（通信与信息系统专业论文）aes加密算法在fcsan中的应用与实现.pdf

摘要 摘要 随着存储技术的发展，存储架构多采用存储区域网络( s a n ) 通过光纤通道 ( f c ) 来连接，整合整个系统存储资源，以提高其运用效率。由于含有许多交换 器或网关器的储存网络可允许用户从多个接入点来存取存储资源，因此存储资源 遭受攻击或非授权存取的机率也就大大的提高了，使得s a n 的安全问题不容忽视。 存储加密作为保护s a n 中存储数据安全的重要手段越来被关注。 存储加密指的是当数据从前端服务器输出时，或是在写入存储媒介之前通过 系统为数据进行加密，以确保存放在存储媒介上的数据只有经过授权并解密后才 能正确读取出来。本文在详细研究了a e s 加密算法的基础上，将其应用于光纤通 道存储区域网络( f c s a n ) 存储加密系统中，加强数据的安全性。 本论文就是以f c s a n 安全技术中的数据存储加密为研究背景，介绍了s a n 基本结构以及f c 协议，分析了a e s 加密算法的基本原理，算法结构。重点对a e s 算法的硬件设计做了详细描述。针对其在f c s a n 中的应用，采用了部分外部流 水线结构的计数器模式a e s 加密算法，详细描述了其硬件实现过程。 本论文设计的a e s 加密系统保护存储于磁盘阵列上的数据。该a e s 加密系统 位于存储设备之前的网络中，服务器通过光纤通道把数据发送出去，进入加密系 统后，解析出f c 协议中的各种数据帧，a e s 加密只针对数据帧。数据在写入存储 设备之前被加密，在读取出来之后解密。最后通过仿真和实际环境测试验证了该 加密系统的正确性和合理性。 关键词：s a n ，f c ，存储加密，a e s a b s t r a c t a b s t r a c t w i t ht h ed e v e l o p m e n to fn e t w o r ks t o r a g et e c h n o l o g y , s t o r a g ea r c h i t e c t u r ea d o p t s s t o r a g ea r p 勉n e t w o r kt h r o u g ht h ef i b e rc h a n n e l ( f c ) c o n n e c t i v i t y , a n di n t e g r a t e s s y s t e m - w i d es t o r a g er e s o u r c e st oi m p r o v eu t i l i z a t i o ne f f i c i e n c y h o w e v e r , b e c a u s eo f c o n t a i n i n gm a n ys w i t c h e so rg a t e w a y so ft h es t o r a g en e t w o r ka l l o w su s e r sf r o m m u l 畦p l ea c c e s sp o i n t st oa c c e s ss t o r a g er e s o u r c e s ，t h ec h a n c e so fb e i n ga t t a c k e da n d u n a u t h o r i z e da c c e s sw i l lb eg r e a t l yi m p r o v e d t h e r e f o r es a ns e c u r i t yp r o b l e mc a l ln o t b ei g n o r e d s t o r a g ee n e r y p t i o na sa ni m p o r t a n tm e a n st op r o t e c td a t as e c u r i t yw i l lb e g r o w i n gc o n c e r n s t o r a g ee n c r y p t i o nm e a n sw h e nt h ed a t ao u t p u tf r o mt h ef r o n ts e r v e r s ，o rb e f o r eo f b ew r i t t e ni n t ot h es t o r a g em e d i aa d o p t i o no ft h es y s t e mf o rd a t ae n c r y p t i o n , t h i s o n s u r e st h ed a t at h a tb es t o r e di nt h es t o r a g em e d i ao n l ya u t h o r i z e dt oc o r r e c t l yr e a d a f t e rd e c r y p t i o n b a s e do nt h er e s e a r c ho ft h ea d v a n c e de n c r y p t i o ns t a n d a r d , a e s a l g o r i t h mi sa p p l i e dt of i b e rc h a n n e ls t o r a g ea r e an e t w o r k ( f c s a n ) s y s t e mt oe n s u r e t h es a f e t yo fd a t a t h i sp a p e rp u t st h ed a t ae n c r y p t i o ni nf c s a ns e c u r i t yt e c h n o l o g ya st h er e s e a r c h b a c k g r o u n d ；i n t r o d u c e st h eb a s i cs t r u c t u r eo ft h es a na sw e l la st h ef cp r o t o c o l ， a n a l y s i st h ea e se n e r y p t i o na l g o r i t h mo ft h eb a s i cp r i n c i p l e s ，a l g o r i t h ms t r u c t u r ea n d i t s p e r f o r m a n c e t h i sp a p e ra l s od i s c u s s e st h eh a r d w a r ei m p l e m e n t a t i o no fa e s a l g o r i t h md e t a i l e d f o rt h ea e se n c r y p t i o na l g o r i t h ma p p l i e di nf c s a n ，u s i n gt h e p i p e l i n es t r u c t u r eo ft h ec o u n t e rm o d eo fa e se n c r y p t i o na l g o r i t h m ，a l s od e s c r i b e st h e h a r d w a r ei m p l e m e n t a t i o np r o c e s s t h ed e s i g no fa e s e n c r y p t i o ns y s t e md e d i c a t e st op r o t e c ts t a t i cd a t as t o r e di nd i s k o rt a p e t h ea e s e n c r y p t i o ns y s t e mi sl o c a t e db e f o r es t o r a g ed e v i c e si nn e t w o r k ，w h e n a e se n c r y p t i o ns y s t e mi n c e p t st h ef cd a t a , t h es y s t e mp a r s ed a t at y p e s ，t h i ss y s t e m o n l ye n c r y p t sd a t af l a m e s d a t ai se n c r y p t e db e 内r eb ew r i t t e ni n t ot h es t o r a g ed e v i c e a n dd e e r y p t e db e f o r eb er e a d t h r o u g hs i m u l a t i o na n da c t u a le n v i r o n m e n t a lt e s tc a n v e r i f yt h i sa e se n c r y p t i o ns y s t e m k e y w o r d s ：s a n ，f c ，s t o r a g ee n c r y p t i o n ，a e s i i 缩略语表 a e s a n s i c r c d a s e o f f p g a f c f c s a l n f c p h d l 匝e e 邗 l u n n a s r t l s a n s c s i s o f u l p 缩略语表 a d v a n c e de c r y p t i o ns t a n d a r d a m e r i c a nn a t i o n a ls t a n d a r di n s t i t i t e c y c l i cr e d u n d a n c yc h e c k d i r e c ta c c e s ss t o r a g ed e v i c e e n do f f r a m e f i e l dp r o g r a m m a b l eg a t e a r r a y f i b r ec h a n n e l f i b r ec h a n n e lf o rs t o r a g ea r e an e t w o r k f i b r ec h a n n e lp r o t o c o l h a r d w a r ed e s c r i p tl a n g u a g e i n s t i t u t eo fe l e c t r i c a la n de l e c t r o n i c s e n g i h e e l s ，n l ei n t e r n e te n g i n e e r i n gt a s kf o r c e l o g i c a lu n i tn u m b e r d i r e c ta t t a c h e ds t o r a g e r e g i s t e rt r a n s f e rl e v e l s t o r a g ea r e an e t w o r k s m a l lc o m p u t e rs y s t e mi n t e r f a c e s t a r to ff r a m e u p p e rl e v e lp r o t o c o l s v 高级加密标准 美国国家标准学会 循环冗余校验 直接附加存储 帧结束定界符 现场可编程门阵列 光纤通道 光纤通道存储区域网络 光纤通道协议 硬件描述语言 美国电气和电子工程师 协会 互联网工程任务组 逻辑单元号 网络附加存储 寄存器传输级 存储区域网络 小型计算机系统接口 帧起始定界符 高层协议 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：! 趋垂! 虱 日期：7 年歹月1 日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：型巡导师签名： 日期：湖9 年f 月e l 第一章绪论 1 1 引言 第一章绪论 很长一段时间以来，存储系统的安全是信息存储系统中很容易被忽略的一个 环节，由于以前的存储设备很多都是采用直接式存储( d a s ) 结构，直接与前端 的服务主机相连接，外界要存取操作存储设备的唯一通道是经由服务主机，因此 只要服务主机安全了，则存储设备也是安全的。然而随着存储技术的发展，存储 结构采用存储区域网络( s a n ) 或网络附加存储( n a s ) ，通过光纤通道( f c ) 或 m 网络的来连接，整合整个系统的存储资源，以提高存储资源的运用效率。但由 于含有许多交换器或网关器的存储网络可允许用户从很多不同的接入点来存取存 储资源，因此存储资源遭受攻击或非法存取的机率也就大大提高。在不同数据中 心的存储区域网络之间，只要通过主机端、网关端或存储设备端的复制软件，就 能复制存储设备上面的数据。然而由于数据离开存储设备后，所经过的网络所有 权一般都不是网络存储使用者所拥有，而是由网络存储使用者租用固网业者提供 的服务。即使这些网络是由网络存储使用者所自行设计的，但其管理单位也可能 与s a n 的管理单位不同，因此在数据传输的同时，也会面临在非法存储者从网络 上任一节点存取数据，导致数据外泄的风险。 保护存储数据有3 个层测i 】：第一层为网络防护，这部分包括防火墙、防毒软 件、入侵侦测软件等；第二层为身份认证，不同身份的人员拥有不同存取权限， 这也可搭配辨识系统来使用；第三层则是数据保护，也就是存储加密，对写入存 储设备系统的数据进行加密操作，这样就算数据泄露也无法被正确解读出来，从 而减轻数据外泄造成的损失，因此存储加密是保护数据安全的最后一道关卡也是 保护存储数据安全的重要有效手段。 存储加密方式主要可以分为软件加密和硬件加密。软件加密存在两个问题。 一是软件占用c p u 时间，而这种开销降低了处理的速度。另一个问题是采用软件 加密方式密钥管理和加密操作很复杂。基于硬件的加密设备，在安全数据的应用 能力上更快更高效，本文设计的加密系统就属于硬件实现方式。 根据不同的厂商与产品可以把存储加密技术的实现划分为下面五类【2 】： 1 、文件层加密 电子科技大学硕士学位论文 文件级加密可以在服务主机上实现，也可以在网络附加存储( n a s ) 这一层以嵌 入式方法实现。这种加密方法可能引起性能问题；如在进行数据备份操作时，会 带来局限性，尤其是对数据库进行备份时。特别的，文件级加密会导致密钥管理 难度增大，需要另外一层的密钥管理，根据文件级目录位置来识别有关的密钥， 并进行对应。 那么文件层加密是一种理想的方法对于有些企业关心的是无结构数据。如果 数据在文件层被加密，写入到存储介质的数据都是经过加密的。只有使用文件层 的加密解密机制才能对数据进行正确的操作。 2 、数据库层加密 当数据存储在数据库里面时，数据库级加密就能实现对数据字段进行加密操 作。数据库级加密具有经济上面的优势。但是加密和解密一般由软件而不是硬件 来执行，所以这个过程会导致整个系统的性能出现下降。 使用数据库层加密时根据数据库用户的不同，企业可以有效地控制其密钥， 因而能够控制解密该数据得所有者。企业可以通过这种方式只对其中的关键数据 进行加密。 3 、介质层加密 介质层加密是存储设备上的静态数据进行加密。虽然介质层加密为用户和应 用提供了很高的透明度，但提供的保护作用非常有限，数据在传输过程中并没有 经过加密。只有到达了存储设备，数据才进行加密，介质层加密只能防范有人窃 取存储介质。在异构环境使用介质层加密技术，会增加密钥管理过程的复杂性， 因此数据恢复面临更大的风险。 4 、嵌入式加密设备 嵌入式加密设备位于s a n 中，在服务器和存储设备之间。这种专用设备分为 两路，一路对传送到存储设备的数据进行加密，可以保护静态数据，一路对返回 的数据进行解密。 嵌入式加密设备很适合点对点的解决方案，但扩展起来难度大、成本高。如 果部署在端口数量多的s a n 中，就会出现问题。这样，需要成批的硬件设备，成 本会高出很多。 5 、应用加密 应用加密相对来说是比较安全的方法。这种加密方式最接近“端对端”加密解决 方案。在这一层上，企业能够明确地知道谁才是用户，和这些用户的访问范围。 企业可以将密钥的访问控制与应用加密本身结合起来。这样可以确保只有特定的 2 第一章绪论 用户能够通过特定的应用程序访问数据，从而获得敏感数据的访问权限。任何试 图以其他方式访问数据的人都无法达到目的。 1 2 课题的研究背景与发展现状 随着网络存储技术的应用和不断发展，存储系统的安全受到高度重视，存储 和安全的融合也已成为明显的行业趋势。为了适应和规范行业的应用和实现，包 括美国国家标准学会( a n s i ) 、美国电气及电子工程师学会( i e e e ) 、可信赖计算 组织( t c g ) 、互联网工程任务组( i e t f ) 等在内的各个相关机构都在积极推动相关标 准的制定与实施。 目前已经有多家厂商致力于存储加密标准，希望让存储加密更容易和多种存 储结构一起工作。这些厂商把大部分精力都投入在存储安全之上，并推出了多个 支持存储加密功能的存储系统。除了厂商极力推广数据安全的各项保护措施，还 有一些标准组织也参与到这一领域。 目前有四个独立的机构正致力于存储加密技术标准化方面的工作： ( 1 ) 可信赖计算组织( t c c ) ，首先开始对可信赖存储进行了研究，可信赖计 算组织的主要是为专用的存储系统上的安全服务而制定一些标准。 ( 2 ) 美国电气及电子工程师学会( i e e e ) 是发起和制定安全标准的组织。它 提出一项被认可的标准，这就是i e e e1 6 6 卜临时存储设备与电脑主机连接鉴别 标准协议。这个标准影响了手机，掌上电脑，r a p 3 播放器和许多其他临时存储设 备。另外，i e e e 还有一个关于存储加密和密钥管理的p 1 6 1 9 系列标准p ”j 。 ( 3 ) 美国国家标准学会( a n s i ) 拥有s c s i 存储接口技术委员会( t 1 0 ) 。t 1 0 在存储数据安全方面的成就有2 0 0 4 年发布了基于对象存储设备( o s d ) 的标准。 以及后来的o s d 2 。t 1 0 的另一成就提出是s c s i 流指令3 ( s s c 3 ) 标准的草案。 这个标准增加了数据传输过程中在磁带上加密数据的功能。 、 ( 4 ) 还有就是全球网络存储工业协会( s n 队) ，建立了存储安全工业论坛 ( s s i f ) ，已经在存储安全方面小有成就。 这些不同的组织对存储系统安全组成中不同的部分做了标准化，例如加密算 法和密钥管理的生命周期的方面。可信赖计算组织有一个子小组负责满足i e e e p 1 6 1 9 存储规格的存储设备的密钥管理。而且还有成员参加了全球网络工业协会的 存储安全工业论坛。i e e e 的p 1 6 1 9 标准则是现在存储安全工作组开发的一系列标 准中的一个，主要针对磁盘数据进行加密。另外还有p 1 6 1 9 1 ，支持变长认证加密 3 电子科技大学硕士学位论文 的存储设备的标准；p 1 6 1 9 2 ，用于共享存储介质的大块加密标准，还有一个即将 完成的标准，暂时定名为p 1 6 1 9 3 ，是对存储数据进行加密保护的密钥管理架构的 标准。 尽管许多用户越来越关注存储安全，但是存储安全的解决方案在推广时还是 会遇到几个关键的挑战。 第一，成本问题。其实许多用户都意识到了安全问题，但是都因为目前实现 的成本过高而没有实施。一方面需要另外购买具有加密功能的系统；另一方面， 在进行加密时由于不能使用压缩功能，因此所需存储设备要增加一倍。 第二，缺乏统一标准。用户采用不同的保护方式来实现数据安全，存储加密 也有很多不同的方法，目前这些方法实现起来很复杂，成本也高，如果不采用统 一的标准，还会产生更多的问题。 第三，存储安全产品需要通过认证。有关部门规定，所有涉及加密算法和产 品等安全问题，产品方案需要通过国家有关部门的认证。这也是许多厂商没有大 力宣传存储安全的一个原因。 l - 3 论文主要工作与内容结构 本文对a e s 加密算法在光纤通道存储区域网络中的应用进行了研究，首先介 绍了s a n 基本结构和应用以及f c 协议。着重描述了高级加密标准a e s 基本原理、 算法结构。设计基于a e s 加密算法的f c s a n 中加密系统实现方案，详细介绍部 分外部流水线结构的计数器模式a e s 加密算法硬件实现过程，并把a e s 加密系统 应用在光纤通道存储区域网络加密卡上，保护存储区域网络中数据的安全。最后 通过仿真和实际环境中测试验证设计方案的正确性和可行性。 本文章节安排如下： 第一章，绪论，课题的研究背景与研究现状； 第二章，光纤通道存储区域网络，该章描述了存储区域网络的基本概念，以 及存储区域网络的优势和主要应用，简要介绍了在存储区域网络中常用的光纤通 道技术，详细描述了光纤通道协议的体系结构； 第三章，a e s 加密算法分析，该章首先描述了a e s 加密算法的基本原理，详 细描述了a e s 加密算法的过程原理与算法结构； 第四章，f c s a n 中a e s 加密系统的f p g a 实现，介绍f c s a n 中加密系统 的总体设计方案，各个分支模块的实现以及硬件语言实现，着重描写了部分外部 4 第一章绪论 流水线结构计数器模式的a e s 加密系统的硬件设计与实现； 第五章，f c s a n 中a e s 加密系统的验证，加密系统的功能仿真，综合，在 实际环境中对本文设计的a f _ , s 加密系统进行了测试，并对结果进行分析，验证设 计的正确性和可行性； 第六章，对全文进行总结，并提出深入的研究方向。 5 电子科技大学硕士学位论文 第二章光纤通道存储区域网络( f c s a n ) 2 1 存储区域网络( s a n ) 2 1 is a n 的基本概念 s a n 是一种为用户提供即时访问网络中数的针对大容量数据存储的解决方 案，s a n 的基本结构如图2 - i 所示。其基本目的是使存储设备与计算机系统或存 储设备与存储设备之间进行高速通信。s a n 提供了一个能存储大量数据且具有高 可靠性和高升级能力的数据存储系统【5 】。 北纤通道i 。 _蓐一；i 嗣 交换机埋幽堑l 广j 芜行逦遁面：赫 i l 删| ：( | _ | j | 赠艄葫铲 圈2 1 存储区域网络结构示惫图 s a n 是通过专用高速网络将一个或多个网络的存储设备和服务器连接起来的 专用存储系统。s a n 在最基本的层次上定义为互连存储设备和服务器的专用光纤 通道网络，它在这些设备之间提供端到端的通讯，并允许多台服务器独立地访问 同一个存储设各。s a n 提高了计算机存储资源的可扩展性和可靠性，使实施的成 本更低、管理更轻松。 第二章光纤通道存储区域网络( f c s a n ) 2 1 2s a n 的优势与价值 面对迅速增长的数据存储需求，大型企业和服务提供商开始选择s a n 作为网 络基础设施，s a n 具有出色的可扩展性。s a n 不必中断与服务器的连接就可增加 存储。s a n 还可以集中管理数据，从而降低了总体拥有成本。 利用光纤通道技术的s a n 可以有效的传输数据块。通过支持在服务器和存储 设备之间传输海量数据块，s a n 提供了数据备份的有效方式。因此传统上用于数 据备份的网络带宽可以节约下来用于其他应用。 s a n 拓展了服务器和存储设备之间的距离，增加了更多连接的可能性。改进 的扩展性还简化了服务器的部署和升级，保护了原有硬件设备的投资。s a n 可以 更好的控制存储网络环境，适合基于交易的系统在性能和可用性方面的需求。 s a n 在传送数据块到企业级数据密集型应用能力也有优势。s a n 在通信节点 上的处理费用开销很少，数据传输时被分成更小的数据块。因此在传输大的数据 块非常有效，采用光纤通道技术的s a n 非常适用于存储密集型环境【6 】。 2 1 3s a n 的关键应用 l 、备份 备份是将数据复制到独立于应用磁盘的存储介质上，这样即使硬件失败、软 件故障以及用户错误等影响磁盘的操作，也能够快速的恢复数据，从而有效的防 止磁盘损坏所造成的影响用。 s a n 将本地备份和恢复以及网络备份和恢复的有点结合起来。对备份和恢复 进行集中式管理，将一台或多台存储设备分配给每个服务器，使用光纤通道技术 传输数据。 2 、保证数据的高可用 s a n 技术在体系架构中的一个优势是能够使s a n 中互联的服务器共享同一份 数据，这样既减少了存储开销，又提高了数据的高度一致性。 3 、容灾能力 数据镜像技术能够和s a n 技术提供的远程连接能力以及良好的联通性组合在 一起，为系统的容灾能力提供一种崭新的解决方案。 4 、集群技术 随着存储技术的发展，连续有效的数据对任何大型企业都是必须的。企业生 存的保障有很多，可以从灾难中恢复出来数据非常重要，能够连续正确地访问和 7 电子科技大学硕士学位论文 处理数据也相当的重要。s a n 技术再一次成为集群技术的有力的支撑者。基于s a n 的集群技术使得计算自动化、高有效性且可扩展性良好。 5 、远程数据复制 通过使用s a n 技术把数据镜像到远程存储设备上，即可实现几千米以外的数 据快速复制，远程数据复制可以提供好处有：容灾，数据分发，数据合并，数据 移动等。 2 2 光纤通道( f c ) 技术 2 2 1f c 技术简介 光纤通道( f c ) 技术，是一项新兴的网络存储交换技术，它可提供长距离连 接和高带宽，因此能够在存储器、服务器和客户机节点间实现大型数据文件的传 输。光纤通道技术是存储局域网、计算机集群以及其他数据密集型计算环境的理 想解决方案；而且光纤通道是一种工业标准接口，用于在计算机和计算机子系统 之间传输信息，它支持口协议、小型计算机系统接口( s c s i ) 协议、高性能并行接 口协议以及其它高级协议，使用光纤通道技术时，这些协议可以同时运行。 为了能够适应可能出现的技术发展需要，提供更快更好的性能服务，f c 技术 具有以下技术特点【8 】f 9 】： ( 1 ) 高速数据传输率：一般的传输率为1 g b p s ，全双工可达2 g b p s ，可扩展至 8 g b p s 甚至1 6 g b p s 。 ( 2 ) 连接距离远：光纤通道支持通过铜线或光纤媒介来进行传输。线缆在1 g b p s 和2 5 米左右的距离可以操作。采用光纤通道可以支持最长距离l o 千米的连接距 离，这样的优势是其他连接方式远远不及的。 ( 3 ) 扩展能力强：光纤通道技术有强大的扩展连接能力，使用三种拓扑结构可 供选择，包括点对点、光纤仲裁环路和交换式结构。点对点连接结构表示两个设 备直接相连，这种连接结构的优点是网络连接成本比较低，而网络连接性能较稳 定，但这种连接方式只能允许有两台设备相互连接；光纤通道仲裁环路连接结构 是通过一个或多个光纤通道网络集线器可以连接多达1 2 7 个设备，连接环路可以 是专用的或公用的，专用坏路不与光纤网络相连，公用环路与光纤网络相连，这 种连接结构的优点是比点对点协议支持更多的连接设备，但它限制了组合数据的 传输速率；而光纤交换式连接结构与以太网类似，通过一系列光纤网络交换机最 8 第二章光纤通道存储区域网络( f c s a n ) 多可支持1 6 0 0 万台设备的互连，这种连接结构不但可以支持多个设备，而且不会 降低整体网络的连接性能，但是这种连接方式的每端口成本较高。 ( 4 ) 可靠性高：光纤通道采用了8 b 1 0 b 的编码方式，最大可允许1 0 以2 比特误 码率；能够提供无确认的交换，适用于低开销、大块数据的数据传输；支持无错 数据封包传输，提供有保证的数据帧交换顺序，适用于关键数据的交换。 ( 5 ) 多协议映射：光纤通道提供多种选择的主要原因是支持多种上层协议 ( u l p ) 。光纤通道不包括本地的上层协议，而是光纤通道定义了各种上层协议到光 纤通道本身的映射，并确定一系列的光纤通道交换和序列。 ( 6 ) 开放的标准：光纤通道是一个通用的领域，是a n s i 标准。这样，参与光 纤通道标准开发对所有的组织都是开放的。很多组织都可以对光纤通道技术进行 开发，允许在不同的方面进行增强和优化。 2 2 2f c 协议体系 光纤通道是一种标准的网络体系结构【l o 】。它的标准定义了本身物理层的特征、 传输协议和流量控制控制的一些方法以及与其他上层协议的映射接口。f c 协议标 准体系也是一个分层次模型。它和o s i 参考模型层次比较的结果如图2 2 所示。 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 c 亘亟鎏豆固 c 二匦耍x 3 图2 2f c 与0 s i 对比模型 f c 协议共分为五层，协议栈模型如图2 3 所示。它们分别是：f c 0 层( 物理 接口层) ，f c l ( 编码解码层) ，f c 一2 ( 信令协议层) ，f c 3 ( 公共服务层) ，f c 一4 ( 协议 映射层) 。 9 电子科技大学硕士学位论文 f c - 4 f c 3 f c 2 f c 1 f c 旬 图2 3f c 协议栈图 f c 协议体系的五层模型不能直接对应到o s i 模型的协议层次，f c 一0 和f c - 1 这两层协议与o s i 参考模型的物理层功能相当，而f c - 2 则和数据链路层中的m a c 子层有很多相似之处，f c 3 层则仅仅提供了设备多端口之间进行传输的还没有完 全定义的一些服务的集合，f c - 4 层则是为了解决如何利用光纤通道来支持一些通 用的高层通信协议的问题，是为m 协议、小型计算机系统接口( s c s i ) 协议、高性 能并行接口协议以及其它高级协议提供到光纤通道的接口。 ( 1 ) f c 0 层 f c 0 层位于光纤通道协议结构中的最底层。该层不仅定义了系统的物理链路， 还定义了物理介质，例如电缆、连接器和数据传输速度等。该层的设计目的是实 现最大的灵活性并使光纤通道能利用已有的大量技术。 f c 0 层也就是物理接口和介质层，能为安全系统提供激光数据链路。介质子 层描述了不同传输介质的特性，以及相应的传输速率和距离范围。在光纤通道存 储区域网络中，最常用的传输介质是光纤。接口子层描述了不同传输介质的接口 规范及接口的光信号特性。 ( 2 ) f c l 层 f c 1 层是光纤通道体系结构中的第二层，为数据传输提供了适应性编码方法。 数据编码的功能是指定代码的最大长度、保持电流平衡以及提供数据传输中的字 对齐功能。该层也称为传输协议层，其功能主要是同步传输数据。 f c 1 层定义了字节同步和基本传输信号的编码和解码规则、特殊字符和错误 1 0 第二章光纤通道存储区域网络( f c s a n ) 控制等。光纤通道f c 1 层采用直流平衡的8 b 1 0 b 编码方式。数据以每次8 位的方 式进行传输，并且这个长度为8 位数据被放在长度为1 0 位的空间中。采用该编码 方式主要是为了改善数据的传输特性以提高信号质量。 ( 3 ) f c 2 层 f c 2 层的作用是实现光纤通道的传输机制。f c 2 层也称为分帧和信号发送协 议层，包括帧格式、节点问的信息交换管理、拓扑结构和提供的服务类型等。其 主要功能是定义独立于上层协议的数据传输方法和机制。 f c - 2 层定义了几种数据传输单位： 有序集：包含数据和特殊字符的四字节传输数据组成。 帧：f c - 2 层中的基本数据传输单位，最多传输2 1 1 2 个字节。 序列：由一个或多个帧组成。 交换：包含一个或多个帧序列。 协议：由一个或多个帧交换组成。 这些数据传输单位形成了光纤通道的信息传输层次。在这种层次结构中，有 序集是用来获得位和字同步，并确立字边界。 帧的结构是由帧起始( s o f ) 、帧头、负载、冗余校验码( c r c ) 和帧结束( e o f ) 组成。帧起始、冗余校验码和帧结束都是由一个传输字组成，帧头由6 个传输字 组成，负载最多能有2 1 1 2 个字节，图2 4 表示帧结构示意图。 图2 - 4 数据帧结构示意图 光纤通道传输数据时，上层协议的数据单位长度可能大于光纤通道帧的最大 长度2 11 2 个字节。这时一个上层协议数据单位需要分割成几个光纤通道帧。f c 2 层把这几个数据帧称为帧序列。 f c 2 层定义了帧交换来表示上层协议的一次操作。帧交换是由一次操作中的 电子科技大学硕士学位论文 一个或几个帧序列组成。在单一交换中只能有一个序列在同一时间内被激活，但 是在不同交换之间可以有多个序列被同时激活。帧、序列、交换操作如图2 - 5 所示 【l l 】【1 2 】 o 卜数据命令卜帧 帧序列 # 一 i 多 夕 帧序列，r 帧交换 图2 5 数据帧、帧序列和帧交换图 ( 4 ) f c 3 层 f c 3 层定义在单个节点上跨越多个端口的功能，它提供了在节点上使用高级 特性的功能。f c 3 提供下面的三种服务： 条块化( s t r i p i n g ) ，用来增加传输带宽。它利用多个n 端口并行连接以便在多 条链路中传递一个数据单元。 搜索组( h u n tg r o u p ) ，与单个节点相连的一组相关的n 端口，它能使多个端 口对同一个别名地址做出相应，这样减少了等待使用n 端口的延迟时间。 多播( m u l t i c a s t ) ，用于将一组数据传送到多个端口，它使所有的节点都接收 传输的数据单元。 ( 5 ) f c - 4 层 f c - 4 层是光纤通道协议结构的最高层。定义了把各种主要的有关通道以及网 络等高层协议映射到低层的方法。规定了上层协议到光纤通道的映射规则。f c 4 层现在支持的高层协议包括：小型计算机系统接口s c s i ；智能外围设备接口p i ； 高性能并行接口h i p p i ；互联网协议i p 以及i e e e8 0 2 3 局域网协议等。 1 2 第二章光纤通道存储区域网络( f c s a n ) 在f c s a n 中是使用的光纤通道上的s c s i 。s c s i 中一个单独的命令被映射成 光纤通道协议中的一个帧序列，而组成一个s c s i 交换的几个命令被映射成光纤通 道的一个帧交换。s c s i f c p 是将光纤通路作为一种传送s c s i 3 命令、响应、状态 和数据块的传送机制运行。s c s i 3 和f c p 之间的映射见表2 1 所示【1 3 】【1 4 】。 表2 一ls c s i - 3 和f c p 之间的映射 映射 s c s i 等效f c p 等效 i o 操作 交换 请求响应原语序列 命令服务请求未经请求命令信息单元f c l 嘣n d 数据传送请求 数据描述信息单元f c px f e rr o y 数据传送动作请求数据信息单元f c p _ d a t a 命令服务响应命令状态信息单元f c p _ r s p 1 3 电子科技大学硕士学位论文 第三章a e s 加密算法简介 美国国家标准和技术研究所( n i s t ) 发布的a e s 加密标准属于对称密钥体制 的分组密码，标准支持1 2 8 位的分组长度和1 2 8 、1 9 2 、2 5 6 位三种密钥长度【1 5 1 。 a e s 加密算法中数据分组要经过多次数据的变换操作，每一次变换操作会产 生一个中间结果，这个中间结果称为状态。状态可表示为二维的字节数组即状态 矩阵，它有四行，n b 列，这里n b 等于数据分组长度除以3 2 ，在a e s 标准里数据 分组长度是1 2 8 位，因此n b = 4 。密钥也类似的可以表示为二维字节数组，它有四 行，n k 列，这里n k 等于密钥块长度除以3 2 。算法转换的轮数n r 由n k 决，对应 于1 2 8 ，1 9 2 和2 5 6 位不同的密钥长度，分别称为a e s1 2 8 a e s1 9 2 和a e s2 5 6 。 他们运算的轮数分别为1 0 轮，1 2 轮和1 4 轮。 表3 - 1 加密算法与密钥长度关系 a e s 密钥长度n k分组大小n b轮数n r a e s 1 2 8441 0 a e s 1 9 26 4 1 2 a e s 。2 5 6841 4 a e s 算法在整体算法结构上采用的是多轮替代置换所构成算法结构。每一轮 变换都由3 层组成【1 6 】。 1 ) 、非线性层：进行s 变换b y t e s u b ，在变换时由1 6 个对字节操作的s 盒并 行执行，起到混合的作用。 2 ) 、线性混合层：进行行移位变换s h i f l r o w 和列混合变换m i x c o l u m n ，以确 保多轮之后的字节的高度扩散。 3 ) 、密钥加层：进行轮密钥加变换a d d r o u n d k e y ，将轮密钥简单地异或到状 态矩阵上。 3 1a e s 算法结构 a e s 加密算法结构无论是加密还是解密，都把轮变换作为基本的运算单元。 轮变换由4 个不同的变换操作组成，根据加密解密过程可以分为：s 变换逆s 变 1 4 第三章a e s 加密算法简介 换，行移位逆行移位，列混合逆列混合和轮密钥加。加密、解密流程图以a e s 一2 5 6 为例如图3 1 所示，明文数据分组首先和初始密钥的前1 2 8 位异或后再经过1 4 轮 变换操作得到密文，第一轮到第十三轮轮变换一样，包括：s 变换，行移位变换， 列混合变换以及轮密钥加，第十四轮没有列混合变换，解密过程为加密过程的逆 过程。 3 1 1s 变换 图3 - 1a e s 2 5 6 加密解密执行框图 s 变换操作是a e s 轮变换中唯一的非线性字节变换操作，把状态矩阵中的每 个字节元素独立的非线性的变换为另一个字节。而实际上，s 变换由两个变换步骤 得到： ( 1 ) 在有限域g f ( 2 8 ) 中求得乘逆， 数据元素( 0 0 1 被映射到它本身。 ( 2 ) 对乘法逆运算的结果再做一次有限域上的可逆映射变换( 基于g f ( 2 8 ) ) 厶= a o 嘶+ 4 ) n d d 8 劬f + 5 ) 删8 0 卿+ 6 ) 俐8 0 a o + 7 ) r n o d s g协1 、 式3 1 中有0 i 口。) b 3 = ( 0 3 ) 口。) o 口o 口2 0 ( 0 2 口3 ) 列混合变换效果如图3 - 4 所示： 图3 4 列变换操作示意图 解密过程使用逆列混合变换，逆列混合变换如式3 4 所示： 厂o e l i0 9 = l l0 9 i i o b l 0 9 l o di i 0 6i i o el j 1 8 ( 3 - 4 ) ( 3 - 3 ) 1j 踟蹈如办 1 l 3 2 o o o q 1 3 2 l o 0 芒；o ，j 2 l l o o o o 2 1 l 3 q o o o 。1l 夙如如 d 6 p 9 q o 0 o 6 e 9 d叻弛吟叫 锄讲现以 -。-_。_-_i-。-_-_。_。-_-_l 第三章a e s 加密算法简介 3 1 4 轮密钥加 在轮密钥加运算中，将状态矩阵和轮密钥进行简单的异或操作而得到。它的 逆为其本身，解密时也是对状态矩阵的字节异或密钥操作。示意图如图3 5 所示。 对于实际应用的逻辑实现而言，只要采用简单的异或电路就可以完成密钥加的功 能。 s o c s o e s 0 0s 0 3 s o o s 0 3- s i c s l o 匿 l o s l e ! s 1 3 o w 1w l + 1明十2w l + 3 s 2 0s 2 3 s 2 0!s 2 3 s 2 es 、2 e s 3 0$ 3 3 s 3 0s 3 3 s 3 e $ 3 c 3 2 密钥扩展 图3 - 5 轮密钥加示意图 根据图3 - 1 所示，a e s2 5 6 算法加上初始轮总共有1 5 轮变换操作，每一轮变 换操作都有轮密钥加，即每轮都需要1 2 3 8 位的轮密钥，而初始密钥只有2 5 6 位， 这就需要密钥扩展算法对初始密钥进行扩展得到轮密钥。 密钥扩展算法由密钥扩展和轮密钥的选择两部分构成【l 刀，其基本原则有： ( 1 ) 轮密钥的总位数是数据分组长乘以轮数加1 。对于a e s2 5 6 算法，数据 分组长度为1 2 8 位，密钥分组长为2 5 6 位，轮数为1 4 ，则轮密钥总长度为 1 2 8 x ( 1 4 + 1 ) = 1 9 2 0 位； ( 2 ) 初始密钥为扩展密钥，初始密钥长度为4 x n k 个字节，本设计中采用的 算法是a e s2 5 6 ，n k = 8 ，初始密钥长度为2 5 6 比特即3 2 字节； ( 3 ) 轮密钥由以下方法从扩展密钥中获得：对第1 轮密钥由前n b 个字组成， 第2 轮密钥由第二个n b 个字即第n b + 1 个字到第2 n b 个字构成，依此类推。 在本论文中采用的a e s2 5 6 加密算法，密