在Windows系統(tǒng)中，我們熟悉的BitLocker驅(qū)動(dòng)器加密，可以為磁盤(pán)進(jìn)行加密，而它所使用的加密技術(shù)，就是我們今天文章的主角——FDE全磁盤(pán)加密技術(shù)。

全磁盤(pán)加密技術(shù)的原理

全磁盤(pán)加密英文名為Full Disk Encryption，簡(jiǎn)稱(chēng)FDE，是指通過(guò)動(dòng)態(tài)加解密技術(shù)，對(duì)磁盤(pán)或分區(qū)進(jìn)行動(dòng)態(tài)加解密的技術(shù)。FDE的動(dòng)態(tài)加解密算法位于操作系統(tǒng)底層，其所有磁盤(pán)操作均通過(guò)FDE進(jìn)行。

當(dāng)系統(tǒng)向磁盤(pán)上寫(xiě)入數(shù)據(jù)時(shí)，F(xiàn)DE首先加密要寫(xiě)入的數(shù)據(jù)，然后再寫(xiě)入磁盤(pán)；反之，當(dāng)系統(tǒng)讀取磁盤(pán)數(shù)據(jù)時(shí)，F(xiàn)DE會(huì)自動(dòng)將讀取到的數(shù)據(jù)進(jìn)行解密，然后再提交給操作系統(tǒng)。

全磁盤(pán)加密技術(shù)的應(yīng)用場(chǎng)景

全磁盤(pán)加密技術(shù)適用于磁盤(pán)上所有數(shù)據(jù)（包括操作系統(tǒng)）進(jìn)行動(dòng)態(tài)加解密的場(chǎng)景，但由于不能提供針對(duì)用戶的增強(qiáng)權(quán)限控制，無(wú)法滿足對(duì)內(nèi)部超級(jí)用戶泄露敏感數(shù)據(jù)的風(fēng)險(xiǎn)防范需求。

全磁盤(pán)加密技術(shù)的優(yōu)勢(shì)

• 性能優(yōu)勢(shì)突出

全磁盤(pán)加密技術(shù)通過(guò)操作系統(tǒng)內(nèi)核層（或者存儲(chǔ)設(shè)備自身的物理結(jié)構(gòu)）實(shí)現(xiàn)，能夠最大化減少加解密損耗，對(duì)上層業(yè)務(wù)服務(wù)提供性能最高的文件加解密服務(wù)。

• 部署、實(shí)施簡(jiǎn)單

全磁盤(pán)加密僅需對(duì)進(jìn)入磁盤(pán)的數(shù)據(jù)進(jìn)行加密，部署和實(shí)施簡(jiǎn)單高效。

全磁盤(pán)加密技術(shù)的不足

• 數(shù)據(jù)防護(hù)顆粒度粗

全磁盤(pán)加密因?yàn)槿鄙僭L問(wèn)控制能力，因此，一旦磁盤(pán)掛載口令泄露，就有數(shù)據(jù)泄漏的風(fēng)險(xiǎn)，僅能防范“拔硬盤(pán)”攻擊。

• 不支持防DBA

全磁盤(pán)加密無(wú)法阻止DBA（數(shù)據(jù)庫(kù)管理員）泄密，數(shù)據(jù)庫(kù)DBA擁有磁盤(pán)的全部權(quán)限，在實(shí)際使用中難以防范DBA風(fēng)險(xiǎn)。

• 國(guó)內(nèi)起步較晚

該加密技術(shù)在國(guó)外發(fā)展已有十多年歷史，技術(shù)相當(dāng)成熟，基于FDE技術(shù)的許多產(chǎn)品也已經(jīng)得到廣泛應(yīng)用，但國(guó)內(nèi)的FDE技術(shù)起步相對(duì)比較晚，技術(shù)存在瑕疵。

免責(zé)聲明：素材源于網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系刪稿。

cc

收藏 海報(bào)分享