GB/T 33131-2016 信息安全技术 基于IPSec的IP存储网络安全技术要求

ICS35040

L80.

中华人民共和国国家标准

GB/T33131—2016

信息安全技术基于IPSec的IP存储

网络安全技术要求

Informationsecuritytechnology—SpecificationforIPstoragenetwork

securitybasedonIPSec

2016-10-13发布2017-05-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T33131—2016

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

基于的存储网络安全

5IPSecIP…………3

总体要求

5.1……………3

应用要求

5.2IPSec/IKE………………3

应用要求

5.2.1IPSec…………………3

应用要求

5.2.2IKE…………………3

安全策略配置

5.2.3IKE……………4

安全检查

5.2.4IPSec…………………4

及应用层鉴别

5.2.5IKE……………4

基于的安全

6IPSeciSCSI………………5

实施保护

6.1iSCSIIPSec………………5

与的关系

6.2IKEiSCSI………………5

运用保护会话创建

6.3IPSeciSCSI…………………5

运用保护会话关闭

6.4IPSeciSCSI…………………5

运用进行错误处理

6.5IPSeciSCSI…………………6

基于的安全

7IPSecFCIP………………6

实施保护

7.1FCIPIPSec………………6

运用保护安全

7.2IPSecFCIP…………6

基于的安全

8IPSeciFCP………………6

实施保护

8.1iFCPIPSec………………6

运用保护安全

8.2IPSeciFCP…………7

基于的安全

9IPSeciSNS………………7

实施保护

9.1iSNSIPSec………………7

运用保护安全

9.2IPSeciSNS…………7

附录资料性附录存储网络

A()IP………………………9

GB/T33131—2016

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位北京邮电大学工业和信息化部电信研究院华为技术有限公司北京天地方元科

:、、、

技有限公司

。

本标准起草人刘建毅王枞张茹姚文斌肖达伍淳华杨义先雷鸣涛

:、、、、、、、。

Ⅰ

GB/T33131—2016

信息安全技术基于IPSec的IP存储

网络安全技术要求

1范围

本标准规定了利用保护存储网络安全的技术要求主要涉及了等协议

IPSecIP,iSCSI、iFCP、FCIP

和因特网存储名称服务

(iSNS)。

本标准适用于存储网络安全设备的研制生产和测试

IP、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

随机性检测规范

GM/T0005

算法使用规范

GM/T0009SM2

网关技术规范

GM/T0022IPSecVPN

基于的安全块存储协议

IETFRFC3723IP(SecuringblockstorageprotocolsoverIP)

3术语和定义

下列术语和定义适用于本文件

。

31

.

存储区域网络storageareanetwork

一种用在服务器和存储设备之间的专用的高性能的网络体系

、、。

32

.

IP存储网络storageareanetworkoverIP

一种在以太网上架构的存储区域网络

IP。

33

.

小型计算机系统接口smallcomputersysteminterface

一种用于计算机和外部设备之间的通用接口标准采用客户服务器架构

,-。

34

.

因特网小型计算机系统接口internetsmallcomputersystemsinterface

一种在上传输数据块的标准用来建立和管理存储设备主机和客户机等之间的相互

TCP/IP,IP、

连接并创建存储区域网络

,。

35

.

因特网安全协议internetprotocolsecruity

保护协议安全通信的标准提供了鉴别和加密两种安全机制鉴别机制使通信的数据接收方

IP,:IP

能够确认数据发送方的真实身份以及数据是否遭到篡改加密机制保证数据的保密性防止数据在传输

;,

过程中遭到截获而失密

。

1

GB/T33131—2016

36

.

光纤信道协议fibrechannelprotocol

一种在光纤信道上的接口协议用于计算机服务器与存储设备间互连与高速数据传输

SCSI,。

37

.

基于IP的光纤信道协议fiberchanneloverIP

一种在上用管道技术实现光纤信道协议的机制能够通过网络将各个孤立的光纤信道

TCP/IP,IP

存储区域网络连接起来从而形成一个统一的存储区域网络

,。

38

.

因特网光纤信道协议internetfibrechannelprotocol

一种网关到网关的协议为网络上的光纤设备提供光纤信道通信服务可以实现端到端的

,TCP/IP,

连接

IP。

39

.

启动器initiator

存储网络中的服务器或工作站发起对目标存储设备的事务

IP,。

310

.

目标器target

存储网络中的目标存储设备

IP。

311

.

因特网存储名称服务internetstoragenameservice

一种在网络中智能搜索存储设备的协议和机制有助于在网络上自动发现管理和配

IP,TCP/IP、

置设备和光纤通道设备

iSCSI。

4缩略语

下列缩略语适用于本文件

。

命令描述块

CDB:(CommandDescriptorBlock)

封装安全载荷

ESP:(EncapsulatingSecurityPayload)

光纤信道

FC:(FibreChannel)

基于的光纤信道协议

FCIP:IP(FiberChanneloverIP)

光纤信道协议

FCP: