1 产品综述
1.1 开发背景
目前基于双缓存模型的文件系统驱动技术已成为文档安全管理类产品的主流核心技术。由于该项技术需要安装和加载驱动,所需的系统权限较高。在某些特定的系统环境或者技术管理条款的约束下,禁止操作系统加载第三方驱动程序,导致基于驱动程序开发的文档管理系统无法部署。由于基于APIHook的应用层加密技术无需加载驱动,在此类环境下,文档安全管理系统可正常部署。使用TTEFS_User开发包也可快速开发各类文档管理系统、文档外发控制系统。具有较高的使用价值。
1.2 术语说明
透明加密
监控程序在后台捕获目标进程的文件读写操作。在目标进程读取文件时,监控程序将密文数据在内存中解密;在目标文件写文件时,将数据以密文形式写入磁盘。透明加密具有强制性。
ApiHook
一种动态捕获目标进程API调用的技术手段。该技术广泛各类安全软件中,可以捕获目标进程的文件读写操作、窗口操作、剪贴板操作等。ApiHook技术在Windows平台是高度成熟的。
文件头数据
文件头数据是一段二进制数据。该段数据由TTEFS_User将其与文件体本身强制绑定。文件在编辑和复制该文件时,该数据不丢失。用户可自定义该数据的存储内容。将文件的控制信息等写入文件头。
2 技术架构
系统架构如下图所示:
3 功能特性
3.1 文档强制加密
文档强制加密是指文档数据有明文形式强制转换为密文形式。已加密的文档仍然可以正常使用。该加密过程对用户完全透明,不影响用户的操作习惯。TTEFS_User支持强制加密。加密动作不需要人工干预,由控件自动完成。TTEFS内置Office、WPS、AutoCAD、记事本、写字板、画图、Adobe Reader、Adobe Acrobat等常见应用程序。
3.2 一文一密
TTEFS支持为每一份文件生成一个随机密钥。同样的一分文档,使用不同的密钥,产生不同的密文。使用一文一密模式的好处是抗已知明文攻击。相对于传统的单一固定密钥模式,安全性得到了极大提升。
3.3 头数据驻留
该功能可以使文教体数据可永久驻留在文件中。例如OFFICE文件经过编辑之后,虽然原始文件被临时文件覆盖,但原始文件的自定义数据仍然保留。TTEFS_User支持自定义头数据,用户可将文档的权限控制信息(如过期时间、密级、打开次数限制、打印控制)存入自定义数据区。
3.4 EXE防伪造
TTEFS_User支持以MD5或者数字签名验证验证EXE的合法性。防止用户通过篡改EXE程序名称的方式获取明文数据。
3.5 手动文件加密
在某些应用场景中,用户并不需要所有的文档都被加密,只希望某些重要的文档被加密。TTEFS_User支持手动加密模式,被加密的文件一直处于被加密的状态,未加密的文件将被TTEFS_User忽略。该功能俗称为“半透明文件加密”。TTEFS_User允许用户或者程序开发者自定义文件加密的时机。
3.6 另存为加密
TTEFS_User支持捕获应用程序的另存为事件。防止用户通过另存为方式把加密文件另存为未知扩展名的文件,使加密文档转变为明文数据。
3.7 文件权限控制
TTEFS_User支持文档权限控制功能。控制目标是当前用户打开的文档。具体功能项包括:禁止查看、文档只读、禁止打印、禁止剪贴板拷贝、禁止文件另存为、禁止内容拖拽。
3.8 文档操作日志
TTEFS_User可捕获文档的操作行为。为管理员审计用户操作行为提供基础数据。支持捕获文档的打开、关闭、打印、另存为等事件。
3.9 加密文档图标显示
根据文档密级标识信息显示图标,能够在不打开文档的情况下,一目了然的了解本机的加密文档状态。
3.10 SHELL右键菜单
用户可以右键菜单模块加密、解密文件和编辑加密文件的头数据。
3.11 业务系统兼容
业务系统分为C/S架构和B/S架构。TTEFS_User可自动无缝集成于B/S架构的系统。对于C/S架构的业务系统。TTEFS_User提供配置接口。正确配置后,即可与业务系统协同运行。
3.12 平台支持
支持Windows XP、Windows 7 (X86+X64) 、Windows 8(X86+X64) 、Windows 8.1 (X86+X64)、、Windows 10 (X86+X64)
3.13 部署方式
以桌面应用程序方式部署到计算机。
4 合作方式和服务
TTEFS_User支持源代码和SDK级别合作。并且提供附加服务,直到客户完成产品开发。更多具体细节可详谈。
联系QQ: 7_6_2_1_8_8_3_3_6
更多产品: http://www.byte2code.com