[发明专利]一种存储系统数据访问控制系统及其方法

说明书

技术领域

本发明涉及信息技术中的信息安全领域，尤其涉及在数据存储系统中对数据的访问控制技术。

背景技术

在云计算环境下，数据存储系统架构发生很大的变化，面临更复杂的应用和服务场景，比如存储虚拟化技术的应用，云存储服务的出现，使得用户的数据在存储系统中往往会面临更多来自互联网和云计算系统内部的威胁。传统的针对数据的访问控制方法主要在应用层和服务层实现，这就使得很难抵御这种开放环境所带来的安全威胁。

当前针对数据存储系统的安全方法主要包括访问控制列表(ACL)、身份认证、数据加密等。这些方法存在一些问题。首先，这类方法控制粒度较粗，主要应用在存储系统的设备层，而不是对数据本身的访问做控制，比如ACL访问控制策略只能控制基于访问设备IP地址的访问连接，不能直接细粒度控制用户对数据的访问，对于攻击者而言很容易通过IP地址欺骗绕过安全策略。身份验证机制是对应用服务器与目标存储设备之间的认证，比如使用CHAP协议，这种方法不能控制应用服务器上的具体用户或应用对数据的访问。其次，这些方法主要在应用层实现，很容易被恶意程序攻击，造成安全控制被旁路或直接篡改授权信息。比如数据加密方法，当授权信息被非法获取，非法用户能够直接获得加密密钥，加密方法就失去效果。

在存储系统技术领域，存储系统架构可以简单的分为SAN、NAS和DAS三种，但以SAN和NAS在实际的企业级存储环境中应用最为广泛。存储系统主要的访问协议和操作指令集主要由SCSI标准规范。其中iSCSI协议作为在TCP/IP网络上传输SCSI指令集的协议也已经在2003年有IETF工作组进行标准化并获得了主流厂商的大力推广和应用。

在信息安全技术领域，和存储系统相关的信息安全技术仍然是同应用在通用的信息系统中的安全技术类似。目前针对存储系统的数据安全及访问控制方法，主要集中在应用层实现的传统安全方法和技术，主要包括认证技术、授权技术、访问控制和数据的加解密技术等。应用在存储系统中的认证和授权技术主要包括CHAP，RADIUS等，这类认证机制主要作用于构成存储系统的应用服务器和网络连接设备之间，比如光纤通道交换机等。通过在设备之间设置相同的密码，通过挑战-握手协议来进行双向认证，确保接入的设备是合法的。另外，kerberos认证协议也可以在存储系统中应用来实现更强的认证和授权，但这类技术的应用本身和通用信息系统类似，并不是直接应用在存储系统中。

应用在存储系统中的访问控制技术主要通过VLAN技术以及ACL列表实现，其主要目的是创建网络层的隔离，将数据流量和其他网络流量分隔，同时也能够基于IP地址来控制接入到存储网络中的访问设备。

数据的加解密技术通常包括两种，一种是数据的静态加密，一种是数据的传输加密。一种常用的方法是在存储系统中应用IPsec技术，它工作在IP数据包层，能够提供身份验证(比CHAP更强)，还能提供数据传输的端到端加密。另外，一些加密网关设备能够提供数据的静态加密，使得数据在写入存储设备之前就已经被加密。

现有技术的主要问题集中在两个方面，一是这类技术主要是传统安全技术在存储系统的应用层上的实现，没有和存储系统自身的特点相结合，应用层面临的安全问题，这类技术仍然会面临。比如一旦在应用层上ACL控制列表被篡改或基于VLAN的安全配置规则设置不合理，就容易造成数据安全风险。尤其是在存储系统越来越开放的情况下，这类应用层安全问题对存储系统带来的安全威胁更大，而现有的技术并没有针对性考虑减少风险。其次，是这类技术往往是对设备一级的认证和控制，很难对数据本身进行细粒度和更为严格的安全控制，比如CHAP认证技术和ACL技术，均是在对接入的服务器设备和交换机设备之间进行身份认证，ACL是基于网络层对接入IP地址进行控制实现网络流量的隔离，并不是真正对数据操作本身进行访问控制。

数据加解密和IPsec等技术，由于应用成本相对较高，管理和配置也比较复杂，且一定程度上影响性能，在存储系统中的应用还并不广泛。在安全性方面，这类技术也存在局限性，比如数据加解密技术是一种被动防御技术，其安全性主要依赖对密钥的管理和对用户使用密钥的授权，因此也依赖于应用层安全，如果加解密密钥管理不完善或者应用层对用户的授权和认证等被攻破，数据加解密将会形同虚设。

发明内容