【摘要】：隨著信息技術(shù)的飛速發(fā)展,個人與組織對信息存儲的需求越來越大,存儲區(qū)域網(wǎng)也因此得到廣泛的使用。然而存儲區(qū)域網(wǎng)中的光纖通道存儲區(qū)域網(wǎng)絡(luò)與以太網(wǎng)存儲區(qū)域網(wǎng)絡(luò)各有優(yōu)缺點,如果能夠?qū)烧哌M(jìn)行融合,則能夠進(jìn)行優(yōu)勢互補,滿足各種用戶的需求。 無論是光纖通道存儲區(qū)域網(wǎng)絡(luò)還是以太網(wǎng)存儲區(qū)域網(wǎng)絡(luò)都存在安全問題,而且當(dāng)兩者被融合在一起時,又將出現(xiàn)新的安全問題。因此,需要針對這種融合式存儲系統(tǒng)進(jìn)行分析與研究,設(shè)計相應(yīng)的安全體系以保證整個存儲系統(tǒng)的安全性和可靠性。存儲系統(tǒng)的安全性主要有以下幾個方面:安全認(rèn)證、訪問控制、動態(tài)數(shù)據(jù)安全性和靜態(tài)數(shù)據(jù)安全性。結(jié)合融合式系統(tǒng)的特點對挑戰(zhàn)握手認(rèn)證協(xié)議進(jìn)行了改進(jìn),實現(xiàn)了存儲用戶與存儲控制器的安全認(rèn)證。由于光纖通道協(xié)議不同于IP協(xié)議,光纖通道發(fā)起端在使用挑戰(zhàn)握手認(rèn)證協(xié)議進(jìn)行認(rèn)證時采用的是帶外認(rèn)證方式,而IP發(fā)起端則是帶內(nèi)認(rèn)證。提出了一種基于組和角色的訪問控制模型,借助用戶組控制用戶對設(shè)備的訪問,借助角色控制用戶對數(shù)據(jù)的讀寫操作,從而實現(xiàn)對存儲用戶的多級訪問控制。在以太網(wǎng)中傳輸?shù)膭討B(tài)數(shù)據(jù)容易被截獲、竊取或修改,因此在IP發(fā)起端與存儲控制器之間建立起C/S模式的虛擬專用網(wǎng)對其加以保護(hù)。采用IEEE1619標(biāo)準(zhǔn)提出的XTS-AES加密算法對存儲設(shè)備上的靜態(tài)數(shù)據(jù)進(jìn)行加密存儲,同時對加密密鑰進(jìn)行統(tǒng)一分配和管理,以保證存儲設(shè)備丟失時靜態(tài)數(shù)據(jù)的安全性。 測試結(jié)果表明:設(shè)計方案能夠為融合式存儲系統(tǒng)提供全方位的安全保障,同時方案中使用的虛擬私有網(wǎng)絡(luò)技術(shù)和XTS-AES加密算法對整個系統(tǒng)增加的額外開銷并不大。
【圖文】：

E FG H圖 2.1 交換分區(qū)圖是借助光纖交換機實現(xiàn)分區(qū)，把交換機上某些硬件端到這些端口的節(jié)點就處在同一個分區(qū)中[20]。在采用硬個端口地址集合代表一個分區(qū)，連接到同一集合中端可以實現(xiàn)互相通信。即使應(yīng)用服務(wù)器與存儲設(shè)備連接接的交換機端口不屬于同一分區(qū)，那么應(yīng)用服務(wù)器依是通過限制硬件端口的接入而實現(xiàn)訪問控制，因此比靈活性很差，而且配置過程復(fù)雜。網(wǎng)絡(luò)具有私有性、專用性，因此只采用了 LUN 技術(shù)進(jìn)行訪問控制。但是 LUN 技術(shù)只適合小規(guī)模 FC-SAN技術(shù)實現(xiàn)容易、管理簡單，但是攻擊者很容易通過偽

11全威脅如圖2.3所示。圖中的數(shù)字1~7分別表示融合式存儲系統(tǒng)面臨的7種安全威脅。第 1 種是存儲用戶非法訪問存儲控制器，第 2、3 種是用戶與存儲控制器傳輸數(shù)據(jù)的安全性，第 4 種是合法用戶對存儲設(shè)備的非法訪問，第 5、6 種是存儲控制器與存儲設(shè)備傳輸數(shù)據(jù)的安全性，第 7 種是存儲設(shè)備上的數(shù)據(jù)安全性。3256117 7422335 5 66IP路由器FC交換機存儲控制器FC交換機IP路由器FC設(shè)備iSCSI設(shè)備iSCSI用戶FC用戶圖 2.3 融合式存儲系統(tǒng)面臨的安全威脅對于第 1 種威脅，存儲用戶在與存儲控制器建立數(shù)據(jù)通路以前，先進(jìn)行安全認(rèn)證，防止非法進(jìn)入存儲系統(tǒng)。對于第 2 種威脅，由于用戶與存儲控制器通過 IP 網(wǎng)絡(luò)傳輸數(shù)據(jù)
【學(xué)位授予單位】：華中科技大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2011
【分類號】：TP333

【參考文獻(xiàn)】

相關(guān)期刊論文 前10條

1 寧云亭;;L2TP VPN的應(yīng)用[J];電腦學(xué)習(xí);2009年03期

2 王瑩;何大軍;;AES加密算法的改進(jìn)與實現(xiàn)[J];電腦編程技巧與維護(hù);2010年17期

3 卜曉燕;張根耀;郭協(xié)潮;;基于AES算法實現(xiàn)對數(shù)據(jù)的加密[J];電子設(shè)計工程;2009年03期

4 魏曉玲;;MD5加密算法的研究及應(yīng)用[J];信息技術(shù);2010年07期

5 趙凱;;VPN技術(shù)初探[J];信息技術(shù);2010年10期

6 廖俊國;洪帆;肖海軍;張昭理;;細(xì)粒度的基于角色的訪問控制模型[J];計算機工程與應(yīng)用;2007年34期

7 劉陽,朱方金,史清華;一個CHAP認(rèn)證協(xié)議的改進(jìn)方案[J];計算機工程;2005年05期

8 任傳倫,李遠(yuǎn)征,楊義先;CHAP協(xié)議的分析和改進(jìn)[J];計算機應(yīng)用;2003年06期

9 何明星,范平志;新一代私鑰加密標(biāo)準(zhǔn)AES進(jìn)展與評述[J];計算機應(yīng)用研究;2001年10期

10 朱立谷,趙青梅;SAN的安全技術(shù)研究[J];計算機應(yīng)用研究;2003年05期

，

本文編號：2674452