存储 频道

四种存储安全系统的深入解读

  【IT168 技术】存储安全系统大致可以分为四类:安全网络文件系统、加密文件系统、可生存存储系统和基于存储的入侵检测。它们分别从四个不同的层次提供存储系统的机密性、完整性和可用性。

  存储安全系统之安全网络文件系统

  基于认证和访问控制的网络文件系统是最早考虑到安全因素的,包括NFS、AFS、NASD、SFS-RO等。在这类系统中,通过存储服务器的认证和访问控制提供数据的安全性。大多数这类存储安全系统也对网络中传输的数据加密。但是它们不提供端到端的数据安全,也就是说它们不保证存储在存储服务器上的数据的机密性和完整性。而是假设文件服务器和存储安全系统管理员是可信的。

  NASD是卡内基.梅隆大学并行数据实验室提出的新型磁盘系统,通过增加磁盘处理能力构成智能磁盘,使得磁盘能判别用户和加解密数据;主机和认证服务器通信获得权限密钥,再和存储服务器通信获得加密密钥,最后直接和磁盘通信。

  SFS-RO旨在提高大规模客户端访问网络存储安全系统上只读数据的性能,同时提供一定的安全机制保证只读数据访问的安全。SFS-RO是在SFS的基础上发展起来的,它通过增加只读数据的副本,不仅提高了分布式环境下对只读数据的可用性,而且通过一整套安全机制实现了只读数据的安全访问。

  存储安全系统之加密文件系统

  加密文件系统目标是提供端到端的安全,在客户端执行加密操作防止数据被文件服务器和其他未授权用户窃取或篡改。这些系统将密码操作(加密/解密、签名/验证)嵌入文件系统中。文件服务器被赋予最小的信任,由于它们不参与加密/解密过程,它们永远无法获知可读的文本。这类存储安全系统面对的主要问题是密钥管理。包括密钥的粒度、密钥的存储、共享策略。可以说灵活高效的密钥管理策略是提高存储安全系统效率的重要因素。另外,这类存储安全系统还要有效解决权限撤销(Revocation)时文件的重加密带来的额外开销。

  Goh于2003年提出了可应用于网络存储系统中的中间件层安全系统SiRiUS,它不需要修改存储系统中的任何部分,通过截获、转换访问数据系统调用实现安全功能,使用多对对应不同权限者的公开密钥实现传输认证和授权。SiRiUS是在现有的不可信的网络文件系统(如NFS,CIFS等)上提供文件读写的加密访问。加州大学圣克鲁斯分校的SNAD是一个基于分布式文件的存储安全系统,磁盘具有一定的计算能力,能够进行一些基本的存储管理和用户认证的功能。客户端加密所有的数据后,将加密数据存储在盘上。密钥管理是一种锁盒子(lockbox)方法,而lockbox存储在一个可信的服务器上。如果共享用户要读数据,则用户需从lockbox服务器上得到密钥,然后再从磁盘上读出加密数据,然后再用密钥解密。

  存储安全系统中的数据加密技术的实现分成三类:基于主机、基于网络(数据传输)以及基于磁带机。这有点类似实现虚拟存储的划分方式。

  基于主机层的数据加密技术,通常是一些软件厂商在服务器端就对数据进行加密处理,如VERITAS NetBackup的加密软件。通过内部网络传送到服务器时,资料已是加密状态,然后再通过存储网络传送到磁带做备份。但这会加重服务器的工作负荷,影响存储安全系统整体性能,同时还会增加数据管理与调用的复杂性。所以,基本上只适用于需要进行点对点加密的小型企业。

  基于网络层的数据加密技术,事实上就是在设备I/O的端口外接一个硬件加密装置。在数据传输的过程中,对所有经过的数据都一视同仁地做了加密。NetApp刚刚收购的Decru公司以及NeoScale都是采用这种方式。这种加密虽说比较完整,但由于不对加密数据进行区别,无疑增加了加密装置的负担。

  基于磁带机方式的数据加密技术,通过在磁带机上对数据进行加密,使数据得到更安全的保护,且不需要额外的管理和备份策略的改变。这就是把以前的 WORM磁带扩展成磁带机对所有的磁带进行加密。

  三种加密方式都有各自的优势与缺陷所在,但由于在长期归档、固定内容和法规遵从这些需求上,有的用户更倾向于使用磁带技术,所以在加密要求下,通过磁带机/库这种方式有更强的优势。而且,相对前面两种方式,使用磁带加密的方式在市场上出现的最早,而在法规推出之后,基本上所有的磁带厂商都有各自的支持加密的产品。

  存储安全系统之可生存存储系统

  可生存存储的概念是由卡内基·梅隆大学的PASIS项目组提出的,它所基于的设计理念是:传统的构建存储安全系统的方法是采用防御机制抵御外来入侵以达到安全目标,而在由成千上万结点组成的分布式系统中,结点失效或被攻击应被视为普通事件而非异常。因此存储安全系统的设计目标不应是避免结点失效,而是如何在部分节点失陷的情况下使系统仍能提供安全的、可信赖的服务,保证数据的机密性和完整性,并能对入侵造成的损失进行还原或修复

  PASIS采用阈值方案,将一个文件分成多个数据段,分别存储到各个服务节点上,当用户需要访问时,必须要访问各个存储服务器,当一个服务节点被攻破时,并不能泄漏任何完整的文件信息,保证了在存储服务器被攻破后,仍然能够保护数据的保密性。阈值方案简单的说就是p-m-n(n>m>p)问题。所有的文件都被分段,并按照一定的策略存放到n个服务节点上,用户通过读取这n个存储节点中的m个存储节点(n>m),就能够在客户端合成完整的文件,这样就实现了将安全控制分散到文件服务节点上,实现了文件的安全性。即使有p-1个(n>m>p)服务节点被占领,也不会造成任何完整信息泄漏。

  除PASIS项目外,可生存存储相关项目的研究最为知名的是加州大学伯克利分校的OceanStore项目,它提出一个覆盖全球的信息持久存储基础设施,来提供高可扩展和高可用的信息存储服务。为了确保数据的机密性和可用性,OceanStore将加密后的对象副本存放到分布于全球的多个结点上。相关研究还包括开源项目Freenet、IBM研究院的e-Vault、纽约大学的Publius等。

  在可生存存储安全系统中,必须对数据进行分片编码,最常见的一些数据分片编码算法都是基于门限方案(threshold scheme)来实现的。PASIS中提出一般性p-m-n门限方案的概念,即将文件经过编码分成n个分片,满足:少于p个分片不能获得文件的任何信息,任意大于或等于m个分片可以恢复出原始文件。所有的数据分片编码算法均可视为这种一般性门限方案p、m、n取不同值的实例,如信息分布算法(Information Dispersal Algorithm)、Ramp方案等。

  一般来说,门限方案由于能够同时提供安全性和可用性,因此相比于DES、AES等基于数据块的加密算法,更适合应用在分布式存储系统中提高存储安全系统的可生存性。但是由于这类算法一般带有较大的计算和存储额外开销。近些年来,已有一些研究者在传统的门限方案的基础上做出改进,以降低原有算法的计算复杂度并提高安全性,但这方面研究目前尚处于探索阶段,还没有十分成熟的算法提出。

  存储安全系统之基于存储的入侵检测系统

  随着存储安全系统的规模越来越大,提供的服务也越来越多样化,系统越来越复杂,也不容易维护。而且恶意病毒、木马程序、入侵等一系列因素使得系统的安全性越来越难得到保证。为此,人们产生了将系统的安全保障划分到一个个子模块中分别进行处理的思路。这类系统实际上是在存储设备或文件服务器中嵌入入侵检测系统(IDS),这类系统的主要代表是卡内基·梅隆大学CMU的S4-自安全存储Self-Securing Storage系统

  卡内基·梅隆大学提出的自安全的存储设备从最底层硬件实施了对数据的保护。它具有一种新的安全特性,即存储磁盘甚至可以不信任本机的操作系统,怀疑所有对数据的读写请求。在自安全的存储磁盘内部有一个嵌入式的子系统,通过内置的操作的指令对存储的数据进行管理。其优点还包括,只需占用很少的资源来实现入侵检测、错误诊断以及数据恢复等。可以更灵活地实施安全性和完整性检查。自安全的存储设备不仅可以对存储在其上的数据实施保护,还可以进行数据访问控制。即使操作系统被入侵,自安全的存储磁盘还可以通过访问控制对数据进行保护。自安全的存储设备使存储安全系统从软件和硬件两个方面分别实施安全保护,增强了整体的安全性能,也起到了一定的容侵容错作用。

  Datafort简介

  由于存储安全技术的巨大的实用价值,近几年不但在学术界积极展开研究,工业界也出现了一批转注于此领域的存储厂商,并推出了多款存储安全产品,如Decru公司的Datafort,Neoscale公司的CryptoStor,Vormetric公司的CoreGuard等。下面就其中的典型代表Decru的Datafort作简要介绍。

  Decru DataFort 设备是企业级的存储安全系统,它是一种基于网络的加密系统,典型的部署方式是采用后端加密方式运作,将DataFort直接接上IP 交换器或光纤信道交换器,透过交换器将前端送来的数据指向DataFort,经DataFort加密后才会送到储存装置。通过引入专用的网络设备(appliance)进行加密和密钥管理,实现了硬件线速加密和对前端用户的透明,可以用于SAN(Datafort FC系列)或NAS(Datafor E系列)中的关键数据保护。

  Datafort的专用设备位于客户端和存储服务器的数据通路之中,它集成了数据加密、密钥管理、基于策略的访问控制和安全审计功能。专用设备截获用户的存储访问请求,通过协议解析(NFS、CIFS、iSCSI等)得到其中的数据,并根据用户预先设定的策略进行相应的加解密操作。其中由硬件实现的AES256 加密对性能的影响几乎可忽略不计。Datafort的体系结构如图所示。

  存储安全系统未来发展

  2006年数据保护是存储界最具影响力的事件之一。企业拥有的有价值数据越多,数据泄密的风险就越大。IDC在最近关于存储管理的调查中发现:36.3%的公司将“提高数据可用性、安全性和数据恢复”作为它们的首选。

  在学术领域,存储安全逐渐得到关注,IEEE计算机协会主办的存储安全工作组会议(Security in Storage Workshop,SISW)已经举办了三届;2005年ACM创办了存储安全性与可生存性工作组会议(Storage Security and Survivability,StorageSS)。

  在工业界,EMC、IBM、HP、Symantec等公司在各自的存储产品中增加了安全机制。HP在其存储服务器中加入了Lustre对象存储文件系统;Panasas推出了面向对象的并行集群存储安全系统,将对象机制加入文件级存储访问。存储网络工业协会(Storage Networking Industry Association, SNIA)成立了存储安全工业论坛(Storage Security Industry Forum,SSIF)来推动存储安全的发展;还成立对象存储设备(Object-based Storage Device,OSD)工作组,发布了ANSI的X3 T10标准,该标准对SCSI标准进行扩充,在指令级这一层次增加了安全方法。

  纵观近几年产业界的发展,存储安全技术的发展趋势是集成化和标准化。集成化是指越来越多的安全功能已通过专用硬件实现,并无缝集成到整个系统中。硬件方法不占用主机的资源,可以做到对用户透明,将加解密对性能的影响降到最低,并且可以避免软件方法固有的安全隐患,最大限度的保证整个系统的安全性;标准化是指一套通用的密钥管理接口。现有的存储安全系统多采用自己专用的密钥管理接口,因此不同产品直接很难做到互操作。现在已有厂商,如EMC和Decru已经着手制定一套通用的密钥管理API标准,其目标是使符合该标准的产品具有互操作性,这必将大大加速相关技术的实用化进程。

  存储安全从上世纪九十年代末开始,逐渐从网络安全中脱离出来,发展成信息安全中独立的领域,以美国为主的发达国家各研究机构在政府的支持下大力开展相关研究,并取得了很多成果。而目前国内大量的研究、开发和实际应用都集中在网络安全和存储安全系统上。存储安全的研究与技术开发处于空白。很多存储厂商所谓“存储安全产品”也仅止步于初级加密,更没有自己的关键技术,而国内研发和生产存储保护产品尚存在技术上的困难。因此,研究和开发具有自主知识产权的存储安全技术和产品,对我国的信息安全基础设施建设,具有重要的战略意义。

0
相关文章