数据加密3.0技术多模透明加密技术透视_山丽动态_encrypt

数据加密3.0技术多模透明加密技术透视

——— --山丽防水墙动态透明文件加解密技术

2012/11/8 15:14:33

技术原理：

山丽动态加/密(也称实时加/密，透明加/密等，其英文名为encrypt on-the-fly)，是指数据在使用过程中自动对数据进行加/密或解/密操作，无需用户的干预，合法用户在使用加/密的文件前，也不需要进行解/密操作即可使用，表面看来，访问加/密的文件和访问未加/密的文件基本相同。

对合法用户来说，这些加/密文件是“透明的”，即好像没有加/密一样，但对于没有访问权限的用户，即使通过其它非常规手段得到了这些文件，由于文件是加/密的，因此也无法使用。

由于动态加/密技术不仅不改变用户的使用习惯，而且无需用户太多的干预操作即可实现文档的安全，近年来得到了广泛的应用。

在透明加/密软件的历史发展中，到目前为止经历了三个发展阶段，从最初的加/密1.0环境加/密（引导区加/密）到加/密2.0文件格式加/密直至今日的加/密3.0多模透明加/密，这是一个人们不断认识事物、发现事物的科学过程。

目前社会上兴起的加/密软件核心技术的升级就是指的从1.0的环境加/密技术、2.0的文件格式加/密技术升级到多模透明加/密技术。加/密1.0环境加/密技术因为采取的是引导区加/密，对存储在硬盘上的数据本身并不进行加/密，因此存在天然的硬伤，加/密2.0文件格式加/密因为不能满足对绿色软件、压缩软件加/密以及因为应用程序本身需要升级而带来的加/密技术不断升级的又一个“病毒库”式升级的怪圈而被人们所诟病。加/密3.0多模透明加/密技术因为能够提供文件格式加/密、全盘加/密、目录加/密、反格式加/密、网络加/密而逐渐进入人们的视野并成为现在企业机构选择加/密软件的首选。

从加/密1.0技术、加/密2.0技术升级到加/密3.0技术也是目前企业用户的首选。

运作方式：

山丽防水墙透明加解/密技术通过在文件上打上加/密标签，以保护文件的安全。在这个过程中，使用密钥或者专用加/密硬件作为内容变化的依据。山丽防水墙的透明加/密有别于传统的加解/密技术：它直接运行在操作系统内核中，动态地、自动地加/密文件,将安全性和方便性完美地结合在一起。

自动加解密，对用户透明

加/密策略中含有加/密算法、密钥，规定了文件加/密过程采用什么的方式改变文件的内容以达到保护文件的目的。加/密策略具有不唯一性，即对不同的文件可以采用不同的加/密策略，山丽防水墙同时实现了同一个文件在不同时间的备份采用不同的动态变化的加/密策略。

总之，文件的操作者和平常一样，对文件进行正常操作。他们不会感觉到Windows I/O及底层发生的一切变化。文件经过Windows I/O、透明加/密技术平台和Windows 文件系统的处理，最后存放在磁盘上的文件是经过加/密的。同时，加/密策略（算法、密钥和加/密文件的指定）是内置在透明加/密技术平台中的，由系统管理员集中管理的，文件操作者是无权获取或更改的。

有关密钥：

目前市场上的加/密软件大多采用单一的对称算法，虽然这种加/密方式方便简捷，但是所有文件采用一个密钥容易被破/解是事实，而且，现在有很多厂商的都是代发密钥的，也就是用户使用的密钥都是由厂商提供的，而厂商同样可以把此密钥告诉其它用户，如此一来，文档数据的安全性又少了一层保障。

单一的密钥加/密方式已经没法满足企业日趋增长的数据防泄漏的需要，而“一文一密钥”最大的优势就是密钥形式是动态的，每个文件的密钥都是不一样的。所以被破/解的可能性相当低甚至可以说是零。可以说这样的加/密方式才能给企业带来文件安全和数据防泄漏的坚固保障。所以说“一文一密钥”才能顺应加/密市场不断变化的要求，是加/密软件发展的必然趋势。

技术区别：

山丽防水墙采用基于操作系统内核的处理技术,并不使用Hook技术,满足对不同的软件加/密的需求。目前可以设置成支持所有格式的加/密（全盘加/密，包括绿色软件的加/密，随意压缩格式文件的加/密，所有数据库格式文件的加/密），可以设置成支持特定格式的加/密，可以设置成支持具体目录的加/密等等。一般公司的加/密软件无法支持所有格式的加/密，无法支持绿色软件的加/密，甚至都不能支持特定目录的加/密。

防水墙支持Windows 2000到win7 64位全部操作系统。

根本上来讲，防水墙数据加/密系统（数据防泄漏系统）具有以下重要特点：

1、加/密方式和文件格式无关

山丽防水墙可以支持对所有文件的加解/密，并提供有客户端8种加/密方式，满足现在和将来文件加/密解/密的需求；

因此，山丽防水墙系统可以支持未来的格式加/密。

基于此，山丽信息安全有限公司承诺：

因为文档格式发生变化需要的二次开发才能加/密的，不收取任何费用（该条不受合同时间的约束）。

2、加/密系统和用户的应用系统无关

山丽防水墙系统，可以通过控制台自由设置用户（组）上传到各种应用系统（包括内部网络的mail系统）文件的密文和明文之间的变化。

这种方式，大大提供了用户操作的便捷性，带来的好处就是一个分局和总部之间的交流可以自动变成明文，而不需要再进行任何的申请了。

同时，这种部署，还不会对对网络结构做任何的变更。不会增加用户的实施难度。

3、唯一支持一文一密钥的数据加/密产品

单一的密钥加/密方式已经没法满足企业日趋增长的数据防泄漏的需要，而“一文一密钥”最大的优势就是密钥形式是动态的，每个文件的密钥都是不一样的。所以被破/解的可能性相当低甚至可以说是零。

4、加/密系统全方位支持windows操作系统

山丽防水墙支持win2000到win7的所有系统，支持winxp到win7的所有64位系统，支持win2003到win2008的所有服务端系统。

全方位操作系统的支持，保证了用户的适用和不留死角的部署。

5、加/密系统和域控等第三方系统完美融合

山丽防水墙系统客户端登陆方式支持多种类型，尤其支持和域控的动态结合，用户仅仅需要输入域控账号即可自由的进入系统，大大降低了培训和用户操作的复杂度。

尤其是，降低了管理人员的重复劳动，降低了管理平台的切换复杂度。

其他略。

所用算法：

山丽防水墙按照加/密算法来区分，分为两个版本。商密算法版本、普密算法版本。

商密算法目前采用SM1算法，适用于非国家秘密的用户，SM1(SCB2) 密钥长度128 。

普密版本采用普密算法，适用于保护国家秘密的用户。

在密码保护方面采用RSA非对称算法：密钥长度1024位。

表现形式：

所有产品的密码算法均可替代为符合企业管理需要的。

客户端支持IC卡、USBKey等多种硬件设备保存用户证书，为了增加用户使用的便捷，也可以采用证书透明的处理方法：客户端不用硬件。

技术特色：

山丽防水墙的透明加解/密模块不同于一般市面上所见的加/密技术。

市场上所见的加/密技术，或者是采用了个钩子（Hook）技术、或者采用了驱动技术，但这些软件或者只能达到和文件格式有关，或者实际上是硬盘加/密，市场上许多硬盘如seagate硬盘已经自带硬盘加/密，实际上互联网上已经有了这些加/密软件的破/解工具！而且和文件格式有关的软件无法适应未来的文件格式，更无法解决软件格式被加壳的情况，而互联网上基本有4000余种加壳工具。山丽防水墙完全和文件格式无关，山丽防水墙的透明加解/密模块处于系统内核里面，随系统启动而启动，随系统关闭而关闭。可以应对未来产生的文件格式，更能应对被加壳的文件。

最大的区别是山丽防水墙可加/密的格式和文档格式无关。管理人员可以自由定义用户（组）的加/密模式或策略：全盘加/密、目录加/密、特定格式加/密、特定格式不加/密、自主加/密等。

山丽信息安全有限公司项目实施部

2012-10-30

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属上海山丽信息安全有限公司所有，受到有关产权及版权法保护。任何个人、机构未经上海山丽信息安全有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

山丽、Sanlen、防水墙、数据门卫、Datagate、安铁诺、Antiunknown、环境指纹均是山丽信息安全有限公司的注册商标。

本方案提供商山丽信息安全有限公司(简称“山丽网安”)是信息安全防泄漏产品国家标准的起草者之一；

本方案中提到的数据生命周期管理（DLM：Data Life Management）原创提出者是山丽网安；

本方案提供商山丽网安持有数据防泄密产品国内第一个专利，也是一个奠基性的发明专利。（专利号：ZL 2004 1 0017241.3）专利名称：具有指纹限制的机密文件访问授权系统。（2009年9月19日得到授权）本方案提供商山丽网安持有数据防泄密产品国际专利，也是一个奠基性的发明专利。（专利号：US 7，890，993 B2）专利名称：Secret file access authorization system with fingerprint limitation。（2011年1月15日得到授权）

2011年8月1日本产品获得计算机软件著作权一项，软件名称：山丽防水墙数据防泄漏软件（简称：山丽防水墙）V5.0，登记号：2011SR053635。

2008年8月28日“防水墙”获为中华人民共和国境内之注册商标，注册号：第3875196号。