CN105786521B

CN105786521B - 一种文件外发保护方法和装置

Info

Publication number: CN105786521B
Application number: CN201610156629.4A
Authority: CN
Inventors: 陈峰峰
Original assignee: Goldencis Inc
Current assignee: Goldencis Inc
Priority date: 2016-03-18
Filing date: 2016-03-18
Publication date: 2020-05-19
Anticipated expiration: 2036-03-18
Also published as: CN105786521A

Abstract

本发明公开了一种文件外发保护方法和装置，方法包括：步骤1)在发送端，将需要发送的文件统一打包并发送；步骤2)在接收端，获取用户点击外发文件的操作，执行以下行为：建立外发目录，并将所述外发文件中的相应文件释放到外发目录中，且所述外发目录不能被任何进程访问；启动一虚拟桌面，并在所述虚拟桌面中显示所有释放后的文件；接受用户点击某一个文件的操作，查询并调用系统中的对应应用程序，在所述虚拟桌面中打开对应的文件。

Description

一种文件外发保护方法和装置

技术领域

本发明属于计算机领域，尤其涉及一种基于虚拟桌面的文件外发保护方法和装置。

背景技术

在一个企业的日常工作中，经常遇到需要把电子文档发给客户和外部人员进行一些诸如产品展示或试阅读的场景，而这往往伴随着极大的风险，如珍贵的CAD图纸，直接发出去后不再受控，有极大的泄密风险。所以近年来文档安全市场上出现了很多外发防泄密解决方案，旨在解决企业内部把文档外发后的泄密问题。

在多种现有的解决方案中，外发防泄密分两步：第一步是把要外发的文件打包成一个独立的文件(类似rar)，这种文件格式都是自己开发的；第二步是使用外发文件浏览器(基于第一步自己开发的文件格式适配)抽取其中的文件，并使用API HOOK建立沙箱并控制进程行为(如HOOK函数StartDocW可以做到禁止打印)，在沙箱环境中打开文件。

现有方案在一定程度上解决了大半的外发防泄密问题，但同时也有比较明显的缺陷：

1.使用大量的API HOOK来建立外发沙箱环境，开发量大，并且系统兼容性差(APIHOOK的天性)。

2.由于外发环境和本地环境没有从根本上隔离，导致泄密漏洞很多，整个外发方案其实都是在堵各种泄密漏洞。如同时打开外发包中的文件和本地正常的文件，两个文件同时能看到，此时从外发包中的文件复制文件内容到本地正常的文件中，很难控制。

发明内容

本发明所要解决的技术问题是提供一种节能开发量的文件外发保护方法，用以解决现有技术存在的问题。

本发明解决上述技术问题所采取的技术方案如下：

一种文件外发保护方法，包括：

步骤1)在发送端，将需要发送的文件统一打包成一外发文件，并发送该外发文件至接收端；

步骤2)在接收端，获取用户点击外发文件的操作，执行以下行为：

建立外发目录，将外发文件中的相应文件释放到外发目录中，且所述外发目录不能被任何进程访问；

启动一虚拟桌面，并在所述虚拟桌面中显示所有释放后的文件；

接受用户点击某一个文件的操作，查询并调用系统中的对应应用程序，在所述虚拟桌面中打开对应的文件。

优选的是，在步骤2)中，调用系统的API CreateDesktop创建所述虚拟桌面，并在所述虚拟桌面中运行启动器，在启动器中展示所述文件，然后调用API SwitchDesktop从普通桌面切换至所述虚拟桌面，切断虚拟桌面和外部的网络。

优选的是，步骤2)中，还包括：在所述虚拟桌面中打开对应的文件后，对该文件进行授信，使其能够访问所述外发目录，但不可以将文件另存为到其他目录。

优选的是，还包括步骤3)，在当用户选择退出虚拟桌面时，回收外发沙箱环境并回写外发文件，最后删除外发目录并切换回普通桌面。

优选的是，步骤1)前，预先设定外发文件的文件格式，其包括：文件头、外发文件描述表、外发文件体，其中，文件头定义外发权限、外发文件描述表定义本次外发共有哪些文件、外发文件体包含了真正的文件，以密文方式存储。

优选的是，步骤1)中，将需要发送的所有外发文件统一打包，具体包括：

获取需要外发的具体文件，并将其打包成一压缩文件，并将该压缩文件加密处理后写入以上外发文件，并对每个文件的合法性进行校验。

优选的是，步骤2)中，建立外发目录包括以下子步骤：

21)解析所述外发文件是否合法，包括文件头标志、文件版本是否支持，并在校验合法后，读取文件描述表备用；

22)验证外发文件打开次数，判断是否超过设定值，如果打开次数超过设定的值，则该外发文件作废；

23)验证外发文件绑定的机器码，如果机器码不符合，不再继续分析；

24)验证外发文件打开时间，如果打开时间与当前时间不符，不再继续分析；其中，如定义采取网络时间，则通过网络验证，如无法验证，则不在继续分析；

25)验证外发文件打开密码，如果用户密码输入错误，则不再继续分析；

26)释放相应保护驱动并启动驱动服务，其中，如果启动失败，则不再继续释放文件。

27)将外发文件的外发文件提释放出来，并解密，解密后验证文件是否是合法的压缩文件，如果无法解密或压缩文件非法，则不再继续释放文件；

28)将压缩文件解压到外发目录中，并使用以上驱动服务保护该目录，并删除释放的压缩文件；

29)遍历外发目录，并与以上外发文件的文件描述表进行比较，如果文件不符合，则删除外发目录，并退出整个过程，如比较成功后将外发目录标记为重启删除。

优选的是，所述步骤3)中，回收外发沙箱环境并回写外发文件，包括以下子步骤：

31)清空剪贴板；

32)检查所有外发的文件是否发生变化，如果有变化，则将整个外发目录打包成标准压缩文件，再加密，然后回写回外发文件；

33)粉碎外发目录；

34)关闭所有虚拟桌面中的进程，如果关闭失败，则杀死进程；

35)停止外发相关驱动服务，并删除服务，然后将遗留在本地的无关程序全部删除；

36)调用SwitchDesktop返回普通桌面。

一种文件外发保护装置，位于接收端，包括：

接收单元，用于接收从发送端接收的文件外发文件；

操作执行单元，用于获取用户点击外发文件的操作，执行以下行为：

建立外发目录，并将所述外发文件中的相应文件释放到外发目录中，且所述外发目录不能被任何进程访问；

启动一虚拟桌面，并在所述虚拟桌面中展示所有释放的文件；

接受用户点击某一个外发文件的操作，查询并调用系统中的对应应用程序，在所述虚拟桌面中打开对应的文件。

优选的是，所述操作执行单元，进一步用于调用系统的API CreateDesktop创建所述虚拟桌面，并在所述桌面中运行虚拟桌面的启动器，然后调用API SwitchDesktop从普通桌面切换至所述虚拟桌面，切断虚拟桌面和外部的网络。

本发明采取了上述方案以后，具有以下的技术优点：

1.不容易出现漏洞，不用因为用户发现新的泄密漏洞而疲于修改程序；

2.对API HOOK的依赖相对传统方案非常小，系统兼容性很好；

3.有独立的虚拟桌面环境，明显区别于普通桌面环境，醒目，体验更好。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

下面结合附图对本发明进行详细的描述，以使得本发明的上述优点更加明确。其中，

图1是本发明文件外发保护方法的流程示意图；

图2是本发明文件外发保护方法的一个实施例的示意图；

图3是本发明文件外发装置的结构示意图。

具体实施方式

以下将结合附图及实施例来详细说明本发明的实施方式，借此对本发明如何应用技术手段来解决技术问题，并达成技术效果的实现过程能充分理解并据以实施。需要说明的是，只要不构成冲突，本发明中的各个实施例以及各实施例中的各个特征可以相互结合，所形成的技术方案均在本发明的保护范围之内。

其中，首先对本发明涉及的技术名词进行说明。

外发防泄密：将企业内部文件发送到外部环境，仍能对文件进行防泄密控制的技术。

虚拟桌面：一个桌面环境，与普通的explorer桌面相隔离，一个闭环用户操作空间。

外发沙箱环境：将一个或一组文件外发后，在外部环境打开时建立的一个沙箱环境，在此沙箱中文档无法泄密。

实施例一：

如图1所示，一种文件外发保护方法，包括：

步骤2)在接收端，获取用户点击外发文件的操作，执行以下行为：建立外发目录，将外发文件中的相应文件释放到外发目录中，且所述外发目录不能被任何进程访问；其中，使用驱动保护外发目录不能被任何进程访问，使用驱动对目录进行保护有很多技术可以做到，在此不赘述。

启动一虚拟桌面，并在所述虚拟桌面中显示所有释放后的文件。

其中，本发明相对于现有技术来说，主要是使用了虚拟桌面使得外发沙箱环境和本地环境进行了明显的隔离，使得外发防泄密的思路得到本质转变——变被动为主动，不再是封堵各种泄密漏洞，而是在虚拟桌面中先把和外界的交互一刀切全干掉，再定义规则用户可以做哪些操作，从而做到防泄密。

实施例二：

其中，本发明实施例中，外发文件打包与现有技术大同小异，其中，主要的关键点在于外发沙箱环境的建立。

具体来说，步骤2)中，调用系统的API CreateDesktop创建所述虚拟桌面，并在所述虚拟桌面中运行启动器，在启动器中展示所述文件，然后调用API SwitchDesktop从普通桌面切换至所述虚拟桌面，切断虚拟桌面和外部的网络。

并且，在所述虚拟桌面中打开对应的文件后，对该文件进行授信，使其能够访问所述外发目录，但不可以将文件另存为到其他目录。

此外，在当用户选择退出虚拟桌面时，回收外发沙箱环境并回写外发文件，最后删除外发目录并切换回普通桌面。

也即是说，以上虚拟桌面是一个闭环操作环境，其与外部环境隔离，能够实现较高的安全等级。

其中，建立外发目录包括以下子步骤之一或者组合：

28)将压缩文件解压到外发目录中，并使用以上驱动保护该目录，并删除释放的压缩文件；

其中，以上子步骤并非全部都包含，根据相应的控制策略，可将以上控制策略任意组合，以此实现较为灵活的文件包验证。

实施例三：

结合具体的实现方式进行说明，其中，本方案在技术实现上有两个关键点：一是外发目录的形成，二是外发环境的回收。

外发目录的形成：

首先说下外发文件的格式，本实施例中的外发文件称为GOP文件，GOP格式相对比较简单，由外发文件头，外发文件描述表，外发文件体组成，定义结构如下：

文件头定义了一系列外发权限(外发权限是每个外发解决方案都会提供的接口，本文不详述)，并预留了足够的空间做为未来的权限扩展，关键点在于外发ZIP文件，无论外发多少文件，最终会打包成一个ZIP文件，并将ZIP文件加密处理后写入GOP文件。文件描述表定义了本次外发共有哪些文件，并对每个文件的合法性进行校验。

外发目录建立过程如下：

解析GOP是否是合法的，包括GOP头标志、GOP文件版本是否支持、最关键的在于校验和是否正确，如果校验和不正确，说明GOP可能被非法修改过，该GOP文件作废。除了校验GOP头外，读取文件描述表备用。

验证GOP文件打开次数(如果外发权限中设定了打开次数)，如果打开次数超过设定的值，则该GOP文件作废。

验证GOP文件绑定的机器码(如果外发权限中设定了绑定机器)，如果机器码不符合，不再继续分析。

验证GOP文件打开时间(如果外发权限中设定了打开时间)，如果打开时间与当前时间不符，不再继续分析，同时如果外发权限规定了使用网络时间，则会进行网络验证，如果PC无法连接到互联网，则无法打开GOP文件。

验证GOP文件密码(如果外发权限中设定了打开密码)，如果用户密码输入错误则不再继续分析。

释放相应保护驱动并启动驱动服务，如果启动失败(如可能被其他安全软件拦截)，则不再继续释放文件。

将GOP文件后面的外发文件体释放出来，并解密，解密后验证文件是否是合法的ZIP文件，如果无法解密或ZIP非法，说明文件可能被暴力破解过，不再继续释放文件。

将ZIP文件解压到外发目录中，使用步骤6)建立的驱动保护该目录，并删除步骤7)释放的ZIP文件。

遍历外发目录，与步骤1)读出的文件描述表进行比较，如果文件不符合，则删除外发目录，并退出整个过程。比较成功后将外发目录标记为重启删除，以免异常断电情况下最终外发目录无法删除。外发目录中每个文件本身也是加密的，即使用户用暴力手段(如强制断电后把硬盘拆走)也不会泄密。

经过以上步骤，将外发文件成功释放到本地，在这之后调用CreateDesktop创建独立虚拟桌面，在此桌面中运行外发启动器，然后调用API SwitchDesktop切换到虚拟桌面，并切断虚拟桌面的网络。然后用户就只能在受限的虚拟桌面中进行操作，无法以任何方式将文件带出虚拟桌面。外发系统等待用户阅读、修改外发文件后，手动退出虚拟桌面，然后进入外发环境回收流程：

外发沙箱环境总体是比较复杂的，外发环境退出时需要回收一些资源，如驱动的卸载(否则会在外发环境中留下痕迹)，外发文件的删除等。外发环境回收流程如下：

清空剪贴板，因为用户可能在外发沙箱中复制了文件内容，或者截图，企图带到普通桌面。调用OpenClipboardEmptyClipboardCloseClipboard即可简单完成。

检查所有外发文件是否发生变化，如果有变化，则将整个外发目录打包成标准ZIP，再加密，然后回写回GOP，这个做的目的在于外发文件支持编辑，这样用户下次打开这个外发文件后，会发现外发文件是他上次修改后的结果。

粉碎外发目录，粉碎后在外发计算机上不留痕迹，通过硬盘恢复工具也无法发现文件存在的痕迹。

尝试关闭所有虚拟桌面中的进程，如果关闭失败，则杀死进程，因为退出虚拟桌面后就无法再看到这些程序，程序仍然运行的话会为系统带来负担。

停止外发相关驱动服务，并删除服务，然后将遗留在本地的无关程序全部删除。

调用SwitchDesktop返回普通桌面。

其中，从用户双击打开GOP文件到切换到虚拟桌面，再到最后退出虚拟桌面回到普通桌面时，程序做了很复杂的操作，但是这一些对用户来说是透明的。用户会注意到进入虚拟桌面时只能进行受限的操作，退出虚拟桌面后和进入虚拟桌面前整个系统没有任何变化，整个外发浏览就像进行了一次愉快的短途旅行，体验非常好。

下面以一次真实的外发经历讲述下整个方案的效果：

如图2所示，小张是公司新来的UI设计实习生，在设计一个UI元素后小张想请自己的师父小刘帮忙看看，但是又怕公司的文档泄漏，于是使用本方案打了一个外发包，把外发包发给了小刘。小刘拿到外发包后，打开进入了一个新的桌面，在这个桌面中详细浏览了小张的设计，并在图纸上标注了一些自己的意见，退出虚拟桌面。然后小刘把GOP文件返还给小张，小张拿到后在公司内部将图纸提取出来。

实施例四：

与以上方法实施例相对应，本发明还提供了一种文件外发保护装置，其位于接收端，如图3所示，包括：接收单元，用于接收从发送端接收的文件外发文件；操作执行单元，用于获取用户点击外发文件的操作，执行以下行为：

其中，所述操作执行单元，进一步用于调用系统的API Create Desktop创建所述虚拟桌面，并在所述桌面中运行虚拟桌面的启动器，然后调用API SwitchDesktop从普通桌面切换至所述虚拟桌面，切断虚拟桌面和外部的网络。

该装置实施例具有以上方法实施例相同的效果，即：

1.不容易出现漏洞，不用因为用户发现新的泄密漏洞而疲于修改程序。

2.对API HOOK的依赖相对传统方案非常小，系统兼容性很好。

需要说明的是，对于上述方法实施例而言，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本申请所必须的。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。

最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种文件外发保护方法，其特征在于，包括：

2.根据权利要求1所述的文件外发保护方法，其特征在于，在步骤2)中，调用系统的APICreateDesktop创建所述虚拟桌面，并在所述虚拟桌面中运行启动器，在启动器中展示所述文件，然后调用API SwitchDesktop从普通桌面切换至所述虚拟桌面，切断虚拟桌面和外部的网络。

3.根据权利要求1所述的文件外发保护方法，其特征在于，步骤2)中，还包括：在所述虚拟桌面中打开对应的文件后，对该文件进行授信，使其能够访问所述外发目录，但不可以将文件另存为到其他目录。

4.根据权利要求1所述的文件外发保护方法，其特征在于，还包括步骤3)，在当用户选择退出虚拟桌面时，回收外发沙箱环境并回写外发文件，最后删除外发目录并切换回普通桌面。

5.根据权利要求1所述的文件外发保护方法，其特征在于，步骤1)前，预先设定外发文件的文件格式，其包括：文件头、外发文件描述表、外发文件体，其中，文件头定义外发权限、外发文件描述表定义本次外发共有哪些文件、外发文件体包含了真正的文件，以密文方式存储。

6.根据权利要求1所述的文件外发保护方法，其特征在于，步骤1)中，将需要发送的所有外发文件统一打包，具体包括：

7.根据权利要求1或2所述的文件外发保护方法，其特征在于，步骤2) 中，建立外发目录包括以下子步骤：

24)验证外发文件打开时间，如果打开时间与当前时间不符，不再继续分析；其中，如定义采取网络时间，则通过网络验证，如无法验证，则不再继续分析；

26)释放相应保护驱动并启动驱动服务，其中，如果启动失败，则不再继续释放文件；

27)将外发文件的文件释放出来，并解密，解密后验证文件是否是合法的压缩文件，如果无法解密或压缩文件非法，则不再继续释放文件；

28)将压缩文件解压到外发目录中，并使用驱动服务保护该目录，并删除释放的压缩文件；

8.根据权利要求4所述的文件外发保护方法，其特征在于，所述步骤3)中，回收外发沙箱环境并回写外发文件，包括以下子步骤：

31)清空剪贴板；

33)粉碎外发目录；

36)调用SwitchDesktop返回普通桌面。

9.一种文件外发保护装置，位于接收端，其特征在于，包括：

接收单元，用于接收从发送端接收的文件外发文件；

10.根据权利要求9所述的文件外发保护装置，其特征在于，所述操作执行单元，进一步用于调用系统的API CreateDesktop创建所述虚拟桌面，并在所述桌面中运行虚拟桌面的启动器，然后调用API SwitchDesktop从普通桌面切换至所述虚拟桌面，切断虚拟桌面和外部的网络。