“政府级数据安全”硬盘自加密技术详解

硬盘数据对于企业用户而言无疑是重要的，我们平常所熟知的一些硬盘数据加密方法大多只是流于表层，比如修改硬盘分区表信息、对硬盘启动加口令、对某个逻辑盘实现写保护等。然而，企业环境存储的这些重要数据，普通而简单的加密方式已经无法满足对数据安全的要求，因此现在各硬盘厂商也加大了在硬盘安全性方面的技术研发。

比较著名的硬盘制造商希捷公司，在今年早些时候就***向全球用户提供企业级的自加密硬盘(SED安全技术)的产品，以此来提高服务器和存储系统静态数据的安全，如图1所示即为此类自加密硬盘的一些技术参数。

图1自加密硬盘技术参数

一、基本原理解析

那么，此类主要面向企业级、服务器的硬盘加密技术是如何工作的呢?其实，自加密型硬盘的过程原理是相当直观的。自我加密型硬盘在未通过验证前，皆无法作任何资料存取的动作;一旦自我加密型硬盘通过验证后，对储存结构来说便与一般硬盘完全相同，因此应用程序无需做任何修正。而这个加密解密的过程又是在悄然中进行的，因为加密的动作是直接透过硬盘内建的加密引擎，而非应用程序、操作系统或储存控制器。其工作示意如图2所示。

图2自加密硬盘简单工作示意图

在进行读写动作之前，必须以来自外部的验证钥匙来为硬盘解锁。而此验证钥匙又通常是由企业密钥管理服务器，或本机密钥管理系统的储存控制器所提供，这样，也就保证了整个加密环节的无缝集成。而且，自加密硬盘也具备很强的扩展性，即是说内建加密引擎的硬盘可一直维持全速运作，当新增硬盘到服务器系统中时，能让这些硬盘同时平行运转。这其实更像一个加工流水线，所不同的只是不同品牌的产品在称谓、运行方式上的简单差异而已。

小提示：其实自加密硬盘的工作原理类似于较早就出现过的硬盘数据加密卡(如图3所示)。此类设备就是以硬件方式对硬盘上所有数据进行实时加密处理，有效防止硬盘丢失、被盗、废弃以及非法用户访问而引发的敏感信息泄密问题。这种加密卡以智能卡方式来实现密钥存储与管理(类似网上银行的USB密钥)，工作密钥不驻留内存，掉电后即会自动销毁。

图3硬盘数据加密卡

二、市场产品概览

希捷、富士通、日立等三大硬盘厂商都拥有各自的面向企业级用户的自加密技术硬盘产品，且均为2.5英寸笔记本型号，还都强调了大容量和低功耗特性。希捷公司新出品的Savvio15K.2硬盘就属于具备这类安全加密技术的产品，转速为15000转，提供146GB和73GB两个容量选择，同时配备SAS2.06Gb/s接口;采用AES(高级加密标准)政府级加密。产品如图4所示。

图4 Savvio15K.2硬盘标识

日立也在节后发布了两款面向0/1层、关键业务企业存储应用的全新15000转Ultrastar硬盘，具体型号为C15K147和Ultrastar15K600。富士通公司也在早些时候发布了“MJA2CH”系列的自加密硬盘，其表示是在业界***次装载256bitAES加密功能，并称还装载了记录的数据在1秒以内完全无效化“数据瞬间无效化功能”，可防止服务器废弃时的数据流出。

小提示：如果企业数据中心需要部署多个自加密硬盘，那还可以选用支持此类硬盘的MegaRAID控制卡，产品如图5所示。其主要用于本地密钥管理MegaRAID控制器以及自加密服务，让部署了自加密硬盘的企业环境在密钥管理、数据存储通道等方面的维护更为轻松。

图5MegaRAID控制卡

三、自加密硬盘应用说明

这里还要谈及自加密硬盘的另一“用武之地”。我们知道，企业服务器硬盘存储的数据，虽然一般都会做冗余备份，但如果硬盘离开服务器系统，即使此硬盘有严重的读写故障，也难逃数据外泄的风险。因为有研究就表明，故障的硬盘中有90残存可读取的数据;而且原来的硬盘加密方式都是基于服务器系统的。

而如果使用的是自加密硬盘呢?由于可以自动加密所有被写入的数据，因此是保护数据的***解决方案，其防护能力比使用传统硬盘的上行数据加密来得更强。因为自加密硬盘是通过内建的加密引擎来完成加密的，除非通过破坏性的方式取得密文，否则，在自加密硬盘里的密文绝对不可能外泄。这就是各硬盘厂商宣称的“政府级安全加密”了。

从以上工作原理的解析中我们不难发现，自加密硬盘由于加密技术在硬盘层面，而不是在处理器或操作系统(OS)中启用，这样系统性能就不会受到任何影响;而且可以平行安装多个硬盘，因此不管是其使用效能或是加密效果，都要比普通服务器硬盘表现得列好。正是因为自加密硬盘具备高扩展性、高安全性的特点，因此现在正逐渐被越来越多的企业用户拿来部署在企业数据中心。

【编辑推荐】