专利名称:电子文档安全阅读系统及其方法
技术领域:
本发明涉及计算机网络信息通信安全技术领域,包含电子文档的审核,存储,传播和阅读的系统及其方法。
背景技术:
在现有的阅读软件中,大部分是利用编辑软件作为阅读软件,以及少部分的专有阅读软件(后面统称阅读软件);虽然它们也集成一定的安全功能,但是从保护的强度和功能都满足不了亮安全要求的用户。从保护的强度来说,主要提供口令,而口令因为记忆方便不可能很复杂,容易被口令字典或是猜测到;并且在通过键盘输入口令的过程中,存在口令被木马病毒等窃听的风险;并且大部分的编辑软件为了提亮效率,将文档内容通过缓中的方式保存到存储介质,也存在通过临时文件没有安全保护的风险。从安全功能来说,阅读软件需要的只是口令,而没有其它的辅助安全手段。因此,理由传统的口令方式的阅读软件存在很大的安全风险。伴随安全理论提亮,特别是PKI体系的成熟,出现更安全的阅读系统,主要为通过数字证书和签名的方式可以相互认证身份;通过文档内容的散列值验证文档是否经过修改;通过VPN密文传输文档;介质加密解密技术保护存储介质;水印等各种方式的电子文档信息隐藏技术。这些安全措施在传输过程安全,收发方认证,文档真实性和完整性有重要提亮。但是,从整个安全链上看,目前依然存在以下的问题首先,阅读器本身没有被认证导致重大的安全隐患第一,阅读器本身没有被认证导致权限控制失败作为文档阅读的重要环节,阅读器本身的安全在整个安全链具有重要的作用。现阶段的阅读,基本都是提供一个加密的文档,通过插件的方式提供认证和解密,然后交给通用的阅读器。而通用阅读器阅读的文件格式一般是公开的,任何人都可以根据文件可是开发自己的阅读器,因此,就存在这样的一种风险,某人自己开发了标准文档的阅读器,然后忽略文档本身的权限控制特性,让所有权限打开,从而得到明文,保存为新的标准文件,将此文件泄露出去。比如针对比较流行的PDF文件的pdf阅读器,虽然在PDF文件格式中,有一个P专门定义打开文档的权限;如果自己选择一个开源的PDF阅读器,在打开PDF文件中,忽略文档中定义的打印、编辑、复制等权限,直接全部放开,这样让文件的权限控制基本没有保障。第一,阅读器本身没有被认证导致加密文档被解密成明文泄露既然没有被认证,就可以利用一个经过修改过的阅读器,在帮你正常打开密文,在你正常阅读的过程中,阅读器可以在后台将整个密文另外保存为一个没有任何限制的文档,导致文档泄密。第三,阅读器本身没有被认证可能导致私有密钥泄密对于需要PKI认证打开的文档,当用户提供私有密钥打开一个需要认证的文档, 就把自己的私有密钥交给了阅读器;如果这是一个植入木马的阅读器,就可以轻而易举获取用户的私密,这样的结果更危险。因此,作为一个安全链,必须正确对待阅读器的安全问题。其次,基于PKI思想的点对点方式不利于应用比如专利ZL200410013513. 2利用PKI思想,很好解决了点对点的安全,但是却没有解决好点对多的问题。虽然操作上让一个发送方为每个接收方建立一个密文文件,但是实际操作却很麻烦。比如政府内部的一个通知,通知对象可能上万个,不可能为每个对象生成一个密文文件。再次,内存明文也存在泄密的风险在今天网络技术亮度发达的时代,病毒、网络蠕虫、间谍软件随处可见,操作系统、 数据库、应用软件漏洞百出的条件下,难免有某些软件通过内存搜索内存来获取某些敏感信息。比较有意思的是,绝大多数的阅读器在内存都是明文保存,因此,有效降低内存中明文泄密也是现在没有解决的问题。所以,我们需要在保障公知的安全身份认证,文档认证(包含文档校验和加密文档)以及阅读权限的前提下,需要解决阅读器安全,内存明文安全,并且在安全的前提下方便使用。
发明内容
为了克服现在技术的文档阅读安全功能不能满足亮要求性的需求,提供了一种电子文档安全阅读系统及其方法,以满足下面的需求而达到本发明的目的(1)文档传输和保存的机密性;(2)文档发出者,文档阅读者认证可信性;(3)文档的真实性和完整性;(4)文档的可控阅读性;在拥有加强基本的安全下,增强的安全为(5)阅读器的认证可信性;(6)内存防泄密安全性;(7)实施方使性;首先,本系统抛弃传统的发送方和接收方模式,变为发布器,阅读器和服务器三部分。—个文档需要发布,首先交给发布器;发布器先文档的格式通过虚拟打印机技术转为pdf文档格式,将输入文档1转为Pdf格式的文档2 ;再自动产生1 字节的用户密码 3,将文档2利用pdf标准力密生成密文21 ;再自动生成密钥4,将加密的文档21加密为文档211 ;将文档211添加文件头hl,文件头的基本信息包含文件ID以及生成时间等,这个包含文档211和文件头hi的文档为文档2111。此文档可以通过邮件,FTP等各种方式发送出去,供阅读器使用。同时,发布器自动创建一个密钥5将用户密码3加密为密码31,密钥 5和密码31构成屏幕密钥si ;发布器自动创建密钥6将密钥4加密为内存密钥ml,将屏幕密钥si加密为密钥sll ;将一个包含密钥6,文档2111的ID号,文档211的散列值,文件头 hi的散列值统称为访问控制密钥vl ;发布器通过SSL与服务器相互认证,发布器通过VPN 将访问控制密钥vl,内存密钥ml以及屏幕密钥sll传给服务器。
服务器与发布器相互认证,并且从发布器获取到访问控制密钥vl,内存密钥ml 以及屏幕密钥sll。将所有信息通过私钥加密保存为文件Π,同时建立文件ID与文件Π 的关联关系;服务器除开有PKI认证功能,还需要有特权管理基础设施(PMI,Privilege Management Infrastructure)的功能,包含有建立发布器提交文件ID的有效阅读时间, 文件ID的阅读对象,以及注册登记的阅读器ID和阅读器的验证信息。服务器与阅读器通过 PKI相互认证;服务器验证读者的方法是通过读者自己的私钥签名,通过ssl传给服务器, 服务器利用阅读的公钥验证签名来认证读者。服务器通过文档ID、文档头的散列值以及文档内容散列值来验证文档是否可信,在满足服务器PMI的条件下,将访问密钥、屏幕密钥和内存密钥通过VPN发送给阅读器。阅读器获取发布器提供的加密文档2111 ;每个阅读器有自己的证书,阅读器与服务器相互认证,然后将阅读器文件的散列值发送给服务器验证阅读器是否被修改;同时将读者的私钥签名所在系统的硬件信息。当阅读器验证成功后,阅读器接收到访问密钥,并且通过访问密钥解密屏幕密钥和内存密钥。阅读器将通过内存密钥将存储介质的文档解密到内存,然后根据现实需要的页面,将内存的密文,通过屏幕密钥解密出来,打印在屏幕上。阅读器不将任何文档内容缓存到存储介质,也只是在屏幕需要的页面解密成明文,一旦不是需要显示的页面,立即随机数清空内存的明文信息。因此,对于阅读器的认证,主要采用经典的PKI认证方式,再辅助阅读器本身的散列值验证是否被修改,并且把判断条件放在服务器端。而阅读器与服务器关于读者认证, 主要通过数字签名的方式来认证。阅读器通过内存为加密内容,只是将屏幕上显示的页面内容解密为明文,最大限度降低内存中的明文;同时采用不同层次加密的双密钥组合方式, 只有2个密钥都收集到才能解密,相对于目前的一次密钥,安全性增加;并且有效增强抗暴力解密。阅读器还通过拒绝打印的方式,杜绝通时打印方式泄密的风险;任何需要打印的, 都必须从发布器获取打印资料,有效保护电子文档的版权。因此,本发明的方法可以有效解决组织的电子文档安全阅读,最大限度降低泄露的风险。其优点和特点如下(1)采用阅读器认证的方式,弥补整个安全链中阅读器环节的弱安全性问题。因为阅读器通过PKI认证,并且通过散列值判断阅读器是否被恶意修改。相对于以前完全相信阅读器来说,安全性增强。(2)在阅读系统中,通过访问密钥,内存密钥和屏幕密钥多重密钥的组合,用一个密钥去管理另外的两个密钥,并且内存密钥和屏幕密钥不同层次的加密,既增加了传输环节、内存环节的阅读安全,有方便管理。(3)系统分为发布器、阅读器和服务器三部分,发布器将密钥和密文分离,引入特权管理基础设施(PMI,Privilege Management Infrastructure) 采用这种方式,即使阅读器假冒文件ID和所需的文档校验信息,服务器还可以通过证书中的身份,与被阅读文件的访问权限,决定是否提供阅读需要的密钥,如果读者没有这个电子文档的访问权限,依然无法阅读电子文档。(4)采用屏幕窗口的方式,只解密屏幕需要显示的页面,最大限度降低电子文档在内存中的明文。
图1是发布器制作给阅读器的加密文档;图2是发布器制作给服务器的屏幕密钥加密信息;图3是发布器制作给服务器的内存密钥加密信息;图4是发布器制作给服务器的访问控制密钥;图5是阅读器阅读处理流程图;图6是具体实施方式
三的示意图;图7是具体实施方式
三的示意图。
具体实施例方式具体实施方式
一多个阅读器,一个发布器,一个服务器PKI认证可以采用开源的openssl,阅读器阅读的最后文件格式是pdf格式,pdf 是国际标准组织(ISO)于2008年7月2日批准的国际标准,该格式对任何人开放并被使用标准号为ISO 32000-1。同时也可以采用adobe公司提供的免费开发sdk,或是采用开源的 Pdflib等来开发阅读器,在后面的实施中不再解释阅读器的具体实现。发布器实施第一步通过虚拟打印机方式,将所有可以打印的文件格式转换为PDF文件格式。 这一步的意义很重大首先可以满足所有可以打印的电子文档,比如word,pdf, txt, hmtl, excel, gif 等;更重要的是,通过此中方法,还可以有效过滤电于文档中可能嵌入的隐藏信息。采用公知的ghostscript打印技实现。第二步自动生成屏幕密码,作为PDF标准的用户密码,实现第一次加密。这时候的加密只是文件内部的流加密,其它地方依然是明文。具体加密内容,参考标准号为IS032000-1的pdf文件格式文档。第三步通过密钥,将屏幕密码加密;将解密密钥和被加密过与屏幕密码保存在屏幕密钥控制块中。第四步自动生成内存密钥对PDF文件整个文件加密(PDF第二次加密);将内存密钥以及解密算法保存在内存密钥控制块。第五步发布器问阅读文档建立新的文件头,包含文件ID,创建时间等基本信息, 连同两次加密的文件件,形成阅读器可以接收的电子文件,通过Email,FTP等方式发送出去。第六步自动生成访问控制密钥,同时利用访问控制密钥对内存密钥控制块和屏幕密钥控制块加密。第七步发布器为服务器提供文件的一些基本信息,保存在访问控制块内,主要是为了让服务器验证文档是否真实,是否被修改的基本信息,将只包含访问控制块,内存密钥控制块以及屏幕控制块的内容直接通过VPN安全通道发送给服务器,发布器本地不保留任何密钥信息;第八步发布器通过PKI认证,SSL VPN将包含访问控制块信息,内存密钥控制块和屏幕控制块内容发送给服务器服务器服务器实施包含三部分的内容,第一部分与发布器的交互,获取必要的验证信息。 这部分主要是通过PKI相互认证并且提供安全通道;然后从发布器获取发布器发布文档ID
6以及这个ID的一些验证信息,比如文件头的散列值,加密文件的散列值等。第二部分是服务器自己的文档授权控制管理。这部分实施可以包含这个文档有效时间,可以被哪些用户访问阅读等访问控制管理。第三部分是服务器与阅读器之间的交互。具体实施是与阅读器进行阅读器认证,阅读者认证和被阅读文档的认证;在满足认证或是验证的条件下,满足访问控制条件,最后将密钥通过安全通道发送到阅读器,做记录,方便查询或是追踪。阅读器阅读器包含三部分,第一部分是与服务器的认证或是验证过程,包含阅读器、阅读者以及被阅读文档的认证或是验证,在满足授权条件下,获取密钥;第二部分是文档从存储介质或是网络解密到内存第三部分是带有用户密钥的Pdf文件的解密显示过程,这部分是标准的Pdf格式。阅读器的实施为第一步打开阅读器,进行阅读器认证或验证;第二步打开文件,获取文件头中的访问控制块,获取密钥存放的服务器IP,以及本文件的ID等信息。第三步阅读者身份认证或验证;第四步提供文档ID,以及校验信息,开始被阅读文档的认证或验证;第五步服务器通知结果,如果已经授权,并且文件属于可阅读器,获取访问控制块,内存密钥控制块以及屏幕密钥控制块;第六步阅读器根据访问控制块的加密算法和密钥解密内存密钥控制块以及屏幕密钥控制块第七步根据用户屏幕,计算当前需要实现的页码,计算需要读取文件的地址第八步利用内存密钥控制块的密钥实现从存储介质(或是网络)到内存的解密。第九步将屏幕控制块的密钥,算法以及被加密信息的密钥,解密出pdf文件的内部密码(用于内存到屏幕的解密)。
具体实施方式
二 多个阅读器,一个发布器,多个服务器负载均衡可以采用典型的三部分方法,也可以证发布器将信息都发布到多个服务器,通过配置阅读器不同的的服务器IP地址,实现服务器的负载均衡,图6所示。也可以通过在阅读器与服务器之间,提供动态重定向服务器地址的方式,实现服务器的负载均衡。在阅读器向服务器申请的时候,服务器如果当前负载重,不是与阅读器直接进行认证,而是给它一个重定向的指令,指令中包含具体重定向的目的服务器,这样,阅读器就可以向新的服务器请求阅读文档的服务。因此实现负载均衡。具体实施三多个阅读器,一个发布器,多个服务器形成层次服务也可以采用服务器给下级服务器发送认发布器获取的信息,服务器与服务器之间依然通过认证,下级服务器的文档控信息依赖上级服务器,一直往上,最亮层的服务器直接与发布器交互。如图7所示,形成层次管理。
权利要求
1.一种电子文档保密,认证,权限管理,权限扩散以及阅读的方法,其特征在于系统包含发布器,阅读器和服务器三部分,实现加密、解密、授权分离,并且相互制衡。在这三部分中,发布器负责加密,阅读器负责解密,服务器负责授权;发布器将自己的加密结果发送给阅读器,而将加密密钥发送给服务器;服务器负责文档授权,并且根据发布器的加密密钥为阅读器提供解密密钥,可以采用对称密钥,即是加密密钥与解密密钥一样;阅读器在经过认证后从服务器获取解密密钥,解密显示文档。
2.根据权利1所述的一种电子文档保密,认证,权限管理,权限扩散以及阅读的方法, 其特征是引入阅读器认证。
3.根据权利1所述的一种电子文档保密,认证,权限管理,权限扩散以及阅读的方法, 其特征是采用组合加密方式提供不同层面的加密,并且第三种密钥来加密文档加密的两种密钥。不同层次的加密,不是采用用一个密钥加密一个文件,将加密后的文件再加密的方式;而是采用文件内加密,然后再整个文件加密的方式。
4.根据权利1所述的一种电子文档保密,认证,权限管理,权限扩散以及阅读的方法, 其特征是文档在内存为密文,只有需要在屏幕上显示的页面内容为明文。
全文摘要
电子文档安全阅读系统及其方法涉及计算机网络信息安全技术领域,包含一个发布器,阅读器和服务器三部分,实现加密与解密、授权分离,相互制衡。在满足公知的文档验证,身份认证下,增加阅读器的认证,增强电子文档安全链;提出内存也为密文,只有显示屏幕显示内容为明文,最大限度提亮内存泄密安全;创造性提出三层密钥机制(访问密钥,内存密钥,屏幕密钥)的对电子文档实现多轮多层次组合加密,有效解决电子文档因存储介质泄密、网络传输泄密、内存泄密;独立的授权,让发布出去的电子文档依然受控、方便多电子文档多密钥的管理与使用。
文档编号H04L9/32GK102347836SQ20101016527
公开日2012年2月8日 申请日期2010年4月30日 优先权日2010年4月30日
发明者龚华清 申请人:龚华清