Chinaunix首页 | 论坛 | 博客
  • 博客访问: 512645
  • 博文数量: 294
  • 博客积分: 10010
  • 博客等级: 上将
  • 技术积分: 4260
  • 用 户 组: 普通用户
  • 注册时间: 2008-06-23 06:10
文章分类

全部博文(294)

文章存档

2011年(1)

2008年(293)

我的朋友

分类: 服务器与存储

2008-06-26 22:59:28

 外部硬盘驱动器是一种为许多电子产品扩展数字存储的简便易行的方法。因此,它们深受消费者青睐,在2005年与2010年间市场增长预期将超过263%1。一方面,外部驱动器非常有用,而另一方面,在主机设备之外存储数据还给用户、公司与政府机构带来了一系列问题。外部硬盘驱动器的便携性会产生安全风险,而且,规模不断增长的驱动器以及可将用户所有重要数据拷贝到外部硬盘驱动器上的备份程序还会使这种风险大大加剧。此外,当外部硬盘驱动器在消费电子产品领域开始流行时,它们的便携性也为制造商们带来了潜在的新问题,这些厂商不得不在为消费者提供可扩展的存储与内容提供商的需求之间进行平衡,那些提供商想实现一个确保收费服务内容按预期方式使用的数字版权管理方案。

      存储处理器的驱动器自动加锁机制使用访问控制方法来为基于硬盘驱动器的存储器提供内容安全。它使用一个隐藏完好的唯一密码来将驱动器锁定到存储处理器,该密码被烧入存储处理器,而如果不把驱动器放在特定主机上,那么驱动器将无法操作。在一个存储处理器上实现这种功能的主要优势就是它不需要用户干预。驱动器自动加锁为从消费者到公司与政府机构的广大用户,以及支持内部或者外部硬盘驱动器存储的众多设备,提供了很多益处。驱动器自动加锁也可以被希望增添收费服务内容额外保护的制造商用作整体内容保护策略的一部分。

      基于磁盘的存储器向新的方向扩展

      外部硬盘驱动器开始是作为增加存储或者从计算机备份数据的一种简便方法。对便携式电脑来说尤其如此,因为其内部扩展能力通常会受到限制。实际上,许多外部驱动器都带有按一下按钮就能操作的实用备份工具。最近,外部驱动器已经开始成为成熟的消费电子产品,为数字录像机与高清晰度电视/个人录像机扩展容量,并为视频、音乐与图片存储提供更大空间。甚至连电子游戏控制台也迅速流行开来;PlayStation®3配有一个内置式硬盘驱动器,而Xbox 360™则包括添加一块外部硬盘驱动器的选项。附加存储器允许用户直接将游戏、电影预告片以及其他收费服务内容下载到他们的游戏控制台上。

      外部硬盘驱动器的物理安全

      颇为讽刺的是,外部驱动器的那些令消费者着迷而且方便的众多功能选择,也使得它们成为被窃取的诱人目标。较弱的外部硬盘驱动器也给那些在外部驱动器上存储或者备份敏感数据的人们带来了物理安全问题。从家庭录像和照片,到敏感的商业文件以及政府职员的记录资料,这些数据的范围十分广泛。

      日益普及的外部驱动器系统备份带来了另外一个安全风险。系统备份在外部驱动器上创建了系统所有数据的一个拷贝。这种设备可以帮助用户避免由于系统或者驱动器故障而丢失数据,与此同时,由于外部驱动器没有安全机制,实际上,系统备份使得数据或者身份窃取变得更为容易。由于外部硬盘驱动器规模的提升,并用来收集更为全面而且是历史性的个人信息,窃取的后果也随之变得更加严重。

      在近期闹的沸沸扬扬的2006年5月退伍军人事务部数据窃取案件中,被窃物当中包括含有2650万现役与退役军人记录资料的一个便携式电脑与外部硬盘驱动器,这个案件明白无晰地凸显了未加保护的外部存储太过危险。

      在退伍军人事务部事件之后,美国众议院政府改革委员会要求各政府机构提供它们部门的数据窃取案件的详细信息。这次调查的一个主要结论就是“数据的物理安全”是最基本的问题。报告给该委员会的数据安全问题只有一小部分是由电脑黑客在线侵入计算机系统所引起的。而绝大多数的数据丢失则是来自便携式计算机、驱动器与磁盘的物理窃取,或者是来自员工对于数据的未授权使用。”3 [斜体字为添加

      消费电子产品制造商也应该关心保护内容安全的方法。在数字摄像机等消费电子产品中配置连接外部驱动器的端口的做法已经变得非常普遍。如果存储于那些驱动器上的不全是收费服务内容,这种情况则更甚之。这些内容受到版权保护,而且它在何时何地播放也受到限制。这种将驱动器锁定到一个特定机顶盒 (STB)或者数字摄像机的能力,在现有的加密方案之上为内容安全增加了另外一层保护。

      总之,外部硬盘驱动器相对较弱的物理安全意味着存储其上的数据是脆弱的,而且这些数据类型也使它们成为吸引人的目标。这个问题对重视自己内容的所有各方都有影响,从希望去保存它们的个人录像、照片、纳税申报单与银行帐户等私密信息的家庭,到希望去保护敏感的与秘密的数据的公司与政府部门等。消费电子产品制造商也对使用访问控制作为保护具有版权内容的整体策略的一部分来保护外部设备安全很感兴趣。这些是困扰行业的真正问题,而且,它们需要一个有助于通过提供访问控制级别的保护来保护一个外部驱动器的解决方案。来自Silicon Image公司的存储处理器上驱动器自动加锁就是满足这种需求的一种完整、自动而且易用的解决方案。

      推出驱动器自动加锁功能

      保护外部存储数据的物理安全主 要有三种方式。第一种方式是使用某种设备来防止驱动器被偷窃,比如使用一个金仕顿(Kensington)锁来从物理上保证驱动器在其位置上不被偷窃。第二种方式就是去加密数据流,或者是在主机传输之前加密,或者在某些情况下由硬盘驱动器自行加密。随后,用户必须提供正确的认证钥来解密数据。第三种方式是对驱动器实行控制访问。当与一个隐藏完好的密码结合使用时,访问控制是一种特别强的安全形式。与加密机制不同,访问控制方法在正确的密码被提供之前不允许进行数据传输。因此,如果没有密码,数据就不可能被复制和解密。驱动器自动加锁利用一个烧入存储处理器隐藏保护区的唯一128位密码,来达到这种安全级别。

      图1 驱动器加锁

      上述所有方法提供某些级别的保护,并且这些技术是相互补充,而不是相互竞争。同时协调使用这三种技术将为驱动器上存储的数据提供最大的安全。

      工作原理

      存储处理器上的驱动器自动加锁使用第三种方法,即访问控制,来锁定驱动器。所有现代消费硬盘驱动器的运行都是基于ATA标准的,它规定了存储设备如何连接到主机系统。这个标准包括了一个最大安全模式的定义,当这种模式被激活时,它将硬盘驱动器锁定直到接收到正确的密码为止。

      当一个ATA兼容驱动器被连接到具有驱动器自动加锁功能的存储处理器上,而且给预备写入的驱动器发送枚举命令时,可以使用一个唯一的128位密码激活最大安全模式,该密码在生产时被烧入存储处理器ROM。由于某些SteelVine存储处理器可以支持多个级别的驱动器(容量扩展),所以,指出这一点非常重要:连接到存储处理器的所有驱动器,包括层叠级驱动器,都是使用这一个密码来锁定的。

      一旦激活安全模式,在每次驱动器重启或者热插拔时,驱动器将自动锁定并在给出正确密码前不允许进行数据访问。因为在这种情况下,密码是存储于存储处理器内部的一个唯一串,所以只有存储处理器才能够解锁驱动器。如果将驱动器移到其他主机上,即便是另外一个配有支持驱动器自动加锁存储处理器的主机,驱动器仍将保持锁定,同时该数据也将不可访问。对于在第一次连接时驱动器加锁以及在它们重启时解锁驱动器的管理,无需任何用户干预便可自动完成。

      图2 驱动器加锁工作原理

      对于安全的益处

      访问控制方法对于安全的益处就是未经授权认证不会暴露任何数据。连接到存储处理器的驱动器被设定为上电或者模式改变时自动加锁,并仅在提供正确的密码时才能解锁。这样就可以防止数据流被截取以及在未连接到正确的存储处理器上被读取的任何可能性。

阅读(1928) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~