本文简介:信息技术和网络通信的发展,尤其是Internet的高速发展,大大加快了全球信息化的进程,同时信息安全方面的问题越来越多,这也引起人们的高度重视。不解决信息安全问题,信息化将不可能健康地发展。数据加密是保证信息安全的基本技术。它以很小的代价为信息提供了一种有效的安全保护,国内外学者对比进行了有效的研究。本文提出了一个基于多模式加密算法的文件加密保护方案来保证计算机中信息的安全。为了保护文件的保密性和
信息技术和网络通信的发展,尤其是Internet的高速发展,大大加快了全球信息化的进程,同时信息安全方面的问题越来越多,这也引起人们的高度重视。不解决信息安全问题,信息化将不可能健康地发展。数据加密是保证信息安全的基本技术。它以很小的代价为信息提供了一种有效的安全保护,国内外学者对比进行了有效的研究。本文提出了一个基于多模式加密算法的文件加密保护方案来保证计算机中信息的安全。
为了保护文件的保密性和完整性,防止信息被窜改、伪造和假冒,传统的方法是对同一个文件采用单一模式的加密方案。本文提出的文件加密保护方案是对同一文件不同内容用不同加密方法的多模式加密:采用128bits(16Bytes)密钥,使用对称密码算法3DES、IDEA、AES中的一种(可选)和类似CBC(密码分组链接)的加密模式对原文件进行加密以保证数据的安全;另外使用散列算法MD5、SHA1、SHA-256中的一种(可选)对原文件生成散列值,通过校对散列值检测文件是否被更改,从而保证文件的完整性。该方案较传统的方案有更高的安全性。
1 本文涉及的加密和散列函数算法
本文主要使用了对称密码算法3DES、IDEA、AES和类似CBC(密码分组链接)的加密模式,散列算法采用了MD5、SHA1、SHA-256等对原文件生成散列值,通过校对散列值检测文件是否被更改,下面分别进行简单介绍。
1.1 加密算法
DES用56bits密钥将64bits的明文转换成64bits的密文。其中,密钥总长为64bits,另外8bits是奇偶校验位。DES的密钥存在弱密钥、半弱密钥等。实用中较多是它的改进型,即用最小密钥进行三重加密。IDEA算法基于“相异代数群上的混合运算”设计思想。其密钥长度为128bits,是DES密钥的两倍多,分组长度为64bits。一些文献讨论IDEA算法的不足,但目前尚未有进行有效攻击的方法。AES 算法其设计策略是宽轨迹策略(Wide Trail Strategy)。其使用128 、192 或256bits长度的密钥,对于128、192或256bits的加密分组进行加密(密钥跟加密分组长度无须相等共九种组合)。
1.2 密码模式
分组加密算法在加密数据时可以分为四个模式。ECB是最简单和最快的分组密码模式,当然也是最弱的。本文加密文件头使用该模式。在CBC 模式下,每一个分组加密之前必须与前一个分组的密文进行一次XOR 运算,之后再进行加密。因此,每一个区块的加密结果均会受到之前所有分组内容的影响。本文加密文件体系用该模式。
1.3 单向散列算法
本文所用的单向散列函数是消息摘要算法MD5 和安全散列算法SHA。MD5以512bits分组来处理输入的消息,且每一分组又被划分为16个32bits子分组,经过一系列的处理后算法的输出由4个32bits分组组成,将这4个32bits分组级联后将生成一个128bits的散列值。 其运算速度非常快。SHA设计思想和MD5 相似,但是比MD5 具有更长的散列值,因此更能够抵抗攻击。SHA1有160bits散列值。具备扩展转换,并且为产生更快的雪崩效应而将上一轮的输出送至下一轮。SHA-256是SHA1的改进:具有更大的数字指纹、更复杂的非线性函数和压缩函数、每一步均有唯一的加法常数等。因此,SHA-256具有更高的安全性。
2 强加密算法文件加密保护方案的实现
下面介绍该文件加密保护方案的具体实现思想。主要包括文件的加密和解密两个过程。
2.1 文件的加密过程
用户选择好要保护的文件、加密受保护文件头部信息的密码算法、加密原文件的密码算法、散列算法、加密密钥。
使用用户选择的散列算法求出原文件的散列值,然后连同原文件的长度、加密原文件的密码算法、散列算法,这四部分作为受保护文件的头部信息加密后写入受保护文件。头部信息的内容如下:前16Bytes包含了原文件的长度、加密原文件的密码算法、散列算法,接下来的16或32Bytes则是原文件的散列值。其中MD5(128bits)为16Bytes,SHA-256(256bits)为32Bytes,而SHA1(160bits)为16Bytes,剩余的32bits放到前16Bytes空闲的第13-16Bytes中。
使用用户选择的加密受保护文件头部信息的密码算法对头部信息以ECB(电子密码本)模式进行加密。在这里需要注意的是无论选择3DES、IDEA,还是AES,其密钥长度均为128bits。IDEA的密钥长度为128bits,可直接使用;AES的密钥长度和分组长度都是可选的,在本方案中它使用128bits的密钥和分组;对于3DES,它使用了文献[3]介绍的方法,先用128bits的密钥产生三个64bits的密钥,再使用DES算法加密。
接下来,本文使用用户选择的加密原文件的密码算法对原文件进行加密。在加密时用到了一个基于CBC模式,它可以下面的公式表示:Ci=E(PiIV);IV=IVCi;在这个加密模式中,第i个密文分组是由第i个明文分组与初始向量IV异或后再使用具体的密码算法加密得到的,然后IV与第i个密文异或得到新的IV以备对第i+1个明文分组加密时使用。最初的初始向量IV是由受保护文件头部的密码算法产生的子密钥的异或和,不同的密钥产生不同的IV,不同的密码算法产生不同的IV。在本方案中,各个密码算法先产生128bits的IV,在加密原文件时再灵活使用(在加密原文件时,若用户选择了AES算法则128bits的IV可直接使用;若选择了3DES或IDEA,则要将128bits的IV分为前后两个64bits,再将它们异或得到一个64bits的IV来使用)。
各个密码算法产生128bits初始向量IV的方法:AES产生44个子密钥,长度为32bits。将其按顺序分成四组异或得到128bits的初始向量IV,如图2所示。DES先将128bits的密钥分成两个64bits的密钥,生成64个子密钥(DES产生16个子密钥,长度为48bits,在本方案中一个48bits的子密钥被分成两个24bits的子密钥),接着将64个子密钥平均分成四组异或得到128bits的初始向量IV。IDEA产生52个子密钥,长度为16bits。在本方案中,使用前48个子密钥将其合并成24个32bits的分组,然后按顺序分成四组异或得到128bits的初始向量IV。
最后要说明的是,由于DES、IDEA的分组长度为64bits,AES为128bits,若将原文件制作为受保护文件后,受保护文件的长度是64bits的倍数而不是128bits的倍数,那么密码分析者即可确定加密原文件的密码算法不是DES就是IDEA,这样会降低破译的难度。在加密完原文件后,将检测受保护文件的长度是否为128bits的倍数,若不是128bits的倍数则再加上一些随机数据使其为128bits的倍数(是128bits的倍数必然是64bits的倍数,那么密码分析者将不能从文件长度中确定密码算法了)。
2.2 文件的解密过程
(1)软件根据用户提供的解密密钥、受保护文件的头部信息密码算法解密受保护文件的前16Bytes,获取原文件的长度、加密算法、散列算法信息;
(2)根据散列算法产生的散列值的长度读取受保护文件中相应的字节,将其解密得到原文件的散列值H1;
(3)根据解密受保护文件的前16Bytes时得到的原文件加密算法信息和原文件的长度,解密受保护文件剩余部分,将解密得到数据写入文件;
(4)对上一步得到文件用解密受保护文件的前16Bytes时得到的散列算法信息求出该文件的散列值H2;
(5)比较H1与H2,若两者相等则表示文件未被修改;若不等则表示文件已修改。
3 试验结果和该方案的特点
对该方案的实用性进行如下试验:分别对一个txt文件(49.7KB),一个MP3文件(4.95MB),一个exe文件(11.2MB)进行加密和解密试验,使用的散列算法: SHA256,文件头部用3DES加密,文件体分别用3DES、IDEA、AES进行加密,从试验结果可看出该方案的执行时间并没有大幅度的提高,但安全性有很大提高,数据如表1、2(CPU1.1GHz,256MB内存)。
其中,IV是受保护文件头部的密码算法产生的子密钥的异或和。这种加密模式保留了CBC的优点——增加了安全性,而且一旦密文遭到修改其错误将会扩散到修改点以后的全部密文,这样可以更加容易地检测到改动。这些方法较好保证了数据的完整性。在一定程度上将三种密码算法混合起来,增加了破译的难度。密文遭修改后,在解密时该错误会被扩大,可更加容易发现密文被改动。
该方案目前也存在着一些不足:密钥过长(128bits),解密时需提供受保护文件头部信息的密码算法。加密保护文件头部信息时只用了电子密码本模式(ECB),降低了安全性。密文被修改后无法正确解密恢复原文,容错性不理想。
该方案用多种模式加密算法对同一文件进行加密。它是对已有的加密方案的有效改进和整合。虽然该方案还有一些不足之处,但较传统单一模式的加密方案其能更好保证文件的安全性和完整性。
小知识之散列函数概念:
散列函数(或散列算法)是一种从任何一种数据中创建小的数字“指纹”的方法。该函数将数据打乱混合,重新创建一个叫做散列值的指纹。散列值通常用来代表一个短的随机字母和数字组成的字符串。好的散列函数在输入域中很少出现散列冲突。在散列表和数据处理中,不抑制冲突来区别数据,会使得数据库记录更难找到。
精选:怎样防止公司文件和图纸外发
精选:怎样防止公司文件和图纸外发
经常有朋友在后台私信小编,辛辛苦苦的劳动成果发给客户,对方通过各种手段白嫖,真是心力交瘁!或者是公司禁止对外的资料也有员工外发和拷贝,给公司带来损失。
在我们的工作中,经常要给客户发送业务相关的文档、合同、图纸、视频等等,文件一旦外发,就脱离了公司的掌控范围,失去了有效的保护。员工带出或拷贝涉密文件,这些操作企业都会面临着诸多风险和挑战!
如何解决这些问题,守护外发文件的安全呢?以下方案供您选择,确保您文件的安全可控!
解决方案
大多数企业都会使用安企神软件提供的防止公司文件和图纸外发的解决方案,通过使用安企神软件的文件加密、禁止复制拷贝、外发管控、制作文件外发包等功能,可以从多方位入手,为企业重要文档提供全方位的防护,无论是在企业内部的文档使用,还是与合作伙伴共享文档,又或是公司员工将文档带出企业使用,都不用担心文档内容被非法泄露,给企业造成不必要的损失。
防止公司文件和图纸外发详细功能
1、文件加密:
- 全盘加密: 采用最先进的国密256加密算法,对公司电脑上的所有文件进行自动加密,无论是新创建的文件还是已存在的文件,确保数据的安全性。
- 透明加密: 用户无需感知加密过程,可以正常打开、编辑和保存文件。加密过程在后台自动完成,不会干扰用户的正常工作。
加密后的文件只能在安企神软件授权的电脑上查看,不管复制、外发上传还是拆走硬盘,打开都是乱码。
2、外发管理:
- 外发审批: 员工需要外发文件时,必须提交外发申请,经过管理员审批后才能进行外发。
- 外发记录: 系统记录每一次文件外发的详细信息,包括外发时间、接收方、文件内容等,便于后续审计和追溯。
外发上传控制: 配置相关网盘资源网站,禁止相关外发文档工具,如百度网盘,FTP等。
3、权限设置:
- 用户角色管理: 根据员工的职责和部门,设置不同的用户角色,并分配相应的文件访问和操作权限。
- 文件访问权限: 控制员工对文件的读取、编辑、删除等权限,确保只有授权人员才能访问敏感文件。
4、禁止拷贝:
- 禁止拖拽: 防止员工通过拖拽的方式将文件从加密环境移动到非加密环境。
- 禁止打印: 控制加密文件的打印权限,防止敏感信息通过打印方式泄露。
- 屏幕截图监控: 监控员工对加密文件的屏幕截图行为,并进行记录和警告。
复制加密: 开启复制加密功能后,本地资料如果是不加密状态,如果有复制文件到移动设备的操作,软件会自动将文件加密。
5、制作外发包:
- 自定义外发包: 管理员可以根据需要制作自定义的外发包,包含特定的文件和访问权限。
- 外发包加密: 外发包本身也进行加密处理,确保在传输过程中不被非法获取和篡改。
外发包使用限制: 可以设置外发包的使用期限、打开次数等限制条件,控制外发文件的传播范围和使用时间。
通过综合运用以上功能,可以有效防止公司文件和图纸的外发和泄露,确保公司数据的安全性和保密性。
总结:
上述内容就是安企神软件提供的防止公司文件和图纸外发的解决方案,防止公司文件和图纸外发需要综合运用多种策略和技术手段。通过加实施权限管理、加密技术、监控和审计文件使用等措施,可以有效地保护公司的敏感信息和数据安全。
本文为收集整理,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。https://www.wgj7.com/cjwt/16182.html