专利名称:电子文档安全保障系统及方法
技术领域:
本发明涉及电子文档安全保障系统及方法,属于局域网安全和文档安全管理技术领域。
背景技术:
随着互联网的发展及电子化办公的日益普及,越来越多的文件都以电子文档的形式传 输。电子文档极易复制传输且不留痕迹。这些不安全特性容易导致企业或组织内部的信息泄 露。 一些常用安全产品,如防火墙、入侵检测、防木马、病毒检测工具等虽能防止一部分信 息泄露,但不能从根本上解决电子文档的安全问题。
当前电子文档主要面临涉密文件浏览泄露、涉密文件恶意篡改、内部主动泄密、内部被 动泄密等各种企业信息安全问题。为了彻底解决电子文档形式的信息泄露,实现企业或组织 的安全电子化办公,需要提供本地文档的安全防护系统。
然而,现有大部分的局域网内文档管理工具基本不具有电子文档安全防护的作用,容易 遭受各种安全威胁。少量提供安全防护功能电子文档防护系统也主要针对部分特定格式的文 档,而无法支持如WORD、 EXCEL、 PPT、 PDF等多种通用格式的电子文档;并且在实际应用中 只能解决电子文档所遭受的部分安全问题。因而,面对复杂的安全威胁,有必要构建支持多 种主流文档格式的安全系统,通过提供粒度化、用户级的电子文档权限控制,消除电子文档 易复制、易传输等不安全特性,从而杜绝了电子文档形式的信息泄露,真正为电子化办公提 供高安全性保证。
发明内容
基于上述,本发明将提供一种电子文档安全保障系统及方法,它可以杜绝电子文档形式 的信息泄露,为电子化办公提供高安全性保证。 本发明采用以下技术方案
一种电子文档安全保障系统,基于客户端服务器系统,由客户端与服务器协调进行用户 权限的管理,其中
服务器端包含以下模块文档服务器模块-用于存储所有电子文档,对该服务器上的文 档进行安全防护,以防止文档信息的泄露;证书管理服务模块-采用用户账号或用户计算机 指纹对证书进行管理,提供对系统的安全认证;文档日志服务模块-记录文档上传、下载及 其他使用信息,日志内容主要包括用户账号、时间、使用方式,通过使用日志信息可以对被 用户泄漏的文档信息进行跟踪,找出泄露文档的用户;文档分发服务模块-当用户下载文档 时提供对文档的加密服务,以保证文档信息不在用户下载过程中被泄露;用户角色和权限管 理服务模块-提供企业组织结构和人员权限配置管理功能服务。
客户端包含以下模块电子文档编辑器模块-通过替换操作系统层的数据读写方 法实现电子文件的安全编辑功能,以增加安全功能;客户端配置接口模块-提供个性化的配置接口服务,不同的组织可以根据不同的自身体系结构和文档安全性要求,实 现不同的配置。
一种电子文档安全保障方法,其包括以下步骤
1) 为客户端不同的文档格式提供统一的安全验证方式;
2) 利用操作消息截获技术获取用户操作信息,根据用户权限屏蔽相应未授权操作;
3) 分离文档存储、角色管理、权限控制、日志管理功能,构建基于Web的电子文档服务 器端。
所述步骤l)进一步包括以下步骤
l.l)截取所有的文件读写操作;
1. 2)在其中添加新的文件信息,从而将动态链接库中所有在各文档编辑软件中使用到的 文件相关操作方法替换为包含安全验证的方法。
在所述步骤1.1)中,采用替换并修改操作系统底层动态链接库的方式来截取所有的文 件读写操作。
在所述步骤1.2)提及的替换过程中,采用动态地替换动态连接库文件操作方法的策略, 所述添加的新文件信息主要包括文件常用信息,所述包含安全验证的新方法包括文档读方 法、文档写方法、文档信息修改方法、操作系统内存映射方法。
在所述步骤2)中,利用钩子消息处理函数捕获用户的各种操作信息。
在所述步骤3)中,所述文档权限管理服务器端主要包括文档目录管理、用户管理、 角色管理、授权管理、审计管理和Web服务,其中采用文档存储服务器为文档目录管理提 供文档底层存储服务;采用权限管理数据库为用户管理、角色管理和授权管理提供表关系存 储;采用审计日志数据库维护审计管理产生的审计日志;角色管理提供父子角色形式的层次 化服务;授权管理提供角色授权、用户授权和权限査询功能,所有授权管理操作都以授权管 理类型日志加以审计;审计管理为文档存储管理、用户管理、角色管理和授权管理提供审计 服务。
本发明的优点在于
1. 高安全性。结合细粒度安全保护和多层次的权限管理,提供对电子文档的高度安全保 障。任何非授权的文件泄密将由于电子文档的不可读而被屏蔽。同时,任何恶意篡改将由于 细粒度的权限保护而得不到实施。
2. 透明度高。通过与常用电子文档编辑工具(如Office系列、Acrobat等)的无缝结 合,系统提供了高度透明性。用户在正常工作时,不会感觉到任何电子文档安全保护的存在。
3. 扩展性好。在操作系统的文件处理层解决文档的安全检测和保护问题,使得系统具有 较好的可扩展性,可支持多种安全策略,并对所支持的文档格式进行扩展。
4. 管理简便。通过提供了强大的文档权限管理功能,如目录化文档管理、层次化角色管
理、强审计管理等,极大地简便了管理员对文档的管理维护,从而进一步提高了文档权限的 管理效率和安全性。
图1是本发明电子文档安全保障平台体系结构示意图; 图2是文件读写系统调用截取过程示意图; 图3是用户操作消息截获过程示意图; 图4是服务器端文档权限管理示意图; 图5是本发明系统部署实例。
具体实施例方式
本发明是一种电子文档安全保障系统及方法。
本发明的电子文档安全保障系统基于客户端服务器系统,由客户端与服务器协调进行用 户权限的管理,整个系统体系结构如图l示。其中 服务器端包含以下模块-
文档服务器模块用于存储所有电子文档,将对该服务器上的文档进行安全防护,以防 止文档信息的泄露。文档服务器中的所有电子文档都采用加密算法进行了加密,使得即使服 务器磁盘被盗取,用户也无法获得文档的具体内容。
证书管理服务模块使用用户账号或用户计算机指纹等信息对证书进行管理,提供对系 统的安全认证。该证书管理,通过CA认证等形式实现。基于公钥基础设施和安全套接层协 议提供了客户端与服务器端之间的可信通信路径,实现了两者间的安全数据交换。
文档日志服务模块记录文档上传、下载及其他使用信息,日志内容主要包括用户账号、 时间、使用方式等。通过使用日志信息可以更为方便地对被用户泄漏的文档信息进行跟踪, 找出泄露文档的用户。文档日志服务模块统包括日志记录管理、日志文件管理、归档管理、 日志内容査找和归档日志内容查找等功能。
文档分发服务模块当用户下载文档时提供对文档的加密服务,以保证文档信息不在用 户下载过程中被泄露。采用对称加密算法实现文档在传输前的加解密过程,保证文档内容
传输安全。采用KERBEROS协议架构,保证文档密钥传输安全以及登陆安全,并且限
制了客户的操作有效时间。
客户端包含以下模块
电子文档编辑器模块实现特定电子文件的安全编辑功能,如为0ffice、 PDF文档系列
提供安全编辑功能。通过替换操作系统层的数据读写方法,增加安全功能,加以实现。当编
辑器模块加载到内存时,其动态连接库Kernel32.dll镜像也同时被加载,通过修改 Kernel32.dll内存镜像导入表,把相应的操作函数入口指向DLL函数实现模块中的相应函 数入口。 DLL函数实现模块中包含安全操作函数实现。当客户端用户执行相关操作时,首先 必须通过服务器端认证,获取相应的权限许可。DLL安全函数根据用户拥有的相关权限,提 供受限的安全操作。
客户端配置接口模块提供个性化的配置接口服务。不同的组织可以根据不同的自身体 系结构和文档安全性要求,实现不同的配置。采用基于角色的权限管理策略,为具有特定权限的一组角色产生一个模板。企业或组织可以在某个模板基础上,修改、增加、删除相应的 角色,也可对某类角色修改相应的权限。
本发明的电子文档安全保障方法包括以下步骤
1) 为客户端不同的文档格式提供统一的安全验证方式;
2) 利用操作消息截获技术获取用户操作信息,根据用户权限屏蔽相应未授权操作;
3) 分离文档存储、角色管理、权限控制、日志管理功能,构建基于Web的电子文档服务器端。
上述步骤l)进一步包括以下步骤 l.l)截取所有的文件读写操作;
1. 2)在其中添加新的文件信息,从而将动态链接库中所有在各文档编辑软件中使用到的 文件相关操作方法替换为包含安全验证的方法。
在上述步骤l.l)中,采用替换并修改操作系统底层动态链接库的方式来截取所有的文 件读写操作。
在上述步骤1.2)提及的替换过程中,采用动态地替换动态连接库文件操作方法的策略, 所述添加的新文件信息主要包括文件常用信息,所述包含安全验证的新方法包括文档读方 法、文档写方法、文档信息修改方法、操作系统内存映射方法。
在上述步骤2)中,利用钩子消息处理函数捕获用户的各种操作信息。
在上述步骤3)中,所述文档权限管理服务器端主要包括文档目录管理、用户管理、 角色管理、授权管理、审计管理和Web服务,其中采用文档存储服务器为文档目录管 理提供文档底层存储服务;采用权限管理数据库为用户管理、角色管理和授权管理提供 表关系存储;采用审计日志数据库维护审计管理产生的审计日志;角色管理提供父子角 色形式的层次化服务;授权管理提供角色授权、用户授权和权限査询功能,所有授权管 理操作都以授权管理类型日志加以审计;审计管理为文档存储管理、用户管理、角色管 理和授权管理提供审计服务。
电子文档安全保障系统的工作方法可分为三部分说明
l.采用动态DLL方法替换方式,从而为客户端不同的文档格式提供统一的安全验证方 式,使得电子文档安全系统可以支持WORD、 EXCEL、 PPT、 PDF等不同格式的文档,并可进一 步支持其他文档格式。
为了对各种流行文档格式(包括W0RD、 EXCEL、 PPT、 PDF等)提供一套统一的接口,系 统将自动截取所有的读写文件操作,并在其中添加新的文件信息。系统通过采用替换并修改 操作系统底层动态链接库的方式来达到截取所有文件读写操作目的。新的文件信息主要包括 文件常用信息,如文档作者、文档创建时间、实际正文大小,及适用于文档安全的加解密信 息,如文档加解密密钥、文档的数字签名信息以及机器指纹信息等。
Kernel32. dll动态链接库中所有在各文档编辑软件中使用到的文件相关操作方法需被 替换为包含安全验证的新方法,这些新方法包括文档读方法、文档写方法、文档信息修改方 法、操作系统内存映射方法等,具体方法如下-文件创建关闭方法:CreateFileA(), CreateFileW(), CloseHandle() 文件读方法ReadFile(), ReadFileEx()
文件写方法WriteFile(), WriterFileEx(), FlushFileBuffers()
文件信息更新或获取方法GetFileSize(), GetFileSizeEx(), SetEnfOfFile(), SetFilePointer(), SetFilePointerEx()
文件内存映射方法CreateFileMappingA(), CreateFileMappingW(), MapViewOfFile(), MapViewOfFileEx(), UnMapVeiwOfFile(), FlushViewOfFile(), OpenFileMapping() 其他文件操作方法CopyFileA(), CopyFileW(), CopyFileExA(), CopyFileExW(), DeleteFileA(),DeleteFileW(), MoveFileA(), MoveFileW(), MoveFileExA(), MoveFileExW(), ReplaceFileA(), ReplaceFileW()
在替换过程中釆用动态地替换动态连接库文件操作方法的策略,即只有当系统启动时才 会替换Kernel32.dll动态链接库,使得当前系统使用到的任何文件操作方法不会影响到其 他进程,但却可添加文档信息并提供文档安全保护。如图2所示,当应用程序调用读写操作 时,将调用替换后的读写新方法。当应用程序写数据时,即保存文档时,通过新的写方法不 仅保存了加密后的原始文档信息,还存储了文档基本信息、文档签名信息等其他描述文档或 文档安全的信息。当通过应用程序读取文档时,利用替换后的读操作来读取文档信息。
2. 利用操作消息截获技术,获取用户操作信息,根据用户权限屏蔽相应未授权操作。 通过授予不同用户的不同文档操作权限,可以提高文档使用的安全性。当用户没有对文
档进行保存、修改、复制/剪贴/粘贴、打印、截屏等操作权限时,系统就需要将这些功能屏 蔽,防止用户进行未授权的文档操作。利用操作系统的特性,系统可以通过截获各种文档消 息的方式来屏蔽用户不具备的权限操作。在Windows系统中,利用钩子消息处理函数捕获各 种用户操作信息。钩子可以监视系统或进程中的各种事件消息,截获发往目标窗口的消息并 进行处理。通过在系统中安装自定义的钩子,监视系统中特定事件的发生,完成特定的功能, 比如截获键盘、鼠标的输入等等。系统可以检测0ffice、 Acrobat等软件的启动过程,在软 件启动时,利用动态挂钩技术注册钩子函数到这些进程。在注册过程中,通过设置消息Hook 的方式截获所有与文档相关的操作消息,分别为保存、修改、复制/剪贴/粘贴、打印、截屏 等操作消息实现不同处理方法并加以注册。当用户进行以上操作时,将转入相应的操作处理 方法进行权限检测,从而限制用户的行为。电子文档操作消息截获总体解决方案如图3所示 应用程序可以通过安装用户自定义过滤函数(钩子)来监视系统中的消息流,并可以在消息 到达特定窗口过程之前利用钩子处理它们,即所有用户对应用程序的操作消息都会被钩子监 视到并加以处理。通过调用SetWindowHookEx()并加入合适的参数来安装一个钩子。在钩子 函数内将实现各种用户权限的检测包括保存、修改、复制、打印等,来限制用户的行为。
3. 构建基于Web的电子文档服务器端,服务器端包括文档存储、角色管理、权限控制、 日志管理等功能。文档权限管理服务器端设计如图4所示,主要包括文档存储目录管理、用户管理、角 色管理、授权管理、审计管理和Web服务等。其中文档存储服务器为文档目录管理提供文档 底层存储服务。权限管理数据库为用户管理、角色管理和授权管理提供表关系存储。审计曰 志数据库维护审计管理产生的审计日志。在角色管理中,为体现从属关系,角色管理提供父 子角色形式的层次化服务。允许在某个角色下,创建子角色,从而形成层次化角色。角色管 理默认的角色形式是非层次化角色,而层次化是角色管理中额外的服务。授权管理是文档权 限管理的核心。授权管理提供以角色授权、用户授权和权限査询等功能。所有授权管理操作 都以授权管理类型日志加以审计。审计管理为文档存储管理、用户管理、角色管理和授权管 理提供强审计服务。所有相关操作都自动执行审计。审计内容以审计日志形式存放于审计日 志数据库中。审计员有权操作审计日志,而系统管理员不允许执行审计日志操作。审计日志 操作包括将审计日志査询、审计日志归档、归档审计日志删除等。
局域网内的电子文档安全保障系统的在实际使用过程中的实施架构如图5。系统通过将 文档存储、权限管理、证书管理、日志管理等服务与Web服务器相互独立,使得系统具有较 强的可扩展性。整个文档安全管理的服务包括文档的创建和文档的读写两个过程。
文档创建(上传)
1. 用户在客户端创建文档,并于文档内存储与文档相关的创建信息。
2. 用户通过Web认证登录Web服务器,利用Web服务器上传电子文档并将文档存储于文 档服务器。
3. 在Web服务器上,将该文档授权于不同用户,所有授权操作记录于日志系统。 文档读写(下载)
1. 用户登录Web服务器,下载文档,文档内存储该用户的下载信息。
2. 用户在本地打开文档准备进行读写等编辑操作,客户端程序对用户的读权限进行验证。
3. 若用户需要对文档进行编辑,将由客户端程序捕获用户的操作,并对操作权限进行检 测,如果操作权限不满足,则提示相应警告信息。
权利要求
1. 一种电子文档安全保障系统,基于客户端服务器系统,由客户端与服务器协调进行用户权限的管理,其特征在于服务器端包含以下模块文档服务器模块-用于存储所有电子文档,对该服务器上的文档进行安全防护,以防止文档信息的泄露;证书管理服务模块-采用用户账号或用户计算机指纹对证书进行管理,提供对系统的安全认证;文档日志服务模块-记录文档上传、下载及其他使用信息,日志内容主要包括用户账号、时间、使用方式,通过使用日志信息可以对被用户泄漏的文档信息进行跟踪,找出泄露文档的用户;文档分发服务模块-当用户下载文档时提供对文档的加密服务,以保证文档信息不在用户下载过程中被泄露;用户角色和权限管理服务模块-提供企业组织结构和人员权限配置管理功能服务;客户端包含以下模块电子文档编辑器模块-通过替换操作系统层的数据读写方法实现电子文件的安全编辑功能,以增加安全功能;客户端配置接口模块-提供个性化的配置接口服务,不同的组织可以根据不同的自身体系结构和文档安全性要求,实现不同的配置。
2. —种电子文档安全保障方法,其特征在于包括以下步骤1) 为客户端不同的文档格式提供统一的安全验证方式;2) 利用操作消息截获技术获取用户操作信息,根据用户权限屏蔽相应未授权操作;3) 分离文档存储、角色管理、权限控制、日志管理功能,构建基于Web的电子文档服务器端。
3. 如权利要求2所述的电子文档安全保障方法,其特征在于 所述步骤l)进一步包括以下步骤 l.l)截取所有的文件读写操作;1. 2)在其中添加新的文件信息,从而将动态链接库中所有在各文档编辑软件中使用到的 文件相关操作方法替换为包含安全验证的方法。
4. 如权利要求3所述的电子文档安全保障方法,其特征在于在所述步骤l.l)中,采用替换并修改操作系统底层动态链接库的方式来截取所有的文 件读写操作。
5. 如权利要求3所述的电子文档安全保障方法,其特征在于在所述步骤1. 2)提及的替换过程中,采用动态地替换动态连接库文件操作方法的策略,所述添加的新文件信息主要包括文件常用信息,所述包含安全验证的新方法包括文档读方 法、文档写方法、文档信息修改方法、操作系统内存映射方法。
6. 如权利要求2所述的电子文档安全保障方法,其特征在于 在所述步骤2)中,利用钩子消息处理函数捕获用户的各种操作信息。
7. 如权利要求2所述的电子文档安全保障方法,其特征在于在所述步骤3)中,所述文档权限管理服务器端主要包括文档目录管理、用户管理、 角色管理、授权管理、审计管理和Web服务,其中釆用文档存储服务器为文档目录管理提供文档底层存储服务; 采用权限管理数据库为用户管理、角色管理和授权管理提供表关系存储; 采用审计日志数据库维护审计管理产生的审计曰志; 角色管理提供父子角色形式的层次化服务;授权管理提供角色授权、用户授权和权限査询功能,所有授权管理操作都以授权管理类 型日志加以审计;审计管理为文档存储管理、用户管理、角色管理和授权管理提供审计服务。
全文摘要
本发明涉及电子文档安全保障系统及方法,电子文档安全保障系统基于客户端服务器系统,由客户端与服务器协调进行用户权限的管理,其中服务器端包含文档服务器模块、证书管理服务模块、文档日志服务模块、文档分发服务模块、用户角色和权限管理服务模块;客户端包含电子文档编辑器模块和客户端配置接口模块。电子文档安全保障方法包括以下步骤1)为客户端不同的文档格式提供统一的安全验证方式;2)利用操作消息截获技术获取用户操作信息,根据用户权限屏蔽相应未授权操作;3)分离文档存储、角色管理、权限控制、日志管理功能,构建基于Web的电子文档服务器端。它可以杜绝电子文档形式的信息泄露,为电子化办公提供高安全性保证。
文档编号H04L29/06GK101547199SQ200910083158
公开日2009年9月30日 申请日期2009年5月5日 优先权日2009年5月5日
发明者周晓媛, 寿黎旦, 赵明智 申请人:北京神舟航天软件技术有限公司