目前已經(jīng)有多家廠商致力于存儲(chǔ)加密標(biāo)準(zhǔn),希望讓存儲(chǔ)安全工具更容易和多種存儲(chǔ)架構(gòu)一同工作���。這些廠商把大部分精力都投入在存儲(chǔ)安全之上,并推出了多款支持存儲(chǔ)加密功能的存儲(chǔ)系統(tǒng)�,包括EMC上周也開(kāi)始通過(guò)多種安全手段來(lái)保護(hù)存儲(chǔ)于其磁盤陣列上的數(shù)據(jù)的安全性。除了廠商不遺余力的推廣數(shù)據(jù)安全的各項(xiàng)保護(hù)措施��,還有一些標(biāo)準(zhǔn)組織也參與到這一領(lǐng)域����。
盡管一些因?yàn)榉欠ㄈ肭趾蛿?shù)據(jù)泄漏而造成損失的報(bào)道不斷出現(xiàn)在報(bào)紙的醒目位置����,但最終用戶群體卻在很大程度上對(duì)存儲(chǔ)加密以及存儲(chǔ)加密的標(biāo)準(zhǔn)一無(wú)所知�����,或者根本就不感興趣���。隱藏在背后的原因并不難看穿?���!哆_(dá)芬奇密碼》中的主角羅伯特 蘭登因探索深?yuàn)W的宗教符號(hào)學(xué)而出名,但若是讓他來(lái)破譯存儲(chǔ)安全標(biāo)準(zhǔn)的密電碼也是強(qiáng)人所難的一件事�。這些枯燥的代碼實(shí)在太難以理解了。
所幸的是����,用戶并不需要了解存儲(chǔ)加密復(fù)雜代碼的組成、編寫等等�����,用戶需要知道的是,目前存儲(chǔ)加密都有哪些組織在推進(jìn)�,有哪些廠商在支持,現(xiàn)在的進(jìn)展如何����。
龐大復(fù)雜的存儲(chǔ)加密家族
目前有四個(gè)獨(dú)立的機(jī)構(gòu)正致力于這方面的工作:
可信賴計(jì)算組織(TCG),率先開(kāi)始對(duì)可信賴存儲(chǔ)的研究�,可信賴計(jì)算組織的工作重點(diǎn)是為專用的存儲(chǔ)系統(tǒng)上的安全服務(wù)制定標(biāo)準(zhǔn)。
美國(guó)電氣及電子工程師學(xué)會(huì)(IEEE)的計(jì)算機(jī)學(xué)會(huì)是發(fā)起制定安全標(biāo)準(zhǔn)的組織����。去年12月,一項(xiàng)被認(rèn)可的標(biāo)準(zhǔn)出臺(tái),這就是IEEE 1667—-臨時(shí)存儲(chǔ)設(shè)備與電腦主機(jī)連接鑒別標(biāo)準(zhǔn)協(xié)議�。這一標(biāo)準(zhǔn)影響了成千上百萬(wàn)的手機(jī),iPod��,掌上電腦�,mp3播放器和許多其他臨時(shí)存儲(chǔ)設(shè)備。另外��,IEEE還有一個(gè)關(guān)于加密和密鑰管理的P1619標(biāo)準(zhǔn)。
美國(guó)國(guó)家標(biāo)準(zhǔn)學(xué)會(huì)(ANSI)有自己的SCSI存儲(chǔ)接口技術(shù)委員會(huì)(T10)�。T10在存儲(chǔ)數(shù)據(jù)安全方面的第一個(gè)成就是在2004年發(fā)布了基于對(duì)象存儲(chǔ)設(shè)備(OSD)的標(biāo)準(zhǔn)。正在開(kāi)發(fā)過(guò)程中的是緊隨其后的OSD-2����。T10的另一成就提出是SCSI流指令-3(SSC-3)標(biāo)準(zhǔn)的草案。這個(gè)標(biāo)準(zhǔn)增加了傳輸過(guò)程中在磁帶上加密數(shù)據(jù)的功能��。
還有就是全球網(wǎng)絡(luò)存儲(chǔ)工業(yè)協(xié)會(huì)(SNIA)�,建立了存儲(chǔ)安全工業(yè)論壇(SSIF),已經(jīng)在存儲(chǔ)安全方面小有成就����。
標(biāo)準(zhǔn)的推進(jìn)與演化
盡管似乎這四個(gè)組織同時(shí)擁擠在一個(gè)狹小的領(lǐng)域�,但目前看來(lái)并沒(méi)有什么小集團(tuán)之間永無(wú)休止的斗爭(zhēng),幾個(gè)組織相處得還算融洽���。
這些不同的組織對(duì)基本安全組成中不同的部分做了標(biāo)準(zhǔn)化����,例如加密算法和密鑰管理的生命周期的方面�����。舉例而言�����,可信賴計(jì)算組織有一個(gè)子小組負(fù)責(zé)滿足IEEE P1619存儲(chǔ)規(guī)格的存儲(chǔ)設(shè)備的密鑰管理�����。而且還有成員參加了全球網(wǎng)絡(luò)工業(yè)協(xié)會(huì)的存儲(chǔ)安全工業(yè)論壇��。
IEEE的P1619則是現(xiàn)在存儲(chǔ)安全工作組開(kāi)發(fā)的一系列標(biāo)準(zhǔn)中的一個(gè)��。另外還有P1619.1�����,支持變長(zhǎng)認(rèn)證加密的存儲(chǔ)設(shè)備的標(biāo)準(zhǔn)�����;P1619.2,用于共享存儲(chǔ)介質(zhì)的大塊加密標(biāo)準(zhǔn)�����,還有一個(gè)即將完成的標(biāo)準(zhǔn)����,暫時(shí)定名為P1619.3,對(duì)存儲(chǔ)數(shù)據(jù)進(jìn)行加密保護(hù)的密鑰管理架構(gòu)的標(biāo)準(zhǔn)����。關(guān)于這些標(biāo)準(zhǔn)的更多信息,可以在http://ieee-p1619.wetpaint.com/找到�。P1619預(yù)計(jì)將緊隨P1619.1之后于今年7月份最終發(fā)布。硬盤廠商們基本上使用的是相對(duì)較弱的加密模式�。P1619是公認(rèn)的唯一可用于加密政府最高機(jī)密信息的標(biāo)準(zhǔn)。其他標(biāo)準(zhǔn)組織很希望使用P1619標(biāo)準(zhǔn)�����,而不是再制定一份相同的標(biāo)準(zhǔn)來(lái)執(zhí)行。
其他一些存儲(chǔ)安全工作組的標(biāo)準(zhǔn)����,例如P1619.3的情況就沒(méi)有這么清晰了�����。可信賴計(jì)算組織有一個(gè)名叫密鑰管理服務(wù)子小組(KMSS)和P1619.3標(biāo)準(zhǔn)涵蓋的范圍有部分重疊�����,即使這樣��,兩個(gè)組織將緊密聯(lián)系和溝通���,共同來(lái)縮小這些重疊的部分��。
與此同時(shí)����,美國(guó)國(guó)家標(biāo)準(zhǔn)學(xué)會(huì)的T10關(guān)注的SCSI接口標(biāo)準(zhǔn)����,主要是針對(duì)磁帶設(shè)備的。美國(guó)國(guó)家標(biāo)準(zhǔn)學(xué)會(huì)的T10主要控制安全清除和只包括足夠安全架構(gòu)來(lái)支持加密密鑰記入支持本地加密的磁帶設(shè)備����。該學(xué)會(huì)的部分職責(zé)是在國(guó)際標(biāo)準(zhǔn)組織中代表美國(guó),因此���,美國(guó)國(guó)家標(biāo)準(zhǔn)學(xué)會(huì)可以從美國(guó)的其他組織接收標(biāo)準(zhǔn)然后提交給國(guó)際標(biāo)準(zhǔn)組織�。這樣一來(lái)�����,該組織和可信賴計(jì)算組織�、IEEE 1667,IEEE 1669以及全球網(wǎng)絡(luò)存儲(chǔ)工業(yè)協(xié)會(huì)都有頻繁的聯(lián)系����。
這些標(biāo)準(zhǔn)在存儲(chǔ)廠商中的推廣也較為樂(lè)觀,他們十有八九都認(rèn)可了這些標(biāo)準(zhǔn)��。例如NetApp的Becru部門���,就參加了數(shù)個(gè)這種標(biāo)準(zhǔn)委員會(huì)���,共同創(chuàng)建了P1619,捐助美國(guó)國(guó)家標(biāo)準(zhǔn)學(xué)會(huì)T10研究增強(qiáng)的密鑰安全和認(rèn)證��,還是可信賴計(jì)算組織的捐助者�����。你還會(huì)發(fā)現(xiàn)EMC���,Quantum和其他存儲(chǔ)大鱷們除了全球網(wǎng)絡(luò)存儲(chǔ)工業(yè)協(xié)會(huì)安全組織以外���,也參加了多個(gè)類似的委員會(huì)。
永不停休的博弈
魔高一尺�����,道高一丈����。加密與反加密之間的博弈將永遠(yuǎn)延續(xù)下去。目前所有這一切是否能保證存儲(chǔ)的數(shù)字堡壘無(wú)法被攻破�?或許�,最終我們將是勝利的一方�。但用戶需要耐心等待這些標(biāo)準(zhǔn)走過(guò)從提出到通過(guò)的漫漫長(zhǎng)路。
根據(jù)可靠消息���,到今年年末����,磁帶設(shè)備將開(kāi)始支持P1619.1加密�。期待IBM、HP�、Sun Microsystems和Quantum能發(fā)布這類的產(chǎn)品。大概在同一時(shí)間��,將會(huì)出現(xiàn)兼容P1619的硬盤����。不過(guò),P1619.2最早將在2008年中期才能對(duì)存儲(chǔ)市場(chǎng)造成影響��,而P1619.3很可能在2009年初才會(huì)變成現(xiàn)實(shí)�。
可信賴計(jì)算組織的標(biāo)準(zhǔn)說(shuō)明應(yīng)該在今年春天出臺(tái)。由于目前所有的硬盤�����、閃存和光纖硬盤廠商都致力于此,應(yīng)該用不了一年時(shí)間����,大部分的存儲(chǔ)廠商就會(huì)提供或發(fā)布相關(guān)的兼容產(chǎn)品�。目前已經(jīng)有個(gè)別廠商發(fā)表了這方面的新聞稿�。
T10的OSD-2將會(huì)何去何從?該組織承認(rèn)這方面的工作已經(jīng)落后于制定好的時(shí)間表�,本應(yīng)該在去年秋季面世的標(biāo)準(zhǔn),現(xiàn)在應(yīng)該馬上完成�。美國(guó)國(guó)家標(biāo)準(zhǔn)學(xué)會(huì)應(yīng)該在2007年11月為SSC-3標(biāo)準(zhǔn)的通過(guò)做好各項(xiàng)準(zhǔn)備工作��,2009年11月則是SPC-4標(biāo)準(zhǔn)�����。
用戶對(duì)安全存儲(chǔ)的需求是不可避免的���,但這一天到底何時(shí)到來(lái)卻無(wú)法預(yù)測(cè)����。目前仍然有很多標(biāo)準(zhǔn)和技術(shù)還未得到廣泛采納,例如對(duì)象存儲(chǔ)����,因此這些標(biāo)準(zhǔn)和技術(shù)還不能再存儲(chǔ)安全方面發(fā)揮其應(yīng)有的作用和影響���。
