disksec磁盤全盤系統(tǒng)簡介文字

統(tǒng)。FDE會自動將寫入硬盤的所有數(shù)據(jù)進行加密，而在系統(tǒng)硬盤數(shù)據(jù)時，F(xiàn)DE會自動所的硬盤數(shù)據(jù)。全盤加密對可能發(fā)生物理丟失或的筆加密算法利用計算機的主CPU實現(xiàn)數(shù)據(jù)的變換，對硬盤的加密控制等加密算法由硬件方式實現(xiàn)如通過計算機中的加密或安裝的其它加密設(shè)卡中增加加密和加密固（控制程序?qū)崿F(xiàn)對硬盤數(shù)據(jù)的加密變換和控制。盤等）進行加密，缺點是對計算機性能有一定影響（CPU速度的Windows操作系統(tǒng)，也可用于其它系統(tǒng)(如Linux、MacOS等)，安全性比較好，缺點是FDE64M/s，而目100M/s；同時，由于目前計算機主CPU的處理CPU的一部分負(fù)荷用來做數(shù)據(jù)的變換，對DiskSecDiskSec是專門針對筆記本電腦容易丟失、硬盤之后，導(dǎo)致重要或敏感算機提供加密，如TPM等，目前只支持Windows系列的操作系統(tǒng)(從Windows2K到的Windows7均支持)，它具有上述純軟件和軟硬件實現(xiàn)方式抵御各種和。入系統(tǒng)。與一般的控制安全機制不同，DiskSec將用戶輸入的通過加密方式的安全機制，由于沒有將驗證物(用戶、用戶等)與硬盤數(shù)據(jù)聯(lián)系起通過散列值碰撞方式直接安全機制(詳細(xì)論述見后面)。其它加密算法或采用硬件加密（要求計算機具有硬件加密。支持雙因子認(rèn)證，DiskSec既支持用戶方式也支持硬件(eToken)使用簡單，使用者僅需記住一個（PIN碼）即可，除計算機啟動時需輸入外(如果采用硬件鎖，則需將硬件鎖插入USB中)，不改變用戶的具有備份和恢復(fù)功能，能夠保證用戶數(shù)據(jù)的安全戶的安全系統(tǒng)，必定留有“后門，否則在理論上說就無法解釋。FDE系統(tǒng)需要用戶制作急救系統(tǒng)不同，DiskSec本身提供了兩個急救系統(tǒng)，系統(tǒng)本電腦在出廠時均沒有提供全盤加密功能很多普通用戶也沒有其中存在DiskSecDiskSec在研發(fā)時就考慮到了與筆記本電腦的結(jié)合，其整體架構(gòu)以模塊的形DiskSec的部分代碼嵌入到筆記本的BIOS中，或利用筆記本提供的其他硬件功能（如加密、識別系統(tǒng)、硬盤HPA等）增強DiskSecDiskSec通過操作系統(tǒng)或應(yīng)用軟件等對硬盤數(shù)據(jù)的讀寫請求，實現(xiàn)對硬盤數(shù)據(jù)的實時加密和操作，當(dāng)系統(tǒng)向硬盤寫入數(shù)據(jù)時，DiskSec首先獲得控位置，反之，當(dāng)程序硬盤數(shù)據(jù)時，DiskSec同樣能夠獲得優(yōu)先控制權(quán)，從硬盤的指定位置加密數(shù)據(jù)并利用加密密鑰對加密數(shù)據(jù)進行操作然后將解DiskSec的情況下，計算機的實際啟動過程。DiskecDiskec執(zhí)行執(zhí)行NY用輸入的加密密鑰DiskSec要求用戶輸入 或PIN圖 用戶操作和不改變用戶的計算機使用習(xí)慣，DiskSec采用的是動態(tài)加密和的了DiskSec采用的動態(tài)加密和的原理。 圖2.DiskSec采用的動態(tài)加密和的方DiskSec，從使用的原理上來劃分常用的數(shù)據(jù)安全產(chǎn)品可分為控制類和加密類或二者的混合體控制類和加密類安全產(chǎn)品有著各自不同的應(yīng)用領(lǐng)域方密這個角度開看控制類產(chǎn)品的安全性一般要比加密類的產(chǎn)品差，特別是泄密的情況下，表現(xiàn)的更為突出，例如，一旦能夠接觸到物理介質(zhì)，訪，問控制類產(chǎn)品幾乎均是可的而加密類產(chǎn)品只要選擇合適的加密算法和設(shè)置主要用于防止泄密（即在硬盤丟失等情況下，防止數(shù)據(jù)的泄密，控制DiskSec與控制類產(chǎn)品的比樣的數(shù)據(jù)安全產(chǎn)品，如鎖、登錄認(rèn)證、硬盤、硬盤HPA保護、硬盤訪問控制等，這些產(chǎn)品均屬于控制類產(chǎn)品，其中鎖和登錄認(rèn)證主要用于防止的用戶使用計算機系統(tǒng)，但難以防止數(shù)據(jù)泄密，其實現(xiàn)原理見圖3 、 、)鎖NY 圖3.認(rèn)證過 圖4.方由于這些措施一般只是驗證用戶提供的驗證物是否正確沒有將驗證物的措施，只需簡單地修改系統(tǒng)運行流程即可實現(xiàn)，原理見圖4.因此，這些安全措施雖然能夠增加一定的安全性，但很容易被，即使這些安全措施能夠做到其他用戶無法（從理論上看，根本無法做到，這些安全措施也有其致命弱點即只能保證在沒有合法如沒有合法的輸入等）的情況下其他用戶無法啟動計算機但無法防止在硬盤上的數(shù)據(jù)不被泄密，這些安全措施只是限制了其他用戶使用該計算機卻無法防止在該計算機上對于硬盤、硬盤HPA保護、硬盤控制等類型的數(shù)據(jù)安全產(chǎn)品，由于其控制機制做到了硬盤控制器中（即硬盤上的電路板，所以這種產(chǎn)品的相對鎖等產(chǎn)品的安全性相對要高一些但其采用的原理和認(rèn)證方式與鎖等產(chǎn)品相似，見圖器替換有控制機制的硬盤控制器，即可繞過控制機制，從而獲得硬盤上的明文數(shù)據(jù)，其原理見圖6.即使無法獲得同型號且沒有控制機制的硬盤控控制機制，只要不啟用控制機制就可以繞開控制機制，仿制一塊沒有在輸入階段，雖然DiskSec也提供了類似的驗證方法(見圖1)，但其驗證的主要目的并不是想其他人使用該計算機只是為了避免用戶由于輸“密”后的數(shù)據(jù)只會更（因為用不正確的去相當(dāng)于用這個不正確的密碼去加密，因此，通過修改流程的方法是無法DiskSec的。DiskSec的措施是通過加密硬盤數(shù)據(jù)實現(xiàn)的，其安全性主要依賴加密DiskSec采用的是目前國際上認(rèn)可的加密算法（就目前看，這些算法從理論上還沒有找到好的方法，對這些算法的，一般只能通過窮舉的方法進行，在沒有密鑰的情況下，要長度達到256位的加密數(shù)據(jù)，幾乎是不可能的。DiskSec不限制非用戶在獲得計算機的情況下，繼續(xù)使用該計算機非用戶可通過重新格式化硬盤和安裝新的操作系統(tǒng)繼續(xù)使用這臺計算機，但無法得到其中的數(shù)據(jù)。DiskSec與文件級的比和文件級加密方法兩大類。這兩類加密方法均有各自的優(yōu)點和缺點，DiskSec采用的加密方法屬于硬盤級的加密這一級別的加密方法與文件級別的相由于這一級別的直接對硬盤物理扇區(qū)進行加密不考慮文件等數(shù)據(jù)的邏輯概念，在這種下，任何在硬盤上的數(shù)據(jù)均是加密的，相 等地方臨時這些文件的備份文件，雖然一般情況下，這些臨時文件在使用后均會被刪除，但由于，系統(tǒng)在從理論上來說，即使臨時文件被刪除，只要這些臨時文件的數(shù)據(jù)區(qū)沒有被覆蓋或做過加理等操作，就能容易地通過反刪除等重新獲得，在實際應(yīng)用中，這些臨時文件一般不會被加密，從而成為信息泄密的一個重要。更進一步，即使將臨時文件也進行了加理，但系統(tǒng)的頁面交換文件等（如Windows的Pagefile.sys等，除文件系統(tǒng)內(nèi)嵌的外，第