网络附加存储的嵌入式的安全

网络附加存储的嵌入式的安全HowardGobioff1DavidNagle2加思·吉布森11999年6月CMU-CS-99-154学校的计算机科学卡内基·梅隆大学匹兹堡，宾夕法尼亚州152133890联系人︰DavidNagle(bassoon@cs.cmu.edu)办公室︰412-268-3898传真︰412-268-6353摘要当存储互连进化从单主机小规模的系统，如传统的SCSI，到多主机基于互联网的系统的网络连接安全磁盘(NASD)，保护客户机和存储之间的数据传输的完整性是至关重要的。然而，它也是消耗大量计算资源和存储系统上，违者可被判罚显著的性能。本文探讨了几种可以保护通信完整性的存储请求和数据传输，施加很小的性能损失，大幅降低了所需的加密的技术。中央对这项工作是替代的加密方法，称为哈希和MAC，降低保护完整的读交通在无法生成完整的数据传输速率的消息身份验证代码的存储设备的成本。哈希和MAC是通过联机安全信息使用和重用随后的读取请求的预计算的信息。我们还提出了完善的哈希和MAC办法，使用增量的哈希函数以提高性能的小读和写操作，以及非块对齐操作。1。可以通过电子邮件在到达计算机科学学院{hgobioff,garth}@cs.cmu.edu2.部的电气和计算机工程专业，可以达到电邮bassoon@cs.cmu.edu这项研究是由DARPA/ITODARPA订单D306，通过赞助和印度头科，根据合同N00174-96-0002NSWC发出的。额外提供了并行的数据财团的成员公司包括︰惠普实验室、日立、IBM、英特尔、量子、希捷科技、西门子、存储技术、风河系统、3Com公司、康柏、数据一般/Clariion和LSI逻辑。ACM计算评论关键字︰D.4.3文件系统管理，C.3.0特殊用途和基于应用程序的系统，部分C.4设计研究，D.4.6加密控制。D.4.4网络通信1引言传统上，磁盘驱动器和存储系统已绑定到承担责任对大多数方面的数据完整性和安全性的单个服务器机器。然而，更大的可扩展性需求迫使存储采取分散的架构在哪里或者︰1)多个服务器管理一组共享的磁盘驱动器[Soltis96]]或;2）客户端可直接与存储[Gibson97]。这些系统实现其可扩展性，通过消除单服务器的瓶颈，可能提供存储和服务器/客户端之间的多个访问路径和需要存储，以帮助管理其数据的完整性。这一基于存储的完整性要求是到存储系统的根本性变革，带来了大量的系统级问题集中在如何有效地在存储中实现完整性。最明显的问题是完整性的计算成本，尤其是完整性的对于成本约束的嵌入式环境的存储系统（即，磁盘驱动器或RAID控制器）。软件解决方案都不能支持完整性，完全饱和驱动器的CPU，在到达存储的1-千兆位/秒网络传输速率之前。硬件解决方案可提供1-千兆位/秒的带宽，但在低成本商品实现[Eberle92]中不可用。为了解决这些问题，本文探讨了如何有效实施驱动器嵌入式安全。我们的重点是完整性因为诚信是必不可少的同时还能够提供隐私没有支持从存储应用程序在存储系统中的正确运作。我们这项研究在上下文中执行的网络附加安全磁盘(NASD)体系结构，使用NASD原型和模拟来了解的安全需要。部分2开头我们网络附加安全磁盘(NASD)体系结构的描述和测量性能的影响传统的完整性机制的原型，可以对存储的带宽和延迟。第3节中我们探讨几个完整的成本最小化。通过利用存储特性我们开发降低完整性的计算成本的两项计划允许驱动器提供只有33%的峰值加密带宽，同时增加延迟小于10%。最后，我们研究这些计划如何与真正的分布式文件系统的工作负载，揭开几个潜在的问题并提出解决方案，允许存储为千家万户提供驱动器嵌入式安全。虽然这项研究侧重于嵌入式安全网络附加安全磁盘体系结构，许多行为和在这项研究结果也适用于其他存储系统，包括传统的单服务器的基于的系统，运行NFS或。例如，在IPsec之上实现的分布式的文件系统可以显著提高可伸缩性和性能的IPsec提供使用基于预计算的哈希函数第3节中所述的类似的MAC结构。这是不仅重要，而且基本将快速瓶颈的数据移动和加密荷载作用下的服务器机器。当然，这需要一些集成的安全和文件系统，但许多最重要的性能改进来自这些类型的集成。2网络附加存储在传统分布式文件系统(图1a)，存储被保护背后屏幕内部I/O总线和通用的网络之间的所有请求和传输数据的文件服务器。通常情况下，文件服务器的存储和转发复制通过文件服务器的内存成为系统瓶颈。一个解决方案是使用群集未选中的命令发给共享存储的受信任客户端通过避免服务器的瓶颈。然而，几个环境能容忍这种弱的完整性和安全性保证。即使只为事故预防、文件(A)（B）。图1:悲伤与NASD。服务器附加磁盘(SAD)介于服务器存储和复制数据从客户端网络到外围网络的网络之间。在悲伤的情况下，想要存储的数据的客户端将消息发送到文件服务器(1)将消息发送到访问的数据的存储(2)，并将其发送回文件服务器(3)，最后将请求的数据发送回客户端(4)。NASD案例之前读取文件，,客户端请求访问委员会从文件管理器(1)，其中将访问凭据传递到授权的客户端(2)的文件。所以装备，客户端使重复的访问到不同区域的文件(3，4)而不需再联系文件管理器，除非filemanager选择撤销对客户权利(5)。服务器还可以保护存储与沟通。NASD从数据路径中移除文件服务器。NASD客户很少咨询filemanager，在一般情况下，直接进入从而避免存储和转发通过文件服务器的存储设备。管理员控制文件管理器机小数目时，应检查有保护和数据/元数据边界。另一种解决方案，网络附加安全磁盘(NASD)(图1b)通过促进简单的存储设备（如磁盘驱动器）到一流的网络实体和启用安全通信直接与客户端[Gibson97]可以避免瓶颈和安全问题。使用NASD的高层的命令接口，客户端和驱动器通信直接为常见的操作（例如，读取和写入），而很少的操作，这取决于特定于应用程序语义（例如，命名空间和访问控制操作）去一个文件管理器。NASD的可扩展性至关重要的分工授权，以异步方式进行文件管理器，从执法，由驱动同步执行。授权，时间受限访问凭据适用于给定的文件（或一组文件）的形式提供的文件管理器的初始客户端请求。然后，当客户端发出请求时到驱动器，驱动器将强制访问控制决策以前指定的文件管理器和编码在访问凭据。这允许应用程序特定的语义，在filemanager居住。Filemanager编码在NASD特定条款内通过客户端传递到该驱动器的访问凭据的政策决定。尝试的性能和可伸缩性的NASD，我们设计和实现一个原型NASD存储接口，移植两个流行的分布式的文件系统（AFS和NFS）使用此接口，并实现条纹的版本的NFS在此接口[Gibson97b]。NASD接口提供可变长度与大小、时间、安全、聚类、克隆和未解释的属性的对象。访问控制是通过加密访问凭据进行身份验证的每个请求使用摘要的文件管理器/驱动器秘密参数强制执行。我们使用我们实现1，相比NASD/NFS性能对传统服务器连接NFS的磁盘(SAD)实现。我们的负载平衡大读基准（512K块）表明，NASD1.实验测试平台包含四个NASD驱动器，每一个DECAlpha3000/400(133MHz，64MB，数字UNIX3.2g-3)与单1.0GBHPC2247磁盘。我们作为客户机使用四个阿尔法3000/400的。所有由155Mb/sOC3ATM网络(DECGigaswitch/ATM)连接。NASD原型性能图2:有和没有安全的NASD原型性能。虽然快速保护所有数据饱和的CPU，可在没有安全系统都保护参数和返回代码的完整性对于小的性能刑罚。每个点代表读的吞吐量超过3+秒的连续读取请求和最低的100个请求由单个客户端读取数据从内存中的对象这消除了媒体访问时间的测量。在图形中大量的违规行为都是神器DCE/RPC通信层。数据取自我们NASD的原型，使用DECAlpha工作站（133MHz21064处理器）NASD驱动器[Gibson98]233兆赫Alpha工作站为客户端和网络业主立案法团3ATMDECGigaswitch。HMACSHA1实施完整性和3DES实施隐私，在软件中实现的所有安全算法。能够线性扩展，到驱动器的总传输带宽，同时SADNFS和并行化的版本的NFS受到的限制只是三个驱动器[Gibson98]到服务器的数据吞吐量。2.1安全存储成本在NASD实施有效和成本效果的加密技术是一个具有挑战性的问题。当前处理器不支持基于软件的加密算法由于不足的CPU周期，而基于硬件的解决方案成本太高，尤其是对商品的储存。图2显示了我们NASD样机性能范围的软件实现的安全选项。没有安全保障，与原始性能峰值~6MB/秒。激活上一个命令的参数(IntegrityArgs)的完整性的保护nonce和请求参数（例如，对象标识符，字节范围，操作特定的字段，返回代码）使用HMACSHA1[Bellare96a]，降低性能通过一个固定数量的周期，减少30%1KB的读取的性能和128KB读取性能，降低7%。此外可以保护数据（完整性），由系统提供改进的保护，但每个字节的高开销。图2显示的最大吞吐量减少46%1KB读取和超过65%为8KB的读取，CPU会更饱满由于加密。最后，隐私向所有人提供的数据，保密，减少幅度更大，到126-KB/秒的性能无论使用任何完整性保护。这些结果表明，基于软件的安全低成本单片机不能满足的存储需求。其他的算法可能更快，但不是由240必要满足现代30MB/秒磁盘驱动器媒体价格，也不能千兆的因素/第二个存储网络订房服务。基于硬件的加密算法将提供更高的性能，但重大的代价，尤其是对1-Gb/秒安全必要的基于光纤通道的磁盘驱动器。因此，我们转到其他启用高性能和低成本的存储设备的安全的方法。3优化存储的安全性能3.1存储特性存储有众多的特点，可以利用来更好地优化性能的安全。这些措施包括︰•反复的阅读同一数据的•存储是非易失性•长访问延迟（1-20毫秒）•存储传输速率（30Mb/秒）互连传输速率(100+-Mb/秒)•相对较慢的Cpu服务器类或工作站Cpu•应用程序/操作系统允许许多写入懒洋洋地发生（例如，Unix文件缓存同步）•大多数数据移动在大型（散装）转让)•大多数消息很小（即命令）此外，许多应用程序读取更多数据比他们写[Baker91]。很好的例子是可执行文件、数据挖掘数据库、邮件文件、目录和消息文件与伯克利NFS痕迹[Dahlin94]显示读与写请求比例为4.8:1。这些罕见的变化使resuse的原始数据和对数据做任何计算。例如，存储网络校验和与一组数据块允许随后的读取要重用的校验和，避免反复上飞校验和计算的费用。先前的研究表明存储网络校验和的web服务器支持可以提高吞吐量超过2X[Kaashoek96]。下面一节中我们讨论了如何应用这种技术和其他存储特性来高效地在磁盘驱动器中嵌入完整。3.2在联机安全哈希与MAC预计算可以用来提高安全性能。然而，如果使用不同的密钥共享数据，则也许每个用户，预计算一个需要更多的存储空间来存储不同的Mac或不受益来自不同用户读取的请求。然而，它是可能去耦成键控和未经过加密MAC计算组件和显式延迟绑定计算的关键。基于现有的消息身份验证代码和消息摘要算法，这种方法，称为哈希和MAC，执行以下操作︰•一个驱动器对象写入时，驱动器预先计算序列的结束每个对象的数据块，未经过加密的消息摘要•为每次读请求，驱动器生成对应请求的数据块未经过加密的消息摘要的串联MAC。正常MAC算法(图3a)涉及整个消息身份验证代码的整个计算的关键。相比之下，哈希和MAC从中移除键每字节计算，只计算(图3b)的最后一步中使用的密钥。因为关键不参与每字节计算，每个字节计算，一套的消息摘要，结果可以存储和从不同客户端的同一个磁盘块用于多个读取请求。此外，由于没有密钥需要确定消息摘要可以开始之前，消息摘要处理可能简单的高速硬件比MAC处理必须延迟，直到确定了正确的密钥。数据MAC输出正常的MAC散列和MAC(A)（B）。图3: