本發明公開了一種基于密點標注的細粒度訪問控制方法。本發明方法首先標注密點信息，包括密點的密級、有效時間域、有效空間域，然后生成分級密鑰對文件中各密點進行分級加密，并將加密后文件傳輸到服務器中存儲；為用戶分配角色，為角色分配操作權限，對角色權限做進一步拓展；最后，以密點為單位根據密級、時間域、空間域、操作權限多維度實施訪問控制。本發明方法降低了權限管理的復雜性，以密文形式存儲和傳輸，加強文件的存儲和傳輸的安全性。本發明多維度標注密點信息拓展角色權限集，細化訪問控制策略，保證訪問控制的合理性和嚴密性。本發明以密點為單位細粒度實時訪問控制，增強了訪問控制的靈活性，提高了電子文件的安全水平。

技術領域

本發明屬于電子信息安全技術領域，具體涉及一種基于密點標注的細粒度訪問控制方法。

背景技術

互聯網的蓬勃發展及辦公自動化程度的日益普及和深入為信息資源共享提供了更加完善的手段。在各級黨政機關部門、國防軍工以及企事業單位中，越來越多的信息以電子文件的形式存在，其不僅關系到我國各個產業的良好運轉和高速發展，更直接關系到我國各省、市乃至國家級信息的機密性。因此，在方便快捷實現信息資源共享的同時，防止非授權用戶對機構內敏感信息進行非法訪問是當前電子文件安全管控領域的重中之重。

當前，我國依據其泄密后造成的安全與利益的損害程度對電子文件的密級進行劃分，對于商業秘密，電子文件可以分為核心商業秘密、重要商業秘密、一般商業秘密和公開等四個等級。對于國家秘密，電子文件一般分為絕密、機密、秘密、內部和公開等五個等級。同樣，使用這些電子文件的用戶也根據不同的工作知悉需要進行等級的劃分，例如可以把用戶的安全等級劃分為核心涉密人員、重要涉密人員、一般涉密人員和不涉密人員。但是，當前電子文件的訪問控制的技術，大多以文件為單位，而不是以文件中秘密內容為單位，訪問控制的精確度和靈活性較低，且當前訪問控制策略中缺乏對電子文件數據區域性、時間性等特性的充分考慮，因而訪問控制機制不夠嚴謹，未能實現對電子文件的有效管理。而且，當前大多數電子文件以明文形式存儲和傳輸，電子文件的安全性難以保證，可能導致信息資源泄露。

發明內容

本發明的目的是針對當前電子文件的安全性和共享性問題，提供一種基于密點標注的細粒度訪問控制方法。

本發明方法以密點為單位實現電子文件的信息標注、加解密和訪問控制，細化訪問控制單位，提高訪問控制的精確度和靈活性。利用角色匹配用戶與權限，增強用戶對權限動態變化的適應性。多維度限制用戶權限，增加用戶權限使用條件，提高用戶權限使用精度。從密級、空間、時間角度實施訪問控制策略，保證訪問控制的合理性和嚴密性?；诖?，有效解決了對電子文件的細粒度訪問控制問題，保障了電子文件內容的安全。

所述密點是指文件中具體決定一個事項具備國家秘密本質屬性的關鍵內容，一般表現為文字、數據、圖表等。

所述密點標注是指對文件中的密點標注相關信息，包括：密級、有效時間域(時間期限)、有效空間域(空間范圍)。