CN1786867A - 文档加密、解密的方法及其安全管理存储设备和***方法 - Google Patents
文档加密、解密的方法及其安全管理存储设备和***方法 Download PDFInfo
- Publication number
- CN1786867A CN1786867A CNA2005100375412A CN200510037541A CN1786867A CN 1786867 A CN1786867 A CN 1786867A CN A2005100375412 A CNA2005100375412 A CN A2005100375412A CN 200510037541 A CN200510037541 A CN 200510037541A CN 1786867 A CN1786867 A CN 1786867A
- Authority
- CN
- China
- Prior art keywords
- document
- electronic document
- safety management
- memory device
- main frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
一种文档加密、解密的方法及其安全管理存储设备和***方法,用于电子文档安全管理,所述***包括安装有通用阅读软件的主机和可与所述主机热插拔连接的安全管理存储设备;当该设备接入所述主机时,被至少枚举为USB CDROM设备。取得所述安全管理存储设备的用户可以用密钥来加密电子文档,并生成相同文件类型的加密文档;也可以借助通用的文本或图片阅读软件来打开所述加密文档,并按预定权限操作使用该文档信息。使用本发明,可以通过控制所述安全管理存储设备的发放来限制文档的使用对象和范围,从而建立一个具有高安全性和易用性的文档安全管理***,具有可控性强、投资和维护成本低的优势。
Description
技术领域 本发明涉及电数字数据处理技术,尤其涉及文档的加密、解密方法及其安全管理存储设备和***方法。
背景技术 如今,企业机密信息大量被承载于电子文档这一类载体中,而电子文档是很容易被散发传播的。企业可以通过设置防火墙或建立专网来避免外部人员对机密电子文档的非法访问,但这些措施无法应对电子文档二次传播的泄密问题。对这些电子文档,企业的领导有很多安全顾虑:
·如何防止董事会文件、计划预算、收购拆分等机密信息被泄露?
·如何防止核心人员离职时拷走企业的机密文件?
·通过什么技术手段来保障企业高层人员之间彼此信任地传递文档信息?
·怎么防止投标书、价格单等受病毒影响而无意中被泄露给竞争对手?
·泄密事件发生后,如何追查泄密的渠道?
针对上述问题,WORD、PDF等文档工具中沿用至今的口令加密方式所能起的作用非常有限,因此国内外软件厂商先后推出了很多解决方案。较为知名的有北大方正电子有限公司的Alpab文档出版***,以及上海前沿科技公司的文档安全管理***。它们均采用了高强度的文件加密方法,把加密文档保存在企业内部的文档管理服务器上,通过文档服务器端和客户端专有的软件来实现文档安全管理,从而控制针对文档的阅读、打印、修改、保存、防复制和截屏等操作。至于因二次传播而流失出去的保密文档,操作方因缺乏专有软件和密钥无法打开的。
图1是前沿科技文档安全管理***的组织示意图。***结构如上所述,可以实现以下功能:
·控制文档合法使用者包括打印、复制、保存等操作的访问权限,可以防止文档被二次传播
·***可以动态集中权限管理,可以回收或修改发放到用户手中的文档访问权限
·一般人无法打开被流失到公司外部的加密文档
·操作平台可建立在Windows98/Me/2k/Xp/2003等多种操作***基础上
·可以支持微软公司的各种办公软件(如WORD、EXCEL),其它流行使用用来处理各种格式文本或图形文件的软件(如但不限于PDF,AutoCAD)
·可以采用国际标准AES-128位加密算法来加密文件
·可以同时集成Domino、AD、PKI、KM等办公自动化***
·可以生成详细的文件访问记录
·可以限制使用屏幕拷贝键或截屏软件来捕捉或截取机密信息
图2是该***内部架构示意图。它采用客户-服务器端(Client-Server)结构,包括EDG服务器,客户端安装EDGViewer软件,用户在客户端使用文件时,可以用该软件实现以下几个功能:
·控制对文件的打印,拷贝(只有授权者才可以打印拷贝)
·控制对文件的保存和另存为操作(只有授权者才可以保存)
·防止或限制屏幕拷贝和截屏软件的使用
·控制有效使用文件的时间
该软件还可以追加实现高级功能:
·在限定用户阅读的前提下指定供阅读的机器(例如通过绑定机器硬件指纹来实现)
·监视用户操作,可以结合水印技术,追查泄密渠道。
虽然上述现有文档安全解决方案在内网使用具有较高的安全性,但其不足在于,存在以下几个不可克服的缺点:
1、所述Client-Server结构的***一般在文档服务器上保存加密文档和各加密文档的加密密钥,这样限制了企业内部文档在外部可信任范围内的使用,比如:企业产品生产元件清单或其他技术资料无法被生产工厂、合作伙伴,以及在家中或出差的内部员工所使用。
2、所述文档服务器保存的加密文档一般是普通文档经加密后转换成的专用格式文档,易用性差,需要配置专用的文档阅读软件,因此客户端和服务器端都需要安装较复杂的软件。
3、所述专用文档阅读软件的安全性成为该***的焦点和弱点,若被攻击或破译,则***的文档管理将会失去安全性。
4、因为投资和维护文档服务器及整套文档安全管理软件的成本较高,小企业用户或个体用户难以负担。
发明内容 本发明要解决的技术问题是针对上述现有技术的不足,而提出一种文档加密、解密的方法及其安全管理存储设备和***方法,能为用户提供一套安全度高、简单易用、成本低廉的办公文档和机密文件安全管理方法,同时也可以解决文档的二次传播泄密问题,并允许机密文件被在外部可信任范围内使用。
为解决上述技术问题,本发明的基本构思为:文档管理者可以用密钥来加密含有机密信息的电子文档,并生成相同文件类型的加密文档;同时文档管理者可以通过具有数据保护功能的便携设备(如带USB接口的存储设备)来发放解密授权及文档使用权限;仅限于拿到该存储设备的用户(包括文档管理者和其它可信任用户)才可以借助通用的文本或图片阅读软件来打开所述加密文档。为便于权限的集中动态管理,所述存储设备中的权限可以通过网络或主机来更新。这样,就可以通过控制该便携设备的发放来限制文档的使用对象和范围,并通过硬件与加密软件相配合的方式来保证各种机密电子文档资料得到高强度保护,及实现对它们的阅读、打印、复制、另存和截屏等安全权限管理。
作为实现本发明构思的第一技术方案是,提供一种文档加密方法,用于电子文档的安全管理,包括步骤:
A.在主机上设置或安装加密程序;
B.操作主机读取欲加密的电子文档数据;
C.用加密密钥来加密该电子文档数据;
尤其是,还包括步骤:
D.生成与所述电子文档同一文件类型的加密电子文档。
作为实现本发明构思的第二技术方案是,提供一种文档解密方法,用于电子文档的安全管理,包括步骤:
A.下载或存储加密电子文档到主机的存储单元;
B.在该主机上完成对应着该电子文档文件格式的通用阅读软件的安装;
尤其是,还包括步骤:
C.将带有解密授权及文档使用权限内容的存储设备接入所述主机;
D.所述主机识别该存储设备,并自动运行该存储设备内的文档解密程序;
E.所述文档解密程序自动接管所述通用阅读软件运行的预定操作;
F.运行所述通用阅读软件来打开所述加密电子文档,并在预定权限范围内操作该文档。
作为实现本发明构思的第三技术方案是,提供一种安全管理存储设备,用于电子文档的安全管理,包括USB接口电路及其控制单元,以及连接所述控制单元的存储单元,尤其是,还包括一连接所述控制单元的集成电路模块,用来提供该设备区别于其它同类设备的唯一识别号。
作为实现本发明构思的第四技术方案是,提供一种电子文档安全管理***,包括安装有通用阅读软件的个人计算机或主机,尤其是,还包括可与所述主机热插拔连接的安全管理存储设备,该设备包括USB接口电路及其控制单元,以及连接所述控制单元的存储单元和用来提供该设备区别于其它同类设备的唯一识别号的集成电路模块;当该设备接入所述主机时,被至少枚举为USB CDROM设备。
作为实现本发明构思的第五技术方案是,提供一种电子文档安全管理方法,用于电子文档安全管理,尤其是,包括步骤:
A.制作安全管理存储设备并在该设备的存储单元中写入至少一个加密或解密用的密钥;
B.将该安全管理存储设备分发给预定用户;
C.所述预定用户将所述安全管理存储设备接入一带视窗操作***的主机,该设备被***至少枚举为USB CDROM设备;
D.所述安全管理存储设备中的加载程序通过远程注入线程技术及函数钩子技术来将加密或解密模块注入到该主机操作***中的预定通用阅读软件程序程序进程,从而接管预定通用阅读软件运行的预定操作;
E.所述预定用户将预定文件类型的电子文档加密生成同一文件类型的加密电子文档,或者使用所述通用阅读软件来打开预定文件类型的加密电子文档;其中,所述预定文件类型是所述通用阅读软件所能支持的文件类型。
采用上述技术方案,可以建立一个具有高安全性和易用性的文档安全管理***,且不用安装专用的文档安全管理软件,具有可控性强、投资和维护成本低的优势。
附图说明 图1是前沿科技文档安全管理***的组织示意图
图2是图1中***的内部架构示意图
图3是本发明文档安全管理***示意图
图4是本发明文档安全管理方法流程示意图
图5是选中加密转换选择项进行加密示意图
图6是本发明安全管理存储设备的电原理图
具体实施方式 下面,结合附图所示之最佳实施例进一步阐述本发明。
本发明文档安全管理***如图3所示,包括安全管理存储设备、安装有通用阅读软件的主机及其周边设备如打印机、显示器等。所述安全管理存储设备是***实现文档安全管理的关键一环,被预先设置为USB Mass Storage Device设备(针对WINDOWS视窗操作***环境),包括USB接口电路及其控制单元,从而与主机之间可热插拔连接。当该设备接入主机时,可以被主机操作***检测并通过协议至少枚举为USB CDROM设备(为符合USB规范和WINDOWS操作***环境的现有技术,不在此赘述)。所述安全管理存储设备也可以采用其它接口电路,如1394、UWB、PCI或蓝牙,但必须相应在主机内配置安装将这些接口转换到USB的驱动程序,否则设备没有办法作为USB CDROM出现;为了叙述简便,下面不另加说明的话,所述安全管理存储设备指包括USB接口电路的。
所述安全管理存储设备还包括连接所述控制单元的存储介质,可以由常见的(但不限于)MAND Flash,AND Flash或NOR Flash等物理器件组成。在该存储介质中定义了一个独立的不可见区域,用来保存各种加密密钥或解密密钥,以防止这些数据被简单物理复制;可以将包括加密软件和***数据在内的普通数据置于可见区域内。当该设备接入主机时,加密软件无需用户安装,可自动运行,而且还可以通过符合SCSI(Small Computer SerialInterface,小型计算机串行接口)的CDROM在线更新技术,来直接增加该软件功能或修正安全漏洞。
所述安全管理存储设备还可以包括一连接所述控制单元的集成电路模块,用来提供该设备区别于其它同类设备的唯一识别号(ID号),可以进一步防止加密密钥被物理复制:当所述USB控制单元接收到往存储介质中写入加密密钥或其它关键数据的命令时,需先读取该安全管理存储设备的ID号,进行预定变换后再用来加密要写入的数据,方才进行存储介质写操作。
图6为本实施例安全管理存储设备的电原理图。其中所述USB控制单元由集成电路U1来实现,集成电路U2(例如但不限于DS2411)用来提供所述ID号;存储介质包括存储芯片U3。所述USB接口电路包括电连接到U1的接插端子J4。
为了数据安全起见,主机通过加密软件来与存储介质通信的过程中,还可以采用随机激来加密关键数据(如加密密钥),以防止关键数据被非法破译。以主机读取加密密钥为例,所述USB控制单元先读取该安全管理存储设备的ID号进行相应变换后,用来解密所读取到的加密密钥数据;接着主机通过加密软件与该控制单元握手来相互交换自己产生的一个随机数;然后所述控制单元用两个随机数通过预定变换而生成的数据来加密已解密的加密密钥,再通过加密软件来上传给主机。这样,一般非法软件将无法通过模拟应答来套取加密密钥、进而破译加密软件。
上述给安全管理存储设备设置唯一识别号及加密存储、以及在通信过程中采用随机数加密的方法,将大大提高整个文档安全管理软件的安全度。
为了满足企业用户多层次的文档安全管理需求,所述安全管理存储设备可以分为母设备和子设备两种,分别赋予不同的管理权限。母设备可由文档控制中心人员管理或保管,其存储介质内保存有多个经认证的加密密钥;用该设备加密文档时,可以设置文档加密的权限(比如,是否禁止打印等设置,设置禁止子设备阅读,或设置允许子设备阅读的次数)。各子设备可以分发到可信任用户手中,其存储介质内中保存的加密密钥来自于母设备,代表一定的使用授权;也可以用该子设备来加密文档,但被加密后的文档禁止除阅读以外的所有操作。为***管理方便,可以进一步在管理软件中约定:加密密钥只能由***在一台主机上母设备传递到子设备,或者在母设备之间进行备份;而子设备之间的加密密钥不可互相复制和传递。另外,因为所述母设备和子设备可以支持多个加密密钥,而文档加密时采用哪一个密钥是不固定的,为了保证可以解密任一加密文档,在该加密文档的加密信息中必须含有所用密钥的序列号信息。为便于权限的集中动态管理,所述安全管理存储设备中的权限还可以通过主机或网络来更新,比如通过网络来远程注销预定安全管理存储设备的使用权:当所述安全管理存储设备被写入预定的无效数据后,所述加密密钥和相关信息(如但不限于解密密钥)将被无效。
为了清晰起见,可以将上述零散描述的本发明电子文档安全管理方法小结为,包括步骤:
A.制作安全管理存储设备并在该设备的存储单元中写入至少一个加密或解密用的密钥;
B.将该安全管理存储设备分发给预定用户;
C.所述预定用户将所述安全管理存储设备接入一带视窗操作***的主机,该设备被***至少枚举为USB CDROM设备;
D.所述安全管理存储设备中的加载程序通过远程注入线程技术及函数钩子技术来将加密或解密模块注入到该主机操作***中的预定通用阅读软件程序程序进程,从而接管预定通用阅读软件运行的预定操作;
E.所述预定用户将预定文件类型的电子文档加密生成同一文件类型的加密电子文档,或者使用所述通用阅读软件来打开预定文件类型的加密电子文档;其中,所述预定文件类型是所述通用阅读软件所能支持的文件类型。
为了保证所述安全管理存储设备遗失或使用权被注销时加密文档不能够被阅读,所述步骤E可以在加密电子文档时,设置包括文档阅读次数或阅读时限等权限信息、密钥序列号信息在内的加密信息;在打开加密电子文档后,所述通用阅读软件受到操作权限管理。以次数限定为例,则当用户每解密阅读文档时,该次数限定值递减;当递减到0时,所述安全管理存储设备不能再被用来解密。若为时效限制,则每次解密读取限制时间,若判断为过期,同样可以注销所述安全管理存储设备合法使用权。
图4示意了本实施例文档安全管理方法流程,适用于个人或企业用户的客户端(以下称他们为操作者)使用,可以在任何安装有通用阅读软件的主机上对文档进行加密或解密。操作者必须先获得所述安全管理存储设备;当该安全管理存储设备接入主机,所述主机检测到该接入,并协议将该设备至少枚举为USB CDROM设备,从而自动运行该设备上的解密/加密程序,通过远程注入线程技术及函数钩子技术向主机操作***中预定的通用阅读软件程序程序进程注入解密模块或加密模块,接管该通用阅读软件运行的操作;当操作者选中一文档时,可以选择对该文档进行加密,生成加密电子文档;若判断该选中文档为加密电子文档,可以选择用解密模块对该文档数据进行解密及读取操作权限信息,并用通用阅读软件来显示和操作。若所述安全管理存储设备被拔离主机,所述主机操作***自动注销其接管的文档对应的打开操作权(同时删除文件选中后右键菜单中的加密转换选择项),恢复通用阅读软件的正常操作,能正常打开一般文档并进行包括阅读、打印文件、剪贴板工作、截屏等在内的相关操作;但对于选中的加密文档,打开只会显示一堆乱码
更具体地说,本发明用于所述电子文档安全管理的文档加密方法,包括步骤:
A.主机上设置或安装加密程序;
B.操作主机读取欲加密的电子文档数据;
C.用加密密钥来加密该电子文档数据;
D.生成与所述电子文档同一文件类型的加密电子文档。
其中,所述主机可以配置Windows操作***,包括Windows2000或Windows XP。加密程序(包括加密模块及其加载程序)可以保存在一存储设备(如本实施例中的安全管理存储设备)上,也可以直接在主机上设置安装。以前者为例,当该存储设备接入所述主机,被***枚举为USB CDROM,由于***对CDROM具有自动播放功能,因此该加密程序自动运行,以向***注册登记一个外挂程序,使用户在选中预定文件类型的文档后鼠标右键的点击菜单中可以增加一个加密转换选择项(如图5所示:Convert to FileDog Document...),并关联和接管该类型文档的打开程序。从而,所述步骤B可以包括处理过程:操作主机选中欲加密的电子文档;接着选中该文档操作提示菜单中的加密转换选择项;最后主机读取该文档数据。当然,所述步骤B也可以结合通用阅读软件,先选中预加密文档,再以所述通用阅读软件打开该文档后,在该软件界面上进行加密另存操作。
为了完成上述处理的同时增加安全性,所述加密程序中的加载程序本身并不加密和解密文档,它除了在***中注册所述外挂程序外,还将加密模块注入到操作***中相关的程序进程中。当然加密模块也可以不注入其他进程而是直接在加密程序中执行。以windows 2000及以上操作***为例,可以利用(但不限于)资源管理器进程explore.exe。因所述进程为常驻进程(操作***启动后随***一起运行而不可被关闭),所以可以将所述加密模块通过远程线程注入技术和函数钩子技术来注入到该进程,接管它的核心读写函数。所述函数钩子技术是通过动态修改程序或动态库二进制文件在加载到内存空间运行时的特定函数原始地址,来使该函数执行时跳转到其他入口地址执行特定功能的一种技术。这两种技术在微软(Microsoft)公司的Windows操作***平台上都有提供。远程线程注入可以用***提供的CreateRemoteThread函数来实现的,详细参见微软公司的MSDN开发文档。而函数钩子技术有多种实现方式,如利用微软公司提供的标准消息钩子技术以及Detours技术,或者国内一些开发者专门开发的Windows API Hook技术来实现。其中,消息钩子技术可以通过***的SetWindowsHookEx函数来实现。Detours技术是一种专门提供的技术,可以参见1999年7月关于在华盛顿西雅图举行的第三次“USENIX Windows NT”研讨会的发布文献:《Detours:Binary Interception of Win32 Functions》文档,不在此赘述。API Hook技术在包括www.pcdog.com在内的网站上也有专业文档介绍。这些实现方式本质上的技术原理都一样,均在文档加密时利用写函数,先自动完成额外的加密工作才最后向主机存储单元写入要保存的加密电子文档数据。并且,依据该加密方法产生的加密文档并不更改原文件类型,即保留原来的文件扩展名。该加密电子文档允许被进行二次传播。
上述处理中,所述步骤C中用加密密钥来加密电子文档数据的算法可以采用现已有的任一加密公式、函数及其组合,因其不是本发明的核心,不在此赘述。步骤D中所述加密电子文档的加密信息中可以包括权限设置信息;还可以包括所用加密密钥的序列号信息。
此外,本发明的另一重要内容是用于所述电子文档安全管理的文档解密方法,包括具体步骤:
A.下载或存储加密电子文档到主机的存储单元;
B.在该主机上完成对应着该电子文档文件格式的通用阅读软件的安装;
C.将带有解密授权程序的存储设备接入所述主机;
D.所述主机识别该存储设备,并自动运行该存储设备内的文档解密程序;
E.所述文档解密程序自动接管所述通用阅读软件运行的预定操作;
F.运行所述通用阅读软件来打开所述加密电子文档,并在预定权限范围内操作该文档。
其中,所述存储设备为本实施例中的安全管理存储设备,带有USB接口及其控制单元,被设置为“USB Mass Storage Device”设备类型,从而所述步骤D中,主机识别并通过协议枚举该存储设备至少为“USB CDROM”设备,使所述文档解密授权程序能自动被运行。该文档解密授权程序(包括解密模块及其加载程序)可以被单独编制;也可以与所述加密程序一起编制,利用同一加载程序,分别进行加密和解密模块的远程线程注入。
因此,类似于所述文档加密方法,解密也可以使用Windows的远程线程注入技术和函数钩子技术。所述步骤E中,文档解密授权程序可以通过远程注入线程技术及函数钩子技术来将解密模块注入到主机操作***中预定的所述通用阅读软件程序进程中,从而接管所述通用阅读软件预定的相关操作;从而所述步骤F包括处理过程:当操作主机打开所述加密电子文档时,所述通用阅读软件读操作被所述解密模块接管和控制;接着读取加密电子文档数据;根据解密模块中的解密密钥恢复数据,并读取加密数据中的预定操作权限;最后通用阅读软件界面显示恢复后的文件数据和文档操作权限。一般操作主机选中一个文档时,注册接管该文档的解密程序会先检查该文档是否为加密文档;如果不是,则可以直接启动所述通用阅读软件来阅读或操作。所述文档操作权限包括读写磁盘、打印文档、剪贴板功能、插件管理等,分别对应各自的功能函数。当一权限有效并且相应的操作被启动时,该操作相应的函数读写也会被接管。其中,操作主机读取到加密电子文档数据时,可以根据所述加密数据加密信息中的密钥序列号来选择解密模块中相应的解密密钥;并在所述通用阅读软件的预定进程中进行解密过程,并且该通用阅读软件直接显示解密后的数据。从而所述解密和显示处理过程不会在其他永久性存储介质上遗留任何过程数据,可以增强数据安全性。
上述处理中,所述存储设备可以带有文档使用权限信息,可以配合由加密数据中读取到的预定操作权限来限制操作者对所述加密电子文档的使用。
因为上述整个解密过程都在原通用阅读软件进程中运行,难于被跟踪和破译,文档安全和权限管理也是根据加密文档的信息,可以灵活并高度安全地管理机密文档;同时,用户在使用过程中,操作简便而透明。
Claims (16)
1.一种文档加密方法,用于电子文档的安全管理,包括步骤:
A.在主机上设置或安装加密程序;
B.操作主机读取欲加密的电子文档数据;
C.用加密密钥来加密该电子文档数据;
其特征在于,还包括步骤:
D.生成与所述电子文档同一文件类型的加密电子文档。
2.根据权利要求1所述的文档加密方法,其特征在于:
所述步骤A的加密程序可以保存在一安全管理存储设备上,当该存储设备接入所述主机时,被***至少枚举为USB CDROM设备,从而该加密程序自动运行。
3.根据权利要求1或2所述的文档加密方法,其特征在于,所述步骤B包括处理过程:
a.操作主机选中欲加密的电子文档;
b.选中该文档操作提示菜单中的加密转换选择项;
c.主机读取该文档数据。
4.根据权利要求1所述的文档加密方法,其特征在于
步骤D所述加密电子文档的加密信息中包括权限设置信息,或加密密钥的序列号。
5.一种文档解密方法,用于电子文档的安全管理,包括步骤:
A.下载或存储加密电子文档到主机的存储单元;
B.在该主机上完成对应着该电子文档文件格式的通用阅读软件的安装;
其特征在于,还包括步骤:
C.将带有解密授权的安全管理存储设备接入所述主机;
D.所述主机识别该存储设备,并自动运行该存储设备内的文档解密程序;
E.所述文档解密程序自动接管所述通用阅读软件运行的预定操作;
F.运行所述通用阅读软件来打开所述加密电子文档,并在预定权限范围内操作文档。
6.根据权利要求5所述的文档解密方法,其特征在于,
所述安全管理存储设备带有USB接口及其控制单元,被设置为USB Mass StorageDevice设备类型,从而所述步骤D中,主机识别并通过协议枚举该存储设备至少为USBCDROM设备,使所述文档解密授权程序能自动被运行。
7.根据权利要求5所述的文档解密方法,其特征在于,
所述步骤E中,文档解密授权程序通过远程注入线程技术及函数钩子技术来将解密模块注入到主机操作***中预定的所述通用阅读软件程序进程中,从而接管所述通用阅读软件运行的预定操作;
所述步骤F包括处理过程:
a.当操作主机打开所述加密电子文档时,所述通用阅读软件读操作被所述解密模块接管和控制;
b.先读取加密电子文档数据;
c.根据解密模块中的解密密钥恢复数据,并读取加密数据中的预定操作权限;
d.通用阅读软件显示恢复后的文件数据和文档操作权限。
8.根据权利要求7所述的文档解密方法,其特征在于,所述步骤b和c之间还包括步骤
b1.根据所述加密数据加密信息中的密钥序列号来选择解密模块中相应的解密密钥;
所述步骤c解密过程是在所述通用阅读软件的预定进程中进行的,并且解密后的数据直接被该通用阅读软件显示。
9.根据权利要求5或7所述的文档解密方法,其特征在于:
所述安全管理存储设备带有文档使用权限信息;配合步骤c中的预定操作权限来限制操作者对所述加密电子文档的使用。
10.一种安全管理存储设备,用于电子文档的安全管理,包括USB接口电路及其控制单元,以及连接所述控制单元的存储单元,其特征在于:
还包括一连接所述控制单元的集成电路模块,用来提供该设备区别于其它同类设备的唯一识别号。
11.一种电子文档安全管理***,包括安装有通用阅读软件的个人计算机或主机,其特征在于:
还包括可与所述主机热插拔连接的安全管理存储设备,该设备包括USB接口电路及其控制单元,以及连接所述控制单元的存储单元和用来提供该设备区别于其它同类设备的唯一识别号的集成电路模块;当该设备接入所述主机时,被至少枚举为USB CDROM设备。
12.一种电子文档安全管理方法,用于电子文档安全管理,其特征在于,包括步骤:
A.制作安全管理存储设备并在该设备的存储单元中写入至少一个加密或解密用的密钥;
B.将该安全管理存储设备分发给预定用户;
C.所述预定用户将所述安全管理存储设备接入一带视窗操作***的主机,该设备被***至少枚举为USB CDROM设备;
D.所述安全管理存储设备中的加载程序通过远程注入线程技术及函数钩子技术来将加密或解密模块注入到该主机操作***中的预定通用阅读软件程序进程,从而接管该通用阅读软件运行的预定操作;
E.所述预定用户将预定文件类型的电子文档加密生成同一文件类型的加密电子文档,或者使用所述通用阅读软件来打开预定文件类型的加密电子文档;其中,所述预定文件类型是所述通用阅读软件所能支持的文件类型。
13.根据权利要求12所述的电子文档安全管理方法,其特征在于:
步骤A制作的所述安全管理存储设备种类包括母设备和子设备,分别对应不同的管理权限。
14.根据权利要求13所述的电子文档安全管理方法,其特征在于:
所述母设备的存储介质内保存有多个经认证的加密密钥,该加密密钥可以由***在一台主机上的母设备传递到子设备,或者在母设备之间进行备份。
15.根据权利要求12所述的电子文档安全管理方法,其特征在于:
步骤E在电子文档加密的同时,设置包括权限信息、密钥序列号信息在内的加密信息;在打开加密电子文档后,所述通用阅读软件受到操作权限管理。
16.根据权利要求12所述的电子文档安全管理方法,其特征在于:
所述安全管理存储设备中的权限通过主机或网络来更新;所述更新包括往预定安全管理存储设备中写入预定的无效数据来无效所述加密密钥和相关信息。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100375412A CN100371847C (zh) | 2005-09-22 | 2005-09-22 | 文档加密、解密的方法及其安全管理存储设备和***方法 |
| PCT/CN2006/002491 WO2007033604A1 (en) | 2005-09-22 | 2006-09-22 | A method of encrypting/decrypting the document and a safety management storage device and system method of its safety management |
| US12/067,650 US8296585B2 (en) | 2005-09-22 | 2006-09-22 | Method of encrypting/decrypting the document and a safety management storage device and system method of its safety management |
| US13/657,786 US20130061329A1 (en) | 2005-09-22 | 2012-10-22 | Method Of Decrypting An Electronic Document For The Safety Management Of The Electronic Document |
| US13/657,793 US20130080792A1 (en) | 2005-09-22 | 2012-10-22 | Safety Management Method For An Electronic Document |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100375412A CN100371847C (zh) | 2005-09-22 | 2005-09-22 | 文档加密、解密的方法及其安全管理存储设备和***方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1786867A true CN1786867A (zh) | 2006-06-14 |
| CN100371847C CN100371847C (zh) | 2008-02-27 |
Family
ID=36784355
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100375412A Expired - Fee Related CN100371847C (zh) | 2005-09-22 | 2005-09-22 | 文档加密、解密的方法及其安全管理存储设备和***方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (3) | US8296585B2 (zh) |
| CN (1) | CN100371847C (zh) |
| WO (1) | WO2007033604A1 (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100449560C (zh) * | 2006-09-26 | 2009-01-07 | 南京擎天科技有限公司 | 一种计算机数据安全防护方法 |
| CN101561851B (zh) * | 2008-04-16 | 2011-04-20 | 杭州正隆数码科技有限公司 | 一种可不区分文件类型的透明文件加密方法 |
| CN101833629B (zh) * | 2009-03-11 | 2011-10-26 | 南京理工大学 | 软件区域授权加密方法及其实现装置 |
| CN102436568A (zh) * | 2010-09-29 | 2012-05-02 | 孔令军 | 具有存储功能的计算机外置加密装置及其加密、解密方法 |
| CN102916941A (zh) * | 2012-09-19 | 2013-02-06 | 无锡华御信息技术有限公司 | 一种基于pe***安全管理文档的方法及*** |
| CN103530570A (zh) * | 2013-09-24 | 2014-01-22 | 国家电网公司 | 一种电子文档安全管理***及方法 |
| CN103684750A (zh) * | 2013-11-27 | 2014-03-26 | 武汉铁路局科学技术研究所 | 文件传输的加密和解密方法 |
| CN103824031A (zh) * | 2014-02-28 | 2014-05-28 | 江苏敏捷科技股份有限公司 | 使用电子文件安全标签保证电子文件安全的方法及*** |
| CN104751064A (zh) * | 2013-12-27 | 2015-07-01 | 珠海金山办公软件有限公司 | 一种文档加密提示方法及*** |
| TWI496071B (zh) * | 2013-02-01 | 2015-08-11 | Wei Ju Long | 可攜式虛擬印表機 |
| CN105227299A (zh) * | 2015-07-30 | 2016-01-06 | 深圳市美贝壳科技有限公司 | 一种数据加解密管理设备及其应用方法 |
| CN103684750B (zh) * | 2013-11-27 | 2016-11-30 | 武汉千里路智能交通科技有限公司 | 文件传输的加密和解密方法 |
| CN107038379A (zh) * | 2015-12-18 | 2017-08-11 | 霍夫曼-拉罗奇有限公司 | 用于恢复用于处理样本或试剂的仪器的设置的方法和*** |
| CN104049920B (zh) * | 2013-03-11 | 2017-09-22 | 魏如隆 | 可携式虚拟打印机 |
| CN109508518A (zh) * | 2017-09-15 | 2019-03-22 | 北京握奇智能科技有限公司 | 一种文件处理方法、***以及文件解密设备 |
| CN111198786A (zh) * | 2019-12-30 | 2020-05-26 | 深圳创新科技术有限公司 | 缓存磁盘支持热插拔的方法和装置 |
| CN111831975A (zh) * | 2020-07-14 | 2020-10-27 | 郑凯璇 | 防止盗版的网络小说展示方法、计算机设备和存储介质 |
| CN114297684A (zh) * | 2021-12-29 | 2022-04-08 | 广州睿冠信息科技有限公司 | 工程文档安全管理*** |
| CN114297715A (zh) * | 2021-12-31 | 2022-04-08 | 北京深思数盾科技股份有限公司 | 文件加密方法、文件处理方法、装置及电子设备 |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010033269A (ja) * | 2008-07-28 | 2010-02-12 | Canon Inc | 文書管理システム、文書管理方法、及びコンピュータプログラム |
| JP5404030B2 (ja) | 2008-12-26 | 2014-01-29 | デジタルア−ツ株式会社 | 電子ファイル送信方法 |
| CN101944168B (zh) * | 2009-07-09 | 2013-01-09 | 精品科技股份有限公司 | 电子文件权限控管*** |
| US20110216376A1 (en) * | 2010-03-05 | 2011-09-08 | Skiff, Inc. | System For And Method Of Providing Enhanced Copy Protection On A Reader Device |
| US20110307695A1 (en) * | 2010-06-14 | 2011-12-15 | Salesforce.Com, Inc. | Methods and systems for providing a secure online feed in a multi-tenant database environment |
| CN103514122B (zh) * | 2012-06-29 | 2017-04-19 | 中国船舶重工集团公司第七0九研究所 | 一种VxWorks操作***下USB设备增强识别方法 |
| US9185081B2 (en) * | 2012-10-22 | 2015-11-10 | Symantec Corporation | Format friendly encryption |
| DE102014200533A1 (de) | 2014-01-14 | 2015-07-16 | Olympus Winter & Ibe Gmbh | Wechseldatenträger, medizinisches Gerät und Verfahren zum Betrieb eines Wechseldatenträgers |
| CN105790962B (zh) * | 2014-12-24 | 2020-02-14 | 华为技术有限公司 | 获取会议文档的方法、装置及*** |
| US11228423B2 (en) | 2020-01-12 | 2022-01-18 | Advanced New Technologies Co., Ltd. | Method and device for security assessment of encryption models |
| CN111324900A (zh) * | 2020-02-18 | 2020-06-23 | 上海迅软信息科技有限公司 | 一种用于企业数据安全的防泄密*** |
| CN114500253B (zh) * | 2022-01-13 | 2024-03-12 | 北京特立信电子技术股份有限公司 | 一种日志信息存储方法及存储介质 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080192928A1 (en) * | 2000-01-06 | 2008-08-14 | Super Talent Electronics, Inc. | Portable Electronic Storage Devices with Hardware Security Based on Advanced Encryption Standard |
| WO2001093055A1 (en) * | 2000-06-01 | 2001-12-06 | Safa Soft Co. Ltd | Total system for preventing information outflow from inside |
| US20030187661A1 (en) | 2002-01-10 | 2003-10-02 | Peter Warren | Meaning processor |
| CN1276363C (zh) * | 2002-11-13 | 2006-09-20 | 深圳市朗科科技有限公司 | 借助半导体存储装置实现数据安全存储和算法存储的方法 |
| US20050015540A1 (en) * | 2003-07-18 | 2005-01-20 | Hung-Chou Tsai | Auto-executable portable data storage device and the method of auto-execution thereof |
| EP1657645A4 (en) | 2003-08-18 | 2009-05-27 | Science Park Corp | ELECTRONIC DATA MANAGEMENT DEVICE, CONTROL PROGRAM, AND DATA MANAGEMENT METHOD |
| JP2005130028A (ja) * | 2003-10-21 | 2005-05-19 | Yazaki Corp | 暗号キー並びにこれを用いた暗号化装置及び復号化装置 |
| US20050097335A1 (en) * | 2003-10-31 | 2005-05-05 | Hewlett-Packard Development Company, L.P. | Secure document access method and apparatus |
| US7447911B2 (en) * | 2003-11-28 | 2008-11-04 | Lightuning Tech. Inc. | Electronic identification key with portable application programs and identified by biometrics authentication |
| CN100337423C (zh) * | 2004-01-14 | 2007-09-12 | 哈尔滨工业大学 | 一种电子文档的保密、认证、权限管理与扩散控制的处理方法 |
| GB0402909D0 (en) * | 2004-02-10 | 2004-03-17 | Stegostik Ltd | Data storage |
| CN1655502B (zh) * | 2004-02-11 | 2010-09-29 | 联想(北京)有限公司 | 一种保证电子文件安全的方法 |
| US20050210278A1 (en) * | 2004-03-17 | 2005-09-22 | Bruce Conklin | Mass storage apparatus for securely delivering digital content to a host computer and method for using same |
| US7484107B2 (en) * | 2004-04-15 | 2009-01-27 | International Business Machines Corporation | Method for selective encryption within documents |
| US7370166B1 (en) * | 2004-04-30 | 2008-05-06 | Lexar Media, Inc. | Secure portable storage device |
| US7363510B2 (en) * | 2004-05-26 | 2008-04-22 | Mount Sinai School Of Medicine Of New York University | System and method for presenting copy protected content to a user |
-
2005
- 2005-09-22 CN CNB2005100375412A patent/CN100371847C/zh not_active Expired - Fee Related
-
2006
- 2006-09-22 US US12/067,650 patent/US8296585B2/en not_active Expired - Fee Related
- 2006-09-22 WO PCT/CN2006/002491 patent/WO2007033604A1/en active Application Filing
-
2012
- 2012-10-22 US US13/657,786 patent/US20130061329A1/en not_active Abandoned
- 2012-10-22 US US13/657,793 patent/US20130080792A1/en not_active Abandoned
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100449560C (zh) * | 2006-09-26 | 2009-01-07 | 南京擎天科技有限公司 | 一种计算机数据安全防护方法 |
| CN101561851B (zh) * | 2008-04-16 | 2011-04-20 | 杭州正隆数码科技有限公司 | 一种可不区分文件类型的透明文件加密方法 |
| CN101833629B (zh) * | 2009-03-11 | 2011-10-26 | 南京理工大学 | 软件区域授权加密方法及其实现装置 |
| CN102436568A (zh) * | 2010-09-29 | 2012-05-02 | 孔令军 | 具有存储功能的计算机外置加密装置及其加密、解密方法 |
| CN102436568B (zh) * | 2010-09-29 | 2014-12-17 | 苏州慧尔科技发展有限公司 | 具有存储功能的计算机外置加密装置及其加密、解密方法 |
| CN102916941A (zh) * | 2012-09-19 | 2013-02-06 | 无锡华御信息技术有限公司 | 一种基于pe***安全管理文档的方法及*** |
| TWI496071B (zh) * | 2013-02-01 | 2015-08-11 | Wei Ju Long | 可攜式虛擬印表機 |
| CN104049920B (zh) * | 2013-03-11 | 2017-09-22 | 魏如隆 | 可携式虚拟打印机 |
| CN103530570A (zh) * | 2013-09-24 | 2014-01-22 | 国家电网公司 | 一种电子文档安全管理***及方法 |
| CN103530570B (zh) * | 2013-09-24 | 2016-08-17 | 国家电网公司 | 一种电子文档安全管理***及方法 |
| CN103684750A (zh) * | 2013-11-27 | 2014-03-26 | 武汉铁路局科学技术研究所 | 文件传输的加密和解密方法 |
| CN103684750B (zh) * | 2013-11-27 | 2016-11-30 | 武汉千里路智能交通科技有限公司 | 文件传输的加密和解密方法 |
| CN104751064A (zh) * | 2013-12-27 | 2015-07-01 | 珠海金山办公软件有限公司 | 一种文档加密提示方法及*** |
| CN103824031A (zh) * | 2014-02-28 | 2014-05-28 | 江苏敏捷科技股份有限公司 | 使用电子文件安全标签保证电子文件安全的方法及*** |
| CN105227299A (zh) * | 2015-07-30 | 2016-01-06 | 深圳市美贝壳科技有限公司 | 一种数据加解密管理设备及其应用方法 |
| CN107038379A (zh) * | 2015-12-18 | 2017-08-11 | 霍夫曼-拉罗奇有限公司 | 用于恢复用于处理样本或试剂的仪器的设置的方法和*** |
| CN109508518A (zh) * | 2017-09-15 | 2019-03-22 | 北京握奇智能科技有限公司 | 一种文件处理方法、***以及文件解密设备 |
| CN111198786A (zh) * | 2019-12-30 | 2020-05-26 | 深圳创新科技术有限公司 | 缓存磁盘支持热插拔的方法和装置 |
| CN111198786B (zh) * | 2019-12-30 | 2023-08-22 | 深圳创新科技术有限公司 | 缓存磁盘支持热插拔的方法和装置 |
| CN111831975A (zh) * | 2020-07-14 | 2020-10-27 | 郑凯璇 | 防止盗版的网络小说展示方法、计算机设备和存储介质 |
| CN111831975B (zh) * | 2020-07-14 | 2021-02-23 | 甘肃携谷云智文化传媒有限公司 | 防止盗版的网络小说展示方法、计算机设备和存储介质 |
| CN114297684A (zh) * | 2021-12-29 | 2022-04-08 | 广州睿冠信息科技有限公司 | 工程文档安全管理*** |
| CN114297715A (zh) * | 2021-12-31 | 2022-04-08 | 北京深思数盾科技股份有限公司 | 文件加密方法、文件处理方法、装置及电子设备 |
| CN114297715B (zh) * | 2021-12-31 | 2023-01-13 | 北京深盾科技股份有限公司 | 文件加密方法、文件处理方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20130080792A1 (en) | 2013-03-28 |
| US20130061329A1 (en) | 2013-03-07 |
| WO2007033604A1 (en) | 2007-03-29 |
| CN100371847C (zh) | 2008-02-27 |
| US8296585B2 (en) | 2012-10-23 |
| US20080215881A1 (en) | 2008-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100371847C (zh) | 文档加密、解密的方法及其安全管理存储设备和***方法 | |
| CN1133935C (zh) | 保护存储在便携式存储介质的信息的保密*** | |
| CN101729550B (zh) | 基于透明加解密的数字内容安全防护***及加解密方法 | |
| CN1132110C (zh) | 用于允许软件产品试用期使用的方法 | |
| CN1276363C (zh) | 借助半导体存储装置实现数据安全存储和算法存储的方法 | |
| JP4610557B2 (ja) | データ管理方法、そのプログラム及びプログラムの記録媒体 | |
| EP1596269A2 (en) | A system and method for rendering selective presentation of documents | |
| US20090150631A1 (en) | Self-protecting storage device | |
| CN1610888A (zh) | 存储防盗版密钥加密(sake)设备以便控制用于网络的数据存取的方法和装置 | |
| CN101057200A (zh) | 用数字版权分配内容到移动装置的方法及移动装置 | |
| CN1977490A (zh) | 存储媒体处理方法、存储媒体处理装置以及程序 | |
| CN1602600A (zh) | 内容处理装置与内容保护程序 | |
| CN1977489A (zh) | 内容管理方法、内容管理用程序以及电子设备 | |
| CN1767033A (zh) | 存储介质访问控制方法 | |
| CN1304105A (zh) | 便携式终端、服务器、***及它们的程序记录介质 | |
| CN1512360A (zh) | 移动存储设备与读写识别设备的安全认证方法 | |
| US20100205460A1 (en) | Encryption method for digital data memory card and assembly for performing the same | |
| CN1776563A (zh) | 一种基于通用串行总线接口的文件夹加密装置 | |
| JP3528701B2 (ja) | セキュリティ管理システム | |
| TW201415283A (zh) | 檔案管理系統及方法 | |
| JP2004362516A (ja) | Usb暗号化装置及びプログラム | |
| US20080133932A1 (en) | Portable Data Support with Watermark Function | |
| CN101609490A (zh) | 基于移动存储介质的数字内容保护方法及*** | |
| CN1961306A (zh) | 发送和接收转换格式的数字版权对象的设备和方法 | |
| KR101040132B1 (ko) | 데이터 암호화 및 억세스 제어 기능이 내장된 외장형 하드 디스크 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080227 Termination date: 20150922 |
|
| EXPY | Termination of patent right or utility model |