咨询热线:0510 - 8229 3900
 
               
   
实时加解密技术
移动存储控制
闪存(U盘)加密
电子邮件加密
终端安全登录
账户保护技术
 
实时加解密组件

  实时加解密组件实现实时加解密技术。是secWall文件保护系统的核心技术组件。

 

实时加解密组件的功能

  l 加密的文件在用户身份认证通过后不需要解密就可以正常使用
  实时加解密引擎在用户使用加密数据时动态向用户提交当前计算机微指令所需的数据,从而满足CPU运行的正确数据需求。
 


传统保密系统中使用加密文件的过程
 


实时加解密系统中使用加密文件的过程
 

  l 加密文件的使用和没有加密时完全相同
  因为实时加解密技术可以直接使用加密的文件,而且加密不改变文件的存放位置和属性,所以文件设置加密后虽然物理介质上的数据被编码打乱存放,但授权用户在用到这些加密数据时感觉仍然和没有加密时一样。
  l 支持计算机系统中所有文件类型的加密
  基于操作系统内核驱动技术的实时加解密组件对CPU运行的每一条指令负责,确保CPU运行的每一条微指令可以获得这条指令所需的数据。而在CPU运行级所能分辨的只是二进制数据,没有文件类型的概念,因此基于内核的实时加解密技术可以支持包括可执行文件(EXE、DLL)在内的任何类型文件的实时加解密。
  l 加密属性的继承
  计算机文件系统由文件和文件夹(目录)组成,每个文件都存放在表示其位置文件夹(目录)中。当文件夹被加密后,以后在这个文件夹下新建的文件或文件夹都会被加密。
  由于驱动器本身在文件系统中也是一个文件夹(根目录),因此加密驱动器可以保证在该驱动器上存放的文件始终保持加密状态。


保密属性在文件系统中的继承

l 加密文件在物理存储介质上始终保持加密状态
  加密文件在本地磁盘上因为使用时不会被解密,所以加密状态不会因为使用而改变。即使通过网络把加密文件共享出去,因为网络共享使加密文件进入了网络物理介质(如网线),因此网络远端看到的的是加密文件的密文。
  实时加解密系统在支持网络文件系统的secWall版本中允许加密文件的密文进入网络介质,这样网络客户端用户如果拥有这个加密文件的证书就可以使用这个共享文件。如果secWall版本不支持网络文件系统(标准版以下),实时加解密组件会禁止加密文件进入网络介质。因此,无论哪种方式,实时加解密组件都可以杜绝加密文件通过网络共享泄密。
 


未加密的数据通过网络传输中途被拦截,内容泄密


加密的数据通过网络传输中途被拦截,内容无法解读

  l 文件系统对象的访问控制
  加密文件对于授权用户是透明可用的,但对于没有获得授权的用户却是不可访问的。secWall的实时加解密组件可以自动隐藏那些用户无权操作的加密文件。
  实时加解密组件同时可以控制连接到计算机文件系统的外部接口,因此可以通过实时加解密组件控制可移动的存储设备,如U盘、移动硬盘、光驱,甚至远程网络驱动器。
  l 涉密输出主动加密
  在支持主动加密的secWall版本(企业版)中,实时加解密组件的服务对象(可以理解为某个特定应用程序)如果使用了加密数据,这个对象就称为涉密。涉密后的对象会始终以密文方式输出数据到物理存储设备。这种机制称为涉密数据的接触传播性。从用户层的现象看,涉密对象保存的文件会被强制加密。


主动加密——涉密数据的新生继承性示意图

主动加密——涉密数据的接触传播性示意图
 

实时加解密技术的优势

  l 更高的安全性
  采用了实时加解密技术,机密文件一次加密后就没有必要再解密,即使在使用这些加密文件时文件在存储介质上仍然是加密状态。所以实时加解密技术解决了最棘手的“加密文件正在使用时的安全性”难题。而传统的加密技术无法解决加密文件使用时的安全问题,因为传统加密技术在使用机密文件时必须把加密文件解密成明文才能正常使用。
  另一个方面,因为使用加密文件不再需要解密,也就少了机密文件用完后安全扫尾工作的麻烦。而传统保密系统中操作员最容易疏忽和遗忘的就是加密文件使用完后的扫尾工作,从而导致泄密事故。
  l 更好的易用性
  因为实时加解密技术实现完全透明化的操作,操作员在使用加密文件时不需要做任何与加解密有关的操作,机密文件的安全性也不依赖于操作员的参与,所以实时加解密技术完全不改变操作者既有的操作方法和使用习惯,操作员甚至不需要知道加密系统的存在。所以实时加解密技术彻底解放了操作员,操作员不需要再绷紧安全保密的神经,也不需要做安全保密的辅助工作。
  l 更好的工作效率
  使用实时加解密技术,操作员不需要做任何安全辅助工作,因此操作员的工作效率比使用传统保密系统要高得多。而计算机系统在使用机密文件时因为不需要频繁地对整个机密文件解密、加密,运行效率也比传统保密系统高,尤其在处理大文件时。
 

secWall 实时加解密组件的组成

  secWall实时加解密组件由实时加解密驱动、系统数据调度服务、证书管理单元、硬件管理单元组成。
  证书管理单元负责当前用户权限范围内的可用证书管理。
  硬件管理单元负责管理当前连接到计算机的硬件Key状态。
  数据调度服务负责调度证书管理单元和硬件管理单元,以系统服务方式启动,因此实时加解密组件是随着操作系统的启动而启动的,在用户登录进入桌面前已经开始工作。因此secWall实时加解密组件可以加密系统自启动程序的数据(如开始菜单项、桌面上存放的文件或快捷方式图标),甚至其它服务使用的数据(如数据服务器版可以加密SQL Server的数据库,SQL Server本身是以系统服务方式工作的)。
  实时加解密驱动以“黑匣子”方式运行,提供实时加解密与文件系统对象的访问控制服务。计算机系统中任何数据一旦使用实时加解密驱动的加解密服务,就受到实时加解密驱动的访问控制约束;同样,如果不受实时加解密驱动的访问控制约束,就不能得到实时加解密服务。
  实时加解密驱动在操作系统引导时即加载运行,运行后将支持整个操作系统的运行。因为所有应用程序都是在操作系统的支持下运行的,而实时加解密驱动支持的是整个操作系统,所以实时加解密在理论上与加密的文件类型、运行的应用程序都没有关系。


实时加解密驱动运行在操作系统中的层次示意图 与文件类型和应用程序无关

     

  关于我们|联系方式|资质认证|站点地图|职位招聘|建议与投诉  
地址:江苏省无锡市梁溪区锡澄路260-1号圆融发展中心17F  邮编:214031 总机:(0510)82293900 传真:(0510)82702019
版权所有 © 2003-2024 无锡万华数据科技有限公司
苏ICP备05009260号
苏公网安备 32021302000919号