基于虛擬容器與數字水印的涉密電子文檔保護機制研究

DOI：10.19850/j.cnki.2096-4706.2021.08.050

摘? 要：隨著電腦的普及以及科學技術的發展，電子文檔的使用越來越廣，其安全也越來越受到重視。文章針對涉密電子文檔的安全問題，提出了一種新的基于虛擬容器與數字水印的涉密電子文檔保護機制。該方案不僅可以通過Docker這一虛擬化技術來控制用戶對涉密電子文檔的訪問，也能在涉密電子文檔泄露之后追蹤到文檔的泄漏源頭，跟蹤侵權行為。文章提供的電子文檔安全保護機制配置十分靈活，可以根據需要隨時變動，實現細粒度的安全防護功能與目標。

關鍵字：虛擬容器;Docker;數字水印;涉密電子文檔保護

中圖分類號：TP309? ? ? ?文獻標識碼：A ? ?文章編號：2096-4706（2021）08-0176-04

Research on Secret Related Electronic Document Protection Mechanism Based on Virtual Container and Digital Watermarking

QIAN Xiaojun

（Jiangsu Golden Shield Detection Technology Co.，Ltd.，Nanjing? 210042，China）

Abstract：With the popularity of computers and the development of science and technology，electronic documents are used more and more widely，and their security is also paid more and more attention. Aiming at the security problem of secret related electronic documents，this paper proposes a new secret related electronic document protection mechanism based on virtual container and digital watermarking. This scheme can not only control usersaccess to secret related electronic documents through Docker virtualization technology，it can also track the source of the leakage of secret related electronic document after it's leaking out and follow up the infringement. The configuration of electronic document security protection mechanism provided in this paper is very flexible，which can be changed at any time according to needs，so as to realize fine-grained security protection functions and objectives.

Keywords：virtual container;Docker;digital watermarking;secret related electronic document protection

0? 引? 言

隨著電腦的普及以及科學技術的不斷發展，電子文檔成為大家日常生活中必不可少的工具。電子文檔的數量和覆蓋范圍都在持續地擴大。涉密電子文檔含有重要的信息，其安全性問題也成為日益突出的問題，需要對其實施一定的保護措施，以防止被竊取，減少被竊取帶來的無法挽回的損失。

常規的涉密電子文檔保護的解決方案是采用防水墻進行保護。防水墻是一種用于防止內部信息泄露的安全產品，可以用于信息泄露防范、系統實時運行監控、系統資源安全管理、信息安全審計等。防水墻是對一些安全設備的進一步補充，包括防火墻、入侵檢測系統等。最基礎的防水墻由客戶端、管理中心和服務器這三個部分組成。高層的用戶接口層，以實時更新的內網拓撲結構為基礎，提供系統配置、策略配置、實時監控、審計報告、安全報警等功能，低層功能模塊層由分布在各個主機上的探針組成;中間的安全服務層從低層實時采集信息，并向高層報告或報警，同時也會記錄下整個系統的審計信息，以供查詢或生成報表。

但是防水墻是部署在各個用戶機器內的，也存在有眾多的弱點，主要有：

（1）防水墻存在有漏洞，可能會被繞過。

（2）防水墻依賴于底層的操作系統，因此容易通過操作系統內核采用技術手段關閉，使其失效。

（3）防水墻的配置以及安全防護策略較為復雜，由于實際的應用場景千變萬化，難以制定統一的安全防護機制，特別是在保護策略發生變化的情況下。當防水墻一旦失效，沒有有效地保護好涉密文檔，即使在事后通過追蹤審計發現涉密文檔的非法使用，此時泄密事件已經形成了，其造成的損失也無法挽回。

目前，涉密電子文檔的保護重要的控制點有三個：非法拷貝復制、屏幕載圖、拍照。傳統的電子文檔保護方法如電子文檔加密存儲可以控制文檔的非法拷貝復制，文檔數字水印技術可以在文檔被屏幕截圖以及拍照后進行所有權驗證以及追蹤泄露源頭。

因此，需要一種新的涉密電子文檔保護機制，該機制除了能實現上述的涉密文檔三個控制點的保護功能，更重要的是即使在該保護機制失效時，仍然能保護涉密電子文檔的安全。本文提出基于虛擬容器與視頻流水印兩種技術的結合，來實現該涉密電子文檔保護目標。

1? 核心技術

1.1? 虛擬容器技術

Docker是一種新的虛擬化技術，它提供了一個簡單易用的容器接口。Docker將應用程序及其依賴項打包到一個文件中。運行此文件會生成虛擬容器。程序在這個虛擬容器中運行，好像它在一個真正的物理機器上運行一樣。用戶可以輕松地創建和使用容器，并將自己的應用程序放入容器中。容器也可以進行版本管理、復制、共享和修改，就像管理普通代碼一樣。

Docker包括三個基本概念，分別是鏡像（Image），容器（Container）和倉庫（Repository）。鏡像相當于一個帶有操作系統的完整文件系統。除了提供容器正常運行所需的程序、庫、資源和配置文件外，它還包含一些為運行時準備的配置參數。容器是鏡像運行時的實體，可以創建、啟動、停止、刪除、暫停容器等等。容器進程是在自己獨立的命名空間中運行的。容器中的進程在一個隔離的環境中運行，并像在獨立于主機的系統下運行一樣使用。此功能使容器封裝的應用程序比直接在主機中運行更安全。Docker的架構圖如圖1所示。

本文通過使用Docker構建和部署容器，并將涉密電子文檔存放在容器中，通過Docker容器使用涉密電子文檔，以保證涉密電子文檔訪問的安全性。同時，與涉密電子文檔服務器存在交互接口用于獲取電子文檔。在獲取涉密電子文檔后，在Docker容器中對文檔進行解密操作，并進行給文檔添加數字水印的操作。同時也對用戶使用行為進行監控，并記錄相應的日志。

1.2? 防拍照與截圖數字水印技術

為了防止通過拍照、截屏、打印等方式而帶來的涉密電子文檔的泄密，可以通過在電子文檔中嵌入數字水印，從而可以追蹤到文本的泄漏源頭，跟蹤侵權行為。文檔數字水印技術如圖2所示。目前包含三種常見的水印解決方案，分別是基于文本結構的方法，基于語法、語義的方法和基于隨機或統計的方法。

其中，基于文本結構的方法中的基于文檔格式的水印嵌入是根據Word文檔格式中未使用的空間來實現，或者根據PDF格式中行末標識符不顯示的特點，利用水印信息控制行尾標識符的修改方法，實現水印信息的嵌入。本文則根據PDF文檔格式的特點添加水印信息，下面對該方法及其使用效果進行展示如圖3所示。首先將水印信息轉化為二進制數據流，如“100110”，然后解析PDF文檔，獲取交叉引用表中每行的行末標識符修改為“＼r＼n”，如果二進制信息為1，則修改為“＼n”，否則不變，再重新生成文檔，生成帶水印信息的文檔。

2? 涉密電子文檔保護機制的架構與實現流程

2.1? 實現涉密電子文檔保護的Docker容器

首先需要創建涉密電子文檔保護的Docker容器，本文提出的Docker容器由安全防護策略與功能的配置接口、數字水印的保護功能模塊、Docker容器與涉密電子文檔服務器的交互接口以及用戶使用行為監控與日志模塊這四個部分組成。下面介紹這四個部分：

（1）安全防護策略與功能的配置接口，通過使用這個接口可以配置Docker中應該采用什么方式來實現的涉密文件的保護。

（2）數字水印的保護功能模塊，通過給涉密電子文檔添加數字水印，可以保護涉密電子文檔的版權，以及在涉密電子文檔被泄露時，找到泄露源頭。

（3）Docker容器與涉密電子文檔服務器的交互接口，包括雙方的身份認證，以及涉密電子文檔的加密傳輸與解密功能模塊。

（4）用戶使用行為監控與日志模塊，Docker容器負責實時監控用戶使用電子文檔行為并形成日志，以備后期審計查詢。

2.2? 保護機制的架構

本文提出的涉密電子文檔保護機制的架構主要分為三個層次，分別是安全屬性與策略管理層，Docker容器層以及用戶客戶端。通過這三個層次的保護，實現用戶對涉密電子文檔的安全使用。下面介紹下這三個層次：

（1）安全屬性與策略管理層：這一層位于整個架構的最高層，用于配置各種涉密文檔安全防護的策略，以及文檔保護機制中各方角色的身份認證機制、角色身份與涉密文檔使用的許可策略配置等，是保護機制的控制核心。

（2）Docker容器層：這一層是實現涉密文檔安全防護功能的核心層，由眾多動態部署在用戶機器上的虛擬容器，執行涉密文檔安全防護的具體功能。

（3）用戶客戶端，提供用戶身份認證功能，從Docker容器層下載容器鏡像，并啟動與運行鏡像。

2.3? 實現流程

涉密電子文檔保護機制的具體實現流程如圖4所示。

本文提出的涉密電子文檔保護機制由四個部分組成，分別是用戶客戶端，安全屬性與策略管理層，Docker容器層以及涉密文檔服務器。通過這四個部分的交互，實現保護功能，具體的流程為：

（1）用戶客戶端首先向安全屬性與策略管理層發送身份認證請求，安全屬性與策略管理層對用戶客戶端的身份進行認證，并向用戶客戶端發送身份認證結果。

（2）用戶的身份認證請求通過后，再次向安全屬性與策略管理層發送涉密文檔的使用請求，請求包括：要使用的涉密文檔信息，使用的方式等。由策略管理層仲裁判斷當前的用戶是否具有目標涉密文檔的相應使用權限。

（3）如果仲裁通過，則由策略管理層向用戶客戶端發送許可，并根據預配置的涉密文檔使用策略，配置并指定客戶端可以使用Docker鏡像。

（4）用戶客戶端獲得許可后，獲取指定Docker鏡像，并啟動運行。Docker容器啟動后按配置好的參數，開始向涉密文檔服務器發送請求，獲取加密的涉密文檔。

（5）Docker容器獲得加密的文檔后，開始通過配置參數對加密文檔解密，并嵌入水印，用戶通過Docker容器提供的功能使用涉密文檔，同時Docker容器實現對涉密文檔使用的安全程控制，監控用戶的使用行為。

本文實現涉密電子文檔保護機制的偽代碼為：

Algorithm Protection mechanism of classified electronic documents

User client：U? ?Security attributes and policy management：S

Secret-related document server：SDS

1：U sends authentication request to S;

2：if authenticati.on results == true：

3：? ? U sends the use request of Secret-related documents to S;

4：? ? if use request == true：

5：? ? ? ? ?S sends permission to U，Configure and specify docker

mage that U can use;

6：? ? ? ? ?U gets the docker image and starts running;

7：? ? ? ? ?The docker container layer sends requests to the SDS;

8：? ? ? ? ?The SDS returns secret-related electronic document;

9：? ? ? ? ? ? The docker container layer decrypts the secret-related

electronic documents and adds digital watermark;

10：? ? ? ? ? ? ? ? ?U uses the secret-related electronic documents by

accessing docker container;

11：? ?end if

12：end if

3? 結? 論

本文提出了一種新的基于虛擬容器與數字水印的涉密電子文檔保護機制。該保護機制使用Docker這一虛擬化技術來控制用戶對涉密電子文檔的訪問，并同時使用數字水印技術給涉密電子文檔嵌入水印，追蹤到文檔的泄漏源頭，跟蹤侵權行為。由于Docker的隔離性與封閉性，可以通過其中配置策略實現對電子文檔的保護，阻止用戶通過漏洞來繞過預定的涉密文檔安全防護策略。電子文檔進入Docker容器之后，才會解密，因此即使Docker容器被攻擊失效，加密的電子文件也不會泄密。本文提出的涉密電子文檔保護機制可以進行非常靈活的配置，可以實現對涉密電子文檔的安全保護功能和目標。

參考文獻：

[1] 孟曉春.Word與Adobe Acrobat PDF文檔的水印算法研究 [D].西安：西安科技大學，2013.

[2] 徐振.電子文檔版權保護系統的設計與實現 [D].成都：電子科技大學，2013.

[3] 石廣麗，馬曉晨.電子文檔保護問題及對策 [J].科學與財富，2017（4）：390-390.

[4] 張翔.網絡環境下計算機終端文檔加密與管理 [J].網絡安全技術與應用，2016（7）：52+54.

[5] 黃俊琿.基于水印的銀行電子文檔完整性保護問題研究 [D].廣州：廣東財經大學，2016.

[6] 邢少敏，馮維，王泉景.基于區塊鏈技術的涉密電子文檔保護方案研究 [J].信息安全研究，2017，3（10）：884-892.

[7] 劉豐威，董茵，潘煒，等.基于點陣二維碼水印技術的文檔安全保護探析 [J].新型工業化，2020，10（7）：19-20.

[8] 蘇軍.Docker容器安全管控技術研究 [J].網絡安全技術與應用，2020（11）：21-22.

[9] 陳偉，涂俊亮.Docker容器安全的分析研究 [J].通信技術，2020，53（12）：3072-3077.

[10] 劉昱良，何璐.基于Docker技術的容器云平臺淺析 [J].大眾科技，2021，23（1）：15-17+20.

[11] 呂彬，徐國坤.Docker容器安全性分析與增強方案研究 [J].保密科學技術，2021（1）：15-22.

[12] 閆實.數字文檔版權保護的零水印算法研究 [D].西安：西安科技大學，2014.

[13] 李高遠.兩種新型PDF文檔水印算法 [D].西安：西安科技大學，2016.

[14] 張航.用文檔加密實現電子檔案的安全保護 [J].陜西檔案，2015（2）：49-50.

[15] 王甜甜.基于關鍵字符的Word文檔脆弱水印算法 [D].成都：西南交通大學，2013.

作者簡介：錢小軍（1981—），男，漢族，江蘇南京人，中級工程師，中級測評師，CISP，CIIPT，本科，研究方向：網絡應用與安全。

收稿日期：2021-02-10