電子文檔安全閱讀系統及其方法
2023-05-22 18:44:46 1
專利名稱:電子文檔安全閱讀系統及其方法
技術領域:
本發明涉及計算機網絡信息通信安全技術領域,包含電子文檔的審核,存儲,傳播和閱讀的系統及其方法。
背景技術:
在現有的閱讀軟體中,大部分是利用編輯軟體作為閱讀軟體,以及少部分的專有閱讀軟體(後面統稱閱讀軟體);雖然它們也集成一定的安全功能,但是從保護的強度和功能都滿足不了亮安全要求的用戶。從保護的強度來說,主要提供口令,而口令因為記憶方便不可能很複雜,容易被口令字典或是猜測到;並且在通過鍵盤輸入口令的過程中,存在口令被木馬病毒等竊聽的風險;並且大部分的編輯軟體為了提亮效率,將文檔內容通過緩中的方式保存到存儲介質,也存在通過臨時文件沒有安全保護的風險。從安全功能來說,閱讀軟體需要的只是口令,而沒有其它的輔助安全手段。因此,理由傳統的口令方式的閱讀軟體存在很大的安全風險。伴隨安全理論提亮,特別是PKI體系的成熟,出現更安全的閱讀系統,主要為通過數字證書和籤名的方式可以相互認證身份;通過文檔內容的散列值驗證文檔是否經過修改;通過VPN密文傳輸文檔;介質加密解密技術保護存儲介質;水印等各種方式的電子文檔信息隱藏技術。這些安全措施在傳輸過程安全,收發方認證,文檔真實性和完整性有重要提亮。但是,從整個安全鏈上看,目前依然存在以下的問題首先,閱讀器本身沒有被認證導致重大的安全隱患第一,閱讀器本身沒有被認證導致權限控制失敗作為文檔閱讀的重要環節,閱讀器本身的安全在整個安全鏈具有重要的作用。現階段的閱讀,基本都是提供一個加密的文檔,通過插件的方式提供認證和解密,然後交給通用的閱讀器。而通用閱讀器閱讀的文件格式一般是公開的,任何人都可以根據文件可是開發自己的閱讀器,因此,就存在這樣的一種風險,某人自己開發了標準文檔的閱讀器,然後忽略文檔本身的權限控制特性,讓所有權限打開,從而得到明文,保存為新的標準文件,將此文件洩露出去。比如針對比較流行的PDF文件的pdf閱讀器,雖然在PDF文件格式中,有一個P專門定義打開文檔的權限;如果自己選擇一個開源的PDF閱讀器,在打開PDF文件中,忽略文檔中定義的列印、編輯、複製等權限,直接全部放開,這樣讓文件的權限控制基本沒有保障。第一,閱讀器本身沒有被認證導致加密文檔被解密成明文洩露既然沒有被認證,就可以利用一個經過修改過的閱讀器,在幫你正常打開密文,在你正常閱讀的過程中,閱讀器可以在後臺將整個密文另外保存為一個沒有任何限制的文檔,導致文檔洩密。第三,閱讀器本身沒有被認證可能導致私有密鑰洩密對於需要PKI認證打開的文檔,當用戶提供私有密鑰打開一個需要認證的文檔, 就把自己的私有密鑰交給了閱讀器;如果這是一個植入木馬的閱讀器,就可以輕而易舉獲取用戶的私密,這樣的結果更危險。因此,作為一個安全鏈,必須正確對待閱讀器的安全問題。其次,基於PKI思想的點對點方式不利於應用比如專利ZL200410013513. 2利用PKI思想,很好解決了點對點的安全,但是卻沒有解決好點對多的問題。雖然操作上讓一個發送方為每個接收方建立一個密文文件,但是實際操作卻很麻煩。比如政府內部的一個通知,通知對象可能上萬個,不可能為每個對象生成一個密文文件。再次,內存明文也存在洩密的風險在今天網絡技術亮度發達的時代,病毒、網絡蠕蟲、間諜軟體隨處可見,作業系統、 資料庫、應用軟體漏洞百出的條件下,難免有某些軟體通過內存搜索內存來獲取某些敏感信息。比較有意思的是,絕大多數的閱讀器在內存都是明文保存,因此,有效降低內存中明文洩密也是現在沒有解決的問題。所以,我們需要在保障公知的安全身份認證,文檔認證(包含文檔校驗和加密文檔)以及閱讀權限的前提下,需要解決閱讀器安全,內存明文安全,並且在安全的前提下方便使用。
發明內容
為了克服現在技術的文檔閱讀安全功能不能滿足亮要求性的需求,提供了一種電子文檔安全閱讀系統及其方法,以滿足下面的需求而達到本發明的目的(1)文檔傳輸和保存的機密性;(2)文檔發出者,文檔閱讀者認證可信性;(3)文檔的真實性和完整性;(4)文檔的可控閱讀性;在擁有加強基本的安全下,增強的安全為(5)閱讀器的認證可信性;(6)內存防洩密安全性;(7)實施方使性;首先,本系統拋棄傳統的發送方和接收方模式,變為發布器,閱讀器和伺服器三部分。—個文檔需要發布,首先交給發布器;發布器先文檔的格式通過虛擬印表機技術轉為pdf文檔格式,將輸入文檔1轉為Pdf格式的文檔2 ;再自動產生1 字節的用戶密碼 3,將文檔2利用pdf標準力密生成密文21 ;再自動生成密鑰4,將加密的文檔21加密為文檔211 ;將文檔211添加文件頭hl,文件頭的基本信息包含文件ID以及生成時間等,這個包含文檔211和文件頭hi的文檔為文檔2111。此文檔可以通過郵件,FTP等各種方式發送出去,供閱讀器使用。同時,發布器自動創建一個密鑰5將用戶密碼3加密為密碼31,密鑰 5和密碼31構成屏幕密鑰si ;發布器自動創建密鑰6將密鑰4加密為內存密鑰ml,將屏幕密鑰si加密為密鑰sll ;將一個包含密鑰6,文檔2111的ID號,文檔211的散列值,文件頭 hi的散列值統稱為訪問控制密鑰vl ;發布器通過SSL與伺服器相互認證,發布器通過VPN 將訪問控制密鑰vl,內存密鑰ml以及屏幕密鑰sll傳給伺服器。
伺服器與發布器相互認證,並且從發布器獲取到訪問控制密鑰vl,內存密鑰ml 以及屏幕密鑰sll。將所有信息通過私鑰加密保存為文件Π,同時建立文件ID與文件Π 的關聯關係;伺服器除開有PKI認證功能,還需要有特權管理基礎設施(PMI,Privilege Management Infrastructure)的功能,包含有建立發布器提交文件ID的有效閱讀時間, 文件ID的閱讀對象,以及註冊登記的閱讀器ID和閱讀器的驗證信息。伺服器與閱讀器通過 PKI相互認證;伺服器驗證讀者的方法是通過讀者自己的私鑰籤名,通過ssl傳給伺服器, 伺服器利用閱讀的公鑰驗證籤名來認證讀者。伺服器通過文檔ID、文檔頭的散列值以及文檔內容散列值來驗證文檔是否可信,在滿足伺服器PMI的條件下,將訪問密鑰、屏幕密鑰和內存密鑰通過VPN發送給閱讀器。閱讀器獲取發布器提供的加密文檔2111 ;每個閱讀器有自己的證書,閱讀器與伺服器相互認證,然後將閱讀器文件的散列值發送給伺服器驗證閱讀器是否被修改;同時將讀者的私鑰籤名所在系統的硬體信息。當閱讀器驗證成功後,閱讀器接收到訪問密鑰,並且通過訪問密鑰解密屏幕密鑰和內存密鑰。閱讀器將通過內存密鑰將存儲介質的文檔解密到內存,然後根據現實需要的頁面,將內存的密文,通過屏幕密鑰解密出來,列印在屏幕上。閱讀器不將任何文檔內容緩存到存儲介質,也只是在屏幕需要的頁面解密成明文,一旦不是需要顯示的頁面,立即隨機數清空內存的明文信息。因此,對於閱讀器的認證,主要採用經典的PKI認證方式,再輔助閱讀器本身的散列值驗證是否被修改,並且把判斷條件放在伺服器端。而閱讀器與伺服器關於讀者認證, 主要通過數字籤名的方式來認證。閱讀器通過內存為加密內容,只是將屏幕上顯示的頁面內容解密為明文,最大限度降低內存中的明文;同時採用不同層次加密的雙密鑰組合方式, 只有2個密鑰都收集到才能解密,相對於目前的一次密鑰,安全性增加;並且有效增強抗暴力解密。閱讀器還通過拒絕列印的方式,杜絕通時列印方式洩密的風險;任何需要列印的, 都必須從發布器獲取列印資料,有效保護電子文檔的版權。因此,本發明的方法可以有效解決組織的電子文檔安全閱讀,最大限度降低洩露的風險。其優點和特點如下(1)採用閱讀器認證的方式,彌補整個安全鏈中閱讀器環節的弱安全性問題。因為閱讀器通過PKI認證,並且通過散列值判斷閱讀器是否被惡意修改。相對於以前完全相信閱讀器來說,安全性增強。(2)在閱讀系統中,通過訪問密鑰,內存密鑰和屏幕密鑰多重密鑰的組合,用一個密鑰去管理另外的兩個密鑰,並且內存密鑰和屏幕密鑰不同層次的加密,既增加了傳輸環節、內存環節的閱讀安全,有方便管理。(3)系統分為發布器、閱讀器和伺服器三部分,發布器將密鑰和密文分離,引入特權管理基礎設施(PMI,Privilege Management Infrastructure) 採用這種方式,即使閱讀器假冒文件ID和所需的文檔校驗信息,伺服器還可以通過證書中的身份,與被閱讀文件的訪問權限,決定是否提供閱讀需要的密鑰,如果讀者沒有這個電子文檔的訪問權限,依然無法閱讀電子文檔。(4)採用屏幕窗口的方式,只解密屏幕需要顯示的頁面,最大限度降低電子文檔在內存中的明文。
圖1是發布器製作給閱讀器的加密文檔;圖2是發布器製作給伺服器的屏幕密鑰加密信息;圖3是發布器製作給伺服器的內存密鑰加密信息;圖4是發布器製作給伺服器的訪問控制密鑰;圖5是閱讀器閱讀處理流程圖;圖6是具體實施方式
三的示意圖;圖7是具體實施方式
三的示意圖。
具體實施例方式具體實施方式
一多個閱讀器,一個發布器,一個伺服器PKI認證可以採用開源的openssl,閱讀器閱讀的最後文件格式是pdf格式,pdf 是國際標準組織(ISO)於2008年7月2日批准的國際標準,該格式對任何人開放並被使用標準號為ISO 32000-1。同時也可以採用adobe公司提供的免費開發sdk,或是採用開源的 Pdflib等來開發閱讀器,在後面的實施中不再解釋閱讀器的具體實現。發布器實施第一步通過虛擬印表機方式,將所有可以列印的文件格式轉換為PDF文件格式。 這一步的意義很重大首先可以滿足所有可以列印的電子文檔,比如word,pdf, txt, hmtl, excel, gif 等;更重要的是,通過此中方法,還可以有效過濾電於文檔中可能嵌入的隱藏信息。採用公知的ghostscript列印技實現。第二步自動生成屏幕密碼,作為PDF標準的用戶密碼,實現第一次加密。這時候的加密只是文件內部的流加密,其它地方依然是明文。具體加密內容,參考標準號為IS032000-1的pdf文件格式文檔。第三步通過密鑰,將屏幕密碼加密;將解密密鑰和被加密過與屏幕密碼保存在屏幕密鑰控制塊中。第四步自動生成內存密鑰對PDF文件整個文件加密(PDF第二次加密);將內存密鑰以及解密算法保存在內存密鑰控制塊。第五步發布器問閱讀文檔建立新的文件頭,包含文件ID,創建時間等基本信息, 連同兩次加密的文件件,形成閱讀器可以接收的電子文件,通過Email,FTP等方式發送出去。第六步自動生成訪問控制密鑰,同時利用訪問控制密鑰對內存密鑰控制塊和屏幕密鑰控制塊加密。第七步發布器為伺服器提供文件的一些基本信息,保存在訪問控制塊內,主要是為了讓伺服器驗證文檔是否真實,是否被修改的基本信息,將只包含訪問控制塊,內存密鑰控制塊以及屏幕控制塊的內容直接通過VPN安全通道發送給伺服器,發布器本地不保留任何密鑰信息;第八步發布器通過PKI認證,SSL VPN將包含訪問控制塊信息,內存密鑰控制塊和屏幕控制塊內容發送給伺服器伺服器伺服器實施包含三部分的內容,第一部分與發布器的交互,獲取必要的驗證信息。 這部分主要是通過PKI相互認證並且提供安全通道;然後從發布器獲取發布器發布文檔ID
6以及這個ID的一些驗證信息,比如文件頭的散列值,加密文件的散列值等。第二部分是伺服器自己的文檔授權控制管理。這部分實施可以包含這個文檔有效時間,可以被哪些用戶訪問閱讀等訪問控制管理。第三部分是伺服器與閱讀器之間的交互。具體實施是與閱讀器進行閱讀器認證,閱讀者認證和被閱讀文檔的認證;在滿足認證或是驗證的條件下,滿足訪問控制條件,最後將密鑰通過安全通道發送到閱讀器,做記錄,方便查詢或是追蹤。閱讀器閱讀器包含三部分,第一部分是與伺服器的認證或是驗證過程,包含閱讀器、閱讀者以及被閱讀文檔的認證或是驗證,在滿足授權條件下,獲取密鑰;第二部分是文檔從存儲介質或是網絡解密到內存第三部分是帶有用戶密鑰的Pdf文件的解密顯示過程,這部分是標準的Pdf格式。閱讀器的實施為第一步打開閱讀器,進行閱讀器認證或驗證;第二步打開文件,獲取文件頭中的訪問控制塊,獲取密鑰存放的伺服器IP,以及本文件的ID等信息。第三步閱讀者身份認證或驗證;第四步提供文檔ID,以及校驗信息,開始被閱讀文檔的認證或驗證;第五步伺服器通知結果,如果已經授權,並且文件屬於可閱讀器,獲取訪問控制塊,內存密鑰控制塊以及屏幕密鑰控制塊;第六步閱讀器根據訪問控制塊的加密算法和密鑰解密內存密鑰控制塊以及屏幕密鑰控制塊第七步根據用戶屏幕,計算當前需要實現的頁碼,計算需要讀取文件的地址第八步利用內存密鑰控制塊的密鑰實現從存儲介質(或是網絡)到內存的解密。第九步將屏幕控制塊的密鑰,算法以及被加密信息的密鑰,解密出pdf文件的內部密碼(用於內存到屏幕的解密)。
具體實施方式
二 多個閱讀器,一個發布器,多個伺服器負載均衡可以採用典型的三部分方法,也可以證發布器將信息都發布到多個伺服器,通過配置閱讀器不同的的伺服器IP位址,實現伺服器的負載均衡,圖6所示。也可以通過在閱讀器與伺服器之間,提供動態重定向伺服器地址的方式,實現伺服器的負載均衡。在閱讀器向伺服器申請的時候,伺服器如果當前負載重,不是與閱讀器直接進行認證,而是給它一個重定向的指令,指令中包含具體重定向的目的伺服器,這樣,閱讀器就可以向新的伺服器請求閱讀文檔的服務。因此實現負載均衡。具體實施三多個閱讀器,一個發布器,多個伺服器形成層次服務也可以採用伺服器給下級伺服器發送認發布器獲取的信息,伺服器與伺服器之間依然通過認證,下級伺服器的文檔控信息依賴上級伺服器,一直往上,最亮層的伺服器直接與發布器交互。如圖7所示,形成層次管理。
權利要求
1.一種電子文檔保密,認證,權限管理,權限擴散以及閱讀的方法,其特徵在於系統包含發布器,閱讀器和伺服器三部分,實現加密、解密、授權分離,並且相互制衡。在這三部分中,發布器負責加密,閱讀器負責解密,伺服器負責授權;發布器將自己的加密結果發送給閱讀器,而將加密密鑰發送給伺服器;伺服器負責文檔授權,並且根據發布器的加密密鑰為閱讀器提供解密密鑰,可以採用對稱密鑰,即是加密密鑰與解密密鑰一樣;閱讀器在經過認證後從伺服器獲取解密密鑰,解密顯示文檔。
2.根據權利1所述的一種電子文檔保密,認證,權限管理,權限擴散以及閱讀的方法, 其特徵是引入閱讀器認證。
3.根據權利1所述的一種電子文檔保密,認證,權限管理,權限擴散以及閱讀的方法, 其特徵是採用組合加密方式提供不同層面的加密,並且第三種密鑰來加密文檔加密的兩種密鑰。不同層次的加密,不是採用用一個密鑰加密一個文件,將加密後的文件再加密的方式;而是採用文件內加密,然後再整個文件加密的方式。
4.根據權利1所述的一種電子文檔保密,認證,權限管理,權限擴散以及閱讀的方法, 其特徵是文檔在內存為密文,只有需要在屏幕上顯示的頁面內容為明文。
全文摘要
電子文檔安全閱讀系統及其方法涉及計算機網絡信息安全技術領域,包含一個發布器,閱讀器和伺服器三部分,實現加密與解密、授權分離,相互制衡。在滿足公知的文檔驗證,身份認證下,增加閱讀器的認證,增強電子文檔安全鏈;提出內存也為密文,只有顯示屏幕顯示內容為明文,最大限度提亮內存洩密安全;創造性提出三層密鑰機制(訪問密鑰,內存密鑰,屏幕密鑰)的對電子文檔實現多輪多層次組合加密,有效解決電子文檔因存儲介質洩密、網絡傳輸洩密、內存洩密;獨立的授權,讓發布出去的電子文檔依然受控、方便多電子文檔多密鑰的管理與使用。
文檔編號H04L9/32GK102347836SQ20101016527
公開日2012年2月8日 申請日期2010年4月30日 優先權日2010年4月30日
發明者龔華清 申請人:龔華清