专利名称:数据保密系统的制作方法
技术领域:
本发明涉及一个用于数据管理的保密系统,例如应用于影印机、传真发送机/接收机,或PC或网络计算机系统。
在各种保密敏感的领域,例如在军事采购机构、银行和职业司法机构以及外交机构中都存在其文件被授权人或非授权人非法复制的风险,并因此导致数据的泄漏。与之相似,存在有未经授权用传真机发送图象的风险。问题是要控制这种未经授权的数据操作,而至今尚未发现有效的手段。
用于监视象影印机这样的数据操作设备的装置已经存在,例如在影印机具有若干使用者的场合,可将一个授权卡发放到个人,允许其利用给定的数目进行复制,且系统对于影印机的使用进行监督,以便一旦出现他/她已经使用了所授权的使用数目时而禁用该专用卡。同样,某些传真机可以有这样的选择,在其使用者能够发出信息之前,要求输入一个通行字或编码。另外的一些象PC和网络基站的若干计算机系统也使用给用户的授权通行字。
这种系统在刚刚描述的影印机和/或传真设备中的作用在于对设备的使用量保持某种形式的监督。而且,对计算机系统进行存取的通行字授权保证了只有″按需使用″的人士被允许接通计算机,而且有可能使得授权的用户处在不同的等级,以便使得许多用户能读取在计算机上的数据,但只有很少的用户允许接通而改变其数据。
在防止经过数据管理设备来发送或存储在其中的数据的未经授权的泄漏的尝试中,本发明提出不仅要输入用户的识别符,而且还要输入具体用户操作的数据。
因此,本发明的一个方面在于提供一个数据保密系统,它包括图象数据管理设备;用于产生预先授权用户的独有识别符的指示信息的识别装置;用于记录预先授权使用所说图象数据管理装置的用户的识别符指示信息的装置;用于将来自所说用户识别装置的识别符指示信息与由所说用于记录预先授权的用户的指示信息的装置所记录的信息相比较的装置,以便建立用户使用该设备的预先授权;用于在缺少此种用户的预先授权时禁动该图象数据管理装置的装置;图象数据接收装置;以及数据存储装置,被连接来从所说的图象数据接收装置接收图象数据和从所说的用户识别装置接收用户的识别信息,以便用可再生的形式对彼此相关的正被处理的图象数据和正在处理所说图象的用户的用户识别信息进行存储。
本发明的第二个方面在于提一种禁止对数据的未授权或非法的使用的方法,它包括有以下的步骤存储已经由图象数据管理设备的用户所处理或存取的数据;识别所说图象数据的用户;记录对于该图象数据管理设备的用户是独有的用户识别信息;在出现用户识别信息揭示用户识别符是未被预先授权的用户的情况中禁动该图象数据管理设备;以及将所说用户的识别符连同所使用的数据一起记录,以便随后存取用户的指示和所使用的数据。
本发明的第三个方面在于提供一种禁止对数据的未授权或非法的使用的方法,它包括有以下的步骤存储已经由图象数据管理设备的用户所处理或存取的数据;用于识别所说数据的用户的装置;和将所说用户的识别符连同所使用的数据一起记录的装置,以便随后存取用户的识别符和所使用的数据。
参考附图,以实例的方式在下面对本发明进行描述,以便使之得到理解,其中
图1是使用了根据本发明的数据保密系统的影印机的示意图;图2是使用在图1的影印机中的保密监督装置(SAD)的详细的示意框图;图3是与图2的保密监督装置一起使用的监督质询设备的示意图。
图1示出了一个影印机,其中在文件3上的图象由一个电光扫描头5扫描,其输出信号沿着一条柔性线路7发送到一个图象控制单元9。在图象控制单元9,当图象在打印头被打印时,来自穿行的扫描头5的数字数据可被处理,以便实现放大或缩小,或者以其它方式作处理(例如改变打印图象的对比度)。沿着一条传送线路13将图象从图象控制单元9传送到打印头11。
在这种传统的方式中,在打印头11打印的图象是以潜在的静电图象的形式传送到已经由充电单元19所充电的一个光导磁鼓17的充电表面的。随后借助显影单元21,采用调色剂将图象成象在图象区,以便使如此生成的调色剂图象在一个图象传送台23上传送到来自纸页馈送器27的一张纸页25上,并沿着纸页路径29送到一个传递托盘31。即便不是对于全部的,也是对于大多数传统的影印机而言,这种经过光传导表面通过充电单元19、静电潜在图象形成单元(打印头11)、显影单元21和图象传送台23的操作过程是共同的,包括那些具有从扫描头5到图象传送部分23的纯粹的光的传输和在托盘31处的打印纸页的传递的影印机也是如此。
根据本发明,一个第二图象发送线路33被接到一个保密监视装置(SAD)35,利用接口37将该装置可拆除地安装在影印机的主体上。
在图2中更详细地示出了保密监督装置,包括一个入孔连接器39,传送表示由影印机1复制的图象的数字数据。该数据被传送到数据的结合单元41,其输出传送到一个存储单元43,此情况中是以CD记录/播放单元的可写的形式。
数据的结合单元41的另一个输入来自一个用户数据阅读编码器45,它利用一个刷卡系统或一个普通的信用卡式的磁卡阅读器从一个卡阅读器47接收信号。以49示出的卡能由任何其它形式的识别用户的个人硬件所代替。
在利用阅读器47从卡49获取信号读出的同时,用户数据编码单元也从键盘51接收信号,用户能够从键盘51输入个人识别数据,例如个人的识别号码(PIN)或通行字。由编码器45产生的数据在41与表示正在处理的图象的数据相结合,并随后存储在CDROM记录/播放单元43中。该CD ROM单元43可以由能够容纳大量数据的合适形式的存储单元所代替。
用户识别数据编码器45还包括对照着卡49读出的信息而对在键盘51上输入的信息进行检测的装置,以便验证用户使用该复印机的权利。一个成功的验证将导致一个“有权复印”信号产生在来自编码器45的一条输出线46上,以便经一个复制使能端口48回送到复印机1。
可写的CD ROM系统尤其方便,因为已知这样的系统已经用于图象的存储和再生,以便能够在一张5.25″的CD ROM盘上存储高达2000幅完整的彩色图象,而且,可获得的单色图象的数目更是极其可观的。
为了扩展存储单元43的容量,可以预见,CD ROM记录/播放单元将包括可以被顺序填充的几个CD的一个卡盒。同样,在保密监督装置包括播放端口53的情况下,它们可以被顺序地回放。
在记录/播放单元43中的CD ROM盘上存储的数据可以由压缩/加密技术处理,以便以这种方式扩展能够存储的数据量。利用数据控制系统的用户授权所选择的一个码基准,用于CD ROM记录/播放单元的加密码将被保持在保密监督装置35中的一个EPROM上。
在加到一个影印机的保密监督装置35的构成中,存在有某种措施(measure),采用这种措施,能够避免数据存储器,例如CD ROM盘,的不必要的混乱。
比如说,在假设在多个图象的复制的每一个循环中是同一个图象被复制的情况下,当一个多个复制打印运行时,其中只需要一个图象被存储,以使得能够接受第一个复制的图象随用户的识别数据一起存储。为保证做到这一点,可以采取其它措施(防止图象的替代),例如记录在多重复制运行期间产生的一个“印板开放(platen open)”信号(表明该印板已被打开以便允许第一个文件由本应记录在数据存储器当中的进一步的文件所替代),或者借助于提供某种形式的图象识别单元(i)寄存一个表示一个文件被去除并由另一个取代的“全黑”的图象,或(ii)寄存由第二个文件对第一个文件的取代(甚至是简单地在多重复制印刷运行期间移动原始的文件)。这样的一个系统将有效地在多重复制运行期间提供其图象总是相同的验证,从而有效地实现了避免对于所复制的每一幅图象和全部的图象的存储的需要。在这种图象的替代出现的情况下,可以给出或记录一个告警。
保密监督装置35带有输出端口53,允许通过将一个监视器和/或打印机插入端口53实现对在CD ROM记录/播放装置43中的一个盘作质询。
另一个可能性是从单元43中去除CD ROM盘的盘盒并放置在一个CD ROM播放机55中(图3)以便实现查询的目的。换句话说,对于装置43而言是没有必要既能够记录也能够播放,但它必须至少能够记录从数据合并单元41接收的数据。
在图3中,CD ROM播放机55将其出口,即播放端口57连接到例如是能够提供监视器屏幕61和/或打印机63的一个PC的控制单元59的输入端,以便以即时可见的方式或以打印机63的硬拷贝的方式产生图象。
在图3的实施例中,其中的盘盒从保密监视装置35去除,并放置在一个CD ROM播放机中,用作控制单元的PC59也将要求通行字保护的屏幕显示,以便确保加密到EP ROM以控制针对在保密监督装置35中的CD ROM的加密码的同一个码在监视器屏幕61的观看数据或打印机63的打印数据之前已经被输入到PC59。换句话说,只有具体的被识别的个人,例如被授权保密的个人才能够接通在CD ROM上的存储的信息。
图象数据和操作者的识别数据将同时地被显示在屏幕上,以便允许作保密检测。如果在屏幕61上的观察预示存在着风险,则利用打印机63打印,以便提供进一步调查的硬拷贝。
经过一定的时间期,CD ROM盘可被归档在一个安全存储区中,从而替换任何以年代为基础而在过去放置的用于提供一些数据保密的硬拷贝系统。
利用图1-3示出的保密系统给出一个实例。
当用户希望以图1的影印机1制成一个拷贝时,必须首先输入其个人识别卡49在卡的阅读器47中(例如在刷卡阅读器的情况中刷卡或在腔式信用卡阅读器中刷卡),并且还必须在键盘51上输入其通行字或PIN。
随后,用户识别数据编码器45将PIN或通行字与来自卡49的数据相比较并在发送线路46上产生一个“复制授权”信号,送到“复印机使能”端口48。当影印机的“复印”按钮被按下的时候,为了使复印机能够扫描在印刷板上的图象,在端口48的这一信号是必要的。
在采用一个自动文件馈送器(ADF)的多原稿运行中,虽然对于每一个新原稿或一系列原稿用户都重复刷卡和PIN/通行字的输入操作是一个要求,但可以预见,用户可被要求通过在影印机上的适当的控制清除其识别数据,并要求其在将复印机留给下一个用户之前作这种操作。
每一次印刷板被打开和新的原稿3被插入时,用户识别数据编码器45就将准备用户的识别标记信号,该标记信号首先包括卡49的持有者的识别标记,其次是由时钟单元52所指示的日期和时间。连同从保密监督装置35的图象数据输入端口39第一原始接收的图象数据一起,该数据发送到数据合并单元41,并且,包括该第一复制和日期/时间的数字图象数据和用户识别信息的原稿数据块随后被存储在CD ROM盘或其它的存储装置上。
当一个特定的用户已经完成该影印机的使用并已经清除了识别数据时(并且是在信用卡式的阅读器时移去了其ID卡),下一个用户将需要通过上述的操作顺序来产生一个或多个光复制。
当是在CD ROM记录/播放单元时通过接通存储单元43的数据输出端口53,或是通过移去CD ROM盘并将其插入在图3的CD ROM播放单元55中,在任何阶段,保密个人都可以执行一个保密监督。不管是这两个系统那一个是可用的,该质询操作在保密人首先需要或是输入适当的加密码数据以便能够接通来自CD ROM播放操作的信息在屏幕61或必要时在打印机63的角度来看,是一样的。在图3的控制单元59中,这种加密码数据将被对照着先前存储在EP ROM的加密码数据而被检测,以便验证图3的监督设施的用户授权。如上所述,打印机63通常只是在当在屏幕上观察到有检测到保密风险的迹象时才使用。
保密监督装置35是与影印机单独地提供的,但趋于与和兼容SAD的复印机一起使用(即具有连接SAD的接口)。
在影印机上的“复印使能”端口将与该影印机的图象数据输出端口链接,其方式是使得当没有SAD35被接到影印机时,在该影印机能被使用之前,没有对于一个“影印授权”信号的请求被接收。
从其选择领域和选择时间的角度来看,采用的保密监督装置35可用在多个影印器之间共用,这样就更加强调了对于泄密风险的考虑。
至此,给出了涉及利用SAD使用影印机的实例。
相同的或相似的系统可以与传真发送/接收机结合使用,相同之处在于,只有当匹配的PIN/通行字数据和一个用户的识别卡被插入到与该传真机相关的一个保密监督装置(SAD)时,其传真发送操作才被授权。该SAD将被设计成要求一个传真发送的地址的识别以及取自传真发射机的扫描器的用户识别数据和时间/日期信息以及图象数据。
在传真接收期间SAD可以作相似的使用,其中,在一个接收的传真能够被打印和作接收传递之前,将需要输入来自一个ID卡和PIN/通行字键入的用户的识别数据。
传真发射机/接收机和SAD的彼此之间的相关的方式可见于上述的对于影印机/SAD组合的描述和说明,因此不需要单独的进一步的说明。
如上所述,本发明的保密监视系统的进一步的应用是在一个PC或一个网络计算机工作站的内容中,其中至少是通行字或PIN识别的用户识别数据和使用信息的时间以及存取的数据信息(在此称之为“图象数据”)将由SAD所存储。
利用合适的软件,存在这样的可能,即编码动态的用于SAD的指令以便实现对于低保密等级的信息的存取而不需要针对监督的存储及占据在SAD上的宝贵的存储空间,而更高的保密等级的设备可以自动地启动用于用户识别的SAD。
现存的通行字保护的计算机设备提供有保扩措施,确保没有相容的通行字或PIN的人不能接通计算机。但是,泄漏常常是通过有权接触该信息但误用了对他的信任而将一个硬拷贝或通过传真的发送泄漏受保护的信息造成的。利用本发明实现的保密监督装置,使之能够在日后的调查中得到所用的数据和当事人的用户识别,以及信息被处理之时的日期和时间的指示。这将能够在随后查询涉嫌卷入机密泄漏的人,直接的事实是,这种可得到的指示将会威慑任何授权的用户企图从该相同的受保护的保密区泄漏信息。
为了保证使任何企图泄漏信息的人都不能禁止SAD,考虑到的是将其放置在一个安全的外壳中,能够抵抗机械的和/或化学的攻击,且甚至是可以报警,以便保证任何对SAD的误用都被安全人员所警觉,以便调查发出告警的特定的设备。
本发明应用的数据管理设备的一个具体的适当的形式是称之为LHO的装置,它提供了一个B3影印机、传真发射机/接收机和打印机的组合。
权利要求
1.一个数据保密系统,它包括图象数据管理设备;用于产生预先授权用户的独有识别符的指示信息的识别装置;用于记录预先授权使用所说图象数据管理装置的用户的识别符指示信息的装置;用于将来自所说用户识别装置的识别符指示信息与由所说用于记录预先授权的用户的指示信息的装置所记录的信息相比较的装置,以便建立用户使用该设备的预先授权;用于在缺少此种用户的预先授权时禁动该图象数据管理装置的装置;图象数据接收装置;以及数据存储装置,被连接来从所说的图象数据接收装置接收图象数据和从所说的用户识别装置接收用户的识别信息,以便用可再生的形式对彼此相关的正被处理的图象数据和正在处理所说图象的用户的用户识别信息进行存储。
2.根据权利要求1的系统,还包括时间记录数据获取装置,连接到所说的存储装置,用于保证存储在所说的存储装置上的数据还包括指示数据被按照所识别的预先授权的用户的指令而被处理的时间信息。
3.根据权利要求1的系统,其中所说的用户识别装置包括用于读取用户识别卡的装置和用于输入用户的识别信息的键盘。
4.根据权利要求3的系统,其中所说的用户识别装置包括一个查验装置,用于核查用户识别卡和在键盘输入的用户识别信息之间的一致性。
5.根据任何在先的权利要求的系统,其中的数据存储装置包括一个具有写入能力的CD ROM盘记录单元,用于将图象数据和用户的识别数据输入到一个CD ROM盘上。
6.根据权利要求5的系统,其中的CD ROM盘记录单元包括一个供多个CD ROM盘所用的盘盒,它能顺序地填充图象数据和用户的识别数据。
7.根据权利要求1-4的任何之一的系统,其中的数据管理设备包括一个影印机,用于电扫描原始件以便获得所说原始件的数字图象数据并用于响应被扫描的图象的该数字图象数据而电形成一个静电潜在图象;或一个传真发射机和/或接收机,实现对于操作者的识别,对于用户的传真复制的指令发送和接收的识别;或一台个人计算机(PC);或一个网络的计算机工作站,该工作站的用户将随着用户已经存取的数据被识别。
8.根据权利要求7的系统,其中的图象数据管理设备是一台影印机,并包括响应多个打印复制操作的装置,用于只将第一个扫描的图象的数据信息的指示发送到存储器装置;还包括在多重复制运行期间响应被扫描的原始件的交换的装置,用于对图象的替换给出一个信号。
9.一种禁止对数据的未授权或非法的使用的方法,它包括有以下的步骤存储已经由图象数据管理设备的用户所处理或存取的数据;识别所说图象数据的用户;记录对于该图象数据管理设备的用户是独有的用户识别信息;在出现用户识别信息揭示用户识别符是未被预先授权的用户的情况中禁动该图象数据管理设备;以及将所说用户的识别符连同所使用的数据一起记录,以便随后存取用户的指示和所使用的数据。
10.根据权利要求9的方法,还包括伴随着使用的记录数据和用户的识别而对数据的使用时间和/或日期进行记录的步骤。
11.根据权利要求9或10的方法,其中的识别用户的步骤包括有进行验证的操作,在用户被给予对数据管理设备的存取之前,验证用户已经提供的识别卡和已经输入的一个相应的有效个人识别号码;以及将核查的识别信息连同已经使用的信息一起存储的操作。
12.基本上如前参考附图的描述和如图输出的一个数据保密系统。
13.基本上如前参考附图的描述的一种禁止未授权或非法使用信息的方法。
全文摘要
一种数据保密系统,调查数据管理设备的预先授权用户的识别符以及由用户处理的数据和用户的识别的存储情况,以便随后由保密人员所存取。除非用户已被事先授权,则即使是以及建立了识别符,系统也不能启动。在一个实施例中图象数据表示一个复制的原本和存储的用户识别。
文档编号H04N1/00GK1154774SQ9519443
公开日1997年7月16日 申请日期1995年8月1日 优先权日1995年8月1日
发明者R·布拉莫尔 申请人:杰斯特纳管理有限公司