隨著計算機和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，越來越多的信息以電子形式存儲在個人和商用電腦中，并且通過網(wǎng)絡(luò)進(jìn)行廣泛地傳遞，在大量的信息存儲和交換中，信息的安全問題越來越引起人們的重視。信息保密的理論基礎(chǔ)是密碼學(xué)，根據(jù)現(xiàn)代密碼學(xué)的理論，一個好的加密算法的安全性只依賴于密鑰，加密算法的公開與否不影響其安全性?，F(xiàn)代密碼學(xué)經(jīng)過幾十年的研究和發(fā)展，已經(jīng)發(fā)明了許多安全性很高的加密算法，并且被廣泛地應(yīng)用在各種信息安全產(chǎn)品中，其中數(shù)據(jù)加密技術(shù)是密碼學(xué)的一個重要應(yīng)用領(lǐng)域。數(shù)據(jù)加密產(chǎn)品由于實現(xiàn)的方法和層次的不同，決定了其應(yīng)用領(lǐng)域和范圍。
數(shù)據(jù)加密技術(shù)按照實現(xiàn)的方法可劃分為靜態(tài)加密和動態(tài)加密，從實現(xiàn)的層次上則可分為文件級加密和存儲設(shè)備級加密。
1.靜態(tài)加密與動態(tài)加密
靜態(tài)加密是指在加密期間，待加密的數(shù)據(jù)處于未使用狀態(tài)，這些數(shù)據(jù)一旦加密，在使用前，需首先通過靜態(tài)解密得到明文，然后才能使用。目前市場上許多加密軟件產(chǎn)品就屬于這種加密方式。
與靜態(tài)加密不同，動態(tài)加密（也稱實時加密，透明加密等，其英文名為encrypt on-the-fly），是指數(shù)據(jù)在使用過程中自動對數(shù)據(jù)進(jìn)行加密或解密操作，無需用戶的干預(yù)，合法用戶在使用加密的文件前，也不需要進(jìn)行解密操作即可使用，表面看來，訪問加密的文件和訪問未加密的文件基本相同，對合法用戶來說，這些加密文件是“透明的”，即好像沒有加密一樣，但對于沒有訪問權(quán)限的用戶，即使通過其它非常規(guī)手段得到了這些文件，由于文件是加密的，因此也無法使用。由于動態(tài)加密技術(shù)不僅不改變用戶的使用習(xí)慣，而且無需用戶太多的干預(yù)操作即可實現(xiàn)文檔的安全，因而近年來得到了廣泛的應(yīng)用。
由于動態(tài)加密要實時加密數(shù)據(jù)，必須動態(tài)跟蹤需要加密的數(shù)據(jù)流，而且其實現(xiàn)的層次一般位于系統(tǒng)內(nèi)核中，因此，從實現(xiàn)的技術(shù)角度看，實現(xiàn)動態(tài)加密要比靜態(tài)加密難的多，需要解決的技術(shù)難點也遠(yuǎn)遠(yuǎn)超過靜態(tài)加密。
2.動態(tài)加密實現(xiàn)的層次級別
在不同的操作系中（如WINDOWS、LINUX、UNIX等），雖然數(shù)據(jù)的具體組織和存儲結(jié)構(gòu)會有所不同，但它們均可用圖1的模型進(jìn)行表示，即應(yīng)用程序在訪問存儲設(shè)備數(shù)據(jù)時，一般都通過操作系統(tǒng)提供的API 調(diào)用文件系統(tǒng)，然后文件系統(tǒng)通過存儲介質(zhì)的驅(qū)動程序訪問具體的存儲介質(zhì)。其中層次I和II屬于應(yīng)用層；層次III和IV屬于操作系統(tǒng)內(nèi)核層。這種組織結(jié)構(gòu)決定了加密系統(tǒng)的實現(xiàn)方式，在數(shù)據(jù)從存儲介質(zhì)到應(yīng)用程序所經(jīng)過的每個路徑中，均可對訪問的數(shù)據(jù)實施加密/解密操作，其中模型中的層次I只能捕獲應(yīng)用程序自身讀寫的數(shù)據(jù)，其他應(yīng)用程序的數(shù)據(jù)不經(jīng)過該層，因此，在層次I中只能實現(xiàn)靜態(tài)加密，無法實現(xiàn)動態(tài)加密；即使是層次II，也并不是所有文件數(shù)據(jù)均通過該層，但在該層可以攔截到各種文件的打開、關(guān)閉等操作。因此，在應(yīng)用層實現(xiàn)的動態(tài)加解密產(chǎn)品無法真正做到“實時”加密/解密操作，一般只能通過其他變相的方式進(jìn)行實現(xiàn)（一般均在層次II進(jìn)行實現(xiàn)）。例如，在應(yīng)用程序打開文件時，先直接解密整個文件或解密整個文件到其他路徑，然后讓應(yīng)用程序直接（重定向）訪問這個完全解密的文件，而在應(yīng)用程序關(guān)閉這個文件時，再將已解密的文件進(jìn)行加密。其實質(zhì)是靜態(tài)加解密過程的自動化，并不屬于嚴(yán)格意義上的動態(tài)加密。
由于目前的操作系統(tǒng)，如Windows/Linux/Unix等，只有在內(nèi)核層才能攔截到各種文件或磁盤操作，因此，真正的動態(tài)加解密產(chǎn)品只能在內(nèi)核層進(jìn)行實現(xiàn)。在圖1給出的模型中，在內(nèi)核層中的文件系統(tǒng)可以攔截到所有的文件操作，但并不能攔截到所有的存儲設(shè)備（在下面的敘述中，我們一般用磁盤來表示存儲設(shè)備）操作，要攔截所有的存儲設(shè)備操作，必須在存儲設(shè)備驅(qū)動程序中進(jìn)行攔截，操作系統(tǒng)的對存儲設(shè)備的訪問形式?jīng)Q定了動態(tài)加解密安全產(chǎn)品的兩大種類：基于文件級的動態(tài)加解密產(chǎn)品和基于磁盤級的動態(tài)加解密產(chǎn)品。


圖1操作系統(tǒng)的存儲設(shè)備訪問模型
3.文件級動態(tài)加解密技術(shù)
在文件系統(tǒng)層，不僅能夠獲得文件的各種信息，而且能夠獲得訪問這些文件的進(jìn)程信息和用戶信息等，因此，可以研制出功能非常強大的文檔安全產(chǎn)品。就動態(tài)加解密產(chǎn)品而言，有些文件系統(tǒng)自身就支持文件的動態(tài)加解密，如Windows系統(tǒng)中的NTFS文件系統(tǒng)，其本身就提供了EFS（Encryption File System）支持，但作為一種通用的系統(tǒng)，雖然提供了細(xì)粒度的控制能力（如可以控制到每個文件），但在實際應(yīng)用中，其加密對象一般以分區(qū)或目錄為單位，難以做到滿足各種用戶個性化的要求，如自動加密某些類型文件等。雖然有某些不足，但支持動態(tài)加密的文件系統(tǒng)在某種程度上可以提供和磁盤級加密技術(shù)相匹敵的安全性。由于文件系統(tǒng)提供的動態(tài)加密技術(shù)難以滿足用戶的個性化需求，因此，為第三方提供動態(tài)加解密安全產(chǎn)品提供了足夠的空間。
要研發(fā)在文件級的動態(tài)加解密安全產(chǎn)品，雖然與具體的操作系統(tǒng)有關(guān)，但仍有多種方法可供選擇，一般可通過Hook或過濾驅(qū)動等方式嵌入到文件系統(tǒng)中，使其成為文件系統(tǒng)的一部分，從某種意義上來說，第三方的動態(tài)加解密產(chǎn)品可以看作是文件系統(tǒng)的一個功能擴展，這種擴展往往以模塊化的形式出現(xiàn)，能夠根據(jù)需要進(jìn)行掛接或卸載，從而能夠滿足用戶的各種需求，這是作為文件系統(tǒng)內(nèi)嵌的動態(tài)加密系統(tǒng)難以做到的。
下面我們以億賽通公司的SmartSec為例，分析一下文件動態(tài)加解密的具體實現(xiàn)方式。圖2給出了SmartSec的實現(xiàn)原理，從中可以看出，SmartSec的動態(tài)加解密是以文件過濾驅(qū)動程序的方式進(jìn)行實現(xiàn)的（位于層次III），同時在應(yīng)用層（層次II）和內(nèi)核層（層次III）均提供訪問控制功能，除此之外，還提供了日志和程序行為控制等功能，這種通過應(yīng)用層和內(nèi)核層相互配合的實現(xiàn)方式，不僅能提供更高的安全性，而且有助于降低安全系統(tǒng)對系統(tǒng)性能的影響。


圖2 SmartSec系統(tǒng)中動態(tài)加解密的實現(xiàn)
4.磁盤級動態(tài)加解密技術(shù)
對于信息安全要求比較高的用戶來說，文件級加密是難以滿足要求的。例如，在Windows系統(tǒng)中（在其它操作系統(tǒng)中也基本類似），我們在訪問文件時，會產(chǎn)生各種臨時文件，雖然這些臨時文件在大多數(shù)情況下，會被應(yīng)用程序自動刪除，但某些情況下，會出現(xiàn)漏刪的情況，即使臨時文件被刪除，但仍然可以通過各種數(shù)據(jù)恢復(fù)軟件將其進(jìn)行恢復(fù)，在實際應(yīng)用中，這些臨時文件一般不會被加密，從而成為信息泄密的一個重要渠道。更進(jìn)一步，即使將臨時文件也進(jìn)行了加密處理，但系統(tǒng)的頁面交換文件等（如Windows的Pagefile.sys等，除文件系統(tǒng)內(nèi)嵌的加密方式外，第三方動態(tài)加解密產(chǎn)品一般不能對系統(tǒng)文件進(jìn)行加密，否則會引起系統(tǒng)無法啟動等故障）也會保留用戶訪問文件的某些信息，從而引起信息的泄密。
有一種方式可以避免上述提到的各種漏洞，那就是將存儲設(shè)備上包括操作系統(tǒng)在內(nèi)的所有數(shù)據(jù)全部加密，要達(dá)到這個目的，只有基于磁盤級的動態(tài)加解密技術(shù)才能滿足要求。靜態(tài)加密技術(shù)在這種情況下，一般無法使用，這是因為操作系統(tǒng)被加了密，要啟動系統(tǒng)，必須先解密操作系統(tǒng)才能啟動，如果采用靜態(tài)加解密方式，只能在每次關(guān)機后將磁盤上的所有數(shù)據(jù)進(jìn)行加密，在需要啟動時再解密磁盤上的所有數(shù)據(jù)（至少也得解密所有的操作系統(tǒng)文件，否則系統(tǒng)無法啟動），由于操作系統(tǒng)占用的空間越來越大，這個過程所需要的時間是難以忍受的。
與靜態(tài)方式不同，在系統(tǒng)啟動時，動態(tài)加解密系統(tǒng)實時解密硬盤的數(shù)據(jù)，系統(tǒng)讀取什么數(shù)據(jù)，就直接在內(nèi)存中解密數(shù)據(jù)，然后將解密后的數(shù)據(jù)提交給操作系統(tǒng)即可，對系統(tǒng)性能的影響僅與采用的加解密算法的速度有關(guān)，對系統(tǒng)性能的影響也非常有限，這類產(chǎn)品對系統(tǒng)性能總體的影響一般不超過10%（取目前市場上同類產(chǎn)品性能指標(biāo)的最大值）。圖3給出了億賽通公司基于磁盤級動態(tài)加解密的安全產(chǎn)品DiskSec的實現(xiàn)原理，從中可以看出，DiskSec的動態(tài)加解密算法位于操作系統(tǒng)的底層，操作系統(tǒng)的所有磁盤操作均通過DiskSec進(jìn)行，當(dāng)系統(tǒng)向磁盤上寫入數(shù)據(jù)時，DiskSec首先加密要寫入的數(shù)據(jù)，然后再寫入磁盤；反之，當(dāng)系統(tǒng)讀取磁盤數(shù)據(jù)時，DiskSec會自動將讀取到的數(shù)據(jù)進(jìn)行解密，然后再提交給操作系，因此，加密的磁盤數(shù)據(jù)對操作系統(tǒng)是透明的，也就是說，在操作系統(tǒng)看來，磁盤上的加密數(shù)據(jù)和未加密的狀態(tài)是一樣的。


圖3磁盤級動態(tài)加解密的實現(xiàn)
5.文件級和磁盤級動態(tài)加密的比較
這兩類加密方法均有各自的優(yōu)點和缺點，磁盤級加密與文件級加密方式相比，主要優(yōu)點是：加密強度高，安全性好。
由于這一級別的加密方式直接對磁盤物理扇區(qū)進(jìn)行加密，不考慮文件等存儲數(shù)據(jù)的邏輯概念，在這種加密方式下，任何存儲在磁盤上的數(shù)據(jù)均是加密的，相反，采用文件級的加密方式一般只對用戶指定的某些文件進(jìn)行加密，而這些文件在用戶日常使用中，由于臨時文件等均會帶來安全隱患。因此，采用磁盤級的加密方式要較文件級的加密方式安全。
磁盤級加密的主要缺點是：不夠靈活方便，適用面比較窄。
與文件級的加密方式不同，由于磁盤級的加密方式?jīng)]有文件、目錄等概念，難以對指定的文件或目錄進(jìn)行加密、隱藏等操作，反之，文件級的加密方式可以采用各種靈活的加密手段，能夠做到更細(xì)粒度的控制，用戶不僅可以指定要加密的文件類型或目錄，同時也可以隱藏某些目錄等。

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。