CN103226670A - 一种以访问控制模型为基础的文档访问控制系统 - Google Patents

一种以访问控制模型为基础的文档访问控制系统 Download PDF

Info

Publication number
CN103226670A
CN103226670A CN2013100206777A CN201310020677A CN103226670A CN 103226670 A CN103226670 A CN 103226670A CN 2013100206777 A CN2013100206777 A CN 2013100206777A CN 201310020677 A CN201310020677 A CN 201310020677A CN 103226670 A CN103226670 A CN 103226670A
Authority
CN
China
Prior art keywords
document
access control
key
ciphertext
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2013100206777A
Other languages
English (en)
Other versions
CN103226670B (zh
Inventor
谭孟恩
谢永胜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Hua Tao information security technology Limited by Share Ltd
Original Assignee
HANGZHOU HUATU SOFTWARE CO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by HANGZHOU HUATU SOFTWARE CO Ltd filed Critical HANGZHOU HUATU SOFTWARE CO Ltd
Priority to CN201310020677.7A priority Critical patent/CN103226670B/zh
Publication of CN103226670A publication Critical patent/CN103226670A/zh
Application granted granted Critical
Publication of CN103226670B publication Critical patent/CN103226670B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

一种以访问控制模型为基础的文档访问控制系统,所述的模型基于文档属性,包括用户、角色、文档和文档属性四个部分;所述文档访问控制系统主要包括:控制中心,客户端文档安全系统,数据中心;控制中心主要由密钥管理装置、权限管理装置、主密钥存储装置组成;所述的客户端文档安全系统主要由文档安全访问装置和文档防泄漏装置组成,所述的文档安全访问装置中的密文生成装置利用从控制中心获得公开参数和文档属性定义将明文加密成密文,并上传到数据中心;所述的文档安全访问装置中的密文访问装置从数据中心下载密文,并利用控制中心下发的私钥,获得内容密钥,并传送给文档防泄漏装置进行处理;它适应于企业文档集中管控模式下的访问控制的实际需求,能有效提高文档访问控制的安全性和系统整体性能。

Description

一种以访问控制模型为基础的文档访问控制系统
技术领域
本发明涉及的是一种以访问控制模型为基础的文档访问控制系统,属于文档内容安全技术领域。
背景技术
在信息化发展的历程中,企业积累了越来越多的文档,这些文档广泛分布在终端和各业务系统中,给文档的分类、检索、使用和安全带来了极大的困难。因此,文档的集中管控成为企业信息化过程中的迫切需求。但是,文档集中管控在带来文档管理便利的同时,也对文档的安全性提出了新的挑战,文档的安全性是文档集中管控系统的关键所在。而访问控制是实现文档安全访问的重要手段。在企业这类组织结构中,文档的安全访问有以下特点:
一是文档和用户之间是一种多对多的关系,即一个用户可以访问多个文档,一个文档可以被多个用户访问;
二是文档的内容决定了文档的安全级别,文档的安全级别决定了文档的使用范围;
三是文档的安全级别相对稳定,而用户的角色始终处于的易变动的状态;
四是组织的文档数量远远大于个人的文档数量,因此,文档的授权过程要求简单直观;
五是单一的访问控制无法保证文档的安全性,文档的安全性必须将访问控制、加密以及文档防泄漏结合起来。
目前,访问控制的研究和开发主要有两个方向,授权管理基础设施(PMI)和数字权限管理(Digital Right Management,DRM)。虽然这两种方案都很通用,但在针对企业文档访问控制上,还有一定的局限性。PMI的权限管理模型主要包括三个部分,权限声称者(主体),资源和权限验证者。PMI以主体为中心,通过对主体颁发属性证书,并根据属性证书,对权限声称者的权限进行检验。PMI中的权限验证者相当于访问控制判断函数,它在资源和主体之间建立映射关系。DRM则以权限为中心,采用许可证的方式,实现访问控制。
PMI和DRM都不是以文档为中心,不能基于文档类别进行授权,不适合进行批量文档授权。另外,PMI和DRM都需要一个集中的装置进行访问控制的检验,在文档集中管控的模式下,这个集中检验装置容易成为系统性能瓶颈。
发明内容
本发明的目的在于克服现有技术存在的不足,提供一种能够适应企业文档集中管控的要求,根据文档属性对文档进行分类,并根据文档属性进行访问控制的以访问控制模型为基础的文档访问控制系统,它能解决现有技术在企业级文档集中管控平台中的文档访问控制的局限性。
本发明的目的是通过如下技术方案来完成的,所述的一种以访问控制模型为基础的文档访问控制系统,所述的访问控制模型基于文档属性,它包括用户、角色、文档和文档属性四个部分,一个文档可以拥有多个文档属性,一个用户可以拥有多个角色,一个角色可以拥有多个文档属性的访问控制权;所述的文档访问控制系统采用密钥策略属性基加密方式,实现密文机制的访问控制;它主要包括:一用于定义文档属性、角色,管理用户的角色集,系统公开参数和主密钥的生成,以及用户私钥生成和更新的控制中心;
一用于实现文档的加密、上传、下载、访问控制验证和内容密钥的解密,以及文档在客户端的防泄漏的客户端文档安全系统;
一用于存储加密后文档数据的数据中心;
所述的控制中心与客户端文档安全系统,而所述客户端文档安全系统又与所述的数据中心相连。
本发明所述控制中心主要由权限管理装置、密钥管理装置和主密钥存储装置组成,其中所述的权限管理装置用于定义文档属性,根据文档属性定义角色,并为用户分配相应的角色;
所述的密钥管理装置采用密钥策略属性基加密方式,生成系统的公开参数和主密钥,并根据用户可访问的文档属性集,为用户生成和更新私钥;
所述的主密钥存储装置用于存储密钥管理装置生成的主密钥和公开参数;
所述客户端安全系统主要由文档安全访问装置和文档防泄漏装置组成,其中所述的文档安全访问装置接收并保存来自于控制中心装置的公开参数和私钥,实现文档的加密、上传、下载、访问控制验证和内容密钥的解密;
所述的文档防泄漏装置是根据文档安全访问装置提供的密文和内容密钥,在文档防泄漏装置内启动应用程序,实现文档的安全共享。
本发明所述的文档安全访问装置主要由私钥存储装置、密文生成装置和密文访问装置组成,其中所述的私钥存储装置用于存储来自于密钥管理装置的私钥和公开参数;
所述的密文生成装置随机生成文档的内容密钥,采用AES对称加密算法,加密文档,并采用密钥策略属性基加密算法加密内容密钥,实现文档的混合加密和授权;
所述的密文访问装置采用密钥策略属性基解密算法,实现文档访问控制的验证和内容密钥的解密。
所述的密文生成装置利用从控制中心获得公开参数和文档属性定义将明文加密成密文,并上传到数据中心。密文访问装置从数据中心下载密文,并利用控制中心下发的私钥,获得内容密钥,并传送给文档防泄漏装置进行处理。
本发明是一个基于文档属性的访问控制模型(Document Attribute Based AccessControl,DABAC),以及以此模型为基础的文档安全访问控制系统;它通过将访问控制通用模型和企业文档管理的实际需求相结合,建立了基于文档属性的访问控制模型,并以此模型为基础,实现了企业文档集中管控下的文档安全访问控制系统。
本发明具有如下技术特点:
一是以文档属性为基础进行访问控制,适合于企业组织结构易变动,而文档属性相对稳定的应用场景;
二是能够很好地兼容以文档属性为基准的文档分类和文档检索机制;
三是适用于文档的批量授权方式;
四是在企业中,一般采用的密级的方式来划分文档的安全级别,基于文档属性的访问控制模型可以将密级映射为文档属性,以适应企业的实际应用;
五是采用密文机制的访问控制,将加密和访问控制结合起来,只有具备相应密钥的用户才能解密密文。密文访问控制技术可在服务器端不可信的环境中保证数据的机密性,提高了文档访问的安全性;
六是在密文访问装置内进行访问控制的检验,降低了控制中心的压力,提高了系统的整体性能和安全性。
附图说明
图1是本发明所述基于文档属性的访问控制模型结构图。
图2是本发明所述文档访问控制系统的整体结构图。
图3是本发明所述客户端文档安全装置结构框图。
图4是本发明所述文档访问控制系统各个装置的关系图。
具体实施方法
为使本发明的的目的、技术方案和优点更加清楚明白,以下结合具体实施例子,并参照附图,对本发明进一步详细说明。
图1所示,本发明所述的访问控制模型(Document Attribute Based Access Control,DABAC)基于文档属性,包括用户(主体)、角色、文档和文档属性四个部分,该模型的关系如下:以文档属性为基准进行访问控制,一个文档可以拥有多个文档属性,一个用户可以拥有多个角色,一个角色可以拥有多个文档属性的访问控制权。
本发明的访问控制系统以DABAC模型为基础,采用密钥策略属性基加密方式(key-policy ABE,KP-ABE),来实现密文机制的访问控制。
本发明所述的文档访问控制系统,它主要包括:一用于定义文档属性、角色,管理用户的角色集,系统公开参数和主密钥的生成,以及用户私钥生成和更新的控制中心;
一用于实现文档的加密、上传、下载、访问控制验证和内容密钥的解密,以及文档在客户端的防泄漏的客户端文档安全系统;
一用于存储加密后文档数据的数据中心;
所述的控制中心与客户端文档安全系统,而所述客户端文档安全系统又与所述的数据中心相连。
本发明所述控制中心主要由权限管理装置、密钥管理装置和主密钥存储装置组成,其中所述的权限管理装置用于定义文档属性,根据文档属性定义角色,并为用户分配相应的角色;
所述的密钥管理装置采用密钥策略属性基加密方式,生成系统的公开参数PP(PublicParameter)和主密钥MK(Master Key),并根据用户可访问的文档属性集,为用户生成和更新私钥;
所述的主密钥存储装置用于存储密钥管理装置生成的主密钥和公开参数;
所述客户端安全系统主要由文档安全访问装置和文档防泄漏装置组成,其中所述的文档安全访问装置接收并保存来自于控制中心装置的公开参数和私钥,实现文档的加密、上传、下载、访问控制验证和内容密钥的解密;
所述的文档防泄漏装置是根据文档安全访问装置提供的密文和内容密钥,在文档防泄漏装置内启动应用程序,实现文档的安全共享。
本发明所述的文档安全访问装置主要由私钥存储装置、密文生成装置和密文访问装置组成,其中所述的私钥存储装置用于存储来自于密钥管理装置的私钥和公开参数;
所述的密文生成装置随机生成文档的内容密钥,采用AES对称加密算法,加密文档,并采用密钥策略属性基加密算法加密内容密钥,实现文档的混合加密和授权;
所述的密文访问装置采用密钥策略属性基解密算法,实现文档访问控制的验证和内容密钥的解密。
本发明所述的密文生成装置利用从控制中心获得公开参数和文档属性定义,采用KP-ABE的加密机制,加密随机生成的内容密钥CK(Content Key),利用AES算法和CK,将明文加密成密文,并将生成后的密文上传到数据中心。密文访问装置从数据中心下载密文,获得内容密钥的密文,利用控制中心装置下发的私钥,进行访问控制的验证,如果验证通过,获得内容密钥CK,则下载密文,并将密文和CK传送给文档防泄漏装置进行处理。文档防泄漏装置和访问控制关系不大,但它也是系统的重要组成部分,主要用来保证文档在客户端的安全性。
实施例:
本发明提出了一种基于文档属性的访问控制模型,其结构参见图1所示。在企业具体实施中,假设企业的组织结构如下:
Figure BDA00002753028400051
A部门
Figure BDA00002753028400052
B部门
Figure BDA00002753028400053
b员工
Figure BDA00002753028400054
a员工
按照企业密级的定义方法,文档属性可定义如下表所示:
文档属性 访问范围
A秘密 A部门普通员工
A机密 A部门高级员工
A绝密 A部门领导
B秘密 B部门普通员工
B机密 B部门高级员工
B绝密 B部门领导
角色可定义如下表所示:
角色 可以访问的文档属性
A普通角色 A秘密
A高级角色 A秘密,A机密
A领导角色 A秘密,A机密,A绝密
B普通角色 B秘密
B高级角色 B秘密,B机密
B领导角色 B秘密,B机密,B绝密
员工的角色可分配如下表所示:
用户 可以分配的角色
a员工 A领导角色,B领导角色
b员工 B高级角色,A普通角色
从上述模型我们可以看到,员工所拥有的访问权限,是一个文档属性的集合。通过这种映射关系,将员工和文档之间多对多的关系,分解成一对多的关系,简化了整个模型,使其更易于实现。
图2是文档访问控制系统的整体结构图,整个文档访问控制系统包括:控制中心,用于实现权限和密钥的管理。数据中心,用于存储加密后的文档数据。客户端文档安全系统,用于实现密文的生成、上传、下载、访问控制验证和解密,以及文档在客户端的防泄漏等。
和文档访问控制系统相关联的外部系统包括:CA,用于向控制中心装置和数据中心装置颁发证书,实现客户端文档安全系统和控制中心,客户端文档安全系统和数据中心之间的安全信道,并为客户端提供控制中心签名验证支持。数据库,用于存储控制中心管理的用户账号,文档属性,角色等方面的信息。
图4所示,本发明的访问控制系统中的控制中心,进一步包括:权限管理装置、密钥管理装置和主密钥存储装置。
权限管理装置,用于管理文档属性、角色、用户账户等,并为用户赋予相应的角色。这些定义需要保存在数据库中,以供密钥管理装置等使用。其基本操作包括:
操作1,用户账号系统的管理,主要包括组织结构的建立和维护,用户账号的建立和维护,以及用户登录过程的处理
操作2,文档属性管理,主要包括文档属性的定义和维护
操作3,角色管理,利用文档属性,定义和维护角色
操作4,用户角色管理,将相应的角色赋予用户,或从用户中删除角色
密钥管理装置,采用KPABE的加密机制,用于生成公开参数PP和主密钥MK,同时根据权限管理装置中的用户信息生成私钥并发送给用户。KPABE根据数据属性来生成密文,将访问策略映射在用户的私钥上,和密文策略属性基加密方式(ciphertextpolicy ABE,CP-APE)相比,KP-ABE更适合数据静态的环境,这和基于文档属性的访问控制模型相一致。密钥管理装置的基本操作如下:
操作1,初始化,执行KPABE的Setup算法,生成公开参数PP和主密钥MK,保存在主密钥存储装置中,必须保证MK的秘密性,
操作2,发送PP,将PP及其签名,通过安全信道发送到用户的客户端,
操作3,私钥的生成与更新,
步骤1,根据权限管理装置设定的用户的可访问文档属性集S,执行KP-ABE的私钥生成算法,SK=KeyGen(MK,S),为用户生成私钥SK;
步骤2,将SK及其签名通过安全信道发送到用户的客户端。
操作4,文档属性定义的删除,这在企业实际应用出现的概率比较小,原则上一个已定义的文档属性是不应该被删除的,如果的确需要删除,则执行以下步骤:
步骤1,找出所有使用了此文档属性的文档;
步骤2,对每个文档进行重授权,具体过程参见密文生成装置的文档再授权流程。
主密钥存储装置,用于存储密钥管理装置生成的主密钥MK和公开参数PP,为保证MK的秘密性和持久性,MK需要保存在一个硬件设备中,如USB Key。同时,尽管PP没有秘密性要求,但是,为保证PP的持久性,把PP也保存在同一个硬件设备中。
图3所示,本发明的访问控制系统中的客户端文档安全系统,包括:文档访问控制装置,文档防泄漏装置。文档访问控制装置进一步包括:私钥存储装置、密文生成装置和密文访问装置。
图4是各个装置的关系结构图。
私钥存储装置,用于存储来自于密钥管理装置的私钥SK和公开参数PP,为保证SK的秘密性,SK可以保存在一个硬件设备中,如USB Key,但是,考虑到用户USB Key管理的复杂性,可以用一个客户端文件来代替,这个文件采用经变换后的用户口令进行加密。和主密钥存储装置类似,我们也把PP保存在这个加密文件中。用户在完成登录后,可用其登录口令,解密此文件,并将解密后的信息保存在内存中。
密文生成装置,采用KP-ABE的加密算法和AES的对称加密算法,实现文档的加密和授权,其基本操作如下:
操作1,接收来自于密钥管理装置的PP,保存在私钥存储装置中,
操作2,文档授权,
步骤1,用户根据PP和从权限管理装置中获得的文档属性,对文档进行加密,在具体实现中,我们采用混合加密机制,文档D用自动生成的对称内容密钥CK(Content Key)加密,生成密文D’,
步骤2,用KP-ABE的加密算法加密CK,CK’=Encrypt(PP,CK,T),其中T为文档的属性集,
步骤3,生成文档头,HEAD={ID,CK’},ID为文档D的ID;
步骤4,将D’和HEAD上传到数据中心;
步骤5,将{ID,FileOwner,T}返回给权限管理装置,FileOwner为文档的属主,即当前授权用户;
操作3,文档再授权
步骤1,从数据中心获得文档的HEAD,根据HEAD中的ID,通过权限管理装置,检验当前用户是否可以对文档进行再授权,若否,则失败;
步骤2,若是,则重新设置文档属性,用CK’new=Encrypt(PP,CK,Tnew),其中Tnew为新的文档属性集;
步骤3,生成新的文档头,HEAD new={ID,CK’new},覆盖掉数据中心中相应密文的HEAD。
密文访问装置,采用KP-ABE的解密算法,实现文档访问控制的验证和CK的解密,其基本操作如下:
操作1,接收来自密钥管理装置的私钥SK,保存在私钥存储装置中
操作2,可访问性验证
步骤1,文档共享用户从数据中心获得文档的HEAD={ID,CK’};
步骤2,用KP-ABE的解密算法解密CK’,CK=Decrypt(CK’,SK),若解密失败,则当前用户无法访问此文档;
步骤3,若解密成功,则用户从数据中心下载文档的密文D’,并将CK和采用AES加密的密文D’传递给文档防泄漏装置,做进一步处理。
从操作2可以看到,密文访问装置在进行访问控制验证和CK的解密过程中,不需要和控制中心进行交互,这就大大降低了控制中心的压力,并为文档的离线安全访问提供了可能。
文档防泄漏装置,是文档客户端安全共享的重要组成部分。文档通过密文访问装置的可访问性验证,并获得了内容密钥CK后,在客户端就可以对这个文档做处理了,但系统的目的是文档的安全共享,因此,这个文档不能进入普通的应用程序进行打开,否则的话,文档就会在客户端被泄漏出去。必须把密文和CK传送给文档防泄漏装置,在文档防泄漏装置内处理这个文档,这样才能防止文档在客户端的泄漏,文档的整体安全性才能得到保证。

Claims (4)

1.一种以访问控制模型为基础的文档访问控制系统,所述的访问控制模型基于文档属性,包括用户、角色、文档和文档属性四个部分,一个文档可以拥有多个文档属性,一个用户可以拥有多个角色,一个角色可以拥有多个文档属性的访问控制权;其特征在于所述的文档访问控制系统采用密钥策略属性基加密方式,实现密文机制的访问控制;它主要包括:一用于定义文档属性、角色,管理用户的角色集,系统公开参数和主密钥的生成,以及用户私钥生成和更新的控制中心;
一用于实现文档的加密、上传、下载、访问控制验证和内容密钥的解密,以及文档在客户端的防泄漏的客户端文档安全系统;
一用于存储加密后文档数据的数据中心;
所述的控制中心与客户端文档安全系统,而所述客户端文档安全系统又与所述的数据中心相连。
2.根据权利要求1所述的以访问控制模型为基础的文档访问控制系统,其特征在于所述控制中心主要由权限管理装置、密钥管理装置和主密钥存储装置组成,其中所述的权限管理装置用于定义文档属性,根据文档属性定义角色,并为用户分配相应的角色;
所述的密钥管理装置采用密钥策略属性基加密方式,生成系统的公开参数和主密钥,并根据用户可访问的文档属性集,为用户生成和更新私钥;
所述的主密钥存储装置用于存储密钥管理装置生成的主密钥和公开参数;
所述客户端安全系统主要由文档安全访问装置和文档防泄漏装置组成,其中所述的文档安全访问装置接收并保存来自于控制中心装置的公开参数和私钥,实现文档的加密、上传、下载、访问控制验证和内容密钥的解密;
所述的文档防泄漏装置是根据文档安全访问装置提供的密文和内容密钥,在文档防泄漏装置内启动应用程序,实现文档的安全共享。
3.根据权利要求2所述的以访问控制模型为基础的文档访问控制系统,其特征在于所述的文档安全访问装置主要由私钥存储装置、密文生成装置和密文访问装置组成,其中所述的私钥存储装置用于存储来自于密钥管理装置的私钥和公开参数;
所述的密文生成装置随机生成文档的内容密钥,采用AES对称加密算法,加密文档,并采用密钥策略属性基加密算法加密内容密钥,实现文档的混合加密和授权;
所述的密文访问装置采用密钥策略属性基解密算法,实现文档访问控制的验证和内容密钥的解密。
4.根据权利要求3所述的以访问控制模型为基础的文档访问控制系统,其特征在于所述的密文生成装置利用从控制中心获得公开参数和文档属性定义将明文加密成密文,并上传到数据中心。密文访问装置从数据中心下载密文,并利用控制中心下发的私钥,获得内容密钥,并传送给文档防泄漏装置进行处理。
CN201310020677.7A 2013-01-18 2013-01-18 一种以访问控制模型为基础的文档访问控制系统 Active CN103226670B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310020677.7A CN103226670B (zh) 2013-01-18 2013-01-18 一种以访问控制模型为基础的文档访问控制系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310020677.7A CN103226670B (zh) 2013-01-18 2013-01-18 一种以访问控制模型为基础的文档访问控制系统

Publications (2)

Publication Number Publication Date
CN103226670A true CN103226670A (zh) 2013-07-31
CN103226670B CN103226670B (zh) 2016-01-27

Family

ID=48837114

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310020677.7A Active CN103226670B (zh) 2013-01-18 2013-01-18 一种以访问控制模型为基础的文档访问控制系统

Country Status (1)

Country Link
CN (1) CN103226670B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104182525A (zh) * 2014-08-27 2014-12-03 李岩 应用有版权保护功能的多媒体文件和国密算法的电子档案管理装置
CN106951791A (zh) * 2017-04-19 2017-07-14 杭州弗兰科信息安全科技有限公司 一种基于密文的机密文档访问控制系统
CN107426162A (zh) * 2017-05-10 2017-12-01 北京理工大学 一种基于属性基加密实施核心角色访问控制的方法
CN108289085A (zh) * 2017-01-10 2018-07-17 珠海金山办公软件有限公司 一种文档安全管理系统登录方法及装置
CN112989288A (zh) * 2021-04-16 2021-06-18 成都飞机工业(集团)有限责任公司 一种批量标定电子文档密级的系统和方法
CN114611145A (zh) * 2022-03-14 2022-06-10 穗保(广州)科技有限公司 一种基于互联网在线文档的数据安全共享平台
CN117201148A (zh) * 2023-09-19 2023-12-08 广东维信智联科技有限公司 一种基于计算机的企业文档加密防护系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120091507A (ko) * 2011-01-14 2012-08-20 동국대학교 경주캠퍼스 산학협력단 데이터 접근 권한 관리 방법 및 장치

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120091507A (ko) * 2011-01-14 2012-08-20 동국대학교 경주캠퍼스 산학협력단 데이터 접근 권한 관리 방법 및 장치

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
VIPUL GOYAL等: "《In Proceeding of the 13th ACM Conference on Computer and Communications Security》", 3 November 2006, article "Attribute-Based Encryption for Fine-Grained Access Control of Encrypted Data" *
孙翠翠等: "基于角色和属性的Web Services安全模型研究", 《微计算机信息》, vol. 27, no. 2, 20 January 2011 (2011-01-20), pages 148 - 150 *
苏金树等: "属性基加密机制", 《软件学报》, vol. 22, no. 6, 30 June 2011 (2011-06-30), pages 1302 *
颜学雄等: "基于属性的内部文档访问控制", 《计算机工程与设计》, vol. 30, no. 5, 31 May 2009 (2009-05-31) *

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104182525A (zh) * 2014-08-27 2014-12-03 李岩 应用有版权保护功能的多媒体文件和国密算法的电子档案管理装置
CN104182525B (zh) * 2014-08-27 2017-06-13 南京尊耀文化传媒有限公司 应用有版权保护功能的多媒体文件和国密算法的电子档案管理装置
CN108289085A (zh) * 2017-01-10 2018-07-17 珠海金山办公软件有限公司 一种文档安全管理系统登录方法及装置
CN108289085B (zh) * 2017-01-10 2021-05-07 珠海金山办公软件有限公司 一种文档安全管理系统登录方法及装置
CN106951791A (zh) * 2017-04-19 2017-07-14 杭州弗兰科信息安全科技有限公司 一种基于密文的机密文档访问控制系统
CN107426162A (zh) * 2017-05-10 2017-12-01 北京理工大学 一种基于属性基加密实施核心角色访问控制的方法
CN107426162B (zh) * 2017-05-10 2018-06-22 北京理工大学 一种基于属性基加密实施核心角色访问控制的方法
CN112989288A (zh) * 2021-04-16 2021-06-18 成都飞机工业(集团)有限责任公司 一种批量标定电子文档密级的系统和方法
CN112989288B (zh) * 2021-04-16 2021-09-03 成都飞机工业(集团)有限责任公司 一种批量标定电子文档密级的系统和方法
CN114611145A (zh) * 2022-03-14 2022-06-10 穗保(广州)科技有限公司 一种基于互联网在线文档的数据安全共享平台
CN117201148A (zh) * 2023-09-19 2023-12-08 广东维信智联科技有限公司 一种基于计算机的企业文档加密防护系统
CN117201148B (zh) * 2023-09-19 2024-05-14 广东维信智联科技有限公司 一种基于计算机的企业文档加密防护系统

Also Published As

Publication number Publication date
CN103226670B (zh) 2016-01-27

Similar Documents

Publication Publication Date Title
CN109033855B (zh) 一种基于区块链的数据传输方法、装置及存储介质
CN109559124B (zh) 一种基于区块链的云数据安全共享方法
WO2021179449A1 (zh) 一种基于证书身份认证的拟态防御系统及证书签发方法
CN103226670B (zh) 一种以访问控制模型为基础的文档访问控制系统
CN107453868B (zh) 一种安全高效的量子密钥服务方法
CN105100083B (zh) 一种隐私保护且支持用户撤销的基于属性加密方法和系统
CN106209823B (zh) 一种移动云计算环境下的轻量级文件远程加密方法
CN104158827B (zh) 密文数据共享方法、装置、查询服务器和上传数据客户端
CN101296086B (zh) 接入认证的方法、系统和设备
CN103780607B (zh) 基于不同权限的重复数据删除的方法
CN113645195B (zh) 基于cp-abe和sm4的云病历密文访问控制系统及方法
CN104063334A (zh) 一种基于数据属性的加密方法和系统
CN104468615A (zh) 基于数据共享的文件访问和修改权限控制方法
CN102075544A (zh) 局域网共享文件加密系统及其加解密方法
CN102014133A (zh) 在云存储环境下一种安全存储系统的实现方法
CN202455386U (zh) 一种用于云存储的安全系统
CN102638568A (zh) 云存储系统及其数据管理方法
CN111274599A (zh) 一种基于区块链的数据共享方法及相关装置
CN102724215A (zh) 基于用户登录密码安全存放用户密钥并提高云平台数据安全的方法
CN102427447A (zh) 一种税务云计算系统之间共享身份认证信息的方法
CN102843422A (zh) 基于云服务的账户管理系统及管理方法
CN103812927A (zh) 一种存储方法
CN103731475A (zh) 一种数据保护系统
CN104333545A (zh) 对云存储文件数据进行加密的方法
Huang et al. EABDS: Attribute‐Based Secure Data Sharing with Efficient Revocation in Cloud Computing

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Document access control system based on access control model

Effective date of registration: 20161027

Granted publication date: 20160127

Pledgee: The Agricultural Bank of the West Branch of Hangzhou Chinese Limited by Share Ltd

Pledgor: Hangzhou Huatu Software Co., Ltd.

Registration number: 2016330000083

PLDC Enforcement, change and cancellation of contracts on pledge of patent right or utility model
CP03 Change of name, title or address

Address after: USB era Center No. 80 Hangzhou 310000 Xihu District three Zhejiang Province town of Pingshui Street No. 1 building 20 layer

Patentee after: Zhejiang Hua Tao information security technology Limited by Share Ltd

Address before: Hangzhou City, Zhejiang province 310012 Xihu District cypress Road No. 7 e-commerce Industrial Park 412

Patentee before: Hangzhou Huatu Software Co., Ltd.

CP03 Change of name, title or address
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20200306

Granted publication date: 20160127

Pledgee: The Agricultural Bank of the West Branch of Hangzhou Chinese Limited by Share Ltd

Pledgor: Hangzhou Huatu Software Co., Ltd.

Registration number: 2016330000083

PC01 Cancellation of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Document access control system based on access control model

Effective date of registration: 20200310

Granted publication date: 20160127

Pledgee: The Agricultural Bank of the West Branch of Hangzhou Chinese Limited by Share Ltd

Pledgor: ZHEJIANG VAMTOO INFORMATION SAFETY TECHNOLOGY Co.,Ltd.

Registration number: Y2020330000087

PE01 Entry into force of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20211108

Granted publication date: 20160127

Pledgee: Agricultural Bank of China Limited Hangzhou Chengxi sub branch

Pledgor: Zhejiang Huatu Information Security Technology Co., Ltd

Registration number: Y2020330000087

PC01 Cancellation of the registration of the contract for pledge of patent right