目前的废弃磁盘多以人工处理，也因此难免有所疏失。所以，许多数据中心现在都寻求专业的报废服务。但不论如何，搁置待处理的磁盘会产生数据流失的风险，而磁盘报废的过程也同样危险。数据中心会不停的淘汰磁盘，但只要任何一个磁盘废弃失当，就会使公司花费数百万美元来弥补数据暴露的损失。

自动加密磁盘的好处在于，自磁盘离开数据中心的那一刻起，就无需担心任何人为疏失。就算磁盘真的处置不当，其他人也无法侵犯其内涵的数据，管理人员可以完全放心。

在Seagate公司致力于磁盘加密之前，美国国家安全局（NSA）早在数年前就开始分析数据安全的问题，并确认硬盘是执行加密的最佳地点。因此，NSA在大会上公开声明支持磁盘加密。

然而，由于害怕解密密钥的遗失，数据中心管理人员并不偏好使用硬盘加密技术。因为就算他们使用密钥管理系统进行磁盘加密的经验丰富，并深信密钥遗失的情况可以避免，但考虑复杂度、兼容性、性能及成本等因素，管理人员对硬盘加密技仍然敬而远之。接下来，本文将探讨Seagate Secure的自动加密硬盘技术如何解决上述问题。

自动加密硬盘技术架构

《图一 自动加密硬盘技术的组成架构》

一个配有自动加密硬盘的数据中心，不仅提供了储存、管理与验证的密钥认证系统，还包含能传递密钥认证给其对应磁盘的储存系统。目前，Seagate、IBM与LSI正通力合作，发挥各自的技术优势，共同推出全套的自动加密硬盘解决方案。

自动加密硬盘技术由三个组件组成(图一)，可执行全磁盘加密。当执行写入时，数据在写入磁盘前，便会先使用嵌入磁盘内的加密密钥进行加密。执行读取时，磁盘上加密过的数据在退出磁盘前将被解密，图一中的黑线即代表机密数据。在解锁进行存取之前，磁盘将要求从外部的储存系统获得密钥认证。

除了传统的功能外，储存系统还定义了安全编组，以便从密钥管理处获取密钥认证，并将该密钥传递给正确的磁盘。图一中的黄线则描述了此一操作流程。加密过程由储存系统执行，不影响主机、操作系统、数据库及应用的运作。一旦完成认证，加密作业便与储存系统无关，储存系统可以正常执行其传统功能。而储存系统经过优化后，便可解密数据以进行数据压缩与重复数据的删除动作。

任何加密解决方案都会衍生出新的密钥管理需求，包括软件或硬件形式的密钥储存。而密钥管理的任务是建立、分配与管理跨企业领域相关的密钥认证与存取。良好的密钥管理应符合企业既有的安全策略，这样密钥管理服务及密钥本身才可有效避免未经授权的存取。而且，高效的密钥管理系统还应包括备份、同步性、生命周期管理、审计及长期保留等功能。充分运用企业现有的高可用性及灾难恢复解决方案，便可大幅简化密钥管理系统的部署工作。

IBM的Tivoli Key Lifecycle Manager管理系统（以前称为 Encryption Key Manager）是一款以Java语言撰写的软件程序，可以形成、保护、储存并维护用于IBM自动加密磁带磁盘的密钥认证，可在z/OS、i5/OS、AIX、Linux、HP-UX、Sun Solaris与Windows等不同操作系统上运作，而且还可作为一种共享资源，部署在企业内多个位置，以确保该应用程序的高度可用性。凭借其平台中立性，以及能够充分运用组织内既有企业服务器平台安全性的能力，IBM Tivoli Key Lifecycle Manager提供了一种简单且高效的方法，以管理企业内部不断激增的密钥数量。

上述技术不仅符合业界标准，同时也是兼容性解决方案的一部分。信赖运算组织 (TCG) 储存工作小组针对自动加密磁盘开发了一款安全通讯协议。在T10与T13中的支持传输命令获得认可，而IEEE 1619.3正在开发标准的密钥认证管理协议。所有硬盘厂商与主要的储存厂商都已加入信赖运算组织，而业界领先的储存系统厂商与主要管理厂商则是加入IEEE 1619.3。

最终，此项技术将应用在整个数据中心(图二)。自动加密磁盘可能位于数据中心、各分支机构与小型企业的SAN、NAS与服务器磁盘阵列上。而统一的密钥管理服务，将满足所有储存形式及其他安全应用的密钥管理需求。

图二中绿色背景强调目前经过验证的可用技术。以IBM用于磁带加密的密钥管理为例，该密钥管理系统已在TS1120加密磁带磁盘上运行了一年多，最近更被进一步延伸至LTO4 磁带磁盘的加密支持上。Seagate全磁盘加密（FDE）硬盘现在已被应用在笔记本计算机上，日前更推出应用于桌面计算机及USB的版本。

接下来，我们将更深入地探讨适用于企业磁盘的FDE技术。

《图二 密钥管理系统的流程图示》

硬盘的认证与加密流程

要加密硬盘在无密钥副本的情况下进行比对解锁，似乎是强人所难。但若非如此，任何能在硬盘身上找出密钥副本的黑客，都可以轻松地存取数据。事实上，加密硬盘是有可能在不持有密钥的情况下，完成安全守护的重责大任。我们可透过以下简单的解锁流程来说明这一切。

所谓的解锁过程，是允许用户启动加密硬盘的一个程序。硬盘会要求用户提出凭据，来证明该存取是经过授权的。以下是加密磁盘的验证过程(图三)：

认证

解开加密密钥

密钥加密与解密

《图三 加密磁盘的验证过程》

系统设置

透过自动加密磁盘，加密密钥与验证密钥便可组合使用，以实现更高层次的信息安全目标。此系统的设置非常简单，每个磁盘都会随机产生一个默认的加密密钥，用户可以变更这组默认密码来降低被破解的风险，此举同样可避免排山倒海而来的黑客攻击。

当用户获得该磁盘时，默认的加密密钥是呈现开放模式，直到导入了认证密钥。该磁盘将持续针对写入或读取的所有数据进行加密与解密。但是，若未建立认证密钥，任何人都可以读写磁盘中的数据。

为了将磁盘置于安全状态，用户需创建密码或认证密钥。用户可透过输入磁盘外部卷标上的SID（所有权证明）来建立密码，并设置认证密钥或密码。使用此密码或认证密钥能够将密钥加密，使磁盘处于安全状态。一旦磁盘断电，就会将其锁定，下次启动时便会要求进行验证才能被解锁。

所有权异动

此技术还大幅简化了磁盘的用途变更与弃置程序。若用户希望改变磁盘的用途，例如将磁盘从安全状态改为非安全状态，使他人可存取该磁盘，则可执行密钥删除动作，以替换密钥。密钥删除后，已写入磁盘的数据便无法读取，而磁盘便回到出厂时的不安全状态。

如果确信磁盘遗失或被盗，则原用户还可删除储存系统中认证密钥的所有副本，以确保安全。

安全性

磁盘离开数据中心后，随时有落入不当之人手中的危险。

图四说明了意图攻击数据中心的人，可能透过该磁盘获得的信息。他们可能认为，由于加密是在磁盘内执行的，因此认证密钥的副本必然还留在磁盘上。然而，如上所述，认证密钥并未保留在磁盘中，该磁盘中仅保留了加密密钥。磁盘内完全没有密钥信息，只有用作密码的散列值。在设计磁盘时，Seagate假设攻击者可能对磁盘的设计及机密信息的位置了如指掌。但由于磁盘上没有解密的任何线索，因此就算了解磁盘设计与结构的复杂细节，对黑客来说也是无济于事。同样的，黑客就算破坏了某个磁盘，也不会有利于攻击其他磁盘。

《图四 单独磁盘内已无「认证密钥」之数据 》

密码文本的暴露助长了攻击的动机。举例来说，若数据系统采用广为人知的架构，那黑客便可容易地攻击加密信息。然而，由于自动加密磁盘不会泄露自身的密码文本，因此能够有效地遏止这类攻击。而且，在认证失败数次后，磁盘就会自行关闭。磁盘具有硬件防护，攻击者无法将已修改的硬件插入磁盘中。

不过，自动加密磁盘无法避免来自数据中心内部的威胁。例如，如果攻击者获得了存取服务器的权限，且服务器可以存取未锁定的磁盘，则攻击者就能读取来自这些磁盘的信息。此项加密技术不能代替数据中心的权限管理，它只是这些控制功能的辅助技术。

管理功能

由于加密密钥不会离开磁盘，因此大幅增加了管理的便利性。用户将不再需要追踪或管理加密密钥。由于磁盘上多个位置拥有加密的密钥副本，所以数据中心管理人员也不需要透过委托第三方保存加密密钥的方式，来保持数据的可恢复性。但若由于磁盘故障，导致磁盘遗失了所有的副本，那么将会完全无法读取磁盘。加密密钥会随着数据的备存自动增加，而每次将数据复制到另一个自动加密磁盘上时，该磁盘都会有自己的一套加密密钥。由于数据中心管理人员不必将加密密钥交给第三方保存，因此该密钥在磁盘内也将一直处于加密状态。

认证与加密密钥的分开保存，为用户带来了极大的管理优势。由于加密密钥本身是加密的，且没有离开过磁盘，因此数据中心管理人员不必定期修改加密密钥。这意味着不须占用大量资源，对数据进行解密与重新加密。而认证密钥亦可随时更改，不需要重新加密。若储存管理人员有所异动，也可在不影响加密数据的情况下，调整存取储存的权限。

如果所有者在保固期限内将磁盘退还制造商，则可透过执行密钥认证删除的动作，让制造商在不暴露数据的情况下分析磁盘。但若没有此一加密机制，许多人就会因安全考虑而放弃送修硬盘，进而妨碍产品发展与改良的机会。

要将嵌入不同加密算法的磁盘添加到现有数组中，其实非常简单。因为加密算法与系统无关，数据中心可在同一数组中采用各种不同的加密算法。而此系统也可包容采用不同新旧加密技术的磁盘，而不必配合新磁盘进行更改。

加密运算效能

自动加密硬盘采用了以硬件为基础的加密技术，而该加密引擎内建于控制器 ASIC中，磁盘上的每个链接埠都有一个专门的加密引擎。该加密引擎可兼容于每个磁盘链接埠所支持的最高传输速率。加密不但不会使系统运行速度变慢，甚至具有可自动扩展的优点。随着外接磁盘越来越多，加密能力也会相对提高。数据中心在增加磁盘或磁盘阵列时，无需考虑加密运算的负担。此外，由于数据中心管理人员可在不降低性能的情况下，加密所需的所有数据，因此极少需要进行数据分类。如此一来，就简化了在数据中心内中规划与管理加密的流程。

总结

此外，由于数据中心管理人员可在不降低性能的情况下，加密所需的所有数据，因此极少需要进行数据分类。如此一来，就简化了在数据中心内中规划与管理加密的流程。

数据中心管理人员有充分的动机加密静态数据。此项最新技术不仅能够解决管理人员的上述问题，而且还能化解加密静态数据时的种种障碍。原因很简单，因为当用户从系统中移除磁盘时，里面的数据绝对安全。磁盘可能被废弃，但数据却固若金汤。加密密钥不离开磁盘的设计，可以减缓遗失认证密钥及无法解密的忧心。从现在开始，不必为了恢复数据而追踪或管理加密密钥。而在灾难恢复中心，则可对密钥安全地进行备份、复制与拷贝。此外，自动加密硬盘还可解决复杂度、兼容性、性能与成本等问题。该技术采用业界标准规格设计，旨在实现最佳的可管理性与互操作性，而所有主力硬盘制造商均参与标准制定的过程。

硬盘产业的发展历史，证明了标准的形成有助于促进销量与竞争，而竞争又会促使成本的降低。同时，规模经济可确保ASIC中的逻辑零组件继续维持低价。此项技术针对标准储存产品而设计，并可依循产品升级规划。而该技术保留了对储存系统中的数据，进行压缩与重复数据删除等功能。由于加密密钥位于磁盘中，且可简易安全地被删除，因此透过改变磁盘用途，或归还磁盘以进行维修、保固或终止租约，用户更能保持磁盘硬件的价值。自动加密磁盘大幅简化了磁盘的退役程序，并降低退役与资安的成本。加密程序对一般储存管理、操作系统、应用程序、数据库用户与最终用户完全透明。

加密效能随硬盘数量自动呈线性扩展，且因为所有数据可在不降低性能的情况下加密，因此几乎不需要数据分类。