加密存储算法和模式分析.docxVIP

PAGE 1 PAGE 1 加密存储算法和模式分析  为提高全盘加密系统的性能，研究现有的磁盘加密算法和模式，测试不同加密算法和模式组合的性能。介绍加密存储的主要方式，对现有磁盘加密算法和模式进行分析，将不同加密算法和模式结合进行性能测试与分析，针对全盘加密系统给出相应的建}义，为加密存储设计者供应参考和依据。  1概述  数据的安全存储已经成为计算机安全领域中的主要问题之一。因磁盘被盗、丢失或者未授权的访问和使用而造成的信息大量泄漏已经给国家、企业和个人带来了巨大的损失。2009年，美国弗罗里达州的一家海军医院发觉存有近干份军人个人信息的笔记本电脑丢失。同年，美国国民警卫队宣布存有13万个人信息的笔记本电脑被盗。全球几乎每个月都有政府、组织或者企业发生存有敏感信息的存储设备丢失或者被盗事件。最近的一个调查湿示，2／3的IT行业专家工作使用的移动存储设备没有经过加密保护。另外，内部人员的非法访问或者窃取信息也时有发生。除了防止存储设备的丢失或者被盗，使用加密方法保证存储设备的安全是一种常用并且有效的方式。按实现的层次不同，现有的基于软件的加密存储方法可以分为：应用层加密，操作系统内核层加密和全磁盘加密(FDE)。在广泛部署存储加密软件之前，必需解决一些关键的问题，如选择合适的加密模式、加密算法和密钥管理方式。为解决这些问题，美国电气及电子工程师学会(IEEE)已经提出了一个新的标准P1619／D16。  加密算法和加密模式对加密存储的安全和性能有着重要的影响。本文介绍了AES、Twofish和RC63种加密算法和LRW、XTS和CBC+Elephantdiffuser3种加密模式，并基于全盘加密系统对算法和模式的组合进行了性能分析。  2加密存储  基于软件的加密存储方法大体上可以分为3类：应用层加密，操作系统内核层加密和全磁盘加密。应用层加密是一种最简洁的文档加密形式，如PGP公司的邮件加密软件。由用户指定需要加密的单个文档和指定加密后的目标文件名，程序全部在应用层实现。当一个文档需要加密存放时，选择加密操作，存为密文文档。需要读取的时候，需要先解密成明文文档。这个方法的优点是实现起来比较简单，可以针对单个文档选择加密处理。缺点是需要用户干预较多，操作不便，不利于大量文件的加密处理，而且安全性较差。  为了解决应用层加密用户操作步骤繁琐、安全性差等问题，人们提出了内核层加密。所谓内核层加密，就是在操作系统内核中实现对数据的加／解密操作。依据实现方式的不同又分为：过滤驱动加密和虚拟磁盘加密。过滤驱动加密是在I／O管理器与文件系统之间插入一个文件过滤加密驱动程序，这样就可以对指定的文件或文件夹进行加密和解密，从而达到安全存储的目的。虚拟磁盘文件加密系统的基本设计思想是：在原有系统的文件系统和磁盘驱动程序之间，加入一层虚拟磁盘驱动程序，虚拟磁盘驱动程序将本地磁盘上的一块存储区映射为虚拟磁盘分区，用户需要加密存储的数据文件都通过虚拟磁盘分区进行存储，在虚拟磁盘驱动程序中动态地对存储到磁盘上的文件进行加密。操作系统内核层加密可以有效地避免用户态加密存在的各种不足，便利掌握文件的操作粒度，相对提高了安全性，同时加解密操作对用户透明。但它也有一些局限性，如不能对系统文件、页文件和临时文件加密，在诸如断电或出现应用故障的状况F，这些文件可能被漏掉，导致敏感数据文件以明文形式存储在硬盘上。  与前2种方法相比，全磁盘加密是最安全牢靠的方法，几乎对写入磁盘的全部数据都进行加密处理，包括操作系统文件和页文件，供应了最全面的加密保护措施，给攻击者设置了无法越过的安全防护隔离墙，主要的产品有WindowsBitlocker、CheckPoint和PGPWholeDiskEncryption。由于操作系统在启动之前也是以密文形式存储在磁盘中，因此非法用户在没有密钥的状况下是无法启动系统的，甚至用类似WindowsPE盘的工具都无法读取磁盘上的任何信息。有效解决了操作系统内核层加密的安全问题，保证了页文件、休眠文件和临时文件的安全性。  然而，全盘加密的安全性还依靠于加密算法和加密模式的正确选择。下面说明全盘加密在算法和模式方面的需求：  (1)明文和密文的存储空间是一样大的，不能因为加密操作而增加数据的存储空间。例如明文是1MB大小，那么加密后的密文也需要是1MB。  (2)加密算法和模式是经过广泛验证相对安全的。  (3)密钥的管理要相对简单可行。  (4)加／解密操作的速度比较快，能够被用户所接受。  (5)加密操作的并行性可以有效提高性能，并且由于多核处理器的快速发展，硬件费用降低，故加密模式应当对并行性有较好的支持。