金彥旭　毛正雄　何映軍等

關(guān)鍵詞：虛擬容器；數(shù)字水印；加密電子文檔；保護機制

中圖法分類號：TP309 文獻標識碼：A

對于加密電子文檔而言，相關(guān)信息內(nèi)容十分重要，需要采取必要的保護措施，以避免相關(guān)信息內(nèi)容被竊取而帶來不可預計的損失。傳統(tǒng)保護加密電子文檔的主要方式是利用防水墻，然而防水墻的具體部署位置分布在各個客戶端的計算機內(nèi)，并存在眾多問題。比如，當防水墻存在漏洞時，可能會繞過防水墻，以底層操作系統(tǒng)為依據(jù)，此時通常會采用技術(shù)手段關(guān)閉系統(tǒng)內(nèi)核，使防水墻失效。防水墻安全防護策略以及具體配置復雜性極高，當實際應(yīng)用場景發(fā)生變化時，無法確保制定的安全防護機制具有較高的統(tǒng)一性，特別是在保護策略改變之后，經(jīng)常出現(xiàn)失效現(xiàn)象。在傳統(tǒng)加密電子文檔保護方法中，電子文檔加密儲存方法可以對文檔的非法拷貝、復制進行控制，文檔數(shù)字水印技術(shù)可以對加密電子文檔的截屏和拍照設(shè)置權(quán)限，甚至能夠?qū)π姑茉搭^進行追溯。而以虛擬容器和數(shù)字水印為基礎(chǔ)的加密電子文檔保護機制不僅能夠有效控制加密電子文檔的非法拷貝、復制、截屏、拍照行為，而且在保護機制失效后，依然能夠保護加密電子文檔的安全。

1以虛擬容器與數(shù)字水印為基礎(chǔ)的加密電子文檔保護機制核心技術(shù)

1.1虛擬容器技術(shù)

作為一種全新的虛擬化技術(shù).Docker能夠為系統(tǒng)提供一個內(nèi)容簡單、可用性較高的容器接口，可以將依賴項以及具體應(yīng)用程序打包，轉(zhuǎn)變成一個具體文件：該文件在運行過程中，會自動生成對應(yīng)的虛擬容器：在該虛擬容器中，能夠為相關(guān)程序的運行提供一個類似于物理機器的運作流程?？蛻舳送ㄟ^自主創(chuàng)建容器和使用容器，并將具體應(yīng)用程序放人對應(yīng)容器中，進而對容器的版本進行復制、共享。

通常情況下，Docker主要包括3個基本概念，即鏡像、容器、倉庫。其中，鏡像類似于一個具有較高完整性的文件系統(tǒng)，該系統(tǒng)包含操作功能，不僅能夠?qū)⒊绦颉①Y源、庫、配置文件提供給容器，而且能為容器的正常運行準備對應(yīng)的配置參數(shù)：對于容器而言，則是鏡像以實體狀態(tài)運行的具體表現(xiàn)，具體內(nèi)容包括創(chuàng)建容器、啟動容器、停運容器、刪除容器、暫停容器等。容器不僅能夠創(chuàng)建獨立的命名空間，而且能在該空間中運行各項進程，相關(guān)進程通常會在隔離環(huán)境中運行，具體運行狀態(tài)與系統(tǒng)在獨立主機環(huán)境中的運行模式高度相似。該功能能夠使容器封裝的應(yīng)用程序比值具有較高安全性，甚至高于在主機中的運行安全等級。

本文通過對Docker虛擬技術(shù)的利用，對容器進行構(gòu)建與部署，并且在Docker容器中存放加密電子文檔，借助Docker容器的各項功能，對加密電子文檔進行靈活應(yīng)用，從而使加密電子文檔的各項訪問途徑和措施具有較高的安全性：Docker容器與加密電子文檔服務(wù)器接口之間具有交互性特征，能夠為快速、準確獲取加密內(nèi)容提供幫助。當客戶端獲得加密電子文檔后，便可在Docker容器中對加密電子文檔進行解密，將數(shù)字水印添加到文檔中，對客戶端的具體使用行為進行實時監(jiān)控，并將相關(guān)內(nèi)容生成日志進行保存。

1.2數(shù)字水印技術(shù)

為了避免出現(xiàn)利用打印、截圖、拍照等方法竊取加密電子文檔的情況，可以將數(shù)字水印嵌入加密電子文檔，從而精準定位文檔泄漏點，對侵權(quán)行為進行追蹤。通常情況下，文檔數(shù)字水印技術(shù)的使用方案包括3個類型，即以文本結(jié)構(gòu)為基礎(chǔ)、以語法和語義為基礎(chǔ)、以隨機或統(tǒng)計為基礎(chǔ)。

在以文本結(jié)構(gòu)為基礎(chǔ)的文檔數(shù)字水印技術(shù)中，將水印嵌入文檔格式中，實際是以Word文檔格式中未使用的空間為依據(jù)進行實現(xiàn)，也可以利用PDF格式中“行為標識符不顯示”這一特征，因此，其能夠確保水印信息準確嵌入加密電子文檔。本文選取第2種方式為加密電子文檔添加水印信息，首先，對水印信息進行轉(zhuǎn)化，使其以二進制數(shù)據(jù)流的狀態(tài)呈現(xiàn)，如“100 110”；然后，對PDF文檔進行解析，獲取交叉引用；接著，將每行的二進制數(shù)據(jù)流末端標識符修改為“＼r＼n”，只有當出現(xiàn)的二進制信息為1時，才應(yīng)該將每行的末端標識符修改為“＼n”，否則不變；最后，將末端標識符修改之后的內(nèi)容生成一個全新文檔，并將水印信息嵌入新文檔。

1.3水印嵌入算法

在水印生成法的作用下，原始水印信息順利嵌入水印序列中，借助Word接口，利用具有良好魯棒性特征的定位算法，對可以嵌入水印信息的字符位置進行精準判斷。定位算法主要是通過對二次剩余原理的充分利用，將當前嵌入字符序列號中的偽隨機函數(shù)轉(zhuǎn)變成一個具體數(shù)字，并且經(jīng)由密鑰運算，得到一個奇素數(shù)。在對具體數(shù)字是否為該奇素數(shù)的二次剩余進行判斷時，可以利用歐拉判別法，結(jié)合最終判斷結(jié)果，選擇是否在水印信息中嵌入該字符顏色。為了確保定位算法的魯棒性得到有效提升，應(yīng)該循環(huán)開展水印嵌入過程。結(jié)合加密電子文檔文本總字數(shù)與待嵌入水印長度之間的比值關(guān)系，具體水印嵌入輪數(shù)由嵌入算法自適應(yīng)決定，通常不超過5輪。

1.4自適應(yīng)水印嵌入方法

在初始化文本T中，i=1，sn=1，對字符RGB分量信息進行統(tǒng)一調(diào)整：在此過程中，還要對文本T與水印序列W的比值關(guān)系進行計算與預處理，將其系數(shù)定義為μ，得到的計算式為：

M =α·len/count（T）

式中，α代表的是系數(shù)因子，coun，t代表的是計算字符個數(shù)對應(yīng)的函數(shù)。根據(jù)μ的取值，設(shè)定嵌入輪數(shù)n。得到：Ifμ∈[0，0.2]

then n：=5;Ifμ∈[0.2，0.25] thenn：=4; Ifμ∈[0.25，0.33]then n：=3;Ifμ∈[0.33，0.5] then n：=2;Ifμ∈[0.5，1]then n：=1.

2加密電子文檔保護機制的構(gòu)建與實現(xiàn)流程

2.1利用Docker容器保護加密電子文檔

為了確保保護加密電子文檔的目標得到有效實現(xiàn)，首先，要結(jié)合加密電子文檔的特點，建立對應(yīng)的Docker容器。本文Docker容器主要分為4個功能模塊：第1個模塊包括安全防護策略和安全防護功能的配置接口，第2個模塊包括數(shù)字水印技術(shù)保護功能，第3個模塊包括Docker容器與加密電子文檔服務(wù)器的交互接口，第4個模塊包括客戶端使用行為監(jiān)控系統(tǒng)以及系統(tǒng)日志。

通過使用安全防護策略與安全防護功能的配置接口，能夠?qū)ocker容器中實現(xiàn)加密文件保護功能的具體方式進行優(yōu)化配置：在數(shù)字水印技術(shù)保護功能模塊中，通過將數(shù)字水印添加到加密電子文檔中，可以使加密電子文檔的版權(quán)得到有效保護，并且在加密電子文檔發(fā)生泄漏問題時，能夠準確找到泄漏點：在Docker容器與加密電子文檔服務(wù)器交互接口中，不僅能對客戶端的身份是否滿足訪問權(quán)限要求進行判斷，而且能對加密電子文檔進行加密傳輸和解密操作：在客戶端使用行為監(jiān)督模塊中.Docker容器能夠?qū)蛻舳耸褂眉用茈娮游臋n的時間和內(nèi)容等行為進行實時監(jiān)控，并將相關(guān)內(nèi)容生成日志，為后期審計工作和查詢工作的有效開展做好準備。

2.2加密電子文檔保護機制的架構(gòu)

本文加密電子文檔保護機制以虛擬容器和數(shù)字水印技術(shù)為基礎(chǔ)，主要分為3個方面，即安全屬性與策略管理、Docker容器、客戶端，并從這3個方面落實各項保護措施，使加密電子文檔在具有較高安全性的環(huán)境下能夠正常使用。

安全屬性與策略管理是加密電子文件保護機制構(gòu)架的最高層，能夠結(jié)合實際情況對各種加密電子文檔安全保護策略進行優(yōu)化配置，不僅能建立健全文檔保護機制中的訪客身份認證機制，而且能對訪客身份和加密電子文檔使用許可策略進行統(tǒng)籌規(guī)劃，是加密電子文檔保護機制的核心控制機構(gòu)：Docker容器能夠為加密電子文檔安全防護功能的充分實現(xiàn)提供保障，在保護機制構(gòu)架中，其具有核心地位。在Docker容器中，發(fā)揮加密電子文檔安全功能的是大量部署在客戶端機器中的動態(tài)虛擬容器：客戶端不僅能對用戶的身份進行驗證，而且能在Docker容器中下載容器鏡像，并使其具有啟動鏡像和運行鏡像的功能。

2.3加密電子文檔保護機制的實現(xiàn)流程

本文以虛擬容器和數(shù)字水印技術(shù)為基礎(chǔ)的加密電子文檔保護機制主要由4個部分組成，即客戶端、安全屬性與策略管理、Docker容器層、加密文檔服務(wù)器。結(jié)合實際需求，將這4個部分進行交互整合，從而使保護機制具有的功能得到充分實現(xiàn)，具體流程如下。

（1）客戶端在查閱加密電子文檔的過程中，首先，要將自身的身份認證請求發(fā)送給系統(tǒng)安全屬性與策略管理模塊，由安全屬性與策略管理模塊對客戶端的身份是否符合加密電子文檔查閱要求進行判斷，并將最終認證結(jié)果發(fā)送到客戶端。（2）當客戶端身份請求認證成功后，客戶端還應(yīng)該再次將使用請求發(fā)送到系統(tǒng)的安全屬性與安全策略管理模塊中，具體請求主要包括需要查閱的加密電子文檔信息內(nèi)容、具體查閱方法等?？蛻舳耸欠駬碛袑?yīng)加密電子文檔的使用權(quán)限，則由系統(tǒng)策略管理模塊進行判斷。（3）當客戶端的使用請求通過后，由系統(tǒng)策略管理模塊將使用許可發(fā)送至客戶端，并結(jié)合預配置的加密電子文檔使用方法，為客戶端可以使用的Docker鏡像進行指定和配置。（4）當客戶端獲得系統(tǒng)指定并配置好的Docker鏡像后，便可正式啟動運行Docker容器，按照配置好的參數(shù)要求啟動后，便可將訪問請求發(fā)送給加密電子文檔服務(wù)器，從而獲取加密內(nèi)容。（5）在得到加密電子文檔后，Docker容器便可利用配置參數(shù)對加密電子文檔進行解密處理，并將數(shù)字水印嵌入其中，向客戶端提供服務(wù)?？蛻舳藙t利用Docker容器的各項功能，結(jié)合自身實際需求，對加密電子文檔進行靈活使用。在此過程中，Docker容器對客戶端使用加密電子文檔的全過程進行安全控制，并對客戶端的使用行為進行實時監(jiān)控。

3結(jié)束語

本文介紹了一種以虛擬容器和數(shù)字誰為基礎(chǔ)的加密電子文檔保護機制，通過對Docker虛擬技術(shù)相關(guān)功能的充分利用，對客戶端訪問加密電子文檔的行為進行控制。在此基礎(chǔ)上，借助數(shù)字水印技術(shù)，將水印嵌入加密電子文檔中，從而在文檔泄漏后，能夠通過水印追溯到泄漏點，對侵權(quán)行為進行跟蹤。由于Docker虛擬技術(shù)具有較強的封閉性和隔離性，能夠利用其中的配置策略，對加密電子文檔進行保護，以避免客戶端利用漏洞繞過預先設(shè)定的加密電子文檔安全防護策略，從而確保Docker容器接收到加密電子文檔后才會解密。即使Docker容器被惡意攻擊失去效能，依然會對加密電子文檔進行保護，因此，加強對該技術(shù)的進一步探索與實踐，能夠為全面提高我國網(wǎng)絡(luò)環(huán)境安全水平奠定堅實基礎(chǔ)。

作者簡介：

金彥旭（1995—），碩士，助理工程師，研究方向：云計算技術(shù)。