使用密码时的密钥管理

WebSphere® Application Server 提供了一个框架，用于管理应用程序用于对数据执行加密操作的密钥 (密钥或密钥对)。 密钥管理框架提供类装入器一个应用程序编程接口 (API) 来检索这些密钥。 密钥在密钥库中进行管理，因此密钥库类型可以由 WebSphere Application Server支持，前提是密钥库可以存储引用的密钥类型。 您可以配置密钥和限定密钥库的范围，以使得只有特定进程、节点和集群等才能看见它们。

密钥管理基础结构基于以下两种密钥配置对象类型：密钥集和密钥集组。 WebSphere Application Server 使用密钥集来管理相同类型的密钥实例。 可以根据密钥或密钥对生成器类来将密钥集配置为生成单个密钥或密钥对。 密钥集组负责管理一个或多个密钥集，并且允许您同时配置和生成不同的密钥类型。 例如，如果应用程序需要将密钥和密钥对同时用于加密操作，那么可以配置两个密钥集，一个用于密钥对，另一个用于密钥集组管理的密钥。 密钥集组控制密钥（包括时间表）的自动生成特征。 该框架可以在预定时间（例如，星期几以及一天当中的某一时间）自动生成密钥，因此可以选择在非高峰期生成密钥。

图 1 显示了一个密钥集组示例，该密钥集组被配置为管理以下两个密钥集：密钥集 1 和密钥集 2。

密钥集 1 将生成密钥对。 密钥集 2 将生成密钥。 应用程序同时需要将这两种类型的密钥用于对数据执行加密操作、签名和加密。 需要一前一后地生成每个密钥集的密钥。 应用程序会存储密钥集组名和已加密的数据。 密钥集组会在每周星期天晚上 11 点生成一组新的密钥。 应用程序会将密钥生成数据保留两周。