动态透明加解密技术分析与产品选型

全湾－TRUSTVIEW 电子文档安全管理系统产品白皮书V4.0上海全湾信息科技有限公司2012年11月著作权声明© 2008-2012著作权属于上海全湾信息科技股份有限公司所有，并保留一切权利。

上海全湾信息科技股份有限公司对本文档内容拥有商标权、著作权、专利权及其它一切相关知识产权，未经本公司书面同意，不得以任何形式复制、仿制或以任何其它方式公布白皮书内容信息。

本文档中可能包含技术上或其它误差或印刷的错误，本公司将保留变更的权利，而不需事先通知。

Microsoft、Windows、Office系列产品、SQL Server均为微软公司的注册商标。

Adobe、Acrobat、Adobe PDF图志均为Adobe Systems Incorporated的注册商标或商标。

Oracle为甲骨文公司的注册商标。

AutoCAD 为 Autodesk, Inc. 的注册商标。

Pro/ENGINEER 为 Parametric Technology Corporation 公司的注册商标。

本文档中所提到的其它产品名称分别属于其各自所有者的商标或注册商标。

目录1研发背景 (4)2产品简介 (4)3设计理念 (4)4TRUSTVIEW概要说明 (5)4.1 系统架构说明 (5)4.2 加密设计原理及模块介绍 (6)4.2.1 TrustView设计原理 (6)4.2.2 TrustView模块介绍 (7)5产品基本功能介绍 (8)6产品特点 (12)7TRUSTVIEW的技术优势 (14)8系统环境要求 (16)8.1 服务器端系统环境要求 (16)8.2 客户端系统环境要求 (16)1研发背景随着信息化的发展，绝大多数企业都在最大限度的利用信息技术以提高企业的运营效率。

企业的各种技术资料和重要信息如设计图纸、财务报表、项目文档、产品技术参数等，都是以电子信息的形式运行在企业的内部网络中。

为了保障各类信息的安全，企业已经设置了各种保障方式，如通过设置防火墙、入侵检测、防病毒等边界安全设备，将大量来自外部的入侵和攻击进行了有效阻止和屏蔽。

上海交通大学硕士学位论文文件加密解密算法研究与实现——基于USBKEY的文件加密解密方案姓名：丁晨骊申请学位级别：硕士专业：计算机技术指导教师：邱卫东;沈亦路20091201文件加密解密算法研究与实现——基于USBKEY的文件加密解密方案摘 要随着信息社会的到来，人们在享受信息资源所带来的巨大便利的同时，也面临着信息安全问题的严峻考验。

如何实现对企业重要信息的加密，防止企业机密信息的泄漏，提高内部机要文件存放的安全性，是当前信息安全领域的一个重要课题。

本文的主要研究内容是文件加密系统的解决方案中文件的加密算法和密钥管理。

首先，论文对现有四种加密方式进行了深入研究，详细分析了这四种加密方式在使用技术、密钥管理及安全强度方面的优缺点及其具体适用环境。

对现有文件加密系统方案的合理性进行了评估、分析和比较。

其次，本文提出了一种安全有效的文件加密方案，其中主要工作有两大部分：１．针对原使用加密算法单一，加密强度不高进行了改进，并基于混合型加密原理作为本文提出文件加密方案的主要手段。

与改进前相比，新方案在文件加密强度上有了较大的提高，消除了原加密体制存在的诸多安全威胁。

２．设计了独立的密钥管理系统，将密钥管理和密码钥匙盘（USBKEY）相结合，在抗模拟接口、抗跟踪软件能力上有很大的提高，将密钥和密文彻底分离，大大提高了密钥的安全性。

最后本文对所提出的加密系统的内存加密数据速度以及文件加密速度进行了测试。

分别将一个文件631KB和3MB的文件进行了加解密的测试，测试结果表明本文提出的文件加密系统具有较好的性能，具有较大的实用性。

关键词：密码体制；DES；RSA；USB；加密；ABSTRACTWith the advent of the information society, people enjoying the tremendous information resources to facilitate the same time, also faces a severe test of information security issues. How to achieve business critical information on encryption, to prevent enterprises from the leakage of confidential information to improve the security of internal confidential document repository, and is the current information security is an important issue.The main research contents of this file encryption system, the solution file encryption algorithm and key management. First, the papers on the existing four kinds of encryption methods conducted in-depth research, detailed analysis of these four kinds of encryption methods in the use of technology, key management and security strength of the strengths and weaknesses and their practical application in the environment. On the existing file encryption system, the rationality of the program were assessed, analysis and comparison.Secondly, this paper presents a safe and effective file encryption program, which has two main parts: 1. For the original use of a single encryption algorithm, encryption is not high intensity has been improved, and is based on principles of hybrid encryption file encryption program, as proposed in this paper the principal means. And improved compared to before the new package file encryption intensity has been greatly improved, eliminating many of the original encryption system, there is a security threat. 2. Designed to separate key management system, key management and cryptographic keys, disk (USBKEY) combined in the anti-analog interface, the ability of anti-tracking software have greatly improved, would be key and cyphertext complete separation, greatly increased of the key security.Finally, the paper for the proposed encryption system to encrypt data rate memory, as well as file encryption speed tested. , Respectively, a 631KB file, and 3MB of file encryption and decryption of the test, the test results show that the file encryption system proposed in this paper has good performance, with great practicality.Keywords: cryptography; DES; RSA; USB; encryption第一章 绪 论1.1立题的意义由于公司经常有一些商业电子文档，要对这些商业文档进行保密。

基于Windows系统透明加密解技术的设计与实现作者：宋雪莲来源：《信息安全与技术》2013年第07期【摘要】随着信息时代的到来，信息安全问题越来越引起人们的重视。

除了要抵御来自外界的攻击和破坏，还要防止来自内部的有意或无意的信息泄漏。

为解决日益突出的信息安全问题。

本文在分析Windows平台下几种文件透明加密技术的基础上，设计并实现了一种基于文件过滤驱动技术文件透明加密系统。

【关键词】信息安全；透明加解密；过滤驱动1 引言随着计算机的普及和企事业单位信息化应用的深入，电子文档成为企业信息交换的重要载体。

但是由于其容易被复制、修改和传播等特点，可能会面临着巨大的安全风险。

因此很多公司在办公室电脑上封闭USB口来防止员工将重要文件拷贝出去，还有的禁止办公电脑接入互联网。

这些做法在一定程度上降低了内部泄密风险，但也给日常化办公带来了很大的不便。

如何在网络办公带来高效便捷的同时，又保护了数据信息的安全，在此种情况下一种全新的电子文档安全技术应运而生，即透明加解密技术。

2 透明加密相关技术透明加密技术是与操作系统紧密结合的一种技术，工作于操作系统底层。

通过监控应用程序对文件的操作，在读写文件时进行相应的加解密操作，从而达到有效保护文件的目的。

透明加密技术分为用户级的HOOK技术与内核级的WDM（Windows Driver Model）内核设备驱动两种方式。

HOOK透明加密技术，即俗称的“钩子”，主要通过HOOK API的方式来实现。

HOOK API 的基本原理就是修改一些API的入口地址，使所有对这些API的调用都先跳转到事先定义的函数中去，因此，通过HOOK一些常用的文件访问函数就可以事先捕获文件的读写操作从而完成加解密操作。

驱动加密技术是基于Windows文件系统（过滤）驱动（IFS）技术，工作在操作系统的内核层。

其实现方式主要是当应用程序对目标文件进行操作时，文件系统驱动会监控到应用程序的操作请求，并改变其操作方式，从而达到透明加密的效果。

机械设计方案目录一、内容综述 (3)1.1 设计背景与意义 (4)1.2 设计目标与要求 (5)1.3 设计范围与内容 (6)二、需求分析 (7)2.1 用户需求调研 (9)2.2 功能需求分析 (10)2.3 性能需求分析 (11)2.4 安全与可靠性需求分析 (12)三、方案设计 (13)3.1 总体方案设计 (14)3.1.1 结构方案设计 (15)3.1.2 传动方案设计 (16)3.1.3 控制方案设计 (17)3.2 详细设计方案 (19)3.2.1 结构详细设计 (20)3.2.2 传动详细设计 (21)3.2.3 控制详细设计 (22)四、方案评价与优化 (23)4.1 方案评价指标体系 (24)4.1.1 功能性评价指标 (26)4.1.2 性能性评价指标 (26)4.1.3 可靠性与安全性评价指标 (27)4.2 方案优化建议 (28)4.2.1 结构优化建议 (29)4.2.2 传动优化建议 (31)4.2.3 控制优化建议 (32)五、实施计划与风险管理 (33)5.1 实施计划 (35)5.1.1 设计阶段计划 (36)5.1.2 制造阶段计划 (38)5.1.3 安装与调试阶段计划 (38)5.2 风险管理 (39)5.2.1 风险识别与评估 (40)5.2.2 风险防范与控制 (41)5.2.3 风险应对措施 (42)六、总结与展望 (43)6.1 设计成果总结 (45)6.2 存在问题与不足 (45)6.3 未来发展趋势与展望 (46)一、内容综述本机械设计方案旨在为用户提供一种高效、稳定、安全的机械设备解决方案，以满足其生产、加工和运输等方面的需求。

本方案涵盖了从设计原理、结构布局、功能模块到系统集成等各个方面，力求在保证性能优越的同时，降低成本并提高可靠性。

本设计方案首先对用户的需求进行了详细的调研和分析，充分了解了用户的生产工艺、操作要求和设备使用环境等因素，以便为其提供最合适的解决方案。

信息防泄密软件选型报告企业管理咨询公司、市场研究公司，具有典型的数据密集型、知识密集型之特点。

随着互联网的高速发展，信息流动（信息获取、信息泄密）的形式越来越多样化，获取有价值的数据信息已成为各类攻击者的主要目标。

依靠传统的边界防护措施已无法完全保护华夏经纬内部的数据资产安全，加强数据资产自身安全迫在眉睫。

为积极有效维护我集团内部数据资产安全，数据部在去年年底就已着手集团数据安全规划与建设工作，经过对数据加密软件厂商的摸底、考察、测试等前期准备工作，现简报如下。

一、防泄密软件的安全性1、防泄密软件的设计思想●事前主动防御：文件在创建、编辑、保存时自动加密，能保证存放在硬盘上的文件是密文，防止主动泄密。

指定类型的文件能自动备份，防止恶意删除。

●事中全程控制：对信息泄密的各种途径都做了有效控制，比如：剪切板加密、禁止OLE、禁止打印、禁止截屏等，同时只有受保护的程序才能读取密文。

●事后有据可查：能详细记录文件的各种操作行为，包括新建、编辑、打开、复制、删除、重命名等，支持网络共享操作以及对可移动磁盘的操作。

记录用户的计算机操作行为，给事后追查提供依据。

2、密钥的安全性加密文件的安全由算法和密钥来保证。

加密算法一般都是采用国际流行的安全性高的算法，这些算法都是公开的，所以确切的说加密算法的安全性真正依赖的是密钥。

防泄密软件的密钥是否安全应该解决以下问题：要保证不能够搭建出两套一样的软件环境，也就是要保证不同企业能有不同的加密密钥，确保不同的企业即使安装相同的加密软件，也无法打开彼此加密的文件。

要保证厂商即使获取到密文也无法解密。

很多防泄密软件，企业无法自己设置密钥。

厂商拿到了密文后，只要根据软件本身的特征就可以进行破解，这样子的防泄密软件形同虚设，无法真正的保护企业的信息安全。

如果密钥泄露，要有补救的措施，比如说密钥能够了支持更改，这样密钥泄密了，企业可以方便的更换。

3、泄密途径的管控泄密途径控制的好坏，是考察防泄密软件的一个重点。

一、关于敏捷安全卫士管理系统的加密原理及技术体系敏捷安全卫士管理系统是采用经国家密码管理局批准的SCB2密码算法，最高加解密速度可达1.4Gbps；采用高安全强度的智能卡技术，双芯片解决方案，支持有驱动与无驱动两种模式。

(一)、SZD13-ASZD13-A是采用单芯片技术，无需外接USB芯片就可以独立完成高速的通讯运算，主要功能实现与SZD13智能密码钥匙基本一致。

芯片采用32位RISC处理器，5级流水指令，高处理能力。

采用RSA运算协处理器，可实现高速RSA密钥生成及签名认证，USB通信采用批量传输，符合USB1.1协议，传输速度快。

实现了RSA公钥算法以及国家密码管理局批准认可的SSF33对称算法，比SZD13智能密码钥匙运算速度及性能指标高，实现了智能KEY通用开发接口，可以应用于各类网络中的客户端以及一些安全性要求较高的场合，例如金融、税务、证券、电子商务、电子政务、系统集成、VPN等行业及领域。

(二)、SZD13-B/SZD13-C1.SZD13-B ：我敏捷科技股份有限公司申报的就是“SZD13－A智能密码钥匙改进型”，已通过了国家密码管理局的产品测试与安审，被正式命名为“SZD13-B智能密码钥匙”，SZD13-B智能密码钥匙采用SCB2算法，属城乡通信专用型。

2.SZD13-C用于通用领域的SZD13-B智能密码钥匙，该款产品采用SCB2通用型算法，主要通过基于32位RISC处理器的芯片完成，5级流水指令，高处理能力；RSA运算协处理器，可实现高速RSA密钥生成及签名认证。

USB通信采用批量传输，符合USB1.1协议，传输速度快。

可广泛应用于金融、税务、证券、电子商务、电子政务、系统集成、VPN等行业及领域。

(三)、SZD13-D/SZD13-E同时支持SSF33算法及SCB2算法的智能密码钥匙产品，通过了国家密码管理局的审查、测试，分别被命名为“SZD13-D智能密码钥匙”和“SZD13-E智能密码钥匙”。

时代亿信认证墙-UAP统一认证与访问控制产品3.1 产品简介UAP统一认证与访问控制产品(以下简称UAP产品)集数字证书、动态口令、指纹、短信等强身份认证方式于一身，是一个针对B/S、C/S架构应用系统的强身份认证及资源整合解决方案，对各类信息系统均可提供统一认证、单点登录、用户授权和统一身份管理功能，可统一制定企业安全策略，有效降低企业应用系统管理维护量，提高系统安全水平。

UAP统一认证与访问控制产品还可作为企业内部应用系统、服务器主机、网络设备等资源的访问控制入口，基于包过滤技术，集成强身份认证、会话审计、集中管理等功能,对企业内部用户应用访问进行访问控制和会话审计，实现网络资源分级管理，对访问机密数据库等密级较高的网络资源进行隔离保护，完全杜绝内网信息安全问题。

3.2 产品功能介绍UAP统一认证与访问控制产品提供全面的认证、授权和审计服务。

支持多种认证方式，包括：数字证书、动态口令、指纹、短信等强认证方式及临时口令、用户名口令等普通认证方式。

3.2.1 身份认证3.2.1.1. 数字证书认证基于PKI理论体系，采用CA数字证书和加密签名等技术进行身份识别，完成敏感信息以密文形式在网络中传输，企业应用可利用数字信封、数字签名等非对称密钥加密技术，实现对用户身份的认证以及网上信息传送的保密性、完整性、真实性和不可否认性；无缝集成ETCA、CTCA、CFCA，同时支持第三方CA；支持智能卡形态及软证书形态；集成了证书申请、下载、重新申请、吊销等操作。

3.2.1.2. 动态口令认证采用国际OATH联盟标准技术算法，每隔30/60秒钟或每触发一次动态生成一个随机的、单次使用的6/8位口令，与系统范围内合法用户的令牌信息作同步信任认证运算对照，构成一个安全、可靠的认证系统，保护计算机网络授权用户的合法利益，避免系统或网络受到非授权用户的非法访问；原样机令牌通过国家标准（GB/T2423）例行试验及欧盟CE认证和美国FCC认证，并通过防震、防潮、抗静电、高低温、湿热、振动、自由跌落、抗电磁干扰等型式试验；集成了令牌同步、激活、替换等操作。