Data Loss Prevention Kit簡介

Data Loss Prevention Kit（數據防泄漏服務，簡稱為DLP），是系統提供的系統級的數據防泄漏解決方案，提供文件權限管理、加密存儲、授權訪問等能力，數據所有者可以基于帳號認證對機密文件進行權限配置，允許擁有只讀、編輯、擁有者權限，隨后機密文件會通過密文存儲，在支持DLP機制的設備上可以通過端云協調進行認證授權，獲取對數據的訪問和修改的能力。

DLP是系統級別的，應用開發者只需要做少量的適配甚至無需適配，即可獲得完整的數據防泄漏保護。

DLP整體解決方案有3個主要部件構成。

• DLP權限管理部件：
  權限管理底層服務，負責沙箱應用創建、憑據管理交互。
• DLP管理應用部件：
  負責實現權限在本地的設置、檢驗和攔截功能；是最終實現用戶可感知的受控分享功能的關鍵載體。
• 云端對接模塊：（該模塊當前需要開發者自行搭建）
• 開發前請熟悉鴻蒙開發指導文檔 ：[gitee.com/li-shizhen-skin/harmony-os/blob/master/README.md]
  負責將DLP文件的證書，發往云端完成基于帳號的鑒權，證書生成及解密功能。

運作流程

DLP文件生成

1. 文件所有者通過DLP權限管理應用給需保護的文件配置權限，添加允許訪問的帳號信息和相應的訪問權限。
2. DLP權限管理應用發送用戶配置給DLP權限管理服務封裝成策略信息。
3. DLP權限管理服務將策略信息發送給云端對接模塊。云端對接模塊上傳策略信息作端云協同的認證、策略檢查、生成簽發憑據等工作。
4. 將簽發的憑據通過DLP權限管理服務返回給DLP權限管理應用。
5. DLP權限管理應用對原文件進行加密，并將憑據和密文打包生成DLP文件。
6. HarmonyOS與OpenHarmony鴻蒙文檔籽料：mau123789是v直接拿

DLP文件發送

6. DLP文件可通過任何途徑分析給目標用戶，密文保證了其機密性不被破壞。

DLP文件打開

7. 文件授權者在遠端設備打開DLP文件（例如使用文件管理器打開）。
8. DLP權限管理應用解析DLP文件，獲取加密憑據后，發送給DLP權限管理服務。
9. DLP權限管理服務將加密憑據發送給云端對接模塊。云端對接模塊上傳憑據到云端，作身份認證、憑據驗證、策略解析。獲取到授權策略和加密密鑰等信息。
10. 權限策略和加密密鑰等信息通過DLP權限管理服務返回給DLP權限管理應用。
11. DLP權限管理應用調用DLP權限管理服務安裝應用的DLP沙箱分身，并基于授權測試限制沙箱的權限，包含但不限于網絡、打印、剪切板等，防止數據被泄漏。
12. DLP權限管理應用提供一種明文和密文映射機制（link），該方案基于開源的fuse文件系統（Filesystem in Userspace）實現，通過創建虛擬的link文件，分享給應用，從而在不需要適配的情況下，應用即可通過查看編輯明文文件，來達到實時操作DLP文件的效果。
13. DLP權限管理應用準備就緒后，拉起沙箱中的應用，并傳遞link文件文件描述符。沙箱應用啟動，應用進程讀取被分享的link文件，完成文件內容展示。

審核編輯 黃宇