基于Diffie-Hellman协议的iSCSI协议安全增强方法技术

本发明专利技术公开了一种基于Diffie‑Hellman协议的iSCSI协议安全增强方法，其中，包括：始发端将自己的公钥证书、请求以及数字签名发送给认证服务器；认证服务器通过对始发端进行身份认证以及对请求进行授权；认证服务器将始发端公钥对证书私有部分加密后的密文与证书由公开部分一同发送给请求的始发端；始发端计算消息认证码，并与证书由公开部分一同发送指定的目标端；目标端收到认证码和证书由公开部分后对始发端请求进行授权认证；目标端根据授权认证结果响应始发端请求；定期逐个刷新所使用的共享密钥。

【技术实现步骤摘要】
基于Diffie-Hellman协议的iSCSI协议安全增强方法
本专利技术涉及数据安全
，特别涉及一种基于Diffie-Hellman协议的iSCSI协议安全增强方法。
技术介绍
当前，iSCSI协议多采用CHAP认证协议来对存储资源进行访问控制。但在CHAP认证中，用户名、密码是以明文形式存储在目标端，存在被内部人员或入侵黑客非法获取的风险。此外，该认证方法采用周期性认证来抵御信道插入攻击，但在选择具体周期间隔时通常会遇到困难，周期间隔过长会给入侵者留下机会；周期间隔过短会增加认证双方的计算量。与此同时，当要针对每个始发端实现细粒度访问控制时，管理员需要为每个始发端手动创建一个用户名、密码，这种集中授权方式会极大增加系统管理复杂度。此外，当发现始发端被人为操纵非法窃取数据时，系统无法立即收回始发端对于已登陆存储资源的访问权限。为了增强iSCSI协议中的访问控制管理，当前普遍做法是对iSCSI协议中支持的访问控制机制进行扩展。文献[1]朱坷.iSCSi存储系统中的安全性研究[D].上海：上海交通大学硕士学位论文，2007：18-22.采用一种由公钥密钥体制改进的Kerberos协议扩展了iSCSI协议中支持的访问控制机制。文献[2]刘明.基于iSCSI协议的网络存储安全技术研究[D].郑州：解放军信息工程大学硕士学位论文，2007：25-34.为iSCSI协议扩展了一种基于权限证书的访问控制机制。上述两种为iSCSI协议扩展的访问控制机制虽然解决了CHAP认证中存在的口令泄露问题，但这两种机制在目标端都需要进行多次加解密操作才能判断是否允许始发端的登陆请求。此外，这两种机制均无法收回始发端对于已登陆存储资源的访问权限，并且都难以针对每个始发端实现细粒度访问控制。
技术实现思路
本专利技术的目的在于提供一种基于Diffie-Hellman协议的iSCSI协议安全增强方法，用于解决上述现有技术的问题。本专利技术的目的在于提供一种iSCSI协议安全增强方法，其中，包括：始发端将自己的公钥证书、请求以及数字签名发送给认证服务器；认证服务器通过对始发端进行身份认证以及对请求进行授权；认证服务器将始发端公钥对证书私有部分加密后的密文与证书由公开部分一同发送给请求的始发端；始发端计算消息认证码，并与证书由公开部分一同发送指定的目标端；目标端收到认证码和证书由公开部分后对始发端请求进行授权认证；目标端根据授权认证结果响应始发端请求；定期逐个刷新所使用的共享密钥。根据本专利技术的iSCSI协议安全增强方法的一实施例，其中，认证服务器通过对始发端进行身份认证以及对请求进行授权包括：①利用始发端的公钥Kpub对数字签名进行解密：其中，表示用密钥Kpub对消息sign进行解密；②判断plain是否等于X.509_cred|req，若相同，则身份认证通过；③根据uid在访问控制列表中查找其是否有权登陆req中指定的资源，若认定为有权登陆，认证服务器需要为始发端准备权能证书cred，该证书由公开部分和私有部分组成，私有部分由公开部分确定，并如下赋值运算：pub_cred＝req|uid|cid|expiry；akey＝pri_part＝HMACk(pub_cred)；cred＝pub_cred|pri_cred；其中，uid为公钥证书中指定的始发端用户名；cid为权能证书的唯一性标识符；expiry为权能证书的有效截止时间；HMAC为依赖密钥的哈希函数；k为认证服务器与相应目标端之间共享的密钥，不同目标端与认证服务器之间共享的密钥不同；Kpub为始发端公钥；secret为使用始发端公钥对证书私有部分加密后的密文；X.509_cred为公钥证书；Req为请求；Sign为数字签名；符号“|”表示字符连接运算；pub_cred为证书由公开部分；pri_cred为证书私有部分。根据本专利技术的iSCSI协议安全增强方法的一实施例，其中，始发端计算消息认证码，并与证书由公开部分一同发送指定的目标端包括：mac＝HMACakey(pub_cred)；其中，mac为消息认证码，为利用用密钥Kpri对secret进行解密，akey为认证密钥。根据本专利技术的iSCSI协议安全增强方法的一实施例，其中，目标端收到认证码和证书由公开部分后对始发端请求进行授权认证包括：①重新计算认证密钥akey’：akey'＝HMACk(pub_cred)；②重新计算消息认证码mac’：mac'＝HMACakey'(pub_cred)；③判断mac'与mac是否相同,若相同，则授权认证通过，说明始发端已经通过了认证服务器的身份认证，并且认证服务器已经对请求进行了授权。根据本专利技术的iSCSI协议安全增强方法的一实施例，其中，还包括：通过密钥交换协议来定期逐个刷新所使用的共享密钥。根据本专利技术的iSCSI协议安全增强方法的一实施例，其中，通过密钥交换协议来定期逐个刷新所使用的共享密钥包括：假设大素数q及其本原根a是Diffie-Hellman协议中的两个公开参数，k0是当前共享密钥；认证服务器选择一个随机整数XA(XA<q)，计算公开的YA：将YA发送给目标端；目标端选择一个随机整数XB(XB<q)，计算公开的YB：将YB发送给认证服务器；认证服务器收到YB后，计算新的共享密钥kA和消息认证码macA：macA＝H(kA)；其中，H(kA)为计算共享密钥kA的hash函数，modq为对q取模；将macA发送给目标端；目标端收到YA和macA后，计算新的共享密钥kB和消息认证码macB:macB＝H(kB)；其中，H(kB)为计算共享密钥kb的hash函数；新的密钥为k1，之后将macB发送给认证服务器。根据本专利技术的iSCSI协议安全增强方法的一实施例，其中，还包括：目标端收到YA和macA后，判断macB是否等于macA，相等则说明认证服务器已掌握新的共享密钥；否则向认证服务器发送密钥更新失败消息。根据本专利技术的iSCSI协议安全增强方法的一实施例，其中，还包括：认证服务器收到macB后，判断判断macB是否等于macA，相等则说明目标端已掌握新的共享密钥为否则向目标端发送密钥更新失败消息。根据本专利技术的iSCSI协议安全增强方法的一实施例，其中，还包括：当一该目标端与认证服务器之间共享密钥更新成功后，该目标端会立即要求已经登陆其存储资源的所有始发端重新进行认证.根据本专利技术的iSCSI协议安全增强方法的一实施例，其中，还包括：当目标端成功对请求进行授权认证并响应后，该目标端会把请求中的消息认证码和有效截止时间作为一条记录保存下来，此后，当该目标端收到新的请求后，首先将新请求中的消息认证码和有效截止时间取出，与之前保存的记录进行对比，若无相同记录则认定该请求是最新的，继而开始进行请求授权认证。根据本专利技术的iSCSI协议安全增强方法的一实施例，其中，还包括：该目标端对于留存的所有记录，一旦发现某条记录有效截止时间过期，立即将该条记录删除。综上，本专利技术针对iSCSI协议增强访问控制管理的需求，提出一种基于改进Diffie-Hellman协议的iSCSI协议安全增强方法，采用专用认证服务器，在同时存在多个iSCSI始发端、目标端的典型应用场景中实现了目标端对始发本文档来自技高网...

【技术保护点】
一种基于Diffie‑Hellman协议的iSCSI协议安全增强方法，其特征在于，包括：始发端将自己的公钥证书、请求以及数字签名发送给认证服务器；认证服务器通过对始发端进行身份认证以及对请求进行授权；认证服务器将始发端公钥对证书私有部分加密后的密文与证书由公开部分一同发送给请求的始发端；始发端计算消息认证码，并与证书由公开部分一同发送指定的目标端；目标端收到认证码和证书由公开部分后对始发端请求进行授权认证；目标端根据授权认证结果响应始发端请求；定期逐个刷新所使用的共享密钥。

【技术特征摘要】
1.一种基于Diffie-Hellman协议的iSCSI协议安全增强方法，其特征在于，包括：始发端将自己的公钥证书、请求以及数字签名发送给认证服务器；认证服务器通过对始发端进行身份认证以及对请求进行授权；认证服务器将始发端公钥对证书私有部分加密后的密文与证书由公开部分一同发送给请求的始发端；始发端计算消息认证码，并与证书由公开部分一同发送指定的目标端；目标端收到认证码和证书由公开部分后对始发端请求进行授权认证；目标端根据授权认证结果响应始发端请求；定期逐个刷新所使用的共享密钥。2.如权利要求1所述的基于Diffie-Hellman协议的iSCSI协议安全增强方法，其特征在于，认证服务器通过对始发端进行身份认证以及对请求进行授权包括：①利用始发端的公钥Kpub对数字签名进行解密：其中，表示用密钥Kpub对消息sign进行解密；②判断plain是否等于X.509_cred|req，若相同，则身份认证通过；③根据uid在访问控制列表中查找其是否有权登陆req中指定的资源，若认定为有权登陆，认证服务器需要为始发端准备权能证书cred，该证书由公开部分和私有部分组成，私有部分由公开部分确定，并如下赋值运算：pub_cred＝req|uid|cid|expiry；akey＝pri_part＝HMACk(pub_cred)；cred＝pub_cred|pri_cred；其中，uid为公钥证书中指定的始发端用户名；cid为权能证书的唯一性标识符；expiry为权能证书的有效截止时间；HMAC为依赖密钥的哈希函数；k为认证服务器与相应目标端之间共享的密钥，不同目标端与认证服务器之间共享的密钥不同；Kpub为始发端公钥；secret为使用始发端公钥对证书私有部分加密后的密文；X.509_cred为公钥证书；Req为请求；Sign为数字签名；符号“|”表示字符连接运算；pub_cred为证书由公开部分；pri_cred为证书私有部分。3.如权利要求2所述的基于Diffie-Hellman协议的iSCSI协议安全增强方法，其特征在于，始发端计算消息认证码，并与证书由公开部分一同发送指定的目标端包括：mac＝HMACakey(pub_cred)；其中，mac为消息认证码，为利用用密钥Kpri对secret进行解密，akey为认证密钥。4.如权利要求2所述的基于Diffie-Hellman协议的iSCSI协议安全增强方法，其特征在于，目标端收到认证码和证书由公开部分后对始发端请求进行授权认证包括：①重新计算认证密钥akey’：akey'＝HMACk(pub_cred)；②重新计算消息认证码mac’：mac'＝HMA...

【专利技术属性】
技术研发人员：喻崇仁，田鹏，陕振，
申请(专利权)人：北京计算机技术及应用研究所，
类型：发明
国别省市：北京,11