harmony 鸿蒙数据防泄漏(DLP)开发指导

  • 2023-10-30
  • 浏览 (533)

数据防泄漏(DLP)开发指导

数据防泄漏(Data Loss Prevention, DLP)是OpenHarmony提供的系统级的数据防泄漏解决方案,提供一种称为DLP的文件格式。后缀格式为“原始文件名(包含原始文件后缀).dlp”,例如: “test.docx.dlp”,文件由授权凭证和原始文件密文组成。

通过端云协同认证(需要联网)来获取文件的访问授权,授权类型包含只读、编辑、文档拥有者三种。

  • 只读:能读取文档内容但不能修改。
  • 编辑:能够读写文档内容,但不能修改文档权限配置。
  • 文档拥有者:可读写文件、修改权限配置、恢复原始原始文件等。

应用需要访问DLP文件时,系统会自动安装应用的DLP沙箱分身应用,相当于完全独立的应用,数据和配置会继承原应用,但相互之间并不共享。分身应用在运行时会处于DLP沙箱环境中,访问外部的权限会被限制,以防止数据的泄漏。每当打开一个新的DLP文档会生成一个应用沙箱分身,沙箱应用之间也是相互隔离的,当应用关闭后应用分身会自动卸载,沙箱期间产生的临时数据也会丢弃。

正常情况下,应用不会感知到沙箱的存在,访问的也是解密后的明文,和访问普通文档没有区别,但由于DLP沙箱会限制其访问外部的权限(例如网络、剪切板、蓝牙等)。为了更好的用户体验,需要应用进行适配,例如文件只读的情况下,不应显示“保存”按钮,不应主动联网等。

沙箱限制

当应用进入DLP沙箱状态时,可以申请的权限将受到限制,根据DLP文件授权类型不同,限制也不相同,如下表:

权限名 说明 授权类型:只读 授权类型:编辑/文档拥有者
ohos.permission.USE_BLUETOOTH 允许应用使用蓝牙。 禁止 禁止
ohos.permission.INTERNET 允许应用访问网络。 禁止 禁止
ohos.permission.DISTRIBUTED_DATASYNC 允许应用与远程设备交换用户数据(如图片、音乐、视频、及应用数据等)。 禁止 禁止
ohos.permission.WRITE_MEDIA 应用读写用户媒体文件,如视频、音频、图片等,需要申请此权限。 禁止 允许
ohos.permission.CAPTURE_SCREEN 允许应用截屏。 禁止 允许
ohos.permission.NFC_TAG 允许应用使用NFC。 禁止 允许

接口说明

接口名 描述
isDLPFile(fd: number): Promise<boolean>
isDLPFile(fd: number, callback: AsyncCallback<boolean>): void
判断是否是dlp文件
getDLPPermissionInfo(): Promise<DLPPermissionInfo>
getDLPPermissionInfo(callback: AsyncCallback<DLPPermissionInfo>): void
获取当前沙箱应用的权限类型
getOriginalFileName(fileName: string): string 获取dlp文件原始文件名
getDLPSuffix(): string 获取dlp文件dlp后缀名
on(type: ‘openDLPFile’, listener: Callback<AccessedDLPFileInfo>): void 注册dlp文件打开事件监听,用于原始应用获取dlp文件打开事件
off(type: ‘openDLPFile’, listener?: Callback<AccessedDLPFileInfo>): void 取消dlp文件打开事件监听
isInSandbox(): Promise<boolean>
isInSandbox(callback: AsyncCallback<boolean>): void
判断当前是否是dlp沙箱应用
getDLPSupportedFileTypes(): Promise<Array<string>>
getDLPSupportedFileTypes(callback: AsyncCallback<Array<string>>): void
获取当前系统支持添加权限保护的文件格式类型
setRetentionState(docUris: Array<string>): Promise<void>
setRetentionState(docUris: Array<string>, callback: AsyncCallback<void>): void
设置dlp分身应用保留状态
cancelRetentionState(docUris: Array<string>): Promise<void>
cancelRetentionState(docUris: Array<string>, callback: AsyncCallback<void>): void
取消dlp分享应用保留状态
getRetentionSandboxList(bundleName?: string): Promise<Array<RetentionSandboxInfo>>
getRetentionSandboxList(bundleName: string, callback: AsyncCallback<Array<RetentionSandboxInfo>>): void
getRetentionSandboxList(callback: AsyncCallback<Array<RetentionSandboxInfo>>): void
获取当前保留沙箱列表
getDLPFileAccessRecords(): Promise<Array<AccessedDLPFileInfo>>
getDLPFileAccessRecords(callback: AsyncCallback<Array<AccessedDLPFileInfo>>): void
获取dlp文件访问记录

开发步骤

开发步骤

  1. 引入dlpPermission模块。
   import dlpPermission from '@ohos.dlpPermission';
  1. 打开DLP文件,系统会自动安装应用的DLP沙箱分身应用。

    async OpenDlpFile(dlpUri: string, fileName: string, fd: number) {
    let want:Want = {
      "action": "ohos.want.action.viewData",
      "bundleName": "com.example.example_bundle_name",
      "abilityName": "exampleAbility",
      "uri": dlpUri,
      "parameters": {
        "fileName": {
          "name": fileName
        },
        "keyFd": {
          "type": "FD",
          "value": fd
        }
      }
    }
    
    
    try {
      console.log("openDLPFile:" + JSON.stringify(want));
      console.log("openDLPFile: delegator:" + JSON.stringify(CustomGlobal.context));
      CustomGlobal.context.startAbility(want);
    } catch (err) {
      console.error('openDLPFile startAbility failed', (err as BusinessError).code, (err as BusinessError).message);
      return;
    }
    }
    

    以上代码需要在module.json5文件中增加ohos.want.action.viewData:

    "skills":[
      {
        "entities":[
          ...
        ],
        "actions":[
          ...
          "ohos.want.action.viewData"
        ]
      }
    ]
    
  2. 查询当前应用是否在沙箱中。

   dlpPermission.isInSandbox().then((data)=> { 
     console.log('isInSandbox, result: ' + JSON.stringify(data));
   }).catch((err:BusinessError) => {
     console.log("isInSandbox: "  + JSON.stringify(err));
   });
  1. 查询当前编辑的文档权限,根据文档授权的不同,DLP沙箱被限制的权限有所不同,参考沙箱限制
   dlpPermission.getDLPPermissionInfo().then((data)=> { 
     console.log('getDLPPermissionInfo, result: ' + JSON.stringify(data));
   }).catch((err:BusinessError) => {
     console.log("getDLPPermissionInfo: "  + JSON.stringify(err));
   });
  1. 获取当前可支持DLP方案的文件扩展名类型列表,用于应用判断能否生成DLP文档,可用在实现类似文件管理器设置DLP权限的场景。
   dlpPermission.getDLPSupportedFileTypes((err, result) => { 
     console.log("getDLPSupportedFileTypes: " + JSON.stringify(err));
     console.log('getDLPSupportedFileTypes: ' + JSON.stringify(result));
   });
  1. 判断当前打开文件是否是dlp文件。
   let file = fs.openSync(uri);
   try {
     let res = await dlpPermission.isDLPFile(file.fd); // 是否加密DLP文件
     console.info('res', res);
   } catch (err) {
     console.error('error', (err as BusinessError).code, (err as BusinessError).message); // 失败报错
   }
   fs.closeSync(file);
  1. 订阅、取消订阅DLP打开事件。
   event(info: dlpPermission.AccessedDLPFileInfo) {
     console.info('openDlpFile event', info.uri, info.recentOpenTime)
   }
   unSubscribe() {
     try {
       dlpPermission.off('openDLPFile', this.event); // 取消订阅
     } catch (err) {
       console.error('error', (err as BusinessError).code, (err as BusinessError).message); // 失败报错
     }
   }
   subscribe() {
     try {
       dlpPermission.on('openDLPFile', this.event); // 订阅
     } catch (err) {
       console.error('error', (err as BusinessError).code, (err as BusinessError).message); // 失败报错
     }
   }
   onCreate() {
    this.subscribe();
   }
   onDestroy() {
    this.unSubscribe();
   }
  1. 获取DLP文件打开记录。
   async func() {
     try {
       let res:Array<dlpPermission.AccessedDLPFileInfo> = await dlpPermission.getDLPFileAccessRecords(); // 获取DLP访问列表
       console.info('res', JSON.stringify(res))
     } catch (err) {
       console.error('error', (err as BusinessError).code, (err as BusinessError).message); // 失败报错
     }
   }
  1. 获取DLP文件保留沙箱记录。
   async func() {
     try {
       let res:Array<dlpPermission.RetentionSandboxInfo> = await dlpPermission.getRetentionSandboxList(); // 获取沙箱保留列表
       console.info('res', JSON.stringify(res))
     } catch (err) {
       console.error('error', (err as BusinessError).code, (err as BusinessError).message); // 失败报错
     }
   }

你可能感兴趣的鸿蒙文章

harmony 鸿蒙安全

harmony 鸿蒙访问控制授权申请指导

harmony 鸿蒙访问控制(权限)开发概述

harmony 鸿蒙HarmonyAppProvision配置文件说明

harmony 鸿蒙证书开发指导

harmony 鸿蒙证书概述

harmony 鸿蒙加解密算法库框架开发指导

harmony 鸿蒙加解密算法库框架概述

harmony 鸿蒙数据防泄漏(DLP)开发概述

harmony 鸿蒙Hap包签名工具指导

0  赞