加密技術(shù)是利用數(shù)學(xué)或物理手段，對(duì)電子信息在傳輸過(guò)程中或存儲(chǔ)設(shè)備內(nèi)的數(shù)據(jù)進(jìn)行保護(hù)，以防止泄漏的技術(shù)。在信息安全技術(shù)中，加密技術(shù)占有重要的地位，在保密通信、數(shù)據(jù)安全、軟件加密等均使用了加密技術(shù)。常用的加密算法有DES系列(包括DES和3DES)，RC系列(常用的有RC4和RC6)和AES等對(duì)稱加密算法(加密密鑰和解密密鑰相同或相似)以及RSA等非對(duì)稱加密算法。除此此外，還有用于獲取信息摘要的MD5等。這些常用的加密算法，只要設(shè)置合適的密碼，在現(xiàn)有的計(jì)算機(jī)技術(shù)條件下，一般均可滿足安全性要求，但不同的加密算法，需要的計(jì)算量有很大的不同。對(duì)于文檔安全加密系統(tǒng)，加密算法是整個(gè)系統(tǒng)的核心，其選擇的依據(jù)一般根據(jù)系統(tǒng)的安全性要求進(jìn)行確定，在滿足安全性要求的前提下，盡可能選用速度快的加密算法，在條件容許的情況下，可以采用硬件的方式對(duì)數(shù)據(jù)進(jìn)行加密(如直接利用安全芯片提供的加密算法進(jìn)行加密等)。
　　1. 文檔安全中的加密技術(shù)
　　雖然加密算法是文檔安全系統(tǒng)的核心，但加密算法以何種方式進(jìn)行實(shí)現(xiàn)，是決定文檔安全系統(tǒng)的關(guān)鍵。在文檔安全系統(tǒng)中，常用的實(shí)現(xiàn)方式有靜態(tài)加密方式和動(dòng)態(tài)加密方式，靜態(tài)加密是指在加密期間，待加密的數(shù)據(jù)處于未使用狀態(tài)(靜態(tài))，這些數(shù)據(jù)一旦加密，在使用前，需首先通過(guò)靜態(tài)解密得到明文，然后才能使用。目前市場(chǎng)上許多加密軟件產(chǎn)品就屬于這種加密方式。
　　與靜態(tài)加密不同，動(dòng)態(tài)加密(也稱實(shí)時(shí)加密，透明加密等，其英文名為encrypt on-the-fly)，是指數(shù)據(jù)在使用過(guò)程中(動(dòng)態(tài))自動(dòng)對(duì)數(shù)據(jù)進(jìn)行加密或解密操作，無(wú)需用戶的干預(yù)，合法用戶在使用加密的文件前，也不需要進(jìn)行解密操作即可使用，表面看來(lái)，訪問(wèn)加密的文件和訪問(wèn)未加密的文件基本相同，對(duì)合法用戶來(lái)說(shuō)，這些加密文件是“透明的”，即好像沒(méi)有加密一樣，但對(duì)于沒(méi)有訪問(wèn)權(quán)限的用戶，即使通過(guò)其它非常規(guī)手段得到了這些文件，由于文件是加密的，因此也無(wú)法使用。由于動(dòng)態(tài)加密技術(shù)不僅不改變用戶的使用習(xí)慣，而且無(wú)需用戶太多的干預(yù)操作即可實(shí)現(xiàn)文檔的安全，因而近年來(lái)得到了廣泛的應(yīng)用。
　　由于動(dòng)態(tài)加密要實(shí)時(shí)加密數(shù)據(jù)，必須動(dòng)態(tài)跟蹤需要加密的數(shù)據(jù)流，而且其實(shí)現(xiàn)的層次一般位于系統(tǒng)內(nèi)核中，因此，從實(shí)現(xiàn)的技術(shù)角度看，實(shí)現(xiàn)動(dòng)態(tài)加密要比靜態(tài)加密難的多，需要解決的技術(shù)難點(diǎn)也遠(yuǎn)遠(yuǎn)超過(guò)靜態(tài)加密。
　　2. 文檔安全加密系統(tǒng)的實(shí)現(xiàn)層次
　　在現(xiàn)代操作系統(tǒng)中，文件的操作均通過(guò)文件系統(tǒng)進(jìn)行，雖然不同的操作系統(tǒng)支持的文件系統(tǒng)不同，但對(duì)文件的訪問(wèn)方式基本相同，在Windows系統(tǒng)中，文件系統(tǒng)是以設(shè)備驅(qū)動(dòng)程序形式存在的。Windows的設(shè)備驅(qū)動(dòng)程序采用分層方式，允許在應(yīng)用程序和硬件之間存在多個(gè)驅(qū)動(dòng)程序?qū)哟危渲羞^(guò)濾驅(qū)動(dòng)程序是一種特殊類(lèi)型的中間驅(qū)動(dòng)程序，它們位于其它驅(qū)動(dòng)程序的上層或下層，截獲發(fā)送給低層驅(qū)動(dòng)程序設(shè)備對(duì)象的請(qǐng)求，在請(qǐng)求到達(dá)低層驅(qū)動(dòng)程序之前，過(guò)濾驅(qū)動(dòng)程序可以更改該請(qǐng)求，而低層驅(qū)動(dòng)程序完全不知道在其上層驅(qū)動(dòng)中發(fā)生的一切操作。圖1給出了Windows系統(tǒng)中的文件操作流程，其中層次I和II屬于應(yīng)用層;層次III和IV屬于操作系統(tǒng)內(nèi)核層。從中可以看出，一個(gè)應(yīng)用程序(I層)在發(fā)出文件操作請(qǐng)求時(shí)，需要經(jīng)過(guò)操作系統(tǒng)提供的API層(II層)、文件過(guò)濾驅(qū)動(dòng)程序?qū)?III層)和文件系統(tǒng)層(IV層)才能訪問(wèn)文件，由此可知，文檔安全加密系統(tǒng)也只能在這四個(gè)層次上進(jìn)行實(shí)現(xiàn)。
　　文件系統(tǒng)的這種組織結(jié)構(gòu)決定了文檔安全加密系統(tǒng)的實(shí)現(xiàn)方式，在數(shù)據(jù)從應(yīng)用程序訪問(wèn)文件所經(jīng)過(guò)的每個(gè)層次中，均可對(duì)訪問(wèn)的數(shù)據(jù)實(shí)施加密/解密操作，由于層次I只能獲取應(yīng)用程序自身讀寫(xiě)的數(shù)據(jù)，其他應(yīng)用程序的數(shù)據(jù)不經(jīng)過(guò)該層，因此，在層次I中只能實(shí)現(xiàn)靜態(tài)加密，無(wú)法實(shí)現(xiàn)動(dòng)態(tài)加密;即使是層次II，也并不是所有文件數(shù)據(jù)均通過(guò)該層，但在該層可以攔截到各種文件的打開(kāi)、關(guān)閉等操作。因此，在應(yīng)用層實(shí)現(xiàn)的動(dòng)態(tài)加解密產(chǎn)品無(wú)法真正做到“實(shí)時(shí)”加密/解密操作，一般只能通過(guò)其他變相的方式進(jìn)行實(shí)現(xiàn)(一般均在層次II進(jìn)行實(shí)現(xiàn))。例如，在應(yīng)用程序打開(kāi)文件時(shí)，先直接解密整個(gè)文件或解密整個(gè)文件到其他路徑，然后讓?xiě)?yīng)用程序直接(重定向)訪問(wèn)這個(gè)完全解密的文件，而在應(yīng)用程序關(guān)閉這個(gè)文件時(shí)，再將已解密的文件進(jìn)行加密。其實(shí)質(zhì)是靜態(tài)加解密過(guò)程的自動(dòng)化，并不屬于嚴(yán)格意義上的動(dòng)態(tài)加密。
　　只有在層次III和IV中才能攔截到各種文件操作，因此，真正的動(dòng)態(tài)加解密產(chǎn)品只能在內(nèi)核層進(jìn)行實(shí)現(xiàn)。
　　

　　圖1 Windows系統(tǒng)中文件的操作流程

最新評(píng)論