威脅模型

數(shù)據(jù)生命周期管理（Data Lifecycle Management）通常將數(shù)據(jù)劃分為生產(chǎn)、存儲、使用、分享、銷毀、歸檔幾個階段。而從信息安全保護(hù)維度，則一般將數(shù)據(jù)劃分為三種狀態(tài)，即：Data in Use、Data in Motion/Transit、Data at Rest。

Data in Motion/Transit，即數(shù)據(jù)傳輸場景，是大家最熟悉、技術(shù)發(fā)展最成熟的安全場景。例如基于SSL/TLS協(xié)議的Https應(yīng)用，基于SSH協(xié)議的SCP/SFTP應(yīng)用等。這些技術(shù)對數(shù)據(jù)的安全保護(hù)不僅包括加密傳輸，也包含雙向身份認(rèn)證、完整性保護(hù)等。

Data in Use，即數(shù)據(jù)使用場景。此時數(shù)據(jù)緩存在系統(tǒng)DRAM、Cache、CPU Register中，一般明文存在。但在一些高安全場景下，為防止側(cè)信道攻擊（如Cold Boot Attack獲取DRAM中密鑰信息），業(yè)界也提出了Full Memory Encryption全內(nèi)存加密技術(shù)。如Intel的TME（Total Memory Encryption）、AMD的SME（Secure Memory Encryption）等。FME使能時系統(tǒng)DRAM數(shù)據(jù)全部為加密存儲，CPU通過特定硬件加解密引擎分別在讀寫數(shù)據(jù)時做解密加密操作，加解密密鑰則一般每次boot時唯一生成。

Data at Rest，即數(shù)據(jù)（持久化）存儲場景。此時數(shù)據(jù)屬于inactive狀態(tài)未使用，存儲在磁盤等非易失性介質(zhì)。安全風(fēng)險主要有非授權(quán)訪問、設(shè)備丟失導(dǎo)致數(shù)據(jù)泄漏等。常見保護(hù)方式包括物理/網(wǎng)絡(luò)層面的隔離和訪問控制、以及數(shù)據(jù)（落盤）加密。對于加密存儲的磁盤數(shù)據(jù)，即使設(shè)備（如PC/手機(jī)）丟失，攻擊者拆出硬盤或Flash器件，也只能讀取到器件中的密文，保證關(guān)鍵數(shù)據(jù)機(jī)密性。

技術(shù)路線

加密是防止數(shù)據(jù)泄漏、保證機(jī)密性的有效手段。按照不同維度，加密技術(shù)/方案可以有多種分類，簡單匯總?cè)缦拢?/p>

需要說明的是，幾種維度不互斥，某一方案通常符合/采用多個特征/技術(shù)。例如本文要介紹的磁盤加密技術(shù)Disk Encryption，其加密對象一般是整個磁盤或文件系統(tǒng)，但從數(shù)據(jù)狀態(tài)維度看屬于Data at Res
Encryption技術(shù)，從用戶感知維度看屬于透明加密技術(shù)，從加密算法維度看采用對稱加密。

下面簡單介紹幾個分類涉及的技術(shù)概念/術(shù)語，詳情可查閱文末參考鏈接，及后續(xù)章節(jié)中的詳細(xì)分析。

Data at Rest Encryption

數(shù)據(jù)在at Rest狀態(tài)下保持加密的技術(shù)，參考https://wiki.archlinux.org/title/Data-at-rest_encryption說明，加密對象一般為磁盤（塊設(shè)備）、文件系統(tǒng)目錄，加解密過程采用透明加密技術(shù)。

Transparent Encryption

透明加密，也稱作real-time encryption或on-the-fly encryption。特點(diǎn)是數(shù)據(jù)在使用過程中自動完成加解密，無需用戶干預(yù)。