以下磁带机支持加密:
StorageTek T10000A
StorageTek T10000B
StorageTek T10000C
StorageTek T10000D
StorageTek T9840D
HP LTO-4(需要 HP Dione 卡)
HP LTO-5 和 6
IBM LTO-4、5 和 6(全部需要 IBM Belisarius 卡)
| 磁带机 |
FIPS 140-2 级别 |
|---|---|
|
T10000A |
1 |
|
T10000B |
2 |
|
T10000C |
1 |
|
T10000D |
1 |
|
T9840D |
1 |
|
LTO4(HP 和 IBM) |
没有针对 FIPS 的计划 |
|
LTO5(HP 和 IBM) |
没有针对 FIPS 的计划 |
|
LTO6(HP 和 IBM) |
没有针对 FIPS 的计划 |
注:
LTO 磁带机自身可能经过 FIPS 验证,但是在特定加密应用程序中不一定经过此验证。上述磁带机的 FIPS 140-2 安全级别包括:
级别 1-满足生产级要求的基本级别。
级别 2-增加对物理篡改证据和基于角色的验证的要求。构建于已经验证的操作平台之上。此选择可为 KMA 和磁带机提供更高级别的安全性。
注:
只有 LTO-4 介质(LTO-4 和 LTO-4 WORM)在 LTO-4 磁带机上支持加密。| 磁带机行为 |
功能 |
|---|---|
|
读取 LTO-4 非加密数据 |
正常,非加密 |
|
读取 LTO-4 加密数据 |
错误 |
|
从 BOT 写入 LTO-4 |
正常,非加密 |
|
读取 LTO-3 磁带 |
正常,非加密 |
|
LTO-4 将写入数据附加到非加密数据(隔开 EOD 并写入) |
正常,非加密 |
|
LTO-4 将写入数据附加到非加密数据(读取到 EOD 并写入) |
正常,非加密 |
|
LTO-4 将写入数据附加到加密数据(隔开 EOD 并写入) |
正常,非加密 |
|
LTO-4 将写入数据附加到加密数据(读取到 EOD 并写入) |
错误 |
| 磁带机行为 |
功能 |
|---|---|
|
读取 LTO-4 非加密数据 |
正常,非加密 |
|
读取 LTO-4 加密数据 |
正常,加密(如果有正确的密钥) |
|
从 BOT 写入 LTO-4 |
正常,加密(如果有正确的密钥) |
|
LTO-4 将写入数据附加到加密数据 |
正常,加密(如果有正确的密钥) |
|
写入 LTO-3 磁带 |
HP:正常,非加密脚注 1 IBM:错误 |
|
读取 LTO-3 磁带 |
正常,非加密 |
|
LTO-4 将写入数据附加到非加密数据(隔开 EOD 并写入) |
HP:正常,加密(如果有正确的密钥)脚注 2 IBM:错误。不允许在单个磁带上混合加密数据与非加密数据。 |
|
LTO-4 将写入数据附加到非加密数据(读取到 EOD 并写入) |
HP:正常,加密(如果有正确的密钥)脚注引用 2 IBM:错误。不允许在单个磁带上混合加密数据与非加密数据。 |
|
LTO-4 将写入数据附加到加密数据(隔开 EOD 并写入) |
正常,加密(如果有正确的密钥) |
|
LTO-4 将写入数据附加到加密数据(读取到 EOD 并写入) |
HP:正常,加密(如果有正确的密钥) IBM:正常,加密(如果有正确的密钥),但是使用以前的读取密钥脚注 3 |
脚注 1 HP 磁带机将在非加密模式下写入磁带。LTO-3 格式不支持加密,这会被视为安全违规,因为只需插入 LTO-3 磁带便可使 HP LTO-4 和 HP LTO-5 磁带机写入非加密数据。
脚注 2 尽管这样做会允许在非加密数据后面附加加密数据,但是会带来操作优势,因为这允许将预先标记为非加密数据的磁带用于加密环境中的 HP LTO 磁带机,而无需重新对磁带进行标记。
脚注 3 在这种情况下,IBM 磁带机将写入加密数据,但是使用的密钥与用于在磁带上读取之前加密数据的密钥相同。当发出写入命令时,磁带机不会从 OKM 请求新密钥,这样会忽略由 OKM 设置的密钥到期策略。
| 磁带机行为 |
功能 |
|---|---|
|
读取 LTO-5 非加密数据 |
正常,非加密 |
|
读取 LTO-5 加密数据 |
错误 |
|
从 BOT 写入 LTO-5 |
正常,非加密 |
|
读取 LTO-4 非加密数据 |
正常,非加密 |
|
读取 LTO-4 加密数据 |
错误 |
|
从 BOT 写入 LTO-4 |
正常,非加密 |
|
读取 LTO-3 |
正常,非加密 |
|
LTO-5 将写入数据附加到非加密数据(隔开 EOD 并写入) |
正常,非加密 |
|
LTO-5 将写入数据附加到非加密数据(读取到 EOD 并写入) |
正常,非加密 |
|
LTO-5 将写入数据附加到加密数据(隔开 EOD 并写入) |
正常,非加密 |
|
LTO-5 将写入数据附加到加密数据(读取到 EOD 并写入) |
错误 |
|
LTO-4 将写入数据附加到非加密数据(隔开 EOD 并写入) |
正常,非加密 |
|
LTO-4 将写入数据附加到非加密数据(读取到 EOD 并写入) |
正常,非加密 |
|
LTO-4 将写入数据附加到加密数据(隔开 EOD 并写入) |
正常,非加密 |
|
LTO-4 将写入数据附加到加密数据(读取到 EOD 并写入) |
错误 |
| 磁带机行为 |
功能 |
|---|---|
|
读取 LTO-5 非加密数据 |
正常,非加密 |
|
读取 LTO-5 加密数据 |
正常,加密(如果有正确的密钥) |
|
从 BOT 写入 LTO-5 |
正常,加密(如果有正确的密钥) |
|
LTO-5 将写入数据附加到加密数据 |
正常,加密(如果有正确的密钥) |
|
读取 LTO-4 非加密数据 |
正常,非加密 |
|
读取 LTO-4 加密数据 |
正常,加密(如果有正确的密钥) |
|
从 BOT 写入 LTO-4 |
正常,加密(如果有正确的密钥) |
|
LTO-4 将写入数据附加到加密数据 |
正常,加密(如果有正确的密钥) |
|
LTO-5 将写入数据附加到非加密数据(隔开 EOD 并写入) |
HP:正常,加密(如果有正确的密钥)脚注 1 IBM:错误。不允许在单个磁带上混合加密数据与非加密数据。 |
|
LTO-5 将写入数据附加到非加密数据(读取到 EOD 并写入) |
HP:正常,加密(如果有正确的密钥)脚注引用 1 IBM:错误。不允许在单个磁带上混合加密数据与非加密数据。 |
|
LTO-5 将写入数据附加到加密数据(隔开 EOD 并写入) |
正常,加密(如果有正确的密钥) |
|
LTO-5 将写入数据附加到加密数据(读取到 EOD 并写入) |
HP:正常,加密(如果有正确的密钥) IBM:正常,加密(如果有正确的密钥),但是使用以前的读取密钥脚注 2 |
|
LTO-4 将写入数据附加到非加密数据(隔开 EOD 并写入) |
HP:正常,加密(如果有正确的密钥)脚注引用 1 IBM:错误。不允许在单个磁带上混合加密数据与非加密数据。 |
|
LTO-4 将写入数据附加到非加密数据(读取到 EOD 并写入) |
HP:正常,加密(如果有正确的密钥)脚注引用 1 IBM:错误。不允许在单个磁带上混合加密数据与非加密数据。 |
|
LTO-4 将写入数据附加到加密数据(隔开 EOD 并写入) |
正常,加密(如果有正确的密钥) |
|
LTO-4 将写入数据附加到加密数据(读取到 EOD 并写入) |
HP:正常,加密(如果有正确的密钥) IBM:正常,加密(如果有正确的密钥),但是使用以前的读取密钥脚注引用 2 |
|
读取 LTO-3 非加密数据 |
正常,非加密 |
脚注 1 尽管这样做会允许在非加密数据后面附加加密数据,但是会带来操作优势,因为这允许将预先标记为非加密数据的磁带用于加密环境中的 HP LTO 磁带机,而无需重新对磁带进行标记。
脚注 2 在这种情况下,IBM 磁带机将写入加密数据,但是使用的密钥与用于在磁带上读取之前加密数据的密钥相同。当发出写入命令时,磁带机不会从 OKM 请求新密钥,这样会忽略由 OKM 设置的密钥到期策略。
| 磁带机行为 |
功能 |
|---|---|
|
读取 LTO-6 非加密数据 |
正常,非加密 |
|
读取 LTO-6 加密数据 |
错误 |
|
从 BOT 写入 LTO-6 |
正常,非加密 |
|
读取 LTO-5 非加密数据 |
正常,非加密 |
|
读取 LTO-5 加密数据 |
错误 |
|
从 BOT 写入 LTO-5 |
正常,非加密 |
|
读取 LTO-4 非加密数据 |
正常,非加密 |
|
LTO-6 将写入数据附加到非加密数据(隔开 EOD 并写入) |
正常,非加密 |
|
LTO-6 将写入数据附加到非加密数据(读取到 EOD 并写入) |
正常,非加密 |
|
LTO-6 将写入数据附加到加密数据(隔开 EOD 并写入) |
正常,非加密 |
|
LTO-6 将写入数据附加到加密数据(读取到 EOD 并写入) |
错误 |
|
LTO-5 将写入数据附加到非加密数据(隔开 EOD 并写入) |
正常,非加密 |
|
LTO-5 将写入数据附加到非加密数据(读取到 EOD 并写入) |
正常,非加密 |
|
LTO-5 将写入数据附加到加密数据(隔开 EOD 并写入) |
正常,非加密 |
|
LTO-5 将写入数据附加到加密数据(读取到 EOD 并写入) |
错误 |
| 磁带机行为 |
功能 |
|---|---|
|
读取 LTO-6 非加密数据 |
正常,非加密 |
|
读取 LTO-6 加密数据 |
错误 |
|
从 BOT 写入 LTO-6 |
正常,非加密 |
|
读取 LTO-6 非加密数据 |
正常,非加密 |
|
读取 LTO-6 加密数据 |
正常,加密(如果有正确的密钥) |
|
从 BOT 写入 LTO-6 |
正常,加密(如果有正确的密钥) |
|
LTO-6 将写入数据附加到加密数据 |
正常,加密(如果有正确的密钥) |
|
读取 LTO-5 非加密数据 |
正常,非加密 |
|
读取 LTO-5 加密数据 |
正常,加密(如果有正确的密钥) |
|
从 BOT 写入 LTO-5 |
正常,加密(如果有正确的密钥) |
|
LTO-5 将写入数据附加到加密数据 |
正常,加密(如果有正确的密钥) |
|
读取 LTO-4 非加密数据 |
正常,非加密 |
|
读取 LTO-4 加密数据 |
正常,加密(如果有正确的密钥) |
|
LTO-6 将写入数据附加到非加密数据(隔开 EOD 并写入) |
HP:正常,加密(如果有正确的密钥)脚注 1 IBM:错误。不允许在单个磁带上混合加密数据与非加密数据。 |
|
LTO-6 将写入数据附加到非加密数据(读取到 EOD 并写入) |
HP:正常,加密(如果有正确的密钥)脚注引用 1 IBM:错误。不允许在单个磁带上混合加密数据与非加密数据。 |
|
LTO-6 将写入数据附加到加密数据(隔开 EOD 并写入) |
正常,加密(如果有正确的密钥) |
|
LTO-6 将写入数据附加到加密数据(读取到 EOD 并写入) |
HP:正常,加密(如果有正确的密钥) IBM:正常,加密(如果有正确的密钥),但是使用以前的读取密钥脚注 2 |
|
LTO-5 将写入数据附加到非加密数据(隔开 EOD 并写入) |
HP:正常,加密(如果有正确的密钥)脚注引用 1 IBM:错误。不允许在单个磁带上混合加密数据与非加密数据。 |
|
LTO-5 将写入数据附加到非加密数据(读取到 EOD 并写入) |
HP:正常,加密(如果有正确的密钥)脚注引用 1 IBM:错误。不允许在单个磁带上混合加密数据与非加密数据。 |
|
LTO-5 将写入数据附加到加密数据(隔开 EOD 并写入) |
正常,加密(如果有正确的密钥) |
|
LTO-5 将写入数据附加到加密数据(读取到 EOD 并写入) |
HP:正常,加密(如果有正确的密钥) IBM:正常,加密(如果有正确的密钥),但是使用以前的读取密钥脚注引用 2 |
脚注 1 尽管这样做会允许在非加密数据后面附加加密数据,但是会带来操作优势,因为这允许将预先标记为非加密数据的磁带用于加密环境中的 HP LTO 磁带机,而无需重新对磁带进行标记。
脚注 2 在这种情况下,IBM 磁带机将写入加密数据,但是使用的密钥与用于在磁带上读取之前加密数据的密钥相同。当发出写入命令时,磁带机不会从 OKM 请求新密钥,这样会忽略由 OKM 设置的密钥到期策略。
在 Oracle 支持代表的帮助下参照 OKM 管理指南将磁带机注册为加密。注册之前,某些磁带机需要做一些准备工作。有关更多信息,Oracle 支持代表可以参阅 OKM 安装和服务手册(仅限内部使用)。
运行固件版本 1.57.30x (T10000C) 或 4.06.106 (T10000D) 以及更高版本的 T10000C 和 T10000D 磁带机不需要加密启用密钥。对于早期磁带机和固件版本,Oracle 支持代表必须为每个磁带机申请加密许可证密钥。
LTO 磁带机没有启用要求,也无需有磁带机数据。唯一要准备的是确保您拥有相关信息,能够在 OKM Manager 中为磁带机分配 IP 地址和代理名称。
表 5-9 列出了每个磁带机的最低固件要求。
支持以下磁带库管理产品:
ACSLS-带有 PUT0701 的 7.1 和 7.1.1 或 7.2 和 7.3
HSC-6.1 和 6.2
VSM-6.1 或 6.2(包括 VTCS 和 VTSS)
VTL 型号-1.0 或 2.0。
列出的固件级别可能会更改。要获取最新的固件,请执行以下操作:
转至 My Oracle Support(位于 http://support.oracle.com)并登录。
单击 "Patches & Updates"(补丁程序和更新程序)选项卡。
单击 "Product or Family (Advanced)"(产品或系列 (高级))。
在 "Start Typing..."(开始键入...)字段中,键入产品信息(例如 "Oracle Key Manager"),然后单击 "Search"(搜索)查看各个发行版的最新固件。
| 磁带机 |
SL8500 | SL3000 | Lxxx | 9310/9311 | SL500 | SL150 |
|---|---|---|---|---|---|---|
|
T10000A FC |
L–3.11c D–1.37.113 |
L–FRS_2.00 D–1.37.113 |
L–3.17.03 D–1.37.113 |
L–4.4.08 D–137113 |
NA |
NA |
|
T10000A FICON |
L–3.11c D–1.37.114 |
L–FRS_2.00 D–1.37.114 |
L–3.17.03 D–1.37.114 |
L–4.4.08 D–137114 |
NA |
NA |
|
T10000B FC |
L–3.98b D–1.38.x09 |
L–FRS_2.00 D–1.38.x07 |
L–3.17.03 D–1.38.x07 |
NA |
NA |
NA |
|
T10000B FICON |
L–3.98b D–1.38.x09 |
L–FRS_2.00 D–1.38.x09 |
L–3.17.03 D–1.38.x09 |
NA |
NA |
NA |
|
T10000C FC |
L–FRS_7.0.0 D–1.53.316 |
L–FRS_3.0.0 D–1.53.316 |
NA |
NA |
NA |
NA |
|
T10000C FICON |
L–FRS_7.0.0 D–1.53.316 |
L–FRS_3.0.0 D–1.53.316 |
NA |
NA |
NA |
NA |
|
T10000D FC |
L–FRS_8.0.5(无 3590 磁带机支持) D–4.06.107 FC/FCoE |
L–FRS_3.62(无 3590 磁带机支持) D–4.06.107 FC/FCoE |
NA |
NA |
NA |
NA |
|
T10000D FICON |
L–FRS_8.0.5(无 3590 磁带机支持) D–4.07.xxx |
L–FRS_3.62(无 3590 磁带机支持) D–4.07.xxx |
NA |
NA |
NA |
NA |
|
T10000D FCoE |
L_FRS_8.3.0 D–4.06.106 |
L_FRS_4.xx D_4.06.106 |
NA |
NA |
NA |
NA |
|
T9840D FC |
L–3.98 D–1.42.x07 |
L–FRS_2.00 D–1.42.x07 |
L–3.17.03 D–142x07 |
L–4.4.08 D–142x07 |
NA |
NA |
|
T9840D FICON & ESCON |
L–3.98 D–142x07 |
L–FRS_2.00 D–142x07 |
L–3.17.03 D–142x07 |
L–4.4.08 D–142x07 |
NA |
NA |
|
HP LTO-4 |
L–3.98B D–H64S FC NA(对于 SCSI) |
L–2.05 D–H64S FC NA(对于 SCSI) |
NA |
NA |
L–1300 D–H64S FC D–B63S SCSI |
NA |
|
HP LTO-5 |
D–I5BS FC NA(对于 SAS) |
D–I5BS FC NA(对于 SAS) |
NA |
NA |
D–I5BS FC D–X5AS SAS |
L–1.80 D–Y5BS FC |
|
HP LTO-6 |
D– J2AS FC NA(对于 SAS) |
D– J2AS FC NA(对于 SAS) |
NA |
NA |
D– J2AS FC NA(对于 SAS) |
L–1.80 D–Z55S SAS D–22CS FC D–329S SAS |
|
IBM LTO-4 |
L–FRS_4.70 D–BBH4 FC NA(对于 SCSI) |
L–FRS_2.30 D–BBH4 FC NA(对于 SCSI) |
NA |
NA |
L–1373 D– BBH4 FC D– BBH4 SCSI |
NA |
|
IBM LTO-5 |
D–BBNH FC |
D–BBNH FC |
NA |
NA |
L–1373 D–BBNH FC |
NA |
|
IBM LTO-6 |
L–8.01 D–CT94 FC |
L–4.0 D–CT94 FC |
NA |
NA |
L–1483 D–BBNH FC NA(对于 FC) |
NA |
图例:
L-磁带库固件级别
D-磁带机固件级别
FC-Fibre Channel,光纤通道
FCoE-Fibre Channel over Ethernet,以太网光纤通道
SPS-特殊固件,需要审批
NA-Not Applicable,不适用。不支持。
表 5-10 列出了每种磁带机类型的 Oracle Virtual Operator Panel (VOP) 最低版本。
注:
如果您使用多磁带机虚拟操作面板 (Multi-Drive Virtual Operator Panel, MD-VOP),需要版本 1.1(最低版本)。