基于iSCSI協議的IP網絡安全存儲結構設計探討

李麗琳 劉柱文

永州職業技術學院 湖南 425000

0 引言

iSCSI協議是SCISI IP組織的標準協議，是由IBM和Haifa這兩個研究組織于2003年共同提出的。iSCSI協議在繼承傳統標準與技術的基礎上沿用了 TCP/IP標準，并完善了這一協議，這也為 iSCSI協議的發展提供了契機。iSCSI協議定義了在IP網絡上傳輸SCSI命令、數據和狀態的規則和方法。通過iSCSI連接起來的iSCSI設備構成C/S(客戶機/服務器)模型，iSCSI始發端(客戶機)發出命令，通過 TCP/IP協議發送到 iSCSI目標端(服務器)，目標端執行命令并將執行結果返回給始發端。從SAM-2的角度來看，iSCSI協議和網絡連接系統共同構成了 SCSI設備的服務分發子系統，SAM-2中定義：連接子系統是數據的傳輸介質，服務分發接口是相應的協議，保證設備之間的請求和響應無差錯傳輸。連接子系統和服務分發接口分別對應iSCSI協議和網絡連接系統。

基于iSCSI協議構件的存儲系統的本質就是利用iSCSI協議替代FC協議，通過IP網絡構件存儲的區域網。

一個簡單的基于iSCSI協議的存儲系統主要由存儲的用戶(如個人電腦)、IP網絡互聯設備以及帶有IP網絡接口的存儲設備組成。網絡中的任何一個用戶訪問這些存儲設備時，先將操作存儲設備的SCSI命令封裝成iSCSI PDU，然后由IP網絡隨機發送到某個網絡存儲設備上，這時，設備通過解析iSCSI PDU，然后執行對應的命令返回執行結果。

基于iSCSI協議的存儲系統與傳統的基于FC協議的存儲系統相比，有一些顯著的特點：

（1）存儲系統的成本大大降低

根據如上描述，基于iSCSI協議的存儲系統是在IP網絡上構建的，而IP網絡的成本要遠遠低于光纖成本。而且隨著互聯網的廣泛應用，使得基于iSCSI協議的存儲系統不需要專業的人員進行管理，這也降低了系統維護的費用。

（2）應用范圍廣

正是由于基于iSCSI協議的存儲系統利用IP網絡作為構建基礎，因此比傳統的基于FC協議的存儲系統有著更廣泛的應用范圍，不僅可以提供局域，城域范圍的存儲，甚至可以為全球范圍內的客戶進行服務。目前，基于iSCSI協議的存儲系統的應用主要分為面向服務器和面向多用戶兩種。

1 基于iSCSI協議的安全存儲結構設計

我們擬設計一種新的基于iSCSI協議的安全存儲結構，這是因為，根據上面的分析，我們相信基于iSCSI協議的安全存儲結構比傳統的基于FC協議的存儲在多方面都有明顯的優勢。

1.1 基本設計思路

我們知道，由于基于iSCSI協議的安全存儲結構是利用IP技術組建起來的網絡存儲，因此，設計基于iSCSI協議的安全存儲結構既要考慮到存儲本身可能存在的安全問題，還要考慮到 IP網絡的安全問題。由于目前市場上基于 iSCSI協議的安全存儲結構的安全研究還不夠完善，因此使得這一新興的網絡存儲系統只能應用于安全性要求比較低的場合，沒有發揮IP網絡的真正優勢，使得基于iSCSI協議的安全存儲結構和傳統網絡存儲的差別不大。

考慮到這一問題，我們在設計新的基于iSCSI協議的安全存儲結構時，要在能夠發揮該網絡存儲優勢的同時兼顧保護 IP網絡的安全，以便新系統能夠應用于需要構建基于iSCSI協議的安全存儲結構并且對安全性較高的企業單位。綜合以上需求，我們擬設計的系統采用外掛式存儲虛擬化結構，基于iSCSI層，利用分級管理的思想，結合密碼學中常用的訪問控制、認證加密和完整性校驗等技術進行數據的安全保護。

1.2 兩種不同的存儲虛擬化結構

利用通信協議構建網絡存儲的關鍵一點就是要為存儲區設計一個合適的存儲管理器，以便于對存儲區進行管理。在現有的存儲器設計技術中有一種存儲虛擬化技術。這一技術的核心思想是將物理磁盤虛擬成不同的邏輯磁盤。從用戶角度看，用戶只能看到邏輯磁盤，這些邏輯磁盤在空間上只可能占用物理磁盤的幾個扇區。目前看，根據存儲區域網的存儲管理器的不同的位置，基于iSCSI協議的安全存儲結構主要根據是否帶有內存分為不帶內存的存儲虛擬化結構和帶內存的存儲虛擬化結構兩種：

（1）不帶內存的存儲虛擬化結構

不帶內存的存儲虛擬化結構中的存儲虛擬化控制器位于存儲用戶和IP網絡的物理磁盤通道之外。當存儲用戶需要訪問邏輯磁盤時，存儲虛擬化控制器首先收到發送請求，但存儲虛擬化控制器并不會直接去執行該請求，而是將真實物理磁盤的地址信息發送給請求用戶，通過用戶直接訪問物理磁盤。在這種結構中，傳輸存儲數據沒有經過存儲虛擬化控制器，因此在效率上比帶內存的存儲虛擬化結構要高。

（2）帶內存的存儲虛擬化結構

與不帶內存的存儲虛擬化結構相比，在帶內存的存儲虛擬化結構中，存儲虛擬化控制器位于用戶和IP網絡的物理磁盤通道中，在用戶，IP網絡的物理磁盤通道與存儲虛擬化控制器都利用iSCSI連接，進行數據傳輸?？梢钥闯?，用戶應該屬于iSCSI的發起端，IP網絡的物理磁盤通道應該屬于接收端，存儲虛擬化控制器相對于存儲用戶來說，屬于接收端，但對于IP網絡的物理磁盤通道則屬于發起端。存儲虛擬化控制器的作用就是將實際的物理磁盤虛擬化成虛擬的邏輯磁盤發送給用戶，當用戶需要訪問邏輯磁盤時，應先向存儲虛擬化控制器發出SCSI命令，之后存儲虛擬化控制器解析這些之后，最后通過iSCSI向實際的物理磁盤發送SCSI命令完成操作。在這種結構中，傳輸存儲數據需利用存儲虛擬化控制器，因此在效率上比不帶內存的存儲虛擬化結構要低。

1.3 分級管理結構的建立

了解基于FC協議的存儲結構，就會看到上面提到的兩種基于iSCSI協議的安全存儲結構實際上是基于FC協議的安全存儲結構的改進?；贔C與基于iSCSI的最大區別在于前者由于受到需要光纖傳輸距離和設備價格等方面的因素，只能應用與如C/S結構中運行負載交大的服務器環境，即只適合于為可以承受較大負載的服務器提供數據與資源的管理和共享的環境；而基于iSCSI協議的安全存儲結構由于利用IP網絡傳輸數據，因此可以借助廣泛的互聯網覆蓋組建網絡安全存儲結構，這一方面避免了如上提到的地理上的限制，也降低了成本。

根據實際情況，我們應該將帶內存的存儲虛擬化結構和不帶內存的存儲虛擬化結構結合起來。在這種管理結構中，頂級管理員可以對存儲的區域網內的全部存儲資源進行訪問與管理，并有權利將存儲空間按照一定原則分配給下一級客戶，接收的客戶一方面作為管理員的客戶，另一方面成為再下一級客戶的管理員，以此類推，從而建立一種金字塔式的管理模式，構成多級管理結構的基于iSCSI協議的存儲虛擬化結構。

該金字塔式的基于iSCSI協議的存儲虛擬化結構的主要特點包括：

（1）管理變得更加容易

如上分析，在這種管理結構中，并沒有將資源和數據的管理權限集中在一個管理員身上，而是通過分級結構將權限逐步下放，由各級管理員共同負責對各級資源和數據進行管理。這種管理模式一方面避免了超級管理員權限過大容易成為攻擊目標的危險；另一方面減輕了超級管理員的負擔，管理工作變得更加容易。

（2）與業務管理結構更加統一

這種金字塔式的管理結構還有一個好處就是與企業中的分級化管理結構式一致的，這種一致性便于企業在利用基于iSCSI協議的存儲虛擬化結構進行數據管理時變得簡單，可以直接利用現有的結構進行資源管理的分配和部署。

2 基于iSCSI協議的存儲虛擬化結構中的安全問題與對策

2.1 基于iSCSI協議的存儲虛擬化結構中的安全問題

基于iSCSI協議的存儲虛擬化結構由于利用了IP網絡進行數據和資源的傳輸，因此各種IP網絡中存在的安全問題在這種新的結構中都可能存在。這些安全威脅主要包括：

（1）無授權的訪問

由于資源和數據需要利用IP網絡進行傳輸，因此可能帶來無授權訪問的問題。具體來講，無授權訪問是指沒有訪問權利的敵手利用IP網絡在公開區域的傳輸，抓住其漏洞進行數據的冒充訪問；有授權的用戶對不屬于自己查看范圍的數據進行越權訪問，以獲得更高的訪問權限。

（2）竊取公開網絡中的數據

這屬于一種被動攻擊，即攻擊利用IP網絡中的漏洞，利用監聽技術獲取IP包從而能截獲傳輸中的數據；敵手還可能通過控制存儲器來盜取其中的數據。

（3）延遲，修改，破壞通信過程

相對于監聽等被動獲得數據的被動手段，延遲，修改，破壞通信過程是一種敵手的主動攻擊，敵手在這一攻擊中已經不能滿足僅僅獲得數據或資源，而是為了破壞整個通信過程，造成通信或傳輸的中斷，錯誤等。

2.2 基于iSCSI協議的存儲虛擬化結構中的安全對策

針對這些問題，利用密碼學的知識，我們認為可以通過如下一些安全策略克服可能存在的攻擊。

（1）增加訪問控制機制

訪問控制技術在其他安全研究領域已經相當成熟，我們可以在iSCSI的初始化即登錄階段利用已有的訪問控制技術設置認證協議和安全參數，保證只有通過認證的用戶才有權限訪問網絡資源；同時，為了避免服務器端被敵手控制后，通過認證過程騙取用戶口令，我們還應保證認證過程的雙向性。

（2）數據的加密策略

對在公開的 IP網絡中傳輸的數據進行加密是保證數據隱私性的一種重要手段，可以有效地防止敵手的竊聽。目前，在數據加密領域常用的有著名的DES，3DES和AES等。需要說明的是，盡管DES已經被破解，但用于一般企業級數據的加密還是安全的。

（3）數據的完整性校驗

為了防止敵手利用網絡的漏洞對其進行攻擊，破壞數據的完整性，還應該建立數據的完整性校驗機制。密碼學提供了豐富的完整性校驗方法，如采用 Hash函數，數字簽名等手段，也可以采用IPSec中兩次數據的拆包重組操作來保證數據的完整性。

3 結束語

本文簡要描述了基于iSCSI協議的存儲系統的構建，并對基于iSCSI協議的存儲系統與傳統的基于FC協議的存儲系統分別從成本和應用范圍兩個角度進行比較，詳細闡述了基于iSCSI協議的安全存儲結構設計，探討了基于iSCSI協議的存儲虛擬化結構中的安全問題及采取的相應對策。

[1]朱立谷,趙青梅.iSCSI協議的研究.計算機工程與應用. 2002.

[2]Kalman Z.Meth,Julian Satran.Design of the iSCSI Protocol. IEEE/NASA MSST2003.Twentieth IEEE/Eleventh NASA Goddard Conference on Mass Storage Systems&Technologies.April.2003. San Diego.California.USA:124-134.

[3]周敬利,徐漾.基于iSCSI的存儲系統.華中科技大學學報(自然科學版).2002.

[4]戴志敏,王倩莉,胡越明,尤晉元.iSCSI協議研究與實現.計算機應用與軟件.2005.

[5]吳志祥,汪波著.基于ISCSI的存儲系統實現方法.微計算機信息.2006.

[6]許先斌,周明昊.基于iSCSI協議的存儲區域網研究.計算機工程與設計.2006.