环境加密、格式加密及多模透明加密软件

 环境加密文件格式加密有本质区别

环境加密是国内某厂家采用软件实现的效果来传递的概念，所有的加密软件都可以实现一种在本地是“明文”，但发出去是非法用户无法使用的密文的效果。

格式加密的实质，是将文件在本地进行了“内容”级别的加密，因此，数据在硬盘的数据区就是以密文形式体现的（在合法环境中，用户打开还是明文）。

环境加密的实质，是将硬盘的引导区进行了加密，数据本身不进行任何的加密，这样。

在环境加密产品中，在硬盘将引导区重构后（或者使文件恢复工具）即可将数据的密文恢复为明文。

另外，环境加密还有一个严重的问题，一旦产品出现问题，硬盘的整个引导区将会被损坏，也就意味着这个硬盘数据全部找不到了。因为这种技术不对数据进行加密，因此，硬盘送到恢复中心还是能恢复出来许多的，至于恢复的数量就看采用的恢复工具的性能了。

因此，环境加密是透明加密厂商初始时候采用的加密技术，目前，绝大多数厂家已经抛弃了这种技术。但因为技术根本性技术的迁移是需要代价的，国内目前还有极少量的厂商采用此技术。

环境加密技术因为自身的局限性，往往就会要求用户在使用这种加密模式的时候，希望用户不能上外网，在功能体现上就是给用户提供了所谓的工作模式和个人模式。

因此，环境加密和格式加密的最本质区别就在于数据是否真正的加密：环境加密不对数据本身加密，存在严重的安全隐患，格式加密支持对数据本身的加密，没有加密上的根本性隐患。

当出现软件损坏文件的故障的时候，环境加密损坏的将是整个硬盘数据，格式加密可能会对当前正在编辑的某篇文档产生影响。

所谓的工作模式和个人模式即用户登录普通模式时可接入互联网，但不能接入到企业内部受管理的数据服务器和业务系统之中；切换到工作模式后，即进入保密数据工作环境，此时只能接入内网受管理的数据服务器和业务系统，同时将自动切断除内部系统之外的网络通信和移动存储设备等数据交换方式。系统一般可强制用户打开计算机后只能进入工作模式（这也意味着该用户不能上网）。

而真正的数据加密则完全不受这种条件的限制，即可以实现工作模式和个人模式，系统同时还能支持第三种模式，即用户在接入内网受管理的数据服务器和业务系统时候，同时也和互联网保持通讯，但这个时候所有外发的文件还是秘文，并不会产生任何的数据泄密。

 一文一密钥中的密钥和主密钥之间的关系

加密产品中，密钥的产生是一个关键的问题。

在有的加密厂商公司的售出的产品中，系统的主密钥是该加密厂商公司来发放的，用户所有的文件加密均采用这个加密密钥来进行，一旦售出公司泄密了该密钥，就将给用户代理灾难性的影响。

因为，如何加密算法公开了，加密的密钥再公开还能有什么安全性可言。

（注：数据加密产品，根据国家的要求，采用的加密算法是公开的SM系列算法。一旦密钥没有安全性，则加密真的是如同虚设。）

 随着技术的进步，采用这种方式的公司也变得非常少了，但还有个别公司这样进行。

 在目前采用格式加密的公司中，大多采用了另外一种方式，预先为用户保存好一些密钥，或者为用户在产品上做一个密钥生成器，这样，管理人员在部署产品的时候，会选择采取一个密钥给全公司使用，或者是某个部门采用一个密钥。但因为，采用了不同密钥的部门在进行数据交互的时候，将面临着需要先采用原来的密钥将数据解密，然后再使用本部门密钥进行加密的复杂事项。因此，采用格式加密的公司往往会建议用户全公司采用一个密钥进行加密。从而在无形中大大降低了用户的安全性。这就如为用户的汽车配备了SBS，但该SBS需要用户在将汽车停下来才能使用，因此，提供的多个密钥对用户而言也是如同采购了一辆没有SBS的汽车了。

 采用对称密钥和非对称密钥相结合的技术在国际上早就是一项成熟技术了，该技术普遍为国际上的一些大公司采用，如Windows的EFS产品，Adobe公司的PDF产品。因此这些公司提供的安全产品会为国际上其他安全公司所关注，同时也会为形形色色的黑客所关注。

国内大多数数据加密公司因为关注度比较低，因此在产品的出品上也采取了投机取巧或者实用主义路线，目前基本上均采用的是唯一的对称加密算法。

 一文一密钥的技术是国内采用对称算法和非对称算法相结合的数据加密实现后的结果体现，即：每个文档被加密的时候，采用的密钥都是完全不一样的。自然，全公司每个用户、每个部门采用的密钥也是不一样的。即：文档的加密密钥是随机的。

 在一文一密钥产品中，加密文档的密钥也将被用户的私钥再次加密。而用户的私钥和保存在服务器上的用户的公钥行成了公私钥对，就如同：加密的时候采用一把钥匙，解密的时候采用的是另外一把钥匙。

 而用户的公司钥对的产生，依赖防水墙数据防泄漏系统第一次安装的服务器硬件的信息，这个信息称作“环境指纹”。

 因此，用户的服务器产生根密钥，用户的公司钥对有此根密钥生成，文档的加密密钥是动态变化的，而文档的加密密钥将由用户的私钥再次进行加密。这个就是“环境指纹”的基本原理，也是专利：具有指纹限制的机密文件访问授权系统的基本内容，专利号：ZL 2004 1 0017241.3，2009年9月19日得到中国专利局授权；也是专利：Secretfile access authorization system with fingerprint limitation的基本内容，专利号：US 7，890，993 B2，2011年1月15日得到美国联邦政府授权。

 注：公私钥对是PKI体系的最基本概念，PKI体系被公认为信息安全学上唯一防抵赖、防伪造的信息安全技术。

 多模透明加密的未来

    在透明加密软件的历史发展中，到目前为止经历了三个发展阶段，从最初的加密1.0环境加密(引导区加密)到加密2.0文件格式加密直至今日的加密3.0多模透明加密，这是一个人们不断认识事物、发现事物的科学过程。

这个主要是因为环境加密是早期非常不安全的一种加密手段，随着用户安全意识的提供、用户信息系统管理人员技术水平的提供，该项技术逐渐被用户所抛弃。

而格式加密，因为一旦用户的应用系统进行了升级，就需要对加密系统进行升级，如此周而复始，给用户带入了另外一个病毒库式升级的怪圈；而且，格式加密还存在着全公司只能支持单一密钥进行加密、不能支持用户在不同使用场景下的加密应用，给用户管理人员在全公司推广加密产品带来极大的困惑。因此，市场上一直在呼唤着一种支持多种使用场景的数据加密软件。目前，所有的数据加密产品正处在这个过度和转折的关头。而山丽网安的防水墙数据防泄漏系统采用的多模加密技术在本轮技术竞争中拔得头筹。

多模加密，就是一种能提供满足多种使用场景，采用多种加密策略的数据透明加密技术。在多模加密模式中，用户创建秘文的方式支持主动和被动两种方式，至少包含如下模式：特定格式加密模式、特定目录加密模式、特定格式不加密模式、特定用户不加密模式（但需要可以修改和查看别人的密文即高级别模式）、特定用户不加密模式（可以查看别人但不能修改别人密文即阅读者模式）、U盘等外设加密模式、网上邻居网络加密模式、手动加密、全盘加密等等；这些加密模式可以赋予不同的用户或者用户组。

从根本上来讲，多模加密比环境加密更安全，比格式加密更方便、灵活、安全和适应用户的需求，是未来数据加密产品的必然方向。