开放版式文档OFD访问控制方法和装置与流程

本发明涉及数据安全，尤其涉及一种开放版式文档ofd访问控制方法和装置。

背景技术：

1、开放版式文档(open fixed-layout document，ofd)属于中国的一种自主的文件存储格式，具有完全自主的知识产权，用于实现电子公文格式的统一，方便地进行电子文档的存储、读取以及编辑。

2、相关技术中，仍无有效的方法实现ofd文档访问权限的精准控制，使得ofd文档的访问和存储存在着巨大的安全隐患。因此如何实现对ofd文档访问权限的精准控制从而提升ofd文档的安全性，是本领域技术人员亟需解决的技术问题。

技术实现思路

1、针对现有技术中的问题，本发明实施例提供一种开放版式文档ofd访问控制方法和装置。

2、具体地，本发明实施例提供了以下技术方案：

3、第一方面，本发明实施例提供了一种开放版式文档ofd访问控制方法，包括：

4、第一设备对第一用户的ofd文件中的至少一个图元对象进行加密，生成目标图元对象和目标ofd文件；目标图元对象为加密后的图元对象；目标ofd文件为包含加密后的图元对象的ofd文件；第一用户为ofd文件的拥有者；

5、第一设备将目标ofd文件上传至分布式存储网络，获取目标ofd文件在分布式存储网络的存储地址；

6、第一设备将目标ofd文件在分布式存储网络的存储地址和ofd文件的访问策略合集提交至部署在区块链上的智能合约；ofd文件的访问策略合集用于指示ofd文件中的各个图元对象的访问策略；智能合约用于基于维护的ofd文件地址及访问策略合集数据清单，对第二用户提交的属性集合进行验证，控制第二用户对ofd文件的访问。

7、进一步地，第一设备对ofd文件中的至少一个图元对象进行加密，生成目标图元对象和目标ofd文件，包括：

8、第一设备利用密文策略属性基加密算法cp-abe对ofd文件中的至少一个图元对象进行加密，生成目标图元对象和目标ofd文件。

9、进一步地，智能合约用于以下至少一项：

10、为各个用户分配属性集合；

11、根据维护的ofd文件地址、访问策略合集数据清单以及第二用户的属性集合，确定第二用户对应的至少一个目标ofd文件的地址列表；目标ofd文件是第二用户具有访问权限的目标ofd文件；第二用户为目标ofd文件的使用者；

12、根据维护的ofd文件地址及访问策略合集数据清单，对第二用户提交的属性集合进行验证，根据第二用户提交的需访问的目标ofd文件在分布式存储网络的存储地址，生成解密后的ofd文件。

13、进一步地，对第二用户提交的属性集合进行验证，包括：

14、智能合约基于全同态加密算法对ofd文件的访问策略合集进行加密，确定访问策略密文；

15、智能合约基于全同态加密算法对第二用户的属性集合进行加密，确定用户属性密文；

16、智能合约基于访问策略密文和用户属性密文，确定第二用户对目标ofd文件中的各个目标图元对象的访问权限的验证结果。

17、进一步地，智能合约基于访问策略密文和用户属性密文，确定第二用户对目标ofd文件中的各个目标图元对象的访问权限的验证结果，包括：

18、利用如下公式确定第二用户对目标ofd文件中的各个目标图元对象的访问权限的验证结果：

19、seal.decrypt(sa*sp)；

20、其中，seal.decrypt表示全同态解密算法；sa表示访问策略密文；sp表示用户属性密文；seal.decrypt(sa*sp)表示验证结果。

21、第二方面，本发明实施例提供了一种开放版式文档ofd访问控制方法，包括：

22、第二设备将第二用户的属性集合提交至智能合约，获取目标ofd文件地址列表集；目标ofd文件为智能合约基于第二用户的属性集合确定的第二用户具有访问权限的目标ofd文件；目标ofd文件为包含加密后的图元对象的ofd文件；

23、第二设备将第二用户的属性集合和第二用户需要访问的目标ofd文件在分布式存储网络上的存储地址提交至智能合约，得到解密后的ofd文件；ofd文件为智能合约基于第二用户的属性集合以及ofd文件的访问策略合集，对目标ofd文件中的目标图元对象进行解密后得到的；目标图元对象为智能合约基于第二用户的属性集合以及ofd文件的访问策略合集确定的第二用户具有访问权限的目标图元对象。

24、第三方面，本发明实施例还提供了一种开放版式文档ofd访问控制装置，包括：

25、加密模块，用于对第一用户的ofd文件中的至少一个图元对象进行加密，生成目标图元对象和目标ofd文件；所述目标图元对象为加密后的图元对象；所述目标ofd文件为包含加密后的图元对象的ofd文件；所述第一用户为所述ofd文件的拥有者；

26、存储模块，用于将所述目标ofd文件上传至分布式存储网络，获取所述目标ofd文件在所述分布式存储网络的存储地址；

27、访问控制模块，用于将所述目标ofd文件在分布式存储网络的存储地址和ofd文件的访问策略合集提交至部署在区块链上的智能合约；所述ofd文件的访问策略合集用于指示ofd文件中的各个图元对象的访问策略；所述智能合约用于基于维护的ofd文件地址及访问策略合集数据清单，对第二用户提交的属性集合进行验证，控制第二用户对所述ofd文件的访问。

28、第四方面，本发明实施例还提供了一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所述或第二方面所述开放版式文档ofd访问控制方法。

29、第五方面，本发明实施例还提供了一种非暂态计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如第一方面所述或第二方面所述开放版式文档ofd访问控制方法。

30、第六方面，本发明实施例还提供了一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如第一方面所述或第二方面所述开放版式文档ofd访问控制方法。

31、本发明实施例提供的开放版式文档ofd访问控制方法和装置，第一设备对第一用户的ofd文件中的至少一个图元对象进行加密，生成目标图元对象和目标ofd文件，并将目标ofd文件在分布式存储网络的存储地址和ofd文件的访问策略合集提交至部署在区块链上的智能合约，从而使得区块链上的智能合约基于第一设备发送的ofd文件的访问策略合集就可以对第二用户(ofd文档的使用者)对存储在分布式存储网络中的ofd文件中的加密的ofd图元对象的访问进行精确有效的控制。

技术特征：

1.一种开放版式文档ofd访问控制方法，其特征在于，包括：

2.根据权利要求1所述的开放版式文档ofd访问控制方法，其特征在于，所述第一设备对第一用户的ofd文件中的至少一个图元对象进行加密，生成目标图元对象和目标ofd文件，包括：

3.根据权利要求2所述的开放版式文档ofd访问控制方法，其特征在于，所述智能合约用于以下至少一项：

4.根据权利要求3所述的开放版式文档ofd访问控制方法，其特征在于，所述对第二用户提交的属性集合进行验证，包括：

5.根据权利要求4所述的开放版式文档ofd访问控制方法，其特征在于，所述智能合约基于所述访问策略密文和用户属性密文，确定第二用户对所述目标ofd文件中的各个目标图元对象的访问权限的验证结果，包括：

6.一种开放版式文档ofd访问控制方法，其特征在于，包括：

7.一种开放版式文档ofd访问控制装置，其特征在于，包括：

8.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至6任一项所述的开放版式文档ofd访问控制方法。

9.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1至6任一项所述的开放版式文档ofd访问控制方法。

技术总结
本发明提供一种开放版式文档OFD访问控制方法和装置，涉及数据安全技术领域，该方法包括：第一设备对第一用户的OFD文件中的至少一个图元对象进行加密，生成目标图元对象和目标OFD文件；第一设备将目标OFD文件上传至分布式存储网络，获取目标OFD文件在分布式存储网络的存储地址；第一设备将目标OFD文件在分布式存储网络的存储地址和OFD文件的访问策略合集提交至部署在区块链上的智能合约；智能合约用于基于维护的OFD文件地址及访问策略合集数据清单，对第二用户提交的属性集合进行验证，控制第二用户对OFD文件的访问。本发明的方法实现了对OFD文件的精准有效的访问控制。

技术研发人员：蔡佳杰,张治
受保护的技术使用者：福昕鲲鹏（北京）信息科技有限公司
技术研发日：
技术公布日：2024/1/15