基于信息流模型的单机电子文档保护系统的制作方法

专利名称：基于信息流模型的单机电子文档保护系统的制作方法
技术领域：
本发明涉及一种基于信息流模型的单机电子文档保护系统，属于电子文档安全领域。
背景技术：
信息技术的迅速发展，使得电子文档得到了广泛的应用，各种资料、技术文档等高价值的数据越来越多的以电子文档的形式存在。在无纸化办公的需求下，各级政府、科研机构、各企业部门等的大量涉密信息或敏感信息也均以电子文档的形式存在，在这种情况下， 电子文档的泄漏、篡改、仿冒等威胁越来越多，使得电子文档安全的重要性和紧迫性日益突显出来。访问控制主要解决信息安全系统的授权管理和权限使用问题，在保证系统安全性与可用性方面有着不可取代的作用。随着安全系统范围的发展变化，访问控制模型与技术也发生了很大的变化。在对电子文档的保护方面，访问控制的主要任务是保证包括电子文档信息在内的数据不被非法访问和非法使用。访问控制策略定义了在系统运行期间的授权和非授权行为，即哪些行为是允许发生的，哪些是不允许发生的。传统的访问控制模型根据访问控制策略的不同来进行划分。一般访问控制策略有三种自主访问控制 (Discretionary Access Control,DAC)、强制访问控制(Mandatory Access Control,MAC) 和基于角色的访问控制(Role Based Access Control，RBAC)，其关系如图1所示。将这三种访问控制策略应用到电子文档的管理中存在着安全级别较低、缺乏灵活性和实用性、信息流隐藏通道泄密等问题。

发明内容
本发明的目的是为了解决将传统的访问控制策略应用到电子文档的保护存在安全级别较低的问题，提供一种基于信息流模型的单机电子文档保护系统。本发明包括操作监控模块和信息流访问控制模块，操作监控模块用于监控用户对电子文档的操作，并将监控到的用户操作发送给信息流访问控制模块，再根据信息流访问控制模块反馈的判断结果对用户的操作进行控制；信息流访问控制模块用于根据来自操作监控模块监控到的用户操作，分析获得用户操作的主体信息、客体信息及当前主体的活动信息流图，并依据信息流访问控制模型以及隐藏通道检测算法生成判断结果，最后将该判断结果发送给操作监控模块；主体信息为欲对电子文档进行访问的主体信息的集合，该主体为所述用户或进程；客体信息为主体欲访问的电子文档的集合；当前主体的活动信息流图为当前时刻，当前主体依据当前主体的开启文档集生成的信息流图；当前主体的开启文档集为当前时刻当前主体打开的所有文档。所述信息流访问控制模块由主体信息、策略实施单元、客体信息、当前主体的活动信息流图、安全策略控制决策单元、其它主体的文档信息流图和当前主体的开启文档集组成，策略实施单元用于接收来自操作监控模块监控到的用户操作，策略实施单元用于将所述判断结果发送给操作监控模块；策略实施单元用于根据主体信息、客体信息及根据主体信息获取的当前主体的开启文档集，生成待验证信息，并将待验证信息发送给安全策略控制决策单元，安全策略控制决策单元用于根据来自策略实施单元的待验证信息及其它主体的文档信息流图，依据隐藏通道检测算法，分析如果允许当前主体依照自身权限打开所请求访问电子文档，是否造成该电子文档泄露或被滥用，以决策是否增加当前主体的动态约束条件，生成所述述判断结果，若判断结果为安全，则允许当前主体访问所述电子文档；否则， 禁止当前主体访问所述电子文档；其它主体的文档信息流图为主体信息中除当前主体外的其它主体依据自身角色及权限所对应的能访问的文档集。本发明的优点是本发明以单机环境为起点，针对电子文档安全，设计了一套完整的文档保护系统；本发明针对电子文档安全提出了信息流访问控制模型，能更好的对电子文档的操作进行访问控制；本发明的监控粒度较小，监控粒度为信息流，信息流可能是“文件”或“文件的一部分”；本发明可对多种文件格式的信息流进行监控；本发明不仅仅适用于文本文件，同时也能防止图像、音频和视频等多媒体敏感文件的泄漏，实用性较强；本发明主要在操作系统内核态和用户态进行文件监控，对用户态的应用程序是透明的。本发明的安全级别较高，具有灵活性及实用性，能够有效的防止信息流通过隐藏通道泄密。本发明通过解析信息流对象的各个属性，提取操作的主体、客体、文档信息流图等，并依据隐藏通道检测算法判断该操作是否会造成泄密，并根据判断结果对用户的操作进行控制。本发明的访问控制模型不是传统的三大访问控制模型，是基于信息流访问控制模型实现的，能实现传统的防泄密功能，更可以解决隐藏通道所造成的安全威胁。本发明可以应用于单机环境下任何形式数据的安全保护。


图1为现有三种访问控制策略的关系图；图2为本发明的流程框图；图3为信息流访问控制模块的流程框图；图4为具体应用结构图。
具体实施例方式具体实施方式
一下面结合图2和图4说明本实施方式，本实施方 式包括操作监控模块1和信息流访问控制模块2，操作监控模块1用于监控用户对电子文档的操作，并将监控到的用户操作发送给信息流访问控制模块2，再根据信息流访问控制模块2反馈的判断结果对用户的操作进行控制；
信息流访问控制模块2用于根据来自操作监控模块1监控到的用户操作，分析获得用户操作的主体信息2-1、客体信息2-3及当前主体的活动信息流图2-4，并依据信息流访问控制模型以及隐藏通道检测算法生成判断结果，最后将该判断结果发送给操作监控模块1;主体信 息2-1为欲对电子文档进行访问的主体信息的集合，该主体为所述用户或进程；客体信息2-3为主体欲访问的电子文档的集合；当前主体的活动信息流图2-4为当前时刻，当前主体依据当前主体的开启文档集 2-7生成的信息流图；当前主体的开启文档集2-7为当前时刻当前主体打开的所有文档。客体为主体行为的承担者，在本实施方式中专指文档。本实施方式从功能来看，主要包含监视和控制两部分。其目的在于防止包含敏感信息的电子文档被非法访问和篡改从而造成敏感信息的泄密，用于当用户访问敏感数据时，该系统对用户的操作进行监控，并通过对信息流的分析判断用户是否可以执行该操作。 本实施方式的系统组成如图4所示本实施方式相应的软件安装在受保护的计算机中，用户在受保护的计算机中访问敏感信息，因此本实施方式假定的前提是受保护的计算机是可以信任的，用户是不可信任的。在受保护的计算机内部，本实施方式的功能分别执行在用户态和内核态，相互配合并完成不同的功能。文件操作监控采用内核态文件过滤驱动，内核态文件过滤驱动用于不改变底层设备驱动或者用户程序而增加I/O设备的新功能，允许不需要重写底层驱动代码而改变这个已存在I/O设备驱动的特性，可以达到对指定文件、文件夹或者整个逻辑盘进行保护，拦截所有用户对它的读写请求。操作监控模块1能够拦截并解析来自用户的操作请求-IRP (IRP为I/O Request Package的缩写，即I/O请求包，IRP是I/O管理器在内核态操作的对象)，并将拦截到的信息流发送给信息流访问控制模块2。
具体实施方式
二 下面结合图3说明本实施方式，本实施方式为对实施方式一的进一步说明，所述信息流访问控制模块2由主体信息2-1、策略实施单元2-2、客体信息2-3、 当前主体的活动信息流图2-4、安全策略控制决策单元2-5、其它主体的文档信息流图2-6 和当前主体的开启文档集2-7组成，策略实施单元2-2用于接收来自操作监控模块1监控到的用户操作，策略实施单元2-2用于将所述判断结果发送给操作监控模块1 ；策略实施单元2-2用于根据主体信息2-1、客体信息2-3及根据主体信息2_1获取的当前主体的开启文档集2-7，生成待验证信息，并将待验证信息发送给安全策略控制决策单元2-5，安全策略控制决策单元2-5用于根据来自策略实施单元2-2的待验证信息及其它主体的文档信息流图2-6，依据隐藏通道检测算法，分析如果允许当前主体依照自身权限打开所请求访问电子文档，是否造成该电子文档泄露或被滥用，以决策是否增加当前主体的动态约束条件，生成所述述判断结果，若判断结果为安全，则允许当前主体访问所述电子文档；否则，禁止当前主体访问所述电子文档；
其它主体的文档信息流图2-6为主体信息2-1中除当前主体外的其它主体依据自身角色及权限所对应的能访问的文档集。本实施主要以本发明提出的信息流访问控制模型和隐藏通道算法为基础。可实现以信息流为粒度的访问控制。
具体实施方式
三本实施方式为对实施方式二的进一步说明，所述信息流访问控制模型为

定义一定义变量DIF = (S，D，A，SC, C，一)，其中S表示主体信息2-1，设定s为单个主体信息，其中s e S ；D为客体信息2-3，设定d为单个电子文档，d e D ；A为用户对电子文档的操作集合，A = {r，w, a, e}，其中r为读操作，w为写操作， a为追加操作，e为编辑操作；SC为有限集合，为所有电子文档的安全类别，SC= {公开，秘密，机密，绝密}；C为有限集合，是一种约束集合，是施加在电子文档操作上的限制，分为静态约束和动态约束；—为二元关系，表示两个电子文档之间的信息流动关系；定义二 对于有限集合SC，若屯一Clj成立，当且仅当SC (Cli) ^ SC (dj)成立，式中 Cli为D中第i个电子文档，dj为D中第j个电子文档，i和j均为电子文档的序列号；定义三对于客体信息D，对于VO2 e/)，若(s,屯，r) Λ (s, d2， w) ASC(Cl1)彡SC(d2)满足，则有信息流Cl1^d2成立，Cl1SD中第1个电子文档，(12为0中第2个电子文档；定义四同一时刻主体打开的所有文档定义为开启文档集OD ；定义五根据待验证信息，根据上下文环境，生成的对电子文档的静态或动态约束条件，所生的策略定义为语境策略；定义六文档信息流图2-6为G= (V, E)，为有限有向图，V(G)是一个非空有限集合，表示主体依据自身权限所能访问的文档集，八E(G)是V(G) XV(G)的一个子集，表示文档间的信息流一，如果Cl1 e V(G)，d2 e V(G)，并且信息流(I1 — d2存在，则有〈d” d2> e E(G)；定义七定义某一主体在当前时刻，依据自身的开启文档集OD生成的信息流图为活动信息流图。本实施方式中约束集合C的静态约束是指依据已知的威胁，在一定时间内保持不变的约束。动态约束是指依据系统环境的变化，动态强制性的约束，以保证电子文档的安全。例如，使某电子文档仅能在工作时间访问，其他时间禁止访问；在特殊条件得到满足的情况下，禁止对电子文档编辑操作等约束。所述二元关系一，具体含义为，如果Cli — (1」，则表明信息流可以从Cli流向…。在所述定义二中，信息流只能从低级向高级或同级之间流动，即只可上写操作，而不能向下写。在定义三中，如果某主体s能够访问电子文档Cl1和d2，并且s拥有文档d2的写操作权限，则有信息流Cl1 — d2成立。定义五中定义的语境策略(Contextual Policy)，由于对同一文档资源可能存在多种策略，如何选用策略将根据当时的上下文环境(Context)，包括OD和工作时间等，生成对应的静态或动态约束条件，将这种对应用户请求，所生成的策略称为语境策略。定义六中，对于任意主体信息Sj e S而言，依据该主体的角色和读写文档权限，均有一个对应的文档集A存在，并有可能涉及多个安全级别文档。由定义六可知，A对应的文档信息流图将一定存在并唯一，它与主体是一一对应的。定义七中，主体s的活动信息流图AG(S)，是依据当前时刻所打开的文档集OD 对应生成的，生成算法就是信息流图生成算法，只是用开启文档集OD替代全体文档集 D，其它不变。它显然是该用 户对应信息流图G(S)的一个子图，有⑷)⑷)， E(AG(s))^E(G(s))。定义六中文档信息流图2-6的生成算法当前主体的信息流图生成算法如下输入所有文档集合D，文档安全类别集合SC如密级输出主体s所对应的文档信息流图G(S) = (V, E)START1) V = 0 .E = 0 .2) FOR 所有文档 d e D2. l)tag(d) = false ；// 标记初始化2. 2)如果(s，d，读)THENV = VU {d}；2. 3)如果(s，d，写)THEN tag(d) = true ；3) FOR 所有节点 V1 e V3. 1) FOR 所有节点 V2 e V3. 1. 1)如果 tag (V1)并且 SC(V2) ( SC(V1)THEN E = EU {<v2, Vl>}；3. 1. 2)如果 tag (V2)并且 SC(V1) ( SC(V2)THEN E = EU Kv1, v2>}；END定义七中活动信息流图的维护算法打升文档时输入原活动信息流图AG(S) = (V, E)，此时打开的文档d输出新活动信息流图AG(S) = (V, E)START1) tag(d) = false ；// 标记初始化2)如果(s，d，读)THENV = VU {d}；3)如果(s，d，写)THEN tag(d) = true ；4) FOR 所有节点 V1 e V4. 1) FOR 所有节点 V2 e V4. 1. 1)如果 tag (V1)并且 SC(V2) ( SC(V1)THEN E = EU {<v2, Vl>}；4. 1. 2)如果 tag (V2)并且 SC(V1) ( SC(V2)THEN E = EU Kv1, v2>}；END关闭文档时输入原活动信息流图AG(S) = (V, E)，此时关闭的文档d
输出新活动信息流图AG(S) = (V, E)STARTDv1 = d2) FOR 所有节点 V2 e V, V2 ^ d2. 1)如果 <v2, Vl> e E THEN E = E-{<v2, Vl>}；2. 2)如果 <v1 v2> e E THEN E = E-Kv1, v2>}；3)V = V-{d}；END具体实施方式
四本实施方式为对实施方式三的进一步说明，所述隐藏通道检测算法为依据当前主体的开启文档集2-7及当前主体的活动信息流图2-4，对所有主体所对应的活动信息流图进行遍历，判断是否存在连通点及连通路径，如果存在，遍历终止，并对该连通点所连通的电子文档进行强制性约束，禁止写操作，此时判断结果为不安全；否贝U，判断结果为安全。隐藏通道是指多个主体通过中间文档进行泄密，例如文档Dl、D2、D12均为机密文档，主体SA和主体SB分别对文档Dl和D2拥有读写权限，同时主体SA对D12拥有读权限，主体SB对D12拥有写权限。SA和SB通过相互配合，完成SA获取D2的内容，简要的操作流程如下l)SBaD2;2)58将02内容写入012;3似读012;4仏八将012写入01。没有违反上写规则，SA却获取了没有读取权限的D2文档。由上面可知，隐藏通道是根据活动信息流图中的连通节点来完成的，在下面的隐藏通道检测算法中将会对这些连通节点进行临时处理，在语境策略中对动态约束条件进行相应的修改来阻止泄密发生。本实施方式的原理为临时加入dx节点后判断AG(S)中任意d与s外的其它主体信息流图的连通性。输入当前主体的活动信息流图AG(S)，主体集S的各信息流图G，新打开文档dx，文档安全类别集合SC，开启文档集OD (s)的约束条件，输出新的开启文档集OD(S)的动态约束条件，START1) FOR 所有 s e S11)如果 dx e V(G(s)) THEN1. 2. 1)遍历有向图AG(s)和G(s)中各节点1. 2. 1. 1)如果 <d。，dx> e E(AG(s))，其中 d。e V(AG(s))并且<dx，d, e E(G(s))，其中 Cl1 e V(G(s))并且SC (d0)彡 SC (Cl1) THEN1.2.11.1)临时禁止(s，dx，w)即写权限，在关闭后恢复相关权限；
1. 2. 11. 2)跳出for循环，遍历终止；END具体实施方式
五下面结合图2进行说明，本实施方式为对实施方式一、二、三或四的进一步说明，它还包括自我免疫模块3，自我免疫模块3用于在整个系统运行期间，针对Windows操作系统平台电子文档安全应用程序所面临的各种威胁，对该应用程序自身进行保护。
具体实施方式
六本实施方式为对实施方式五的进一步说明，对所述应用程序自身进行的保护有保护所述应用程序不被非授权方式终止；保护所述应用程序使用的文件在磁盘上存储时不被非授权方式修改；保护所述应用程序使用的文件作为模块被加载到内存中后不被恶意修改；保护所述应用程序使用修改操作系统配置实现自身的加载，该配置不被非授权修改；针对新发现的二进制攻击模块，能够进行免疫。应用程序不被非授权方式终止包括合法用户有意或无意通过操作结束进程、合法用户或非法用户通过编写简单代码结束进程。应用程序使用的文件在磁盘上存储时不被非授权方式修改包括应用程序使用的二进制文件，配置文件等不被用户恶意修改。应用程序使用的文件作为模块被加载到内存中后不被恶意修改包括应用程序依赖的二进制模块，如各种DLL等不被恶意代码注入后实施各种Hook。应用程序使用修改操作系统配置实现自身的加载，该配置不被非授权修改由于应用程序的启动由操作系统根据相关配置完成，对此配置的非授权修改将可能导致应用程序无法随操作系统启动加载运行，致使文档保护无效，必须予以控制。针对新发现的二进制攻击模块，能够进行免疫类似于各种杀毒软件工作方式，能够与新发现的针对本电子文档保护应用程序进行攻击的程序进行对抗。
具体实施方式
七本实施方式为对实施方式六的进一步说明，所述自我免疫模块 3对所述应用程序自身进行保护基于SSDT HOOK技术实现，通过加入黑白名单模块方式，动态的进行免疫。本实施方式的执行，并不影响用户的正常操作。本实施方 式所采用的SSDT HOOK 驱动无缝嵌入操作系统内核，对恶意操作进行有效的拦截，安全性高。本实施方式中自我免疫模块3对Windows操作系统平台电子文档安全应用程序进行实时监控，拦截系统和用户对所要保护的应用程序的操作，通过查找黑白名单，来决定是否放行。
权利要求
1.一种基于信息流模型的单机电子文档保护系统，其特征在于它包括操作监控模块 (1)和信息流访问控制模块(2)，操作监控模块(1)用于监控用户对电子文档的操作，并将监控到的用户操作发送给信息流访问控制模块(2)，再根据信息流访问控制模块(2)反馈的判断结果对用户的操作进行控制；信息流访问控制模块(2)用于根据来自操作监控模块(1)监控到的用户操作，分析获得用户操作的主体信息(2-1)、客体信息(2-3)及当前主体的活动信息流图(2-4)，并依据信息流访问控制模型以及隐藏通道检测算法生成判断结果，最后将该判断结果发送给操作监控模块⑴；主体信息(2-1)为欲对电子文档进行访问的主体信息的集合，该主体为所述用户或进程；客体信息(2-3)为主体欲访问的电子文档的集合；当前主体的活动信息流图(2-4)为当前时刻，当前主体依据当前主体的开启文档集 (2-7)生成的信息流图；当前主体的开启文档集(2-7)为当前时刻当前主体打开的所有文档。
2.根据权利要求1所述的基于信息流模型的单机电子文档保护系统，其特征在于所述信息流访问控制模块(2)由主体信息(2-1)、策略实施单元(2-2)、客体信息(2-3)、当前主体的活动信息流图(2-4)、安全策略控制决策单元(2-5)、其它主体的文档信息流图 (2-6)和当前主体的开启文档集(2-7)组成，策略实施单元(2-2)用于接收来自操作监控模块(1)监控到的用户操作，策略实施单元(2-2)用于将所述判断结果发送给操作监控模块(1)；策略实施单元(2-2)用于根据主体信息(2-1)、客体信息(2-3)及根据主体信息(2-1) 获取的当前主体的开启文档集(2-7)，生成待验证信息，并将待验证信息发送给安全策略控制决策单元(2-5)，安全策略控制决策单元(2-5)用于根据来自策略实施单元(2-2)的待验证信息及其它主体的文档信息流图(2-6)，依据隐藏通道检测算法，分析如果允许当前主体依照自身权限打开所请求访问电子文档，是否造成该电子文档泄露或被滥用，以决策是否增加当前主体的动态约束条件，生成所述述判断结果，若判断结果为安全，则允许当前主体访问所述电子文档；否则，禁止当前主体访问所述电子文档；其它主体的文档信息流图(2-6)为主体信息(2-1)中除当前主体外的其它主体依据自身角色及权限所对应的能访问的文档集。
3.根据权利要求2所述的基于信息流模型的单机电子文档保护系统，其特征在于所述信息流访问控制模型为定义一定义变量 DIF = (S，D，A，SC, C，一)，其中S表示主体信息(2-1)，设定s为单个主体信息，其中s e S ；D为客体信息(2-3)，设定d为单个电子文档，d e D ；A为用户对电子文档的操作集合，A = {r，w, a, e}，其中r为读操作，w为写操作，a为追加操作，e为编辑操作；SC为有限集合，为所有电子文档的安全类别，SC= {公开，秘密，机密，绝密}；C为有限集合，是一种约束集合，是施加在电子文档操作上的限制，分为静态约束和动态约束；—为二元关系，表示两个电子文档之间的信息流动关系；定义二 对于有 限集合SC，S Cli — dj成立，当且仅当SC(Cli) ( SC(Clj)成立，式中Cli为 D中第i个电子文档，dj为D中第j个电子文档，i和j均为电子文档的序列号；定义三对于客体信息D，对于V02eZ)，若(s, d^r) Λ (s,d2,w) ASC(Cl1)彡 SC(d2) 满足，则有信息流Cl1 — d2成立，Cl1为D中第1个电子文档，d2为D中第2个电子文档； 定义四同一时刻主体打开的所有文档定义为开启文档集OD ； 定义五根据待验证信息，根据上下文环境，生成的对电子文档的静态或动态约束条件，所生的策略定义为语境策略；定义六文档信息流图(2-6)为G= (V，E)，为有限有向图，V(G)是一个非空有限集合，表示主体依据自身权限所能访问的文档集少(G)^) ;E(G)是V(G) XV(G)的一个子集，表示文档间的信息流一，如果Cl1 e V(G)，d2 e V(G)，并且信息流(I1 — d2存在，则有〈d” d2> e E(G)；定义七定义某一主体在当前时刻，依据自身的开启文档集OD生成的信息流图为活动信息流图。
4.根据权利要求3所述的基于信息流模型的单机电子文档保护系统，其特征在于所述隐藏通道检测算法为依据当前主体的开启文档集(2-7)及当前主体的活动信息流图(2-4)，对所有主体所对应的活动信息流图进行遍历，判断是否存在连通点及连通路径，如果存在，遍历终止，并对该连通点所连通的电子文档进行强制性约束，禁止写操作，此时判断结果为不安全；否贝U，判断结果为安全。
5.根据权利要求1、2、3或4所述的基于信息流模型的单机电子文档保护系统，其特征在于它还包括自我免疫模块(3)，自我免疫模块(3)用于在整个系统运行期间，针对Windows操作系统平台电子文档安全应用程序所面临的各种威胁，对该应用程序自身进行保护。
6.根据权利要求5所述的基于信息流模型的单机电子文档保护系统，其特征在于对所述应用程序自身进行的保护有保护所述应用程序不被非授权方式终止；保护所述应用程序使用的文件在磁盘上存储时不被非授权方式修改； 保护所述应用程序使用的文件作为模块被加载到内存中后不被恶意修改； 保护所述应用程序使用修改操作系统配置实现自身的加载，该配置不被非授权修改； 针对新发现的二进制攻击模块，能够进行免疫。
7.根据权利要求6所述的基于信息流模型的单机电子文档保护系统，其特征在于 所述自我免疫模块(3)对所述应用程序自身进行保护基于SSDT HOOK技术实现，通过加入黑白名单模块方式，动态的进行免疫。
全文摘要
基于信息流模型的单机电子文档保护系统，属于电子文档安全领域。它解决了将传统的访问控制策略应用到电子文档的保护存在安全级别较低的问题。它包括操作监控模块和信息流访问控制模块，操作监控模块用于监控用户对电子文档的操作，并将监控到的用户操作发送给信息流访问控制模块，再根据信息流访问控制模块反馈的判断结果对用户的操作进行控制；信息流访问控制模块用于根据来自操作监控模块监控到的用户操作，分析获得用户操作的主体信息、客体信息及当前主体的活动信息流图，并依据信息流访问控制模型以及隐藏通道检测算法生成判断结果，最后将该判断结果发送给操作监控模块。本发明适用于对电子文档提供安全保护。
文档编号H04L29/06GK102185836SQ20111009496
公开日2011年9月14日 申请日期2011年4月15日 优先权日2011年4月15日
发明者李琼, 牛夏牧, 王莘, 石振锋, 韩琦 申请人:哈尔滨工业大学