该设备包括一个内置的 LOCAL(本地)密钥库,并可连接到 Oracle Key Manager (OKM) 系统。每个加密的项目或共享资源都需要一个来自 LOCAL(本地)或 OKM 密钥库的包装密钥。数据加密密钥由存储设备管理,并使用 LOCAL(本地)或 OKM 密钥库提供的包装密钥永久加密存储。
OKM 是综合密钥管理系统 (key management system, KMS),可满足企业快速发展的、对基于存储的数据加密的需求。此功能的开发融合了多种开放标准,为集中管理分布在各地的异构存储基础结构上的加密密钥提供了相应的容量、可伸缩性和互操作性。
OKM 可应对存储密钥管理的独特挑战,包括:
密钥长期保留-OKM 确保归档数据始终可用,它可在整个数据生命周期内安全保留加密密钥。
互操作性-OKM 提供了支持在单一存储密钥管理系统下连接到大型机或开放系统的各种存储设备所需的互操作性。
高可用性-借助主动的 N 节点群集、动态负载平衡和自动故障转移,OKM 提供了高可用性,而不管设备是位于一个站点中还是分布在世界各地。
大容量-OKM 可以管理大量的存储设备以及更多的存储密钥。单个群集的设备对可以为数千个存储设备和以百万计的存储密钥提供密钥管理服务。
灵活的密钥配置-对于每个 OKM 群集,可以自动生成密钥,也可以为某个 LOCAL(本地)或 OKM 密钥库单独创建密钥。安全管理员负责提供密钥名称;密钥名称与密钥库组合可以将指定的包装密钥与某个项目或共享资源关联。
使用处于未激活状态的 OKM 密钥的共享资源和项目仍可访问。要阻止使用 OKM 密钥,OKM 管理员必须显式删除密钥。
要确保加密的共享资源和项目可访问,请备份设备配置和 LOCAL(本地)密钥库密钥值。如果密钥变得不可用,则使用该密钥的所有共享资源或项目将变得不可访问。如果某个项目密钥不可用,则无法在该项目中创建新共享资源。
在以下情况下,密钥可能会变得不可用:
删除密钥
回滚到不支持加密的版本
回滚到未配置密钥的版本
恢复出厂设置
OKM 服务器不可用
下表显示了 BUI 和 CLI 加密密钥值和说明。还指明加密类型是否可进行重复数据删除。
|