2008年(8065)
分类: 服务器与存储
2008-09-18 13:28:33
系统管理磁带加密方式,z/OS上的DFSMS(运行在z/OS上的Data Facility Storage Management Subsystem)和AIX上的Atape都支持该种方式。在开放系统中,这种支持采用的是带内方式,即驱动器和EKM之间的通讯是通过光纤通道传递的。
Z/OS上则两种方式都支持。带内方式:驱动器和服务器代理通过ESCON/FICON通道进行连接,而服务器代理和EKM则采用TCP/IP连接。带外方式:磁带控制器和EKM服务器通过TCP/IP连接。采用带外管理需要使用路由器。VM,VSE,TPF,zLinux只支持带外方式。
下图为开放系统环境中数据流和密钥流的示意图。范例中Atape是设备驱动,也用来设置系统的加密策略。本配置只适合AIX系统。
应用发送读写请求给Atape。磁带驱动器,根据策略,通过Atape向EKM申请密钥,EKM则通过光纤通道将密钥传递给驱动器。驱动器或者一边接收数据、加密数据并备份到磁带上,或者从磁带读数据、解密数据并将数据明文通过光纤通道传递出去。
在这个环境中,磁带驱动器和EKM间的通讯是通过Atape驱动程序进行的。Atape驱动中包含判断卷是否为加密的策略。
EKM随着JCECCARACFKS被调入。DFSMS处理加密策略,Z/OS的IOS(I/O Ssupervisor)组件跟踪我们的EKM地址(最多两个地址)。当应用请求发送数据给磁带或者从磁带读数据时,可以通过DFSMS中的数据类结构定义加密策略。
EKM向RACF发出读取密钥材料的申请,而RACF则使用ICSF从硬件加密的PKDS获得密钥材料,并返回给EKM。当EKM完成了这些密钥操作,它会通过TCP/IP将密钥发送给IOS。IOS则通过FICON/ESCON通道,把密钥发送给控制单元,控制单元再把信息发送给启动加密功能的TS1120磁带机。一旦驱动器获得了DK,就可以通过光纤通道发送数据给驱动器。驱动器加密数据并写磁带。
在Z/OS平台使用带外方式,不需要借助IOS代理来和EKM通讯。本例中我们使用JCECCAKS。
DFSMS处理加密策略,控制单元则保留我们EKM的地址(最多两个地址)。当应用请求发送数据给驱动器或者从磁带读取数据,会通过DFSMS的数据类结构检查加密策略。
然后EKM使用ICSF从加密硬件读取密钥材料。当EKM完成这些密钥操作,它会通过TCP/IP连接把申请来的密钥发给控制单元。控制单元再把密钥发送给启动加密功能的TS1120磁带机。一旦磁带驱动器获得密钥,就可以通过光纤通道发送数据给驱动器。接下来是驱动器加密数据并写磁带。例子中的控制单元需要使用路由器,并定义有效的网络路径。