基于虛擬容器與數字水印的加密電子文檔保護機制研究

金彥旭　毛正雄　何映軍等

關鍵詞：虛擬容器；數字水印；加密電子文檔；保護機制

中圖法分類號：TP309 文獻標識碼：A

對于加密電子文檔而言，相關信息內容十分重要，需要采取必要的保護措施，以避免相關信息內容被竊取而帶來不可預計的損失。傳統保護加密電子文檔的主要方式是利用防水墻，然而防水墻的具體部署位置分布在各個客戶端的計算機內，并存在眾多問題。比如，當防水墻存在漏洞時，可能會繞過防水墻，以底層操作系統為依據，此時通常會采用技術手段關閉系統內核，使防水墻失效。防水墻安全防護策略以及具體配置復雜性極高，當實際應用場景發生變化時，無法確保制定的安全防護機制具有較高的統一性，特別是在保護策略改變之后，經常出現失效現象。在傳統加密電子文檔保護方法中，電子文檔加密儲存方法可以對文檔的非法拷貝、復制進行控制，文檔數字水印技術可以對加密電子文檔的截屏和拍照設置權限，甚至能夠對泄密源頭進行追溯。而以虛擬容器和數字水印為基礎的加密電子文檔保護機制不僅能夠有效控制加密電子文檔的非法拷貝、復制、截屏、拍照行為，而且在保護機制失效后，依然能夠保護加密電子文檔的安全。

1以虛擬容器與數字水印為基礎的加密電子文檔保護機制核心技術

1.1虛擬容器技術

作為一種全新的虛擬化技術.Docker能夠為系統提供一個內容簡單、可用性較高的容器接口，可以將依賴項以及具體應用程序打包，轉變成一個具體文件：該文件在運行過程中，會自動生成對應的虛擬容器：在該虛擬容器中，能夠為相關程序的運行提供一個類似于物理機器的運作流程。客戶端通過自主創建容器和使用容器，并將具體應用程序放人對應容器中，進而對容器的版本進行復制、共享。

通常情況下，Docker主要包括3個基本概念，即鏡像、容器、倉庫。其中，鏡像類似于一個具有較高完整性的文件系統，該系統包含操作功能，不僅能夠將程序、資源、庫、配置文件提供給容器，而且能為容器的正常運行準備對應的配置參數：對于容器而言，則是鏡像以實體狀態運行的具體表現，具體內容包括創建容器、啟動容器、停運容器、刪除容器、暫停容器等。容器不僅能夠創建獨立的命名空間，而且能在該空間中運行各項進程，相關進程通常會在隔離環境中運行，具體運行狀態與系統在獨立主機環境中的運行模式高度相似。該功能能夠使容器封裝的應用程序比值具有較高安全性，甚至高于在主機中的運行安全等級。

本文通過對Docker虛擬技術的利用，對容器進行構建與部署，并且在Docker容器中存放加密電子文檔，借助Docker容器的各項功能，對加密電子文檔進行靈活應用，從而使加密電子文檔的各項訪問途徑和措施具有較高的安全性：Docker容器與加密電子文檔服務器接口之間具有交互性特征，能夠為快速、準確獲取加密內容提供幫助。當客戶端獲得加密電子文檔后，便可在Docker容器中對加密電子文檔進行解密，將數字水印添加到文檔中，對客戶端的具體使用行為進行實時監控，并將相關內容生成日志進行保存。

1.2數字水印技術

為了避免出現利用打印、截圖、拍照等方法竊取加密電子文檔的情況，可以將數字水印嵌入加密電子文檔，從而精準定位文檔泄漏點，對侵權行為進行追蹤。通常情況下，文檔數字水印技術的使用方案包括3個類型，即以文本結構為基礎、以語法和語義為基礎、以隨機或統計為基礎。

在以文本結構為基礎的文檔數字水印技術中，將水印嵌入文檔格式中，實際是以Word文檔格式中未使用的空間為依據進行實現，也可以利用PDF格式中“行為標識符不顯示”這一特征，因此，其能夠確保水印信息準確嵌入加密電子文檔。本文選取第2種方式為加密電子文檔添加水印信息，首先，對水印信息進行轉化，使其以二進制數據流的狀態呈現，如“100 110”；然后，對PDF文檔進行解析，獲取交叉引用；接著，將每行的二進制數據流末端標識符修改為“＼r＼n”，只有當出現的二進制信息為1時，才應該將每行的末端標識符修改為“＼n”，否則不變；最后，將末端標識符修改之后的內容生成一個全新文檔，并將水印信息嵌入新文檔。

1.3水印嵌入算法

在水印生成法的作用下，原始水印信息順利嵌入水印序列中，借助Word接口，利用具有良好魯棒性特征的定位算法，對可以嵌入水印信息的字符位置進行精準判斷。定位算法主要是通過對二次剩余原理的充分利用，將當前嵌入字符序列號中的偽隨機函數轉變成一個具體數字，并且經由密鑰運算，得到一個奇素數。在對具體數字是否為該奇素數的二次剩余進行判斷時，可以利用歐拉判別法，結合最終判斷結果，選擇是否在水印信息中嵌入該字符顏色。為了確保定位算法的魯棒性得到有效提升，應該循環開展水印嵌入過程。結合加密電子文檔文本總字數與待嵌入水印長度之間的比值關系，具體水印嵌入輪數由嵌入算法自適應決定，通常不超過5輪。

1.4自適應水印嵌入方法

在初始化文本T中，i=1，sn=1，對字符RGB分量信息進行統一調整：在此過程中，還要對文本T與水印序列W的比值關系進行計算與預處理，將其系數定義為μ，得到的計算式為：

M =α·len/count（T）

式中，α代表的是系數因子，coun，t代表的是計算字符個數對應的函數。根據μ的取值，設定嵌入輪數n。得到：Ifμ∈[0，0.2]

then n：=5;Ifμ∈[0.2，0.25] thenn：=4; Ifμ∈[0.25，0.33]then n：=3;Ifμ∈[0.33，0.5] then n：=2;Ifμ∈[0.5，1]then n：=1.

2加密電子文檔保護機制的構建與實現流程

2.1利用Docker容器保護加密電子文檔

為了確保保護加密電子文檔的目標得到有效實現，首先，要結合加密電子文檔的特點，建立對應的Docker容器。本文Docker容器主要分為4個功能模塊：第1個模塊包括安全防護策略和安全防護功能的配置接口，第2個模塊包括數字水印技術保護功能，第3個模塊包括Docker容器與加密電子文檔服務器的交互接口，第4個模塊包括客戶端使用行為監控系統以及系統日志。

通過使用安全防護策略與安全防護功能的配置接口，能夠對Docker容器中實現加密文件保護功能的具體方式進行優化配置：在數字水印技術保護功能模塊中，通過將數字水印添加到加密電子文檔中，可以使加密電子文檔的版權得到有效保護，并且在加密電子文檔發生泄漏問題時，能夠準確找到泄漏點：在Docker容器與加密電子文檔服務器交互接口中，不僅能對客戶端的身份是否滿足訪問權限要求進行判斷，而且能對加密電子文檔進行加密傳輸和解密操作：在客戶端使用行為監督模塊中.Docker容器能夠對客戶端使用加密電子文檔的時間和內容等行為進行實時監控，并將相關內容生成日志，為后期審計工作和查詢工作的有效開展做好準備。

2.2加密電子文檔保護機制的架構

本文加密電子文檔保護機制以虛擬容器和數字水印技術為基礎，主要分為3個方面，即安全屬性與策略管理、Docker容器、客戶端，并從這3個方面落實各項保護措施，使加密電子文檔在具有較高安全性的環境下能夠正常使用。

安全屬性與策略管理是加密電子文件保護機制構架的最高層，能夠結合實際情況對各種加密電子文檔安全保護策略進行優化配置，不僅能建立健全文檔保護機制中的訪客身份認證機制，而且能對訪客身份和加密電子文檔使用許可策略進行統籌規劃，是加密電子文檔保護機制的核心控制機構：Docker容器能夠為加密電子文檔安全防護功能的充分實現提供保障，在保護機制構架中，其具有核心地位。在Docker容器中，發揮加密電子文檔安全功能的是大量部署在客戶端機器中的動態虛擬容器：客戶端不僅能對用戶的身份進行驗證，而且能在Docker容器中下載容器鏡像，并使其具有啟動鏡像和運行鏡像的功能。

2.3加密電子文檔保護機制的實現流程

本文以虛擬容器和數字水印技術為基礎的加密電子文檔保護機制主要由4個部分組成，即客戶端、安全屬性與策略管理、Docker容器層、加密文檔服務器。結合實際需求，將這4個部分進行交互整合，從而使保護機制具有的功能得到充分實現，具體流程如下。

（1）客戶端在查閱加密電子文檔的過程中，首先，要將自身的身份認證請求發送給系統安全屬性與策略管理模塊，由安全屬性與策略管理模塊對客戶端的身份是否符合加密電子文檔查閱要求進行判斷，并將最終認證結果發送到客戶端。（2）當客戶端身份請求認證成功后，客戶端還應該再次將使用請求發送到系統的安全屬性與安全策略管理模塊中，具體請求主要包括需要查閱的加密電子文檔信息內容、具體查閱方法等。客戶端是否擁有對應加密電子文檔的使用權限，則由系統策略管理模塊進行判斷。（3）當客戶端的使用請求通過后，由系統策略管理模塊將使用許可發送至客戶端，并結合預配置的加密電子文檔使用方法，為客戶端可以使用的Docker鏡像進行指定和配置。（4）當客戶端獲得系統指定并配置好的Docker鏡像后，便可正式啟動運行Docker容器，按照配置好的參數要求啟動后，便可將訪問請求發送給加密電子文檔服務器，從而獲取加密內容。（5）在得到加密電子文檔后，Docker容器便可利用配置參數對加密電子文檔進行解密處理，并將數字水印嵌入其中，向客戶端提供服務。客戶端則利用Docker容器的各項功能，結合自身實際需求，對加密電子文檔進行靈活使用。在此過程中，Docker容器對客戶端使用加密電子文檔的全過程進行安全控制，并對客戶端的使用行為進行實時監控。

3結束語

本文介紹了一種以虛擬容器和數字誰為基礎的加密電子文檔保護機制，通過對Docker虛擬技術相關功能的充分利用，對客戶端訪問加密電子文檔的行為進行控制。在此基礎上，借助數字水印技術，將水印嵌入加密電子文檔中，從而在文檔泄漏后，能夠通過水印追溯到泄漏點，對侵權行為進行跟蹤。由于Docker虛擬技術具有較強的封閉性和隔離性，能夠利用其中的配置策略，對加密電子文檔進行保護，以避免客戶端利用漏洞繞過預先設定的加密電子文檔安全防護策略，從而確保Docker容器接收到加密電子文檔后才會解密。即使Docker容器被惡意攻擊失去效能，依然會對加密電子文檔進行保護，因此，加強對該技術的進一步探索與實踐，能夠為全面提高我國網絡環境安全水平奠定堅實基礎。

作者簡介：

金彥旭（1995—），碩士，助理工程師，研究方向：云計算技術。