secWall系列保密产品
  技术优势
  实时加解密技术
  实时加解密技术是 secWall 系列产品的特点和技术核心。实时加解密技术的实现彻底解
决了保密技术长期以来“安全”与“易用”的矛盾,使加密技术真正走向实用。
实时加解密技术具有以下特征:
1. 加密的文件在用户身份认证通过后不需要解密就可以正常使用
实时加解密引擎在用户使用加密数据时动态向用户提交当前计算机微指令所需的
数据,从而满足 CPU运行的正确数据需求。
2. 加密文件的使用和没有加密时完全相同
因为实时加解密技术可以直接使用加密的文件,而且加密不改变文件的存放位置和
属性,所以文件设置加密后虽然物理介质上的数据被编码打乱存放,但授权用户在
用到这些加密数据时感觉仍然和没有加密时一样。
3. 支持计算机系统中所有文件类型的加密
基于操作系统内核驱动技术的实时加解密组件对 CPU 运行的每一条指令负责,确
保 CPU运行的每一条微指令可以获得这条指令所需的数据。而在 CPU运行级所能
分辨的只是二进制数据,没有文件类型的概念,因此基于内核的实时加解密技术可
以支持包括可执行文件(EXE、DLL)在内的任何类型文件的实时加解密。
实时加解密技术还能够在以下方面提升加密数据的安全性:
1. 加密属性的继承
计算机文件系统由文件和文件夹(目录)组成,每个文件都存放在表示其位置文件
夹(目录)中。当文件夹被加密后,以后在这个文件夹下新建的文件或文件夹都会
被加密。由于驱动器本身在文件系统中也是一个文件夹(根目录),因此加密驱动
器可以保证在该驱动器上存放的文件始终保持加密状态。
2. 加密文件在物理存储介质上始终保持加密状态
加密文件在本地磁盘上因为使用时不会被解密,所以加密状态不会因为使用而改
变。即使通过网络把加密文件共享出去,因为网络共享使加密文件进入了网络物理
介质(如网线),因此网络远端看到的的是加密文件的密文。
实时加解密系统在支持网络文件系统的secWall版本中允许加密文件的密文进入网
络介质,这样网络客户端用户如果拥有这个加密文件的证书就可以使用这个共享文
件。如果 secWall 版本不支持网络文件系统(标准版以下),实时加解密组件会禁
止加密文件进入网络介质。因此,无论哪种方式,实时加解密组件都可以杜绝加密
文件通过网络共享泄密。
3. 文件系统对象的访问控制
加密文件对于授权用户是透明可用的,但对于没有获得授权的用户却是不可访问
的。secWall的实时加解密组件可以自动隐藏那些用户无权操作的加密文件。
实时加解密组件同时可以控制连接到计算机文件系统的外部接口,因此可以通过实
时加解密组件控制可移动的存储设备,如 U盘、移动硬盘、光驱,甚至远程网络驱
动器。
4. 涉密输出主动加密

在支持主动加密的 secWall 版本(企业版)中,实时加解密组件的服务对象(可以
理解为某个特定应用程序)如果使用了加密数据,这个对象就称为涉密。涉密后的
对象会始终以密文方式输出数据到物理存储设备。这种机制称为涉密数据的接触传
播性。从用户层的现象看,涉密对象保存的文件会被强制加密。
 
扩展的密钥即插即用技术
secWall 系列产品采用软件和硬件相结合的方式,组成软硬一体的安全平台。硬件
采用了 USB 接口,即插即用,体积小巧,方便携带。密钥存储在硬件中,做到密文与
密钥在物理上分离,符合保密规范。更加重要的是,secWall 软件平台将 USB 协议的
即插即用技术扩展到整个保密平台中,所有加密数据在硬件拔离计算机系统后立刻无法
访问,在硬件连接到计算机系统并通过身份验证后,加密数据对操作者立刻变成可用。 
加密数据可以在设定范围内共享
secWall 首创加密信道技术,同一加密信道内的涉密用户可以共享加密数据,这些
加密数据对于其它加密信道内的用户和非涉密用户都是不可见的。结合 secWall实时加
解密技术的网络文件系统支持,多信道加密技术尤其适用于企业统一的对外保密,而内
部又需要部门隔离的情况。
通用技术,与具体应用无关
secWall 的保密引擎实现采用了操作系统核心驱动技术,工作于操作系统底层,与
操作系统上的应用程序无关,可以加密任何应用层的数据,不会因为应用软件的升级或
应用的改变而需要重构系统。