文件标签和内容分离的管控技术研究

刘振钧， 颜亮

（中国电子科技集团公司第三十研究所，四川成都610041）

文件标签和内容分离的管控技术研究

刘振钧， 颜亮

（中国电子科技集团公司第三十研究所，四川成都610041）

电子文件种类多、使用广泛，易复制和传播，使得电子文件难以实施有效的安全管理。本文提出一种采用文件标签和文件内容分离存放，以文件重定向技术和密码技术使用为核心的电子文档安全控制技术。该技术将文件实体加密存放在集中存储服务器或其它安全存储位置，以文件标签作为文件实体内容的索引，在文件打开使用时自动定位文件实体并解密，能够使电子文件易于集中管控和使用，提升信息系统的安全性。

电子文件;文件标签;文件重定向技术

0 引言

在政府、企事业单位信息系统中有大量承载了涉密或敏感信息的电子文件，分布在信息系统中各个办公终端上。电子文件在不影响工作效率地前提下实施安全管控，一直是信息系统安全管理员追求的目标。随着信息安全技术的发展，文档管控产品在最近10年陆续出现，并得到了一定程度应用。但是，在数据集中的趋势下，基于文件透明加密技术的文档管控产品逐渐遇到了挑战。因此，适用于文件集中存储环境，同时又能够实现文件细粒度保护和访问控制的解决方案，是一个非常有意义的研究课题。

1 常见文档管控技术分析

文档管控产品由终端安全管控技术，结合了密码技术发展而来。一般实现三个管控目标[1］：

1）输入输出控制：利用外设控制、网络接口控制、打印控制等技术，实现文件输入输出管控，防止文档非授权流出。此管控目标比较容易实现，对操作终端的影响较小。该技术虽然没有实现细粒度管控，但是仍信息系统安全管控不可少组成部分。

2）文件加密和访问控制：采用与文件透明加密相同的技术，利用文件过滤驱动和密码技术，在文件的创建、打开、修改、保存、关闭等环节，对文件实施操作权限判别。有效地实现了文档基于用户身份的管控和保护[2］。其不足主要包括以下几个方面：

a）电子文件仍然分散在各个终端，难以统一管理、审计，留下了一定的安全隐患。

b）电子文件实体和密钥都保存在终端，被破解分析的风险大;

c）文件加密密钥以数字信封封装在文件密文包中。当文件同时被多个操作者操作时，文件中就需要存放多份密钥密文。

3）文档操作行为控制：在文件级加密保护和访问控制基础上，进行用户操作行为管控和防护，包括：内容拷贝、文档另存、截屏抓图、屏幕录像等行为。 一般采用各种应用层Hook方式来实现。

2 文件实体分离管控技术

前面部分分析了文件加密和访问控制的不足，本节提出了将文件的实体与文件控制权限分离的管控思路。即，将受保护电子文件加密后分离成文件标签和文件实体密文两个部分，文件标签中只有文件唯一标识和部分属性信息，用户以及应用软件只能直接操作到文件标签。文件实体密文则存放在信息系统的安全存储位置。信息系统中存储和流转的都是没有实际敏感内容的标签，当需要使用电子文件内容时，通过文件重定向驱动和调用接口，获取文件内容。在网路条件良好的涉密信息系统内部，文件集中存储在服务器中。模型如图1所示。

图1 电子文件分离管控模型

该模型实现的关键技术环节为：标签与文件的绑定、文件重定向和透明加密、密钥管理，以及如何与应用系统整合。

2.1 文件标签与文件分离和绑定

文件标签可以看作是文件的身份标识和索引，其核心要素是标签全网唯一的标签ID号。为了确保与文件的绑定关系且不被篡改，标签应包括：文档密文的散列、标签头部的HMAC。为了便于用户访问，标签中还包括：实体文件名、长度、密级和访问权限摘要等信息。

用户创建或者输入一个新文件时，内核层的过滤驱动捕获事件，在本地产生标签文件，而将真实的文件重定向并加密保存到安全存储位置。产生文件标签过程如图2所示。

图2 文件标签产生过程示意图

用户在终端看到的标签文件，具有真实文件的文件类型和部分属性信息，用户打开文件标签时，则按照产生标签的逆过程，授权访问文件明文的进程(一般是文件的操作软件，如：WORD等），通过内核层的软件，重定向到安全存储位置获取文件并解密。

当用户向其他一个或多个用户发生文件时，文件传输应用软件由于没有获取文件明文的权限，发送出去的仅仅是文件的标签。接收者用在打开获取到的文件标签时，控制程序根据用户的身份和标签ID，获取使用者权限和密钥。非授权用户无法获取响应的密钥及权限，无法获取文件实体内容。

在本模型中，文档访问控制权限和密钥等信息保存在网络中的标签管理服务器中，而非本机磁盘或与文档标签绑定。当电子文件流转时，可以很方便的共享文件保护密钥。

2.2 文件重定向和透明加密技术

在前述文件标签与文件的绑定中，已经提及了文件重定向技术：使用文件标签作为真实文件展示给有加解密权限应用程序的替身，将替身文件句柄返回给应用程序。过滤驱动程序中在替身文件打开完成后再打开目标文件，建立替身文件对象与目标文件对象的映射关系。文件请求操作根据各个IRP的替身文件信息查找到安全存储位置的真实文件，并转向真实文件操作的方式实现文件定向和透明加解密。工作原理如图3所示[3］。

图3 文件透明加密原理示意图

文件操作者像操作普通文档一样正常操作电子文件，操作系统底层以及网络中各个服务器的工作不会被用户感知的情况下，文件加密存储在安全存储位置，而文件的密钥则由标签管理服务器维护。因此，不仅终端的文件标签失控不会影响数据安全，安全存储位置的实体文件失控，也因为没有保护密钥，而无法解密。

2.3 密钥管理

密码技术是标签与文件绑定、文件加密的核心技术。密钥产

生、密钥分发和密钥更换机制是本技术研究是否有实用价值的关键。密钥管理包括密钥设计、密钥使用、密钥分发机制和密钥更新四个方面。

(1）密钥设计

电子文件绑定和透明加密使用了非对称密码算法和对称密码算法，相应的也需要使用到两种密钥。

1）非对称密钥：文档操作者应具有代表个人身份的证书和公钥。实现电子文件安全管控，必须应利用数字证书系统，管理和发布信息系统内数字证书。操作者验证他人产生的电子文档时，还需利用证书系统的证书发布机制或其他手段，获取相应的证书。

2）文件加密密钥：文件加密密钥在标签管理服务器预先产生并保存。提前下发一定量到各终端。终端产生文件标签时选用密钥，并将密钥和文件标签的绑定关系上报到标签管理服务器。

(2）密钥使用

1）非对称密钥的使用：标签创建时，使用操作者私钥对标签及实体文件密文整体签名，确保文件的真实性。打开文件时，用创建者公钥验证签名，确认文件是否被篡改。

2）文件加密密钥的使用：文件加密密钥由标签管理服务器统一预产生，分配到各个终端(采用使用者公钥保护下发）。使用后，终端上报密钥和标签的绑定使用关系。终端仅缓存密钥，关机后密钥及自动清除，排除了密钥使用的安全应还。

(3）密钥分发机制

本文在分析现有文档管控技术不足时，分析了文档与密钥打包在一起的不足。但是，也不可忽视这种方式的优点：密钥与文档一起递送，没有获取密钥的时间消耗。规避这个时间消耗，也是本文技术研究的一个要点。采用预先获取的方式，可以有效的解决此问题：终端开机启动后，即自动获取本终端(用户）所需使用文件加密密钥，暂存在终端内存中。由于密钥均被公钥加密保护，一次大量获取并暂存，不会带来安全风险，但是却提升了使用感受。

当操作者将文件标签发送给其他操作者后，有权限的操作者能够自动从标签管理服务器获取到文件的加密密钥。不具有权限的操作者，即使获得了文件标签，并且通过其他手段获取了文件实体的密文，也由于无法获取响应的密钥，无法解密文件。

(4）密钥更新

用户持续操作一份电子文件时，电子文件的标签ID不会改变，文件的加密密钥也不会更新。但是，其他用户修改文档后，文档的所有权属性发生变化，修改的文档会产生新的标签(标签管理服务器保存有前后关系），则应使用新的文件加密密钥。

上述密钥管理机制描述了一种合理、安全的密钥使用方式，可以确保电子文件高效可靠的实施机密性和真实性保护。

2.4 应用整合机制

使用电子文件的应用大致可归为两类：文件传输类和文件在线使用类。针对安全应用整合的需求，标签管理服务器的Web Service接口提供文件权限配置、数据获取解析的接口。

在控制和内容分离的技术思想下，文件传输类应用直接传输文件的标签，在终端打开文档时实施管控和透明加解密。此类应用整合需求为：在应用的业务流程中完成文件授权。譬如，授权的邮件系统在发送文件时，即隐含了对邮件接收者的文件使用授权。因此，标签管理服务器针对授权的应用，提供文件授权的WebService接口。

文件在线使用类应用包括电子文档在线阅读、音视频文件在线播放等功能。一般由应用实施访问控制，在Web服务器后台解析文件。因此标签管理服务器针对授权的应用，提供根据标签获取文件明文的Web Service接口。

2.5 其他

本文前面部分论述了本技术的关键点，但是，设计一个完整安全管控产品，还应该提供以下功能：

文档策略控制：包括缺省策略和自定义策略配置;

统计和分析：统计信息系统中电子文件的各种数量、安全状态、安全事件等。

2.6 优缺点分析

文件标签和文件实体内容分离的文档管控技术与传统的整体管控有以下优点和不足。

1）分离式管控技术可以确保受控文档静态存储于指定的安全存储位置。系统中文档状态可控性高，便于管理、审计和应急处理。也便于未来应用系统向集中存储和企业云环境迁移。

2） 在使用IFS网络集中存储解决方案中，利用本技术在存储服务器进行透明加解密，可以充分利用服务器段更高的密码运算能力，解决终端密码运算能力不足的问题。

文件标签和文件实体内容分离的文档管控技术主要不足在于过于依赖网络条件。信息系统内部的办公处理等业务一般在局域网内部，主要影响性能的问题有两个方面：检索文件内容时的时延、文件传输和加解密效率。在工程实现时，采用预读方式在一定程度上可以减少检索文件实体内容的时延。而文件传输和透明加解密的效率，则取决于网络带宽和密码运算的能力。经测试，在千兆局域网中，终端具备20Mbps以上的密码运算能力，可保证一般的文件操作流畅，用户不会明显感觉到卡顿和延时。

对于跨地域的应用，则需要通过分布式部署标签管理服务器和文件集中存储服务器的系统解决方案来解决。

3 结语

本文以文件标签和实体文件分离存放为核心思想，以标签、密钥、权限在线管理服务为辅助手段，以终端内核驱动实现文档的安全管控和加密保护为落脚点，考虑了终端和应用系统不同使用方式，提出了一套电子文件综合管控方案，可实现电子文件集中和安全管理。为研制适合部署在数据集中环境的电子文件安全管控和管理产品奠定了基础。

[1］陈祥潘，乐文斌.TIPTOP 涉密文档违规处理系统的解决案例[J］.信息安全与通信保密，2011(1）：90-91.

[2］陈尚义.透明加解密技术及其应用[J］.信息安全与通信保密，2007(11）：75-77.

[3］谭文.Windows 内 核 安 全 编 程[M］ .北 京：电 子 工 业 出 版 社，2009.

Control Technology of Electronic Files Tab and Content Separation

LIU Zhen-jun，YAN Liang
(No.30 Institute of CETC， Chengdu Sichuan 610041， China）

Electronic files enjoy the features of infinite variety，widespread use， easy copying and transmission， thus resulting in their difficult safety management.An e-file security control technology is proposed，in which，with files redirection and encryption as the core technologies， the file tabs and contents are isolatedly stored.Through this technology， files entity are encrypted and stored in centralized storage server or other secure place.With file tabs as the content index of files entity，the file is automatically located and decoded when opened.This technology makes electronic files easily controllable and manageable， and thus greatly enhances the security of information system.

electronic file;file tab;file redirection technology

TP309

］A

1009-8054(2015)03-0073-03

刘振钧(1974—），男，硕士，高级工程师，主要研究方向为信息安全;

2014-12-20

颜 亮(1980—），男，本科，工程师，主要研究方向为信息安全。■