一种细粒度的文档加密保护控制方法,属计算机信息安全和网络安全的技术领域。从信息内容本身的安全性出发,根据安全需求将同一文件进行细粒度分割,并对该信息内容,采用加密技术确保被保护内容表示形式的安全,同时定义该保护单元的版权信息、使用规则和使用者信息来制定保护单元的安全策略,将这几种信息封装在一起,形成保护单元。当用户认证打开文件时,通过检查用户对文件的权限来选择打开文档不同部分,以起到细粒度文档保护的功能。现有权限控制技术只能将文档的使用权限细化到单个文档,本发明专利技术的方法能将文档的使用权限细化到单个文档以下的章、节,甚至句、字,为同一文档建立不同的安全级别提供了有效的解决方案。
【技术实现步骤摘要】
本专利技术涉及一种,属计算机信息安全和网络安全的
技术介绍
全世界由于信息系统的脆弱性而导致的经济损失逐年上升,信息安全问题日益严重,引起各国政府有关部门和企业高度重视。网络安全技术和安全产品首先发展起来,目前市场上有诸如防火墙、入侵检测系统、网络安全审计系统等比较成熟的网络安全产品。虽然这些技术能够在一定程度上提高网络的安全性,但令人遗憾的是,它们对信息内容的监控、过滤、保护,以及有效地合法使用基本上无能为力。随着Web的盛行,反动、色情内容、垃圾邮件、恶意移动代码等给信息安全带来全新的挑战。另外,Internet范围内信息内容的版权保护问题,也极大影响数字产品等电子商务买卖活动的实施,信息内容的安全性问题日渐突出。目前发展较快的内容过滤技术,针对过滤web页面内容等问题提供了解决方案。国内一些公司和高校在这方面也有专门的研究。内容过滤技术对信息内容的分析、审计与控制,并没有从内容本身考虑其安全性(如从信息内容的整个生命周期角度)。IBM、INTER-TRUST、SOFTLOCK、SOFTSEAL等公司提出的版权保护技术为信息内容的管理、使用规则、整个生命周期的安全问题提供了良好的解决方案。现有的系统都把注意力集中在整篇文档的安全性保护上,这样就存在着这样一种弊端如果某个用户对某篇文档具有权限,那么他就等于对整篇文档都具有阅读或者操作的所有权限。如在某公司中,对于一篇项目说明文档,对于不同职位的人是有不同的安全级别的,经理应具有所有的权限,而销售人员不允许看到项目说明中的技术细节,外部员工只能看到文档中的摘要部分。现有的系统并没有考虑到同一篇文档的不同部分也具有不同的安全级别的事实。
技术实现思路
本专利技术的目的是提出一种,从信息内容本身的安全性出发,着眼于信息内容更细粒度的安全性,综合考虑信息内容的管理、使用规则、整个生命周期的安全性,实现了一种对同一文档中细粒度的安全保护,可以解决对同一文档内部不同安全级别的安全访问控制。为了实现上述目的,本专利技术采用的技术方案是从信息内容本身的安全性出发,根据安全需求将同一文件进行细粒度分割,并对该信息内容,采用加密技术确保被保护内容表示形式的安全,同时定义该保护单元的版权信息、使用规则和使用者信息来制定保护单元的安全策略,将这几种信息封装在一起,形成保护单元。当用户认证打开文件时,通过检查用户对文件的权限来选择打开文档不同部分,以起到细粒度文档保护的功能。现详细描述本专利技术的技术方案一种,需在由若干用户计算机、认证服务器、权限服务器和局域网组成的细粒度文档服务系统中施行,用户计算机是PC机、掌上电脑或PDA,用户计算机的输入设备为鼠标、键盘或触摸屏,用户计算机的输出设备为显示器,用户计算机通过局域网与认证服务器和权限服务器连接,有分段加密的文档存储在权限服务器的存储器中或者用户计算机的存储器中,其特征在于,所述的方法的施行流程描述如下第1步用户发出查看某一文档的请求用户通过用户计算机的输入设备发出查看某一文档的请求,如该文档存储用户计算机的存储器中,执行第2步,如该文档存储在权限服务器的存储器中,则先将该文档下载到用户计算机的存储器中,执行第2步;第2步用户计算机向认证服务器发送用户认证请求用户计算机接收到输入设备的请求后就通过局域网向认证服务器发送用户认证请求;第3步认证服务器认证用户认证服务器检测数据库,从数据库中查找第一步所述的用户是否存在,密码是否正确,如是,认证服务器生成相应的证书,通过返回给用户,认证通过,执行第4步,如否,认证失败,执行第6’步;第4步用户计算机向权限服务器发送用户认证证书,要求获取使用特定文档的权限用户计算机通过局域网获得所需的用户认证证书,将该证书同用户要查看文档的编号一起通过局域网发送给权限服务器;第5步权限服务器验证用户对保护颗粒的权限权限服务器验证该用户是否具有对文档内特定保护颗粒的使用权限,如具有,权限服务器产生使用证书,发送给用户,执行第6步,如不具有,权限服务器不产生使用证书和不向用户发送使用证书,执行第6’步;第6步用户接收使用证书释放保护颗粒,其使用权限得到行使用户计算机释放用户所需文档的与使用证书对应的保护颗粒,并将该保护颗粒显示在用户计算机的显示器的屏幕上,供用户阅读,用户的使用权限得到行使,结束;第6’步用户计算机拒绝授予用户使用权限,结束。与已有技术相比,本专利技术具有以下的优点现有权限控制技术只能将文档的使用权限细化到单个文档,本专利技术在当前已经成熟的加密技术和权限控制技术的基础上,引入细粒度文档加密技术,能将文档的使用权限细化到单个文档以下的章、节,甚至句、字,为同一文档建立不同的安全级别提供了有效的解决方案。附图说明图1是细粒度的文档服务系统的硬件结构示意图。本专利技术的方法需在该系统中施行。图2是本专利技术的方法的施行流程图。具体实施例方式实施例1用户是一位经理,具有最高权限,即有权查看数据库中的任何一个文档的全部保护颗粒。一种,需在由若干用户计算机、认证服务器、权限服务器和局域网组成的细粒度文档服务系统中施行,用户计算机是PC机,用户计算机的输入设备为鼠标,用户计算机的输出设备为显示器,用户计算机通过局域网与认证服务器和权限服务器连接,有分段加密的文档存储在权限服务器的存储器中或者用户计算机的存储器中,其特征在于,所述的方法的施行流程描述如下第1步用户发出查看某一文档的请求用户通过用户计算机的鼠标发出查看某一文档的请求,并输入自己的账户名和密码,所述的文档存储用户计算机的存储器中,执行第2步;第2步用户计算机向认证服务器发送用户认证请求用户计算机接收到触摸屏的请求后就通过局域网向认证服务器发送用户认证请求、用户的账户名和用户的密码;第3步认证服务器认证用户认证服务器检测数据库,从数据库中查找到所述的用户的账户名存在,密码正确,认证服务器生成相应的证书,通过返回给用户,认证通过,执行第4步;第4步用户计算机向权限服务器发送用户认证证书,要求获取使用特定文档的权限用户计算机通过局域网获得所需的用户认证证书,将该证书同用户要查看文档的编号一起通过局域网发送给权限服务器;第5步权限服务器验证用户对保护颗粒的权限权限服务器验证该用户具有对文档内特定保护颗粒的使用权限,在本实施例中,所述的使用权限为最高权限,权限服务器产生使用证书,发送给用户,执行第6步;第6步用户接收使用证书释放保护颗粒,其使用权限得到行使用户计算机释放用户所需文档的与使用证书对应的保护颗粒,并将该保护颗粒显示在用户计算机的显示器的屏幕上,供用户阅读,用户的使用权限得到行使,在本实施例中,所述的保护颗粒为所查看文档的全部保护颗粒,结束。实施例2用户是一位普通用户,具有一般权限,即有权查看数据库中的部分文档的部分保护颗粒。一种,需在由若干用户计算机、认证服务器、权限服务器和局域网组成的细粒度文档服务系统中施行,用户计算机是PC机,用户计算机的输入设备为键盘,用户计算机的输出设备为显示器,用户计算机通过局域网与认证服务器和权限服务器连接,有分段加密的文档存储在权限服务器的存储器中或者用户计算机的存储器中,其特征在于,所述的方法的施行流程描述如下第1步用户发出查看某一文档的请求用户通过用户计算机的键盘发出查看某一文档的请求,并输入自己的账户本文档来自技高网...
【技术保护点】
一种细粒度的文档加密保护控制方法,需在由若干用户计算机、认证服务器、权限服务器和局域网组成的细粒度文档服务系统中施行,用户计算机是PC机、掌上电脑或PDA,用户计算机的输入设备为鼠标、键盘或触摸屏,用户计算机的输出设备为显示器,用户计算机通过局域网与认证服务器和权限服务器连接,有分段加密的文档存储在权限服务器的存储器中或者用户计算机的存储器中,其特征在于,所述的方法的施行流程描述如下:第1步用户发出查看某一文档的请求用户通过用户计算机的输入设备发出查看某一文档的请求,如该文档存储用户计算机的存储器中,执行第2步,如该文档存储在权限服务器的存储器中,则先将该文档下载到用户计算机的存储器中,执行第2步;第2步用户计算机向认证服务器发送用户认证请求用户计算机接收到输入设备的请求后就通过局域网向认证服务器发送用户认证请求;第3步认证服务器认证用户认证服务器检测数据库,从数据库中查找第一步所述的用户是否存在,密码是否正确,如是,认证服务器生成相应的证书,通过返回给用户,认证通过,执行第4步,如否,认证失败,执行第6’步;第4步用户计算机向权限服务器发送用户认证证书,要求获取使用特定文档的权限用户计算机通过局域网获得所需的用户认证证书,将该证书同用户要查看文档的编号一起通过局域网发送给权限服务器;第5步权限服务器验证用户对保护颗粒的权限权限服务器验证该用户是否具有对文档内特定保护颗粒的使用权限,如具有,权限服务器产生使用证书,发送给用户,执行第6步,如不具有,权限服务器不产生使用证书和不向用户发送使用证书,执行第6’步;第6步用户接收使用证书释放保护颗粒,其使用权限得到行使用户计算机释放用户所需文档的与使用证书对应的保护颗粒,并将该保护颗粒显示在用户计算机的显示器的屏幕上,供用户阅读,用户的使用权限得到行使,结束;第6’步用户计算机拒绝授予用户使用权限,结束。...
【技术特征摘要】
【专利技术属性】
技术研发人员:顾君忠,吕钊,庄杰,刘瑞,吴悦,陆鹏,
申请(专利权)人:华东师范大学,
类型:发明
国别省市:31[中国|上海]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。