收藏
下载资源

ip与fc融合式存储系统的安全体系设计与实现

上传人:E**** 文档编号:118210078 上传时间:2019-12-11 格式:PDF 页数:71 大小:3MB
返回 下载 相关 举报
ip与fc融合式存储系统的安全体系设计与实现_第1页
第1页 / 共71页
ip与fc融合式存储系统的安全体系设计与实现_第2页
第2页 / 共71页
ip与fc融合式存储系统的安全体系设计与实现_第3页
第3页 / 共71页
ip与fc融合式存储系统的安全体系设计与实现_第4页
第4页 / 共71页
ip与fc融合式存储系统的安全体系设计与实现_第5页
第5页 / 共71页
点击查看更多>>
资源描述

《ip与fc融合式存储系统的安全体系设计与实现》由会员分享,可在线阅读,更多相关《ip与fc融合式存储系统的安全体系设计与实现(71页珍藏版)》请在金锄头文库上搜索。

1、华中科技大学 硕士学位论文 IP与FC融合式存储系统的安全体系设计与实现 姓名:李瑞 申请学位级别:硕士 专业:计算机系统结构 指导教师:周敬利 2011-01-17 华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文 I 摘要 随着信息技术的飞速发展,个人与组织对信息存储的需求越来越大,存储区域 网也因此得到广泛的使用。然而存储区域网中的光纤通道存储区域网络与以太网存 储区域网络各有优缺点,如果能够将两者进行融合,则能够进行优势互补,满足各 种用户的需求。 无论是光纤通道存储区域网络还是以太网存储区域网络都存在安全问题,而且 当两者被融合在一起时,又

2、将出现新的安全问题。因此,需要针对这种融合式存储 系统进行分析与研究,设计相应的安全体系以保证整个存储系统的安全性和可靠性。 存储系统的安全性主要有以下几个方面:安全认证、访问控制、动态数据安全性和 静态数据安全性。结合融合式系统的特点对挑战握手认证协议进行了改进,实现了 存储用户与存储控制器的安全认证。由于光纤通道协议不同于 IP 协议,光纤通道发 起端在使用挑战握手认证协议进行认证时采用的是带外认证方式,而 IP 发起端则是 带内认证。提出了一种基于组和角色的访问控制模型,借助用户组控制用户对设备 的访问,借助角色控制用户对数据的读写操作,从而实现对存储用户的多级访问控 制。在以太网中传输

3、的动态数据容易被截获、窃取或修改,因此在 IP 发起端与存储 控制器之间建立起 C/S 模式的虚拟专用网对其加以保护。 采用 IEEE1619 标准提出的 XTS-AES 加密算法对存储设备上的静态数据进行加密存储,同时对加密密钥进行统 一分配和管理,以保证存储设备丢失时静态数据的安全性。 测试结果表明:设计方案能够为融合式存储系统提供全方位的安全保障,同时 方案中使用的虚拟私有网络技术和XTS-AES加密算法对整个系统增加的额外开销并 不大。 关键字:融合存储,存储区域网,存储安全,访问控制 华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文 II

4、Abstract With the fast development of information technology, each individual and organizational have much more demand for information storage, as a result the Storage Area Network is used intensively now. There are two types of SAN: FC-SAN and IP-SAN, but they all have fine feathers and defects. On

5、ce the two merge together, it can take advantage of each other and meet the needs of different users. The FC-SAN and the IP-SAN all have security issue, and when they are merged, new problem will appear. This paper researched on the integration storage system and designed a security solution. The se

6、curity of storage includes secure authentication, access control, security of dynamic data and static data. Based on the integration storage system, the Challenge Handshake Authentication Protocol was improved for secure authentication between the user and the storage controller. The Fiber Channel P

7、rotocol is different from the Internet Protocol, so the FC initiator used the out-band mode while the IP initiator used in-band mode. A group and role based access control model was proposed, the group was used to control access to the device and the role was used to control access to the file. The

8、data transmited in ethernet is unsafe, so a C/S mode Virtual Private Network was designed to protect the dynamic data. The XTS-AES algorithm was used to encrypt the data on the devices, while the secret keys were assigned and managed uniformly. So the static data on the devices is safe even if the d

9、evices are lost. The experiment results show that the security solution can provide the integration storage system with reliable security guarantee, at the same time, the Virtual Private Network and the XTS-AES algorithm only take little overload for the system. Keywords: Integration Storage, Storag

10、e Area Network, Secure Storage, Access Control 独创性声明独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知,除文中已经标明引用的内容外,本论文不包含任何其他 个人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集 体, 均已在文中以明确方式标明。 本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名: 日期: 年 月 日 学位论文版权使用授权书学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定,即:学校有权 保留并向国家有关部门或机构送交论文的复印件

11、和电子版,允许论文被查阅和借阅。 本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检 索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密, 在 年解密后适用本授权书。 不保密。 (请在以上方框内打“” ) 学位论文作者签名: 指导教师签名: 日期: 年 月 日 日期: 年 月 日 本论文属于 华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文 1 1 绪论 1.1 存储技术概况 随着信息技术和网络技术的飞速发展,存储技术也得到了快速发展,存储系统 逐渐由本地直连向着网络化和分布式方向发展。于是便出现了很多不同形式的

12、网络 存储系统,其主要有三种:直连式存储(Direct Attached Storage,简称 DAS) 、网络 附加存储 (Network Attached Storage, 简称 NAS) 和存储区域网 (Storage Area Network, 简称 SAN) 。 DAS 是一种将存储设备通过电缆直接与应用服务器相连接的存储技术。DAS 针 对其直连的应用服务器具有低延迟,高带宽的特点,但是其他服务器只能通过网络 共享来访问 DAS 的存储资源1。随着用户数据的不断增长,DAS 无法有效的与其他 用户共享文件, 协同工作效率会明显下降。 因此, 应用更广泛、 可扩展性更强的 NAS 和

13、 SAN 出现了。 NAS 是一种将分布的、独立的数据进行集中化的管理,以便于不同的应用服务 器进行访问的技术。NAS 以数据为中心,将存储设备与应用服务器彻底分离,集中 管理数据,从而释放带宽、提高性能。NAS 借助网络共享文件系统,使用 TCP/IP 协 议将文件传送至客户端,它等效于大型网络服务器,提供文件级的共享服务2。SAN 是一种面向服务器提供存储服务,并将数据的存储和管理集中在相对独立的专用网 络中的存储技术3。SAN 通过光纤网络传输块级的数据,而不是直接传输文件级的 数据。SAN 具有高传输速度、远传输距离和支持数量众多的设备等优点。同时,在 SAN 系统中,任何一台服务器均

14、可访问任何一个存储设备,实现了在不同的硬件和 软件平台之间实现数据共享4。由此可见,SAN 将成为新一代企业信息存储架构的 主流。 根据传输层的不同,SAN 又可分为光纤通道 SAN(FC-SAN)与以太网 SAN (IP-SAN) 。FC-SAN 使用的是光纤通道5(Fiber Channel,FC) ,而 IP-SAN 最常见 华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文 2 的是采用 iSCSI(Internet Small Computer System Interface)协议 6。FC-SAN 有 着独立的光纤通道网络,具有高速带宽、

15、远距离传输、连接设备数量大等优点。但 是它的存储架构硬件昂贵, 系统管理与配置复杂。 IP-SAN 使用以太网技术封装 SCSI (Small Computer System Interface)协议,可以方便而快捷地传输数据,因而成本 大大降低,管理也较为简单。但是相对与 FC-SAN,其传输速度底,安全性不够高。 无论是 FC-SAN 还是 IP-SAN,都有着各自的优势和劣势,两者在短期内必然共 存。大型企业由于在 FC-SAN 上投资太多,他们不可能轻易放弃 FC-SAN。而中小企 业则已经接受了 iSCSI,因为他们成本相对较低。企业只需要雇佣 IP 方面有专业知 识的人,而无需找那

16、些了解 FC 专业知识的管理员,并且管理起来也方便很多。从目 前的发展趋势来看,生产厂商们更多的是同时投资在 FC 和 iSCSI 两个领域,利用两 者各自的优势形成互补的产品线。比如,HP 公司提出了针对 iSCSI 的 Storage Works EVA 战略,即“互补、灵活和低成本” 。所谓互补,就是要使 FC 和 iSCSI 协同工作, 以充分发挥互补优势。利用 iSCSI 的优点,可以把 FC 的基础设施扩展到更远距离和 更多服务器,实现业务连续性和更出色的投资保护。其实质就是构建一个基于 FC 和 iSCSI 的融合式存储系统。 1.2 存储安全的发展现状 存储安全是指用以保证存储设备上的数据只能被授权的用户通过可信的网络进 行安全访问而采取的安全配置和安全控制,将存储技术与安全技术进行有机结合, 以确保数据的完整性、可靠性和机

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号