专利名称:电子文档保护系统及方法
技术领域:
本发明涉及一种信息保护系统及方法,特别是关于一种电子文档保护系统及方法。
背景技术:
随着计算机网络及信息技术的发展,电子文档的使用越来越频繁。例如对于商业秘密, 保密措施之一是建立商业秘密电子文档并归档管理。商业秘密是指不为公众所知悉,能为权 利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息。为了在出 现纠纷时能够提供符合法律规定的证据,商业秘密电子文档的安全性、时间有效性及内容有 效性至关重要。如何保证电子文档的安全性、时间有效性及内容有效性是个亟需解决的问题
发明内容
鉴于以上内容,有必要提出一种能够保证电子文档的时间及内容有效性的电子文档保护 系统及方法。
一种电子文档保护系统,该系统包括文件加密模块,用于利用对称密钥将电子文档对 称加密,得到加密电子文档;密钥加密模块,用于将对称密钥加密;信息摘要生成模块,用 于利用单向散列函数对加密电子文档进行运算,生成电子文档信息摘要;及时间戳获取模块 ,用于用电子文档信息摘要向第三方认证机构获得能够保证电子文档时间有效性的时间戳。
一种电子文档保护方法,该方法包括步骤建立电子文档;利用对称密钥将电子文档加 密,得到加密电子文档;将对称密钥加密;利用单向散列函数对加密电子文档进行运算,生 成电子文档信息摘要;及用电子文档信息摘要向第三方认证机构获得能够保证电子文档时间 有效性的时间戳。
本发明采用多种加密方式对电子文档进行处理,从而保证电子文档的安全性、时间有效 性及内容有效性。
图l为本发明电子文档保护系统较佳实施例的运行环境示意图。 图2为图1中电子文档保护系统10的功能模块图。 图3为本发明电子文档保护方法较佳实施例的流程图。
具体实施方式
参阅图1所示,是本发明电子文档保护系统较佳实施例的运行环境示意图。该运行环境 包括应用服务器l、客户机2、网络3及数据库4。电子文档保护系统10运行在应用服务器1上 ,所述应用服务器1通过网络3与所述客户机2相连,该应用服务器1还与数据库4相连。
该应用服务器1通过运行所述电子文档保护系统10对电子文档进行加密,将加密后的文 件储存至数据库4,并从第三方认证机构获得时间戳。所述时间戮也称为时间标记,它提供 了在某个特定时刻某些信息存在的证据。第三方认证机构提供可信任的时间戳服务,可以确 信被盖上时间戳的数据在加盖时间戳的那个时刻是存在的。应用服务器l还作为认证中心( Certificate Authority, CA),对用户签发、验证及管理数字证书。数字证书是目前国际 上最成熟并得到广泛应用的信息安全技术。数字证书可以证明各用户身份的真实性,保证用 户在网络上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性。
所述客户机2提供用户界面,供用户对电子文档进行操作,如建立、修改、査看电子文 档,并在所操作的电子文档上附加该用户的数字签名。
所述网络3是一种电子网络,其可以为互联网或其它基于传输控制协议/国际互联网协议 (Transport Control Protocol/Internet Protocol, TCP/IP)的网络。
参阅图2所示,是图1中电子文档保护系统10的功能模块图。该电子文档保护系统10包括 文件打包模块100、文件加密模块101、密钥加密模块102、信息摘要生成模块103、时间戳获 取模块104及发布模块105。
文件打包模块100用于将电子文档打包为打包文件(假设为m),并删除电子文档。电子 文档,例如商业秘密电子文档,通常包含多个文件,文件打包模块100将该多个文件打包为 一个打包文件,例如打包为*. zip格式的打包文件m,同时删除原有的电子文档。
文件加密模块101用于利用对称密钥K将打包文件m对称加密,得到加密打包文件Ek(m), 并将Ek(m)存入数据库4。对称加密的加密密钥与解密密钥(统称对称密钥)相同,用对称密 钥加密后的密文需要用对称密钥解密,对称密钥能够在计算机上随机生成。
密钥加密模块102用于将对称密钥K加密。首先,密钥加密模块102利用非对称加密密钥 P对对称密钥K非对称加密,得到Ep(K),并将Ep(K)存入数据库4。非对称加密的加密密钥( 非对称加密密钥)与其对应的解密密钥(非对称解密密钥)不相同,非对称加密密钥及其对 应的非对称解密密钥能够在计算机上比较方便的产生出来,但是由其中一个密钥推断另外一 个密钥极其困难。假设非对称加密密钥P所对应的非对称解密密钥是S。其次,密钥加密模块 102对非对称解密密钥S加密,得到E(S),并将E(S)存入数据库4。
若要获得打包文件m,首先需要对E(S)解密,得到非对称解密密钥S,再用S对Ep(K)解密,得到对称密钥K,最后利用K对加密打包文件Ek(m)解密,得到打包文件m,也就是说,需要 经过三次解密才能得到打包文件m,从而保证了电子文档的安全性。
信息摘要生成模块103用于利用单向散列函数对加密打包文件Ek(m)进行运算,生成电子 文档信息摘要MD。对于任意长度的信息,经过单向散列函数运算后,生成一个固定长度的散 列值(即信息摘要)。利用单向散列函数生成信息摘要可以保证信息的完整性和不可伪造性
时间戳获取模块104用于用电子文档信息摘要MD向第三方认证机构获得时间戳。第三方 认证机构提供可信任的时间戳服务,它接收来自客户端的任意数据,然后计算这些数据与当 地时间的信息摘要,并对得到的信息摘要进行签名,将签名返回给客户端。可以确信被盖上 时间戳的数据在加盖时间戳的那个时刻是存在的,从而保证了电子文档的时间有效性。
发布模块105用于将电子文档信息摘要MD及时间戳发布到公共平台,如发布到互联网上 ,以进一步证明电子文档的内容及时间有效性。
参阅图3所示,是本发明电子文档保护方法较佳实施例的流程图。
步骤S301,相关人员建立电子文档,并将相关人员的数字签名附加到该电子文档。电子 文档经常包括多个相关人员建立的多个文件,例如对于商业秘密,其电子文档包括提案资料 、审核文件及技术说明等多个文件,其相关人员包括例如提案人员、评审人员、技术说明撰 写人员。在建立电子文档的过程中,必须保证只有相关人员才能对电子文档进行操作,例如 査看、修改或建立文件。可以通过数字签名控制对电子文档的操作。相关人员在对电子文档 进行操作之前需要通过认证中心对其身份的验证,并且操作结束后在所操作的电子文档上附 加数字签名。数字签名与手写签名具有同等的法律效力,数字签名有助于保证电子文档的安 全性。
步骤S302,文件打包模块100将电子文档打包为打包文件m,并删除原有的电子文档。电 子文档通常包含多个文件,将该多个文件打包为一个文件,如打包为tzip格式的文件,可
便于后续处理。
步骤S303,文件加密模块101利用对称密钥K将打包文件m对称加密,得到加密打包文件 Ek(m),并将Ek(m)存入数据库4。对称加密的加密密钥与解密密钥(统称对称密钥)相同, 用对称密钥加密后的密文需要用对称密钥解密,对称密钥能够在计算机上随机生成。本实施 例采用DES对称加密算法对打包文件m对称加密,还可以采用其他的对称加密算法,如3-DES 、RC4、 Blowfish、 AES。
步骤S304,密钥加密模块102利用非对称加密密钥P将对称密钥K非对称加密,得到
6Ep(K),并将Ep(K)存入数据库4。非对称加密的加密密钥(非对称加密密钥)与其对应的解 密密钥(非对称解密密钥)不相同,非对称加密密钥及其对应的非对称解密密钥能够在计算 机上比较方便的产生出来,但是由其中一个推断另外一个极其困难。假设非对称加密密钥P 对应的非对称解密密钥是S。本实施例采用RSA非对称加密算法对对称密钥K非对称加密,还 可以采用其他的非对称加密算法,如E1 Gamal。
步骤S305,密钥加密模块102将非对称解密密钥S加密,得到E(S),并将E(S)存入数据库 4。本实施例采用基于口令加密算法对非对称解密密钥S加密。
打包文件m经过多次加密,得到E(S)。若要获得打包文件m,首先需要对E(S)解密,得到 非对称解密密钥S,再用S对Ep(K)解密,得到对称密钥K,最后用K对加密打包文件Ek(m)解密 ,得到打包文件m,也就是说,需要经过三次解密才能得到打包文件m,从而保证了电子文档 的安全性。
步骤S306,信息摘要生成模块103利用单向散列函数对加密打包文件Ek(m)进行运算,生 成电子文档信息摘要MD。对于任意长度的信息,经过单向散列函数运算后,生成一个固定长 度的散列值(即信息摘要)。利用单向散列函数生成信息摘要可以保证信息的完整性和不可 伪造性。本实施例采用SHA单向散列函数对加密打包文件Ek(m)进行运算,还可以采用其他的 单向散列函数,如MD5。
步骤S307,时间戳获取模块104用电子文档信息摘要MD向第三方认证机构获得时间戳。 第三方认证机构提供可信任的时间戳服务,它接收来自客户端的任意数据,然后计算这些数 据与当地时间的信息摘要,并对得到的信息摘要进行签名,将签名返回给客户端。可以确信 被盖上时间戳的数据在加盖时间戳的那个时刻是存在的,从而保证了电子文档的时间有效性
步骤S308,发布模块105将电子文档信息摘要MD及时间戳发布到公共平台,如发布到互 联网上,以进一步证明电子文档的内容及时间有效性。
权利要求
权利要求1一种电子文档保护系统,其特征在于,该系统包括文件加密模块,用于利用对称密钥将电子文档对称加密,得到加密电子文档;密钥加密模块,用于将对称密钥加密;信息摘要生成模块,用于利用单向散列函数对加密电子文档进行运算,生成电子文档信息摘要;及时间戳获取模块,用于用电子文档信息摘要向第三方认证机构获得能够保证电子文档时间有效性的时间戳。
2、如权利要求l所述的电子文档保护系统,其特征在于,所述电子文 档附有建立该电子文档人员的数字签名。
3、如权利要求l所述的电子文档保护系统,其特征在于,所述文件加 密模块采用DES对称加密算法对电子文档对称加密。
4、如权利要求l所述的电子文档保护系统,其特征在于,所述密钥加 密模块通过利用非对称加密密钥将对称密钥非对称加密,以及将非对称加密密钥所对应的非 对称解密密钥加密来实现将对称密钥加密。
5、如权利要求4所述的电子文档保护系统,其特征在于,所述利用非 对称加密密钥将对称密钥非对称加密的算法是RSA非对称加密算法。
6、
一种电子文档保护方法,其特征在于,该方法包括步骤 建立电子文档;利用对称密钥将电子文档加密,得到加密电子文档; 将对称密钥加密;利用单向散列函数对加密电子文档进行运算,生成电子文档信息摘要;及 用电子文档信息摘要向第三方认证机构获得能够保证电子文档时间有效性的时间戳。
7、如权利要求6所述的电子文档保护方法,其特征在于,所述建立电 子文档的步骤还包括将建立该电子文档人员的数字签名附加到该电子文档。
8. 如权利要求6所述的电子文档保护方法,其特征在于,所述利用对 称密钥将电子文档加密的算法是DES对称加密算法。
9. 如权利要求6所述的电子文档保护方法,其特征在于,所述将对称 密钥加密的步骤包括利用非对称加密密钥将对称密钥非对称加密;及 将非对称加密密钥所对应的非对称解密密钥加密。
10. 如权利要求9所述的电子文档保护方法,其特征在于,所述利用 非对称加密密钥将对称密钥非对称加密的算法是RSA非对称加密算法。
全文摘要
一种电子文档保护方法,该方法包括以下步骤建立电子文档;利用对称密钥将电子文档加密,得到加密电子文档;将对称密钥加密;对电子文档进行运算,生成电子文档信息摘要;及用电子文档信息摘要向第三方认证机构获得时间戳。本发明还提供一种电子文档保护系统。本发明采用多种加密方式对电子文档进行处理,从而保证电子文档的安全性、时间有效性及内容有效性。
文档编号H04L29/06GK101459661SQ20071020306
公开日2009年6月17日 申请日期2007年12月14日 优先权日2007年12月14日
发明者张琛琛, 李忠一, 林海洪, 谢德意 申请人:鸿富锦精密工业(深圳)有限公司;鸿海精密工业股份有限公司