小知识,大挑战!本文正在参与“程序员必备小知识”创作活动。
内置密钥管理
内置密钥管理是存储系统内嵌的密钥管理应用,提供对数据加 密特性中自加密硬盘的 AK 的生命周期管理。内置密钥管理支持密钥产生、更新、销毁、备份、恢复等功能。
外置密钥管理
存储系统支持外置密钥管理,采用KMS(Key Manager Server)对数据加密特性的密钥管理。 外置密钥管理采用 KMIP+TLS 的标准协议。 在者数据中心多场景需要密钥集中管理时,建议选择外置密钥管理。外置密钥管理支持密钥产生、更新、销毁、备份、恢复等操作。同时外置密钥管理支 持双机模式,两个 KMS 之间会进行密钥的实时同步,保证密钥可靠性。
自加密硬盘
SED 具备两层安全保护,分别使用 AK(authentication key)和 DEK(data encryption key)两个安全密钥。
AK 认证原理:当在存储系统上打开硬盘加密特性时,存储会打开加密硬盘的 AutoLock 功能,并使用由 Key Manager 分配的AK,此时硬盘的访问已由 SED 的 AutoLock 功能保护,只能由存储系统本身访问。硬盘每 次接入时,需要存储系统从密管服务器获取硬盘的 AK,如果与硬盘上的 AK 匹 配,硬盘就将加密后的 DEK 解密,用于数据加解密。如果 AK 与硬盘上的 AK 不 匹配,则任何读写操作都将失败。
数据加密原理:当硬盘成功通过 Autolock 认证后,对硬盘进行读写时,硬盘通过 自身的硬件电路和内部的数据密钥(Data Entrypt Key)完成写入数据加密和读 取数据解密的功能。数据在写入硬盘之后,通过 DEK 的加密,变成加密信息。 DEK本身无法获取,意味着硬盘被拆除后,通过机械读取的方式无法还原原始信息。
