iSCSI Security

ok ， anyway ，接下來談的是 security ，安全性。那個大家都知道這個 TCP/IP 上面一定會有安全性的問題，事實上呢， Fibre channel 他們的想法就是說，如果說用 Fibre channel 的話，因為這是一個 dedicate network 而且是 Fibre 很少人去剪 Fibre 而不會被發現的，所以安全性沒有問題。事實上以兩個用同樣的方式來做比較的話， dedicate network 來做 storage 的話，別人也不會進來的話，那事實上 security 沒有問題。只是說我們現在更寬宏大量心胸更寬大一點，如果說我們透過 wide area network 來傳送 storage 的話，那們 wide area network 大家都有機會去看你的 storage 和上面的 traffic ，那怎麼辦呢 ? 在上面我們需要做一些事情。事實上在 Fibre channel 而言呢，以前的 Fibre channel 是一個 layer 2 的 protocol ，沒有安全性的考量，唯一的安全是什麼 ? 因為你剪線，光纖就斷了，在接起來很難，所以沒有安全的問題，但是 iSCSI 呢 ? 怎麼辦呢 ? 因為他是 layer 4 以上的 protocol ， IP 你相信是怎麼樣的 protocol ，所以沒有辦法管，所以他需要一個 security 的機制。那這邊呢，他建立了幾種不同的 authentication 的方式，他用 CHAP ,SRP , Kerberos , and SPKM ， challenge and response 還有一些 internet 上面的標準呢， authentication 的方式，我想大家在修分散式系統的時候，應該都有都是在這上面都已經有過，連老師一定可以給大家很好的解釋，我是從他那邊學的。好，另外呢，這是 authentication ，事實上要請你把它分為兩部份，一個是身份的認證，一個是資料的加入。身份認證它定義了四種不同的標準，那另外呢下面的部份你可以使用 IPsec ， IPsec 的 hardware 事實上到處都有，所以事實上這些 solution 目前都有。蠻有趣的一個問題事實上我一個學生也在做的就是因為它定義了太多 authentication 的方式，它的 interoperability 也會出現一些問題，那這個事實上是值得去探討的。