数据溯源模块设计

数据溯源 DT 模块设计说明书版本历史版本号修改日期修改人说明120200302孙桂银创建文档220200327孙桂银按研发实际实现修改设计1需求41.1 需求背景 41.2 需求描述 41.1 需求背景 41.2 需求描述 42 系统框架 42.1功能模块 42.2 设计框架 523数据库设计 53功能设计 63.1 服务端63.1.1 管理端 63.1.2 服务端（接口） 183.2 客户端193.3 移动端213.3.1 授权 错误!未定义书签。3.3.2 策略 错误!未定义书签。3.3.3 二维码解析错误!未定义书签。1 需求1.1 需求背景为客户提供数据溯源功能；数据追溯 Data Traceability1.2 需求描述为避免重要信息通过截屏、打印携带等途径泄密，需对以上各类方式提供溯源追踪2 系统框架在现有的DGS产品上，新增“数据溯源”模块2.1 功能模块服务端授权电子溯源策略屏幕溯源I打印溯源PC端1屏幕溯源打卬溯源明文水卬点阵水印明文水邱移动端屏幕溯源明文水印本地存储授权和策略22设计框架冊务端管鲫电溯源谏写授权和第珞读取授权和鯛客户端接口层授权电了溯源讹略联取授权和婚&mysqlx redis2.3数据库设计dt .crea tet able.sql3 功能设计3.1 服务端3.1.1 管理端3.1.1.1 算号(新增数据溯源模块授权) 原加密模块和打印模块中的水印功能保留，新增“数据溯源”模块独立算号 授权License文件格式变更，算号工具变更，DGS授权逻辑变更。1、算号系统增加数据溯源(DT)授权信息。包括DTPC端。使用天数四个选项。®k每个授权信息里包括是否授权、终端数、是否试用号查看口试用天薮：o_cjpIDTPCI0口试用天数 o-yHhp DTMobile 1* DTMobile0口试用天ZpSAG 1* SAGSMG 1* SMG0H口京田三/v n芍jHIpSFGHSFG终端致 11 Cn 1 BHI口试用2、授权系统中生成的授权文件增加版本号信息，版本号为 version=V2.003、授权查看列表增加DT模块相关的列。4、导出授权信息时增加DT模块相关信息。5、新增字段如下/* 数据溯源 pc 端是否授权*/private boolean hasDtPc = false:/* 数据溯源 pc 端是否为试用号*/private boolean dtPcUnofficial = false;/* 数据溯源 pc 端试用开始时间*/private Date dtPcUnofficialBegin = null：/* 数据溯源 pc 端试用天数* /private Integer dtPcUnofficialDayCounts = 0：/W* 数据溯源 pc 端到期时间* /private Date dtPcEndTime;* 数据溯源 pc 端过期天数* /private Integer dtPcOverCounts - 0;/* 数据溯源移动端是否授权*/private boolean hasDtMobile = false;/* 数据溯源移动端是否为试用号private boolean dtMobileUnofficial = false;/*数据溯源移动端使用开始时间private Date dtMobileUnofficialBegin = null：/* 数据溯源移动端使用天数*/private Integer dtMobi1eUnofficia1DayCounts = 0：/* 数据溯源移动端到期时间*/private Date dtMobileEndTime;/* 数据溯源移动端过期天数*/private Integer dtMobileOverCounts = 0;6、t_systemicense 表中增加如上字段。7、DGSManager 中的基础平台-授权管理中的授权页面新增数据溯源的相关信息。具体 界面效果和后台逻辑参考之前的数据安全的授权进行添加。8、l_syslemerminal 中新增 enbaleD【Pc、enbaleDtMobile 数据类型为 linyirn3.1.1.2基础平台增加新模块的功能树参考下节 3.1.1.3 的菜单，将数据溯源模块的功能菜单添加进基础平台的权限功能树里系统管理员权限 1 查看基本信息功能树 °快速险索rTTLJj软叶父切口.硬件变动日志 lQ二口。审计日志口 Q模块操作日志口（©安全网关 ©策略管理| 口QSMG量审计SAG策略策略Qsfg策略匚系统设置口假系统配置口片状态监控口 Q sag状态监控 SMG网关监控-Qsfg网关监控口审计日志SAG日志市计二口数据溯源©第略管理-lEi 溯源策略1s| 口水印元数据i口。软件管理二口系统设置i 系统配置I 。溯源解析审计日志.口白模块操作日志3.L13 "数据溯源”模块3.1.131 策略管理-水印元数据DT元数据用来设置明文水印和点阵水印的策略模板，供 策略关联使用.ie*tts。用切gzO®r2娟名林咏明文喇身,明酥印MJ% % I xr文字内忖8G>Affl木印尊必不STIta 1为元屏配 用0用手11E0A-2天鬲£歹不声田=打印第濡.V用户名sg C itji I Ip C螃*卩I fi<c%j 2水印为梏定31PaM0匚左上口左T6x d6t。疏”O®s*y体木体.号：8跖 0WM0 国式®创式。水率C n原明度（） 501、新增修改界面参考图示2、表设计（参考数据库设计章节）3、删除逻辑已经应用的元数据模板不能被删除，未应用的可删除，逻辑删除非物理删除。4、元数据可保存历时数据，但元数据修改后及时应用到已下发的策略中。31132 策略管理.软件管理软件进程列表管理，实现了软件和进程的增删改资。欷!5软性分=的C-%扉洲海第践停水s元数据舐软件三HL饮杵分关+ Bi+Sb1（3t）Rbe昌W修切2同MttSW S昌WI 口ifis52 1 E2 word xta%test申wocd1、界面参考图示2、表设计（参考数据库设计章节）3、进程分类增删改查（暂时不支持复制）31133策略管理溯源策略策略的增删改查并应用策略。支持屏幕溯源和打印溯源，界面参考图示1）屏幕溯源：屏幕溯源支持两种水印格式：明文水印点阵水印> 水印可关联使用元数据已添加的模板> 点阵水印的解析：点阵解析工具；> 屏幕溯源显示条件：一直显示；按进程显示（当客户端运行了配置的进行全屏显 示屏幕水印）> DT中的屏幕溯源和加密模块中的屏幕水印设置同时存在（DT的策略生效）修改基本信息除曲涮al打印a三E启用屏幕溯源水印类型：0明文水印点阵水印水印元数据.sgy_点阵文字内容： test水印风格 FF6600:明度（； 50O 打开受控软件显示条件： 一直显示保存丽修改基本信息打印溯源启用屏定溯源水印类型 明文水印水印元数据：sgy-点阵文字内容 test0点陈水印水印风格:显示条件。一宜显示t|a1一 BbKZg)B sgy rpffice&打开受控软件2）打印溯源打印溯源支持水印格式：明文水印 水印可关联使用元数据已添加的模板 打印溯源显示条件:一直显示,不限制打印进程和打印文档类型DT中的打印溯源和打印模块中的打印水印设置同时存在（DT的策略生效）修改基本信息 国总溯源VI启用打印渊源水印类型：明文水印水印元敷据：sgy_明文文字内容：test互ZE敬工000000版式时序图日即鼻斯he/9etTempl>temt"-A 传 ATs<8b丨 rtyTempUt*SeK 4mL bu>v>pnATwaBeW5r=UJtvTrKe>bitrtyTevnp*ptepe3n>口出哄C<S)r>cSc*twwTrtt性 A. pjreWd 1 atpfrplMkl/MSdTSplMeA MT38bgTnSdnAz :塌 Rerkht, Sog 画血 eLUkMBlW « Swcg > “Mt aT产冲崖o&tnsLatv Softwfepan >bstvSthn9>MIMat buwnvM A TfKOb 1 it)itmpU卜F>%BxWe%iFB>%<mA9feeFWiftnJU昌t AnDe<eteTdTvvnpUie，明后心般"MED 以*/dMeTemp%tAA TrKObMyTnipvittp*an<ffAKJMftfi Wrtt3苦大不加就叵<W eAdAtfw .t bu)rwts dt TrKe>bv 1 nytenpb!e »t buS*rtW dt T37bhgmput 9ftw白网一"一我敢断)于节户伍9/9ptChWrenLp!A修 AApWmnasS2d>eM'i%uffl%/pp*yTempUuA / AApply TsasteSenrcKe4 ncv-aa0%yi%18 HxM 中 WsCB 1 <H2 WetpUipnds*WbegUc%md0NEds力石中悖于今WAmBA9一Vifckift%DT应用策略不参考fd可参考加密策略或者DLP策略（个人最多只应用个而非多个） 补充表设计1 界面参考上面的界面2 新增加 DtTemplateController,DtTemplateService,DtTemplateServiceImpl, DtTemplateDao3.新增接口（逻辑参考文档管理加密策略添加 用户信息通过redis获取 关联表添加对应关系） /getTemplateList 获取溯源策略 get 参数 DtTemplateSearchBean /gctSyncSoftwarcTrcc 获取软件树 get 参数 parcntld 和 tcmplatcld /addTemplale新增/修改/复制溯源策略post参数DtTemplateBean /canDeleteTdTemplate判断是否可以被删除posl参数ids （被选择的策略id） /deleteTemplate判断是否可以被删除post参数DtTemplateBean（逻辑参考dip防泄漏策略添加）/getAppIyChildrcnList获取应用策略模板的部门和人员列表post参数DtApplylnfoScarchBcan/applyTemplale 应用策略模板 post 参数 DIApplyedReqBean4 . 对应的 bean 数据DtTcrnplatcBcan/* 名称*/private String name;/* 版本*/private int version;/* 是否允许屏幕溯源* 1 表示允许， 0 表示不允许*/private boolean screenDt = false:/* 是否允许打印溯源* 1 表示允许， 0 表示不允许*/private boolean printDt = false;/* 屏幕水印类型* 1.明文 2.点阵*/private Integer screenWatcrmarkType;/* 屏幕水印元数据 id*/private String screenMetadatald;/* 屏幕水印显示条件* 1 一直显示 2 url 3 软件列表*/private Integer scrccnDisplayCondition;/* 屏幕 url*/private String screenUrl;* 打印水印类型* 1.明文 2.点阵*/ private Integer printWatermarkType;/* 打印水印元数据 id*/private String printMetadatald;/* 打印水印显示条件* 1 一直显示 2 软件列表*/private Integer printDisplayCondition;/* 屏幕软件列表*/private List<SoftwareResultBean> screenSoftwareList;* 打印软件列表*/private List<SoftwareResultBean> prinlSoftwareList;* 打印水印数据*/private WatcnnarkContcnt printWatcrmarkContcnt;/* 屏幕水印数据*/private WatermarkContent screenWatermarkContent:DtTen叩1 ateSearchBean 继承 BaseSearchBeanDtApplylnfoSearchBean*/private static final long serialVersionUID = IL; */*查询全部private boolean scarchAll = false;*已应用*/priva te boolean applyed = false;*部门 id*/private String departmentid;* 岗级 key*/private String jobLevel;* 模板 id*/private String templateld;/t i* 部门 id*/private List<String> departmentldList;DtApplyedReqBean* id*/private String id;t应用到人id*/private String userids;* 应用到人账号*/private String userNames;* 应用到部门 id* /private String departids;/* 应用到部门名称*/private String departNames;/* 取消应用到人 id*/private String delUserlds;/* 取消应用的人员账号*/private String delUserNames;/* 取消应用到部门 id*/private String delDepartlds;/* 取消应用的部门名称*/private String delDepartNames;/*private boolean applyChild;* 应用到子项* /模板 id*/private String templateld;* 模板名称*/private String lemplateName;5 sql34.1.3.4 系统设置.系统设置客户端连接:clienlDTUrl服务端连接: serviceDTUrlOAKRE©策第管理® 曲牛 法 若所讥的足徒”本发四卷不可以髭SWI正幽测dW 1 % =踢劣dWd”东州e昌DY髭如皿(。史.皿。加11911 146 80BC.OT (0T轨HWK (Pj及*口0hMp0192 13 1必加8QS匿多演抒E蚪线均明另加信户/h«p 侬 2 119 11 146 80BC-DT <0值务(F)以 3 口，珈即 “192168 1 100W80-DT 存户*WB%5W 蛆)3.1.1.3.5 审计日志-模块操作日志1.模块界面参考-*乃女全打母1 %*1Hwmuv I>c-信作慢圾8HW%±推作IPn内3%EitaHr 1 p*W3总作位次咐日生U1202 119 11 «12020-0M1 1353 15OLP比能内生和用51子珀取沿应用DL10 16 1%0872020-03-08 1SS%480LP%epaa mm dimbei6 mm a aw mhaom MMtaBM段块博福日，l口 3202093 05 15S82210 16 150 «7DLP%KSA於 mu>,t6& 女4202 1佃 11 6p202043 03 101632OLP%KS%件，0U>王修!S想枳无名为81口 510 16 150 16202003 02 16 S3 460U>1 g发决。，00>¥恁 15 为蜜五名为91口1 610 16 150 16202043 02 16 60 36DLP访总呗佚710 16 150 162020-03-0216 48 48OLP隔弟嘤决W%DU>%K9flt俊皈狗为W81016 150 162020-03-02 14 18090LP3lfi 量发顺加u>*s便限畏女不为胃91016 150 162020-0X)2 10 56 49ou>将曾覆次'f%OLPTK莎根女不先现1010 16 150 16202tW>02 0943 47DU>*1S里次l>ADU>XKWE畏眼名为&11202 119 11 68202tW2-28 14 40 54DU>XpW%十或DU*笠£«£慢啮名为放1122W 119 11 6847ou>xew%f>%(XAMKpE模物名为 ：8n1fl 1A 1Aft 1俏f哪14依40ap*改 10，2的44”39比M>WAtoU黄M2为 > >加多政3.1.2 服务端（接口）3.12.1 授权登录接口增加新模块的授权信息。1、DGS、DGSManager 登录接口增加对 dtPc 端以及对 dtMobile 端的授权信息的判 断，判断是否对其进行授权。登录成功后返回给客户端授权标识enableD tPc二i/0cnablcDtMobilc=I/Oo2、返回值中增加如下两个属性cnablcDtPc:l/OenableDtMobile: I/O3122策略心跳获取新模块策略（所有客户端设备）升级前升级后未启用数据溯源升级后启用数据溯源加密模块水印策略正常正常数据溯源策略中的屏幕水印和文件 水印生效打印模块水印策略正常正常数据溯源策略中的打印水印生效数据溯源策略无无正常1 .在登陆心跳方法中获取授权标识 通过0/1的是否dt策略权限，再通过用户id还是部门 id获取出策略信息2DGS增加方法获取dt策略，首先判断是否用户dt授权,0/1,拥有授权后再通过用户id或 部门id获取策略信息（逻辑参考dip获取模块策略）3 返回 bean 参考上面 DtTemplateBean打印溯源3.2客户端AFileTracingexe文件溯源溯源模块加载321溯源模块策略、授权获取批注朱亿门：根据后台策略进行设计，行时后台 缺少字段说明客户端登录成功后，获取溯源策略，策略内容以json格式返回，策略中包括屏幕溯 源、数据溯源、打印溯源，首先判断是否启用屏幕、打印溯源，如果启用，再进步解 析水印内容溯源策略文件名DTStrategy.jdgSo |3.22增加溯源模块入口客户端登录成功后，根据是否具备溯源模块授权，决定是否启动入口程序，该入口 程序名字为DT.exe,再由入口程序决定是否启用屏幕溯源和数据溯源程序。代码上需要 注意拓展性，保 证后续增 加功 能 的情况下 不影 响现有代码 ，考 虑到 dip 目前有上传日志 的需求，后续 DT 模块也可能增加该需求，所以启动进程功能封装成进程启动类在类内 处理相应的逻辑。打印溯源为个单独的dll, dll名字为：pt.dll,由krn«dl1加载，只有 具备溯源模块授权并且启用打印溯源，才需要加我该 dllo3.2.3 屏幕溯源明文、点阵水印集成屏幕溯源新建一个项目，生成的程序名称为ST.exe,由DT.exe启动，启动后判断当 前是否具有溯源授权， 如果具有溯源模块授权， 则采用溯源策略显示相应的水印内容。 原有 DG 模块屏幕水印逻辑也需要修改， 如果具有溯源模块， 就直接不启动 swm.exe 进 程。将启动的任务交给溯源入口程序DT.exe。3.2.4 打印溯源明文水印集成打印溯源单独一个ptdll,将原有打印安全模块的水印功能提取出来，根据软件区分 是在 SiartPage 还是 End Page 时添加明文水印。原先添加水印的类文件提到 include 目录， 作为公共文件使用，避免代码重复。打印溯源明文水印设计：1 .dllmain.cpp/主要对溯源策略中的开关进行判断，对HookPrintAPI与PrintTracing进行调用判断当前进程需要如何处理水印，在startpage或者endpage中处理2 .HookAPIh | HookAPI.cpp考虑是否作为基类合并3 .HookPrintAPI.h | HookPrintAPI.cpp/从原有pc中hook的printAPl中筛选相关打印函数，简化原有大量hook4 .PrintTracing.h | PrintTracing.cpp打印溯源明文水印主要实现文件实现 1：水印内容处理实现 2：向打印内容中添加水印5 .TypedefFunc.h/typcdcf Function about print API6 .PSMWaterMark.h/draw watermark （存放 include 目录）3.3移动端移动端暂时使用加密策略中的屏幕水印设置