TWI649661B - 合成文件存取技術 - Google Patents
合成文件存取技術 Download PDFInfo
- Publication number
- TWI649661B TWI649661B TW104123707A TW104123707A TWI649661B TW I649661 B TWI649661 B TW I649661B TW 104123707 A TW104123707 A TW 104123707A TW 104123707 A TW104123707 A TW 104123707A TW I649661 B TWI649661 B TW I649661B
- Authority
- TW
- Taiwan
- Prior art keywords
- key
- access
- composite file
- attribute
- content
- Prior art date
Links
- 239000002131 composite material Substances 0.000 title claims abstract description 90
- 238000012795 verification Methods 0.000 claims description 62
- 238000013507 mapping Methods 0.000 claims description 26
- 238000000034 method Methods 0.000 claims description 13
- 239000000284 extract Substances 0.000 claims description 2
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 claims description 2
- 239000010931 gold Substances 0.000 claims description 2
- 229910052737 gold Inorganic materials 0.000 claims description 2
- 238000004590 computer program Methods 0.000 claims 2
- 230000008520 organization Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 239000000203 mixture Substances 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 230000004043 responsiveness Effects 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/101—Collaborative creation, e.g. joint development of products or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Human Resources & Organizations (AREA)
- Entrepreneurship & Innovation (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Strategic Management (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Data Mining & Analysis (AREA)
- Economics (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Storage Device Security (AREA)
Abstract
根據存取一合成文件的一實例,一存取一合成文件的請求被接收。與一群組相關聯的一金鑰被提取,且該金鑰被使用來解密包含有一屬性之該合成文件的一部分。若該屬性被驗證,則對該合成文件的存取被提供。
Description
本發明係有關於合成文件存取技術。
數位文件的該創造、散佈、和交換已經成為列印文件之一種普遍被接受的替代方式,既為效率的目的也為環保的目的。可被創造、散佈、或以其他方式交換之數位文件的實例包括,舉例來說,電子文書處理文件、電子試算表、電子展演文件、電子繪圖、可攜式文件格式(PDF)文件、以及網頁,例如,HTML、CSS、或其他Web格式文件。數位文件往往在群組、團隊、部門、公司、或組織內部或之間被共享。
許多數位文件,包括共享文件,係以不同的文件格式所創建之各別部分的一種混合或合成。不同的部分可以透過各種機制,包括可共享的文件被組合在一起。一種合成文件的一實例係一份商業計劃書文件,其包括為JPEG文件的產品圖片、為一MPEG文件的一行銷視訊剪輯、為一PPTX文件之一PowerPoint展演文件、以及為一XLSX文件的財務細節電子試算表。透過專門的軟體,合成文件可被創建或更新為一單一可編輯、可瀏覽、可搜索、可批准、或
可使用的文件,並與世界各地、分散式的使用者來共享。
依據本發明之一實施例,係特地提出一種存取一合成文件的方法,其包含有:接收存取一合成文件的一請求;提取與一群組相關聯的一金鑰;使用該金鑰來解密包含有一屬性之該合成文件的一部分;以及驗證該屬性,其中,若該屬性被驗證,則提供對該合成文件的存取。
102‧‧‧創作環境
104‧‧‧合成文件
106‧‧‧存取環境
108‧‧‧屬性驗證(使用者認證/檢查角色、網域伺服器、公司電子郵
件、群組成員資格、等等)
110‧‧‧金鑰儲存(分配給群組、文件、組織、單元、等等的公開和私密金鑰)
202a-n‧‧‧內容部分a-n:部分ID、部分名稱、資料、簽章
204‧‧‧金鑰映射表:使用者ID、部分ID、金鑰
206‧‧‧屬性驗證表:服務指標/URI/URL、簽章
208‧‧‧登錄表:使用者ID、對稱金鑰、將被驗證的屬性
210‧‧‧簽章:表格名稱、簽章
302‧‧‧創建合成文件
304‧‧‧請求從屬性驗證服務產生公開和私密金鑰對
306‧‧‧把驗證屬性寫入到合成文件的登錄表
308‧‧‧加密登錄表
402‧‧‧接收存取合成文件的請求
404‧‧‧提取私密金鑰(與群組相關聯)
406‧‧‧使用私密金鑰來解密屬性/登錄表列(包括將被驗證的屬性和對稱金鑰)
408‧‧‧驗證屬性(檢查電子郵件、角色、等等。)
410‧‧‧屬性被驗證了嗎?
412‧‧‧提供使用對稱金鑰存取內容部分
414‧‧‧拒絕內容部分的存取
502‧‧‧提供使用對稱金鑰存取內容部分
504‧‧‧把對稱金鑰傳回給存取環境
506‧‧‧在存取環境上解密金鑰映射表和釋出內容部分金鑰
508‧‧‧從存取環境請求金鑰映射表
510‧‧‧使用對稱金鑰來解密金鑰映射表
512‧‧‧釋出金鑰給存取環境
514‧‧‧從存取環境請求合成文件
516‧‧‧使用對稱金鑰來解密金鑰映射表;存取部分
518‧‧‧把該經解密的部分傳回給存取環境
602‧‧‧處理器
604‧‧‧顯示器
606‧‧‧網路介面
608‧‧‧匯流排
610‧‧‧電腦可讀取媒體
612‧‧‧作業系統
614‧‧‧網路應用程式
616‧‧‧安全內容管理應用程式
圖1根據本發明的一實例圖示出一種數位文件存取工作流的一簡化方塊圖;圖2根據本發明的一實例圖示出一合成文件;圖3根據本發明的一實例圖示出創建一合成文件的一流程圖;圖4根據本發明的一實例圖示出存取一合成文件的一流程圖;圖5根據本發明的一實例圖示出使用一對稱金鑰來存取一合成文件的一流程圖;以及圖6根據本發明的一實例圖示出一種計算裝置的示意圖,其可被使用作為一個平台用於實現或執行在圖3-6中所描繪之該等程序之至少一個。
一合成文件可以是各別內容部分的一種混合或一種合成,該等各別內容部分係以不同的文件格式所創
建,其可透過各種機制被組合在一起並散佈在,例如,網路環境中。該等內容部分可以包括各種可單獨定址和可存取的部件,具有各別的文件或可定址文件片段的形式。在一實例中,一合成文件可以以有存取控制的方式被公開發布。在另一實例中,一合成文件可以以有存取控制的方式被私有地或內部地在一企業內部被使用,或在橫跨組織、群組、部門或團體間的混合工作流中。在一些實施例中,一合成文件或內容部分可以被版本化。
在存取一合成文件之使用者數係少且預先限定的環境中,控制該等合成文件的存取可以包括使用金鑰來使每一使用者可存取該合成文件或一內容部分。在這些實例中,該金鑰數係可控制的,且無顯著的開銷。
在某些環境中,例如,一企業環境,其中可存取一文件的該使用者數較大,或其中當一合成文件被創建的該時刻使用者係未知的或未限定的,使用該使用者個人金鑰來提供每一使用者的存取可能不實際、不可擴充、或者甚至是不可能的。例如,在一企業環境中,一合成文件可能由100,000名員工來存取,並且該等員工有權去存取如此的一合成文件或在該合成文件中的內容部分,該文件可以每天,甚至每小時被改變。每位使用者若使用各別的金鑰,或使用包裹在憑證中的金鑰,還會增加一合成文件的大小和複雜性,並且也會降低效能,因為需要解密大量的列,直到一特定使用者的一列被找到。除了在一種安全、程式碼、和使用者管理位階的這種開銷之外,延遲會被引入到
與系統反應能力和業務連續性的工作流程之中。例如,在某些情況下,當大量的使用者將加入一群組或接收對一文件的存取時,金鑰或其他操作的處理會被延遲。
在本發明中,根據存取一合成文件的一實例,當接收到存取一合成文件的一請求時,與一群組相關聯的一金鑰被提取,且該金鑰將被使用來解密在該合成文件中的一登錄表列,或包含一屬性之該合成文件的其他部分(下文中稱為「登錄表」)。儲存在該登錄表或文件中的一屬性被驗證,並若該屬性被驗證,則對該合成文件的存取被提供。可被驗證或可證明之屬性的實例為在一群組中的成員資格、使用者是否可以認證到一系統中、一使用者角色、存取一網域伺服器、地點或實際出現在一特定網站、從一已知的IP位址或子網路存取、由一安全裝置或發放給一特定群組之密碼金鑰來認證、或擁有一公司或組織的電子郵件地址。
在一些實施例中,該私密金鑰可以與一群組、文件、組織、團隊、部門、或其他單元(在這裡統稱為一「群組」)相關聯,這可允許使用一較少數量的金鑰來解密在一特定合成文件中的一登錄表,而不是為每一位使用者皆使用各別的金鑰。類似地,一私密金鑰與一位以上的使用者相關聯可允許把一使用者動態綁定到一特定群組、文件、組織、或基於,例如,該使用者之一屬性的其他單位。
在一些實例中,如下文中會更詳細討論的,一登錄表的解密可以包括存取在該登錄表中的至少一個金鑰,
其被使用來解鎖在一合成文件中的一金鑰映射表,其本身可以被用於解密該合成文件的內容部分。在該登錄表中的該等金鑰只能由一服務,例如,一屬性驗證服務,來釋出,一旦一使用者已證明或驗證一屬性諸如一群組成員資格,而該群組被准許存取一合成文件或內容部分的話。
因此,存取一合成文件和/或內容部分可被有效地准許,以一種可擴展的方式,橫跨使用者和具有不同的存取等級之使用者的不同群組,每一個存取驗證各種屬性之各種屬性驗證服務。一使用者還可以在該內容部分被創建之後的一時間點上,例如,當加入一群組時,被動態地綁定到一群組或文件,且不需要在該合成文件登錄表中儲存僅能由一使用者私密金鑰來解密之一各別的條目。
圖1根據本發明的一個實例圖示出一數位文件工作流程的一簡化方塊圖。應被理解的是,在圖1中所描繪的該圖示表示一種一般化的例示,並且其他的組件可被添加,或現有的組件可被移除、修改、或重新佈置而不離開該數位文件工作流程的該整體範疇。
在一實例中,該數位文件工作流程可包括一創作環境102、一合成文件104、一存取環境106、一屬性驗證模組或服務108(「屬性驗證服務」)、以及一金鑰生成和儲存模組或服務(「金鑰儲存服務」)110。
如在下文會更詳細地討論的,創作環境102、存取環境106、屬性驗證服務108、以及金鑰儲存服務110可包括個人或共享的硬體裝置諸如電腦、伺服器、資料庫、處
理器、記憶體,和/或電路、等等,其配置有機器可讀取指令以在該數位文件工作流程中執行各種功能。另外地,或者可替換地,該等組件可以包括儲存在電腦可讀取媒體中的機器可讀取指令。在一些實例中,創作環境102、存取環境106、屬性驗證服務108、以及金鑰儲存服務110可以經由網際網路、雲端服務、或其他網路被連接,如在下面會更詳細地討論的。
在一實例中,創作環境102可以封裝、加密、和簽章一數位文件的內容部分,使得所得到的安全內容部分無法在沒有該適當的金鑰下進行存取。更具體地說,創作環境102可以產生,或請求,加密和簽章金鑰來加密和簽章內容部分和/或在一合成文件中的登錄表列。
在一些實例中,創作環境102可以允許創建或編輯被使用來控制一合成文件或內容部分存取的屬性,如在下面會更詳細地討論的。創作環境102也可以允許選擇或編輯與一特定合成文件或內容部分相關聯的屬性驗證服務或金鑰儲存服務,如也會在下面被更詳細地討論的。
在一實例中,存取環境106可以包含有或包括一種前端軟體工具或圖形使用者界面(「GUI」)用於存取一合成文件104。存取環境106可以執行在一使用者的計算裝置上,諸如,舉例來說,一個人電腦、一桌上型電腦、一膝上型電腦、一平板電腦、一個人數位助理、一蜂巢式電話、一智慧型手機,或一消費性電子裝置。存取環境106可被執行為軟體、一服務、或軟體和服務的一種組合。
在一實例中,存取環境106可以接收一合成文件104並轉發一屬性驗證請求給一屬性驗證服務108,如在下面會更詳細地討論的。
屬性驗證服務108可以包括硬體和/或軟體以驗證或確認與在存取環境106上一使用者請求存取一合成文件或內容部分相關聯之屬性的至少一個。舉例來說,屬性驗證服務108可以判定在一群組中的成員資格;一使用者是否可以認證到一系統中;一使用者角色;存取一網域伺服器;實際出現在一特定地點;從一已知的IP位址或子網路存取;由一安全裝置或發放給一特定群組之密碼金鑰來認證;擁有一公司或組織的電子郵件位址;以及其他的屬性和/或因素。在某些情況下,屬性驗證服務108可授權屬性驗證給一第三方服務,諸如社交媒體網路。屬性驗證服務108可以儲存要在內部做出如此決定所需的該資訊,或可與一外部來源進行通信,例如,一電子郵件伺服器、由一組織所維護的Windows Domain存取控制系統、一基於LDAP的認證服務、或一基於雲端的服務角色/身份認證服務。
在一實例中,屬性驗證服務108可與金鑰儲存服務110進行通信,一旦屬性驗證服務108已經驗證一使用者屬性。如在下面會更詳細討論的,金鑰儲存服務110可以包含,舉例來說,把公開和私密金鑰分配給一群組、文件、組織、部門、團隊、或單元。
圖2根據本發明的一實例圖示出一合成文件。內容部分202a-n,在一實例中,可以表示在合成文件102之中
各別可定址或可分離的元素。舉例來說,一內容部分202a-n可以是一檔案、檔案的一種組合,和/或檔案的片段,並且在一內容部分中的元素可以共享跨越一文件工作流程之相同的存取控制。
金鑰映射表204可以包括針對每位使用者或每一群組,或同時針對使用者和群組金鑰,包含在各自金鑰映射條目中的金鑰。金鑰映射表204還可以包括使用者或群組識別碼,其可以是隨機式的或循序式的,並且其匹配在該登錄表208中對應的識別碼。金鑰映射表204還可以包括一部分ID。在金鑰映射表204中的該等金鑰可使使用者和/或群組可以對內容部分202a-n獲取各種層級的存取。
屬性驗證表206可以包括一指標、統一資源識別碼、或統一資源定位器指向一屬性驗證服務,其將被使用來進行存取一合成文件所需要的屬性驗證。該屬性驗證服務206可以基於一群組每一位成員的服務可及性、提供一指定屬性可靠驗證的能力、或其他的參數和偏好由一文件主來選擇。舉例來說,位於Palo Alto的一Microsoft Exchange伺服器可被使用來驗證一組在「California」群組中的員工。在一些實例中,一屬性驗證服務可以是公知的或由一存取環境來選擇。在這種情況下,在表206中的該屬性驗證服務指標可以被保留為一空值。在一些實例中,該屬性驗證指標206可被簽署以防止偽造、「釣魚」嘗試、電子欺騙、連結操控、以及其他的活動。在一些實例中,該指標206可以是一混淆的或縮短的連結。
登錄表208可包括至少一個金鑰,例如,一對稱金鑰,被使用於解鎖在一合成文件中一金鑰映射表中的條目。登錄表208還可以包括一個或多個屬性來為一特定的使用者或群組進行驗證,如在下面會更詳細地討論的。登錄表208還可以包括使用者或群組識別碼,其可以是隨機式的或循序式的,並且其匹配在該金鑰映射表204對應的識別碼。
簽章表210可以包括簽章以在一合成文件內數位簽章一合成文件或表格。
圖3根據本申請的一實例圖示出創建一合成文件的一流程圖。在方塊302中,在一些實例中,一合成文件被創建、更新、或編輯在一創作環境或其他工具上。
在方塊304,在一實例中,該創作環境102或其他的工具請求從屬性驗證服務108產生公開和私密金鑰對,並從屬性認證服務108接收該公開金鑰。在一些實例中,創作環境102可以在內部地產生或導入該等公開和私密金鑰。
在方塊306中,創作環境102或其他的工具把一驗證屬性寫入到該合成文件104的該登錄表208。在一些實例中,一使用者或一創作環境102可決定一個或多個可靠的屬性可由被准許存取一個或多個內容部分之一特定群組的每一個成員來證實。在其他的實例中,一作者可決定一個或多個屬性來使用。在一些實例中,方塊306還可以決定或寫入一屬性驗證服務指標到屬性驗證表206。
在方塊308中,在一實例中,登錄表208使用一公
開金鑰加密。在一些實例中,混合加密也可被採用,其中一種對稱金鑰被創建,且該對稱金鑰係由該公開金鑰來加密。該經加密的對稱金鑰然後可放入到該登錄表列中,且該登錄表的該等剩餘列,包括要被驗證的屬性,並在該金鑰映射表中該等對應的條目可由該對稱金鑰進行加密。在創作環境102已經產生一對金鑰的實例中,創作環境102可以安全地傳輸該私密金鑰,或該等公開和私密金鑰一起傳輸,給驗證屬性服務108。
圖4根據本發明的一實例圖示出存取一合成文件的一流程圖。在一實例中,一使用者在存取環境106上請求存取一合成文件,其決定該屬性驗證並確認屬性驗證表206的該認證。在該屬性驗證表206和/或該合成文件其他部分的成功驗證之後,該存取該文件請求從該存取環境106被傳送到該屬性驗證服務108,並在方塊402被接收。
在一些實例中,該屬性驗證服務108可以基於儲存在合成文件102之屬性驗證表206中的資料來被判定,或者可已知於存取環境106或由其來判定。
在方塊404中,屬性驗證服務108隨後可以讀取分配到一合成文件的一私密金鑰其,如以上所討論的,可能已經由屬性認證服務108產生,或由另一服務或伺服器產生並儲存在屬性驗證服務108和/或金鑰儲存110上。一識別碼可被使用來把一合成文件與一私密金鑰相關聯。
在方塊406中,屬性驗證服務108隨後可以使用該私密金鑰來解密一登錄表列用於該請求的合成文件或內容
部分,其可以包括一要被驗證的屬性和/或金鑰映射表列的一對稱金鑰。在一些實例中,屬性驗證服務108可以在存取環境106上存取該登錄表208,而在其他實例中,存取環境106可以發送該登錄表208給屬性驗證服務108。
在一些實例中,屬性驗證服務108可在登錄表列上做循環,直到一列可被解密為止。在一些實例中,屬性驗證服務108可把方塊404和406的該提取和解密步驟委託給另一伺服器或服務。
在方塊408中,在該登錄表的該(等)屬性被驗證,如以上所討論。方塊408還可以在該驗證過程中包括使用者互動,諸如提示一使用者要提供欲驗證一屬性所需要資訊。舉例來說,可以產生一提示、電子郵件、或文字訊息需要使用者互動,諸如鍵入一種被發送給該使用者驗證一屬性的碼。
如果一屬性不能在方塊410中被驗證,對該請求內容部分或合成文件的存取會在方塊414被拒絕。如果該(等)屬性在方塊410中被驗證,對該請求內容部分或合成文件的存取會在方塊412被提供,使用從該登錄表被提取並解密的該對稱金鑰。
圖5圖示出使用一對稱金鑰存取一合成文件的一流程圖。更具體地說,圖5圖示出使用一對稱金鑰提供對一內容部分存取的三種使用例,如針對方塊412在以上所討論的。
在方塊504中,在一第一實例中,屬性驗證服務
108會把該對稱金鑰在一安全的通信通道上或以一種加密的形式傳回給存取環境106。在方塊506中,該存取環境106可以使用該對稱金鑰來解密金鑰映射表204,其可以釋出至少一個內容部分金鑰來對該合成文件的一內容部分進行解密。
在方塊508中,在一第二實例中,屬性驗證服務108從存取環境106請求金該鑰映射表204,使用該對稱金鑰,其係從該登錄表被提取並解密,在方塊510中解密該金鑰映射表204。在方塊512中存取環境106然後釋出至少一個內容部分金鑰來對該合成文件的一內容部分進行解密。
在方塊514中,在一第三實例中,屬性驗證服務108從存取環境106請求該合成文件。在方塊516中,該屬性驗證服務108使用該對稱金鑰來對該金鑰映射表204進行解密並存取一內容部分,並且在方塊518中把該經解密的文件或部分傳回給存取環境106。
圖6根據本發明的一實例圖示出一計算裝置的一示意圖呈現,其可被使用作為一平台用於實現或執行在圖3-6中所描繪之該等程序的至少一個。
在該等圖示中所列舉出之該等操作的一些或全部可以被包含成為一工具程式、程式、或子程式在任意期望的電腦可讀取儲存媒體中,或被嵌入在硬體上。此外,該等操作可由機器可讀取指令來實現。舉例來說,它們可以以原始碼、目的碼、可執行碼、或其他格式的形式存在成機器可讀取指令。
計算裝置600可以表示一裝置,其包括創作環境102、存取環境106、屬性驗證服務108、以及金鑰儲存110。該裝置600可以包括一處理器602,諸如一中央處理單元;一顯示裝置604,諸如一監視器或其他數位顯示器;一網路介面606,諸如一區域網路(LAN)卡、一無線802.11x LAN卡、一3G或4G行動WAN或WiMax WAN卡;以及一電腦可讀取媒體610。這些組件的每一個可被可操作地耦合到一匯流排608。例如,一匯流排608可以是EISA、PCI、USB,和/或火線。
該電腦可讀取媒體610可以是參與提供指令給該(等)處理器602用於執行之任何合適的媒體。舉例來說,該電腦可讀取媒體610可以是非依電性媒體,諸如光碟或磁碟;以及依電性媒體,諸如記憶體。傳輸媒體還可以採取聲波、光、或無線電頻率波的形式。該電腦可讀取媒體610還可以儲存其他機器可讀取指令,包括從一網路或網際網路下載的指令。
該電腦可讀取媒體610還可以儲存一作業系統612,諸如Microsoft Windows、Mac OS、Unix、或Linux;網路應用程式614諸如網路介面和/或雲端介面;以及一安全內容管理應用程式616。該作業系統612可以是多使用者、多處理、多任務、多執行續、即時、等等。該作業系統612還可以執行基本的任務,諸如識別來自輸入裝置的輸入,諸如一鍵盤或小鍵板;把資訊輸出到該顯示器604;紀錄在媒體610上的檔案和目錄;控制週邊裝置,諸如驅動程
式、印表機、或影像擷取裝置;以及管理在該匯流排608上的流量。該等網路應用程式614可以包括各種組件用於建立和維護網路連接,諸如機器可讀取指令用於實現通訊協定,其包括但不侷限於TCP/IP、HTTP、以太網路、USB、以及火線。
該創作環境102、存取環境106、屬性驗證服務108、以及金鑰儲存裝置110可以提供各種機器可讀取指令用於管理存取安全內容,如以上所述的。在某些實例中,該等執行處理的一部分或全部可以被整合到該作業系統612中。在某些實例中,該等處理可以至少部分地以數位電子電路、以電腦硬體、以機器可讀取指令(例如韌體和/或軟體)、或以它們的任何組合來實現。
已經在本文中被描述和圖示的為本發明的各種實例以及它們的一些變化。本文中所使用的該等術語、描述和圖示僅透過示例的方式來闡述,並且不意味著為限制。許多變化是可能係在本發明的精神和範疇之內,其中本發明旨在由以下的權利請求項以及它們的等價物來限定,其中所有的術語意味著其最廣泛的合理意義,除非另有說明。
Claims (15)
- 一種存取合成文件的方法,其包含有:接收存取一合成文件的一請求;提取與一群組相關聯的一金鑰;使用該金鑰來解密包含有一屬性之該合成文件的一部分;以及驗證該屬性,其中,在該屬性經驗證的情況下,提供對該合成文件的存取。
- 如請求項1之方法,其中該金鑰更與合成文件相關聯。
- 如請求項1之方法,其中該金鑰被儲存在一被使用來驗證屬性之伺服器上。
- 如請求項1之方法,其中該合成文件包含有一對稱金鑰。
- 如請求項1之方法,其中提供對該合成文件的存取包含有提供對該合成文件的至少一個內容部分的存取。
- 如請求項1之方法,其中提供對該合成文件的存取包含有發送一對稱金鑰給一存取環境來解密一金鑰映射,並釋出一內容部分金鑰。
- 如請求項1之方法,其中提供對該合成文件的存取包含有從一存取環境請求一金鑰映射表,使用一對稱金鑰來解密一金鑰映射表,以及釋出一內容部分金鑰給該存取環境。
- 如請求項1之方法,其中提供對該合成文件的存取包含 有從一存取環境請求該合成文件,使用一對稱金鑰來解密一金鑰映射表和存取至少一個內容部分,以及發送至少一個經解密的內容部分給該存取環境。
- 一種電腦系統,其包含有:一合成文件;一屬性驗證服務;以及至少一個處理器來實現該屬性驗證服務,其中該屬性驗證服務將接收存取該合成文件的一請求,提取與儲存在該屬性驗證服務上之一群組相關聯的一私密金鑰,使用該私密金鑰來解密包含有一屬性之該合成文件的一部分,驗證該屬性,以及使用一對稱金鑰提供對該合成文件的存取。
- 如請求項9之系統,其中該私密金鑰係由該屬性驗證服務所產生。
- 如請求項9之系統,其中該合成文件包含有該對稱金鑰。
- 如請求項9之系統,其中該屬性驗證服務將把該對稱金鑰發送給存取環境、指示該存取環境解密一金鑰映射表,並釋出一內容部分金鑰。
- 如請求項9之系統,其中該屬性驗證服務將使用該對稱金鑰來解密一金鑰映射表並釋出一內容部分金鑰給存取環境。
- 如請求項9之系統,其中該屬性驗證服務將從該存取環境請求該合成文件、使用該對稱金鑰來解密一金鑰映射表、存取在該合成文件中的至少一個內容部分,以及把 至少一個經解密的內容部分給存取環境。
- 一種非暫時性電腦可讀取儲存媒體,在其上嵌入了一種電腦程式,該電腦程式管理一合成文件的存取,該電腦程式包含有一組指令,以:接收存取該合成文件的一請求;提取與一群組相關聯的一金鑰;使用該金鑰來解密在該合成文件中的一登錄表列;以及驗證儲存在該登錄表中的一屬性,其中,在該屬性被驗證的情況下,提供使用至少一個對稱金鑰來存取該合成文件。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| ??PCT/US14/50720 | 2014-08-12 | ||
| PCT/US2014/050720 WO2016024954A1 (en) | 2014-08-12 | 2014-08-12 | Composite document access |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201610714A TW201610714A (zh) | 2016-03-16 |
| TWI649661B true TWI649661B (zh) | 2019-02-01 |
Family
ID=55304443
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW104123707A TWI649661B (zh) | 2014-08-12 | 2015-07-22 | 合成文件存取技術 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10452855B2 (zh) |
| EP (1) | EP3180733A4 (zh) |
| CN (1) | CN106575341B (zh) |
| TW (1) | TWI649661B (zh) |
| WO (1) | WO2016024954A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109857682B (zh) * | 2017-11-30 | 2021-10-01 | 华为技术有限公司 | 数据访问方法、存储器及处理器 |
| EP3763075A4 (en) * | 2018-06-01 | 2021-09-29 | Hewlett-Packard Development Company, L.P. | KEY PACKAGING FOR KEY ENCLOSURE |
| CN111027080B (zh) * | 2019-11-26 | 2021-11-19 | 中国人民解放军战略支援部队信息工程大学 | 基于ooxml复合文档源文件数据区位置排列次序的信息隐藏方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012039703A1 (en) * | 2010-09-21 | 2012-03-29 | Hewlett-Packard Development Company, L.P. | Providing differential access to a digital document |
| US20120185701A1 (en) * | 2011-01-13 | 2012-07-19 | Helen Balinsky | Document security system and method |
| US8316237B1 (en) * | 2001-03-23 | 2012-11-20 | Felsher David P | System and method for secure three-party communications |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030177378A1 (en) * | 2001-06-01 | 2003-09-18 | Erland Wittkotter | Apparatus and method for the decryption of an encrypted electronic document |
| US20090119755A1 (en) | 2004-02-04 | 2009-05-07 | Kodimer Marianne L | System and method for role based access control of a document processing device |
| JP2007172280A (ja) | 2005-12-21 | 2007-07-05 | Fuji Xerox Co Ltd | アクセス権管理方法、装置及びプログラム |
| WO2007120754A2 (en) | 2006-04-11 | 2007-10-25 | Medox Exchange, Inc. | Relationship-based authorization |
| US20080005115A1 (en) * | 2006-06-30 | 2008-01-03 | International Business Machines Corporation | Methods and apparatus for scoped role-based access control |
| JP2008299453A (ja) | 2007-05-30 | 2008-12-11 | Fuji Xerox Co Ltd | 情報処理プログラムおよび情報処理システム |
| US7890998B2 (en) * | 2007-06-29 | 2011-02-15 | International Business Machines Corporation | System and method for selective authentication when acquiring a role |
| WO2009004732A1 (ja) * | 2007-07-05 | 2009-01-08 | Hitachi Software Engineering Co., Ltd. | 共有暗号ファイルの暗号化、復号処理方法 |
| US8689352B2 (en) | 2008-12-18 | 2014-04-01 | Sap Ag | Distributed access control for document centric collaborations |
| US9112862B2 (en) * | 2009-02-02 | 2015-08-18 | Adobe Systems Incorporated | System and method for parts-based digital rights management |
| WO2011127440A2 (en) * | 2010-04-08 | 2011-10-13 | University Of Washington Through Its Center For Commercialization | Systems and methods for file access auditing |
| FR2962972B1 (fr) * | 2010-07-20 | 2013-04-12 | Eurocopter France | Procede et aeronef a voilure tournante muni d'un moyen de stabilisation minimisant le phenomene de bosse d'assiette |
| CN103329121B (zh) * | 2011-01-28 | 2016-11-02 | 惠普发展公司,有限责任合伙企业 | 文档管理系统和方法 |
| US20120260096A1 (en) * | 2011-04-08 | 2012-10-11 | Helen Balinsky | Method and system for monitoring a secure document |
| US8566615B2 (en) | 2011-04-28 | 2013-10-22 | Hewlett-Packard Development Company, L.P. | Document management system and method |
| US8656181B2 (en) * | 2011-05-26 | 2014-02-18 | Hewlett-Packard Development Company, L.P. | Method and system for business workflow cycle of a composite document |
| US10963584B2 (en) * | 2011-06-08 | 2021-03-30 | Workshare Ltd. | Method and system for collaborative editing of a remotely stored document |
| JP5853507B2 (ja) * | 2011-09-05 | 2016-02-09 | ソニー株式会社 | 情報処理装置、情報処理システム、および情報処理方法、並びにプログラム |
| CN102289407B (zh) * | 2011-09-06 | 2013-12-11 | 北京信息科技大学 | 文档格式转换自动测试方法 |
| CN102523214A (zh) * | 2011-12-14 | 2012-06-27 | 广州杰赛科技股份有限公司 | 基于数字证书的文档服务器访问方法和系统 |
| US9875239B2 (en) | 2012-03-19 | 2018-01-23 | David W. Victor | Providing different access to documents in an online document sharing community depending on whether the document is public or private |
| US9015858B2 (en) * | 2012-11-30 | 2015-04-21 | nCrypted Cloud LLC | Graphical user interface for seamless secure private collaboration |
| JP5931032B2 (ja) * | 2013-09-24 | 2016-06-08 | 京セラドキュメントソリューションズ株式会社 | 文書管理サーバー及びプログラム並びに文書閲覧システム及びプログラム |
| US9411975B2 (en) * | 2014-03-31 | 2016-08-09 | Intel Corporation | Methods and apparatus to securely share data |
-
2014
- 2014-08-12 WO PCT/US2014/050720 patent/WO2016024954A1/en active Application Filing
- 2014-08-12 EP EP14899560.8A patent/EP3180733A4/en not_active Ceased
- 2014-08-12 CN CN201480081006.4A patent/CN106575341B/zh not_active Expired - Fee Related
- 2014-08-12 US US15/309,812 patent/US10452855B2/en not_active Expired - Fee Related
-
2015
- 2015-07-22 TW TW104123707A patent/TWI649661B/zh not_active IP Right Cessation
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8316237B1 (en) * | 2001-03-23 | 2012-11-20 | Felsher David P | System and method for secure three-party communications |
| WO2012039703A1 (en) * | 2010-09-21 | 2012-03-29 | Hewlett-Packard Development Company, L.P. | Providing differential access to a digital document |
| US20120185701A1 (en) * | 2011-01-13 | 2012-07-19 | Helen Balinsky | Document security system and method |
Non-Patent Citations (2)
| Title |
|---|
| "雲計算環境中組合文檔模型及其訪問控制方案", 熊金波等, 西安交通大學學報第48卷第2期, 2014年2月 * |
| "雲計算環境中組合文檔模型及其訪問控制方案", 熊金波等, 西安交通大學學報第48卷第2期, 2014年2月。 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10452855B2 (en) | 2019-10-22 |
| CN106575341A (zh) | 2017-04-19 |
| TW201610714A (zh) | 2016-03-16 |
| EP3180733A1 (en) | 2017-06-21 |
| CN106575341B (zh) | 2021-01-01 |
| WO2016024954A1 (en) | 2016-02-18 |
| US20170262642A1 (en) | 2017-09-14 |
| EP3180733A4 (en) | 2018-03-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3743838B1 (en) | Generating and managing decentralized identifiers | |
| US11176226B2 (en) | Secure messaging service with digital rights management using blockchain technology | |
| EP3210157B1 (en) | Encrypted collaboration system and method | |
| US10944563B2 (en) | Blockchain systems and methods for user authentication | |
| US9825925B2 (en) | Method and apparatus for securing sensitive data in a cloud storage system | |
| US8601276B2 (en) | Managing access to a secure content-part of a PPCD following introduction of the PPCD into a workflow | |
| US9160535B2 (en) | Truly anonymous cloud key broker | |
| US9906499B1 (en) | Apparatus, system and method for secure data exchange | |
| US10225084B1 (en) | Method, apparatus and computer program product for securely sharing a content item | |
| EP3427436A1 (en) | Management of workflows | |
| US20150205973A1 (en) | Method and apparatus for providing data sharing | |
| WO2016003431A1 (en) | Composite document referenced resources | |
| TWI649661B (zh) | 合成文件存取技術 | |
| Sharma et al. | A two-tier security solution for storing data across public cloud | |
| US20140019758A1 (en) | System, method and apparatus for securely distributing content | |
| CN111178819A (zh) | 一种电子公文处理方法、系统及装置 | |
| Megha | Authentication of Financial Wallet System and Data Protection using BlockChain | |
| JP7361384B2 (ja) | 電子申請の補助方法、電子申請補助システム、電子申請補助システムのプログラム及びその記録媒体 | |
| Parvathy et al. | Recovery of Altered Records in Cloud Storage Utilizing Seed Block Strategy | |
| TW550485B (en) | Web site system allowing multiple logins | |
| Kumar et al. | An efficient auditing protocol with user revocation using cyclic group & AES techniques | |
| Barik et al. | Secure e-Learning Framework (SeLF) | |
| NZ731490B2 (en) | Encrypted collaboration system and method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |