基于身份受控文档透明加解密方案.docVIP

基于身份受控文档透明加解密方案 　　摘要： 针对日益严峻的文档安全形势，为了更好地保护受控文档，将基于身份的加密机制与透明加密（OTFE）技术相结合，提出基于身份的受控文档透明加解密方案。采用文件系统过滤驱动技术监控程序对受控文档的操作，并使用基于身份的加密机制执行加解密操作。特别地，提出将原始密文耦合后分块存储的新算法，使得敌手不可能获取完整密文进而恢复出原始明文。从系统层面和算法层面对方案进行了详细描述，安全分析表明该方案能有效地保护受控文档。 关键词： 受控文档；基于身份的加密；透明加密；文档安全；访问控制 0引言 随着政府、企业信息化建设的推进，信息安全形势也日益严峻。如何在不影响员工正常工作的前提下，保护企业或商业隐私，确保商业信息及数据使用过程的安全，是企业亟须解决的问题。企业相关文档可划分为受控文档和非受控文档。所谓受控文档，是指文档管理部门想控制且能控制的文档；反之，非受控文档指的是文档管理部门不想控制、不能控制或不必控制的文档。如何保护受控文档的安全是本文的研究重点。 透明加密（OnTheFly Encryption， OTFE）技术[1]是近年来针对企业文件保密需求应运而生的一种与Windows紧密结合的文件加密技术，工作于Windows底层。OTFE通过监控应用程序对文件的操作，执行加密或者解密操作。整个加解密过程无需任何人工干预，不会被文档使用者察觉，符合不影响员工正常工作的要求。 透明加密的实现技术主要有加密文件系统（Encrypting File System， EFS）[2]、钩子（Hook）加密技术[3]、磁盘加密系统[4]和文件系统过滤驱动[5-7]。这些技术的工作原理不尽相同：加密文件系统和文件系统过滤驱动技术均工作在系统的内核层，利用文件驱动监控程序对文件的操作；钩子加密技术工作在系统的应用层，使用Windows的钩子技术监控程序对文件的操作；磁盘加解密系统则直接对磁盘数据进行加解密，忽视文件等存储数据的逻辑概念。文献[1]基于安全操作系统SecLinux设计实现了透明加解密文件系统，整个系统由文件服务器、客户端和文件密码服务器三部分组成；文献[2]在第12章对Windows所支持的文件系统作了详细的介绍和比较；文献[3]对常用的Hook技术进行分析，举例说明不同Hook技术的不同应用场合；文献[4]提出了一种数据加密的硬件解决方案，指出磁盘加密系统应该具备数据加解密、密码算法可更换/升级以及可存放密钥/证书/其他必须数据等功能；文献[5-7]提出了一种基于文件系统过滤器的加密方法，数据加解密操作在操作系统内核态执行，整个过程对用户透明。为了增强加密系统的安全性，文献[6]使用智能卡作为加解密密钥的存储器。这些研究成果表明，文件系统过滤驱动技术能够在满足操作透明性的同时，保证高效的执行效率，更适用于监控程序对文件的操作行为。 然而，上述文献的研究工作均存在不足之处，主要体现在：1）加解密过程与身份认证相独立（用户的身份认证和访问控制等在用户态完成），虽然操作方便，但是在发生文档泄密时无法查找泄密源（因为密文中未包含用户信息）；2）当加密文档不慎外传后，敌手将得到完整的密文，他们可以通过密码分析等传统攻击手段破解获得明文；3）密钥管理不方便，且存在安全隐患（例如文献[1]将所有文件密码的统一存放在一台服务器上）。 基于身份的加密（IdentityBased Encryption， IBE）[8]机制因可从加解密密钥中验证用户信息以及密钥管理方便等优点，是上述问题的有效解决途径。本文将基于身份的加密技术与透明加密技术相结合，提出基于身份的受控文档透明加解密方案，能够保护企业网络中的受控文档存储与访问安全。最后对方案的可行性和安全性进行了论证。 1相关基础 1.1透明加密基础 通过监控程序对文件的操作，自动执行文件加解密的实现技术主要包括加密文件系统、钩子加密技术、磁盘加密系统和文件系统过滤驱动。表1对4种实现技术的工作原理作了简单介绍，并对它们的优缺点进行分析。 实现技术工作原理优缺点分析 钩子加密技术1）基于钩子技术：利用Windows的钩子技术，监控应用程序对文件的打开、保存等操作，执行加解密操作； 2）工作与操作系统应用层1）与应用程序密切相关，随监控应用程序的启动而启动，一旦应用程序名更改，则无法挂钩；2）运行在Windows应用层，易被发现，安全性较差 加密文件系统1）基于文件系统驱动技术：文件系统驱动是把文件作为一种设备来处理的一种虚拟驱动，文件驱动监控程序对文件读写操作，对需要保护的数据就进行加密或者解密工作； 2）工作在操作系统的内核层，对上层应用透明1）与应用程序无关；