5.3　傳輸數據安全

5.3.1　概述

iSCSI協議與iSCSI登陸機制不能滿足網絡傳輸的安全要求，iSCSI認證機制僅提供了啟動器與目標器互相的身份鑒別，并未定義基于每個數據包的加密機制，需要對iSCSI連接使用第三方的加密程序。應使用IPSec機制對連接的IP層提供數據包的保護，這些保護必須包括數據完整性、身份鑒別、重放保護、數據加密以及密鑰管理。

5.3.2　iSCSI與IPSec交互

iSCSI會話、TCP連接與IKE階段的關系應為如下：

a) 一個iSCSI啟動器或目標端可有多個IP地址，同時多個iSCSI啟動器或目標端也可為同一個IP地址。因此，一個iSCSI會話可對應多個IKE階段1 SA。

b) iSCSI會話的所有TCP連接都應受IKE階段2 SA保護。當一個IKE階段2 SA保護多個TCP鏈路時，每個TCP連接僅能在一個IKE階段2 SA保護下傳輸。

c) 在啟動器與目標器的SCSI登陸消息中應包含iSCSI/IPsec綁定的所有信息，包括IKE階段1 SA與相應iSCSI會話的綁定，以及TCP鏈接與IKE階段2 SA的綁定。

5.3.3　創建iSCSI會話

創建iSCSI會話時應注意：

a) 在創建新的iSCSI會話時，如果當前不存在可用的IKE階段1 SA，需要由iSCSI啟動器建立IKE階段1 SA。該會話內此后所有iSCSI連接需要被由IKE階段1 SA協商生成的IKE階段2 SA進行保護。

b) 在iSCSI啟動器向目標器發送iSCSI登陸命令之前，啟動器與目標器需要成功完成IKE階段1與階段2的協商。

c) 一個iSCSI會話可以關聯多個IKE階段1 SA，一個IKE階段1 SA也可以對應多個iSCSI會話。一個iSCSI連接對應一個TCP連接。一個IKE階段2可以保護多個TCP連接。

d) 在IKE中，每一個密鑰更新需要指定一個新的SA，每隔一定時間，需要終止舊的SA并制定新的SA。

5.3.4　關閉iSCSI會話

iSCSI機制提供了iSCSI會話的正常關閉和非正常關閉。在非正常關閉中，如果一個TCP連接意外斷開，相關聯的iSCSI連接將被強制斷開。IKE階段2與階段1不必在iSCSI連接斷開后進行刪除。同樣，如果IKE收到階段2刪除消息，與階段2相關聯的TCP或iSCSI連接也不必關閉。此外，為了更好地保持iSCSI連接，需要建立一個新的IKE階段2 SA對其進行保護，避免iSCSI不斷連接/斷開。

5.3.5　iSCSI錯誤處理

iSCSI錯誤處理應支持IPSec保護機制，如果數據發生了錯誤，可以丟棄該數據包并啟動TCP重傳機制，避免在應用層對整個iSCSI PDU的重傳。