基于CHAP協(xié)議的安全IP SAN系統(tǒng)的研究與實現(xiàn).pdf

1、當(dāng)前的計算機應(yīng)用亟需從物理上分離存儲器和服務(wù)器系統(tǒng)。為了實現(xiàn)數(shù)據(jù)的網(wǎng)絡(luò)存儲，業(yè)內(nèi)出現(xiàn)了NAS（網(wǎng)絡(luò)附加存儲）和SAN（存儲區(qū)域網(wǎng)絡(luò)）兩種途徑。NAS能夠以相當(dāng)高的等級處理服務(wù)器和存儲器之間的通訊，是因為這一應(yīng)用可以通過一個輪流利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議棧的特殊文件系統(tǒng)訪問遠程存儲器。這一訪問單元是由NAS管理的文件。而SAN能夠以相當(dāng)?shù)偷牡燃壧幚碇鳈C和存儲器之間的通訊，是由于主機將遠程存儲器視為一個通過I/O通道來訪問，并可支持數(shù)據(jù)遠距離傳輸?shù)拇?/p>

2、儲設(shè)備，它的訪問單元是由SAN進行管理的磁盤塊。 SCSI（小型計算機系統(tǒng)接口）是一種支持塊級別訪問的通用磁盤技術(shù)，它的主要缺點是SCSI總線的距離存在限制。雖然FC SAN（光纖通道）能夠滿足高性能的要求，然而由于它需要可以支持專用網(wǎng)絡(luò)的存儲設(shè)備，因此也存在擴展限制。iSCSI（SCSI over TCP/IP）協(xié)議使用以太網(wǎng)傳輸SCSI命令，所以能夠有效地解決SAN的擴展性問題。本文設(shè)計并實現(xiàn)了iSCSI系統(tǒng)?？偟膩碚f就是，

3、iSCSI啟動器從服務(wù)器（應(yīng)用程序）內(nèi)部接收SCSI的I/O請求，并通過TCP/IP網(wǎng)絡(luò)將其傳送到iSCSI目標(biāo)器，最終iSCSI目標(biāo)器再將這一請求傳送到目標(biāo)存儲設(shè)備。 以往傳統(tǒng)的本地存儲系統(tǒng)未能考慮到安全性，是因為他們的自身環(huán)境并不存在過多的安全風(fēng)險。這種環(huán)境包括兩種存儲方式，一種是存儲設(shè)備直接附加在服務(wù)器上，另一種是存儲設(shè)備通過存儲區(qū)域網(wǎng)絡(luò)（SAN）與通訊網(wǎng)絡(luò)相分離。鑒于iSCSI通過IP網(wǎng)絡(luò)來運行，因此必須考慮安全方面的需

4、求。也就是說iSCSI的實現(xiàn)必須提供應(yīng)對主動攻擊和被動攻擊的保護方案。 本文提出了一種基于CHAP（挑戰(zhàn)握手認證協(xié)議）的iSCSI認證模型，它能夠在不可信的網(wǎng)絡(luò)中進行會話密鑰交換和用戶身份認證。這一模型能夠抵御被動或主動的網(wǎng)絡(luò)入侵者所展開的攻擊，同時可以提供完善的安全機制，從而使得以往的會話和密碼能夠抵御未來將會出現(xiàn)的危險。最終，模型采用隱性文本形式保存用戶密碼，使得攻擊者即使獲取了密碼數(shù)據(jù)庫，也無法使用密碼危及系統(tǒng)安全并對主機