趙勇

摘 要：為解決目前iSCSI協(xié)議身份認(rèn)證口令容易竊取、被黑客攻破問(wèn)題，提出了一種對(duì)iSCSI數(shù)據(jù)進(jìn)行加解密的網(wǎng)關(guān)式系統(tǒng)，著重研究了透明加解密網(wǎng)關(guān)中iSCSI協(xié)議的解析。該系統(tǒng)將透明加解密放置在多個(gè)啟動(dòng)器和多個(gè)目標(biāo)器之間統(tǒng)一進(jìn)行管理，隔離了兩個(gè)網(wǎng)絡(luò)，提高了數(shù)據(jù)安全性。系統(tǒng)不僅能保證數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸安全，還能保證數(shù)據(jù)在磁盤陣列上的靜態(tài)存儲(chǔ)安全。

關(guān)鍵詞：網(wǎng)絡(luò)安全；iSCSI協(xié)議；眾核處理器

DOIDOI：10.11907/rjdk.171487

中圖分類號(hào)：TP309

文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)文章編號(hào)：1672-7800（2017）008-0182-03

0 引言

網(wǎng)絡(luò)安全尤其是數(shù)據(jù)安全越來(lái)越重要，iSCSI存儲(chǔ)技術(shù)由此得到廣泛應(yīng)用。iSCSI技術(shù)由IBM公司研發(fā)，可以在TCP/IP網(wǎng)絡(luò)上封裝SCSI命令進(jìn)行傳輸[1]，從而將網(wǎng)絡(luò)存儲(chǔ)設(shè)備的范圍從有限的局域網(wǎng)拓展到范圍更廣的互聯(lián)網(wǎng)，但在TCP/IP網(wǎng)絡(luò)上傳輸很容易被黑客截獲數(shù)據(jù)包并對(duì)其進(jìn)行篡改。iSCSI協(xié)議安全措施分為身份認(rèn)證、訪問(wèn)控制列表、IPSec包保護(hù)幾類，常見(jiàn)的身份認(rèn)證有CHAP認(rèn)證和Kerberos認(rèn)證。CHAP協(xié)議存在口令容易竊取、只支持服務(wù)端對(duì)客戶端的單向認(rèn)證、容易受到網(wǎng)絡(luò)攻擊的缺陷。相比CHAP協(xié)議，Kerberos協(xié)議最大的優(yōu)勢(shì)在于它可以進(jìn)行雙向認(rèn)證[7-8]。但是，在認(rèn)證服務(wù)器端，用戶口令也是以明文存放的，如果認(rèn)證服務(wù)器被攻破，用戶口令就會(huì)被黑客竊取，訪問(wèn)控制列表也很容易被黑客攻破。IPSec技術(shù)只能保證數(shù)據(jù)包傳輸過(guò)程的安全，不能保證數(shù)據(jù)在磁盤陣列存儲(chǔ)的安全，此外，IPsec技術(shù)會(huì)影響網(wǎng)絡(luò)系統(tǒng)吞吐性能[6]。

如何保證數(shù)據(jù)傳輸安全，保證數(shù)據(jù)在磁盤陣列的靜態(tài)存儲(chǔ)安全，并滿足同時(shí)處理多個(gè)啟動(dòng)器和多個(gè)磁盤陣列高速讀寫(xiě)性能？本文提出一種對(duì)iSCSI數(shù)據(jù)進(jìn)行加解密的透明網(wǎng)關(guān)式系統(tǒng)[9]，如圖1所示。當(dāng)應(yīng)用服務(wù)器對(duì)磁盤陣列進(jìn)行數(shù)據(jù)寫(xiě)操作時(shí)，通過(guò)透明加解密網(wǎng)關(guān)把存儲(chǔ)的數(shù)據(jù)加密成密文，當(dāng)應(yīng)用服務(wù)器對(duì)磁盤陣列進(jìn)行數(shù)據(jù)讀操作時(shí)，通過(guò)透明加解密網(wǎng)關(guān)把數(shù)據(jù)解密成明文，達(dá)到保證數(shù)據(jù)的傳輸與靜態(tài)存儲(chǔ)安全的目的。

1 網(wǎng)關(guān)報(bào)文處理流程

透明加解密網(wǎng)關(guān)系統(tǒng)結(jié)構(gòu)如圖2所示，網(wǎng)關(guān)由安全處理模塊、內(nèi)網(wǎng)子系統(tǒng)、外網(wǎng)子系統(tǒng)3部分組成。內(nèi)網(wǎng)口連接應(yīng)用服務(wù)器，外網(wǎng)口連接磁盤陣列，這樣可以通過(guò)網(wǎng)關(guān)隔離應(yīng)用服務(wù)器的網(wǎng)絡(luò)和磁盤陣列網(wǎng)絡(luò)，防止磁盤陣列被惡意攻擊，提高數(shù)據(jù)的安全性。安全處理模塊是一塊FPGA加解密處理板，負(fù)責(zé)對(duì)數(shù)據(jù)加解密，內(nèi)網(wǎng)子系統(tǒng)與外網(wǎng)子系統(tǒng)是一塊Tilera-Gx36眾核處理器，當(dāng)應(yīng)用服務(wù)器對(duì)磁盤陣列寫(xiě)數(shù)據(jù)時(shí)，內(nèi)網(wǎng)子系統(tǒng)主要完成報(bào)文分流（保證相同的流負(fù)載到相同的核上）。如果是TCP報(bào)文，進(jìn)行TCP狀態(tài)偵聽(tīng)，并還原成一條完整的TCP流，交給上層協(xié)議進(jìn)行iSCSI報(bào)文分析。iSCSI報(bào)文是被封裝在TCP報(bào)文中進(jìn)行傳輸?shù)模?jīng)過(guò)安全處理模塊對(duì)數(shù)據(jù)進(jìn)行加密后交給外網(wǎng)子系統(tǒng)處理。外網(wǎng)子系統(tǒng)首先進(jìn)行報(bào)文分流，然后判斷iSCSI報(bào)文中有無(wú)數(shù)據(jù)載荷。如果有數(shù)據(jù)，要將分段數(shù)據(jù)拼接成原始數(shù)據(jù)，然后判斷是否為TCP報(bào)文，進(jìn)行iSCSI報(bào)文解析，最后把報(bào)文發(fā)給外網(wǎng)口傳輸?shù)酱疟P陣列。當(dāng)應(yīng)用服務(wù)器讀取磁盤陣列數(shù)據(jù)時(shí)，處理過(guò)程類似，不再贅述。

2 iSCSI協(xié)議解析

iSCSI協(xié)議定義了在TCP/IP網(wǎng)絡(luò)發(fā)送，接收block（數(shù)據(jù)塊）級(jí)的存儲(chǔ)數(shù)據(jù)規(guī)則和方法，實(shí)現(xiàn)從SCSI協(xié)議到TCP/IP協(xié)議的映射。iSCSI層工作于TCP/IP五層協(xié)議模型的應(yīng)用層，其任務(wù)是將SCSI層提交的SCSI CDB（Command Descriptor Blocks，命令描述符塊）封裝成一組iSCSI PDU（PDU，協(xié)議數(shù)據(jù)單元），并將它傳遞給TCP報(bào)文進(jìn)行傳輸，或者接收來(lái)自TCP報(bào)文的iSCSI PDU，從PDU中抽取SCSI CDB提交給SCSI層處理。具體過(guò)程如下：

SCSI層：根據(jù)應(yīng)用層發(fā)出的I/O請(qǐng)求建立SCSI CDB（命令描述塊），并將其傳遞給iSCSI層，同時(shí)接收來(lái)自iSCSI層的CDB，并向應(yīng)用層返回?cái)?shù)據(jù)；iSCSI層：對(duì)SCSI CDB進(jìn)行封裝，以便能夠在基于TCP/IP協(xié)議的網(wǎng)絡(luò)上進(jìn)行傳輸，完成SCSI到TCP/IP的協(xié)議映射，這一層是iSCSI協(xié)議的核心層；TCP層：提供端到端的透明可靠傳輸；IP層：對(duì)IP報(bào)文進(jìn)行路由和轉(zhuǎn)發(fā)；Link層：提供點(diǎn)到點(diǎn)的無(wú)差錯(cuò)傳輸。

透明加解密網(wǎng)關(guān)處于啟動(dòng)器與目標(biāo)器之間，它的功能是對(duì)iSCSI報(bào)文攜帶的數(shù)據(jù)進(jìn)行加解密。iSCSI報(bào)文被封裝在TCP/IP包中進(jìn)行傳輸，iSCSI協(xié)議解析就是要把收到的報(bào)文一層層地判斷解析，解析出iSCSI報(bào)文中攜帶數(shù)據(jù)的偏移量。有數(shù)據(jù)的話就給數(shù)據(jù)封裝一個(gè)安全頭發(fā)送給安全處理模塊進(jìn)行加解密，沒(méi)有數(shù)據(jù)的話就進(jìn)行透?jìng)鳌?/p>

2.1 iSCSI報(bào)文格式

iSCSI報(bào)文（PDU，協(xié)議數(shù)據(jù)單元）是封裝在TCP數(shù)據(jù)段中進(jìn)行傳輸?shù)?，iSCSI默認(rèn)的目的端口是3260，iSCSI報(bào)文包含基本頭部（48字節(jié)）、附加報(bào)頭段、頭部校驗(yàn)、數(shù)據(jù)段、數(shù)據(jù)校驗(yàn)。只有基本報(bào)文段是必須的，其它都是可選的[5]。

協(xié)議數(shù)據(jù)單元（PDU）的基本報(bào)文段格式如圖4所示，基本報(bào)文段第一個(gè)字節(jié)表示iSCSI報(bào)文的操作碼（Opcode），啟動(dòng)器有9種操作碼，目標(biāo)器有11種操作碼。啟動(dòng)器（Initiator）使用的操作碼有：0x00-NOP-Out、0x01-SCSI命令（包含CDB）、0x02-SCSI任務(wù)管理請(qǐng)求、0x03-登錄請(qǐng)求、0x04-Text請(qǐng)求、0x05-SCSI Data-out（數(shù)據(jù)寫(xiě)）、0x06-注銷請(qǐng)求、0x10-SNACK請(qǐng)求；目標(biāo)器（Target）使用的操作碼有：0x20-NOP-In、0x21-SCSI響應(yīng)、0x22-SCSI任務(wù)管理響應(yīng)、0x23-登錄響應(yīng)、0x24-Text響應(yīng)、0x25-SCSI Data-in（數(shù)據(jù)寫(xiě)）、0x26-注銷響應(yīng)、0x31-Ready To Transfer（R2T）、0x32-異步消息、0x3f-Reject。TotalAHSLength表示附加頭部總長(zhǎng)度，DataSegmentLength表示數(shù)據(jù)分段長(zhǎng)度，LUN表示邏輯單元編碼，Initiator Task Tag表示啟動(dòng)器任務(wù)標(biāo)識(shí)，Expected Data Transfer Length表示預(yù)期傳輸?shù)臄?shù)據(jù)長(zhǎng)度，CDB表示SCSI命令描述符[2-3]。endprint

2.2 iSCSI解析流程

iSCSI協(xié)議數(shù)據(jù)單元包括一個(gè)或多個(gè)頭部，后面跟一個(gè)可選的數(shù)據(jù)段[3]，其長(zhǎng)度總是填充4字節(jié)的整數(shù)倍。

圖5是iSCSI報(bào)文解析流程：①判斷PDU HDR是否被拆分到多個(gè)TCP包中進(jìn)行傳輸。如果是就跳轉(zhuǎn)到第②步，否則跳轉(zhuǎn)到第③步；②與上一片報(bào)文的尾部拼湊成完整的PDU HDR；③查找PDU對(duì)應(yīng)的結(jié)構(gòu)體（包含iSCSI任務(wù)狀態(tài)、操作碼、操作數(shù)據(jù)等）；④判斷PDU狀態(tài)，獲取PDU中的數(shù)據(jù)長(zhǎng)度；⑤解析PDU頭部的操作碼，判斷登錄、注銷、SCSI命令、數(shù)據(jù)讀寫(xiě)等操作；⑥判斷報(bào)文內(nèi)是否開(kāi)始了下一個(gè)PDU，是就跳轉(zhuǎn)到第⑦步，否就跳轉(zhuǎn)到第⑧步；⑦判斷報(bào)文下一塊數(shù)據(jù)是否為PDU HDR分片。是就保存PDU HDR分片，否就查找PDU對(duì)應(yīng)的結(jié)構(gòu)體；⑧結(jié)束函數(shù)返回。

3 系統(tǒng)測(cè)試與功能驗(yàn)證

為了驗(yàn)證透明加解密網(wǎng)關(guān)功能，用圖6所示方法將4塊Tile-Gx36板與一塊FPGA加解密處理器連接起來(lái)，內(nèi)網(wǎng)子系統(tǒng)和外網(wǎng)子系統(tǒng)運(yùn)行網(wǎng)關(guān)軟件，應(yīng)用服務(wù)器和磁盤陣列使用Tile-Gx36，因?yàn)樗袃蓚€(gè)萬(wàn)兆網(wǎng)口，通過(guò)光模塊線將兩塊板子連接，從應(yīng)用服務(wù)器發(fā)起對(duì)磁盤陣列的讀寫(xiě)請(qǐng)求。讀寫(xiě)不同大小的文件，如 1M、128M、512M、2G，

任意大小文件3～5個(gè)，隨機(jī)的視頻、音樂(lè)、圖片文件，對(duì)文件執(zhí)行先寫(xiě)入、后讀出操作，并對(duì)文件進(jìn)行md5sum校驗(yàn)，確認(rèn)讀寫(xiě)操作的正確性。

經(jīng)過(guò)多次測(cè)試，應(yīng)用服務(wù)器登錄到磁盤陣列后，可以長(zhǎng)時(shí)間穩(wěn)定地對(duì)磁盤陣列進(jìn)行數(shù)據(jù)讀寫(xiě)，并且讀寫(xiě)數(shù)據(jù)md5sum校驗(yàn)值相同，說(shuō)明文件讀寫(xiě)正確，軟件達(dá)到設(shè)計(jì)標(biāo)準(zhǔn)。

4 結(jié)語(yǔ)

通過(guò)系統(tǒng)測(cè)試，透明加解密網(wǎng)關(guān)系統(tǒng)可持續(xù)穩(wěn)定地對(duì)不同大小的數(shù)據(jù)文件進(jìn)行讀寫(xiě)，保證了數(shù)據(jù)在磁盤陣列上的靜態(tài)存儲(chǔ)安全，相比其它iSCSI安全方案，安全性更高，具有數(shù)據(jù)讀取速率高、成本低廉、兼容性好等優(yōu)點(diǎn)。

參考文獻(xiàn)：

[1] 戴志敏，王倩莉，胡越明，等.iSCSI協(xié)議研究與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件，2005，22（8）：83-85.

[2] 李斌，韓坤.iSCSI協(xié)議分析與其實(shí)現(xiàn)[J].商丘職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2008，7（2）：53-56.

[3] 易非.iSCSI協(xié)議研究與實(shí)現(xiàn)[D].長(zhǎng)沙：湖南大學(xué)，2004.

[4] 朱立谷，趙青梅.iSCSI協(xié)議的研究[J].計(jì)算機(jī)工程與應(yīng)用，2002，38（15）：43-45.

[5] 劉釗勇.IP存儲(chǔ)之iSCSI協(xié)議[J].科技信息，2009（14）：212-213.

[6] 孟祥輝，曾學(xué)文，陳曉.iSCSI網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)中加密方法研究與設(shè)計(jì)[J].計(jì)算機(jī)工程與科學(xué)，2016，38（12）：2456-2462.

[7] 劉慧娟.iSCSI協(xié)議的安全性研究[D].武漢：華中科技大學(xué)，2009.

[8] 朱珂.iSCSI存儲(chǔ)系統(tǒng)中的安全性研究[D].上海：上海交通大學(xué)，2007.

[9] 呂從東.基于透明加解密的iSCSI安全存儲(chǔ)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].保密科學(xué)技術(shù)，2013（7）：45-50.endprint