專利名稱:圖像處理裝置的網(wǎng)絡(luò)系統(tǒng)中的安全數(shù)據(jù)傳輸?shù)闹谱鞣椒?br>
技術(shù)領(lǐng)域:
本發(fā)明涉及在通過數(shù)字網(wǎng)絡(luò)互連的任何掃描儀����、打印機(jī)和諸如用戶工作站的主機(jī)之間安全傳輸與文檔有關(guān)的數(shù)字?jǐn)?shù)據(jù)的方法���。
具體地說�����,本發(fā)明涉及包括以下步驟的方法在發(fā)送站-通過數(shù)據(jù)源產(chǎn)生一個(gè)文檔文件�;-由操作員輸入用戶定義的字符串����;-根據(jù)所述用戶定義的字符串自動(dòng)形成一個(gè)加密密鑰;-使用所述加密密鑰對(duì)所述文檔文件進(jìn)行加密����,產(chǎn)生一個(gè)加密的文檔文件����;-形成傳輸文件�����,包括加密的文檔文件�;-向接收站傳送所述傳輸文件;在所述接收站-存儲(chǔ)接收的傳輸文件���;-由操作員輸入相同的用戶定義的字符串��;-根據(jù)所述用戶定義的字符串自動(dòng)形成一個(gè)解密密鑰���。
-使用所述解密密鑰對(duì)所述加密的文檔文件進(jìn)行解密����,得到解密的文檔文件。
背景技術(shù):
如今���,文檔的產(chǎn)生和打印必須達(dá)到各種不同的安全級(jí)別��。此外��,各種打印組織/配置的存在可能會(huì)在文檔的產(chǎn)生及其打印之間造成時(shí)間和空間上的間隔�����。此類間隔可以是各個(gè)方面的�����,例如在家中產(chǎn)生文檔并使用因特網(wǎng)傳遞到辦公室/在辦公室打?�?�;組成文檔并將其放入駐留在共享打印機(jī)郵箱中的打印隊(duì)列����,例如Océ3165TM,如通過存儲(chǔ)到位于其中的一個(gè)硬盤����;讓打印文檔的電子版在實(shí)際打印之后保留存儲(chǔ)一段時(shí)間,例如24小時(shí)�,存儲(chǔ)在一個(gè)或多或少可以自由訪問的中間存儲(chǔ)裝置及各種其它設(shè)備中。
本發(fā)明人認(rèn)識(shí)到提高安全性的需要�����,因此對(duì)機(jī)密的和其它受限的準(zhǔn)備好打印的信息的未經(jīng)授權(quán)的訪問應(yīng)該減至最少,同時(shí)盡可能保留易用性�����。另外�,數(shù)據(jù)的其它傳輸,尤其是與文檔有關(guān)的數(shù)據(jù)��,例如掃描文檔產(chǎn)生的掃描文件和存儲(chǔ)在數(shù)據(jù)庫中的文檔文件��,必須是安全的�,以防竊聽者訪問某些秘密或機(jī)密文檔的內(nèi)容。
具體地說�,EP A1 0 929 023公開了一種安全打印方法,其中��,使用會(huì)話密鑰按照成批數(shù)據(jù)加密算法對(duì)文檔進(jìn)行加密����,而且使用目標(biāo)接收者的公共密鑰(PUK)對(duì)會(huì)話密鑰進(jìn)行加密�。然后將完整的打印工作傳送到文檔存儲(chǔ)區(qū)。接收者將使用包含其秘密密鑰(PRK)的所謂智能卡向打印機(jī)認(rèn)證��,打印機(jī)從卡上得到身份以搜索用于該接收者的文檔;然后這些文檔會(huì)從文檔存儲(chǔ)區(qū)被發(fā)送到安全打印機(jī)����,打印機(jī)先使用該接收者的PRK對(duì)會(huì)話密鑰進(jìn)行解密,再使用解密的會(huì)話密鑰對(duì)文檔進(jìn)行解密和打印�����。
該已知的方法雖然能提供一定程度的安全性��,但仍易受到專門的密碼破解技術(shù)的攻擊��。傳送的加密文檔文件中仍包含可用于對(duì)其進(jìn)行解密的信息���。具體地說�,加密的會(huì)話密鑰可以從傳送的文件中提取出來��,而且�����,由于其相對(duì)較短�,可以被大量的試錯(cuò)法攻擊解密。
此外��,基于單個(gè)文檔是不夠靈活的。例如���,接收者必須具有需要物理傳遞的智能卡��,但是另一方面�,這樣接收者才能查看用于假定持卡者的所有文檔�。該參考不提供對(duì)僅一個(gè)文檔的單獨(dú)訪問。此外��,在傳送文檔之前���,發(fā)送者必須知道目標(biāo)接收者的身份�����,這并不總是可行的�。
發(fā)明內(nèi)容
因此����,本發(fā)明的其中一個(gè)目的是提高前序中所述方案的安全性。此外��,本發(fā)明提供一種良好平衡的方法,可以在一方面平滑訪問和文檔管理功能與另一方面高安全性之間進(jìn)行折衷�����。
因此�,按照其中的一個(gè)方面��,本發(fā)明的特征在于不在傳輸文件中加入任何解密線索���,而且在接收站執(zhí)行方法步驟�����,無需對(duì)所述用戶定義的字符串進(jìn)行任何有效性檢查��。
因此����,已知的先有技術(shù)一般在傳送文件本身中包含解密線索或其它用于檢查授權(quán)的信息���,這樣就為竊聽者提供了大體上可使用先進(jìn)技術(shù)顯露的信息�����,本發(fā)明的方法則不會(huì)在傳送文件中包含此類至關(guān)緊要的信息����。因此,任何檢查都是多余的�����,因?yàn)閮H有的解密線索����,即上述用戶定義的字符串,在目標(biāo)接收者手中���。檢查他的授權(quán)就是根據(jù)該字符串對(duì)傳輸文件進(jìn)行解密的簡(jiǎn)單動(dòng)作�。如果該字符串正確���,文檔文件會(huì)被解密為其原始形式并可供使用�;如果該字符串不正確�,則會(huì)根據(jù)錯(cuò)誤的解密密鑰對(duì)文件進(jìn)行解密,因而結(jié)果將無法理解��,即使它具有打印機(jī)控制器可以處理的形式����。因此在大部分情況下����,打印機(jī)僅會(huì)產(chǎn)生一條錯(cuò)誤信息�。
本發(fā)明還涉及安全傳輸打印文件之外的其它文件的方法�����,例如存儲(chǔ)在如用戶工作站的掃描文件�。此外,本發(fā)明涉及數(shù)據(jù)處理裝置的系統(tǒng)���,該系統(tǒng)被用于在它們之間安全傳輸與文檔有關(guān)的數(shù)字?jǐn)?shù)據(jù)���。
本發(fā)明的更多有利方面在相關(guān)權(quán)利要求中細(xì)述。
下面參照本發(fā)明的優(yōu)選實(shí)施例的公開���、具體參照附圖更詳細(xì)地論述本發(fā)明的這些及其它特點(diǎn)����、方面和優(yōu)點(diǎn)���,附圖包括圖1是一個(gè)包含打印機(jī)��、掃描儀和工作站的網(wǎng)絡(luò)系統(tǒng)的簡(jiǎn)圖�����;圖2是根據(jù)本發(fā)明的一個(gè)打印機(jī)實(shí)施例的過程的框圖�����;圖3是與本發(fā)明配合使用的文檔格式�;圖4是在目標(biāo)打印系統(tǒng)上顯示的第一個(gè)畫面;圖5是在目標(biāo)打印系統(tǒng)上顯示的第二個(gè)畫面����;圖6是根據(jù)本發(fā)明的一個(gè)掃描儀實(shí)施例的過程的框圖。
具體實(shí)施例方式
圖1是一個(gè)簡(jiǎn)圖���,示出根據(jù)本發(fā)明的打印機(jī)實(shí)施例的過程���。系統(tǒng)包含多個(gè)用戶工作站1、2和3����,多個(gè)掃描儀5��、6��,以及一個(gè)或多個(gè)打印機(jī)7�、8�����。為掃描儀和打印機(jī)提供了其自身的操作員控制單元(未單獨(dú)示出)�����,其中配備了操作員控制部件10�����,例如密鑰12�����、13�、14和顯示器11�,可能使用外部操作員控制單元6A、例如PC的形式���。其中打印機(jī)實(shí)際上是多功能數(shù)字復(fù)印機(jī)(7�,8),這些機(jī)器的掃描儀也可用作單獨(dú)的掃描裝置����。所有這些元件通過本地網(wǎng)絡(luò)4互連,它們都連接到此網(wǎng)絡(luò)�。
圖2說明本發(fā)明的打印機(jī)實(shí)施例的整體系統(tǒng)的框圖。文檔源20可以表示任何適當(dāng)?shù)膩碓错?xiàng)����,例如打字、制圖�����、可視圖像攝取等等�。所產(chǎn)生的文檔22被轉(zhuǎn)發(fā)到打印機(jī)驅(qū)動(dòng)器24。后者一般是位于文檔源��、例如始發(fā)者的個(gè)人計(jì)算機(jī)或工作站(1��,2��,3)的軟件模塊�����。在考慮的配置中,打印機(jī)驅(qū)動(dòng)器24與使用加密密鑰28實(shí)現(xiàn)加密本身的加密過程26相關(guān)聯(lián)�����。各種此類過程被廣泛使用����,例如DES、RSA及等等�����。加密密鑰是會(huì)話特有的(session-specific)�,并且基于操作員在打印機(jī)驅(qū)動(dòng)器中輸入的加密串���,如下所述��。
諸如用戶個(gè)人計(jì)算機(jī)的源�����,對(duì)于存儲(chǔ)文檔的加密版本一般被認(rèn)為是十分安全的����。注意,在那里可能還駐留有一個(gè)未加密的版本���。所述的PC將稍微變得更容易受到攻擊�����,因?yàn)樗哂幸粋€(gè)開放通信端口�����。另一個(gè)變體可以在專用服務(wù)器上具有加密的工作加上票證(ticket)���。
在一般經(jīng)過完全加密的打印數(shù)據(jù)之后,文檔通常包含所謂的元數(shù)據(jù)�����,表示文檔的一些說明或其目標(biāo)用途����,此類內(nèi)容包含在通俗所稱的文檔標(biāo)題中。例如���,標(biāo)題包含未加密的所有者和目標(biāo)用戶(可以相同)的名稱�,但不包含加密串本身的任何信息,既不是加密的�,也不是明文(cleartext)。
加密算法使用的實(shí)際加密密鑰最好是操作員輸入的輸入加密串的函數(shù)��。此種函數(shù)的基本實(shí)施例是通過將輸入加密串與標(biāo)準(zhǔn)字符串連接起來����,但是用于此目的的更復(fù)雜的函數(shù)也是可行的。這后一個(gè)特征意味著輸入空加密串或甚至其省略仍可保證不會(huì)傳送未加密的數(shù)據(jù)����。
現(xiàn)在,工作票證或標(biāo)題中的各個(gè)字段也可以加密�,但標(biāo)題的某些指定字段最好應(yīng)保留明文,例如分別指定文檔份數(shù)和頁數(shù)的字段�����,這些字段在實(shí)際打印之前可以被有效使用��,例如用于記帳或其它諸如在多打印機(jī)系統(tǒng)中路由選擇之類的控制目的�����。此類記帳功能可在圖2未示出的中間服務(wù)器上實(shí)現(xiàn)�����。所有者的名稱也會(huì)是明文�。
但是,工作名稱最好不是明文��,因?yàn)樗鼤?huì)給非目標(biāo)方第一有用信息量����。或者���,可以由所有者自己或打印機(jī)驅(qū)動(dòng)器將工作名稱變?yōu)榉切畔⑿宰址蛉掌?小時(shí)混合體�。
根據(jù)第一實(shí)施例����,使用上述的加密密鑰(基于操作員輸入的加密串)的函數(shù)對(duì)工作進(jìn)行加密(26),隨后將其傳遞到打印機(jī)郵箱��。在打印機(jī)中�,從已載入打印機(jī)郵箱30的文檔中提取出目標(biāo)用戶的名稱,例如用于在收件者的個(gè)人郵箱(未明確示出)中發(fā)信號(hào)。為了實(shí)際打印�����,用戶打開郵箱�,使用適當(dāng)?shù)目刂菩盘?hào)通知32選擇該文檔,并通過強(qiáng)制對(duì)話框的請(qǐng)求將解密串輸入解密模塊34�����。如線項(xiàng)目29所示��,解密串與加密階段26中所使用的加密串一樣���。打印機(jī)的解密模塊具有與用于在打印機(jī)驅(qū)動(dòng)器中所用的用戶輸入的加密串基礎(chǔ)上形成加密密鑰的算法有關(guān)的信息�,并相應(yīng)地形成解密密鑰�����。
解密串的傳遞可以用任何適當(dāng)?shù)姆绞竭M(jìn)行��,例如通過所有者攜帶���,或者通過連接27之外任何可行的通信,例如通過畫有陰影線的連接29。如圖所示���,加密/解密串和文檔之間的關(guān)系是直接的�,不需要物理媒介�、例如智能卡,其優(yōu)點(diǎn)在于��,只需向其他人拼寫加密/解密串�����,就可以與他人共享打印文件�����。兩者都不是暫時(shí)的中間存在���,例如解密和打印之間的組織延遲�,除開與打印操作本身有關(guān)�。
加密文件的實(shí)際網(wǎng)絡(luò)傳送可以通過排列數(shù)據(jù)塊完成,例如通過散列加密串以及可能的日期和時(shí)間�。此外,可以通過偽隨機(jī)的方式把假數(shù)據(jù)塊插入數(shù)據(jù)流中���。偽隨機(jī)發(fā)生器的種子項(xiàng)目可以基于加密串和/或日期與時(shí)間�。因此,竊聽者首先必須糾正數(shù)據(jù)順序�����,之后再進(jìn)行解密�����,這大大增強(qiáng)數(shù)據(jù)的安全性���。
解密之后��,文檔立即被打印(38)��,從而得到硬拷貝40�。如果輸入錯(cuò)誤的解密串���,打印過程只會(huì)產(chǎn)生“垃圾”����,即使文件仍可打印�,但仍不會(huì)檢查解密串本身�����。因此,從文檔源到有效打印的整個(gè)途徑受到加密保護(hù)����,不會(huì)長(zhǎng)時(shí)間暴露于非目標(biāo)方的惡意窺查下。在其它已知的組織中�����,這種暴露事實(shí)上合計(jì)有好幾個(gè)小時(shí)�,但即使是幾秒鐘可能已經(jīng)對(duì)安全性有所損害。
根據(jù)特定的實(shí)施例����,工作票證可能包含通過相同的加密算法加密的加密代碼串或“簽名”,用于快速檢查輸入的解密串是否正確���。這樣�,在其基礎(chǔ)上文件只有一小部分被解密��,同時(shí)檢測(cè)到正在產(chǎn)生“垃圾”���,而不是對(duì)文檔的大部分進(jìn)行解碼�。當(dāng)然,適當(dāng)?shù)暮灻兓?���,例如在各個(gè)目的地或客戶之間,會(huì)提高安全性�����。簽名串的大小可以處于0.1到1千字節(jié)的范圍內(nèi)�,因而比打印文件本身小得多。
上面發(fā)現(xiàn)的“無法打印”可能有一些除輸入錯(cuò)誤解密串之外的其它原因�����,或可能不小心輸錯(cuò)解密串���。但是����,特定閾值數(shù)的失敗打印則可能表示故意的欺詐����。因此�,當(dāng)“失敗”次數(shù)超過預(yù)定的閾值數(shù)時(shí)�,會(huì)自動(dòng)從打印機(jī)存儲(chǔ)裝置刪除該文檔。這個(gè)閾值數(shù)可以調(diào)整��,以及某些或所有此類的失敗打印會(huì)被記入和/或上報(bào)�。
緊接著已經(jīng)討論的本發(fā)明的優(yōu)點(diǎn)��,還可以列出以下優(yōu)點(diǎn)���。文檔在即將打印之前保持加密��。因此�����,即使物理拆除打印機(jī)的硬盤也不會(huì)破壞安全性�。打印工作也可以(重新)路由到原目標(biāo)之外的另一位置用于打印�,不需要冒任何風(fēng)險(xiǎn)。緊接著上面討論的特征���,應(yīng)用所謂的安全套接口(secure socket)可以形成對(duì)抗破壞的另一條防線�。
根據(jù)本發(fā)明的第二實(shí)施例���,可以達(dá)到比上述實(shí)施例更高程度的安全性�,方法是至少部分地延遲打印工作的加密打印數(shù)據(jù)的傳輸,直到接收實(shí)際的打印命令�。有利的是,其中改為傳送最小限度的票證���,只包含用戶名和一些文檔標(biāo)識(shí)�。只有用戶在打印機(jī)報(bào)告并選擇工作���,才能取得文檔數(shù)據(jù)本身和票證的剩余部分���。這樣進(jìn)一步將文檔處于信任環(huán)境之外的時(shí)間減到最少。而且����,在因某種原因放棄實(shí)際打印時(shí),文檔不會(huì)繼續(xù)存儲(chǔ)在打印機(jī)中���。但是�����,這種實(shí)施的一個(gè)小缺點(diǎn)在于��,接收打印命令后����,文檔的傳遞會(huì)略微延遲打印。
上述“準(zhǔn)時(shí)”(Just In Time)過程的一種變化是���,在接收實(shí)際的打印命令之前�����,只有一部分、例如一半的加密文檔被傳遞�。其余部分則在源設(shè)備上保持加密。選擇方式是��,這樣傳遞的文檔部分不包含對(duì)冒充者有用的信息����。本發(fā)明人認(rèn)為非常有用的選擇算法是,得到必需到接收器的各字節(jié)的固定部分傳遞到���,例如每個(gè)字節(jié)的前半部分����,而只發(fā)送各字節(jié)的該部分并保留剩余部分。即使擁有加密串�����,也無法解密位于打印機(jī)中的文檔部分����。與保留整個(gè)文檔相比,這個(gè)特征在請(qǐng)求打印時(shí)將減少約2倍的傳遞時(shí)間��?�?梢员A艟幋a文檔的其它部分���,每個(gè)此種選擇導(dǎo)致特定的折衷�����。分割可以在額外參數(shù)的控制下進(jìn)行���,使每個(gè)特定字節(jié)(或其它信息實(shí)體)的分割看上去無法預(yù)知。實(shí)際上�,與加密串相關(guān)的算法可能產(chǎn)生一個(gè)位串,其中的一控制傳遞,而零控制保留一個(gè)比特或部分字節(jié)�。上述保留的一個(gè)附帶優(yōu)點(diǎn)是更少的打印機(jī)存儲(chǔ)空間要求。
發(fā)送最小票證的更進(jìn)一步變化是只發(fā)信號(hào)通知源中存在安全文檔���。在這種情況下���,每個(gè)緊接于加密串的文檔需要一個(gè)標(biāo)識(shí)符代碼。在請(qǐng)求打印操作時(shí)����,首先打印機(jī)中必須存在標(biāo)識(shí)符。源中文檔不存在會(huì)被記入�,以進(jìn)一步保護(hù)文檔名,代價(jià)是要求打印機(jī)和源之間的額外交互作用�����。
圖3說明與本發(fā)明配合使用的文檔格式�,實(shí)際上顯示為一個(gè)位串��。文檔從左側(cè)的標(biāo)題開始�����。第一部分50涉及低級(jí)組織,例如按加密���、文檔大小等對(duì)文檔進(jìn)行分類��?��??2指定文檔的組織方面,例如所有者和/或目標(biāo)接收者����。如前所述,此信息最好不加密�����?�??4說明文檔的名稱或其它標(biāo)識(shí)及更多此類信息����,如前所述,這些信息最好是加密���?���??6說明記帳和控制信息,最好不加密�,因?yàn)樗鼈兛赡苡糜谂c打印本身無關(guān)的用途。最后��,框58包含文檔本身的加密數(shù)據(jù)��。
圖4和5涉及加密過程�。圖4說明在用戶工作站顯示屏幕上顯示的第一打印機(jī)驅(qū)動(dòng)器窗口70,大部分屏幕元素在WINDOWS環(huán)境下是標(biāo)準(zhǔn)的�。特別指出安全字段71。如果不要求根據(jù)本發(fā)明的安全性����,用戶可以選擇打印參數(shù)并點(diǎn)擊“OK(確定)”。如果要求安全性��,用戶必須勾選安全字段71����,顯示畫面將變化為圖5�。此圖說明在圖4中勾選安全字段71之后,在用戶工作站顯示屏幕上顯示的第二窗口72�。這個(gè)窗口提示用戶填寫加密串字段并在左側(cè)提供局部“OK”。
如圖4和5顯示的其它內(nèi)容,可以選擇各種打印參數(shù)��,例如在單面和雙面之間選擇��、裝訂或不裝訂����、給文檔加封面、以及選擇圖像質(zhì)量�、份數(shù)和各種其它參數(shù)。現(xiàn)在�,已經(jīng)發(fā)現(xiàn),為了符合出版規(guī)范�����、節(jié)約及各種其它原因����,在各用戶級(jí)通過集中的方法控制打印機(jī)驅(qū)動(dòng)器的打印功能。在本發(fā)明的環(huán)境中�,預(yù)見的強(qiáng)制包括強(qiáng)制安全性和例如最小加密串長(zhǎng)度,其它使用實(shí)例為強(qiáng)制雙工����、強(qiáng)制郵箱�����、強(qiáng)制使用某些字符大小的字體(方便有視力障礙者的更大尺寸)����、完全禁用打印機(jī)驅(qū)動(dòng)器���、拒絕打印到文件���、用于打印到文件的明確文件位置,例如熱目錄(hot directory)等��。各個(gè)用戶可以有廣泛的功能和/或工具��。
一個(gè)特別有利的實(shí)施例是為IT經(jīng)理提供中央數(shù)據(jù)庫��,存儲(chǔ)為相應(yīng)用戶指定打印機(jī)驅(qū)動(dòng)器的各個(gè)方面���。這可作為基于規(guī)則的系統(tǒng)來實(shí)現(xiàn)��,為IT經(jīng)理大大減少交互作用的復(fù)雜性?���,F(xiàn)在�,打印機(jī)驅(qū)動(dòng)器將為每個(gè)提交的打印工作或定時(shí)地、例如每個(gè)上午連接到數(shù)據(jù)庫以檢查其當(dāng)前配置��。驅(qū)動(dòng)程序彈出時(shí)�,它會(huì)根據(jù)當(dāng)前指定適應(yīng)其用戶界面和用戶功能。如果服務(wù)器不可達(dá)�,則打印機(jī)驅(qū)動(dòng)器的實(shí)際設(shè)置將用作缺省值,或者暫時(shí)阻止打印�。此實(shí)施例的優(yōu)點(diǎn)在于,許可可以實(shí)時(shí)更改��,甚至是例如按照固定的小時(shí)/天時(shí)間表或在發(fā)生緊急事件時(shí)�。上述數(shù)據(jù)庫可以集中,或者可在每個(gè)打印機(jī)或打印機(jī)位置復(fù)制�。
后一種形式還可能涉及打印機(jī)本身,其中后者會(huì)檢查實(shí)際工作票證是否與數(shù)據(jù)庫中定義的許可一致���。這將執(zhí)行IT經(jīng)理的策略��。具體地說�����,在強(qiáng)制選擇安全選項(xiàng)時(shí)���,打印機(jī)可能會(huì)自動(dòng)刪除任何未加密的打印文件����。
在打印機(jī)位置選擇加密的打印文件用于打印時(shí)�����,通過強(qiáng)制對(duì)話框要求操作員在操作面板中輸入解密串(與加密串相同)�。接著,打印機(jī)使用輸入的串對(duì)文件應(yīng)用解密算法�,如果輸入的串正確,解密文件可以使用并且打印機(jī)可對(duì)它進(jìn)行打印����。但是,如果輸入的串不正確��,文件將無法打印���,并且打印機(jī)將在本機(jī)顯示器上指出這一點(diǎn)�����。然后����,用戶可以在本機(jī)取消和重試�,或完全取消打印。
根據(jù)第二實(shí)施例����、從源或工作站位置開始的整個(gè)打印操作現(xiàn)在概述如下-用戶想要打印一個(gè)文檔(假定文檔內(nèi)容已準(zhǔn)備好)-打印機(jī)驅(qū)動(dòng)器要求用于加密文檔的加密串-驅(qū)動(dòng)器加密文檔并將其存儲(chǔ)到本地工作站盤-為了指示有一個(gè)安全用戶工作正在所述工作站等待,打印機(jī)驅(qū)動(dòng)器發(fā)送一個(gè)最小票證到所選打印機(jī)��,如適用����,還會(huì)發(fā)送加密文檔的一部分。
-用戶在打印機(jī)裝置報(bào)告����、認(rèn)證并獲得其工作列表-用戶選擇安全工作,只有通過其IP地址識(shí)別為已接收最小票證的裝置可以取得工作數(shù)據(jù)的剩余部分-打印機(jī)停用“操作系統(tǒng)交換”��,并且此后只在(易失性)存儲(chǔ)器中活動(dòng)����,這樣可以防止文檔的非加密版本或密鑰出現(xiàn)在盤的交換文件中-打印機(jī)取得工作數(shù)據(jù)的剩余部分-打印機(jī)請(qǐng)求用戶輸入解密串-打印機(jī)在其存儲(chǔ)器中對(duì)文檔進(jìn)行解密并打印備用的文件-打印機(jī)從存儲(chǔ)器中刪除文檔并重新激活“操作系統(tǒng)交換”。
在另一個(gè)實(shí)施例中�����,用于形成加密串的用戶定義的字符串并非由用戶輸入,而是從來自用戶的生物特征�����、例如視網(wǎng)膜掃描或指紋掃描中自動(dòng)得出�����。用戶工作站和打印機(jī)均包含測(cè)量生物特征的裝置���、例如指紋掃描儀(圖中未示出)����,它測(cè)量和分析生物數(shù)據(jù)并由此得出數(shù)據(jù)串�。然后,使用數(shù)據(jù)字符串形成加密密鑰�。
用戶輸入字符串的要求取代為要求掃描相關(guān)的生物特征,例如將其手指放在指紋掃描儀上����。或者,用戶工作站可事先將用戶的生物特征(或基于它的字符串)存儲(chǔ)在安全的地方��,并使用它進(jìn)行加密����。
此實(shí)施例的優(yōu)點(diǎn)在于,用戶不要求記住字符串�����。
上述安全過程也可以有利地用于其它文檔相關(guān)的文件傳遞�����,例如用于掃描�。一般來說��,掃描在例如圖1所示的網(wǎng)絡(luò)系統(tǒng)中由掃描儀裝置5�����、6或多功能裝置7����、8的掃描儀模塊進(jìn)行,然后通過網(wǎng)絡(luò)4將掃描數(shù)據(jù)傳送到目標(biāo)用戶工作站1、2���、3���。掃描數(shù)據(jù)也可以先用加密的形式存儲(chǔ)在與掃描儀相關(guān)的本地?cái)?shù)據(jù)存儲(chǔ)裝置或服務(wù)器中,然后由用戶工作站取得��。
圖6說明根據(jù)本發(fā)明的一個(gè)掃描儀實(shí)施例的過程框圖���。物理文檔122放在掃描儀臺(tái)板上���,或放在與臺(tái)板關(guān)聯(lián)的文檔走紙器中,同時(shí)在掃描儀用戶界面輸入加密串128��。然后����,在框125中,掃描儀掃描該文檔并立即使用基于加密串128的加密密鑰加密由掃描過程產(chǎn)生的文檔文件����,方法與上述用于打印機(jī)驅(qū)動(dòng)器的方法相同。加密的文檔文件存儲(chǔ)(126)在掃描儀中并傳送(130)到指定的目的地��,例如操作員的工作站。
然后�,目標(biāo)接收者可以將加密串128輸入工作站中的解密模塊134的用戶界面,結(jié)果�����,加密的文檔文件會(huì)被解密(134)為可以使用的文檔文件140����。
在上述掃描儀應(yīng)用的第一實(shí)施例中,加密的掃描文件被掃描儀自動(dòng)傳送到目的地工作站���,該工作站在掃描工作初始化時(shí)由掃描儀操作員指定。在此實(shí)施例中����,一個(gè)必要條件是,該工作站應(yīng)可操作并正在等待掃描文件到達(dá)����。一個(gè)優(yōu)點(diǎn)在于,加密的文檔文件僅在短時(shí)間內(nèi)位于“公共”區(qū)域���,因?yàn)樗诋a(chǎn)生后立即被傳送����。
在掃描儀應(yīng)用的第二實(shí)施例中,加密的掃描文件存儲(chǔ)在掃描儀盤中并在該處等待����,直至被工作站取得。用于連接工作站與掃描服務(wù)器�����、在掃描服務(wù)器存儲(chǔ)裝置中選擇文件���、并通過安全連接將所選的文件傳遞到目的地工作站的萬維網(wǎng)應(yīng)用眾所周知����。然后�,傳遞的掃描文件可按照上述方法被解密。
至此��,已經(jīng)參照本發(fā)明的優(yōu)選實(shí)施例公開了本發(fā)明���。本領(lǐng)域的技術(shù)人員將認(rèn)識(shí)到���,在不超出所附權(quán)利要求書范圍的情況下�,可以對(duì)這些實(shí)施例進(jìn)行大量修改和變化�。因此,這些實(shí)施例應(yīng)被視為是說明性的��,并且不應(yīng)從中導(dǎo)出任何限制�����,權(quán)利要求書中已經(jīng)說明的限制除外��。
權(quán)利要求
1.一種在通過數(shù)字網(wǎng)絡(luò)互連的任何掃描儀�����、打印機(jī)和諸如用戶工作站的主機(jī)之間安全傳輸與文檔有關(guān)的數(shù)字?jǐn)?shù)據(jù)的方法�����,所述方法包含以下步驟在發(fā)送站-通過數(shù)據(jù)源產(chǎn)生文檔文件����;-由操作員輸入用戶定義的字符串�����;-根據(jù)所述用戶定義的字符串自動(dòng)形成加密密鑰;-使用所述加密密鑰對(duì)所述文檔文件進(jìn)行加密��,以產(chǎn)生加密文檔文件��;-形成傳輸文件�����,包括所述加密文檔文件����;-向接收站傳送所述傳輸文件;在所述接收站-存儲(chǔ)所接收的傳輸文件��;-由操作員輸入相同的用戶定義的字符串��;-根據(jù)所述用戶定義的字符串自動(dòng)形成解密密鑰���;-使用所述解密密鑰對(duì)所述加密文檔文件進(jìn)行解密����,得到解密文檔文件����,所述方法的特征在于不在所述傳輸文件中加入任何解密線索����,而且在所述接收站執(zhí)行所述方法步驟���,無需對(duì)所述用戶定義的字符串進(jìn)行任何有效性檢查��。
2.如權(quán)利要求1所述的方法�����,其特征在于還包括在所述發(fā)送站-形成包含與所述文檔文件相關(guān)的元數(shù)據(jù)但不包含任何解密線索的附加文件���,所述附加文件具有第一部分和第二部分;-通過使用與用于加密所述文檔文件的相同加密密鑰�,只加密所述附加文件的所述第一和第二部分之一;以及-在形成傳輸文件的步驟中�����,也在所述傳輸文件中包括所述附加文件����。
3.如權(quán)利要求1或2所述的方法�����,其特征在于所述發(fā)送站將傳輸文件分割為兩部分,首先只將傳輸文件的一部分傳送到所述接收站����,以及其中所述接收站在操作員選擇所述傳輸文件時(shí),發(fā)送一個(gè)請(qǐng)求到所述發(fā)送站�����,請(qǐng)求傳送所述傳輸文件的剩余部分��。
4.如權(quán)利要求1����、2或3所述的方法,其特征在于�,所述發(fā)送站使用在基本數(shù)據(jù)項(xiàng)目級(jí)有效的分割算法分割所述傳輸文件。
5.如權(quán)利要求3所述的方法�,其特征在于,所述發(fā)送站例如通過塊排列對(duì)傳送文件加擾���。
6.如權(quán)利要求3所述的方法�,其特征在于所述發(fā)送站對(duì)請(qǐng)求接收站的身份進(jìn)行檢查,只有在請(qǐng)求站經(jīng)過授權(quán)的情況下�����,才會(huì)傳送被請(qǐng)求的傳輸文件部分��。
7.如權(quán)利要求1所述的方法���,其特征在于所述接收站僅在易失性存儲(chǔ)器中執(zhí)行所述傳輸文件的解密以及解密的文檔文件的任何處理�����。
8.如權(quán)利要求2所述的方法�����,其特征在于���,所述接收站是打印機(jī),具有本機(jī)用戶界面���,用于操作員輸入所述解密串��。
9.如權(quán)利要求8所述的方法��,其特征在于�����,所述打印機(jī)提取所述附加文件的非加密部分��,并使用其中包含的數(shù)據(jù)在其本機(jī)用戶界面呈現(xiàn)所述相關(guān)文檔文件���,供操作員選擇用于打印。
10.如權(quán)利要求8所述的方法�,其特征在于,所述發(fā)送站包含打印機(jī)驅(qū)動(dòng)器�,具有用于安全打印數(shù)據(jù)傳輸?shù)目蛇x設(shè)置,所述方法還包含從網(wǎng)絡(luò)的中央位置否決任何可選安全設(shè)置�����,使得安全數(shù)據(jù)傳輸被強(qiáng)制選擇���。
11.如權(quán)利要求3或8所述的方法��,其特征在于所述發(fā)送站首先只將所述附加文件的非加密部分發(fā)送到所述打印機(jī)�����,所述接收站使用所述非加密部分包含的數(shù)據(jù)在其本機(jī)用戶界面呈現(xiàn)所述相關(guān)文檔文件�����,供操作員選擇用于進(jìn)一步處理����,以及其中所述接收站在操作員選擇文檔文件時(shí),發(fā)送請(qǐng)求到所述發(fā)送站��,請(qǐng)求傳送所述相關(guān)傳輸文件���。
12.如權(quán)利要求2所述的方法�����,其特征在于���,所述發(fā)送站是具有本機(jī)用戶界面的掃描儀,在掃描過程之前�,它要求操作員輸入加密串。
13.一種至少包含兩臺(tái)圖像處理裝置并適合在它們之間安全傳輸與文檔有關(guān)的數(shù)字?jǐn)?shù)據(jù)的系統(tǒng)�,所述圖像處理裝置諸如為掃描儀、打印機(jī)或諸如用戶工作站的主機(jī)��,所述系統(tǒng)包括發(fā)送站,包括-用戶界面�����,用于操作員輸入用戶定義的字符串�;-密鑰產(chǎn)生器�,用于根據(jù)所述用戶定義的字符串自動(dòng)形成加密密鑰;-加密模塊�����,用于使用所述加密密鑰對(duì)文檔文件進(jìn)行加密�����,以產(chǎn)生加密文檔文件��;-文件產(chǎn)生器���,用于形成傳輸文件�����,包括所述加密文檔文件�����;-傳送器���,用于向接收站傳送所述述傳輸文件���;以及接收站,包括-接收器�,用于從所述發(fā)送站接收傳輸文件;-存儲(chǔ)裝置�,用于存儲(chǔ)接收的傳輸文件;-用戶界面�,用于操作員輸入用戶定義的字符串;-第二密鑰產(chǎn)生器�,用于根據(jù)所述用戶定義的字符串自動(dòng)形成解密密鑰;-解密模塊����,用于使用所述解密密鑰對(duì)所述加密文檔文件進(jìn)行解密,得到解密的文檔文件�����;其特征在于所述接收站不包含任何檢查在所述接收站的用戶界面輸入的所述用戶定義的字符串之有效性的部件���。
14.如權(quán)利要求13所述的設(shè)備�,其特征在于,所述發(fā)送站還包括-用于形成包含與所述文檔文件相關(guān)的元數(shù)據(jù)但不包含任何解密線索的附加文件的模塊�����,所述附加文件具有第一部分和第二部分�,以及其中通過使用與用于加密所述文檔文件的相同加密密鑰,所述加密模塊還只加密所述附加文件的所述第一和第二部分之一���,以及其中所述文件產(chǎn)生器在所述傳輸文件中包含所述附加文件。
15.如權(quán)利要求13或14所述的設(shè)備�,其特征在于所述發(fā)送站包含文件分割器,用于將傳輸文件分割為兩個(gè)部分�����,以及所述傳送器首先只將傳輸文件的一部分傳送到所述接收站��,以及其中所述接收站包含請(qǐng)求器��,當(dāng)操作員在所述接收站的用戶界面上選擇傳輸文件時(shí)���,發(fā)送一個(gè)請(qǐng)求到所述發(fā)送站���,請(qǐng)求傳送所述傳輸文件的剩余部分����。
16.如權(quán)利要求13所述的系統(tǒng)����,其特征在于所述解密模塊和所述接收站中用于處理所述解密文檔文件的任何模塊只在易失性存儲(chǔ)器中工作。
17.如任何權(quán)利要求13至16中的任一項(xiàng)所述的系統(tǒng)����,其特征在于所述接收站是打印機(jī)。
18.如權(quán)利要求17所述的系統(tǒng)��,其特征在于���,所述發(fā)送站包含打印機(jī)驅(qū)動(dòng)器�����,可以編程為不提供除對(duì)給所述接收站的打印數(shù)據(jù)采用所述安全傳輸之外的任何選項(xiàng)�����。
19.如任何權(quán)利要求13至17中的任一項(xiàng)所述的系統(tǒng)�,其特征在于所述發(fā)送站是掃描儀。
全文摘要
本發(fā)明提供在任何掃描儀���、打印機(jī)和諸如用戶工作站的主機(jī)之間安全傳輸與文檔有關(guān)的數(shù)字?jǐn)?shù)據(jù)的方法和設(shè)備���。在發(fā)送站,產(chǎn)生或指定一個(gè)文檔文件�����,并由操作員在本機(jī)用戶界面中輸入一個(gè)用戶定義的字符串���。接著,發(fā)送站基于所述用戶定義的字符串自動(dòng)形成一個(gè)加密密鑰并以之對(duì)文檔文件進(jìn)行加密��。然后���,包含加密文檔文件的傳輸文件被傳送到接收站�����,其中�,在接收站的本機(jī)用戶界面中輸入與在發(fā)送站輸入的相同的用戶定義的字符串時(shí)���,以此對(duì)加密的文檔文件解密���。除嘗試處理解密的文件之外���,不會(huì)對(duì)輸入的字符串執(zhí)行任何有效性檢查,但是���,如果輸入不正確的字符串��,解密輸出是無用的�����。
文檔編號(hào)G06F21/60GK1642171SQ20041009748
公開日2005年7月20日 申請(qǐng)日期2004年11月26日 優(yōu)先權(quán)日2003年11月27日
發(fā)明者R·C·W·T·M·范登蒂拉亞特 申請(qǐng)人:奧西-技術(shù)有限公司