·102·
基于SAP 系统的透明加解密方法初探
盖广仓
(苏州市思贝电脑技术有限公司,江苏 苏州 215000)
摘 要:作为目前国内在企业资源计划(ERP)商用管理软件中最先进的SAP 系统(数据处理系统应用与产品),在各行各业得到了非常广泛的应用,它的文件数据的安全性成为最为关键的问题。针对它的安全性问题建立和SAP 系统的特征相符合的文件透明加解密系统,将SAP 系统联系的特定进程所关系到的读、写等文件的相关操作在驱动层进行捕捉,根据捕捉到的不同文件操作类型,对其进行不同的缓存置换,在应用层获得密钥之后将其发出。实验结果表明,透明加解密系统能够在没有人工干扰的情况下与SAP 系统自动对接,使所导出的数据、文件实现透明加解密,从而使SAP 系统在企业管理中的安全管控上得到了完善,保证了企业使用数据、文件的安全性能。
关键词:SAP 系统;透明加解密;方法探讨
中图分类号:TP393.084        文献标识码:A          文章编号:1672-1047(2018)04-0102-04 DOI:10.3969/j.issn.1672-1047.2018.04.26
收稿日期:2018-07-01
作者简介:盖广仓,男,工程硕士,高级工程师,SAP 高级顾问。研究方向:数据处理系统应用与产品安全。
随着我国社会经济的快速发展,各个企业单位的业务也在随之不断的发展,而SAP 系统(数据处理系统应用与产品)这款软件系统在各个方面得到了非常广泛的应用,它是ERP(企业资源计划)当中最为先进的一款系统,各个企业都有着非常重要的数据信息储存在于其中,这些数据信息当中包含着很多企业的商业机密,一定要增强其安全性能,所以在SAP 系统当中,设计了很多的安全保护措施。这些措施对SAP 系统中的信息数据起到了有效的保护作用,但是在SAP 系统中的数据文件导出的过程当中,仍存在着一定的危险性,非常容易被盗取。因此对SAP 系统的安全性能问题研究,到有效的解决方案是十分必要的。
1 SAP 系统简述
在全球的企业管理软件以及解决方案当中,SAP 系统是最为先进的一种,在整个市场当中,有着广泛的应用。它起源于Systems Application,Products in DATA processing,同时是一家公司的名称,又是ERP(企业资源计划)当中的一款软件。它在各行各业当中都有着广泛的应用,它的整体架构以及整体逻辑非常的严谨,稳定性能相对来说也比较好,是目前世界上最好用的ERP 系统之一。 2 透明加解密系统简
透明加解密系统指的是能够对指定的文件通过自动加解密算法和密钥来进行加解密的相关操作,从而实现对相关文件的保护。其中透明的意思就是在用户操作过程中,对文件的访问习惯不进行改变,加解密的全过程自动进行。在加解密中用到的算法以及密钥都是提前设定的,它存在于系统之中,系统会对各个文件需要加解密与否进行自动识别。在文件使用透明加解密的情况下,数据信息可以得到非常安全的保护,可以使授权的用户直接透明对信息进行使用,非常的安全、便捷。
V ol.20 No.4 Aug.2018
第20卷第4期 2018年8月
黄冈职业技术学院学报Journal of Huanggang Polyteechnic
3透明加解密系统的相关工作
3.1通用文件的保护方法
(1)驱动层保护
文件透明加解密技术在驱动层保护中是一例典型,对系统进行分析时,有专家提出基于过滤驱动的透明加密文件系统模型以及文件透明加密技术,并在文件透明加密系统中自己的系统模型使得以实现。
但是大部分的系统都存在以下问题,加密的文件是计算机的终端上全部或是指定一个类型的文件。对于全部的文件来说,它虽能对重要的文件加密,但是计算机的终端上存储的文件一般都是一些不重要的文件,这样在一定程度上就占用了客户机的资源。而对于某一类型的文件来说,根据文件类型对其进行加密,能够更好地实现透明加解密的过程。因为SAP导出的文件类型有很多种,若使用按照文件类型进行透明加解密的系统通常会出现两种情况:
A)系统只是对SAP导出一个类型的文件进行加解密,而在这种类型的文件当中还存在着不是SAP系统导出的文件;
B)在对SAP系统导出的全部类型的文件进行加解密处理当中,大部分都是不重要的文件,很大程度上占用了客户机的资源。
(2)应用层保护
Office这款软件是比较常用的应用层文件保护的方法,对其文档的内容进行了保护。在日常生活中,office的使用范围十分广泛,所以有越来越多的文档破解软件出现。Office本身的加密是要手动进行设置
的,不能有透明加解密的功能,所以很多操作人员就会对此忽视,影响了用户的习惯,使得文件更加不安全。
3.2 SAP导出文件的保护方法
SAP导出文件的保护方法通常有三部分:文件操作捕获、SAP系统进程与导出文件映射、文件透明加解密。在文件透明加解密中也包含了三个部分:IRP请求包处理、缓存处理以及加密标识。
(1)文件操作捕获
为了能检测到文件的操作信息与操作时间,一般使用文件操作捕获来进行,这是后两部分的前提。
文件操作捕获的方法有应用层的API、驱动层的SSDT和IRP捕获,通过对这几种方法进行观察可知。API的使用相对来说比较方便,但是它不是很稳定,进行单一操作时需要多个API;SSDT相对API来讲具有一定的稳定性;IRP捕获的方法在捕获文件时具有一定的稳定性与准确性,但是任何一个需处理的IRP类型都要定义操作回调函数,具有较大的难度。从上述的三种方式看来,第三种相对来说比较有优势,所以在这个系统中使用的是IRP捕捉的方式。
(2)SAP系统进程与导出文件映射
在SAP系统中,对导出的文件不能进行直接的操作。为了解决这一问题,使用了SAP系统进程与导出文件映射这种方法,它对文件加密与否的判定比较确切。因为SAP系统导出文件的过程和windows的操作有所不同,在SAP系统中,对导出的文件模板进行直接操作,对导出的文件进行间接操作,导致获取的部分信息缺乏准确性。
因为SAP系统导出的文件具有一定的特殊性,所以在对模型进行导出的时候,SAP系统进程对其操作进行参与;但是在导出数据的时候,SAP系统进程不参与其中。因此,必须对SAP系统进程和导出文件信息之间建立映射关系。
在驱动程序内的链表中保存着导出文件模板的信息。映射关系的建立方法如下:
A)SAP系统对SAP系统目录之下的文件操作进行检测,获得导出模板的文件信息,将其保存;
B)SAP系统目录之下文件的复制操作进行检测,通过原来的地址进行判断,获得目标文件的信息;
C)判断当前文件是否是加密文件,向相关的模块发送对应的信息,否则返回继续检测;
D)对SAP系统目录之下的文件操作进行检测,将导出的相应的模板文件信息删除。
(3)文件透明加解密
·103·
加 的意思对于用户来讲,全部的文件操作都是不知道的,文件透明加解密就是为了不影响用户操作,使其习惯不受到改变。文件透明加解密包括三个部分,即IRP请求包处理、缓存处理以及加密标识。在用户操作文件的时候,系统对文件的判断、文件加解密的处理自动完成。文件在存储的载体中以密文的形式存在,在缓存的过程中是明文和密文联系在一起的,所以如果文件脱离了本地机,它将不能进行正常的操作,这样对文件的内容进行了保护。
A)IRP请求包处理
IRP请求包处理的使用是为了能够将文件的操作进行分类,从而使文件操作按照类别来处理,使文件透明加解密能够良好地进行。在对文件进行透明加解密过程中,会根据IRP请求包的不同类型来进行不同的操作处理。
B)缓存处理
对文件操作要按照不同的操作类型来进行信息的捕获,在这个前提下实现文件加解密的过程可以使用缓存处理方法。这种方法就是在对文件进行加解密的过程当中,处理或者是替换缓存。在缓存处理的过程中,它读取的单位为块,在对原先的缓存区进行读取的时候,加解密的处理使用在块中截取的固定长度
的字符串,这个时候要对字符串的长度进行判断,若长度是固定的那么就可以进行加解密处理,若长度小于固定的长度,判断其是否到了文件的结尾。如果没有到,那么对下一块的缓存进行读取,同时对之前的字符串进行连接再次处理;如果到了结尾处,那么就要将字符串补到固定的长度。
C)加密标识
在读文件的时候,要判断文件是不是加密的,如果是就要调用解密的模块来对其解密。为了判断文件是否是加密的,在这个系统将文件的内容进行修改,把文件中加密的标识存在文件的开头,写入固定的长度,通过依据缓存内容,以此来对文件是否加密进行判断。
4实验及分析
在此系统中主要包括SAP系统导出文件、驱动层文件操作处理和文件透明加解密以及Server 端。SAP系统导出文件是在SAP系统当中完成的,使用的是ABAP编程语言处理的。文件过滤驱动包括五个部分,分别为操作处理、缓存处理、加解密、应用层通信以及文件的类型。在其中,最先进行的就是操作处理,以IRP请求包的类型为依据对回调函数进行定义、注册。Server端主要包括了三个部分,分别为密钥计算、加解密以及驱动层通讯。
系统当中数据的流向如图1所示,文件过滤驱动程序在I/O管理器的下面,在文件驱动系统的上面,对IRP进行拦截,使其在相应回调函数当
中进行处理。
图1 系统数据流程
使用EXCEL、TXT、WORD三种类型的文件进行测试,文件分别为1.27MB、10.43MB、100MB。从加解密开始计算时间,其中SAP系统导出时的响应时间不在其内。测试这三种不同类型的导出文件,对系统模型对文件类型的支持程度进行测试,同时要检测这三个不同大小的文件数量级,对用户能否接受此系统模型的耗时进行检测,使用AES和DES这两种加密算法。如表1所示:
·104·
表1 文件类型加密比较表
文件 大小/MB 文件
类型
算法
加密
时间/s
解密
时间/s
1.27 EXCEL
DES    2.10    2.31
AES    2.58    2.70 TXT
DES    1.95    2.01
AES    1.90    1.96 WORD
DES    2.33    2.37
AES    2.05    1.95
10.43 EXCEL
DES 15.22 15.30
AES 15.46 15.58 TXT
DES 14.16 14.22
AES 14.38 14.50 WORD
DES 16.01 15.76
AES 16.13 16.23
100 EXCEL
DES 111.65 111.93
AES 108.90 109.56 TXT
DES 103.24 103.60
AES 98.10 98.47 WORD
DES 124.76 124.81
AES 122.05 122.70
其中一部分的测试数据显示,加密时间在1.90到124.76之间,解密时间为1.96到124.81之间的范围都可以接受。
通过对这三种不同类型的文件进行的AES与DES加解密测试,可以简单说明此系统可支持多种文件类型。通过实验可以表明,SAP系统导出文件利用透明加解密的保护方法具有一定的有效可行性。在这个透明加解密的系统中,用户可以不用改变习惯,正常的进行SAP系统的文件导出就可以。
5结束语
SAP系统中的数据文件存在着一定的危险性,为了使SAP系统导出的文件安全性能有所增强,就必须使用一种安全性较强的技术来对其进行安全保护。而透明加解密技术的使用,有效地实现了这个系统的要求。本文提出SAP系统与文件透明加解密进行对接的方法,首先要针对SAP系统导出文件的特征,在驱动层对其文件的操作进行捕捉,同时对其进行相关的处理,之后再将数据传输到透明加解密的模块当中进行过加解密。为了能够完成透明加解密的集成,就需要对SAP系统与导出的文件异步关联没有办法相对应的问题进行解决,就是文件信息的映射和SAP系统的操作对应的方法。对于有效的保护SAP系统中导出文件的安全性能,使用透明加解密系统是非常有必要的。
参考文献:
[1]杜海超,赵明,王蕊等.面向SAP系统的透明加解密方法[J].计算机应用,2015(z1):37-42.
[2]徐翔.文件保护系统中透明加解密技术的设计与实现[D].北京化工大学,2009.
[3]王亮亮.文档透明加解密软件系统的设计与实现[D].西安电子科技大学,2012.
[4]边金良.基于透明加解密技术的数据安全防护系统的设计与实现[J].重庆电子工程职业学院学报,2013,22(2):161-164.
[5]肖洒.透明加解密存储系统的设计与实现
[D].北京交通大学,2012.
[6]翟壮.文件透明加解密关键技术研究及应用
[D].北京邮电大学,2013.
[7]邹家银,李培峰.透明加解密系统原理与实现分析[J].计算机与现代化,2012,(3):85-88.
[8]关宇平.SAP R/3系统客户化接口程序的开发方法及实现[J].计算机系统应用,2007(2):47-50.
[责任编辑:罗幼平]
·105·

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。