郭建軍

（海軍計(jì)算技術(shù)研究所 北京 100841）

基于iSCSI的網(wǎng)絡(luò)存儲(chǔ)加密系統(tǒng)設(shè)計(jì)＊

郭建軍

（海軍計(jì)算技術(shù)研究所 北京 100841）

設(shè)計(jì)了網(wǎng)絡(luò)存儲(chǔ)加密系統(tǒng)和存儲(chǔ)加密設(shè)備，進(jìn)行了存儲(chǔ)加密可靠性設(shè)計(jì)，給出了分層密碼運(yùn)算引擎模型，可以根據(jù)需求進(jìn)行配置滿(mǎn)足可靠性及運(yùn)算性能需求。

網(wǎng)絡(luò)存儲(chǔ)；存儲(chǔ)加密；iSCSI

Class NumberTP393.04

1 引言

存儲(chǔ)區(qū)域網(wǎng)絡(luò)（Storage Area Network，SAN）［1］是網(wǎng)絡(luò)存儲(chǔ)領(lǐng)域的主流體系結(jié)構(gòu)之一。存儲(chǔ)區(qū)域網(wǎng)絡(luò)系統(tǒng)中傳輸塊數(shù)據(jù)，根據(jù)不同的底層傳輸協(xié)議可以將其細(xì)分為FC SAN（Fibre Channel SAN）［2］和IP SAN（Internet Protocol SAN）［3］，它們分別滿(mǎn)足不同的應(yīng)用系統(tǒng)需求。

由于各個(gè)FC廠商各自按其私有方式進(jìn)行標(biāo)準(zhǔn)實(shí)現(xiàn)，導(dǎo)致不同的交換機(jī)、不同的主機(jī)卡以及FC磁盤(pán)陣列不易連接，造成了FC的兼容性和管理性差，導(dǎo)致系統(tǒng)運(yùn)行維護(hù)成本高昂。因此，F(xiàn)C SAN由于其擴(kuò)展成本過(guò)高，大大限制了平臺(tái)整合的支持能力。同時(shí)，F(xiàn)C SAN由于鋪設(shè)光纖的成本過(guò)高，一般不適用于跨廣域網(wǎng)的遠(yuǎn)程服務(wù)和備份。IP SAN是利用IP網(wǎng)絡(luò)傳輸塊數(shù)據(jù)的一種技術(shù)，它的成本相對(duì)較低，能夠?qū)崿F(xiàn)存儲(chǔ)網(wǎng)絡(luò)與IP網(wǎng)絡(luò)的融合統(tǒng)一，因此獲得越來(lái)越廣泛的應(yīng)用。典型的IP SAN網(wǎng)絡(luò)由以太網(wǎng)交換機(jī)、應(yīng)用服務(wù)器和存儲(chǔ)磁盤(pán)陣列等組成，其典型部署應(yīng)用如圖1所示。

圖1 IP SAN網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)典型部署

隨著大數(shù)據(jù)技術(shù)發(fā)展，SAN將成為大數(shù)據(jù)應(yīng)用背景下一種重要的存儲(chǔ)系統(tǒng)架構(gòu)，而大數(shù)據(jù)安全和隱私越來(lái)越成為人們關(guān)注的焦點(diǎn)［4］，SAN中存儲(chǔ)的大量數(shù)據(jù)的安全性必須加以保證。一般用戶(hù)訪問(wèn)SAN中的數(shù)據(jù)都經(jīng)過(guò)了身份認(rèn)證［5］，有些還進(jìn)行了傳輸加密，保證了數(shù)據(jù)在傳輸線路中的安全。但SAN本地存儲(chǔ)的數(shù)據(jù)若為明文，一旦被泄露將給用戶(hù)帶來(lái)極大損失［6］。尤其是在將來(lái)數(shù)據(jù)中心建設(shè)、云計(jì)算服務(wù)過(guò)程中，用戶(hù)租用SAN存儲(chǔ)空間存儲(chǔ)數(shù)據(jù)，必須保證用戶(hù)數(shù)據(jù)的全程安全，因此，必須考慮SAN中數(shù)據(jù)的存儲(chǔ)加密問(wèn)題，保證數(shù)據(jù)在傳輸、存儲(chǔ)各個(gè)環(huán)節(jié)的安全保密［7］。

2 網(wǎng)絡(luò)存儲(chǔ)加密系統(tǒng)設(shè)計(jì)

2.1 系統(tǒng)架構(gòu)設(shè)計(jì)

圖2給出了部署了存儲(chǔ)加密設(shè)備的典型SAN存儲(chǔ)加密系統(tǒng)架構(gòu)設(shè)計(jì)。該架構(gòu)中，網(wǎng)絡(luò)存儲(chǔ)加密設(shè)備部署在磁盤(pán)陣列的前端，以門(mén)衛(wèi)式的方式保護(hù)磁盤(pán)陣列中的數(shù)據(jù)。應(yīng)用服務(wù)器訪問(wèn)磁盤(pán)陣列前首先要通過(guò)網(wǎng)絡(luò)存儲(chǔ)加密設(shè)備的身份認(rèn)證，身份認(rèn)證既支持基于主機(jī)IP地址匹配的簡(jiǎn)單認(rèn)證模式，也支持基于UKey數(shù)字證書(shū)的嚴(yán)格認(rèn)證模式。通過(guò)身份認(rèn)證后，網(wǎng)絡(luò)存儲(chǔ)加密設(shè)備對(duì)于符合安全策略的數(shù)據(jù)自動(dòng)執(zhí)行加解密處理，確保磁盤(pán)陣列中只存在密文，整個(gè)過(guò)程對(duì)應(yīng)用服務(wù)器的業(yè)務(wù)系統(tǒng)完全透明，它們可以不受影響地訪問(wèn)磁盤(pán)陣列中的數(shù)據(jù)。

圖2 SAN存儲(chǔ)加密系統(tǒng)典型部署

2.2 信息流程設(shè)計(jì)

網(wǎng)絡(luò)存儲(chǔ)加密設(shè)備部署在應(yīng)用服務(wù)器和存儲(chǔ)設(shè)備之間，當(dāng)數(shù)據(jù)信息進(jìn)入存儲(chǔ)設(shè)備時(shí)進(jìn)行加密操作，當(dāng)輸出信息時(shí)進(jìn)行解密操作。圖3給出了用戶(hù)終端通過(guò)應(yīng)用服務(wù)器經(jīng)由網(wǎng)絡(luò)存儲(chǔ)密碼設(shè)備讀／寫(xiě)數(shù)據(jù)的基本流程。

圖3 應(yīng)用服務(wù)器讀／寫(xiě)數(shù)據(jù)過(guò)程

網(wǎng)絡(luò)存儲(chǔ)加密設(shè)備的加解密信息處理流程如下：

1）數(shù)據(jù)寫(xiě)入流程

用戶(hù)終端向應(yīng)用服務(wù)器發(fā)起數(shù)據(jù)寫(xiě)入服務(wù)請(qǐng)求。應(yīng)用服務(wù)器對(duì)服務(wù)請(qǐng)求進(jìn)行響應(yīng)，確定需要進(jìn)行數(shù)據(jù)寫(xiě)入操作。應(yīng)用服務(wù)器將SCSI命令、狀態(tài)或數(shù)據(jù)封裝為iSCSI報(bào)文。iSCSI報(bào)文通過(guò)TCP／IP網(wǎng)絡(luò)發(fā)向網(wǎng)絡(luò)存儲(chǔ)設(shè)備。網(wǎng)絡(luò)存儲(chǔ)加密設(shè)備部署在網(wǎng)絡(luò)存儲(chǔ)設(shè)備的前端。當(dāng)報(bào)文經(jīng)過(guò)網(wǎng)絡(luò)存儲(chǔ)加密設(shè)備時(shí)，網(wǎng)絡(luò)存儲(chǔ)加密設(shè)備對(duì)數(shù)據(jù)凈荷進(jìn)行加密后存儲(chǔ)在網(wǎng)絡(luò)存儲(chǔ)設(shè)備上。圖4給出了數(shù)據(jù)寫(xiě)入過(guò)程中iSCSI報(bào)文的操作過(guò)程。

圖4 數(shù)據(jù)輸入時(shí)iSCSI報(bào)文的操作過(guò)程

2）數(shù)據(jù)讀取流程

與數(shù)據(jù)寫(xiě)入流程類(lèi)似，當(dāng)存儲(chǔ)設(shè)備收到應(yīng)用服務(wù)器發(fā)起的數(shù)據(jù)讀取請(qǐng)求時(shí)，存儲(chǔ)設(shè)備將SCSI數(shù)據(jù)打包成iSCSI報(bào)文，并封裝為IP包，發(fā)送給網(wǎng)絡(luò)存儲(chǔ)加密設(shè)備。網(wǎng)絡(luò)存儲(chǔ)加密設(shè)備識(shí)別出為數(shù)據(jù)輸出操作，對(duì)數(shù)據(jù)凈荷進(jìn)行解密，發(fā)送給應(yīng)用服務(wù)器。圖5給出了數(shù)據(jù)輸出過(guò)程中iSCSI報(bào)文的操作過(guò)程。

圖5 數(shù)據(jù)輸出時(shí)iSCSI報(bào)文的操作過(guò)程

由數(shù)據(jù)寫(xiě)入和數(shù)據(jù)讀取的流程可以看出，網(wǎng)絡(luò)存儲(chǔ)加密設(shè)備的加解密過(guò)程不同于傳統(tǒng)的IPsec加密［8］過(guò)程。IPsec加密主要是針對(duì)網(wǎng)絡(luò)層分組的加密保護(hù)，以保障數(shù)據(jù)傳輸?shù)亩说蕉税踩院蜋C(jī)密性，在部署上通常成對(duì)出現(xiàn)。而網(wǎng)絡(luò)存儲(chǔ)加密設(shè)備僅對(duì)iSCSI數(shù)據(jù)凈荷進(jìn)行加密，并僅限于SCSI輸入和輸出兩種類(lèi)型的iSCSI協(xié)議數(shù)據(jù)單元，并且加解密過(guò)程可位于同一個(gè)加密設(shè)備上。上述措施可以保證存儲(chǔ)設(shè)備上的數(shù)據(jù)全為密文數(shù)據(jù)，而且在網(wǎng)絡(luò)存儲(chǔ)加密設(shè)備與存儲(chǔ)設(shè)備之間傳輸?shù)亩紴槊芪臄?shù)據(jù)，從而保障存儲(chǔ)數(shù)據(jù)的機(jī)密性。

3 存儲(chǔ)加密設(shè)備設(shè)計(jì)

3.1 硬件設(shè)計(jì)

存儲(chǔ)加密設(shè)備由多個(gè)密碼計(jì)算引擎構(gòu)成，如圖6所示，多個(gè)密碼計(jì)算引擎構(gòu)成密碼計(jì)算引擎陣列，可以并行提供多路密碼運(yùn)算，提高密碼運(yùn)算性能，保證用戶(hù)數(shù)據(jù)加解密的實(shí)時(shí)性。驅(qū)動(dòng)程序中記錄各個(gè)密碼計(jì)算引擎的忙閑狀態(tài)，上層應(yīng)用可以通過(guò)主動(dòng)判斷密碼計(jì)算引擎忙閑狀態(tài)后調(diào)用空閑密碼計(jì)算引擎進(jìn)行密碼運(yùn)算，也可以由驅(qū)動(dòng)程序根據(jù)忙閑狀態(tài)記錄將上層應(yīng)用的調(diào)用調(diào)度到空閑密碼計(jì)算引擎，并告知上層應(yīng)用到指定區(qū)域取得返回?cái)?shù)據(jù)。

圖6 密碼計(jì)算引擎陣列示意圖

單密碼計(jì)算引擎硬件組成原理框圖如圖7所示。各主要模塊功能如下：1）接口單元主要完成接口接入、協(xié)議解析、數(shù)據(jù)提取、協(xié)議封裝等功能；對(duì)外按照以太網(wǎng)接口或FC光纖通道接口標(biāo)準(zhǔn)，實(shí)現(xiàn)與外部接口；對(duì)內(nèi)通過(guò)內(nèi)部標(biāo)準(zhǔn)傳輸總線與數(shù)據(jù)加解密單元連接，通過(guò)內(nèi)部標(biāo)準(zhǔn)管控總線與管控單元連接并接受其管控。2）加解密單元主要完成業(yè)務(wù)數(shù)據(jù)的加解密功能；對(duì)內(nèi)通過(guò)內(nèi)部標(biāo)準(zhǔn)傳輸總線與接口單元連接，通過(guò)內(nèi)部標(biāo)準(zhǔn)管控總線與管控單元連接并接受其管控。3）管控單元主要完成對(duì)接口單元和加解密單元的配置管理；對(duì)外提供獨(dú)立的管理接口，對(duì)與內(nèi)接口單元和加解密單元連接。該單元還完成設(shè)備自檢、故障告警及指示等功能。

圖7 單密碼計(jì)算引擎硬件設(shè)計(jì)框圖

3.2 軟件設(shè)計(jì)

圖8 網(wǎng)絡(luò)存儲(chǔ)加密設(shè)備軟件功能模塊組成框圖

密碼計(jì)算引擎基于嵌入式操作系統(tǒng)進(jìn)行設(shè)計(jì)，基本的軟件功能模塊組成如圖8所示。其中，應(yīng)用層各模塊主要功能如下：通信管理模塊完成本地及網(wǎng)絡(luò)管理數(shù)據(jù)通信處理；配置管理模塊完成對(duì)配置管理幀的解析和處理；存儲(chǔ)管理模塊完成加密設(shè)備系統(tǒng)參數(shù)的保存與恢復(fù)；日志管理模塊完成配置操作及重要業(yè)務(wù)處理的審計(jì)。

3.3 存儲(chǔ)加密可靠性設(shè)計(jì)

相比傳輸加密，存儲(chǔ)加密對(duì)于加密計(jì)算的可靠性要求更高，否則加密出錯(cuò)后存儲(chǔ)的數(shù)據(jù)可能無(wú)法正確解密恢復(fù)，會(huì)給用戶(hù)造成極大的損失。因此，必須保障存儲(chǔ)加密運(yùn)算的可靠性。

本文存儲(chǔ)加密設(shè)備采用如圖9所示的分層結(jié)構(gòu)設(shè)計(jì)。其中，協(xié)議代理層：主要進(jìn)行外部接口iSCSI協(xié)議解析和處理；可靠性處理層：根據(jù)配置的可靠性調(diào)度策略選擇結(jié)果比對(duì)的數(shù)量，例如進(jìn)行雙引擎比對(duì)的檢錯(cuò)機(jī)制、3選2或5選3的檢錯(cuò)糾錯(cuò)機(jī)制等，保證高可靠性；負(fù)載均衡調(diào)度層：將計(jì)算任務(wù)分配到具體計(jì)算引擎，充分利用多計(jì)算引擎優(yōu)勢(shì)實(shí)現(xiàn)計(jì)算任務(wù)級(jí)并行來(lái)提高性能；計(jì)算引擎層：通過(guò)高速I(mǎi)／O接口，接收控制和數(shù)據(jù)后，按要求進(jìn)行加解密運(yùn)算后返回結(jié)果，為滿(mǎn)足高速密碼處理要求，需要采用多密碼運(yùn)算引擎并行工作、單引擎內(nèi)部支持多通道并行處理、單通道內(nèi)部支持多數(shù)據(jù)并行處理等多粒度的并行處理模式來(lái)提高密碼處理性能。

圖9 存儲(chǔ)加密設(shè)備層次式設(shè)計(jì)結(jié)構(gòu)

該模型的可靠性處理層根據(jù)配置選擇可靠性調(diào)度策略，根據(jù)需要選擇結(jié)果比對(duì)的數(shù)量，例如進(jìn)行雙引擎比對(duì)的檢錯(cuò)機(jī)制、3選2或5選3的檢錯(cuò)糾錯(cuò)機(jī)制等，保證高可靠性。在總計(jì)算能力一定的情況下，基于表決策略的可靠性和計(jì)算性能的關(guān)系分析如下：假設(shè)密碼計(jì)算引擎陣列一共由m個(gè)計(jì)算引擎構(gòu)成，每個(gè)可靠性表決組由其中n個(gè)計(jì)算引擎構(gòu)成，當(dāng)表決器正常時(shí)，正常的單元數(shù)不小于r（1≤r≤n）系統(tǒng)就不會(huì)故障，這樣的系統(tǒng)構(gòu)成了r／n表決系統(tǒng)，其可靠性數(shù)學(xué)模型［9］如下式：

其中：Rs（t）表示系統(tǒng)可靠度，R（t）表示系統(tǒng)組成單元的可靠性。

當(dāng)各單元的可靠度是時(shí)間的函數(shù)，且壽命服從故障率為λ的指數(shù)分布時(shí)，r／n系統(tǒng)的可靠度為

系統(tǒng)中采用多數(shù)表決策略來(lái)保證存儲(chǔ)加密可靠性，即當(dāng)n為奇數(shù)（令其為2k＋1）時(shí)，當(dāng)系統(tǒng)中正常單元數(shù)不小于k＋1時(shí)系統(tǒng)才正常，此時(shí)，系統(tǒng)的可靠度為

通過(guò)計(jì)算給出圖10所示的密碼計(jì)算引擎陣列的可靠性與計(jì)算效能關(guān)系圖，從中可以看出，在總密碼計(jì)算引擎數(shù)量m一定的情況下，可靠性的提高是以采用更多計(jì)算引擎進(jìn)行計(jì)算比對(duì)來(lái)保證可靠性從而降低整體計(jì)算能力為代價(jià)的。因此，在實(shí)際系統(tǒng)設(shè)計(jì)中，可以根據(jù)具體可靠性指標(biāo)來(lái)進(jìn)行計(jì)算選取合適的表決策略，從而既滿(mǎn)足系統(tǒng)存儲(chǔ)加密可靠性要求，又能夠充分發(fā)揮密碼計(jì)算引擎陣列的計(jì)算效能。

圖10 基于表決策略的存儲(chǔ)加密可靠性與密碼計(jì)算引擎陣列計(jì)算效能關(guān)系圖

為了適配不同的應(yīng)用場(chǎng)景下不同的應(yīng)用需求，可采用不同的可靠性策略，在性能要求高的情況下，盡可能選擇每組較少數(shù)量的計(jì)算引擎協(xié)同計(jì)算來(lái)保證可靠性，對(duì)外提供較高的計(jì)算性能，而在可靠性要求高的情況下，則以犧牲總體計(jì)算性能為代價(jià)，盡可能選擇每組較多數(shù)量的計(jì)算引擎協(xié)同計(jì)算來(lái)保證可靠性。

在容錯(cuò)設(shè)計(jì)方面，采用主備存儲(chǔ)設(shè)備線路熱備［10］技術(shù)，通過(guò)兩臺(tái)網(wǎng)絡(luò)存儲(chǔ)加密設(shè)備互為備份的方式，來(lái)保證當(dāng)其中某一臺(tái)網(wǎng)絡(luò)存儲(chǔ)加密設(shè)備出現(xiàn)故障的時(shí)候，另一個(gè)網(wǎng)絡(luò)存儲(chǔ)加密設(shè)備能夠?qū)⑵鋽?shù)據(jù)加解密操作全部接管過(guò)來(lái)，從而確保存儲(chǔ)區(qū)域網(wǎng)絡(luò)在緊急時(shí)刻的通信連貫性。圖11給出了主備存儲(chǔ)設(shè)備線路熱備部署示意圖。

圖11 主備存儲(chǔ)設(shè)備線路熱備部署示意圖

除了設(shè)備部署上的容錯(cuò)，在軟件設(shè)計(jì)上，還可以借鑒軟件可靠性工程中N版本編程［11］模式，采用多種版本軟件對(duì)數(shù)據(jù)進(jìn)行加密操作，然后比對(duì)結(jié)果，結(jié)果相同則輸出數(shù)據(jù)，否則就丟棄。該方法能夠進(jìn)一步保障數(shù)據(jù)加密操作的正確性，但是需要在設(shè)計(jì)上增加多個(gè)加解密模塊運(yùn)算并進(jìn)行比對(duì)的過(guò)程，會(huì)增加系統(tǒng)設(shè)計(jì)的復(fù)雜性以及運(yùn)算的開(kāi)銷(xiāo)，需要根據(jù)具體性能要求進(jìn)行可配置設(shè)計(jì)。

4 結(jié)語(yǔ)

由于IP SAN的廣闊應(yīng)用前景，為保證SAN中存儲(chǔ)數(shù)據(jù)的安全，本文研究了SAN存儲(chǔ)加密體系架構(gòu)，設(shè)計(jì)了存儲(chǔ)加密設(shè)備，能夠較好地滿(mǎn)足基于iSCSI的SAN存儲(chǔ)加密應(yīng)用需求。同時(shí)，研究提出了靈活可配置的存儲(chǔ)加密策略，可適配具有不同加密性能或可靠性需求的應(yīng)用場(chǎng)景。

［1］敖青云.存儲(chǔ)技術(shù)原理分析［M］.北京：電子工業(yè)出版社，2011.

［2］童薇.高效光纖存儲(chǔ)通道技術(shù)研究［D］.武漢：華中科技大學(xué)博士學(xué)位論文，2011.

［3］鄭煒.基于IP－SAN的海量存儲(chǔ)技術(shù)的研究與實(shí)現(xiàn)［D］.西安：西北工業(yè)大學(xué)博士學(xué)位論文，2007.

［4］CCF大數(shù)據(jù)專(zhuān)家委員會(huì).2014年大數(shù)據(jù)發(fā)展趨勢(shì)預(yù)測(cè)［J］.中國(guó)計(jì)算機(jī)學(xué)會(huì)通訊，2014，10（1）：32－36.

［5］江國(guó)慶.基于iSCSI網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)安全性研究與實(shí)現(xiàn)［D］.合肥：合肥工業(yè)大學(xué)碩士學(xué)位論文，2006.

［6］任星.基于iSCSI協(xié)議的IPSAN安全機(jī)制研究與實(shí)現(xiàn)［D］.鄭州：解放軍信息工程大學(xué)碩士學(xué)位論文，2008.

［7］付園園.SAN存儲(chǔ)網(wǎng)絡(luò)安全解決方案研究［D］.西安：西安電子科技大學(xué)碩士學(xué)位論文，2010.

［8］黃智，龔向陽(yáng)，闕喜戎，等.IPsec協(xié)議的研究和分析［J］.計(jì)算機(jī)工程與應(yīng)用，2002，11：161－162.

［9］曾升奎，等.系統(tǒng)可靠性設(shè)計(jì)分析教程［M］.北京：北京航空航天大學(xué)出版社，2001.

［10］黃開(kāi)明，應(yīng)迪.雙線路熱備的數(shù)據(jù)傳輸系統(tǒng)［J］.信息安全與技術(shù)，2011，6：87－89.

［11］韓煒，臧紅偉.N版本編程技術(shù)的軟件可靠性分析［J］.微電子學(xué)與計(jì)算機(jī)，2003，5：62－63.

Design of EncryptingSystem for iSCSI－based Network Storage

GUO Jianjun
（Navy Institute of Computing Technology，Beijing 100841）

The network storage encrypting system and equipment are designed.The reliability method of storage encrypting is designed.The model of hierarchical cipher processing engine is given which can be configured according to application requirements to meet the reliability or the performance requirement.

network storage，storage encrypting，iSCSI

TP393.04DOI：10.3969／j.issn.1672－9730.2015.11.028

2015年5月7日，

2015年6月23日

郭建軍，男，工程師，研究方向：信息安全，嵌入式系統(tǒng)。