當前，核心數(shù)據(jù)的保護和管理面臨越來越大的安全風險，在windows操作系統(tǒng)被廣泛使用的網(wǎng)絡(luò)環(huán)境下，透明加密技術(shù)作為一種與windows操作系統(tǒng)關(guān)系密切的數(shù)據(jù)保護技術(shù)，具有一定的實用價值。文章對透明加密技術(shù)進行了分析，介紹了常見的幾種透明加密關(guān)鍵技術(shù)，簡要分析了其實現(xiàn)原理，提出了透明加密技術(shù)的發(fā)展要求。最后，文章提出的透明加密技術(shù)研究還有待于進一步深入，其安全性和可靠性也有待于進一步論證。

　　引言

　　近年來，信息技術(shù)迅猛發(fā)展，越來越多的信息和資料以數(shù)字形式存放在硬盤等數(shù)字存儲設(shè)備中，并且隨著信息共享技術(shù)的突破，通過移動存儲設(shè)備、網(wǎng)絡(luò)等介質(zhì)交換數(shù)據(jù)越來越方便，但同時，核心數(shù)據(jù)的控制和管理也越來越難，如何保證核心數(shù)據(jù)不泄露逐漸成為了信息安全的熱點問題。為此，很多單位采取了“完全封閉式的管理”、“堵塞或拆除計算機的USB接口，禁止上網(wǎng)”、“簡易的身份認證”等各種方式防止核心數(shù)據(jù)泄露，但往往是顧此失彼，難以完全控制。如何建立完善的數(shù)據(jù)泄露防護體系、保護核心資源，已迫在眉睫。

　　數(shù)據(jù)加密作為數(shù)據(jù)保護的有效方式之一，越來越受到廣泛認可，但傳統(tǒng)的數(shù)據(jù)加密方式存在加密速度慢、密碼易被破解、無法防止文檔被復制等缺點，難以滿足需要。近年來，隨著對加密技術(shù)的深入研究，透明加密技術(shù)正逐漸得到廣泛應用。

　　1 實現(xiàn)原理

　　透明加密技術(shù)是近年來發(fā)展較為迅速的一種文件加密技術(shù)。所謂透明加密是指對使用者來說，數(shù)據(jù)的加、解密是自動的，不會影響其正常的操作習慣。采用這種技術(shù)，當使用者保存數(shù)據(jù)時，系統(tǒng)將對數(shù)據(jù)自動進行加密，當使用者打開或編輯指定文件時，系統(tǒng)自動對已加密的文件進行解密，在硬盤上存儲的是密文，在內(nèi)存中存儲的是明文，—旦離開使用環(huán)境，數(shù)據(jù)就無法得到自動解密的服務，從而達到保護數(shù)據(jù)內(nèi)容的效果。

　　透明加密技術(shù)的產(chǎn)生是與windows操作系統(tǒng)的發(fā)展密不可分的。自windows NT問世以來，微軟提出了系統(tǒng)分層的概念，將操作系統(tǒng)設(shè)計為雙模式多層驅(qū)動式結(jié)構(gòu)，典型的windows驅(qū)動程序?qū)哟谓Y(jié)構(gòu)如圖1所示。

圖1 Windows驅(qū)動程序?qū)哟谓Y(jié)構(gòu)圖

　　兩個模式主要指用戶模式和內(nèi)核模式。通常情況下，應用程序運行在用戶模式下，只能訪問自己私有的內(nèi)存空間，無法直接訪問硬件，它對文件的操作只能通過調(diào)用windows API函數(shù)進行，這為在用戶模式下進行透明加解密提供了時機。如在寫文件時，首先對文件數(shù)據(jù)進行加密，再調(diào)用win32 API函數(shù)進行寫操作；在讀文件時，先調(diào)用windows API函數(shù)讀出加密的數(shù)據(jù)，再自動進行解密。在調(diào)用windows API函數(shù)時截獲消息并對數(shù)據(jù)進行加解密處理，是在用戶模式下實現(xiàn)透明加解密的主要方式。

　　在核心模式下，應用程序?qū)indows API函數(shù)的調(diào)用，最終將轉(zhuǎn)化為不同的操作指令傳遞給I／O管理器，I／O管理器將不同的操作請求轉(zhuǎn)化為IRP（I／O Request Package，輸入／輸出請求包），分發(fā)給各層驅(qū)動依次處理。windows將驅(qū)動分成了以下三種?？偩€型驅(qū)動程序主要用于管理一個邏輯的或物理的總線，比如PCI、USB等；功能型驅(qū)動程序用于管理某一特定類型的設(shè)備，主要用于將一個設(shè)備的操作接口導出給操作系統(tǒng)；過濾型驅(qū)動程序位于功能型驅(qū)動程序的上層或下層，可增加或者改變一個設(shè)備或另一個驅(qū)動程序的行為。具備不同功能的各種驅(qū)動，分層合作，各司其職。過濾型驅(qū)動的出現(xiàn)，為在核心模式下實現(xiàn)數(shù)據(jù)透明加解密提供了手段。如寫文件時，在上層過濾型驅(qū)動程序或下層過濾型驅(qū)動程序中可以首先截獲IRP，進行加密處理，然后再交給下層驅(qū)動處理；讀文件時，在上層過濾型驅(qū)動程序或下層過濾型驅(qū)動程序中可以首先獲取讀到的加密數(shù)據(jù)，進行解密后交給上層驅(qū)動或應用程序。編寫具備加解密功能的過濾型驅(qū)動，是在內(nèi)核模式下實現(xiàn)透明加解密的主要方式。