[发明专利]一种基于密文的机密文档访问控制系统

说明书

技术领域

本发明涉及文档访问控制领域，更具体的说涉及一种基于密文的机密文档访问控制系统。

背景技术

企事业单位及政府部门存在大量的秘密文档。这些秘密文档根据重要程度进行分级。以政府部门为例，文档一般称为公文。公文中的密级是指公文的机密等级，是公文格式的项目(要素)标记之一。密级分作三级、划分规则如下：

第一，绝密公文，是指涉及国家核心秘密的内容的文件，一旦泄露会使国家的安全和利益遭受特别严重的损害。

第二，机密公文，是涉及国家重要秘密内容的文件，一旦泄露会使国家的安全和利益遭受较大的损害。

第三，秘密公文，是涉及国家一般秘密内容的文件，一旦泄露会使国家的安全和利益遭受一定的损害。

为了降低行政审批复杂度，提升办事效率，政府正在推广政务云。然而政务上云后，随之而来的是大量公文以明文的方式被放到云端，可能被好奇的云端管理员所查看，从而导致信息泄露。以密文的方式存储可以解决明文被窥探的问题，然而主流的对称和非对称加密算法所加密的密文只能被一个用户打开，不能满足公文阅读对象为多人并且人数不确定的应用场景。鉴于此，本文提出一种基于密文的机密文档访问控制系统。该系统根据机密等级对密文进行加密；每个用户拥有不同的私钥，私钥对应一定的机密等级；当私钥对应的机密等级高于或等于密文对应的机密等级时，私钥可以解密密文获取明文。

发明内容

本发明的主要目的在于提供一种基于密文的机密文档访问控制系统，具体如下述：

基于密文的机密文档访问控制系统包括文档存储区，终端，密钥存储介质和密钥生成器；密钥生成器连接密钥存储介质；密钥存储介质连接终端；终端连接文档存储区；密钥生成器生成主公钥和主私钥，主公钥公开，主私钥秘密存储在密钥生成器中；生成用户私钥时，密钥生成器输入主私钥、用户权限等级等生成用户私钥；用户私钥秘密存储在密钥存储介质中；加密文档时，终端输入主公钥、文档秘密等级等，生成仅可被拥有对应秘密访问权限以上的用户，所解密的加密文档；加密文档存储在文档存储区；终端从文档存储区获取文档；解密文档时，终端输入加密文档和用户私钥等，用户私钥所对应的密级高于或等于文档所指定的密级时，加密文档被解密。密钥生成器、密钥存储介质可以是蓝牙盾、USB盾、音频盾、智能终端、电脑和手机等。终端、文档存储区可以是智能终端、电脑、手机和服务器等。

令G₁是阶为素数N的加法循环群，G₂是阶为素数N的加法循环群，G_T是阶为素数N的乘法循环群，P₁是G₁的生成元，P₂是G₂的生成元，双线性对e是G₁×G₂→G_T的映射，对任意的整数i和j有，e([i]P₂,[j]P₁)＝e(P₂,P₁)^ij；

密钥生成器以下述方式生成主私钥：

1)任取随机数t作为主密钥；

2)任取a+1个互不相同的随机数d_i，i∈Z,0≤i≤a，其中a是文档密级分级的数量，且a的值越小对应的文档密级越高；

3)在群G₂上计算Dⁱ＝[d_i]P₂,i∈Z,0≤i≤a；

4)则有主私钥K_S＝{t,D⁰,D¹,D²,…,D^a}；

密钥生成器以下述方式生成主公钥：

1)计算双线性对E^t＝e(P₂,P₁)^t；

2)在群G₁上计算

3)则有主公钥K_P＝{e(P₂,P₁)^t,T⁰,T¹,T²,…,T^a}；

密钥生成器以下述方式生成用户私钥：