对象存储系统中数据私密性保护与共享-计算机系统结构专业论文.docxVIP

独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他个人或 集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在 文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名： 日期： 年 月 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借 阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进 行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 本论文属于 保密□ ，在 年解密后适用本授权书。 不保密□。 （请在以上方框内打“√”） 学位论文作者签名： 指导教师签名： 日期： 年 月 日 日期： 年 月 华 华 中 科 技 大 学 硕 士 学 位 论 文 I I 摘 要 随着数据价值不断提升，分布式存储系统中的数据加密存储变得更为重要。为 降低对存储系统的信任，以满足对用户隐私保护的需求，端对端的加密存储应运而 生。对象存储设备因其智能管理数据的特征，被海量信息存储领域普遍应用。对象 存储系统的安全方面，大部分研究是针对认证和授权，但如何保证数据在传输和存 储中的安全，以及如何将数据安全共享给用户仍是亟待解决的问题。 在基于身份的安全对象存储系统中，文件被加密后以密文形式存储及传输，实 现了端对端的数据机密性保护。基于身份的加密方式 IBE，使用身份信息作为公钥， 降低了 PKI 公钥管理的复杂度。IBE 方式加密保护数据密钥 SK，只有相应的私钥可 解密得到数据密钥并能够正确访问文件内容。同时，结合基于角色的访问控制机制， 有效管理共享密钥 FK。引入角色证书，同一角色具有相同的访问权限及共享密钥， FK 与访问权限控制项一起被视为数据的安全属性，减少安全元数据列表的冗余信 息，实现了共享密钥的高效查找及更新。HMAC-SHA1 消息认证协议使用数据密钥 SK 作为随机密钥，提供数据完整性保护。引入缓存机制，有效缓存高频率被访问的 内容，节省了获取元数据的时间及避免重复加解密操作，提高了系统性能。 测试表明，系统提供了有效的密钥保护与共享机制，且安全开销控制在合理的 范围内，完整性保护开销不超过 15%，加密开销控制在 25%以内。 关键词：数据私密性，数据共享，存储安全，密钥管理 II II Abstract As the data value promotes ceaselessly in distributed storage system, it’s becoming more important that data should be encrypted firmly to store. While protecting the privacy of the users requires the minimum trust foundation of the storage system, the storage system demands for security of providing end-to-end data encryption. Object-based storage devices are so famous for the intelligent management of data characteristics that they are widely applied to massive information storage field. Most of reaches are focus on authentication and authorization. But how to ensure the security of the transmission and storage of data and how to share data in safety with special users are also urgent problems. In identity-based security for object storage system, the files are encrypted by a symmetric data key SK and the ciphertext is transmited and stored in the storage devices, which provides data security with end-t