亚洲精品影院一区二区-亚洲精品永久一区-亚洲精品中文一区不卡-亚洲精品中文字幕久久久久久-国产亚洲精品aaa大片-国产亚洲精品成人a在线

您好,歡迎光臨電子應(yīng)用網(wǎng)![登錄](méi) [免費(fèi)注冊(cè)] 返回首頁(yè) | | 網(wǎng)站地圖 | 反饋 | 收藏
在應(yīng)用中實(shí)踐
在實(shí)踐中成長(zhǎng)
  • 應(yīng)用
  • 專題
  • 產(chǎn)品
  • 新聞
  • 展會(huì)
  • 活動(dòng)
  • 招聘
當(dāng)前位置:電子應(yīng)用網(wǎng) > 新聞中心 > 正文

淺析目前較典型的四種安全存儲(chǔ)系統(tǒng)

2008年12月09日11:49:25 MSN中文網(wǎng) 我要評(píng)論(2)字號(hào):T | T | T

      安全存儲(chǔ)系統(tǒng)大致可以分為四類:安全網(wǎng)絡(luò)文件系統(tǒng)、加密文件系統(tǒng)、可生存存儲(chǔ)系統(tǒng)和基于存儲(chǔ)的入侵檢測(cè)。它們分別從四個(gè)不同的層次提供存儲(chǔ)系統(tǒng)的機(jī)密性、完整性和可用性。

  安全網(wǎng)絡(luò)文件系統(tǒng)

  基于認(rèn)證和訪問(wèn)控制的網(wǎng)絡(luò)文件系統(tǒng)是較早考慮到安全因素的,包括NFS、AFS、NASD、SFS-RO等。在這類系統(tǒng)中,通過(guò)存儲(chǔ)服務(wù)器的認(rèn)證和訪問(wèn)控制提供數(shù)據(jù)的安全性。大多數(shù)這類系統(tǒng)也對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)加密。但是它們不提供端到端的數(shù)據(jù)安全,也就是說(shuō)它們不保證存儲(chǔ)在存儲(chǔ)服務(wù)器上的數(shù)據(jù)的機(jī)密性和完整性。而是假設(shè)文件服務(wù)器和系統(tǒng)管理員是可信的。

  NASD是卡內(nèi)基.梅隆大學(xué)并行數(shù)據(jù)實(shí)驗(yàn)室提出的新型磁盤系統(tǒng),通過(guò)增加磁盤處理能力構(gòu)成智能磁盤,使得磁盤能判別用戶和加解密數(shù)據(jù);主機(jī)和認(rèn)證服務(wù)器通信獲得權(quán)限密鑰,再和存儲(chǔ)服務(wù)器通信獲得加密密鑰,較后直接和磁盤通信。

  SFS-RO旨在提高大規(guī)?蛻舳嗽L問(wèn)網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)上只讀數(shù)據(jù)的性能,同時(shí)提供一定的安全機(jī)制保證只讀數(shù)據(jù)訪問(wèn)的安全。SFS-RO是在SFS的基礎(chǔ)上發(fā)展起來(lái)的,它通過(guò)增加只讀數(shù)據(jù)的副本,不僅提高了分布式環(huán)境下對(duì)只讀數(shù)據(jù)的可用性,而且通過(guò)一整套安全機(jī)制實(shí)現(xiàn)了只讀數(shù)據(jù)的安全訪問(wèn)。

  加密文件系統(tǒng)

  加密文件系統(tǒng)目標(biāo)是提供端到端的安全,在客戶端執(zhí)行加密操作防止數(shù)據(jù)被文件服務(wù)器和其他未授權(quán)用戶竊取或篡改。這些系統(tǒng)將密碼操作(加密/解密、簽名/驗(yàn)證)嵌入文件系統(tǒng)中。文件服務(wù)器被賦予較小的信任,由于它們不參與加密/解密過(guò)程,它們永遠(yuǎn)無(wú)法獲知可讀的文本。這類系統(tǒng)面對(duì)的主要問(wèn)題是密鑰管理。包括密鑰的粒度、密鑰的存儲(chǔ)、共享策略?梢哉f(shuō)靈活高效的密鑰管理策略是提高存儲(chǔ)安全系統(tǒng)效率的重要因素。另外,這類系統(tǒng)還要有效解決權(quán)限撤銷(Revocation)時(shí)文件的重加密帶來(lái)的額外開(kāi)銷。

  Goh于2003年提出了可應(yīng)用于網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)中的中間件層安全系統(tǒng)SiRiUS,它不需要修改存儲(chǔ)系統(tǒng)中的任何部分,通過(guò)截獲、轉(zhuǎn)換訪問(wèn)數(shù)據(jù)系統(tǒng)調(diào)用實(shí)現(xiàn)安全功能,使用多對(duì)對(duì)應(yīng)不同權(quán)限者的公開(kāi)密鑰實(shí)現(xiàn)傳輸認(rèn)證和授權(quán)。SiRiUS是在現(xiàn)有的不可信的網(wǎng)絡(luò)文件系統(tǒng)(如NFS,CIFS等)上提供文件讀寫(xiě)的加密訪問(wèn)。加州大學(xué)圣克魯斯分校的SNAD是一個(gè)基于分布式文件的存儲(chǔ)系統(tǒng),磁盤具有一定的計(jì)算能力,能夠進(jìn)行一些基本的存儲(chǔ)管理和用戶認(rèn)證的功能。客戶端加密所有的數(shù)據(jù)后,將加密數(shù)據(jù)存儲(chǔ)在盤上。密鑰管理是一種鎖盒子(lockbox)方法,而lockbox存儲(chǔ)在一個(gè)可信的服務(wù)器上。如果共享用戶要讀數(shù)據(jù),則用戶需從lockbox服務(wù)器上得到密鑰,然后再?gòu)拇疟P上讀出加密數(shù)據(jù),然后再用密鑰解密。

  存儲(chǔ)系統(tǒng)中的數(shù)據(jù)加密技術(shù)的實(shí)現(xiàn)分成三類:基于主機(jī)、基于網(wǎng)絡(luò)(數(shù)據(jù)傳輸)以及基于磁帶機(jī)。這有點(diǎn)類似實(shí)現(xiàn)虛擬存儲(chǔ)的劃分方式。

  基于主機(jī)層的數(shù)據(jù)加密技術(shù),通常是一些軟件廠商在服務(wù)器端就對(duì)數(shù)據(jù)進(jìn)行加密處理,如VERITAS NetBackup的加密軟件。通過(guò)內(nèi)部網(wǎng)絡(luò)傳送到服務(wù)器時(shí),資料已是加密狀態(tài),然后再通過(guò)存儲(chǔ)網(wǎng)絡(luò)傳送到磁帶做備份。但這會(huì)加重服務(wù)器的工作負(fù)荷,影響系統(tǒng)整體性能,同時(shí)還會(huì)增加數(shù)據(jù)管理與調(diào)用的復(fù)雜性。所以,基本上只適用于需要進(jìn)行點(diǎn)對(duì)點(diǎn)加密的小型企業(yè)。

  基于網(wǎng)絡(luò)層的數(shù)據(jù)加密技術(shù),事實(shí)上就是在設(shè)備I/O的端口外接一個(gè)硬件加密裝置。在數(shù)據(jù)傳輸?shù)倪^(guò)程中,對(duì)所有經(jīng)過(guò)的數(shù)據(jù)都一視同仁地做了加密。NetApp剛剛收購(gòu)的Decru公司以及NeoScale都是采用這種方式。這種加密雖說(shuō)比較完整,但由于不對(duì)加密數(shù)據(jù)進(jìn)行區(qū)別,無(wú)疑增加了加密裝置的負(fù)擔(dān)。

  基于磁帶機(jī)方式的數(shù)據(jù)加密技術(shù),通過(guò)在磁帶機(jī)上對(duì)數(shù)據(jù)進(jìn)行加密,使數(shù)據(jù)得到更安全的保護(hù),且不需要額外的管理和備份策略的改變。這就是把以前的 WORM磁帶擴(kuò)展成磁帶機(jī)對(duì)所有的磁帶進(jìn)行加密。

  三種加密方式都有各自的優(yōu)勢(shì)與缺陷所在,但由于在長(zhǎng)期歸檔、固定內(nèi)容和法規(guī)遵從這些需求上,有的用戶更傾向于使用磁帶技術(shù),所以在加密要求下,通過(guò)磁帶機(jī)/庫(kù)這種方式有更強(qiáng)的優(yōu)勢(shì)。而且,相對(duì)前面兩種方式,使用磁帶加密的方式在市場(chǎng)上出現(xiàn)的較早,而在法規(guī)推出之后,基本上所有的磁帶廠商都有各自的支持加密的產(chǎn)品。

可生存存儲(chǔ)系統(tǒng)

  可生存存儲(chǔ)的概念是由卡內(nèi)基·梅隆大學(xué)的PASIS項(xiàng)目組提出的,它所基于的設(shè)計(jì)理念是:傳統(tǒng)的構(gòu)建安全系統(tǒng)的方法是采用防御機(jī)制抵御外來(lái)入侵以達(dá)到安全目標(biāo),而在由成千上萬(wàn)結(jié)點(diǎn)組成的分布式系統(tǒng)中,結(jié)點(diǎn)失效或被攻擊應(yīng)被視為普通事件而非異常。因此安全存儲(chǔ)系統(tǒng)的設(shè)計(jì)目標(biāo)不應(yīng)是避免結(jié)點(diǎn)失效,而是如何在部分節(jié)點(diǎn)失陷的情況下使系統(tǒng)仍能提供安全的、可信賴的服務(wù),保證數(shù)據(jù)的機(jī)密性和完整性,并能對(duì)入侵造成的損失進(jìn)行還原或修復(fù)

  PASIS采用閾值方案,將一個(gè)文件分成多個(gè)數(shù)據(jù)段,分別存儲(chǔ)到各個(gè)服務(wù)節(jié)點(diǎn)上,當(dāng)用戶需要訪問(wèn)時(shí),必須要訪問(wèn)各個(gè)存儲(chǔ)服務(wù)器,當(dāng)一個(gè)服務(wù)節(jié)點(diǎn)被攻破時(shí),并不能泄漏任何完整的文件信息,保證了在存儲(chǔ)服務(wù)器被攻破后,仍然能夠保護(hù)數(shù)據(jù)的保密性。閾值方案簡(jiǎn)單的說(shuō)就是p-m-n(n>m>p)問(wèn)題。所有的文件都被分段,并按照一定的策略存放到n個(gè)服務(wù)節(jié)點(diǎn)上,用戶通過(guò)讀取這n個(gè)存儲(chǔ)節(jié)點(diǎn)中的m個(gè)存儲(chǔ)節(jié)點(diǎn)(n>m),就能夠在客戶端合成完整的文件,這樣就實(shí)現(xiàn)了將安全控制分散到文件服務(wù)節(jié)點(diǎn)上,實(shí)現(xiàn)了文件的安全性。即使有p-1個(gè)(n>m>p)服務(wù)節(jié)點(diǎn)被占領(lǐng),也不會(huì)造成任何完整信息泄漏。

  除PASIS項(xiàng)目外,可生存存儲(chǔ)相關(guān)項(xiàng)目的研究較為知名的是加州大學(xué)伯克利分校的OceanStore項(xiàng)目,它提出一個(gè)覆蓋全球的信息持久存儲(chǔ)基礎(chǔ)設(shè)施,來(lái)提供高可擴(kuò)展和高可用的信息存儲(chǔ)服務(wù)。為了確保數(shù)據(jù)的機(jī)密性和可用性,OceanStore將加密后的對(duì)象副本存放到分布于全球的多個(gè)結(jié)點(diǎn)上。相關(guān)研究還包括開(kāi)源項(xiàng)目Freenet、IBM研究院的e-Vault、紐約大學(xué)的Publius等。

  在可生存存儲(chǔ)系統(tǒng)中,必須對(duì)數(shù)據(jù)進(jìn)行分片編碼,較常見(jiàn)的一些數(shù)據(jù)分片編碼算法都是基于門限方案(threshold scheme)來(lái)實(shí)現(xiàn)的。PASIS中提出一般性p-m-n門限方案的概念,即將文件經(jīng)過(guò)編碼分成n個(gè)分片,滿足:少于p個(gè)分片不能獲得文件的任何信息,任意大于或等于m個(gè)分片可以恢復(fù)出原始文件。所有的數(shù)據(jù)分片編碼算法均可視為這種一般性門限方案p、m、n取不同值的實(shí)例,如信息分布算法(Information Dispersal Algorithm)、Ramp方案等。

  一般來(lái)說(shuō),門限方案由于能夠同時(shí)提供安全性和可用性,因此相比于DES、AES等基于數(shù)據(jù)塊的加密算法,更適合應(yīng)用在分布式存儲(chǔ)系統(tǒng)中提高系統(tǒng)的可生存性。但是由于這類算法一般帶有較大的計(jì)算和存儲(chǔ)額外開(kāi)銷。近些年來(lái),已有一些研究者在傳統(tǒng)的門限方案的基礎(chǔ)上做出改進(jìn),以降低原有算法的計(jì)算復(fù)雜度并提高安全性,但這方面研究目前尚處于探索階段,還沒(méi)有十分成熟的算法提出。

基于存儲(chǔ)的入侵檢測(cè)系統(tǒng)

  隨著存儲(chǔ)系統(tǒng)的規(guī)模越來(lái)越大,提供的服務(wù)也越來(lái)越多樣化,系統(tǒng)越來(lái)越復(fù)雜,也不容易維護(hù)。而且惡意病毒、木馬程序、入侵等一系列因素使得系統(tǒng)的安全性越來(lái)越難得到保證。為此,人們產(chǎn)生了將系統(tǒng)的安全保障劃分到一個(gè)個(gè)子模塊中分別進(jìn)行處理的思路。這類系統(tǒng)實(shí)際上是在存儲(chǔ)設(shè)備或文件服務(wù)器中嵌入入侵檢測(cè)系統(tǒng)(IDS),這類系統(tǒng)的主要代表是卡內(nèi)基·梅隆大學(xué)CMU的S4-自安全存儲(chǔ)Self-Securing Storage系統(tǒng)

  卡內(nèi)基·梅隆大學(xué)提出的自安全的存儲(chǔ)設(shè)備從較底層硬件實(shí)施了對(duì)數(shù)據(jù)的保護(hù)。它具有一種新的安全特性,即存儲(chǔ)磁盤甚至可以不信任本機(jī)的操作系統(tǒng),懷疑所有對(duì)數(shù)據(jù)的讀寫(xiě)請(qǐng)求。在自安全的存儲(chǔ)磁盤內(nèi)部有一個(gè)嵌入式的子系統(tǒng),通過(guò)內(nèi)置的操作的指令對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行管理。其優(yōu)點(diǎn)還包括,只需占用很少的資源來(lái)實(shí)現(xiàn)入侵檢測(cè)、錯(cuò)誤診斷以及數(shù)據(jù)恢復(fù)等?梢愿`活地實(shí)施安全性和完整性檢查。自安全的存儲(chǔ)設(shè)備不僅可以對(duì)存儲(chǔ)在其上的數(shù)據(jù)實(shí)施保護(hù),還可以進(jìn)行數(shù)據(jù)訪問(wèn)控制。即使操作系統(tǒng)被入侵,自安全的存儲(chǔ)磁盤還可以通過(guò)訪問(wèn)控制對(duì)數(shù)據(jù)進(jìn)行保護(hù)。自安全的存儲(chǔ)設(shè)備使系統(tǒng)從軟件和硬件兩個(gè)方面分別實(shí)施安全保護(hù),增強(qiáng)了整體的安全性能,也起到了一定的容侵容錯(cuò)作用。

  Datafort簡(jiǎn)介

  由于存儲(chǔ)安全技術(shù)的巨大的實(shí)用價(jià)值,近幾年不但在學(xué)術(shù)界積極展開(kāi)研究,工業(yè)界也出現(xiàn)了一批轉(zhuǎn)注于此領(lǐng)域的存儲(chǔ)廠商,并推出了多款存儲(chǔ)安全產(chǎn)品,如Decru公司的Datafort,Neoscale公司的CryptoStor,Vormetric公司的CoreGuard等。下面就其中的典型代表Decru的Datafort作簡(jiǎn)要介紹。

  Decru DataFort 設(shè)備是企業(yè)級(jí)的存儲(chǔ)加密系統(tǒng),它是一種基于網(wǎng)絡(luò)的加密系統(tǒng),典型的部署方式是采用后端加密方式運(yùn)作,將DataFort直接接上IP 交換器或光纖信道交換器,透過(guò)交換器將前端送來(lái)的數(shù)據(jù)指向DataFort,經(jīng)DataFort加密后才會(huì)送到儲(chǔ)存裝置。通過(guò)引入專用的網(wǎng)絡(luò)設(shè)備(appliance)進(jìn)行加密和密鑰管理,實(shí)現(xiàn)了硬件線速加密和對(duì)前端用戶的透明,可以用于SAN(Datafort FC系列)或NAS(Datafor E系列)中的關(guān)鍵數(shù)據(jù)保護(hù)。

  Datafort的專用設(shè)備位于客戶端和存儲(chǔ)服務(wù)器的數(shù)據(jù)通路之中,它集成了數(shù)據(jù)加密、密鑰管理、基于策略的訪問(wèn)控制和安全審計(jì)功能。專用設(shè)備截獲用戶的存儲(chǔ)訪問(wèn)請(qǐng)求,通過(guò)協(xié)議解析(NFS、CIFS、iSCSI等)得到其中的數(shù)據(jù),并根據(jù)用戶預(yù)先設(shè)定的策略進(jìn)行相應(yīng)的加解密操作。其中由硬件實(shí)現(xiàn)的AES256 加密對(duì)性能的影響幾乎可忽略不計(jì)。Datafort的體系結(jié)構(gòu)如圖所示。

  未來(lái)發(fā)展

  2006年數(shù)據(jù)保護(hù)是存儲(chǔ)界較具影響力的事件之一。企業(yè)擁有的有價(jià)值數(shù)據(jù)越多,數(shù)據(jù)泄密的風(fēng)險(xiǎn)就越大。IDC在較近關(guān)于存儲(chǔ)管理的調(diào)查中發(fā)現(xiàn):36.3%的公司將“提高數(shù)據(jù)可用性、安全性和數(shù)據(jù)恢復(fù)”作為它們的首選。

  在學(xué)術(shù)領(lǐng)域,存儲(chǔ)安全逐漸得到關(guān)注,IEEE計(jì)算機(jī)協(xié)會(huì)主辦的存儲(chǔ)安全工作組會(huì)議(Security in Storage Workshop,SISW)已經(jīng)舉辦了三屆;2005年ACM創(chuàng)辦了存儲(chǔ)安全性與可生存性工作組會(huì)議(Storage Security and Survivability,StorageSS)。

  在工業(yè)界,EMC、IBM、HP、Symantec等公司在各自的存儲(chǔ)產(chǎn)品中增加了安全機(jī)制。HP在其存儲(chǔ)服務(wù)器中加入了Lustre對(duì)象存儲(chǔ)文件系統(tǒng);Panasas推出了面向?qū)ο蟮牟⑿屑捍鎯?chǔ)系統(tǒng),將對(duì)象機(jī)制加入文件級(jí)存儲(chǔ)訪問(wèn)。存儲(chǔ)網(wǎng)絡(luò)工業(yè)協(xié)會(huì)(Storage Networking Industry Association, SNIA)成立了存儲(chǔ)安全工業(yè)論壇(Storage Security Industry Forum,SSIF)來(lái)推動(dòng)存儲(chǔ)安全的發(fā)展;還成立對(duì)象存儲(chǔ)設(shè)備(Object-based Storage Device,OSD)工作組,發(fā)布了ANSI的X3 T10標(biāo)準(zhǔn),該標(biāo)準(zhǔn)對(duì)SCSI標(biāo)準(zhǔn)進(jìn)行擴(kuò)充,在指令級(jí)這一層次增加了安全方法。

  縱觀近幾年產(chǎn)業(yè)界的發(fā)展,存儲(chǔ)安全技術(shù)的發(fā)展趨勢(shì)是集成化和標(biāo)準(zhǔn)化。集成化是指越來(lái)越多的安全功能已通過(guò)專用硬件實(shí)現(xiàn),并無(wú)縫集成到整個(gè)系統(tǒng)中。硬件方法不占用主機(jī)的資源,可以做到對(duì)用戶透明,將加解密對(duì)性能的影響降到較低,并且可以避免軟件方法固有的安全隱患,較大限度的保證整個(gè)系統(tǒng)的安全性;標(biāo)準(zhǔn)化是指一套通用的密鑰管理接口,F(xiàn)有的系統(tǒng)多采用自己專用的密鑰管理接口,因此不同產(chǎn)品直接很難做到互操作,F(xiàn)在已有廠商,如EMC和Decru已經(jīng)著手制定一套通用的密鑰管理API標(biāo)準(zhǔn),其目標(biāo)是使符合該標(biāo)準(zhǔn)的產(chǎn)品具有互操作性,這必將大大加速相關(guān)技術(shù)的實(shí)用化進(jìn)程。

  存儲(chǔ)安全從上世紀(jì)九十年代末開(kāi)始,逐漸從網(wǎng)絡(luò)安全中脫離出來(lái),發(fā)展成信息安全中獨(dú)立的領(lǐng)域,以美國(guó)為主的發(fā)達(dá)國(guó)家各研究機(jī)構(gòu)在政府的支持下大力開(kāi)展相關(guān)研究,并取得了很多成果。而目前國(guó)內(nèi)大量的研究、開(kāi)發(fā)和實(shí)際應(yīng)用都集中在網(wǎng)絡(luò)安全和系統(tǒng)安全上。存儲(chǔ)安全的研究與技術(shù)開(kāi)發(fā)處于空白。很多存儲(chǔ)廠商所謂“存儲(chǔ)安全產(chǎn)品”也僅止步于初級(jí)加密,更沒(méi)有自己的關(guān)鍵技術(shù),而國(guó)內(nèi)研發(fā)和生產(chǎn)存儲(chǔ)保護(hù)產(chǎn)品尚存在技術(shù)上的困難。因此,研究和開(kāi)發(fā)具有自主知識(shí)產(chǎn)權(quán)的存儲(chǔ)安全技術(shù)和產(chǎn)品,對(duì)我國(guó)的信息安全基礎(chǔ)設(shè)施建設(shè),具有重要的戰(zhàn)略意義。

相關(guān)閱讀:

    沒(méi)有相關(guān)新聞...
網(wǎng)友評(píng)論:已有2條評(píng)論 點(diǎn)擊查看
登錄 (請(qǐng)登錄發(fā)言,并遵守相關(guān)規(guī)定)
如果您對(duì)新聞?lì)l道有任何意見(jiàn)或建議,請(qǐng)到交流平臺(tái)反饋。【反饋意見(jiàn)】
關(guān)于我們 | 聯(lián)系我們 | 本站動(dòng)態(tài) | 廣告服務(wù) | 歡迎投稿 | 友情鏈接 | 法律聲明
Copyright (c) 2008-2025 01ea.com.All rights reserved.
電子應(yīng)用網(wǎng) 京ICP備12009123號(hào)-2 京公網(wǎng)安備110105003345號(hào)