基于SFTP面向敏感文档的安全高效溯源系统

作     者：包立兴 

作者单位：河北大学 

学位级别：硕士

导师姓名：王洋;翟俊海

授予年度：2024年

学科分类：08[工学] 0839[工学-网络空间安全] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：敏感文档 数据泄露 Linux内核 指纹脚本 动态溯源 

摘      要：在信息技术飞速发展的今天,文档数字资源的安全性愈发重要。这些资源不仅是个人和企业的宝贵资产,也是国家的重要组成部分。然而随着企业业务访问量的增加,文档型数据的安全威胁也日益严重。由于其具有高敏感性和高流动性的特点,它们可能在未经授权或违反规定的情况下,被非法获取、传播或篡改,给利益相关者带来严重的损失和风险。 数据溯源技术可以记录和追踪文档的来源,从而防止文档泄露。传统的网络通路溯源对离线文档缺乏有效跟踪机制,基于加密文件的密钥追踪对共享文件不能保证有效溯源,现有的标注法、反向查询和数据水印技术,需要用户参与并在应用层部署,导致溯源的安全力度不够,缺乏透明性和灵活性,系统的可扩展性不足。 本研究致力于探索离线文档溯源的新架构和方法,提出了一种创新的基于脚本的动态指纹溯源技术,该技术基于Linux内核修改实现底层溯源,加强文档共享的安全性和透明性;基于用户空间脚本实现指纹算法,提升文档共享的灵活性和可扩展性,此方法旨在提供一种安全且可定制的文档溯源解决方案。本文的主要贡献如下: 1.提出一种基于Linux内核和用户脚本的动态溯源架构:针对离线文档溯源的安全性、透明性和灵活性问题,本文提出了一种可插拔式的动态溯源架构,提出的架构是对现有溯源方法的改进,改进包括两方面,底层内核溯源和用户脚本计算。具体地,对现有内核的文件系统进行改进,拦截文件打开操作,通过Netlink机制与用户空间的溯源方法脚本进行通信,为敏感文档在线添加溯源信息。在Linux内核体系之上使用脚本既可以利用内核的稳定性和安全性为文档保护提供可靠的底层硬件基础,又可以将脚本的灵活性、适应性和可扩展性发挥到极致,满足用户的个性化需求。 2.提出用于多负载场景的指纹算法:针对文档共享的高效性和可扩展性问题,本文设计了指纹溯源和指纹驱动算法,用于多负载请求场景。算法的溯源部分采用哈希加密函数,将用户信息转化为独特的哈希串指纹,这些指纹能够有效追溯离线文档的来源。算法的驱动部分引入了异步和同步两种驱动模式,兼顾了敏感文档共享的效率与安全性,同时保持了共享系统的灵活性和可扩展性。 3.构建基于SFTP的离线文档溯源系统原型:针对动态溯源架构和指纹算法的实用性和有效性问题,本文在服务端采用SFTP(Secure File Transfer Protocol,安全文件传输协议)作为传输协议,结合定制化的身份访问机制,嵌入动态指纹溯源技术,从而保障系统的安全性、封闭性和可追溯性。这一系统已成功地在第三次新疆综合科学考察项目中得到应用,有效管理了科考文档的安全。该系统不仅能够对外提供流畅、高效、稳定的共享服务,还可以有效预防文档在传输过程中的盗访和泄露,为版权保护和数据泄露调查等提供有力的技术支撑。 本研究提出的动态溯源架构不仅能够对共享文档进行安全透明且灵活有效的追踪,还具备强大的扩展性。这一架构可以轻松地扩展应用到数据在线加密、压缩、删冗等多种数据动态操作中,只需简单修改用户脚本即可。这种通用性和可移植性的优势,使得本架构成为一种创新而实用的文档保护解决方案,适用于多样化的应用场景,有效地提升了文档的安全性和管理效率。