驱动器自动加锁:保护数字家庭中的数字内容存储安全

推出驱动器自动加锁功能

保护外部存储数据的物理安全主要有三种方式。第一种方式是使用某种设备来防止驱动器被偷窃，比如使用一个金仕顿（Kensington）锁来从物理上保证驱动器在其位置上不被偷窃。第二种方式就是去加密数据流，或者是在主机传输之前加密，或者在某些情况下由硬盘驱动器自行加密。随后，用户必须提供正确的认证钥来解密数据。第三种方式是对驱动器实行控制访问。当与一个隐藏完好的密码结合使用时，访问控制是一种特别强的安全形式。与加密机制不同，访问控制方法在正确的密码被提供之前不允许进行数据传输。因此，如果没有密码，数据就不可能被复制和解密。驱动器自动加锁利用一个烧入存储处理器隐藏保护区的唯一128位密码，来达到这种安全级别。

                                            图1 驱动器加锁

上述所有方法提供某些级别的保护，并且这些技术是相互补充，而不是相互竞争。同时协调使用这三种技术将为驱动器上存储的数据提供最大的安全。

工作原理

SteelVine® 存储处理器上的驱动器自动加锁使用第三种方法，即访问控制，来锁定驱动器。所有现代消费硬盘驱动器的运行都是基于ATA标准的，它规定了存储设备如何连接到主机系统。这个标准包括了一个最大安全模式的定义，当这种模式被激活时，它将硬盘驱动器锁定直到接收到正确的密码为止。

当一个ATA兼容驱动器被连接到具有驱动器自动加锁功能的存储处理器上，而且给预备写入的驱动器发送枚举命令时，可以使用一个唯一的128位密码激活最大安全模式，该密码在生产时被烧入存储处理器ROM。由于某些SteelVine存储处理器可以支持多个级别的驱动器(容量扩展)，所以，指出这一点非常重要：连接到存储处理器的所有驱动器，包括层叠级驱动器，都是使用这一个密码来锁定的。

一旦激活安全模式，在每次驱动器重启或者热插拔时，驱动器将自动锁定并在给出正确密码前不允许进行数据访问。因为在这种情况下，密码是存储于存储处理器内部的一个唯一串，所以只有存储处理器才能够解锁驱动器。如果将驱动器移到其他主机上，即便是另外一个配有支持驱动器自动加锁存储处理器的主机，驱动器仍将保持锁定，同时该数据也将不可访问。对于在第一次连接时驱动器加锁以及在它们重启时解锁驱动器的管理，无需任何用户干预便可自动完成。

                                                                  
                                                                   图2 驱动器加锁工作原理

对于安全的益处

访问控制方法对于安全的益处就是未经授权认证不会暴露任何数据。连接到存储处理器的驱动器被设定为上电或者模式改变时自动加锁，并仅在提供正确的密码时才能解锁。这样就可以防止数据流被截取以及在未连接到正确的存储处理器上被读取的任何可能性。

128位强度的密码不易被蛮力攻击攻破，而且它被以主机设备无法访问的方式存储于内部处理器ROM当中。这可以防止通过系统或者可编程只读存储器（PROM）阅读器进行的任何攻击。只有存储处理器才能够取回密码，而且它从未被暴露给主机。

烧入128位钥匙也比依赖勤奋的用户提供难猜密码的人工密码加锁与加密方法更为安全。因为驱动器上的数据是由存储处理器不需要用户干预而自身自动锁定的，所以驱动器自动加锁不是依赖用户提供一个安全的密码来锁定，也不依赖用户记住该密码来访问。

易于使用

几乎所有的消费驱动器都可以使用驱动器自动加锁功能，同时市场上大多数硬盘驱动器都将ATA最大安全模式列为一个标准功能。通过添加唯一的嵌入式128位密码与安全模式全部自动管理功能，带有驱动器自动加锁功能的存储处理器将会使消费者更为方便地享受到驱动器加锁的这种益处，而不需要进行麻烦的安装或者管