加密文件系统主要解决的是物理安全问题。通常依靠操
作系统提供的安全机制来保护数据的安全。以普通的个人计
算机来说,它们通常都允许通过启动软盘引导系统。这样对
于在物理上能够接触到涉密计算机的入侵者来说,他可以简
单启动另一个不同的操作系统,该系统完全由入侵者来控
制,此时他就可以完全避开正常的权限检查。入侵者甚至有
可能盗走保存有机密数据的硬盘,或者整台计算机。由于笔
记本电脑在现今社会应用广泛,而且经常被随身携带,因此
出现遗失和被窃的可能性自然大大增加。相对于通过计算机
网络系统入侵,物理入侵带来的安全威胁相对要小一些,但
是只要数据足够重要,这种安全威胁就绝对不能忽略。威胁
的根源是数据在存储介质中以明文方式保存,而应对这种威
胁的唯一方法就是使用数据加密技术。
加密文件系统介绍
1
基本原理
1.1
文件系统
(1)
操作系统中负责管理和存取文件信息的软件机构称为文件管理
系统简称为文件系统。文件系统为用户提供了存取简便、格式统
,
一、安全可靠的管理各种信息文件的方法。
()
加密技术
(2)
采用密码技术将信息隐蔽起来,使信息即使被窃取或载获,窃
取者也不能了解信息的内容,从而保证了信息的安全。
加密文件系统
(3)
加密文件系统扩展了普通文件系统的功能,它以一种对用户透
明的方式为用户提供了一个将数据以加密方式存放的功能。
存储系统的不同加密方式
1.2
存储系统的加密可以分为大类。
3
文件加密方式
(1)
最基本的文件加密方式是使用某种文件加密工具,它不需要操
作系统支持。例如在通信时常用的工具。用户通过自己
E-mailPGP
选择的密码对文件进行加密。用户在访问加密过的文件的时候,需
要使用工具对其先进行解密,使用完毕后再进行加密。这种繁琐的
方式使得它在实际应用中缺乏足够的吸引力。而且这种方式由于需
要用户参与较多,因此比较容易出错。如果用户遗忘了密码,文件
内容将无法恢复,如果用户使用容易猜测的密码用户通常倾向于
(
使用比较容易记忆的口令,这往往是容易猜测的口令,就会增加
)
非法访问者解密的可能性。同时处于使用状态的明文数据文件完全
没有保护,入侵系统的非法用户也可以使用替换加密工具,记录用
户键盘输入等方法得到数据的访问权,所以只适合对安全性要求不
高的场合使用。
存储介质加密方式
(2)
存储介质加密方式通常在设备驱动程序层实现。由驱动程序透
明地进行加解密工作。它们通常使用创建一个容器文件,通过某种
机制,例如设备,在此容器文件中创建一个文件系统。整个容
loop
器文件是加密的,作为一个虚拟分区被安装和使用。使用这种方式
实现的加密系统有,和
BestCryptPGPDiskLinux cryptoloop.
加密文件系统
(3)
加密文件系统是在文件系统基础上实现加密功能。它和使用存
储介质加密方式一样,能够提供对用户透明的文件加密功能。相对
于使用存储介质加密方式,它的主要特点是可以支持文件粒度的加
密。也就是说,用户可以选择对哪些文件加密。由于是直接在物理
设备而不是在容器文件内创建文件系统,再加上不用对整个存储卷
加密,加密文件系统就能够提供更好的性能。
加密文件系统的分类
1.3
加密文件系统可以分为两类,两者的实现方式和目标都
有比较大的区别。一类是本地加密文件系统,它的目标是应
对存储介质失窃的威胁,安全模型把加密文件系统所在的操
作系统视为可信的。另一类是面向网络存储服务的,通常是
基于客户和服务器模型,可以称为加密网络文件系统。
NFS
在加密网络文件系统中,数据以密文的方式保存在加密网络
文件系统中,用户通过客户机服务进程与网络文件服务器交
互,网络文件服务器负责将用户请求的密文传递到客户机服
务进程,由客户机服务进程进行解密再交给应用程序。在这
作者简介:
丁成-,男,硕士生,主研方向为操作系
(1974)Linux
统;孙玉芳,博导
收稿日期:
2003-08-21
:
E-mail
xld@ht.rol.cn.net
加密文件系统:
LinuxCrypt-FS
丁成
1
,孙玉芳
2
中国科学技术大学研究生院计算机学部,北京;中科院软件所
(1. 1000802.)
摘要
:随着便携式计算设备的普及,保存数据的存储设备失窃或遗失的可能性增大。在这种情况下,能够保证敏感数据不被泄露的唯一方
案是使用数据加密技术。相对于其它加密方式,使用加密文件系统对用户透明、可靠,有着不容忽视的优势。文章在操作系统上设
Linux 2.4
计和实现了一个加密文件系统——,并对其进行了介绍。
Crypt-FS
关键词
:;加密文件系统;安全操作系统;
LinuxCrypt-FS
Crypt-FS: A Cryptographic File System Designed for Linux
DING Cheng
1
,
SUN Yufang
2
;
(1.University of Science and Technology of China, Beijing 1000802.Institute of Software,Chinese Academy of Sciences)
【】
Abstract
Portable computers become more and more popular. The storage device which stores sensitive data has the more chances to be lost or
stolen. In this situation, the only way which can protect the sensitive data is using data encryption. Cryptographic file system is the best candidate in
this scopes. Its lucider and reliable for the user. And it has more advantage which isn't to be ignored than other encrypt ways. This paper describes the
design and implementation of the cryptographic file system Crypt-FS on Linux 2.4.
【】
Key words ;;;
LinuxCryptographic file systemSecurity operation systemCrypt-FS
第
29
卷 第
20
期
Vol.29
№
20
计 算 机 工 程
Computer Engineering
2003
年
11
月
November 2003
·安全技术
·
中图分类号:
TP309.7
文章编号:
1000
—
3428(2003)20
—
0111
—
03
文献标识码:
A
—111—
评论0
最新资源