黃林昊,江 晨,金 彪

1(福建廣播電視大學(xué) 電子信息與計(jì)算機(jī)系,福州 350007)

2(福建師范大學(xué) 軟件學(xué)院,福州 350007)

基于DES加解密技術(shù)的電子文檔訪問(wèn)控制方法①

黃林昊1,江 晨2,金 彪2

1(福建廣播電視大學(xué) 電子信息與計(jì)算機(jī)系,福州 350007)

2(福建師范大學(xué) 軟件學(xué)院,福州 350007)

電子文檔的在線閱覽已經(jīng)非常普遍.付費(fèi)用戶可以下載文檔或在線閱讀文檔的全部?jī)?nèi)容,而普通用戶則只允許預(yù)覽有限的內(nèi)容.通過(guò)這種方式可以在一定程度上實(shí)現(xiàn)對(duì)電子文檔使用范圍的控制.但該方式的不足在于,付費(fèi)用戶下載文檔后,可以隨意將下載的文檔轉(zhuǎn)發(fā)給他人.因而,如何在文檔被下載后依然能對(duì)其使用范圍進(jìn)行限制,從而更好地實(shí)現(xiàn)版權(quán)保護(hù),值得研究和摸索.本課題重點(diǎn)研究電子文檔的線上線下訪問(wèn)控制方法:通過(guò)對(duì)注冊(cè)用戶權(quán)限的限制實(shí)現(xiàn)電子文檔的線上訪問(wèn)控制,基于DES加解密等技術(shù)控制下載文檔的線下使用范圍.實(shí)驗(yàn)結(jié)果表明,本文所提出的基于DES加解密技術(shù)的電子文檔線上線下訪問(wèn)控制方法,能夠更加有效地對(duì)電子文檔的訪問(wèn)權(quán)限進(jìn)行控制,具有更強(qiáng)的版權(quán)保護(hù)力度.

電子文檔;線上線下;訪問(wèn)控制;DES加解密;版權(quán)保護(hù)

隨著互聯(lián)網(wǎng)技術(shù)日益發(fā)展和計(jì)算機(jī)的普及,越來(lái)越多的互聯(lián)網(wǎng)用戶愿意在開(kāi)放平臺(tái)上發(fā)表小說(shuō)、教程、論文等電子文檔并允許其他指定的用戶群體進(jìn)行訪問(wèn),即實(shí)現(xiàn)一定范圍內(nèi)的信息共享.然而,信息共享大背景下,必然產(chǎn)生訪問(wèn)控制和版權(quán)保護(hù)問(wèn)題.某些特殊文檔的制作者或發(fā)表者通常僅允許小范圍的局部共享而非完全公開(kāi).遺憾的是,一旦文檔所有者將文檔上傳至各大分享平臺(tái),如百度文庫(kù)、微盤等,文檔的所有權(quán)和控制權(quán)即被分離.

為了實(shí)現(xiàn)對(duì)電子文檔的訪問(wèn)控制,目前許多文庫(kù)網(wǎng)站主要通過(guò)要求用戶購(gòu)買虛擬貨幣(或其它付費(fèi)手段)的方式來(lái)控制文檔的使用范圍.付費(fèi)用戶即可下載相應(yīng)的文檔.這類做法可以在一定程度上對(duì)文檔的使用范圍進(jìn)行控制,然一旦付費(fèi)用戶將文檔下載本地后,該文檔即可被隨意復(fù)制和轉(zhuǎn)發(fā).以國(guó)內(nèi)大型在線文檔分享網(wǎng)站百度文庫(kù)為例,其更多的是在線上對(duì)用戶操作進(jìn)行限制,即在提供給用戶在線查看的同時(shí),限制用戶線上的閱讀頁(yè)數(shù),用戶使用虛擬貨幣(上傳文檔或者其他活動(dòng)可以賺取貨幣財(cái)富值)購(gòu)買文檔后可以下載文檔.但是其對(duì)下載后的文檔并沒(méi)有進(jìn)行嚴(yán)密的線下文件保護(hù)[1].

也有相當(dāng)一部分的網(wǎng)站已經(jīng)開(kāi)始加強(qiáng)版權(quán)保護(hù).國(guó)外的大型電商網(wǎng)站亞馬遜,在對(duì)待版權(quán)問(wèn)題上相當(dāng)慎重.用戶購(gòu)買的書籍必須是官方書店中的正版modi或者PDF格式,而且需要將書籍導(dǎo)入到kindle中才可以閱覽,無(wú)法將書籍復(fù)制或者轉(zhuǎn)發(fā)給他人看[2].

為了更有效地保護(hù)文檔所有者的權(quán)益,更有力地實(shí)現(xiàn)版權(quán)保護(hù),針對(duì)電子文檔線上線下訪問(wèn)控制研究就顯得尤為重要.本文結(jié)合DES加密技術(shù),設(shè)計(jì)一種電子文檔訪問(wèn)控制方法,實(shí)現(xiàn)了一套電子文檔分享及訪問(wèn)控制平臺(tái)(為了便于后續(xù)描述,將該控制平臺(tái)簡(jiǎn)稱為EDSC平臺(tái)),旨在同時(shí)實(shí)現(xiàn)對(duì)電子文檔的線上線下訪問(wèn)控制.

1 相關(guān)技術(shù)介紹

1.1 文件格式轉(zhuǎn)換

目前已有的支持在線閱讀的文庫(kù)網(wǎng)站,其主要支持的書籍和文檔格式為Word、Txt、PDF三大類.

三者相比而言,PDF格式更具優(yōu)勢(shì):首先,用戶無(wú)法隨意更改PDF格式文件的內(nèi)容,因此可以更為有效的保護(hù)文檔內(nèi)容;其次,PDF文件擁有更好的用戶閱讀體驗(yàn);再者,PDF文件更加易于拆分,從而能夠更加有效地限定在線預(yù)覽的范圍(頁(yè)數(shù)).鑒于上述原因,本系統(tǒng)決定在線上預(yù)覽采用PDF格式,用戶上傳的文檔無(wú)論是txt或doc格式的文檔都將在后臺(tái)被自動(dòng)轉(zhuǎn)換為PDF格式,并進(jìn)行分頁(yè)拆分.

Word文件轉(zhuǎn)換成 pdf文件可以通過(guò)調(diào)用Document對(duì)象的ExportAsFixedFormat方法實(shí)現(xiàn),調(diào)用方式為 Dispatch.call(doc,"ExportAsFixedFormat", pdfFullPath,wdFormatPDF);txt文件轉(zhuǎn)換成pdf較前者稍顯復(fù)雜,核心代碼如下.

通過(guò)判斷用戶是否購(gòu)買進(jìn)而賦予不同的操作權(quán)限,購(gòu)買用戶可以在線預(yù)覽整個(gè)文件的內(nèi)容,而沒(méi)有未購(gòu)買的用戶則只能預(yù)覽部分限定的內(nèi)容.

1.2 基于客戶端解密閱讀方式的實(shí)現(xiàn)分析

DES加解密[3]是一種對(duì)稱加密算法,具有較高的安全性,其有三個(gè)入口參數(shù),即Key、Data和Mode,其中Key和Data均為64位,分別是DES算法的工作密鑰以及要被加密或被解密的數(shù)據(jù),Mode為DES的工作方式(加密或解密).該算法使用64位密鑰將64位的明文輸入塊轉(zhuǎn)換成64位的密文輸出塊,并把輸出分為L(zhǎng)0和R0兩部分,每部分各長(zhǎng)32位.

文獻(xiàn)[4]將DES算法的實(shí)現(xiàn)與文件加密相結(jié)合,通過(guò)應(yīng)用程序選擇并且導(dǎo)入文件從而獲得文件流,接著將載入的文件流利用DES算法進(jìn)行加密處理,最后得到整個(gè)文件的加密輸出.在打開(kāi)文件時(shí),如果導(dǎo)入的是加密文件流,則使用DES解密算法進(jìn)行解密得到明文.文獻(xiàn)[5]的研究表明,以客戶端程序的形式對(duì)文件進(jìn)行解密操作是可行的.本文使用Java SDK中封裝好的相關(guān)庫(kù)函數(shù)以及自行編寫的相關(guān)用戶函數(shù),實(shí)現(xiàn)了DES加解密算法,核心代碼如下所示.電子文檔被下載時(shí)會(huì)利用DES加密算法對(duì)其進(jìn)行加密處理,下載得到的加密文件在客戶端打開(kāi)時(shí),則相應(yīng)地使用DES解密算法進(jìn)行解密.同時(shí),為了防止用戶把解密得到的文檔內(nèi)容復(fù)制到他人計(jì)算機(jī)或者將自己的賬號(hào)密碼借用給他人,客戶端程序?qū)?duì)用戶計(jì)算機(jī)的Mac地址進(jìn)行綁定和校驗(yàn).

2 EDSC平臺(tái)概述

平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)過(guò)程中主要涉及到對(duì)Java SDK、MyEclipse、Visual Studio 2012、HTML+CSS[6-9]等軟件或技術(shù)的使用.

EDSC平臺(tái)主要由用于線上訪問(wèn)控制的web平臺(tái)以及用于線下訪問(wèn)控制的客戶端軟件構(gòu)成.線上文件保護(hù)的Web平臺(tái)主要功能包括:允許文檔擁有者以對(duì)上傳文檔設(shè)置是否免費(fèi)或標(biāo)價(jià);對(duì)上傳的文檔進(jìn)行文檔預(yù)覽范圍的限制;對(duì)上傳文件進(jìn)行格式轉(zhuǎn)換(word格式轉(zhuǎn)為PDF),進(jìn)而提供在線預(yù)覽;對(duì)被下載的文件進(jìn)行加密處理;用戶可以收藏和評(píng)論電子文檔.線下文件保護(hù)的客戶端軟件主要實(shí)現(xiàn)功能包括:對(duì)用戶賬號(hào)密碼進(jìn)行校驗(yàn);向服務(wù)端提供用戶的MAC地址,保證閱讀文檔機(jī)器的唯一性,防止復(fù)制和傳輸文檔導(dǎo)致的侵權(quán)問(wèn)題;對(duì)從web平臺(tái)下載的文檔進(jìn)行解密處理,并且在客戶端上顯示.圖1為EDSC平臺(tái)的體系結(jié)構(gòu)圖.

值得說(shuō)明的是,若考慮硬件設(shè)備投入成本的限制,方案中的加密服務(wù)器以及解密服務(wù)器所執(zhí)行的操作,可以分別集成到web服務(wù)端與線下客戶端.

對(duì)于注冊(cè)且已付費(fèi)用戶而言,其可以選擇在線閱讀文檔的全部?jī)?nèi)容,亦可以選擇下載文檔;對(duì)于未注冊(cè)或已注冊(cè)但未付費(fèi)的用戶而言,其只被允許在線預(yù)覽文檔所有者事先設(shè)定的部分內(nèi)容.表1簡(jiǎn)述了EDSC平臺(tái)的核心功能模塊,圖2為EDSC平臺(tái)操作的整體數(shù)據(jù)流圖.

圖1 EDSC平臺(tái)體系結(jié)構(gòu)圖

表1 EDSC平臺(tái)核心功能模塊簡(jiǎn)述

圖2 EDSC平臺(tái)操作數(shù)據(jù)流圖

文檔被下載至本地計(jì)算機(jī)時(shí),當(dāng)前下載用戶的相關(guān)信息(用戶名、計(jì)算機(jī)MAC地址等)以及文檔加密時(shí)所采用的隨機(jī)值均會(huì)被記錄.其目的在于,便于以后的解密和身份校驗(yàn).當(dāng)解密服務(wù)器集成到線下客戶端時(shí),可以保證被下載的文檔只能由本平臺(tái)的客戶端進(jìn)行解密和顯示.

3 EDSC平臺(tái)核心功能設(shè)計(jì)

3.1 保證秘鑰唯一性

對(duì)于任何一種加解密算法而言,秘鑰都是十分重要的.如圖1所示,本文在使用DES算法時(shí),以(x, y, z)的組合鍵來(lái)生成秘鑰.其中,x表示用戶名(本平臺(tái)不允許同一個(gè)用戶名重復(fù)注冊(cè)),y為用戶密碼, z則是一個(gè)以文檔被下載時(shí)間t為基數(shù)產(chǎn)生的隨機(jī)值.

用戶名的唯一性,再加上隨機(jī)值z(mì)的參與,不僅使得不同用戶的秘鑰不一樣,而且還能確保同一個(gè)用戶的不同文檔的操作秘鑰也不相同,進(jìn)而可以更加有效地保證了加(解)密秘鑰的唯一性.獲取時(shí)間t并以此為基數(shù)產(chǎn)生隨機(jī)數(shù)的核心代碼如下所示.

此后,(x, y, z)將被組合成一個(gè)字符串,傳遞給自定義函數(shù)getKey(),最終產(chǎn)生加(解)密秘鑰.

3.2 電子文檔上傳

文檔擁有者可以將自己的作品上傳到web平臺(tái),并對(duì)自己的作品進(jìn)行描述和價(jià)格標(biāo)定.Web平臺(tái)對(duì)上傳的文件格式進(jìn)行限制,目前只支持txt、word和pdf格式.圖3為該功能模塊的時(shí)序圖.

圖3 電子文檔上傳時(shí)序圖

用戶進(jìn)入上傳界面,選擇需要上傳的文件并填寫文件相關(guān)信息后,進(jìn)行提交.此后,前臺(tái)數(shù)據(jù)會(huì)通過(guò)struts2的文件上傳模塊傳入電子文檔信息處理類,由處理類負(fù)責(zé)把用戶的輸入信息利用hibernate進(jìn)行封裝后,通過(guò)數(shù)據(jù)庫(kù)接口將文檔信息存入mysql數(shù)據(jù)庫(kù),同時(shí)將上傳文件保存在服務(wù)端的指定位置.如前文所述,文件上傳成功后,平臺(tái)會(huì)自動(dòng)調(diào)用文件格式轉(zhuǎn)換函數(shù),將用戶所上傳的非PDF格式文檔轉(zhuǎn)換成相應(yīng)的PDF格式[10].

圖4 在線預(yù)覽界面

3.3 下載加密

對(duì)于已經(jīng)付費(fèi)的用戶,Web平臺(tái)開(kāi)放下載權(quán)限,其可以在電子文檔信息界面中進(jìn)行下載.被下載文件將會(huì)被執(zhí)行加密操作.加密秘鑰產(chǎn)生過(guò)程如3.1節(jié)所述,圖5為文件下載加密的時(shí)序圖.

圖5 下載加密時(shí)序圖

值得說(shuō)明的是:1)在文檔被下載的同時(shí),用戶當(dāng)前計(jì)算機(jī)的MAC地址將會(huì)被記錄;2)被下載的加密文檔只有使用EDSC平臺(tái)的線下客戶端并具備的一定的條件(將在3.4節(jié)進(jìn)行細(xì)述)才可以被正常打開(kāi)和顯示.

3.4 線下客戶端解密

為了防止付費(fèi)用戶把下載文檔解密后發(fā)送或者復(fù)制到他人的計(jì)算機(jī),本文采用線下客戶端校驗(yàn)的方法進(jìn)行相應(yīng)處理:1)權(quán)限校驗(yàn)---用戶打開(kāi)客戶端后,需要輸入用戶名和密碼并通過(guò)服務(wù)端的校驗(yàn)后,客戶端方可執(zhí)行解密操作;2)Mac地址校驗(yàn)---用戶在打開(kāi)客戶端后,客戶端會(huì)自動(dòng)發(fā)送用戶的mac地址到服務(wù)端,與之前(第一次)存儲(chǔ)的客戶端mac地址進(jìn)行匹配,若不匹配,則解密失敗.

由上述非線性瞬態(tài)響應(yīng)分析及動(dòng)力學(xué)仿真結(jié)果可知，車輛在140 km/h的運(yùn)行速度范圍內(nèi)，非線性沖擊動(dòng)態(tài)間隙向上最大變化值Zi為8.0 mm，向下最大變化值Zi為8.5 mm，隨機(jī)響應(yīng)動(dòng)態(tài)間隙最大變化值Zr為11.7 mm?？罩剀囈幌奠o撓度變化Zs可由空重車載重變化及一系垂向剛度計(jì)算得到，其值為21.2 mm。

鑒于上述處理,只有同時(shí)滿足權(quán)限校驗(yàn)和mac地址校驗(yàn)的用戶才可以正常打開(kāi)從web端下載的加密文檔,從而保證下載的文檔只能由一個(gè)用戶的某一臺(tái)設(shè)備查看.圖6為客戶端解密的時(shí)序圖,圖7和圖8則分別為正常解密和解密失敗時(shí)客戶端的顯示效果.

此外,為了進(jìn)一步保證下載解密并在客戶端顯示的文檔內(nèi)容不被外傳,本文還在客戶端操作界面上禁用了所有的鼠標(biāo)右鍵操作,禁用了 Ctrl+C、PrintScreen、Alt+PrintScreen等按鍵或組合鍵的操作,并利用Hook技術(shù)對(duì)用戶可能的截屏操作進(jìn)行了監(jiān)聽(tīng),例如QQ截圖常用的Ctrl+Alt+A組合鍵等.

圖6 客戶端解密時(shí)序圖

圖7 客戶端成功解密

圖8 客戶端解密失敗

4 總結(jié)與展望

為了從線上和線下兩個(gè)階段對(duì)電子文檔(共享文檔)的訪問(wèn)權(quán)限進(jìn)行控制,本文利用DES加解密等技術(shù)設(shè)計(jì)實(shí)現(xiàn)了一個(gè)web和桌面應(yīng)用項(xiàng)結(jié)合的版權(quán)保護(hù)方案EDSC平臺(tái).線上訪問(wèn)控制采用與同類作品相類似的做法,即通過(guò)要求用戶進(jìn)行注冊(cè)并付費(fèi)來(lái)限制文檔的使用范圍,不同之處在于,線上web平臺(tái)會(huì)利用DES加密技術(shù)對(duì)被下載的文檔的加密處理;線下訪問(wèn)控制則基于DES解密技術(shù)、Hook技術(shù)、Scoket通信技術(shù)[11-15]等開(kāi)發(fā)了特定的客戶端,用于完成用戶身份校驗(yàn)以及對(duì)下載的加密文檔進(jìn)行解密和顯示等操作.為了更好地控制文檔的使用范圍,本文還嘗試了對(duì)所有可能的傳播方式進(jìn)行的禁用.

平臺(tái)的主要局限在于:1)只允許付費(fèi)用戶在第一次下載并成功解密并顯示的計(jì)算機(jī)上線下閱讀文檔,如果其想在個(gè)人不同的計(jì)算機(jī)上進(jìn)行閱讀,需要向服務(wù)器申請(qǐng)解除MAC地址綁定,為了防止頻繁更換計(jì)算機(jī),EDSC平臺(tái)也對(duì)解綁申請(qǐng)的次數(shù)進(jìn)行了限定;2)平臺(tái)的線下客戶端目前僅針對(duì)PC端進(jìn)行開(kāi)發(fā),尚不支持在移動(dòng)平臺(tái)對(duì)從web下載的加密文檔進(jìn)行閱讀;3)雖然本文已從最大可能上做到了訪問(wèn)控制,阻止文檔的非法外傳,但是仍不能做到百分百的阻止,例如用戶可以對(duì)解密顯示的內(nèi)容進(jìn)行拍照后發(fā)給他人等.

鑒于上述分析,本文后續(xù)工作將主要考慮新的身份校驗(yàn)方案,針對(duì)移動(dòng)平臺(tái)開(kāi)發(fā)響應(yīng)客戶端以及思考關(guān)于其他文檔非法擴(kuò)散途徑的應(yīng)對(duì)辦法等.

1龔倍倫.論電子書之版權(quán)保護(hù)與限制—兼議亞馬遜電子書刪除事件.電子知識(shí)產(chǎn)權(quán),2010,(1):74–77.

2田燕.高校圖書館在數(shù)字化文庫(kù)建設(shè)中的版權(quán)角色與版權(quán)管理—結(jié)合“百度文庫(kù)”相關(guān)版權(quán)糾紛案件的分析.圖書館, 2015,(10):84–87.

3常峰,于良玉.DES數(shù)據(jù)加密和解密技術(shù).信息與電腦:理論版, 2015,(11):106–107.

4周文婷,馬鳳偉,孔慶.基于DES算法的文件加密系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).計(jì)算機(jī)安全,2012,(7):13–16.

5馮黎明.文件自適應(yīng)加密解密系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn).技術(shù)與市場(chǎng), 2016,(1):90.

6胡峴,易曉東,戴華東.一種HTML5云文件系統(tǒng).網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2012,(11):65–68.

7易昌華.HTML5發(fā)展趨勢(shì)的研究和探索.價(jià)值工程,2012, 31(36):314–315.

8張俊杰.淺談HTML5的技術(shù)革新.科技視界,2012,(18): 185–186.

9 Frain B.Responsive web design with HTML5 and CSS3. Packt Publishing Limited,2012.

10扈小燕,劉培洵,劉力強(qiáng).將Word文檔自動(dòng)轉(zhuǎn)換成PDF格式的編程實(shí)現(xiàn).計(jì)算機(jī)與現(xiàn)代化,2012,(2):187–189.

11 Pizano E,Rohatgi R.System and Method for Biometrically Secured,Transparent Encryption and Decryption.US, US8627106.2014.

12 Mccarty RJ.Computer Program Products and Systems for Transparent Data Encryption and Decryption.US,US 7743403 B2.2010.

13 Black W,Price K.Systems and Methods for Transparent Per-File Encryption and Decryption Via Metadata Identification.US20140258720.2014.

14 Winslow RN.Assent to Conditions for Network Access.US, US 8826384 B2.2014.

15任小強(qiáng),陳金鷹,李文彬,胡波.網(wǎng)絡(luò)通信之Java Socket多線程通信.信息通信,2015,(6):206–207.

Method for Electronic Documents’Access Control Based on DES

HUANG Lin-Hao1,JIANG Chen2,JIN Biao2

1(Department of Electronic Information and Computer Science,The Open University of Fujian,Fuzhou 350007,China)
2(Faculty of Software,Fujian Normal University,Fuzhou 350007,China)

Online reading of electronic documents has been very common.Documents could be downloaded or their full content could be read online by those users who have paid for them,while limited content could be previewed by the common users.By this way,documents’owners can realize the control of the use of electronic documents to a certain extent.But there are imperfections in the way.If one user has pay for the documents and downloaded them,he or she could send them to others without any restriction.Therefore,in order to achieve better copyright protection,it is worthy of study and exploring access control method on how to still make some restrictions on documents when they are downloaded.This paper focuses on the method for making some access restrictions on the electronic documents both online and offline.For online documents,access restrictions would be done on registered users,while DES encryption and decryption is used for controlling the downloaded documents.Experimentations show that the proposed method based on DES encryption and decryption technology could control the access to electronic documents more efficiently and give a stronger force on copyright protection.

electronic documents;online and offline;access control;DES encryption and decryption;copyright protection

省教育廳A類資助項(xiàng)目(JA14091,JA14087)

2016-08-16;收到修改稿時(shí)間:2016-09-18

10.15888/j.cnki.csa.005731