4.3　安全需求

IP存儲網絡僅提供了通信雙方的身份鑒別機制，為了確保IP存儲網絡中數據傳輸的安全性，應利用IPSec與IKE為IP存儲協議（包括iSCSI、iFCP、FCIP、iSNS）的每個數據包提供安全數據來源身份鑒別、數據保密、數據完整性的保護機制。安全需求主要包括：

a) 需要為iSCSI、iFCP、FCIP設備提供通信端的雙向認證，阻止未授權的訪問。

b) iSCSI、iFCP、FCIP設備需要支持IPSec ESP，進行數據源認證和完整性認證，防止數據在傳輸過程的修改、插入、刪除操作。

c) iSCSI、iFCP、FCIP設備需要提供數據包加密，并在密鑰更新過程中提供完美前向加密，防止數據的竊取和泄漏。

d) iSCSI、iFCP、FCIP設備需要提供抗重放保護機制，對不同安全需求的IPSec SA進行分離。

e) iSCSI、iFCP、FCIP設備需要兼容現有的安全機制，如防火墻、NAT、NAPT、VPN等服務。

f) iSCSI、iFCP、FCIP設備需要支持IKE端認證、密鑰管理、SA協商。

g) 用戶可以配置安全策略，如登陸認證、數據源認證、加密、完整性認證、抗重放保護機制以及IPSec協商。

需要提供iSNS的安全，應使用IPSec提供iSNS消息的認證、機密性和數據完整性保護。