文件访问控制装置及程序.pdf

本发明涉及文件访问控制装置及程序。在本发明的一个实施方式的文件访问控制系统中，预先将与操作对应的控制信息作为责任型策略而附加给文档文件。然后，根据对文档文件的操作，策略评价控制模块(44)评价以及执行文档文件内的责任型策略。在该责任型策略的执行中包含基于责任执行行为的文档应用部的控制。因此，可以根据对文档的操作来实施主动的控制，另外可以变更对文档的访问控制。

1.  一种文件访问控制装置(40)，其用于控制对文档文件的访问，其特征在于，
具备可以存储包含文档内容和禁止型策略以及责任型策略的文档文件的存储装置(41)、策略评价控制模块(44)、文档应用部(45)以及外部服务部(46)，
所述策略评价控制模块具备：
可否信息取得单元(44d)，从所述文档应用部以及外部服务部分别取得执行可否信息后保存；
认证结果取得单元(44c)，当从所述文档应用部输入与用户的操作内容对应的事件信息以及所述存储装置内的文档文件时，根据预先决定的评价信息列表，取得所述用户的认证结果以及用户属性信息；
当根据所述评价信息列表从所述可否信息取得单元取得执行可否信息时，送出由该执行可否信息、所述认证结果以及所述用户属性信息构成的评价信息、所述事件信息、所述禁止型策略以及所述责任型策略的单元(44c)；
禁止型策略评价单元(44e)，将所述送出的评价信息内的认证结果、用户属性信息以及事件信息，与在所述禁止型策略中预先记载的认证结果、用户属性信息以及事件信息分别进行比较，若比较结果分别一致，则送出在所述禁止型策略中预先记载的表示许可或禁止的评价结果；
责任型策略评价单元(44f)，将所述评价信息内的执行可否信息、所述事件信息以及所述评价结果，与在所述责任型策略中预先记载的执行可否信息、所述事件信息以及所述评价结果分别进行比较，若比较结果分别一致，则送出包含在所述责任型策略中预先记载的责任执行主体以及责任执行行为的控制信息；
控制管理单元(44g)，当收到所述控制信息时，根据所述控制信息内的责任执行主体送出该控制信息；以及
文档应用控制单元(44h)，根据从所述控制管理单元送出的控制信息内的责任执行行为，控制所述文档应用部。

2.  根据权利要求1所述的文件访问控制装置，其特征在于，
所述策略评价控制模块还具备策略变更单元(44i)，其根据从所述控制管理单元送出的控制信息内的责任执行行为，变更所述存储装置内的文档文件的禁止型策略或责任型策略。

3.  根据权利要求1或2所述的文件访问控制装置，其特征在于，
所述策略评价控制模块还具备：外部服务控制单元(44j)，其根据从所述控制管理单元送出的控制信息内的责任执行行为，控制所述外部服务部。

4.  一种存储在计算机可读取的存储介质(M)中的程序，其特征在于，
与具备可以存储包含文档内容和禁止型策略以及责任型策略的文档文件(d10)的存储装置(41’，41”)、文档应用部(45’)以及外部服务部(46’)，并且用于控制对所述文档文件的访问的计算机相关，具备以下程序代码：
第1程序代码(44d)，其用于使该计算机执行以下处理：从所述文档应用部以及外部服务部分别取得执行可否信息后保存；
第2程序代码(44c)，其用于使所述计算机执行以下处理：当从所述文档应用部输入与用户的操作内容对应的事件信息以及所述存储装置内的文档文件时，根据预先决定的评价信息列表，取得所述用户的认证结果以及用户属性信息；
第3程序代码(44c)，其用于使所述计算机执行以下处理：当根据所述评价信息列表从所述可否信息取得单元取得执行可否信息时，送出由该执行可否信息、所述认证结果以及所述用户属性信息构成的评价信息、所述事件信息、所述禁止型策略以及所述责任型策略；
第4程序代码(44e)，其用于使所述计算机执行以下处理：将所述送出的评价信息内的认证结果、用户属性信息以及事件信息，与在所述禁止型策略中预先记载的认证结果、用户属性信息以及事件信息分别进行比较，若比较结果分别一致，则送出在所述禁止型策略中预先记载的表示许可或禁止的评价结果；
第5程序代码(44e)，其用于使所述计算机执行以下处理：将所述评价信息内的执行可否信息、所述事件信息以及所述评价结果，与在所述责任型策略中预先记载的执行可否信息、所述事件信息以及所述评价结果分别进行比较，若比较结果分别一致，则送出包含在所述责任型策略中预先记载的责任执行主体以及责任执行行为的控制信息；
第6程序代码(44g)，其使所述计算机执行以下处理：当收到所述控制信息时，根据所述控制信息内的责任执行主体送出该控制信息；以及
第7程序代码(44h)，其使所述计算机执行以下处理：根据送出的所述控制信息内的责任执行行为，控制所述文档应用部。

文件访问控制装置及程序
技术领域
本发明涉及为了恰当地保护文档文件而执行访问控制的文件访问控制装置及程序，例如涉及根据对文档文件的操作，可以实施主动的控制，另外可以变更对文档的访问控制的文件访问控制装置及程序。
背景技术
近年，根据权限信息控制针对特定的信息或处理的行为(action)的访问控制技术的重要性大大提高。作为这种技术，有例如以下方式：当收到与个人信息或认可处理对应的行为请求时，根据行为请求者(访问主体或主题(subject))拥有的权限信息、以及权限信息和表示了行为的可否模式的访问控制规则或访问控制策略，决定可否执行该行为。
所谓访问控制策略，一般认为是访问控制规则的集合。访问控制策略，也公开了标准的记载规范(例如Tim Moses，“eXtensible Access Control Mark-up Language(XACML)Version 2.0”，[online]，[2007年10月01日检索]、参照因特网URL：http://docs.oasis-open.org/xacml/2.0/XACML-2.0-OS-NORMATIVE.zip。)，得到了广泛利用。此外，在该标准的记载规范中，作为附带的要素而记载了规定责任(Obligation)的要素。该责任要素，一般设想记载“必须～”这样的责任行为内容。但是，在该标准的记载规范中未规定责任要素的详细内容记载。另外，在标准的记载规范中未规定包含责任的情况下的访问控制策略的操作、以及针对评价结果的处理方法。
另一方面，在针对文档文件的访问控制方法中，存在将权限信息作为安全属性来附加的方式。在该方式中，例如以“许可阅览”或“许可编辑”这样的访问可否形式来记载针对文件的权限信息，并且将权限信息分配给用户。这种权限信息，作为访问控制矩阵(Access Control Matrix)或访问控制列表(AccessControl List)而已知。例如在特开2005-56418号公报中揭示了作为“安全容器(security container)”而对文档文件附加权限(规则)的方法。
但是，在行为可否形式中，如被许可的访问时间或访问场所这样的条件、或更详细的限制等，详细记载灵活的访问控制内容变得困难。近年，在需要例如访问控制策略或许可(license)的领域，尤其是在一般的文档应用等中，需要可以记载更详细的访问控制内容的访问控制策略形式的访问控制方式。
发明内容
通过上述说明的背景技术，可以记载更详细的访问控制内容，但其局限于主要对特定的访问判断是否许可。然而，根据本发明人的研究，从针对文档等的控制的观点来看，认为不仅需要判断是否许可针对特定的访问，还需要进行更主动的控制。例如考察到存在以下要求：在文档文件中设定有效期限，在有效期限到期时，不仅简单地禁止访问，而且主动地删除该文档文件。这是因为，仅通过简单地禁止对有效期限到期的文档文件的访问，文档文件本身继续存在，因此持续保留潜在的风险。
另外，在操作文档文件的状况下，在进行了操作的时刻，该文档的状态迁移，因此有时想要变更权限。具体而言，在对通过适当的认可而发行的正式文档进行了编辑操作时，表示“正式文档”的状态迁移到表示“非正式文档”的状态，因此，有时想要把处理权限从“许可打印”变更到“禁止打印”。
但是，在现有的访问控制方式中，无论状态迁移前后，都继续应用启动文档应用时的权限。因此，编辑后的非正式文档有可能通过“许可打印”的处理权限而被打印，并被错误地分发。
这样，在现有的访问控制方式中，存在无法根据对文档的操作来实施主动的控制、或者变更对文档的访问控制等不适当的情况。
本发明的目的是提供一种文件访问控制装置以及程序，能够根据对文档的操作来实施主动的控制，另外可以变更对文档的访问控制。
本发明的一个方面，是一种用于控制对文档文件的访问的文件访问控制装置，其具备可以存储包含文档内容和禁止型策略以及责任型策略的文档文件的存储装置、策略评价控制模块、文档应用部以及外部服务部，所述策略评价控制模块具备：可否信息取得单元，从所述文档应用部以及外部服务部分别取得执行可否信息然后保存；认证结果取得单元，当从所述文档应用部输入与用户的操作内容对应的事件信息以及所述存储装置内的文档文件时，根据预先决定的评价信息列表，取得所述用户的认证结果以及用户属性信息；当根据所述评价信息列表从所述可否信息取得单元取得执行可否信息时，送出由该执行可否信息、所述认证结果以及所述用户属性信息构成的评价信息、所述事件信息、所述禁止型策略以及所述责任型策略的单元；禁止型策略评价单元，将所述送出的评价信息内的认证结果、用户属性信息以及事件信息，与在所述禁止型策略中预先记载的认证结果、用户属性信息以及事件信息分别进行比较，若比较结果分别一致，则送出在所述禁止型策略中预先记载的表示许可或禁止的评价结果；责任型策略评价单元，将所述评价信息内的执行可否信息、所述事件信息以及所述评价结果，与在所述责任型策略中预先记载的执行可否信息、所述事件信息以及所述评价结果分别进行比较，若比较结果分别一致，则送出包含在所述责任型策略中预先记载的责任执行主体以及责任执行行为的控制信息；控制管理单元，当收到所述控制信息时，根据所述控制信息内的责任执行主体送出该控制信息；以及文档应用控制单元，根据从所述控制管理单元送出的控制信息内的责任执行行为，控制所述文档应用部。
根据本发明的一个方面，预先将与操作对应的控制信息作为责任型策略而附加给文档文件。接着，根据对文档文件的操作，由策略评价控制模块评价及执行文档文件内的责任型策略。在责任型策略的执行中包含基于责任执行行为的文档应用部的控制。因此，根据对文档的操作，可以实施主动的控制，另外可以变更对文档的访问控制。
附图说明
图1是表示应用了本发明的第1实施方式的文件访问控制装置的文件访问控制系统的结构例的示意图。
图2是表示该实施方式中的认证服务器装置的结构的框图。
图3是表示该实施方式中的密钥管理服务器装置的结构的框图。
图4是表示该实施方式中的策略设定装置的结构的框图。
图5是表示该实施方式的文档文件的结构例的示意图。
图6是用于说明该实施方式中的责任型策略的示意图。
图7是用于说明该实施方式中的责任型策略的示意图。
图8是用于说明该实施方式中的责任型策略的示意图。
图9是表示该实施方式中的文件访问控制装置的结构的框图。
图10是表示该实施方式中的策略评价控制模块的结构的框图。
图11是表示该实施方式中的文件访问控制装置的硬件资源和软件的组合结构的示意图。
图12是用于说明该实施方式中的动作的流程图。
图13是用于说明该实施方式中的动作的变形例的流程图。
具体实施方式
以下，使用附图说明本发明的各实施方式。此外，以下的各装置，对于每个装置可以通过硬件结构、或硬件资源和软件的组合结构中的任意一种来实施。作为组合结构的软件，使用预先从网络或存储介质安装到对应的装置的计算机中，用于实现对应的装置的功能的程序。
(第1实施方式)
图1是表示应用了本发明的第1实施方式的文件访问控制装置的文件访问控制系统的结构例的示意图。该文件访问控制系统，经由网络将认证服务器装置10、密钥管理服务器装置20、策略设定装置30以及文件访问控制装置40互相连接。此外，认证服务器装置10以及密钥管理服务器装置20不是必需的，例如在文件访问控制装置40内执行用户认证以及密钥管理等情况下可以省略。在这种情况下，文件访问控制装置40成为附加了后述的认证用存储装置11、用户认证部13、密钥管理用存储装置21以及密钥管理部23的结构即可，也可以成为进一步将各存储装置11、21包含在后述的存储装置41中的结构。
在此，如图2所示，认证服务器装置10具备认证用存储装置11、安全(secure)通信部12以及用户认证部13。
认证用存储装置11可以从用户认证部13进行读出/写入，预先将用于进行用户认证的认证信息和用户属性信息相互关联起来保存。认证信息例如是密码或认证密钥等用户认证中所使用的信息。所谓用户属性信息，是用户的个人名字、用户所属的组(角色)的信息。所谓组(角色)例如是公司中的职务、部门或任意设定的用户组。
安全通信部12具有在用户认证部13和策略设定装置30或文件访问控制装置40之间确保安全的通信路径，使二者可以通信的功能。此外，安全通信部12也可以包含在用户认证部13中。安全的通信路径的确保，例如可以通过SSL(secure socket layer)或IPsec(IP security protocol)等加密通信协议等实现，这在其它安全通信部22、32、43中也相同。
用户认证部13具有以下功能：当经由安全通信部12从策略设定装置30收到认证信息以及用户属性信息时，将该认证信息和用户属性信息互相关联起来，写入认证用存储装置11中；当经由安全通信部12从文件访问控制装置40收到用户认证请求时，经由安全通信部12在与文件访问控制装置40的用户之间进行用户认证，将其认证结果或用户属性信息从安全通信部12发送到策略控制模块44。此外，认证信息以及用户属性信息，除了从策略设定装置30接收以外，例如也可以经由认证服务器装置具备的未图示的输入装置，由服务器管理者输入，也可以通过其它手段来输入。
如图3所示，密钥管理服务器装置20具备密钥管理用存储装置21、安全通信部22以及密钥管理部23。
密钥管理用存储装置21可以从密钥管理部23进行读出/写入，将文档确定信息和密钥信息互相关联起来保存。文档确定信息例如是文件名那样，可以确定文档文件的信息。密钥信息例如是公共密钥加密方式的密钥信息，是在文档文件加密中所使用的密钥信息。
安全通信部22具有在密钥管理部23和策略设定装置30或文件访问控制装置40之间确保安全的通信路径，使二者可以通信的功能。此外，安全通信部22也可以包含在密钥管理部23中。
密钥管理部23具有以下功能：当经由安全通信部12从策略设定装置30收到文档确定信息以及密钥信息时，将该文档确定信息和密钥信息互相关联起来，写入密钥管理用存储装置21中；当经由安全通信部22从文件访问控制装置40收到密钥发送请求时，将根据密钥发送请求内的文档确定信息从密钥管理用存储装置21读出的密钥信息，从安全通信部22发送到文件访问控制装置40。
如图4所示，策略设定装置30具备策略设定用存储装置31、安全通信部32、通信部33以及策略设定部34。
策略设定用存储装置31，可以从策略设定部34进行读出/写入，保存有文档文件、公共密钥以及署名密钥。该署名密钥可以是策略设定装置30的署名密钥(策略设定装置30的密钥)，也可以是用户终端的署名密钥(用户终端的密钥)。
安全通信部32具有在策略设定部34和认证服务器装置10或密钥管理服务器装置20之间确保安全的通信路径，使二者可以通信的功能。此外，安全通信部32也可以包含在策略设定部34中。
通信部33具有在策略设定部34和文件访问控制装置40之间执行通信的功能。
策略设定部34具有以下功能：通过文档策略设定者的操作，经由安全通信部32将认证信息以及用户属性信息发送给认证服务器装置10；通过文档策略设定者的操作，经由安全通信部32将文档确定信息以及密钥管理信息发送给密钥管理服务器装置20；通过文档策略设定者的操作，将策略设定用存储装置31内的文档文件的访问控制策略设定为通过文档策略设定者输入的值或预先决定的值；通过文档策略设定者的操作，将策略设定用存储装置31内的文档文件从通信部33发送到文件访问控制装置40。
另外，策略设定部34也可以具备对文档内容进行加密的功能、或以无法分离的形式对文档内容以及访问控制策略进行加密的功能。所谓以无法分离的形式进行加密，例如是指一起对文档内容和访问控制策略进行加密。策略设定部34，为了防止(已加密的)文档内容以及访问控制策略的窜改，可以具备根据在策略设定用存储装置31中存储的策略设定装置30的署名密钥(策略设定装置30的密钥)生成数字署名的功能。
在此，图5表示文档(document)文件的具体例。文档文件d10包含文档内容d11、访问控制策略d12、保密信息d15。
文档内容d11包含作为文档确定信息的文件名、作为所谓文档内容的文本、公文格式、宏(macro)等信息。另外，不仅是文档的信息，也可以包含附图或程序等信息，也可以包含文档应用(application)特有的控制信息。另外，文档内容d11可以包含文档属性。作为文档属性，可以适当使用例如制作人(个人名字/制作部门)、所有人(文档管理责任部门)、制作日期时间(最终编辑日期时间)、机密区分(极密、保密、对公司外保密、公开)、状态信息(正式、草案)、公开信息(公开、非公开)、有效期限、操作关系人等。有时根据后述的责任型策略d14的控制信息来更新该文档属性。
在访问控制策略d12中记载文档策略设定者设定的对文档的访问控制条件。具体而言，访问控制策略d12记载了禁止型策略d13和责任型策略d14这两种策略。
所谓禁止型策略d13，是「“访问主体(Subject)”许可(禁止)“操作(action)”」这种形式的规则集合。在此，所谓“访问主体”是进行操作的主体，例如是用户或角色等。在此，所谓“操作”是文档的新制作、阅览(打开文档)、编辑、打印、复印、该文档内容的全体或一部分的复制等操作。因此，禁止型策略d13记载例如“用户A许可阅览”或“除制作部分以外禁止编辑”等规则。
另一方面，所谓责任型策略d14，是【在“条件”成立的情况下实施“控制”】这种形式的规则集合。在此，所谓“条件”，是用户可否认证、有无文档属性、环境信息(例如时间信息)的状态等，也可以是通过AND(逻辑积)或OR(逻辑和)将多个条件结合而得到的条件集合。所谓“控制”，是文档应用、外部服务的控制或访问控制策略的变更等控制。在后面叙述外部服务的细节。
在此，参照图6～图8所示的例子说明责任型策略d14。在责任型策略d14中，例如可以使用以下要素表现责任内容(相当于所述责任型策略中的“控制”)。所述要素包括“subject(主体)”、“action(行为)”、“resource(资源)”、“environment(环境)”、“complement(补充)”等。
“subject(主体)”表示责任的执行主体，“action(行为)”表示责任的执行内容。“resource(资源)”表示责任的执行客体，“environment(环境)”表示应该执行责任的环境。“complement(补充)”对责任的行为内容进行补充。
图6表示利用在非专利文献1中记载的XACML V2.0记载了这些要素的策略例子。
图6中，作为责任(Obligation)要素的属性分配(Attribute Assignment)要素，表现了责任内容。将构成责任的要素作为属性分配要素的属性ID(Attribute ID)属性值来表现。具有属性ID属性值“subject”的属性分配要素表示应该执行责任的主体。在被明确指定的情况下，表示所指定的责任主体必须执行。在(默认地)省略了的情况下，请求了评价的主体相当于责任主体。在记载的例子中，对服务名称进行了字符串表现。在成为进一步确定了的形式的情况下，使数据类型(Data Type)属性值成为与要指定的形式对应的值即可。这在以后的责任要素的各属性分配要素中也相同。
具有属性ID属性值“action”的属性分配要素表示责任应该执行的行为。原则上，希望明确地指定该属性。另外，与具有属性ID属性值“subject”的属性分配要素同样地，对行为名称进行字符串表现，在成为进一步确定了的形式的情况下，作为与要指定的形式对应的值即可。在此例中，将数据类型属性值设为“DeleteFile”，指定了删除文件。成为删除对象的文件，由于未指定具有属性ID属性值“resource”的属性分配要素，因此解释为与“request”请求中包含的资源要素相同的资源。在通过URI(Uniform Resource Identifier)形式等明确指定了的情况下，所指定的资源(文件)成为删除对象。在这种情况下，作为具有属性ID属性值“resource”的属性分配要素而定义即可。
具有属性ID属性值“environment”的属性分配要素，在该记载例中省略，但也可以在需要指定责任的执行环境的情况下进行记载。例如，在想要在特定日期(“2007年10月01日”)执行责任的情况下，如图7所示那样进行记载。
具有属性ID属性值“complement”的属性分配要素，在该记载例中省略。在有对具有属性ID属性值“action”的属性分配要素进行补充的情况下被记载。例如，当具有属性ID属性值“action”的属性分配要素，具有表示限制特定的功能的行为的值时，用于表示限制的功能。例如，在下述例子中，当通过具有属性ID属性值“action”的属性分配要素，定义了表示限制功能的“DisableFunctions”值时，可以通过具有属性ID属性值“complement”的属性分配要素来定义限制的功能内容。在图8所示的例子中，通过“Print”值表示限制“打印”功能。
另外，在图6～图8所示的例子中，责任的执行契机(相当于所述责任型策略的“条件”)利用了XACML V2.0中规定的那样的契机(责任要素的FulfillOn属性)。
图6～图8中表示的记载表示以下一例：扩展了XACML V2.0的表示法，可以标记在本实施方式中需要的策略。因此，即使在使用其它策略表示法、或者例如同样地利用XACML V2.0的情况下，只要可以表现在本实施方式中需要的要素，则也可以使用与举例表示的不同的表现。
另一方面，在保密信息d15中记载了：表示文档内容d11等是否已被加密的加密状态信息、可以确定在加密中所使用的算法的加密算法确定信息、可以确定在加密中所使用的密钥的密钥确定信息。而且，在保密信息d15中也可以记载：通过策略设定部34生成的数字署名、和可以确定验证该数字署名的验证密钥的验证密钥确定信息。此时，即使在加密状态信息、加密算法确定信息、密钥确定信息、和验证密钥确定信息本身未作为保密信息被包含的情况下，当将这些加密状态信息、加密算法确定信息、密钥确定信息、验证密钥确定信息存储在了未图示的保管服务器装置或密钥管理服务器装置20的各存储装置中时，也可以代替加密状态信息、加密算法确定信息、密钥确定信息、验证密钥确定信息而将指定它们的存储场所的取得目的地地址信息(URL或URI等)包含在保密信息中。在这种情况下，即使在加密状态信息、加密算法确定信息、密钥确定信息、验证密钥确定信息分别变更了的情况下，在未图示的服务器装置或密钥管理服务器20内部进行变更即可。
接着，说明文件访问控制装置40。
如图9所示，文件访问控制装置40具备存储装置41、通信部42、安全通信部43、策略评价控制模块44、文档应用部45以及外部服务部46。
存储装置41可以从各部42～46进行读出/写入，是存储文档文件d10的装置。
通信部42与策略设定装置30通信，具有将从策略设定装置30收到的文档文件d10写入存储装置41的功能。此外，通信部42也可以包含在外部服务部46中。
安全通信部43具有以下功能：在认证服务器装置10以及密钥管理服务器装置20之间取保安全的通信路径，使二者可以通信；根据从策略评价控制模块44收到的密钥确定信息、验证密钥确定信息或上述取得目的地地址信息，从未图示的服务器装置或密钥管理装置20等取得与文档文件对应的密钥信息或数字署名的验证密钥，送出到策略评价控制模块44。此外，安全通信部43，也可以包含在后述的策略评价控制模块44内的解密·署名验证部44b以及评价信息取得部44c中。
策略评价控制模块44是防篡改的模块，具有以下功能：根据从文档应用部45输入的事件信息以及文档文件，评价在文档文件d10中记载的访问控制策略d12；根据其评价结果控制文档应用部45和外部服务部46；根据该评价结果变更存储装置41内的文档文件d10的文档属性以及访问控制策略d12。所谓事件信息，是与命令文档的新制作、阅览(打开文档)、编辑、打印、复印、该文档内容的全体或一部分的复制等的操作相对应的命令信息。所谓防篡改，意味着能够防止针对功能的执行的不正当的篡改、攻击。
而且，策略评价控制模块44具备以下功能：经由安全通信部43从认证服务器装置10取得认证结果或用户属性信息；经由安全通信部43从密钥管理服务器装置20取得密钥信息；取得文档应用部45或外部服务部46的状态(可否控制)。策略评价控制模块44，一般作为文档应用的插件(plug-in)软件被安装，通过未图示的运算处理装置执行该插件软件的程序来实现各功能。但是，策略评价控制模块44不限于插件软件，也可以通过执行不是插件的软件的程序来实现各功能。而且，策略评价控制模块44，也可以从文档应用的提供商或其它服务提供商等准备的特定Web站点下载，并且安装在文件访问控制装置40中，由此，在该文件访问控制装置40内构成。
文档应用部45具有以下功能：将与来自外部的对文档文件d10的操作相对应的事件信息以及文档文件输入到策略评价控制模块44；被策略评价控制模块44控制，控制对文档内容d11的操作；根据事件信息，执行对文档内容d11的操作。所谓控制操作的功能，包括为了许可或禁止操作而控制的功能、和为了执行操作而控制的功能。在为了许可或禁止操作而控制的功能中，例如有仅许可文档内容d11的阅览的功能、和禁止文档内容d11的打印的功能。在为了执行操作而控制的功能中，例如有删除文档内容d11的功能。此外，文档应用部45，通过由运算处理装置(未图示)执行防篡改的文档应用程序，实现了各功能。特别是当文档应用部45操作文档文件d10时，希望保护操作中的文档文件，以使其不从外部被另外操作。例如通过将文档文件以被保护的形式复制到存储器上，对该复制后的文档文件进行操作，在保存时使原来的文档文件反映其操作结果，由此来实现这一点。在这种情况下，代替文档文件本身的输入，而向策略评价控制模块44输入对复制到存储器上的文档文件的指针，在策略评价控制模块44中，对复制到该存储器上的文档文件进行操作。
外部服务部46具有在执行文档应用的平台上具备的服务功能。在此，作为服务功能，可以应用例如文档文件d10的删除服务功能或邮件服务功能等。另外，外部服务部46，通过由运算处理装置(未图示)执行外部服务用程序，实现了各功能。
接着，图10表示策略评价控制模块44的内部结构。策略评价控制模块44具备：事件控制部44a、解密·署名验证部44b、评价信息取得部44c、责任执行可否信息取得部44d、禁止型策略评价部44e、责任型策略评价部44f、控制管理功能44g、文档应用控制部44h、文档文件控制部44i以及外部服务控制部44j。
事件控制部44a具有以下功能：当从文档应用部45输入事件信息以及文档文件d10时，判定事件信息是否是“文档的阅览(打开文档)”；当判定结果是“文档的阅览”时，根据文档文件d10的保密信息d15判定文档内容d11以及访问控制策略d12是否已被加密；判定该保密信息d15是否包含数字署名。
事件控制部44a具有以下功能：在判定的结果是文档内容d11等已被加密的情况下，或者保密信息d15包含数字署名的情况下，将文档文件d10送出到解密·署名验证部44b，使其执行解密处理以及署名验证处理；在解密·署名验证部44b的各处理成功的情况下，将包含解密后的文档内容d11以及访问控制策略d12的文档文件d10以及事件信息送出到评价信息取得部44c。在此，若简单地说明署名验证处理，则在保密信息d15中包含数字署名的情况下，文件访问控制装置40使用与署名密钥(例如策略设定装置30的密钥)对应的公开密钥进行署名验证(判断发送对象是否是正当的发送对象，在通信过程中该文档内容d11是否被窜改等)的处理是其一例。
另外，事件控制部44a具有以下功能：在判定的结果为事件信息不是“文档的阅览”而是“文档的保存”或“文档的打印”的情况下，将输入该事件信息时所公开的文档文件以及事件信息送出到评价信息取得部44c。
此外，在原来的文档文件d10未被加密、未附加数字署名的运用的情况下，省略保密信息d15、事件控制部44a以及解密·署名验证部44b，另一方面，将从文档应用部45输入的事件信息以及文档文件d10输入到评价信息取得部44c。
解密·署名验证部44b具有以下功能：当从事件控制部44a收到文档文件d10时，根据文档文件d10的保密信息d15，判定文档内容d11以及访问控制策略d12是否被加密；判定该保密信息d15是否包含数字署名；在判定的结果是文档内容d11等未被加密的情况下、或者在保密信息d15包含数字署名的情况下，根据密钥信息对文档内容d11等进行解密；根据验证密钥对数字署名进行验证；将解密结果以及验证结果送出到事件控制部44a。
解密·署名验证部44b具有根据保密信息d15从密钥管理服务器装置20取得用于解密的密钥信息的功能，但不限于此，也可以通过别的不同手段来取得密钥信息。同样地，解密·署名验证部44b具有根据保密信息d15从密钥管理服务器装置20等取得用于验证的验证密钥的功能，但不限于此，也可以通过别的不同手段来取得验证密钥。例如，在数字署名的生成中所使用的署名密钥是用户的署名密钥的情况下，可以通过从文件访问控制装置40的存储装置41读出而取得验证密钥。解密·署名验证部44b在解密或署名验证失败的情况下停止处理。另外，解密·署名验证部44b在仅文档内容d11被加密的情况下，也可以在该时刻不进行解密，而在评价禁止型策略d13或责任型策略d14后进行解密。
评价信息取得部44c具备以下功能：从外部取得预先决定的评价信息列表中记载的评价信息的类别、或输入的文档文件d10的访问控制策略d12的评价所需要的评价信息。所谓评价信息列表，是与输入的文档文件d10内的访问控制策略d12的评价中是否需要无关地，记载了有可能被记载在访问控制策略d12中的全部评价信息的类别的列表。这种评价信息列表，例如作为程序代码的一部分被记载。
所谓评价信息，例如可以使用用户的认证结果、用户属性信息、时间信息、外部功能的执行可否信息等。可以确定上述禁止型策略的用语定义中的“访问主体”的信息，或与用于评价上述责任型策略的用语定义中的“条件”的信息相当的信息，也同样地被包含在评价信息中。
评价信息取得部44c具有以下功能：当从事件控制部44a收到文档文件以及事件信息时，在取得用户的认证结果以及用户属性信息的情况下，从安全通信部43将用户认证的请求发送到认证服务器装置10，并从认证服务器装置10取得认证结果(成功或失败)以及用户的属性信息。
评价信息取得部44c具有在取得时间信息的情况下从外部取得时间等的功能。
评价信息取得部44c具有以下功能：在取得执行可否信息的情况下，将执行可否信息发送请求送出到责任执行可否信息取得部44d，从责任执行可否信息取得部44d取得执行可否信息；在经过预定时间后，从责任执行可否信息取得部44d取得更新后的执行可否信息。
另外，评价信息取得部44c具有以下功能：将文档文件d10的访问控制策略d12、事件信息以及评价信息(例如用户的认证结果、用户属性信息、时间信息、外部功能的执行可否信息等)送出到禁止型策略评价部44e。
责任执行可否信息取得部44d具有以下功能：从文档应用控制部44h、文档文件控制部44i以及外部服务控制部44j分别取得表示可否执行责任型策略d14的控制执行所需要的外部功能的控制的执行可否信息，然后保存；当从评价信息取得部44c收到执行可否信息发送请求时，将这些执行可否信息送出到评价信息取得部44c；在更新了执行可否信息的情况下，将更新后的执行可否信息送出到评价信息取得部44c。在此，外部功能的控制，相当于文档应用部45或各种外部服务部46、以及文档文件d10的控制等。根据这些文档应用部45、各种外部服务部46的服务运行的情况和不运行的情况，执行可否信息的结果也分为可控制和不可控制。
责任执行可否信息取得部44d，可以在向策略评价控制模块44输入了事件信息以及文档文件的时刻里取得执行可否信息，也可以在从评价信息取得部44c进行请求的时刻里取得执行可否信息。另外，责任执行可否信息取得部44d可以定期地更新执行可否信息。
禁止型策略评价部44e具有以下功能：根据从评价信息取得部44c输入的事件信息、评价信息，评价在访问控制策略d12中记载的禁止型策略d13；在评价后，将事件信息、评价信息、禁止型策略d13的评价结果(许可或禁止)以及访问控制策略d12中记载的责任型策略d14送出到责任型策略评价部。
所谓禁止型策略d13的评价，是针对在禁止型策略d13中记载的规则中，“操作”与事件信息一致、“访问主体”与评价信息中包含的可以确定访问主体的信息一致的规则，输出其结果(许可或禁止)。具体而言，例如所输入的事件信息是阅览、在禁止型策略中存在“用户A许可阅览”这样的规则的记载的情况下，作为评价信息而输入了用户A的认证结果，当该认证结果为成功时，作为评价结果而输出许可。
当进行补充时，禁止型策略评价部44e，当评价禁止型策略d13时，将取得的认证结果以及用户属性信息以及输入的事件信息，与禁止型策略d13中预先记载的认证结果、用户属性信息以及事件信息分别进行比较，若比较结果分别一致，则送出在禁止型策略d13中预先记载的表示许可或禁止的评价结果。此外，希望将禁止型策略d13记载为没有以下情况：没有一致的规则，或者规则不完整。例如通过将在没有一致的规则时输出的默认评价结果记载在禁止型策略d13中，实现了这一点。
责任型策略评价部44f具有：根据从禁止型策略评价部44e输入的事件信息、评价信息、禁止型策略评价部44e的评价结果，评价责任型策略d14；在评价后，向控制管理部44g输出实施的控制信息。
所谓责任型策略d14的评价，是指针对在责任型策略d14中记载的规则评价是否满足“条件”，在满足条件的情况下输出其“控制信息”。
具体而言，在责任型策略d14中记载有“若事件信息为阅览、并且禁止型策略的评价结果为许可、并且可以执行邮件服务，则通过邮件通知用户名”这样的规则的情况下，若事件信息为“阅览”、并且禁止型策略d13的评价结果为“许可”、并且邮件服务的执行可否信息为“可以控制”，则向控制管理部44g输出“通过邮件通知用户名”这样的控制信息。
而且，当记载了“日期若在2008年1月1日以后，则消除文档内容”这样的规则的情况下，若评价信息中包含的时间信息满足条件，则向控制管理部44g输出“消除文档内容”这样的控制信息。此时，在多个规则中满足条件的情况下，向控制管理部44g输出全部的控制信息。
当进行补充时，责任型策略评价部44f，在评价责任型策略d14时，将所取得的执行可否信息、事件信息以及评价结果，分别与预先记载在责任型策略中的执行可否信息、事件信息以及评价结果进行比较，若比较结果分别一致，则将包含预先记载在责任型策略d14中的责任执行主体以及责任执行行为的控制信息送出到控制管理部44g。
控制管理部44g具有以下功能：当从责任型策略评价部44f收到控制信息时，按照预先决定的顺序，根据该控制信息中记载的责任执行主体，将该控制信息送出到文档应用控制部44h、文档文件控制部44i或外部服务控制部44j。
文档应用控制部44h具有，根据从控制管理部44g送出的控制信息内的责任执行行为来控制文档应用部45的功能。在此，所谓控制是与针对文档内容d11的操作相关的控制，例如是仅许可文档内容d11的阅览的控制、或禁止打印的控制、或消除文档内容d11的控制等。而且，文档应用控制部44h具有以下功能：当从责任执行可否信息取得部44d收到请求时，从该文档应用部45取得表示可否执行对文档应用部45的控制的执行可否信息，送出到责任执行可否取得部44d。
文档文件控制部44i具有以下功能：根据从控制管理部44g送出的控制信息内的责任执行行为，变更存储装置41内的文档文件d10的访问控制策略d12或保密信息d15。例如是访问控制策略d12的规则变更或保密信息d15的变更。访问控制策略d12的规则变更，可以变更禁止型策略d13或责任型策略d14中的任意一个。所谓保密信息d15的变更，例如是不进行加密等的变更、或改变密钥信息来重新进行加密等的变更。另外，文档文件控制部44i还具有，根据从控制管理部44g送出的控制信息内的责任执行行为，变更存储装置41内的文档文件d10的文档内容d11中的文档属性的功能。作为文档属性的变更，例如有将状态信息从“正式”变更为“草案”等。
外部服务控制部44j具有，根据从控制管理部44g送出的控制信息内的责任执行行为，控制外部服务部46的功能。在此，所谓控制，例如若是邮件服务，则是强制启动邮件程序(mailer)，或者发送邮件等控制。即，外部服务控制部44j也可以具有根据责任执行行为，强制启动作为外部服务部46的邮件程序的功能。另外，外部服务控制部44j可以对该启动的或以前已启动的该邮件程序执行控制，以便例如通过邮件通知用户名。通知目的地，例如是策略设定装置30等，但不限于此，可以在责任执行行为中设定任意的通知目的地。而且，外部服务控制部44j具备取得表示是否可以执行针对各外部服务的控制的执行可否信息的功能。
此外，在输入策略评价控制模块44的事件信息为“保存”，并且在输入的文档文件的保密信息d15中指定了加密的情况下，希望将文档文件再加密然后保存。策略评价控制模块44具备与策略设定部34对相同的文档内容进行加密的功能；或以无法分离的形式对文档内容以及访问控制策略进行加密的功能，由此可以实现这一点。
此外，以上这样的文件访问控制装置40可以如图11所示那样来实现。在此，所述存储装置41在程序执行时对应于存储器41’，在更新文档文件d10时对应于存储器41’以及存储装置41”。此外，存储器41’是RAM等存储器，存储装置41”是硬盘驱动器装置等辅助存储装置。
所述通信部42以及外部服务部46，可以通过包含与通信部42对应的外部邮件程序的外部服务程序46’、运算处理装置50、通信部51、输入部52以及输出部53来实现。此外，运算处理装置50是执行程序来实现各功能的装置。通信部51是网络和文件访问控制装置40之间的通信接口。输入部52是键盘等输入装置。但是，当输入装置在外部的情况下，输入部也可以作为与外部的输入装置之间的输入接口。输出部53是液晶显示器等显示装置。但是，当显示装置在外部的情况下，输出部53也可以作为与外部的显示装置之间的接口。另外，输出部53在与外部的打印机装置连接的情况下，还可以具备与打印机装置之间的输出接口。
所述安全通信部43以及策略评价控制模块44，可以通过策略评价控制程序44’、通信部51以及运算处理装置50来实现。
所述文档应用部45，可以通过文档应用程序45’、运算处理装置50、输入部52以及输出部53来实现。
各程序44’、45’、46’，从计算机可读取的存储介质M被安装在文件访问装置40中后，在运算处理装置50中被执行时，可以实现各功能。
接着，使用图12以及图13的流程图说明以上这样构成的文件访问控制系统的动作。
(准备)
假定预先在认证服务器装置10中，将从策略设定装置30收到的认证信息和用户属性信息互相关联，写入认证用存储装置11。
接着，假定在策略设定装置30中，在文档内容d11中设定访问控制策略d12。
在策略设定装置30中，策略设定部34通过文档策略设定者的操作，将策略设定用存储装置31内的文档文件d10的访问控制策略d12设定为通过文档策略设定者输入的值或预先决定的值。
此时，假定策略设定部34根据策略设定用存储装置31内的公共密钥，将文档内容d11以及访问控制策略d12加密。另外，策略设定部34对于已加密的文档内容d11以及访问控制策略d12，通过策略设定用存储装置31内的署名密钥生成数字署名。
而且，策略设定部34生成包含加密状态信息、加密算法确定信息、密钥确定信息、数字署名以及验证密钥确定信息的保密信息d15。另外，策略设定部34将由已加密的文档内容d11以及访问控制策略d12、和保密信息d15构成的文档文件d10，写入策略设定用存储装置31。
接着，在策略设定装置30中，策略设定部34通过文档策略设定者的操作，经由安全通信部32将文档确定信息以及密钥管理信息发送到密钥管理服务器装置20。
在密钥管理服务器装置20中，当密钥管理部23从策略设定装置30经由安全通信部12收到文档确定信息以及密钥信息时，将该文档确定信息和密钥信息互相关联起来，写入密钥管理用存储装置21。
然后，在策略设定装置30中，通过文档策略设定者的操作，将策略设定用存储装置31内的文档文件d10从通信部33发送到文件访问控制装置40。
在文件访问控制装置40中，通信部42将从策略设定装置30收到的文档文件d10写入存储装置41。
通过上述这样，在文件访问控制装置40中完成了用于执行对文档文件d10的文件访问控制的准备。
(文件访问控制)
如图12所示，在文件访问控制装置40中，作为文档操作者的用户经由文档应用部45对文档文件d10进行操作。
此时，文档应用部45将与操作内容对应的事件信息以及文档文件d10输入策略评价模块44(ST1)。
在策略评价模块44中，事件控制部44a，当收到输入的事件信息以及文档文件d10时，判定事件信息是否是“文档的阅览(打开文档)”(ST2)。
当步骤ST2的判定的结果为，事件信息不是“文档的阅览”时(ST2；否)，将文档文件以及事件信息送出到评价信息取得部44c，进入步骤ST6。
另一方面，当步骤ST2的判定结果是“文档的阅览”时(ST2；是)，事件控制部44a判定是否根据文档文件d10的保密信息d15对文档内容d11以及访问控制策略d12进行了加密，同时判定该保密信息d15是否包含数字署名。
事件控制部44a，在该判定的结果是已对文档内容d11等进行了加密时，或者保密信息d15包含数字署名时，将文档文件d10送出到解密·署名验证部44b，使其执行解密处理以及署名验证处理(ST3)。
解密·署名验证部44b，当从事件控制部44a收到文档文件d10时，判定是否根据文档文件d10的保密信息d15对文档内容d11以及访问控制策略d12进行了加密，同时判定该保密信息d15是否包含数字署名。
当该判定的结果是已对文档内容d11等进行了加密，或者保密信息d15包含数字署名时，解密·署名验证部44b根据保密信息d15内的密钥确定信息，从密钥管理服务器装置20取得公共密钥以及验证密钥。另外，解密·署名验证部44b根据该公共密钥对文档内容d11等进行解密，同时根据验证密钥验证数字署名。然后，解密·署名验证部44b将解密结果以及验证结果送出到事件控制部44a。
事件控制部44a，在解密·署名验证部44b的各处理成功的情况下，将包含解密后的文档内容d11以及访问控制策略d12的文档文件d10以及事件信息送出到评价信息取得部44c。
评价信息取得部44c，当收到文档文件d10以及事件信息时，从外部取得在预先决定的评价信息列表中记载的类别的评价信息。
具体而言，评价信息取得部44c，当取得用户的认证结果以及用户属性信息时，从安全通信部43将用户认证的请求发送给认证服务器装置10，从认证服务器装置10取得认证结果(成功或失败)以及用户的属性信息。
评价信息取得部44c，当取得时间信息时，从外部取得时间信息等。
评价信息取得部44c，当取得执行可否信息时，将执行可否信息送出请求送出到责任执行可否信息取得部44d，从责任执行可否信息取得部44d取得执行可否信息(ST4)。
由此，评价信息取得部44c取得由用户的认证结果、用户属性信息、时间信息、外部功能的执行可否信息构成的评价信息(ST5)。此外，评价信息取得部44c不限于根据评价信息列表取得评价信息的情况，也可以取得在访问控制策略d12中记载的评价信息。
无论哪种情况，在取得评价信息后，评价信息取得部44c都将文档文件d10的访问控制策略d12、事件信息以及评价信息送出到禁止型策略评价部44e。
禁止型策略评价部44e，根据从评价信息取得部44c收到的事件信息、评价信息，评价在访问控制策略d12中记载的禁止型策略d13(ST6)，在评价后向责任型策略评价部送出事件信息、评价信息、禁止型策略d13的评价结果(许可或禁止)以及在访问控制策略d12中记载的责任型策略d14。
责任型策略评价部44f，根据从禁止型策略评价部44e收到的事件信息、评价信息、禁止型策略44e的评价结果，评价责任型策略d14(ST7)，在评价后，向控制管理部44g送出包含责任执行主体以及责任执行行为的控制信息。
控制管理部44g，当收到该控制信息时，按照预先决定的顺序，根据控制信息内的责任执行主体将该控制信息送出到文档应用控制部44h、文档文件控制部44i或外部服务控制部44j(ST8)。
文档应用控制部44h，根据送出的控制信息内的责任执行行为，控制文档应用部45。
文档文件控制部44i，根据送出的控制信息内的责任执行行为，变更存储装置41的文档文件d10的访问控制策略d12或保密信息d15。
外部服务控制部44j，根据送出的控制信息内的责任执行行为，控制外部服务部46。
以下，策略评价模块44判定是否通过事件控制部44a新输入了事件信息(ST9)，当新输入了事件信息时(ST9；是)，重复步骤ST2以后的处理。
另外，如图13所示，也可以由责任执行可否信息取得部44d定期地更新执行可否信息(ST10)。由此，例如即使外部服务部46的可否状态变化，也可以应对。
如上所述，根据本实施方式，通过策略评价控制模块44，可以根据对文档文件d10的操作来变更、实施访问控制，同时也可以设定、控制文档应用部45或外部服务部46的处理。
当进行补充时，预先将与操作对应的控制信息作为责任型策略d14来附加给文档文件d10，根据对文档文件d10的操作来评价、实施文档文件d10内的责任型策略d14。在该责任型策略d14的执行中包含文档应用部45等的控制。因此，可以根据对文档的操作来实施主动的控制，另外可以变更对文档的访问控制。
此外，上述实施方式中记载的方法，能够作为可以使计算机执行的程序，存储在磁盘(Floppy disk(注册商标)、硬盘等)、光盘(CD-ROM、DVD等)、光磁盘(MO)、半导体存储器等存储介质中来发布。
另外，作为该存储介质，只要是可以存储程序并且可以由计算机读取的存储介质，则其存储形式可以是任意形态。
另外，也可以根据从存储介质被安装在计算机中的程序的指示，由在计算机上运行的OS(操作系统)、或数据库管理软件、网络等的MW(中间件)等执行用于实现上述实施方式的各处理的一部分。
而且，本发明中的存储介质不限于与计算机独立的介质，也包含下载后存储或暂时存储了通过LAN或因特网等传送的程序的存储介质。
另外，存储介质不限于1个，从多个介质执行上述实施方式中的处理的情况也包含在本发明的存储介质中，介质结构可以是任意结构。
此外，本发明中的计算机根据在存储介质中存储的程序执行上述实施方式中的各处理，可以是由个人计算机等一个构成的装置、将多个装置进行网络连接而构成的系统等任意结构。
另外，本发明中的计算机不限于个人计算机，也包含信息处理设备中包含的运算处理装置、微型计算机等，总称可以通过程序实现本发明的功能的设备、装置。
此外，本申请的发明不限于上述实施方式本身，在实施阶段可以在不超出其主旨的范围内对结构要素进行变形来具体化。另外，通过上述实施方式中公开的多个结构要素的适当的组合，可以形成各种发明。例如可以从实施方式中表示的全部结构要素中删除若干结构要素。而且，也可以适当地组合跨越不同实施方式的结构要素。
产业上的可利用性
如上所述，根据本发明，可以根据对文档的操作来实施主动的控制，另外可以变更对文档的访问控制。