【摘要】：隨著信息技術的飛速發(fā)展,個人與組織對信息存儲的需求越來越大,存儲區(qū)域網也因此得到廣泛的使用。然而存儲區(qū)域網中的光纖通道存儲區(qū)域網絡與以太網存儲區(qū)域網絡各有優(yōu)缺點,如果能夠將兩者進行融合,則能夠進行優(yōu)勢互補,滿足各種用戶的需求。 無論是光纖通道存儲區(qū)域網絡還是以太網存儲區(qū)域網絡都存在安全問題,而且當兩者被融合在一起時,又將出現新的安全問題。因此,需要針對這種融合式存儲系統(tǒng)進行分析與研究,設計相應的安全體系以保證整個存儲系統(tǒng)的安全性和可靠性。存儲系統(tǒng)的安全性主要有以下幾個方面:安全認證、訪問控制、動態(tài)數據安全性和靜態(tài)數據安全性。結合融合式系統(tǒng)的特點對挑戰(zhàn)握手認證協(xié)議進行了改進,實現了存儲用戶與存儲控制器的安全認證。由于光纖通道協(xié)議不同于IP協(xié)議,光纖通道發(fā)起端在使用挑戰(zhàn)握手認證協(xié)議進行認證時采用的是帶外認證方式,而IP發(fā)起端則是帶內認證。提出了一種基于組和角色的訪問控制模型,借助用戶組控制用戶對設備的訪問,借助角色控制用戶對數據的讀寫操作,從而實現對存儲用戶的多級訪問控制。在以太網中傳輸的動態(tài)數據容易被截獲、竊取或修改,因此在IP發(fā)起端與存儲控制器之間建立起C/S模式的虛擬專用網對其加以保護。采用IEEE1619標準提出的XTS-AES加密算法對存儲設備上的靜態(tài)數據進行加密存儲,同時對加密密鑰進行統(tǒng)一分配和管理,以保證存儲設備丟失時靜態(tài)數據的安全性。 測試結果表明:設計方案能夠為融合式存儲系統(tǒng)提供全方位的安全保障,同時方案中使用的虛擬私有網絡技術和XTS-AES加密算法對整個系統(tǒng)增加的額外開銷并不大。
【圖文】：

E FG H圖 2.1 交換分區(qū)圖是借助光纖交換機實現分區(qū)，把交換機上某些硬件端到這些端口的節(jié)點就處在同一個分區(qū)中[20]。在采用硬個端口地址集合代表一個分區(qū)，連接到同一集合中端可以實現互相通信。即使應用服務器與存儲設備連接接的交換機端口不屬于同一分區(qū)，那么應用服務器依是通過限制硬件端口的接入而實現訪問控制，因此比靈活性很差，而且配置過程復雜。網絡具有私有性、專用性，因此只采用了 LUN 技術進行訪問控制。但是 LUN 技術只適合小規(guī)模 FC-SAN技術實現容易、管理簡單，但是攻擊者很容易通過偽

11全威脅如圖2.3所示。圖中的數字1~7分別表示融合式存儲系統(tǒng)面臨的7種安全威脅。第 1 種是存儲用戶非法訪問存儲控制器，第 2、3 種是用戶與存儲控制器傳輸數據的安全性，第 4 種是合法用戶對存儲設備的非法訪問，第 5、6 種是存儲控制器與存儲設備傳輸數據的安全性，第 7 種是存儲設備上的數據安全性。3256117 7422335 5 66IP路由器FC交換機存儲控制器FC交換機IP路由器FC設備iSCSI設備iSCSI用戶FC用戶圖 2.3 融合式存儲系統(tǒng)面臨的安全威脅對于第 1 種威脅，存儲用戶在與存儲控制器建立數據通路以前，先進行安全認證，防止非法進入存儲系統(tǒng)。對于第 2 種威脅，由于用戶與存儲控制器通過 IP 網絡傳輸數據
【學位授予單位】：華中科技大學
【學位級別】：碩士
【學位授予年份】：2011
【分類號】：TP333

【參考文獻】

相關期刊論文 前10條

1 寧云亭;;L2TP VPN的應用[J];電腦學習;2009年03期

2 王瑩;何大軍;;AES加密算法的改進與實現[J];電腦編程技巧與維護;2010年17期

3 卜曉燕;張根耀;郭協(xié)潮;;基于AES算法實現對數據的加密[J];電子設計工程;2009年03期

4 魏曉玲;;MD5加密算法的研究及應用[J];信息技術;2010年07期

5 趙凱;;VPN技術初探[J];信息技術;2010年10期

6 廖俊國;洪帆;肖海軍;張昭理;;細粒度的基于角色的訪問控制模型[J];計算機工程與應用;2007年34期

7 劉陽,朱方金,史清華;一個CHAP認證協(xié)議的改進方案[J];計算機工程;2005年05期

8 任傳倫,李遠征,楊義先;CHAP協(xié)議的分析和改進[J];計算機應用;2003年06期

9 何明星,范平志;新一代私鑰加密標準AES進展與評述[J];計算機應用研究;2001年10期

10 朱立谷,趙青梅;SAN的安全技術研究[J];計算機應用研究;2003年05期

，

本文編號：2674452