FC SAN中交換機(jī)端口安全策略的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著信息量在網(wǎng)絡(luò)中的不斷膨脹，大量數(shù)據(jù)的存儲(chǔ)和管理越來(lái)越成為網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)的問題。由此，網(wǎng)絡(luò)存儲(chǔ)結(jié)構(gòu)經(jīng)歷了直接連接存儲(chǔ)方式到存儲(chǔ)區(qū)域網(wǎng)方式的發(fā)展。使用光纖通道作為傳輸介質(zhì)的存儲(chǔ)區(qū)域網(wǎng)稱作FC SAN。FC SAN解決了大量數(shù)據(jù)的存儲(chǔ)和管理，但是也存在安全性問題。FC SAN中設(shè)備之間都可以相互訪問，數(shù)據(jù)資源的保密性無(wú)法得到保證，同時(shí)也無(wú)法防止惡意設(shè)備的攻擊。因此，F(xiàn)C SAN需要對(duì)設(shè)備的訪問進(jìn)行控制。目前保證FC SAN中設(shè)備訪問安全的解

2、決方案有LUN掩碼和Zoning分區(qū)。但是，LUN掩碼和Zoning分區(qū)缺乏靈活性和嚴(yán)密的訪問控制。為此，本課題研究基于交換機(jī)端口實(shí)現(xiàn)的安全策略系統(tǒng)。通過(guò)每臺(tái)設(shè)備唯一的wwn和登錄接口名，在網(wǎng)絡(luò)中的交換機(jī)上依據(jù)規(guī)則對(duì)登錄設(shè)備進(jìn)行權(quán)限檢查，檢查通過(guò)的才能進(jìn)行訪問磁盤陣列。相比傳統(tǒng)的ZONE劃分和LUN掩碼解決方法，交換機(jī)端口安全的實(shí)現(xiàn)方式更具有精確性、靈活性和安全性。
　　本論文針對(duì)FC和SAN原理做了詳細(xì)研究，然后在此基礎(chǔ)上確立了

3、端口安全策略系統(tǒng)控制設(shè)備訪問應(yīng)具有的相關(guān)功能。通過(guò)分析端口安全策略系統(tǒng)的功能需求，設(shè)計(jì)了系統(tǒng)具體的實(shí)現(xiàn)方案。通過(guò)分析端口安全策略系統(tǒng)與其它模塊之間的交互關(guān)系，確立了端口安全策略系統(tǒng)在整個(gè)交換機(jī)系統(tǒng)中的位置和作用。本論文中的端口安全策略系統(tǒng)分為權(quán)限檢查線程和事件處理線程，并將權(quán)限檢查線程封裝成動(dòng)態(tài)共享庫(kù)的形式提供給其他模塊，當(dāng)其他模塊需要進(jìn)行權(quán)限檢查時(shí)，調(diào)用該動(dòng)態(tài)共享庫(kù)進(jìn)行權(quán)限檢查。事件處理線程劃分成權(quán)限檢查模塊、規(guī)則配置模塊、接口事件模

4、塊、登錄事件模塊和同步模塊。劃分后的模塊與規(guī)則檢查庫(kù)、規(guī)則恢復(fù)庫(kù)、登錄信息庫(kù)、統(tǒng)計(jì)信息庫(kù)和拒絕登錄信息庫(kù)交互，進(jìn)行信息的更新。在進(jìn)行數(shù)據(jù)結(jié)構(gòu)組織上，考慮到多種查詢條件的情況，在各信息庫(kù)中增加了查詢索引，采用哈希表和鏈表結(jié)合的方式進(jìn)行查找信息庫(kù)中的內(nèi)容。本系統(tǒng)的特點(diǎn)是具備規(guī)則自動(dòng)學(xué)習(xí)的功能，并且改進(jìn)了規(guī)則的狀態(tài)和統(tǒng)計(jì)信息的內(nèi)容，對(duì)拒絕登錄信息增加了老化機(jī)制。最后，通過(guò)模擬組網(wǎng)對(duì)系統(tǒng)的功能進(jìn)行測(cè)試。測(cè)試結(jié)果表明端口安全策略系統(tǒng)達(dá)到了控制FC