[发明专利]基于Diffie-Hellman协议的iSCSI协议安全增强方法

说明书

本发明公开了一种基于Diffie‑Hellman协议的iSCSI协议安全增强方法，其中，包括：始发端将自己的公钥证书、请求以及数字签名发送给认证服务器；认证服务器通过对始发端进行身份认证以及对请求进行授权；认证服务器将始发端公钥对证书私有部分加密后的密文与证书由公开部分一同发送给请求的始发端；始发端计算消息认证码，并与证书由公开部分一同发送指定的目标端；目标端收到认证码和证书由公开部分后对始发端请求进行授权认证；目标端根据授权认证结果响应始发端请求；定期逐个刷新所使用的共享密钥。

技术领域

本发明涉及数据安全技术领域，特别涉及一种基于 Diffie-Hellman协议的iSCSI协议安全增强方法。

背景技术

当前，iSCSI协议多采用CHAP认证协议来对存储资源进行访问控制。但在CHAP认证中，用户名、密码是以明文形式存储在目标端，存在被内部人员或入侵黑客非法获取的风险。此外，该认证方法采用周期性认证来抵御信道插入攻击，但在选择具体周期间隔时通常会遇到困难，周期间隔过长会给入侵者留下机会；周期间隔过短会增加认证双方的计算量。与此同时，当要针对每个始发端实现细粒度访问控制时，管理员需要为每个始发端手动创建一个用户名、密码，这种集中授权方式会极大增加系统管理复杂度。此外，当发现始发端被人为操纵非法窃取数据时，系统无法立即收回始发端对于已登陆存储资源的访问权限。

为了增强iSCSI协议中的访问控制管理，当前普遍做法是对 iSCSI协议中支持的访问控制机制进行扩展。文献[1]朱坷.iSCSi 存储系统中的安全性研究[D].上海：上海交通大学硕士学位论文， 2007：18-22.采用一种由公钥密钥体制改进的Kerberos协议扩展了iSCSI协议中支持的访问控制机制。文献[2]刘明.基于iSCSI协议的网络存储安全技术研究[D].郑州：解放军信息工程大学硕士学位论文，2007：25-34.为iSCSI协议扩展了一种基于权限证书的访问控制机制。上述两种为iSCSI协议扩展的访问控制机制虽然解决了CHAP 认证中存在的口令泄露问题，但这两种机制在目标端都需要进行多次加解密操作才能判断是否允许始发端的登陆请求。此外，这两种机制均无法收回始发端对于已登陆存储资源的访问权限，并且都难以针对每个始发端实现细粒度访问控制。

发明内容

本发明的目的在于提供一种基于Diffie-Hellman协议的iSCSI 协议安全增强方法，用于解决上述现有技术的问题。

本发明的目的在于提供一种iSCSI协议安全增强方法，其中，包括：始发端将自己的公钥证书、请求以及数字签名发送给认证服务器；认证服务器通过对始发端进行身份认证以及对请求进行授权；认证服务器将始发端公钥对证书私有部分加密后的密文与证书由公开部分一同发送给请求的始发端；始发端计算消息认证码，并与证书由公开部分一同发送指定的目标端；目标端收到认证码和证书由公开部分后对始发端请求进行授权认证；目标端根据授权认证结果响应始发端请求；定期逐个刷新所使用的共享密钥。

根据本发明的iSCSI协议安全增强方法的一实施例，其中，认证服务器通过对始发端进行身份认证以及对请求进行授权包括：

①利用始发端的公钥K_pub对数字签名进行解密：其中，表示用密钥K_pub对消息sign进行解密；

②判断plain是否等于X.509_cred|req，若相同，则身份认证通过；

③根据uid在访问控制列表中查找其是否有权登陆req中指定的资源，若认定为有权登陆，认证服务器需要为始发端准备权能证书 cred，该证书由公开部分和私有部分组成，私有部分由公开部分确定，并如下赋值运算：

pub_cred＝req|uid|cid|exp iry；

akey＝pri_part＝HMAC_k(pub_cred)；

cred＝pub_cred|pri_cred；