加密

使用 USB 闪存驱动器进行加密

您可以使用 USB 闪存驱动器启用加密并将密钥复制到系统。 必须创建系统加密密钥，并将这些密钥写入所有 USB 闪存驱动器：

提供了两个选项，可用于访问 USB 闪存驱动器上的密钥信息：

将 USB 闪存驱动器一直插在系统中

此方法要求系统所在的物理环境非常安全。 如果该地方是安全的，可防止未经授 权的人员创建加密密钥副本、盗取系统或访问系统上存储的数据。

除非必要，否则切勿将 USB 闪存驱动器保持插在系统中

在系统解锁完驱动器后，必须拔下 USB 闪存驱动器并将其放在安全的地方以避免失窃或丢失。

使用密钥服务器加密

您可以使用加密密钥服务器来启用加密。 密钥服务器是生成、存储和提供加密密钥的集中式系统。 至少需要一个密钥服务器以启用加密密钥服务器支持。

IBM Security Key Lifecycle Manager 是受支持的密钥服务器类型。 它符合密钥管理接口协议 (KMIP)。

您可以在 IBM Security Key Lifecycle Manager 上启用加密，其支持密钥管理接口协议 (KMIP)。 IBM Security Key Lifecycle Manager 是非集群式密钥服务器。

IBM Security Key Lifecycle Manager 为系统创建受管密钥，使用数字证书访问这些密钥并提供认证。 交换证书时，会执行此认证。 必须严格管理证书，因为到期的证书会导致系统中断。

要使用 IBM Security Key Lifecycle Manager，必须指定 IP 地址、端口和设备组以与系统通信。 设备组是安全凭证的集合（包含密钥和密钥组），允许以受限方式在较大池中对设备子集进行管理。