威脅模型

數據生命周期管理（Data Lifecycle Management）通常將數據劃分為生產、存儲、使用、分享、銷毀、歸檔幾個階段。而從信息安全保護維度，則一般將數據劃分為三種狀態，即：Data in Use、Data in Motion/Transit、Data at Rest。

Data in Motion/Transit，即數據傳輸場景，是大家最熟悉、技術發展最成熟的安全場景。例如基于SSL/TLS協議的Https應用，基于SSH協議的SCP/SFTP應用等。這些技術對數據的安全保護不僅包括加密傳輸，也包含雙向身份認證、完整性保護等。

Data in Use，即數據使用場景。此時數據緩存在系統DRAM、Cache、CPU Register中，一般明文存在。但在一些高安全場景下，為防止側信道攻擊（如Cold Boot Attack獲取DRAM中密鑰信息），業界也提出了Full Memory Encryption全內存加密技術。如Intel的TME（Total Memory Encryption）、AMD的SME（Secure Memory Encryption）等。FME使能時系統DRAM數據全部為加密存儲，CPU通過特定硬件加解密引擎分別在讀寫數據時做解密加密操作，加解密密鑰則一般每次boot時唯一生成。

Data at Rest，即數據（持久化）存儲場景。此時數據屬于inactive狀態未使用，存儲在磁盤等非易失性介質。安全風險主要有非授權訪問、設備丟失導致數據泄漏等。常見保護方式包括物理/網絡層面的隔離和訪問控制、以及數據（落盤）加密。對于加密存儲的磁盤數據，即使設備（如PC/手機）丟失，攻擊者拆出硬盤或Flash器件，也只能讀取到器件中的密文，保證關鍵數據機密性。

技術路線

加密是防止數據泄漏、保證機密性的有效手段。按照不同維度，加密技術/方案可以有多種分類，簡單匯總如下：

需要說明的是，幾種維度不互斥，某一方案通常符合/采用多個特征/技術。例如本文要介紹的磁盤加密技術Disk Encryption，其加密對象一般是整個磁盤或文件系統，但從數據狀態維度看屬于Data at Res
Encryption技術，從用戶感知維度看屬于透明加密技術，從加密算法維度看采用對稱加密。

下面簡單介紹幾個分類涉及的技術概念/術語，詳情可查閱文末參考鏈接，及后續章節中的詳細分析。

Data at Rest Encryption

數據在at Rest狀態下保持加密的技術，參考https://wiki.archlinux.org/title/Data-at-rest_encryption說明，加密對象一般為磁盤（塊設備）、文件系統目錄，加解密過程采用透明加密技術。

Transparent Encryption

透明加密，也稱作real-time encryption或on-the-fly encryption。特點是數據在使用過程中自動完成加解密，無需用戶干預。