【技术实现步骤摘要】
基于Diffie-Hellman协议的iSCSI协议安全增强方法
本专利技术涉及数据安全
,特别涉及一种基于Diffie-Hellman协议的iSCSI协议安全增强方法。
技术介绍
当前,iSCSI协议多采用CHAP认证协议来对存储资源进行访问控制。但在CHAP认证中,用户名、密码是以明文形式存储在目标端,存在被内部人员或入侵黑客非法获取的风险。此外,该认证方法采用周期性认证来抵御信道插入攻击,但在选择具体周期间隔时通常会遇到困难,周期间隔过长会给入侵者留下机会;周期间隔过短会增加认证双方的计算量。与此同时,当要针对每个始发端实现细粒度访问控制时,管理员需要为每个始发端手动创建一个用户名、密码,这种集中授权方式会极大增加系统管理复杂度。此外,当发现始发端被人为操纵非法窃取数据时,系统无法立即收回始发端对于已登陆存储资源的访问权限。为了增强iSCSI协议中的访问控制管理,当前普遍做法是对iSCSI协议中支持的访问控制机制进行扩展。文献[1]朱坷.iSCSi存储系统中的安全性研究[D].上海:上海交通大学硕士学位论文,2007:18-22.采用一种由公钥密钥体制改进的Kerberos协议扩展了iSCSI协议中支持的访问控制机制。文献[2]刘明.基于iSCSI协议的网络存储安全技术研究[D].郑州:解放军信息工程大学硕士学位论文,2007:25-34.为iSCSI协议扩展了一种基于权限证书的访问控制机制。上述两种为iSCSI协议扩展的访问控制机制虽然解决了CHAP认证中存在的口令泄露问题,但这两种机制在目标端都需要进行多次加解密操作才能判断是否允许始发端的 ...
【技术保护点】
一种基于Diffie‑Hellman协议的iSCSI协议安全增强方法,其特征在于,包括:始发端将自己的公钥证书、请求以及数字签名发送给认证服务器;认证服务器通过对始发端进行身份认证以及对请求进行授权;认证服务器将始发端公钥对证书私有部分加密后的密文与证书由公开部分一同发送给请求的始发端;始发端计算消息认证码,并与证书由公开部分一同发送指定的目标端;目标端收到认证码和证书由公开部分后对始发端请求进行授权认证;目标端根据授权认证结果响应始发端请求;定期逐个刷新所使用的共享密钥。
【技术特征摘要】
1.一种基于Diffie-Hellman协议的iSCSI协议安全增强方法,其特征在于,包括:始发端将自己的公钥证书、请求以及数字签名发送给认证服务器;认证服务器通过对始发端进行身份认证以及对请求进行授权;认证服务器将始发端公钥对证书私有部分加密后的密文与证书由公开部分一同发送给请求的始发端;始发端计算消息认证码,并与证书由公开部分一同发送指定的目标端;目标端收到认证码和证书由公开部分后对始发端请求进行授权认证;目标端根据授权认证结果响应始发端请求;定期逐个刷新所使用的共享密钥。2.如权利要求1所述的基于Diffie-Hellman协议的iSCSI协议安全增强方法,其特征在于,认证服务器通过对始发端进行身份认证以及对请求进行授权包括:①利用始发端的公钥Kpub对数字签名进行解密:其中,表示用密钥Kpub对消息sign进行解密;②判断plain是否等于X.509_cred|req,若相同,则身份认证通过;③根据uid在访问控制列表中查找其是否有权登陆req中指定的资源,若认定为有权登陆,认证服务器需要为始发端准备权能证书cred,该证书由公开部分和私有部分组成,私有部分由公开部分确定,并如下赋值运算:pub_cred=req|uid|cid|expiry;akey=pri_part=HMACk(pub_cred);cred=pub_cred|pri_cred;其中,uid为公钥证书中指定的始发端用户名;cid为权能证书的唯一性标识符;expiry为权能证书的有效截止时间;HMAC为依赖密钥的哈希函数;k为认证服务器与相应目标端之间共享的密钥,不同目标端与认证服务器之间共享的密钥不同;Kpub为始发端公钥;secret为使用始发端公钥对证书私有部分加密后的密文;X.509_cred为公钥证书;Req为请求;Sign为数字签名;符号“|”表示字符连接运算;pub_cred为证书由公开部分;pri_cred为证书私有部分。3.如权利要求2所述的基于Diffie-Hellman协议的iSCSI协议安全增强方法,其特征在于,始发端计算消息认证码,并与证书由公开部分一同发送指定的目标端包括:mac=HMACakey(pub_cred);其中,mac为消息认证码,为利用用密钥Kpri对secret进行解密,akey为认证密钥。4.如权利要求2所述的基于Diffie-Hellman协议的iSCSI协议安全增强方法,其特征在于,目标端收到认证码和证书由公开部分后对始发端请求进行授权认证包括:①重新计算认证密钥akey’:akey'=HMACk(pub_cred);②重新计算消息认证码mac’:mac'=HMA...
【专利技术属性】
技术研发人员:喻崇仁,田鹏,陕振,
申请(专利权)人:北京计算机技术及应用研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。