（计算机应用技术专业论文）网络存储中加密技术的研究.pdf

摘要 随着数字信息的爆炸式增长和个人与组织对这些信息的依赖性不断增加， 存储系统正逐渐成为整个信息系统的中心，数据成为最重要的资产，而存储系 统作为数据的储藏地，是数据保护的最后一道防线：另外存储系统由本地直连 向着网络化和分布式的方向发展，并被网络上的众多计算机共享，从而使存储 系统变得更易受到攻击，相对静态的存储系统往往成为攻击者的首选目标，达 到窃取、篡改或破坏数据的目的，因此数据保护的重要性增大。 本文首先针对数据的大幅度增长带来的存储问题，研究了现在市场上流行 的几种网络存储模式：网络附加存储、存储区域网络和口存储，以及这几种模 式的基础：直接连接存储。分析各自的优缺点及适用环境。 在分析网络存储安全隐患的基础上，对目前流行的网络存储技术，网络附 加存储、存储区域网络和口存储的安全威协做了大量研究，根据不同的安全问 题提出相应的安全防护措施。 通过对网络存储模式安全性研究，我们可以看出加密是确保存储数据安全 的最后一道关卡。在最后章节中讨论了密码学的基础知识，分析和研究了几种 常用的密码算法以及各类加密算法的特点。在此基础上为加密存储数据选择了 合适的加密算法a e s 加密算法。它是分组加密算法，算法的分组长度为 1 2 8 b i t ，密钥长度分别为1 2 8 b i t 、1 9 2 b i t 、2 5 6 b i t 。由于分组长度和密钥长度都比 现有的分组加密算法的长。使得a e s 算法的安全性大大提高。本文分析了a e s 的加密、解密和密钥扩展的过程。研究了a e s 加密算法的原理、加解密的流程 以及在3 2 位平台上的实现，并对a e s 加密算法做了大量的研究工作。在对a e s 加密算法做大量研究的基础上，对s 盒、轮函数做了改进，将两种改进相结合， 并在改进的基础上做了实验，得出实验结果。改进后的算法在安全性和执行效 率上都得到很好的改善。 关键字：直接连接存储，网络附加存储，存储区域网络，p 存储，数据加 密，a e s l l a b s 仃a c t w i t ht h ee x p l o s i v eg r o w t ho ft h ed i g i t a li n f o r m a t i o na n dt h ei n d i v i d u a la n dt h e o r g a n i z a t i o no ft h e s ee v e r - i n c r e a s i n gd e p e n d e n c eo ni n f o r m a t i o n , s t o r a g es y s t e m si s b e c o m i n gt h ec e n t e ro ft h ee n t i r ei n f o r m a t i o ns y s t e m ，d a t ah a sb e c o m et h em o s t i m p o r t a n ta s s e t s ，a n ds t o r a g es y s t e m sa sad a t as t o r a g ea n da r et h ep r o t e c t i o no ft h e l a s tl i n eo fd e f e n s eo ft h ed a t a ；m o r e o v e r , t h em e m o r ys y s t e mf r o mal o c a ld i r e c t c o n n e c tt ot h en e t w o r ka n dt h ed i s t r i b u t i o n a ld i r e c t i o n ，a n db yn e t w o r ki n m u l t i t u d i n o u sc o m p u t e rs h a r i n g ，t h u sc a u s e st h em e m o r ys y s t e mt ob e c o m et h e c h a n g et oc o m eu n d e rt h ea t t a c k , t h er e l a t i v es t a t i cm e m o r ys y s t e mo f t e nb e c o m e s a g g r e s s o r sf i r s tc h o i c eg o a l ，a c h i e v e dt h e s eg o a lo fs t e a l s ，t h ei n t e r p o l a t i o no rt h e d e s t r u c t i o nd a t a , t h e r e f o r et h ed a t ap r o t e c t i o ni m p o r t a n c ei n e r e a s e s i nt h i sp a p e r ，f o rt h ed a t ao fl a r g eg r o w t hb r i n g ss t o r a g ei s s u e s ，s t u d i e dt h e m a r k e ti sn o wm o r ep o p u l a rs e v e r a lm o d e so fn e t w o r ks t o r a g e ：n e t w o r ka t t a c h e d s t o r a g e ，s t o r a g ea r e a n e t w o r k sa n di ps t o r a g e ，a sw e l la st h eb a s i so f t h e s et y p e so f m o d e l s ：d i r e c ta t t a c h e ds t o r a g e a n a l y s i so ft h ea d v a n t a g e sa n dd i s a d v a n t a g e so f e a c hm o d e ，a n dt h ea p p l i c a t i o ne n v i r o m e n to ft h e k o nt h eb a s i so fa n a l y z i n gt h en e t w o r ks t o r a g et e c h n o l o g y ，h a v eag r e a td e a lo f r e s e a r c ho nt h es e c u r i t yt h r e a t e n e da b o u tc u r r e n tp r e v a l e n c eo fn e t w o r ks t o r a g e t e c h n o l o g y ，n e t w o r k a t t a c h e d s t o r a g e ，s t o r a g e a r e an e t w o r k sa n di p s t o r a g e s e c u r i t y a c c o r d i n gt od i f f e r e n ts a f e t yi s s u e st h ec o r r e s p o n d i n gs e c u r i t y m e a s u r e s b yt h er e s e a r c ho ft h es e c u r i t yi s s u ea b o u tn e t w o r ks t o r a g em o d e l ，w ec a ns e e t h a te n c r y p f i o ni st oe n g r r et h a tt h es t o r a g ed a t a s e c u r i t y o ft h el a s tl i n eo f c h e c k p o i n t s i nt h ef i n a lc h a p t e r , a n a l y s i sa n ds t u d yo fs e v e r a lc o m m o n l yu s e dt y p e s o fc r y p t o g r a p h i ca l g o r i t h m ，a sw e l la s t h ec h a r a c t e r i s t i c so ft h e s ee n e r y p t i o n a l g o r i t h m o n t h eb a s i so ft h o s e ，w ec h o s es u i t a b l e a l g o r i t h m - e n c r y p t i o n f o r e n c r y p t i o nt h es t o r e dd a t a _ 一a e s i ti sab l o c kc i p h e ra l g o r i t h mf o rp a c k e tl e n g t ho f 1 2 8 b i t ，k e yl e n g t ho f1 2 8 b i t ，1 9 2 b i t ，2 5 6 b i t a st h ep a c k e tl e n g t ha n dk e yl e n g t ht h a n t h ee x i s t i n gl e n g t ho fb l o c kc i p h e ra l g o r i t h m a e sa l g o r i t h mh a v eag r e a t l ye n h a n c e j l 1 0 n 1 粥e c u r i t y t h i s p a p e ra n a y z e st 1 1 ep r o c e s s 。fa e s e i l 唧t i 。1 1 ，d e 州i 。力a 1 1 d k e y 。e x p 柚s i o n s t u d i e d 也ee n c r y p t i o n d e c r y p t i o np r i n c i p l e s 。ft h ea e s ，甚w e l la s ? 当芝? n ? m e 3 2 b np l a t f o r m w eh a v e d 。n ea 伊e a td e a l0 fr e s e a r c hw 。r ka b 。u t ，k we1 m p r o v em es b o x ，r e d u c et h er o u n d f u n c t i o 玛c o m b i n e dt h eb o t l lo f ? ：v em e a ? s 0 n 也e b a s i so ft 1 1 ei m p r o v e m e a i l s ，w eh a v ea ne x p 鲥m e n t a t i 6 n ，a n d 三二t h ee x ? 耐m e n 。“0 n w ec a l ls e et 1 1 a t l h ee n c r y p t i 。na l g o r i t h m ，s s e c 嘶t y a n d 兰o r d s ：d i r e c t a t t a c h e ds t o r a g e , n e t w o r ka 位a c h e d s t o r a g e ，s t o r a g ea reaip n 咖o f k s ，s t o r a g e ，d a t ae n c r y p t o n ，a e s ； 。 。 一 1 1 1 独创性声明 本人声明，所呈交的论文是我个人在导师指导下进行的研究工作及取得的 研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得武汉理工大学或其它教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均己在论文中作了明确的说明并表示了谢意。 研究生( 签名) ： 象主包晷日期玺丑：7 关于论文使用授权的说明 本人完全了解武汉理工大学有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅 和借阅。本人授权武汉理工大学可以将本学位论文的全部内容编入有关数据库 进行检索，可以采用影印、缩印或其他复制手段保存或汇编本学位论文。同时 授权经武汉理工大学认可的国家有关机构或论文数据库使用或收录本学位论 文，并向社会公众提供信息服务。 ( 保密的论文在解密后应遵守此规定) 研究生。签孙玉e 拖器导叭签孙监日期纽2 厶7 武汉理工大学硕+ 学位论文 第1 章绪论 本章介绍了论文的研究背景和意义，阐述了存储技术的发展现状与网络存 储安全的现状，并说明了论文的组织结构。 1 1 背景介绍 随着数字图书馆、电子商务、多媒体传输等应用的不断发展，数据从g b 、 t b 到p b 量级海量急速增长。关于数据增长速度，图灵奖获得者j i mg r a y 提出 了一个经验定理：网络环境下每1 8 个月产生的数据量等于有史以来的数据量之 和【l 】。信息资源的爆炸性增长，对存储系统在存储容量、数据可用性以及i o 性 能等方面提出了越来越高的要求。存储产品已不再是附属于服务器的辅助设备， 而成为互联网中最主要的花费所在。信息技术正从以计算机设备为核心的计算 机时代进入到以存储设备为核心的存储时代，网络化存储将成为未来存储市场 的热点。 传统封闭、独占的存储系统已不能适应海量数据存储的需要，以n a s 和s a n 为代表的网络存储系统被应用到越来越多的信息系统中。网络存储能提供集中 和共享的海量存储服务，用户不需要专有存储设备就能获得海量的高速存储服 务，满足用户共享数据资源的需求，避免了数据资源和存储资源的简单重复与 浪费，但网络存储系统中存在大量严重的安全隐患。在n a s 系统中，用户欺骗 n f s 服务器非法访问和篡改数据，通过攻击n f s 服务器可使得合法用户的访问 请求无法被响应；在s a n 系统中主机直接访问磁盘，系统无任何安全策略，安 全性极差。网络存储是信息系统的存储中心，作为系统的信息中心其安全性对 整个信息系统的安全性致关重要。 海量数据的存储、共享和管理需求，使得网络存储已经成为当今数据存储 的趋势和主流。目前，已有大量的网络存储系统应用于政府、科研、军事和商 业等领域。数据的重要性决定了存储安全的重要性。在采用大量先进的网络存 储技术、构筑网络存储系统的同时，安全是一个不容忽视的问题。而大部分网 络存储系统在设计、实施、运用时并未全面考虑安全问题。因此安全问题是目 武汉理工大学硕士学位论文 前存储网研究中急需解决的重要问题，具有很强的理论与现实意义。 通常用于减少存储危险的方法：身份认证、授权、审计和加密。 2 存储技术的发展现状 在计算机网络技术、计算机软硬件技术及计算机应用技术迅速发展的过程 中，i t 技术经历了三个主要发展阶段：第一个阶段是以处理器为核心的阶段，它 促进了计算机的普及和应用；第二个阶段是以传输技术为核心的阶段，它带动 了计算机网络的使用和普及，使得数字化信息的应用席卷全球，并因此导致了 数字化信息的爆炸性增长：第三个阶段是以存储为核心的阶段，它主要研究存 储系统的可靠性、可用性、可扩展性，以及存储数据的容灾与恢复、共享和安 全等i l 】。数据存储技术最早起源于2 0 世纪7 0 年代，从连接主机的硬盘、磁带直接 备份到当今智能化、网络化存储，历经了d a s ( d i r e c ta t t a c h e ds t o r a g e ：直接附 加存储) i z j ，n a s ( n e t w o r ka t t a c h e ds t o r a g e ：网络附加存储) 【3 ，4 1 、s a n ( s t o r a g ea r e a n e t w o r k ：存储区域n 络) t s , 6 1 n ：p 存储的发展过程。 自从1 9 5 1 年莫克利和埃克特设计的第一台通用自动计算机u n i v a c i 采用 磁带机作为外存储器，到1 9 5 6 年第一台硬盘存储器在m m 诞生，再到如今，我们 的计算机所使用的存储环境都是d a s ( d i r e c ta t t a c h e ds t o r a g e 直接连接存储) 的形 式。这种情形一直延续到上个世纪9 0 年代。 d a s 是将外部数据存储设备直接挂接在内部总线上，数据存储构成整个服 务器结构的一部分。早期的计算机和服务器数据的存储往往依赖于操作系统， 同时计算机或服务器的处理及吞吐能力很有限，对数据存储的需求也不是十分 巨大，在这种情况下，计算机和服务器仅仅采用外接较低容量的存储设备，是 满足当时人们对数据存储的需求的一种比较合理的解决方案。但随着计算机处 理技术，特别是网络技术的不断发展，数据也成几何形式的增长，传统的d a s 存储系统尽管使用方便，但这种模式是直接将存储设备连接到服务器上的。一 方面，当存储容量增加时，这种方式很难扩展：另一方面，当服务器出现异常 时，会使数据不可获得，容错性差：再者，存在着存储数据无法被其他服务器 共享，扩充容量则需要关闭整个系统，远程管理不方便等诸多缺陷。使得d a s 已经不能满足数据存储和管理的要求，在存储领域的龙头地位开始动摇。于是 存储界掀起了一场网络存储的革命，新的存储技术网络存储就被提了出来。 2 武汉理工火学硕士学位论文 n a s 是基于l a n 的，按照t c p d 协议进行通信，面向消息传递，以文件的i o 方式进行数据传输。由于数据的传输可以在原有的局域网上进行，所以n a s 的 建设十分简单，对数据的管理也十分方便。同时n a s 已经完全可以实现异构平 台之间的数据级共享。但是由于使用了与平时网络通信相同的网络，所以在网 络带宽条件有限的情况下，它占用了宝贵的网络带宽资源，影响了网络的利用 率，同时也使得n a s 无法发挥其应有的性能。 s a n 是在原来的局域网以外，另外建一个专门用于存储的网络结构，该存 储网络可以看成是一个专门用于存储的网络结构，它也可以看成是一个高速的 子网，这个子网中的设备可以从主网卸载流量。通常s a n 由r a i d 阵列连接光 纤通道组成。s a n 和服务器、客户机的数据通信通过s c s i 命令而非t c p i p ，数 据处理是“块级”。s a n 的结构是以数据存储为中心，采用灵活的网络拓扑结构， 通过具有高传输速率的光纤通道的连接，以传统的s c s i 协议传输数据的一种体 系。s a n 在很大程度上满足了存储系统在可用性和伸缩性方面的需求，但传统 的s a n 受限于现有的光纤传输方式，价格昂贵，而且缺少远距离的支持。在这 种情况下，基于普通球协议和以太网的s a n 应运而生，这就是p 存储。 在网络存储领域，除了上面阐述的研究工作外，国内外研究机构还进行了 大量的工作，目前比较有影响的存储系统有： o e e a ns t o r e 是加州大学伯克利分校的j o h nk u b i a t o w i c z 等人提出的全局存 储体系结构，其特点是实现数据的全局存储表示和全局惟一名字来实现任意存 储，因此结构复杂，实现困难，管理成本和复杂性高。 g f s ( g l o b a lf i l es y s t e m ) 是明尼达大学s t e v e nr s o l f i s 等人提出的一种应用于 光纤通道存储系统中的全局文件系统，它允许多个客户机通过网络共享存储设 备。 n a s d ( n e t w o r k a t t a c h e ds e c u r ed i s k ) 是卡内基梅隆大学的g a r t ha g i b s o n 提出的基于智能存储设备的集成安全存储系统，该系统在n a s 存储设备智能化 基础上进行扩充，实现基于文件的安全访问。 在国内，不少大型科研机构也在网络存储技术方面进行了相应的研究并取 得了一定的成果。 综上所述，虽然在网络存储方面做了大量工作，但上述研究均是针对不同 的应用来解决各自的问题，如何针对不同应用的存储服务质量需求，建立i 0 资 源分配与高度策略以及存储系统的自主管理机制等问题的研究还有待加强。 3 武汉理工大学硕士学位论文 1 3 网络存储安全的现状 按照数据信息在媒介上的存在方式，数据安全可以分为传输安全和存储安 剑”。传输安全是针对数据传输过程，包括信息错误发送、信息非法拦截、信息 泄露、信息干扰、信息缺失等。存储安全包括存储环境安全、存储介质安全、 存储管理安全、病毒处理等方面【8 】。从研究范畴而论，传输安全位于存储边界之 外，存储安全位于存储边界之内，保障数据的安全是两者的核心所在。对于存 储安全，有物理和逻辑上两种含义，物理安全保证存储设备的安全性，如防止 偷窃：逻辑安全保证存储设备上的数据是安全的，如不被解密、不被篡改等。 学术界的现状： 在学术界，对存储安全的研究主要由一些高校和企业的实验室提出原型方 案，比如卡耐基梅隆大学的n a s d 、p a s i s 、s 4 系统，斯坦福大学的s i r i u s 系统，麻省理工学院的s f s r o 系统，加州大学圣克鲁斯分校的s n a d 系统， 惠普实验室的p i l 爪7 s 系统等。 在国内，一些科研院校也在进行存储安全方面的研究，如：华中科技大学 外存储实验室对加密文件系统进行了研究，在n a s 系统上实现了一种堆叠式加 密文件系统。中科院软件所对存储通道的识别进行优化。另外，从数据保护的 角度看，数据备份、容灾、恢复等方案也可归入存储安全范畴，如：清华大学 t h m s n s 中的数据备份恢复系统；中科院计算所的自适应动态容灾系统等。 国际学术会议情况： i e e e 计算机协会、信息安全工作组( t f i a ) 主办的存储安全工作组会议( s l s w ) 已经举办过三届，其中第三届( s l s w 0 5 ) 于2 0 0 5 年1 2 月与第四届文件存储技术 会议( f a s t 0 5 ) 合办。2 0 0 5 年11 月a c m 举办了第一届存储安全性与可存活性工 作组会议。 这些会议的举办也说明了存储安全研究正受到学术界的重视。 产业界的现状： 鉴于存储安全的重要性，许多知名企业也推出相关产品：微软将在其下一 代操作系统中加入硬盘加密技术b i t l o c k e r ，目的是让用户能安全地弃置硬盘。 赛门铁克公司在2 0 0 4 年底合并了v e r i t a s 公司，赛门铁克和v e r i t a s 的合 并案充分印证了存储和安全的密不可分。在2 0 0 5 年，赛门铁克推出一种电子邮 4 武汉理工大学硕士学位论文 件方案，该方案能堵截病毒，减少垃圾邮件，并对邮件进行生命周期管理。 2 0 0 6 年的存储中国峰会上，e m c 公司阐述了信息安全的新思路：要针对不 同的存储平台作相应的保护。2 0 0 6 年2 月，e m c 完成了对a u t h e n t i c a 的收购， 并将推出相应的存储保护产品。 2 0 0 6 年5 月，甲骨文公司推出安全备份软件。针对o r a c l e 数据库和文件系 统，它对存入磁带的数据加密，以防备份磁带丢失或被盗时敏感数据遭滥用。 2 0 0 6 年5 月，b r o c a d e 通信系统公司推出新版的t a p e s t r ym y v i e w 软件，增 加了以法规遵从性检查为目的的文件访问授权报告工具，提高了安全管理人员 对文件访问的控制能力。 1 4 论文结构 本论文共分五章，主要内容如下： 第1 章：绪论。简述了海量数据存储在信息技术日新月异，数据的增长也越 来越快的今天的重要性。介绍了本课题产生的背景、存储技术发展现状以及网 络存储安全的现状。并列出了论文的内容结构。 第2 章：网络存储技术。介绍了网络存储的概念、网络存储技术，结合存储 技术的发展分别介绍了d a s 、n a s 、s a n 以及m 存储网络的优缺点以及各自的 适用范围。 第3 章：存储网络的安全。主要分析论述了几种网络存储技术的安全问题以 及针对不同的安全问题的应对策略。 第4 章：网络存储中加密技术的研究。在存储安全的基础上提出了加密技术， 介绍了a e s 加密算法，并对a e s 加密算法做了改进以及对改进后的算法的性能 分析。 第5 章：总结与展望。本章对全文的研究工作做了一个总结，并对还需要继 续研究的工作做展望。 武汉理工大学硕士学位论文 第2 章网络存储技术 网络存储就是指在特定的环境下可以提供从多台主机到多台设备方位的存 储实现一j 。主要通过网络存储设备，包括了专用数据交换设备、磁盘阵列或磁带 库等存储介质以及专用的存储软件，利用原有网络或构建一个存储专用网络为 用户提供统一的信息系统的信息存取和共享服务。 网络存储技术是在光盘存储技术、硬盘存储技术和网络通讯协议的基础上， 使用专门数据进行存储、访问和管理的软件集成开发出来的。而从技术实用角 度讲，d a s 、n a s 、s a n 三种存储方式最为流行。n a s 与s a n 都是在d a s 的 基础上发展起来的，也是新型的数据存储模式中的两个主要发展方向。尽管三 者的应用领域有重合，但技术特点各有千秋。d a s 简单易行，适合拥有少量计 算机和少量数据的中小单位网络系统。n a s 投资较低，存储扩充简单，数据共 享性好，适合普通的提供公共信息服务的应用系统。s a n 最为昂贵，但可扩充 性好，数据传输带宽最大，信息服务不会因为服务器的故障而停止，适合高性 能的数据中心和不能中断服务的计费中心等。 目前网络存储技术主要分为：n a s 、s a n 与i ps t o r a g e 三种。虽然这几种技 术都解决了传统的d a s 技术中的信息孤岛、信息管理困难和可扩展性差等缺点， 但它们也各有优缺点和使用领域。 2 1 直接连接存储d a s d a s 是最简单的一种存储结构，d a s 是一种以服务器为中心的存储结构， 磁盘驱动器与服务器直接连接，存储作为外围设备。在这种存储结构中，数据 管理以服务器为中心而且所有的应用软件都是和存储子系统配套。服务器通过 总线与存储设备相连，客户机与服务器之间通过d 网络相连。存储设备是通过 电缆直接连接至一台服务器上，i o 请求直接发送到存储设备。它依赖于服务器， 其本身也是硬件的堆叠，不带有任何操作系统。d a s 的数据存储是整个服务器 结构的一部分，存储设备中的信息必须通过系统服务器才能提供信息共享服务。 向d a s 设备中存取数据时，数据必须通过相应的服务器或客户端来完成。 6 武& 4 i 大学画学位论立 主要应用环境【”i ： 1 、服务器在地理分布上很分散，通过s a n ( 存储区域网络憾n a s ( n 络连接 存储) 在它们之间进行互连非常困难： 2 、存储系统必须被直接连接到应用服务器； 3 、包括许多数据库应用和应用服务器在内的应用，它们需要直接连接到存 储器上，群件应用和一些邮件服务也包括在内。 d a s 结构如图所示： 一、= s 图2 - 1 d a s 存储结构图 d a s 的优点：简单，便宜容易安装、部署和管理，存储设备的安全性也 容易得到保障。 d a s 的缺点： 移植性差。对存储设备的使用和管理依赖于服务器操作系统； 扩展困难。一台服务器上能够挂接的存储设备的数量是有限的： 共享困难。存储设备由一台服务器所私有，其他机器无法直接访问：服务器 容易成为瓶颈。对存储设备的所有访问都需要经过服务器转发； 可靠性差。如果服务器发生故障，那么所有的数据访问均会受到影响，甚至 会造成系统瘫痪； 资源利用率低。d a s 方式的存储长期来看存储空问无法充分利用，存在浪 费。不同的应用服务器面对的存储数据量是不一致的，同时业务发展的状况也 决定着存储数据量的变化。因此，出现了部分应用对应的存储空间不够用，另 一些却有大量的存储空问闲置。从而造成资源浪费： 可管理性差。d a n 方式数据依然是分散的不易于共享。不同的应用各有 一擎 鱼。姆， 诌l 逢群屯。 武理i 学硕士学位论文 一套存储设备，管理分散； 异构化严重。d a s 方式使得企业在不同阶段采购了不同型号不同厂商的存 储设备，设备之间异构化现象严重，导致维护成本居高不下。 22 网络连接存储n a s n a s 是将存储设备通过标准的网络拓扑结构，连接到一群计算机上，提供 数据和文件服务】。是一种将分布、独立的数据整合为大型、集中化管理的数 据中心，以便于对不同主机和应用服务器进行访问的技术。它拥有自己的文件 系统，通过n f s 或c 巧s 对外提供文件访问服务沱把数据看作是一种网络资源， 将其直接连接到网络上。它彻底的把数据从服务器中分离出来，减少了数据管 理上的许多问题。在n a s 存储结构中，存储系统不再通过f o 总线附属于某个 服务嚣或客户机，而直接通过网络接口与网络直接相连。由用户通过网络访问。 n a s 实际上是一个带有瘦服务器的存储设备，其作用类似于一个专用的文件服 务器。这种专用存储服务器去掉了通用服务器原有的不适用的大多数计算功能， 而仅仅提供文件系统功能。与传统以服务器为中心的存储系统相比，数据不再 通过服务器内存转发，直接在客户机和存储设备间传送，服务器仅起控制管理 的作用。其由核心处理器、文件服务管理工具，一个或多个硬盘驱动组成。 主要应用环境：n a s 适用于中小用户，主要应用于以文件应用为主的，升 级灵活性强和数据在线性高的部门。 n a n 结构如圈所示： 嚣却堕露= i 竺ll 竺1 一 世，妲，些姆， 图2 - 2 n a s 存储结构圈 。武汉理工大学硕士学位论文 n a s 的优点：n a s 设备可以实现数据集中管理；具有容错功能，整个网络 无单点故障；容易扩充，系统伸缩性很强；具有完整的跨平台的文件共享功能， 支持异构网络环境下的文件，支持多操作系统，专用的操作系统支持不同的文 件系统。n a s 作为一个单独的文件服务器存在于网络中，供网络用户使用，不 受影响；可以即插即用；n a s 通过t c p d 网络连接到应用服务器，因此可以基 于已有的企业网络方便连接。n a s 把消耗大量c p u 周期的数据f o 操作交由n a s 设备完成，服务器的性能得以提高；n a s 设备不依赖于某个特定的服务器，可 以通过多个服务器来提高数据的可靠性，备份时不影响服务器；n a s 设各可以 直接连到网络上，支持多种应用系统平台，易于扩展，维护成本较低。 n a s 的缺点： ( 1 ) n a s 与客户机通过企业网连接，因此数据备份或存储过程中会占用网络 带宽。这必然会影响企业内部网络上的其他网络应用；共用网络带宽限制 j n a s 的性能。因此n a s 数据传输速率不高，千兆以太网只能达n 3 0 5 0 m b s 。 ( 2 ) n a s 的可扩展性受到设备大小的限制。增加一台n a s 设备非常容易，但 是要想将两个n a s 设备的存储空间无缝合并并不容易，因为n a s 设备通常具有 独特的网络标识符，存储空间的扩大上有限。只能提供文件存储空间，不能完 全满足数据库应用的要求。 ( 3 ) n a s 访问需要经过文件系统格式转换，所以是以文件级来访问。不适合 b l o c k 级的应用，尤其是要求使用裸设备的数据库系统。 ( 4 ) 前期安装和设备成本较高。 2 3 存储区域网s a n s a n 是基于光纤通道技术，专门应用于存储系统的高性能网络。它提供了 对s a n 内部资源的无限连接能力，所有服务器能够访问的存储设备。s a n 是存 储设备与服务器经由高速网络设备连接而形成的存储专用网络，它类似于普通 局域网的高速存储网络，是一个独立的、专门用于数据存取的局域网。它通过 高速光纤网络和专用的集线器、交换机建立起服务器和磁盘阵列之间的直接连 接，数据完全通过s a n 网络在相关服务器和存储设备之间高速传输，对l a n 的带宽占用几乎为零。与传统的服务器与存储设备之间的那种主从关系不同， 在s a n 方式下，存储设备已经从服务器上分离出来，服务器与存储设备之间是 9 武& g i 学位论z 多对多的关系，存储设备不再是哪一台服务器的专属设各，而是网上所有服务 器的共享设备，任何服务嚣都可以访问s a n 上的存储设各，提高了数据的可用 性。其由服务器、后端存储系统、s a n 连接设备组成。 主要应用环境：对数据安全性、存储性能要求高，在系统级方面需有很强 的容量动态的可扩展性和灵活性本质上物理集中，逻辑上叉彼此独立的数据 管理，要求对分散数据高速集中备份。目前广泛应用于i s p 、金融和证券等行业。 s a n 结构如图所示： h 口”# * 嘲二 盔盏鲞匮簟_ “烯n 鏖萼皂警皂警苣誉 十* “ 2 n 图2 - 3s a n 存储结构图 s a n 的主要应用【l ： ( 1 ) 数据共享：由于存储设备的中心化，大量的文件服务器可以低成本的存 取和共享信息，而同时也不会使系统性能有明显的下降； ( 2 ) 存储共享：两个或者多个服务器可以共享一个存储单元这个存储单元 在物理上可以被分成多个部分，而每个部分又连接在特定的服务器上； ( 3 ) 数据备份：使用s a n ，数据备份操作可以独立于原来的网络，从而能够 提高操作的性能； ( 4 ) 灾难恢复：使用s a n ，可以采用多种手段实现数据的自动备份，而且这 种各份是热备份形式，也就是说，一旦数据出错，立即可以获得该数据的镜像。 s a n 的优点： ( 1 ) 设备整台，多台服务器可以通过存储网络同时访问后端存储系统，不必 为每台服务器单独购买存储设备，降低存储设备异构化程度，减轻维护工作量， 降低维护费用； 一 武汉理工大学硕士学位论文 ( 2 ) 数据集中，不同应用和服务器的数据实现了物理上的集中，空间调整和 数据复制等工作可以在一台设备上完成，大大提高了存储资源利用率，可实现 大容量存储设备数据共享； ( 3 ) 高扩展性，存储网络架构使得服务器可以方便的接入现有s a n 环境，较 好的适应应用变化的需求； ( 4 ) 总体拥有成本低，存储设备的整合和数据集中管理，大大降低了重复投 资率和长期管理维护成本。 与d a s 和n a s 存储相比，s a n 的优势还在于所有的数据处理都不是由服 务器完成的，服务器仅作为网络任务的调度，在s a n 模式中，所有的数据传输 在高速、高带宽的网络中进行。由于具备传输速率高、提供设备级存储空间、 扩展性好、容灾容错、高可靠性、快速有效的数据备份、大容量存储设备数据 共享等特点，s a n 目前正逐渐成为海量存储的主流模式。 s a n 的缺点： ( 1 ) 技术处于发展阶段，尚无统一的标准； ( 2 ) 实现要求复杂，维护技术难度大，普通用户难以胜任： ( 3 ) 价格高，s a n 一般采用光纤通道连接，因此必须有专门的光纤集线器、 光纤交换机以及有光纤接口的磁盘阵列，这些设备目前的价格是很高。因此s a n 和n a s 从总的成本上比较，平均每g b 的数据，s a n 是n a s 费用的4 7 倍。 2 4lp 存储网络 i ps a n 存储技术是在传统p 以太网上架构一个s a n 存储网络把服务器与 存储设备连接起来的存储技术。i ps a n 其实是在f cs a n 的基础上再进一步， 它是把s c s i 协议完全封装在d 协议之中。也就是说，i ps a n 就是把f cs a n 中用光纤通道解决的问题通过更为成熟的以太网实现了，从逻辑上讲，它是彻 底的s a n 架构，即为服务器提供块级服务。ps a n 的一个主要特征是存储虚拟 化，即将不同厂商、不同类型的存储设备整合成一个或多个存储池，然后在这 些存储池上创建逻辑卷，分配给应用服务器，可以动态地扩展存储池和逻辑卷 的容量。同时，应用服务器对存储结点的访问直接进行，无须通过s a n ，管理 服务器，从而避免了通过s a n 管理服务器成为系统瓶颈【1 3 】。 i ps a n 是s a n 的一部分，它关注于使用d 网络，而不是光纤通道，将服 武汉理工大学硕士学位论文 务器和存储设备连接起来。到目前为止，口存储网络已经有几个比较成熟的技 术和解决方案，包括i s c s i 1 4 】，i f c p 1 5 1 和f c i p 1 6 1 即i p 网络中的三大协议。 i s c s i ( 互联网小型计算机接口协议) 协议是一种在i n t e m e t 协议网络上，是以 太网上进行数据块传输的标准。该技术运行用户通过t c p i p 来构建存储网络。 其原理是将发送端的s c s i 命令封装并发送给目标端，目标端将其还原为s c s i 命令并执行，然后将返回信息封装后通过口层返回给发送端，对用户来说这些 步骤都是透明的，使用远程s c s i 设备和使用本地设备是一样的。而且封装和还 原p 包变得更为快捷。 i s c s i 是基于口协议的，它能容纳所有m 协议网络中的部件。通过i s c s i ， 用户可以穿越标准的以太网线缆，在任何需要的地方创建实际的s a n 网络，而 不需要专门的光纤通道网络在服务器和存储设备之间传送数据。i s c s i 可以实现 异地间的数据交换，使远程镜像和备份成为可能。 f c i p 是跨p 光纤协议，它所解决的是光纤网络传输距离有限的问题。同 i s c s i 协议一样，它可以将f c 协议封装进口包，在i n t e m e t 上传输，在距离很 远的两个光纤设备间建立通信通道，从而扩展f c 设备的使用范围。 i f c p 和f c i p 很像，在很多情况下，它们可以互相替换。然而，事实上它们 所解决问题的侧重点不同，f c i p 主要想解决f c 传输距离的问题，而i f c p 主要 想解决的是f c 交换架构的问题。i f c p 的工作原理是将f c 数据包用p 封装， 同时给该f c 设备一个独立的p 地址，这样，该设备就可以与p 网络中其他任 意设备节点通信，不需要像f c p 那样建立固定两点间的通道；此外，i f c p 具有 网关功能，f c 信号到了i f c p 层就自动终止，然后转换成p 包进行传输，像f c i p 一样，它也可以解决f c 传输距离的问题。f c i p 和i f c p 之间的另外一个区别在 于职封装的内容，虽然对于普通用户来说这个并不重要，但是对于管理员来说 这个不能不知道，f c i p 会封装f c 所有内容，而i f c p 只封装f c 4 的内容，因为 其具体链路是通过赋予f c 设备所得到的口地址来建立的。 p 存储网络的优点： ( 1 ) 利用无所不在的p 网络，在一定程度上保护了现有投资。 ( 2 ) 口存储超越了地理距离的限制。口能延伸到多远，存储就能延伸到多远， 这几乎是一个划时代的革命，十分适合于对现存关键数据的远程备份。 ( 3 ) 碑网络技术成熟。疋存储减少了配置、维护、管理的复杂度。 1 2 武汉理工大学硕士学位论文 i p s a n 结合了n a s 和s a n 的优点：存储网络建立在广泛应用的以太网上， 使用t c p p 协议，存储网络的交换设备与普通以太网的相同，具有n a s 易于访 问的特点；i ps a n 采用专用的存储网络架构，仍然保持有s a n 的传输速率高且 稳定的优点。同时它又弥补了n a s 和s a n 的不足：易于将现有存储系统与新 增存储系统汇聚和整合，便于异构服务器及存储的集中管理。另外，多层存储网 络能够把多个s a n 孤岛整合到统一的交换架构中，能利用现有的网络基础设施 真正实现远程访问和备份，而且以太网的可扩展性也更好，信息传输和存储使 用同一网络协议也是实现存储虚拟化的基础，还有效地降低了构建和维护存储 网络的费用。 d 存储网络的缺点： 首先就是传输效率问题：t c p i p 传输效率不高，又经过了i s c s i 协议的打 包拆包过程，传输效率与f c 相比还是有些不足的。但是有测试表明，在无网络 通讯干扰的情况下，i s c s i 的性能已经接近甚至达到了1 g b 光纤通道技术的性能 指数。随着1 0 g 网络的推广，i s c s i 必能解决这些问题； 其次是口存储产品目前用户的认知度还不够； 再次是口存储并不是在现有的d 网络上连接一个带网卡的存储设备那样简 单，同样需要一些专门的驱动和设备。 最后是安全问题。对用户来讲，存储设备存放的是用户最为关键的数据， 这些数据也往往是保密性的，一旦把这些数据放到d 网络上，安全问题将变得 异常突出。 2 5 小结 本章重点研究了网络存储技术，网络存储技术是为解决传统存储技术中存 在的问题而提出的。首先分析了传统存储技术d a s 的架构，并分析其存在的缺 陷。然后分别阐述了目前流行的网络存储技术n a s 、s a n 和口存储的架构。 在分析了p 存储技术中i s c s i 、i f c p 和f c i p 三种架构的同时，比较这几种 方案标准的异同。 武汉理工大学硕士学位论文 第3 章网络存储的安全 上一章讲述的网络存储技术，多是从性能、开放性、可靠性角度考虑的，对 安全性一般没有特别的关注。而网络存储带来高性能、高开放性的同时，也对安 全性提出了新的挑战。 存储安全是指保证数据在存储网络中的传输和存储的机密性、安全性和可 用性。这里：机密性就是对抗对手的被动攻击，保证信息不泄露给未经授权的 人，或者即便数据被截获，其所表达的信息也不被未授权者所理解。完整性就 是对抗对手主动攻击，防止信息被未经授权的篡改。可用性就是确保信息及信 息系统能够为授权使用者所正常使用【l7 1 。网络存储安全是指网络存储系统的硬 件、软件及其系统中的数据受到保护，不因偶然的或恶意的因素而遭到更改、 破坏，系统连续、可靠、正常地运行，网络存储服务不会中断。 3 1s a n 存储安全 s a n 的高安全、高性能