一种基于密点标注的细粒度访问控制方法技术

本发明专利技术公开了一种基于密点标注的细粒度访问控制方法。本发明专利技术方法首先标注密点信息，包括密点的密级、有效时间域、有效空间域，然后生成分级密钥对文件中各密点进行分级加密，并将加密后文件传输到服务器中存储；为用户分配角色，为角色分配操作权限，对角色权限做进一步拓展；最后，以密点为单位根据密级、时间域、空间域、操作权限多维度实施访问控制。本发明专利技术方法降低了权限管理的复杂性，以密文形式存储和传输，加强文件的存储和传输的安全性。本发明专利技术多维度标注密点信息拓展角色权限集，细化访问控制策略，保证访问控制的合理性和严密性。本发明专利技术以密点为单位细粒度实时访问控制，增强了访问控制的灵活性，提高了电子文件的安全水平。

A fine grained access control method based on dense point labeling

【技术实现步骤摘要】
一种基于密点标注的细粒度访问控制方法
本专利技术属于电子信息安全
，具体涉及一种基于密点标注的细粒度访问控制方法。
技术介绍
互联网的蓬勃发展及办公自动化程度的日益普及和深入为信息资源共享提供了更加完善的手段。在各级党政机关部门、国防军工以及企事业单位中，越来越多的信息以电子文件的形式存在，其不仅关系到我国各个产业的良好运转和高速发展，更直接关系到我国各省、市乃至国家级信息的机密性。因此，在方便快捷实现信息资源共享的同时，防止非授权用户对机构内敏感信息进行非法访问是当前电子文件安全管控领域的重中之重。当前，我国依据其泄密后造成的安全与利益的损害程度对电子文件的密级进行划分，对于商业秘密，电子文件可以分为核心商业秘密、重要商业秘密、一般商业秘密和公开等四个等级。对于国家秘密，电子文件一般分为绝密、机密、秘密、内部和公开等五个等级。同样，使用这些电子文件的用户也根据不同的工作知悉需要进行等级的划分，例如可以把用户的安全等级划分为核心涉密人员、重要涉密人员、一般涉密人员和不涉密人员。但是，当前电子文件的访问控制的技术，大多以文件为单位，而不是以文件中秘密内容为单位，访问控制的精确度和灵活性较低，且当前访问控制策略中缺乏对电子文件数据区域性、时间性等特性的充分考虑，因而访问控制机制不够严谨，未能实现对电子文件的有效管理。而且，当前大多数电子文件以明文形式存储和传输，电子文件的安全性难以保证，可能导致信息资源泄露。
技术实现思路
本专利技术的目的是针对当前电子文件的安全性和共享性问题，提供一种基于密点标注的细粒度访问控制方法。本专利技术方法以密点为单位实现电子文件的信息标注、加解密和访问控制，细化访问控制单位，提高访问控制的精确度和灵活性。利用角色匹配用户与权限，增强用户对权限动态变化的适应性。多维度限制用户权限，增加用户权限使用条件，提高用户权限使用精度。从密级、空间、时间角度实施访问控制策略，保证访问控制的合理性和严密性。基于此，有效解决了对电子文件的细粒度访问控制问题，保障了电子文件内容的安全。所述密点是指文件中具体决定一个事项具备国家秘密本质属性的关键内容，一般表现为文字、数据、图表等。所述密点标注是指对文件中的密点标注相关信息，包括：密级、有效时间域(时间期限)、有效空间域(空间范围)。设定网络系统中N个用户的用户集合为U＝{U1,U2,…,UN}，每个用户都注册有唯一的身份标识ID号IDn，n＝1,2,…,N；为用户分配的角色集合为R＝{R1,R2,…,RI},Ri表示其中一个角色，i＝1,2,…,I；操作权限集合为P＝{P1,P2,…,PJ}，Pj表示其中一种操作权限，j＝1,2,…,J；密级集合为L＝{L1,L2,…,LA}，La表示其中一种具体密级，a＝1,2,…,A；有效时间域集合为T＝{T1,T2,…,TB}，Tb表示其中一个具体有效时间域，b＝1,2,…,B；有效空间域集合为S＝{S1,S2,…,SC}，Sc表示其中一个具体有效空间域，c＝1,2,…,C；访问控制方法具体是：步骤(1).密点信息标注：(1-1).用户在用户端创建电子文件，并将电子文件内容中的秘密信息标注为密点；(1-2).为电子文件中的密点标注密级La、有效时间域Tb、有效空间域Sc；密级是指密点中秘密信息的秘密等级；有效时间域是指以密点中秘密信息的保密期限为依据，生成的对密点的有效访问时间；有效空间域是指以密点中秘密信息的内容为依据，生成的对密点的可访问区域；(1-3).生成密点信息辅助块，包括：密级标志、时间域标志和空间域标志，并将其与密点绑定；绑定方式是指将密点信息辅助块直接插入到电子文件中密点内容下方；步骤(2).对密点进行分级加密：(2-1).用户端依据标注的密点信息统计文件中各密点的密级，向服务器申请其中最高密级的密钥；(2-2).服务器生成最高密级的密钥，并通过安全信道传输至用户端；上一级密级的密钥由下一级密级的密钥加上特定长度的字符串构成，逐级增加，最高密级的密钥包含最高密级增加的字符串及以下所有密级的密钥，字符串的特定长度是指与最低密级的密钥长度相同；(2-3).用户端解析最高密级的密钥，得到所有密级的密钥；(2-4).用户端对各密级的密钥进行定长处理：对不同长度的各密级的密钥通过哈希算法进行处理，分别得到固定长度的密钥，即为分级加密密钥；(2-5).用户端以密点为单位，依据密点的密级，利用加密算法通过分级加密密钥对密点进行加密；对不同密级的密点采用对称加密算法，即加密密钥也是解密密钥；(2-6).传输加密后的文件至服务器端数据库存储，其中密点以密文形式存储，其它部分以明文形式存储；步骤(3).为用户分配角色：依据用户和角色的指派关系为用户分配角色，其基本方法为：根据用户的职能和权利为其分配不同角色；在角色分配中，一个用户拥有一个或多个角色，多个用户拥有同一个或多个角色；如果两个角色间相互冲突，则用户只能被赋予一个角色；步骤(4).为角色分配权限；将操作权限集合P与密级集合L、有效时间域集合T、有效空间域集合S绑定在一起，构成拓展权限集；拓展权限集的具体分配方法为：(4-1).为角色Ri指派操作权限Pj；在赋予用户角色的同时赋予用户相应的操作权限；(4-2).为操作权限指派有效密级域；对角色指派可访问的密级La，该角色对应的操作权限只可以在可访问密级内实现，超出密级范围权限将失效；被赋予该角色的用户可访问其相应密级La和低于该密级的全部密点；(4-3).为操作权限指派有效时间域Tb；依据角色的有效工作时间指派操作权限的可使用时间，使得该角色的操作权限只在特定时间期限内有效，超出期限则权限收回；(4-4).为操作权限指派有效空间域Sc；指派操作权限的可用区域，使得角色的操作权限只能在对应的有效空间域实现，有效空间域为特定组织机构或部门；步骤(5).细粒度访问控制：在访问控制中，以密点为单位进行访问控制，具体步骤是：(5-1).用户Un申请访问电子文件；(5-2).用户端对访问申请生成访问日志，发送给服务器；(5-3).服务器存储日志，并查询该文件是否存在：若存在，则将文件及日志返回给用户端；若不存在，则向用户端返回空信息；(5-4).若用户端收到服务器返回信息为空，则向用户显示访问失败，结束本次访问；若收到返回信息不为空，则对电子文件进行解析，获得电子文件的全部内容，包括各密点k，k＝1,2,…,K，及各密点对应的密级Lka、有效时间域Tkb、有效空间域Skc，ka∈[1,A]，kb∈[1,B]，kc∈[1,C]；服务器传输到用户端的电子文件中，密点以密文形式显示，其它部分以明文形式显示；(5-5).用户端向服务器获取用户Un的角色Rni及相应拓展权限，包括操作权限Pnj、密级Lna、有效时间域Tnb、有效空间域Snc，ni∈[1,I]，nj∈[1,J]，na∈[1,A]，nb∈[1,B本文档来自技高网...

【技术保护点】
1.一种基于密点标注的细粒度访问控制方法，其特征在于，该方法以密点为单位对电子文件进行分级访问控制；/n所述密点是指文件中具体决定一个事项具备国家秘密本质属性的关键内容；/n所述密点标注是指对文件中的密点标注相关信息，包括：密级、有效时间域、有效空间域；/n设定网络系统中N个用户的用户集合为U＝{U

【技术特征摘要】
1.一种基于密点标注的细粒度访问控制方法，其特征在于，该方法以密点为单位对电子文件进行分级访问控制；
所述密点是指文件中具体决定一个事项具备国家秘密本质属性的关键内容；
所述密点标注是指对文件中的密点标注相关信息，包括：密级、有效时间域、有效空间域；
设定网络系统中N个用户的用户集合为U＝{U1,U2,…,UN}，每个用户都注册有唯一的身份标识ID号IDn，n＝1,2,…,N；为用户分配的角色集合为R＝{R1,R2,…,RI},Ri表示其中一个角色，i＝1,2,…,I；操作权限集合为P＝{P1,P2,…,PJ}，Pj表示其中一种操作权限，j＝1,2,…,J；密级集合为L＝{L1,L2,…,LA}，La表示其中一种具体密级，a＝1,2,…,A；有效时间域集合为T＝{T1,T2,…,TB}，Tb表示其中一个具体有效时间域，b＝1,2,…,B；有效空间域集合为S＝{S1,S2,…,SC}，Sc表示其中一个具体有效空间域，c＝1,2,…,C；访问控制方法具体是：
步骤(1).密点信息标注：
(1-1).用户在用户端创建电子文件，并将电子文件内容中的秘密信息标注为密点；
(1-2).为电子文件中的密点标注密级La、有效时间域Tb、有效空间域Sc；密级是指密点中秘密信息的秘密等级；有效时间域是指以密点中秘密信息的保密期限为依据，生成的对密点的有效访问时间；有效空间域是指以密点中秘密信息的内容为依据，生成的对密点的可访问区域；
(1-3).生成密点信息辅助块，包括：密级标志、时间域标志和空间域标志，并将其与密点绑定；绑定方式是指将密点信息辅助块直接插入到电子文件中密点内容下方；
步骤(2).对密点进行分级加密：
(2-1).用户端依据标注的密点信息统计文件中各密点的密级，向服务器申请其中最高密级的密钥；
(2-2).服务器生成最高密级的密钥，并通过安全信道传输至用户端；
上一级密级的密钥由下一级密级的密钥加上特定长度的字符串构成，逐级增加，最高密级的密钥包含最高密级增加的字符串及以下所有密级的密钥，字符串的特定长度是指与最低密级的密钥长度相同；
(2-3).用户端解析最高密级的密钥，得到所有密级的密钥；
(2-4).用户端对各密级的密钥进行定长处理：对不同长度的各密级的密钥通过哈希算法进行处理，分别得到固定长度的密钥，即为分级加密密钥；
(2-5).用户端以密点为单位，依据密点的密级，利用加密算法通过分级加密密钥对密点进行加密；对不同密级的密点采用对称加密算法，即加密密钥也是解密密钥；
(2-6).传输加密后的文件至服务器端数据库存储，其中密点以密文形式存储，其它部分以明文形式存储；
步骤(3).为用户分配角色：
依据用户和角色的指派关系为用户分配角色，其基本方法为：根据用户的职能和权利为其分配不同角色；在角色分配中，一个用户拥有一个或多个角色，多个用户拥有同一个或多个角色；如果两个角色间相互冲突，则用户只能被赋予一个角色；
步骤(4).为角色分配权限；
将操作权限集合P与密级集合L、有效时间域集合T、有效空间域集合S绑定在一起，构成拓展权限集；拓展权限集的具体分配方法为：
(4-1).为角色Ri指派操作权限Pj；在赋予用户角色的同时赋予用户相应的操作权限；
(4-2).为操作权限指派有效密级域；对角色指派可访问的密级La，该角色对应的操作权限只可以在可访问密级内实现，超出密级范围权限将失效；被赋予该角色的用户可访问其相应密级La和低于该密级的全部密点；
(4-3).为操作权限指派有效时间域Tb；依据角色的有效工作时间指派操作权...

【专利技术属性】
技术研发人员：王震，曲单妮，王秋华，任一支，吴国华，姚晔，张祯，陈临强，袁理锋，
申请(专利权)人：杭州电子科技大学，
类型：发明
国别省市：浙江;33