CN104657637B - 文档信息嵌入、追踪方法和系统及代理服务设备 - Google Patents

文档信息嵌入、追踪方法和系统及代理服务设备 Download PDF

Info

Publication number
CN104657637B
CN104657637B CN201510046322.4A CN201510046322A CN104657637B CN 104657637 B CN104657637 B CN 104657637B CN 201510046322 A CN201510046322 A CN 201510046322A CN 104657637 B CN104657637 B CN 104657637B
Authority
CN
China
Prior art keywords
document
information
office
trace files
forwarding
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510046322.4A
Other languages
English (en)
Other versions
CN104657637A (zh
Inventor
张志良
梁景波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Network Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Network Technology Shenzhen Co Ltd filed Critical Sangfor Network Technology Shenzhen Co Ltd
Priority to CN201510046322.4A priority Critical patent/CN104657637B/zh
Publication of CN104657637A publication Critical patent/CN104657637A/zh
Application granted granted Critical
Publication of CN104657637B publication Critical patent/CN104657637B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/16Program or content traceability, e.g. by watermarking

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种文档信息嵌入、追踪方法和系统及代理服务设备,其接收自局域网内源终端节点向外网上传的第一office文档;根据配置策略将转发行为信息生成xml格式的追踪文件,所述转发行为信息至少包括:所述源终端节点登录信息、所述源终端节点的IP地址及office文档上传时间;将所述xml格式的追踪文件嵌入到所述第一office文档中,获得第二office文档用于上传。其可在信息泄露之后,可以通过查看或者解密被泄密Office文档中的操作者信息,来获取泄密行为产生的相关信息。

Description

文档信息嵌入、追踪方法和系统及代理服务设备
技术领域
本发明涉及计算机网络安全技术领域,特别是涉及一种office文档的文档信息嵌入、追踪方法和系统及代理服务设备。
背景技术
随着互联网技术的发展,传统企业的业务都开始向互联网迁移,企业在感受互联网带来巨大发展机遇的同时,也面临新的挑战。其中,信息泄露就是其中的挑战之一。目前对于文档安全管理比较常用的方式有,在文档中嵌入水印加密、通过在交换机侧设置网关审计设备、对需要保密的文档进行归类监管。但这些都仅限于前期的文档监控和监管,对于后期的针对Office文档的追踪目前常用的是通过网关审计设备来实现。而审计设备最直接的缺陷是由于存储容量等限制,不利于长期保存审计信息。此外,当内部文档被泄密并转载于多个网站时,要从众多网站中追溯到泄密起源,十分困难。所以说目前还有没有一种比较有效的可以追踪Office文档源头的方式。
发明内容
基于此,有必要针对现有技术中的问题,提供一种文档信息嵌入、追踪方法和系统及代理服务设备,其利用微软Office文档新版本特有的Open XML特性,通过在特定网络环境下向用户泄露的Office文档中嵌入与信息泄露相关的操作者信息,从而在信息泄露之后,可以通过查看或者解密被泄密Office文档中的操作者信息,来获取泄密行为产生的相关信息。
本发明提供的一种文档信息嵌入方法,其包括:
接收自局域网内源终端节点向外网上传的第一office文档;
根据配置策略将转发行为信息生成xml格式的追踪文件,所述转发行为信息至少包括:所述源终端节点的用户信息及office文档上传时间;
解压所述第一office文档,获得第一目录文件夹;
将所述xml格式的追踪文件嵌入到所述第一目录文件夹中,获得第二目录文件夹;
压缩所述第二目录文件夹,获得第二office文档;
将所述第二office文档上传至外网。
在其中一个实施例中,当所述配置策略为明文嵌入的方式时,所述xml格式的追踪文件为非加密的文件。
在其中一个实施例中,当所述配置策略为加密嵌入的方式时,所述xml格式的追踪文件为将所述转发行为信息通过预设的加密/解密算法加密后生成的xml格式的追踪文件。
在其中一个实施例中,所述方法还包括:提供一用于设置配置策略的接口。
基于上述的文档信息嵌入方法获得的文档泄密追踪方法,其包括:
获取外网中通过所述的文档信息嵌入方法获得的第二office文档;
解压所述第二office文档,获得所述第二office文档对应的第二目录文件夹;
查看所述第二目录文件夹中的含有转发行为信息的xml格式的追踪文件,所述转发行为信息至少包括:源终端节点的用户信息及office文档上传时间;
读取所述转发行为信息;
在用户界面上显示所述转发行为信息。
在其中一个实施例中,在所述读取所述转发行为信息的步骤之前还包括:
判断所述xml格式的追踪文件是否加密,若是则依据预设的加密/解密算法解密所述xml格式的追踪文件后读取所述转发行为信息,若否,则直接读取所述xml格式的追踪文件中的所述转发行为信息。
基于上述方法,本发明还提供了一种文档信息嵌入系统,其包括:
接收单元,用于接收自局域网内源终端节点向外网上传的第一office文档;
追踪文件生成单元,用于根据配置策略将转发行为信息生成xml格式的追踪文件,所述转发行为信息至少包括:所述源终端节点的用户信息及office文档上传时间;
信息嵌入单元,用于解压所述第一office文档获得第一目录文件夹,将所述xml格式的追踪文件嵌入到所述第一目录文件夹中获得第二目录文件夹,压缩所述第二目录文件夹获得第二office文档;及
上传单元,用于将所述第二office文档上传至外网。
在其中一个实施例中,所述系统还包括:用于设置配置策略的接口单元,当所述配置策略为明文嵌入的方式时,所述xml格式的追踪文件为非加密的文件;当所述配置策略为加密嵌入的方式时,所述xml格式的追踪文件为将所述转发行为信息通过预设的加密/解密算法加密后生成的xml格式的追踪文件。
基于上述方法,本发明还提供了一种文档泄密追踪系统,其包括:
数据接收单元,用于获取外网中通过所述文档信息嵌入系统获得的第二office文档;
解压单元,用于解压所述第二office文档,获得所述第二office文档对应的第二目录文件夹,查看所述第二目录文件夹中含有转发行为信息的xml格式的追踪文件,所述转发行为信息至少包括:源终端节点的用户信息及office文档上传时间;
读取单元,用于读取所述转发行为信息;及
显示单元,用于在用户界面上显示所述转发行为信息。
在其中一个实施例中,所述系统还包括:
判断单元,用于判断所述xml格式的追踪文件是否加密,若是则依据预设的加密/解密算法解密所述xml格式的追踪文件后调用所述读取单元读取所述转发行为信息,若否,则直接调用所述读取单元读取所述xml格式的追踪文件中的所述转发行为信息。
基于上述两个系统,本发明还提供了一种代理服务设备,其包括:上述的文档信息嵌入系统;和/或上述文档泄密追踪系统。
通过本发明的上述方法和系统即可实现在信息泄露之后,通过查看或者解密被泄密Office文档中的转发行为信息,来获取泄密行为产生的相关信息,使实现对具体泄密行为人的追溯成为可能。并且本发明中通过将泄密行为相关的转发行为信息嵌入Office文档本身,从而解决了泄密行为信息的持久保存和易操作性问题。
附图说明
图1为本发明文档信息嵌入方法的一个实施例流程示意图;
图2为本发明文档信息嵌入系统的一个实施例结构示意图;
图3为本发明文档泄密追踪方法的一个实施例流程示意图;
图4为本发明文档泄密追踪系统的一个实施例流程示意图;
图5为本发明文档泄密追踪系统的另一个实施例流程示意图;
图6为本发明代理服务器网络设置的拓扑示意图;
图7为本发明的一实施例中文件处理的流程示意图;
图8为本发明的一实施例中word文档abc.docx解压后的目录结构应用截图;
图9为本发明的一实施例中word文档abc.docx解压后顶级目录嵌入trace.xml后的应用截图。
具体实施方式
基于微软Office文档2007及以后版本特有的Open XML特性,本发明在客户端PC不安装特定软件的条件下,可以通过在代理服务器中嵌入office文档的信息嵌入、追踪方法和系统所带来的新功能,在凡经过交换机上传至外网的office文档的原有结构中嵌入与泄密行为人相关的文件,其中泄密行为相关的转发行为信息包括在源终端节点登录的用户名、源终端节点的IP地址、泄密发生的时间等信息。当相关组织发现文档泄密之后,可以通过查看或者解密被泄密office文档中嵌入的转发行为信息,来获取泄密行为产生的相关信息,使实现对具体泄密行为人的追溯成为可能。并且本发明中通过将泄密行为信息嵌入Office文档本身,从而解决了泄密行为信息的持久保存和易操作性问题。
从Microsoft Office 2007版本开始,Open XML文件格式已经成为MicrosoftOffice默认的文件格式。对于该种格式的文档,使用普通的解压缩软件(比如7-zip)即可对其实施解压。对于Office Word文档,解压后顶级目录包括_rels目录、docProps目录、word目录和[Content_Types].xml文件;对于Office Execl文档,解压后顶级目录包括_resl目录、docProps目录、xl目录和[Content_Types].xml文件;对于Office PowerPoint文档,解压后其顶级目录包括_rels目录、docProps目录、ppt目录和[Content_Types].xml文件,同理,对于Office的其他软件文档解压后也具有相同的顶级目录。正是使用Office文档的这种特性,本发明可以向Office文档的任意一级目录嵌入记录有上述泄密行为信息的追溯文件(嵌入追溯文件并不影响文档的使用),来实现本文中所述的上述技术效果。上述OfficeOpen XML:缩写Open XML,是由微软开发的一种以XML为基础并以ZIP格式压缩的电子文件规范,支持Word、Execl、PowerPoint等文件格式。从Microsoft Office 2007版本开始,Office Open XML文件格式已经成为Microsoft Office默认的文件格式。如果对一个Word2007文档使用7-zip类似的解压软件解压后,将会看到一系列的XML文件。以下将具体结合附图详细说明本发明的各个具体实施例。
如图1所示,本实施例提供的一种文档信息嵌入方法,其包括以下步骤:
步骤110,接收自局域网内源终端节点向外网上传的第一office文档;这里的第一office文档优选Microsoft Office 2007版及以上版本的office文档,例如word 2007对应的第一office文档的后缀为docx,Microsoft Office Excel对应的第一office文档的后缀为xlsx,等等,以下第二office文档同此理解。
步骤120,根据配置策略将转发行为信息生成xml格式的追踪文件,这里的转发行为信息至少包括:源终端节点的用户信息及office文档上传时间,这里的用户信息包括源终端节点的登录信息、源终端节点的IP地址等等;而源终端节点登录信息可以是指在源终端节点通过局域网链接外网的登录信息,其至少包括用户名信息,该用户名信息可以为系统管理员将该源终端节点分配给固定用户使用时该固定用户的用户名,或者该源终端节点在局域网内的用户名,或者该源终端节点上登录局域网内服务器的登录名等等用于标识该源终端节点使用者身份的信息。
步骤130,解压上述第一office文档,获得第一目录文件夹;例如,图7所示,通过解压Microsoft Office 2007版及以上版本的word文档“abc.docx”(后缀为docx的word文件)获得含有相关目录的文件夹,这里解压的方式可以是通过选中word文档“abc.docx”后通过普通的压缩(优选7-zip)打开后获得窗体1所示的界面示意图,该窗体1中包括的目录结构有_rels目录、docProps目录、word目录和[Content_Types].xml文件,具体可参见图8所示的应用截图。
步骤140,将xml格式的追踪文件trace.xml嵌入到第一目录文件夹中,获得第二目录文件夹;例如,如图7所示,在上述窗体1中的文件夹目录下嵌入trace.xml后获得窗体2所示的界面示意图,其中被嵌入了追踪文件trace.xml;而这时,针对Microsoft Office 2007版及以上版本的word文档对应的第二目录文件夹包括trace.xml、_rels目录、docProps目录、word目录和[Content_Types].xml文件,具体可参见图9所示的应用截图。
步骤150,压缩上述第二目录文件夹,获得第二office文档;这里通过普通的压缩软件(比如7-zip)将上述第二目录文件夹还原为后缀是docx的word文件,即图7所示的箭头流向的最终结果word文档“abc.docx”。
步骤160,将第二office文档上传至外网。
本实施例的上述方法可以加载在网关代理服务器上,通过上述步骤120至步骤150将有关追踪文件添加在office文档中。在本发明的一个实施例中,通过步骤140可以统一在Office文档的顶级目录嵌入上述xml格式的追踪文件trace.xml,trace.xml中包含转发行为信息,即可以包含上述源终端节点登录信息、源终端节点的IP地址及office文档上传时间等。以Office Word文档为例,嵌入trace.xml文件后,其解压后的顶级目录结构包括_resl目录、docProps目录、xl目录trace.xml和[Content_Types].xml文件。同理,该方法可以适用于Office的其他功能软件文档中。还可以将上述xml格式的追踪文件trace.xml嵌入到第一目录文件夹的子目录中。Xml,即Extensible Markup Language,可扩展标记语言,属于标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。
上述步骤120根据配置策略将转发行为信息生成xml格式的追踪文件中,根据不同的配置策略可以生成不同需求的追踪文件trace.xml,而这里的配置策略主要用于决定上述追踪文件trace.xml是否加密。在本发明的一个实施例中,如图1所示,如当配置策略为明文嵌入的方式时,上述xml格式的追踪文件trace.xml为非加密的文件。而当配置策略为加密嵌入的方式时,上述xml格式的追踪文件trace.xml为将转发行为信息通过预设的加密/解密算法加密后生成的xml格式的追踪文件。在本发明的一个实施例中,这里预设的加密/解密算法优选RSA加密算法,RSA是一种非对称加密算法,在公开秘钥加密和电子商业中RSA被广泛使用。所谓非对称加密算法,是指需要公开秘钥和私有秘钥两个秘钥。如果用公开秘钥对数据进行加密,只有用对应的私有秘钥才能解密。当然本发明也不限于只采用此一种加密算法,还可以采用其他本领域技术熟知的加密算法,在此不作详述。对于非加密或加密的xml格式的追踪文件会赋予一个属性标志,而根据该属性标志即可判断该xml格式的追踪文件是否加密,用于在后面的追踪方法中判断xml格式的追踪文件是否加密。
为了可以对上述配置策略进行灵活配置和选择,在本发明的一个实施例中,还提供一用于设置配置策略的接口,用于将步骤120中的配置策略设定为明文嵌入的方式和加密嵌入的方式中的一种。
基于上述文档信息嵌入方法,本发明的一个实施例中还提供了一种文档信息嵌入系统200,如图2所示,其包括:
接收单元210,用于接收自局域网内源终端节点向外网上传的第一office文档;
追踪文件生成单元220,用于根据配置策略将转发行为信息生成xml格式的追踪文件,转发行为信息至少包括:源终端节点的用户信息及office文档上传时间,这里的用户信息包括源终端节点的登录信息、源终端节点的IP地址等等;而源终端节点登录信息是指在源终端节点通过局域网链接外网的登录信息,其至少包括用户名信息,该用户名信息可以为系统管理员将该源终端节点分配给固定用户使用时该固定用户的用户名,或者该源终端节点在局域网内的用户名,或者该源终端节点上登录局域网内服务器的登录名等等用于标识该源终端节点使用者身份的信息。
信息嵌入单元230,用于解压所述第一office文档获得第一目录文件夹,将所述xml格式的追踪文件嵌入到所述第一目录文件夹中获得第二目录文件夹,压缩所述第二目录文件夹获得第二office文档;及
上传单元240,用于将第二office文档上传至外网。
基于上述实施例,本发明的一个实施例中,上述文档信息嵌入系统200还包括:用于设置配置策略的接口单元250,当配置策略为明文嵌入的方式时,xml格式的追踪文件为非加密的文件;当配置策略为加密嵌入的方式时,xml格式的追踪文件为将转发行为信息通过预设的加密/解密算法加密后生成的xml格式的追踪文件。
上述文档信息嵌入系统200中的接收单元210主要是执行上述步骤110,追踪文件生成单元220主要是执行上述步骤120,信息嵌入单元230主要是执行上述步骤130至步骤150,上传单元240主要是执行上述步骤160,则上述文档信息嵌入系统200中的各个功能模块的具体实现方法参见上述图1所示的文档信息嵌入方法的步骤110至160的相关说明。
上述文档信息嵌入系统200以及上述文档信息嵌入方法可以嵌入代理服务器中实现对局域网交换机到外网的数据进行加工处理,还可以嵌入目前已有的局域网监控设备中。这里的代理服务器是指网络的中间实体,代理位于web客户端和web服务器之间,用于代理web客户端访问网络,扮演中间人的角色。
基于上述的文档信息嵌入方法获得的office文档,当该office文档被泄密后,相关组织将通过以下文档泄密追踪方法对其中的转发行为信息进行调阅,如图3所示,文档泄密追踪方法包括以下步骤:
步骤310,获取外网中通过图1所示的文档信息嵌入方法或图2所示的文档信息嵌入系统200获得的第二office文档;这里的第二office文档源自在局域网内源终端节点向外网上传的第一office文档中嵌入了含有转发行为信息的xml格式的追踪文件,而其主要是利用图1所示的文档信息嵌入方法或图2所示的文档信息嵌入系统200来实现在第一office文档中嵌入上述xml格式的追踪文件。
步骤320,解压第二office文档,获得第二office文档对应的第二目录文件夹;
步骤330,查看上述第二目录文件夹中含有转发行为信息的xml格式的追踪文件,转发行为信息至少包括:源终端节点的用户信息及office文档上传时间,这里的用户信息包括源终端节点的登录信息、源终端节点的IP地址等等;而源终端节点登录信息是指在源终端节点通过局域网链接外网的登录信息,其至少包括用户名信息,该用户名信息可以为系统管理员将该源终端节点分配给固定用户使用时该固定用户的用户名,或者该源终端节点在局域网内的用户名,或者该源终端节点上登录局域网内服务器的登录名等等用于标识该源终端节点使用者身份的信息。
步骤340,读取转发行为信息;
步骤350,在用户界面上显示转发行为信息。
基于上述实施例,本发明的一个实施例中,如图3所示,在步骤340读取转发行为信息的步骤之前还包括:
步骤360,判断xml格式的追踪文件是否加密,若是则依据预设的加密/解密算法解密xml格式的追踪文件后读取转发行为信息,若否,则直接直接执行步骤330,读取xml格式的追踪文件中的转发行为信息。本步骤中通过提取xml格式的追踪文件的属性标志来判断该xml格式的追踪文件是否加密。
基于图3所示的文档泄密追踪方法,在本发明的一个实施例中还对应提供了一种文档泄密追踪系统400,如图4所示,其包括:
数据接收单元410,用于获取外网中图1所示的文档信息嵌入方法或图2所示的文档信息嵌入系统200获得的第二office文档;
解压单元420,用于解压第二office文档获得上述第二office文档对应的第二目录文件夹,查看此第二目录文件夹中的含有转发行为信息的xml格式的追踪文件,转发行为信息至少包括:源终端节点的用户信息及office文档上传时间,这里的用户信息包括源终端节点的登录信息、源终端节点的IP地址等等;而源终端节点登录信息是指在源终端节点通过局域网链接外网的登录信息,其至少包括用户名信息。
读取单元430,用于读取转发行为信息;及
显示单元440,用于在用户界面上显示转发行为信息。在本实施例中文档泄密追踪系统400提供了特定用户界面来显示转发行为信息。
基于上述实施例,本发明的一个实施例中,如图5所示,上述文档泄密追踪系统还包括:
判断单元450,用于判断xml格式的追踪文件是否加密,若是则依据预设的加密/解密算法解密xml格式的追踪文件后调用读取单元430读取转发行为信息,若否,则直接调用读取单元430读取xml格式的追踪文件中的转发行为信息。
上述文档泄密追踪系统400中的数据接收单元410主要是执行上述步骤310,解压单元420主要是执行上述步骤320至步骤330,读取单元430主要是执行上述步骤340,显示单元440主要是执行上述步骤350,判断单元450主要是执行上述步骤360,则上述文档泄密追踪系统400中的各个功能模块的具体实现方法参见上述图3所示的文档泄密追踪方法的步骤310至360的相关说明。
上述文档泄密追踪系统400以及上述图3所示的文档泄密追踪方法可以嵌入代理服务器中实现对局域网交换机到外网的所有office文档数据进行加工处理,还可以嵌入目前已有的局域网监控设备中。这里的代理服务器是指网络的中间实体,代理位于web客户端和web服务器之间,用于代理web客户端访问网络,扮演中间人的角色。
图1和图2所示的文档信息嵌入系统200及其方法、与图3和图4、5所示的上述文档泄密追踪系统400及其方法可以不同时存在于一个代理服务器上,当然也可以优选存在于一个代理服务器上。在本发明的一个实施例中提供了一种代理服务设备,其包括:图2所示的上述文档信息嵌入系统200;和/或图4或图5所示的任意一个上述文档泄密追踪系统400。有关上述文档信息嵌入系统200和上述文档泄密追踪系统400的内部功能模块参见前述结合图2和图4或图5的相关说明,在此不累述。
如图6所示,上述实施例提供的包含上述文档信息嵌入系统200和上述文档泄密追踪系统400的代理服务设备可以设置在交换机与外网之间,作为代理网关C,用于对从源终端节点(如图6中的办公用户A、办公用户B)经过交换机上传到外网的所有office文档都进行嵌入上述xml格式的追踪文件trace.xml的处理。为了让追踪文件trace.xml中的保存的有关泄密行为的转发行为信息满足不同场景需求,代理网关C可以通过执行其中加载的文档信息嵌入系统200来提供选择嵌入明文或者加密的转发行为信息,如果选择加密上述转发行为信息,本文使用代理网关内置的RSA算法公钥对trace.xml进行加密。
为方便读取和展示被Office文档中保存的转发行为信息,代理网关C可以通过执行其中加载的文档泄密追踪系统400来在特定的用户界面面上显示上述转发行为信息,可以支持上传Office文档,上传Office文档后,代理网关C在后台判断当前trace.xml的文件属性,如果为明文保存,则直接读出trace.xml中保存的转发行为信息并回显在相关用户界面面。如果trace.xml为加密保存,那么通过代理网关内置的RSA私钥对trace.xml进行解密,并将解密后的转发行为信息回显在相关的用户界面面。
以下结合图6所示的包含上述文档信息嵌入系统200和上述文档泄密追踪系统400的代理服务设备作为代理网关C,被配置在交换机与外网之间的情况时,相应的执行过程。如图6所示,假定存在内网办公用户A和办公用户B,代理网关C部署在网络出口,充当代理服务器代理内网用户访问网络。那么代理网关C对泄密Office文档嵌入追溯文件的过程描述如下。
首先通过文档信息嵌入系统200执行以下步骤完成上述xml格式的trace.xml的嵌入过程。
第一步:办公用户A或办公用户B向网站D上传Office文档E。
第二步:代理网关C首先完成接收Office文档E,根据组织配置的不同配置策略,如果组织配置的配置策略为向Office文档E中嵌入明文的转发行为信息,那么代理网关C将生成明文的追踪文件trace.xml文件,该文件中的明文信息包括:办公用户A或办公用户B的登录信息(包括用户名)、办公用户A或办公用户B使用的IP地址、发送Office文档E的时间等信息。然后将追踪文件trace.xml文件嵌入Office文档E的顶级目录(参见前述解释)中。如果组织配置的配置策略为向Office文档E中嵌入加密的转发行为信息,那么代理网关C先生成明文的trace.xml,该文件中的明文信息包括:办公用户A或办公用户B的登录信息(包括用户名)、办公用户A或办公用户B使用的IP地址、发送Office文档E的时间等信息。然后使用系统内置的RSA算法公钥对追踪文件trace.xml文件进行加密,再将加密后的追踪文件trace.xml文件嵌入Office文档E的顶级目录中。
第三步:代理网关C将嵌入包含转发行为信息的追踪文件trace.xml文件的Office文档上传至网站D。
以上步骤完成了向Office文档中嵌入追踪文件trace.xml的过程。假如事后,相关组织发现内部文档泄密,需要查看该文档的相关泄密信息,那么通过文档泄密追踪系统400执行以下步骤完成上述转发行为信息的查看或调阅过程。
第四步:从网站D(或者其他转载源)下载被泄密的Office文档E。
第五步:将其上传至代理网关C提供的特定用户界面,代理网关C在后台对泄密文档E进行解压,获取追踪文件trace.xml,如果追踪文件trace.xml为明文文件,则直接读取其中转发行为信息包含的办公用户A或办公用户B的登录信息(包括用户名)、办公用户A或办公用户B使用的IP地址、发送Office文档E的时间等信息,并将其回显在特定的用户界面。如果追踪文件trace.xml为加密文件,那么先使用代理网关C内置的RSA算法私钥对其进行解密,然后获取其中转发行为信息包含的办公用户A或办公用户B的用户名、办公用户A或办公用户B使用的IP地址、发送Office文档E的时间等信息,并将其回显在特定的用户界面。
同上所述,图1和图2所示的文档信息嵌入系统200及其方法、与图3和图4、5所示的上述文档泄密追踪系统400及其方法可以不同时存在于一个代理服务器上,当然也可以优选存在于一个代理服务器上。而这里的代理服务器被配置为执行步骤110至步骤160所示的文档信息嵌入方法的步骤,和/或步骤310至步骤350或步骤310至步骤360所示的文档泄密追踪方法的步骤。
上述图1和图3中本发明相关方法的一个实施例的流程示意图。应该理解的是,虽然图1和图3的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,图1和图3中的至少一部分步骤可以包括多个子步骤或者多个阶段,还可以包括增加的步骤或者阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。以上各个实施例在具体说明中仅只针对相应步骤的实现方式进行了阐述,然后在逻辑不相矛盾的情况下,上述各个实施例是可以相互组合的而形成新的技术方案的,而该新的技术方案依然在本具体实施方式的公开范围内。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法和系统或代理服务设备可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品承载在一个非易失性计算机可读载体(如ROM、磁碟、光盘、服务器存储空间)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的系统结构和方法。
综上所述,在网络中的代理网关或类似设备上可以加载前述图1和图2所示的文档信息嵌入系统200及其方法,则可以通过不同配置策略的选择向Microsoft Office文档中嵌入转发行为信息。其中嵌入的转发行为信息可以选择加密或者不加密。其中的转发行为信息包括源终端节点的登录信息、源终端节点的IP地址及上传时间。此外,还可以通过加载前述图3和图4、5所示的上述文档泄密追踪系统400及其方法,使代理网关或类似设备可以阅读或查看获取的泄密文档,将泄密文档上传至代理网关或类似设备的特定用户界面。代理网关或类似设备在后台解压相关泄密文档,根据其中包含的追踪文件的属性,如果追踪文件为明文文件,那么直接读取其中的泄密追溯信息并回显在相关用户界面。如果追踪文件为加密文件,那么先对加密文件解密后再将泄密追溯信息回显在相关用户界面。通过以上方式即可实现在信息泄露之后,通过查看或者解密被泄密Office文档中的转发行为信息,来获取泄密行为产生的相关信息,实现对具体泄密行为人的追溯。并且本发明中通过将泄密行为相关的转发行为信息嵌入Office文档本身,从而解决了泄密行为信息的持久保存和易操作性问题。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (11)

1.一种文档信息嵌入方法,其包括:
代理服务器接收自局域网内源终端节点向外网上传的第一office文档,所述代理服务器位于局域网交换机和外网服务器之间;
根据配置策略将转发行为信息生成xml格式的追踪文件,所述转发行为信息至少包括:所述源终端节点的用户信息及office文档上传时间;
解压所述第一office文档,获得第一目录文件夹;
将所述xml格式的追踪文件嵌入到所述第一目录文件夹中,获得第二目录文件夹;
压缩所述第二目录文件夹,获得第二office文档;
将所述第二office文档上传至外网。
2.根据权利要求1所述的文档信息嵌入方法,其特征在于,当所述配置策略为明文嵌入的方式时,所述xml格式的追踪文件为非加密的文件。
3.根据权利要求1所述的文档信息嵌入方法,其特征在于,当所述配置策略为加密嵌入的方式时,所述xml格式的追踪文件为将所述转发行为信息通过预设的加密/解密算法加密后生成的xml格式的追踪文件。
4.根据权利要求1所述的文档信息嵌入方法,其特征在于,所述方法还包括:提供一用于设置配置策略的接口。
5.基于权利要求1所述的文档信息嵌入方法获得的文档泄密追踪方法,其包括:
获取外网中通过权利要求1至4任意一权利要求所述的文档信息嵌入方法获得的第二office文档;
解压所述第二office文档,获得所述第二office文档对应的第二目录文件夹;
查看所述第二目录文件夹中含有转发行为信息的xml格式的追踪文件,所述转发行为信息至少包括:源终端节点的用户信息及office文档上传时间;
读取所述转发行为信息;
在用户界面上显示所述转发行为信息。
6.根据权利要求5所述的文档泄密追踪方法,其特征在于,在所述读取所述转发行为信息的步骤之前还包括:
判断所述xml格式的追踪文件是否加密,若是则依据预设的加密/解密算法解密所述xml格式的追踪文件后读取所述转发行为信息,若否,则直接读取所述xml格式的追踪文件中的所述转发行为信息。
7.一种文档信息嵌入系统,其特征在于,所述系统包括:
接收单元,用于代理服务器接收自局域网内源终端节点向外网上传的第一office文档,所述代理服务器位于局域网交换机和外网服务器之间;
追踪文件生成单元,用于根据配置策略将转发行为信息生成xml格式的追踪文件,所述转发行为信息至少包括:所述源终端节点的用户信息及office文档上传时间;
信息嵌入单元,用于解压所述第一office文档获得第一目录文件夹,将所述xml格式的追踪文件嵌入到所述第一目录文件夹中获得第二目录文件夹,压缩所述第二目录文件夹获得第二office文档;及
上传单元,用于将所述第二office文档上传至外网。
8.根据权利要求7所述的文档信息嵌入系统,其特征在于,所述系统还包括:用于设置配置策略的接口单元,当所述配置策略为明文嵌入的方式时,所述xml格式的追踪文件为非加密的文件;当所述配置策略为加密嵌入的方式时,所述xml格式的追踪文件为将所述转发行为信息通过预设的加密/解密算法加密后生成的xml格式的追踪文件。
9.一种文档泄密追踪系统,其特征在于,所述系统包括:
数据接收单元,用于获取外网中通过权利要求7至8任意一权利要求所述的文档信息嵌入系统获得的第二office文档;
解压单元,用于解压所述第二office文档获得所述第二office文档对应的第二目录文件夹,查看所述第二目录文件夹中含有转发行为信息的xml格式的追踪文件,所述转发行为信息至少包括:源终端节点的用户信息及office文档上传时间;
读取单元,用于读取所述转发行为信息;及
显示单元,用于在用户界面上显示所述转发行为信息。
10.根据权利要求9所述的文档泄密追踪系统,其特征在于,所述系统还包括:
判断单元,用于判断所述xml格式的追踪文件是否加密,若是则依据预设的加密/解密算法解密所述xml格式的追踪文件后调用所述读取单元读取所述转发行为信息,若否,则直接调用所述读取单元读取所述xml格式的追踪文件中的所述转发行为信息。
11.一种代理服务设备,其特征在于,所述设备包括:
上述权利要求7至8任意一权利要求所述的文档信息嵌入系统;和/或
上述权利要求9至10任意一权利要求所述的文档泄密追踪系统。
CN201510046322.4A 2015-01-29 2015-01-29 文档信息嵌入、追踪方法和系统及代理服务设备 Active CN104657637B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510046322.4A CN104657637B (zh) 2015-01-29 2015-01-29 文档信息嵌入、追踪方法和系统及代理服务设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510046322.4A CN104657637B (zh) 2015-01-29 2015-01-29 文档信息嵌入、追踪方法和系统及代理服务设备

Publications (2)

Publication Number Publication Date
CN104657637A CN104657637A (zh) 2015-05-27
CN104657637B true CN104657637B (zh) 2018-01-09

Family

ID=53248749

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510046322.4A Active CN104657637B (zh) 2015-01-29 2015-01-29 文档信息嵌入、追踪方法和系统及代理服务设备

Country Status (1)

Country Link
CN (1) CN104657637B (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106407820B (zh) * 2016-08-31 2019-12-10 江苏中威科技软件系统有限公司 一种通过水印加密防止文件被篡改、泄露的方法及系统
CN107154939B (zh) * 2017-05-10 2020-12-01 深信服科技股份有限公司 一种数据追踪的方法及系统
CN108182363B (zh) * 2017-12-25 2022-01-07 安天科技集团股份有限公司 嵌入式office文档的检测方法、系统及存储介质
CN108446348A (zh) * 2018-03-08 2018-08-24 广东国地规划科技股份有限公司 一种地址信息嵌入办公文档的方法
CN108809803B (zh) * 2018-04-18 2021-01-19 北京明朝万达科技股份有限公司 一种文件信息防泄密和溯源追踪的方法及系统
CN108650123B (zh) * 2018-05-08 2022-09-06 平安普惠企业管理有限公司 故障信息记录方法、装置、设备和存储介质
CN111030963B (zh) * 2018-10-09 2021-06-08 华为技术有限公司 文档追踪方法、网关设备及服务器
CN111104786A (zh) * 2018-10-26 2020-05-05 北京金山办公软件股份有限公司 一种文档追踪的方法、装置、计算机存储介质及终端
CN112187699B (zh) * 2019-07-01 2021-12-28 中国科学院信息工程研究所 一种文件失窃的感知方法及系统
CN110414195A (zh) * 2019-07-09 2019-11-05 恩亿科(北京)数据科技有限公司 一种数据防伪和溯源方法、系统、介质和计算机设备
CN111090838A (zh) * 2019-12-27 2020-05-01 北京北信源软件股份有限公司 外发文件的追溯标识生成、读取方法及装置
CN112650956A (zh) * 2021-01-06 2021-04-13 携程旅游信息技术(上海)有限公司 Excel文档追踪方法、系统、电子设备及存储介质
CN114520732B (zh) * 2021-12-29 2024-05-28 深圳触海科技有限公司 基于追踪邮件转发地址的邮件保密方法及系统
CN116595498B (zh) * 2023-07-11 2023-09-29 北京升鑫网络科技有限公司 文档追踪溯源方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1790420A (zh) * 2005-12-01 2006-06-21 北京北大方正电子有限公司 一种在文本文档中嵌入及检测数字水印的方法和装置
CN103685209A (zh) * 2012-09-26 2014-03-26 中国电信股份有限公司 互联网媒体文件的溯源处理方法与服务器、通信系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1790420A (zh) * 2005-12-01 2006-06-21 北京北大方正电子有限公司 一种在文本文档中嵌入及检测数字水印的方法和装置
CN103685209A (zh) * 2012-09-26 2014-03-26 中国电信股份有限公司 互联网媒体文件的溯源处理方法与服务器、通信系统

Also Published As

Publication number Publication date
CN104657637A (zh) 2015-05-27

Similar Documents

Publication Publication Date Title
CN104657637B (zh) 文档信息嵌入、追踪方法和系统及代理服务设备
US9825925B2 (en) Method and apparatus for securing sensitive data in a cloud storage system
Mulazzani et al. Dark clouds on the horizon: Using cloud storage as attack vector and online slack space
CN105051750B (zh) 用于加密文件系统层的系统和方法
Gasti et al. On the security of password manager database formats
CN117692170A (zh) 通信方法和设备、折叠数据的方法和系统以及计算机
US9246885B2 (en) System, method, apparatus and computer programs for securely using public services for private or enterprise purposes
IL296952A (en) (Encrypted User Data Transit and Storage Policy): Flexible Hierarchy Object Graphs
US20140281520A1 (en) Secure cloud data sharing
WO2018218953A1 (en) Data backup method and device, storage medium and server
Zhang et al. Frameup: an incriminatory attack on Storj: a peer to peer blockchain enabled distributed storage system
CN102469080A (zh) 实现通行证用户安全登录应用客户端的方法和系统
Virvilis et al. Secure cloud storage: Available infrastructures and architectures review and evaluation
US10963593B1 (en) Secure data storage using multiple factors
US20220014367A1 (en) Decentralized computing systems and methods for performing actions using stored private data
CN104348838B (zh) 一种文档管理系统和方法
Agarkhed et al. An efficient auditing scheme for data storage security in cloud
Koh et al. Encrypted cloud photo storage using Google photos
Huang et al. Private editing using untrusted cloud services
TW201610714A (zh) 合成文件存取技術
CN105187379A (zh) 基于多方互不信任的密码拆分管理方法
CN108701195B (zh) 一种数据安全保护方法及装置
Chen et al. Path leaks of HTTPS Side-Channel by cookie injection
Reimair et al. CrySIL: Bringing Crypto to the Modern User
Zhang et al. Cloud-based data-sharing scheme using verifiable and cca-secure re-encryption from indistinguishability obfuscation

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20200616

Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer

Patentee after: SANGFOR TECHNOLOGIES Inc.

Address before: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park A1 building five floor

Patentee before: Shenxin network technology (Shenzhen) Co.,Ltd.

TR01 Transfer of patent right