摘要:随着网络数据量的飞速发展,更多的企业开始着眼于利用虚拟化技术来降企业的存储成本,存储虚拟化技术正在被广泛应用,其中采用带外的网络存储虚拟化技术是今后的趋势。带外虚拟化与带内虚拟化相比具有性能高和扩展性好等优点,但是在安全性方面还有所欠缺,因为带外方式会在每台服务器上都安装虚拟化客户端软件,此时它就有可能受到攻击。在此,可信计算理论可以解决这一问题,通过结合可信理论,将设计出一种合理、安全的带外网络存储虚拟化的模型。
关键词:存储;虚拟化;带外;网络
中图分类号:TP311文献标识码:A文章编号:1009-3044(2010)07-1746-03
The Implementation of Out-of-Band Virtualization Model of Network Storage Based on Trusted Computing
WU Yun-long, DANG Zhuang
(Computer School of Wuhan University, Wuhan 430072, China)
Abstract: With the rapid development of network data, more enterprises begin to focus on the use of virtualization technology to lower the cost of enterprise storage, storage virtualization technology is being widely used. Out-of-band network storage virtualization technology is the future trend which has higher performance and better scalability than In-band. But there is still the lack of security, because It will setup virtualization client software on each server when it is likely to be attacked. While the trusted computing theory can solve this problem, this paper will combine the trusted computing theory and provide a reasonable and secure Out-of-band network storage virtualization model.
Key words: storage; virtualization; out-of-band; network; trusted computing
随着存储应用的深入,优化存储资源、提高存储利用率、降低成本成为企业关注的焦点。目前的存储方式已由传统的直接连接存储(DAS)发展到已被普遍接受的存储域网络(SAN),但是SAN互操作性差,对与异构环境文件不能共享是SAN的缺点。最近两年,存储虚拟化(Storage Virtualization)技术的出现弥补了这一缺点,存储虚拟化就是将存储网络(SAN)中各种分散的、异构的存储设备映射成一个单一的连续编址的逻辑存储空间或一个虚拟存储池(Virtual Storage Pool),并将虚拟存储池的访问接口提供给应用系统[1]。存储虚拟化技术增强了SAN的扩展能力、性能及高可用性[2],所以存储虚拟化技术成为了越来越多的企业降低成本的手段,其中以基于带外方式的虚拟化方式尤为突出。
但是带外方式在给我们带来强大的扩展性的同时也存在安全问题,每台服务器必须安装虚拟化客户端软件,这种方式将数据的路径和控制路径分开,确保虚拟化设备不会成为数据传输的瓶颈,但是因为需要安装专用的软件,这使得网络中的病毒,木马,恶意程序有机可乘,对整个存储系统造成安全隐患。经分析我们发现传统的保护措施都主要依靠软件实现保护功能,难以避免人为操作失误带来的损失,另外无论是杀毒软件还是入侵检测都不能防患于未然,不能有效地抑制病毒的侵入。正如著名信息安全专家张焕国教授指出“硬件和操作系统安全是信息安全的基础,密码技术和网络安全是信息安全的关键。只有从硬件和操作系统出发,才能有效地解决信息安全问题。”[3]鉴于此我们提出基于可信计算的带外网络存储虚拟化的模型。
本文将从以下几部分进行阐释:存储虚拟化技术分析;可信理论介绍;带外网络存储虚拟化的模型的提出和总结部分。
1 存储虚拟化技术分析
存储虚拟化的实质是将物理存储实体与存储的逻辑表示分离,实现手段是在物理存储设备与访问存储设备的客户端之间加上一个抽象层,抽象层能将不同的存储设备整合成一个简单、通用的存储池,展现在客户端面前[4]。
目前实现存储虚拟化的方式主要有三种:基于主机的存储虚拟化,使用专用的卷管理软件在主机服务器上实现;基于设备的存储虚拟化,利用阵列控制器的固件在磁盘阵列上实现;基于网络的存储虚拟化,利用专用的虚拟化引擎在存储网络上实现,下面分别进行介绍。
1.1 基于主机的存储虚拟化
这种方式指虚拟化的工作通过特定的虚拟化软件在主机服务器上完成,这使得主机能够提供独立于存储网络的互连能力和存储资源,但必须在一个服务器范围内进行管理,它适合仅仅需要单个主机服务器(或单个集群)访问多个磁盘阵列的情况。这种虚拟化的实现往往依靠主机的逻辑卷管理软件,所以它具有耐久性和兼容性等特点,特别强调的是它和文件系统存在于同一个主机上,使得二者可以有效沟通以及文件系统和卷实现动态的扩展和压缩。
1.2 基于存储设备的存储虚拟化
当有不止一个服务器来访问同一个磁盘阵列时,为了不依赖于某个特定的主机,并且能够支持异构的主机系统,则采用基于存储设备的虚拟化解决方案。这种虚拟存储工作在阵列控制器上的,它将一个磁盘阵列的容量划分为多个存储空间,供不同的主机访问。这种阵列控制器提供块级别的整合,同时还提供缓存、即时快照、数据恢复等功能。目前最常用的是虚拟磁盘,虚拟磁盘是指把多个物理磁盘按照一定方式组织起来形成一个标准的虚拟逻辑设备。
1.3 基于网络的存储虚拟化
以上两种方式都是一对多的方式,这在实际生活中应用较少,我们往往需要的是多对多的方式,也就是说多个服务器需要操纵多个异构的存储设备,这就需要在服务器和存储设备之间的存储网络中实现虚拟化,使得异构服务器和存储设备可以实现数据的传输。这类似于卷管理的功能扩展到整个存储网络,负责管理Host视图、共享存储资源、数据复制、数据迁移以及远程备份等,并对数据路径进行管理避免性能瓶颈[5]。
网络存储的虚拟化是通过向SAN中加入专门的控制器来实现的。这种控制器一般为装有虚拟化管理软件的服务器平台。根据这个控制器的安装位置不同可将网络存储虚拟化分为,对称的(Symmetric)或带内的(In—band)存储虚拟化和不对称的(Asymmetric)或带外的(Out—of—band)存储虚拟化。
带内方式是指虚拟化在服务器和存储设备之间的数据通路上实现,通过使用一个专用的服务器作为虚拟化平台,虚拟化层软件就驻留在虚拟平台上,整个存储系统的元数据也存放在其中,所有数据的传输和元数据的访问都是以虚拟平台为核心的。这种方式较容易实现,但存在系统瓶颈[6]。相比之下,带外方式是在服务器和存储设备的数据通路之外实现,控制信息和数据走不同的通路,不直接参与数据的传输,服务器可以直接经过标准的交换机对存储设备进行访问。所以非对称结构比对称结构具有更好的可扩展性,但安全性不高[7],这也是后面安全模型设计讨论的重点。
以上两种虚拟化方法可以在存储网络虚拟化上同时体现,它支持中心数据管理和异构主机系统和存储系统的通信,在未来必将会广泛地应用于商业、军事和政府机关。
2 可信理论介绍
2.1 可信理论
众所周知,硬件结构的安全和操作系统的安全是信息系统安全的基础,密码、网络安全等是关键技术。只有从信息系统的硬件和软件的底层采取安全措施,才能比较有效地确保信息系统的安全[8]。根据这一理论,对于最常用的计算机,只有从芯片,主板,BIOS等硬件以及操作系统底层软件做起,采取综合措施,才能有效提高其安全性。正是这一思想催生了可信计算的出现与发展。
2003年,可信计算组织(TCG) 成立。TCG从主体行为角度对可信进行了定义:可信就是一个设备的行为是按照其预期目标和指定方式执行的[9]。这既是可信的定义,也指出了可信计算的目标。它将可信归结为一种预期/预测(Expectation),认为可信表现为一定的行为(Behave in particular manner)。 行为没有“好坏”之分,只要是按预期执行,都是可信的。从这个定义可以推出:计算机发生病毒,是可信的;计算机操作系统有BUG也是可信的,因为都是可预期。
2.2 可信平台
所谓平台是一种能向用户发布信息或从用户那里接收信息的实体。
由此对可信平台定义为:一种能提供可信计算服务的计算机软硬件平台,它基于可信模块TPM,以密码技术为支持,安全操作系统为核心,是信息安全领域中起关键作用的体系结构[10]。其基本思路是:首先构建一个信任根,信任根的可信性由物理安全和管理安全确保,再建立一条信任链,从信任根开始到硬件平台,到操作系统,再到应用,一级认证一级,一级信任一级,从而把这种信任扩展到整个计算机系统,使计算机系统成为一个可信计算平台。TPM是一个可独立进行密钥生成、加/解密的装置,内部拥有独立的处理器和存储单元,可存储密钥和敏感数据,为各种计算平台提供完整性度量、数据安全保护和身份认证服务[11]。
3 基于可信计算的带外网络存储虚拟化的模型实现
在这里我们可以把带外网络存储控制器看做一台计算机,自上电启动后就与服务器建立了连接,与服务器之间进行通信,但此时安装在各个服务器上的虚拟化管理软件是否可信或是否安全呢,我们不得而知。所以我们要从加电时就对网络存储控制器进行可信度量,并对服务器环境进行检测,保证可信后,才可和存储设备进行数据交换。
在这里我们设计了一个环境自识别部分ESR(Environment-self recognition ),将其嵌入网络存储管理器中,实现我们保护的功能,模块设计如下:
3.1 环境自识别模块设计
如图ESR的整体设计如图3,其中包括:策略定义器,策略执行器和扫描模块。
扫描模块主要是配合安装在各个服务器上的通讯软件进行通信,搜集各个服务器上的安全信息,然后将源信息传送给策略定义模块。
策略定义模块则根据扫描模块搜集的服务器群的信息进行风险定义,具体策略是在定义模块中定义了一张风险解决措施表,对应了风险值和风险策略的对照,风险值会在后面提出。一个安全风险体制的好坏直接关系到整个可信链的传播。体制的不安全可能直接导致错误的安全级别的定义,从而引发可信链失去可信性,从而导致整个系统不再可信。下面提出一个风险评估机制的思路,如图4所示。
准备阶段是这个风险评估有效性的保证,它主要包括:a) 确定风险评估的目标;b) 确定风险评估的范围;c) 确定评估依据和方法。
下面是这个机制的关键部分,它对整个服务器群环境进行威胁识别,所谓威胁识别就是对可能对整个SAN结构构成潜在的破坏的可能性因素进行识别,威胁种类包括:非授权访问,病毒木马等。根据已经定义在该模块中的安全策略对各种威胁进行评估。具体做法是:a) 按照威胁的来源地和属性进行威胁分类;b) 根据威胁出现的频率进行威胁复制,频率越高,威胁赋值越高。
下面进行风险计算,首先定义一个风险解决措施表,它对应于不同风险级别的解决方案,按照:风险值=价值×威胁值×弱点值,计算出风险评估结果并进行判定,划分不同的安全级别,进而确定是否有相应的措施进行保证。如果存在已有的安全策略,那么通知策略执行模块执行,如果没有安全措施加以保证,则需要循环查找风险解决措施表,找到相应的解决方案,如果找不到,则说明后续操作是不可信的。
策略执行模块则是根据策略定义模块定义的策略进行实际的操作,通过控制通路发送给服务器群和存储设备。
3.2 虚拟化控制器启动过程设计
为了实现整个存储虚拟化网络可信,则首先需要建立可信根,这是保证整个网络可以构成一条可信链的根本,在此就是用TPM芯片作为可信根,并虚拟化控制器开机时就是建立可信根的过程,所以启动过程是十分重要的,过程设计流程图如图5。
程序首先进行上电的自检(类似计算机的BIOS自检)然后执行boot、loader程序,在这里需要考虑到此时就会和服务器群进行通信了,如果在操作系统内核加载后再运行ESR进行服务器群安全检查就不能够保证后续操作是可信的,因为起码在控制器加电启动阶段我们就没有保证系统可信,所以选择在操作系统内核加载之前运行系统是必要的,然后如果可信则继续执行,所有的可信认证均有TPM芯片完成。
4 结论
基于带外方式的网络存储虚拟化技术是今后的趋势。它与带内虚拟化相比具有性能高和扩展性好等优点,如果能使用一种更安全的解决方案,相信带外方式的虚拟化存储一定会有更大的发展空间。本文则正是针对这一问题,基于可信计算理论,从硬件上保证整个存储网络的安全、可信,并且根据虚拟化控制器的执行方式选择在启动加载内核时对服务器群进行风险评估,保证了整个存储网络处于可信根TPM的监督下,实现整个网络的安全、可信。
参考文献:
[1] 周敬利,刘超,杨光.iSCI带外虚拟化的研究与实现[J].2005,33(1):10-12.
[2] 大恒公司解决方案.
[3] 张焕国,丁玉龙.计算机安全保密技术[M].北京:机械工业出版社,1995.
[4] 吴松,金海.存储虚拟化研究[J].小型微型计算机系统,2003,24(4):728-732.
[5] 郭御风,李琼,刘光明,等.虚拟存储技术研究[J].计算机应用研究,2004,21(2):56-60.
[6] 金伟,谢长生.一种SAN非对称网络级存储虚拟化实现方式的设计与实现[J].计算机工程与科学,2004,26(8):88-91.
[7] 张广艳,舒继武,薛巍,等.一致持久的带外虚拟化系统[J].计算机研究与发展,2006,43(10):1843-1847.
[8] Zhidong Shen, Qiang Tong. "A Security Technology for Mobile Agent System Improved by Trusted Computing Platform",2009 Ninth International Conference on Hybrid Intelligent Systems, IEEE press, Computer Society, DOI 10.1109/HIS.2009.222, pp. 46-50.
[9] TCG.Main Specification v1.2[DB/OL] [2006—0903]..cn/qkpdf/dnjl/dnjl201007/dnjl20100782-1.pdf" style="color:red" target="_blank">原版全文