专利名称:基于多重安全保护机制的电子文档安全分发方法
技术领域:
本发明属于数字内容安全技术领域,具体涉及基于多重安全保护机制的电子文档安全分发方法。
背景技术:
随着网络的普及和发展,数据安全越来越受到人们的重视。尤其是在开放、分散的分布式网络办公环境中,电子文档多域资源共享、跨域安全分发的需求快速增长。数据加密作为保障电子文档安全的基本技术之一,得到了广泛的应用,多域环境下的加密电子文档密文共享和安全传输的需求日益凸现。目前,大多数电子文档安全管理方案中,采用透明加解密技术对文档进行实时加解密,文档拥有者发送文档密文给接收方,由接收方向服务端提出解密申请。服务端解密后,将明文采用接收方的密钥加密,发送给接书方。该方案中服务端可以解密获得文档明文,并对文档明文进行存储备份。一旦服务端被攻击者攻破,文档明文将被泄露。因此,如果可以实现由公钥pkA加密m得到的密文变换为由公钥pkB加密m得到的密文,将很好的解决服务端解密文档获得明文的问题。如何通过服务端传输密文实现电子文档多域资源共享、跨域安全分发,成为一个重要的研究课题。1998年,Blaze、Bleumer和Straus在欧洲密码学会议上首次提出代理重密码概念,包括代理多重加密和代理重签名两部分。代理多重加密是指一个拥有额外信息的半可信代理者可以将由A的公钥加密m得到的密文变换为由B的密钥加密同一个明文得到的密文,而代理者并不能获得明文的任何信息。该方案可以解决很多应用环境中的实际问题,如加密的电子邮件转发、分布式文件系统、DRM跨域操作问题等。代理多重加密的出现,几乎是专门为解决DRM跨域操作管理问题设计的,提供了一个近乎完美的解决方案。
发明内容
为克服现有技术的不足,本发明提供基于多重安全保护机制的电子文档安全分发方法,以针对电子文档安全管理多域环境,提出基于代理多重加密机制的电子文档域分发协议,引入代理多重加密服务器,实现电子文档密文的传输,避免任何第三方(包括服务端、代理服务端、其它用户)获得文档明文,且减轻了服务端的工作负荷,为达此目的,本发明采用以下技术方案基于多重安全保护机制的电子文档安全分发方法提出一种基于代理多重加密的电子文档跨域分发模型图,如图I所示。该模型主要包括系统服务器,代理服务器,文档拥有者,用户。该模型通过代理多重加密机制,实现电子文档密文的传输,避免任何第三方获得文档明文。其主要特点在于(I)引入代理服务器,由系统服务端对代理服务器进行授权认证,产生代理密钥, 用于代理服务器在文档分发过程中对代理重密钥进行解密。(2)用户向系统服务端提出注册时,服务端将为每个用户生成一个代理多重加密密钥,该密钥由服务端的私钥和用户的私钥根据特定算法计算得出。当用户向服务端提出文档解密申请时,将由代理密钥加密后的代理多重加密密钥密文发送给代理服务器,代理服务器通过代理密钥,采用对称加解密算法,获得代理多重加密密钥。文档拥有者采用服务端的公钥对内容加密密钥进行加密,由接收方向代理服务器提出解密申请,代理服务器通过代理重密钥对内容加密密钥密文进行二次加密后发送给接收方,接收方采用自己的私钥获得内容加密密钥,而代理服务器和系统服务器都无法获得内容加密密钥明文。基于多重安全保护机制的电子文档安全分发方法,包括以下步骤代理服务器认证步骤Stepl :代理服务器P向系统服务器S发出申请代理请求,并提交IDp ;Step2 :系统服务器S随机生成一个密钥k,此密钥由系统服务器和代理服务器共享,系统服务器S用代理服务器的公钥Pkp对密钥k进行加密;Step3 :系统服务器S为代理服务器P生成代理授权证书,证书内容包括代理服务器P的公钥Pkp以及系统服务器的签名信息;St印4 :系统服务器S向代理服务器P发送α及代理授权证书License ;Step5 :代理服务器验证代理授权证书的签名,验证成功,根据自身的私钥解密获得密钥k ;否则,返回系统服务端验证失败。用户注册步骤Stepl :用户U向系统服务端发出用户注册请求,并提交个人信息IDu ;Step2 :文档拥有者O收到用户U的请求后,验证用户个人信息,验证通过,则进行下一步,否则,返回“reject”;Step3 :文档拥有者O采用内容加密密钥CEK加密电子文档,并用服务端S的公钥加密内容密钥;Step4 :文档拥有者O为用户U设置对电子文档D的使用权限R,如阅读次数、复制、 打印、二次转发等权利;Step5 :文档拥有者O打包封装权限及电子文档密文,并发送给用户U。代理多重加密步骤Stepl :用户U向服务端S发送密文解密申请,并发送相关信息给服务端(注意这里不发送内容密钥密文给服务端);St印2 :服务端S存储文档D相关信息;Step3 :服务端S根据用户U的个人信息,选择代理服务器P,并将P的相关信息发送给用户;Step4 :用户收到代理服务器IDp后,向代理服务器P发送代理多重加密请求;Step5 :代理服务器P对内容加密密钥密文Y进行代理多重加密;Step6 :代理服务器发送代理多重加密后的内容加密密钥密文给用户U。电子文档解密步骤Stepl :用户U收到代理服务器发送的内容加密密钥密文δ后,用自己的私钥sku 解密获得CEK ;St印2 :用户U根据CEK解密获得文档D ;
Step3 :用户U根据权限R对电子文档D执行相应的操作。采用了本发明的技术方法,引入代理多重加密服务器,实现电子文档密文的传输, 避免任何第三方(包括服务端、代理服务端、其它用户)获得文档明文,且减轻了服务端的工作负荷。与现有技术相比,本方法具有内容安全、加解密高效、系统开销平衡、可扩展性强的特点,且服务端以密文方式存储文档,保证了文档的安全性。
图I是基于代理多重加密的电子文档跨域分发模型图。
具体实施例方式下面结合附图并通过具体实施方式
来进一步说明本发明的技术方案。本发明技术方案基于多重安全保护机制的电子文档安全分发方法涉及到三个实体,包括服务端、代理服务端、其它用户。方案中设计的跨域环境下电子文档安全分发协议包括代理服务器认证过程、用户注册过程、代理多重加密过程、电子文档解密过程。电子文档分发模型如图I所示。相关符号定义如表I所示。表I符号定义
权利要求
1.基于多重安全保护机制的电子文档安全分发方法,其特征在于,包括代理服务器认证过程,步骤如下Stepl :代理服务器P向系统服务器S发出申请代理请求,并提交IDp ;Step2 :系统服务器S随机生成一个密钥k,此密钥由系统服务器和代理服务器共享,系统服务器S用代理服务器的公钥Pkp对密钥k进行加密;Step3 :系统服务器S为代理服务器P生成代理授权证书,证书内容包括代理服务器P 的公钥Pkp以及系统服务器的签名信息;St印4 :系统服务器S向代理服务器P发送α及代理授权证书License ;Step5 :代理服务器验证代理授权证书的签名,验证成功,根据自身的私钥解密获得密钥k ;否则,返回系统服务端验证失败。
2.根据权利要求I所述的基于多重安全保护机制的电子文档安全分发方法,其特征在于,其特征在于,还包括用户注册过程,步骤如下Stepl :用户U向系统服务端发出用户注册请求,并提交个人信息IDu ;Step2 :文档拥有者O收到用户U的请求后,验证用户个人信息,验证通过,则进行下一步,否则,返回“reject”;Step3 :文档拥有者O采用内容加密密钥CEK加密电子文档,并用服务端S的公钥加密内容密钥;Step4 :文档拥有者O为用户U设置对电子文档D的使用权限R,如阅读次数、复制、打印、二次转发等权利;Step5 :文档拥有者O打包封装权限及电子文档密文,并发送给用户U。
3.根据权利要求I所述的基于多重安全保护机制的电子文档安全分发方法,其特征在于,还包括代理多重加密过程,步骤如下Stepl :用户U向服务端S发送密文解密申请,并发送相关信息给服务端(注意这里不发送内容密钥密文给服务端);St印2 :服务端S存储文档D相关信息;Step3 :服务端S根据用户U的个人信息,选择代理服务器P,并将P的相关信息发送给用户;Step4 :用户收到代理服务器IDp后,向代理服务器P发送代理多重加密请求;Step5 :代理服务器P对内容加密密钥密文Y进行代理多重加密;Step6 :代理服务器发送代理多重加密后的内容加密密钥密文给用户U。
4.根据权利要求I所述的基于多重安全保护机制的电子文档安全分发方法,其特征在于,还包括电子文档解密过程,步骤如下Stepl :用户U收到代理服务器发送的内容加密密钥密文δ后,用自己的私钥sku解密获得CEK ;St印2 :用户U根据CEK解密获得文档D ;Step3 :用户U根据权限R对电子文档D执行相应的操作。
全文摘要
本发明公开了基于多重安全保护机制的电子文档安全分发方法,属于数字内容安全技术领域。本发明方法引入代理多重加密服务器,实现电子文档密文的传输,避免任何第三方(包括服务端、代理服务端、其它用户)获得文档明文,且减轻了服务端的工作负荷。该协议中用户注册时,服务端将为其计算出一个代理多重加密密钥,该密钥由服务端的私钥和用户的公钥根据特定算法生成。文档拥有者采用服务端的公钥加密内容加密密钥,文档接收方向服务端提出解密申请时,代理服务器采用文档接收方的代理多重加密密钥对内容密钥密文进行二次加密,将重加密后的密文发送给用户,用户采用自己的私钥解密获得内容加密密钥,从而解密获得文档明文。与现有技术相比,本发明方法具有内容安全、加解密高效、系统开销平衡、可扩展性强的特点,且服务端以密文方式存储文档,保证了文档的安全性。
文档编号H04L29/06GK102594824SQ20121004114
公开日2012年7月18日 申请日期2012年2月21日 优先权日2012年2月21日
发明者蒋铭, 闫玺玺, 马兆丰, 黄勤龙 申请人:北京国泰信安科技有限公司