目前苛刻的安全要求让许多组织不得不对大型机进行加密以保护敏感数据，但并不是所有大型机开发人员对这个问题都有足够的了解。在本文中，大型机方面的专家Robert Crawford解释了在大型机上加密的基本知识。

　　公司经常要求系统开发人员要有开拓创新精神，这并不是说技术人员应在新的领域成为专家，而是因为新的功能很多可能都涉及到系统级编码，管理人员认为系统开发人员要有足够的智慧在很短的时间内就搞定。

　　当今的隐私保护法，特别是与卫生信息相关的保护，变得越来越严厉。同时，许多信用卡企业被强制实施支付卡行业（Payment Card Industry，即PCI）标准，以保护客户的账户数据，其中有一些是从旧的安全方案转移到更安全的方案，如SSL或Kerberos，而旧的方案可能在网络上传输的是明文形式的用户ID和密码。值得欣慰的是大型机有足够的能力对抗各种威胁。

　　加密硬件

　　有两种形式的加密硬件可用于大型机加密，第一个是CP辅助加密功能（CP Assist for Cryptographic Function，即CPACF），它帮助普通的加密处理器（CP）使用标准的OS/390指令执行编码和解码。IBM指出，加密工作现在可以在一个盒子中完成，增加了每个CP的可用性。不幸的是，一般的处理器很难实现，另一个缺点是加密处理器必须以明文形式使用加密密钥。

　　除了CPACF外，IBM还推出了加密辅助处理器，这些处理器在CP之外，执行异步操作，因为它们要执行加密处理，密钥一般都在加密引擎内。还有一个经过联邦信息处理标准（FIPS）140-2认证的加密引擎，如果它检查到它被人强制调用或被篡改，它会自动销毁保存的密钥（IBM文档说的是以填零的方式归零）。其缺点是加密负荷会受辅助处理器能力的限制，任何多余的需求都会回落到普通处理器上，在订购加密处理器时要细心一点，因为类型和功能会因处理器模型有所不同。

　　集成加密服务工具（ICSF）

　　集成加密服务工具（ICSF）是大型机上内置的加密软件，ICSF管理和调度加密引擎，以及维护加密引擎中的密钥，它也提供了应用编程接口（API），你可以在你熟悉的大型机编程语言中调用它们。

　　ICSF在两个线性VSAM数据集中维护密钥的存储：加密密钥数据集（CKDS）和公钥数据集（PKDS）。存储的密钥可能是明文的，也可能是加了密的，取决于如何使用它们。无论哪种方式，密钥数据都应该通过资源访问控制工具严格保护。

　　大型机加密很安全的原因之一是它的密钥处理策略，首先它有主密钥，主密钥是通过一个很复杂的过程生成的，存储在加密引擎中的一个特殊的寄存器中，从这个主密钥可以生成更多密钥，同样由ICSF存储和管理，其它为独立应用程序生成的密钥可以使用主密钥加密，保存在ICSF的密钥存储中。

　　这个工具的优点在于加密引擎和特殊的寄存器，ICSF可以管理加密和解密敏感内容，无需将密钥以明文形式暴露给计算机，相反，密钥和进程留在加密引擎中，永远也不会见到天日（不会暴露出来），这也适合于存储在ICSF数据集中的加密密钥，使用它们之前，密钥必须先载入加密引擎，然后再使用主密钥解密。

　　这里我要强调的是，加密也有灾难恢复（DR）的含义，如果你已经加密了业务数据，你需要在恢复主机上使用DR程序设置主密钥，以便恢复ICSF的密钥集。丢失任何一个密钥都可能造成企业的镜像卷无效，或者在最坏的情况下，备份也无用。

　　ICSF的API让每个人都可以使用加密，但如果企业不想自己编码，那么可以购买IBM为z/OS准备的加密工具，这个工具提供了许多实用程序保护数据的安全，特别是在两个地点之间传输的数据，包括数据移动和数据归档软件，如DFSMSdss。此外，还有一个Java客户端帮助保护在z/OS和非大型机平台之间共享的数据。

　　我希望深入研究ICSF API和加密数据的实际步骤，不过这要看我的编码水平如何了。