网络存储中加密技术的研究

武汉理工大学硕士学位论文网络存储中加密技术的研究姓名：郭艳霞申请学位级别：硕士专业：计算机应用技术指导教师：潘昊20090501网络存储中加密技术的研究作者：郭艳霞学位授予单位：武汉理工大学相似文献(10条)1.学位论文刘明基于iSCSI协议的网络存储安全技术研究2007当今的存储技术，正在由以服务器为中心的存储模式转变为以数据为中心的存储模式，这种存储模式的转变导致了网络存储技术的飞速发展。基于iSCSI协议构建SAN是当前网络存储领域的一个研究热点。由于iSCSI-SAN是基于IP技术组建，存在安全威胁，因此，根据iSCSI-SAN特点，解决iSCSI-SAN存储系统的安全问题，具有十分重要的意义。本文分析iSCSI协议和SAN网络存储系统结构原理，在研究iSCSI-SAN及其安全技术的基础上，提出了面向多用户的分级管理存储结构，针对采用IPSec在IP层解决iSCSI-SAN安全问题存在的缺陷，提出了在iSCSI层解决iSCSI-SAN系统安全问题的新思路，设计了基于iSCSI层的分级管理iSCSI-SAN安全存储系统结构模型。在此基础上，详细给出了iSCSI-SAN存储系统安全机制的设计方案，重点设计了基于权限证书的访问控制机制和基于共模p的线性同余方程组的数据加密密钥分配算法，实现了存储数据的安全访问与分级共享。最后运用上述研究结果，设计并实现了一个小型iSCSI-SAN安全存储系统，通过系统实验、分析和性能测试，验证了研究成果的正确性和可行性。2.学位论文徐国栋网络存储安全研究与实现2006网络存储时代被称为第三次IT浪潮。网络存储在近10年的时间内发展迅速，日益应用到各个行业；随着网络存储的日益普及，网络存储中的安全问题也日益受到人们的关注。在网络存储环境中，我们可以通过数据管理技术来保证数据的可用性与可恢复性，通过虚拟存储技术可以保证可扩展性与数据的一致性。并针对目前流行的网络存储技术，网络附加存储、存储区域网络和IP存储，我们分别提供了相应的安全防护措施。针对存储区域网络中的安全威胁，我们可以通过数据访问控制和光纤通道管理来有效地控制对存储区域网络中数据的访问与保护存储区域网络上的组件。为了更好地保护存储区域网络上的数据，我们设计了可以在非信任的存储环境中保证数据安全的安全网络文件系统SecSAN。在SecSAN我们采用了硬件与软件相结合的方法来提高SecSAN的安全性与易用性。每位SecSAN用户都拥有一个硬件key，里面保存有用户私钥与自己的个人信息，这样既可以简化用户在使用SecSAN时的操作，也避免了把私钥存储在硬盘上易被窃取的危险。为了提高性能，我们采用了分级加密与密钥的延迟回收机制。对文件数据加密时我们使用对称加密算法以提高性能，而文件的密钥又通过用户私钥加密来保证其安全性。SecSAN中的每个加密文件都由两部分组成：元数据文件与加密数据文件。元数据文件包含了用户的访问控制信息以及与加密文件有关的一些控制信息。通过元数据文件我们不但可以保证加密文件的安全性，还能方便地在多个用户之间实现文件的共享。3.期刊论文付园园一种SAN存储网络安全保护方案-科技资讯2010,(4)本文针对SAN存储中的不安全因素,提出了一种SAN存储网络的安全保护方案.在该方案中,在服务器端部署代理,使用终端控制器通过代理对服务器进行集中控制,设计了一种双向认证与会话密钥协议对接入服务器进行严格认证,防止了非法接入和伪装入侵,并使用基于角色的访问控制策略对服务器的访问权限进行约束,然后通过加密算法对写入SAN的数据进行加密,使得通信数据和SAN磁盘介质中的数据都为密文形式,能防止由于截获侦听和磁盘介质失窃而造成的失密事故.与以往的SAN安全保护方案相比,该方案有两大优点:对SAN提供了从接入认证、访问控制到数据加密的全方位的安全保护;相对于简单分区和LUN划分等最常用的方法,该方案保证了数据以密文的形式保存于磁盘介质,能有效防止由于磁盘失窃而导致的敏感数据失密事故.4.学位论文田丰存储安全技术研究2005在未来三年内产生的数据量，将超过人类自结绳记事以来数千年的总和。面对“爆炸”的信息、数据，人们已经感受到第三次IT浪潮--网络存储时代的来临。而目前SAN的安全状况就相当于5或10年前的互联网安全状况。早期的SAN技术具有潜在的不安全性，在新环境下面临着严重的安全问题。SAN的安全漏洞具有永久性的和破坏性的后果。对海量存储的保护可从几个方面考虑，不论物理方式还是电子方式，对每一个级别的存储，该文认为需要采取“深度防御”的安全战略。这种方法并不依赖单一的程序或技术来保护存储，而是将多种保护措施垂直立体密布在涵盖主机设备、网络设备、存储设备的整个水平结构存储网络中，如：(1)SAN的存储访问保护功能：逻辑单元数(LUN)、掩码(masking)和分区是通常使用的技术，用来确保只有得到授权的服务器，才能访问指定的存储阵列；(2)加密技术(鉴定和数据加密)：为传输过程和静态的数据添加了保护手段，设计使用了3DES+RSA的加密方式，并且用C++代码实现；(3)基于访问控制列表(ACL)、LDAP和SSL的单点登录是另外一种可靠的验证措施，研究中将其从企业门户网站的安全应用转移到存储管理中，以加固大型存储Web管理界面的核心安全，在毕设实验过程中已经完全实现；(4)利用系统根盘镜像、双机集群、RAID级别、冗余路径和远程灾备的多种数据保护手段，与灵活的备份方案相配和，设计并实现了一种“零宕机时间备份”，对不能停机的关键业务数据备份效果很好。(5)最后，该文建议采用适当的存储网络评估表格，对指定存储环境的技术和设备进行评估，以确定薄弱环节加以增强。5.期刊论文罗棋.朱兰娟嵌入式NAS系统的安全传输机制研究与实现-微型电脑应用2009,25(10)网络存储系统的广泛应用提高了数据的使用效率,同时为数据安全性带来极大挑战.论文从保护NAS网络链接存储系统的数据机密性角度出发,利用IPSec协议的安全框架,研究并实现了在嵌入式NAS系统上的数据加密安全传输机制.6.学位论文罗棋嵌入式NAS系统的安全传输机制研究与设计2009网络存储系统的广泛应用提高了数据的使用效率，同时为数据的安全性带来极大挑战。本文从保护NAS附网存储系统的数据“机密性”的角度出发，利用IPSec协议的安全框架，研究并实现了在嵌入式NAS系统上的数据加密安全传输机制。主要研究内容如下:⑴IPSec协议体系的研究。给出了IPSec的设计目的、作用和组成。分析了IPSec的两种安全协议—AH和ESP，包括每种协议的安全功能、包格式、应用模式以及对数据包的处理过程。重点研究了安全联盟（SA）以及两种模式：传输模式和隧道模式，组织和管理SA的手段—安全联盟数据库（SAD），以及安全策略的管理手段—安全策略数据库（SPD）。对Internet密钥交换（IKE）进行了详细介绍。⑵IPSec协议的实现。分析了IPSec在Linux上的实现FreeS/WAN，包括其结构和组成；研究了如何利用SPD和SAD相结合的方式来实现安全策略的表示与管理，SPD和SAD的数据结构、构造方法、搜索算法以及两者的关联方式。⑶NAS安全传输模块的构造和测试。在对IPSec深入研究的基础上，设计了NAS安全传输模块。然后，详细描述了构造安全传输模块的方法，包括Linux系统的配置，Frees/WAN的安装和配置。最后，对该安全传输模块进行了测试，包括功能测试和性能测试。7.学位论文朱千斌基于Kademlia覆盖网的P2P存储系统研究2008随着网络技术的发展，网络存储技术越来越受到人们的重视。网络存储技术遇到的一个问题是如何把网络中闲置存储资源组织起来形成一个巨大的虚拟存储空间。P2P技术给网络存储技术的发展带来了新的契机。在动态P2P网络环境下构建大规模、高可靠、高性能的分布式存储系统，是近年来研究的热点之一。虽然P2P系统有与生俱来的高容错潜力，但P2P系统中每个节点具有很强的动态性同时系统易于遭到恶意用户的破坏，这使得构建P2P存储系统极富挑战。这是由于系统中的节点均负责存储数据，一旦某节点暂时离开或者恶意用户将存储在节点上的数据丢弃，那么就会造成系统中数据的不可靠性。因此，如何提供数据的持久存储，屏蔽这些系统错误成为近年来P2P存储领域的研究热点。本文致力于构建一个安全且可靠的P2P分布式存储系统，分析并研究了P2P存储的相关技术，最终在改进后的Kademlia覆盖网络上建立一个分布式的存储系.统-KFS。文中首先分析了P2P网络的特点并着重介绍了当前知名的P2P覆盖网以及它们的路由机制，同时对现有的P2P存储系统及其相关技术进行深入研究。接着采用分层结构提出了一个基于结构化P2P覆盖网的分布式存储系统。在设计过程中，通过对用户的认证与数据加密机制来确保系统的安全性与数据的完整性。同时采用了文件分数据块的存储方案来实现系统的负载平衡与数据缓存。为了提高系统的可靠性，文中利用了纠删码与副本相结合的冗余策略来增强系统中数据的可用性与系统的容错能力。通过研究与分析，证明该系统具有了很强的安全性与较好的可靠性。本文的主要贡献在于以下三点：1.针对P2P存储系统的安全机制，提出了一种基于CA认证与数据加密的安全P2P存储技术。这对进一步研究P2P安全存储具有一定的参考价值。2.结合传统的Kademlia覆盖网路由机制，对其进行研究改进并提出了一种更为有效的路由算法，使得底层覆盖网更适合上层应用。3.对P2P存储系统进行建模并量化比较了纠删码与副本两种冗余策略对系统可靠性的影响。主要考查这两种方案在确保数据满足一定可靠率的情况下系统所使用的副本数与节点存储资源的使用。8.会议论文赵青梅.朱立谷.赵卫国.宋小波.梁哲炜iSCSI安全及其关键技术的研究2002本文分析了iSCSI受到的主要安全威胁,描述了iSCSI的体系结构,探讨了iSCSI的安全技术.进一步改进了iSCSI的安全防范能力.9.学位论文胡风华基于以太网的存储系统研究2005计算机硬件技术不断发展,计算机系统结构也随之发生了巨大改变.计算机系统的中心正在逐步由传统的CPU,内存和网络向存储系统转移.网络存储系统适应这种要求得到迅速发展.特别是基于以太网的存储系统的出现,使得网络存储系统的大规模普及成为可能.机群系统是当今并行计算的主流结构,在机群系统中通常采用基于SAN架构的网络存储子系统.由于SAN的总拥有成本过高,阻碍了机群系统的普及.因此研究机群环境下的以太网存储系统具有现实意义.当前的以太网存储系统主要是基于TCP传输协议的iSCSI系统,通过对TCP上的软件iSCSI系统性能的测试和分析,我们发现,TCP传输协议无法很好地适应存储系统应用的特殊需求,使得iSCSI系统传输带宽较低,CPU资源占用较多.传输协议开销过高导致iSCSI系统性能的降低,因此改善传输协议性能有助于提高iSCSI存储系统性能.为了提高iSCSI传输性能,本文提出了一种新的传输协议HSP.针对以太网环境下的iSCSI存储系统,HSP协议精简了协议层次,直接使用数据链路层提供的服务来发送数据.它使用基于数据组窗口的流量控制方式,使得其可以在一次传输中发送更多的数据.它使用基于定时器的确认和数据包重传,以及定时器的动态调整机制,使得其能有效的防止网络拥塞的发生,使用正向确认和选择性确认使得系统能获得更高的带宽利用率.HSP协议还提供包括身份认证和数据加密的安全机制.CPN作为一种模型工具,广泛应用在分布式系统,并发系统,以及协议的描述与验证中.为了校验HSP协议的数据传输正确性,我们使用了CPN作为描述HSP数据传输的工具.在使用CPN对HSP数据传输过程建立模型后,我们也使用了软件工具对该模型进行了校验,结果表明,HSP能正确地传输数据.通过分析Linux操作系统的网络子系统体系结构,我们给出了HSP协议实现的方法,并在Linux上成功地实现了HSP协议.我们对HSP协议实现进行了初步的性能测试和分析,通过与TCP的比较,结果表明HSP协议在网络存储这种