本發明公開了一種基于Diffie?Hellman協議的iSCSI協議安全增強方法，其中，包括：始發端將自己的公鑰證書、請求以及數字簽名發送給認證服務器；認證服務器通過對始發端進行身份認證以及對請求進行授權；認證服務器將始發端公鑰對證書私有部分加密后的密文與證書由公開部分一同發送給請求的始發端；始發端計算消息認證碼，并與證書由公開部分一同發送指定的目標端；目標端收到認證碼和證書由公開部分后對始發端請求進行授權認證；目標端根據授權認證結果響應始發端請求；定期逐個刷新所使用的共享密鑰。

技術領域

本發明涉及數據安全技術領域，特別涉及一種基于 Diffie-Hellman協議的iSCSI協議安全增強方法。

背景技術

當前，iSCSI協議多采用CHAP認證協議來對存儲資源進行訪問控制。但在CHAP認證中，用戶名、密碼是以明文形式存儲在目標端，存在被內部人員或入侵黑客非法獲取的風險。此外，該認證方法采用周期性認證來抵御信道插入攻擊，但在選擇具體周期間隔時通常會遇到困難，周期間隔過長會給入侵者留下機會；周期間隔過短會增加認證雙方的計算量。與此同時，當要針對每個始發端實現細粒度訪問控制時，管理員需要為每個始發端手動創建一個用戶名、密碼，這種集中授權方式會極大增加系統管理復雜度。此外，當發現始發端被人為操縱非法竊取數據時，系統無法立即收回始發端對于已登陸存儲資源的訪問權限。

為了增強iSCSI協議中的訪問控制管理，當前普遍做法是對 iSCSI協議中支持的訪問控制機制進行擴展。文獻[1]朱坷.iSCSi 存儲系統中的安全性研究[D].上海：上海交通大學碩士學位論文， 2007：18-22.采用一種由公鑰密鑰體制改進的Kerberos協議擴展了iSCSI協議中支持的訪問控制機制。文獻[2]劉明.基于iSCSI協議的網絡存儲安全技術研究[D].鄭州：解放軍信息工程大學碩士學位論文，2007：25-34.為iSCSI協議擴展了一種基于權限證書的訪問控制機制。上述兩種為iSCSI協議擴展的訪問控制機制雖然解決了CHAP 認證中存在的口令泄露問題，但這兩種機制在目標端都需要進行多次加解密操作才能判斷是否允許始發端的登陸請求。此外，這兩種機制均無法收回始發端對于已登陸存儲資源的訪問權限，并且都難以針對每個始發端實現細粒度訪問控制。

發明內容

本發明的目的在于提供一種基于Diffie-Hellman協議的iSCSI 協議安全增強方法，用于解決上述現有技術的問題。

本發明的目的在于提供一種iSCSI協議安全增強方法，其中，包括：始發端將自己的公鑰證書、請求以及數字簽名發送給認證服務器；認證服務器通過對始發端進行身份認證以及對請求進行授權；認證服務器將始發端公鑰對證書私有部分加密后的密文與證書由公開部分一同發送給請求的始發端；始發端計算消息認證碼，并與證書由公開部分一同發送指定的目標端；目標端收到認證碼和證書由公開部分后對始發端請求進行授權認證；目標端根據授權認證結果響應始發端請求；定期逐個刷新所使用的共享密鑰。

根據本發明的iSCSI協議安全增強方法的一實施例，其中，認證服務器通過對始發端進行身份認證以及對請求進行授權包括：

①利用始發端的公鑰K_pub對數字簽名進行解密：其中，表示用密鑰K_pub對消息sign進行解密；

②判斷plain是否等于X.509_cred|req，若相同，則身份認證通過；

③根據uid在訪問控制列表中查找其是否有權登陸req中指定的資源，若認定為有權登陸，認證服務器需要為始發端準備權能證書 cred，該證書由公開部分和私有部分組成，私有部分由公開部分確定，并如下賦值運算：

pub_cred＝req|uid|cid|exp iry；

akey＝pri_part＝HMAC_k(pub_cred)；

cred＝pub_cred|pri_cred；