首页> 正文

iSCSI存储系统中的安全性研究

2020-11-23阅读(441)

iSCSI存储系统中的安全性研究

论文摘要

随着Internet的快速发展, iSCSI存储系统因其具有容量大、性能高、扩展性能好等优点,已经得到了广泛的应用。本文通过对iSCSI技术的研究,既充分看到iSCSI存储系统与以往传统存储系统相比具有无可替代的优势,也看到了iSCSI存在的诸多问题。由于iSCSI的设计标准是在不受信任的广域网环境中使用,数据的安全性就显得至关重要。因此,本文针对iSCSI网络存在的的安全性问题展开专门的研究和讨论,重点研究如何消除iSCSI协议中存在的安全隐患,并提出解决问题的相应办法。本文研究分析了三个层面对iSCSI的安全性实施保护:在iSCSI连接层实现带内安全机制,即用户进行身份login认证;在IP层实现基于数据包的安全保护机制IPsec;以及提供高性能的远程复制系统,确保数据的万无一失。本文首先从目前iSCSI系统中广泛使用的CHAP身份认证协议分析起,由于iSCSI通信主要依靠initiator、target和ip通信节点来完成,因此首先在分散的存储空间中引入认证机制。通过研究和分析,发现CHAP协议中存在口令易窃取、只支持服务端对客户端的单向认证、信道易受攻击等安全隐患,进而提出用Kerberos协议代替CHAP协议进行身份认证。为了进一步提高Kerberos协议的安全性能,提出了用公钥密码体制直接对Kerberos协议安全性加以改进的两种解决方法,同时还引入USBKey硬件单元,加强私钥管理。在通信开始的身份认证阶段就建立起安全防护屏障,防止非法用户的攻击和入侵。在用户完成登录以后,系统进入数据传输阶段,这就涉及到数据保密问题。为此本文研究和分析了IPsec(Internet Protocol Security)技术,从IPsec的工作模式到实现IPsec的安全关联,以及用IKE协调单元完成IKE协议的认证。在此基础上提出了相应的对策和改进措施。同时考虑到iSCSI采用改进后的IKE进行密钥交换会影响I/O速度,提出了分级安全的iSCSI解决方案。最后,为了保证iSCSI网络上传输数据的安全性和一致性,应对各种突发事件,本文对iSCSI网络系统中远程数据复制技术进行了研究和讨论。从远程复制的实现层次、采用何种同步模式以及如何实现数据远程复制等进行了分析和讨论,还对远程复制系统中关键部件——磁盘阵列进行了专门研究,提出了切实可行的远程复制体系结构。并提出“在远程复制系统设计过程中,在数据的可用性、数据的可靠性、系统效率和使用成本间如何取舍及均衡是系统设计需要考虑的核心问题”这一结论性观点,为构建iSCSI网络系统提供了设计思想。通过本文的研究和介绍,可以清晰地看到在iSCSI存储网络系统中,用户如何构建各级安全防护措施。但网络用户不同,它对系统的安全级别要求就会不同。安全级别越高,系统所投入的成本就越高,所以选择适合自己的安全防护措施,是每一个构建iSCSI存储网络系统的用户所必须考虑的问题。本文正是本着这样的目的,对各种安全措施进行了研究和分析,给出了各自的优势和不足。建立适合自己的安全网络运行环境是本文研究和讨论的目的。

论文目录

  • 摘要
  • ABSTRACT
  • 英文缩写说明
  • 第1章 绪论
  • 1.1 引言
  • 1.2 网络存储技术介绍
  • 1.3 网络存储系统的选择
  • 1.4 本课题的意义
  • 1.5 论文结构
  • 第2章 ISCSI 技术的概述
  • 2.1 iSCSI 概念
  • 2.2 iSCSI 体系结构
  • 2.3 iSCSI 的工作流程
  • 2.4 iSCSI 的运行机制
  • 2.5 iSCSI 的优势
  • 2.5.1 多种可能的拓扑结构
  • 2.5.2 iSCSI 扩展了存储网的距离
  • 2.5.3 iSCSI 显著降低公司的总体拥有成本
  • 2.6 iSCSI 技术的应用
  • 2.7 iSCSI 存在的问题
  • 2.8 本章小结
  • 第3章 ISCSI 的安全性能
  • 3.1 iSCSI 协议中的安全性考虑
  • 3.2 iSCSI 的安全机制
  • 3.2.1 Initiator-Target 认证
  • 3.2.2 IPsec
  • 3.2.3 iSCSI 远程复制
  • 3.3 iSCSI 系统模型中的安全实现
  • 3.4 本章小结
  • 第4章 身份认证
  • 4.1 用CHAP 实现身份认证
  • 4.2 Initiator-Target 安全性分析
  • 4.3 改进方法—用Kerberos 协议替代CHAP 协议进行身份认证
  • 4.4 Kerberos 协议流程
  • 4.4.1 在Initiator-Target 认证中的具体实现办法
  • 4.4.2 Kerberos 的安全分析
  • 4.5 运用公钥密码体制的两种改进办法
  • 4.5.1 第一种改进方法——将Kerberos 协议与X.509 证书相融合
  • 4.5.2 第二种改进方法——将公钥密码体制直接对Kerberos 协议加以改进
  • 4.5.3 两种改进后的Kerberos 协议的安全性分析
  • 4.6 进一步提高将公钥密码体制直接对Kerberos 协议加以改进方法的安全性
  • 4.6.1 USBKey 的安全机制
  • 4.6.2 用USBKey 实现的身份认证协议
  • 4.7 思考与结论
  • 4.8 本章小结
  • 第5章 IPSEC 的安全性分析
  • 5.1 IPsec 概述
  • 5.2 IPsec 的安全性分析
  • 5.3 IPsec 工作模式
  • 5.4 IPsec 中的安全关联
  • 5.5 iSCSI 中的IPsec
  • 5.6 IKE 协议与实现
  • 5.6.1 IKE 的协议流程
  • 5.6.2 IKE 的安全性能
  • 5.6.3 改进的IKE 协议
  • 5.7 分级安全的iSCSI 方案
  • 5.8 思考与结论
  • 5.9 本章小结
  • 第6章 ISCSI 的数据安全
  • 6.1 iSCSI 连接的中断
  • 6.2 远程数据复制技术
  • 6.2.1 远程复制的实现层次
  • 6.2.2 远程复制的同步程度
  • 6.2.3 远程复制中的数据一致性
  • 6.3 构建远程复制系统
  • 6.4 iSCSI RAID 的概念、布局及其优势
  • 6.4.1 iSCSI RAID 的选择
  • 6.4.2 进一步提高iSCSI RAID 的性能和可靠性
  • 6.5 思考与结论
  • 6.6 本章小结
  • 第7章 结束语
  • 7.1 本文工作的回顾
  • 7.2 本文存在的问题和对iSCSI 存储系统安全性的展望
  • 参考文献
  • 功读学位其间发表与录用的学位论文
  • 致谢

    • 相关论文文献

    标签:;  ;  ;  ;  ;  

    iSCSI存储系统中的安全性研究
    下载Doc文档

    猜你喜欢

    © 2024 毕速过 版权所有 鄂ICP备12018319号-5