一种以访问控制模型为基础的文档访问控制系统

摘要

一种以访问控制模型为基础的文档访问控制系统，所述的模型基于文档属性，包括用户、角色、文档和文档属性四个部分；所述文档访问控制系统主要包括：控制中心，客户端文档安全系统，数据中心；控制中心主要由密钥管理装置、权限管理装置、主密钥存储装置组成；所述的客户端文档安全系统主要由文档安全访问装置和文档防泄漏装置组成，所述的文档安全访问装置中的密文生成装置利用从控制中心获得公开参数和文档属性定义将明文加密成密文，并上传到数据中心；所述的文档安全访问装置中的密文访问装置从数据中心下载密文，并利用控制中心下发的私钥，获得内容密钥，并传送给文档防泄漏装置进行处理；它适应于企业文档集中管控模式下的访问控制的实际需求，能有效提高文档访问控制的安全性和系统整体性能。

主权项

一种以访问控制模型为基础的文档访问控制系统，所述的访问控制模型基于文档属性，包括用户、角色、文档和文档属性四个部分，一个文档可以拥有多个文档属性，一个用户可以拥有多个角色，一个角色可以拥有多个文档属性的访问控制权；其特征在于所述的文档访问控制系统采用密钥策略属性基加密方式，实现密文机制的访问控制；它主要包括：一用于定义文档属性、角色，管理用户的角色集，系统公开参数和主密钥的生成，以及用户私钥生成和更新的控制中心；一用于实现文档的加密、上传、下载、访问控制验证和内容密钥的解密，以及文档在客户端的防泄漏的客户端文档安全系统；一用于存储加密后文档数据的数据中心；所述的控制中心与客户端文档安全系统，而所述客户端文档安全系统又与所述的数据中心相连；所述控制中心主要由权限管理装置、密钥管理装置和主密钥存储装置组成，其中所述的权限管理装置用于定义文档属性，根据文档属性定义角色，并为用户分配相应的角色；所述的密钥管理装置采用密钥策略属性基加密方式，生成系统的公开参数和主密钥，并根据用户可访问的文档属性集，为用户生成和更新私钥；所述的主密钥存储装置用于存储密钥管理装置生成的主密钥和公开参数；所述客户端安全系统主要由文档安全访问装置和文档防泄漏装置组成，其中所述的文档安全访问装置接收并保存来自于控制中心装置的公开参数和私钥，实现文档的加密、上传、下载、访问控制验证和内容密钥的解密；所述的文档防泄漏装置是根据文档安全访问装置提供的密文和内容密钥，在文档防泄漏装置内启动应用程序，实现文档的安全共享；所述的文档安全访问装置主要由私钥存储装置、密文生成装置和密文访问装置组成，其中所述的私钥存储装置用于存储来自于密钥管理装置的私钥和公开参数；所述的密文生成装置随机生成文档的内容密钥，采用AES 对称加密算法，加密文档，并采用密钥策略属性基加密算法加密内容密钥，实现文档的混合加密和授权；所述的密文访问装置采用密钥策略属性基解密算法，实现文档访问控制的验证和内容密钥的解密；所述的密文生成装置利用从控制中心获得公开参数和文档属性定义将明文加密成密文，并上传到数据中心；密文访问装置从数据中心下载密文，并利用控制中心下发的私钥，获得内容密钥，并传送给文档防泄漏装置进行处理。