《信息安全技术基于IPSec的IP存储网络安全技术要求(GB-T 33131-2016).pdf》由会员分享,可在线阅读,更多相关《信息安全技术基于IPSec的IP存储网络安全技术要求(GB-T 33131-2016).pdf(13页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS 35.040L80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T XXXXXXXXX信息安全技术 基于IPSec的IP存储网络安全技术要求Information Security Technology-Specification for IP storage network security basedIPSec(报批稿)提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上-XX-XX 发布XXXX-XX-XX 实施GB/T XXXXXXXXXI目次前言.III1范围.12规范性引用文件.13术语和缩略语.13.1术语.13.2缩略语.24IP 存储网络
2、安全.34.1IP 存储网络概述.34.2安全威胁分析.44.3安全需求.45iSCSI 安全.45.1体系结构.55.2身份鉴别.55.3传输数据安全.66FCIP 安全.76.1体系结构.76.2身份鉴别.76.3传输数据安全.77iFCP 安全.77.1体系结构.77.2身份鉴别.87.3传输数据安全.88iSNS 安全.88.1消息安全.8GB/T XXXXXXXXXII前言本标准按照GB/T 1.1-2009的规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:北京邮电大学、工业和信息化部电信研究院、华为技术有限公司。本标准起草人:刘建毅、
3、王枞、张茹、姚文斌、肖达、伍淳华、杨义先GB/T XXXXXXXXX1信息安全技术 基于 IPSec 的 IP 存储网络安全技术要求1范围本标准规定了利用IPSec为IP存储协议(包括iSCSI、iFCP、FCIP)以及因特网存储名称服务(iSNS)提供安全机制的技术要求。本标准适用于与IP存储网络有关设备的研制、生产、测试。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。IETF RFC3720因特网小型计算机系统接口(iSCSI)IETF RFC3723基于IP的安全
4、块存储协议IETF RFC3821基于IP的光纤信道协议(FCIP)IETF RFC4171因特网存储名称服务(iSNS)IETF RFC4172因特网光纤信道协议(iFCP)IETF RFC4301因特网协议的安全体系(IPSec)IETF RFC4306因特网密钥交换协议(IKE)3术语和缩略语3.1术语下列术语适用于本文件。3.1.1存储区域网络Storage Area Network(SAN)是一种用在服务器和存储设备之间的、专用的、高性能的网络体系。3.1.2IP 存储网络Storage Area Network over IP(IP SAN)是一种在IP以太网上架构存储区域网络的存
5、储技术。3.1.3小型计算机系统接口Small Computer System Interface(SCSI)是一种用于计算机和外部设备之间的通用接口标准,采用客户-服务器架构。3.1.4因特网小型计算机系统接口Internet Small Computer Systems Interface(iSCSI)是一种在TCP/IP上传输数据块的标准,用来建立和管理IP存储设备、主机和客户机等之间的相互连接,并创建存储区域网络。GB/T XXXXXXXXX23.1.5因特网安全协议 Internet Protocol Secruity(IPSec)是保护IP协议安全通信的标准,提供了认证和加密两种安
6、全机制:认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据是否遭到篡改;加密机制保证数据的保密性,防止数据在传输过程中遭到截获而失密。3.1.6安全远程密码 Secure Remote Password(SRP)是一种安全的新型密码鉴别和密钥交换协议,提供客户端和服务器间的强相互认证。3.1.7光纤信道协议Fibre Channel Protocol(FCP)是一种在光纤信道上的SCSI接口协议,用于计算机服务器与存储设备间互连与高速数据传输。3.1.8基于IP的光纤信道协议Fiber Channel over IP(FCIP)是一种在TCP/IP上用管道技术实现光纤信道协议的
7、机制,能够通过 IP 网络将各个孤立的光纤信道存储区域网络连接起来,从而形成一个统一的存储区域网络。3.1.9因特网光纤信道协议Internet Fibre Channel Protocol(iFCP)是一种网关到网关的协议,为 TCP/IP 网络上的光纤设备提供光纤信道通信服务,可以实现端到端的IP连接。3.1.10启动器Initiator是IP存储网络中的服务器或工作站,发起对目标存储设备的事务。3.1.11目标器Target是IP存储网络中的目标存储设备。3.1.12因特网存储名称服务 Internet Storage Name Service(iSNS)是一种在IP网络中智能搜索存储设
8、备的协议和机制,有助于在TCP/IP网络上自动发现、管理和配置iSCSI设备和光纤通道设备。3.2缩略语下列缩略语适用于本文件。CDBCommand Descriptor Block命令描述块CHAPChallenge Handshake Authentication Protocol挑战握手认证协议FCFibre Channel光纤信道FCIPFiber Channel over IP基于IP的光纤信道协议GB/T XXXXXXXXX3FCPFibre Channel Protocol光纤信道协议iFCPInternet Fibre Channel Protocol因特网光纤信道协议IPSe
9、cInternet Protocol Secruity因特网安全协议iSCSIInternet Small Computer Systems Interface因特网小型计算机系统接口iSNSInternet Storage Name Service因特网存储名称服务LANLocal Area Network局域网MANMetropolitan Area Network城域网PDUProtocol Data Units协议数据单元SANStorage Area Network存储区域网络SCSISmall Computer System Interface小型计算机系统接口SRPSecure
10、Remote Password安全远程密码WANWide Area Network广域网4IP 存储网络安全4.1IP 存储网络概述IP存储网络包括iSCSI、FCIP、iFCP、iSNS等技术。iSCSI定义了通过TCP/IP网络封装标准的SCSI命令,并且规定了如何发送和接收存储应用块数据的规则和处理方法。FCIP提供了一种通过IP网络构建FC隧道的机制,可以使多个由FC组建的SAN网络通过IP网络进行互联,以创建一个单一的FC存储区域。iFCP利用IP网络中的交换机、路由器等组件补充、增强或代替由光纤通道组建的SAN网络,以实现多个FC网络中的最终存储设备之间利用TCP/IP网络建立端到
11、端的连接。图1为iSCSI、iFCP、FCIP之间的关系。图 1iSCSI、iFCP、FCIP 对比iSNS为iSCSI和iFCP系统提供设备发现与管理服务,也可以提供iSCSI和iFCP存储设备的访问控制或授权策略。图2为iSNS与iSCSI和iFCP系统的关系。GB/T XXXXXXXXX4图 2iSNS 与 iSCSI 和 iFCP 系统的关系4.2安全威胁分析IP存储网络通过IP网络传输SCSI命令以及内容数据,因此控制数据和内容数据都很容易受到攻击,普通IP网络上的攻击手段都可以适用于IP存储环境上。安全威胁主要包括:a)攻击者能够通过截取数据包,替换数据包中的数据和控制信息以及伪装
12、数据包等手段进入iSCSI/iFCP/FCIP 存储网络,获取敏感数据甚至身份鉴别信息。b)攻击者可以利用重启 TCP 连接,中断安全协商过程以及减弱认证强度或者盗用口令等方法对iSCSI/iFCP/FCIP 存储设备发起攻击,导致 iSCSI/iFCP/FCIP 存储设备停止提供服务或资源访问。c)攻击者会对设备发现服务 iSNS 实施各种攻击,包括:有针对性地修改 iSNS 协议消息、伪装成真实 iSNS 服务,实现欺诈 iSNS 服务器,导致 iSCSI 和 iFCP 设备使用欺诈 iSNS 服务器;或监听 iSNS 协议消息,对 iSCSI 和 iFCP 设备的攻击,如服务拒绝攻击和物
13、理盗窃等。4.3安全需求IP存储网络仅提供了通信双方的身份鉴别机制,为了确保IP存储网络中数据传输的安全性,应利用IPSec与IKE为IP存储协议(包括iSCSI、iFCP、FCIP、iSNS)的每个数据包提供安全数据来源身份鉴别、数据保密、数据完整性的保护机制。安全需求主要包括:a)需要为 iSCSI、iFCP、FCIP 设备提供通信端的双向认证,阻止未授权的访问。b)iSCSI、iFCP、FCIP 设备需要支持 IPSec ESP,进行数据源认证和完整性认证,防止数据在传输过程的修改、插入、删除操作。c)iSCSI、iFCP、FCIP 设备需要提供数据包加密,并在密钥更新过程中提供完美前向
14、加密,防止数据的窃取和泄漏。d)iSCSI、iFCP、FCIP 设备需要提供抗重放保护机制,对不同安全需求的 IPSec SA 进行分离。e)iSCSI、iFCP、FCIP 设备需要兼容现有的安全机制,如防火墙、NAT、NAPT、VPN 等服务。f)iSCSI、iFCP、FCIP 设备需要支持 IKE 端认证、密钥管理、SA 协商。g)用户可以配置安全策略,如登陆认证、数据源认证、加密、完整性认证、抗重放保护机制以及IPSec 协商。h)需要提供 iSNS 的安全,应使用 IPSec 提供 iSNS 消息的认证、机密性和数据完整性保护。5iSCSI 安全GB/T XXXXXXXXX55.1体系
15、结构图3为iSCSI的体系结构,其中服务分发接口是相应的协议,保证设备之间的请求和响应无差错传输;连接子系统是数据的传输介质。iSCSISCSICDB/DATA/STATUSTCPIP网络适配卡iSCSISCSICDB/DATA/STATUSTCPIP网络适配卡SCSI CDBSCSI CDBTCPIP 分组数据帧iSCSI 协 议服务分发接口连接子系统服务分发子系统图 3iSCSI 体系结构5.2身份鉴别5.2.1概述iSCSI协议本身提供了一种认证机制,目标器必须验证启动器,启动器可以不验证目标器。每个iSCSI连接建立之前都必须通过协商交换登录响应iSCSI PDU来进行身份鉴别。iSC
16、SI必须支持CHAP认证,可支持SRP认证。5.2.2CHAP 认证iSCSI应支持CHAP认证,认证方式包括双向认证和目标器认证。图4为CHAP认证流程,如果启动器认证失败,目标器不应发送CHAP回应,应关闭iSCSI的TCP连接。启动器(I)目标端(R)发起挑战认证失败关闭 TCP 链接计算 HASH 值,回应挑战关闭 TCP 链接CHAP_A=A1,A2.CHAP_A=,CHAP_C=,CHAP_N=,CHAP_C=,禁止发送 CHAP_R注:N,(A1,A2),I,C,R分别对应名字,算法,识别器,挑战,回应。图 4CHAP 认证流程启动器与目标器不应使用相同的CHAP认证密钥。如果i
17、SCSI连接中,启动器收到的CHAP回应与目标器生成的CHAP回应相同,该协商应作为认证失败并关闭该连接,保证在认证双方使用不同的CHAP密钥。如果CHAP通过非加密方式实现,将容易受到离线字典攻击。因此,CHAP认证应支持长度为128bits的随机密钥加密方式。如果CHAP使用长度小于96bits的密钥加密时,应使用IPSec加密保护连接。此外,IKE协商时不宜使用组预共享密钥。GB/T XXXXXXXXX6不应重复使用相同的双向认证CHAP挑战,应对此检查并关闭相应TCP连接。在多个启动器与多个目标器认证时不宜配置相同的CHAP密钥。推荐iSCSI检查不同端点的CHAP密钥标识,将检测到的
18、威胁警告用户或者管理员。但是,一个启动器与多个目标器可使用同一CHAP认证;一个目标器与多个启动器也可使用同一CHAP认证。5.2.3SRP 认证iSCSI可使用SRP认证。iSCSI应支持常用SRP组(SRP-768,SRP-1024,SRP-1280,SRP-1536,SRP-2048),可以支持附加SRP组(MODP-3072,MODP-4096,MODP-6144,MODP-8192)。启动器与目标端必须支持高达1536bits的组(SRP-768,SRP-1024,SRP-1280,SRP-1536)。为了保证协同互用性,目标端必须一直将SRP-1536作为特定组使用。注:SRP-N
19、,N为密码长度5.3传输数据安全5.3.1概述iSCSI协议与iSCSI登陆机制不能满足网络传输的安全要求,iSCSI认证机制仅提供了启动器与目标器互相的身份鉴别,并未定义基于每个数据包的加密机制,需要对iSCSI连接使用第三方的加密程序。应使用IPSec机制对连接的IP层提供数据包的保护,这些保护必须包括数据完整性、身份鉴别、重放保护、数据加密以及密钥管理。5.3.2iSCSI 与 IPSec 交互iSCSI会话、TCP连接与IKE阶段的关系应为如下:a)一个 iSCSI 启动器或目标端可有多个 IP 地址,同时多个 iSCSI 启动器或目标端也可为同一个IP 地址。因此,一个 iSCSI
20、会话可对应多个 IKE 阶段 1 SA。b)iSCSI 会话的所有 TCP 连接都应受 IKE 阶段 2 SA 保护。当一个 IKE 阶段 2 SA 保护多个 TCP 链路时,每个 TCP 连接仅能在一个 IKE 阶段 2 SA 保护下传输。c)在启动器与目标器的SCSI登陆消息中应包含iSCSI/IPsec绑定的所有信息,包括IKE阶段1 SA与相应 iSCSI 会话的绑定,以及 TCP 链接与 IKE 阶段 2 SA 的绑定。5.3.3创建 iSCSI 会话创建iSCSI会话时应注意:a)在创建新的 iSCSI 会话时,如果当前不存在可用的 IKE 阶段 1 SA,需要由 iSCSI 启动
21、器建立IKE 阶段 1 SA。该会话内此后所有 iSCSI 连接需要被由 IKE 阶段 1 SA 协商生成的 IKE 阶段 2 SA进行保护。b)在 iSCSI 启动器向目标器发送 iSCSI 登陆命令之前,启动器与目标器需要成功完成 IKE 阶段 1与阶段 2 的协商。c)一个 iSCSI 会话可以关联多个 IKE 阶段 1 SA,一个 IKE 阶段 1 SA 也可以对应多个 iSCSI 会话。一个 iSCSI 连接对应一个 TCP 连接。一个 IKE 阶段 2 可以保护多个 TCP 连接。d)在 IKE 中,每一个密钥更新需要指定一个新的 SA,每隔一定时间,需要终止旧的 SA 并制定新的
22、 SA。5.3.4关闭 iSCSI 会话iSCSI机制提供了iSCSI会话的正常关闭和非正常关闭。在非正常关闭中,如果一个TCP连接意外断开,相关联的iSCSI连接将被强制断开。IKE阶段2与阶段1不必在iSCSI连接断开后进行删除。同样,如果IKE收到阶段2删除消息,与阶段2相关联的TCP或iSCSI连接也不必关闭。此外,为了更好地保持iSCSI连接,需要建立一个新的IKE阶段2 SA对其进行保护,避免iSCSI不断连接/断开。GB/T XXXXXXXXX75.3.5iSCSI 错误处理iSCSI错误处理应支持IPSec保护机制,如果数据发生了错误,可以丢弃该数据包并启动TCP重传机制,避免
23、在应用层对整个iSCSI PDU的重传。6FCIP 安全6.1体系结构图5为FCIP协议层次模型,FCIP设备将整个光纤信道协议帧封装到TCP/IP的数据帧内,通过IP网络传输,对IP网络完全透明。网络适配卡网络适配卡FCIPFCTCPIPFCIPFCTCPIPFC 帧iFCP 帧TCPIP 分组数据帧FCIP 协 议FSPFOSPF隧道会话图 5FCIP 协议层次模型6.2身份鉴别FCIP为端到端协议,应支持双向认证。不必提供身份鉴别的保密性。6.3传输数据安全FCIP没有提供数据的保护机制,可依靠IPSec提供身份鉴别、加密和数据完整性认证,同时可利用IPSec的自动密钥管理协议和Inte
24、rnet密钥管理,处理安全密钥的生成与管理。FCIP实体是对等结构并通过TCP/IP通信,应为每个FCIP实体静态或动态配置IP地址及响应FCIP实体的TCP端口号。为每个FCIP端的IP地址对建立IKE阶段1,FCIP端应使用静态IP地址。FCIP链路中每一个TCP连接对应一个IKE阶段2,IKE阶段2应支持协商密钥更新,防止重放攻击。FCIP管理界面宜提供安全保护机制,防止攻击者通过攻击管理界面破解FCIP的安全机制。FCIP实体仅仅是机器级的隧道通信,不必提供用户级的认证。7iFCP 安全7.1体系结构图6为iFCP协议层次模型。iFCP运行时将光纤信道数据以IP包形式封装,并将IP地址
25、映射到分离光纤信道设备。由于在IP网中每类光纤信道设备都有其独特标识,因而能够与位于IP网其它节点的设备单独进行存储数据收发。通过在iFCP网关上端接光纤信道信令和在IP网络上传送存储数据流。GB/T XXXXXXXXX8Fibre Chanel 设备N_PortiFCP 层F_PortFCP 端口IP网络适配卡Fibre Chanel 设备N_PortiFCP 层F_PortFCP 端口IP网络适配卡Filbre Channel通信控制数据IP 分组数据帧iFCP 帧Filbre Channel设备域Filbre Channel设备地址IP 地址映射IP Fabric图 6iFCP 协议层次
26、模型7.2身份鉴别iFCP为端对端协议,应支持双向认证。iFCP可通过iSNS获取发现域信息实现存储资源的隔离,只允许经过授权的引发器发现特定的目标设备并与之建立会话。不必提供身份鉴别的保密性。7.3传输数据安全iFCP没有提供对数据的保护,可依靠IPSec提供身份鉴别、加密和数据完整性认证,同时可利用IPSec的自动密钥管理协议和Internet密钥管理,处理安全密钥的生成与管理。iFCP可使用IPSec来强制执行认证和数据加密,两个iFCP网关间可以建立一个或多个IKE阶段1 SA,每个IKE阶段1 SA可以建立1个或多个IKE阶段2 SA,每个IKE阶段2 SA可以保护一个或多个TCP连
27、接。IKE阶段2 SA可根据iSNS服务器获取或管理接口配置的安全策略进行创建。同样,PFS快速模式下的密钥交换负载也可根据iSNS服务器获取或管理界面配置的安全策略进行驱动。IPSec SA应保护iFCP的所有有安全需求的连接,包括绑定连接和未绑定连接。可删除休眠的IKE阶段2 SA,以减少活跃IKE阶段2 SA的数量。对于空闲的TCP连接,宜等到该连接有数据传输时才创建新的SA对其保护。在标准IP流量中不出现存储数据,第三方的防火墙和加密产品可用来保护iFCP网关到网关的连接,并为存储信息提供VPN(Virtual Private Network,虚拟专用网络)。8iSNS 安全8.1消息
28、安全iSNS使用IPSec安全时,iSNS数据库的每个iSNS客户端应与iSNS服务器至少保持一个IKE阶段1和一个IKE阶段2 SA。客户端与服务器间的所有iSNS协议消息应利用IKE阶段2 SA保护。所有iSNS实现的安全机制应支持IPSec的重放保护机制,iSNS服务器应支持ESP隧道模式,可支持ESP传输模式。为了提供数据源认证和ESP完整性,应支持HMAC-SHA1,宜支持采用AES-XCBC-MAC认证。GB/T XXXXXXXXX9iSNS应支持IKE认证、SA协商、密钥管理和IPSec DOI。iSNS应使用动态密钥和密钥更新,不宜使用手动密钥。所有iSNS实现的安全机制应支持预共享密钥认证,可支持数字签名证书的端认证。端认证不宜使用公共密钥加密方式。所有iSNS实现的安全机制应支持IKE主模式,推荐支持野蛮模式。当任意端使用动态IP地址时,不宜使用预共享密钥认证的IKE主模式。使用数字签名认证时,可以使用IKE主模式或IKE野蛮模式。应保护本地存储的安全信息(预共享密钥、私有密钥、数字签名),避免加密信息泄露导致IKE/IPSec安全协议失效。使用数字签名的认证时,在接受PKI证书之前,IKE协商建议首先检查证书撤销列表。_