電腦文檔的加密技術

加密技術是利用數學或物理手段，對電子信息在傳輸過程中或存儲設備內的數據進行保護，以防止泄漏的技術。在信息安全技術中，加密技術佔有重要的地位，在保密通信、數據安全、軟件加密等均使用了加密技術。常用的加密算法有DES系列(包括DES和3DES)，RC系列(常用的有RC4和RC6)和AES等對稱加密算法(加密密鑰和解密密鑰相同或相似)以及RSA等非對稱加密算法。除此此外，還有用於獲取信息摘要的MD5等。這些常用的加密算法，只要設置合適的密碼，在現有的計算機技術條件下，一般均可滿足安全性要求，但不同的加密算法，需要的計算量有很大的不同。對於文檔安全加密系統，加密算法是整個系統的核心，其選擇的依據一般根據系統的安全性要求進行確定，在滿足安全性要求的前提下，儘可能選用速度快的加密算法，在條件容許的情況下，可以採用硬件的方式對數據進行加密(如直接利用安全芯片提供的加密算法進行加密等)。

1. 文檔安全中的加密技術

雖然加密算法是文檔安全系統的核心，但加密算法以何種方式進行實現，是決定文檔安全系統的關鍵。在文檔安全系統中，常用的實現方式有靜態加密方式和動態加密方式，靜態加密是指在加密期間，待加密的數據處於未使用狀態(靜態)，這些數據一旦加密，在使用前，需首先通過靜態解密得到明文，然後才能使用。目前市場上許多加密軟件產品就屬於這種加密方式。

與靜態加密不同，動態加密(也稱實時加密，透明加密等，其英文名爲encrypt on-the-fly)，是指數據在使用過程中(動態)自動對數據進行加密或解密操作，無需用戶的干預，合法用戶在使用加密的文件前，也不需要進行解密操作即可使用，表面看來，訪問加密的文件和訪問未加密的文件基本相同，對合法用戶來說，這些加密文件是“透明的”，即好像沒有加密一樣，但對於沒有訪問權限的用戶，即使通過其它非常規手段得到了這些文件，由於文件是加密的，因此也無法使用。由於動態加密技術不僅不改變用戶的使用習慣，而且無需用戶太多的干預操作即可實現文檔的安全，因而近年來得到了廣泛的應用。

由於動態加密要實時加密數據，必須動態跟蹤需要加密的數據流，而且其實現的層次一般位於系統內核中，因此，從實現的技術角度看，實現動態加密要比靜態加密難的多，需要解決的技術難點也遠遠超過靜態加密。

2. 文檔安全加密系統的實現層次

在現代操作系統中，文件的操作均通過文件系統進行，雖然不同的操作系統支持的文件系統不同，但對文件的訪問方式基本相同，在Windows系統中，文件系統是以設備驅動程序形式存在的。Windows的設備驅動程序採用分層方式，允許在應用程序和硬件之間存在多個驅動程序層次，其中過濾驅動程序是一種特殊類型的中間驅動程序，它們位於其它驅動程序的'上層或下層，截獲發送給低層驅動程序設備對象的請求，在請求到達低層驅動程序之前，過濾驅動程序可以更改該請求，而低層驅動程序完全不知道在其上層驅動中發生的一切操作。圖1給出了Windows系統中的文件操作流程，其中層次I和II屬於應用層;層次III和IV屬於操作系統內核層。從中可以看出，一個應用程序(I層)在發出文件操作請求時，需要經過操作系統提供的API層(II層)、文件過濾驅動程序層(III層)和文件系統層(IV層)才能訪問文件，由此可知，文檔安全加密系統也只能在這四個層次上進行實現。

文件系統的這種組織結構決定了文檔安全加密系統的實現方式，在數據從應用程序訪問文件所經過的每個層次中，均可對訪問的數據實施加密/解密操作，由於層次I只能獲取應用程序自身讀寫的數據，其他應用程序的數據不經過該層，因此，在層次I中只能實現靜態加密，無法實現動態加密;即使是層次II，也並不是所有文件數據均通過該層，但在該層可以攔截到各種文件的打開、關閉等操作。因此，在應用層實現的動態加解密產品無法真正做到“實時”加密/解密操作，一般只能通過其他變相的方式進行實現(一般均在層次II進行實現)。例如，在應用程序打開文件時，先直接解密整個文件或解密整個文件到其他路徑，然後讓應用程序直接(重定向)訪問這個完全解密的文件，而在應用程序關閉這個文件時，再將已解密的文件進行加密。其實質是靜態加解密過程的自動化，並不屬於嚴格意義上的動態加密。

只有在層次III和IV中才能攔截到各種文件操作，因此，真正的動態加解密產品只能在內核層進行實現。