基于可信计算的带外网络存储虚拟化模型的实现

摘 要：近些年来，我国的计算机技术发展的速度可谓是突飞猛进，不但生产出很多先进的计算机信息技术，同时还将这些信息技术应用到社会的各个领域之中，发挥出巨大的作用。带外网络存储虚拟化模型是计算机技术中的重要组成部分，是降低企业存储成本的重要技术。这种技术具有更好的性能和优点，是企业中更趋向运用的计算机信息技术。但是，这种带外虚拟化存储系统在安全性能方面是比较脆弱的，很容易受到外部攻击。这就促使人们寻求一种可信的带外存储模式，以提高模式的安全性能。基于此，本文将对可信计算的带外网络存储虚拟化模型的实现进行简要的探讨。

关键词：计算机系统；网络存储虚拟化模型；可信；实现

中图分类号：TP391.9

1 网络存储虚拟化模型的概述

所谓的网络存储虚拟化模型，是指改变物理存储实体与存储逻辑之间相互关系的一种模式[1]。不仅能够将二者进行分离，同时还能够将不同存储设备进行有效的结合，以抽象层的形式将其放置在物理存储设备和访问设备之间的客户端中，这能够有效的降低存储的难度，将计算机的存储功能简化，同时还能够将各种不同存储设备的优势集中到一个整体之中，使抽象存储层具有更多的功能。

2 网络存储虚拟化模型的构成

2.1 计算机主机的存储虚拟化

计算机主机的存储虚拟化，是指在主机上安装能够实现虚拟化模式的特定软件，使主机能够具备提供与存储网络和存储资源之间相互分离的存储空间，并且这一存储空间是基于一个服务器范围之内的独立的组成部分。主机的存储虚拟化能够同一个单一的服务器来对多个磁盘进行浏览，并且需要逻辑卷管理软件来对主机虚拟化模型进行管理[2]。

2.2 计算机存储设备的存储虚拟化

由于主机的虚拟化是建立在同一服务器对不同磁盘的浏览基础之上的，就促使计算机的存储设备应该实现多个不同的服务器对同一个磁盘的浏览。计算机存储设备的存储虚拟化是建立在列阵控制器的基础之上的，能够将一个磁盘的阵列容量划分为多个独立的存储空间，并且实现列阵的缓存、整合、数据恢复等功能[3]。

2.3 计算机网络的存储虚拟化

计算机主机虚拟化和计算机存储设备的虚拟化都是通过“一对一”模式来进行存储的，应用的范围较小，这就提出了一种范围更加广泛的“多对多”存储方式，即将存储模式建立在多个服务器对多个磁盘空间的浏览基础之上。基于此，就产生了服务器和存储设备之间的虚拟化模式，即计算机网络的存储虚拟化。而计算机网络的存储虚拟化又可以分为带内虚拟化和带外虚拟化两种模式。带内虚拟模式是在服务器和存储设备二者之间的通道上建立起虚拟化的存储模式，这种模式存在一定的缺陷和不足，难以实现存储的最优化。这也是人们将存储的眼光放置在带外虚拟存储模式上的主要原因，并且在实现带外虚拟存储的同时还要求实现这一模型的可信性[4]。

3 可信理论概述

所谓的可信理论，是指在保证硬件结构和操作系统二者的安全性前提之下，实现整个计算机信息系统的安全性，进而保证存储虚拟模型的安全性的一种理论技术。简单来说，可信技术就是指按照某种预期的目标和方式来完成的设备行为[5]。将可信技术综合而形成的平台被称之为可信平台。可信平台是实现信息和信息接收的主要途径，是由软件平台和硬件平台综合在一起，并且建立在可信模块TPM之上的，融合了安全系统和密码技术，被作为整个计算机信息存储系统的核心结构。

4 基于可信计算的带外网络存储虚拟化模型的实现

4.1 环境自识别模块

如图1所示，为环境自识别模块（ESR）结构图，从图中我们能够看出，环境自识别模块包括策略的定义和执行模块，以及扫描模块三部分。首先，扫描模块是用来为服务器中的通讯软件提供配合的，主要功能是将安全信息收集之后再将其传输给策略定义模块。其次，策略定义模块是指对扫描模块中传输过来的安全信息进行风险性定义的一个模块，其功能的实现主要是通过在策略定义模块中设置一个对风险进行评定的措施表，能够对安全信息的风险系数进行分析，并且做出应对风险的措施。第三，策略执行模块，简单说来就是指一种将扫描模块和策略定义模块中给出的任务进行执行的一种模块，并且通过对通路的控制将执行任务发送给存储设备和多个服务器[5]。

4.2 环境自识别模块的设计

首先是准备阶段的设计，要将信息作为风险评估的目标来进行评价，并且是在一定的风险范围之内来进行评估，并且根据信息的不同来确定进行评估的方法，将可信性作为风险评价的标准和依据。随后进入到威胁识别的阶段，这是进行风险评估的重要阶段，整个服务器的安全与否，在很大程度上取决于这一阶段对威胁的识别。威胁识别能够对已经存在的和可能出现的威胁进行评价和分析，确定危险的系数，不仅能够找到危险的来源、确定危险的属性，同时还能够对威胁出现的频率进行复制。最后是风险计算的环节，通过环境自识别模块中的风险解决措施表中的应对措施对风险值进行计算，将风险的等级进行详细的划分[6]。

4.3 对虚拟化控制器启动的设计

达到存储虚拟化网络的可信性的目的，建立可信根是基本，因为可信根是作为整个存储虚拟化模型的可信性的基础的，通常选取TPM来作为可信根，并且在开机时就能够实现对可信根的建立，这就凸显出开机启动在建立可信存储虚拟化模型中的重要性。在启动时，程序首先要进行上电的自检，之后再执行程序，完成这一系列工作之后，就能够建立起服务器和存储系统之间的通讯通道，这时，基于可信计算的带外网络存储虚拟化模型已初步实现。接下来的可信工作，主要是通过TPM芯片来完成。

5 总结

通过上文的阐述，我们能够总结出，计算机存储的虚拟化技术中将以实现带外网络存储虚拟化模型的可信性为主要的发展趋势，这不仅是因为带外网络存储虚拟化模型具有更好的系统性能，同时也是得益于其良好的扩展性能。实现带外网络存储虚拟化模型的可信性，将会给带外网络存储虚拟化模型带来更加广阔的发展空间和发展前景，给计算机用户带来更完善的服务。

参考文献：

[1]赵迪，孙海龙，郑礼全.基于网络存储虚拟化技术的海量GIS数据存储方法研究[J].国土资源信息化，2008，11（23）：308-31.

[2]孟晓，那文武，朱旭东.一种采用外带虚拟化技术的网络存储系统[J].小型微型计算机系统，2009，11（15）：45-56.

[3]那文武，孟晓，柯剑.BW-VSDS：大容量、可扩展、高性能和高可靠性的网络虚拟存储系统[C].第十五届全国信息存储技术学会会议论文集，2008.

[4]刘朝斌.虚拟网络存储系统关键技术研究极其心能评价[J].华中科技大学，2011，11（15）：69-78.

[5]林伟兵.智能网络存储系统（INSS）存储虚拟化技术研究[J].华南理工大学，2011，5（01）：88-96.

[6]彭维平.基于可信平台的数据泄漏防护关键技术研究[J].北京邮电大学，2012，11（09）：103-110.

作者简介：段宁（1980.5-），男，北京人，运行工程师，研究生MBA，研究方向：战略管理。

作者单位：北京首都国际机场股份有限公司信息技术部，北京 100621