跳到主要内容

安全密钥管理的工作原理

如果实施驱动器安全功能,则已启用安全功能的驱动器(FIPS 或 FDE)需要安全密钥才能访问数据。安全密钥是存储阵列中以下类型的驱动器与控制器之间共用的一串字符。

只要关闭驱动器电源再打开,已启用安全功能的驱动器的状态都将变为“安全锁定”,直到控制器应用安全密钥。如果从存储阵列中移除已启用安全功能的驱动器,将锁定该驱动器的数据。如果将该驱动器重新安装到其他存储阵列中,该驱动器将先查找安全密钥,之后才会允许访问数据。要解锁数据,必须手动应用原始安全密钥。

可使用以下方法之一创建和管理安全密钥:

  • 控制器永久内存的内部密钥管理。

  • 外部密钥管理服务器的外部密钥管理。

内部密钥管理

内部密钥保存在控制器的永久内存中。要实施内部密钥管理,请执行以下步骤:

  1. 在存储阵列中安装支持安全功能的驱动器。此类驱动器可以是 Full Disk Encryption(FDE)驱动器或联邦信息处理标准(FIPS)驱动器。

  2. 确保启用驱动器安全功能。如有必要,请联系存储供应商以索取有关如何启用驱动器安全功能的说明。

  3. 创建内部安全密钥,其中涉及定义标识和口令。该标识是一个与安全密钥关联的字符串,存储在控制器上和与该密钥关联的所有驱动器上。对于备份目的,将使用口令加密安全密钥。要创建内部密钥,请转至

    设置 > 系统 > 安全密钥管理 > 创建内部密钥

安全密钥存储在控制器上的不可访问位置。然后可以创建已启用安全功能的卷组或池,或者对现有卷组和池启用安全性。

外部密钥管理

外部密钥保存在单独的密钥管理服务器上,并采用密钥管理互操作性协议(KMIP)。要实施外部密钥管理,请执行以下步骤:

  1. 在存储阵列中安装支持安全功能的驱动器。此类驱动器可以是 Full Disk Encryption(FDE)驱动器或联邦信息处理标准(FIPS)驱动器。

  2. 确保启用驱动器安全功能。如有必要,请联系存储供应商以索取有关如何启用驱动器安全功能的说明。

  3. 填写并下载客户端证书签名请求(CSR),以执行存储阵列与密钥管理服务器之间的认证。访问

    设置 > 证书 > 密钥管理 > 填写 CSR

  4. 使用下载的 CSR 文件创建客户端证书并从密钥管理服务器下载。

  5. 确保本地主机上有客户端证书和密钥管理服务器的证书副本。

  6. 创建外部密钥,其中涉及定义密钥管理服务器 IP 地址和用于 KMIP 通信的端口号。在此过程中,也将加载证书文件。要创建外部密钥,请转至

    设置 > 系统 > 安全密钥管理 > 创建外部密钥

系统将使用您输入的凭证连接到密钥管理服务器。然后可以创建已启用安全功能的卷组或池,或者对现有卷组和池启用安全性。