文档管理系统、文档制作设备、文档使用管理设备、以及文档管理方法

具体实施方式

图1是示意性地示出了文档管理系统的结构的示例的示图。图1的示例的文档管理系统包括主网络1和从网络2。主网络1和从网络2均被构建成一个通过诸如内联网之类的网络N1或N2进行互连的设备。

构成主网络1的设备包括主安全策略服务器10、用户验证服务器30、客户端50、以及图像形成设备70。构成从网络2的设备包括从安全策略服务器20、用户验证服务器40、客户端60、以及图像形成设备80。

主安全策略服务器10和从安全策略服务器20对系统所处理的文档(电子文档和纸质文档)的安全策略进行管理。术语“安全策略”表示使用限制信息，其中包含“谁使用文档”这一主体以及“该主体所允许或禁止执行的操作类型”这一主体的组合。主安全策略服务器10具有与其中设置了安全策略的文档的制作相关的功能。从安全策略服务器20具有与对其中设置了安全策略的文档的使用相关的功能。

主网络1的客户端50与主安全策略服务器10通信，并且制作其中设置了安全策略的电子文档。主网络1的图像形成设备70与主安全策略服务器10通信，并且制作其中设置了安全策略的纸质文档。

在下面的描述中，其中设置了安全策略的电子文档被称为“受保护电子文档”，而其中设置了安全策略的纸质文档被称为“受保护纸质文档”。受保护电子文档和受保护纸质文档通常被统称为“受保护文档”。

从网络20的客户端60和图像形成设备80与从安全策略服务器20通信，并且对受保护电子文档和受保护纸质文档执行操作。

针对主网络1和从网络2中的每一个，图1示出了一个客户端50或60和一个图像形成设备70或80。

在图1的示例的文档管理系统中，主网络1和从网络2没有彼此互连，从而主网络1的设备不与从网络2的设备进行通信。因此，主网络1的客户端50所制作的受保护电子文档被存储在诸如CD或DVD之类的移动存储介质中，随后被转移至从网络2的客户端60的地点，并且被客户端60读取以便使用。

实际上，主网络1和从网络2可能经由诸如因特网之类的通信装置而相互连接。但是，即使在两个网络相互连接的情况下，对网络进行互连的通信装置也不会对主网络1和从网络2所分别使用的信息的设置进行传递。

下文中将描述主网络1的设备。

用户验证服务器30对事先登记为文件管理系统的用户的用户的验证信息进行管理，并且进行用户验证。在如下文所述的那样用户验证成功的时候，主网络1的设备(例如客户端50和图像形成设备70)根据用户指令来执行处理。一旦接收到来自用户的验证信息的输入(例如用户识别信息和密码)，主网络1的设备就将接收到的信息发送给用户验证服务器以请求用户验证。响应于该请求，用户验证服务器执行用户验证，并且将验证结果发送给请求源的设备。用户验证服务器是由诸如LDAP(轻量级目录访问协议)服务器或Windows(注册商标)Active Directory之类的服务器实现的。

图2是示意性地示出了主安全策略服务器10的内部结构的示例的框图。参见图2，主安全策略服务器10包括安全策略DB(数据库)100、文档信息DB 102、指令接收部分104、安全策略制作部分106、安全策略更新部分108、安全策略列表回复部分110、以及受保护文档登记部分112。

安全策略DB 100是一种存储与安全策略相关的信息的数据库。图3示出了安全策略DB 100的数据内容的示例。

参见图3，在安全策略DB 100中与策略ID(每个安全策略的识别信息)相关联地登记了项目或策略名、可用范围、有效期、允许功能列表、无效标志、以及更新的日期和时间。策略ID是给予每个安全策略的识别信息，该识别信息在文件管理系统中是唯一的。策略名是管理员等给予安全策略的名称。可用范围指示操作文档的主体，通过用户识别服务器所管理的用户或用户组的识别信息来对其进行表示。有效期表示相应的可用范围所指示的用户可以使用其中设置了安全策略的所保护文档的时期。允许功能列表表示相应的可用范围所指示的用户所允许执行的操作类型。操作类型包括浏览、编辑、打印等等。例如，对纸质文档的操作是复印操作、扫描操作(对通过扫描仪的读取而获取的图像数据进行存储的操作)等等。例如，在属于“软件开发部门”的用户(并且该用户没有制作受保护文档)将要使用其中设置了图3的示例中的表格的策略ID“0001”的安全策略的受保护文档的情况下，允许自受保护文件的制作起的180天内执行操作“电子文档的浏览”、“电子文档的打印”或“纸质文档的复印”。无效标志表示安全策略是有效的还是无效的。如果安全策略是有效的，则对其中设置了该安全策略的受保护文档执行根据该安全策略的使用限制。在图3的示例的表格中，无效标志值“FALSE”表示相应的安全策略是有效的，当无效标志值是“TRUE”时，这就表示相应的安全策略是无效的。

回到图2，文档信息DB 102是存储了与受保护文档相关的信息的数据库。图4示出了文档信息DB 102的数据内容的示例。

参见图4，在文档信息DB 102中与每个文档ID相关联地存储着策略ID、制作者ID、制作的日期和时间。文档ID是给予每个受保护文档的识别信息，它在系统中是唯一的。例如，UUID(通用唯一识别码)被用作文档ID。策略ID是设置在相应的受保护文档中的安全策略的策略ID。策略ID是登记在安全策略DB 100中的多个策略ID之一。制作者ID是制作了相应的受保护文档的用户的识别信息。制作的日期和时间是制作相应的受保护文档时的日期和时间。

在本实施例的示例的描述中，受保护文档的“制作”意味着，对于其中没有设置安全策略的电子文档或纸质文档，安全策略被设置以制作受保护电子文档或受保护纸质文档。受保护文档的“制作者”是在未受保护文档中设置了安全策略的用户，而受保护文档的“制作的日期和时间”是安全策略被设置在未受保护文档中的日期和时间。

在本实施例的示例中，一旦制作了受保护文档，在对受保护文档进行操作之前或之后，文档ID不会改变。即使在通过对受保护文档进行操作而使得受保护文档的形式从电子文档变为纸质文档或者从纸质文档变为电子文档时，文档ID也不会改变。即，例如，在诸如对受保护电子文档进行编辑以制作包含新内容的受保护电子文档、对纸质文档进行复制以便制作新的受保护纸质文档、对受保护纸质文档进行复制以便制作新的受保护纸质文档、或者对受保护纸质文档进行扫描以便制作新的受保护电子文档之类的情况下，执行某种类型的操作之前受保护文档以及操作之后所产生的受保护文档具有相同的文档ID。

再次参见图2，指令接收部分104接收管理员等的与为安全策略DB 100进行新的安全策略登记或对已经登记在安全策略DB 100中的安全策略进行更新相关的指令。当接收到用于安全策略登记的指令时，指令接收部分104将指令传递至安全策略制作部分106，并且在接收到用于安全策略更新的指令时，将指令传递给安全策略更新部分108。

安全策略制作部分106新制作安全策略，并且将新制作的安全策略登记在安全策略DB 100中。安全策略制作部分106将策略ID赋给新制作的安全策略，并且在安全策略DB 100新制作包含有策略ID的记录。根据经由指令接收部分104而获得的指令，在安全策略DB 100中新制作的记录的项目(参见图3)的值被登记下来。本示例的安全策略制作部分106将制作新纪录时的日期和时间记录设置在记录的日期和时间项目中。

安全策略更新部分108对已登记在安全策略DB 100中的安全策略进行更新。例如，根据经由指令接收部分104获取的指令，安全策略更新部分108改变被指定作为安全策略DB 100的更新对象的策略ID的记录项目的值。在接收到用于使所指定的策略ID的安全策略变得无效的指令的情况下，将与策略ID相关联的无效标志由“FALSE”重写成“TRUE”。一旦无效标志被设置为“TRUE”，那么该值不会再被重写成“FALSE”。可选择地，例如，根据管理员等的指令，可以改变可用范围、有效期、或允许功能列表的值。在根据更新指令来改变安全策略更新部分108中的所指定的策略ID的记录的项目值时，安全策略更新部分108将记录的更新日期和时间重写为当前的日期和时间。

响应于来自诸如客户端50或图像形成设备70之类的外部设备的请求，安全策略列表回复部分110执行处理来返回登记在安全策略DB 100中的安全策略列表。例如，该部分所返回的列表包含图3的示例的表格中所示出的安全策略DB 100的数据内容。

响应于外部设备的请求，受保护文档登记部分112执行处理来将与外部设备所制作的受保护文档相关的信息登记在文档信息DB102中。例如，受保护文档登记部分112从外部设备接收包含了受保护文档的文档ID、设置在受保护文档的中的安全策略的策略ID、受保护文档的制作者的制作者ID、以及受保护文档的制作日期和时间的登记请求，在文档信息DB 102中制作新的记录，并且将登记请求中所包含的项目的值设置为新制作的记录的项目的值(参见图4)。

图5是示意性地示出了主网络1的客户端50的内部结构的示例的框图。客户端50包括输入接收部分52、显示部分54以及文档保护应用56。

输入接收部分52接收用户经由诸如键盘或鼠标之类的输入设备(未示出)所输入的信息，并且将所接收到的输入信息传递给文档保护应用56的控制部分560。

显示部分54显示将要展现给用户的信息。

文档保护应用56在未受保护电子文档中设置安全策略，以便产生受保护的电子文档。文档保护应用56包括：控制部分560、用户验证部分562、文档保存部分564、受保护电子文档制作部分566、文档ID制作部分568、以及登记处理部分570。

根据经由输入接收部分52获取的指令，控制部分560控制文档保护应用56中的多个部分中的处理。控制部分560还控制将被显示在显示部分54上的信息内容。

用户验证部分562通过使用经由输入接收部分52和控制部分560获得的用户ID和验证信息来请求用户验证服务器30执行用户验证，并且将用户验证服务器响应于请求而返回的验证结果传递给控制部分560。

文档保存部分564是一种暂时存储装置，用于保存作为安全策略的设置对象的未受保护电子文档。

对于保存在文档保存部分564中的电子文档，受保护电子文档制作部分566制作出其中设置了控制部分560所指示的安全策略的受保护电子文档。

图6是示意性地示出了受保护电子文档制作部分566所制作的受保护电子文档的数据结构的示例的视图。参见图6，受保护电子文档500包括：表头信息502、文档信息504、策略信息506以及文档主体508。表头信息502是一种表明该文档是受保护电子文档的信息。文档信息504包括：文档ID制作部分568所制作的文档ID、制作了受保护电子文档500的用户的ID(制作者ID)、以及制作受保护电子文档500的日期和时间。策略信息506包含控制部分560所指示的安全策略的内容。例如，与图3的示例的表格的一个策略ID相对应的记录所指示的内容被包含在受保护电子文档500中作为策略信息506。文档主体508是文档保存部分564中所保存的电子文档的加密数据。在本实施例的示例中，受保护电子文档500的文档主体508被系统所管理的由所有受保护电子文档500通用的密钥所加密。在另一示例中，可能通过使用对于每个受保护电子文档500来说均不相同的密钥来对文档主体508进行加密。为了防止受保护电子文档500被篡改，可以为整个受保护电子文档500提供电子签名，或者可以提供在消息验证领域使用的诸如HMAC(密钥散列消息验证代码)之类的值。

参见图5，响应于来自受保护电子文档制作部分566的请求，文档ID制作部分568制作新的文档ID，并且将所制作的文档ID传递给受保护电子文档制作部分566。

登记处理部分570执行处理来将受保护电子文档制作部分566所制作的受保护电子文档500登记在主安全策略服务器10中。例如，登记处理部分570向主安全策略服务器10发出包含下述部分的登记请求：受保护电子文档500所包含的文档信息504、以及受保护电子文档500所包含的策略信息506的策略ID。

接下来，将通过参见图7来描述主网络1的图像形成设备70。图7示出了主网络1的图像形成设备70的结构的示例的示意图。图像形成设备70通过扫描仪来读取未受保护文档，设置安全策略，并且制作受保护纸质文档。

参见图7，图像形成设备70包括：图像数据接收部分71、输入接收部分72、显示部分74、打印部分76、以及文档保护功能78。

图像数据接收部分71对将被图像形成设备70处理的图像数据的输入进行接收。例如，图像数据接收部分71读取扫描仪所读出的纸质文档的图像数据输入，并且将该图像数据传递给文档保护功能78的控制部分。

输入接收部分72接收用户经由操作面板等(未示出)的输入按钮而输入的信息。输入接收部分72将所接收到的输入信息传递给文档保护功能78的控制部分。

显示部分74对将要展现给用户的信息进行显示。通过诸如液晶显示器之类的显示设备来实现显示部分74。

打印部分76将图像数据打印在纸质介质上。打印部分76可能是一种实现了普通打印机的打印功能的设备。

文档保护功能78在未受保护纸质文档中设置安全策略，以便制作出受保护纸质文档。文档保护功能78包括：控制部分780、用户验证部分782、图像保存部分784、受保护纸质文档制作部分786、文档ID制作部分788以及登记处理部分790。

控制部分780控制文档保护功能78的多个部分的处理。控制部分780还控制将被显示在显示部分74上的信息的内容。

用户验证部分782通过使用经由输入接收部分72和控制部分780获得的用户ID和验证信息来请求用户验证服务器30执行用户验证，并且将用户验证服务器30响应于请求而返回的验证结果传递给控制部分780。

文档保存部分784是一种暂时存储装置，用于保存通过扫描仪(未示出)读取作为安全策略的设置对象的未受保护文档而获得的图像数据。

对于保存在文档保存部分784中的图像数据，受保护纸质文档制作部分786请求文档ID制作部分788制作文档ID，并且接收制作出来的文档ID。并且，受保护纸质文档制作部分786在图像数据中设置控制部分780所指示的安全策略，并且指示打印部分76打印出受保护纸质文档，从而制作了受保护纸质文档700。

如图8所示，例如，受保护纸质文档制作部分786所制作出来的受保护纸质文档700可能是这样一种纸质文档，其中打印出了保存在文档保存部分784中的表示文档信息的机器可读代码702、表示策略信息的机器可读代码704、以及文档主体706。文档信息和文档信息的内容等同于上面参照受保护电子文档时已经描述过的内容。例如，机器可读代码是可被信息处理设备读取的代码，例如条形码或者QR代码。受保护纸质文档的模式不限于图8的示例，它可以是例如其中以类似水印的形式嵌入了文档信息和策略信息的一个文档。受保护纸质文档的具体模式不限于上述示例，而只要求以可被信息处理设备读取的方式将文档信息和策略信息打印在纸张上。

再次参见图7，响应于来自受保护纸质文档制作部分786的请求，文档ID制作部分788制作出新的文档ID，并将制作出来的文档ID传递给受保护纸质文档制作部分786。

登记处理部分790执行处理，以便将受保护纸质文档制作部分786所制作的受保护纸质文档700登记在主安全策略服务器10中。例如，登记处理部分790向主安全策略服务器10发出包含下述部分的登记请求：受保护纸质文档的文档信息、以及受保护纸质文档的策略信息的策略ID。

虽然图7示出了与图像形成设备70的受保护纸质文档的制作相关的功能，但是图像形成设备70还可能具有与受保护纸质文档的制作不相关的其它功能(未示出)。例如，图像形成设备70可能具有在不制作受保护纸质文档的情况下对受保护文档进行复印和扫描的功能。可选地，例如，设备可能具有从客户端等接收打印指令、以及打印未受保护电子文档的功能。

上面已经描述了主网络1的设备。下文中将描述从网络2的设备。

从网络2的用户验证服务器40可以是与主网络1的用户验证服务器30相类似的服务器。与由于使用受保护文档而将要对其进行控制的用户相关的信息被登记在主网络1和从网络2的用户验证服务器30和用户验证服务器40中。

图9是示意性地示出了从安全策略服务器20的内部结构的示例的框图。从安全策略服务器20包括：安全策略DB 200、文档信息DB202、安全策略搜索部分204、受保护文档登记部分206、指令接收部分208、安全策略更新部分210、以及安全策略登记部分212。

安全策略DB 200是一种存储与安全策略相关的信息的数据库。安全策略DB 200的数据结构与主安全策略服务器10的安全策略DB100的数据结构相同。

文档信息DB 202是一种存储与受保护文档信息相关的信息的数据库。文档信息DB 202的数据结构与主安全策略服务器10的文档信息DB 102的数据结构相同。

响应于来自诸如客户端60或图像形成设备80之类的外部设备的请求，安全策略搜索部分204通过设置在受保护文档中的安全策略来搜索希望使用受保护文档的用户所被允许进行的操作类型。在将要使用的受保护文档未被登记在文档信息DB 202中时，安全策略搜索部分204指示受保护文档登记部分206对受保护文档的文档信息进行登记。并且，根据将被使用的受保护文档中的策略信息所指示的安全策略与安全策略DB 200中登记的安全策略之间的比较结果，安全策略搜索部分204指示安全策略登记部分212或安全策略更新部分210执行登记处理或更新处理。

根据来自安全策略搜索部分204的指令，受保护文档登记部分206执行将未登记在文档信息DB 202中的受保护文档的文档信息登记在文档信息DB 202中的处理。

指令接收部分208接收管理员等发出的与安全策略DB 200中所登记的安全策略的更新相关的指令。本实施例的示例的在从安全策略服务器20中，不会根据来自管理员的指令来将安全策略新登记在安全策略DB 200中。

安全策略更新部分210对登记在安全策略DB 200中的安全策略进行更新。例如，根据经由指令接收部分208获得的指令，安全策略更新部分210以与上述关于主安全策略服务器10的安全策略更新部分108的处理相类似的方式来更新安全策略DB 200中的安全策略。根据来自安全策略搜索部分204的指令，从安全策略服务器20中的安全策略更新部分210有时可能会更新安全策略。

根据来自安全策略搜索部分204的指令，安全策略登记部分212执行将未登记的安全策略登记在安全策略DB 200中的处理。

参见图10，将描述从网络10的客户端60。图10是示意性地示出了从网络的客户端60的内部结构的示例的框图。图10所示范性地示出的客户端60包括：输入接收部分62、显示部分64、以及受保护文档使用应用66。

输入接收部分62和显示部分64可以类似于已经针对主网络1的客户端50分别描述过的输入接收部分52和显示部分54。

受保护文档使用应用66执行与受保护电子文档相关的各种操作。受保护文档使用应用66包括：控制部分660、用户验证部分662、文档保存部分664、文档信息/策略信息保存部分666、文档操作部分668以及打印请求部分670。

控制部分660控制受保护文档使用应用66的各个部分的处理。并且，控制部分660控制将被显示在显示部分64上的信息内容。例如，在控制部分660经由输入接收部分62接收到来自用户的关于受保护电子文档的处理指令时，控制部分660向从安全策略服务器20发出策略搜索请求，并且根据搜索结果来确定是否可以执行对受保护电子文档的操作。

用户验证部分662通过使用经由输入接收部分62和控制部分660获得的用户ID和验证信息来请求用户验证服务器执行用户验证，并且将用户验证服务器响应于该请求而返回的验证结果传递给控制部分660。

文档保存部分664是一种暂时存储装置，用于保存被指定为操作对象的受保护电子文档中所包含的文档主体。

文档信息/策略信息保存部分666是暂时存储装置，用于保存被指定为操作对象的受保护电子文档中所包含的文档信息和策略信息。

文档操作部分668执行与受保护电子文档相关的各种操作。只有在控制部分660允许对受保护电子文档进行操作时，文档操作部分668才执行该操作。

在文档操作部分668将要打印受保护电子文档时，打印请求部分670向图像形成设备发出打印请求。

图11示意性地示出了从网络2的图像形成设备80的结构的示例。图11中示范性地示出的图像形成设备80包括：图像数据接收部分81、输入接收部分82、显示部分84、打印部分86以及受保护文档使用功能88。

图像数据接收部分81、输入接收部分82、显示部分84、以及打印部分86可以分别类似于已经针对主网络1的图像形成设备70而予以描述的图像数据接收部分71、输入接收部分72、显示部分74以及打印部分76。

例如，受保护文档使用功能88对受保护文档执行诸如对受保护电子文档进行打印、以及对受保护纸质文档进行扫描和复印之类的操作。受保护文档使用功能88包括：控制部分880、用户验证部分882、文档信息/策略信息解码部分884、图像保存部分886、文档信息/策略信息保存部分888、受保护电子文档制作部分890、以及受保护纸质文档制作部分892。

控制部分880控制受保护文档使用功能88的各个部分的处理。并且，控制部分880控制将被显示在显示部分84上的信息内容。例如，控制部分880向从安全策略服务器20发出针对将被处理的受保护文档的搜索请求，并且根据搜索结果来确定是否可以对受保护文档执行处理。

用户验证部分882通过使用经由输入接收部分82和控制部分880获得的用户ID和验证信息来请求用户验证服务器40执行用户验证，并且将用户验证服务器40响应于该请求而返回的验证结果传递给控制部分880。

文档信息/策略信息解码部分884对表示了包含在图像数据中的文档信息和策略信息的代码进行处理，从而获取文档信息和策略信息的内容，其中图像数据是借助扫描仪(未示出)对受保护纸质文档进行读取而获得的。

图像保存部分886是一种暂时存储装置，用于保存受保护文档的文档主体的图像数据。

文档信息/策略信息保存部分888是一种暂时存储装置，用于保存包含在受保护文档中的文档信息和策略信息。

受保护电子文档制作部分890制作与扫描仪所读取的受保护纸质文档相对应的受保护电子文档。

受保护纸质文档制作部分892执行处理来制作受保护纸质文档，其中该受保护纸质文档是通过对受保护纸质文档进行复印而获得的，或者是通过对受保护电子文档进行打印而获得的。

下文中，将描述文档管理系统的操作。

图12是示出了在主网络1的客户端50中执行的制作受保护电子文档的处理的程序的示例的流程图。例如，当布置在客户端50处的文档保护应用56的控制部分560经由输入接收部分52接收到指定了一个受保护电子文档的受保护电子文档制作指令时，控制部分开始图12所示范性地示出的程序的处理。

首先，执行用户验证处理(步骤S10)。例如，控制部分560使显示部分显示信息以提示输入用户ID和密码，经由输入接收部分52获取用户输入的用户ID和密码，并且使用户验证部分562执行用户验证处理。用户验证部分562将包含经由接收部分52和控制部分560获得的用户ID和密码的验证请求发送给用户验证服务器30，并且将验证结果从用户验证服务器30传递至控制部分560。

如果用户验证失败(步骤S 12的判定结果为否)，那么图12的程序的处理结束，而不执行后续处理。如果用户验证成功(步骤S12的判定结果为是)，那么控制部分560获取作为保护对象的电子文档(步骤S14)。例如，控制部分560从一个未示出的存储装置中获取受保护电子文档制作指令所指定的电子文档。控制部分560将所获得的作为保护对象的电子文档存储在文档保存部分564中。

接下来，控制部分560从主安全策略服务器10获取可被设置的安全策略的列表，并且使所获取的列表显示在显示部分54上，从而向用户展示列表(步骤S16)。在步骤S16中，例如，控制部分560向主安全策略服务器10请求安全策略列表。响应于该请求，主安全策略服务器10的安全策略列表回复部分110向客户端50返回一个安全策略列表，其中的安全策略属于登记在安全策略DB 100中的安全策略并且是有效的(即，对于这些安全策略，图3的示例的表格中的无效标志是“FALSE”)。在步骤S16中，控制部分560可能将请求与给出受保护电子文档制作指令的用户的用户ID一起发给主安全策略服务器10。在该示例中，主安全策略服务器10的安全策略列表回复部分110根据用户ID改变回复内容。例如，主安全策略服务器10的存储装置(未示出)中可能预先存储了被允许制作受保护文档的用户的列表，并且只有在从客户端50接收到的用户ID包含在列表中时，才会返回安全策略列表。可选地，例如，针对安全策略DB 100中的每个安全策略，可以预先存储被允许制作其中设置了该安全策略的受保护文档的用户的列表，并且可以返回从客户端50接收到的用户ID的用户所允许执行的安全策略的列表。

根据从主安全策略服务器10获取的安全策略列表(该列表被显示在显示部分54上)，用户选择将被设置在作为保护对象的电子文档中的安全策略。控制部分560经由输入接收部分52获取用户所执行的用于选择安全策略的指令(步骤S18)。

控制部分560将用户的选择指令所指定的安全策略传递给受保护电子文档制作部分566，并且指示对受保护文档进行制作。接收指令的受保护电子文档制作部分566请求文档ID制作部分568制作新的文档ID。响应于该请求，文档ID制作部分568制作文档ID(步骤S20)，并且将所制作的文档ID传递给受保护电子文档制作部分566。

随后，受保护电子文档制作部分566将从文档ID制作部分568获取的文档ID、从控制部分560接收到的安全策略、指示制作的用户的用户ID(制作者ID)、以及当前时间(制作的日期和时间)传递给登记处理部分570。登记处理部分570将从受保护电子文档制作部分566接收到的信息发送给主安全策略服务器10，并且发出登记受保护文档的请求(步骤S22)。响应于登记请求，主安全策略服务器10的受保护文档登记部分112在文档信息DB 102中重新登记一个记录，该记录具有包含在登记请求中的作为项目值的信息。

接下来，受保护电子文档制作部分566通过使用预定密钥来对文档保存部分564所保存的将被保护的电子文档进行加密(步骤S24)。随后，该部分制作出其中将加密后的电子文档设置为文档主体的受保护电子文档，该受保护电子文档包含文档信息(文档ID、制作者ID以及制作日期和时间)以及策略信息(从控制部分560获取的安全策略的内容)(步骤S26)。例如，在制作出与图4的示例的表格的第二行相对应的受保护文档的情况下，受保护电子文档包含如下文档信息：文档ID“40ffaaa4-0fb6-4634-85bf-bba45bc941b5”、制作者ID“fx12345”、以及制作日期和时间“2007年1月20日，10:00”，并且包括如下策略信息：图3的示例的表格的策略ID“0001”的记录所指示的信息。例如，控制部分560将受保护电子文档制作部分566所制作的受保护电子文档存储在未予示出的存储装置中。在步骤S26结束时，图12的示例的程序的处理终止。

接下来，将通过参考图13来描述在主网络1的图像形成设备70中执行的受保护电子文档制作处理。在图13中，与图12的示例的流程图的处理步骤相同的处理步骤标有相同的参考标号。例如，在未受保护文档被放置在图像形成设备70的自动文档馈入装置(未示出)或扫描仪中的用于文档读取的滚筒(未示出)上的情况下，当控制部分经由输入接收部分72接收到来自用户的受保护文档制作指令时，布置在图像形成部分70中的文档保护功能78的控制部分780启动图13所示范性地示出的程序的处理。

参见图13，以与图12中的相同参考标号所指出的处理步骤相类似的方式执行用户验证处理(步骤S10)以及对用户验证是否成功的确定(步骤S12)。

如果用户验证失败(步骤S12中的判定为否)，处理结束而不执行后续步骤。

如果用户验证成功(步骤S12中的判定为是)，控制部分780指示图像数据接收部分71通过扫描仪读取未受保护装置文档，并且从图像数据接收部分71获取从该装置文档读取出来的图像数据(步骤S30)。控制部分780将所获取的图像数据存储在图像保存部分784中。

随后，按照与已经针对图12的步骤S16至S22描述过的处理相类似的方式，受保护纸质文档制作部分786、文档ID制作部分788、以及登记处理部分780执行可设置策略的列表的展示(步骤S16)、策略指定的接收(步骤S18)、文档ID的制作(步骤S20)、以及受保护文档登记的请求(步骤S22)。此后，受保护纸质文档制作部分786将文档信息和策略信息转换成机器可读代码(步骤S32)。

此后，受保护纸质文档制作部分786指示打印部分76将表示文档信息和策略信息的机器可读代码、以及图像保存设备784所保存的图像数据打印在纸张上。打印部分76根据指令执行打印处理以便制作受保护纸质文档(步骤S34)。当步骤S34结束时，图13的示例的程序的处理终止。

图12的示例的程序处理所制作的受保护电子文档、以及图13的示例的程序处理所制作的受保护纸质文档分别被从网络2的客户端60和图像形成设备80所使用。根据从安全策略服务器20响应于来自客户端60或图像形成设备80的请求而针对受保护文档执行的策略搜索处理的结果来限制受保护文档的使用。

参见图14和图15，将描述通过从网络2的从安全策略服务器20执行的策略搜索处理的程序的示例。例如，在从安全策略服务器20从客户端60或图像形成设备80接收到用于询问与设置在将在客户端60或图像形成设备80中使用的受保护文档中的安全策略相关的信息的请求(策略搜索请求)的情况下，执行策略搜索处理。在下文的描述中，假设策略搜索请求包含：希望使用受保护文档的用户的用户ID、受保护文档的文档信息、以及受保护文档的策略信息。

在从安全策略服务器20中，接收到策略搜索请求的安全策略搜索部分204启动图14所示例性地示出的程序的处理。

参见图14，首先，安全策略搜索部分204从策略搜索请求中提取用户ID、文档信息、以及策略信息(步骤S40)。随后，该部分搜索包含在所提取出来的文档信息中的文档ID的记录(步骤S42)。如果搜索成功(步骤S42中的判定为是)，那么安全策略搜索部分204将从文档信息DB 202搜索出来的搜索结果的记录中的策略ID设置为对象策略ID(步骤S46)。

如果步骤S42中的搜索失败(步骤S42中的判定为否)，那么安全策略搜索部分204将从策略搜索请求中提取出来的文档信息(文档ID、制作者ID以及策略ID)、以及从策略搜索请求中提取出来的策略信息的策略ID传递给受保护文档登记部分206，并且指示受保护文档登记部分206将包含这些信息设置的记录登记在文档信息DB202中。接收到指令的受保护文档登记部分206在文档信息DB 202中重新制作一个记录，并且将从安全策略搜索部分204接收到的文档信息和策略ID设置为新制作的记录的项目值(参见图4)(步骤S48)。此后，安全策略搜索部分204将包含在从策略搜索请求提取出来的策略信息中的策略ID设置为对象策略ID(步骤S50)。

当在步骤S46或步骤S50中设置对象策略ID时，安全策略搜索部分204从安全策略DB 200中搜索对象策略ID的记录(步骤S52)。步骤S52之后，处理进入图15的步骤S54。

参见图15，如果图14的步骤S52的搜索成功(步骤S52中的判定为是)，则对从安全策略DB 200中搜索出来的搜索结果的记录的无效标志进行检查(步骤S56)。如果无效标志的值被设置成“TRUE”(步骤S56中的判定为否)，则策略搜索结果被设置成“NULL”(步骤S68)。如果无效标志的值被设置成“FALSE”(步骤S56中的判定为是)，则判断是否将要对安全策略DB 200中的对象策略ID的记录内容进行更新(步骤S58)。通过将来自安全策略DB 200的搜索结果的记录的更新日期和时间与包含在从策略搜索请求提取出来的策略信息中的更新日期和时间进行比较来执行这一判断。如果从策略搜索请求提取出来的策略信息中的更新日期和时间更近，则判断安全策略DB 200中的相应记录将被更新。反之，则判断不执行更新。

如果判断不执行对象策略ID的记录的更新(步骤S58中的判定为否)，则安全策略搜索部分204将来自安全策略DB 200的搜索结果的记录内容设置为对象策略信息(步骤S60)。

如果判断出将对对象策略ID的记录进行更新(步骤S58中的判定为是)，则安全策略搜索部分204将从策略搜索请求提取出来的策略信息传递给安全策略更新部分210，并且指示安全策略更新部分210更新相应的记录。接收到指令的安全策略更新部分210将对象策略ID的记录的项目值重写为从安全策略搜索部分204获取的策略信息(即，从策略搜索请求中提取出来的策略信息)中所包含的项目值，从而更新了相应的记录(步骤S70)。此后，安全策略搜索部分204将从策略搜索请求中提取出来的策略信息设置为对象策略信息(步骤S74)。

以上已经描述了成功地从安全策略DB 200中搜索出(图14的步骤S52)对象策略ID的记录(步骤S54中的判定为是)的情况。如果对对象策略的记录的搜索失败(步骤S54中的判定为否)，安全策略搜索部分204则将从策略搜索请求中提取出来的策略信息传递给安全策略登记部分212，并且指示安全策略登记部分212将与策略信息相对应的记录登记在安全策略DB 200中。接收到指令的安全策略登记部分212在安全策略DB 200中制作新的记录，并且将从安全策略搜索部分204接收到的策略信息中所包含的值设置为新记录的项目值(步骤S72)。此后，安全策略搜索部分204将从策略搜索请求中提取出来的策略信息设置为对象策略信息(步骤S74)。

当在步骤S60或步骤S74中设置对象策略信息时，安全策略搜索部分204为从策略搜索请求中提取出来的用户ID的用户制作允许功能列表(下文中，该用户ID被称为请求者ID)(步骤S62)。

在步骤S62中，例如，安全策略搜索部分204在对象策略信息所包含的可用范围内搜索与请求者ID相对应的信息。例如，在对象策略信息是图3的示例表格的策略ID“0001”的安全策略的情况中，在对象策略信息中，“组织名称：软件开发部门”、“开发承包人：用户A、用户B”、以及“制作者”被设置为可用范围。在该示例中，在请求者ID的用户属于“软件开发部门”并且请求者ID不同于制作者ID的情况下，对可用范围“组织名称：软件开发部门”进行搜索。这时，例如，可通过询问用户验证服务器来获得与请求者ID的用户所属的组相关的信息。当从对象策略信息的可用范围中搜索出对应于请求者ID的信息时，对与搜索出来的可用范围相关联的有效期进行检查，并且判断当前时间是否在有效期范围内。例如，可以判断：从策略搜索请求所提取出来的文档信息中所包含的制作日期和时间开始到当前时间为止所经过的时间是否在被设置为有效期的时期内。如果在有效期内，与所搜索的可用范围相关联的允许功能列表被设置为用于请求者ID的用户的允许功能列表。在上述示例中，从对象策略信息(策略ID“0001”)中搜索可用范围“组织名称：软件开发部门”，当从策略搜索请求中的文档信息的制作日期和时间开始经过的时间处于相应的有效期“180天”的范围内时，与该可用范围相对应的允许功能列表(“电子文档的浏览”、“电子文档的打印”、以及“纸质文档的复印”)被设置为针对该请求者ID的允许功能列表。

如果没有在步骤S62中从对象策略信息中搜索到对应于请求者ID的可用范围，或者如果所搜索的可用范围的有效期已经过了，那么针对该请求者ID的允许功能列表被设置为NULL。

在步骤S62中，如果对象策略信息中包含多个与请求者ID相对应的可用范围，那么包含分别与有效范围内的多个可用范围相关联的多个允许功能列表所包括的所有操作类型的列表被设置为针对该请求者ID的允许功能列表。例如，对象策略信息的策略ID为“0001”、请求者ID等同于制作者ID、并且请求者ID的用户属于“软件开发部门”的情况下，包含了分别与相应的可用范围“组织名称：软件开发部门”和“制作者”相关联的允许功能列表所包含的所有操作类型(浏览、编辑和打印电子文档、以及复印和扫描纸质文档)的列表被设置为针对该请求者ID的允许功能列表。在另一示例中，针对与多个相应可用范围相关联的允许功能列表，可以将以“与(AND)”条件相结合的列表设置为针对请求者ID的允许功能列表。在上述示例中，对象策略信息具有策略ID“0001”，并且与请求者ID相对应的可用范围是两个可用范围：“组织名称：软件开发部门”和与请求者ID相对应的“制作者”，那么包含在分别与两个可用范围相关联的两个允许功能列表中的操作类型(“浏览电子文档”、“打印电子文档”和“复印纸质文档”)可被设置为针对该请求者ID的允许功能列表。

安全策略搜索部分204将步骤S62中所制作的允许功能列表设置为策略搜索结果(步骤S64)。

当在步骤S64或步骤S68中设置策略搜索结果时，安全策略搜索部分204将安全策略搜索部分204返回给客户端60或图像形成设备80(策略搜索请求的请求源)(步骤S66)。步骤S66之后，策略搜索处理结束。

图16是示出了对从网络2的客户端60中的受保护电子文档执行操作的情况下进行的处理的程序的示例的流程图。例如，当客户端60的受保护文档使用应用66的控制部分660经由输入接收部分62接收到来自用户的指定了一个受保护电子文档的操作指令，控制部分启动图16所示范性地示出的程序的处理。

参见图16，以与图12和图13的步骤S10和步骤S12相类似的方式执行用户验证处理(步骤S10)和对用户验证是否成功的判断(步骤S12)。

如果用户验证失败(步骤S12中的判定为否)，则执行出错处理(步骤S92)来终止处理。在出错处理中，例如，控制部分660在显示部分64上显示消息以表示用户验证失败。

如果用户验证成功(步骤S12中的判定为是)，控制部分660则获取被指定为操作对象的受保护电子文档(步骤S80)。随后，控制部分660从受保护电子文档中提取文档信息和策略信息，并且向从安全策略服务器20发出策略搜索请求(策略搜索请求中包含所提取出来的文档信息和策略信息、以及执行操作指令的用户的用户ID)(步骤S82)。安全策略服务器20响应于该请求而执行已经针对图14和图15描述过的策略搜索处理。随后，控制部分660获取安全策略服务器20所返回的策略搜索结果(步骤S84)，并且确定用户的操作指令中所指定的操作类型是否包含在策略搜索结果中，从而确定是否可以执行操作(步骤S86)。

如果所指定的操作类型包含在策略搜索结果中，控制部分660则判断可以执行操作(步骤S86中的判定为是)，并通过使用预定解码密钥来对受保护电子文档中所包含的文档主体进行解码，并且将解码所产生的数据存储在文档保存部分664中(步骤S88)。并且，控制部分660将受保护电子文档中所包含的文档信息和策略信息存储在文档信息/策略信息保存部分666中。随后，控制部分660指示文档操作部分668执行所指定的操作，并且文档操作部分668执行操作(步骤S90)。

下面将描述步骤S90中执行的操作的示例。例如，假设所指定的操作的浏览。文档操作部分668使文档保存部分664所保存的解码后的文档主体显示在显示部分64上。在指示了编辑操作的情况下，文档操作部分668使文档保存部分664所保存的文档主体显示在显示部分64上，并且经由输入接收部分62接收用户的编辑，并且控制部分660将所接收到的编辑内容反映在文档保存部分664所保存的文档主体中。编辑之后，当用户经由输入接收部分62和控制部分660指示对受保护电子文档进行“存储”时，文档操作部分668通过预定的加密密钥对文档保存部分664中的文档主体的数据进行加密。随后，包含作为文档主体的加密数据以及文档信息/策略信息保存部分666中所保存的其他文档信息和策略信息的受保护电子文档被制作出来。

在所指定的操作类型是打印的情况下，例如，文档操作部分668在步骤S90中将文档保存部分664所保存的文档主体以及文档信息/策略信息保存部分666中所保存的文档信息和策略信息传递给打印请求部分670。打印请求部分670将包含所传递过来的文档主体、文档信息和策略信息的打印请求发送给图像形成设备80。在接收到打印请求的图像形成设备80中，受保护文档使用功能88的控制部分880通过文档信息/策略信息解码部分884将打印请求中的文档信息和策略信息转换成机器可读代码，将打印请求中的文档主体的图像数据传递给图像形成设备80，并且随后指示受保护纸质文档制作部分892制作受保护纸质文档。受保护纸质文档制作部分892指示打印部分86在纸张上打印出图像保存部分886所保存的图像数据以及已经被转换成机器可读代码的文档信息和策略信息。根据指令，打印部分86执行打印处理。因此，响应于来自客户端69的打印请求制作出了由于对受保护电子文档进行打印而产生的受保护纸质文档。

回到图16的示例的流程图的描述，在步骤S86中，如果所指定的操作类型不包括在策略搜索结果中，控制部分660判断不允许执行操作(步骤S86中的判定为否)，并且执行出错处理(步骤S92)来终止处理。在这种情况中的出错处理中，例如，在显示部分64上显示信息以表示所指定的操作未被允许。

在已经针对图16描述过的与受保护电子文档的使用相关的处理中，在用户指示对受保护电子文档进行打印的处理的情况下，客户端60判断是否可以执行打印操作。在另一示例中，在指示对受保护电子文档进行打印的处理的情况下，图像形成设备80可对是否执行打印操作进行判断，而不是客户端60来判断。在该示例中，在图16的示例的程序的处理中，例如，在获得作为操作对象的受保护电子文档之后，客户端60的受保护文档使用应用66的控制部分660判断所指示的操作的类型是不是打印(步骤S80)。如果是打印，那么控制部分控制打印请求部分670，使之向图像形成设备80发出包含作为操作对象的受保护电子文档(打印对象)和指示打印的用户的用户ID的打印请求。响应于该打印请求，以与图16的示例的程序的步骤S82和S84相类似的方式，布置在图像形成设备80中的受保护文档使用功能88的控制部分880通过使用包含在打印请求中的策略信息和用户ID来向从安全策略服务器20发出策略搜索请求，并且获取策略搜索结果。如果打印操作包含在允许功能列表(所获取的策略搜索结果)中，那么控制部分880执行处理，以便对被要求打印的受保护电子文档的加密文档主体进行解码，通过文档信息/策略信息解码部分884将文档信息和策略信息转换成机器可读代码，并且随后对受保护纸质文档制作部分892进行控制以便执行打印操作。如果打印部分未包含在策略搜索结果中，那么控制部分880不执行打印操作。在该示例中，在客户端60所指示的操作类型不是打印的情况下，在客户端60的受保护文档使用应用66中执行图16的示例的程序的步骤S82及其后续步骤。

图17是示出了对从网络2的图像形成设备80中的受保护纸质文档执行操作的情况下进行的处理的程序的示例的流程图。在图17中，与图16的示例的流程图的处理步骤相同的处理步骤标有相同的参考标号。例如，在受保护文档被放置在图像形成设备80的自动文档馈入装置(未示出)或扫描仪中的用于文档读取的滚筒(未示出)上的情况下，当控制部分经由输入接收部分82接收到来自用户的受保护文档制作指令(在本示例中是用于复印或扫描的指令)时，布置在图像形成设备80中的受保护文档使用功能88的控制部分启动图17所示范性地示出的程序处理。

参见图17，以与图16的步骤S10和步骤S12相类似的方式执行用户验证处理(步骤S10)和对用户验证是否成功的判断(步骤S12)。

如果用户验证失败(步骤S12中的判定为否)，则执行出错处理(步骤S92)来终止处理。

如果用户验证成功(步骤S12中的判定为是)，则控制部分880指示图像数据接收部分81通过扫描仪读取受保护纸质文档，并且从图像数据接收部分81获取从受保护纸质文档读取到的图像数据(步骤S100)。随后，控制部分提取表示文档信息的机器可读代码以及表示来自所获取的图像数据的策略信息的机器可读代码，并且使文档信息/策略信息解码部分884对所提取的机器可读代码进行解码，以便获取文档信息和策略信息的内容(步骤S102)。所获取的文档信息和策略信息被存储在文档信息/策略信息保存部分888。并且，通过读取受保护纸质文档而获得的图像数据中的与文档主体相对应的部分被存储在图像保存部分886中。

如果解码处理失败(步骤S104中的判定为否)，那么执行出错处理(步骤S92)，此后处理终止。

如果解码处理成功(步骤S104中的判定为是)，那么包含所获取的文档信息和策略信息以及指示操作的用户的用户ID的策略搜索请求被发送给从安全策略服务器20(步骤S82)。此后，以与图16的示例的步骤S84和S86相类似的方式，获取策略搜索结果(步骤S84)，并且判断是否可以执行操作(步骤S86)。

如果判断结果是不允许执行操作(步骤S86中的判定为否)，则执行出错处理(步骤S92)以终止处理。

如果判断结果是允许执行操作(步骤S86中的判定为是)，控制部分880则判断所指定的操作的类型(步骤S106)。

如果操作类型是扫描，那么控制部分880指示受保护电子文档制作部分890制作受保护电子文档。接收到指令的受保护电子文档制作部分890通过预定加密密钥来对图像保存部分886所保存的数据进行加密(步骤S108)。随后，包含作为文档主体的加密数据、以及文档信息/策略信息保存部分888所保存的其它文档信息和策略信息的受保护电子文档被制作出来(步骤S110)。因此，与扫描仪所读取的受保护纸质文档相对应的受保护电子文档被制作出来。所制作的受保护电子文档被存储在指示扫描操作的用户可以使用的信息处理设备(未示出)中所布置的存储装置(未示出)中。

如果操作类型是复印，那么控制部分880指示受保护纸质文档制作部分892制作受保护纸质文档。接收到指令的受保护纸质文档制作部分892将文档信息/策略信息保存部分888所保存的文档信息和策略信息转换成机器可读代码(步骤S112)。随后，控制部分指示打印部分86将图像保存部分886所保存的数据与文档信息和策略信息的机器可读代码一起打印出来，并且根据指令，打印部分86执行打印处理，从而制作出受保护的纸质文档(步骤S114)。于是，制作出了作为扫描仪所读取的受保护纸质文档的拷贝的受保护纸质文档。

在参见在图14至图17描述的处理示例中，从安全策略服务器20将允许希望使用受包含文档的用户执行的操作类型的列表发送给客户端60或图像形成设备80，并且由客户端60或图像形成设备80来判断是否可以执行操作。在另一示例中，由从安全策略服务器20来判断是否可以执行操作，并且判断结果被返回给客户端60或图像形成设备80。在该示例的情况中，客户端60或图像形成设备80将策略搜索请求(其中还包括用户所指示的操作类型)发送给从安全策略服务器20，并且从安全策略服务器20根据所接收到的操作类型和(在图15的步骤S64和S65中获取的)策略搜索结果来判断是否可以执行操作。

在上述已经描述的实施例的示例中，受保护文档本身包含设置在文档中的安全策略的内容。在从网络2中，在无需访问主安全策略服务器10的安全策略DB 100(在受保护文档制作过程中参考了安全策略DB 100)的情况下，通过使用受保护文档中所包含的安全策略来限制受保护文档使用。在从安全策略服务器20中，从受保护文档中提取出来的安全策略被登记在安全策略DB 200中。在将从受保护文档中提取出来的安全策略登记在从安全策略服务器20的安全策略DB 200中之后，在参考安全策略DB 200中登记的安全策略的同时执行对与安全策略相关联的受保护文档的使用限制。在安全策略DB 200中，当例如某个策略ID的安全策略是无效的(无效标志被设置为“TRUE”)时，不允许对于安全策略相关联的受保护文档进行使用(参见图15的步骤S56和S68)。可选地，在安全策略DB 200中，在特定策略ID的安全策略被更新时，根据登记在安全策略DB 200中的更新后的安全策略，限制了与该安全策略相关联的包含更新前的安全策略内容的受保护文档的使用(参见图14的步骤S52以及图15的步骤S54、S56、S58以及S60)。

相反，在上述实施例的示例中，可能出现这样的情况：在主安全策略服务器10中对已经登记在从安全策略服务器20的安全策略DB 200中的安全策略的内容进行更新，并且制作了包含更新内容的安全策略的受保护文档。在这种情况下，当从网络2将要使用包含更新后的安全策略的受保护文档时，对与受保护文档相关联的策略ID的安全策略DB 200中的记录的更新时间与包含在受保护文档中的安全策略的更新时间进行比较，并且，由于包含在受保护文档中的更新时间更近，所以判断安全策略DB 200的相应记录将被更新(图15的步骤S58中的判定为是)。随后，安全策略DB 200的策略ID的记录被更新为包含在受保护文档中的安全策略的内容(图15的步骤S70)，并且更新后的包含在受保护文档中的安全策略被用于对受保护文档进行使用限制(图15的步骤S74以及步骤S62至步骤S66)。

在上述实施例的示例中，受保护文档包含仅仅表示设置在文档中的安全策略的策略信息。在另一实施例中，受保护文档可能不仅包含设置在文档中的安全策略，并且还包含表示主安全策略服务器10的安全策略DB 100中的安全策略的更新的信息。在将要把可设置在受保护文档中的安全策略的列表发送至客户端50或图像形成设备70时，例如，主安全策略服务器10还发送在安全策略列表的前一次发送时间和当前时间之间更新的安全策略的内容。随后，在客户端50或图像形成设备70中，包含策略更新信息(该信息表示更新后的安全策略内容)以及策略信息(其中包含将被设置在文档中的安全策略)的受保护文档被制作出来。在这种受保护文档被用在从网络2的客户端60或图像形成设备80中的情况下，客户端60或图像形成设备80将受保护文档中的策略更新信息与上述策略搜索请求一起发送给从安全策略服务器20。接收到策略更新信息的从安全策略服务器20根据策略更新信息来更新安全策略DB 200。

在上述实施例的示例中，使用了这样的安全策略，其中将可用范围所指示的操作主体所允许进行的操作类型设置为允许功能列表。在安全策略设置的另一示例中，可以为针对系统中的受保护文档而执行的所有种类的操作中的每一种操作明确地设置允许或禁止。可选地，例如，可以在安全策略中设置禁止操作主体执行的操作种类的列表，并且列表中所不包含的操作类型则可以是允许执行的。

在上述实施例的示例中，作为表示安全策略的有效性的信息，无效标志的值不是“TRUE”就是“FALSE”。在另一示例中，可以使用一个表示三种状态的变量，这三种状态为“有效”、“无效”以及“待定(可回复的无效)”。在该示例中，一旦安全策略被设置为“无效”就不可能再变回“有效”，但是被设置为“待定”的安全策略可被再次设置为“有效”。

在以上描述中，其中制作了受保护文档的主网络1中所包含的设备不具备与受保护文档的使用相关的功能，并且其中使用了受保护文档的从网络2中所包含的设备不具备与受保护文档的制作相关的功能。可选地，在两个独立网络中的每个网络中，可以布置具有与受保护文档的使用相关的功能以及与受保护文档的制作相关的功能这两个功能的设备。在每个网络中，例如，可以布置：一个具有主安全策略服务器10的多个部分的功能以及从安全策略服务器20的多个部分的功能的安全策略服务器、包括文档保护应用56和受保护文档使用应用66的客户端、以及具有文档保护功能78和受保护文档使用功能88的图像形成设备。在该示例的情况下，在两个网络中的每个网络中，新制作一个安全策略并且对其进行登记，并且制作一个其中设置了该安全策略的受保护文档。在一个网络中制作的受保护文档可在另一网络使用，反之亦然。

通过在通用计算机中通过执行程序(程序中描述了设备的功能或者处理的内容)来实现上述各种服务器(主安全策略服务器10、从安全策略服务器20以及用户验证服务器30、40)以及客户端50、60。如图18所示，例如，计算机具有作为硬件的电路配置，其中经由总线93来对CPU(中央处理单元)90、内存(主存储器)91、各种I/O(输入/输出)接口92等进行互连。例如，HDD(硬盘驱动器)94、以及用于读取各种便携式非易失性记录介质(例如CD、DVD以及闪存存储器)的盘驱动器95经由I/O接口92连接至总线。通过诸如CD或DVD之类的记录介质或者网络，将其中描述了实施例中的处理内容的程序被存储在固定存储装置(例如HDD 94)中，并且将程序安装在计算机中。存储在固定存储装置中的程序被读入内存，并且被CPU执行，从而实现实施例中的处理。

为了说明和解释的目的提供了本发明实施例的前述描述。其并不旨在穷尽本发明或者将本发明限制为所公开的具体形式。显然地，对本领域技术人员而言，可以做出多种修改和变化。选择这些实施例并对其进行描述的目的在于解释本发明的原理及其实际应用，从而使得本领域技术人员可以理解，适合各种实施例并且具有各种改型的本发明适合于预期的具体应用。本发明的范围由所附权利要求及其等价形式所限定。