专利名称:电子文件发送方法
技术领域:
本发明一般地涉 及电子文件的发送方法,特别涉及被加密后的电子文件的发送 方法。
背景技术:
为了通过互联网等的通信网络发送电子文件,通常,采用在电子邮件中粘贴附 件的电子文件发送的手法。如果采用了这个手法,构成电子邮件的全部数据,将残留在 转发电子邮件的服务器等中,容易被第三者盗看。作为防御这种问题的手法,众所周知,是对添加到电子邮件的电子文件加密的 手法(专利文献1)。如果采用加密手法,则第三者盗看被加密的电子文件内容将变得困难。[专利文献1]日本专利公开2007-306261号公报
发明内容
在采用了加密电子文件的手法的情况下,电子邮件的发送者需要对电子邮件的 接收者传达对加密的电子文件解码所必需的口令。在专利文献1所公开的手法中,一方 面由个人电脑发送添加了被加密的电子文件的邮件,同时,通过手机发送被加密的电子 文件的解码必需的口令。由于口令被手机网络原状发送,存在被第三者获取的可能性。 因此,专利文献1公开的手法不能安全地对接收者传达口令。其次,如果经过特别长期地连续性地采用上述手法,则发送者及接收者双方必 须进行口令管理。并且,口令通常是由人决定的,所以,有设定成容易被破解的口令(比如,短 的文字/数字列和有意义的字符串等)的倾向。在必须对口令进行如上所述的发送者及 接收者的两者的管理的状态下,这种倾向变得尤其显著。因此,鉴于以上的问题点,本发明的目的在于提供能够安全且简单地对接收者 发送电子文件的电子文件发送方法。本发明涉及的电子文件发送方法的特征在于包括发送装置发送包含被加密的 电子文件的电子邮件的步骤;上述发送装置,将上述被加密的电子文件的解码所必需的 口令加密,并对服务器发送加密后的口令的发送的步骤;接收装置接收被上述发送装置 发送的上述电子邮件的步骤;上述服务器从上述发送装置接收上述加密的口令并通过解 码获得到上述解码所必需的口令的步骤;以及上述服务器将上述解码所必需的口令进行 加密,对上述接收装置发送被加密后的口令的步骤。进一步,本发明涉及的电子文件发送方法的特征在于包括接收装置接收由发 送装置发送的、且包含被加密的电子文件的电子邮件的步骤;上述接收装置从服务器接 收上述加密的电子文件的解码所必需的口令的步骤;上述接收装置从上述服务器接收表 示对上述电子文件许可或禁止的可否信息的步骤;上述接收装置使用上述口令,通过解码上述被加密的电子文件,生成电子文件的步骤;上述接收装置根据上述可否信息执行 对所生成的上述电子文件的处理。
图1是表示本发明的第一实施方式所涉及的通信系统的一个结构例的方块图;图2是表示发送装置110的内部结构的一个例子的方块图;图3是表示管理服务器130的内部结构的一个例子的方块图;图4是表示接收装置120的内部结成的一个例子的方块图;图5是表示在本发明的第一实施方式涉及的电子文件发送方法中,在发送装置 和管理服务器及邮件服务器之间进行的动作的模式图;图6是表示在本发明的第一实施方式所涉及的电子文件发送方法中,在接收装 置和管理服务器及邮件服务器之间进行的动作的模式图;图7是表示本发明的第一实施方式所涉及的电子文件发送方法中,在接收装置 和管理服务器及邮件服务器之间进行的动作的模式图;图8是表示在本发明的第二实施方式所涉及的电子文件发送方法中的动作的模 式图;图9是表示由一般的应用软件进行的文件读入处理的模式图;图10是为了说明动态链路的概念的模式图;图11是用于说明API钩子的概念的模式图;图12是着眼于API钩子表示在本发明的第二实施方式所涉及的电子文件发送方 法的步骤D8 DlO中进行的动作的流程图;图13是表示为了在本发明的第二实施方式所涉及的电子文件发送方法中限制接 收者对电子文件的剪贴板操作的动作的流程图。附图标记说明100 通信系统;110 发送装置;120 接收装置;130 管理服务器;140 邮件服务器;150:通信网;220,310,410 控制/处理部;230,330,420 存储 部;240,320,430 通信部;250,440 显示部;330a 数据库;806 查看器(专用 的应用软件);807:特定的应用软件;809:固有的钩模块(钩模块)。
具体实施例方式以下,参照附图详细说明本发明。同时,对于附图中的共通的结构要素附加同 样的参照符号。(第一实施方式)图1是表示与本发明的第一实施方式有关的通信系统的结构的一个例子的方块 图。如图1所示,通信系统100,主要包含发送装置110、接收装置120、管理服务器 130、以及邮件服务器140。这些装置及服务器,能够由包括互联网等的通信网150连 接。另外,该通信网150,可包含固定网络及移动通信网。发送装置110,比如,相当于个人电脑、手机和个人数字助理等。发送装置110 通过通信网150对接收装置120发送添加了被加密后的电子文件的电子邮件。
接收装置120也相当于个人电脑、手机或个人数字助理等。接收装置120,通过 通信网150接收由发送装置110发送的电子邮件。邮件服务器140,通过通信网150接收发送装置110发送的电子邮件,通过通信 网150将这个电子邮件发送到接收装置120。管理服务器130,通过通信网150,将对被发送装置100加密的电子文件解码所 必需的口令,从发送装置Iio发送至接收装置120。<各装置及管理服务器的内部结构>[发送装置110的内部结构]
图2是表示发送装置110的内部结构的一个例子的方块图。发送装置110,主要 包含控制/处理部220、存储部230、通信部240和显示部250。存储部230存储包括为了实现本实施方式涉及的电子文件发送方法所使用的应 用程序、管理服务器130 (或接收装置120)的公钥、应该发送给接收装置120的电子文件 等的各种各样的信息。通信部240,接收控制/处理部220的控制,执行对接收装置120的电子邮件的 发送,对管理服务器130的口令的发送等。显示部250,接收该控制/处理部220的控制,对发送装置110用户(发送者) 显示由控制/处理部220进行的处理的结果。控制/处理部220控制存储部230、通信部240及显示部250,进行本实施方式 涉及的电子文件发送方法的执行所必需的动作。具体地说,控制/处理部220,通过执行被存储部230存储的应用程序,控制存 储部230、通信部240及显示部250,进行本实施方式涉及的电子文件发送方法的执行所 必需的动作(比如,电子文件的加密、添加了被加密后的电子文件的电子邮件的发送、 解码被加密后的电子文件所必需的口令的发送等动作)。[管理服务器130的内部结构]图3,是表示管理服务器130内部结构的一个例子的方块图。管理服务器130, 主要包含控制/处理部310、通信部320和存储部330。存储部330存储包括为了实现本实施方式的电子文件发送方法所使用的应用程 序、从发送装置110接收的口令、能够一对一地识别从发送装置110向接收装置发送的电 子文件的识别符等的各种各样的信息。通信部320,接受控制/处理部310的控制,执行与发送装置110的通信(接收 来自发送装置110的口令等)及与接收装置120的通信(对接收装置120的电子邮件的发 送\、来自接收装置120的公钥的接收、及针对接收装置120的口令的发送等)。控制/处理部310,控制通信部320及存储部330,进行在执行本实施方式的电 子文件发送方法时所必要的动作。具体地说,控制/处理部310,通过执行被存储部330 存储的应用程序,控制存储部330及通信部320,进行在本实施方式涉及的电子文件发送 方法的执行中所必需的动作(比如,来自发送装置110的口令等的接收,对接收装置120 的口令的发送等)。[接收装置120的内部结构]图4是表示接收装置120内部结构的一个例子的方块图。
接收装置120,主要包含控制/处理部410、存储部420、通信部430和显示部 440。存储部420,存储包含为实现本实施方式的电子文件发送方法所使用的应用程 序、接收装置120密钥等的各种各样的信息。通信部430,受到控制/处理部410的控制,执行来自发送装置110的电子邮件 的接收、来自管理服务器130的电子邮件的接收、来自管理服务器130的口令的接收等。显示部440,受到控制/处理部410的控制,对接收装置120的用户(接收者) 显示由该控制/处理部410完成的处理结果。控制/处理部410控制存储部420、通信部430及显示部440,进行在执行本实施 方式的电子文件发送方法时所必需的处理。具体地说,控制/处理部410通过执行被存 储部420存储的应用程序,来控制存储部420、通信部430及显示部440,进行在执行本 实施方式的电子文件发送方法时必要的动作(比如,接收来自发送装置110的电子邮件, 对管理服务器130发送公钥,接收来自管理服务器130的口令等)。<电子文件发送方法的流程>其次,说明本实施方式涉及的通信系统进行的电子文件发送方法的整体性的动作。[在发送装置110和管理服务器130及邮件服务器140之间的动作]图5是表示在本发明的第一实施方式的电子文件发送方法中,在发送装置110和 管理服务器130及邮件服务器140之间进行的动作的模式图。在步骤Al中,发送装置110被预先安装了专用应用软件。在步骤A2中,作为发送装置110用户的发送者X,利用Office(注册商标)等的 应用软件,制作应该发送给作为接收装置120用户的接收者Y的电子文件。作为所制作 的电子文件的一个例子,图5给出了 Word(注册商标)文件501。在步骤A3中,在专用应用软件上,发送者X指定电子文件501,作为想安全发 送的电子文件。具体地说,在发送装置Iio的显示部250,由专用应用软件显示窗502。 在该状态中,发送者X,通过将电子文件501托曳到窗502里面的字段503中,指定电子 文件501为发送对象文件。在步骤A4中,发送者X,在专用应用软件上指定被准许打开文件的接收者(在 这里是接收者Y)的电子邮件地址。具体地说,发送者X,在"公开处"字段504输入接 收者Y的电子邮件地址。然后,发送者X,在专用应用软件上指定接收者Y对电子文件501的许可或禁止 的操作。具体地说,比如,发送者X,在准许对于电子文件501的全部操作的情况下, 在"阅览限制"字段505不进行勾选。反过来,发送者X,如果对电子文件501付加某种 限制,则在"阅览限制"字段 505进行勾选。该情况,在对电子文件501的阅览次数付加限制时,发送者X在"阅览 次数"字段506进行勾选的同时,对字段507输入可能阅览次数。如果禁止电子文件501 的印刷,则发送者X,在"印刷"字段508进行勾选。同样,在禁止对电子文件501的 剪贴板操作时,发送者X在"剪贴板操作"字段509进行勾选。这样,发送者X输入的信息被作为"阅览可否信息“而保存。这个阅览可否信息,是为了由发送者X控制(许可及/或禁止)接收者Y对电子文件501执行可能的处理(操作)所使用的。关于为了实现它的具体的手法,将在后述的第二实施方式中说明。在步骤A5中,发送者X,将对电子文件501解码所必需的口令(以下称〃解码 用口令")输入"确认口令"字段510。或者,专用应用软件,不让发送者X输入解码 用口令,也能把随机生成的口令作为解码用口令。以此,能够把所使用的口令的密码方 式的最大长度的通用钥作为解码用口令。在步骤A6中,专用应用软件使用在步骤A5中输入或生成的解码用口令,加 密作为发送对象文件而被指定的电子文件501。并且,专用应用软件也能压缩电子文件 501。并且,专用应用软件生成能够一对一识别这样被加密(及被压缩)后的电子文件 511的文件识别符。进一步,专用应用软件用管理服务器130公钥加密解码用口令。再者,也可以用接收装置120公钥替换管理服务器130公钥。之后,专用应用软件对管理服务器130发送接收者Y的电子邮件地址、阅览可否 信息、文件识别符、及被加密的解码用口令。在步骤A6中由发送装置110对管理服务器130发送的信息,通过通信网150被 管理服务器130接收。并且,被加密的解码用口令,用管理服务器130密钥(与发送装 置110用的公钥相对应的密钥)解码,这样,得到解码用口令。之后,在步骤A7中,让接收者Y的电子邮件地址、文件识别符、阅览可否信息 及解码用口令互相对应存储在作为存储部330的一部分的数据库330a中。具体地说,将 文件识别符作为钥匙,并与其对应地,在数据库330a存储接收者Y的电子邮件地址(公 开处地址)、阅览可否信息及解码用口令。另一方面,再次参照发送装置110的话,在步骤A8中,专用应用软件发送添加 了被加密的电子文件511的电子邮件512。这个电子邮件512,通过邮件服务器140发送 给接收装置120。[接收装置120和管理服务器130及邮件服务器140之间的动作(用户登录前)]管理服务器130,在上述步骤A6中接收来自发送装置110的接收者Y的电子邮 件地址的时刻,确认接收者Y是否被管理服务器130作了用户登记。在这里,设接收者 Y为没有进行用户登记。图6是表示在本发明的第一实施方式涉及的电子文件发送方法中,接收装置120 和管理服务器130及邮件服务器140之间的动作的模式图。在步骤Bl中,管理服务器130,由随机的信息构成的权标(数据列,Data Sequence)生成比如由邮件正文记载的电子邮件601。并且,该电子邮件601的比如邮件 正文中记载了提供专用应用软件(查看器)的安装程序的网站的URL。本实施方式中, 作为一个例子将这个URL设定为是管理服务器130的URL。管理服务器130,将该电子 邮件601发送给接收装置120。在步骤B2中,接收装置120通过邮件服务器140接收被发送装置110(在步骤 A8中)发送的电子邮件512。在这个时刻中,因为接收装置120没有解码用口令,所以 不能打开接收到的电子邮件512中添加的被加密的电子文件511。在步骤B3中,接收装置120接收由管理服务器130 (在步骤Bl中)发送的电子邮件601。在该电子邮件601的邮件正文中,记载了如上所述的权标及URL。在步骤B4中,通过接收者Y对邮件正文所记载的URL进行点击操作,接收装 置120根据这个URL访问管理服务器130,从这个管理服务器130下载专用应用软件(查 看器)的安装程序602。之后,接收装置120通过执行已下载的安装程序602,安装专用 应用软件(查看器)。在安装时,如步骤B5所示,安装程序602生成不对称钥的双钥,S卩,生成密钥 603和与这个对应的公钥604。将生成的密钥603隐秘保存。并且,在安装时,如步骤B6所示,安装程序对接收者Y显示对话框605 (显示 部440),要求输入电子邮件601的邮件正文记载的权标。
如果专用应用软件(查看器)的安装结束的话,在步骤B7中,所启动的专用应 用软件,将在步骤B5中生成的公钥604发送给管理服务器130,并用在步骤B5中生成的 密钥603加密在步骤B6中输入的权标后发送给管理服务器130。不过,专用应用软件也 可以不对在步骤B6中被输入的权标加密而发送给管理服务器130。在步骤B8中,管理服务器130接收由接收装置120发送的公钥及被加密的权 标。管理服务器130,根据公钥对从接收装置120接收到的被加密的权标进行解码。管理 服务器130,在通过解码得到的权标与管理服务器130在步骤Bl中发送的权标相符时, 判断为接收者Y是正当的用户登记人,用户登记接收者Y。具体地说,管理服务器130, 将接收者Y的电子邮件地址和公钥对应保存在数据库330a中。S卩,认为接收到的公钥 为接收者Y的正当的公钥,而与接收者Y的电子邮件地址对应起来被保存在数据库330a 中。以此,接收者Y的用户登记完成。再者,在上述步骤B5,虽然通过安装程序生成密钥及公钥,不过,可以用被安 装程序安装后的专用应用软件(查看器)生成。并且,在上述步骤B6,针对接收者Y的权标输入,还可由安装程序要求,不 过,也可以通过被安装程序安装的专用应用软件,比如,在这个应用软件的第一回启动 时或在使用开始前要求。[接收装置120和管理服务器130及邮件服务器140之间的动作(用户登记完毕)]如上所述,管理服务器130,在上述步骤A6中,在从发送装置110接收了接收 者Y的电子邮件地址的时刻,确认接收者Y是否已被管理服务器130做过用户登记。在 这里,假设接收者Y为已经被用户登记的用户。图7,是表示本发明的第一实施方式所涉及的电子文件发送方法中接收装置120 和管理服务器130及邮件服务器140之间的动作的模式图。因为接收者Y的用户登记已经完成,所以如步骤Cl所示,接收装置120保存密 钥603,与密钥603对应的公钥604被管理服务器130保存到数据库330a。在步骤C2中,在接收装置120中启动专用应用软件(查看器)。接收者Y,进 行用查看器打开由邮件512接收的被加密的电子文件511的操作。在步骤C3中,查看器对管理服务器130发送用于识别接收者Y的电子邮件地址 (即接收者Y的电子邮件地址),及从被加密的电子文件511提取的文件识别符。在步骤C4中,管理服务器130,把从接收装置120接收了的文件识别符作为钥 匙,取出与这个文件识别符对应(在上述步骤A7中)保存的公开处地址,在取出的公开处地址中,检索是否存在从接收装置120接收的接收者Y的电子邮件地址。S卩,对于通 过从接收装置120接收的文件识别符一对一特别指定的电子文件,由管理服务器130判断 接收者Y是否被发送者X指定为可对其公开该电子文件的正当的接收者。在判断出接收者Y是公开可能的接收者的情况下,在步骤C5中,管理服务器 130从数据库330a抽出与其文件识别符对应(在上述步骤A7中)而保存的解码用口令 701。并且,管理服务器130从数据库330a抽出与接收者Y对应(在上述步骤B8中) 而保存的接收装置120的公钥604。并且,管理服务器130,还由公钥604将解码用口令 701加密,将被加密得到的口令702发送给接收装置120。在步骤C6中,接收装置120,接收被加密的口令702。在接收装置120启动的 查看器使用被这个接收装置120保存的密钥603解码被加密的口令702,从而得到解码用 □令 701。在步骤C7中,查看器通过用解码用口令701将电子邮件512添加的被加密的电 子文件511解码,得到电子文件501。
从以上的步骤C2 C7可以明确,接收者为了解码被加密的电子文件,需要预 先使查看器启动。并且,查看器为了进行对加密的电子文件的解码,每回,必须为取得 解码所必要的口令而访问管理服务器。因而,在接收者解码被加密的电子文件的时候, 为了取得口令访问管理服务器130时,管理服务器130,还可采用与文件识别符对应地保 留接收者及时刻等的记录的结构。因为接收者为了进行电子文件的解码,必需访问管理 服务器130,所以,根据这个结构,发送者通过参照管理服务器130留下的记录,能够追 踪接收者什么时候打开了文件。如以上说明,根据本发明,因为电子文件实体被高度强化加密,因此,即使第 三者得到也不能打开。对被加密的电子文件的解码所必需的口令,不是在网络上原样传输,而是被管 理服务器的公钥或者被按照发送者的意图设置的接收者的公钥加密后传送。这样,即使 第三者知道这个口令,但是只要没有密钥,也不能解码。假设,即使是在管理服务器不能被信赖的情况下,也能因为管理服务器只是管 理着对加密的电子文件的解码所必需的口令,完全不管理电子文件主体,而能够防止发 生第三者对被加密的电子文件的解码。管理服务器,从其电子文件的发送者接收并管理识别电子文件的信息(比如文 件识别符)和识别与此对应的正当的接收者的信息(比如接收者的电子邮件地址)。接收 者通过对管理服务器发送识别希望解码的电子文件的信息(文件识别符)和识别自己本身 的信息(电子邮件地址),对管理服务器要求被加密的口令。接受了要求的管理服务器, 比较从发送者及接收者的两者接收的文件识别符及电子邮件地址,可以确实且自动地判 断正当的接收者是否想要解码恰当的接收文件。因而,根据发送者的意图的恰当的电子 文件,只能根据发送者的意图被正当的接收者确实取得。从发送装置对接收装置借助管理服务器的口令的传达,因为由各装置安装的应 用程序来执行,所以,发送者及接收者既不需要意识到口令,也不需要管理口令。因此,根据本发明,能够安全且确实地对正当的接收者传送电子文件。另外,在本实施方式中,作为优选的实施方式,说明了在发送装置110和管理服务器130之间,及管理服务器130与接收装置120之间,对电子文件的解码所需的口 令,通过由公钥加密的与这个公钥对应的密钥进行解码的情况,即,对电子文件的解码 所需的口令使用了不对称密码方式进行加密及解码。然而,本发明,也可以适用于对电 子文件的解码所必需的口令进行使用了密钥密码方式的加密及解码的情况。
当采用密钥密码方式时,具体地说,发送装置110和管理服务器130的关系为, 在步骤A6中,发送装置110用第一密钥加密电子文件501,用第二密钥加密第一密钥, 向管理服务器130发送被第二密钥加密的第一密钥。管理服务器130通过第二密钥将被 加密的第一密钥解码,而得到第一密钥。在步骤A7中,这个第一密钥作为解码用口令被 管理服务器130保存。因而,发送装置110及管理服务器130,需要预先保持第二密钥。
另一方面,接收装置120和管理服务器130的关系中,在步骤B7中,不是用公 钥,而是用密钥(在这里,为了叙述上的方便,称之为"第三密钥")及另外的密钥(“ 第四密钥")。即,接收装置120向管理服务器130发送被第四密钥加密的第三密钥和被 第三密钥或者第四密钥加密的权标。在步骤B8中,管理服务器130通过用第四密钥将被 加密后的第三密钥进行解码而得到第三密钥,由第三密钥或者第四密钥将被加密后的权 标解码而得到权标。并且,在步骤C5中,管理服务器130用第三密钥加密解码用口令并 发送至接收装置120,在步骤C6中,接收装置120用第三密钥将被加密后的解码用口令 解码,得到解码用口令。因而,接收装置120及管理服务器130,需要预先保持第四密 钥。
(第二实施方式)
本实施方式中,说明在第一实施方式中说明过的电子文件发送方法中的,由电 子文件的发送者控制(许可及/或禁止)对这个电子文件可由接收者执行处理(操作)的 方法。
以下,需要注意的是,对本实施方式中与上述第一实施方式相同之处的详细说 明被省略。
图8是表示在本发明的第二实施方式的电子文件发送方法中进行的动作的模式 图。另外,设接收者Y为已经被管理服务器130注册的用户。
在步骤Dl中,发送者X与上述步骤A3同样,在专用应用软件上指定Word(注 册商标)文件501为发送对象文件。在步骤D2中,发送者X,与上述步骤A4同样,指 定被准许打开文件的接收者(在这里为接收者Y)的电子邮件地址。进一步,和上述步骤 A4同样,发送者X对接收者Y指定对电子文件501许可或禁止的操作。
在步骤D3中,专用应用软件,和上述步骤A6同样,使用在上述步骤A5中输 入或者生成的解码用口令,将被指定为发送对象文件的电子文件501进行加密(进一步压 缩)。之后,和上述步骤A6同样,专用应用软件,对管理服务器130发送接收者Y的 电子邮件地址、阅览可否信息、文件识别符、及被加密的解码用口令。在管理服务器130 中对这些的信息所做的处理,与上述步骤A6及以A7中已经说明过的一样。
在该步骤D3中,专用应用软件,能够将被加密的电子文件801文件名设定成与 电子文件501的文件名相同。S卩,把被加密的电子文件801文件名设定成与电子文件501 文件名(Important.doc)同名。
在该被加密的电子文件801的页眉(header)部分802中,记载了文件识别符80沈。并且,在这个页眉部分802中,附加了表示这个电子文件801为固有形式的页眉 80&。同时,也能将上位数据(metadata) 80 附加到页眉部分802。上位数据80 ,比 如,能够包含表示电子文件501的著作权和编辑履历的信息等。该上位数据80 ,可以 和原来的文件的内容803同样被加密。
在步骤D4中,和上述步骤A8同样,专用应用软件发送添加了被加密的电子文 件801的电子邮件804。这个电子邮件804,通过邮件服务器104,被接收装置120接收。
在步骤D5中,和上述步骤C2同样,在接收装置120中启动有专用应用软件(查 看器)。接收者Y,进行对由邮件804接收的被加密的电子文件801用查看器打开的操作。
在步骤D6中,虽然被加密的电子文件801文件名与电子文件501文件名相同, 不过,因为这个被加密的电子文件801是固有形式的文件,不能原样打开。然而,在本 发明中,无需让用户意识到这个事实,而是像下面一样,由操作系统(OS)805执行电子 文件801的打开操作。
在步骤D7中,查看器806的结构为监视着OS805启动应用软件的动作,如果 识别到由OS805通过打开被加密的电子文件801而启动了预想的特定应用软件(这里是 Word(注册商标))807的话,则将由被特定的应用软件807调用的API模块808进行的处 理,转换成为通过API钩子由固有的钩子模块809的处理。这样,OS805如果按照电子 文件801扩展名(.doc)启动Word(注册商标)的话,查看器806则识别作为特定的应用 软件807的Word(注册商标)已被OS805启动,由API钩子调用固有的钩子模块809。
为了在步骤D8中,所启动的特定的应用软件807为了访问文件的内容,调用 (呼出)由OS805准备的API模块。可是,在步骤D9,由于被调用的API模块的处理实 际上不被执行,而执行被API钩子调用的由固有的钩子模块809进行的处理。固有的钩 子模块809,关于对被加密的电子文件801的访问,确认是否在该电子文件801页眉部分 802(在上述步骤D3中被附加的)上附加有页眉80&。
固有的钩子模块809,在对页眉部分802没有附加有页眉80 的情况下,判断该 电子文件801不是固有形式的(即判断是通常的Word(注册商标)文件),由OS805执行 通常的处理(即,在步骤D9被调用的API模块的处理)。
另一方面,固有的钩子模块809,在页眉部分802附加有页眉80 的情况下,判 断这个电子文件801是固有形式的,执行下面的步骤DlO以后的处理。
在步骤DlO中,和上述步骤C3同样,查看器806(固有的钩子模块809)对管理 服务器130发送接收者Y的电子邮件地址及文件识别符。
该结果,通过由管理服务器130执行上述步骤C4及以C5说明过的处理,接收 装置120从管理服务器130接收被加密的口令702。这样,查看器806(固有的钩子模块 809),得到与上述步骤C6同样的解码用口令701,和上述步骤C7同样,使用解码用口令 701,将被加密的电子文件801解码,而得到电子文件501。
再者,当接收者Y没被管理服务器130做用户登记时,参照图6执行上述的步骤 Bl B8。
在这里,特别着眼于API钩子而进一步具体地说明在上述步骤D8 DlO中的动作。
[API钩子的概念]
首先,就API钩子的概念加以说明。
(1)所谓的API (Application Programbiterface)是指在OS内,开发应用软件的时候能够使用的OS的功能的集合。应用软件组合OS准备的API模块,并使OS执行该应 用软件具有的功能。
比如,以在Windows(注册商标)上读取文件的应用软件(比如Word(注册商 标))为例,这个应用软件,通常,进行图9所示的处理。图9是表示一般的应用软件进 行的文件的读入处理的模式图。
在步骤910中,应用软件901指定文件名,并调用CreateFile API,打开文件。 在步骤920中,应用软件901,指定打开了的文件的识别符(HANDLE)并调用ReadFile API而取得内容。在步骤930中,应用软件901,用CloseHandleAPI释放读完的文件。
这样,OS902管理设备和资源,在利用OS的功能的时候,应用软件901必定进 行某种API的调用。S卩,应用软件901,通过被公开的API委托OS902进行处理,通过 这样的方法,对设备和资源进行访问。
( 应用程序使用的API,作为一览记述在其程序的执行文件。在其程序的启动 的时候,OS在存储器上配置其程序必需的API的实体,将其API的存储器上的地址(门 牌),与程序上被记述的API的调用建立连接。这样,如图10所示,程序有"调用叫做 CreateFile这个名称的API"的记述的情况下,CreateFile的实体被配置在存储器上之后, 执行像〃调用OxefffOOaO上的函数〃的实际的处理那样地,改写存储器。
(3)在这里,如图11所示,能够使固有的程序片(模块)插入程序的执行存 储器空间,通过改写API的名称和实际地址的相关联的信息,执行与本来应该被调用的 CreateFileAPI的实体不同的处理,把这个称作为〃 API钩子〃。以此,在应用软件打算 作为OS的功能调用CreateFile API的时候,能够执行从外部插入的钩子模块的固有的处 理。钩子模块,因为认识本来的CreateFile API存在于存储器上的哪里,所以,如果必 要,能够对本来的CreateFile API转送处理。
以上,说明了关于API钩子的概念。
[在步骤D8 DlO的动作的详细]
图12是着眼于API钩子表示在步骤D8 DlO中进行的动作的流程图。与图 12—起参照图8,在步骤D8中,假设特定的应用软件807为了访问文件的内容指定文件 名,而打算调用CreateFile API。可是,实际上,在步骤D9中,执行由API钩子调用的固 有的钩子模块809的处理。具体地说,固有的钩子模块809,在步骤D9-1中,指定文件 名,调用CreateFile API,打开电子文件801。在步骤D9-2中,固有的钩子模块809,指 定所打开的文件801的识别符,调用ReadFile API,取得其内容。固有的钩子模块809, 在通过读取电子文件801页眉部分802,识别出该电子文件是固有形式的文件的情况下, 在步骤DlO中,对管理服务器130发送接收者Y的电子邮件地址及文件识别符。这样, 固有的钩子模块809,从管理服务器130取得被加密的口令702。
之后,固有的钩子模块809,在存储器中,将被加密的电子文件801解码,得到 电子文件501内容。得到的电子文件501内容,在存储器(暂存区域)上被展开及保持, 如步骤D10-1所示,在存储器中,被返回至特定的应用软件807。14
以上,对步骤D8 DlO进行了说明。
其次,在步骤Dll中,固有的钩子模块809,也从管理服务器130接收与文件识 别符对应(在上述步骤A7中)存储的阅览可否信息。该阅览可否信息相当于在上述步骤 D2(即步骤A4)中由发送者X输入的信息。
固有的钩子模块809,基于接收到的阅览可否信息,能够按照发送者X的意图, 许可及/或限制由接收者Y对电子文件501的处理(比如编辑、印刷、剪贴板操作等)。 图13表示其具体的实现手法。图13是表示在本发明的第二实施方式涉及的文件发送方 法中,限制由接收者对电子文件的剪贴板操作的动作的流程图。
如上所述,因为启动了特定的应用软件807,所以根据这个应用软件被调用的 API模块进行的处理,被API钩子转换成由固有的钩子模块809进行的处理。
在这种状态中,接收者Y为了进行剪贴板操作,在步骤El中,如果进 行按压〃 Ctri"键及〃 C"键的操作的话,则应用软件807,在步骤E2中,调用 ktClipBoardDataAPI。可是,实际上,因为在步骤E3中,固有的钩子模块809返回〃失 败",所以,应用软件807,在步骤E4中对接收者Y表示错误信息等。
因此,由接收者Y对电子文件501的剪贴板操作受到限制。
同样,在印刷电子文件501的时候,因为,当将名为GetDC的API、电子文件 501 用别名保存时,CreateFile]、WriteFile> CloseHandle —系列的 API,被应用软件 807 调用,所以即使对这些API的调用也能够根据API钩子,由固有的钩子模块809执行固有 的处理,得以限制对电子文件501的印刷或别名保存。
再者,在准许由接收者Y对电子文件501的特定操作的情况下,固有的钩子模块 809,只需在与特定的操作对应的API模块被应用软件807调用的时候,将该调用转送至 API模块即可。在这种情况下,该API模块的执行结果,在存储器中,被固有的钩子模 块809返回给应用软件807。
再次参照图8的话,固有的钩子模块809通过监视由特定的应用软件807的各 API调用,比如能够监测出接收者Y进行特定的操作(调用特定的API)并将该事实对管 理服务器130发送。具体地说,固有的钩子模块809,如步骤D12所示,能够向管理服 务器130发送电子文件的识别符及表示特定的操作的操作内容信息(与进行其操作的时间 一起)。管理服务器130,与电子文件的识别符对应地把操作内容信息(操作记录)保 存到数据库330a。并且,发送者X通过发送装置110对管理服务器130访问,能够如步 骤D13所示,查看接收者Y对于自己发送的电子文件进行了怎样的操作。以此,发送者 X,能够追踪接收者Y对发送的电子文件在几点钟进行了怎样的操作。
并且,发送者X,还能如步骤D14所示,利用发送装置110,对管理服务器130 访问,随时变更与识别符对应保存在管理服务器130中的阅览可否信息。
上述的第一实施方式中,虽然只有根据发送者的意图的正当的接收者才可以接 收恰当的电子文件并打开,不过,仍然残存一种可能性,即这个正当的接收者将取得的 电子文件传送给违背发送者的意图的第三者。
本实施方式,在接收装置中,不是将通过解码而获得的电子文件作为文件而输 出,而是通过在读取被加密的电子文件的时候,钩链API,由固有的钩子模块,在存储器 (暂存区域)上进行这个电子文件的解码,所以通过解码得到的电子文件的内容,不作为可从外部读取形式的文件而保留,即,在存储器上展开的电子文件的内容,不在硬盘等 的固定存储区域中展开。
并且,关于所谓的能成为使电子文件的内容外部流出的主要原因的操作,比如 文件的写出、印刷、剪贴板操作等,能够在存储器上钩链为了实现这些操作的API,得以 控制对这些操作的许可及/或限制(禁止)。这样,能够防止电子文件的内容向外部流出ο
并且,在接收装置中,根据API钩子,由固有的钩子模块监视特定的应用软件 的各API的调用,并通知管理服务器,管理服务器能够记录下由哪个接收者在几点钟做 哪些操作。根据这个,访问了管理服务器的发送者,能容易且切实地跟踪由接收者对电 子文件的操作内容(比如,文件打开,阅览,印刷以及剪贴板操作等任意的操作内容)。
权利要求
1.一种电子文件发送方法,其特征在于,包括发送装置发送包含被加密后的电子文件的电子邮件的步骤;所述发送装置将所述被加密后的电子文件的解码所需口令进行加密,并对服务器发 送被加密的口令的步骤;接收装置接收由所述发送装置发送的所述电子邮件的步骤;所述服务器从所述发送装置接收所述被加密的口令后,通过解码,获得所述解码所 需口令的步骤;所述服务器,将所述解码所需口令加密,对所述接收装置发送被加密的口令的步马聚o
2.根据权利要求1所述的电子文件发送方法,所述发送装置对服务器发送所述被加密的口令的步骤,包含该发送装置用公钥对所 述被加密的电子文件的解码所需口令进行加密;所述服务器得到所述解码所需口令的步骤,包含该服务器用与所述公钥对应的密钥 解码所述被加密的口令;所述服务器对所述接收装置发送所述被加密的口令的步骤,包含该服务器用所述接 收装置的公钥加密所述解码所需口令。
3.根据权利要求2所述的电子文件发送方法,包括所述服务器将识别所述被加密的电子文件的文件识别信息和识别该电子文件的正当 接收者的接收者识别信息相互对应存储的步骤;对被所述接收者识别信息特别指定的接收者发送数据列的步骤; 所述服务器从接收装置接收被与该接收装置的公钥对应的密钥加密的数据列和该公 钥的步骤;所述服务器在通过所述公钥解码所述被加密的数据列而得到的数据列与对所述接收 者发送后的数据列一致时,与所述接收者识别信息相对应,存储所述公钥的步骤。
4.根据权利要求1至3任何一项所述的电子文件发送方法,包括所述服务器从该接收装置接收用于识别被所述接收装置接收的被加密的文件的接收 文件识别信息与用于识别该接收装置的用户的用户识别信息的步骤;所述服务器根据用于识别所述被加密的电子文件的文件识别信息、与该文件识别信 息对应的用于识别该电子文件正当的接收者的接收者识别信息、以及所述接收文件识别 信息及所述用户识别信息来确定所述接收装置的用户是否是所述被加密的文件的正当接 收者的步骤;所述服务器,只在确定了所述接收装置的用户是所述正当的接收者的情况下,才对 所述接收装置发送所述被加密后的口令。
5.根据权利要求1至4任何一项所述的电子文件发送方法,包括所述接收装置在打开所述电子邮件中包含的所述被加密的电子文件的时候,向所述 服务器发送要求对该被加密的电子文件解码所必需的口令的请求信号的步骤; 所述接收装置,从所述服务器接收所述解码所需口令的步骤; 所述接收装置,使用所述解码所需口令,将所述被加密的电子文件解码的步骤; 所述服务器对所述接收装置发送所述被加密的口令的步骤,通过所述服务器从所述接收装置接收所述请求信号而执行。
6.一种服务器,是对从用于发送包含被加密后的电子文件的电子邮件的发送装置接 收该电子邮件的接收装置,转送将该被加密的文件解码所必需的口令的服务器,其特征 在于,包括接收单元,从所述发送装置接收对所述被加密的电子文件解码所必需、且被加密的 口令;解码单元,通过将所述加密的口令解码,得到对所述被加密的电子文件的解码所必 需的口令; 发送单元,将所述解码所需口令加密后,发送给该接收装置。
7.—种发送装置,其特征在于,具有,邮件发送单元,发送包含被加密的电子文件的电子邮件;口令发送单元,对服务器发送对所述被加密的电子文件的解码所必需,且被加密的 口令;其中,对所述服务器发送的口令,由该服务器通过解码,而作为对所述被加密的电子文件 的解码所必需的口令保存;并且,被所述服务器保存的所述口令,被该服务器加密后,对接收装置发送。
8.—种接收装置,是接收包含被加密的电子文件、且由发送装置发送的电子邮件的 接收装置,其特征在于,具有邮件接收单元,接收所述电子邮件;口令接收单元,从保存所述被加密后的电子文件的解码所必需的口令的服务器接收 所述被加密的电子文件的解码所必需、且被加密后的口令;被所述服务器保存的所述解码所需口令,是通过所述服务器将被所述发送装置加密 后的口令进行解码而得到的。
9.一种接收装置,是接收包含被加密的电子文件、且由发送装置发送的电子邮件, 可通过将该被加密的电子文件解码而生成电子文件的接收装置,其特征在于,具有邮件接收单元,接收所述电子邮件;口令接收单元,从服务器接收对所述被加密的电子文件进行解码所必需的口令;可否信息接收单元,从所述服务器接收表示对所述电子文件许可或禁止的处理的可 否信息;解码单元,使用所述口令,通过对所述被加密的文件进行解码,而在暂存区域展开 所述电子文件;执行单元,按照所述可否信息执行针对在所述暂存区域被展开的所述电子文件的处理。
10.根据权利要求9所述的接收装置,所述解码单元,由特定的应用软件调用为了读入所述被加密的电子文件的API模块 的时候,由API钩子(API HOOK)调用固有的钩子模块;该固有的钩子模块,在暂存区域中,通过对所述被加密的电子文件进行解码展开所 述电子文件,对所述特定的应用软件返回该电子文件的内容。
11.根据权利要求10所述的接收装置,所述固有的钩子模块,不在固定存储区域生成所述电子文件的内容,而是在暂存区 域中对所述特定的应用软件返回所述电子文件的内容。
12.根据权利要求9所述的接收装置,所述执行单元,在特定的应用软件启动的时候,由API钩子调用固有的钩子模块。
13.根据权利要求12所述的接收装置,所述固有的钩子模块,当对实现在所述可否信息中被禁止的处理的API模块的调用 由所述特定的应用软件进行的时候,对该特定的应用软件返回失败。
14.根据权利要求12所述的接收装置,所述固有的钩子模块,在对用于实现在所述可否信息中被许可的处理的API模块的 调用由所述特定的应用软件进行的时候,对该API模块转送其调用,对所述特定的应用 软件返回该API模块的执行结果。
15.根据权利要求9至14任何一项所述的接收装置,还具有,发送单元,对所述服务器发送表示由所述执行单元执行对在所述暂存区域被展开的 所述电子文件的操作的内容的操作内容信息。
16.根据权利要求15所述的接收装置,由所述发送单元发送的所述操作内容信息,被所述服务器存储, 被该服务器存储的所述操作内容信息,能够通过所述发送装置阅览。
17.根据权利要求9至16任何一项所述的接收装置,其中, 所述服务器存储所述可否信息,被该服务器存储的所述可否信息,是被所述发送装置设定的。
18.根据权利要求9至17任何一项所述的接收装置,所述可否信息接收单元,在进行读入所述被加密的电子文件的操作时,从所述服务 器接收所述可否信息;所述执行单元,按照所述可否信息执行对在所述暂存区域被展开的所述电子文件的处理。
19.一种电子文件发送方法,其特征在于,包括接收装置接收含有被加密的电子文件,且由发送装置发送的电子邮件的步骤; 所述接收装置从服务器接收对所述被加密的电子文件解码所必需的口令的步骤; 所述接收装置从所述服务器接收表示对所述电子文件许可或禁止的处理的可否信息 的步骤;所述接收装置通过使用所述口令,对所述被加密的电子文件进行解码,在暂存区域 展开所述电子文件的步骤;以及所述接收装置按照所述可否信息执行对在所述暂存区域被展开的所述电子文件的处 理的步骤。
全文摘要
本发明提供一种能安全且简单地对接收者发送电子文件的电子文件发送方法。接收装置(120)从发送装置(110)接收包含被加密的电子文件(511)的电子邮件(512)。发送装置(110)用管理服务器(130)公钥对被加密的电子文件(511)的解码所必需的解码用口令加密并发送给管理服务器(130)。管理服务器(130)保存与电子文件(511)文件识别符对应的解码用口令和作为正当的接收者的接收装置(120)的接收者Y的电子邮件地址。接收装置(120)对管理服务器(130)发送电子文件(511)文件识别符和接收者Y的电子邮件地址。管理服务器(130),向接收装置(120)发送用接收装置(120)公钥加密后的口令。
文档编号H04L29/06GK102027719SQ200980117018
公开日2011年4月20日 申请日期2009年10月7日 优先权日2008年12月26日
发明者菅野秀昭, 西江实, 道具登志夫, 高桥则行 申请人:电子技巧股份有限公司