透明加密技术解析

透明加密软件

透明加密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。所谓透明，是指对使用者来说是未知的。当使用者在打开或编辑指定文件时，系统将自动对未加密的文件进行加密，对已加密的文件自动解密。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起来保护文件内容的效果。

透明加密有以下特点：

自动强制加密：安装系统后，所有指定类型文件都是强制加密的；

使用方便习惯：不影响原有操作习惯，不需要限止端口；

原有习惯保持：内部交流时不需要作任何处理便能交流；

对外严禁泄露：一旦文件离开使用环境，文件将自动失效，从而保护知识产权。

1、为什么需要透明文件加密

每个单位都有很重要的数据文件；比如对企业来说财务报表、用户名单、进货渠道、设计图纸、投标文件等等；那么这些资料你允许别人随意拿走吗？

如果你不想被拿走，你可能部署了比如网络监控等方式，但远远不够的，因为人是活的，既然你不想别人拿走，人家要拿的时候就千方百计的方式了；防不胜防；比如，压缩后发个邮件出去，修改名字后你也看不懂这个是什么再QQ传输出去；

那么你就应加密，比如采用压缩加密方式，或把文件夹加密，可是你会很快发现不现实也无什么用；比如压缩加密好了，你总是要打开的，要是你天天都要用的，你就烦了每天都加密解密；再比如假如你这个是设计的图纸，你的员工设计的，他手里还有一份呢，他抄走呢？再比如，一个大型的设计可能很多人需要参加，那你加密别人就无法参与了，可你解密后别人立即抄走了；也就是说你打开他们就抄走了，你不打开别人就无法工作了；这个时候，你就需要透明文件加密了；

2、什么叫透明文件加密

透明文件加密区别于常见的文件密码加密方式；对你想加密的机密文件进行保护时，系统在不改变用户原有工作流程和文件使用习惯的前提下，对需要保护的进程生成的所有文件(无论该文件原来是明文还是密文)进行强制加密保护。简单说：就是对你需要加密的文件自动加密又不改变原来的操作习惯，而能看的人又无法抄走（即使非法复制出去都是乱码的无法看的加密格式的文件）；这样，你的员工可以像往常一样工作和参与，但却无法抄走（无论是网络方式、U盘方式、或改名转存方式等等）；除非获得授权；

3、透明加密的基本功能

（1）强制、自动、透明加密电子文档，防止第一作者泄密；设置文档阅读权限，防止越权读取；

（2）自动备份加密文档，防止恶意删除；全程记录文件操作行为；

（3）有效控制传输途径：设备限制（USB存储设备、光驱/软件只读或禁用，打印机禁用）；禁止截屏、拖拽；禁止内容复制；三重密钥管理，安全可靠；灵活离

线策略，在方便员工短期外出、在家办公或长期出差的同时，仍防泄密；在线解密申请，授权高管解密后方可文件外发；

4、透明文件加密软件的部署

一般安装都很简单，在管理端安装一个引擎驱动，用于管理以及建立密钥等；被加密电脑安装工作站，然后就开始根据你管理端设置的规则自动加密了；剩余的只是对管理过程（比如授权、加密规则等）

5、透明加密技术原理

透明加密技术是与windows紧密结合的一种技术，它工作于windows的底层。通过监控应用程序对文件的操作，在打开文件时自动对密文进行解密，在写文件时自动将内存中的明文加密写入存储介质。从而保证存储介质上的文件始终处于加密状态。

监控windows打开（读）、保存（写）可以在windows操作文件的几个层面上进行。现有的32位CPU定义了4种（0~3）特权级别，或称环（ring），如图1所示。其中0级为特权级，3级是最低级（用户级）。运行在0级的代码又称内核模式，3级的为用户模式。常用的应用程序都是运行在用户模式下，用户级程序无权直接访问内核级的对象，需要通过API函数来访问内核级的代码，从而达到最终操作存储在各种介质上文件的目的。

为了实现透明加密的目的，透明加密技术必须在程序读写文件时改变程序的读写方式。使密文在读入内存时程序能够识别，而在保存时又要将明文转换成密文。Win dow 允许编程者在内核级和用户级对文件的读写进行操作。内核级提供了虚拟驱动的方式，用户级提供Hook API的方式。因此，透明加密技术也分为API HOOK广度和VDM（Windows Driver Model）内核设备驱动方式两种技术。API HOOK俗称钩子技术，VDM俗称驱动技术；

6、钩子透明加密技术简介

所有Windosw应用程序都是通过windows API函数对文件进行读写的。程序在打开或新建一个文件时，一般要调用windows的CreateFile或OpenFile、ReadFi le等Windows API函数；而在向磁盘写文件时要调用WriteFile函数。

同时windows提供了一种叫钩子（Hook）的消息处理机制，允许应用程序将自己安装一个子程序到其它的程序中，以监视指定窗口某种类型的消息。当消息到达后，先处理安装的子程序后再处理原程序。这就是钩子。

钩子透明加密技术就是将上述两种技术组合而成的。通过windows的钩子技术，监控应用程序对文件的打开和保存，当打开文件时，先将密文转换后再让程序读入内存，保证程序读到的是明文，而在保存时，又将内存中的明文加密后再写入到磁盘中。 钩子透明加密技术与应用程序密切相关，它是通过监控应用程序的启动而启动的。一旦应用程序名更改，则无法挂钩。同时，由于不同应用程序在读写文件时所用的方式方法不尽相同，同一个软件不同的版本在处理数据时也有变化，钩子透明加密必须针对每种应用程序、甚至每个版本进行开发。

目前不少应用程序为了限止黑客入侵设置了反钩子技术，这类程序在启动时，一旦发现有钩子入侵，将会自动停止运行。

7、驱动透明加密技术简介

驱动加密技术基于windows的文件系统（过滤）驱动（IFS）技术，工作在win dows的内核层。我们在安装计算机硬件时，经常要安装其驱动，如打印机、U盘的驱动。文件系统驱动就是把文件作为一种设备来处理的一种虚拟驱动。当应用程序对某种后缀文件进行操作时，文件驱动会监控到程序的操作，并改变其操作方式，从而达到透明加密的效果。

驱动加密技术与应用程序无关，他工作于windows API函数的下层。当API函数对指定类型文件进行读操作时，系统自动将文件解密；当进入写操作时，自动将明文进行加密。由于工作在受windows保护的内核层，运行速度更快，加解密操作更稳定。

但是，驱动加密要达到文件保密的目的，还必须与用户层的应用程序打交道。通知系统哪些程序是合法的程序，哪些程序是非法的程序。驱动透明加密工作在内核层。驱动加密技术虽然有诸多的优点，但由于涉及到windows底层的诸多处理，开发难度很大。如果处理不好与其它驱动的冲突，应用程序白名单等问题，将难以成为一个好的透明加密产品。目前市面上天锐科技在Anyview(网络警)驱动程序基础上开发出来的绿盾透明加密是驱动技术的成熟产品；

8、钩子透明加密技术与驱动透明加密技术比较

两种加密技术由于工作在不同的层面，从应用效果、开发难度上各有特点。从几个方面进行了简单比较：

（1）工作层：钩子透明加密工作在用户层，驱动透明加密工作在内核层；

（2）工作方式：钩子透明加密使用HOOK，驱动透明加密接受系统IRP；

（3）应用关联性：钩子透明加密直接和应用关联，所以应用更新或新的加密类导致需要重新更新开发；驱动透明加密和应用无关，但要提供应用加密列表；

（4）加解密可靠性：钩子透明加密由于应用层上所以速度慢容易死机等，特别是处理大文件或资源不足的时候；驱动透明加密采用内核加解密，受操作系统保护，稳定而且速度快；

（5）网络操作：钩子透明加密没有限制，驱动透明加密需要单独编写对应程序处理；

（6）开发难度：钩子透明加密相对容易但容易被当成病毒误杀或禁止；驱动透明加密开发难度大，开发驱动的过程可能连续一天反复重新启动100次电脑；

尾述：以上我们探讨了信息安全的重要性，透明加密的适用情况，透明加密的基本功能、简单通常部署说明、透明加密原理、加密软件驱动技术、驱动技术的比较、钩子技术在加密软件中的运用等；钩子透明加密技术开发容易，但存在技术缺陷，而且容易被反Hook所破解。正如杀毒软件技术从Hook技术最终走向驱动技术一样，相信透明加密技术也终将归于越来越成熟应用的驱动技术，为广大用户开发出稳定、可靠的透明加密产品来；