存储网系统的安全性研究

存储网系统的安全性研究

0存储网安全特性信息社会允许人们能够随时访问、阅读和获取信息，并不断增加大量数据以支持他们。传统的封闭和独立存储系统无法满足大量数据存储的需求。以nas和sun为代表的存储网络存储设备已被广泛使用。存储网能提供集中和共享的海量存储服务,用户不需要专有存储设备就能获得海量的高速存储服务,满足用户共享数据资源的需求,避免了数据资源和存储资源的简单重复与浪费,但存储网系统中存在大量严重的安全隐患。NAS系统中,用户欺骗NFS服务器非法访问和篡改数据,通过攻击NFS服务器可使得合法用法的访问请求无法被响应;SAN系统中主机直接访问磁盘,系统无任何安全策略,安全性极差。存储网是信息系统的存储中心,作为系统的信息中心其安全性对整个信息系统的安全性致关重要。因此安全问题是目前存储网研究中急需要解决的重要问题,具有很强的理论与现实意义。存储网系统是存储技术与高速网络技术的结合产物,其中的安全问题涵盖网络安全和存储安全的多个方面。系统中的主要安全威胁包括不安全的传输、不安全的存储服务、假冒的合法用户、数据的非法泄露等方面,涉及存储网系统的存储硬件、传输、用户识别、用户管理、数据管理等多个方面。当前主要的安全技术包括认证、授权、信息完整性保证和信息保密等,各安全技术互相混杂、互为依赖、互相配合。因此存储网系统具有安全威胁种类多,多种安全技术混杂,安全保障困难等特性。已有的存储安全研究大都解决存储网中的某个安全威胁,研究内容分散,各种安全算法和策略互不配合,无法有效保障存储网的整体安全性。因此如何判断和评价存储系统的安全性是一个非常重要的问题。2002年ErikRiedel提出了用户、攻击、安全目标、保护粒度和用户开销五个部分的存储安全描述框架,其中每部分均涉及存储网系统的多个方面,各部分的安全技术相互重叠、相互依赖、互为基础,很难从整体上描述存储安全系统的特性,不能很好描述各种安全技术之间的联系和协作情况。2004年PaulStanton提出了评价存储安全系统的四个标准,机密性、完整性、可用性和性能,这四个标准过于空泛,每个标准都涉及存储安全的多个方面,难以用来判断和详细描述存储网的安全特性。2005年VishalKher和YongdaeKim提出了存储安全系统的主要方面,包括授权和认证、有效性、保密性和完整性、密钥管理、日志与入侵检测、可用性、可管理性和性能。存储网系统包含存储硬件、传输和管理软件等多个层次,其中管理软件又可分为通信层、虚拟化层、数据管理层和访问接口层等,因此分层是描述存储网结构最直观的方法。存储网系统中各层完成不同的功能,具有各自不同的特性,受到的安全威胁和安全保障要求也各不相同,对应的安全技术也不同。我们在分析存储网系统自身的层次结构基础上,提出了存储网层次安全模型,给出了描述存储网安全特性的框架;根据该模型比较了现有存储网安全研究,分析了各层安全研究中的策略与算法,给出了研究热点。1不同系统的安全威胁存储网系统是存储技术与高速网络技术的结合产物,系统的安全威胁主要来自于这两方面,又有一些特定的安全威胁,具体分析主要包括以下七个方面。1传输失密攻击者入侵通信线路,非法获得和篡改数据与指令。2通信部分假通信部分攻击者伪装成合法通信端,欺骗服务器或主机,非法获得数据,破坏系统的安全性。32硬盘丢失攻击者窃取磁盘,非法获得和破坏磁盘中的数据。4元数据失密带外存储虚拟化系统中,攻击者攻击存储虚拟化元数据服务器,非法获得和破坏虚拟化元数据,窃取保存存储网系统中的数据。5越权访问存储网系统中不同的存储资源使用者拥有各自的数据,攻击者攻击授权管理系统,非法取得额外数据的访问授权,窃取和破坏数据。6访问权和破坏数据攻击者假冒成合法存储资源使用者,欺骗授权管理系统,非法获得数据的访问权,窃取和破坏数据;攻击者还可假冒成授权服务器,欺骗存储资源使用者,使得使用者无法访问数据或造成信息泄漏。7网系统资源存储存储网系统中不同主机拥有各自独立的存储网系统资源,获得特定的存储服务;攻击者通过入侵存储网服务管理系统,非法获得存储服务,窃取和破坏数据。2智能数据安全的分析存储网系统位于文件系统的下层,为文件系统提供存储服务。用户访问控制是文件系统的安全功能之一,因此存储网安全系统中不涉及用户访问控制功能,但需要实现对用户访问控制的存储支持。存储网系统包括存储硬件、传输和存储网管理软件三大组成部分。数据存储和传输由硬件实现功能,不分析其安全性,我们主要分析存储网管理软件中安全系统的结构,提出具体的安全性描述和评价模型。对智能磁盘等附加处理能力的设备,对设备中集成的管理软件归入存储网管理软件中分析。SAN系统中可以用分区和掩码的方法实现访问控制,我们将其归入存储网管理软件中分析。存储网管理软件根据存储网多层结构的特性,可分为通信、虚拟化、数据管理和访问管理等多个层次,在此基础上,结合存储网系统中的安全威胁,我们提出存储网层次安全模型来描述和评价存储网系统的安全性,如图1所示。通信加密层负责加密存储网中传输的数据和指令,防止在通信线路中泄漏信息。通信认证层负责认证通信端的合法性,防止假冒的通信端,保证通信的安全性和时效性。数据加密层实现存储数据的加密,磁盘中以密文形式保存数据,防止攻击者窃取磁盘后非法获得数据。虚拟化元数据保护层管理主机对虚拟化元数据的访问请求,保证虚拟化元数据的安全,防止非法的元数据访问和破坏。授权认证层认证使用者和访问授权管理系统之间通讯,防止攻击者假冒成合法使用者,欺骗访问授权管理系统,非法获得存储网系统中的信息。访问授权层管理使用者访问数据的权限,防止使用者越权访问和非法修改数据,以及使用者之间的数据泄漏。主机管理层管理主机对存储网系统的访问权限,防止主机非法访问存储网系统中的资源。3主要存储网络的安全性研究下面我们使用存储网层次安全模型分析现有的存储网安全系统,介绍在不同层次中的安全算法和策略。3.1增强系统的安全性NASD是Gobioff于1999年提出的新型安全磁盘结构,增加磁盘处理能力构建智能磁盘,使得磁盘具有加解密数据的能力。主机首先与文件服务器通信获得通信加密密钥,再用该密钥加密主机与磁盘的通信。混合使用HASH和MAC加密算法,减少加解密对性能的影响。PDL实验室于2002年提出了SelfSecuringStorage,构建智能磁盘,实现对访问请求的检测和数据恢复,以主动方式实现智能磁盘的安全。磁盘加解密与主机和服务器之间的通信。NFS作为文件服务器应用于NAS系统中,可使用SSH和SSL的加密通信方式,保证NFS服务器与主机的通信安全。Howard于1988年提出了首个附加安全措施的分布式文件系统AFS,为提高系统性能,通信时系统只加密RPC消息而不加密数据。Mazieres于1999年提出了自认证访问路径的分布式文件系统SFS,修改访问路径为“/sfs/location:hostid文件名”,其中hostid中保存加密的密钥HASH表信息,系统只对主机与文件服务器之间的访问请求使用ARC4加密。3.2无所不在的通信安全通信AFS系统中引入了认证服务器,使用通用的Kerberos协议实现通信认证。NFS系统中的三种安全机制分别使用Kerberos协议和公开密钥法实现通信认证,系统开销小。贝尔实验室于1993年提出了加密的文件系统CFS,通过修改NFS的系统调用,实现主机与文件服务器之间的通信认证。SFS系统中修改访问路径,构成“/sfs/location:hostid文件名”形式的自认证访问路径,自认证访问路径使用MAC算法认证主机与文件服务器之间的通信,防止非法主机窃取核篡改通信数据和命令;使用时间戳保证访问请求的时效,构成主机和文件服务器之间的安全通信信道。Kaashoek于2000年为提高SFS系统的读性能提出了SFS-RO系统,建立只读数据的多个副本提高读性能,系统中使用公开密钥实现主机和存储服务器之间的通信认证。NASD系统中使用数字签名保证通信安全,防止伪造或非法修改访问请求,由磁盘效验传输的完整性。3.3基于密钥加密的措施SFS中由主机负责加解密数据和管理密钥,使用非对称密钥加密文件,加密后的文件系统挂载于系统的/SFS目录下。CFS系统中由用户管理加密密钥,写文件时主机负责加密数据,读文件时主机负责解密数据。加密后的文件系统挂载于系统的/crypto目录下,加解密操作对性能的影响很大,大文件的操作比NFS慢4倍。Miller在2002年提出新型的网络磁盘结构SNAD,系统使用KEY对象管理和分配密钥,每个KEY对象包含用户ID、加密密钥和权限域;每个文件对象对应多个DATA对象,并和一个KEY对象关联,不同的文件对象可对应同一个KEY对象。主机加解密所有数据,磁盘中以密文形式保存数据,实现端到端的加密;密钥管理采用lockbox策略,lockbox存储在可信的服务器上;读数据时,用户首先从lockbox服务器上取得密钥,再从磁盘上读出加密数据,最后用密钥解密。PLUTUS系统和SNAD系统类似,以分布式的密钥管理为基础,实现了高效灵活性的密钥管理策略;使用多层次的加密算法,以文件组为单位分配密钥,有效地减少了密钥数量。Goh于2003年提出了应用于任何存储网系统的安全中间件系统SiRiUS,通过截获和转换访问数据的系统调用,增加安全功能。每个文件由头信息和数据两部分组成,使用非对称密钥加密文件,由负载轻的主机完成耗费大量资源的加解密运算,服务器和管理员不能看到未加密的数据。Wylie提出数据的可恢复理论,认为存储安全就是保证存储系统在发生任何问题时都可恢复。实现的系统PASIS中将文件分成N部分分别存放在N个不同的存储设备中,使用不同的密钥加密。提出了P-M-N的安全检测和恢复算法,访问时至少要获得M部分安全的数据才能获得完整的文件信息,只要有P部分安全的数据就能恢复被破坏的文件数据。PASIS具有很强的抗攻击性,即使有个别的服务节点被攻破,也不会影响用户的使用。但系统中的消息通信太多,用户要读写信息时,必须至少向M个服务节点广播请求,一旦存在错误则需要重新选M个节点广播请求。此外P、N和M的阈值选择困难,阈值对系统的性能和安全影响很大。系统中对小文件操作性能下降很快,对于大文件的操作性能影响不大。华中科技大学的韩德志和傅湘林等人于2004年提出了基于iSCSI的附网存储安全系统。系统使用FileObject(文件体)保存文件体信息,包含文件体ID、用户ID清单、块指针、密钥体指针时间戳和文件大小,其中密钥体指针指向用于加密该文件体的密钥体;KeyObject(密钥体)保存加密文件的密钥信息,包含文件ID、用户ID、被加密密钥、时间戳和许可证。用户写新文件时,首先建立该文件对应的文件体,在存入加密的数据文件元数据,同时建立指向文件安全数据体的块指针和指向密钥体对象,客户端加密文件数据后写入;读数据时首先从文件体中获得加密密钥,由客户端进行解密。增加安全模块后,系统块访问请求慢了13%～21%,文件访问请求慢了15%～23%。3.4数据安全设计Alain于2003年提出了对象存储网的两层安全体系结构,安全系统分成传输安全和授权两个层次,改变传输安全系统和授权系统中多个密钥混杂的情况,给出了实现访问授权传输认证的数据结构和认证算法,使用非对称密钥和MAC算法实现认证,保证授权传输的安全。SNAD系统在服务器中使用certification对象保存认证密钥,对应每个用户建立一条记录,保存用户的ID、公开密钥、HMAC密钥和时间戳四部分信息,使用公开密钥和HMAC密钥实现三种安全传输策略中的授权认证。NASD系统中使用数字签名和时间戳实现主机于磁盘之间的授权认证,磁盘完成部分认证任务,减轻授权服务器的负担。基于iSCSI的附网存储安全系统中使用CertificateObject保存认证体信息,包含用户ID、HMAC密钥、用户公钥、用户口令和时间戳等部分;系统启动时装入CertificateObject的认证体信息,HMAC密钥用来验证用户和判断数据的完整性,用户口令用于认证用户身份,每次写文件时更新时间戳防止重发攻击。3.5添加远程访问控制,提高数据安全NASD系统中,文件服务器使用capability和capability密钥实现主机与磁盘之间的访问授权,通过masterkey、driverkey、partitionkey和workingkey中的五个密钥实现文件服务器与磁盘之间的访问授权。AFS系统中建立针对目录的ACL列表,实现对会话的访问控制。SFS系统修改访问路径,增加授权信息,访问授权信息保存于“/sfs/location:hostid文件名”的访问路径中。其中location保存机器名或其IP地址,表示所在的文件服务器位置;hostid保存访问的授权信息,不同权限的用户对应各自不同的访问路径。SelfSecuringStorage系统中结合审计技术建立多版本的磁盘数据管理系统,使用入侵检测策略不断监测访问记录,发现异常就回退对应的操作,并增加相应的安全防护策略,同时向其他磁盘发出安全警告,提高其他磁盘的安全防范措施。SiRiUS系统采用不同权限者拥有各自公开密钥的方法实现授权,FEK中保存所访问密钥,FSK中保存写权限的访问密钥;每个文件创建者拥有一个加密密钥MEK和一个数字签名MSK。它最大优点是可以不修改原有网络文件系统协议和文件服务器加入访问控制功能,但存储系统的性能下降很大,需要不断检测文件的有效性带来了大量的网络开销;在写1MB文件时40%的开销用于产生数字签名。3.6主机访问控制SAN系统中使用分区与掩码实现主机的访问控制。磁盘阵列中的每个磁盘对应一个逻辑单元LUN,WWN作为标识,主机通过HBA访问LUN。包括下列三种主机管理方法。基于主机的访问管理。HBA驱动程序中实现掩码设置工具,设置每个主机中HBA的掩码,实现主机的访问控制。该方法只适用于小型SAN系统中,HBA被更换后必须重新设置,管理非常麻烦;同时没有认证机制,无法防止攻击者通过伪造HBA标识非法访问数据。基于交换机的访问管理。对交换机的端口分区,控制主机能访问的LUN。该方法无法直接管理级联交换机的端口,用WWN为标识进行分区能解决管理级联交换机端口的问题,但WWN存在失密和被伪造的危险。基于存储控制器的访问管理。存储系统控制器中控制HBA对LUN的访问,实现存储网系统中的主机访问控制,能管理多个HBA通过相同端口访问LUN。4应用效果的分析表1小结了现有存储安全系统所实现的安全功能,目前存储安全研究主要涉及了通信加密层、通信认证层、数据加密层、授权认证层、访问授权层和主机管理层等六个层次,还没有对虚拟化元数据保护的研究。表2小结了各存储网安全层中现有的安全算法与策略,同时给出了各层中当前研究的热点和发展方向。存储虚拟化技术能有效地提高存储系统的可用性,得到越来越广泛的应用,虚拟化元数据保存系统的配置信息,是系统至关重要的信息,一