劉振鈞， 顏亮

（中國電子科技集團公司第三十研究所，四川成都610041）

文件標簽和內容分離的管控技術研究

劉振鈞， 顏亮

（中國電子科技集團公司第三十研究所，四川成都610041）

電子文件種類多、使用廣泛，易復制和傳播，使得電子文件難以實施有效的安全管理。本文提出一種采用文件標簽和文件內容分離存放，以文件重定向技術和密碼技術使用為核心的電子文檔安全控制技術。該技術將文件實體加密存放在集中存儲服務器或其它安全存儲位置，以文件標簽作為文件實體內容的索引，在文件打開使用時自動定位文件實體并解密，能夠使電子文件易于集中管控和使用，提升信息系統(tǒng)的安全性。

電子文件;文件標簽;文件重定向技術

0 引言

在政府、企事業(yè)單位信息系統(tǒng)中有大量承載了涉密或敏感信息的電子文件，分布在信息系統(tǒng)中各個辦公終端上。電子文件在不影響工作效率地前提下實施安全管控，一直是信息系統(tǒng)安全管理員追求的目標。隨著信息安全技術的發(fā)展，文檔管控產品在最近10年陸續(xù)出現，并得到了一定程度應用。但是，在數據集中的趨勢下，基于文件透明加密技術的文檔管控產品逐漸遇到了挑戰(zhàn)。因此，適用于文件集中存儲環(huán)境，同時又能夠實現文件細粒度保護和訪問控制的解決方案，是一個非常有意義的研究課題。

1 常見文檔管控技術分析

文檔管控產品由終端安全管控技術，結合了密碼技術發(fā)展而來。一般實現三個管控目標[1］：

1）輸入輸出控制：利用外設控制、網絡接口控制、打印控制等技術，實現文件輸入輸出管控，防止文檔非授權流出。此管控目標比較容易實現，對操作終端的影響較小。該技術雖然沒有實現細粒度管控，但是仍信息系統(tǒng)安全管控不可少組成部分。

2）文件加密和訪問控制：采用與文件透明加密相同的技術，利用文件過濾驅動和密碼技術，在文件的創(chuàng)建、打開、修改、保存、關閉等環(huán)節(jié)，對文件實施操作權限判別。有效地實現了文檔基于用戶身份的管控和保護[2］。其不足主要包括以下幾個方面：

a）電子文件仍然分散在各個終端，難以統(tǒng)一管理、審計，留下了一定的安全隱患。

b）電子文件實體和密鑰都保存在終端，被破解分析的風險大;

c）文件加密密鑰以數字信封封裝在文件密文包中。當文件同時被多個操作者操作時，文件中就需要存放多份密鑰密文。

3）文檔操作行為控制：在文件級加密保護和訪問控制基礎上，進行用戶操作行為管控和防護，包括：內容拷貝、文檔另存、截屏抓圖、屏幕錄像等行為。 一般采用各種應用層Hook方式來實現。

2 文件實體分離管控技術

前面部分分析了文件加密和訪問控制的不足，本節(jié)提出了將文件的實體與文件控制權限分離的管控思路。即，將受保護電子文件加密后分離成文件標簽和文件實體密文兩個部分，文件標簽中只有文件唯一標識和部分屬性信息，用戶以及應用軟件只能直接操作到文件標簽。文件實體密文則存放在信息系統(tǒng)的安全存儲位置。信息系統(tǒng)中存儲和流轉的都是沒有實際敏感內容的標簽，當需要使用電子文件內容時，通過文件重定向驅動和調用接口，獲取文件內容。在網路條件良好的涉密信息系統(tǒng)內部，文件集中存儲在服務器中。模型如圖1所示。

圖1 電子文件分離管控模型

該模型實現的關鍵技術環(huán)節(jié)為：標簽與文件的綁定、文件重定向和透明加密、密鑰管理，以及如何與應用系統(tǒng)整合。

2.1 文件標簽與文件分離和綁定

文件標簽可以看作是文件的身份標識和索引，其核心要素是標簽全網唯一的標簽ID號。為了確保與文件的綁定關系且不被篡改，標簽應包括：文檔密文的散列、標簽頭部的HMAC。為了便于用戶訪問，標簽中還包括：實體文件名、長度、密級和訪問權限摘要等信息。

用戶創(chuàng)建或者輸入一個新文件時，內核層的過濾驅動捕獲事件，在本地產生標簽文件，而將真實的文件重定向并加密保存到安全存儲位置。產生文件標簽過程如圖2所示。

圖2 文件標簽產生過程示意圖

用戶在終端看到的標簽文件，具有真實文件的文件類型和部分屬性信息，用戶打開文件標簽時，則按照產生標簽的逆過程，授權訪問文件明文的進程(一般是文件的操作軟件，如：WORD等），通過內核層的軟件，重定向到安全存儲位置獲取文件并解密。

當用戶向其他一個或多個用戶發(fā)生文件時，文件傳輸應用軟件由于沒有獲取文件明文的權限，發(fā)送出去的僅僅是文件的標簽。接收者用在打開獲取到的文件標簽時，控制程序根據用戶的身份和標簽ID，獲取使用者權限和密鑰。非授權用戶無法獲取響應的密鑰及權限，無法獲取文件實體內容。

在本模型中，文檔訪問控制權限和密鑰等信息保存在網絡中的標簽管理服務器中，而非本機磁盤或與文檔標簽綁定。當電子文件流轉時，可以很方便的共享文件保護密鑰。

2.2 文件重定向和透明加密技術

在前述文件標簽與文件的綁定中，已經提及了文件重定向技術：使用文件標簽作為真實文件展示給有加解密權限應用程序的替身，將替身文件句柄返回給應用程序。過濾驅動程序中在替身文件打開完成后再打開目標文件，建立替身文件對象與目標文件對象的映射關系。文件請求操作根據各個IRP的替身文件信息查找到安全存儲位置的真實文件，并轉向真實文件操作的方式實現文件定向和透明加解密。工作原理如圖3所示[3］。

圖3 文件透明加密原理示意圖

文件操作者像操作普通文檔一樣正常操作電子文件，操作系統(tǒng)底層以及網絡中各個服務器的工作不會被用戶感知的情況下，文件加密存儲在安全存儲位置，而文件的密鑰則由標簽管理服務器維護。因此，不僅終端的文件標簽失控不會影響數據安全，安全存儲位置的實體文件失控，也因為沒有保護密鑰，而無法解密。

2.3 密鑰管理

密碼技術是標簽與文件綁定、文件加密的核心技術。密鑰產

生、密鑰分發(fā)和密鑰更換機制是本技術研究是否有實用價值的關鍵。密鑰管理包括密鑰設計、密鑰使用、密鑰分發(fā)機制和密鑰更新四個方面。

(1）密鑰設計

電子文件綁定和透明加密使用了非對稱密碼算法和對稱密碼算法，相應的也需要使用到兩種密鑰。

1）非對稱密鑰：文檔操作者應具有代表個人身份的證書和公鑰。實現電子文件安全管控，必須應利用數字證書系統(tǒng)，管理和發(fā)布信息系統(tǒng)內數字證書。操作者驗證他人產生的電子文檔時，還需利用證書系統(tǒng)的證書發(fā)布機制或其他手段，獲取相應的證書。

2）文件加密密鑰：文件加密密鑰在標簽管理服務器預先產生并保存。提前下發(fā)一定量到各終端。終端產生文件標簽時選用密鑰，并將密鑰和文件標簽的綁定關系上報到標簽管理服務器。

(2）密鑰使用

1）非對稱密鑰的使用：標簽創(chuàng)建時，使用操作者私鑰對標簽及實體文件密文整體簽名，確保文件的真實性。打開文件時，用創(chuàng)建者公鑰驗證簽名，確認文件是否被篡改。

2）文件加密密鑰的使用：文件加密密鑰由標簽管理服務器統(tǒng)一預產生，分配到各個終端(采用使用者公鑰保護下發(fā)）。使用后，終端上報密鑰和標簽的綁定使用關系。終端僅緩存密鑰，關機后密鑰及自動清除，排除了密鑰使用的安全應還。

(3）密鑰分發(fā)機制

本文在分析現有文檔管控技術不足時，分析了文檔與密鑰打包在一起的不足。但是，也不可忽視這種方式的優(yōu)點：密鑰與文檔一起遞送，沒有獲取密鑰的時間消耗。規(guī)避這個時間消耗，也是本文技術研究的一個要點。采用預先獲取的方式，可以有效的解決此問題：終端開機啟動后，即自動獲取本終端(用戶）所需使用文件加密密鑰，暫存在終端內存中。由于密鑰均被公鑰加密保護，一次大量獲取并暫存，不會帶來安全風險，但是卻提升了使用感受。

當操作者將文件標簽發(fā)送給其他操作者后，有權限的操作者能夠自動從標簽管理服務器獲取到文件的加密密鑰。不具有權限的操作者，即使獲得了文件標簽，并且通過其他手段獲取了文件實體的密文，也由于無法獲取響應的密鑰，無法解密文件。

(4）密鑰更新

用戶持續(xù)操作一份電子文件時，電子文件的標簽ID不會改變，文件的加密密鑰也不會更新。但是，其他用戶修改文檔后，文檔的所有權屬性發(fā)生變化，修改的文檔會產生新的標簽(標簽管理服務器保存有前后關系），則應使用新的文件加密密鑰。

上述密鑰管理機制描述了一種合理、安全的密鑰使用方式，可以確保電子文件高效可靠的實施機密性和真實性保護。

2.4 應用整合機制

使用電子文件的應用大致可歸為兩類：文件傳輸類和文件在線使用類。針對安全應用整合的需求，標簽管理服務器的Web Service接口提供文件權限配置、數據獲取解析的接口。

在控制和內容分離的技術思想下，文件傳輸類應用直接傳輸文件的標簽，在終端打開文檔時實施管控和透明加解密。此類應用整合需求為：在應用的業(yè)務流程中完成文件授權。譬如，授權的郵件系統(tǒng)在發(fā)送文件時，即隱含了對郵件接收者的文件使用授權。因此，標簽管理服務器針對授權的應用，提供文件授權的WebService接口。

文件在線使用類應用包括電子文檔在線閱讀、音視頻文件在線播放等功能。一般由應用實施訪問控制，在Web服務器后臺解析文件。因此標簽管理服務器針對授權的應用，提供根據標簽獲取文件明文的Web Service接口。

2.5 其他

本文前面部分論述了本技術的關鍵點，但是，設計一個完整安全管控產品，還應該提供以下功能：

文檔策略控制：包括缺省策略和自定義策略配置;

統(tǒng)計和分析：統(tǒng)計信息系統(tǒng)中電子文件的各種數量、安全狀態(tài)、安全事件等。

2.6 優(yōu)缺點分析

文件標簽和文件實體內容分離的文檔管控技術與傳統(tǒng)的整體管控有以下優(yōu)點和不足。

1）分離式管控技術可以確保受控文檔靜態(tài)存儲于指定的安全存儲位置。系統(tǒng)中文檔狀態(tài)可控性高，便于管理、審計和應急處理。也便于未來應用系統(tǒng)向集中存儲和企業(yè)云環(huán)境遷移。

2） 在使用IFS網絡集中存儲解決方案中，利用本技術在存儲服務器進行透明加解密，可以充分利用服務器段更高的密碼運算能力，解決終端密碼運算能力不足的問題。

文件標簽和文件實體內容分離的文檔管控技術主要不足在于過于依賴網絡條件。信息系統(tǒng)內部的辦公處理等業(yè)務一般在局域網內部，主要影響性能的問題有兩個方面：檢索文件內容時的時延、文件傳輸和加解密效率。在工程實現時，采用預讀方式在一定程度上可以減少檢索文件實體內容的時延。而文件傳輸和透明加解密的效率，則取決于網絡帶寬和密碼運算的能力。經測試，在千兆局域網中，終端具備20Mbps以上的密碼運算能力，可保證一般的文件操作流暢，用戶不會明顯感覺到卡頓和延時。

對于跨地域的應用，則需要通過分布式部署標簽管理服務器和文件集中存儲服務器的系統(tǒng)解決方案來解決。

3 結語

本文以文件標簽和實體文件分離存放為核心思想，以標簽、密鑰、權限在線管理服務為輔助手段，以終端內核驅動實現文檔的安全管控和加密保護為落腳點，考慮了終端和應用系統(tǒng)不同使用方式，提出了一套電子文件綜合管控方案，可實現電子文件集中和安全管理。為研制適合部署在數據集中環(huán)境的電子文件安全管控和管理產品奠定了基礎。

[1］陳祥潘，樂文斌.TIPTOP 涉密文檔違規(guī)處理系統(tǒng)的解決案例[J］.信息安全與通信保密，2011(1）：90-91.

[2］陳尚義.透明加解密技術及其應用[J］.信息安全與通信保密，2007(11）：75-77.

[3］譚文.Windows 內 核 安 全 編 程[M］ .北 京：電 子 工 業(yè) 出 版 社，2009.

Control Technology of Electronic Files Tab and Content Separation

LIU Zhen-jun，YAN Liang
(No.30 Institute of CETC， Chengdu Sichuan 610041， China）

Electronic files enjoy the features of infinite variety，widespread use， easy copying and transmission， thus resulting in their difficult safety management.An e-file security control technology is proposed，in which，with files redirection and encryption as the core technologies， the file tabs and contents are isolatedly stored.Through this technology， files entity are encrypted and stored in centralized storage server or other secure place.With file tabs as the content index of files entity，the file is automatically located and decoded when opened.This technology makes electronic files easily controllable and manageable， and thus greatly enhances the security of information system.

electronic file;file tab;file redirection technology

TP309

］A

1009-8054(2015)03-0073-03

劉振鈞(1974—），男，碩士，高級工程師，主要研究方向為信息安全;

2014-12-20

顏 亮(1980—），男，本科，工程師，主要研究方向為信息安全?！?/p>