加密管理系统加密原理计算机知识技巧学习微机资料.doc

一、 关于敏捷安全卫士管理系统的加密原理及技术体系敏捷安全卫士管理系统是采用经国家密码管理局批准的SCB2密码算法，最高加解密速度可达1.4Gbps；采用高安全强度的智能卡技术，双芯片解决方案，支持有驱动与无驱动两种模式。(一) 、SZD13-ASZD13-A是采用单芯片技术，无需外接USB芯片就可以独立完成高速的通讯运算，主要功能实现 与SZD13智能密码钥匙基本一致。芯片采用32位RISC处理器，5级流水指令，高处理能力。采用RSA运算协处理器，可实现高速RSA密钥生成及签名认证，USB通信采用批量传输，符合USB1.1协议，传输速度快。实现了RSA公钥算法以及国家密码管理局批准认可的SSF33对称算法，比SZD13智能密码钥匙运算速度及性能指标高，实现了智能KEY通用开发接口，可以应用于各类网络中的客户端以及一些安全性要求较高的场合，例如金融、税务、证券、电子商务、电子政务、系统集成、VPN等行业及领域。(二) 、SZD13-B/SZD13-C1. SZD13-B：我敏捷科技股份有限公司申报的就是“SZD13A智能密码钥匙改进型”，已通过了国家密码管理局的产品测试与安审，被正式命名为“SZD13-B智能密码钥匙”，SZD13-B智能密码钥匙采用SCB2算法，属城乡通信专用型。2. SZD13-C用于通用领域的SZD13-B智能密码钥匙，该款产品采用SCB2通用型算法，主要通过基于32位RISC处理器的芯片完成，5级流水指令，高处理能力；RSA运算协处理器，可实现高速RSA密钥生成及签名认证。USB通信采用批量传输，符合USB1.1协议，传输速度快。可广泛应用于金融、税务、证券、电子商务、电子政务、系统集成、VPN等行业及领域。(三) 、SZD13-D/SZD13-E同时支持SSF33算法及SCB2算法的智能密码钥匙产品，通过了国家密码管理局的审查、测试， 分别被命名为“SZD13-D智能密码钥匙”和“SZD13-E智能密码钥匙”。这两款新产品是基于敏捷科技股份有限公司原有的SZD13-B智能密码钥匙开发完成的，具有独立的知识产权。在设计上采用了将USB控制器和处理器集成到单芯片的模式；在功能上，这两款产品同时支持SSF33算法和SCB2算法，可在任何具有USB接口的计算机上使用。这两款产品的不同之处在于：SZD13-D智能密码钥匙主要面向县乡通信专用，而SZD13-E智能密码钥匙可广泛应用于金融、电子政务、电子商务等对安全性要求较高的行业，主要用来存储标志持有者身份、权限的信息，使用灵活方便，便于携带。二、 敏捷安全卫士管理系统的安全性分析(一) 、加密算法安全性分析1. 对称加密算法：国家主管部门批准的专用密码算法（SCB2），密钥长度512比特。2. 公开密钥算法：对称密钥分发、更新、删除管理过程中采用了RSA公开密钥算法。密钥长度2048比特。(二) 、密钥管理安全性分析1. 对称密钥存放：敏捷安全卫士管理系统根对称密钥存放在加密狗内，此加密狗安全模块使用了第二代安全引擎，采用了先进的安全算法，可以有效防止黑客进行静态分析和动态跟踪。2. 对称密钥分发：敏捷安全卫士软件对称密钥文件分发过程采用网络发送方式，对称密钥在网络上传递过程中采用了公开密钥算法RSA进行加密，并且采用了硬件ID识别绑定方式，确保每一台机器的对称密钥文件只能以密文的方式存放在磁盘，且只能在本机正常使用。3. 对称密钥使用：对称密钥的使用只在受控文件打开、存盘时解密到内存中。在允许脱机的其他时间密钥一直以加密形式存放在磁盘。4. 对称密钥文件销毁：为考虑加、解密的速度，敏捷安全卫士软件采用了缓存对称密钥文件的方式，但该文件有一定的生命周期，在允许脱机使用的情况下，脱机时间内，该文件是可以被解密的；超过脱机时间该文件将被死锁，只有到下次联网注册后，才能被重新授权打开。(三) 、内存明文保护安全性分析1. 复制/粘贴操作：很多应用程序中都有“复制/粘贴”的功能，为了避免利用“复制/粘贴”功能，把一个被保护的文件内容复制下来粘贴到一个不被保护的文件中，然后通过带走不被保护的文件的方式，窃取被保护文件的内容的泄密行为，DG对复制/粘贴功能做了相关安全处理。当DG客户端配置不允许复制/粘贴时，DG在这里主要遵循的一个原则可以简单概括为“许进不许出”，就是任何一个被保护的文件内容都不允许复制/粘贴到一个不被保护的文件中，一个不被保护的文件内容则可以复制/粘贴到一个被保护的文件中，而被保护的文件相互之间的复制/粘贴不受影响；当配置允许复制/粘贴时，则不做任何控制，所有的文件都可以相互复制/粘贴。2. OLE操作：当配置不允许复制/粘贴时，DG还是遵循“许进不许出”的原则，就是任何一个被保护的文件内容都不允许通过OLE操作到一个不被保护的文件中，一个不被保护的文件内容则可以通过OLE操作到一个被保护的文件中，而被保护的文件相互之间的OLE操作不受影响。3. 硬拷贝操作：硬拷贝指的是通过键盘的“PrintScreen”键，把一个文件的内容屏打下来粘贴到另一个文件中。当配置不允许复制/粘贴时，一个被保护的文件内容是无法通过“PrintScreen”键屏打下内容的；当配置允许复制/粘贴时，“PrintScreen”键功能可以正常使用。4. QQ、录屏软件截屏操作：现在的QQ软件、还有其他很多截屏工具软件有截屏的功能，通过这个功能可以把一个文件的内容截取成图片保存下来，DG针对此类软件也做了相应的防范。当打开一个被保护文件时，启动QQ的截屏功能或其他的截屏软件，此时屏幕变为黑屏，截取出的图片均为黑屏图片，无法截取到真实的文件内容。5. 拖拽操作：现今的部分软件可以通过拖拽操作把文件内容拖拽到其他的文件中，或者拖拽到一个文件夹中形成文件片段，比如Office办公软件中的word，如果对一个受保护的文件进行这样的操作可能会导致泄密，所以DG对此类操作也做了防范。当配置不允许复制粘贴时，一个被保护文件中的内容不能够通过拖拽操作拖拽到一个不被保护的文件中，或者产生文件片段，而被保护文件之间的相互操作不受影响。(四) 、解密审计安全性分析1. 外发解密日志审计：通过外发流程发出的外发解密申请及审批，可通过“审计”功能查看到外发的所有流程或者特定申请人、接收人、申请日期以及流程中所经过的所有审批人和当前流程所处的状态：“完成”、“审批中”。所有的操作申请，审批步骤均有据可查。一旦出现人为泄密的情况（如恶意通过审批，盗取文件），可通过日志审计查询到具体步骤、时间、申请人、接收人、审批人、状态，以便追究责任到个人。2. 外发解密内容审计：申请外发解密文件的具体信息可通过“查看”详细信息查看外发文件的具体信息，包括“接收人”、“生命周期”（具体包括是否明文外发，控制外发文件次数、天数，是否允许打印、修改等）、“文件列表”（包括申请外发的文件，外发状态（“完成”，“审批中”）、“申请意见”，“审批记录”（具体由哪些人审批，审批是否通过，审批时间）。通过这些信息可追查到出现泄密问题的文件内容，及相关申请人、审批人等信息。三、 关于透明加密的一些知识透明加解密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。(一) 、透明：所谓透明：是指对使用者来说是不可见的。当使用者在打开或编辑指定文件时，系统将自动对未加密的文件进行加密，对已加密的文件自动解密。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法获得自动解密的服务而无法打开，从而起到保护文件内容的效果。透明加解密技术是与操作系统紧密结合的一种技术，它工作于操作系统底层，从技术角度看，可分为内核级加密和应用级加密两类。(二) 、应用层加密：属于内容级安全管理软件，基于Windows操作系统的API hook技术制造，其软件本身是跟应用软件有紧密关系的一种方式。(三) 、驱动层加密：基于Windows的文件系统（过滤）驱动（IFS）技术，工作在Windows的内核层。与应用软件无相关性，属于内容级管理软件。具有以下的优点：1. 驱动加密技术与应用程序无关，需要监控应用程序名单 ；2. 内核层加解密，受Windows系统保护；3. 加解密速度快，安全可靠，大文件不会死机。 (四) 、透明加密技术原理透明加密技术是与Windows紧密结合的一种技术，它工作于Windows的底层。通过监控应用程序对文件的操作，在打开文件时自动对密文进行解密，在写文件时自动将内存中的明文加密后写入存储介质。从而保证存储介质上的文件始终处于加密状态。监控Windows打开（读）、保存（写）可以在Windows操作文件的几个层面上进行。 为了实现透明加密的目的，透明加密技术必须在程序读写文件时改变程序的读写方式。使密文在读入内存时程序能够识别，而在保存时又要将明文转换成密文。Window 允许编程者在内核级和用户级对文件的读写进行操作。内核级提供了虚拟驱动的方式，用户级提供Hook API的方式。因此，透明加密技术也分为API HOOK广度和VDM（Windows Driver Model）内核设备驱动方式两种技术。API HOOK俗称钩子技术，VDM俗称驱动技术。(五) 、基于OS应用层透明加密技术Windows应用程序数据访问机制，所有Windosw应用程序都是通过Windows API函数对文件进行读写的。程序在打开或新建一个文件时，一般要调用Windows的CreateFile或OpenFile、ReadFile等Windows API函数；而在向磁盘写文件时要调用WriteFile函数。 同时Windows提供了一种叫钩子（Hook）的消息处理机制，允许应用程序将自己安装一个子程序到其它的程序中，以监视指定窗口某种类型的消息。当消息到达后，先处理安装的子程序后再处理源程序，这就是钩子（Hook）。 加密原理：钩子透明加密技术就是将上述两种技术组合而成的。通过Windows的钩子技术，监控应用程序对文件的打开和保存，当打开文件时，先将密文转换后再让程序读入内存，保证程序读到的是明文，而在保存时，又将内存中的明文加密后再写入到磁盘中。 钩子透明加密技术与应用程序密切相关，它是通过监控应用程序的启动而启动的。一旦应用程序名更改，则无法挂钩。同时，由于不同应用程序在读写文件时所用的方式方法不尽相同，同一个软件不同的版本在处理数据时也有变化，钩子透明加密必须针对每种应用程序、甚至每个版本进行开发。目前不少应用程序为了限止黑客入侵设置了反钩子技术，这类程序在启动时，一旦发现有钩子入侵，将会自动停止运行。(六) 、基于OS驱动层透明加密技术Windows驱动层加密原理： 驱动加密技术基于Windows的文件系统（过滤）驱动（IFS）技术，工作在Windows的内核层。我们在安装计算机硬件时，经常要安装其驱动程序，如打印机、U盘的驱动程序。文件系统驱动程序就是把文件作为一种设备来处理的一种虚拟驱动程序。当应用程序对某种后缀文件进行操作时，文件驱动程序会监控到程序的操作，并改变其操作方式，从而达到透明加密的效果。驱动加密技术与应用程序无关，他工作于Windows API函数的下层。当API函数对指定类型文件进行读操作时，系统自动将文件解密；当进入写操作时，自动将明文进行加密。由于工作在受Windows保护的内核层，运行速度更快，加解密操作更稳定。驱动加密要达到文件保密的目的，还必须与用户层的应用程序打交道。通知系统哪些程序是合法的程序，哪些程序是非法的程序。驱动透明加密工作在内核层。 应用层与驱动层透明加密技术的比较: (七) 、加密算法的分类加密算法类别有两类：对称算法和非对称算法。1. 对称算法是指加密运算和解密运算都采用同一个密钥。2. 非对称算法则是加密运算和解密运算采用两个不同但配对的密钥，其中一个称为“公钥”，另一个称为“私钥”。在非对称算法中，要么采用公钥加密而私钥解密，要么采用私钥加密而公钥解密，非对称算法的可靠性更强。3. 加密的可靠性，除了算法之外，关键就是密钥。在同样的算法的前提下，密钥越长，可靠性越强。密钥长度低于64位是不可取的。需要注意的是，密钥长度越长，运算量越大，消耗的计算资源(包括机器性能和时间)就越多。 4. 密钥的保管也是关键问题。这包括密钥的生成、传送和备份。密钥的生成，多数加密系统都解决得比较好。通常的做法是根据全球唯一的硬件特征码来生成全球唯一的密钥。这个硬件特征码，有的是指客户的硬件(例如服务器)，有的是厂商提供的硬件(例如Ukey)。透明加密来说，必须是全程的。也就是说，应用软件生成的临时文件也必须是密态的。很多应用软件在编辑数据文件时，都会生成临时文件。最广为人知的就是MS Word在编辑doc文档时，会在同目录下出现以“$”开头的文件和一个以“”开头并以tmp为后缀的文件。这些临时文件在相应的数据文件被正常关闭后，会被删除。由于这些临时文件也存储有企业的机密数据，因而这些临时文件的保护也就显得非常重要了。 在对供应商进行这一项考查的时候，要特别注意。有些品牌的加密系统，为了给自己图方便，放弃对中间过程的文件进行加密。例如： 利用Hook技术拦截程序对文件的打开操作； 把打开的文件隐蔽地解密到一个“秘密”的地方； 在后台把应用程序对数据文件操作指针指向位于“秘密”之处的明文； 在关闭数据文件时，把隐藏的明文加密并替换原有的文件。这样的设计，让用户看起来是能够打开编辑密文，编辑保存后得到的还是密文。但是实际上应用软件真实编辑的对象是一个不加密的明文文件。四、 敏捷安全卫士管理系统采用的加密技术的特点1. DG采用了最为成熟稳定的Windows内核技术；2. DG能够支持最新Windows 64、Windows Vista；3. DG采用了Windows多种成熟技术，如API Hook、内核Hook、驱动过滤技术、进程指纹识别等；4. DG是国内唯一拥有10万以上授权用户的加密软件产品，经过大量客户的验证，使产品的技术漏洞目前是所有同类产品中最少的，产品稳定程度也是最好的；5. DG的技术也是取得国家相关资质认证较全的一家；6. DG是敏捷科技股份有限公司自主知识产权的产品，目前有很多厂家其实没有自己的核心技术，都是通过购买一些源代码的方式来进行产品的组合，根本没有后续的升级服务能力；7. DG也是与第三方PDM集成最为丰富的一家，目前已经与国内外主流PDM/PLM进行了较好集成。五、 敏捷安全卫士管理系统与其他加密产品的竞争优劣势分析序比 较 内 容敏捷DG 8.0系列产品其它供应商系列产品1加密方式是否透明加密是，实时，强制，透明加密大部分厂商都不是自动和手动加密1可按照部门和文件格式设置不同的加密方式；2提供自动扫描加密，实现对已有的大量文档进行批量加密处理；3加密不改变后缀名；4加密文件可直接使用应用软件打开（如密文DOC文件可直接用Word打开）有手动加密和自动加密，手动加密方式会改变后缀名，此文件不能直接通过应用软件打开；加解密文件不会改变后缀名。明文与密文使用明文与密文可以同时在一台客户端在使用：1手动加密与自动加密后的文档可以同时打开使用；2同一格式未加密文档与加密文档可以同时打开使用；3不同授权策略的加密文档可以同时打开使用，且权限不会混乱。两种加密方式的文档不能同时打开使用；无法实现同一格式未加密文档与加密文档可以同时打开使用；不同加密方式的文件的权限体系不同，无法同时打开使用。2加密基本原理Windows内核级 透明加密只对应用层加密或改变磁盘分区3文件外发系统有，且有国家专利技术证书无（或集成）4解密流程有无5文件主动备份有无6USB控制/光驱控制有部分有，大多数厂家无7组织内部分密级、分部门管理是无权限管理用同一套策略来统一管理手动加密和自动加密的密文权限，可对文件进行阅读、编辑、打印、复制（截屏）等控制，权限可按照用户进行细化；可根据密文之间的权限判断是否可以使用插入对象功能；可实现同一用户可以访问不同安全策略的文件。手动加密和自动加密对应两套不同的安全策略，需针对不同模式去分别设置；只能控制文件的编辑、打印、复制操作。粗细粒度授权两种加密都可以实现不同粒度的授权；可实现对整个单位进行授权；也可实现对部门进行授权；可实现同级部门之间、部门与子部门之间的授权策略不同；可实现对工作组、项目组进行授权；可实现对个人进行授权。手动加密的文件授权只可以针对用户、用户组、逻辑组；而自动加密下的文件的授权只针对到计算机。文档的作者授权手动加密和自动加密模式下，密文作者都可以对文件进行权限的管理；可增加可授权操作的用户列表；可针对文件设置打印、编辑和复制的权限。仅手动加密下的文件授权可实现作者授权，自动加密下的文件不能实现作者授权。8有卸载功能和卸载码有无9客户端是否有界面或图标，是否改变用户使用习惯无有10防止进程名修改欺骗能防止不能11授权用户规模10万台较少12加密算法国密匹配 SCB2Cobra或自己开发13架构三层（方便快速扩充、布署）二层数据库SQL 2000或SQL 2005MySQL14支持32位和64位Windows系列的操作系统支持（Vista,Win7）不支持或部分支持15支持32位和64位各种第三方应用软件（如三维）支持不支持或部分支持16有否自定义审批流程设置功能有没有有否审批人管理有无产品是否具有专利技术有，国家专利技术证书无17计算机软件著作权登记证书有部分有18商用密码产品生产定点单位证书和销售许可证有，国家密码管理局颁发没有19公司综合实力：成立时间注册资金1999年成立，1580万元人民币成立时间晚，注册资金少。20计算机信息系统安全专用产品销售许可证有，中国公安部监制部分公司有21军用信息安全产品认证证书有，军C+级部分公司有22涉密信息系统产品检测证书有，国家保密局部分公司有23软件企业和软件产品登记证书都有部分公司有24高新的技术产品认定证书有部分公司有六、 敏捷安全卫士管理系统能为客户解决哪些问题1. 加密的程序以及文件类型：Office软件系列，doc，xls，ppt等以及其所产生的pdf文件，对上述程序产生的文件进行实时的透明的自动加密。2. 客户端支持Widows XP，Windows Vista，Windows 7 系列的32位和64位的操作系统。3. 客户端支持32位和64位的应用软件（含二维和三维大型设计软件）。4. 可针对不同的部门设置不同的加密策略和解密策略。5. 可以设置出差笔记本的离线使用时间，在离线之后客户端不会出现蓝屏等异常，到了指定时间，加密文档自动不能打开，甚至可以设置延长脱机执行时间等。6. 文档外发功能，支持批量外发包制作，控制使用时间、使用次数、绑定计算机、能控制打印、只读、修改和删除等的权限。7. 文件发给合作厂商（上下游供应链）需设置审批，并且支持多级的自定义审批。8. 针对老板或高层领导的电脑，要求可查阅所有已加密的文档，可对