iscsi存储系统中的安全性研究

《iscsi存储系统中的安全性研究》由会员分享，可在线阅读，更多相关《iscsi存储系统中的安全性研究（59页珍藏版）》请在金锄头文库上搜索。

1、上海交通大学 硕士学位论文 iSCSI存储系统中的安全性研究 姓名：朱坷 申请学位级别：硕士 专业：计算机技术 指导教师：张尧弼;陈迎松 20070801 i 摘摘 要要 随着 Internet 的快速发展， iSCSI 存储系统因其具有容量大、性能高、扩展性能好等优点， 已经得到了广泛的应用。本文通过对 iSCSI 技术的研究，既充分看到 iSCSI 存储系统与以往传统 存储系统相比具有无可替代的优势，也看到了 iSCSI 存在的诸多问题。由于 iSCSI 的设计标准是 在不受信任的广域网环境中使用，数据的安全性就显得至关重要。因此，本文针对 iSCSI 网络存 在的的安全性问题展开专门的研

2、究和讨论，重点研究如何消除 iSCSI 协议中存在的安全隐患，并 提出解决问题的相应办法。 本文研究分析了三个层面对 iSCSI 的安全性实施保护：在 iSCSI 连接层实现带内安全机制， 即用户进行身份 login 认证；在 IP 层实现基于数据包的安全保护机制 IPsec；以及提供高性能的 远程复制系统，确保数据的万无一失。 本文首先从目前 iSCSI 系统中广泛使用的 CHAP 身份认证协议分析起，由于 iSCSI 通信主要 依靠 initiator、target 和 ip 通信节点来完成，因此首先在分散的存储空间中引入认证机制。通过研 究和分析，发现 CHAP 协议中存在口令易窃取、只

3、支持服务端对客户端的单向认证、信道易受攻 击等安全隐患， 进而提出用Kerberos协议代替CHAP协议进行身份认证。 为了进一步提高Kerberos 协议的安全性能，提出了用公钥密码体制直接对 Kerberos 协议安全性加以改进的两种解决方法， 同时还引入 USBKey 硬件单元，加强私钥管理。在通信开始的身份认证阶段就建立起安全防护屏 障，防止非法用户的攻击和入侵。 在用户完成登录以后，系统进入数据传输阶段，这就涉及到数据保密问题。为此本文研究和 分析了 IPsec（Internet Protocol Security）技术，从 IPsec 的工作模式到实现 IPsec 的安全关联，以

4、及用 IKE 协调单元完成 IKE 协议的认证。 在此基础上提出了相应的对策和改进措施。 同时考虑到 iSCSI 采用改进后的 IKE 进行密钥交换会影响 I/O 速度，提出了分级安全的 iSCSI 解决方案。 最后， 为了保证 iSCSI 网络上传输数据的安全性和一致性， 应对各种突发事件， 本文对 iSCSI 网络系统中远程数据复制技术进行了研究和讨论。从远程复制的实现层次、采用何种同步模式以 及如何实现数据远程复制等进行了分析和讨论，还对远程复制系统中关键部件磁盘阵列进行 了专门研究，提出了切实可行的远程复制体系结构。并提出“在远程复制系统设计过程中，在数 据的可用性、数据的可靠性、系统

5、效率和使用成本间如何取舍及均衡是系统设计需要考虑的核心 问题”这一结论性观点，为构建 iSCSI 网络系统提供了设计思想。 通过本文的研究和介绍，可以清晰地看到在 iSCSI 存储网络系统中，用户如何构建各级安全 防护措施。但网络用户不同，它对系统的安全级别要求就会不同。安全级别越高，系统所投入的 成本就越高，所以选择适合自己的安全防护措施，是每一个构建 iSCSI 存储网络系统的用户所必 须考虑的问题。本文正是本着这样的目的，对各种安全措施进行了研究和分析，给出了各自的优 势和不足。建立适合自己的安全网络运行环境是本文研究和讨论的目的。 【关键字】：【关键字】：握手认证协议、因特网安全协议、

6、互联网密钥交换、非易失性随机访问存储器、 安全关联 ii Abstract Along with the fast development of internet，iSCSI storage system is widely used because of the virtues of great capacity、high performance and good expandability。Through the introduction of iSCSI technology，this paper fully commend the hidden advantage of iSCSI s

7、torage system and put forward a great deal of problems in it， especially the security performance in iSCSI network。 As the iSCSI storage system is designed to use in a distrustful wan area，the security of data is obviously important。So the emphasize of this paper is to study how to resolve the hidde

8、n troubles lying in iSCSI protocol and put forward the method to resolve it。 This paper researches iSCSI safety protection from three sides：user identity login authentication、 IPsec and high performance long-distance data replicating。 As iSCSI communication mainly depends on initiator、target and ip

9、communication node，so authentication mechanism should be introduced to distract storage area firstly。After the introduction of normal CHAP identity authentication protocol，it is found that hidden troubles lies in CHAP protocol including password filched easily，server to client unilateral authenticat

10、ion and channel attacked easily through study。 It is put forward to use Kerberos to substitute for CHAP protocol。 In order to improve the security performance， two revisd method aiming at Kerberos protocol is put forward using RSA。 At the same time， USBkey hardware unit is introduced to establish th

11、e first barrier of iSCSI network to prevent unauthorized user invading。 After the user logging in ,the system enters the full function phase。It is concerned about data encryption。For this sake，this paper study the IPsec technology。It includes the IPsec working mode， IPsec SA and IKE。On this basis，th

12、e revising method is put forward not only concerning about the I/O rate but also regarding about the level security。 At last， in order to ensure the security and coherence of data transfers in iSCSI network， this paper studies and discusses the long-distance data replicating。It discusses the impleme

13、nt level、which synchronization mode 、how to implement long-distance data replication and the key part of long-distance data replication-iSCSI RAID。The realizable long-distance system is put forward concerning about system reliability、efficiency and cost。 After this papers introduction，you can find h

14、ow to establish each kind of safety protection for their level。Establishing compatible safety iSCSI storage system is one of the purposes of this paper。 Key Words： CHAP，IPsec，IKE，SA，NVRAM iii 英文缩写说明英文缩写说明 AH Authentication Header 认证头 AS Authentication Server 认证服务器 CHAP Challenge-Handshake Authentica

15、tion Protocol 握手认证协议 DAS Direct Attached Storage 直接连接存储 ECC Error Correcting Code 纠错码 ESP Encapsulating Security Payload 封装安全载荷 HBA Host Bus Adapter 主机总线适配器 IKE Internet Key Exchange 互联网密钥交换 IPsec Internet Protocol Security 因特网安全协议 KCA Kerberos Certification Authority Kerberos 证书认证机构 KDC Key Distrib

16、ution Center 密钥分配中心 NAS Network Attached Storage 附网存储 NVRAM Non-Volatile Random Access Memory 非易失性随机访问存储器 PKI Public Key Infrastructure 公共密钥体系 PDU Protocol Data Unit 协议数据单元 RAID Redundant Array of Inexpensive Disk 独立冗余磁盘阵列 RTT Round Trip Time 延迟时间差 SA Security Association 安全关联 SAN Storage Area Network 存储区域网络 SCSI Small Computer System Interface 小型计算机系统接口 SPI Security Parameters Index 安全参数索引 SRP Secure Remote P