NVMe TCG安全数据存储简介

于 2024-06-03 07:14:05 发布
阅读量693 收藏 12
点赞数 7
文章标签: 安全 服务器 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dzqxwzoe/article/details/139401466
版权

NVMe(非易失性内存主机控制器接口规范)与TCG(可信计算组)的集成主要体现在数据安全、固件验证和硬件信任根等方面,以确保存储设备的数据保护能力和安全性。

![图片](https://img-
blog.csdnimg.cn/img_convert/f679ca03de824ed75a332bb8bedc0458.png)

TCG Opal定义了一套针对自加密硬盘(SED, Self-Encrypting Drives)的标准化安全子系统类(SSC, Security
Subsystem Class),用于实现对存储设备上数据的透明加密和访问控制。以下是在TCG Opal规范下加密流程的基本概述:

  1. 初始化和密钥管理:
  • * 在设备出厂时,会生成一个全局唯一标识符(GUID)和主密钥(Master Key)。Opal标准支持多个密钥层级,包括管理员SP(Admin SP)、用户锁SP(Locking SP)和多个锁定对象(Locking Objects),每个都有自己的身份验证机制。
  1. 创建与配置锁定策略:
  • * 管理员可以使用管理SP来创建、删除和管理锁定对象,以及设置解锁策略,如PIN码、密码或硬件密钥等。锁定对象可以按范围或者整个命名空间划分,并且可以指定为单用户模式或多用户模式。

![图片](https://img-
blog.csdnimg.cn/img_convert/9f618e3ff9167b60671882eba5516925.png)

  1. 数据加密:
  • * 当写入数据到NVMe SSD时,驱动器将自动使用底层硬件加速引擎对数据进行加密,所使用的密钥是基于上述密钥管理体系派生出的数据加密密钥(DEK,Data Encryption Key)。
  1. 访问控制:
  • * 加密的数据在读取前需要通过身份验证,只有合法的认证请求才能解密数据。例如,当主机尝试访问被锁定的对象时,必须先通过相应的认证过程才能获得临时解密密钥以解密数据。
  1. 重置和恢复:
  • * TCG Opal提供了Revert(回滚)操作,允许在必要时清除所有用户数据并恢复到工厂默认状态,但不改变固件和加密密钥结构。这通常需要提供工厂预设的SID(Security Identifier)或其他特殊凭证。
  1. 日志记录与审计:
  • * 为了便于监控和审计,NVMe SSD需要支持持久事件日志功能,记录与TCG相关的操作活动,如TCG Opal命令执行情况,包括激活、回滚次数、锁定SP状态变更以及其他关键安全事件。
  1. 兼容性与扩展性:
  • * TCG Opal确保了跨不同制造商的SED设备具有一定的互操作性和安全性水平,同时也可支持不同的加密算法和密钥长度,满足不同场景下的安全需求。

![图片](https://img-
blog.csdnimg.cn/img_convert/51ee510a837f82009a89f1a5029fe648.png)

在TCG Opal框架内,加密流程涵盖了从密钥生成、分配、加密写入到访问控制和审计跟踪等一系列操作,旨在构建一个高效、安全的自加密存储环境。

网络安全工程师(白帽子)企业级学习路线

第一阶段:安全基础(入门)

img

第二阶段:Web渗透(初级网安工程师)

img

第三阶段:进阶部分(中级网络安全工程师)

img

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资源分享

程序员小强_
关注
TCG 规范解读」TCG 工作组规范预览
最是书香能致远,腹有诗书气自华
03-02 735
可信计算组织(Ttrusted Computing Group,TCG)是一个非盈利的工业标准组织,它的宗旨是加强不同计算机平台上计算环境的安全性。TCG于2003年春成立,并采纳了由可信计算平台联盟(the Trusted Computing Platform Alliance,TCPA)所开发的规范。现在的规范都不是最终稿,都还在不断的更新中,比如:TPM的规范就从原来的v1.0更新到v1.2,现在还在不断的修订。
TCG_Storage-Opal_SSC_v2.01_rev1.00.pdf
03-26
如果正在学习TCG Opal2.0协议,需要对SSD采用Opal 2.0标准进行加密,该文档是必备阅读的文档,即TCG存储Opal 2.0协议
TCG的概要分析和对TPM的学习-可信存储根RTS(三)
kimili1987的专栏
03-16 6299
(YOUXIANG:lichunwen1987ATqq。com) 参考TCG Specification Architecture Overview 1.4 。http://www.trustedcomputinggroup.org/ 检索TCG Specification Architecture Overview      RTS是一个准确的记录完整度量的摘要值和顺序计算引擎,它将完
NVMe概况
axqix8835的博客
09-12 692
简介 NVMe是为满足企业和客户系统需求,利用基于PCIe的固态存储,而精心设计的一个优化的,高效的,可伸缩主机控制器接口。NVMe是为非易失性内存(NVM)技术从头开始全新构建的,目的在于超越硬盘驱动器技术的黑暗时代。从今天的NAND闪存技术到未来高性能、持久的内存技术,用这些非易失存储构建存储设备,NVMe的设计为这些非易失存储NVM)构建的存储设备提供高效访问。 有几个NVM...
TCG存储接口交互规范
03-26
本文档主要介绍了TCG存储架构中Tper和SCSI、ATA、NVMe和eMMC接口命令和传输之间的交互。
sedutil:使用 sedutil 设置和使用符合 TCG OPAL 2.00 标准的自加密驱动器 (SED)。 这包括必要的预启动身份验证映像
05-31
关于 SEDutil sedutil 项目提供了一个 CLI 工具 ( sedutil-cli ),能够设置和管理符合 TCG OPAL 2.00 标准的自加密驱动器 (SED)。 该项目还提供了一个预启动身份验证映像 ( linuxpba ),它可以加载到加密磁盘的影子 MBR 上。 此预启动身份验证映像允许用户在启动过程中输入密码并解锁 SED 驱动器。 使用此工具可能会使驱动器上的数据无法访问! 设置 要配置驱动器,请使用以下命令将兼容的映像加载到 USB 驱动器上: curl -L -o RESCUE64-1.15.1-87-SHA512.img.gz https://github.com/ladar/sedutil/releases/download/1.15.1-87/RESCUE64-1.15.1-87-SHA512.img.gz gunzip RESCUE64-1.15
nvme白皮书、概述、解释管理规范等.rar
05-25
NVMe(Non-Volatile Memory Express)是一种高速接口标准,用于优化...通过学习这些文档,无论是硬件制造商、系统架构师还是数据中心运维人员,都能更好地理解和利用NVMe技术,从而提升系统性能,优化存储解决方案。
唯快不破?只快可不够,NVMe安全升级——SPDK引入NVMe Opal bdev支持
lingshengxiyou的博客
09-06 707
Opal是一系列的自加密盘 (SED, Self-Encrypting Drives) 的技术规范标准,由TCG这个联盟提出。TCG是一个由很多大公司组成的产业联盟, 主要是为可信计算制定一些标准。在可信计算领域具有非常高的权威性。自加密盘主要指的是这个盘本身具有全盘自动加密的功能。自加密盘上有专门负责加解密的硬件,所有数据在写到盘上的时候,会被自动加密,在读的时候会由盘自动去解密。所有这些加解密都依赖于盘上的硬件去完成。接下来,我们看两个非常重要的概念,DEK和AK。这是在Opal中会用到的两个密钥。
唯快不破? 只快可不够!NVMe 安全升级 —— SPDK 引入NVMe Opal bdev 支持
weixin_37097605的博客
11-20 1803
作者简介:惠春阳Intel 软件工程师,主要从事spdk,isa-l开发和存储软件性能优化的工作。无论你在哪个领域工作,你肯定听到过不止一个 “数据”如何改变世界面貌的故...
TCG 规范解读」简介-TPM 工作组规范之TCG 密码算法
最是书香能致远,腹有诗书气自华
02-22 767
TPM 2.0 库规范不仅说具有 SHA-1 或 RSA 密码算法,同时也减少了一些特性的模棱两可,更易于管理和应用,面对物联网中各种各样的设备,TPM 2.0 能够在各种系统中发挥作用。此外,TPM 2.0 更多的用于一些国家的政务中。
再谈数据安全TCG Opal介绍
热门推荐
Memblaze
03-10 1万+
在之前发表的《拥有AES-XTS 256位硬加密和秘钥删除,企业数据安全性会怎样?》一文中,我们详细介绍了AES高级加密标准算法和AES-XTS全盘自加密的工作原理。它是目前政府、企业广泛采用的数据加密方式,也是PBlaze系列企业级SSD数据安全方面的重要功能之一。 在此之外,我们也会在一些SSD的规格介绍中,在数据安全一栏看到TCG Opal的身影。它和AES有何关系?又能起到怎样的数据安全防护效果?本文将给出解答。 TCG Opal是什么 TCG全称Trusted Computing Group(可
OCP NVME SSD规范解读-7.TCG安全日志要求
最新发布
存储随笔
01-22 1224
TCGHST-PE-4:除非为了在持久事件日志中腾出空间记录额外的TCG活动事件,否则不得因TCG特定原因(如TCG Revert/RevertSP或TCG Manufactured-Inactive)删除TCG活动事件条目。TCGHST-PE-1:规定NVME设备必须支持在持久事件日志中至少记录100个TCG活动事件,并且不允许为了记录新的事件而删除旧的TCG活动事件。TCG活动事件采用特定的格式进行编码,包括事件类型、时间戳、相关对象标识符及描述事件详细信息的数据字段,以便于日志解析和分析。
OCP NVME SSD规范解读-5.命令超时限制
存储随笔
01-08 1061
在CTO-1的要求中,规定在没有其他未完成命令的情况下,命令的执行时间不应超过10秒。这意味着在评估命令执行时间时,只考虑单个命令的情况,而不考虑队列中可能存在的其他命令。这个要求的主要目的是为了确保NVMe设备在达到特定条件后能够及时、有效地处理I/O命令,防止由于个别命令执行时间过长而导致的系统性能下降和用户体验不佳。通过限定在QD1的情况下评估命令执行时间,可以更准确地衡量单个I/O命令的处理能力,而不受其他并发命令的影响。CTO-1不适用于由设备自测和净化命令启动的后台操作的时间。
TCG 规范解读」简介-TPM 工作组规范之硬件信任根
最是书香能致远,腹有诗书气自华
02-21 5643
本文档列出了TPM v1.2规范中SHA-1的使用情况,并对2005年发现的碰撞袭击对其影响进行了评估。总的来说,TCG 采取了一些预防措施来防止碰撞攻击,例如在做哈希前使用新的随机生成值或外部未知的随机生成值。此外,在数据中使用固定结构阻碍了攻击者操纵数据以有效地执行冲突攻击的发生。我们确实发现了一种极端情况,即RSA签名命令在签名之前可能会对输入进行散列,在这种情况下,TCG 不经意的选择了 TPM 之外的数值来连接到待签名数据,如果外部选择新的随机生成的值,
数据存储|信息安全技术在SSD中的应用分享
UnionMemory的博客
01-13 1025
SSD作为一种数据存储设备,其数据存储安全性至关重要,为保障数据不被窃取或篡改,往往会对数据进行加密处理,本文将对数据加密技术展开讨论
TCG 规范解读」TCG 规范架构概述(中)
最是书香能致远,腹有诗书气自华
03-05 1158
可信计算组织(Ttrusted Computing Group,TCG)是一个非盈利的工业标准组织,它的宗旨是加强不同计算机平台上计算环境的安全性。TCG 于 2003 年春成立,并采纳了由可信计算平台联盟(the Trusted Computing Platform Alliance, TCPA)所开发的规范。现在的规范都不是最终稿,都还在不断的更新中,比如:TPM的规范就从原来的 v1.0 更新到 v1.2,现在还在不断的修订。
TCG 规范解读」词汇表
最是书香能致远,腹有诗书气自华
02-27 920
可信计算组织(Ttrusted Computing Group,TCG)是一个非盈利的工业标准组织,它的宗旨是加强不同计算机平台上计算环境的安全性。TCG于2003年春成立,并采纳了由可信计算平台联盟(the Trusted Computing Platform Alliance,TCPA)所开发的规范。现在的规范都不是最终稿,都还在不断的更新中,比如:TPM的规范就从原来的v1.0更新到v1.2,现在还在不断的修订。
全面解析存储加密盘(SED)技术
架构师技术联盟
12-13 1万+
在上一篇文章“数据泄露事件背后,众多的企业级加密技术,谁能堪负重任”中,给大家分享了主流的企业数据加密技术,重点分析了基于应用透明加密(主要用于NAS和Object加密)...
nvme ssd数据的过程
07-27
回答: NVMe SSD写入数据的过程可以通过以下步骤来描述。首先,主机将数据发送到IO submission queue,这是一个用于存储待写入数据的队列。然后,SSD控制器从IO submission queue中获取数据,并将其写入SSD的NAND闪存芯片中。写入过程中,SSD控制器会将数据分成小块,称为页,然后逐页写入到NAND闪存芯片中。每个页通常包含几KB的数据。写入完成后,SSD控制器会将写入操作的结果发送到completion queue,以通知主机写入操作的完成。这样,主机就可以对SSD上的数据进行读写操作了。\[2\] NVMe SSD的DWPD(Diskful Writes Per Day)参数是一个重要的评测数据,它表示在预期寿命内,SSD可以每天完整写入其所有容量的次数。这个参数可以作为参考SSD寿命和性能的重要指标。\[1\] SSD存储容量取决于其拥有的NAND闪存芯片的数量,现代技术使得SSD可以具有与传统硬盘驱动器(HDD)相似的存储容量。\[3\] #### 引用[.reference_title] - *1* [聊一聊 NVMe SSD 存储介质](https://blog.csdn.net/hffwj/article/details/121423957)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [PCIe和NVMe SSD初始化过程简介](https://blog.csdn.net/mm624191030/article/details/121244565)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [【转】SSD、HDD、NVMe区别](https://blog.csdn.net/jsCPB/article/details/127903690)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值