存儲技術(shù)大揭曉:設(shè)計開發(fā)的你了解多少（二）

安全存儲

SSD和HDD往往支持同一種安全措施。全盤加密是其中一項功能。首次使用自加密驅(qū)動器時，訪問該驅(qū)動器上的數(shù)據(jù)需要正確的密鑰。

然而，由于密鑰用來加密和解碼驅(qū)動器上的信息，因此這不僅僅是門控機制的問題。由于加密的原因，直接繞過安全控制無法實現(xiàn)對數(shù)據(jù)的訪問。可信平臺模塊（TPM）一般是混合方案的一個組件，它可以提供安全引導(dǎo)支持。

訪問密鑰一般可提供對用于加密過程的另一個密鑰的訪問。這就允許使用多個訪問密鑰，因此企業(yè)密鑰具有對多個驅(qū)動器的訪問，個人密鑰則具有對與其密鑰匹配的驅(qū)動器的訪問。這種技術(shù)的一個相關(guān)功能是驅(qū)動器基本上都可以通過破壞加密密鑰來擦除。這種擦除可以通過一個命令來實現(xiàn)，而無加密驅(qū)動器則通常采用覆蓋方法進(jìn)行擦除?；谟布娜P加密的優(yōu)勢，是控制器可以處理詳細(xì)信息。它們一般與硬件匹配，因此加密過程不會降低數(shù)據(jù)傳輸速率。

新型SAS控制器旨在利用基于硬件的加密。有些SAS控制器不需要硬件加密設(shè)備即可提供加密支持。SAS控制器一般支持一個或多個磁盤陣列，一般使用熱插拔更換壞驅(qū)動器。由于驅(qū)動器被更換或轉(zhuǎn)移到新的位置，密鑰管理現(xiàn)已成為控制器的一個問題。

遺憾的是，與基于軟件的加密策略相比，全盤加密可能無法實現(xiàn)精細(xì)地使用存儲器。安全USB閃存驅(qū)動器等一些系統(tǒng)可以將驅(qū)動器分成兩個邏輯部分，一個加密部分，一個非加密部分。這兩個部分以兩個驅(qū)動器出現(xiàn)，因此無需更改操作系統(tǒng)。

一種新的驅(qū)動器支持T10保護(hù)信息（PI）端到端加密，包括Seagate公司的Constellation 2。這種技術(shù)還需要操作系統(tǒng)和應(yīng)用支持，因為驅(qū)動器的扇區(qū)實際上更大。

在這種情況下，應(yīng)用程序處理加密和解密過程。這意味著，數(shù)據(jù)在離開應(yīng)用程序之前是安全的，因此研究iSCSI鏈路的通信沒什么作用。

T10 PI還需要匹配的控制器支持，最新的SAS控制器可以提供這種支持。另外，由于復(fù)制數(shù)據(jù)可以提供對非加密內(nèi)容的訪問，因此它還可以對驅(qū)動器進(jìn)行備份。

現(xiàn)在，存儲問題涵蓋的技術(shù)五花八門，嵌入式設(shè)計人員甚至也需要對這些技術(shù)進(jìn)行考慮。當(dāng)涉及到網(wǎng)絡(luò)時，存儲也不再局限于手頭的設(shè)備。