词汇表
Abnormal end of task, abend(任务异常终止)
终止计算机处理任务的软件或硬件问题。
Advanced Encryption Standard, AES(高级加密标准)
FIPS 批准的 NIST 加密标准,用于保护电子数据。
AES
请参见 Advanced Encryption Standard(高级加密标准)。
Agent(代理)
可创建各种类型的加密代理与 OKM 进行交互,以便创建和获取加密材料。为加密启用时,StorageTek T10000 机型 A 和 B、T9840D 以及 HP LTO 第 4 代和第 5 代磁带机是几种类型的加密代理。
Agent API(代理 API)
请参见 Agent Library API(代理库 API)。
Agent Library(代理库)
代理库由代理用来从 OKM 中检索密钥材料。
Agent Library API(代理库 API)
代理库提供的 API。代理调用该 API。
Audit(审计)
请参见 Audit Log(审计日志)。
Audit Log(审计日志)
OKM 群集维护整个系统中发生的所有可审计事件的日志。代理可针对可审计事件向该日志中添加条目。
Auditor(审计员)
一种用户角色,可查看系统审计迹(审计列表事件和 KMA 安全参数)。
Autonomous Lock(自治锁定)
启用自治解锁功能后,需要由法定数目的安全官来解锁锁定的 KMA。禁用该功能后,KMA 可由任何安全官解锁。
Backup File(备份文件)
在备份过程中创建的文件,包含恢复 KMA 需要的所有信息。使用专为备份生成的密钥进行加密。密钥包含在相应的备份密钥文件中。
Backup Key File(备份密钥文件)
在备份过程中生成的文件,包含用于加密备份文件的密钥。该文件使用系统主密钥进行加密。使用法定数目的密钥拆分凭证从核心安全备份文件中提取主密钥。
Backup Operator(备份操作员)
一种用户角色,负责保护和存储数据和密钥。
BOT
Beginning of Tape(磁带开头)。
CA
请参见 Certificate Authority, CA(证书颁发机构)。
Certificate(证书)
证书是数字签名的文档,用于验证持有者的授权和名称。该文档由特殊格式的数据块组成,该数据块包含证书持有者的名称(主题 DN)、序列号、有效期、持有者的公钥、颁发者的 DN 和颁发者用于验证的数字签名。颁发者证明持有者的名称是与该文档中公钥关联的名称。
Certificate Authority, CA(证书颁发机构)
证书颁发机构可为最终用户注册、颁发证书,也可创建下层 CA。KMA 本身充当证书颁发机构,为用户、代理和其他 KMA 颁发证书。
Cluster(群集)
群集是一组密钥管理设备,这些设备组合到一个系统中,能够增强容错、可用性和可扩展性。
Communications key(通信密钥)
通过 LAN 从令牌传输到驱动器时又添加了一个加密和验证层。
Compliance Officer(合规官)
一种用户角色,管理您组织内的数据流动,可定义和部署数据上下文(密钥组),以及用于确定数据如何加以保护和最终销毁的规则(密钥策略)。
Critical Security Parameter(关键安全参数)
与安全性相关的信息(例如,加密密钥和加密私钥以及密码和 PIN 等验证数据),这些信息的披露或修改会损害加密模块的安全性。
Crypto-Accelerator
Crypto-Accelerator 是一个硬件设备(卡),可用于提高数据加密/解密的速率,从而提高高需求条件下的系统性能。
Crypto-active(加密-活动)
已在驱动器中开启加密功能的支持加密的磁带机。
Crypto-ready(加密-就绪)
能够开启设备加密并支持加密的磁带机。
Cryptography(加密技术)
通过将信息转换(加密)为不可读格式(称为密文)来保护信息的技术。只有拥有特殊密钥的用户可将消息破译(解密)为其原始格式。
Cryptoperiods(密码有效期)
密钥可用于加密的时间长度。起始时间是密钥最初分配给驱动器时。该值对应于 NIST 800-57 中的“发起者使用期间”。
Data Unit(数据单元)
数据单元是 OKM 中的抽象实体,表示与 OKM 策略和加密密钥关联的存储对象。数据单元的具体定义由创建它的加密代理定义。对于磁带机,数据单元是盒式磁带。
Device key(设备密钥)
使磁带机实现加密。KMS 版本 1.x 的术语。
EKT
Enabling key token(启用密钥令牌,设备密钥)。KMS 版本 1.x 的术语。
Enable key(启用密钥)
64 个字符的唯一密钥,用于启用磁带机。另请参见 PC Key(PC 密钥)。
Encryption(加密)
将数据转换为秘密代码。加密是实现数据安全最有效的方法之一。要读取加密的文件,必须获取特殊的密钥或密码将其解密。
FIPS
Federal Information Procession Standard(联邦信息处理标准)。美国国家标准与技术研究院 (National Institute of Standards and Technology, NIST) 是美国商务部技术管理和实验室的非监管联邦机构,负责开发和推广一些标准和技术,包括:
-
计算机安全部门和资源中心 (Computer Security Division and Resource Center, CSRC)
-
联邦信息处理标准 (Federal Information Processing Standard, FIPS)
有关更多信息,请访问:
http://www.nist.gov/
GUI
Graphical User Interface(图形用户界面)。
Hash Message Authentication Code, HMAC(散列消息验证代码)
在加密技术中,加密的散列消息验证代码 (Hash Message Authentication Code, HMAC) 是一种使用加密散列函数结合密钥计算出的消息验证代码 (Message Authentication Code, MAC)。
Internet Protocol, IP(Internet 协议)
用于在 Internet 环境中将数据从源传送到目标的一种协议。
Internet Protocol (IP) address(Internet 协议 (Internet Protocol, IP) 地址)
一个四字节值,用于标识设备,使其可通过网络访问。IP 地址的格式是一种 32 位数字地址,写作用句点分隔的四个数值。每个数值的范围为 0 至 255。例如,10.172.145.23 就可能是一个 IP 地址。
又称为 TCP/IP 地址。
Key(密钥)
在此上下文中,密钥是指对称数据加密密钥。代理可请求新的密钥材料用于加密对应于一个或多个数据单元的数据。一个密钥属于一个密钥组,所以只有与该密钥组关联的代理可访问该密钥。密钥有加密和解密密码有效期,该期间由与特定密钥的密钥组关联的密钥策略规定。密钥类型(即其长度和算法)由加密代理指定。
Keys(密钥)
由 Oracle Key Manager 生成的位随机字符串,从键盘输入或购买。密钥类型包括:
Key Group(密钥组)
密钥组用于组织密钥并将其与密钥策略关联。密钥组也可用于强制加密代理访问密钥材料。
Key Management Appliance, KMA(密钥管理设备)
预装入 OKM 软件的 Netra SPARC T4-1、Sun Fire X2100 M2、X2200 M2 或 X4170 M2 服务器。该设备提供基于策略的密钥管理和密钥置备服务。
Key Policy(密钥策略)
密钥策略提供要应用于密钥的密码有效期设置。每个密钥组有一个密钥策略,一个密钥策略可应用于零个或多个密钥组。在策略中指定的加密和解密密码有效期限制密钥的使用并触发密钥生命周期事件,例如取消激活或销毁密钥。
密钥策略还控制可在什么位置将密钥策略管理的密钥导出到其他密钥传输伙伴或从其他密钥传输伙伴导入。
Key Transfer File(密钥传输文件)
包含密钥和关联数据单元(如果已定义)的文件,用于将密钥材料从一个 OKM 群集移至另一个。传输双方都必须配置数据交换另一方的密钥传输伙伴。密钥传输文件将经过签名和加密,以确保传输信息的保密性和完整性。
Key Transfer Partner(密钥传输伙伴)
密钥传输伙伴是从一个 OKM 导出到另一个 OKM 的密钥的接收方。
KMA
请参见 Key Management Appliance(密钥管理设备)。
Media key(介质密钥)
加密和解密盒式磁带上的客户数据。
network(网络)
一种节点和分支布置方式,通过软件和硬件链路将数据处理设备彼此连接起来,以便进行信息交换。
NIST
National Institute of Standards and Technology(美国国家标准与技术研究院)。
OKM
请参见 Oracle Key Manager。
OKM Cluster(OKM 群集)
一个或多个互连 KMA 的组合。OKM 中的所有 KMA 应该具有相同的信息。仅当 OKM 关闭或当新建的信息尚未传播到 OKM 群集中的所有 KMA 时才不是这样。对 OKM 群集中任何 KMA 执行的操作最终都会传播到 OKM 群集中的所有 KMA。
OKT
Operational key token(运行的密钥令牌,介质密钥)。KMS 版本 1.x 的术语。
Operator(操作员)
一种用户角色,负责管理系统的日常操作。
Oracle Key Manager (OKM)
提供密钥管理的系统。Oracle 系统有一个代表加密代理提供密钥管理的 OKM 组件。
PC Key(PC 密钥)
使磁带机能够在加密的模式下读取和写入。
Quorum Member(法定成员)
一种用户角色,可查看和批准待处理的法定操作。
Read key(读取密钥)
这是一个介质密钥,在从磁带中读取数据时使用。
Rijndael algorithm(Rijndael 算法)
美国国家标准与技术研究院 (National Institute of Standards and Technology, NIST) 为高级加密标准 (Advanced Encryption Standard, AES) 选择的一种算法。发音是 "rain-dahl",这种算法由两位比利时密码学家 Vincent Rijmen 和 Joan Daemen 设计而成,他们的姓氏反映在密码名称中。
RSA
在加密技术中,RSA 是一种适用于公钥加密的算法,由 MIT 的 Ron Rivest、Adi Shamir 和 Leonard Adleman 创建而成。字母 RSA 是他们姓氏的首字母。
Secure Hash Algorithm, SHA(安全散列算法)
安全散列算法是加密散列函数,由国家安全局 (National Security Agency, NSA) 设计而成,由 NIST 作为美国联邦信息处理标准发布。
Security Officer(安全官)
一种用户角色,管理安全设置、用户、站点和传输伙伴。
Security Policy(安全策略)
对组织数据的敏感性、可能会访问该数据的各种主体,以及管理和控制数据访问所依据规则的严格声明。
Shamir's Secret Sharing(Shamir 密钥共享)
一种加密算法,将一个密钥分成几个部分,为每个参与者分配唯一的部分,要重构密钥,需要其中某些部分或全部。依靠所有参与者组合在一起重构密钥可能不切实际,因此要使用法定或阈值方案。
Site(站点)
站点是每个 OKM 和加密代理的属性,表示网络邻近性或局部性。加密代理应该先尝试联系同一站点中的 KMA,如果本地站点中没有 KMA 响应,然后再尝试联系不同站点中的 KMA。
System Dump(系统转储)
一项用户调用的操作,导致将所有相关数据收集到一个文件中,然后将该文件下载到用户调用这项操作的计算机上。下载完成后,该文件将从 KMA 中删除。
T10000 tape drive(T10000 磁带机)
T10000 磁带机是专为高容量数据存储设计的小型模块化高性能磁带机。T10000A 最多存储 500 千兆字节 (GB) 未经压缩的数据,T10000B 最多存储 1 兆兆字节,T10000C 最多存储 5 兆兆字节,T10000D 最多存储 8 兆兆字节。
TDE
请参见 Transparent Data Encryption, TDE(透明数据加密)。
Token(令牌)
KMS 版本 1.x 的术语。
令牌是手持智能设备,通过以太网连接连接到令牌托架。令牌的两种作用是:
Token bay(令牌托架)
KMS 版本 1.x 的术语。
容纳物理令牌的机箱,通过后面的盲插连接器为一个或两个令牌提供电源和连接。令牌托架与标准的 19 英寸机架(外形规格为 1U)兼容。令牌托架有两种样式:桌面和机架装配。
Transparent Data Encryption, TDE(透明数据加密)
Oracle 数据库管理系统的一项功能,为加密和解密敏感的数据库信息提供服务。
Transport Layer Security, TLS(传输层安全性)
一种加密协议,在 Internet 上为 Web 浏览、电子邮件、Internet 传真、即时消息传送和其他数据传输等提供安全通信。
UID
一个字符串,当作 OKM 实体(例如加密代理或用户)的唯一标识符。
Ultra Tape Drive Encryption Agent(超级磁带机加密代理)
超级合规加密磁带机利用超级磁带机加密代理软件进行密钥管理。这些磁带机从要与磁带卷结合使用的 OKM 获取密钥材料。从 BOT 的每次写入都会导致使用用于卷上数据加密的最新密钥材料。因此,数据单元的定义将映射到磁带卷,其中数据单元的外部 ID 是卷序列号。
UTC
Coordinated Universal Time(国际协调时间)。
Volume Serial Number(卷序列号)
包含六个字符的字母数字标签,用于标识磁带卷。
Wrap key(包装密钥)
加密 LAN 和令牌上的介质密钥。
Write key(写入密钥)
这是一个介质密钥,在向磁带中写入数据时使用。
Zeroize(归零)
通过更改或删除数据存储的内容,擦除以电子方式存储的数据、加密密钥和关键安全参数,以防止数据恢复。