管理加密的資料
本主題中的小節提供第一次實作應用程式時加密資料的相關資訊,以及可能需要重新加密資料的各種使用案例 (例如金鑰輪替)。
系統會提供批次工作 F1-FLENC (維護物件的欄位加密) 來處理指定維護物件之所有資料的加密/重新加密。複查您的加密組態,並識別應該加密資料的所有維護物件。對每個維護物件執行批次一次。以下各節重點說明保證為每個維護物件執行此批次的各種使用案例。
初始加密資料
加密/雜湊組態完成後,任何從該點新增或更新的資料都會根據組態加密/雜湊。不過,對於所有具有應加密/雜湊資料的現有記錄,您必須為每個維護物件執行批次工作 F1-FLENC,才能繼續進行並加密/雜湊現有資料列中的資料。
大量金鑰輪替
如果您引入新的加密金鑰或雜湊金鑰 (如金鑰輪替中所述),或導入了金鑰環輪替中所述的新金鑰環,則從該點新增或更新的記錄將會使用個別金鑰環的最新金鑰重新加密/重新雜湊。不過,若要輪替使用先前金鑰加密/雜湊之所有現有記錄的金鑰,您必須為每個維護物件執行批次工作 F1-FLENC,才能繼續進行並重新加密或重新雜湊現有資料列中的資料。
備註:您可以單獨選擇導入新的加密金鑰或新的雜湊金鑰。批次程式會檢查每個加密欄位或雜湊欄位,以確認它們使用目前的現用金鑰,如果不是,則會調整資料。
備註:輪替「雜湊金鑰」時,從啟用新的金鑰到順利更新所有記錄以使用新雜湊金鑰的時間 (如果有任何一般使用者嘗試透過雜湊欄位搜尋記錄),可能會有不一致的結果。您應該將雜湊金鑰的輪替排定在一般使用者不受影響的時間內輪替。理想情況下,您可以啟用新的金鑰,並在非上班時間對所有維護物件執行金鑰輪替批次控制。
從金鑰存放區移至金鑰環
使用金鑰環來定義加密和雜湊金鑰可讓您進行金鑰輪替。如果您的實作是使用金鑰存放區進行欄位加密/雜湊,而且想要改用金鑰環,您可以依照下列步驟所述來執行此操作。
- 定義對稱金鑰的金鑰環,以及雜湊金鑰的金鑰環 (如果適用)。
- 產生並啟用每個金鑰環的金鑰。
- 前往功能選項組態。為每個項目新增 keyRing/hashKeyRing 的參考,以定義新建立的金鑰環。請務必將別名記憶碼的組態保留在適當位置。系統需要此資訊,以瞭解如何解密使用金鑰存放區進行加密的現有資料。請注意,如果您是從使用雜湊金鑰的金鑰存放區移至使用金鑰環,則系統不需要 hashAlias。系統只會套用新的雜湊金鑰。
- 從該點新增或更新的記錄將使用指示的金鑰環及其現用金鑰重新加密/重新雜湊。若要輪替使用金鑰存放區別名加密/雜湊之所有現有記錄的金鑰,您必須為每個維護物件執行批次工作 F1-FLENC,才能繼續進行並重新加密或重新雜湊現有資料列中的資料。
- 確認所有資料都使用金鑰環進行加密和雜湊處理之後,您就可以更新功能選項組態,以移除對舊別名金鑰的參考。
大量金鑰輪替小節中所列的「備註」也適用於此使用案例。