iSCSI透明加解密网关中协议解析的研究.docVIP

iSCSI透明加解密网关中协议解析的研究 　　摘 要：为解决目前iSCSI协议身份认证口令容易窃取、被黑客攻破问题，提出了一种对iSCSI数据进行加解密的网关式系统，着重研究了透明加解密网关中iSCSI协议的解析。该系统将透明加解密放置在多个启动器和多个目标器之间统一进行管理，隔离了两个网络，提高了数据安全性。系统不仅能保证数据在网络上的传输安全，还能保证数据在磁盘阵列上的静态存储安全。 　　关键词：网络安全；iSCSI协议；众核处理器 　　DOIDOI：10.11907/rjdk.171487 　　中图分类号：TP309 　　文献标识码：A 文章编号文章编号：1672-7800（2017）008-0182-03 　　0 引言 　　网络安全尤其是数据安全越来越重要，iSCSI存储技术由此得到广泛应用。iSCSI技术由IBM公司研发，可以在TCP/IP网络上封装SCSI命令进行传输[1]，从而将网络存储设备的范围从有限的局域网拓展到范围更广的互联网，但在TCP/IP网络上传输很容易被黑客截获数据包并对其进行篡改。iSCSI协议安全措施分为身份认证、访问控制列表、IPSec包保护几类，常见的身份认证有CHAP?J证和Kerberos认证。CHAP协议存在口令容易窃取、只支持服务端对客户端的单向认证、容易受到网络攻击的缺陷。相比CHAP协议，Kerberos协议最大的优势在于它可以进行双向认证[7-8]。但是，在认证服务器端，用户口令也是以明文存放的，如果认证服务器被攻破，用户口令就会被黑客窃取，访问控制列表也很容易被黑客攻破。IPSec技术只能保证数据包传输过程的安全，不能保证数据在磁盘阵列存储的安全，此外，IPsec技术会影响网络系统吞吐性能[6]。 　　如何保证数据传输安全，保证数据在磁盘阵列的静态存储安全，并满足同时处理多个启动器和多个磁盘阵列高速读写性能？本文提出一种对iSCSI数据进行加解密的透明网关式系统[9]，如图1所示。当应用服务器对磁盘阵列进行数据写操作时，通过透明加解密网关把存储的数据加密成密文，当应用服务器对磁盘阵列进行数据读操作时，通过透明加解密网关把数据解密成明文，达到保证数据的传输与静态存储安全的目的。 　　1 网关报文处理流程 　　透明加解密网关系统结构如图2所示，网关由安全处理模块、内网子系统、外网子系统3部分组成。内网口连接应用服务器，外网口连接磁盘阵列，这样可以通过网关隔离应用服务器的网络和磁盘阵列网络，防止磁盘阵列被恶意攻击，提高数据的安全性。安全处理模块是一块FPGA加解密处理板，负责对数据加解密，内网子系统与外网子系统是一块Tilera-Gx36众核处理器，当应用服务器对磁盘阵列写数据时，内网子系统主要完成报文分流（保证相同的流负载到相同的核上）。如果是TCP报文，进行TCP状态侦听，并还原成一条完整的TCP流，交给上层协议进行iSCSI报文分析。iSCSI报文是被封装在TCP报文中进行传输的，经过安全处理模块对数据进行加密后交给外网子系统处理。外网子系统首先进行报文分流，然后判断iSCSI报文中有无数据载荷。如果有数据，要将分段数据拼接成原始数据，然后判断是否为TCP报文，进行iSCSI报文解析，最后把报文发给外网口传输到磁盘阵列。当应用服务器读取磁盘阵列数据时，处理过程类似，不再赘述。 　　2 iSCSI协议解析 　　iSCSI协议定义了在TCP/IP网络发送，接收block（数据块）级的存储数据规则和方法，实现从SCSI协议到TCP/IP协议的映射。iSCSI层工作于TCP/IP五层协议模型的应用层，其任务是将SCSI层提交的SCSI CDB（Command Descriptor Blocks，命令描述符块）封装成一组iSCSI PDU（PDU，协议数据单元），并将它传递给TCP报文进行传输，或者接收来自TCP报文的iSCSI PDU，从PDU中抽取SCSI CDB提交给SCSI层处理。具体过程如下： 　　SCSI层：根据应用层发出的I/O请求建立SCSI CDB（命令描述块），并将其传递给iSCSI层，同时接收来自iSCSI层的CDB，并向应用层返回数据；iSCSI层：对SCSI CDB进行封装，以便能够在基于TCP/IP协议的网络上进行传输，完成SCSI到TCP/IP的协议映射，这一层是iSCSI协议的核心层；TCP层：提供端到端的透明可靠传输；IP层：对IP报文进行路由和转发；Link层：提供点到点的无差错传输。 　　透明加解密网关处于启动器与目标器之间，它的功能是对iSCSI报文携带的数据进行加解密。iSCSI报文被封装在TCP/IP包中进行传输，iSCSI协议解析就是要把收到的报文一层层地判断解析，解析出iSCSI报文中携带数据的偏移量。有数据