[發明專利]一種基于密點標注的細粒度訪問控制方法有效
| 申請號: | 202010132735.5 | 申請日: | 2020-02-29 |
| 公開(公告)號: | CN111368269B | 公開(公告)日: | 2022-03-29 |
| 發明(設計)人: | 吳國華;曲單妮;王秋華;袁理鋒;任一支;張禎;姚曄;王震;陳臨強 | 申請(專利權)人: | 杭州電子科技大學 |
| 主分類號: | G06F21/31 | 分類號: | G06F21/31;G06F21/45;G06F21/60;G06F21/62;H04L9/06 |
| 代理公司: | 杭州君度專利代理事務所(特殊普通合伙) 33240 | 代理人: | 楊舟濤 |
| 地址: | 310018 浙*** | 國省代碼: | 浙江;33 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 標注 細粒度 訪問 控制 方法 | ||
1.一種基于密點標注的細粒度訪問控制方法,其特征在于,該方法以密點為單位對電子文件進行分級訪問控制;
所述密點是指文件中具體決定一個事項具備國家秘密本質屬性的關鍵內容;
所述密點標注是指對文件中的密點標注相關信息,包括:密級、有效時間域、有效空間域;
設定網絡系統中N個用戶的用戶集合為U={U1,U2,…,UN},每個用戶都注冊有唯一的身份標識ID號IDn,n=1,2,…,N;為用戶分配的角色集合為R={R1,R2,…,RI},Ri表示其中一個角色,i=1,2,…,I;操作權限集合為P={P1,P2,…,PJ},Pj表示其中一種操作權限,j=1,2,…,J;密級集合為L={L1,L2,…,LA},La表示其中一種具體密級,a=1,2,…,A;有效時間域集合為T={T1,T2,…,TB},Tb表示其中一個具體有效時間域,b=1,2,…,B;有效空間域集合為S={S1,S2,…,SC},Sc表示其中一個具體有效空間域,c=1,2,…,C;訪問控制方法具體是:
步驟(1).密點信息標注:
(1-1).用戶在用戶端創建電子文件,并將電子文件內容中的秘密信息標注為密點;
(1-2).為電子文件中的密點標注密級La、有效時間域Tb、有效空間域Sc;密級是指密點中秘密信息的秘密等級;有效時間域是指以密點中秘密信息的保密期限為依據,生成的對密點的有效訪問時間;有效空間域是指以密點中秘密信息的內容為依據,生成的對密點的可訪問區域;
(1-3).生成密點信息輔助塊,包括:密級標志、時間域標志和空間域標志,并將其與密點綁定;綁定方式是指將密點信息輔助塊直接插入到電子文件中密點內容下方;
步驟(2).對密點進行分級加密:
(2-1).用戶端依據標注的密點信息統計文件中各密點的密級,向服務器申請其中最高密級的密鑰;
(2-2).服務器生成最高密級的密鑰,并通過安全信道傳輸至用戶端;
上一級密級的密鑰由下一級密級的密鑰加上特定長度的字符串構成,逐級增加,最高密級的密鑰包含最高密級增加的字符串及以下所有密級的密鑰,字符串的特定長度是指與最低密級的密鑰長度相同;
(2-3).用戶端解析最高密級的密鑰,得到所有密級的密鑰;
(2-4).用戶端對各密級的密鑰進行定長處理:對不同長度的各密級的密鑰通過哈希算法進行處理,分別得到固定長度的密鑰,即為分級加密密鑰;
(2-5).用戶端以密點為單位,依據密點的密級,利用加密算法通過分級加密密鑰對密點進行加密;對不同密級的密點采用對稱加密算法,即加密密鑰也是解密密鑰;
(2-6).傳輸加密后的文件至服務器端數據庫存儲,其中密點以密文形式存儲,其它部分以明文形式存儲;
步驟(3).為用戶分配角色:
依據用戶和角色的指派關系為用戶分配角色,其基本方法為:根據用戶的職能和權利為其分配不同角色;在角色分配中,一個用戶擁有一個或多個角色,多個用戶擁有同一個或多個角色;如果兩個角色間相互沖突,則用戶只能被賦予一個角色;
步驟(4).為角色分配權限;
將操作權限集合P與密級集合L、有效時間域集合T、有效空間域集合S綁定在一起,構成拓展權限集;拓展權限集的具體分配方法為:
(4-1).為角色Ri指派操作權限Pj;在賦予用戶角色的同時賦予用戶相應的操作權限;
(4-2).為操作權限指派有效密級域;對角色指派可訪問的密級La,該角色對應的操作權限只可以在可訪問密級內實現,超出密級范圍權限將失效;被賦予該角色的用戶可訪問其相應密級La和低于該密級的全部密點;
(4-3).為操作權限指派有效時間域Tb;依據角色的有效工作時間指派操作權限的可使用時間,使得該角色的操作權限只在特定時間期限內有效,超出期限則權限收回;
(4-4).為操作權限指派有效空間域Sc;指派操作權限的可用區域,使得角色的操作權限只能在對應的有效空間域實現,有效空間域為特定組織機構或部門;
步驟(5).細粒度訪問控制:在訪問控制中,以密點為單位進行訪問控制,具體步驟是:
(5-1).用戶Un申請訪問電子文件;
(5-2).用戶端對訪問申請生成訪問日志,發送給服務器;
(5-3).服務器存儲日志,并查詢該文件是否存在:若存在,則將文件及日志返回給用戶端;若不存在,則向用戶端返回空信息;
(5-4).若用戶端收到服務器返回信息為空,則向用戶顯示訪問失敗,結束本次訪問;若收到返回信息不為空,則對電子文件進行解析,獲得電子文件的全部內容,包括各密點k,k=1,2,…,K,及各密點對應的密級Lka、有效時間域Tkb、有效空間域Skc,ka∈[1,A],kb∈[1,B],kc∈[1,C];
服務器傳輸到用戶端的電子文件中,密點以密文形式顯示,其它部分以明文形式顯示;
(5-5).用戶端向服務器獲取用戶Un的角色Rni及相應拓展權限,包括操作權限Pnj、密級Lna、有效時間域Tnb、有效空間域Snc,ni∈[1,I],nj∈[1,J],na∈[1,A],nb∈[1,B],nc∈[1,C];
(5-6).以密點為單位實施訪問控制策略,具體方法為:
a.按序提取密點及其標注信息;
b.將密點的密級Lka與用戶角色密級Lna進行比較:如果Lna<Lka,則表示用戶無權限訪問該密點,需提取下一密點;如果Lna≥Lka,執行c;
c.獲取當前訪問時間t,并將密點的有效時間域Tkb與用戶權限的有效時間域Tnb進行比較:如果當前訪問時間t符合用戶權限的有效時間,同時符合密點的有效時間,即t∈Tnb∈Tkb,則執行d;否則拒絕訪問該密點;
d.獲取用戶當前所處空間s,并將密點的有效空間域Skc與用戶權限的有效空間域Snc進行比較:如果當前用戶處于自己角色的權限有效區域內,且該區域內密點信息有效,即s∈Snc∈Skc,則執行e;否則拒絕訪問該密點;
e.獲取用戶對應角色的操作權限Pnj,與用戶當前訪問申請的操作權限p進行比較:如果當前訪問操作符合用戶的操作權限,即p∈Pnj,則標記該密點為可訪問密點,否則拒絕訪問該密點,提取下一密點;
f.重復執行a~e,直至全部密點操作完成;
(5-7).用戶端向服務器申請用戶可訪問的最高密級密鑰;
(5-8).用戶端解析最高密級的密鑰,得到所有密級的密鑰;
(5-9).利用分級解密密鑰解密文件中可訪問密點,以明文形式向用戶顯示,不可訪問密點以密文形式向用戶顯示。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于杭州電子科技大學,未經杭州電子科技大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010132735.5/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種船員考核系統
- 下一篇:一種基于電力指紋的電器設備識別方法
