透明檔案加密技術

**：

前一陣子，因為工作需要，需要做一些內網安全的東西，要防止區域網內的檔案保密，就接觸到一些透明加密技術。看看資料，寫了點筆記。

1. 基於檔案的透明加密

基於檔名稱的透明加密系統根據訪問的檔案的名稱，主要是根據檔案的字尾或者所在的目錄，或者檔案本身的特徵來判斷是否進行加解密[23]。

具體可以實現通過設定關鍵檔案及其讀/寫許可權(檔名支援萬用字元*和?)來控制關鍵檔案的讀/寫訪問；記錄關鍵檔案的讀/寫訪問；記錄可移動磁碟的寫訪問等功能。

2. 基於程序的透明加密

基於程序的透明加密系統根據訪問檔案的程序來判斷是否進行加解密。程序是作業系統內部的排程單位。而每乙個檔案訪問都可以關聯到乙個具體的程序。基於程序的透明加密系統以系統的程序為單位進行加解密控制。

基於程序的透明加密系統需要區分出哪些程序要對受保護的機密檔案進行訪問，那些不需要對機密檔案進行訪問。對於需要對機密檔案進行訪問的程序，系統將它的讀寫1/o經過動態加解密，來保證使用者對檔案的訪問。對於不是訪問機密檔案的程序，透明加密系統讓它不經過動態加解密驅動，正常的訪問未受保護的普通檔案。這樣，系統內的程序就被分為了兩類。一類是在透明加密系統的監控下，通過動態加解密來訪問資訊檔案的程序，稱之為「受監控程序」。另一類不受透明加密系統影響，正常的訪問不受保護的常規檔案，這些程序稱之為「不受監控程序」。反過來說，受監控程序的寫操作都被加密，讀操作都被解密；而不受監控程序的讀寫操作不受影響。

基於程序的透明加密系統需要監控程序和非監控程序之間的通訊。如果乙個受監控程序把通過解密得到的資料作為通訊資料傳送給乙個不受監控的程序，那麼不受監控的程序就可以把這些資料不經加密的寫入到磁碟上，從而竊取了機密檔案。透明加密系統要阻止被監控程序和不被監控程序之間的通訊。這樣，受監控程序和不受監控程序就被分隔在兩個互不相通的環境中。

基於程序的透明加密系統的主要功能除了要提供驅動層的加解密外，還需要可靠地鑑別程序的能力。

基於程序的透明加密系統的缺點是應用環境複雜時，管理難度大，使用者基本不能自主新增對新應用的支援。理論上，如果監控程序和非監控程序需要讀寫共同的配置檔案，它就無法實現。基於程序的透明加密系統由於是以系統程序為單位來判斷是否對乙個正在編輯的檔案加密或者解密，所以它最致命的弱點是不能很好解決外掛程式、巨集的洩密問題，即如何區別程序內的外掛程式和它本身的讀取。由於讀取時會進行解密，那麼如果無法區分是外掛程式還是程序本身，外掛程式讀取到明文後通過網路等非儲存的手段就可以將明文傳送出去。因此，這類系統還需要其它的輔助手段進一步細化對檔案訪問的控制。

3.基於磁碟的透明加密

基於磁碟的透明加密系統以磁碟分割槽為單位，對儲存在該磁碟上的檔案全部加密。系統通過配置檔案、分割槽頭部的特殊標記來標識這是乙個加密的分割槽。微軟在新的作業系統vista中提供了bitlock技術，可以加密整個分割槽。但是更常見的是使用虛擬磁碟技術來實現基於磁碟的透明加密系統。

基於磁碟的透明加密系統只需要判斷被訪問的檔案所在的分割槽就可以判斷檔案是否是加密的，因此它比基於檔名稱和程序的透明加密系統邏輯上面更加簡單。通過指定某個分割槽或者建立乙個虛擬磁碟分割槽，基於磁碟的透明加密系統自動對儲存到該分割槽的檔案加密，並自動解密從該分割槽讀取的內容。

基於磁碟的透明加密系統和檔案型別、訪問的程序都沒有關係。但在實際的防洩密應用中，需要限制一些程序對加密分割槽的訪問。

基於磁碟的透明加密系統需要阻止將加密磁碟中的檔案複製到非加密磁碟和通過外設埠、網路傳送出去洩密。

透明檔案加密技術

透明資料加密技術 TDE

檔案加密技術

資料加密技術

透明檔案加密技術

透明資料加密技術 TDE

檔案加密技術

資料加密技術

相關推薦