融合平台下SAN设备的访问控制设计与实现

摘要

目前，数据存储领域的很多技术还处于研究阶段，从最初的直接连接存储模式发展到现今的网络存储模式，数据存储逐渐成为人们的研究热点。网络存储由于所采用的技术和协议不同，逐渐形成了不同类型的网络存储架构。SAN技术更具有灵活性和可扩展性，包括基于光纤通道(FC)的FC SAN和基于IP网络的IP SAN。FC SAN传输速度快，具有良好的扩展性，但是存在传输距离较短，价格昂贵的问题，而基于IP网络的IP SAN很好的解决了这些问题。融合式存储平台设计实现的存储系统架构实现了IP SAN与FC SAN的互联互通融合性，通过IP、FC等不同的连接方式将远程存储资源映射到自身，进行统一存储虚拟化，并对外提供块级存储服务。由于目前的存储设备并不具备内置的安全机制，在异构的虚拟存储网络环境下，特别是在融合式存储系统中实现为不同等级需求的用户或应用服务器动态分配相应存储资源变得尤其重要。 本研究在分析几种主要的访问控制技术的基础上，通过交换分区Zoning、LUN Masking、身份认证机制以及存储虚拟化等安全策略，设计了ATCA融合存储平台下存储块设备多层访问控制策略，细化了存储块设备的访问控制颗粒，实现了划分交换分区、建立访问控制组的多重逻辑关系。在软硬件环境下对融合存储平台的多层访问策略进行了测试，通过对虚拟块设备的屏蔽、发现等方式，证实了多层访问控制架构的可行性。但在安全性方面，多层访问控制策略仅实现了对虚拟块设备访问的授权以及IP连接方式的身份认证，并没有实现FC连接方式下认证功能，因此在FC SAN与IP SAN融合的平台下实现统一身份认证将是下一步工作的重点。