YD_T 2391-2011IP存储网络安全技术要求.pdf

ICS 35.110M 11YD中华人民共和国通信行业标准YD/TP存储网络安全技术要求Specification for IP storage network security2011-12-20发布2012-02-01实施中华人民共和国工业和信息化部发布 YD/T次前范围2术语和定义·3缩略语4IP存储网络安全4.1IP存储网络概速4.2安全威胁分析4.3安全需求·iSCSI安全5.1体系结构…5.2身份认证5.3传输数据安全·6FCIP安全..6.1体系结构6.2身份认证6.3传输翰数据安全iFCP安全·7.1体系结构·7.2身份认证·传输数据安全iSNS安全8.1消息安全 YD/KE过程2SA可根据iSNS服务器获取或管理接口配置的安全策略进行创建，同样，PFS快速模式下的密钥交换负载也可根据iSNS服务器获取或管理界面配置的安全策略进行驱动。IPSecSA应保护iFCP的所有有安全需求的连接，包括绑定连接和未绑定连接。可删除休眠的IKE阶段2SA，减少活跃IKE阶段2SA的数量，对于空闲的TCP连接，宜等到该违接有数据传输时才创建新的SA对其保护。在标准IP流量中不出现存储数据，第三方的防火墙和加密产晶可用来保护iFCP网关到网关的连接，并为存储信息提供VPN（VirtualPrivateNetwork，虚拟专用网络）。8ISNS安全8.1消息安全iSNS使用IPSec安全时，iSNS数据库的每个iSNS客户端应与iSNS服务器至少保持一个IKE阶段1和一个IKE阶段2SA，客户端与服务器间的所有iSNS协议消息应利用IKE阶段2SA保护。所有iSNS实现的安全机制应支持IPSec的重放保护机制，iSNS服务器应支持ESP隧道模式，可支持ESP传输模式。为了提供数据源认证和ESP完整性，应支持HMAC-SHAI，宜支持采用AES-XCBC-MAC认证。iSNS应支持IKE认证、SA协商、密钥管理和IPSecDOI.iSNS应使用动态密钥和密钥更新，不宜使用手动密钥。所有iSNS实现的安全机制应支持预共享密钥认证，可支持数字签名证书的端认证。端认证不宜使用公共密钥加密方式。所有iSNS实现的安全机制应支持IKE主模式，推荐支持野蛮模式。当任意端使用动态IP地址时，不宜使用预共享密钥认证的IKE主模式。使用数字签名认证时，可以使用IKE主模式或IKE野蜜模式。应保护本地存储的安全信息（预共享密钥、私有密钥、数字签名），避免加密信息泄露导致IKE/IPSec安全协议失效。使用数字签名的认证时，在接受PKI证书之前，IKE协商建议首先检查证书吊销列表。8 YD/T 2391-2011中华人民共和国通信行业标准IP存储网络安全技术要求YD/T民部电出版社出版发行北京市崇文区夕斯寺街14号人座邮政编码：100061宝隆元（北京）印削技术有限公司印剧版权所有不得翻印开本；880×12301/162012年1月第1叔印张：12012年1月北京第1次印别字数：21千字ISBN 978 - 7 - 115 - 2452/ 12 - 30定价：10元本书如有印装质量问题，请与本社联系电话：(010 YD/T言本标准是遭信存储安全系列标准之“，该系列标准预计发布如下：《IP存储网络安全技术要求》《IP存储网络安全测试方法》《通信虚拟磁带库（VTL）安全技术要求》《通信虚拟磁带库（VTL）安全测试方法》一《通信存储介质（SSD）加密安全技术要求》《通信存储介质（SSD）加密安全测试方法》本标准主要参考IETFRFC3723制定。本标准由中国通信标准化协会提出并归口，本标准起草单位：北京邮电大学、工业和信息化部电信研究院、华为技术有限公司。本标准起草人：刘建毅、王根、姚文斌、肖达、伍淳华、杨义先。II YD/TP存储网络安全技术要求1范围提供安全机制的技术要求，本标准适用于与IP存储网络有关设备。2术语和定义下列术语和定义适用于本文件。2.1存储区域网络StorageAreaNetwork(SAN)一种用在服务器和存储资源之间的、专用的、高性能的网络体系。2.2IP存储网络storage area network over IP (IP SAN)-种在IP以太网上架构存储区域网络的存储技术。2.3小型计算机系统接口Small Computer System Interface (SCSI)一种用于计算机和智能设备之间系统级接口的独立处理器标准。2.4因特网小型计算机系统接口InternetSmallComputerSystemsInterface(iSCSl)一种在TCP/IP上传输数据块的标准，用