《融合平台下san设备的访问控制设计与实现》由会员分享,可在线阅读,更多相关《融合平台下san设备的访问控制设计与实现(60页珍藏版)》请在金锄头文库上搜索。
1、华中科技大学 硕士学位论文 融合平台下SAN设备的访问控制设计与实现 姓名:汪琦晔 申请学位级别:硕士 专业:计算机系统结构 指导教师:周敬利 20080604 I 华华 中中 科科 技技 大大 学学 硕硕 士士 学学 位位 论论 文文 摘摘 要要 目前,数据存储领域的很多技术还处于研究阶段,从最初的直接连接存储模式发 展到现今的网络存储模式,数据存储逐渐成为人们的研究热点。网络存储由于所采用 的技术和协议不同, 逐渐形成了不同类型的网络存储架构。 SAN 技术更具有灵活性和 可扩展性, 包括基于光纤通道 (Fibre Channel, FC) 的FC SAN和基于IP网络的IP SAN。 F
2、C SAN 传输速度快,具有良好的扩展性,但是存在传输距离较短,价格昂贵的问题, 而基于 IP 网络的 IP SAN 很好的解决了这些问题。 融合式存储平台设计实现的存储系 统架构实现了 IP SAN 与 FC SAN 的互联互通融合性, 通过 IP、 FC 等不同的连接方式 将远程存储资源映射到自身,进行统一存储虚拟化,并对外提供块级存储服务。 由于目前的存储设备并不具备内置的安全机制,在异构的虚拟存储网络环境下, 特别是在融合式存储系统中实现为不同等级需求的用户或应用服务器动态分配相应 存储资源变得尤其重要。可以通过访问控制技术来实现这一需求。为此,在分析了几 种主要的访问控制技术的基础上
3、,通过交换分区 Zoning、LUN Masking、身份认证机 制以及存储虚拟化等安全策略, 设计了 ATCA 融合存储平台下存储块设备多层访问控 制策略,细化了存储块设备的访问控制颗粒,实现了划分交换分区、建立访问控制组 的多重逻辑关系。 最后在软硬件环境下对融合存储平台的多层访问策略进行了测试, 通过对虚拟块 设备的屏蔽、发现等方式,证实了多层访问控制架构的可行性。但在安全性方面,多 层访问控制策略仅实现了对虚拟块设备访问的授权以及 IP 连接方式的身份认证,并 没有实现 FC 连接方式下认证功能,因此在 FC SAN 与 IP SAN 融合的平台下实现统 一身份认证将是下一步工作的重点
4、。 关键词关键词: 融合存储系统,设备访问控制,逻辑单元安全,挑战握手认证协议,存储 虚拟化,交换分区 II 华华 中中 科科 技技 大大 学学 硕硕 士士 学学 位位 论论 文文 Abstract Nowadays, many storage technologies are still in the research stage. Technology of SAN has more flexibility and scalability, including FC SAN which is based on Fibre Channel and IP SAN which is IP-bas
5、ed. FC SAN transports data in a high speed and has a good scalability, however, its transmission distance is very short and the price is so high, and IP SAN has good solution to these problems. Accordingly, Unified Storage Platform designed to achieve the storage systems architecture of the IP SAN a
6、nd FC SAN interoperability and integration, Unified Storage Platform mapping the long-distance storage resources to itself, makes virtualization of these resources, and offer block-level storage services to outside. As the current storage devices do not have a built-in security mechanism, in the Uni
7、fied Storage systems to achieve different levels of demands for the user or application server storage different dynamic allocation of resources is especially important. In order to achieve the requirements, it could use access control mechanisms to protect the security of the Unified Storage Platfo
8、rm. Thus, based on the analysis of several major access control mechanisms, by using Zoning, LUN Masking, Authentication mechanism, storage virtualization, and other security strategies, design a multi-storey access control strategy which is based on ATCA Unified Storage Platform, small of a storage
9、 block the access control equipment particles, and establish the multiple logic of access control group and zoning. Finally, the multi-access control strategy was tested based on Unified Storage Platform, by using LUN Masking to mask and discover the virtual block device, confirmed the multi-access
10、control storey structure is feasible. Keywords: Unified Storage System, Device Access Control, Logical Unit Number Security, Challenge Handshake Authentication Protocol, Storage Virtualization, Zoning 独创性声明独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知,除文中已经标明引用的内容外,本论文不包含任何其他个人或集 体已经发表或撰写过的研究成果。
11、对本文的研究做出贡献的个人和集体,均已在文中 以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名: 日期: 年 月 日 学位论文版权使用授权书学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定,即:学校有权保 留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。本 人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检索, 可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密 ,在_年解密后适用本授权书。 本论文属于 不保密。 (请在以上方框内打“”) 学位论文作者签名: 指导教师签名: 日期:
12、 年 月 日 日期: 年 月 日 1 华华 中中 科科 技技 大大 学学 硕硕 士士 学学 位位 论论 文文 1 绪论绪论 1.1 课题背景课题背景 1.1.1 网络存储技术的发展和现状网络存储技术的发展和现状 从 1946 年诞生世界第一台计算机到现在,IT 技术的发展经历了三个阶段。第 一个阶段是以计算机处理器为核心,促进了计算机的普及和应用;第二个阶段是以 计算机网络技术为核心,使得数字化信息的应用遍布全球;随着数字化信息的爆炸 性增长, IT 技术的第三阶段存储技术得以迅速发展, 并成为国内外研究的重点。 当前,主流的网络存储技术主要有:DAS(Direct Attached Stor
13、age,直接连接 存储) , NAS (Network Attached Storage, 网络附加存储) , SAN (Storage Area Network, 存储区域网络)1。 DAS 是指将存储设备通过 SCSI2接口或光纤通道3直接连接到一台计算机上。 存储设备从属于服务器,无需考虑自身的安全性4。但是由于 DAS 环境下,各服务 器是相互独立的,存储数据无法共享,不能满足现代网络存储技术的高速发展和数 据量的爆炸性增长,数据分布式存储5变得越来越重要。 当服务器在地理上比较分散,很难通过远程连接进行互连时,直接连接存储是 比较好的解决方案,甚至可能是唯一的解决方案。利用直接连接存
14、储的另一个原因 也可能是企业决定继续保留已有的传输速率并不很高的网络系统。 NAS 和 SAN 的出现响应了三种重要的发展趋势:网络正成为主要的信息处理 模式;需要存储的数据大量增加;数据作为取得竞争优势的战略性资产其重要性在 增加6。 NAS 是一种以数据为中心的存储结构, 可以向网络用户提供跨平台的文件级海 量数据共享功能,重点在于帮助工作组和部门级机构解决迅速增加存储容量的需 求。它通过多种文件共享协议(NFS,CIFS,Apple Talk 等)7为不同的异构平台 客户端提供文件共享服务。 2 华华 中中 科科 技技 大大 学学 硕硕 士士 学学 位位 论论 文文 NAS 是一种实用的
15、数据存储设备,其主要特点有:1、可扩展性强。NAS 的瘦 服务器特点使 NAS 设备连接到网络上非常方便,可以将其直接挂接到主干网的交 换机或者其他局域网的 HUB 上,完全做到即插即用,因此相对于传统的 DAS 存储 设备,NAS 具有超强容量扩展能力。2、使用和管理简单。NAS 设备在网络中占用 一个 IP 地址,实质上相当于一台高性能的文件服务器,用户安装、调试、使用和 管理非常简单。3、跨平台文件共享。NAS 支持多种文件共享协议,如 NFS,CIFS, Apple Talk 等,从而能够实现不同网络环境下,用户跨平台共享数据。 NAS 没有解决与文件服务器相关的一个关键性问题,即备份
16、过程中的带宽消 耗。 与将备份数据流从 LAN 中转移出去的存储区域网 SAN 不同, NAS 仍使用网络 进行备份和恢复。NAS 的一个缺点是它将存储事务由并行 SCSI 连接转移到了网络 上。这就是说 LAN 除了必须处理正常的最终用户传输流之外,还必须处理包括备 份操作的存储磁盘请求。 SAN 通过光纤通道连接到一群计算机上。在该网络中提供了多主机连接,但并 非通过标准的网络拓扑8。 SAN 采用特定的连接方式, 将所连接的若干存储服务器、 磁盘整列组成一个独立的数据存储网络,客户端通过特殊的 HBA9和协议完成对 SAN 的访问。 目前构建 SAN 的解决方案中主要存在三种协议: FC (光纤通道协议) , Infiniband 和 iSCSI11。 FC 是结合传统通道技术和网络技术的串行互联技术,使其可以在长距离上实 现可靠数据传输,但是其昂贵的设备和管理成本成为制约 FC SAN 的最大问题。 InfiniBand 规范(IBA)12采用基于通道
