专利名称:通过在打印节点处的用户验证防止泄密的装置和方法
技术领域:
本发明的其中一个署名发明人已经提交了共同待审定的美国专利申请,标题为“提供保密通信的方法”(申请号08/251,486)、“硬件代理的流动软件许可”(申请号08/303,084)和“在基于硬件代理的系统中提供流动软件许可的方法”(申请号08/472,951)。这些申请由本申请的同一受让人所有。
本发明涉及数据保密领域。更具体来说,本发明涉及一种用于防止打印节点在确认打印节点处有保密信息的授权接收者之前输出保密信息的系统和方法。
随着更小、更快、更强大的计算机的不断出现,许多商家当前都在实现“分布式”网络(例如局域网之类)。这些网络的优点在于每个用户都能控制其自己的个人电脑。此外,出于经济上的原因,可能将多个用户连接到位于公共区域、向所有用户开放的不常使用的硬件设备,诸如打印节点。就本申请的范围而言,“打印节点”被定义为一种独立的、能接收、暂存和打印或以其它方式显示来自个人电脑或其它传输设备的数据的硬件设备。例如,打印节点可体现为打印机、与打印服务器组合运行的打印机、传真机、绘图仪、远程监控器等等。
分布式网络经常遇到的一个问题涉及保护文件(下文称为“敏感”文件)内的保密或专有信息不被未授权人员错误地或有意地读取。由于打印节点位于公共区域,在向打印节点传送打印作业后,发送者必须立即走到或跑到打印节点去收起敏感文件,以便保护其中所含信息的秘密。如果打印节点遇到临时性的问题(例如卡纸、缺纸、色料不足等)或者有其它打印作业在排队,发送者就必须在打印节点处等待问题的解决或者等待该打印作业的执行。
另一种办法是,如果可行,发送者可以返回其计算机,取消与敏感文件关联的打印作业。但是当然存在这样的风险,即文件将在发送者返回其计算机期间被打印或显示出来。然而,如果打印作业被误发到一个不同的打印节点—可能是一个远离现场的打印节点,则如果发现发送错误时打印作业已经开始,要保护敏感文件不被打印或显示并防止可能由来授权个人读取,相对来说可行办法就少了。
不管打印作业能还是不能被取消,对于分布式网络来说,人们在打印节点周围等待敏感文件浪费了宝贵的工作时间。这种浪费对发送者及其公司的生产率有不利的影响。
分布式网络遇到的另一个问题是为另一个地点的另一个人(例如协作者)打印时保护敏感文件中的保密信息不被公众阅览。当然,可以将敏感文件以加密的格式电子邮寄给协作者。但是有时用电子方法发送敏感文件并不理想,因为有可能文件内容被更改或/和电子转发到不希望的接收者。当然,可以将文件打印出来邮寄给协作者,但是明显存在缺点,诸如误时、邮件安全等等。因此,创造一个系统和方法来消除与保护从打印节点打印的、以发送者为对象或另一个接收者为对象的敏感文件相关联的低效率,也是有益的。
本发明涉及用于防止在打印节点本地验证预期的接收者之前由打印节点输出(例如打印、显示等)文件的副本的系统和方法。该系统包括发送节点、打印节点以及将这些节点以网络方式连接在一起的通信链路。发送节点能使用打印节点的公开密钥并用公开密钥先加密首标和文件后再在通信链路上传输到打印节点。打印节点可以使用其专用密钥来解密首标,以确定文件是否“敏感”(即要求在授权之前验证接收者)。如果是,打印节点就本地缓存文件,直到其接收到输出文件的授权。
本发明的特点和优点显见于以下对本发明的详细说明中,其中
图1是包含发送节点和打印节点的分布式安全网络系统的简化框图。
图2a和2b是采用不同的涉及打印节点的公开密钥的验证方法、二者都从发送节点向打印节点传输加密首标和文件的网络系统的框图。
图3是表示保证标记为含有保密信息的敏感文件在接收者出现之前不被输出的方法的流程图。
本发明涉及一种用于在预期接收者授权开始打印之前防止在打印节点打印敏感文件的装置和方法。尽管陈述了许多的细节来帮助彻底地理解本发明,对于本领域的一般熟练人员来说,本发明可以通过所说明实施例之外的许多不同实施例来实施,不偏离本发明的精神与范围。在其它实例中,对众所周知的电路、单元等等不作详细叙述,以免不必要地妨碍对本发明的理解。
在详细说明中,经常用到许多与密码技术相关的术语来描述某些特性或性质,现在此予以定义。“密钥”是一种用于常规密码算法的编码和/或解码参数。更具体来说,密钥是“n”位长的二进制数据的一个顺序分布(“串”),其中“n”是任意数字。“文件”一般定义为预定量的数据,诸如在总线周期序列中传输的一页或多页数据。“数字证书”定义为由广为人知的受托机构(例如银行、政府实体、贸易联合会、设备制造商、公司安全、系统管理等等)通过使用专用密钥用密码方法结合在一起的任何数字信息的集合。“数字签名”是一种用于用消息始发者的专用密钥来保证消息完整性的类似技术。
参看图1,该图表示配置成防止敏感文件被错误地打印的分布式安全网络系统的简化框图。安全网络系统100包括至少一个通过通信线路120连接到打印节点130的发送节点110。尽管未予表示,但可以将一个以上的发送节点通过类似于线路120的共享或独立的通信线连接到打印节点130。随着安全网络系统得到更大的商业接受,一般要将文件在发送节点110内加密后再放到通信线路120上。这将保护防止闯入者在文件向打印节点130传输时获得对保密信息的访问。所以,打印节点130最好包括有诸如在上述引用的交叉参考申请中披露的软件或硬件,用于在输出之前解密文件。
现在参看图2a-2b,图中表示了使用一种由发送和打印节点110和130采用的不对称密钥技术的网络系统的解释性实施例。这种不对称技术使用两个独立的密钥(称为“公开密钥”和“专用密钥”)来加密和解密。为了建立从发送节点110到打印节点130的单向通信,打印节点的公开密钥(“PUK”)应当能通过数个验证方法中的任何一个由发送节点110访问,验证方法诸如是通过基于网络的打印机密钥服务器、通过对所有网络节点在它们被加到网络时用相关的打印机公开密钥初始化、或通过任何其它可以想象的方法。这些可能方法每个都可以用一个或多个由至少一个受托机构发布的数字证书来获得PUK并核实其打印节点的真实性。
图2a表示一种获得并验证PUK的方法。受托机构如打印节点制造商225制造的打印节点130有一个公开密钥(“PUK”)210和一个专用密钥(“PRK”)211存储在打印节点130内实现的非易失性存储部件205内。此外,制造商225还在非易失性存储部件205内存储一个打印节点证书(“PNCert”)215。打印节点证书PNCert215相当于用制造商225的一个专用密钥(“PRKM”)226加密的至少PUK210。验证并将PUK存储在发送节点110的非易失性存储部件235中以后,也可以将PNCert215存储在非易失性存储部件235中。这种存储是任选的,因为除非PUK 210坏了或者偶然从发送节点110脱离,否则就不再需要PNCert215。
将打印节点连接到网络并将PNCert215分配到与网络相连的发送节点110之后,发送节点110就能用PNCert215来验证(i)打印节点的公开密钥(“PUK”)在其初始分配时的确实性和(ii)打印节点的特性(即它是否实施接收者验证过程)。这种验证可以由本地受托机构230(例如拥有打印节点的单位的系统管理员或安全部门)发放一个验证证书(“VCert”)240来完成,其中,验证证书是用本地受托机构的专用密钥(“PRKLTA”)231加密后的制造商的公开密钥(“PUKM”)227。本地受托机构的公开密钥(“PUKLTA”)232将广泛地为网络的用户所用。可以将验证证书240解密以获得PUKM207,用以通过解密PNCert215获得PUK210。
图2b表示另一例能获得以及验证PUK的方法,其中,本地受托机构230在内部验证PUK 210,然后再将其提供给发送节点110。如图所示,本地受托机构230通过用打印节点制造商的公开密钥(“PUKM”)227解密PNCert215来从打印节点130获得PUK210。然后,本地受托机构230创建一个本地生成的验证证书(“LVCert”)245,将LVCert245发送到发送节点110。与图2a的PNCert类似,需要的话可以在验证PUK210后将LVCert245存储在非易失性存储部件235中。发送节点110用广泛可获得的PUKLTA231来解密LVCert245。结果,发送节点110就获得了PUK210,它随后被存储在非易失性存储部件235中。
如图2a和2b二图中所示,在打印节点130的公开密钥“PUK”210向发送节点110开放使用之后,发送节点110就能用PUK210按非对称的“Rivest Shamir Adlemann”(“RSA”)算法来加密文件250。这就形成了一个要向打印节点130传输的加密文件255。此外,用目标打印节点130的公开密钥“PUK”210加密文件的首标260,产生加密的首标265。作为对打印作业进行RSA加密的替代方案,“首标”可含有一个“会话密钥”,然后由发送者和接收者双方使用,以执行所需的对文件的密码操作。众所周知,“首标”是一种用于减少通常与公开密钥密码术、特别是大型数据集的公开密钥密码术关联的计算性能的通用技术。然而,就本发明来说,首标260包括有允许打印节点130支持各种功能的控制信息。
例如,首标260可以包括表示文件是“敏感”文件的控制信息,方法是选择使文件具有一定的“保密”级别,由此,如果保密级别超过预定的(或标准的)级别,就要求对预期接收者现场验证后再打印文件。另一个例子是让首标260包括有敏感文件的打印副本的预期接收者的公开密钥。于是,在打印“敏感”文件之前,打印节点130要用预期接收者的公开密钥通过许多验证技术(它们将在下文讨论)之一来确认该接收者在场。再一个例子是控制信息可包含标记信息,如“仅作打印”标记。这个标记允许“敏感”文件250从打印节点130打印,但不允许文件250按其文本的格式在存储器中存储。这种“仅作打印”标记的逻辑扩展是控制信息包括一个参数,表示“敏感”文件允许被打印的次数。
在最佳实施例中,作为加密首标265与加密文件255结合而成的打印作业是通过公共域270传输,进入打印节点130的。打印节点130首先用PRK211将加密的首标265解密,以确认加密的文件255是否含有保密信息,要求打印节点130在预期接受者未在打印节点130现场时至少不打印文件250。这样,要将文件250在打印节点130内的缓冲存储器(未予示出)中暂时存储起来,最好—但不是必须—以其加密的格式存储。当接受到预期接收者在场的确认信息后,该加密就被(i)从缓冲存储器中检索、(ii)解密、(iii)打印。
预期会存在文件检索不到或缓冲存储器容量满的条件。在这些或其它相关条件下,需要从缓冲存储器“刷新”(即从存储器删除)一定的未检索文件,由此释放存储空间。这可以通过软件和/或硬件自动执行,或者由系统管理员、网络的用户等用手工执行。
有许多用于确认预期接收者在打印节点现场的验证技术。一种技术是在开始敏感文件的打印作业之前,等待预期接收者的个人身份号(“PIN”)通过打印节点上的键盘或数字键盘输入。就这种情况而言,打印节点可以含有存储器来存储与各识别的公开密钥关联的PIN,或者,可以通过首标将PIN传输到打印节点。
另一个技术是通过键盘输入一个“释放代码”。释放代码是特定于作业的,由发送节点在打印时生成,加到首标中。释放代码在计算机的显示监视器上显示短暂的时间以提供用户足够的信息来检索打印作业。如果预期接收者不是发送的用户,发送的用户就可以通过电话、电子邮件或其它任何手段将释放代码传达给预期接收者。
还有一个技术是使用某种验证令牌,诸如PCMCIA标识符卡或能插入打印节点的智能卡。不要求打印节点保持一个令牌标识的记录,要把令牌的公开密钥最好按加密的格式包括在首标中,传送给打印节点。这样,打印节点只需简单地将令牌的公开密钥与以前接收的打印作业的首标中的公开密钥匹配,用令牌执行一个标准的询问/应答协议。这种询问/应答协议通过证明令牌掌握了与首标特定的公开密钥对应的专用密钥的方法来保证令牌的真实性。
第四种技术是使用一种称为“生物测量学”的访问控制技术,这种技术采用一种主要用于设施保安(例如大楼、房间等等)的收集设备。生物测量学要检测用户的特征(例如指纹、眼球颜色、视网膜等等)来收集一个单一帧的数据(一般称为“数据帧”)或者更可能是多个数据帧的特征,将收集的数据帧与以前存储的主数据加以比较。如果收集的数据帧每个与所存储主数据比较正确,则用户被标识并验证。
参看图3,该图是展示网络系统的操作的流程图。首先,必须根据文件中是否含有保密和/或专用信息来将文件标识为“敏感”文件或者一般文件(步骤300)。如果是一般文件,当向打印节点传输文件时,发送节点创建一个首标,包括泄密保护信息,诸如“仅作打印”标签。该标签限制文件只能被打印,这就消除了对文件改动的机会(步骤305-310)。然后,将首标和文件加密后传输到打印节点。
然而,如果文件是“敏感”的,当向打印节点传输文件时,发送节点创建一个首标,包括验证预期接收者所需要的信息(公开密钥、令牌等等)以及任何其它泄密保护所需的信息(步骤305、315)。如果验证信息是释放代码,释放代码必须在发送节点的显示监视器上显示,以便使预期接收者能指示打印节点开始打印敏感文件(步骤320和325)。此后,将首标和文件加密,产生打印作业,然后将打印作业传输给打印节点(步骤330)。
打印节点在接收到打印作业时,解密首标以确定文件是否是“敏感文件”(步骤335和340)。如果文件是普通文件,打印节点就解密文件(步骤355),然后打印文件(步骤360)。然而,如果是敏感文件,打印节点就将加密的文件存储在内部缓冲存储器(步骤345),等待预期接收者确认其在打印节点附近(步骤350)。在通过提供PIN、释放代码、验论令牌之类收到验证时,打印节点便解密该文件,然后打印该文件(步骤355与360)。预期敏感文件可以在步骤345之前解密,这样,一旦目标接收者被识别,敏感文件就进入打印队列,然后打印(步骤360)。
本文描述的本发明可以用许多不同的方法设计,采用许多不同的配置。尽管本发明是以各种实施例来说明的,本领域的熟练人员知道还有其它实施例并不偏离本发明的精神和范围。因此本发明应当按文后的权利要求书来衡量。
权利要求
1.一种用于防止打印节点在确认文件的预期接收者在打印节点附近之前输出文件的副本的方法,该方法包含的步骤为为文件选择一个保密等级,其中文件是打印作业的一部分;为打印作业创建一个首标,如果保密等级大于或等于预定等级,所述首标为第一种首标,第一种首标含有至少(i)验证接收者的信息和(ii)至少包括保密等级的控制信息;传输打印作业到打印节点;分析所述首标以确定保密等级是否大于或等于预定等级,如果是,就在接收者得到验证以后输出文件。
2.根据权利要求1的方法,其中,为打印作业创建首标的步骤中,如果所选择的保密等级小于预定等级,则首标包括一个第二种首标,第二种首标由控制信息组成。
3.根据权利要求2的方法,其中,在传输步骤之前,该方法进一步包括用打印节点的公开密钥加密首标的步骤。
4.根据权利要求3的方法,其中,在传输步骤之前,该方法进一步包括用打印节点的公开密钥加密文件的步骤。
5.根据权利要求3的方法,其中,在传输步骤之后,该方法进一步包括用打印节点的专用密钥解密首标以确定保密等级的步骤。
6.根据权利要求4的方法,其中,在分析首标之后、经接收者验证后输出文件之前,该方法进一步包括的步骤为按由打印节点的公开密钥加密的格式缓存文件;及经接收者验证后用打印节点的专用密钥解密文件。
7.一种用于防止打印节点在确认文件的预期接收者在打印节点附近之前输出文件的副本的方法,该方法包含的步骤为为打印作业创建第一个首标,第一个首标含有至少(i)验证接收者的信息和(ii)至少包括保密等级的控制信息;用打印节点的公开密钥加密打印作业的第一个首标和文件;传输打印作业到打印节点;在打印节点存储加密的文件;及一旦接收者得到验证,就将加密的文件解密,将文件排队等待输出。
8.根据权利要求7的方法,其中,首标的控制信息包括接收者的公开密钥。
9.根据权利要求1的方法,其中,首标的控制信息包括仅供打印标记。
10.一种用于防止打印节点在确认文件的预期接收者在打印节点附近之前输出文件的副本的方法,该方法包含的步骤为为文件选择一个保密等级,其中文件是打印作业的一部分;为打印作业创建一个首标,其中,如果保密等级大于或等于预定等级,该首标就是第一个首标,含有至少(i)验证接收者的信息和(ii)至少包括保密等级的第一组控制信息,及如果保密小于预定等级,该首标就是第二个首标,含有第二组控制信息;加密打印作业;传输打印作业到打印节点;解密首标以获得保密等级,其中,如果保密等级大于或等于预定等级,就暂时存储文件,及一旦接收者得到验证就输出文件,如果保密等级小于预定等级,由打印节点准备待输出的文件。
11.一种配置成防止打印节点在接收到文件的预期接收者的本地确认之前输出文件的副本的系统,该系统包含一个通信链路;与通信链路相连的发送节点,发送节点包括一个存储部件,存储部件含有至少一个与打印节点关联的公开密钥,发送节点在通过通信链路向打印节点传输之前用公开密钥来加密首标和文件;及与通信链路相连的打印节点,打印节点包括一个存储部件,存储部件含有至少一个与打印节点关联的专用密钥,打印节点解密首标以获得文件的保密等级,如果保密等级超过预定等级,就在验证接收者位于打印节点之前防止文件被输出。
12.根据权利要求11的系统,其中,发送节点是计算机。
13.根据权利要求11的系统,其中,打印节点是打印机、绘图仪、传真机和显示监视器的其中之一。
14.根据权利要求11的系统,其中,发送节点的存储部件和打印节点的存储部件二者都是非易失性存储器。
15.根据权利要求11的系统,其中,打印节点的存储部件进一步含有一个至少是用所信任的机构的专用密钥加密的打印节点的公开密钥的数字证书。
16.根据权利要求11的系统,其中,打印节点包括内部存储器,用于存储文件,直到接收者在打印节点得到验证。
17.一种配置成或者立即将非保密文件排队、待从打印设备输出,或者防止从打印设备输出保密文件的副本、直到打印设备从文件的预期接收者收到接收者在打印设备附近的确认的系统,该系统包含用于用打印节点的公开密钥加密有第一种首标和保密文件的打印作业并传输加密的第一种首标和加密的保密文件到打印设备的发送设备,发送设备包括用于存储至少公开密钥的第一存储器;用于解密第一种首标、分析第一种首标以确定打印作业含有加密的保密文件并防止保密文件在确认接收者在打印设备处之前被打印的打印设备;及发送设备与打印设备之间的通信设备。
18.根据权利要求17的系统,其中,发送设备进一步用打印节点的公开密钥加密另一个有第二种首标和非保密文件的打印作业并传输加密的第二种首标和加密的非保密文件到打印设备。
19.根据权利要求18的系统,其中,打印设备进一步解密第二种首标以确定另一个打印作业有非保密文件并不经接收者验证就准备输出该非保密文件。
全文摘要
一种用于防止打印节点(130)在确认预期接收者在打印节点附近之前输出文件的副本的系统(100)和方法,系统(100)包括发送节点(110)、打印节点(130)和以网络方式将这些节点(110、130)连接在一起的通信链路(120)。发送节点(110)能访问打印节点(130)的公开密钥(210),用这个公开密钥(210)来加密首标(265)和文件(255)后在通信链路(120)上传输给打印节点(130)。打印节点(130)能访问其专用密钥(211)来解密首标(265)以确定文件(255)在输出之前是否要求来自预期接收者的验证。
文档编号H04L9/00GK1249095SQ97182070
公开日2000年3月29日 申请日期1997年1月24日 优先权日1997年1月24日
发明者D·L·达维斯, L·史密斯 申请人:英特尔公司