威脅模型

數(shù)據(jù)生命周期管理（Data Lifecycle Management）通常將數(shù)據(jù)劃分為生產(chǎn)、存儲(chǔ)、使用、分享、銷毀、歸檔幾個(gè)階段。而從信息安全保護(hù)維度，則一般將數(shù)據(jù)劃分為三種狀態(tài)，即：Data in Use、Data in Motion/Transit、Data at Rest。

Data in Motion/Transit，即數(shù)據(jù)傳輸場(chǎng)景，是大家最熟悉、技術(shù)發(fā)展最成熟的安全場(chǎng)景。例如基于SSL/TLS協(xié)議的Https應(yīng)用，基于SSH協(xié)議的SCP/SFTP應(yīng)用等。這些技術(shù)對(duì)數(shù)據(jù)的安全保護(hù)不僅包括加密傳輸，也包含雙向身份認(rèn)證、完整性保護(hù)等。

Data in Use，即數(shù)據(jù)使用場(chǎng)景。此時(shí)數(shù)據(jù)緩存在系統(tǒng)DRAM、Cache、CPU Register中，一般明文存在。但在一些高安全場(chǎng)景下，為防止側(cè)信道攻擊（如Cold Boot Attack獲取DRAM中密鑰信息），業(yè)界也提出了Full Memory Encryption全內(nèi)存加密技術(shù)。如Intel的TME（Total Memory Encryption）、AMD的SME（Secure Memory Encryption）等。FME使能時(shí)系統(tǒng)DRAM數(shù)據(jù)全部為加密存儲(chǔ)，CPU通過(guò)特定硬件加解密引擎分別在讀寫數(shù)據(jù)時(shí)做解密加密操作，加解密密鑰則一般每次boot時(shí)唯一生成。

Data at Rest，即數(shù)據(jù)（持久化）存儲(chǔ)場(chǎng)景。此時(shí)數(shù)據(jù)屬于inactive狀態(tài)未使用，存儲(chǔ)在磁盤等非易失性介質(zhì)。安全風(fēng)險(xiǎn)主要有非授權(quán)訪問(wèn)、設(shè)備丟失導(dǎo)致數(shù)據(jù)泄漏等。常見保護(hù)方式包括物理/網(wǎng)絡(luò)層面的隔離和訪問(wèn)控制、以及數(shù)據(jù)（落盤）加密。對(duì)于加密存儲(chǔ)的磁盤數(shù)據(jù)，即使設(shè)備（如PC/手機(jī)）丟失，攻擊者拆出硬盤或Flash器件，也只能讀取到器件中的密文，保證關(guān)鍵數(shù)據(jù)機(jī)密性。

技術(shù)路線

加密是防止數(shù)據(jù)泄漏、保證機(jī)密性的有效手段。按照不同維度，加密技術(shù)/方案可以有多種分類，簡(jiǎn)單匯總?cè)缦拢?/p>

需要說(shuō)明的是，幾種維度不互斥，某一方案通常符合/采用多個(gè)特征/技術(shù)。例如本文要介紹的磁盤加密技術(shù)Disk Encryption，其加密對(duì)象一般是整個(gè)磁盤或文件系統(tǒng)，但從數(shù)據(jù)狀態(tài)維度看屬于Data at Res
Encryption技術(shù)，從用戶感知維度看屬于透明加密技術(shù)，從加密算法維度看采用對(duì)稱加密。

下面簡(jiǎn)單介紹幾個(gè)分類涉及的技術(shù)概念/術(shù)語(yǔ)，詳情可查閱文末參考鏈接，及后續(xù)章節(jié)中的詳細(xì)分析。

Data at Rest Encryption

數(shù)據(jù)在at Rest狀態(tài)下保持加密的技術(shù)，參考https://wiki.archlinux.org/title/Data-at-rest_encryption說(shuō)明，加密對(duì)象一般為磁盤（塊設(shè)備）、文件系統(tǒng)目錄，加解密過(guò)程采用透明加密技術(shù)。

Transparent Encryption

透明加密，也稱作real-time encryption或on-the-fly encryption。特點(diǎn)是數(shù)據(jù)在使用過(guò)程中自動(dòng)完成加解密，無(wú)需用戶干預(yù)。