網絡存儲安全技術分析

牛　耕

[摘要]網絡存儲是存儲系統的發展方向。分析網絡存儲系統所受到的安全威脅，研究在SAN和DAS利用網絡安全和存儲安全技術，構建網絡存儲系統安全體系的基本方法，并提出進一步的研究方向。

[關鍵詞]網絡存儲 安全威脅 安全技術

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0120068－01

隨著數字信息的爆炸式增長和個人與組織對這些信息的依賴性不斷增加，存儲系統正逐漸成為整個信息系統的中心，數據成為最重要的資產。然而，存儲系統由本地直連向著網絡化和分布式的方向發展，使存儲系統變得更易受到攻擊，竊取、篡改或破壞重要數據的事件不斷發生。因此安全問題是目前存儲網研究中急需要解決的重要問題。

一、存儲安全的服務

存儲系統提供的存儲安全服務主要包括認證和授權、可用性、機密性和完整性、密鑰共享和密鑰管理施、審計和人侵檢測以及可使用性、可管理性和性能等方面。

1．認證和授權。認證和授權是一個存儲系統應該提供的最基本的安全服務。認證是確定一個實體或信息源的身份，前者叫實體的認證或鑒別，后者叫信息認證存儲服務器在允許數據的生產者、消費者和管理者訪問讀或寫之前，應該認證他們的身份是否合法，如果合法，則給一定的訪問權限，這個過程叫授權。認證是相互的，數據的生產者和消費者信認的關系。信息認證是實體對另一個實體發送的原始信息的認證。認證可使用口令、數字簽名和信息認證碼等技術。授權可通過訪問控制列表的等或使用容器證書證書中列舉了證書所有者的訪問權限。

2．機密性和完整性。當數據在一個或多個遠程存儲服務器上產生、傳輸和存儲時，面對未被授權入侵者的破壞、修改和重發攻擊顯得很脆弱。并且，一個惡意服務器能用舊版本文件替代當前版本的文件。當數據在傳輸或存儲在媒體上時，保證其安全性是關鍵。通過加密可以保證對非認證用戶的機密性，通過數字簽名或信息認證碼可以保證數據的完整性。給每一個會話設置時間戮或隨機數可以阻止敵手重發攻擊。使用安全套接層協議SSL和反協議Ipsec可以保證數據傳輸安全，但存儲服務器要先解密數據，然后再存放磁盤上。

3．密鑰共享和密鑰管理。多用戶網絡文件共享是很普通的，共享一個文件的所有用戶也必須共享這個文件的加密密鑰。這些密鑰的有效性和擴展管理是非常重要的，當從一個組中刪除一個用戶或合并兩個組時，要求重新加密共享文件并且重新分布新的密鑰。密鑰管理的另一個重要方面是密鑰恢復，即恢復丟失的密鑰技術。一個密鑰恢復系統是一個有備份解密容器的加密系統，這個解密容器允許在某些條件下被授權的用戶在一個或多個信任實體提供信息的幫助下解密密文。這些信任實體有專用的數據恢復密鑰，但這些密鑰的存放、保存和刪除是很重要的。

4．審計和入侵檢測。存儲系統必須維持重要活動的審計日志。審計日志對系統恢復、入侵檢測等非常重要。入侵檢測領域已有廣泛的研究，入侵檢測系統使用各種日志（如網絡日志和數據訪問日志）和網絡流檢測和報告攻擊。

二、當前存儲網系統安全研究

網絡存儲是網絡時代最佳的存儲解決方案。NAS(Network Attached Storage)和SAN(Storage Area Network)是常用的2種網絡存儲技術，不同于直接連接存儲DAS(Direct Attached Storage)的是網絡存儲直接與網絡連接，為整個網絡提供集中、共享的存儲服務。

網絡連接存儲，簡稱NAS是一種可以提供文件級服務的存儲設備，其特點是可以直接掛到網絡上向用戶提供文件級服務。此外，它有自己簡化的實時操作系統，并將硬件和軟件有效地集合在一起，用以提供文件服務NAS存儲系統的特點是通過基于IP網絡的網絡文件協議向多種客戶端提供文件級I/O服務，客戶端可以在NAS存儲設備提供的目錄或設備中進行文件級操作當用戶或應用程序試圖訪問文件時，經過解釋的I/O請求被重定向到網絡傳輸路徑這些經過解釋的I/O請求經過IP網絡傳輸到NAS服務器端，由NAS服務器端的網絡文件協議接收，之后，進行解包，同時處理客戶端和塊設備的映射關系，最后，將正常的I/O操作請求交給服務器上的文件系統處理。

SAN是一種以數據存儲為中心且面向網絡的存儲結構。SAN技術采用可擴展的網絡拓撲結構連接存儲設備和服務器，是一種面向服務器提供數據存儲服務，并將數據的存儲和管理集中在相對獨立的專用網絡中的存儲技術。在SAN技術中，由于服務器和存儲設備之間的多路可選擇的數據交換，因此，以往存儲結構中存在的可擴展性和數據共享方面的局限性被消除了，SAN中通過協議映射，存儲設備的磁盤或磁帶表現為服務器節點上的“網絡磁盤”在服務器操作系統看來，網絡盤與本地盤相同，服務器節點操作網絡盤就像操作本地硬盤一樣對其發送命令，命令通過相關協議的封裝后，由服務器發送到SAN網絡，并由存儲設備接收并執行服務器節點可以對“網絡磁盤”進行各種塊操作和文件操作。

三、網絡存儲系統安全技術分析所需解決的問題

（一）SAN安全機制

SAN交換機、HBA(Host-Bus Adapters)和存儲陣列等SAN設備層的配置都與其安全特性有關。SAN的安全機制包括交換機端口類型配置、分區和LUN(Logical Unit Number)屏蔽。WWN(World Wide Name)是光纖通道中用于標識節點和端口的64位惟一注冊標識符。分區的作用類似于VLAN，基于WWN的軟分區由于存在WWN的盜用，因此安全性較低。硬件分區根據交換機端口WWN的組合劃分，分區的訪問限制不能突破，因而具有更高的安全性，應是首選的分區方法。邏輯單元號LUN是一種對存儲設備的劃分。LUN屏蔽是一種比分區粒度更細的訪問控制方法，它可以控制服務器對不同邏輯單元的訪問。

（二）NAS文件系統安全機制

NAS使用CIFS和NFS來實現網絡文件共享，其安全機制建立在CIFS和NFS的基礎上。CIFS提供認證和授權這2種安全機制，其中認證又包括共享級認證和用戶級認證。在共享級認證方式下，整個共享點只有一個單一的口令用于共享訪問，提供的安全保障有限，只能用于對安全性要求不高的公共資源共享或臨時資源共享等場合。用戶級認證方式為不同用戶提供不同的用戶名，因此能提供高于共享級認證的安全性，但用戶名和口令是以明文方式傳送，因此也存在被監聽的威脅。

四、總結

作為全新的網絡存儲技術，NAS和SAN尚處于成長期，其國際標準尚未形成因此，對于網絡存儲安全體系結構的研究，只能是根據目前的體系結構進行一些探討，給出一個相對安全的對策方案，以保證能獲得最高水平的數據與系統安全隨著與的結合與廣泛應用，關于加強網絡存儲的安全性研究有待進一步的改進和擴展。