华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
概述
OceanStor Dorado V6系列存储系统支持硬盘加密特性,提供不影响存储性能的安全存储服务。
硬盘加密特性有如下特点:
- 以透明的方式提供全盘数据加密保护,不影响存储阵列的其它特性,镜像、快照、重删、压缩等特性可照常使用。
- 支持自动化密钥生命周期管理,并通过支持KMIP协议,保证密钥管理系统开放性。
当存储系统创建存储池时开启“数据加密”开关,硬盘加密特性会被启用,存储系统会打开加密硬盘的AutoLock功能,并使用由密钥管理服务器分配的AK(Authentication Key,认证字),此时硬盘的访问已由SED(Self-Encrypting Drive,自加密硬盘)的AutoLock功能保护,只能由存储系统本身访问。硬盘每次接入时,需要存储系统从密钥管理服务器获取硬盘的AK,如果与硬盘上的AK的哈希值一致,硬盘就将加密后的DEK(Data Encryption Key,数据加密密钥)解密,用于数据加解密。如果AK与硬盘上的AK的哈希值不一致,则任何读写操作都将失败。
当存储系统创建存储池时未开启“数据加密”开关,硬盘加密特性不会启用,加密硬盘的AutoLock功能不会打开。此时硬盘使用默认的AK,硬盘的接入将不受限制,接入后硬盘也支持正常读写。无论硬盘加密特性是否打开,写入加密硬盘的数据都会使用DEK加密。
密钥管理是实现硬盘加密特性的关键,OceanStor Dorado V6系列存储系统支持内置密钥管理。
