iSCSI透明加解密網(wǎng)關(guān)中協(xié)議解析研究

趙勇

摘 要：為解決目前iSCSI協(xié)議身份認(rèn)證口令容易竊取、被黑客攻破問題，提出了一種對iSCSI數(shù)據(jù)進(jìn)行加解密的網(wǎng)關(guān)式系統(tǒng)，著重研究了透明加解密網(wǎng)關(guān)中iSCSI協(xié)議的解析。該系統(tǒng)將透明加解密放置在多個啟動器和多個目標(biāo)器之間統(tǒng)一進(jìn)行管理，隔離了兩個網(wǎng)絡(luò)，提高了數(shù)據(jù)安全性。系統(tǒng)不僅能保證數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸安全，還能保證數(shù)據(jù)在磁盤陣列上的靜態(tài)存儲安全。

關(guān)鍵詞：網(wǎng)絡(luò)安全；iSCSI協(xié)議；眾核處理器

DOIDOI：10.11907/rjdk.171487

中圖分類號：TP309

文獻(xiàn)標(biāo)識碼：A 文章編號文章編號：1672-7800（2017）008-0182-03

0 引言

網(wǎng)絡(luò)安全尤其是數(shù)據(jù)安全越來越重要，iSCSI存儲技術(shù)由此得到廣泛應(yīng)用。iSCSI技術(shù)由IBM公司研發(fā)，可以在TCP/IP網(wǎng)絡(luò)上封裝SCSI命令進(jìn)行傳輸[1]，從而將網(wǎng)絡(luò)存儲設(shè)備的范圍從有限的局域網(wǎng)拓展到范圍更廣的互聯(lián)網(wǎng)，但在TCP/IP網(wǎng)絡(luò)上傳輸很容易被黑客截獲數(shù)據(jù)包并對其進(jìn)行篡改。iSCSI協(xié)議安全措施分為身份認(rèn)證、訪問控制列表、IPSec包保護(hù)幾類，常見的身份認(rèn)證有CHAP認(rèn)證和Kerberos認(rèn)證。CHAP協(xié)議存在口令容易竊取、只支持服務(wù)端對客戶端的單向認(rèn)證、容易受到網(wǎng)絡(luò)攻擊的缺陷。相比CHAP協(xié)議，Kerberos協(xié)議最大的優(yōu)勢在于它可以進(jìn)行雙向認(rèn)證[7-8]。但是，在認(rèn)證服務(wù)器端，用戶口令也是以明文存放的，如果認(rèn)證服務(wù)器被攻破，用戶口令就會被黑客竊取，訪問控制列表也很容易被黑客攻破。IPSec技術(shù)只能保證數(shù)據(jù)包傳輸過程的安全，不能保證數(shù)據(jù)在磁盤陣列存儲的安全，此外，IPsec技術(shù)會影響網(wǎng)絡(luò)系統(tǒng)吞吐性能[6]。

如何保證數(shù)據(jù)傳輸安全，保證數(shù)據(jù)在磁盤陣列的靜態(tài)存儲安全，并滿足同時處理多個啟動器和多個磁盤陣列高速讀寫性能？本文提出一種對iSCSI數(shù)據(jù)進(jìn)行加解密的透明網(wǎng)關(guān)式系統(tǒng)[9]，如圖1所示。當(dāng)應(yīng)用服務(wù)器對磁盤陣列進(jìn)行數(shù)據(jù)寫操作時，通過透明加解密網(wǎng)關(guān)把存儲的數(shù)據(jù)加密成密文，當(dāng)應(yīng)用服務(wù)器對磁盤陣列進(jìn)行數(shù)據(jù)讀操作時，通過透明加解密網(wǎng)關(guān)把數(shù)據(jù)解密成明文，達(dá)到保證數(shù)據(jù)的傳輸與靜態(tài)存儲安全的目的。

1 網(wǎng)關(guān)報文處理流程

透明加解密網(wǎng)關(guān)系統(tǒng)結(jié)構(gòu)如圖2所示，網(wǎng)關(guān)由安全處理模塊、內(nèi)網(wǎng)子系統(tǒng)、外網(wǎng)子系統(tǒng)3部分組成。內(nèi)網(wǎng)口連接應(yīng)用服務(wù)器，外網(wǎng)口連接磁盤陣列，這樣可以通過網(wǎng)關(guān)隔離應(yīng)用服務(wù)器的網(wǎng)絡(luò)和磁盤陣列網(wǎng)絡(luò)，防止磁盤陣列被惡意攻擊，提高數(shù)據(jù)的安全性。安全處理模塊是一塊FPGA加解密處理板，負(fù)責(zé)對數(shù)據(jù)加解密，內(nèi)網(wǎng)子系統(tǒng)與外網(wǎng)子系統(tǒng)是一塊Tilera-Gx36眾核處理器，當(dāng)應(yīng)用服務(wù)器對磁盤陣列寫數(shù)據(jù)時，內(nèi)網(wǎng)子系統(tǒng)主要完成報文分流（保證相同的流負(fù)載到相同的核上）。如果是TCP報文，進(jìn)行TCP狀態(tài)偵聽，并還原成一條完整的TCP流，交給上層協(xié)議進(jìn)行iSCSI報文分析。iSCSI報文是被封裝在TCP報文中進(jìn)行傳輸?shù)?，?jīng)過安全處理模塊對數(shù)據(jù)進(jìn)行加密后交給外網(wǎng)子系統(tǒng)處理。外網(wǎng)子系統(tǒng)首先進(jìn)行報文分流，然后判斷iSCSI報文中有無數(shù)據(jù)載荷。如果有數(shù)據(jù)，要將分段數(shù)據(jù)拼接成原始數(shù)據(jù)，然后判斷是否為TCP報文，進(jìn)行iSCSI報文解析，最后把報文發(fā)給外網(wǎng)口傳輸?shù)酱疟P陣列。當(dāng)應(yīng)用服務(wù)器讀取磁盤陣列數(shù)據(jù)時，處理過程類似，不再贅述。

2 iSCSI協(xié)議解析

iSCSI協(xié)議定義了在TCP/IP網(wǎng)絡(luò)發(fā)送，接收block（數(shù)據(jù)塊）級的存儲數(shù)據(jù)規(guī)則和方法，實(shí)現(xiàn)從SCSI協(xié)議到TCP/IP協(xié)議的映射。iSCSI層工作于TCP/IP五層協(xié)議模型的應(yīng)用層，其任務(wù)是將SCSI層提交的SCSI CDB（Command Descriptor Blocks，命令描述符塊）封裝成一組iSCSI PDU（PDU，協(xié)議數(shù)據(jù)單元），并將它傳遞給TCP報文進(jìn)行傳輸，或者接收來自TCP報文的iSCSI PDU，從PDU中抽取SCSI CDB提交給SCSI層處理。具體過程如下：

SCSI層：根據(jù)應(yīng)用層發(fā)出的I/O請求建立SCSI CDB（命令描述塊），并將其傳遞給iSCSI層，同時接收來自iSCSI層的CDB，并向應(yīng)用層返回?cái)?shù)據(jù)；iSCSI層：對SCSI CDB進(jìn)行封裝，以便能夠在基于TCP/IP協(xié)議的網(wǎng)絡(luò)上進(jìn)行傳輸，完成SCSI到TCP/IP的協(xié)議映射，這一層是iSCSI協(xié)議的核心層；TCP層：提供端到端的透明可靠傳輸；IP層：對IP報文進(jìn)行路由和轉(zhuǎn)發(fā)；Link層：提供點(diǎn)到點(diǎn)的無差錯傳輸。

透明加解密網(wǎng)關(guān)處于啟動器與目標(biāo)器之間，它的功能是對iSCSI報文攜帶的數(shù)據(jù)進(jìn)行加解密。iSCSI報文被封裝在TCP/IP包中進(jìn)行傳輸，iSCSI協(xié)議解析就是要把收到的報文一層層地判斷解析，解析出iSCSI報文中攜帶數(shù)據(jù)的偏移量。有數(shù)據(jù)的話就給數(shù)據(jù)封裝一個安全頭發(fā)送給安全處理模塊進(jìn)行加解密，沒有數(shù)據(jù)的話就進(jìn)行透傳。

2.1 iSCSI報文格式

iSCSI報文（PDU，協(xié)議數(shù)據(jù)單元）是封裝在TCP數(shù)據(jù)段中進(jìn)行傳輸?shù)?，iSCSI默認(rèn)的目的端口是3260，iSCSI報文包含基本頭部（48字節(jié)）、附加報頭段、頭部校驗(yàn)、數(shù)據(jù)段、數(shù)據(jù)校驗(yàn)。只有基本報文段是必須的，其它都是可選的[5]。

協(xié)議數(shù)據(jù)單元（PDU）的基本報文段格式如圖4所示，基本報文段第一個字節(jié)表示iSCSI報文的操作碼（Opcode），啟動器有9種操作碼，目標(biāo)器有11種操作碼。啟動器（Initiator）使用的操作碼有：0x00-NOP-Out、0x01-SCSI命令（包含CDB）、0x02-SCSI任務(wù)管理請求、0x03-登錄請求、0x04-Text請求、0x05-SCSI Data-out（數(shù)據(jù)寫）、0x06-注銷請求、0x10-SNACK請求；目標(biāo)器（Target）使用的操作碼有：0x20-NOP-In、0x21-SCSI響應(yīng)、0x22-SCSI任務(wù)管理響應(yīng)、0x23-登錄響應(yīng)、0x24-Text響應(yīng)、0x25-SCSI Data-in（數(shù)據(jù)寫）、0x26-注銷響應(yīng)、0x31-Ready To Transfer（R2T）、0x32-異步消息、0x3f-Reject。TotalAHSLength表示附加頭部總長度，DataSegmentLength表示數(shù)據(jù)分段長度，LUN表示邏輯單元編碼，Initiator Task Tag表示啟動器任務(wù)標(biāo)識，Expected Data Transfer Length表示預(yù)期傳輸?shù)臄?shù)據(jù)長度，CDB表示SCSI命令描述符[2-3]。endprint

2.2 iSCSI解析流程

iSCSI協(xié)議數(shù)據(jù)單元包括一個或多個頭部，后面跟一個可選的數(shù)據(jù)段[3]，其長度總是填充4字節(jié)的整數(shù)倍。

圖5是iSCSI報文解析流程：①判斷PDU HDR是否被拆分到多個TCP包中進(jìn)行傳輸。如果是就跳轉(zhuǎn)到第②步，否則跳轉(zhuǎn)到第③步；②與上一片報文的尾部拼湊成完整的PDU HDR；③查找PDU對應(yīng)的結(jié)構(gòu)體（包含iSCSI任務(wù)狀態(tài)、操作碼、操作數(shù)據(jù)等）；④判斷PDU狀態(tài)，獲取PDU中的數(shù)據(jù)長度；⑤解析PDU頭部的操作碼，判斷登錄、注銷、SCSI命令、數(shù)據(jù)讀寫等操作；⑥判斷報文內(nèi)是否開始了下一個PDU，是就跳轉(zhuǎn)到第⑦步，否就跳轉(zhuǎn)到第⑧步；⑦判斷報文下一塊數(shù)據(jù)是否為PDU HDR分片。是就保存PDU HDR分片，否就查找PDU對應(yīng)的結(jié)構(gòu)體；⑧結(jié)束函數(shù)返回。

3 系統(tǒng)測試與功能驗(yàn)證

為了驗(yàn)證透明加解密網(wǎng)關(guān)功能，用圖6所示方法將4塊Tile-Gx36板與一塊FPGA加解密處理器連接起來，內(nèi)網(wǎng)子系統(tǒng)和外網(wǎng)子系統(tǒng)運(yùn)行網(wǎng)關(guān)軟件，應(yīng)用服務(wù)器和磁盤陣列使用Tile-Gx36，因?yàn)樗袃蓚€萬兆網(wǎng)口，通過光模塊線將兩塊板子連接，從應(yīng)用服務(wù)器發(fā)起對磁盤陣列的讀寫請求。讀寫不同大小的文件，如 1M、128M、512M、2G，

任意大小文件3～5個，隨機(jī)的視頻、音樂、圖片文件，對文件執(zhí)行先寫入、后讀出操作，并對文件進(jìn)行md5sum校驗(yàn)，確認(rèn)讀寫操作的正確性。

經(jīng)過多次測試，應(yīng)用服務(wù)器登錄到磁盤陣列后，可以長時間穩(wěn)定地對磁盤陣列進(jìn)行數(shù)據(jù)讀寫，并且讀寫數(shù)據(jù)md5sum校驗(yàn)值相同，說明文件讀寫正確，軟件達(dá)到設(shè)計(jì)標(biāo)準(zhǔn)。

4 結(jié)語

通過系統(tǒng)測試，透明加解密網(wǎng)關(guān)系統(tǒng)可持續(xù)穩(wěn)定地對不同大小的數(shù)據(jù)文件進(jìn)行讀寫，保證了數(shù)據(jù)在磁盤陣列上的靜態(tài)存儲安全，相比其它iSCSI安全方案，安全性更高，具有數(shù)據(jù)讀取速率高、成本低廉、兼容性好等優(yōu)點(diǎn)。

參考文獻(xiàn)：

[1] 戴志敏，王倩莉，胡越明，等.iSCSI協(xié)議研究與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件，2005，22（8）：83-85.

[2] 李斌，韓坤.iSCSI協(xié)議分析與其實(shí)現(xiàn)[J].商丘職業(yè)技術(shù)學(xué)院學(xué)報，2008，7（2）：53-56.

[3] 易非.iSCSI協(xié)議研究與實(shí)現(xiàn)[D].長沙：湖南大學(xué)，2004.

[4] 朱立谷，趙青梅.iSCSI協(xié)議的研究[J].計(jì)算機(jī)工程與應(yīng)用，2002，38（15）：43-45.

[5] 劉釗勇.IP存儲之iSCSI協(xié)議[J].科技信息，2009（14）：212-213.

[6] 孟祥輝，曾學(xué)文，陳曉.iSCSI網(wǎng)絡(luò)存儲系統(tǒng)中加密方法研究與設(shè)計(jì)[J].計(jì)算機(jī)工程與科學(xué)，2016，38（12）：2456-2462.

[7] 劉慧娟.iSCSI協(xié)議的安全性研究[D].武漢：華中科技大學(xué)，2009.

[8] 朱珂.iSCSI存儲系統(tǒng)中的安全性研究[D].上海：上海交通大學(xué)，2007.

[9] 呂從東.基于透明加解密的iSCSI安全存儲系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].保密科學(xué)技術(shù)，2013（7）：45-50.endprint