桂林電子科技大學信息科技學院 翁乾倩

1.前言

隨著計算機的普及和網(wǎng)絡(luò)的發(fā)展，標志了人類社會進入了信息化時代，無紙化辦公系統(tǒng)被越來越多的組織和個人所認可并得到廣泛應(yīng)用；但隨之而來的一個問題就是：人們?nèi)绾伪Ｗo信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。

要解決這個問題方法有兩種，一是封堵信息出口，使之不被泄露出去，阻止非法用戶接觸到信息資源；二是對信息進行加密，使之即使遭到泄露也將處于安全可控狀態(tài)，不被非授權(quán)用戶所讀取。由于信息的傳播和泄露途徑眾多，難以進行完全封堵，因此對信息進行加密存儲是確保信息安全最重要的技術(shù)措施之一，是信息安全的關(guān)健核心技術(shù)[3]。

2.信息加密技術(shù)介紹

數(shù)據(jù)加密的基本過程就是對原來為明文的文件或數(shù)據(jù)采用某種算法進行處理，使其成為一段不可讀的代碼，通常稱為“密文”，只能在輸入相應(yīng)的密鑰之后才能顯示出本來內(nèi)容；該過程的逆過程為解密[1]。透明加解密技術(shù)是近年來針對企業(yè)文件保密需求應(yīng)運而生的一種文件加密技術(shù)。所謂透明，是指對使用者來說是不可見的。當使用者在打開或編輯指定文件時，系統(tǒng)將自動對未加密的文件進行加密，對已加密的文件自動解密。文件在硬盤上是密文，在內(nèi)存中是明文。一旦離開使用環(huán)境，由于應(yīng)用程序無法獲得自動解密的服務(wù)而無法打開，從而起到保護文件內(nèi)容的效果。

透明加解密技術(shù)是與操作系統(tǒng)緊密結(jié)合的一種技術(shù)，它工作于操作系統(tǒng)底層，從技術(shù)角度看，可分為內(nèi)核級加密和應(yīng)用級加密兩類。

2.1 應(yīng)用層加密

應(yīng)用層加密技術(shù)基于Windows操作系統(tǒng)的API hook技術(shù)開發(fā)，通過windows的鉤子技術(shù)，監(jiān)控應(yīng)用程序?qū)ξ募拇蜷_和保存，當打開文件時，先將密文轉(zhuǎn)換后再讓程序讀入內(nèi)存，保證程序讀到的是明文，而在保存時，又將內(nèi)存中的明文加密后再寫入到磁盤中。其本身是跟應(yīng)用軟件有緊密關(guān)系的一種方式，它是通過監(jiān)控應(yīng)用程序的啟動而啟動的，技術(shù)開發(fā)難度小，相對簡單，網(wǎng)絡(luò)操作能力不受限制，但也正是其與應(yīng)用程序緊密相關(guān)性，使其工作的有效性跟應(yīng)用程序的版本聯(lián)系非常緊密，如果版本變化，或應(yīng)用程序名更改，則無法掛鉤，導致加密的失效，同時，由于不同應(yīng)用程序在讀寫文件時所用的方式方法不盡相同，同一軟件不同版本在處理數(shù)據(jù)時也有變化，鉤子透明加密必須針對每種應(yīng)用程序、甚至每個版本進行開發(fā)。另外對于大文件操作時速度較慢，且容易被應(yīng)用軟件誤認為是病毒或者黑客利用hook侵入而終止軟件運行。

2.2 驅(qū)動層加密

驅(qū)動層加密技術(shù)是基于windows的文件系統(tǒng)（過濾）驅(qū)動（IFS）技術(shù)，工作在于windows API函數(shù)的下層。驅(qū)動加密技術(shù)與應(yīng)用程序無關(guān)，當API函數(shù)對指定類型文件進行讀操作時，系統(tǒng)自動將文件解密；當進入寫操作時，自動將明文進行加密。由于工作在受windows保護的內(nèi)核層，運行速度更快，加解密操作更穩(wěn)定和更安全可靠，即使對大文件進行操作也不會死機，但基于Windows操作系統(tǒng)內(nèi)核開發(fā)的驅(qū)動層加密，開發(fā)難度大，對網(wǎng)絡(luò)操作能力，需要專門處理.

3.前景展望

透明加密技術(shù)作為一種新的數(shù)據(jù)保密手段，自出現(xiàn)以來，得到許多信息安全公司的熱捧，也為廣大需要對敏感數(shù)據(jù)進行保密的客戶帶來了希望，市場份額逐年上升；經(jīng)過幾年的實踐和摸索，客戶對安全軟件開發(fā)商提出了更多的要求，為透明加密技術(shù)未來的發(fā)展指出了新的方向。本文就五個方面對透明加密軟件的發(fā)展動向進行了簡要的分析。

3.1 驅(qū)動層加密技術(shù)成為透明加密的主流技術(shù)

應(yīng)用層透明加密技術(shù)和驅(qū)動層加密技術(shù)的特點使得驅(qū)動層透明加密技術(shù)有著更多競爭上的優(yōu)勢，其在加密過程中所體現(xiàn)的穩(wěn)定性、安全性和使用方便性已經(jīng)被使用者所認可，并通過市場手段逐漸展現(xiàn)，加密軟件廠商也將逐步認識到這點，于是將會有越來越多的廠商轉(zhuǎn)而研發(fā)驅(qū)動層加密技術(shù)，促進驅(qū)動層加密技術(shù)發(fā)展。

3.2 高級加密算法(AES256)被普遍使用

加密技術(shù)最明顯的作用就是提供機密性和可靠性[2]，作為DES的替代方案，AES是一個迭代的對稱密鑰分組的密碼，它可以使用128、192和256位密鑰，作為新一代的數(shù)據(jù)加密標準匯聚了強安全性、高性能、高效率、易用和靈活等優(yōu)點，已經(jīng)被多方分析且廣為全世界所使用，也將被越來越多的加密廠商所采用。

3.3 加密控制策略更加靈活，操作更加人性化

在企業(yè)管理越來越人性化的今天，一成不變的強制加密技術(shù)雖然可以控制單位內(nèi)部敏感數(shù)據(jù)泄密，但缺乏靈活性卻飽受垢病，客戶期待能自主、靈活的設(shè)置加密控制策略。比如，雇主需要能打開員工加密的密文，但自已電腦上不加密，又或者單位高層領(lǐng)導可以自主選擇是否對編輯中的文件進行加密，并能自由在強制加密與不加密間切換，這就促使加密軟件廠商對加密控制策略不能局限于強制加密一種手段，而是要更加靈活地進行配制。

3.4 密文自動備份成為必備功能

數(shù)據(jù)存儲是個復(fù)雜的過程。透明加密軟件對Windows操作系統(tǒng)的存儲和讀取進行干預(yù)，難免不會出現(xiàn)這樣那樣的問題，導致加解密過程失敗，甚至對文件造成無法挽回的損失。一旦文件造成無法挽回的破壞、或經(jīng)常出現(xiàn)需要對異常密文進行修復(fù)的情況，將直接影響客戶的正常工作，因此密文的自動備份可以作為預(yù)防措施。

3.5 密文管理精細化

在一些單位，不但要求內(nèi)部數(shù)據(jù)不能外傳，還要在部門間或項目組之間相互保密，而上級部門或領(lǐng)導又要能打開不同部門的密文，這就使得一個單位只有一個密鑰無法滿足需求。于是便要求加密時做到密文分級的管理，使同一單位內(nèi)部擁有多個密鑰，相互不能解密，但通過賦予某一職權(quán)人（如上級領(lǐng)導等）同時擁有多個密鑰，其就可以對相應(yīng)的文件進行加解密操作。

同時，單位內(nèi)部還涉及到不同的人對密文的控制權(quán)限不同，如項目組人員可以編輯相關(guān)的文件，但項目周邊相關(guān)人（如車間主任等）只擁有訪問的權(quán)限，所以在加密中集成權(quán)限管理將是未來用戶的普遍需求。

4.結(jié)論

隨著信息安全被人們?nèi)找嬷匾?，文件保護是最重要的目的。透明加密軟件作為新型安全軟件產(chǎn)品，已經(jīng)得到廣大客戶的認同，市場需求不僅在現(xiàn)有層面上不斷擴大，我們有理由相信，透明加密軟件會象其它軟件一樣，產(chǎn)品會越來越完善，功能定位會越來越明確，并最終成為廣大企業(yè)和個人計算機用戶的“標準配置”軟件。

[1] 張曉新,孫國嶺,楊平等.加密解密實戰(zhàn)超級手冊[M].北京:機械工業(yè)出版社,2010:77.

[2] Harold F.Tipton Micki Krause.信息安全管理手冊(卷II)[M].王越,等譯.北京:電子工業(yè)出版社,2004.282.

[3] 黃月江,祝世雄.信息安全與保密(第2版)—現(xiàn)代與未來戰(zhàn)爭的信息衛(wèi)士[M].北京:國防工業(yè)出版社,2008,11.