機電與信息工程學院畢業(yè)設(shè)計格式PDF文檔的權(quán)限管理機制

1、摘 要隨著信息化的發(fā)展，目前許多組織的內(nèi)部信息均以電子文檔的形式保存和分發(fā)。而隨著網(wǎng)絡(luò)的發(fā)展和電子文檔的易獲取性，電子文檔的保護已成為各個機構(gòu)的急需解決的問題。隨著各種機構(gòu)對這個問題的關(guān)注，各類相關(guān)產(chǎn)品也應運而生。像國外的產(chǎn)品adobe content server和國內(nèi)的產(chǎn)品北大方正apabi等。電子文檔的保護研究已成為目前的熱點問題之一。本文針對電子文檔的保護問題，著重研究pdf文檔的權(quán)限管理。本課題通過對三種流行的訪問控制機制的分析，吸收它們各自的優(yōu)點，設(shè)計了一種面向數(shù)字版權(quán)管理（digital rights management,drm），適應drm特色的訪問控制模型，并對該模型進行了

2、分析和實現(xiàn) 。本文首先介紹了課題的研究背景和國內(nèi)外現(xiàn)狀，描述了drm的產(chǎn)生及相關(guān)技術(shù)和模型；然后分析了目前的三種訪問控制機制的優(yōu)缺點，根據(jù)pdf文檔權(quán)限管理的實際需要提出將密級管理和角色機制相結(jié)合的訪問控制模型drmrbac；最后對drmrbac模型的實現(xiàn)方法進行了說明，給出了相關(guān)的程序代碼。本課題的研究為pdf文檔保護和訪問控制提供了有意義的借鑒作用，并為用戶提供了一個安全的電子文檔使用環(huán)境。關(guān)鍵詞：電子文檔；訪問控制；權(quán)限管理；信息安全rights management mechanism of pdf documentlin ze-binabstractwith the developm

3、ent of information technology, most of internal information of many organizations are stored and distributed by digital documents. but with the development of network and easy acquirement of digital documents, protection of digital documents has been a ardent problem to be solved by many agencies. d

4、ue to the problem concerned by all kinds of agencies, many related products have been produced, such as foreign adobe content server and domestic founder apabi. research of protection of digital documents has become a focus in recent related researches.concerned on the problem of protection of digit

5、al documents, the paper focuses on the research of access control of pdf. by analyzing the advantages and disadvantages of three current mechanisms of access control, an access control model for drm is designed, which adapts the characteristics of drm. and the model is analyzed and implemented.first

6、ly, research background and status of foreign and civil researches are introduced, and the emergence of drm and related technologies and models are described. secondly, by analyzing the advantages and disadvantages of three current mechanisms of access control, the access control model drmrbac is pr

7、esented, which combines multi-level management with role-based access control according to the actual needs of access control of pdf. finally, implementation of drmrbac model is discussed and program codes are presented. the research provides a value reference to protection and access control of pdf

8、, and provides users with a safe environment for the use of electronic documents.key words：electronic documents; access control; rights management; information security目 錄1. 引言11.1 關(guān)于drm（digital rights management）11.1.1 選題背景11.1.2 選題的意義11.2 國內(nèi)外現(xiàn)狀21.3 研究所包含的內(nèi)容31.3.1 基于角色的訪問控制機制31.3.2 網(wǎng)絡(luò)環(huán)境中系統(tǒng)的兼容性31.3.

9、3 本設(shè)計的創(chuàng)新點32. drm簡述42.1 drm的基本模型（功能模型）42.1.1 傳統(tǒng)模型52.1.2 經(jīng)改進的模型52.1.3 系統(tǒng)組成62.2 基于drm的安全機制62.2.1 電子文檔內(nèi)容的保護機制72.2.2 電子文檔的版權(quán)管理機制73. pdf文檔與drm的綜合運用83.1 pdf文檔標準及特點83.2 pdf文檔在網(wǎng)絡(luò)中的傳輸方式93.3 基于pdf的drm模型簡述94. 基于角色的訪問控制機制124.1 傳統(tǒng)訪問控制模型描述124.1.1 自主訪問控制124.1.2 強制訪問控制124.1.3 基于角色的訪問控制（rbac）134.2 drmrbac訪問控制模型144.2.

10、1 drmrbac基本概念與原則144.2.2 訪問控制策略164.3權(quán)限管理模型174.3.1 用戶角色分配174.3.2 角色權(quán)限分配194.3.3 訪問控制214.4 本設(shè)計的特點224.4.1 優(yōu)點分析224.4.2 缺點與不足235. 模塊的設(shè)計與實現(xiàn)245.1 模塊功能簡述245.2 用戶認證功能255.3 文檔授權(quán)策略管理功能295.4 審計管理功能315.5 權(quán)限綁定與轉(zhuǎn)移服務提供326. 總結(jié)33參考文獻34致 謝35附錄1：用戶管理代碼36附錄2：角色管理相關(guān)代碼4347pdf文檔的權(quán)限管理機制姓名：林澤斌 學號：2005394130 班級：網(wǎng)絡(luò)工程0511. 引言1.1

11、關(guān)于drm（digital rights management）drm(digital rights management)指的是數(shù)字版權(quán)管理，其出現(xiàn)的目的是為了保護數(shù)字信息的傳播。數(shù)字內(nèi)容包括電子圖書、數(shù)字音樂、圖片、影視產(chǎn)品及軟件等。數(shù)字版權(quán)管理（drm）作為一種核心的訪問控制技術(shù)，隨著不停的更新，能有效的防止盜版，保護知識產(chǎn)權(quán)。敏感的知識產(chǎn)權(quán)者使用它對訪問控制進行管理，以達到保護自身各種知識產(chǎn)權(quán)的目的。數(shù)字版權(quán)管理技術(shù)就是以數(shù)字加密技術(shù)為基礎(chǔ)，結(jié)合一系列軟硬件技術(shù)，實現(xiàn)對數(shù)字內(nèi)容的保護1。drm技術(shù)涉及標識技術(shù)、加密和安全技術(shù)、存儲技術(shù)等。drm系統(tǒng)需用要達到的安全性目標是2：1) 防止

12、攻擊者繞過數(shù)字版權(quán)管理而非法拷貝和使用數(shù)字內(nèi)容。2) 對于攻擊者，使破壞drm系統(tǒng)變得更加困難，需要高昂的成本。3) 將攻擊者的突破口的范圍減到最小，從而限制其商業(yè)目的實現(xiàn)。1.1.1 選題背景本課題的研究來源于佛山市科技發(fā)展專項資金項目“基于許可證的通用電子文檔版權(quán)管理系統(tǒng)”（項目編號：200701002)部分研究成果。隨著網(wǎng)絡(luò)和數(shù)字化技術(shù)的快速發(fā)展，在電子政務網(wǎng)和企業(yè)內(nèi)部網(wǎng)中，很多文件以電子文檔的形式進行分發(fā)和存儲。而傳統(tǒng)的以訪問控制為主的公文保護技術(shù)只能限制非法用戶的訪問，對于合法用戶獲取公文后的非法復制和傳播造成的敏感信息泄密、盜版和侵權(quán)，傳統(tǒng)的公文保護技術(shù)往往無能為力。根據(jù)美國聯(lián)邦調(diào)

13、查局(federal bureau of investigation，fbi),和美國犯罪現(xiàn)場鑒證科（crime scene investigation，csi）的調(diào)查，企業(yè)內(nèi)部信息泄露事件中，70%以上都是內(nèi)部人員的泄密造成的。70%到80%的安全泄密都來自于內(nèi)部的合法用戶，其中故意泄露的只占不到6%。因而，如何保護電子文檔的非法復制、篡改和傳播問題是目前我國電子政務和電子商務發(fā)展所面臨的嚴峻問題。因此，近年來，針對電子文檔保護的數(shù)字版權(quán)管理技術(shù)得到重視。1.1.2 選題的意義本項目的研究成果不僅能夠防范非法用戶獲取電子文檔，而且能防止內(nèi)部用戶在未經(jīng)授權(quán)的情況下對電子文檔的篡改與傳播。為解決

14、電子文檔在分發(fā)和使用過程中的安全性和可控性提供了一種有效的技術(shù)手段和解決方案。比起傳統(tǒng)的以訪問控制為主的保護技術(shù)，更能起到因合法用戶獲得電子文檔后對公文的非法復制與傳播等。有效減少了各種機構(gòu)公文在傳輸過程中因權(quán)限及版權(quán)問題造成的各種損失。1.2 國內(nèi)外現(xiàn)狀近年來，電子文檔數(shù)字版權(quán)管理的技術(shù)得到重視。而出現(xiàn)了許多以訪問控制為主的保護技術(shù)，國外的產(chǎn)品有adobe content server、rightsenforcers、intertrust digibox等，而國內(nèi)的產(chǎn)品則有億賽通、鐵卷、前沿、天盾、索遠、山麗、北大方正的apabi等。但現(xiàn)有的產(chǎn)品雖然各項防護能力出色，但仍存在一定的缺陷，無法

15、同時滿足電子文檔保護和版權(quán)管理的需要，在防止內(nèi)部用戶訪問與離線控制中均差強人意。而對于具有版權(quán)保護功能的國內(nèi)外產(chǎn)品也存在許多問題，如許可證缺乏正式語義，開放性、靈活性、交互性，不支持默認權(quán)利描述，缺乏用戶隱私保護等能力等問題，無法滿足現(xiàn)代電子文檔版權(quán)保護和版權(quán)管理的雙重需要?，F(xiàn)有產(chǎn)品的簡要比較如下：產(chǎn)品加密技術(shù)平臺文檔格式支持的數(shù)據(jù)庫防止內(nèi)部主動泄密支持離線管理權(quán)限控制windows rm/windows 2003各種電子數(shù)據(jù)(尤其是office 2003應用程序)否是否authentica128位 rc4winnt/2k/xpunix、linuxpdf、電子郵件、web內(nèi)容ms-sql 20

16、00/是/方正apabi192位的對稱加密算法win nt4+ sp6或win2000自有格式ceb, 可轉(zhuǎn)化為此格式的文件包括：doc、wps、pdf、eps、tiff、autocad、s2、ps2、psms-sql server是/前沿aes 128位&x509winnt/2k/xpoffice2k+、pdf 5.0+、文本、圖像、autocad2k+ms-sqlsybaseoraclemysql否是是億賽通cdgcobrawinnt/2k/xp、hp-ux、solarisms officepdfdwgtxtbmpjpggifrtfwkstiffpngicodxfdwtxmlcss

17、dtdbatjapcvbscppjavamssql, oracle sybasemysql否是是鐵卷aeswinnt/2k/xpms officepdfdwgdxfdwtwpspro-emicrostationms-sqlsybaseoraclemysql是是否網(wǎng)航睿鎖des,3des,aeswinnt/2k/xpms office、dwg、wps、txt、html、autocadms-sqlsybaseoraclemysql是是是天盾des,rsawin2k/xpms office、pdf、autocad、mdt、inventor、pro/e、ug多種數(shù)據(jù)庫是否否索遠不加密，轉(zhuǎn)換為pdfwi

18、nnt/2k/xpms office、jpg、tif、dwg、wps多種數(shù)據(jù)庫否否是山麗未知winnt/2k/xp所有文件格式多種數(shù)據(jù)庫否是否中軟未知winnt/2k/xp多種數(shù)據(jù)庫是否是守望者2006sealwinnt/2k/xp所有文件格式多種數(shù)據(jù)庫是是否表1-1 產(chǎn)品功能比較1.3 研究所包含的內(nèi)容1.3.1 基于角色的訪問控制機制本設(shè)計主要以基于用戶角色的角度、分別從文檔制造者、文檔服務商及文檔用戶三個不同的角度展開對訪問控制機制的探討。主要運用在服務器對文檔的使用授權(quán)及對客戶機的判定中，運用模塊設(shè)計中的數(shù)據(jù)庫（數(shù)據(jù)庫的相關(guān)內(nèi)容將在第5小節(jié)中的模塊功能設(shè)計中逐一說明）中的元組、集合及它

19、們中的各類關(guān)聯(lián)，最終產(chǎn)生一個用戶的權(quán)限集合，規(guī)定用戶的使用權(quán)限，以此達到服務器對文檔使用的有效的訪問控制。1.3.2 網(wǎng)絡(luò)環(huán)境中系統(tǒng)的兼容性本項目開發(fā)基于java語言采用web service實現(xiàn)，采用mvc模式，遵循j2ee規(guī)范。由于本項目最終運用于網(wǎng)絡(luò)服務中，故采用jsp語言編寫網(wǎng)站。有效的業(yè)務處理與頁面回顯的分離，業(yè)務處理均采用java語言完成，java語言因其優(yōu)秀的跨平臺特性和對網(wǎng)絡(luò)服務的特殊便利性，讓本系統(tǒng)能很好的適應各類網(wǎng)絡(luò)環(huán)境，及能在各類具有不同操作系統(tǒng)的客戶機上得以很好的完成預定的業(yè)務需求。在java語言的跨平臺特性下，實現(xiàn)了更高的兼容性。1.3.3 本設(shè)計的創(chuàng)新點本課題的研究

20、來源于佛山市科技發(fā)展專項資金項目“基于許可證的通用電子文檔版權(quán)管理系統(tǒng)”（項目編號：200701002)部分研究成果，使用了項目組開發(fā)的硬件綁定專利技術(shù)，使用了專有的許可證權(quán)限管理機制。使權(quán)限管理實現(xiàn)了到客戶機為點的認證管理模式。2. drm簡述2.1 drm的基本模型（功能模型）drm的功能模型是用來描述drm體系結(jié)構(gòu)的一種重要方式，功能模型從drm整個運作體系及流程展開了一種面向用戶的詳盡的功能描述及工作流程表達。而其最重要的目的是在于描述drm系統(tǒng)的需求和需要完成的安全功能。功能模型如圖2-1所示：圖2-1 drm功能模型1) 資產(chǎn)創(chuàng)作與獲取：如何運用簡便統(tǒng)一的方式創(chuàng)作資源，使資源能更方

21、便的進行發(fā)布與管理。當中應包含創(chuàng)作者或者提供者的創(chuàng)作版權(quán)聲明，并能完成以下工作：(1) 版權(quán)驗證：確保所創(chuàng)作的版權(quán)是依托于現(xiàn)有的資源。(2) 版權(quán)創(chuàng)建：將版權(quán)分配給新的資源，指定新資源的適用范圍。(3) 版權(quán)工作：通過一系列的處理步驟，使版權(quán)得以查看或能繼承。2) 資產(chǎn)管理：如何管理資產(chǎn)并使之能夠被有效的交易，包含從資產(chǎn)創(chuàng)建者處獲得新的資產(chǎn)并將其納入資產(chǎn)管理的范圍。此功能模塊還應提供版權(quán)元數(shù)據(jù)和資產(chǎn)內(nèi)容元數(shù)據(jù)。并完成以下工作：(1) 資產(chǎn)的存儲：使得存儲在數(shù)據(jù)庫中的資產(chǎn)各類元數(shù)據(jù)及內(nèi)容能被訪問/獲取。(2) 交易功能：包含從資產(chǎn)購買者（用戶）至資產(chǎn)版權(quán)創(chuàng)建者完備的支付過程。而傳送的資產(chǎn)需經(jīng)過一

22、些措施以滿足許可證的需求。3) 資產(chǎn)使用：如何對已交易成功的資產(chǎn)進行管理，包括對客戶機系統(tǒng)平臺的支持及對資產(chǎn)的各類約束。并完成以下工作：(1) 許可授權(quán)：使用資產(chǎn)的環(huán)境及用戶在權(quán)限認證中所擁有的本地權(quán)限。(2) 跟蹤管理：按照許可證的權(quán)限條件，跟蹤用戶對資產(chǎn)內(nèi)容的使用情況。以下將從drm體系結(jié)構(gòu)模型的角度，運用較為抽象化的模型對drm的發(fā)展進行簡要的描述。2.1.1 傳統(tǒng)模型圖2-2 drm傳統(tǒng)模型如上圖所示，傳統(tǒng)的drm系統(tǒng)模型經(jīng)抽象化后主要由drm證書服務器和drm客戶端（文檔打包器與文檔閱讀器）組成。其中drm證書服務器負責對文檔的許可證進行數(shù)字簽名、分發(fā)和管理等到，工作于網(wǎng)絡(luò)服務器。傳

23、統(tǒng)模型的工作流程如下：1) 首先用戶在客戶端創(chuàng)建一份需要保護的文檔，并對該文檔的權(quán)限策略進行相關(guān)規(guī)定，然后該客戶端向drm服務器發(fā)送自身的一個許可證，并用證書服務器對其進行唯一的數(shù)字簽名認證。將許可證在服務器方進行注冊后，服務器返回注冊后的許可證給用戶，此時用戶就可以發(fā)布文檔了。2) 當客戶端有用戶申請對文檔進行使用時，客戶端主動將用戶的相關(guān)信息發(fā)送到drm服務端進行驗證，如果驗證通過，則返回一份許可證，其中包含了相關(guān)的文檔權(quán)限控制策略，此時用戶就能根據(jù)規(guī)定的權(quán)限對文檔進行訪問。2.1.2 經(jīng)改進的模型圖2-3 經(jīng)改進的模型如上圖所示，經(jīng)改進的模型在進行一些抽象處理后，與傳統(tǒng)的模型相比增加了在

24、傳輸過程的加密處理與訪問控制策略的深化管理。使得每一個訪問策略都是基于角色的，且由統(tǒng)一的服務數(shù)據(jù)庫進行管理與發(fā)放，大大節(jié)省了存儲的空間，并實現(xiàn)了對用戶訪問文檔權(quán)限的有效控制。電子文檔采用水印等技術(shù)進行加密，在傳輸過程中采用數(shù)字信封技術(shù)，保障了用戶在訪問文檔過程中的安全措施。2.1.3 系統(tǒng)組成圖2-4 系統(tǒng)組成功能結(jié)構(gòu)圖經(jīng)改進的drm模型仍包含有drm服務端與drm客戶端。如上圖所示，文檔服務器（document server，ds）和版權(quán)服務器(copyright server，cs)部署于服務器端，版權(quán)控制器(copyright controller，cc)則部署在客戶端。它們完成的功能如

25、下：1) 文檔服務器：部署在服務端，用于對文檔的加密封裝和提供下載、文檔制作人對文檔的原始授權(quán)設(shè)定、嵌入數(shù)字水印等，文檔內(nèi)容服務器也包括對文檔的分類存儲、在線編輯協(xié)作、全文檢索和文檔工作流審批等文檔知識管理功能。2) 版權(quán)服務器：版權(quán)服務器部署在服務端，包括許可證生成器等部件，在收到用戶的許可證請求后，版權(quán)服務器按照用戶權(quán)限、許可證的發(fā)放歷史和原始權(quán)限的規(guī)定產(chǎn)生使用許可證并經(jīng)加密后發(fā)送到版權(quán)控制器。3) 版權(quán)控制器：版權(quán)控制器部署在客戶端，用戶通過版權(quán)控制器向服務端申請使用許可證，并通過許可證解釋器解釋許可證的權(quán)限并在文檔生命周期內(nèi)控制文檔的使用權(quán)限。包括安全文檔閱讀器、數(shù)字水印檢測器、許可證

26、解釋器、權(quán)限綁定遷移與操作審計功能。2.2 基于drm的安全機制無論是政府電子政務網(wǎng)還是企業(yè)信息網(wǎng)，像這類歸屬于內(nèi)部網(wǎng)的信息網(wǎng)絡(luò)對信息安全的要求比較高。鑒于這類信息內(nèi)部網(wǎng)經(jīng)常用于傳輸敏感的內(nèi)部信息，而各種內(nèi)部網(wǎng)的信息泄漏由很大一部分是由內(nèi)部人員的有意竊取或無意操作不當造成的，而傳統(tǒng)的單靠管理制度或技術(shù)手段來減少或避免信息泄漏較難預防這方面帶來的各種損失。為此需要一種技術(shù)與管理手段相結(jié)合的方式，技術(shù)手段為相應的管理措施提供強有力的技術(shù)支持。在無紙化辦公越來越普遍的辦公環(huán)境中，電子文檔成為一種重要的信息傳達和資料整理與存儲的手段。因此防范電子文檔的非法訪問、復制、打印和傳播成為當下解決信息安全的一

27、個重要話題。drm技術(shù)作為一種有效的管理電子文檔非法訪問與傳播的技術(shù)手段，更加受到國內(nèi)外各類組織的重視，并將drm技術(shù)列入至信息安全的技術(shù)范疇。國內(nèi)外在近期也推出相當多的產(chǎn)品，但產(chǎn)品中大多以普遍適用性為主，沒為充分考慮到內(nèi)部網(wǎng)這一特殊的使用環(huán)境所具有的某些特殊需求。例如文檔的密級管理與文檔的權(quán)限追蹤、基于文檔密級的身份認證和系統(tǒng)的跨平臺特性等需求。為了填補這一領(lǐng)域的缺口，本課題旨在研究如何加強文檔的密級管理與文檔的版權(quán)管理。2.2.1 電子文檔內(nèi)容的保護機制電子文檔的內(nèi)容無疑是所有研究課題所圍繞的重心，如何有效的防止電子文檔的內(nèi)容被非法竊取、復制和傳播是課題的重中之重?；赿rm的電子文檔內(nèi)容

28、保護機制主要包括：1) 將電子文檔的格式轉(zhuǎn)換為不可以改寫的圖片格式，一方面可以運用pdf這一統(tǒng)一的格式；另一方面可以防范非法篡改電子文檔的內(nèi)容。2) 采用md5加密技術(shù)對電子文檔內(nèi)容進行加密，并在內(nèi)容在添加電子水印，提高電子文檔的可靠性。3) 電子文檔在傳輸過程中，運用數(shù)字簽名技術(shù)以防止非法授權(quán)的閱讀文檔。2.2.2 電子文檔的版權(quán)管理機制面對計算機的普及，網(wǎng)絡(luò)環(huán)境存在著眾多不安全因素，僅從電子文檔的內(nèi)容對數(shù)字信息進行保護是遠遠不夠的。隨著各種加密技術(shù)和網(wǎng)絡(luò)傳輸方式的發(fā)展，對電子文檔的版權(quán)管理機制也應當發(fā)展俱全。本課題研究的重點是如何防范內(nèi)部合法用戶泄漏組織內(nèi)部作息，故電子文檔的版權(quán)管理目的是

29、防范合法用戶非法傳播和復制電子文檔。任何用戶在使用受保護的電子文檔時都應受到如下版權(quán)約束：1) 一個合法用戶必須在網(wǎng)絡(luò)服務器中進行注冊，包括用戶名、口令和硬件標識等。硬件標識指的是用戶所使用計算機的硬盤序列號、nic編號、mac地址等唯一機器標識。2) 在使用文檔時用戶需通過一系列結(jié)合用戶名、口令和硬件標識等認證信息的身份認證過程。由此獲得相應的電子文檔的使用許可證。3) 用戶在通過所有的身份認證后，才依據(jù)許可證和密鑰對電子文檔進行解密，并獲得相應的使用權(quán)限。4) 用戶只能按照自身使用權(quán)限獲得對電子文檔的使用范圍，且不能非法修改電子文檔。3. pdf文檔與drm的綜合運用便攜式文件格式(por

30、table document format，pdf)最早是由adobe公司為了解決跨平臺傳輸和共享文件問題所開發(fā)一種電子文件格式。2005年pdf正式成為iso國際標準，并隨著計算機技術(shù)的發(fā)展和迅速占有了大片的市場，促使了pdf電子文檔的普及。為了能更為廣泛的運用于電子文檔，本課題亦是采用通用的pdf格式進行研究。3.1 pdf文檔標準及特點pdf技術(shù)憑借其對于跨語言、跨平臺、跨軟件等方面的處理有卓越的表現(xiàn)，并在實際中的廣泛運用，經(jīng)過長年的改進，pdf電子文檔已然成為網(wǎng)絡(luò)中傳輸?shù)囊环N文檔標準。考慮到pdf的使用目標，adobe公司為pdf文檔設(shè)計了以下標準：31) adobe圖形模型：pdf文

31、檔使用adobe的圖形模型呈現(xiàn)文本和圖形，和postscript一樣，一個對pdf頁面的描述是通過對指定區(qū)域的設(shè)置顏料將頁面畫出。pdf文檔不同于postscript，它不是一種可編程的語言，它不包含過程、變量。pdf文檔比postscript具有更高的效率。pdf文檔是通過機器碼來生成的，所以可以很快的呈現(xiàn)給用戶。2) 便攜標準：pdf文件是一個二進制文件。對于一些只能處理可打印的ascii字符和空白字符的代理，它們可能會對pdf文檔造成損害。3) 壓縮標準：為了減小文件的容量，pdf文檔支持一些工業(yè)標準的壓縮標準：(1) jpeg：壓縮色彩和灰度圖像。(2) ccitt group 3,c

32、citt group 4：壓縮單色圖。(3) lzw：壓縮文本、圖形和帶索引的圖像數(shù)據(jù)。4) 字體獨立性標準：pdf文檔提供了新的方法，能夠使文檔獨立于創(chuàng)建該文檔的字體。一個pdf文檔包含一個字體描述符，它描述了每一個在文檔中使用到的字體。字體描述符包括字體名字、字符矩陣和類型信息。如果文檔中使用到的字體可以在本地計算機中得到，那么就使用該字體描述pdf文檔；如果本地計算機中無法得到該字體，將使用多控制字體來模仿缺少字體的權(quán)重和寬度，通過這種方法可以維持文檔的色彩和格式。符號型的字體會以一種特殊的方式進行處理，符號型的字體不使用標準的isolation 1字符集，pdf文檔使用實際字符圖形配合

33、字體描述符對其進行模仿。5) 隨機訪問標準：每一個pdf文檔包含一張引用表，通過它可以定位并直接訪問頁面或者其他的重要對象。引用表一般存儲在文件上的尾部。使用引用表可以使對任一頁面的訪問獨立于所有的pdf頁面。6) 增量更新標準：用戶對于多達幾十頁的pdf文檔的修改，不需要每一次都對所有的頁面進行重寫。pdf允許將修改的部分添加到文檔，并保留原始數(shù)據(jù)的有效性。7) 可擴展性標準：pdf文檔被設(shè)計成可擴展的，開發(fā)者可以向已有的pdf文檔格式中添加新的特征，并將其實現(xiàn)。目前在各種機構(gòu)中，隨著電子文檔的應用越來越廣，對電子文檔的保護成為人們熱門探討的話題。而電子文檔在國際化程度越來越高的環(huán)境中，各種

34、問題亦突顯出來。例如文件能否跨平臺，在不同的操作系統(tǒng)或環(huán)境中文件樣式是否會改變，文件在網(wǎng)絡(luò)中的傳輸速度。而pdf電子文檔成為解決這些問題最有效手段。它具有以下特點：1) 容易生成：pdf電子文檔的跨平臺和跨軟件特性讓各種格式的電子文檔在不同的操作平臺中能輕松的轉(zhuǎn)換成為pdf格式。2) 忠實再現(xiàn)原文：轉(zhuǎn)換為pdf格式的電子文檔將被如實的保存所有的樣式，而且在放大為800%的情況下仍能做到不失真。3) pdf電子文檔能夠在任何操作語言的系統(tǒng)中使用其它的語言對它進行編輯，有效解決了國際化中的語言溝通問題。4) 容量小、便于傳輸：pdf格式是一種壓縮文件并支持多種編碼方式，使生成的文件容量比其它格式更

35、小，更便于傳輸。5) 文件審閱功能：任何合法用戶均可以利用pdf文檔閱讀器中提高供的注釋工具對文檔進行注釋，方便用戶對文檔進行審批。6) 檢索功能：用戶可以用閱讀器中的檢索工具，對文檔進行相關(guān)的文字檢索。3.2 pdf文檔在網(wǎng)絡(luò)中的傳輸方式pdf文檔基于其文件容量小的特點，在網(wǎng)絡(luò)中極易進行傳輸和共享。在網(wǎng)絡(luò)進行傳輸時，pdf電子文檔的特點也成為它本身最大的弱點。雖然各種加密機制應運而生，但仍有許多不法分子通過各種手段進行破解，竊取傳輸過程中的文檔信息。本課題運用計算機網(wǎng)絡(luò)安全技術(shù)中的數(shù)字信封技術(shù)對加密后的pdf文檔封裝后進行傳輸，且為了提高應用程序之間數(shù)據(jù)的安全系數(shù)，雙方采用安全套接層協(xié)議（s

36、ecure sockets layer，ssl）。由于數(shù)字信封技術(shù)能保證用戶雙方的真實性、交互雙方的不可抵賴性、傳輸過程信息的完整性，被廣泛運用于商務文件的傳輸。pdf文檔在網(wǎng)絡(luò)傳輸中采用這種方式，能有效保證用戶的合法性和電子文檔內(nèi)容的信息真實性，配合drm系統(tǒng)的使用有效產(chǎn)生安全機制。3.3 基于pdf的drm模型簡述圖3-1 基于pdf的drm模型如上圖所示，基于pdf的drm模型是建立在經(jīng)改進后的drm模型（圖2-3）基礎(chǔ)上的，它將兩個客戶端變成更為統(tǒng)一的支持pdf格式。針對pdf文檔的模型工作流程如下：1) pdf文檔生成器(1) 首先需要創(chuàng)作pdf格式文檔的用戶登錄drm證書服務器進行

37、必要的身份驗證。(2) 通過身份驗證的用戶，可以將自身創(chuàng)作的任何非pdf格式的文檔運用生成器提供的工具轉(zhuǎn)化為pdf文檔，以便統(tǒng)一管理。(3) 文檔生成器自運加載加密程序，按照預先設(shè)定好的加密流程，對用戶創(chuàng)作的文檔進行加密處理。(4) 創(chuàng)作用戶借由文檔生成器對經(jīng)處后的文檔施加訪問控制策略。(5) 證書服務器將用戶對文檔的加密密鑰返回至文檔生成器，由用戶自身留存。(6) 用戶將已處理完畢的pdf文檔上傳至服務器數(shù)據(jù)庫。2) drm證書服務器(1) 對用戶發(fā)送過來的服務請求進行核對，包括用戶的身份認證和許可證。(2) 根據(jù)用戶許可證的發(fā)放歷史和原始權(quán)限的規(guī)定產(chǎn)生使用許可證。(3) 若以上步驟確定該用

38、戶的身份合法，則將加密后的許可證發(fā)送至客戶端。(4) 同步進行審計功能，按照時間順序記錄加密文檔操作。3) pdf文檔閱讀器(1) 對進行文檔操作申請的用戶能通過drm服務器進行身份驗證。(2) 通過身份驗證的用戶向drm服務器申請使用許可證。(3) 用戶獲得服務器發(fā)回的許可證后，通過許可證解釋器解釋許可證的權(quán)限并在文檔生命周期內(nèi)控制文檔的使用權(quán)限。(4) pdf文檔閱讀器在接收到加密的文檔后，對數(shù)字文檔中的水印進行提取、檢測和鑒別。(5) 判斷當前文檔的完整性和相關(guān)的版權(quán)信息。(6) 按照許可證的設(shè)置將數(shù)字文檔與硬件綁定，并按照服務端設(shè)置的綁定策略提供文檔的設(shè)備間遷移機制。(7) 記錄用戶對

39、安全文檔執(zhí)行的操作，為事后審計追蹤提供依據(jù)。以上是從一種較為抽象化的模型描述，本課題研究中按照用戶的三種不同角色，對模型進行了較為適應商務運作的角度對模型進行了描述。三種用戶角色分別對應了抽象化模型中三個功能模塊。文檔服務商文檔制造者文檔用戶上傳文檔下載或在線觀看文檔圖3-2 系統(tǒng)的角色模型如上圖所示，文檔制者對應于pdf文檔生成器，文檔服務商則與drm證書服務器相應，最后的文檔用戶則是pdf文檔閱讀器的范疇。站在不同的用戶角度，本課題所研究的實現(xiàn)方式如下：1) 文檔制造者:(1) 文檔制造者可有兩種，一種是注冊用戶，另一種是未注冊用戶（文檔服務器可給注冊和未注冊用戶不同的權(quán)限）(2) 文檔制

40、造者擁有一個軟件客戶端（在瀏覽器下或單獨的c/s軟件客戶端）(3) 文檔制造者通過客戶端提交自己的文檔，并填寫權(quán)利要求，然后客戶端將權(quán)利要求生成一張原始許可證連同文檔發(fā)送到服務端。(4) 如果有用戶使用該文檔，服務端將使用情況發(fā)回給文檔制造者以利于文檔制造者了解自己提交文檔的使用情況和權(quán)利保護情況。2) 文檔用戶的角度：(1) 文檔用戶暫時只有注冊用戶一種（以后可增加未注冊用戶）(2) 文檔用戶瀏覽文檔服務器上擁有的文檔和相關(guān)的權(quán)利要求，付費方式(3) 文檔用戶擁有一個軟件客戶端（在瀏覽器下或單獨的c/s軟件客戶端）(4) 文檔用戶通過軟件客戶端填寫需要使用的文檔和權(quán)限要求并輸入自己的賬戶和密

41、碼，客戶端提取用戶的機器識別碼連同文檔名、權(quán)限要求、賬戶和密碼經(jīng)加密后形成請求包提交到服務端。（加密方式：軟件客戶端內(nèi)部包含服務端的公鑰ps，客戶端隨機產(chǎn)生一個對稱密鑰k，用k對機器識別碼連同文檔名和權(quán)限要求進行加密，然后用ps加密k。服務端可用自己的私鑰解密得到k再解密得到用戶的機器識別碼、文檔名和權(quán)限要求）(5) 服務端在驗證用戶的用戶名和密碼后，首先保存該請求包，在得到用戶可使用證明后（如是免費文檔，注冊用戶可直接得到該證明；如需要用戶的一定條件如積分，那么用戶必須滿足該條件才能得到該證明；如需要用戶付費，那么在得到用戶付費后用戶才能得到該證明）(6) 服務端按照用戶的要求生成使用許可證

42、，使用許可證中包括文檔的解密密鑰。服務端再利用用戶賬號、機器碼生成密鑰l用來加密使用許可證并發(fā)送到客戶端。(7) 文檔用戶在使用數(shù)字內(nèi)容之前，首先由客戶端軟件提取機器碼和用戶賬號生成密鑰l解密許可證，并查看許可證中用戶的權(quán)限，如果用戶的權(quán)限允許該用戶操作，則使用許可證中的密鑰解密數(shù)字內(nèi)容并執(zhí)行用戶的操作。3) 文檔服務商的角度：(1) 將文檔和文檔制造者的權(quán)利要求保存到服務器(2) 接收文檔用戶提出的文檔使用要求和權(quán)利要求，并按照文檔制造者的權(quán)利要求和服務商的規(guī)則以及文檔用戶的類型確定用戶使用文檔的方式和權(quán)限(3) 為文檔用戶提供文檔服務并保證制造者的權(quán)利4. 基于角色的訪問控制機制4.1 傳

43、統(tǒng)訪問控制模型描述訪問控制模型是一種從訪問控制的角度出發(fā)，描述安全系統(tǒng)，建立安全模型的方法。訪問控制是指主體依據(jù)某些控制策略或權(quán)限對客體本身或是其資源進行的不同授權(quán)訪問。通過訪問控制服務，可以限制對數(shù)字資源的訪問，防止非法用戶的侵入或者因合法用戶的不慎操作而造成的破壞。訪問控制包括三個要素，即：主體、客體和訪問控制策略456。1) 主體(subject)：任何一個能對實體實施一系列主動動作的主動實體。例如在本課題中的客戶端或者是用戶本身。2) 客體(object)：任何能夠接受其他實體訪問或操作的被動實體?？腕w的范圍遠比主體來得更加的廣泛，它可以是確實存在資源與對象，也可是信息、服務甚至是進程

44、。3) 訪問控制策略(rule)：主體對客體的一系列操作規(guī)則的集合?？刂撇呗灾苯佣x了主體對客體訪問的一系列規(guī)則集，在規(guī)則集中詳細定義了主體對客體操作的一系列約束條件。簡單來講就是本課題中研究的一種權(quán)限控制策略。4.1.1 自主訪問控制自主訪問控制模型（discretionaryaccess control model， dac model）是根據(jù)自主訪問控制策略建立的一種模型，允許合法用戶以用戶或用戶組的身份訪問策略規(guī)定的客體，同時阻止非授權(quán)用戶訪問客體，某些用戶還可以自主的把自己所擁有的客體的訪問權(quán)限授予其他用戶78。自主訪問控制的實現(xiàn)方式較為簡單，只需將用戶的身份進行驗證與鑒別，然后按照

45、預先定義好的權(quán)限列表，按照表中所列及的訪問控制策略賦予用戶一定的訪問權(quán)限。而權(quán)限列表的制定只能由系統(tǒng)定義的特殊用戶或最高級用戶組才能進行修改。自主訪問控制方式基于其簡單的實現(xiàn)方式，而且在控制策略上較為靈活，故被普遍運用于商務運用中。而自主訪問控制模型有一個特點是用戶可以將自已擁有的訪問權(quán)限授予其他用戶。相對而言，在這種機制下的安全系數(shù)是比較低的，無法防止內(nèi)部人員因故意或無意造成的組織內(nèi)部信息泄漏。不能保護文檔創(chuàng)作者的合法權(quán)益及系統(tǒng)本身的數(shù)字資源。自主訪問控制的另一個特點是授權(quán)的主體自主負責對授予權(quán)限的另一主體進行權(quán)限回收。為了達到對不同主體的訪問權(quán)限進行限制的目的，自主訪問控制模型采用訪問控制

46、矩陣和訪問控制列表來存放不同主體之前的權(quán)限信息。4.1.2 強制訪問控制強制訪問控制模型（mandatory access control model，mac model）是一種“強加”給被訪問客體和主體的，換句話來講就是被訪問的客體（本課題指的是pdf文檔）被系統(tǒng)定義了一定的密級，而相應的主體亦只能服從系統(tǒng)所定義的一系列訪問規(guī)則?？腕w的密級和主體的可信任級別由系統(tǒng)預先定義。用戶不能改變自身的可信任級別和客體的密級，只有系統(tǒng)的管理員才有這個權(quán)限。在實施訪問控制機制時，系統(tǒng)預先將主體和客體分成不同的密級，如絕密級、機密級、秘密級和普通等。用戶登錄后，系統(tǒng)首先將主體與客體的密級進行比較，再決定主體

47、是否具有訪問客體信息的權(quán)限。它的訪問控制關(guān)系分為上讀/下寫(保證數(shù)據(jù)的完整性)和上寫/下讀（保證數(shù)據(jù)的機密性），并通過安全標簽來實現(xiàn)單向信息的流動。這種訪問控制方式主要適合于多層次安全級別的軍事應用。主體和客體在分屬于不同的安全類別時，都屬于一個固定的安全類別sc，sc就構(gòu)成一個偏序關(guān)系（比如ts表示絕密級，就比密級s要高）。當主體s的安全類別為ts，而客體o的安全類別為s時，用偏序關(guān)系可以表示為sc(s)sc(o)?？紤]到偏序關(guān)系，主體對客體的訪問主要有如下4種方式9：1)向下讀(read down，rd)：主體安全級別高于客體信息資源的安全級別時允許查閱的讀操作。2)向上讀(read up

48、，ru)：主體安全級別低于客體信息資源的安全級別時允許的讀操作。3)向下寫(write down，wd)：主體安全級別高于客體信息資源的安全級別時允許執(zhí)行的動作或是寫操作。4)向上寫(write up，wu)：主體安全級別低于客體信息資源的安全級別時允許執(zhí)行的動作或是寫操作。由于強制訪問控制模型通過分級的安全標簽實現(xiàn)了信息的單向流通，因此它被軍方采用，其中最著名的是bell-lapadula模型和biba模型：bell-lapadula模型具有只允許向下讀、向上寫的特點，可以有效地防止機密信息向下級泄露；biba模型則具有不允許向下讀、向上寫的特點，可以有效地保護數(shù)據(jù)的完整性。4.1.3 基于

49、角色的訪問控制（rbac）基于角色的訪問控制（role basedaccess control，rbac）是一種按角色分配權(quán)限的控制機制，用戶在系統(tǒng)中擔任不同的角色，故用戶在系統(tǒng)中有屬于自身的一系列操作規(guī)則。基于角色的訪問控制旨在將角色集合與權(quán)限控制集合進行相關(guān)聯(lián)，達到用戶集合與權(quán)限控制集合相關(guān)聯(lián)。其中角色是根據(jù)系統(tǒng)的客體的實際需要進行設(shè)置的，而用戶則是根據(jù)角色的多樣式進行相關(guān)的設(shè)置。一個用戶可以在多種角色之間進行必要的轉(zhuǎn)換，而系統(tǒng)只能根據(jù)需要添加必要的角色及其相對應的訪問策略。為了保護系統(tǒng)資源的完整性和系統(tǒng)本身的安全性，用戶與客體沒有直接的關(guān)聯(lián)，而是依靠于角色這另一主體，用戶只有通過角色才能

50、享有相應的權(quán)限，而角色則由系統(tǒng)管理員根據(jù)實際需要進行添加、刪除或修改。因此任一用戶都不能如自主訪問控制那樣將訪問權(quán)限授予其他用戶，這在一定程度上保證了數(shù)字信息的安全性?；诮巧脑L問控制與強制訪問控制也有一定的區(qū)別，也有學者提出基于角色的訪問控制是強制訪問控制的一種安全策略，但在傳統(tǒng)的訪問控制機制中它們還是有根本上的區(qū)別。強制訪問控制是基于多級別密級需要的，只允許高密級的主體對比其低密級的客體進行操作，對主體（用戶）的操作完全出于一種硬性的手段，適用于軍事范疇。而基于角色的訪問控制旨在保護數(shù)字信息的完整性，系統(tǒng)從雙重角度上定義了哪種角色能對數(shù)字信息進行哪一類型的操作，從另一個角度來看，系統(tǒng)管理

51、員所創(chuàng)建的每一個角色就是一系操作的集合。在基于角色的訪問控制中，用戶對數(shù)字信息的操作是通過角色實現(xiàn)的。從系統(tǒng)的實現(xiàn)角度來講，角色是一類實現(xiàn)某些操作集合的組件，它應歸屬于安全策略的范疇。而用戶是一個具體存在的主體，用戶本身不具備任何對數(shù)字信息進行操作的權(quán)限，用戶在對數(shù)字信息進行操作時，是運用了某一特定的角色或者說某一系統(tǒng)規(guī)定的安全策略。角色這一概念對用戶來講可以說是完全透明的，且在存儲方式上是角色信息與用戶信息分布式存儲，雖然在存儲上付出較高的代價，但是此種模型對管理大型的網(wǎng)絡(luò)，可以一個用戶對應有多個角色，每個角色被賦予一個或多個特權(quán)，有效的減少了網(wǎng)絡(luò)管理的代價，降低網(wǎng)絡(luò)管理的復雜度。4.2 d

52、rmrbac訪問控制模型隨著人們對數(shù)字版權(quán)管理(digital rights management，drm)研究的日益深入，對drm系統(tǒng)的要求亦越來越高，且細化程度隨之有了更明顯的提升。但基于drm系統(tǒng)的訪問控制機制仍是參差不齊，沒有一個統(tǒng)一的標準。早前人們提出的以文件為客體的文檔保護系統(tǒng)，顯然已經(jīng)不然滿足當代人們的需求。為此人們提出了一種面向文檔的，結(jié)合自主訪問控制和強制訪問控制，基于角色訪問控制的drm系統(tǒng)模型，目的旨在為用戶（文檔制造者、文檔服務商和文檔使用者）提供更為嚴格的和細粒度的訪問控制機制。4.2.1 drmrbac基本概念與原則基于pdf的電子文檔保護系統(tǒng)中的drmrbac模型

53、基本概念10,11為：1) 對象集合：。包含兩類對象，一類為實際對象，即受保護的電子文檔；另一類為虛擬對象，為方便對文檔進行密級管理，引入了“絕密”、“機密”、“秘密”、“一般”四類虛擬對象，這樣可以通過設(shè)置一定的訪問控制策略，將強制訪問控制結(jié)合到本模型中。2) 對象級聯(lián)關(guān)系：即實際對象與虛擬對象的結(jié)合，代表電子文檔的密級。3) 動作集合：。動作代表可以執(zhí)行的一種或一類行為，如打印、復制等。4) 屬性集合：，其中y代表允許，n代表不允許，n/a代表未定義。5) 操作集合：。6) 權(quán)限集合：。權(quán)限分為兩類，一類針對文檔使用者，即用戶可對受保護的電子文檔執(zhí)行的動作；一類針對文檔頒布者，即用戶在生成

54、pdf文檔時，能夠施加在其上的訪問控制策略范圍，如不允許部門內(nèi)普通用戶制定關(guān)于是否允許其他部門用戶使用文檔的策略。7) 角色：。角色指的是用戶在組織內(nèi)部的類別劃分，如不同部門成員、同一部門中的上下級等。8) 權(quán)限角色關(guān)聯(lián)二元關(guān)系：。代表角色和權(quán)限的相應關(guān)系，即角色可以使用的權(quán)限。9) 用戶：。在drm系統(tǒng)中，根據(jù)不同的應用需求和應用環(huán)境，用戶可以是人，也可以是可信的軟件或硬件。10) 用戶角色關(guān)聯(lián)二元關(guān)系：。會話：會話表示的是用戶和角色之間的關(guān)系。用戶每次必須通過會話來激活相應的角色，得到相應的訪問權(quán)限。傳統(tǒng)的drmrbac模型包含角色繼承、最小權(quán)限、職責分離和角色容量4個基本原則。1) 角色

55、繼續(xù)關(guān)系：在系統(tǒng)定義的多種角色中，某些角色除了擁有自身的操作權(quán)限之外還能將祖先（已有角色）的權(quán)限屬性。這種關(guān)系可以使組織內(nèi)部的權(quán)責分明，可以從一定程度上將組織內(nèi)部的職權(quán)關(guān)系在系統(tǒng)中反映出來。其角色關(guān)系可以用下圖表示： 角色3角色4角色2角色1包含包含包含圖4-1 角色繼承關(guān)系示意圖如上圖所示，角色3和角色4擁有最大的操作權(quán)限，如果角色1是最初的祖先的話，角色1則是擁有最小權(quán)限集的一系列操作指令。圖中亦可反映出組織內(nèi)部人員職權(quán)架構(gòu)，例如一生產(chǎn)部門，使用角色1的當分屬于生產(chǎn)工作人員；使用角色2的可以是車間主管，使用角色3和角色4的對應于生產(chǎn)部分的高層主管。2) 最小權(quán)限：系統(tǒng)根據(jù)需要創(chuàng)建不同的角色

56、以對應不同的權(quán)限范圍，并且為用戶分配不同的角色對適應用戶的合法操作性。故用戶所擁有的權(quán)限不能超過它在實際工作中應的操作范圍稱之為最小權(quán)限。應需產(chǎn)生新的角色，從實際工作中分配用戶予不同的角色，能對系統(tǒng)中保存的數(shù)字信息起到嚴格的保護作用，保護數(shù)字信息的完整性。3) 職責分離：對于某些特定的操作指令集合，可能依靠單一的角色不能完成所有的操作。此時需要一個用戶能夠同時具有多種角色，但角色與角色之間不能出現(xiàn)互斥的情況。于是本課題引用了一種靜態(tài)分離和動態(tài)分離的技術(shù)，為保證在完善用戶操作的同時保護系統(tǒng)數(shù)據(jù)庫的完整性和數(shù)據(jù)庫業(yè)務的相容性。(1) 靜態(tài)分離：當用戶需要另一個角色時，新指定的角色必須與用戶已有的角色互不相斥。例如能否打印，能否復制等。而且角色的指派需在用戶進行系統(tǒng)并獲得數(shù)字信息之前就完成，可以在發(fā)送給客戶端的許可證中將這種規(guī)定加入訪問控制策略中。 (2) 動態(tài)分離：用戶在執(zhí)行一系列操作時，調(diào)用本身就具有角色完成，但調(diào)用的角色與角色之間必須是互不相斥的，只有滿足這種情況下，用戶才能同時擁有這兩種角色