论文部分内容阅读
近年来,计算机技术的发展趋势呈现明显的网络化、集群化方向。传统的由主机管理控制存储的系统无法应对网络集群系统大规模的数据访问和存储需求,成为网络集群系统的I/O瓶颈。跟随网络化的集群计算发展方向,存储架构也逐渐向网络化存储方向发展。网络存储技术的发展,使得存储不再是单纯的本地行为,它和网络密切地结合起来,成为了网络的一部分。由于网络系统的开放性,以及现有网络协议和软件系统的安全缺陷,网络系统都不可避免地存在一定的安全风险。而网络存储系统作为网络中的一员,也同样暴露于入侵者的行为之下。入侵者可以像入侵主机一样入侵数据存储设备,获得机密数据,对相关数据所有者产生难以估量的影响。与研究较为成熟的以主机和网络为重点的网络安全研究相比,以存储为重点的网络存储安全研究尚处在起步阶段。目前网络存储安全的研究成果主要来自美国等发达国家的研究机构和大企业,国内尚处于研究初期,没有自己的关键技术,因此,研究和开发具有自主知识产权的网络存储安全技术和产品,对我国的信息安全基础设施建设,具有重要的战略意义。本文针对基于对象的存储安全问题进行了深入的研究,在解决对象存储主动防护、对象存储访问安全、数据加密机制等方面获得了一些研究成果。本论文的主要研究工作及成果如下:一、研究了对象存储的主动防护机制。为了防止因主机系统被攻击,导致存储对象被窃取或破坏,本文提出了一种对象存储的主动防护方案。由于许多入侵行为会导致对存储的读写访问,如果存储系统中包含入侵检测功能,就可以发现这些入侵行为。在对象存储的环境下,入侵检测更可以在智能存储设备的支持下,根据需要直接抓取到数据和属性进行分析。本方案充分利用对象存储的特点和现有入侵检测技术,将入侵检测模块嵌入对象存储系统中,对应用程序操作访问存储设备的行为进行监控,保护对象存储系统免受入侵,从而提高对象存储系统的安全性。其中,入侵检测模块采用改进的无监督聚类支持向量机入侵检测算法,具有较高的检测准确率和检测效率,并能有效检测未知入侵行为;同时采用双层分布式检测结构和基于乘性递增线性递减的告警融合算法,降低了误警率。该方案实现简单,对系统性能影响较小,实用性较强。二、研究了对象存储的访问安全机制。本文根据对象存储系统的特点,提出了一套新的基于椭圆曲线密码体制的双向认证密钥协商的对象存储访问安全机制。针对对象存储系统不同设备间的不同关系,设计了不同的认证协议。这些协议不需要基于安全通道,可保证密钥交换的安全性,而且可实现对双方身份的认证。经安全性分析,整套协议的各子协议具有抵抗抵抗中间人攻击等各类网络攻击的能力。同时,主要密钥均为随机生成,短暂有效,不需要专门保存和管理,因此,相比现有的对象存储访问安全机制,既提高了存储访问的安全性,也减轻了密钥管理难度,降低了数据通道对安全性的要求,协议的性能开销较小。三、研究了对象存储的数据加密机制。访问控制、入侵检测机制主要用来防范从网络过来的攻击,而无法防范内部数据窃取或因存储设备被窃取带来的数据泄漏。为了更好地保护数据安全,对存储设备中的数据加密就成为一项必不可少的安全措施。传统共享加密文件系统由于对全部文件数据加密,且共享密钥暴露给多个共享用户,造成了加解密开销大、回收用户开销大等问题,一方面给系统性能带来损失,另一方面也给合法用户访问数据造成很大的不便。本文提出的新方案采用非连续加密方法,仅对文件敏感内容加密,降低了加解密开销;同时通过文件组所有者维护用户证书的有效性来实现用户回收,避免了回收用户带来的数据重加密和共享密钥重发布等大量开销,实现了规模用户的高效共享;另外,由分散的文件组所有者分别管理密钥和用户证书,分散了系统安全风险,降低了对服务器的可信要求。提出的对象存储主动防护方法、基于椭圆曲线密码体制的双向认证密钥协商的对象存储访问安全机制,以及对象存储非连续加密方法,对构建高安全性对象存储具有一定的参考作用。