电子文档安全入门

技术白皮书电子文档安全入门文件控制和数字签名保护电子文档目的本白皮书对相关的文档安全问题及相关技术进行了概述，并介绍了Adobe的文档安全解决方案；此外，白皮书还总结了Adobe是如何实现对文件的控制及数字签名的。综述随着企业将越来越多的流程转移到网上，保护这些流程中所有信息的安全性和隐私以及保证其真实性和完整性变得十分重要。由于许多自动化流程必须依靠包含敏感信息的电子文档，因此企业必须合理地对这些文档加以保护。很多信息安全解决方案仅仅是在存储位置或传输的过程中保护电子文档，而不能在电子文档的整个生命周期为其提供保护。当文档被发送给接收人后，文档就失去了保护，因此文档可能被有意或无意地发送给未经授权的接收人，或被未经授权的接收人查看。更为有效的解决方案是分配一个与文档并行的安全参数来保护文档。要为电子文档提供贯穿其整个生命周期的更有效保护，必须满足六个标准：1.机密性2.授权3.责任性4.完整性5.真实性6.不可否认性建立这六个文档安全标准基于两项主要技术，即文档控制和数字签名。Adobe的安全解决方案提供了文档控制和数字签名服务，可简化保护敏感电子文档和表单的流程。企业可以轻而易举地将Adobe文档安全解决方案整合到当前的业务流程和企业基础架构中，为各类简单或复杂的流程提供支持。Adobe的解决方案动态地对网络内部和外部，以及在线和离线的电子文档进行保护，从而对电子文档的整个生命周期进行端对端的保护。目录2综述3介绍4如何提供持久的文档安全5文档控制5机密性－加密技术6授权8责任性8数字签名8完整性9真实性9不可否认性9公钥基础设施10Adobe的端对端文档保护安全解决方案11Adobe安全功能小结12AdobeAcrobat和AdobeReader12AdobeLiveCycleReaderExtensions12AdobeLiveCyclePolicyServer13AdobeLiveCycleDocumentSecurity14Adobe文档控制实现小结15Adobe数字签名实现小结15与合作方的整合15总结16附录：Adobe标准和技术介绍随着企业将越来越多的流程转移到网上，保护这些流程中所有信息的安全性和隐私，以及保证其真实性和完整性就变得十分重要了。由于很多自动化的流程必须依靠包含了对任务关键的信息及私人和敏感信息的电子文档，因此企业必须为合理地保护这些文档做出相当大的投资。企业需要重视电子文档的原因主要有三个：1、监管要求－很多企业直接或间接地受到政府命令和规定的影响，要求为客户隐私提供保护。其中包括：•健康保险流通与责任法案（HIPAA）—保护与健康相关的数据•格雷姆-里奇-比利雷法（GLBAct）—金融隐私•欧盟关于隐私和电子通讯的法令•日本和澳大利亚的隐私法案•CaliforniaSB1368—隐私通知•CaliforniaAB1950—对客户数据的保护2、投资回报（ROI）－企业可以通过实施电子化业务流程来实现重要的投资回报。自动化的工作流程允许可能的主顾、客户、合作伙伴和供应者共同参与，使企业能在相当大的程度上节约成本，同时提升客户的满意度和忠诚度。但很多工作流程只有在电子文档得到充分的保护后才能自动化。比如，如何才能确定您收到的银行单据真的是来自于您的银行（真实性），单据在传送过程中未经修改（完整性）以及单据只能被目标接收人浏览（机密性）？3、信息安全－目前，盗取专有信息的现象越来越频繁，这会对企业产生很大危害，例如，危及企业的收入、竞争优势和客户关系，造成负面的舆论影响，甚至企业还会由于没有遵守隐私法规而遭到巨额罚款。很多信息安全解决方案仅仅是在存储位置或传输的过程中保护电子文档，而不能在电子文档的整个生命周期为其提供保护。比如，企业依靠文档管理系统和虚拟专用网（VPN）保护文档。在这样的方式下，文档的安全始终存在问题，因为这些解决方案仅对通讯线路和存储点进行保护，而不能在文档的整个生命周期对文档的实际内容进行保护。当文档被发送给接收人后，文档就失去了保护，因此文档可能会被有意或无意地发送给未经授权的接收人，或被其查看。因此，很多企业不得不将在线和纸质的流程不协调地结合起来，期间为了保证充分的安全性，敏感的文档还是必须打印出来然后人工发送。其结果是在线处理的潜在优势无法得到充分实现。如何提供持续的文档安全文档控制＋数字签名＝持续的文档安全更为有效的解决方案是分配一个与文档并行的安全参数来保护文档。下面的标准对持续的文档安全做出了定义：1.机密性－谁可以访问文档？2.授权－使用者对文档有哪些权限？3.责任性－接收人对文档做了哪些操作？4.完整性－您如何获知文档被修改了？5.真实性－您如何获知文档的真实来源？6.不可否认性－签字人可以对签署了文档进行否认吗？提供文档安全的6个关键标准以下内容概述了提供文档控制和数字签名的主要技术，并介绍了Adobe在其文档安全解决方案中所实施的技术。保护此文档取消此文档查看此文档的审查记录不允许打印此文档保护PDF发送文档安全能够提供安全性、真实性和责任性上图显示了AdobeLiveCycle™PolicyServer和Adobe®Acrobat®软件的部分文档控制功能。文档控制－加密技术加密是指将信息（纯文本）转换成无法理解的格式（密码文）这一过程，因此是有效管理文档访问的技术。解密是与加密相反的过程，它将密码文转化成原来的纯文本。密码术指的是加密和解密这两个过程，现称为密码系统。流行的加密系统运用了钥匙这个概念。加密钥匙是结合了加密算法从纯文本建立密码文和从密码文还原纯文本的数据。目前，安全专家普遍同意将Kerckhoff原理作为高效加密系统的基础。Kerckhoff原理认为，钥匙是保证整个密码系统安全中唯一需要保密的部分。如果密码系统的坚固程度是建立在攻击者不知道加密算法如何工作上的，那么系统被施以逆向工程和破解只是时间问题。加密钥匙主要有两类：对称钥匙和不对称钥匙。对称钥匙对称钥匙加密术对加密和解密使用相同的钥匙，速度很快，且如果钥匙很大就很难被破解。但由于双方需要具有相同的钥匙才能进行高效的通讯，因而钥匙的发布成了一个问题。现在通用的对称钥匙加密算法有AES、DES、3DES和RC4。Adobe的产品运用的是AES（128位和256位）和RC（128位），因为二者已经发展成为非常强大的标准了。不对称钥匙不对称钥匙（又称为公共钥匙密码术）为加密和解密使用钥匙对。比如，如果第一个钥匙为内容加密码，则钥匙对中的第二个钥匙用来解密码。同样，如果第二个钥匙用来加密，则第一个钥匙必须用来解密。其特点是钥匙对中的一个钥匙被标为公共钥匙，另一个为秘密钥匙。秘密钥匙由一个特定的人持有，而公共钥匙被自由发布给那些希望与此人通讯的人。当有人要发给秘密钥匙持有者一条机密信息时，他/她可以用自由发布的公共钥匙将消息进行加密，然后把密码文发给前者。由于该人是唯一的秘密钥匙持有者，因而他/她也是唯一能将内容解密的人。常用的不对称算法有RSA、DSA和ElGamal。Adobe的产品运用的是RSA（512位、1024位和2048位），因为其已经发展成为一个全球的标准。混合加密安全系统倾向于使用混合的解决方案，来增加文档加密的安全性和速度。其中的方法之一是，使用不对称钥匙保护对称钥匙，然后用对称钥匙加密信息。此技术帮助解决了对称钥匙加密技术中关于钥匙发布的难题，以及非对称钥匙加密技术的性能问题。AdobeAcrobat运用了混合加密技术，因此单个文档可对多个接收人进行保护，每个人都具备唯一的钥匙对。在此方法下，因为不必为每个人将整个文件加密，所以文件大小并没有增加很多。其实文件是用单个对称钥匙加密的，然后针对该对称钥匙为每个接受者各自的公共钥匙加密。授权除了可对谁可打开文档进行管理之外，企业还可通过授权获得额外的保护。授权通过许可和动态文档控制，对某个用户可以对文档做什么或实现什么进行指定。许可许可用于受保护的文件，它管理一个用户的动作。许可能够指定是否允许某个访问文档的接收人打印或复制内容、填空、添加评论和批注、插入或删除页、发送文档、离线访问文档以及添加数字签名等。动态文档控制动态文档控制在电子文档发布后维护该文档被分配的访问权限和许可。文档的创建人不必手动重新发布文档就可以对已发布的文档做出修改，当前所有的文档不管储存在什么地方都将得到更新。通过使用动态文档控制，企业可在防火墙内外离线或在线管理和监视电子文档以及跨多个文档进行管理和监视。动态文档控制包括以下功能：·文档过期和取消－通过过期日期的应用和取消文档的访问权，可对发布后的文档进行控制。比如，创建人将一份已设定为两个星期后过期的文件发送给接收人，当到达过期日期后，接收人将无法访问该文档。此外，如果某个授权的接收人离开了项目或调换了部门，文档的访问权可以被自动取消。·离线访问管理－企业可以管理授权接收人离线访问文档的时间。在指定的时间之后，接收人将无法再离线浏览文件，而必须上线才能继续访问文档。创建人对已发布文档的访问权和许可所做出的改动，会在接收人重新上线时应用到该文档。·持续的版本控制－内容和文档管理系统提供了一个高效的版本控制机制，只要文档在系统的范围内即可对其版本进行控制。持续的版本控制扩展了此功能，可在系统外及离线状态对版本进行控制。无论文档存放在哪里，它都允许文档的创建人对文档的使用策略进行改变以及防止过期的版本被访问，并可同时提供昀新版本的位置。打印评论内容提取实现可访问性内容复制和提取填写表单域授权是通过许可和动态文档控制实现的。以上是AdobeAcrobat和AdobeLiveCycle™PolicyServer提供的一些授权选项和动态文档控制层次。责任性文档审查使企业可以维护有关受保护文档的使用责任性，因此企业可以准确地获取下列信息：·某位接收人是如何使用文档的；·每种使用类型的出现频率；·这些使用是什么时候发生的。文档的创建人可以根据每个分配的许可（比如允许用户填写一个表单上的空栏、打印、发送和保存副本等）跟踪每个接收人对文档的使用，从而实现了责任性。审查应包括在有关受保护文档的使用方面设立自动通知。比如，当一位客户服务代表发送了一个时间紧急的电子客户结算单，客户需要在上面进行某些操作（如回复或数字签名）。当客户收到了电子文档后，在文档被打开时客户代表就会收到自动通知。如果客户没有打开文档，客户代表会在24小时后收到通知。作为选择，客户关系代表可以利用客户关系管理系统（CRM）的未打开通知功能，发起一个升级的任务或特定的跟踪任务。数字签名当企业通过电子化方式发布文档时，通常很重要的是接收者能够进行如下验证：·内容没有被改变（完整性）；·文档来自真正的发送者（真实性）；·签署了文档的人不能否认签名（不可否认性）。数字签名对文档的完整性、真实性和不可否认性提供了更高的保证，从而满足了上述的安全要求。完整性数字签名使接收人可以对用于单向或双向工作流的电子文档检验其完整性。比如，当一个数字签名应用到一份季度财务报表中去后，接收人可以更加确信文档在发出后没有经过改动。维护完整性的方法包括：·奇偶校验位或循环冗余检查（CRC）功能－循环冗余检查（CRC）功能对无意的修改（如电线干扰）效果很好，但聪明的攻击者可能会绕过检查；·单向哈希（Hash）－单向哈希可为任何长度的消息建立一个固定长度的值，称作哈希值或报文摘译。哈希就像一个唯一的指纹。将一个哈希附加到原来的消息后，接收人可以通过重新计算哈希，并和他/她对附加哈希的答案对比，来确定消息是否被改动。常见的哈希算法有MD5、SHA-1和SHA-256。Adobe运用了SHA-1和SHA-256算法，因为两者是被普遍接受的安全标准；·消息验证代码（MAC）－消息验证代码会阻止攻击者获得原始消息、修改消息再加上新的哈希。在这个情况下，会在消息验证代码上连接一个对称钥匙，然后进行哈希运算（HMAC）。没有钥匙攻击者就无法伪造新的消息。Adobe在合适的地方运用了HMAC。数字签名检验电子文档的完整性真实性数字签名通过验证签名者的数字身份保证文档的真实性。比如，一