文档介绍:华中科技大学
硕士学位论文
融合平台下SAN设备的访问控制设计与实现
姓名:汪琦晔
申请学位级别:硕士
专业:计算机系统结构
指导教师:周敬利
20080604
华中科技大学硕士学位论文
摘要
目前,数据存储领域的很多技术还处于研究阶段,从最初的直接连接存储模式发
展到现今的网络存储模式,数据存储逐渐成为人们的研究热点。网络存储由于所采用
的技术和协议不同,逐渐形成了不同类型的网络存储架构。SAN 技术更具有灵活性和
可扩展性,包括基于光纤通道(Fibre Channel,FC)的 FC SAN 和基于 IP 网络的 IP SAN。
FC SAN 传输速度快,具有良好的扩展性,但是存在传输距离较短,价格昂贵的问题,
而基于 IP 网络的 IP SAN 很好的解决了这些问题。融合式存储平台设计实现的存储系
统架构实现了 IP SAN 与 FC SAN 的互联互通融合性,通过 IP、FC 等不同的连接方式
将远程存储资源映射到自身,进行统一存储虚拟化,并对外提供块级存储服务。
由于目前的存储设备并不具备内置的安全机制,在异构的虚拟存储网络环境下,
特别是在融合式存储系统中实现为不同等级需求的用户或应用服务器动态分配相应
存储资源变得尤其重要。可以通过访问控制技术来实现这一需求。为此,在分析了几
种主要的访问控制技术的基础上,通过交换分区 Zoning、LUN Masking、身份认证机
制以及存储虚拟化等安全策略,设计了 ATCA 融合存储平台下存储块设备多层访问控
制策略,细化了存储块设备的访问控制颗粒,实现了划分交换分区、建立访问控制组
的多重逻辑关系。
最后在软硬件环境下对融合存储平台的多层访问策略进行了测试,通过对虚拟块
设备的屏蔽、发现等方式,证实了多层访问控制架构的可行性。但在安全性方面,多
层访问控制策略仅实现了对虚拟块设备访问的授权以及 IP 连接方式的身份认证,并
没有实现 FC 连接方式下认证功能,因此在 FC SAN 与 IP SAN 融合的平台下实现统
一身份认证将是下一步工作的重点。
关键词: 融合存储系统,设备访问控制,逻辑单元安全,挑战握手认证协议,存储
虚拟化,交换分区
I
华中科技大学硕士学位论文
Abstract
Nowadays, many storage technologies are still in the research stage. Technology of
SAN has more flexibility and scalability, including FC SAN which is based on Fibre
Channel and IP SAN which is IP-based. FC SAN transports data in a high speed and has a
good scalability, however, its transmission distance is very short and the price is so high,
and IP SAN has good solution to these problems. Accordingly, Unified Storage Platform
designed to achieve the storage systems architecture of the IP SAN and FC SAN
interoperability and integration, Unified Storage Platform mapping the long-distance
storage resources to itself, makes virtualization of these resources, and offer block-level
storage services to outside.
As the current storage devices do not have a built-in security mechanism, in the
Unified Storage systems to achieve different levels of demands for the user or application
server storage different dynamic allocation of resources is especially important. In order to