[发明专利]一种基于密码的文档内容细粒度访问控制系统

说明书

本发明公开了一种基于密码的文档内容细粒度访问控制系统，包括内容加密模块、存储验证模块和隔离加密模块，所述内容加密模块包括可信数据对象和文本控制框，所述可信数据对象封装有文档敏感内容条目，所述文本控制框用于显示解密后文档内容条目；所述存储验证模块用于进行文档存储验证；所述隔离加密模块用于进行用户数据加密隔离和访问控制。该系统可对文档内容按照敏感程度进行生命周期伴随性保护，可基于区块链智能合约对文档存储证据进行自动验证，可对存储的用户文件进行数据加密隔离。

技术领域

本发明涉及文档访问控制领域，尤其是一种基于密码的文档内容细粒度访问控制系统。

背景技术

当前文档管理主要依靠文件加密，流转环节登记等传统手段进行数据共享管控。目前主要依靠文件加密来完成文档敏感内容的保护，文件加密方式多为全体加密，对文件数据内容的敏感程度不做任何区分，用户解密文件即可看到任何敏感级别的标题、段落、句子、词语等具体内容。当前数据共享时代，客观需要允许任何用户看到一篇文档中的非敏感内容，而仅对敏感内容进行加密隐藏。

目前文档流转管理主要针对人员而不是文件本身，当前的文档流转管理主要是对接触人员进行登记，而没有对数据本身尤其是数据存储过程进行有效登记管理，该种方式不能提供包含敏感内容的文档存储于某个文件系统的证据，不能提供文档曾经存储位置、当前存储位置的轨迹记录和证据，这将可能导致一旦发生敏感数据外泄，无法查找出泄露路径。

发明内容

基于现有技术的上述缺陷，本发明提供一种可对文档内容按照敏感程度进行生命周期伴随性保护且能够为敏感内容泄露提供追查依据的基于密码的文档内容细粒度访问控制系统。

本发明能够以多种方式实现，包括方法、系统、设备、装置或计算机可读介质，在下面论述本发明的几个实施例。

一种基于密码的文档内容细粒度访问控制系统，包括内容加密模块、存储验证模块和隔离加密模块，所述内容加密模块包括可信数据对象和文本控制框，所述可信数据对象封装有文档敏感内容条目，所述文本控制框用于显示解密后文档内容条目；所述存储验证模块用于进行文档存储验证；所述隔离加密模块用于进行用户数据加密隔离和用户访问控制。

进一步地，所述可信数据对象包括断言、封装包和访问指引。

进一步地，所述断言描述封装包格式解析、加解密操作的处理信息，所述封装包加密封装有文档敏感内容条目，所述访问指引描述加密算法及密钥获取途径。

进一步地，所述断言包括声明、元数据和绑定，声明描述断言类型，元数据描述分装包加密状态处理规则和解密状态处理规则，绑定描述文档作者对断言的签名内容。

进一步地，所述存储验证模块可向用户提供文档存储证据和验证用户提供的文档存储证据判断文档是否存储于系统中。

进一步地，所述文档存储证据为基于文档在系统中存储分片的默克尔树。

进一步地，所述数据加密隔离方法为采用密钥树方案实现访问权限的递归授予和动态继承。

进一步地，访问权限的动态继承包括访问权限向下继承和访问权限向上继承，访问权限向下继承意味着对其子文件夹继承访问，访问权限向上继承意味着对其父文件夹名称的继承访问。

进一步地，用户访问控制包括读访问控制和写访问控制，授予用户读访问权限的方法为向用户出示读许可密钥，撤销用户读访问权限的方法为撤销读许可密钥；授予用户写访问权限的方法为向用户出示写许可密钥，撤销用户写访问权限的方法为更换写许可密钥和根据密钥连接关系更换与写许可密钥连接的所有出示过的密钥。

本发明实施例具有的积极有益技术效果包括：