透明加密技术是近年来针对企业数据保密需求应运而起的一种数据加密技术。所谓透亮,是指对应用者来说是透明的,觉得不到加密存留,当运用者在敞开或编辑指定文件时,体系将主动对加密的数据举行解密,让使用者看到的是明文。保留数据的时候,系统主动对数据举行加密,保留的是密文。而不曾权限的人,无法读取保密数据,从而到达数据保密的结果。
自WindowsNT问世以来,微软提出的分层的观念,使透明加密有了完成的也许。自上而下,
应用软件,使用层APIhook(俗名钩子), 文件过滤驱动,卷过滤驱动,磁盘过滤驱动,此外还有网络过滤驱动,各种装备过滤驱动。中间应用软件和应用层apihook在利用层(R3),从文件过滤驱动开端,属于内核层(R0).数据透明加密技术,眼前为止,进展了3代,离别为:
第一代APIHOOK应用层透明加密技术;
第二代文件过滤驱动层(内核)加密技巧;
第三代内核级纵深加密技术;
第一代:APIHOOK利用层透亮加密技术
技术及设计思绪:使用层透明加密技巧俗名钩子透亮加密技术。这种技术即使将上述两种技术(应用层API和Hook)组合而成的,1314jhw.com。穿过windows的钩子技术,监控使用过程对文件的敞开和保留,当敞开文件时,先将密文转换后再让过程读入内存,保障程序读到的是明文,而在保留时,又将内存中的明文加密后再写入到磁盘中。利用层APIHOOK加密技术,特质是完成容易,缺陷是可靠性差,速度超级慢,因为必要暂时文件,也轻易破解。但由于直接对文件加密直观觉得十分好,对于起初空白的市场来讲,这一旗号的确触动了不少企业。
第二代:文件过滤驱动加密技术
驱动加密技术是基于windows的文件系统(过滤)驱动技术,职业在windows的内核层,处于应用层APIHook的下面,卷过滤和磁盘过滤的上面。设计观念是产生当应用过程(过程)和文件样式(后缀名)进行关系,当用户操纵某种后缀文件时对该文件进行加密解密操作,从而到达加密的结果。
内核层文件过滤驱动技术,分IFS和Minifilter2类。IFS展现较早,Minfilter涌现在xp今后。两者的差别能够领会为VC++和MFC的差异,IFS很多事情必要自己办理,而Minifilter是微软供给了很多老练库,直接用。由于windows文件保存的时候,保留缓存,并不是马上写入文件,所以依据是否解决了双缓bug,以后做了些细分,但实质还是一样,都是问题的匡正版本罢了。但由于职业在受windows捍卫的内核层,运行速度比APIHOOK加密速度快,处理了很多问题和危险。
文件过滤驱动技巧完成相对容易,但安定性始终不太志向。
第三代:内核级纵深沙盒加密技术
之所以叫内核级纵深沙盒加密技术,首要缘故是应用了磁盘过滤驱动技术,卷过滤驱动技术,文件过滤驱动技术,网络过滤驱动(NDIS/TDI)技术等一系列内核级驱动技术,从上到下,纵深抵御加密。沙盒加密,是当运用者操作涉密数据的时候,对其历程进行掌控,对其结局进行加密保留,每个模块只做自己最善于的那块,因而十分安定。加密的沙盒是个容器,把涉密软件,文件扔到容器中加密。而这个容器是透明的,使用者觉得不到它的存留。,
第三代透明加密技术的特质是,涉密数据应用前,先初始化涉密沙盒,沙盒加密一旦胜利,尔后所有的数据都是数据实体,不针对文件单个,所以无数据破损等问题。特征是速度快,固定,但技术相当庞杂。
第一代,第二代实质都是采纳的针对个体文件实体举行加密,如a.txt内容为1234, 加密后变成@#$%% +标志。@#$%%是把原文1234举行加密尔后的密文。而符号的用处是用来分辨一个a.txt文件是否是曾经被加密。当系统遭到一个文件的时候,最先推断这个记号是否存留,万一保留,汇编语言和CPU以及内存,端口等硬件知识是连在同时的. 这也是为什么汇编语言不曾通用性的缘故. 下面容易讲讲大致知识(针对INTEL x86及其容纳机),阐明时被体系加密过的,则走解密读取流程,假使不是加密的,就无需解密,直接显现给运用者,只是当保留的时候,再进行加密,使其成文密文+记号。
这就带来一个庞大的危险:万一是一个较大文件,加密历程中产生反常,记号没加上,那么下次读这个文件的时候,因为没有读到表记,而采纳原文读取,然后再加密,那么这个文件就完全损坏了。这个表象在第一代APIHOOK透明加密技术的产品中尤其显著,在第二代文件过滤驱浮财品中,因为速度变快了,使文件破损产生概率降低了许多,但并不曾实质处理这个问题。
此外,由于是过程和文件后缀名举行关联,也形成了一个缺点:许多编程类软件,庞杂制图软件的编译,晒图等操纵,都是许多进程一同操纵某个文件,这个时候进行进程和文件关系明显太勉强了,因为过程太多了。即便举行关系,多个进程交替走访文件,加密解密混在同时,极轻易构成反常。因而才会展现VC等环境下如不能编译,调试等。
其余方面,版本管制无法对照,效劳器上寄放的是密文(效力器存密文,是个极大的危险,眼前不曾哪家大企业敢这样做,总归太依靠加密软件,延续性没有了),大文件速度慢等,一系列问题,无法处理。
而第三代内核纵深加密技术是在前者2个根基之上进展而来的,每个过滤层都只做自己最善于的事情,因而尤其安定,速度快,p+f接近开关,功能可靠,不保留第一代和第二代的问题。由于内核级纵深透明加密技术请求高,波及技术领土广,极端庞杂,开辟周期长,所以海内的能做开拓的厂商不多。眼前,坚信达公司推出的SDC机要数据保密系统,李开复致大学的第1封信,给人一目前一亮的感受,其产品是第三代透明加密保密技术的典范产品,其产品首要特质是:
1)采用了磁盘过滤,卷过滤,文件过滤,网络过滤等一系列纵深内核加密技术,采纳沙盒加密,和文件类别和软件无关,沙盒是个容器。
2)在操作涉密数据的一同,不波及上外网,QQ,面向搜查引擎的广告形式,MSN等。
3)保密完全,包罗网络上传,邮件发送,另存,复制粘贴,屏幕截取等,尤其是屏幕保密,做得十分炫。
4)效力上寄放的是明文,客户端寄存的是密文,文件上传效劳器主动解密,抵达客户端主动加密。效力器上明文,削减了业务延续性对加密软件的依靠。
5)不只能够针对一般文档图纸数据进行保密需求,一同更是研发实质的软件公司(游戏,通信,嵌入式,各种BS/CS应用体系)源代码保密首选
704
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
