系统管理磁带加密介绍
系统管理磁带加密方式,z/OS上的DFSMS(运行在z/OS上的Data Facility Storage Management Subsystem)和AIX上的Atape都支持该种方式。在开放系统中,这种支持采用的是带内方式,即驱动器和EKM之间的通讯是通过光纤通道传递的。
Z/OS上则两种方式都支持。带内方式:驱动器和服务器代理通过ESCON/FICON通道进行连接,而服务器代理和EKM则采用TCP/IP连接。带外方式:磁带控制器和EKM服务器通过TCP/IP连接。采用带外管理需要使用路由器。VM,VSE,TPF,zLinux只支持带外方式。
带内
下图为开放系统环境中数据流和密钥流的示意图。范例中Atape是设备驱动,也用来设置系统的加密策略。本配置只适合AIX系统。
应用发送读写请求给Atape。磁带驱动器,根据策略,通过Atape向EKM申请密钥,EKM则通过光纤通道将密钥传递给驱动器。驱动器或者一边接收数据、加密数据并备份到磁带上,或者从磁带读数据、解密数据并将数据明文通过光纤通道传递出去。
在这个环境中,磁带驱动器和EKM间的通讯是通过Atape驱动程序进行的。Atape驱动中包含判断卷是否为加密的策略。
Z/OS带内
EKM随着JCECCARACFKS被调入。DFSMS处理加密策略,Z/OS的IOS(I/O Ssupervisor)组件跟踪我们的EKM地址(最多两个地址)。当应用请求发送数据给磁带或者从磁带读数据时,可以通过DFSMS中的数据类结构定义加密策略。
EKM向RACF发出读取密钥材料的申请,而RACF则使用ICSF从硬件加密的PKDS获得密钥材料,并返回给EKM。当EKM完成了这些密钥操作,它会通过TCP/IP将密钥发送给IOS。IOS则通过FICON/ESCON通道,把密钥发送给控制单元,控制单元再把信息发送给启动加密功能的TS1120磁带机。一旦驱动器获得了DK,就可以通过光纤通道发送数据给驱动器。驱动器加密数据并写磁带。
Z/OS带外
在Z/OS平台使用带外方式,不需要借助IOS代理来和EKM通讯。本例中我们使用JCECCAKS。
DFSMS处理加密策略,控制单元则保留我们EKM的地址(最多两个地址)。当应用请求发送数据给驱动器或者从磁带读取数据,会通过DFSMS的数据类结构检查加密策略。
然后EKM使用ICSF从加密硬件读取密钥材料。当EKM完成这些密钥操作,它会通过TCP/IP连接把申请来的密钥发给控制单元。控制单元再把密钥发送给启动加密功能的TS1120磁带机。一旦磁带驱动器获得密钥,就可以通过光纤通道发送数据给驱动器。接下来是驱动器加密数据并写磁带。例子中的控制单元需要使用路由器,并定义有效的网络路径。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
2017最受关注的12家存储领头羊公司
2017开年,和您分享最受关注的12家企业存储厂商大名单。从该名单中,你可以看到存储巨头的最新动态及未来看点。
-
释放数据价值 聚焦软件革新
今天,随着越来越多的新应用需要云交付或部署,云存储需求正在不断增长。这就需要以新的方式,通过在现有存储硬件之上的一层软件去管理数据,从而驱动创新。
-
闪存联盟发布2016智库三百大行动 助推闪存落地的中国力量
随着云计算、大数据、物联网等技术的深入发展,互联网+不断促进各个行业转型,数据作为未来经济社会发展的重要资产,也将持续爆发式增长。数据的爆发式增长让我们不得不考虑如何更好的优化存储技术,这也是当前存储行业需要认真探讨和共同面对的问题。
-
认知商业时代 企业如何跨越数据临界点?
随着数据的指数级增长,人们迎来一个信息爆炸的时代,各行各业将迎来数据应用的临界点。针对这一趋势,企业如何能在在浩如烟海的信息中捕获价值,跨越数据临界点,走进认知商业时代,将信息转化为自身发展的力量成为转折关键。