目前已經(jīng)有多家廠商致力于存儲加密標(biāo)準(zhǔn)����,希望讓存儲安全工具更容易和多種存儲架構(gòu)一同工作。這些廠商把大部分精力都投入在存儲安全之上����,并推出了多款支持存儲加密功能的存儲系統(tǒng),包括EMC上周也開始通過多種安全手段來保護(hù)存儲于其磁盤陣列上的數(shù)據(jù)的安全性���。除了廠商不遺余力的推廣數(shù)據(jù)安全的各項(xiàng)保護(hù)措施�,還有一些標(biāo)準(zhǔn)組織也參與到這一領(lǐng)域�����。
盡管一些因?yàn)榉欠ㄈ肭趾蛿?shù)據(jù)泄漏而造成損失的報道不斷出現(xiàn)在報紙的醒目位置���,但最終用戶群體卻在很大程度上對存儲加密以及存儲加密的標(biāo)準(zhǔn)一無所知,或者根本就不感興趣�。隱藏在背后的原因并不難看穿?!哆_(dá)芬奇密碼》中的主角羅伯特 蘭登因探索深奧的宗教符號學(xué)而出名,但若是讓他來破譯存儲安全標(biāo)準(zhǔn)的密電碼也是強(qiáng)人所難的一件事����。這些枯燥的代碼實(shí)在太難以理解了����。
所幸的是����,用戶并不需要了解存儲加密復(fù)雜代碼的組成����、編寫等等�����,用戶需要知道的是�,目前存儲加密都有哪些組織在推進(jìn)���,有哪些廠商在支持��,現(xiàn)在的進(jìn)展如何�。
龐大復(fù)雜的存儲加密家族
目前有四個獨(dú)立的機(jī)構(gòu)正致力于這方面的工作:
可信賴計(jì)算組織(TCG),率先開始對可信賴存儲的研究��,可信賴計(jì)算組織的工作重點(diǎn)是為專用的存儲系統(tǒng)上的安全服務(wù)制定標(biāo)準(zhǔn)。
美國電氣及電子工程師學(xué)會(IEEE)的計(jì)算機(jī)學(xué)會是發(fā)起制定安全標(biāo)準(zhǔn)的組織����。去年12月����,一項(xiàng)被認(rèn)可的標(biāo)準(zhǔn)出臺���,這就是IEEE 1667—-臨時存儲設(shè)備與電腦主機(jī)連接鑒別標(biāo)準(zhǔn)協(xié)議。這一標(biāo)準(zhǔn)影響了成千上百萬的手機(jī),iPod�����,掌上電腦,mp3播放器和許多其他臨時存儲設(shè)備�����。另外,IEEE還有一個關(guān)于加密和密鑰管理的P1619標(biāo)準(zhǔn)�����。
美國國家標(biāo)準(zhǔn)學(xué)會(ANSI)有自己的SCSI存儲接口技術(shù)委員會(T10)����。T10在存儲數(shù)據(jù)安全方面的第一個成就是在2004年發(fā)布了基于對象存儲設(shè)備(OSD)的標(biāo)準(zhǔn)。正在開發(fā)過程中的是緊隨其后的OSD-2�����。T10的另一成就提出是SCSI流指令-3(SSC-3)標(biāo)準(zhǔn)的草案�。這個標(biāo)準(zhǔn)增加了傳輸過程中在磁帶上加密數(shù)據(jù)的功能。
還有就是全球網(wǎng)絡(luò)存儲工業(yè)協(xié)會(SNIA)����,建立了存儲安全工業(yè)論壇(SSIF),已經(jīng)在存儲安全方面小有成就��。
標(biāo)準(zhǔn)的推進(jìn)與演化
盡管似乎這四個組織同時擁擠在一個狹小的領(lǐng)域��,但目前看來并沒有什么小集團(tuán)之間永無休止的斗爭��,幾個組織相處得還算融洽��。
這些不同的組織對基本安全組成中不同的部分做了標(biāo)準(zhǔn)化�,例如加密算法和密鑰管理的生命周期的方面。舉例而言�����,可信賴計(jì)算組織有一個子小組負(fù)責(zé)滿足IEEE P1619存儲規(guī)格的存儲設(shè)備的密鑰管理�����。而且還有成員參加了全球網(wǎng)絡(luò)工業(yè)協(xié)會的存儲安全工業(yè)論壇。
IEEE的P1619則是現(xiàn)在存儲安全工作組開發(fā)的一系列標(biāo)準(zhǔn)中的一個���。另外還有P1619.1�,支持變長認(rèn)證加密的存儲設(shè)備的標(biāo)準(zhǔn)��;P1619.2����,用于共享存儲介質(zhì)的大塊加密標(biāo)準(zhǔn),還有一個即將完成的標(biāo)準(zhǔn)��,暫時定名為P1619.3��,對存儲數(shù)據(jù)進(jìn)行加密保護(hù)的密鑰管理架構(gòu)的標(biāo)準(zhǔn)���。關(guān)于這些標(biāo)準(zhǔn)的更多信息����,可以在http://ieee-p1619.wetpaint.com/找到����。P1619預(yù)計(jì)將緊隨P1619.1之后于今年7月份最終發(fā)布��。硬盤廠商們基本上使用的是相對較弱的加密模式。P1619是公認(rèn)的唯一可用于加密政府最高機(jī)密信息的標(biāo)準(zhǔn)���。其他標(biāo)準(zhǔn)組織很希望使用P1619標(biāo)準(zhǔn)��,而不是再制定一份相同的標(biāo)準(zhǔn)來執(zhí)行��。
其他一些存儲安全工作組的標(biāo)準(zhǔn)���,例如P1619.3的情況就沒有這么清晰了?�?尚刨囉?jì)算組織有一個名叫密鑰管理服務(wù)子小組(KMSS)和P1619.3標(biāo)準(zhǔn)涵蓋的范圍有部分重疊����,即使這樣,兩個組織將緊密聯(lián)系和溝通����,共同來縮小這些重疊的部分。
與此同時�,美國國家標(biāo)準(zhǔn)學(xué)會的T10關(guān)注的SCSI接口標(biāo)準(zhǔn),主要是針對磁帶設(shè)備的���。美國國家標(biāo)準(zhǔn)學(xué)會的T10主要控制安全清除和只包括足夠安全架構(gòu)來支持加密密鑰記入支持本地加密的磁帶設(shè)備���。該學(xué)會的部分職責(zé)是在國際標(biāo)準(zhǔn)組織中代表美國�,因此����,美國國家標(biāo)準(zhǔn)學(xué)會可以從美國的其他組織接收標(biāo)準(zhǔn)然后提交給國際標(biāo)準(zhǔn)組織。這樣一來��,該組織和可信賴計(jì)算組織�����、IEEE 1667�,IEEE 1669以及全球網(wǎng)絡(luò)存儲工業(yè)協(xié)會都有頻繁的聯(lián)系。
這些標(biāo)準(zhǔn)在存儲廠商中的推廣也較為樂觀�����,他們十有八九都認(rèn)可了這些標(biāo)準(zhǔn)�。例如NetApp的Becru部門,就參加了數(shù)個這種標(biāo)準(zhǔn)委員會���,共同創(chuàng)建了P1619��,捐助美國國家標(biāo)準(zhǔn)學(xué)會T10研究增強(qiáng)的密鑰安全和認(rèn)證����,還是可信賴計(jì)算組織的捐助者�����。你還會發(fā)現(xiàn)EMC�����,Quantum和其他存儲大鱷們除了全球網(wǎng)絡(luò)存儲工業(yè)協(xié)會安全組織以外�����,也參加了多個類似的委員會�����。
永不停休的博弈
魔高一尺��,道高一丈�����。加密與反加密之間的博弈將永遠(yuǎn)延續(xù)下去。目前所有這一切是否能保證存儲的數(shù)字堡壘無法被攻破���?或許����,最終我們將是勝利的一方���。但用戶需要耐心等待這些標(biāo)準(zhǔn)走過從提出到通過的漫漫長路��。
根據(jù)可靠消息��,到今年年末�,磁帶設(shè)備將開始支持P1619.1加密����。期待IBM、HP�����、Sun Microsystems和Quantum能發(fā)布這類的產(chǎn)品��。大概在同一時間���,將會出現(xiàn)兼容P1619的硬盤����。不過,P1619.2最早將在2008年中期才能對存儲市場造成影響����,而P1619.3很可能在2009年初才會變成現(xiàn)實(shí)�。
可信賴計(jì)算組織的標(biāo)準(zhǔn)說明應(yīng)該在今年春天出臺。由于目前所有的硬盤�、閃存和光纖硬盤廠商都致力于此,應(yīng)該用不了一年時間���,大部分的存儲廠商就會提供或發(fā)布相關(guān)的兼容產(chǎn)品��。目前已經(jīng)有個別廠商發(fā)表了這方面的新聞稿���。
T10的OSD-2將會何去何從?該組織承認(rèn)這方面的工作已經(jīng)落后于制定好的時間表���,本應(yīng)該在去年秋季面世的標(biāo)準(zhǔn)���,現(xiàn)在應(yīng)該馬上完成。美國國家標(biāo)準(zhǔn)學(xué)會應(yīng)該在2007年11月為SSC-3標(biāo)準(zhǔn)的通過做好各項(xiàng)準(zhǔn)備工作,2009年11月則是SPC-4標(biāo)準(zhǔn)����。
用戶對安全存儲的需求是不可避免的,但這一天到底何時到來卻無法預(yù)測���。目前仍然有很多標(biāo)準(zhǔn)和技術(shù)還未得到廣泛采納��,例如對象存儲����,因此這些標(biāo)準(zhǔn)和技術(shù)還不能再存儲安全方面發(fā)揮其應(yīng)有的作用和影響�。
