基于虚拟容器与数字水印的涉密电子文档保护机制研究

2021-11-03钱小军

现代信息科技 2021年8期

DOI：10.19850/j.cnki.2096-4706.2021.08.050

摘要：随着电脑的普及以及科学技术的发展，电子文档的使用越来越广，其安全也越来越受到重视。文章针对涉密电子文档的安全问题，提出了一种新的基于虚拟容器与数字水印的涉密电子文档保护机制。该方案不仅可以通过Docker这一虚拟化技术来控制用户对涉密电子文档的访问，也能在涉密电子文档泄露之后追踪到文档的泄漏源头，跟踪侵权行为。文章提供的电子文档安全保护机制配置十分灵活，可以根据需要随时变动，实现细粒度的安全防护功能与目标。

关键字：虚拟容器;Docker;数字水印;涉密电子文档保护

中图分类号：TP309 文献标识码：A 文章编号：2096-4706（2021）08-0176-04

Research on Secret Related Electronic Document Protection Mechanism Based on Virtual Container and Digital Watermarking

QIAN Xiaojun

（Jiangsu Golden Shield Detection Technology Co.，Ltd.，Nanjing 210042，China）

Abstract：With the popularity of computers and the development of science and technology，electronic documents are used more and more widely，and their security is also paid more and more attention. Aiming at the security problem of secret related electronic documents，this paper proposes a new secret related electronic document protection mechanism based on virtual container and digital watermarking. This scheme can not only control usersaccess to secret related electronic documents through Docker virtualization technology，it can also track the source of the leakage of secret related electronic document after it's leaking out and follow up the infringement. The configuration of electronic document security protection mechanism provided in this paper is very flexible，which can be changed at any time according to needs，so as to realize fine-grained security protection functions and objectives.

Keywords：virtual container;Docker;digital watermarking;secret related electronic document protection

0 引言

隨着电脑的普及以及科学技术的不断发展，电子文档成为大家日常生活中必不可少的工具。电子文档的数量和覆盖范围都在持续地扩大。涉密电子文档含有重要的信息，其安全性问题也成为日益突出的问题，需要对其实施一定的保护措施，以防止被窃取，减少被窃取带来的无法挽回的损失。

常规的涉密电子文档保护的解决方案是采用防水墙进行保护。防水墙是一种用于防止内部信息泄露的安全产品，可以用于信息泄露防范、系统实时运行监控、系统资源安全管理、信息安全审计等。防水墙是对一些安全设备的进一步补充，包括防火墙、入侵检测系统等。最基础的防水墙由客户端、管理中心和服务器这三个部分组成。高层的用户接口层，以实时更新的内网拓扑结构为基础，提供系统配置、策略配置、实时监控、审计报告、安全报警等功能，低层功能模块层由分布在各个主机上的探针组成;中间的安全服务层从低层实时采集信息，并向高层报告或报警，同时也会记录下整个系统的审计信息，以供查询或生成报表。

但是防水墙是部署在各个用户机器内的，也存在有众多的弱点，主要有：

（1）防水墙存在有漏洞，可能会被绕过。

（2）防水墙依赖于底层的操作系统，因此容易通过操作系统内核采用技术手段关闭，使其失效。

（3）防水墙的配置以及安全防护策略较为复杂，由于实际的应用场景千变万化，难以制定统一的安全防护机制，特别是在保护策略发生变化的情况下。当防水墙一旦失效，没有有效地保护好涉密文档，即使在事后通过追踪审计发现涉密文档的非法使用，此时泄密事件已经形成了，其造成的损失也无法挽回。

目前，涉密电子文档的保护重要的控制点有三个：非法拷贝复制、屏幕载图、拍照。传统的电子文档保护方法如电子文档加密存储可以控制文档的非法拷贝复制，文档数字水印技术可以在文档被屏幕截图以及拍照后进行所有权验证以及追踪泄露源头。

因此，需要一种新的涉密电子文档保护机制，该机制除了能实现上述的涉密文档三个控制点的保护功能，更重要的是即使在该保护机制失效时，仍然能保护涉密电子文档的安全。本文提出基于虚拟容器与视频流水印两种技术的结合，来实现该涉密电子文档保护目标。

1 核心技术

1.1 虚拟容器技术

Docker是一种新的虚拟化技术，它提供了一个简单易用的容器接口。Docker将应用程序及其依赖项打包到一个文件中。运行此文件会生成虚拟容器。程序在这个虚拟容器中运行，好像它在一个真正的物理机器上运行一样。用户可以轻松地创建和使用容器，并将自己的应用程序放入容器中。容器也可以进行版本管理、复制、共享和修改，就像管理普通代码一样。

Docker包括三个基本概念，分别是镜像（Image），容器（Container）和仓库（Repository）。镜像相当于一个带有操作系统的完整文件系统。除了提供容器正常运行所需的程序、库、资源和配置文件外，它还包含一些为运行时准备的配置参数。容器是镜像运行时的实体，可以创建、启动、停止、删除、暂停容器等等。容器进程是在自己独立的命名空间中运行的。容器中的进程在一个隔离的环境中运行，并像在独立于主机的系统下运行一样使用。此功能使容器封装的应用程序比直接在主机中运行更安全。Docker的架构图如图1所示。

本文通过使用Docker构建和部署容器，并将涉密电子文档存放在容器中，通过Docker容器使用涉密电子文档，以保证涉密电子文档访问的安全性。同时，与涉密电子文档服务器存在交互接口用于获取电子文档。在获取涉密电子文档后，在Docker容器中对文档进行解密操作，并进行给文档添加数字水印的操作。同时也对用户使用行为进行监控，并记录相应的日志。

1.2 防拍照与截图数字水印技术

为了防止通过拍照、截屏、打印等方式而带来的涉密电子文档的泄密，可以通过在电子文档中嵌入数字水印，从而可以追踪到文本的泄漏源头，跟踪侵权行为。文档数字水印技术如图2所示。目前包含三种常见的水印解决方案，分别是基于文本结构的方法，基于语法、语义的方法和基于随机或统计的方法。

其中，基于文本結构的方法中的基于文档格式的水印嵌入是根据Word文档格式中未使用的空间来实现，或者根据PDF格式中行末标识符不显示的特点，利用水印信息控制行尾标识符的修改方法，实现水印信息的嵌入。本文则根据PDF文档格式的特点添加水印信息，下面对该方法及其使用效果进行展示如图3所示。首先将水印信息转化为二进制数据流，如“100110”，然后解析PDF文档，获取交叉引用表中每行的行末标识符修改为“＼r＼n”，如果二进制信息为1，则修改为“＼n”，否则不变，再重新生成文档，生成带水印信息的文档。

2 涉密电子文档保护机制的架构与实现流程

2.1 实现涉密电子文档保护的Docker容器

首先需要创建涉密电子文档保护的Docker容器，本文提出的Docker容器由安全防护策略与功能的配置接口、数字水印的保护功能模块、Docker容器与涉密电子文档服务器的交互接口以及用户使用行为监控与日志模块这四个部分组成。下面介绍这四个部分：

（1）安全防护策略与功能的配置接口，通过使用这个接口可以配置Docker中应该采用什么方式来实现的涉密文件的保护。

（2）数字水印的保护功能模块，通过给涉密电子文档添加数字水印，可以保护涉密电子文档的版权，以及在涉密电子文档被泄露时，找到泄露源头。

（3）Docker容器与涉密电子文档服务器的交互接口，包括双方的身份认证，以及涉密电子文档的加密传输与解密功能模块。

（4）用户使用行为监控与日志模块，Docker容器负责实时监控用户使用电子文档行为并形成日志，以备后期审计查询。

2.2 保护机制的架构

本文提出的涉密电子文档保护机制的架构主要分为三个层次，分别是安全属性与策略管理层，Docker容器层以及用户客户端。通过这三个层次的保护，实现用户对涉密电子文档的安全使用。下面介绍下这三个层次：

（1）安全属性与策略管理层：这一层位于整个架构的最高层，用于配置各种涉密文档安全防护的策略，以及文档保护机制中各方角色的身份认证机制、角色身份与涉密文档使用的许可策略配置等，是保护机制的控制核心。

（2）Docker容器层：这一层是实现涉密文档安全防护功能的核心层，由众多动态部署在用户机器上的虚拟容器，执行涉密文档安全防护的具体功能。

（3）用户客户端，提供用户身份认证功能，从Docker容器层下载容器镜像，并启动与运行镜像。

2.3 实现流程

涉密电子文档保护机制的具体实现流程如图4所示。

本文提出的涉密电子文档保护机制由四个部分组成，分别是用户客户端，安全属性与策略管理层，Docker容器层以及涉密文档服务器。通过这四个部分的交互，实现保护功能，具体的流程为：

（1）用户客户端首先向安全属性与策略管理层发送身份认证请求，安全属性与策略管理层对用户客户端的身份进行认证，并向用户客户端发送身份认证结果。

（2）用户的身份认证请求通过后，再次向安全属性与策略管理层发送涉密文档的使用请求，请求包括：要使用的涉密文档信息，使用的方式等。由策略管理层仲裁判断当前的用户是否具有目标涉密文档的相应使用权限。

（3）如果仲裁通过，则由策略管理层向用户客户端发送许可，并根据预配置的涉密文档使用策略，配置并指定客户端可以使用Docker镜像。

（4）用户客户端获得许可后，获取指定Docker镜像，并启动运行。Docker容器启动后按配置好的参数，开始向涉密文档服务器发送请求，获取加密的涉密文档。

（5）Docker容器获得加密的文档后，开始通过配置参数对加密文档解密，并嵌入水印，用户通过Docker容器提供的功能使用涉密文档，同时Docker容器实现对涉密文档使用的安全程控制，监控用户的使用行为。

本文实现涉密电子文档保护机制的伪代码为：

Algorithm Protection mechanism of classified electronic documents

User client：U Security attributes and policy management：S

Secret-related document server：SDS

1：U sends authentication request to S;

2：if authenticati.on results == true：

3： U sends the use request of Secret-related documents to S;

4： if use request == true：

5： S sends permission to U，Configure and specify docker

mage that U can use;

6： U gets the docker image and starts running;

7： The docker container layer sends requests to the SDS;

8： The SDS returns secret-related electronic document;

9： The docker container layer decrypts the secret-related

electronic documents and adds digital watermark;

10： U uses the secret-related electronic documents by

accessing docker container;

11： end if

12：end if

3 结论

本文提出了一种新的基于虚拟容器与数字水印的涉密电子文档保护机制。该保护机制使用Docker这一虚拟化技术来控制用户对涉密电子文档的访问，并同时使用数字水印技术给涉密电子文档嵌入水印，追踪到文档的泄漏源头，跟踪侵权行为。由于Docker的隔离性与封闭性，可以通过其中配置策略实现对电子文档的保护，阻止用户通过漏洞来绕过预定的涉密文档安全防护策略。电子文档进入Docker容器之后，才会解密，因此即使Docker容器被攻击失效，加密的电子文件也不会泄密。本文提出的涉密电子文档保护机制可以进行非常灵活的配置，可以实现对涉密电子文档的安全保护功能和目标。

参考文献：

[1] 孟晓春.Word与Adobe Acrobat PDF文档的水印算法研究 [D].西安：西安科技大学，2013.

[2] 徐振.电子文档版权保护系统的设计与实现 [D].成都：电子科技大学，2013.

[3] 石广丽，马晓晨.电子文档保护问题及对策 [J].科学与财富，2017（4）：390-390.

[4] 张翔.网络环境下计算机终端文档加密与管理 [J].网络安全技术与应用，2016（7）：52+54.

[5] 黄俊珲.基于水印的银行电子文档完整性保护问题研究 [D].广州：广东财经大学，2016.

[6] 邢少敏，冯维，王泉景.基于区塊链技术的涉密电子文档保护方案研究 [J].信息安全研究，2017，3（10）：884-892.

[7] 刘丰威，董茵，潘炜，等.基于点阵二维码水印技术的文档安全保护探析 [J].新型工业化，2020，10（7）：19-20.

[8] 苏军.Docker容器安全管控技术研究 [J].网络安全技术与应用，2020（11）：21-22.

[9] 陈伟，涂俊亮.Docker容器安全的分析研究 [J].通信技术，2020，53（12）：3072-3077.

[10] 刘昱良，何璐.基于Docker技术的容器云平台浅析 [J].大众科技，2021，23（1）：15-17+20.

[11] 吕彬，徐国坤.Docker容器安全性分析与增强方案研究 [J].保密科学技术，2021（1）：15-22.