文档权限管理系统

身份认证/访问控制

密文卫士提供了将涉密电子文档保护在企业内部的功能，防止了涉密电子文档流失。
　　但是一些企业在内部的涉密电子文档的管理上还有更细粒度的需求，即希望对内部的涉密电ERP系统

子文档，无论是集中存放，还是分散存放，都需要原作者提供控制谁能够访问这些文档的权限。
　　为满足这些需求，在密文卫士的基础上，我们提供了基于用户数字证书的文档权限管理系统，它可以和密文卫士协同工作，也可以单独运行。当单独运行时，只提供文档权限管理功能，不能防止涉密电子文档的流失。

基本原理
　　数字证书是目前国际上最成熟并得到广泛应用的信息安全技术。通俗地讲，数字证书就是个人或单位在网络上的身份证。数字证书以密码学为基础，采用数字签名、数字信封等技术，在网络上建立起有效的信任机制。它主要包含证书所有者的信息、证书所有者的公开密钥和证书颁发机构的签名等内容。
　　文档权限管理系统使用数字证书，采用了类似于数字信封的技术来实现对涉密电子文档的授权访问。
　　这种技术功能类似于普通信封。普通信封在法律的约束下保证只有收信人才能阅读信的内容；数字信封则采用密码技术保证了只有规定的接收人才能阅读信件的内容。
　　数字信封中采用了对称密码机制和公钥密码机制。信息发送者（甲）首先利用随机产生的对称密码加密信息，再利用接收方（乙）的公钥加密对称密码，被公钥加密后的对称密码被称之为数字信封。在传递信息时，信息接收方要解密信息时，必须先用自己的私钥解密数字信封，得到对称密码，才能利用对称密码解密所得到的信息。通过数字信封可以指定数据接收者，并保证数据传递过程的机密性。
通常，数字信封和数字信封拆解的流程如图所示：

1. 信息发送方（甲）生成对称密钥；
2. 甲使用对称密钥对需要发送的信息执行加密，得到密文；
3. 甲使用信息接收方（乙）的加密证书，加密对称密钥，得到数字信封；
4. 甲将密文和数字信封发送给乙；
5. 乙使用自己的加密私钥拆解数字信封，得到对称密钥；
6. 乙使用对称密钥解密密文，得到明文。
　　在上述流程中，信息发送方（甲）对用于加密明文信息的对称密钥使用接收方（乙）的加密证书进行加密得到数字信封，利用私钥的唯一性保证只有拥有私钥的乙才能拆解数字信封，从而阅读明文信息。据此，甲可以确认只有乙才能阅读信息，乙可以确认信息在传递过程中保持机密。
　　文档权限管理系统使用了类似的技术，在授权后，用被授权方的公钥加密对称密钥并保存在文件中，当被授权方拿到这个被授权文件后，就可以打开了。
功能概要
支持的文档格式：
任意格式。
支持的应用程序：
任意程序。