專利名稱:電子文檔安全閱讀系統(tǒng)及其方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機網(wǎng)絡(luò)信息通信安全技術(shù)領(lǐng)域,包含電子文檔的審核,存儲,傳播和閱讀的系統(tǒng)及其方法。
背景技術(shù):
在現(xiàn)有的閱讀軟件中,大部分是利用編輯軟件作為閱讀軟件,以及少部分的專有閱讀軟件(后面統(tǒng)稱閱讀軟件);雖然它們也集成一定的安全功能,但是從保護的強度和功能都滿足不了亮安全要求的用戶。從保護的強度來說,主要提供口令,而口令因為記憶方便不可能很復雜,容易被口令字典或是猜測到;并且在通過鍵盤輸入口令的過程中,存在口令被木馬病毒等竊聽的風險;并且大部分的編輯軟件為了提亮效率,將文檔內(nèi)容通過緩中的方式保存到存儲介質(zhì),也存在通過臨時文件沒有安全保護的風險。從安全功能來說,閱讀軟件需要的只是口令,而沒有其它的輔助安全手段。因此,理由傳統(tǒng)的口令方式的閱讀軟件存在很大的安全風險。伴隨安全理論提亮,特別是PKI體系的成熟,出現(xiàn)更安全的閱讀系統(tǒng),主要為通過數(shù)字證書和簽名的方式可以相互認證身份;通過文檔內(nèi)容的散列值驗證文檔是否經(jīng)過修改;通過VPN密文傳輸文檔;介質(zhì)加密解密技術(shù)保護存儲介質(zhì);水印等各種方式的電子文檔信息隱藏技術(shù)。這些安全措施在傳輸過程安全,收發(fā)方認證,文檔真實性和完整性有重要提亮。但是,從整個安全鏈上看,目前依然存在以下的問題首先,閱讀器本身沒有被認證導致重大的安全隱患第一,閱讀器本身沒有被認證導致權(quán)限控制失敗作為文檔閱讀的重要環(huán)節(jié),閱讀器本身的安全在整個安全鏈具有重要的作用?,F(xiàn)階段的閱讀,基本都是提供一個加密的文檔,通過插件的方式提供認證和解密,然后交給通用的閱讀器。而通用閱讀器閱讀的文件格式一般是公開的,任何人都可以根據(jù)文件可是開發(fā)自己的閱讀器,因此,就存在這樣的一種風險,某人自己開發(fā)了標準文檔的閱讀器,然后忽略文檔本身的權(quán)限控制特性,讓所有權(quán)限打開,從而得到明文,保存為新的標準文件,將此文件泄露出去。比如針對比較流行的PDF文件的pdf閱讀器,雖然在PDF文件格式中,有一個P專門定義打開文檔的權(quán)限;如果自己選擇一個開源的PDF閱讀器,在打開PDF文件中,忽略文檔中定義的打印、編輯、復制等權(quán)限,直接全部放開,這樣讓文件的權(quán)限控制基本沒有保障。第一,閱讀器本身沒有被認證導致加密文檔被解密成明文泄露既然沒有被認證,就可以利用一個經(jīng)過修改過的閱讀器,在幫你正常打開密文,在你正常閱讀的過程中,閱讀器可以在后臺將整個密文另外保存為一個沒有任何限制的文檔,導致文檔泄密。第三,閱讀器本身沒有被認證可能導致私有密鑰泄密對于需要PKI認證打開的文檔,當用戶提供私有密鑰打開一個需要認證的文檔, 就把自己的私有密鑰交給了閱讀器;如果這是一個植入木馬的閱讀器,就可以輕而易舉獲取用戶的私密,這樣的結(jié)果更危險。因此,作為一個安全鏈,必須正確對待閱讀器的安全問題。其次,基于PKI思想的點對點方式不利于應(yīng)用比如專利ZL200410013513. 2利用PKI思想,很好解決了點對點的安全,但是卻沒有解決好點對多的問題。雖然操作上讓一個發(fā)送方為每個接收方建立一個密文文件,但是實際操作卻很麻煩。比如政府內(nèi)部的一個通知,通知對象可能上萬個,不可能為每個對象生成一個密文文件。再次,內(nèi)存明文也存在泄密的風險在今天網(wǎng)絡(luò)技術(shù)亮度發(fā)達的時代,病毒、網(wǎng)絡(luò)蠕蟲、間諜軟件隨處可見,操作系統(tǒng)、 數(shù)據(jù)庫、應(yīng)用軟件漏洞百出的條件下,難免有某些軟件通過內(nèi)存搜索內(nèi)存來獲取某些敏感信息。比較有意思的是,絕大多數(shù)的閱讀器在內(nèi)存都是明文保存,因此,有效降低內(nèi)存中明文泄密也是現(xiàn)在沒有解決的問題。所以,我們需要在保障公知的安全身份認證,文檔認證(包含文檔校驗和加密文檔)以及閱讀權(quán)限的前提下,需要解決閱讀器安全,內(nèi)存明文安全,并且在安全的前提下方便使用。
發(fā)明內(nèi)容
為了克服現(xiàn)在技術(shù)的文檔閱讀安全功能不能滿足亮要求性的需求,提供了一種電子文檔安全閱讀系統(tǒng)及其方法,以滿足下面的需求而達到本發(fā)明的目的(1)文檔傳輸和保存的機密性;(2)文檔發(fā)出者,文檔閱讀者認證可信性;(3)文檔的真實性和完整性;(4)文檔的可控閱讀性;在擁有加強基本的安全下,增強的安全為(5)閱讀器的認證可信性;(6)內(nèi)存防泄密安全性;(7)實施方使性;首先,本系統(tǒng)拋棄傳統(tǒng)的發(fā)送方和接收方模式,變?yōu)榘l(fā)布器,閱讀器和服務(wù)器三部分?!獋€文檔需要發(fā)布,首先交給發(fā)布器;發(fā)布器先文檔的格式通過虛擬打印機技術(shù)轉(zhuǎn)為pdf文檔格式,將輸入文檔1轉(zhuǎn)為Pdf格式的文檔2 ;再自動產(chǎn)生1 字節(jié)的用戶密碼 3,將文檔2利用pdf標準力密生成密文21 ;再自動生成密鑰4,將加密的文檔21加密為文檔211 ;將文檔211添加文件頭hl,文件頭的基本信息包含文件ID以及生成時間等,這個包含文檔211和文件頭hi的文檔為文檔2111。此文檔可以通過郵件,F(xiàn)TP等各種方式發(fā)送出去,供閱讀器使用。同時,發(fā)布器自動創(chuàng)建一個密鑰5將用戶密碼3加密為密碼31,密鑰 5和密碼31構(gòu)成屏幕密鑰si ;發(fā)布器自動創(chuàng)建密鑰6將密鑰4加密為內(nèi)存密鑰ml,將屏幕密鑰si加密為密鑰sll ;將一個包含密鑰6,文檔2111的ID號,文檔211的散列值,文件頭 hi的散列值統(tǒng)稱為訪問控制密鑰vl ;發(fā)布器通過SSL與服務(wù)器相互認證,發(fā)布器通過VPN 將訪問控制密鑰vl,內(nèi)存密鑰ml以及屏幕密鑰sll傳給服務(wù)器。
服務(wù)器與發(fā)布器相互認證,并且從發(fā)布器獲取到訪問控制密鑰vl,內(nèi)存密鑰ml 以及屏幕密鑰sll。將所有信息通過私鑰加密保存為文件Π,同時建立文件ID與文件Π 的關(guān)聯(lián)關(guān)系;服務(wù)器除開有PKI認證功能,還需要有特權(quán)管理基礎(chǔ)設(shè)施(PMI,Privilege Management Infrastructure)的功能,包含有建立發(fā)布器提交文件ID的有效閱讀時間, 文件ID的閱讀對象,以及注冊登記的閱讀器ID和閱讀器的驗證信息。服務(wù)器與閱讀器通過 PKI相互認證;服務(wù)器驗證讀者的方法是通過讀者自己的私鑰簽名,通過ssl傳給服務(wù)器, 服務(wù)器利用閱讀的公鑰驗證簽名來認證讀者。服務(wù)器通過文檔ID、文檔頭的散列值以及文檔內(nèi)容散列值來驗證文檔是否可信,在滿足服務(wù)器PMI的條件下,將訪問密鑰、屏幕密鑰和內(nèi)存密鑰通過VPN發(fā)送給閱讀器。閱讀器獲取發(fā)布器提供的加密文檔2111 ;每個閱讀器有自己的證書,閱讀器與服務(wù)器相互認證,然后將閱讀器文件的散列值發(fā)送給服務(wù)器驗證閱讀器是否被修改;同時將讀者的私鑰簽名所在系統(tǒng)的硬件信息。當閱讀器驗證成功后,閱讀器接收到訪問密鑰,并且通過訪問密鑰解密屏幕密鑰和內(nèi)存密鑰。閱讀器將通過內(nèi)存密鑰將存儲介質(zhì)的文檔解密到內(nèi)存,然后根據(jù)現(xiàn)實需要的頁面,將內(nèi)存的密文,通過屏幕密鑰解密出來,打印在屏幕上。閱讀器不將任何文檔內(nèi)容緩存到存儲介質(zhì),也只是在屏幕需要的頁面解密成明文,一旦不是需要顯示的頁面,立即隨機數(shù)清空內(nèi)存的明文信息。因此,對于閱讀器的認證,主要采用經(jīng)典的PKI認證方式,再輔助閱讀器本身的散列值驗證是否被修改,并且把判斷條件放在服務(wù)器端。而閱讀器與服務(wù)器關(guān)于讀者認證, 主要通過數(shù)字簽名的方式來認證。閱讀器通過內(nèi)存為加密內(nèi)容,只是將屏幕上顯示的頁面內(nèi)容解密為明文,最大限度降低內(nèi)存中的明文;同時采用不同層次加密的雙密鑰組合方式, 只有2個密鑰都收集到才能解密,相對于目前的一次密鑰,安全性增加;并且有效增強抗暴力解密。閱讀器還通過拒絕打印的方式,杜絕通時打印方式泄密的風險;任何需要打印的, 都必須從發(fā)布器獲取打印資料,有效保護電子文檔的版權(quán)。因此,本發(fā)明的方法可以有效解決組織的電子文檔安全閱讀,最大限度降低泄露的風險。其優(yōu)點和特點如下(1)采用閱讀器認證的方式,彌補整個安全鏈中閱讀器環(huán)節(jié)的弱安全性問題。因為閱讀器通過PKI認證,并且通過散列值判斷閱讀器是否被惡意修改。相對于以前完全相信閱讀器來說,安全性增強。(2)在閱讀系統(tǒng)中,通過訪問密鑰,內(nèi)存密鑰和屏幕密鑰多重密鑰的組合,用一個密鑰去管理另外的兩個密鑰,并且內(nèi)存密鑰和屏幕密鑰不同層次的加密,既增加了傳輸環(huán)節(jié)、內(nèi)存環(huán)節(jié)的閱讀安全,有方便管理。(3)系統(tǒng)分為發(fā)布器、閱讀器和服務(wù)器三部分,發(fā)布器將密鑰和密文分離,引入特權(quán)管理基礎(chǔ)設(shè)施(PMI,Privilege Management Infrastructure) 采用這種方式,即使閱讀器假冒文件ID和所需的文檔校驗信息,服務(wù)器還可以通過證書中的身份,與被閱讀文件的訪問權(quán)限,決定是否提供閱讀需要的密鑰,如果讀者沒有這個電子文檔的訪問權(quán)限,依然無法閱讀電子文檔。(4)采用屏幕窗口的方式,只解密屏幕需要顯示的頁面,最大限度降低電子文檔在內(nèi)存中的明文。
圖1是發(fā)布器制作給閱讀器的加密文檔;圖2是發(fā)布器制作給服務(wù)器的屏幕密鑰加密信息;圖3是發(fā)布器制作給服務(wù)器的內(nèi)存密鑰加密信息;圖4是發(fā)布器制作給服務(wù)器的訪問控制密鑰;圖5是閱讀器閱讀處理流程圖;圖6是具體實施方式
三的示意圖;圖7是具體實施方式
三的示意圖。
具體實施例方式具體實施方式
一多個閱讀器,一個發(fā)布器,一個服務(wù)器PKI認證可以采用開源的openssl,閱讀器閱讀的最后文件格式是pdf格式,pdf 是國際標準組織(ISO)于2008年7月2日批準的國際標準,該格式對任何人開放并被使用標準號為ISO 32000-1。同時也可以采用adobe公司提供的免費開發(fā)sdk,或是采用開源的 Pdflib等來開發(fā)閱讀器,在后面的實施中不再解釋閱讀器的具體實現(xiàn)。發(fā)布器實施第一步通過虛擬打印機方式,將所有可以打印的文件格式轉(zhuǎn)換為PDF文件格式。 這一步的意義很重大首先可以滿足所有可以打印的電子文檔,比如word,pdf, txt, hmtl, excel, gif 等;更重要的是,通過此中方法,還可以有效過濾電于文檔中可能嵌入的隱藏信息。采用公知的ghostscript打印技實現(xiàn)。第二步自動生成屏幕密碼,作為PDF標準的用戶密碼,實現(xiàn)第一次加密。這時候的加密只是文件內(nèi)部的流加密,其它地方依然是明文。具體加密內(nèi)容,參考標準號為IS032000-1的pdf文件格式文檔。第三步通過密鑰,將屏幕密碼加密;將解密密鑰和被加密過與屏幕密碼保存在屏幕密鑰控制塊中。第四步自動生成內(nèi)存密鑰對PDF文件整個文件加密(PDF第二次加密);將內(nèi)存密鑰以及解密算法保存在內(nèi)存密鑰控制塊。第五步發(fā)布器問閱讀文檔建立新的文件頭,包含文件ID,創(chuàng)建時間等基本信息, 連同兩次加密的文件件,形成閱讀器可以接收的電子文件,通過Email,F(xiàn)TP等方式發(fā)送出去。第六步自動生成訪問控制密鑰,同時利用訪問控制密鑰對內(nèi)存密鑰控制塊和屏幕密鑰控制塊加密。第七步發(fā)布器為服務(wù)器提供文件的一些基本信息,保存在訪問控制塊內(nèi),主要是為了讓服務(wù)器驗證文檔是否真實,是否被修改的基本信息,將只包含訪問控制塊,內(nèi)存密鑰控制塊以及屏幕控制塊的內(nèi)容直接通過VPN安全通道發(fā)送給服務(wù)器,發(fā)布器本地不保留任何密鑰信息;第八步發(fā)布器通過PKI認證,SSL VPN將包含訪問控制塊信息,內(nèi)存密鑰控制塊和屏幕控制塊內(nèi)容發(fā)送給服務(wù)器服務(wù)器服務(wù)器實施包含三部分的內(nèi)容,第一部分與發(fā)布器的交互,獲取必要的驗證信息。 這部分主要是通過PKI相互認證并且提供安全通道;然后從發(fā)布器獲取發(fā)布器發(fā)布文檔ID
6以及這個ID的一些驗證信息,比如文件頭的散列值,加密文件的散列值等。第二部分是服務(wù)器自己的文檔授權(quán)控制管理。這部分實施可以包含這個文檔有效時間,可以被哪些用戶訪問閱讀等訪問控制管理。第三部分是服務(wù)器與閱讀器之間的交互。具體實施是與閱讀器進行閱讀器認證,閱讀者認證和被閱讀文檔的認證;在滿足認證或是驗證的條件下,滿足訪問控制條件,最后將密鑰通過安全通道發(fā)送到閱讀器,做記錄,方便查詢或是追蹤。閱讀器閱讀器包含三部分,第一部分是與服務(wù)器的認證或是驗證過程,包含閱讀器、閱讀者以及被閱讀文檔的認證或是驗證,在滿足授權(quán)條件下,獲取密鑰;第二部分是文檔從存儲介質(zhì)或是網(wǎng)絡(luò)解密到內(nèi)存第三部分是帶有用戶密鑰的Pdf文件的解密顯示過程,這部分是標準的Pdf格式。閱讀器的實施為第一步打開閱讀器,進行閱讀器認證或驗證;第二步打開文件,獲取文件頭中的訪問控制塊,獲取密鑰存放的服務(wù)器IP,以及本文件的ID等信息。第三步閱讀者身份認證或驗證;第四步提供文檔ID,以及校驗信息,開始被閱讀文檔的認證或驗證;第五步服務(wù)器通知結(jié)果,如果已經(jīng)授權(quán),并且文件屬于可閱讀器,獲取訪問控制塊,內(nèi)存密鑰控制塊以及屏幕密鑰控制塊;第六步閱讀器根據(jù)訪問控制塊的加密算法和密鑰解密內(nèi)存密鑰控制塊以及屏幕密鑰控制塊第七步根據(jù)用戶屏幕,計算當前需要實現(xiàn)的頁碼,計算需要讀取文件的地址第八步利用內(nèi)存密鑰控制塊的密鑰實現(xiàn)從存儲介質(zhì)(或是網(wǎng)絡(luò))到內(nèi)存的解密。第九步將屏幕控制塊的密鑰,算法以及被加密信息的密鑰,解密出pdf文件的內(nèi)部密碼(用于內(nèi)存到屏幕的解密)。
具體實施方式
二 多個閱讀器,一個發(fā)布器,多個服務(wù)器負載均衡可以采用典型的三部分方法,也可以證發(fā)布器將信息都發(fā)布到多個服務(wù)器,通過配置閱讀器不同的的服務(wù)器IP地址,實現(xiàn)服務(wù)器的負載均衡,圖6所示。也可以通過在閱讀器與服務(wù)器之間,提供動態(tài)重定向服務(wù)器地址的方式,實現(xiàn)服務(wù)器的負載均衡。在閱讀器向服務(wù)器申請的時候,服務(wù)器如果當前負載重,不是與閱讀器直接進行認證,而是給它一個重定向的指令,指令中包含具體重定向的目的服務(wù)器,這樣,閱讀器就可以向新的服務(wù)器請求閱讀文檔的服務(wù)。因此實現(xiàn)負載均衡。具體實施三多個閱讀器,一個發(fā)布器,多個服務(wù)器形成層次服務(wù)也可以采用服務(wù)器給下級服務(wù)器發(fā)送認發(fā)布器獲取的信息,服務(wù)器與服務(wù)器之間依然通過認證,下級服務(wù)器的文檔控信息依賴上級服務(wù)器,一直往上,最亮層的服務(wù)器直接與發(fā)布器交互。如圖7所示,形成層次管理。
權(quán)利要求
1.一種電子文檔保密,認證,權(quán)限管理,權(quán)限擴散以及閱讀的方法,其特征在于系統(tǒng)包含發(fā)布器,閱讀器和服務(wù)器三部分,實現(xiàn)加密、解密、授權(quán)分離,并且相互制衡。在這三部分中,發(fā)布器負責加密,閱讀器負責解密,服務(wù)器負責授權(quán);發(fā)布器將自己的加密結(jié)果發(fā)送給閱讀器,而將加密密鑰發(fā)送給服務(wù)器;服務(wù)器負責文檔授權(quán),并且根據(jù)發(fā)布器的加密密鑰為閱讀器提供解密密鑰,可以采用對稱密鑰,即是加密密鑰與解密密鑰一樣;閱讀器在經(jīng)過認證后從服務(wù)器獲取解密密鑰,解密顯示文檔。
2.根據(jù)權(quán)利1所述的一種電子文檔保密,認證,權(quán)限管理,權(quán)限擴散以及閱讀的方法, 其特征是引入閱讀器認證。
3.根據(jù)權(quán)利1所述的一種電子文檔保密,認證,權(quán)限管理,權(quán)限擴散以及閱讀的方法, 其特征是采用組合加密方式提供不同層面的加密,并且第三種密鑰來加密文檔加密的兩種密鑰。不同層次的加密,不是采用用一個密鑰加密一個文件,將加密后的文件再加密的方式;而是采用文件內(nèi)加密,然后再整個文件加密的方式。
4.根據(jù)權(quán)利1所述的一種電子文檔保密,認證,權(quán)限管理,權(quán)限擴散以及閱讀的方法, 其特征是文檔在內(nèi)存為密文,只有需要在屏幕上顯示的頁面內(nèi)容為明文。
全文摘要
電子文檔安全閱讀系統(tǒng)及其方法涉及計算機網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域,包含一個發(fā)布器,閱讀器和服務(wù)器三部分,實現(xiàn)加密與解密、授權(quán)分離,相互制衡。在滿足公知的文檔驗證,身份認證下,增加閱讀器的認證,增強電子文檔安全鏈;提出內(nèi)存也為密文,只有顯示屏幕顯示內(nèi)容為明文,最大限度提亮內(nèi)存泄密安全;創(chuàng)造性提出三層密鑰機制(訪問密鑰,內(nèi)存密鑰,屏幕密鑰)的對電子文檔實現(xiàn)多輪多層次組合加密,有效解決電子文檔因存儲介質(zhì)泄密、網(wǎng)絡(luò)傳輸泄密、內(nèi)存泄密;獨立的授權(quán),讓發(fā)布出去的電子文檔依然受控、方便多電子文檔多密鑰的管理與使用。
文檔編號H04L9/32GK102347836SQ20101016527
公開日2012年2月8日 申請日期2010年4月30日 優(yōu)先權(quán)日2010年4月30日
發(fā)明者龔華清 申請人:龔華清