從2005年開(kāi)始,中國(guó)信息安全市場(chǎng)熱點(diǎn)逐漸轉(zhuǎn)向以數(shù)據(jù)安全、數(shù)據(jù)防泄密為主的加密軟件。在經(jīng)歷多年的技術(shù)、產(chǎn)品、市場(chǎng)和應(yīng)用的發(fā)展之后,加密軟件已經(jīng)成為當(dāng)前國(guó)內(nèi)信息安全最為熱火的領(lǐng)域。以文檔和數(shù)據(jù)加密為核心,輔以文檔的權(quán)限管理、備份、審計(jì)等多種功能的加密軟件,已經(jīng)在國(guó)內(nèi)普遍應(yīng)用開(kāi)來(lái)。
2012年中旬,由國(guó)內(nèi)數(shù)據(jù)安全專家和相關(guān)機(jī)構(gòu)聯(lián)合組成的“中國(guó)加密軟件調(diào)查專家委員會(huì)”,以不記名問(wèn)卷調(diào)查方式,針對(duì)加密軟件廠商、媒體、用戶單位、渠道代理商等相關(guān)產(chǎn)業(yè)鏈上下游單位,發(fā)出10萬(wàn)份調(diào)查問(wèn)卷,從市場(chǎng)、產(chǎn)品、技術(shù)、應(yīng)用等多方面進(jìn)行深度調(diào)研,并委托天思數(shù)據(jù)調(diào)查公司做出調(diào)查分析統(tǒng)計(jì)報(bào)告。本文為調(diào)查報(bào)告的“加密軟件的技術(shù)發(fā)展”部分。
一、加密軟件的基礎(chǔ)——密碼產(chǎn)品和密碼學(xué)研究
密碼學(xué)是研究編制密碼和破譯密碼的技術(shù)科學(xué)。加密軟件是在密碼應(yīng)用的基礎(chǔ)上,對(duì)核心文檔和數(shù)據(jù)進(jìn)行加密保護(hù)的軟件。因此,密碼產(chǎn)品和密碼學(xué)研究對(duì)于加密軟件的安全性、穩(wěn)定性、可靠性和效率等方面具有很重要的基礎(chǔ)性作用。
在國(guó)內(nèi)處于領(lǐng)先地位的加密軟件廠商,思智泰克創(chuàng)始人劉昊原就是在密碼和密碼學(xué)研究方面的世界頂級(jí)專家。劉昊原在密碼學(xué)和密碼產(chǎn)品研究方面擁有二十年的經(jīng)驗(yàn),1995年開(kāi)始發(fā)表的新一代信息安全專利技術(shù)具備世界級(jí)的領(lǐng)先地位,密碼學(xué)研究成果包括身份認(rèn)證、完整性校驗(yàn)、對(duì)稱加密算法等獲得了46項(xiàng)中國(guó)、美國(guó)及歐盟的發(fā)明級(jí)專利,被國(guó)內(nèi)外信息安全領(lǐng)域的主流廠商廣泛認(rèn)可,屢次獲得政府專項(xiàng)基金支持和各種行業(yè)大獎(jiǎng)。
根據(jù)調(diào)查報(bào)告,中國(guó)加密軟件的密碼應(yīng)用方面有幾個(gè)方面值得介紹:
1、關(guān)于對(duì)稱密鑰和非對(duì)稱密鑰
對(duì)稱密鑰加密,又稱私鑰加密或會(huì)話密鑰加密算法,即信息的發(fā)送方和接收方用同一個(gè)密鑰去加密和解密數(shù)據(jù)。它的最大優(yōu)勢(shì)是加/解密速度快,適合于對(duì)大數(shù)據(jù)量進(jìn)行加密,但密鑰管理困難。非對(duì)稱密鑰加密系統(tǒng),又稱公鑰密鑰加密。它需要使用不同的密鑰來(lái)分別完成加密和解密操作,一個(gè)公開(kāi)發(fā)布,即公開(kāi)密鑰,另一個(gè)由用戶自己秘密保存,即私用密鑰。信息發(fā)送者用公開(kāi)密鑰去加密,而信息接收者則用私用密鑰去解密。公鑰機(jī)制靈活,但加密和解密速度卻比對(duì)稱密鑰加密慢得多。
所以,在實(shí)際的應(yīng)用中,人們通常將兩者結(jié)合在一起使用,例如,對(duì)稱密鑰加密系統(tǒng)用于存儲(chǔ)大量數(shù)據(jù)信息,而公開(kāi)密鑰加密系統(tǒng)則用于加密密鑰。
思智泰克,創(chuàng)立于2001年,是中國(guó)首批從事加密技術(shù)和產(chǎn)品開(kāi)發(fā)的國(guó)內(nèi)安全廠商。思智泰克在2005年推出業(yè)界第一款加密軟件,就率先借鑒了業(yè)內(nèi)的加密方式,采用對(duì)稱密鑰和非對(duì)稱密鑰相結(jié)合的方式,這也成為后續(xù)跟進(jìn)者的通常做法。目前,市場(chǎng)上大多數(shù)加密軟件也都采用了這一方式。
2、單一密鑰與一文一密鑰
在加密軟件中,在密鑰交換過(guò)程采用非對(duì)稱加密算法保護(hù)動(dòng)態(tài)密鑰種子的傳輸,因?yàn)椴捎昧藙?dòng)態(tài)密鑰,所以在加密軟件過(guò)程中都是“一文一密鑰”,這都是加密軟件的通用做法。
思智泰克早在2006年時(shí),即已采用這一方式,使每個(gè)文件都能匹配對(duì)應(yīng)的密鑰,從而確保相當(dāng)高的安全性,用戶在使用加密軟件中,不可能因?yàn)閱我幻荑而有被破解的風(fēng)險(xiǎn)。
3、密鑰長(zhǎng)度、安全強(qiáng)度與工作效率
對(duì)文檔和數(shù)據(jù)進(jìn)行加密后,密文的長(zhǎng)度會(huì)加長(zhǎng)。一般來(lái)說(shuō),密鑰位數(shù)越多,安全性就會(huì)越高。而密鑰長(zhǎng)度往往直接影響密文的長(zhǎng)度,所以,當(dāng)密鑰位數(shù)增加后,往往會(huì)導(dǎo)致文檔和數(shù)據(jù)在加解密過(guò)程中占用更多資源,耗費(fèi)更長(zhǎng)的時(shí)間,從而導(dǎo)致工作效率下降。
思智泰克的優(yōu)勢(shì)在于,通過(guò)多年的技術(shù)積累和應(yīng)用,有效地解決了信息安全的強(qiáng)度和工作效率之間的均衡。在調(diào)查過(guò)程中,思智泰克在這個(gè)技術(shù)難點(diǎn)上的解決是最為令人滿意的。
最值得推薦的是,由于思智泰克擁有業(yè)界最先進(jìn)的密碼學(xué)技術(shù),因此,在密鑰位數(shù)增加的情況下,對(duì)文檔和數(shù)據(jù)的加解密效率并不會(huì)降低。這一領(lǐng)先技術(shù)尤其體現(xiàn)在大型文檔和超大型文檔的加解密過(guò)程中。思智泰克所獨(dú)家擁有的密碼學(xué)專利成為眾多用戶青睞的重要原因之一。
二、加密軟件的重要技術(shù)
加密軟件是以思智泰克為首的國(guó)內(nèi)信息安全廠商,基于中國(guó)國(guó)情而創(chuàng)制的數(shù)據(jù)防泄密軟件,與國(guó)外的數(shù)據(jù)丟失防護(hù)軟件(DLP)想比,企業(yè)權(quán)限管理ERM軟件更符合中國(guó)國(guó)情,對(duì)于國(guó)家安全、企業(yè)知識(shí)產(chǎn)權(quán)及個(gè)人信息都具備最直接而有效的防護(hù)。在加密軟件發(fā)展歷程中,有以下技術(shù)值得介紹:
1、應(yīng)用層加密與驅(qū)動(dòng)層加密
應(yīng)用層透明加密技術(shù)與應(yīng)用程序密切相關(guān),它是通過(guò)監(jiān)控應(yīng)用程序的啟動(dòng)而啟動(dòng)的。一旦應(yīng)用程序名更改,則無(wú)法掛鉤。同時(shí),由于不同應(yīng)用程序在讀寫(xiě)文件時(shí)所用的方式方法不盡相同,同一個(gè)軟件不同的版本在處理數(shù)據(jù)時(shí)也有變化,鉤子透明加密必須針對(duì)每種應(yīng)用程序、甚至每個(gè)版本進(jìn)行開(kāi)發(fā)。
驅(qū)動(dòng)層透明加密技術(shù)是基于windows的文件系統(tǒng)(過(guò)濾)驅(qū)動(dòng)(IFS)技術(shù),工作在windows的內(nèi)核層。驅(qū)動(dòng)加密要達(dá)到文件保密的目的,還必須與用戶層的應(yīng)用程序打交道,通知系統(tǒng)哪些程序是合法的程序,哪些程序是非法的程序。
驅(qū)動(dòng)層加密開(kāi)發(fā)難度大,技術(shù)難點(diǎn)多,需要多年技術(shù)積累和應(yīng)用方可得以成熟。因此,只有思智泰克等少數(shù)具備強(qiáng)大研發(fā)實(shí)力的加密軟件廠商,擁有該技術(shù)的核心開(kāi)發(fā)能力。尤其是思智泰克第五代無(wú)損數(shù)據(jù)加密技術(shù),領(lǐng)先業(yè)內(nèi)其他軟件廠商三年以上。其他大多數(shù)號(hào)稱驅(qū)動(dòng)層加密的軟件,其性能往往極為不穩(wěn)定,給用戶帶來(lái)數(shù)據(jù)損壞和系統(tǒng)崩潰的痛苦,在調(diào)查中也多有用戶反映這種情況。
2、DRM(數(shù)字版權(quán)管理)與ERM(企業(yè)權(quán)限管理)
DRM(Digital Right Management數(shù)字版權(quán)管理)技術(shù)的工作原理是,首先建立數(shù)字節(jié)目授權(quán)中心,編碼壓縮后的數(shù)字節(jié)目?jī)?nèi)容,利用密鑰(Key)進(jìn)行加密保護(hù)(lock),加密的數(shù)字節(jié)目頭部存放著KeyID和節(jié)目授權(quán)中心的URL。需要保護(hù)的節(jié)目被加密,即使被用戶下載保存,沒(méi)有得到數(shù)字節(jié)目授權(quán)中心的驗(yàn)證授權(quán)也無(wú)法播放,從而嚴(yán)密地保護(hù)了節(jié)目的版權(quán)。
DRM是一種靜態(tài)加解密技術(shù),適用范圍很小。但是DRM對(duì)于單個(gè)文檔的具體使用權(quán)限保護(hù),是一項(xiàng)偉大的發(fā)明,正是基于DRM的啟發(fā),才誕生了ERM(企業(yè)權(quán)限管理)。
ERM(EntERPrise Right Management),即企業(yè)權(quán)限管理,是類似DRM的企業(yè)級(jí)信息安全解決方案,在國(guó)外的一些專業(yè)市場(chǎng)分析和技術(shù)類內(nèi)容和文獻(xiàn)中,ERM也被稱為EDRM(EntERPrise Digital Right Management)。ERM系統(tǒng)在具體功能上全面整合了網(wǎng)絡(luò)訪問(wèn)控制、強(qiáng)身份認(rèn)證、數(shù)據(jù)通訊機(jī)密性、數(shù)據(jù)存貯機(jī)密性、數(shù)據(jù)使用可控性等多項(xiàng)先進(jìn)的信息安全技術(shù),為企業(yè)用戶開(kāi)發(fā)了全新的電子文檔安全管理解決方案。
從目前全球市場(chǎng)來(lái)看,DRM和DLP是最主流的兩種防泄密技術(shù)。北京思智泰克是國(guó)內(nèi)市場(chǎng)所推出的ERM具備全球領(lǐng)先的水平。
3、實(shí)時(shí)備份
在加密軟件工作過(guò)程中,由于Windows系統(tǒng)本身和各種應(yīng)用軟件的不穩(wěn)定,或者斷電等意外原因,文檔和數(shù)據(jù)的加解密可能會(huì)因故而暫停。因此,對(duì)文檔和數(shù)據(jù)進(jìn)行實(shí)時(shí)備份是必要。
思智泰克在加密軟件開(kāi)發(fā)過(guò)程中,前瞻性地預(yù)見(jiàn)到各種風(fēng)險(xiǎn)和可能性,率先在加密軟件中結(jié)合實(shí)時(shí)備份技術(shù),使之成為加密軟件的一種標(biāo)準(zhǔn)配置,一直以來(lái)受到跟進(jìn)廠商的模仿和學(xué)習(xí)。
4、加密技術(shù)與相鄰技術(shù)的整合
在加密軟件功能趨同的大環(huán)境下,主流廠商便根據(jù)各自特點(diǎn)進(jìn)一步延伸產(chǎn)品,在許多廠家借鑒或者競(jìng)爭(zhēng)對(duì)手,或者引用整合其他門(mén)類產(chǎn)品,給加密軟件附加上了更多的功能,使之除了具備加密軟件的功能之外,還有移動(dòng)介質(zhì)管理、網(wǎng)絡(luò)出口管理、上網(wǎng)行為管理、主機(jī)審計(jì)等多種功能。由于不同的功能中蘊(yùn)含的技術(shù)不同,在引用整合其他門(mén)類產(chǎn)品的過(guò)程中,需要把不同的技術(shù)之間有效地耦合在一起。
思智泰克一直站在市場(chǎng)需求的前沿,并把握技術(shù)和產(chǎn)品發(fā)展趨勢(shì),率先倡導(dǎo)“多功能、大融合、平臺(tái)化”理念。在思智泰克的領(lǐng)導(dǎo)下,加密軟件逐步與各種桌面管理的技術(shù)進(jìn)一步融合在一起,使加密軟件從單一產(chǎn)品發(fā)展為一個(gè)多功能綜合管理平臺(tái)。
5、磁盤(pán)加密技術(shù)
國(guó)外有著名的虛擬磁盤(pán)加密技術(shù),比如PGP、TrueCrypt 等。這些磁盤(pán)加密技術(shù)在國(guó)外應(yīng)用十分廣泛。磁盤(pán)加密一般是對(duì)關(guān)機(jī)和休眠狀態(tài)下的磁盤(pán)上的文檔和數(shù)據(jù)進(jìn)行加密保護(hù),如果沒(méi)有開(kāi)機(jī)身份認(rèn)證,則磁盤(pán)上的數(shù)據(jù)一直處于加密狀態(tài)。這對(duì)于防止他人盜取磁盤(pán)后的泄密是有效的。
目前中國(guó)市場(chǎng)上有兩種磁盤(pán)加密方式。一種是針對(duì)引導(dǎo)區(qū)進(jìn)行加密的方法,但實(shí)際上被加密的數(shù)據(jù)在磁盤(pán)上都是明文,只是在將數(shù)據(jù)復(fù)制到U盤(pán)等其他盤(pán)里面的時(shí)候才進(jìn)行一個(gè)加密處理。另一種是對(duì)磁盤(pán)全盤(pán)進(jìn)行加密,包括系統(tǒng)盤(pán)數(shù)據(jù)也完全進(jìn)行加密。
但是,如果是處于開(kāi)機(jī)狀態(tài),則磁盤(pán)上的數(shù)據(jù)可以直接進(jìn)行解密。這對(duì)于拿到開(kāi)機(jī)密碼的人來(lái)說(shuō),就再也沒(méi)有防護(hù)能力,也就無(wú)法防止從內(nèi)部泄密。由于磁盤(pán)加密不能防止內(nèi)部泄密,所以,磁盤(pán)加密的方式適用范圍非常狹窄,一般只能用物理隔離的封閉式網(wǎng)絡(luò)環(huán)境內(nèi)。
國(guó)內(nèi)市場(chǎng)上的磁盤(pán)加密,為了防止內(nèi)部泄密,就只好在磁盤(pán)加密的基礎(chǔ)上增加一個(gè)“防水墻”,封堵所有的物理端口、網(wǎng)絡(luò)出口和應(yīng)用出口來(lái)進(jìn)行保護(hù)。但是,總所周知,防水墻對(duì)于網(wǎng)絡(luò)泄密的防護(hù)是非常脆弱的。網(wǎng)絡(luò)出口很難被堵死,所以網(wǎng)絡(luò)泄密不可避免地會(huì)發(fā)生。
從調(diào)查的結(jié)果來(lái)看,國(guó)內(nèi)市場(chǎng)上采用磁盤(pán)加密的軟件銷售和實(shí)施情況并不普遍,根本原因就在于用戶對(duì)這種技術(shù)方案的信心不足。
6、虛擬化技術(shù)
加密軟件隨著網(wǎng)絡(luò)環(huán)境的變化,不斷地往前發(fā)展,必須集合更多的新技術(shù)進(jìn)來(lái)。虛擬化便是當(dāng)前最受熱捧的技術(shù)之一。不過(guò),從市場(chǎng)上的主流需求來(lái)看,虛擬化技術(shù)還暫時(shí)沒(méi)有成為主要技術(shù)。虛擬化技術(shù)應(yīng)該會(huì)是下一代數(shù)據(jù)安全體系中的主要支撐技術(shù)之一。
三、云計(jì)算時(shí)代到來(lái),加密軟件需要全新的變革
云計(jì)算時(shí)代在全球的歡呼和期待中,姍姍來(lái)遲,其中最根本的原因之一是對(duì)云計(jì)算數(shù)據(jù)安全保護(hù)的不信任。其中,云計(jì)算所帶來(lái)的數(shù)據(jù)傳輸、存儲(chǔ)和審計(jì)三大安全難題,是制約云計(jì)算深化應(yīng)用的原因。
2009 年,該領(lǐng)域取得了突破性的進(jìn)展。IBM 公司的克雷格 金特里利用基于理想格(Ideal Lattice)的方法成功構(gòu)造了一種稱為“全同態(tài)”(Full homomorphic)的加密方案。之所以稱為全同態(tài),是因?yàn)樵摲桨笇?duì)所有運(yùn)算都是同態(tài)的。他構(gòu)造的同態(tài)公鑰加密方案包括四個(gè)算法, 即密鑰生成算法、加密算法、解密算法和額外的評(píng)估算法。
在加密軟件領(lǐng)域,北京思智泰克針對(duì)云計(jì)算的數(shù)據(jù)安全保護(hù),也已經(jīng)提出了全新的加密方案。這意味著,思智泰克引領(lǐng)著中國(guó)加密軟件行業(yè),又一次踏上了遠(yuǎn)方的征程。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:加密軟件調(diào)查之:加密技術(shù)發(fā)展
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083955133.html