IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> 再谈数据安全:TCG Opal介绍 -> 正文阅读

[系统运维]再谈数据安全:TCG Opal介绍

在之前发表的《拥有AES-XTS 256位硬加密和秘钥删除,企业数据安全性会怎样?》一文中,我们详细介绍了AES高级加密标准算法和AES-XTS全盘自加密的工作原理。它是目前政府、企业广泛采用的数据加密方式,也是PBlaze系列企业级SSD在数据安全方面的重要功能之一。

在此之外,我们也会在一些SSD的规格介绍中,在数据安全一栏看到TCG Opal的身影。它和AES有何关系?又能起到怎样的数据安全防护效果?本文将给出解答。

TCG Opal是什么

TCG全称Trusted Computing Group(可信计算工作组),它是一家非盈利性组织,致力于开发、定义和推广数据安全防护技术和规范标准,保护企业敏感数据不被泄露,建立完善的安全认证,用户身份保护,设备认证和完整的网络防护体系,有效降低企业的总拥有成本,且完全合规。

TCG Opal是TCG制定的安全标准规范,它定义了对静态数据保护的安全策略,包括基于AES-128或AES-256的设备自加密(SED,Self-Encrypting Drive)、用户权限管理、开机前身份验证等。由于采用硬件自加密技术,Opal并不会对系统的性能造成影响,同时,它独立于操作系统之外,使用不同的操作系统,利用不同的操作系统漏洞,都无法对其产生影响。它是对传统自加密技术的完善,也是存储行业重要的规范之一。

Opal定义下的加密流程

SED是Opal的必备项,它集成了对用户静态数据的加密功能,所有写入硬盘的用户数据都由硬盘控制器内的专门硬件进行加密,在读取时进行解密。加密和解密均通过硬盘内部产生的媒体加密密钥MEK(Media Encryption Key)进行,不通过Host端处理。

Opal为主机应用定义了一个管理接口,用于激活、配置和管理用户数据的加密功能。当存储设备锁定,用户将无法直接访问里面的数据,只有通过主机向该存储设备提供正确的凭证,存储设备才会解锁,并进行正常的读取和写入操作。

加密工作流程示意,引自TCG & NVMe白皮书TCG Storage, Opal, and NVMe
MEK作为影响数据安全的重要因素,其自身也需要被加密,给MEK加密的就是KEK(Key Encryption Key),它是基于用户的密码、口令或一些其它认证机制计算得出的特定数值。MEK只以加密的形式持久地存储在设备中,任何明文MEK都只在存储设备加电的情况下,在控制器内部短暂保存,当存储设备断电,明文MEK就会丢失。此外,Opal并不会对明文的用户密码、口令加以 记录,也就杜绝了从硬盘本身泄露凭证的可能。如此一来,在未获得正确的用户密码、口令等前提下,即使拿到加密设备,也无法获得明文的KEK和MEK,更无法获得里面的明文用户数据。

除了自加密,Opal还有哪些功能

Opal提供了一个接口,允许主机应用程序管理与用户认证和媒体加密有关的功能,具体包括:

  • 设置用于执行配置的管理员凭证(最少支持4个);
  • 多个用户凭证的设置和管理(最少支持8个),这些用户可以被分配到Opal子系统中执行相应操作;
  • 将存储设备划分为多个"锁定范围",每一个“锁定范围”都对应一段连续的LBA;
  • 每个锁定范围都对应不同的MEK进行加密,访问相互独立;
  • 每个“锁定范围”的访问权限可以授权至0个或多个用户;
  • 每个锁定范围都可以独立解除锁定,此过程中,旧的MEK将被删除,并创建一个新的MEK,而使用旧MEK加密的数据将不再能够被解密;
  • 0个或多个用户可以被配置到解除锁定的区域,为存储设备的重新使用或报废提供快速、安全的执行方式;
  • 支持MBR Shadowing功能,使用者开机时需要先进行Pre-Boot身份验证操作,只有验证通过后才能进入开机程序,和设备连接。

总结来说,Opal可以设置多个不同类别、不同权限的用户,并将设备划分为多个锁定范围;其每个锁定范围、用户配置、访问权限都相互独立,使用灵活;即使设备离开所有者,也可以防止未经授权的访问,保护用户的静态数据,有效减少数据泄露风险;支持MEK删除,可快速安全清除用户数据。此外,Opal还具有易扩展的特性,可通过添加新的功能来实现更多用户请求的支持。

补充:Opal、Opalite、Pyrite的区别

通常,Opal被用于企业级数据安全解决方案。受NVMe工作组邀请,TCG也打造了针对消费级市场的解决方案,即Opalite SSC和Pyrite SSC,它们是Opal的两个子集。三者主要区别在于管理员、用户、可配置的锁定范围的数量等。此外,Pyrite没有规定对静态数据进行加密保护的能力,也不具备与加密、秘钥擦除等有关的功能,具体如下:

在这里插入图片描述
TCG Opal是由TCG组织成员共同推动定义的存储设备安全管理规范。TCG Opal的应用,除了获得设备完善的加密保障外,其优势还在于通过硬件本身加密,节约主机系统加密带来的开销,从而获得更优的存储性能。TCG Opal安全管理规范在应用上具备明显的地域性特征,北美、欧洲应用范围较广,加之其标准实现的复杂性,给存储设备厂商的开发带来不小挑战。Memblaze在用户数据安全保障上一直保持高度重视,并在PBlaze6 6530系列企业级NVMe SSD中率先支持TCG Opal 2.0,让国产品牌在数据安全及拥抱更优存储技术方面更进一步。

参考资料:
Trusted Computing Group and NVM Express Joint White Paper: TCG Storage, Opal, and NVMe

  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2022-03-11 22:36:33  更:2022-03-11 22:39:26 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/16 1:17:45-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码