OKM 通过加密存储的数据(基于设备的加密)来保证数据安全。它创建、存储和管理加密密钥。OKM 支持开放系统和企业平台。
以下各节介绍了 OKM 解决方案的概念和组件。
OKM 基于以下行业标准:
FIPS PUB 140-2,加密模块安全要求 FIPS PUB 46-3 数据加密标准 FIPS PUB 171,密钥管理
NIST 800-57 第 1 部分,密钥管理建议
IEEE 1619.1 磁带加密标准(完成)IEEE 1619.2 磁盘加密标准(进行中)IEEE 1619.3 密钥管理标准(进行中)
通用标准 (Common Criteria, CC)
ISO/IEC 1779 安全技术
CCM–AES-256 加密
对称加密
随机数 (Nonce)
密码套件(TLS 1.0、2048 位 RSA、SHA1、HMAC)
KMA 是一种强化了安全性的服务器,可以提供基于策略的生命周期密钥管理、验证、访问控制和密钥置备服务。KMA 确保所有存储设备都进行了注册和验证,所有加密密钥创建、置备和删除都符合规定的策略。
OKM 3.0 在 Netra SPARC T4-1 服务器上支持 Solaris 11。此服务器的 OKM 版本包括:
2.85 GHz 四核 SPARC T4 处理器
32 GB DRAM(四个 8 GB DIMM)
600 GB SAS 10K RPM 2.5 英寸磁盘驱动器
4 个千兆位以太网端口
冗余电源
5 个 PCIe 第二代适配器插槽(每个有 8 个通道)
DVD 驱动器(已禁用-不用于 OKM)
有关其他服务规范,包括环境和电源要求,请参见:
OKM 2.x 在 Sun Fire X2100 M2、X2200 M2 和 X4170 M2 上支持 Solaris 10。
注:
Sun Fire KMA 不能升级到 OKM 3.0,但是可以与同一群集中的 OKM 3.0 KMA 通信。如果现有 OKM 2.x 群集使用运行 KMS 2.2 或更高版本的 KMA,OKM 3.0 KMA 可加入此群集。KMA 可以安装在标准 RETMA 19 英寸四柱机架或机柜中。不支持两柱机架。
注:
SL8500 磁带库提供了容纳四个 19 英寸机架的空间。有关更多信息,请参见《StorageTek SL8500 系统保障指南》。滑轨与符合以下标准的机架兼容:
水平开口且单元垂直间距符合 ANSI/EIA 310-D-1992 或 IEC 60927 标准。
前安装平面与后安装平面之间的距离介于 610 毫米至 915 毫米(24 英寸至 36 英寸)之间。
距机柜前门的间隙深度必须至少为 25.4 毫米(1 英寸)。
整理线缆时,距机柜后门的间隙深度至少为 800 毫米(31.5 英寸);不整理线缆时,至少为 700 毫米(27.5 英寸)。
前安装平面与后安装平面之间的间隙宽度(结构性支撑与电缆槽之间)至少为 456 毫米(18 英寸)。
可选 Sun Cryptographic Accelerator (SCA6000) 卡用于符合 FIPS 标准所需的加密处理和管理功能。它是 FIPS 140-2 级别 3 硬件安全模块。
可以使用 OKM GUI 配置和管理 OKM。它在客户提供的工作站上运行并通过 IP 网络与 KMA 通信。您不需要具有管理员 (Windows) 或 root (Solaris) 特权即可安装和运行 GUI。
Solaris 10 10/09 (Update 8) x86
Solaris 10 9/10 (Update 9) SPARC
Solaris 10 9/10 (Update 9) x86
Microsoft Windows 7 Business
Microsoft Windows 7 Enterprise
Microsoft Windows Vista Business
Microsoft Windows XP Professional Version 2002
Microsoft Windows XP Professional
Microsoft Windows Server 2008 版本 6.0
Microsoft Windows Server 2003 R2 Standard Edition
Microsoft Windows Server 2003
两个命令行界面 (command-line interface, CLI) 实用程序支持一部分 OKM GUI 功能。这两个实用程序允许自动执行各种任务,例如备份、密钥导出以及审计报告。
群集由系统中的全套 KMA 组成。所有这些 KMA 互相识别并且相互完全复制信息。群集可为磁带机提供选择 KMA 检索密钥材料的功能。
一个群集中最少可以有 2 个 KMA脚注 1 ,最多可以有 20 个 KMA。
在任何站点中生成的新密钥都会复制到群集中的其他所有 KMA。
所有管理更改都会传播到群集中的其他所有 KMA。
出于最高可用性要求设计系统时,请考虑群集大小。
多个 KMA 可以在一个专用网络、本地网络或广域网上构成群集。
群集中的任何 KMA 都可以服务网络中的任何代理。
任何 KMA 都能用于管理功能。
注:
一个群集中的 KMA 不会识别其他群集中的那些 KMA。在搜索、负载平衡以及故障转移期间,磁带机从 KMA 群集检索密钥。
磁带机(代理)向 KMA 发送搜索群集请求。接收搜索群集请求的 KMA 提供每个 KMA 的以下信息:
IP 地址(IPv4 和 IPv6)
站点名称
KMA ID
KMA 名称
KMA 版本(帮助确定支持的磁带机具有的 FIPS 支持)
KMA 状态:
响应:指明 KMA 是否在网络中响应
已锁定:指明 KMA 当前是否已锁定
在磁带操作过程中(而不是在磁带机处于空闲状态时),磁带机会定期检索此信息,并且始终在注册过程中以及每当对磁带机执行 IPL 时请求此信息。
只要磁带机发现 KMA 有新响应状态,都会使用新状态更新群集信息。
代理是使用加密密钥来加密和解密数据的加密端点。代理是向 OKM 进行验证并通过“安全的”(TLS) 会话获得密钥材料的设备(例如磁带机)。代理通过代理 API 与 KMA 通信。(代理 API 是一组整合到代理硬件或软件中的软件接口。)默认情况下,由本地 KMA(如果有)为代理提供服务。
磁带机代理不应在公共网络上。
需要加密密钥时,代理必须持续连接到网络。将磁带机代理连接到专用服务网络。
创建站点时 KMA 和代理能以逻辑方式“分组”,代理引用站点内分配给它们的 KMA。
数据单元表示代理加密的数据。对于磁带机,数据单元是盒式磁带。
密钥是实际密钥值(密钥材料)及其关联的元数据。
密钥策略定义管理密钥的参数。这包括生命周期参数(例如加密时间段和密码有效期)和导入/导出参数(例如,允许导入、允许导出。)
密钥组将密钥与密钥策略关联起来。每个密钥组都具有密钥策略并分配给代理。仅允许代理检索分配给该代理的允许使用的某一密钥组的密钥。代理还具有默认密钥组。代理创建密钥(将其分配给数据单元)时,会将密钥放入该代理的默认密钥组中。
注:
为了系统可以工作,至少需要为所有代理定义一个密钥策略和一个密钥组(指定为默认密钥组)。OKM 具有一组预定义的用户角色:
执行 OKM 设置和管理。
执行代理设置和日常操作。
定义密钥组并控制代理对密钥组的访问权限。
执行备份操作。
可以查看系统审计线索。
查看和批准暂挂法定操作。
有关用户角色的更多信息,包括每个角色可以执行的操作的列表,请参见 OKM 管理指南。
注:
可以使用工作表来协助用户角色规划,例如 OKM 安装和服务手册中的工作表(仅限内部使用)-请咨询 Oracle 支持代表。IBM 集成加密服务工具 (Integrated Cryptography Service Facility, ICSF) 是一个加密解决方案,其中外部密钥库位于 IBM 大型机中,使用 TLS/XML 协议进行访问。有关更多信息,请参阅 OKM-ICSF 集成指南。
脚注图例
脚注 1: 在工程、专业服务和支持服务人员的批准下,可以有例外。