CN117896065B - 基于云服务器与内核技术的远程协同防泄漏办公*** - Google Patents
基于云服务器与内核技术的远程协同防泄漏办公*** Download PDFInfo
- Publication number
- CN117896065B CN117896065B CN202410298215.XA CN202410298215A CN117896065B CN 117896065 B CN117896065 B CN 117896065B CN 202410298215 A CN202410298215 A CN 202410298215A CN 117896065 B CN117896065 B CN 117896065B
- Authority
- CN
- China
- Prior art keywords
- user
- key
- server
- function
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000005516 engineering process Methods 0.000 title claims abstract description 21
- 238000000034 method Methods 0.000 claims abstract description 171
- 230000008569 process Effects 0.000 claims abstract description 91
- 238000009795 derivation Methods 0.000 claims abstract description 16
- 238000012544 monitoring process Methods 0.000 claims abstract description 10
- 230000006870 function Effects 0.000 claims description 71
- 238000000605 extraction Methods 0.000 claims description 35
- 239000013598 vector Substances 0.000 claims description 15
- 238000004364 calculation method Methods 0.000 claims description 9
- 108020004999 messenger RNA Proteins 0.000 claims description 9
- 238000004422 calculation algorithm Methods 0.000 claims description 6
- 125000004122 cyclic group Chemical group 0.000 claims description 6
- 239000013307 optical fiber Substances 0.000 claims description 6
- 230000007480 spreading Effects 0.000 claims description 6
- 230000002265 prevention Effects 0.000 claims description 5
- 108091026890 Coding region Proteins 0.000 claims description 3
- 229910002056 binary alloy Inorganic materials 0.000 claims description 3
- 238000013507 mapping Methods 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 3
- 230000000694 effects Effects 0.000 description 4
- 230000036962 time dependent Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000005336 cracking Methods 0.000 description 3
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0414—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/08—Protocols specially adapted for terminal emulation, e.g. Telnet
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/3033—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters details relating to pseudo-prime or prime number generation, e.g. primality test
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Algebra (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本发明属于协同办公技术领域,具体是公开了基于云服务器与内核技术的远程协同防泄漏办公***,***包括:用户管理模块、服务模块、用户终端模块和内核驱动模块。本发明使用一种增强型MD5哈希方法对云服务器端和用户终端的唯一标识ID进行处理,用于加密配置文件和登录账号,具有隐藏性、不可逆性和唯一确定性,保护授权用户的账号信息;使用基于提取‑扩展的密钥派生函数生成服务器公钥和服务器私钥,对用户登录信息进行加密,防止用户登录信息泄漏;使用内核技术对用户的线程状态和文件操作进行监控,防止用户将云服务器端的共享文件拷贝到终端,优化文件管理。
Description
技术领域
本发明涉及协同办公技术领域,具体是指基于云服务器与内核技术的远程协同防泄漏办公***。
背景技术
远程协同办公***提供了集中化的办公工具,帮助团队成员在不同地点、不同时间协同办公和共享信息。传统的远程协同办公***中存在对数据安全保护功能较弱,容易造成敏感数据泄漏的技术问题;存在防泄漏效果相对较弱,无法提供深入的保护和防护的技术问题;存在对用户的防范意识较低,容易造成文件泄漏、恶意篡改文件的技术问题。
发明内容
针对上述情况,为克服现有技术的缺陷,本发明提供了基于云服务器与内核技术的远程协同防泄漏办公***,针对传统技术中存在的对数据安全保护功能较弱,容易造成敏感数据泄漏的技术问题,本发明使用一种增强型MD5哈希方法对云服务器端和用户终端的唯一标识ID进行处理,用于加密配置文件和登录账号,具有隐藏性、不可逆性和唯一确定性,降低密钥被破解的风险,保护授权用户的账号信息;针对防泄漏效果相对较弱,无法提供深入的保护和防护的技术问题,本发明使用了基于提取-扩展的密钥派生函数生成服务器公钥和服务器私钥,对用户登录信息进行加密,具有更好的安全性和随机性,防止用户登录信息泄漏;针对存在对用户的防范意识较低,容易造成文件泄漏、恶意篡改文件的技术问题,本发明使用内核技术对用户的线程状态和文件操作进行监控,防止用户将云服务器端的共享文件拷贝到终端,了解员工的文件使用情况,防止数据泄漏,优化文件管理。
本发明采取的技术方案如下:本发明提供了基于云服务器与内核技术的远程协同防泄漏办公***,所述基于云服务器与内核技术的远程协同防泄漏办公***包括用户管理模块、服务模块、用户终端模块和内核驱动模块,所述用户管理模块、服务模块和内核驱动模块设在云服务器端;
所述用户管理模块为授权用户生成用户ID和配置文件,所述配置文件包括云服务器IP、授权用户的用户ID、登录账号、账号允许开始时间、账号允许结束时间和账号密码,用户管理模块使用一种增强型MD5哈希方法对云服务器端的唯一标识ID进行处理,获得配置密钥,用配置密钥加密配置文件;
所述服务模块保存共享文件,生成服务器私钥和服务器公钥,与用户终端模块交互实现对授权用户的验证,授权用户在用户终端模块发出加密请求文件后,服务模块对加密请求文件进行验证,使用服务器私钥对加密请求文件进行解密,得到用户密钥和登录账号,查询登录账号是否在配置文件中,如果不存在,则拒绝请求登录,否则,检查登录账号是否在账号允许开始时间和账号允许结束时间之间,如果不在,则拒绝请求登录,否则,用用户密钥加密授权用户的用户ID、登录账号、账号允许开始时间、账号允许结束时间和账号密码,得到加密用户结构,将加密用户结构发送给用户终端模块的***盘,授权用户登录成功后,服务模块将授权用户可访问的共享文件外发到授权用户的数据盘中;
所述用户终端模块包括数据盘和***盘,所述***盘存储共享文件和用户终端模块的唯一标识ID,授权用户在***盘输入云服务器IP和登录账号,***盘使用增强型MD5哈希方法对用户终端模块的唯一标识ID进行处理,得到用户密钥,用服务器公钥加密用户密钥和登录账号,得到加密请求文件,将加密请求文件发送给服务模块请求登录,请求登录被允许后,***盘接收服务模块发送的加密用户结构,用用户密钥对加密用户结构进行解密,得到登录账号和密码,通过微软的mstscax.dll登录到云服务器端,数据盘接收服务模块外发的共享文件;
所述内核驱动模块使用内核技术对授权用户的线程状态和文件操作进行监控,防止授权用户将云服务器端的共享文件拷贝到用户终端模块的数据盘,确保授权用户的线程状态正常。
所述用户管理模块和用户终端模块中的***盘使用一种增强型MD5哈希方法对唯一标识ID进行处理,分别得到配置密钥和用户密钥,所述增强型MD5哈希方法,具体包括以下步骤:
步骤A1:将唯一标识ID转换为二进制,得到二进制标识;
步骤A2:定义两个基不可约多项式,计算二进制标识的基不可约多项式的值,所用公式如下:
,
,
式中,为和为两个不同的基不可约多项式,为二进制标识;
步骤A3:为和创建二进制向量,分别为v1和v2;
步骤A4:对v1和v2分别进行64次LFSR迭代,将v1每次迭代的进位保存在序列向量s1中,将v2每次迭代的进位保存在序列向量s2中;
步骤A5:对序列向量s1和序列向量s2进行异或运算,得到初始密钥,将初始密钥输入到DES中的初始排列表中,生成64位的中间密钥;
步骤A6:使用Python编程工具生成记录mRNA编码序列的MRNA表,将二进制标识均分为块,每个块有64位,将二进制标识和中间密钥进行异或运算,并与MRNA表进行编码比较,得到编码结果;
步骤A7:将编码结果输入到MD5算法的4个寄存器中进行计算,对MD5算法的4个寄存器的输出采用四阶格-库塔方法进行求解,得到标识密钥。
所述服务模块使用基于提取的密钥派生方法生成服务器公钥,所述基于提取的密钥派生方法,具体包括以下步骤:
步骤B1:设定服务器公钥长度,随机选取椭圆曲线群在素数P的有限域上的一个公共循环子群,将公共循环子群上的样本转换为固定长度的二进制形式,所有转换为固定长度的二进制形式的样本构成样本集合;
步骤B2:定义提取器函数为:
,
式中,是提取器函数,是提取函数,是提取参数,是二进制形式的样本的
固定长度,和是设定非负整数;
步骤B3:将样本集合输入到提取函数中得到初始集合,计算统计距离,所用公式如下:
,
式中,是初始集合中的元素,是满足的元素,是设定的服务器公钥长
度,是和统计距离,是随机有限集合,是中的元素,是满足
条件的概率,是满足条件的概率;
步骤B4:计算安全参数,所用公式如下:
,
式中,是安全参数,是提取集合的大小,是提取集合为时的值,是样本集合
的大小,是安全参数取时对应的中间参数,是自然数集;
步骤B5:输出初始集合中满足条件的元素作为提取集合;
步骤B6:定义映射函数为:
,
式中,是逻辑判断,是异或运算,是安全参数为时对应的中间参数,
是提取集合的元素,是提取集合中的第个元素;
步骤B7:如果设定的服务器公钥长度大于与的乘积,则为错误信号,重新执行
步骤B1,否则,计算提取密钥,所用公式为:
,
式中,是提取密钥;
步骤B8:将提取密钥作为服务器公钥。
所述服务模块使用基于扩展的密钥派生方法生成服务器私钥,所述基于扩展的密钥派生方法,具体包括以下步骤:
步骤C1:设定服务器私钥长度,根据ButterKnife框架定义伪随机扩展函数为:
,
式中,是伪随机扩展函数,是二进制形式的固定长度,,是扩展
系数,;
步骤C2:将提取密钥和服务器的唯一标识ID输入到伪随机扩展函数中,得到扩展集合,所用公式如下:
,
式中,是服务器的唯一标识ID,是扩展集合;
步骤C3:计算的最终迭代数,所用公式如下:
,
式中,是的最终迭代数,是设定的服务器私钥长度;
步骤C4:计算的最终迭代数,所用公式如下:
,
式中,是的最终迭代数,是扩展系数和的最终迭代数相乘;
步骤C5:将提取密钥与输入到伪随机扩展函数中进行扩展,是对进行迭代,将和的异或运算结果与进行或运算,所用公式如下:
,
式中,是对提取密钥与扩展的结
果;
步骤C6:对和进行迭代,重复执行步骤C5,直至满足条件,当且时,伪随机扩展函数输出结果为;
步骤C7:计算扩展密钥,所用公式如下:
,
式中,是扩展密钥;
步骤C8:将扩展密钥作为服务器私钥。
所述内核驱动模块使用基于微软Minifilter构建内核驱动的方法对授权用户的线程状态和文件操作进行监控,所述基于微软Minifilter构建内核驱动的方法,具体包括以下步骤:
步骤D1:利用PsSetCreateProcessNotifyRoutine内核函数生成进程监视文档,所述进程监视文档包括进程ID和进程的用户ID,根据授权用户的用户ID将进程ID进行分组,构成用户进程组;
步骤D2:当授权用户使用剪切板进行粘贴操作时,利用GetClipboardOwner***函数获取剪切板的粘贴内容的来源窗口句柄,如果来源窗口句柄为空,则清空剪切板,否则,利用函数GetWindowThreadProcessId获取来源窗口句柄的进程ID,如果来源窗口句柄的进程ID存在于用户进程组中,则禁止清空剪切板;
步骤D3:检查GetClipboardOwner***函数是否被挂INLINE钩子,使用线程获取GetClipboardOwner***函数在进程的内存地址,检查内存地址是否以0xE9开头,如果是,则GetClipboardOwner***函数被挂INLINE钩子,自动停止进程,否则,GetClipboardOwner***函数没有被挂INLINE钩子;
步骤D4:获取c:\windows\system32\Kernel32.dll和User32.dll在进程的内存地址的首地址start和GetClipboardOwner***函数的代码长度len,然后找到进程的地址值addr,如果满足首地址start<地址值addr<首地址start+代码长度len,则GetClipboardOwner***函数没有被挂INLINE钩子,否则,GetClipboardOwner***函数被挂INLINE钩子,自动停止进程。
采用上述方案本发明取得的有益效果如下:
(1)针对传统技术中存在的对数据安全保护功能较弱,容易造成敏感数据泄漏的技术问题,本发明使用一种增强型MD5哈希方法对云服务器端和用户终端的唯一标识ID进行处理,用于加密配置文件和登录账号,具有隐藏性、不可逆性和唯一确定性,降低密钥被破解的风险,保护授权用户的账号信息;
(2)针对防泄漏效果相对较弱,无法提供深入的保护和防护的技术问题,本发明使用了基于提取-扩展的密钥派生函数生成服务器公钥和服务器私钥,对用户登录信息进行加密,具有更好的安全性和随机性,防止用户登录信息泄漏;
(3)针对存在对用户的防范意识较低,容易造成文件泄漏、恶意篡改文件的技术问题,本发明使用内核技术对用户的线程状态和文件操作进行监控,防止用户将云服务器端的共享文件拷贝到终端,了解员工的文件使用情况,防止数据泄漏,优化文件管理。
附图说明
图1为本发明提供的基于云服务器与内核技术的远程协同防泄漏办公***的模块连接图。
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例;基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:参阅图1,本实施例提供了基于云服务器与内核技术的远程协同防泄漏办公***,所述基于云服务器与内核技术的远程协同防泄漏办公***包括用户管理模块、服务模块、用户终端模块和内核驱动模块,所述用户管理模块、服务模块和内核驱动模块设在云服务器端;
所述用户管理模块为授权用户生成用户ID和配置文件,所述配置文件包括云服务器IP、授权用户的用户ID、登录账号、账号允许开始时间、账号允许结束时间和账号密码,用户管理模块使用一种增强型MD5哈希方法对云服务器端的唯一标识ID进行处理,获得配置密钥,用配置密钥加密配置文件;
所述服务模块保存共享文件,生成服务器私钥和服务器公钥,与用户终端模块交互实现对授权用户的验证,授权用户在用户终端模块发出加密请求文件后,服务模块对加密请求文件进行验证,使用服务器私钥对加密请求文件进行解密,得到用户密钥和登录账号,查询登录账号是否在配置文件中,如果不存在,则拒绝请求登录,否则,检查登录账号是否在账号允许开始时间和账号允许结束时间之间,如果不在,则拒绝请求登录,否则,用用户密钥加密授权用户的用户ID、登录账号、账号允许开始时间、账号允许结束时间和账号密码,得到加密用户结构,将加密用户结构发送给用户终端模块的***盘,授权用户登录成功后,服务模块将授权用户可访问的共享文件外发到授权用户的数据盘中;
所述用户终端模块包括数据盘和***盘,所述***盘存储共享文件和用户终端模块的唯一标识ID,授权用户在***盘输入云服务器IP和登录账号,***盘使用增强型MD5哈希方法对用户终端模块的唯一标识ID进行处理,得到用户密钥,用服务器公钥加密用户密钥和登录账号,得到加密请求文件,将加密请求文件发送给服务模块请求登录,请求登录被允许后,***盘接收服务模块发送的加密用户结构,用用户密钥对加密用户结构进行解密,得到登录账号和密码,通过微软的mstscax.dll登录到云服务器端,数据盘接收服务模块外发的共享文件;
所述内核驱动模块使用内核技术对授权用户的线程状态和文件操作进行监控,防止授权用户将云服务器端的共享文件拷贝到用户终端模块的数据盘,确保授权用户的线程状态正常。
实施例二:参阅图1,该实施例基于上述实施例,所述用户管理模块和用户终端模块中的***盘使用一种增强型MD5哈希方法对唯一标识ID进行处理,分别得到配置密钥和用户密钥,所述增强型MD5哈希方法,具体包括以下步骤:
步骤A1:将唯一标识ID转换为二进制,得到二进制标识;
步骤A2:定义两个基不可约多项式,计算二进制标识的基不可约多项式的值,所用公式如下:
,
,
式中,为和为两个不同的基不可约多项式,为二进制标识;
步骤A3:为和创建二进制向量,分别为v1和v2;
步骤A4:对v1和v2分别进行64次LFSR迭代,将v1每次迭代的进位保存在序列向量s1中,将v2每次迭代的进位保存在序列向量s2中;
步骤A5:对序列向量s1和序列向量s2进行异或运算,得到初始密钥,将初始密钥输入到DES中的初始排列表中,生成64位的中间密钥;
步骤A6:使用Python编程工具生成记录mRNA编码序列的MRNA表,将二进制标识均分为块,每个块有64位,将二进制标识和中间密钥进行异或运算,并与MRNA表进行编码比较,得到编码结果;
步骤A7:将编码结果输入到MD5算法的4个寄存器中进行计算,对MD5算法的4个寄存器的输出采用四阶格-库塔方法进行求解,得到标识密钥。
通过上述操作,针对传统技术中存在的对数据安全保护功能较弱,容易造成敏感数据泄漏的技术问题,本发明使用一种增强型MD5哈希方法对云服务器端和用户终端的唯一标识ID进行处理,用于加密配置文件和登录账号,具有隐藏性、不可逆性和唯一确定性,降低密钥被破解的风险,保护授权用户的账号信息。
实施例三,参阅图1,该实施例基于上述实施例,所述服务模块使用基于提取的密钥派生方法生成服务器公钥,所述基于提取的密钥派生方法,具体包括以下步骤:
步骤B1:设定服务器公钥长度,随机选取椭圆曲线群在素数P的有限域上的一个公共循环子群,将公共循环子群上的样本转换为固定长度的二进制形式,所有转换为固定长度的二进制形式的样本构成样本集合;
步骤B2:定义提取器函数为:
,
式中,是提取器函数,是提取函数,是提取参数,是二进制形式的样本的
固定长度,和是设定非负整数;
步骤B3:将样本集合输入到提取函数中得到初始集合,计算统计距离,所用公式如下:
,
式中,是初始集合中的元素,是满足的元素,是设定的服务器公钥长
度,是和统计距离,是随机有限集合,是中的元素,是满足
条件的概率,是满足条件的概率;
步骤B4:计算安全参数,所用公式如下:
,
式中,是安全参数,是提取集合的大小,是提取集合为时的值,是样本集合
的大小,是安全参数取时对应的中间参数,是自然数集;
步骤B5:输出初始集合中满足条件的元素作为提取集合;
步骤B6:定义映射函数为:
,
式中,是逻辑判断,是异或运算,是安全参数为时对应的中间参数,
是提取集合的元素,是提取集合中的第个元素;
步骤B7:如果设定的服务器公钥长度大于与的乘积,则为错误信号,重新执行
步骤B1,否则,计算提取密钥,所用公式为:
,
式中,是提取密钥;
步骤B8:将提取密钥作为服务器公钥。
实施例四,参阅图1,该实施例基于上述实施例,所述服务模块使用基于扩展的密钥派生方法生成服务器私钥,所述基于扩展的密钥派生方法,具体包括以下步骤:
步骤C1:设定服务器私钥长度,根据ButterKnife框架定义伪随机扩展函数为:
,
式中,是伪随机扩展函数,是二进制形式的固定长度,,是扩展
系数,;
步骤C2:将提取密钥和服务器的唯一标识ID输入到伪随机扩展函数中,得到扩展集合,所用公式如下:
,
式中,是服务器的唯一标识ID,是扩展集合;
步骤C3:计算的最终迭代数,所用公式如下:
,
式中,是的最终迭代数,是设定的服务器私钥长度;
步骤C4:计算的最终迭代数,所用公式如下:
,
式中,是的最终迭代数,是扩展系数和的最终迭代数相乘;
步骤C5:将提取密钥与输入到伪随机扩展函数中进行扩展,是对进行迭代,将和的异或运算结果与进行或运算,所用公式如下:
,
式中,是对提取密钥与扩展的结
果;
步骤C6:对和进行迭代,重复执行步骤C5,直至满足条件,当且时,伪随机扩展函数输出结果为;
步骤C7:计算扩展密钥,所用公式如下:
,
式中,是扩展密钥;
步骤C8:将扩展密钥作为服务器私钥。
通过上述操作,针对防泄漏效果相对较弱,无法提供深入的保护和防护的技术问题,本发明使用了基于提取-扩展的密钥派生函数生成服务器公钥和服务器私钥,对用户登录信息进行加密,具有更好的安全性和随机性,防止用户登录信息泄漏。
实施例五,参阅图1,该实施例基于上述实施例,所述内核驱动模块使用基于微软Minifilter构建内核驱动的方法对授权用户的线程状态和文件操作进行监控,所述基于微软Minifilter构建内核驱动的方法,具体包括以下步骤:
步骤D1:利用PsSetCreateProcessNotifyRoutine内核函数生成进程监视文档,所述进程监视文档包括进程ID和进程的用户ID,根据授权用户的用户ID将进程ID进行分组,构成用户进程组;
步骤D2:当授权用户使用剪切板进行粘贴操作时,利用GetClipboardOwner***函数获取剪切板的粘贴内容的来源窗口句柄,如果来源窗口句柄为空,则清空剪切板,否则,利用函数GetWindowThreadProcessId获取来源窗口句柄的进程ID,如果来源窗口句柄的进程ID存在于用户进程组中,则禁止清空剪切板;
步骤D3:检查GetClipboardOwner***函数是否被挂INLINE钩子,使用线程获取GetClipboardOwner***函数在进程的内存地址,检查内存地址是否以0xE9开头,如果是,则GetClipboardOwner***函数被挂INLINE钩子,自动停止进程,否则,GetClipboardOwner***函数没有被挂INLINE钩子;
步骤D4:获取c:\windows\system32\Kernel32.dll和User32.dll在进程的内存地址的首地址start和GetClipboardOwner***函数的代码长度len,然后找到进程的地址值addr,如果满足首地址start<地址值addr<首地址start+代码长度len,则GetClipboardOwner***函数没有被挂INLINE钩子,否则,GetClipboardOwner***函数被挂INLINE钩子,自动停止进程。
通过上述操作,针对存在对用户的防范意识较低,容易造成文件泄漏、恶意篡改文件的技术问题,本发明使用内核技术对用户的线程状态和文件操作进行监控,防止用户将云服务器端的共享文件拷贝到终端,了解员工的文件使用情况,防止数据泄漏,优化文件管理。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
以上对本发明及其实施方式进行了描述,这种描述没有限制性,附图中所示的也只是本发明的实施方式之一,实际的结构并不局限于此。总而言之如果本领域的普通技术人员受其启示,在不脱离本发明创造宗旨的情况下,不经创造性的设计出与该技术方案相似的结构方式及实施例,均应属于本发明的保护范围。
Claims (4)
1.基于云服务器与内核技术的远程协同防泄漏办公***,其特征在于,包括用户管理模块、服务模块、用户终端模块和内核驱动模块,所述用户管理模块、服务模块和内核驱动模块设在云服务器端;
所述用户管理模块为授权用户生成用户ID和配置文件,所述配置文件包括云服务器IP、授权用户的用户ID、登录账号、账号允许开始时间、账号允许结束时间和账号密码,用户管理模块使用一种增强型MD5哈希方法对云服务器端的唯一标识ID进行处理,获得配置密钥,用配置密钥加密配置文件;
所述服务模块保存共享文件,生成服务器私钥和服务器公钥,与用户终端模块交互实现对授权用户的验证,授权用户在用户终端模块发出加密请求文件后,服务模块对加密请求文件进行验证,使用服务器私钥对加密请求文件进行解密,得到用户密钥和登录账号,查询登录账号是否在配置文件中,如果不存在,则拒绝请求登录,否则,检查登录账号是否在账号允许开始时间和账号允许结束时间之间,如果不在,则拒绝请求登录,否则,用用户密钥加密授权用户的用户ID、登录账号、账号允许开始时间、账号允许结束时间和账号密码,得到加密用户结构,将加密用户结构发送给用户终端模块的***盘,授权用户登录成功后,服务模块将授权用户可访问的共享文件外发到授权用户的数据盘中;
所述用户终端模块包括数据盘和***盘,所述***盘存储共享文件和用户终端模块的唯一标识ID,授权用户在***盘输入云服务器IP和登录账号,***盘使用增强型MD5哈希方法对用户终端模块的唯一标识ID进行处理,得到用户密钥,用服务器公钥加密用户密钥和登录账号,得到加密请求文件,将加密请求文件发送给服务模块请求登录,请求登录被允许后,***盘接收服务模块发送的加密用户结构,用用户密钥对加密用户结构进行解密,得到登录账号和密码,通过微软的mstscax.dll登录到云服务器端,数据盘接收服务模块外发的共享文件;
所述内核驱动模块使用基于微软Minifilter构建内核驱动的方法对授权用户的线程状态和文件操作进行监控,防止授权用户将云服务器端的共享文件拷贝到用户终端模块的数据盘,确保授权用户的线程状态正常,所述基于微软Minifilter构建内核驱动的方法,具体包括以下步骤:
步骤D1:利用PsSetCreateProcessNotifyRoutine内核函数生成进程监视文档,所述进程监视文档包括进程ID和进程的用户ID,根据授权用户的用户ID将进程ID进行分组,构成用户进程组;
步骤D2:当授权用户使用剪切板进行粘贴操作时,利用GetClipboardOwner***函数获取剪切板的粘贴内容的来源窗口句柄,如果来源窗口句柄为空,则清空剪切板,否则,利用函数GetWindowThreadProcessId获取来源窗口句柄的进程ID,如果来源窗口句柄的进程ID存在于用户进程组中,则禁止清空剪切板;
步骤D3:检查GetClipboardOwner***函数是否被挂INLINE钩子,使用线程获取GetClipboardOwner***函数在进程的内存地址,检查内存地址是否以0xE9开头,如果是,则GetClipboardOwner***函数被挂INLINE钩子,自动停止进程,否则,GetClipboardOwner***函数没有被挂INLINE钩子;
步骤D4:获取c:\windows\system32\Kernel32.dll和User32.dll在进程的内存地址的首地址start和GetClipboardOwner***函数的代码长度len,然后找到进程的地址值addr,如果满足首地址start<地址值addr<首地址start+代码长度len,则GetClipboardOwner***函数没有被挂INLINE钩子,否则,GetClipboardOwner***函数被挂INLINE钩子,自动停止进程。
2.根据权利要求1所述的基于云服务器与内核技术的远程协同防泄漏办公***,其特征在于,所述用户管理模块和用户终端模块中的***盘使用一种增强型MD5哈希方法对唯一标识ID进行处理,分别得到配置密钥和用户密钥,所述增强型MD5哈希方法,具体包括以下步骤:
步骤A1:将唯一标识ID转换为二进制,得到二进制标识;
步骤A2:定义两个基不可约多项式,计算二进制标识的基不可约多项式的值,所用公式如下:
,
,
式中,和/>为两个不同的基不可约多项式,/>为二进制标识;
步骤A3:为和/>创建二进制向量,分别为v1和v2;
步骤A4:对v1和v2分别进行64次LFSR迭代,将v1每次迭代的进位保存在序列向量s1中,将v2每次迭代的进位保存在序列向量s2中;
步骤A5:对序列向量s1和序列向量s2进行异或运算,得到初始密钥,将初始密钥输入到DES中的初始排列表中,生成64位的中间密钥;
步骤A6:使用Python编程工具生成记录mRNA编码序列的MRNA表,将二进制标识均分为块,每个块有64位,将二进制标识和中间密钥进行异或运算,并与MRNA表进行编码比较,得到编码结果;
步骤A7:将编码结果输入到MD5算法的4个寄存器中进行计算,对MD5算法的4个寄存器的输出采用四阶格-库塔方法进行求解,得到标识密钥。
3.根据权利要求2所述的基于云服务器与内核技术的远程协同防泄漏办公***,其特征在于,所述服务模块使用基于提取的密钥派生方法生成服务器公钥,所述基于提取的密钥派生方法,具体包括以下步骤:
步骤B1:设定服务器公钥长度,随机选取椭圆曲线群在素数P的有限域上的一个公共循环子群,将公共循环子群上的样本转换为固定长度的二进制形式,所有转换为固定长度的二进制形式的样本构成样本集合;
步骤B2:定义提取器函数为:
,
式中,是提取器函数,/>是提取函数,/>是提取参数,/>是二进制形式的样本的固定长度,/>和/>是设定非负整数;
步骤B3:将样本集合输入到提取函数中得到初始集合,计算统计距离,所用公式如下:
,
式中,是初始集合中的元素,/>是满足/>的元素,/>是设定的服务器公钥长度,是/>和/>统计距离,/>是随机有限集合,/>是/>中的元素,/>是满足条件的概率,/>是满足条件/>的概率;
步骤B4:计算安全参数,所用公式如下:
,
式中,是安全参数,/>是提取集合的大小,/>是提取集合为/>时/>的值,/>是样本集合的大小,/>是安全参数取/>时对应的中间参数,/>是自然数集;
步骤B5:输出初始集合中满足条件的元素作为提取集合;
步骤B6:定义映射函数为:
,
式中,是逻辑判断,/>是异或运算,/>是安全参数为/>时对应的中间参数,/>是提取集合的元素,/>是提取集合中的第/>个元素;
步骤B7:如果设定的服务器公钥长度大于与/>的乘积,则为错误信号,重新执行步骤B1,否则,计算提取密钥,所用公式为:
,
式中,是提取密钥;
步骤B8:将提取密钥作为服务器公钥。
4.根据权利要求3所述的基于云服务器与内核技术的远程协同防泄漏办公***,其特征在于,所述服务模块使用基于扩展的密钥派生方法生成服务器私钥,所述基于扩展的密钥派生方法,具体包括以下步骤:
步骤C1:设定服务器私钥长度,根据ButterKnife框架定义伪随机扩展函数为:
,
式中,是伪随机扩展函数,/>是二进制形式的固定长度,/>,/>是扩展系数,;
步骤C2:将提取密钥和服务器的唯一标识ID输入到伪随机扩展函数中,得到扩展集合,所用公式如下:
,
式中,是服务器的唯一标识ID,/>是扩展集合;
步骤C3:计算的最终迭代数,所用公式如下:
,
式中,是/>的最终迭代数,/>是设定的服务器私钥长度;
步骤C4:计算的最终迭代数,所用公式如下:
,
式中,是/>的最终迭代数,/>是扩展系数和/>的最终迭代数相乘;
步骤C5:将提取密钥与输入到伪随机扩展函数中进行扩展,是对/>进行迭代,将/>和/>的异或运算结果与/>进行或运算,所用公式如下:
,
式中,是对提取密钥与/>扩展的结果;
步骤C6:对和/>进行迭代,重复执行步骤C5,直至满足条件/>,当/>且/>时,伪随机扩展函数输出结果为/>;
步骤C7:计算扩展密钥,所用公式如下:
,
式中,是扩展密钥;
步骤C8:将扩展密钥作为服务器私钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410298215.XA CN117896065B (zh) | 2024-03-15 | 2024-03-15 | 基于云服务器与内核技术的远程协同防泄漏办公*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410298215.XA CN117896065B (zh) | 2024-03-15 | 2024-03-15 | 基于云服务器与内核技术的远程协同防泄漏办公*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117896065A CN117896065A (zh) | 2024-04-16 |
| CN117896065B true CN117896065B (zh) | 2024-05-10 |
Family
ID=90647663
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410298215.XA Active CN117896065B (zh) | 2024-03-15 | 2024-03-15 | 基于云服务器与内核技术的远程协同防泄漏办公*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117896065B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20110035573A (ko) * | 2009-09-30 | 2011-04-06 | 주식회사 케이티 | 클라우드 컴퓨팅 환경에서 안전한 가상 머신 설치를 제공하는 방법 |
| CN103685334A (zh) * | 2012-09-03 | 2014-03-26 | 许丰 | 智能应用浏览器 |
| CN106326699A (zh) * | 2016-08-25 | 2017-01-11 | 广东七洲科技股份有限公司 | 一种基于文件访问控制和进程访问控制的服务器加固方法 |
-
2024
- 2024-03-15 CN CN202410298215.XA patent/CN117896065B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20110035573A (ko) * | 2009-09-30 | 2011-04-06 | 주식회사 케이티 | 클라우드 컴퓨팅 환경에서 안전한 가상 머신 설치를 제공하는 방법 |
| CN103685334A (zh) * | 2012-09-03 | 2014-03-26 | 许丰 | 智能应用浏览器 |
| CN106326699A (zh) * | 2016-08-25 | 2017-01-11 | 广东七洲科技股份有限公司 | 一种基于文件访问控制和进程访问控制的服务器加固方法 |
Non-Patent Citations (3)
| Title |
|---|
| Docker镜像安全及运行异常检测研究与应用;栗晓晗;《中国优秀硕士学位论文全文数据库信息科技辑》;20240215(第2期);I138-220 * |
| Reduced file hash foot prints for optimized deduplication in cloud platforms;Jyothirmai, M等;《Journal of Theoretical and Applied Information Technology》;20160420;第86卷(第2期);第232-239页 * |
| 张惠娟,翟鸿鸣,周利华.实时协同的调度算法研究.《计算机工程与设计》.2004,全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117896065A (zh) | 2024-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7295068B2 (ja) | フェデレーテッドキー管理 | |
| KR101974060B1 (ko) | 분산 해시 테이블과 피어투피어 분산 대장을 사용하여 디지털 자산의 소유권을 검증하기 위한 방법 및 시스템 | |
| CN108737442B (zh) | 一种加密校验处理方法 | |
| US9847880B2 (en) | Techniques for ensuring authentication and integrity of communications | |
| US6950523B1 (en) | Secure storage of private keys | |
| CN102426640B (zh) | 用于产品验证和激活的安全软件产品标识符 | |
| CN109766979B (zh) | 一种二维码的生成方法、验证方法及其装置 | |
| CN109361668A (zh) | 一种数据可信传输方法 | |
| CN105024803B (zh) | 白箱实现中的行为指纹 | |
| US7395551B2 (en) | Method and apparatus for managing software use | |
| WO2019019887A1 (zh) | 服务器认证接入终端的方法、装置、***、服务器及计算机可读存储介质 | |
| JP2005537559A (ja) | トランザクションの安全な記録 | |
| CN103460195A (zh) | 用于安全软件更新的***和方法 | |
| JP2014072843A (ja) | ワンタイムパスワード装置、システム及びプログラム | |
| US20180204004A1 (en) | Authentication method and apparatus for reinforced software | |
| CN112257093B (zh) | 数据对象的鉴权方法、终端及存储介质 | |
| US11546159B2 (en) | Long-lasting refresh tokens in self-contained format | |
| US20140157368A1 (en) | Software authentication | |
| CN110659457B (zh) | 一种应用授权的验证方法、装置及客户端 | |
| CN110572396A (zh) | 一种功能使用授权的控制方法和*** | |
| CN108933766B (zh) | 一种提高设备id安全性的方法和客户端 | |
| WO2013079893A1 (en) | User access control based on a graphical signature | |
| CN117896065B (zh) | 基于云服务器与内核技术的远程协同防泄漏办公*** | |
| CN104392153A (zh) | 一种软件保护方法及*** | |
| CN104184580A (zh) | 一种网络操作方法和网络操作*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |