1 介绍
Oracle Key Manager (OKM) 可以创建、存储和管理加密密钥。它由以下组件构成:
-
密钥管理设备 (Key Management Appliance, KMA)-一个安全性得到强化的组件,提供基于策略的密钥生命周期管理、验证、访问控制和密钥置备服务。作为存储网络的信任机构,KMA 确保所有存储设备都进行了注册和验证,所有加密密钥创建、置备和删除都符合规定的策略。
-
OKM GUI-在工作站上执行的图形用户界面,通过 IP 网络与 KMA 通信来配置和管理 OKM。OKM Manager GUI 必须安装在客户提供的工作站上。
-
OKM CLI-两个命令行界面 (command line interface, CLI) 实用程序,支持 OKM Manager GUI 的相同功能的子集。这些 CLI 允许自动执行各种任务,例如备份、密钥导出以及审计报告。
-
代理-使用 OKM 群集管理的密钥执行加密的设备或软件。这包括 Oracle StorageTek 加密磁带机和具有透明数据加密 (Transparent Data Encryption, TDE) 的 Oracle 数据库服务器。
代理通过代理 API 与 KMA 通信。代理 API 是合并到代理硬件或软件中的一组软件接口。
注:
有关使用具有 TDE 的 OKM 的信息,请参见附录 B, "将 OKM 与高级安全透明数据加密 (Transparent Data Encryption, TDE) 结合使用"。
OKM 概念
将讨论以下 OKM 概念:
-
OKM 群集
-
代理
-
网络连接
-
初始设置-直接连接或远程控制台
-
初始设置-QuickStart 程序
-
密钥生命周期
-
状态转换
-
OKM 密钥状态和转换
-
用户和基于角色的访问控制
-
数据单元、密钥、密钥组和密钥策略
OKM 群集
OKM 支持多个 KMA 的群集,其提供负载平衡和故障转移。OKM 群集中的所有 KMA 都以主动/主动方式操作。所有 KMA 都可以为任何代理提供所有功能。在一个 KMA 上执行的操作将快速复制到群集中的其他所有 KMA。
网络连接
OKM 使用 TCP/IP 网络在运行 OKM Manager GUI 的 KMA、代理和计算机之间建立连接。为了提供灵活网络连接,提供了两个接口以在 KMA 上建立网络连接:
-
管理连接,用于连接到客户网络
-
服务连接,用于连接到磁带机。
通过生产 KMA 安装,可以得到特定于磁带库的附件工具包,其包括用于连接到磁带机和 KMA 的交换机和电缆。如图 1-1 中所示。
初始设置-直接连接或远程控制台
通过控制台连接执行 KMA 初始设置。可以通过以下方法执行此操作:通过使用直接连接到 KMA 的监视器和键盘,或者通过 Embedded Lights Out Manager (ELOM) 或 Integrated Lights Out Manager (ILOM) 中的远程控制台功能。ELOM 或 ILOM 提供与控制台的远程连接,使您可以执行服务器功能。
ELOM/ILOM 远程控制台功能需要第三方网络连接,其在图 1-1 中标记为“ELOM/ILOM 网络”。必须按"通过服务处理器访问 KMA"中所述配置 ELOM 或 ILOM 的 IP 地址,以便可以使用远程控制台功能。
注:
通常,ELOM/ILOM 网络实际上是与客户网络相同的网络。初始设置-QuickStart 程序
打开处于出厂默认状态的 KMA 的电源时,会在控制台上运行名为 QuickStart 的向导功能以执行初始设置。完成后,大多数其他功能都可以从 OKM Manager GUI 来执行。受限功能控制台界面会对一小组功能保持活动状态。
密钥生命周期
密钥将根据密钥策略经历一个生命周期。OKM 强加的生命周期基于 NIST 800-57 准则。添加了几个其他状态来处理 OKM 的细微区别。
密钥生命周期基于密钥策略中定义的两个时间段:
-
加密期间
-
密码有效期
加密期间是分配了可用于加密数据的密钥之后的期间。密码有效期是可用于解密的期间。两个期间都以分配密钥时的相同时间开始。
图 1-2 显示了密钥生命周期中的时间段。
OKM 密钥状态和转换
在图 1-3 中,以红色显示的状态和转换是由 OKM 添加的。检查 OKM Manager 中的密钥时,仅列出最深层的状态。下面列出了 OKM 状态。
激活前
此状态指示密钥已经生成,但是尚不可用。在激活前状态中,密钥可以使用两个更深入的状态,即已生成和就绪。
活动
此状态指示密钥可用于保护信息(加密)或处理以前保护的信息(解密)NIST 状态,从而可以指定活动的密钥来执行仅保护、仅处理或者保护并处理操作。此外,该状态特别指示对于对称数据加密密钥,某个密钥可用于某个时间段来保护和处理信息,该时间段过期后,该密钥可以继续用于仅处理操作。
在活动状态内,OKM 添加两个子状态。这些状态使用 NIST 进行描述,但是不特别标识为状态。
已取消激活
此状态指示密钥已经过了其密码有效期,但是可能仍需要该密钥来处理(解密)信息。NIST 特别指示可以使用处于此状态的密钥来处理数据。
NIST 准则指示如果操作后密钥(包括已取消激活和已泄密密钥)需要保持可访问,应该对其进行归档。这是密钥恢复过程,允许从归档文件恢复密钥并使该密钥可供使用。
OKM 以 KMA 备份形式提供归档文件,但是不能从备份恢复单个密钥。因此,OKM 在 OKM 群集中保留操作后阶段密钥并在代理请求时提供该密钥。
用户和基于角色的访问控制
OKM 允许定义多个用户,每个用户具有用户 ID 和口令短语。可为每个用户提供一个或多个预定义角色。这些角色是:
-
安全官-执行 OKM 设置和管理
-
操作员-执行代理设置和日常操作
-
合规官-定义密钥组并控制代理对密钥组的访问
-
备份操作员-执行备份操作
-
审计员-可以查看系统审计迹
-
法定成员-查看和审批暂挂法定操作。
在 QuickStart 过程中定义安全官。在 QuickStart 完成后可以使用 OKM Manager GUI 定义其他用户。
每个角色允许进行的操作
表 1-3 列出了每个角色的功能。其中仅显示 GUI 和控制台允许进行的操作。虽然您可能看到某个操作,但是您尝试该操作时其可能会失败。如果在显示与尝试该操作之间从用户删除了角色,则可能发生这种情况。
所有角色(除审计员外)都必须创建起作用的加密系统。用户可以具有一个或多个角色。
法定保护
OKM 还为某些操作提供法定保护。您最多可以定义 10 个法定用户,阈值从一到法定用户数。此信息称为密钥拆分凭证(请参见"输入密钥拆分凭证")。
用户 ID 和口令短语与用于登录系统的用户 ID 和口令短语不同。尝试需要法定审批的操作时,将显示一个屏幕,允许所有法定用户输入其用户 ID 和口令短语。至少,您必须提供指定阈值数量的用户 ID 和口令短语,才允许执行该操作。
数据单元、密钥、密钥组和密钥策略
数据单元用于表示代理加密的数据。对于磁带机,数据单元是盒式磁带,数据单元始终存在。这不是基本要求,将来的代理可以在不定义数据单元的情况下进行操作。
密钥是实际密钥值(密钥材料)及其关联的元数据。
密钥策略定义管理密钥的参数。这包括生命周期参数(例如加密期间和密码有效期)和导出/导入参数(例如,允许导入、允许导出。)
密钥组将密钥与密钥策略关联起来。密钥组具有特定密钥策略并分配给代理。每个代理具有一系列允许的密钥组。仅允许代理检索分配给该代理的其中一个允许密钥组的密钥。代理还具有默认密钥组。代理创建密钥(更具体来说,将其分配给数据单元)时,会将密钥放入该代理的默认密钥组中。存在适当功能,允许代理对密钥组进行更复杂的控制。但是,现有代理不能利用此功能。
为了系统可以工作,至少需要定义一个密钥策略和一个密钥组。该密钥组必须分配为所有代理的默认密钥组。
TCP/IP 连接和 KMA
如果实体(OKM Manager、代理及同一群集中的其他 KMA)与 KMA 之间存在防火墙,该防火墙必须允许该实体在以下端口上与 KMA 建立 TCP/IP 连接:
-
OKM Manager 到 KMA 通信需要端口 3331、3332、3333、3335。
-
代理到 KMA 通信需要端口 3331、3332、3334、3335。
-
KMA 到 KMA 通信需要端口 3331、3332、3336。
注:
如果用户配置其 KMA 使用 IPv6 地址,则配置基于 IPv4 的边缘防火墙来删除所有出站 IPv4 协议 41 数据包和 UDP 端口 3544 数据包,以防止 Internet 主机使用任何 IPv6-over-IPv4 隧道通信访问内部主机。有关详细信息,请参阅防火墙配置文档。表 1-1 列出了 KMA 显式使用的端口或者 KMA 提供服务的端口。
| 端口号 | 协议 | 方向 | 描述 |
|---|---|---|---|
|
22 |
TCP |
侦听 |
SSH(仅当启用技术支持时) |
|
123 |
TCP/UDP |
侦听 |
NTP |
|
3331 |
TCP |
侦听 |
OKM CA 服务 |
|
3332 |
TCP |
侦听 |
OKM 证书服务 |
|
3333 |
TCP |
侦听 |
OKM 管理服务 |
|
3334 |
TCP |
侦听 |
OKM 代理服务 |
|
3335 |
TCP |
侦听 |
OKM 搜索服务 |
|
3336 |
TCP |
侦听 |
OKM 复制服务 |
表 1-2 显示了在可能未使用的端口侦听的其他服务。
| 端口号 | 协议 | 方向 | 描述 |
|---|---|---|---|
|
53 |
TCP/UDP |
连接 |
DNS(仅当 KMA 配置为使用 DNS 时) |
|
68 |
UDP |
连接 |
DHCP(仅当 KMA 配置为使用 DHCP 时) |
|
111 |
TCP/UDP |
侦听 |
RPC(KMA 对 rpcinfo 查询进行响应)。此端口仅在 KMS 2.1 和更早版本中才向外部请求开放 |
|
161 |
UDP |
连接 |
SNMP(仅当定义了 SNMP 管理器时) |
|
546 |
UDP |
连接 |
DHCPv6(仅当 KMA 配置为使用 DHCP 和 IPv6 时) |
|
4045 |
TCP/UDP |
侦听 |
NFS 锁定守护进程(仅限 KMS 2.0) |
注:
端口 443 必须开放,以便客户可以通过防火墙访问服务处理器 Web 界面和 OKM 控制台。请参阅《Oracle Key Manager Installation and Service Manual》来查看 ELOM 和 ILOM 端口。
OKM Manager 软件要求
要运行 OKM Manager,需要运行以下操作系统之一的工作站:
-
Solaris 10 10/09 (Update 8) x86
-
Solaris 10 9/10 (Update 9) SPARC
-
Solaris 10 9/10 (Update 9) x86
-
Microsoft Windows 7 Business
-
Microsoft Windows 7 Enterprise
-
Microsoft Windows Vista Business
-
Microsoft Windows XP Professional 版本 2002
-
Microsoft Windows XP Professional
-
Microsoft Windows Server 2008 版本 6.0
-
Microsoft Windows Server 2003 R2 Standard Edition
-
Microsoft Windows Server 2003
您不需要具有 Administrator(在 Windows 上)或 root(在 Solaris 上)特权即可安装和调用 GUI。
使用联机帮助
OKM Manager 包括综合的联机帮助。要在任何 OKM Manager 屏幕上显示帮助,
-
单击位于面板顶部的 Help 按钮以获得一般帮助。
或
-
通过按 Tab 键或单击面板内的某个位置来导航到该面板。然后,单击 F1 键可查看上下文相关帮助。
基于角色的访问控制
OKM 定义以下角色:
可以向单个 KMA 用户帐户分配与一个或多个角色的成员关系。KMA 根据用户的角色确认请求用户实体是否具有执行操作的权限。有关角色的更多信息,请参阅"登录 KMA"。
基于角色的操作
表 1-3 显示了每个用户可以执行的系统操作。在“角色”列中,相应条目表示以下信息:
-
是-允许该角色执行该操作。
-
法定-允许该角色执行该操作,但是还必须提供法定信息。
-
N/A-表示不允许该角色执行该操作。
| 实体 | 操作 | 角色 | |||||
|---|---|---|---|---|---|---|---|
| 安全官 | 合规官 | 操作员 | 备份操作员 | 审计员 | 法定成员 | ||
|
控制台 |
|||||||
|
登录 |
是 |
是 |
是 |
是 |
是 |
是 |
|
|
设置 KMA 语言环境 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
设置 KMA IP 地址 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
启用技术支持 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
禁用技术支持 |
是 |
N/A |
是 |
N/A |
N/A |
N/A |
|
|
启用主管理员 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
禁用主管理员 |
是 |
N/A |
是 |
N/A |
N/A |
N/A |
|
|
重新启动 KMA |
N/A |
N/A |
是 |
N/A |
N/A |
N/A |
|
|
关闭 KMA |
N/A |
N/A |
是 |
N/A |
N/A |
N/A |
|
|
将 OKM 登录到群集 |
法定 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
设置用户的口令短语 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
重置 KMA |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
注销 |
是 |
是 |
是 |
是 |
是 |
是 |
|
|
连接 |
|||||||
|
登录 |
是 |
是 |
是 |
是 |
是 |
是 |
|
|
创建配置文件 |
是 |
是 |
是 |
是 |
是 |
是 |
|
|
删除配置文件 |
是 |
是 |
是 |
是 |
是 |
是 |
|
|
设置配置设置 |
是 |
是 |
是 |
是 |
是 |
是 |
|
|
断开连接 |
是 |
是 |
是 |
是 |
是 |
是 |
|
|
密钥拆分凭证 |
|||||||
|
列出 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
修改 |
法定 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
自治解锁 |
|||||||
|
列出 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
修改 |
法定 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
锁定/解锁 KMA |
|||||||
|
列出状态 |
是 |
是 |
是 |
是 |
是 |
N/A |
|
|
锁定 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
解锁 |
法定 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
站点 |
|||||||
|
创建 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
列出 |
是 |
N/A |
是 |
N/A |
N/A |
N/A |
|
|
修改 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
删除 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
安全参数 |
|||||||
|
列出 |
是 |
是 |
是 |
是 |
是 |
N/A |
|
|
修改 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
KMA |
|||||||
|
创建 |
法定 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
列出 |
是 |
N/A |
是 |
N/A |
N/A |
N/A |
|
|
修改 |
法定 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
删除 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
用户 |
|||||||
|
创建 |
法定 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
列出 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
修改 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
修改口令短语 |
法定 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
删除 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
角色 |
|||||||
|
添加 |
法定 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
列出 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
密钥策略 |
|||||||
|
创建 |
N/A |
是 |
N/A |
N/A |
N/A |
N/A |
|
|
列出 |
N/A |
是 |
N/A |
N/A |
N/A |
N/A |
|
|
修改 |
N/A |
是 |
N/A |
N/A |
N/A |
N/A |
|
|
删除 |
N/A |
是 |
N/A |
N/A |
N/A |
N/A |
|
|
密钥组 |
|||||||
|
创建 |
N/A |
是 |
N/A |
N/A |
N/A |
N/A |
|
|
列出 |
N/A |
是 |
是 |
N/A |
N/A |
N/A |
|
|
列出数据单元 |
N/A |
是 |
是 |
N/A |
N/A |
N/A |
|
|
列出代理 |
N/A |
是 |
是 |
N/A |
N/A |
N/A |
|
|
修改 |
N/A |
是 |
N/A |
N/A |
N/A |
N/A |
|
|
删除 |
N/A |
是 |
N/A |
N/A |
N/A |
N/A |
|
|
代理 |
|||||||
|
创建 |
N/A |
N/A |
是 |
N/A |
N/A |
N/A |
|
|
列出 |
N/A |
是 |
是 |
N/A |
N/A |
N/A |
|
|
修改 |
N/A |
N/A |
是 |
N/A |
N/A |
N/A |
|
|
修改口令短语 |
N/A |
N/A |
是 |
N/A |
N/A |
N/A |
|
|
删除 |
N/A |
N/A |
是 |
N/A |
N/A |
N/A |
|
|
代理/密钥组分配 |
|||||||
|
列出 |
N/A |
是 |
是 |
N/A |
N/A |
N/A |
|
|
修改 |
N/A |
是 |
N/A |
N/A |
N/A |
N/A |
|
|
数据单元 |
|||||||
|
创建 |
N/A |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
列出 |
N/A |
是 |
是 |
N/A |
N/A |
N/A |
|
|
修改 |
N/A |
N/A |
是 |
N/A |
N/A |
N/A |
|
|
修改密钥组 |
N/A |
是 |
N/A |
N/A |
N/A |
N/A |
|
|
删除 |
N/A |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
密钥 |
|||||||
|
列出数据单元密钥 |
N/A |
是 |
是 |
N/A |
N/A |
N/A |
|
|
销毁 |
N/A |
N/A |
是 |
N/A |
N/A |
N/A |
|
|
泄密 |
N/A |
是 |
N/A |
N/A |
N/A |
N/A |
|
|
传输伙伴 |
|||||||
|
配置 |
法定 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
列出 |
是 |
是 |
是 |
N/A |
N/A |
N/A |
|
|
修改 |
法定 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
删除 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
关键传输密钥 |
|||||||
|
列出 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
更新 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
传输伙伴密钥组分配 |
|||||||
|
列出 |
N/A |
是 |
是 |
N/A |
N/A |
N/A |
|
|
修改 |
N/A |
是 |
N/A |
N/A |
N/A |
N/A |
|
|
备份 |
|||||||
|
创建 |
N/A |
N/A |
N/A |
是 |
N/A |
N/A |
|
|
列出 |
是 |
是 |
是 |
是 |
N/A |
N/A |
|
|
列出具有已销毁密钥的备份 |
N/A |
是 |
是 |
N/A |
N/A |
N/A |
|
|
恢复 |
法定 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
确认销毁 |
N/A |
N/A |
N/A |
是 |
N/A |
N/A |
|
|
核心安全性备份 |
|||||||
|
创建 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
SNMP 管理器 |
|||||||
|
创建 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
列出 |
是 |
N/A |
是 |
N/A |
N/A |
N/A |
|
|
修改 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
删除 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
审计事件 |
|||||||
|
查看 |
是 |
是 |
是 |
是 |
是 |
N/A |
|
|
查看代理历史记录 |
N/A |
是 |
是 |
N/A |
N/A |
N/A |
|
|
查看数据单元历史记录 |
N/A |
是 |
是 |
N/A |
N/A |
N/A |
|
|
查看数据单元密钥历史记录 |
N/A |
是 |
是 |
N/A |
N/A |
N/A |
|
|
系统转储 |
|||||||
|
创建 |
是 |
N/A |
是 |
N/A |
N/A |
N/A |
|
|
系统时间 |
|||||||
|
列出 |
是 |
是 |
是 |
是 |
是 |
N/A |
|
|
修改 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
NTP 服务器 |
|||||||
|
列出 |
是 |
是 |
是 |
是 |
是 |
N/A |
|
|
修改 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
软件版本 |
|||||||
|
列出 |
是 |
是 |
是 |
是 |
是 |
N/A |
|
|
升级 |
N/A |
N/A |
法定 |
N/A |
N/A |
N/A |
|
|
网络配置 |
|||||||
|
显示 |
是 |
是 |
是 |
是 |
是 |
N/A |
|
|
暂挂法定操作 |
|||||||
|
批准 |
N/A |
N/A |
N/A |
N/A |
N/A |
法定 |
|
|
删除 |
是 |
N/A |
N/A |
N/A |
N/A |
N/A |
|
|
密钥列表 |
|||||||
|
查询 |
N/A |
是 |
是 |
N/A |
N/A |
N/A |
|
|
列出活动历史记录 |
N/A |
是 |
是 |
N/A |
N/A |
N/A |
|
|
代理性能列表 |
|||||||
|
查询 |
N/A |
是 |
是 |
N/A |
N/A |
N/A |
|
|
KMA 性能列表 |
|||||||
|
查询 |
是 |
是 |
是 |
是 |
是 |
是 |
|
|
当前负载 |
|||||||
|
查询 |
是 |
是 |
是 |
是 |
是 |
是 |
|