專利名稱:保密和/或鑒別文件的遠控打印的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于控制保密和/或經(jīng)鑒別(authenticaed)的文件的打印的方法和設(shè)備�,尤其涉及,但不僅限于�����,這樣一種包括能控制打印過程的方法和設(shè)備�����。
定義在該說明書中��,文件是指包括電子或打印形式的文件�。
在該說明書中�,鑒別(authencation)包括保密�����,反之亦然。
在該說明書中���,機器包括桌上型計算機�����、膝上型計算機�、筆記本計算機或其它合適形式的計算機�����。
在該說明書中���,“打印”包括對文件各種形式的處理�����,包括打印�����、查看��、收聽��、保存���、電子形式的發(fā)送、轉(zhuǎn)送和類似功能����。
背景技術(shù):
在經(jīng)營商業(yè)和管理行業(yè)通常要使用紙件文件。雖然不斷預計要無紙化辦公��,但是在數(shù)字時代依然可見辦公用紙增加���。主要原因在于這樣更可靠�。當文件由管理人員正確簽署時�����,他們的簽名就具有認證性��。無論簽名出現(xiàn)在何時何地�,有人都能在一定程度上確定文件的真實性。眾所周知����,正因為嚴格控制原始文件的數(shù)量�����,才實現(xiàn)了保密����。
美國專利US6,091,507涉及一種在網(wǎng)絡(luò)上打印文件的方法和設(shè)備����。其利用網(wǎng)絡(luò)協(xié)議、傳輸格式��、硬件接口����,便于從具有光柵圖象處理器的主機將光柵數(shù)據(jù)高速地傳送到打印機。顯然���,它不能訪問與文件相關(guān)的許多重要課目����,該文件是保密的��,并可信(trusted)或經(jīng)鑒別(authenticated)的。
美國專利US5,983,065涉及一種打印保密文件的方法���。其使用一種可控訪問電子打印機來打印原始文件���。由此形成的打印圖象在可見光中可以識別出����,并由標記材料(液體油墨和/或干色粉)所生成,該材料至少包含光活性(courmarin)化合物�����。被打印的原始文件圖象不能在通常復印機上復制或掃描儀上掃描�����。其使用特殊打印材料�。
美國專利US5,917,996公開了一種使用防篡改技術(shù)、結(jié)合電子形式特征打印防篡改文件的方法�����,其披露了保密的背景技術(shù)�。
美國專利US6,085,181公開了一種郵資計量系統(tǒng)�,作為儀表服務(wù)器用于在網(wǎng)絡(luò)上進行可獨立應用的儀表工作��。打印機組件在網(wǎng)絡(luò)上作為客戶打印機模式操作��,該網(wǎng)絡(luò)連接到郵政保密設(shè)備(PSD)�����。該PSD包括獨特的標識符��、郵資值儲存器和數(shù)字標記發(fā)生器����。客戶打印機通過當?shù)乜蛻舸蛴C組件�����,請求從PSD獲得郵資支付的證據(jù)�,用于結(jié)束郵資計量辦理。郵資支付的證據(jù)包括與每個請求郵資支付的證據(jù)相關(guān)的數(shù)字標記���。該專利提供了對郵資的使用控制方式����。
在現(xiàn)有技術(shù)中,沒有公開兩個重要問題文件復制份數(shù)控制�����,文件的鑒別控制�����。
本發(fā)明的主要目的是提供一種用于遠控打印鑒別文件的方法和設(shè)備��,所述打印能夠加以控制�。
發(fā)明內(nèi)容
基于上述目的和別的目的��,本發(fā)明提供了一種借助網(wǎng)絡(luò)來遠控打印文件的方法����,該方法包括以下步驟(a)在服務(wù)器上接收從發(fā)送方(sender)處發(fā)送來的文件;(b)服務(wù)器將文件轉(zhuǎn)送給接收方(recipient)�;(c)文件在轉(zhuǎn)送給接收方之前進行鑒別;(d)服務(wù)器從發(fā)送方接收有關(guān)打印控制的指令�����,服務(wù)器還在接收方執(zhí)行那些控制����。
本發(fā)明還提供一種用于借助網(wǎng)絡(luò)遠程打印文件的方法����,該方法的步驟包括(a)發(fā)送方將文件發(fā)送到服務(wù)器�����,使服務(wù)器能將文件轉(zhuǎn)送給接收方����;(b)在將文件發(fā)送到服務(wù)器之前,由發(fā)送方鑒別文件���;(c)將用于控制文件打印的指令發(fā)送給服務(wù)器����,以便使服務(wù)器能實現(xiàn)對接收方的控制���。
本發(fā)明還以另一種形式提供了一種打印鑒別文件的方法��,該文件是借助網(wǎng)絡(luò)遠程接收到的��,該方法的步驟如下(a)服務(wù)器從發(fā)送方接收到經(jīng)鑒別的文件后�,接收方從服務(wù)器接收經(jīng)鑒別的文件;(b)服務(wù)器從發(fā)送方接收到打印控制后�,服務(wù)器實現(xiàn)對接收方的打印控制。
打印控制最好包含保證能使打印出來的內(nèi)容與發(fā)送方發(fā)送的文件內(nèi)容一樣�,和/或防偽造控制和/或防復制控制和/或能控制被打印文件的副本份數(shù)。
接收方可包括一個打印機���,為了打印文件��,發(fā)送方向打印機提供打印控制����。服務(wù)器最好使文件能保密地從發(fā)送方通過服務(wù)器發(fā)送到接收方�,并在打印控制中是發(fā)送方的可信代理��。服務(wù)器也可以是驗證文件的可信第三方���。為了做到這些��,服務(wù)器可使用儲存在服務(wù)器里的散列信息(hash)和文件的內(nèi)容特征����。可基于可信文件結(jié)構(gòu)發(fā)送保密文件和打印控制�,該結(jié)構(gòu)包括一個或多個的a)文件自身;b)手寫簽名���;c)數(shù)字標記�����;d)光學水?����?�;e)文件的內(nèi)容特征�;f)使用控制和核查跟蹤(audit trail)��;g)發(fā)送方的封印(seal)����;h)終止日期。
發(fā)送方可能是有權(quán)處理文件的人�����。該方法可使用公用密鑰結(jié)構(gòu)來保證在文件傳送過程中的認可(non-repudiation)、保密和安全性���。
數(shù)字標記可用到文件上���,數(shù)字標記是發(fā)送方、服務(wù)器和接收方的數(shù)字標記���。發(fā)送方和接收方最好在發(fā)送和接收之前分別利用服務(wù)器注冊��。文件散列信息和內(nèi)容特征可與用于確定的文件一起發(fā)送����,散列信息和文件的內(nèi)容特征保持在服務(wù)器中����,以便于以后驗證。
該方法可使用保密接口層協(xié)議(Secure Socket Layer protocol)所提供的保密文件轉(zhuǎn)送通道��;通過使用用戶身份和至少一個口令鑒別發(fā)送方和接收方����。
該方法也可使用用于保密文件傳送的加密技術(shù)��。因此,給文件解密的密鑰通過一個運載裝置被直接送到接收方�,該運載裝置是從下列構(gòu)成的組合中選出的電子郵件、電話�����、郵件��、快遞和專有傳送裝置���。
打印文件通過使用鑒別裝置可得以保護����,而防止未授權(quán)的復制和偽造�����,該裝置是從下列構(gòu)成的組合中選出的光學水印��、特殊墨水�、特殊紙張和特殊打印材料。
光學水印可具有一個防假冒層�����。打印機可被檢驗來實現(xiàn)防假冒層的高級性能?���?墒褂么蛴≌Z言來執(zhí)行檢驗,不需要人為干預�����。此外����,打印機在打印控制過程中可以是保密的;可包括一個保密(secure)存儲器����、保密中心處理單元、和保密(secure)時鐘�����。保密存儲器可用來儲存專有密鑰�;保密中心處理單元可用來防止運行中受攻擊(attack),保密時鐘可用來計時����。最好,打印機和服務(wù)器使用公用密鑰對或打印機的對稱密鑰��,來執(zhí)行保密信號交換����,以鑒別彼此身份。
服務(wù)器可發(fā)送一個加密文件散列信息�、光學水印和打印指令給打印機。
打印機可接收來自客戶軟件的文件�,給文件解密,在打印之前利用散列信息和時間標志核對文件�����,并在打印期間增加光學水印�。
最好,打印機在打印之后�,就將文件立即刪除;并在服務(wù)器中進行核查跟蹤記錄����。
接收方在打印控制過程中或許是可信的,在這種情況下���,服務(wù)器可通過客戶軟件與打印機通信�����,來驗證打印機系列號和互聯(lián)網(wǎng)協(xié)議地址�����,核對打印機狀態(tài)���,鎖定打印機的控制板�,設(shè)置所有必要的打印機參數(shù)�����,將要打印的文件發(fā)送給打印機����,在完成打印后重設(shè)打印機參數(shù),并在服務(wù)器中進行核查跟蹤記錄�。
封印(seal)可包括由以下構(gòu)成的組合中選擇出的一個或多個手寫簽名和封印����;封印包括對所有打印副本來講都是公用的共用封印,以及對每個打印副本來講是唯一的獨特封印��。
客戶軟件有一個基本部分和高度機密部分,當接收方利用服務(wù)器注冊時��,該基本部分被傳送到接收方�����,高度機密部分比基本部分更容易受到攻擊��。高度機密部分下載到接收方機器上�����,以便于打印文件�����,并在打印完后�,從接收方機器上刪除��,以便于防止高度機密部分受到攻擊����。當接收方利用服務(wù)器注冊時,最好能將高度機密部分的加密形式發(fā)送給接收方���,該服務(wù)器管理解密密鑰�;需要時,將高度機密部分解密���。
基本部分的散列信息結(jié)果可在與基本部分發(fā)送給接收方的同時或之前取得��,該散列信息結(jié)果儲存在服務(wù)器中�;當接收方需要打印文件時��,取得基本部分的第二散列信息結(jié)果�����,并在服務(wù)器授權(quán)打印之前與散列信息結(jié)果比較�����。
客戶軟件可儲存在接收方的硬件設(shè)備中�����。
作為一種選擇方式或附加方式���,用于高度機密部分元件執(zhí)行的執(zhí)行時間可記錄在服務(wù)器里��,并與打印文件時的元件執(zhí)行時間相比較���;如果花費的時間顯然比執(zhí)行時間長�,則中止打印���。
最好,響應于接收方打印文件的請求執(zhí)行打印控制��。打印控制可脫機(off-line)進行�����,服務(wù)器不參與打印過程����。在那種情況下,在接收方提供了硬件設(shè)備���,起服務(wù)器和/或保密軟件程序的作用�����,執(zhí)行對接收方的打印控制�����。最好�,軟件程序以一個分散的形式來執(zhí)行,以便于防止軟件受到攻擊��。
發(fā)送方和服務(wù)器可以是一樣的�����,此時���,服務(wù)器執(zhí)行所有發(fā)送方的功能����。
硬件設(shè)備可控制文件打印���,該硬件設(shè)備包括保密存儲器���、讀后刪除存儲器、具有單片程序的中央處理單元以及接口�����;硬件設(shè)備要利用服務(wù)器注冊。機器可包括打印機�����、與打印機是一個整體的硬件設(shè)備���;該打印機要利用服務(wù)器注冊����。
保密存儲器可含有一個可訪問存儲器�����,只有當輸入并核對用戶口令時才可訪問該存儲器����,而且只能訪問與用戶相關(guān)的可訪問存儲器的那一塊(block)����;還含有用于內(nèi)部使用的可控存儲器,該可控存儲器被分成多個塊�����,每個用戶一個可控制存儲器塊;可控存儲器用于存儲保密密鑰�����、系列號���、用戶專有密鑰和接收方ID密鑰���。
控制可包括發(fā)放打印文件的許可證給接收方,許可證包括授權(quán)打印文件的副本份數(shù)�����。每個許可證最好有一個許可證密鑰��,該許可證密鑰用于將獨特封印加密��;所述許可證密鑰以加密形式由服務(wù)器發(fā)送給接收方并被安裝在硬件設(shè)備中���。服務(wù)器可添加許可證密鑰����,服務(wù)器產(chǎn)生了新許可證密鑰集和新添加(top up)密鑰,在通過服務(wù)器被發(fā)送到接收方并被安裝在硬件設(shè)備里之前����,用先前的添加密鑰對所述新許可證密鑰集和新添加密鑰加密。
每個許可證可包括一個終止日期�����,在該日期后�,就不可以再使用許可證打印文件。新許可證密鑰集可與文件分開或一起發(fā)送����。
在發(fā)送方發(fā)送文件之前,發(fā)送方的共用封印�、用于發(fā)送的時間標志和終止日期,可用第一會話密鑰加密����,以給出一個加密結(jié)果�。然后該加密結(jié)果和文件可利用第二會話密鑰加密,以給出第二加密結(jié)果��;在第二加密結(jié)果中���,包括有一個散列信息結(jié)果�,以提供一種用于核對數(shù)據(jù)完整性的措施。
打印控制可查看文件����,但不打印文件,查看不要求許可證�����。終止日期最好在授權(quán)打印文件之前核對��,如果終止日期已過�,則不再允許打印。
發(fā)送方有權(quán)發(fā)放保密硬件設(shè)備給每個接收方�,通過網(wǎng)絡(luò)將文件和許可證密鑰發(fā)送到每個接收方,每個接收方使用保密硬件設(shè)備打印文件��,該文件作為打印或電子文件����,由接收方發(fā)送給接收方的消費者,保密硬件設(shè)備控制電子文件的發(fā)送���,保密硬件設(shè)備進行核查跟蹤信息��,并且當添加新許可證密鑰時將它發(fā)送給管理機構(gòu)����。
文件可以是郵票、稅務(wù)發(fā)票和/或稅務(wù)收據(jù)�����,在核查跟蹤中包括其數(shù)值�。管理機構(gòu)可基于包括核查跟蹤中的數(shù)值決定其應當支付的稅款。
按另一種形式�����,本發(fā)明還提供了一種硬件設(shè)備�����,與用戶機器一起使用����,使其至少可控制利用該機器的一個文件的打印����,該硬件設(shè)備包括一個保密存儲器��、讀后刪除存儲器�、具有單片程序的中央處理單元和一個接口�。
該保密存儲器可含有一個可訪問存儲器,只有當輸入并核對用戶口令時才可訪問該存儲器��,而且只能訪問與用戶相關(guān)的可訪問存儲器的那一塊��;還含有可控存儲器�����,被分成許多塊��,每個每個用戶有一個存儲器塊�����?����?煽卮鎯ζ骺捎糜诖鎯ΡC苊荑€���、系列號����、用戶專有密鑰和接收方ID密鑰。硬件設(shè)備可借助保密軟件程序?qū)崿F(xiàn)�,該保密軟件程序可以分開的形式執(zhí)行,有助于防止軟件攻擊�����。
為了可以更好地理解本發(fā)明��,以及容易地實現(xiàn)本發(fā)明�,在此,將參考以下附圖�,并借助非限制性的本發(fā)明最佳實施方式進行說明附圖1是一個文件發(fā)送和打印系統(tǒng)的方塊圖。
附圖2描述了一個可信(trusted)文件的結(jié)構(gòu)��。
附圖3是控制打印機的流程圖����,該打印機使用PJL語言。
附圖4是用于脫機打印的硬件設(shè)備的方塊圖�����。
附圖5是第一脫機打印方案的方塊圖。
附圖6是用于圖5所示方案的文件數(shù)據(jù)格式�����。
附圖7表示了添加(top up)密鑰集的生成����。
附圖8是圖7所示添加過程的流程圖�。
附圖9是第二脫機打印方案的流程圖。
附圖10是用于圖9所示方案的文件數(shù)據(jù)格式����。
附圖11是用于圖9和圖10所示方案的許可證和許可證安裝數(shù)據(jù)格式。
附圖12是用于脫機打印的第二硬件設(shè)備的方塊圖�����。
附圖13是第三脫機打印方案的圖表�����。
附圖14是用于圖13所示方案的文件數(shù)據(jù)格式���。
附圖15表示了添加密鑰集的生成�。
附圖16是圖15所示的添加過程的流程圖。
附圖17是第四脫機打印方案的方塊圖�����。
附圖18是用于圖17所示方案的文件數(shù)據(jù)格式�。
附圖19是用于圖17和圖18所示方案的許可證和許可證安裝數(shù)據(jù)格式。
附圖20是用于基于軟件脫機打印的密鑰數(shù)據(jù)庫��。
附圖21是用于基于軟件脫機打印的密鑰挽救文件�。
附圖22是基于軟件脫機打印方案的方塊圖。
附圖23是用于基于軟件脫機打印的許可證和許可證安裝數(shù)據(jù)格式���。
附圖24是用于基于軟件脫機打印方案的文件數(shù)據(jù)格式����。
具體實施例方式
本發(fā)明有三個主要部分所有文件的轉(zhuǎn)送和打印過程����,其中,服務(wù)器系統(tǒng)起可信第三方的作用�����;鑒別打印文件的裝置�;以及其自身的打印控制����。
所有文件的轉(zhuǎn)送和打印過程參考附圖1�,保密遠控文件打印系統(tǒng)有四個主要部分。文件發(fā)送方應該是有權(quán)利啟用文件的人��。通信服務(wù)器系統(tǒng)至少包括一個服務(wù)器���,該服務(wù)器為保密可靠的文件發(fā)送提供必要設(shè)備。在鑒別發(fā)送方時其起可信第三方和接收方的作用��,這個辦理是基于內(nèi)部公用密鑰基礎(chǔ)結(jié)構(gòu)(PKI)協(xié)議的基礎(chǔ)上的����。并且還起代表發(fā)送方的可信媒介的作用,以便執(zhí)行發(fā)送方的打印請求�����,并控制打印過程����。打印過程通過接收方網(wǎng)點常駐的軟件,由通信服務(wù)器系統(tǒng)控制��。至于使用加密技術(shù)的保密文件發(fā)送,請參考ISO/CCITT X400�,至于PGP,例如參見1995年由C.Kaufman�,R.Perlman和M.Speciner,PTR Prentice Hall寫的網(wǎng)絡(luò)安全-在公共世界中的專有通信�����。
在文件轉(zhuǎn)送中����,文件將具有如圖2所示的結(jié)構(gòu),該結(jié)構(gòu)使其成為一個可信文件�����。加上文件本身���,還包括五個其它的部分●手寫簽名和/或發(fā)放管理機構(gòu)的封印(seal)�����,立即給人一種值得信任的感覺�。只有管理機構(gòu)鑒別成功時將手寫簽名和封印加到文件上��。用這種方式,手寫簽名才有意義����。
●文件的數(shù)字標記,該數(shù)字標記是為了認可(no repudiation)和內(nèi)容完整性的目的由發(fā)送方�����、接收方和服務(wù)器系統(tǒng)建立的�����。數(shù)字標記是利用專有密鑰的文件散列信息的加密�。由所有三方的數(shù)字標記將保證起源�、接收和發(fā)送的認可性。
●在文件上的光學水印保證對文件的鑒別�,保護文件不被復制和偽造。
●文件的內(nèi)容特征是由整個文件整個文件中提取出的�����,用來驗證文件的內(nèi)容��,并查找可能變化的位置���,為了將來對文件進行驗證���,被存儲在服務(wù)器系統(tǒng)中�。
●使用控制和核查跟蹤記錄維持管理機構(gòu)的使用說明�,也決定拷貝控制的執(zhí)行狀態(tài),并由服務(wù)器系統(tǒng)管理���。
有三種操作程序選擇���,每一個都有不同等級的保密性a)基于PKI的高保密性操作程序,它為用戶鑒別和認可提供了一種措施�;b)保密發(fā)送,使用的是保密接口層(Secure Socket Layer)(SSL)協(xié)議��;c)使用對稱加密的保密發(fā)送�����。
基于PKI的高保密性操作程序注冊所有用戶(發(fā)送方和接收方)都利用服務(wù)中心注冊�����,該中心管理通信服務(wù)器系統(tǒng)���。注冊操作程序包括�,但不僅限于●用戶要求注冊,并提供他們的證明���,用戶身份(“ID”)��,要求的服務(wù)類型��,以及從公共證明管理機構(gòu)(如果可能的話)獲得的數(shù)字證明���;●然后服務(wù)中心驗證用戶證據(jù),產(chǎn)生一個用戶簡檔(profile)�����,并將該簡檔儲存在其注冊數(shù)據(jù)庫中���。然后服務(wù)中心產(chǎn)生一個注冊身份,并將信息和可信客戶軟件轉(zhuǎn)送給用戶�����。如果用戶沒有數(shù)字證明���,內(nèi)部證明管理機構(gòu)將通過以下步驟發(fā)送一個數(shù)字證明給用戶
-內(nèi)部證明管理機構(gòu)產(chǎn)生一個消息鑒別代碼(“MAC”)密鑰���,并將它與客戶軟件和注冊身份一起發(fā)送給用戶�;-用戶使用客戶軟件產(chǎn)生一個密鑰對��,以產(chǎn)生一個關(guān)于證明的請求���,并用MAC密鑰給它加密����,送到服務(wù)中心��。專有密鑰可能被儲存于用戶機器中的硬盤�、軟盤、只讀光盤�����、智能卡或任何其它合適的裝置上���;-然后服務(wù)中心驗證請求����、傳輸信號,并將用戶證明返回���。同時�,服務(wù)中心將用戶證明的副本存放在證明數(shù)據(jù)庫中�;-服務(wù)中心在硬拷貝上打印用戶證明的手印,并且�,服務(wù)中心和注冊用戶都在硬拷貝上簽名。
發(fā)送文件為了使發(fā)送方將文件發(fā)送到接收方��,可采取以下步驟●發(fā)送方通過提供它們的注冊ID��、權(quán)標(即便要)和口令����,注冊進入服務(wù)器系統(tǒng);●服務(wù)器系統(tǒng)驗證發(fā)送方的身份�����,如果驗證成功��,則提示接收方姓名�����、地址����、待發(fā)送的文件以及允許由接收方打印的副本復制份數(shù)。如果具有所要求的ID的接收方存在于服務(wù)中心的數(shù)據(jù)庫中���,服務(wù)器系統(tǒng)就從證明數(shù)據(jù)庫中提取公用密鑰證明��,產(chǎn)生一個唯一系列號��,并記錄下辦理時間��。整個辦理過程所花的時間可被忽略�。如果接收方?jīng)]有利用服務(wù)中心注冊���,客戶軟件就產(chǎn)生一個會話密鑰��,用會話密鑰給數(shù)據(jù)加密����,用口令給會話密鑰加密�����,并通過單獨的電子郵件、電話或其它形式發(fā)送口令��。
●發(fā)送方驗證接收方的證明��、ID和辦理時間��。然后�,發(fā)送方的客戶軟件計算要發(fā)送文件的散列信息、附加系列號�����、時間���、發(fā)送方ID和接收方ID����,使用發(fā)送方專有密鑰簽名�����,并將其發(fā)送到服務(wù)中心�����;●服務(wù)器系統(tǒng)核對簽名的真實性��,并產(chǎn)生它自己的簽名���;●發(fā)送方驗證服務(wù)器系統(tǒng)的簽名����,并將它合并在文件中�����;●用戶的客戶軟件將發(fā)送方的手寫簽名�����、發(fā)送方公司的封印和文件的內(nèi)容特征加到文件中��;使用服務(wù)器系統(tǒng)的證明給內(nèi)容特征和散列信息加密���,使用接收方的證明給其余信息和散列信息加密���,并將它下載到服務(wù)器系統(tǒng)�;●接收到加密文件時�,服務(wù)器系統(tǒng)就將它存儲在證據(jù)數(shù)據(jù)庫中,并發(fā)一個通知給接收方��。在一預定時期內(nèi)為了鑒別文件�,將散列信息和內(nèi)容特征儲存在服務(wù)器中。
接收文件步驟如下●服務(wù)器系統(tǒng)將可得到的文件通知接收方�����,還傳送文件ID和文件系列號��;●接收方用接收方ID��、權(quán)標(即便要)和口令在服務(wù)器系統(tǒng)上注冊�;●服務(wù)器系統(tǒng)核對有效性,產(chǎn)生系列號����、時間、發(fā)送方ID和接收方ID的散列信息�����。對這些簽名并將簽名和散列信息發(fā)送給接收方����。發(fā)送方的證明、加密文件和發(fā)送方的簽名也和這些信息一起發(fā)送����;●然后接收方驗證發(fā)送方的公用密鑰證明,給文件解密���,產(chǎn)生散列信息���,并反復查對由服務(wù)器系統(tǒng)發(fā)送來的生成散列信息。如果它們匹配�����,驗證成功����。驗證還包括服務(wù)器系統(tǒng)的發(fā)送時間;●接收方的客戶軟件產(chǎn)生文件散列信息����、系列號、接收方ID�、發(fā)送方ID和時間的混雜信號的簽名����,并送到服務(wù)器系統(tǒng)�。這將使服務(wù)中心能完全相信文件已經(jīng)被成功解密;●然后服務(wù)器系統(tǒng)驗證該信息����,并將有關(guān)信息儲存在證據(jù)數(shù)據(jù)庫中;●當接收方提出打印請求時����,服務(wù)器系統(tǒng)就通過客戶軟件,與在接收方網(wǎng)址的打印機通信����,并核對其狀態(tài)。如果打印機準備好了���,服務(wù)器系統(tǒng)就將文件和用于打印的光學水印發(fā)出去�����。如果沒有錯誤消息���,打印就會成功���。服務(wù)器系統(tǒng)引起核查跟蹤去記錄整個過程;●服務(wù)器系統(tǒng)將確認信息發(fā)送給接收方���,通知發(fā)送方。
使用SSL保密傳送SSL(保密接口層)協(xié)議��,正如1999年RFC2246第1版“傳送層保密”����,在兩方之間提供了一個保密信道。所有通過SSL信道的數(shù)據(jù)轉(zhuǎn)送都將使用會話密鑰加密����,會話密鑰是為每一個聯(lián)系隨機地產(chǎn)生。發(fā)送步驟是●發(fā)送方和服務(wù)器系統(tǒng)建立聯(lián)系���,保密地交流SSL會話密鑰���,以下所有的辦理都是經(jīng)過加密信道的;●發(fā)送方用它們的注冊ID和口令在系統(tǒng)上注冊��;●服務(wù)器通過它們的注冊ID和口令驗證發(fā)送方身份�����;●然后發(fā)送方提出請求發(fā)送數(shù)據(jù)(可能是文件)給接收方;●服務(wù)器確認請求�,并準備接收數(shù)據(jù);●發(fā)送方將數(shù)據(jù)與散列信息和內(nèi)容特征一起發(fā)送�;
●一接收到數(shù)據(jù),服務(wù)器系統(tǒng)就將它儲存在證據(jù)數(shù)據(jù)庫中�����,并給接收方發(fā)通知����。在一預定時期內(nèi),散列信息和內(nèi)容特征將被儲存在服務(wù)器中���,用來為以后的鑒別服務(wù)���;●當接收方接收到通知時,就利用客戶軟件����,與服務(wù)器建立聯(lián)系,并交流SSL會話密鑰。所有以下處理都經(jīng)過加密信道�����;●然后接收方在系統(tǒng)上用他們的注冊ID和口令注冊����;●服務(wù)器驗證接收方的注冊ID和口令,如果核實����,則服務(wù)器將把數(shù)據(jù)傳送給接收方�����;●接收方接收數(shù)據(jù)����,并向服務(wù)器發(fā)送確認信息;●如果接收方提出發(fā)送打印經(jīng)鑒別副本的請求�����,則服務(wù)器將用散列信息和內(nèi)容特征驗證文件�����,并與打印機通信,而且發(fā)送文件和用于打印的光學水印�,還引起核查跟蹤來記錄整個過程的狀態(tài)。
用加密技術(shù)保密傳送●發(fā)送方用它們的注冊ID和口令在服務(wù)器上注冊��;●服務(wù)器驗證發(fā)送方的注冊ID和口令�����;●發(fā)送方提出發(fā)送數(shù)據(jù)(又可能是文件)的請求�;●服務(wù)器確認請求,并準備從發(fā)送方接收數(shù)據(jù)����;●發(fā)送方從數(shù)據(jù)中產(chǎn)生一個散列信息和內(nèi)容特征,并產(chǎn)生一個隨機會話密鑰來給數(shù)據(jù)加密�。密鑰和散列信息用口令加密,散列信息和內(nèi)容特征用服務(wù)器系統(tǒng)的公用密鑰加密����,然后,下載到服務(wù)器系統(tǒng)����;●服務(wù)器系統(tǒng)接收被加密的數(shù)據(jù)、密鑰、散列信息和內(nèi)容特征�,并將它們存在數(shù)據(jù)庫中;●然后發(fā)送方通過電話����、電子郵件、郵件���、個人遞送或其它方式將口令通知接收方��;●當接收方接收到來自發(fā)送方的口令時���,接收方利用注冊ID和口令注冊進入服務(wù)器;●服務(wù)器驗證注冊ID和口令���,如果核實,則將加密數(shù)據(jù)���、密鑰和散列信息發(fā)送給接收方��;●接收方接收加密數(shù)據(jù)�����、密鑰和散列信息���,并給服務(wù)器發(fā)送接收確認�����;●接收方使用單獨獲得的口令給密鑰和散列信息解密���,并用密鑰給數(shù)據(jù)解密;
●接收方計算被解密數(shù)據(jù)的散列信息�,并將它與接收到的散列信息比較。如果它們一樣���,則又將確認發(fā)送給服務(wù)器����;●如果接收方向管理機構(gòu)提出打印經(jīng)鑒別文件的請求����,則服務(wù)器系統(tǒng)核對發(fā)送方定義的數(shù)據(jù)庫記錄,以了解它們是否被允許打印文件�,以及他們被允許打印多少副本。如果符合�����,服務(wù)器系統(tǒng)就利用散列信息驗證文件,與打印機通信����,并發(fā)送用于打印的文件和光學水印。還引起核查跟蹤來記錄打印狀態(tài)���。
文件鑒別的措施任何合適的裝置都能用來鑒別文件�,例如��,特殊墨水和特殊紙張都以控制方式使用�����。另一個例子是使用具有多層嵌入實物圖象的光學水印���。光學水印圖象被存儲在服務(wù)器系統(tǒng)中����,并轉(zhuǎn)送到打印機�,以便于以一種由服務(wù)器系統(tǒng)以控制方式來打印文件����。在文件上的光學水印在某種意義上來說提供了一種可靠性�����,如果沒有得到服務(wù)器系統(tǒng)的允許就打印文件的話��,文件上是沒有光學水印的��,因此��,文件是無效的�����。光學水印在我們的共同申請PCT/SG00/00147中已經(jīng)公開�����,申請的標題為“光學水印”����,是2000年9月15日在新加坡申請的�����,因此在此將其內(nèi)容作為參考。
光學水印可保護文件不被假冒和偽造�����,它將多個實物潛像嵌入多層重復結(jié)構(gòu)中�����,產(chǎn)生一個水印����。然后水印被合并到文件中,例如�����,作為一個封印���,標識圖或背景�����。這會被稱作一個光學水印����。
在光學水印中的防假冒層對打印機的屬性很高度機密�。具體說,它取決于可由影印機探測的像點大小��。為了保證光學水印的打印效果�,有必要有個校準過程,來決定最小可見像點的大小和其最佳嵌入的空間頻率��。這個過程可能包括●產(chǎn)生一排具有不同像點大小的測試圖案的陣列�;●用戶從打印測試頁中,確定第一可見測試圖案數(shù)量����,以便于找到打印機能打印的最小可見像點;●基于這個數(shù)量�����,系統(tǒng)產(chǎn)生并打印具有不同頻率的測試圖案的陣列�;●用戶從這個打印頁中,確定第一可見測試圖案數(shù)量���,以便于找到能夠最好隱藏信息的頻率�����;●利用這兩個數(shù)量�����,打印確認頁����;
●用戶影印確認頁。如果可以看見防復制特征了����,就完成檢驗。否則再次執(zhí)行檢驗���,直到獲得成功的結(jié)果�����。
打印控制打印控制提供了一個控制過程�����,以確保文件嚴格按照管理機構(gòu)/發(fā)送方的指令打印��。就是說�,當管理機構(gòu)/發(fā)送方發(fā)送文件時,也輸入了他們的打印指令���。然后該指令由服務(wù)器系統(tǒng)實施,作為一個可信媒介�,服務(wù)器系統(tǒng)將指令作為文件轉(zhuǎn)關(guān)歷史的一部分儲存到數(shù)據(jù)庫中。該服務(wù)器系統(tǒng)將根據(jù)發(fā)送方提供的指令控制打印過程���。服務(wù)器系統(tǒng)控制打印過程的方式有很多種���。
已存在的打印過程不具有任何控制。當客戶從服務(wù)器接收到文件時�,文件由一個卷筒系統(tǒng)送到網(wǎng)絡(luò)打印機。一旦打印請求納入在卷筒行列中�,打印請求和客戶/服務(wù)器之間的鏈路投入使用。唯一的消息就是打印請求是否成功�。人們可容易地獲得數(shù)據(jù),并請求打印機打印多份副本�。
由于服務(wù)器系統(tǒng)可信和保密,服務(wù)器系統(tǒng)通過客戶軟件和打印機通信�。為了確保控制打印過程�����,可用到很多方法,包括接收方�����。所使用的方法將是不同的����,并對于不保密打印機和/或非保密接收方來講又是不同的。
保密打印機的打印控制保密打印機將具有一個硬件單元����,該硬件單元包括一個時鐘;一個用來儲存加密密鑰和儲存用來為數(shù)據(jù)加密和解密的程序的保密存儲器�����;一個執(zhí)行程序����、與客戶和服務(wù)器通信并控制打印機的CPU。該硬件單元在這種意義上是保密的��,即可以防止外部對時鐘����、密鑰��、程序和運行程序的攻擊���。當用戶請求管理機構(gòu)打印鑒別文本時,服務(wù)器系統(tǒng)與打印機通信����,完成與客戶的信號交換過程��。打印機和服務(wù)器系統(tǒng)根據(jù)公用密鑰對鑒別成功后�,服務(wù)器系統(tǒng)就將加密后的散列信息和光學水印與時間標志、打印指令一起發(fā)送給打印機��。關(guān)于保密信號交換協(xié)議和加密數(shù)據(jù)發(fā)送的細節(jié)��,參考由C.Kaufman��,R.Perman���,和M.Speciner�,PTR Prentice Hall在1995年所著的“網(wǎng)絡(luò)安全-在公共世界中的專用通信”第223頁第9章“安全信號交換缺陷”�����。
打印機將其專有密鑰保存在保密儲存器中。當接收方利用服務(wù)中心注冊時��,服務(wù)器系統(tǒng)就知道了其數(shù)字證明�。在成功地完成保密信號交換過程后,服務(wù)器系統(tǒng)將加密指令���、文件散列信息和光學水印一起發(fā)送給打印機����。所有數(shù)據(jù)都用時間標志和數(shù)字標記加密����。打印機接收到來自客戶軟件的文件,為數(shù)據(jù)解密�,驗證來自服務(wù)器的數(shù)字標記和時間標志,如果驗證成功就打印����。打印完后,數(shù)據(jù)立即被刪除����。打印機產(chǎn)生打印數(shù)據(jù)的散列信息���,并將散列信息和時間標志簽名,并將它發(fā)送給服務(wù)器���,保存在核查跟蹤記錄中��。
由于加密技術(shù)和PKI�����,在服務(wù)器和打印機之間的通信就很安全���。保密打印機由可信廠商生產(chǎn)和檢查�,以確保儲存在保密存儲器中的程序不會被篡改,并防止對打印機CPU中運行的程序運行進行攻擊����。
可信客戶的打印控制當客戶是可信分的時候,應該不會對客戶軟件引起攻擊���,也不會對客戶軟件程序產(chǎn)生運行中攻擊����。通過客戶軟件,服務(wù)器系統(tǒng)與打印機通信�����,核對其狀態(tài)�����,發(fā)送打印指令和數(shù)據(jù)�,監(jiān)視整個過程,并最后進行核查跟蹤記錄��。與打印機的對話使用可獲得的打印任務(wù)語言�,例如,由Hewlett Packard寫的PJL和PML�。圖3是使用PJL的打印控制流程圖。在打印控制過程中的主要步驟是●核對并記錄打印機的IP地址��、系列號���;●讀出打印機的狀態(tài)���,包括對所有打印任務(wù)都是共同的打印機設(shè)置,也包括只對特定打印任務(wù)才有效的打印機設(shè)置����,以及以固定間隔如每15秒的打印機狀態(tài)�;●設(shè)置對于所有當前打印任務(wù)需要的必要設(shè)置的數(shù)值��;●鎖定控制板�����,防止當打印任務(wù)發(fā)送到打印機時�,另一個用戶利用該設(shè)置篡改。如果控制板不能被鎖定�����,打印任務(wù)就被異常終止�����;●利用附錄(PS)�、打印控制語言(PCL)或愛普生標準打印機代碼(ESC/P)發(fā)送打印任務(wù)�。
控制程序?qū)⑹紫全@得所有關(guān)于打印機設(shè)置的必要信息。有了這個信息�,將非所需的結(jié)構(gòu)或設(shè)置改成所需的設(shè)置。然后打印機以預定的間隔如每15秒向回報告設(shè)備和頁數(shù)的細節(jié)�����。接下來,將打印任務(wù)發(fā)送給打印機�。利用經(jīng)常的狀態(tài)報告,打印過程得以嚴密監(jiān)視��。如果打印紙發(fā)生堵塞�����,就匯報出錯誤���,再打印一次����。打印完成后����,打印機設(shè)置改回到原始設(shè)置。獲取所有的狀態(tài)報告供核查跟蹤�����。
檢驗過程不必人工干預。就是說���,在工廠里就執(zhí)行了檢驗過程��,比較可見像點大小�、色粉等級和其它打印機參數(shù)���。利用這些數(shù)據(jù)�,在核對打印機狀態(tài)后�,就決定并設(shè)置了合適的打印機參數(shù),以便于將最好性能的光學水印打印在文件上���。
有非保密打印機的非保密客戶的打印控制非保密客戶和非可信客戶可能意味著可能會對客戶軟件和硬件和打印機產(chǎn)生攻擊���。這些包括對軟件的攻擊,運行中攻擊以獲取數(shù)據(jù)�,向服務(wù)器提供錯誤信息。有兩個途徑一個是有盡可能防病毒的客戶軟件�����,另一個是設(shè)置另外硬件單元來保護客戶軟件�??蛻糗浖敺职l(fā)時被劃分成兩部分����,基本部分和高度機密部分�����。高度機密部分包含高度機密的代碼和數(shù)據(jù)�����,如產(chǎn)生功能和訪問控制的水印�。當用戶注冊時,分發(fā)并安裝基本部分�。
保護客戶軟件的方法包括●為每個打印驗證基本客戶軟件。
任何對客戶軟件的修正都可能會引起客戶軟件發(fā)生故障�����。這樣的修正可由網(wǎng)絡(luò)錯誤�����、用戶硬盤錯誤�����、或?qū)浖墓粢稹榱朔乐惯@一點���,在發(fā)送軟件之前計算基本客戶軟件的散列信息結(jié)果并儲存在服務(wù)器中�。當用戶請求打印時��,計算相同的散列信息功能��,將結(jié)果發(fā)送到服務(wù)器中用于驗證��。只有當散列信息結(jié)果與以前儲存的結(jié)果相同時���,該服務(wù)器才將打印數(shù)據(jù)發(fā)送給客戶���。否則,不允許打印��,促使用戶采取進一步行動���。
●根據(jù)請求下載高度機密代碼��,或還運行中將高度機密代碼解密�����。
高度機密部分保存在可信服務(wù)器中�,或以加密格式發(fā)送給客戶�。當被保存在可信服務(wù)器中時,需要時便利用基本部分通過保密連接(例如SSL)下載到客戶PC��,并在使用后立即被刪除�����。高度機密部分很小��,或被壓縮����,以便于減少下載時間。高度機密部分也可與客戶軟件基本部分一起安裝在客戶機器中��,只不過是以加密形式�。需要時,高度機密部分載于存儲器中����,解密并被執(zhí)行����。服務(wù)器管理解密密鑰����。通過這種辦法,如分解代碼的靜態(tài)攻擊就不可能的了���。
●從硬件中獲得高度機密部分�����。
攻擊者實際上會不定時地攻擊客戶軟件�,但攻擊硬件困難得多�����。因此�����,可能在打印過程中由硬件獲得高度機密部分���,并且打印過程一結(jié)束��,就從存儲器中抹去�。一個熟練的攻擊者可成功地攻擊客戶軟件,并無約束地打印文件���,但是由于沒有鑒別光學水印,所以這些副本都明顯無效�。
●探測運行中攻擊一個運行中攻擊方法是用調(diào)試程序調(diào)試該程序。由于一些先進的調(diào)試程序能夠避免探測����,所以在運行系統(tǒng)時搜索調(diào)試程序是不合適的。探測運行中攻擊的一個有效方法是計算高度機密功能的執(zhí)行時間����。如果程序被調(diào)試的話,該執(zhí)行時間會顯著低于正常值�。產(chǎn)生一個單獨的線索來監(jiān)視那些高度機密功能的執(zhí)行時間。如果時間明顯長于應有時間�,則中斷主要過程。
另一個運行中攻擊的方法是用掛機系統(tǒng)監(jiān)視系統(tǒng)呼叫活動����。當系統(tǒng)功能呼叫被掛機時,其所有輸入和輸出數(shù)據(jù)都被廢棄��,這些數(shù)據(jù)可能包括解密數(shù)據(jù)或機密信息。為了防止這種攻擊�,客戶軟件將列舉出所有系統(tǒng)掛機,并將它們與內(nèi)部黑名單相比較��。如果發(fā)現(xiàn)列入黑名單的掛機�����,客戶軟件將中斷運行���。服務(wù)器會經(jīng)常更新前述的黑名單����,處理新出現(xiàn)的掛機申請�����。
脫機打印控制當打印控制是脫機時���,所有要求打印文件的信息在打印前被下載到客戶機����。其最好包括●文件自身���;●一個封印�����,包括一個手寫簽名和/或一個發(fā)送方的物理封印圖象�����,以及一個光學水印�。該封印進一步被分成兩部分一個是與所有文件打印副本共用的共用封?���。涣硪粋€是每一個文件打印副本特有的獨特封?����?��;●使用控制和核查跟蹤�����。
該信息以一種特定加密文件包的形式發(fā)送����,以確保其加密性。由于服務(wù)器不參與打印過程��,所以保密硬件/軟件被安裝到代表服務(wù)器的客戶系統(tǒng)中去起服務(wù)器的作用�。因此,這樣就提供了兩種方案-硬件方案和軟件方案�。如前所述,它們可能獨立運用�,也可能結(jié)合使用。
硬件方案參考圖4��,保密硬件設(shè)備被連接到客戶系統(tǒng)�,最好與打印機成一整體。該設(shè)備最好包括1.一個保密存儲器(401)����,其用于儲存重要信息。由CPU以及其單片程序(403)設(shè)置不同的訪問權(quán)限���。例如���,有兩種存儲器a)當輸入并驗證了用戶口令時,可訪問的存儲器;b)嚴格控制內(nèi)部使用的存儲器����。例如,保密密鑰和/或系列號被儲存在存儲器中���。系列號最好由硬件廠商保證是唯一的�。
2.一個DAR(讀后刪除)存儲器(402)�����。在該存儲器上的數(shù)據(jù)在讀后自動刪除���。其可通過單片程序或硬件達到。重要信息���,例如打印許可證���,被儲存在該區(qū)域;
3.具有單片程序(403)的CPU�,其可能訪問保密存儲器401和DAR存儲器402,鑒別用戶請求����,加密��,解密�����,并產(chǎn)生數(shù)字標記�。單片程序也包括一個密鑰管理系統(tǒng)���,最好是一個文件系統(tǒng)����。當打印任務(wù)下達時�����,任務(wù)識別號就發(fā)送到硬件設(shè)備��,在那兒密鑰管理系統(tǒng)從保密存儲器401或DAR存儲器檢索相應密鑰�。該CPU也可包括一個保密實時時鐘,來防止時間方面攻擊����;4.接口(404)。它負責在硬件設(shè)備和主機之間建立通信,也為數(shù)據(jù)流加密��,以防止分接攻擊�����。
在硬件設(shè)備中的存儲器空間�����,保密存儲器和DAR存儲器兩個都被分成幾塊(block)�。一個合格的用戶只能通過正確的口令訪問屬于他們的塊。設(shè)計該設(shè)備包括一定數(shù)量的塊�����,該塊具有用來訪問這些塊的最初口令�����,這些塊在存儲器芯片生產(chǎn)時就分配好了���。一個獨特的用戶ID密鑰存儲在用于每一個接收方的保密存儲器塊中,并被記錄在服務(wù)器的數(shù)據(jù)庫中���。當使用數(shù)字證明時�,用戶專有密鑰能夠被儲存在硬件設(shè)備400的保密存儲器塊中。
無論使用其CPU還是用打印機的CPU(如果可以獲得的話)�,硬件設(shè)備400都應該能執(zhí)行加密/解密操作。
該服務(wù)器是可信的��,負責讓用戶可利用硬件��,并管理密鑰和硬件設(shè)備的其它方面��。
硬件設(shè)備通過許多方案中的一種方案來控制打印�,現(xiàn)在舉兩個例子來說明方案1該方案使用了對稱加密技術(shù),例如�����,3DES����,AES,Blowrish等等���。它包括發(fā)送方(sender)����、接收方(receiver)、打印設(shè)備和可信服務(wù)器��,如圖5所示��。接收方的硬件設(shè)備具有許多組隨機密鑰(密鑰1�����,...密鑰N��,T密鑰)����,被寫在它們的塊DAR存儲器中。T密鑰代表一個添加密鑰��,這些密鑰是許可證密鑰����,并被用于給獨特的封印加密。這些添加密鑰(T密鑰)被用在添加過程中�。該組獨特的用戶ID密鑰和與每一個密鑰對應的初始口令保存在硬件設(shè)備的保密存儲器中。這些密鑰的副本也保存在可信服務(wù)器中���。發(fā)送方和接收方��,還有它們的硬件設(shè)備也必須在使用保密打印過程之前利用可信服務(wù)器注冊����。
接收方的注冊過程接收方應該在接收文件之前利用可信服務(wù)器注冊�。注冊過程可包括
1.接收方通過提供他們的信息,如用戶名��、電子郵件�、和他們硬件設(shè)備的ID等,請求在服務(wù)器注冊��;2.服務(wù)器處理接收方的請求�����。如果批準�,服務(wù)器就在其數(shù)據(jù)庫中搜尋未使用的硬件設(shè)備的用戶ID。如果所有用戶ID都被使用了�,則安裝一個新的硬件設(shè)備;3.服務(wù)器記錄用戶信息�����,并發(fā)送初始口令和用戶ID索引給接收方�����;4.如果沒安裝客戶軟件的話,將客戶軟件安裝到接收方的機器上��;5.接收方通過輸入他們的用戶名�����、初始口令和用戶ID索引注冊到客戶軟件��;6.將用戶ID索引和初始口令發(fā)送到硬件設(shè)備�,以便于為用戶啟動其相應的塊;7.提示接收方立即改變他們的口令����,用新口令取代原始口令;8.客戶軟件為用戶準備一個專有目錄��,并將該目錄的密鑰(稱做目錄密鑰)存儲到硬件設(shè)備中的用戶的存儲塊里��。
許可證密鑰添加過程正如圖6-8所示����,當用戶己使用儲存在設(shè)備中的許可證密鑰,或當對于新請求的許可證不足時���,用戶將有必要添加他們的許可證密鑰��,步驟如下1.當服務(wù)器接收到發(fā)送方的請求����,將一個文件的M個許可證密鑰發(fā)送給接收方����,并且服務(wù)器發(fā)現(xiàn)用于接收方完成任務(wù)的許可證密鑰不足時,服務(wù)器會啟動添加過程��;或者2.接收方請求添加他們的許可證密鑰���,例如由于����,如接收方不具有足夠的密鑰����,所有的接收方密鑰都用過了,或接收方想打印更多的副本����;3.然后�����,服務(wù)器處理該請求��。如果批準的話���,服務(wù)器就產(chǎn)生一組新的密鑰密鑰1′-密鑰X′,和一個新的添加密鑰(T密鑰′)����;4.該組新的密鑰用接收方的T密鑰加密;5.為該組新的密鑰計算散列信息�����,并利用接收方的ID密鑰將其與新密鑰集加密���,以形成添加密鑰集��;6.添加密鑰集與文件包一起或單獨地發(fā)送給接收方����;7.在接收方接收到該數(shù)據(jù)后,接收方將添加密鑰集發(fā)送給硬件設(shè)備�;8.該設(shè)備用接收方的ID密鑰給數(shù)據(jù)解密,并為核對完整性而計算數(shù)據(jù)的散列信息�����;
9.如果數(shù)據(jù)有錯誤�����,該設(shè)備則從DAR存儲器讀取T密鑰′來給密鑰集解密�;10.然后該設(shè)備更新DAR存儲器中的密鑰集�。該新的密鑰集將不改寫未使用的密鑰,由于它的索引號數(shù)從先前最后的密鑰繼續(xù)���;11.在DAR存儲器中的先前的添加密鑰(T密鑰)由新添加密鑰T密鑰′來取代����。
發(fā)送方將文件發(fā)送給接收方1.使用他們的用戶ID和口令發(fā)送方通過保密聯(lián)系鏈路(如SSL)連接到可信服務(wù)器����;2.鑒別成功后,發(fā)送方準備他們的文件a)使用會話密鑰1給文件或它的散列信息結(jié)果�、共用封印、用于發(fā)送的時間標志以及文件的終止目期加密;b)為文件主體�����、終止目期和步驟a)的結(jié)果計算散列信息結(jié)果��,然后這三部分用會話密鑰2加密���;c)然后將步驟b)的結(jié)果���、接收方的ID、會話密鑰1�����、用做加密的會話密鑰2����、允許接收方打印文件的M份副本許可證數(shù)量(如M)以及M個獨特封印發(fā)送給服務(wù)器。M可能是0����,表示僅僅閱覽;3.服務(wù)器核對接收方信息��,然后隨機地或順序地從接收方密鑰集中選擇M個許可證密鑰(Key1-KeyM);4.M個獨特封印和會話密鑰1各用Key1-KeyM加密����,形成M個許可證。計算整個許可證包的散列信息域以保證對許可證核對完整性��;5.然后服務(wù)器產(chǎn)生一個文件包(圖6)�����,該包包括發(fā)送方準備好的文件主體(上面步驟2中(b)的結(jié)果)�、用接收方ID密鑰加密的會話密鑰2以及許可證���。如果發(fā)送方不允許接收方打印文件��,許可證領(lǐng)域?qū)⑹强盏?����。如果接收方的許可證密鑰不夠時�����,也預備好添加密鑰集���;6.服務(wù)器發(fā)這通知給接收方����,建議他們準備收集文件包���。
接收方接收到上述(6)的通知之前或之后的任何時間���,接收方都能連接到服務(wù)器。然后接收方能核對是不是有給他們的數(shù)據(jù)�����。
接收方查看并打印文件的操作程序如下1.接收方利用他們的用戶名和口令�,通過保密鏈路(如SSL)連接到可信服務(wù)器;2.服務(wù)器通過發(fā)送詢問響應系列驗證用戶
a)服務(wù)器驗證用戶名����,然后從數(shù)據(jù)庫檢索用戶ID密鑰;b)服務(wù)器選擇或產(chǎn)生隨機號�����,利用用戶ID密鑰加密�����,并向回發(fā)送給接收方。
c)將接收方的口令發(fā)送給硬件設(shè)備���,以訪問他們的ID密鑰�����;d)硬件設(shè)備使用ID密鑰給已加密的隨機號解密�;e)將隨機號向回發(fā)送服務(wù)器��;f)服務(wù)器通過驗證隨機號來鑒別用戶���;3.鑒別成功后,客戶軟件從服務(wù)器為接收方下載數(shù)據(jù)���;4.接收到數(shù)據(jù)后���,接收方可斷開服務(wù)器,或保持在線狀態(tài)�;5.客戶軟件核對是否有添加密鑰集。如果有�����,則為了添加許可證密鑰,首先將添加密鑰集發(fā)送到設(shè)備�;6.客戶軟件將加密會話密鑰2發(fā)送到該設(shè)備用于解密。將會話密鑰2解密�����,并返回客戶軟件����,該客戶軟件給文件包解密,并核對文件包中的散列信息域���。如果核對失敗��,接收方通知服務(wù)器這個決定�,此時���,加密文件或它的散列信息��、共用封印�、時間標志和終止目期都沒有解密�;7.然后文件包重新加密并使用目錄密鑰將其儲存在接收方的專有目錄中����。
當接收方想查看文件時���,執(zhí)行以下操作程序1.接收方使用他們的用戶名和口令注冊到客戶軟件���,并由硬件設(shè)備鑒別;2.鑒別成功后��,客戶軟件讀取接收方的目錄密鑰����,并訪問接收方的專有文件包的專有目錄;3.將終止目期與硬件設(shè)備的內(nèi)部時鐘比較�,如果內(nèi)部時鐘顯示出終止目期已過去,則文件已經(jīng)期滿�����,不再允許查看�;4.如果文件沒有期滿��,則接收方能查看文件�。
當接收方希望打印文件時���,執(zhí)行以下操作步驟1.接收方使用他們的用戶名和口令注冊到客戶軟件,并由硬件設(shè)備鑒別���;2.鑒別成功后��,客戶軟件從硬件設(shè)備中讀取接收方的目錄密鑰�,并訪問接收方的專有文件包的專有目錄����;3客戶軟件將一個未使用過的許可證發(fā)送給硬件設(shè)備用于解密;
4硬件設(shè)備根據(jù)索引從接收方的DAR存儲器讀取密鑰���,并給會話密鑰1和獨特封印解密�;5文件或其散列信息���、共用封印����、時間標志�����、終止目期被發(fā)送給該設(shè)備用于解密。將終止目期與該設(shè)備中的時鐘比較��,如果內(nèi)部時鐘顯示出終止目期已過���,則文件已經(jīng)逾期���,不再允許打印����;如果設(shè)備上的硬件有故障,用戶應該通知硬件發(fā)放者來解決問題���;6客戶軟件利用上述步驟(5)的解密文件散列信息驗證文件的完整性�,并將文件發(fā)送到打印機�����,或?qū)⒔饷芪募l(fā)送到打印機�����;7客戶軟件與打印機通信����,監(jiān)視打印狀態(tài),將具有正確的封印的文件打印出來�����;8在每打印一份副本后�����,就進行核查跟蹤信息�����,并由具有接收方ID密鑰的硬件設(shè)備內(nèi)的程序簽名����,保證認可每個打印副本;9將核查跟蹤信息儲存在硬件中�����,并定期裝載到服務(wù)器���。在預定時期內(nèi)��,服務(wù)器保持核查跟蹤���。在預定時期結(jié)束后�����,就從服務(wù)器刪除��。
方案2參考圖9����,當硬件設(shè)備中的DAR存儲器制造出來時是空的(記為零)�����。所有必要密鑰的副本也儲存在可信服務(wù)器中��。所有發(fā)送方和接收方以及他們的硬件設(shè)備�����,必須在它們能進行保密打印過程之前�,利可信服務(wù)器用注冊����。
接收方的注冊過程與方案1介紹的一樣����,包括1.發(fā)送方使用他們的用戶ID和口令通過保密鏈路(如SSL)連接到可信服務(wù)器��;2.鑒別成功后�,發(fā)送方準備他們的文件a)使用會話密鑰1給文件或它的散列信息結(jié)果、共用封印����、用于發(fā)送的時間標志以及文件的終止目期加密;b)為文件主體���、終止目期和步驟a)的結(jié)果計算散列信息結(jié)果���,然后這三部分用會話密鑰2加密;c)然后將步驟b)的結(jié)果���、接收方的ID���、會話密鑰1���、用于加密的會話密鑰2、關(guān)于接收方打印M份副本的許可證數(shù)量以及M個獨特封印發(fā)送給服務(wù)器���。M可能是0��,表示只能查看���;3.服務(wù)器核對接收方信息,然后產(chǎn)生一個許可證和許可證安裝程序��,如圖11所示�;
4.許可證包含會話密鑰1和M個獨特封印,該M個獨特封印用服務(wù)器隨機地產(chǎn)生的M個許可證密鑰密鑰1-密鑰M進行加密��;5.許可證安裝程序包含一個用于文件的獨特ID����,也包含一個時間標志(此時,產(chǎn)生許可證安裝程序)和終止目期���,該許可證安裝程序是由接收方ID密鑰加密的��;6.也計算許可證和許可證安裝程序的散列信息����,以核對其完整性;7.然后服務(wù)器產(chǎn)生一個文件包����,如圖10所示,該包包括發(fā)送方準備好的文件包(上面步驟2中(b)的結(jié)果)���、用接收方ID密鑰加密的會話密鑰2以及許可證、許可證安裝程序���。如果發(fā)送方不允許接收方打印文件�����,許可證和許可證安裝程序的域(field)將是空的����;8.服務(wù)器通知接收方�����,告訴他們該文件可得到以便收集���。
不管接收到還是沒有接收到任何類似的通知����,接收方都能連接到服務(wù)器,核對是不是有給他們的文件和/或數(shù)據(jù)��。接收方查看并打印文件的操作程序如下1.接收方利用他們的用戶名和口令�����,通過保密鏈路(如SSL)連接到可信服務(wù)器�;2.服務(wù)器通過發(fā)送詢問響應系列驗證用戶a)服務(wù)器驗證用戶名,然后從數(shù)據(jù)庫檢索用戶ID密鑰��;b)服務(wù)器產(chǎn)生隨機號����,利用用戶ID密鑰對隨機號加密,并發(fā)送給接收方��。
c)將接收方的口令發(fā)送給接收方的硬件設(shè)備����,以訪問他們的ID密鑰;d)接收方的硬件設(shè)備使用ID密鑰將已加密的隨機號解密��;e)將隨機號向回發(fā)送服務(wù)器;f)服務(wù)器通過驗證隨機號來鑒別用戶��;3.鑒別成功后��,客戶軟件接收方從服務(wù)器下載文件和/或數(shù)據(jù)�;4.接收到文件和/或數(shù)據(jù)后,接收方可斷開服務(wù)器����,或保持在線狀態(tài);5.客戶軟件將許可證安裝程序發(fā)送給接收方硬件設(shè)備��,以實現(xiàn)安裝�����;6.硬件設(shè)備使用接收方ID密鑰將許可證安裝程序解密��,并通過驗證散列信息域而核對許可證安裝程序的完整性�。如果驗證失敗�����,則接收方通知服務(wù)器解決問題�����;7.該設(shè)備利用保存的ID列表,核對文件ID����;8.如果沒發(fā)現(xiàn)ID,就依靠設(shè)備中的時鐘核對時間標志和終止目期�����;
9.如果所有核對操作程序完成得都很成功��,則許可證密鑰就被安裝在接收方DIR存儲器中����,并且將ID儲存在保密存儲器的ID列表中;10.客戶軟件將加密會話密鑰2發(fā)送到該硬件設(shè)備用于解密��。該硬件設(shè)備將會話密鑰2解密��,并將其返回客戶軟件���,該客戶軟件給文件包解密���,并核對文件包中的散列信息域���。如果核對失敗,接收方通知服務(wù)器這個決定����,此時,加密文件或它的散列信息�����、共用封印��、時間標志和終止目期都沒有解密���;11.然后文件包重新加密并儲存在接收方的使用目錄密鑰的專有目錄中����。
查看文件的操作程序如下1.接收方使用他們的用戶名和口令注冊到客戶軟件�,并由硬件設(shè)備鑒別�;2.鑒別成功后,客戶軟件讀取接收方的目錄密鑰���,并訪問接收方的有文件包的專有目錄��;3.結(jié)束時間與硬件設(shè)備的內(nèi)部時鐘比較�����,如果內(nèi)部時鐘顯示出結(jié)束時間已過去�����,則文件已經(jīng)結(jié)束�,不再允許訪問;4.如果文件沒有結(jié)束�,則接收方能訪問文件。
打印文件的步驟如下1.接收方使用他們的用戶名和口令注冊客戶軟件�����,并由硬件設(shè)備鑒別�;2.鑒別成功后,客戶軟件讀取接收方的目錄密鑰���,并訪問接收方的有文件包的專有目錄�����;3.客戶軟件將未使用的許可證發(fā)送給用該硬件設(shè)備用于解密�����;4.硬件設(shè)備根據(jù)索引從接收方的DAR存儲器讀取密鑰����,并將會話密鑰1和獨特封印解密;5.將文件或其散列信息��、共用封印�����、時間標志�����、終止目期發(fā)送給該設(shè)備用于解密�。將終止目期與該設(shè)備中的時鐘比較,如果內(nèi)部時鐘顯示出終止目期已過�,則文件已經(jīng)逾期,不再允許打?���。蝗绻O(shè)備上的硬件有故障�����,用戶應該要求硬件發(fā)放者來解決問題���;6.客戶軟件利用上述步驟(5)的解密文件散列信息驗證文件的完整性�����,并將文件發(fā)送到打印機��,或?qū)⒔饷芪募l(fā)送到打印機����;7.客戶軟件與打印機通信��,監(jiān)視打印狀態(tài)�����,將具有正確的封印的文件打印出來�����;8.在每打印一份副本后,就進行核查跟蹤信息�����,并利用接收方ID密鑰由硬件設(shè)備內(nèi)的程序簽名�,其保證認可打印副本;
9.硬件設(shè)備定期核對ID列表�,以除去過期的ID;10.將核查跟蹤信息儲存在硬件中�,并定期裝載到服務(wù)器。在預定時期內(nèi)�����,服務(wù)器保持核查跟蹤��。在預定時期結(jié)束后����,就從服務(wù)器刪除。
如果硬件設(shè)備的CPU設(shè)有足夠能力執(zhí)行所有的加密/解密操作�,或接口速度不足以滿足打印要求,則硬件設(shè)備在打印過程中用作保密儲存裝置�,如圖12所示。該硬件設(shè)備包括1.保密存儲器(1201)�,用來儲存重要信息����。當輸入用戶口令并得以證實時便可訪問該存儲器����。用戶ID密鑰和/或系列號被儲存在該存儲器中��,系列號最好由硬件廠商保證是唯一的���。當使用數(shù)字證明時�����,用戶的專有密鑰可被儲存在硬件設(shè)備中�;2.接口(1202)��,負責在硬件設(shè)備和主機之間建立通信�����,也將數(shù)據(jù)流加密��,以防止線路分接攻擊���;3.一個可選硬件時鐘����,具有備用電池(1203),當需要一定時間高度機密操作時�,提供一個時基。
由于在先前的方案中����,硬件設(shè)備并不是強功效的,所以���,許可密鑰安裝和管理過程可由客戶方的軟件實現(xiàn)��,并可由接口的防線路分接攻擊功能予以保護��。
硬件設(shè)備可通過該機器的USB端口����、串行端口或并行端口連接到客戶機上���。許多現(xiàn)成的保密設(shè)備如智能卡�����、USB密鑰�����、或并行端口硬件鎖(dongle)���,可用做硬件設(shè)備。每個用戶都有他們自己的硬件設(shè)備����,當需要時可連接到用戶機器,并在使用后從用戶機上拆卸下來�����。
服務(wù)器處于可信地位���,可在作為發(fā)送方中心模式的發(fā)送方�����。也可作為獨立的可信方�����。服務(wù)器的管理者負責發(fā)送硬件設(shè)備給用戶���,以及負責管理用于硬件設(shè)備的密鑰���。
硬件設(shè)備控制打印過程,方案如下方案1該方案使用了對稱加密技術(shù)���,例如����,3DES����,AES,Blowrish等等���。它包括發(fā)送方�、接收方�����、打印設(shè)備和可信服務(wù)器,如圖13所示����。
在接收方的硬件設(shè)備中的保密存儲器中具有一組自由密鑰(密鑰1,...密鑰N����,T密鑰),這些密鑰是許可證密鑰����,并被用于給獨特的封印加密���。這些T密鑰(添加密鑰)被用在添加過程中���。所有這些密鑰的副本也保存在可信服務(wù)器中。發(fā)送方和接收方���,還有它們的硬件設(shè)備也都必須在利用保密打印過程之前利用可信服務(wù)器注冊���。
接收方的注冊過程比上述注冊過程要容易,包括1.接收方通過提供他們的信息��,如用戶名、電子郵件�,請求在服務(wù)器注冊;2.服務(wù)器系統(tǒng)為接收方定制硬件設(shè)備�,其保密存儲器中具有獨特的ID密鑰、一系列許可證密鑰和添加密鑰�����。然后將這些密鑰的副本記錄在服務(wù)器的數(shù)據(jù)庫中�����。并將初始口令指定給設(shè)備���;3.將設(shè)備和初始口令分別發(fā)送給接收方�����,并且如果先前沒有安裝客戶軟件的話��,還將客戶軟件安裝在接收方的機器上�;4.接收方通過輸入他們的用戶名和初始口令注冊到客戶軟件���;5.將初始口令發(fā)送到該硬件設(shè)備用于驗證���,如果口令正確�,則提示接收方改變他們的口令���;6.用新口令取代原始口令�;7.客戶軟件為用戶準備一個專有目錄����,并將該目錄的密鑰(稱做目錄密鑰)存儲到硬件設(shè)備的保密存儲器里。
許可證密鑰添加過程當設(shè)備隨機密鑰全部使用�����,或當對于新任務(wù)的許可證不足時����,將有需要添加他們的隨機密鑰�,步驟如下1.當服務(wù)器接收到發(fā)送方的請求,為一個文件發(fā)送M個許可證密鑰給接收方�,服務(wù)器會核對接收方的許可證密鑰的使用情況,如需要時���,服務(wù)器會啟動添加過程���;或者2.接收方請求添加他們的許可證密鑰�����,如接收方不具有足夠的密鑰����,所有的接收方密鑰都己使用���,或接收方需要打印更多的副本�����;3.然后���,服務(wù)器處理該請求。如果批準的話�����,服務(wù)器就產(chǎn)生一組新的密鑰密鑰1′-密鑰X′��,和一個新的添加密鑰(T密鑰′)�����;4.該組新的密鑰用接收方的T密鑰′加密;5.為該組新的密鑰計算散列信息����,并利用接收方的ID密鑰將其與加密的新密鑰集加密,以形成添加密鑰集��;6.添加密鑰集與文件包一起或單獨地發(fā)送給接收方����;7.在接收方檢索文件包后,接收方將添加密鑰集發(fā)送給硬件設(shè)備��;
8.該設(shè)備用ID密鑰給文件包解密�����,并為核對完整性而計算數(shù)據(jù)的散列信息�����;9.如果有錯誤��,該設(shè)備則從保密存儲器讀取T密鑰以解密該密鑰集�����;10.然后硬件設(shè)備更新保密存儲器中的密鑰集��。新的密鑰集將不改寫未使用的密鑰����,由于它的索引號從先前最后的密鑰是連續(xù)的;11.在保密存儲器中的添加密鑰(T密鑰)由新添加密鑰T密鑰′來取代����。
發(fā)送方將文件發(fā)送給接收方1.發(fā)送方利用他們的用戶ID和口令通過保密鏈路(如SSL)連接到可信服務(wù)器;2.鑒別成功后���,發(fā)送方準備他們的文件a)使用會話密鑰1將文件或它的散列信息結(jié)果�����、共用封印���、用來發(fā)送的時間標志以及文件的終止目期加密;b)為文件主體����、終止目期和步驟a)的結(jié)果計算散列信息結(jié)果��,然后將這三部分用會話密鑰2加密�����;c)然后將步驟b)的結(jié)果�����、接收方的ID�、會話密鑰1��、用于加密的會話密鑰2����、關(guān)于接收方打印M份文件的許可證數(shù)量(如M)以及M個獨特封印發(fā)送給服務(wù)器。M可能是0��,表示只能查看�����;3.服務(wù)器核對接收方信息���,然后隨機地或從接收方密鑰集中順序地選擇M個許可證密鑰(密鑰1-密鑰M)���;4.M個獨特封印和會話密鑰1各用密鑰1-密鑰M加密,形成M個許可證�����。計算每個許可證的散列信息域以對每個許可證核對完整性��;5.然后服務(wù)器產(chǎn)生一個文件包(圖14)�����,該包包括發(fā)送方準備好的文件包(上面步驟2中(b)的結(jié)果)��,用接收方ID密鑰加密的會話密鑰2以及許可證�����。如果發(fā)送方不允許接收方打印文件�����,關(guān)于許可證的域和添加密鑰集將是空的���。如果接收方的許可證密鑰不夠時���,預備添加密鑰集�;6.服務(wù)器通知接收方�,告訴他們準備收集文件包。
接收方不管是否接到通知��,都能連接到服務(wù)器�����,來核對是不是有給他們的數(shù)據(jù)�����。接收方查看并打印文件的操作程序如下1.接收方利用他們的用戶名和口令��,通過保密鏈路(如SSL)連接到可信服務(wù)器��;2.服務(wù)器通過發(fā)送詢問響應系列驗證用戶
a)服務(wù)器驗證用戶名����,然后從數(shù)據(jù)庫檢索用戶ID密鑰;b)服務(wù)器選擇或產(chǎn)生隨機號�,利用用戶ID密鑰加密所述隨機號,并將其發(fā)送給接收方。
c)將接收方的口令發(fā)送給硬件設(shè)備�,以訪問用戶的ID密鑰;d)硬件設(shè)備使用ID密鑰將已加密的隨機號解密��;e)將隨機號向回發(fā)送給服務(wù)器����;f)服務(wù)器通過驗證隨機號來鑒別用戶��;3.鑒別成功后�����,客戶軟件從服務(wù)器為接收方下載數(shù)據(jù)�����;4.接收到數(shù)據(jù)后���,接收方可與服務(wù)器斷開���,或保持在線狀態(tài);5.客戶軟件核對是否有添加密鑰集��。如果有,則為了添加許可證密鑰��,首先將添加密鑰集發(fā)送到設(shè)備���;6.客戶軟件將加密后的會話密鑰2發(fā)送到用該硬件設(shè)備用于解密���。解密的會話密鑰2并從該硬件設(shè)備返回,該客戶軟件給文件包解密�,并核對文件包中的散列信息域。如果核對失敗��,接收方通知服務(wù)器解決這個問題���,此時�����,被加密的文件或它的散列信息�、共用封印�����、時間標志和終止目期都沒有解密����;然后使用目錄密鑰將文件包儲存在接收方的專有目錄中�����。
為接收方查看文件����,執(zhí)行以下操作程序1.接收方使用他們的用戶名和口令注冊到客戶軟件��,并由硬件設(shè)備鑒別�����;2.鑒別成功后�����,客戶軟件讀取接收方的目錄密鑰��,并訪問接收方的有文件包的專有目錄���;3.終止目期與硬件設(shè)備的內(nèi)部時鐘比較,如果內(nèi)部時鐘顯示出終止目期已過去�����,則文件已經(jīng)結(jié)束,不再允許訪問��;4.如果文件沒有結(jié)束���,則接收方能訪問文件�。
當接收方打印文件時�����,執(zhí)行以下步驟1.接收方使用他們的用戶名和口令注冊客戶軟件�����,并由硬件設(shè)備鑒別��;2.鑒別成功后�,客戶軟件從硬件設(shè)備中讀取接收方的目錄密鑰,并訪問接收方的關(guān)于文件包的專有目錄���;3.客戶軟件選擇打印許可證�����,如果不能獲得許可證�,則不允許打印��;4.硬件設(shè)備從保密存儲器讀取許可證密鑰�����,給會話密鑰1和獨特封印解密���,并刪除已使用過的許可證密鑰;
5.用會話密鑰1將文件或其散列信息����、共用封印、時間標志�、終止目期解密。將終止目期與該設(shè)備中的時鐘比較��,如果內(nèi)部時鐘顯示出終止目期已過����,則文件已經(jīng)逾期,不再允許打?�。蝗绻O(shè)備上的硬件有故障��,用戶應該通知硬件發(fā)放者來解決問題����;6.客戶軟件利用上述步驟(5)的解密文件散列信息驗證文件的完整性,并將文件發(fā)送到打印機��,或?qū)⒔饷芪募l(fā)送到打印機��;7.客戶軟件與打印機通信�,監(jiān)視打印狀態(tài),將具有正確的封印的文件打印出來����;8.在每打印一份副本后,就進行核查跟蹤信息����,并利用具有接收方ID密鑰簽名,以保證認可打印的副本����;9.核查跟蹤信息儲存在硬件中,并定期裝載到服務(wù)器��。在預定時期內(nèi),服務(wù)器保持核查跟蹤��。在預定時期結(jié)束時�,就將核查跟蹤信息刪除。
方案2如圖17所示�����,當硬件設(shè)備中的保密存儲器制造出來時是空的(記為零)��。所有發(fā)送方和接收方以及他們的硬件設(shè)備��,必須在利用本發(fā)明的保密打印過程之前��,一起利用可信服務(wù)器注冊����。
接收方的注冊過程比上述注冊過程要容易���,包括1.接收方通過提供他們的信息����,如用戶名����、電子郵件地址���,請求在服務(wù)器注冊;2.服務(wù)器系統(tǒng)為接收方定制硬件設(shè)備�����,其存儲器中具有獨特的ID密鑰�。然后將ID密鑰的副本記錄在服務(wù)器的數(shù)據(jù)庫中,并為硬件設(shè)備指定初始口令�;3.將硬件設(shè)備和初始口令分別發(fā)送給接收方,并且將客戶軟件安裝在接收方的機器上�;4.接收方通過輸入他們的用戶名和初始口令注冊到客戶軟件;5.將初始口令發(fā)送到硬件設(shè)備用于驗證�����,如果口令正確����,則提示接收方改變他們的口令;6.用新口令取代原始口令���;7.客戶軟件為用戶準備一個專有目錄���,并將該目錄的密鑰(稱做目錄密鑰)存儲到硬件設(shè)備的保密存儲器中���。
用戶發(fā)送文件的操作程序如下
1.發(fā)送方使用他們的用戶ID和口令通過保密鏈路(如SSL)連接到可信服務(wù)器;2.鑒別成功后�,發(fā)送方準備他們的文件a)使用會話密鑰1將文件或它的散列信息結(jié)果、共用封印��、用于發(fā)送的時間標志以及文件的終止目期加密�����;b)為文件主體�、終止目期和步驟a)的結(jié)果計算散列信息結(jié)果,然后將這三部分用會話密鑰2加密���;c)然后將步驟b)的結(jié)果�、接收方的ID�、會話密鑰1�����、用于加密的會話密鑰2�����、關(guān)于接收方打印M份文件副本的許可證數(shù)量(如M)以及M個獨特封印發(fā)送給服務(wù)器。M可能是0�����,表示只能查看��;3.服務(wù)器核對接收方信息��,然后產(chǎn)生一個許可證和許可證安裝程序��,如圖19所示�;4.許可證包含會話密鑰1和M個獨特封印,該M個獨特封印用M個服務(wù)器隨機地產(chǎn)生的許可證密鑰密鑰1-密鑰M加密��;5.許可證安裝程序包含一個用于文件的獨特ID����,也包含一個時間標志(此時,產(chǎn)生許可證安裝程序)和終止目期�,該許可證安裝程序利用接收方ID密鑰加密;6.計算許可證和許可證安裝程序的散列信息�,以核對其完整性;7.然后服務(wù)器產(chǎn)生一個文件包,如圖18所示�����,該包包括發(fā)送方準備好的文件包(上面步驟2中(b)的結(jié)果)�����,用接收方ID密鑰加密的會話密鑰2以及許可證��、許可證安裝程序��。如果發(fā)送方不允許接收方打印文件����,許可證和許可證安裝程序的域?qū)⑹强盏模?.服務(wù)器通知接收方,告訴他們準備收集文件包�����。
不管接收到還是沒有接收到任何這樣的通知���,接收方都能連接到服務(wù)器��,核對是不是有給他們的文件���。接收方查看并打印文件的操作程序如下1.接收方利用他們的用戶名和口令,通過保密鏈路(如SSL)連接到可信服務(wù)器���;2.服務(wù)器通過發(fā)送詢問響應系列驗證用戶a)服務(wù)器驗證用戶名����,然后從數(shù)據(jù)庫檢索用戶ID密鑰���;b)服務(wù)器選擇或產(chǎn)生隨機號��,利用用戶ID密鑰加密所述隨機號����,并將其發(fā)送給接收方��。
c)將接收方的口令發(fā)送給硬件設(shè)備��,以訪問他們的ID密鑰��;d)硬件設(shè)備使用ID密鑰將已加密的隨機號解密����;e)將隨機號向回發(fā)送到服務(wù)器��;f)服務(wù)器通過驗證隨機號來鑒別用戶����;3.鑒別成功后����,接收方為他們從服務(wù)器下載數(shù)據(jù);4.接收到數(shù)據(jù)后�����,接收方可與服務(wù)器斷開����,或保持在線狀態(tài);5.客戶軟件將許可證安裝程序發(fā)送給接收方硬件設(shè)備�����,以實現(xiàn)安裝���;6.硬件設(shè)備使用接收方ID密鑰將許可證安裝程序解密��,并通過驗證散列信息域而核對許可證安裝程序的完整性���。如果驗證失敗����,則接收方通知服務(wù)器解決問題�;7.該硬件設(shè)備利用硬件設(shè)備中保存的ID列表���,核對文件ID���;如果沒發(fā)現(xiàn)ID,就依靠在設(shè)備中的時鐘核對時間標志和終止目期����;8.如果所有核對過程完成得都很成功,則許可證密鑰就被安裝在保密存儲器中���,并且ID被儲存在保密存儲器的ID列表中���;9.客戶軟件將加密會話密鑰2發(fā)送到用該硬件設(shè)備用于解密。該硬件設(shè)備將會話密鑰2解密���,并返回客戶軟件�����,該客戶軟件給文件包解密����,并核對文件包中的散列信息域。如果核對失敗��,接收方通知服務(wù)器解決問題�����,此時�����,被加密的文件或它的散列信息�����、共用封印��、時間標志和終止目期都沒有解密����;10.然后使用目錄密鑰�,將文件包重新加密并儲存在接收方的專有目錄中�����。
接收方查看文件的操作程序如下1.接收方使用他們的用戶名和口令注冊到客戶軟件�,并由硬件設(shè)備鑒別;2.鑒別成功后����,客戶軟件讀取接收方的目錄密鑰���,并訪問接收方的文件包的專有目錄�;3.將終止目期與硬件設(shè)備的內(nèi)部時鐘比較��,如果內(nèi)部時鐘顯示出終止目期已過�����,則文件已經(jīng)逾期��,不再允許訪問���;4.如果文件沒有逾期�,則接收方能查看文件。
接收方打印文件的步驟如下1.接收方使用他們的用戶名和口令注冊到客戶軟件����,并由硬件設(shè)備鑒別;
2.鑒別成功后�,客戶軟件讀取接收方的目錄密鑰,并訪問接收方的文件包的專有目錄�;3.客戶軟件選擇未使用的許可證,如果不能獲得打印許可證��,就不允許打?����?�;4.如果能獲得未使用過的打印許可證���,客戶軟件就將許可證發(fā)送給用該硬件設(shè)備用于解密����。該設(shè)備從保密存儲器讀取許可證密鑰��,并將會話密鑰1和獨特封印解密;5.將文件或其散列信息���、共用封印�����、時間標志�、終止目期發(fā)送給用該硬件設(shè)備用于解密����。將終止目期與該設(shè)備中的時鐘比較,如果內(nèi)部時鐘顯示出終止目期已過�,則文件已經(jīng)逾期���,不再允許打?����?;如果設(shè)備上的硬件有故障�,用戶應該通知硬件發(fā)放者來解決問題;6.設(shè)備刪除已使用過的許可證密鑰�;7.客戶軟件利用上述步驟(5)的已解密文件散列信息驗證文件的完整性,并將文件發(fā)送到打印機,或?qū)⒔饷芪募l(fā)送到打印機����;8.客戶軟件與打印機通信,監(jiān)視打印狀態(tài)�,將具有正確的封印的文件打印出來;9.在每打印一份副本后�,進行核查跟蹤信息,并利用接收方ID密鑰簽名��,以保證認可打印的副本��;10客戶軟件定期核對設(shè)備內(nèi)的ID列表���,以除去過期的ID����;11.將核查跟蹤信息儲存在硬件設(shè)備中�,并定期下載到服務(wù)器。在預定時期內(nèi)���,服務(wù)器保持核查跟蹤信息�����。在預定時期結(jié)束后���,就將核查跟蹤信息刪除���。
脫機打印控制-軟件方案在這種情形下,不需要附加的硬件來控制打印����。相反,每個接收方安裝有軟件代理程序(agent)����,如圖20所示。
軟件代理程序最好用各種技術(shù)例如防修改�����、防調(diào)試(debug)技術(shù)等等來得以保護�����,一系列密鑰都被儲存在密鑰數(shù)據(jù)庫(如圖20)中���,該系列密鑰用于具有獨特文件ID和獨特ID密鑰的不同打印許可證,該數(shù)據(jù)庫是一個位于客戶當?shù)赜脖P上的文件。這些密鑰由具有寫密碼功能的軟件代理程序內(nèi)部使用���。軟件代理程序還為每個用戶保留一個專有目錄��,該目錄受到用戶ID密鑰的保護�。當使用數(shù)字證明時����,用戶ID密鑰可以是用戶的專有密鑰。
密鑰數(shù)據(jù)庫文件用保密密鑰加密�����。軟件代理程序?qū)⒈C苊荑€儲存在保密儲存器中���。例如�,可將密鑰分配在硬盤的各個位置�,這就使密鑰數(shù)值的再生容易成功,對軟件代理程序的相反操縱十分困難���。
在幾個條件下����,不兼容的磁盤可能偶然毀壞保密存儲器。引入挽救機理來解決這個問題����。在用戶利用服務(wù)器注冊時,服務(wù)器將產(chǎn)生一個挽救密鑰對�。密鑰對的公用密鑰部分將安裝在接收方的機器上,同時����,專有挽救密鑰將保持在服務(wù)器數(shù)據(jù)庫中。軟件代理程序?qū)⒈A舯C苊荑€的副本��,該保密密鑰用挽救公用密鑰加密��,如挽救文件(圖21)��。如果保密密鑰丟失�����,軟件代理將與服務(wù)器通信����,通過使用挽救文件來使保密密鑰再生�。
基于軟件的脫機打印控制的工作情況與基于硬件的控制方案2一樣�,如上所述���。
發(fā)送操作程序如下1.發(fā)送方使用他們的用戶ID和口令通過保密鏈路(如SSL)連接到可信服務(wù)器���;2.鑒別成功后,發(fā)送方準備他們的文件a)使用會話密鑰1將文件或其散列信息����、共用封印、用于發(fā)送的時間標志以及文件的終止目期加密�����;b)為文件主體�、終止目期和步驟a)的結(jié)果計算散列信息結(jié)果,然后將這三部分用會話密鑰2加密��;c)然后將步驟b)的結(jié)果����、接收方的ID、會話密鑰1����、用干加密的會話密鑰2�����、關(guān)于接收方打印M份副本的許可證數(shù)量(如M)以及M個獨特封印發(fā)送給服務(wù)器���。M可能是0,表示只能查看��;3.服務(wù)器核對接收方信息�����,然后產(chǎn)生一個許可證和許可證安裝程序���,如圖23所示���;4.許可證包含會話密鑰1和M個獨特封印,該M個獨特封印用服務(wù)器隨機地產(chǎn)生的M個許可證密鑰密鑰1-密鑰M加密���;5.許可證安裝程序包含一個用于文件的獨特ID��,也包含一個時間標志(此時��,產(chǎn)生許可證安裝程序)和終止目期��,該許可證安裝程序是利用接收方ID密鑰加密的����;6.計算許可證和許可證安裝程序的散列信息�����,以核對其完整性�;
7.然后服務(wù)器產(chǎn)生一個文件包,如圖24所示��,該包包括發(fā)送方準備好的文件包(上面步驟2中(b)的結(jié)果)���,用接收方ID密鑰加密的會話密鑰2以及許可證���、許可證安裝程序。如果發(fā)送方不允許接收方打印文件�����,許可證和許可證安裝程序的域?qū)⑹强盏模?服務(wù)器通知接收方準備收集文件包�。
不管接收到還是沒有接收到任何這樣的通知,接收方都可連接到服務(wù)器����,核對是不是有給他們的文件和/或數(shù)據(jù)���。接收方查看并打印文件的操作程序如下1.接收方利用他們的用戶名和口令,通過保密鏈路(如SSL)連接到可信服務(wù)器���,并由軟件代理程序鑒別�����;2.鑒別成功后���,接收方從服務(wù)器為自己下載數(shù)據(jù);3.接收到數(shù)據(jù)后��,接收方可與服務(wù)器斷開�����,或保持在線狀態(tài)�;4.客戶軟件將許可證安裝程序發(fā)送給軟件代理程序;5.軟件代理使用ID密鑰將許可證安裝程序解密���,并核對其完整性�。如果完整性驗證失敗,則接收方通知服務(wù)器解決問題�����;6.該設(shè)備利用保存在密鑰數(shù)據(jù)庫中的ID列表�,核對文件ID�����;7.如果不匹配���,依靠設(shè)備中的時鐘核對時間標志和終止目期�����。如果終止目期已過��,則不會安裝許可證���;8.如果成功完成所有核對過程,則將許可證密鑰安裝在密鑰數(shù)據(jù)庫中����,并且將ID儲存在ID列表中���;9.客戶軟件將加密后的會話密鑰2發(fā)送到軟件代理程序用于解密。該軟件代理程序?qū)捗荑€2解密��,并返回客戶軟件�����,該客戶軟件將文件包解密�,并核對其完整性。如果核對失敗�,接收方通知服務(wù)器解決這個問題;否則將文件包儲存在接收方專有目錄中�����。
接收方查看文件的操作程序如下1.接收方使用他們的用戶名和口令注冊到客戶軟件�����,并由軟件代理鑒別�����;2.鑒別成功后,軟件代理訪問接收方的文件包的專有目錄���;3.將終止目期與系統(tǒng)時鐘比較���,如果系統(tǒng)時鐘顯示出終止目期已過,則文件已經(jīng)逾期����,不再允許查看��;4.如果文件沒有逾期����,則接收方能查看文件。
接收方打印文件的步驟如下1.接收方使用他們的用戶名和口令注冊到客戶軟件��,并由軟件代理程序鑒別�;2.鑒別成功后,軟件代理程序訪問接收方的文件包的專有目錄���;3.客戶軟件選擇未使用的打印許可證����,并發(fā)送給軟件代理程序。如果仍沒有打印許可��,則不允許打?���。?.如果有未使用的打印許可��,軟件代理程序就會根據(jù)許可證將會話密鑰1和獨特封印解密���;5.使用會話密鑰1將文件或其散列信息���、共用封印、時間標志���、終止目期解密�����。將終止目期與系統(tǒng)時鐘比較��,如果系統(tǒng)時鐘顯示出終止目期已過����,則文件已經(jīng)逾期,不再允許打?����?���;6.客戶軟件利用上述步驟(5)的解密文件散列信息驗證文件的完整性,并將文件發(fā)送到打印機���,或?qū)⒔饷芪募l(fā)送到打印機��;7.客戶軟件與打印機通信�����,監(jiān)視打印狀態(tài),將具有正確的封印的文件打?���。?.在每打印一份副本后��,進行核查跟蹤信息�����,并利用接收方ID密鑰簽名,以保證認可打印的副本����;9.客戶軟件定期核對密鑰數(shù)據(jù)庫中的ID列表,以除去過期的ID��;10.核查跟蹤信息被儲存在密鑰數(shù)據(jù)庫中��,并定期下載到服務(wù)器��。在預定時期內(nèi)�,服務(wù)器保持核查跟蹤信息。在預定時期結(jié)束后���,就將核查跟蹤信息刪除���。
11.客戶軟件產(chǎn)生一個新的保密密鑰,并將密鑰數(shù)據(jù)庫再加密��;12.客戶軟件通過用挽救公用密鑰將新保密密鑰加密���,而產(chǎn)生一個新密鑰挽救文件�;在上述討論中,為方便之見��,可使用均衡密鑰或公用密鑰�����。在任一情況下����,可使用均衡密鑰和公用密鑰兩者。預定時期可由用戶��、服務(wù)器或兩者之間的協(xié)議來設(shè)置��。
除此之外�,發(fā)送方和服務(wù)器可能是一個。如���,發(fā)放管理機構(gòu)可能是發(fā)送方和服務(wù)器,在這種情況下���,服務(wù)器執(zhí)行的是兩者的功能����。
正如所看見的一樣,本發(fā)明涉及到鑒別文本的遠程打印����,該鑒別文本通過網(wǎng)絡(luò)發(fā)送。這樣可減少成本����,放慢遞送經(jīng)鑒別的紙件文件的物理傳送。在一定領(lǐng)域中本發(fā)明運用時會產(chǎn)生相當大的優(yōu)點����。一個是保密打印行業(yè)中,他們都是可信和授權(quán)的代理�����。經(jīng)鑒別的文件����,如現(xiàn)金紙幣和銀行支票,都能使用特殊的打印機��、特殊墨水��、特殊用紙和其它特殊材料打印��。打印過程和打印材料都是嚴格控制的。另一個是簽署的文件���,管理機構(gòu)用他們的簽名和/或封印啟用文件�����。在兩種情況下��,簽名和特殊的打印材料����,增加文件可靠性��,是完全受到經(jīng)授權(quán)的個人或代理人控制的��。
例如����,如果發(fā)送方和接收方都是同一個,服務(wù)器可能是發(fā)放管理機構(gòu)如郵政局的一部分�,受控打印的是郵票。另一個例子是���,當管理機構(gòu)是售票代理處時�����,受控打印的是票��,如用于音樂會�、運動會����、電影或此類的票。在有些國家�,國內(nèi)稅收服務(wù)或其相關(guān)行業(yè)要將收據(jù)號發(fā)送給商業(yè)對象,并且正式收據(jù)必須為每一個收到的支付單而發(fā)放���。這使得他們能保留商家收到的支付支票���。這個打印控制的是收據(jù)號。
本發(fā)明也用于需要可信打印或發(fā)送文件的場合�����。這可包括稅務(wù)發(fā)票或收據(jù)�,這種情況下包含的步驟如下a)相關(guān)政府部門發(fā)放保密硬件設(shè)備給每個商家;b)政府部門發(fā)放標準稅收發(fā)票和/或收據(jù)格式,將許可證密鑰發(fā)送給商家����;c)商家利用硬件設(shè)備來產(chǎn)生稅收發(fā)票和/或收據(jù),然后以電子形式或硬拷貝的形式發(fā)送給消費者���。如果以電子形式發(fā)送��,硬件設(shè)備控制發(fā)送過程與以硬拷貝打印相同的方式進行��;d)硬件設(shè)備進行核查跟蹤信息����,并記錄下所有必要數(shù)據(jù)��,該數(shù)據(jù)包括每個收據(jù)和發(fā)票的數(shù)量����;e)當許可密鑰添加時,核查跟蹤信息被發(fā)送到政府部門�。在這個基礎(chǔ)上,政府部門依據(jù)從核查跟蹤系統(tǒng)獲得的信息來決定每個商家應支付的稅款����。
雖然上述說明中描述了本發(fā)明的最佳實施例����,可以理解的是���,對于本領(lǐng)域技術(shù)人員來講,在不脫離本發(fā)明實質(zhì)的情況下可以對細節(jié)作出改變或修正����。
本發(fā)明可擴展到每個公開的各個特征,這些特征中的所有可能的置換以及綜合����。
權(quán)利要求
1.一種借助網(wǎng)絡(luò)遠控打印文件的方法,其包括以下步驟(a)在服務(wù)器上接收從發(fā)送方處發(fā)送來的文件����;(b)服務(wù)器將文件轉(zhuǎn)送給接收方;(c)在轉(zhuǎn)送給接收方之前鑒別該文件���;(d)服務(wù)器從發(fā)送方處接收有關(guān)打印控制的指令��,服務(wù)器還實現(xiàn)對接收方的控制���。
2.一種借助網(wǎng)絡(luò)遠控打印文件的方法��,其包括以下步驟(d)發(fā)送方將文件發(fā)送到服務(wù)器�,使服務(wù)器能將文件轉(zhuǎn)送給接收方���;(e)在將文件發(fā)送到服務(wù)器之前��,由發(fā)送方鑒別文件�;(f)將用于控制文件打印的指令發(fā)送給服務(wù)器��,使服務(wù)器能實現(xiàn)對接收方的控制��。
3.一種打印鑒別文件的方法�,該文件是借助網(wǎng)絡(luò)從遠端接收到的,該方法包括如下步驟(c)服務(wù)器從發(fā)送方處已接收鑒別的文件后���,接收方從服務(wù)器接收鑒別的文件���;(d)服務(wù)器從發(fā)送方接收到打印控制,服務(wù)器實現(xiàn)對接收方的打印控制��。
4.根據(jù)權(quán)利要求1-3中任一項所述的方法�����,其中,打印控制包括保證使該文件打印出來的內(nèi)容與發(fā)送方發(fā)送的文件內(nèi)容嚴格一樣���。
5.根據(jù)權(quán)利要求1-4中任一項所述的方法���,其中,打印控制包括防偽造控制���。
6.根據(jù)權(quán)利要求1-5中任一項所述的方法,其中�����,打印控制包括防復制控制�。
7.根據(jù)權(quán)利要求1-6中任一項所述的方法,其中�,打印控制包括控制需打印文件的份數(shù)。
8.根據(jù)權(quán)利要求1-7中任一項所述的方法�����,其中���,接收方包括一個打印機�,服務(wù)器向用于打印文件的打印機提供打印控制。
9.根據(jù)權(quán)利要求1-8中任一項所述的方法�,其中,服務(wù)器使文件能保密地從發(fā)送方通過服務(wù)器發(fā)送給接收方��。
10.根據(jù)權(quán)利要求1-9中任一項所述的方法����,其中,服務(wù)器在打印控制中是發(fā)送方的可信代理��。
11.根據(jù)權(quán)利要求1-10中任一項所述的方法�����,其中�,服務(wù)器是在驗證文件服務(wù)中的可信的第三方。
12.根據(jù)權(quán)利要求11所述的方法�����,其中�,服務(wù)器可儲存文件的散列信息和文件的至少一個內(nèi)容特征,并用它們來驗證文件�����。
13.根據(jù)權(quán)利要求11或12所述的方法,其中����,保密文件的發(fā)送和打印控制基于可信文件結(jié)構(gòu)的基礎(chǔ)上,該可信文件包括以下組合中的一個或多個的部分a)文件自身�����;b)手寫簽名����;c)數(shù)字標記�����;d)光學水?��?���;e)文件的內(nèi)容特征��;f)使用控制和核查跟蹤�����;g)發(fā)送方的封印��;h)終止日期�����。
14.根據(jù)權(quán)利要求11-13中任一項所述的方法��,其中�����,發(fā)送方核準文件�。
15.根據(jù)權(quán)利要求1-14中任一項所述的方法,其中���,該方法可使用公用密鑰結(jié)構(gòu)來保證在文件傳送過程中的認可����、保密和安全性��。
16.根據(jù)權(quán)利要求13或14所述的方法,其中�����,文件上可使用數(shù)字標記�����,該數(shù)字標記是從發(fā)送方��、服務(wù)器和接收方組成的組合中選擇的一個或多個的數(shù)字標記�。
17.根據(jù)權(quán)利要求1-16中任一項所述的方法,其中�����,發(fā)送方可在發(fā)送文件之前利用服務(wù)器注冊���。
18.根據(jù)權(quán)利要求1-17中任一項所述的方法,其中�,在接收方可接收文件之前利用服務(wù)器注冊。
19.根據(jù)權(quán)利要求14-18中任一項所述的方法�,其中,用于確認的文件散列信息和內(nèi)容特征可與文件一起發(fā)送��,散列信息和文件的內(nèi)容特征保持在服務(wù)器中�����,以便于以后驗證。
20.根據(jù)權(quán)利要求1-13中任一項所述的方法��,其中�����,該方法可使用由保密接口層協(xié)議所提供的保密文件發(fā)送信道���;通過利用用戶身份和至少一個口令鑒別發(fā)送方和接收方���。
21.根據(jù)權(quán)利要求1-13中任一項所述的方法,其中����,該方法也可使用用于保密文件傳送的加密技術(shù)。
22.根據(jù)權(quán)利要求21所述的方法��,其中�,給文件解密的密鑰通過一個運載裝置直接送到接收方,該運載裝置是從下列組合中選出的電子郵件���、電話���、郵件�����、快遞和專有傳送裝置���。
23.根據(jù)權(quán)利要求1-22中任一項所述的方法,其中����,打印文件通過使用鑒別裝置可得以保護,而防止未授權(quán)的復制和偽造���,所述鑒別裝置是從下列組合中選出的光學水印�����、特殊墨水、特殊紙張和特殊打印材料�。
24.根據(jù)權(quán)利要求23所述的方法,其中�,光學水印可具有一個防假冒層。
25.根據(jù)權(quán)利要求24所述的方法,其中��,檢驗打印機以實現(xiàn)防假冒層的高級性能�����。
26.根據(jù)權(quán)利要求25所述的方法�����,其中��,可使用打印語言來執(zhí)行檢驗�,不需要手寫干預。
27.根據(jù)權(quán)利要求8-26中任一項所述的方法��,其中����,打印機在打印控制過程中可以是保密的。
28.根據(jù)權(quán)利要求27所述的方法����,其中,打印機可包括一個保密存儲器��、保密中央處理單元和保密時鐘。保密存儲器可用來儲存專有密鑰�;保密中央處理單元可用來防止運行中攻擊,保密時鐘可用來計時��。
29.根據(jù)權(quán)利要求27所述的方法���,其中��,打印機和服務(wù)器系統(tǒng)使用公用密鑰對或打印機的對稱密鑰構(gòu)成的組合中選擇的一個或多個����,來執(zhí)行保密信號交換����,以鑒別彼此身份。
30.根據(jù)權(quán)利要求27所述的方法��,其中�����,服務(wù)器可發(fā)送一個加密文件散列信息�、光學水印和打印指令給打印機。
31.根據(jù)權(quán)利要求30所述的方法����,其中,打印機可通過客戶軟件接收文件�����,給文件解密����,在打印之前利用散列信息和時間標志核對文件,并在打印期間增加光學水印���。
32.根據(jù)權(quán)利要求28-31中任一項所述的方法��,其中�,在打印之后�,立即從保密存儲器上將該文件刪除。
33.根據(jù)權(quán)利要求8-32中任一項所述的方法���,其中�,還包含的步驟有在服務(wù)器中生成核查跟蹤記錄���。
34.根據(jù)權(quán)利要求1-26中任一項所述的方法�,其中,還包括客戶軟件��,為了打印文件����,被下載到接收方的機器上。
35.根據(jù)權(quán)利要求34所述的方法���,其中��,在打印控制過程中接收方是可信的�����,以減少對客戶軟件攻擊��。
36.根據(jù)權(quán)利要求35所述的方法��,其中�,服務(wù)器通過客戶軟件與打印機通信��,來驗證打印機系列號和內(nèi)部協(xié)議地址����,核對打印機狀態(tài)���,鎖定打印機的控制板,設(shè)置所有必要的打印機參數(shù)�,將要打印的文件和用來打印文件的指令發(fā)送給打印機���,在完成打印后重設(shè)打印機參數(shù)���,并在服務(wù)器中生成核查跟蹤記錄。
37.根據(jù)權(quán)利要求13所述的方法����,其中,封印包括從由手寫簽名和封印構(gòu)成的組合中選擇的一個或多個�����;該封印包括對所有打印文本來講都是共用的共用封印�,以及對每個打印副本來講是唯一的獨特封印。
38.根據(jù)權(quán)利要求34-36中任一項所述的方法���,其中�����,客戶軟件有一個基本部分和高度機密部分�����,當接收方利用服務(wù)器注冊時���,高度機密部分比基本部分更容易受到攻擊�,該基本部分被傳送到接收方���,高度機密部分下載到接收方機器上��,用于打印文件��,并在打印完后��,從接收方機器上刪除����,以便于防止高度機密部分受到攻擊��。
39.根據(jù)權(quán)利要求38所述的方法��,其中,當接收方利用服務(wù)器注冊時�,將高度機密部分的加密形式發(fā)送給接收方,該服務(wù)器管理解密密鑰���;需要時����,將高度機密部分解密�����。
40.根據(jù)權(quán)利要求38或39所述的方法�,其中���,基本部分的散列信息結(jié)果可在與基本部分被發(fā)送給接收方的同時或之前取得���,該散列信息結(jié)果儲存在服務(wù)器中;當接收方需要打印文件時�,取得基本部分的第二散列信息結(jié)果,并在由服務(wù)器授權(quán)打印之前與散列信息結(jié)果比較����。
41.根據(jù)權(quán)利要求38-40中任一項所述的方法,其中,用于執(zhí)行高度機密部分中的一些部分的執(zhí)行時間記錄在服務(wù)器里���,并與打印文件時的執(zhí)行該部分的時間相比較���;如果花費的時間顯然比執(zhí)行時間長,則中止打印����。
42.根據(jù)權(quán)利要求1-41中任一項所述的方法,其中�����,響應于接收方打印文件的請求�,執(zhí)行打印控制。
43.根據(jù)權(quán)利要求1-26中任一項所述的方法��,其中����,打印控制可脫機進行,服務(wù)器不參與打印過程��。
44.根據(jù)權(quán)利要求43所述的方法���,其中�����,在接收方提供了硬件設(shè)備�,來代表服務(wù)器起作用。
45.根據(jù)權(quán)利要求44所述的方法�,其中,硬件設(shè)備控制文件打印���,該硬件設(shè)備包括保密存儲器�����、讀后刪除存儲器、具有單片程序的中央處理單元以及端口���;硬件設(shè)備利用服務(wù)器注冊����。
46.根據(jù)權(quán)利要求43或44所述的方法��,其中��,該機器可包括打印機、與打印機是一個整體的硬件設(shè)備����;該打印機利用服務(wù)器注冊。
47.根據(jù)權(quán)利要求45所述的方法�,其中,保密存儲器含有一個可訪問存儲器��,只有當輸入并核對用戶口令時才可訪問該存儲器�����,而且只能訪問與用戶相關(guān)的可訪問存儲器的一個塊�;還含有用于內(nèi)部使用的可控存儲器,該可控存儲器被分成許多塊��,對每個用戶有一可控存儲器塊�。
48.根據(jù)權(quán)利要求47所述的方法,其中�����,可控存儲器用于保存保密密鑰�����、系列號、用戶專有密鑰和接收方ID密鑰��。
49.根據(jù)權(quán)利要求13-48中任一項所述的方法��,其中���,控制包括發(fā)放打印文件的許可證給接收方�,該許可證包括授權(quán)打印文件的副本份數(shù)�。
50.根據(jù)權(quán)利要求49所述的方法,其中�����,每個許可證有一個許可證密鑰��,該許可證密鑰用于給獨特封印加密�����;所述許可證密鑰以加密形式由服務(wù)器發(fā)送給接收方并被安裝在硬件設(shè)備中���。
51.根據(jù)權(quán)利要求50所述的方法,其中�����,服務(wù)器可增加許可證密鑰的數(shù)量,服務(wù)器產(chǎn)生新許可證密鑰集和新添加密鑰���,在將通過服務(wù)器發(fā)送到接收方并安裝在硬件設(shè)備里之前�,該新許可證密鑰集和新添加密鑰用先前的添加密鑰加密�����。
52.根據(jù)權(quán)利要求49-51中任一項所述的方法�����,其中�,每個許可證密鑰可包括一個終止日期,在該日期后�����,就不可以再使用許可證打印文件�����。
53.根據(jù)權(quán)利要求51所述的方法�,其中����,新許可證密鑰集與文件分開發(fā)送�。
54.根據(jù)權(quán)利要求51所述的方法,其中�����,新許可證密鑰集與文件一起發(fā)送����。
55.根據(jù)權(quán)利要求49-52中任一項所述的方法,其中����,在發(fā)送方發(fā)送文件之前,可用第一會話密鑰對發(fā)送方的共用封印��、用于發(fā)送的時間標志和終止日期進行加密��,以給出一個加密結(jié)果�。
56.根據(jù)權(quán)利要求55所述的方法��,其中�,加密結(jié)果和文件可利用第二會話密鑰加密��,以給出第二加密結(jié)果�。
57.根據(jù)權(quán)利要求56所述的方法�����,其中���,在第二加密結(jié)果中�����,包括有一個散列信息結(jié)果�����,以提供一種用于核對數(shù)據(jù)完整性的方式����。
58.根據(jù)權(quán)利要求49-57中任一項所述的方法����,其中,打印控制可訪問文件�����,但不打印文件,還可訪問許可證���,訪問許可證時不用要求��。
59.根據(jù)權(quán)利要求13-58中任一項所述的方法���,其中,在授權(quán)打印文件之前��,核對終止日期���,如果終止日期已過��,則不再允許打印����。
60.根據(jù)權(quán)利要求1-59中任一項所述的方法����,其中,發(fā)送方和服務(wù)器是一樣的,發(fā)送方的所有功能都由服務(wù)器執(zhí)行���。
61.根據(jù)權(quán)利要求60所述的方法,其中�,發(fā)送方有權(quán)發(fā)放保密硬件設(shè)備給每個接收方,通過網(wǎng)絡(luò)將文件和許可證密鑰發(fā)送到每個接收方����,每個接收方使用保密硬件設(shè)備打印文件,該文件作為打印或電子文件�����,由接收方發(fā)送給接收方的消費者���,保密硬件設(shè)備控制電子文件的發(fā)送�,保密硬件設(shè)備進行核查跟蹤���,并且當添加新許可證密鑰時將它發(fā)送到管理機構(gòu)����。
62.根據(jù)權(quán)利要求61所述的方法�����,其中,文件由郵票�����、稅務(wù)發(fā)票�、稅務(wù)收據(jù)構(gòu)成的組合中選擇。
63.根據(jù)權(quán)利要求62所述的方法����,其中,郵票���、稅務(wù)發(fā)票�����、稅務(wù)收據(jù)每個的數(shù)值被包括在核查跟蹤中���。
64.根據(jù)權(quán)利要求63所述的方法,其中���,根據(jù)被包括于核查跟蹤中的數(shù)值����,管理機構(gòu)可以決定應當支付的稅款。
65.根據(jù)權(quán)利要求43-64中任一項所述的方法����,其中�����,還提供了一種保密軟件程序����,用來執(zhí)行接收方的打印控制。
66.根據(jù)權(quán)利要求65所述的方法��,其中�,該軟件程序以一個分散的形式執(zhí)行,以有助于防止軟件攻擊���。
67.根據(jù)權(quán)利要求66所述的方法��,其中�,用于許可證密鑰和核查跟蹤的保密存儲器以一個分散的形式來實現(xiàn)���。
68.一種與用戶機一起使用的硬件設(shè)備����,其可控制至少一個由該用戶機執(zhí)行的文件打印,該硬件設(shè)備包括一個保密存儲器���、讀后刪除存儲器�、具有單片程序的中央處理單元��,和一個接口���。
69.根據(jù)權(quán)利要求68所述的硬件設(shè)備�����,其中����,保密存儲器含有一個可訪問存儲器����,只有當輸入并核對用戶口令時才可訪問該存儲器,而且只能訪問與用戶相關(guān)的可訪問存儲器中的一個塊�����;還含有分成許多塊的可控存儲器,每個用戶具有一可控存儲器�。
70.根據(jù)權(quán)利要求69所述的硬件設(shè)備,其中���,可控存儲器用于存儲保密密鑰�、系列號���、用戶專有密鑰和接收方ID密鑰。
71.根據(jù)權(quán)利要求68-70中任一項所述的硬件設(shè)備���,其中����,硬件設(shè)備可借助保密軟件程序?qū)崿F(xiàn)��。
72.根據(jù)權(quán)利要求71所述的硬件設(shè)備�����,其中�����,該保密軟件程序可以分散的形式執(zhí)行,以有助于防止軟件攻擊�����。
全文摘要
一種借助網(wǎng)絡(luò)遠控打印文件的方法,其包括以下步驟:(a)在服務(wù)器上接收從發(fā)送方處發(fā)送來的文件;(b)服務(wù)器將文件轉(zhuǎn)送給接收方;(c)在轉(zhuǎn)送給接收方之前鑒別該文件;(d)服務(wù)器從發(fā)送方處接收有關(guān)打印控制的指令,服務(wù)器還實現(xiàn)接對收者處的控制���。同時也公開了一種支持打印控制的硬件設(shè)備��。
文檔編號H04L29/06GK1348130SQ0112593
公開日2002年5月8日 申請日期2001年7月16日 優(yōu)先權(quán)日2000年10月11日
發(fā)明者吳健康, 朱保實, 朱群英, 黃晟 申請人:卓信科技有限公司