【正文】 需要禁止用戶通過拷貝方式將重要數(shù)據(jù)保存下來。其關(guān)鍵技術(shù)是對(duì)剪貼板的監(jiān)控。如果發(fā)現(xiàn)剪貼板在用戶操作過程中發(fā)現(xiàn)變化，則說明用戶已經(jīng)實(shí)施了拷貝行為。Windows剪貼板是一種開銷比較小的IPC(InterProcess Communication,進(jìn)程間通訊)機(jī)制。Windows 系統(tǒng)支持剪貼板IPC的基本機(jī)制是由系統(tǒng)預(yù)留一塊全局共享內(nèi)存，用來暫存在各進(jìn)程間需要交換的數(shù)據(jù)：提供數(shù)據(jù)的進(jìn)程創(chuàng)建一個(gè)全局內(nèi)存塊，并將要傳送的數(shù)據(jù)移到或復(fù)制到該內(nèi)存塊；接受數(shù)據(jù)的進(jìn)程（也可以是提供數(shù)據(jù)的進(jìn)程本身）獲取此內(nèi)存塊的句柄，并完成對(duì)該內(nèi)存塊數(shù)據(jù)的讀取。為了實(shí)現(xiàn)上述功能， Windows提供了存放于USER32. dll中的一組API函數(shù)、消息和預(yù)定義數(shù)據(jù)格式等，并通過對(duì)這些函數(shù)、消息的使用來管理在進(jìn)程間進(jìn)行的剪貼板數(shù)據(jù)交換。系統(tǒng)調(diào)用剪貼板的簡(jiǎn)化步驟為:首先通過調(diào)用OpenClipboard函數(shù)打開剪貼板，如果是獲取剪貼板的內(nèi)容則調(diào)用GetClipboardData 函數(shù)，如果是設(shè)置剪貼板內(nèi)容則先通過調(diào)用EmptyClipboard函數(shù)清空剪貼板，然后調(diào)用SetClipboardData 設(shè)置剪貼板內(nèi)容（在獲取和設(shè)置剪貼板內(nèi)容的函數(shù)的參數(shù)中都要有相應(yīng)的數(shù)據(jù)格式） 。 屏幕拷貝控制屏幕拷貝主要通過對(duì)用戶鍵盤操作進(jìn)行控制完成，一方面禁用屏幕拷貝按鈕，另外一方面禁止具有屏幕拷貝功能的進(jìn)程出現(xiàn)。鍵盤控制主要也通過系統(tǒng)鉤子模塊完成。第 24 頁 共 71 頁Win32系統(tǒng)會(huì)為鉤子建立一個(gè)鉤子鏈(HookChain),一個(gè)鉤子鏈實(shí)際上是一個(gè)指針列表，其指針指向鉤子的各個(gè)處理函數(shù)，這些函數(shù)是一種特殊的回調(diào)函數(shù)。鉤子鏈的運(yùn)作方式類似于棧，在鉤子鏈中最后安裝的鉤子放在鉤子鏈的最前面，最先安裝的鉤子則放在鉤子鏈的最底層，所以最后加入的鉤子優(yōu)先獲得控制權(quán)。通過掛接系統(tǒng)鍵盤鉤子，即可完成對(duì)屏幕打印鍵的控制。 客戶端實(shí)現(xiàn) 磁盤管理用戶登錄后，客戶端的程序接下來要完成的是進(jìn)行初始化的工作。首先，服務(wù)器會(huì)依據(jù)該用戶的用戶名對(duì)數(shù)據(jù)庫(kù)表userFileTable執(zhí)行一個(gè)SQL查詢語句，查詢結(jié)果即為該用戶在服務(wù)器端存放的所有映像文件的相關(guān)信息，包括文件所有者、映像文件名、映像文件大小、屬性、是否自動(dòng)加載。接著，服務(wù)器端的程序?qū)⑦@些信息傳給客戶端，客戶端成功接收到這些信息后，將這些信息顯示在磁盤管理界面上。然后，客戶端程序檢查參數(shù)是否自動(dòng)加載，如果為“是” ，則向服務(wù)器發(fā)送加載該映像文件的請(qǐng)求。服務(wù)器接收到加載請(qǐng)求后，首先將映像文件傳送到客戶端，然后從數(shù)據(jù)庫(kù)中獲取該映像文件的密鑰，并用密鑰M2（管理員用戶名和登錄密碼的 Hash值，用戶名和登錄密碼在管理員登陸服務(wù)器端程序的時(shí)候獲?。┻M(jìn)行解密。解密之后，再用會(huì)話密鑰M1進(jìn)行加密，并傳給客戶端?？蛻舳私邮盏郊用芎蟮拿荑€后，用M1進(jìn)行解密，得到 M3，然后用M3對(duì)映像文件進(jìn)行解密。解密完成后，調(diào)用filedisk的mount命令，將該映像文件加載為本地磁盤。最后，更新用戶界面，將該映像文件這一行的狀態(tài)列置為“已加載” ，將磁盤名置為本地加載完成后的磁盤號(hào)。如果自動(dòng)加載這一欄為“否” ，則將對(duì)應(yīng)的狀態(tài)值置為“未加載” 。該功能給用戶的體驗(yàn)是，本地憑空多出來了一個(gè)磁盤，這個(gè)磁盤可以像其它本地磁盤一樣進(jìn)行格式化、添加文件、刪除文件等操作。第 25 頁 共 71 頁除此之外，用戶可以右鍵，更改映像文件的名稱、將映像文件的自動(dòng)加載狀態(tài)置為“是”從而在下次登錄的時(shí)候能自動(dòng)加載該映像文件。還可以對(duì)未加載的映像文件進(jìn)行加載。 創(chuàng)建虛擬映像、加載、卸載虛擬磁盤圖39 虛擬磁盤界面? 創(chuàng)建映像文件：用戶選擇待創(chuàng)建的映像文件所在的盤符、文件名以及文件大?。ǎ?，點(diǎn)擊確定后，客戶端程序首先向服務(wù)器進(jìn)行映像創(chuàng)建的申請(qǐng)，服務(wù)器端程序接受到后，為待創(chuàng)建的映像文件分配一個(gè)隨機(jī)密鑰M4，并用M1進(jìn)行加密然后傳給客戶端的對(duì)應(yīng)用戶。磁盤卸載和客戶端程序退出的時(shí)候所用的加密密鑰就是M4。? 加載映像文件：對(duì)于新創(chuàng)建的映像文件，直接用filedisk加載成本地磁盤。對(duì)于先前創(chuàng)建的映像文件，由于它是加密了的，所以先要向服務(wù)器申請(qǐng)獲取對(duì)應(yīng)的解密密鑰進(jìn)行解密，然后才能用filedisk進(jìn)行加載。由映像文件加載后的磁盤的截圖見圖35。? 卸載虛擬磁盤：將創(chuàng)建的虛擬磁盤從資源管理器中卸載，系統(tǒng)將磁盤里面的內(nèi)容第 26 頁 共 71 頁更新到映像文件中去，并用對(duì)應(yīng)的密鑰進(jìn)行加密，并自動(dòng)將其上傳到服務(wù)器上。相關(guān)技術(shù)實(shí)現(xiàn)見下面的Filedisk—文件驅(qū)動(dòng)源碼分析。圖310 由映像文件加載而成的本地磁盤M第 27 頁 共 71 頁 用戶空間圖311 用戶空間瀏覽映像文件里面的信息客戶端的用戶在通過身份驗(yàn)證后，代理服務(wù)器會(huì)自動(dòng)將用戶在云端保存的所有映像文件的信息傳送給用戶，映像文件內(nèi)容將實(shí)時(shí)顯示在用戶空間中。用戶可以查看映像文件里面保存的內(nèi)容，并可將映像文件下載到本地并加載為本地磁盤。加載磁盤后，用戶對(duì)該磁盤的修改會(huì)在用戶客戶端程序退出時(shí)，自動(dòng)更新到服務(wù)器端的映像文件中。用戶除了查看自己在云端的映像文件的內(nèi)容之外，還可以查看其他用戶授予該用戶瀏覽或加載權(quán)限的映像文件里面的內(nèi)容。同時(shí)該用戶還可以下載該用戶有加載權(quán)限的映像文件，并可在本地進(jìn)行加載。用戶對(duì)本地加載的映像文件進(jìn)行操作后，可以手動(dòng)上傳到云端或者在退出系統(tǒng)后自動(dòng)上傳。第 28 頁 共 71 頁 權(quán)限控制圖312 權(quán)限控制界面用戶對(duì)其它用戶的映像文件默認(rèn)的權(quán)限是不可加載且不可瀏覽。當(dāng)用戶由于某些需要將該用戶的數(shù)據(jù)和其他某用戶進(jìn)行共享時(shí)，可以通過權(quán)限控制來實(shí)現(xiàn)其他用戶瀏覽或下載該用戶在服務(wù)器端的映像文件，從而達(dá)到數(shù)據(jù)共享的目的。 本系統(tǒng)定義的權(quán)限有三種：（1）瀏覽：如果用戶A將該權(quán)限授予用戶B，那么用戶 B用自己的賬號(hào)登錄本系統(tǒng)后，可以在用戶空間里面查看到用戶A在服務(wù)器端存放的映像文件里面的文件信息，但是不可以下載該映像文件。（2）加載：如果用戶A將該權(quán)限授予用戶B，則用戶 B不僅可以在他的用戶空間里面看到用戶A在服務(wù)器端存放的映像文件I里面的信息，還可以下載該映像文件I，并可將下載后的映像文件I在用戶B的本地加載為本地磁盤，從而使用里面的文件，但用戶B 對(duì)該本地磁盤的修改不會(huì)更新到服務(wù)器端對(duì)應(yīng)的映像文件I中。（3）加載受限：對(duì)用戶訪問映像文件時(shí)拷貝、截屏、另存為和打印都進(jìn)行了限制。通過對(duì)文檔內(nèi)容級(jí)的安全保護(hù)，實(shí)現(xiàn)機(jī)密信息分密級(jí)且分權(quán)限的內(nèi)部安全共享機(jī)制。第 29 頁 共 71 頁加載受限主要通過在文件操作上進(jìn)行安全策略的實(shí)施，從而對(duì)業(yè)務(wù)系統(tǒng)操作進(jìn)行安全控制。安全策略有三項(xiàng)：保存與打印控制、文字拷貝控制、屏幕拷貝控制。如圖313. 。圖313 加載受限安全策略 權(quán)限審批對(duì)于一般的企業(yè)文件管理系統(tǒng)，內(nèi)部文件共享的機(jī)制并不完善。一個(gè)文件所有者或負(fù)責(zé)人可以將其具有訪問權(quán)限的文件共享給任何人，包括部門外業(yè)務(wù)人員以及潛在的泄密者，并且這種共享行為沒有日志記錄，因而無法確保文件共享行為的合法性，容易導(dǎo)致機(jī)密信息的擴(kuò)散和泄露。第 30 頁 共 71 頁圖 314 共享審批示意圖基于云計(jì)算的網(wǎng)絡(luò)虛擬磁盤系統(tǒng)，采用嚴(yán)格的共享審批機(jī)制，對(duì)用戶的共享行為進(jìn)行審計(jì)，該審計(jì)由相關(guān)負(fù)責(zé)人完成，通過審批通過的文件共享行為才能夠順利進(jìn)行，并且系統(tǒng)對(duì)所有的共享行為及審批結(jié)果進(jìn)行了詳細(xì)的日志記錄，在一定程序上對(duì)相關(guān)負(fù)責(zé)人的行為進(jìn)行了監(jiān)控，防止出現(xiàn)如前面提到的公司高管泄露機(jī)密的隱患。該系統(tǒng)采用的共享審批與日志審計(jì)相結(jié)合的訪問控制技術(shù)，確保了文件共享行為的合法性和安全性。如圖314. 代理服務(wù)端實(shí)現(xiàn)第 31 頁 共 71 頁圖315 服務(wù)器端主界面 用戶管理服務(wù)器端程序在初始化的時(shí)候，通過訪問數(shù)據(jù)庫(kù)表userInfoTable將所有注冊(cè)了的用戶信息顯示出來，方便管理員進(jìn)行管理。管理員可以將這些用戶進(jìn)行刪除、加入黑名單的操作，刪除后的用戶的該賬戶從此無法使用，只能重新注冊(cè)，而被加入黑名單的用戶賬號(hào)會(huì)被屏蔽，無法登錄和注冊(cè)。這些操作會(huì)引起服務(wù)器端程序?qū)?shù)據(jù)庫(kù)表userInfoTable和userBlackTable 的相應(yīng)修改。除此之外，管理員還可以設(shè)置每個(gè)用戶在服務(wù)器端可上傳的映像文件總大小的上限。 黑名單管理加入黑名單的賬號(hào)從此無法再被使用，管理員擁有將黑名單中的某賬號(hào)從黑名單中移除從而恢復(fù)為可用賬號(hào)的權(quán)限，該操作會(huì)引起服務(wù)器端程序?qū)?shù)據(jù)庫(kù)表userInfoTable和userBlackTable的相應(yīng)修改。第 32 頁 共 71 頁 磁盤管理在服務(wù)器端有一個(gè)公共映像文件，該映像文件是可以被所有客戶端用戶瀏覽和加載的。主要是為了方便管理員通過客戶端程序向所有用戶發(fā)布某些文件，只要將該文件放到有映像文件加載后的磁盤中即可，而不需要逐一拷貝給所有用戶，當(dāng)用戶登錄的時(shí)候自動(dòng)加載該映像文件為本地磁盤從而瀏覽使用服務(wù)器端程序發(fā)布的這些文件。極大地減輕了管理員發(fā)布文件的工作。 云端實(shí)現(xiàn) 云平臺(tái)搭建本系統(tǒng)通過Apache Hadoop搭建云平臺(tái)。Apache Hadoop 構(gòu)建在虛擬主機(jī)上，作為云計(jì)算平臺(tái)。其設(shè)計(jì)核心是 MapReduce 實(shí)現(xiàn)和 HDFS (Hadoop Distributed File System),它們?cè)醋?MapReduce（由一份 Google 文件引入）和 Google File System。本系統(tǒng)采用全分布模式，即Hadoop 配置在不同的主機(jī)上，作為集群運(yùn)行，Hadoop基本組成結(jié)構(gòu)如下圖316。圖 316 Hadoop 兩大基本組成部分本系統(tǒng)通過Hadoop 搭建云平臺(tái)，在平臺(tái)上，一臺(tái)機(jī)器作為Master主機(jī)（Hadoop第 33 頁 共 71 頁A） 、兩臺(tái)機(jī)器分別為Slave機(jī)（HadoopB\HadoopC） 。其中，HadoopA為名稱節(jié)點(diǎn)，也是數(shù)據(jù)節(jié)點(diǎn)，HadoopB\HadoopC分別為數(shù)據(jù)節(jié)點(diǎn)，因此構(gòu)成了管理中間件。云計(jì)算詳細(xì)體系結(jié)構(gòu)如圖317：圖317 云計(jì)算的詳細(xì)體系結(jié)構(gòu)每個(gè)結(jié)點(diǎn)的配置文件如下：：?xml version=?configurationpropertyname/namevaluefinaltrue/final/property/configuration：?xml version=?configurationpropertyname/namevalue/disk1/hdfs/name,/remote/hdfs/name/valuefinaltrue/final/propertyproperty第 34 頁 共 71 頁name/namevalue/disk1/hdfs/data,/disk2/hdfs/data/valuefinaltrue/final/propertypropertyname/namevalue/disk1/hdfs/namesecondary,/disk2/hdfs/namesecondary/valuefinaltrue/final/property/configuration：?xml version=?configurationpropertyname/namevaluejobtracker:8021/valuefinaltrue/final/propertypropertyname/namevalue/disk1/mapred/local,/disk2/mapred/local/valuefinaltrue/final/propertypropertyname/namevalue/tmp/hadoop/mapred/system/valuefinaltrue/final/propertypropertyname/namevalue7/valuefinaltrue/final/propertypropertyname/namevalue7/valuefinaltrue/final/propertypropertyname/namevalueXmx400m/value! Not marked as final so jobs can include JVM debugging options /property第 35 頁 共 71 頁/configuration另外，namenode的master文件配置如下：HadoopAnamenode的slaves文件配置如下：HadoopBHadoopC 通信模塊接口實(shí)現(xiàn)Hadoop中的RPC 是Hadoop系統(tǒng)內(nèi)部的通信機(jī)制，RPC(Remote Procedure Call Protocol)遠(yuǎn)程過程調(diào)用協(xié)議，它是一種通過網(wǎng)絡(luò)從遠(yuǎn)程計(jì)算機(jī)程序上請(qǐng)求服務(wù)，而不需要了解底層網(wǎng)絡(luò)技術(shù)的協(xié)議。PC采用客戶機(jī)/服務(wù)器模式。請(qǐng)求程序就是一個(gè)客戶機(jī)，而服務(wù)提供程序就是一個(gè)服務(wù)器。當(dāng)我們討論HDFS 的時(shí)候，通信可能發(fā)生在：? ClientNameNode之間，其中 NameNode是服務(wù)器? ClientDataNode之間，其中 DataNode是服務(wù)器? DataNodeNameNode之間，其中NameNode 是服務(wù)器? DataNodeDateNode之間，其中某一個(gè)DateNode是服務(wù)器，另一個(gè)是客戶端。但是類Server是一個(gè)抽象類，類RPC封裝了Server，利用反射，把某個(gè)對(duì)象