動(dòng)態(tài)數(shù)據(jù)加密分類

動(dòng)態(tài)數(shù)據(jù)加密分類什么是動(dòng)態(tài)加密01動(dòng)態(tài)加密層次級(jí)別02動(dòng)態(tài)數(shù)據(jù)加密分類03Content目錄01

什么是動(dòng)態(tài)加密什么是動(dòng)態(tài)加密

動(dòng)態(tài)加密（也稱實(shí)時(shí)加密，透明加密等，其英文名為encrypton-the-fly），是指數(shù)據(jù)在使用過程中自動(dòng)對(duì)數(shù)據(jù)進(jìn)行加密或解密操作，無需用戶的干預(yù)，合法用戶在使用加密的文件前，也不需要進(jìn)行解密操作即可使用，表面看來，訪問加密的文件和訪問未加密的文件基本相同，對(duì)合法用戶來說，這些加密文件是“透明的”，即好像沒有加密一樣，但對(duì)于沒有訪問權(quán)限的用戶，即使通過其它非常規(guī)手段得到了這些文件，由于文件是加密的，因此也無法使用。由于動(dòng)態(tài)加密技術(shù)不僅不改變用戶的使用習(xí)慣，而且無需用戶太多的干預(yù)操作即可實(shí)現(xiàn)文檔的安全，因而近年來得到了廣泛的應(yīng)用。02

動(dòng)態(tài)加密層次級(jí)別層次級(jí)別

在不同的操作系中，雖然數(shù)據(jù)的具體組織和存儲(chǔ)結(jié)構(gòu)會(huì)有所不同，即應(yīng)用程序在訪問存儲(chǔ)設(shè)備數(shù)據(jù)時(shí)，一般都通過操作系統(tǒng)提供的API調(diào)用文件系統(tǒng)，然后文件系統(tǒng)通過存儲(chǔ)介質(zhì)的驅(qū)動(dòng)程序訪問具體的存儲(chǔ)介質(zhì)。其中層次I和II屬于應(yīng)用層；層次III和IV屬于操作系統(tǒng)內(nèi)核層。這種組織結(jié)構(gòu)決定了加密系統(tǒng)的實(shí)現(xiàn)方式，在數(shù)據(jù)從存儲(chǔ)介質(zhì)到應(yīng)用程序所經(jīng)過的每個(gè)路徑中，均可對(duì)訪問的數(shù)據(jù)實(shí)施加密/解密操作，其中模型中的層次I只能捕獲應(yīng)用程序自身讀寫的數(shù)據(jù)，其他應(yīng)用程序的數(shù)據(jù)不經(jīng)過該層，因此，在層次I中只能實(shí)現(xiàn)靜態(tài)加密，無法實(shí)現(xiàn)動(dòng)態(tài)加密；即使是層次II，也并不是所有文件數(shù)據(jù)均通過該層，但在該層可以攔截到各種文件的打開、關(guān)閉等操作。因此，在應(yīng)用層實(shí)現(xiàn)的動(dòng)態(tài)加解密產(chǎn)品無法真正做到“實(shí)時(shí)”加密/解密操作，一般只能通過其他變相的方式進(jìn)行實(shí)現(xiàn)。

03

動(dòng)態(tài)數(shù)據(jù)加密分類動(dòng)態(tài)數(shù)據(jù)加密分類文件加解密技術(shù)

在文件系統(tǒng)層，不僅能夠獲得文件的各種信息，而且能夠獲得訪問這些文件的進(jìn)程信息和用戶信息等，因此，可以研制出功能非常強(qiáng)大的文檔安全產(chǎn)品。就動(dòng)態(tài)加解密產(chǎn)品而言，有些文件系統(tǒng)自身就支持文件的動(dòng)態(tài)加解密，如Windows系統(tǒng)中的NTFS文件系統(tǒng)，其本身就提供了EFS（EncryptionFileSystem）支持，但作為一種通用的系統(tǒng)，雖然提供了細(xì)粒度的控制能力（如可以控制到每個(gè)文件），但在實(shí)際應(yīng)用中，其加密對(duì)象一般以分區(qū)或目錄為單位，難以做到滿足各種用戶個(gè)性化的要求，如自動(dòng)加密某些類型文件等。雖然有某些不足，但支持動(dòng)態(tài)加密的文件系統(tǒng)在某種程度上可以提供和磁盤級(jí)加密技術(shù)相匹敵的安全性。由于文件系統(tǒng)提供的動(dòng)態(tài)加密技術(shù)難以滿足用戶的個(gè)性化需求，因此，為第三方提供動(dòng)態(tài)加解密安全產(chǎn)品提供了足夠的空間。動(dòng)態(tài)數(shù)據(jù)加密分類

要研發(fā)在文件級(jí)的動(dòng)態(tài)加解密安全產(chǎn)品，雖然與具體的操作系統(tǒng)有關(guān)，但仍有多種方法可供選擇，一般可通過Hook或過濾驅(qū)動(dòng)等方式嵌入到文件系統(tǒng)中，使其成為文件系統(tǒng)的一部分，從某種意義上來說，第三方的動(dòng)態(tài)加解密產(chǎn)品可以看作是文件系統(tǒng)的一個(gè)功能擴(kuò)展，這種擴(kuò)展往往以模塊化的形式出現(xiàn)，能夠根據(jù)需要進(jìn)行掛接或卸載，從而能夠滿足用戶的各種需求，這是作為文件系統(tǒng)內(nèi)嵌的動(dòng)態(tài)加密系統(tǒng)難以做到的。動(dòng)態(tài)數(shù)據(jù)加密分類磁盤級(jí)動(dòng)態(tài)

對(duì)于信息安全要求比較高的用戶來說，文件級(jí)加密是難以滿足要求的。例如，在Windows系統(tǒng)中（在其它操作系統(tǒng)中也基本類似），我們?cè)谠L問文件時(shí)，會(huì)產(chǎn)生各種臨時(shí)文件，雖然這些臨時(shí)文件在大多數(shù)情況下，會(huì)被應(yīng)用程序自動(dòng)刪除，但某些情況下，會(huì)出現(xiàn)漏刪的情況，即使臨時(shí)文件被刪除，但仍然可以通過各種數(shù)據(jù)恢復(fù)軟件將其進(jìn)行恢復(fù)，在實(shí)際應(yīng)用中，這些臨時(shí)文件一般不會(huì)被加密，從而成為信息泄密的一個(gè)重要渠道。更進(jìn)一步，即使將臨時(shí)文件也進(jìn)行了加密處理，但系統(tǒng)的頁面交換文件等（如Windows的Pagefile.sys等，除文件系統(tǒng)內(nèi)嵌的加密方式外，第三方動(dòng)態(tài)加解密產(chǎn)品一般不能對(duì)系統(tǒng)文件進(jìn)行加密，否則會(huì)引起系統(tǒng)無法啟動(dòng)等故障）也會(huì)保留用戶訪問文件的某些信息，從而引起信息的泄密。

有一種方式可以避免上述提到的各種漏洞，那就是將存儲(chǔ)設(shè)備上包括操作系統(tǒng)在內(nèi)的所有數(shù)據(jù)全部加密，要達(dá)到這個(gè)目的，只有基于磁盤級(jí)的動(dòng)態(tài)加解密技術(shù)才能滿足要求。動(dòng)態(tài)數(shù)據(jù)加密分類

與靜態(tài)方式不同，在系統(tǒng)啟動(dòng)時(shí)，動(dòng)態(tài)加解密系統(tǒng)實(shí)時(shí)解密硬盤的數(shù)據(jù)，系統(tǒng)讀取什么數(shù)據(jù)，就直接在內(nèi)存中解密數(shù)據(jù)，然后將解密后的數(shù)據(jù)提交給操作系統(tǒng)即可，對(duì)系統(tǒng)性能的影響僅與采用的加解密算法的速度有關(guān)，對(duì)系統(tǒng)性能的影響也非常有限，這類產(chǎn)品對(duì)系統(tǒng)性能總體的影響一般不超過10%（取目前市場(chǎng)上同類產(chǎn)品性能指標(biāo)的最大值）。億賽通公司基于磁盤級(jí)動(dòng)態(tài)加解密的安全產(chǎn)品DiskSec的實(shí)現(xiàn)原理，從中可以看出，DiskSec的動(dòng)態(tài)加解密算法位于操作系統(tǒng)的底層，操作系統(tǒng)的所有磁盤操作均通過DiskSec進(jìn)行，當(dāng)系統(tǒng)向磁盤上寫入數(shù)據(jù)時(shí)，DiskSec首先加密要寫入的數(shù)據(jù)，然后再寫入磁盤；反之，當(dāng)系統(tǒng)讀取磁盤數(shù)據(jù)時(shí)，DiskSec會(huì)自