GB/T33131-2016
信息安全技术基于IPSec的IP存储网络安全技术要求
Informationsecuritytechnology—SpecificationforIPstoragenetworksecuritybasedonIPSec
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.040
- 实施日期2017-05-01
- 文件格式PDF
- 文本页数14页
- 文件大小463.90KB
以图片形式预览信息安全技术基于IPSec的IP存储网络安全技术要求
信息安全技术基于IPSec的IP存储网络安全技术要求
国家标准 GB/T33131一2016 信息安全技术基于IPSec的IP存储 网络安全技术要求 Informationseeuritytechnology一SpeeifieationforIPstoragenetwork securitybasedonIPSee 2016-10-13发布 2017-05-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/T33131一2016 前 言 本标准按照GB/T1.1一2009给出的规则起草
请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别这些专利的责任
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口
本标准起草单位:北京邮电大学、工业和信息化部电信研究院、华为技术有限公司、北京天地方元科 技有限公司
本标准起草人:刘建毅、王枞、张茹、姚文斌、肖达、伍淳华杨义先、雷鸣涛
GB/T33131一2016 信息安全技术基于IPSe的IP存储 网络安全技术要求 范围 本标准规定了利用PSec保护IP存储网络安全的技术要求,主要涉及了isCSI.iFCP、FCIP等协议 和因特网存储名称服务(iSNS) 本标准适用于IP存储网络安全设备的研制,生产和测试
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GM/T0005随机性检测规范 GM/T0009SM2算法使用规范 GM/T0022IPSecVPN网关技术规范 IETFRFC3723基于IP的安全块存储协议(SecuringbloekstorageprotocolsoverIP)y 术语和定义 下列术语和定义适用于本文件
3.1 存储区域网络storageareanetwork -种用在服务器和存储设备之间的、专用的、高性能的网络体系
3.2 P存储网络storageareanetworkoerI -种在IP以太网上架构的存储区域网络
3.3 小型计算机系统接口smalcomputersysteminterfaee -种用于计算机和外部设备之间的通用接口标准,采用客户-服务器架构
3.4 因特网小型计算机系统接口imtemelsmallemuersystemsinterthae -种在TCP/IP上传输数据块的标准,用来建立和管理IP存储设备、主机和客户机等之间的相互 连接,并创建存储区域网络
3.5 因特网安全协议intermetprotocolsecruity 保护IP协议安全通信的标准,提供了鉴别和加两种安全机制;鉴别机制使IP通信的数据接收方 能够确认数据发送方的真实身份以及数据是否遭到篡改;加密机制保证数据的保密性,防止数据在传输 过程中遭到截获而失密
GB/T33131一2016 3.6 光纤信道协议fibrechannelprotocol 种在光纤信道上的SCSI接口协议,用于计算机服务器与存储设备间互连与高速数据传输 3.7 基于P的光纤信道协议riherchamelwerIP -种在TCP/IP上用管道技术实现光纤信道协议的机制,能够通过IP网络将各个孤立的光纤信道 存储区域网络连接起来,从而形成一个统一的存储区域网络
3.8 因特网光纤信道协议interneibrechannelprotocol -种网关到网关的协议,为TCP/IP网络上的光纤设备提供光纤信道通信服务,可以实现端到端的 P连接
3.9 启动器initiator IP存储网络中的服务器或工作站,发起对目标存储设备的事务
3.10 目标器target P存储网络中的目标存储设备
3.11 因特网存储名称服务internesoragenameservice 一种在P网络中智能搜索存储设备的协议和机制,有助于在TcP/IP网络上自动发现、管理和配 置iSCSI设备和光纤通道设备
缩略语 下列缩略语适用于本文件
CDB;命令描述块(CommandDesceriptorBloek EsP;封装安全载荷(EneapsulatingSecurityPayload FC;光纤信道(FibreChannel FCIP:基于lIP的光纤信道协议(FiberChanneloverlP) FCP:光纤信道协议(FibreChannelProtocol nternetFibreChannelProtocol iFCP:因特网光纤信道协议(Int InternetKeyExchange KE:因特网密钥交换(Inte PSee:因特网安全协议(Int Secruity QInternetProtocol iSCsI;因特网小型计算机系统接口 lCcomputerSystems" InternetSmal Interface SNs;因特网存储名称服务(InternetStorageNameServicel NAPT;网络端口地址转换(NetworkAdressPortTranslation) NAT:网络地址转换( NetworkAdressTranslation PDU;协议数据单元(ProtocolDataUnits) SA:安全关联(SecurityAssociation sAN;存储区域网络(Stora AreaNetwork rage sCsI:小型计算机系统接口(SmallComputersvstemInterace) VPN:虚拟专用网络(VirtualPrivateNetwork
GB/T33131一2016 基于IPSec的IP存储网络安全 5.1 总体要求 利用IPSec与IKE保障IP存储网络(包括iSCSI、iFCP,FCIP,iSNS,参见A.l)安全,总体安全要求 应符合IETFRFC3723,包括 iiSCSI,iFCP,FCIP设备应支持IPSecESP,防止数据在传输过程中的修改、插人,删除操作 a b)iSCSI,iFCP,FCIP设备应具备抗重放保护机制,对不同安全需求的IPSecSA进行分离 isCSI,iFCP,FCIP设备应兼容现有的安全机制,如防火墙,NATNAPTVPN等服务
iSCSIiFCP,FCIP设备应具备数据包加密机制,并在密钥更新过程中提供完美前向加密,防 止数据的窃取和泄漏 iSCSIiFCP,FCIP设备应支持IKE端鉴别、密钥管理,SA协商
f iSNS消息应实现身份鉴别机密性和数据完整性保护 g)安全策略应可配置,如身份鉴别、数据源鉴别加密、完整性鉴别、抗重放保护机制以及IPSec 协商
5.2IPSec/IKE应用要求 5.2.1 lSec应用要求 IP存储网络应支持IPSsec隧道模式下的ESP协议
此外,宜支持传输模式下的ESP协议 IP存储网络中的所有控制数据和内容数据应通过IPSecESP保护,同时应利用IPSec的重放保护 机制,具体为 运行ESP时,应对每个数据包提供数据来源身份鉴别、完整性验证及重放保护
b)非对称密码算法应使用SM2椭圆曲线密码算法,也可支持2048位及以上的RSA算法,用于 实体验证、数字签名和数字信封等
对称密码算法应使用sSM1或SM4分组密码算法,用于密钥交换数据的加密保护和报文数据 的加密保护
算法的工作模式应使用CBC模式
d)密码杂凑算法应使用SM3或SHA-1密码杂凑算法,用于完整性校验
随机数生成算法生成的随机数应能通过GM/T0005规定的检测
5.2.2IKE应用要求 IKE应使用IPSecDO1,实现对等身份鉴别,安全组织协商及密钥管理的支持,具体为 a 应使用动态密钥和密钥更新,不使用手动密钥
b密码算法应满足GM/T0022的要求
c 应支持预共享密钥鉴别
宜支持数字签名证书的端鉴别
端鉴别不使用公共密钥加密方式
D 应支持IKE主模式
宜支持快速模式
当任意端使用动态IP地址时,不使用预共享密钥鉴 别的IKE主模式 使用数字签名鉴别时,应使用IKE主模式或IKE快速模式
应保护本地存储的安全信息(预共享密钥、私有密钥、数字签名),避免加密信息泄露导致IKE/ IPSec安全协议失效
使用数字签名获取鉴别时,IKE协商应使用IKE证书请求载荷指定的且已被本地策略认可的 证书机构 h)在接受PKI证书之前,IKE协商宜首先检查证书撤销列表
GB/T33131一2016 i 在IKE第一阶段,IP存储网络应支持ID_IPV4_ADDR,ID_IPV6_ADDR和I_FQDN载荷
sCsI应支持ID_USER_FQDN载荷,iFCP,FCIP不能使用ID_USER_FQDN载荷
不能使 用IP子网、IP地址范围、ID_DER_AsN1_DN,ID_DER_AsN1_GN等载荷
不能使用D KEY_ID载荷
在IKE第二阶段,IP存储网络协议应携带身份鉴别载荷(IDei,IDer),且应明确一个IP地址 ID_IPV4_ADDR,ID_IPV6_ADDR),不能使用IP子网或IP地址范围
5.2.3IK安全策略配置 IKE协商时,应满足: a)交换约束 身份鉴别及密钥交换满足cMM/To022的要求 b群组限制 当使用SM2算法进行加密和数字签名时,见GM/T0009;当使用RsA算法进行加密和数字签名 时,见PKCS#1
c 密钥周期 工作密钥的最大更新周期应不大于24h,会话密钥的最大更新周期应不大于1h,且应利用寿命标 签标识周期终止
d)IPSec支持 应依据IP块存储端点对IPSec的需求,确定最小片段的对等配置需求
e)完美前向安全支持 IKE协商的双方应允许完美前向安全支持,避免因第二阶段快速模式中,因不允许发起者向响应 者提出完美前向安全而导致失败
隧道模式优先 进行IKE协商时应优先选择隧道模式,避免因IKE应用传输模式失败导致错误
支持主模式及快速模式 g 进行IKE协商时应同时支持主模式及快速模式,避免在未知模式允许下的失败
5.2.4ISec安全检查 P块存储安全实施应通过IPsec进行安全连接检查,具体包括 若在安全需求下,IPSee保护被从某一连接移除,则应在未保护的IP块数据包发送前重建IP a Sec:; b)基于IPsec保护的IP块存储应确保收到的数据包是由可信端发出的 使用IP块存储协议时,应由IKE第二阶段sA保护每一TCP连接; c dD 单个或多个TCP连接可运行于任一IPSec第二阶段SA: 安全检查应由IPse完成,并阻止恶意端向不恰当的快速模式sA发送命令
a 5.2.5IKE及应用层鉴别 在IKE鉴别及应用层登录鉴别上,应满足 a)应控制通过套接字的访问
特别地,在多用户操作系统中,由IP块存储协议开放使用的套接 字应是独占的
b应确保应用层登录验证(例如iSCSI登录验证)免受未授权访问
GB/T33131一2016 基于IPSec的isCSI安全 6.1iscs实施IPsee保护 图1描述了使用IPSec保护isCSI安全的过程,iSCSI协议模型参见A.2. iscs服务器 SCSI服务器 IP网络 PSec网关 IPSec网关 scSI磁带库 scsI磁带库 isCS阵列 iSCSI阵列 图1使用lsee保护iscCS1安全的过程 6.2IKkE与isCs的关系 iiSCSI会话,TCP连接与IKE阶段的关系应为如下 单个iSCSI启动器或目标端可有多个IP地址,同时多个iSCSI启动器或目标端也可为同一个 IP地址
因此,一个iSCS1会话可对应多个IKE第一阶段SA
b iSCS1会话的所有TCP连接都应受IKE第二阶段SA保护
当一个IKE第二阶段SA保护 多个TCP链路时,每个TCP连接仅能在一个IKE第二阶段SA保护下传输
在启动器与目标端的iSCSI登录消息中应包含iSCSI/IPSee绑定的所有信息,包括IKE第一 阶段A与相应iSCsI会话的绑定,以及TCP连接与IKE第二阶段SA的绑定
6.3运用lSee保护isCS1会话创建 创建iSC'SI会话时应满足 在创建新的isCsI会话时,如果当前不存在可用的IKE第一阶段sA,需要由iSCsl启动器建 立IKE第一阶段sA
该会话内此后所有iscsI连接,应被由IKE第一阶段sA协商生成的 IKE第二阶段sA进行保护 在iSCs1启动器向目标器发送isCsI登录命令之前,启动器与目标器需要成功完成IKE第一 阶段与第二阶段的协商
单个isCsI会话可以关联多个IKE第一阶段sA,一个IKE第一阶段sA也可以对应多个 sCs1会话
一个iscsI连接对应一个TcP连接
一个IKE第二阶段可以保护多个TcP 连接
在IKE中,每一个密钥更新需要指定一个新的sA,每隔一定时间,需要终止旧的sA并制定 新的sA
6.4运用IPSsee保护isCS会话关闭 isCsI会话正常关闭状态时,iscsI应在会话的每个TcP连接中初始化一个半连接,当其期望关闭 个独立的TCP连接并保持父isCSI会话为活动状态时,应使该TCP连接为半连接状态,并在TIME
GB/T33131一2016 wWAIT结束时关闭TCP连接
iSCS1会话非正常关闭时,如果一个TCP连接意外断开,相关联的iSCSI连接将被强制断开
IKE 第二阶段与第一阶段不必在isCSI连接断开后进行删除
同样,如果IKE收到第二阶段删除消息,与 第二阶段相关联的TCP或iSCSI连接也不必关闭
此外,为了更好地保持isCSI连接,需要建立一个 新的IKE第二阶段SA对其进行保护,避免isCSI不断连接/断开
6.5运用IPsec进行isCSI错误处理 isCSI错误处理应支持IPSec保护机制,如果数据发生了错误,宜丢弃该数据包并启动TCP重传机 制,避免在应用层对整个isCSIPDU的重传 基于IPSec的FCIP安全 7.1FCIP实施IPSec保护 图2描述了使用IPsec保护FCIP安全的过程,FCIP协议模型参见A.3 FC服务器 FCIP服务器 lP网络 lPsec网关 Psec网关 FCIP没备 FCIP设备 FCIP磁带库 FCIP磁带库 FcIP阵列 FCIP阵列 图2使用IPsee保护cIP安全的过程 7.2运用IPSee保护FCIP安全 FCP利用IPSec实现身份鉴别加密、数据完整性鉴别、安全密钥的生成与管理时,应满足 a)密码算法应满足GM/T0022的要求
应为每个FCIP实体配置IP地址及响应FCIP实体的TCP端口号
b e)为每个FCIP端的IP地址对建立IKE第一阶段,FCIP端应使用静态IP地址
FCIP链路中每一个TCP连接应对应一个IKE第二阶段,IKE第二阶段应支持协商密钥更 d 新,防止重放攻击
FCIP管理界面宜提供安全保护机制,防止攻击者通过攻击管理界面破解FCIP的安全机制
基于IPsec的iCP安全 8.1irCP实施Isee保护 图3描述了使用IPSec保护iFCP安全的过程,iFCP协议模型参见A.4
GB/T33131一2016 iFCP服务器 iFCP服务器 IP网络 iFCP网关 PSec网关iFCP网关 IPSec网关 iFCP磁惜库 FCP磁带库 fFCP阵列 iFCP阵列 图3使用IPSee保护irCP安全的过程 8.2运用IPSe保护irCP安全 iFCP利用IPSec实现身份鉴别,加密、数据完整性鉴别、安全密钥的生成与管理时,应满足 a)密码算法应满足GM/T0022的要求
b)iFCP可使用IPSsec进行强制执行鉴别和数据加密,两个iFCP网关间可建立一个或多个IKE 第一阶段sA,每个IKE第一阶段sA可以建立一个或多个IKE第二阶段sA,每个IKE第二 阶段sA可以保护一个或多个TCP连接
IPSecSA应保护iFCP的所有具有安全需求的连接,包括绑定连接和未绑定连接
c) 宜删除休眠的IKE第二阶段SA,以减少活跃IKE第二阶段sA的数量
d e)对于空闲的TCP连接,宜等到该连接有数据传输时才创建新的sA对其保护 基于IPSec的iSNs安全 9.1iSNs实施IPSee保护 图4描述了使用IPSec保护iSNS安全的过程,iSNS参见A.5
ssT服务器 iSCS服务器 P网络 SNS攻 IPSec网关iSNS管理平台 sCsL存储 FCP网关 fCP服务器 图4使用Isec保护iSNS安全的过程 9.2运用IPSec保护iSNS安全 使用IPsec保护iSNs安全,应满足 isNS数据库的每个isNS客户端应与iSNs服务器至少保持一个IKE第一阶段和一个IKE第 a 二阶段sA
客户端与服务器间的所有isNs协议消息应利用IKE第二阶段sA保护
GB/T33131一2016 b 所有iSNS实现的安全机制应支持IPSec的重放保护机制
iSNS服务器应支持ESP隧道模式
宜支持ESP传输模式
c d应支持IKE鉴别,SA协商,密钥管理和IPSecDOI;应使用动态密钥和密钥更新,不使用手动 密钥 密码算法应满足GM/T0022的要求
f 应支持预共享密钥鉴别
宜支持数字签名证书的端鉴别
端鉴别不使用公共密钥加密方式
应支持IKE主模式
宜支持快速模式
当任意端使用动态IP地址时,不使用预共享密钥鉴 别的IKE主模式
使用数字签名鉴别时,可使用IKE主模式或IKE快速模式
应保护本地存储的安全信息(预 共享密钥、私有密钥、数字签名),避免加密信息泄露导致IKE/IPSec安全协议失效 在接受PKI证书之前,IKE协商宜首先检查证书撤销列表
GB/T33131一2016 附 录A 资料性附录 存储网络 A.1IP存储网络协议 IP存储网络包括isCSI、FCIP,iFCP,iSNs等协议,分别为: -SC'SI定义了通过TCP/AIP网络封装标准的SCSI命令,并且规定了如何发送和接收存储应用 块数据的规则和处理方法
-FCIP为IP存储网络提供了一种通过IP网络构建FC隧道的机制,可以使多个由FC组建的 SAN网络通过IP网络进行互联,以创建一个单一的FC存储区域
-iFCP利用IP网络中的交换机、路由器等组件补充、增强或代替由光纤通道组建的SAN网络, 以实现多个FC网络中的最终存储设备之间利用TCP/IP网络建立端到端的连接
-iSNS为iSCS和iFCP系统提供设备发现与管理服务,也可以提供iSCS和iFCP存储设备的 访问控制或授权策略 A.2iscs协议层次模型 图A.1为isCSI的协议层次模型,其中连接子系统是数据的传输介质,服务分发接口是isCSI协 议,保证设备之间的请求和响应无差错传输
SCS SCSlCDB SCSI CDB/DATA/STATUS CDBDATASTATUIS sCS协议 SCSlCDB 服务分 SCsn iSCS1 发接白 TCp TCP TCP 服务分 发学子系统 连接子 P分组 系统 数据锁 网络适配卡 网络适配卡 图A.1iSCSI协议层次模型 A.3cIP协议层次模型 图A.2为FCIP协议层次模型,FcIP设备将整个光纤信道协议帧封装到TCP/IP的数据内,通 过P网络传输,对IP网络完全透明
GB/T33131一2016 FSPF FCP协议 F iFCP虹 FCP TCp cP CP P P分组 0SPF 赚道 会话 数据 网络适配卡 网络适配卡 图A.2FCIP协议层次模型 A.4iFCP协议层次模型 图A.3为iFCP协议层次模型
iFCP运行时将光纤信道数据以IP包形式封装,并将IP地址映射 到分离光纤信道设备
由于在IP网中每类光纤信道设备都有其独特标识,因而能够与位于IP网其他 节点的设备单独进行存储数据收发
通过在iFCP网关上端接光纤信道信令和在IP网络上传送存储 数据流
rteCe nel FibreChannel设备 FibreChamel设备 FihreChanmns: FibreChamnel 设备地址 通信 设备域 NPort Nort FPort FPot iFCP层 fFCP层 控制数豁 P地址映射 iFCP FCP端口 FCP端口 PFabrie IP分组 I 数掘畅 网络适配卡 网络适配卡 图A.3irCP协议层次模型 A.5isNs设备发现机制 SNS协议为IPsAN网络提供了设备发现机制
它可以应用于集中式iSNS服务器、,IP存储交换 机和目标设备
图A.4为iSNs与iSCcsI、,iFCP的关系模型,其中iSNS服务器可以位于IP网络中的任何地方,一 个或者多个管理工作站配置并监视iSNS服务器
iSNS服务器为iFCP和iSCSI实体提供信息数据库, 从而使iFCP和iSCS客户可以访问资源
10o
GB/T33131一2016 SNs管理 工作站 IP网络 iSNS ScsI服务器 工兆IP路由 iFCP网关 器/变换机 FC服务器 iSCS磁盘阵列 磁带库 图A.4iSNs与isCsI、iFCP的关系模型
信息安全技术基于IPSec的IP存储网络安全技术要求GB/T33131-2016
随着互联网的普及,大量的数据在网络中传输,其中不乏一些重要的机密信息。如何保证这些信息的安全性是一个重要的问题。信息安全技术基于IPSec的IP存储网络安全技术,具有高效、可靠、灵活等特点,已经成为网络安全的重要手段之一。
IPSec的基本概念
IPSec是Internet Protocol Security的缩写,即互联网协议安全。它是一种安全协议,用于提供端到端的私密性、完整性和身份验证服务。IPSec协议可以提供IP层面的安全,对上层协议透明,所以可以广泛应用于任何需要安全保障的地方。
IP存储网络安全技术要求GB/T33131-2016
GB/T33131-2016是关于IP存储网络安全技术的标准,其中包括了多项要求,以确保数据的完整性、机密性和可用性。这些要求主要分为以下几个方面:
- 身份验证:要求对IP存储设备进行身份验证,防止未经授权的访问。
- 数据完整性:要求在传输和存储过程中保证数据完整性,防止数据被篡改。
- 加密算法:要求使用符合标准的加密算法,以保证数据的机密性。
- 密钥管理:要求对密钥进行有效的管理,以确保密钥的安全性。
IP存储网络安全技术的优势
IP存储网络安全技术基于IPSec协议,具有很多优势:
- 高效:IPSec协议实现简单,并且可以通过硬件实现,从而提高网速。
- 可靠:IPSec协议在各种环境下都能够提供可靠的安全保障。
- 灵活:IPSec协议支持多种加密算法和身份验证方式,从而满足不同场景下的安全需求。
结论
信息安全技术基于IPSec的IP存储网络安全技术,是一种高效、可靠、灵活的安全保障手段。通过遵守GB/T33131-2016标准的要求,可以确保数据的完整性、机密性和可用性。在今后的互联网应用中,将会有越来越多的应用场景采用这种技术,以提高信息的安全性。
