專利名稱:一種電子文檔控制保護(hù)方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及電子文檔的控制保護(hù)技術(shù),尤其涉及一種電子文檔控制保護(hù)方 法和裝置。
背景技術(shù):
出于對(duì)文檔的保護(hù)��,目前所提供的對(duì)于文檔的控制保護(hù)技術(shù)包括對(duì)文檔 編輯的限制����、對(duì)文檔閱讀的限制、對(duì)文檔復(fù)制的限制和對(duì)文檔權(quán)限的限制等等�����。 這些對(duì)文檔的控制技術(shù)�����,是建立在對(duì)文檔的訪問(wèn)者加以限制的基礎(chǔ)上�,其出發(fā) 點(diǎn)主要集中于文檔本身。也就是說(shuō)���,在任何設(shè)備上訪問(wèn)該文檔都要受到文檔創(chuàng) 建者所設(shè)定的限制�,而對(duì)不同的用戶所施加的限制可以是不同的��。
上述的文檔控制保護(hù)技術(shù)屬于創(chuàng)建者對(duì)文檔用戶的限制保護(hù)����,然而在實(shí)際 應(yīng)用中���,有時(shí)需要讓創(chuàng)建的文檔只在某個(gè)固定的設(shè)備上使用,而限制在其他設(shè) 備上的使用����。例如用戶只想在創(chuàng)建該文檔的設(shè)備上使用該文檔,如果該文檔 被非法盜用而傳遞到其他的設(shè)備���,則限制該文檔在其他設(shè)備上的使用�����?�;谏?述原因���,有必要提出一種基于硬件和軟件結(jié)合的文檔控制保護(hù)方法,以滿足實(shí) 際應(yīng)用中的需要�。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明的主要目的在于提供一種電子文檔控制保護(hù)方法和裝置, 以實(shí)現(xiàn)基于硬件和軟件結(jié)合的方式對(duì)文檔的保護(hù)����。
為達(dá)到上述目的,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的 本發(fā)明提供了一種電子文檔控制保護(hù)方法�,該方法包括 在保存文檔時(shí),從創(chuàng)建所述文檔的設(shè)備上提取硬件信息�; 將提取的硬件信息通過(guò)摘要算法生成摘要信息,并將所述摘要信息參與文檔內(nèi)容加密����。
所述硬件信息包括以下數(shù)據(jù)中的至少一種所述設(shè)備的中央處理單元CPU
序列號(hào)、內(nèi)存序列號(hào)���、硬盤序列號(hào)�、指紋特征���、移動(dòng)介質(zhì)信息和充當(dāng)電子密鑰 的硬件信息��。
所述生成摘要信息�����,并將摘要信息參與文檔內(nèi)容加密���,具體為 根據(jù)提取的硬件信息,并通過(guò)安全散列算法SHA1生成對(duì)應(yīng)的摘要信息�; 根據(jù)創(chuàng)建所述文檔的設(shè)備的當(dāng)前時(shí)間啟動(dòng)隨機(jī)數(shù)發(fā)生器�,為開(kāi)放文檔文本
odt文檔生成一個(gè)隨機(jī)的初始向量和鹽��;
根據(jù)所述摘要信息和鹽�����,并通過(guò)基于密碼的密鑰派生函數(shù)PBKDF2���,為文
檔生成密鑰����;
根據(jù)所述密鑰和初始向量����,并通過(guò)在密碼反饋CFB模式下的Blowfish算法, 為文件內(nèi)容加密���;
將文件保存為odt格式文檔�����。
本發(fā)明還提供了一種電子文檔控制保護(hù)方法,該方法包括 在打開(kāi)文檔時(shí)��,獲取打開(kāi)所述文檔的設(shè)備的硬件信息,并對(duì)所述設(shè)備的硬 件信息經(jīng)過(guò)摘要算法生成對(duì)應(yīng)的摘要信息��;
將所述設(shè)備對(duì)應(yīng)的摘要信息作為Blowfish算法的輸入?yún)?shù)來(lái)解密文檔�。 該方法進(jìn)一步包括
如果所述設(shè)備對(duì)應(yīng)的摘要信息與文檔中參與加密的摘要信息一致,則成功 解密文檔�;否則,不能成功解密文檔�。
所述硬件信息包括以下數(shù)據(jù)中的至少一種所述設(shè)備的CPU序列號(hào)、內(nèi)存 序列號(hào)��、硬盤序列號(hào)����、指紋特征、移動(dòng)介質(zhì)信息和充當(dāng)電子密鑰的硬件信息��。
本發(fā)明還提供了一種電子文檔控制保護(hù)裝置����,該裝置包括
信息提取模塊,用于在創(chuàng)建文檔時(shí)����,從創(chuàng)建所述文檔的設(shè)備上提取硬件信
息;
摘要生成模塊�����,用于將提取的硬件信息通過(guò)摘要算法生成摘要信息; 加密模塊���,用于根據(jù)所生成的摘要信息對(duì)文檔內(nèi)容進(jìn)行加密����。所述硬件信息包括以下數(shù)據(jù)中的至少一種所述設(shè)備的CPU序列號(hào)��、內(nèi)存
序列號(hào)����、硬盤序列號(hào)、指紋特征�����、移動(dòng)介質(zhì)信息和充當(dāng)電子密鑰的硬件信息��。
本發(fā)明還提供了一種電子文檔控制保護(hù)裝置�����,該裝置包括 信息獲取模塊,用于在打開(kāi)文檔時(shí)��,獲取打開(kāi)所述文檔的設(shè)備的硬件信息����,
并對(duì)所述設(shè)備的硬件信息經(jīng)過(guò)摘要算法生成對(duì)應(yīng)的摘要信息��;
解密模塊���,用于將所述設(shè)備對(duì)應(yīng)的摘要信息作為Blowfish算法的輸入?yún)?shù)
來(lái)解密文檔����。
所述硬件信息包括以下數(shù)據(jù)中的至少一種所述設(shè)備的CPU序列號(hào)�、內(nèi)存 序列號(hào)、硬盤序列號(hào)�、指紋特征、移動(dòng)介質(zhì)信息和充當(dāng)電子密鑰的硬件信息��。
本發(fā)明所提供的一種電子文檔控制保護(hù)方法和裝置�����,在保存文檔時(shí)�,從創(chuàng) 建該文檔的設(shè)備上提取硬件信息,并將生成的摘要信息和文檔綁定在 一起加密 文檔���;在打開(kāi)文檔時(shí)���,將該文檔中保存的摘要信息與打開(kāi)該文檔的設(shè)備的硬件 信息對(duì)應(yīng)生成的摘要信息進(jìn)行匹配���,并根據(jù)匹配結(jié)果確定是否允許訪問(wèn)該文檔, 如果匹配正確則進(jìn)一步解密文檔����。本發(fā)明使得文檔創(chuàng)建者對(duì)文檔的自我控制保 護(hù)得以實(shí)現(xiàn),豐富了用戶的文檔控制保護(hù)手段����,滿足了用戶的更多需求,擴(kuò)大 了應(yīng)用領(lǐng)域���;本發(fā)明的保護(hù)不再是僅僅限制文檔的用戶���,而是能夠限制文檔被 非法傳遞;本發(fā)明的保護(hù)采用軟件與硬件結(jié)合的保護(hù)方式����,由于在軟件相同的 情況下,硬件卻不一定相同,因此本發(fā)明對(duì)文檔的保護(hù)更實(shí)用��、更安全��。
圖1為本發(fā)明一種文檔控制保護(hù)方法的創(chuàng)建文檔流程圖����; 圖2為本發(fā)明一種文檔控制保護(hù)方法的保存加密文檔示意圖一�; 圖3為本發(fā)明一種文檔控制保護(hù)方法的保存加密文檔示意圖二; 圖4為本發(fā)明 一種文檔控制保護(hù)方法的打開(kāi)文檔流程圖�; 圖5為本發(fā)明一種文檔控制保護(hù)方法的解密打開(kāi)文檔示意圖; 圖6為本發(fā)明一種文檔控制保護(hù)裝置的組成結(jié)構(gòu)示意一���; 圖7為本發(fā)明一種文檔控制保護(hù)裝置的組成結(jié)構(gòu)示意二�����。
具體實(shí)施例方式
下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明的技術(shù)方案進(jìn)一步詳細(xì)闡述��。 本發(fā)明所提供的一種電子文檔控制保護(hù)方法�,在執(zhí)行文檔創(chuàng)建操作時(shí)�,具 體流程如圖l所示,主要包括以下步驟
步驟IOI��,在保存文檔時(shí),從創(chuàng)建文檔的設(shè)備上提取硬件信息�。
步驟102,將提取的硬件信息通過(guò)摘要算法生成摘要信息���,并將摘要信息
參與文檔內(nèi)容加密�。
其中�,生成摘要信息,并將摘要信息參與文檔內(nèi)容加密的具體操作�,如圖
2和圖3所示,包括
A����、 根據(jù)提取的硬件信息,并通過(guò)不可逆的摘要算法�����,如安全散列算法 (SHA1, Secure Hash Algorithm),得到長(zhǎng)度為20字節(jié)的摘要信息���,將摘要信
息傳遞給打包組件�����。
根據(jù)實(shí)際應(yīng)用中不同的安全強(qiáng)度要求和應(yīng)用環(huán)境等待定因素��,對(duì)硬件信息 可以有多種選擇����。例如在常規(guī)的安全強(qiáng)度要求下,可以選取創(chuàng)建文檔的設(shè)備 的中央處理單元(CPU�����, Central Process Unit)序列號(hào)����、內(nèi)存序列號(hào)和硬盤序列 號(hào)等數(shù)據(jù)作為硬件信息���;在較嚴(yán)格的安全強(qiáng)度要求下�,可以選取創(chuàng)建文檔的設(shè) 備的指紋特征�����、移動(dòng)介質(zhì)信息和可以充當(dāng)電子密鑰(如USBKey)的硬件信 息等作為硬件信息���。實(shí)際應(yīng)用中�����,硬件信息也可以是上述多種數(shù)據(jù)的組合����。
B、 打包組件根據(jù)創(chuàng)建該文檔的設(shè)備信息為開(kāi)放文檔文本(odt, open documenttext)文檔生成一個(gè)8字節(jié)的初始向量和16字節(jié)的"鹽(Salt)"���。
C�、 根據(jù)20字節(jié)的摘要信息和16字節(jié)的"鹽"�����,并通過(guò)迭代次數(shù)為1024的 基于密碼的密鑰派生函數(shù)(PBKDF2�, Password-Based Key Derivation Function 2),為文檔產(chǎn)生128位的密鑰。
D����、 根據(jù)上述128位的密鑰和8字節(jié)的初始向量,并通過(guò)在密碼反饋(CFB�����, Cipher Feedback)模式下的Blowfish算法加密文檔內(nèi)容���。
E��、 將文件打包成一個(gè)odt格式文檔保存��。本發(fā)明所提供的一種電子文檔控制保護(hù)方法�,在執(zhí)行文檔打開(kāi)操作時(shí),具 體流程如圖4所示��,主要包括以下步驟
步驟401����,在打開(kāi)文檔時(shí),對(duì)文檔進(jìn)行解碼��,得到文檔中保存的摘要信息�。 步驟402,從打開(kāi)文檔的設(shè)備中提取該設(shè)備的硬件信息�����,并對(duì)該設(shè)備的硬
件信息經(jīng)過(guò)SHA1算法生成對(duì)應(yīng)的摘要信息����。
步驟403,比較文檔中保存的摘要信息與打開(kāi)文檔的設(shè)備對(duì)應(yīng)的摘要信息
進(jìn)行匹配�,判斷兩者是否一致,如果匹配成功����,則執(zhí)行步驟404;否則�,執(zhí)行
步驟405��。
例如創(chuàng)建文檔的設(shè)備為X�����,執(zhí)行打開(kāi)文檔操作的設(shè)備為Y�,則在設(shè)備Y 打開(kāi)文檔時(shí),根據(jù)設(shè)備Y的硬件信息并經(jīng)過(guò)SHA1算法生成對(duì)應(yīng)的摘要信息�, 將設(shè)備Y對(duì)應(yīng)的摘要信息與文檔中保存的摘要信息進(jìn)行匹配,判斷兩者不一致�����, 進(jìn)而確定匹配失敗����。當(dāng)然,該文檔在設(shè)備X中打開(kāi)時(shí)�,是能夠匹配成功的。
步驟404,在匹配成功的情況下��,允許繼續(xù)解密文檔�����。
步驟405,在匹配失敗的情況下����,禁止繼續(xù)訪問(wèn)文檔。
具體的����,基于圖4所示的方法所實(shí)現(xiàn)的解密打開(kāi)文檔搡作如圖5所示,包
括
a��、 從打開(kāi)文檔的設(shè)備中獲取硬件信息���,并根據(jù)該硬件信息通過(guò)SHA1算法 得到長(zhǎng)度為20字節(jié)的摘要信息����,將摘要信息傳遞給解包組件����;
b�、 解包組件通過(guò)Base64算法解密得到文檔的摘要信息、根據(jù)摘要信息生 成一個(gè)8字節(jié)的初始向量和16字節(jié)的"鹽(Salt)"���。
c�、 根據(jù)20字節(jié)的摘要信息和16字節(jié)的"鹽",并通過(guò)迭代次數(shù)為1024的 基于密碼的密鑰派生函數(shù)(PBKDF2, Password-Based Key Derivation Function 2)��,得到文檔的128位密鑰��。
d�����、 根據(jù)上述128位的密鑰和8字節(jié)的初始向量�,并通過(guò)在密碼反饋(CFB, Cipher Feedback)模式下的Blowfish算法解密文檔內(nèi)容����。
e、 打開(kāi)該文檔���。
不難發(fā)現(xiàn)解密過(guò)程和加密過(guò)程基本類似���;需要指出的是,本發(fā)明中對(duì)摘要信息進(jìn)行加密的加密算法���,以及進(jìn)行解密的解密算法不僅限于上述所舉�����,根據(jù) 實(shí)際需要��,還可以選擇其他可行的加密和解密算法��。
為實(shí)現(xiàn)上述本發(fā)明的 一種電子文檔控制保護(hù)方法��,本發(fā)明還提供了 一種電 子文檔控制保護(hù)裝置����,應(yīng)用于文檔創(chuàng)建過(guò)程中,如圖6所示���,該裝置包括信
息提取模塊IO��、摘要生成模塊20和加密模塊30��。信息提取模塊IO����,用于在創(chuàng) 建文檔時(shí)���,從創(chuàng)建該文檔的設(shè)備上提取硬件信息�。摘要生成模塊20��,用于將提 取的硬件信息通過(guò)摘要算法生成摘要信息���。加密模塊30,用于根據(jù)所生成的摘 要信息對(duì)文檔內(nèi)容進(jìn)行加密��。
本發(fā)明還提供了一種電子文檔控制保護(hù)裝置�����,應(yīng)用于文檔打開(kāi)過(guò)程中�����,如 圖7所示��,該裝置包括相互連接的信息獲取模塊40和解密模塊50�。信息獲 取模塊40,用于在打開(kāi)文檔時(shí)��,獲取打開(kāi)文檔的設(shè)備的硬件信息�����,并對(duì)設(shè)備的 硬件信息經(jīng)過(guò)摘要算法生成對(duì)應(yīng)的摘要信息。解密模塊50���,用于將設(shè)備對(duì)應(yīng)的 摘要信息作為Blowfish算法的輸入?yún)?shù)來(lái)解密文檔�����。
需要指出的是�����,圖6和圖7所示的兩種裝置可以合并在一個(gè)裝置中�,則合 并后的裝置既可以實(shí)現(xiàn)文檔創(chuàng)建過(guò)程中的控制保護(hù)操作���,也可以實(shí)現(xiàn)文檔打開(kāi) 過(guò)程中的控制保護(hù)操作�����。
綜上所述���,通過(guò)本發(fā)明的電子文檔控制保護(hù)方法和裝置,使得文檔創(chuàng)建者 對(duì)文檔的自我保護(hù)得以實(shí)現(xiàn)�,豐富了用戶的文檔控制保護(hù)手段,滿足了用戶的 更多需求����,擴(kuò)大了應(yīng)用領(lǐng)域��;本發(fā)明的保護(hù)不再是僅僅限制文檔的用戶,而是 能夠限制文檔被非法傳遞�����;本發(fā)明的保護(hù)采用軟件與硬件結(jié)合的保護(hù)方式��,由 于在軟件相同的情況下�,硬件卻不一定相同,因此本發(fā)明對(duì)文檔的保護(hù)更實(shí)用����、 更安全。
以上所述��,僅為本發(fā)明的較佳實(shí)施例而已���,并非用于限定本發(fā)明的保護(hù)范圍�。
權(quán)利要求
1��、一種電子文檔控制保護(hù)方法��,其特征在于,該方法包括在保存文檔時(shí)��,從創(chuàng)建所述文檔的設(shè)備上提取硬件信息��;將提取的硬件信息通過(guò)摘要算法生成摘要信息�,并將所述摘要信息參與文檔內(nèi)容加密。
2�、 根據(jù)權(quán)利要求l所述電子文檔控制保護(hù)方法,其特征在于����,所述硬件信 息包括以下數(shù)據(jù)中的至少一種所述設(shè)備的中央處理單元CPU序列號(hào)、內(nèi)存序 列號(hào)���、硬盤序列號(hào)��、指紋特征����、移動(dòng)介質(zhì)信息和充當(dāng)電子密鑰的硬件信息�。
3、 根據(jù)權(quán)利要求1或2所述電子文檔控制保護(hù)方法�����,其特征在于,所述生 成摘要信息��,并將摘要信息參與文檔內(nèi)容加密��,具體為根據(jù)提取的硬件信息�,并通過(guò)安全散列算法SHA1生成對(duì)應(yīng)的摘要信息; 根據(jù)創(chuàng)建所述文檔的設(shè)備的當(dāng)前時(shí)間啟動(dòng)隨機(jī)數(shù)發(fā)生器���,為開(kāi)放文檔文本odt文檔生成一個(gè)隨機(jī)的初始向量和鹽;根據(jù)所述摘要信息和鹽�����,并通過(guò)基于密碼的密鑰派生函數(shù)PBKDF2,為文檔生成密鑰�;根據(jù)所述密鑰和初始向量,并通過(guò)在密碼反饋CFB模式下的Blowfish算法�����, 為文件內(nèi)容加密����;將文件保存為odt格式文檔。
4�����、 一種電子文檔控制保護(hù)方法,其特征在于���,該方法包括 在打開(kāi)文檔時(shí)����,獲取打開(kāi)所述文檔的設(shè)備的硬件信息���,并對(duì)所述設(shè)備的硬件信息經(jīng)過(guò)摘要算法生成對(duì)應(yīng)的摘要信息�����;將所述設(shè)備對(duì)應(yīng)的摘要信息作為Blowfish算法的輸入?yún)?shù)來(lái)解密文檔��。
5�����、 根據(jù)權(quán)利要求4所述電子文檔控制保護(hù)方法���,其特征在于,該方法進(jìn)一 步包括如果所述設(shè)備對(duì)應(yīng)的摘要信息與文檔中參與加密的摘要信息一致����,則成功 解密文檔����;否則��,不能成功解密文檔����。
6、 根據(jù)權(quán)利要求4或5所述電子文檔控制保護(hù)方法�����,其特征在于�����,所述硬件信息包括以下數(shù)據(jù)中的至少一種所述設(shè)備的CPU序列號(hào)�����、內(nèi)存序列號(hào)����、硬 盤序列號(hào)、指紋特征����、移動(dòng)介質(zhì)信息和充當(dāng)電子密鑰的硬件信息。
7��、 一種電子文檔控制保護(hù)裝置��,其特征在于�,該裝置包括 信息提取模塊,用于在創(chuàng)建文檔時(shí)��,從創(chuàng)建所述文檔的設(shè)備上提取硬件信息�����;摘要生成模塊��,用于將提取的硬件信息通過(guò)摘要算法生成摘要信息�; 加密模塊,用于根據(jù)所生成的摘要信息對(duì)文檔內(nèi)容進(jìn)行加密����。
8、 根據(jù)權(quán)利要求7所述電子文檔控制保護(hù)裝置,其特征在于���,所述硬件信 息包括以下數(shù)據(jù)中的至少一種所述設(shè)備的CPU序列號(hào)����、內(nèi)存序列號(hào)���、硬盤序 列號(hào)�、指紋特征�、移動(dòng)介質(zhì)信息和充當(dāng)電子密鑰的硬件信息。
9��、 一種電子文檔控制保護(hù)裝置��,其特征在于�����,該裝置包括 信息獲取模塊���,用于在打開(kāi)文檔時(shí),獲取打開(kāi)所述文檔的設(shè)備的硬件信息�����,并對(duì)所述設(shè)備的硬件信息經(jīng)過(guò)摘要算法生成對(duì)應(yīng)的摘要信息;解密模塊���,用于將所述設(shè)備對(duì)應(yīng)的摘要信息作為Blowfish算法的輸入?yún)?shù) 來(lái)解密文檔�����。
10�、 根據(jù)權(quán)利要求9所述電子文檔控制保護(hù)裝置���,其特征在于�,所述硬件 信息包括以下數(shù)據(jù)中的至少一種所述設(shè)備的CPU序列號(hào)���、內(nèi)存序列號(hào)����、硬盤 序列號(hào)���、指紋特征����、移動(dòng)介質(zhì)信息和充當(dāng)電子密鑰的硬件信息。
全文摘要
本發(fā)明提供了一種電子文檔控制保護(hù)方法�����,包括保存文檔時(shí)����,從創(chuàng)建該文檔的設(shè)備上提取硬件信息,并將提取的硬件信息經(jīng)過(guò)不可逆的摘要算法(SHA1)生成摘要信息��,摘要信息參與文檔內(nèi)容加密����,從而將硬件信息和文檔綁定。打開(kāi)文檔時(shí)����,從打開(kāi)該文檔的設(shè)備上提取硬件信息經(jīng)過(guò)不可逆的摘要算法(SHA1)生成摘要信息,摘要信息參與文檔內(nèi)容的解密�,如果打開(kāi)文檔與保存文檔是同一臺(tái)設(shè)備,則文檔可以正確解密文檔�����,否則不能正確解密文檔�。本發(fā)明還提供了一種電子文檔控制保護(hù)裝置,以實(shí)現(xiàn)基于硬件和軟件結(jié)合的方式對(duì)文檔的保護(hù)�����,能夠限制文檔被非法傳遞���,豐富了用戶的文檔控制保護(hù)手段���,且文檔的保護(hù)更實(shí)用、更安全��。
文檔編號(hào)G06F21/00GK101539979SQ20091008277
公開(kāi)日2009年9月23日 申請(qǐng)日期2009年4月29日 優(yōu)先權(quán)日2009年4月29日
發(fā)明者萬(wàn)偉華 申請(qǐng)人:北京紅旗貳仟軟件技術(shù)有限公司