技術領域

本發明涉及文檔庫安全技術，特別涉及一種文檔庫安全訪問方法及系統。

背景技術

在PCT申請號為：PCT/CN2006/003294的發明專利申請中，公開了一種文檔數據安全管理方法和系統。為了保證文檔庫系統中諸如文檔倉庫、文檔庫、文檔、頁等各個層次的對象的安全性，上述發明專利申請公開了如下文檔數據安全管理方案：

在文檔庫系統中生成若干角色，每一個角色以其相應的角色ID唯一標識，并且，每一個角色擁有一個或多個密鑰，不同的密鑰對應于不同的訪問權限（包括讀權限、寫權限、再授權權限、打印權限等），用于對文檔庫系統以及文檔庫系統中各個層次的對象實現細粒度的安全訪問控制。例如：所述多個密鑰可以分別用于：角色登錄文檔庫系統、角色閱讀文檔、角色簽名等。

在上述文檔庫系統中，需要進行安全訪問控制的對象大部分是文檔，而文檔具有多向分發的特點，也就是說：可能需要將文檔的某一權限授予給多個文檔庫系統的訪問者，此時，需要將與該權限相應的角色ID和密鑰發送給文檔庫系統的訪問者，所述角色ID和密鑰屬于角色的登錄信息。在發送角色的登錄信息的過程中，存在一些安全隱患，例如：密鑰有可能被竊聽、篡改等，對于如何將角色的登錄信息安全地傳送給文檔庫系統的訪問者這一問題，上述專利申請沒有提供相應的技術方案，因而無法徹底、全面地保證文檔庫訪問的安全性。

發明內容

有鑒于此，本發明的主要目的在于提供一種文檔庫安全訪問方法及系統，實現角色密鑰的安全傳送。

為達到上述目的，本發明的技術方案具體是這樣實現的：

一種文檔庫安全訪問方法，包括：

設置用戶與角色之間的對應關系；

對于存在對應關系的用戶和角色，使用用戶的加密密鑰對相應角色的登錄信息進行加密；

所述接收設備使用與所述加密密鑰對應的解密密鑰對所述加密后的登錄信息進行解密，得到相應角色的登錄信息。

所述接收方得到角色的登錄信息之后，可以進一步使用所述登錄信息登錄到文檔庫中，獲得相應角色的權限。

所述角色的登錄信息可以包括：所述角色的標識ID和/或所述角色的登錄密鑰。

所述角色的登錄密鑰為：公開密鑰體系PKI密鑰對中的私鑰。

所述用戶與角色之間的對應關系可以為多對多的關系。

所述用戶的加密密鑰和解密密鑰可以是一對PKI密鑰對；

所述加密密鑰是所述PKI密鑰對中的公鑰；

所述解密密鑰是所述PKI密鑰對中的私鑰。

所述方法可以用于將文檔庫中的數據傳送給合法的使用者；

所述進行加密可以為：由發送方使用接收方的加密密鑰對相應角色的登錄信息進行加密；

所述進行解密可以為：由接收方使用與所述加密密鑰對應的解密密鑰對加密后的登錄信息進行解密，得到相應角色的登錄信息。

在使用用戶的加密密鑰對相應角色的登錄信息進行加密之后，可以進一步包括：將所述加密后的登錄信息作為文檔庫數據嵌入到所述文檔庫中。

所述文檔庫可以為符合非結構操作標記語言UOML標準的文檔庫。

一種文檔庫安全訪問系統，包括：發送設備和接收設備；

所述發送設備，用于根據設置的用戶與角色的對應關系，使用用戶的加密密鑰對相應角色的登錄信息進行加密；

所述接收設備，用于使用與所述加密密鑰對應的解密密鑰對加密后的登錄信息進行解密，得到相應角色的登錄信息。

所述系統中可以進一步包括文檔庫；

所述接收設備，可以進一步用于使用所述登錄信息登錄到文檔庫中，獲得相應角色的權限。

所述角色登錄信息可以包括：所述角色的ID和/或所述角色的登錄密鑰；

所述用戶的加密密鑰和解密密鑰可以是一對公開密鑰體系PKI密鑰對，所述加密密鑰是所述PKI密鑰對中的公鑰，所述解密密鑰是所述PKI密鑰對中的私鑰；

所述加密后的角色登錄信息可以是作為文檔庫數據嵌入到文檔庫中的。