CN111611615A - 一种可打印文件授权查阅的方法 - Google Patents

一种可打印文件授权查阅的方法 Download PDF

Info

Publication number
CN111611615A
CN111611615A CN202010380542.1A CN202010380542A CN111611615A CN 111611615 A CN111611615 A CN 111611615A CN 202010380542 A CN202010380542 A CN 202010380542A CN 111611615 A CN111611615 A CN 111611615A
Authority
CN
China
Prior art keywords
file
authorization
information
user
bytes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010380542.1A
Other languages
English (en)
Inventor
王珂
王永起
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Tongzhi Weiye Software Co ltd
Original Assignee
Shandong Tongzhi Weiye Software Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Tongzhi Weiye Software Co ltd filed Critical Shandong Tongzhi Weiye Software Co ltd
Priority to CN202010380542.1A priority Critical patent/CN111611615A/zh
Publication of CN111611615A publication Critical patent/CN111611615A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种可打印文件授权查阅的方法,主要包含虚拟打印模块、文档浏览器及授权服务器。虚拟打印模块以虚拟打印机的方式为可打印文件提供支持,能够将可打印文件转换为PDF/OFD格式的版式文件。文档浏览器是可与授权服务器交互,完成文档的授权以及验权查阅。授权服务器是云端的一个服务应用,其与文档浏览器通过SSL协议完成交互,保障数据传输的安全性。授权服务器支持用户通过手机号码、邮箱等身份信息进行注册登记。本发明能够将任意可打印文件添加相关访问授权属性,支持限定访问人员、时间、地点、次数等应用需求。

Description

一种可打印文件授权查阅的方法
技术领域
本发明涉及一种可打印文件授权查阅的方法。
背景技术
可打印文件授权访问基本是通过某个***权限来设定文件的访问授权,文件自身并不具备私密性、安全性,有些方案通过加密手段在一定程度上保护了文件的安全性,但是存在加密密钥传输安全隐患、密钥集中存储等隐患。具体的,现有技术存在以下缺点:
1、文件的私密性
很多方案中,文件自身没有进行任何技术处理,只要是能够通过某种手段拿到文件即可无需任何授权进行访问。
2、文件颗粒度控制较粗
有些方案对文件进行了加密,但是没有对文件的访问次数、地点、时间等其他要素进行颗粒化控制,缺少管控条件
3、密钥风险
现有的处理密钥一般存储在文件自身或集中存储在服务端,客户端通常存在逆向暴力破解风险,而服务端则由于密钥集中存放,一旦被攻破则面临着更大风险。
4、文件类型受限
现有文件的处理,往往依赖于一个具体的***,而没有具体到文件自身,脱离其***自身,则授权无法控制。同时,授权的文件仅限于特定的文件类型,不具备通用性。
发明内容
为了解决上述问题,本发明提供一种能够将任意可打印文件添加相关访问授权属性,支持限定访问人员、时间、地点、次数等应用需求的可打印文件授权查阅的方法。
本发明的技术方案为:
一种可打印文件授权查阅的方法,包括如下步骤:
A授权:
a1、用户选定待授权文件,通过虚拟转换模块生成版式文件F;
a2、用户可通过文件浏览器载入F,确认待授权文件内容无误;
a3、用户在文件浏览器中登录到授权服务器,并把自己当前身份所对应的接收人列表信息拉至文件浏览器本地;
a4、用户选择要发送文件的接收人信息,并设定授权内容;
a5、在本地进行加密,并添加构造的授权文件头;
a6、上传授权信息至授权服务器,导出处理后的文件完成授权;
B验权:
b1、用户通过文件浏览器登录授权服务器;
b2、导入已授权文件;
b3、解析读取授权文件信息,把本地信息和身份信息传递到授权服务器;
b4、服务端授权验证,验证通过,则回传客户端加密算法、服务端密钥等信息;
b5、本地解密到内存并展示。
a5中本地加密的步骤包括:授权服务器认证当前状态用户状态,如有效则随机从加密算法组中获取某一对称加密算法E,随机生成密钥K,生成UUID信息,并通过HASH算法加密,得到当前文件标识FID,将发送用户的标识、接收用户组、加密算法E、加密模式M、文件标识FID、密码信息SM和客户端传递的授权信息存储数据库中,向客户端回传FID、K、E和M;
文件浏览器通过SSL协议拿到服务端回传信息后,在本地随机生成密钥LK,将K和LK进行拼接,并通过SM3算法得到32字节的HASH信息,根据E算法要求从这32字节中截取对应长度的数据作为密钥,若为3DES加密,则32字节信息分别用前16字节、后16字节、前16字节作为三个密钥,采用ECB的加密模式将原文内容进行加密,得到密文FM,获取加密前原文长度为PL。
a5中授权文件头的构造如下:
文件头为固定三个字符,第四个字节为0;版本号采用小端存储,高位为大版本号,低位为小版本号;文件标识为服务端回传的FID;本地文件策略,值为0时,本段密钥原料为LK,当为其他非0值时,则为用户用口令采用SM4加密得到的密文P,P=SM4(LK,G(SM3(口令))),其中SM3为商密HASH算法,可得到32字节;G函数为取值函数,可以获取传入字节的前16字节,SM4为商密对称加密算法;原文长度为PL;加密后的密文长度为FM的长度信息;密文内容为FM自身。
本发明的有益效果:
相比较与现有工作模式,本发明在满足目前技术方案所有功能需求的同时,能够将任意可打印文件添加相关访问授权属性,支持限定访问人员、时间、地点、次数等应用需求。还有以下显著的性能优点:
1、文件的安全性更高
在加密过程中,是采用了从加密算法数组随机获取加密算法的模式,其随机性更强,安全强度更高;解密后的文件是直接通过内存展示,不会在本地磁盘留存,避免本地拷贝。
2、文件的颗粒管控更细
文档中支持IP地址、打开时间、人员信息、MAC地址、打开次数、计算机名称等更细的颗粒度管控。
3、密钥更加安全
加密过程中是采用了密钥分割技术,服务端和客户端合并方可产生真正的对称密钥。在客户端还支持对客户端密钥做口令保护,让文件更加的安全。整个密钥传输过程中,均采用了成熟的SSL协议,保障服务端密钥的安全。
附图说明
图1为本发明的***构架图;
图2为本发明的授权流程图;
图3为本发明的文件头文档格式;
图4为本发明的验权流程图;
具体实施方式
下面结合附图1-4对本发明做详细介绍:
如图1所示,本发明主要包含了三部分,虚拟打印模块、文档浏览器及授权服务器。虚拟打印模块以虚拟打印机的方式为可打印文件提供支持,能够将可打印文件转换为PDF/OFD格式的版式文件。文档浏览器是可与授权服务器交互,完成文档的授权以及验权查阅。授权服务器是云端的一个服务应用,其与文档浏览器通过SSL协议完成交互,保障数据传输的安全性。授权服务器支持用户通过手机号码、邮箱等身份信息进行注册登记。
一、授权流程
授权流程如图2所示。具体方法如下:
1、用户选择任意可打印的文件作为待授权文件,并通过虚拟转换模块生成版式文件F。
2、用户可通过文件浏览器载入F,确认待授权文件内容无误,即可进行后续授权处理流程。
3、用户在文件浏览器中,通过手机号码、邮箱地址等信息登录到授权服务器,并把自己当前身份所对应的接收人列表信息拉至文件浏览器本地。
4、用户选择要发送文件的接收人信息,可以是一个或多个,设定授权内容,包括打开时间、IP地址、访问次数、计算机名称、MAC地址等内容,通过3中认证通过的session信息传递到授权服务器,授权服务器认证当前状态用户状态,如有效则并随机从加密算法组中获取某一对称加密算法E,随机生成密钥K,生成UUID信息,并通过HASH算法加密,得到当前文件标识FID,将发送用户的标识、接收用户组、加密算法E、加密模式M、文件标识FID和密码信息SM、客户端传递的授权信息存储数据库中,向客户端回传FID、K、E和M。
5、文件浏览器通过SSL协议拿到服务端回传信息后,在本地随机生成密钥LK,将K和LK进行拼接,并通过SM3算法得到32字节的HASH信息,根据E算法要求从这32字节中截取对应长度的数据作为密钥,若为3DES加密,则32字节信息分别用前16字节、后16字节、前16字节作为三个密钥,采用ECB的加密模式将原文内容进行加密,得到密文FM,获取加密前原文长度为PL。
6、构造文件头,如图3所示:文件头为固定三个字符,第四个字节为0;版本号采用小端存储,高位为大版本号,低位为小版本号;文件标识为服务端回传的FID;本地文件策略,值为0时,本段密钥原料为LK,当为其他非0值时,则为用户用口令采用SM4加密得到的密文P。P=SM4(LK,G(SM3(口令))).其中SM3为商密HASH算法,可得到32字节;G函数为取值函数,可以获取传入字节的前16字节,SM4为商密对称加密算法。原文长度为PL;加密后的密文长度为FM的长度信息;密文内容为FM自身。
7、用户可将带有文件头的文件通过邮箱、微信等其他渠道传递给待接收人,此时即可完成了授权。
二、验权流程
验权流程是授权流程的逆过程,其流程如图4所示。具体方法如下:
1、用户需持有有效的身份信息,通过文件浏览器登录到授权服务器,获取有效身份凭证。
2、用户将待查阅文件导入到文件浏览器,文件浏览器会自动读取文件头,确认为有效文件后,会获取本地计算机名称、MAC地址、文件标识FID、1中的凭证SSL通道发送至授权服务器。
3、授权服务器会根据FID和当前用户身份凭证查询是否有对应的授权信息,如没有则直接告警并退出;如有则依据授权信息策略逐项查询授权内容,包括时间比对、请求地址比对、打开次数比对、计算机名称比对、MAC地址比对等。当任意一条不满足要求时,即告警客户端并退出处理流程。若所有策略均认证通过,则将打开次数减1,并将对应该信息的加密算法E、服务端密钥K通过SSL通道传递到文件浏览器。
4、文件浏览器获取到E和K,并解析文件头,依据文件头中的本地文件策略,按照授权流程中的6过程生成对应的解密密钥,并将加密后的文件信息完全的解密在内存中。
5、文件浏览器通过加载内存的内容,展示文档信息。
本发明具有以下特点:通过虚拟打印技术将多种不同格式的文件转换成待处理文件。通过云端授权服务器的方式,设定授权策略,包括IP地址、计算机名称、打开时间、打开次数、MAC地址等内容。本地文件浏览器和云端授权服务器采用SSL加密机制保障密钥的传输安全。云端和服务端密钥配合的方法产生真正的加密密钥。解密文件在内存存放,实现数据不落地,保障文档安全。

Claims (3)

1.一种可打印文件授权查阅的方法,其特征在于包括如下步骤:
A授权:
a1、用户选定待授权文件,通过虚拟转换模块生成版式文件F;
a2、用户可通过文件浏览器载入F,确认待授权文件内容无误;
a3、用户在文件浏览器中登录到授权服务器,并把自己当前身份所对应的接收人列表信息拉至文件浏览器本地;
a4、用户选择要发送文件的接收人信息,并设定授权内容;
a5、在本地进行加密,并添加构造的授权文件头;
a6、上传授权信息至授权服务器,导出处理后的文件完成授权;
B验权:
b1、用户通过文件浏览器登录授权服务器;
b2、导入已授权文件;
b3、解析读取授权文件信息,把本地信息和身份信息传递到授权服务器;
b4、服务端授权验证,验证通过,则回传客户端加密算法、服务端密钥等信息;
b5、本地解密到内存并展示。
2.如权利要求1所述的一种可打印文件授权查阅的方法,其特征在于,
a5中本地加密的步骤包括:授权服务器认证当前状态用户状态,如有效则随机从加密算法组中获取某一对称加密算法E,随机生成密钥K,生成UUID信息,并通过HASH算法加密,得到当前文件标识FID,将发送用户的标识、接收用户组、加密算法E、加密模式M、文件标识FID、密码信息SM和客户端传递的授权信息存储数据库中,向客户端回传FID、K、E和M;
文件浏览器通过SSL协议拿到服务端回传信息后,在本地随机生成密钥LK,将K和LK进行拼接,并通过SM3算法得到32字节的HASH信息,根据E算法要求从这32字节中截取对应长度的数据作为密钥,若为3DES加密,则32字节信息分别用前16字节、后16字节、前16字节作为三个密钥,采用ECB的加密模式将原文内容进行加密,得到密文FM,获取加密前原文长度为PL。
3.如权利要求1所述的一种可打印文件授权查阅的方法,其特征在于,
a5中授权文件头的构造如下:
文件头为固定三个字符,第四个字节为0;版本号采用小端存储,高位为大版本号,低位为小版本号;文件标识为服务端回传的FID;本地文件策略,值为0时,本段密钥原料为LK,当为其他非0值时,则为用户用口令采用SM4加密得到的密文P,P=SM4(LK,G(SM3(口令))),其中SM3为商密HASH算法,可得到32字节;G函数为取值函数,可以获取传入字节的前16字节,SM4为商密对称加密算法;原文长度为PL;加密后的密文长度为FM的长度信息;密文内容为FM自身。
CN202010380542.1A 2020-05-05 2020-05-05 一种可打印文件授权查阅的方法 Pending CN111611615A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010380542.1A CN111611615A (zh) 2020-05-05 2020-05-05 一种可打印文件授权查阅的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010380542.1A CN111611615A (zh) 2020-05-05 2020-05-05 一种可打印文件授权查阅的方法

Publications (1)

Publication Number Publication Date
CN111611615A true CN111611615A (zh) 2020-09-01

Family

ID=72199557

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010380542.1A Pending CN111611615A (zh) 2020-05-05 2020-05-05 一种可打印文件授权查阅的方法

Country Status (1)

Country Link
CN (1) CN111611615A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102347836A (zh) * 2010-04-30 2012-02-08 龚华清 电子文档安全阅读***及其方法
CN102819704A (zh) * 2012-07-20 2012-12-12 北京亿赛通科技发展有限责任公司 智能终端的文档版权保护方法
CN103618607A (zh) * 2013-11-29 2014-03-05 北京易国信科技发展有限公司 一种数据安全传输和密钥交换方法
CN104239820A (zh) * 2013-06-13 2014-12-24 普天信息技术研究院有限公司 一种安全存储设备
CN109412799A (zh) * 2018-12-21 2019-03-01 北京思源互联科技有限公司 一种生成本地密钥的***及其方法
CN109639677A (zh) * 2018-12-13 2019-04-16 广东工业大学 一种可限制访问次数的云存储外包解密属性基加密方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102347836A (zh) * 2010-04-30 2012-02-08 龚华清 电子文档安全阅读***及其方法
CN102819704A (zh) * 2012-07-20 2012-12-12 北京亿赛通科技发展有限责任公司 智能终端的文档版权保护方法
CN104239820A (zh) * 2013-06-13 2014-12-24 普天信息技术研究院有限公司 一种安全存储设备
CN103618607A (zh) * 2013-11-29 2014-03-05 北京易国信科技发展有限公司 一种数据安全传输和密钥交换方法
CN109639677A (zh) * 2018-12-13 2019-04-16 广东工业大学 一种可限制访问次数的云存储外包解密属性基加密方法
CN109412799A (zh) * 2018-12-21 2019-03-01 北京思源互联科技有限公司 一种生成本地密钥的***及其方法

Similar Documents

Publication Publication Date Title
US6385728B1 (en) System, method, and program for providing will-call certificates for guaranteeing authorization for a printer to retrieve a file directly from a file server upon request from a client in a network computer system environment
US8924709B2 (en) Print release with end to end encryption and print tracking
US6918042B1 (en) Secure configuration of a digital certificate for a printer or other network device
US6748529B2 (en) Method and apparatus for effecting secure document format conversion
KR101769282B1 (ko) 데이터 보안 서비스
CN1708003B (zh) 重新使用会话密钥安全通信的方法和设备
US6266420B1 (en) Method and apparatus for secure group communications
CN112150147A (zh) 一种基于区块链的数据安全存储***
CN113572614A (zh) 用于数据传输的安全保密方法和***
US20070101145A1 (en) Framework for obtaining cryptographically signed consent
WO2004095772A1 (ja) 機器認証システム
CN113067699B (zh) 基于量子密钥的数据共享方法、装置和计算机设备
US6988198B1 (en) System and method for initializing operation for an information security operation
CN101742508A (zh) 一种wapi终端与应用服务器传输文件的***及方法
CN102100031A (zh) 用于在用户接口中提供安全服务的设备及方法
US7660987B2 (en) Method of establishing a secure e-mail transmission link
CN101305542B (zh) 一种数字证书与密钥下载方法
CN112597523A (zh) 文件处理方法、文件转换加密机、终端、服务器及介质
US20220171832A1 (en) Scalable key management for encrypting digital rights management authorization tokens
CN111770081B (zh) 基于角色认证的大数据机密文件访问方法
JPH1032568A (ja) 暗号化伝送方法
JP4220671B2 (ja) 暗号化データ通信方法並びにそのための暗号化データ生成システム及び記録媒体
CN111611615A (zh) 一种可打印文件授权查阅的方法
CN113438074B (zh) 基于量子安全密钥的接收邮件的解密方法
CN1154291C (zh) 通过在打印节点处的用户验证防止泄密的装置和方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 250101 room 2301, 6 tower, Shun Tai Plaza, 2000 Shun Hua Road, hi tech Zone, Ji'nan, Shandong.

Applicant after: Tongzhi Weiye Software Co.,Ltd.

Address before: 250101 room 2301, 6 tower, Shun Tai Plaza, 2000 Shun Hua Road, hi tech Zone, Ji'nan, Shandong.

Applicant before: SHANDONG TONGZHI WEIYE SOFTWARE Co.,Ltd.

CB02 Change of applicant information
CB03 Change of inventor or designer information

Inventor after: Wang Ke

Inventor after: Wang Yongqi

Inventor after: Sun Jianshan

Inventor before: Wang Ke

Inventor before: Wang Yongqi

CB03 Change of inventor or designer information
RJ01 Rejection of invention patent application after publication

Application publication date: 20200901

RJ01 Rejection of invention patent application after publication