信息存储的安全技术
朱立谷,任勇
(中国传媒大学计算机学院)
1.前言
随着数字信息的爆炸式增长,个人与组织对这些信息的依赖性不断增加,数据成为最重要的资产,而存储系统作为数据的储藏地和数据保护的最后一道防线,正逐渐成为整个信息系统的中心;此外,由于存储系统的网络化,被网络上的众多计算机共享,从而使存储系统变得更易受到攻击,存储系统往往成为攻击者的首选目标,达到窃取、篡改或破坏数据的目的;同时,数据在整个生命周期中会经过多个用户、网络和存储设备,存在多个可能的攻击点,数据在传输和存储过程中的安全性变得至关重要。
因此,人们对存储的关注中心发生了变化,在关心存储的容量、性能、可靠性和扩展性的同时,人们更关心存储的数据不被泄漏、篡改或删除,并在需要时候可以即时访问。
2.存储系统的安全
针对存储安全,SNIA(Storage Network Industrial Association,网络存储工业协会)给出了一个最基本的定义:保证数据在存储网络中的传输和存储的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。
机密性就是对抗对手的被动攻击,要保证数据不能被非法用户或未被授权用户复制和读取,或者即便数据被截获,其所表达的信息也不被非授权者所理解;完整性就是对抗对手主动攻击,数据不能被包括黑客、病毒和非法用户修改,防止信息被未经授权的篡改;可用性就是确保信息及信息系统能够为授权使用者所正常使用,要求在遇到包括攻击、灾难性事件等数据不能丢失。
存储系统提供的存储安全服务主要包括认证和授权、可用性、机密性和完整性、密钥共享和密钥管理施、审计和人侵检测等方面。
(1) 认证和授权。
认证和授权是一个存储系统应该提供的最基本的安全服务,存储服务器在允许数据的生产者、消费者和管理者访问读或写之前,应该认证他们的身份是否合法,如果合法,则给一定的访问权限。
认证可使用口令、数字签名和信息认证码等技术;授权可通过访问控制列表等或使用证书中列举了证书所有者的访问权限。
(2) 可用性。
系统失效和拒绝服务攻击是难以阻止的,存储系统常采用复制与备份、冗余与容错等技术保证系统的可用性。
(3) 机密性和完整性。
当数据在远程存储服务器上产生、传输和存储时,面对入侵者的破坏、修改和重发攻击,可以通过加密可以保证对非认证用户的机密性,通过数字签名或信息认证码可以保证数据的完整性,给每一个会话设置时间戳或随机数可以阻止敌手重发攻击,使用安全套接字可以保证数据传输安全;数据的机密性和完整性也可通过端到端的安全来保证,即用户发送数据时在客户端加密和签名,端到端的安全放置最小的信任到存储服务器边,并且只有持有相应密钥的用户才能访问这些数据。
(4)密钥共享和密钥管理。
多用户网络文件共享是很普通的,共享一个文件的所有用户也必须共享这个文件的加密密钥,当从一个组中删除一个用户或合并两个组时,要求重新加密共享文件并且重新分布新的密钥;另一个方面是密钥恢复,密钥恢复系统允许在某些条件下被授权的用户解密密文。
(5)审计和人侵检测。
存储系统必须维持重要活动的审计日志,审计日志对系统恢复、人侵检测等非常重要;人侵检测系统使用各种日志如网络日志和数据访问日志和网络流如、网络流等来检测和报告攻击。
3. 安全的存储系统
目前,有两种不同的思路来构建安全的存储系统:①借鉴信息安全的特性(安全性、完整性、保险性)为某一特定应用提出专门的解决方案,如安全网络文件系统、加密文件系统、可生存存储系统、基于存储的人侵检测系统等;②从存储系统的体系结构人手寻找一种安全的、高效的存储模式,如对象存储模式等。
3.1基于信息安全的安全存储
(1)安全网络文件系统。
基于认证和访问控制的网络文件系统是最早考虑到安全因素的,包括NFS、AFS、NASD、SFS-RO等。
在这类系统中,通过存储服务器的认证和访问控制提供数据的安全性。
大多数这类系统也对网络中传输的数据加密,但不提供端到端的数据安全,也就是说不保证存储在存储服务器上的数据的机密性和完整性,而是假设文件服务器和系统管理员是可信的。
(2)加密文件系统。
加密文件系统目标是提供端到端的安全,在客户端执行加密操作防止数据被文件服务器和其他未授权用户窃取或篡改。
这些系统将密码操作(加密/解密、签名/验证)嵌入文件系统中。
文件服务器被赋予最小的信任,由于它们不参与加密/解密过程,它们永远无法获知可读的文本。
这类系统面对的主要问题是密钥管理,包括密钥的粒度、密钥的存储、共享策略。
灵活高效的密钥管理策略是提高存储安全系统效率的重要因素。
(3)可生存存储系统。
可生存存储的概念是由卡内基梅隆大学(简称CMU)的PASIS项目组提出的,它所基于的设计理念是:传统的构建安全系统的方法是采用防御机制抵御外来入
侵以达到安全目标,而在由成千上万结点组成的分布式系统中,结点失效或被攻击应被视为普通事件而非异常,因此,安全存储系统的设计目标不应是避免结点失效,而是如何在部分节点失陷的情况下使系统仍能提供安全的、可信赖的服务,保证数据的机密性和完整性,并能对入侵造成的损失进行还原或修复。
(4)基于入侵检测的存储系统。
随着存储系统的规模越来越大,提供的服务也越来越多样化,系统越来越复杂,也不容易维护,而且恶意病毒、木马程序、入侵等一系列因素使得系统的安全性越来越难得到保证,为此,人们产生了将系统的安全保障划分到一个个子模块中分别进行处理的思路,在存储设备或文件服务器中嵌入入侵检测系统,这类系统的主要代表是CMU 的S4自安全存储系统(Self-Securing Storage System )。
3.2基于对象模型的安全存储
基于对象的存储(Object Based Storage Device ,OBD )也是由CMU 提出的,它的思想是是将文件系统分成两部分,一部分与用户有关的部件,一部分与存储有关部件。
与用户有关的部件放在文件服务器上,而与存储有关的部件则下放到存储设备上,在文件服务器同存储设备之间插入一个专用的对象接口,而不是块接口,对象是存储设备上多个字节的逻辑集合,它包括访问数据的属性、属性描述、数据特征和阻止非授权用户访问的安全策略等。
对象存储体系结构在每一个级别上都提供了安全性:存储系统对存储设备的认证;存储系统对计算节点的认证;存储系统对计算节点命令的认证;所有命令都经CRC 的完整性检查;数据和命令经由IP 的私有性。
这样的安全水平能给用户以信心,让他们可以更经济高效地管理并轻松访问网络。
在面向对象的存储的研究和开发中,
有两个分支引起了学术界和工业界的广泛
关注和重视:其中一个分支是智能存储,
如NASD 、Lustre 等,Lustre 已经在在多
个大规模集群上应用,成为集群存储的重
要发展方向;另外一个分支则是基于内容
的存储,如CAS(Content Addressable
Storage ,内容寻址存储)。
在CAS 中,获取数据不是按照用户定义的文件名,而是根据文件的内容。
传统的文件名被
一个根据文件内容通过某种特定算法计算出来的字符串所取代,它是一个表征该数据对象的全局惟一的数字标识符,或称做数字指纹,一种常用的方法是根据数据内容计算出固定长度的Hash 来代替文件名。
CAS 维持一个描述组成原数据对象的各个数据块的数字标识符清单,它为具体应用提供可用的CAS 数据块的引用来重组原数据对象。
对于网络存储系统的客户端而言,
3 U 3 U 图1 对象存储的访问模式
只需使用这一数字标识符经由CAS网络存储系统的应用软件服务器来实现对固定内容的存取。
内容寻址意味着无须其他应用程序协助,便能够定位和管理信息在存储介质上的物理位置。
由于地址是根据内容本身计算的,因此它可以作为应用程序在查找和搜索存储对象时使用的唯一的标识检查。
此标识检查机制不仅简化了管理大量对象的任务,而且确保了内容本身的一致性和真实性。
CAS 将应用和内容的物理位置完全隔离,可以自动检测数据对象的变化,实时保护数据对象不被恶意的修改,维持数据对象的完整性。
同时,数据对象的数字指纹是从内容得到的全球唯一的ID,它可以用于WORM(Write Only Read Many)和内容认证。
这些特性使CAS 技术在数字保存(Digital Preservation)和法规遵循(Regulatory compliance)等领域所具有的独特优势,特别适合用于数字资产的归档存储。
4.结语
网络存储系统安全问题涵盖了网络安全和存储系统安全的各个方面,其安全技术是存储技术与网络技术的结合。
未来,通过技术融合和不断创新将构成更有效的存储安全机制来保证存储系统整体的安全。