專利名稱:保密和/或鑒別文件的遠(yuǎn)控打印的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于控制保密和/或經(jīng)鑒別(authenticaed)的文件的打印的方法和設(shè)備,尤其涉及��,但不僅限于�����,這樣一種包括能控制打印過(guò)程的方法和設(shè)備。
定義在該說(shuō)明書(shū)中����,文件是指包括電子或打印形式的文件。
在該說(shuō)明書(shū)中��,鑒別(authencation)包括保密��,反之亦然��。
在該說(shuō)明書(shū)中�,機(jī)器包括桌上型計(jì)算機(jī)、膝上型計(jì)算機(jī)���、筆記本計(jì)算機(jī)或其它合適形式的計(jì)算機(jī)����。
在該說(shuō)明書(shū)中�����,“打印”包括對(duì)文件各種形式的處理��,包括打印、查看���、收聽(tīng)��、保存、電子形式的發(fā)送���、轉(zhuǎn)送和類似功能�����。
背景技術(shù):
在經(jīng)營(yíng)商業(yè)和管理行業(yè)通常要使用紙件文件���。雖然不斷預(yù)計(jì)要無(wú)紙化辦公,但是在數(shù)字時(shí)代依然可見(jiàn)辦公用紙?jiān)黾?����。主要原因在于這樣更可靠��。當(dāng)文件由管理人員正確簽署時(shí)���,他們的簽名就具有認(rèn)證性���。無(wú)論簽名出現(xiàn)在何時(shí)何地����,有人都能在一定程度上確定文件的真實(shí)性���。眾所周知���,正因?yàn)閲?yán)格控制原始文件的數(shù)量,才實(shí)現(xiàn)了保密��。
美國(guó)專利US6,091,507涉及一種在網(wǎng)絡(luò)上打印文件的方法和設(shè)備��。其利用網(wǎng)絡(luò)協(xié)議����、傳輸格式、硬件接口�,便于從具有光柵圖象處理器的主機(jī)將光柵數(shù)據(jù)高速地傳送到打印機(jī)。顯然���,它不能訪問(wèn)與文件相關(guān)的許多重要課目����,該文件是保密的,并可信(trusted)或經(jīng)鑒別(authenticated)的����。
美國(guó)專利US5,983,065涉及一種打印保密文件的方法。其使用一種可控訪問(wèn)電子打印機(jī)來(lái)打印原始文件����。由此形成的打印圖象在可見(jiàn)光中可以識(shí)別出���,并由標(biāo)記材料(液體油墨和/或干色粉)所生成�,該材料至少包含光活性(courmarin)化合物���。被打印的原始文件圖象不能在通常復(fù)印機(jī)上復(fù)制或掃描儀上掃描�。其使用特殊打印材料����。
美國(guó)專利US5,917,996公開(kāi)了一種使用防篡改技術(shù)、結(jié)合電子形式特征打印防篡改文件的方法�,其披露了保密的背景技術(shù)。
美國(guó)專利US6,085,181公開(kāi)了一種郵資計(jì)量系統(tǒng)���,作為儀表服務(wù)器用于在網(wǎng)絡(luò)上進(jìn)行可獨(dú)立應(yīng)用的儀表工作����。打印機(jī)組件在網(wǎng)絡(luò)上作為客戶打印機(jī)模式操作,該網(wǎng)絡(luò)連接到郵政保密設(shè)備(PSD)���。該P(yáng)SD包括獨(dú)特的標(biāo)識(shí)符��、郵資值儲(chǔ)存器和數(shù)字標(biāo)記發(fā)生器�����??蛻舸蛴C(jī)通過(guò)當(dāng)?shù)乜蛻舸蛴C(jī)組件���,請(qǐng)求從PSD獲得郵資支付的證據(jù)�����,用于結(jié)束郵資計(jì)量辦理����。郵資支付的證據(jù)包括與每個(gè)請(qǐng)求郵資支付的證據(jù)相關(guān)的數(shù)字標(biāo)記�����。該專利提供了對(duì)郵資的使用控制方式。
在現(xiàn)有技術(shù)中�,沒(méi)有公開(kāi)兩個(gè)重要問(wèn)題文件復(fù)制份數(shù)控制,文件的鑒別控制���。
本發(fā)明的主要目的是提供一種用于遠(yuǎn)控打印鑒別文件的方法和設(shè)備��,所述打印能夠加以控制����。
發(fā)明內(nèi)容
基于上述目的和別的目的���,本發(fā)明提供了一種借助網(wǎng)絡(luò)來(lái)遠(yuǎn)控打印文件的方法,該方法包括以下步驟(a)在服務(wù)器上接收從發(fā)送方(sender)處發(fā)送來(lái)的文件���;(b)服務(wù)器將文件轉(zhuǎn)送給接收方(recipient)����;(c)文件在轉(zhuǎn)送給接收方之前進(jìn)行鑒別����;(d)服務(wù)器從發(fā)送方接收有關(guān)打印控制的指令,服務(wù)器還在接收方執(zhí)行那些控制���。
本發(fā)明還提供一種用于借助網(wǎng)絡(luò)遠(yuǎn)程打印文件的方法��,該方法的步驟包括(a)發(fā)送方將文件發(fā)送到服務(wù)器����,使服務(wù)器能將文件轉(zhuǎn)送給接收方;(b)在將文件發(fā)送到服務(wù)器之前�����,由發(fā)送方鑒別文件�����;(c)將用于控制文件打印的指令發(fā)送給服務(wù)器�,以便使服務(wù)器能實(shí)現(xiàn)對(duì)接收方的控制。
本發(fā)明還以另一種形式提供了一種打印鑒別文件的方法�,該文件是借助網(wǎng)絡(luò)遠(yuǎn)程接收到的,該方法的步驟如下(a)服務(wù)器從發(fā)送方接收到經(jīng)鑒別的文件后���,接收方從服務(wù)器接收經(jīng)鑒別的文件���;(b)服務(wù)器從發(fā)送方接收到打印控制后,服務(wù)器實(shí)現(xiàn)對(duì)接收方的打印控制。
打印控制最好包含保證能使打印出來(lái)的內(nèi)容與發(fā)送方發(fā)送的文件內(nèi)容一樣�,和/或防偽造控制和/或防復(fù)制控制和/或能控制被打印文件的副本份數(shù)。
接收方可包括一個(gè)打印機(jī)�,為了打印文件,發(fā)送方向打印機(jī)提供打印控制�����。服務(wù)器最好使文件能保密地從發(fā)送方通過(guò)服務(wù)器發(fā)送到接收方����,并在打印控制中是發(fā)送方的可信代理。服務(wù)器也可以是驗(yàn)證文件的可信第三方���。為了做到這些��,服務(wù)器可使用儲(chǔ)存在服務(wù)器里的散列信息(hash)和文件的內(nèi)容特征��。可基于可信文件結(jié)構(gòu)發(fā)送保密文件和打印控制��,該結(jié)構(gòu)包括一個(gè)或多個(gè)的a)文件自身����;b)手寫(xiě)簽名;c)數(shù)字標(biāo)記;d)光學(xué)水?����?����;e)文件的內(nèi)容特征����;f)使用控制和核查跟蹤(audit trail);g)發(fā)送方的封印(seal)����;h)終止日期。
發(fā)送方可能是有權(quán)處理文件的人�����。該方法可使用公用密鑰結(jié)構(gòu)來(lái)保證在文件傳送過(guò)程中的認(rèn)可(non-repudiation)����、保密和安全性。
數(shù)字標(biāo)記可用到文件上�����,數(shù)字標(biāo)記是發(fā)送方、服務(wù)器和接收方的數(shù)字標(biāo)記�。發(fā)送方和接收方最好在發(fā)送和接收之前分別利用服務(wù)器注冊(cè)。文件散列信息和內(nèi)容特征可與用于確定的文件一起發(fā)送�,散列信息和文件的內(nèi)容特征保持在服務(wù)器中,以便于以后驗(yàn)證���。
該方法可使用保密接口層協(xié)議(Secure Socket Layer protocol)所提供的保密文件轉(zhuǎn)送通道���;通過(guò)使用用戶身份和至少一個(gè)口令鑒別發(fā)送方和接收方。
該方法也可使用用于保密文件傳送的加密技術(shù)�。因此,給文件解密的密鑰通過(guò)一個(gè)運(yùn)載裝置被直接送到接收方�,該運(yùn)載裝置是從下列構(gòu)成的組合中選出的電子郵件、電話�、郵件、快遞和專有傳送裝置��。
打印文件通過(guò)使用鑒別裝置可得以保護(hù)���,而防止未授權(quán)的復(fù)制和偽造,該裝置是從下列構(gòu)成的組合中選出的光學(xué)水印����、特殊墨水����、特殊紙張和特殊打印材料�。
光學(xué)水印可具有一個(gè)防假冒層。打印機(jī)可被檢驗(yàn)來(lái)實(shí)現(xiàn)防假冒層的高級(jí)性能����。可使用打印語(yǔ)言來(lái)執(zhí)行檢驗(yàn)�����,不需要人為干預(yù)��。此外�,打印機(jī)在打印控制過(guò)程中可以是保密的;可包括一個(gè)保密(secure)存儲(chǔ)器�、保密中心處理單元、和保密(secure)時(shí)鐘����。保密存儲(chǔ)器可用來(lái)儲(chǔ)存專有密鑰;保密中心處理單元可用來(lái)防止運(yùn)行中受攻擊(attack)����,保密時(shí)鐘可用來(lái)計(jì)時(shí)���。最好,打印機(jī)和服務(wù)器使用公用密鑰對(duì)或打印機(jī)的對(duì)稱密鑰��,來(lái)執(zhí)行保密信號(hào)交換����,以鑒別彼此身份。
服務(wù)器可發(fā)送一個(gè)加密文件散列信息�����、光學(xué)水印和打印指令給打印機(jī)�����。
打印機(jī)可接收來(lái)自客戶軟件的文件����,給文件解密,在打印之前利用散列信息和時(shí)間標(biāo)志核對(duì)文件��,并在打印期間增加光學(xué)水印�。
最好���,打印機(jī)在打印之后���,就將文件立即刪除��;并在服務(wù)器中進(jìn)行核查跟蹤記錄�。
接收方在打印控制過(guò)程中或許是可信的��,在這種情況下��,服務(wù)器可通過(guò)客戶軟件與打印機(jī)通信�����,來(lái)驗(yàn)證打印機(jī)系列號(hào)和互聯(lián)網(wǎng)協(xié)議地址�����,核對(duì)打印機(jī)狀態(tài)�,鎖定打印機(jī)的控制板,設(shè)置所有必要的打印機(jī)參數(shù)��,將要打印的文件發(fā)送給打印機(jī)���,在完成打印后重設(shè)打印機(jī)參數(shù)����,并在服務(wù)器中進(jìn)行核查跟蹤記錄。
封印(seal)可包括由以下構(gòu)成的組合中選擇出的一個(gè)或多個(gè)手寫(xiě)簽名和封?�?��;封印包括對(duì)所有打印副本來(lái)講都是公用的共用封印���,以及對(duì)每個(gè)打印副本來(lái)講是唯一的獨(dú)特封印。
客戶軟件有一個(gè)基本部分和高度機(jī)密部分���,當(dāng)接收方利用服務(wù)器注冊(cè)時(shí)�,該基本部分被傳送到接收方��,高度機(jī)密部分比基本部分更容易受到攻擊�。高度機(jī)密部分下載到接收方機(jī)器上,以便于打印文件�����,并在打印完后,從接收方機(jī)器上刪除�,以便于防止高度機(jī)密部分受到攻擊。當(dāng)接收方利用服務(wù)器注冊(cè)時(shí)��,最好能將高度機(jī)密部分的加密形式發(fā)送給接收方����,該服務(wù)器管理解密密鑰���;需要時(shí)����,將高度機(jī)密部分解密���。
基本部分的散列信息結(jié)果可在與基本部分發(fā)送給接收方的同時(shí)或之前取得�����,該散列信息結(jié)果儲(chǔ)存在服務(wù)器中���;當(dāng)接收方需要打印文件時(shí),取得基本部分的第二散列信息結(jié)果���,并在服務(wù)器授權(quán)打印之前與散列信息結(jié)果比較��。
客戶軟件可儲(chǔ)存在接收方的硬件設(shè)備中����。
作為一種選擇方式或附加方式,用于高度機(jī)密部分元件執(zhí)行的執(zhí)行時(shí)間可記錄在服務(wù)器里����,并與打印文件時(shí)的元件執(zhí)行時(shí)間相比較;如果花費(fèi)的時(shí)間顯然比執(zhí)行時(shí)間長(zhǎng)��,則中止打印�����。
最好��,響應(yīng)于接收方打印文件的請(qǐng)求執(zhí)行打印控制��。打印控制可脫機(jī)(off-line)進(jìn)行��,服務(wù)器不參與打印過(guò)程�����。在那種情況下,在接收方提供了硬件設(shè)備�����,起服務(wù)器和/或保密軟件程序的作用�����,執(zhí)行對(duì)接收方的打印控制���。最好,軟件程序以一個(gè)分散的形式來(lái)執(zhí)行�����,以便于防止軟件受到攻擊�����。
發(fā)送方和服務(wù)器可以是一樣的�,此時(shí),服務(wù)器執(zhí)行所有發(fā)送方的功能����。
硬件設(shè)備可控制文件打印,該硬件設(shè)備包括保密存儲(chǔ)器、讀后刪除存儲(chǔ)器����、具有單片程序的中央處理單元以及接口;硬件設(shè)備要利用服務(wù)器注冊(cè)�����。機(jī)器可包括打印機(jī)��、與打印機(jī)是一個(gè)整體的硬件設(shè)備����;該打印機(jī)要利用服務(wù)器注冊(cè)。
保密存儲(chǔ)器可含有一個(gè)可訪問(wèn)存儲(chǔ)器����,只有當(dāng)輸入并核對(duì)用戶口令時(shí)才可訪問(wèn)該存儲(chǔ)器,而且只能訪問(wèn)與用戶相關(guān)的可訪問(wèn)存儲(chǔ)器的那一塊(block)�;還含有用于內(nèi)部使用的可控存儲(chǔ)器,該可控存儲(chǔ)器被分成多個(gè)塊�����,每個(gè)用戶一個(gè)可控制存儲(chǔ)器塊��;可控存儲(chǔ)器用于存儲(chǔ)保密密鑰、系列號(hào)���、用戶專有密鑰和接收方ID密鑰����。
控制可包括發(fā)放打印文件的許可證給接收方�,許可證包括授權(quán)打印文件的副本份數(shù)。每個(gè)許可證最好有一個(gè)許可證密鑰���,該許可證密鑰用于將獨(dú)特封印加密�;所述許可證密鑰以加密形式由服務(wù)器發(fā)送給接收方并被安裝在硬件設(shè)備中��。服務(wù)器可添加許可證密鑰����,服務(wù)器產(chǎn)生了新許可證密鑰集和新添加(top up)密鑰���,在通過(guò)服務(wù)器被發(fā)送到接收方并被安裝在硬件設(shè)備里之前�,用先前的添加密鑰對(duì)所述新許可證密鑰集和新添加密鑰加密����。
每個(gè)許可證可包括一個(gè)終止日期�����,在該日期后����,就不可以再使用許可證打印文件�。新許可證密鑰集可與文件分開(kāi)或一起發(fā)送。
在發(fā)送方發(fā)送文件之前��,發(fā)送方的共用封印��、用于發(fā)送的時(shí)間標(biāo)志和終止日期�����,可用第一會(huì)話密鑰加密���,以給出一個(gè)加密結(jié)果����。然后該加密結(jié)果和文件可利用第二會(huì)話密鑰加密�����,以給出第二加密結(jié)果;在第二加密結(jié)果中���,包括有一個(gè)散列信息結(jié)果���,以提供一種用于核對(duì)數(shù)據(jù)完整性的措施。
打印控制可查看文件���,但不打印文件�,查看不要求許可證�。終止日期最好在授權(quán)打印文件之前核對(duì),如果終止日期已過(guò)�����,則不再允許打印���。
發(fā)送方有權(quán)發(fā)放保密硬件設(shè)備給每個(gè)接收方,通過(guò)網(wǎng)絡(luò)將文件和許可證密鑰發(fā)送到每個(gè)接收方��,每個(gè)接收方使用保密硬件設(shè)備打印文件�����,該文件作為打印或電子文件,由接收方發(fā)送給接收方的消費(fèi)者����,保密硬件設(shè)備控制電子文件的發(fā)送,保密硬件設(shè)備進(jìn)行核查跟蹤信息�,并且當(dāng)添加新許可證密鑰時(shí)將它發(fā)送給管理機(jī)構(gòu)。
文件可以是郵票���、稅務(wù)發(fā)票和/或稅務(wù)收據(jù)�����,在核查跟蹤中包括其數(shù)值�����。管理機(jī)構(gòu)可基于包括核查跟蹤中的數(shù)值決定其應(yīng)當(dāng)支付的稅款���。
按另一種形式,本發(fā)明還提供了一種硬件設(shè)備�����,與用戶機(jī)器一起使用�����,使其至少可控制利用該機(jī)器的一個(gè)文件的打印,該硬件設(shè)備包括一個(gè)保密存儲(chǔ)器��、讀后刪除存儲(chǔ)器�、具有單片程序的中央處理單元和一個(gè)接口。
該保密存儲(chǔ)器可含有一個(gè)可訪問(wèn)存儲(chǔ)器�����,只有當(dāng)輸入并核對(duì)用戶口令時(shí)才可訪問(wèn)該存儲(chǔ)器�����,而且只能訪問(wèn)與用戶相關(guān)的可訪問(wèn)存儲(chǔ)器的那一塊���;還含有可控存儲(chǔ)器�����,被分成許多塊���,每個(gè)每個(gè)用戶有一個(gè)存儲(chǔ)器塊��。可控存儲(chǔ)器可用于存儲(chǔ)保密密鑰�����、系列號(hào)��、用戶專有密鑰和接收方ID密鑰����。硬件設(shè)備可借助保密軟件程序?qū)崿F(xiàn),該保密軟件程序可以分開(kāi)的形式執(zhí)行����,有助于防止軟件攻擊。
為了可以更好地理解本發(fā)明����,以及容易地實(shí)現(xiàn)本發(fā)明,在此���,將參考以下附圖��,并借助非限制性的本發(fā)明最佳實(shí)施方式進(jìn)行說(shuō)明附圖1是一個(gè)文件發(fā)送和打印系統(tǒng)的方塊圖����。
附圖2描述了一個(gè)可信(trusted)文件的結(jié)構(gòu)。
附圖3是控制打印機(jī)的流程圖�����,該打印機(jī)使用PJL語(yǔ)言��。
附圖4是用于脫機(jī)打印的硬件設(shè)備的方塊圖�。
附圖5是第一脫機(jī)打印方案的方塊圖。
附圖6是用于圖5所示方案的文件數(shù)據(jù)格式��。
附圖7表示了添加(top up)密鑰集的生成�。
附圖8是圖7所示添加過(guò)程的流程圖。
附圖9是第二脫機(jī)打印方案的流程圖��。
附圖10是用于圖9所示方案的文件數(shù)據(jù)格式���。
附圖11是用于圖9和圖10所示方案的許可證和許可證安裝數(shù)據(jù)格式��。
附圖12是用于脫機(jī)打印的第二硬件設(shè)備的方塊圖�。
附圖13是第三脫機(jī)打印方案的圖表����。
附圖14是用于圖13所示方案的文件數(shù)據(jù)格式����。
附圖15表示了添加密鑰集的生成����。
附圖16是圖15所示的添加過(guò)程的流程圖�����。
附圖17是第四脫機(jī)打印方案的方塊圖�。
附圖18是用于圖17所示方案的文件數(shù)據(jù)格式。
附圖19是用于圖17和圖18所示方案的許可證和許可證安裝數(shù)據(jù)格式���。
附圖20是用于基于軟件脫機(jī)打印的密鑰數(shù)據(jù)庫(kù)��。
附圖21是用于基于軟件脫機(jī)打印的密鑰挽救文件�����。
附圖22是基于軟件脫機(jī)打印方案的方塊圖�。
附圖23是用于基于軟件脫機(jī)打印的許可證和許可證安裝數(shù)據(jù)格式�。
附圖24是用于基于軟件脫機(jī)打印方案的文件數(shù)據(jù)格式。
具體實(shí)施例方式
本發(fā)明有三個(gè)主要部分所有文件的轉(zhuǎn)送和打印過(guò)程���,其中��,服務(wù)器系統(tǒng)起可信第三方的作用�����;鑒別打印文件的裝置���;以及其自身的打印控制����。
所有文件的轉(zhuǎn)送和打印過(guò)程參考附圖1��,保密遠(yuǎn)控文件打印系統(tǒng)有四個(gè)主要部分����。文件發(fā)送方應(yīng)該是有權(quán)利啟用文件的人。通信服務(wù)器系統(tǒng)至少包括一個(gè)服務(wù)器�����,該服務(wù)器為保密可靠的文件發(fā)送提供必要設(shè)備��。在鑒別發(fā)送方時(shí)其起可信第三方和接收方的作用��,這個(gè)辦理是基于內(nèi)部公用密鑰基礎(chǔ)結(jié)構(gòu)(PKI)協(xié)議的基礎(chǔ)上的。并且還起代表發(fā)送方的可信媒介的作用���,以便執(zhí)行發(fā)送方的打印請(qǐng)求�,并控制打印過(guò)程��。打印過(guò)程通過(guò)接收方網(wǎng)點(diǎn)常駐的軟件�����,由通信服務(wù)器系統(tǒng)控制�����。至于使用加密技術(shù)的保密文件發(fā)送����,請(qǐng)參考ISO/CCITT X400��,至于PGP���,例如參見(jiàn)1995年由C.Kaufman�,R.Perlman和M.Speciner��,PTR Prentice Hall寫(xiě)的網(wǎng)絡(luò)安全-在公共世界中的專有通信。
在文件轉(zhuǎn)送中�����,文件將具有如圖2所示的結(jié)構(gòu)�,該結(jié)構(gòu)使其成為一個(gè)可信文件。加上文件本身��,還包括五個(gè)其它的部分●手寫(xiě)簽名和/或發(fā)放管理機(jī)構(gòu)的封印(seal)���,立即給人一種值得信任的感覺(jué)�。只有管理機(jī)構(gòu)鑒別成功時(shí)將手寫(xiě)簽名和封印加到文件上����。用這種方式,手寫(xiě)簽名才有意義���。
●文件的數(shù)字標(biāo)記���,該數(shù)字標(biāo)記是為了認(rèn)可(no repudiation)和內(nèi)容完整性的目的由發(fā)送方、接收方和服務(wù)器系統(tǒng)建立的���。數(shù)字標(biāo)記是利用專有密鑰的文件散列信息的加密�����。由所有三方的數(shù)字標(biāo)記將保證起源����、接收和發(fā)送的認(rèn)可性。
●在文件上的光學(xué)水印保證對(duì)文件的鑒別�,保護(hù)文件不被復(fù)制和偽造。
●文件的內(nèi)容特征是由整個(gè)文件整個(gè)文件中提取出的���,用來(lái)驗(yàn)證文件的內(nèi)容,并查找可能變化的位置���,為了將來(lái)對(duì)文件進(jìn)行驗(yàn)證����,被存儲(chǔ)在服務(wù)器系統(tǒng)中�����。
●使用控制和核查跟蹤記錄維持管理機(jī)構(gòu)的使用說(shuō)明���,也決定拷貝控制的執(zhí)行狀態(tài)��,并由服務(wù)器系統(tǒng)管理����。
有三種操作程序選擇,每一個(gè)都有不同等級(jí)的保密性a)基于PKI的高保密性操作程序����,它為用戶鑒別和認(rèn)可提供了一種措施;b)保密發(fā)送�����,使用的是保密接口層(Secure Socket Layer)(SSL)協(xié)議�;c)使用對(duì)稱加密的保密發(fā)送。
基于PKI的高保密性操作程序注冊(cè)所有用戶(發(fā)送方和接收方)都利用服務(wù)中心注冊(cè)�,該中心管理通信服務(wù)器系統(tǒng)。注冊(cè)操作程序包括�����,但不僅限于●用戶要求注冊(cè)����,并提供他們的證明,用戶身份(“ID”)���,要求的服務(wù)類型��,以及從公共證明管理機(jī)構(gòu)(如果可能的話)獲得的數(shù)字證明�;●然后服務(wù)中心驗(yàn)證用戶證據(jù),產(chǎn)生一個(gè)用戶簡(jiǎn)檔(profile)���,并將該簡(jiǎn)檔儲(chǔ)存在其注冊(cè)數(shù)據(jù)庫(kù)中���。然后服務(wù)中心產(chǎn)生一個(gè)注冊(cè)身份,并將信息和可信客戶軟件轉(zhuǎn)送給用戶��。如果用戶沒(méi)有數(shù)字證明��,內(nèi)部證明管理機(jī)構(gòu)將通過(guò)以下步驟發(fā)送一個(gè)數(shù)字證明給用戶
-內(nèi)部證明管理機(jī)構(gòu)產(chǎn)生一個(gè)消息鑒別代碼(“MAC”)密鑰����,并將它與客戶軟件和注冊(cè)身份一起發(fā)送給用戶��;-用戶使用客戶軟件產(chǎn)生一個(gè)密鑰對(duì)�����,以產(chǎn)生一個(gè)關(guān)于證明的請(qǐng)求����,并用MAC密鑰給它加密����,送到服務(wù)中心��。專有密鑰可能被儲(chǔ)存于用戶機(jī)器中的硬盤(pán)�、軟盤(pán)、只讀光盤(pán)���、智能卡或任何其它合適的裝置上��;-然后服務(wù)中心驗(yàn)證請(qǐng)求�、傳輸信號(hào)��,并將用戶證明返回���。同時(shí)�,服務(wù)中心將用戶證明的副本存放在證明數(shù)據(jù)庫(kù)中���;-服務(wù)中心在硬拷貝上打印用戶證明的手印�,并且,服務(wù)中心和注冊(cè)用戶都在硬拷貝上簽名��。
發(fā)送文件為了使發(fā)送方將文件發(fā)送到接收方�����,可采取以下步驟●發(fā)送方通過(guò)提供它們的注冊(cè)ID��、權(quán)標(biāo)(即便要)和口令�,注冊(cè)進(jìn)入服務(wù)器系統(tǒng);●服務(wù)器系統(tǒng)驗(yàn)證發(fā)送方的身份����,如果驗(yàn)證成功,則提示接收方姓名���、地址��、待發(fā)送的文件以及允許由接收方打印的副本復(fù)制份數(shù)����。如果具有所要求的ID的接收方存在于服務(wù)中心的數(shù)據(jù)庫(kù)中�����,服務(wù)器系統(tǒng)就從證明數(shù)據(jù)庫(kù)中提取公用密鑰證明���,產(chǎn)生一個(gè)唯一系列號(hào)����,并記錄下辦理時(shí)間���。整個(gè)辦理過(guò)程所花的時(shí)間可被忽略����。如果接收方?jīng)]有利用服務(wù)中心注冊(cè)���,客戶軟件就產(chǎn)生一個(gè)會(huì)話密鑰���,用會(huì)話密鑰給數(shù)據(jù)加密,用口令給會(huì)話密鑰加密����,并通過(guò)單獨(dú)的電子郵件、電話或其它形式發(fā)送口令���。
●發(fā)送方驗(yàn)證接收方的證明�����、ID和辦理時(shí)間���。然后�,發(fā)送方的客戶軟件計(jì)算要發(fā)送文件的散列信息����、附加系列號(hào)、時(shí)間�����、發(fā)送方ID和接收方ID�����,使用發(fā)送方專有密鑰簽名�,并將其發(fā)送到服務(wù)中心;●服務(wù)器系統(tǒng)核對(duì)簽名的真實(shí)性����,并產(chǎn)生它自己的簽名;●發(fā)送方驗(yàn)證服務(wù)器系統(tǒng)的簽名���,并將它合并在文件中�����;●用戶的客戶軟件將發(fā)送方的手寫(xiě)簽名�、發(fā)送方公司的封印和文件的內(nèi)容特征加到文件中���;使用服務(wù)器系統(tǒng)的證明給內(nèi)容特征和散列信息加密�����,使用接收方的證明給其余信息和散列信息加密���,并將它下載到服務(wù)器系統(tǒng);●接收到加密文件時(shí)����,服務(wù)器系統(tǒng)就將它存儲(chǔ)在證據(jù)數(shù)據(jù)庫(kù)中,并發(fā)一個(gè)通知給接收方���。在一預(yù)定時(shí)期內(nèi)為了鑒別文件�����,將散列信息和內(nèi)容特征儲(chǔ)存在服務(wù)器中����。
接收文件步驟如下●服務(wù)器系統(tǒng)將可得到的文件通知接收方,還傳送文件ID和文件系列號(hào)�;●接收方用接收方ID、權(quán)標(biāo)(即便要)和口令在服務(wù)器系統(tǒng)上注冊(cè)���;●服務(wù)器系統(tǒng)核對(duì)有效性����,產(chǎn)生系列號(hào)���、時(shí)間�����、發(fā)送方ID和接收方ID的散列信息��。對(duì)這些簽名并將簽名和散列信息發(fā)送給接收方���。發(fā)送方的證明、加密文件和發(fā)送方的簽名也和這些信息一起發(fā)送�;●然后接收方驗(yàn)證發(fā)送方的公用密鑰證明��,給文件解密�,產(chǎn)生散列信息���,并反復(fù)查對(duì)由服務(wù)器系統(tǒng)發(fā)送來(lái)的生成散列信息。如果它們匹配�,驗(yàn)證成功。驗(yàn)證還包括服務(wù)器系統(tǒng)的發(fā)送時(shí)間���;●接收方的客戶軟件產(chǎn)生文件散列信息��、系列號(hào)����、接收方ID���、發(fā)送方ID和時(shí)間的混雜信號(hào)的簽名���,并送到服務(wù)器系統(tǒng)。這將使服務(wù)中心能完全相信文件已經(jīng)被成功解密����;●然后服務(wù)器系統(tǒng)驗(yàn)證該信息�����,并將有關(guān)信息儲(chǔ)存在證據(jù)數(shù)據(jù)庫(kù)中�;●當(dāng)接收方提出打印請(qǐng)求時(shí)�,服務(wù)器系統(tǒng)就通過(guò)客戶軟件,與在接收方網(wǎng)址的打印機(jī)通信�����,并核對(duì)其狀態(tài)�。如果打印機(jī)準(zhǔn)備好了,服務(wù)器系統(tǒng)就將文件和用于打印的光學(xué)水印發(fā)出去����。如果沒(méi)有錯(cuò)誤消息,打印就會(huì)成功����。服務(wù)器系統(tǒng)引起核查跟蹤去記錄整個(gè)過(guò)程;●服務(wù)器系統(tǒng)將確認(rèn)信息發(fā)送給接收方���,通知發(fā)送方����。
使用SSL保密傳送SSL(保密接口層)協(xié)議,正如1999年RFC2246第1版“傳送層保密”����,在兩方之間提供了一個(gè)保密信道。所有通過(guò)SSL信道的數(shù)據(jù)轉(zhuǎn)送都將使用會(huì)話密鑰加密�,會(huì)話密鑰是為每一個(gè)聯(lián)系隨機(jī)地產(chǎn)生。發(fā)送步驟是●發(fā)送方和服務(wù)器系統(tǒng)建立聯(lián)系���,保密地交流SSL會(huì)話密鑰,以下所有的辦理都是經(jīng)過(guò)加密信道的��;●發(fā)送方用它們的注冊(cè)ID和口令在系統(tǒng)上注冊(cè)���;●服務(wù)器通過(guò)它們的注冊(cè)ID和口令驗(yàn)證發(fā)送方身份����;●然后發(fā)送方提出請(qǐng)求發(fā)送數(shù)據(jù)(可能是文件)給接收方����;●服務(wù)器確認(rèn)請(qǐng)求,并準(zhǔn)備接收數(shù)據(jù)���;●發(fā)送方將數(shù)據(jù)與散列信息和內(nèi)容特征一起發(fā)送�����;
●一接收到數(shù)據(jù)����,服務(wù)器系統(tǒng)就將它儲(chǔ)存在證據(jù)數(shù)據(jù)庫(kù)中,并給接收方發(fā)通知��。在一預(yù)定時(shí)期內(nèi)���,散列信息和內(nèi)容特征將被儲(chǔ)存在服務(wù)器中�����,用來(lái)為以后的鑒別服務(wù)���;●當(dāng)接收方接收到通知時(shí),就利用客戶軟件����,與服務(wù)器建立聯(lián)系,并交流SSL會(huì)話密鑰���。所有以下處理都經(jīng)過(guò)加密信道�;●然后接收方在系統(tǒng)上用他們的注冊(cè)ID和口令注冊(cè);●服務(wù)器驗(yàn)證接收方的注冊(cè)ID和口令��,如果核實(shí)�,則服務(wù)器將把數(shù)據(jù)傳送給接收方;●接收方接收數(shù)據(jù)���,并向服務(wù)器發(fā)送確認(rèn)信息����;●如果接收方提出發(fā)送打印經(jīng)鑒別副本的請(qǐng)求����,則服務(wù)器將用散列信息和內(nèi)容特征驗(yàn)證文件����,并與打印機(jī)通信,而且發(fā)送文件和用于打印的光學(xué)水印�,還引起核查跟蹤來(lái)記錄整個(gè)過(guò)程的狀態(tài)。
用加密技術(shù)保密傳送●發(fā)送方用它們的注冊(cè)ID和口令在服務(wù)器上注冊(cè)�;●服務(wù)器驗(yàn)證發(fā)送方的注冊(cè)ID和口令;●發(fā)送方提出發(fā)送數(shù)據(jù)(又可能是文件)的請(qǐng)求��;●服務(wù)器確認(rèn)請(qǐng)求,并準(zhǔn)備從發(fā)送方接收數(shù)據(jù)���;●發(fā)送方從數(shù)據(jù)中產(chǎn)生一個(gè)散列信息和內(nèi)容特征��,并產(chǎn)生一個(gè)隨機(jī)會(huì)話密鑰來(lái)給數(shù)據(jù)加密���。密鑰和散列信息用口令加密,散列信息和內(nèi)容特征用服務(wù)器系統(tǒng)的公用密鑰加密�,然后,下載到服務(wù)器系統(tǒng)���;●服務(wù)器系統(tǒng)接收被加密的數(shù)據(jù)��、密鑰���、散列信息和內(nèi)容特征,并將它們存在數(shù)據(jù)庫(kù)中�;●然后發(fā)送方通過(guò)電話、電子郵件�����、郵件���、個(gè)人遞送或其它方式將口令通知接收方���;●當(dāng)接收方接收到來(lái)自發(fā)送方的口令時(shí)�,接收方利用注冊(cè)ID和口令注冊(cè)進(jìn)入服務(wù)器���;●服務(wù)器驗(yàn)證注冊(cè)ID和口令�����,如果核實(shí)���,則將加密數(shù)據(jù)��、密鑰和散列信息發(fā)送給接收方����;●接收方接收加密數(shù)據(jù)�����、密鑰和散列信息�����,并給服務(wù)器發(fā)送接收確認(rèn)�;●接收方使用單獨(dú)獲得的口令給密鑰和散列信息解密,并用密鑰給數(shù)據(jù)解密�;
●接收方計(jì)算被解密數(shù)據(jù)的散列信息,并將它與接收到的散列信息比較��。如果它們一樣�����,則又將確認(rèn)發(fā)送給服務(wù)器�;●如果接收方向管理機(jī)構(gòu)提出打印經(jīng)鑒別文件的請(qǐng)求,則服務(wù)器系統(tǒng)核對(duì)發(fā)送方定義的數(shù)據(jù)庫(kù)記錄�����,以了解它們是否被允許打印文件���,以及他們被允許打印多少副本�����。如果符合�����,服務(wù)器系統(tǒng)就利用散列信息驗(yàn)證文件����,與打印機(jī)通信,并發(fā)送用于打印的文件和光學(xué)水印���。還引起核查跟蹤來(lái)記錄打印狀態(tài)��。
文件鑒別的措施任何合適的裝置都能用來(lái)鑒別文件�����,例如����,特殊墨水和特殊紙張都以控制方式使用�����。另一個(gè)例子是使用具有多層嵌入實(shí)物圖象的光學(xué)水印��。光學(xué)水印圖象被存儲(chǔ)在服務(wù)器系統(tǒng)中�,并轉(zhuǎn)送到打印機(jī)����,以便于以一種由服務(wù)器系統(tǒng)以控制方式來(lái)打印文件�。在文件上的光學(xué)水印在某種意義上來(lái)說(shuō)提供了一種可靠性�����,如果沒(méi)有得到服務(wù)器系統(tǒng)的允許就打印文件的話���,文件上是沒(méi)有光學(xué)水印的�����,因此��,文件是無(wú)效的�����。光學(xué)水印在我們的共同申請(qǐng)PCT/SG00/00147中已經(jīng)公開(kāi)���,申請(qǐng)的標(biāo)題為“光學(xué)水印”,是2000年9月15日在新加坡申請(qǐng)的���,因此在此將其內(nèi)容作為參考�。
光學(xué)水印可保護(hù)文件不被假冒和偽造,它將多個(gè)實(shí)物潛像嵌入多層重復(fù)結(jié)構(gòu)中����,產(chǎn)生一個(gè)水印。然后水印被合并到文件中���,例如�,作為一個(gè)封印��,標(biāo)識(shí)圖或背景����。這會(huì)被稱作一個(gè)光學(xué)水印。
在光學(xué)水印中的防假冒層對(duì)打印機(jī)的屬性很高度機(jī)密���。具體說(shuō)����,它取決于可由影印機(jī)探測(cè)的像點(diǎn)大小���。為了保證光學(xué)水印的打印效果�,有必要有個(gè)校準(zhǔn)過(guò)程,來(lái)決定最小可見(jiàn)像點(diǎn)的大小和其最佳嵌入的空間頻率�。這個(gè)過(guò)程可能包括●產(chǎn)生一排具有不同像點(diǎn)大小的測(cè)試圖案的陣列��;●用戶從打印測(cè)試頁(yè)中�,確定第一可見(jiàn)測(cè)試圖案數(shù)量,以便于找到打印機(jī)能打印的最小可見(jiàn)像點(diǎn)�;●基于這個(gè)數(shù)量,系統(tǒng)產(chǎn)生并打印具有不同頻率的測(cè)試圖案的陣列����;●用戶從這個(gè)打印頁(yè)中,確定第一可見(jiàn)測(cè)試圖案數(shù)量�����,以便于找到能夠最好隱藏信息的頻率����;●利用這兩個(gè)數(shù)量,打印確認(rèn)頁(yè)�����;
●用戶影印確認(rèn)頁(yè)��。如果可以看見(jiàn)防復(fù)制特征了,就完成檢驗(yàn)����。否則再次執(zhí)行檢驗(yàn),直到獲得成功的結(jié)果���。
打印控制打印控制提供了一個(gè)控制過(guò)程��,以確保文件嚴(yán)格按照管理機(jī)構(gòu)/發(fā)送方的指令打印����。就是說(shuō)��,當(dāng)管理機(jī)構(gòu)/發(fā)送方發(fā)送文件時(shí)�,也輸入了他們的打印指令。然后該指令由服務(wù)器系統(tǒng)實(shí)施��,作為一個(gè)可信媒介���,服務(wù)器系統(tǒng)將指令作為文件轉(zhuǎn)關(guān)歷史的一部分儲(chǔ)存到數(shù)據(jù)庫(kù)中����。該服務(wù)器系統(tǒng)將根據(jù)發(fā)送方提供的指令控制打印過(guò)程����。服務(wù)器系統(tǒng)控制打印過(guò)程的方式有很多種�����。
已存在的打印過(guò)程不具有任何控制�����。當(dāng)客戶從服務(wù)器接收到文件時(shí),文件由一個(gè)卷筒系統(tǒng)送到網(wǎng)絡(luò)打印機(jī)����。一旦打印請(qǐng)求納入在卷筒行列中,打印請(qǐng)求和客戶/服務(wù)器之間的鏈路投入使用���。唯一的消息就是打印請(qǐng)求是否成功���。人們可容易地獲得數(shù)據(jù),并請(qǐng)求打印機(jī)打印多份副本�����。
由于服務(wù)器系統(tǒng)可信和保密�,服務(wù)器系統(tǒng)通過(guò)客戶軟件和打印機(jī)通信。為了確保控制打印過(guò)程����,可用到很多方法,包括接收方����。所使用的方法將是不同的,并對(duì)于不保密打印機(jī)和/或非保密接收方來(lái)講又是不同的�。
保密打印機(jī)的打印控制保密打印機(jī)將具有一個(gè)硬件單元,該硬件單元包括一個(gè)時(shí)鐘�����;一個(gè)用來(lái)儲(chǔ)存加密密鑰和儲(chǔ)存用來(lái)為數(shù)據(jù)加密和解密的程序的保密存儲(chǔ)器��;一個(gè)執(zhí)行程序��、與客戶和服務(wù)器通信并控制打印機(jī)的CPU�。該硬件單元在這種意義上是保密的,即可以防止外部對(duì)時(shí)鐘����、密鑰、程序和運(yùn)行程序的攻擊�。當(dāng)用戶請(qǐng)求管理機(jī)構(gòu)打印鑒別文本時(shí)����,服務(wù)器系統(tǒng)與打印機(jī)通信�,完成與客戶的信號(hào)交換過(guò)程。打印機(jī)和服務(wù)器系統(tǒng)根據(jù)公用密鑰對(duì)鑒別成功后�,服務(wù)器系統(tǒng)就將加密后的散列信息和光學(xué)水印與時(shí)間標(biāo)志、打印指令一起發(fā)送給打印機(jī)�。關(guān)于保密信號(hào)交換協(xié)議和加密數(shù)據(jù)發(fā)送的細(xì)節(jié),參考由C.Kaufman�,R.Perman,和M.Speciner��,PTR Prentice Hall在1995年所著的“網(wǎng)絡(luò)安全-在公共世界中的專用通信”第223頁(yè)第9章“安全信號(hào)交換缺陷”�����。
打印機(jī)將其專有密鑰保存在保密儲(chǔ)存器中����。當(dāng)接收方利用服務(wù)中心注冊(cè)時(shí)�����,服務(wù)器系統(tǒng)就知道了其數(shù)字證明����。在成功地完成保密信號(hào)交換過(guò)程后�,服務(wù)器系統(tǒng)將加密指令��、文件散列信息和光學(xué)水印一起發(fā)送給打印機(jī)�。所有數(shù)據(jù)都用時(shí)間標(biāo)志和數(shù)字標(biāo)記加密。打印機(jī)接收到來(lái)自客戶軟件的文件���,為數(shù)據(jù)解密��,驗(yàn)證來(lái)自服務(wù)器的數(shù)字標(biāo)記和時(shí)間標(biāo)志�,如果驗(yàn)證成功就打印�����。打印完后����,數(shù)據(jù)立即被刪除。打印機(jī)產(chǎn)生打印數(shù)據(jù)的散列信息���,并將散列信息和時(shí)間標(biāo)志簽名����,并將它發(fā)送給服務(wù)器,保存在核查跟蹤記錄中���。
由于加密技術(shù)和PKI����,在服務(wù)器和打印機(jī)之間的通信就很安全��。保密打印機(jī)由可信廠商生產(chǎn)和檢查��,以確保儲(chǔ)存在保密存儲(chǔ)器中的程序不會(huì)被篡改���,并防止對(duì)打印機(jī)CPU中運(yùn)行的程序運(yùn)行進(jìn)行攻擊�����。
可信客戶的打印控制當(dāng)客戶是可信分的時(shí)候,應(yīng)該不會(huì)對(duì)客戶軟件引起攻擊�����,也不會(huì)對(duì)客戶軟件程序產(chǎn)生運(yùn)行中攻擊����。通過(guò)客戶軟件�����,服務(wù)器系統(tǒng)與打印機(jī)通信��,核對(duì)其狀態(tài)�,發(fā)送打印指令和數(shù)據(jù)�����,監(jiān)視整個(gè)過(guò)程�,并最后進(jìn)行核查跟蹤記錄。與打印機(jī)的對(duì)話使用可獲得的打印任務(wù)語(yǔ)言����,例如,由Hewlett Packard寫(xiě)的PJL和PML����。圖3是使用PJL的打印控制流程圖。在打印控制過(guò)程中的主要步驟是●核對(duì)并記錄打印機(jī)的IP地址�����、系列號(hào)��;●讀出打印機(jī)的狀態(tài),包括對(duì)所有打印任務(wù)都是共同的打印機(jī)設(shè)置���,也包括只對(duì)特定打印任務(wù)才有效的打印機(jī)設(shè)置�����,以及以固定間隔如每15秒的打印機(jī)狀態(tài)�;●設(shè)置對(duì)于所有當(dāng)前打印任務(wù)需要的必要設(shè)置的數(shù)值��;●鎖定控制板���,防止當(dāng)打印任務(wù)發(fā)送到打印機(jī)時(shí)�,另一個(gè)用戶利用該設(shè)置篡改���。如果控制板不能被鎖定�,打印任務(wù)就被異常終止��;●利用附錄(PS)�����、打印控制語(yǔ)言(PCL)或愛(ài)普生標(biāo)準(zhǔn)打印機(jī)代碼(ESC/P)發(fā)送打印任務(wù)�。
控制程序?qū)⑹紫全@得所有關(guān)于打印機(jī)設(shè)置的必要信息。有了這個(gè)信息�,將非所需的結(jié)構(gòu)或設(shè)置改成所需的設(shè)置。然后打印機(jī)以預(yù)定的間隔如每15秒向回報(bào)告設(shè)備和頁(yè)數(shù)的細(xì)節(jié)�。接下來(lái),將打印任務(wù)發(fā)送給打印機(jī)��。利用經(jīng)常的狀態(tài)報(bào)告�����,打印過(guò)程得以嚴(yán)密監(jiān)視�。如果打印紙發(fā)生堵塞,就匯報(bào)出錯(cuò)誤�,再打印一次。打印完成后���,打印機(jī)設(shè)置改回到原始設(shè)置�����。獲取所有的狀態(tài)報(bào)告供核查跟蹤����。
檢驗(yàn)過(guò)程不必人工干預(yù)。就是說(shuō)�,在工廠里就執(zhí)行了檢驗(yàn)過(guò)程,比較可見(jiàn)像點(diǎn)大小����、色粉等級(jí)和其它打印機(jī)參數(shù)。利用這些數(shù)據(jù)�,在核對(duì)打印機(jī)狀態(tài)后,就決定并設(shè)置了合適的打印機(jī)參數(shù)���,以便于將最好性能的光學(xué)水印打印在文件上�。
有非保密打印機(jī)的非保密客戶的打印控制非保密客戶和非可信客戶可能意味著可能會(huì)對(duì)客戶軟件和硬件和打印機(jī)產(chǎn)生攻擊�����。這些包括對(duì)軟件的攻擊�����,運(yùn)行中攻擊以獲取數(shù)據(jù)�����,向服務(wù)器提供錯(cuò)誤信息����。有兩個(gè)途徑一個(gè)是有盡可能防病毒的客戶軟件,另一個(gè)是設(shè)置另外硬件單元來(lái)保護(hù)客戶軟件�。客戶軟件當(dāng)分發(fā)時(shí)被劃分成兩部分��,基本部分和高度機(jī)密部分����。高度機(jī)密部分包含高度機(jī)密的代碼和數(shù)據(jù),如產(chǎn)生功能和訪問(wèn)控制的水印���。當(dāng)用戶注冊(cè)時(shí)��,分發(fā)并安裝基本部分�。
保護(hù)客戶軟件的方法包括●為每個(gè)打印驗(yàn)證基本客戶軟件��。
任何對(duì)客戶軟件的修正都可能會(huì)引起客戶軟件發(fā)生故障��。這樣的修正可由網(wǎng)絡(luò)錯(cuò)誤���、用戶硬盤(pán)錯(cuò)誤��、或?qū)浖墓粢?�。為了防止這一點(diǎn)�,在發(fā)送軟件之前計(jì)算基本客戶軟件的散列信息結(jié)果并儲(chǔ)存在服務(wù)器中。當(dāng)用戶請(qǐng)求打印時(shí)�,計(jì)算相同的散列信息功能,將結(jié)果發(fā)送到服務(wù)器中用于驗(yàn)證�。只有當(dāng)散列信息結(jié)果與以前儲(chǔ)存的結(jié)果相同時(shí),該服務(wù)器才將打印數(shù)據(jù)發(fā)送給客戶���。否則���,不允許打印,促使用戶采取進(jìn)一步行動(dòng)���。
●根據(jù)請(qǐng)求下載高度機(jī)密代碼���,或還運(yùn)行中將高度機(jī)密代碼解密。
高度機(jī)密部分保存在可信服務(wù)器中���,或以加密格式發(fā)送給客戶�。當(dāng)被保存在可信服務(wù)器中時(shí)�����,需要時(shí)便利用基本部分通過(guò)保密連接(例如SSL)下載到客戶PC,并在使用后立即被刪除���。高度機(jī)密部分很小,或被壓縮�,以便于減少下載時(shí)間。高度機(jī)密部分也可與客戶軟件基本部分一起安裝在客戶機(jī)器中����,只不過(guò)是以加密形式。需要時(shí)����,高度機(jī)密部分載于存儲(chǔ)器中,解密并被執(zhí)行����。服務(wù)器管理解密密鑰。通過(guò)這種辦法�,如分解代碼的靜態(tài)攻擊就不可能的了。
●從硬件中獲得高度機(jī)密部分��。
攻擊者實(shí)際上會(huì)不定時(shí)地攻擊客戶軟件�����,但攻擊硬件困難得多。因此����,可能在打印過(guò)程中由硬件獲得高度機(jī)密部分,并且打印過(guò)程一結(jié)束���,就從存儲(chǔ)器中抹去��。一個(gè)熟練的攻擊者可成功地攻擊客戶軟件�����,并無(wú)約束地打印文件�,但是由于沒(méi)有鑒別光學(xué)水印�����,所以這些副本都明顯無(wú)效�����。
●探測(cè)運(yùn)行中攻擊一個(gè)運(yùn)行中攻擊方法是用調(diào)試程序調(diào)試該程序����。由于一些先進(jìn)的調(diào)試程序能夠避免探測(cè)����,所以在運(yùn)行系統(tǒng)時(shí)搜索調(diào)試程序是不合適的����。探測(cè)運(yùn)行中攻擊的一個(gè)有效方法是計(jì)算高度機(jī)密功能的執(zhí)行時(shí)間。如果程序被調(diào)試的話����,該執(zhí)行時(shí)間會(huì)顯著低于正常值��。產(chǎn)生一個(gè)單獨(dú)的線索來(lái)監(jiān)視那些高度機(jī)密功能的執(zhí)行時(shí)間��。如果時(shí)間明顯長(zhǎng)于應(yīng)有時(shí)間�,則中斷主要過(guò)程。
另一個(gè)運(yùn)行中攻擊的方法是用掛機(jī)系統(tǒng)監(jiān)視系統(tǒng)呼叫活動(dòng)����。當(dāng)系統(tǒng)功能呼叫被掛機(jī)時(shí),其所有輸入和輸出數(shù)據(jù)都被廢棄���,這些數(shù)據(jù)可能包括解密數(shù)據(jù)或機(jī)密信息�。為了防止這種攻擊���,客戶軟件將列舉出所有系統(tǒng)掛機(jī)�����,并將它們與內(nèi)部黑名單相比較���。如果發(fā)現(xiàn)列入黑名單的掛機(jī)��,客戶軟件將中斷運(yùn)行��。服務(wù)器會(huì)經(jīng)常更新前述的黑名單�����,處理新出現(xiàn)的掛機(jī)申請(qǐng)�。
脫機(jī)打印控制當(dāng)打印控制是脫機(jī)時(shí)����,所有要求打印文件的信息在打印前被下載到客戶機(jī)。其最好包括●文件自身���;●一個(gè)封印�,包括一個(gè)手寫(xiě)簽名和/或一個(gè)發(fā)送方的物理封印圖象,以及一個(gè)光學(xué)水印���。該封印進(jìn)一步被分成兩部分一個(gè)是與所有文件打印副本共用的共用封?����?;另一個(gè)是每一個(gè)文件打印副本特有的獨(dú)特封?����?���;●使用控制和核查跟蹤�����。
該信息以一種特定加密文件包的形式發(fā)送��,以確保其加密性���。由于服務(wù)器不參與打印過(guò)程�����,所以保密硬件/軟件被安裝到代表服務(wù)器的客戶系統(tǒng)中去起服務(wù)器的作用��。因此���,這樣就提供了兩種方案-硬件方案和軟件方案���。如前所述,它們可能獨(dú)立運(yùn)用�,也可能結(jié)合使用。
硬件方案參考圖4���,保密硬件設(shè)備被連接到客戶系統(tǒng)�����,最好與打印機(jī)成一整體����。該設(shè)備最好包括1.一個(gè)保密存儲(chǔ)器(401)�,其用于儲(chǔ)存重要信息。由CPU以及其單片程序(403)設(shè)置不同的訪問(wèn)權(quán)限�����。例如,有兩種存儲(chǔ)器a)當(dāng)輸入并驗(yàn)證了用戶口令時(shí)�,可訪問(wèn)的存儲(chǔ)器;b)嚴(yán)格控制內(nèi)部使用的存儲(chǔ)器�。例如,保密密鑰和/或系列號(hào)被儲(chǔ)存在存儲(chǔ)器中�����。系列號(hào)最好由硬件廠商保證是唯一的�。
2.一個(gè)DAR(讀后刪除)存儲(chǔ)器(402)。在該存儲(chǔ)器上的數(shù)據(jù)在讀后自動(dòng)刪除���。其可通過(guò)單片程序或硬件達(dá)到�。重要信息�,例如打印許可證�����,被儲(chǔ)存在該區(qū)域����;
3.具有單片程序(403)的CPU,其可能訪問(wèn)保密存儲(chǔ)器401和DAR存儲(chǔ)器402,鑒別用戶請(qǐng)求���,加密�,解密���,并產(chǎn)生數(shù)字標(biāo)記��。單片程序也包括一個(gè)密鑰管理系統(tǒng)�,最好是一個(gè)文件系統(tǒng)���。當(dāng)打印任務(wù)下達(dá)時(shí)��,任務(wù)識(shí)別號(hào)就發(fā)送到硬件設(shè)備�����,在那兒密鑰管理系統(tǒng)從保密存儲(chǔ)器401或DAR存儲(chǔ)器檢索相應(yīng)密鑰����。該CPU也可包括一個(gè)保密實(shí)時(shí)時(shí)鐘�����,來(lái)防止時(shí)間方面攻擊;4.接口(404)���。它負(fù)責(zé)在硬件設(shè)備和主機(jī)之間建立通信�,也為數(shù)據(jù)流加密�,以防止分接攻擊。
在硬件設(shè)備中的存儲(chǔ)器空間����,保密存儲(chǔ)器和DAR存儲(chǔ)器兩個(gè)都被分成幾塊(block)。一個(gè)合格的用戶只能通過(guò)正確的口令訪問(wèn)屬于他們的塊�����。設(shè)計(jì)該設(shè)備包括一定數(shù)量的塊�����,該塊具有用來(lái)訪問(wèn)這些塊的最初口令����,這些塊在存儲(chǔ)器芯片生產(chǎn)時(shí)就分配好了���。一個(gè)獨(dú)特的用戶ID密鑰存儲(chǔ)在用于每一個(gè)接收方的保密存儲(chǔ)器塊中����,并被記錄在服務(wù)器的數(shù)據(jù)庫(kù)中。當(dāng)使用數(shù)字證明時(shí)�,用戶專有密鑰能夠被儲(chǔ)存在硬件設(shè)備400的保密存儲(chǔ)器塊中。
無(wú)論使用其CPU還是用打印機(jī)的CPU(如果可以獲得的話)��,硬件設(shè)備400都應(yīng)該能執(zhí)行加密/解密操作���。
該服務(wù)器是可信的�,負(fù)責(zé)讓用戶可利用硬件���,并管理密鑰和硬件設(shè)備的其它方面��。
硬件設(shè)備通過(guò)許多方案中的一種方案來(lái)控制打印��,現(xiàn)在舉兩個(gè)例子來(lái)說(shuō)明方案1該方案使用了對(duì)稱加密技術(shù)�,例如�����,3DES�,AES,Blowrish等等�。它包括發(fā)送方(sender)�、接收方(receiver)���、打印設(shè)備和可信服務(wù)器���,如圖5所示。接收方的硬件設(shè)備具有許多組隨機(jī)密鑰(密鑰1����,...密鑰N,T密鑰)�����,被寫(xiě)在它們的塊DAR存儲(chǔ)器中��。T密鑰代表一個(gè)添加密鑰����,這些密鑰是許可證密鑰,并被用于給獨(dú)特的封印加密�。這些添加密鑰(T密鑰)被用在添加過(guò)程中。該組獨(dú)特的用戶ID密鑰和與每一個(gè)密鑰對(duì)應(yīng)的初始口令保存在硬件設(shè)備的保密存儲(chǔ)器中�����。這些密鑰的副本也保存在可信服務(wù)器中�。發(fā)送方和接收方,還有它們的硬件設(shè)備也必須在使用保密打印過(guò)程之前利用可信服務(wù)器注冊(cè)����。
接收方的注冊(cè)過(guò)程接收方應(yīng)該在接收文件之前利用可信服務(wù)器注冊(cè)。注冊(cè)過(guò)程可包括
1.接收方通過(guò)提供他們的信息�,如用戶名、電子郵件��、和他們硬件設(shè)備的ID等���,請(qǐng)求在服務(wù)器注冊(cè)��;2.服務(wù)器處理接收方的請(qǐng)求��。如果批準(zhǔn)���,服務(wù)器就在其數(shù)據(jù)庫(kù)中搜尋未使用的硬件設(shè)備的用戶ID。如果所有用戶ID都被使用了��,則安裝一個(gè)新的硬件設(shè)備�����;3.服務(wù)器記錄用戶信息,并發(fā)送初始口令和用戶ID索引給接收方��;4.如果沒(méi)安裝客戶軟件的話�����,將客戶軟件安裝到接收方的機(jī)器上��;5.接收方通過(guò)輸入他們的用戶名����、初始口令和用戶ID索引注冊(cè)到客戶軟件;6.將用戶ID索引和初始口令發(fā)送到硬件設(shè)備�,以便于為用戶啟動(dòng)其相應(yīng)的塊;7.提示接收方立即改變他們的口令�,用新口令取代原始口令;8.客戶軟件為用戶準(zhǔn)備一個(gè)專有目錄���,并將該目錄的密鑰(稱做目錄密鑰)存儲(chǔ)到硬件設(shè)備中的用戶的存儲(chǔ)塊里�����。
許可證密鑰添加過(guò)程正如圖6-8所示���,當(dāng)用戶己使用儲(chǔ)存在設(shè)備中的許可證密鑰���,或當(dāng)對(duì)于新請(qǐng)求的許可證不足時(shí),用戶將有必要添加他們的許可證密鑰��,步驟如下1.當(dāng)服務(wù)器接收到發(fā)送方的請(qǐng)求����,將一個(gè)文件的M個(gè)許可證密鑰發(fā)送給接收方����,并且服務(wù)器發(fā)現(xiàn)用于接收方完成任務(wù)的許可證密鑰不足時(shí),服務(wù)器會(huì)啟動(dòng)添加過(guò)程��;或者2.接收方請(qǐng)求添加他們的許可證密鑰�,例如由于,如接收方不具有足夠的密鑰����,所有的接收方密鑰都用過(guò)了,或接收方想打印更多的副本���;3.然后��,服務(wù)器處理該請(qǐng)求��。如果批準(zhǔn)的話�����,服務(wù)器就產(chǎn)生一組新的密鑰密鑰1′-密鑰X′�����,和一個(gè)新的添加密鑰(T密鑰′)���;4.該組新的密鑰用接收方的T密鑰加密��;5.為該組新的密鑰計(jì)算散列信息�����,并利用接收方的ID密鑰將其與新密鑰集加密�,以形成添加密鑰集��;6.添加密鑰集與文件包一起或單獨(dú)地發(fā)送給接收方�����;7.在接收方接收到該數(shù)據(jù)后,接收方將添加密鑰集發(fā)送給硬件設(shè)備�����;8.該設(shè)備用接收方的ID密鑰給數(shù)據(jù)解密���,并為核對(duì)完整性而計(jì)算數(shù)據(jù)的散列信息���;
9.如果數(shù)據(jù)有錯(cuò)誤����,該設(shè)備則從DAR存儲(chǔ)器讀取T密鑰′來(lái)給密鑰集解密;10.然后該設(shè)備更新DAR存儲(chǔ)器中的密鑰集���。該新的密鑰集將不改寫(xiě)未使用的密鑰����,由于它的索引號(hào)數(shù)從先前最后的密鑰繼續(xù)��;11.在DAR存儲(chǔ)器中的先前的添加密鑰(T密鑰)由新添加密鑰T密鑰′來(lái)取代�。
發(fā)送方將文件發(fā)送給接收方1.使用他們的用戶ID和口令發(fā)送方通過(guò)保密聯(lián)系鏈路(如SSL)連接到可信服務(wù)器;2.鑒別成功后��,發(fā)送方準(zhǔn)備他們的文件a)使用會(huì)話密鑰1給文件或它的散列信息結(jié)果、共用封印�����、用于發(fā)送的時(shí)間標(biāo)志以及文件的終止目期加密��;b)為文件主體�����、終止目期和步驟a)的結(jié)果計(jì)算散列信息結(jié)果�,然后這三部分用會(huì)話密鑰2加密;c)然后將步驟b)的結(jié)果����、接收方的ID、會(huì)話密鑰1��、用做加密的會(huì)話密鑰2�、允許接收方打印文件的M份副本許可證數(shù)量(如M)以及M個(gè)獨(dú)特封印發(fā)送給服務(wù)器。M可能是0�����,表示僅僅閱覽����;3.服務(wù)器核對(duì)接收方信息��,然后隨機(jī)地或順序地從接收方密鑰集中選擇M個(gè)許可證密鑰(Key1-KeyM)�;4.M個(gè)獨(dú)特封印和會(huì)話密鑰1各用Key1-KeyM加密����,形成M個(gè)許可證。計(jì)算整個(gè)許可證包的散列信息域以保證對(duì)許可證核對(duì)完整性�;5.然后服務(wù)器產(chǎn)生一個(gè)文件包(圖6),該包包括發(fā)送方準(zhǔn)備好的文件主體(上面步驟2中(b)的結(jié)果)��、用接收方ID密鑰加密的會(huì)話密鑰2以及許可證�����。如果發(fā)送方不允許接收方打印文件����,許可證領(lǐng)域?qū)⑹强盏?��。如果接收方的許可證密鑰不夠時(shí)�����,也預(yù)備好添加密鑰集�;6.服務(wù)器發(fā)這通知給接收方,建議他們準(zhǔn)備收集文件包���。
接收方接收到上述(6)的通知之前或之后的任何時(shí)間���,接收方都能連接到服務(wù)器。然后接收方能核對(duì)是不是有給他們的數(shù)據(jù)����。
接收方查看并打印文件的操作程序如下1.接收方利用他們的用戶名和口令,通過(guò)保密鏈路(如SSL)連接到可信服務(wù)器�����;2.服務(wù)器通過(guò)發(fā)送詢問(wèn)響應(yīng)系列驗(yàn)證用戶
a)服務(wù)器驗(yàn)證用戶名�����,然后從數(shù)據(jù)庫(kù)檢索用戶ID密鑰���;b)服務(wù)器選擇或產(chǎn)生隨機(jī)號(hào)����,利用用戶ID密鑰加密,并向回發(fā)送給接收方����。
c)將接收方的口令發(fā)送給硬件設(shè)備,以訪問(wèn)他們的ID密鑰����;d)硬件設(shè)備使用ID密鑰給已加密的隨機(jī)號(hào)解密;e)將隨機(jī)號(hào)向回發(fā)送服務(wù)器����;f)服務(wù)器通過(guò)驗(yàn)證隨機(jī)號(hào)來(lái)鑒別用戶;3.鑒別成功后����,客戶軟件從服務(wù)器為接收方下載數(shù)據(jù);4.接收到數(shù)據(jù)后���,接收方可斷開(kāi)服務(wù)器,或保持在線狀態(tài)��;5.客戶軟件核對(duì)是否有添加密鑰集���。如果有���,則為了添加許可證密鑰�����,首先將添加密鑰集發(fā)送到設(shè)備�;6.客戶軟件將加密會(huì)話密鑰2發(fā)送到該設(shè)備用于解密�����。將會(huì)話密鑰2解密����,并返回客戶軟件,該客戶軟件給文件包解密�,并核對(duì)文件包中的散列信息域。如果核對(duì)失敗�,接收方通知服務(wù)器這個(gè)決定,此時(shí)�,加密文件或它的散列信息、共用封印���、時(shí)間標(biāo)志和終止目期都沒(méi)有解密���;7.然后文件包重新加密并使用目錄密鑰將其儲(chǔ)存在接收方的專有目錄中��。
當(dāng)接收方想查看文件時(shí)�����,執(zhí)行以下操作程序1.接收方使用他們的用戶名和口令注冊(cè)到客戶軟件�,并由硬件設(shè)備鑒別�;2.鑒別成功后,客戶軟件讀取接收方的目錄密鑰����,并訪問(wèn)接收方的專有文件包的專有目錄;3.將終止目期與硬件設(shè)備的內(nèi)部時(shí)鐘比較�,如果內(nèi)部時(shí)鐘顯示出終止目期已過(guò)去,則文件已經(jīng)期滿���,不再允許查看���;4.如果文件沒(méi)有期滿,則接收方能查看文件���。
當(dāng)接收方希望打印文件時(shí),執(zhí)行以下操作步驟1.接收方使用他們的用戶名和口令注冊(cè)到客戶軟件��,并由硬件設(shè)備鑒別;2.鑒別成功后��,客戶軟件從硬件設(shè)備中讀取接收方的目錄密鑰�,并訪問(wèn)接收方的專有文件包的專有目錄;3客戶軟件將一個(gè)未使用過(guò)的許可證發(fā)送給硬件設(shè)備用于解密���;
4硬件設(shè)備根據(jù)索引從接收方的DAR存儲(chǔ)器讀取密鑰����,并給會(huì)話密鑰1和獨(dú)特封印解密�;5文件或其散列信息、共用封印�、時(shí)間標(biāo)志、終止目期被發(fā)送給該設(shè)備用于解密�。將終止目期與該設(shè)備中的時(shí)鐘比較,如果內(nèi)部時(shí)鐘顯示出終止目期已過(guò)����,則文件已經(jīng)逾期,不再允許打?。蝗绻O(shè)備上的硬件有故障�����,用戶應(yīng)該通知硬件發(fā)放者來(lái)解決問(wèn)題;6客戶軟件利用上述步驟(5)的解密文件散列信息驗(yàn)證文件的完整性����,并將文件發(fā)送到打印機(jī),或?qū)⒔饷芪募l(fā)送到打印機(jī)����;7客戶軟件與打印機(jī)通信,監(jiān)視打印狀態(tài)����,將具有正確的封印的文件打印出來(lái);8在每打印一份副本后���,就進(jìn)行核查跟蹤信息���,并由具有接收方ID密鑰的硬件設(shè)備內(nèi)的程序簽名,保證認(rèn)可每個(gè)打印副本�;9將核查跟蹤信息儲(chǔ)存在硬件中,并定期裝載到服務(wù)器����。在預(yù)定時(shí)期內(nèi)��,服務(wù)器保持核查跟蹤�����。在預(yù)定時(shí)期結(jié)束后,就從服務(wù)器刪除�����。
方案2參考圖9���,當(dāng)硬件設(shè)備中的DAR存儲(chǔ)器制造出來(lái)時(shí)是空的(記為零)����。所有必要密鑰的副本也儲(chǔ)存在可信服務(wù)器中�����。所有發(fā)送方和接收方以及他們的硬件設(shè)備��,必須在它們能進(jìn)行保密打印過(guò)程之前�,利可信服務(wù)器用注冊(cè)。
接收方的注冊(cè)過(guò)程與方案1介紹的一樣�����,包括1.發(fā)送方使用他們的用戶ID和口令通過(guò)保密鏈路(如SSL)連接到可信服務(wù)器;2.鑒別成功后���,發(fā)送方準(zhǔn)備他們的文件a)使用會(huì)話密鑰1給文件或它的散列信息結(jié)果����、共用封印����、用于發(fā)送的時(shí)間標(biāo)志以及文件的終止目期加密;b)為文件主體��、終止目期和步驟a)的結(jié)果計(jì)算散列信息結(jié)果����,然后這三部分用會(huì)話密鑰2加密;c)然后將步驟b)的結(jié)果���、接收方的ID����、會(huì)話密鑰1����、用于加密的會(huì)話密鑰2���、關(guān)于接收方打印M份副本的許可證數(shù)量以及M個(gè)獨(dú)特封印發(fā)送給服務(wù)器。M可能是0�����,表示只能查看����;3.服務(wù)器核對(duì)接收方信息���,然后產(chǎn)生一個(gè)許可證和許可證安裝程序���,如圖11所示;
4.許可證包含會(huì)話密鑰1和M個(gè)獨(dú)特封印�,該M個(gè)獨(dú)特封印用服務(wù)器隨機(jī)地產(chǎn)生的M個(gè)許可證密鑰密鑰1-密鑰M進(jìn)行加密;5.許可證安裝程序包含一個(gè)用于文件的獨(dú)特ID�����,也包含一個(gè)時(shí)間標(biāo)志(此時(shí)�����,產(chǎn)生許可證安裝程序)和終止目期,該許可證安裝程序是由接收方ID密鑰加密的�����;6.也計(jì)算許可證和許可證安裝程序的散列信息��,以核對(duì)其完整性���;7.然后服務(wù)器產(chǎn)生一個(gè)文件包���,如圖10所示,該包包括發(fā)送方準(zhǔn)備好的文件包(上面步驟2中(b)的結(jié)果)�����、用接收方ID密鑰加密的會(huì)話密鑰2以及許可證�、許可證安裝程序。如果發(fā)送方不允許接收方打印文件�,許可證和許可證安裝程序的域(field)將是空的;8.服務(wù)器通知接收方�,告訴他們?cè)撐募傻玫揭员闶占?br>
不管接收到還是沒(méi)有接收到任何類似的通知,接收方都能連接到服務(wù)器���,核對(duì)是不是有給他們的文件和/或數(shù)據(jù)�����。接收方查看并打印文件的操作程序如下1.接收方利用他們的用戶名和口令��,通過(guò)保密鏈路(如SSL)連接到可信服務(wù)器�����;2.服務(wù)器通過(guò)發(fā)送詢問(wèn)響應(yīng)系列驗(yàn)證用戶a)服務(wù)器驗(yàn)證用戶名��,然后從數(shù)據(jù)庫(kù)檢索用戶ID密鑰��;b)服務(wù)器產(chǎn)生隨機(jī)號(hào)��,利用用戶ID密鑰對(duì)隨機(jī)號(hào)加密��,并發(fā)送給接收方�����。
c)將接收方的口令發(fā)送給接收方的硬件設(shè)備�����,以訪問(wèn)他們的ID密鑰��;d)接收方的硬件設(shè)備使用ID密鑰將已加密的隨機(jī)號(hào)解密���;e)將隨機(jī)號(hào)向回發(fā)送服務(wù)器�;f)服務(wù)器通過(guò)驗(yàn)證隨機(jī)號(hào)來(lái)鑒別用戶����;3.鑒別成功后,客戶軟件接收方從服務(wù)器下載文件和/或數(shù)據(jù)��;4.接收到文件和/或數(shù)據(jù)后��,接收方可斷開(kāi)服務(wù)器����,或保持在線狀態(tài);5.客戶軟件將許可證安裝程序發(fā)送給接收方硬件設(shè)備�����,以實(shí)現(xiàn)安裝��;6.硬件設(shè)備使用接收方ID密鑰將許可證安裝程序解密��,并通過(guò)驗(yàn)證散列信息域而核對(duì)許可證安裝程序的完整性。如果驗(yàn)證失敗���,則接收方通知服務(wù)器解決問(wèn)題���;7.該設(shè)備利用保存的ID列表,核對(duì)文件ID����;8.如果沒(méi)發(fā)現(xiàn)ID,就依靠設(shè)備中的時(shí)鐘核對(duì)時(shí)間標(biāo)志和終止目期�����;
9.如果所有核對(duì)操作程序完成得都很成功�����,則許可證密鑰就被安裝在接收方DIR存儲(chǔ)器中���,并且將ID儲(chǔ)存在保密存儲(chǔ)器的ID列表中;10.客戶軟件將加密會(huì)話密鑰2發(fā)送到該硬件設(shè)備用于解密���。該硬件設(shè)備將會(huì)話密鑰2解密��,并將其返回客戶軟件���,該客戶軟件給文件包解密�����,并核對(duì)文件包中的散列信息域���。如果核對(duì)失敗,接收方通知服務(wù)器這個(gè)決定����,此時(shí),加密文件或它的散列信息����、共用封印、時(shí)間標(biāo)志和終止目期都沒(méi)有解密����;11.然后文件包重新加密并儲(chǔ)存在接收方的使用目錄密鑰的專有目錄中。
查看文件的操作程序如下1.接收方使用他們的用戶名和口令注冊(cè)到客戶軟件����,并由硬件設(shè)備鑒別��;2.鑒別成功后�����,客戶軟件讀取接收方的目錄密鑰�,并訪問(wèn)接收方的有文件包的專有目錄�����;3.結(jié)束時(shí)間與硬件設(shè)備的內(nèi)部時(shí)鐘比較�����,如果內(nèi)部時(shí)鐘顯示出結(jié)束時(shí)間已過(guò)去�����,則文件已經(jīng)結(jié)束�����,不再允許訪問(wèn)�;4.如果文件沒(méi)有結(jié)束,則接收方能訪問(wèn)文件��。
打印文件的步驟如下1.接收方使用他們的用戶名和口令注冊(cè)客戶軟件���,并由硬件設(shè)備鑒別����;2.鑒別成功后���,客戶軟件讀取接收方的目錄密鑰����,并訪問(wèn)接收方的有文件包的專有目錄�����;3.客戶軟件將未使用的許可證發(fā)送給用該硬件設(shè)備用于解密�;4.硬件設(shè)備根據(jù)索引從接收方的DAR存儲(chǔ)器讀取密鑰,并將會(huì)話密鑰1和獨(dú)特封印解密��;5.將文件或其散列信息��、共用封印�����、時(shí)間標(biāo)志、終止目期發(fā)送給該設(shè)備用于解密�。將終止目期與該設(shè)備中的時(shí)鐘比較,如果內(nèi)部時(shí)鐘顯示出終止目期已過(guò)���,則文件已經(jīng)逾期�,不再允許打?。蝗绻O(shè)備上的硬件有故障��,用戶應(yīng)該要求硬件發(fā)放者來(lái)解決問(wèn)題�����;6.客戶軟件利用上述步驟(5)的解密文件散列信息驗(yàn)證文件的完整性���,并將文件發(fā)送到打印機(jī)���,或?qū)⒔饷芪募l(fā)送到打印機(jī);7.客戶軟件與打印機(jī)通信�,監(jiān)視打印狀態(tài),將具有正確的封印的文件打印出來(lái)����;8.在每打印一份副本后,就進(jìn)行核查跟蹤信息��,并利用接收方ID密鑰由硬件設(shè)備內(nèi)的程序簽名��,其保證認(rèn)可打印副本��;
9.硬件設(shè)備定期核對(duì)ID列表�����,以除去過(guò)期的ID�����;10.將核查跟蹤信息儲(chǔ)存在硬件中�����,并定期裝載到服務(wù)器�。在預(yù)定時(shí)期內(nèi),服務(wù)器保持核查跟蹤����。在預(yù)定時(shí)期結(jié)束后�����,就從服務(wù)器刪除����。
如果硬件設(shè)備的CPU設(shè)有足夠能力執(zhí)行所有的加密/解密操作���,或接口速度不足以滿足打印要求��,則硬件設(shè)備在打印過(guò)程中用作保密儲(chǔ)存裝置�,如圖12所示��。該硬件設(shè)備包括1.保密存儲(chǔ)器(1201)��,用來(lái)儲(chǔ)存重要信息�����。當(dāng)輸入用戶口令并得以證實(shí)時(shí)便可訪問(wèn)該存儲(chǔ)器�。用戶ID密鑰和/或系列號(hào)被儲(chǔ)存在該存儲(chǔ)器中,系列號(hào)最好由硬件廠商保證是唯一的���。當(dāng)使用數(shù)字證明時(shí)��,用戶的專有密鑰可被儲(chǔ)存在硬件設(shè)備中���;2.接口(1202),負(fù)責(zé)在硬件設(shè)備和主機(jī)之間建立通信���,也將數(shù)據(jù)流加密��,以防止線路分接攻擊��;3.一個(gè)可選硬件時(shí)鐘���,具有備用電池(1203),當(dāng)需要一定時(shí)間高度機(jī)密操作時(shí)�����,提供一個(gè)時(shí)基��。
由于在先前的方案中����,硬件設(shè)備并不是強(qiáng)功效的,所以���,許可密鑰安裝和管理過(guò)程可由客戶方的軟件實(shí)現(xiàn)��,并可由接口的防線路分接攻擊功能予以保護(hù)�。
硬件設(shè)備可通過(guò)該機(jī)器的USB端口、串行端口或并行端口連接到客戶機(jī)上��。許多現(xiàn)成的保密設(shè)備如智能卡���、USB密鑰�����、或并行端口硬件鎖(dongle)�����,可用做硬件設(shè)備�。每個(gè)用戶都有他們自己的硬件設(shè)備����,當(dāng)需要時(shí)可連接到用戶機(jī)器,并在使用后從用戶機(jī)上拆卸下來(lái)���。
服務(wù)器處于可信地位��,可在作為發(fā)送方中心模式的發(fā)送方�。也可作為獨(dú)立的可信方。服務(wù)器的管理者負(fù)責(zé)發(fā)送硬件設(shè)備給用戶���,以及負(fù)責(zé)管理用于硬件設(shè)備的密鑰���。
硬件設(shè)備控制打印過(guò)程���,方案如下方案1該方案使用了對(duì)稱加密技術(shù)�����,例如���,3DES,AES����,Blowrish等等。它包括發(fā)送方�、接收方、打印設(shè)備和可信服務(wù)器���,如圖13所示���。
在接收方的硬件設(shè)備中的保密存儲(chǔ)器中具有一組自由密鑰(密鑰1�����,...密鑰N���,T密鑰),這些密鑰是許可證密鑰�����,并被用于給獨(dú)特的封印加密���。這些T密鑰(添加密鑰)被用在添加過(guò)程中����。所有這些密鑰的副本也保存在可信服務(wù)器中���。發(fā)送方和接收方�,還有它們的硬件設(shè)備也都必須在利用保密打印過(guò)程之前利用可信服務(wù)器注冊(cè)。
接收方的注冊(cè)過(guò)程比上述注冊(cè)過(guò)程要容易�,包括1.接收方通過(guò)提供他們的信息,如用戶名�、電子郵件,請(qǐng)求在服務(wù)器注冊(cè)���;2.服務(wù)器系統(tǒng)為接收方定制硬件設(shè)備���,其保密存儲(chǔ)器中具有獨(dú)特的ID密鑰、一系列許可證密鑰和添加密鑰����。然后將這些密鑰的副本記錄在服務(wù)器的數(shù)據(jù)庫(kù)中����。并將初始口令指定給設(shè)備;3.將設(shè)備和初始口令分別發(fā)送給接收方��,并且如果先前沒(méi)有安裝客戶軟件的話����,還將客戶軟件安裝在接收方的機(jī)器上;4.接收方通過(guò)輸入他們的用戶名和初始口令注冊(cè)到客戶軟件�;5.將初始口令發(fā)送到該硬件設(shè)備用于驗(yàn)證,如果口令正確,則提示接收方改變他們的口令���;6.用新口令取代原始口令�����;7.客戶軟件為用戶準(zhǔn)備一個(gè)專有目錄����,并將該目錄的密鑰(稱做目錄密鑰)存儲(chǔ)到硬件設(shè)備的保密存儲(chǔ)器里���。
許可證密鑰添加過(guò)程當(dāng)設(shè)備隨機(jī)密鑰全部使用���,或當(dāng)對(duì)于新任務(wù)的許可證不足時(shí),將有需要添加他們的隨機(jī)密鑰�����,步驟如下1.當(dāng)服務(wù)器接收到發(fā)送方的請(qǐng)求���,為一個(gè)文件發(fā)送M個(gè)許可證密鑰給接收方���,服務(wù)器會(huì)核對(duì)接收方的許可證密鑰的使用情況�����,如需要時(shí)����,服務(wù)器會(huì)啟動(dòng)添加過(guò)程���;或者2.接收方請(qǐng)求添加他們的許可證密鑰��,如接收方不具有足夠的密鑰��,所有的接收方密鑰都己使用����,或接收方需要打印更多的副本�;3.然后�����,服務(wù)器處理該請(qǐng)求��。如果批準(zhǔn)的話�����,服務(wù)器就產(chǎn)生一組新的密鑰密鑰1′-密鑰X′,和一個(gè)新的添加密鑰(T密鑰′)��;4.該組新的密鑰用接收方的T密鑰′加密�����;5.為該組新的密鑰計(jì)算散列信息��,并利用接收方的ID密鑰將其與加密的新密鑰集加密�����,以形成添加密鑰集���;6.添加密鑰集與文件包一起或單獨(dú)地發(fā)送給接收方�;7.在接收方檢索文件包后�,接收方將添加密鑰集發(fā)送給硬件設(shè)備;
8.該設(shè)備用ID密鑰給文件包解密�����,并為核對(duì)完整性而計(jì)算數(shù)據(jù)的散列信息�;9.如果有錯(cuò)誤��,該設(shè)備則從保密存儲(chǔ)器讀取T密鑰以解密該密鑰集�;10.然后硬件設(shè)備更新保密存儲(chǔ)器中的密鑰集��。新的密鑰集將不改寫(xiě)未使用的密鑰���,由于它的索引號(hào)從先前最后的密鑰是連續(xù)的�����;11.在保密存儲(chǔ)器中的添加密鑰(T密鑰)由新添加密鑰T密鑰′來(lái)取代�。
發(fā)送方將文件發(fā)送給接收方1.發(fā)送方利用他們的用戶ID和口令通過(guò)保密鏈路(如SSL)連接到可信服務(wù)器�;2.鑒別成功后,發(fā)送方準(zhǔn)備他們的文件a)使用會(huì)話密鑰1將文件或它的散列信息結(jié)果��、共用封印����、用來(lái)發(fā)送的時(shí)間標(biāo)志以及文件的終止目期加密;b)為文件主體����、終止目期和步驟a)的結(jié)果計(jì)算散列信息結(jié)果����,然后將這三部分用會(huì)話密鑰2加密��;c)然后將步驟b)的結(jié)果��、接收方的ID����、會(huì)話密鑰1�����、用于加密的會(huì)話密鑰2�、關(guān)于接收方打印M份文件的許可證數(shù)量(如M)以及M個(gè)獨(dú)特封印發(fā)送給服務(wù)器。M可能是0��,表示只能查看�;3.服務(wù)器核對(duì)接收方信息,然后隨機(jī)地或從接收方密鑰集中順序地選擇M個(gè)許可證密鑰(密鑰1-密鑰M)����;4.M個(gè)獨(dú)特封印和會(huì)話密鑰1各用密鑰1-密鑰M加密,形成M個(gè)許可證���。計(jì)算每個(gè)許可證的散列信息域以對(duì)每個(gè)許可證核對(duì)完整性��;5.然后服務(wù)器產(chǎn)生一個(gè)文件包(圖14)�����,該包包括發(fā)送方準(zhǔn)備好的文件包(上面步驟2中(b)的結(jié)果)��,用接收方ID密鑰加密的會(huì)話密鑰2以及許可證�。如果發(fā)送方不允許接收方打印文件,關(guān)于許可證的域和添加密鑰集將是空的��。如果接收方的許可證密鑰不夠時(shí)�����,預(yù)備添加密鑰集��;6.服務(wù)器通知接收方���,告訴他們準(zhǔn)備收集文件包��。
接收方不管是否接到通知�,都能連接到服務(wù)器�,來(lái)核對(duì)是不是有給他們的數(shù)據(jù)。接收方查看并打印文件的操作程序如下1.接收方利用他們的用戶名和口令,通過(guò)保密鏈路(如SSL)連接到可信服務(wù)器���;2.服務(wù)器通過(guò)發(fā)送詢問(wèn)響應(yīng)系列驗(yàn)證用戶
a)服務(wù)器驗(yàn)證用戶名,然后從數(shù)據(jù)庫(kù)檢索用戶ID密鑰����;b)服務(wù)器選擇或產(chǎn)生隨機(jī)號(hào),利用用戶ID密鑰加密所述隨機(jī)號(hào)����,并將其發(fā)送給接收方。
c)將接收方的口令發(fā)送給硬件設(shè)備�,以訪問(wèn)用戶的ID密鑰;d)硬件設(shè)備使用ID密鑰將已加密的隨機(jī)號(hào)解密���;e)將隨機(jī)號(hào)向回發(fā)送給服務(wù)器�����;f)服務(wù)器通過(guò)驗(yàn)證隨機(jī)號(hào)來(lái)鑒別用戶�����;3.鑒別成功后��,客戶軟件從服務(wù)器為接收方下載數(shù)據(jù)����;4.接收到數(shù)據(jù)后,接收方可與服務(wù)器斷開(kāi)�����,或保持在線狀態(tài)��;5.客戶軟件核對(duì)是否有添加密鑰集�。如果有,則為了添加許可證密鑰���,首先將添加密鑰集發(fā)送到設(shè)備�����;6.客戶軟件將加密后的會(huì)話密鑰2發(fā)送到用該硬件設(shè)備用于解密���。解密的會(huì)話密鑰2并從該硬件設(shè)備返回,該客戶軟件給文件包解密���,并核對(duì)文件包中的散列信息域��。如果核對(duì)失敗��,接收方通知服務(wù)器解決這個(gè)問(wèn)題����,此時(shí)�����,被加密的文件或它的散列信息��、共用封印��、時(shí)間標(biāo)志和終止目期都沒(méi)有解密��;然后使用目錄密鑰將文件包儲(chǔ)存在接收方的專有目錄中���。
為接收方查看文件���,執(zhí)行以下操作程序1.接收方使用他們的用戶名和口令注冊(cè)到客戶軟件,并由硬件設(shè)備鑒別��;2.鑒別成功后�����,客戶軟件讀取接收方的目錄密鑰,并訪問(wèn)接收方的有文件包的專有目錄��;3.終止目期與硬件設(shè)備的內(nèi)部時(shí)鐘比較���,如果內(nèi)部時(shí)鐘顯示出終止目期已過(guò)去���,則文件已經(jīng)結(jié)束,不再允許訪問(wèn)���;4.如果文件沒(méi)有結(jié)束��,則接收方能訪問(wèn)文件��。
當(dāng)接收方打印文件時(shí)��,執(zhí)行以下步驟1.接收方使用他們的用戶名和口令注冊(cè)客戶軟件���,并由硬件設(shè)備鑒別;2.鑒別成功后���,客戶軟件從硬件設(shè)備中讀取接收方的目錄密鑰��,并訪問(wèn)接收方的關(guān)于文件包的專有目錄���;3.客戶軟件選擇打印許可證��,如果不能獲得許可證���,則不允許打印��;4.硬件設(shè)備從保密存儲(chǔ)器讀取許可證密鑰��,給會(huì)話密鑰1和獨(dú)特封印解密����,并刪除已使用過(guò)的許可證密鑰����;
5.用會(huì)話密鑰1將文件或其散列信息、共用封印���、時(shí)間標(biāo)志��、終止目期解密�����。將終止目期與該設(shè)備中的時(shí)鐘比較�����,如果內(nèi)部時(shí)鐘顯示出終止目期已過(guò)�����,則文件已經(jīng)逾期��,不再允許打?���。蝗绻O(shè)備上的硬件有故障��,用戶應(yīng)該通知硬件發(fā)放者來(lái)解決問(wèn)題����;6.客戶軟件利用上述步驟(5)的解密文件散列信息驗(yàn)證文件的完整性,并將文件發(fā)送到打印機(jī)����,或?qū)⒔饷芪募l(fā)送到打印機(jī)����;7.客戶軟件與打印機(jī)通信��,監(jiān)視打印狀態(tài)�,將具有正確的封印的文件打印出來(lái);8.在每打印一份副本后���,就進(jìn)行核查跟蹤信息�����,并利用具有接收方ID密鑰簽名����,以保證認(rèn)可打印的副本���;9.核查跟蹤信息儲(chǔ)存在硬件中,并定期裝載到服務(wù)器�。在預(yù)定時(shí)期內(nèi),服務(wù)器保持核查跟蹤����。在預(yù)定時(shí)期結(jié)束時(shí)�,就將核查跟蹤信息刪除��。
方案2如圖17所示���,當(dāng)硬件設(shè)備中的保密存儲(chǔ)器制造出來(lái)時(shí)是空的(記為零)�����。所有發(fā)送方和接收方以及他們的硬件設(shè)備���,必須在利用本發(fā)明的保密打印過(guò)程之前,一起利用可信服務(wù)器注冊(cè)���。
接收方的注冊(cè)過(guò)程比上述注冊(cè)過(guò)程要容易���,包括1.接收方通過(guò)提供他們的信息,如用戶名����、電子郵件地址,請(qǐng)求在服務(wù)器注冊(cè)���;2.服務(wù)器系統(tǒng)為接收方定制硬件設(shè)備��,其存儲(chǔ)器中具有獨(dú)特的ID密鑰�。然后將ID密鑰的副本記錄在服務(wù)器的數(shù)據(jù)庫(kù)中,并為硬件設(shè)備指定初始口令��;3.將硬件設(shè)備和初始口令分別發(fā)送給接收方�,并且將客戶軟件安裝在接收方的機(jī)器上;4.接收方通過(guò)輸入他們的用戶名和初始口令注冊(cè)到客戶軟件�����;5.將初始口令發(fā)送到硬件設(shè)備用于驗(yàn)證��,如果口令正確���,則提示接收方改變他們的口令�;6.用新口令取代原始口令����;7.客戶軟件為用戶準(zhǔn)備一個(gè)專有目錄�����,并將該目錄的密鑰(稱做目錄密鑰)存儲(chǔ)到硬件設(shè)備的保密存儲(chǔ)器中�����。
用戶發(fā)送文件的操作程序如下
1.發(fā)送方使用他們的用戶ID和口令通過(guò)保密鏈路(如SSL)連接到可信服務(wù)器;2.鑒別成功后���,發(fā)送方準(zhǔn)備他們的文件a)使用會(huì)話密鑰1將文件或它的散列信息結(jié)果�����、共用封印��、用于發(fā)送的時(shí)間標(biāo)志以及文件的終止目期加密�����;b)為文件主體��、終止目期和步驟a)的結(jié)果計(jì)算散列信息結(jié)果���,然后將這三部分用會(huì)話密鑰2加密;c)然后將步驟b)的結(jié)果�����、接收方的ID、會(huì)話密鑰1����、用于加密的會(huì)話密鑰2、關(guān)于接收方打印M份文件副本的許可證數(shù)量(如M)以及M個(gè)獨(dú)特封印發(fā)送給服務(wù)器��。M可能是0��,表示只能查看�;3.服務(wù)器核對(duì)接收方信息,然后產(chǎn)生一個(gè)許可證和許可證安裝程序�����,如圖19所示��;4.許可證包含會(huì)話密鑰1和M個(gè)獨(dú)特封印���,該M個(gè)獨(dú)特封印用M個(gè)服務(wù)器隨機(jī)地產(chǎn)生的許可證密鑰密鑰1-密鑰M加密��;5.許可證安裝程序包含一個(gè)用于文件的獨(dú)特ID��,也包含一個(gè)時(shí)間標(biāo)志(此時(shí)���,產(chǎn)生許可證安裝程序)和終止目期,該許可證安裝程序利用接收方ID密鑰加密��;6.計(jì)算許可證和許可證安裝程序的散列信息��,以核對(duì)其完整性�;7.然后服務(wù)器產(chǎn)生一個(gè)文件包,如圖18所示���,該包包括發(fā)送方準(zhǔn)備好的文件包(上面步驟2中(b)的結(jié)果)���,用接收方ID密鑰加密的會(huì)話密鑰2以及許可證、許可證安裝程序��。如果發(fā)送方不允許接收方打印文件����,許可證和許可證安裝程序的域?qū)⑹强盏模?.服務(wù)器通知接收方,告訴他們準(zhǔn)備收集文件包�����。
不管接收到還是沒(méi)有接收到任何這樣的通知����,接收方都能連接到服務(wù)器���,核對(duì)是不是有給他們的文件。接收方查看并打印文件的操作程序如下1.接收方利用他們的用戶名和口令�,通過(guò)保密鏈路(如SSL)連接到可信服務(wù)器;2.服務(wù)器通過(guò)發(fā)送詢問(wèn)響應(yīng)系列驗(yàn)證用戶a)服務(wù)器驗(yàn)證用戶名��,然后從數(shù)據(jù)庫(kù)檢索用戶ID密鑰�����;b)服務(wù)器選擇或產(chǎn)生隨機(jī)號(hào)����,利用用戶ID密鑰加密所述隨機(jī)號(hào),并將其發(fā)送給接收方����。
c)將接收方的口令發(fā)送給硬件設(shè)備,以訪問(wèn)他們的ID密鑰��;d)硬件設(shè)備使用ID密鑰將已加密的隨機(jī)號(hào)解密���;e)將隨機(jī)號(hào)向回發(fā)送到服務(wù)器�����;f)服務(wù)器通過(guò)驗(yàn)證隨機(jī)號(hào)來(lái)鑒別用戶�;3.鑒別成功后����,接收方為他們從服務(wù)器下載數(shù)據(jù);4.接收到數(shù)據(jù)后��,接收方可與服務(wù)器斷開(kāi)���,或保持在線狀態(tài)��;5.客戶軟件將許可證安裝程序發(fā)送給接收方硬件設(shè)備�,以實(shí)現(xiàn)安裝��;6.硬件設(shè)備使用接收方ID密鑰將許可證安裝程序解密�,并通過(guò)驗(yàn)證散列信息域而核對(duì)許可證安裝程序的完整性。如果驗(yàn)證失敗���,則接收方通知服務(wù)器解決問(wèn)題�����;7.該硬件設(shè)備利用硬件設(shè)備中保存的ID列表���,核對(duì)文件ID�;如果沒(méi)發(fā)現(xiàn)ID�����,就依靠在設(shè)備中的時(shí)鐘核對(duì)時(shí)間標(biāo)志和終止目期���;8.如果所有核對(duì)過(guò)程完成得都很成功��,則許可證密鑰就被安裝在保密存儲(chǔ)器中��,并且ID被儲(chǔ)存在保密存儲(chǔ)器的ID列表中�;9.客戶軟件將加密會(huì)話密鑰2發(fā)送到用該硬件設(shè)備用于解密��。該硬件設(shè)備將會(huì)話密鑰2解密���,并返回客戶軟件����,該客戶軟件給文件包解密�,并核對(duì)文件包中的散列信息域。如果核對(duì)失敗�,接收方通知服務(wù)器解決問(wèn)題���,此時(shí),被加密的文件或它的散列信息�、共用封印、時(shí)間標(biāo)志和終止目期都沒(méi)有解密����;10.然后使用目錄密鑰����,將文件包重新加密并儲(chǔ)存在接收方的專有目錄中。
接收方查看文件的操作程序如下1.接收方使用他們的用戶名和口令注冊(cè)到客戶軟件���,并由硬件設(shè)備鑒別����;2.鑒別成功后�����,客戶軟件讀取接收方的目錄密鑰�,并訪問(wèn)接收方的文件包的專有目錄;3.將終止目期與硬件設(shè)備的內(nèi)部時(shí)鐘比較���,如果內(nèi)部時(shí)鐘顯示出終止目期已過(guò)�����,則文件已經(jīng)逾期����,不再允許訪問(wèn);4.如果文件沒(méi)有逾期��,則接收方能查看文件���。
接收方打印文件的步驟如下1.接收方使用他們的用戶名和口令注冊(cè)到客戶軟件�,并由硬件設(shè)備鑒別����;
2.鑒別成功后,客戶軟件讀取接收方的目錄密鑰����,并訪問(wèn)接收方的文件包的專有目錄;3.客戶軟件選擇未使用的許可證��,如果不能獲得打印許可證,就不允許打?��?��;4.如果能獲得未使用過(guò)的打印許可證,客戶軟件就將許可證發(fā)送給用該硬件設(shè)備用于解密�。該設(shè)備從保密存儲(chǔ)器讀取許可證密鑰,并將會(huì)話密鑰1和獨(dú)特封印解密����;5.將文件或其散列信息����、共用封印、時(shí)間標(biāo)志�、終止目期發(fā)送給用該硬件設(shè)備用于解密。將終止目期與該設(shè)備中的時(shí)鐘比較�,如果內(nèi)部時(shí)鐘顯示出終止目期已過(guò),則文件已經(jīng)逾期�,不再允許打印�����;如果設(shè)備上的硬件有故障����,用戶應(yīng)該通知硬件發(fā)放者來(lái)解決問(wèn)題����;6.設(shè)備刪除已使用過(guò)的許可證密鑰�;7.客戶軟件利用上述步驟(5)的已解密文件散列信息驗(yàn)證文件的完整性,并將文件發(fā)送到打印機(jī)����,或?qū)⒔饷芪募l(fā)送到打印機(jī);8.客戶軟件與打印機(jī)通信�����,監(jiān)視打印狀態(tài)���,將具有正確的封印的文件打印出來(lái)����;9.在每打印一份副本后���,進(jìn)行核查跟蹤信息�����,并利用接收方ID密鑰簽名����,以保證認(rèn)可打印的副本;10客戶軟件定期核對(duì)設(shè)備內(nèi)的ID列表�����,以除去過(guò)期的ID�;11.將核查跟蹤信息儲(chǔ)存在硬件設(shè)備中,并定期下載到服務(wù)器���。在預(yù)定時(shí)期內(nèi)�,服務(wù)器保持核查跟蹤信息�����。在預(yù)定時(shí)期結(jié)束后����,就將核查跟蹤信息刪除����。
脫機(jī)打印控制-軟件方案在這種情形下��,不需要附加的硬件來(lái)控制打印����。相反���,每個(gè)接收方安裝有軟件代理程序(agent)�,如圖20所示�����。
軟件代理程序最好用各種技術(shù)例如防修改��、防調(diào)試(debug)技術(shù)等等來(lái)得以保護(hù)���,一系列密鑰都被儲(chǔ)存在密鑰數(shù)據(jù)庫(kù)(如圖20)中�����,該系列密鑰用于具有獨(dú)特文件ID和獨(dú)特ID密鑰的不同打印許可證�����,該數(shù)據(jù)庫(kù)是一個(gè)位于客戶當(dāng)?shù)赜脖P(pán)上的文件���。這些密鑰由具有寫(xiě)密碼功能的軟件代理程序內(nèi)部使用�����。軟件代理程序還為每個(gè)用戶保留一個(gè)專有目錄���,該目錄受到用戶ID密鑰的保護(hù)。當(dāng)使用數(shù)字證明時(shí)����,用戶ID密鑰可以是用戶的專有密鑰。
密鑰數(shù)據(jù)庫(kù)文件用保密密鑰加密�。軟件代理程序?qū)⒈C苊荑€儲(chǔ)存在保密儲(chǔ)存器中。例如�����,可將密鑰分配在硬盤(pán)的各個(gè)位置���,這就使密鑰數(shù)值的再生容易成功,對(duì)軟件代理程序的相反操縱十分困難��。
在幾個(gè)條件下,不兼容的磁盤(pán)可能偶然毀壞保密存儲(chǔ)器��。引入挽救機(jī)理來(lái)解決這個(gè)問(wèn)題�����。在用戶利用服務(wù)器注冊(cè)時(shí)���,服務(wù)器將產(chǎn)生一個(gè)挽救密鑰對(duì)�。密鑰對(duì)的公用密鑰部分將安裝在接收方的機(jī)器上�����,同時(shí)����,專有挽救密鑰將保持在服務(wù)器數(shù)據(jù)庫(kù)中。軟件代理程序?qū)⒈A舯C苊荑€的副本��,該保密密鑰用挽救公用密鑰加密��,如挽救文件(圖21)�����。如果保密密鑰丟失,軟件代理將與服務(wù)器通信��,通過(guò)使用挽救文件來(lái)使保密密鑰再生�����。
基于軟件的脫機(jī)打印控制的工作情況與基于硬件的控制方案2一樣��,如上所述�����。
發(fā)送操作程序如下1.發(fā)送方使用他們的用戶ID和口令通過(guò)保密鏈路(如SSL)連接到可信服務(wù)器�;2.鑒別成功后,發(fā)送方準(zhǔn)備他們的文件a)使用會(huì)話密鑰1將文件或其散列信息���、共用封印���、用于發(fā)送的時(shí)間標(biāo)志以及文件的終止目期加密;b)為文件主體��、終止目期和步驟a)的結(jié)果計(jì)算散列信息結(jié)果��,然后將這三部分用會(huì)話密鑰2加密�����;c)然后將步驟b)的結(jié)果���、接收方的ID�����、會(huì)話密鑰1�、用干加密的會(huì)話密鑰2����、關(guān)于接收方打印M份副本的許可證數(shù)量(如M)以及M個(gè)獨(dú)特封印發(fā)送給服務(wù)器。M可能是0����,表示只能查看;3.服務(wù)器核對(duì)接收方信息�����,然后產(chǎn)生一個(gè)許可證和許可證安裝程序�,如圖23所示;4.許可證包含會(huì)話密鑰1和M個(gè)獨(dú)特封印���,該M個(gè)獨(dú)特封印用服務(wù)器隨機(jī)地產(chǎn)生的M個(gè)許可證密鑰密鑰1-密鑰M加密�����;5.許可證安裝程序包含一個(gè)用于文件的獨(dú)特ID����,也包含一個(gè)時(shí)間標(biāo)志(此時(shí),產(chǎn)生許可證安裝程序)和終止目期�,該許可證安裝程序是利用接收方ID密鑰加密的;6.計(jì)算許可證和許可證安裝程序的散列信息��,以核對(duì)其完整性��;
7.然后服務(wù)器產(chǎn)生一個(gè)文件包�����,如圖24所示�,該包包括發(fā)送方準(zhǔn)備好的文件包(上面步驟2中(b)的結(jié)果),用接收方ID密鑰加密的會(huì)話密鑰2以及許可證�����、許可證安裝程序。如果發(fā)送方不允許接收方打印文件���,許可證和許可證安裝程序的域?qū)⑹强盏模?服務(wù)器通知接收方準(zhǔn)備收集文件包����。
不管接收到還是沒(méi)有接收到任何這樣的通知�,接收方都可連接到服務(wù)器��,核對(duì)是不是有給他們的文件和/或數(shù)據(jù)�。接收方查看并打印文件的操作程序如下1.接收方利用他們的用戶名和口令,通過(guò)保密鏈路(如SSL)連接到可信服務(wù)器����,并由軟件代理程序鑒別;2.鑒別成功后����,接收方從服務(wù)器為自己下載數(shù)據(jù);3.接收到數(shù)據(jù)后�����,接收方可與服務(wù)器斷開(kāi)��,或保持在線狀態(tài);4.客戶軟件將許可證安裝程序發(fā)送給軟件代理程序��;5.軟件代理使用ID密鑰將許可證安裝程序解密�,并核對(duì)其完整性。如果完整性驗(yàn)證失敗�,則接收方通知服務(wù)器解決問(wèn)題;6.該設(shè)備利用保存在密鑰數(shù)據(jù)庫(kù)中的ID列表�����,核對(duì)文件ID�����;7.如果不匹配�����,依靠設(shè)備中的時(shí)鐘核對(duì)時(shí)間標(biāo)志和終止目期�����。如果終止目期已過(guò)���,則不會(huì)安裝許可證�;8.如果成功完成所有核對(duì)過(guò)程,則將許可證密鑰安裝在密鑰數(shù)據(jù)庫(kù)中��,并且將ID儲(chǔ)存在ID列表中�;9.客戶軟件將加密后的會(huì)話密鑰2發(fā)送到軟件代理程序用于解密。該軟件代理程序?qū)?huì)話密鑰2解密�����,并返回客戶軟件���,該客戶軟件將文件包解密,并核對(duì)其完整性��。如果核對(duì)失敗�����,接收方通知服務(wù)器解決這個(gè)問(wèn)題���;否則將文件包儲(chǔ)存在接收方專有目錄中�。
接收方查看文件的操作程序如下1.接收方使用他們的用戶名和口令注冊(cè)到客戶軟件�����,并由軟件代理鑒別;2.鑒別成功后�,軟件代理訪問(wèn)接收方的文件包的專有目錄;3.將終止目期與系統(tǒng)時(shí)鐘比較�,如果系統(tǒng)時(shí)鐘顯示出終止目期已過(guò),則文件已經(jīng)逾期���,不再允許查看�����;4.如果文件沒(méi)有逾期���,則接收方能查看文件。
接收方打印文件的步驟如下1.接收方使用他們的用戶名和口令注冊(cè)到客戶軟件��,并由軟件代理程序鑒別�;2.鑒別成功后,軟件代理程序訪問(wèn)接收方的文件包的專有目錄�;3.客戶軟件選擇未使用的打印許可證,并發(fā)送給軟件代理程序�。如果仍沒(méi)有打印許可,則不允許打?。?.如果有未使用的打印許可�����,軟件代理程序就會(huì)根據(jù)許可證將會(huì)話密鑰1和獨(dú)特封印解密;5.使用會(huì)話密鑰1將文件或其散列信息�、共用封印、時(shí)間標(biāo)志�、終止目期解密。將終止目期與系統(tǒng)時(shí)鐘比較����,如果系統(tǒng)時(shí)鐘顯示出終止目期已過(guò),則文件已經(jīng)逾期�����,不再允許打?����?;6.客戶軟件利用上述步驟(5)的解密文件散列信息驗(yàn)證文件的完整性��,并將文件發(fā)送到打印機(jī)�,或?qū)⒔饷芪募l(fā)送到打印機(jī);7.客戶軟件與打印機(jī)通信���,監(jiān)視打印狀態(tài)����,將具有正確的封印的文件打印�;8.在每打印一份副本后,進(jìn)行核查跟蹤信息�,并利用接收方ID密鑰簽名,以保證認(rèn)可打印的副本����;9.客戶軟件定期核對(duì)密鑰數(shù)據(jù)庫(kù)中的ID列表,以除去過(guò)期的ID���;10.核查跟蹤信息被儲(chǔ)存在密鑰數(shù)據(jù)庫(kù)中�,并定期下載到服務(wù)器��。在預(yù)定時(shí)期內(nèi)�,服務(wù)器保持核查跟蹤信息。在預(yù)定時(shí)期結(jié)束后����,就將核查跟蹤信息刪除。
11.客戶軟件產(chǎn)生一個(gè)新的保密密鑰���,并將密鑰數(shù)據(jù)庫(kù)再加密���;12.客戶軟件通過(guò)用挽救公用密鑰將新保密密鑰加密���,而產(chǎn)生一個(gè)新密鑰挽救文件;在上述討論中�,為方便之見(jiàn),可使用均衡密鑰或公用密鑰�。在任一情況下,可使用均衡密鑰和公用密鑰兩者���。預(yù)定時(shí)期可由用戶�、服務(wù)器或兩者之間的協(xié)議來(lái)設(shè)置���。
除此之外,發(fā)送方和服務(wù)器可能是一個(gè)����。如,發(fā)放管理機(jī)構(gòu)可能是發(fā)送方和服務(wù)器�����,在這種情況下,服務(wù)器執(zhí)行的是兩者的功能�。
正如所看見(jiàn)的一樣,本發(fā)明涉及到鑒別文本的遠(yuǎn)程打印���,該鑒別文本通過(guò)網(wǎng)絡(luò)發(fā)送��。這樣可減少成本���,放慢遞送經(jīng)鑒別的紙件文件的物理傳送。在一定領(lǐng)域中本發(fā)明運(yùn)用時(shí)會(huì)產(chǎn)生相當(dāng)大的優(yōu)點(diǎn)����。一個(gè)是保密打印行業(yè)中,他們都是可信和授權(quán)的代理�����。經(jīng)鑒別的文件�,如現(xiàn)金紙幣和銀行支票,都能使用特殊的打印機(jī)����、特殊墨水、特殊用紙和其它特殊材料打印���。打印過(guò)程和打印材料都是嚴(yán)格控制的�����。另一個(gè)是簽署的文件���,管理機(jī)構(gòu)用他們的簽名和/或封印啟用文件�。在兩種情況下���,簽名和特殊的打印材料����,增加文件可靠性����,是完全受到經(jīng)授權(quán)的個(gè)人或代理人控制的。
例如��,如果發(fā)送方和接收方都是同一個(gè)���,服務(wù)器可能是發(fā)放管理機(jī)構(gòu)如郵政局的一部分,受控打印的是郵票���。另一個(gè)例子是�����,當(dāng)管理機(jī)構(gòu)是售票代理處時(shí)���,受控打印的是票�����,如用于音樂(lè)會(huì)���、運(yùn)動(dòng)會(huì)、電影或此類的票����。在有些國(guó)家,國(guó)內(nèi)稅收服務(wù)或其相關(guān)行業(yè)要將收據(jù)號(hào)發(fā)送給商業(yè)對(duì)象����,并且正式收據(jù)必須為每一個(gè)收到的支付單而發(fā)放。這使得他們能保留商家收到的支付支票���。這個(gè)打印控制的是收據(jù)號(hào)���。
本發(fā)明也用于需要可信打印或發(fā)送文件的場(chǎng)合�。這可包括稅務(wù)發(fā)票或收據(jù)�,這種情況下包含的步驟如下a)相關(guān)政府部門發(fā)放保密硬件設(shè)備給每個(gè)商家;b)政府部門發(fā)放標(biāo)準(zhǔn)稅收發(fā)票和/或收據(jù)格式���,將許可證密鑰發(fā)送給商家����;c)商家利用硬件設(shè)備來(lái)產(chǎn)生稅收發(fā)票和/或收據(jù)���,然后以電子形式或硬拷貝的形式發(fā)送給消費(fèi)者���。如果以電子形式發(fā)送,硬件設(shè)備控制發(fā)送過(guò)程與以硬拷貝打印相同的方式進(jìn)行�;d)硬件設(shè)備進(jìn)行核查跟蹤信息,并記錄下所有必要數(shù)據(jù)��,該數(shù)據(jù)包括每個(gè)收據(jù)和發(fā)票的數(shù)量��;e)當(dāng)許可密鑰添加時(shí)����,核查跟蹤信息被發(fā)送到政府部門。在這個(gè)基礎(chǔ)上��,政府部門依據(jù)從核查跟蹤系統(tǒng)獲得的信息來(lái)決定每個(gè)商家應(yīng)支付的稅款����。
雖然上述說(shuō)明中描述了本發(fā)明的最佳實(shí)施例,可以理解的是�,對(duì)于本領(lǐng)域技術(shù)人員來(lái)講,在不脫離本發(fā)明實(shí)質(zhì)的情況下可以對(duì)細(xì)節(jié)作出改變或修正����。
本發(fā)明可擴(kuò)展到每個(gè)公開(kāi)的各個(gè)特征,這些特征中的所有可能的置換以及綜合���。
權(quán)利要求
1.一種借助網(wǎng)絡(luò)遠(yuǎn)控打印文件的方法�,其包括以下步驟(a)在服務(wù)器上接收從發(fā)送方處發(fā)送來(lái)的文件�����;(b)服務(wù)器將文件轉(zhuǎn)送給接收方����;(c)在轉(zhuǎn)送給接收方之前鑒別該文件;(d)服務(wù)器從發(fā)送方處接收有關(guān)打印控制的指令,服務(wù)器還實(shí)現(xiàn)對(duì)接收方的控制�����。
2.一種借助網(wǎng)絡(luò)遠(yuǎn)控打印文件的方法��,其包括以下步驟(d)發(fā)送方將文件發(fā)送到服務(wù)器�,使服務(wù)器能將文件轉(zhuǎn)送給接收方;(e)在將文件發(fā)送到服務(wù)器之前��,由發(fā)送方鑒別文件���;(f)將用于控制文件打印的指令發(fā)送給服務(wù)器�����,使服務(wù)器能實(shí)現(xiàn)對(duì)接收方的控制�����。
3.一種打印鑒別文件的方法��,該文件是借助網(wǎng)絡(luò)從遠(yuǎn)端接收到的�,該方法包括如下步驟(c)服務(wù)器從發(fā)送方處已接收鑒別的文件后���,接收方從服務(wù)器接收鑒別的文件�;(d)服務(wù)器從發(fā)送方接收到打印控制,服務(wù)器實(shí)現(xiàn)對(duì)接收方的打印控制��。
4.根據(jù)權(quán)利要求1-3中任一項(xiàng)所述的方法�,其中����,打印控制包括保證使該文件打印出來(lái)的內(nèi)容與發(fā)送方發(fā)送的文件內(nèi)容嚴(yán)格一樣。
5.根據(jù)權(quán)利要求1-4中任一項(xiàng)所述的方法�,其中,打印控制包括防偽造控制����。
6.根據(jù)權(quán)利要求1-5中任一項(xiàng)所述的方法,其中��,打印控制包括防復(fù)制控制�����。
7.根據(jù)權(quán)利要求1-6中任一項(xiàng)所述的方法����,其中����,打印控制包括控制需打印文件的份數(shù)��。
8.根據(jù)權(quán)利要求1-7中任一項(xiàng)所述的方法�,其中,接收方包括一個(gè)打印機(jī)�,服務(wù)器向用于打印文件的打印機(jī)提供打印控制。
9.根據(jù)權(quán)利要求1-8中任一項(xiàng)所述的方法��,其中�,服務(wù)器使文件能保密地從發(fā)送方通過(guò)服務(wù)器發(fā)送給接收方。
10.根據(jù)權(quán)利要求1-9中任一項(xiàng)所述的方法����,其中,服務(wù)器在打印控制中是發(fā)送方的可信代理��。
11.根據(jù)權(quán)利要求1-10中任一項(xiàng)所述的方法����,其中,服務(wù)器是在驗(yàn)證文件服務(wù)中的可信的第三方���。
12.根據(jù)權(quán)利要求11所述的方法����,其中,服務(wù)器可儲(chǔ)存文件的散列信息和文件的至少一個(gè)內(nèi)容特征����,并用它們來(lái)驗(yàn)證文件。
13.根據(jù)權(quán)利要求11或12所述的方法�,其中,保密文件的發(fā)送和打印控制基于可信文件結(jié)構(gòu)的基礎(chǔ)上��,該可信文件包括以下組合中的一個(gè)或多個(gè)的部分a)文件自身��;b)手寫(xiě)簽名�;c)數(shù)字標(biāo)記����;d)光學(xué)水印�;e)文件的內(nèi)容特征;f)使用控制和核查跟蹤����;g)發(fā)送方的封印����;h)終止日期����。
14.根據(jù)權(quán)利要求11-13中任一項(xiàng)所述的方法�,其中,發(fā)送方核準(zhǔn)文件�����。
15.根據(jù)權(quán)利要求1-14中任一項(xiàng)所述的方法��,其中��,該方法可使用公用密鑰結(jié)構(gòu)來(lái)保證在文件傳送過(guò)程中的認(rèn)可�、保密和安全性。
16.根據(jù)權(quán)利要求13或14所述的方法�,其中,文件上可使用數(shù)字標(biāo)記�,該數(shù)字標(biāo)記是從發(fā)送方、服務(wù)器和接收方組成的組合中選擇的一個(gè)或多個(gè)的數(shù)字標(biāo)記����。
17.根據(jù)權(quán)利要求1-16中任一項(xiàng)所述的方法,其中��,發(fā)送方可在發(fā)送文件之前利用服務(wù)器注冊(cè)。
18.根據(jù)權(quán)利要求1-17中任一項(xiàng)所述的方法�,其中,在接收方可接收文件之前利用服務(wù)器注冊(cè)�。
19.根據(jù)權(quán)利要求14-18中任一項(xiàng)所述的方法,其中��,用于確認(rèn)的文件散列信息和內(nèi)容特征可與文件一起發(fā)送�����,散列信息和文件的內(nèi)容特征保持在服務(wù)器中�,以便于以后驗(yàn)證。
20.根據(jù)權(quán)利要求1-13中任一項(xiàng)所述的方法�,其中���,該方法可使用由保密接口層協(xié)議所提供的保密文件發(fā)送信道��;通過(guò)利用用戶身份和至少一個(gè)口令鑒別發(fā)送方和接收方��。
21.根據(jù)權(quán)利要求1-13中任一項(xiàng)所述的方法���,其中,該方法也可使用用于保密文件傳送的加密技術(shù)�����。
22.根據(jù)權(quán)利要求21所述的方法,其中����,給文件解密的密鑰通過(guò)一個(gè)運(yùn)載裝置直接送到接收方,該運(yùn)載裝置是從下列組合中選出的電子郵件���、電話����、郵件���、快遞和專有傳送裝置�����。
23.根據(jù)權(quán)利要求1-22中任一項(xiàng)所述的方法���,其中,打印文件通過(guò)使用鑒別裝置可得以保護(hù)�,而防止未授權(quán)的復(fù)制和偽造,所述鑒別裝置是從下列組合中選出的光學(xué)水印、特殊墨水�、特殊紙張和特殊打印材料。
24.根據(jù)權(quán)利要求23所述的方法����,其中,光學(xué)水印可具有一個(gè)防假冒層����。
25.根據(jù)權(quán)利要求24所述的方法,其中�,檢驗(yàn)打印機(jī)以實(shí)現(xiàn)防假冒層的高級(jí)性能。
26.根據(jù)權(quán)利要求25所述的方法���,其中�,可使用打印語(yǔ)言來(lái)執(zhí)行檢驗(yàn)��,不需要手寫(xiě)干預(yù)����。
27.根據(jù)權(quán)利要求8-26中任一項(xiàng)所述的方法��,其中���,打印機(jī)在打印控制過(guò)程中可以是保密的���。
28.根據(jù)權(quán)利要求27所述的方法����,其中���,打印機(jī)可包括一個(gè)保密存儲(chǔ)器�、保密中央處理單元和保密時(shí)鐘����。保密存儲(chǔ)器可用來(lái)儲(chǔ)存專有密鑰;保密中央處理單元可用來(lái)防止運(yùn)行中攻擊�,保密時(shí)鐘可用來(lái)計(jì)時(shí)。
29.根據(jù)權(quán)利要求27所述的方法��,其中�����,打印機(jī)和服務(wù)器系統(tǒng)使用公用密鑰對(duì)或打印機(jī)的對(duì)稱密鑰構(gòu)成的組合中選擇的一個(gè)或多個(gè)�����,來(lái)執(zhí)行保密信號(hào)交換,以鑒別彼此身份�。
30.根據(jù)權(quán)利要求27所述的方法,其中�,服務(wù)器可發(fā)送一個(gè)加密文件散列信息、光學(xué)水印和打印指令給打印機(jī)���。
31.根據(jù)權(quán)利要求30所述的方法���,其中,打印機(jī)可通過(guò)客戶軟件接收文件���,給文件解密����,在打印之前利用散列信息和時(shí)間標(biāo)志核對(duì)文件����,并在打印期間增加光學(xué)水印。
32.根據(jù)權(quán)利要求28-31中任一項(xiàng)所述的方法����,其中����,在打印之后���,立即從保密存儲(chǔ)器上將該文件刪除。
33.根據(jù)權(quán)利要求8-32中任一項(xiàng)所述的方法�����,其中���,還包含的步驟有在服務(wù)器中生成核查跟蹤記錄��。
34.根據(jù)權(quán)利要求1-26中任一項(xiàng)所述的方法��,其中��,還包括客戶軟件���,為了打印文件,被下載到接收方的機(jī)器上��。
35.根據(jù)權(quán)利要求34所述的方法��,其中�,在打印控制過(guò)程中接收方是可信的���,以減少對(duì)客戶軟件攻擊。
36.根據(jù)權(quán)利要求35所述的方法�����,其中�����,服務(wù)器通過(guò)客戶軟件與打印機(jī)通信�,來(lái)驗(yàn)證打印機(jī)系列號(hào)和內(nèi)部協(xié)議地址,核對(duì)打印機(jī)狀態(tài)��,鎖定打印機(jī)的控制板��,設(shè)置所有必要的打印機(jī)參數(shù)����,將要打印的文件和用來(lái)打印文件的指令發(fā)送給打印機(jī),在完成打印后重設(shè)打印機(jī)參數(shù)����,并在服務(wù)器中生成核查跟蹤記錄。
37.根據(jù)權(quán)利要求13所述的方法��,其中,封印包括從由手寫(xiě)簽名和封印構(gòu)成的組合中選擇的一個(gè)或多個(gè)����;該封印包括對(duì)所有打印文本來(lái)講都是共用的共用封印����,以及對(duì)每個(gè)打印副本來(lái)講是唯一的獨(dú)特封印。
38.根據(jù)權(quán)利要求34-36中任一項(xiàng)所述的方法����,其中,客戶軟件有一個(gè)基本部分和高度機(jī)密部分��,當(dāng)接收方利用服務(wù)器注冊(cè)時(shí)�,高度機(jī)密部分比基本部分更容易受到攻擊,該基本部分被傳送到接收方�,高度機(jī)密部分下載到接收方機(jī)器上,用于打印文件���,并在打印完后�,從接收方機(jī)器上刪除�����,以便于防止高度機(jī)密部分受到攻擊。
39.根據(jù)權(quán)利要求38所述的方法���,其中���,當(dāng)接收方利用服務(wù)器注冊(cè)時(shí),將高度機(jī)密部分的加密形式發(fā)送給接收方�����,該服務(wù)器管理解密密鑰����;需要時(shí),將高度機(jī)密部分解密�����。
40.根據(jù)權(quán)利要求38或39所述的方法���,其中���,基本部分的散列信息結(jié)果可在與基本部分被發(fā)送給接收方的同時(shí)或之前取得,該散列信息結(jié)果儲(chǔ)存在服務(wù)器中;當(dāng)接收方需要打印文件時(shí)���,取得基本部分的第二散列信息結(jié)果�����,并在由服務(wù)器授權(quán)打印之前與散列信息結(jié)果比較�����。
41.根據(jù)權(quán)利要求38-40中任一項(xiàng)所述的方法,其中��,用于執(zhí)行高度機(jī)密部分中的一些部分的執(zhí)行時(shí)間記錄在服務(wù)器里��,并與打印文件時(shí)的執(zhí)行該部分的時(shí)間相比較�����;如果花費(fèi)的時(shí)間顯然比執(zhí)行時(shí)間長(zhǎng)����,則中止打印。
42.根據(jù)權(quán)利要求1-41中任一項(xiàng)所述的方法��,其中���,響應(yīng)于接收方打印文件的請(qǐng)求�,執(zhí)行打印控制。
43.根據(jù)權(quán)利要求1-26中任一項(xiàng)所述的方法��,其中�,打印控制可脫機(jī)進(jìn)行,服務(wù)器不參與打印過(guò)程���。
44.根據(jù)權(quán)利要求43所述的方法�����,其中�,在接收方提供了硬件設(shè)備�,來(lái)代表服務(wù)器起作用。
45.根據(jù)權(quán)利要求44所述的方法�,其中,硬件設(shè)備控制文件打印�,該硬件設(shè)備包括保密存儲(chǔ)器、讀后刪除存儲(chǔ)器���、具有單片程序的中央處理單元以及端口��;硬件設(shè)備利用服務(wù)器注冊(cè)�����。
46.根據(jù)權(quán)利要求43或44所述的方法��,其中�,該機(jī)器可包括打印機(jī)、與打印機(jī)是一個(gè)整體的硬件設(shè)備��;該打印機(jī)利用服務(wù)器注冊(cè)�。
47.根據(jù)權(quán)利要求45所述的方法��,其中���,保密存儲(chǔ)器含有一個(gè)可訪問(wèn)存儲(chǔ)器��,只有當(dāng)輸入并核對(duì)用戶口令時(shí)才可訪問(wèn)該存儲(chǔ)器����,而且只能訪問(wèn)與用戶相關(guān)的可訪問(wèn)存儲(chǔ)器的一個(gè)塊����;還含有用于內(nèi)部使用的可控存儲(chǔ)器,該可控存儲(chǔ)器被分成許多塊,對(duì)每個(gè)用戶有一可控存儲(chǔ)器塊����。
48.根據(jù)權(quán)利要求47所述的方法,其中��,可控存儲(chǔ)器用于保存保密密鑰����、系列號(hào)、用戶專有密鑰和接收方ID密鑰���。
49.根據(jù)權(quán)利要求13-48中任一項(xiàng)所述的方法��,其中����,控制包括發(fā)放打印文件的許可證給接收方�����,該許可證包括授權(quán)打印文件的副本份數(shù)���。
50.根據(jù)權(quán)利要求49所述的方法��,其中��,每個(gè)許可證有一個(gè)許可證密鑰�,該許可證密鑰用于給獨(dú)特封印加密;所述許可證密鑰以加密形式由服務(wù)器發(fā)送給接收方并被安裝在硬件設(shè)備中���。
51.根據(jù)權(quán)利要求50所述的方法���,其中,服務(wù)器可增加許可證密鑰的數(shù)量���,服務(wù)器產(chǎn)生新許可證密鑰集和新添加密鑰����,在將通過(guò)服務(wù)器發(fā)送到接收方并安裝在硬件設(shè)備里之前����,該新許可證密鑰集和新添加密鑰用先前的添加密鑰加密�。
52.根據(jù)權(quán)利要求49-51中任一項(xiàng)所述的方法,其中���,每個(gè)許可證密鑰可包括一個(gè)終止日期���,在該日期后�,就不可以再使用許可證打印文件����。
53.根據(jù)權(quán)利要求51所述的方法,其中��,新許可證密鑰集與文件分開(kāi)發(fā)送��。
54.根據(jù)權(quán)利要求51所述的方法���,其中�,新許可證密鑰集與文件一起發(fā)送���。
55.根據(jù)權(quán)利要求49-52中任一項(xiàng)所述的方法����,其中����,在發(fā)送方發(fā)送文件之前,可用第一會(huì)話密鑰對(duì)發(fā)送方的共用封印���、用于發(fā)送的時(shí)間標(biāo)志和終止日期進(jìn)行加密�,以給出一個(gè)加密結(jié)果。
56.根據(jù)權(quán)利要求55所述的方法�����,其中���,加密結(jié)果和文件可利用第二會(huì)話密鑰加密��,以給出第二加密結(jié)果��。
57.根據(jù)權(quán)利要求56所述的方法���,其中,在第二加密結(jié)果中����,包括有一個(gè)散列信息結(jié)果,以提供一種用于核對(duì)數(shù)據(jù)完整性的方式�。
58.根據(jù)權(quán)利要求49-57中任一項(xiàng)所述的方法��,其中���,打印控制可訪問(wèn)文件���,但不打印文件���,還可訪問(wèn)許可證,訪問(wèn)許可證時(shí)不用要求��。
59.根據(jù)權(quán)利要求13-58中任一項(xiàng)所述的方法�����,其中�,在授權(quán)打印文件之前,核對(duì)終止日期���,如果終止日期已過(guò)�,則不再允許打印��。
60.根據(jù)權(quán)利要求1-59中任一項(xiàng)所述的方法�����,其中�����,發(fā)送方和服務(wù)器是一樣的,發(fā)送方的所有功能都由服務(wù)器執(zhí)行����。
61.根據(jù)權(quán)利要求60所述的方法,其中�,發(fā)送方有權(quán)發(fā)放保密硬件設(shè)備給每個(gè)接收方,通過(guò)網(wǎng)絡(luò)將文件和許可證密鑰發(fā)送到每個(gè)接收方�����,每個(gè)接收方使用保密硬件設(shè)備打印文件��,該文件作為打印或電子文件�,由接收方發(fā)送給接收方的消費(fèi)者,保密硬件設(shè)備控制電子文件的發(fā)送��,保密硬件設(shè)備進(jìn)行核查跟蹤���,并且當(dāng)添加新許可證密鑰時(shí)將它發(fā)送到管理機(jī)構(gòu)��。
62.根據(jù)權(quán)利要求61所述的方法���,其中,文件由郵票�����、稅務(wù)發(fā)票����、稅務(wù)收據(jù)構(gòu)成的組合中選擇。
63.根據(jù)權(quán)利要求62所述的方法�����,其中�����,郵票�����、稅務(wù)發(fā)票��、稅務(wù)收據(jù)每個(gè)的數(shù)值被包括在核查跟蹤中�。
64.根據(jù)權(quán)利要求63所述的方法,其中,根據(jù)被包括于核查跟蹤中的數(shù)值�����,管理機(jī)構(gòu)可以決定應(yīng)當(dāng)支付的稅款��。
65.根據(jù)權(quán)利要求43-64中任一項(xiàng)所述的方法�,其中,還提供了一種保密軟件程序�����,用來(lái)執(zhí)行接收方的打印控制�。
66.根據(jù)權(quán)利要求65所述的方法,其中��,該軟件程序以一個(gè)分散的形式執(zhí)行��,以有助于防止軟件攻擊����。
67.根據(jù)權(quán)利要求66所述的方法,其中����,用于許可證密鑰和核查跟蹤的保密存儲(chǔ)器以一個(gè)分散的形式來(lái)實(shí)現(xiàn)��。
68.一種與用戶機(jī)一起使用的硬件設(shè)備�,其可控制至少一個(gè)由該用戶機(jī)執(zhí)行的文件打印���,該硬件設(shè)備包括一個(gè)保密存儲(chǔ)器、讀后刪除存儲(chǔ)器���、具有單片程序的中央處理單元�,和一個(gè)接口����。
69.根據(jù)權(quán)利要求68所述的硬件設(shè)備,其中����,保密存儲(chǔ)器含有一個(gè)可訪問(wèn)存儲(chǔ)器,只有當(dāng)輸入并核對(duì)用戶口令時(shí)才可訪問(wèn)該存儲(chǔ)器��,而且只能訪問(wèn)與用戶相關(guān)的可訪問(wèn)存儲(chǔ)器中的一個(gè)塊�����;還含有分成許多塊的可控存儲(chǔ)器�,每個(gè)用戶具有一可控存儲(chǔ)器。
70.根據(jù)權(quán)利要求69所述的硬件設(shè)備,其中�,可控存儲(chǔ)器用于存儲(chǔ)保密密鑰、系列號(hào)�����、用戶專有密鑰和接收方ID密鑰��。
71.根據(jù)權(quán)利要求68-70中任一項(xiàng)所述的硬件設(shè)備���,其中����,硬件設(shè)備可借助保密軟件程序?qū)崿F(xiàn)���。
72.根據(jù)權(quán)利要求71所述的硬件設(shè)備���,其中,該保密軟件程序可以分散的形式執(zhí)行���,以有助于防止軟件攻擊�����。
全文摘要
一種借助網(wǎng)絡(luò)遠(yuǎn)控打印文件的方法,其包括以下步驟:(a)在服務(wù)器上接收從發(fā)送方處發(fā)送來(lái)的文件;(b)服務(wù)器將文件轉(zhuǎn)送給接收方;(c)在轉(zhuǎn)送給接收方之前鑒別該文件;(d)服務(wù)器從發(fā)送方處接收有關(guān)打印控制的指令,服務(wù)器還實(shí)現(xiàn)接對(duì)收者處的控制����。同時(shí)也公開(kāi)了一種支持打印控制的硬件設(shè)備。
文檔編號(hào)H04L29/06GK1348130SQ0112593
公開(kāi)日2002年5月8日 申請(qǐng)日期2001年7月16日 優(yōu)先權(quán)日2000年10月11日
發(fā)明者吳健康, 朱保實(shí), 朱群英, 黃晟 申請(qǐng)人:卓信科技有限公司