数据处理系统、电子邮件系统、附加数据管理方法和程序的制作方法

专利名称：数据处理系统、电子邮件系统、附加数据管理方法和程序的制作方法
技术领域：
本发明涉及数据处理系统等，记录与电子邮件(email)中附加的附加数据的收发有关的信息，同时管理附加数据，以便防止向第三方传送等恶意使用。
背景技术：
近年来，在办公室和家庭中，通过电子邮件收发信息的机会日渐频繁。电子邮件是非常快捷方便的工具，不需要人实际上去写信。但是，缺点在于有时会怀疑电子邮件的发件人是否真的创建了电子邮件的内容。
因此，为了表示电子邮件的发件人就是实际上创建电子邮件内容的那个人，在电子邮件中附加签名数据(表示是本人、他人难以仿造的信息。包含签名、面部肖像等)。以前，采用的方法是在电子邮件中附加签名数据时，签名数据直接附加在电子邮件中，使电子邮件和签名数据一体化，同时发送到发送目的地(例如，参考专利文献1)。
在电子邮件中不仅能附加签名数据，而且还能附加用字处理软件等制作的文档数据、用电子表格软件制作的工作表数据等数据。即使在电子邮件中附加这种附加数据(所谓的“附件”)来发送时，以前采用的方法是附加数据直接附加在电子邮件中，使电子邮件和附加数据一体化，同时发送到发送目的地。
专利文献1特开2001-125846号公报(第5-6页，图3)但是问题在于因为附加数据直接附加或粘贴在电子邮件中，所以如果将附加数据从电子邮件中分离出来，此后就不能追踪该附加数据原来的发件人、收件人，难以捕捉向第三方传送附加数据等行为。
而且，问题在于因为是使电子邮件和附加数据一体化后发送的，所以在电子邮件收件人的手中有附加数据，因此，容易进行向第三方发送附加数据等恶意使用。
即，现有技术没有提供有效防止向第三方发送附加数据等恶意使用的手段。
为了解决上述技术问题，本发明的目的在于有效防止恶意使用电子邮件中附加的附加数据。
本发明的另一个目的是之后可以追踪附加数据原来的发件人、收件人等。
本发明的再一个目的是不容易进行向第三方传送附加数据等恶意使用。
为了实现上述目的，本发明采用以下过程。
(a)与收发有关的信息和附加数据关联。
(b)在特定情况下，与收发有关的信息作为认可标识符。
(c)发送时和接收后，希望分别管理附加数据和电子邮件主体。
(d)对和电子邮件分开管理的附加文件的公开请求，务必检查其合法性。
具体地说，用于实现过程(a)的数据处理系统包含信息生成装置(执行视觉签名管理单元12的步骤210的装置)，用于得到与电子邮件中附加的附加数据的收发有关的信息的信息；组合附加数据生成装置(执行视觉签名管理单元12的步骤314的装置)，将附加数据和其生成的信息组合，生成组合附加数据。
用于实现过程(b)、(c)的第一数据处理系统包含认可标识符生成装置(执行视觉签名管理单元12的步骤210的装置)，根据请求在电子邮件中附加附加数据来发送的发送请求，生成用于唯一识别该发送请求的认可标识符；存储装置(发送签名存储单元13和发送签名DB14)，使认可标识符和附加数据关联地存储；电子邮件发送装置(执行电子邮件处理单元11的步骤213、214的装置)，将认可标识符附加在电子邮件中发送。
而且，用于实现过程(b)、(c)的第2数据处理系统包含认可标识符检测装置(执行电子邮件处理单元31的步骤303的装置)，判断在收到的电子邮件中是否包含用于唯一识别请求将附加数据附加在电子邮件中发送的发送请求的认可标识符；发送请求装置(执行视觉签名管理单元32的步骤308的装置)，当通过认可标识符检测装置判断出包含认可标识符时，通过发送该认可标识符进行附加数据的发送请求。
用于实现过程(d)的数据处理系统包括附加数据存储装置(执行视觉签名管理单元32的步骤321的装置)，在附加在电子邮件中的附加数据中附加并存储包含与该附加数据的合法收件人有关的信息的信息；附加数据提供装置(执行视觉签名管理单元32的步骤409、412的装置)，根据附加数据的获取请求，基于该附加数据中附加的信息，判断提出该获取请求的人是不是该附加数据的合法收件人，如果是合法收件人，则向请求方提供该附加数据。


图1示出了本实施例的电子邮件系统的整体结构图；图2示出了本实施例的发送侧邮件服务器的结构图；图3示出了本实施例的接收侧邮件服务器的结构图；图4示出了本实施例的发送签名DB的内容；图5示出了本实施例的认可标识符DB的内容；图6示出了本实施例的接收签名DB的内容；图7示出了本实施例的日志DB的内容；图8示出了本实施例的处理操作；图9示出了本实施例的视觉签名的注册·变更·删除操作的流程图；图10示出了本实施例的电子邮件的发送操作的流程图；图11示出了本实施例的电子邮件的接收和视觉签名的获取操作的流程图；图12示出了本实施例的电子邮件的显示操作的流程图；图13示出了本实施例的电子邮件删除操作的流程图。
具体实施例方式
以下，基于附图所示的实施例详细说明本发明。
图1示出了本实施例的电子邮件系统的整体结构图。如图1所示，在电子邮件的发送侧设置发送侧邮件服务器10，其与发送侧邮件客户端21～2n连接。在电子邮件的接收侧设置接收侧邮件服务器30，其与接收侧邮件客户端41～4n连接。发送侧邮件服务器10和接收侧邮件服务器30通过计算机网络50连接。
发送侧邮件服务器10是服务器计算机，具有将发送侧邮件客户端21～2n发送的电子邮件发送给接收侧邮件服务器30的功能。具体地说，具有中央处理器(CPU)、主存储装置、外部存储装置(例如磁盘装置)、通信控制装置等，中央处理器的功能是在操作系统(OS)的控制下，将外部存储装置中存储的计算机程序读到主存储装置中来执行。这里，所执行的计算机程序使服务器计算机除了实现作为通常发送侧邮件服务器的功能之外，还实现后述的本实施例的独特功能。该计算机程序最初可以存储在外部存储装置中，也可以从CD-ROM等移动型记录媒体进行安装。
发送侧邮件客户端21～2n是发送电子邮件的用户使用的个人计算机等终端装置。具体地说，具有中央处理器(CPU)、主存储装置、外部存储装置(例如磁盘装置)、输入装置(例如键盘、鼠标)、输出装置(例如CRT)、通信控制装置等，中央处理器的功能是在操作系统(OS)的控制下，将外部存储装置中存储的计算机程序读到主存储装置中来执行。这里，所执行的计算机程序包含所谓的电子邮件软件，电子邮件软件是在终端装置中至少实现电子邮件的制作和发送功能的软件。电子邮件软件最初可以存储在外部存储装置中，也可以从CD-ROM等移动型记录媒体进行安装。
接收侧邮件服务器30是服务器计算机，具有能使接收侧邮件客户端41～4n阅览所请求的电子邮件的功能。具体地说，具有中央处理器(CPU)、主存储装置、外部存储装置(例如磁盘装置)、通信控制装置等，中央处理器的功能是在操作系统(OS)的控制下，将外部存储装置中存储的计算机程序读到主存储装置中来执行。这里，所执行的计算机程序是使服务器计算机除了作为通常的接收侧邮件服务器的功能之外，还实现后述的本实施例的独特功能。该计算机程序最初可以存储在外部存储装置中，也可以从CD-ROM等移动型记录媒体进行安装。
接收侧邮件客户端41～4n是接收电子邮件的用户使用的个人计算机等终端装置。具体地说，具有中央处理器(CPU)、主存储装置、外部存储装置(例如磁盘装置)、输入装置(例如键盘、鼠标)、输出装置(例如CRT)、通信控制装置等，中央处理器的功能是在操作系统(OS)的控制下，将外部存储装置中存储的计算机程序读到主存储装置中来执行。这里，所执行的计算机程序包含所谓的电子邮件软件，电子邮件软件是在终端装置中至少实现电子邮件的接收和显示功能的软件。电子邮件软件最初可以存储在外部存储装置中，也可以从CD-ROM等移动型记录媒体进行安装。
接着，详细说明本实施例的独特构成。
本实施例是一种电子邮件系统，记录与电子邮件中附加的附加数据的收发有关的信息，同时管理附加数据，以便防止向第三方传送附加数据等恶意使用。这里，所谓“附件”的概念包含在电子邮件中附加独立于电子邮件正文而生成的数据的所有形式，例如，包含在电子邮件中另外附加通过字处理软件生成的文档数据、通过电子表格软件生成的工作表数据等形式，或者，例如通过在电子邮件主体(正文)中粘贴通过图像编辑软件生成的图像数据来附加的形式。所谓“附加数据”的概念包含如此附加的所有数据。
但是，以下从防止恶意使用附加数据的观点出发，以表示签名数据、尤其是在视觉上证明是本人的“视觉签名”为例进行说明。
图2示出了本实施例的发送侧邮件服务器10的结构图。图2的各功能块是这样实现的在发送侧邮件服务器10中，中央处理器在操作系统的控制下，将存储在外部存储装置中的计算机程序读到主存储装置中来执行。
如图2所示，发送侧邮件服务器10包括电子邮件处理单元11、视觉签名管理单元12、发送签名存储单元13、发送签名数据库(以下称为“发送签名DB”)14、认可标识符数据库(以下称为“认可标识符DB”)15、日志数据库(以下称为“日志DB”)16。
电子邮件处理单元11是具有如下功能的部分不包含签名标识符的电子邮件作为普通的电子邮件发送，包含签名标识符的电子邮件在嵌入了由视觉签名管理单元12确定的认可标识符编号后发送出去。
视觉签名管理单元12具有如下功能进行视觉签名的注册·变更·删除的功能；在发送包含签名标识符的电子邮件时，确定认可标识符编号并与签名标识符相对应地进行管理的功能；响应视觉签名的发送请求，伴随认可标识符一起发送适当的视觉签名的功能。
图3示出了本实施例的接收侧邮件服务器30的结构图。图3的各功能块是这样实现的在接收侧邮件服务器30中，中央处理器在操作系统的控制下，将存储在外部存储装置中的计算机程序读到主存储装置中来执行。
如图3所示，接收侧邮件服务器30包括电子邮件处理单元31、视觉签名管理单元32、接收签名存储单元33、接收签名数据库(以下称为“接收签名DB”)34和日志DB35。
电子邮件处理单元31是具有如下功能的部分将不包含认可标识符的电子邮件作为普通的电子邮件保存起来，当接收到包含认可标识符的电子邮件时，将视觉签名的发送请求发送给视觉签名管理单元32。
视觉签名管理单元32具有如下功能伴随认可标识符一起发送视觉签名的发送请求的功能；显示·删除带视觉签名的电子邮件的功能。
在图2和图3中，将视觉签名管理单元分为发送侧邮件服务器10中的视觉签名管理单元12、接收侧邮件服务器30中的视觉签名管理单元32来设置，但不是必须在发送侧邮件服务器10和接收侧邮件服务器30中都设置视觉签名管理单元。即，也可以在发送侧邮件服务器10的电子邮件处理单元11、接收侧邮件服务器30的电子邮件处理单元31能公共访问的地方设置1个视觉签名管理单元。基于这种观点，视觉签名管理单元12可以相当于视觉签名管理单元中的发送部分，视觉签名管理单元32相当于视觉签名管理单元的接收部分。因此，在本实施例中，将视觉签名管理单元12简称为“发送单元”，将视觉签名管理单元32简称为“接收单元”。
接着，说明本实施例中使用的数据库。在本实施例中，除了这些数据库以外，例如还存在用于保管电子邮件的电子邮件数据库等，但因为这些都是一般的电子邮件软件所具备的，所以不再赘述。而且，作为各数据库中包含的信息项目(字段)，仅在实现本实施例的基础上作必要的说明。“关键字”栏中带“O”的字段是所谓的关键字字段，计算机程序可以通过指定该字段的值直接访问特定的字段。
首先，说明发送侧邮件服务器10内的发送签名DB14。发送签名DB14管理与签名持有者注册的视觉签名有关的信息。视觉签名本身不包含在该发送签名DB14中，而是位于结构独立于它的发送签名存储单元13中。发送签名DB14由多条记录构成。1条记录对应1个视觉签名。各条记录在注册视觉签名时生成，在视觉签名所有者删除其视觉签名时删除该记录。图4示出了各条记录的格式。如图4所示，各条记录包含用于存储签名标识符、图像文件的位置信息、密码的各个字段，和用于存储日志·记录的n个字段。这样，各个日志·记录包含用于存储事件类型、时戳和事件从属信息的字段。
接着，说明发送侧邮件服务器10内的认可标识符DB15。认可标识符DB15管理在签名持有者在发出与电子邮件同时发送签名的请求时所发布的认可标识符。因为可以把认可标识符作为关键字来访问，所以在有来自收件人的签名图像发送请求时，视觉签名管理单元12通过首先利用与该请求同时发送的认可标识符作为关键字、访问该文件以得到签名标识符，接着利用该签名标识符作为关键字、访问发送签名DB14，来访问所期望的视觉签名图像。认可标识符DB15由多条记录构成。1条记录对应1个认可标识符。每条记录在请求随签名一起发送邮件并生成认可标识符时被创建，并在将签名图像发送到发送目的地时被删除。图5示出了每条记录的格式，如图5所示，每条记录包含用于存储认可标识符、签名标识符、有效期限、发送目的地标识符的字段。
接着，说明接收侧邮件服务器30内的接收签名DB34。接收签名DB34管理与收到的视觉签名有关的信息。视觉签名本身不包含在接收签名DB34中，而是位于独立于接收签名DB34构成的接收签名存储单元33中。接收签名DB34由多条记录构成。1条记录对应1个视觉签名。每条记录在接收带认可标识符的电子邮件时被创建，在删除带认可标识符的电子邮件时被删除。图6示出了每条记录的格式。如图6所示，每条记录包含用于存储认可标识符、邮件接收日期和时间、签名发送请求日期和时间、签名接收日期和时间、图像文件的位置信息的字段。
最后，对发送侧邮件服务器10内的日志DB16、接收侧邮件服务器30内的日志DB35进行说明。日志DB16、日志DB35记录与签名图像的收发关联发生的事件。日志DB16、日志DB35由多条记录构成。1条记录对应1个事件的发生。日志DB16、日志DB35被格式化成预先包含预定数量的记录，在作为记录对象的事件发生时，从最初的记录开始顺次1个1个地使用记录。在使用了最后一条记录后，通过重写第1条记录的内容来记录下一个事件。此外，尽管以这种方式使用的数据库总是需要包含下一个要使用的记录的位置信息的头部记录，但这里省略了对头部记录的描述。图7示出了各条记录的格式。如图7所示，每条记录包含用于存储事件发生日期和时间、事件、事件标识符、事件从属信息的字段。
接着，详细描述在本实施例的电子邮件系统中被执行的独特处理。
图8概略地示出了本实施例的处理操作。
首先，希望在电子邮件中附加视觉签名的人预先在视觉签名管理单元12中注册包含视觉签名的图像文件D1。视觉签名管理单元12在认可注册时向签名的注册者发布签名标识符和密码D2。签名的注册者(签名的持有者)可通过指定签名标识符和密码D2进行对注册到视觉签名管理单元12中的自己签名的参考、变更、注销(删除)以及对签名发送历史的参考和注销(删除)。在注册时为视觉签名分配具有多个数字的随机数值D3。在显示该视觉签名时，该数值重叠在视觉签名上显示。这样做是为了即使别人将模仿该视觉签名的图形作为自己的签名登录到视觉签名管理单元12中，也能判别出原始的签名。
以下，参考图9详细说明进行视觉签名的注册、变更、删除时本实施例的处理。
最初，视觉签名管理单元12处于等待输入的状态(步骤101)，当从外部输入数据时，认可该输入，判别输入的内容(步骤102)。
首先，说明请求注册视觉签名时的情况。
在这种情况下，处理进入步骤103。视觉签名管理单元12处于等待输入签名的状态(步骤103)，当从用户使用的发送侧邮件客户端发送包含视觉签名的图像文件时，生成签名标识符和密码(步骤104)，将签名标识符和密码发送给该发送侧邮件客户端(步骤105)。
视觉签名管理单元12随机地确定由多个数字组成的数值(步骤106)，嵌入到视觉签名中(步骤107)。这样，视觉签名管理单元12将包含视觉签名的图像文件存储在发送签名存储单元13中，同时，将签名标识符、图像文件的位置信息(在发送签名存储单元13中的地址)、密码和表示注册了签名含义的日志记录注册在发送签名DB14中(步骤108)，然后返回步骤101的等待输入状态，这时，将表示已注册该视觉签名的日志记录记录在日志DB16中。
接着，说明请求变更视觉签名的情况。
这种情况下，处理进入步骤109。视觉签名管理单元12向签名持有者请求签名标识符和密码(步骤109)，当输入签名标识符和密码时，判断密码是否正确(步骤110)。具体地说，将输入的签名标识符和密码的组合与发送签名DB14中存储的签名标识符和密码的组合相比较，如果一致，则判断为密码是正确的，如果不一致，则判断为密码是不正确的。在步骤110判断出密码不正确的情况下，进入错误处理，在步骤110判断出密码正确的情况下，处理进入步骤111，变为视觉签名的等待输入状态(步骤111)。
当从用户使用的发送侧邮件客户端发送包含视觉签名的图像文件时，视觉签名管理单元12随机地确定具有多个数字的数值(步骤112)，并嵌入到视觉签名中(步骤113)。然后，更新存储在发送签名存储单元13中的图像文件和发送签名DB14的内容(步骤114)。具体地说，首先，从发送签名DB14获取对应于在步骤109中输入的签名标识符的记录，根据包含在该记录中的“图像文件位置信息”指定包含对应于该签名标识符的视觉签名的图像文件的位置。接着，用步骤113中嵌入数值后的图像文件替换这里指定的图像文件。而且，在该记录中追加表示已变更该签名的日志记录，并将该记录回写到发送签名DB14中。之后，处理返回步骤101的等待输入状态。
这时，将表示已变更视觉签名的日志记录记录在日志DB16中。
最后，说明请求删除视觉签名的情况。
这种情况下，处理进入步骤115。视觉签名管理单元12向签名持有者请求签名标识符和密码(步骤115)，当输入签名标识符和密码时，判断密码是否正确(步骤116)。具体地说，将输入的签名标识符和密码的组合与发送签名DB14中存储的签名标识符和密码的组合相比较，如果一致，则判断出密码是正确的，如果不一致，则判断出密码是不正确的。在步骤116中判断出密码不正确的情况下，进入错误处理，在步骤116中判断出密码正确的情况下，删除发送签名存储单元13中存储的图像文件，同时从发送签名DB14中删除相关信息(步骤117)。具体地说，首先，从发送签名DB14中获取对应于在步骤115中输入的签名标识符的记录，根据该记录中包含的“图像文件的位置信息”，指定包含对应于该签名标识符的视觉签名的图像文件的位置，并删除该指定的图像文件。接着，从发送签名DB14中删除该记录。之后，处理返回步骤101的等待输入状态。
这时，将表示已删除视觉签名的日志记录记录在日志DB16中。
如上所述，在说明了视觉签名的注册、变更、删除操作之后，返回图8继续说明。
在视觉签名管理单元12中注册视觉签名后，当签名持有者希望在电子邮件D4中附加自己的视觉签名时，包含作为电子邮件一部分的自己的视觉签名的签名标识符D5。当请求发送的电子邮件中包含视觉签名的签名标识符D5时，电子邮件处理单元11在发送处理的过程中把签名标识符和发件人、收件人信息D6发送给视觉签名管理单元12。这里，发件人、收件人信息可以是与收件人和发件人有关的任何信息，例如用发件人和收件人的邮件地址作为可以从电子邮件中获取的信息。
视觉签名管理单元12要求电子邮件的发件人输入密码D7。当输入密码D7时，视觉签名管理单元12检查签名标识符和密码，如果是合法的，则将认可标识符和发送单元标识符D8送回电子邮件处理单元11。这里，所谓认可标识符是指在附加了已经在视觉签名管理单元12中注册的视觉签名后，分配给每一个发送电子邮件请求的标识符，例如，通过组合发件人、收件人信息及认可日期、时间信息来生成该认可标识符。由此，可以通过认可标识符把握视觉签名最初的发送状况。所谓发送单元标识符是指用于指定视觉签名管理单元12、即视觉签名管理单元的发送部分的标识符，例如可以使用邮件地址、IP地址等。
之后，电子邮件处理单元11将认可标识符附加在电子邮件内的消息中，并发送以认可标识符和发送单元标识符替换了包含在电子邮件内的签名标识符的电子邮件D9。
以下，参考图10详细说明发送电子邮件时本实施例的处理。
最初，电子邮件处理单元11处于等待输入的状态(步骤201)，当从外部输入数据时，电子邮件处理单元11接受该输入并检查是不是电子邮件的发送请求(步骤202)。这里，如果判断为不是电子邮件的发送请求，则进入另一个处理，但如果判断为是电子邮件的发送请求，则判断请求发送的电子邮件是不是带签名标识符的电子邮件(步骤203)。此外，通过用特殊符号描述签名标识符，可指示这是一个签名标识符，电子邮件处理单元11可以根据该特殊符号确定电子邮件是不是带签名标识符的电子邮件。这里，如果判断为不是带签名标识符的电子邮件，则进入步骤214，作为普通的电子邮件发送到接收侧邮件服务器30的电子邮件处理单元31中。另一方面，如果判断为是带签名标识符的电子邮件，则从电子邮件中取出签名标识符和发件人、收件人信息，并发送给视觉签名管理单元12(步骤204)。此外，在从发送侧邮件客户端发送的附加签名的请求中还可以包含作为选项的有效期限信息，这时，电子邮件处理单元11将该有效期限信息也传送给视觉签名管理单元12。
这时，视觉签名管理单元12处于等待输入状态(步骤205)，当从外部输入数据时，视觉签名管理单元12接受该输入，判断是不是附加签名请求(步骤206)。这里，如果判断为不是附加签名请求，则进入另一个处理，但如果判断为是附加签名请求，则要求签名持有者使用的发送侧邮件客户端输入密码(步骤207)，从而变成等待输入密码的状态(步骤208)。当从发送侧邮件客户端输入密码时，视觉签名管理单元12判断该密码是不是正确的密码(步骤209)。具体地说，将输入的签名标识符和密码的组合与发送签名DB14中存储的签名标识符和密码的组合相比较，如果一致，则判断密码是正确的，如果不一致，则判断密码是不正确的。如果在步骤209中判断出密码不正确，则进入错误处理，如果判断密码正确，则生成认可标识符，并注册到认可标识符DB15中(步骤210)。具体地说，例如，通过按预定规则将在步骤205中获取的发件人、收件人信息和通过未图示的计时装置获取的认可日期和时间信息组合起来而生成认可标识符。也可以生成用于唯一识别附加签名请求的任意号码，并将在步骤205中获取的发件人、收件人信息和通过未图示的计时装置获取的认可日期和时间信息与上述生成的任意号码相对应地存储在未图示的存储装置中。有时将一个电子邮件同时发送给多个发送目的地，对于这种电子邮件，为每个发送目的地生成一个认可标识符。向认可标识符DB15注册在步骤210中生成的认可标识符、在步骤205中接收的签名标识符、在步骤205中作为选项接收的包含在有效期限信息、在步骤205中接收的发件人、收件人信息中的发送目的地标识符。之后，视觉签名管理单元12将认可标识符和发送单元标识符发送给电子邮件处理单元11(步骤211)，返回步骤205的等待输入状态。
这时，电子邮件处理单元11处于等待视觉签名管理单元12应答的状态(步骤212)，当接收到认可标识符和发送单元标识符时，在电子邮件的消息中附加认可标识符，同时，用认可标识符和发送单元标识符替换电子邮件中附加的签名标识符(步骤213)，将该电子邮件发送给接收侧邮件服务器30(步骤214)。之后，处理返回步骤201的等待输入状态。
图10中，在步骤205中请求在电子邮件中附加视觉签名的日志和在步骤211中将认可标识符嵌入电子邮件中发送的日志被分别记录在日志DB16中。
如上所述，说明了电子邮件的发送操作，再返回图8继续说明。
通过接收侧邮件服务器30的电子邮件处理单元31接收包含由发送侧邮件服务器10发送的认可标识符和发送单元标识符的电子邮件D9。电子邮件处理单元31将认可标识符和发送单元标识符D10发送给视觉签名管理单元32。
在视觉签名管理单元12和视觉签名管理单元32之间，已经提前指定基于公开密钥方式的加密/解密方法。视觉签名管理单元32将认可标识符和加密密钥D11发送给由收到的发送单元标识符识别的视觉签名管理单元12。此外，因为是基于公开密钥的加密方法，所以发送时不需要对加密密钥本身加密。
收到视觉签名的认可标识符的视觉签名管理单元1 2判断签名发送请求是不是合法的。在认可标识符中包含有效期限信息时，如果当前的日期和时间超过了有效期限信息所表示的日期和时间，则判断签名发送请求不合法。一旦对一个认可标识符发送视觉签名后，具有同一认可标识符的请求就不能被判断为合法的签名发送请求。如果签名发送请求是合法的，视觉签名和认可标识符就变成了难以分离的一个图像，用加密密钥对这一部分进行加密，并作为加密后的签名D12送回到视觉签名管理单元32中。这里，使视觉签名和认可标识符变成难以分离的一个图像的方法已经有很多种公知的方法，例如，可以采用以非常小的字体嵌入认可标识符的方法，和人眼不能判别的嵌入方法等。对部分视觉签名的加密例如可以通过细分作为视觉签名的图像、对其组装方法加密后进行发送等方法来实现。视觉签名管理单元12记录签名发送历史D13，签名所有者可以参考该历史。另一方面，收到加密签名D12的视觉签名管理单元32对签名图像进行解密，将其作为解码后的签名图像D14与电子邮件分开保存。
图8中，视觉签名管理单元32经电子邮件处理单元31和电子邮件处理单元11从视觉签名管理单元12中获取视觉签名，但视觉签名管理单元32也可以通过和视觉签名管理单元12直接交换信息来获取视觉签名。
以下，参考图11详细说明接收电子邮件的接收侧邮件服务器30从发送侧邮件服务器10获取视觉签名时本实施例的处理。
最初，电子邮件处理单元31处于等待输入状态(步骤301)，当从外部输入数据时，电子邮件处理单元31接受该输入，判断是否接收电子邮件(步骤302)。这里，如果判断为不接收该电子邮件，则进入另一个处理，如果判断为接收电子邮件，则判断收到的电子邮件是否为带认可标识符和发送单元标识符的电子邮件(步骤303)。此外，通过用特殊符号等描述认可标识符和发送单元标识符，可以分别明示它是一个认可标识符和一个发送单元标识符，电子邮件处理单元31也能根据该特殊符号来确定电子邮件是不是带认可标识符和发送单元标识符的电子邮件。当在发送侧邮件服务器10中嵌入认可标识符和发送单元标识符时，也可以通过在电子邮件中附加表示该电子邮件是带认可标识符和发送单元标识符的电子邮件的信息来进行判定。如果在步骤303中判断为不是带认可标识符和发送单元标识符的电子邮件，则将收到的电子邮件作为普通电子邮件保存在未图示的存储装置中(步骤305)。另一方面，如果在步骤303中判断为是带认可标识符和发送单元标识符的电子邮件，则从电子邮件中取出认可标识符和发送单元标识符，发送给视觉签名管理单元32(步骤304)。之后，将电子邮件保存在未图示的存储装置中(步骤305)。
这时，视觉签名管理单元32处于等待输入状态(步骤306)，当从电子邮件处理单元31发送认可标识符和发送单元标识符时，生成加密密钥(步骤307)。在接收侧邮件服务器30中设置存储装置(未图示)，用于存储加密密钥和解密密钥、或用于生成加密密钥和解密密钥的信息，视觉签名管理单元32根据存储装置中存储的信息生成加密密钥。然后，视觉签名管理单元32将认可标识符和加密密钥发送给视觉签名管理单元12(步骤308)。
这时，视觉签名管理单元12处于等待输入状态(步骤309)，当从外部输入数据时，视觉签名管理单元12接受该输入，判断是不是签名发送请求(步骤310)。这里，如果判断不是签名发送请求，则进入另一个处理，但如果判断是签名发送请求，则判断该签名发送请求是否合法(步骤311)。具体地说，视觉签名管理单元12尝试从认可标识符DB15中获取与所发送的认可标识符相对应的记录。这里，仅在能获取该记录的情况下，才判断签名发送请求是合法的，在其他情况下，判断该签名发送请求是不合法的。或者，即使能获取该记录，但在将有效期限信息作为选项发送时，判断当前的日期和时间是否未超过该记录中包含的有效期限，仅在未超过有效期限的情况下，才可以作为合法的签名发送请求。这里，超过有效期限时，也可以删除该记录。如果在步骤311中判断为不是合法的签名发送请求，则向视觉签名管理单元32发送错误消息(步骤312)。另一方面，如果判断是合法的签名发送请求，则根据该记录中包含的“图像文件位置信息”指定包括对应于该认可标识符的视觉签名的图像文件的位置，并读取该视觉签名(步骤313)。接着，将视觉签名和认可标识符组合为难以分离的一个图像(步骤314)，将该组合图像用在步骤309中接收的加密密钥进行加密(步骤315)，并将该组合图像发送到视觉签名管理单元32中(步骤316)。之后，视觉签名管理单元12从认可标识符DB15中删除与所发送的组合图像中包含的认可标识符对应的记录，处理返回步骤301的等待输入状态。
这时，视觉签名管理单元32处于等待输入签名的状态(步骤317)，当从外部输入数据时，视觉签名管理单元32接受该输入，并判断是否已经发送了签名(步骤318)。这里，如果判断为尚未发送签名，则进行错误处理(步骤319)，返回步骤306的等待输入状态。另一方面，如果判断为已经发送了签名，则对收到的视觉签名进行解密(步骤320)。具体地说，用存储在设于接收侧邮件服务器30中的未图示的存储装置中的解密密钥或者用通过在未图示的存储装置中进行存储的方法生成的解密密钥进行解密。这样，视觉签名管理单元32将包含视觉签名的图像文件存储在接收签名存储单元33中，同时在接收签名DB34中注册认可标识符、邮件接收日期和时间、签名发送请求日期和时间、图像文件的位置信息(接收签名存储单元33中的地址)(步骤321)，并返回步骤306的等待输入状态。
此外，不限于在此时向接收签名DB34注册信息，也可以在其他时刻进行。即，例如，在收到表示在步骤306中接收了带认可标识符的电子邮件的通知的时刻，在接收签名DB34中注册认可标识符及邮件接收日期和时间，通过在步骤308中发送认可标识符而请求发送视觉签名的时刻，注册签名发送请求日期和时间，在步骤321中，仅注册签名接收日期和时间以及图像文件的位置信息。
图11中，将在步骤306中收到了带认可标识符的电子邮件的日志记录、在步骤308中请求发送视觉签名的日志记录分别记录在日志DB35中。而且，将在步骤316中已经发送了视觉签名的日志记录记录在日志DB16中，将步骤317中收到视觉签名的日志记录记录在日志DB35中。
在以上描述中，存储在认可标识符DB15中的各条记录在发送了对应的视觉签名时被删除，但如果设置一个表示是否已发送了对应于各记录的视觉签名的已发送标志，则在接收伴随认可标识符的签名发送请求时，可以根据已发送标志判断是否已发送，从而可以在任意时刻删除各条记录。
还包含这样的情况，例如，可以通过以一天执行一次的频率执行的批处理来删除不必要的记录。作为删除的基准，例如，可以考虑删除自生成之日起经过了足够天数的记录。具体地说，在各条记录中设置表示其生成日期的字段，视觉签名管理单元12根据其生成日期判断是否删除。
如上所述，说明了接收侧邮件服务器30从发送侧邮件服务器10获取视觉签名时的操作，再返回图8继续说明。
电子邮件的收件人在接收侧邮件客户端启动电子邮件软件后，得知别人已经给他发送了电子邮件并请求显示电子邮件。该显示请求从接收侧邮件客户端传送给接收侧邮件服务器30，由此，接收侧邮件服务器30的电子邮件处理单元31将电子邮件发送给接收侧邮件客户端，接收侧邮件客户端的电子邮件软件显示所收到的认可标识符DB15。对于请求加到电子邮件上的视觉签名，仅在其中包含的作为一部分认可标识符被包含的收件人信息和显示请求者的信息一致的情况下，才判断为合法的显示请求并允许进行显示。这时，也可以把电子邮件主体中包含的认可标识符与视觉签名中包含的认可标识符一致作为一个条件。此外，仅在显示装置上显示视觉签名，签名信息不包括在存储电子邮件内容的文件中。即，签名信息和电子邮件分开，由视觉签名管理单元32管理，在请求显示该电子邮件的同时，从视觉签名管理单元32向电子邮件处理单元31提供该签名信息。在删除该电子邮件时，视觉签名管理单元32管理的签名信息也被删除。在传送包括指定显示视觉签名的电子邮件时，仅传送电子邮件主体，而不传送签名。
以下，参考图12详细说明显示电子邮件时的本实施例的处理。
最初，电子邮件处理单元31处于等待输入状态(步骤401)，当从外部输入数据时，电子邮件处理单元31接受该输入，判断是不是显示电子邮件的请求(步骤402)。这里，如果判断不是显示电子邮件的请求，则进入另一个处理，如果判断为是显示电子邮件的请求，则读入所请求的电子邮件的邮件文件(步骤403)，并判断所读入的电子邮件是不是带认可标识符和发送单元标识符的电子邮件(步骤404)。此外，通过用特殊符号等描述认可标识符和发送单元标识符，可以明示它是一个认可标识符和一个发送单元标识符，电子邮件处理单元31也能根据该特殊符号确定该电子邮件是不是带认可标识符和发送单元标识符的电子邮件。当在发送侧邮件服务器10中嵌入认可标识符和发送单元标识符时，通过在电子邮件中附加表示其是带认可标识符的电子邮件的信息，可进行判定。如果在步骤404中判断为不是带认可标识符的电子邮件，则将收到的电子邮件作为普通电子邮件进行显示(步骤405)，并返回步骤401的等待输入状态。另一方面，如果在步骤404中判断为是带认可标识符的电子邮件，则将认可标识符和显示请求发送给视觉签名管理单元32(步骤406)。
这时，视觉签名管理单元32处于等待输入状态(步骤407)，当从外部输入数据时，视觉签名管理单元32接受该输入，并判断是不是显示电子邮件的请求(步骤408)。这里，如果判断为不是显示电子邮件的请求，则进入另一个处理，如果判断为是显示电子邮件的请求，则判断是不是合法的显示请求(步骤409)。具体地说，从接收签名存储单元33中存储的组合图像中取出认可标识符，将认可标识符中包含的收件人信息(合法的收件人邮件地址等)与显示请求者的信息(显示请求者的邮件地址等)相比较。通过比较，如果两方信息一致，则判断为显示请求是合法的。此外，也可以把从未图示的存储装置中读出的电子邮件主体中所嵌入的认可标识符与从接收签名存储单元33中存储的组合图像中取出的认可标识符相一致作为条件。这样，如果在步骤409中判断为不是合法的显示请求，则向电子邮件处理单元31发送错误消息(步骤410)，如果在步骤409中判断为是合法的显示请求，则读出包含视觉签名的图像文件(步骤411)。然后，将包含视觉签名的图像文件发送到电子邮件处理单元31中(步骤412)。
这时，将表示已经发送了包含视觉签名的图像文件的日志记录记录在日志DB35中。
这时，电子邮件处理单元31等待应答(步骤413)，当从视觉签名管理单元32发送包含视觉签名的图像文件时，将视觉签名附加在电子邮件中进行显示(步骤414)，并返回步骤401的等待输入状态。此外，在步骤413中从视觉签名管理单元32发出错误消息时，向接收侧邮件客户端发送表示不允许显示视觉签名的效果。
参考图13详细说明删除电子邮件时本实施例的处理。
最初，电子邮件处理单元31处于等待输入状态(步骤501)，当从外部输入数据时，电子邮件处理单元31接受该输入，判断是不是删除电子邮件的请求(步骤502)。这里，如果判断为不是删除电子邮件的请求，则进入另一个处理，如果判断为是删除电子邮件的请求，则读入所请求的电子邮件的邮件文件(步骤503)，判断读入的电子邮件是不是带认可标识符的电子邮件(步骤504)。此外，通过特殊符号等描述认可标识符和发送单元标识符，可以明示它是认可标识符和发送单元标识符，电子邮件处理单元31也能根据该特殊符号确定该电子邮件是不是带认可标识符和发送单元标识符的电子邮件。当在发送侧邮件服务器10中嵌入认可标识符和发送单元标识符时，通过在电子邮件中附加表示是带认可标识符的电子邮件的信息，可进行判定。如果在步骤504中判断为不是带认可标识符的电子邮件，则删除该电子邮件(步骤506)，返回步骤501的等待输入状态。另一方面，如果在步骤504中判断为是带认可标识符的电子邮件，则将认可标识符和删除请求发送给视觉签名管理单元32(步骤505)，并进行电子邮件文件的删除(步骤506)。
这时，视觉签名管理单元32处于等待输入状态(步骤507)，当从外部输入数据时，视觉签名管理单元32接受该输入，并判断是不是删除电子邮件的请求(步骤508)。这里，如果判断为不是删除电子邮件的请求，则进入另一个处理，但如果判断为是删除电子邮件的请求，则删除包含视觉签名的图像文件(步骤509)，并返回步骤507的等待输入状态。此外，在和图12的步骤409相同的条件下，当在步骤509中删除视觉签名时，可以判断该删除请求是否合法。
这时，将表示已经发送了包含视觉签名的图像文件的日志记录记录在日志DB35中。
以上说明了电子邮件的显示和删除操作。
这样，在本实施例中，在发送侧邮件服务器10的视觉签名管理单元12中生成将视觉签名和包含与其发送接收有关的信息的认可标识符组合为难以分离的一个图像的组合图像。由此，可以在以后跟踪视觉签名的原始发件人和收件人。
在接收组合图像的接收侧邮件服务器30中，视觉签名管理单元32仅在组合图像中包含的认可标识符中的收件人信息和提出显示视觉签名请求的人的信息一致的情况下，允许显示视觉签名。从而，只有相当于签名者本人的、接收附加有视觉签名的电子邮件的人才拥有看到视觉签名的合法权利。
而且，收到在电子邮件上附加视觉签名的请求的视觉签名管理单元12生成唯一识别该附件请求的认可标识符，并与唯一识别视觉签名的签名标识符相关联地进行管理，同时，认可标识符通过嵌入到电子邮件中发送出去。即在本实施例中，采用将电子邮件和视觉签名分开管理的结构，不容易进行向第三方传送附加数据等恶意使用。
而且，在本实施例中，预先注册视觉签名，当请求在电子邮件中附加视觉签名时，要求签名标识符和密码，从而只有签名者本人能在发送的电子邮件中附加本人的视觉签名，通过在视觉签名中嵌入具有多个数字的随机数值并进行注册，可以很容易地区分注册的签名和原始签名。视觉签名用从接收侧邮件服务器30接收的加密密钥进行加密后发送，从而不借助于保证合法性的第三方机构，在传输过程中非法参考的情况下，不公开签名图像。
此外，在以上说明中，是以在电子邮件中附加视觉签名的情况为例，但本实施例也适用于在电子邮件中附加字处理器中生成的文档数据、电子表格中生成的表单数据等情况下所谓附加数据的附加样式。这时，图9～13所示的处理流程中包含的步骤中，也可以省略任一步骤来执行。例如，不在发送侧邮件服务器10中预先注册附加数据，和电子邮件的发送请求同时提供给发送侧邮件服务器10。这时，不执行图9所示的各个步骤，在图10的步骤203中，在电子邮件中附加附加数据，并且，判断是否指示将电子邮件主体和附加数据分开发送。这时，在步骤203至步骤210的任一时刻生成唯一识别附加数据的标识符，在步骤210中，将该标识符和认可标识符对应地存储起来。
发明效果根据本发明，可以有效防止恶意使用附加在电子邮件中的附加数据。
权利要求
1.一种数据处理系统，包括信息生成装置，用以生成用于得到与电子邮件中附加的附加数据的收发有关的信息的信息；组合附加数据生成装置，用于将附加数据和上述生成的信息组合起来，生成组合附加数据。
2.根据权利要求1所述的数据处理系统，其特征在于，在上述生成的信息中包含与上述附加数据的收发有关的信息。
3.根据权利要求1所述的数据处理系统，其特征在于，上述信息生成装置以可根据上述生成信息进行检索的形式存储与上述附加数据的收发有关的信息。
4.一种数据处理系统，包含认可标识符生成装置，用于响应请求将附加数据附加在电子邮件中进行发送的发送请求，生成用于唯一识别该发送请求的认可标识符；存储装置，用于使上述认可标识符和上述附加数据相关联地存储；电子邮件发送装置，用于将认可标识符附加在电子邮件中发送。
5.根据权利要求4所述的数据处理系统，其特征在于，还包括附加数据发送装置，用于在请求发送伴随上述认可标识符的上述附加数据时，从上述存储装置中获取与该认可标识符相关联的上述附加数据并发送给请求方。
6.根据权利要求5所述的数据处理系统，其特征在于，上述存储装置存储表示对应于该认可标识符的附加数据是否已发送的信息；上述附加数据发送装置根据上述信息判断对应于上述认可标识符的上述附加数据是否已发送，如果尚未发送，则在发送该附加数据的同时，注册表示该附加数据已发送的信息。
7.根据权利要求5所述的数据处理系统，其特征在于，上述存储装置存储表示可发送对应于该认可标识符的上述附加数据的有效期限的信息；上述附加数据发送装置根据上述信息判断是否处于可发送对应于上述认可标识符的上述附加数据的有效期限内，如果在有效期限内，则发送该附加数据。
8.根据权利要求4所述的数据处理系统，其特征在于，在上述附加数据是签名数据时，还包含签名标识符提取装置，用于从上述发送请求中提取用于唯一识别上述签名数据的签名标识符；上述存储装置通过使上述认可标识符和上述签名标识符相对应来进行上述关联。
9.根据权利要求8所述的数据处理系统，其特征在于，还包含签名数据发送装置，用于在请求发送伴随上述认可标识符的上述签名数据时，从上述存储装置中提取对应于该认可标识符的上述签名标识符，并与该签名标识符一起获取上述签名数据后，发送给请求方。
10.一种数据处理系统，包含附加数据存储装置，用于在附加到电子邮件中的附加数据中附加包含与该附加数据的合法收件人有关的信息的信息并存储起来；附加数据提供装置，用于响应上述附加数据的获取请求，根据上述附加数据中附加的上述信息，判断提出上述获取请求的人是不是该附加数据的合法收件人，如果是合法收件人，则将该附加数据提供给请求方。
11.一种数据处理系统，包含认可标识符检测装置，用于判断在收到的电子邮件中是否包含认可标识符，所述认可标识符用于唯一识别请求将附加数据附加在电子邮件中发送的发送请求；发送请求装置，在通过上述认可标识符检测装置判断为包含上述认可标识符时，通过发送该认可标识符进行上述附加数据的发送请求。
12.一种电子邮件系统，包含发送侧邮件服务器和接收侧邮件服务器，其中上述发送侧邮件服务器包括信息生成装置，用于生成包含与附加在电子邮件中的附加数据的合法收件人有关的信息的信息；附加数据发送装置，用于将上述生成的信息附加到上述附加数据中后，发送到上述接收侧邮件服务器中，上述接收侧邮件服务器包括附加数据存储装置，用于存储从上述发送侧邮件服务器接收的上述附加数据；附加数据提供装置，用于响应上述附加数据的获取请求，根据上述附加数据中附加的上述信息，判断提出该获取请求的人是不是该附加数据的合法收件人，如果是合法收件人，则将上述附加数据提供给请求方。
13.一种电子邮件系统，包含发送侧邮件服务器和接收侧邮件服务器，其中上述发送侧邮件服务器包括认可标识符生成装置，用于响应请求将附加数据附加在电子邮件中发送的发送请求，生成用于唯一识别该发送请求的认可标识符；存储装置，用于使上述认可标识符和上述附加数据相关联地存储；邮件主体发送装置，用于将上述认可标识符附加在上述电子邮件的主体中发送；附加数据发送装置，用于响应发送伴随有上述认可标识符的上述附加数据的请求，从上述存储装置中获取与上述认可标识符关联的上述附加数据，并发送给请求方，上述接收侧邮件服务器包括认可标识符检测装置，用于判断在从上述发送侧邮件服务器收到的上述电子邮件中是否包含上述认可标识符；发送请求装置，用于在上述认可标识符检测装置判断出包含上述认可标识符时，通过发送该认可标识符进行上述附加数据的发送请求。
14.一种附加数据管理方法，其特征在于，包含以下步骤生成用于得到与附加在电子邮件中的附加数据的收发有关的信息的信息；将上述生成的信息和上述附加数据关联起来后存储在存储装置中；根据伴随上述生成信息的指示，从上述存储装置中获取与该信息关联的上述附加数据；将上述获取的附加数据与上述生成的信息组合起来，生成组合附加数据。
15.一种附加数据管理方法，其特征在于，包含以下步骤响应请求将附加数据附加在电子邮件中发送的发送请求，生成用于唯一识别所述发送请求的认可标识符；将上述认可标识符和上述附加数据关联起来后存储在存储装置中；将上述认可标识符附加在上述电子邮件的邮件主体中发送；响应发送伴随上述认可标识符的上述附加数据的请求，从上述存储装置中获取与上述认可标识符关联的上述附加数据，并发送给请求方。
16.一种附加数据管理方法，其特征在于，包含以下步骤在附加到电子邮件中的附加数据中附加包含与上述附加数据的合法收件人有关的信息的信息并存储在存储装置中；响应上述附加数据的获取请求，从上述存储装置中取出附加在上述附加数据中的上述信息；根据上述取出的信息，判断提出上述获取请求的人是不是上述附加数据的合法收件人，如果是合法收件人，则将上述附加数据提供给请求方。
17.一种附加数据管理方法，其特征在于，包含以下步骤判断所收到的电子邮件中是否包含用于唯一识别请求将附加数据附加在电子邮件中发送的发送请求的认可标识符；如果判断出包含上述认可标识符，则通过发送上述认可标识符，进行上述附加数据的发送请求。
18.一种程序，在计算机中实现以下功能生成用于得到与附加在电子邮件中的附加数据的收发有关的信息的信息；将上述生成的信息和上述附加数据关联起来存储在存储装置中；根据伴随上述生成信息的指示，从上述存储装置中获取与该信息关联的上述附加数据；将上述获取的附加数据和上述生成的信息组合起来，生成组合附加数据。
19.一种程序，在计算机中实现以下功能响应请求将附加数据附加在电子邮件中发送的发送请求，生成用于唯一识别所述发送请求的认可标识符；将上述认可标识符和上述附加数据关联起来存储在存储装置中；将上述认可标识符附加在上述电子邮件的邮件主体中发送；响应发送伴随上述认可标识符的上述附加数据的请求，从上述存储装置中获取与上述认可标识符关联的上述附加数据，并发送给请求方。
20.一种程序，在计算机中实现以下功能在附加在电子邮件中的附加数据中附加包含与上述附加数据的合法收件人有关的信息的信息并存储在存储装置中；响应上述附加数据的获取请求，从上述存储装置中取出附加在上述附加数据中的上述信息；根据上述取出的信息，判断提出上述获取请求的人是不是上述附加数据的合法收件人，如果是合法收件人，则将上述附加数据提供给请求方。
21.一种程序，在计算机中实现以下功能判断在收到的电子邮件中是否包含用于唯一识别请求将附加数据附加在电子邮件中发送的发送请求的认可标识符；如果判断出包含上述认可标识符，则通过发送上述认可标识符，进行上述附加数据的发送请求。
全文摘要
本发明提供的数据处理系统、电子邮件系统、附加数据管理方法和程序可在以后追踪附加数据的原始发件人、收件人等，同时，不容易进行向第三方传送附加数据等恶意使用。发送侧邮件服务器10生成唯一识别附加数据发送请求的认可标识符，通过在电子邮件中嵌入该认可标识符发送到接收侧邮件服务器30中。接收侧邮件服务器30从发送侧邮件服务器10接收电子邮件，在电子邮件中嵌入了认可标识符的情况下，请求发送侧邮件服务器10发送对应于该认可标识符的附加数据。与此相对，发送侧邮件服务器10发送请求的附加数据。发送侧邮件服务器10在认可标识符中包含附加数据的发件人、收件人信息，接收侧邮件服务器30根据认可标识符判断请求获取附加数据的人是不是附加数据的合法收件人。
文档编号H04L29/06GK1573765SQ20041000521
公开日2005年2月2日 申请日期2004年2月17日 优先权日2003年5月23日
发明者藁泽文树 申请人:国际商业机器公司