CN117201148A

CN117201148A - 一种基于计算机的企业文档加密防护系统

Info

Publication number: CN117201148A
Application number: CN202311208748.6A
Authority: CN
Inventors: 杨吉伟; 许柳飞; 杜伟豪; 陈健斌; 梁伟锋
Original assignee: Guangdong Weixin Zhilian Technology Co ltd
Current assignee: Guangdong Weixin Zhilian Technology Co ltd
Priority date: 2023-09-19
Filing date: 2023-09-19
Publication date: 2023-12-08
Anticipated expiration: 2043-09-19
Also published as: CN117201148B

Abstract

本发明公开了一种基于计算机的企业文档加密防护系统，涉及企业数据加密技术领域，包括人员管理单元，所述人员管理单元用于录入用户的基本信息和相应的生物识别信息，并根据每个用户不同的职位信息赋予不同等级的密钥权限；密钥单元，其用于定期给每个企业人员分配与之密钥权限的等级相对应的等级密钥，且拥有高密钥权限的人员可向拥有较低密钥权限的人员授予其密钥权限范围内的临时密钥；该基于计算机的企业文档加密防护系统，低权限的用户可向相应类别内的高权限用户申请临时密钥，更加方便低权限用户查阅必要的文档，且临时密钥可以时间受限、内容受限和使用次数受限的方式中的一种或多种方式授予，进一步提高了安全性。

Description

一种基于计算机的企业文档加密防护系统

技术领域

本发明涉及企业数据加密技术领域，具体涉及一种基于计算机的企业文档加密防护系统。

背景技术

在企业的管理过程中，为了保证企业的信息不外漏和企业利益，需要将对一些文档进行加密储存，因为对称加密算法中只有一种密钥，并且是非公开的，如果要解密就得让对方知道密钥，安全性较低，为了企业员工储存资料文档方便，一般采用非对称加密算法，非对称加密算法需要两个密钥：公开密钥(简称公钥)和私有密钥(简称私钥)，公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密，提高了安全性。

而企业文档的保密等级是不同的，低等级的人员不能看到高保密等级的文档，但布置一些工作时，需要低等级的人员去完成，为了更好的完成工作，需要暂时准许低等级的员工查阅相关资料，同时还需要兼顾其他资料的安全性，流程简洁的问题。

公开号为CN109740363A的中国专利，对于等级不同的人员，实现保密文档的分级解密访问控制技术，即拥有不同安全级别的人员在解密相同的保密文档时，可以获取不同的解密信息，实现分级解密的能力，但需要创建文档不同安全等级敏感信息表，表内需要填充大量关于判断敏感信息的数据作为判断敏感信息的数据库，填充数据和之后检索文档信息分级提取降敏，均需要耗费较高的成本和时间，对保护银行、军工单位、党政机关等安全办公需求较为适用，但对于一般企业来说较为复杂，成本较高。

发明内容

本发明的目的是提供一种基于计算机的企业文档加密防护系统，以解决现有技术中的上述不足之处。

为了实现上述目的，本发明提供如下技术方案：一种基于计算机的企业文档加密防护系统，包括人员管理单元，所述人员管理单元用于录入用户的基本信息和相应的生物识别信息，并根据每个用户不同的职位信息赋予不同等级的密钥权限；密钥单元，其用于定期给每个企业人员分配与之密钥权限的等级相对应的等级密钥，且拥有高密钥权限的人员可向拥有低密钥权限的人员授予其密钥权限范围内的临时密钥；加密储存单元，其用于将企业文档分级后通过加密算法和不同的公钥加密成不同保密等级的等级密文后储存进数据库；解密管理单元，其用于验证用户的生物识别信息，验证通过则继续验证用户的等级密钥或临时密钥，验证通过后授予用户读取相应等级的等级密文的权限，并在用户读取时相应等级的等级密文时将该部分等级密文解密成明文。

进一步的，所述人员管理单元包括人员基本信息模块，其用于登记用户的基本信息包括姓名、职位、密钥权限的等级、终端的识别信息；生物信息模块，其用于获取人员的生物信息包括人脸信息、指纹信息、虹膜信息中的一种或多种；权限设置模块，其用于设置人员的密钥权限的等级。

进一步的，系统还包括管理员登录模块，管理员可通过所述管理员登录模块登入系统，增、删、修改人员管理单元内用户的基本信息、生物识别信息和密钥权限的等级。

进一步的，所述密钥权限的等级从高到低分为一级权限、二级权限、……、n级权限；所述等级密钥分为分别与一级权限、二级权限、……、n级权限对应的一级密钥、二级密钥、……、n级密钥；所述等级密文分为一级密文、二级密文、……、n级密文，且分别与一级密钥、二级密钥、……、n级密钥对应，n为自然数。

进一步的，所述密钥单元包括密钥生成模块，其用于生成等级密钥和临时密钥，且每个等级的等级密钥生成多组，每个等级的等级密钥同时只采用一组；密钥更换模块，其用于定期更换采用的等级密钥，更换时从生成的其它未采用的等级密钥中选取；临时密钥模块，其用于高密钥权限的用户向低密钥权限的用户，以时间受限、内容受限和使用次数受限的方式中的至少一种授予临时密钥，且授予临时密钥时可选择临时密钥对应的等级密钥的等级，并可在临时密钥失效后将其销毁；密钥分发绑定模块，其用于在更换采用的等级密钥时将新的等级密钥分发给拥有对应密钥权限的用户的终端，并获取用户终端识别信息与发送到终端的等级密钥和临时密钥进行绑定。

进一步的，所述加密储存单元包括文档分级模块，其用于在储存文档时将文档分为一级文档、二级文档、……、n级文档，且分别与一级密文、二级密文、……、n级密文对应；算法模块，其用于通过AES加密算法和公钥将一级文档、二级文档、……、n级文档分别加密成一级密文、二级密文、……、n级密文。

进一步的，所述解密管理单元包括生物信息核对模块，其用于核对用户的生物信息，确认用户身份，核对通过进入核对密钥流程，核对失败显示非法入侵；密钥核对模块，其用于核对用户的等级密钥和临时密钥，并核对与等级密钥和临时密钥绑定的终端识别信息与用户信息是否对应，核对通过授予用户与等级密钥和临时密钥对应的等级密文的阅读权限；数据等级管理模块，其用于用户持一级密钥或高等级密文至少一级的等级密钥对等级密文对应的文档进行修改、删除；查阅调取模块，其用于用户查找阅读调取符合其阅读权限的等级密文，并将等级密文通过算法模块解密成明文。

进一步的，系统还包括日记模块，其用于记录系统内的所有操作。

1、与现有技术相比，本发明提供的一种基于计算机的企业文档加密防护系统，通过根据企业的用户的职位、职能的不同对用户进行登记分类，并确定其密钥权限，且不同类别的用户可通过不同的公钥加密储存的文档，来实现文档的分类，并可通过加密储存单元设定文档的保密等级，使得用户仅可查阅本类别内且不高于其等级的文档，提高了保密性、安全性。

2、与现有技术相比，本发明提供的一种基于计算机的企业文档加密防护系统，低权限的用户可向相应类别内的高权限用户申请临时密钥，来获取需要查阅的文档的临时权限，更加方便低权限用户查阅必要的文档，更好的完成企业的工作，且临时密钥可以时间受限、内容受限和使用次数受限的方式中的一种或多种方式授予，进一步提高了安全性。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的系统结构部分示意图；

图2为本发明实施例提供的日记模块与系统单元配合部分示意图。

附图标记说明：

1、人员管理单元；11、人员基本信息模块；12、生物信息模块；13、权限设置模块；

2、密钥单元；21、密钥生成模块；22、密钥更换模块；23、临时密钥模块；24、密钥分发绑定模块；

3、加密储存单元；31、文档分级模块；32、算法模块；

4、解密管理单元；41、生物信息核对模块；42、密钥核对模块；43、数据等级管理模块；44、查阅调取模块；

5、管理员登录模块；6、日记模块。

具体实施方式

为了使本领域的技术人员更好地理解本发明的技术方案，下面将结合附图对本发明作进一步的详细介绍。

在本发明的描述中，需要理解的是，术语"中心"、"纵向"、"横向"、"长度"、"宽度"、"厚度"、"上"、"下"、"前"、"后"、"左"、"右"、"竖直"、"水平"、"顶"、"底"、"内"、"外"、"顺时针"、"逆时针"等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

此外，术语"第一"、"第二"仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有"第一"、"第二"的特征可以明示或者隐含地包括一个或者更多个所述特征。在本发明的描述中，"多个"的含义是两个或两个以上，除非另有明确具体的限定。此外，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

请参阅图1-图2，一种基于计算机的企业文档加密防护系统，包括人员管理单元1，人员管理单元用于录入用户的基本信息和相应的生物识别信息，并根据每个用户不同的职位信息赋予不同等级的密钥权限；人员管理单元1包括人员基本信息模块11，其用于登记用户的基本信息包括姓名、职位、密钥权限的等级、终端的识别信息，职位信息包括所在部门和担任的职位，如职位为销售部部长、销售部组长；生物信息模块12，其用于获取人员的生物信息包括人脸信息、指纹信息、虹膜信息中的一种或多种，获取的人员的生物信息和人员基本信息绑定，可通过验证人员生物信息验证人员身份；权限设置模块13，其用于设置人员的密钥权限的等级。

密钥单元2，其用于定期给每个企业人员分配与之密钥权限的等级相对应的等级密钥，且拥有高密钥权限的人员可向拥有低密钥权限的人员授予其密钥权限范围内的临时密钥；密钥权限的等级从高到低分为一级权限、二级权限、……、n级权限；等级密钥分为分别与一级权限、二级权限、……、n级权限对应的一级密钥、二级密钥、……、n级密钥；等级密文分为一级密文、二级密文、……、n级密文，且分别与一级密钥、二级密钥、……、n级密钥对应，n为自然数；高等级的等级密钥可查看低于其等级的等级密文。优选的，n等于5，董事会成员对应一级权限、一级密钥，总经理、副总经理对应二级权限、二级密钥，部门部长对应三级权限、三级密钥，部门组长对应四级权限、四级密钥，普通员工对应五级权限、五级密钥。等级低于一级密文的等级密文，按照其内容分类，同类的不同等级的等级密文组成一个密文链。一级权限以下权限均有局限性，仅可查看与其职能对应的类别的密文链下不高于其等级密钥等级的等级密文。如各部门部长根据其职能拥有的三级权限和三级密钥仅可查看本部门或与其职能相符的三级密文即以下等级的等级密文，如销售部的部长的三级权限和三级密钥仅可查阅销售相关类别的三级密文即以下等级的等级密文，不能查阅人事相关类别等级密文。

密钥单元2包括密钥生成模块21，其用于生成等级密钥和临时密钥，且每个等级的等级密钥生成多组，每个等级的等级密钥同时只采用一组；密钥更换模块22，其用于定期更换采用的等级密钥，更换时从生成的其它未采用的等级密钥中选取，被更换下的等级密钥自动弃用并销毁；临时密钥模块23，其用于高密钥权限的用户向低密钥权限的用户，以时间受限、内容受限和使用次数受限的方式中的至少一种授予临时密钥，且授予临时密钥时可选择临时密钥对应的等级密钥的等级，并可在临时密钥失效后将其销毁，且授予的临时密钥的查看范围不超过授予者查看范围；例如，拥有三级权限的销售部长向拥有四级权限的用户授予的三级密钥仅可查阅销售相关类别的三级密文即以下等级的等级密文；时间受限指授予临时密钥时设置临时密钥的使用时间，超过设定的时间临时密钥失效销毁；内容受限指可在授予临时密钥时选择可查看的内容，使得使用该临时密钥仅可查看其选择的内容；使用次数受限指在授予临时密钥时设置密钥可使用的次数，超过次数自动失效销毁。

密钥分发绑定模块24，其用于在更换采用的等级密钥时将新的等级密钥分发给拥有对应密钥权限的用户的终端，并获取用户终端识别信息与发送到终端的等级密钥和临时密钥进行绑定，终端识别信息可为终端的序列号、入网许可号、IMEI、MEID中的一种或多种。

加密储存单元3，其用于将企业文档分级后通过加密算法和不同的公钥加密成不同保密等级的等级密文后储存进数据库；加密储存单元3包括文档分级模块31，其用于在储存文档时将文档分为一级文档、二级文档、……、n级文档，且分别与一级密文、二级密文、……、n级密文对应；算法模块32，其用于通过AES加密算法和公钥将一级文档、二级文档、……、n级文档分别加密成一级密文、二级密文、……、n级密文；每个部门使用的公钥不同，用于在将文档加密成密文时选择密文的类别，等级密钥为私钥，拥有与公钥加密的密文类别对应的职能的用户的私钥可解密该公钥加密的密文。

解密管理单元4，其用于验证用户的生物识别信息，验证通过则继续验证用户的等级密钥或临时密钥，验证通过后授予用户读取相应等级的等级密文的权限，并在用户读取时相应等级的等级密文时将该部分等级密文解密成明文。

解密管理单元4包括生物信息核对模块41，其用于核对用户的生物信息，确认用户身份，核对通过进入核对密钥流程，核对失败显示非法入侵；密钥核对模块42，其用于核对用户的等级密钥和临时密钥，并核对与等级密钥和临时密钥绑定的终端识别信息与用户信息是否对应，核对通过授予用户与等级密钥和临时密钥对应的等级密文的阅读权限；数据等级管理模块43，其用于用户持一级密钥或高等级密文至少一级的等级密钥对等级密文对应的文档进行修改、删除，且仅可修改、删除用户可查看的等级密文，并可修改、增加等级密文的类别，可通过增加等级密文的公钥的类别来增加等级密文的类别；查阅调取模块44，其用于用户查找阅读调取符合其阅读权限的等级密文，并将等级密文通过算法模块32的AES加密算法与等级密钥解密成明文。

系统还包括管理员登录模块5，管理员可通过管理员登录模块5登入系统，增、删、修改人员管理单元1内用户的基本信息、生物识别信息和密钥权限的等级。系统还包括日记模块6，其用于记录系统内的所有操作。

以上只通过说明的方式描述了本发明的某些示范性实施例，毋庸置疑，对于本领域的普通技术人员，在不偏离本发明的精神和范围的情况下，可以用各种不同的方式对所描述的实施例进行修正。因此，上述附图和描述在本质上是说明性的，不应理解为对本发明权利要求保护范围的限制。

Claims

1.一种基于计算机的企业文档加密防护系统，其特征在于：包括人员管理单元，所述人员管理单元用于录入用户的基本信息和相应的生物识别信息，并根据每个用户不同的职位信息赋予不同等级的密钥权限；

密钥单元，其用于定期给每个企业人员分配与之密钥权限的等级相对应的等级密钥，且拥有高密钥权限的人员可向拥有低密钥权限的人员授予其密钥权限范围内的临时密钥；

加密储存单元，其用于将企业文档分级后通过加密算法和不同的公钥加密成不同保密等级的等级密文后储存进数据库；

解密管理单元，其用于验证用户的生物识别信息，验证通过则继续验证用户的等级密钥或临时密钥，验证通过后授予用户读取相应等级的等级密文的权限，并在用户读取时相应等级的等级密文时将该部分等级密文解密成明文；

所述密钥单元包括密钥生成模块，其用于生成等级密钥和临时密钥，且每个等级的等级密钥生成多组，每个等级的等级密钥同时只采用一组；

密钥更换模块，其用于定期更换采用的等级密钥，更换时从生成的其它未采用的等级密钥中选取；

临时密钥模块，其用于高密钥权限的用户向低密钥权限的用户，以时间受限、内容受限和使用次数受限的方式中的至少一种授予临时密钥，且授予临时密钥时可选择临时密钥对应的等级密钥的等级，并可在临时密钥失效后将其销毁；

密钥分发绑定模块，其用于在更换采用的等级密钥时将新的等级密钥分发给拥有对应密钥权限的用户的终端，并获取用户终端识别信息与发送到终端的等级密钥和临时密钥进行绑定。

2.根据权利要求1所述的一种基于计算机的企业文档加密防护系统，其特征在于：所述人员管理单元包括人员基本信息模块，其用于登记用户的基本信息包括姓名、职位、密钥权限的等级、终端的识别信息；

生物信息模块，其用于获取人员的生物信息包括人脸信息、指纹信息、虹膜信息中的一种或多种；

权限设置模块，其用于设置人员的密钥权限的等级。

3.根据权利要求1所述的一种基于计算机的企业文档加密防护系统，其特征在于：系统还包括管理员登录模块，管理员可通过所述管理员登录模块登入系统，增、删、修改人员管理单元内用户的基本信息、生物识别信息和密钥权限的等级。

4.根据权利要求1所述的一种基于计算机的企业文档加密防护系统，其特征在于：所述密钥权限的等级从高到低分为一级权限、二级权限、……、n级权限；

所述等级密钥分为分别与一级权限、二级权限、……、n级权限对应的一级密钥、二级密钥、……、n级密钥；

所述等级密文分为一级密文、二级密文、……、n级密文，且分别与一级密钥、二级密钥、……、n级密钥对应，n为自然数。

5.根据权利要求4所述的一种基于计算机的企业文档加密防护系统，其特征在于：所述加密储存单元包括文档分级模块，其用于在储存文档时将文档分为一级文档、二级文档、……、n级文档，且分别与一级密文、二级密文、……、n级密文对应；

算法模块，其用于通过AES加密算法和公钥将一级文档、二级文档、……、n级文档分别加密成一级密文、二级密文、……、n级密文。

6.根据权利要求5所述的一种基于计算机的企业文档加密防护系统，其特征在于：所述解密管理单元包括生物信息核对模块，其用于核对用户的生物信息，确认用户身份，核对通过进入核对密钥流程，核对失败显示非法入侵；

密钥核对模块，其用于核对用户的等级密钥和临时密钥，并核对与等级密钥和临时密钥绑定的终端识别信息与用户信息是否对应，核对通过授予用户与等级密钥和临时密钥对应的等级密文的阅读权限；

数据等级管理模块，其用于用户持一级密钥或高等级密文至少一级的等级密钥对等级密文对应的文档进行修改、删除；

查阅调取模块，其用于用户查找阅读调取符合其阅读权限的等级密文，并将等级密文通过算法模块解密成明文。

7.根据权利要求1所述的一种基于计算机的企业文档加密防护系统，其特征在于：系统还包括日记模块，其用于记录系统内的所有操作。