CN105100039A - 基于iSCSI的数据完整性存储系统 - Google Patents
基于iSCSI的数据完整性存储系统 Download PDFInfo
- Publication number
- CN105100039A CN105100039A CN201510196539.3A CN201510196539A CN105100039A CN 105100039 A CN105100039 A CN 105100039A CN 201510196539 A CN201510196539 A CN 201510196539A CN 105100039 A CN105100039 A CN 105100039A
- Authority
- CN
- China
- Prior art keywords
- data
- iscsi
- disk
- hash
- verity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/0614—Improving the reliability of storage systems
- G06F3/0619—Improving the reliability of storage systems in relation to data integrity, e.g. data losses, bit errors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/067—Distributed or networked storage systems, e.g. storage area networks [SAN], network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Human Computer Interaction (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种基于iSCSI的数据完整性存储系统,该系统涉及到信息安全、数据存储、大数据领域。该发明是基于存储区域网的存储模式下,IP-SAN网络存储存在数据安全性隐患。为保证存储数据的安全性,解决iSCSI网络存储的数据完整性问题,该系统提出了基于Dm-verity的数据完整性保护方案,在数据写入存储设备时,采用Dm-verity方案对数据进行处理后再写入。在读取数据时,采用Dm-verity机制对数据进行完整性验证。该系统有效保证了iSCSI网络存储数据的完整性,Dm-verity机制对iSCSI网络存储的性能影响小,使得iSCSI更加安全、可靠。
Description
技术领域
本发明涉及到信息安全、数据存储、大数据领域,核心内容是基于iSCSI的数据完整性存储系统。
背景技术
随着互联网时代的迅速发展,用户数据量正在以指数的方式增长,庞大的数据量给用户带来了严重的数据存储问题。存储区域网(StorageAreaNetwork,SAN)的出现不仅解决了大容量的数据存储,而且提供了数据高速共享,SAN还支持数据的集中式管理,为用户提供方便、灵活的数据存储平台。随着时间的推移,IP-SAN的典型代表iSCSI协议的提出及其制定,使得块级别数据能够在网络中成功传输,iSCSI是SCSI和TCP/IP协议相结合的结果,依靠TCP/IP协议,打破了SCSI定义中的存储距离的限制,实现SCSI命令在普通的IP网络上传输,使得iSCSI具备高效、成本低廉,在数据共享、容灾和备份等方面被广泛应用。
在基于iSCSI的远程存储模式中,由于数据在网络中传输,一些人为的失误或硬件设备的故障会导致数据的损坏或丢失,破坏数据的完整性。在网络存储中,保证传输数据完整性使用以下三种方案来验证数据的完整性。一是使用挑战应答(Challenge-Response)模式,通过客户端的挑战值C与服务器端的应答值R来确定数据的完整性;二是PDP模型,在服务器端生成T标签与T的哈希值P,用户端获取数据时采用相同的哈希算法获取哈希值与P进行比较。三是Juels和Kaliski提出的PoR(ProofofRetrievability)模型,PoR是在文件中添加一些不可辨认的数据标签,来验证数据的完整性。这些方案都存在数据预处理开销较大、消耗客户端较大存储资源、数据动态变更导致较大的额外开销等缺陷。因此我们提出了基于iSCSI的数据完整性存储系统,在数据读写前使用数据完整性保护技术Dm-verity对数据磁盘分区进行保护,使得数据具有数据完整性保护特性。
Dm-verity机制是基于设备映射基础之上的提供一种透明的数据完整性保护技术。将其与iSCSI结合能够有效的确保iSCSI网络存储的数据完整性。
发明内容
本发明提供一种基于iSCSI的数据完整性存储系统,为了保证基于iSCSI网络存储数据完整性、满足大数据容量需求。针对iSCSI网络存储,通过Dm-verity机制保证了基于iSCSI的远程存储数据的完整性,本发明包括两个部分:目标端、发起端。
1.基于iSCSI的数据完整性存储系统目标端是存储系统,提供大容量的存储空间,包括阵列管理模块、负载均衡模块、Ietadm模块、Ietd模块、iSCSI_trgt.ko模块、身份认证模块、流量隔离模块、数据加密模块。
所述阵列管理模块,是管理磁盘的管理模块,管理磁盘设备的详细状况,报告磁盘设备故障,启用与停用磁盘设备,监控磁盘设备。该模块分配磁盘空间的大小,通过两种方式来创建磁盘空间,硬件磁盘阵列、软件磁盘阵列。在创建完成并初始化磁盘阵列后,可以查看磁盘阵列设备是由哪些磁盘驱动器组成。
所述负载均衡模块,保证磁盘阵列中逻辑磁盘与物理磁盘之间的负载均衡,控制系统响应时间,保证整体系统的吞吐量。
所述Ietadm模块,是用户命令接口模块,用来新建目标端,一台存储服务器可以新建一个或多个目标端,在新建多个目标端时,target的lun必需按照0,1,2,3....的顺序增长。该模块还用来新建lun、新建用户以及连接。
所述Ietd模块,是接收用户命令接口及initiator登录接口模块。
所述iSCSI_trgt.ko模块,是内核模块实现。
所述身份认证模块,通过两种配置方案验证身份。单向的CHAP身份验证,是在目标端上设置了单向CHAP身份验证,通过一对iSCSI用户名和密码的验证。任何发起端必须通过这对用户名和密码的验证后,才能顺利的登陆到存储设备上,进而对iSCSI磁盘访问。双向CHAP身份验证,采用分离的密码,目标端和发起端各有一个,彼此都必须通过对方的密码验证后,才能建立连接。
所述的流量隔离模块,分离访问控制列表(AccessControlList,ACL)网络。将iSCSI传输流量与其它传统网络隔离。为保证安全以及性能两方面的需求,将隔离分为物理的和逻辑的。物理的:通过网络设备建立分离的网络路径。逻辑的:通过网络层的VLAN和ACL。
所述的数据加密模块,通过IPSec身份验证,通过IPSec在源端进行加密,然后传送成功之后在接收端进行解密来提高iSCSI安全性。
2.基于iSCSI的数据完整性存储系统发起端,通过IP数据包封装SCST命令,来操作目标端上的磁盘空间,主要包括用户登录验证模块、设备映射模块、LVM机制、Dm-verity机制。
所述用户登录验证模块,校验有效的用户名和密码验证。验证成功才能顺利的登陆到目标端的存储设备上,进行对iSCSI映射磁盘的访问。
所述的设备映射模块,用来虚拟化存储设备。它包括三个关键的对象,MappedDevice、映射表和TargetDevice。MappedDevice对象提供逻辑设备,通过映射表与TargetDevice建立映射关系,从而虚拟存储设备。
所述的LVM机制,用来将物理存储设备映射成虚拟存储设备,然后在虚拟存储设备之上允许生成逻辑存储卷,在逻辑存储卷上可以创建挂载文件系统。通过LVM,将多个iSCSI磁盘整合成一个大的磁盘,满足了大数据容量的需求。
所述的Dm-vertiy机制,提供一种透明的数据完整性保护技术来保证iSCSI网络磁盘数据的完整性。Dm-verity核心是一个叫做dm-bht的模块,为了能快速地从任意块中得到相应的哈希值,该模块把一系列的数据块和哈希值组织成一个简单的哈希树。当访问数据时,被访问的数据块会被验证。验证一个数据库块的完整性不仅需要通过相应哈希值对块中数据进行验证,而且必须从叶子节点一直验证到树的根节点。如果被验证的节点都正确,说明数据完整,成功读取,否则数据获取失败。另一方面,当需要验证整个数据磁盘的完整性时,整个哈希树的所有节点都会被验证,时间花费较长。如果验证通过,说明数据完好,保证了iSCSI磁盘数据的完整性。
附图说明
图1是本发明的整体架构示意图
图2是创建Dm-verity磁盘流程图
图3是Dm-vertiy哈希树结构原理图
图4是基于iSCSI映射磁盘的数据完整性框架图
图5是基于大数据的网络存储数据完整性保护框架图
图6是基于大数据网络存储数据完整性保护的性能测试图
图7是本发明的检测target示意图
图8是本发明的创建Dm-verity磁盘示意图
具体实施方式
图1是对本发明的整体框架的图示。在图1中,initiator通过iSCSI协议封装SCSI命令的数据,把对target的操作从总线扩展到Internet。登录身份验证后,在initiator端获得iSCSI磁盘,通过Dm-verity机制来存储数据的完整性。
在图2所示实施例中,是在initiator成功登录target后,获得iSCSI磁盘后,通过Dm-verity机制创建Dm-verity磁盘的流程图。具体步骤:
Step1把多个iSCSI磁盘通过LVM机制根据Dm-verity中使用的hash算法,按照一定的空间大小比例,整合成两个磁盘:Data磁盘、Hash磁盘。其中磁盘分为PV阶段、VG阶段、LV阶段。然后格式化后得到Data磁盘、Hash磁盘。
Step2向数据磁盘中加入需要完整性保护的重要数据。此过程中必须确保数据磁盘处于挂载状态,否则无法访问。
Step3卸载磁盘。
Step4采用Dm-verity技术对数据磁盘和哈希磁盘进行格式化。
Step5创建Dm-verity设备。
Step6查看Dm-verity设备状态。
在图3所示实施例中是Dm-vertiy哈希树结构原理图,Dm-verity核心是做dm-bht模块,dm-bht支持多种哈希算法。图3中采用的哈希算法是SHA256,哈希树的叶子节点保存的是数据磁盘的块,一般为4k大小。哈希磁盘主要用于存放哈希树的哈希节点,哈希磁盘的大小完全由需要保护的数据大小决定,其最小容量可以根据数据磁盘的大小计算出来,公式如下:
在以上公式①中,data_size表示数据磁盘中被保护数据的大小,block_size表示系统中数据块大小,默认为4K,hashtree_degree代表哈希树的度,在公式②中,hash_length表示使用哈希算法的长度。公式①中,如果data_size为GB数量级,那么block_size就可忽略不计,则哈希磁盘最小容量接近数据容量的
在图4所示实施例中,是基于iSCSI映射磁盘的数据完整性框架图,整个框架由iSCSI和Dm-verity两部分组成。iSCSI部分负责将两个目标端通过IP网络分别将自身磁盘映射到一个发起端上。发起端将额外增加两个iSCSI映射磁盘,分别作为发起端的数据磁盘和哈希磁盘。然后,将数据磁盘进行“加工”,主要包括格式化,创建和挂载文件系统,然后将需要保护的重要数据存放到数据磁盘中。接下来,在发起端对以上两磁盘进行Dm-verity封装,主要包括映射磁盘的Dm-verity格式化,以及Dm-verity设备的创建。最终确保了iSCSI映射磁盘中存放数据的完整性。
在图5所示的另一个实施例中,增加了LVM机制,该部分用于将通过iSCSI映射过来的磁盘合并成两个磁盘,以满足大数据容量需求。其他步骤同图4所示实施例。
图6是基于大数据网络存储数据完整性保护的性能测试图。由图所示,Dm-verity磁盘读数据的性能略有下降,但只降低了近千分之一。对于具有数据完整性保护特性来说,性能略微下降是完全可以接受的。
图7是图8是本发明的界面,在运行前,需要在目标端与发起端安装所需的功能模块,并且配置用户信息。
Claims (9)
1.基于iSCSI的数据完整性存储系统,其特征包括以下步骤:
Step1iSCSI环境配置,在目标端上通过磁盘管理模块分配所需磁盘空间,安装iSCSI模块,开启iscsitarget服务,修改target配置文件,创建initiator登录用户名、密码。
Step2发起端的配置,安装open-iscsi,修改配置文件,重启open-iscsi服务,检测目标端映射的磁盘信息,确定敌人验证方式,用户名验证,密码验证,登录到target。
Step3通过设备映射、LVM机制处理iSCSI磁盘。创建物理卷,创建卷组,创建逻辑卷,格式化磁盘,挂载磁盘,添加需要完整性保护的数据。得到数据磁盘和哈希磁盘。
Step4数据完整性磁盘创建。采用Dm-verity机制对数据盘和哈希磁盘进行格式化,创建Dm-verity设备,查看Dm-verity设备状态,以只读的方式挂载Dm-verity设备,访问Dm-verity设备。
Step5验证数据的完整性。
2.根据权利要求1所述的基于iSCSI的数据完整性存储系统,其特征在于Step1中所述的阵列管理模块,通过两种方式来创建磁盘空间,硬件磁盘阵列、软件磁盘阵列。
3.根据权利要求1所述的基于iSCSI的数据完整性存储系统,其特征在于Step1中所述的身份认证模块,通过两种配置方案验证身份。在发起端可通过单向的CHAP身份验证,双向CHAP身份验证登录。
4.根据权利要求1所述的基于iSCSI的数据完整性存储系统,其特征在于Step1中所述的数据加密模块,通过IPSec身份验证,来提高iSCSI安全性。
5.根据权利要求1所述的基于iSCSI的数据完整性存储系统,其特征在于Step3中所述的设备映射模块,来虚拟化存储设备。
6.根据权利要求1所述的基于iSCSI的数据完整性存储系统,其特征在于Step3中所述的LVM机制,将多个iSCSI磁盘整合成一个大的磁盘,满足了大数据容量的需求。
7.根据权利要求1所述的基于iSCSI的数据完整性存储系统,其特征在于Step4中所述的Dm-vertiy机制,提供一种透明的数据完整性保护技术来保证iSCSI网络磁盘数据的完整性。提高iSCSI数据安全性。
8.根据权利要求1所述的基于iSCSI的数据完整性存储系统,其特征在于Step4中所述的Dm-vertiy设备,可通过多种哈希算法来创建Dm-verity设备。
9.根据权利要求1所述的基于iSCSI的数据完整性存储系统,其特征在于Step4中所述的Dm-vertiy所需Hash磁盘与数据磁盘大小关系,可由以下公式获得:
在以上公式①中,data_size表示数据磁盘中被保护数据的大小,block_size表示系统中数据块大小,默认为4K,hashtree_degree代表哈希树的度,在公式②中,hash_length表示使用哈希算法的长度。公式①中,如果data_size为1GB数量级,那么block_size就可忽略不计,则哈希磁盘最小容量接近数据容量的hashtree_degree-1。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510196539.3A CN105100039A (zh) | 2015-04-21 | 2015-04-21 | 基于iSCSI的数据完整性存储系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510196539.3A CN105100039A (zh) | 2015-04-21 | 2015-04-21 | 基于iSCSI的数据完整性存储系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105100039A true CN105100039A (zh) | 2015-11-25 |
Family
ID=54579591
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510196539.3A Pending CN105100039A (zh) | 2015-04-21 | 2015-04-21 | 基于iSCSI的数据完整性存储系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105100039A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105892943A (zh) * | 2016-03-30 | 2016-08-24 | 上海爱数信息技术股份有限公司 | 一种分布式存储系统中块存储数据的访问方法及系统 |
CN106708748A (zh) * | 2016-12-21 | 2017-05-24 | 南京富士通南大软件技术有限公司 | 提高OpenStack块存储卷挂载性能的方法及系统 |
CN107729198A (zh) * | 2017-10-18 | 2018-02-23 | 深圳合纵富科技有限公司 | 一种Android系统固件校验方法及装置 |
WO2023077610A1 (zh) * | 2021-11-05 | 2023-05-11 | 锐凌无线有限责任公司 | 数据校验方法、装置、电子设备和计算机可读存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8997097B1 (en) * | 2011-08-10 | 2015-03-31 | Nutanix, Inc. | System for implementing a virtual disk in a virtualization environment |
-
2015
- 2015-04-21 CN CN201510196539.3A patent/CN105100039A/zh active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8997097B1 (en) * | 2011-08-10 | 2015-03-31 | Nutanix, Inc. | System for implementing a virtual disk in a virtualization environment |
Non-Patent Citations (1)
Title |
---|
艾祝: "基于iSCSI的数据完整性研究与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105892943A (zh) * | 2016-03-30 | 2016-08-24 | 上海爱数信息技术股份有限公司 | 一种分布式存储系统中块存储数据的访问方法及系统 |
CN105892943B (zh) * | 2016-03-30 | 2019-03-01 | 上海爱数信息技术股份有限公司 | 一种分布式存储系统中块存储数据的访问方法及系统 |
CN106708748A (zh) * | 2016-12-21 | 2017-05-24 | 南京富士通南大软件技术有限公司 | 提高OpenStack块存储卷挂载性能的方法及系统 |
CN107729198A (zh) * | 2017-10-18 | 2018-02-23 | 深圳合纵富科技有限公司 | 一种Android系统固件校验方法及装置 |
CN107729198B (zh) * | 2017-10-18 | 2020-04-21 | 深圳合纵富科技有限公司 | 一种Android系统固件校验方法及装置 |
WO2023077610A1 (zh) * | 2021-11-05 | 2023-05-11 | 锐凌无线有限责任公司 | 数据校验方法、装置、电子设备和计算机可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10102356B1 (en) | Securing storage control path against unauthorized access | |
US8601498B2 (en) | Accelerator system for use with secure data storage | |
CN106599694B (zh) | 安全防护管理方法、计算机系统和计算机可读取存储媒体 | |
US9292214B2 (en) | Systems and methods for migrating data | |
US9047468B2 (en) | Migration of full-disk encrypted virtualized storage between blade servers | |
US10530752B2 (en) | Efficient device provision | |
US10936191B1 (en) | Access control for a computing system | |
CN104063641B (zh) | 硬盘安全访问控制方法和硬盘 | |
US11936654B2 (en) | Cloud-based user authorization control for storage system access | |
US10474831B1 (en) | Large network attached storage encryption | |
US11632360B1 (en) | Remote access to a storage device | |
US11431488B1 (en) | Protecting local key generation using a remote key management service | |
CN105100039A (zh) | 基于iSCSI的数据完整性存储系统 | |
JP2011517205A (ja) | ディスクドライブデータの暗号化 | |
US20180285219A1 (en) | Adaptive data recovery for clustered data devices | |
CN104301301B (zh) | 一种基于云存储系统间的数据迁移加密方法 | |
KR102238181B1 (ko) | 스토리지 장치들로의 비인증된 액세스를 차단하는 시스템들, 장치들, 및 방법들 | |
US10725767B2 (en) | Systems and methods for reinforced update package authenticity | |
CN101471830B (zh) | Linux系统下的多路径访问远程逻辑设备的方法 | |
US7689767B2 (en) | Method to detect and suggest corrective actions when performance and availability rules are violated in an environment deploying virtualization at multiple levels | |
CN106230790A (zh) | 基于云计算构建信息服务平台的方法 | |
US10491513B2 (en) | Verifying packet tags in software defined networks | |
CN105303093A (zh) | 智能密码钥匙密码验证方法 | |
US11902271B2 (en) | Two-way secure channels between multiple services across service groups | |
CN111368347A (zh) | 一种基于云平台的安全存储方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20151125 |
|
WD01 | Invention patent application deemed withdrawn after publication |