源码加密产品设计理念的对比

对比

文档加密

磁盘加密

沙盒加密

技术原理

APIHOOK 应用层透明加密技术

文件过滤驱动层（内核）加密技术

内核级纵深加密技术

设计理念

应用层透明加密技术俗称钩子透明加密技术。这种技术就是将两种技术（应用层

API 和 Hook）组合而成的。

驱动加密技术是基于 windows 的文件系统（过滤）驱动（IFS）技术，工作在 windows 的内核层

文件系统。

采用最先进的磁盘过滤驱动，文件过滤驱动，网络过滤驱动等内核级纵深加密防泄

密技术。

优点

直接对文件加密直观感觉非常好，对于当时空白的市场来讲，这一旗号确实打动了不少企业。

由于工作在受windows 保护的内核层，运行速度较快。

单个文件，复杂文件，大文件，源代码开发复杂环境等，都特别适合。

缺陷

应用层透明加密（钩子透明加密）技术与应用程序密切相关，它是通过监控应用程序的启动而启动的。一旦应用程序名更 改，则无法挂钩。同时，由于不同应用程序在读写文件时所用的方式方法不尽相 同，同一个软件不同的版本在处理数据时也有变化，钩子透明加密必须针对每种应用程序、甚至每个版本进行开发。

1. 复杂软件经常会很多进程同时操作某个文件， 如果这个时候，一个进程加密，另一个进程不加 密，交替访问文件，极容易造成异常。如不能编 译，调试等。
2. 涉及到 windows 底层的诸多处理，开发难度很大。如果处理不好与其它驱动的冲突，应用程序白名单等问题。

无此类不稳定问题。

缺点：开机就是工作模式，个人空间相对小

进程关联

和进程绑定，容易被冒充。另外很多软件进程非常多，如 VC++的 MFC/ATL 的界面和 socket 编程，编译的候，关联进程非常多，无法对应。

和进程无关，无冒充问题，因为都在容器中

源代码保密

无法针对开发人员保密，具体表现在，影响调试，影响版本管理，版本工具对比乱码等问题。对于一般员工的操作有效，但无法针对源代码开发人员保密。

适合企事业单位及研发型企业。有大型成功案例。

虚拟机管控

不可管控

可以管控

烧录泄密风险

将其他文档修改成烧录文件，会造成泄密。

无此类风险。

烧录插入代码

无法管控，有泄密风险。

通过黑白名单控制并配合烧录审计日志， 可以追溯到个人。

软件版本升级

当软件升级如 Office2003->2007，需要重新设置。或重新升级

不需要设置，因为和进程无关。

项目风险

SDC 沙盒加密

其他加密系统

数据泄密风险

边界防护，安全级别高

数据在内存中以明文存在，可通过读“内  存” 的形式直接提取明文，绕过加密，技术人员可通过编程轻易实现，安全级别低。