CN101038637A - 基于工作流的电子文档资源安全分发控制方法 - Google Patents
基于工作流的电子文档资源安全分发控制方法 Download PDFInfo
- Publication number
- CN101038637A CN101038637A CNA2007100387508A CN200710038750A CN101038637A CN 101038637 A CN101038637 A CN 101038637A CN A2007100387508 A CNA2007100387508 A CN A2007100387508A CN 200710038750 A CN200710038750 A CN 200710038750A CN 101038637 A CN101038637 A CN 101038637A
- Authority
- CN
- China
- Prior art keywords
- document
- workflow
- user
- authority
- definition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
一种基于工作流的电子文档资源安全分发控制方法,属于工作流信息安全的技术领域,该方法参考ODRL标准,提出工作流环境下的FARO流转资源权限对象,即将ODRL中关于数字内容保护的定义引入工作流的流程定义语言XPDL中使之对XPDL进行扩展,这样就使得扩展后的XPDL支持对工作流程中的数字内容的版权保护,然后使用对文档资源进行权限封装的方法来支持流转文档资源的安全性控制,从而保证了工作流中流转的数字内容的安全。工作流流程中流转文档具有更高的安全性,有工作流流程中流转文档具有更高的安全性的优点。
Description
技术领域
本发明涉及基于工作流的电子文档资源安全分发控制方法,属于工作流信息安全的技术领域。
背景技术
工作流技术作为在计算机支持下对企业业务流程自动化的技术,当前已广泛应用在内容管理的各个应用领域,如政府办公、审批流程、企业内容管理流程等,可用于提高企业对信息处理的效率。工作流技术可用来控制和管理文档在各个计算机之间自动传递。随着现有信息更多的以数字形式保存和处理,对信息内容安全的关注也越来越多。企业中的知识产权、财务数据和商业秘密等重要信息,面临的最大安全威胁是内部员工的信息窃取。因此在企业内部工作流中,信息泄漏是面临的一个非常严峻的威胁,会给企业造成巨大的损失。然而现有的工作流系统一般是基于身份验证,即只通过用户ID来获取对任务的执行权限,从而获得对于流转过程中该任务中资源文档的全部操作权限,缺少对流程过程中数字内容权限的管理,并没有严格控制对企业内敏感信息的非授权使用以防止信息的泄漏。
发明内容
本发明的目的是:提出一种基于工作流的电子文档资源安全分发控制方法,以实现企业数字信息的安全管理,对企业工作流的各个流转环节中敏感信息进行全程跟踪和安全防护。本发明可进一步提供信息内容在工作流中流转时安全监管力度,从而大大加强企业对涉密信息的保护,有效避免由于内部环境中企业信息泄密所造成的损失,对企业的信息化发展起着巨大的推动作用。
为实现上述目的,本发明采用的技术方案是:参考ODRL标准,提出工作流环境下的FARO(Flow Assert Right Object)流转资源权限对象,即将ODRL中关于数字内容保护的定义引入工作流的流程定义语言XPDL中使之对XPDL进行扩展。这样就使得扩展后的XPDL支持对工作流程中的数字内容的版权保护,然后使用对文档资源进行权限封装的方法来支持流转文档资源的安全性控制,从而保证了工作流中流转的数字内容的安全。
现结合附图详细描述本发明的技术方案:所述的方法需要在由输入设备、操作系统、第一处理器、局域网、第二处理器、工作流引擎、安全分发控制器和输出设备组成的基于工作流的电子文档资源安全分发控制系统中施行,输入设备是手写输入板、键盘或触摸屏,操作系统是常用的Linux或Windows 98/2000/XP桌面系统,第一处理器和第二处理器是具有运算能力的PC机、掌上电脑或PDA的终端设备,工作流引擎是能解析工作流定义并执行工作流的管理系统,输入设备、操作系统和第一处理器组成客户端,第二处理器、工作流引擎、安全分发控制器和输出设备组成服务器,客户端通过局域网与服务器连接在一起,其特征在于,所述的方法的实现过程描述如下:
第一步 在客户端用户使用输入设备,定义工作流流程,包含流程中各个任务的流转资源所对应的权限,所述的权限总共有5种:修改、打印、注释、复制和查看,“修改”为能对文档做任何处理的权限,是最大的权限,“打印”为能对文档进行打印的权限,“注释”为能在文档中进行注释的权限;“复制”为能对文档内容进行复制的权限,“查看”为能对文档进行查看的权限,是最小的权限,生成扩展后的包含FARO对象,即包含各文档的权限操作信息的XPDL文件,通过局域网传输给服务器的工作流引擎;
第二步服务器的第二处理器通过局域网收到客户端发来的工作流流程的消息包,进行解包、解压和解密,获得该流程的具体定义,在具体的工作流中,服务器的工作流引擎再对所述的定义进行解析具体分发控制对象的定义;
第三步 在定义的工作流流程启动之后,用户登录Web页面,通过任务选择界面,选择一个任务开始执行,此时工作流引擎传送当前活动所需的文档和相关信息给接受任务的用户,并把当前任务的FARO定义传给安全分发控制器;
第四步 在用户试图打开下载的与任务相关的文档时,传送用户信息给安全分发控制器;
第五步 安全分发控制器对用户进行认证,判断当前查看用户是否为FARO定义的合法用户,如是,用户可以按照相应的权限:查看、删除、修改或打印,处理文档,否则,报错结束;
第六步 在用户以相应的权限处理文档并进行提交之后,安全分发控制器对处理过的文档按照FARO定义重新进行权限认证封装,并分发给相关的用户,同时通知工作流引擎文档已提交;
第七步 当前任务已执行完毕,工作流的下一个任务初始化为开始状态,等待下一个用户的对任务文档的操作。
与背景技术相比,本发明具有以下优点:工作流流程中流转文档具有更高的安全性。本发明通过引入FARO对象对XPDL进行文档权限定义的扩展,改变了现有工作流系统中资源文档的安全控制仅仅局限于以身份验证获得对于该任务下参考文档的所有操作控制权限的现状,进一步加强了工作流流程中流转文档的安全性,保护工作流中涉及的敏感信息,从信息内容创建、流转、使用和分发各环节保证信息的安全,防止工作流流转过程中重要资源信息的外泄,大幅度提高了工作流系统的文档分发安全性和保护方式的灵活可靠。
附图说明
图1为基于工作流的电子文档资源安全分发控制系统的结构框图。
图2为本发明的方法实现过程的流程图。
具体实施方式
现结合附图和实施例详细说明本发明的技术方案。
实施例1 客户端的用户是系统分析员
本实施例的方法需要在由输入设备、操作系统、第一处理器、局域网、第二处理器、工作流引擎、安全分发控制器和输出设备组成的基于工作流的电子文档资源安全分发控制系统中施行,输入设备是键盘,操作系统是常用的Windows XP桌面系统,第一处理器和第二处理器是具有运算能力的PC机的终端设备,工作流引擎是能解析工作流定义并执行工作流的管理系统,输入设备、操作系统和第一处理器组成客户端,第二处理器、工作流引擎、安全分发控制器和输出设备组成服务器,客户端通过局域网与服务器连接在一起,其特征在于,所述的方法的实现过程描述如下:
第一步 用户在客户端使用输入设备,定义工作流流程,该流程是一个软件开发流程,其流转资源为“需求分析文档”,并定义所述文档的具体操作权限为:“系统分析员”能对所述的文档进行权限“修改”,即最大的权限的操作,在定义完成后,生成包含各文档权限定义的XPDL文件并通过局域网传输给服务器的工作流引擎。
第二步 服务器获得该流程定义XPDL文件,工作流引擎对该定义进行解析具体分发控制对象的定义。
第三步 在该软件流程启动之后,所述的用户登录Web页面,此时工作流引擎传送流转资源和相关信息给所述的用户,并把当前文档的权限定义传给安全分发控制器。
第四步 在所述的用户试图打开下载的“需求分析文档”时,传送他/她的用户信息给安全分发控制器。
第五步 安全分发控制器对所述的用户信息进行认证,判断“系统分析员”确实为合法用户,“系统分析员”就能对所述的文档进行权限“修改”,即最大的权限的操作。
第六步在“系统分析员”处理文档并进行提交之后,安全分发控制器对处理过的文档按照FARO定义重新进行权限认证封装,并分发给相关的用户,同时通知工作流引擎文档已提交。
第七步当前任务已执行完毕,工作流的下一个任务初始化为开始状态,等待下一个用户的对任务文档的操作。
实施例2 客户端的用户是软件设计人员
除以下不同外,其余部分与实施例1完全相同。
第三步、第四步中,所述的用户登录系统,试图打开下载的“需求分析文档”。第五步中,安全分发控制器对所述的用户信息进行认证,判断“软件设计人员”确实为合法用户,所述的用户只能对所述的文档进行权限“查看”的操作,而不能对所述的文档进行其他权限,如“修改”、“打印”、“注释”或“复制”的操作,从而有效的防止工作流流转过程中信息的外泄,保证了这篇文档在流程内部的安全性。
Claims (1)
1、所述的方法需要在由输入设备、操作系统、第一处理器、局域网、第二处理器、工作流引擎、安全分发控制器和输出设备组成的基于工作流的电子文档资源安全分发控制系统中施行,输入设备是手写输入板、键盘或触摸屏,操作系统是常用的Linux或Windows 98/2000/XP桌面系统,第一处理器和第二处理器是具有运算能力的PC机、掌上电脑或PDA的终端设备,工作流引擎是能解析工作流定义并执行工作流的管理系统,输入设备、操作系统和第一处理器组成客户端,第二处理器、工作流引擎、安全分发控制器和输出设备组成服务器,客户端通过局域网与服务器连接在一起,其特征在于,所述的方法的实现过程描述如下:
第一步 在客户端用户使用输入设备,定义工作流流程,包含流程中各个任务的流转资源所对应的权限,所述的权限总共有5种:修改、打印、注释、复制和查看,“修改”为能对文档做任何处理的权限,是最大的权限,“打印”为能对文档进行打印的权限,“注释”为能在文档中进行注释的权限;“复制”为能对文档内容进行复制的权限,“查看”为能对文档进行查看的权限,是最小的权限,生成扩展后的包含FARO对象,即包含各文档的权限操作信息的XPDL文件,通过局域网传输给服务器的工作流引擎;
第二步 服务器的第二处理器通过局域网收到客户端发来的工作流流程的消息包,进行解包、解压和解密,获得该流程的具体定义,在具体的工作流中,服务器的工作流引擎再对所述的定义进行解析具体分发控制对象的定义;
第三步 在定义的工作流流程启动之后,用户登录Web页面,通过任务选择界面,选择一个任务开始执行,此时工作流引擎传送当前活动所需的文档和相关信息给接受任务的用户,并把当前任务的FARO定义传给安全分发控制器;
第四步 在用户试图打开下载的与任务相关的文档时,传送用户信息给安全分发控制器;
第五步 安全分发控制器对用户进行认证,判断当前查看用户是否为FARO定义的合法用户,如是,用户可以按照相应的权限:查看、删除、修改或打印,处理文档,否则,报错结束;
第六步 在用户以相应的权限处理文档并进行提交之后,安全分发控制器对处理过的文档按照FARO定义重新进行权限认证封装,并分发给相关的用户,同时通知工作流引擎文档已提交;
第七步 当前任务已执行完毕,工作流的下一个任务初始化为开始状态,等待下一个用户的对任务文档的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100387508A CN101038637B (zh) | 2007-03-30 | 2007-03-30 | 基于工作流的电子文档资源安全分发控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100387508A CN101038637B (zh) | 2007-03-30 | 2007-03-30 | 基于工作流的电子文档资源安全分发控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101038637A true CN101038637A (zh) | 2007-09-19 |
| CN101038637B CN101038637B (zh) | 2010-12-15 |
Family
ID=38889524
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100387508A Expired - Fee Related CN101038637B (zh) | 2007-03-30 | 2007-03-30 | 基于工作流的电子文档资源安全分发控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101038637B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103227727A (zh) * | 2013-04-10 | 2013-07-31 | 沈阳昭软软件有限公司 | 一种在工作流系统中控制任务发送权限的方法 |
| CN104866621A (zh) * | 2015-06-09 | 2015-08-26 | 苏州点通教育科技有限公司 | 电子文档流转方法及系统 |
| CN105283832A (zh) * | 2013-07-11 | 2016-01-27 | 惠普发展公司,有限责任合伙企业 | 打印复合文档 |
| CN110489994A (zh) * | 2019-07-11 | 2019-11-22 | 岭澳核电有限公司 | 核电站的文件权限管理方法、装置及终端设备 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104123508B (zh) * | 2014-07-21 | 2017-01-25 | 浪潮电子信息产业股份有限公司 | 一种基于内网数据安全防护引擎的设计方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1395188A (zh) * | 2001-07-05 | 2003-02-05 | 英业达股份有限公司 | 工作流程系统及方法 |
| JP2004151893A (ja) * | 2002-10-29 | 2004-05-27 | Fuji Xerox Co Ltd | 連携情報生成装置及びプログラム |
-
2007
- 2007-03-30 CN CN2007100387508A patent/CN101038637B/zh not_active Expired - Fee Related
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103227727A (zh) * | 2013-04-10 | 2013-07-31 | 沈阳昭软软件有限公司 | 一种在工作流系统中控制任务发送权限的方法 |
| CN103227727B (zh) * | 2013-04-10 | 2016-09-14 | 沈阳昭软软件有限公司 | 一种在工作流系统中控制任务发送权限的方法 |
| CN105283832A (zh) * | 2013-07-11 | 2016-01-27 | 惠普发展公司,有限责任合伙企业 | 打印复合文档 |
| CN105283832B (zh) * | 2013-07-11 | 2018-09-18 | 惠普发展公司,有限责任合伙企业 | 打印复合文档 |
| CN104866621A (zh) * | 2015-06-09 | 2015-08-26 | 苏州点通教育科技有限公司 | 电子文档流转方法及系统 |
| CN110489994A (zh) * | 2019-07-11 | 2019-11-22 | 岭澳核电有限公司 | 核电站的文件权限管理方法、装置及终端设备 |
| CN110489994B (zh) * | 2019-07-11 | 2021-09-28 | 岭澳核电有限公司 | 核电站的文件权限管理方法、装置及终端设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101038637B (zh) | 2010-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9916455B2 (en) | Systems and methods for assessing the compliance of a computer across a network | |
| KR101076911B1 (ko) | 애플리케이션에 보안을 제공하기 위한 시스템 및 방법 | |
| US10671747B2 (en) | Multi-user permission strategy to access sensitive information | |
| CN101038637B (zh) | 基于工作流的电子文档资源安全分发控制方法 | |
| Morovati et al. | A network based document management model to prevent data extrusion | |
| Awad et al. | Security vulnerabilities related to web-based data | |
| Yuan et al. | Research and implementation of WEB application firewall based on feature matching | |
| Bürkle et al. | Evaluating the security of mobile agent platforms | |
| Kerschbaumer et al. | Towards precise and efficient information flow control in web browsers | |
| Albettar | Evaluation and assessment of cyber security based on Niagara framework: a review | |
| Jensen et al. | Assigning and enforcing security policies on handheld devices | |
| Rodrigues et al. | Engineering secure web services | |
| Pillala | Fostering Agility Devsecops Practice: Dynamic Secrets Management and CMDB Fusion Reshaping Enterprise Development and Deployment Dynamics | |
| Niu et al. | Research on big data platform security based on cloud computing | |
| Clausing et al. | Your industrial facility and its IP address: A first approach for cyber-physical attack modeling | |
| Li et al. | A deep understanding of cloud computing security | |
| Kumar et al. | Generic security risk profile of e-governance applications—A case study | |
| Ackley | Zero trust networking in a cloud environment | |
| Kaluža et al. | Content management system security | |
| Mingsheng et al. | Research and Development of Dual-Core Browser-Based Compatibility and Security | |
| Zhao et al. | Study on the Network Information Security Problems Under the Environment of Big Data Cloud Computing | |
| Song | Information Security Requirements of Cloud Computing Information System | |
| Song et al. | Design of web security penetration test system based on attack and defense game | |
| Skoularidou et al. | Security architectures for network clients | |
| Subramanyan | PRIVATON-Privacy Preserving Automaton for Proof of Computations |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101215 Termination date: 20130330 |