FC SAN中交換機端口安全策略的設(shè)計與實現(xiàn).pdf

1、隨著信息量在網(wǎng)絡(luò)中的不斷膨脹，大量數(shù)據(jù)的存儲和管理越來越成為網(wǎng)絡(luò)存儲系統(tǒng)的問題。由此，網(wǎng)絡(luò)存儲結(jié)構(gòu)經(jīng)歷了直接連接存儲方式到存儲區(qū)域網(wǎng)方式的發(fā)展。使用光纖通道作為傳輸介質(zhì)的存儲區(qū)域網(wǎng)稱作FC SAN。FC SAN解決了大量數(shù)據(jù)的存儲和管理，但是也存在安全性問題。FC SAN中設(shè)備之間都可以相互訪問，數(shù)據(jù)資源的保密性無法得到保證，同時也無法防止惡意設(shè)備的攻擊。因此，F(xiàn)C SAN需要對設(shè)備的訪問進行控制。目前保證FC SAN中設(shè)備訪問安全的解

2、決方案有LUN掩碼和Zoning分區(qū)。但是，LUN掩碼和Zoning分區(qū)缺乏靈活性和嚴(yán)密的訪問控制。為此，本課題研究基于交換機端口實現(xiàn)的安全策略系統(tǒng)。通過每臺設(shè)備唯一的wwn和登錄接口名，在網(wǎng)絡(luò)中的交換機上依據(jù)規(guī)則對登錄設(shè)備進行權(quán)限檢查，檢查通過的才能進行訪問磁盤陣列。相比傳統(tǒng)的ZONE劃分和LUN掩碼解決方法，交換機端口安全的實現(xiàn)方式更具有精確性、靈活性和安全性。
　　本論文針對FC和SAN原理做了詳細(xì)研究，然后在此基礎(chǔ)上確立了

3、端口安全策略系統(tǒng)控制設(shè)備訪問應(yīng)具有的相關(guān)功能。通過分析端口安全策略系統(tǒng)的功能需求，設(shè)計了系統(tǒng)具體的實現(xiàn)方案。通過分析端口安全策略系統(tǒng)與其它模塊之間的交互關(guān)系，確立了端口安全策略系統(tǒng)在整個交換機系統(tǒng)中的位置和作用。本論文中的端口安全策略系統(tǒng)分為權(quán)限檢查線程和事件處理線程，并將權(quán)限檢查線程封裝成動態(tài)共享庫的形式提供給其他模塊，當(dāng)其他模塊需要進行權(quán)限檢查時，調(diào)用該動態(tài)共享庫進行權(quán)限檢查。事件處理線程劃分成權(quán)限檢查模塊、規(guī)則配置模塊、接口事件模

4、塊、登錄事件模塊和同步模塊。劃分后的模塊與規(guī)則檢查庫、規(guī)則恢復(fù)庫、登錄信息庫、統(tǒng)計信息庫和拒絕登錄信息庫交互，進行信息的更新。在進行數(shù)據(jù)結(jié)構(gòu)組織上，考慮到多種查詢條件的情況，在各信息庫中增加了查詢索引，采用哈希表和鏈表結(jié)合的方式進行查找信息庫中的內(nèi)容。本系統(tǒng)的特點是具備規(guī)則自動學(xué)習(xí)的功能，并且改進了規(guī)則的狀態(tài)和統(tǒng)計信息的內(nèi)容，對拒絕登錄信息增加了老化機制。最后，通過模擬組網(wǎng)對系統(tǒng)的功能進行測試。測試結(jié)果表明端口安全策略系統(tǒng)達到了控制FC