3 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ Nguyễn Văn Dũng CÔNG NGHỆ MẠNG LƢU TRỮ VÀ ỨNG DỤNG LUẬN VĂN THẠC SĨ Hà nội, 2006 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ Nguyễn Văn Dũng CÔNG NGHỆ MẠNG LƢU TRỮ VÀ ỨNG DỤNG Ngành: Công nghệ thông tin Mã số: 1.01.10 LUẬN VĂN THẠC SĨ Ngƣời hƣớng dẫn khoa học: PGS.TS Nguyễn Văn Tam Hà nội, 2006 MỤC LỤC LỜI CẢM ƠN DANH SÁCH CÁC KÝ HIỆU, CHỮ CÁI VIẾT TẮT DANH MỤC CÁC HÌNH VẼ MỞ ĐẦU 11 CHƢƠNG TỔNG QUAN CÔNG NGHỆ MẠNG LƢU TRỮ 12 1.1 TỔNG QUAN VỀ CÔNG NGHỆ MẠNG LƯU TRỮ 12 1.1.1 Khái niệm mạng lưu trữ 12 1.1.2 Lợi ích SAN 13 1.2 CÁC GIẢI PHÁP LƯU TRỮ 14 1.2.1 Thiết bị lưu trữ kết nối trực tiếp (Direct attached storage - DAS) 14 1.2.2 Thiết bị lưu trữ kết nối qua mạng (Network Attached Storage - NAS) 15 1.2.3 Mạng lưu trữ (Storage Area Network – SAN) 16 1.3 CÁC THÀNH PHẦN TẠO NÊN SAN 17 1.3.1 SAN Server 18 1.3.2 Host Bus Adapter (HBA) 18 1.3.3 Hub Switch kênh quang 19 1.3.4 Router gateway kênh quang 20 1.3.5 Bridge Multiplexer kênh quang 20 1.3.6 Thiết bị lưu trữ 21 1.3.7 Thiết bị backup 21 1.3.8 Các thành phần phần mềm 22 CHƢƠNG MƠ HÌNH KẾT NỐI, CÔNG NGHỆ VÀ GIAO THỨC SỬ DỤNG TRONG MẠNG LƢU TRỮ 23 2.1 CÁC MƠ HÌNH KẾT NỐI TRONG MẠNG LƯU TRỮ 23 2.1.1 Điểm-tới-điểm (Point-to-point) 23 2.1.2 Mạng vòng (FC-AL) 24 2.1.3 Mạng Fabric (FC-SW) 26 2.2 CÁC CÔNG NGHỆ SỬ DỤNG TRONG MẠNG LƯU TRỮ 29 2.2.1 Công nghệ ảo hóa lưu trữ 29 2.2.2 Công nghệ RAID 33 2.3 CÁC GIAO THỨC SỬ DỤNG TRONG MẠNG LƯU TRỮ 37 2.3.1 Giao thức FC (Fibre Channel) 37 2.3.2 Giao thức iFCP (Internet Fiber Channel Protocol) 52 2.3.3 Giao thức iSCSI (Internet SCSI Protocol) 56 2.3.4 So sánh iFCP iSCSI 58 CHƢƠNG GIẢI PHÁP CẢI TIẾN MẠNG LƢU TRỮ TRONG MỘT HỆ THỐNG NGÂN HÀNG 60 3.1 MỘT SỐ VẤN ĐỀ CẦN LƯU Ý KHI CẢI TIẾN HỆ THỐNG MẠNG LƯU TRỮ 60 3.2 THỰC TRẠNG MẠNG LƯU TRỮ TRONG MỘT HỆ THỐNG NGÂN HÀNG 63 3.2.1 Hệ thống Xử lý giao dịch trực tuyến - OLTP 63 3.2.2 Hệ thống kho liệu – DataWarehouse 66 3.2.3 Hệ thống đào tạo – Training 67 3.2.4 Một số đánh giá chung hệ thống 68 3.3 MỘT SỐ GIẢI PHÁP CẢI TIẾN 68 3.3.1 Yêu cầu đặt hệ thống 68 3.3.2 Tích hợp hệ thống SAN thống 69 3.3.3 Tăng cường khả sẵn sàng hệ thống fabric 73 3.3.4 Phương pháp đồng hai tủ đĩa 74 3.3.5 Nâng cao tính sẵn sàng (clustering) 76 3.3.6 Phân vùng (zoning) 78 3.3.7 Cải tiến hệ thống lưu phục hồi liệu 82 3.4 AN TOÀN VÀ BẢO MẬT CHO HỆ THỐNG SAN 84 3.4.1 Các đặc trưng 85 3.4.2 Các lợi ích thu thiết lập sách bảo mật 86 3.4.3 Một số kỹ thuật sử dụng an toàn bảo mật mạng 87 KẾT LUẬN 106 TÀI LIỆU THAM KHẢO .107 LỜI CẢM ƠN Luận văn hoàn thành hướng dẫn PGS.TS Nguyễn Văn Tam Viện Công nghệ thông tin - Viện khoa học tự nhiên Công nghệ quốc gia Tôi xin bày tỏ lòng biết ơn sâu sắc đến người thầy kính mến hướng dẫn nhiệt tình, ý kiến đóng góp q báu ln tạo điều kiện thuật lợi cho tơi hồn thành tốt luận văn Xin cảm ơn Khoa Công nghệ thông tin - Trường Đại học Công nghệ - Đại học Quốc gia Hà nội thầy cô giáo tạo điều kiện tốt mặt để tơi hồn thành luận văn Hà nội, ngày 20 tháng 11 năm 2006 Tác giả DANH SÁCH CÁC KÝ HIỆU, CHỮ CÁI VIẾT TẮT ACL - Access Control List CSDL - Cơ sở liệu CNTT - Công nghệ thông tin CRC - Cyclic Redundant Check DAS - Direct Attached Storage DES - Data Encryption Standard FC - Fibre Channel FC-AL - Fibre Channel Arbitrated Loop FCP - Fibre Channel Protocol FCIP - Fibre Channel over IP GBIC - Gigabit Interface Converters HBA - Host Bus Adapter ID - Identification iFCP - Internet Fibre Channel Protocol I/O - Input/Output IOPS - Inputs/Outputs Per Second IP - Internet Protocol iSCSI - Internet Small Computer System Interface ISL - Inter-Switch Link iSNS - Internet Storage Name Services KDC - Key Distribution Center LAN - Local Area Network NAS - Network Attached Storage NIC - Network Interface Card OLTP - Online Transaction Processing PKI - Public Key Infrastructure QoS - Quality of Service RAID - Redundant Array of Independent Disk RD - Running Disparity SAN - Storage Area Network SNS - Simple Name Server SHA - Secure Hash Algorithm TCP - Transmission Control Protocol UDP - User Datagram Protocol ULP - Upper Layer Protocol WAN - Wide Area Network WWN - World Wide Name WWPN - World Wide Port-Name DANH MỤC CÁC HÌNH VẼ Hình 1-1: Các thành phần mơi trường mạng SAN Hình 1-2: Thiết bị lưu trữ kết nối trực tiếp - DAS Hình 1-3: Thiết bị lư trữ kết nối qua mạng - NAS Hình 1-4: Mạng lưu trữ - SAN Hình 1-5: Hub Hình 1-6: Switch Hình 1-7: Router kênh quang Hình 1-8: Bridge Hình 2-1: Các mơ hình kết nối mạng lưu trữ Hình 2-2: Mơ hình kết nối điểm - tới - điểm Hình - 3: Mơ hình kết nối mạng vịng FC-AL Hình 2-4: Tiến trình tạo mạng vịng Hình 2-5: Chức Repeater Hình 2-6: Chức kênh vượt cổng Hình 2-7: Mơ hình kết nối mạng fabric Hình 2-8: Các thành phần fabric Hình 2-9: Ảo hóa lưu trữ Hình 2-10 : Snapshot truyền thống Vsnap Hình 2-11: RAID Hình 2-12: RAID Hình 2-13: RAID 0+1 Hình 2-14: RAID Hình 2-15: RAID Hình 2-16: RAID Hình 2-17: RAID Hình 2-18: RAID Hình 2-19: Kiến trúc kênh quang Hình 2-20: Sơ đồ chế kết nối quang Fibre Channel Hình 2-21: Cấu trúc khung Hình 2-22: Mức 1- Flow Control Hình 2-23: Mức 2- Flow Control Hình 2-24: Mức 3- Điều khiển luồng Hình 2-25: Mơ hình mạng iFCP Hình 2-26: Mơ hình triển khai iFCP Hình 2-27: Cấu trúc iFCP Header Hình 2-28: Ánh xạ FC sang iFCP Hình 2-29: Ánh xạ iFCP sang FC Hình 2-30: Mơ hình giao thức iSCSI Hình 3-1: Mơ hình hệ thống Xử lý giao dịch trực tuyến Hình 3-2: Mơ hình hệ thống Data Warehouse 11 12 14 14 17 17 18 19 21 22 22 22 23 23 24 25 27 30 32 32 33 33 34 34 34 35 36 37 41 45 45 46 51 52 52 53 54 55 63 64 10 Hình 3-3 : Mơ hình hệ thống Training Hình 3-4: Mơ hình SAN hợp Hình 3-5: Hệ thống OLTP mạng lưu trữ hợp Hình 3-6: Hệ thống Data Warehouse mạng lưu trữ hợp Hình 3- 7: Hệ thống Training mạng lưu trữ hợp Hình 3-8: Mạng fabric hệ thống lưu trữ hợp Hình 3-9: Nhân đồng Hình 3-10: Nhân dị Hình 3-11: Mơ hình cluster node Hình 3-12: Cluster sau xảy failover Hình 3-13: Phân vùng fabric Hình 3-14: Phân vùng hệ thống OLTP fabric Hình 3-15: Phân vùng hệ thống Data Warehouse fabric Hình 3-16: Phân vùng hệ thống Training fabric Hình 3-17: Phân vùng server quản lý fabric Hình 3-18: Mơ hình cluster hai Cell Manager Hình 3-19: Cải tiến mơ hình backup liệu Hình 3-20: Các lớp “rào chắn” bảo vệ thông tin mạng Hình 3-21: Sơ đồ quy trình mật mã Hình 3-22: Xác thực sử dụng khóa bí mật Hình 3-23: Xác thực sử dụng khóa bí mật rút gọn Hình 3-24: Tấn cơng xác thực Hình 3-25: Xác thực sử dụng KDC Hình 3-26: Giao thức xác thực Needham-Schroeder Hình 3-27: Giao thức xác thực Otway - Rees Hình 3-28: Chữ ký số với Big Brother Hình 3-29: Chữ ký số sử dụng mã hóa cơng khai Hình 3-30: Chữ ký số sử dụng đại diện thông điệp 65 67 69 70 71 71 72 73 74 75 77 78 79 79 80 81 82 85 87 98 98 99 99 99 100 101 102 103 11 MỞ ĐẦU Mạng lưu trữ (Storage Area Network - SAN) ngày phát triển với phát triển ứng dụng lớn ví dụ hệ thống liệu tài chính, ngân hàng, hệ thống lưu trữ quốc gia SAN mạng nhỏ, tốc độ cao, chia thiết bị lưu trữ tủ đĩa, tủ tape SAN kết nối máy chủ, máy trạm với thiết bị lưu trữ sử dụng công nghệ kết nối Fibre Channel, SCSI (Small Computer System Interface) Công nghệ kết nối Fibre Channel cung cấp băng thông ổn định với hiệu suất cao khoảng cách xa, khả tạo đường kết nối dự phòng cân tải nhằm đảm bảo tính sẵn sàng cao cho hệ thống Kiến trúc SAN xây dựng cho tất thiết bị lưu trữ truy cập từ server mạng Do liệu lưu trữ trực tiếp không nằm server mạng nên công suất server tập trung sử dụng cho ứng dụng SAN có thành phần giống mạng LAN, bao gồm SAN switch, router, máy chủ, máy trạm thiết bị lưu trữ SAN hỗ trợ truyền tốc độ cao máy chủ thiết bị lưu trữ theo cách: server to storage, server to server, storage to storage SAN không dùng giao thức thông điệp TCP/IP (message protocol) mà dùng giao thức liệu (data protocol) FCP, iFCP, SCSI, iSCSI SAN cung cấp khả linh hoạt chưa có quản lý cấu hình, đem lại khả sẵn sàng, độ tin cậy cao Nội dung đề tài tập trung vào vấn đề sau đây: Chương - Tìm hiểu cơng nghệ mạng lưu trữ Trình bày tổng quan cơng nghệ mạng lưu trữ SAN, thành phần mạng SAN Chương - Tìm hiểu mơ hình kết nối, cơng nghệ giao thức sử dụng mạng lưu trữ Chương - Phân tích thực trạng mạng lưu trữ hệ thống Ngân hàng Trên sở thực trạng hệ thống mạng lưu trữ đề xuất số giải pháp cải tiến hệ thống mạng lưu trữ 12 CHƢƠNG TỔNG QUAN CÔNG NGHỆ MẠNG LƢU TRỮ 1.1 TỔNG QUAN VỀ CÔNG NGHỆ MẠNG LƢU TRỮ Trước đây, hướng tiếp cận doanh nghiệp thiết bị lưu trữ kết nối trực tiếp tới hệ thống máy chủ Các máy chủ kết nối truyền nhận liệu thông qua mạng cục mạng diện rộng Ngày nay, với phát triển doanh nghiệp, thách thức đặt là: - Sự tăng trưởng dung lượng lưu trữ doanh nghiệp theo hàm mũ - Yêu cầu hệ thống không dừng Giải pháp để trả lời cho thách thức mà doanh nghiệp phải đối mặt dựa cơng nghệ phát triển, mạng lưu trữ (SAN) xây dựng nhằm tạo tảng sở cho hệ thống thông tin với khả mềm dẻo, đáp ứng tốt với chi phí phù hợp Mạng lưu trữ SAN đánh giá hệ kiến trúc mạng tốc độ cao 1.1.1 Khái niệm mạng lưu trữ Mạng lưu trữ mạng tốc độ cao (tốc độ truyền liệu từ đến Gb/s sau lên tới 10 Gb/s) có server truy cập đến vùng lưu trữ chung gồm hệ thống lưu trữ Môi trường SAN cung cấp kết nối (có thể có nhiều đường kết nối) server với nhau, server với hệ thống lưu trữ, hệ thống lưu trữ với [9, 12, 15] Một mạng SAN chia thành phần sau: - Lớp client: client điểm truy cập SAN Lớp server: thành phần lớp server, HBA, bao gồm GBIC trình điều khiển HBA truyền thơng với lớp Fabric Lớp Fabric: lớp SAN bao gồm hub switch kết nối với thành mạng mặt logic vật lý Lớp storage: bao gồm liệu nằm thiết bị lưu trữ 93 Các hàm cụ thể DES: * Bảng hốn vị ban đầu IP: Bảng có nghĩa bit 58 x bit IP, bit 50 x bit thú IP…… 58 50 42 34 26 18 10 60 52 44 36 28 20 12 62 54 46 38 30 22 14 64 56 48 40 32 24 16 57 49 41 33 25 17 59 51 43 35 27 19 11 61 53 45 37 29 21 13 63 55 47 39 31 23 15 40 48 16 56 24 64 32 39 47 15 55 23 63 31 38 46 14 54 22 62 30 37 45 13 53 21 61 29 36 44 12 52 20 60 28 35 43 11 51 19 59 27 34 42 10 50 18 58 26 33 41 49 17 57 25 -1 * Bảng hoán vị cuối IP : *Hàm mở rộng E: (Phép hoán vị mở rộng) 32 5 9 10 11 12 13 12 13 14 15 16 17 16 17 18 19 20 21 20 21 22 23 24 25 24 25 26 27 28 29 28 29 30 31 32 * Các tiêu chuẩn chọn hộp S: - Mỗi hàng hộp S phải hốn vị 0, 1, …,15 Khơng hộp S hàm tuyến tính hay apphin đầu vào Thay đổi bit vào hộp S gây thay đổi hai bit Nếu hai xâu vào hộp S giống hai bit đầu hai bit cuối hai xâu phải khác hai bit Nếu hai xâu vào hộp S khác hai bit đầu giống hai bit cuối hai xâu phải khác 94 - Với hộp S, ta cố định bit vào xét giá trị bit đó, số xâu vào tạo giá trị bit phải xấp xỉ số xâu vào tạo giá trị bit * Do ta có khối S: từ S1 đến S8: S1 0 1 | 10 11 12 13 14 15 | |14 13 15 11 10 12 | 15 14 13 10 12 11 | 14 13 11 15 12 10 |15 12 11 14 10 13 S2 12 | 10 11 12 13 14 15 | 0 |15 14 11 13 12 10 | 13 15 14 12 10 11 | 14 11 10 13 12 15 1 |13 10 15 11 12 14 S3 13 18 | 10 11 12 13 14 15 | 0 |10 14 15 13 12 11 |13 10 14 12 11 15 1 |13 15 11 12 10 14 1 | 10 13 15 14 11 12 S4 19 24 | 10 11 12 13 14 15 | 0 | 13 14 10 11 12 15 |13 11 15 12 10 14 |10 12 11 13 15 14 1 | 15 10 13 11 12 14 S5 25 30 | 10 11 12 13 14 15 | 0 | 12 10 11 15 13 14 |14 11 12 13 15 10 | 11 10 13 15 12 14 1 |11 12 14 13 15 10 95 S6 31 36 | 10 11 12 13 14 15 | 0 |12 10 15 13 14 11 |10 15 12 13 14 11 | 14 15 12 10 13 11 1 | 12 15 10 11 14 13 S7 37 42 | 10 11 12 13 14 15 | 0 | 11 14 15 13 12 10 1 |13 11 10 14 12 15 | 11 13 12 14 10 15 1 | 11 13 10 15 14 12 S8 43 48 | 10 11 12 13 14 15 | 0 |13 15 11 10 14 12 | 15 13 10 12 11 14 | 11 12 14 10 13 15 1 | 14 10 13 15 12 11 * Bảng chuyển vị P: 16 20 21 29 12 28 17 15 23 26 18 31 10 24 14 32 27 19 13 30 22 11 25 *Phép hoán vị PC – 1: 57 10 19 63 14 21 49 58 11 55 62 13 41 50 59 47 54 61 33 42 51 60 39 46 53 28 25 34 43 52 31 38 45 20 17 26 35 44 23 30 37 12 *Phép hoán vị PC – 2: 14 23 16 41 30 44 46 17 28 19 52 40 49 42 11 15 12 27 31 51 39 50 24 20 37 45 56 36 21 26 13 47 33 34 29 10 55 48 53 32 18 27 36 15 22 29 96 Độ an tồn thuật tốn DES: Khi DES đề xuất chuẩn mã hóa có nhiều ý kiến phê phán Một lý có liên quan đến hộp S Mỗi tính tốn DES ngoại trừ hộp S tuyến tính, tức việc tính phép loại trừ hai đầu giống phép loại trừ hai đầu vào tính tốn đầu Các hộp S chứa đựng nhiều thành phần phi tuyến hệ mật yếu tố quan trọng độ mật hệ thống Khi xây dựng hệ mật DES tiêu chuẩn xây dựng hộp S khơng biết đầy đủ Và hộp S chứa “cửa sập” giấu kín Và điểm đảm bảo tính bảo mật hệ DES Sự phản đối xác đáng DES kích thước khơng gian khố: 256 q nhỏ để đảm bảo an tồn thực Nhiều thiết bị chuyên dụng đề xuất nhằm phục vụ cho phép công với rõ biết Phép công chủ yếu thực theo phương pháp vét cạn Tức với rõ x 64 bit mã y tương ứng, khố kiểm tra tìm khố K thỏa mãn eK(x) = y b) Hệ mật mã RSA: Định nghĩa sơ đồ hệ mật: Hệ sử dụng tính tốn Zn, n tích hai số ngun tố phân biệt p q Ta nhận thấy:  (n)  ( p  1)(q  1) Mô tả thuật toán: Cho n = p * q với p, q hai số nguyên tố lớn Đặt P = C = Zn Chọn b nguyên tố với  (n), (n)  ( p  1)(q  1) Ta định nghĩa: K = {(n, a, b): a*b  1(mod  (n)) } Giá trị n b công khai, a bí mật Với K = (n, a, b), x  P y  C, định nghĩa: Hàm mã hóa: y = ek(x) = xb mod n Hàm giải mã: dk(x) = ya mod n Với hình mơ tả ta kiểm tra xem phép mã hóa giải mã có phải nghịch đảo hay khơng vì: 97 ab  1(mod  (n)) nên ta có: ab  t (n)  với số nguyên t  Giả sử x x  b a  Zn* ta có:  x t ( n ) 1 (mod n)  ( x t ( n ) ) x(mod n)  1t x(mod n)  x(mod n) Ví dụ: Giả sử R chọn p = 101 q =113 n = 11413  (n)  100  112  11200 Vì 11200 = 26527, nên dùng số nguyên b số mũ mã hoá b khơng chia hết cho 2, 5, (Vì thực tế R khơng phân tích  (n) , kiểm tra điều kiện UCLN(  (n) , b) = thuật toán Euclide Giả sử R chọn b‟ = 3533, theo thuật tốn Euclide mở rộng: b-1 = 6597 mod 11200 Vì vậy, số mũ mật để giải mã a = 6597 R công bố n = 11413 b = 3533 danh bạ Bây giờ, giả sử S muốn gửi rõ 9726 cho R Cô ta tính: 97263533 mod 11413 = 5761 Và gửi mã 5761 kênh truyền Khi R nhận mã 5761 sử dụng số mũ bí mật a để tính: 57616597 mod 11413 = 9726 Thực hệ mật: Thiết lập hệ RSA cần tuân theo bước sau: R tạo số nguyên tố lớn p q R tính n = p  q  (n) = (p - 1)(q - 1) 98 R chọn số ngẫu nhiên b(  b   (n) ) cho UCLN(b,  (n) ) = R tính a = b-1 mod  (n) dùng thuật toán Euclide mở rộng R công bố n b danh bạ dùng chúng làm khố cơng khai Tính an tồn RSA: Với hệ RSA cách cơng dễ thấy cố gắng phân tích n thừa số nguyên tố Và thực việc phân tích dễ dàng tính  (n) =( p - 1)*(q – 1) tính số mũ a từ b Nhưng để đảm bảo an toàn p q phải số có chừng 100 chữ số thập phân n có tới 200 chữ số thập phân Và thuật tốn phân tích thời có khả phân tích số tới 130 chữ số thập phân việc phân tích n thành thừa số ngun tố khơng dễ dàng Ngồi cách phân tích n thành số ngun tố cịn có cách khác cần tính  (n) n tích hai số ngun tố p q dễ dàng phân tích n cách giải hai phương trình sau để tìm hai số p q chưa biết: n = pq  (n) = (p - 1)(q - 1) Nếu thay q = n/p vào phương trình thứ ta thu phương trình bậc hai chưa biết p: p2 – (n -  (n) + 1)p + n = Hai nghiệm phương trình p q nhân tử n Bởi biết  (n) phân tích n phá hệ mật Tuy nhiên việc tính  (n) khơng dễ việc phân tích n Bên cạnh đó, việc mã giải mã xoay quanh phép lấy lũy thừa theo module n Vì n số lớn nên ta phải sử dụng số học lấy xác nhiều lần để thực tính tốn Zn thời gian tính tốn cần thiết phụ thuộc vào số bit biểu diễn nhị phân n Xét phép lấy lũy thừa module (tức hàm dạng tính xc mod n) Việc tính xc mod n thực c – phép nhân module; nhiên c lớn phép tính lớn Chú ý c lớn cỡ  (n) - Và điểm giúp cho RSA bảo mật [1] 99 3.4.3.4 Các giao thức xác thực Xác thực kỹ thuật mà tiến trình xác nhận đối tác truyền thơng với là kẻ mạo danh Việc xác thực đòi hỏi giao thức phức tạp dựa vào mã hóa Trong phần phân tích số giao thức xác thực sử dụng mạng Ta cần phân biệt quyền hạn xác thực Xác thực trả lời cho câu hỏi có phải ta truyền thơng với tiến trình xác định Còn quyền hạn lại quan tâm tới tiến trình phép làm Mơ hình tổng qt mà giao thức xác thực sử dụng là: nguời dùng khởi tạo Alice muốn thiết lập kết nối bảo mật với Bob - người dùng thứ hai Alice Bob gọi nhân vật Bob chủ ngân hàng mà Alice muốn thực giao dịch Đầu tiên Alice gửi thông điệp tới Bob tới Trung tâm phân phối khóa (KDC) tin cậy Khi thông điệp gửi đi, kẻ mạo danh - Trudy chặn, thay đổi ghi âm để đánh lừa Alice Bob làm cho hệ thống bị tê liệt Tuy nhiên, giao thức thực hiện, Alice đảm bảo nói chuyện với Bob, Bob đảm bảo nói chuyện với Alice Trong hầu hết giao thức, hai người cung cấp khóa phiên để sử dụng cho hội thoại Trong thực tế, lý hiệu năng, hầu hết lưu lượng liệu mã hóa sử dụng khóa bí mật, mã hóa khóa cơng khai sử dụng rộng rãi giao thức xác thực để trao đổi khóa phiên [4] Xác thực dựa vào khóa bí mật Trong giao thức này, ta giả sử Alice Bob chia sẻ khóa bí mật KAB, khóa phải trao đổi qua kênh an toàn Một người gửi số ngẫu nhiên cho người kia, sau người nhận chuyển theo cách thức riêng gửi trở lại cho người gửi Các thông điệp trao đổi giao thức sau: 100 Hình 3-22: Xác thực sử dụng khóa bí mật - - 1: Alice gửi định đanh A cô ta cho Bob 2: Bob gửi lại cho Alice số lớn ngẫu nhiên RB 3: Alice mã hóa RB sử dụng khóa bí mật dùng chung với Bob gửi KAB(RB) cho Bob Bob nhận thông điệp biết Alice Trudy khơng biết KAB 4: Để biết nói chuyện với Bob, Alice gửi số ngẫu nhiên RA tới Bob 5: Bob gửi lại cho Alice KAB(RA) Khi Alice biết nói chuyện với Bob Khi muốn thiết lập khóa phiên, Alice chọn KS, mã hóa khóa KAB gửi tới Bob Giao thức gộp lại sau: Lúc khởi tạo Alice kiểm tra Bob ln thay đợi Bob kiểm tra trước Tương tự, trả lời Alice, Bob gửi ln thơng tin kiểm tra Alice Hình 3-23 : Xác thực sử dụng khóa bí mật rút gọn Tuy nhiên, Trudy cơng giao thức cách mở nhiều phiên với Bob Trudy giả mạo Alice gửi RT đến Bob Bob gửi lại RB, KAB(RT) cho Trudy Trudy mở tiếp phiên thứ hai gửi A, RB tới Bob Bob gửi RB2, KAB(RB) cho Trudy Trudy gửi KAB(RB) cho Bob Vì Bob nghĩ Trudy Alice 101 Hình 3-24 : Tấn cơng xác thực Xác thực sử dụng Trung tâm phân phối khóa (KDC) Một cách tiếp cận khác trung tâm phân phối khóa tin cậy (KDC) Trong mơ hình người dùng có khóa chia sẻ với KDC KDC chịu trách nhiệm xác thực quản lý khóa phiên Hình 3-25: Xác thực sử dụng KDC Alice chọn khóa phiên KS thơng báo cho KDC biết ta muốn nói chuyện với Bob sử dụng KS Thơng điệp mã hóa khóa bí mật chia sẻ Alice KDC, KA KDC giải mã thông điệp để lấy định danh B khóa phiên KS sau tạo thông điệp chứa định danh A, khóa phiên KS mã hóa thơng điệp khóa KB chia sẻ Bob KDC, gửi cho Bob Bob giải mã thông điệp biết Alice muốn nói chuyện với anh sử dụng khóa phiên KS Một cách tiếp cận khác để xác thực sử dụng giao thức kiểm tra nhiều đường, giao thức Needham-Schroeder Hình 3-26: Giao thức xác thực Needham-Schroeder 102 Đầu tiên, Alice thông báo cho KDC ta muốn nói chuyện với Bob Thơng điệp chứa số ngẫu nhiên lớn RA KDC gửi trả lại thông điệp thứ hai chứa số ngẫu nhiên Alice, khóa phiên, thẻ để Alice gửi cho Bob RA để đảm bảo thông điệp thứ hai không bị giả mạo Tiếp theo, Alice gửi thẻ tới Bob, với số ngẫu nhiên lớn RA2, mã hóa khóa phiên KS Trong thông điệp thứ tư, Bob gửi trả lại KS (RA2-1) để chứng tỏ Alice nói chuyện với Bob thực Sẽ không gửi trả lại KS(RA2) Trudy lấy từ thơng điệp thứ ba Khi nhận thông điệp thứ tư, Alice chắn ta nói chuyện với Bob Thông điệp thứ năm thuyết phục Bob Alice thực nói chuyện với Tuy nhiên, Trudy lấy khóa phiên cũ theo dạng rõ, ta khởi tạo phiên với Bob để giả mạo thơng điệp thứ ba tương ứng với khóa thỏa hiệp thuyết phục Bob cô ta Alice Vì vậy, điểm yếu giao thức Giao thức Otway-Rees khắc phục điểm yếu Hình 3-27: Giao thức xác thực Otway-Rees Trong giao Otway-Rees, Alice sinh cặp số ngẫu nhiên R- sử dụng định danh chung, RA- dùng để kiểm tra Bob Khi Bob nhận thông điệp này, xây dựng thông điệp từ phần mã hóa thơng điệp Alice, thông điệp tương tự Cả hai phần mã hóa KA KB, chứa định danh chung chứa thông tin kiểm tra KDC kiểm tra xem R hai phần có giống hay không Nếu đúng, KDC tin thông điệp từ Bob hợp lệ, sinh khóa phiên mã hóa hai lần, cho Alice cho Bob Mỗi thông điệp chứa số ngẫu nhiên người nhận để chứng tỏ KDC sinh thơng điệp Khi Alice Bob có khóa phiên, tiến hành truyền thơng với 103 3.4.3.5 Chữ ký số Chữ ký khóa bí mật Có quan có uy tín biết thứ người tin cậy, gọi Big Brother (BB) Mỗi người dùng chọn cho khóa mật chuyển tay tới trụ sở BB Vì vậy, Alice BB biết khóa mật KA Alice, tương tự người dùng khác Khi Alice muốn gửi thông điệp rõ có chữ ký, P, tới ơng chủ ngân hàng Bob, cô ta sinh KA(B, RA, t, P) gửi A, KA(B, RA, t, P) tới BB BB thấy Alice gửi thơng điệp đến, mã hóa gửi thông điệp tới Bob Thông điệp gửi tới Bob chứa rõ thông điệp Alice thông điệp ký KBB(A, t, P), t nhãn thời gian Khi đó, Bob thực yêu cầu Alice Hình 3-28: Chữ ký số với Big Brother Chữ ký khóa cơng khai Đối với tốn sử dụng mã hóa bí mật cho chữ ký số, người phải tin tưởng BB Hơn nữa, BB phải đọc tất thơng điệp ký Mã hóa công khai khắc phục nhược điểm Giả sử thuật tốn mã hóa giải mã khóa cơng khai có đặc tính E(D(P))=P ngồi đặc tính thơng thường D(E(P))=P (ví dụ RSA) Khi đó, Alice gửi rõ có chữ ký, P tới Bob việc gửi EB(DA(P)) Vì Alice biết khóa giải mã bí mật ta, DA, khóa cơng khai, EB Bob, Alice xây dựng thông điệp Khi Bob nhận thơng điệp này, biến đổi sử dụng khóa bí mật anh ta, thu DA(P) Bob sử dụng EA để giải mã để lấy văn gốc 104 Hình 3- 29: Chữ ký số sử dụng mã hóa cơng khai Đại diện thơng điệp (Message Digests) Một phê phán phương pháp mã hóa chúng thường có hai chức năng: xác thực giữ bí mật Thơng thường, xác thực cần thiết, giữ bí mật khơng Vì mã hóa chậm, nên ta thường muốn gửi văn gốc ký Sau mô tả lược đồ xác thực không yêu cầu mã hóa tồn thơng điệp Lược đồ dựa vào ý tưởng hàm băm chiều, lấy mẩu ngẫu nhiên văn gốc tính chuỗi bit có chiều dài cố định Hàm băm thường gọi đại diện thông điệp, có ba thuộc tính quan trọng sau: Với P cho, dễ tính MD(P) Với MD(P) cho, khơng thể tìm P Khơng thể có hai thơng điệp có đại diện thơng điệp Để thỏa mãn điều kiện thứ 3, hàm băm nên có độ dài 128 bit Việc tính đại diện thông điệp từ mẩu rõ nhanh mã hóa rõ với thuật tốn khóa cơng khai, đại diện thơng điệp sử dụng để tăng tốc độ thuật toán chữ ký số Xem lại hình vẽ 3-28, thay ký P với KBB(A, t, P), BB tính đại diện thơng điệp việc áp dụng MD cho P, ta MD(P) Sau BB gửi KBB(A, t, MD(P)) thay cho phần tử thứ năm danh sách mã hóa KB để gửi tới Bob thay cho KBB(A, t, P) Việc sử dụng đại diện thông điệp tiết kiệm thời gian mã hóa chi phí vận chuyển lưu trữ thơng điệp Đại diện thơng điệp hoạt động theo hệ mã hóa khóa cơng khai Khi đó, Alice tính đại diện thơng điệp cho rõ ta, sau ký vào đại diện thơng điệp gửi đại diện thông điệp ký rõ tới Bob 105 Hình 3-30: Chữ ký số sử dụng đại diện thơng điệp Có nhiều hàm đại diện thông điệp đưa Trong sử dụng rộng rãi MD5 (Rivest, 1992) SHA (NIST, 1993) MD5 hàm thứ chuỗi hàm băm Ron Rivest đưa Nó hoạt động việc làm lệch bit theo cách thức phức tạp mà bit đầu bị ảnh hưởng tất bit đầu vào Đầu tiên thêm vào thơng điệp để có chiều dài 448 bit (modulo 512) Sau chiều dài gốc thông điệp thêm vào số nguyên 64 bit, đầu tổng có chiều dài bội số 512 bit Khởi tạo nhớ đệm 128 bit với giá trị cố định Bắt đầu tính tốn Mỗi vịng lấy khối 512 bit đầu vào trộn với nhớ đệm 128 bit Đưa vào bảng xây dựng từ hàm sin Mỗi khối đầu vào thực bốn lần Quá trình tiếp tục tất khối đầu vào sử dụng Nội dung nhớ đệm 128 bit tạo nên đại diện thông điệp Một hàm đại diện thông điệp khác SHA (Secure Hash Algorithm) đưa NIST Giống MD5, xử lý khối liệu đầu vào theo khối 512 bit Khác với MD5 sinh đại diện thơng điệp 160-bit Nó bắt đầu việc bổ sung bit vào thơng điệp, sau thêm 64-bit để bội số 512 bit Khởi tạo nhớ đệm đầu 160-bit Với khối đầu vào, đệm đầu cập nhật sử dụng khối đầu vào 512-bit Không sử dụng bảng số ngẫu nhiên, nhiên với khối tính 80 vịng để trộn hồn tồn Mỗi nhóm 20 vòng sử dụng hàm trộn khác Mã băm SHA dài mã băm MD5 32-bit, thứ cịn lại nhau, an tồn MD5 232 lần Tuy nhiên, chậm MD5 Vì vậy, MD5 sử dụng chủ yếu Internet, SHA sử dụng chuẩn quốc gia 106 KẾT LUẬN Mạng lưu trữ SAN chiếm vị trí ngày trở nên quan trọng doanh nghiệp thời đại thương mại điện tử ngày Công nghệ mạng lưu trữ SAN mang lại cho lợi ích to lớn tăng hiệu truy cập vào/ra, tăng tính sẵn sàng cao cho hệ thống, dễ dàng việc quản lý sử dụng tài nguyên hiệu Đáp ứng yêu cầu tốc độ tăng trưởng liệu lưu trữ tính khơng dừng hệ thống giao dịch doanh nghiệp Để nắm nguyên tắc hoạt động mạng lưu trữ, luận văn vào phân tích chi tiết cơng nghệ, giao thức sử dụng chủ yếu mạng lưu trữ Trên sở nắm vững công nghệ, luận văn phân tích đưa giải pháp nhằm cải tiến hệ thống mạng lưu trữ thực tế mặt hiệu năng, tính an tồn, tính sẵn sàng cao tính bảo mật hệ thống SAN Các giải pháp cải tiến mạng lưu trữ hệ thống Ngân hàng đáp ứng nhu cầu tăng trưởng liệu hệ thống thời gian vài năm tới Tuy nhiên, theo thời gian hệ thống Ngân hàng ngày mở rộng quy mô, dung lượng lưu trữ liệu ngày lớn hơn, cần phải cân nhắc đến nhiều vấn đề xây dựng hệ thống mạng lưu trữ cho hệ thống tính tốn song song, xây dựng giải pháp cân tải, cần thiết phải có giải pháp cơng nghệ tối ưu nhằm đáp ứng yêu cầu thực tế, hướng phát triển đề tài mà tác giả mong muốn nghiên cứu sau 107 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Phan Đình Diệu (2002), Lý thuyết mật mã & An tồn thơng tin, NXB Đại học Quốc gia Hà nội [2] Nguyễn Thúc Hải (1997), Mạng máy tính hệ thống mở, tr 194-207, NXB Giáo dục [3] Vũ Duy Lợi (2002), Mạng thơng tin máy tính, tr.335-355, NXB Thế giới Tiếng Anh [4] Andrew S Tanenbaum, Computer Networks, Prentice-Hall Internatonal [5] David Norman (2001), Fibre Channel Technology for Storage Area networks [6] Greg Schulz (2004), Resilient Storage Networks, Digital Press [7] Ralph H Thornburgh & Barry J Schoenborn (2001), Storage Area Networks, Prentice-Hall PTR [8] Jon Tate, Jim Kelly (2005), IBM TotalStorage: SAN Product, Design, and Optimization Guide, IBM [9] Jon Tate, Rajani Kanth (2005), Introduction to Area Networks, IBM [10] Rowell Hemandez, Keith Carmichael (2002), IBM Storage Networking: IBM NAS and iSCSI Solutions, IBM [11]Stallings, William (2000), Data and Computer Communications, Prentice-Hall [12] Brocade White Paper, Brocade SAN Plan Guide [13] HP reference guide (5/2003), HP StorageWorks SAN Design [14] HP (2002), Configuring OPS Clusters with ServiceGuard OPS Edition [15] HP Training (2004), SAN Fundamentals [16] HP (2003), HP StorageWorks SAN design [17] Storage Networking Industry Association (2005), Introduction to Storage Security [18] SNIA IP Storage forum (2000), Internet Fibre Channel Protocol Một số trang Web: [19] Strategic and Innovative RAID Solution, www.acnc.com [20] The Fibre Channel Industry Associaction, www.fibrechannel.com [21] The Storage Network Industry Association, www.snia.org