随着数据加密技术的发展，实践证明加密本身并不难。例如，AES-256加密算法早就应用于硬件中并得到广泛使用。实现硬件加密只是该加密解决方案的一部分，然而，存储数据加密的难点在于密钥管理：创建密钥，保护密钥，在保证安全的同时连接密钥和加密数据。”

    LTO-4采用了基于介质的加密策略，但应用中却遇到了困难。具体来说，如何访问和使用该加密数据是难点之一。访问和使用LTO-4加密技术：Spectra BlueScale加密技术和密钥管理可以让您做到这些。

    LTO-4所使用的AES-256基于硬件加密技术，也是Spectra Logic T系列磁带库所使用的标准，主要依靠密钥。这些密钥是使用和管理加密过程的核心所在。无论对于基于磁带库的加密技术还是基于驱动器的加密技术，Spectra Logic磁带库都提供完整的密钥管理。这就是说，如果您的Spectra T系列磁带库使用LTO-4驱动器，您可以利用驱动器的加密功能。到2007年8月为止，只有Spectra能够实质提供LTO-4密钥管理的选项，它集成在备份过程中，不需要额外软件或硬件。

    Spectra Logic的BluleScale密钥管理提供友好的界面，用户可以快速简便的使用加密功能，同时它还提供加大安全级别的额外选项。密钥保护的许多工作都是由多个软件层自动控制的，而不直接呈现在用户面前。BlueScale密钥管理可以让您使用LTO-4加密功能——它让加密过程变得简单。

    加密密钥管理基础

    LTO-4和Spectra Logic基于硬件的加密技术均使用AES-256位加密密钥来加密数据。只有被解密，这些数据才能读取，这就要求使用在数据加密时所使用的同样的密钥。如果没有该密钥，就不能读取数据。对使用LTO-4加密技术来说，管理密钥非常关键。

    这种加密技术要求创建、跟踪和保护加密密钥。一个加密密钥的生命周期包括以下阶段：

• 密钥用户定义
• 密钥创建和删除
• 密钥保存
• 数据加密/解密中的密钥使用

    密钥管理系统对任何加密系统来说都非常关键，它需要管理密钥生命周期中的每个阶段。Spectra BlueScale加密密钥管理系统管理着LTO-4加密技术和基于磁带库的加密技术的所有要求。通过磁带库前面板或网络浏览器上的图形界面可以轻松使用密钥管理软件，它不需要额外的界面、软件或硬件。

    无论数据在哪加密——LTO-4驱动器还是磁带库本身——磁带库的BlueScale界面都能让管理密钥变得很简单。

    授权管理员管理加密

    安装完LTO-4驱动器以后，需要使用其加密功能。这个功能可以通过BlueScale密钥管理使用。BlueScale密钥管理不仅可以使用LTO-4加密功能，还能帮助保护密钥。

    为了配置磁带库来使用基于驱动器的加密功能，只需遵循以下简单的几步：

    使用加密功能的第一步也是密钥保护策略的一部分：定义拥有加密特权的磁带库用户。这就限定了可以访问密钥和加密数据的人数。

    Spectra BlueScale密钥管理提供额外的管理安全保护：在输入加密密码之前，监督员必须登陆。这就意味着低级别特权用户，如管理员和操作员，根本就看不到BlueScale加密图标，通过图标用户才能使用加密功能。

    为加密用户创建密码首先要求：

• 管理员登陆
• 选择加密图标

    然后就可以创建加密密码。 

    创建加密密钥

    既然有了加密功能的这些特性，您就可以创建密钥。密钥必须容易识别，而且其真实值必须是隐藏的。通过BlueScale密钥管理可以很容易满足这两个要求，只需为每个密钥分配一个标记或名字。

    标记会一直用到。真正的密钥值（长256位）从不会显示，也不会在明文中静态存储。

    保护加密密钥

    创建了密钥以后，BlueScale就会提示您在磁带库之外复制密钥，以便安全存储密钥。这一步非常重要：没有密钥，您就不能读取加密数据。在磁带库之外存储加密密钥的副本帮助确保在灾难期间密钥的可用性。

    在输出密钥之前，您所需要做的就是输入加密密钥使用的密码。

加密数据

    为了在加密数据时为您提供灵活性，加密是一个一个分区建立起来的——也就是每个数据组。这就允许你在同一磁带库中存储加密和未加密的数据。如果您不需要单独使用数据组，那就使用一个分区并加密所有数据。

    为了定义数据加密和解密的分区，选择Enable Encryption选项：

    使用您的备份软件来确保要加密的数据已发送到合适的分区。之后那些数据会在备份过程中加密。就是这么简单。

    解密数据

    数据解密和恢复取决于把相应的磁带、密钥和支持解密的硬件设备。

    BlueScale加密技术通过把加密标记（是密钥名字，不是密钥的256位真实值）写入磁带的内存中帮助您鉴别数据解密所需的密钥。当存储有加密数据的磁带放入磁带库后，BlueScale软件确定该LTO-4磁带使用了什么密钥。它检查磁带库来鉴别存储在带库中的密钥。如果配套密钥——只通过标记显示——存储在磁带库中，数据就会自动解密。

    如果密钥不可用，加密软件会告诉您解密数据所需密钥的标记。您可以导入该密钥（为了导入密钥，要输入导出密钥时所用的密码——这是又一层数据保护）。

    删除密钥

    当加密数据的密钥及副本都被破坏时，加密数据就被视为删除或无法恢复。密钥管理软件需要提供删除特定加密密钥的功能。要知道数据删除可能受到相关法律的要求，如：HIPAA，而且这是至今为止删除数据最简单、最有效的方法。

    在这个过程中，管理员的角色就是确保找到密钥的所有副本，并根据需要销毁。

    使用BlueScale密钥管理软件来删除密钥非常简单。如果密钥在磁带库中，使用密钥管理软件删除密钥。如果密钥在USB设备中，从该设备上删除密钥。即使使用该密钥加密的数据还在，这些数据也不会再被读取。

    使用命令行工具软件恢复数据

    在危机或灾难中，您可能需要备用方法来恢复加密数据。例如，您的常规IT设备不能使用时。Spectra Logic拥有命令行工具软件EDU，它可以让您在最少的硬件上恢复数据，不需要任何Spectra设备。您可以在装有Linux、并连有一到两个在线磁带驱动器的主机上使用该软件。EDU软件解密存储在磁带上的数据并写入相同或不同的磁带。然后您就可以使用备份数据所用的软件来恢复数据。

结论

    随着LTO-4的发布，数据加密的方法已非常易用，其实加密数据也很容易。跟踪和管理加解密的密钥才是真正的挑战。Spectra Logic的BlueScale加密和密钥管理方案提供了完整的密钥管理功能，让您充分利用LTO-4的加密特性。此文章中的分类法特别适用于加密二次存储的系统，这种情况密钥需要保留很长时间。

    在密钥的整个生命周期管理密钥需要在安全和方便数据加解密之间找到一个平衡。您必须知道您的站点和数据需要哪种级别的安全。密钥管理系统会让您轻松创建和使用密钥，封存密钥，在需要解密数据的时候访问密钥，在数据生命周期的最后销毁密钥。

    BlueScale系统能够多重保护密钥。第一层对用户来说是最重要的保护，系统允许密钥创建者分配密钥名字或标识。用户总是参考密钥的标识，而不是密钥的真实值（256位密钥）。第二层保护是密钥值加密封存。解密该密钥需要授权用户输入特定密钥的密码。（一些系统在数据库中用明文存储密钥，或提供不加密密钥的选项。这就降低了加密的安全性）。

    LTO-4驱动器支持强大的加密技术，下一步就是如何利用LTO-4加密技术。Spectra T系列磁带库上的BlueScale加密和密钥管理当今市场仅有的集成于磁带库的、让您利用基于LTO-4驱动器加密功能的解决方案。