專利名稱：基于密級(jí)標(biāo)識(shí)的電子文檔訪問控制方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種基于密級(jí)標(biāo)識(shí)的電子文檔訪問控制技術(shù)，特別是對(duì)office文檔類型密級(jí)標(biāo)識(shí)的訪問控制。
背景技術(shù)：
隨著信息技術(shù)的高速發(fā)展和信息化建設(shè)的不斷推進(jìn)，越來越多的文件均以電子文檔的形式進(jìn)行傳輸和保存，電子文檔已成為企業(yè)核心數(shù)據(jù)的重要載體，已成為企業(yè)發(fā)展所必須的核心數(shù)據(jù)資產(chǎn)，一旦發(fā)生失泄密事件，將會(huì)嚴(yán)重影響到企業(yè)發(fā)展甚至是企業(yè)的生存。就目前來看，電子文件的安全性仍面臨著以下諸多的安全風(fēng)險(xiǎn)I)現(xiàn)階段大部分企業(yè)的電子文件仍然處于分布式存儲(chǔ)階段，分布存儲(chǔ)于各個(gè)計(jì)算機(jī)終端，且基本上都是以明文的形式存儲(chǔ)。對(duì)于一些關(guān)注于信息安全保密的企業(yè)來說，也采 取了部分措施加強(qiáng)了對(duì)電子文件的安全保密管理，例如實(shí)施終端安全防護(hù)軟件來禁用一些常用的硬件設(shè)備或接口、封閉計(jì)算機(jī)的物理接口防止個(gè)人U盤的亂插亂用等，這些措施一定程度上能夠起到對(duì)計(jì)算機(jī)終端電子文件的保護(hù)和控制作用，但只要計(jì)算機(jī)終端的網(wǎng)卡能夠正常工作，通過網(wǎng)線直連就能夠很方便的獲取到終端的電子文件，造成企業(yè)核心數(shù)據(jù)的泄露。2)對(duì)于電子文件的密級(jí)標(biāo)識(shí)技術(shù)手段不完善，電子文件作為承載企業(yè)核心數(shù)據(jù)的載體，應(yīng)該依據(jù)其重要程度進(jìn)行文件等級(jí)劃分，且對(duì)重要電子文件的知悉范圍應(yīng)嚴(yán)格控制。對(duì)于商業(yè)公司，至少會(huì)存在兩種等級(jí)的電子文件核心商業(yè)秘密、一般商業(yè)秘密，這兩種等級(jí)的確定依據(jù)電子文件對(duì)于商業(yè)公司的重要程度。對(duì)于國(guó)家事業(yè)單位、國(guó)家行政機(jī)構(gòu)來說，對(duì)于文件等級(jí)的定義至少存在四種絕密、機(jī)密、秘密、公開，對(duì)于這些等級(jí)的界定完全依據(jù)國(guó)家法律條款，而且，對(duì)于涉密的電子文檔的定密必須按照國(guó)家的定密要求，嚴(yán)格履行定密責(zé)任人制度，然而，現(xiàn)階段雖然有用于電子文檔密級(jí)標(biāo)識(shí)的技術(shù)手段，但僅僅基于文件擴(kuò)展屬性來設(shè)置，文件密級(jí)可以隨意更改，無法做到標(biāo)識(shí)后的密級(jí)標(biāo)識(shí)與文件主體不可分離不可隨意篡改，造成企業(yè)核心數(shù)據(jù)資源、國(guó)家敏感信息的非法擴(kuò)散，嚴(yán)重影響到企業(yè)生存和國(guó)家安全。因此，實(shí)現(xiàn)真正意義上的密級(jí)標(biāo)識(shí)勢(shì)在必行，實(shí)現(xiàn)基于密級(jí)標(biāo)識(shí)的電子文檔訪問控制是確保數(shù)據(jù)資源信息安全保密的重要措施。

發(fā)明內(nèi)容
本發(fā)明目的在于提供一種針對(duì)電子文檔的密級(jí)標(biāo)識(shí)技術(shù)，解決目前缺乏有效的對(duì)電子文檔密級(jí)標(biāo)識(shí)的技術(shù)空白，保證密級(jí)標(biāo)識(shí)與文件主體不可分離不可隨意篡改，嚴(yán)格控制電子文檔的合法訪問，確保電子文檔的訪問不被非法擴(kuò)散。本發(fā)明是采用以下技術(shù)手段實(shí)現(xiàn)的一種基于密級(jí)標(biāo)識(shí)的電子文檔訪問控制方法，包括建立密級(jí)標(biāo)識(shí)，創(chuàng)建文件；用戶訪問文件控制，密級(jí)審定控制，密級(jí)變更控制；
密級(jí)標(biāo)識(shí)，是指對(duì)受保護(hù)的電子文件劃分安全等級(jí)并給定相應(yīng)等級(jí)密級(jí)的標(biāo)識(shí)；對(duì)要控制的文件類型添加特殊的文件頭，并將密級(jí)標(biāo)識(shí)存儲(chǔ)于文件頭中，通過文件過濾驅(qū)動(dòng)，控制應(yīng)用進(jìn)程在打開文件前先對(duì)文件頭信息進(jìn)行校驗(yàn)，校驗(yàn)通過后方可對(duì)文件進(jìn)行操作；包括文件唯一標(biāo)識(shí)信息的文件ID ;當(dāng)前文件版本信息的版本號(hào)；驗(yàn)證當(dāng)前是否是合法的授權(quán)的授權(quán)校驗(yàn)值；當(dāng)前文件的作者信息；當(dāng)前文件的密級(jí)信息；保證密級(jí)標(biāo)識(shí)與主體信息不可分離，不可篡改的密級(jí)校驗(yàn)值；文件的創(chuàng)建、修改時(shí)間的文件時(shí)間；對(duì)服務(wù)器對(duì)文件的加密密鑰進(jìn)行運(yùn)算，存儲(chǔ)校驗(yàn)信息的密鑰校驗(yàn)值；用以指示文件內(nèi)容是否已加密的ISSECRT =Ibit標(biāo)志位；用以指示用戶是否對(duì)文件密級(jí)進(jìn)行了自定義的ISMARK =Ibit標(biāo)志位；用以指示文件密級(jí)標(biāo)識(shí)是否允許修改的ISFIX =Ibit標(biāo)志位；用以指示用戶是否發(fā)起了密級(jí)審定的ISAPLYdbit標(biāo)志位；用以指示用戶提請(qǐng)的文件密級(jí)是否通過了審核的ISPSAP :lbit標(biāo)志位；用以指示用戶是否發(fā)起了密級(jí)變更的ISCHAG :lbit標(biāo)志位；用以指示文件是否處在打開狀態(tài)的ISOPEN =Ibit標(biāo)志位；創(chuàng)建文件用戶訪問文件包括用戶A創(chuàng)建一個(gè)進(jìn)程，用以發(fā)起新建文件的操作；用 戶A的客戶端捕獲到用戶的新建文件的操作；客戶端為文件創(chuàng)建一個(gè)對(duì)應(yīng)的文件頭標(biāo)識(shí)；客戶端的該操作對(duì)用戶A透明；客戶端將創(chuàng)建的文件頭自動(dòng)追加到文件的頭部，使其與文件的正文綁定；待完成文件編輯保存后，客戶端將綁定了文件頭的文件保存在用戶本地；客戶端將該文件的文件頭信息發(fā)送至服務(wù)器；服務(wù)器將客戶端發(fā)送來的文件頭信息保存于服務(wù)器后臺(tái)數(shù)據(jù)庫(kù)中；用戶訪問文件控制，包括用戶B的客戶端捕獲到用戶B對(duì)該文件的打開操作后，自動(dòng)與服務(wù)器建立連接；客戶端從服務(wù)器后臺(tái)數(shù)據(jù)庫(kù)中查找該文件是否能夠被用戶B訪問若能，則將該文件對(duì)應(yīng)的文件頭信息下載至客戶端；若不能，客戶端無法獲取該文件的文件頭信息；當(dāng)客戶端獲取到文件頭信息后，則依據(jù)文件頭信息的主要內(nèi)容，包括密級(jí)信息、授權(quán)校驗(yàn)值、ISSECRT, ISMARK, ISFIX、ISAPLY, ISPSAP, ISCHAG, ISPSCHA 等信息，來判定用戶B的人員密級(jí)與該文件的密級(jí)是否對(duì)應(yīng)，能否對(duì)該文件進(jìn)行訪問；如果用戶B的人員密級(jí)不小于該文件密級(jí)，則用戶B能對(duì)該文件進(jìn)行訪問操作；若用戶B的人員密級(jí)小于該文件密級(jí)，則用戶B不可對(duì)文件進(jìn)行訪問操作；密級(jí)審定控制，包括用戶選擇待定密文件，提交密級(jí)審定申請(qǐng)至服務(wù)器，系統(tǒng)根據(jù)密級(jí)審定流程，將申請(qǐng)?zhí)峤恢翆徟颂帲魧徟ㄟ^，系統(tǒng)建立客戶端與服務(wù)端的通訊連接，并將密級(jí)標(biāo)識(shí)信息寫入文件頭，將文件標(biāo)識(shí)的信息改為“已完成密級(jí)審定”，當(dāng)該文檔被再次編輯保存時(shí)，無法對(duì)該文件的密級(jí)進(jìn)行變更，僅顯示當(dāng)前文件的密級(jí)屬性；密級(jí)變更控制，只針對(duì)已完成密級(jí)審定的文件；包括由用戶選擇密級(jí)變更文件，并填寫密級(jí)變更申請(qǐng)信息至服務(wù)器，系統(tǒng)按照密級(jí)變更流程，若審批通過，系統(tǒng)建立客戶端與服務(wù)端的通訊連接，并將變更后的密級(jí)信息寫入文件頭，當(dāng)密集變更成功后的文件被再次編輯保存時(shí)，無法對(duì)該文件的密級(jí)進(jìn)行變更，僅顯示當(dāng)前文件的密級(jí)屬性。前述的ISSECRt=I表示文件內(nèi)容為密文，ISSECRt=O表示文件內(nèi)容為明文。前述的ISMARK=I表示進(jìn)行了自定義，ISMARK=O表示未進(jìn)行自定義、文件密級(jí)默認(rèn)為內(nèi)部。前述的ISFIX=I表示密級(jí)標(biāo)識(shí)允許修改，ISFIX=O表示密級(jí)標(biāo)識(shí)不允許修改。前述的ISAPLY=I表示用戶已申請(qǐng)密級(jí)審定，ISAPLY=O表示用戶未申請(qǐng)密級(jí)審定。
前述的ISPSAP=I表示文件密級(jí)通過審核，ISPSAP=O表示文件密級(jí)未通過審核。前述的ISCHAG=I表示用戶已申請(qǐng)密級(jí)變更，ISCHAG=O表示用戶未申請(qǐng)密級(jí)變更。前述的ISPSCHa=I表示密級(jí)變更審核通過，ISPSCHa=O表示新的文件密級(jí)未通過
審核。 前述的ISOPEN=I表示文件處在打開狀態(tài)，ISOPEN=O表示文件處在關(guān)閉狀態(tài)。本發(fā)明與現(xiàn)有技術(shù)相比，具有以下明顯的優(yōu)勢(shì)和有益效果利用在本發(fā)明的技術(shù)方案，當(dāng)用戶創(chuàng)建一份電子文件時(shí)，可以對(duì)該文件的安全等級(jí)進(jìn)行密級(jí)標(biāo)識(shí)，密級(jí)標(biāo)識(shí)由文件ID號(hào)創(chuàng)建，且唯一，保證了密級(jí)標(biāo)識(shí)與信息主體的不可分離，但此時(shí)的文件安全等級(jí)仍然可以進(jìn)行更改。當(dāng)用戶發(fā)起密級(jí)審定流程時(shí)，當(dāng)流程審批通過后，此時(shí)的文件安全等級(jí)則無法更改，若不對(duì)經(jīng)密級(jí)審定后的文件發(fā)起密級(jí)變更流程，則無法對(duì)該文件的密級(jí)進(jìn)行修改，保證了密級(jí)標(biāo)識(shí)的不可隨意篡改。


圖I為用戶創(chuàng)建文件流程圖；圖2為用戶訪問文件流程圖；圖3為密級(jí)審定流程示意圖；圖4為密級(jí)變更流程示意圖。
具體實(shí)施例方式以下結(jié)合說明書附圖對(duì)本發(fā)明的具體實(shí)施例加以說明。制定密級(jí)標(biāo)識(shí)；密級(jí)標(biāo)識(shí)是指對(duì)受保護(hù)的電子文件依據(jù)相應(yīng)的密級(jí)審定流程進(jìn)行安全等級(jí)定義，電子文件的密級(jí)一旦確定，即能夠確保其對(duì)應(yīng)的密級(jí)標(biāo)識(shí)與電子文件信息主體不可分離不可隨意篡改。如果需要改變電子文件的密級(jí)標(biāo)識(shí)，則需要依據(jù)相應(yīng)的密級(jí)變更流程進(jìn)行安全等級(jí)的變更，變更成功后，密級(jí)標(biāo)識(shí)依然能夠與電子文件信息主體不可分離不可隨意篡改。文件的安全等級(jí)、人員的安全等級(jí)均可依據(jù)實(shí)際需求進(jìn)行定義，在此，將文件的安全等級(jí)定義為機(jī)密、秘密、內(nèi)部、公開、核心商密、一般商密等；將人員的安全等級(jí)定義為核心人員、重要人員、一般人員。不同安全等級(jí)的人員對(duì)不同安全等級(jí)的文件具有的不同的密級(jí)標(biāo)識(shí)權(quán)限和訪問控制權(quán)限，具體訪問控制策略如下核心人員能夠定義文件的所有安全等級(jí)(機(jī)密、秘密、內(nèi)部、公開、核心商密、一般商密)，且能夠訪問所有安全等級(jí)的文件(機(jī)密、秘密、內(nèi)部、公開、核心商密、一般商密);重要人員能夠定義部分文件安全等級(jí)(機(jī)密、秘密、內(nèi)部、公開、核心商密、一般商密)，且能夠訪問部分安全等級(jí)的文件(機(jī)密、秘密、內(nèi)部、公開、核心商密、一般商密);一般人員僅能夠定義個(gè)別文件安全等級(jí)(秘密、內(nèi)部、公開、核心商密、一般商密)，且僅能夠訪問個(gè)別安全等級(jí)的文件(秘密、內(nèi)部、公開、核心商密、一般商密);基于密級(jí)標(biāo)識(shí)的電子文檔訪問控制，包括密級(jí)標(biāo)識(shí)、密級(jí)審定、密級(jí)變更、訪問控制權(quán)限等四部分組成。對(duì)要控制的文件類型添加特殊的文件頭，并將密級(jí)標(biāo)識(shí)存儲(chǔ)于文件頭中，再利用文件過濾驅(qū)動(dòng)技術(shù)，控制應(yīng)用進(jìn)程在打開文件前先對(duì)文件頭信息進(jìn)行校驗(yàn)，校驗(yàn)通過后方可對(duì)文件進(jìn)行操作。文件頭定義如表一所示
權(quán)利要求
1.一種基于密級(jí)標(biāo)識(shí)的電子文檔訪問控制方法，其特征在于包括以下步驟建立密級(jí)標(biāo)識(shí)，創(chuàng)建文件；用戶訪問文件控制，密級(jí)審定控制，密級(jí)變更控制； 所述的密級(jí)標(biāo)識(shí)，為對(duì)受保護(hù)的電子文件劃分安全等級(jí)并給定相應(yīng)等級(jí)密級(jí)的標(biāo)識(shí)；對(duì)要控制的文件類型添加特殊的文件頭，并將密級(jí)標(biāo)識(shí)存儲(chǔ)于文件頭中，通過文件過濾驅(qū)動(dòng)，控制應(yīng)用進(jìn)程在打開文件前先對(duì)文件頭信息進(jìn)行校驗(yàn)，校驗(yàn)通過后方可對(duì)文件進(jìn)行操作；包括文件唯一標(biāo)識(shí)信息的文件ID ;當(dāng)前文件版本信息的版本號(hào)；驗(yàn)證當(dāng)前是否是合法的授權(quán)的授權(quán)校驗(yàn)值；當(dāng)前文件的作者信息；當(dāng)前文件的密級(jí)信息；保證密級(jí)標(biāo)識(shí)與主體信息不可分離，不可篡改的密級(jí)校驗(yàn)值；文件的創(chuàng)建、修改時(shí)間的文件時(shí)間；對(duì)服務(wù)器對(duì)文件的加密密鑰進(jìn)行運(yùn)算，存儲(chǔ)校驗(yàn)信息的密鑰校驗(yàn)值；指示文件內(nèi)容是否已加密的ISSECRT =Ibit標(biāo)志位；指示用戶是否對(duì)文件密級(jí)進(jìn)行了自定義的ISMARK =Ibit標(biāo)志位；指示文件密級(jí)標(biāo)識(shí)是否允許修改的ISFIX :lbit標(biāo)志位；指示用戶是否發(fā)起了密級(jí)審定的ISAPLY lbit標(biāo)志位；指示用戶提請(qǐng)的文件密級(jí)是否通過了審核的ISPSAP lbit標(biāo)志位；指示用戶是否發(fā)起了密級(jí)變更的ISCHAG =Ibit標(biāo)志位；指示文件是否處在打開狀態(tài)的ISOPEN =Ibit 標(biāo)志位； 所述的創(chuàng)建文件用戶訪問文件包括用戶A創(chuàng)建一個(gè)進(jìn)程，用以發(fā)起新建文件的操作；用戶A的客戶端捕獲到用戶的新建文件的操作；客戶端為文件創(chuàng)建一個(gè)對(duì)應(yīng)的文件頭標(biāo)識(shí)；客戶端的該操作對(duì)用戶A透明；客戶端將創(chuàng)建的文件頭自動(dòng)追加到文件的頭部，使其與文件的正文綁定；待完成文件編輯保存后，客戶端將綁定了文件頭的文件保存在用戶本地；客戶端將該文件的文件頭信息發(fā)送至服務(wù)器；服務(wù)器將客戶端發(fā)送來的文件頭信息保存于服務(wù)器后臺(tái)數(shù)據(jù)庫(kù)中； 所述的用戶訪問文件控制，包括用戶B的客戶端捕獲到用戶B對(duì)該文件的打開操作后，自動(dòng)與服務(wù)器建立連接；客戶端從服務(wù)器后臺(tái)數(shù)據(jù)庫(kù)中查找該文件是否能夠被用戶B訪問若能，則將該文件對(duì)應(yīng)的文件頭信息下載至客戶端；若不能，客戶端無法獲取該文件的文件頭信息；當(dāng)客戶端獲取到文件頭信息后，則依據(jù)文件頭信息的主要內(nèi)容，包括密級(jí)信息、授權(quán)校驗(yàn)值、ISSECRT, ISMARK, ISFIX、ISAPLY, ISPSAP, ISCHAG, ISPSCHA 等信息，來判定用戶B的人員密級(jí)與該文件的密級(jí)是否對(duì)應(yīng)，能否對(duì)該文件進(jìn)行訪問；如果用戶B的人員密級(jí)不小于該文件密級(jí)，則用戶B能對(duì)該文件進(jìn)行訪問操作；若用戶B的人員密級(jí)小于該文件密級(jí)，則用戶B不可對(duì)文件進(jìn)行訪問操作； 所述的密級(jí)審定控制，包括用戶選擇待定密文件，提交密級(jí)審定申請(qǐng)至服務(wù)器，系統(tǒng)根據(jù)密級(jí)審定流程，將申請(qǐng)?zhí)峤恢翆徟颂?，若審批通過，系統(tǒng)建立客戶端與服務(wù)端的通訊連接，并將密級(jí)標(biāo)識(shí)信息寫入文件頭，將文件標(biāo)識(shí)的信息改為“已完成密級(jí)審定”，當(dāng)該文檔被再次編輯保存時(shí)，無法對(duì)該文件的密級(jí)進(jìn)行變更，僅顯示當(dāng)前文件的密級(jí)屬性； 所述的密級(jí)變更控制，只針對(duì)已完成密級(jí)審定的文件；包括由用戶選擇密級(jí)變更文件，并填寫密級(jí)變更申請(qǐng)信息至服務(wù)器，系統(tǒng)按照密級(jí)變更流程，若審批通過，系統(tǒng)建立客戶端與服務(wù)端的通訊連接，并將變更后的密級(jí)信息寫入文件頭，當(dāng)密集變更成功后的文件被再次編輯保存時(shí)，無法對(duì)該文件的密級(jí)進(jìn)行變更，僅顯示當(dāng)前文件的密級(jí)屬性。
2.根據(jù)權(quán)利要求I所述的基于密級(jí)標(biāo)識(shí)的電子文檔訪問控制方法，其特征在于所述的ISSECRt=I表示文件內(nèi)容為密文，ISSECRt=O表示文件內(nèi)容為明文。
3.根據(jù)權(quán)利要求I所述的基于密級(jí)標(biāo)識(shí)的電子文檔訪問控制方法，其特征在于所述的ISMARK=I表示進(jìn)行了自定義，ISMARK=O表示未進(jìn)行自定義、文件密級(jí)默認(rèn)為內(nèi)部。
4.根據(jù)權(quán)利要求I所述的基于密級(jí)標(biāo)識(shí)的電子文檔訪問控制方法，其特征在于所述的ISFIX=I表示密級(jí)標(biāo)識(shí)允許修改，ISFIX=O表示密級(jí)標(biāo)識(shí)不允許修改。
5.根據(jù)權(quán)利要求I所述的基于密級(jí)標(biāo)識(shí)的電子文檔訪問控制方法，其特征在于所述的ISAPLY=I表示用戶已申請(qǐng)密級(jí)審定，ISAPLY=O表示用戶未申請(qǐng)密級(jí)審定。
6.根據(jù)權(quán)利要求I所述的基于密級(jí)標(biāo)識(shí)的電子文檔訪問控制方法，其特征在于所述的ISPSAP=I表示文件密級(jí)通過審核，ISPSAP=O表示文件密級(jí)未通過審核。
7.根據(jù)權(quán)利要求I所述的基于密級(jí)標(biāo)識(shí)的電子文檔訪問控制方法，其特征在于所述的ISCHAG=I表示用戶已申請(qǐng)密級(jí)變更，ISCHAG=O表示用戶未申請(qǐng)密級(jí)變更。
8.根據(jù)權(quán)利要求I所述的基于密級(jí)標(biāo)識(shí)的電子文檔訪問控制方法，其特征在于所述的ISPSCHa=I表示密級(jí)變更審核通過，ISPSCHa=O表示新的文件密級(jí)未通過審核。
9.根據(jù)權(quán)利要求I所述的基于密級(jí)標(biāo)識(shí)的電子文檔訪問控制方法，其特征在于所述的ISOPEN=I表示文件處在打開狀態(tài)，ISOPEN=O表示文件處在關(guān)閉狀態(tài)。
全文摘要
本發(fā)明公開了一種基于密級(jí)標(biāo)識(shí)的電子文檔訪問控制方法，包括建立密級(jí)標(biāo)識(shí)，創(chuàng)建文件；用戶訪問文件控制，密級(jí)審定控制，密級(jí)變更控制；當(dāng)用戶創(chuàng)建一份電子文件時(shí)，可以對(duì)該文件的安全等級(jí)進(jìn)行密級(jí)標(biāo)識(shí)，密級(jí)標(biāo)識(shí)由文件ID號(hào)創(chuàng)建，且唯一，保證了密級(jí)標(biāo)識(shí)與信息主體的不可分離，但此時(shí)的文件安全等級(jí)仍然可以進(jìn)行更改。當(dāng)用戶發(fā)起密級(jí)審定流程時(shí)，當(dāng)流程審批通過后，此時(shí)的文件安全等級(jí)則無法更改，若不對(duì)經(jīng)密級(jí)審定后的文件發(fā)起密級(jí)變更流程，則無法對(duì)該文件的密級(jí)進(jìn)行修改，保證了密級(jí)標(biāo)識(shí)的不可隨意篡改。
文檔編號(hào)G06F21/62GK102930225SQ20121041160
公開日2013年2月13日 申請(qǐng)日期2012年10月25日 優(yōu)先權(quán)日2012年10月25日
發(fā)明者石兆軍, 武越, 劉向東 申請(qǐng)人:中國(guó)航天科工集團(tuán)第二研究院七〇六所