基于FCoE系统安全体系的设计与实现

摘要

以太网光纤(Fibre Channel over Ethernet，FCoE)是一种在传统以太网上承载光纤通道(Fibre Channel，FC)数据的技术，该技术将传统局域网(Local Area Network，LAN)和存储区域网（Storage Area Network，SAN）融合，形成一个能够降低投资成本和简化管理的通信网络。随着FCoE技术的发展，其应用需求不断扩大，如何保证FCoE系统的安全已成为通信行业面临的新课题。
　　本文首先研究了LAN和SAN网络的安全机制，基于FCoE系统分析其存在的安全威胁，并设计了以安全认证、访问控制和安全存储为核心的安全体系，从而保证FCoE系统的安全。
　　针对非法用户入侵FCoE系统的威胁，研究了基于随机挑战、DH密钥交换以及Hash应答机制的DH-CHAP认证协议。在此基础上，提出了基于DH-CHAP改进协议的认证方案，实现了用户与FCoE交换机之间的安全认证，有效地阻止了网络攻击。
　　针对用户非法访问FCoE系统中设备的威胁，研究了基于虚拟存储网络(VirtualStorage Area Network，VSAN)的Zone分区机制。管理员根据需求配置Zone数据库，用户发送访问查询请求后，名字服务模块通过Zone检查回复给用户其所在分区内的设备列表（即用户授权访问的设备列表），从而达到了访问控制的目的，降低了由于用户非法访问造成的威胁。
　　针对FCoE系统存储设备被窃取的威胁，研究了基于AES加密算法实现安全存储的方法。FCoE交换机统一管理密钥库，对用户写授权存储设备的数据进行加密，对用户读授权存储设备的数据进行解密，使得存储设备中的数据均为密文形式，避免了由于存储设备失窃而造成的失密事故。
　　测试结果表明:在保证FCoE系统性能的基础上，本文设计的以安全认证、访问控制及安全存储为核心的安全体系为FCoE系统提供了多重可靠的安全保障，具有较高的实际意义与应用价值。

目录

声明

摘要

1 绪论

1．1 研究背景与意义

1．2 国内外研究现状

1．3 研究内容与论文结构

2 FCoE技术研究与安全威胁分析

2．1 FCoE技术

2．1．1 协议分层

2．1．2 FCoE交换机

2．2 FCoE系统安全研究与分析

2．2．1 LAN安全体系

2．2．2 SAN安全体系

2．2．3 FCoE安全威胁分析

2．3 本章小结

3 FCoE安全体系中的关键技术研究

3．1 安全通信技术

3．2 安全认证技术

3．2．1 认证密码技术

3．2．2 DH-CHAP协议

3．2．3 DH-CHAP协议的改进

3．3 Zone分区技术

3．4 AES加密技术

3．4．1 S变换

3．4．2 行变换

3．4．3 列变换

3．4．4 轮密钥加

3．5 本章小结

4 FCoE安全体系设计与实现

4．1 FCoE安全体系构建

4．2 基于DH-CHAP的安全认证

4．2．1 认证配置

4．2．2 认证报文

4．2．3 认证流程处理

4．3 基于Zone的访问控制

4．3．1 Zone数据库操作

4．3．2 访问控制报文

4．3．3 访问控制流程

4．4 基于AES的安全存储

4．4．1 用户读／写数据流程

4．4．2 密钥库管理

4．4．3 数据加密／解密流程

4．5 本章小结

5 测试与分析

5．1 单元测试

5．2 系统测试

5．2．1 安全认证测试

5．2．2 访问控制测试

5．2．3 安全存储测试

5．3 本章小结

6 总结与展望

6．1 论文工作总结

6．2 问题和展望

致谢

参考文献