ICS35.040 L80 中华人民共和国国家标准 GB/T33131—2016 信息安全技术 基于IPSec的IP存储 网络安全技术要求 Informationsecuritytechnology—SpecificationforIPstoragenetwork securitybasedonIPSec 2016-10-13发布 2017-05-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅰ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 2 …………………………………………………………………………………………………… 5 基于IPSec的IP存储网络安全 3 ………………………………………………………………………… 5.1 总体要求 3 …………………………………………………………………………………………… 5.2 IPSec/IKE应用要求 3 ……………………………………………………………………………… 5.2.1 IPSec应用要求 3 ………………………………………………………………………………… 5.2.2 IKE应用要求 3 ………………………………………………………………………………… 5.2.3 IKE安全策略配置 4 …………………………………………………………………………… 5.2.4 IPSec安全检查 4 ………………………………………………………………………………… 5.2.5 IKE及应用层鉴别 4 …………………………………………………………………………… 6 基于IPSec的iSCSI安全 5 ……………………………………………………………………………… 6.1 iSCSI实施IPSec保护 5 ……………………………………………………………………………… 6.2 IKE与iSCSI的关系 5 ……………………………………………………………………………… 6.3 运用IPSec保护iSCSI会话创建 5 ………………………………………………………………… 6.4 运用IPSec保护iSCSI会话关闭 5 ………………………………………………………………… 6.5 运用IPSec进行iSCSI错误处理 6 ………………………………………………………………… 7 基于IPSec的FCIP安全 6 ……………………………………………………………………………… 7.1 FCIP实施IPSec保护 6 ……………………………………………………………………………… 7.2 运用IPSec保护FCIP安全 6 ………………………………………………………………………… 8 基于IPSec的iFCP安全 6 ……………………………………………………………………………… 8.1 iFCP实施IPSec保护 6 ……………………………………………………………………………… 8.2 运用IPSec保护iFCP安全 7 ………………………………………………………………………… 9 基于IPSec的iSNS安全 7 ……………………………………………………………………………… 9.1 iSNS实施IPSec保护 7 ……………………………………………………………………………… 9.2 运用IPSec保护iSNS安全 7 ………………………………………………………………………… 附录A(资料性附录) IP存储网络 9 ………………………………………………………………………GB/T33131—2016 前 言 本标准按照GB/T1.1—2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:北京邮电大学、工业和信息化部电信研究院、华为技术有限公司、北京天地方元科 技有限公司。 本标准起草人:刘建毅、王枞、张茹、姚文斌、肖达、伍淳华、杨义先、雷鸣涛。 ⅠGB/T33131—2016 信息安全技术 基于IPSec的IP存储 网络安全技术要求 1 范围 本标准规定了利用IPSec保护IP存储网络安全的技术要求,主要涉及了iSCSI、iFCP、FCIP等协议 和因特网存储名称服务(iSNS)。 本标准适用于IP存储网络安全设备的研制、生产和测试。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GM/T0005 随机性检测规范 GM/T0009 SM2算法使用规范 GM/T0022 IPSecVPN网关技术规范 IETFRFC3723 基于IP的安全块存储协议(SecuringblockstorageprotocolsoverIP) 3 术语和定义 下列术语和定义适用于本文件。 3.1 存储区域网络 storageareanetwork 一种用在服务器和存储设备之间的、专用的、高性能的网络体系。 3.2 IP存储网络 storageareanetworkoverIP 一种在IP以太网上架构的存储区域网络。 3.3 小型计算机系统接口 smallcomputersysteminterface 一种用于计算机和外部设备之间的通用接口标准,采用客户-服务器架构。 3.4 因特网小型计算机系统接口 internetsmallcomputersystemsinterface 一种在TCP/IP上传输数据块的标准,用来建立和管理IP存储设备、主机和客户机等之间的相互 连接,并创建存储区域网络。 3.5 因特网安全协议 internetprotocolsecruity 保护IP协议安全通信的标准,提供了鉴别和加密两种安全机制:鉴别机制使IP通信的数据接收方 能够确认数据发送方的真实身份以及数据是否遭到篡改;加密机制保证数据的保密性,防止数据在传输 过程中遭到截获而失密。 1GB/T33131—2016 3.6 光纤信道协议 fibrechannelprotocol 一种在光纤信道上的SCSI接口协议,用于计算机服务器与存储设备间互连与高速数据传输。 3.7 基于IP的光纤信道协议 fiberchanneloverIP 一种在TCP/IP上用管道技术实现光纤信道协议的机制,能够通过IP网络将各个孤立的光纤信道 存储区域网络连接起来,从而形成一个统一的存储区域网络。 3.8 因特网光纤信道协议 internetfibrechannelprotocol 一种网关到网关的协议,为TCP/IP网络上的光纤设备提供光纤信道通信服务,可以实现端到端的 IP连接。 3.9 启动器 initiator IP存储网络中的服务器或工作站,发起对目标存储设备的事务。 3.10 目标器 target IP存储网络中的目标存储设备。 3.11 因特网存储名称服务 internetstoragenameservice 一种在IP网络中智能搜索存储设备的协议和机制,有助于在TCP/IP网络上自动发现、管理和配 置iSCSI设备和光纤通道设备。 4 缩略语 下列缩略语适用于本文件。 CDB:命令描述块(CommandDescriptorBlock) ESP:封装安全载荷(EncapsulatingSecurityPayload) FC:光纤信道(FibreChannel) FCIP:基于IP的光纤信道协议(FiberChanneloverIP) FCP:光纤信道协议(FibreChannelProtocol) iFCP:因特网光纤信道协议(InternetFibreChannelProtocol) IKE:因特网密钥交换(InternetKeyExchange) IPSec:因特网安全协议(InternetProtocolSecruity) iSCSI:因特网小型计算机系统接口(InternetSmallComputerSystemsInterface) iSNS:因特网存储名称服务(InternetStorageNameService) NAPT:网络端口地址转换(NetworkAdressPortTranslation) NAT:网络地址转换(NetworkAdressTranslation) PDU:协议数据单元(ProtocolDataUnits) SA:安全关联(SecurityAssociation) SAN:存储区域网络(StorageAreaNetwork) SCSI:小型计算机系统接口(SmallComputerSystemInterface) VPN:虚拟专用网络(VirtualPrivateNetwork) 2GB/T33131—2016 5 基于IPSec的IP存储网络安全 5.1 总体要求 利用IPSec与IKE保障IP存储网络(包括iSCSI、iFCP、FCIP、iSNS,参见A.1)安全,总体安全要求 应符合IETFRFC3723,包括: a) iSCSI、iFCP、FCIP设备应支