存储系统中的安全性

微处理器现在是我们日常生活的一部分，集成到从手机到汽车，从计算机到电视的各种设备中。这些微处理器都将包含闪存，在黑客和数据泄露的现代世界中，安全性越来越受到关注。

制定数据存储安全策略可能是一项非常多方面的任务，需要考虑法律要求并影响系统架构和数据保护。大多数系统在每个级别都具有安全性，通常称为分层安全性。顶层将负责通信协议和人机接口，而应用软件级将提供加密和用户身份验证。但是，在为设备定义安全策略时，重要的是要考虑单个用例，没有一种适合所有安全解决方案的尺寸。

识别和认证

安全协议需要从设备标识自身开始。有多种方法可以验证此信息，最常见的是密码;生物识别（例如指纹）形式的身份验证也变得越来越普遍。组件身份验证是抵御与内存相关的威胁的有用安全解决方案。任何未能使用某种组件身份验证的设备或系统都可能面临将关键系统组件与未经批准的组件交换的风险，这可能会损害设计。

标准密码方法的漏洞可以通过采用双因素或多因素身份验证 （MFA） 来解决。这增加了另一层安全性，用代码补充了用户名和密码模型，通常是一次性代码或生物识别信息，只有特定用户才能访问。

下一步是授权。一旦用户确定了自己的身份，就可以根据授权的数据集对其进行验证，如果他们在列表中，则可以授予访问权限。

存取控制

访问控制是指对系统资源访问的控制;在用户的帐户凭据和身份经过身份验证后，他们就可以访问系统。有各种类型的访问控制正在使用中，包括强制，自由裁量，基于角色和基于规则。

强制访问控制 （MAC） 是所有控制级别中最严格的，采用分层方法来控制对资源的访问。在 MAC 强制实施的环境中，对所有资源对象（如数据文件）的访问由系统管理员定义的设置控制。它是迄今为止最安全的访问控制形式，但也存在挑战，例如广泛的前瞻性规划和广泛的系统管理要求。

与 MAC 不同，MAC 对系统资源的访问由操作系统控制，而自由访问控制 （DAC） 允许每个用户控制对自己数据的访问。DAC 通常是大多数桌面操作系统的默认访问控制机制。

基于角色的访问控制 （RBAC） 下的访问基于用户的工作职能，该工作职能授予组织中的工作职能。最后，在基于规则的访问控制 （RBAC） 下，根据系统管理员定义的一组规则，允许或拒绝对资源对象进行访问。

加密数据

但是，每个驱动器的核心是数据本身，最终的障碍是在发生违规行为时保护它。保护数据的最佳方法是在硬件级别对其进行加密。自加密硬盘 （SED） 可自动连续加密硬盘上的数据，无需任何用户交互。如果存储驱动器具有支持硬件加密的内置控制器（如 256 位 AES 加密控制器），则可以使用全磁盘加密。

最重要的全球标准是高级加密标准（AES），这是一种替代排列网络（SPN）分组密码算法。这的工作原理是获取一个纯文本块，并在128，192或256位处对其应用交替的替换和排列框，具体取决于加密所需的强度。在替换排列过程中会生成加密密钥，从而允许预期接收者破译和读取数据。但是，如果没有密钥，数据将完全混乱且无法理解。

SED的另一个好处是能够以加密方式擦除驱动器。这意味着可以将经过身份验证的命令发送到驱动器，以更改存储在驱动器上的 256 位加密密钥，从而清理驱动器。

密钥管理

到目前为止，安全方法都基于密码学。任何加密系统都需要密钥，而此类系统的挑战是在系统上保护密钥，以及在密钥预配期间保护密钥。

成功的密钥管理对于密码系统的安全性至关重要。密钥可以是对称的，也可以是不对称的。在对称密钥加密中，使用相同的加密密钥来加密和解密数据。另一方面，非对称密钥是一对分别用于加密和解密数据的密钥。在系统的整个生命周期中，将需要一个密钥管理系统来管理这些密钥。

安全解决方案

如前所述，解决方案需要针对每个特定用例进行定制。对于移动支付、安全移动通信和数字版权管理 （DRM） 等安全应用，需要专用的专有固件，以便利用 ISO 7816 接口实施加密密钥管理，并与主机应用程序安全可靠地进行通信。为了在任何SD卡控制器和NAND闪存上实现这一点，可以集成智能卡IC，就像集成在任何信用卡或SIM卡中的智能卡IC一样。或者，可以集成包括天线在内的NFC功能。

超石控制器支持的其他接口可以直接通过客户固件扩展 （CFE） 进行驱动。例如，超石的 S8 具有 16 个 GPIO，可提供 SDIO3.0、SPI 或 I2C 等附加接口。主机应用程序的专有命令可以通过 SD/MMC 协议传输。提供软件开发工具包来开发应用程序。

Hyperstone 应用程序编程接口 （API） 是闪存控制器的解决方案推动者，因为它增加了客户设计的可能性范围。这些定制应用程序可以独立于闪存控制器固件进行开发。因此，CFE将成为固件代码的一部分，并将与其他固件功能一起集成。它们中的大多数都是在后台执行的，对用户是透明的，但与闪存的安全性，耐用性和性能有关。

超石的闪存控制器 API 支持通过用户友好的套件开发专用的专有功能。标准固件中已经实现了几个功能，以简化 CFE 开发并启用高级功能。对标准固件的持续增强确保了添加附加功能的潜力继续增长。

通过使用 API，可以在 API 用户的严格控制下开发 CFE。这对于实现安全性或关键功能差异化至关重要。API 文档提供了一整套实用程序和示例，可以快速实现专有固件扩展。

结论

随着未来设备中数据和内存的更多使用，维护安全性的挑战将变得越来越重要。但是，通过确保您在每个级别都有结构化的安全方法和适合应用程序的策略，可以维护存储设备的安全性。但有一点是明确的：安全性不能再是事后的想法或附加物，它必须是整个设计过程的核心。

审核编辑：郭婷