内页banner

新闻资讯

当前位置: 首页 > 新闻资讯 > 常见问答

磁盘加密技术目前主要有两种类型

2022-03-22 09:40:59

磁盘加密工具很多,一方面收费,另一方面并不能保证其安全性主流的SED加密硬盘都符合FIPS政府级安全标准。但光有SED还不行,需要配置对应的FIPS密钥管理系统KMC。FIPS(如140-2 LEVEL3)安全标准的KMC也可以是独立的或集成在存储系统中(当然,独立KMC具有更好安全性),并可以支持配置2台双机热备模式的KMC。


数据加密过程:FIPS-SED加密硬盘具备两层安全保护,分别使用AK(Authentication Key)和DEK(Data Encryption Key)两个安全密钥。AK是访问磁盘的密钥,DEK是数据加密的密钥,AK保存在KMC,而DEK通过AK加密后保存在磁盘中,存储通过从KMC获取AK(AK传输通过KMIP和SSL安全机制)读写磁盘上的数据,由KMC对SED的AK(认证密钥)进行管理(产生、存储、管理、撤销、销毁等操作),KeyBackup Server 用于对KA的密钥进行冷备,当磁盘通过AK认证并对磁盘进行读写时,磁盘通过自身电路获取磁盘内的DEK,由AES完成数据加密和读取数据解密功能。数据在写入磁盘后通过DEK加密,变成加密信息。磁盘的DEK外部是无法获取的,所以磁盘拆除或故障后,通过机械读取方式是无法还原信息的。

磁盘加密

通过虚拟磁盘加密生成的容器文件是真加密,所有加密数据都是经过AES、Twofish、Serpent等加密算法的运算后的结果,目前无有效破解方法(穷举法除外)。磁盘加密技术目前主要有两种类型:一种是磁盘分区加密技术,另一种是全磁盘加密技术所谓磁盘分区加密技术,是采用加密技术对磁盘上某一个扇区(或者分区)进行加解密。磁盘分区加密技术目前已经有广泛应用,虚拟磁盘加密技术(VDE,Vertual Disk Encryption)就是磁盘分区加密技术的代表之一,其他的还包括移动存储设备加密技术。后者的代表性产品主要有安全U盘(UDiskSec)、安全移动硬盘(EDiskSec)等。

磁盘加密

全磁盘加密技术(FDE,Full Disk Encryption),顾名思义,是对整个磁盘上的数据进行加解密,但是这个解释并不完全准确。FDE更为准确的解释是:通过动态加解密技术,对磁盘(硬盘)上所有数据(包括操作系统)进行动态加解密的技术。FDE在国外发展有十多年历史,技术相当成熟,基于FDE技术的许多产品也已经得到广泛应用。国内FDE技术起步比较晚,但目前已经有成熟产品在军队和企业级用户中使用。


近期浏览:

相关产品

相关新闻