WO2009100678A1

WO2009100678A1 - 控制文档库访问安全性的方法、系统及文档库

Info

Publication number: WO2009100678A1
Application number: PCT/CN2009/070404
Authority: WO
Inventors: Donglin Wang
Original assignee: Sursen Corp.
Priority date: 2008-02-15
Filing date: 2009-02-12
Publication date: 2009-08-20
Also published as: CN101510238B; CN101510238A

Description

控制文档库访问安全性的方法、系统及文档库

技术领域

本发明涉及文档库安全性技术，特別涉及一种控制文档库访问安全性的方法、系统及文档库。发明背景

在国际公开号为： WO2007/065354 A1 的发明专利申请中，公开了一种文档数据安全管理方法和系统。为了保证文档库系统中诸如文档仓库、文档库、文档、页等各个层次的对象的安全性，上述发明专利申请公开了如下文档数据安全管理方案。在文档库中生成若干角色，每一个角色由相应的角色 ID唯一标识。不同的角色对应于不同的访问权限（包括读权限、写权限、再授权权限、打印权限等及其任意组合），用于对文档库以及文档库中各个层次的对象实现细粒度的安全访问控制。角色主要用于用户的分类，每个角色对应一个或多个用户，每个用户也可以对应一个或多个角色。不同的角色具有不同的密钥，不同的密钥可以分別用于对文档库进行不同的操作，例如登录文档库、阅读文档、签名等。

在上述文档库中，需要控制安全性的被访问对象大部分是文档，而文档具有多向分发的特点，也就是说：可能需要将文档的某一权限授予文档库的多个访问者，此时，需要将与该权限相应的角色 ID和密钥提供给文档库的访问者，所述角色 ID和密钥为该角色的登录信息。在传送角色的登录信息的过程中，存在一些安全隐患，例如：密钥有可能被窃听、墓改等。对于如何将角色的登录信息安全地提供给文档库的访问者，以控制文档库的访问安全性这一问题，上述专利申请没有提供相应的技术方案，因而无法更好地保障文档库的安全性。发明内容

有鉴于此，本发明的主要目的在于提供一种控制文档库访问安全性的方法及系统，实现角色的登录信息的安全传送。

为达到上述目的，本发明的技术方案具体是这样实现的：

一种控制文档库访问安全性的方法，包括：

根据用户与角色之间的对应关系，使用第一加密密钥对该用户对应的角色的登录信息进行加密得到加密后的登录信息；

使用用户提供的第一解密密钥对所述加密后的登录信息进行解密，得到所述登录信息，所述第一解密密钥与所述第一加密密钥对应。

一种控制文档库访问安全性的系统，包括：发送设备和接收设备；所述发送设备，用于根据设置的用户与角色的对应关系，使用第一加密密钥对所述用户对应的角色的登录信息进行加密，将所述加密后的登录信息提供给所述接收设备；

所述接收设备，用于使用第一解密密钥对加密后的登录信息进行解密，得到相应角色的登录信息，其中，所述第一解密密钥与所述第一加密密钥对应。

一种控制文档库访问安全性的文档库，其特征在于，包括：发送单元和接收单元；

所述发送单元，用于根据设置的用户与角色的对应关系，使用第一加密密钥对所述用户对应的角色的登录信息进行加密，将所述加密后的登录信息提供给所述接收单元；

所述接收单元，用于使用用户提供的第一解密密钥对加密后的登录信息进行解密，得到相应角色的登录信息，其中，所述第一解密密钥与所述第一加密密钥对应。

由上述技术方案可见，本发明的控制文档库访问安全性的方法和系统在现有文档数据安全管理方案的基上，结合文档库中需要进行安全访问控制的对象的特点，设置了用户与角色之间的对应关系。对于存在对应关系的用户和角色，本发明首先使用用户的加密密钥对相应角色的登录信息进行加密，然后由用户终端使用与所述加密密钥对应的解密密钥对加密后的登录信息进行解密，得到相应角色的登录信息。由于得到角色的登录信息就能获取到相应的权限，因此，本发明所述技术方案实在传送角色密钥时，使用用户的加密密钥对角色密钥进行加密，保证了只有合法的用户才能正确解密经过加密的登录信息得到角色密钥，实现了角色密钥到文档库访问者的安全传递，从而使得文档库更加安全、可靠。附图简要说明

图 1为本发明实施例的一种控制文档库访问安全性的方法的流程示意图；

图 2为本发明实施例的一种控制文档库访问安全性的系统的组成结构示意图；

图 3为本发明实施例的一种带有访问安全性控制的文档库的组成结构示意图；

图 4为本发明实施例中控制文档库访问安全性的验证流程示意图。实施本发明的方式

为使本发明的目的、技术方案及优点更加清楚明白，以下参照附图并举实施例，对本发明作进一步详细说明。

本发明从实际应用的需要出发，在现有文档数据安全管理方案的基础上，结合文档库中需要控制安全性的被访问对象的特点，在文档库中设置角色以及各角色的权限，设置用户与角色之间的对应关系。对于存在对应关系的用户和角色，首先发送设备使用用户的加密密钥对相应角色的登录信息进行加密，将加密后的登录信息提供给接收设备，用户访问文档库时，接收设备使用用户提供的与所述加密密钥对应的解密密钥对加密后的登录信息进行解密，得到相应角色的登录信息。上述发送设备和接受设备可以设置在文档库中，也可以是独立的设备。

图 1为本发明实施例的一种控制文档库访问安全性的方法的流程示意图。参见图 1 , 该方法包括以下步骤。

步骤 101: 设置用户与角色之间的对应关系。

为了执行本步骤，首先需要按照背景技术所引用的专利申请中所公开的技术方案在文档库中创建角色，然后为各个角色分配相应的权限。用户在登录文档库时，需要使用该用户对应的角色的登录信息进行身份认证之后，才能登录。所述用户是指文档或文档库的访问者。用户在通过用户终端访问文档库时，必须以相应的角色登录。

本步骤中，所设置的用户与角色之间的对应关系可以是多对多的关系，即：一个角色可以对应于多个用户，这多个用户可以使用相同的角色登录文档库，并在文档库中拥有相同的权限；一个用户也可以对应于多个角色，表明该用户可以具有多个角色的权限。

当然，所述用户与角色之间的对应关系也可以是一对一、一对多或多对一的对应关系。在本发明中，角色与用户之间的对应是通过将角色的密钥提供给用户来实现的。

步骤 102: 对于存在对应关系的用户和角色，使用用户的加密密钥对相应角色的登录信息进行加密。

本发明所述角色的登录信息可以包括：该角色的 ID和 /或该角色的登录密钥。如前所述，每一个角色可以拥有一个或多个密钥，不同的密钥对应于不同的访问权限，例如：读权限、写权限、再授权权限、打印权限等。因此，本步骤所述角色的登录信息还可以包括其他密钥，例如：签名密钥、文档加密密钥等与角色相关的各种密钥。所述角色密钥可以是对称密钥，也可以是公开密钥体系（PKI ) 密钥。

在进行本步骤所述加密时，可以将该角色的其他密钥也加密进去。并且，除了可以对角色的登录信息进行加密之外，也可以根据实际应用的需要将其他需要传送给用户的信息也加密进去。

本步骤加密所使用的用户的加密密钥可以是对称密钥，也可以是非对称密钥中的其中一个，例如 PKI密钥对中的公钥。根据本发明的一种实施方式，发送设备和接受设备为设置在文档库中的功能单元，则本步骤所述的加密操作由文档库执行，若文档库没有用户的加密密钥，用户还需要通过用户终端将其加密密钥提供给文档库。

本步骤中，加密后的登录信息可以直接发送给接收设备，也可以作为文档库的一部分嵌入到文档库中，接收设备在需要时，到文档库中进行获取。对于作为文档库的一部分嵌入到文档库的情况，可以在文档库中增加一个对象，该对象用于记录合法用户 ID 以及使用该用户的公钥进行加密后得到的角色登录信息。

步骤 103: 接收设备使用用户提供的与所述加密密钥对应的解密密钥对加密后的登录信息进行解密，得到相应角色的登录信息。

本步骤中，接收设备可以使用与步骤 302所述加密密钥对应的解密密钥对加密后的登录信息进行解密。若步骤 302中使用的是 PKI密钥对中的公钥，则本步骤中，接收设备将使用该 PKI密钥对中的私钥对加密后的登录信息进行解密。

本步骤和步骤 102保证了只有合法的用户才能正确解密加密的登录信息的内容，保证了角色密钥传输的安全性。

至此，本发明控制文档库访问安全性的方法流程结束。

由上述技术方案可见，本发明的控制文档库访问安全性的方法在现有文档数据安全管理方案的基础上，设置了用户与角色之间的对应关系，并且，对于存在对应关系的用户和角色，本发明首先由发送设备使用用户的加密密钥对相应角色的登录信息进行加密，然后由该接收设备使用用户提供的与所述加密密钥对应的解密密钥对加密后的登录信息进行解密，得到相应角色的登录信息。由于得到角色的登录信息就能获取到该角色的权限，因此，本发明所述技术方案实现了角色的权限与文档库访问者之间的有机结合。尤为重要的是，本发明在传送角色密钥时，使用用户的加密密钥对角色密钥进行了加密，保证了只有合法的用户才能解密该加密后的登录信息并得到角色密钥，从而实现了角色密钥到文档库访问者的安全传递，使得文档库系统更加安全、可靠。

在采用本发明上述技术方案，解密得到相应角色的登录信息之后，用户可以使用该角色的登录信息，通过相应的用户终端访问文档库。所述访问可以包括：登录、读、写、签名、加密、身份认证、打印等等。者；相应地，所述进行加密为：由发送设备使用用户的加密密钥对数据进行加密；所述进行解密为：由接收设备使用与所述加密密钥对应的解密密钥对加密后的数据进行解密，得到相应的数据。

本发明所述文档库可以是符合非结构操作标记语言（UOML )标准的文档库。

以上对本发明控制文档库访问安全性的方法进行了详细说明，下面对本发明控制文档库访问安全性的系统的具体实施方式进行说明。

图 2为本发明实施例的一种控制文档库访问安全性的系统的组成结构示意图。参见图 2, 该系统包括：发送设备 210和接收设备 220。所述发送设备 210 用于根据设置的用户与文档库的角色的对应关系，使用用户的加密密钥对相应角色的登录信息进行加密，将所述加密后的登录信息提供给所述接收设备；

所述接收设备 220用于使用与所述加密密钥对应的解密密钥对加密后的登录信息进行解密，得到相应角色的登录信息。

图 2所示系统中可以进一步包括文档库 230;

所述接收设备 220进一步用于使用所述登录信息登录到文档库 230 中，获得相应角色的权限。

所述角色登录信息包括：所述角色的 ID和 /或所述角色的登录密钥。所述用户的加密密钥和解密密钥是一对公开密钥体系 PKI密钥对，所述加密密钥是所述 PKI密钥对中的公钥，所述解密密钥是所述 PKI密钥对中的私钥。

所述加密后的登录信息可以作为文档库的一部分嵌入到文档库 230 中。

所述发送设备 210和接收设备 220可以设置在文档库 230中，也可以为独立的设备。

图 3为本发明实施例的一种带有访问安全性控制的文档库的组成结构示意图。参见图 3 , 该文档库包括：发送单元 310、接收单元 320及存储单元。

所述发送单元 310 用于根据设置的用户与文档库的角色的对应关系，使用用户的加密密钥对相应角色的登录信息进行加密，将所述加密后的登录信息提供给所述接收单元 320或保存到存储单元 330;

所述接收单元 320用于使用用户提供的与所述加密密钥对应的解密密钥对所述加密后的登录信息进行解密，得到相应角色的登录信息。所述存储单元 330用于存储文档数据和角色数据。

根据本发明的一个实施例，用户 A可以提供用户 B的加密密钥，发送设备或文档库利用该加密密钥对用户 B对应的角色登录信息进行加密并保存在文档库中。用户 A将该文档库提供给用户 B。用户 B提供解密密钥，接收设备或文档库则利用该解密密钥验证用户 B的身份，即利用该解密密钥对文档库中用户 B对应的角色登录信息进行解密，得到该角色的登录信息。此外，还可以采取更复杂的验证措施以保障文档库的访问安全性。下面通过一个具体的验证流程说明本发明技术方案的具体的应用。

图 4为本发明实施例中控制文档库访问安全性的验证流程示意图。参见图 4, 首先介绍本验证流程中将涉及的密钥。本实施例的验证流程涉及三个公私钥对和一个用于加密文档的对称密钥（记为： SymKey ), 所述三个公私钥对分別为：

文档公私钥对（记为： PubKeyO和 PrivKeyO ),用于对文档进行签名；角色公私钥对（记为： PubKeyl和 PrivKeyl ), 用于文档库登录及验证；在登录文档库时，需要使用角色的登录信息进行验证，本例中，假设所述登录信息包括：角色 ID (记为： RolelD )和该公私钥对中的私钥 PrivKeyl;

用户公私钥对（记为： PubKey2和 PrivKey2 ), 该公私钥对用于保证角色密钥的传输安全及控制接收方的阅读权限。

对应于本验证流程，本发明所述角色密钥可以包括上述文档公私钥对中的私钥、角色公私钥对中的私钥以及对称密钥 SymKey; 本发明所述用户的加密密钥和解密密钥即上述用户公私钥对。

如前所述，文档库中的各种密钥主要用于进行各种权限控制，所述权限控制不仅包括文档库登录过程中的权限控制，还可能包括只读、可读写等权限控制，因此，在实际应用中，角色密钥可能不仅仅限于上述几个密钥。与权限控制有关的各种密钥均可以采用本发明所述技术方案以加密的方式提供给相应的用户，可以将多个密钥一次性加密提供给用户，也可以分多次加密、提供给用户。当文档库采用图 3所示结构时，用户可以将用户密钥提供给文档库，由文档库进行角色登录信息的解密操作，这样，用户仅需提供用户解密密钥而不用进行其他操作就可以获得角色的权限，并基于获得的权限访问文档。

现在参见图 4, 本实施例的控制文档库访问安全性的验证流程如下所述。图中所示发送方表示文档库侧，所示接收方表示用户侧。

第 1步：对文档进行 Hash摘要，用 PrivKeyO对摘要结果进行签名，得到签名结果 MD。

第 2步：用对称密钥 SymKey对文档原始数据和签名 MD加密，得到加密数据 El。

第 3步：用 PubKeyl加密 SymKey和 PubKeyO,得到数据 KeyData, 保存到文档的角色列表（ RoleList ) 中。

第 4步：用用户的公钥 PubKey2加密文档登录私钥 PrivKeyl , 将生成的密文发送给用户或保存在文档库中，同时把 PubKey2保存到文档中对应的角色列表下。

以上步骤可以由文档库完成，例如，可以由发送单元 310完成，也可以由单独的设备完成。

第 5步：用户通过用户终端收到密文后，可以由用户终端使用用户的私钥 PrivKey2解密，得到 PrivKeyl和对应的角色 ID ( RolelD );或者，当用户访问文档库时，通过用户终端将用户的私钥 PrivKey2提供给文档库，文档库使用用户的私钥 PrivKey2 对上述密文进行解密，得到 PrivKeyl和对应的角色 ID ( RolelD )。以下是解密得到 RolelD和 PrivKeyl后，由文档库（具体地，可以是文档库中的接收单元 320或文档库中的其它功能单元）或用户终端进行验证的过程，包括下述步骤。

第 6步：用 PrivKeyl解密 KeyData数据，得到 SymKey和 PubKeyO。第 7步：用 SymKey解密文档数据 E1 , 得到文档的原始数据和签名

MD。

第 8 步：用 PubKeyO 解密签名数据 MD , 得到原来的摘要结果 HashDataO。

第 9步：用同样的 Hash算法，对文档进行摘要，得到 HashDatal。第 10步：比较 HashDataO和 HashDatal两个数据，如果相同，则认为数据没有被修改，验证成功；否则认为数据被墓改，返回错误，验证失败。

以上都验证成功后，认为登录成功，文档就可以被打开阅读了。从上述过程可以看出，获得了文档库的角色登录信息并不意味着可以直接访问文档库中的文档。文档库中的文档是已经利用第一密钥进行签名，并使用第二密钥（例如上述实施例中的 SymKey )进行过加密的。而第一密钥和第二密钥是利用角色的密钥进行加密并作为密钥数据 (即上述实施例中的 KeyData )保存在文档库中的。用户利用文档库的角色登录信息获得相应角色的权限是通过使用角色的密钥对上述密钥数据进行解密得到文档的密钥，从而可以访问文档的。

根据本发明的其它实施例，文档库中的文档也可以不经过签名，而档进行保护。

另外，文档库中所有的文档和密钥均是以加密的形式存在的，这样，非法用户即使得到文档库的数据也 4艮难破解出其中文档内容。机程序产品。该计算机程序产品可以承载于多种存储介质中。本领域技术人员应当清楚，上述实施方式可以是一个计算机程序产品，包括若干指令，用于让一个硬件平台完成以上叙述的方法。一个基于本发明的设备可以包括一个上述计算机程序产品以及运行该计算机程序的硬件平以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1、一种控制文档库访问安全性的方法，其特征在于，包括：根据用户与角色之间的对应关系，使用第一加密密钥对该用户对应的角色的登录信息进行加密得到加密后的登录信息；

2、根据权利要求 1所述的方法，其特征在于，

所述角色的登录信息包括：第二解密密钥。

3、根据权利要求 1或 2所述的方法，其特征在于，

所述第一加密密钥和所述第一解密密钥为一对公开密钥体系 PKI密钥对，其中所述第一加密密钥为所述密钥对中的公钥，所述第一解密密钥为所述密钥对中的私钥。

4、根据权利要求 2所述的方法，其特征在于，进一步包括：使用第三加密密钥对文档库中的文档进行加密得到第一密文，使用所述第二加密密钥对第三解密密钥加密得到第二密文；

使用第二解密密钥解密所述第二密文得到所述第三解密密钥，使用所述第三解密密钥对所述第一密文进行解密得到所述文档；

其中，所述第二加密密钥与所述第二解密密钥对应，所述第三解密密钥与所述第三加密密钥对应。

5、根据权利要求 4所述的方法，其特征在于，进一步包括：计算所述文档的摘要，使用第四加密密钥对所述摘要进行加密得到第三密文，

所述使用第三加密密钥对文档库中的文档进行加密得到第一密文包括：使用所述第三加密密钥将所述文档和所述第三密文一同加密得到所述第一密文；

所述使用所述第二加密密钥对第三解密密钥加密得到第二密文包括：使用所述第二加密密钥对第三解密密钥和第四解密密钥一同加密得到所述第二密文；

解密所述第二密文得到所述第三解密密钥时进一步得到所述第四解密密钥，使用所述第三解密密钥对所述第一密文进行解密得到所述文档时进一步得到所述第三密文；

所述方法进一步包括：所述用户终端使用所述第四解密密钥解密所述第三密文得到所述摘要，计算所述文档的摘要，比较所述解密得到的摘要和所述计算得到的摘要，如果相同，则判定所述解密得到的文档是有效的；

其中，所述第四解密密钥与所述第四加密密钥对应。

6、根据权利要求 4所述的方法，其特征在于，

所述第三加密密钥和所述第三解密密钥为对称密钥；

所述第二解密密钥与所述第二加密密钥为一对公开密钥体系 PKI密钥对，其中所述第二加密密钥为所述密钥对中的公钥，所述第二解密密钥为所述密钥对中的私钥。

7、根据权利要求 1或 2所述的方法，其特征在于：

所述进行加密为：由发送设备使用第一加密密钥对相应角色的登录信息进行加密；

所述进行解密为：由接收设备使用所述用户提供的解密密钥对加密后的登录信息进行解密，得到相应角色的登录信息。

8、根据权利要求 1或 2所述的方法，其特征在于，在使用所述第一加密密钥对相应角色的登录信息进行加密之后，进一步包括：将所述加密后的登录信息作为所述文档库的数据存储在所述文档库中。

9、根据权利要求 1或 2所述的方法，其特征在于：

所述文档库为符合非结构操作标记语言 UOML标准的文档库。

10、一种控制文档库访问安全性的系统，其特征在于，包括：发送设备和接收设备；

所述发送设备，用于根据设置的用户与角色的对应关系，使用第一加密密钥对所述用户对应的角色的登录信息进行加密，将所述加密后的登录信息提供给所述接收设备；

11、根据权利要求 10所述的系统，其特征在于，所述登录信息包括第二解密密钥，

所述发送设备进一步用于使用第三加密密钥对文档库中的文档进行加密得到第一密文，使用第二加密密钥对第三解密密钥进行加密得到第二密文；

所述接收设备进一步用于使用所述第二解密密钥解密所述第二密文得到所述第三解密密钥，使用所述第三解密密钥对所述第一密文进行解密得到所述文档；

12、根据权利要求 11所述的系统，其特征在于，

所述发送设备进一步用于计算所述文档的摘要，使用第四加密密钥对所述摘要进行加密得到第三密文，使用所述第三加密密钥将所述文档和所述第三密文一同加密得到所述第一密文，

使用所述第二加密密钥对第三解密密钥和第四解密密钥一同加密得到所述第二密文；

所述接收设备进一步用于解密所述第二密文得到所述第三解密密钥和所述第四解密密钥，解密所述第一密文得到所述文档和所述第三密文，使用所述第四解密密钥解密所述第三密文得到所述摘要，计算所述文档的摘要，比较所述解密得到的摘要和所述计算得到的摘要，如果相同，则判定所述解密得到的文档是有效的，否则判定所述解密得到的文档是无效的；其中，所述第四解密密钥与所述第四加密密钥对应。

13、一种控制文档库访问安全性的文档库，其特征在于，包括：发送单元和接收单元；

14、根据权利要求 13所述的文档库，其特征在于，

所述登录信息包括第二解密密钥，

所述发送单元进一步用于使用第三加密密钥对文档库中的文档进行加密得到第一密文，使用第二加密密钥对第三解密密钥进行加密得到第二密文；

所述接收单元进一步用于使用所述第二解密密钥解密所述第二密文得到所述第三解密密钥，使用所述第三解密密钥对所述第一密文进行解密得到所述文档；其中，所述第二加密密钥与所述第二解密密钥对应，所述第三解密密钥与所述第三加密密钥对应。

15、根据权利要求 14所述的文档库，其特征在于，

所述发送单元进一步用于计算所述文档的摘要，使用第四加密密钥对所述摘要进行加密得到第三密文，使用所述第三加密密钥将所述文档和所述第三密文一同加密得到所述第一密文，

所述接收单元进一步用于解密所述第二密文得到所述第三解密密钥和所述第四解密密钥，解密所述第一密文得到所述文档和所述第三密文，使用所述第四解密密钥解密所述第三密文得到所述摘要，计算所述文档的摘要，比较所述解密得到的摘要和所述计算得到的摘要，如果相同，则判定所述解密得到的文档是有效的，否则判定所述解密得到的文档是无效的；其中，所述第四解密密钥与所述第四加密密钥对应。