文件透明加密系统的设计与实现

基于透明加密的云存储文件系统(KEFS)技术文档目录1.系统概述 (2)2.技术实现 (2)2.1系统结构 (2)2.2系统文件构架 (3)2.3工作原理 (3)2.4加密原理 (4)2.5文件过滤驱动实现 (5)2.5.1需要截获的IRP (5)2.5.2获取文件全路径 (6)2.5.3加/解密的判断 (6)2.5.4驱动和用户层程序的通信 (6)3.支持的操作系统 (7)nxxjmpf@1.系统概述KEFS系统是基于IFS文件过滤驱动开发的透明加密文件系统。

基于此系统，进一步应用到本地存储和云存储，实现了本地存储和云存储的透明加密解密，保证数据安全性。

KEFS系统是基于目录的加密系统。

任何在工作目录内的读写操作，都将自动进行解密和加密。

Windows 2003以后，自带了EFS文件加密系统，但是该系统仅支持NTFS文件系统，并且对于本地加密文件的共享很困难，此外，EFS 只是对本地文件的加密，不支持云存储。

而KEFS解决了以上问题。

2.技术实现2.1系统结构2.2系统文件构架KEFS系统由三部分组成：sfilter.sys , KESF.exe , KEFS_Server.exe Sfilter.sys 文件过滤驱动：负责截获系统IO操作，并做加密或解密等操作。

KEFS.exe 系统通信程序：用户身份验证；给sfilter发密钥；和sfilter交换文件数据。

KEFS_Server.exe 服务器程序：和客户端KEFS通信。

服务器上保存的是用户加密过的文件。

2.3工作原理在Windows操作系统中，系统是以层次结构设计的。

一般的文件操作（打开、读、写、关闭等）都是通过调用系统API来完成。

对于某一个文件操作API，会将请求下发给文件驱动，再由文件驱动下发请求，当文件操作完成后，返回数据将先上传给文件驱动，然后文件驱动进一步上传给用户层，由此一个API操作完成。

由此，我们开发一个文件过滤驱动sfilter，这个驱动套在系统文件驱动层之上。

文件加密系统设计与实现摘要：该文论述了数据加密的原理与方法，介绍了几种常见的加密算法并在此基础之上比较了常用的加密算法的优缺点，在掌握了这几种算法的基础之上，对比对称密钥加密体制和公共密钥密码体制的优缺点以及前面的两个需求，最终利用DES算法和RSA算法来设计和实现自己的加密系统。

该文详细的介绍了理论原理并详细记录了系统设计与实现过程。

关键词：密码学；DES算法；RSA算法；加密系统设计中图分类号：TP311文献标识码：A文章编号：1009-3044(2011)14-3299-03Design and Implementation of a Encrypting File SystemLIN Pei-tong(Guangdong Food and Drug Vocational Technical School, Guangzhou 510663, China)Abstract: After mastery these types of algorithms, compared the advantages and disadvantages between the Symmetrical cryptograph and nonsymmetrical cryptograph, as well as consider the two demands in front, at last decide use DES algorithm and the RSA algorithm to design and realize myencryption system. In this article, Detail the theoretical principles of Cryptographic and note the detailed of design and realize process..Key words: cryptography; DES; RSA; design1 绪言随着Internet的发展人类已经步入信息时代，在信息时代，信息安全问题越来越重要。

亿赛通文档透明加密系统SmartSec3.0Copyright © 2009 ESAFENET Corporation BeiJing P. R. ChinaESAFENET CONFIDENTIAL: This document contains proprietary information ofESAFENET Corporation and is not to be disclosed orused except in accordance with applicableagreements.Due to update and improvement of ESAFENETproducts and technologies，information of thedocument is subjected to change without notice.目录1.研发背景 (3)2.设计理念 (4)3.核心优势 (6)4.产品概述 (6)5.产品靓点 (13)6.运行环境 (15)1.研发背景随着计算机和网络技术的飞速发展，越来越多的信息以电子形式存储在个人和商用电脑中，并且通过网络进行广泛地传递，在大量的信息存储和交换中，信息的安全问题越来越引起人们的重视。

企业一般有着完善的书面文档涉密管理制度，并且由单独的文控中心负责制订、监督、审计企业内部重要情报信息使用状况，亦达到了很好的效果。

而电子文档却都以明文方式存储在计算机硬盘中，电子格式存储的重要情报信息却由于传播的便利性和快捷性，对分发出去的文档无法控制，极大的增加了管理的复杂程度，这部分的资产极易于受到损害，那就是明文泄密！按照对电子信息的使用密级程度和传播方式的不同，我们将信息泄密的途径简单归纳为如下几方面：➢由电磁波辐射泄漏泄密(传导辐射、设备辐射等)这类泄密风险主要是针对国家机要机构、重要科研机构或其他保密级别非常高的企、事业单位或政府、军工、科研场所等，由于这类机构具备有非常严密的硬保密措施，只需要通过健全的管理制度和物理屏蔽手段就可以实现有效的信息保护。

eCryptfs（Enterprise Cryptographic Filesystem）是一个加密文件系统，它在Linux内核中实现了透明的加密和解密文件的功能。

它的实现原理如下：
1. 加密密钥生成：eCryptfs使用用户的登录密码作为主密钥，通过密码学算法生成一个加密密钥。

这个加密密钥用于加密和解密用户的文件。

2. 加密文件系统：eCryptfs在文件系统层面上创建了一个加密的虚拟文件系统。

当用户将文件写入eCryptfs文件系统时，文件会被自动加密并存储在磁盘上。

当用户读取文件时，文件会被自动解密并返回给用户。

3. 加密文件名和目录：除了文件内容的加密，eCryptfs还会对文件名和目录名进行加密。

这样可以保护用户的文件和目录结构不被泄露。

4. 透明加密：eCryptfs的加密和解密过程对用户是透明的，用户可以像使用普通文件系统一样使用eCryptfs文件系统，不需要额外的操作。

5. 加密密钥的保护：eCryptfs会将加密密钥存储在用户的
内存中，并使用Linux内核的安全机制来保护密钥不被恶意程序获取。

当用户注销或系统关闭时，加密密钥会被清除，确保密钥不会被泄露。

总的来说，eCryptfs通过在文件系统层面上实现加密和解密的功能，保护用户的文件和目录不被未经授权的访问。

它提供了一种简单而有效的方式来保护用户的数据安全。

基于Windows系统透明加密解技术的设计与实现作者：宋雪莲来源：《信息安全与技术》2013年第07期【摘要】随着信息时代的到来，信息安全问题越来越引起人们的重视。

除了要抵御来自外界的攻击和破坏，还要防止来自内部的有意或无意的信息泄漏。

为解决日益突出的信息安全问题。

本文在分析Windows平台下几种文件透明加密技术的基础上，设计并实现了一种基于文件过滤驱动技术文件透明加密系统。

【关键词】信息安全；透明加解密；过滤驱动1 引言随着计算机的普及和企事业单位信息化应用的深入，电子文档成为企业信息交换的重要载体。

但是由于其容易被复制、修改和传播等特点，可能会面临着巨大的安全风险。

因此很多公司在办公室电脑上封闭USB口来防止员工将重要文件拷贝出去，还有的禁止办公电脑接入互联网。

这些做法在一定程度上降低了内部泄密风险，但也给日常化办公带来了很大的不便。

如何在网络办公带来高效便捷的同时，又保护了数据信息的安全，在此种情况下一种全新的电子文档安全技术应运而生，即透明加解密技术。

2 透明加密相关技术透明加密技术是与操作系统紧密结合的一种技术，工作于操作系统底层。

通过监控应用程序对文件的操作，在读写文件时进行相应的加解密操作，从而达到有效保护文件的目的。

透明加密技术分为用户级的HOOK技术与内核级的WDM（Windows Driver Model）内核设备驱动两种方式。

HOOK透明加密技术，即俗称的“钩子”，主要通过HOOK API的方式来实现。

HOOK API 的基本原理就是修改一些API的入口地址，使所有对这些API的调用都先跳转到事先定义的函数中去，因此，通过HOOK一些常用的文件访问函数就可以事先捕获文件的读写操作从而完成加解密操作。

驱动加密技术是基于Windows文件系统（过滤）驱动（IFS）技术，工作在操作系统的内核层。

其实现方式主要是当应用程序对目标文件进行操作时，文件系统驱动会监控到应用程序的操作请求，并改变其操作方式，从而达到透明加密的效果。

透明计算机网络系统的设计与实现近年来，随着互联网的快速发展和普及，人们对于信息的安全性、隐私性和可信度越来越高。

在这样的背景下，一个更加透明和安全的计算机网络系统成为了许多人的追求。

本文将介绍一种透明计算机网络系统的设计与实现。

一、需求分析在设计透明计算机网络系统之前，我们需要先进行需求分析。

一个透明的网络系统应该具备什么样的特点？主要需求如下：1. 安全保证：透明网络系统应该能够对网络传输的数据进行加密和解密，确保数据传输的安全性和可靠性。

2. 数据隐私保护：数据隐私是现代网络系统中最为重要的问题之一。

透明网络系统应该能够保护用户的数据隐私，防止数据被窃取或篡改。

3. 可信度：透明网络系统应该具有高度的可信性，用户可以在网络中进行安全地交流、传输文件等操作。

4. 速度和响应能力：透明网络系统应该拥有较快的速度和响应能力，用户可以在网络中快速地进行操作，并且不会出现网络延迟或卡顿等问题。

二、透明网络系统的设计在进行透明网络系统的设计时，需要参照前面提到的需求分析，以此作为设计的基础。

在设计透明网络系统时，需要考虑以下几个方面：1. 架构设计透明网络系统的设计可以采用分层架构，分为应用层、传输层、网络层和物理层。

应用层处理与用户交互的数据，传输层主要负责数据包的传输、网络层负责路由和地址管理，物理层负责处理物理信号传输等。

2. 加密算法透明网络系统应该采用高强度的加密算法，例如AES加密算法、RSA加密算法等，以此来保证数据的安全传输和隐私保护。

3. 认证机制透明网络系统应该建立用户身份认证机制，用户在使用网络服务时需要进行身份认证，只有认证通过才能够进行数据传输、文件共享等操作，这可以保证系统的安全性和可靠性。

4. 分布式架构透明网络系统应该采用分布式架构，将系统的服务进行分散部署，从而增加系统的健壮性和扩展性，降低单点故障带来的影响。

三、透明网络系统的实现在进行透明网络系统的实现时，需要采用最新的技术和工具，以此来保证系统的稳定性和可靠性。