论文部分内容阅读
根据形态和应用特点的差异,存储系统中的数据被分为两类:动态数据和静态数据。动态数据是指在网络中传輸的数据,而静态数据主要是指存储在磁盘、磁带等存储介质中的数据。安全存储系统对动态数据和静态数据的保护需要根据各自的特点,分别使用不同的实现机制。汉帆(杭州)信息技术有限公司(Hifn)分别针对动态和静态数据保护推出了全面的解决方案。
动态数据的保护
动态数据一般都基于IP网络传输,对它们的保护可以直接借用比较成熟的网络安全机制,采用IPsec协议簇实现全面的保护,另外还需要参照RFC3723等标准文档,以满足存储系统的特殊需求。
与普通网络的IPsec实现相比,存储系统往往对网络性能有更高的要求,一般都在千兆以上,同时,复杂的存储应用需要消耗大量的主机CPU和内存等,能够用以进行安全处理的资源非常有限。为了保证系统的正常运行,存储应用还需要安全处理具有高可靠性、低延时、低功耗等特性。在具体实施中,普通的网络安全处理机制一般很难充分满足这些要求,而Hifn推出的FlowThrough架构则完美地解决了上述问题,为存储系统中动态数据保护提供了上佳的解决方案。
基于FlowThrough架构,系统以BITW(Bump in the wire)结构实现了包括密钥协商阶段消息交换(IKE)在内的全部安全协议处理(IPsec/SRTP/MACsec),将主CPU从复杂而繁重的安全处理中彻底解放出来。FlowThrough安全处理器使主CPU只需要进行普通的明文数据处理,安全应用实现了透明化。Hifn 4450安全处理器是Hifn基于FlowThrough架构的第二代产品,并针对存储应用进行了专门优化,已经在各主要存储厂商的产品中获得了广泛应用。Hifn 4450直接通过GMAC接口与主机CPU连接,大大简化系统结构,在提供2Gb/s的全双工线速安全处理的同时,实现报文处理延时的最小化。
静态数据的保护
对静态数据的保护是最近几年才逐渐集中显现出来的要求,相关标准尚未完全成形,目前主要由IEEE存储安全工作组(SISWG)推动,将涵盖加密和密钥管理等内容,最终形成IEEE 1619标准簇。
在静态数据保护方面,Hifn针对IP SAN市场,为磁盘存储提供了Swarm系列卷级加密解决方案和Sypher系列磁带加密解决方案,从而很好地填补了IEEE 1619标准实施前的空白期,及时为静态数据提供必要保护。
最近几年,以数据压缩和重复数据删除技术为代表的数据缩减技术获得广泛关注。然而,通常情况下,数据保护所引入的加密处理将从根本上限制数据缩减技术的应用:数据缩减技术的基础是大量数据中存在相似或相同的特性,一旦应用了加密处理,这些相似或相同都会被完全破坏。
Hifn找到了破解难题的方法,计划于2008年下半年推出的新一代Hifn Express DR系列加速卡,将同时提供重复数据删除、数据压缩和加密功能。在全面支持IEEE 1619和IEEE 1619.1标准的同时,可以帮助存储系统将最终存储的加密数据量减少到原始数据的3%以下,处理性能也将达到1600 MB/s。
误区
将动态数据与静态数据混为一谈,以为用一种传统的网络安全机制就能解决所有的数据安全问题。数据加密技术与数据缩减技术之间存在着不可调和的矛盾,不能同时使用。
动态数据的保护
动态数据一般都基于IP网络传输,对它们的保护可以直接借用比较成熟的网络安全机制,采用IPsec协议簇实现全面的保护,另外还需要参照RFC3723等标准文档,以满足存储系统的特殊需求。
与普通网络的IPsec实现相比,存储系统往往对网络性能有更高的要求,一般都在千兆以上,同时,复杂的存储应用需要消耗大量的主机CPU和内存等,能够用以进行安全处理的资源非常有限。为了保证系统的正常运行,存储应用还需要安全处理具有高可靠性、低延时、低功耗等特性。在具体实施中,普通的网络安全处理机制一般很难充分满足这些要求,而Hifn推出的FlowThrough架构则完美地解决了上述问题,为存储系统中动态数据保护提供了上佳的解决方案。
基于FlowThrough架构,系统以BITW(Bump in the wire)结构实现了包括密钥协商阶段消息交换(IKE)在内的全部安全协议处理(IPsec/SRTP/MACsec),将主CPU从复杂而繁重的安全处理中彻底解放出来。FlowThrough安全处理器使主CPU只需要进行普通的明文数据处理,安全应用实现了透明化。Hifn 4450安全处理器是Hifn基于FlowThrough架构的第二代产品,并针对存储应用进行了专门优化,已经在各主要存储厂商的产品中获得了广泛应用。Hifn 4450直接通过GMAC接口与主机CPU连接,大大简化系统结构,在提供2Gb/s的全双工线速安全处理的同时,实现报文处理延时的最小化。
静态数据的保护
对静态数据的保护是最近几年才逐渐集中显现出来的要求,相关标准尚未完全成形,目前主要由IEEE存储安全工作组(SISWG)推动,将涵盖加密和密钥管理等内容,最终形成IEEE 1619标准簇。
在静态数据保护方面,Hifn针对IP SAN市场,为磁盘存储提供了Swarm系列卷级加密解决方案和Sypher系列磁带加密解决方案,从而很好地填补了IEEE 1619标准实施前的空白期,及时为静态数据提供必要保护。
最近几年,以数据压缩和重复数据删除技术为代表的数据缩减技术获得广泛关注。然而,通常情况下,数据保护所引入的加密处理将从根本上限制数据缩减技术的应用:数据缩减技术的基础是大量数据中存在相似或相同的特性,一旦应用了加密处理,这些相似或相同都会被完全破坏。
Hifn找到了破解难题的方法,计划于2008年下半年推出的新一代Hifn Express DR系列加速卡,将同时提供重复数据删除、数据压缩和加密功能。在全面支持IEEE 1619和IEEE 1619.1标准的同时,可以帮助存储系统将最终存储的加密数据量减少到原始数据的3%以下,处理性能也将达到1600 MB/s。
误区
将动态数据与静态数据混为一谈,以为用一种传统的网络安全机制就能解决所有的数据安全问题。数据加密技术与数据缩减技术之间存在着不可调和的矛盾,不能同时使用。