磁盘加密

存储系统支持使用全磁盘加密 (FDE) 功能进行数据加密。

FDE 磁盘在 DS8870 上是标准的。 这些驱动器以接口速度进行加密和解密,不会影响性能。

恢复密钥和双密钥服务器支持在 DS8870 上可用。要获取 FDE 驱动器的列表,请参阅 驱动器组的功能部件代码

要启用加密,必须将存储系统配置为与两台或更多台 Security Key Lifecycle Manager 服务器进行通信。 硬件管理控制台 (HMC) 与密钥服务器之间的物理连接会通过因特网协议网络。

每个 FDE 驱动器都有一个加密密钥,用于包含数据的磁盘区域。当数据区域锁定时,该区域的加密密钥通过访问凭证进行打包并存储在磁盘介质上。 在断电之后对锁定区域上数据的读写访问会被阻止,直到正在访问该驱动器的发起方认证了当前活动的访问凭证为止。 当数据区域解锁时,该区域的加密密钥通过分配给该特定磁盘的唯一数据密钥进行打包并存储在磁盘介质上。 该数据密钥可由该设备及任何相连的发起方访问,打包的密钥存储在磁盘介质上。 对解锁区域中数据的读写访问不需要访问凭证和任何未在非 FDE 驱动器上使用的接口协议。 FDE 驱动器仍会使用加密密钥对数据进行加密和解密。然而,加密和解密过程对于发起方而言是透明的。

锁定属于已启用加密列组的 FDE 驱动器。 将解锁未指定备用驱动器或属于已禁用加密列组的 FDE 驱动器。 在将 FDE 驱动器添加到已启用加密的列组时,会执行锁定操作。 当删除已启用加密的列组时或当已启用加密的列组成员变成备用驱动器时会执行解锁操作。解锁意味着会对 FDE 驱动器执行密码擦除。 当删除已禁用加密的列组时,还会对 FDE 驱动器执行密码擦除。 通过删除与可加密的扩展池关联的所有列组,可以对该扩展池中一组逻辑卷的数据执行密码擦除。

当磁盘发生故障时,将不会对 FDE 驱动器执行密码擦除。 在这种情况下,设备适配器可能不会主动尽快地阻止发生故障的驱动器使用该设备接口,从而防止该驱动器在该接口上引起任何其他问题。

存储设施映像 (SFI) 中每个已锁定驱动器的唯一访问凭证源自于它从 Security Key Lifecycle Manager 服务器获得的一个数据密钥。存储系统永久存储 EEDK 的多个独立副本,在启动之后必须能够与 Security Key Lifecycle Manager 服务器进行通信,以允许访问已启用加密的磁盘。

在可加密的存储系统的当前实施中,数据永久存储在下列某个位置:
您的磁盘上
通过从 Security Key Lifecycle Manager 服务器获得的数据密钥来管理属于已启用加密的列组的磁盘(例如,通过 DDM 安装组功能部件安装的 DDM)上的数据。该数据使用加密密钥(通过外部已加密的密钥来管理)进行加密。 属于未启用加密的列组的磁盘上的数据使用加密密钥(使用派生密钥来加密)进行加密,并存储在磁盘上。因此,该数据是意思模糊的密文。
系统磁盘上的 NVS 转储数据
如果启动强制电源关闭过程,那么正写入 NVS 存储器的数据使用加密密钥加密,并存储在存储系统中的系统磁盘上。 加密密钥使用派生密钥进行加密,并存储在系统磁盘上,从而使 NVS 数据意思模糊。 在电源恢复且初始微码装入期间数据已恢复到 NVS 存储器之后,会对系统磁盘上的数据执行密码擦除。
设备闪存中的原子奇偶性校验更新 (APU) 转储数据
如果启动强制电源关闭过程,那么正写入 RAID 6 阵列的设备适配器存储器的原子奇偶性校验数据会使用加密密钥进行加密。数据会存储在存储系统的设备适配器上的闪存中,每个设配适配器的数据限制为 32 MB,每二个存储设施的数据限制为 512 MB。
注: 通过 DS8000® 存储管理 GUI、命令行界面或通过 IBM® z Systems™ 电源控制界面完成的电源关闭请求并不会启动单元紧急电源关闭 (UEPO) 过程。UEPO 开关的激活或交流电源的断开却会启动电源关闭过程。

恢复密钥配置操作

在创建加密组之前,存储器管理员必须开始为存储系统 SFI 配置恢复密钥的过程。 每个已配置的加密组都有一个关联的恢复密钥。在不能通过任何密钥服务器访问加密组数据密钥时,您可以使用恢复密钥访问配置状态为不可访问的加密组中的数据。

安全性管理员会在配置过程中收到从 SFI 生成的 256 位密钥,必须安全地保存该密钥,以供将来发生加密死锁时使用。SFI 不会保存恢复密钥的副本。然后,存储器管理员必须批准恢复密钥配置请求以使其激活。在配置过程中,执行以下步骤:
  1. 安全性管理员启动配置恢复密钥功能。
  2. SFI 生成恢复密钥,并生成可产生恢复密钥签名的安全恢复密钥散列。
  3. SFI 生成随机密钥对(专用密钥是指主恢复密钥,公用密钥是指辅助恢复密钥)。
  4. SFI 存储已加密的主恢复密钥、辅助恢复密钥和恢复密钥签名,以供将来使用。为了可靠性,将已加密的主恢复密钥和辅助恢复密钥存储在多个位置。
  5. SFI 向安全性管理员提供恢复密钥。
  6. SFI 将主恢复密钥和恢复密钥置零,将恢复密钥置于正在等待验证状态,然后成功完成配置恢复密钥功能。
  7. 安全性管理员启动验证恢复密钥功能并输入恢复密钥。
  8. 存储器管理员启动授权恢复密钥功能。
  9. SFI 将恢复密钥设置为已配置状态,然后成功完成授权恢复密钥功能。

在安全密钥环境中,您可能会选择禁用恢复密钥而不是配置恢复密钥。虽然禁用恢复密钥会提高 DS8000 系统中已加密数据的安全性,但同时也会增加加密死锁的风险。

如果选择禁用恢复密钥,那么强烈建议您严格遵守防止加密死锁的准则。 不这么做可能会导致受密钥服务器管理的所有已加密数据永久丢失(如果发生加密死锁)。

恢复密钥的状态必须为未配置,才能禁用该恢复密钥。恢复密钥过程包含以下操作:
  1. 安全性管理员请求禁用恢复密钥。 此操作会将恢复密钥状态从未配置更改为正在等待禁用授权
  2. 存储器管理员授权恢复密钥禁用。 此操作会将恢复密钥状态从正在等待禁用授权更改为已禁用

    配置的每个加密组都有其自己的恢复密钥,并且可以进行配置或禁用。 当前实施支持单个加密组和单个恢复密钥。

加密组处于未配置状态之后,就可以重新启用加密组的恢复密钥。 此操作暗示了必须预先进行的已加密卷、列组和扩展数据块池的分解。 以下为启用恢复密钥的过程信息:
  1. 安全性管理员请求启用恢复密钥。 此操作会将恢复密钥状态从已禁用更改为正在等待启用授权
  2. 存储器管理员授权恢复密钥启用。 此操作会将恢复密钥状态从正在等待启用授权更改为未配置
  3. 在创建加密组之前,执行正常的恢复密钥配置步骤来配置恢复密钥。
相关概念:
加密死锁
防止加密死锁