基于区域限制的电子文件传播控制方法及其系统

1.一种电子文件系统，其特征在于包括：
区域判断装置，用于判断所述电子文件系统当前所在的位置；
显示播放控制装置，用于控制所述电子文件系统中电子文档显示或播放状态；
电子文档，封装在所述电子文件系统内部，由所述显示播放控制装置决定其显示或播放的状态；
所述区域判断装置与所述显示播放控制装置相连接，当所述电子文件系统当前所在的位置不在预先确定的局域网范围内时，通知所述显示播放控制装置拒绝所述电子文档的显示或播放。
2.如权利要求1所述的电子文件系统，其特征在于：
所述电子文件系统中还包括用于在指定的时间点触发所述区域判断装置和显示播放控制装置的定时装置；
所述定时装置分别与所述区域判断装置和所述显示播放控制装置相连接。
3.如权利要求1所述的电子文件系统，其特征在于：
所述电子文件系统中还包括用于防止使用者复制操作的复制防止装置。
4.如权利要求2或3所述的电子文件系统，其特征在于：
所述定时装置与所述复制防止装置相连接。
5.一种基于区域限制的电子文件传播控制系统，其特征在于：
所述电子文件传播控制系统包括至少一个区域服务器，多个与所述区域服务器连接的终端设备，所述终端设备中存放如权利要求1所述的电子文件系统；
所述区域服务器与所述终端设备进行连接，所述电子文件系统中的区域判断装置通过所述终端设备与所述区域服务器进行通信；
所述区域服务器通过所述终端设备的设备标识符和当前接入地址来判断该终端设备是否为处于预先确定的局域网范围内的有效设备。
6.一种基于区域限制的电子文件传播控制方法，基于如权利要求1所述的电子文件系统和权利要求5所述的电子文件传播控制系统实现，其特征在于：
首先将需要保护的电子文档封装在电子文件系统之中，
所述电子文档的内容需要被显示或播放时，所述电子文件系统中的显示播放控制装置首先向区域判断装置发出要求确认存放所述电子文件系统的终端设备当前所处的位置的请求；
所述终端设备与区域服务器连接之后，所述区域服务器通过所述终端设备的设备标识符和当前接入地址确认其为处于预先确定的局域网范围内的有效设备后，向其发送一个随机数；
所述区域判断装置通过所述终端设备向区域服务器发出区域认证请求，所述区域认证请求中包含所述设备标识符、当前接入地址信息和所述随机数；
所述区域服务器通过所述设备标识符、当前接入地址来判断该终端设备是否为处于预先确定的局域网范围内的有效设备，并同时核对所述随机数是否与所述区域服务器事先发放的随机数相同，如果相同则发回确认所述终端设备在预先确定的局域网范围内的响应，否则拒绝发回响应；
所述区域判断装置在收到所述区域服务器发回的确认所述终端设备在预先确定的局域网范围内的响应后，通知所述显示播放控制装置显示或播放所述电子文件的内容，否则拒绝对所述电子文件的显示或播放请求。
7.如权利要求6所述的基于区域限制的电子文件传播控制方法，其特征在于：
所述区域服务器与所述终端设备之间的信息传送都使用对方的公钥加密，并用自己的私钥签名后再打包传送。
8.如权利要求6所述的基于区域限制的电子文件传播控制方法，其特征在于：
所述电子文档在显示或播放时，通过所述电子文件系统中的复制防止装置禁止使用者对文档内容的任何复制操作。
9.如权利要求6所述的基于区域限制的电子文件传播控制方法，其特征在于：
所述电子文件系统中还包括定时装置，所述定时装置定时发出要求所述显示播放控制装置检验来自所述区域判断装置的判断结果的指令。
10.如权利要求9所述的基于区域限制的电子文件传播控制方法，其特征在于：
所述电子文档正在显示或播放时，如果所述区域判断装置判断装载所述电子文件系统的终端设备已经离开合法使用区域，则通知所述显示播放控制装置；
所述显示播放控制装置可以提示用户在指定时间内返回合法使用区域，否则到期将关闭所述电子文档的显示或播放；也可以直接关闭正在显示或播放的电子文档。

技术领域\n本发明涉及一种能够有效控制电子文件使用和传播范围的方法及其系统，尤其涉及一种对诸如文档、图片、音视频片段等易于通过网络传输的电子文件，将其使用和传播的范围限制在特定区域内的方法及其系统，属于信息安全技术领域。\n背景技术\n在当今的信息时代，信息资源作为企业无形资产的核心组成部分，其重要性正在日益提升。信息资源的载体是各种类型的电子文件，例如文档文件(文件名后缀为.doc)、图片文件(文件名后缀为.jpg)和视频片段文件(文件名后缀为.wmv)等。这些电子文件很容易被复制和传播。另外，为了数据共享和工作协同的需要，负责管理电子文件的信息系统大都采用开放式的操作系统和网络协议，存在先天的安全隐患。如果没有相应的使用和传播控制机制，载有商业秘密和/或技术秘密的电子文件很容易出现泄密的情况。因此，保护电子文件的私密性、完整性、真实性和可靠性已经成为企业和政府部门最优先的需求之一。\n为了满足上述的现实需求，人们提出了多种技术解决方案。数字权限管理(Digital Right Management，简称DRM)就是其中典型的一例。通过DRM技术，可以只对指定的用户设备和文件进行捆绑式的使用授权。这样，文件只有在指定设备中才被授权使用。换句话说，DRM技术是基于设备固有信息实现的。但是，这种基于设备固有信息实现的安全认证机制仍然存在很多的安全漏洞。例如使用者可以将载有机密内容的文件连同指定设备(例如笔记本电脑)一起携带出特定的安全区域，在安全区域外进行文件的非法传播。这种泄密的行为无法通过DRM技术得到有效解决。\n在实践中，将电子文件的使用和传播范围限制在特定区域内是有必要的，例如对于载有商业秘密和/或技术秘密的电子文件而言，当其在办公区域内被阅读、传播等都应该是被允许的，但其一旦被携带(或者复制)到其它地方，例如家中。为了安全起见，该文件的内容就应该是不可见的，即使该文件依然存放在具有合法阅读权限的用户设备中也是如此。对于某些高度依赖信息安全控制的企业或者政府部门而言，这种将高敏感性文件的使用范围限制在特定空间区域如办公大楼中的技术将是十分有用的。\n目前，有利用GPS信息来实现空间区域安全认证的技术方案。但是，实际的办公空间往往不像一个方盒子那样具有确定的长、宽、高，因此单纯依赖GPS信息来确定安全区域的准确边界，实际操作中仍然会遇到较多的困难。同时，该技术方案也不能从根本上解决敏感文件非法传播的问题。\n在中国发明专利申请“一种电子文档的许可认证方法和系统”(公开号：CN1818919A)中，公开了一种电子文档的许可认证方法和系统，它能方便地在任何地点阅读受保护的电子文档，也保证在未授权时电子文档不能被阅读。本发明的技术方案为：用户将绑定有受保护的电子文档的便携式硬件设备连接在计算机上成为一客户端，该便携式硬件设备具有唯一的硬件特征，用户通过计算机输入用户标记，该客户端将硬件特征、输入的用户标记和该电子文档标识号提交至服务器，服务器上存储了授权便携式硬件设备的硬件特征、授权用户的用户标记、绑定的电子文档标识号和授权许可之间的关联映射集合，在集合中匹配查找以验证是否存在客户端对应的授权许可，若存在则授予该用户阅读权限，否则锁住阅读权限。\n在中国发明专利“访问控制系统”(授权公告号：CN1284088C)中，介绍了一种访问控制系统。当终端用户的客户机设备由另一设备请求直接传送存储在该客户机设备中的数据时，确定能否访问该数据。访问控制系统包括客户机设备和服务器。服务器以可通信方式连接至客户机设备，并管理包含哪个数据能被访问的访问管理列表。服务器包括访问允许禁止判定单元，可运行以在响应数据访问查询时，参考访问管理列表确定数据能否访问并发送判定结果。客户机设备包括访问允许禁止查询单元和数据传输单元。当其它设备请求该客户机设备直接传输数据时，向访问允许禁止判定单元给出能否访问数据的查询。当从访问允许禁止判定单元接收的判定结果指示能访问数据时，数据传输单元直接向其它设备传输所请求的数据。\n发明内容\n本发明所要解决的问题是提供一种基于区域限制的电子文件传播控制方法及其系统。该方法及其系统能够有效地将电子文件的使用和传播范围限制在特定的区域之中。一旦离开该区域，该电子文件将无法被使用。\n为实现上述的发明目的，本发明采用下述的技术方案：\n一种电子文件系统，其特征在于包括：\n区域判断装置，用于判断所述电子文件系统当前所在的位置；\n显示播放控制装置，用于控制所述电子文件系统中电子文档显示或播放状态；\n电子文档，封装在所述电子文件系统内部，由所述显示播放控制装置决定其显示或播放的状态；\n所述区域判断装置、所述显示播放控制装置和所述电子文档封装在一起，对外显示为一个单独的电子文件；\n所述区域判断装置与所述显示播放控制装置相连接，当所述电子文件系统当前所在的位置不在预先确定的局域网范围内时，通知所述显示播放控制装置拒绝所述电子文档的显示或播放。\n所述电子文件系统中还包括防止使用者复制操作的复制防止装置。\n所述电子文件系统中还包括用于在指定的时间点触发所述区域判断装置和显示播放控制装置的定时装置；\n所述定时装置分别与所述区域判断装置、显示播放控制装置和复制防止装置相连接。\n一种基于区域限制的电子文件传播控制系统，包括至少一个区域服务器，多个与所述区域服务器连接的终端设备，所述终端设备中存放有上述的电子文件系统；\n所述区域服务器与所述终端设备进行连接，所述电子文件系统中的区域判断装置通过所述终端设备与所述区域服务器进行通信；\n所述区域服务器通过所述终端设备的设备标识符和当前接入地址来判断该终端设备是否为处于预先确定的局域网范围内的有效设备。\n一种基于区域限制的电子文件传播控制方法，基于上述的电子文件系统和电子文件传播控制系统实现，其特征在于：\n首先将需要保护的电子文档封装在电子文件系统之中，\n所述电子文档的内容需要被显示或播放时，所述电子文件系统中的显示播放控制装置首先向区域判断装置发出要求确认存放所述电子文件系统的终端设备当前所处的位置的请求；\n所述终端设备与区域服务器连接之后，所述区域服务器通过所述终端设备的设备标识符和当前接入地址确认其为处于预先确定的局域网范围内的有效设备后，向其发送一个随机数；\n所述区域判断装置通过所述终端设备向区域服务器发出区域认证请求，所述区域认证请求中包含所述设备标识符、当前接入地址信息和所述随机数；\n所述区域服务器通过所述设备标识符、当前接入地址来判断该终端设备是否为处于预先确定的局域网范围内的有效设备，并同时核对所述随机数是否与所述区域服务器事先发放的随机数相同，如果相同则发回确认所述终端设备在预先确定的局域网内的响应，否则拒绝发回响应；\n所述区域判断装置在收到所述区域服务器发回的确认所述终端设备在预先确定的局域网范围内的响应后，通知所述显示播放控制装置显示或播放所述电子文档的内容，否则拒绝对所述电子文档的显示或播放请求。\n所述区域服务器与所述终端设备之间的信息传送都使用对方的公钥加密，并用自己的私钥签名后再打包传送。\n所述电子文档在显示或播放时，通过所述电子文件系统中的复制防止装置禁止使用者对文档内容的任何复制操作。\n所述电子文件系统中还包括定时装置，所述定时装置定时发出要求所述显示播放控制装置检验来自所述区域判断装置的判断结果的指令。\n所述电子文档正在显示或播放时，如果所述区域判断装置判断装载所述电子文件系统的终端设备已经离开合法使用区域，则通知所述显示播放控制装置；\n所述显示播放控制装置可以提示用户在指定时间内返回合法使用区域，否则到期将关闭所述电子文档的显示或播放；也可以直接关闭正在显示或播放的电子文档。\n利用本发明所提供的电子文件传播控制方法及其系统，可以使电子文件仅在规定区域内被使用。在本方法所限定的区域内，电子文件的正常使用和传播不会受到影响，而一旦离开该限定区域，电子文件在任何设备上都无法被使用。因此，非法复制和传播该电子文件也就失去了意义。\n附图说明\n下面结合附图和具体实施方式对本发明作进一步的说明。\n图1为本发明中，将电子文档封装在“容器”系统中的示意图；\n图2为图1中所示的“容器”系统的内部组成示意图；\n图3为一个包含区域服务器和若干终端设备的电子文件传播控制系统的拓扑结构框图。\n图4为电子文档在使用前，相关区域认证请求在终端设备与区域服务器之间进行传递的时序图。\n具体实施方式\n参见图1所示，本发明的基本实现思路是将需要进行加密处理的电子文档单独封装在一个以软件方式实现的虚拟“容器”系统(即电子文件系统)中。封装在“容器”系统中的电子文档未经特别的技术处理不能被取出。所有针对该电子文档的操作都必须通过该“容器”系统进行。这样就可以利用“容器”系统中的安全设置对电子文档进行保护。\n在此需要说明的是，本发明中的电子文档只是载有信息内容的数字化文件的统称。根据具体应用场合的不同，可以是Word格式文件、JPG格式文件或者可播放的媒体文件如wmv格式文件等。在下文中，为了使行文简洁，电子文档统指进行封装加密处理之前的数字化文件，而电子文件统指进行封装加密处理之后，包括电子文档在内的整个“容器”系统。\n由于电子文档封装在一个单独设置的“容器”系统中。该“容器”系统对外显示为一个单独的电子文件，并可以采用与原电子文档完全一样的图标，因此使用者在合法使用区域内，正常的使用操作不会受到任何的影响，使用者甚至感觉不出该电子文件是经过封装处理过的“容器”系统。当然，也可以对该“容器”系统的文件赋予不同于原电子文档的图标，或者在显示文档内容时赋予特殊的显示特性，如加密过的PDF文件在显示时提示用户的那样。\n参见图2所示，该“容器”系统(即电子文件系统)包括：\n区域判断装置，用于判断电子文件当前所在的位置；\n显示播放控制装置，用于控制电子文件显示或播放状态；\n复制防止装置，用于防止使用者可能的复制操作如“拷屏”操作等；\n定时装置，用于在预定的时间点触发上述的区域判断装置和显示播放控制装置。\n其中，区域判断装置与显示播放控制装置相连接，定时装置分别与上述的区域判断装置、显示播放控制装置和复制防止装置进行连接。\n在使用时，区域判断装置首先实时进行电子文件当前所在位置的判断，并将判断结果告知显示播放控制装置。显示播放控制装置根据判断结果来决定是否允许电子文档的内容进行显示(或播放)。如果在预先指定的区域内，则电子文档的内容正常对外显示(或播放)，用户的使用不会受到任何的影响；如果不在预先指定的区域内，则电子文档的内容将不能对外显示(或播放)。\n复制防止装置随时需要发挥作用。无论是否在合法使用区域内，都要禁止使用者进行任何形式的文本复制操作。当然，“拷屏(PrintScreen)”等能够起到内容复制效果的操作也是要被禁止的。\n定时装置定时发出要求显示播放控制装置检验来自区域判断装置的判断结果的指令。在电子文件处于合法使用区域之中时，该定时装置的作用主要体现在后台，使用者往往感觉不到该定时装置的存在。但一旦电子文件所在的位置发生变动时，定时装置就将在前台发挥作用。例如在实践中，电子文件往往是在笔记本电脑等便于移动的显示设备上显示(或播放)，很有可能出现用户携带着正在显示电子文件内容的笔记本电脑，在合法使用区域内外穿梭的情况。一旦出现这种情况，有必要立即调整电子文件的显示(或播放)状况。此时，定时装置可以每隔1分钟或者30秒要求显示播放控制装置确认来自区域判断装置的判断信息。如果区域判断装置传来的信息是该电子文件已经离开了合法使用区域，则显示播放控制装置可以在计算机屏幕上显示提示信息，要求使用者立即返回合法使用区域，否则在一段时间后将关闭电子文件的显示或播放；也可以直接关闭正在显示或播放的电子文件。\n需要特别予以说明的是，本发明中的“区域”不是一个地理概念，而应该被理解为是一个具有安全认证机制的局域网。该局域网是包括若干经过授权的终端设备和区域服务器及预先设定的接入点(接入地址)连接而成的虚拟空间。参见图3所示，在这个虚拟空间中，包括至少一个区域服务器(N1)和若干用于显示电子文件的终端设备(D1、D2等)。这里的终端设备可以是笔记本电脑、PDA、PC机等，区域服务器可以是用于管理上述终端设备的交换机等。它们所组成的网络可以是由铜芯线和光纤等组成的有线局域网，也可以是无线局域网。\n所有经过授权的终端设备都能够知道该区域中区域服务器的名称和URL，以便随时与区域服务器交换信息。如果使用公共密钥机制的话，区域服务器和终端设备都应该能识别所使用的公钥。不同的终端设备被赋予不同的安全权限，从而可以对上述封装在电子文件系统中的电子文档执行不同的操作。这些合法的终端设备之间通过现有的一些安全协议或者加密机制进行相互识别和通信。\n在局域网中，所有合法的终端设备都有一个独一无二的设备标识符。该设备标识符为能唯一标识该设备的编码，如设备ID或者基于硬件的MAC地址等。区域服务器通过终端设备的设备标识符来识别该终端设备是否属于指定区域的设备，并通过终端设备的设备标识符及其当前接入点(接入地址)来识别该终端设备是否处于指定区域。终端设备每次接入该局域网时，区域服务器记录并检查该设备的接入信息如设备标识符以及IP地址等。只有通过检查，确定该终端设备确实属于本地接入并且设备标识符为预先确定的有效设备时，区域服务器才向其发送一个用该设备的公钥加密的最新随机数(该随机数每次接入均重新生成，即使是同一设备再次接入也会有不同的随机数)。另外，区域服务器与终端设备之间的重要信息如该随机数的发送都应当使用对方的公钥加密，用自己的私钥签名后再打包传送。本地的证书和私钥只限于在当前应用中可见。即使是设备的合法用户也无权使用该私钥解开加密数据包读取随机数信息，因此不存在该随机数被任意转发的可能。\n参见图4所示，本发明在实施电子文件传播控制时，采用的也是类似于访问控制的技术思路。只不过本发明所实现的是在终端设备上对某一个进行封装处理后的电子文件的访问控制，该电子文件还可以移出具有安全认证机制的局域网，其安全特性不会受到任何影响；而不是像现有访问控制技术那样，网络系统始终是封闭的，信息资源不能离开特定的安全区域。\n本发明所实现的针对单个电子文件的访问控制是通过上述的区域服务器、终端设备和封装电子文档的电子系统文件共同配合实现的。参见图4所示，该方案包括如下的技术步骤：\n首先，在终端设备Di中的一个经过封装处理的电子文件被要求打开阅读时，电子文件系统中的显示播放控制装置首先向区域判断装置发出要求判断电子文件当前所在位置的请求。区域判断装置接到该请求之后，在Di设备和区域服务器Sj之间启动区域安全认证机制。\nDi设备首先通过安全认证协议向区域服务器Sj发出区域认证请求，该区域认证请求的加密数据包中包含Di设备的设备标识符信息、当前接入点(接入地址)信息以及当前会话所分配的随机数。\n在Di设备和区域服务器Sj之间的安全认证协议可以是现有的任何成熟的认证协议。该协议能被扩展为包含诸如设备标识符和服务器识别符的更多的私有区域信息。本发明人将此处使用的安全认证协议称为区域安全认证协议。在该协议中，区域服务器和终端设备的设备标识符(如果是PKI机制，则为公钥)包含该区域的特定信息，任何人都能够辨别该设备标识符是否属于指定目标区域。\n区域服务器Sj收到区域认证请求之后，根据该区域认证请求中的设备标识符信息及其当前接入点(接入地址)信息判断该Di设备是否处于合法使用区域内，同时核对加密数据包中的随机数是否与自己在当前会话中对该终端设备颁发的随机数相同，只有随机数也相同才能确认该终端设备仍在局域网的范围内。然后基于上述区域安全认证协议向提出区域认证请求的设备发出该设备是否在合法区域内的响应。\nDi设备收到该响应之后，将响应信息转发给电子文件系统中的区域判断装置。由该区域判断装置确认用于显示电子文件的终端设备是否在合法使用区域内。如果在，则通知显示播放控制装置允许该电子文件被打开阅读，否则将拒绝该请求。\n在上述的电子文件被打开之后，定时装置需要定时发出要求确认终端设备还处在合法使用区域内的指令，以确保封装过的电子文件不会在合法使用区域之外被使用和传播。\n需要说明的是，现有的DRM技术也采用了对电子文件进行打包封装的技术思路。但两者不同的是，在DRM技术中仅仅利用阅读设备本身的设备标识符信息来解除电子文件的封装状态，因此无法对阅读设备本身所在的位置进行任何限制。而本发明中，该设备识别符信息仅仅是区域服务器识别是否是合法终端设备的依据。解除对电子文件的封装状态必须依赖于与该终端设备连接的区域服务器的响应信息，而区域服务器作出响应的前提是终端设备的设备标识符、当前接入点(接入地址)和用于验证的随机数都是正确的。这种技术上的不同将使终端设备只能在与区域服务器连接的特定范围(局域网)内使用该电子文件，而区域服务器的连接范围是使用者很容易通过接入地址加以控制的，从而为限制电子文件的使用和传播范围奠定了技术上的基础。\n上面介绍的技术方案可以通过现有的技术来实现。例如区域判断装置的核心技术点在于对终端设备标识符、当前接入地址以及区域服务器响应的识别和管理，而显示播放控制装置和复制防止装置的核心技术点在于对内存的管理和控制。以目前使用较为普遍的Word文档为例，上述的各个功能装置都可以通过微软公司开放的API(应用程序接口)来编程实现。而将文档封装在电子文件中的技术则可以借鉴现有DRM技术的实现思路，在网络的控制层中完成该封装工作，从而确保电子文件的绝对安全。\n上面介绍了本发明所提供的将电子文件的使用和传播范围限制在特定区域内的方法及其系统。对本领域的一般技术人员而言，在不背离本发明实质精神的前提下对它所做的任何显而易见的改动，都将构成对本发明专利权的侵犯，将承担相应的法律责任。