Chinaunix首页 | 论坛 | 博客
  • 博客访问: 11590904
  • 博文数量: 8065
  • 博客积分: 10002
  • 博客等级: 中将
  • 技术积分: 96708
  • 用 户 组: 普通用户
  • 注册时间: 2008-04-16 17:06
文章分类

全部博文(8065)

文章存档

2008年(8065)

分类: 服务器与存储

2008-09-18 13:28:33

   系统管理磁带加密介绍

  系统管理磁带加密方式,z/OS上的DFSMS(运行在z/OS上的Data Facility Storage Management Subsystem)和AIX上的Atape都支持该种方式。在开放系统中,这种支持采用的是带内方式,即驱动器和EKM之间的通讯是通过光纤通道传递的。

  

  Z/OS上则两种方式都支持。带内方式:驱动器和服务器代理通过ESCON/FICON通道进行连接,而服务器代理和EKM则采用TCP/IP连接。带外方式:磁带控制器和EKM服务器通过TCP/IP连接。采用带外管理需要使用路由器。VM,VSE,TPF,zLinux只支持带外方式。

  带内

  下图为开放系统环境中数据流和密钥流的示意图。范例中Atape是设备驱动,也用来设置系统的加密策略。本配置只适合AIX系统。

  应用发送读写请求给Atape。磁带驱动器,根据策略,通过Atape向EKM申请密钥,EKM则通过光纤通道将密钥传递给驱动器。驱动器或者一边接收数据、加密数据并备份到磁带上,或者从磁带读数据、解密数据并将数据明文通过光纤通道传递出去。

  在这个环境中,磁带驱动器和EKM间的通讯是通过Atape驱动程序进行的。Atape驱动中包含判断卷是否为加密的策略。

  

  Z/OS带内

  

  EKM随着JCECCARACFKS被调入。DFSMS处理加密策略,Z/OS的IOS(I/O Ssupervisor)组件跟踪我们的EKM地址(最多两个地址)。当应用请求发送数据给磁带或者从磁带读数据时,可以通过DFSMS中的数据类结构定义加密策略。

  EKM向RACF发出读取密钥材料的申请,而RACF则使用ICSF从硬件加密的PKDS获得密钥材料,并返回给EKM。当EKM完成了这些密钥操作,它会通过TCP/IP将密钥发送给IOS。IOS则通过FICON/ESCON通道,把密钥发送给控制单元,控制单元再把信息发送给启动加密功能的TS1120磁带机。一旦驱动器获得了DK,就可以通过光纤通道发送数据给驱动器。驱动器加密数据并写磁带。

  Z/OS带外

  

  在Z/OS平台使用带外方式,不需要借助IOS代理来和EKM通讯。本例中我们使用JCECCAKS。

  DFSMS处理加密策略,控制单元则保留我们EKM的地址(最多两个地址)。当应用请求发送数据给驱动器或者从磁带读取数据,会通过DFSMS的数据类结构检查加密策略。

  然后EKM使用ICSF从加密硬件读取密钥材料。当EKM完成这些密钥操作,它会通过TCP/IP连接把申请来的密钥发给控制单元。控制单元再把密钥发送给启动加密功能的TS1120磁带机。一旦磁带驱动器获得密钥,就可以通过光纤通道发送数据给驱动器。接下来是驱动器加密数据并写磁带。例子中的控制单元需要使用路由器,并定义有效的网络路径。

阅读(373) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~