一.防止数据复制方案综述

DSF是一个基于文件系统内核和内存缓冲管理内核的核心态软件,所有的数据加解密都是在内存中发生的.在客户机器上运行的DSF防止拷贝软件包包括:运行在系统内核的部分和提供给开发商的一个控制内核的开发包.要达到我们的目标,就需要解决下面两个问题:

1.在DSF未启动时,怎样防止拷贝原始文件? 怎样和应用软件配合使用加密文件? :（1）.在开发商的机器上使用DSF给文件加密,使其不能直接被使用,保证了当DSF未启动时,用户无法直接拷贝到原始文件.（2）.在客户机器上,启动应用软件,它首先通过DSF开发包去打开DSF,然后使用某种定制方式和DSF通信,以将使用加密文件时对应需要的策略配置(密码)输入给DSF.这样DSF将用这些密码去进行实时的解密数据,从而做到和应用软件配合直接使用加密文件.通过这种方式,应用软件就可以直接使用加密的文件了.当应用程序没有启动的时候,DSF不会动态解密数据,所以即使客户拷贝这些文件,也是加密的文件.

2.怎样在应用软件控制的DSF启动后,防止拷贝原始文件? :我们既要求DSF执行实时数据解密,又要防止客户拷贝文件而得到原始文件.在客户机器上,启动开发商制作的应用软件,它首先获得自己进程(和相关进程)的进程ID,然后打开DSF,并通过DSF提供的接口通信,把这些进程ID送入到DSF中.这样DSF将只为这些进程执行动态解密服务,而拒绝其他进程打开文件的请求.通过这种方式,其他进程(比如客户使用资源管理器来拷贝文件)要打开文件将被拒绝,而只有注册给DSF许可的进程才能正常的打开文件.因为这些进程已经肯定没有”另存为”和”剪切”,”拷贝”,”粘贴”的功能,所以只能在DSF的协助下使用加密文件,而不用担心这个加密文件被拷贝成解密后的原始文件.

二.防止数据复制系统安全性

1.安全强度

加密算法采用IBM开发的非常快速的160位的SEAL算法,完全可以满足加密强度.而且,基于DSF平台的加密引擎是可以不断扩充并可自开发的.我们以定制方案在软件商和DSF软件模块间通信,以输入密码配置.该定制方案只在双方合作范围内,可以引入可以设计的一切复杂的通信方式.包括采用硬件进行通讯.具备范围小,通讯模式复杂,通讯数据被加密,通讯方案可以不断扩充定制等特点.

2.密码发布方案1

在DSF的数据安全解决方案(零售版产品线)中,一个用户为了保护自己的机密文件,他使用密码加密文件.当他需要查阅该加密文件的时候,只需要输入密码.但是如果他将加密文件传递给其他人查阅就必须也提供相应的密码.在这种设计下,是无法做到防止拷贝的.因为,只要你提供了加密文件的密码给其他人,其他人就可以在DSF中使用这个密码来解密文件,从而可以拷贝文件的原始内容.

3.密码发布方案2

在DSF的防止拷贝方案中,开发商可以将原始密码经过再一次编码处理,这个处理后的密码才是提供给最终用户输入的密码,才是随同加密文件一起发放的密码.这样,用户在开发商提供的软件中输入该处理过的密码后,该软件将原始密码通过定制的私有协议送入DSF,从而使得用户可以直接查阅该加密文件.而用户因为无法知道原始密码,所以无法解密文件.而对于无需用户输入密码,只要是授权用户就可使用的情况,比如KTV点歌软件,付费电影下载软件等只不过是把原始密码固化到软件系统(或者其自定义的文件)中而已。在这种设计下,也存在问题.因为,如果用户可以在其他的机器上也使用该软件,就可以输入该处理过的密码而查阅该加密文件了.即文件依然以另一种形式被拷贝.而如果该软件可以保证无法在其他机器上使用(例如该软件本身使用了加密狗,也可直接利用DSF的技术),那么该方案已经解决了防止拷贝问题.

4.密码发布方案3

DSF技术能够锁定机器硬件特征.开发商开发的软件通过该技术得到机器硬件特征码,并将该特征码与原始密码进行混合处理,形成新的密码形式作为用户需要的输入.当用户输入该处理过的密码后,软件将依赖于本机器特征码把其还原成原始密码,并通过私有协议送入DSF,从而使得用户可以直接查阅该加密文件.而用户因为无法知道原始密码,所以无法解密文件.即使在其他机器上有该软件,加密文件和处理后的密码,但密码是根据机器硬件处理出来的.所以因为机器硬件不同,用户输入该密码也将无法查阅该加密文件.这就真正做到了防止拷贝。而对于无需用户输入密码,只要是授权用户就可使用的情况,比如KTV点歌软件,付费电影下载软件等只不过是把原始密码固化到软件系统(或者其自定义的文件)中而已.在这种设计下,存在一个相对烦琐的步骤,就是当加密文件发放到各个机器上时,随同发放的密码是按照各个机器计算出来的.所以,开发商还将提供方便的工具软件来做到这些.

5.密码发布方案总结：在防止拷贝的要求下,最方便使用的方案是方案2,并且该软件本身保证无法在其他机器上使用: 它可以借助于已有的各项版权保护技术,例如加密狗.也可以直接借助于已有的DSF内核提供的版权保护技术.DSF内核提供的技术是从系统内核入手进行版权保护,要求用户必须得到该机器硬件的授权.在没有授权的机器上,DSF内核将会拒绝提供服务.