加密电子学习课程

加密是一种将数据更改为不可读取的格式的过程，加密的数据只有在解密之后才能读取。加密之后的数据称为密文。未经加密的数据称为明文。密文被视为安全数据，对没有解密密钥的任何人保密。

加密过程中可以使用的两种加密算法类型为：对称和非对称。在对称加密算法中，使用公用密钥来加密和解密数据。由于对称加密算法通常比非对称加密算法速度更快，因此通常使用对称加密算法来加密和解密成批数据。

在非对称加密算法中，使用一个密钥来加密数据，使用另一个密钥来解密数据。这两个密钥唯一相关，被称为公共-专用密钥对。其中的每个密钥都可以用于加密消息，然后使用关联的密钥来解密数据。专用密钥必须由所有者保管，而公共密钥可对所有人公开。如果发件人使用专用密钥加密数据，那么任何具有公用密钥的人都可以进行解密，因此可以确定这些数据是由专用密钥所有者发送的。此技术用于创建数字签名。如果发件人使用公共密钥加密数据，那么只有专用密钥的所有者可以进行解密。有时，此技术可以用于在两个个人之间安全地发送少量数据。

无论使用对称还是使用非对称加密算法方法，如果丢失了解密密钥的所有副本，那么也会丢失数据。如果没有解密密钥，那么无法解密关联的密文。包含在密文中的数据将被视为已经使用密码擦除。

鉴于处理和管理加密密钥时的敏感性以及正常情况下所管理的加密密钥数的数量，可能会要求在普通环境中使用密钥服务器。如果服务器运行密钥管理软件，就可以用作密钥服务器。DS8000 系统通过使用 IBM® Tivoli® Key Lifecycle Manager 软件和 IBM Full Disk Encryption 功能部件来支持数据加密。有关这些产品的交互方式的更多信息，请参阅联机文档内的 Tivoli Key Lifecycle Manager 部分。

IBM Full Disk Encryption（或 FDE）磁盘驱动器采用对称加密算法，利用公共加密或解密密钥来加密和解密数据。使用的算法为高级加密标准（或 AES）算法。在写入时，始终使用加密密钥来加密磁盘上的数据；在读取时，始终使用解密密钥进行解密。磁盘未锁定时，将允许任何发起者读取和写入数据，并且加密密钥以明文形式存储在磁盘的特殊区域中。

磁盘已锁定时，会将访问凭证分配给用于通过 AES 算法加密密钥并将其存储在磁盘特殊区域中的磁盘。磁盘已锁定时，将会要求发起者提供访问凭证，以便驱动器解锁加密或解密密钥，然后加密或解密数据。无论何时断电，磁盘都会从内存中删除加密密钥的明文版本，这样，断电之后的已锁定驱动器不允许在没有访问凭证的情况下访问数据。

在 DS8000 系统上启用加密时，创建列组时会锁定磁盘，同时分配访问凭证。该过程在存储数据之前发生。要访问数据，每次对已锁定的磁盘供电时，DS8000 系统都必须提供访问凭证。如果删除了列组，磁盘将会生成新的加密密钥，新密钥将会取代现有加密密钥，并通过密码擦除磁盘。

DS8000 使用从 Tivoli Key Lifecycle Manager 获取的数据密钥，为已经锁定的 IBM 全磁盘加密驱动器生成访问凭证。完成此步骤之后，DS8000 可以在磁盘上写入和读取数据，写入时磁盘会加密数据，读取时会解密数据。

如果没有对 Tivoli Key Lifecycle Manager 的访问权，那么 DS8000 系统将无法获取磁盘访问凭证，因此无法在磁盘上读取或写入数据。在 DS8000 系统上配置加密组时，系统会从 Tivoli Key Lifecycle Manager 获取数据密钥。

避免任何密钥服务器实现出现加密死锁，这一点非常重要。密钥服务器运行所需的任何数据都不能存储在需要通过密钥服务器才能访问数据的位置。例如，不要在保险库内部锁定空的保险库组合。

要防止出现密钥服务器加密死锁，可以让多个个人有权访问任何一部分用于确定加密密钥的信息。如果使用此方法，可以配置冗余密钥服务器。

冗余密钥服务器是两台或多台使用独立通信路径来加密存储设备的服务器。在可以创建加密组之前，必须至少创建两台密钥服务器。有关冗余和预防死锁的更多信息，请参阅联机文档内的“加密概念”部分。

要防止 DS8000 系统出现加密死锁，可以遵循我们建议的多个最佳做法进行操作。首先，在 Tivoli Key Lifecycle Manager 密钥服务器上手动配置 DS8000 设备。手动配置可以将设备与特定密钥标签关联，以便可以检测出该关联，并帮助避免对活动的密钥标签进行意外归档或删除。自动配置会自动将设备关联到缺省密钥标签。

另一个最佳做法是使用 Tivoli Key Lifecycle Manager 将唯一密钥标签分配给 DS8000 存储设备映像。这便于独立管理各个存储映像。

DS8000 支持多达四个密钥服务器端口。请至少将其中一个密钥服务器端口分配给独立的密钥服务器。剩余的端口可以连接到常规密钥服务器。

最后，要在站点故障期间改善可靠性，请在本地站点使用密钥服务器，而不要在远程站点使用。有关更多信息，请参阅联机文档的“加密存储环境的最佳做法”部分。

如果发生加密死锁，可以使用恢复密钥从死锁中进行恢复。恢复密钥是在配置过程中生成的，密钥生成过程由两个用户执行。安全管理员申请恢复密钥，存储器管理员对该密钥进行授权。如果发生加密死锁，需要这两个用户同时执行恢复操作。

配置 DS8000 以进行加密时，需要执行若干步骤。开始之前，需要首先登录到IBM System Storage® DS8000 Storage Manager。第一步是创建密钥服务器。在导航窗格中，选择配置 > 加密密钥服务器。然后从“操作”菜单中选择创建密钥服务器，然后按照面板指示信息进行操作。

接下来是创建加密恢复密钥。安全管理员通过浏览到“管理加密组”面板并选择“创建恢复密钥”来申请密钥。安全管理员生成密钥，对密钥进行验证并将其存储在安全位置。然后，存储器管理员登录并对恢复密钥进行授权。

接下来，必须创建加密组。这是启用了加密并通过 Tivoli Key Lifecycle Manager 上一个或多个指定的密钥标签进行管理的 DS8000 系统上的数据块池集合的容器。要创建加密组，请刘兰芝“管理加密组”面板，并选择操作 > 生成组，然后按照面板上的指示信息进行操作。最终，在“管理磁盘配置”面板中，在创建数据块池或列组时指定加密组。

National Institute of Technology 或 NIST 是美国的一个组织，该组织发布的标准可以提供指南来帮助使用密码算法保护敏感数据。请注意，运行 V7.2 的 DS8870 系统符合 NIST SP 800 131A 标准。但是，如果运行随附了获得许可的机器代码 V7.0.5 的系统，则需要升级到获得的许可机器代码 V7.2 或更高版本才能完成必需的配置。

要查找有关加密的更多信息，请参阅联机文档中的其他主题。