iSCSI存儲系統(tǒng)中的安全性研究.pdf

1、隨著Internet的快速發(fā)展，iSCSI存儲系統(tǒng)因其具有容量大、性能高、擴展性能好等優(yōu)點，已經(jīng)得到了廣泛的應(yīng)用。本文通過對iSCSI技術(shù)的研究，既充分看到iSCSI存儲系統(tǒng)與以往傳統(tǒng)存儲系統(tǒng)相比具有無可替代的優(yōu)勢，也看到了iSCSI存在的諸多問題。由于iSCSI的設(shè)計標(biāo)準是在不受信任的廣域網(wǎng)環(huán)境中使用，數(shù)據(jù)的安全性就顯得至關(guān)重要。因此，本文針對iSCSI網(wǎng)絡(luò)存在的的安全性問題展開專門的研究和討論，重點研究如何消除iSCSI協(xié)議中存在的

2、安全隱患，并提出解決問題的相應(yīng)辦法。 本文研究分析了三個層面對iSCSI的安全性實施保護：在iSCSI連接層實現(xiàn)帶內(nèi)安全機制，即用戶進行身份login認證；在IP層實現(xiàn)基于數(shù)據(jù)包的安全保護機制Ipsec；以及提供高性能的遠程復(fù)制系統(tǒng)，確保數(shù)據(jù)的萬無一失。 本文首先從目前iSCSI系統(tǒng)中廣泛使用的CHAP身份認證協(xié)議分析起，由于iSCSI通信主要依靠initiator、target和ip通信節(jié)點來完成，因此首先在分散的存儲

3、空間中引入認證機制。通過研究和分析，發(fā)現(xiàn)CHAP協(xié)議中存在口令易竊取、只支持服務(wù)端對客戶端的單向認證、信道易受攻擊等安全隱患，進而提出用Kerberos協(xié)議代替CHAP協(xié)議進行身份認證。為了進一步提高Kerberos協(xié)議的安全性能，提出了用公鑰密碼體制直接對Kerberos協(xié)議安全性加以改進的兩種解決方法，同時還引入USBKey硬件單元，加強私鑰管理。在通信開始的身份認證階段就建立起安全防護屏障，防止非法用戶的攻擊和入侵。 在用

4、戶完成登錄以后，系統(tǒng)進入數(shù)據(jù)傳輸階段，這就涉及到數(shù)據(jù)保密問題。為此本文研究和分析了Ipsec（Internet Protocol Security）技術(shù)，從Ipsec的工作模式到實現(xiàn)Ipsec的安全關(guān)聯(lián)，以及用IKE協(xié)調(diào)單元完成IKE協(xié)議的認證。在此基礎(chǔ)上提出了相應(yīng)的對策和改進措施。同時考慮到iSCSI采用改進后的IKE進行密鑰交換會影響I/O速度，提出了分級安全的iSCSI解決方案。 最后，為了保證iSCSI網(wǎng)絡(luò)上傳輸數(shù)據(jù)的安

5、全性和一致性，應(yīng)對各種突發(fā)事件，本文對iSCSI網(wǎng)絡(luò)系統(tǒng)中遠程數(shù)據(jù)復(fù)制技術(shù)進行了研究和討論。從遠程復(fù)制的實現(xiàn)層次、采用何種同步模式以及如何實現(xiàn)數(shù)據(jù)遠程復(fù)制等進行了分析和討論，還對遠程復(fù)制系統(tǒng)中關(guān)鍵部件——磁盤陣列進行了專門研究，提出了切實可行的遠程復(fù)制體系結(jié)構(gòu)。并提出“在遠程復(fù)制系統(tǒng)設(shè)計過程中，在數(shù)據(jù)的可用性、數(shù)據(jù)的可靠性、系統(tǒng)效率和使用成本間如何取舍及均衡是系統(tǒng)設(shè)計需要考慮的核心問題”這一結(jié)論性觀點，為構(gòu)建iSCSI網(wǎng)絡(luò)系統(tǒng)提供了設(shè)計