基本介紹
加密術語
數據加密的術語有:明文,即原始的或未加密的數據。通過加密算法對其進行加密,加密算法的輸入信息為明文和密鑰;密文,明文加密後的格式,是加密算法的輸出信息。加密算法是公開的,而密鑰則是不公開的。密文,不應為無密鑰的用戶理解,用於數據的存儲以及傳輸。
例:明文為字元串:
AS KINGFISHERS CATCH FIRE
(為簡便起見,假定所處理的數據字元僅為大寫字母和空格符)。假定密鑰為字元串:
ELIOT
加密算法為:
1) 將明文劃分成多個密鑰字元串長度大小的塊(空格符以"+"表示)
AS+KI NGFIS HERS+ CATCH +FIRE
2) 用0~26範圍的整數取代明文的每個字元,空格符=00,A=01,...,Z=26:
3) 與步驟2一樣對密鑰的每個字元進行取代:
0512091520
4) 對明文的每個塊,將其每個字元用對應的整數編碼與密鑰中相應位置的字元的整數編碼的和模27後的值(整數編碼)取代:
舉例:第一個整數編碼為 (01+05)%27=06
5) 將步驟4的結果中的整數編碼再用其等價字元替換:
FDIZB SSOXL MQ+GT HMBRA ERRFY
如果給出密鑰,該例的解密過程很簡單。問題是對於一個惡意攻擊者來說,在不知道密鑰的情況下,利用相匹配的明文和密文獲得密鑰究竟有多困難?對於上面的簡單例子,答案是相當容易的,不是一般的容易,但是,複雜的加密模式同樣很容易設計出。理想的情況是採用的加密模式使得攻擊者為了破解所付出的代價應遠遠超過其所獲得的利益。實際上,該目的適用於所有的安全性措施。這種加密模式的可接受的最終目標是:即使是該模式的發明者也無法通過相匹配的明文和密文獲得密鑰,從而也無法破解密文。
數據加密標準
傳統加密方法有兩種,替換和置換。上面的例子採用的就是替換的方法:使用密鑰將明文中的每一個字元轉換為密文中的一個字元。而置換僅將明文的字元按不同的順序重新排列。單獨使用這兩種方法的任意一種都是不夠安全的,但是將這兩種方法結合起來就能提供相當高的安全程度。數據加密標準(Data Encryption Standard,簡稱DES)就採用了這種結合算法,它由IBM制定,並在1977年成為美國官方加密標準。
DES的工作原理為:將明文分割成許多64位大小的塊,每個塊用64位密鑰進行加密,實際上,密鑰由56位數據位和8位奇偶校驗位組成,因此只有56個可能的密碼而不是64個。每塊先用初始置換方法進行加密,再連續進行16次複雜的替換,最後再對其施用初始置換的逆。第i步的替換並不是直接利用原始的密鑰K,而是由K與i計算出的密鑰Ki。
DES具有這樣的特性,其解密算法與加密算法相同,除了密鑰Ki的施加順序相反以外。
公開密鑰加密
多年來,許多人都認為DES並不是真的很安全。事實上,即使不採用智慧型的方法,隨著快速、高度並行的處理器的出現,強制破解DES也是可能的。"公開密鑰"加密方法使得DES以及類似的傳統加密技術過時了。公開密鑰加密方法中,加密算法和加密密鑰都是公開的,任何人都可將明文轉換成密文。但是相應的解密密鑰是保密的(公開密鑰方法包括兩個密鑰,分別用於加密和解密),而且無法從加密密鑰推導出,因此,即使是加密者若未被授權也無法執行相應的解密。
公開密鑰加密思想最初是由Diffie和Hellman提出的,最著名的是Rivest、Shamir以及Adleman提出的,通常稱為RSA(以三個發明者的首位字母命名)的方法,該方法基於下面的兩個事實:
1) 已有確定一個數是不是質數的快速算法;
2) 尚未找到確定一個合數的質因子的快速算法。
RSA方法的工作原理如下:
1) 任意選取兩個不同的大質數p和q,計算乘積r=p*q;
2) 任意選取一個大整數e,e與(p-1)*(q-1)互質,整數e用做加密密鑰。注意:e的選取是很容易的,例如,所有大於p和q的質數都可用。
3) 確定解密密鑰d:
(d * e) modulo(p - 1)*(q - 1) = 1
根據e、p和q可以容易地計算出d。
4) 公開整數r和e,但是不公開d;
5) 將明文P (假設P是一個小於r的整數)加密為密文C,計算方法為:
C = P^e modulo r
6) 將密文C解密為明文P,計算方法為:
P = C^d modulo r
然而只根據r和e(不是p和q)要計算出d是不可能的。因此,任何人都可對明文進行加密,但只有授權用戶(知道d)才可對密文解密。
下面舉一簡單的例子對上述過程進行說明,顯然我們只能選取很小的數字。
例:選取p=3, q=5,則r=15,(p-1)*(q-1)=8。選取e=11(大於p和q的質數),通過(d*11)modulo(8) = 1。
計算出d =3。
假定明文為整數13。則密文C為
C = P^e modulo r
= 13^11 modulo 15
= 1,792,160,394,037 modulo 15
= 7
復原明文P為:
P = C^d modulo r
= 7^3 modulo 15
= 343 modulo 15
= 13
因為e和d互逆,公開密鑰加密方法也允許採用這樣的方式對加密信息進行"簽名",以便接收方能確定簽名不是偽造的。假設A和B希望通過公開密鑰加密方法進行數據傳輸,A和B分別公開加密算法和相應的密鑰,但不公開解密算法和相應的密鑰。A和B的加密算法分別是ECA和ECB,解密算法分別是DCA和DCB,ECA和DCA互逆,ECB和DCB互逆。若A要向B傳送明文P,不是簡單地傳送ECB(P),而是先對P施以其解密算法DCA,再用加密算法ECB對結果加密後傳送出去。
密文C為:
C = ECB(DCA(P))
B收到C後,先後施以其解密算法DCB和加密算法ECA,得到明文P:
ECA(DCB(C))
= ECA(DCB(ECB(DCA(P))))
= ECA(DCA(P)) /*DCB和ECB相互抵消*/
= P /*DCB和ECB相互抵消*/
這樣B就確定報文確實是從A發出的,因為只有當加密過程利用了DCA算法,用ECA才能獲得P,只有A才知道DCA算法,沒
有人,即使是B也不能偽造A的簽名。
加密行業狀況
前言
隨著信息化的高速發展,人們對信息安全的需求接踵而至,人才競爭、市場競爭、金融危機、敵特機構等都給企事業單位的發展帶來巨大風險,內部竊密、黑客攻擊、無意識泄密等竊密手段成為了人與人之間、企業與企業之間、國與國之間的安全隱患。
市場的需求、人的安全意識、環境的諸多因素促使著我國的信息安全高速發展,信息安全經歷了從傳統的單一防護如防火牆到信息安全整體解決方案、從傳統的老三樣防火牆、入侵檢測、防毒軟體到多元化的信息安全防護、從傳統的外部網路防護到區域網路安全、主機安全等。
傳統數據加密技術分析
信息安全傳統的老三樣(防火牆、入侵檢測、防病毒)成為了企事業單位網路建設的基礎架構,已經遠遠不能滿足用戶的安全需求,新型的安全防護手段逐步成為了信息安全發展的主力軍。例如主機監控、文檔加密等技術。
在新型安全產品的佇列中,主機監控主要採用外圍圍追堵截的技術方案,雖然對信息安全有一定的提高,但是因為產品自身依賴於作業系統,對數據自身沒有有效的安全防護,所以存在著諸多安全漏洞,例如:最基礎的手段拆拔硬碟、winpe光碟引導、USB引導等方式即可將數據盜走,而且不留任何痕跡;此技術更多的可以理解為企業資產管理軟體,單一的產品無法滿足用戶對信息安全的要求。
文檔加密是現今信息安全防護的主力軍,採用透明加解密技術,對數據進行強制加密,不改變用戶原有的使用習慣;此技術對數據自身加密,不管是脫離作業系統,還是非法脫離安全環境,用戶數據自身都是安全的,對環境的依賴性比較小。市面上的文檔加密主要的技術分為磁碟加密、套用層加密、驅動級加密等幾種技術,套用層加密因為對應用程式的依賴性比較強,存在諸多兼容性和二次開發的問題,逐步被各信息安全廠商所淘汰。
當今主流的兩大數據加密技術
我們所能常見到的主要就是磁碟加密和驅動級解密技術:
全盤加密技術是主要是對磁碟進行全盤加密,並且採用主機監控、防水牆等其他防護手段進行整體防護,磁碟加密主要為用戶提供一個安全的運行環境,數據自身未進行加密,作業系統一旦啟動完畢,數據自身在硬碟上以明文形式存在,主要靠防水牆的圍追堵截等方式進行保護。磁碟加密技術的主要弊端是對磁碟進行加密的時間周期較長,造成項目的實施周期也較長,用戶一般無法忍耐;磁碟加密技術是對磁碟進行全盤加密,一旦作業系統出現問題。需要對數據進行恢復也是一件讓用戶比較頭痛的事情,正常一塊500G的硬碟解密一次所需時間需要3-4個小時;市面上的主要做法是對系統盤不做加密防護,而是採用外圍技術進行安全訪問控制,大家知道作業系統的版本不斷升級,微軟自身的安全機制越來越高,人們對系統的控制力度越來越低,尤其黑客技術層層攀高,一旦防護體系被打破,所有一切將暴露無疑。另外,磁碟加密技術是對全盤的信息進行安全管控,其中包括系統檔案,對系統的效率性能將大大影響。
驅動級技術是信息加密的主流技術,採用進程+後綴的方式進行安全防護,用戶可以根據企事業單位的實際情況靈活配置,對重要的數據進行強制加密,大大提高了系統的運行效率。驅動級加密技術與磁碟加密技術的最大區別就是驅動級技術會對用戶的數據自身進行保護,驅動級加密採用透明加解密技術,用戶感覺不到系統的存在,不改變用戶的原有操作,數據一旦脫離安全環境,用戶將無法使用,有效提高了數據的安全性;另外驅動級加密技術比磁碟加密技術管理可以更加細粒度,有效實現數據的全生命周期管理,可以控制檔案的使用時間、次數、複製、截屏、錄像等操作,並且可以對檔案的內部進行細粒度的授權管理和數據的外出訪問控制,做到數據的全方位管理。驅動級加密技術在給用戶的數據帶來安全的同時,也給用戶的使用便利性帶來一定的問題,驅動級加密採用進程加密技術,對同類檔案進行全部加密,無法有效區別個人檔案與企業檔案數據的分類管理,個人電腦與企業辦公的並行運行等問題。
博睿勤數據加密技術完美解決方案:虛擬化沙盒技術+驅動加密
隨著人們對信息安全意識的不斷提高,簡單的驅動級加密技術已經無法滿足用戶的基本安全需求,如何解決個人檔案與企事業單位檔案的隔離,實現對部分數據加密,部分數據不加密,多人使用一台電腦,這就成了信息安全的一大難題,如何有效的解決用戶的安全需要,同時滿足用戶的使用便利呢?博睿勤公司專注信息安全技術的研究,緊跟信息安全的發展脈搏,採用國際先進技術,開發完成了酷衛士數據安全綜合管理平台,在滿足企業對數據安全要求的同時,解決用戶使用的便利性。
酷衛士數據安全管理平台採用國際最先進的虛擬化技術、沙盒技術、驅動級加密等技術:
首先平台採用虛擬化技術,虛擬化最接近用戶的還是要算的上桌面虛擬化了桌面虛擬化主要功能是將分散的桌面環境集中保存並管理起來,包括桌面環境的集中下發,集中更新,集中管理。桌面虛擬化使得桌面管理變得簡單,不用每台終端單獨進行維護,每台終端進行更新。終端數據可以集中存儲在中心機房裡,安全性相對傳統桌面套用要高很多。桌面虛擬化在用戶原有的作業系統上虛擬出一個全新的安全桌面,這樣用戶就擁有一個電腦桌面與安全桌面,用戶可以實現在電腦桌面進行個人檔案操作,在安全桌面進行辦公操作,用戶只有在安全桌面才可以訪問企業的業務系統,電腦桌面無法訪問,兩個桌面的操作具有無關性,用戶可以在兩個不同桌面同時處理個人檔案與辦公檔案。同時在安全桌面的所有運算元據將保存在虛擬磁碟里,虛擬磁碟採用加密技術進行安全防護,用戶一旦退出安全桌面,虛擬磁碟將自動退出,所有數據將不可見,有效保障了數據的安全性;
沙盒技術可以算是虛擬機的一種發展,其技術原理似乎也和虛擬機大致相同,但它們仍有很大區別。沙盒是一種更深層的系統核心級技術,在一個程式運行時,沙盒會接管程式調用接口或函式的行為,並會在確認攻擊行為後實行“回滾”機制,讓系統復原。
沙箱通過重定向技術,把安全桌面內應用程式生成和修改的檔案,定向到自身資料夾中,這些數據的變更,包括註冊表和一些系統的核心數據。通過載入自身的驅動來保護底層數據,屬於驅動級別的保護。
沙箱通過虛擬化技術創建的隔離系統環境。您可以在沙箱中運行包含風險程式的程式(如未知檔案、病毒木馬等),沙箱會記錄程式運行過程中的各種操作行為。
在沙箱中的程式有下列限制:不能運行任何本地的的可執行程式。不能從本地計算機檔案系統中讀取任何信息,也不能往本地計算機檔案系統中寫入任何信息。所有操作都是虛擬的,真實的檔案和註冊表不會被改動,這樣可以確保病毒無法對系統關鍵部位進行改動破壞系統。
沙箱內的檔案操作,包括執行檔和非執行檔:安全桌面內的進程所對檔案和系統的修改,全部被重定向。並且重定向後的檔案是經過加密的,即使重定向的檔案被泄露,也沒有安全隱患。用戶註銷後,重定向檔案全部被刪除,即所有在安全桌面下進行的檔案操作對於默認桌面沒有任何改變。
在安全桌面中,所有的通訊也被嚴格控制,安全桌面與電腦桌面之間通信也會被重新定向而進行控制,防止用戶把資料泄露出去。包括Socket通訊、安全桌面內的進程與電腦桌面的進程通過本機IP進行通信,避免數據泄漏。
沙箱技術具有以下特點:
1.完全隔離並輕量的虛擬化技術。
2.自動識別特定有風險軟體隔離運行。
3.所有的磁碟操作放置在一個緩衝區,沒有真正寫入
4.安全不留痕跡,用的省心更安心。
沙箱主要為用戶的安全桌面提供一個安全的運行環境,將電腦桌面與安全桌面進行安全隔離。
關於驅動加密技術,在前面的分析中我們已經介紹過了,在這裡不再重複。
博睿勤數據安全管理平台還具有以下特點:
1、 用戶操作可以實現電腦桌面與安全桌面的平滑切換,不需要進行系統重啟操作,大大提高了用戶的辦公效率和用戶體驗度;
2、 平台不但可以實現線上登入功能,同樣為用戶提供離線和外出登入功能,滿足用戶的不同安全需求;
3、 平台可實現安全桌面可以訪問電腦桌面,電腦桌面禁止訪問安全桌面功能,可以大大提高數據的訪問效率;
4、 平台同時可以實現電腦桌面與安全桌面的同步安全管理,可根據安全需求靈活控制策略;
5、 平台可實現檔案的集中管控,本地不留檔案的安全功能,數據全部集中存儲在伺服器上;
6、 平台可滿足用戶的複雜環境的需求,可在一套系統內實現主機管理、賬號管理、集中管理、桌面管理等強大功能;
7、 平台具有防水牆的功能,可實現設備管理、隨身碟管理、上網行為管理、文檔加解密功能、軟硬體資產管理、非法外聯、準入管理、檔案備份、列印管理、授權管理、外發管理功等38項功能
8、 產品不但解決了用戶的數據安全性問題,同時降低了管理難度、實施難度和用戶的牴觸心理;
9、 平台可以實現一個人多個桌面,從事不同的工作;
10、 平台有效解決多人使用一台電腦的安全問題;
公司優勢:
博睿勤公司專業從事數據安全保密十年,十年誠信品質見證,自主研發的產品均有軟體著作權,國家保密局、軍隊、公安部、國家密碼管理局榮譽資格證書。產品在湖南全省統配、甘肅全省統配,福州全市統配、中國船舶重工全國統配、中國船舶工業全國統配、中國航空工業指定品牌、中國人民銀行供貨廠商、安全部紅網指定產品、國防科工委十一五、十二五指定供貨商,產品在軍工、軍隊、政府、企事業單位,金融、能源、製造業,上市公司等得到大量套用,得到客戶一致好評和口碑。
公司研發實力:
博睿勤是一家研發,生產,銷售,服務於一體的高新技術企業,公司依託於黨政軍,立足於千萬家企業的數據安全專業公司,公司擁有強大的技術後盾和科研力量,產品研發不斷推陳出新,緊跟國際信息安全的發展脈絡,為廣大客戶提供可持續化的安全服務。
公司在西安、成都分別成立了研發基地,公司參與國家重點新產品,火炬計畫、國家863工程,研製的政府軍工統配項目“三合一”研製軍佇列裝項目“文檔集中管控系統”國內首家研發出基於BIOS硬碟鎖產品,國內首家研製手機泄密防範教育演示系統,是一家有研發實力的公司,可以做定製化的服務。
博睿勤的不僅是文檔安全管理系統,提供的是數據安全整體解決方案,平台每個功能模組都由國家主管部門的單項資格認證及檢測報告,數據安全管理平台以文檔安全管理為核心、將終端身份認證安全登入、桌面安全管理系統、移動介質安全管理系統、光碟機監控刻錄審計、列印審批、快照及水印、上網行為管理系統七大系統整合於一體,構建數據安全整體防泄密平台,實現了從核心檔案的安全、物理層安全到網路層安全的全方位、立體化、多角度的安全防護體系。
服務優勢:
博睿勤擁有豐富的大型項目的服務經驗,通過服務全省、全市、全行業的項目,公司總結出了一整套的項目管理、項目實施、項目服務體系,並在軍工、軍隊、政府、企事業單位,製造業,設計院、生產企業、能源、金融、上市公司等大型成功案例套用,得到客戶的認可及好評
博睿勤為客戶提供的不只是產品在提供產品的同時為客戶提供定製化的配套服務;例如安全諮詢安全培訓安全制度安全策略等
博睿勤公司同樣是用友、江民、啟明星辰、天融信、中興通訊、英特爾、德勤、聯想的戰略合作夥伴。
客戶價值:
博睿勤為您提供的不單是文檔安全管理,更是安心、省心、放心無微不至的高品質服務。
按照管理三七原則,一個好的產品在管理中只占三成,七成的管理如何配合、保障都是至關重要的,安全產品的推廣實施難度大、影響多是所有管理員頭痛的問題,如何採取有效的培訓機制和管理措施將員工的抵制心態轉變為支持,這恰恰是博睿勤公司為您提供的貼心服務,與博睿勤的合作,你不只是買的產品,你同樣會深刻體驗到博睿勤給您帶來的客戶價值。
密碼體制
通常一個完整密碼體制要包括如下五個要素M,C,K,E,D
1 M是可能明文的有限集稱為明文空間
2 C是可能密文的有限集稱為密文空間
3 K是一切可能密鑰構成的有限集稱為密鑰空間
4 對於密鑰空間的任一密鑰有一個加密算法和相應的解密算法使得
ek:M->C 和dk:C->M分別為加密解密函式滿足dk(ek(x))=x, 這裡x M
密碼算法分類
1按發展進程分密碼的發展:古典密碼,對稱密鑰
密碼公開密鑰密碼.
2按加密模式分對稱算法:序列密碼和分組密碼.
經典密碼
代替密碼: 簡單代替多名或同音代替多表代替多字母或多碼代替
換位密碼:
•對稱加密算法
DES AES
•非對稱公鑰算法
RSA 背包密碼McEliece密碼Rabin 橢圓曲線EIGamal D_H
數據加密產品
KernelSec科諾斯科是企業級數據安全軟體,通過加密企業內PC上的數據進行訪問控制,防止由於外來攻擊、商業間諜、員工泄密等行為造成的商業數據泄露,進而防止由於數據泄露對企業造成的經濟損失。
運行時作為獨立的安全系統,對於數據而言以加密外殼的形式存在,不會對數據本身進行任何讀取、修改和操作,確保數據完整性不會受到改動。可對檔案的外發進行審批,在限定設備上進行限定的操作,並有效控制外發檔案的打開時間和打開次數。
KernelSec採用核心層(主導)與套用層結合的技術,最大化兼顧效率與安全性。在套用層簽名認證,核心層設備認證;公私鑰+對稱密鑰,雙鎖體系;企業核心私鑰不離開雲端,保證密鑰安全。穩定性強不會影響到正常工作,且支持保護各種數據。
在使用過程中,具有透明保護、集中管理、多任務保護的特點,並且具有高效的審計分析功能。可記錄日誌,提供強大的日誌查詢報表功能,實時記錄客戶端及管理員的操作行為,方便審計。提供後台信息監控,通過對操作類型、節點狀態、保護數量三個維度的趨勢統計,輕鬆解讀企業安全態勢。
數據安全保護系統是廣東南方信息安全產業基地公司,依據國家重要信息系統安全等級保護標準和法規,以及企業數字智慧財產權保護需求,自主研發的產品。它以全面數據檔案安全策略、加解密技術與強制訪問控制有機結合為設計思想,對信息媒介上的各種數據資產,實施不同安全等級的控制,有效杜絕機密信息泄漏和竊取事件。
數據安全保護系統的保護對象主要是政府及企業的各種敏感數據文檔,包括設計文檔、設計圖紙原始碼、行銷方案、財務報表及其他各種涉及國家機密和企業商業秘密的文檔,可以廣泛套用於政府研發、設計、製造等行業。
廣東南方信息安全產業基地有限公司
http://www.china-isi.com
