1# 数据防泄漏服务开发指导 2<!--Kit: Data Protection Kit--> 3<!--Subsystem: Security--> 4<!--Owner: @winnieHuYu--> 5<!--Designer: @lucky-jinduo--> 6<!--Tester: @nacyli--> 7<!--Adviser: @zengyawen--> 8 9DLP是系统提供的系统级的数据防泄漏解决方案,提供一种称为DLP的文件格式。后缀格式为“原始文件名(包含原始文件后缀).dlp”,例如“test.docx.dlp”,文件由授权凭证和原始文件密文组成。 10 11通过端云协同认证(需要联网)来获取文件的访问授权,授权类型包含只读、编辑、文件拥有者三种。 12 13- 只读:能读取文件内容但不能修改。 14- 编辑:能够读写文件内容,但不能修改文件权限配置。 15- 文件拥有者:可读写文件、修改权限配置、恢复原始文件等。 16 17应用需要访问DLP文件时,系统会自动安装应用的DLP沙箱分身应用,相当于完全独立的应用,数据和配置会继承原应用,但相互之间并不共享。分身应用在运行时会处于DLP沙箱环境中,访问外部的权限会被限制,以防止数据的泄漏。每当打开一个新的DLP文件会生成一个应用沙箱分身,沙箱应用之间也是相互隔离的,当应用关闭后应用分身会自动卸载,沙箱期间产生的临时数据也会丢弃。 18 19正常情况下,应用不会感知到沙箱的存在,访问的也是解密后的明文,和访问普通文件没有区别,但由于DLP沙箱会限制其访问外部的权限(例如网络、剪切板、截屏、录屏、蓝牙等)。为了更好的用户体验,需要应用进行适配,例如文件只读的情况下,不应显示“保存”按钮,不应主动联网等。 20 21## 沙箱限制 22 23当应用进入DLP沙箱状态时,可以申请的权限将受到限制,根据DLP文件授权类型不同,限制也不相同,如下表: 24 25| 权限名 | 说明 | 授权类型:只读 | 授权类型:编辑/文件拥有者 | 26| -------- | -------- | -------- | -------- | 27| ohos.permission.USE_BLUETOOTH | 允许应用使用蓝牙。 | 禁止 | 禁止 | 28| ohos.permission.INTERNET |允许应用访问网络。 | 禁止 | 禁止 | 29| ohos.permission.DISTRIBUTED_DATASYNC | 允许应用与远程设备交换用户数据(如图片、音乐、视频、应用数据等)。 | 禁止 | 禁止 | 30| ohos.permission.WRITE_MEDIA | 应用读写用户媒体文件,如视频、音频、图片等,需要申请此权限。 | 禁止 | 允许 | 31| ohos.permission.NFC_TAG | 允许应用使用NFC。 | 禁止 | 允许 | 32 33## 接口说明 34 35| 接口名 | 描述 | 36| -------- | -------- | 37| isDLPFile(fd: number): Promise<boolean> <br> isDLPFile(fd: number, callback: AsyncCallback<boolean>): void| 判断是否是dlp文件。 | 38| getDLPPermissionInfo(): Promise<DLPPermissionInfo> <br>getDLPPermissionInfo(callback: AsyncCallback<DLPPermissionInfo>): void | 获取当前沙箱应用的权限类型。 | 39| getOriginalFileName(fileName: string): string | 获取dlp文件原始文件名。 | 40| getDLPSuffix(): string | 获取dlp文件dlp后缀名。 | 41| on(type: 'openDLPFile', listener: Callback<AccessedDLPFileInfo>): void | 注册dlp文件打开事件监听,用于原始应用获取dlp文件打开事件。 | 42| off(type: 'openDLPFile', listener?: Callback<AccessedDLPFileInfo>): void | 取消dlp文件打开事件监听。 | 43| isInSandbox(): Promise<boolean> <br>isInSandbox(callback: AsyncCallback<boolean>): void | 判断当前是否是dlp沙箱应用。 | 44| getDLPSupportedFileTypes(): Promise<Array<string>><br>getDLPSupportedFileTypes(callback: AsyncCallback<Array<string>>): void | 获取当前系统支持添加权限保护的文件格式类型。 | 45| setRetentionState(docUris: Array<string>): Promise<void> <br> setRetentionState(docUris: Array<string>, callback: AsyncCallback<void>): void | 设置dlp分身应用保留状态。 | 46| cancelRetentionState(docUris: Array<string>): Promise<void><br> cancelRetentionState(docUris: Array<string>, callback: AsyncCallback<void>): void | 取消dlp分身应用保留状态。 | 47| getRetentionSandboxList(bundleName?: string): Promise<Array<RetentionSandboxInfo>> <br> getRetentionSandboxList(bundleName: string, callback: AsyncCallback<Array<RetentionSandboxInfo>>): void <br> getRetentionSandboxList(callback: AsyncCallback<Array<RetentionSandboxInfo>>): void| 获取当前保留沙箱列表。 | 48| getDLPFileAccessRecords(): Promise<Array<AccessedDLPFileInfo>> <br> getDLPFileAccessRecords(callback: AsyncCallback<Array<AccessedDLPFileInfo>>): void | 获取dlp文件访问记录。 | 49|setSandboxAppConfig(configInfo: string): Promise<void>|设置沙箱应用配置信息。| 50|getSandboxAppConfig(): Promise<string>|查询沙箱应用配置信息。| 51|cleanSandboxAppConfig(): Promise<void>|清理沙箱应用配置信息。| 52| startDLPManagerForResult(context: common.UIAbilityContext, want: Want): Promise<DLPManagerResult> <br> | 在当前UIAbility界面以无边框形式打开DLP权限管理应用(只支持Stage模式)。 | 53 54## 开发步骤 55 56本文档提供接口示例代码,如需要了解工程项目创建方式,可参考[工程创建](https://developer.huawei.com/consumer/cn/doc/harmonyos-guides/ide-project)。 57 581. 引入[dlpPermission](../../reference/apis-data-protection-kit/js-apis-dlppermission.md)模块。 59 60 ```ts 61 import { dlpPermission } from '@kit.DataProtectionKit'; 62 ``` 63 642. 打开DLP文件,系统会自动安装应用的DLP沙箱分身应用。以下代码应在应用页Ability中使用。 65 66 ```ts 67 import { common, Want } from '@kit.AbilityKit'; 68 import { BusinessError } from '@kit.BasicServicesKit'; 69 import { UIContext } from '@kit.ArkUI'; 70 71 function OpenDlpFile(dlpUri: string, fileName: string, fd: number) { 72 let want: Want = { 73 "action": "ohos.want.action.viewData", 74 "bundleName": "com.example.example_bundle_name", 75 "abilityName": "exampleAbility", 76 "uri": dlpUri, 77 "parameters": { 78 "fileName": { 79 "name": fileName 80 }, 81 "keyFd": { 82 "type": "FD", 83 "value": fd 84 } 85 } 86 } 87 88 let context = new UIContext().getHostContext() as common.UIAbilityContext; // 获取当前UIAbilityContext。 89 90 try { 91 console.log('openDLPFile:' + JSON.stringify(want)); 92 console.log('openDLPFile: delegator:' + JSON.stringify(context)); 93 context.startAbility(want); 94 } catch (err) { 95 console.error('openDLPFile startAbility failed', (err as BusinessError).code, (err as BusinessError).message); 96 return; 97 } 98 } 99 ``` 100 101 以上代码需要在module.json5文件中增加ohos.want.action.viewData: 102 103 ```json 104 "skills":[ 105 { 106 "entities":[ 107 // ... 108 ], 109 "actions":[ 110 // ... 111 "ohos.want.action.viewData" 112 ] 113 } 114 ] 115 ``` 116 1173. 生成DLP文件。 118 119 [该功能云端对接模块当前需要开发者自行搭建](../DataProtectionKit/dlp-overview.md),并且该功能需要配置域账号环境。 120 121 3.1 当前支持生成DLP文件的原文件类型: ".doc", ".docm", ".docx", ".dot", ".dotm", ".dotx", ".odp", ".odt", ".pdf", ".pot", ".potm", ".potx", ".ppa", ".ppam", ".pps", ".ppsm", ".ppsx", ".ppt", ".pptm", ".pptx", ".rtf", ".txt", ".wps", ".xla", ".xlam", ".xls", ".xlsb", ".xlsm", ".xlsx", ".xlt", ".xltm", ".xltx", ".xlw", ".xml", ".xps"。 122 123 3.2 首先要有一个DLP权限应用有读写权限的(比如文件管理的文档目录下)并且属于以上文件类型之一的原文件。 124 125 3.3 以无边框形式打开DLP权限管理应用。此方法只能在UIAbility上下文中调用,只支持Stage模式。调用以下代码,拉起DLP管理应用的设置权限页面,输入相关的授权账号信息,点击保存,在拉起的filepicker中选择DLP文件的保存路径,保存DLP文件。 126 127 ```ts 128 import { dlpPermission } from '@kit.DataProtectionKit'; 129 import { common, Want } from '@kit.AbilityKit'; 130 import { BusinessError } from '@kit.BasicServicesKit'; 131 import { UIContext } from '@kit.ArkUI'; 132 133 try { 134 let fileUri: string = "file://docs/storage/Users/currentUser/test.txt"; 135 let fileName: string = "test.txt"; 136 let context = new UIContext().getHostContext() as common.UIAbilityContext; // 获取当前UIAbilityContext。 137 let want: Want = { 138 'uri': fileUri, 139 'parameters': { 140 'displayName': fileName 141 } 142 }; // 请求参数。 143 dlpPermission.startDLPManagerForResult(context, want).then((res: dlpPermission.DLPManagerResult) => { 144 console.info('startDLPManagerForResult res.resultCode:' + res.resultCode); 145 console.info('startDLPManagerForResult res.want:' + JSON.stringify(res.want)); 146 }); // 拉起DLP权限管理应用 设置权限。 147 } catch (err) { 148 console.error('startDLPManagerForResult error:' + (err as BusinessError).code + (err as BusinessError).message); 149 } 150 ``` 151 1524. 查询当前应用是否在沙箱中。 153 154 ```ts 155 import { dlpPermission } from '@kit.DataProtectionKit'; 156 import { BusinessError } from '@kit.BasicServicesKit'; 157 158 dlpPermission.isInSandbox().then((data)=> { 159 console.log('isInSandbox, result: ' + JSON.stringify(data)); 160 }).catch((err:BusinessError) => { 161 console.log('isInSandbox: ' + JSON.stringify(err)); 162 }); 163 ``` 164 1655. 查询当前编辑的文件权限,根据文件授权的不同,DLP沙箱被限制的权限有所不同,参考[沙箱限制](#沙箱限制)。 166 167 ```ts 168 import { dlpPermission } from '@kit.DataProtectionKit'; 169 import { BusinessError } from '@kit.BasicServicesKit'; 170 171 dlpPermission.getDLPPermissionInfo().then((data)=> { 172 console.log('getDLPPermissionInfo, result: ' + JSON.stringify(data)); 173 }).catch((err:BusinessError) => { 174 console.log('getDLPPermissionInfo: ' + JSON.stringify(err)); 175 }); 176 ``` 177 1786. 获取当前可支持DLP方案的文件扩展名类型列表,用于应用判断能否生成DLP文件,可用在实现类似文件管理器设置DLP权限的场景。 179 180 ```ts 181 import { dlpPermission } from '@kit.DataProtectionKit'; 182 183 dlpPermission.getDLPSupportedFileTypes((err, result) => { 184 console.log('getDLPSupportedFileTypes: ' + JSON.stringify(err)); 185 console.log('getDLPSupportedFileTypes: ' + JSON.stringify(result)); 186 }); 187 ``` 188 1897. 判断当前打开文件是否是DLP文件。 190 191 ```ts 192 import { dlpPermission } from '@kit.DataProtectionKit'; 193 import { fileIo } from '@kit.CoreFileKit'; 194 import { BusinessError } from '@kit.BasicServicesKit'; 195 196 let uri = "file://docs/storage/Users/currentUser/Desktop/test.txt.dlp"; 197 let file = fileIo.openSync(uri); 198 try { 199 let res = dlpPermission.isDLPFile(file.fd); // 是否加密DLP文件。 200 console.info('res', res); 201 } catch (err) { 202 console.error('error', (err as BusinessError).code, (err as BusinessError).message); // 失败报错。 203 } 204 fileIo.closeSync(file); 205 ``` 206 2078. 订阅、取消订阅DLP打开事件。 208 209 ```ts 210 import { dlpPermission } from '@kit.DataProtectionKit'; 211 import { BusinessError } from '@kit.BasicServicesKit'; 212 213 class SubscribeExample { 214 event(info: dlpPermission.AccessedDLPFileInfo) { 215 console.info('openDlpFile event', info.uri, info.lastOpenTime) 216 } 217 unSubscribe() { 218 try { 219 dlpPermission.off('openDLPFile', this.event); // 取消订阅。 220 } catch (err) { 221 console.error('error', (err as BusinessError).code, (err as BusinessError).message); // 失败报错。 222 } 223 } 224 subscribe() { 225 try { 226 dlpPermission.on('openDLPFile', this.event); // 订阅。 227 } catch (err) { 228 console.error('error', (err as BusinessError).code, (err as BusinessError).message); // 失败报错。 229 } 230 } 231 onCreate() { 232 this.subscribe(); 233 } 234 onDestroy() { 235 this.unSubscribe(); 236 } 237 } 238 ``` 239 2409. 获取DLP文件打开记录。 241 242 ```ts 243 import { dlpPermission } from '@kit.DataProtectionKit'; 244 import { BusinessError } from '@kit.BasicServicesKit'; 245 246 async function getDLPFileAccessRecords() { 247 try { 248 let res:Array<dlpPermission.AccessedDLPFileInfo> = await dlpPermission.getDLPFileAccessRecords(); // 获取DLP访问列表。 249 console.info('res', JSON.stringify(res)) 250 } catch (err) { 251 console.error('error', (err as BusinessError).code, (err as BusinessError).message); // 失败报错。 252 } 253 } 254 ``` 255 25610. 获取DLP文件保留沙箱记录。 257 258 ```ts 259 import { dlpPermission } from '@kit.DataProtectionKit'; 260 import { BusinessError } from '@kit.BasicServicesKit'; 261 262 async function getRetentionSandboxList() { 263 try { 264 let res:Array<dlpPermission.RetentionSandboxInfo> = await dlpPermission.getRetentionSandboxList(); // 获取沙箱保留列表。 265 console.info('res', JSON.stringify(res)) 266 } catch (err) { 267 console.error('error', (err as BusinessError).code, (err as BusinessError).message); // 失败报错。 268 } 269 } 270 ``` 271 27211. 设置沙箱应用配置信息。 273 274 ```ts 275 import { dlpPermission } from '@kit.DataProtectionKit'; 276 import { BusinessError } from '@kit.BasicServicesKit'; 277 278 async function setSandboxAppConfig() { 279 try { 280 await dlpPermission.setSandboxAppConfig('configInfo'); // 设置沙箱应用配置信息。 281 } catch (err) { 282 console.error('error', (err as BusinessError).code, (err as BusinessError).message); // 失败报错。 283 } 284 } 285 ``` 286 28712. 清理沙箱应用配置信息。 288 289 ```ts 290 import { dlpPermission } from '@kit.DataProtectionKit'; 291 import { BusinessError } from '@kit.BasicServicesKit'; 292 293 async function cleanSandboxAppConfig() { 294 try { 295 await dlpPermission.cleanSandboxAppConfig(); // 清理沙箱应用配置信息。 296 } catch (err) { 297 console.error('error', (err as BusinessError).code, (err as BusinessError).message); // 失败报错。 298 } 299 } 300 ``` 301 30213. 查询沙箱应用配置信息。 303 304 ```ts 305 import { dlpPermission } from '@kit.DataProtectionKit'; 306 import { BusinessError } from '@kit.BasicServicesKit'; 307 308 async function getSandboxAppConfig() { 309 try { 310 let res:string = await dlpPermission.getSandboxAppConfig(); // 查询沙箱应用配置信息。 311 console.info('res', JSON.stringify(res)) 312 } catch (err) { 313 console.error('error', (err as BusinessError).code, (err as BusinessError).message); // 失败报错。 314 } 315 } 316 ``` 317 31814. 以无边框形式打开DLP权限管理应用。此方法只能在UIAbility上下文中调用,只支持Stage模式。 319 320 ```ts 321 import { dlpPermission } from '@kit.DataProtectionKit'; 322 import { common, Want } from '@kit.AbilityKit'; 323 import { UIContext } from '@kit.ArkUI'; 324 325 try { 326 let context = new UIContext().getHostContext() as common.UIAbilityContext; // 获取当前UIAbilityContext。 327 let want: Want = { 328 "uri": "file://docs/storage/Users/currentUser/Desktop/1.txt", 329 "parameters": { 330 "displayName": "1.txt" 331 } 332 }; // 请求参数。 333 dlpPermission.startDLPManagerForResult(context, want).then((res) => { 334 console.info('res.resultCode', res.resultCode); 335 console.info('res.want', JSON.stringify(res.want)); 336 }); // 打开DLP权限管理应用。 337 } catch (err) { 338 console.error('error', err.code, err.message); // 失败报错。 339 } 340 ``` 341 34215. 查询当前系统是否提供DLP特性。 343 ```ts 344 import { dlpPermission } from '@kit.DataProtectionKit'; 345 import { BusinessError } from '@kit.BasicServicesKit'; 346 347 dlpPermission.isDLPFeatureProvided().then((res) => { 348 console.info('res', JSON.stringify(res)); 349 }).catch((err: BusinessError) => { 350 console.error('error', (err as BusinessError).code, (err as BusinessError).message); // 失败报错。 351 }); 352 ``` 353