外部硬盤(pán)驅(qū)動(dòng)器自動(dòng)加密技術(shù)

時(shí)間：2010-08-09 22:43:36

關(guān)鍵字：加密技術(shù) 硬盤(pán)驅(qū)動(dòng)器 BSP 處理器

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]前言外部硬盤(pán)驅(qū)動(dòng)器是一種為許多電子產(chǎn)品擴(kuò)展數(shù)字存儲(chǔ)的簡(jiǎn)便易行的方法。因此，它們深受消費(fèi)者青睞。一方面，外部驅(qū)動(dòng)器非常有用，而另一方面，在主機(jī)設(shè)備之外存儲(chǔ)數(shù)據(jù)還給用戶、公司與政府機(jī)構(gòu)帶來(lái)了一系

前言

外部硬盤(pán)驅(qū)動(dòng)器是一種為許多電子產(chǎn)品擴(kuò)展數(shù)字存儲(chǔ)的簡(jiǎn)便易行的方法。因此，它們深受消費(fèi)者青睞。一方面，外部驅(qū)動(dòng)器非常有用，而另一方面，在主機(jī)設(shè)備之外存儲(chǔ)數(shù)據(jù)還給用戶、公司與政府機(jī)構(gòu)帶來(lái)了一系列問(wèn)題。

存儲(chǔ)處理器的驅(qū)動(dòng)器自動(dòng)加鎖機(jī)制使用訪問(wèn)控制方法來(lái)為基于硬盤(pán)驅(qū)動(dòng)器的存儲(chǔ)器提供內(nèi)容安全。它使用一個(gè)隱藏完好的唯一密碼來(lái)將驅(qū)動(dòng)器鎖定到存儲(chǔ)處理器，該密碼被燒入存儲(chǔ)處理器，而如果不把驅(qū)動(dòng)器放在特定主機(jī)上，那么驅(qū)動(dòng)器將無(wú)法操作。在一個(gè)存儲(chǔ)處理器上實(shí)現(xiàn)這種功能的主要優(yōu)勢(shì)就是它不需要用戶干預(yù)。驅(qū)動(dòng)器自動(dòng)加鎖為從消費(fèi)者到公司與政府機(jī)構(gòu)的廣大用戶，以及支持內(nèi)部或者外部硬盤(pán)驅(qū)動(dòng)器存儲(chǔ)的眾多設(shè)備，提供了很多益處。

基于磁盤(pán)的存儲(chǔ)器向新的方向擴(kuò)展

外部硬盤(pán)驅(qū)動(dòng)器開(kāi)始是作為增加存儲(chǔ)或者從計(jì)算機(jī)備份數(shù)據(jù)的一種簡(jiǎn)便方法。對(duì)便攜式電腦來(lái)說(shuō)尤其如此，因?yàn)槠鋬?nèi)部擴(kuò)展能力通常會(huì)受到限制。實(shí)際上，許多外部驅(qū)動(dòng)器都帶有按一下按鈕就能操作的實(shí)用備份工具。

外部硬盤(pán)驅(qū)動(dòng)器的物理安全

日益普及的外部驅(qū)動(dòng)器系統(tǒng)備份帶來(lái)了另外一個(gè)安全風(fēng)險(xiǎn)。系統(tǒng)備份在外部驅(qū)動(dòng)器上創(chuàng)建了系統(tǒng)所有數(shù)據(jù)的一個(gè)拷貝。這種設(shè)備可以幫助用戶避免由于系統(tǒng)或者驅(qū)動(dòng)器故障而丟失數(shù)據(jù)，與此同時(shí)，由于外部驅(qū)動(dòng)器沒(méi)有安全機(jī)制，實(shí)際上，系統(tǒng)備份使得數(shù)據(jù)或者身份竊取變得更為容易。由于外部硬盤(pán)驅(qū)動(dòng)器規(guī)模的提升，并用來(lái)收集更為全面而且是歷史性的個(gè)人信息，竊取的后果也隨之變得更加嚴(yán)重。

消費(fèi)電子產(chǎn)品制造商也應(yīng)該關(guān)心保護(hù)內(nèi)容安全的方法。在數(shù)字?jǐn)z像機(jī)等消費(fèi)電子產(chǎn)品中配置連接外部驅(qū)動(dòng)器的端口的做法已經(jīng)變得非常普遍。如果存儲(chǔ)于那些驅(qū)動(dòng)器上的不全是"收費(fèi)服務(wù)內(nèi)容"，這種情況則更甚之。這些內(nèi)容受到版權(quán)保護(hù)，而且它在何時(shí)何地播放也受到限制。這種將驅(qū)動(dòng)器鎖定到一個(gè)特定機(jī)頂盒 (STB)或者數(shù)字?jǐn)z像機(jī)的能力，在現(xiàn)有的加密方案之上為內(nèi)容安全增加了另外一層保護(hù)。

總之，外部硬盤(pán)驅(qū)動(dòng)器相對(duì)較弱的物理安全意味著存儲(chǔ)其上的數(shù)據(jù)是脆弱的，而且這些數(shù)據(jù)類型也使它們成為吸引人的目標(biāo)。消費(fèi)電子產(chǎn)品制造商也對(duì)使用訪問(wèn)控制作為保護(hù)具有版權(quán)內(nèi)容的整體策略的一部分來(lái)保護(hù)外部設(shè)備安全很感興趣。這些是困擾行業(yè)的真正問(wèn)題，而且，它們需要一個(gè)有助于通過(guò)提供訪問(wèn)控制級(jí)別的保護(hù)來(lái)保護(hù)一個(gè)外部驅(qū)動(dòng)器的解決方案。

來(lái)自Silicon Image公司的存儲(chǔ)處理器上驅(qū)動(dòng)器自動(dòng)加鎖就是滿足這種需求的一種完整、自動(dòng)而且易用的解決方案。

推出驅(qū)動(dòng)器自動(dòng)加鎖功能

保護(hù)外部存儲(chǔ)數(shù)據(jù)的物理安全主要有三種方式。第一種方式是使用某種設(shè)備來(lái)防止驅(qū)動(dòng)器被偷竊，比如使用一個(gè)金仕頓（Kensington）鎖來(lái)從物理上保證驅(qū)動(dòng)器在其位置上不被偷竊。第二種方式就是去加密數(shù)據(jù)流，或者是在主機(jī)傳輸之前加密，或者在某些情況下由硬盤(pán)驅(qū)動(dòng)器自行加密。隨后，用戶必須提供正確的認(rèn)證鑰來(lái)解密數(shù)據(jù)。第三種方式是對(duì)驅(qū)動(dòng)器實(shí)行控制訪問(wèn)。當(dāng)與一個(gè)隱藏完好的密碼結(jié)合使用時(shí)，訪問(wèn)控制是一種特別強(qiáng)的安全形式。與加密機(jī)制不同，訪問(wèn)控制方法在正確的密碼被提供之前不允許進(jìn)行數(shù)據(jù)傳輸。因此，如果沒(méi)有密碼，數(shù)據(jù)就不可能被復(fù)制和解密。驅(qū)動(dòng)器自動(dòng)加鎖利用一個(gè)燒入存儲(chǔ)處理器隱藏保護(hù)區(qū)的唯一128位密碼，來(lái)達(dá)到這種安全級(jí)別。

圖1 驅(qū)動(dòng)器加鎖

上述所有方法提供某些級(jí)別的保護(hù)，并且這些技術(shù)是相互補(bǔ)充，而不是相互競(jìng)爭(zhēng)。同時(shí)協(xié)調(diào)使用這三種技術(shù)將為驅(qū)動(dòng)器上存儲(chǔ)的數(shù)據(jù)提供最大的安全。

工作原理

SteelVine® 存儲(chǔ)處理器上的驅(qū)動(dòng)器自動(dòng)加鎖使用第三種方法，即訪問(wèn)控制，來(lái)鎖定驅(qū)動(dòng)器。所有現(xiàn)代消費(fèi)硬盤(pán)驅(qū)動(dòng)器的運(yùn)行都是基于ATA標(biāo)準(zhǔn)的，它規(guī)定了存儲(chǔ)設(shè)備如何連接到主機(jī)系統(tǒng)。這個(gè)標(biāo)準(zhǔn)包括了一個(gè)最大安全模式的定義，當(dāng)這種模式被激活時(shí)，它將硬盤(pán)驅(qū)動(dòng)器鎖定直到接收到正確的密碼為止。

當(dāng)一個(gè)ATA兼容驅(qū)動(dòng)器被連接到具有驅(qū)動(dòng)器自動(dòng)加鎖功能的存儲(chǔ)處理器上，而且給預(yù)備寫(xiě)入的驅(qū)動(dòng)器發(fā)送枚舉命令時(shí)，可以使用一個(gè)唯一的128位密碼激活最大安全模式，該密碼在生產(chǎn)時(shí)被燒入存儲(chǔ)處理器ROM。由于某些SteelVine存儲(chǔ)處理器可以支持多個(gè)級(jí)別的驅(qū)動(dòng)器(容量擴(kuò)展)，所以，指出這一點(diǎn)非常重要：連接到存儲(chǔ)處理器的所有驅(qū)動(dòng)器，包括層疊級(jí)驅(qū)動(dòng)器，都是使用這一個(gè)密碼來(lái)鎖定的。

一旦激活安全模式，在每次驅(qū)動(dòng)器重啟或者熱插拔時(shí)，驅(qū)動(dòng)器將自動(dòng)鎖定并在給出正確密碼前不允許進(jìn)行數(shù)據(jù)訪問(wèn)。因?yàn)樵谶@種情況下，密碼是存儲(chǔ)于存儲(chǔ)處理器內(nèi)部的一個(gè)唯一串，所以只有存儲(chǔ)處理器才能夠解鎖驅(qū)動(dòng)器。如果將驅(qū)動(dòng)器移到其他主機(jī)上，即便是另外一個(gè)配有支持驅(qū)動(dòng)器自動(dòng)加鎖存儲(chǔ)處理器的主機(jī)，驅(qū)動(dòng)器仍將保持鎖定，同時(shí)該數(shù)據(jù)也將不可訪問(wèn)。對(duì)于在第一次連接時(shí)驅(qū)動(dòng)器加鎖以及在它們重啟時(shí)解鎖驅(qū)動(dòng)器的管理，無(wú)需任何用戶干預(yù)便可自動(dòng)完成。

圖2 驅(qū)動(dòng)器加鎖工作原理[!--empirenews.page--]

對(duì)于安全的益處

訪問(wèn)控制方法對(duì)于安全的益處就是未經(jīng)授權(quán)認(rèn)證不會(huì)暴露任何數(shù)據(jù)。連接到存儲(chǔ)處理器的驅(qū)動(dòng)器被設(shè)定為上電或者模式改變時(shí)自動(dòng)加鎖，并僅在提供正確的密碼時(shí)才能解鎖。這樣就可以防止數(shù)據(jù)流被截取以及在未連接到正確的存儲(chǔ)處理器上被讀取的任何可能性。

128位強(qiáng)度的密碼不易被蠻力攻擊攻破，而且它被以主機(jī)設(shè)備無(wú)法訪問(wèn)的方式存儲(chǔ)于內(nèi)部處理器ROM當(dāng)中。這可以防止通過(guò)系統(tǒng)或者可編程只讀存儲(chǔ)器（PROM）閱讀器進(jìn)行的任何攻擊。只有存儲(chǔ)處理器才能夠取回密碼，而且它從未被暴露給主機(jī)。

燒入128位鑰匙也比依賴勤奮的用戶提供難猜密碼的人工密碼加鎖與加密方法更為安全。因?yàn)轵?qū)動(dòng)器上的數(shù)據(jù)是由存儲(chǔ)處理器不需要用戶干預(yù)而自身自動(dòng)鎖定的，所以驅(qū)動(dòng)器自動(dòng)加鎖不是依賴用戶提供一個(gè)安全的密碼來(lái)鎖定，也不依賴用戶記住該密碼來(lái)訪問(wèn)。

易于使用

幾乎所有的消費(fèi)驅(qū)動(dòng)器都可以使用驅(qū)動(dòng)器自動(dòng)加鎖功能，同時(shí)市場(chǎng)上大多數(shù)硬盤(pán)驅(qū)動(dòng)器都將ATA最大安全模式列為一個(gè)標(biāo)準(zhǔn)功能。通過(guò)添加唯一的嵌入式128位密碼與安全模式全部自動(dòng)管理功能，帶有驅(qū)動(dòng)器自動(dòng)加鎖功能的存儲(chǔ)處理器將會(huì)使消費(fèi)者更為方便地享受到驅(qū)動(dòng)器加鎖的這種益處，而不需要進(jìn)行麻煩的安裝或者管理工作。

安全機(jī)制

為用戶提供安全的部分工作就是采取合理的步驟來(lái)確保用戶不會(huì)因所用的安全機(jī)制而產(chǎn)生障礙。它在工廠中就需要進(jìn)行驗(yàn)證，以確保每個(gè)被燒入存儲(chǔ)處理器的128位密碼都是唯一的。此外，還在加鎖機(jī)制中加入一個(gè)延遲，該機(jī)制在驅(qū)動(dòng)器被枚舉之前(為第一次寫(xiě)入做準(zhǔn)備)請(qǐng)求用戶確認(rèn)。

最后，如果用戶意外地鎖定了一個(gè)硬盤(pán)驅(qū)動(dòng)器，在Silicon Image SteelVine處理器內(nèi)部實(shí)施的ATA安全模式可以提供兩種恢復(fù)方法。安全擦除（Secure Erase）主密碼將擦除被鎖定硬盤(pán)驅(qū)動(dòng)器上的所有數(shù)據(jù)，然后再解鎖該驅(qū)動(dòng)器。這種工具是在更換或者淘汰主機(jī)設(shè)備時(shí)重新使用一個(gè)驅(qū)動(dòng)器的理想選擇。作為一種替代方案，SteelVine處理器給出的服務(wù)中心索引號(hào)（Service Center Index）將允許用戶把驅(qū)動(dòng)器返給制造商進(jìn)行解鎖，而不需擦除該驅(qū)動(dòng)器上的數(shù)據(jù)。這將通過(guò)一直保護(hù)該驅(qū)動(dòng)器上密碼的一個(gè)服務(wù)中心索引號(hào)來(lái)完成。

驅(qū)動(dòng)器自動(dòng)加鎖與數(shù)字版權(quán)管理 (DRM)

驅(qū)動(dòng)器自動(dòng)加鎖不是一種數(shù)字版權(quán)管理技術(shù)。作為一種塊級(jí)別的設(shè)備，存儲(chǔ)處理器并不提供權(quán)利管理功能(它需要文件系統(tǒng)通知機(jī)制)。取而代之的是，它對(duì)連接到存儲(chǔ)處理器的硬盤(pán)驅(qū)動(dòng)器的訪問(wèn)進(jìn)行控制。它通過(guò)確保外部存儲(chǔ)的數(shù)據(jù)只能夠由鎖定它的單個(gè)主機(jī)設(shè)備來(lái)訪問(wèn)，從而支持?jǐn)?shù)字版權(quán)管理方案。

存儲(chǔ)處理器與驅(qū)動(dòng)器自動(dòng)加鎖– 應(yīng)用與益處

存儲(chǔ)處理器的優(yōu)勢(shì)之一就是能夠使用它的產(chǎn)品范圍很廣。存儲(chǔ)處理器獨(dú)立于主機(jī)運(yùn)行，它接管了與它連接的硬盤(pán)驅(qū)動(dòng)器，而且對(duì)主機(jī)來(lái)說(shuō)只顯示為單個(gè)虛擬驅(qū)動(dòng)器。這就意味著，可以在需要基于硬盤(pán)驅(qū)動(dòng)器的存儲(chǔ)器的任何地方使用該存儲(chǔ)處理器，例如，從外部硬盤(pán)驅(qū)動(dòng)器到嵌入式應(yīng)用，從消費(fèi)電子產(chǎn)品到個(gè)人計(jì)算機(jī)等。不過(guò)，由于驅(qū)動(dòng)器自動(dòng)加鎖功能是為將驅(qū)動(dòng)器鎖定到一個(gè)主機(jī)設(shè)備上而設(shè)計(jì)的，包括驅(qū)動(dòng)器自動(dòng)加鎖功能的存儲(chǔ)處理器特別設(shè)計(jì)用于安裝在主機(jī)設(shè)備的母板之上。如果在外部設(shè)備或者移動(dòng)卡上使用該功能，其安全性益處將大大降低。

圖3 存儲(chǔ)處理器與驅(qū)動(dòng)器自動(dòng)加鎖

驅(qū)動(dòng)器自動(dòng)加鎖自身可以提供安全保護(hù)，但是它也是對(duì)確保物理安全的其他方法的補(bǔ)充，其中包括數(shù)據(jù)加密與相關(guān)場(chǎng)所設(shè)備的物理安全方法等。通過(guò)在主機(jī)設(shè)備和外部驅(qū)動(dòng)器之間建立一個(gè)安全連接，該驅(qū)動(dòng)器自動(dòng)加鎖功能生效，并使得外部硬盤(pán)驅(qū)動(dòng)器成為主機(jī)的一部分，從而將該主機(jī)的‘安全保護(hù)罩’擴(kuò)展到了外部驅(qū)動(dòng)器之上。

驅(qū)動(dòng)器自動(dòng)加鎖對(duì)于任何關(guān)注其數(shù)據(jù)安全的各方都是有用的。將其數(shù)據(jù)備份到一個(gè)外部硬盤(pán)驅(qū)動(dòng)器上的用戶能夠更為容易地知道驅(qū)動(dòng)器上的數(shù)據(jù)如果被偷將不能被訪問(wèn)。公司與政府機(jī)構(gòu)能夠確保即使在媒介被竊取的情況下，也會(huì)保持外部硬盤(pán)驅(qū)動(dòng)器上敏感信息的安全。個(gè)人攝像機(jī)與數(shù)字?jǐn)z像機(jī)制造商可以添加另外一個(gè)工具，來(lái)幫助它們確保收費(fèi)服務(wù)內(nèi)容保持同將內(nèi)容寫(xiě)入驅(qū)動(dòng)器的數(shù)字?jǐn)z像機(jī)/個(gè)人攝像機(jī)之間的連接。

對(duì)外部驅(qū)動(dòng)器附加安全的迫切需求意味著驅(qū)動(dòng)器自動(dòng)加鎖的益處可以在這些應(yīng)用場(chǎng)景中最為方便地實(shí)現(xiàn)。同時(shí)，在內(nèi)部驅(qū)動(dòng)器上使用這種解決方案也會(huì)帶來(lái)安全上的益處。內(nèi)部驅(qū)動(dòng)器僅僅是比外部驅(qū)動(dòng)器難攻擊一些，因?yàn)榇蜷_(kāi)主機(jī)設(shè)備接觸到物理驅(qū)動(dòng)器需要一定的時(shí)間，這意味著它們通常不會(huì)遭到偶然的惡意偷竊。不過(guò)，決意要竊取數(shù)據(jù)的人還是能夠輕易地拿到內(nèi)部硬盤(pán)驅(qū)動(dòng)器。驅(qū)動(dòng)器自動(dòng)加鎖能夠在內(nèi)部驅(qū)動(dòng)器上被方便地激活，就像在外部驅(qū)動(dòng)器上被激活一樣，二者的應(yīng)用可以都提供同樣的內(nèi)容安全。

結(jié)束語(yǔ)

驅(qū)動(dòng)器自動(dòng)加鎖功能的實(shí)施對(duì)于消費(fèi)者、公司、政府機(jī)構(gòu)以及制造商等各方都有益處。它僅僅作為內(nèi)容安全保護(hù)的若干種方法之一，通過(guò)在存儲(chǔ)處理器與主機(jī)設(shè)備之間建立安全連接，實(shí)現(xiàn)了現(xiàn)有的安全機(jī)制，而該連接使用了一個(gè)隱藏的128位鑰匙以及一種訪問(wèn)控制方法。以當(dāng)前市場(chǎng)上幾乎每個(gè)消費(fèi)硬盤(pán)驅(qū)動(dòng)器都支持的ATA最大安全模式為基礎(chǔ)，驅(qū)動(dòng)器自動(dòng)加鎖通過(guò)在芯片上自動(dòng)處理，提高了安全模式的有效性，而且也不需要用戶做任何輸入操作。關(guān)注收費(fèi)服務(wù)內(nèi)容管理或者敏感、私密數(shù)據(jù)被竊取的有關(guān)各方應(yīng)該使用驅(qū)動(dòng)器自動(dòng)加鎖來(lái)提高內(nèi)容安全。