金彦旭　毛正雄　何映军等

关键词：虚拟容器；数字水印；加密电子文档；保护机制

中图法分类号：TP309 文献标识码：A

对于加密电子文档而言，相关信息内容十分重要，需要采取必要的保护措施，以避免相关信息内容被窃取而带来不可预计的损失。传统保护加密电子文档的主要方式是利用防水墙，然而防水墙的具体部署位置分布在各个客户端的计算机内，并存在众多问题。比如，当防水墙存在漏洞时，可能会绕过防水墙，以底层操作系统为依据，此时通常会采用技术手段关闭系统内核，使防水墙失效。防水墙安全防护策略以及具体配置复杂性极高，当实际应用场景发生变化时，无法确保制定的安全防护机制具有较高的统一性，特别是在保护策略改变之后，经常出现失效现象。在传统加密电子文档保护方法中，电子文档加密储存方法可以对文档的非法拷贝、复制进行控制，文档数字水印技术可以对加密电子文档的截屏和拍照设置权限，甚至能够对泄密源头进行追溯。而以虚拟容器和数字水印为基础的加密电子文档保护机制不仅能够有效控制加密电子文档的非法拷贝、复制、截屏、拍照行为，而且在保护机制失效后，依然能够保护加密电子文档的安全。

1以虚拟容器与数字水印为基础的加密电子文档保护机制核心技术

1.1虚拟容器技术

作为一种全新的虚拟化技术.Docker能够为系统提供一个内容简单、可用性较高的容器接口，可以将依赖项以及具体应用程序打包，转变成一个具体文件：该文件在运行过程中，会自动生成对应的虚拟容器：在该虚拟容器中，能够为相关程序的运行提供一个类似于物理机器的运作流程。客户端通过自主创建容器和使用容器，并将具体应用程序放人对应容器中，进而对容器的版本进行复制、共享。

通常情况下，Docker主要包括3个基本概念，即镜像、容器、仓库。其中，镜像类似于一个具有较高完整性的文件系统，该系统包含操作功能，不仅能够将程序、资源、库、配置文件提供给容器，而且能为容器的正常运行准备对应的配置参数：对于容器而言，则是镜像以实体状态运行的具体表现，具体内容包括创建容器、启动容器、停运容器、删除容器、暂停容器等。容器不仅能够创建独立的命名空间，而且能在该空间中运行各项进程，相关进程通常会在隔离环境中运行，具体运行状态与系统在独立主机环境中的运行模式高度相似。该功能能够使容器封装的应用程序比值具有较高安全性，甚至高于在主机中的运行安全等级。

本文通过对Docker虚拟技术的利用，对容器进行构建与部署，并且在Docker容器中存放加密电子文档，借助Docker容器的各项功能，对加密电子文档进行灵活应用，从而使加密电子文档的各项访问途径和措施具有较高的安全性：Docker容器与加密电子文档服务器接口之间具有交互性特征，能够为快速、准确获取加密内容提供帮助。当客户端获得加密电子文档后，便可在Docker容器中对加密电子文档进行解密，将数字水印添加到文档中，对客户端的具体使用行为进行实时监控，并将相关内容生成日志进行保存。

1.2数字水印技术

为了避免出现利用打印、截图、拍照等方法窃取加密电子文档的情况，可以将数字水印嵌入加密电子文档，从而精准定位文档泄漏点，对侵权行为进行追踪。通常情况下，文档数字水印技术的使用方案包括3个类型，即以文本结构为基础、以语法和语义为基础、以随机或统计为基础。

在以文本结构为基础的文档数字水印技术中，将水印嵌入文档格式中，实际是以Word文档格式中未使用的空间为依据进行实现，也可以利用PDF格式中“行为标识符不显示”这一特征，因此，其能够确保水印信息准确嵌入加密电子文档。本文选取第2种方式为加密电子文档添加水印信息，首先，对水印信息进行转化，使其以二进制数据流的状态呈现，如“100 110”；然后，对PDF文档进行解析，获取交叉引用；接着，将每行的二进制数据流末端标识符修改为“＼r＼n”，只有当出现的二进制信息为1时，才应该将每行的末端标识符修改为“＼n”，否则不变；最后，将末端标识符修改之后的内容生成一个全新文档，并将水印信息嵌入新文檔。

1.3水印嵌入算法

在水印生成法的作用下，原始水印信息顺利嵌入水印序列中，借助Word接口，利用具有良好鲁棒性特征的定位算法，对可以嵌入水印信息的字符位置进行精准判断。定位算法主要是通过对二次剩余原理的充分利用，将当前嵌入字符序列号中的伪随机函数转变成一个具体数字，并且经由密钥运算，得到一个奇素数。在对具体数字是否为该奇素数的二次剩余进行判断时，可以利用欧拉判别法，结合最终判断结果，选择是否在水印信息中嵌入该字符颜色。为了确保定位算法的鲁棒性得到有效提升，应该循环开展水印嵌入过程。结合加密电子文档文本总字数与待嵌入水印长度之间的比值关系，具体水印嵌入轮数由嵌入算法自适应决定，通常不超过5轮。

1.4自适应水印嵌入方法

在初始化文本T中，i=1，sn=1，对字符RGB分量信息进行统一调整：在此过程中，还要对文本T与水印序列W的比值关系进行计算与预处理，将其系数定义为μ，得到的计算式为：

M =α·len/count（T）

式中，α代表的是系数因子，coun，t代表的是计算字符个数对应的函数。根据μ的取值，设定嵌入轮数n。得到：Ifμ∈[0，0.2]

then n：=5;Ifμ∈[0.2，0.25] thenn：=4; Ifμ∈[0.25，0.33]then n：=3;Ifμ∈[0.33，0.5] then n：=2;Ifμ∈[0.5，1]then n：=1.

2加密电子文档保护机制的构建与实现流程

2.1利用Docker容器保护加密电子文档

为了确保保护加密电子文档的目标得到有效实现，首先，要结合加密电子文档的特点，建立对应的Docker容器。本文Docker容器主要分为4个功能模块：第1个模块包括安全防护策略和安全防护功能的配置接口，第2个模块包括数字水印技术保护功能，第3个模块包括Docker容器与加密电子文档服务器的交互接口，第4个模块包括客户端使用行为监控系统以及系统日志。

通过使用安全防护策略与安全防护功能的配置接口，能够对Docker容器中实现加密文件保护功能的具体方式进行优化配置：在数字水印技术保护功能模块中，通过将数字水印添加到加密电子文档中，可以使加密电子文档的版权得到有效保护，并且在加密电子文档发生泄漏问题时，能够准确找到泄漏点：在Docker容器与加密电子文档服务器交互接口中，不仅能对客户端的身份是否满足访问权限要求进行判断，而且能对加密电子文档进行加密传输和解密操作：在客户端使用行为监督模块中.Docker容器能够对客户端使用加密电子文档的时间和内容等行为进行实时监控，并将相关内容生成日志，为后期审计工作和查询工作的有效开展做好准备。

2.2加密电子文档保护机制的架构

本文加密电子文档保护机制以虚拟容器和数字水印技术为基础，主要分为3个方面，即安全属性与策略管理、Docker容器、客户端，并从这3个方面落实各项保护措施，使加密电子文档在具有较高安全性的环境下能够正常使用。

安全属性与策略管理是加密电子文件保护机制构架的最高层，能够结合实际情况对各种加密电子文档安全保护策略进行优化配置，不仅能建立健全文档保护机制中的访客身份认证机制，而且能对访客身份和加密电子文档使用许可策略进行统筹规划，是加密电子文档保护机制的核心控制机构：Docker容器能够为加密电子文档安全防护功能的充分实现提供保障，在保护机制构架中，其具有核心地位。在Docker容器中，发挥加密电子文档安全功能的是大量部署在客户端机器中的动态虚拟容器：客户端不仅能对用户的身份进行验证，而且能在Docker容器中下载容器镜像，并使其具有启动镜像和运行镜像的功能。

2.3加密电子文档保护机制的实现流程

本文以虚拟容器和数字水印技术为基础的加密电子文档保护机制主要由4个部分组成，即客户端、安全属性与策略管理、Docker容器层、加密文档服务器。结合实际需求，将这4个部分进行交互整合，从而使保护机制具有的功能得到充分实现，具体流程如下。

（1）客户端在查阅加密电子文档的过程中，首先，要将自身的身份认证请求发送给系统安全属性与策略管理模块，由安全属性与策略管理模块对客户端的身份是否符合加密电子文档查阅要求进行判断，并将最终认证结果发送到客户端。（2）当客户端身份请求认证成功后，客户端还应该再次将使用请求发送到系统的安全属性与安全策略管理模块中，具体请求主要包括需要查阅的加密电子文档信息内容、具体查阅方法等。客户端是否拥有对应加密电子文档的使用权限，则由系统策略管理模块进行判断。（3）当客户端的使用请求通过后，由系统策略管理模块将使用许可发送至客户端，并结合预配置的加密电子文档使用方法，为客户端可以使用的Docker镜像进行指定和配置。（4）当客户端获得系统指定并配置好的Docker鏡像后，便可正式启动运行Docker容器，按照配置好的参数要求启动后，便可将访问请求发送给加密电子文档服务器，从而获取加密内容。（5）在得到加密电子文档后，Docker容器便可利用配置参数对加密电子文档进行解密处理，并将数字水印嵌入其中，向客户端提供服务。客户端则利用Docker容器的各项功能，结合自身实际需求，对加密电子文档进行灵活使用。在此过程中，Docker容器对客户端使用加密电子文档的全过程进行安全控制，并对客户端的使用行为进行实时监控。

3结束语

本文介绍了一种以虚拟容器和数字谁为基础的加密电子文档保护机制，通过对Docker虚拟技术相关功能的充分利用，对客户端访问加密电子文档的行为进行控制。在此基础上，借助数字水印技术，将水印嵌入加密电子文档中，从而在文档泄漏后，能够通过水印追溯到泄漏点，对侵权行为进行跟踪。由于Docker虚拟技术具有较强的封闭性和隔离性，能够利用其中的配置策略，对加密电子文档进行保护，以避免客户端利用漏洞绕过预先设定的加密电子文档安全防护策略，从而确保Docker容器接收到加密电子文档后才会解密。即使Docker容器被恶意攻击失去效能，依然会对加密电子文档进行保护，因此，加强对该技术的进一步探索与实践，能够为全面提高我国网络环境安全水平奠定坚实基础。

作者简介：

金彦旭（1995—），硕士，助理工程师，研究方向：云计算技术。