OKKRN文件透明加密系统

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

OKKRN文件透明加密系统 OSKRN File Transparent Encrypt System

技术白皮书

稳定就属OK

E_mail:oskrn@

目录

第一部分概述 (1)

第二部分产品功能 (1)

第三部分系统结构 (2)

第四部分工作原理 (3)

第五部分技术特点 (3)

第六部分支持的操作系统 (4)

第一部分 概述

OSKRN文件透明加密系统(OKFCrypto)是基于IFS文件过滤驱动开发的透明加密软件,通过定义加密规则,对需要保密的资料进行实时高效的强制加密,即使存储介质甚至是电脑丢失,也能保证数据的安全;所有的加、解密操作都在操作系统的核心层进行,对上层的应用程序和用户来说都是完全透明的。

为了方便应用软件开发商开发基于OKFCrypto的应用软件,该软件提供了面向应用层的Win32API开发库,并支持多种开发语言的调用,例如VB、Delphi、VC等等;同时还提供了完善的开发指南、VC++示例程序,应用软件通过应用层的开发库可以操纵OKFCrypto内核,从而实现与第三方软件无缝整合。

第二部分 产品功能

1. 基于用户身份认证的加解密和强制访问策略。

采用文件标签的技术,将用户身份标识与涉密文档绑定,使授权的用户以指定的进程打开加密文档,这样不仅可以防止授权用户有意或无意泄漏机密信息,也可以防止非授权用户访问涉密文档。

2. 灵活的加密策略配置功能。

支持如下几种加密策略,也可以是如下加密策略的组合:

z黑白进程名单

z文件扩展名

z文件全名

单项策略配置:如进程名白名单:Winword.exe;Notepad.exe等等

组合策略配置:进程+文件扩展、进程+文件扩展+文件全名。

3. 支持des、3des、aes、SMS4、RC4等多种加密算法。

用户可自主选择其中一种或多种算法对文件进行透明加解密。也可提供一套算法接口,供开发人员扩展软、硬件加密算法,便于二次开发。

4. 加密文件审计。

加密文件的读、写、删除、重命名审计及加密进程操作加密文件的审计。

5. 加密文档的防拷贝、防截屏、防打印(可选功能):

z防拷贝:防止用户正常打开涉密文档后,利用复制/粘帖功能将文档内容拷贝出去。

z防截屏:防止用户正常打开涉密文档后,通过截屏的方式将文档内容外泄。

z防打印:防止用户非法打印涉密文档。

6. 为了便于二次开发,该产品主要提供如下API开发接口:

z支持USB KEY、IC卡及用户指纹等用户身份载体进行用户身份认证。

z锁定加密文档的API接口。如用户拔走USB KEY或暂时离开,可以锁定加密文档,防止非法用户打开涉密文档。

z文件加密算法扩展接口,供开发人员扩展软、硬件加密算法。

z OKFCrypto透明加密软件暂停或重新生效的API接口。

z加密文件、进程审计接口。二次开发人员调用审计接口,可以获取当前系统加密文件信息。

7. 经过高强度的严格测试,主要支持如下几种应用软件及其相关文件格式文档。

z Microsoft

Office系列:Word、Excel 、Visio、PowerPoint、Access、Project 等。

z AutoCAD系列:AutoCAD2004、AutoCAD2005、AutoCAD2006、AutoCAD2007、AutoCAD2008等。

z Photoshop系列。

z CorelDraw系列。

z CAXA 系列。

z Pro-E 系列。

z Adobe Reader系列。

z Microsoft文件、图片编辑工具,notepad,mspaint、wordpad等。 二次开发人员可以调用加密配置策略接口增加新的文件加密格式,也可以和我

们联系(E_mail:oskrn@ )

。 第三部分 系统结构

Windows IO Windows

NTFS

FAT32

CDFS

OKFCrypto U

OKFCrypto API

OKFCrypto

Word

Powerpoint

OKFCrypto文件透明加密系统由三部分组成:

1.OKFCrypto管理中心。

2.OKFCryptoAPI编程接口。提供下面几种编程接口:

z用户管理:设置用户信息,如用户标识,证书信息,用户权限等等

z平台管理:OKFCrypto驱动安装、卸载;加密平台的暂停或重新生效;

z加密策略管理:设置文件的加密配置策略,指定文件加密的扩展名、进程名等单一策略或多种组合策略。

z密钥管理:指定加密文件的算法、密钥、参数等。

z审计:审计信息包括进程名、加密文件名、操作类型(读、写、删除、重命名)、时间、操作结果。

z加密文档的防拷贝、防截屏、防打印(可选功能)。

3.OKFCrypto文件透明加解密驱动。

文件透明加解密的策略执行单元,根据指定的策略进行透明加解密处理。

第四部分 工作原理

在Windows操作系统中,一般的文件操作(打开、读、写、关闭文件)都是由应用软件向操作系统的I/O管理器发起,再由操作系统的I/O管理器将该文件操作定位到具体某个文件系统来完成。OKFCrypto运行在操作系统的核心态,通过在系统内核接管文件系统的所有操作,以写多少加密多少的原则,将需要写入存储介质的文件数据在内存中加密,并且转存在存储介质上;同时利用用户身份、文件名、进程名等识别技术, 按照读多少解密多少的原则,将文件内容从存储介质里读出来,进行实时解密后,转发给操作系统的I/O管理器,此时用户使用指定的进程以明文的形式打开加密文件。文件的操作者和平常一样,对文件进行正常操作。他们不会感觉到Windows I/O及底层发生的一切变化。文件经过Windows I/O、透明加密技术平台和Windows 文件系统的处理,最后存放在磁盘上的文件是经过加密的。同时,加密策略(算法、密钥和加密文件的指定)是内置在透明加密技术平台中的,由系统管理员集中管理的,文件操作者是无权获取或更改的。 这样不改变对文件的访问(打开或关闭)习惯,整个加密(解密)操作过程是自动完成的,用户毋须显式地指明算法、密钥和被操作的文件名。

第五部分 技术特点

z基于IFS文件过滤驱动开发,工作在系统核心层,与杀毒软件、防火墙软件完全兼容。

z在加密文件的头部增加了加密标识,不会在系统中增加临时文件。

z支持des、3des、aes、SMS4、RC4等多种加密算法。用户可自主选择其中一种或多种算法对文件进行透明加解密。也可提供一套算法接口,供开发人员扩展

软、硬件加密算法,便于二次开发。

z灵活的加密策略配置功能。既可以支持进程的黑白名单、文件扩展、文件全名单一配置策略,也可以支持进程+文件扩展、进程+文件扩展+文件全名等多种

组合策略。

z动态关闭内核技术。可直接动态关闭OKFCrypto内核服务,要求在内核关闭时保持内存缓冲数据的一致性,需要能够在文件系统锁层次上正当地高性能地清除

当前解密数据缓冲。

相关文档
最新文档