BE11d新增了数据加密功能,旨在防范脱机磁带的非授权访问。原来的版本不支持数据的加密,只能设置一个需要在做Catalog时提供的密码,用户是可以绕过这一关而直接读取磁带上的数据的。目前的版本支持128位和256位的AES加密。
加密数据过程:
用户为加密指定一个口令,BE用这个口令生成一个AES加密密钥,然后用这个密钥加密数据(BE元数据和磁盘上的Catalog文件不加密)。AES密钥分普通的和受限的两种,任何人都可以使用普通的密钥备份或还原数据,只有密钥的主人可以使用受限的密钥来恢复数据。
用户为加密指定一个口令,BE用这个口令生成一个AES加密密钥,然后用这个密钥加密数据(BE元数据和磁盘上的Catalog文件不加密)。AES密钥分普通的和受限的两种,任何人都可以使用普通的密钥备份或还原数据,只有密钥的主人可以使用受限的密钥来恢复数据。
加密与压缩:
如果使用加密功能,压缩操作必须先于加密。所以使用加密功能时就只能使用软件压缩了,由磁带机在写入时做的硬件压缩就不能用了。
如果使用加密功能,压缩操作必须先于加密。所以使用加密功能时就只能使用软件压缩了,由磁带机在写入时做的硬件压缩就不能用了。
密钥管理:
BE将密钥保存于数据库(所以数据库不能用AES密钥加密),但是生成密钥的口令是不保存在任何位置的。同一口令一定会得到同一密钥,密钥不能被导出,但是你可以使用相同的口令生成被删除的密钥,或者在其它media server上生成相同的密钥。
BE将密钥保存于数据库(所以数据库不能用AES密钥加密),但是生成密钥的口令是不保存在任何位置的。同一口令一定会得到同一密钥,密钥不能被导出,但是你可以使用相同的口令生成被删除的密钥,或者在其它media server上生成相同的密钥。
