OKKRN文件透明加密系统
基于透明加密的云存储文件系统(kefs)——技术文档
基于透明加密的云存储文件系统(KEFS)技术文档目录1.系统概述 (2)2.技术实现 (2)2.1系统结构 (2)2.2系统文件构架 (3)2.3工作原理 (3)2.4加密原理 (4)2.5文件过滤驱动实现 (5)2.5.1需要截获的IRP (5)2.5.2获取文件全路径 (6)2.5.3加/解密的判断 (6)2.5.4驱动和用户层程序的通信 (6)3.支持的操作系统 (7)nxxjmpf@1.系统概述KEFS系统是基于IFS文件过滤驱动开发的透明加密文件系统。
基于此系统,进一步应用到本地存储和云存储,实现了本地存储和云存储的透明加密解密,保证数据安全性。
KEFS系统是基于目录的加密系统。
任何在工作目录内的读写操作,都将自动进行解密和加密。
Windows 2003以后,自带了EFS文件加密系统,但是该系统仅支持NTFS文件系统,并且对于本地加密文件的共享很困难,此外,EFS 只是对本地文件的加密,不支持云存储。
而KEFS解决了以上问题。
2.技术实现2.1系统结构2.2系统文件构架KEFS系统由三部分组成:sfilter.sys , KESF.exe , KEFS_Server.exe Sfilter.sys 文件过滤驱动:负责截获系统IO操作,并做加密或解密等操作。
KEFS.exe 系统通信程序:用户身份验证;给sfilter发密钥;和sfilter交换文件数据。
KEFS_Server.exe 服务器程序:和客户端KEFS通信。
服务器上保存的是用户加密过的文件。
2.3工作原理在Windows操作系统中,系统是以层次结构设计的。
一般的文件操作(打开、读、写、关闭等)都是通过调用系统API来完成。
对于某一个文件操作API,会将请求下发给文件驱动,再由文件驱动下发请求,当文件操作完成后,返回数据将先上传给文件驱动,然后文件驱动进一步上传给用户层,由此一个API操作完成。
由此,我们开发一个文件过滤驱动sfilter,这个驱动套在系统文件驱动层之上。
透明加密文件系统
透明加密文件系统Transparent Encrypt File System(TEFS TM)技术白皮书易核软件目录TEFS TM技术白皮书 (3)第一部分概述 (3)1. 简介 (3)2. 产品线 (5)第二部分架构 (8)第三部分开发库 (10)1. 数据安全防火墙(DSF)开发库 (10)2. 版权保护防火墙(CPF)开发库 (10)第四部分产品特点 (12)1. 数据安全防火墙(DSF) (12)2. 版权保护防火墙(CPF) (13)第五部分关键技术 (14)第六部分方案对比 (15)1. 数据安全防火墙 (15)2. 版权保护防火墙 (17)第七部分技术指标 (18)第八部分常问问题 (19)关于TEFS TM平台 (19)关于DSF开发库 (25)关于CPF开发库 (26)关于加密策略开发 (27)TEFS TM技术白皮书第一部分概述1. 简介透明加密文件系统(Transparent Encrypt File System,TEFS)是在Windows操作系统(包括Win95,97,98,me和WinNT,2K,XP,2K3所有的操作系统)的文件系统层面上工作的一个核心态软件,向整个系统提供实时的,透明的,动态的数据加解密服务.在该技术平台上,发展了两个产品系列:数据安全防火墙(Data Security Firewall,DSF)和版权保护防火墙(Copyright Protect Firewall,CPF).TEFS TM平台运行于操作系统的核心态,接管整个文件系统.文件数据在储存设备(例如磁盘)上以密文形式存储,当需要读写该加密文件的数据内容时, 通过世界领先的基于文件指纹智能识别技术和基于文件名识别技术有机结合,实时进行加解密,使得系统在授权情况下可以透明地,以明文形式读写该加密文件的数据.所以,通过TEFS TM平台,文件的数据得到安全地加密保护,而授权的用户又可以直接透明地以明文方式使用文件的数据,实现了安全,便捷的数据安全解决方案.TEFS TM平台的单机版本只支持本地文件系统;TEFS TM平台的网络版本同时支持本地文件系统和网络文件系统,并且支持应用于无盘工作站系统上.下图是TEFS TM平台在操作系统内核工作的原理图:所有的文件系统操作都是向Windows I/O管理器提出的,再由Windows I/O管理器将操作定位到具体某个文件系统来完成.TEFS TM平台将为加密文件提供实时的,透明的加密/解密服务.并且,还操作Windows核心的缓存管理器(在9x系列平台下是VCache技术,在NT系列平台下是BCache技术),从而实现和Windows系统缓存管理器和谐工作,共同为文件系统提供高速的实时,透明加密/解密服务.以ecoresoft提供的一个基于DSF(数据安全防火墙)库,为个人用户开发的共享软件: 透明加密器来说明TEFS TM平台的表现.下图是透明加密器应用软件工作的表现:TEFS TM平台可以对任意文件进行加密,并通过世界领先的基于文件本身内容的指纹智能识别技术和基于文件名识别技术结合,去识别一个文件是否是加密文件,从而提供透明加解密服务.并凭借该技术,可实现身份/身份组机制。
文件透明加密系统的设计与实现
IRP_MJ_WRITE
7
删除加密节 点,删除缓冲
进行 查询后处理
进行读后处理
进行写后处理
设计思路—CREAT_IRP预处理
获取文件路径 获得打开期望 是否成功 否
分配缓冲区 打开文件
是否成功 是 是否在加 密链表中 否 文件大小 是否为零 否 文件是否 小于4k 是 是否有写或追 加内容的期望 否 返回ret= Sf_IRP_GO_ON 是 文件头是 否一致 否 是否有写或追加内 容的期望 否 返回ret= SF_IRP_PASS 是
应用领域: 办公应用 教学应用 个人应用
3
概念解释
过滤驱动
IRP
IRP:
即驱动程序中的“请求”。类似于Windows应用程序中的 “消息”,每当上层各类操作时,都由IO管理器将其转化 为相应的IRP请求再传给设备,设备再根据不同的IRP调用, 用提前注册好的派遣函数来进行相应的处理。
4
设计思路—整体设计
IRP_MJ_QUERY _INFOMATION
IRP_MJ_READ
IRP_MJ_WRITE
修改文件大小 和设置文件的 当前指针位置
进行 读预处理
进行 写预处理
返回 SF_IRP_GO_ON
返回 SF_IRP_PASS
返回 SF_IRP_PASS
返回 SF_IRP_GO_ON
返回 SF_IRP_GO_ON
初始化
IRP预处理
IRP后处理
5
设计思路—IRP预处理
获得当前调用 栈,捕获IRP
是否为空文件 否
是
返回 SF_IRP_PASS
IRP主功能号是否为 IRP_MJ_CREATE
是
是否是 指定进程 是
一种基于系统驱动的文件透明加密系统的实现
析 了当前文件加 密方法的不足 , 在探讨 了透明加 密和 系统过滤驱动原理的基 础上 , 出一种基 于 系统过滤驱动 的文件 透 提
明加 密 系统 的设 计 和 实现 过 程 ; 时分 析 了本 系统设 计 中 的难 点与 不 足 之 处 。 同 关键 词 : 息安 全 ; 明 加 密 ; 滤 驱 动 ;IP 信 透 过 R ;影 子 目录 中 图分 类 号 :P 0 T39 文 献 标 识 码 : A d i 0 3 6/.sn 10 -45 2 1 .5 04 o:1.9 9 ji .0 627 .0 00 .4 s
meh d,a d t e t l sr tst e p n i l ft n p rn n r p in a d s s m l rd v r u s q e t e a t l s ac e to n h n i i u tae r c pe o a s e t c y t y t f t r e .S b e u n y t r ce r e rh s l h i r a e o n e i e i l h i e t e p o e so e i n lme tt n o l r s ae t n r p in s s m ,w ih i b s d o y tm l rd ie . I h n h r c s fd sg a d i e n a o ff e t p r n c y t y t n mp i i n a e o e h c s a e n s s e f t rv r n te e d i e i a lz st e d f c l a a k o y tm ei n f e p p ra a y e i i i u t d lc fte s se d sg . l e n l yn h Ke r s n o ain sc rt ;ta s a e t n r p o fl rd v r I y wo d :i fr t e u i m o y r p rn c y f n; t r e ;IL n e i i e i  ̄;s a o od r h d w fl e
Linux系统下双缓冲透明加密文件系统的应用研究
Linux系统下双缓冲透明加密文件系统的应用研究双缓冲透明加密文件系统是一种在Linux操作系统下实现的文件系统加密技术,它能够在不影响用户正常使用的情况下对文件进行加密。
本文将对该技术的应用研究进行讨论。
在现代互联网时代,数据安全性已经成为一个重要的问题。
大量敏感数据存储在计算机系统中,一旦被非法获取,将会对企业、个人甚至国家造成严重的损失。
加密技术变得越来越重要。
双缓冲透明加密文件系统就是一种能够在不影响用户正常使用的情况下对文件进行加密的技术。
在双缓冲透明加密文件系统中,数据被分为明文缓冲区和密文缓冲区两个部分。
明文缓冲区用于存储用户原始的数据,而密文缓冲区则用于存储加密后的数据。
当用户读取文件时,数据会从密文缓冲区解密到明文缓冲区,用户可以直接读取明文数据。
而当用户写入文件时,数据会从明文缓冲区加密到密文缓冲区,然后再写入存储介质。
由于用户无需手动进行加密解密操作,所以该加密过程是透明的。
双缓冲透明加密文件系统架构中包含了多个重要的部分。
首先是加密算法模块,它负责对数据进行加密和解密操作。
常见的加密算法有DES、AES等。
其次是密钥管理模块,它负责生成、存储和管理加密密钥,确保数据的安全性。
再次是文件系统接口模块,它负责文件的读写操作,并在必要时与加密算法模块进行交互。
最后是缓冲区管理模块,它负责控制数据在明文缓冲区和密文缓冲区之间的读写和转移。
双缓冲透明加密文件系统的应用十分广泛。
它可以用于保护个人用户的隐私数据。
个人用户经常在计算机上存储大量的隐私数据,例如个人照片、银行账号密码等。
使用双缓冲透明加密文件系统,可以有效保护这些隐私数据不被非法获取。
双缓冲透明加密文件系统还可以用于国家机要的数据保护。
国家机要单位存储了大量重要的国家安全数据,如军事情报、政府机密等。
使用双缓冲透明加密文件系统,可以最大程度地保障这些数据的安全。
对内对外防止企业重要数据泄密,透明文件加密系统是企业需要使用的有效方案,风奥科技
对内对外防止企业重要数据泄密,透明文件加密系统是企业需要使用的有效方案,风奥科技为什么透明文件加密系统在如今的互联网发展中备受关注?在知识产权竞争如此激烈的时代,公司的重要数据文件、商业机密文件以及相关的日常办公所产生的电子文件等等,都是企业的核心资产也是企业发展中需要重点保护的。
正是因为网络上频繁曝出的相关数据泄露事件,给企业用户以警示,由此让企业管理人员不断提升对数据安全意识,来加强企业的信息化安全管控。
针对如今的发展格局以及发展趋势,站在企业的角度而言,如何有针对性的为不同行业和性质的企事业单位提供文件透明加密系统来保证各个层面下,电子数据文件的使用安全呢?首先,具体说明一下,什么是透明文件加密?这是目前国内市场上比较受欢迎的文件加密技术,它是再操作系统底层来实现对众多类型的电子文件进行加密的,让使用者感觉不到其存在,无法感知其加密。
当使用者在新建、打开或编辑涉密类型文件时,系统将自动对文件加密,同时对于已存在的相关文件,在移动、打开等操作的时候可以对未加密的文件进行加密,所有涉密文件在操作过程中,文件都是全程加密的,加密的文件一旦离开使用环境,由于应用程序无法得到自动解密的服务而无法打开,从而起到保护电子文件的效果。
作为企业,如何应对员工离职造成的相关数据泄露问题?以及外发出去的相关电子文件的使用安全如何保障?对应企业需要对日常电子数据文件加密,例如:办公文档、研发文档、设计图纸、源代码等等电子文档加密的需求,风奥科技为企事业单位提供专业的数据发那个泄露解决方案,防止电子数据文件通过聊天工具、移动U盘、电子邮件等泄露提供解决方法,经过金甲EDS加密后的电子文件,在指定的局域网环境下可以正常的访问和使用,未获得授权允许的情况下,通过任何外发出去,都是加密的,无法打开的。
金甲EDS更大的意义在于,它能够帮助企业构建起完善的全方位的信息安全防护体系。
通过日志管理、审批解密、明文邮箱、机密管理等等多重加密功能,保护企业的无形资产,实现有效的加密管理,真正做到底层防止泄露。
数据库透明加密系统应用场景
数据库透明加密系统应用场景数据库透明加密系统是一种能够对数据库中的数据进行加密保护的系统。
它可以保护敏感信息的安全,防止数据泄露和未经授权的访问。
数据库透明加密系统在各个行业都有广泛的应用场景,并对数据安全产生了深远的影响。
首先,金融行业是数据库透明加密系统的主要应用场景之一。
在金融机构中,大量的财务数据和客户信息被储存于数据库中。
这些数据非常敏感,一旦泄露将会给金融机构和客户带来巨大的损失。
数据库透明加密系统能够对这些数据进行加密,保护其机密性和完整性,有效地防止渗漏和黑客攻击。
其次,医疗行业也是数据库透明加密系统的广泛应用领域。
医疗机构中储存了大量的病人个人信息和医疗记录。
这些信息包含了极其敏感的病人隐私,如果泄露出去,不仅会侵犯病人的权益,还可能对医疗机构的声誉造成严重打击。
透明加密系统可以对这些敏感信息进行加密保护,只允许授权人员访问,确保数据的安全和隐私性。
另外,电子商务行业也需通过数据库透明加密系统保护用户的个人信息。
随着互联网的发展,越来越多的用户的个人信息被电商平台收集和储存。
这些信息包括了用户的姓名、地址、电话号码、银行账户等,如果被黑客窃取,可能导致用户遭受经济损失和个人隐私泄露。
数据库透明加密系统能够对这些敏感信息进行加密存储,保护用户的隐私和账户安全。
此外,政府和军事领域也需要利用数据库透明加密系统来保护国家重要信息的安全。
政府机构中存储了大量的机密信息,如国家安全、军事战略等。
如果这些数据被黑客窃取,国家安全将会面临巨大威胁。
数据库透明加密系统可以对这些重要信息进行加密保护,确保数据的机密性和安全性。
综上所述,数据库透明加密系统在金融、医疗、电子商务、政府和军事等领域有着广泛的应用场景。
它能够有效地保护敏感信息的安全,防止数据泄露、黑客攻击,确保数据的完整性和机密性。
对于企业和机构而言,引入数据库透明加密系统是确保数据安全的关键一环,也是顺应信息时代发展的必然选择。
因此,各行各业都应加强对数据库透明加密系统的重视和应用,为数据安全搭建坚实的防护墙。
文件透明加密技术的应用
科技风2017年12月电子信息D01:10.19392/j.c n k i.1671-7341.201726054文件透明加密技术的应用沈羽翔湖南省长沙市第一中学湖南长沙410000摘要:文件透明加密技术是针对企业文件保密需求诞生的新型文件加密技术,不会影响用户的正常使用,但是,一旦使用环 境改变,文件便无法正常使用。
本文阐述了文件透明加密技术的诞生背景与具体的应用模式。
关键词!文件透明加密技术;原理;应用随着现代计算机技术的普及应用,各大企业办公、设计和 管理模式也逐渐向电子化的方向发展。
一些重要的文件在计 算机的硬件中存储,如果被拷贝或者利用网络传播出去,那么 在另外一台计算机中可以用同样的应用软件打开这些电子文 件,导致信息泄露,给企业造成重大的损失。
透明加密技术就 是针对企业文件的保密需要而产生的文件加密处理技术。
应 用透明加密技术,用户在计算机上进行操作时,这些文件会自 动被加解密,不用输人密码。
用户在这台计算机上可以随时使 用这些加密文件,但是文件是始终处于加密状态的。
在这些文 件离开了所需要的环境,也就是离开了原先操作的计算机时,文件就无法打开,这样就起到保护文件的作用。
一、文件加密技术的原理磁盘文件的透明加密主要有3种方法,第一是m o s接管 方式。
这种方式是在计算机刚刚启动时接管B IO S中磁盘操作 的中断,跟还原卡类似,例如还原精灵等产品就是利用的这个 原理。
这种方式的工作形式稍显死板,如果需要对不同类型的 文件进行加密时,很难进行处理。
所以一般情况下这种方式几 乎很少在用透明加密文件中应用。
第二种是H O O K,即构子技术。
通过W indow s A P I函数对 文件进行读写是所有W m d[S应用程序的特点。
程序被打开 或者新建一个文件时,需要调用W indow s的C r e a te F ile、0p e n-F ile、R e ad F ile、W indow s A P I函数,在磁盘写文件时则需要调用 W n te K le函数。
OKKRN文件透明加密系统
OKKRN文件透明加密系统 OSKRN File Transparent Encrypt System技术白皮书稳定就属OKE_mail:oskrn@目录第一部分概述 (1)第二部分产品功能 (1)第三部分系统结构 (2)第四部分工作原理 (3)第五部分技术特点 (3)第六部分支持的操作系统 (4)第一部分 概述OSKRN文件透明加密系统(OKFCrypto)是基于IFS文件过滤驱动开发的透明加密软件,通过定义加密规则,对需要保密的资料进行实时高效的强制加密,即使存储介质甚至是电脑丢失,也能保证数据的安全;所有的加、解密操作都在操作系统的核心层进行,对上层的应用程序和用户来说都是完全透明的。
为了方便应用软件开发商开发基于OKFCrypto的应用软件,该软件提供了面向应用层的Win32API开发库,并支持多种开发语言的调用,例如VB、Delphi、VC等等;同时还提供了完善的开发指南、VC++示例程序,应用软件通过应用层的开发库可以操纵OKFCrypto内核,从而实现与第三方软件无缝整合。
第二部分 产品功能1. 基于用户身份认证的加解密和强制访问策略。
采用文件标签的技术,将用户身份标识与涉密文档绑定,使授权的用户以指定的进程打开加密文档,这样不仅可以防止授权用户有意或无意泄漏机密信息,也可以防止非授权用户访问涉密文档。
2. 灵活的加密策略配置功能。
支持如下几种加密策略,也可以是如下加密策略的组合:z黑白进程名单z文件扩展名z文件全名单项策略配置:如进程名白名单:Winword.exe;Notepad.exe等等组合策略配置:进程+文件扩展、进程+文件扩展+文件全名。
3. 支持des、3des、aes、SMS4、RC4等多种加密算法。
用户可自主选择其中一种或多种算法对文件进行透明加解密。
也可提供一套算法接口,供开发人员扩展软、硬件加密算法,便于二次开发。
4. 加密文件审计。
加密文件的读、写、删除、重命名审计及加密进程操作加密文件的审计。
Linux系统下双缓冲透明加密文件系统的应用研究
Linux系统下双缓冲透明加密文件系统的应用研究
双缓冲透明加密文件系统是一种可以在Linux系统中实现文件加密的技术,它可以在文件系统的层次上进行透明加密和解密操作,对用户而言,操作系统和应用程序认为文件系统和文件是未加密的,而实际上文件和文件系统中的数据是经过加密的。
双缓冲透明加密文件系统通常由两部分组成:加密文件系统模块和加密文件系统接口模块。
加密文件系统模块用于对文件和文件系统中的数据进行加密和解密操作,而加密文件系统接口模块则是用户与加密文件系统进行交互的接口,它负责处理用户的文件操作请求,并在请求被发给文件系统之前对文件进行加密或解密处理。
1. 数据保护和安全性:通过将文件和文件系统中的数据进行加密,可以有效保护用户的数据不被未经授权的人访问和篡改。
在Linux系统中,如果用户的计算机被黑客攻击或者物理设备被盗,使用双缓冲透明加密文件系统可以有效防止敏感数据泄露。
2. 多用户共享数据:在多用户环境下,不同用户可能需要对共享的数据进行访问和修改,使用双缓冲透明加密文件系统可以在共享文件系统中进行数据保护,确保只有获得授权的用户才能够对文件进行访问和修改。
3. 移动设备数据保护:在移动设备中,由于设备易于丢失或被盗,对数据进行加密是非常重要的。
双缓冲透明加密文件系统可以保护存储在移动设备上的敏感数据,即使设备被失窃,也不会暴露用户的个人信息。
4. 云存储和远程数据传输的安全:在云存储和远程数据传输中,数据可能会经过不可信的网络或存储设备进行传输和存储。
通过使用双缓冲透明加密文件系统,可以保证在数据传输和存储的过程中,数据始终处于加密状态,即使数据被未经授权的人访问,也无法获得数据的明文内容。
透明加密原理
透明加密是一种在不影响用户正常使用的前提下,对电子文档进行加密的技术。
它采用一种透明加解密技术,在不影响用户对文档进行任何操作的情况下对电子文档进行加密。
当用户打开或编辑电子文档时,文档内容会被加密,只有拥有相应权限的用户才能查看文档内容。
这种加密方式的特点是用户无需知道加密的存在,也不会对原有操作造成任何影响。
透明加密的实现原理主要基于以下三个关键点:1. 文档权限管理:透明加密系统会根据用户的身份和权限,对电子文档进行相应的加密或解密操作。
只有拥有相应权限的用户才能查看或编辑加密文档的内容。
2. 文档传输安全:透明加密系统会对电子文档的传输过程进行加密,确保文档在传输过程中的安全。
当用户需要使用电子文档时,系统会自动解密文档,用户无需担心文档在传输过程中被截获或泄露。
3. 文档使用监控:透明加密系统会对用户的使用行为进行监控,确保用户只能在授权范围内使用电子文档。
如果用户试图越权使用或复制电子文档,系统会自动报警并采取相应的安全措施。
透明加密原理的关键在于其高度的自动化和智能化。
它能够自动识别用户对电子文档的操作行为,并根据用户的身份和权限进行相应的加密或解密操作。
这种自动化和智能化的处理方式不会对用户的使用造成任何影响,也不会增加用户的操作难度。
此外,透明加密还有着高效、安全、稳定的特点。
它能够快速、准确地识别用户对电子文档的操作行为,并在极短的时间内完成加密或解密操作。
同时,透明加密还能够有效地保护电子文档的安全,防止非法使用和泄露。
此外,透明加密系统通常采用高强度的加密算法和密钥管理机制,确保电子文档的安全性和稳定性。
总之,透明加密是一种高效、安全、稳定的技术,能够确保电子文档在使用过程中的安全,为用户提供更好的使用体验。
文档透明加密的原理
文档透明加密的原理概述文档透明加密是一种保护敏感信息的加密方法,它允许对文档进行加密,同时保持文档的格式和结构不变。
这意味着加密后的文档可以被正常查看和编辑,而不需要解密或者解压缩。
文档透明加密的原理基于对文档中的每个元素进行加密,并将加密后的元素嵌入到原始文档中。
这样,只有授权的用户才能解密和查看加密的内容,而未经授权的用户只能看到加密后的文档,无法获得其中的敏感信息。
基本原理文档透明加密的基本原理如下:1.文档分析:首先,对待加密的文档进行分析,识别出文档中的各种元素,如文本、图像、表格等。
这个过程通常使用特定的文档解析器或者算法来完成。
2.元素加密:对每个元素进行加密。
加密的方法可以是对称加密、非对称加密或者混合加密等。
加密算法的选择取决于安全性要求和性能需求。
3.元素嵌入:将加密后的元素嵌入到原始文档中。
这个过程通常需要修改文档的格式或结构,以便能够存储加密后的元素。
嵌入的方法可以是替换、插入或者隐藏等。
4.访问控制:为了确保只有授权的用户能够访问加密的内容,需要对文档进行访问控制。
通常使用访问控制列表(ACL)或者加密密钥来控制用户的访问权限。
5.解密和查看:授权的用户可以使用解密密钥对加密的文档进行解密,以获得原始的文档内容。
解密后的文档可以正常查看和编辑,而不需要解密或者解压缩。
实现方式文档透明加密可以通过多种方式来实现。
以下是一些常见的实现方式:1.格式扩展:在原始文档的基础上,通过添加额外的字段或者标记来存储加密后的元素。
这种方式不会改变原始文档的格式和结构,但需要对文档进行解析和处理。
2.格式转换:将原始文档转换为另一种支持加密的格式。
例如,将文本文档转换为PDF格式,然后对PDF文档进行加密。
这种方式可以保持加密后的文档的完整性和可读性,但可能会改变文档的格式和结构。
3.元素级加密:对文档中的每个元素进行加密,然后将加密后的元素嵌入到原始文档中。
这种方式可以保持文档的格式和结构完全不变,但可能会增加文档的大小和处理的复杂性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
OKKRN文件透明加密系统 OSKRN File Transparent Encrypt System
技术白皮书
稳定就属OK
E_mail:oskrn@
目录
第一部分概述 (1)
第二部分产品功能 (1)
第三部分系统结构 (2)
第四部分工作原理 (3)
第五部分技术特点 (3)
第六部分支持的操作系统 (4)
第一部分 概述
OSKRN文件透明加密系统(OKFCrypto)是基于IFS文件过滤驱动开发的透明加密软件,通过定义加密规则,对需要保密的资料进行实时高效的强制加密,即使存储介质甚至是电脑丢失,也能保证数据的安全;所有的加、解密操作都在操作系统的核心层进行,对上层的应用程序和用户来说都是完全透明的。
为了方便应用软件开发商开发基于OKFCrypto的应用软件,该软件提供了面向应用层的Win32API开发库,并支持多种开发语言的调用,例如VB、Delphi、VC等等;同时还提供了完善的开发指南、VC++示例程序,应用软件通过应用层的开发库可以操纵OKFCrypto内核,从而实现与第三方软件无缝整合。
第二部分 产品功能
1. 基于用户身份认证的加解密和强制访问策略。
采用文件标签的技术,将用户身份标识与涉密文档绑定,使授权的用户以指定的进程打开加密文档,这样不仅可以防止授权用户有意或无意泄漏机密信息,也可以防止非授权用户访问涉密文档。
2. 灵活的加密策略配置功能。
支持如下几种加密策略,也可以是如下加密策略的组合:
z黑白进程名单
z文件扩展名
z文件全名
单项策略配置:如进程名白名单:Winword.exe;Notepad.exe等等
组合策略配置:进程+文件扩展、进程+文件扩展+文件全名。
3. 支持des、3des、aes、SMS4、RC4等多种加密算法。
用户可自主选择其中一种或多种算法对文件进行透明加解密。
也可提供一套算法接口,供开发人员扩展软、硬件加密算法,便于二次开发。
4. 加密文件审计。
加密文件的读、写、删除、重命名审计及加密进程操作加密文件的审计。
5. 加密文档的防拷贝、防截屏、防打印(可选功能):
z防拷贝:防止用户正常打开涉密文档后,利用复制/粘帖功能将文档内容拷贝出去。
z防截屏:防止用户正常打开涉密文档后,通过截屏的方式将文档内容外泄。
z防打印:防止用户非法打印涉密文档。
6. 为了便于二次开发,该产品主要提供如下API开发接口:
z支持USB KEY、IC卡及用户指纹等用户身份载体进行用户身份认证。
z锁定加密文档的API接口。
如用户拔走USB KEY或暂时离开,可以锁定加密文档,防止非法用户打开涉密文档。
z文件加密算法扩展接口,供开发人员扩展软、硬件加密算法。
z OKFCrypto透明加密软件暂停或重新生效的API接口。
z加密文件、进程审计接口。
二次开发人员调用审计接口,可以获取当前系统加密文件信息。
7. 经过高强度的严格测试,主要支持如下几种应用软件及其相关文件格式文档。
z Microsoft
Office系列:Word、Excel 、Visio、PowerPoint、Access、Project 等。
z AutoCAD系列:AutoCAD2004、AutoCAD2005、AutoCAD2006、AutoCAD2007、AutoCAD2008等。
z Photoshop系列。
z CorelDraw系列。
z CAXA 系列。
z Pro-E 系列。
z Adobe Reader系列。
z Microsoft文件、图片编辑工具,notepad,mspaint、wordpad等。
二次开发人员可以调用加密配置策略接口增加新的文件加密格式,也可以和我
们联系(E_mail:oskrn@ )。
第三部分 系统结构
Windows IO Windows
NTFS
FAT32
CDFS
OKFCrypto U
OKFCrypto API
OKFCrypto
Word
Powerpoint
OKFCrypto文件透明加密系统由三部分组成:
1.OKFCrypto管理中心。
2.OKFCryptoAPI编程接口。
提供下面几种编程接口:
z用户管理:设置用户信息,如用户标识,证书信息,用户权限等等
z平台管理:OKFCrypto驱动安装、卸载;加密平台的暂停或重新生效;
z加密策略管理:设置文件的加密配置策略,指定文件加密的扩展名、进程名等单一策略或多种组合策略。
z密钥管理:指定加密文件的算法、密钥、参数等。
z审计:审计信息包括进程名、加密文件名、操作类型(读、写、删除、重命名)、时间、操作结果。
z加密文档的防拷贝、防截屏、防打印(可选功能)。
3.OKFCrypto文件透明加解密驱动。
文件透明加解密的策略执行单元,根据指定的策略进行透明加解密处理。
第四部分 工作原理
在Windows操作系统中,一般的文件操作(打开、读、写、关闭文件)都是由应用软件向操作系统的I/O管理器发起,再由操作系统的I/O管理器将该文件操作定位到具体某个文件系统来完成。
OKFCrypto运行在操作系统的核心态,通过在系统内核接管文件系统的所有操作,以写多少加密多少的原则,将需要写入存储介质的文件数据在内存中加密,并且转存在存储介质上;同时利用用户身份、文件名、进程名等识别技术, 按照读多少解密多少的原则,将文件内容从存储介质里读出来,进行实时解密后,转发给操作系统的I/O管理器,此时用户使用指定的进程以明文的形式打开加密文件。
文件的操作者和平常一样,对文件进行正常操作。
他们不会感觉到Windows I/O及底层发生的一切变化。
文件经过Windows I/O、透明加密技术平台和Windows 文件系统的处理,最后存放在磁盘上的文件是经过加密的。
同时,加密策略(算法、密钥和加密文件的指定)是内置在透明加密技术平台中的,由系统管理员集中管理的,文件操作者是无权获取或更改的。
这样不改变对文件的访问(打开或关闭)习惯,整个加密(解密)操作过程是自动完成的,用户毋须显式地指明算法、密钥和被操作的文件名。
第五部分 技术特点
z基于IFS文件过滤驱动开发,工作在系统核心层,与杀毒软件、防火墙软件完全兼容。
z在加密文件的头部增加了加密标识,不会在系统中增加临时文件。
z支持des、3des、aes、SMS4、RC4等多种加密算法。
用户可自主选择其中一种或多种算法对文件进行透明加解密。
也可提供一套算法接口,供开发人员扩展
软、硬件加密算法,便于二次开发。
z灵活的加密策略配置功能。
既可以支持进程的黑白名单、文件扩展、文件全名单一配置策略,也可以支持进程+文件扩展、进程+文件扩展+文件全名等多种
组合策略。
z动态关闭内核技术。
可直接动态关闭OKFCrypto内核服务,要求在内核关闭时保持内存缓冲数据的一致性,需要能够在文件系统锁层次上正当地高性能地清除
当前解密数据缓冲。
z加密文件审计功能动态开关。
z按照“写多少加密多少,读多少解密多少”的原则对文件进行透明加解密,不会影响系统开销。
第六部分 支持的操作系统
z Windows 2000
z Windows XP
z Windows2003
z Windows Vista。