基于LayerFileSystem架构搭建
技术白皮书
2010年3月
概述
SEFS3是新一代的透明加密内核,基于分层文件系统(Layered FileSystem)理念,结合独具中国特的防泄密、文档安全市场的需求而开发的全新透明加密平台。 简介
针对传统的透明加密驱动技术–(依赖清楚缓存来区分不同的进程对加密文件内容的访问控制)所带来的文件损坏、应用程序兼容性差、与杀毒软件等类似技术存在严重冲突等问题,SEFS3提出了独到的解决思路。真正实现了一个文件、多个缓存。不同的进程访问不再依赖于梦魇般的暴力清除文件缓存。同时SEFS3也实现了一个全新的CallBack架构的Windows文件系统平台,可以将应用任意的扩展到网络文件系统、远程的存储媒体如FTP、SSH等服务器。 原则
分界开关控制器
遵循SEFS一贯追求的“简洁稳定高效兼容”开发原则。SEFS3将提供您全新的文档安全、文档控制、内网防泄密、分布式存储、实时备份等应用领域的解决之道。
背景分析
加热膜在Windows操作系统中每个文件对应仅仅只有一份缓存,如果缓存脏或者是缺页将由操作系统的“虚拟内存管理器(VMM)”或者“缓存管理器(CM)”文件系统发出非缓存(NoCache IO)的IO读写请求。系统所有的进程读写相同的文件所得到内容都是一样的。这样可以减少对磁盘的读写,从而提高系统的性能,这是Windows系列操作系统的设计原则。
但是随着国内对文档安全意识的逐步提高,客户和应用开发商都意识到对加密文件的读写需要区分不
抛光毛刷>四技术同的进程。也就是一个文件因为读写的当前进程不同。需要呈现出不同的内容(明文或者密文)。为了解决这一颇具中国特的需求。国内的开发商提出了各种解决方案,应用层的加密由于性能及安全性方面的天然性欠缺,已经慢慢的淘汰出主流的市场。主流的驱动就加密技术基本都是采用实时的刷新缓存来识别进程的解密权限。
蓝屏和损坏的根源
暴力清除加密文件缓存的缓存在文件过滤器中截获非缓存的读取由进程的不同来决定是否解密从而实现不同的进程读取相同的加密文件得到截然相反的明文和密文。
pppd-287
国内透明加密市场的现状
正是这样的原因,现有的驱动透明加密普遍存在损坏文件、性能降低、兼容性差等诸多问题。乃至不少的厂商在宣传中都不再强调软件的功能和特,只要突出稳定、不破坏文件就能获得不错的市场回报。
SEFS解决之道红外线烘干箱
SEFS3提出了全新的解决之道。首先SEFS3不再是单个文件过滤器驱动。而是一个加密平台。SEFS3架构如下图所示(点击图片可查
看大图):
在SEFS3架构中,授权和非授权进程对加密文件的读取不同的内容不再依赖于缓存的暴力清除,而是SEFS3管理了多个缓存内容(多个FCB),不同的进程的读取被指向不同的缓存块。从而安全的实现这一颇具中国特的需求。同时也减低了同杀毒软件等基于文件过滤器技术的冲突。如下图所示(点击图片可查看大图):
技术特点
•用户可在应用层实现自定义的文件系统,可以实现加解密文件系统、或者是压缩文件系统、又或者分布式存储
SEFS3提供用户自定义文件的Demo源代码,方便您的开发•用户可在应用层选择CSP或者PKCS11等加密规范实现PKCS7数字信封格式的文件加密封装,从容嵌入PKI体系,
实现文件权限、身份鉴别、文件签名、文件验证等类似MS
EFS的功能.
•实时加解密,透明服务。SEFS3不会有性能的瓶颈,不会改变应用程序的行为和用户使用习惯。
•用户无选择强制加密。强制加密所有涉密进程的运行中产生的文件(包括但不限于临时文件、随机文件、导出文件等).
这样无论另存为什么样的文件名称,装换为什么样的文件格
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议