转载 
近日,SNIA(Storage Networking Industry Association)发布了一份关于存储安全和加密与密钥管理的技术白皮书。
该白皮书中探讨了一系列与加密和密钥管理相关的问题和注意事项,这对于未来数据保护的实施和策略具有重要影响。还确定了在存储系统和生态系统中使用加密和密钥管理相关的标准与规范。对于存储和安全专业人士来说,这篇论文提供了广泛的相关概念的基础知识,并提供了重要的指导和建议,强调了其中一些关键问题和考虑因素。
本文,小编结合里面的一些信息进行一些粗浅的解读,想要直接看白皮书请点击文章底部“阅读原文”获取下载链接。
一、什么是存储加密技术?
存储加密技术是指使用加密算法和密钥管理策略来保护存储设备中数据的机密性和完整性的一种技术。常见的数据加密方法有对称加密和不对称加密两种。
对称加密算法使用相同的密钥进行数据加密和解密,如AES(高级加密标准)。而不对称加密算法使用不同的密钥进行数据加密和解密,其中一个密钥是公开的,用于加密数据,另一个密钥是私有的,用于解密数据,如RSA算法。
对于存储加密技术的类型,根据存储设备的位置,可以将存储加密技术分为本地存储加密和云端存储加密。
本地存储加密是指在本地计算机或服务器上进行的存储加密,可以通过操作系统或文件系统级别的加密工具来实现。例如,Windows操作系统可以使用BitLocker工具进行全盘加密,macOS操作系统可以使用FileVault进行全盘加密。
云端存储加密是指在云端存储服务中使用的存储加密技术,如Amazon S3、Google Cloud Storage和Microsoft Azure等。云端存储加密可以提供数据加密、访问控制和身份认证等服务,保证数据的机密性和完整性。常见的云端存储加密技术包括基于密钥的加密、基于对象的加密、基于块的加密等。
举个例子,一个应用程序数据写入到存储设备中,而在这个过程中,有哪些点进行加密或解密呢?
在PApp,由应用程序自身进行加密。
在P1,位于主机内部,但应用程序之外(例如,文件系统加密,LUKS,VMcrypt等)。
在主机的网络适配器P2,即由主机的网络适配器(例如NIC,HBA等)或其设备驱动程序进行加密。
在存储的网络适配器P3,即由存储的网络适配器(例如NIC,HBA等)或其设备驱动程序进行加密。
在P4,位于存储解决方案的某个位置,在非易失性存储器的上游。
在P5,存储解决方案内的其他某个位置,在P4之后和在非易失性存储器的上游。
在PNVS,加密正在非易失性设备内发生(例如通过自加密SSD)。
这个图展示了数据在从应用程序到存储的整个路径中可能被加密和解密的不同点。这对于理解数据如何在不同的层面上进行保护以及如何管理和保护密钥非常重要。不同的设备、驱动程序、文件系统等都可以在这个过程中对数据进行加密,以保护数据的安全性和隐私性。
二、存储加密和密钥管理中注意事项?
存储加密和密钥管理中需要考虑以下几个问题:
数据加密的类型:根据需求和安全标准,需要考虑对动态数据和静态数据进行加密,其中动态数据是指在网络中传输的数据,而静态数据是指存储在介质上的数据。对于动态数据,需要考虑如何加密传输中的数据,以防止未经授权的访问和使用;而对于静态数据,需要考虑如何加密存储在介质上的数据,以防止未经授权的访问和使用。
密钥管理:密钥管理是加密技术中的重要部分,需要考虑如何生成、存储、备份和分发密钥。密钥的生成需要考虑如何确保密钥的安全性和唯一性;密钥的存储需要考虑如何确保密钥不被泄露和未授权访问;密钥的备份需要考虑如何确保密钥在丢失或损坏后能够得到恢复;密钥的分发需要考虑如何确保密钥能够安全地送达需要的人员手中。
数据安全:需要考虑如何保证数据的安全性。这包括使用先进的加密算法和协议,以确保数据的机密性、完整性和可用性。同时,也需要考虑如何防止数据的泄漏和未授权访问,尤其是在数据传输和存储的过程中。
数据备份和恢复:需要考虑如何备份和恢复数据,以及如何保证备份数据的安全性。备份数据也需要进行加密处理,以防止未经授权的访问和使用。同时,还需要考虑如何恢复加密数据,以及在恢复过程中如何确保数据的完整性和安全性。
性能和兼容性:需要考虑加密技术对系统性能的影响,以及如何确保加密技术与其他系统的兼容性。加密技术会增加系统的复杂性和计算量,从而降低系统的性能。因此,需要在保证数据安全的前提下,尽可能地减少对系统性能的影响。同时,还需要考虑如何与其他系统进行兼容,例如与其他存储设备、操作系统、应用程序等进行兼容。
法规和合规性:需要考虑当地的法律法规和合规性要求,以确保加密技术的合规性和合法性。这包括了解当地的数据保护法规、网络安全法规、隐私法规等,以确保加密技术的合规性和合法性。
三、存储加密技术在未来发展趋势?
加密技术在未来的发展趋势可能包括以下几个方面:
后量子密码(PQC):随着量子计算能力的提升,基于传统数学难题的加密技术可能会被攻破。因此,后量子密码或将成为未来的主流加密技术,它主要利用量子力学特性来保护信息。
多密钥加密:随着量子计算的发展,一种新的多密钥加密技术可能受到更多关注。在这种技术中,信息的接收方和发送方都使用多个密钥来进行加密和解密操作,从而提高加密的安全性。
零知识证明:这种技术可以让信息发送方在不透露任何有用信息的情况下,向信息接收方证明自己拥有某个秘密或证书。这种技术在未来可能会被广泛应用在身份认证和数据完整性校验等方面。
同态加密:同态加密是一种可以在不暴露明文数据的情况下进行计算的方法。它可以在不降低加密数据的安全性的情况下,对加密数据进行计算,从而在很多场景下,可以保护原始数据的安全性。
属性基密码:这种加密技术使用属性来定义加密和解密操作,而不是使用传统的密钥。这种加密方式可以更好地满足未来物联网和云计算等应用的需求,特别是在分布式和去中心化的场景下。
密码学与人工智能的结合:随着人工智能技术的不断发展,将密码学与人工智能相结合,可能成为未来密码学的一个重要方向。例如,可以使用人工智能来检测和防御针对密码学的攻击,同时也可以使用密码学来保护人工智能算法的鲁棒性和隐私性。
更高效的密码算法:对于大数据和物联网等应用,需要更加高效的密码算法,以满足其数据安全和处理效率的需求。例如,在区块链技术中,使用了一些高效的密码算法,如椭圆曲线数字签名算法(ECDSA)和Schnorr签名算法等。这些算法不仅提供了高度的安全性,而且相对于其他密码算法来说,具有更高效的性能。
总的来说,随着科技的发展,未来的加密技术可能会更加复杂和多样化。我们需要不断探索和创新,以应对不断出现的新的安全挑战。
注:本文转载自
