目前已經(jīng)有多家廠商致力于存儲加密標(biāo)準(zhǔn),希望讓存儲安全工具更容易和多種存儲架構(gòu)一同工作���。這些廠商把大部分精力都投入在存儲安全之上��,并推出了多款支持存儲加密功能的存儲系統(tǒng)�,包括EMC上周也開始通過多種安全手段來保護(hù)存儲于其磁盤陣列上的數(shù)據(jù)的安全性�。除了廠商不遺余力的推廣數(shù)據(jù)安全的各項(xiàng)保護(hù)措施,還有一些標(biāo)準(zhǔn)組織也參與到這一領(lǐng)域�����。
盡管一些因?yàn)榉欠ㄈ肭趾蛿?shù)據(jù)泄漏而造成損失的報(bào)道不斷出現(xiàn)在報(bào)紙的醒目位置���,但最終用戶群體卻在很大程度上對存儲加密以及存儲加密的標(biāo)準(zhǔn)一無所知�,或者根本就不感興趣��。隱藏在背后的原因并不難看穿����?�!哆_(dá)芬奇密碼》中的主角羅伯特 蘭登因探索深奧的宗教符號學(xué)而出名���,但若是讓他來破譯存儲安全標(biāo)準(zhǔn)的密電碼也是強(qiáng)人所難的一件事。這些枯燥的代碼實(shí)在太難以理解了�。
所幸的是,用戶并不需要了解存儲加密復(fù)雜代碼的組成���、編寫等等����,用戶需要知道的是�����,目前存儲加密都有哪些組織在推進(jìn)�����,有哪些廠商在支持���,現(xiàn)在的進(jìn)展如何�����。
龐大復(fù)雜的存儲加密家族
目前有四個(gè)獨(dú)立的機(jī)構(gòu)正致力于這方面的工作:
可信賴計(jì)算組織(TCG)���,率先開始對可信賴存儲的研究,可信賴計(jì)算組織的工作重點(diǎn)是為專用的存儲系統(tǒng)上的安全服務(wù)制定標(biāo)準(zhǔn)��。
美國電氣及電子工程師學(xué)會(IEEE)的計(jì)算機(jī)學(xué)會是發(fā)起制定安全標(biāo)準(zhǔn)的組織�����。去年12月����,一項(xiàng)被認(rèn)可的標(biāo)準(zhǔn)出臺,這就是IEEE 1667—-臨時(shí)存儲設(shè)備與電腦主機(jī)連接鑒別標(biāo)準(zhǔn)協(xié)議�。這一標(biāo)準(zhǔn)影響了成千上百萬的手機(jī),iPod��,掌上電腦��,mp3播放器和許多其他臨時(shí)存儲設(shè)備�����。另外,IEEE還有一個(gè)關(guān)于加密和密鑰管理的P1619標(biāo)準(zhǔn)��。
美國國家標(biāo)準(zhǔn)學(xué)會(ANSI)有自己的SCSI存儲接口技術(shù)委員會(T10)��。T10在存儲數(shù)據(jù)安全方面的第一個(gè)成就是在2004年發(fā)布了基于對象存儲設(shè)備(OSD)的標(biāo)準(zhǔn)�。正在開發(fā)過程中的是緊隨其后的OSD-2。T10的另一成就提出是SCSI流指令-3(SSC-3)標(biāo)準(zhǔn)的草案��。這個(gè)標(biāo)準(zhǔn)增加了傳輸過程中在磁帶上加密數(shù)據(jù)的功能�。
還有就是全球網(wǎng)絡(luò)存儲工業(yè)協(xié)會(SNIA),建立了存儲安全工業(yè)論壇(SSIF)�����,已經(jīng)在存儲安全方面小有成就�。
標(biāo)準(zhǔn)的推進(jìn)與演化
盡管似乎這四個(gè)組織同時(shí)擁擠在一個(gè)狹小的領(lǐng)域,但目前看來并沒有什么小集團(tuán)之間永無休止的斗爭��,幾個(gè)組織相處得還算融洽����。
這些不同的組織對基本安全組成中不同的部分做了標(biāo)準(zhǔn)化,例如加密算法和密鑰管理的生命周期的方面���。舉例而言���,可信賴計(jì)算組織有一個(gè)子小組負(fù)責(zé)滿足IEEE P1619存儲規(guī)格的存儲設(shè)備的密鑰管理。而且還有成員參加了全球網(wǎng)絡(luò)工業(yè)協(xié)會的存儲安全工業(yè)論壇�。
IEEE的P1619則是現(xiàn)在存儲安全工作組開發(fā)的一系列標(biāo)準(zhǔn)中的一個(gè)。另外還有P1619.1����,支持變長認(rèn)證加密的存儲設(shè)備的標(biāo)準(zhǔn);P1619.2�,用于共享存儲介質(zhì)的大塊加密標(biāo)準(zhǔn),還有一個(gè)即將完成的標(biāo)準(zhǔn)�,暫時(shí)定名為P1619.3,對存儲數(shù)據(jù)進(jìn)行加密保護(hù)的密鑰管理架構(gòu)的標(biāo)準(zhǔn)��。關(guān)于這些標(biāo)準(zhǔn)的更多信息��,可以在http://ieee-p1619.wetpaint.com/找到���。P1619預(yù)計(jì)將緊隨P1619.1之后于今年7月份最終發(fā)布�。硬盤廠商們基本上使用的是相對較弱的加密模式����。P1619是公認(rèn)的唯一可用于加密政府最高機(jī)密信息的標(biāo)準(zhǔn)。其他標(biāo)準(zhǔn)組織很希望使用P1619標(biāo)準(zhǔn)����,而不是再制定一份相同的標(biāo)準(zhǔn)來執(zhí)行���。
其他一些存儲安全工作組的標(biāo)準(zhǔn),例如P1619.3的情況就沒有這么清晰了�。可信賴計(jì)算組織有一個(gè)名叫密鑰管理服務(wù)子小組(KMSS)和P1619.3標(biāo)準(zhǔn)涵蓋的范圍有部分重疊��,即使這樣����,兩個(gè)組織將緊密聯(lián)系和溝通,共同來縮小這些重疊的部分�����。
與此同時(shí)�����,美國國家標(biāo)準(zhǔn)學(xué)會的T10關(guān)注的SCSI接口標(biāo)準(zhǔn)�����,主要是針對磁帶設(shè)備的。美國國家標(biāo)準(zhǔn)學(xué)會的T10主要控制安全清除和只包括足夠安全架構(gòu)來支持加密密鑰記入支持本地加密的磁帶設(shè)備�����。該學(xué)會的部分職責(zé)是在國際標(biāo)準(zhǔn)組織中代表美國�����,因此�,美國國家標(biāo)準(zhǔn)學(xué)會可以從美國的其他組織接收標(biāo)準(zhǔn)然后提交給國際標(biāo)準(zhǔn)組織�。這樣一來,該組織和可信賴計(jì)算組織����、IEEE 1667,IEEE 1669以及全球網(wǎng)絡(luò)存儲工業(yè)協(xié)會都有頻繁的聯(lián)系�。
這些標(biāo)準(zhǔn)在存儲廠商中的推廣也較為樂觀,他們十有八九都認(rèn)可了這些標(biāo)準(zhǔn)���。例如NetApp的Becru部門�,就參加了數(shù)個(gè)這種標(biāo)準(zhǔn)委員會�,共同創(chuàng)建了P1619,捐助美國國家標(biāo)準(zhǔn)學(xué)會T10研究增強(qiáng)的密鑰安全和認(rèn)證�����,還是可信賴計(jì)算組織的捐助者。你還會發(fā)現(xiàn)EMC����,Quantum和其他存儲大鱷們除了全球網(wǎng)絡(luò)存儲工業(yè)協(xié)會安全組織以外,也參加了多個(gè)類似的委員會�����。
永不停休的博弈
魔高一尺�����,道高一丈���。加密與反加密之間的博弈將永遠(yuǎn)延續(xù)下去�。目前所有這一切是否能保證存儲的數(shù)字堡壘無法被攻破�?或許,最終我們將是勝利的一方�����。但用戶需要耐心等待這些標(biāo)準(zhǔn)走過從提出到通過的漫漫長路�。
根據(jù)可靠消息�,到今年年末�,磁帶設(shè)備將開始支持P1619.1加密。期待IBM�、HP、Sun Microsystems和Quantum能發(fā)布這類的產(chǎn)品����。大概在同一時(shí)間,將會出現(xiàn)兼容P1619的硬盤��。不過��,P1619.2最早將在2008年中期才能對存儲市場造成影響�����,而P1619.3很可能在2009年初才會變成現(xiàn)實(shí)���。
可信賴計(jì)算組織的標(biāo)準(zhǔn)說明應(yīng)該在今年春天出臺。由于目前所有的硬盤���、閃存和光纖硬盤廠商都致力于此��,應(yīng)該用不了一年時(shí)間����,大部分的存儲廠商就會提供或發(fā)布相關(guān)的兼容產(chǎn)品。目前已經(jīng)有個(gè)別廠商發(fā)表了這方面的新聞稿��。
T10的OSD-2將會何去何從�?該組織承認(rèn)這方面的工作已經(jīng)落后于制定好的時(shí)間表,本應(yīng)該在去年秋季面世的標(biāo)準(zhǔn)����,現(xiàn)在應(yīng)該馬上完成。美國國家標(biāo)準(zhǔn)學(xué)會應(yīng)該在2007年11月為SSC-3標(biāo)準(zhǔn)的通過做好各項(xiàng)準(zhǔn)備工作�����,2009年11月則是SPC-4標(biāo)準(zhǔn)���。
用戶對安全存儲的需求是不可避免的���,但這一天到底何時(shí)到來卻無法預(yù)測。目前仍然有很多標(biāo)準(zhǔn)和技術(shù)還未得到廣泛采納���,例如對象存儲���,因此這些標(biāo)準(zhǔn)和技術(shù)還不能再存儲安全方面發(fā)揮其應(yīng)有的作用和影響�。
