SSD作為一種數(shù)據(jù)存儲(chǔ)設(shè)備，其數(shù)據(jù)存儲(chǔ)的安全性至關(guān)重要，為保障數(shù)據(jù)不被竊取或篡改，往往會(huì)對(duì)數(shù)據(jù)進(jìn)行加密處理，本文將對(duì)數(shù)據(jù)加密技術(shù)展開討論。

數(shù)據(jù)加密的實(shí)現(xiàn)方式主要分為主機(jī)端加密與盤內(nèi)加密。

一、主機(jī)端加密

主機(jī)端加密即盤外加密，分為軟件加密、安全認(rèn)證、硬件加密。

1、軟件加密一般有微軟的Bitlocker和Chinasec，Bitlocker是VISTA操作系統(tǒng)自帶的計(jì)算機(jī)本地磁盤加密工具，通過加密硬盤上的所有內(nèi)容來增強(qiáng)安全性（數(shù)據(jù)、程序甚至Windows本身）；Chinasec則是基于網(wǎng)絡(luò)和數(shù)據(jù)的安全管理產(chǎn)品，通過認(rèn)證、加密、監(jiān)控和追蹤等手段在傳統(tǒng)PC終端和移動(dòng)終端提供系統(tǒng)數(shù)據(jù)保護(hù)、文檔加密等整體解決方案。

2、安全認(rèn)證最常見的就是用戶設(shè)置Windows登錄密碼，系統(tǒng)通過密碼來辨認(rèn)用戶的身份，從而保障電腦內(nèi)數(shù)據(jù)的安全性。

3、硬件加密則是TPM，屬于硬加密模板，通過在設(shè)備中集成的專用安全硬件來處理設(shè)備中的加密密鑰，RSA/AES/SHA等加密算法在里面，不少筆記本都會(huì)帶一個(gè)TPM貼片模塊，可實(shí)現(xiàn)數(shù)據(jù)加密、密碼保護(hù)等安全功能，應(yīng)用性能優(yōu)于以上兩種。

二、盤內(nèi)加密技術(shù)

盤內(nèi)加密技術(shù)分為：對(duì)稱加密與非對(duì)稱加密、ATA security、TCG、隱藏分區(qū)5種加密方法。

1、對(duì)稱加密：是指在加密和解密時(shí)使用同一密鑰，是一種可逆的加密方式。

目前主流的對(duì)稱加密算法有以下幾種：

·DES算法加密流程：整個(gè)過程就是將明文按照64比特為一組經(jīng)過DES加密生成密文，同樣將密文按照64比特為一組，連續(xù)多組的密文可以通過解密密鑰再還原對(duì)應(yīng)的明文。

·3DES算法加密流程：字面上看就是經(jīng)過三次DES加密的過程，是DES的加強(qiáng)版。

·AES算法加密流程：因此流程較為復(fù)雜不做過多展開，大致流程為輸入的明文數(shù)據(jù)會(huì)逐字節(jié)的去替換，替換完成后再平移，平移完成后再做混合列的N輪迭代，最后進(jìn)行異或運(yùn)算生成密文。解密則是反向操作。

·SM4算法加密流程：SM4是一種分組密碼算法，其分組長度為128位（即16字節(jié)，4字），密鑰長度也為128位（即16字節(jié)，4字）。其加解密過程采用了32輪迭代機(jī)制（與DES、AES類似），每一輪需要一個(gè)輪密鑰（與DES、AES類似），以及1次反序變換。

2、非對(duì)稱加密：特點(diǎn)為密文無法反推倒出明文，屬于不可逆的流程。

主流非對(duì)稱加密算法：

·非對(duì)稱加密算法(消息摘要)-MD5/SHA：用于文件校驗(yàn)、文件的數(shù)字簽名（保障原始明文在數(shù)據(jù)傳輸與明文傳輸過程中的正確性），文件內(nèi)容可以是明文。如圖所示是無法從摘要推倒出原文的，經(jīng)常用于網(wǎng)絡(luò)上的文件傳輸校驗(yàn)。

·非對(duì)稱加密算法-RSA：分兩個(gè)例子來說明。

舉例1：公司A要發(fā)布一個(gè)公眾文件（如驅(qū)動(dòng)），生成了公鑰和私鑰，首先用私鑰進(jìn)行加密簽名，以此來證明產(chǎn)品歸公司A所有并以此證明產(chǎn)品安全合法，用戶下載驅(qū)動(dòng)文件后可用公鑰解驗(yàn)簽后（類似微軟會(huì)提示這是一個(gè)驅(qū)動(dòng)是否是合法的簽名驅(qū)動(dòng)）進(jìn)行正常使用。

私鑰用于簽名、公鑰用于驗(yàn)簽

實(shí)際上微軟應(yīng)用程序的數(shù)字簽名，比圖示中的流程更為復(fù)雜，因?yàn)楣借€的生成證書需要第三方機(jī)構(gòu)頒發(fā)以做證明，自己不得隨便生成。

舉例2：A/B/C要各自發(fā)私信給O，但又不想各自的信息給其它兩人看見，就用O給他們的公鑰加密，由于其它兩人沒有私鑰無法解密，只能O看見A的高密。

公鑰用于加密、私鑰用于解密，可起到加密的作用

3、加密算法的應(yīng)用

在非對(duì)稱加密算法中可以正向的用私鑰去發(fā)布簽名，然后讓大家驗(yàn)證，反過來每個(gè)人也可以用公鑰來對(duì)文件進(jìn)行加密，但在SSD應(yīng)用過程中沒有可以反向操作的過程。

·SSD中加密算法的應(yīng)用

在SSD內(nèi)部有一個(gè)AES硬件模塊，用于主機(jī)數(shù)據(jù)或內(nèi)部數(shù)據(jù)的加解密，它的Key由SSD的固件來管理，保存在NAND上或SOC內(nèi)部的OTP區(qū)域，根據(jù)IEEE 1667規(guī)范，這種SSD內(nèi)部有加密模塊稱之為SED(Self-encrypting) SSD，其它的則非Non-SED SSD。

在不同的實(shí)現(xiàn)情況下，有的SOC會(huì)把AES模塊放在前端進(jìn)行加密，有的會(huì)把AES放在后端進(jìn)行加密。

4、ATA security（安全認(rèn)證）

前文描述的都是加密算法，在更上一層如系統(tǒng)應(yīng)用層則需要密鑰管理、賬號(hào)登錄等安全機(jī)制來認(rèn)證。

ATA（AT Attachment），是一個(gè)很久遠(yuǎn)的標(biāo)準(zhǔn)，定義了一組存儲(chǔ)命令接口，用于存儲(chǔ)設(shè)備（SSD/HDD）的訪問。

ATA security feature：它類似Windows訪問密碼的概念，訪問密碼輸入正確后整個(gè)SSD的空間都可以被讀寫，否則SSD會(huì)拒絕主機(jī)的讀寫請(qǐng)求或其他特殊的應(yīng)用請(qǐng)求，以此保證SSD能在安全的環(huán)境下使用。

ATA Security有兩個(gè)密碼：

·User password：用于限制SSD的訪問，包括一些控制命令和數(shù)據(jù)讀寫命令，一般BIOS登錄解密要求輸入的密碼即User password來解鎖SSD。

·Master password：管理員密碼，僅用于解除User Password而并不會(huì)鎖住硬盤；Master password不會(huì)使能SSD的security。

Security state簡圖

Security erase（安全擦除）方式：

1. Normal erase（普通擦除）；

2. Enhance erase （增強(qiáng)擦除）。

有AES和沒有AES的差異

5、TCG（安全認(rèn)證+數(shù)據(jù)加密）

TCG（Trusted Computing Group）中文名為可信計(jì)算組織，最初是由AMD、HP、IBM、Intel、Microsoft建立，旨在建立個(gè)人電腦的可信計(jì)算概念。它不僅是一個(gè)硬盤加密方式，更是一個(gè)IT生態(tài)，融合了網(wǎng)絡(luò)、存儲(chǔ)、加密硬件模塊、基礎(chǔ)平臺(tái)、軟件等。

涉及到信息安全，在中國同樣也有可信計(jì)算組織（TCMU）來保障國內(nèi)的信息安全技術(shù)，由高等院校、知名廠商等建立。

在TCG中與SSD相關(guān)的TCG部分則是TCG Storage協(xié)議。

如圖中所示，在SSD上方有兩塊SP：Admin SP和Locking SP，Admin SP類似管理員權(quán)限集，只有一些管理功能，不負(fù)責(zé)SSD的邏輯空間的分配或決策；Locking SP即SSD訪問空間管理。

TCG Storage是把前面介紹的加密技術(shù)都融合了進(jìn)來，對(duì)SSD進(jìn)行授權(quán)管理以及數(shù)據(jù)安全管理。

其中最主要的是Admin SP，用于密碼管理，使能/禁止Locking SP，恢復(fù)出廠設(shè)置等，Admin SP不直接對(duì)SSD的數(shù)據(jù)空間進(jìn)行管理，一般用于密碼管理，多達(dá)幾十種。

Locking SP除了基本管理之外，還對(duì)數(shù)據(jù)空間進(jìn)行管理，如空間分區(qū)，每個(gè)分區(qū)的加密，分區(qū)獨(dú)立鎖等，同時(shí)也有訪問密碼的管理。

6、隱藏分區(qū)

·TCG MBR shadow

此MBR不是OS中的Master boot record，TCG中的MBR與User空間是重疊的，同一時(shí)間內(nèi)只有一個(gè)對(duì)Host可見，在SSD沒有被完全授權(quán)前，真實(shí)的User數(shù)據(jù)空間是無法被訪問的，對(duì)Host顯示的僅為一小塊空間，這里面存放一些Preboot的認(rèn)證程序、數(shù)據(jù)，認(rèn)證通過后會(huì)切換到真實(shí)的User數(shù)據(jù)空間。

·Shadow area：

在SSD的物理空間里面額外開辟一塊區(qū)域，在沒有獲得授權(quán)認(rèn)證時(shí)，Host不可見，反之對(duì)Host可見。通常用于存放主機(jī)廠商的一些數(shù)據(jù)，用于備份、恢復(fù)主機(jī)廠商所需的一些數(shù)據(jù)，相較于TCG會(huì)犧牲一些用戶的物理存儲(chǔ)容量。

Union Memory

隨著《中華人民共和國數(shù)據(jù)安全法》的正式實(shí)施，數(shù)據(jù)安全已上升至國家戰(zhàn)略高度，而數(shù)據(jù)存儲(chǔ)作為數(shù)據(jù)安全中的關(guān)鍵一環(huán)，對(duì)國家信息安全建設(shè)、數(shù)字化建設(shè)起著至關(guān)重要的作用。

作為領(lǐng)先的國產(chǎn)SSD廠商，憶聯(lián)SSD產(chǎn)品支持目前業(yè)界所有標(biāo)準(zhǔn)的加密算法，并包含國密。相關(guān)加密算法不僅僅包含了對(duì)用戶數(shù)據(jù)的加密，也涵蓋了產(chǎn)品固件包的簽名發(fā)布，以保障固件發(fā)布后不會(huì)被惡意篡改，從而進(jìn)一步確保SSD產(chǎn)品安全性。目前，憶聯(lián)SSD產(chǎn)品使用的加密技術(shù)已處于業(yè)界領(lǐng)先水平，可為數(shù)據(jù)搭建起堅(jiān)實(shí)的安全屏障。

審核編輯：郭婷