加密

要在系统上使用加密功能，必须购买加密许可证、在系统上激活该许可证、启用加密并创建密钥副本。如果未购买许可证，请联系客户代表以购买加密许可证。

该系统支持对静态数据进行加密，这是可选功能。此支持可防止因存储设备废弃、丢失或被盗而可能泄露其上存储的敏感用户数据和用户元数据。根据您的型号，系统还支持自加密驱动器，在驱动器自身中完成数据加密。数据加密密钥保留在驱动器上，而不是存储在系统内存中。此外，系统还支持在系统或驱动器断电时自动锁定已加密的驱动器。在驱动器或系统重新启动后，需要使用在系统上启用加密时创建的主密钥来解锁驱动器并继续 I/O 操作。如果将新的控制机柜添加到已启用加密的系统，那么控制机柜也必须获得许可。

访问加密系统

加密规划包括首先购买许可功能，然后在系统上激活并启用该功能。系统支持两种配置加密方法。您可以使用包含加密密钥的 USB 闪存驱动器或使用集中式密钥服务器来创建和管理密钥。这两种方法可同时启用，以提供冗余。

要加密驱动器上存储的数据，连接这些驱动器的控制机柜必须包含有效许可证并配置为使用加密。如果已在系统上激活和启用加密，那么在系统解锁驱动器或用户生成新密钥时，系统上必须存在有效的加密密钥。如果在系统上启用了 USB 加密，那么加密密钥必须存储在包含启用加密时所生成密钥的副本的 USB 闪存驱动器中。如果在系统上启用了密钥服务器加密，那么将从密钥服务器检索密钥。

如果使用加密来保护复制到云存储器的数据，云帐户将始终与系统加密设置同步。如果同时配置了 USB 闪存驱动器和密钥服务器，那么创建的云帐户将同时支持这些方法。如果只配置了一种加密方法而禁用了另一种，那么云帐户将使用剩余的已配置加密方法支持加密。为确保云帐户支持加密，在创建云帐户时，必须为两种方法或其中的一种方法配置活动密钥。

如果使用一种加密方法创建了云帐户，您可以在稍后配置第二种方法，但进行配置时该云帐户必须为联机状态。配置第二种方法后，该云帐户将同时支持两种密钥提供程序。

激活和启用加密功能之前，必须确定在系统要求提供加密密钥时访问密钥信息的方法。系统要求在以下操作期间提供加密密钥：

系统开机
系统重新启动
用户启动再加密操作
系统恢复
卸下或更换自加密驱动器

进行加密规划时，必须考虑以下几个因素。

系统的物理安全性
系统要求时手动访问加密密钥的需求和优势
密钥数据的可用性
购买加密许可证，并在系统上进行激活和启用
如果您要使用 IBM Security Key Lifecycle Manager 来创建和管理密钥，那么请确保您使用的是 V2.7.0 或更高版本。如果使用的是 V2.7，那么系统将支持一个主密钥服务器和多个辅助密钥服务器。但是，复制是手动过程，在再加密操作期间，密钥不可用，直至复制完成。如果使用 V3.0 或更高版本，那么系统将支持多个主密钥服务器，这些服务器会自动将密钥复制到所有已配置的密钥服务器。
如果您要使用 Gemalto SafeNet KeySecure 密钥服务器来创建和管理密钥，那么请确定系统是否需要用户名和密码向 KeySecure 密钥服务器进行认证。如果计划使用用户名和密码向这些密钥服务器认证系统，那么必须在 KeySecure 界面中配置用户凭证进行认证。对于 V8.10 和更高版本的 KeySecure，管理员可以配置用户名和密码，以在连接时对系统进行认证。在 KeySecure V8.10 之前，密码是可选的。

使用 USB 闪存驱动器进行加密

您可以使用 USB 闪存驱动器启用加密并将密钥复制到系统。必须创建系统加密密钥，并将这些密钥写入所有 USB 闪存驱动器：

提供了两个选项，可用于访问 USB 闪存驱动器上的密钥信息：

将 USB 闪存驱动器一直插在系统中: 如果您希望系统自动重新启动，那么 USB 闪存驱动器必须保持插在系统上的所有容器中。打开电源后，所有容器都有权访问加密密钥。此方法要求系统所在的物理环境非常安全。如果该地方是安全的，可防止未经授权的人员创建加密密钥副本、盗取系统或访问系统上存储的数据。如果将包含有效加密密钥的 USB 闪存驱动器保持插在两个容器中，那么系统将始终有权访问加密密钥，并且驱动器上的用户数据将始终可访问。
除非必要，否则切勿将 USB 闪存驱动器保持插在系统中: 为了实现最安全的操作，请不要将 USB 闪存驱动器保留插入在系统上的容器中。但是，此方法需要您在执行系统要求提供加密密钥的操作期间将包含加密密钥的副本的 USB 闪存驱动器手动插入容器。包含密钥的 USB 闪存驱动器必须以安全方式存储才能防止盗窃或丢失。在执行系统要求提供加密密钥的操作期间，必须将 USB 闪存驱动器手动插入各个容器中，以便可以访问数据。在系统解锁完驱动器后，必须拔下 USB 闪存驱动器并将其放在安全的地方以避免失窃或丢失。

使用密钥服务器加密

密钥服务器是用于生成和存储加密密钥并向系统发送加密密钥的集中式系统。如果密钥服务器提供者支持在多个密钥服务器之间复制密钥，最多可以指定四个密钥服务器，这些服务器通过公共网络或单独的专用网络连接到系统。该系统支持通过 Security Key Lifecycle Manager 或 Gemalto SafeNet KeySecure 密钥服务器来管理系统上的密钥。这两种受支持的密钥服务器管理应用程序均可为系统创建和管理加密密钥，并通过证书提供对这些密钥的访问权。系统上每次只能启用一种类型的密钥服务器管理应用程序。系统和密钥服务器之间交换证书时，会执行此认证。必须严格管理证书，因为到期的证书会导致系统中断。在系统上定义密钥服务器之前，必须先安装和配置密钥服务器。

Security Key Lifecycle Manager 密钥服务器支持密钥管理互操作性协议 (KMIP)，这是加密存储数据和管理密钥的标准。

系统在 Security Key Lifecycle Manager 上支持不同类型的密钥服务器配置。支持以下配置：

一个主密钥服务器和多个辅助密钥服务器：Security Key Lifecycle Manager 密钥服务器指定一个主密钥服务器，它最多可定义三个辅助密钥服务器（也称为克隆）。这些附加密钥服务器在向系统传递密钥时支持更多路径；但是，在再加密期间，仅使用到主密钥服务器的路径。当系统再加密时，辅助密钥服务器不可用，直到主密钥服务器将新密钥复制到这些辅助密钥服务器为止。将密钥复制到辅助密钥服务器所花费的时间取决于复制的密钥和证书信息的总量。到辅助密钥服务器的每次复制都会花费一些时间。必须先完成复制，然后才能在系统上使用密钥。您可以调度自动复制或通过 Security Key Lifecycle Manager 手动完成。在复制期间，密钥服务器不可用于分发密钥或接受新密钥。在 Security Key Lifecycle Manager 上完成复制所花费的总时间取决于配置为克隆的密钥服务器数量。如果手动触发了复制，那么在复制完成时，Security Key Lifecycle Manager 会发出一条完成消息。在系统上使用密钥之前，请验证所有密钥服务器均包含复制的密钥和证书信息。
多个主密钥服务器：可以在多主配置中配置多个密钥服务器，其中每个密钥服务器都可以创建新的加密密钥。在此情况下，可以将任何服务器设置为主密钥服务器。主密钥服务器是创建任何新密钥服务器加密密钥时系统所使用的密钥服务器。如果在 IBM Security Key Lifecycle Manager 上启用了多主方式，那么会将密钥立即复制到配置中的其他密钥服务器。

有关受支持版本的更多信息，请参阅 IBM Security Key Lifecycle Manager IBM Knowledge Center。

在系统上为 Security Key Lifecycle Manager 密钥服务器创建密钥服务器对象时，除名称、IP 地址、端口和证书信息外还必须创建一个设备组。设备组是安全凭证（包括密钥和密钥组）的集合，它允许对较大池中的设备子集进行有限管理。如果使用的是缺省设置，那么必须在密钥服务器上将系统定义到 SPECTRUM_VIRT 设备组中。如果密钥服务器上不存在 SPECTRUM_VIRT 设备组，那么必须基于 GPFS 设备系列创建该组。如果要配置多个密钥服务器，那么必须在主密钥服务器和所有其他密钥服务器上定义 SPECTRUM_VIRT 设备组。

Gemalto SafeNet KeySecure 密钥服务器也支持 KMIP，并且可随需创建密钥，然后将密钥与其他集群服务器共享，从而提供冗余访问。系统在 KeySecure 密钥服务器上支持不同类型的配置。支持以下配置：

KeySecure 密钥服务器使用主动/主动模型，其中有多个密钥服务器以用于提供冗余。必须将一个 KeySecure 密钥服务器指定为主密钥服务器。主密钥服务器是在创建任何新的加密密钥时系统使用的密钥服务器。该密钥将立即复制到 KeySecure 集群中的其他密钥服务器。系统上定义的所有 KeySecure 密钥服务器都可用于检索密钥。虽然可以使用 KeySecure 配置单个密钥服务器实例，但建议使用两个密钥服务器以确保当其中一个密钥服务器停机时的密钥可用性。
系统通过 KeySecure 最多支持四台密钥服务器。如果系统正在访问多个密钥服务器，那么这些服务器需要属于相同的 KeySecure 密钥服务器集群。

加密技术

数据加密由在 XTS 方式下使用 256 位对称加密密钥的高级加密标准 (AES) 算法进行保护，这在 IEEE 1619-2007 标准和 NIST Special Publication 800-38E 中定义为 XTS-AES-256。数据加密密钥本身受特定密钥的 256 位 AES 密钥包装保护，该特定密钥是从 USB 闪存驱动器上存储的访问密钥派生的。包装的密钥以非易失形式存储在系统中。