摘 要:为解决目前iSCSI协议身份认证口令容易窃取、被黑客攻破问题,提出了一种对iSCSI数据进行加解密的网关式系统,着重研究了透明加解密网关中iSCSI协议的解析。该系统将透明加解密放置在多个启动器和多个目标器之间统一进行管理,隔离了两个网络,提高了数据安全性。系统不仅能保证数据在网络上的传输安全,还能保证数据在磁盘阵列上的静态存储安全。
关键词:网络安全;iSCSI协议;众核处理器
DOIDOI:10.11907/rjdk.171487
中图分类号:TP309
文献标识码:A 文章编号文章编号:1672-7800(2017)008-0182-03
0 引言
网络安全尤其是数据安全越来越重要,iSCSI存储技术由此得到广泛应用。iSCSI技术由IBM公司研发,可以在TCP/IP网络上封装SCSI命令进行传输[1],从而将网络存储设备的范围从有限的局域网拓展到范围更广的互联网,但在TCP/IP网络上传输很容易被黑客截获数据包并对其进行篡改。iSCSI协议安全措施分为身份认证、访问控制列表、IPSec包保护几类,常见的身份认证有CHAP認证和Kerberos认证。CHAP协议存在口令容易窃取、只支持服务端对客户端的单向认证、容易受到网络攻击的缺陷。相比CHAP协议,Kerberos协议最大的优势在于它可以进行双向认证[7-8]。但是,在认证服务器端,用户口令也是以明文存放的,如果认证服务器被攻破,用户口令就会被黑客窃取,访问控制列表也很容易被黑客攻破。IPSec技术只能保证数据包传输过程的安全,不能保证数据在磁盘阵列存储的安全,此外,IPsec技术会影响网络系统吞吐性能[6]。
如何保证数据传输安全,保证数据在磁盘阵列的静态存储安全,并满足同时处理多个启动器和多个磁盘阵列高速读写性能?本文提出一种对iSCSI数据进行加解密的透明网关式系统[9],如图1所示。当应用服务器对磁盘阵列进行数据写操作时,通过透明加解密网关把存储的数据加密成密文,当应用服务器对磁盘阵列进行数据读操作时,通过透明加解密网关把数据解密成明文,达到保证数据的传输与静态存储安全的目的。
1 网关报文处理流程
透明加解密网关系统结构如图2所示,网关由安全处理模块、内网子系统、外网子系统3部分组成。内网口连接应用服务器,外网口连接磁盘阵列,这样可以通过网关隔离应用服务器的网络和磁盘阵列网络,防止磁盘阵列被恶意攻击,提高数据的安全性。安全处理模块是一块FPGA加解密处理板,负责对数据加解密,内网子系统与外网子系统是一块Tilera-Gx36众核处理器,当应用服务器对磁盘阵列写数据时,内网子系统主要完成报文分流(保证相同的流负载到相同的核上)。如果是TCP报文,进行TCP状态侦听,并还原成一条完整的TCP流,交给上层协议进行iSCSI报文分析。iSCSI报文是被封装在TCP报文中进行传输的,经过安全处理模块对数据进行加密后交给外网子系统处理。外网子系统首先进行报文分流,然后判断iSCSI报文中有无数据载荷。如果有数据,要将分段数据拼接成原始数据,然后判断是否为TCP报文,进行iSCSI报文解析,最后把报文发给外网口传输到磁盘阵列。当应用服务器读取磁盘阵列数据时,处理过程类似,不再赘述。
2 iSCSI协议解析
iSCSI协议定义了在TCP/IP网络发送,接收block(数据块)级的存储数据规则和方法,实现从SCSI协议到TCP/IP协议的映射。iSCSI层工作于TCP/IP五层协议模型的应用层,其任务是将SCSI层提交的SCSI CDB(Command Descriptor Blocks,命令描述符块)封装成一组iSCSI PDU(PDU,协议数据单元),并将它传递给TCP报文进行传输,或者接收来自TCP报文的iSCSI PDU,从PDU中抽取SCSI CDB提交给SCSI层处理。具体过程如下:
SCSI层:根据应用层发出的I/O请求建立SCSI CDB(命令描述块),并将其传递给iSCSI层,同时接收来自iSCSI层的CDB,并向应用层返回数据;iSCSI层:对SCSI CDB进行封装,以便能够在基于TCP/IP协议的网络上进行传输,完成SCSI到TCP/IP的协议映射,这一层是iSCSI协议的核心层;TCP层:提供端到端的透明可靠传输;IP层:对IP报文进行路由和转发;Link层:提供点到点的无差错传输。
透明加解密网关处于启动器与目标器之间,它的功能是对iSCSI报文携带的数据进行加解密。iSCSI报文被封装在TCP/IP包中进行传输,iSCSI协议解析就是要把收到的报文一层层地判断解析,解析出iSCSI报文中携带数据的偏移量。有数据的话就给数据封装一个安全头发送给安全处理模块进行加解密,没有数据的话就进行透传。
2.1 iSCSI报文格式
iSCSI报文(PDU,协议数据单元)是封装在TCP数据段中进行传输的,iSCSI默认的目的端口是3260,iSCSI报文包含基本头部(48字节)、附加报头段、头部校验、数据段、数据校验。只有基本报文段是必须的,其它都是可选的[5]。
协议数据单元(PDU)的基本报文段格式如图4所示,基本报文段第一个字节表示iSCSI报文的操作码(Opcode),启动器有9种操作码,目标器有11种操作码。启动器(Initiator)使用的操作码有:0x00-NOP-Out、0x01-SCSI命令(包含CDB)、0x02-SCSI任务管理请求、0x03-登录请求、0x04-Text请求、0x05-SCSI Data-out(数据写)、0x06-注销请求、0x10-SNACK请求;目标器(Target)使用的操作码有:0x20-NOP-In、0x21-SCSI响应、0x22-SCSI任务管理响应、0x23-登录响应、0x24-Text响应、0x25-SCSI Data-in(数据写)、0x26-注销响应、0x31-Ready To Transfer(R2T)、0x32-异步消息、0x3f-Reject。TotalAHSLength表示附加头部总长度,DataSegmentLength表示数据分段长度,LUN表示逻辑单元编码,Initiator Task Tag表示启动器任务标识,Expected Data Transfer Length表示预期传输的数据长度,CDB表示SCSI命令描述符[2-3]。
2.2 iSCSI解析流程
iSCSI协议数据单元包括一个或多个头部,后面跟一个可选的数据段[3],其长度总是填充4字节的整数倍。
图5是iSCSI报文解析流程:①判断PDU HDR是否被拆分到多个TCP包中进行传输。如果是就跳转到第②步,否则跳转到第③步;②与上一片报文的尾部拼凑成完整的PDU HDR;③查找PDU对应的结构体(包含iSCSI任务状态、操作码、操作数据等);④判断PDU状态,获取PDU中的数据长度;⑤解析PDU头部的操作码,判断登录、注销、SCSI命令、数据读写等操作;⑥判断报文内是否开始了下一个PDU,是就跳转到第⑦步,否就跳转到第⑧步;⑦判断报文下一块数据是否为PDU HDR分片。是就保存PDU HDR分片,否就查找PDU对应的结构体;⑧结束函数返回。
3 系统测试与功能验证
为了验证透明加解密网关功能,用图6所示方法将4块Tile-Gx36板与一块FPGA加解密处理器连接起来,内网子系统和外网子系统运行网关软件,应用服务器和磁盘阵列使用Tile-Gx36,因为它有两个万兆网口,通过光模块线将两块板子连接,从应用服务器发起对磁盘阵列的读写请求。读写不同大小的文件,如 1M、128M、512M、2G,
任意大小文件3~5個,随机的视频、音乐、图片文件,对文件执行先写入、后读出操作,并对文件进行md5sum校验,确认读写操作的正确性。
经过多次测试,应用服务器登录到磁盘阵列后,可以长时间稳定地对磁盘阵列进行数据读写,并且读写数据md5sum校验值相同,说明文件读写正确,软件达到设计标准。
4 结语
通过系统测试,透明加解密网关系统可持续稳定地对不同大小的数据文件进行读写,保证了数据在磁盘阵列上的静态存储安全,相比其它iSCSI安全方案,安全性更高,具有数据读取速率高、成本低廉、兼容性好等优点。
参考文献:
[1] 戴志敏,王倩莉,胡越明,等.iSCSI协议研究与实现[J].计算机应用与软件,2005,22(8):83-85.
[2] 李斌,韩坤.iSCSI协议分析与其实现[J].商丘职业技术学院学报,2008,7(2):53-56.
[3] 易非.iSCSI协议研究与实现[D].长沙:湖南大学,2004.
[4] 朱立谷,赵青梅.iSCSI协议的研究[J].计算机工程与应用,2002,38(15):43-45.
[5] 刘钊勇.IP存储之iSCSI协议[J].科技信息,2009(14):212-213.
[6] 孟祥辉,曾学文,陈晓.iSCSI网络存储系统中加密方法研究与设计[J].计算机工程与科学,2016,38(12):2456-2462.
[7] 刘慧娟.iSCSI协议的安全性研究[D].武汉:华中科技大学,2009.
[8] 朱珂.iSCSI存储系统中的安全性研究[D].上海:上海交通大学,2007.
[9] 吕从东.基于透明加解密的iSCSI安全存储系统设计与实现[J].保密科学技术,2013(7):45-50.
- 优质护理在冠心病护理中的应用探讨
- 阶段性康复护理干预在心脏瓣膜置换术后患者中的应用
- 快速康复外科理念在子宫内膜癌手术患者术前焦虑与术后疼痛的影响
- 手术室护理干预对骨科切口感染的预防效果研究
- 跨文化护理理论及其在护理实践中的应用探讨
- 关于心脏外科术后疼痛的护理研究
- 健康工作环境在精神科护理管理中的应用
- 观察无缝隙护理应用于老年冠心病患者对其心绞痛控制效果、预后的影响情况
- 个体化延续性护理对糖尿病病人的生活质量
- 抑郁症病人伴发急性心肌梗死的护理措施研究及分析
- 在内科护理管理中风险防范式护理的实践应用
- 心理护理联合运动疗法在妊娠糖尿病护理中的应用分析
- 临床护理路径在老年高血压护理中的应用效果观察
- 优质护理对乳腺癌化疗患者应用的临床效果
- 心理护理对耳鼻喉科手术术后疼痛程度的影响效果观察
- 早期康复护理对老年心血管疾病患者的疗效观察
- 个体化心理护理对脑卒中患者抑郁及生活质量的影响效果
- 循证护理干预对肝硬化合并上消化道出血患者的影响
- 冠心病介入治疗应用全局式护理的临床研究
- 循证护理在急诊经皮冠状动脉介入治疗术后患者中的应用
- 中医学护理在妇产科痛经与月经不调中的运用研究
- PDCA循环在皮肤科护理管理中的应用观察
- 针对性护理模式在甲状腺手术护理中的应用效果及对患者负性情绪的影响
- 探讨优质护理在肺癌患者放化疗期间的应用
- 品管圈护理模式对心血管内科护理质量的影响
- fetchers
- fetches
- fetching
- fetchingly
- fetch's
- fetiches
- fetish
- fetishes
- fetishism
- fetishist
- fetishistic
- fetishlike
- fetus
- fetuses
- fetus/foetus
- feu
- feud
- feudal
- feudalism
- feudalisms
- feudalistic
- feudalists
- feudally
- feuded
- feuder
- 十分感激
- 十分愤怒的样子
- 十分愤怒而面目狰狞
- 十分愤恨
- 十分慌乱,急迫
- 十分慌张或恼怒
- 十分担心
- 十分担心或害怕
- 十分担忧
- 十分拥挤
- 十分推重
- 十分整齐
- 十分明亮
- 十分明显
- 十分明显地摆在眼前,不容隐瞒
- 十分明显,有目共睹
- 十分明确,毫不含糊,不留情
- 十分显明
- 十分显著
- 十分显著彰明
- 十分有才能和智慧
- 十分有把握
- 十分有把握获胜
- 十分有捞头
- 十分机灵