32仅仅由单个相应的参 与者可访问(或选择参与者的数量)并且一般不可用于其他参与者。关于运样的差别化访 问的进一步细节稍后被描述。
[0035] 在成功解密时,访问模块20释放(一个或多个)经解密的部分,用于在相应参与 者存在的情况下经由打印机构12(即打印流水线)打印。
[0036] 在某些示例中,一般而言,多功能打印机130包括能够至少(经由打印机构12)执 行打印并且在某些实例中执行附加的功能(诸如复印、传真或扫描)的设备。
[0037] 在某些示例中,至少授权功能22和解密功能24独立于外部服务器(诸如用于管 控或管理加密密钥的传统策略服务器)而操作并且与外部服务器分离。代替地,与所供应 的私有密钥28协作地,访问模块20和嵌入在复合文档30内的差别化访问机制34的组合 实现复合文档的安全处置并提供在不同参与者之间对复合文档的至少某些部分的差别化 访问。
[0038] 图2为根据本公开内容的一个示例的示意性地图示了复合文档30的部分40的 框图。在本公开内容的至少某些示例中,并且如图2中所示,复合文档的部分40至少包括 工作流打印合格部分42和工作流打印非合格部分44。一般而言,每个工作流打印合格部 分42对应于打印机可识别的文件格式46,即多功能打印机10被配备成识别和处置的文 件格式。在某些示例中,复合文档30的(一个或多个)工作流打印合格部分42包括但不 限于W下中的至少一个:文本文件、某些图像文件(例如JPEG、PNG等)的可打印格式,或 文字处理器文件、幻灯片展示文件、电子表格文件等的可打印格式(例如便携式文档格式 (PD巧文件、打印机命令语言(PCL)文件、化stscript(P巧文件等)。在一个方面,W可打 印格式包括特定类型的文件(例如文字处理文件)经由对应的打印驱动器被转换成打印 机可识别的格式,由此产生打印合格部分42。运些(一个或多个)不同类型的工作流打印 合格部分42中的每一个(在经由打印驱动器转换之前)对应于并且源自不同的原生格式 应用。至少参考图1-2,在某些示例中,复合文档30包括公开地公布的复合文档(PPCD),诸 女日在DifferentialAccessforPublicly-PostedCompositeDocumentswithMultiple WorkflowParticipants(第10届关于文档工程的ACM研讨会的会议录,Docling' 10,会 议录115-124页,ACM,纽约,NY? 2010)中描述的那些复合文档。
[0039] 一般而言,进一步参考图2,复合文档30的(一个或多个)工作流打印非合格部 分44在多功能打印机10处不可打印(至少针对其中复合文档30到达多功能打印机10的 特定状态而言)并且不需要具有由多功能打印机10可识别的文件格式。因此,(一个或多 个)工作流打印非合格部分44关于其文件格式而言一般不受限制。然而,工作流打印非合 格部分44可W由多功能打印机10处置,因为它们形成复合文档30的部分。
[0040] 在某些示例中,如图3中所示,复合文档30(在图1中)包括公开地公布的复合文 档(PPCD)70。如在图3中进一步示出的,复合文档包括不同的部分72和映射文件76的阵 列74,其中针对与复合文档相关联的工作流中的每个参与者有至少一个映射文件76。在另 一方面,每个映射文件76包括密钥集78,其对应于针对特定部分(A、B、C、F、G等)被指派 被特定参与者77的访问级别。
[0041] 在某些示例中,如图4中所示,每个复合文档30 (诸如但不限于PPCD70)包括作 业标识符80和签名82,W确保复合文档(诸如复合文档30)的打印部分的执行被限制于经 授权的打印作业。在一个方面,作业标识符80和签名82形成被嵌入在复合文档30 (诸如 但不限于PPCD70)内的条目表格83的部分。在某些示例中,条目表格83提供了快速过滤 机制W标识用户的映射文件,而不暴露用户的身份。在一个方面,条目表格83的一部分被 加密并且经由工作流参与者的私有密钥28 (例如图1)可解密。在解密条目表格83时,与 对应于参与者的私有密钥相关联的映射文件被标识并且所恢复的私有密钥此外应用于该 映射文件,用于解密W获得针对特定参与者的密钥集78和参与者被准予访问的部分72。实 现条目表格的一个不例被描述于DifferentialAccessfor化blicly-PostedComposite Do州mentswithMultipleWorkflowParticipants(第 10 届关于文档工程的ACM研讨会 的会议录,Doc化g' 10,会议录,115-124页,ACM,纽约,NY? 2010)中。
[0042] 图5为根据本公开内容的一个示例的示意性地图示了表格120的框图,所述表格 120至少部分地定义了差别化访问机制34 (其本身被加密),W在多个工作流参与者之间提 供对复合文档30的至少某些加密部分32的差别化访问。如图5中所示,在某些示例中,表 格120包括行122W及列124,所述行122列出不同的工作流参与者111、112、113,所述列 124列出复合文档30的不同的部分(A、B、C、F和G)。一般而言,表格120表示映射文件76 建立工作流参与者111、112、113被准予对??〔070的各种(一个或多个)部分(4、8、(:、尸和 G)的差别化访问所用的方式的一个示例。
[0043] 如图5的表格120中所示,在一个示例中,可用于形成密钥集78的密钥包括加密 密钥巧)、解密密钥值)、签名密钥做和验证密钥(V)。在一个方面,验证密钥(V)允许验 证复合文档的一部分的可靠性而不提供对复合文档的内容部分的访问。
[0044] 在某些示例中,复合文档30的每个单独的部分(Pi)被分配有其自己的密钥集 (¥1、〇1、61、51),其中变量1表示若干不同部分(4、8、(:^、0之一的指定。利用其自己的 密钥集(¥1、〇1、61、51),每个部分(例如4、8、(:^、0可^被单独地(即与复合文档3〇的 其它部分分离地)加密、解密、签名和/或验证。对于复合文档30的每个部分,可分配给特 定参与者的四个潜在可用密钥的子集取决于针对复合文档30的特定部分、被授予该特定 参与者的访问级别而被置于该参与者的映射文件76(图3)中。 W45] 例如,考虑工作流参与者111 (图5的表格120中所表示的),对其而言针对复合文 档30的部分A和F准予参与者111修改(即读/写)访问,对其而言针对部分B和G准予 参与者验证访问,并且对其而言针对部分C准予参与者111只读访问。
[0046] 考虑该布置,为了针对部分A而向参与者111准予修改访问,分配密钥Va、Da、Ea、 Sa。类似地,为了针对部分F而向参与者111准予修改访问,给予参与者111密钥:Vf、Df、Ef、Sf,如图5中所示。另一方面,为了分别被准予针对部分B和G的验证访问,参与者111 分别被给予验证密钥Vb和Vg,如图5中所示。最终,为了被准予针对部分C的只读访问, 参与者111被给予验证密钥Vc和解密密钥化。在一个方面,将所有运些分配的密钥(Va、 Da、Ea、Sa、Vb、Vc、化、Vf、Df、Ef、Sf和Vf)置于被分配给工作流参与者lll的密钥映射文 件76(图3)中。
[0047] 将理解的是,其他示例性工作流参与者112、113也具有其自己的唯一密钥映射文 件76 (图3),所述映射文件包含与对于复合文档的各种部分所准予(给该特定工作流参与 者)的访问类型相对应的密钥。例如,工作流参与者113将会具有密钥映射文件76,所述映 射文件包含如下密钥:Va、Vb、Vc、Vg和Vf、Df、Ef、Sf,如图5的表格120中所示。在一个 方面,在该示例性密钥映射文件76中的密钥对应于针对部分A、B、C和G的验证访问W及针 对部分F的修改(即读/写)访问。对于工作流参与者112可W进行类似演示。
[0048] 在一个方面,将理解的是,对于对特定部分具有修改访问状态的用户,密钥W特定 次序被应用,其如下进行:首先应用验证密钥(Vi),随后是经由密钥Di的解密,W准许修改 经解密的部分,然后经由密钥Ei加密,并W密钥Si对加密部分进行签名而完成。对于对特 定部分具有只读访问状态的用户,密钥Vi和Di也按次序应用,其中首先应用密钥ViW进 行验证,然后应用密钥DiW解密复合文档的相关部分,W允许用户访问并读取复合文档的 部分。最终,对于对特定部分具有验证访问状态的用户,仅验证密钥Vi被应用W供用于验 证该部分的签名。
[00例如图5中所示,在某些实例中,若干参与者(例如11U113)被准予对相同部分(例 如部分巧的相同级别的实质访问(例如修改)。在某些实例中,仅仅一个参与者(例如111) 被准予对给定部分(例如部分C)的实质访问,而其他参与者仅仅具有验证类型的访问。
[0050] 此外,在某些示例中,给定参与者(例如111)已经被准予对多于一个部分(例如 部分A、C和巧的实质访问,其中那些部分中的一个(例如部分C)为只读访问。另一方面, 关于其它两个部分(例如部分A和巧,已经向参与者111准予了修改类型的访问。
[0051] 将理解的是,表格120提供了在复合文档的各种部分之间被准予各个参与者的访 问的不同组合的仅一个示例。此外,如上所指出的,在某些示例中,每个部分包括一部分的 单个文件或整个文件。在某些示例中,每个部分包括复合文档内不同文件的部分。 阳化引考虑到运个,将注意到,复合文档30(例如PPCD10)的实际内容可W包括许多分 离的文件和文档。根据按照其中将被分配相同的访问控制的各个文件和/或文件片段被组 合成内容部分的工作流而准予的访问,内容被划分成部分。每个内容部分单独加密,W使得 密钥针对每个部分而不同,并且可W与其它内容部分分离地被访问。包括一个(访问或内 容)部分的所有单独的文件和片段可同时访问。如果特定文档工作流中的少数不同的文件 或片段需要不同的访问,则它们被置于不同的部分中。
[0053] 在进一步描述与将在多功能打印机10(图1)处实现解密和差别化访问所用的方 式相关的示例之前,将描述多功能打印机10的附加组件。
[0054] 考虑到运个,图6是根据本公开内容的一个示例的示意性地图示了控制部分160 的框图。在某些示例中,控制部分160包括控制器162、存储器164和用户接口 166。在某 些示例中,控制部分160形成多功能打印机10(