动态数据加密分类

动态数据加密分类什么是动态加密01动态加密层次级别02动态数据加密分类03Content目录01

什么是动态加密什么是动态加密

动态加密（也称实时加密，透明加密等，其英文名为encrypton-the-fly），是指数据在使用过程中自动对数据进行加密或解密操作，无需用户的干预，合法用户在使用加密的文件前，也不需要进行解密操作即可使用，表面看来，访问加密的文件和访问未加密的文件基本相同，对合法用户来说，这些加密文件是“透明的”，即好像没有加密一样，但对于没有访问权限的用户，即使通过其它非常规手段得到了这些文件，由于文件是加密的，因此也无法使用。由于动态加密技术不仅不改变用户的使用习惯，而且无需用户太多的干预操作即可实现文档的安全，因而近年来得到了广泛的应用。02

动态加密层次级别层次级别

在不同的操作系中，虽然数据的具体组织和存储结构会有所不同，即应用程序在访问存储设备数据时，一般都通过操作系统提供的API调用文件系统，然后文件系统通过存储介质的驱动程序访问具体的存储介质。其中层次I和II属于应用层；层次III和IV属于操作系统内核层。这种组织结构决定了加密系统的实现方式，在数据从存储介质到应用程序所经过的每个路径中，均可对访问的数据实施加密/解密操作，其中模型中的层次I只能捕获应用程序自身读写的数据，其他应用程序的数据不经过该层，因此，在层次I中只能实现静态加密，无法实现动态加密；即使是层次II，也并不是所有文件数据均通过该层，但在该层可以拦截到各种文件的打开、关闭等操作。因此，在应用层实现的动态加解密产品无法真正做到“实时”加密/解密操作，一般只能通过其他变相的方式进行实现。

03

动态数据加密分类动态数据加密分类文件加解密技术

在文件系统层，不仅能够获得文件的各种信息，而且能够获得访问这些文件的进程信息和用户信息等，因此，可以研制出功能非常强大的文档安全产品。就动态加解密产品而言，有些文件系统自身就支持文件的动态加解密，如Windows系统中的NTFS文件系统，其本身就提供了EFS（EncryptionFileSystem）支持，但作为一种通用的系统，虽然提供了细粒度的控制能力（如可以控制到每个文件），但在实际应用中，其加密对象一般以分区或目录为单位，难以做到满足各种用户个性化的要求，如自动加密某些类型文件等。虽然有某些不足，但支持动态加密的文件系统在某种程度上可以提供和磁盘级加密技术相匹敌的安全性。由于文件系统提供的动态加密技术难以满足用户的个性化需求，因此，为第三方提供动态加解密安全产品提供了足够的空间。动态数据加密分类

要研发在文件级的动态加解密安全产品，虽然与具体的操作系统有关，但仍有多种方法可供选择，一般可通过Hook或过滤驱动等方式嵌入到文件系统中，使其成为文件系统的一部分，从某种意义上来说，第三方的动态加解密产品可以看作是文件系统的一个功能扩展，这种扩展往往以模块化的形式出现，能够根据需要进行挂接或卸载，从而能够满足用户的各种需求，这是作为文件系统内嵌的动态加密系统难以做到的。动态数据加密分类磁盘级动态

对于信息安全要求比较高的用户来说，文件级加密是难以满足要求的。例如，在Windows系统中（在其它操作系统中也基本类似），我们在访问文件时，会产生各种临时文件，虽然这些临时文件在大多数情况下，会被应用程序自动删除，但某些情况下，会出现漏删的情况，即使临时文件被删除，但仍然可以通过各种数据恢复软件将其进行恢复，在实际应用中，这些临时文件一般不会被加密，从而成为信息泄密的一个重要渠道。更进一步，即使将临时文件也进行了加密处理，但系统的页面交换文件等（如Windows的Pagefile.sys等，除文件系统内嵌的加密方式外，第三方动态加解密产品一般不能对系统文件进行加密，否则会引起系统无法启动等故障）也会保留用户访问文件的某些信息，从而引起信息的泄密。

有一种方式可以避免上述提到的各种漏洞，那就是将存储设备上包括操作系统在内的所有数据全部加密，要达到这个目的，只有基于磁盘级的动态加解密技术才能满足要求。动态数据加密分类

与静态方式不同，在系统启动时，动态加解密系统实时解密硬盘的数据，系统读取什么数据，就直接在内存中解密数据，然后将解密后的数据提交给操作系统即可，对系统性能的影响仅与采用的加解密算法的速度有关，对系统性能的影响也非常有限，这类产品对系统性能总体的影响一般不超过10%（取目前市场上同类产品性能指标的最大值）。亿赛通公司基于磁盘级动态加解密的安全产品DiskSec的实现原理，从中可以看出，DiskSec的动态加解密算法位于操作系统的底层，操作系统的所有磁盘操作均通过DiskSec进行，当系统向磁盘上写入数据时，DiskSec首先加密要写入的数据，然后再写入磁盘；反之，当系统读取磁盘数据时，DiskSec会自