IBM磁带加密技术原理概述（四）

ccaq5753

系统管理磁带加密介绍
　　系统管理磁带加密方式，z/OS上的DFSMS(运行在z/OS上的Data Facility Storage Management Subsystem)和AIX上的Atape都支持该种方式。在开放系统中，这种支持采用的是带内方式，即驱动器和EKM之间的通讯是通过光纤通道传递的。
　　

　　Z/OS上则两种方式都支持。带内方式：驱动器和服务器代理通过ESCON/FICON通道进行连接，而服务器代理和EKM则采用TCP/IP连接。带外方式：磁带控制器和EKM服务器通过TCP/IP连接。采用带外管理需要使用路由器。VM，VSE，TPF，zLinux只支持带外方式。
　　带内
　　下图为开放系统环境中数据流和密钥流的示意图。范例中Atape是设备驱动，也用来设置系统的加密策略。本配置只适合AIX系统。
　　应用发送读写请求给Atape。磁带驱动器，根据策略，通过Atape向EKM申请密钥，EKM则通过光纤通道将密钥传递给驱动器。驱动器或者一边接收数据、加密数据并备份到磁带上，或者从磁带读数据、解密数据并将数据明文通过光纤通道传递出去。
　　在这个环境中，磁带驱动器和EKM间的通讯是通过Atape驱动程序进行的。Atape驱动中包含判断卷是否为加密的策略。
　　

　　Z/OS带内
　　

　　EKM随着JCECCARACFKS被调入。DFSMS处理加密策略，Z/OS的IOS(I/O Ssupervisor)组件跟踪我们的EKM地址(最多两个地址)。当应用请求发送数据给磁带或者从磁带读数据时，可以通过DFSMS中的数据类结构定义加密策略。
　　EKM向RACF发出读取密钥材料的申请，而RACF则使用ICSF从硬件加密的PKDS获得密钥材料，并返回给EKM。当EKM完成了这些密钥操作，它会通过TCP/IP将密钥发送给IOS。IOS则通过FICON/ESCON通道，把密钥发送给控制单元，控制单元再把信息发送给启动加密功能的TS1120磁带机。一旦驱动器获得了DK，就可以通过光纤通道发送数据给驱动器。驱动器加密数据并写磁带。
　　Z/OS带外
　　

　　在Z/OS平台使用带外方式，不需要借助IOS代理来和EKM通讯。本例中我们使用JCECCAKS。
　　DFSMS处理加密策略，控制单元则保留我们EKM的地址(最多两个地址)。当应用请求发送数据给驱动器或者从磁带读取数据，会通过DFSMS的数据类结构检查加密策略。
　　然后EKM使用ICSF从加密硬件读取密钥材料。当EKM完成这些密钥操作，它会通过TCP/IP连接把申请来的密钥发给控制单元。控制单元再把密钥发送给启动加密功能的TS1120磁带机。一旦磁带驱动器获得密钥，就可以通过光纤通道发送数据给驱动器。接下来是驱动器加密数据并写磁带。例子中的控制单元需要使用路由器，并定义有效的网络路径。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/72069/showart_1010698.html