[发明专利]密钥加密密钥封装

说明书

在一个示例中，描述了一种加密方法，其包括生成内容加密密钥和密钥加密密钥。在该示例中，基于密钥封装操作使用密钥加密密钥对内容加密密钥进行封装，并且使用策略加密密钥对被封装的内容加密密钥进行加密。进一步地，在该示例中，使用对应于打印装置的公钥对策略加密密钥进行加密。在一个示例中，描述了一种解密方法。示例性的解密方法使用对应于打印装置的私钥执行策略对象的恢复。在该示例中，策略对象包括被封装的秘钥，其被使用密钥加密密钥解包，以恢复可用于对被加密的电子文档进行解密的内容加密密钥。

背景技术

图像是可加工的，以用于诸如打印装置的计算机器。例如，打印装置可以通过根据基于处理后的图像数据的控制数据操作打印流体喷射系统来产生图像的物理表示。图像可以在打印装置流水线中处理，或者在单独的计算设备(例如打印服务器)上离线处理。待复制的图像数据可以通过与用户设备(例如台式计算机)的直接电缆连接、无线连接(例如经由移动设备)、通过网络连接(例如通过局域网或互联网)或者包括其组合的数据传输路径传输到打印装置。包括图像数据的电子文档可以以公开的方式传输，或者使用诸如加密等混淆形式以私密的方式传输。

附图说明

图1是描绘示例性加密系统的框图。

图2是描绘示例性解密系统的框图。

图3是描绘在示例性加密系统与示例性解密系统之间传输加密文档的框图。

图4是描绘经由示例性打印服务在示例性加密系统与示例性解密系统之间传输加密文档的框图。

图5是描绘示例性加密系统的框图。

图6是描绘示例性解密系统的框图。

图7-10是描绘示例性加密方法的流程图。

图11-15是描绘示例性解密方法的流程图。

具体实施方式

在下面的描述和附图中，描述了加密方法、解密方法以及能够使用这种加密和/或解密方法的设备的一些示例性实现方式。一些打印解决方案容易受到攻击，例如中间人攻击，其中对手可以冒充打印装置的身份并读取机密文档。传输安全机制可以给打印作业提供认证的端到端加密，而一些打印工作流程，例如拉式打印或基于云的打印，不允许用户直接连接到打印装置。因此，用户可能不知道作业被发送到哪里，或者不知道中间服务如何处理作业。在一些示例中，打印作业可以使用由密码导出的对称加密密钥进行加密，但是这种作业可能容易受到对加密的打印作业的未检测的操纵和/或对打印作业拦截随后进行解密(例如，当密码很弱或者被对手发现时)。

下面描述的各种示例涉及使用用于保护发布策略下的内容的第一形式的加密和基于打印机的信息的第二形式的加密来加密文档。例如，用于打印的电子文档可以用用户密码(或其它用户特定信息)保护，并被限制为由特定的打印装置打印，例如通过与打印装置一起使用公钥加密技术或通过执行加密操作的另一设备进行限制。通过以双重保护的方式绑定电子文档，当满足多个条件时发布打印作业，并且可以防止例如孤立于用户或打印机的攻击。

图1是描绘示例性加密系统100的框图。图1的示例性加密系统100一般包括加密引擎102和通信引擎104。一般而言，加密引擎102使用多种加密技术来保护数据，包括使用输入106生成密钥加密密钥(KEK)的封装技术和使用打印机公钥108的加密技术，通信引擎104可以准备传输由加密引擎102加密的文件。

加密引擎102表示任何电路或者电路与可执行指令的组合，用以使用利用KEK的密钥封装技术对密钥进行封装和使用打印机公钥108对密钥进行加密。加密引擎102使用唯一的打印作业数据(即，KEK输入106)和唯一的打印机数据来保护打印作业。加密引擎102可以生成使用唯一的打印作业数据和唯一的打印机数据加密的电子数据包，使得打印作业受到多个安全向量的保护。KEK输入106和打印机公钥108可以与加密系统100一起本地存储，或者可以是能够从远程存储中检索的。