动态加密的技术原理
在文件系统层,不仅能够获得文件的各种信息,而且能够获得访问这些文件的进程信息和用户信息等,因此,可以研制出功能非常强大的文档安全产品。就动态加解密产品而言,有些文件系统自身就支持文件的动态加解密,如Windows系统中的NTFS文件系统,其本身就提供了EFS(Encryption File System)支持,但作为一种通用的系统,虽然提供了细粒度的控制能力(如可以控制到每个文件),但在实际应用中,其加密对象一般以分区或目录为单位,难以做到满足各种用户个性化的要求,如自动加密某些类型文件等。虽然有某些不足,但支持动态加密的文件系统在某种程度上可以提供和磁盘级加密技术相匹敌的安全性。由于文件系统提供的动态加密技术难以满足用户的个性化需求,因此,为第三方提供动态加解密安全产品提供了足够的空间。
要研发在文件级的动态加解密安全产品,虽然与具体的操作系统有关,但仍有多种方法可供选择,一般可通过Hook或过滤驱动等方式嵌入到文件系统中,使其成为文件系统的一部分,从某种意义上来说,第三方的动态加解密产品可以看作是文件系统的一个功能扩展,这种扩展往往以模块化的形式出现,能够根据需要进行挂接或卸载,从而能够满足用户的各种需求,这是作为文件系统内嵌的动态加密系统难以做到的。
下面我们以亿赛通公司的SmartSec为例,分析一下文件动态加解密的具体实现方式。图2给出了SmartSec的实现原理,从中可以看出,SmartSec的动态加解密是以文件过滤驱动程序的方式进行实现的(位于层次III),同时在应用层(层次II)和内核层(层次III)均提供访问控制功能,除此之外,还提供了日志和程序行为控制等功能,这种通过应用层和内核层相互配合的实现方式,不仅能提供更高的安全性,而且有助于降低安全系统对系统性能的影响。 对于信息安全要求比较高的用户来说,文件级加密是难以满足要求的。例如,在Windows系统中(在其它操作系统中也基本类似),我们在访问文件时,会产生各种临时文件,虽然这些临时文件在大多数情况下,会被应用程序自动删除,但某些情况下,会出现漏删的情况,即使临时文件被删除,但仍然可以通过各种数据恢复软件将其进行恢复,在实际应用中,这些临时文件一般不会被加密,从而成为信息泄密的一个重要渠道。更进一步,即使将临时文件也进行了加密处理,但系统的页面交换文件等(如Windows的Pagefile.sys等,除文件系统内嵌的加密方式外,第三方动态加解密产品一般不能对系统文件进行加密,否则会引起系统无法启动等故障)也会保留用户访问文件的某些信息,从而引起信息的泄密。
有一种方式可以避免上述提到的各种漏洞,那就是将存储设备上包括操作系统在内的所有数据全部加密,要达到这个目的,只有基于磁盘级的动态加解密技术才能满足要求。静态加密技术在这种情况下,一般无法使用,这是因为操作系统被加了密,要启动系统,必须先解密操作系统才能启动,如果采用静态加解密方式,只能在每次关机后将磁盘上的所有数据进行加密,在需要启动时再解密磁盘上的所有数据(至少也得解密所有的操作系统文件,否则系统无法启动),由于操作系统占用的空间越来越大,这个过程所需要的时间是难以忍受的。
与静态方式不同,在系统启动时,动态加解密系统实时解密硬盘的数据,系统读取什么数据,就直接在内存中解密数据,然后将解密后的数据提交给操作系统即可,对系统性能的影响仅与采用的加解密算法的速度有关,对系统性能的影响也非常有限,这类产品对系统性能总体的影响一般不超过10%(取目前市场上同类产品性能指标的最大值)。图3给出了亿赛通公司基于磁盘级动态加解密的安全产品DiskSec的实现原理,从中可以看出,DiskSec的动态加解密算法位于操作系统的底层,操作系统的所有磁盘操作均通过DiskSec进行,当系统向磁盘上写入数据时,DiskSec首先加密要写入的数据,然后再写入磁盘;反之,当系统读取磁盘数据时,DiskSec会自动将读取到的数据进行解密,然后再提交给操作系,因此,加密的磁盘数据对操作系统是透明的,也就是说,在操作系统看来,磁盘上的加密数据和未加密的状态是一样的。 这两类加密方法均有各自的优点和缺点,磁盘级加密与文件级加密方式相比,主要优点是:加密强度高,安全性好。
由于这一级别的加密方式直接对磁盘物理扇区进行加密,不考虑文件等存储数据的逻辑概念,在这种加密方式下,任何存储在磁盘上的数据均是加密的,相反,采用文件级的加密方式一般只对用户指定的某些文件进行加密,而这些文件在用户日常使用中,由于临时文件等均会带来安全隐患。因此,采用磁盘级的加密方式要较文件级的加密方式安全。
磁盘级加密的主要缺点是:不够灵活方便,适用面比较窄。
与文件级的加密方式不同,由于磁盘级的加密方式没有文件、目录等概念,难以对指定的文件或目录进行加密、隐藏等操作,反之,文件级的加密方式可以采用各种灵活的加密手段,能够做到更细粒度的控制,用户不仅可以指定要加密的文件类型或目录,同时也可以隐藏某些目录等。
闾畏哄4589 :答:回答:号令手机令牌的动态口令是根据专门的算法每隔60秒生成一个与时间相关的、不可预测的随机数字组合(One-time Password),每个口令只能使用一次,每天可以产生43200个密码。 用户 进行认证时候,除输入账号和静态密码之外,必须要求输入动态密码,只有通过系统验证,才可以正常登录或者交易,从而有效保证用户...
闾畏哄4589 :答:动态加密技术的主要特征为电子文件从创建开始,就处于加密状态,保存在计算机存储器中的电子文件也是加密的。硬件加密是通过专用加密芯片或独立的处理芯片等实现密码运算。将加密芯片、专有电子钥匙、硬盘一一对应到一起时,加密芯片将把加密芯片信息、专有钥匙信息、硬盘信息进行对应并做加密运算,同时写入硬盘...
闾畏哄4589 :答:宁盾手机令牌OTP动态密码实现原理简单来说是基于时间同步技术,由宁盾手机令牌app每30s/60s 随机生成一个独一无二的OTP动态密码,宁盾认证服务器能够验证这个变化的密码是否有效。
闾畏哄4589 :答:从技术角度看, 盾是用于网上银行电子签名和数字认证的工具, U 它内置微型智能卡处 理器,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的 保密性、真实性、完整性和不可否认性 ]【二。工作原理】 U 盾又作移动数字证书,它存放着你个人的数字证书,并不可读取。同样,...
闾畏哄4589 :答:工商银行的密码器工作原理是基于动态密码生成和安全验证的技术。密码器作为一种物理安全设备,内部集成了加密算法和随机数生成器。当用户在工商银行进行网上交易或其他需要身份验证的操作时,密码器会根据银行系统发送的随机数和用户设定的个人密码,通过内置的加密算法生成一个动态的一次性密码(OTP)。这个...
闾畏哄4589 :答:身份认证系统以短信形式发送随机的6/8位密码到客户的手机上,客户在登录或者交易认证时候输入此动态密码,从而确保系统身份认证的安全性。短信动态密码认证技术被认为是目前能够最有效解决用户的身份认证方式之一,可以有效防范黑客木马盗窃用户账户密码、假网站等多种网络问题,导致用户的财产或者资料的损失。
闾畏哄4589 :答:揭示攻防演练中的加密利器:冰蝎V4的神秘原理 在网络安全的攻防演练中,Webshell犹如一把双刃剑,既可能是防御者的演练工具,也可能是攻击者的侵入手段。其中,冰蝎V4作为一款备受关注的新型Webshell管理工具,其独特的动态加密通信机制让其在对抗检测方面表现出色。让我们深入探讨这款工具的工作原理以及它如何...
闾畏哄4589 :答:算法原理 AES 算法基于排列和置换运算。排列是对数据重新进行安排,置换是将一个数据单元替换为另一个。AES 使用几种不同的方法来执行排列和置换运算。2、非对称算法 常见的非对称加密算法如下:RSA:由 RSA 公司发明,是一个支持变长密钥的公共密钥算法,需要加密的文件块的长度也是可变的;DSA(...
闾畏哄4589 :答:回答:动态密保的原理 Q:采用OTP技术,基于时间同步的方式,服务端和客户端同步生成.号令手机令牌就是采用这一原理实现的
闾畏哄4589 :答:中银e令是中行对动态口令牌这一安全认证工具的品牌命名。动态口令牌是一种内置电源、密码生成芯片和显示屏、根据专门的算法每隔一定时间自动更新动态口令的专用硬件。动态口令牌可以大大提升网上银行/手机银行使用安全。中行动态口令每60秒随机更新一次,密码显示为6位数字。以上内容供您参考,业务规定请以实际...
