文档管理系统和管理设备的制作方法

本发明涉及一种文档管理系统和管理设备。

背景技术：

电子文档比纸质文档在遭遇未授权复制或者数据泄漏方面的风险更高。已经提出了用于保护电子文档避免泄漏等的系统。

例如，日本特许第4930121号公开了一种仅允许授权人查看要输出的数据的系统。在该系统中，响应于向信息显示装置输出文档的指令，信息处理设备生成指示该文档的图像的文档图像数据。进一步地，信息处理设备从信息显示装置获取信息显示装置的用户的用户名称并且显示获取到的用户名称。当选择授权查看文档的用户的用户名称时，将所选择的用户名称添加至文档图像数据并且将文档图像数据输出至信息显示装置。在信息显示装置中，与已经登录的用户的用户名称一起显示文档图像数据的文件名称列表。当用户从文件名称列表选择用户想要查看的文件的文件名称时，信息显示装置根据与所选择的文件名称对应的文档图像数据显示文档的图像。

日本特开2003-283741号公报公开了一种用于自动预览接收到的图像数据的信息处理设备和信息处理方法。

日本特开2010-139848号公报公开了一种打算利用简单的操作将电子数据同时输出至电子纸和物理纸的图像形成设备。

在日本特开平7-239828号公报中公开的系统中，首先，从具有带显示装置或者打印机的计算机的多个用户接收对文档的请求、以及唯一用户识别信息。然后，向版权服务器认证来自多个用户的请求。然后，版权服务器指挥文档服务器对各个请求执行合适的认证。响应于该指挥，文档服务器为各个经过认证的请求创建唯一地编码的、压缩的并且加密的文档，并且通过连通各个经过认证的请求用户的对应代理的网络将这些文档转发至各个经过认证的请求用户，各个代理选自显示器代理和打印机代理。对应于多个用户中的每一个用户，对文档进行唯一编码。最后，在各个代理处对文档进行解密和解压缩，并且使文档仅在响应于接收到经过认证的请求用户提供给代理的正确私钥时方才可用。

为了保护而对输入文档执行处理以便生成受保护文档需要相当大量的处理负载。当将文档保护服务广泛部署在互联网等上时，在中心服务器处集中执行用于生成受保护文档的处理的配置的使用对由于处理负载在中心服务器处的集中、网络上的拥塞、或者任何其它原因导致的处理劣化做出了响应。

因此，为各个本地网络，诸如各个客户的办公室，提供有负责该用于生成受保护文档的处理的处理设备，以避免对该处理的这种响应的问题。然而，在这种情况下，在单独的本地网络中的处理设备所提供的保护质量成为了另一问题。例如，更新能力不足的处理设备所生成的受保护文档在质量(诸如，相对于泄漏的安全性)方面不满足服务的标准。

技术实现要素：

因此，本发明的目的是提供一种在单独的本地网络中的处理设备生成受保护文档的系统，防止生成质量不满足标准的受保护文档。

根据本发明的第一方面，提供了一种文档管理系统，所述包括一个或者多个处理设备和管理设备。每一个处理设备位于多个本地网络中的一个本地网络上并且配置为执行保护处理以从文档生成受保护文档。所述管理设备位于外部网络上并且配置为管理所述一个或者多个处理设备，所述外部网络连接至所述多个本地网络。所述一个或者多个处理设备中的每一个处理设备包括发送器和生成器。所述发送器将所述处理设备的状态发送至所述管理设备。所述生成器在由所述管理设备允许执行所述保护处理时对输入文档执行所述保护处理并且生成受保护文档。所述管理设备包括接收器和控制器。所述接收器接收所述一个或者多个处理设备的状态，每个所述状态是从所述一个或者多个处理设备中的对应一个处理设备发送的。所述控制器基于所述一个或者多个处理设备中的每一个处理设备的状态控制是否允许该处理设备执行所述保护处理。

根据本发明的第二方面，所述管理设备还包括发送器。所述发送器将有关所述一个或者多个处理设备中的每一个处理设备的所述状态中的特定项的设置信息发送至所述处理设备以便进行添加或者替换。所述一个或者多个处理设备中的每一个处理设备还包括更新单元。所述更新单元将从管理设备接收到的所述设置信息添加到所述处理设备的所述状态中的所述特定项或者用接收到的所述设置信息来替换有关所述特定项的现有设置信息，并且根据所述添加或者替换来更新所述特定项的值。

根据本发明的第三方面，提供了一种管理设备，所述管理设备包括接收器和控制器。所述接收器从处理设备接收所述处理设备的状态，所述处理设备位于各个本地网络上并且配置为对输入文档执行保护处理以生成受保护文档。所述控制器基于所述处理设备的所述状态控制是否允许所述处理设备执行所述保护处理。

根据本发明的第四方面，所述管理设备还包括发送器。所述发送器将有关所述处理设备的所述状态中的特定项的设置信息发送至所述处理设备以便进行添加或者替换。

根据本发明的第五方面，从所述发送器发送至所述处理设备的所述设置信息是所述处理设备用来与另一装置通信的安全证书。

根据本发明的第六方面，从所述发送器发送至所述处理设备的所述设置信息是所述处理设备使用的加密密钥。

根据本发明的第七方面，从所述发送器发送至所述处理设备的所述设置信息是用于执行所述保护处理的程序的更新版本。

根据本发明的第八方面，提供了一种文档管理系统，所述文档管理系统包括一个或者多个处理设备和管理设备。每一个处理设备位于多个本地网络中的一个本地网络上并且配置为执行保护处理以从文档生成受保护文档。所述管理设备位于外部网络上并且配置为管理所述一个或者多个处理设备，所述外部网络连接至所述多个本地网络。所述管理设备包括发送器。所述发送器将有关所述一个或者多个处理设备中的各个处理设备的状态中的特定项的设置信息发送至所述处理设备以便进行添加或者替换。所述一个或者多个处理设备中的每一个处理设备包括接受单元和更新单元。所述接受单元接受在所述处理设备的所述状态中除了所述特定项之外的项的设置。所述更新单元将从所述管理设备接收到的所述设置信息添加到所述处理设备的所述状态中的所述特定项或者用接收到的所述设置信息来替换有关所述特定项的现有设置信息，并且根据所述添加或者替换来更新所述特定项的值。

根据本发明的第一至第三方面，可以防止在单独的本地网络中的处理设备生成受保护文档的系统中生成质量不满足标准的受保护文档。

根据本发明的第二或者第四至第八方面，针对对于文档的质量较重要的特定项，将对应的设置信息从管理系统发送至处理设备。因此，可以实现快速更新。

附图说明

下面将基于以下附图详细描述本发明的示例性实施方式，其中：

图1图示了文档管理系统的示例配置；

图2图示了通过使用文档管理系统来分发和查看文档的概况；

图3示例性地图示了元数据的数据内容；

图4示例性地图示了由用户id服务器管理的数据内容；

图5示例性地图示了由did服务器管理的数据内容；

图6示例性地图示了由处理设备管理服务器管理的数据内容；

图7示例性地图示了处理设备的配置和在该处理设备中存储的数据内容；

图8图示了在文档管理系统中进行文档分发和查看的流程；

图9图示了用于输入属性数据的示例输入画面；

图10图示了示例选项设置画面；

图11图示了示例列表画面；

图12图示了包括组织内部管理系统的示例系统配置；

图13图示了用户通过使用该用户登记在其中的处理设备来获取文档的元数据并且查看该文档的示例处理流程；

图14图示了用户通过使用该用户未登记在其中的处理设备将文档登记到文档管理系统的示例处理流程；

图15图示了did的数据内容的示例；

图16是示例性地图示了由处理设备管理服务器执行的处理设备状态检查处理的流程图；

图17是图示了由处理设备管理服务器执行的处理设备状态检查处理的另一示例的流程图；以及

图18是示例性地图示了当在加密软件中找到脆弱性时由处理设备执行的处理的流程图。

具体实施方式

图1图示了根据示例性实施方式的文档管理系统的示意配置。

纸质文档很容易被持有文档的人复印，并且将文档的复印件传给他人。得到复印件的人能够读取文档。因此，纸质文档存在较高的信息泄漏风险。

根据本示例性实施方式的文档管理系统用于提供一种使电子文档能够安全使用以降低从文档泄漏信息的风险的环境。如本文使用的，术语“文档”指作为一个单元(例如，文件)来分发的内容数据，并且该内容数据不限于任何特定的类型。文档的概念包括，例如，但不限于，文本数据、通过使用文字处理器软件创建的文档数据、通过使用电子表格软件创建的电子表格数据、计算机辅助设计(cad)数据、图像数据、视频数据、音频数据、多媒体数据、显示在网络浏览器上的页面数据、以及在个人计算机(pc)上创建、编辑和查看并且然后打印的任何其它数据。

文档管理系统包括多个本地系统100和管理这些本地系统100(具体地，管理下文待述的处理系统)的管理系统200。管理系统200能够经由广域网10(诸如，互联网)单独地与本地系统100通信。

各个本地系统100包括一个或者多个创建终端102、一个或者多个查看终端104、以及处理设备110，它们均连接至本地网络108。本地网络108是设置在机构(诸如，企业)中的专用网络(例如，局域网(lan))并且通过防火墙等与广域网10隔开。从根本上讲，各个本地系统100包括单个处理设备110。当组织中的专用网络是大型网络时，构成该专用网络的单独的网络段可以分别用作其中一个本地系统100，并且各个本地系统100可以设置有单个处理设备110。例如，某个公司的各个部门的房间内的网络段是该部门的其中一个本地系统100，并且将单个处理设备110放置在该网络段中。在图示的示例中，为相应的公司或者为各个公司的相应部门配置本地系统100，并且通过用作中央管理系统的管理系统200来管理处理设备110，各个处理设备110被包括进来作为其中一个本地系统100的核心。

创建终端102是用于创建文档的终端。创建终端102的示例包括台式或者笔记本个人计算机、工作站、平板终端、智能电话、多功能装置、扫描仪、传真装置、和数码相机。创建终端102中安装有用于创建或者编辑文档或者对文档执行任何其它操作的应用。创建终端102中进一步安装有用于请求文档管理系统分发所创建的文档的软件。该软件可以实施为，例如，用于与处理设备110交换信息的装置驱动器(下文待述)，或者可以实施为网络应用。

处理设备110执行将创建终端102创建的文档转换为受保护文档(下文也称为“edoc文件”)的保护处理。受保护文档用在由根据本示例性实施方式的文档管理系统提供的安全环境中。保护处理可以是将原始文档编码为edoc格式的处理，并且从这种意义上讲，处理设备110是编码器。在保护处理中，例如，将文档转换为针对根据本示例性实施方式的系统设计的专用格式的数据，并且按照仅可由被指定为该文档的目的地的用户解密的形式来对文档进行加密。可以首先执行格式转换和加密中的任一个。

处理设备110还创建受保护文档的元数据并且将创建的元数据登记在高层系统中，即，管理系统200。元数据包括，例如，受保护文档的书目提要、关于目的地的信息、和关于各个目的地用来解密受保护文档的密钥的信息。元数据包括多个项，并且，根据通过对应服务提供的功能，相关联的装置或者用户分配、编辑和更新数据。

举例说明，一些项由已经指示文档管理系统登记文档的用户指定，而其它项由处理设备110创建。可替代地，管理系统200或者查看终端104可以设置元数据中的一些项的值。处理设备110将生成的受保护文档(edoc文件)发送至由用户指定的目的地处的查看终端104。

受保护文档或者edoc文件是通过将原始文档转换为专用格式并且对所产生的数据进行加密而得到的，也称为edoc主体。为了使edoc文件可查看，对应的元数据是必要的。将edoc文件和元数据组合以形成可查看的、完整的受保护文档。下文将edoc文件和对应元数据的组合称为“edoc”。

处理设备110可以具有无线lan接入点功能。在这种情况下，查看终端104能够经由无线lan与处理设备110通信。

查看终端104是用于查看受保护文档(edoc文件)的终端。如本文使用的，术语“查看”指按照与文档指示的信息内容对应的方式来使用受保护文档。例如，当受保护文档具有文字处理器数据或者文档(诸如，图)作为信息内容时，术语“查看”用于表示用户读取或者浏览在查看终端104上显示的文档。当受保护文档指示的信息内容是音频时，术语“查看”用于表示用户听查看终端104再现的音频。通过将用于查看受保护文档的查看器应用安装到通用计算机(诸如，台式或者笔记本个人计算机)、工作站、平板终端、或者智能电话中来实施查看终端104。可替代地，仅用于查看目的的终端，诸如，电子书阅读终端，可以设置有等效于查看器应用的功能的功能以形成查看终端104。查看器应用具有通过使用元数据的信息对加密的受保护文档进行解密的功能或者将受保护文档的专用格式表示的数据解码为可读取数据的功能。注意，不包括由根据本示例性实施方式的文档管理系统支持的查看器应用的计算机不能将专用格式的数据解码为可读数据。

查看终端104可以具有对受保护文档进行解密和解码并且显示所产生的文档的功能、以及接受用户对显示的文档的修改(编辑)的功能。修改后的文档具有与原始受保护文档不同的内容。查看终端104可能能够将编辑后的文档发送至处理设备110并且将该文档登记在文档管理系统中(即，将该文档编码为受保护文档)。因此，单个终端可以具有创建终端102和查看终端104两者的功能。edoc包括授予查看者的权限(下文待述的元数据中的访问权限信息)，并且该权限可以包括，例如，对edoc的写入限制和重新分发目的地的限制。在包括指定了这种限制的访问权限信息的edoc的情况下，查看终端104仅接受在写入限制范围内来自查看者的修改(编辑)操作，并且还仅接受在重新分发目的地的限制范围内对新的修改后的edoc的重新分发目的地的指定。

在本示例性实施方式中，举例说明，用于对使用根据本示例性实施方式的文档管理系统的用户进行认证的工具被实施为由用户携带的认证装置130。与集成电路(ic)卡一样，认证装置130是具有携带认证装置130的用户所专用的识别信息并且配置为响应于来自外部装置的请求执行数据处理以便进行用户认证的装置。认证装置130可以是具有与用于个人认证的这种ic卡的功能等效的功能的移动终端，诸如，智能电话。查看终端104或者创建终端102具有通过使用无线通信协议(诸如，近场通信(nfc))与认证装置130通信的功能。查看终端104或者创建终端102根据预定协议与认证装置130交换进行用户认证的信息，并且对携带认证装置130的用户进行认证。可替代地，根据本示例性实施方式的文档管理系统中的服务器，诸如，处理设备110或者管理系统200，可以执行实际用户认证，并且查看终端104或者创建终端102可以充当服务器与认证装置130之间的中间装置以在它们之间传送数据。查看终端104或者创建终端102可以具有认证装置130的功能。

管理系统200管理相应本地系统100中的处理设备110。管理系统200进一步管理由处理设备110生成的受保护文档的元数据并且响应于请求将该元数据提供给查看终端104。管理系统200由单个计算机或者能够彼此通信的多个计算机构成，并且具有用户id服务器210、did服务器220、元数据服务器230、和处理设备管理服务器240的功能。

用户id服务器210是管理关于使用文档管理系统的各个用户的信息的服务器。存在两类使用文档管理系统的用户。一类是已经就使用文档管理系统与文档管理系统的运行商签订合同的合同方，另一类是在该合同下实际使用该系统来登记或者查看文档的普通用户。例如，以下情况可能是典型的。处理设备110位于作为合同方的公司内的本地网络108上，并且该公司的员工(普通用户)经由处理设备110使用文档管理系统。用户id服务器210保持和管理有关合同方的信息和有关普通用户的信息。

did服务器220管理作为受保护文档的识别信息(id)的文档id(did)。通过已经创建受保护文档的处理设备110，为受保护文档实际分配did。did服务器220向处理设备110分配发布did的权限(“did发布权限”或者“发布权限”)和发布配额(可发布的did的数量)，并且接收和记录在该发布权限和发布配额内由处理设备110实际发布的did的报告。因此，did服务器220可以防止或者减少未授权did的发生，并且可以感知具有未授权did的文档。

元数据服务器230保持和管理由处理设备110生成的受保护文档(edoc文件)的元数据。在经由查看终端104接收到来自用户的对受保护文档的元数据的请求时，如果用户是授权人，则元数据服务器230将元数据提供给查看终端104。当用户和用户用来发送请求的查看终端104的组合匹配与edoc文件的did(did包括在请求中)相关联地由元数据服务器230所保持的元数据中的目的地信息(下文将详细描述)中指定的目的地用户和目的地查看终端104的组合匹配时，将请求元数据的用户(查看者)识别为元数据服务器230的“授权人”。

处理设备管理服务器240是管理各个处理设备110的状态(状况)的服务器。

下面将参照图2示意性地描述根据本示例性实施方式的机制。

(0)管理系统200(did服务器220)提前向本地系统100中的处理设备110分配发布文档id(did)的权利(下文称为“did发布权利”)以及与该did发布权利相关联的发布配额(文档的数量)。did发布权利不是无限制地允许的，而是受管理系统200的发布配额的限制。即，处理设备110能够基于同时分配的发布权利来分配did给不超过从管理系统200分配的发布配额表示的值的多个文档。当用完发布配额时，通过管理系统200向处理设备110分配新的发布权利和发布配额。

(1)希望将文档登记(即，分发)在根据本示例性实施方式的文档管理系统中的用户向创建终端102发出指令以登记该文档(例如，选择应用菜单中的“登记”)。在接收到该请求时，创建终端102请求用户认证。该认证可以通过输入用户id和密码来执行，或者可以通过利用创建终端102的读卡器检测在认证装置130中存储的认证信息来执行。可以通过创建终端102或者通过文档登记在其中的处理设备110来执行用户认证。然后，用户从创建终端102中保持的文档中选择要登记在文档管理系统中的文档，并且发出登记所选择的文档的指令。

在从用户接收到登记文档的指令时，创建终端102(更具体地，安装在创建终端102中的登记处理程序)接受在文档的属性数据内的项中待被用户选择的项(例如，文档的目的地)的输入。可以接受将用户和查看终端104的组合指定为目的地。在这种情况下，如果用户和用户用来查看文档的查看终端104的组合与被指定为目的地的组合匹配，则授权用户查看文档。

创建终端102连同文档的数据一起将属性数据发送至处理设备110。属性数据包括用户输入的属性项(诸如，目的地)和由创建终端102生成的其它属性项(诸如，有关登记者的信息、以及创建日期和时间)。创建终端102可以包括用于将多种应用创建的多种格式的文档转换为可供查看终端104使用的统一格式。例如，驱动器按照与打印机驱动器相似的方式将表示静态文档图像的数据(诸如，文字处理器数据、电子表格数据、或者cad数据)转换为用页面描述语言编写的文档。例如，当原始数据是音频数据时，驱动器将音频数据转换为根据本示例性实施方式的文档管理系统(具体地，查看终端104)所支持的特定音频数据格式的数据(文档)。

(2)处理设备110对从创建终端102接收到的待登记的文档执行保护处理，以生成受保护文档(edoc文件)。在这种生成操作中，处理设备110将接收到的文档编码成根据本示例性实施方式的文档管理系统专用的格式，并且通过使用生成的加密密钥对编码的数据进行加密以生成edoc文件。可以颠倒编码操作和加密操作的顺序。进一步地，处理设备110为edoc分配唯一的did。did包括用于证明did的分配基于管理系统200提供的发布权限的信息(下文待述的发布权限密钥)、以及用于证明已经通过处理设备110分配了did的信息(下文待述的发布证书密钥)。下面将结合详细示例描述did的数据结构。将分配的did包含在edoc文件中(例如，作为该文件的属性中的项)。

进一步地，处理设备110生成与生成的edoc文件对应的元数据。该元数据包括连同文档从创建终端102接收到的属性数据和处理设备110生成的属性项(诸如，did、处理设备110的id、编码日期和时间、和加密密钥信息)的值。元数据中包括的加密密钥信息是指示用于解锁加密的edoc文件的密钥的信息。如果使用公用密钥系统进行加密，则加密密钥信息是指示公用密钥的信息。如果元数据中的明文中包括公用密钥本身，则公用密钥可能会被盗或者被拦截和滥用。为了消除对公用密钥的这种滥用的担忧，使用公钥对公用密钥进行加密，以便目的地用户产生加密密钥信息，然后将加密密钥信息包括在元数据中。

进一步地，处理设备110将生成的edoc文件和元数据保存在内部数据库中。

(3)处理设备110将生成的元数据发送至管理系统200以进行登记。管理系统200(元数据服务器230)保存接收到的元数据。

(4)处理设备110将生成的edoc文件分发至被指定为目的地的查看终端104。可以通过使用推挽分发系统或者使用这两种分发系统来执行该分发(例如，在创建时使用“推”方法来分发edoc文件，并且在该创建时间由于处于不活跃状态而未能接收到edoc文件的查看终端104使用“挽”方法来接收分发的edoc文件)。经由本地系统100中的本地网络108来执行该分发。

(5)查看终端104接收到的edoc文件通过加密等来保护，并且不可原样查看。当用户希望在查看终端104上查看edoc文件时，查看终端104的读卡器检测在用户的认证装置130中存储的认证信息以对用户进行认证。然后，用户在查看终端104的屏幕上给出指令以查看edoc文件。在接收到指令时，查看终端104访问管理系统200并且请求edoc文件的元数据。该请求包括edoc文件的did。

(6)管理系统200(元数据服务器230)将查看终端104请求的edoc文件的最新元数据发送至查看终端104。

(7)在从管理系统200接收到所请求的元数据时，查看终端104确定元数据中包括的目的地信息是否包括查看终端104和当前正在使用查看终端104的用户(已经通过使用认证装置130认证的用户)的组合。如果未包括该组合，则用户不具有在查看终端104上查看edoc文件的权限。因此，查看终端104不打开edoc文件并且显示指示用户不具有查看权限的错误消息。如果包括该组合，则用户有在查看终端104上查看edoc文件的权限。在这种情况下，查看终端104通过使用元数据中包括的加密密钥信息来解密edoc文件并且将edoc文件显示在屏幕上(即，查看终端104按照与有关edoc文件的信息内容对应的方式来输出edoc文件)。

元数据可以包括有效期限。例如，通过将规定有效期间或者分发者或者任何其他人指定的有效期间加上发送元数据的日期和时间，来确定有效期限。在元数据已经到期后，查看终端104无法打开(解密和显示)edoc文件，除非查看终端104再次从管理系统200获取元数据。能够与处理设备110或者管理系统200通信的查看终端104获取在edoc文件被指定为待从处理设备110或者管理系统200查看的目标时可用的最新元数据，并且基于该最新元数据确定查看是否可能。

在初始将元数据登记在管理系统200之后，分发者或者有权限改变目的地的人(例如，有权限编辑数据的人)可以改变元数据中包括的目的地信息或者访问权限信息。甚至在创建和登记edoc时指定为目的地的用户也可以由于后来的改变从目的地列表去除。在这种情况下，查看终端104通过使用在从管理系统200获取的最新元数据中包括的目的地信息来感知从目的地列表对用户的去除，并且不显示edoc文件。

接下来，将参照图3描述edoc文件的元数据300的数据内容的示例。

在元数据300中包括的项中，“did”指定由已经生成edoc文件的处理设备110分配的文档id。“文档名”指定edoc文件的名称或者标题。

“分发者id”指定已经分发edoc文件的人(即，已经通过使用创建终端102将文档登记在处理设备110中并且已经经由处理设备110分发了该文档的人，下文称为分发者)的用户id。

“编码日期和时间”指定对从创建终端102获得的文档进行编码(保护处理)并且创建文档的edoc文件的日期和时间。“处理设备id”指定已经执行了保护处理的处理设备的识别信息。”“加密信息”指定有关加密以便生成edoc文件的信息，并且该信息包括用于加密的加密软件的名称、加密软件的版本、以及表示用于解锁加密(解密)的密钥的密钥信息。例如，通过使用各个目的地用户的公钥对用于解密的密钥进行加密，来获得密钥信息。“关键词信息”指定从edoc文件(或者原始数据)提取到的关键词列表。例如，关键词信息用于搜索edoc文件。

“目的地信息”指定指示被分发者指定为edoc文件的分发目的地的用户和查看终端的信息。在图3中图示的示例中，目的地信息包括：对于各个目的地用户，用户的用户id、以及用户用来查看的查看终端104的id(识别信息)。可以指定可供用户查看edoc文件的多个查看终端104。在这种情况下，目的地信息中包括用户的用户id和该多个查看终端104的id的组合。

在另一示例中，目的地用户可以使用被指定为目的地的任何查看终端104来查看edoc文件。在这种情况下，目的地信息包括目的地用户的id列表和被指定为目的地的查看终端104的id列表。被指定为目的地的候选查看终端104可以是，例如，但不限于，部门中共享的终端、放置在部门所用房间内的终端、以及放置在会议室中的终端。并不清楚组织内哪一个用户会使用共享终端或者放置在房间内的终端(其可以是共享终端)，但至少分发者知道这些终端的类型。还知道的是，在没有获得允许的情况下，这种终端不太可能会被带出该组织。因此，这些终端适合用作分发机密文档的目的地。这样，可以允许目的地用户使用被指定为目的地的任何查看终端104，只要在这种身份已经经过验证的共享终端上使用edoc即可。

“访问权限信息”指定表示使用分发者向目的地用户分配的edoc文件的权限的信息。

“离线有效期间”指定指示元数据的有效期间的长度的信息。即，即使处于查看终端104不能访问管理系统200的状态(离线状态)，当存在在edoc文件的上一次查看期间获取并且缓存的元数据时并且当离元数据的获取日期和时间的“离线有效期间”尚未过去时，查看终端104仍能使用元数据中的加密密钥信息来解密和相似edoc文件。相反，在离线状态下，如果在要查看的edoc文件的缓存元数据中的离线有效期间已经过去，则查看终端104不解密或者显示edoc文件。在查看终端104能够访问管理系统200(即，查看终端104保持在线)的这段时间期间，响应于用户给出的查看edoc文件的指令，查看终端104从管理系统200(具体地，元数据服务器230)获取edoc文件的最新元数据以供使用。

“原始数据信息”指定指示是否已经保存了生成(编码)edoc文件之前的原始数据的信息、以及(如果已经保存了原始数据)指示原始数据的保存位置的信息(例如，统一资源定位符(url))。原始数据例如是从创建终端102发送至处理设备110的文档(该文档已经经过保护处理)和该文档所基于的应用数据(例如，如果文档是页面描述语言数据，则该应用数据是转换为数据之前的文字处理器软件数据)中的一者或者两者。

“文档获取日期和时间”指定查看终端104获取到edoc主体数据的文件(即，edoc文件)的日期和时间。“元数据获取日期和时间”指定查看终端104从管理系统200获取到edoc文件的当前缓存的最新元数据的日期和时间。文档获取日期和时间以及元数据获取日期和时间未包括在管理系统200中保持的元数据中，并且查看终端104为了自己的管理将它们添加至从管理系统200获取到的元数据。

在图3中图示的元数据中的项中，由处理设备110生成的信息的项是did、编码日期和时间、处理设备id、加密信息、和关键词信息。文档名、分发者id、目的地信息、访问权限信息、离线有效期间、和原始数据信息得自从创建终端102发送至处理设备110的文档或者属性数据。

接下来，将示例性地描述由管理系统200中的服务器210至240管理的数据信息内容。

首先，将参照图4描述由用户id服务器210管理的数据内容的示例。用户id服务器210存储各个合同方的合同方数据212和各个普通用户的用户数据214。

合同方数据212包括合同方id、合同细节信息、和用户列表。合同方id是已经与文档管理系统的运行商签订合同的合同方(例如，组织或者组织中的部门)的识别信息。用户列表是在合同方签订的合同下使用文档管理系统的普通用户(例如，属于合同方(即，组织)的成员)的用户id列表。

各个普通用户的用户数据214包括该普通用户的用户id、密码、用户id密钥信息、公钥证书、规定处理设备id、规定查看终端列表、和隶属信息。用户id密钥信息是用户的认证信息，其由用户的认证装置130使用。公钥证书是用于验证用户的公钥的数字证书。规定处理设备id是用户已经登记的处理设备110的id。用户通常登记在置于该用户所属办公室中的处理设备110中，并且处理设备110是针对该用户的规定处理设备。规定查看终端列表是用户经常使用的一个或者多个查看终端的id列表。该列表中包括的查看终端是在将edoc分发至用户时的候选目的地终端。隶属信息是识别用户所属的组织、部门等的信息，并且指定例如组织或者部门的合同方id。

接下来，将参照图5描述由did服务器220管理的数据内容的示例。

如图5中图示的，did服务器202针对发布给处理设备的各个发布权限密钥保持关于以下项的信息：发布配额、分配有密钥的处理设备、密钥分配日期和时间、密钥终止日期和时间、和已发布did列表。

发布权限密钥是用于验证did服务器220分配给处理设备110的did发布权限的密钥信息(例如，随机生成的字符串)。did服务器220分配的发布权限密钥包括在处理设备110发布的did中以证明已经在授权发布权限下发布了该did。

发布配额连同发布权限密钥一起被分配给处理设备110，并且是可以发布的did的上限(可以分配did的最大文档数量)。当did服务器220分配一对发布权限密钥和发布配额时，处理设备110能够向各个edoc文件分配唯一的did，直到达到发布配额表示的上限。

分配有密钥的处理设备指示分配有发布权限密钥(和发布配额)的处理设备110的id。密钥分配日期和时间是将发布权限密钥分配给处理设备110的日期和时间。密钥终止日期和时间是分配有密钥的处理设备110终止使用发布权限密钥的日期和时间。即，密钥终止日期和时间是处理设备110完成向edoc文件分配数量等于连同发布权限密钥分配的发布配额表示的上限的did的日期和时间。在允许处理设备110在用完发布配额之后请求did服务器220分配下一个发布权限密钥和发布配额的机制中，并未明确记录某个发布权限密钥(称为第一密钥)的密钥终止日期和时间，但是可以将在第一密钥之后的发布权限密钥分配给处理设备110的密钥分配日期和时间用作第一密钥的密钥终止日期和时间。已发布did列表是分配有密钥的处理设备110通过使用发布权限密钥和did的发布日期来发布的did的列表。每当分配有密钥的处理设备110使用发布权限密钥来发布did时，处理设备110将该did报告给did服务器220，并且did服务器220将报告的did和该did的发布日期添加到与did中包括的发布权限密钥对应的已发布did列表。

元数据服务器230存储从各个处理设备110发出的edoc文件的元数据。所存储的元数据的数据内容与在图3中示例性地图示的数据内容相似。注意，在图3中示例性地图示的元数据的项中，元数据服务器230不管理仅供查看终端104使用的项，诸如，文档获取日期和时间以及元数据获取日期和时间。

接下来，将参照图6描述由处理设备管理服务器240管理的数据。针对待管理的各个处理设备110，处理设备管理服务器240存储处理设备110的状态历史242。状态历史242包括与处理设备110的id关联的、在创建和更新时(创建/更新日期和时间)处理设备110的状态244的信息。

在各个时间点的状态244包括安装位置、合同方id、管理员姓名、管理员联系方式、已登记用户列表、软件信息246、硬件信息248、可用盘空间、安全证书信息。安装位置是指示处理设备110所在位置的信息，并且包括诸如地址、建筑名称、和楼层等信息。合同方id是使用处理设备110的合同方的id。管理员姓名是处理设备110的管理员的姓名。管理员是在处理设备110所在的部门等中管理处理设备110的用户。管理员联系方式是关于管理员的联系方式的信息(例如，电子邮件地址)。已登记用户列表是登记在处理设备110中的用户(换言之，将处理设备110指定为“规定处理设备”的用户)的用户id列表。

软件信息246包括编码软件名称、编码软件版本、加密软件名称、加密软件版本、以及安装在处理设备110中的其它软件的名称和版本。编码软件是用于将从创建终端102输入的文档转换(编码)为文档管理系统的专用格式的软件。加密软件是用于对文档(例如，通过转换成专用格式而得到的文档)进行加密的软件。

硬件信息248包括以下项：编码器电路信息、编码器电路fw版本、处理设备110的制造商名称等。编码器电路信息是指示在编码处理中使用的硬件电路的型号名称的信息。编码器电路fw版本是编码器电路的固件(fw)的版本。

可用盘空间是在该时间点处理设备110的二级存储装置的可用空间(诸如，硬盘或者固态盘)。

安全证书信息是识别在该时间点安装在处理设备110中的安全证书的信息，诸如，各个证书的主体标识符和发布者标识符以及证书的发布时间。

虽然为了避免复杂而未图示，但状态244进一步包括安装在处理设备110中的字体类型(字体名称列表)、用于进行网络通信的地址(例如，互联网协议(ip)地址)、处理设备110中包括的二级存储装置(诸如，硬盘驱动)的装置id、表示自定义的内容以将处理设备110连接至处理设备110所在的组织的基础设施系统中的处理器的信息、处理设备110使用(用于通信路径加密、签名等)的加密密钥的安装日期和时间等等。

接下来，将参照图7描述由处理设备110保持的数据库。如图7所图示，处理设备110包括管理信息存储单元112、用户数据库(db)114、和文档db116。

管理信息存储单元112存储管理信息112a。管理信息112a包括以下项：高层装置地址信息、安全证书、加密密钥、编码软件名称、编码软件版本、加密软件名称、加密软件版本等。高层装置地址信息是指示管理处理设备110的高层装置的相应通信地址(诸如，ip地址或者url)的信息。高层装置的示例包括管理系统200、管理系统200中的服务器210至240、下文待述的组织内管理系统150、组织内管理系统150中的服务器152至156。安全证书是处理设备110用来根据公钥基础设施与网络上的其它装置进行安全通信的数字证书。处理设备110保持处理设备110频繁通信的高层装置的安全证书。处理设备110可以保持使用创建终端102或者查看终端104的用户的安全证书。加密密钥是针对处理设备110的加密密钥，处理设备110使用加密密钥来实现如下目的，诸如，在与网络上的其它装置通信期间进行加密和解密、或者由处理设备110进行数字签名(或者生成其相关的验证信息)，并且包括，例如，在公钥基础设施中分配给处理设备110的一对私钥和公钥。编码软件和加密软件分别是安装在处理设备110中的用于进行编码(转换为专用格式)和加密的软件。

用户db114存储关于登记在处理设备110中的用户(换言之，将处理设备110指定为“规定处理设备”的用户)的用户信息114a。关于各个已登记用户的用户信息114a包括以下项：用户id、密码、用户id密钥信息、公钥证书、规定查看终端列表等。在对上面描述的用户id服务器210中包括的数据的描述中，已经描述了这些项(见图4)。

文档db116存储处理设备110生成的edoc文件以及与该edoc文件对应的元数据。edoc文件和元数据包括did的信息，并且彼此相关联。文档db116可以在将原始数据(从创建终端102接收到的原始数据)编码成edoc之前将原始数据存储为与edoc的did相关联。

创建终端102和查看终端104中的每一个针对使用该终端的各个用户存储用户的认证信息(诸如，用户id和密码)、规定处理设备的id、规定处理设备的地址信息、高层装置(例如，管理系统200或者下文待述的组织内管理系统150)的地址信息、规定处理设备和高层装置的安全证书、用于通信路径加密的加密密钥等。

系统中的处理流程

当处理设备110置于本地网络108上时，执行处理设备110的维护的维护人员将关于使用处理设备110的用户的信息和关于这些用户可能会使用的创建终端102或者查看终端104的信息登记在处理设备110中。将所登记的关于用户的信息传送至高层装置并且还登记在高层装置中，即，用户id服务器210(或者下文待述的本地用户id服务器152)。如果在已经放置好处理设备110之后使用处理设备110的用户的数量增加或者减少，则维护人员还关于将新用户的信息登记在处理设备110中或者将关于不再使用处理设备110的用户的信息从处理设备110删除。将用户的添加和删除报告给高层装置，诸如，用户id服务器210，并且相应更新高层装置所保持的信息。维护人员还将用于请求处理设备110登记和分发文档的软件(例如，处理设备110的装置驱动器)安装到各个创建终端102中。维护人员还将例如用于与处理设备110通信的信息(诸如，设备名称、通信地址、和无线接入设置)登记在各个查看终端104中。

接下来，将参照图8描述经由根据本示例性实施方式的文档管理系统来登记和分发文档的流程图。

(1)-1：响应于用户(分发者)向创建终端102发出的登记文档的指令，创建终端102显示用于提示用户输入登录认证信息(例如，提示输入用户id和密码或者提示检测在认证装置130中存储的认证信息)的画面。当分发者根据该请求输入认证信息时，创建终端102经由本地网络108将认证信息发送至处理设备110。

(1)-2：在接收到登录认证信息时，处理设备110通过使用该信息来执行用户认证。此处假设用户认证成功(即，分发者已经被验证为授权用户)。在图示的示例中，使用登录id和密码来执行登录认证。如果创建终端102支持与认证装置130通信，可以使用认证装置130来执行登录认证。

(2)-1：如果登录认证成功，用户从创建终端102中保持的文档中选择要登记在文档管理系统中(以及，要分发至其它用户)的文档，并且发出将选择的文档登记在处理设备110中的指令。然后，启用用于执行与处理设备110接口连接的软件(例如，装置驱动器)。软件接受来自用户的对文档的属性数据的输入，并且将接受的属性数据和文档的数据发送至处理设备110。

图9图示了用于输入属性数据的输入画面400的示例。输入画面400包括目的地用户选择菜单402、目的地用户列表栏404、目的地终端选择菜单406、目的地终端列表栏408、访问权限设置栏410、离线有效期间菜单412、和选项设置调用按钮414。

目的地用户选择菜单402是提供了可以分发文档的可能的用户的列表的下拉菜单。可能的用户是登记在处理设备110中的用户，并且可以从处理设备110获取可能的用户的id和名称的列表。可替代地，创建终端102可以从下文待述的本地用户id服务器152(见图12)获取用户的列表，该本地用户id服务器152管理关于属于某个组织的文档管理系统的用户的信息，以允许分发者选择该组织内在其它处理设备110中登记的用户作为目的地。在这种情况下，目的地用户选择菜单402按照如下方式示出用户：各个用户登记在其中的其中一个处理设备110可以与其它处理设备110区分开来。例如，可以用不同的颜色或者字体来显示各个用户，这取决于该用户所登记的处理设备110。可替代地，菜单可以为分层结构，从而使得首先选择其中一个处理设备110来调用登记在该处理设备110中的用户的列表，然后可以从该列表选择被指定为目的地的用户。目的地用户列表栏404示出用户所选择的目的地用户列表。当分发者选择目的地用户选择菜单402上的目的地用户并且按下目的地用户选择菜单402右方的“添加”按钮时，将所选择的目的地用户的用户id或者用户名称添加至目的地用户列表栏404。当分发者选择目的地用户列表栏404中的目的地用户并且按下目的地用户列表栏404右方的“删除”按钮时，从目的地用户列表栏404删除所选择的目的地用户(即，所选择的目的地用户不再是目的地)。

目的地终端选择菜单406是提供了可以被分发文档的可能的查看终端(查看器)104的列表的下拉菜单。可能的查看终端104是登记在处理设备110中的查看终端，并且可以从处理设备110获取可能的查看终端104的id和名称的列表。可替代地，例如，处理设备110或者本地用户id服务器152(见图12，如下文详细描述的)可以包括组织内已经登记在文档管理系统中的查看终端104的列表，并且创建终端102可以将该列表呈现给分发者以允许分发者选择该组织内登记在其它处理设备110中的用户的查看终端104作为目的地。如在目的地用户列表栏404中一样，目的地终端列表栏408示出在目的地终端选择菜单406中被分发者选择的目的地查看终端104的列表。

针对各个目的地用户，可以指定与该用户对应的目的地查看终端104。为了实现该指定，例如，每当在目的地用户列表栏404中选择目的地用户时，创建终端102可以从处理设备110(或者本地用户id服务器152或者用户id服务器210)获取用户的规定查看终端列表并且将该列表设置在目的地终端选择菜单406中。如果分发者未明确选择目的地用户的目的地查看终端104，则自动选择与用户相关联的规定查看终端列表中的特定规定查看终端(例如，位于列表顶部的规定查看终端)作为目的地查看终端104。

访问权限设置栏410是用于设置目的地用户访问(使用)文档的权限的栏。在图示的示例中，示出了查看、修改(编辑)、打印、和复制文档的四个权限项的复选框。分发者勾选针对文档授予目的地用户的项的复选框。

离线有效期间菜单412是示出针对文档需要设置的离线有效期间的选项列表的下拉菜单。分发者选择针对当前登记在系统中的文档要设置的并且从离线有效期间菜单412中示出的多个选项中分发的离线有效期间。

当按下选项设置调用按钮414时，创建终端102显示如图10中示例性图示的选项设置画面420。选项设置画面420包括处理设备选择栏422和原始数据设置栏424。处理设备选择栏422包括示出能被发送文档的可能的处理设备110的列表的下拉菜单。该菜单包括由创建终端102可选择的处理设备110的列表。列表中包括的处理设备110包括位于创建终端102所属的本地系统100中的处理设备110(通常是单个处理设备110、或者多个处理设备110)。该列表还可以包括在相同组织内的其它本地系统100中的处理设备110。原始数据设置栏424示出了用于接受edoc所基于的原始数据是否保存在处理设备110中的选择的下拉菜单。

在步骤(2)-1中从创建终端102发送至处理设备110的属性数据包括在上述设置画面上设置的信息，诸如，目的地信息(用户列表和查看终端列表)、访问权限信息、离线有效期间、和原始数据信息。

本说明现在转向图8。

(2)-2：处理设备110从创建终端102接收文档(称为目标文档)和属性数据。

(3)-1：如果处理设备110没有接收到did发布权限或者发布配额(或者，如果接收到的发布权限已经用完)，则处理设备110请求管理系统200中的did服务器220分配新的发布权限和发布配额。如果接收到的发布配额尚未用完，则处理设备110不发出该请求并且该处理进入步骤(4)。

(3)-2：响应于来自处理设备110的请求，did服务器220将新的发布权限和发布配额发送至处理设备110。

(4)处理设备110通过使用did服务器220分配的发布权限来发布did并且将该did分配至从目标文档生成的edoc文件(在后续步骤中生成的edoc文件)。

(5)-1：处理设备110通过使用例如随机数来生成加密密钥。加密密钥用于对目标文档进行加密。进一步地，处理设备110将目标文档转换为edoc文件。即，处理设备110将目标文档编码为文档管理系统专用的格式并且通过使用生成的加密密钥来对编码的文档进行加密以生成edoc文件。生成的edoc文件中包括关于生成的did的信息。

(5)-2：处理设备110生成所生成的edoc文件的元数据。即，处理设备110将生成的did、编码日期和时间、处理设备110的id、加密信息等添加至从创建终端102接收到的属性数据以生成元数据(见图3)。加密信息包括通过使用目的地用户的公钥对用于加密的加密密钥进行加密来获得的、关于各个目的地用户的密钥信息。

(5)-3：在接收到来自创建终端102的存储原始数据的指令时，处理设备110保存从创建终端102接收到的文档(或者文档所基于的应用数据)。

(6)-1：处理设备110将生成的did上传到did服务器220。did服务器220存储从处理设备110上传的did。

(6)-2：处理设备110将生成的元数据上传到元数据服务器230。元数据服务器230存储从处理设备110上传的元数据。

(7)处理设备110将分发准备完成通知发送至所生成的edoc要被分发至的各个查看终端104。该通知表示edoc准备好分发。该通知包括生成的did和指示edoc的文档名的信息。该通知可以包括edoc的代表性页面(预定页面，诸如，第一页)的缩略图。

查看终端104的读卡器检测要使用查看终端104的用户(称为查看者)的认证装置130中存储的认证信息，来认证该用户。查看终端104显示列表画面，该列表画面示出了分发给查看终端104的edoc列表。图11图示了列表画面500的示例。在图示的示例中，列表画面500包括：针对各个edoc，通知标记502、edoc的文档名504、和查看许可指示标记506。通知标记502是用于将edoc的状态通知给查看者的标记。由通知标记502表示的edoc的状态的示例包括“最新添加”、“正常”、和“已到期”。“最新添加”状态是从处理设备110分发的文档已经接收到但却未被查看者打开的状态。在图11中，该状态下的edoc用中空星(“☆”)标记。在图11中，“正常”状态下的edoc未给予任何标记。“已到期”状态是对文档的访问权限已经到期的状态。在图11中，“已到期”状态下的edoc用感叹号(“！”)标记。“已到期”状态下的edoc在从处理设备110或者管理系统200获取到edoc的最新元数据之前是不可查看的，即使edoc文件已经保存在查看终端104中也不可查看。即使查看终端104与处理设备110或者管理系统200断开，“正常”状态下的edoc也是可查看的，这是由于对查看终端104中保存(缓存)的edoc的元数据的访问权限尚未到期。查看许可指示标记506指示查看终端104和正在使用查看终端104的用户(由认证装置130认证)的组合是否与在查看终端104中缓存的edoc的元数据中指定的edoc的目的地用户和查看终端104的组合匹配。如果发现匹配，则edoc是可查看的(在图11中给出了圆圈标记(“○”))。如果未发现匹配，edoc是不可查看的(在图11中给出了叉号(“x”))。与表示待定状态的查看许可指示标记506样，已经接收到分发准备完成通知但是尚未接收到edoc文件和元数据的edoc用破折号(“-”)标记，这是因为查看终端104不具有关于用于确定是否满足目的地组合的标准的信息。在图示的示例中，从顶部开始的前三个edoc是最新添加的文档，这些文档的edoc主体(文件和元数据)尚未被获取到，并且用指示待定状态的查看许可指示标记506来标记。

在列表画面(图11)上，查看者通过例如触摸来选择需要的edoc，并且发出查看该edoc的指令。此处假设选择最新添加的edoc(如通知标记502一样，用中空星(“☆”)来标记)作为要查看的目标。

(8)本说明现在转向图8。查看终端104从处理设备110获取要查看的所选择的目标的edoc文件和元数据，这是因为它们都未保持在查看终端104中。因此，查看终端104将作为从查看者的认证装置130获取到的认证信息的用户id密钥通过查看终端104所连接的本地网络108发送至处理设备110。处理设备110验证用户id密钥是否验证了登记在处理设备110中的任何用户的身份(用户认证)。此处假设用户认证成功。如果从查看终端104接收到的用户id密钥未验证登记在处理设备110中的任何用户的身份，则处理设备110可以将用户id密钥发送至与用户认证有关的高层装置(用户id服务器210或者本地用户id服务器152)并且请求该高层装置执行用户认证。

(9)-1：响应于在处理设备110处的成功用户认证，查看终端104向处理设备110发送分发请求，该分发请求包括查看者选择的要查看的edoc的did。

(9)-2：处理设备110向查看终端104返回与从查看终端104发出的分发请求中包括的did对应的edoc文件和元数据。

(10)查看终端104接收从处理设备110发出的edoc文件和元数据并且保存(缓存)所接收到的edoc文件和元数据。

(11)查看终端104确定查看终端104和当前正在使用查看终端104的查看者的组合是否与元数据中的目的地信息所指示的目的地用户和目的地终端的任何组合匹配(见图3)。如果该组合与任何组合都不匹配，则不允许查看者在查看终端104上查看edoc文件。在这种情况下，查看终端104显示指示edoc文件不可查看的错误消息。在这种情况下，查看终端104可以删除保存的edoc文件(和对应的元数据)。如果确定查看终端104和当前正在使用查看终端104的查看者的组合与元数据中的分发者信息中指定的任何组合匹配，则查看终端104允许查看者查看edoc。在这种情况下，查看终端104从与元数据中的加密信息中包括的目的地用户对应的已加密密钥中检索与查看者对应的密钥，并且通过使用查看者的私钥(例如，由认证装置130保持)来解密检索到的密钥以恢复解密edoc文件所必需的解密密钥。

(12)查看终端104通过使用恢复的解密密钥来解密edoc文件以再现可查看的文档，并且输出该文档(例如，将该文档显示在屏幕上)。进一步地，查看终端104根据元数据中包括的访问权限信息控制是否从查看者接受对文档执行操作的指令。从根本上讲，查看终端104不将解密的文档保存在文件中。即，在已经查看过文档之后，将edoc文件和元数据保存在查看终端104的非易失性存储装置中，但不保存解密的文档。

接下来，将参照图12描述根据本示例性实施方式的文档管理系统的另一示例。在图12中图示的示例中，多个本地系统100位于组织内网络中，组织内网络是某个组织(诸如，企业)中的专用网络。组织内管理系统150也位于组织内网络中。组织内管理系统150管理在文档管理系统中执行的处理中在该组织内执行的处理，并且还管理对于这些处理所必需的信息。即，管理系统200由文档管理系统的服务提供商运行并且管理使用文档管理系统的多个组织的信息和处理，而组织内管理系统150在管理系统200的管理下管理与该组织有关的信息和处理。

组织内管理系统150包括本地用户id服务器152、本地did服务器154、和本地元数据服务器156。

本地用户id服务器152管理关于在该组织的成员中登记为文档管理系统中的用户的用户的信息。由本地用户id服务器152保持的关于单独的用户的信息与在图4中图示的由用户id服务器210保持的关于普通用户的信息相似。当获取并且使用处理设备110的用户(即，将处理设备110指定为“规定处理设备”的用户)登记在处理设备110中时，处理设备110将关于该登记的用户的信息发送至该组织内的本地用户id服务器152。本地用户id服务器152保存接收到的关于用户的信息并且经由广域网10将该信息发送至中央管理系统200的用户id服务器210。用户id服务器210存储接收到的关于用户的信息。如果改变登记在处理设备110中的关于用户的信，则管理员或者任何其他人使处理设备110改变关于用户的信。处理设备110将关于用户信息的已改变内容的信息(包括：例如，用户id、信息被改变的项的名称、和该项的已改变值)发送至本地用户id服务器152，并且本地用户id服务器152根据接收到的已改变内容来改变存储在其中的关于用户的信息。进一步地，本地用户id服务器152将关于接收到的已改变内容的信息发送至用户id服务器210，并且用户id服务器210根据发送的信息来改变保持的关于用户信息。

本地did服务器154接收并且存储由属于该组织内的组织内网络的本地系统中的各个处理设备110发布的did。由本地did服务器154保持的信息与在图5中图示的由did服务器220保持的信息相似。进一步地，本地did服务器154将关于从处理设备110接收到的did的信息发送至did服务器220，并且did服务器220存储该信息。进一步地，通过did服务器220向本地did服务器154分配did发布权限和发布配额，并且本地did服务器154基于该发布权限在该发布配额内向由本地did服务器154管理的各个处理设备110分配did发布权限和发布配额。

本地元数据服务器156接收并且存储由属于该组织内的组织内网络的本地系统中的各个处理设备110生成的edoc的元数据。由本地元数据服务器156保持的信息与由元数据服务器230保持的信息相似。进一步地，本地元数据服务器156进一步将从处理设备110接收到的元数据发送至元数据服务器230，并且元数据服务器230存储元数据。

在图12中图示的系统中，在接收到来自尚未登记但是已经登记在相同组织内的其它处理设备110中的用户的请求时，诸如，登记(以及分发)文档的请求或者获取edoc文件或者元数据的请求，处理设备110经由组织内管理系统150对该请求做出响应。

在示例中，已经登记在组织内网络上的第一部门内的第一本地系统100中的处理设备#1中的查看者希望将从处理设备#1登记和分发的edoc保存在其查看终端104中并且然后移动到由处理设备#2管理的第二部门以查看该edoc。在该时间点处，保存在查看终端104中的edoc的元数据是旧的(即，访问edoc的权限已经到期)。在这种情况下，响应于查看者执行的在查看终端104上打开edoc的操作，执行图13中图示的处理。

首先，查看终端104在查看终端104所连接的第二本地系统100中的本地网络108上搜索处理设备110。结果，找到处理设备#2。处理设备#2与已经分发edoc的处理设备#1不同，不包括edoc文件或者元数据。

(1)查看终端104从查看者的认证装置130加载用户id密钥(认证信息)。

(2)查看终端104将从认证装置130获取的用户id密钥发送至处理设备#2以便进行用户认证，以获取被指定为要查看的目标的edoc的最新元数据。

(3)查看终端104请求处理设备#2发送edoc的元数据。该请求包括edoc的did。

(4)-1：处理设备#2检查从查看终端104接收到的用户id密钥是否与登记在处理设备#2中的任何用户对应(用户认证)。在该示例中，查看者已经登记在处理设备#1中但是尚未登记在处理设备#2中。因此，处理设备#2将包括用户id密钥的认证请求发送至本地用户id服务器152的预设地址。处理设备#2进一步将从查看终端104发出的元数据请求中包括的did发送至本地did服务器154的预设地址以便进行认证。

(4)-2：本地用户id服务器152验证从处理设备#2接收到的用户id密钥是否与登记在处理设备#2中的任何用户对应(用户认证)。拥有用户id密钥的查看者已经登记在处理设备#1中，因此也已经登记为本地用户id服务器152中的用户，该本地用户id服务器152是处理设备#1的高层装置。因此，用户认证成功。本地用户id服务器152向处理设备#2返回表示认证成功的响应。

本地did服务器154检查从查看终端104发出的要验证的did是否是授权did，即，要验证的did是否与保存在本地did服务器154中的任何did匹配。在该示例中，edoc的did已经通过处理设备#1发布并且也已经保存在本地did服务器154中，该本地did服务器154是处理设备#1的关于did的高层装置。因此，did被认证为是授权的。本地用户id服务器154向处理设备#2返回表示did被认证为是授权的响应。

(5)-1：由于用户认证和did认证都成功了，所以处理设备#2继续对来自查看终端104的元数据请求做出响应的处理。即，处理设备#2将包括did的元数据请求发送至本地元数据服务器156的预设地址。

(5)-2：在接收到来自处理设备#2的元数据请求时，本地元数据服务器156将与该请求中包括的did对应的元数据返回至处理设备#2。当分发者在处理设备110上改变edoc的元数据时，该改变立即反映在本地元数据服务器156保持的对应元数据上。因此，此时返回至处理设备#2的元数据是要查看的edoc的元数据的最新版本。

(6)处理设备#2将从本地元数据服务器156接收到的元数据发送至查看终端104。

(7)查看终端104接收来自处理设备#2的元数据并且保存(缓存)接收到的元数据。

(8)查看终端104参考接收到的最新元数据中的目的地信息并且检查查看终端104和查看者的组合的权限。即，如果查看终端104和查看者的组合与目的地信息所指示的目的地用户和目的地终端的任何组合匹配(见图3)，则查看终端104确定查看权限存在。否则，查看终端104确定查看权限不存在。如果确定查看权限不存在，则查看终端104提供错误指示。如果确定查看权限存在，则查看终端104从与元数据中的加密信息中包括的目的地用户对应的已加密密钥中检索与查看者对应的密钥，并且通过使用查看者的私钥(例如由认证装置130保持)来解密检索到的密钥以恢复解密edoc文件所必需的解密密钥。

(9)然后，查看终端104通过使用恢复的解密密钥来解密edoc文件以再现可查看的文档，并且输出该文档(例如，将该文档显示在屏幕上)。然后，查看终端104根据元数据中包括的访问权限信息控制是否从查看者接受对文档执行操作的指令。

接下来，将参照图14描述当登记在第一本地系统100中的处理设备#1中的用户去到由处理设备#2管理的第二部门并且将文档登记在文档管理系统中的流程图。假设用户(文档的分发者)尚未登记在处理设备#2中。

(1)当用户向其创建终端102发出登记文档的指令时，创建终端102显示用于提示用户输入登录认证信息的画面。当分发者根据该请求输入认证信息(例如，用户id和密码)时，创建终端102经由本地网络108将认证信息发送至处理设备#2。

(2)处理设备#2确定从创建终端102接收到的认证信息是否与登记在处理设备#2中的任何用户对应。在这种情况下，分发者尚未登记在处理设备#2中。因此，处理设备#2将认证信息发送至高层装置，即，本地用户id服务器152，以便进行认证。

(3)本地用户id服务器152确定接收到的认证信息是否与登记在本地用户id服务器152中的任何用户对应(用户认证)。在该示例中，作为登记在处理设备#1中的用户的分发者也是登记在本地用户id服务器152中的用户。因此，用户认证成功。本地用户id服务器152向处理设备#2返回表示用户认证成功的信息。

(4)在接收到来自本地用户id服务器152的表示成功认证的响应时，处理设备#2将表示用户认证成功的响应发送至创建终端102。

(5)当用户认证成功时，创建终端102将用户选择作为要登记的对象的文档和用户输入的属性数据发送至处理设备#2。

(6)处理设备#2接收来自创建终端102的文档和属性数据。

(7)-1：如果did发布权限和发布配额已经用完，处理设备#2请求本地did服务器154分配新的发布权限和发布配额。如果接收到的发布配额尚未用完，则处理设备#2不发出该请求并且该处理进入步骤(8)。

(7)-2：响应于来自处理设备#2的请求，本地did服务器154向处理设备#2分配新的发布权限和发布配额。如果从did服务器220分配的发布配额已经用完，则本地did服务器154请求did服务器220分配新的发布权限和发布配额。通过使用响应于该请求而分配的发布权限和发布配额，本地did服务器154向处理设备#2分配did发布权利和发布配额。

(8)处理设备#2通过使用分配的发布权限来发布did并且将该did分配至从目标文档生成的edoc文件(在后续步骤中生成的edoc文件)。

(9)-1：处理设备#2生成用于对目标文档进行加密的加密密钥，将目标文档编码为该系统专用的格式，并且通过使用生成的加密密钥来对编码的文档进行加密以生成edoc文件。

(9)-2：处理设备#2通过将诸如生成的did以及编码日期和时间等项添加到从创建终端102接收到的属性数据来生成edoc文件的元数据。

(10)处理设备#2将生成的did上传到本地did服务器154并且将生成的元数据上传到本地元数据服务器156。本地did服务器154将从处理设备#2上传的did添加到与本地did服务器154中包括的发布权限密钥对应的已发布did列表(见图5)，并且将did上传到did服务器220。did服务器220将从本地did服务器154上传的did添加到与发布权限密钥对应的已发布did列表(见图5)。进一步地，本地元数据服务器156存储从处理设备#2上传的元数据并且将元数据上传到元数据服务器230。元数据服务器230存储从本地元数据服务器156上传的元数据。

处理设备#2将生成的edoc分发至分发者所指定的目的地。该过程与图8中的步骤(7)至(12)的过程相似。

(11)进一步地，处理设备#2将生成的edoc文件和元数据发送至创建终端102。处理设备#2可以保存edoc文件和元数据或者删除edoc文件和元数据不保存它们。如果不保存edoc文件和元数据而是删除了它们，则edoc文件和元数据仅保存于在该组织内的处理设备110中在下述步骤(13)中被指定为规定处理设备的处理设备#1中。可以在处理设备110中设置未被指定为分发者的规定处理设备的处理设备110是否保存在分发者所给出的请求中登记和分发的edoc文件和元数据。

(12)创建终端102保存从处理设备#2接收到的edoc文件和元数据以便稍后将它们传送至处理设备#1，该处理设备#1是分发者的规定处理设备。

(13)当分发者携带着创建终端102回到分发者所属的第一部门时，创建终端102在第一本地系统100中的本地网络108上搜索处理设备#1，该处理设备#1是分发者的规定处理设备。在找到处理设备#1时，创建终端102将在上述步骤(12)中保存的edoc文件和元数据登记到处理设备#1。因此，希望改变元数据的内容(例如，目的地)的分发者可以访问规定处理设备，即，处理设备#1，并且改变元数据。

在根据上面描述的本示例性实施方式的文档管理系统中，将创建终端102已经下令处理设备110分发的文档的主体信息(即，edoc文件)仅存储在处理设备110和目的地查看终端104中，而不传递至其它网络或者装置。这种配置可以最小化edoc文件的泄露风险。具体地，将edoc文件的分发目的地局限于已经生成edoc的本地网络108上的查看终端104防止将edoc传递到本地网络108外。

相反，将edoc的元数据登记在中央管理系统200或者各个组织内的组织内管理系统150中，并且因此，即使查看终端104移动到各种位置，也可被查看终端104经由广域网10或者该组织内的专用网络获取到。在从用户接收到查看edoc的指令时，查看终端104从组织内管理系统150或者中央管理系统200获取edoc的最新元数据，并且基于该最新元数据中包括的目的地信息来确定是否允许用户查看edoc。如果因为后来改变了目的地列表而从目的地列表中去除了在登记或者分发edoc时被指定为目的地的用户，则不允许该用户查看edoc。

在图13和图14中图示的实施方式中，处理设备#1和处理设备#2假设被放置在相同的组织中，并且还假设目的地用户属于该组织。因此，通过该组织内的本地用户id服务器152来执行用户认证。如果查看者是属于与处理设备#2所放置的组织不同的组织的用户，则处理设备#2和本地用户id服务器152(其是处理设备#2的高层装置)都不能认证分发者。在这种情况下，作为另一高层装置的用户id服务器210可以对分发者执行用户认证。

在图13和图14中图示的实施方式中，另一处理设备，即处理设备#2，充当登记在处理设备#1中的用户的查看终端104与本地用户id服务器152或者本地元数据服务器156之间的中间装置以在它们之间进行数据交换。然而，这仅仅是一种示例。可替代地，例如，如果基于从查看终端104发来的关于用户的认证信息该用户尚未登记在处理设备#2中，则处理设备#2可以向查看终端104返回指示不可能进行认证的响应。在这种情况下，查看终端104请求本地用户id服务器152通过使用高层装置的已登记地址信息来执行认证。如果认证成功，查看终端104访问本地元数据服务器156并且获取必需的元数据。

在图13中图示的示例中，用户移动到由与用户所属组织内的自己的规定处理设备不同的处理设备110所管理的本地系统100，并且查看文档。位于用户所属组织外部的用户可能能够查看从他们自己的规定处理设备分发的文档。在这种情况下，用户的查看终端104由中央管理系统200中的用户id服务器210来认证，并且从元数据服务器230获取待查看的期望文档的元数据。

did的示例

接下来，将参照图15描述被用作识别文档管理系统中的edoc的信息的did600的配置。

如图15中图示的，did600包括发布权限密钥602、处理设备专用信息604、发布日期606、发布证书密钥608、和发布号610。在图15中图示的did600和元素602至610中的数字的数量仅仅是图示性的。

发布权限密钥602是识别did服务器220分配给处理设备110的发布权限的密钥信息。在从处理设备110接收到对发布权限和发布配额的请求时，did服务器220生成发布权限密钥602并且将发布权限密钥602连同发布配额的值(例如，最多100个文档)发送至处理设备110。在本地did服务器154介于did服务器220与处理设备110之间的系统配置中，例如，did服务器220统一将多组发布权限密钥和发布配额分配给本地did服务器154。该分配可以意味着did服务器220请求本地did服务器154将该多组发布权限密钥和发布配额分配给处理设备110。响应于来自本地did服务器154管理的处理设备110的对发布权限的请求，本地did服务器154可以将这分配的多组发布权限密钥和发布配额中尚未分配给处理设备110的发布权限密钥和发布配额组分配给处理设备110。

处理设备专用信息604是已经发布did的处理设备110所专用的信息。即，检查did600中的处理设备专用信息604以唯一识别已经发布did600的处理设备110。处理设备专用信息604由处理设备110保持。

发布日期606是指示发布did600的时间的字符串，其表示为年/月/日值。did的发布日期也是生成(编码)分配有did的edoc的日期。

发布证书密钥608是用于证明处理设备110(通过使用处理设备专用信息604识别)已经通过使用发布权限密钥602指示的发布权限发布了did600的密钥信息。发布证书密钥608是例如通过使用处理设备110的私钥对发布权限密钥602进行加密而获得的值。当通过使用处理设备110的公钥对发布证书密钥608进行解密而获得的值与发布权限密钥602匹配时，证明did600已经被处理设备110使用发布权限密钥602发布。可替代地，发布证书密钥608可以是通过使用处理设备110的私钥对did600的除了发布权限密钥602之外的部分的值(或者指示从该值生成的预定数量的数字的哈希值)进行加密而获得的值。在这种情况下，除非通过使用处理设备110的公钥对发布证书密钥608进行解密而获得的值与did600的除了发布证书密钥608之外的这部分的值不一致(例如，如果因为解密而获得的值与该值的哈希值匹配)，则证明did600已经被处理设备110基于发布权限密钥602发布并且证明did600的除了发布证书密钥608之外的这部分未受到篡改。

发布号610是指示在处理设备110通过使用发布权限密钥602发布的did中did600的序数的序列号。通过使用某个发布权限密钥602生成的did600的发布号610所能取的最大值等于did服务器202(或者本地did服务器154)连同发布权限密钥602一起分配的发布配额的值(文档的数量)。

在登记之后对目的地的改变

在将edoc登记在文档管理系统中之后，分发者(或者具有改变目的地列表的权限的任何其他人)可能希望添加或者删除目的地或者修改授予目的地的访问edoc的权限。在这种情况下，例如，分发者通过使用创建终端102或者查看终端104(下文统称为用户终端)来访问规定处理设备110，指定目标edoc的did，并且发布编辑目的地列表(或者访问权限)的指令。

在接收到该指令时，如果已经发布该指令的用户通过用户认证已经被验证为针对目标edoc授权的分发者或者任何其他人，则处理设备110将用于编辑目的地列表和访问权限的编辑画面提供至用户终端。术语“分发者或者任何其他人”统一是指已赋予改变目的地权限的分发者和任何其他人。编辑画面可以与图9中图示的输入画面400相似。分发者或者任何其他人在编辑画面上添加或者删除目的地用户和查看终端或者改变访问权限的内容。当分发者或者任何其他人在编辑画面上进行必要的改变并且然后执行确认该改变的操作时，处理设备110将该改变反映在处理设备110中保存的edoc的元数据中并且将改变的内容报告给本地元数据服务器156和元数据服务器230，该本地元数据服务器156和元数据服务器230是处理设备110的高层装置。本地元数据服务器156和元数据服务器230将报告的改变的内容反映在保存的edoc的元数据中。例如，即使是在分发edoc时被指定为目的地的用户也可能无法查看该edoc，如果该用户由于后来的改变被从目的地列表去除了。响应于按照上面描述的方式对edoc的元数据中的目的地信息进行的改变，处理设备110可以向在该改变之前已经包括在目的地信息中但在该改变之后未包括在目的地信息中的目的地查看终端104发送删除edoc文件(和对应的元数据)的指令。

在上述示例中，处理设备110接受改变edoc的目的地或者访问权限的指令。可替代地或者另外，高层装置，即管理系统200(元数据服务器230)或者组织内管理系统150(本地元数据服务器156)，可以接受改变指令。在这种情况下，高层装置将根据改变指令改变的新元数据发送至已经生成edoc的处理设备110(并且发送至在处理设备110所属组织内的本地元数据服务器156)以用该新元数据替代在处理设备110中存储的现有元数据。

处理设备的状态的管理

接下来，将描述基于处理设备110的状态的管理的控制。

处理设备110周期性地向管理系统200报告其状态。在管理系统200中，处理设备管理服务器240与接收到该状态的日期和时间关联地将接收到的状态添加到处理设备110的状态历史242。进一步地，处理设备管理服务器240检查接收到的状态并且控制是否能够基于检查结果向处理设备110的用户提供服务。

从处理设备110周期性地发送至处理设备管理服务器240的状态包括与在图6中示例性地图示的处理设备110的状态244中的项相似的项。注意，可以不周期性地发送可以不通过处理设备110改变的状态244的项，诸如，安装位置、编码器电路信息、和处理设备110的制造商名称。

处理设备管理服务器240基于从处理设备110发送的状态来执行例如在图16中示例性地图示的处理。

首先，在接收到来自处理设备110的状态时(s100)，处理设备管理服务器240对照项的相应标准检查状态中的待检验的项的值(s102)。待检验的项包括加密软件的名称和版本、编码软件的名称和版本、安装在处理设备110中的安全证书、关于安装在处理设备110中的加密密钥(该加密密钥用于诸如通信路径加密或者签名等目的，例如，一对私钥和公钥)的信息(诸如，密钥的识别信息以及密钥的安装日期和时间)、编码器电路的名称、固件(fw)的版本、已安装字体类型、盘(二级存储装置)的可用空间。单独的项的标准的示例如下：加密软件、编码软件和固件的版本是最新的(或者比某个版本更新)；盘的可用空间大于或者等于预定阈值；已安装的安全证书不包括纳入黑名单内的证书；自处理设备110的加密密钥的安装日期以来尚未过去预定时段；以及安装有预定类型的字体。

例如，期望的是，将处理设备110用于通信路径加密、签名等的加密密钥周期性地改变成新密钥以便保持安全。因此，自安装日期和时间以来已经过去预定时段的加密密钥被确定为不满足标准，并且不允许提供服务(或者发布表示不允许提供服务的警告)。鼓励交换新的密钥。

然后，处理设备管理服务器240确定从处理设备110接收到的状态中的待检验的项是否包括不满足标准的项(s104)。如果所有待检验的项都满足相应标准，则该处理对于当前接收到状态的处理设备110结束。如果在s104中确定找到了不满足标准的项，则处理设备管理服务器240通知处理设备110服务被禁用(s106)。在接收到该通知时，处理设备110停止将文档登记(分发)到根据本示例性实施方式的文档管理系统的服务。即，处理设备110不接受来自创建终端102的登记(分发)文档的请求，并且返回指示服务当前不可用的消息。

该控制可以降低处理设备110生成质量不满足标准的edoc的风险。例如，该控制允许在通过利用旧加密软件进行强度不够的加密生成edoc之前停止将服务提供给处理设备110。另外，在诸如由于低可用盘空间或者旧固件在edoc生成过程中出现错误而产生文档泄漏的事件发生之前，服务不会变成可用。而且，在用不同的字体替换文档中的预定字体并且通过不具有该字体的处理设备110对该文档进行编码所导致的edoc文件的图像质量降低之前，服务不会变成可用。其它事件也不太可能会发生，诸如，对edoc文件的图像大小的限制，这是因为，由于编码器电路的旧固件，不支持最新固件所支持的文档的图像大小。

可以将状态中待检验的项分为影响edoc安全的项和不影响edoc安全的项，并且可以使处理设备110仅在前一种项不满足标准时停止服务。当后一种项不满足标准时，向处理设备110或者处理设备110的管理员提供警告，并且鼓励其解决掉有关该项的问题。响应于该警告，处理设备110的管理员就不需要任何专家技术人员帮助即可解决问题的项对处理设备110进行修理，否则要求系统操作者派遣维修人员。如果在待检验的项中发现了特定项不满足标准，则处理设备管理服务器240可以自动安排向处理设备110派遣维修人员。

将参照图17描述在图16中图示的处理的修改。

在图17中图示的过程中，基于另一种判据，即，紧急性，来划分处理设备110的状态中待检验的项。紧急项是在安全方面对处理设备110生成的edoc的质量有很大影响或者对文档管理系统的安全有很大影响的项。对于具有不满足标准的紧急项的处理设备110生成的edoc，可能不能确保足够的安全，或者，如果具有不满足标准的紧急项的处理设备110继续运行，则处理设备110会对文档管理系统造成安全漏洞(脆弱性)。紧急项的示例包括加密软件版本、安装在处理设备110中的安全证书、和在安装在处理设备110中的加密密钥中发现了脆弱性。

避免由不满足标准的紧急项产生的问题的一种方法是禁用紧急项不满足标准的处理设备110，派遣维修人员，并且针对该紧急项校正或者修复处理设备110。在这种情况下，用户无法使用处理设备110，直到完成该校正，这可能会给用户带来不便。

因此，在图17中图示的过程中，如果在s104中找到不满足标准的项，则处理设备管理服务器240确定所找到的项是否是紧急项(s110)。如果该项是紧急项，则处理设备管理服务器240经由广域网10将用于校正有关该紧急项的问题的设置信息从处理设备管理服务器240远程地安装到处理设备110(s112)。用于校正有关紧急项的问题的设置信息的示例包括加密软件的最新版本、具有发现了脆弱性的较旧版本的安全证书的已经解决好脆弱性的最新版本、以及替换发现了脆弱性的处理设备110的私钥和公钥对的新密钥对。

例如，为了远程地按照新密钥对，处理设备管理服务器240准备生成该新密钥对的短语，通过使用该短语来生成密钥对，并且通过使用远程地安装密钥对的安全方法将生成的密钥对发送至处理设备110。

因此，通过使用设置信息将不满足处理设备110的标准的紧急项更新到满足标准的项。响应于该更新，更新在处理设备管理服务器240中存储的在处理设备110的状态中的紧急项的值。

如果在s110中确定结果为“否”(如果项不是紧急项)，则处理设备管理服务器240将指示不满足标准的项的警告发送至处理设备110或者管理员，并且安排向处理设备110派遣维修人员以针对该项进行校正(s114)。如果处理设备110继续运行，则不是紧急项的项可能不太会引起严重的安全问题，并且采取的措施是派遣维修人员而不是禁用处理设备110。由于处理设备管理服务器240不需要为紧急项之外的项远程地安装设置信息，所以可以避免处理设备管理服务器240的负载增加。

在图17中图示的示例中，从处理设备管理服务器240到处理设备110，从上往下地安装关于紧急项的设置信息。因此，将设置信息安装到处理设备110中，并且更新处理设备110的状态中的紧急项的值。对于状态中除了紧急项之外的项，相反，例如，维修人员设置或者改变项的值并且将有关该项的设置信息(例如，加密软件的最新版本)安装到各个处理设备110中。将在处理设备110中执行的对状态中的项的值的设置或者改变报告至高层装置，即，处理设备管理服务器240，并且，响应于该报告，处理设备管理服务器240改变在处理设备管理服务器240中存储的处理设备110的状态中的对应项的值。

did验证

在接收到处理设备110发布的did的通知、来自查看终端104的对元数据的请求(该请求包括did)、或者来自用户或者任何其他人对验证did的请求时，管理系统200验证did是否正确。

在这种情况下，did服务器220从以下几点验证目标did60(见图15)。

(a)在did600中的发布权限密钥602与处理设备专用信息604之间发现了一致。

did服务器220检查在其上记录的信息(见图5)是否包括发布权限密钥602，作为待分配给由处理设备专用信息604识别到的处理设备110的发布权限密钥。如果未包括发布权限密钥602，则发布权限密钥602尚未被发布至由处理设备专用信息604识别到的处理设备110。因此，这两者不一致。在这种情况下，did600是未授权did。

(b)在did600中的发布权限密钥602与发布日期606之间发现了一致。

did服务器220上已经与发布权限密钥相关联地记录有密钥分配日期和时间以及密钥终止日期和时间(见图5)。当did600中的发布日期606落在与did600中的发布权限密钥602相关联地记录的密钥分配日期和时间到密钥终止日期和时间的时段外时，在发布权限密钥602与发布日期606之间发现了不一致。在这种情况下，did600是未授权did。

(c)在did600中的发布权限密钥602、处理设备专用信息604、和发布证书密钥608之间发现了一致。

did服务器220通过使用由处理设备专用信息604识别到的处理设备110的公钥对发布证书密钥608进行解密并且确定通过该解密而获得的发布证书密钥是否与did600中的发布证书密钥608匹配。如果发现不匹配，则这三个元素不一致，并且因此发现did600是未授权的。

(d)did600中的发布号610同与发布权限密钥602对应的发布配额一致。

did服务器220上已经记录有连同发布权限密钥602一起分配至处理设备110的发布配额(见图5)。当did600中的发布号610大于与发布权限密钥602相关联地记录的发布配额中指定的值时，对应的did是未授权did。

(e)did600中的发布号610与包括和did600中的发布权限密钥602相同的发布权限密钥的已发布did的发布号一致。该标准用于：在从处理设备110接收到新发布的did的通知时，验证该did是否与已经发布的did不一致。

did服务器220上已经与发布权限密钥相关联地记录有通过使用发布权限密钥和有关发布日期和时间的信息来发布的did(在图5中的已发布did列表)。did服务器220检查具有与待验证的did600中的发布权限密钥602相同的发布权限密钥的已发布did是否包括具有与did600中的发布号610相同的发布号的did。如果包括这种did，则确定did600是未授权的。

(f)在did600中的发布日期606和发布号610的组合与包括和did600中的发布权限密钥602相同的发布权限密钥的已发布did的发布日期和发布号的组合一致。

did服务器220确定在待验证的did600中的发布日期606和发布号610的组合是否与包括和did600中的发布权限密钥602相同的发布权限密钥的单独的已发布did的发布日期和发布号的组合不一致，即，是否存在这两个发布日期的顺序(按照时间顺序或者升序)和这两个发布号的顺序(降序)相反的组合。例如，如果发现发布日期晚于did600的发布日期并且发布号小于did600的发布号的已发布did，则在did600与发现的已发布did之间发现了不一致，即顺序相反。如果发现了这种不一致，则仅确定待验证的did600是未授权的或者确定did600和已发布did两者均是未授权的。

如果通过基于上述标准进行的验证确定某个did是未授权的，则did服务器220经由电子邮件或者任何其它合适的方法将警告发送至与该未授权did有关的处理设备110的管理员。该警告包括指示已经发现了伪造待由处理设备110发布的did的消息。响应于该警告，管理员采取措施来增强安全。可以从处理设备管理服务器240中存储的信息(见图6)来获得处理设备110的管理员或者管理员的联系方式。与作为该警告的目的地的未授权did有关的处理设备110是通过did中包括的处理设备专用信息604识别到的处理设备110。可以将该警告发送至之前已经分配了与未授权did中包括的发布权限密钥相同的发布权限密钥的处理设备110。

响应于在edoc加密中发现了脆弱性而执行的处理

现在将描述响应于在用于进行加密以生成edoc文件的加密软件中发现了脆弱性而执行的处理。如果文档管理系统的操作者在任何处理设备110使用的特定版本的加密软件中找到了脆弱性发现，则管理系统200将脆弱性通知发送至各个处理设备110。该脆弱性通知包括有关已经发现了脆弱性的加密软件的名称和版本的信息。当存在组织内管理系统150时，将脆弱性通知从管理系统200传给组织内管理系统150，并且组织内管理系统150将脆弱性通知发送至每个下属的处理设备110。响应于该通知，各个处理设备110执行在图18中示例性地图示的处理。

在从高层装置(管理系统200或者组织内管理系统150)接收到脆弱性通知时(s200)，处理设备110识别由处理设备110通过使用发现了该通知中指示的脆弱性的加密软件的版本来加密的文件(s202)。在处理设备110中的文档db116存储由处理设备110生成的edoc文件和对应的元数据，并且使用各个edoc文件的元数据来识别用于生成edoc中的一个对应edoc的加密软件名称和版本(见图3中图示的元数据的示例结构)。在s202中，处理设备110识别元数据中的加密软件名称和版本的组合与脆弱性通知中给出的组合匹配的edoc。

然后，处理设备110通过使用安装在处理设备110中的加密软件的当前版本对各个识别到的edoc文件进行重新加密(s204)。在该示例中，假设已经对处理设备110的加密软件进行了适当地更新并且在处理设备110的加密软件的当前版本中未发现脆弱性。通常，容易在处理设备110的加密软件的旧版本中发现脆弱性。如果在处理设备110的加密软件的当前版本中报告了脆弱性的发现，则处理设备110从高层装置等下载加密软件的最新版本并且通过使用该最新版本来执行重新加密。如果在加密软件的当前使用的最新版本中发现了脆弱性，则可以期望的是，高层装置将包括加密软件的更新的解决了脆弱性的版本或者包括有关软件的分发者的信息。例如，通过使用有关在与edoc文件对应的元数据中记录的解密密钥的信息对目标edoc文件进行解密并且使用根据加密软件的无脆弱性版本的新生成的加密密钥对解密的文件进行加密，来执行该重新加密。假设在处理设备110中保存的元数据按照如下方式包括有关解密密钥的信息：例如，已经通过使用处理设备110的公钥对解密密钥进行了加密。同样，待发送至高层装置的元数据可以按照如下方式包括解密密钥：已经通过使用高层装置的公钥对解密密钥进行了加密。

处理设备110根据该重新加密来更新edoc文件的元数据(s206)。即，处理设备110将元数据(见图3)中的编码日期和时间以及加密信息(加密软件名称、版本信息、和密钥信息)重新写入该重新加密的日期和时间、用于该重新加密的加密软件的名称和版本、以及关于用于解锁该重新加密的解密密钥的信息中。然后，处理设备110保存更新的元数据(例如，保存为edoc文件的最新元数据)并且将元数据上传到高层装置。高层装置保存上传的更新的元数据。

之后，处理设备110执行将通过该重新加密而获得的edoc文件分发至元数据中的目的地信息所指定的各个目的地查看终端104的处理(s208)。即，例如，处理设备110将分发准备完成通知发送至各个目的地查看终端104(见图8中的步骤(7))。除了did和文档名之外，该通知还可以包括指示待分发的edoc是之前分发的edoc的更新的信息。在接收到分发准备完成通知时，当查看者将由于该重新加密而接收到分发准备完成通知的edoc指定为待在查看终端104的列表画面500(见图11)上查看的目标时，查看终端104用从处理设备110获取的edoc文件来覆写存储在其中的在该重新加密之前的先前edoc文件。进一步地，查看终端104将连同edoc文件接收到的更新的元数据保存为edoc的最新元数据。因此，查看终端104中不再存在用易脆弱加密软件加密的edoc文件和对应的元数据，相反存在用未发现脆弱性的加密软件重新加密的edoc文件和对应的元数据。

当发送重新加密的edoc的分发准备完成通知时或者在此之前，处理设备110可以明确地将包括edoc的did的删除通知发送至各个目的地查看终端104。在这种情况下，各个查看终端104根据该指令删除具有did的现有edoc文件(在重新加密之前)。此时，还可以删除现有的元数据。

目的地终端的指定的其它示例

在上述示例中，分发者在创建终端102的用户界面(ui)画面(图9中图示的输入画面400)上可选择的目的地用户和查看终端104局限于登记在相同本地系统100内的处理设备110中的用户和查看终端104或者登记在相同组织内的组织内管理系统150中的用户和查看终端104(在这种情况下，登记在其它处理设备110中的用户和查看终端104也可以被指定为目的地)。

在一些情况下，在与其它组织的人员(访客)进行的会议期间，组织中的用户可能想要使创建的文档(诸如，会议记录)暂时可供访客查看。在这些情况下，将访客或者访客所携带的移动终端登记到处理设备110或者其高层装置中或者在查看之后取消登记比较麻烦。

因此，该示例性实施方式使得能够在某些限制条件下将edoc分发至被识别为访客携带的终端(下文称为“访客终端”)的查看终端104。

例如，将创建终端102附近的用户的终端识别为访客终端，并且将该访客终端添加至目的地终端选择菜单406中的可选择选项的列表。可替代地，将处理设备110附近的用户的终端识别为访客终端，并且将该访客终端添加至目的地终端选择菜单406中的可选择选项的列表。创建终端102或者处理设备110通常放置在组织所在建筑中的房间(例如，部门的房间或者会议室)中，并且在创建终端102或者处理设备110附近的人期望是已经进入该房间有权限参与会议等的人。

例如，处理设备110或者创建终端102搜索处理设备110或者创建终端102能够通过使用诸如蓝牙低功耗(注册商标)等短程无线通信与其通信的对方终端，并且确定发现的对方终端或者发现的对方终端中离处理设备110或者创建终端102的距离小于或者等于预定阈值的终端是附近的访客终端(在一些短程无线通信中，可以确定与对方终端的通信距离)。在目的地终端选择菜单406中，按照与该组织内的预登记的查看终端104不同的方式，显示由处理设备110或者创建终端102检测到的访客终端的终端名称，作为可选择选项。分发者能够从中选择目的地访客终端。

处理设备110或者创建终端102可以仅选择附近的终端中满足预定条件的终端，而不是所有附近的终端，作为要添加到可选择的目的地的列表的访客终端。该条件的示例包括：查看器应用或者待检验的终端中包括的任何其它具体软件的版本大于或者等于某个版本的条件、以及待检验的终端不包括在预定终端拒绝列表中的条件。

携带访客终端的用户通常尚未被登记在处理设备110、本地用户id服务器152等中。因此，在从被指定为文档的分发目的地的访客终端接收到对edoc文件或者元数据的请求时，处理设备110可以将edoc文件和元数据分发至该访客终端，而不执行用户认证。待分发至访客终端的edoc的元数据包含在满足删除条件时删除来自访客终端的edoc文件和元数据的删除指令。删除条件的示例包括：完成将edoc显示在画面上、以及从分发的时间算起过去了预定允许时段。在满足删除条件的时间点处，访客终端删除edoc文件和元数据。这可以降低访客终端泄漏edoc的风险。

响应于来自非目的地终端的请求所采取的动作

上述示例是基于推分发，在该推分发中，处理设备110将edoc(或者edoc的分发准备完成通知)分发至被分发者指定为目的地的查看终端104。

另一示例可以基于拉分发，在该拉分发中，响应于来自查看终端104的请求，处理设备110将处理设备110保持的edoc列表提供至查看终端104并且将用户从该列表可选择的待查看的edoc分发至查看终端104。在拉分发中，目的地用户可以从未被指定为目的地的查看终端104访问处理设备110并且可以请求edoc。响应于该请求，处理设备110可以采取以下动作。

第一种方法

在从查看终端104接收到分发edoc的请求时，处理设备110确定该查看终端104是否是被指定为在该edoc的最新元数据中的目的地信息中的目的地的查看终端。如果确定查看终端104不是被指定为目的地的查看终端，则处理设备110不将edoc的文件(主体)或者元数据发送至查看终端104。如果确定查看终端104是被指定为目的地的查看终端，则处理设备110可以进一步确定已经提出该分发请求的用户(或者用户和查看终端104的组合)是否包括在元数据的目的地信息中。如果包括该用户，则处理设备110可以分发edoc，并且，如果不包括该用户，则处理设备110不可分发edoc。

在第一种方法中，因此，不将edoc(作为主体的文件和元数据)分发至不是分发者指定的目的地的查看终端104。

第二种方法

在该方法中，即使已经发出分发edoc的请求的查看终端104不是该edoc的元数据中的目的地信息中指定的目的地查看终端104，处理设备110将作为edoc的主体的文件和元数据发送至查看终端104，只要包括已经发布该请求的用户(即，正在使用查看终端104的用户)作为目的地信息中的目的地即可。然而，在这种情况下，处理设备110将指示不允许保存的标志信息包含在待发送的edoc文件和元数据中。查看终端104显示包括指示不允许保存的标志信息的edoc文件和元数据，但是不接受来自用户的保存指令。在用户已经完成查看之后，查看终端104丢弃edoc文件和元数据，不保存它们。

代替不将发送至被指定为目的地的查看终端104的edoc文件和元数据保存在查看终端104中的方法，可以设想临时保存edoc文件和元数据的方法。在这种情况下，当查看终端104稍后要再次打开edoc文件时，查看终端104请求处理设备110等发送edoc的最新元数据(该请求用于请求允许查看)。响应于该请求，处理设备110确定查看终端104和请求用户的组合是否包括在元数据中的目的地信息中。如果不包括该组合，则处理设备110向查看终端104发送删除edoc的指令。根据该指令，查看终端104删除保存在其中的edoc文件和对应的元数据。处理设备110可以只是响应于该请求而返回最新元数据，而不是明确地向已经请求最新元数据的查看终端104发送删除edoc的指令。在这种情况下，查看终端104可以确定接收到的最新元数据是否包括查看终端104和当前用户的组合。如果不包括该组合，则查看终端104可以删除保存在其中的edoc文件，不打开edoc文件。

在上述图18中图示的示例中，重新加密的edoc文件继承了在重新加密之前的先前edoc文件的did。可替代地，可以将与在重新加密之前的先前edoc文件的did不同的did分配给重新加密的edoc文件。在这种情况下，处理设备110向各个目的地查看终端104发送包括在重新加密之前的先前edoc文件的did的明确删除指令以防止发现了脆弱性的在重新加密之前的先前edoc文件被留在查看终端104中。另外，将指示重新加密的edoc文件和重新加密之前的先前edoc文件与相同文档对应的关联性信息记录在与重新加密的edoc文件对应的元数据中或者记录在处理设备110(或者高层装置，即，did服务器220或者本地did服务器154)上。例如，当将关联性信息记录在与重新加密的edoc对应的元数据中时，可以将在重新加密之前的先前edoc的did包括在元数据中作为例如“更新之前的did项”。

已经描述了本发明的示例性实施方式。通过使计算机执行指示上面描述的装置的功能的程序来实施上面示例性地图示的装置，诸如，创建终端102、查看终端104、处理设备110、本地用户id服务器152、本地did服务器154、本地元数据服务器156、用户id服务器210、did服务器220、元数据服务器230、和处理设备管理服务器240。例如，计算机具有电路配置，在该电路配置中，硬件组件，诸如，微处理器(诸如，中央处理单元(cpu))、存储器装置(一级存储装置)(诸如，随机存取存储器(ram)和只读存储器(rom))、控制固定存储装置(诸如，闪速存储器、固态驱动(ssd)、和硬盘驱动(hdd))的控制器、各种输入/输出(i/o)接口、以及执行控制以与网络(诸如，局域网)连接的网络接口，经由总线彼此连接。描述这些组件的功能的处理的程序经由网络等保存在固定存储装置(诸如，闪速存储器)中并且安装到计算机中。存储在固定存储装置中的程序被加载到ram中并且由微处理器(诸如，cpu)执行以实施上面举例说明的功能模块。

出于图示和说明之目的，已经提供了对本发明的示例性实施方式的前述说明。不旨在穷尽地或者将本发明局限于所公开的精确形式。显然，对于本领域的技术人员而言，许多修改和变型都是显而易见的。本实施方式的选取和描述是为了最好地阐释本发明的原理及其实际应用，从而使本领域的技术人员能够理解本发明的具有适于所预期的特定用途的各种实施方式和各种修改例。本发明的范围旨在由所附权利要求书及其等效物限定。