随着计算机的普及应用,越来越多的电子文件用于信息的交流。这种交流方式给人们带来快捷和便利,也带来电子文件信息的泄漏问题。自2003年以来,对电子文件进行加密处理,成为普遍采用的信息安全保护手段,被广大使用者认同。基于电子文件加密技术所形成的各类软件或功能层出不穷,充满市场,给广大使用者提供方便、快捷的工具,满足其信息安全保护的要求与目的。
一、电子文件加密方式
利用计算机技术对电子文件进行加密的方式很多,通过归纳总结,主要以静态加密技术和动态加密技术为主。
1.静态加密技术
静态加密技术是指在加密期间,待加密的电子文件处于已存在但未使用状态,操作者通过输入密码、密钥证书或数字签名等方式,对电子文件进行加密。加密文件使用时,需要操作者通过输入密码或密钥证书或数字签名等解密信息,在得到明文后才能使用。目前市场上许多应用系统中(如WORD的“加密文件”功能等)的口令或密钥证书功能,就属于这种加密方式。
2.动态加密技术
动态加密技术,也称为实时加密或透明加密技术,是指电子文件在使用过程中,如新建文件、编辑文件和计算机自动对电子文件进行加密操作,无需操作者对电子文件进行人工干预。经过动态加密的电子文件,对于“合法”操作者来说,无需对电子文件进行解密即可使用,访问或操作加密文件与访问未加密电子文件操作动作相同。因此,对于“合法”操作者,经过动态加密的电子文件是“透明”的,好像没有进行过加密。而对“非法”操作者,即使通过其他渠道得到这些电子文件,由于电子文件经过动态加密,使其无法使用。即使能够打开电子文件,计算机界面上也只是一些“乱码”而已,更谈不上对电子文件进行阅读、编辑和打印。动态加密技术的主要特征为电子文件从创建开始,就处于加密状态,保存在计算机存储器中的电子文件也是加密的。
由于动态加密技术对需要加密的电子文件数据内容,实行实时加(解)密,计算机必须动态跟踪这些需要加(解)密的数据流,而且加(解)密的实现位于计算机系统内核中。因此,从实现的技术角度来看,实现动态加密技术要比静态加密技术困难,需要解决的技术难点也远远超过静态加密技术。动态加密技术不仅不改变操作者的使用习惯,而且无需操作者进行干预操作即可实现电子文件的安全,因而得到广泛的应用。
二、动态加密技术主要概念
在动态加密技术中,加密策略和进程识别是两个非常重要的技术。一般情况下,加密策略含有加密算法、密钥和控制模式等。加密策略规定电子文件在加密过程中,需要采用何种方式去改变电子文件的内容,以达到保护电子文件的目的。加密策略具有多重性,即对同一电子文件采用同一个加密策略,而对不同的电子文件则可以采用不同的加密策略,也就是常说的“一文一密”。
动态加密技术的另一个重要技术就是进程识别。在许多情况下,动态加密需要通过对操作电子文件的进程进行识别,来判断是否需要对所操作的电子文件进行加密保护。对电子文件的进程识别,除对进程名称进行识别外,还需要抽取进程特征,进行对比分析,以确定该进程是否是动态加密所期望的进程特征,防止“假冒”进程对加密电子文件的“越权”访问。进程识别可根据识别的位置分为应用型、驱动型和应用驱动混合型三类。
加密策略和进程识别一般根植于动态加解密平台中,相互配套,缺一不可。除加密策略的加密算法和密钥外,加密策略和进程识别由系统管理员集中管理,在相应的工具下,进行制订和维护,除系统管理员外的文件操作者无权获取或更改加密策略和进程识别。
三、动态加解密技术工作原理
利用动态加密技术对电子文件进行加(解)密处理,其加(解)密的过程均在计算机后台中进行,电子文件使用者在使用加密文件时,与未使用动态加密技术时一样,不会感觉到操作过程的变化。例如,操作者利用Word系统编辑一个文档(格式为DOC)时,不会因为使用动态加密技术而出现超过未使用的步骤,仍保持着原有的操作习惯和操作步骤,并在电子文件操作反应时间上几乎不受影响。本文以下通过GS-DES大天图文档安全管理系统,说明电子文件动态加解密工作原理,如图所示。
在Windows操作系统平台下,对电子文件的操作是通过向操作系统的I/O管理器提出需求,并由操作系统I/O管理器将该电子文件的操作定位指向该电子文件所属的文件操作系统(如Doc格式文件对应Word系统、Dwg格式对应AutoCAD系统等)来处理。而动态加密平台在电子文件读取与保存时,将加密策略和进程识别注入电子文件中,形成加密或解密数据。
1.读取数据(文件)
文件操作系统从计算机硬盘(包括移动存储器)中读取加密文件(包括创建新文件使用的默认文件模版)时,动态加密平台对所读取的电子文件进行判断,按以下方式进行处理。
(1)加密文件:动态加密平台在计算机内存中,对加密文件进行解密,并以明文的形式显示在显示器上。
(2)明文文件:不需要解密,直接以明文的形式显示在显示器上。
(3)对于绕过动态加密平台的加密文件,则以“乱码”的形式显示在显示器上或者以“文件格式不符”的提示形式,退出文件操作系统,达到电子文件内容保护的目的。
2.保存数据(文件)
经过编辑等操作的电子文件进行保存(另存)时,动态加密平台通过加密策略和进程识别对电子文件进行识别,根据识别结果,按以下方式进行处理。
(1)电子文件对应的文件操作系统,未纳入加密策略和进程识别范围内,说明该文件不需加密控制,动态加密平台不对该文件进行加密控制,由文件操作系统直接将文件保存到计算机存储器中。
(2)电子文件对应的文件操作系统,纳入加密策略和进程识别范围内,说明该文件需要加密控制。动态加密平台在计算机内存中对电子文件进行加密处理,注入加密策略和进程识别等信息,使电子文件得到加密,文件操作系统再将该文件保存到计算机存储器中。
3.复制数据(文件)
在日常工作中,往往会出现多种文件操作系统同时使用,文件操作系统之间进行文件内容的相互复制与粘贴。动态加密平台按照加密策略和进程识别对文件内容的复制与粘贴进行控制,例如:
(1)密文文件——明文文件。从明文文件中复制内容,粘贴到密文文件中,所获得的内容得到加密,并以“明文”的形式出现。反之,从密文文件中复制内容,粘贴到明文文件中,所获得的内容以“乱码”或“黑斑”的形式出现。
(2)密文文件——密文文件。从密文文件中复制内容,粘贴到密文文件中,所获得的内容得到加密,并以“明文”的形式出现。
(3)明文文件——明文文件。从明文文件中复制内容,粘贴到明文文件中,直接获得内容,并以“明文”的形式出现。
例如,在加密策略和进程识别中,Word系统纳入控制,WPS系统不受控制。Word系统产生的电子文件为密文文件,WPS系统产生的电子文件为明文文件,它们之间的相互复制与粘贴将出现:
(1)加密文件内容复制到未加密文件内,采取“阻止”,得到“乱码”或“黑斑”;
(2)未加密文件内容复制到加密文件内,采取“放行”,得到“明码”内容。
四、动态加密技术特点
动态加密技术的发展给电子文件保护(加密)带来新的方式和方法,可以控制绝大多数文件操作系统。同时,以动态加密技术为核心的动态加密平台(软件系统),如GS-DES大天图文档安全管理系统等,已广泛得到应用,并得到用户的肯定。这些动态加解平台(软件系统),具有以下共同特点。
(1)适用面广:适用于文字、图片、工程图、三维模型、流程图、数据表格、计算机程序、数据库和媒体文件等电子文件。
(2)使用方便:不影响操作者原有的操作习惯,对计算机软、硬件配置无任何特殊要求。
(3)强制加密:对指定的文件操作系统,实行后台强制性加密,加解密过程不需要人工干预。对外提供的明文文件实行统一解密,规范了用户的安全管理模式。
(4)内外有别:加密文件内部交流无需处理即可应用,一旦离开使用环境,无法打开操作,从而保护用户的利益。
五、结束语
自2006年以来,基于动态加密技术对电子文件进行加密的软件产品,越来越被广大用户认可。利用电子文件加密软件对用户内部的电子文件进行“后台”处理,防止电子文件通过网络以及数据存储设备(如U盘等)对外泄漏,成为当前用户对电子信息安全保护的主要手段和共识,进而保护电子文件拥有者的权利和利益。
动态加密技术介绍:也称为实时加密或透明加密技术,是指电子文件在使用过程中,如新建文件、编辑文件和计算机自动对电子文件进行加密操作,无需操作者对电子文件进行人工干预。经过动态加密的电子文件,对于“合法”操作者来说,无需对电子文件进行解密即可使用,访问或操作加密文件与访问未加密电子文件操作动作相同。因此,对于“合法”操作者,经过动态加密的电子文件是“透明”的,好像没有进行过加密。而对“非法”操作者,即使通过其他渠道得到这些电子文件,由于电子文件经过动态加密,使其无法使用。即使能够打开电子文件,计算机界面上也只是一些“乱码”而已,更谈不上对电子文件进行阅读、编辑和打印。
动态加密技术的主要特征为电子文件从创建开始,就处于加密状态,保存在计算机存储器中的电子文件也是加密的。