基于可信计算带外网络存储虚拟化模型实现.doc

基于可信计算带外网络存储虚拟化模型实现 　　摘 要：近些年来，我国的计算机技术发展的速度可谓是突飞猛进，不但生产出很多先进的计算机信息技术，同时还将这些信息技术应用到社会的各个领域之中，发挥出巨大的作用。带外网络存储虚拟化模型是计算机技术中的重要组成部分，是降低企业存储成本的重要技术。这种技术具有更好的性能和优点，是企业中更趋向运用的计算机信息技术。但是，这种带外虚拟化存储系统在安全性能方面是比较脆弱的，很容易受到外部攻击。这就促使人们寻求一种可信的带外存储模式，以提高模式的安全性能。基于此，本文将对可信计算的带外网络存储虚拟化模型的实现进行简要的探讨。 关键词：计算机系统；网络存储虚拟化模型；可信；实现 中图分类号：TP391.9 1 网络存储虚拟化模型的概述 所谓的网络存储虚拟化模型，是指改变物理存储实体与存储逻辑之间相互关系的一种模式[1]。不仅能够将二者进行分离，同时还能够将不同存储设备进行有效的结合，以抽象层的形式将其放置在物理存储设备和访问设备之间的客户端中，这能够有效的降低存储的难度，将计算机的存储功能简化，同时还能够将各种不同存储设备的优势集中到一个整体之中，使抽象存储层具有更多的功能。 2 网络存储虚拟化模型的构成 2.1 计算机主机的存储虚拟化 计算机主机的存储虚拟化，是指在主机上安装能够实现虚拟化模式的特定软件，使主机能够具备提供与存储网络和存储资源之间相互分离的存储空间，并且这一存储空间是基于一个服务器范围之内的独立的组成部分。主机的存储虚拟化能够同一个单一的服务器来对多个磁盘进行浏览，并且需要逻辑卷管理软件来对主机虚拟化模型进行管理[2]。 2.2 计算机存储设备的存储虚拟化 由于主机的虚拟化是建立在同一服务器对不同磁盘的浏览基础之上的，就促使计算机的存储设备应该实现多个不同的服务器对同一个磁盘的浏览。计算机存储设备的存储虚拟化是建立在列阵控制器的基础之上的，能够将一个磁盘的阵列容量划分为多个独立的存储空间，并且实现列阵的缓存、整合、数据恢复等功能[3]。 2.3 计算机网络的存储虚拟化 计算机主机虚拟化和计算机存储设备的虚拟化都是通过“一对一”模式来进行存储的，应用的范围较小，这就提出了一种范围更加广泛的“多对多”存储方式，即将存储模式建立在多个服务器对多个磁盘空间的浏览基础之上。基于此，就产生了服务器和存储设备之间的虚拟化模式，即计算机网络的存储虚拟化。而计算机网络的存储虚拟化又可以分为带内虚拟化和带外虚拟化两种模式。带内虚拟模式是在服务器和存储设备二者之间的通道上建立起虚拟化的存储模式，这种模式存在一定的缺陷和不足，难以实现存储的最优化。这也是人们将存储的眼光放置在带外虚拟存储模式上的主要原因，并且在实现带外虚拟存储的同时还要求实现这一模型的可信性[4]。 3 可信理论概述 所谓的可信理论，是指在保证硬件结构和操作系统二者的安全性前提之下，实现整个计算机信息系统的安全性，进而保证存储虚拟模型的安全性的一种理论技术。简单来说，可信技术就是指按照某种预期的目标和方式来完成的设备行为[5]。将可信技术综合而形成的平台被称之为可信平台。可信平台是实现信息发布和信息接收的主要途径，是由软件平台和硬件平台综合在一起，并且建立在可信模块TPM之上的，融合了安全系统和密码技术，被作为整个计算机信息存储系统的核心结构。 4 基于可信计算的带外网络存储虚拟化模型的实现 4.1 环境自识别模块 如图1所示，为环境自识别模块（ESR）结构图，从图中我们能够看出，环境自识别模块包括策略的定义和执行模块，以及扫描模块三部分。首先，扫描模块是用来为服务器中的通讯软件提供配合的，主要功能是将安全信息收集之后再将其传输给策略定义模块。其次，策略定义模块是指对扫描模块中传输过来的安全信息进行风险性定义的一个模块，其功能的实现主要是通过在策略定义模块中设置一个对风险进行评定的措施表，能够对安全信息的风险系数进行分析，并且做出应对风险的措施。第三，策略执行模块，简单说来就是指一种将扫描模块和策略定义模块中给出的任务进行执行的一种模块，并且通过对通路的控制将执行任务发送给存储设备和多个服务器[5]。 4.2 环境自识别模块的设计 首先是准备阶段的设计，要将信息作为风险评估的目标来进行评价，并且是在一定的风险范围之内来进行评估，并且根据信息的不同来确定进行评估的方法，将可信性作为风险评价的标准和依据。随后进入到威胁识别的阶段，这是进行风险评估的重要阶段，整个服务器的安全与否，在很大程度上取决于这一阶段对威胁的识别。威胁识别能够对已经存在的和可能出现的威胁进行评价和分析，确定危险的系数，不仅能够找到危险的来源、确定危险的属性，同时还