文件密級標(biāo)識全程管控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

武 越，劉向東，石兆軍

（中國航天科工集團(tuán)第二研究院706所，北京100854）

0 引 言

大量文件以電子文檔的形式在涉密信息系統(tǒng)內(nèi)流轉(zhuǎn)，文件密級標(biāo)識的安全問題隨之出現(xiàn)。眾多研究人員分別從不同層面對文件密級標(biāo)識進(jìn)行了研究，其中，BLP（Bell－Lapadula）系統(tǒng)為主體和客體定義了密級標(biāo)識［1］，但密級標(biāo)識在主體的整個生命周期內(nèi)固定不變，過于嚴(yán)格簡單，缺乏靈活性［2］；秦素娟將密級標(biāo)識以數(shù)字水印形式嵌入矢量電子圖紙中［3］，但是該系統(tǒng)僅適用于單機(jī)環(huán)境；王蕊娜等人針對二值文檔提出了基于數(shù)字水印的密級標(biāo)識添加方法［4］，基于置亂加密算法保證密級標(biāo)識與二值文檔不可分離，基于中國剩余定理保證密級標(biāo)識不可篡改；邊力等人提出了基于多維標(biāo)識的文件分級保護(hù)系統(tǒng)［5］，該系統(tǒng)將文件標(biāo)識嵌入到電子文件頭部，并引入域標(biāo)識的概念，但沒有解決密級標(biāo)識本身的安全性問題，用戶可以隨意修改流轉(zhuǎn)到自己這里的電子文件的密級，而且定密機(jī)構(gòu)無法對這些非法操作進(jìn)行控制審計(jì)。

本文針對當(dāng)前涉密信息系統(tǒng)內(nèi)文件密級標(biāo)識管理混亂的局面，通過分析文件所處的不同狀態(tài)和外部環(huán)境，將密級標(biāo)識管理分為靜態(tài)管控和動態(tài)管控，并針對不同的管控需求提出不同的解決方法：使用HMAC完整性校驗(yàn)技術(shù)和文件系統(tǒng)過濾驅(qū)動技術(shù)解決靜態(tài)管控需求；通過在文件頭密級標(biāo)識字段后添加若干標(biāo)志位并使用HOOK技術(shù)解決動態(tài)管控需求。之后，基于以上研究，設(shè)計(jì)實(shí)現(xiàn)了涉密信息系統(tǒng)文件密級標(biāo)識全程管控系統(tǒng)，該系統(tǒng)可以保證文件密級在靜態(tài)時刻與信息主體不可分離不可篡改，在文件動態(tài)流轉(zhuǎn)過程中密級標(biāo)識安全受控。

1 文件密級標(biāo)識管控研究

在涉密信息系統(tǒng)中，用戶文件會處于相對靜止和動態(tài)流轉(zhuǎn)這兩種狀態(tài)。當(dāng)涉密信息系統(tǒng)內(nèi)的某一文件沒有被用戶編輯并且系統(tǒng)外部環(huán)境相對穩(wěn)定時，此時文件處于相對靜止?fàn)顟B(tài)，對文件密級標(biāo)識采取靜態(tài)管控策略；當(dāng)系統(tǒng)內(nèi)某一文件正處在流轉(zhuǎn)過程中并被用戶訪問修改時，對文件密級標(biāo)識的管控采取動態(tài)策略。

1.1 密級標(biāo)識靜態(tài)管控

1.1.1 靜態(tài)管控需求

當(dāng)文件處在相對靜止的狀態(tài)時，文件的密級一旦在涉密信息系統(tǒng)中被標(biāo)定，就不能由其他人員隨意修改。由于文件的內(nèi)容沒有發(fā)生變化，且外部環(huán)境也相對穩(wěn)定，故此時應(yīng)將密級標(biāo)識與文件主體進(jìn)行綁定，保證密級標(biāo)識與文件主體不可分離不可篡改。

同時，應(yīng)保證文件的標(biāo)密工作對用戶透明，不影響用戶對文件的正常操作使用。

1.1.2 基于HMAC的優(yōu)化完整性校驗(yàn)

為防止密級標(biāo)識被攻擊者非法篡改，使用完整性校驗(yàn)機(jī)制保證密級標(biāo)識的安全。但是如果僅對密級標(biāo)識本身進(jìn)行完整性校驗(yàn)，仍然存在安全問題。系統(tǒng)在一段時間內(nèi)會使用固定的密鑰，密級標(biāo)識對應(yīng)的密級校驗(yàn)值也會相對固定，攻擊者可以明確得到各個密級與其校驗(yàn)值的對應(yīng)關(guān)系。在此情況下，密級標(biāo)識和密級校驗(yàn)值有可能被攻擊者從文件頭部整體替換，以達(dá)到文件降密或其它攻擊目的。例如，攻擊者攔截系統(tǒng)中的文件，將密級標(biāo)識字段由 “機(jī)密”改為 “秘密”，同時將平時在系統(tǒng)內(nèi)竊聽到的 “機(jī)密”密級校驗(yàn)值替換為 “秘密”密級校驗(yàn)值，再發(fā)送給接收者，這時接收者生成的用以驗(yàn)證的校驗(yàn)值會與接收到的校驗(yàn)值完全一致，不會意識到文件密級已被攻擊者降密，造成高密低傳的嚴(yán)重后果。

為了實(shí)現(xiàn)密級標(biāo)識與文件主體的綁定，將密級標(biāo)識與文件內(nèi)容兩者融合在一起進(jìn)行校驗(yàn)，防止密級標(biāo)識和校驗(yàn)值被攻擊者從文件中整體替換。雖然兩份文件的密級可能相同，但是由于文件正文部分的差異，會使得兩份文件的密級校驗(yàn)值不相同。在文件傳輸過程中，如果攻擊者篡改了密級標(biāo)識字段，由于其無法通過竊聽經(jīng)驗(yàn)偽造相應(yīng)的密級校驗(yàn)值，文件接收端生成的密級校驗(yàn)值就會與接收到的校驗(yàn)值不匹配，使接收端意識到密級被惡意篡改。

選擇使用HMAC算法進(jìn)行完整性校驗(yàn)。HMAC是基于哈希函數(shù)的 MAC算法［6］，該算法利用哈希函數(shù)，以一個密鑰和消息作為輸入，生成一個消息摘要作為輸出。設(shè)H為一個哈希函數(shù)，key為通信雙方事先約定的密鑰，i＿pad和o＿pad為兩個常數(shù)，M為輸入的消息，則輸出的校驗(yàn)值HMAC （key，M）可簡單表示成HMAC （key，M）＝H ［H ［M］］。

利用HMAC算法具有兩輪哈希過程的獨(dú)特性質(zhì)［7］，在第一輪哈希過程中，將密級標(biāo)識與文件內(nèi)容融合在一起進(jìn)行哈希運(yùn)算，可以保證密級標(biāo)識與文件主體不可分離；在第二輪哈希過程中，將密鑰與第一輪得到的哈希值一起進(jìn)行哈希運(yùn)算，可以防止密級標(biāo)識被攻擊者惡意篡改。基于HMAC算法的完整性校驗(yàn)機(jī)制如圖1所示。

圖1 基于HMAC算法的完整性校驗(yàn)機(jī)制

1.1.3 文件系統(tǒng)過濾驅(qū)動技術(shù)

使用文件系統(tǒng)過濾驅(qū)動技術(shù)實(shí)現(xiàn)文件標(biāo)密工作，可以做到標(biāo)密工作對用戶透明，不影響用戶對文件的正常操作使用。

文件系統(tǒng)過濾驅(qū)動程序是由程序員根據(jù)特定需要自行設(shè)計(jì)實(shí)現(xiàn)的內(nèi)核模式驅(qū)動程序［8］，并掛接在已有的文件驅(qū)動程序上，通過攔截I／O管理器和存儲設(shè)備驅(qū)動之間的I／O請求包 （I／O request package，IRP），對文件驅(qū)動行為進(jìn)行修改，以提供需要的附加新功能。由于文件系統(tǒng)過濾驅(qū)動運(yùn)行在內(nèi)核層，因此具有更高的處理速度和效率［9］。

通過將文件標(biāo)密操作以文件系統(tǒng)過濾驅(qū)動的形式插入到內(nèi)核層，可以實(shí)現(xiàn)在底層對文件進(jìn)行標(biāo)密。這樣，可以保證對密級標(biāo)識的處理操作對用戶透明，不影響用戶的正常使用。

1.2 密級標(biāo)識動態(tài)管控

1.2.1 動態(tài)管控需求

在涉密信息系統(tǒng)內(nèi)，文件處在實(shí)時動態(tài)流轉(zhuǎn)的過程中，文件被創(chuàng)建并進(jìn)入系統(tǒng)后，會在多個用戶之間進(jìn)行流轉(zhuǎn)，會有多個合法用戶對文件進(jìn)行反復(fù)地打開、關(guān)閉、編輯、修改。同時，系統(tǒng)的外部環(huán)境也處在實(shí)時變化中，會由于某些敏感事件的發(fā)生而提高文件的涉密等級，也會隨著時間的推移，將一些涉密文件逐漸解密［10］。因此，文件的密級其實(shí)是處在不斷變化中的，對密級標(biāo)識與信息主體不可分離不可篡改的描述，也是主要針對文件狀態(tài)相對靜止的時刻。當(dāng)文件密級出于某些原因需要改變時，必須保證文件密級能夠在定密機(jī)構(gòu)審核通過的情況下從文件主體中順利解綁，修改密級后再重新綁定。

1.2.2 添加標(biāo)志位的文件頭結(jié)構(gòu)

為實(shí)現(xiàn)動態(tài)管控，在涉密信息系統(tǒng)內(nèi)對全部文件采用統(tǒng)一的文件格式，并在文件頭部添加8個標(biāo)志位，分別為ISSECRT、ISOPEN、ISEDIT、ISMARK、ISCHECK、ISPASS、ISAUDIT、ISERR。其中，為了方便討論，本文默認(rèn)認(rèn)為系統(tǒng)內(nèi)的文件內(nèi)容始終以密文形式存儲，ISSECRT值始終為1。方案定義的文件頭結(jié)構(gòu)如圖2所示，其中灰色部分為新添加的標(biāo)志位。

圖2 文件頭結(jié)構(gòu)

文件頭各標(biāo)志位定義描述如表1所示。

表1 文件頭標(biāo)志位描述

1.2.3 基于標(biāo)志位的密級標(biāo)識狀態(tài)描述

根據(jù)文件頭中標(biāo)志位的不同取值，可以得到文件密級標(biāo)識當(dāng)前所處的不同狀態(tài)［11］。在實(shí)際應(yīng)用中，對文件標(biāo)志位進(jìn)行實(shí)時監(jiān)控，當(dāng)發(fā)現(xiàn)文件密級標(biāo)識的狀態(tài)出現(xiàn)異常時，判斷可能存在的針對密級標(biāo)識的攻擊和非法操作，并進(jìn)行告警或人為干預(yù)［12］。對密級標(biāo)識各個狀態(tài)的描述如表2所示。

當(dāng)文件處在相對靜止的狀態(tài)時，密級標(biāo)識處在狀態(tài)1，此時文件處于關(guān)閉狀態(tài)，密級標(biāo)識正常，密級管理服務(wù)器內(nèi)保存的密級標(biāo)識審計(jì)信息完整；當(dāng)文件被用戶打開但沒有修改文件內(nèi)容時，密級標(biāo)識處在狀態(tài)2，由于文件內(nèi)容沒有被修改，所以密級標(biāo)識不變；當(dāng)用戶對文件內(nèi)容進(jìn)行了編輯時，密級標(biāo)識處在狀態(tài)3，此時由于文件內(nèi)容已發(fā)生變化，故之前的密級標(biāo)識失效；當(dāng)新修改的密級標(biāo)識經(jīng)由定密機(jī)構(gòu)審核時，密級標(biāo)識會經(jīng)歷狀態(tài)4、狀態(tài)9，狀態(tài)5和狀態(tài)6，審核通過后，密級標(biāo)識會重新回到狀態(tài)1；狀態(tài)7和狀態(tài)8是非常危險的狀態(tài)，此時文件的密級標(biāo)識非法異常，系統(tǒng)會發(fā)出告警。以上描述的密級標(biāo)識狀態(tài)轉(zhuǎn)換如圖3所示，其中圓圈代表密級標(biāo)識的狀態(tài)，圓圈內(nèi)是文件頭各標(biāo)志位的值，箭頭上的文字表示引起密級標(biāo)識狀態(tài)改變的條件。

表2 密級標(biāo)識狀態(tài)描述

圖3 密級標(biāo)識狀態(tài)轉(zhuǎn)換

1.2.4 HOOK技術(shù)

在涉密信息系統(tǒng)中，文件的初始創(chuàng)建人必須完成對其創(chuàng)建的文件進(jìn)行初始標(biāo)密的工作，否則文件在創(chuàng)建之后將不具有密級標(biāo)識。同時，若用戶對文件內(nèi)容進(jìn)行了修改，在關(guān)閉文件之前，必須對文件進(jìn)行重新標(biāo)密。

為了防止用戶忘記對文件標(biāo)密，使用HOOK技術(shù)在應(yīng)用層對用戶行為進(jìn)行監(jiān)控。鉤子 （hook）技術(shù)運(yùn)行在應(yīng)用層，是一個處理Windows消息的程序段［13］，通過系統(tǒng)調(diào)用把鉤子掛入系統(tǒng)。在發(fā)出的特定消息沒有到達(dá)目的窗口前，鉤子程序會先捕獲該消息，這時鉤子函數(shù)可以對消息進(jìn)行加工處理，也可以不作處理而繼續(xù)傳遞消息，還可以強(qiáng)制結(jié)束消息的傳遞［14］。

用戶終端運(yùn)行的操作系統(tǒng)一般為Windows系統(tǒng)。當(dāng)用戶新建或打開一個文件時，鉤子監(jiān)視到創(chuàng)建窗口的消息，并通知標(biāo)密管理軟件開啟對該文件的實(shí)時監(jiān)控；當(dāng)用戶單擊鼠標(biāo)關(guān)閉文件編輯程序 （office，PDF，auto CAD等）窗口時，Windows會發(fā)送關(guān)閉窗口的消息給文件編輯程序，在消息沒有到達(dá)程序窗口前，鉤子會先攔截該消息［15］，并通知標(biāo)密管理軟件審核當(dāng)前文件的密級。若文件密級符合規(guī)范，鉤子會將攔截的關(guān)閉窗口消息釋放，使其繼續(xù)向下傳遞；若文件密級不符合規(guī)范，鉤子會強(qiáng)制終止傳遞該消息，并拒絕關(guān)閉文件編輯程序，同時由標(biāo)密管理軟件生成密級異常提示。

2 文件密級標(biāo)識全程管控系統(tǒng)

2.1 總體框架

系統(tǒng)的邏輯結(jié)構(gòu)如圖4所示。

系統(tǒng)的技術(shù)實(shí)現(xiàn)原理如圖5所示。

2.2 各部分功能

標(biāo)密管理軟件運(yùn)行在涉密信息系統(tǒng)內(nèi)每個用戶終端的操作系統(tǒng)后臺，對文件密級標(biāo)識進(jìn)行實(shí)時監(jiān)控。標(biāo)密管理軟件將根據(jù)文件頭部標(biāo)志位對文件密級標(biāo)識所處的狀態(tài)進(jìn)行判斷，并在密級標(biāo)識出現(xiàn)異常時進(jìn)行告警。

定密機(jī)構(gòu)對文件密級標(biāo)識進(jìn)行審核。文件密級發(fā)生變化后，標(biāo)密管理軟件會代理生成一個文件密級審核的申請，由定密機(jī)構(gòu)審核文件密級是否符合要求。

密級管理服務(wù)器記錄密級審計(jì)日志和文件訪問控制信息。涉密信息系統(tǒng)內(nèi)，每份文件對應(yīng)有一個記錄訪問控制信息的文件，記錄允許對用戶進(jìn)行訪問的用戶列表和禁止對文件進(jìn)行訪問的用戶列表；同時每份文件還對應(yīng)有一個密級審計(jì)日志文件，用以對文件密級標(biāo)識的所有操作進(jìn)行全程審計(jì)，包括合法操作和非法操作。對這兩個文件，文件主體不方便攜帶，需要將其委托給專門的存儲設(shè)備代為管理，以備事后追查，故系統(tǒng)中使用密級管理服務(wù)器專門存儲維護(hù)這些信息。

2.3 系統(tǒng)工作流程

2.3.1 初始創(chuàng)建文件（1）用戶A創(chuàng)建一個進(jìn)程，用以發(fā)起新建文件的操作；（2）在用戶A客戶端后臺運(yùn)行的標(biāo)密管理軟件捕獲到用戶A的新建文件操作，開啟對文件的實(shí)時監(jiān)控；

（3）用戶A對文件進(jìn)行編輯，編輯完成后，用戶A點(diǎn)擊關(guān)閉文件的按鈕；若用戶A尚未對文件進(jìn)行標(biāo)密，則標(biāo)密管理軟件阻止文件關(guān)閉，并強(qiáng)制用戶A對文件標(biāo)密；

（4）用戶A對文件標(biāo)明密級后，標(biāo)密管理軟件將密級標(biāo)識上傳到定密機(jī)構(gòu)進(jìn)行審核；

（5）密級審核通過后，標(biāo)密管理軟件為新建的文件創(chuàng)建對應(yīng)的密級審計(jì)日志，并將上述操作作為一條日志記錄寫入密級審計(jì)日志，上傳至密級管理服務(wù)器。

2.3.2 文件在涉密信息系統(tǒng)內(nèi)流轉(zhuǎn)

當(dāng)用戶A創(chuàng)建的文件流轉(zhuǎn)到合法用戶B處時：（1）用戶B創(chuàng)建一個進(jìn)程，用以發(fā)起打開文件的操作；（2）在用戶B客戶端后臺運(yùn)行的標(biāo)密管理軟件捕獲到用戶B的打開文件操作，開啟對文件的實(shí)時監(jiān)控；

（3）用戶B對文件進(jìn)行編輯，編輯完成后，用戶B點(diǎn)擊關(guān)閉文件的按鈕；若用戶B尚未對文件重新標(biāo)密，則標(biāo)密管理軟件阻止文件關(guān)閉，強(qiáng)制用戶B對文件標(biāo)密；

（4）用戶B對文件標(biāo)定密級后，標(biāo)密管理軟件將密級標(biāo)識上傳到定密機(jī)構(gòu)進(jìn)行審核；

（5）密級審核通過后，標(biāo)密管理軟件將上述操作作為一條日志記錄寫入密級審計(jì)日志，上傳至密級管理服務(wù)器。

2.3.3 非法用戶操作

（1）非法用戶C創(chuàng)建一個進(jìn)程，用以發(fā)起打開文件的操作；

（2）在非法用戶C客戶端后臺運(yùn)行的標(biāo)密管理軟件捕獲到非法用戶C的打開文件操作，登陸密級管理服務(wù)器獲取文件的訪問控制信息，發(fā)現(xiàn)用戶C為非法用戶；

（3）標(biāo)密管理軟件禁止非法用戶C對文件的訪問，生成告警信息，并將上述操作作為一條日志記錄寫入密級審計(jì)日志，上傳至密級管理服務(wù)器。

2.3.4 刪除文件

（1）合法用戶D創(chuàng)建一個進(jìn)程，發(fā)起刪除文件的操作；

（2）在合法用戶D客戶端后臺運(yùn)行的標(biāo)密管理軟件捕獲到合法用戶D的刪除文件操作，登陸密級管理服務(wù)器獲取文件的訪問控制信息，發(fā)現(xiàn)用戶D具有刪除文件的權(quán)限；

（3）標(biāo)密管理軟件允許合法用戶D刪除文件，并將上述操作作為一條日志記錄寫入密級審計(jì)日志，上傳至密級管理服務(wù)器。

2.4 系統(tǒng)分析

（1）正確性

系統(tǒng)內(nèi)與密級標(biāo)識相關(guān)的幾類事件總結(jié)為：

1）文件被合法用戶打開、編輯、標(biāo)密，且新密級審核通過，密級標(biāo)識狀態(tài)變換為：1→2→3→4→9→5→6→1，密級標(biāo)識狀態(tài)可以實(shí)現(xiàn)閉環(huán)；

2）文件被合法用戶打開、編輯，但未重新標(biāo)定密級或新標(biāo)定的密級不正確，密級審核不通過，密級標(biāo)識狀態(tài)變換為：1→2→3→4→9→5→ （4→9→5→…）→7→8，密級標(biāo)識狀態(tài)無法實(shí)現(xiàn)閉環(huán)；

3）在文件內(nèi)容不變的情況下，文件密級被合法用戶修改，且新密級審核通過，密級標(biāo)識狀態(tài)變換為：1→4→9→5→6→1，密級標(biāo)識狀態(tài)可以實(shí)現(xiàn)閉環(huán)；

4）在文件內(nèi)容不變的情況下，文件密級被合法用戶修改，新密級審核不通過，密級標(biāo)識狀態(tài)變換為：1→4→9→5→ （4→9→5→…）→7→8，密級標(biāo)識狀態(tài)無法實(shí)現(xiàn)閉環(huán)；

5）在文件內(nèi)容不變的情況下，文件密級被非法用戶修改，此時生成密級非法異常信息，密級標(biāo)識狀態(tài)變換為：1→7→8，密級標(biāo)識狀態(tài)無法實(shí)現(xiàn)閉環(huán)。

通過對幾類事件的分析可知，如果對文件密級的操作正確，那么基于文件頭部標(biāo)志位的密級標(biāo)識狀態(tài)均可以實(shí)現(xiàn)閉環(huán)；如果攻擊者對文件密級進(jìn)行非法操作，密級標(biāo)識狀態(tài)便無法實(shí)現(xiàn)閉環(huán)，據(jù)此可以判斷密級標(biāo)識出現(xiàn)了異常。由此可證明系統(tǒng)設(shè)計(jì)的正確性。

（2）安全性

該系統(tǒng)可以從應(yīng)用層和內(nèi)核層兩個層面保證文件密級標(biāo)識的安全。當(dāng)攻擊者從應(yīng)用層攻擊文件密級，試圖通過文件編輯程序打開文件并修改文件密級時，監(jiān)控文件編輯程序窗口的鉤子會發(fā)覺這一非法操作并向標(biāo)密管理軟件告警；當(dāng)攻擊者從內(nèi)核層攻擊文件密級，試圖修改存儲在物理存儲設(shè)備上的文件密級時，文件系統(tǒng)過濾驅(qū)動程序會攔截這一非法的I／O請求包，并向標(biāo)密管理軟件告警。

2.5 實(shí)現(xiàn)效果

該系統(tǒng)可以為涉密信息系統(tǒng)內(nèi)流轉(zhuǎn)的文件，包括文本、圖片、實(shí)驗(yàn)數(shù)據(jù)、工控機(jī)床代碼文件進(jìn)行統(tǒng)一的密級標(biāo)識，并達(dá)到了預(yù)期的功能和安全性要求，可以為涉密信息系統(tǒng)內(nèi)文件的密級標(biāo)識提供安全保障，實(shí)現(xiàn)了密級標(biāo)識的全程管控。

3 結(jié)束語

本文通過使用全新文件頭格式，在密級標(biāo)識字段后添加若干標(biāo)志位，并結(jié)合HMAC完整性校驗(yàn)技術(shù)、鉤子技術(shù)、文件系統(tǒng)過濾驅(qū)動技術(shù)，設(shè)計(jì)并實(shí)現(xiàn)了一個涉密信息系統(tǒng)文件密級標(biāo)識全程管控系統(tǒng)。在該系統(tǒng)中，用戶終端后臺運(yùn)行標(biāo)密管理軟件，定密機(jī)構(gòu)審核文件密級標(biāo)識，密級管理服務(wù)器記錄密級審計(jì)日志。該系統(tǒng)全面提升了密級標(biāo)識本身的安全性，實(shí)現(xiàn)了涉密信息系統(tǒng)文件密級標(biāo)識的全程統(tǒng)一管控。

［1］LIU Yanming，DONG Qingkuan，LI Xiaoping.Study on enhancing integrity for BLP model ［J］.Journal on Communications，2010，31 （2）：100－106 （in Chinese）.［劉彥明，董慶寬，李小平.BLP模型的完整性增強(qiáng)研究 ［J］.通信學(xué)報，2010，31（2）：100－106.］

［2］GU Qianjun，WANG Yue.Analysis and research of the security of BLP model ［J］.Computer Engineering，2006，32 （22）：157－158 （in Chinese）.［谷千軍，王越.BLP 系統(tǒng)的安全性分析與研究 ［J］.計(jì)算機(jī)工程，2006，32 （22）：157－158.］

［3］QIN Sujuan.Research on key techniques of secret level marking system for vector graphics ［D］.Harbin：Harbin Institute of Technology，2009：16－18 （in Chinese）.［秦素娟.矢量電子圖紙密級標(biāo)識系統(tǒng)關(guān)鍵技術(shù)研究 ［D］.哈爾濱：哈爾濱工業(yè)大學(xué)，2009：16－18.］

［4］WANG Ruina，SUI Zhiyuan，F(xiàn)ANG Yong.A secret level identification adding method for binary document ［J］.Journal of Beijing Electronic Science and Technology Institute，2011，19（4）：10－15 （in Chinese）. ［王蕊娜，隋智遠(yuǎn)，方勇.一種二值文檔密級標(biāo)識添加方法 ［J］.北京電子科技學(xué)院學(xué)報，2011，19 （4）：10－15.］

［5］BIAN Li，CHEN Xingyuan，WANG Yongwei.File classified protection model based on multi－dimensional label ［J］.Computer Engineering，2011，37 （13）：132－138 （in Chinese）.［邊力，陳性元，汪永偉.基于多維標(biāo)識的文件分級保護(hù)系統(tǒng) ［J］.計(jì)算機(jī)工程，2011，37 （13）：132－138.］

［6］Henk C A Van Tilborg，Sushil Jajodia.Encyclopedia of cryptography and security ［M］.USA：Springer－Verlag New York Inc，2011：51－54.

［7］YU Hongbo.Cryptanalysis of hash functions and HMACNMAC ［D］.Jinan：Shandong University，2007：36－37 （in Chinese）.［于紅波.雜湊函數(shù)以及HMAC＿NMAC的安全性分析 ［D］.濟(jì)南：山東大學(xué)，2007：36－37.］

［8］LI Wei，CHEN Hao，LIU Peng.File protection system based on driver ［J］.Advances in Intelligent and Soft Computing，2013 （163）：773－780.

［9］ZENG Peng.Key technologies of file secret classification mark in kernel－level ［D］.Harbin：Harbin Institute of Technology，2010：29－32 （in Chinese）. ［曾鵬.內(nèi)核級文件密級標(biāo)識關(guān)鍵技術(shù)研究 ［D］.哈爾濱：哈爾濱工業(yè)大學(xué)，2010：29－32.］

［10］WANG Wenyu，CHEN Shangyi.Key technology and design of security classification management system for electronic file［J］.Information Security and Communications Privacy，2009：113－117（in Chinese）.［王文宇，陳尚義.電子文件密級管理系統(tǒng)的關(guān)鍵技術(shù)與設(shè)計(jì) ［J］.信息安全與通信保密，2009：113－117.］

［11］YAN Cuicui.Research on states monitoring model of cooperative workflow engine ［D］.Nanjing：Nanjing University of Aeronautics and Astronautics，2007：44－46 （in Chinese）.［閆翠翠.協(xié)同工作流機(jī)狀態(tài)監(jiān)控模型研究 ［D］.南京：南京航空航天大學(xué)，2007：44－46.］

［12］YE Jun.A framework for state monitor software and its application ［J］.Computer Simulation，2008，25 （4）：271－273 （in Chinese）.［葉俊.狀態(tài)監(jiān)控軟件通用框架設(shè)計(jì)及應(yīng)用 ［J］.計(jì)算機(jī)仿真，2008，25 （4）：271－273.］

［13］XIE Yumin.Research on reverse locating of key functions in windows application ［D］.Zhengzhou：The PLA Information Engineering University，2009：31－34 （in Chinese）.［謝裕敏.Windows應(yīng)用程序關(guān)鍵函數(shù)的逆向定位技術(shù)研究 ［D］.鄭州：解放軍信息工程大學(xué)，2009：31－34.］

［14］CHEN Hao.Research on software auto－testing technology based on message mechanism ［D］.Changsha：Hunan University，2010：15－19 （in Chinese）.［陳浩.基于消息機(jī)制的軟件自動測試技術(shù)研究 ［D］.長沙：湖南大學(xué)，2010：15－19.］

［15］ZHAO Qin，HUANG Ling.Design of automatic test system based on windows messages ［C］／／Guilin：Proceeding on Academic Conference of Guangxi Computer Society，2010 （in Chinese）.［趙欽，黃玲.基于 Windows消息機(jī)制的自動檢測系統(tǒng)的設(shè)計(jì) ［C］／／桂林：廣西計(jì)算機(jī)學(xué)會2010年學(xué)術(shù)年會論文集，2010：23－26.］