disksec磁盤全盤系統(tǒng)簡(jiǎn)介文字

統(tǒng)。FDE會(huì)自動(dòng)將寫入硬盤的所有數(shù)據(jù)進(jìn)行加密，而在系統(tǒng)硬盤數(shù)據(jù)時(shí)，F(xiàn)DE會(huì)自動(dòng)所的硬盤數(shù)據(jù)。全盤加密對(duì)可能發(fā)生物理丟失或的筆加密算法利用計(jì)算機(jī)的主CPU實(shí)現(xiàn)數(shù)據(jù)的變換，對(duì)硬盤的加密控制等加密算法由硬件方式實(shí)現(xiàn)如通過(guò)計(jì)算機(jī)中的加密或安裝的其它加密設(shè)卡中增加加密和加密固（控制程序?qū)崿F(xiàn)對(duì)硬盤數(shù)據(jù)的加密變換和控制。盤等）進(jìn)行加密，缺點(diǎn)是對(duì)計(jì)算機(jī)性能有一定影響（CPU速度的Windows操作系統(tǒng)，也可用于其它系統(tǒng)(如Linux、MacOS等)，安全性比較好，缺點(diǎn)是FDE64M/s，而目100M/s；同時(shí)，由于目前計(jì)算機(jī)主CPU的處理CPU的一部分負(fù)荷用來(lái)做數(shù)據(jù)的變換，對(duì)DiskSecDiskSec是專門針對(duì)筆記本電腦容易丟失、硬盤之后，導(dǎo)致重要或敏感算機(jī)提供加密，如TPM等，目前只支持Windows系列的操作系統(tǒng)(從Windows2K到的Windows7均支持)，它具有上述純軟件和軟硬件實(shí)現(xiàn)方式抵御各種和。入系統(tǒng)。與一般的控制安全機(jī)制不同，DiskSec將用戶輸入的通過(guò)加密方式的安全機(jī)制，由于沒(méi)有將驗(yàn)證物(用戶、用戶等)與硬盤數(shù)據(jù)聯(lián)系起通過(guò)散列值碰撞方式直接安全機(jī)制(詳細(xì)論述見(jiàn)后面)。其它加密算法或采用硬件加密（要求計(jì)算機(jī)具有硬件加密。支持雙因子認(rèn)證，DiskSec既支持用戶方式也支持硬件(eToken)使用簡(jiǎn)單，使用者僅需記住一個(gè)（PIN碼）即可，除計(jì)算機(jī)啟動(dòng)時(shí)需輸入外(如果采用硬件鎖，則需將硬件鎖插入U(xiǎn)SB中)，不改變用戶的具有備份和恢復(fù)功能，能夠保證用戶數(shù)據(jù)的安全戶的安全系統(tǒng)，必定留有“后門，否則在理論上說(shuō)就無(wú)法解釋。FDE系統(tǒng)需要用戶制作急救系統(tǒng)不同，DiskSec本身提供了兩個(gè)急救系統(tǒng)，系統(tǒng)本電腦在出廠時(shí)均沒(méi)有提供全盤加密功能很多普通用戶也沒(méi)有其中存在DiskSecDiskSec在研發(fā)時(shí)就考慮到了與筆記本電腦的結(jié)合，其整體架構(gòu)以模塊的形DiskSec的部分代碼嵌入到筆記本的BIOS中，或利用筆記本提供的其他硬件功能（如加密、識(shí)別系統(tǒng)、硬盤HPA等）增強(qiáng)DiskSecDiskSec通過(guò)操作系統(tǒng)或應(yīng)用軟件等對(duì)硬盤數(shù)據(jù)的讀寫請(qǐng)求，實(shí)現(xiàn)對(duì)硬盤數(shù)據(jù)的實(shí)時(shí)加密和操作，當(dāng)系統(tǒng)向硬盤寫入數(shù)據(jù)時(shí)，DiskSec首先獲得控位置，反之，當(dāng)程序硬盤數(shù)據(jù)時(shí)，DiskSec同樣能夠獲得優(yōu)先控制權(quán)，從硬盤的指定位置加密數(shù)據(jù)并利用加密密鑰對(duì)加密數(shù)據(jù)進(jìn)行操作然后將解DiskSec的情況下，計(jì)算機(jī)的實(shí)際啟動(dòng)過(guò)程。DiskecDiskec執(zhí)行執(zhí)行NY用輸入的加密密鑰DiskSec要求用戶輸入 或PIN圖 用戶操作和不改變用戶的計(jì)算機(jī)使用習(xí)慣，DiskSec采用的是動(dòng)態(tài)加密和的了DiskSec采用的動(dòng)態(tài)加密和的原理。 圖2.DiskSec采用的動(dòng)態(tài)加密和的方DiskSec，從使用的原理上來(lái)劃分常用的數(shù)據(jù)安全產(chǎn)品可分為控制類和加密類或二者的混合體控制類和加密類安全產(chǎn)品有著各自不同的應(yīng)用領(lǐng)域方密這個(gè)角度開看控制類產(chǎn)品的安全性一般要比加密類的產(chǎn)品差，特別是泄密的情況下，表現(xiàn)的更為突出，例如，一旦能夠接觸到物理介質(zhì)，訪，問(wèn)控制類產(chǎn)品幾乎均是可的而加密類產(chǎn)品只要選擇合適的加密算法和設(shè)置主要用于防止泄密（即在硬盤丟失等情況下，防止數(shù)據(jù)的泄密，控制DiskSec與控制類產(chǎn)品的比樣的數(shù)據(jù)安全產(chǎn)品，如鎖、登錄認(rèn)證、硬盤、硬盤HPA保護(hù)、硬盤訪問(wèn)控制等，這些產(chǎn)品均屬于控制類產(chǎn)品，其中鎖和登錄認(rèn)證主要用于防止的用戶使用計(jì)算機(jī)系統(tǒng)，但難以防止數(shù)據(jù)泄密，其實(shí)現(xiàn)原理見(jiàn)圖3 、 、)鎖NY 圖3.認(rèn)證過(guò) 圖4.方由于這些措施一般只是驗(yàn)證用戶提供的驗(yàn)證物是否正確沒(méi)有將驗(yàn)證物的措施，只需簡(jiǎn)單地修改系統(tǒng)運(yùn)行流程即可實(shí)現(xiàn)，原理見(jiàn)圖4.因此，這些安全措施雖然能夠增加一定的安全性，但很容易被，即使這些安全措施能夠做到其他用戶無(wú)法（從理論上看，根本無(wú)法做到，這些安全措施也有其致命弱點(diǎn)即只能保證在沒(méi)有合法如沒(méi)有合法的輸入等）的情況下其他用戶無(wú)法啟動(dòng)計(jì)算機(jī)但無(wú)法防止在硬盤上的數(shù)據(jù)不被泄密，這些安全措施只是限制了其他用戶使用該計(jì)算機(jī)卻無(wú)法防止在該計(jì)算機(jī)上對(duì)于硬盤、硬盤HPA保護(hù)、硬盤控制等類型的數(shù)據(jù)安全產(chǎn)品，由于其控制機(jī)制做到了硬盤控制器中（即硬盤上的電路板，所以這種產(chǎn)品的相對(duì)鎖等產(chǎn)品的安全性相對(duì)要高一些但其采用的原理和認(rèn)證方式與鎖等產(chǎn)品相似，見(jiàn)圖器替換有控制機(jī)制的硬盤控制器，即可繞過(guò)控制機(jī)制，從而獲得硬盤上的明文數(shù)據(jù)，其原理見(jiàn)圖6.即使無(wú)法獲得同型號(hào)且沒(méi)有控制機(jī)制的硬盤控控制機(jī)制，只要不啟用控制機(jī)制就可以繞開控制機(jī)制，仿制一塊沒(méi)有在輸入階段，雖然DiskSec也提供了類似的驗(yàn)證方法(見(jiàn)圖1)，但其驗(yàn)證的主要目的并不是想其他人使用該計(jì)算機(jī)只是為了避免用戶由于輸“密”后的數(shù)據(jù)只會(huì)更（因?yàn)橛貌徽_的去相當(dāng)于用這個(gè)不正確的密碼去加密，因此，通過(guò)修改流程的方法是無(wú)法DiskSec的。DiskSec的措施是通過(guò)加密硬盤數(shù)據(jù)實(shí)現(xiàn)的，其安全性主要依賴加密DiskSec采用的是目前國(guó)際上認(rèn)可的加密算法（就目前看，這些算法從理論上還沒(méi)有找到好的方法，對(duì)這些算法的，一般只能通過(guò)窮舉的方法進(jìn)行，在沒(méi)有密鑰的情況下，要長(zhǎng)度達(dá)到256位的加密數(shù)據(jù)，幾乎是不可能的。DiskSec不限制非用戶在獲得計(jì)算機(jī)的情況下，繼續(xù)使用該計(jì)算機(jī)非用戶可通過(guò)重新格式化硬盤和安裝新的操作系統(tǒng)繼續(xù)使用這臺(tái)計(jì)算機(jī)，但無(wú)法得到其中的數(shù)據(jù)。DiskSec與文件級(jí)的比和文件級(jí)加密方法兩大類。這兩類加密方法均有各自的優(yōu)點(diǎn)和缺點(diǎn)，DiskSec采用的加密方法屬于硬盤級(jí)的加密這一級(jí)別的加密方法與文件級(jí)別的相由于這一級(jí)別的直接對(duì)硬盤物理扇區(qū)進(jìn)行加密不考慮文件等數(shù)據(jù)的邏輯概念，在這種下，任何在硬盤上的數(shù)據(jù)均是加密的，相 等地方臨時(shí)這些文件的備份文件，雖然一般情況下，這些臨時(shí)文件在使用后均會(huì)被刪除，但由于，系統(tǒng)在從理論上來(lái)說(shuō)，即使臨時(shí)文件被刪除，只要這些臨時(shí)文件的數(shù)據(jù)區(qū)沒(méi)有被覆蓋或做過(guò)加理等操作，就能容易地通過(guò)反刪除等重新獲得，在實(shí)際應(yīng)用中，這些臨時(shí)文件一般不會(huì)被加密，從而成為信息泄密的一個(gè)重要。更進(jìn)一步，即使將臨時(shí)文件也進(jìn)行了加理，但系統(tǒng)的頁(yè)面交換文件等（如Windows的Pagefile.sys等，除文件系統(tǒng)內(nèi)嵌的外，第