确定:多功能打印机是将接受和保留复合文档30W供进一步处理,还是替 代地,复合文档30将由于关于可靠性或复合文档的其它特征的某种缺陷而被丢弃。
[0079]图7C为根据本公开内容的一个示例的示意性地图示接收模块230的框图,所述接 收模块230形成多功能打印机10的部分,如先前与图1-7B相关联地描述的。
[0080] 如图7C中所示,在某些示例中,接收模块230包括签名验证功能232。在一个示例 中,在将复合文档30存储在(存储器164的)专用存储器部分中之前,经由签名验证功能 232,系统(针对复合文档30的每个部分)而验证文档签名的可靠性和签名验证密钥证书 上的鉴证(certification)链。如果不能找到签名或证书,如果签名验证失败,或如果鉴证 链遗漏了可信/经授权的根证书权限(或如果证书不在经授权的列表中),则复合文档30 出于不可靠而被自动丢弃。在某些示例中,关于与验证相关的状态的通知被发送至文档管 理器或录入到与复合文档30相关联的日志中。
[0081] 在某些示例中,复合文档30 (诸如PPCD)的可靠性被立即验证,因为每个复合文档 (例如PPCD)被签名。在某些示例中,(一个或多个)复合文档的提交被限制于经授权的人 员,W使得复合文档由属于那些经授权人员的已知签名密钥来签名。在一个方面,未签名文 档或由未经授权人员签名的文档被丢弃而不存储于多功能打印机10中。
[0082] 如在图7C中另外示出的,在某些示例中,接收模块230包括认证功能234。一般而 言,认证功能234使得能够根据标准过程而验证复合文档的多个部分中每个部分的签名参 数的次序和可靠性,W建立复合文档的可靠性(其由每个工作流参与者在接收复合文档、 例如PPCD文档时执行)。在一个方面,认证功能234至少结合图9中的282处的访问协议 来操作。
[0083] 在某些示例中,接收模块230 (图7C)形成接收模块200 (图7A)和/或接收模块 220 (图7B)的部分和/或并入其特征和属性。
[0084] 已经描述了复合文档30可W如何到达多功能打印机10和/或复合文档在其到 达时被认证(在某些示例中),现在关于W下而提供进一步的细节:如何确定恰当的参与 者(经授权的参与者)存在于多功能打印机10处,W及多功能打印机10如何接收私有密 钥,所述私有密钥是用于获得对将在多功能打印机10处打印的复合文档30的加密的部分 32 (图1)的访问的若干工具之一。
[0085]图8是根据本公开内容的一个示例的示意性地图示了多功能打印机的访问模块 的授权模块240的框图。在某些示例中,授权模块240被并入在访问模块20的授权功能22 内和/或对其进行补充,如先前与图1相关联地描述的。
[0086] 一般而言,授权模块240包括凭证(credential)功能242,W接收用户输入(在多 功能打印机的控制面板处)并且确定用户是否被授权访问私有解密密钥,其可W导致访问 和部署附加密钥W最终提供对复合文档30的至少某些加密的部分32的访问。在某些示例 中,用户授权通过W下而被测试:要求参与者提供凭证(诸如用户名和密码或个人标识号 (PIN)),作为登录256的部分或生物测定凭证,或其它形式的认证。
[0087] 在成功的授权时,凭证功能242从资源接收私有密钥244。在某些示例中,授权模 块240的凭证功能242提示用户选择资源,从所述资源中将获得私有密钥W便最终获得对 多功能打印机10中所选择的文档或文档组的访问。因此,W下描述了私有密钥经由其可W 被访问的至少某些可选资源。在某些示例中,可选资源(在该处存储私有密钥)已经驻留 (例如驻留装置246)在多功能打印机10内或处于其内部,即本地存储于多功能打印机10 的存储器内(例如在本地硬驱动器的专用密钥存储装置中)。在某些示例中,资源(在该 处存储和访问私有密钥244)包括可移除的存储器源247,诸如经由多功能打印机10的USB 端口可接收的USB存储设备、由多功能打印机10的智能卡读取器可读的智能卡等,从其中 私有密钥244可W在多功能打印机10处在本地直接访问。在某些示例中,本地可访问的资 源(例如USB存储设备)采用身份担保工具,诸如在来自加利福尼亚州尔湾的HIDGlobal 的在商品名Actividentity下可得到的那些。
[008引在某些示例中,资源(经由其而取出私有密钥)包括用户目录248,诸如与多功能 打印机相通信的轻量级目录访问协议(LDA巧服务器,其将私有密钥244提供给多功能打印 机10。在某些示例中,资源(经由其而取出私有密钥)包括基于云/服务的用户身份服务。
[0089]考虑运些布置,现在将注意力指向访问模块20(图1),其利用部分32的加密和 (复合文档30的)差别化访问机制,W选择性地使得多功能打印机10处的参与者能够访问 他们被准予访问的复合文档30的部分。
[0090] 图9A为根据本公开内容的一个示例的示意性地图示了访问协议250的至少某些 部分的流程图251。
[0091] 如图9A中所示,访问协议250发起授权254。在某些示例中,授权254根据授权模 块240执行,如先前与图8相关联地描述的。然而,在某些示例中,用户授权254从协议中 省略。
[0092] 一般而言,作为用户对于W与先前同图8相关联地描述的基本上相同的方式从资 源访问私有密钥的尝试的部分而执行授权254。如果用户授权是成功的,则私有密钥的检索 或从资源对私有密钥的访问完成,如图9A中的260处所示出的。
[0093] 然而,如果用户授权不成功,则协议250包括拒绝用户(例如参与者)在多功能打 印机10处关于特定复合文档的任何进一步参与。
[0094] 进一步参考图9A,状态262在访问模块(诸如图1中的访问模块20,其还可W为 图6中的用户接口 166的部分)处经由弹出通知而被报告给用户,其关于对其私有密钥的 访问是否被准予。
[0095] 接下来,在对私有密钥的经准予的访问时,从在该处存储密钥的资源检索或仅访 问密钥,并且在图9A中的267处,在多功能打印机10处经由私有密钥而做出对于访问复合 文档的尝试。如果用户被授权访问特定复合文档30,则他的私有密钥可W用于成功地解密 复合文档30的某些部分(根据经准予的访问)。
[0096] 在某些示例中,出于是错误密钥(即不匹配)、无效、被损坏等或因为用户不被授 权访问复合文档30,用户的私有密钥是不可接受的。如果用户的密钥没有损坏或破坏,则他 可W尝试解密复合文档30。如果用户被授权,则对于部分地解密PPCD的尝试将会成功,并 且如果用户不被授权,则对于解密的尝试将失败。
[0097]在某些示例中,经允许或拒绝的访问的状态268在用户接口 166(图6)处经由弹 出通知而被报告。如别处所指出的,如果访问被拒绝,则在某些示例中,复合文档30 (或其 部分)立即从多功能打印机10被丢弃W确保安全,特别是鉴于所尝试的未经授权的访问。 因此,对于该特定参与者,将没有复合文档的解密发生,并且他们将不能从复合文档打印。 此外,在某些示例中,即使经由私有密钥而准予了访问,如果用户决定在允许的时间段内不 继续进行对所列作业之一的打印,则所检索的密钥被自动丢弃。
[009引将指出,在到达多功能打印机10之前,在某些示例中用户的私有密钥W加密的格 式存储和传递,W在到达多功能打印机10之前确保对其的保护,如先前至少与图8相关联 地描述的。在一个示例中,在从在线/云身份服务或集中式LDAP胆存库取出私有密钥的情 况下,该加密的格式包括PKCS#12格式,并且由基于用户密码的对称密钥保护。在一个方 面,私有密钥的解密经由授权模块240 (图8)执行。
[0099]假如用户凭证(图9A中的授权254处)已被接受并且私有密钥已被接收(对私 有密钥的访问被准予),如图9A中所示,在280处,协议250包括,使用与复合文档(诸如 公开地公布的复合文档)相关联的条目表格并且提取用户的特定对称密钥和用户的密钥 映射条目(诸如来自图1中的映射文件76)的名称。按照访问模块20(图1)的解密功能 24,用户的密钥映射条目然后被解密并且对应于用户访问的访问密钥的子集(例如图4B中 的密钥集78)被恢复。
[0100] 接下来,每个部分的可靠性被验证(在图9A中的282处)并且用户被准许访问的 部分被提取并解密。在某些示例中,认证和解密方案经由化enS化库的C++而被构造。在 某些示例中,通过使用资源而构造解密,所述资源诸如但不限于若干公共库中的任一个,包 括:BouncyCastle库(诸如在http://bouncycastle.org处可得到的那塔)的C# ;来自微 软公司的Cryptography化xtGeneration(下一代密码术);W及NSA套件B密码术。在 某些示例中,该认证对应于图7C中的认证功能234的操作。 阳101] 在某些示例中,作为准予对PPCD的访问的部分,打印机自动验证PPCD的每个部分 被签名或部分的每个集合(每个部分具有相同级别的访问控制)被签名。如果任何的运些 验证失败,则作业处理立即终止并且所有数据被丢弃。在某些示例中,该签名验证对应于签 名验证功能232,如先前与图7C相关联地描述的。 阳102] 在某些示例中,访问协议包括在允许打印作业朝向打印流水线继续进行之前,验 证复合文档的所有表格签名。 阳103] 在某些示例中,没有复合文档打印作业的任何部分被提交至打印流水线(图9A中 的288处)直到最后的签名验证成功完成为止。在一个方面,该安全性确保不受信任的文 档不被打印。 阳104] 如另外在284处示出的,访问模块20(图1)显示针对特定经授权用户的可用复合 文档打印作业的列表。
[01化]然而,在某些示例中,代替于在访问模块20处显示可用复合文档打印作业之前首 先请求用户凭证,访问协议250在多功能打印机10处显示可用的经加密作业和未加密作 业。W运种方式,用户被准许访问并打印未加密作业。如果加密作业被选择用于访问,则访 问协议250遵循请求用户凭证、取出密钥等的上述路径。
[0106] 进一步参考图9A,在至少经由图9A中的280的运样的解密之后,在286处,访问协 议250继续进行W将明文(cleartext)部分存储在临时的存储器目录中,所述临时的存储 器目录具有由打印机固件的排他性访问。在某些示例中,在解密之后留下的明