SSD和HDD往往支持同一种安全措施。全盘加密是其中一项功能。首次使用自加密驱动器时,访问该驱动器上的数据需要正确的密钥。
然而,由于密钥用来加密和解码驱动器上的信息,因此这不仅仅是门控机制的问题。由于加密的原因,直接绕过安全控制无法实现对数据的访问。可信平台模块(TPM)一般是混合方案的一个组件,它可以提供安全引导支持。
访问密钥一般可提供对用于加密过程的另一个密钥的访问。这就允许使用多个访问密钥,因此企业密钥具有对多个驱动器的访问,个人密钥则具有对与其密钥匹配的驱动器的访问。这种技术的一个相关功能是驱动器基本上都可以通过破坏加密密钥来擦除。这种擦除可以通过一个命令来实现,而无加密驱动器则通常采用覆盖方法进行擦除。基于硬件的全盘加密的优势,是控制器可以处理详细信息。它们一般与硬件匹配,因此加密过程不会降低数据传输速率。
新型SAS控制器旨在利用基于硬件的加密。有些SAS控制器不需要硬件加密设备即可提供加密支持。SAS控制器一般支持一个或多个磁盘阵列,一般使用热插拔更换坏驱动器。由于驱动器被更换或转移到新的位置,密钥管理现已成为控制器的一个问题。
遗憾的是,与基于软件的加密策略相比,全盘加密可能无法实现精细地使用存储器。安全USB闪存驱动器等一些系统可以将驱动器分成两个逻辑部分,一个加密部分,一个非加密部分。这两个部分以两个驱动器出现,因此无需更改操作系统。
一种新的驱动器支持T10保护信息(PI)端到端加密,包括Seagate公司的Constellation 2。这种技术还需要操作系统和应用支持,因为驱动器的扇区实际上更大。
在这种情况下,应用程序处理加密和解密过程。这意味着,数据在离开应用程序之前是安全的,因此研究iSCSI链路的通信没什么作用。
T10 PI还需要匹配的控制器支持,最新的SAS控制器可以提供这种支持。另外,由于复制数据可以提供对非加密内容的访问,因此它还可以对驱动器进行备份。
现在,存储问题涵盖的技术五花八门,嵌入式设计人员甚至也需要对这些技术进行考虑。当涉及到网络时,存储也不再局限于手头的设备。 |
楼主
标题置顶
标题高亮
