1 產品綜述
1.1 開發背景
目前基於雙緩存模型的文件系統驅動技術已成爲文檔安全管理類產品的主流核心技術。由於該項技術需要安裝和加載驅動,所需的系統權限較高。在某些特定的系統環境或者技術管理條款的約束下,禁止操作系統加載第三方驅動程序,導致基於驅動程序開發的文檔管理系統無法部署。由於基於APIHook的應用層加密技術無需加載驅動,在此類環境下,文檔安全管理系統可正常部署。使用TTEFS_User開發包也可快速開發各類文檔管理系統、文檔外發控制系統。具有較高的使用價值。
1.2 術語說明
透明加密
監控程序在後臺捕獲目標進程的文件讀寫操作。在目標進程讀取文件時,監控程序將密文數據在內存中解密;在目標文件寫文件時,將數據以密文形式寫入磁盤。透明加密具有強制性。
ApiHook
一種動態捕獲目標進程API調用的技術手段。該技術廣泛各類安全軟件中,可以捕獲目標進程的文件讀寫操作、窗口操作、剪貼板操作等。ApiHook技術在Windows平臺是高度成熟的。
文件頭數據
文件頭數據是一段二進制數據。該段數據由TTEFS_User將其與文件體本身強制綁定。文件在編輯和複製該文件時,該數據不丟失。用戶可自定義該數據的存儲內容。將文件的控制信息等寫入文件頭。
2 技術架構
系統架構如下圖所示:
3 功能特性
3.1 文檔強制加密
文檔強制加密是指文檔數據有明文形式強制轉換爲密文形式。已加密的文檔仍然可以正常使用。該加密過程對用戶完全透明,不影響用戶的操作習慣。TTEFS_User支持強制加密。加密動作不需要人工干預,由控件自動完成。TTEFS內置Office、WPS、AutoCAD、記事本、寫字板、畫圖、Adobe Reader、Adobe Acrobat等常見應用程序。
3.2 一文一密
TTEFS支持爲每一份文件生成一個隨機密鑰。同樣的一分文檔,使用不同的密鑰,產生不同的密文。使用一文一密模式的好處是抗已知明文攻擊。相對於傳統的單一固定密鑰模式,安全性得到了極大提升。
3.3 頭數據駐留
該功能可以使文教體數據可永久駐留在文件中。例如OFFICE文件經過編輯之後,雖然原始文件被臨時文件覆蓋,但原始文件的自定義數據仍然保留。TTEFS_User支持自定義頭數據,用戶可將文檔的權限控制信息(如過期時間、密級、打開次數限制、打印控制)存入自定義數據區。
3.4 EXE防僞造
TTEFS_User支持以MD5或者數字簽名驗證驗證EXE的合法性。防止用戶通過篡改EXE程序名稱的方式獲取明文數據。
3.5 手動文件加密
在某些應用場景中,用戶並不需要所有的文檔都被加密,只希望某些重要的文檔被加密。TTEFS_User支持手動加密模式,被加密的文件一直處於被加密的狀態,未加密的文件將被TTEFS_User忽略。該功能俗稱爲“半透明文件加密”。TTEFS_User允許用戶或者程序開發者自定義文件加密的時機。
3.6 另存爲加密
TTEFS_User支持捕獲應用程序的另存爲事件。防止用戶通過另存爲方式把加密文件另存爲未知擴展名的文件,使加密文檔轉變爲明文數據。
3.7 文件權限控制
TTEFS_User支持文檔權限控制功能。控制目標是當前用戶打開的文檔。具體功能項包括:禁止查看、文檔只讀、禁止打印、禁止剪貼板拷貝、禁止文件另存爲、禁止內容拖拽。
3.8 文檔操作日誌
TTEFS_User可捕獲文檔的操作行爲。爲管理員審計用戶操作行爲提供基礎數據。支持捕獲文檔的打開、關閉、打印、另存爲等事件。
3.9 加密文檔圖標顯示
根據文檔密級標識信息顯示圖標,能夠在不打開文檔的情況下,一目瞭然的瞭解本機的加密文檔狀態。
3.10 SHELL右鍵菜單
用戶可以右鍵菜單模塊加密、解密文件和編輯加密文件的頭數據。
3.11 業務系統兼容
業務系統分爲C/S架構和B/S架構。TTEFS_User可自動無縫集成於B/S架構的系統。對於C/S架構的業務系統。TTEFS_User提供配置接口。正確配置後,即可與業務系統協同運行。
3.12 平臺支持
支持Windows XP、Windows 7 (X86+X64) 、Windows 8(X86+X64) 、Windows 8.1 (X86+X64)、、Windows 10 (X86+X64)
3.13 部署方式
以桌面應用程序方式部署到計算機。
4 合作方式和服務
TTEFS_User支持源代碼和SDK級別合作。並且提供附加服務,直到客戶完成產品開發。更多具體細節可詳談。
聯繫QQ: 7_6_2_1_8_8_3_3_6
更多產品: http://www.byte2code.com