本章介绍了 ELS 提供的具体安全机制。
IBM z/OS 应用程序透明传输层安全 (Application Transparent Transport Layer Security, AT-TLS) 工具使用 SSL 数据加密保护 z/OS TCP/IP 应用程序的安全。有关 AT-TLS 的更多信息,请参阅 IBM 出版物《z/OS Communications Server: IP Configuration Guide》(《z/OS 通信服务器:IP 配置指南》,并参见 IBM 出版物《z/OS Communications Server: IP Configuration Reference》(《z/OS 通信服务器:IP 配置参考》)中有关 AT-TLS 策略代理的信息。
Oracle 白皮书《Using AT-TLS with HSC/SMC Client/Server z/OS Solution: Implementation Example》(《将 AT-TLS 用于 HSC/SMC 客户机/服务器 z/OS 解决方案:实施示例》)中介绍了在 SMC 和 HSC/VTCS 之间保护 ELS 客户机/服务器通信的安全。此白皮书发布在 Oracle Technical Network(Oracle 技术网)的 "Tape Storage Products"(磁带存储产品)部分中。有关详细的配置信息,请参阅此出版物。
要使用 AT-TLS 保护 ELS 的安全,Oracle 建议使用以下任何 SSL 加密算法:
SHA-2 系列 (SHA-256, SHA-384, SHA-512)
AES >= 128 位
RSA >= 2048 位
Diffie-Hellman (DH) >= 2048 位
ECC >= 256 位
任何其他 SSL 加密算法提供较弱的保护,不应当用于 ELS。
注:
用于 VSM 的 StorageTek 虚拟磁带库扩展 (Virtual Library Extension, VLE) 设备当前不支持 AT-TLS 通信。不要使用 AT-TLS 保护 ELS VLE 通信的安全。ELS 7.3 引入了新的 XAPI 安全功能,用于进行客户机/服务器通信,在 SMC HTTP 服务器中作为默认选项启用。XAPI 安全功能提供附加的用户验证工具(作为 XAPI 协议的一部分),这些工具位于 ELS 内部且完全包含在其中。要使用 XAPI 安全功能,必须为 ELS 客户机和服务器定义安全凭证(用户 ID 和密码)。ELS 7.3 TapePlex 操作使用这些安全凭证保护 XAPI 事务(挂载、卸载、卷查找、暂存等)的安全。XAPI 安全凭证的使用完全透明,不需要任何额外的用户或操作员介入。有关配置 XAPI 安全功能的更多信息,请参阅配置和管理 SMC 7.3。
为只托管 ELS 客户机应用程序(SMC 和 VM 客户机)的 TapePlex 的 XAPI 事务提供安全保护时,首选方法是使用 AT/TLS 工具,如使用 AT-TLS 保护 ELS 的安全-仅限 z/OS 中所述。AT/TLS 是一个传输层工具,位于 ELS 外部且对其透明。
使用 ELS 7.3 XAPI 安全功能保护托管以下客户机的 TapePlex 的安全:非 ELS 客户机(开放系统客户机)或者混合存在的 ELS 客户机(SMC 和 VM 客户机)与非 ELS 客户机。除了 ELS 7.3 XAPI 安全功能,还可以在这些环境中使用 AT-TLS,但是它将不能保护非 ELS 客户机的 XAPI 事务安全。