一种安全应用环境下的文件外发管控系统及方法与流程

本发明涉及网络安全
技术领域：
，具体涉及一种安全应用环境下的文件外发管控系统及方法。
背景技术：
：随着网络空间一体化的发展趋势，跨领域间的合作与交流日益紧密，办公系统对外发文件进行安全使用和流转管控的需求进一步加强。目前针对外发文件的管理，仅限于涉密载体的移交手续管控，不能有效防范外发文件的涉密信息泄露问题。因此，确保外发文件全生命周期可管可控，成为了一个共性技术问题，同时也是一个技术难点。技术实现要素：(一)要解决的技术问题本发明要解决的技术问题是：如何针对涉密信息系统产生的敏感信息电子文件在非安全环境中受控使用的问题，提出一种文件外发管控方案。(二)技术方案为了解决上述技术问题，本发明提供了一种安全应用环境下的文件外发管控系统，文件外发管控系统生成的外发包为可执行压缩包，外发包中包含外发文件、访问策略和安全应用环境；上述外发文件是由文件外发管控系统处理后添加标签并进行格式转换的文件；所述访问策略定义了目标用户对外发文件的可操作权限，访问策略在外发包生成时制定；所述安全应用环境集成了标签服务接口、驱动库文件，依据访问策略对外发文件实施访问控制和格式处理；在未安装文件外发管控系统的用户终端访问外发文件，需要通过安全应用环境实现文件的格式转换和受控使用；所述系统包括：外发包生成模块、安全应用环境控制模块和日志审计模块；所述外发包生成模块包括权限策略生成子模块、文件格式转换子模块、安全应用环境生成子模块；所述权限策略生成子模块用于给外发包创建访问权限，通过用户交互界面设置外发包口令、外发包支持访问的主机mac地址，设置外发包中文件的阅读、复制、打印、截屏这些操作权限，设置文件访问有效时间、阅读次数、打印次数这些文件访问权限，文件访问权限信息作为权限属性保存至文件中；所述文件格式转换子模块用于给文件生成标签并将标签与文件绑定，通过数字签名保护技术确保标签完整性及标签与文件绑定关系，同时利用对称加密算法对通用格式文件进行加密处理，形成外发文件，外发文件在普通终端上打开时以乱码形式展现，文件的标签作为文件的唯一标识；所述安全应用环境生成子模块用于创建外发文件受控访问的外部应用环境，安全应用环境中集成了标签服务、用户操作行为捕获、文件访问权限控制等插件，依据外发文件权限策略，以驱动库的形式为外发文件提供标签验证、文件格式还原及文件访问控制服务；所述安全应用环境控制模块包括外发包验证子模块、访问控制子模块和文件验证子模块；所述外发包验证子模块用于验证目标主机mac地址以及外发包口令，该模块读取操作系统地址数据，并通过用户交互界面获得外发包访问口令，对比外发包权限策略，验证目标主机地址和外发包口令的合法性，确保外发文件的安全使用和受控流转；所述访问控制子模块用于捕获用户对文件的操作，读取外发包权限策略，对用户实施访问控制，若用户具备对文件特定操作类型的访问权限，则允许访问，反之当用户不具备访问权限时，则阻断用户行为，实现行为管控；所述文件验证子模块用于对文件标签安全性进行验证，通过验证数字签名确保标签完整性以及标签与文件的绑定关系，同时对文件格式进行转换，将外发文件进行解密处理供用户读写；所述日志审计模块用于进行外发包生成、访问过程中的行为和异常审计，外发包生成过程中，把外发文件授权、安全应用环境创建这些行为传送给日志审计模块进行记录，同时在外发包应用过程中，将文件及外发包安全性验证结果进行记录审计，将违反策略和规则的文件访问请求记录下来，便于日后统计分析和取证，日志审计模块支持读取文件标签日志属性及流转属性内容，对文件外发过程中的访问和流转情况进行展示。优选地，所述文件格式转换子模块具体用于给文件创建大小为16k的标签属性存储空间，标签属性信息存储在文件头中与文件成为一体，在外发文件的全生命周期中，文件和标签存在唯一的绑定关系，文件的标签的数据结构设计如表1所示：表1标签结构标志标签保护摘要签名权限属性流转属性日志属性其中：标志：存放了文件外发管控系统的版权信息；标签保护：存放了标签摘要和对称加密算法标识；摘要签名：存放了对标签的签名算法标识签名者标识、签名值以及本次签名时间，通过标签保护属性中指定的摘要算法计算标签和文件摘要值，并通过指定的签名算法对文件摘要值进行签名，将生成的签名值存储在摘要签名属性字段中；权限属性权限属性定义了对文档进行操作的权限，权限信息即为上文中权限策略生成子模块生成的文件访问权限，权限属性数据结构定义如表2所示：表2字段名称数据类型数据长度(字节)含义operatoriduint324被授权者的标识breadbool4是否可读bwritebool4是否可写bcopybool4是否可复制bprintbool4是否可打印bprintscreenbool4是否可截屏权限属性字段中：被授权者的标识：存放被授权者的标识；读权限：为真，可对文档进行读操作；写权限：为真，可对文档进行写操作；复制权限：为真，可对文档进行复制操作；打印权限：为真，可对文档进行打印操作；截屏权限：为真，可对文档进行截屏操作；流转属性流转属性定义了在文档流转过程中发送和接收的信息，流转属性数据结构定义如表3所示：表3流转属性字段名称数据类型数据长度(字节)含义nindexuint324流转记录序号senderuint324发送者sendertimeuint324发送时间receiveruint324接收者流转属性字段中：流转记录序号：存放流转事件流水号，从1开始按自然数自动递增；发送者：存放文档发送者的标识；发送时间：存放文档发送的时间，为系统时间；接收者：存放文档接收者的信息，包括接收者标识、接收文档时间；日志属性日志属性定义了对文档操作过程中的日志信息，日志属性数据结构定义如表4所示：表4日志属性字段名称数据类型数据长度(字节)含义nindexuint324日志序号actiontypeuint324操作类型operatoriduint324操作者标识actiontimeuint324操作时间日志属性字段中：日志序号：存放操作流水号，从1开始按自然数自动递增；操作类型：存放文档操作行为的编码；操作者标识：存放操作者的标识；操作时间：存放操作时间，为系统时间。优选地，所述文件格式转换子模块具体用于按照如下方式完成标签完整性与绑定关系的建立：1)对文档进行摘要计算；2)将文档的摘要填充在标签体中；3)对标签中除标签完整性签名以外的所有内容计算摘要并进行签名，将此签名作为标签完整性签名置于标签头中；4)对标签及文档整体进行加密处理。优选地，所述文件验证子模块具体用于按照如下方式对标签完整性与绑定关系进行验证：1)对标签及文档整体进行格式变换；2)对标签完整性签名进行验证，若验证通过，则判定标签完整可信，进入下一步，否则提示验证不通过；3)对文档进行摘要计算；4)比较此摘要与标签体内的文档摘要，若相同，则绑定关系验证通过，否则提示验证不通过。优选地，所述访问控制子模块具体通过如下方式对文件进行处理：在内核层拦截文件操作，当用户访问外发文件时，应用线程产生的数据经过i/o管理器向文件系统驱动发送读写请求，请求到达文件系统过滤驱动时，调用外发包权限策略实施访问控制，若权限符合，则文件系统过滤驱动将用户访问请求发送至存储设备驱动，完成数据读写交互；若权限不符合，则文件系统过滤驱动将强制结束传递该请求，拒绝文件读写请求。本发明还提供了一种利用所述的系统实现的一种安全应用环境下的文件外发管控方法，包括以下步骤：步骤1：外发文件策略生成：用户选定外发文件，发起外发包生成请求，设置外发文件的权限策略；步骤2：外发文件格式转换：系统检查外发文件状态，文件进行格式转换，为文件创建标签信息，计算标签和文件摘要并添加数字签名保护，将文件类型转换为特定格式文件；步骤3：文件外发包生成：创建外发文件受控访问的安全应用环境，将标签验证、文件格式转换、用户操作行为捕获、文件访问权限控制这些驱动库添加到应用环境中，与外发文件策略、外发文件一并压缩形成可执行的文件外发包；步骤4：外发包安全性验证：用户选中文件外发包，发起外发包访问请求，外发包执行并释放到本地目录，安全应用环境读取操作系统地址数据，验证目标主机mac地址，获得外发包访问口令，验证用户口令合法性，验证通过则允许访问；步骤5：外发文件权限控制：安全应用环境捕获用户对外发文件的访问请求，根据外发文件策略对用户行为实施访问控制；步骤6：外发文件格式还原：安全应用环境验证文件标签安全性，重新计算并对比标签中存储的签名数据，确保标签完整性以及标签与文件的绑定关系，安全应用环境将经过标签验证的外发文件进行格式转换，将外发文件格式还原为通用文件格式；步骤7：日志审计：在外发包生成和使用过程中，将外发文件策略制定、安全应用环境创建、外发包安全性验证、外发文件权限控制这些行为进行记录审计。优选地，步骤3所创建的安全应用环境下，对于外发文件数据内容的安全防护通过调用驱动库采用操作系统的消息hook机制来实现。优选地，步骤2中：给文件创建大小为16k的标签属性存储空间，标签属性信息存储在文件头中与文件成为一体，在外发文件的全生命周期中，文件和标签存在唯一的绑定关系，文件的标签的数据结构设计如表1所示：表1标签结构标志标签保护摘要签名权限属性流转属性日志属性其中：标志：存放了文件外发管控系统的版权信息；标签保护：存放了标签摘要和对称加密算法标识；摘要签名：存放了对标签的签名算法标识签名者标识、签名值以及本次签名时间，通过标签保护属性中指定的摘要算法计算标签和文件摘要值，并通过指定的签名算法对文件摘要值进行签名，将生成的签名值存储在摘要签名属性字段中；权限属性权限属性定义了对文档进行操作的权限，权限信息即为上文中权限策略生成子模块生成的文件访问权限，权限属性数据结构定义如表2所示：表2字段名称数据类型数据长度(字节)含义operatoriduint324被授权者的标识breadbool4是否可读bwritebool4是否可写bcopybool4是否可复制bprintbool4是否可打印bprintscreenbool4是否可截屏权限属性字段中：被授权者的标识：存放被授权者的标识；读权限：为真，可对文档进行读操作；写权限：为真，可对文档进行写操作；复制权限：为真，可对文档进行复制操作；打印权限：为真，可对文档进行打印操作；截屏权限：为真，可对文档进行截屏操作；流转属性流转属性定义了在文档流转过程中发送和接收的信息，流转属性数据结构定义如表3所示：表3流转属性字段名称数据类型数据长度(字节)含义nindexuint324流转记录序号senderuint324发送者sendertimeuint324发送时间receiveruint324接收者流转属性字段中：流转记录序号：存放流转事件流水号，从1开始按自然数自动递增；发送者：存放文档发送者的标识；发送时间：存放文档发送的时间，为系统时间；接收者：存放文档接收者的信息，包括接收者标识、接收文档时间；日志属性日志属性定义了对文档操作过程中的日志信息，日志属性数据结构定义如表4所示：表4日志属性字段名称数据类型数据长度(字节)含义nindexuint324日志序号actiontypeuint324操作类型operatoriduint324操作者标识actiontimeuint324操作时间日志属性字段中：日志序号：存放操作流水号，从1开始按自然数自动递增；操作类型：存放文档操作行为的编码；操作者标识：存放操作者的标识；操作时间：存放操作时间，为系统时间。(三)有益效果本发明拟创建一个文件外发安全应用环境，通过限定外发文件只能在指定的终端通过携带的外发安全应用环境受控使用，确保外发文件的安全使用与受控流转。突破基于多维度权限约束的安全保障技术，通过安全应用环境对其可操作权限以及使用时间进行严格的控制，将所有外发文件的全部日志进行特殊格式转换后缓存，确保外发安全应用环境一旦回到文件归属网络时，日志自动回收，并在日志审计功能中实时展现。从而实现外发文件的全生命周期可管控、可审计、可追踪。附图说明图1是本发明的文件外发管控系统原理框图；图2是本发明中文件外发包生成流程图；图3是本发明中安全应用环境控制流程图；图4是本发明中访问控制子模块工作原理图。具体实施方式为使本发明的目的、内容、和优点更加清楚，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。本发明针对涉密信息系统产生的敏感信息电子文件在非安全环境中受控使用的问题，提出一种安全应用环境下的文件外发管控方案。该方法通过制作文件外发包的方式，将经过格式转换的外发文件和安全应用环境一并发送给外部合法人员，外部用户无需安装任何软件，即可直接受控使用外发包中的文件。该方法支持设置外发包中文件的阅读、复制、打印、截屏等操作权限，设置外发包与主机机器码的绑定，设置外发包口令、有效时间、阅读次数、打印次数等访问权限。外发包中的日志审计功能可记录文件外发过程中的流转范围，保障文件在传输和使用过程可管控、可追踪、可审计。本发明提出的一种安全应用环境下的文件外发管控系统原理框图如图1所示。文件外发管控系统由外发包生成模块、安全应用环境控制模块和日志审计模块组成。各模块的功能描述和工作流程具体如下：(1)外发包生成模块外发包生成模块包括权限策略生成子模块、文件格式转换子模块、安全应用环境生成子模块组成。外发包生成具体流程如图2所示：文件外发管控系统生成的外发包为可执行压缩包，外发包中包含外发文件、访问策略、安全应用环境。外发文件是由文件外发管控系统处理后添加标签并进行格式转换的文件；访问策略定义了目标用户对外发文件的可操作权限，访问策略在外发包生成时制定；安全应用环境集成了标签服务接口、驱动库文件，依据访问策略对外发文件实施访问控制和格式处理。在未安装文件外发管控系统的用户终端访问外发文件，需要通过安全应用环境实现文件的格式转换和受控使用。参考图2，权限策略生成子模块用于给外发包创建访问权限，通过用户交互界面设置外发包口令、外发包支持访问的主机mac地址，设置外发包中文件的阅读、复制、打印、截屏这些操作权限，设置文件访问有效时间、阅读次数、打印次数这些文件访问权限，文件访问权限信息作为权限属性保存至文件中。文件格式转换子模块用于给文件生成标签并将标签与文件绑定，通过数字签名保护技术确保标签完整性及标签与文件绑定关系，同时利用对称加密算法对通用格式文件进行加密处理，形成外发文件，外发文件在普通终端上打开时以乱码形式展现，从而避免了文件在外部环境中的非受控使用。文件的标签作为文件的唯一标识，是文件全生命周期授权、管控、审计的基础，确保文件创建、传输、存储、使用等过程始终处于安全可控的状态。文件的格式转换详细设计情况如下：文件格式转换子模块给文件创建大小为16k的标签属性存储空间，标签属性信息存储在文件头中与文件成为一体，在外发文件的全生命周期中，文件和标签存在唯一的绑定关系，标签只能由文件外发管控系统的标签服务插件进行处理。文件的标签的数据结构设计如表1所示。表1标签结构标志标签保护摘要签名权限属性流转属性日志属性其中：标志：存放了文件外发管控系统的版权信息。标签保护：存放了标签摘要和对称加密算法标识。摘要签名：存放了对标签的签名算法标识签名者标识、签名值以及本次签名时间。系统通过标签保护属性中指定的摘要算法计算标签和文件摘要值，并通过指定的签名算法对文件摘要值进行签名，将生成的签名值存储在摘要签名属性字段中。权限属性权限属性定义了对文档进行操作的权限，权限信息即为上文中权限策略生成子模块生成的文件访问权限。权限属性数据结构定义如表2所示：表2权限属性字段名称数据类型数据长度(字节)含义operatoriduint324被授权者的标识breadbool4是否可读bwritebool4是否可写bcopybool4是否可复制bprintbool4是否可打印bprintscreenbool4是否可截屏权限属性字段中：被授权者的标识：存放被授权者的标识；读权限：为真，可对文档进行读操作；写权限：为真，可对文档进行写操作；复制权限：为真，可对文档进行复制操作；打印权限：为真，可对文档进行打印操作；截屏权限：为真，可对文档进行截屏操作。流转属性流转属性定义了在文档流转过程中发送和接收的信息，流转属性数据结构定义如表3所示：表3流转属性字段名称数据类型数据长度(字节)含义nindexuint324流转记录序号senderuint324发送者sendertimeuint324发送时间receiveruint324接收者流转属性字段中：流转记录序号：存放流转事件流水号，从1开始按自然数自动递增；发送者：存放文档发送者的标识；发送时间：存放文档发送的时间，为系统时间；接收者：存放文档接收者的信息，包括接收者标识、接收文档时间。日志属性日志属性定义了对文档操作过程中的日志信息，日志属性数据结构定义如表4所示：表4日志属性字段名称数据类型数据长度(字节)含义nindexuint324日志序号actiontypeuint324操作类型operatoriduint324操作者标识actiontimeuint324操作时间日志属性字段中：日志序号：存放操作流水号，从1开始按自然数自动递增；操作类型：存放文档操作行为的编码；操作者标识：存放操作者的标识；操作时间：存放操作时间，为系统时间。标签与文件绑定关系的建立由文件外发管控系统的标签服务插件完成，标签完整性与绑定关系的建立流程如下：1)对文档进行摘要计算；2)将文档的摘要填充在标签体中；3)对标签中除标签完整性签名以外的所有内容计算摘要并进行签名，将此签名作为标签完整性签名置于标签头中；4)对标签及文档整体进行加密处理。安全应用环境生成子模块用于创建外发文件受控访问的外部应用环境。安全应用环境中集成了标签服务、用户操作行为捕获、文件访问权限控制等插件，依据外发文件权限策略，以驱动库的形式为外发文件提供标签验证、文件格式还原及文件访问控制等服务。(2)安全应用环境控制模块安全应用环境控制模块包括外发包验证子模块、访问控制子模块、文件验证子模块。安全应用环境控制的具体流程如图3所示：安全应用环境下，对于外发文件数据内容的安全防护通过调用驱动库采用操作系统的消息hook机制来实现。消息hook是消息处理机制的一个平台，是一个处理消息的程序段，通过系统调用，把它挂入系统。当特定的消息发出，在没有到达目的窗口前，hook程序就先捕获该消息，即先得到控制权，这时便可以加工处理或改变该消息，也可以不作处理而继续传递该消息，也可以利用hook强制结束消息的传递。在安全应用环境下，利用hook技术通过调用系统函数控制外发文件的安全，防止通过非法的阅读、复制、打印、截屏等操作造成文件内容泄露，保护文件的授权使用。外发包验证子模块用于验证目标主机mac地址以及外发包口令。该模块读取操作系统地址数据，并通过用户交互界面获得外发包访问口令，对比外发包权限策略，验证目标主机地址和外发包口令的合法性，确保外发文件的安全使用和受控流转。访问控制子模块用于捕获用户对文件的操作，读取外发包权限策略，对用户实施访问控制。若用户具备对文件特定操作类型的访问权限，则允许访问，反之当用户不具备访问权限时，则阻断用户行为，实现行为管控。访问控制子模块对文件的处理原理如图4所示，详细设计如下：访问控制子模块在内核层拦截文件操作，当用户访问外发文件时，应用线程产生的数据经过i/o管理器向文件系统驱动发送读写请求，请求到达文件系统过滤驱动时，访问控制子模块调用外发包权限策略实施访问控制。若权限符合，则文件系统过滤驱动将用户访问请求发送至存储设备驱动，完成数据读写交互；若权限不符合，则文件系统过滤驱动将强制结束传递该请求，拒绝文件读写请求。文件验证子模块用于对文件标签安全性进行验证，通过验证数字签名确保标签完整性以及标签与文件的绑定关系，同时对文件格式进行转换，将外发文件进行解密处理供用户读写。标签完整性与绑定关系验证流程如下：1)对标签及文档整体进行格式变换；2)对标签完整性签名进行验证，若验证通过，则判定标签完整可信，进入下一步，否则提示验证不通过；3)对文档进行摘要计算；4)比较此摘要与标签体内的文档摘要，若相同，则绑定关系验证通过，否则提示验证不通过。(3)日志审计模块日志审计模块用于进行外发包生成、访问过程中的行为和异常审计。外发包生成过程中，把外发文件授权、安全应用环境创建这些行为传送给日志审计模块进行记录。同时在外发包应用过程中，将文件及外发包安全性验证结果进行记录审计，将违反策略和规则的文件访问请求记录下来，便于日后统计分析和取证。日志审计模块支持读取文件标签日志属性及流转属性内容，对文件外发过程中的访问和流转情况进行分析展示。利用上述系统实现的一种安全应用环境下的文件外发管控方法，包括以下步骤：步骤1：外发文件策略生成。用户选定外发文件，发起外发包生成请求，系统弹出用户交互界面，设置外发文件的权限策略。步骤2：外发文件格式转换。系统检查外发文件状态，对普通格式文件进行格式转换，为文件创建标签信息，计算标签和文件摘要并添加数字签名保护，再将普通格式文件类型转换为特定格式文件。步骤3：文件外发包生成。系统创建外发文件受控访问的安全应用环境，将标签验证、文件格式转换、用户操作行为捕获、文件访问权限控制这些驱动库添加到应用环境中，与外发文件策略、外发文件一并压缩形成可执行的文件外发包。步骤4：外发包安全性验证。用户选中文件外发包，发起外发包访问请求，外发包执行并释放到本地目录，安全应用环境读取操作系统地址数据，验证目标主机mac地址，安全应用环境通过用户交互界面获得外发包访问口令，验证用户口令合法性，验证通过则允许访问。步骤5：外发文件权限控制。安全应用环境捕获用户对外发文件的访问请求，根据外发文件策略对用户行为实施访问控制。步骤6：外发文件格式还原。安全应用环境验证文件标签安全性，重新计算并对比标签中存储的签名数据，确保标签完整性以及标签与文件的绑定关系，安全应用环境将经过标签验证的外发文件进行格式转换，将外发文件格式还原为通用文件格式。步骤7：日志审计。在外发包生成和使用过程中，将外发文件策略制定、安全应用环境创建、外发包安全性验证、外发文件权限控制等行为进行记录审计。以上所述仅是本发明的优选实施方式，应当指出，对于本
技术领域：
的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。当前第1页12