基于CIFS协议存储加密代理设计与实现.docVIP

基于CIFS协议存储加密代理设计与实现 　　[摘要]近年来，企业越来越多的使用网络存储设备作为其存储海量数据的媒介，但是随着多起企业数据资料泄露事件的发生，企业越来越注重存储安全的重要性。本文在对协议进行分析的基础上，设计并实现了基于协议的存储加密代理，以实现企业文件数据在网络存储设备上的加密存储，同时提供多种访问控制规则相结合的访问控制机制，保证文件数据在网络存储设备上的安全共享，并通过实际测试实验，对存储加密代理的功能、性能进行了测试。 　　[关键词]存储加密代理CIFS协议加密存储安全共享 　　中图分类号：U843 文献标识码：A 文章编号：1009-914X（2015）05-0331-01 　　1引言 　　随着计算机和网络技术的飞速发展、企业规模的不断发展扩大，企业需要存储、共享的数据也在日益增加，因此，出现了NAS（Network Attached Storage），SAN（StorageAreaNetwork）等海量数据存储设备。虽然、NAS和SAN等海量数据存储设备能够在一定程度上缓解企业关于数据存储的压力，但是如果直接企业的数据存储于NAS或者SAN，数据将以明文形式存储，这带来巨大的安全隐患：如果存储于这些网络存储设备（NAS或SAN）的数据中包含如企业员工的资料信息、通信簿、商业秘密等隐私信息，即使网络存储设备没有接入Internet，从而能够避免外部攻击者的入侵、窃取，但是无法阻止企业内部员工的犯罪，这些敏感信息的泄漏，势必会给企业带来经济损失、影响企业的声誉。因此，我们设计并实现了基于CIFS协议的存储加密代理（以下简称存储加密代理），用于实现企业数据在网络存储设备上的加密存储与安全共享，并引入访问控制功能，有效地防止企业内部员工的犯罪。 　　本文剩余章节安排如下第二节详细介绍存储加密代理的设计与系统实现，第三节对存储加密代理的功能、性能进行了测试实验，第四节对存储加密代理的安全性进行分析，最后给出本文的总结和下一步工作。 　　2存储加密代理的设计与实现 　　2.1整体解决方案 　　基于CIFS协议的存储加密代理是将存储加密代理部署于用户与网络存储设备之间，以代理的方式实现存储数据内容的加解密操作，并且用户与存储加密代理之间的通信使用IPS（IntemetProtocolSecurity），保证链路通信之间的数据也是密文形式，这样从链路传输到数据存储，内容均以密文形式出现，保证文件数据内容的安全性。同时，存储加密代理采取权限分割的原则分别设置管理员和审计员（两名审计员），负责存储加密代理的管理和审计工作。 　　2.2系统实现 　　储加密代理以代理的方式提供CIFS协议传输数据包内容的加密操作，实现文件数据在网络存储设备的加密存储。 　　（1）访问控制模块：实现存储加密代理的访问控制功能，限制用户对网络存储设备上存储数据的访问，以达到数据安全共享的目的。我们的访问控制模块实现了细粒度的访问控制规则检查，同时支持基于地址的访问控制规则、基于访问时间的访问控制规则、基于网络存储设备的共享文件夹的访问控制规则设置。同时，我们设置了存储加密代理的管理员和审计员，由该访问控制模块实现基于USBKey和用户名口令的双因素身份认证机制。 　　（2）协议分析处理模块：实现CIFS协议的分析全国计算机安全学术交流会论文集与处理功能。对通信数据包进行协议分析、数据包解析，以实现存储加密代理的协议层加解密方案，对用户更加透明。协议分析模块从通信数据包中提取出需要进行加解密操作的数据包内容，将提取出的内容送至加解密模块，实现数据内容的加解密操作，并且将接收到的加解密模块的处理结果重新组织CIFS协议数据包，进行转发处理。 　　（3）加解密模块：加解密从协议分析处理模块得到的数据包内容，同时将处理结果返还协议分析处理模块，加解密操作由加密卡完成。 　　（4）安全审计模块：实现对存储加密代理所有操作行为的审计功能，对用户进行的所有文件访问操作进行详细、全面的记录，并且对日志审计文件的访问进行限制，只有通过双因素身份认证的两名审计员同时在场时，才可以删除该文件，单一审计员对该文件仅仅具有查看权限，其他用户、管理员均无权访问日志审计文件。 　　3存储加密代理的测试实验 　　由于协议对于文件内容的全部操作，最终都归结为对文件的读、写操作，因此，在测试过程中，我们以文件上传、文件下载操作为例，测试存储加密代理的功能和性能。 　　（1）文件上传 　　测试实验中，用户将本地文件上传至NAS。测试结果表明，用户经由存储加密代理将文件上传至NAS，数据在传输过程中经由加密卡进行加密，最终以密文形式存储于，而并不影响用户对文件的操作，用户上传文件的操作与不使用存储加密代理时是一样的。 　　（2）文件下载