【技术实现步骤摘要】
本专利技术涉及一种基于信息流模型的单机电子文档保护系统,属于电子文档安全领域。
技术介绍
信息技术的迅速发展,使得电子文档得到了广泛的应用,各种资料、技术文档等高价值的数据越来越多的以电子文档的形式存在。在无纸化办公的需求下,各级政府、科研机构、各企业部门等的大量涉密信息或敏感信息也均以电子文档的形式存在,在这种情况下, 电子文档的泄漏、篡改、仿冒等威胁越来越多,使得电子文档安全的重要性和紧迫性日益突显出来。访问控制主要解决信息安全系统的授权管理和权限使用问题,在保证系统安全性与可用性方面有着不可取代的作用。随着安全系统范围的发展变化,访问控制模型与技术也发生了很大的变化。在对电子文档的保护方面,访问控制的主要任务是保证包括电子文档信息在内的数据不被非法访问和非法使用。访问控制策略定义了在系统运行期间的授权和非授权行为,即哪些行为是允许发生的,哪些是不允许发生的。传统的访问控制模型根据访问控制策略的不同来进行划分。一般访问控制策略有三种自主访问控制 (Discretionary Access Control,DAC)、强制访问控制(Mandatory Access Control,MAC) 和基于角色的访问控制(Role Based Access Control,RBAC),其关系如图1所示。将这三种访问控制策略应用到电子文档的管理中存在着安全级别较低、缺乏灵活性和实用性、信息流隐藏通道泄密等问题。
技术实现思路
本专利技术的目的是为了解决将传统的访问控制策略应用到电子文档的保护存在安全级别较低的问题,提供一种基于信息流模型的单机电子文档保护系统。本专利技术 ...
【技术保护点】
1.一种基于信息流模型的单机电子文档保护系统,其特征在于:它包括操作监控模块(1)和信息流访问控制模块(2),操作监控模块(1)用于监控用户对电子文档的操作,并将监控到的用户操作发送给信息流访问控制模块(2),再根据信息流访问控制模块(2)反馈的判断结果对用户的操作进行控制;信息流访问控制模块(2)用于根据来自操作监控模块(1)监控到的用户操作,分析获得用户操作的主体信息(2-1)、客体信息(2-3)及当前主体的活动信息流图(2-4),并依据信息流访问控制模型以及隐藏通道检测算法生成判断结果,最后将该判断结果发送给操作监控模块(1);主体信息(2-1)为欲对电子文档进行访问的主体信息的集合,该主体为所述用户或进程;客体信息(2-3)为主体欲访问的电子文档的集合;当前主体的活动信息流图(2-4)为当前时刻,当前主体依据当前主体的开启文档集(2-7)生成的信息流图;当前主体的开启文档集(2-7)为当前时刻当前主体打开的所有文档。
【技术特征摘要】
1.一种基于信息流模型的单机电子文档保护系统,其特征在于它包括操作监控模块 (1)和信息流访问控制模块(2),操作监控模块(1)用于监控用户对电子文档的操作,并将监控到的用户操作发送给信息流访问控制模块(2),再根据信息流访问控制模块(2)反馈的判断结果对用户的操作进行控制;信息流访问控制模块(2)用于根据来自操作监控模块(1)监控到的用户操作,分析获得用户操作的主体信息(2-1)、客体信息(2-3)及当前主体的活动信息流图(2-4),并依据信息流访问控制模型以及隐藏通道检测算法生成判断结果,最后将该判断结果发送给操作监控模块⑴;主体信息(2-1)为欲对电子文档进行访问的主体信息的集合,该主体为所述用户或进程;客体信息(2-3)为主体欲访问的电子文档的集合;当前主体的活动信息流图(2-4)为当前时刻,当前主体依据当前主体的开启文档集 (2-7)生成的信息流图;当前主体的开启文档集(2-7)为当前时刻当前主体打开的所有文档。2.根据权利要求1所述的基于信息流模型的单机电子文档保护系统,其特征在于所述信息流访问控制模块(2)由主体信息(2-1)、策略实施单元(2-2)、客体信息(2-3)、当前主体的活动信息流图(2-4)、安全策略控制决策单元(2-5)、其它主体的文档信息流图 (2-6)和当前主体的开启文档集(2-7)组成,策略实施单元(2-2)用于接收来自操作监控模块(1)监控到的用户操作,策略实施单元(2-2)用于将所述判断结果发送给操作监控模块(1);策略实施单元(2-2)用于根据主体信息(2-1)、客体信息(2-3)及根据主体信息(2-1) 获取的当前主体的开启文档集(2-7),生成待验证信息,并将待验证信息发送给安全策略控制决策单元(2-5),安全策略控制决策单元(2-5)用于根据来自策略实施单元(2-2)的待验证信息及其它主体的文档信息流图(2-6),依据隐藏通道检测算法,分析如果允许当前主体依照自身权限打开所请求访问电子文档,是否造成该电子文档泄露或被滥用,以决策是否增加当前主体的动态约束条件,生成所述述判断结果,若判断结果为安全,则允许当前主体访问所述电子文档;否则,禁止当前主体访问所述电子文档;其它主体的文档信息流图(2-6)为主体信息(2-1)中除当前主体外的其它主体依据自身角色及权限所对应的能访问的文档集。3.根据权利要求2所述的基于信息流模型的单机电子文档保护系统,其特征在于所述信息流访问控制模型为定义一定义变量 DIF = (S,D,A,SC, C,一),其中S表示主体信息(2-1),设定s为单个主体信息,其中s e S ;D为客体信息(2-3),设定d为单个电子文档,d e D ;A为用户对电子文档的操作集合,A = {r,w, a, e},其中r为读操作,w为写操作,a为追加操作,e为编辑操作;...
【专利技术属性】
技术研发人员:牛夏牧,李琼,韩琦,石振锋,王莘,
申请(专利权)人:哈尔滨工业大学,
类型:发明
国别省市:93
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。