SSD作為一種數(shù)據(jù)存儲設(shè)備，其數(shù)據(jù)存儲的安全性至關(guān)重要，為保障數(shù)據(jù)不被竊取或篡改，往往會對數(shù)據(jù)進行加密處理，本文將對數(shù)據(jù)加密技術(shù)展開討論。

數(shù)據(jù)加密的實現(xiàn)方式主要分為主機端加密與盤內(nèi)加密。

一、主機端加密

主機端加密即盤外加密，分為軟件加密、安全認證、硬件加密。

1、軟件加密一般有微軟的Bitlocker和Chinasec，Bitlocker是VISTA操作系統(tǒng)自帶的計算機本地磁盤加密工具，通過加密硬盤上的所有內(nèi)容來增強安全性（數(shù)據(jù)、程序甚至Windows本身）；Chinasec則是基于網(wǎng)絡(luò)和數(shù)據(jù)的安全管理產(chǎn)品，通過認證、加密、監(jiān)控和追蹤等手段在傳統(tǒng)PC終端和移動終端提供系統(tǒng)數(shù)據(jù)保護、文檔加密等整體解決方案。

2、安全認證最常見的就是用戶設(shè)置Windows登錄密碼，系統(tǒng)通過密碼來辨認用戶的身份，從而保障電腦內(nèi)數(shù)據(jù)的安全性。

3、硬件加密則是TPM，屬于硬加密模板，通過在設(shè)備中集成的專用安全硬件來處理設(shè)備中的加密密鑰，RSA/AES/SHA等加密算法在里面，不少筆記本都會帶一個TPM貼片模塊，可實現(xiàn)數(shù)據(jù)加密、密碼保護等安全功能，應(yīng)用性能優(yōu)于以上兩種。

二、盤內(nèi)加密技術(shù)

盤內(nèi)加密技術(shù)分為：對稱加密與非對稱加密、ATA security、TCG、隱藏分區(qū)5種加密方法。

1、對稱加密：是指在加密和解密時使用同一密鑰，是一種可逆的加密方式。

目前主流的對稱加密算法有以下幾種：

·DES算法加密流程：整個過程就是將明文按照64比特為一組經(jīng)過DES加密生成密文，同樣將密文按照64比特為一組，連續(xù)多組的密文可以通過解密密鑰再還原對應(yīng)的明文。

·3DES算法加密流程：字面上看就是經(jīng)過三次DES加密的過程，是DES的加強版。

·AES算法加密流程：因此流程較為復(fù)雜不做過多展開，大致流程為輸入的明文數(shù)據(jù)會逐字節(jié)的去替換，替換完成后再平移，平移完成后再做混合列的N輪迭代，最后進行異或運算生成密文。解密則是反向操作。

·SM4算法加密流程：SM4是一種分組密碼算法，其分組長度為128位（即16字節(jié)，4字），密鑰長度也為128位（即16字節(jié)，4字）。其加解密過程采用了32輪迭代機制（與DES、AES類似），每一輪需要一個輪密鑰（與DES、AES類似），以及1次反序變換。

2、非對稱加密：特點為密文無法反推倒出明文，屬于不可逆的流程。

主流非對稱加密算法：

·非對稱加密算法(消息摘要)-MD5/SHA：用于文件校驗、文件的數(shù)字簽名（保障原始明文在數(shù)據(jù)傳輸與明文傳輸過程中的正確性），文件內(nèi)容可以是明文。如圖所示是無法從摘要推倒出原文的，經(jīng)常用于網(wǎng)絡(luò)上的文件傳輸校驗。

·非對稱加密算法-RSA：分兩個例子來說明。

舉例1：公司A要發(fā)布一個公眾文件（如驅(qū)動），生成了公鑰和私鑰，首先用私鑰進行加密簽名，以此來證明產(chǎn)品歸公司A所有并以此證明產(chǎn)品安全合法，用戶下載驅(qū)動文件后可用公鑰解驗簽后（類似微軟會提示這是一個驅(qū)動是否是合法的簽名驅(qū)動）進行正常使用。

私鑰用于簽名、公鑰用于驗簽

實際上微軟應(yīng)用程序的數(shù)字簽名，比圖示中的流程更為復(fù)雜，因為公私鑰的生成證書需要第三方機構(gòu)頒發(fā)以做證明，自己不得隨便生成。

舉例2：A/B/C要各自發(fā)私信給O，但又不想各自的信息給其它兩人看見，就用O給他們的公鑰加密，由于其它兩人沒有私鑰無法解密，只能O看見A的高密。

公鑰用于加密、私鑰用于解密，可起到加密的作用

3、加密算法的應(yīng)用

在非對稱加密算法中可以正向的用私鑰去發(fā)布簽名，然后讓大家驗證，反過來每個人也可以用公鑰來對文件進行加密，但在SSD應(yīng)用過程中沒有可以反向操作的過程。

·SSD中加密算法的應(yīng)用

在SSD內(nèi)部有一個AES硬件模塊，用于主機數(shù)據(jù)或內(nèi)部數(shù)據(jù)的加解密，它的Key由SSD的固件來管理，保存在NAND上或SOC內(nèi)部的OTP區(qū)域，根據(jù)IEEE 1667規(guī)范，這種SSD內(nèi)部有加密模塊稱之為SED(Self-encrypting) SSD，其它的則非Non-SED SSD。

在不同的實現(xiàn)情況下，有的SOC會把AES模塊放在前端進行加密，有的會把AES放在后端進行加密。

4、ATA security（安全認證）

前文描述的都是加密算法，在更上一層如系統(tǒng)應(yīng)用層則需要密鑰管理、賬號登錄等安全機制來認證。

ATA（AT Attachment），是一個很久遠的標準，定義了一組存儲命令接口，用于存儲設(shè)備（SSD/HDD）的訪問。

ATA security feature：它類似Windows訪問密碼的概念，訪問密碼輸入正確后整個SSD的空間都可以被讀寫，否則SSD會拒絕主機的讀寫請求或其他特殊的應(yīng)用請求，以此保證SSD能在安全的環(huán)境下使用。

ATA Security有兩個密碼：

·User password：用于限制SSD的訪問，包括一些控制命令和數(shù)據(jù)讀寫命令，一般BIOS登錄解密要求輸入的密碼即User password來解鎖SSD。

·Master password：管理員密碼，僅用于解除User Password而并不會鎖住硬盤；Master password不會使能SSD的security。

Security state簡圖

Security erase（安全擦除）方式：

1. Normal erase（普通擦除）；

2. Enhance erase （增強擦除）。

有AES和沒有AES的差異

5、TCG（安全認證+數(shù)據(jù)加密）

TCG（Trusted Computing Group）中文名為可信計算組織，最初是由AMD、HP、IBM、Intel、Microsoft建立，旨在建立個人電腦的可信計算概念。它不僅是一個硬盤加密方式，更是一個IT生態(tài)，融合了網(wǎng)絡(luò)、存儲、加密硬件模塊、基礎(chǔ)平臺、軟件等。

涉及到信息安全，在中國同樣也有可信計算組織（TCMU）來保障國內(nèi)的信息安全技術(shù)，由高等院校、知名廠商等建立。

在TCG中與SSD相關(guān)的TCG部分則是TCG Storage協(xié)議。

如圖中所示，在SSD上方有兩塊SP：Admin SP和Locking SP，Admin SP類似管理員權(quán)限集，只有一些管理功能，不負責SSD的邏輯空間的分配或決策；Locking SP即SSD訪問空間管理。

TCG Storage是把前面介紹的加密技術(shù)都融合了進來，對SSD進行授權(quán)管理以及數(shù)據(jù)安全管理。

其中最主要的是Admin SP，用于密碼管理，使能/禁止Locking SP，恢復(fù)出廠設(shè)置等，Admin SP不直接對SSD的數(shù)據(jù)空間進行管理，一般用于密碼管理，多達幾十種。

Locking SP除了基本管理之外，還對數(shù)據(jù)空間進行管理，如空間分區(qū)，每個分區(qū)的加密，分區(qū)獨立鎖等，同時也有訪問密碼的管理。

6、隱藏分區(qū)

·TCG MBR shadow

此MBR不是OS中的Master boot record，TCG中的MBR與User空間是重疊的，同一時間內(nèi)只有一個對Host可見，在SSD沒有被完全授權(quán)前，真實的User數(shù)據(jù)空間是無法被訪問的，對Host顯示的僅為一小塊空間，這里面存放一些Preboot的認證程序、數(shù)據(jù)，認證通過后會切換到真實的User數(shù)據(jù)空間。

·Shadow area：

在SSD的物理空間里面額外開辟一塊區(qū)域，在沒有獲得授權(quán)認證時，Host不可見，反之對Host可見。通常用于存放主機廠商的一些數(shù)據(jù)，用于備份、恢復(fù)主機廠商所需的一些數(shù)據(jù)，相較于TCG會犧牲一些用戶的物理存儲容量。

Union Memory

隨著《中華人民共和國數(shù)據(jù)安全法》的正式實施，數(shù)據(jù)安全已上升至國家戰(zhàn)略高度，而數(shù)據(jù)存儲作為數(shù)據(jù)安全中的關(guān)鍵一環(huán)，對國家信息安全建設(shè)、數(shù)字化建設(shè)起著至關(guān)重要的作用。

作為領(lǐng)先的國產(chǎn)SSD廠商，憶聯(lián)SSD產(chǎn)品支持目前業(yè)界所有標準的加密算法，并包含國密。相關(guān)加密算法不僅僅包含了對用戶數(shù)據(jù)的加密，也涵蓋了產(chǎn)品固件包的簽名發(fā)布，以保障固件發(fā)布后不會被惡意篡改，從而進一步確保SSD產(chǎn)品安全性。目前，憶聯(lián)SSD產(chǎn)品使用的加密技術(shù)已處于業(yè)界領(lǐng)先水平，可為數(shù)據(jù)搭建起堅實的安全屏障。

審核編輯：郭婷