近年来,iSCSI以其可行性和性价比高的特点同其对手光纤通道竞争,目前用于在宽域网中连接服务器和SAN,诸如iSCSI这样的基于IP的存储方案有一个优势,即可利用现有的基于 IP的架构,而无需采购昂贵的和复杂的光纤通道产品来进行升级。
由于iSCSI使用的是IP协议,所以它的安全依赖于IP安全协议。但基本的 IP传输缺乏安全,这就使得任何精通该领域的人可以截获或者修改IP通信。 保护IP 通信的一个更为流行的方法是采用 IP安全协议(IP Security Protocol,简称IPSec)。IPSec是个基于IP的安全协议,不同于SSL安全协议,后者基于OSI模型的应用层。
为了进行安全的数据传输。IPSec使用两个不同的协议:Authentication Headers (AH)和Encapsulating Security Payloads (ESP)。AH协议主要负责数据包的认证和完整性验证。它对源数据包进行认证,并保证数据通信的完整性,但对数据并不进行任何形式的加密。
AH可以确保网络通信时数据不被修改。但无法保证数据不被他人读取。 AH通常在网络通信限制于某些计算机上的场合使用。此时,AH在参与通信的计算机之间进行相互认证,禁止未经认证的计算机参与网络通信。
ESP负责对网络中的数据进行加密,但是也用于认证和完整性服务。AH 认证和ESP认证的区别在于 ESP仅仅包括了数据包的 ESP header, trailer和payload部分,而AH对整个数据包进行保护,包括 IP header。
AH和 ESP这两种协议一起使用,就可以对基于IP的通信提供完整性,认证和加密保护服务。为此,IPSec使用了各种安全协议,要想更多了解IPSec提供保护的级别,现在对这些安全协议逐一介绍。
IPSec完整性协议
完整性验证指的是用散列算法对接收到的信息进行验证,判断其是否与发送的信息完全相同。一个散列算法主要是对发送方和接收方的数据进行加密校验以确保数据未被改变。如果信息在传输过程中有变化,散列值就会不同,此时就拒绝该数据包。
在进行IPSec完整性配置时,有两个选项 :Message Digest 5 (MD5)和安全散列算法1(Secure Hash Algorithm 1 ,简称SHA1)。后者的安全度更高,但需要更多的 CPU资源,MD5使用128位散列算法,而SHA1使用的160位算法。
