计算机和网络技术的飞速发展极大地推动了分布式存储技术的进步,从早期以远程文件访问为目的客户机/服务器模式到今天提供数据存储和业务访问功能的云服务模式,分布式存储系统在体系结构、系统规模、性能以及可靠性等方面经历了较大变化,同时也面临着更大的挑战,日益增加的用户数量,更加广阔的数据分布空间,爆炸性增长的数据存储量以及越来越高的数据可靠性要求等,未来的分布式存储系统需满足大容量、高性能、可扩展、高可用、易管理、高安全和低能耗的需求。由于在满足大容量存储空间、跨平台数据共享以及高性能I/O等方面具有明显的优势,并行文件系统在各种存储架构的分布式系统中得到了广泛应用,当前,并行文件系统已成为超级计算机提高I/O带宽最常用的方法之一,并将成为未来高性能计算、海量信息存储的理想选择。而大规模高性能的并行文件系统需要可扩展和高性能的访问控制方法和加密存储方案。网络环境下的并行文件系统面对来自不同组织的大量用户,并为这些用户提供并发和突发的服务,因此,并行文件系统的认证机制必须能够为成千上万的用户提供可扩展的简单高效的认证方式。身份认证与文件服务相分离的两阶段分布式认证机制将认证过程分为身份认证和I/O认证两个阶段,系统使用若干个专用认证服务器并行地认证用户,经过认证的用户从认证服务器获取一个简单的身份证书,存储节点依据用户身份证书确认用户身份。两阶段分布式认证机制支持现有网络认证机制并实现了用户身份认证的可扩展性,存储节点认证I/O请求只需进行两次低开销的散列计算,实现了I/O认证的简单高效,从而,合理地解决了网络环境下并行文件系统在不同阶段对认证的不同需求。当前的并行文件系统采用集中式的访问控制,即基于权能证书的访问控制,客户在访问存储设备前必须向元数据服务器请求一个权能证书,存储设备依据客户提交的权能证书确认用户的权限,在拥有大量用户的并行文件系统中,请求证书操作易造成元数据服务器的性能瓶颈。具有中心决策支持的非集中式访问控制机制在一个中心决策服务器上存储全局访问控制列表,而将决策服务器的决策结果以预授权列表的形式预存储在存储设备上。从而,非集中式访问控制允许用户对全局访问控制列表设置任意访问控制策略甚至改变全局访问控制列表的设计而不需要升级或改变存储设备上的安全实现。通过本地存储的预授权列表,非集中式访问控制允许存储设备直接对I/O请求授权,而不是要求客户在进行关键的I/O时向集中的授权服务请求授权证书。传统共享加密文件系统使用在线或离线的方式将共享密钥分发给共享用户,并使用密码技术对存储和传送中的共享密钥加以保护,由于共享密钥被暴露给多个共享用户,该方案存在着共享开销高、密钥回收困难的缺点。加密文件的高效共享方法使用专用密钥服务器生成和存储文件密钥,使用多台加密机并行加解密文件,用户可以使用密钥服务器和加密机提供的加解密服务而不需要知道文件密钥,从而,避免了回收共享密钥造成的数据重加密和共享密钥的重发布。共享和撤销用户只需在组服务器上加以指定,避免了共享密钥的分发,实现了密钥的高效共享。作为最有希望的大规模和高性能存储或下一代存储的解决方案,对象存储技术在过去的几年得到了广泛关注和研究,而对象存储的标准化为对象存储技术的推广和应用起到了不可替代的推动作用。当前T10 OSD标准支持基于权能证书的集中式访问控制,而T10 OSD标准的安全扩展以最小的改动使当前标准支持非集中式的访问控制,即只需要增加一个扩展的身份证书、一个安全属性页和一个集合对象。采用扩展后的标准实现的非集中式的安全系统支持当前标准定义的NOSEC、CAPKEY、CMDRSP和ALLDATA四种安全方法的全部功能。在原型系统上的实验结果表明相对集中式访问控制,非集中式访问控制具有更高的性能和可扩展性。