论文部分内容阅读
大规模、高性能存储系统具有成百上千的用户和大量敏感数据,在这些系统中,数据访问往往具有高度的并发性,其安全性遇到了前所未有的挑战。现有大规模、高性能存储系统的设计在安全性方面考虑较少,这些设计多采用用户直接访问存储设备、数据路径和元数据路径相分离的方案,然而由于存储设备不再存储任何授权信息,这些信息存储在元数据服务器上,用户在访问存储设备前必须从元数据服务器上获得必要的授权信息,这种基于证书的访问控制模型存在着授权证书过多,密钥体系庞大等缺陷。为了解决该问题,我们提出了基于身份的对象存储系统访问控制模型。 基于身份的对象存储访问控制模型将访问控制列表与受控对象进行关联,用户在访问存储设备前不需要向元数据服务器请求授权证书,可以直接向存储设备发出访问请求,存储设备依靠用户身份和与对象相关联的访问控制列表达到访问控制的目的。从而,基于身份的对象存储访问控制模型提高了用户访问效率,减轻了元数据服务器的负载。 阐述了基于身份的对象存储系统访问控制框架,对系统的各部分的功能进行详细说明;实现了基于IBE公钥密码技术的用户身份认证;设计了访问控制列表的初始化、更新与存储等操作;设计和实现了一个简单的可信机构,其功能包括生成用户公私钥对、身份证书以及证书撤销等。 给出了基于身份的对象存储系统访问控制模型在元数据服务器上的实现,并与基于证书的访问控制模型的元数据服务器实现进行了对比测试。测试结果表明在获得相同安全性的同时基于身份的对象存储系统访问控制机制的效率比基于证书的访问控制机制有了较大的提高。