加密数据集

您可以对与支持 z/OS® 数据集加密的 CICS® 配合使用的任何数据集进行加密。

开始之前

检查支持 z/OS 数据集加密的数据集类型,以及作为加密候选者的 CICS 系统数据集。 请参阅 规划数据集加密

确保您已设置要使用的密钥标签。 请参阅 Managing Cryptographic Keys Using the Key Generator Utility Program in z/OS Cryptographic Services ICSF Administrator's Guide

确保完成 RACF® 任务以提供创建加密数据集的权限以及提供对密钥标签的访问权,包括以下任务:
  • 授予对 STGADMIN.SMS.ALLOW.DATASET.ENCRYPT CL(FACILITY) 的读访问权,以允许用户创建加密数据集。
  • 授予对密钥标签的读访问权。 当用户尝试访问加密数据集时, RACF 通过检查对 CSFKEYS 和 CSFSERV 类中相关概要文件的访问权,检查用户是否有权在进行任何加密之前使用密钥标签。 有关这些类的更多信息,请参阅 z/OS DFSMS 使用数据集

过程

  1. 创建加密密钥和关联的密钥标签,或者使用现有密钥标签。
  2. 分配数据集的新实例,指定扩展格式和数据集键标签。
    1. 通过下列其中一种方法指定扩展格式:
      • 通过 SMS 数据类,使用 DSNTYPE=EXT 参数和 R (必需) 或 P (首选) 子参数。 指定 R 以确保以扩展格式分配数据集。
      • 在 JCL DD 语句上使用 DSNTYPE 参数,其值为 EXTREQ (必需) 或 EXTPREF (首选)。 指定 EXTREQ 以确保以扩展格式分配数据集。 在 JCL DD 语句上指定的 DSSNTYPE 将覆盖为数据类设置的任何 DSNTYPE。

      当您指定扩展格式时,如果您还需要数据集的该选项,请确保仅指定扩展寻址属性。

    2. 通过下列其中一种方法指定数据集密钥标签:
      • 在 RACF 数据集概要文件上,使用 DATAKEY 关键字。
      • 通过使用 DSKEYLBL 关键字的 JCL。
      • 通过 DALDKYL 文本单元进行动态分配。
      • 通过使用 DSKEYLBL 的 TSO 分配。
      • 通过 DEFINE CLUSTER 的 KEYLABEL 参数在 IDCAMS DEFINE 上。
      • 在 SMS 数据类上,通过在 DEFINE/ALTER 面板上指定 数据集键标签 字段。
      通过多个接口指定数据集密钥标签时,优先顺序如下:
      1. RACF 数据集概要文件
      2. JCL ,动态分配, TSO 分配或 IDCAMS DEFINE
      3. SMS 数据类

      请考虑要在计划加密的数据集组中使用的不同密钥标签的详细程度,以便在管理密钥标签的便利性与最大程度地保护数据之间实现平衡。 这也有助于确定用于指定密钥标签的相应机制。

  3. 跨数据从现有数据集复制到新的加密数据集。
    使用相应的 DFSMS 函数 (例如 REPRO) 或 EXPORT 和 IMPORT 函数。 典型序列如下所示:
    1. 创建新数据集。
    2. 从旧数据集中复制数据。
    3. 删除旧数据集。
    4. 将新数据集重命名为旧名称。