main page]

JP4997920B2 - 管理システム - Google Patents

管理システム Download PDF

Info

Publication number
JP4997920B2
JP4997920B2 JP2006290164A JP2006290164A JP4997920B2 JP 4997920 B2 JP4997920 B2 JP 4997920B2 JP 2006290164 A JP2006290164 A JP 2006290164A JP 2006290164 A JP2006290164 A JP 2006290164A JP 4997920 B2 JP4997920 B2 JP 4997920B2
Authority
JP
Japan
Prior art keywords
security level
storage means
stored
key
wireless
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006290164A
Other languages
English (en)
Other versions
JP2008109387A (ja
Inventor
敦 成沢
雅紀 森田
護 坂井
統丈 石井
康仁 永友
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Seiko Epson Corp
Original Assignee
Seiko Epson Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Seiko Epson Corp filed Critical Seiko Epson Corp
Priority to JP2006290164A priority Critical patent/JP4997920B2/ja
Publication of JP2008109387A publication Critical patent/JP2008109387A/ja
Application granted granted Critical
Publication of JP4997920B2 publication Critical patent/JP4997920B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、移動端末装置において文書のセキュリティを管理する技術に関する。
今日、いわゆる電子ブックリーダのような小型の情報表示装置(移動端末装置)が普及し始めている。これらの情報表示装置は小型でありながら大量の情報を持ち運び閲覧することができるというメリットを有している。しかしその一方で、機密情報が持ち出される危険性が増すという問題がある。ここで、文書のセキュリティを管理する技術として、例えば、特許文献1に記載された技術がある。特許文献1は、情報が記載される紙に無線タグを埋め込むことにより、文書の複製や配布先を管理する技術を開示している。
特開2005−035095号公報
特許文献1によれば、文書がどこに配布されたかを知ることはできる。しかし、文書すなわちそこに記載された情報の持ち出しを制限することはできないという問題があった。これに対し本発明は、文書の持ち出しを制限することができる技術を提供する。
上述の課題を解決するため、本発明は、暗号鍵で暗号化された文書データを記憶するデータ記憶手段と、復号鍵を記憶した第1の無線書き込み装置および消去情報を記憶した第2の無線書き込み装置と非接触通信を行う非接触通信手段と、前記非接触通信手段を介して前記第1の無線書き込み装置から受信した前記復号鍵を記憶する端末鍵記憶手段と、前記非接触通信手段を介して前記第2の無線書き込み装置から受信した前記消去情報に基づいて、前記端末鍵記憶手段に記憶されている復号鍵を消去する記憶制御手段と、前記端末鍵記憶手段に復号鍵が記憶されている場合、その復号鍵を用いて、前記文書データ記憶手段に記憶された文書データを復号化する復号化手段と、前記復号化手段により復号化された文書データに従って画像を表示する画像表示手段とを有する移動端末装置を提供する。この移動端末装置が第2の無線書き込み装置と先に、第1の無線書き込み装置と後に通信した場合には、端末鍵記憶手段には、復号鍵が記憶される。この場合は、復号化手段は文書データを正しく復号化することができる。一方、移動端末装置が第1の無線書き込み装置と先に、第2の無線書き込み装置と後に通信した場合には、端末鍵記憶手段には、復号鍵が記憶されていない。この場合は、復号化手段は文書データを正しく復号化することができない。このように、この移動端末装置によれば、文書の持ち出しを制限することができる。
好ましい態様において、この移動端末装置は、前記非接触通信手段が、前記第1の無線書き込み装置または前記第2の無線書き込み装置から、セキュリティレベルを示す情報を受信し、前記非接触通信手段により受信されたセキュリティレベルを示す情報を記憶するセキュリティレベル記憶手段と、前記移動端末装置の動作に関する複数の処理のうち一の処理を行う処理制御手段と、前記複数の処理の各々について、その処理の識別子と、その処理に要求されるセキュリティレベルとを含むテーブルを記憶するテーブル記憶手段と、ユーザの操作に応じて、前記複数の処理から一の処理を選択する選択手段と、前記記憶手段に記憶されたセキュリティレベルが、前記テーブル記憶手段に記憶されたテーブルに含まれるセキュリティレベルのうち前記選択手段により選択された処理に対応するセキュリティレベルに適合しているか判断する判断手段とを有し、前記判断手段により、前記記憶手段に記憶されたセキュリティレベルが前記テーブル記憶手段に記憶されたテーブルに含まれるセキュリティレベルのうち前記選択手段により選択された処理に対応するセキュリティレベルに適合していると判断した場合、前記処理制御手段が、前記選択手段により選択された一の処理を行ってもよい。この移動端末装置によれば、復号鍵による管理に加えて、セキュリティレベルにより移動端末装置が行う処理を管理することができる。
別の好ましい態様において、この移動端末装置は、前記非接触通信手段が、前記第1の無線書き込み装置または前記第2の無線書き込み装置から、セキュリティレベルを示す情報を受信し、前記非接触通信手段により受信されたセキュリティレベルを示す情報を記憶するセキュリティレベル記憶手段と、前記移動端末装置の動作に関する複数の処理のうち一の処理を行う処理制御手段と、前記複数の処理の各々について、その処理の識別子と、その処理に要求されるセキュリティレベルとを含むテーブルを記憶するテーブル記憶手段と、ユーザの操作に応じて、前記複数の処理から一の処理を選択する選択手段と、前記記憶手段に記憶されたセキュリティレベルが、前記テーブル記憶手段に記憶されたテーブルに含まれるセキュリティレベルのうち前記選択手段により選択された処理に対応するセキュリティレベルに適合しているか判断する判断手段と前記判断手段により、前記記憶手段に記憶されたセキュリティレベルが前記テーブル記憶手段に記憶されたテーブルに含まれるセキュリティレベルのうち前記選択手段により選択された処理に対応するセキュリティレベルに適合しないと判断された回数を記憶する回数記憶手段と、前記回数記憶手段に記憶された回数がしきい値を超えた場合、前記移動端末装置をロックするロック手段とを有してもよい。この移動端末装置によれば、一定の場合には、移動端末装置をロックすることができる。
さらに別の好ましい態様において、この移動端末装置は、前記非接触通信手段が、前記第2の無線書き込み装置から、前記データ記憶手段に記憶されたデータの消去を要求する命令を受信し、前記記憶制御手段が、前記非接触通信手段により受信された命令に従って、前記データ記憶手段に記憶されたデータを消去してもよい。この移動端末装置によれば、第2の無線書き込み装置と通信した後は、文書データを消去することができる。
また、本発明は、復号鍵を記憶した第1の無線書き込み装置と、消去情報を記憶した第2の無線書き込み装置と、移動端末装置とを有する管理システムであって、前記移動端末装置が、暗号鍵で暗号化された文書データを記憶するデータ記憶手段と、復号鍵を記憶した第1の無線書き込み装置および消去情報を記憶した第2の無線書き込み装置と非接触通信を行う非接触通信手段と、前記非接触通信手段を介して前記第1の無線書き込み装置から受信した前記復号鍵を記憶する端末鍵記憶手段と、前記非接触通信手段を介して前記第2の無線書き込み装置から受信した前記消去情報に基づいて、前記端末鍵記憶手段に記憶されている復号鍵を消去する記憶制御手段と、前記端末鍵記憶手段に復号鍵が記憶されている場合、その復号鍵を用いて、前記文書データ記憶手段に記憶された文書データを復号化する復号化手段と、前記復号化手段により復号化された文書データに従って画像を表示する画像表示手段とを有することを特徴とする管理システムを提供する。この管理システムによれば、移動端末装置が第2の無線書き込み装置と先に、第1の無線書き込み装置と後に通信した場合には、端末鍵記憶手段には、復号鍵が記憶される。この場合は、復号化手段は文書データを正しく復号化することができる。一方、移動端末装置が第1の無線書き込み装置と先に、第2の無線書き込み装置と後に通信した場合には、端末鍵記憶手段には、復号鍵が記憶されていない。この場合は、復号化手段は文書データを正しく復号化することができない。このように、この管理システムによれば、文書の持ち出しを制限することができる。
さらに、本発明は、暗号鍵で暗号化された文書データを記憶するデータ記憶手段と、復号鍵を記憶した第1の無線書き込み装置および消去情報を記憶した第2の無線書き込み装置と非接触通信を行う非接触通信手段と、前記第1の無線書き込み装置または前記第2の無線書き込み装置から受信した情報を記憶する鍵記憶手段とを有するコンピュータ装置に、前記非接触通信手段を介して前記第1の無線書き込み装置から受信した前記復号鍵を、前記鍵記憶手段に記憶する鍵記憶処理と、前記非接触通信手段を介して前記第2の無線書き込み装置から受信した前記消去情報に基づいて、前記鍵記憶手段に記憶されている復号鍵を消去する記憶制御処理と、前記端末鍵記憶手段に復号鍵が記憶されている場合、その復号鍵を用いて、前記文書データ記憶手段に記憶された文書データを復号化する復号化処理と、前記復号化処理により復号化された文書データに従って画像を表示する画像表示処理とを実行させるプログラムを提供する。このプログラムによれば、移動端末装置が第2の無線書き込み装置と先に、第1の無線書き込み装置と後に通信した場合には、端末鍵記憶手段には、復号鍵が記憶される。この場合は、復号化手段は文書データを正しく復号化することができる。一方、移動端末装置が第1の無線書き込み装置と先に、第2の無線書き込み装置と後に通信した場合には、端末鍵記憶手段には、復号鍵が記憶されていない。この場合は、復号化手段は文書データを正しく復号化することができない。このように、このプログラムによれば、文書の持ち出しを制限することができる。
1.構成
図1は、本発明の一実施形態に係る文書管理システム1の機能構成を示すブロック図である。文書管理システム1は、文書表示装置100と、ゲート装置200と、ゲート装置300とを有する。文書表示装置100は、電子ペーパーまたは電子ブックリーダなどの、持ち運び可能な画像表示装置すなわち移動端末装置である。文書記憶部101は、文書データDを記憶する。文書データDは、暗号鍵Kにより暗号化されている。無線通信部102は、ゲート装置200またはゲート装置300と無線通信を行う。文書表示装置100は、ゲート装置200またはゲート装置300から、無線通信部102を介して鍵の情報を取得する。鍵記憶部103は、取得された鍵を記憶する。復号化部104は、鍵記憶部103に記憶された鍵を用いて、文書データDを復号化する。表示部105は、復号化された文書データDに従って画像を表示する。
ゲート装置200およびゲート装置300は、求められる機密度が異なる2つの領域の間に設置される装置である。ゲート装置200およびゲート装置300は、それぞれ、無線読み取り装置および無線書き込み装置(いわゆる無線リーダ/ライタ)としての機能を有する。例えば、ゲート装置200およびゲート装置300は、研究所の実験室の出入り口に設置される。いま、実験室の内部は機密度が高く、実験室の外部は機密度が低い場合を例に説明する。すなわち、実験室の内部においては、文書表示装置100に記憶された文書は自由に閲覧可能であるが、実験室の外部においては、文書の閲覧は制限される。
ゲート装置200において、記憶部201は、文書データDを復号化する鍵Kを記憶している。鍵Kは、文書データDの暗号鍵である鍵Kに対して正当な鍵である。無線通信部202は、無線通信により復号鍵Kを文書表示装置100に送信する。ゲート装置300において、記憶部301は、復号鍵Kと異なる鍵である鍵Kを記憶している。鍵Kは、文書データDの暗号鍵である鍵Kに対して正当な鍵ではない。無線通信部302は、無線通信により鍵Kを文書表示装置100に送信する。
図2は、文書表示装置100のハードウェア構成を示すブロック図である。CPU(Central Processing Unit)110は、文書表示装置100の要素を制御する制御装置である。ROM(Read Only Memory)120は、文書表示装置100の動作に必要なプログラムやデータを記憶した記憶装置である。RAM130は、CPU110がプログラムを実行する際の作業エリアとして機能する記憶装置である。VRAM(Video Random Access Memory)131は、表示装置151に表示させる画像を記憶する記憶装置である。I/O(Input/Output)140は、入出力インターフェースである。キーボタン141は、ユーザの操作に応じた信号をI/O140に出力する。無線モジュール400は、文書表示装置100に無線通信機能を提供するものである。無線モジュール400の詳細については後述する。以下の説明において、便宜上、文書表示装置100のうち無線モジュール400以外の部分を「文書表示装置100本体」という。
表示制御部150は、VRAM131に記憶された画像データに従って表示装置151を駆動する。表示装置151は、コレステリック液晶などの記憶性液晶層を有する表示装置である。電源制御部160は、バッテリー161からの電力の供給を制御する制御装置である。バッテリー161は、Ni−Cd系電池、Liイオン系電池などの2次電池である。通信制御部170は、通信用IF(Interface)171を介した他の機器との通信を制御する制御装置である。通信用IF171は、USB(Universal Serial Bus)、Blue Tooth(登録商標)、無線LAN(Local Area Network)などの規格に準拠した通信を行うインターフェースである。記憶装置制御部180は、内蔵記憶装置181およびリムーバブルメディア183を制御する制御装置である。内蔵記憶装置181は、フラッシュメモリ等の書き換え可能な不揮発性の記憶装置である。リムーバブルメディア183は、メモリIF182を介して文書表示装置100に接続された、着脱可能な記憶装置である。リムーバブルメディア183は、例えば、SD(登録商標)メモリカードまたはメモリースティック(登録商標)である。以上の要素は、バス190を介して接続されている。
図3は、無線モジュール400のハードウェア構成を示すブロック図である。CPU410は、無線モジュール400の要素を制御する制御装置である。ROM420は、無線モジュール400の動作に必要なプログラムやデータを記憶した記憶装置である。RAM430は、CPU410がプログラムを実行する際のワークエリアとして機能する記憶装置である。EEPROM(Electronically Erasable and Programmable Read Only Memory)431は、取得した暗号鍵やセキュリティレベルなどのデータを記憶する記憶装置である。暗号エンジン440は、トリプルデス(Triple DES)方式やRSA(Rivest Shamir Adleman)方式などの公知のアルゴリズムに従って暗号化または復号化を行うプロセッサである。送信部450は、アンテナ452を介してデータを無線送信する送信機である。受信部451は、アンテナ452を介してデータを受信する受信機である。I/O480は、入出力インターフェースである。無線モジュール400は、I/O480およびI/O140を介して、文書表示装置100の他の要素とデータや信号の入出力を行う。以上の要素は、バス490を介して相互に接続されている。なお、無線モジュール400は、文書表示装置100から着脱可能であってもよい。
なお、無線モジュール400は、文書表示装置100の本体とは別に独自の電源を有していてもよい。文書表示装置100においては、省電力化のため、電源制御部160が電力の供給または停止を細かく制御しているが、無線モジュール400には常に電力が供給されている方が好ましいからである。また、文書表示装置100とゲート装置との通信可能距離という観点からも、無線モジュール400は独自の電源を有するアクティブな装置であることが好ましい。例えば、無線モジュール400は、UHF(Ultra High Frequency)帯のRFID(Radio Frequency Identification)を用いたものでもよい。
図4は、ゲート装置200のハードウェア構成を示すブロック図である。CPU210は、ゲート装置200の要素を制御する制御装置である。ROM220は、ゲート装置200の動作に必要なプログラム等を記憶した記憶装置である。RAM230は、CPU210がプログラムを実行する際のワークエリアとして機能するプログラムである。送信部240は、アンテナ260を介してデータを無線送信する送信機である。受信部250は、アンテナ260を介してデータを受信する受信機である。EEPROM270は、復号鍵KおよびセキュリティレベルLを記憶する記憶装置である。以上の要素は、バス290を介して相互に接続されている。
図5は、ゲート装置300のハードウェア構成を示すブロック図である。ゲート装置300は、CPU310、ROM320、RAM330、送信部340、受信部350、アンテナ360、EEPROM370、およびバス390を有する。EEPROM370は、不正鍵KおよびセキュリティレベルLを記憶している。それ以外の要素の機能はゲート装置200と同様である。文書表示装置100、ゲート装置200およびゲート装置300がそれぞれ制御プログラムを実行することにより、文書管理システム1は、図1に示される機能を備える。
2.動作
図6は、文書管理システム1の概要を説明するイメージ図である。ゲート装置200およびゲート装置300は、セキュリティの高い部屋の出入り口に設置されている。図6において右手が高セキュリティの部屋であり、左手が低セキュリティの部屋である。ゲート装置200およびゲート装置300は、低セキュリティの部屋と高セキュリティの部屋の間の移動経路(図中点線の矢印)において、異なる位置に配置されている。具体的には、より高セキュリティの部屋に近い位置にゲート装置200が、より低セキュリティの部屋に近い位置にゲート装置300が配置されている。ユーザは、文書表示装置100を持ったまま高セキュリティの部屋に出入りできるが、ゲート装置200およびゲート装置300が配置されているところを通過しなければ高セキュリティの部屋に入ることはできない。ユーザ(すなわち文書表示装置100)がゲート装置300の通信可能領域に入ると、文書表示装置100はゲート装置300と通信を行う。また、ユーザがゲート装置200の通信可能領域に入ると、文書表示装置100はゲート装置200と通信を行う。
図7は、文書管理システム1の動作を示す図である。高セキュリティの部屋に入るときと高セキュリティの部屋から出るときはともに、文書管理システム1は基本的に図7のフローに従って動作する。以下では、高セキュリティの部屋に入るときと高セキュリティの部屋から出るときとに分けて、文書管理システム1の動作を説明する。
2−1.高セキュリティの部屋へ入るときの動作
ユーザが文書表示装置100を持って高セキュリティの部屋に入るとき、文書表示装置100の無線モジュール400は、まずゲート装置300と通信し、次にゲート装置200と通信する。まずは文書表示装置100とゲート装置300との通信について説明する。
ステップS100において、ゲート装置300のCPU310は、文書表示装置100の認証を行う。認証処理は、公知の技術を用いて行われる。ゲート装置300は、送信部340およびアンテナ360を介して、移動端末装置(ここでは文書表示装置100)にIDの送信を要求する要求信号を出力している。無線モジュール400は、要求信号を受信すると、自己のIDなど、認証処理に必要な情報を送信する。ゲート装置300のCPU310は、受信した情報に基づいて、文書表示装置100の認証処理を行う。文書表示装置100が正当な端末であると認証されなかった場合、ゲート装置300のCPU310は以下の処理を行わない。文書表示装置100が正当な端末であると認証された場合、ゲート装置300のCPU310は、EEPROM370から、鍵情報およびセキュリティレベルを読み出す。EEPROM370は、鍵情報としてKを、セキュリティレベルとしてLを記憶している。CPU310は、鍵およびセキュリティレベルを示す情報を含む信号を、文書表示装置100に送信する。
ゲート装置300(ゲート装置200も同様である)は、一定の時間間隔で要求信号を出力してもよい。あるいは、文書表示装置100が、認証処理の開始を要求する信号を出力してもよい。このように、認証処理のトリガとなる処理はどのようなものでもよい。
ステップS110において、無線モジュール400のCPU410は、ゲート装置300から受信した鍵KおよびセキュリティレベルLをEEPROM431に記憶する。ここで、EEPROM431に既に鍵およびセキュリティレベルが記憶されている場合、CPU410は、既に記憶されている鍵およびセキュリティレベルを、受信した鍵KおよびセキュリティレベルLで上書きする。すなわち、それ以前に記憶されていた鍵およびセキュリティレベルは消去される。このように、ゲート装置300との通信が完了すると、無線モジュール400のEEPROM431には、鍵KおよびセキュリティレベルLが記憶されている。例えば、L=0である。なお、以下において、セキュリティレベルが0〜10の整数で表され、数字が大きいほど高セキュリティを示す例について説明する。
ユーザが高セキュリティの部屋へ向かって歩いていくと、文書表示装置100はゲート装置200と通信可能な領域に達する。こうして、文書表示装置100は、ゲート装置200と通信を行う。文書表示装置100とゲート装置200との通信は、文書表示装置100とゲート装置300との通信と同様に行われる。ただし、ゲート装置200から送信される鍵およびセキュリティレベルが、鍵KおよびセキュリティレベルLである点が異なっている。ここで、例えば、L=10である。無線モジュール400のCPU410は、ゲート装置200から受信した鍵KおよびセキュリティレベルLをEEPROM431に記憶する。ここで、EEPROM431には既にKおよびセキュリティレベルLが記憶されているが、CPU410は、これらのデータを、受信した鍵KおよびセキュリティレベルLで上書きする。すなわち、高セキュリティの部屋に入った時点で、無線モジュール400のEEPROM431には、鍵KおよびセキュリティレベルLが記憶されている。
以上のように、低セキュリティの領域から高セキュリティの部屋に入ったとき、無線モジュール400のEEPROM431には、鍵KおよびセキュリティレベルLが記憶されている。この状態で、ユーザがキーボタン141を操作して文書データDを表示する命令を入力するなど、トリガとなる処理が行われた場合、文書表示装置100は、ステップS120〜S140の処理を行う。
ステップS120において、CPU110は、レベルチェックを行う。「レベルチェック」とは、要求されている処理のセキュリティレベルと文書表示装置100のセキュリティレベルとが適合しているかチェックする処理をいう。レベルチェックは、例えば次のように行われる。CPU110は、無線モジュール400に対し、現在のセキュリティレベルを返すように要求する命令を出力する。この命令が入力されると、無線モジュール400のCPU410は、EEPROM431に記憶されているセキュリティレベルを読み出す。CPU410は、読み出したセキュリティレベルをI/O480を介して文書表示装置100本体に出力する。文書表示装置100のCPU110は、無線モジュール400から出力されたセキュリティレベルおよび内蔵記憶装置181に記憶された処理レベルテーブルに基づいて、レベルチェックを行う。
図8は、処理レベルテーブルを例示する図である。内蔵記憶装置181(ROM120、リムーバブルメディア183など別の記憶装置でもよい)は、図8に示されるような処理レベルテーブルをあらかじめ記憶している。処理レベルテーブルは、処理と、その処理を実行するのに必要なセキュリティレベルLREQとを含むデータの組を複数有している。例えば「ナビゲート操作」に必要なセキュリティレベルLREQは「1」である。また、現時点での文書表示装置100のセキュリティレベルはLである。すなわち、Lが1以上であれば、CPU110は、要求されている処理のセキュリティレベルと文書表示装置100のセキュリティレベルとが適合していると判断する。また別の例では、「設定変更」に必要なセキュリティレベルLREQは「7」である。すなわち、Lが7以上であれば、CPU110は、要求されている処理のセキュリティレベルと文書表示装置100のセキュリティレベルとが適合していると判断する。Lが7未満であれば、CPU110は、要求されている処理のセキュリティレベルと文書表示装置100のセキュリティレベルとが適合していないと判断する。
再び図7を参照して説明する。要求されている処理のセキュリティレベルと文書表示装置100のセキュリティレベルとが適合しないと判断された場合(S120:NG)、CPU110は、処理をステップS150に移行する。要求されている処理のセキュリティレベルと文書表示装置100のセキュリティレベルとが適合していると判断された場合(S120:OK)、CPU110は、処理をステップS130に移行する。いま、L=10であるので、要求されている処理のセキュリティレベルと文書表示装置100のセキュリティレベルとが適合していると判断される。
ステップS130において、CPU110は、要求されている処理、ここでは、文書データDの表示の前段階として、文書データDを復号化する処理を行う。この処理は例えば以下のように行われる。CPU110は、文書データDおよび文書データDの復号化命令を、I/O140を介して無線モジュール400に出力する。I/O480を介して復号化命令が入力されると、無線モジュール400のCPU410は、入力された命令に従って処理を行う。いま、入力された命令は復号化命令であるので、まず、CPU410は、入力された文書データDをRAM430に記憶する。次に、CPU410は、EEPROM431に記憶された鍵(ここでは、鍵K)を用いて、文書データDを復号化するように、暗号エンジン440を制御する。暗号エンジン440は、鍵Kを用いて文書データDを復号化する。鍵Kは文書データDを暗号化した際に用いられた鍵Kに対する正当な復号鍵であるから、文書データDは正常に復号化される。CPU410は、復号化された文書データDをRAM430に記憶する。CPU410は、復号化された文書データDを、I/O480を介して文書表示装置100本体に出力する。文書表示装置100のCPU110は、入力された文書データDをRAM130に記憶する。
ステップS140において、CPU110は、文書を表示する。CPU110は、文書データDのうち表示させる画面に関するものをVRAM131に記憶させる。表示制御部150は、VRAM131に記憶されたデータに従って表示装置151を制御する。ここで、文書データDは正常に復号化されているので、正常な文書(の一部)が表示装置151に表示される。
2−2.高セキュリティの部屋から出るときの動作
ユーザが文書表示装置100を持って高セキュリティの部屋から出ると、先ほどとは逆に、文書表示装置100の無線モジュール400は、まずゲート装置200と通信し、次にゲート装置300と通信する。すなわち、高セキュリティの部屋から出た時点で、無線モジュール400のEEPROM431には、鍵KおよびセキュリティレベルLが記憶されている。
いまL=0かつLREQ=5であるので、ステップS120のレベルチェックにおいて、要求されている処理のセキュリティレベルと文書表示装置100のセキュリティレベルとが適合しないと判断される。したがって、ステップS150において、CPU110は、その旨を示すメッセージを表示装置151に表示させる。
例えばL=5であった場合、ステップS120のレベルチェックにおいて、要求されている処理のセキュリティレベルと文書表示装置100のセキュリティレベルとは適合すると判断される。しかし、EEPROM431に記憶されている鍵は、不正鍵Kである、すなわち、EEPROM431に記憶されている鍵は、文書データDの暗号鍵である鍵Kに対して正当な鍵ではない。したがって、暗号エンジン440は、文書データDを正常に復号化することができない。よって、ステップS140において表示装置151に表示される画像は、意味不明なものである。
以上で説明したように、本実施形態によれば、文書表示装置100に記憶されている鍵は、高セキュリティの領域に入ると正当なものに書き換えられ、低セキュリティの領域に入ると不正なものに書き換えられる。したがって、文書データDの持ち出しを制限することができる。
3.他の実施形態
本発明は上述の実施形態に限定されるものではなく、種々の変形実施が可能である。
上述の実施形態においては、ゲート装置200およびゲート装置300は、鍵およびセキュリティレベルの2つの情報を文書表示装置100に送信した。しかし、ゲート装置200およびゲート装置300は、セキュリティレベルを送信しなくてもよい。すなわち、文書表示装置100は、セキュリティレベルに基づく処理制限機能を有さなくてもよい。この場合、図7のステップS120の処理は行われない。すなわち、文書表示装置100において、正当な復号鍵が記憶されていれば文書が正常に表示され、不正な鍵が記憶されていれば意味不明の画像が表示される。
上述の実施形態において、高セキュリティ側に位置するゲート装置200が正当な復号鍵を無線モジュール400に書き込み、低セキュリティ側に位置するゲート装置300が不正な鍵を無線モジュール400に書き込む例について説明した。しかし、ゲート装置200およびゲート装置300の役割分担は上述の実施形態で説明したものに限られない。例えば、通信を行った時刻に基づいて入退室の方向が判断され、その判断結果に応じてゲート装置から文書表示装置100に送信されるデータが決定されてもよい。詳細には次のとおりである。ゲート装置200およびゲート装置300には、サーバ装置が接続されている。サーバ装置はタイマーなどにより時刻を計測する機能を有している。また、サーバ装置は、正当な復号鍵Kおよび不正な鍵Kを記憶している。ゲート装置200およびゲート装置300は、文書表示装置100と通信したことを示す信号をサーバ装置に出力する。サーバ装置は、ゲート装置の識別子と、そのゲート装置と通信した時刻とを含むデータの組を記憶する。サーバ装置は、このデータに基づいて入退室の方向を判断する。すなわち、先にゲート装置200と、後にゲート装置300と通信した場合、サーバ装置は、高セキュリティの部屋から出たと判断する。先にゲート装置300と、後にゲート装置200と通信した場合、サーバ装置は、高セキュリティの部屋に入ったと判断する。高セキュリティの部屋に入ったと判断された場合、サーバ装置は、鍵Kを文書表示装置100に送信するように、ゲート装置200を制御する。高セキュリティの部屋から出たと判断された場合、サーバ装置は、鍵Kを文書表示装置100に送信するように、ゲート装置300を制御する。
なお、時刻に基づいて入退室の方向を判断する代わりに、2つのゲート装置の電界強度に基づいて移動方向が判断されてもよい。
上述の実施形態においては、ゲート装置300は、文書表示装置100に対し不正鍵Kを送信した。しかし、ゲート装置300が送信する情報は暗号鍵に限られない。正当な復号鍵K以外のデータであれば、どのようなデータが送信されてもよい。例えば、無意味なビット列が送信されてもよい。あるいは、EEPROM431に記憶された鍵または正当な復号鍵Kを消去する命令が送信されてもよい。この命令を受信した場合、CPU410は、EEPROM431に記憶されている鍵を消去する。要は、文書表示装置100のEEPROM431に記憶された鍵データを消去させるものであれば、どのような情報が用いられてもよい。
上述の実施形態においては、ゲート装置300は、文書表示装置100に対し不正鍵Kを送信した。しかし、ゲート装置300は、不正鍵Kの代わりに、文書データDの消去を要求する命令(この命令は文書データDの識別子を含んでいてもよい)を文書表示装置100に送信してもよい。この命令を受信した文書表示装置100は、内蔵記憶装置181から文書データDを消去してもよい。すなわち、無線モジュール400は、文書表示装置100本体に対し、文書データDを消去させる割り込み処理を行ってもよい。
上述の実施形態においては、要求されている処理のセキュリティレベルと文書表示装置100のセキュリティレベルとが適合しない場合、要求されている処理が行われなかった。しかし、この場合でも、要求されている処理が行われてもよい。このとき、CPU110は、セキュリティレベルが適合しない処理が行われたことを示すログデータを生成し、これを内蔵記憶装置181に記憶してもよい。あるいは、CPU110は、セキュリティレベルが適合しない処理が行われた回数をRAM130に記憶してもよい。さらに、一定回数以上セキュリティレベルが適合しない処理が行われた場合、CPU110は、文書表示装置100をロックしてもよい。すなわち、ユーザからのいかなる操作も受け付けない状態としてもよい。
上述の実施形態においては、ゲート装置200およびゲート装置300がそれぞれ別個の装置である例について説明した。しかし、単一の装置が、ゲート装置200およびゲート装置300の機能を有してもよい。この場合、この装置は、アンテナ、送信部および受信部をそれぞれ2つ有していればよく、CPUやRAMなどは1つ有していればよい。また、メモリおよびその制御装置は、記憶するデータごとに個別に設けられてもよい。
上述の実施形態においては、暗号鍵と復号鍵が異なる鍵である例について説明した。しかし、暗号鍵と復号鍵が同一である、いわゆる共通鍵暗号のシステムが用いられてもよい。
上述の実施形態においては、暗号鍵および復号鍵の更新のタイミングについては特に言及しなかったが、所定のタイミングで(例えば、一定期間経過後に、あるいは、通信を行うたびに毎回)暗号鍵および復号鍵を新しいものに更新してもよい。あるいは、ゲート装置は、1回の通信で複数の復号鍵を移動端末装置に送信してもよい。このとき、ゲート装置は、復号鍵と文書データの対応関係を示す情報を移動端末装置に送信してもよい。移動端末装置は、複数の復号鍵の中から、処理対象の文書データに対応する復号鍵を用いて文書データを復号化することができる。
一実施形態に係る文書管理システム1の機能構成を示すブロック図である。 文書表示装置100のハードウェア構成を示すブロック図である。 無線モジュール400のハードウェア構成を示すブロック図である。 ゲート装置200のハードウェア構成を示すブロック図である。 ゲート装置300のハードウェア構成を示すブロック図である。 文書管理システム1の概要を説明するイメージ図である。 文書管理システム1の動作を示す図である。 処理レベルテーブルを例示する図である。
符号の説明
1…文書管理システム、100…文書表示装置、101…文書記憶部、102…無線通信部、103…鍵記憶部、104…復号化部、105…表示部、110…CPU、120…ROM、130…RAM、131…VRAM、140…I/O、141…キーボタン、150…表示制御部、151…表示装置、160…電源制御部、161…バッテリー、170…通信制御部、171…通信用IF、180…記憶装置制御部、181…内蔵記憶装置、182…メモリIF、183…リムーバブルメディア、190…バス、200…ゲート装置、201…記憶部、202…無線通信部、210…CPU、220…ROM、230…RAM、240…送信部、250…受信部、260…アンテナ、270…EEPROM、290…バス、300…ゲート装置、301…記憶部、302…無線通信部、310…CPU、320…ROM、330…RAM、340…送信部、350…受信部、360…アンテナ、370…EEPROM、390…バス、400…無線モジュール、410…CPU、420…ROM、430…RAM、431…EEPROM、440…暗号エンジン、450…送信部、451…受信部、452…アンテナ、460…バッテリ、480…I/O、490…バス

Claims (4)

  1. 1の無線書き込み装置と、前記第1の無線書き込み装置より高セキュリティ側に配置された第2の無線書き込み装置と、移動端末装置とを有
    前記第1の無線書き込み装置が、
    復号鍵を記憶した第1の記憶手段と、
    前記第1の無線書き込み装置を基準とする所定の領域内に入った前記移動端末装置に、前記第1の記憶手段に記憶されている前記復号鍵を非接触通信で送信する第1の送信手段と
    を有し、
    前記第2の無線書き込み装置が、
    消去情報を記憶した第2の記憶手段と、
    前記第2の無線書き込み装置を基準とする所定の領域内に入った前記移動端末装置に、前記第2の記憶手段に記憶されている前記消去情報を非接触通信で送信する第2の送信手段と
    を有し、
    前記移動端末装置が、
    暗号鍵で暗号化された文書データを記憶するデータ記憶手段と、
    前記第1の無線書き込み装置または前記第2の無線書き込み装置と非接触通信を行う非接触通信手段と、
    前記非接触通信手段を介して前記第1の無線書き込み装置から受信した前記復号鍵および前記非接触通信手段を介して前記第2の無線書き込み装置から受信した前記消去情報のいずれか一方を記憶する端末鍵記憶手段と、
    前記非接触通信手段を介して前記第1の無線書き込み装置または前記第2の無線書き込み装置から前記復号鍵または前記消去情報を受信した場合受信した前記復号鍵または前記消去情報で、前記端末鍵記憶手段に記憶されている情報を上書きする記憶制御手段と、
    前記端末鍵記憶手段に復号鍵が記憶されている場合、その復号鍵を用いて、前記文書データ記憶手段に記憶された文書データを復号化する復号化手段と、
    前記復号化手段により復号化された文書データに従って画像を表示する画像表示手段と
    を有する
    ことを特徴とする管理システム。
  2. 前記非接触通信手段が、前記第1の無線書き込み装置または前記第2の無線書き込み装置から、セキュリティレベルを示す情報を受信し、
    前記移動通信端末が、
    前記非接触通信手段により受信されたセキュリティレベルを示す情報を記憶するセキュリティレベル記憶手段と、
    前記移動端末装置の動作に関する複数の処理のうち一の処理を行う処理制御手段と、
    前記複数の処理の各々について、その処理の識別子と、その処理に要求されるセキュリティレベルとを含むテーブルを記憶するテーブル記憶手段と、
    ユーザの操作に応じて、前記複数の処理から一の処理を選択する選択手段と、
    前記記憶手段に記憶されたセキュリティレベルが、前記テーブル記憶手段に記憶されたテーブルに含まれるセキュリティレベルのうち前記選択手段により選択された処理に対応するセキュリティレベルに適合しているか判断する判断手段と
    を有し、
    前記判断手段により、前記記憶手段に記憶されたセキュリティレベルが前記テーブル記憶手段に記憶されたテーブルに含まれるセキュリティレベルのうち前記選択手段により選択された処理に対応するセキュリティレベルに適合していると判断した場合、前記処理制御手段が、前記選択手段により選択された一の処理を行う
    ことを特徴とする請求項1に記載の管理システム
  3. 前記非接触通信手段が、前記第1の無線書き込み装置または前記第2の無線書き込み装置から、セキュリティレベルを示す情報を受信し、
    前記移動通信端末が、
    前記非接触通信手段により受信されたセキュリティレベルを示す情報を記憶するセキュリティレベル記憶手段と、
    前記移動端末装置の動作に関する複数の処理のうち一の処理を行う処理制御手段と、
    前記複数の処理の各々について、その処理の識別子と、その処理に要求されるセキュリティレベルとを含むテーブルを記憶するテーブル記憶手段と、
    ユーザの操作に応じて、前記複数の処理から一の処理を選択する選択手段と、
    前記記憶手段に記憶されたセキュリティレベルが、前記テーブル記憶手段に記憶されたテーブルに含まれるセキュリティレベルのうち前記選択手段により選択された処理に対応するセキュリティレベルに適合しているか判断する判断手段と
    前記判断手段により、前記記憶手段に記憶されたセキュリティレベルが前記テーブル記憶手段に記憶されたテーブルに含まれるセキュリティレベルのうち前記選択手段により選択された処理に対応するセキュリティレベルに適合しないと判断された回数を記憶する回数記憶手段と、
    前記回数記憶手段に記憶された回数がしきい値を超えた場合、前記移動端末装置をロックするロック手段と
    を有する請求項1に記載の管理システム
  4. 前記非接触通信手段が、前記第2の無線書き込み装置から、前記データ記憶手段に記憶されたデータの消去を要求する命令を受信し、
    前記記憶制御手段が、前記非接触通信手段により受信された命令に従って、前記データ記憶手段に記憶されたデータを消去する
    ことを特徴とする請求項1に記載の管理システム
JP2006290164A 2006-10-25 2006-10-25 管理システム Expired - Fee Related JP4997920B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006290164A JP4997920B2 (ja) 2006-10-25 2006-10-25 管理システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006290164A JP4997920B2 (ja) 2006-10-25 2006-10-25 管理システム

Publications (2)

Publication Number Publication Date
JP2008109387A JP2008109387A (ja) 2008-05-08
JP4997920B2 true JP4997920B2 (ja) 2012-08-15

Family

ID=39442382

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006290164A Expired - Fee Related JP4997920B2 (ja) 2006-10-25 2006-10-25 管理システム

Country Status (1)

Country Link
JP (1) JP4997920B2 (ja)

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004086441A (ja) * 2002-08-26 2004-03-18 Ntt Data Corp コンテンツ管理システム
JP4291068B2 (ja) * 2003-07-30 2009-07-08 大日本印刷株式会社 Icカード及びicカードシステム
JP2006039708A (ja) * 2004-07-23 2006-02-09 Matsushita Electric Ind Co Ltd 情報処理システム
US20060015752A1 (en) * 2004-07-16 2006-01-19 Promega Corporation Memory having RFID tag, decryption technique for use with the memory, and memory reader or writer for use with the memory
WO2006027723A1 (en) * 2004-09-06 2006-03-16 Koninklijke Philips Electronics N.V. Portable storage device and method for exchanging data
JP4763453B2 (ja) * 2005-12-28 2011-08-31 株式会社Pfu データ改竄防止方法及びデータ改竄防止システム
JP4943751B2 (ja) * 2006-07-04 2012-05-30 株式会社内田洋行 電子データアクセス制御システム、プログラム及び情報記憶媒体
JP4735460B2 (ja) * 2006-07-26 2011-07-27 大日本印刷株式会社 入退場管理装置、管理対象装置及び管理システム

Also Published As

Publication number Publication date
JP2008109387A (ja) 2008-05-08

Similar Documents

Publication Publication Date Title
JP5521803B2 (ja) 通信装置、通信方法、及び、通信システム
EP2228745A2 (en) Storage device, method and program for accessing storage device
US20050066186A1 (en) Method and apparatus for an encrypting keyboard
EP0865695A1 (en) An apparatus and method for cryptographic companion imprinting
EP1807770A1 (en) Method and apparatus for digital rights management
JP2006023957A (ja) 半導体集積回路及び情報処理装置
JP4533102B2 (ja) 情報処理装置、及び情報処理方法
US8782749B2 (en) Information processing device, information processing method, and program
JP2004303092A (ja) メモリ装置、メモリアクセス制限システムおよびメモリアクセス方法
JP4997920B2 (ja) 管理システム
JP5413018B2 (ja) 秘密情報管理システム
US20180089640A1 (en) Settlement terminal and method of protecting data stored in the settlement terminal against tampering
JP2009032003A (ja) 携帯可能電子装置、端末装置、認証システム、及び認証方法
CN103699853B (zh) 一种智能sd卡及其控制系统及方法
JP2001344216A (ja) 記録制限情報付メモリーカードを用いたダウンロードシステム
JP5528198B2 (ja) 情報処理装置及びプログラム
JP2008124810A (ja) 情報表示装置、通信方法およびプログラム
JP4765608B2 (ja) データ処理装置、データ処理プログラム、およびデータ処理システム
JP2005045582A (ja) 無線データ通信システム
JP5133743B2 (ja) 認証システム、認証方法、リーダ/ライタおよびプログラム
JP5692441B2 (ja) 情報処理装置、情報処理方法、及び、プログラム
JP4919046B2 (ja) 管理システム及びデータ管理方法
CN111758243A (zh) 移动存储设备、存储系统和存储方法
JP4284237B2 (ja) 認証方法、移動通信端末装置及びカード型デバイス
JP2008262502A (ja) 記録装置、記録装置に記録されたデータの機密保持方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090806

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110930

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111011

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120417

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120430

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150525

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees