文檔安全系統 - 我是否在重新創造輪子？

Question

我正在設計一個文檔安全系統。最終，文檔分解成多個部分，然後分解爲內容元素。然後有一個安全ID，一個GUID，可能是與內容元素相關聯的。當用戶請求內容元素時，他們提供一個SID並且系統確定他們是否被授權。搜索結果以相同的方式被過濾。

系統也會朝相反的方向操作......如果給定安全ID，它將生成一個導航欄，其中包含具有用戶授權的內容元素的部分的文檔。非常酷的東西。

所以我可以做到這一切迄今爲止......我所關心的是我在這裏重新發明輪子......顯然，我借鑑了傳統的Windows安全性，並且它具有陰影的Active Directory。無論如何，我想獲得一些明智的意見，看看是否有一些現有的技術可以用於此目的，而不是從頭開始編碼。

我不想做的就是使用文件安全性，所以這是從一開始就不在表格中。任何其他的想法將不勝感激。

TIA。

CBB

Answer 1

我想看看大舉進入使用XACML指定的訪問規則。我們使用它作爲Fedora repository系統的一部分，我們能夠使用軟件已經提供的機制來完成您所描述的內容。

Answer 2

下面是我做的，然後再採取措施！構建威脅模型 - 您想要保護文檔的是什麼？誰是攻擊者？你關心披露嗎？篡改？起源？一旦你有了威脅模型，你就可以確定你是否有適當的緩解措施。您可以從Microsoft SDL威脅建模工具開始http://www.microsoft.com/downloads/details.aspx?FamilyID=A48CCCB1-814B-47B6-9D17-1E273F65AE19&displaylang=en