DRM技术助力电子文档安全应用
   
    在信息化建设中,信息的安全利用是一个重要的课题。电子文档的DRM技术为电子文档的合理使用提供技术上的保障。
  电子文档作为传统纸质文档的信息化载体,具有成本低、使用易、通信快、发布广的优点,在企业信息化建设和政务信息化建设过程中越来越受到推崇。但是,在上述优点给企事业单位带来利益和效率的同时,电子文档信息容易获取的特性,也使很多企事业单位忧心电子文档信息的合理流通问题。
  根据CSI(美国计算机安全学会)和FBI每年的联合调查报告显示,在2000年信息安全事件造成的损失当中,30%~40%是由电子文件的泄漏造成的,《财富》杂志排名前1000位的公司每年因电子文件泄漏造成的损失平均为50万美元。2002年有超过83%的安全威胁来自于企业内部,包括内部未被授权的文件存取、专利信息的窃取以及内部人员的财务欺骗等。
  于是,越来越多的企事业单位希望利用数字版权管理技术来保证电子文档信息的合理使用
和传播。
  数字版权管理技术(DRM)的目的是保护数字内容的版权,从技术上保障数字内容的合理应用,使得最终用户必须在得到授权后才能对数字内容进行相应操作(如阅读、打印等)。所谓合理应用,包含两个方面:一为保证没有权利的用户无法获取到文档的使用权限,二为保证被授予权利的用户可以获得与自身权利匹配的使用权。DRM技术可以应用于电子图书、音乐、影像、图片等的销售和借阅,也可以应用于电子文档、电子公文等文件的发布和流通。
  DRM电子文档的两大格式
  常见的基于DRM技术的电子文档格式主要有两大类型:
  一种是非固定版式的文件格式。 xml技术的主要应用
  这方面的DRM产品,常见的有对Office文档的保护和对Html格式的保护。例如微软的Office2003就带有含DRM技术的IRM服务,保护对象是Word、Excel、PowerPoint文档。然而,由于非固定版式文件格式的可编辑特性在安全性上往往带来更多的缺陷和风险。同
时,常用的非固定版式文件的浏览器都是相当流行的桌面软件,例如微软的Office系列软件和IE浏览器,这些软件为了支持其他各种各样的应用要求,公布的开放接口非常多,也带来了很多的安全漏洞和安全隐患。因此,在安全电子文档产品中,基于固定版式的产品往往占有较大的优势。
  另一种类型的电子文档格式是版式文件。
  版式文件是指版面排版比较规范的文件。其特点是在任何环境下阅读,其版式都不会变化,而且通常版式文件的内容都是成型的内容,不再允许更改。常见的支持DRM应用的版式文件格式有PDF、CEB、WDL等。
  PDF是目前市场上使用较多的版式文件。以PDF为格式的电子文档DRM产品中,最为著名的当属美国的Authentica公司的Secure Documents for PDF系统。此系统的核心采用RC4算法进行内容加密,使用PDF公开的Plug-in技术进行PDF文件控制,由Policy Server服务器进行授权分配和管理,在英文版式市场上拥有较高的地位。
  在中文版式方面,北大方正的CEB格式是一个比较突出的版式。CEB格式在版式描述方面
与PDF的能力比较一致,而且在立足于DRM技术的基础上进行设计,在DRM体系方面有较好的支持,方正的Aapbi系列产品在电子图书、电子文档、电子政务等领域都支持DRM技术,目前在国内都有较大范围的应用。例如Apabi重要文档防扩散系统(Apabi CEB DRM)产品就是针对电子文档的DRM产品。
  CEB DRM产品以3DES算法为内容加密算法核心,使用自主开发的阅读器Apabi Reader对自主拥有的CEB版式文件进行使用控制,并由DRM Server服务器分配和管理权限。
  电子文档应用DRM的关键技术
  DRM技术是一套比较完整的技术体系,从技术上保障文件在整个生命周期内的合理使用,因此DRM技术的覆盖面也就涉及到电子文档应用的各个方面。
  1. 电子文档的内容加密
  内容加密是电子文档DRM应用的基础。只有内容加密了,才可以保障没有权限的用户无法阅读文件内容。电子文档的内容加密通常采用对称密钥算法加密,密钥随机产生,由服务器负责分发和管理。一般来说,从安全角度而言,密钥不会存储在电子文档内,以避免
得到文件后进行强制破解。
  2. 电子文档的密钥管理
  电子文档的密钥一般由服务器统一存储,统一管理,存储时避免明文存储,在认可文件访问者的身份和权限以后,才向客户机发送内容密钥。
  3. 电子文档的权限管理
  电子文档的权限管理是为了保证能在任何时刻,都可以获得访问者对被访问文档的确切权限。对于权限设置和权限管理的模式,一般根据实际的系统需要选用恰当的授权模式。
  常见的权限管理模式包括:角管理模式、项目管理模式、独立授权模式等。
  在电子文档应用中,与其他领域有一个较为显著的区别,就是为了满足电子文档办公应用的效率性和合作性,文档的权限管理可能需要由每个文档编写者所控制。
  例如Office2003的IRM服务主要支持创建者控制的授权管理机制,方正的Apabi CEB DRM系统可以同时支持多种灵活的授权管理机制。
  4. 电子文档的证书派发
  电子文档的证书派发是将从服务器获取使用权限详情的描述方式。
  证书的主要目的是描述用户对电子文件的使用权力。因此良好的证书派发机制,需要拥有恰当的权利描述方式。在DRM领域中,一般使用基于XML的格式规范来进行权利描述,如常用的有EBX、Xrml、Odrl等。对于电子文档的DRM描述,一般包含以下要素:
  (1) 证书授予的对象,如用户、组织或者某台机器等。
  (2) 证书作用的对象,例如具体的电子文件、某一项目的所有文件等。
  (3) 上述对象之间的权限关系。
  ● 文件的操作动作权利,如阅读、打印、拷贝文字等。
  ● 文件的使用模式权利,如是否可以在线阅读,是否可以离线阅读等。
  ● 文件权利的时间约束,例如权利有效起始时间、权利有效终止时间等。
  ● 文件权利的次数约束,例如可阅读次数、可打印份数、可拷贝字数等。
  ● 文件权利的其他扩展,例如水印内容展示、文件权限变更、文件转发等。
  (4)保障上述信息可靠性、完整性、安全性的附加手段及数据。常用的手段包括数据加密、数字水印、摘要、添加时间戳等。
  证书的派发同时需要满足派发的安全性和可信性。因此证书派发的传输经常采用加密传输以及与客户机硬件信息绑定相结合的方式,确保证书不被截获和窃取。
  5. 电子文档的权限控制
  电子文档的权限控制是电子文档DRM效果的实际体现。从权利证书获得的权限约束信息都需要通过阅读器的相应控制才得以体现。权限控制通常需要通过几个层次的认证:
  ● 使用者身份的确认。根据不同的环境需要可以选择不同的确认方式。例如用户名/密钥认证、CA身份证书认证、硬件信息认证、与其他系统关联的身份认证等。
  ● 电子文档标记的确认。要将授权与文档关联起来,需要对文档建立DRM应用的标识,
可以惟一确认文档对象。
  ● 当前权利的认证。一方面确认权利证书的可信,另一方面根据已经确认的使用者身份和电子文档标记,从权利证书中解析出当前时刻的合法权利,使应用得到有效控制。
  6. 电子文档的安全通信
  电子文档的安全通信主要包括如下几个方面:
  ● 文件内容通信的安全,确保加密文件的网络传输不被非法截获,或者即使被截取也无法打开使用。
  ● 文件权利证书通信的安全,确保权利证书不被他人截获或窃取,至少被复制后也不能有效使用。
  ● 电子文档DRM认证和通信的安全,例如电子文档的权利证书获取请求等,这些请求需要采用良好的加密机制和校验机制,防止冒充身份或截取通信获得非法的权利。
  7. 电子文档的追踪审计
  电子文档的应用环境比较复杂,通过电子文档的加密和DRM控制,可以对电子文档的操作和使用建立适当的日志记录机制,追踪文档的使用和传播状况。不同的应用领域中,记录和关注的日志类型略有不同。
  电子文档应用中,记录的日志通常包括:阅读(人员、文件、时间、地点)、打印(人员、文件、时间、地点、打印份数)、证书下载、授权变更等。
  电子文档的日志记录,一方面便于追踪意外情况下的信息泄密源头,锁定泄密范围,另一方面可以对文档应用情况进行审计,积累文档工作经验,提高电子文档的办公效率。
  8. 电子文档的防盗提示
  电子文档因其易复制、易打印的特性,可以提高流通速度,降低工作成本,因此得以在政务和信息化办公领域快速发展。但这些特性同时带来了信息以被窃取的隐患。利用DRM技术可以给电子文档的复制、打印添加防止盗窃的手段,降低文件被窃取的风险。
  例如,电子政务方面的电子文档应用,需要盖上电子公章。而在电子文件显示和打印时对公章的虚化处理,可以杜绝盗窃者对重要的公章的恶意复制。
  又譬如在Apabi CEB DRM系统中,当电子文档打印时刻,可以由系统设定在打印纸张上打印出当前打印人的姓名等信息的水印,也可以起到警示作用,防止打印文件的肆意扩散。
  9. 电子文档的流程嵌入
  在电子文档的应用中,与其他领域(如图书馆领域、音像视频销售领域等)的一个较大区别是,电子文档的发布和使用流程更为随意,文件的制作和发布通常都与企事业单位内部自己的文件系统或规章制度有关,而不是由统一的发布商(例如图书馆、网站音像销售商)进行发布,因此,在电子文档的DRM应用领域中,嵌入到各种应用流程的要求是一个显著的特点。
  常见的电子文档应用流程可以大致区分为两大类:一类是自由分发的流程,由文件的编写者进行文档保护和授权,然后用任意方式自由派发;第二类是集中管理的流程,由编写者或管理员进行文档上载,统一由管理员进行文件授权,文件集中存储,集中发布,使用者统一通过发布页面获取需要的文档。
  一个良好的电子文档DRM系统,需要同时支持以上两类流程的应用。
  以Apabi CEB DRM系统为例,既可以自由分发和控制,也可以提供嵌入到其他文档管理系统中的DRM引擎,供其他文档管理系统调用,将电子文档DRM系统无缝地嵌入到企事业单位内部已有的文档应用流程当中。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。