面向对象存储系统安全技术研究

摘要

随着网络技术的发展，存储系统需要通过网络来实现高度的并发性。网络的安全隐患也必然对存储系统的构成新的威胁，这就需要不断的开发一些新的技术来实现存储安全的巨大需求。基于可信平台的密钥存储、基于全同态加密的第三方隐私保护等技术为存储系统提供了有力的安全保障。安全与效率是一对矛盾，如何在保障存储系统安全的同时提高效率也是必须考虑的问题。基于身份的存储安全架构、对象粒度的加密策略在很大程度上解决了安全模块系统资源开销过大的问题。本研究主要内容如下：
　　 ⑴针对传统的基于证书的安全模型存在授权证书过多、密钥体系庞大而导致元数据服务器负载过重等缺陷，提出了基于身份的面向对象存储系统安全模型。该模型将用户身份信息与受控对象进行关联，用户在访问存储设备前不需要向元数据服务器请求授权证书，可以直接向存储设备发出访问请求。存储设备依靠用户身份和与对象相关联的信息就能达到保证存储系统安全的目的。通过在对象存储系统上实现基于身份的安全原型并采用多种工具测试其性能，实验表明基于身份的面向对象存储系统安全机制的效率比基于证书的机制有了较大的提高，在保障存储系统的安全性前提下减轻了元数据服务器的负担。
　　 ⑵面向对象存储系统会有成百上千的存储设备存放着大量的数据，有相当部分敏感数据需要加密存储。现有的存储系统安全方案均可对文件进行加密来确保安全，但相当多类型的文件并不是文件内的所有区域都是敏感的。如果对整个文件进行加密将会由于大量的对非敏感区域的加密操作而极大地影响存储系统的性能。提出了一种细粒度的面向对象加密存储方案，可以由用户指定对文件的多个任意大小的对象进行加密保护，从而避免了对文件中非敏感数据进行加解密操作。这样不仅明显提高存储系统的整体性能，同时降低了存储安全对网络带宽的要求，大量低端的用户也可以使用加密技术来保护数据的安全。
　　 ⑶面向对象存储系统是一种基于网络的分布式存储系统，其存储设备直接连接在网络上。现有的加密方案能够通过加密的方式对存储系统的数据进行保护，但是加密密钥仅仅通过弱口令来进行安全保护。这对存储系统来说是一个安全隐患，因此密钥的保护是迫切需要解决的问题。提出了一个基于可信计算平台的面向对象存储系统，用硬件和软件结合的保密机制对文件系统中的加密密钥进行保护，分析表明可以极大增强面向对象存储系统安全性。通过在面向对象存储系统上实现此方案并进行测试，结果表明采用基于可信计算平台的面向对象存储系统密钥保护机制对加密存储系统的性能影响较小。
　　 ⑷面向对象存储系统作为云存储的架构之一，由于其作为互联网应用的特殊性对数据的安全性有着更大的需求。同时，随着云存储应用领域的不断扩大，它的第三方数据安全问题也会越来越突出。在分析云存储服务架构的基础上，提出了一种基于全同态加密的云存储第三方数据安全模型。全同态加密是一个随着技术的发展而出现的密码学上的新突破，它可以利用对加密数据的全同态变换来对加密的数据进行处理，很好地解决了云存储的第三方数据隐私问题。给出了几种全同态加密算法在云存储上的应用方案，为云存储安全技术提供参考。

目录

文摘

英文文摘

声明

1 绪论

2 基于身份的对象存储系统安全方案设计

3 基于身份的对象存储系统安全方案实现

4 对象级的存储加密方案

5 基于可信平台的密钥存储方案

6 基于全同态的云存储第三方数据安全方案

7 全文总结

致 谢

参考文献

附录