随着信息的存储不断朝着网络化的方向发展,数据存储的安全性成为关注的重点。对数据进行安全性保护的第一道关卡,就是建立良好的身份认证机制。目前应用广泛的存储系统中,对象存储系统(OBS)以对象为基本结构组织数据,克服了附网存储(NAS)的扩展性缺陷和存储区域网络(SAN)的共享限制,优化了数据的跨平台共享与高性能访问。在对象存储系统上建立的身份认证机制,采用第三方可信机构(TA)完成用户信息的注册、管理和身份证书的颁发、更新与撤销。在TA端设置用户名、口令校验,完成用户证书的颁发,并采用基于身份的签名认证完成证书的完整性验证。认证过程采用两阶段的双向认证机制,元数据服务器(MDS)执行第一阶段认证发放元数据,对象存储设备(OSD)执行第二阶段认证建立数据连接。元数据服务器端身份认证的效率,成为影响整个存储系统性能的关键因素之一。在两阶段双向认证的基础上,提出了一种改进模型,即按照用户操作类型和元数据需求的不同,MDS可以有选择地进行认证。将MDS端的元数据划分为定位元数据和私密元数据,前者直接可获取,后者需要身份认证通过才能获取。为阻止非法用户通过定位元数据访问设备,在第二阶段,对象存储设备负责进行双向的身份认证。改进设计的目的在于减少MDS开销的同时保证其安全性。针对两阶段身份认证技术和MDS改进认证技术进行综合测试。结果显示,采用口令认证和两阶段身份认证相结合的认证机制所带来的开销和吞吐率影响较小。采用MDS端的改进认证机制,可以进一步减少MDS端的安全开销,以较小的性能损耗提高了身份认证的效率。