桂林电子科技大学信息科技学院 翁乾倩
随着计算机的普及和网络的发展,标志了人类社会进入了信息化时代,无纸化办公系统被越来越多的组织和个人所认可并得到广泛应用;但随之而来的一个问题就是:人们如何保护信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。
要解决这个问题方法有两种,一是封堵信息出口,使之不被泄露出去,阻止非法用户接触到信息资源;二是对信息进行加密,使之即使遭到泄露也将处于安全可控状态,不被非授权用户所读取。由于信息的传播和泄露途径众多,难以进行完全封堵,因此对信息进行加密存储是确保信息安全最重要的技术措施之一,是信息安全的关健核心技术[3]。
数据加密的基本过程就是对原来为明文的文件或数据采用某种算法进行处理,使其成为一段不可读的代码,通常称为“密文”,只能在输入相应的密钥之后才能显示出本来内容;该过程的逆过程为解密[1]。透明加解密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。所谓透明,是指对使用者来说是不可见的。当使用者在打开或编辑指定文件时,系统将自动对未加密的文件进行加密,对已加密的文件自动解密。文件在硬盘上是密文,在内存中是明文。一旦离开使用环境,由于应用程序无法获得自动解密的服务而无法打开,从而起到保护文件内容的效果。
透明加解密技术是与操作系统紧密结合的一种技术,它工作于操作系统底层,从技术角度看,可分为内核级加密和应用级加密两类。
应用层加密技术基于Windows操作系统的API hook技术开发,通过windows的钩子技术,监控应用程序对文件的打开和保存,当打开文件时,先将密文转换后再让程序读入内存,保证程序读到的是明文,而在保存时,又将内存中的明文加密后再写入到磁盘中。其本身是跟应用软件有紧密关系的一种方式,它是通过监控应用程序的启动而启动的,技术开发难度小,相对简单,网络操作能力不受限制,但也正是其与应用程序紧密相关性,使其工作的有效性跟应用程序的版本联系非常紧密,如果版本变化,或应用程序名更改,则无法挂钩,导致加密的失效,同时,由于不同应用程序在读写文件时所用的方式方法不尽相同,同一软件不同版本在处理数据时也有变化,钩子透明加密必须针对每种应用程序、甚至每个版本进行开发。另外对于大文件操作时速度较慢,且容易被应用软件误认为是病毒或者黑客利用hook侵入而终止软件运行。
驱动层加密技术是基于windows的文件系统(过滤)驱动(IFS)技术,工作在于windows API函数的下层。驱动加密技术与应用程序无关,当API函数对指定类型文件进行读操作时,系统自动将文件解密;当进入写操作时,自动将明文进行加密。由于工作在受windows保护的内核层,运行速度更快,加解密操作更稳定和更安全可靠,即使对大文件进行操作也不会死机,但基于Windows操作系统内核开发的驱动层加密,开发难度大,对网络操作能力,需要专门处理.
透明加密技术作为一种新的数据保密手段,自出现以来,得到许多信息安全公司的热捧,也为广大需要对敏感数据进行保密的客户带来了希望,市场份额逐年上升;经过几年的实践和摸索,客户对安全软件开发商提出了更多的要求,为透明加密技术未来的发展指出了新的方向。本文就五个方面对透明加密软件的发展动向进行了简要的分析。
应用层透明加密技术和驱动层加密技术的特点使得驱动层透明加密技术有着更多竞争上的优势,其在加密过程中所体现的稳定性、安全性和使用方便性已经被使用者所认可,并通过市场手段逐渐展现,加密软件厂商也将逐步认识到这点,于是将会有越来越多的厂商转而研发驱动层加密技术,促进驱动层加密技术发展。
加密技术最明显的作用就是提供机密性和可靠性[2],作为DES的替代方案,AES是一个迭代的对称密钥分组的密码,它可以使用128、192和256位密钥,作为新一代的数据加密标准汇聚了强安全性、高性能、高效率、易用和灵活等优点,已经被多方分析且广为全世界所使用,也将被越来越多的加密厂商所采用。
在企业管理越来越人性化的今天,一成不变的强制加密技术虽然可以控制单位内部敏感数据泄密,但缺乏灵活性却饱受垢病,客户期待能自主、灵活的设置加密控制策略。比如,雇主需要能打开员工加密的密文,但自已电脑上不加密,又或者单位高层领导可以自主选择是否对编辑中的文件进行加密,并能自由在强制加密与不加密间切换,这就促使加密软件厂商对加密控制策略不能局限于强制加密一种手段,而是要更加灵活地进行配制。
数据存储是个复杂的过程。透明加密软件对Windows操作系统的存储和读取进行干预,难免不会出现这样那样的问题,导致加解密过程失败,甚至对文件造成无法挽回的损失。一旦文件造成无法挽回的破坏、或经常出现需要对异常密文进行修复的情况,将直接影响客户的正常工作,因此密文的自动备份可以作为预防措施。
在一些单位,不但要求内部数据不能外传,还要在部门间或项目组之间相互保密,而上级部门或领导又要能打开不同部门的密文,这就使得一个单位只有一个密钥无法满足需求。于是便要求加密时做到密文分级的管理,使同一单位内部拥有多个密钥,相互不能解密,但通过赋予某一职权人(如上级领导等)同时拥有多个密钥,其就可以对相应的文件进行加解密操作。
同时,单位内部还涉及到不同的人对密文的控制权限不同,如项目组人员可以编辑相关的文件,但项目周边相关人(如车间主任等)只拥有访问的权限,所以在加密中集成权限管理将是未来用户的普遍需求。
随着信息安全被人们日益重视,文件保护是最重要的目的。透明加密软件作为新型安全软件产品,已经得到广大客户的认同,市场需求不仅在现有层面上不断扩大,我们有理由相信,透明加密软件会象其它软件一样,产品会越来越完善,功能定位会越来越明确,并最终成为广大企业和个人计算机用户的“标准配置”软件。
[1] 张晓新,孙国岭,杨平等.加密解密实战超级手册[M].北京:机械工业出版社,2010:77.
[2] Harold F.Tipton Micki Krause.信息安全管理手册(卷II)[M].王越,等译.北京:电子工业出版社,2004.282.
[3] 黄月江,祝世雄.信息安全与保密(第2版)—现代与未来战争的信息卫士[M].北京:国防工业出版社,2008,11.