技術領域

本發明涉及企業內部數據的阻隔，以及對阻隔數據的特權訪問控制，屬于信息安全領域。

背景技術

隨著信息化的深入，電子文檔已成為企業關鍵資產的主要載體。對這些電子化的數據進行安全保護，這一觀點已經在企業中達成共識。一般情況下，企業會選擇數據防泄密的安全軟件，對數據進行安全保護。利用數據防泄密的方式保護數據，主要的防護重點是防止數據泄漏到企業外部，但對于企業內部不同用戶或不同部門的數據的使用，無法進行快速、準確的管理和控制。

目前，對企業內部的數據的控制，具有如下不足：1）只控制數據不泄漏到企業外部，數據在企業內部無任何限制，越權訪問的問題無法遏制；2）對企業內部的數據控制，由個人進行約束，比如用戶本人主動控制數據不被企業內部其他人訪問。此方式受用戶本人的安全意識的制約，不能防止用戶本人有意或無意的交叉泄密；3）對企業內部的數據控制，采取不同用戶具有不同的密鑰的方式，密鑰需要由管理者指定。通過一用戶一密鑰的方式，使用戶之間無法互相解密，以達到防止越權訪問的目的。此方式需要管理者參與密鑰的管理，當用戶規模較大時，大量密鑰將引起管理上的困難；4）對企業內部的數據進行阻隔，需要借助于數據二次轉化，將數據轉為特定的格式或特定的數據包。這種方式增加了流程，而且數據轉化會帶來使用上的不方便，甚至造成數據格式或屬性的丟失；5）對于一些特殊用戶需要使用阻隔數據的場景，缺少特權控制的支持，或者在給特殊用戶使用阻隔數據時需要數據轉化或用戶參與密鑰置換，進一步增加系統整體的冗繁程度。

發明內容

針對當前企業內部數據阻隔和特權控制，本發明公開一種敏捷的數據阻隔與特權控制的方法。利用本發明提供的方法和功能，可實現企業內部強制、自動、實時的數據阻隔，并可設置特權用戶，在權限可控的前提下對阻隔數據進行訪問。

本發明的技術方案為一種數據阻隔與特權控制方法，其步驟包括：

1）以用戶和/或用戶組為單位對待阻隔數據進行阻隔，并通過加密和阻隔標識后得到阻隔數據；

2）識別所述阻隔數據的阻隔標識，對帶有阻隔標識的阻隔數據進行用戶訪問控制；

3）在用戶訪問所述的阻隔數據時，根據設定的特權訪問范圍識別當前訪問的用戶屬于特權用戶或特權組；

4）根據所述特權用戶和/或特權組對阻隔數據進行訪問或訪問阻隔。

更進一步，若以用戶為單位進行阻隔，則阻隔不同用戶間對對方數據的互相訪問；若以用戶組為單位進行阻隔，則允許在同一組的不同用戶對對方數據的互相訪問，若處于不同組的用戶，則阻隔訪問對方的數據。

更進一步，所述阻隔標識包括：當前用戶唯一標識、阻隔類別、防偽密鑰以及阻隔標識校驗值，所述阻隔類別是標識當前數據是以用戶為單位的阻隔或者以用戶組為單位阻隔；所述防偽密鑰由隨機數和當前用戶唯一標識、當前用戶所屬用戶組、阻隔類別的哈希值組成；所述阻隔標識校驗值由當前用戶唯一標識、當前用戶所屬用戶組唯一標識、阻隔類別和防偽密鑰的哈希值組成。

更進一步，以用戶為單位對阻隔數據進行訪問控制的方法如下：

1）啟動應用軟件打開阻隔數據后檢查阻隔標識校驗值；

2）所述阻隔標識校驗值檢查通過后繼續獲取數據的防偽密鑰；

3）利用所述防偽密鑰解密當前數據中的用戶標識、用戶所屬用戶組標識以及阻隔類別；

4）檢查數據中的用戶標識是否與當前訪問數據的用戶標識一致；

5）數據中的用戶標識與當前訪問數據的用戶標識一致，則解密數據的具體內容，當前用戶可使用阻隔數據；數據中的用戶標識與當前訪問數據的用戶標識不一致，則檢查當前用戶是否對阻隔數據具有特權訪問的權限。

更進一步，以用戶組為單位對阻隔數據進行訪問控制的方法如下：

1）啟動應用軟件打開阻隔數據后檢查阻隔標識校驗值；

2）所述阻隔標識校驗值檢查通過后繼續獲取數據的防偽密鑰；

3）利用所述防偽密鑰解密當前數據中的用戶標識、用戶所屬用戶組標識以及阻隔類別；

4）檢查數據中的用戶標識是否與當前訪問數據的用戶標識一致；

5）若用戶標識與當前訪問數據的用戶標識一致，則解密數據的具體內容當前用戶可使用阻隔數據；

6）若數據中的用戶標識與當前訪問數據的用戶標識不一致，則繼續檢查當前用戶是否與數據中的用戶處于同一組，如果處于同一組則解密數據原內容，當前用戶可使用阻隔數據；

7）若當前用戶與數據中的用戶不屬于同一組，檢查當前用戶是否對阻隔數據具有特權訪問的權限。