数据存储|信息安全技术在SSD中的应用分享

日期:2022-11-24 浏览:65 分享:

微信扫一扫:分享

使用微信扫一扫

http://www.unionmem.com/news_detail.php?menuid=31&id=45

SSD作为一种数据存储设备,其数据存储的安全性至关重要,为保障数据不被窃取或篡改,往往会对数据进行加密处理,本文将对数据加密技术展开讨论。


数据加密的实现方式主要分为主机端加密与盘内加密。


一、主机端加密

主机端加密即盘外加密,分为软件加密、安全认证、硬件加密。

1、软件加密一般有微软的BitlockerChinasecBitlockerVISTA操作系统自带的计算机本地磁盘加密工具,通过加密硬盘上的所有内容来增强安全性(数据、程序甚至Windows本身);Chinasec则是基于网络和数据的安全管理产品,通过认证、加密、监控和追踪等手段在传统PC终端和移动终端提供系统数据保护、文档加密等整体解决方案。

2、安全认证最常见的就是用户设置Windows登录密码,系统通过密码来辨认用户的身份,从而保障电脑内数据的安全性。

3、硬件加密则是TPM,属于硬加密模板,通过在设备中集成的专用安全硬件来处理设备中的加密密钥,RSA/AES/SHA等加密算法在里面,不少笔记本都会带一个TPM贴片模块,可实现数据加密、密码保护等安全功能,应用性能优于以上两种。


二、盘内加密技术

盘内加密技术分为:对称加密与非对称加密、ATA securityTCG、隐藏分区5种加密方法。





1、对称加密:是指在加密和解密时使用同一密钥,是一种可逆的加密方式。

目前主流的对称加密算法有以下几种:




·DES算法加密流程:整个过程就是将明文按照64比特为一组经过DES加密生成密文,同样将密文按照64比特为一组,连续多组的密文可以通过解密密钥再还原对应的明文。




·3DES算法加密流程:字面上看就是经过三次DES加密的过程,是DES的加强版。





·AES算法加密流程:因此流程较为复杂不做过多展开,大致流程为输入的明文数据会逐字节的去替换,替换完成后再平移,平移完成后再做混合列的N轮迭代,最后进行异或运算生成密文。解密则是反向操作。




·SM4算法加密流程:SM4是一种分组密码算法,其分组长度为128位(即16字节,4字),密钥长度也为128位(即16字节,4字)。其加解密过程采用了32轮迭代机制(与DESAES类似),每一轮需要一个轮密钥(与DESAES类似),以及1次反序变换。




2、非对称加密:特点为密文无法反推倒出明文,属于不可逆的流程。

主流非对称加密算法:




·非对称加密算法(消息摘要)-MD5/SHA:用于文件校验、文件的数字签名(保障原始明文在数据传输与明文传输过程中的正确性),文件内容可以是明文。如图所示是无法从摘要推倒出原文的,经常用于网络上的文件传输校验。




·非对称加密算法-RSA:分两个例子来说明。

举例1:公司A要发布一个公众文件(如驱动),生成了公钥和私钥,首先用私钥进行加密签名,以此来证明产品归公司A所有并以此证明产品安全合法,用户下载驱动文件后可用公钥解验签后(类似微软会提示这是一个驱动是否是合法的签名驱动)进行正常使用。



私钥用于签名、公钥用于验签


实际上微软应用程序的数字签名,比图示中的流程更为复杂,因为公私钥的生成证书需要第三方机构颁发以做证明,自己不得随便生成。


举例2A/B/C要各自发私信给O,但又不想各自的信息给其它两人看见,就用O给他们的公钥加密,由于其它两人没有私钥无法解密,只能O看见A的高密。



公钥用于加密、私钥用于解密,可起到加密的作用


3、加密算法的应用

在非对称加密算法中可以正向的用私钥去发布签名,然后让大家验证,反过来每个人也可以用公钥来对文件进行加密,但在SSD应用过程中没有可以反向操作的过程。


·SSD中加密算法的应用

SSD内部有一个AES硬件模块,用于主机数据或内部数据的加解密,它的KeySSD的固件来管理,保存在NAND上或SOC内部的OTP区域,根据IEEE 1667规范,这种SSD内部有加密模块称之为SED(Self-encrypting) SSD,其它的则非Non-SED SSD


在不同的实现情况下,有的SOC会把AES模块放在前端进行加密,有的会把AES放在后端进行加密。



4ATA security(安全认证)

前文描述的都是加密算法,在更上一层如系统应用层则需要密钥管理、账号登录等安全机制来认证。


ATA(AT Attachment),是一个很久远的标准,定义了一组存储命令接口,用于存储设备(SSD/HDD)的访问。


ATA security feature它类似Windows访问密码的概念,访问密码输入正确后整个SSD的空间都可以被读写,否则SSD会拒绝主机的读写请求或其他特殊的应用请求,以此保证SSD能在安全的环境下使用。




ATA Security有两个密码:

·User password:用于限制SSD的访问,包括一些控制命令和数据读写命令,一般BIOS登录解密要求输入的密码即User password来解锁SSD


·Master password:管理员密码,仅用于解除User Password而并不会锁住硬盘;Master password不会使能SSDsecurity


Security state简图


Security erase(安全擦除)方式:

   1. Normal erase(普通擦除);

   2. Enhance erase (增强擦除)。


AES和没有AES的差异


5TCG(安全认证+数据加密)

TCG(Trusted Computing Group)中文名为可信计算组织,最初是由AMDHPIBMIntelMicrosoft建立,旨在建立个人电脑的可信计算概念。它不仅是一个硬盘加密方式,更是一个IT生态,融合了网络、存储、加密硬件模块、基础平台、软件等。



涉及到信息安全,在中国同样也有可信计算组织TCMU)来保障国内的信息安全技术,由高等院校、知名厂商等建立。


TCG中与SSD相关的TCG部分则是TCG Storage协议。


如图中所示,在SSD上方有两块SPAdmin SPLocking SPAdmin SP类似管理员权限集,只有一些管理功能,不负责SSD的逻辑空间的分配或决策;Locking SPSSD访问空间管理。




TCG Storage是把前面介绍的加密技术都融合了进来,对SSD进行授权管理以及数据安全管理。



其中最主要的是Admin SP,用于密码管理,使能/禁止Locking SP,恢复出厂设置等,Admin SP不直接对SSD的数据空间进行管理,一般用于密码管理,多达几十种。



Locking SP除了基本管理之外,还对数据空间进行管理,如空间分区,每个分区的加密,分区独立锁等,同时也有访问密码的管理。



6、隐藏分区

·TCG MBR shadow

MBR不是OS中的Master boot recordTCG中的MBRUser空间是重叠的,同一时间内只有一个对Host可见,在SSD没有被完全授权前,真实的User数据空间是无法被访问的,对Host显示的仅为一小块空间,这里面存放一些Preboot的认证程序、数据,认证通过后会切换到真实的User数据空间。



·Shadow area

SSD的物理空间里面额外开辟一块区域,在没有获得授权认证时,Host不可见,反之对Host可见。通常用于存放主机厂商的一些数据,用于备份、恢复主机厂商所需的一些数据,相较于TCG会牺牲一些用户的物理存储容量。



随着《中华人民共和国数据安全法》的正式实施,数据安全已上升至国家战略高度,而数据存储作为数据安全中的关键一环,对国家信息安全建设、数字化建设起着至关重要的作用。


作为领先的国产SSD厂商,忆联SSD产品支持目前业界所有标准的加密算法,并包含国密。相关加密算法不仅仅包含了对用户数据的加密,也涵盖了产品固件包的签名发布,以保障固件发布后不会被恶意篡改,从而进一步确保SSD产品安全性。目前,忆联SSD产品使用的加密技术已处于业界领先水平,可为数据搭建起坚实的安全屏障。

您可能对其它新闻感兴趣

  • 上一篇

    忆联加入英特尔OCSP社区,共推服务器生态建设与发展

  • 下一篇

    喜讯!忆联荣膺2022年度硬核中国芯最佳存储芯片大奖

     
  • 产品中心
    企业级固态硬盘
    数据中心级固态硬盘
    消费级固态硬盘
    嵌入式存储
    解决方案
    服务器
    数据中心
    个人电脑
    移动终端
    智能穿戴
    核心技术
    自主研发控制器
    固件设计
    封装测试
    服务支持
    下载中心
    咨询与投诉
    关于忆联
    企业简介
    大事记
    荣誉资质
    企业文化
    联系我们
    新闻资讯
    公司新闻
    媒体报道
    展会活动
    技术科普
    投资者关系
    公司治理
    管理团队
    财务报告
    最新公告
    加入我们
    社会招聘
    校园招聘

    深圳忆联信息系统有限公司

    地址:广东省深圳市南山区蛇口街道东角头工业区D栋5楼

    电话:0755-2681 3300

    邮箱:support@unionmem.com

  • 微信:
  • 官方微博