admin 管理员组文章数量: 887021
2024年3月9日发(作者:织梦扣点阅读)
龙源期刊网
基于CIFS协议的存储加密代理设计与实现
作者:姜楠
来源:《中国科技博览》2015年第05期
[摘要]近年来,企业越来越多的使用网络存储设备作为其存储海量数据的媒介,但是随着多起企业数据资料泄露事件的发生,企业越来越注重存储安全的重要性。本文在对协议进行分析的基础上,设计并实现了基于协议的存储加密代理,以实现企业文件数据在网络存储设备上的加密存储,同时提供多种访问控制规则相结合的访问控制机制,保证文件数据在网络存储设备上的安全共享,并通过实际测试实验,对存储加密代理的功能、性能进行了测试。
[关键词]存储加密代理CIFS协议加密存储安全共享
中图分类号:U843 文献标识码:A 文章编号:1009-914X(2015)05-0331-01
1引言
随着计算机和网络技术的飞速发展、企业规模的不断发展扩大,企业需要存储、共享的数据也在日益增加,因此,出现了NAS(Network Attached Storage),SAN(StorageAreaNetwork)等海量数据存储设备。虽然、NAS和SAN等海量数据存储设备能够在一定程度上缓解企业关于数据存储的压力,但是如果直接企业的数据存储于NAS或者SAN,数据将以明文形式存储,这带来巨大的安全隐患:如果存储于这些网络存储设备(NAS或SAN)的数据中包含如企业员工的资料信息、通信簿、商业秘密等隐私信息,即使网络存储设备没有接入Internet,从而能够避免外部攻击者的入侵、窃取,但是无法阻止企业内部员工的犯罪,这些敏感信息的泄漏,势必会给企业带来经济损失、影响企业的声誉。因此,我们设计并实现了基于CIFS协议的存储加密代理(以下简称存储加密代理),用于实现企业数据在网络存储设备上的加密存储与安全共享,并引入访问控制功能,有效地防止企业内部员工的犯罪。
本文剩余章节安排如下第二节详细介绍存储加密代理的设计与系统实现,第三节对存储加密代理的功能、性能进行了测试实验,第四节对存储加密代理的安全性进行分析,最后给出本文的总结和下一步工作。
2存储加密代理的设计与实现
2.1整体解决方案
基于CIFS协议的存储加密代理是将存储加密代理部署于用户与网络存储设备之间,以代理的方式实现存储数据内容的加解密操作,并且用户与存储加密代理之间的通信使用IPS(IntemetProtocolSecurity),保证链路通信之间的数据也是密文形式,这样从链路传输到数据
龙源期刊网
存储,内容均以密文形式出现,保证文件数据内容的安全性。同时,存储加密代理采取权限分割的原则分别设置管理员和审计员(两名审计员),负责存储加密代理的管理和审计工作。
2.2系统实现
储加密代理以代理的方式提供CIFS协议传输数据包内容的加密操作,实现文件数据在网络存储设备的加密存储。
(1)访问控制模块:实现存储加密代理的访问控制功能,限制用户对网络存储设备上存储数据的访问,以达到数据安全共享的目的。我们的访问控制模块实现了细粒度的访问控制规则检查,同时支持基于地址的访问控制规则、基于访问时间的访问控制规则、基于网络存储设备的共享文件夹的访问控制规则设置。同时,我们设置了存储加密代理的管理员和审计员,由该访问控制模块实现基于USBKey和用户名口令的双因素身份认证机制。
(2)协议分析处理模块:实现CIFS协议的分析全国计算机安全学术交流会论文集与处理功能。对通信数据包进行协议分析、数据包解析,以实现存储加密代理的协议层加解密方案,对用户更加透明。协议分析模块从通信数据包中提取出需要进行加解密操作的数据包内容,将提取出的内容送至加解密模块,实现数据内容的加解密操作,并且将接收到的加解密模块的处理结果重新组织CIFS协议数据包,进行转发处理。
(3)加解密模块:加解密从协议分析处理模块得到的数据包内容,同时将处理结果返还协议分析处理模块,加解密操作由加密卡完成。
(4)安全审计模块:实现对存储加密代理所有操作行为的审计功能,对用户进行的所有文件访问操作进行详细、全面的记录,并且对日志审计文件的访问进行限制,只有通过双因素身份认证的两名审计员同时在场时,才可以删除该文件,单一审计员对该文件仅仅具有查看权限,其他用户、管理员均无权访问日志审计文件。
3存储加密代理的测试实验
由于协议对于文件内容的全部操作,最终都归结为对文件的读、写操作,因此,在测试过程中,我们以文件上传、文件下载操作为例,测试存储加密代理的功能和性能。
(1)文件上传
测试实验中,用户将本地文件上传至NAS。测试结果表明,用户经由存储加密代理将文件上传至NAS,数据在传输过程中经由加密卡进行加密,最终以密文形式存储于,而并不影响用户对文件的操作,用户上传文件的操作与不使用存储加密代理时是一样的。
(2)文件下载
龙源期刊网
测试实验中,用户将NAS上的文件下载至本地客户端。测试结果表明,用户经由存储加密代理下载以密文形式存储于NAS的文件,存储加密代理在数据内容传输过程中对其进行解密操作,使得最终文件以明文形式存储于本地客户端。
数据内容传输过程中对其进行解密操作,使得最终文件以明文形式存储于本地客户端。
(3)测试结论
存储加密代理部署于用户与网络存储设备之间,实现对文件数据内容的线速加解密操作,对用户对于NAS的文件操作不产生任何影响,对用户完全透明,能够实现文件数据在NAS上的加密存储和安全共享。
4存储加密代理的安全性分析
对基于CIFS协议的存储加密代理的安全性进分析:存储加密代理利用密码技术,对文件数据内容进行加解密操作,保证文件数据内容的安全,文件数据内容的安全性取决于密码算法的安全性存储加密代理使用多种访问控制规则相结合的访问控制机制,S实现细粒度的访问控制检查,能够从用户的IP地址、访问时间以及访问的共享文件夹三方面分别进行访问控制授权,在用户名/口令的用户身份认证机制的基础上,对用户的访问权限进行了限制存储加密代理采取权限分割的原则,设置管理员和审计员,以分别进行存储加密代理的配置管理、日志审计等操作,这样可以有效减少单一管理员权限过大的安全威胁,同时对管理员和审计员采用USBKey和用户名/口令相结合的双因素身份认证机制,以保障存储加密代理的安全存储加密代理提供安全审计功能,能够对管理员、审计员对存储加密代理的全部操作、用户对于网络存储设备中所有文件访问操作进行详细、全面的记录,只有两名审计员同时在场,并且通过了双因素的身份认证机制,才可以对日志审计文件进行删除,而单一审计员仅仅可以查看该日志审计文件,管理员、用户无权访问日志审计文件存储加密代理运行于工控机之上,采用双电源备份供电模式,以保障存储加密代理的正常运行,并对工控机的机箱加锁,以保证只有授权的管理员、审计员才可以访问工控机。
5总结和下一步工作
基于CIFS协议的存储加密代理部署于用户与网络存储设备之间,在分析CIFS协议的基础上,实现对文件数据内容的加解密操作,以保证存储于网络存储设备上的数据是密文形式。存储加密代理实现协议层的数据加解密,对用户完全透明,从而有效地将网络存储设备隐藏在存储加密代理的后面,这在一定程度上减少了用户直接访问网络存储设备而造成信息泄漏的安全威胁。存储加密代理支持多用户的并发访问,不会影响用户对于网络存储的体验。存储加密代理集协议分析、访问控制、安全审计、解密功能于一身,能够实现文件数据在网络存储设备的加密存储和安全共享,防止企业内部资料的泄漏。
龙源期刊网
本文的下一步工作是增加NFS协议的分析与处理,实现基于NFS协议的存储加密功能,实现存储加密代理对多种操作系统版本的支持,如Windows,Linux,Unix等。
版权声明:本文标题:基于CIFS协议的存储加密代理设计与实现 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/free/1709932457h550755.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论