一种文件透明加解密标识嵌入的方法的研究.docVIP

一种文件透明加解密标识嵌入的方法的研究 　　摘 要：设计了一种包含多种信息的加密标识数据结构，并将该结构嵌入到文件头中，解决了文件透明加解密系统中加密标识的设置问题。?? 　　关键词：加解密；嵌入；标识?? 　　中图分类号：TP309 文献标识码：A 文章编号：1672-7800（2011）04-0138-02?お? 　　?? 　　作者简介：夏良（1980-）， 男， 湖北应城人，硕士，合肥新星应用技术研究所计算中心讲师，研究方向为信息安全、网络应用；朱国春（1977-），女，上海人，硕士，合肥新星应用技术研究所计算中心讲师，研究方向为网络信息安全。 　　 　　1 文件透明加解密技术?? 　　文件透明加解密技术，是指在用户发出读写文件请求到磁盘物理存储数据之间的通路某一节点，实施设定的技术处理方案，使发出“读”请求时进行数据解密，发出“写”请求时进行数据加密，整个加解密过程是透明的，以达到保护文件数据安全的目的。目前多采用文件系统过滤驱动技术实现。文件透明加解密技术具有以下特点：①加解密过程是自动进行的，用户感觉不到加解密过程的存在。避免在创建或修改文件的过程中有意或无意地留下明文；②加密带有一定的强制性；③不期望的文件操作，比如用户主动把文件拷贝到U盘、作为邮件附件发送或者远程用户通过文件共享拷走文件、黑客攻破系统后拷贝文件等手段，得到的将是密文；④与全盘加密相比，文件系统过滤驱动加密系统能够支持多用户。?? 　　在透明加解密系统中，如何判断一个文件是否已经加密，如何给加密过的文件设置加密标识是一个重要的研究课题。针对当前使用诸如修改文件属性、限定加密目录、指定文件类型等一些不稳定、不通用和不安全的方法，本文实现了采用无损压缩算法将文件加密标识嵌入到文件内部的方法来实现对文件加密标识的设置。?? 　　2 加密标识?? 　　2.1 加密文件判识?? 　　如何判断一个文件是否为已加密文件，是实现透明加解密的难点之一。有两种方法可以实现加密文件的识别：第一种方法是在系统固定文件夹内中为目标文件建立相应的加密标识文件，文件中保存该加密文件的全路径、是否加密、各用户权限等加密信息加密标识文件建立后，系统第一次对加密文件进行操作的时候首先要读取相应的加密标识文件，并把有关信息保存在内存中的加密标识链表中，以方便今后的查找；第二种方法是把文件加密标识信息作为附加信息绑定在文件上，每次在打开文件时读取加密标识信息，然后进行相应的操作。第一种方法实现起来容易，但由于标识文件单独存在，安全性不高；第二种方法安全性较好，但实现起来比较困难。本文研究的是第二种加密文件识别方法。?? 　　2.2 加密标识的放置?? 　　所谓加密标识，即是被文件系统过滤驱动隐藏的，用户态程序无法直接读取的一段隐藏信息。加密标识信息可以放置在文件头或文件尾，也可以嵌入到文件里。将加密标识放置于文件头部，每次读写文件内容都需要进行位置偏移量的计算，效率较低；将加密标识放置于文件尾不用计算位置偏移量，但在对最后一次CleanUp IRP的处理以及对断电保护的处理上，存在着一定的缺陷；将加密标识嵌入到文件中避免了上述问题。本文选择将加密标识嵌入文件头部。?? 　　3 加密标识的生成算法?? 　　3.1 压缩算法的选取?? 　　在数据存储过程中，过滤驱动对于上层应用是透明的。对于可以获得原始机密数据的上层应用，它写入磁盘的数据同它再从磁盘取回的数据应当是相同的，这也就要求在对文件进行压缩后的数据应当可以还原，并且还原后的数据与原来的数据应该完全相同。因此需要选择无损压缩算法来实现文件加密标识的生成。?? 　　在常用的无损压缩算法中，选择LZW信息压缩算法作为数据压缩实现算法。LZW压缩算法采用一种串表示压缩方法，把数据流中复杂数据用简单代码表示，并利用代码和数据的对应关系建立“字符串”转换表。将每个第一次出现的串放在此串表中，并用一个数字来表示串，压缩文件只存储该数字，而串表只在进行压缩或解压缩过程中需要，一旦压缩和解压缩结束，串表即被丢弃。因此且有较高的压缩比和解压缩速度。?? 　　3.2 加密标识数据结构?? 　　加密标识的结构设计主要考虑以下这方面的因素：①加密标识首先应当能够被唯一识别出来；②加密标识的长度应当是固定的，以便一次读取即可获取加密标识全部数据；③加密标识中应当有文件的操作权限信息；④加密标识中应当有密钥、算法及文件长度等信息。?? 　　 　　3.3 加密标识生成算法?? 　　采用无损压缩法嵌入加密标识的方法如下：?? 　　定义特殊的加密标识FLAG，FLAG应符合本文表1中所描述的加密标识数据结构，其长度为40字节。将文件头部长度为L0的数据DataO进行加密，得到数据DataE。调用LZW压缩算法对Dat