面向?qū)ο蟠鎯ο到y(tǒng)安全技術(shù)研究.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，存儲系統(tǒng)需要通過網(wǎng)絡(luò)來實現(xiàn)高度的并發(fā)性。網(wǎng)絡(luò)的安全隱患也必然對存儲系統(tǒng)的構(gòu)成新的威脅，這就需要不斷的開發(fā)一些新的技術(shù)來實現(xiàn)存儲安全的巨大需求?；诳尚牌脚_的密鑰存儲、基于全同態(tài)加密的第三方隱私保護等技術(shù)為存儲系統(tǒng)提供了有力的安全保障。安全與效率是一對矛盾，如何在保障存儲系統(tǒng)安全的同時提高效率也是必須考慮的問題?；谏矸莸拇鎯Π踩軜?gòu)、對象粒度的加密策略在很大程度上解決了安全模塊系統(tǒng)資源開銷過大的問題。本研究主要內(nèi)容如

2、下：
　　 ⑴針對傳統(tǒng)的基于證書的安全模型存在授權(quán)證書過多、密鑰體系龐大而導致元數(shù)據(jù)服務(wù)器負載過重等缺陷，提出了基于身份的面向?qū)ο蟠鎯ο到y(tǒng)安全模型。該模型將用戶身份信息與受控對象進行關(guān)聯(lián)，用戶在訪問存儲設(shè)備前不需要向元數(shù)據(jù)服務(wù)器請求授權(quán)證書，可以直接向存儲設(shè)備發(fā)出訪問請求。存儲設(shè)備依靠用戶身份和與對象相關(guān)聯(lián)的信息就能達到保證存儲系統(tǒng)安全的目的。通過在對象存儲系統(tǒng)上實現(xiàn)基于身份的安全原型并采用多種工具測試其性能，實驗表明基于身份的

3、面向?qū)ο蟠鎯ο到y(tǒng)安全機制的效率比基于證書的機制有了較大的提高，在保障存儲系統(tǒng)的安全性前提下減輕了元數(shù)據(jù)服務(wù)器的負擔。
　　 ⑵面向?qū)ο蟠鎯ο到y(tǒng)會有成百上千的存儲設(shè)備存放著大量的數(shù)據(jù)，有相當部分敏感數(shù)據(jù)需要加密存儲?，F(xiàn)有的存儲系統(tǒng)安全方案均可對文件進行加密來確保安全，但相當多類型的文件并不是文件內(nèi)的所有區(qū)域都是敏感的。如果對整個文件進行加密將會由于大量的對非敏感區(qū)域的加密操作而極大地影響存儲系統(tǒng)的性能。提出了一種細粒度的面向?qū)ο蠹?/p>

4、密存儲方案，可以由用戶指定對文件的多個任意大小的對象進行加密保護，從而避免了對文件中非敏感數(shù)據(jù)進行加解密操作。這樣不僅明顯提高存儲系統(tǒng)的整體性能，同時降低了存儲安全對網(wǎng)絡(luò)帶寬的要求，大量低端的用戶也可以使用加密技術(shù)來保護數(shù)據(jù)的安全。
　　 ⑶面向?qū)ο蟠鎯ο到y(tǒng)是一種基于網(wǎng)絡(luò)的分布式存儲系統(tǒng)，其存儲設(shè)備直接連接在網(wǎng)絡(luò)上。現(xiàn)有的加密方案能夠通過加密的方式對存儲系統(tǒng)的數(shù)據(jù)進行保護，但是加密密鑰僅僅通過弱口令來進行安全保護。這對存儲系統(tǒng)來

5、說是一個安全隱患，因此密鑰的保護是迫切需要解決的問題。提出了一個基于可信計算平臺的面向?qū)ο蟠鎯ο到y(tǒng)，用硬件和軟件結(jié)合的保密機制對文件系統(tǒng)中的加密密鑰進行保護，分析表明可以極大增強面向?qū)ο蟠鎯ο到y(tǒng)安全性。通過在面向?qū)ο蟠鎯ο到y(tǒng)上實現(xiàn)此方案并進行測試，結(jié)果表明采用基于可信計算平臺的面向?qū)ο蟠鎯ο到y(tǒng)密鑰保護機制對加密存儲系統(tǒng)的性能影響較小。
　　 ⑷面向?qū)ο蟠鎯ο到y(tǒng)作為云存儲的架構(gòu)之一，由于其作為互聯(lián)網(wǎng)應(yīng)用的特殊性對數(shù)據(jù)的安全性有著更