数字证书

　　如前所述，非对称密钥有身份确认的功能，由此人们开始有了用密钥表示身份的想法，于是数字证书诞生了。所谓数字证书是一种将公钥信息和身份绑定的方法。数字证书通常包括以下内容：

　　证书颁发者的名称

　　身份(Subject Distinguished Name -DN)

　　证书持有人的公钥

　　公钥有效期

　　数字证书的序列号

　　证书颁发者的数字签名

　　磁带加密

　　加密技术应用于磁带就是磁带加密。本节我们将追从数据的路径(从系统到磁带，从加密到解密)为读者介绍磁带驱动器与EKM(密钥管理器)之间如何通讯，如何传递密钥，以及磁带加密的三种方法：

　　应用管理加密

　　库管理加密

　　系统管理加密

　　应用管理磁带加密介绍

　　IBM的磁带加密解决方案支持三种类型的磁带加密。我们首先来看应用管理磁带加密。

　　

　　图中有一台TS3500磁带库，使用具有加密功能的TS1120驱动器，启动了加密功能。TS3500通过光纤通道连接服务器，服务器上安装并运行TSM软件。本例，将使用这套TSM软件实现磁带加密管理和密钥管理。

　　磁带库通过光纤通道连接服务器上的设备驱动，而设备驱动程序又与TSM通讯。TSM管理着磁带驱动器使用的256位的AES DK。数据写入磁带，DK则通过光纤通道发送给磁带驱动器。

　　TSM软件既控制备份什么数据，又管理使用什么密钥来完成数据的加/解密。

　　注释：如果使用应用管理磁带加密方式加密，就必须使用应用管理方式解密。同时，因为DK被保存在TSM的数据库中，因此，必须使用相同的数据库。

　　库管理磁带加密介绍

　　

　　如上图所示，我们使用TS3500磁带库，启动加密功能的TS1120磁带机。磁带库自己管理加密策略。图中的磁带库通过光纤通道和开放系统服务器相连，服务器上运行EKM，并由EKM负责生成AES DK和存储符合RSA算法的密钥对，这些密钥对将用来生成EEDK。

　　应用程序发送写请求给磁带机。当磁带装入带库，磁带库首先要确认磁带是加密的还是没加密的。如果是加密的磁带，TS1120会通过库体和服务器的TCP/IP连接向EKM申请用来加密数据的密钥。数据通过光纤通道被传递到磁带驱动器，被驱动器加密(使用从EKM获得的DK)后写入磁带。

　　注释：在库管理磁带加密解决方案中，TS1120驱动器通过库体和EKM通讯;TS3500磁带库有策略判断磁带是否为加密的。