返回
基于身份受控文档透明加解密方案

基于身份受控文档透明加解密方案

ID:8254484

大小:30.00 KB

页数:8页

时间:2018-03-13

基于身份受控文档透明加解密方案_第1页
基于身份受控文档透明加解密方案_第2页
基于身份受控文档透明加解密方案_第3页
基于身份受控文档透明加解密方案_第4页
基于身份受控文档透明加解密方案_第5页
资源描述:

《基于身份受控文档透明加解密方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、基于身份受控文档透明加解密方案  摘要:针对日益严峻的文档安全形势,为了更好地保护受控文档,将基于身份的加密机制与透明加密(OTFE)技术相结合,提出基于身份的受控文档透明加解密方案。采用文件系统过滤驱动技术监控程序对受控文档的操作,并使用基于身份的加密机制执行加解密操作。特别地,提出将原始密文耦合后分块存储的新算法,使得敌手不可能获取完整密文进而恢复出原始明文。从系统层面和算法层面对方案进行了详细描述,安全分析表明该方案能有效地保护受控文档。关键词:受控文档;基于身份的加密;透明加密;文档安全;访问控制0引言8随着政府、企业信息化建设的推进,信息安全形势也日益严峻。

2、如何在不影响员工正常工作的前提下,保护企业或商业隐私,确保商业信息及数据使用过程的安全,是企业亟须解决的问题。企业相关文档可划分为受控文档和非受控文档。所谓受控文档,是指文档管理部门想控制且能控制的文档;反之,非受控文档指的是文档管理部门不想控制、不能控制或不必控制的文档。如何保护受控文档的安全是本文的研究重点。透明加密(OnTheFlyEncryption,OTFE)技术[1]是近年来针对企业文件保密需求应运而生的一种与Windows紧密结合的文件加密技术,工作于Windows底层。OTFE通过监控应用程序对文件的操作,执行加密或者解密操作。整个加解密过程无需任何人

3、工干预,不会被文档使用者察觉,符合不影响员工正常工作的要求。透明加密的实现技术主要有加密文件系统(EncryptingFileSystem,8EFS)[2]、钩子(Hook)加密技术[3]、磁盘加密系统[4]和文件系统过滤驱动[5-7]。这些技术的工作原理不尽相同:加密文件系统和文件系统过滤驱动技术均工作在系统的内核层,利用文件驱动监控程序对文件的操作;钩子加密技术工作在系统的应用层,使用Windows的钩子技术监控程序对文件的操作;磁盘加解密系统则直接对磁盘数据进行加解密,忽视文件等存储数据的逻辑概念。文献[1]基于安全操作系统SecLinux设计实现了透明加解密文

4、件系统,整个系统由文件服务器、客户端和文件密码服务器三部分组成;文献[2]在第12章对Windows所支持的文件系统作了详细的介绍和比较;文献[3]对常用的Hook技术进行分析,举例说明不同Hook技术的不同应用场合;文献[4]提出了一种数据加密的硬件解决方案,指出磁盘加密系统应该具备数据加解密、密码算法可更换/升级以及可存放密钥/证书/其他必须数据等功能;文献[5-7]提出了一种基于文件系统过滤器的加密方法,数据加解密操作在操作系统内核态执行,整个过程对用户透明。为了增强加密系统的安全性,文献[6]使用智能卡作为加解密密钥的存储器。这些研究成果表明,文件系统过滤驱动

5、技术能够在满足操作透明性的同时,保证高效的执行效率,更适用于监控程序对文件的操作行为。然而,上述文献的研究工作均存在不足之处,主要体现在:1)加解密过程与身份认证相独立(用户的身份认证和访问控制等在用户态完成),虽然操作方便,但是在发生文档泄密时无法查找泄密源(因为密文中未包含用户信息);2)当加密文档不慎外传后,敌手将得到完整的密文,他们可以通过密码分析等传统攻击手段破解获得明文;3)密钥管理不方便,且存在安全隐患(例如文献[1]将所有文件密码的统一存放在一台服务器上)。基于身份的加密(IdentityBasedEncryption,IBE)[8]机制因可从加解密密

6、钥中验证用户信息以及密钥管理方便等优点,是上述问题的有效解决途径。本文将基于身份的加密技术与透明加密技术相结合,提出基于身份的受控文档透明加解密方案,能够保护企业网络中的受控文档存储与访问安全。最后对方案的可行性和安全性进行了论证。1相关基础1.1透明加密基础8通过监控程序对文件的操作,自动执行文件加解密的实现技术主要包括加密文件系统、钩子加密技术、磁盘加密系统和文件系统过滤驱动。表1对4种实现技术的工作原理作了简单介绍,并对它们的优缺点进行分析。实现技术工作原理优缺点分析钩子加密技术1)基于钩子技术:利用Windows的钩子技术,监控应用程序对文件的打开、保存等操作

7、,执行加解密操作;2)工作与操作系统应用层1)与应用程序密切相关,随监控应用程序的启动而启动,一旦应用程序名更改,则无法挂钩;2)运行在Windows应用层,易被发现,安全性较差加密文件系统1)基于文件系统驱动技术:文件系统驱动是把文件作为一种设备来处理的一种虚拟驱动,文件驱动监控程序对文件读写操作,对需要保护的数据就进行加密或者解密工作;2)工作在操作系统的内核层,对上层应用透明1)与应用程序无关;2)工作在操作系统的内核层,运行速度更快,加解密操作更稳定;3)必须与NTFS结合使用,不支持其他文件系统格式如FAT32,通用性差;4)涉及到Wind

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。