CN115935390A - 一种基于属性的安全沙盒内文件动态访问控制和加密方法 - Google Patents

Abstract

本发明面向安全沙盒文件，提供了一种基于属性的动态访问控制和加密方法。该方法收集当前运行环境的时间、文件操作路径、用户身份、文件关键字和文件权限字段等各类属性形成属性集合。从属性集合中提取动态属性，采用策略引擎实现文件的动态访问控制；从属性集合中提取静态属性实施文件的属性基加密，实现了对文件的双重保护。本发明使用动态属性，一方面管理员可以更改属性或策略，实现对文件权限的按需调整；另一方面动态属性有助于对当前运行环境进行实时判断，实现更灵活与安全的访问控制。本发明复用访问控制的属性集合对文件进行加密，在不共享密钥的情况下实现对加密文件的共享。

Description

一种基于属性的安全沙盒内文件动态访问控制和加密方法

技术领域

本发明涉及信息安全领域中的电子文件保护，具体为电子文件的访问控制以及电子文件加密保护。

背景技术

电子文件指终端上所有的企业、政府等组织单位内部流动的文件，内部文件会包含重要决策、机密信息等，一旦泄露会对相应组织造成不利影响。

现有的电子文件保护技术大多靠人工管理或者强制阻断的方式。人工方式依靠管理人员和内部相应政策来进行约束，一方面人工管理存在人员成本，另一方面存在很大主观因素，容易造成文件泄密。强制阻断的方式是指禁用终端上可能发生文件传播的途径如USB、网络设备等，这种方式在如今“互联网+办公”的模式下存在很大弊端，不利于文件在允许的范围内共享，大大降低了工作效率。

目前在部分组织中会实施数据防泄漏系统(Data Leakage Prevention，DLP)，DLP是应用在数据防泄漏场景下的一种系统架构。DLP在数据的生命周期中对数据分类划分和风险评估，同时也有对数据流向的管控。但是目前DLP着重点在于网络侧，主要检查不同网络通信协议中携带的敏感信息，其可以检测网络传输过程中的数据泄露，但是明显不足的是可以检测的泄露途径比较单一，且如果通过虚拟专用网络(Virtual Private Network，VPN)或者使用加密流量将难以检测，需要扩大检测的范围。而目前的终端DLP产品大多只具有加密的功能，缺少在终端上执行控制策略的能力，一旦加密方式被破解或泄露，仍存在有泄密的风险。本发明针对终端文件缺乏管控的问题，将沙盒和文件访问控制结合，在文件透明加解密操作前置访问控制策略引擎，为每个文件附加允许访问的条件如时间、操作路径、用户身份等。同时沙盒策略有效保护了文件不被非可信应用的非法读取和破坏。针对传统的加密方式密钥容易泄露的问题，本发明采用属性基加密的方式，避免了用户对密钥的记忆。

现有技术中，申请号202110739746.4的专利说明书中提出一种文件重定向加解密的系统及方法。该申请在Linux操作系统中通过对文件操作相关函数进行HOOK，在读写文件时在内存中进行加解密。与本发明显著区别在于：该申请应用于Linux操作系统，本发明针对Windows操作系统，其中相关文件操作API显著不同；该申请作用范围是进程内文件操作，本发明拥有对外部明文文件进行文件内容识别以及访问控制能力；该申请对于每个文件请求在内存中对文件解密，本发明基于缓冲区，对加解密进行性能优化；该申请对于文件的采用传统对称加密的方式进行加密，本发明基于属性基加密实现无需记忆密钥的文件加密方式与密文共享的方案。

发明内容

本发明针对文件安全沙盒，提供了一种基于属性的文件动态访问控制和加密方法。针对文件安全沙盒环境缺乏策略管控的问题，将动态访问控制与加密结合，在安全隔离环境中提供一套动态保护文件系统。管理人员可以即时调整访问对象的属性，通过终端上策略引擎，实现对文件的权限进行动态调整。在内核层实现属性基加密，用户操作文件时进行无感知的加解密操作，同时避免了文件在分享过程密钥泄露问题。旨在解决文件在组织内部访问时文件控制策略生效存在延时、文件不易共享以及文件易泄密等问题。

为达到上述目的，本发明方案如下：参阅图1，用户通过所支持的认证方式授权后，在终端为用户建立安全沙盒；捕获用户终端上的文件操作，通过判断文件操作是否处于沙盒环境以及对文件数据进行解析来判断文件是否处于受保护状态；如果文件属于不受保护文件，则仅对文件做隔离保护，如果文件属于受保护文件，则送入访问控制策略引擎中进行处理，来判断用户是否具有此文件对应的操作权限；如果不具备对应权限将会对文件操作进行拦截并记录；如果具备文件对应权限，对文件进行透明加解密，划分文件的读写操作，写入时加密并嵌入用户的属性信息，读取时基于用户的密钥进行解密，基于双缓冲实现透明访问。

具体包括如下步骤：

步骤S1：进行系统初始化，包括系统主密钥和公钥生成、用户身份注册；

步骤S2：用户在终端使用所支持的认证方式登录，获得授权认证后为用户建立安全沙盒环境；

所支持认证方式包括：密码认证、USB-Key认证、证书认证。

步骤S3：在终端安全沙盒中拦截文件操作；

步骤S4：判断一个文件操作所对应的文件是否属于当前安全沙盒；

如果文件属于安全沙盒，则进行步骤6操作；

如果文件不属于安全沙盒，则进行步骤5操作；

步骤S5：文件自识别过程，对文件进行解析，基于文件名称、文件格式以及文件内容进行匹配。如果属性库中存在对应的文件，则将文件通过属性库中属性进行加密，移入沙盒中；如果不存在对应文件则放行文件操作；

步骤S6：收集当前运行环境，具体的，包括时间，文件操作路径，用户身份信息，文件关键字和文件权限字段，通过访问控制策略引擎来得出文件操作是否允许；

如果策略引擎结果为拒绝访问，则丢弃该文件操作；

如果策略引擎结果为允许访问，则对文件读写操作进行区分，进入文件的透明加解密流程；

步骤S7：根据文件操作类型进行加解密操作。

对于文件读操作，读取文件加密标志位；

若为加密文件，则判断是否存在解密缓存，存在缓存的文件直接返回明文文件句柄，如果不存在缓存，使用当前用户属性进行解密，解密成功则返回明文文件句柄并加入缓存中；

若为非加密文件，则返回用户明文文件句柄；

对于文件写操作，在缓存中更新明文，依照相应属性加密文件。

本发明的有益效果包括：

(1)对于文件设计两层保护机制

在现有安全沙盒文件隔离的基础上,引入动态访问控制系统与内核层透明加解密，用户必须同时具有访问权限和解密密钥才能访问文件,任一层无法通过即无法获取对应权限。

(2)管理人员可动态调整文件权限

管理人员可对访问对象(环境、人员)属性进行修改，通过终端侧的策略引擎可实时修改文件的访问权限，即时回收或授权用户权限。整个过程用户无感知。

(3)提升加密文件共享过程中的安全性

传统加密文件共享过程中涉及到密钥的共享，本发明摆脱一文件一密钥的限制，多用户可使用多份密钥解密同一文件，提高加密文件分享过程中的安全性。

附图说明

图1为实施例中的授权用户沙盒环境下发的流程示意图；

图2为实施例中Windows文件操作重定向的示意图；

图3为实施例中对相似文件管控策略定义的示意图；

图4为实施例中终端侧访问控制实现的示意图；

图5为实施例中终端侧文件透明加解密保护实现的流程图；

图6为实施例中文件透明加密方式示意图；

图7为实施例中文件透明解密方式示意图；

图8为本发明提出的基于属性的安全沙盒内文件动态访问控制和加密方法流程图。

具体实施方式

本实施例中提供了一种基于属性的文件动态访问控制和加密方法。

以下是涉及相关名词的说明：

属性：指各类对象的属性，如文件密级、系统时间或用户等级等。

文件：指在终端上受保护的文件，具有一定机密性和对应访问权限。

安全沙盒：在终端操作系统上划分隔离区域，对位于其中的进程所执行的操作进行管控。

访问控制：依照预定义策略在用户进行文件操作时对其进行控制，包括放行和阻止其操作。

属性基加密：根据用户属性、环境属性对文件进行加密。

该基于属性的文件动态访问控制和加密方法步骤如下：

S1：对整个系统进行必要的初始化，进行加解密相关的密钥生成与属性定义等相关操作。

S101：系统授权中心进行密钥初始化，进行系统主密钥MSK的生成和系统公钥PK的生成。

本实施例采用基于双线性配对的密码系统(Pairing-Based Cryptography，PBC)库中提供的相关函数进行实现,选定A类质数阶椭圆曲线y²＝x³+x，对应生成参数见表1。计算所得系统主密钥MSK为128字节。

表1Type A质数阶曲线参数

定义系统中的属性全集，包括用户组、文件组等属性。

本实施例给定一组属性：

Admin：用户组，管理员；

UserGroup：用户组，普通用户；

SuFile：文件组，最高等级文件。

对不同属性进行SHA-256散列计算，通过element_from_hash函数映射到群上的点，追加到系统公钥PK。管理员可以向不同属性组添加对应成员。

S102：用户通过提供身份信息进行注册操作，向授权中心提供的身份信息需要包含一个唯一标识此用户的ID，每个用户提供此特定ID的值都不相同。

S2：用户在终端使用所支持的认证方式登录，获得授权认证后为用户建立安全沙盒环境。图1为该过程示意图。

用户在终端进行授权认证后，服务端生成认证凭证，下发给用户终端，终端以此凭证作为名称建立沙盒环境。注意同一时刻一个凭证只与一个用户进行绑定。实现沙盒动态与用户身份的动态绑定，防止伪造沙盒来获取权限。

S3：在用户终端建立沙盒环境，并通过捕获文件操作来实现与主机隔离。

为本发明提供的一种Windows中文件操作捕获以及重定向方法，如图2所示。该实施例为文件访问控制和加解密保护提供基础能力，通过对文件操作原始API的Hook来实现自有逻辑。发明中的文件操作捕获方法不同于直接通过驱动程序对文件操作进行捕获，是一种在用户态进行捕获的方式。该过程包含以下步骤：

S301：沙盒内进程启动时进行DLL注入，对文件操作API进行Inline Hook，包括NtCreateFile、NtOpenFile、NtDeleteFile、NtReadFile、NtWriteFile等。

S302：创建Windows服务，在服务内实现数据采集、文件加密以及访问控制等判断，对不同的功能点创建命名管道来实现同步或异步的远程过程调用。

S303：在对常用文件API Hook成功后，对原有操作前通过命名管道通信将需要执行的逻辑发送服务端，可以选择同步方式等待远程函数调用返回结果，或者异步方式非阻塞地向下执行原有逻辑。

此方法优势在于尽量把逻辑抽出内核层和Hook内代码。此方案一方面只通过驱动层来确保DLL注入成功，基于逻辑均在ring3层实现；另一方面，尽量在Hook后函数中减少操作，通过命名管道和系统服务将关键逻辑从原有进程空间分离。通过此方案可大幅减少因为Hook代码部分出现问题而造成的原有程序非预期执行和触发PatchGuard造成系统蓝屏崩溃的问题。

S4：发生文件操作时，判断是否为沙盒内文件操作。如果文件属于当前沙盒，则进行步骤6操作，如果文件不属于当前沙盒，进行步骤5操作

在以下场景下判定为沙盒内文件操作：

1)沙盒内进程所访问的文件；

2)文件路径位于沙盒缓存路径。

S5：对文件进行识别，判定其是否属于受保护文件，如图3所示。

此步骤对本发明的文件双层保护机制有益效果体现于用户会存在沙盒外部的文件操作行为，例如文件拷贝、沙盒外文件下载等，所以会存在没有在属性集合内定义的文件，需要根据内容进行相似度判断。该过程包含以下步骤：

S501：对于沙盒外部程序不进行Dll注入，通过MiniFilter过滤驱动拦截文件操作。

S502：在触发PreOperation回调函数时，进行一次过滤，按文件格式进行过滤，例如docx、txt等文档格式文件。

文件格式匹配方式为文件头特征匹配。

(1)对于特定文件格式如docx、png或wav等，通过解析文件的文件头部数据，与特征库进行对比；

(2)对于无特定格式文件，如txt或无格式后缀文件，对其首位32字节进行编码探测，

检测是否属于已知编码集来判断文件是否包含可读的文本信息。

S503：进行内容匹配。对于S302过滤结果进行分类：图片格式、音频格式、文本格式等，将其与系统中文件特征库进行内容匹配。本发明对于内容匹配算法方案提供可编程接口，可由用户提供可选的文件内容相似算法。

特别的，本发明给出使用局部敏感哈希算法来进行离线文本相似度比较方式。

(1)沙盒中进行文本文件创建、修改操作时，对其标记为需要保护的文件，根据局部敏感哈希算法将其哈希后的结果加入该沙盒所对应的哈希表链中。

(2)预设相似度敏感值，即对应汉明距离，本发明采用3作为预设值。如果文本汉明距离小于等于预设值，则认为所操作文本文件与受保护文本相似度很高。

如果沙盒外部文件与受保护文件相似程度很高，则对外部文件按受保护文件对应属性进行加密，赋予其与受保护文件相同的权限，供沙盒内程序访问。

S6：收集当前运行环境，具体的，包括时间，文件操作路径，用户身份信息，文件关键字和文件权限字段，通过访问控制策略引擎来得出文件操作是否允许，如图4所示。

引入基于属性的访问控制来对角色、权限进行统一的描述，使用PERM元模型来进行策略存储，增强了访问控制模型的灵活性。此实施例对本发明有益效果为对文件属性进行分类，把属性集合中的属性区分为静态属性和动态属性，提高访问控制策略的灵活程度，同时实现了在服务端策略更新时进行实时的访问控制策略下发并应用。

该过程包含以下步骤：

S601：属性访问控制策略定义与下发。

S601-1：属性访问控制策略定义。管理员在服务端进行访问控制策略定义。

首先按照PERM元模型进行模型设计，包括请求定义、策略定义、匹配规则定义。本发明将文件访问请求属性分为文件属性、环境属性、文件操作。

文件属性包含：文件名、文件格式以及文件受保护属性；

环境属性包含：计算机时间、计算机标识(S402中会具体说明)、用户凭据以及沙箱环境状态等；

文件操作包含：文件读操作、文件写操作。

下述内容是一种所定义的访问控制模型。

[request_definition]

r＝file,env,act

[policy_definition]

p＝file,env,act

[policy_effect]

e＝some(where(p.eft＝＝allow))

[matchers]

m＝eval(p.file)&&eval(p.env)&&r.act＝＝p.act

在模型确定之后，管理员需要按照策略定义进行策略设置。由上述定义给出一种具体实施策略：

p,

r.file.name＝＝"secret.txt"&&r.file.format＝＝"asciitext"&&r.file.protected＝＝tru e,

r.env.box_name＝＝"DefaultBox"&&r.env.Hour>＝8&&r.env.Hour<＝22&&

r.env.Day>＝1&&r.env.Day<＝5&&r.env.image_name＝＝"notepad.exe"&&r.env.id＝＝"650fe3266b5b152137e362627c581902"&&r.env.user＝＝"eyJhbGbioiJIUzj1NiJ9…",

write

根据策略描述，当发生文件请求时，进行如下匹配：

(1)文件名为“secret.txt”

(2)文件格式为asciitext

(3)文件保护位为受保护状态

(4)当前沙盒名为“DefaultBox”

(5)当前访问时间在周1至周5中8点到22点范围内

(6)当前请求进程为notepad.txt

(7)当前终端标识为"650fe3266b5b152137e362627c581902"

(8)当前用户标识为"eyJhbGbioiJIUzj1NiJ9…"

(9)当前操作为写操作

当有文件请求匹配成功后，即可允许其访问，否则拒绝访问。

S601-2：属性访问控制策略下发。由于本发明在终端侧进行访问控制，所以需要及时与服务端的访问控制策略进行同步。本发明基于ZeroMQ进行策略的下发。

服务端维护策略版本号，当管理员进行策略变更的时候，对版本号进行升级。

终端用户在身份认证通过后，主动向服务端申请当前策略。服务端返回响应请求，返回策略版本，并与本地版本进行比对。如果本地版本号小于服务端，则向服务端请求进行策略同步。

终端用户在使用过程中，客户端与服务端借助ZMQ发布订阅模式实现长连接，服务端进行策略变更时，对新版本号对于所有订阅者队列中客户端进行广播，通知变更。当客户端比对本地版本不一致时向服务端请求进行策略同步。

S602：属性访问控制终端侧实现。本发明提出一种在终端侧实现属性访问控制的方法。

(1)启动本地服务进程，新建命名管道"\\.\pipe\abacpipe"并监听此命名管道,用于接收客户端访问控制相关信息。

(2)通过对沙盒内运行程序进行DLL注入，对文件操作相关API进行Inline hook。当发生对应的文件操作时首先通过命名管道将当前沙盒环境参数、文件属性、文件操作发送服务进程。服务进程在接收到文件请求相关操作时，对策略中缺失的环境参数进行补全，下列出特定缺失参数补全方式：

计算机标识：由系统硬件决定，通过拼接CPUID、BIOS UUID以及系统串号生成字符串，对其进行哈希后记为计算机标识；

系统时间：客户端与服务端进行NTP校时，获取校正后系统时间。

(3)本地服务进程中策略引擎按照策略模型进行动态匹配，执行结果为“通过”和“拒绝”，返回给客户端。客户端在收到执行结果后从而决定是否继续执行原始系统API，

并对用户操作进行记录。

S7：根据捕获的文件操作类型进行文件加解密操作。

此步骤为本发明提供一种多用户密钥共享的文件透明加密方法，属于文件双层保护机制中第二层加密保护。对本发明增益效果为无需对文件加密密钥进行记忆，实现多用户同时对密文解密，提高了文件共享时的安全性。如图5所示。

由于沙箱内文件存在恶意绕过访问控制引擎或者物理方式读取硬盘而泄露的风险，故需要对文件进行加密。本发明针对传统加密方式密钥单一、密文共享方式复杂等问题，提出一种在属性访问控制背景下多用户密钥共享的文件透明加密方法。该过程包含以下步骤：

S701：生成用户密钥。用户密钥在用户通过认证后由服务端下发，同S601-2所述策略下发机制，用户密钥属于运行时信息，可实时由管理员进行修改。用户密钥构建方式：

(1)用户属性定义。管理员在服务端定义用户属性，用户属性需要包含在用户属性集中

(2)生成用户密钥。服务端基于CP-ABE，通过用户属性和系统主密钥MSK生成用户密钥SK，通过ZMQ实时下发到用户终端。

S702：文件透明加密。当沙盒中写文件操作被放行，则进行文件透明加密操作。首先将需加密的文件移入沙盒保护的明文缓冲区，对文件通过属性加密的方式进行加密。加密后的文件移入文件的原路径，从而实现文件透明加密，如图6所示。

具体加密方式如下：

(1)构造用户访问结构

根据系统所定义全局属性集中的属性组或单一属性来进行访问结构的构造。分为请求对象属性和目标对象属性，请求对象属性为用户组或特定用户，响应对象属性为文件组或特定文件。一个示例为：

SuFile∩Admin

SuFile与Admin同S101中属性集定义，代表同时具有访问SuFile组权限的访问对象和管理员组的成员才可解密该文件。

在用户终端上，对于原来具有访问结构的文件，加密时默认继承原访问结构；对于普通文件，默认以特定登录用户来构造访问结构，如Bob为当前登录用户则构造的访问结构为Bob；对于需要扩展访问范围的文件可向服务端申请，审批后进行访问结构的下发。

(2)文件透明加密

启动本地服务进程，新建命名管道"\\.\pipe\encrypt"并监听此命名管道,用于接收客户端加密文件路径。

通过对沙盒内运行程序进行DLL注入，对CloseFile进行Inline hook。当发生对应的文件操作时首先通过命名管道将当前文件路径发送服务进程。服务进程在接收到文件路径时，对当前文件访问结构进行解析，来确定属性加密时具体使用的访问结构。经属性加密后写入文件原路径。

S703：文件透明解密。当沙盒中读文件操作被放行，则进行文件透明解密操作，如图7所示。

具体解密方式如下：

启动本地服务进程，新建命名管道"\\.\pipe\decrypt"并监听此命名管道,用于接收客户端解密文件路径。

通过对沙盒内运行程序进行DLL注入，对OpenFile进行Inline hook。当发生对应的文件操作时首先通过命名管道将当前文件路径发送服务进程。服务进程在接收到文件路径时，判断当前文件是否在文件缓冲区存在。如文件缓冲区中存在相同文件则代表文件已经解密，进行文件重定向操作，将返回缓冲区中文件句柄；如果文件缓冲区中无相同文件，则根据当前用户的密钥进行解密。如果解密成功则加入文件缓冲区，返回缓冲区中文件句柄；解密失败则拒绝访问。

Claims (1)

1.一种基于属性的安全沙盒内文件动态访问控制和加密方法，其特征在于，包括如下步骤：

步骤S1：进行系统初始化，包括系统主密钥和公钥生成、用户身份注册；

步骤S2：用户在终端使用所支持的认证方式登录，获得授权认证后为用户建立安全沙盒环境；

所支持认证方式包括：密码认证、USB-Key认证、证书认证；

步骤S3：在终端安全沙盒中拦截文件操作；

步骤S4：判断一个文件操作所对应的文件是否属于当前安全沙盒；

如果文件属于安全沙盒，则进行步骤6操作；

如果文件不属于安全沙盒，则进行步骤5操作；

步骤S5：文件自识别过程，对文件进行解析，基于文件名称、文件格式以及文件内容进行匹配；如果属性库中存在对应的文件，则将文件通过属性库中属性进行加密，移入沙盒中；如果不存在对应文件则放行文件操作；

步骤S6：收集当前运行环境，具体的，包括时间，文件操作路径，用户身份信息，文件关键字和文件权限字段，通过访问控制策略引擎来得出文件操作是否允许；

如果策略引擎结果为拒绝访问，则丢弃该文件操作；

如果策略引擎结果为允许访问，则对文件读写操作进行区分，进入文件的透明加解密流程；

步骤S7：根据文件操作类型进行加解密操作；

对于文件读操作，读取文件加密标志位；

若为加密文件，则判断是否存在解密缓存，存在缓存的文件直接返回明文文件句柄，如果不存在缓存，使用当前用户属性进行解密，解密成功则返回明文文件句柄并加入缓存中；

若为非加密文件，则返回用户明文文件句柄；

对于文件写操作，在缓存中更新明文，依照相应属性加密文件。

Images