NVE和NAE如何对数据进行加密？

NVE和NAE由 三部分组成：

• 软件加密模块(CryptoModm)

• 执行数据加密操作并为卷生成加密密钥(参见图1)。

图1) NVE和NAE加密/解密流

• 在RAID层执行数据加密、以提高存储效率。执行读取操作后、当数据离开RAID层时、数据将处于未加密状态。

• 加密密钥

• 系统会分别为NVE和NAE的每个卷或聚合生成一个唯一的XTS-AES-256数据加密密钥。
• 使用板载密钥管理器(OKM)时、加密密钥层次结构用于加密和保护所有卷或聚合密钥。这些加密密钥不会以未加密格式显示、显示或报告。

• 密钥管理器

• 存储 ONTAP使用的所有加密密钥
• 可以是板载密钥管理器(OKM)、也可以是使用OASY密钥管理互操作性协议(KMIP)的外部密钥管理器。

与NetApp存储加密进行比较

• NSE要求HA对中的所有驱动器都是专用的自加密驱动器。这些驱动器通过硬件加速机制自行执行数据加密。由于硬件加速、NSE系统在加密数据时通常优于NVE系统。
• NSE驱动器已通过FIPS 140-2 2级验证，NVE和NAE使用的CryptoMode已 通过FIPS 140-2 1级验证。FIPS 140-2 1级是软件模块可以达到的最高级别。

注意： 软件CryptoMod.为自加密驱动器生成身份验证密钥