文檔加密技術(shù)和透明加密軟件發(fā)展趨勢研究

桂林電子科技大學(xué)信息科技學(xué)院 翁乾倩

1.前言

隨著計(jì)算機(jī)的普及和網(wǎng)絡(luò)的發(fā)展，標(biāo)志了人類社會(huì)進(jìn)入了信息化時(shí)代，無紙化辦公系統(tǒng)被越來越多的組織和個(gè)人所認(rèn)可并得到廣泛應(yīng)用；但隨之而來的一個(gè)問題就是：人們?nèi)绾伪Ｗo(hù)信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。

要解決這個(gè)問題方法有兩種，一是封堵信息出口，使之不被泄露出去，阻止非法用戶接觸到信息資源；二是對(duì)信息進(jìn)行加密，使之即使遭到泄露也將處于安全可控狀態(tài)，不被非授權(quán)用戶所讀取。由于信息的傳播和泄露途徑眾多，難以進(jìn)行完全封堵，因此對(duì)信息進(jìn)行加密存儲(chǔ)是確保信息安全最重要的技術(shù)措施之一，是信息安全的關(guān)健核心技術(shù)[3]。

2.信息加密技術(shù)介紹

數(shù)據(jù)加密的基本過程就是對(duì)原來為明文的文件或數(shù)據(jù)采用某種算法進(jìn)行處理，使其成為一段不可讀的代碼，通常稱為“密文”，只能在輸入相應(yīng)的密鑰之后才能顯示出本來內(nèi)容；該過程的逆過程為解密[1]。透明加解密技術(shù)是近年來針對(duì)企業(yè)文件保密需求應(yīng)運(yùn)而生的一種文件加密技術(shù)。所謂透明，是指對(duì)使用者來說是不可見的。當(dāng)使用者在打開或編輯指定文件時(shí)，系統(tǒng)將自動(dòng)對(duì)未加密的文件進(jìn)行加密，對(duì)已加密的文件自動(dòng)解密。文件在硬盤上是密文，在內(nèi)存中是明文。一旦離開使用環(huán)境，由于應(yīng)用程序無法獲得自動(dòng)解密的服務(wù)而無法打開，從而起到保護(hù)文件內(nèi)容的效果。

透明加解密技術(shù)是與操作系統(tǒng)緊密結(jié)合的一種技術(shù)，它工作于操作系統(tǒng)底層，從技術(shù)角度看，可分為內(nèi)核級(jí)加密和應(yīng)用級(jí)加密兩類。

2.1 應(yīng)用層加密

應(yīng)用層加密技術(shù)基于Windows操作系統(tǒng)的API hook技術(shù)開發(fā)，通過windows的鉤子技術(shù)，監(jiān)控應(yīng)用程序?qū)ξ募拇蜷_和保存，當(dāng)打開文件時(shí)，先將密文轉(zhuǎn)換后再讓程序讀入內(nèi)存，保證程序讀到的是明文，而在保存時(shí)，又將內(nèi)存中的明文加密后再寫入到磁盤中。其本身是跟應(yīng)用軟件有緊密關(guān)系的一種方式，它是通過監(jiān)控應(yīng)用程序的啟動(dòng)而啟動(dòng)的，技術(shù)開發(fā)難度小，相對(duì)簡單，網(wǎng)絡(luò)操作能力不受限制，但也正是其與應(yīng)用程序緊密相關(guān)性，使其工作的有效性跟應(yīng)用程序的版本聯(lián)系非常緊密，如果版本變化，或應(yīng)用程序名更改，則無法掛鉤，導(dǎo)致加密的失效，同時(shí)，由于不同應(yīng)用程序在讀寫文件時(shí)所用的方式方法不盡相同，同一軟件不同版本在處理數(shù)據(jù)時(shí)也有變化，鉤子透明加密必須針對(duì)每種應(yīng)用程序、甚至每個(gè)版本進(jìn)行開發(fā)。另外對(duì)于大文件操作時(shí)速度較慢，且容易被應(yīng)用軟件誤認(rèn)為是病毒或者黑客利用hook侵入而終止軟件運(yùn)行。

2.2 驅(qū)動(dòng)層加密

驅(qū)動(dòng)層加密技術(shù)是基于windows的文件系統(tǒng)（過濾）驅(qū)動(dòng)（IFS）技術(shù)，工作在于windows API函數(shù)的下層。驅(qū)動(dòng)加密技術(shù)與應(yīng)用程序無關(guān)，當(dāng)API函數(shù)對(duì)指定類型文件進(jìn)行讀操作時(shí)，系統(tǒng)自動(dòng)將文件解密；當(dāng)進(jìn)入寫操作時(shí)，自動(dòng)將明文進(jìn)行加密。由于工作在受windows保護(hù)的內(nèi)核層，運(yùn)行速度更快，加解密操作更穩(wěn)定和更安全可靠，即使對(duì)大文件進(jìn)行操作也不會(huì)死機(jī)，但基于Windows操作系統(tǒng)內(nèi)核開發(fā)的驅(qū)動(dòng)層加密，開發(fā)難度大，對(duì)網(wǎng)絡(luò)操作能力，需要專門處理.

3.前景展望

透明加密技術(shù)作為一種新的數(shù)據(jù)保密手段，自出現(xiàn)以來，得到許多信息安全公司的熱捧，也為廣大需要對(duì)敏感數(shù)據(jù)進(jìn)行保密的客戶帶來了希望，市場份額逐年上升；經(jīng)過幾年的實(shí)踐和摸索，客戶對(duì)安全軟件開發(fā)商提出了更多的要求，為透明加密技術(shù)未來的發(fā)展指出了新的方向。本文就五個(gè)方面對(duì)透明加密軟件的發(fā)展動(dòng)向進(jìn)行了簡要的分析。

3.1 驅(qū)動(dòng)層加密技術(shù)成為透明加密的主流技術(shù)

應(yīng)用層透明加密技術(shù)和驅(qū)動(dòng)層加密技術(shù)的特點(diǎn)使得驅(qū)動(dòng)層透明加密技術(shù)有著更多競爭上的優(yōu)勢，其在加密過程中所體現(xiàn)的穩(wěn)定性、安全性和使用方便性已經(jīng)被使用者所認(rèn)可，并通過市場手段逐漸展現(xiàn)，加密軟件廠商也將逐步認(rèn)識(shí)到這點(diǎn)，于是將會(huì)有越來越多的廠商轉(zhuǎn)而研發(fā)驅(qū)動(dòng)層加密技術(shù)，促進(jìn)驅(qū)動(dòng)層加密技術(shù)發(fā)展。

3.2 高級(jí)加密算法(AES256)被普遍使用

加密技術(shù)最明顯的作用就是提供機(jī)密性和可靠性[2]，作為DES的替代方案，AES是一個(gè)迭代的對(duì)稱密鑰分組的密碼，它可以使用128、192和256位密鑰，作為新一代的數(shù)據(jù)加密標(biāo)準(zhǔn)匯聚了強(qiáng)安全性、高性能、高效率、易用和靈活等優(yōu)點(diǎn)，已經(jīng)被多方分析且廣為全世界所使用，也將被越來越多的加密廠商所采用。

3.3 加密控制策略更加靈活，操作更加人性化

在企業(yè)管理越來越人性化的今天，一成不變的強(qiáng)制加密技術(shù)雖然可以控制單位內(nèi)部敏感數(shù)據(jù)泄密，但缺乏靈活性卻飽受垢病，客戶期待能自主、靈活的設(shè)置加密控制策略。比如，雇主需要能打開員工加密的密文，但自已電腦上不加密，又或者單位高層領(lǐng)導(dǎo)可以自主選擇是否對(duì)編輯中的文件進(jìn)行加密，并能自由在強(qiáng)制加密與不加密間切換，這就促使加密軟件廠商對(duì)加密控制策略不能局限于強(qiáng)制加密一種手段，而是要更加靈活地進(jìn)行配制。

3.4 密文自動(dòng)備份成為必備功能

數(shù)據(jù)存儲(chǔ)是個(gè)復(fù)雜的過程。透明加密軟件對(duì)Windows操作系統(tǒng)的存儲(chǔ)和讀取進(jìn)行干預(yù)，難免不會(huì)出現(xiàn)這樣那樣的問題，導(dǎo)致加解密過程失敗，甚至對(duì)文件造成無法挽回的損失。一旦文件造成無法挽回的破壞、或經(jīng)常出現(xiàn)需要對(duì)異常密文進(jìn)行修復(fù)的情況，將直接影響客戶的正常工作，因此密文的自動(dòng)備份可以作為預(yù)防措施。

3.5 密文管理精細(xì)化

在一些單位，不但要求內(nèi)部數(shù)據(jù)不能外傳，還要在部門間或項(xiàng)目組之間相互保密，而上級(jí)部門或領(lǐng)導(dǎo)又要能打開不同部門的密文，這就使得一個(gè)單位只有一個(gè)密鑰無法滿足需求。于是便要求加密時(shí)做到密文分級(jí)的管理，使同一單位內(nèi)部擁有多個(gè)密鑰，相互不能解密，但通過賦予某一職權(quán)人（如上級(jí)領(lǐng)導(dǎo)等）同時(shí)擁有多個(gè)密鑰，其就可以對(duì)相應(yīng)的文件進(jìn)行加解密操作。

同時(shí)，單位內(nèi)部還涉及到不同的人對(duì)密文的控制權(quán)限不同，如項(xiàng)目組人員可以編輯相關(guān)的文件，但項(xiàng)目周邊相關(guān)人（如車間主任等）只擁有訪問的權(quán)限，所以在加密中集成權(quán)限管理將是未來用戶的普遍需求。

4.結(jié)論

隨著信息安全被人們?nèi)找嬷匾暎募Ｗo(hù)是最重要的目的。透明加密軟件作為新型安全軟件產(chǎn)品，已經(jīng)得到廣大客戶的認(rèn)同，市場需求不僅在現(xiàn)有層面上不斷擴(kuò)大，我們有理由相信，透明加密軟件會(huì)象其它軟件一樣，產(chǎn)品會(huì)越來越完善，功能定位會(huì)越來越明確，并最終成為廣大企業(yè)和個(gè)人計(jì)算機(jī)用戶的“標(biāo)準(zhǔn)配置”軟件。

[1] 張曉新,孫國嶺,楊平等.加密解密實(shí)戰(zhàn)超級(jí)手冊(cè)[M].北京:機(jī)械工業(yè)出版社,2010:77.

[2] Harold F.Tipton Micki Krause.信息安全管理手冊(cè)(卷II)[M].王越,等譯.北京:電子工業(yè)出版社,2004.282.

[3] 黃月江,祝世雄.信息安全與保密(第2版)—現(xiàn)代與未來戰(zhàn)爭的信息衛(wèi)士[M].北京:國防工業(yè)出版社,2008,11.