基于操作系统的电子文档标定密系统及方法

技术领域

本发明涉及网络通讯安全技术领域，尤其涉及一种基于操作系统的电子文档标定密系统及方法。

背景技术

采用密级标定方法对文件状态进行监控，实现对外发文件的时刻跟踪控制，防止信息扩散。现有专利文献(CN102902931A)公开一种文件标密系统及文件标密方法，其在计算机硬盘的每个盘符下创建数据库文件，存储当前磁盘文件密级信息，主要对文件、标密、复制、剪切、删除做权限管控，对文件其他操作没有做管控；现有专利文献(CN103544446B)公开了一种对文档标定密级的方法和装置，该技术主要采用COM插件接收用户输入的所述文档的密级信息，根据所述密级信息生成可视化的密级信息图片，将所述密级信息图片保存并显示到所述文档中，自动给Office系列和WPS系列中的各种文档强制标定密级，而且主要对office系列和WPS系列文件做标定密，对应其他文件，如音视频未做处理。

现有技术主要存在以下缺陷，一是在计算机硬盘每个盘符下创建库文件存储密级信息，维护多份数据库，加大了数据库的维护难度，增加了维护成本，而且磁盘一旦损坏，密级信息便会丢失，没有还原机制；同时文件密级信息仅包含文件名、文件路径、文件密级及文件标密时间，对文件的定密依据、定密人及知悉范围没有记录，缺乏密级文件非授权访问的管控；用户对文件的操作只限于标密操作、复制操作、剪切操作、删除操作，对其他操作截屏、打印等操作不做管控；另一方面，只支持对office系列和WPS系列文件做标定密，不能够对其他类型的涉密文件做标定密处理。

发明内容

鉴于上述的分析，本发明旨在提供一种基于操作系统的电子文档标定密系统及方法，用以解决现有技术对涉密文件的管控力度弱、安全性差，且文件密级信息易丢失的问题。

一方面，本发明提供了一种基于操作系统的电子文档标定密系统，该系统包括：

驱动文件过滤模块，用于实时监测客户端电子文档的读写状态；

文件标定密模块，用于对处于读状态的标密文件进行解密，以及对处于写状态且发生修改的文件进行重新定密加标；还用于对非密文件进行加密加标，并将对应的密级标志属性信息写入所述文件中，以及将所述文件的密级标志属性信息存入数据存储模块；

流程管理模块，用于对文件标定密、密级变更流程进行审批管理，并将审批信息上传至服务器端；

文件管控模块，用于对标密文件的操作进行管控。

进一步的，所述驱动文件过滤模块包括文件读接口和文件写接口；

所述文件读接口，用于对文件的读状态进行监测，并读取文件头的256个字节以判断所述文件是否为标密文件，若是，所述文件标定密模块对所述文件进行解密，以供用户查看；

所述文件写接口，用于对文件的写状态进行监测，并校验所述文件是否被修改，若是，所述文件标定密模块对所述文件进行重新定密。

进一步的，所述文件标定密模块，通过下述方式对修改后的文件进行重新定密加标：

确定所述文件重新定密对应的密级标志属性；

计算所述密级标志属性添加密级标签后的字节数量，进而确定文件正文的写入位置偏移量；

对文件正文进行分组，顺序对每一分组添加密级标签，并根据确定的写入位置偏移量写入文件相应位置处；

将所述密级标志属性分组并添加密级标签，顺序写入文件中文件正文之前；

计算所述密级标志属性的摘要，并将所述摘要及密级标志属性字节数量写入文件中的开头；

以图标的方式添加文件的外部密级标示和内部密级标示。

进一步的，所述密级标志属性包括核心属性、基本属性及扩展属性，所述核心属性包括密级和保密期限；所述基本属性包括密级标志版本、文件起草人、定密责任人、定密单位、知悉范围、定密依据、文件标示符、管理状态和管理历史记录；所述扩展属性包括发文字号、份号、份数、操作管控信息、密级标志添加人和自定义扩展。

进一步的，所述文件管控模块，根据标密文件的操作管控信息对标密文件的操作进行管控。

进一步的，所述流程管理模块包括定密单元和签发单元，所述定密单元用于确认加密加标后的文件是否符合预设条件，若符合预设条件，则流程管理模块将所述加密加标后的文件发送至签发单元进行签发。

进一步的，还包括网络通信模块，用于实现客户端与服务器端的通信，所述客户端数据库用于存储标密文件的密级标志属性，并备份至所述服务器端。

进一步的，所述服务器端采用双机热备方式进行服务器的切换，并通过rsync技术对服务器数据库进行备份。

另一方面，本发明提供了一种基于操作系统的电子文档标定密方法，包括以下步骤：

实时监测客户端电子文档的读写状态；

对处于读状态的标密文件进行解密，对处于写状态且发生修改的文件进行重新定密加标；对非密文件进行加密加标，并将对应的密级标志属性信息写入所述文件中，以及将所述文件的密级标志属性信息存入客户端数据库；

对文件标定密、密级变更流程进行审批管理，并将审批信息上传至服务器端；

对标密文件的操作进行管控。

进一步的，根据标密文件的所述密级标志属性信息中的操作管控信息对标密文件的操作进行管控。

与现有技术相比，本发明至少可实现如下有益效果之一：

1、本发明提出的基于操作系统的电子文档标定密系统及方法，通过实时监测涉密文件的读写状态，并对发生修改的涉密文件进行重新定密，能够有效避免涉密文件的泄漏，提高网络数据安全性。

2、本发明能够自动管理文件标定密及密级变更的流程，规避了传统的人工执行文件标定密或密级变更的流程，简化了操作，提高了文件标定密及密级变更的效率，也降低了人工成本。

3、本发明将密级文件的知悉范围、操作管控设为密级文件的密级标志属性，即授权可使用该密级文件的用户范围，以及用户对该涉密文件的使用权限，对用户复制、粘贴、打印或截屏涉密文件进行有效管控，从而提高对涉密文件的管控力度，保证涉密文件的安全性。

4、本发明将密级文件的密级标志属性信息存储于客户端数据库以及服务器端数据库，可以实现密级文件的密级标志属性信息的备份，有效防止密级信息的丢失，并且服务器端采用双机热备，当主服务器发生软件或硬件故障时，可自动快速切换到备机上继续提供服务，自动切换运行时间间隔非常短，可以达到无缝切换，能够保证主服务器出现故障时，很快恢复正常的服务，业务不受影响，最大限度的降低用户业务上的损失，同时也能够对服务器数据库进行备份。

本发明中，上述各技术方案之间还可以相互组合，以实现更多的优选组合方案。本发明的其他特征和优点将在随后的说明书中阐述，并且，部分优点可从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过说明书以及附图中所特别指出的内容中来实现和获得。

附图说明

附图仅用于示出具体实施例的目的，而并不认为是对本发明的限制，在整个附图中，相同的参考符号表示相同的部件。

图1为本发明实施例基于操作系统的电子文档标定密系统的示意图；

图2为本发明实施例文件头256个字节信息的示意图；

图3为本发明实施例带有密级标志的电子文件格式的示意图；

图4为本发明是实施例标密文件的内部密级标示的示意图。

附图标记：

110-驱动文件过滤模块；120-文件标定密模块；130-流程管理模块；140-数据存储模块；150-文件管控模块。

具体实施方式

下面结合附图来具体描述本发明的优选实施例，其中，附图构成本申请一部分，并与本发明的实施例一起用于阐释本发明的原理，并非用于限定本发明的范围。

本发明的一个具体实施例，公开了一种基于操作系统的电子文档标定密系统。

该系统采用B/S与C/S相结合的体系架构，整个系统由：密级标志管理系统服务器端和密级标志管理客户端组成，服务器端主要负责流程管理、文件台账、日志审计、消息处理。客户端主要负责发起流程、内核级驱动文件过滤、文件加解标，密级标志属性显示、文件管控、日志上报等功能。客户端与服务端的通过网络通信模块实现通信。

如图1所示，该系统包括：

驱动文件过滤模块110，用于实时监测客户端电子文档的读写状态，其中，电子文档的类型可以是office文件、wps文件、文本文件、pdf文件、音视频文件及图像文件等。驱动文件过滤模块110的过滤功能包括，在Linux操作系统(包含自主可控专用机)上，采用VFS层劫持系统调用，实现Linux系统的文件透明解密的程序，采用VFS层拦截read函数，拦截到文件读时，调用用户层库函数，读取文件头256字节判断文件是否为标密文件，若为标密文件则执行解密操作。采用inotify技术拦截文件写修改操作，文件关闭时若已被修改，则需重新定密；在Windows操作系统上，采用hook消息机制截获文件读写，以实现windows系统的文件透明解密功能，根据md5值来判断文件是否被修改，若已修改则重新定密。

文件标定密模块120，用于对处于读状态的标密文件进行解密，以及对处于写状态且发生修改的文件进行重新定密加标。此外，还用于对非密文件进行加密加标，即确定文件的密级标志属性以及对应的密级标签，并将对应的密级标志属性信息写入文件中，并将文件的密级标志属性信息存入数据存储模块140，该数据存储模块140即客户端的数据库，具体的，数据存储模块140还用于存储用户的登录信息，即只有授权的用户才可以登录。

流程管理模块130，用于对文件标定密、密级变更流程进行审批管理，并将审批信息存入数据存储模块140，当网络稳定时，审批信息同步上传至服务器端的数据库，当网络不稳定时，数据存储模块140会增量备份至服务器数据库，保障了标定密的正常运转。

文件管控模块150，用于对标密文件的操作进行管控。

优选的，驱动文件过滤模块110包括文件读接口和文件写接口。

其中，文件读接口，用于对文件的读状态进行监测，具体的，采用VFS层拦截读函数对文件的读状态进行监测，监测到文件处于读状态时，读取文件头的256个字节以判断文件是否为标密文件，若是，文件标定密模块120对文件进行解密，以供用户查看，若解密失败，则弹出警告窗口并终止文件的打开。具体的，文件头256字节信息组成如图2所示，因此，能够根据文件头的256个字节判断文件是否为标密文件。

此外，文件写接口，用于对文件的写状态进行监测，并利用inotify校验该文件是否被修改，若是，文件标定密模块120则对该文件进行重新定密。

具体，带有密级标志的电子文件格式图如图3所示，文件内顺序写有控制属性、密级标志属性以及文件正文，其中控制属性包含的内容为密级标志属性的长度以及摘要信息，占256个字节，控制属性信息不足256的字节的，不足部分随机进行填充至256个字节；将密级标志属性信息以256个字节为一组进行分组，每一组后添加密级标签，正文部分同样以256个字节为一组进行分组，并在每一组后添加密级标签，密级标签占据8个字节，且每一组后添加的密级标签均相同，其中不足256个字节的部分，进行随机填充至256个字节。

优选的，文件标定密模块120，通过下述方式对修改后的文件进行重新定密加标：

确定该文件重新定密对应的密级标志属性。

计算该密级标志属性添加密级标签后的字节数量，即密级标志属性和密级标签的字节数量，进而确定文件正文的写入位置偏移量，该偏移量等于控制属性、密级标志属性以及密级标签的总的字节数量。

对文件正文进行分组，顺序对每一分组添加密级标签，并根据确定的写入位置偏移量写入文件相应位置处。

将密级标志属性分组并添加密级标签，顺序写入文件中文件正文之前。

计算密级标志属性的摘要，并将该摘要及密级标志属性字节数量写入文件中的开头。

以图标的方式添加文件的外部密级标示和内部密级标示，示例性的，标密文件的内部密级标示在Linux系统上采用Xlib库实现，在Windows系统上采用windows绘图消息事件绘制窗体实现，如图4所示。其中内部密级标示主要采用基于X11的Xlib库进行展示，其中X11也叫做X Window系统，X是协议，不是具体的某个软件，就像HTTP协议、IP协议一样，用于X Server和X Client通信协议，通过Xlib库监控所有窗体消息事件，获取窗体具体信息(例如标题、位置、执行命令等)，获取窗体文件密级信息，根据密级标志信息生成图形化信息展示在文件标题窗体上。

其中，还包括将文件的密级标志属性信息写入文件的属性中，通过查看文件属性可以查看文件的密级标志属性信息。

具体的，密级标志属性包括核心属性、基本属性及扩展属性，其中，核心属性包括密级和保密期限；基本属性包括密级标志版本、文件起草人、定密责任人、定密单位、知悉范围、定密依据、文件标示符、管理状态和管理历史记录；扩展属性包括发文字号、份号、份数、操作管控信息、密级标志添加人和自定义扩展。其中，操作管控信息，包括该文件可允许被用户执行的操作，示例性的，允许用户执行读操作或写操作等，以及不允许被用户执行的操作，示例性的，不允许用户执行复制、粘贴、打印或截屏等。

具体的，对非密文件的加密流程为：首先获取当前用户密级对应的密钥句柄，打开当前文件，指向第256字节地址处，计算出密级标志属性信息，然后依次读取256个字节，对读取的256字节添加密级标签，此时变为264字节，不足256字节的进行填充后添加密级标签，最后计算出控制属性。解密流程为：首先读取文件前256字节，根据此256字节判断文件是否为标密文件，若非标密文件则退出，若为标密文件，计算出文件密级标志属性信息字节长度，将文件指针指向电子文件数据段地址，根据头256字节打开和文件匹配的密钥句柄，依次读取264字节信息，对此信息解密变为256字节的明文信息。

优选的，文件管控模块150，根据标密文件的操作管控信息对标密文件的操作进行管控。示例性的，文件管控模块150首先读取文件操作管控信息，若禁止文件粘贴、截屏或复制等操作，则读取粘贴板内容，进行清空；若禁止打印，通过截获打印驱动操作，禁止文件打印。

优选的，流程管理模块130包括定密单元和签发单元，该定密单元用于确认加密加标后的文件是否符合预设条件，若符合预设条件，则流程管理模块130将该加密加标后的文件发送至签发单元进行签发。签发后，便可供授权用户使用。

优选的，还包括网络通信模块160，未在图1中示出，其采用MQTT通过构建即时通信服务器EMQTT通讯模块，实现客户端与服务器的交互通讯，以及各模块间的通信。具体的，客户端数据库用于存储标密文件的密级标志属性，并同时备份至服务器端的数据库，以实现密级信息的备份，有效防止密级信息丢失的问题。

优选的，服务器端采用双机热备方式进行服务器的切换，并通过rsync技术对服务器数据库进行备份。当主服务器发生软件或硬件故障时，可自动快速切换到备机(即备用服务器)上继续提供服务，自动切换运行时间间隔非常短，达到无缝切换。能够保证服务器出现故障时，很快恢复正常的服务，业务不受影响，最大限度的降低用户业务上的损失，同时也达到了备份数据库的目的。

本发明的另一个实施例，提供了一种基于操作系统的电子文档标定密方法。

由于该方法实施例与上述系统实施例的原理相同，因此重复之处可以参考系统实施例，在此不再赘述。

该方法具体包括以下步骤：

实时监测客户端电子文档的读写状态。

对处于读状态的标密文件进行解密，对处于写状态且发生修改的文件进行重新定密加标；对非密文件进行加密加标，并将对应的密级标志属性信息写入文件中，以及将文件的密级标志属性信息存入客户端数据库。

对文件标定密、密级变更流程进行审批管理，并将审批信息上传至服务器端。

对标密文件的操作进行管控。

优选的，根据标密文件的所述密级标志属性信息中的操作管控信息对标密文件的操作进行管控。

与现有技术相比，本发明提出的基于操作系统的电子文档标定密系统及方法，首先，通过实时监测涉密文件的读写状态，并对发生修改的涉密文件进行重新定密，能够有效避免涉密文件的泄漏，提高网络数据安全性；其次，能够自动管理文件标定密及密级变更的流程，规避了传统的人工执行文件标定密或密级变更的流程，简化了操作，提高了文件标定密及密级变更的效率，也降低了人工成本；并且，将密级文件的知悉范围、操作管控设为密级文件的密级标志属性，即授权可使用该密级文件的用户范围，以及用户对该涉密文件的使用权限，对用户复制、粘贴、打印或截屏涉密文件进行有效管控，从而提高对涉密文件的管控力度，保证涉密文件的安全性；最后，将密级文件的密级标志属性信息存储于客户端数据库以及服务器端数据库，可以实现密级文件的密级标志属性信息的备份，有效防止密级信息的丢失，并且服务器端采用双机热备，当主服务器发生软件或硬件故障时，可自动快速切换到备机上继续提供服务，自动切换运行时间间隔非常短，可以达到无缝切换，能够保证主服务器出现故障时，很快恢复正常的服务，业务不受影响，最大限度的降低用户业务上的损失，同时也能够对服务器数据库进行备份。

本领域技术人员可以理解，实现上述实施例方法的全部或部分流程，可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于计算机可读存储介质中。其中，所述计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。