基于身份的存储访问安全软件设计与实现-计算机系统结构专业论文.docxVIP

华 华 中 科 技 大 学 硕 士 学 位 论 文 I I 摘 要 现代大规模、高性能存储系统具有成千上万的用户和大量敏感数据，而且系统 对安全性方面的设计考虑较少，其安全性也遇到了前所未有的挑战。传统的基于证 书的访问控制模型存在着授权证书过多，密钥体系庞大等缺陷。为了解决该问题， 提出了基于身份的存储系统安全访问控制模型。 基于身份的存储安全访问控制，实现了身份认证和访问控制两阶段的安全控制。 访问数据前，用户首先向可信中心申请身份证书，在请求元数据和访问存储设备时， 用户和服务器端通过 IBE 身份认证算法进行相互身份认证，然后再根据元数据服务 器或设备端存储的访问控制列表进行访问控制。在用户证书有效期内，用户在访问 存储设备前不再需要请求授权证书，可以直接向存储设备发出访问请求，存储设备 和元数据服务器可通过身份证书来认证用户，并通过与对象相关联的访问控制列表 达到访问控制的目的。从而，基于身份的对象存储访问控制模型提高了用户访问效 率，减轻了元数据服务器的负载。 本文阐述了基于身份的存储系统安全访问控制框架，对系统的各部分的功能进 行了详细说明；实现了基于 IBE 公钥密码技术的用户身份认证，保证了用户身份认 证的高效安全；基于 T10 OSD-2 标准，设计了访问控制列表的结构，实现了对访问 控制列表的各种操作与存储等；设计和实现了一个简单的可信机构，其功能包括生 成用户私钥、身份证书以及证书撤销等。测试结果表明，在保证系统安全的前提下， 基于身份的访问控制软件对系统性能影响不大。 关键词： 对象存储系统，存储安全，身份认证，访问控制列表 II II Abstract As the large scale and high performance storage system may service millions of clients and hold a large number of Sensitive data. How to secure such a storage system is a difficult problem. The existing large scale and high performance storage systems have considerate a little security. Most of them use the program of user direct access device and separate the data way and metadata way. When the system is large enough, this imposes an unacceptable overhead on MDS. Considering the security-specific metadata is updated frequently, the situation is worse. The identity based storage security access control model implement the identity certifity and the access control. Before get the data, the user gets his identity certificate from the trust center firstly. When the user get metadata from metadata server and get data from storage device, the user and server can all get certificated with IBE. Then the server gives the authorization base on the access control list. When the identity certificate is in its validity time, the user need not get its certificate, it can send request to storage device directly. The storage device user the user identity and the access control list to authorize the user. So the identity based access control model modify the efficiency, release the metadata s