專利名稱：電子文件的軌跡跟蹤方法
技術(shù)領(lǐng)域：
本發(fā)明涉及電子文件的安全保護，尤其涉及一種電子文件的軌跡跟蹤方法，該方 法通過記錄敏感電子文件的位置變化信息，回放電子文件的運動軌跡，實現(xiàn)電子文件的安 全保護。本發(fā)明屬于信息安全和計算機軟件技術(shù)領(lǐng)域。
背景技術(shù)：
隨著國家信息化建設(shè)的不斷推進，各級國家機關(guān)、單位的辦公自動化信息系統(tǒng)日 益完善，由此而產(chǎn)生的電子文件與日俱增，電子文件已經(jīng)成為了信息化辦公的核心信息資 源，是國家信息資源的重要組成部分?，F(xiàn)代辦公自動化所產(chǎn)生的商業(yè)機密、國家秘密大多存儲在電子文件中，由于電子 文件數(shù)量多、體積小、易拷貝、易傳播，因此給電子文件的安全管理帶來了嚴峻的挑戰(zhàn)。特別 是近幾年，以計算機信息系統(tǒng)為主戰(zhàn)場的信息戰(zhàn)，引發(fā)了全球范圍內(nèi)的商業(yè)間諜、國家間諜 頻繁活動，許多記載商業(yè)秘密、國家機密的電子文件頻繁遭到破壞或失竊，電子文件的安全 問題已經(jīng)引起了國家、企業(yè)單位的高度重視。目前，雖然在電子文件的安全防護技術(shù)上有些突破，但是大多技術(shù)關(guān)注的是文件 本體加密、文件傳播控制、文件權(quán)限管理等方面。在文件全生命周期管理的安全管理中，文 件生命開始的標(biāo)識(如密級標(biāo)識等)和文件生命結(jié)束后的統(tǒng)一處理(如統(tǒng)一銷毀、軌跡跟 蹤)的監(jiān)管技術(shù)還處于初級階段。因此，采用基于電子文件運動軌跡跟蹤的保護方法，更有 利于采用細粒度的安全策略保護電子文件的安全，具有積極的現(xiàn)實意義。

發(fā)明內(nèi)容
針對目前電子文件運動軌跡跟蹤方面的現(xiàn)有技術(shù)存在的缺點和問題，本發(fā)明的目 的在于提供一種新的電子文件軌跡跟蹤方法。本發(fā)明的方法包括
客戶端為用戶選定的電子文件設(shè)定唯一的標(biāo)識號，并在電子文件中加入跟蹤日志，所 述跟蹤日志在其生成時記錄電子文件所在的原始位置的特征信息，并在所述電子文件被打 開時判斷當(dāng)前位置和所述原始位置是否相同，若不同，則記錄當(dāng)前位置的特征信息；由此， 所述跟蹤日志將記錄所述電子文件自生成起到每次打開時的各個位置的變化軌跡；
另外，所述電子文件經(jīng)過復(fù)制后得到的電子文件具有和原電子文件相同的標(biāo)識號；在 本發(fā)明中，復(fù)制操作并不能改變電子文件的標(biāo)識號，所有源于相同電子文件的子文件共享 一個標(biāo)識號；
另外，所述客戶端在所述跟蹤日志生成或更新時將其發(fā)送至服務(wù)器；所述服務(wù)器儲存 來自所述客戶端的跟蹤日志。優(yōu)選地，所述特征信息包括當(dāng)前時間，客戶端標(biāo)識，和電子文件路徑。優(yōu)選地，所述跟蹤日志還在所述電子文件的儲存位置發(fā)生變化時記錄所述電子文 件的新儲存位置的特征信息；由此，即使儲存位置發(fā)生變化的電子文件在位置變化之后不被打開，跟蹤日志還是可以記錄這一位置變化行為。優(yōu)選地，所述服務(wù)器可以按照時間和空間順序排列所有具有相同標(biāo)識號的跟蹤日 志，得到所述標(biāo)識號對應(yīng)的所有電子文件的族譜，由此對電子文件的流向一目了然。優(yōu)選地，所述服務(wù)器可以設(shè)定刪除某一標(biāo)識號的電子文件的管理策略并將所述管 理策略下發(fā)至所述服務(wù)器，所述服務(wù)器根據(jù)所述管理策略刪除本地所有帶有所述標(biāo)識號的 電子文件。優(yōu)選地，并非客戶端上的所有電子文件均進行軌跡跟蹤，而是由用戶選擇并提交 申請，由服務(wù)器端的審批人員進行審核，具體來說用戶從所述客戶端向所述服務(wù)器提交針 對普通電子文件的軌跡跟蹤申請，所述服務(wù)器審核并批準(zhǔn)所述請求后，所述客戶端對所述 服務(wù)器審核通過的普通電子文件進行軌跡跟蹤。優(yōu)選地，所述電子文件由文件頭，文件內(nèi)容和所述跟蹤日志組成，所述文件頭包括 跟蹤標(biāo)記；跟蹤標(biāo)記表示該電子文件的軌跡被跟蹤。優(yōu)選地，對電子文件進行加密處理以提高其安全性，具體來說所述文件頭還包括 文件密級，加密算法，和隨機密鑰；所述文件內(nèi)容通過所述加密算法用所述隨機密鑰進行加 密；所述文件頭通過所述服務(wù)器設(shè)定的非對稱加密算法用所述客戶端的私鑰進行加密。優(yōu)選地，對電子文件進行訪問控制，具體來說所述文件頭還包括訪問控制信息， 所述訪問控制信息包括所述電子文件的生命周期、使用次數(shù)和使用范圍中的一項或多項； 用戶請求打開電子文件時，僅當(dāng)所述訪問控制信息涉及的訪問控制條件得到滿足時，所述 客戶端接受所述用戶的請求?；谏鲜雒枋隹芍?，本發(fā)明方法對具有跟蹤標(biāo)記的加密文件記錄其移動、拷貝等 情況，通過回放追蹤電子文件的運動軌跡，實現(xiàn)電子文件的來源追溯與去向追蹤，如文件 A在哪些計算機上打開過，經(jīng)過復(fù)制后形成了多個文件Al、A2、A3，復(fù)制后的文件拷貝到哪 些計算機等。在本發(fā)明的方法中，每個標(biāo)記后的電子文件都有唯一的標(biāo)識號。當(dāng)文件生命周期 結(jié)束或需要強制銷毀時，儲存于信息系統(tǒng)中的電子文件或文件副本，不管是儲存在哪臺計 算機上，不管是儲存在哪個目錄位置，具有同一標(biāo)識號的電子文件都會統(tǒng)一銷毀，確保由同 一父文件產(chǎn)生的后代，都可以銷毀。和現(xiàn)有技術(shù)相比，本發(fā)明的優(yōu)勢在于
本發(fā)明方法采用文件本體日志與服務(wù)器日志相結(jié)合的審計方法，跟蹤電子文件的全生 命周期的運動軌跡，提供了涉密電子文件的來源與去向的準(zhǔn)確依據(jù)，為泄密事件的問責(zé)提供 了可靠的依據(jù)。同時，為涉密電子文件的統(tǒng)一管理、統(tǒng)一查詢、統(tǒng)一銷毀，提供了可靠的保障。


圖1表示實施例系統(tǒng)的部署結(jié)構(gòu)示意圖2表示普通加密文件和被跟蹤的加密文件的結(jié)構(gòu)示意圖； 圖3表示示例性的電子文件運動軌跡跟蹤示意圖。
具體實施例方式以下通過具體實施例結(jié)合附圖詳細描述本發(fā)明。
本實施例以某單位部署的電子文件安全防護與運動軌跡跟蹤系統(tǒng)為例詳細說明 本發(fā)明。該軟件系統(tǒng)主要包括三個部件控制臺程序、服務(wù)器和客戶端，每個部件的部署位 置如圖1所示。整個軟件系統(tǒng)建立在PKI體系上，每個客戶端都有一個密鑰。系統(tǒng)管理員通 過控制臺編輯電子文件保護的安全策略，通過服務(wù)器分發(fā)給每個客戶端代理，客戶端代理 接收服務(wù)器下發(fā)的安全策略后，實時保護電子文件的安全。需要跟蹤的電子文件中加入跟 蹤日志，當(dāng)客戶端的用戶行為觸發(fā)記錄條件時，跟蹤日志加以記錄并發(fā)送至服務(wù)器。管理員 通過服務(wù)器對收集的事件日志進行統(tǒng)一的審計分析，按照時間、空間的順序進行事件排列， 繪制出電子文件生命周期的運動軌跡，查找電子文件的來源和去向。以上三個組件在所述 電子文件安全防護與運動軌跡跟蹤的系統(tǒng)中所扮演的角色如下
客戶端根據(jù)管理員設(shè)定的安全策略，對關(guān)鍵業(yè)務(wù)進程所產(chǎn)生的文件進行透明加解密； 進行電子文件的密級標(biāo)識和軌跡跟蹤標(biāo)識，生成帶有GUID號的可跟蹤的電子文件，按照密 級訪問控制規(guī)則，實現(xiàn)基于密級的電子文件安全保護。監(jiān)控帶有跟蹤標(biāo)記電子文件的位置 變化信息，記錄電子文件的位移運動情況。服務(wù)器存儲客戶端的注冊信息、系統(tǒng)管理的組織結(jié)構(gòu)、安全策略和事件日志，維 護客戶端的上、下線狀態(tài)，實現(xiàn)電子文件密級標(biāo)識與軌跡跟蹤標(biāo)識的審批流轉(zhuǎn)，提供電子文 件運動軌跡跟蹤的后臺數(shù)據(jù)歸檔。它是控制臺程序與客戶端交互的中間代理?？刂婆_程序用于人機交互的界面，管理客戶端的安裝、注冊與卸載，設(shè)置電子文 件透明加密的安全策略，指定密級標(biāo)識與軌跡跟蹤標(biāo)識審批的客戶端權(quán)限，展示電子文件 全生命周期內(nèi)的運動軌跡跟蹤示意圖，設(shè)置帶有密級標(biāo)識和軌跡跟蹤標(biāo)識電子文件的統(tǒng)一 銷毀策略，實現(xiàn)銷毀日志審計分析。下面說明基于上述系統(tǒng)的電子文件運動軌跡跟蹤的方法。(1)電子文件透明加密。通過安全策略設(shè)置核心業(yè)務(wù)應(yīng)用軟件進程為透明加密進程，該應(yīng)用軟件所產(chǎn)生的 電子文件會自動加密。加密后的電子文件由文件頭(Fi IeHead) +文件內(nèi)容(Fi IeContent) +跟蹤日志(FileLog)三部分組成。其中文件頭包括正常的文件頭部、加密算法、隨機密鑰 (1024位)和安全屬性等相關(guān)信息，安全屬性包括文件密級、密級標(biāo)識、跟蹤標(biāo)記、使用范 圍、訪問次數(shù)、生命周期等訪問控制信息。文件頭通過服務(wù)器設(shè)定的非對稱加密算法用客戶 端的私鑰進行加密，保證該文件頭只在本域中可被打開。文件內(nèi)容是通過文件頭中指定的 加密算法用文件頭中的隨機密鑰進行對稱加密后的密文。跟蹤日志是一個可擴充的數(shù)據(jù) 塊，存儲的是文件位置變化的日志信息。加解密過程是通過文件過濾驅(qū)動在后臺自動實現(xiàn)， 對上層用戶透明，不改變用戶的使用習(xí)慣。圖2顯示了普通的加密文件和被跟蹤的加密文 件之間的區(qū)別。( 2 )軌跡跟蹤標(biāo)識設(shè)置。透明加密后的電子文件包含有軌跡跟蹤和密級標(biāo)識兩個標(biāo)記，但是處于未開啟狀 態(tài)，該狀態(tài)的開啟需要通過保密管理人員的電子審批。審批程序如下申請人通過客戶端填寫待審批電子文件的相關(guān)信息和申請理由， 客戶端通過HTTPS通信方式將審批請求和電子文件發(fā)送到服務(wù)器，同時客戶端對該電子文 件進行MD5簽名，取得簽名值，并將待審批文件自動備份到計算機中的指定目錄。如果保密 管理人員在線，則服務(wù)器將審批請求信息發(fā)送給保密管理人員，經(jīng)過保密管理員批準(zhǔn)同意后，客戶端驗證待審批的文件是否經(jīng)過修改，如果沒有則將密級標(biāo)識和軌跡跟蹤標(biāo)識設(shè)置 為開啟狀態(tài)，并在電子文件尾部的跟蹤日志內(nèi)填寫當(dāng)前時間，客戶端標(biāo)識，電子文件路徑， 申請人:，審批人等文件元數(shù)據(jù)，并將這些元數(shù)據(jù)(或者整個跟蹤日志)發(fā)送至服務(wù)器；如果待 審批的文件被修改，則后臺自動將原先備份的待審批文件復(fù)制到原始目錄并覆蓋修改后的 文件，然后生成審批后的電子文件。如果保密管理人員不在線，則申請請求暫存在服務(wù)器 端，待審批管理人員上線后，自動發(fā)送審批請求進行審批。(3)電子文件位置移動監(jiān)測。經(jīng)過審批的電子文件每次打開時，需要檢查電子文件的訪問控制屬性是否符合安 全策略的要求，另外還需要比較電子文件當(dāng)前的存儲位置是否與上次打開的文件位置一 致。如果位置發(fā)生變化，則將變化后的位置和所處環(huán)境的元數(shù)據(jù)(比如使用者，打開時間，客 戶端標(biāo)識等等)寫入電子文件尾部的跟蹤日志，同時向服務(wù)器發(fā)送位置變化的日志信息，或 者將整個跟蹤日志發(fā)送至服務(wù)器。(4)電子文件軌跡跟蹤。根據(jù)寫入電子文件尾部的日志，我們可以追溯到這個文件是什么時候創(chuàng)建，經(jīng)過 了哪些用戶，運動到了哪些計算機，可以很清楚的描述出電子的源頭文件。但是，這一機制 僅針對孤立的電子文件，而不能統(tǒng)計該電子文件產(chǎn)生了多少個拷貝，每個拷貝副本又運動 到了哪些地方。通過服務(wù)器中統(tǒng)一保存的電子文件運動軌跡信息則可以實現(xiàn)這一點。我們 可以根據(jù)文件的GUID號，檢索出該電子文件產(chǎn)生了多少個副本，每個副本所在位置?？梢?從正向、逆向兩個方向跟蹤電子文件的運動軌跡。正向跟蹤是指從電子文件跟蹤標(biāo)記標(biāo)識 后，電子文件的去向跟蹤，包括由該文件產(chǎn)生的兒子文件、兒子文件產(chǎn)生的孫子文件，這些 文件都歸根于該文件的衍生文件，全部需要跟蹤他們的去向。逆向跟蹤是指回溯該文件的 來源，包括該文件的父親、祖父等等，一直追溯到產(chǎn)生該文件的根。圖3給出了一個示例性的電子文件族譜，也即電子文件的運動軌跡示意圖。(5)電子文件安全銷毀。電子文件在內(nèi)部信息系統(tǒng)中，經(jīng)過運動位移后，會產(chǎn)生很多文件副本，由于管理不 善很容易造成文件生命周期結(jié)束時，部分電子文件的銷毀會被遺漏。我們可以在服務(wù)器中 設(shè)置統(tǒng)一銷毀的管理策略并下發(fā)客戶端，從而實現(xiàn)同一 GUID號的電子文件的統(tǒng)一銷毀。本實施例以電子文件的密級標(biāo)識、軌跡跟蹤標(biāo)識為基礎(chǔ)，提供了一種建立在公私 鑰基礎(chǔ)上的電子文件安全防護體系，實現(xiàn)了電子文件全生命周期內(nèi)的運動軌跡跟蹤。其優(yōu) 勢在于采用透明文件加密技術(shù)，通過電子審批方式，內(nèi)置電子文件的密級標(biāo)識和軌跡跟蹤 標(biāo)識，既增加了基于密級的細粒度電子文件安全防護，又不影響用戶的使用習(xí)慣。在此基礎(chǔ) 上，實時監(jiān)測電子文件的位置變化，采用文件本體日志與服務(wù)器日志相結(jié)合的審計方法，跟 蹤電子文件的全生命周期的運動軌跡，提供了涉密電子文件的來源與去向的準(zhǔn)確依據(jù)，為 泄密事件的問責(zé)提供了可靠的依據(jù)。同時，為涉密電子文件的統(tǒng)一管理、統(tǒng)一查詢、統(tǒng)一銷 毀，提供了可靠的保障。
權(quán)利要求
1.一種電子文件的軌跡跟蹤方法，其特征在于，客戶端為用戶選定的電子文件設(shè)定唯一的標(biāo)識號，并在電子文件中加入跟蹤日志，所 述跟蹤日志在其生成時記錄電子文件所在的原始位置的特征信息，并在所述電子文件被打 開時判斷當(dāng)前位置和所述原始位置是否相同，若不同，則記錄當(dāng)前位置的特征信息；所述電子文件經(jīng)過復(fù)制后得到的電子文件具有和原電子文件相同的標(biāo)識號；所述客戶端在所述跟蹤日志生成或更新時將其發(fā)送至服務(wù)器；所述服務(wù)器儲存來自所述客戶端的跟蹤日志。
2.如權(quán)利要求1所述的電子文件的軌跡跟蹤方法，其特征在于，所述特征信息包括當(dāng) 前時間，客戶端標(biāo)識，和電子文件路徑。
3.如權(quán)利要求1所述的電子文件的軌跡跟蹤方法，其特征在于，所述跟蹤日志在所述 電子文件的儲存位置發(fā)生變化時記錄所述電子文件的新儲存位置的特征信息。
4.如權(quán)利要求1所述的電子文件的軌跡跟蹤方法，其特征在于，所述服務(wù)器按照時間 和空間順序排列所有具有相同標(biāo)識號的跟蹤日志，得到所述標(biāo)識號對應(yīng)的所有電子文件的 族譜。
5.如權(quán)利要求1所述的電子文件的軌跡跟蹤方法，其特征在于，所述服務(wù)器設(shè)定刪除 某一標(biāo)識號的管理策略并將所述管理策略下發(fā)至所述服務(wù)器，所述服務(wù)器根據(jù)所述管理策 略刪除本地所有帶有所述標(biāo)識號的電子文件。
6.如權(quán)利要求1所述的電子文件的軌跡跟蹤方法，其特征在于，用戶從所述客戶端向 所述服務(wù)器提交針對普通電子文件的軌跡跟蹤申請，所述服務(wù)器審核并批準(zhǔn)所述請求后， 所述客戶端對所述服務(wù)器審核通過的普通電子文件進行軌跡跟蹤。
7.如權(quán)利要求1所述的電子文件的軌跡跟蹤方法，其特征在于，所述電子文件由文件 頭，文件內(nèi)容和所述跟蹤日志組成，所述文件頭包括跟蹤標(biāo)記。
8.如權(quán)利要求1所述的電子文件的軌跡跟蹤方法，其特征在于，所述文件頭還包括文 件密級，加密算法，和隨機密鑰；所述文件內(nèi)容通過所述加密算法用所述隨機密鑰進行加 密；所述文件頭通過所述服務(wù)器設(shè)定的非對稱加密算法用所述客戶端的私鑰進行加密。
9.如權(quán)利要求1所述的電子文件的軌跡跟蹤方法，其特征在于，所述文件頭還包括訪 問控制信息，所述訪問控制信息包括所述電子文件的生命周期、使用次數(shù)和使用范圍中的 一項或多項；用戶請求打開電子文件時，僅當(dāng)所述訪問控制信息涉及的訪問控制條件得到 滿足時，所述客戶端接受所述用戶的請求。
全文摘要
本發(fā)明公開了一種電子文件的軌跡跟蹤方法，屬于信息安全和計算機軟件技術(shù)領(lǐng)域。本發(fā)明方法包括客戶端為用戶選定的電子文件設(shè)定唯一的標(biāo)識號，并在電子文件中加入跟蹤日志，所述跟蹤日志在其生成時記錄電子文件所在的原始位置的特征信息，并在所述電子文件被打開時判斷當(dāng)前位置和所述原始位置是否相同，若不同，則記錄當(dāng)前位置的特征信息；所述電子文件經(jīng)過復(fù)制后得到的電子文件具有和原電子文件相同的標(biāo)識號；所述客戶端在所述跟蹤日志生成或更新時將其發(fā)送至服務(wù)器；所述服務(wù)器儲存來自所述客戶端的跟蹤日志。本發(fā)明可用于國家機關(guān)、單位的自動化辦公系統(tǒng)，用于保護電子文件的安全。
文檔編號G06F21/00GK102004883SQ20101057202
公開日2011年4月6日 申請日期2010年12月3日 優(yōu)先權(quán)日2010年12月3日
發(fā)明者關(guān)勇, 劉勝平, 周顯敬, 陳尚義 申請人:中國軟件與技術(shù)服務(wù)股份有限公司