SAN 安全框架讲解

SAN安全框架讲解20xx年11月30日议程SAN安全框架NVMe-oF™安全协议：验证身份验证验证实体（AVE）安全通道（NVMe®/TCP传输，带TLS）NVMe-oF安全更新：TP8018：带TLS的NVMe/TCP传输更新TP8025：NVMe/TCP安全性的使用配置存储区域网络(SAN)示例管理站（控制台）主持人存储

子系统安全威胁0）管理与系统完整性不受控制的存储访问冒充（欺骗）通信接入窃听注入/修改外部访问媒体盗窃其他访问14320安全威胁：0–系统完整性与管理0）管理与系统完整性对策：

管理安全身份验证与授权日志记录和异常检测安全通道应对措施：

系统完整性硬件/软件/固件完整性检查和保证最好锚定到硬件信任根上0安全威胁：1–访问控制1）不受控制的存储访问对策：

存储访问控制NVMe®命名空间映射NVMe-oF™分区并不能阻止冒充行为1安全威胁：2–身份冒用2）冒充（欺骗）应对措施：身份验证（身份证明）2安全威胁：3–通信3）通信接入窃听注入/修改应对措施：安全通道（传输中数据）保密性密码完整性3安全威胁：4–存储数据4）外部访问媒体盗窃其他访问应对措施：存储数据（静态数据）加密NVMe-oF™

技术：飞行中数据其他地方的静态数据加密，例如：应用程序、服务器操作系统、虚拟机客户操作系统虚拟机管理程序（例如，ESXVM加密）存储驱动器（SED）4存储网络安全审查0）管理与系统完整性存储访问控制身份验证（身份证明）安全通道（传输中的数据）保密性密码完整性存储数据（静态数据）加密14320本次讨论的重点议程SAN安全框架NVMe-oF™安全协议：验证身份验证验证实体（AVE）安全通道（NVMe®/TCP传输，带TLS）NVMe-oF安全更新：TP8018：带TLS的NVMe/TCP传输更新TP8025：NVMe/TCP安全性的使用配置NVMe-oF™认证建立NVMe®/TCP传输会话执行Connect交换是为了设置NVMe队列并将主机与控制器关联起来。主机与控制器执行身份验证事务，以验证端点身份。队列已建立，准备进行后续操作主持人控制器队列设置身份验证事务连接命令连接响应NVMe/TCP传输会话建立DH-HMAC-CHAP认证NVMe®2.0基本规范中定义（以前在TP8006中定义）NVMe实体（主机或子系统）会配置一个（秘密）密钥。DH-HMAC-CHAP认证：证明您知道您的密钥主机通过证明其知道主机密钥（Kh）来向控制器进行身份验证。（Kc）来向主机进行身份验证。DH-HMAC-CHAP关键知识演示：挑战/响应协议协议消息中不会传递密钥（密钥始终保密）。器（例如，控制器）发送挑战C；响应方（例如，主机）使用其密钥计算响应（例如，R=HMAC(Kh,C||其他事物)）；验证器（例如，控制器）验证响应DH-HMAC-CHAP响应验证：需要响应者的密钥验证器（例如，控制器）计算预期响应R'并验证接收到的R（例如，来自主机）是否等于计算出的R'DH-HMAC-CHAP(1)主持人控制器我的密钥：Kh验证密钥：Kc

密钥配置我的密钥：Kc验证密钥：Kh

DH-HMAC-CHAP(2)授权协商（T_ID、SC_C、AuthID、HashIDList、DHgIDList）DH-HMAC-CHAP_Challenge（T_ID、HashID、DHgID、S1、C1、gxmodp）DH-HMAC-CHAP_回复（T_ID，R1，gymodp，[S2，C2]）主持人控制器我的密钥：Kh验证密钥：Kc

密钥配置我的密钥：Kc验证密钥：Kh

计算确认KS=H((gymodp)xmodp)Ca1=(DHgID==0)?C1:HMAC(KS,C1)R1'=HMAC(Kh,Ca1||S1||T_ID||SC_C

||“HostHost”||NQNh||00h||NQNc)Success1=(R1==R1')?是:否KS=H((gxmodp)ymodp)Ca1=(DHgID==0)?C1:HMAC(KS,C1)R1=HMAC(Kh,Ca1||S1||T_ID||SC_C

||"HostHost"||NQNh||00h||NQNc)DH-HMAC-CHAP(3)授权协商（T_ID、SC_C、AuthID、HashIDList、DHgIDList）DH-HMAC-CHAP_Challenge（T_ID、HashID、DHgID、S1、C1、gxmodp）DH-HMAC-CHAP_回复（T_ID，R1，gymodp，[S2，C2]）DH-HMAC-CHAP_Success1（T_ID，[R2]）主持人控制器[DH-HMAC-CHAP_Success2]（T_ID）我的密钥：Kh验证密钥：Kc

密钥配置我的密钥：Kc验证密钥：Kh

KS=H((gymodp)xmodp)Ca2=(DHgID==0)?C2:HMAC(KS,C2)R2=HMAC(Kc,Ca2||S2||T_ID||SC_C

||“控制器”||NQNc||00h||NQNh)KS=H((gymodp)xmodp)Ca1=(DHgID==0)?C1:HMAC(KS,C1)R1'=HMAC(Kh,Ca1||S1||T_ID||SC_C

||“HostHost”||NQNh||00h||NQNc)Success1=(R1==R1')?是:否计算确认KS=H((gxmodp)ymodp)Ca1=(DHgID==0)?C1:HMAC(KS,C1)R1=HMAC(Kh,Ca1||S1||T_ID||SC_C

||“HostHost”||NQNh||00h||NQNc)KS=H((gxmodp)ymodp)Ca2=(DHgID==0)?C2:HMAC(KS,C2)R2'=HMAC(Kc,Ca2||S2||T_ID||SC_C

||“控制器”||NQNc||00h||NQNh)Success2=(R2==R2')?是:否DH-HMAC-CHAP配置问题对于子系统Sx：计算密钥：KSx主机验证密钥：{NQNH1,KH1}{NQNH2,KH2}{NQNH3,KH3}{NQNH4,KH4}…{NQNHn,KHn}对于主机Hy：计算密钥：KHy子系统验证密钥：{NQNS1,KS1}{NQNS2,KS2}{NQNS3,KS3}{NQNS4,KS4}…{NQNSm，KSm}子系统S2主机H1主机H4主机H2主机H3子系统S3子系统S4子系统

西米​子系统S1宿主Hn……议程SAN安全框架NVMe-oF™安全协议：验证身份验证验证实体（AVE）安全通道（NVMe®/TCP传输，带TLS）NVMe-oF安全更新：TP8018：带TLS的NVMe/TCP传输更新TP8025：NVMe/TCP安全性的使用配置身份验证验证实体（AVE）基于主机和子系统{NQN,Key}记录的完整数据库的卸载验证处理{NQNH1,KH1}{NQNH2,KH2}{NQNH3,KH3}{NQNH4,KH4}…{NQNHn,KHn}{NQNS1,KS1}{NQNS2,KS2}{NQNS3,KS3}{NQNS4,KS4}…{NQNSm,KSm}定义于TP8019子系统S2主机H1主机H4主机H2主机H3子系统S3子系统S4子系统

西米​子系统S1宿主Hn……大道使用AVE的DH-HMAC-CHAP认证NVMe®实体（主机或子系统）和AVE都已配置密钥DH-HMAC-CHAP认证：证明您知道您的密钥主机通过证明其知道主机密钥（Kh）来向控制器进行身份验证。（Kc）来向主机进行身份验证。DH-HMAC-CHAP关键知识演示：挑战/响应协议协议消息中不会传递密钥（密钥始终保密）。器（例如，控制器）发送挑战C；响应方（例如，主机）使用其密钥计算响应（例如，R=HMAC(Kh,C||其他事物)）；验证器（例如，控制器）验证响应DH-HMAC-CHAP响应验证：委托给AVE。类似于RADIUS功能，用于iSCSICHAP身份验证验证需要对AVE进行安全访问（加密和加密完整性——例如，通过TLS）DH-HMAC-CHAP与AVE(1)主持人控制器我的密钥：KhAVE通道密钥配置我的密钥：KcAVE通道DH-HMAC-CHAP与AVE(2)KS=H((gymodp)xmodp)Ca1=(DHgID==0)?C1:HMAC(KS,C1)R1'=HMAC(Kh,Ca1||S1||T_ID||SC_C

||“HostHost”||NQNh||00h||NQNc)Success1=(R1==R1')?是:否授权协商（T_ID、SC_C、AuthID、HashIDList、DHgIDList）DH-HMAC-CHAP_Challenge（T_ID、HashID、DHgID、S1、C1、gxmodp）DH-HMAC-CHAP_回复（T_ID，R1，gymodp，[S2，C2]）主持人控制器我的密钥：KhAVE通道我的密钥：KcAVE通道计算确认KS=H((gymodp)xmodp)Ca1=(DHgID==0)?C1:HMAC(KS,C1)请求AVE验证：{主机NQNh,T_ID,SC_C,HashID,S1,Ca1,NQNc,R1}Success1=由AVE返回KS=H((gxmodp)ymodp)Ca1=(DHgID==0)?C1:HMAC(KS,C1)R1=HMAC(Kh,Ca1||S1||T_ID||SC_C

||“HostHost”||NQNh||00h||NQNc)AVE处理：从NQNh查找KhR1'=HMAC(Kh,Ca1||S1||T_ID||SC_C

||“HostHost”||NQNh||00h||NQNc)Success1=(R1==R1')?是:否密钥配置大道{NQNh,Kh}DH-HMAC-CHAP与AVE(3)KS=H((gxmodp)ymodp)Ca2=(DHgID==0)?C2:HMAC(KS,C2)R2'=HMAC(Kc,Ca2||S2||T_ID||SC_C

||“控制器”||NQNc||00h||NQNh)Success2=(R2==R2')?是:否授权协商（T_ID、SC_C、AuthID、HashIDList、DHgIDList）DH-HMAC-CHAP_Challenge（T_ID、HashID、DHgID、S1、C1、gxmodp）DH-HMAC-CHAP_回复（T_ID，R1，gymodp，[S2，C2]）DH-HMAC-CHAP_Success1（T_ID，[R2]）主持人控制器[DH-HMAC-CHAP_Success2]（T_ID）我的密钥：KhAVE通道密钥配置我的密钥：KcAVE通道KS=H((gymodp)xmodp)Ca2=(DHgID==0)?C2:HMAC(KS,C2)R2=HMAC(Kc,Ca2||S2||T_ID||SC_C

||“控制器”||NQNc||00h||NQNh)KS=H((gxmodp)ymodp)Ca2=(DHgID==0)?C2:HMAC(KS,C2)请求AVE验证：{Contr.NQNc,T_ID,SC_C,HashID,S2,Ca2,NQNh,R2}Success2=由AVE返回KS=H((gymodp)xmodp)Ca1=(DHgID==0)?C1:HMAC(KS,C1)请求AVE验证：{主机NQNh,T_ID,SC_C,HashID,S1,Ca1,NQNc,R1}Success1=由AVE返回KS=H((gxmodp)ymodp)Ca1=(DHgID==0)?C1:HMAC(KS,C1)R1=HMAC(Kh,Ca1||S1||T_ID||SC_C

||“HostHost”||NQNh||00h||NQNc)计算确认AVE处理：从NQNc查找KcR2'=HMAC(Kc,Ca2||S2||T_ID||SC_C

||“控制器”||NQNc||00h||NQNh)Success2=(R2==R2')?是:否大道{NQNc,Kc}使用AVE进行DH-HMAC-CHAP配置大道对于子系统Sx：计算密钥：KSxAVE通道对于主机Hy：计算密钥：KHyAVE通道子系统S2主机H1主机H4主机H2主机H3子系统S3子系统S4子系统

西米​子系统S1宿主Hn……配置比较考虑一个包含100个主机和25个子系统的网络架构。假设所有主机都希望向所有子系统进行身份验证，反之亦然。初始主机配置：普通DH-HMAC-CHAP：每个主机都需要配置自己的密钥和25个子系统验证密钥。DH-HMAC-CHAP+AVE：每台主机都需要配置自己的密钥和AVE访问权限。向织物中添加子系统：普通DH-HMAC-CHAP：所有100台主机都需要重新配置以添加额外的子系统验证密钥。DH-HMAC-CHAP+AVE：无需修改任何主机，只需将额外的子系统密钥添加到AVE即可。初始子系统配置：普通DH-HMAC-CHAP：每个子系统都需要配置自己的密钥和100个主机验证密钥。DH-HMAC-CHAP+AVE：每个子系统都需要配置自己的密钥并获得对AVE的访问权限。主机添加到织物中：普通DH-HMAC-CHAP：所有25个子系统都需要重新配置，以添加额外的主机验证密钥。DH-HMAC-CHAP+AVE：无需修改任何子系统，只需将额外的主机密钥添加到AVE即可。换句话说：身份验证实体使DH-HMAC-CHAP配置具有可扩展性。议程SAN安全框架NVMe-oF™安全协议：验证身份验证验证实体（AVE）安全通道（NVMe®/TCP传输，带TLS）NVMe-oF安全更新：TP8018：带TLS的NVMe/TCP传输更新TP8025：NVMe/TCP安全性的使用配置NVMe®/TCP-TLS传输连接命令连接响应建立NVMe/TCP-TLS传输会话执行Connect交换是为了设置NVMe队列并将主机与控制器关联起来。安全通道和队列已建立，

准备进行后续操作。主持人控制器安全通道和队列设置NVMe/TCP-TLS传输会话建立TLS凭证：目前不支持X.509证书NVMe®X.509证书身份：使用NVMe原生身份NVMe支持不使用Web或IP身份的非IP传输方式（例如，光纤通道、InfiniBand）。预计所有NVMe传输都将采用基于SPDM的证书认证。NVMe证书应使用NVMe原生标识（即NQN，类似于iSCSIIQN的文本字符串）。提醒：证书将身份与公钥绑定，绑定由证书颁发机构（CA）的私钥签名。将证书身份映射到实际身份会削弱安全性，因为这种映射没有签名。要使用NVMeNQN作为证书标识，需要NVMe特有的X.509证书格式。证书生命周期管理（例如，颁发、撤销、更换）问：谁运营颁发和撤销证书的证书颁发机构（CA）？答：供应商，包括原始设备制造商（例如戴尔、HPE）和设备供应商（例如三星、铠侠、希捷）问题：现有的互联网/网络证书颁发机构并非如此运作。PCIe®在这方面引领潮流，而NVMExpress选择观望、等待和学习。TLS凭证：预共享密钥NVMe®/TCP传输的TLS安全通道基于预共享密钥(PSK)。为了通过TLS进行通信，两个NVMe实体需要配置相同的预共享密钥(PSK)。每对实体都需要自己的PSK（限制PSK泄露的“影响范围”）。O(n²)问题：一个具有N个主机和M个子系统的网络需要N×M个PSK。NVMe-oF™认证协议（DH-HMAC-CHAP）来帮忙了身份验证交换成功后，两个NVMe实体会生成一个临时共享会话密钥（动态获取“PSK”的预共享部分）。然后使用从该共享密钥派生的预共享密钥(PSK)执行TLS协商。将TLSPSK配置简化为每个实体单独配置DH-HMAC-CHAP密钥O(n)问题：一个包含N个主机和M个子系统的网络需要N+M个密钥。当AVE部署时原始TLS连接设计连接通信。连接响应。建立TCP会话执行Connect交换是为了设置NVMe®队列并将主机与控制器关联起来。主机与控制器执行身份验证事务，该事务会在主机和控制器之间生成预共享密钥(PSK)。生成的预共享密钥(PSK)用于执行TLS协商并建立安全通道。安全通道和队列已建立，准备进行后续操作。主持人控制器安全通道和队列设置身份验证事务生成预共享密钥使用预共享密钥(PSK)建立TLS安全通道TCP会话建立议程SAN安全框架NVMe-oF™安全协议：验证身份验证验证实体（AVE）安全通道（NVMe®/TCP传输，带TLS）NVMe-oF安全更新：TP8018：带TLS的NVMe/TCP更新PSK范围混淆TLS连接使用机会性TLSTP8025：NVMe/TCP安全性的使用配置问题1：TLSPSK范围NVMe®/TCP传输定义了两种获取PSK的方法……保留的预共享密钥：来自管理员配置的预共享密钥生成的预共享密钥：来自DH-HMAC-CHAP认证交易……以及两个相关的PSK身份因为TLS1.3要求每个预共享密钥(PSK)只能与一个PSK身份关联。“NVMe0R<哈希><NQNh><NQNc>”“NVMe0G<哈希><NQNh><NQNc>”保留的PSK的范围是按实体对定义的。主机与NVM子系统之间的所有TLS会话都使用（单个）保留的预共享密钥（PSK）。生成的PSK的范围没有明确定义。按管理队列还是I/O队列？每个NVMe/TCP控制器？每个实体对？这造成了混乱（见下一张幻灯片）用例1：每个控制器的范围管理员队列I/O队列#1I/O队列#2I/O队列#n…全局状态

（例如，密钥环）生成的PSKTCP握手连接DH-HMAC-CHAPTLS握手TCP握手连接DH-HMAC-CHAPTLS握手全局状态

（例如，密钥环）TCP握手TLS握手连接TCP握手TLS握手连接TCP握手TLS握手连接TCP握手TLS握手连接TCP握手TLS握手连接TCP握手TLS握手连接生成的PSK用例2：按队列范围管理员队列I/O队列#1I/O队列#2I/O队列#n…TCP握手连接DH-HMAC-CHAPTLS握手生成的PSKTCP握手连接DH-HMAC-CHAPTLS握手生成的PSKTCP握手连接DH-HMAC-CHAPTLS握手生成的PSKTCP握手连接DH-HMAC-CHAPTLS握手生成的PSKTCP握手连接DH-HMAC-CHAPTLS握手生成的PSKTCP握手连接DH-HMAC-CHAPTLS握手生成的PSK全局状态

（例如，密钥环）生成的PSKTCP握手连接DH-HMAC-CHAPTLS握手TCP握手连接DH-HMAC-CHAPTLS握手全局状态

（例如，密钥环）生成的PSK用例3：混合范围管理员队列I/O队列#1I/O队列#2…TCP握手连接DH-HMAC-CHAPTLS握手生成的PSKTCP握手连接DH-HMAC-CHAPTLS握手生成的PSK全局状态

（例如，密钥环）生成的PSKTCP握手连接DH-HMAC-CHAPTLS握手TCP握手连接DH-HMAC-CHAPTLS握手全局状态

（例如，密钥环）生成的PSKTCP握手TLS握手连接TCP握手TLS握手连接I/O队列#nTCP握手TLS握手连接TCP握手TLS握手连接TLSPSK：范围混淆及解决方案对两个实体之间生成的所有预共享密钥(PSK)使用同一个预共享密钥身份是有问题的。用例2可以利用TCP连接来消除歧义。可以将生成的预共享密钥(PSK)管理为临时密钥用例1是理想的用例，即在连接到同一控制器的所有连接中重复使用预共享密钥(PSK)。无法将生成的预共享密钥(PSK)管理为仅临时密钥，因为它会被重复使用。无法区分与不同控制器的关联解决方案方法（TP8018）：两部分新的每个PSK唯一标识明确支持PSK的多个作用域。将TLSPSK生成限制在管理员队列中（用例1）I/O队列重用管理队列上生成的预共享密钥(PSK)H子系统C1C2A部分：新的PSK标识：PSK“摘要”计算PSK“摘要”使用与预共享密钥(PSK)关联的安全哈希值（以HMAC的形式）。摘要取决于PSK、NVMe®主机和NVMe子系统标识（作为HMAC输入）<摘要>=Base64(HMAC(PSK,“<NQNh><NQNc>NVMe-over-Fabrics”))Base64转换使结果可打印（ASCII）。PSK身份唯一性：将摘要添加到PSK身份“NVMe01R<hash>NQNh

NQNc

<摘要>”“NVMe01G<hash>NQNh

NQNc

<摘要>”生成的PSK标识唯一地标识实际的PSK唯一性：哈希（HMAC）输出长度至少为256位，以加密方式将预共享密钥(PSK)与其PSK身份绑定。不同的PSK会产生不同的摘要，因此也会产生不同的PSK标识。基于预共享密钥身份的新功能在不同的控制器上使用不同的生成的预共享密钥（PSK标识唯一标识PSK）。额外功能：PSK滚动支持–PSK标识区分新旧PSK支持按实体对范围3232NQNhNQNc3232NQNhNQNcPSK1

PSK-ID1PSK1

PSK-ID1PSK1

PSK-ID1PSK1

PSK-ID1DH-HMAC-CHAPTLS支持协会范围3232NQNhNQNc3232NQNhNQNcPSK2PSK-ID2PSK2PSK-ID2PSK3PSK-ID3PSK3PSK-ID3PSK4PSK-ID4PSK4PSK-ID4DH-HMAC-CHAPPSK1PSK-ID1PSK1PSK-ID1PSK2PSK-ID2PSK2PSK-ID2PSK3PSK-ID3PSK3PSK-ID3PSK4PSK-ID4PSK4PSK-ID4TLSPSK1PSK-ID1PSK1PSK-ID1第二部分：仅支持用例1管理员队列I/O队列#1I/O队列#2I/O队列#n…全局状态

（例如，密钥环）生成的PSKTCP握手连接DH-HMAC-CHAPTLS握手TCP握手连接DH-HMAC-CHAPTLS握手全局状态

（例如，密钥环）TCP握手TLS握手连接TCP握手TLS握手连接TCP握手TLS握手连接TCP握手TLS握手连接TCP握手TLS握手连接TCP握手TLS握手连接生成的PSK议程SAN安全框架NVMe-oF™安全协议：验证身份验证验证实体（AVE）安全通道（NVMe®/TCP传输，带TLS）NVMe-oF安全更新：TP8018：带TLS的NVMe/TCP传输更新PSK范围混淆TLS连接使用机会性TLSTP8025：NVMe/TCP安全性的使用配置一件有趣的事情发生了……

在早期的NVMe®/TCP-TLS实现中原始的TLS级联设计是在TCP流中间切换到TLS。以明文形式执行的DH-HMAC-CHAP认证会生成TLS预共享密钥(PSK)。生成的TLSPSK用于验证TLS握手TLS握手启用TLS，TCP流量在TLS加密下继续传输。这被称为“机会性TLS”。理论很有趣……实践如何呢？实施者：对于在TLS握手期间收到的NVMe命令，我该如何处理？协议设计者：什么？？？这不应该发生！！执行者：但是代码已经那样做了……现在我该怎么办？？事后诸葛亮：机会主义TLS已知问题的示例意外的非TLS流量绕过了正在进行的TLS握手。在TLS的SMTP实现中已发现这种情况。多层协议栈会自动将传入流量定向到正确的协议层。机会性TLS：显式断开连接解决方案第一步：切换到第二个TCP连接断开连接：生成TLS预共享密钥后，移除第一个TCP连接。重新连接：启动第二个TCP连接，使用TLS预共享密钥(PSK)开始TLS握手。如果出现意外的非TLS流量会发生什么情况？由于第二个TCP连接使用了不同的TCP源端口，因此被困在第一个TCP连接（套接字）上。通过拆除/清理第一个TCP连接（套接字）进行比特分拣——可靠地保证丢弃。第二步：意外的非TLS流量总是会关闭第二个连接。检查更简单，因为第二个TCP连接总是以TLS握手开始。关闭TCP连接前，会发送TLS警报（如果适用）。使用显式断开连接的TLS连接管理员队列全局状态

（例如，密钥环）生成的PSKTCP握手ICReq/ICResp连接DH-HMAC-CHAPTCP断开连接TCP握手ICReq/ICResp连接DH-HMAC-CHAPTCP断开连接全局状态

（例如，密钥环）生成的PSKTCPTCPNVMe/TCPNVMe/TCPNVMe-oFNVMe-oF使用显式断开连接的TLS连接拼接全局状态

（例如，密钥环）生成的PSK全局状态

（例如，密钥环）I/O队列#1TCP握手TLS握手ICR/ConnectTCP握手TLS握手ICR/ConnectI/O队列#2TCP握手TLS握手ICR/ConnectTCP握手TLS握手ICR/ConnectI/O队列#n…TCP握手TLS握手ICR/ConnectTCP握手TLS握手ICR/Connect生成的PSK管理员队列TCP握手TLS握手ICReq/ICResp连接TCP握手TLS握手ICReq/ICResp连接TLSTLSNVMe/TCPNVMe/TCPNVMe-oFNVMe-oFTCPTCP更新后的TLS连接建立NVMe®/TCP传输会话执行Connect交换是为了设置管理队列并将主机与控制器关联起来。执行在主机和控制器之间生成预共享密钥(PSK)的身份验证事务NVMe/TCP传输会话已断开连接。使用生成的预共享密钥(PSK)建立NVMe/TCP-TLS传输会话。执行Connect交换是为了设置管理队列并将主机与控制器关联起来。安全通道和队列已建立。使用生成的预共享密钥(PSK)建立NVMe/TCP-TLS传输会话。执行Connect交换是为了建立已建立关联的第一个I/O队列。安全通道和队列已建立。使用生成的预共享密钥(PSK)建立NVMe/TCP-TLS传输会话。执行连接交换是为了建立已建立关联的第N个I/O队列。安全通道和队列已建立。主持人控制器连接命令连接响应身份验证事务生成预共享密钥NVMe/TCP传输会话建立PSKPSKNVMe/TCP传输会话断开安全通道和管理队列设置使用预共享密钥建立NVMe/TCP-TLS传输会话连接命令连接响应安全通道和第一I/O队列设置使用预共享密钥建立NVMe/TCP-TLS传输会话连接命令连接响应安全