加密软件调查之：加密技术发展

    从2005年开始，中国信息安全市场热点逐渐转向以数据安全、数据防泄密为主的加密软件。在经历多年的技术、产品、市场和应用的发展之后，加密软件已经成为当前国内信息安全最为热火的领域。以文档和数据加密为核心，辅以文档的权限管理、备份、审计等多种功能的加密软件，已经在国内普遍应用开来。

    2012年中旬，由国内数据安全专家和相关机构联合组成的“中国加密软件调查专家委员会”，以不记名问卷调查方式，针对加密软件厂商、媒体、用户单位、渠道代理商等相关产业链上下游单位，发出10万份调查问卷，从市场、产品、技术、应用等多方面进行深度调研，并委托天思数据调查公司做出调查分析统计报告。本文为调查报告的“加密软件的技术发展”部分。

一、加密软件的基础——密码产品和密码学研究

    密码学是研究编制密码和破译密码的技术科学。加密软件是在密码应用的基础上，对核心文档和数据进行加密保护的软件。因此，密码产品和密码学研究对于加密软件的安全性、稳定性、可靠性和效率等方面具有很重要的基础性作用。

    在国内处于领先地位的加密软件厂商，思智泰克创始人刘昊原就是在密码和密码学研究方面的世界顶级专家。刘昊原在密码学和密码产品研究方面拥有二十年的经验，1995年开始发表的新一代信息安全专利技术具备世界级的领先地位，密码学研究成果包括身份认证、完整性校验、对称加密算法等获得了46项中国、美国及欧盟的发明级专利，被国内外信息安全领域的主流厂商广泛认可，屡次获得政府专项基金支持和各种行业大奖。

    根据调查报告，中国加密软件的密码应用方面有几个方面值得介绍：

    1、关于对称密钥和非对称密钥

    对称密钥加密，又称私钥加密或会话密钥加密算法，即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。非对称密钥加密系统，又称公钥密钥加密。它需要使用不同的密钥来分别完成加密和解密操作，一个公开发布，即公开密钥，另一个由用户自己秘密保存，即私用密钥。信息发送者用公开密钥去加密，而信息接收者则用私用密钥去解密。公钥机制灵活，但加密和解密速度却比对称密钥加密慢得多。

    所以，在实际的应用中，人们通常将两者结合在一起使用，例如，对称密钥加密系统用于存储大量数据信息，而公开密钥加密系统则用于加密密钥。

    思智泰克，创立于2001年，是中国首批从事加密技术和产品开发的国内安全厂商。思智泰克在2005年推出业界第一款加密软件，就率先借鉴了业内的加密方式，采用对称密钥和非对称密钥相结合的方式，这也成为后续跟进者的通常做法。目前，市场上大多数加密软件也都采用了这一方式。

    2、单一密钥与一文一密钥

    在加密软件中，在密钥交换过程采用非对称加密算法保护动态密钥种子的传输，因为采用了动态密钥，所以在加密软件过程中都是“一文一密钥”，这都是加密软件的通用做法。

    思智泰克早在2006年时，即已采用这一方式，使每个文件都能匹配对应的密钥，从而确保相当高的安全性，用户在使用加密软件中，不可能因为单一密钥而有被破解的风险。

    3、密钥长度、安全强度与工作效率

    对文档和数据进行加密后，密文的长度会加长。一般来说，密钥位数越多，安全性就会越高。而密钥长度往往直接影响密文的长度，所以，当密钥位数增加后，往往会导致文档和数据在加解密过程中占用更多资源，耗费更长的时间，从而导致工作效率下降。

    思智泰克的优势在于，通过多年的技术积累和应用，有效地解决了信息安全的强度和工作效率之间的均衡。在调查过程中，思智泰克在这个技术难点上的解决是最为令人满意的。

    最值得推荐的是，由于思智泰克拥有业界最先进的密码学技术，因此，在密钥位数增加的情况下，对文档和数据的加解密效率并不会降低。这一领先技术尤其体现在大型文档和超大型文档的加解密过程中。思智泰克所独家拥有的密码学专利成为众多用户青睐的重要原因之一。

二、加密软件的重要技术

    加密软件是以思智泰克为首的国内信息安全厂商，基于中国国情而创制的数据防泄密软件，与国外的数据丢失防护软件(DLP)想比，企业权限管理ERM软件更符合中国国情，对于国家安全、企业知识产权及个人信息都具备最直接而有效的防护。在加密软件发展历程中，有以下技术值得介绍：

    1、应用层加密与驱动层加密

    应用层透明加密技术与应用程序密切相关，它是通过监控应用程序的启动而启动的。一旦应用程序名更改，则无法挂钩。同时，由于不同应用程序在读写文件时所用的方式方法不尽相同，同一个软件不同的版本在处理数据时也有变化，钩子透明加密必须针对每种应用程序、甚至每个版本进行开发。

    驱动层透明加密技术是基于windows的文件系统（过滤）驱动（IFS）技术，工作在windows的内核层。驱动加密要达到文件保密的目的，还必须与用户层的应用程序打交道，通知系统哪些程序是合法的程序，哪些程序是非法的程序。

    驱动层加密开发难度大，技术难点多，需要多年技术积累和应用方可得以成熟。因此，只有思智泰克等少数具备强大研发实力的加密软件厂商，拥有该技术的核心开发能力。尤其是思智泰克第五代无损数据加密技术，领先业内其他软件厂商三年以上。其他大多数号称驱动层加密的软件，其性能往往极为不稳定，给用户带来数据损坏和系统崩溃的痛苦，在调查中也多有用户反映这种情况。

    2、DRM（数字版权管理）与ERM（企业权限管理）

    DRM（Digital Right Management数字版权管理)技术的工作原理是，首先建立数字节目授权中心，编码压缩后的数字节目内容，利用密钥（Key）进行加密保护（lock），加密的数字节目头部存放着KeyID和节目授权中心的URL。需要保护的节目被加密，即使被用户下载保存，没有得到数字节目授权中心的验证授权也无法播放，从而严密地保护了节目的版权。

    DRM是一种静态加解密技术，适用范围很小。但是DRM对于单个文档的具体使用权限保护，是一项伟大的发明，正是基于DRM的启发，才诞生了ERM（企业权限管理）。

    ERM（EntERPrise Right Management），即企业权限管理，是类似DRM的企业级信息安全解决方案，在国外的一些专业市场分析和技术类内容和文献中，ERM也被称为EDRM(EntERPrise Digital Right Management)。ERM系统在具体功能上全面整合了网络访问控制、强身份认证、数据通讯机密性、数据存贮机密性、数据使用可控性等多项先进的信息安全技术，为企业用户开发了全新的电子文档安全管理解决方案。

    从目前全球市场来看，DRM和DLP是最主流的两种防泄密技术。北京思智泰克是国内市场所推出的ERM具备全球领先的水平。

    3、实时备份

    在加密软件工作过程中，由于Windows系统本身和各种应用软件的不稳定，或者断电等意外原因，文档和数据的加解密可能会因故而暂停。因此，对文档和数据进行实时备份是必要。

    思智泰克在加密软件开发过程中，前瞻性地预见到各种风险和可能性，率先在加密软件中结合实时备份技术，使之成为加密软件的一种标准配置，一直以来受到跟进厂商的模仿和学习。

    4、加密技术与相邻技术的整合

    在加密软件功能趋同的大环境下，主流厂商便根据各自特点进一步延伸产品，在许多厂家借鉴或者竞争对手，或者引用整合其他门类产品，给加密软件附加上了更多的功能，使之除了具备加密软件的功能之外，还有移动介质管理、网络出口管理、上网行为管理、主机审计等多种功能。由于不同的功能中蕴含的技术不同，在引用整合其他门类产品的过程中，需要把不同的技术之间有效地耦合在一起。

    思智泰克一直站在市场需求的前沿，并把握技术和产品发展趋势，率先倡导“多功能、大融合、平台化”理念。在思智泰克的领导下，加密软件逐步与各种桌面管理的技术进一步融合在一起，使加密软件从单一产品发展为一个多功能综合管理平台。

    5、磁盘加密技术

    国外有著名的虚拟磁盘加密技术，比如PGP、TrueCrypt 等。这些磁盘加密技术在国外应用十分广泛。磁盘加密一般是对关机和休眠状态下的磁盘上的文档和数据进行加密保护，如果没有开机身份认证，则磁盘上的数据一直处于加密状态。这对于防止他人盗取磁盘后的泄密是有效的。

    目前中国市场上有两种磁盘加密方式。一种是针对引导区进行加密的方法，但实际上被加密的数据在磁盘上都是明文，只是在将数据复制到U盘等其他盘里面的时候才进行一个加密处理。另一种是对磁盘全盘进行加密，包括系统盘数据也完全进行加密。

    但是，如果是处于开机状态，则磁盘上的数据可以直接进行解密。这对于拿到开机密码的人来说，就再也没有防护能力，也就无法防止从内部泄密。由于磁盘加密不能防止内部泄密，所以，磁盘加密的方式适用范围非常狭窄，一般只能用物理隔离的封闭式网络环境内。

    国内市场上的磁盘加密，为了防止内部泄密，就只好在磁盘加密的基础上增加一个“防水墙”，封堵所有的物理端口、网络出口和应用出口来进行保护。但是，总所周知，防水墙对于网络泄密的防护是非常脆弱的。网络出口很难被堵死，所以网络泄密不可避免地会发生。

    从调查的结果来看，国内市场上采用磁盘加密的软件销售和实施情况并不普遍，根本原因就在于用户对这种技术方案的信心不足。

    6、虚拟化技术

    加密软件随着网络环境的变化，不断地往前发展，必须集合更多的新技术进来。虚拟化便是当前最受热捧的技术之一。不过，从市场上的主流需求来看，虚拟化技术还暂时没有成为主要技术。虚拟化技术应该会是下一代数据安全体系中的主要支撑技术之一。

三、云计算时代到来，加密软件需要全新的变革

    云计算时代在全球的欢呼和期待中，姗姗来迟，其中最根本的原因之一是对云计算数据安全保护的不信任。其中，云计算所带来的数据传输、存储和审计三大安全难题，是制约云计算深化应用的原因。

    2009 年，该领域取得了突破性的进展。IBM 公司的克雷格 金特里利用基于理想格（Ideal Lattice）的方法成功构造了一种称为“全同态”（Full homomorphic）的加密方案。之所以称为全同态，是因为该方案对所有运算都是同态的。他构造的同态公钥加密方案包括四个算法， 即密钥生成算法、加密算法、解密算法和额外的评估算法。

    在加密软件领域，北京思智泰克针对云计算的数据安全保护，也已经提出了全新的加密方案。这意味着，思智泰克引领着中国加密软件行业，又一次踏上了远方的征程。  

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：加密软件调查之：加密技术发展

本文网址：http://www.toberp.com/html/consultation/1083955133.html