金彥旭　毛正雄　何映軍等

關(guān)鍵詞：虛擬容器；數(shù)字水印；加密電子文檔；保護(hù)機(jī)制

中圖法分類號：TP309 文獻(xiàn)標(biāo)識碼：A

對于加密電子文檔而言，相關(guān)信息內(nèi)容十分重要，需要采取必要的保護(hù)措施，以避免相關(guān)信息內(nèi)容被竊取而帶來不可預(yù)計的損失。傳統(tǒng)保護(hù)加密電子文檔的主要方式是利用防水墻，然而防水墻的具體部署位置分布在各個客戶端的計算機(jī)內(nèi)，并存在眾多問題。比如，當(dāng)防水墻存在漏洞時，可能會繞過防水墻，以底層操作系統(tǒng)為依據(jù)，此時通常會采用技術(shù)手段關(guān)閉系統(tǒng)內(nèi)核，使防水墻失效。防水墻安全防護(hù)策略以及具體配置復(fù)雜性極高，當(dāng)實(shí)際應(yīng)用場景發(fā)生變化時，無法確保制定的安全防護(hù)機(jī)制具有較高的統(tǒng)一性，特別是在保護(hù)策略改變之后，經(jīng)常出現(xiàn)失效現(xiàn)象。在傳統(tǒng)加密電子文檔保護(hù)方法中，電子文檔加密儲存方法可以對文檔的非法拷貝、復(fù)制進(jìn)行控制，文檔數(shù)字水印技術(shù)可以對加密電子文檔的截屏和拍照設(shè)置權(quán)限，甚至能夠?qū)π姑茉搭^進(jìn)行追溯。而以虛擬容器和數(shù)字水印為基礎(chǔ)的加密電子文檔保護(hù)機(jī)制不僅能夠有效控制加密電子文檔的非法拷貝、復(fù)制、截屏、拍照行為，而且在保護(hù)機(jī)制失效后，依然能夠保護(hù)加密電子文檔的安全。

1以虛擬容器與數(shù)字水印為基礎(chǔ)的加密電子文檔保護(hù)機(jī)制核心技術(shù)

1.1虛擬容器技術(shù)

作為一種全新的虛擬化技術(shù).Docker能夠?yàn)橄到y(tǒng)提供一個內(nèi)容簡單、可用性較高的容器接口，可以將依賴項以及具體應(yīng)用程序打包，轉(zhuǎn)變成一個具體文件：該文件在運(yùn)行過程中，會自動生成對應(yīng)的虛擬容器：在該虛擬容器中，能夠?yàn)橄嚓P(guān)程序的運(yùn)行提供一個類似于物理機(jī)器的運(yùn)作流程。客戶端通過自主創(chuàng)建容器和使用容器，并將具體應(yīng)用程序放人對應(yīng)容器中，進(jìn)而對容器的版本進(jìn)行復(fù)制、共享。

通常情況下，Docker主要包括3個基本概念，即鏡像、容器、倉庫。其中，鏡像類似于一個具有較高完整性的文件系統(tǒng)，該系統(tǒng)包含操作功能，不僅能夠?qū)⒊绦?、資源、庫、配置文件提供給容器，而且能為容器的正常運(yùn)行準(zhǔn)備對應(yīng)的配置參數(shù)：對于容器而言，則是鏡像以實(shí)體狀態(tài)運(yùn)行的具體表現(xiàn)，具體內(nèi)容包括創(chuàng)建容器、啟動容器、停運(yùn)容器、刪除容器、暫停容器等。容器不僅能夠創(chuàng)建獨(dú)立的命名空間，而且能在該空間中運(yùn)行各項進(jìn)程，相關(guān)進(jìn)程通常會在隔離環(huán)境中運(yùn)行，具體運(yùn)行狀態(tài)與系統(tǒng)在獨(dú)立主機(jī)環(huán)境中的運(yùn)行模式高度相似。該功能能夠使容器封裝的應(yīng)用程序比值具有較高安全性，甚至高于在主機(jī)中的運(yùn)行安全等級。

本文通過對Docker虛擬技術(shù)的利用，對容器進(jìn)行構(gòu)建與部署，并且在Docker容器中存放加密電子文檔，借助Docker容器的各項功能，對加密電子文檔進(jìn)行靈活應(yīng)用，從而使加密電子文檔的各項訪問途徑和措施具有較高的安全性：Docker容器與加密電子文檔服務(wù)器接口之間具有交互性特征，能夠?yàn)榭焖佟?zhǔn)確獲取加密內(nèi)容提供幫助。當(dāng)客戶端獲得加密電子文檔后，便可在Docker容器中對加密電子文檔進(jìn)行解密，將數(shù)字水印添加到文檔中，對客戶端的具體使用行為進(jìn)行實(shí)時監(jiān)控，并將相關(guān)內(nèi)容生成日志進(jìn)行保存。

1.2數(shù)字水印技術(shù)

為了避免出現(xiàn)利用打印、截圖、拍照等方法竊取加密電子文檔的情況，可以將數(shù)字水印嵌入加密電子文檔，從而精準(zhǔn)定位文檔泄漏點(diǎn)，對侵權(quán)行為進(jìn)行追蹤。通常情況下，文檔數(shù)字水印技術(shù)的使用方案包括3個類型，即以文本結(jié)構(gòu)為基礎(chǔ)、以語法和語義為基礎(chǔ)、以隨機(jī)或統(tǒng)計為基礎(chǔ)。

在以文本結(jié)構(gòu)為基礎(chǔ)的文檔數(shù)字水印技術(shù)中，將水印嵌入文檔格式中，實(shí)際是以Word文檔格式中未使用的空間為依據(jù)進(jìn)行實(shí)現(xiàn)，也可以利用PDF格式中“行為標(biāo)識符不顯示”這一特征，因此，其能夠確保水印信息準(zhǔn)確嵌入加密電子文檔。本文選取第2種方式為加密電子文檔添加水印信息，首先，對水印信息進(jìn)行轉(zhuǎn)化，使其以二進(jìn)制數(shù)據(jù)流的狀態(tài)呈現(xiàn)，如“100 110”；然后，對PDF文檔進(jìn)行解析，獲取交叉引用；接著，將每行的二進(jìn)制數(shù)據(jù)流末端標(biāo)識符修改為“＼r＼n”，只有當(dāng)出現(xiàn)的二進(jìn)制信息為1時，才應(yīng)該將每行的末端標(biāo)識符修改為“＼n”，否則不變；最后，將末端標(biāo)識符修改之后的內(nèi)容生成一個全新文檔，并將水印信息嵌入新文檔。

1.3水印嵌入算法

在水印生成法的作用下，原始水印信息順利嵌入水印序列中，借助Word接口，利用具有良好魯棒性特征的定位算法，對可以嵌入水印信息的字符位置進(jìn)行精準(zhǔn)判斷。定位算法主要是通過對二次剩余原理的充分利用，將當(dāng)前嵌入字符序列號中的偽隨機(jī)函數(shù)轉(zhuǎn)變成一個具體數(shù)字，并且經(jīng)由密鑰運(yùn)算，得到一個奇素數(shù)。在對具體數(shù)字是否為該奇素數(shù)的二次剩余進(jìn)行判斷時，可以利用歐拉判別法，結(jié)合最終判斷結(jié)果，選擇是否在水印信息中嵌入該字符顏色。為了確保定位算法的魯棒性得到有效提升，應(yīng)該循環(huán)開展水印嵌入過程。結(jié)合加密電子文檔文本總字?jǐn)?shù)與待嵌入水印長度之間的比值關(guān)系，具體水印嵌入輪數(shù)由嵌入算法自適應(yīng)決定，通常不超過5輪。

1.4自適應(yīng)水印嵌入方法

在初始化文本T中，i=1，sn=1，對字符RGB分量信息進(jìn)行統(tǒng)一調(diào)整：在此過程中，還要對文本T與水印序列W的比值關(guān)系進(jìn)行計算與預(yù)處理，將其系數(shù)定義為μ，得到的計算式為：

M =α·len/count（T）

式中，α代表的是系數(shù)因子，coun，t代表的是計算字符個數(shù)對應(yīng)的函數(shù)。根據(jù)μ的取值，設(shè)定嵌入輪數(shù)n。得到：Ifμ∈[0，0.2]

then n：=5;Ifμ∈[0.2，0.25] thenn：=4; Ifμ∈[0.25，0.33]then n：=3;Ifμ∈[0.33，0.5] then n：=2;Ifμ∈[0.5，1]then n：=1.

2加密電子文檔保護(hù)機(jī)制的構(gòu)建與實(shí)現(xiàn)流程

2.1利用Docker容器保護(hù)加密電子文檔

為了確保保護(hù)加密電子文檔的目標(biāo)得到有效實(shí)現(xiàn)，首先，要結(jié)合加密電子文檔的特點(diǎn)，建立對應(yīng)的Docker容器。本文Docker容器主要分為4個功能模塊：第1個模塊包括安全防護(hù)策略和安全防護(hù)功能的配置接口，第2個模塊包括數(shù)字水印技術(shù)保護(hù)功能，第3個模塊包括Docker容器與加密電子文檔服務(wù)器的交互接口，第4個模塊包括客戶端使用行為監(jiān)控系統(tǒng)以及系統(tǒng)日志。

通過使用安全防護(hù)策略與安全防護(hù)功能的配置接口，能夠?qū)ocker容器中實(shí)現(xiàn)加密文件保護(hù)功能的具體方式進(jìn)行優(yōu)化配置：在數(shù)字水印技術(shù)保護(hù)功能模塊中，通過將數(shù)字水印添加到加密電子文檔中，可以使加密電子文檔的版權(quán)得到有效保護(hù)，并且在加密電子文檔發(fā)生泄漏問題時，能夠準(zhǔn)確找到泄漏點(diǎn)：在Docker容器與加密電子文檔服務(wù)器交互接口中，不僅能對客戶端的身份是否滿足訪問權(quán)限要求進(jìn)行判斷，而且能對加密電子文檔進(jìn)行加密傳輸和解密操作：在客戶端使用行為監(jiān)督模塊中.Docker容器能夠?qū)蛻舳耸褂眉用茈娮游臋n的時間和內(nèi)容等行為進(jìn)行實(shí)時監(jiān)控，并將相關(guān)內(nèi)容生成日志，為后期審計工作和查詢工作的有效開展做好準(zhǔn)備。

2.2加密電子文檔保護(hù)機(jī)制的架構(gòu)

本文加密電子文檔保護(hù)機(jī)制以虛擬容器和數(shù)字水印技術(shù)為基礎(chǔ)，主要分為3個方面，即安全屬性與策略管理、Docker容器、客戶端，并從這3個方面落實(shí)各項保護(hù)措施，使加密電子文檔在具有較高安全性的環(huán)境下能夠正常使用。

安全屬性與策略管理是加密電子文件保護(hù)機(jī)制構(gòu)架的最高層，能夠結(jié)合實(shí)際情況對各種加密電子文檔安全保護(hù)策略進(jìn)行優(yōu)化配置，不僅能建立健全文檔保護(hù)機(jī)制中的訪客身份認(rèn)證機(jī)制，而且能對訪客身份和加密電子文檔使用許可策略進(jìn)行統(tǒng)籌規(guī)劃，是加密電子文檔保護(hù)機(jī)制的核心控制機(jī)構(gòu)：Docker容器能夠?yàn)榧用茈娮游臋n安全防護(hù)功能的充分實(shí)現(xiàn)提供保障，在保護(hù)機(jī)制構(gòu)架中，其具有核心地位。在Docker容器中，發(fā)揮加密電子文檔安全功能的是大量部署在客戶端機(jī)器中的動態(tài)虛擬容器：客戶端不僅能對用戶的身份進(jìn)行驗(yàn)證，而且能在Docker容器中下載容器鏡像，并使其具有啟動鏡像和運(yùn)行鏡像的功能。

2.3加密電子文檔保護(hù)機(jī)制的實(shí)現(xiàn)流程

本文以虛擬容器和數(shù)字水印技術(shù)為基礎(chǔ)的加密電子文檔保護(hù)機(jī)制主要由4個部分組成，即客戶端、安全屬性與策略管理、Docker容器層、加密文檔服務(wù)器。結(jié)合實(shí)際需求，將這4個部分進(jìn)行交互整合，從而使保護(hù)機(jī)制具有的功能得到充分實(shí)現(xiàn)，具體流程如下。

（1）客戶端在查閱加密電子文檔的過程中，首先，要將自身的身份認(rèn)證請求發(fā)送給系統(tǒng)安全屬性與策略管理模塊，由安全屬性與策略管理模塊對客戶端的身份是否符合加密電子文檔查閱要求進(jìn)行判斷，并將最終認(rèn)證結(jié)果發(fā)送到客戶端。（2）當(dāng)客戶端身份請求認(rèn)證成功后，客戶端還應(yīng)該再次將使用請求發(fā)送到系統(tǒng)的安全屬性與安全策略管理模塊中，具體請求主要包括需要查閱的加密電子文檔信息內(nèi)容、具體查閱方法等。客戶端是否擁有對應(yīng)加密電子文檔的使用權(quán)限，則由系統(tǒng)策略管理模塊進(jìn)行判斷。（3）當(dāng)客戶端的使用請求通過后，由系統(tǒng)策略管理模塊將使用許可發(fā)送至客戶端，并結(jié)合預(yù)配置的加密電子文檔使用方法，為客戶端可以使用的Docker鏡像進(jìn)行指定和配置。（4）當(dāng)客戶端獲得系統(tǒng)指定并配置好的Docker鏡像后，便可正式啟動運(yùn)行Docker容器，按照配置好的參數(shù)要求啟動后，便可將訪問請求發(fā)送給加密電子文檔服務(wù)器，從而獲取加密內(nèi)容。（5）在得到加密電子文檔后，Docker容器便可利用配置參數(shù)對加密電子文檔進(jìn)行解密處理，并將數(shù)字水印嵌入其中，向客戶端提供服務(wù)?？蛻舳藙t利用Docker容器的各項功能，結(jié)合自身實(shí)際需求，對加密電子文檔進(jìn)行靈活使用。在此過程中，Docker容器對客戶端使用加密電子文檔的全過程進(jìn)行安全控制，并對客戶端的使用行為進(jìn)行實(shí)時監(jiān)控。

3結(jié)束語

本文介紹了一種以虛擬容器和數(shù)字誰為基礎(chǔ)的加密電子文檔保護(hù)機(jī)制，通過對Docker虛擬技術(shù)相關(guān)功能的充分利用，對客戶端訪問加密電子文檔的行為進(jìn)行控制。在此基礎(chǔ)上，借助數(shù)字水印技術(shù)，將水印嵌入加密電子文檔中，從而在文檔泄漏后，能夠通過水印追溯到泄漏點(diǎn)，對侵權(quán)行為進(jìn)行跟蹤。由于Docker虛擬技術(shù)具有較強(qiáng)的封閉性和隔離性，能夠利用其中的配置策略，對加密電子文檔進(jìn)行保護(hù)，以避免客戶端利用漏洞繞過預(yù)先設(shè)定的加密電子文檔安全防護(hù)策略，從而確保Docker容器接收到加密電子文檔后才會解密。即使Docker容器被惡意攻擊失去效能，依然會對加密電子文檔進(jìn)行保護(hù)，因此，加強(qiáng)對該技術(shù)的進(jìn)一步探索與實(shí)踐，能夠?yàn)槿嫣岣呶覈W(wǎng)絡(luò)環(huán)境安全水平奠定堅實(shí)基礎(chǔ)。

作者簡介：

金彥旭（1995—），碩士，助理工程師，研究方向：云計算技術(shù)。