OKKRN文件透明加密系统

OKKRN文件透明加密系统 OSKRN File Transparent Encrypt System

技术白皮书

稳定就属OK

E_mail:oskrn@

目录

第一部分概述 (1)

第二部分产品功能 (1)

第三部分系统结构 (2)

第四部分工作原理 (3)

第五部分技术特点 (3)

第六部分支持的操作系统 (4)

第一部分 概述

OSKRN文件透明加密系统(OKFCrypto)是基于IFS文件过滤驱动开发的透明加密软件，通过定义加密规则，对需要保密的资料进行实时高效的强制加密，即使存储介质甚至是电脑丢失，也能保证数据的安全；所有的加、解密操作都在操作系统的核心层进行，对上层的应用程序和用户来说都是完全透明的。

为了方便应用软件开发商开发基于OKFCrypto的应用软件，该软件提供了面向应用层的Win32API开发库，并支持多种开发语言的调用，例如VB、Delphi、VC等等；同时还提供了完善的开发指南、VC++示例程序，应用软件通过应用层的开发库可以操纵OKFCrypto内核，从而实现与第三方软件无缝整合。

第二部分 产品功能

1. 基于用户身份认证的加解密和强制访问策略。

采用文件标签的技术，将用户身份标识与涉密文档绑定，使授权的用户以指定的进程打开加密文档，这样不仅可以防止授权用户有意或无意泄漏机密信息，也可以防止非授权用户访问涉密文档。

2. 灵活的加密策略配置功能。

支持如下几种加密策略，也可以是如下加密策略的组合：

z黑白进程名单

z文件扩展名

z文件全名

单项策略配置：如进程名白名单：Winword.exe；Notepad.exe等等

组合策略配置：进程+文件扩展、进程+文件扩展+文件全名。

3. 支持des、3des、aes、SMS4、RC4等多种加密算法。

用户可自主选择其中一种或多种算法对文件进行透明加解密。也可提供一套算法接口，供开发人员扩展软、硬件加密算法，便于二次开发。

4. 加密文件审计。

加密文件的读、写、删除、重命名审计及加密进程操作加密文件的审计。

5. 加密文档的防拷贝、防截屏、防打印（可选功能）：

z防拷贝：防止用户正常打开涉密文档后，利用复制/粘帖功能将文档内容拷贝出去。

z防截屏：防止用户正常打开涉密文档后，通过截屏的方式将文档内容外泄。

z防打印：防止用户非法打印涉密文档。

6. 为了便于二次开发，该产品主要提供如下API开发接口：

z支持USB KEY、IC卡及用户指纹等用户身份载体进行用户身份认证。

z锁定加密文档的API接口。如用户拔走USB KEY或暂时离开，可以锁定加密文档，防止非法用户打开涉密文档。

z文件加密算法扩展接口，供开发人员扩展软、硬件加密算法。

z OKFCrypto透明加密软件暂停或重新生效的API接口。

z加密文件、进程审计接口。二次开发人员调用审计接口，可以获取当前系统加密文件信息。

7. 经过高强度的严格测试，主要支持如下几种应用软件及其相关文件格式文档。

z Microsoft

Office系列：Word、Excel 、Visio、PowerPoint、Access、Project 等。

z AutoCAD系列：AutoCAD2004、AutoCAD2005、AutoCAD2006、AutoCAD2007、AutoCAD2008等。

z Photoshop系列。

z CorelDraw系列。

z CAXA 系列。

z Pro-E 系列。

z Adobe Reader系列。

z Microsoft文件、图片编辑工具，notepad，mspaint、wordpad等。 二次开发人员可以调用加密配置策略接口增加新的文件加密格式，也可以和我

们联系（E_mail:oskrn@ ）

。 第三部分 系统结构

Windows IO Windows

NTFS

FAT32

CDFS

OKFCrypto U

OKFCrypto API

OKFCrypto

Word

Powerpoint

OKFCrypto文件透明加密系统由三部分组成：

1.OKFCrypto管理中心。

2.OKFCryptoAPI编程接口。提供下面几种编程接口：

z用户管理：设置用户信息，如用户标识，证书信息，用户权限等等

z平台管理：OKFCrypto驱动安装、卸载；加密平台的暂停或重新生效；

z加密策略管理：设置文件的加密配置策略，指定文件加密的扩展名、进程名等单一策略或多种组合策略。

z密钥管理：指定加密文件的算法、密钥、参数等。

z审计：审计信息包括进程名、加密文件名、操作类型（读、写、删除、重命名）、时间、操作结果。

z加密文档的防拷贝、防截屏、防打印（可选功能）。

3.OKFCrypto文件透明加解密驱动。

文件透明加解密的策略执行单元，根据指定的策略进行透明加解密处理。

第四部分 工作原理

在Windows操作系统中，一般的文件操作（打开、读、写、关闭文件）都是由应用软件向操作系统的I/O管理器发起,再由操作系统的I/O管理器将该文件操作定位到具体某个文件系统来完成。OKFCrypto运行在操作系统的核心态，通过在系统内核接管文件系统的所有操作，以写多少加密多少的原则，将需要写入存储介质的文件数据在内存中加密，并且转存在存储介质上；同时利用用户身份、文件名、进程名等识别技术, 按照读多少解密多少的原则，将文件内容从存储介质里读出来，进行实时解密后，转发给操作系统的I/O管理器，此时用户使用指定的进程以明文的形式打开加密文件。文件的操作者和平常一样，对文件进行正常操作。他们不会感觉到Windows I/O及底层发生的一切变化。文件经过Windows I/O、透明加密技术平台和Windows 文件系统的处理，最后存放在磁盘上的文件是经过加密的。同时，加密策略（算法、密钥和加密文件的指定）是内置在透明加密技术平台中的，由系统管理员集中管理的，文件操作者是无权获取或更改的。 这样不改变对文件的访问（打开或关闭）习惯，整个加密（解密）操作过程是自动完成的，用户毋须显式地指明算法、密钥和被操作的文件名。

第五部分 技术特点

z基于IFS文件过滤驱动开发，工作在系统核心层，与杀毒软件、防火墙软件完全兼容。

z在加密文件的头部增加了加密标识，不会在系统中增加临时文件。

z支持des、3des、aes、SMS4、RC4等多种加密算法。用户可自主选择其中一种或多种算法对文件进行透明加解密。也可提供一套算法接口，供开发人员扩展

软、硬件加密算法，便于二次开发。

z灵活的加密策略配置功能。既可以支持进程的黑白名单、文件扩展、文件全名单一配置策略，也可以支持进程+文件扩展、进程+文件扩展+文件全名等多种

组合策略。

z动态关闭内核技术。可直接动态关闭OKFCrypto内核服务,要求在内核关闭时保持内存缓冲数据的一致性,需要能够在文件系统锁层次上正当地高性能地清除

当前解密数据缓冲。