安全存儲(chǔ)系統(tǒng)大致可以分為四類：安全網(wǎng)絡(luò)文件系統(tǒng)、加密文件系統(tǒng)、可生存存儲(chǔ)系統(tǒng)和基于存儲(chǔ)的入侵檢測(cè)。它們分別從四個(gè)不同的層次提供存儲(chǔ)系統(tǒng)的機(jī)密性、完整性和可用性。

　　安全網(wǎng)絡(luò)文件系統(tǒng)

　　基于認(rèn)證和訪問(wèn)控制的網(wǎng)絡(luò)文件系統(tǒng)是較早考慮到安全因素的，包括NFS、AFS、NASD、SFS-RO等。在這類系統(tǒng)中，通過(guò)存儲(chǔ)服務(wù)器的認(rèn)證和訪問(wèn)控制提供數(shù)據(jù)的安全性。大多數(shù)這類系統(tǒng)也對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)加密。但是它們不提供端到端的數(shù)據(jù)安全，也就是說(shuō)它們不保證存儲(chǔ)在存儲(chǔ)服務(wù)器上的數(shù)據(jù)的機(jī)密性和完整性。而是假設(shè)文件服務(wù)器和系統(tǒng)管理員是可信的。

　　NASD是卡內(nèi)基.梅隆大學(xué)并行數(shù)據(jù)實(shí)驗(yàn)室提出的新型磁盤系統(tǒng)，通過(guò)增加磁盤處理能力構(gòu)成智能磁盤，使得磁盤能判別用戶和加解密數(shù)據(jù);主機(jī)和認(rèn)證服務(wù)器通信獲得權(quán)限密鑰，再和存儲(chǔ)服務(wù)器通信獲得加密密鑰，較后直接和磁盤通信。

　　SFS-RO旨在提高大規(guī)�？蛻舳嗽L問(wèn)網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)上只讀數(shù)據(jù)的性能，同時(shí)提供一定的安全機(jī)制保證只讀數(shù)據(jù)訪問(wèn)的安全。SFS-RO是在SFS的基礎(chǔ)上發(fā)展起來(lái)的，它通過(guò)增加只讀數(shù)據(jù)的副本，不僅提高了分布式環(huán)境下對(duì)只讀數(shù)據(jù)的可用性，而且通過(guò)一整套安全機(jī)制實(shí)現(xiàn)了只讀數(shù)據(jù)的安全訪問(wèn)。

　　加密文件系統(tǒng)

　　加密文件系統(tǒng)目標(biāo)是提供端到端的安全，在客戶端執(zhí)行加密操作防止數(shù)據(jù)被文件服務(wù)器和其他未授權(quán)用戶竊取或篡改。這些系統(tǒng)將密碼操作(加密/解密、簽名/驗(yàn)證)嵌入文件系統(tǒng)中。文件服務(wù)器被賦予較小的信任，由于它們不參與加密/解密過(guò)程，它們永遠(yuǎn)無(wú)法獲知可讀的文本。這類系統(tǒng)面對(duì)的主要問(wèn)題是密鑰管理。包括密鑰的粒度、密鑰的存儲(chǔ)、共享策略�？梢哉f(shuō)靈活高效的密鑰管理策略是提高存儲(chǔ)安全系統(tǒng)效率的重要因素。另外，這類系統(tǒng)還要有效解決權(quán)限撤銷(Revocation)時(shí)文件的重加密帶來(lái)的額外開(kāi)銷。

　　Goh于2003年提出了可應(yīng)用于網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)中的中間件層安全系統(tǒng)SiRiUS，它不需要修改存儲(chǔ)系統(tǒng)中的任何部分，通過(guò)截獲、轉(zhuǎn)換訪問(wèn)數(shù)據(jù)系統(tǒng)調(diào)用實(shí)現(xiàn)安全功能，使用多對(duì)對(duì)應(yīng)不同權(quán)限者的公開(kāi)密鑰實(shí)現(xiàn)傳輸認(rèn)證和授權(quán)。SiRiUS是在現(xiàn)有的不可信的網(wǎng)絡(luò)文件系統(tǒng)(如NFS,CIFS等)上提供文件讀寫(xiě)的加密訪問(wèn)。加州大學(xué)圣克魯斯分校的SNAD是一個(gè)基于分布式文件的存儲(chǔ)系統(tǒng)，磁盤具有一定的計(jì)算能力，能夠進(jìn)行一些基本的存儲(chǔ)管理和用戶認(rèn)證的功能。客戶端加密所有的數(shù)據(jù)后，將加密數(shù)據(jù)存儲(chǔ)在盤上。密鑰管理是一種鎖盒子(lockbox)方法，而lockbox存儲(chǔ)在一個(gè)可信的服務(wù)器上。如果共享用戶要讀數(shù)據(jù)，則用戶需從lockbox服務(wù)器上得到密鑰，然后再?gòu)拇疟P上讀出加密數(shù)據(jù)，然后再用密鑰解密。

　　存儲(chǔ)系統(tǒng)中的數(shù)據(jù)加密技術(shù)的實(shí)現(xiàn)分成三類：基于主機(jī)、基于網(wǎng)絡(luò)(數(shù)據(jù)傳輸)以及基于磁帶機(jī)。這有點(diǎn)類似實(shí)現(xiàn)虛擬存儲(chǔ)的劃分方式。

　　基于主機(jī)層的數(shù)據(jù)加密技術(shù)，通常是一些軟件廠商在服務(wù)器端就對(duì)數(shù)據(jù)進(jìn)行加密處理，如VERITAS NetBackup的加密軟件。通過(guò)內(nèi)部網(wǎng)絡(luò)傳送到服務(wù)器時(shí)，資料已是加密狀態(tài)，然后再通過(guò)存儲(chǔ)網(wǎng)絡(luò)傳送到磁帶做備份。但這會(huì)加重服務(wù)器的工作負(fù)荷，影響系統(tǒng)整體性能，同時(shí)還會(huì)增加數(shù)據(jù)管理與調(diào)用的復(fù)雜性。所以，基本上只適用于需要進(jìn)行點(diǎn)對(duì)點(diǎn)加密的小型企業(yè)。

　　基于網(wǎng)絡(luò)層的數(shù)據(jù)加密技術(shù)，事實(shí)上就是在設(shè)備I/O的端口外接一個(gè)硬件加密裝置。在數(shù)據(jù)傳輸?shù)倪^(guò)程中，對(duì)所有經(jīng)過(guò)的數(shù)據(jù)都一視同仁地做了加密。NetApp剛剛收購(gòu)的Decru公司以及NeoScale都是采用這種方式。這種加密雖說(shuō)比較完整，但由于不對(duì)加密數(shù)據(jù)進(jìn)行區(qū)別，無(wú)疑增加了加密裝置的負(fù)擔(dān)。

　　基于磁帶機(jī)方式的數(shù)據(jù)加密技術(shù)，通過(guò)在磁帶機(jī)上對(duì)數(shù)據(jù)進(jìn)行加密，使數(shù)據(jù)得到更安全的保護(hù)，且不需要額外的管理和備份策略的改變。這就是把以前的 WORM磁帶擴(kuò)展成磁帶機(jī)對(duì)所有的磁帶進(jìn)行加密。

　　三種加密方式都有各自的優(yōu)勢(shì)與缺陷所在，但由于在長(zhǎng)期歸檔、固定內(nèi)容和法規(guī)遵從這些需求上，有的用戶更傾向于使用磁帶技術(shù)，所以在加密要求下，通過(guò)磁帶機(jī)/庫(kù)這種方式有更強(qiáng)的優(yōu)勢(shì)。而且，相對(duì)前面兩種方式，使用磁帶加密的方式在市場(chǎng)上出現(xiàn)的較早，而在法規(guī)推出之后，基本上所有的磁帶廠商都有各自的支持加密的產(chǎn)品。

可生存存儲(chǔ)系統(tǒng)

　　可生存存儲(chǔ)的概念是由卡內(nèi)基·梅隆大學(xué)的PASIS項(xiàng)目組提出的，它所基于的設(shè)計(jì)理念是：傳統(tǒng)的構(gòu)建安全系統(tǒng)的方法是采用防御機(jī)制抵御外來(lái)入侵以達(dá)到安全目標(biāo)，而在由成千上萬(wàn)結(jié)點(diǎn)組成的分布式系統(tǒng)中，結(jié)點(diǎn)失效或被攻擊應(yīng)被視為普通事件而非異常。因此安全存儲(chǔ)系統(tǒng)的設(shè)計(jì)目標(biāo)不應(yīng)是避免結(jié)點(diǎn)失效，而是如何在部分節(jié)點(diǎn)失陷的情況下使系統(tǒng)仍能提供安全的、可信賴的服務(wù)，保證數(shù)據(jù)的機(jī)密性和完整性，并能對(duì)入侵造成的損失進(jìn)行還原或修復(fù)

　　PASIS采用閾值方案，將一個(gè)文件分成多個(gè)數(shù)據(jù)段，分別存儲(chǔ)到各個(gè)服務(wù)節(jié)點(diǎn)上，當(dāng)用戶需要訪問(wèn)時(shí)，必須要訪問(wèn)各個(gè)存儲(chǔ)服務(wù)器，當(dāng)一個(gè)服務(wù)節(jié)點(diǎn)被攻破時(shí)，并不能泄漏任何完整的文件信息，保證了在存儲(chǔ)服務(wù)器被攻破后，仍然能夠保護(hù)數(shù)據(jù)的保密性。閾值方案簡(jiǎn)單的說(shuō)就是p-m-n(n>m>p)問(wèn)題。所有的文件都被分段，并按照一定的策略存放到n個(gè)服務(wù)節(jié)點(diǎn)上，用戶通過(guò)讀取這n個(gè)存儲(chǔ)節(jié)點(diǎn)中的m個(gè)存儲(chǔ)節(jié)點(diǎn)(n>m),就能夠在客戶端合成完整的文件，這樣就實(shí)現(xiàn)了將安全控制分散到文件服務(wù)節(jié)點(diǎn)上，實(shí)現(xiàn)了文件的安全性。即使有p-1個(gè)(n>m>p)服務(wù)節(jié)點(diǎn)被占領(lǐng)，也不會(huì)造成任何完整信息泄漏。

　　除PASIS項(xiàng)目外，可生存存儲(chǔ)相關(guān)項(xiàng)目的研究較為知名的是加州大學(xué)伯克利分校的OceanStore項(xiàng)目，它提出一個(gè)覆蓋全球的信息持久存儲(chǔ)基礎(chǔ)設(shè)施，來(lái)提供高可擴(kuò)展和高可用的信息存儲(chǔ)服務(wù)。為了確保數(shù)據(jù)的機(jī)密性和可用性，OceanStore將加密后的對(duì)象副本存放到分布于全球的多個(gè)結(jié)點(diǎn)上。相關(guān)研究還包括開(kāi)源項(xiàng)目Freenet、IBM研究院的e-Vault、紐約大學(xué)的Publius等。

　　在可生存存儲(chǔ)系統(tǒng)中，必須對(duì)數(shù)據(jù)進(jìn)行分片編碼，較常見(jiàn)的一些數(shù)據(jù)分片編碼算法都是基于門限方案(threshold scheme)來(lái)實(shí)現(xiàn)的。PASIS中提出一般性p-m-n門限方案的概念，即將文件經(jīng)過(guò)編碼分成n個(gè)分片，滿足：少于p個(gè)分片不能獲得文件的任何信息，任意大于或等于m個(gè)分片可以恢復(fù)出原始文件。所有的數(shù)據(jù)分片編碼算法均可視為這種一般性門限方案p、m、n取不同值的實(shí)例，如信息分布算法(Information Dispersal Algorithm)、Ramp方案等。

　　一般來(lái)說(shuō)，門限方案由于能夠同時(shí)提供安全性和可用性，因此相比于DES、AES等基于數(shù)據(jù)塊的加密算法，更適合應(yīng)用在分布式存儲(chǔ)系統(tǒng)中提高系統(tǒng)的可生存性。但是由于這類算法一般帶有較大的計(jì)算和存儲(chǔ)額外開(kāi)銷。近些年來(lái)，已有一些研究者在傳統(tǒng)的門限方案的基礎(chǔ)上做出改進(jìn)，以降低原有算法的計(jì)算復(fù)雜度并提高安全性，但這方面研究目前尚處于探索階段，還沒(méi)有十分成熟的算法提出。

基于存儲(chǔ)的入侵檢測(cè)系統(tǒng)

　　隨著存儲(chǔ)系統(tǒng)的規(guī)模越來(lái)越大，提供的服務(wù)也越來(lái)越多樣化，系統(tǒng)越來(lái)越復(fù)雜，也不容易維護(hù)。而且惡意病毒、木馬程序、入侵等一系列因素使得系統(tǒng)的安全性越來(lái)越難得到保證。為此，人們產(chǎn)生了將系統(tǒng)的安全保障劃分到一個(gè)個(gè)子模塊中分別進(jìn)行處理的思路。這類系統(tǒng)實(shí)際上是在存儲(chǔ)設(shè)備或文件服務(wù)器中嵌入入侵檢測(cè)系統(tǒng)(IDS)，這類系統(tǒng)的主要代表是卡內(nèi)基·梅隆大學(xué)CMU的S4-自安全存儲(chǔ)Self-Securing Storage系統(tǒng)

　　卡內(nèi)基·梅隆大學(xué)提出的自安全的存儲(chǔ)設(shè)備從較底層硬件實(shí)施了對(duì)數(shù)據(jù)的保護(hù)。它具有一種新的安全特性，即存儲(chǔ)磁盤甚至可以不信任本機(jī)的操作系統(tǒng)，懷疑所有對(duì)數(shù)據(jù)的讀寫(xiě)請(qǐng)求。在自安全的存儲(chǔ)磁盤內(nèi)部有一個(gè)嵌入式的子系統(tǒng)，通過(guò)內(nèi)置的操作的指令對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行管理。其優(yōu)點(diǎn)還包括，只需占用很少的資源來(lái)實(shí)現(xiàn)入侵檢測(cè)、錯(cuò)誤診斷以及數(shù)據(jù)恢復(fù)等�？梢愿�靈活地實(shí)施安全性和完整性檢查。自安全的存儲(chǔ)設(shè)備不僅可以對(duì)存儲(chǔ)在其上的數(shù)據(jù)實(shí)施保護(hù)，還可以進(jìn)行數(shù)據(jù)訪問(wèn)控制。即使操作系統(tǒng)被入侵，自安全的存儲(chǔ)磁盤還可以通過(guò)訪問(wèn)控制對(duì)數(shù)據(jù)進(jìn)行保護(hù)。自安全的存儲(chǔ)設(shè)備使系統(tǒng)從軟件和硬件兩個(gè)方面分別實(shí)施安全保護(hù)，增強(qiáng)了整體的安全性能，也起到了一定的容侵容錯(cuò)作用。

　　Datafort簡(jiǎn)介

　　由于存儲(chǔ)安全技術(shù)的巨大的實(shí)用價(jià)值，近幾年不但在學(xué)術(shù)界積極展開(kāi)研究，工業(yè)界也出現(xiàn)了一批轉(zhuǎn)注于此領(lǐng)域的存儲(chǔ)廠商，并推出了多款存儲(chǔ)安全產(chǎn)品，如Decru公司的Datafort，Neoscale公司的CryptoStor，Vormetric公司的CoreGuard等。下面就其中的典型代表Decru的Datafort作簡(jiǎn)要介紹。

　　Decru DataFort 設(shè)備是企業(yè)級(jí)的存儲(chǔ)加密系統(tǒng)，它是一種基于網(wǎng)絡(luò)的加密系統(tǒng)，典型的部署方式是采用后端加密方式運(yùn)作，將DataFort直接接上IP 交換器或光纖信道交換器，透過(guò)交換器將前端送來(lái)的數(shù)據(jù)指向DataFort，經(jīng)DataFort加密后才會(huì)送到儲(chǔ)存裝置。通過(guò)引入專用的網(wǎng)絡(luò)設(shè)備(appliance)進(jìn)行加密和密鑰管理，實(shí)現(xiàn)了硬件線速加密和對(duì)前端用戶的透明，可以用于SAN(Datafort FC系列)或NAS(Datafor E系列)中的關(guān)鍵數(shù)據(jù)保護(hù)。

　　Datafort的專用設(shè)備位于客戶端和存儲(chǔ)服務(wù)器的數(shù)據(jù)通路之中，它集成了數(shù)據(jù)加密、密鑰管理、基于策略的訪問(wèn)控制和安全審計(jì)功能。專用設(shè)備截獲用戶的存儲(chǔ)訪問(wèn)請(qǐng)求，通過(guò)協(xié)議解析(NFS、CIFS、iSCSI等)得到其中的數(shù)據(jù)，并根據(jù)用戶預(yù)先設(shè)定的策略進(jìn)行相應(yīng)的加解密操作。其中由硬件實(shí)現(xiàn)的AES256 加密對(duì)性能的影響幾乎可忽略不計(jì)。Datafort的體系結(jié)構(gòu)如圖所示。

　　未來(lái)發(fā)展

　　2006年數(shù)據(jù)保護(hù)是存儲(chǔ)界較具影響力的事件之一。企業(yè)擁有的有價(jià)值數(shù)據(jù)越多，數(shù)據(jù)泄密的風(fēng)險(xiǎn)就越大。IDC在較近關(guān)于存儲(chǔ)管理的調(diào)查中發(fā)現(xiàn)：36.3%的公司將“提高數(shù)據(jù)可用性、安全性和數(shù)據(jù)恢復(fù)”作為它們的首選。

　　在學(xué)術(shù)領(lǐng)域，存儲(chǔ)安全逐漸得到關(guān)注，IEEE計(jì)算機(jī)協(xié)會(huì)主辦的存儲(chǔ)安全工作組會(huì)議(Security in Storage Workshop，SISW)已經(jīng)舉辦了三屆;2005年ACM創(chuàng)辦了存儲(chǔ)安全性與可生存性工作組會(huì)議(Storage Security and Survivability，StorageSS)。

　　在工業(yè)界，EMC、IBM、HP、Symantec等公司在各自的存儲(chǔ)產(chǎn)品中增加了安全機(jī)制。HP在其存儲(chǔ)服務(wù)器中加入了Lustre對(duì)象存儲(chǔ)文件系統(tǒng);Panasas推出了面向?qū)ο蟮牟⑿屑�群存�?chǔ)系統(tǒng)，將對(duì)象機(jī)制加入文件級(jí)存儲(chǔ)訪問(wèn)。存儲(chǔ)網(wǎng)絡(luò)工業(yè)協(xié)會(huì)(Storage Networking Industry Association, SNIA)成立了存儲(chǔ)安全工業(yè)論壇(Storage Security Industry Forum，SSIF)來(lái)推動(dòng)存儲(chǔ)安全的發(fā)展;還成立對(duì)象存儲(chǔ)設(shè)備(Object-based Storage Device，OSD)工作組，發(fā)布了ANSI的X3 T10標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)對(duì)SCSI標(biāo)準(zhǔn)進(jìn)行擴(kuò)充，在指令級(jí)這一層次增加了安全方法。

　　縱觀近幾年產(chǎn)業(yè)界的發(fā)展，存儲(chǔ)安全技術(shù)的發(fā)展趨勢(shì)是集成化和標(biāo)準(zhǔn)化。集成化是指越來(lái)越多的安全功能已通過(guò)專用硬件實(shí)現(xiàn)，并無(wú)縫集成到整個(gè)系統(tǒng)中。硬件方法不占用主機(jī)的資源，可以做到對(duì)用戶透明，將加解密對(duì)性能的影響降到較低，并且可以避免軟件方法固有的安全隱患，較大限度的保證整個(gè)系統(tǒng)的安全性;標(biāo)準(zhǔn)化是指一套通用的密鑰管理接口�，F(xiàn)有的系統(tǒng)多采用自己專用的密鑰管理接口，因此不同產(chǎn)品直接很難做到互操作�，F(xiàn)在已有廠商，如EMC和Decru已經(jīng)著手制定一套通用的密鑰管理API標(biāo)準(zhǔn)，其目標(biāo)是使符合該標(biāo)準(zhǔn)的產(chǎn)品具有互操作性，這必將大大加速相關(guān)技術(shù)的實(shí)用化進(jìn)程。

　　存儲(chǔ)安全從上世紀(jì)九十年代末開(kāi)始，逐漸從網(wǎng)絡(luò)安全中脫離出來(lái)，發(fā)展成信息安全中獨(dú)立的領(lǐng)域，以美國(guó)為主的發(fā)達(dá)國(guó)家各研究機(jī)構(gòu)在政府的支持下大力開(kāi)展相關(guān)研究，并取得了很多成果。而目前國(guó)內(nèi)大量的研究、開(kāi)發(fā)和實(shí)際應(yīng)用都集中在網(wǎng)絡(luò)安全和系統(tǒng)安全上。存儲(chǔ)安全的研究與技術(shù)開(kāi)發(fā)處于空白。很多存儲(chǔ)廠商所謂“存儲(chǔ)安全產(chǎn)品”也僅止步于初級(jí)加密，更沒(méi)有自己的關(guān)鍵技術(shù)，而國(guó)內(nèi)研發(fā)和生產(chǎn)存儲(chǔ)保護(hù)產(chǎn)品尚存在技術(shù)上的困難。因此，研究和開(kāi)發(fā)具有自主知識(shí)產(chǎn)權(quán)的存儲(chǔ)安全技術(shù)和產(chǎn)品，對(duì)我國(guó)的信息安全基礎(chǔ)設(shè)施建設(shè)，具有重要的戰(zhàn)略意義。