（计算机应用技术专业论文）ip+san备份技术及安全机制的研究.pdf

摘要 目前，数据存储领域a , 3 很多技术还处于研究阶段，从最初的d a s ( d i r e c ta t t a c h e d s t o r a g e ，d a s ) 模式发展到现令的网络存储模式，数据存储逐渐成为人们的研究热点。传统 的存储结构采j ； = | s c s i 总线盲接将服务器与若干存储设备相连，存储设备被看作是服务器不 可分割的一部分，这是一种离散式的存储结构模式。然而，随着分布式计算环境的不断改善， 数据需要在更大的范围内实现共享，为多个用户提供高可用性的数据成为存储技术的关键 因此，同络存储技术成为主流。 网络存储技术主要有网络附属存储( n e t w o r ka t t a c h e d s t o r a g e ，n a s ) 和存储区域网 ( s t o r a g e a r e a n e t w o r k ，s a n ) 两种架构，n a s 存储模式提供文件级的存储访问，而s a n 模式9 l j j 基于数据块实现存储。显然，相比较而言，s a n 技术更具有灵活性和可扩展性。 是t 早期s a n 火多基于光纤通道( f i b r ec h a n n e l ，f c ) 实现，价格昂贵，多用j - 高端市场， 难虬在存储领域普及。随着t c p 1 p 网络技术的不断发展，人们开始考虑将数据存储基丁i p 网络实埂，i ps a n 应运而生，它使得n a s 与s a n 这两种用- 丁不同领域的存储技术，吐现 山融台的趋势。 然而，由于1 p s a n 发展时间较短，目前在许多关键的技术上还有待研究解决。本文通 过对i s c s l 协议的分析，设计井实现了一个基于i s c s 协议的i ps a n 存储系统，采用零拷 贝技术及t c p i p 优化机制，有效地提高了i s c s i 协议的效率，进而提升了系统的性能，南 _ 丁二i ps a n 存储系统是一个庞大的研究领域，本文着重探讨r 备份慨复技术在i p s a n 中的 应用，比较了多种不同的备份技术和安全机制，构建了一种新型的完全+ 累积备份的备份模 型，并结合具体的实现，采用磁盘r a i d 技术实现了虚拟化存储，将相互独立的物理磁需虚 拟成连续的逻辑磁赫，有效地优化了i p s a n 备份恢复系统的性能。同时，基于安牟性的考 虑，本文进一步分析了i ps a n 的安全认证机制，提出了一种i ps a n 认证模型，并结合具 体的实现，比较了s r p 和c h a p 两种认证机制的不同，从而很好地解决了如何保证s c s i 命令数据在传输、存储时的安全性问题，尽可能地确保数据的完整性和一致性。 本又通过对i ps a n 备份恢复技术及安全认证机制的深入研究，提出了相应的解决力 案，在系统的具体实现中充分地运用了这些方案。通过对系统性能的测试和分折，证明系统 j _ 以达到预想的目标。 关键字：i ps a n 存储系统，i s c s i 协议，备份恢复技术，安全认证机制 a b s t r a c t a tp r e s e n t ，s o n l et e c h n o l o g i e si nd a t as t o r a g eh a v eb e e nr e s e a r c h e d f r o me a r l yi ) a sm o d e t oc u r r e n tn e t w o r ks t o r a g em o d e ，t h ed a t as t o r a g eg r a d u a l l yb e c o m e sr e s e a r c hh o t s p o t t h e t r a d i t i o n a l s t o r a g es t r u c t u r ed i r e c t l y c o n n e c ts e r v e ra n ds t o r a g ed e v i c e su s i n gs c s ib u s ，t h e s t o r a g e d e v i c e sa r ea sa l l i n d i s c e r p t i b l es e g m e n to fs e r v e r , s o i ti sad i s c r e t e s t o r a g em o d e h o w e v e r , a l o n gw i t hi m p r o v i n go fd i s t r i b u t i n gc o m p u t ee n v i r o n m e n t ，d a t a m u s tr e a l i z es h a r e a m o n gm o r er a n g e ，a n dp r o v i d i n gh i g hu s e f u l d a t af o rm u l t i u s e rb e c o m e st h ek e yo f s t o r a g e t e c h n o l o g y t h u s ，n e m , o r ks t o r a g et e c h n o l o g y t u n a si n t om a i n t e c h n o l o g y n e t w o r ks t o r a g et e c h n o l o g ym o s t l yh a st w of r m n e s ：n e t w o r ka t t a c h e ds t o r a g e ( n a s ) a n d s t o r a g ea r e an e t w o r k ( s a n ) n a s m o d ep r o v i d e ss t o r a g ea c c e s sb a s e do nf i l e ，a n ds a nm o d e r e a l i z e ss t o r a g eb a s e do nd a t ab l o c k a p p a r e n t l y ，s a nt e c h n o l o g yi sm o r ef l e x i b l ea n de x t e n s i b l e b u te a r l ys a n s a l w a y sr e a l i z eo v e rf i b r ec h a n n e l ( f c ) ，t h ep r i c ei sv e r yc o s t l ym a dt h et e c h n o l o g y i sd i f f c u l tt op r e v a l e n c ei n s t o r a g ed o m a i n a l o n gw i t h t h ed e v e l o p m e n to ft c p i pn e t w o r k t e c h n o l o g y , p e o p l ec o n s i d e rd e s i g n i n gd a t as t o r a g eo v e ri pn e t w o r k ，t h e ni ps a ne m e r g ea st i l e t i m e sr e q u i r ei ts h o u l di n t e g r a t et h en a sa n ds a n t e c h n o o g y w h e r e a s ，b e c a u s et h ei ps a n i san e wd o m a i n ，s os o m ep i v o t a lt e c h n o l o g yn e e df a t h e r r e s e a r c ha n ds o l v e t h i sp a p e ra n a l y s e si s c s ip r o t o c o l ，d e s i g n sa n dr e a l i z e sa ni ps a ns t o r a g e s y s t e l n b a s e do ni s c s l m o r e o v e r , u t i l i z i n gz e r o - c o p yt e c h n o l o g ya n d t c p i p p r t i m i z i n g m e c h a n i s m ，t h ee f f i c i e n c yo fi s c s ip r o t o c o li se f f e c t i v e l ya d v a n c e d ，a n dt h ec a p a b i l i 巧o fs y s t e m i sa l s oi m p r o v e d i ps a n s t o r a g es y s t e mi s v e r eh u g er e s e a r c hd o m a i n t h i sp a p e re m p h a s i z e b a c k u p & r e c o v e r yt e c h n o l o g yo f i ps a n ，c o m p a r em a n yd i f f e r e n tb a c k u pt e c h n o l o g ya n ds e c u l 吟 m e c h a n i s m ，a n dc o n s t r u c tan e w l yf u l l + a c c u m u l a t i v eb a c k u pm o d et h r o u g ha c t u a lr e a l i z a t i o l l ， t h i sp a p e rr e a l i z e sv i r t u a ls t o r a g eu s i n gr a i dt e c h n o l o g y ；u n d e p e n d e n tp h y s i c a ld i s k sa r eb e c a r n e c o n s e c u t i v el o g i c a ld i s k s ，a n dt h e nt h ep e r f o r m a n c eo fi ps a nb a c k u p & r e c o v e r ys y s t e m i s i m p r o v e df u r t h e r m o r e ，c o n s i d e r i n gt h es e c u r i t yo fs y s t e m ，t h i sp a p e ra l s oa n a l y s e st h es e c u r i t y a u t h e n t i c a t i o nm e c h a n i s mo fi ps a n ，a n db r i n g sf o r w a r da na u t h e n t i c a t i o nm o d e lo fi ps a n t h r o u - g h a c t u a lr e a l i z a t i o n t h i s p a p e rc o m p a r e s t h ed i f f e r e n c eb e t w e e ns r pa n dc h a p a u t h e n t i c a t i o nm e c h a n i s m ，s o l v e st h es e c u r i t yi s s u eo fs c s ic o m m a n d d a t a ，a n dc a ni n s u r et h e i n t e g r a l i t ya n dc o n s i s t e n c yo f d a t a t h r o l _ 【g hl u c u b r a t i n gt h eb a c k u p & r e c o v e r y a n ds e c u r i t ya u t h e n t i c a t i o nt e c h n o l o g yo fips a n t h i sp a p e rp u t sf o r w a r dc o r r e s p o n d i n gr e s o l v ep r o j e c t s ，a n da p p l y st h e mi na c t u a lr e a l i z a t i o n b y t e s ta n da n a l y s i so f t h es y s t e m ， ti sp r o v e dt h a tt h es y s t e mc a t a c h i e v ee x p e c tg o a l k e ，n v o r d s ：i p s a ns t o r a g e s y s t e m ，i s c s ip r o t o c o l ，b a c k u p & r e c o v e r yt e c h n o l o g y , s e c u r i t y a u t h e n t i c a t i o nm e c h a n i s m - i i 浙江大学硕士学位论文 1 1 序言 第一章绪论 随着社会的发展和p c 的普及，产生了越来越多的数守化信息，信息量呈爆炸性增长， 因而引发了以存储技术为中心的新一轮数据技术浪潮。国际数据组织i d c 估计2 0 0 1 至2 0 0 3 年之间每年存储能力将以约为7 5 的速度大幅增长，并且在2 0 0 4 年之前，6 7 的存储将实 现嘲络化【1 1 。 电子技术、信息处理技术和通信技术的快速发展，汁算机性能有了显著的提高，然 由于外存设备的吲有特性，导致了处理器、存储器和外存发展的不平衡，出现了“存储器塥”、 “t o 瓶颈”等问题。另一方面由于越来越多的信息被转化为数据进行存储，数据的重要 性越来越突出，在当今世界数据就是企业的财富，这使得人们对于高性能、高可靠性、，哥可 用性的存储技术的需求越米越迫切。因此，如何有效地解决存储问题，研究符合当前需婴的 数据存储技术作为研究课题被提出，并逐渐成为研究热点。 1 。2 存储技术简介 目前，主要存在三种存储模式：商接附属存储( d i r e c ta t t a c h e ds t o r a g e ，d a s ) 、网络 附加存储( n e t w o r k 犍 a c h e ds t o r a g e ，n a s ) 和存储区域网络( s t o r a g e n e t w o r k ，s a n ) 。 1 2 1 d a s 存储 d a s 存储模式以计算机为中心，为存储硬件的集合，存储器本身不带有任何操作系缆， 是长期以来大多数服务器采取的方式。一般定义d a s 为计算机主机i o 接口直接连接存储 殴备的数据存储体系结构，如图1 ，1 所示，主机通过专用接口( 如i d e 、s c s l 接口) 与存 储发各相连接，主机与存储设备之间数据的传输通常以块为单位。当主机需要访问存储设备 时，主机发出i o 指令给存储殴各，存储设备根据指令进行相应操作，将数据返回给主机， 或者将主机传输的数据写入磁盘。在d a s 模式中，存储设备可以是磁盘驱动器，也可以是 r a i d 子系统，或是其它存储设备。 浙江入学硕士学位论文 客户机 主机存储设备 图1 1d a s 访问方式 f i 9 1 - 1t h e a c c e s sm o d eo f d a s d a s 管理简单，易于实现，由于d a s 将存储设各直接与主机相连，冈此呵以提供很高 的安全性能，但在存取操作上缺乏足够灵活的操作效率，磁盘空间的利用率一般只能达到 5 0 左右。同时，由于一般的s c s i 总线最多只能支持15 个设备，因此d a s 无法提供良好 的可扩充性，存储容量扩充成本很高。随着企业信息化的发展，视频处理、数据库等麻川j 需 求的增加，对数据存储容量和效率的要求越来越高，人们发现d a s 面对海量存储数据显得 越来越力不从心，无法适应数据整合和集中统一管理的需求。 随着网络技术的发展，数据存储作为一个重要的课题被提出，专门的数据存储解次方菜 被研究开发。在网络存储发展的今天，d a s 仅仅只能生存于小容量和低成本要求的应用方 案中，网络存储成为存储的主流选择。 1 2 2 n a s 存储 n a s 网络附加存储将数据存储设备通过标准的网络拓扑结构连接，建立，从存储子系 统到客户机的数据和文件服务，减少了数据传输中主机的干预，避免增加服务器的i o 负载， 能够实现高持续带宽和良好的可扩展性。通常，存储子系统由网络存储控制器和存储介质( 磁 盘、磁带) 组成，如图1 2 所示。 图1 - 2 n a s 构成 f i g l - 2t h es t r u c t u r eo fn a s 2 新江大擎硕士学泣论文 网络存储控制器负责管理与主机间的通讯及磁盘的存储操作，通过传统的通道i ；办泌( 如 s c s i ) 实现网络存储控制器与存储设斋之间的通信。主机同网络存储拧制器发出数据读写 及相应的命令网络存储控制器则对这些命令进行解释和执行。当客户机从服务器上】、载数 据时，它首先要从服务器主机得到授权，然后根据所得到的地址信息找到相应的网络存储控 制器，直接向控制器发出i o 请求，最后从网络存储控制器获得数据。 n a s 控制器使用公共i n t e r n e t 文件系统协议( c o m m o n li n t e r n e tf i l es y s t e m ，c i f s ) 取! 网络文件系统协议( n e t w o r kf i l es y s t e m ，n f s ) 向客户端提供文件级服务，在局域网实 现文件共享pj 。刚1 - 3 描述了n a s 的访问方式，c i f s 或n f s 先向n a s 发出文件级请求， n a s 通过查询文件表找到逻辑文件名对应的物理存储块地址，通过该地址以块请求方式访 闷d a s 。往该过程中，客户端等待多个额外的c p u 周期，增加了对文件搛作的时延，l j 丁 一些依赖于低时延的数据访问的应用程序而言，往往无法忍受这些额外的负载，而需要列物 理存储直接进行块级别的数据访问。 图1 3 n a s 访问方式 f i g l 一3t h ea c c e s sm o d eo f n a s n a s 存储模式是一种低价有效的解决方案，可以满足用户对大量文件级数据共享的需 求，解决了异构网络环境下的数据备份与数据共享晌问题。n a s 是真正即搔即用的产品， 物理位置灵活，可放置在工作组内，也可放在其他地点，通过物理链路与剐络连接。n a s 设备一般支持多计算机平台，用户通过网络支持协议可访问相同的文档，冈而n a s 设备无 需改造即可用于混合u n i x w i n d o w s n t 局域网内。 然而，n a s 没有解决与文件服务器相关的一个关键性问题，即备份过程中的带宽消耗， n a s 将存储事务由并行s c s i 连接转移到了局域网( l a n ) 上，使用网络对数据进行备份和 恢复。换句话说，在n a s 存储模式中，l a n 除了必须正常处理的传输数据外，还必须处理 包括备份操作的存储磁盘请求。这样，n a s 需要依赖于l a n ，而且对网络带宽摹c p u 的处 理能力都要求很高。此外，可扩展性较差也是n a s 的缺点。 1 2 3 存储区域网 s a n 是一种类似于普通局域网的高速存储网络，通过专用的集线器、交换机和网关建 浙江大学颂+ 学位论文 立与服务器和磁盘阵列或备份磁带庠之间的直接连接，采用特定的互连方式将所连接的若十 台存储服务器组成一个单独的数据存储网络，主机一般通过特殊的适配卡和协议来完成对 s a n 的访问吼基于s a n 的存储结构如图1 - 4 所示。 图i - 4 基于s a n 的存储结构 f i g l 一4t h es t r u c t u r eo fs a n s a n 的结构将存储网络和局域网分开，支持远距离通信，并允许存储设备真止与服务 器隔离，使存储成为可由所有服务器共享的资源。任何服务器可以连接到任何存储阵列，不 管数据放置在哪里，服务器都可直接存取所需的数据。s a n 也允许各个存储子系统( 如磁 赢阵列和磁带库) 无需通过专用的中间服务器即可互相协作，其接 j 包括光纤通道和i s c s i 。 利用s a n 不仅可以提供火容量的存储数据，而且地域上可以分散，并缓解了大量数据 传输对于局域网的影响。s a n 的主要思路是将l a n 上因存储而引起的流量转移到主要由存 储设备组成的s a n 上，使得数据的访问、备份和恢复不影响l a n 的性能，在有人量数据 访问时，不会大幅度降低网络性能1 4 j 。s a n 能够解决与网络存储备份有关的问题，它可以提 供高达2 g b s 的高性能数据管道和集中管理的共享存储设备。 s a n 允许用户能够对备份作业进行集中式的管理，从而使管理变得受为简便，备份资 源的利用率也更高。如果集中备份无法实现，s a n 解决方案还能够集中管理分布式数据备 份。这种灵活性可对己有的系统实现更好的管理，并可在将来需要时对系统进行扩展。据 g a r t n e rg r o u p 统计，2 0 0 0 年s a n 在全球整个存储市场中占1 6 ，而2 0 0 5 年将达到5 2 。 显然，s a n 将会成为主流的存储技术。 通常s a n 使用f c ( f i b r ec h a n n e l ) 协议组建，然而f cs a n 的成本昂贵，这在很大程度 上限制了s a n 技术的发展。i p 存储技术的出现，提供了一种廉价方便的数据存储解决方案， 随之而生的i ps a n 可以充分利用i p 网络的廉价方便以及其他成熟的基于t c p f i p 的网络技 术，从而大大扩展了s a n 的应用领域。 1 3 基于l p 的存储技术 i p 存储是指基于i p 协议进行块级数据访问的一系列技术，基于伊协议和可逆行块 浙江大学硕士学位论文 级数据访问是该技术的主要特征。i p 存储技术可以通过i p 网络将存储设备和其他设备h 联，通过利用i p 网络中成熟的安全协议( 如1 p s e c ) ，可以安全地将原本局限于局域网范崮 的s a n 扩展到“域网。 目前，i n t e m e t 工程任务组( i n t e m e t e n g i n e e r i n g t a s k f o r c e ，i e t f ) 已经制订了若十i p 存 储标准草稿，并正在进一步地完善这些存储标准。i e t f 定义了三种在t c p i p 协议上传输 s c s i 存储命令的标准协议，分别是i s c s i ( s c s io v e rt c p i p ) 、f c i p ( f c o v e r i p ) 和 i f c p ( i n t e r n e tf i b r ec h a n n e l ) ”。 1 3 1f c i p 早期s a n 普遍采用光纤通道技术，但因存在高成本、距离限制等突出问题，目前人们 止在研究基于i p 协议的光纤通道技术( f c i p 或f c i p ) 。 f c i p 的机制允许光纤通道在i p 网络上的s a n 设备之间，进行更简单的数据传输，这 种能力促使在个地理位置较为分散的企业中数据分享变得简单。f c i p 还可用来克服光纤 通道目前存在的距离限制因素，能够跨越大于光纤通道支持的距离连接s a n 孤岛，因此破 提议为通过现有的i p 网络连接光纤通道s a n “孤岛”的一种标准方法。由于光纤通道己经 包含了s c s i 协议，这种方法无需重大技术改造，就能满足s c s i 协议的要求。在传输的发 送端，所有的光纤通道帧被转换即“包装”成t c p i p 数据报。在接收端，数据报“包装器” 被丢弃，光纤通道帧则以原先的格式展示给接收端的s a n 。t c p i p 纯粹充当了隧道( t u n n e l ) 的作用，而f c l p 数据报本身与其他任何数据报一样可以路由或交换”】。 f c i p 协议是通过i p 网络进行数据传输的一种方式，这个协议提升了存储数据的传输能 力和性能，被认为是有助于快速地开发s a n 市场的关键技术之一。 1 3 2i f c p i f c p 是一种网关至网关的协议，被称为因特网光纤通道协议的混合技术，是f c i p 协议 的变体。它通过t c p i p 链路连接光纤通道设备，使用i s c s i 协议传输光纤通道数据。现有 的光纤通道阵列和主机总线适配器可以利用“轻便”网关连接至i p 网络，从而使标准t c p i p 交换和路由基础设施部件取代了同等的光纤通道部件口“。 f c i p 和i f c p 可以连接地理位置分散的s a n ，扩展了传统采用光纤通道技术实现s a n 存储的应用领域，然而这两种协议只能用于光纤通道技术的连接，只是将光纤通道技术拓展 到1 p 网络上实现。相比较而言，i s c s i 技术是真正意义上的i p 存储，它可以在现有以太网 上运行，完全摒弃了光纤通道技术，利用现有的i p 网络设施，实现廉价方便的l p 存储p t 。 1 3 3i s c s i s c s i ( s c s io v e rt c p i p ) 是一种在i n t e r n e t 协议网络上，特别是以太刚上进行数据块传 浙江大学硕士学位论文 输的标准协议hj 。它是针对s c s i 协议而提出的传输层协议，运行在t c p 之l ，在i p 网络 中提供主机到存储的机制，实现端到端传输s c s i 命令和数据的功能。i s c s i 协议是j _ f ；| 于新 一代存储终结。箝点间通讯的协议，它使用纯粹的t c p i p 协议实现，而不需要使用f c 协议_ 1 。 s c s i 协议由c i s c o 和i b m 等公司发起，得到了i p 存储技术拥护者的大力支持。与光 纤通道和i b a ( i n f i n i b a n d ) 技术相比，i s c s i 比光纤通道和i b a 有更好的可扩展发现和登录机 制，i s c s i 的动态超时计算机制更适用于无法预测负载变化的广域网环境。此外，i s c s i 还 可以充分利用1 p 网络中成熟的身份验证和加密机制。 目前，i s c s i 技术的实现主要有三种力式p 1 ： 纯软件方式：采用通用以太网卡实现网络连接，主机c p u 通过运行软件完成i s c s i 和t c p i p 防议栈功能层。由于采用标准网卡，因此这种方式的硬件成本最低，但 主机的运行开销大大增加，造成主机系统性能下降，随着通信量的增大，可能会消 耗掉所有的c p u 资源。 智能i s c s l 网卡实现方式：采用特定的智能网卡，i s c s 层的功能由主机来完成， 而t c p i p 协议栈功能由网卡来完成。和l 方式1 相比，部分降低了主机的运行开销。 i s c s h b a 卡实现方式：i s c s i 层和t c p i p 协议栈功能均由该主机总线适配器来 完成，对主机c p u 的需求最少。对于主机而言，相当于个标准的s c s lh b a ， 不需要其他软件功能的支持即可以在各种操作系统平台上应用。 i s c s i 具有低廉、开放、灵活等诸多优点，随着新技术标准的制定，必将成为网络存储 领域内的核心技术之一。但是，i s c s l 技术存在着一些先天不足。首先，i s c s i 封装的是s c s i 协议，与其他的存储协议如光纤通道协议不兼容，因此与目前流行的光纤通道s a n 的融台 问题还没有解决。其次，从广域网来说，速度仍不理想。如果i s c s l 能够解决在i p 网络上 占用过多带宽的限制，并有效实施差错控制，则i p 存储将成为存储领域最具希望的发展方 向。再次，由于i s c s i 将安全性要求较高的存储数据直接传输在i p 网络上，i p 网络自身所 存在的安全隐患势必会对存储数据造成影响。因此，本论文主要研究如何基于i s c s i 协议实 现安全可靠的i ps a n 存储，并通过实验探讨了一些提高i s c s i 传输性能的方法。 1 4 本文研究内容 】p 存储技术的出现，使得低成本、高性能的i ps a n 成为可能。然而，i ps a n 发展晌 时间较短，大多数产品还处于实验阶段，在许多关键的技术上还有待研究解决，本文深入研 究】ps a n 的关键技术，并根据具体的实现给出相应的解决方案。 完整的1 ps a n 解决方案虑该包括硬件和软件两部分。本文针对软件部分进行研究，主 要包括存储管理软件，用来实现对i ps a n 的用户权限、磁盘备份等系统全面的管理；网络 传输协议，用来实现数据和控制命令的传输：存储虚拟化，保证服务器能够按需得到所需的 存储空间；安全技术，当数据在网络上传输时解决认证、数据完整性、数据保密性等问题。 在上述解决方案中，所涉及的关键技术包括： ，6 浙江大学硕卜学位论文 i s c s i 协议 存储节点、协议传输以及文件系统的效率共同决定了i ps a n 的效率，其中，i s c s i 协 议传输效率在很大程度上起了决定作用。i s c s l 协议的传输效率可以从软件和硬件两种方式 得以提高，本文在第二章提出一种零拷贝的软件方法，可以有效地提高i s c s i 协议的效率。 数据备份和恢复机制 不管i ps a n 提供如何安全u j 靠的存储，但硬件设备本身的特性使得存储数据不可避免 地面临数据出错的情形，因此，如何及时有效地对数据进行恢复，提供合理的数据备份机制 是i ps a n 必须解决的问题，本文从数据传输出错恢复和数据备份恢复两个层次探讨了i p s a n 的数据备份和恢复机制，提出一种新的各份模型，f 结合具体的实现探讨了如俐实现 备份系统性能优化的问题。 安全机制 止如前面所述，由丁i ps a n 建立在宽带i p 技术基础之上，i p 网络闻有的安全急患同 样存在于i ps a n 中。在i p 宽带网络中，主要的安全威胁来自对传统以太网技术的采用，而 i ps a n 在人多数情况下均使用传统以太网这就需要研究如何确保i ps a n 数据的耍全问 题。奉文提出了一种i ps a n 的认证模型，并通过具体的实现探讨了s r p 和c h a p 两种认证 机制的不同，分析了采用i p s e c 协议实现报文传输的保护机制。 本文将针对以上i p s a n 中的关键技术，进行深入研究，提出相应的解决方法，并根据 具体的实现分析不同解决方法之间的性能差距。 1 5 本文章节安排 第一章，首先介绍数据存储的三种模式：d a s 、n a s 和s a n ，通过对它们的比较，说 明i ps a n 所带来的技术革新。并进一步讨论了i s c s l 技术的出现对存储系统发展的影u m 简要说明i ps a n 目前所存在的技术难点，本文将针对这些问题进行研究。 第二章，对i s c s l 技术进行深入研究，重点研究了i s c s i 协议对数据安全和备份恢复 的实现，并提出了一种提高i s c s l 协议传输效率的解决方案。 第三章，介绍了i p s a n 的数据备份方式，提出了一种新的备份模型，通过使用软件r a d 方法实现对s c s i 磁盅的冗余和备份，并结合具体的实现分析了i ps a n 的三个数据恢复级 别，探时了i ps a n 备份恢复系统的性能优化技术。 第四章，对i ps a n 的安全认证机制进行研究，给出ri ps a n 的认证模型，重点比较 了$ r p 和c h a p 认证机制的不同，并分析了利用i p s e c 协议提供报文的传输安全。 第五章总结所作的工作，并提出下一步的研究重点。 浙江大学硕士学位论文 2 1 序言 第二章i s c s i 通信技术 2 0 0 3 年2 月1 1 日，i e 1 f 通过了i s c s i 协议标准，并发布了其r f c 草案，该草案t - 2 0 0 4 年止式通过成为标准。i s c s i 协议标准对i s c s i 的概念、丁作机制、数据格式、安全性考虑、 实现要点等进行了详细的说明p j 。i s c s i 技术是构建i ps a n 的基础，可以实现在i p 网络上 运行s c s l 协议，使其能够在诸如高速千兆以太网上进行路由选择。正是由于i s c s 技术的 出现才使得s a n 的架构由f cs a n 向i p s a n 转变，可以说在i p s a n 中i s c s i 的效率很人 程度上决定了s a n 的效率。 本章首先分析了i s c s i 的协议结构，详细描述了i s c s i 协议的通信方式，并进步探讨 了i s c s i 的安全机制和错误处理恢复机制，结合i s c s i 的特性给出了提高i s c s l 效率的万法。 2 2i s c s l 协议结构 i s c s i 的基本思想是在t c p i p 网络上运行s c s i 协议，从而达到通过网络进行i o 揲作 的目的。s c s i ( s m a l l c o m p u t e r s y s t e m i n t e r f a c e ，s c s l ) 是一种用丁主机和外设之间进行 l ，o 通信的协议，它是目前r 泛采用的访问i o 设备的通信协议。图2 - 1 ( a ) 描述了传统s c s i 系统的连接模式，( b ) 描述了采用i s c s i 协议的系统连接模式。 s c s i 驱动 ( u b a ) 线 s c s l ；, i i 动 ( a )( b ) 图2 - 1s c s i 和i s c s i 连接比较 f i 9 2 w 1t h ed i f f e r e n c eo fs c s ia n di s c s ic o n n e c t i o nm o d e l 传统的s c s i 系统连接方式如图2 - 1 ( a ) 所示，各设备通过特定的s c s i 接口连接到s c s i 浙江：大学硕士学位论文 总线t 。应用程序对文件的读操作被文件系统传递给s c s i 子系统，s c s i 子系统将其解释为 s c s i 命令，并通过s c s i 总线适配器( h o s t b u s a d a p t e r ，h b a ) 访问与s c s i 总线相连接的 s c s f 设备：s c s i 设备将相应的数据和响应通过s c s i 总线返回给s c s ih b a ，然后由s c s i 子系统通知文件系统，应用程序最后获得相应数据。然而，由于s c s i 是点对点、直接连接 计算机到存储设备的设备接i _ j ，因此无法满足主机到存储的多对多通信；而且s c s i 总线的 最大距离为2 5 米，这使得存储设备必须和服务器处于相邻的地理位置。 i s c s l 的连接方式如图2 1 ( b ) 所示，i s c s i 启动端获得s c s i 子系统的s c s i 命令后，将 其封装为i s c s i | ! 力_ 议数据单元( p r o t o c o ld a t au n i t ，p d u ) ，再打上t c p i p 报头，通过以太 网路由给i s c s i 目的端，i s c s l 目的端解析出s c s i 命令，并通过h b a 访问s c s i 设备；然 后，i s c s i 目的端从s c s i 设备获得相应的数据和响应，并将其封装为i s c s ip d u ，再通过 t c p 连接返同给i s c s i 启动端；最后，由i s c s l 启动端解析出相应的数据和响应，并通知 s c s i 子系统h j 。该过程对于i s c s i 客户机和服务器都是透明的，客户机相当于访问自己本地 的存储设备，可以以数据块的级别而非文件的级别，无缝地访蒯远程的s c s i 设备。因此， 通过i s c s i 协议可以有效地扩展s c s i 总线的长度，解决主机到存储的多对多通信问题。 2 3i s c s l 协议栈 2 3 1i s c s i 协议栈分析 i s c s i 将s c s i 命令映射到i s c s ip d u 中，并通过t c p h p 传输该p d u 。t c p 防议是一 种可靠的、面向连接的、有序的端对端协议，它可以一c 作在多种物理介质和互联网络r 巾，不 依赖于其f 层网络的实现，因此它是可信赖的、易于扩展的协议。所以，i s c s l 协议的制订 者虽终选择了t c p 作为其传输层协议，并充分利用了t c p 协议自身的特性，从而简化了 i s c s i 协议的实现”t ”j 。 i s c s i 启动端和目的端之间可以通过一个或多个t c p 连接进行通信，在t c p 连接上可 以传输i s c s ip d u s 中的控制信息、s c s i 命令、参数和数据等，i s c s i 协议栈如图2 - 2 所示。 j a t o r i h s c s i l 0 1 , 一, 3 1r 目 i 莩日日 图2 - 2i s c s i 的网络协议栈 浙江大学硕一k 学位论文 f i 9 2 2i s c s in e t w o r k p r o t o c o ls t a c k 其中s c s i 层生成或接收s c s i 命令描述块( c o u n a r i d d e s c r i p t o rb l o c k ，c d b j ，并向 i s c s i 层转发或从i s c s i 层接收s c s ic d b s 。i s c s i 层生成或接收i s c s lp d u s ，并向其f 的 t c p 1 p 层转发或从t c p i p 层接收i s c s l p d u s ，通过以太网络实现主机对i s c s i 设备的访问。 2 3 2i s c s i 在s c s i 中所处位置 通过图2 2 i s c s i 网络协议栈可以清楚地看出，i s c s i 层处于s c s i 层和t c p i p 层中间， 实现s c s i 层和t c p i p 层之间数据传输的转换。 从网络协议的角度来看，i s c s i 协议与s c s i 启动端、目的端共同构成网络模型中的府 用层。而从s c s 的角度来霜，i s c s i 协议、t c w i p 协议以及网络硬件共同构成s c s i 的服 务分发子系统。i s c s i 与s c s i 的关系如剧2 3 所示。 s c s ii n i t i a t o r i s c s il n i f i a t o r t c p 【 i p s c s i 服务分 发子系统 图2 。3 i s c s i 与s c s i 关系 f i 9 2 3r e l a t i o n s h i po fi s c s i a n ds c s i 由上图显而易见，i s c s i 的主要功能是在t c p i p 上传输s c s l 命令和数据。与传统均 s c s i 总线相比，t c p t p 网络自身具有许多特性，如传输对延的不确定性，巨大的地址空间 以及随之而来的寻址问题，网络安全性问题，现有i n t e m e t 网络技术( n a t ，防火墙) 等技 术对i s c s l 协议的影响等。因此，i s c s i 协议的目的就在于充分利_ ! j 网络技术的优点，同州 尽量克服网络技术所带来的缺点“ 。 2 4i s c s l 基本通信方式 i s c s i 协议将通信从局域网推广到广域网，如前所述，基于传输可靠性、安全性以及简 化协议等方面的考虑，i s c s l 使用t c p 协议而不是u d p 协议作为其传输层协议。对丁i s c s i 协议栈中的每一个t c p 连接，i s c s i 协议赋予其一些必要的属性，这些属性与t c p 连接本 身无关。通常，将t c p 连接和i s c s i 协议赋予该t c p 连接的属性称为i s c s i 连接“。 f c p 连接、i s c s i 连接、i s c s i 会话以及启动端目的端之间的关系如图2 - 4 所示。 浙江大学硕士学位论文 1 l r e k h i s c s i 连接 i s c s i 连接 一 目 n t c p 连接 n 蟹i s c s i 连接 i s c s i 连接 5 盆 的 会 端 会 t c p 连接话 话 i s c s i 连接i s c s i 连接 图2 - 4t c p 连接、i s c s i 连接、i s c s i 会话以及启动端目的端之间的关系 f i 9 2 4r e l a t i o n s h i po f t c pc o n n e c t i o n ，i s c s ic o n n e c t i o n ，i s c s is e s s i o n i n i t i a t o ra n dt a r g e t i s c s i 协议中启动端汞旧的端之间