Marvell 博客

值得共享的特色技术理念和解决方案

Marvell

2017 年 8 月 31 日

利用硬件加密保护嵌入式存储

作者:Jeroen Dorgelo,Marvell 存储事业部战略总监

对于工业、军事和大量现代商业应用,数据安全性自然显得尤为重要。 虽然基于软件的加密对于消费者和企业环境而言通常运行良好,但工业和军事应用所使用的嵌入式系统背景,则通常需要一种结构更简单而本质性能更加强劲的软件。

自我加密硬盘采用板上加密处理器在硬盘层确保数据的安全。 这样不仅能自动提高硬盘安全性,而且过程对用户和主机操作系统透明。 这种设备通过在后台自动加密数据,来提供嵌入式系统所要求的使用简洁性和弹性数据安全。

嵌入式与企业数据安全

嵌入式和企业存储通常都要求很强的数据安全性。 根据相关行业领域的不同,通常会涉及到客户(或可能是患者)隐私、军事数据或商业数据的安全。 数据种类不同,共性也越来越少。 嵌入式存储与企业存储的使用方式有很大的差别,因而导致解决数据安全问题的方法也大相径庭。

企业存储通常由数据中心多层机架内互相连通的磁盘阵列组成,而嵌入式存储一般只是简单的将一块固态硬盘 (SSD) 安装到嵌入式电脑或设备之中。 企业经常会控制数据中心的物理安全,也会执行企业网络(或应用程序)的软件访问控制。 而另一方面,嵌入式设备(如平板电脑、工业电脑、智能手机或医学设备)通常是在工作现场使用,而这种环境相对来说安全度比较低。 这种背景下的数据安全没有其他选择,只能在设备层面进行。

基于硬件的全盘加密

嵌入式应用的访问控制非常没有保障,这里的数据安全工作越自动化越透明越好。 全盘、基于硬件的加密已经证实是达到这个目的最佳方法。

全盘加密 (FDE) 通过自动对硬盘所有内容进行加密的方式,达到更高程度的安全性和透明度。 基于文件的加密会要求用户选择要加密的文件或文件夹,且需要提供解密的密码或秘钥,与之相对,FDE 的工作则完全透明。 所有写入硬盘的数据都会被加密,不过一旦经过验证,用户对此硬盘的访问就如同未加密硬盘一样简单。 这不仅会让 FDE 更易于使用,也意味着这是一种更可靠的加密方法,因为所有的数据都会自动加以保护。 即使用户忘记加密或没有访问权限的文件(如隐藏的文件、临时文件和交换空间)也都会自动加以保护。

虽然 FDE 也可以通过软件技术实现,但基于硬件的 FDE 性能更好,且固有的保护特性更强。 基于硬件的 FDE 是在硬盘层以自我加密 SSD 的方式进行。 SSD 控制器内含一个硬件加密引擎,也是在硬盘自身之内存储私有秘钥。

由于基于软件的 FDE 依赖主机处理器来进行加密,其速度通常较慢。而另一方面,基于硬盘的 FDE 可以利用硬盘内集成的加密处理器,因而开销大幅降低。 基于硬盘的 FDE 还可以加密硬盘的主引导记录,与之相反,基于软件的加密却不具备这种功能。

以硬件为中心的 FDE 不仅对用户透明,对主机操作系统亦然。 他们在后台悄无声息的工作,而且运行无需任何特殊软件。 除有助于最大化操作简便性之外,这也意味着敏感的加密秘钥会独立于主机操作系统和存储器进行保存,所有的私有秘钥全部存储于硬盘本身。

提高数据安全性

这款基于硬件的 FDE 不仅能够提供当今市场急需的透明且便于使用的加密过程,而且具备现代 SSD 特有的数据安全优势。 NAND 单元的使用寿命有限,而现代 SSD 采用先进的损耗均衡算法,来尽可能的延长使用寿命。 写入操作并不会在数据更新时覆盖原有的 NAND 单元,而是在文件更新时在硬盘中来回移动,通常的结果是同一条数据存在多个副本,分散存储于 SSD 之中。 这种损耗均衡技术非常有效,但是也让基于文件的加密和数据擦除变得更加困难,因为现在有多个数据副本需要加密或擦除。

FDE 为 SSD 解决了加密和擦除两方面的问题。 由于所有的数据都加密,所以完全无需担心是否存在未加密数据残留。 另外,因为所使用的加密方式(一般为 256 位 AES)极其安全,擦除硬盘就同擦除私有秘钥一样便于操作。

解决嵌入式数据安全问题

嵌入式设备通常都会成为 IT 部门的一大安全挑战,因为这些设备经常在非受控环境下使用,还有可能被未授权人员使用。 虽然企业 IT 有权限执行企业范围内的数据安全政策和访问控制,但是在工业环境或现场环境中针对嵌入式设备使用这种方法却难上加难。

针对嵌入式应用中数据安全的简易解决方案正是基于硬件的 FDE。 自我加密硬盘带有硬盘加密处理器,其处理开销极低而且完全在后台运行,对用户和主机操作系统透明。 其便于使用的特性也有助于提高安全性,因为管理员不需要依靠用户执行安全政策,而且私有秘钥绝不会暴露给软件或操作系统。

评论已关闭。