（计算机应用技术专业论文）面向对象存储系统安全模型的研究与实现.pdfVIP

江苏大学硕士研究生毕业论文 摘要 应用系统对海量存储技术的要求越来越高，经典的基于块访问接口的s a n 和基于文件访问接口的n a s 系统已力不从心，而新出现的基于对象接口的网络 存储技术以高性能、高可扩展性、易管理和跨平台共享等多种性能受到越来越 多应用场合的欢迎。然而，当前应用对存储网络的安全性提出了更高要求，已 有的基于对象接口的网络存储系统仅仅提供了对象属性访问控制的安全机制， 未能从系统的角度考虑其整体的安全性。 本文在深入研究和分析了基于对象接口的网络存储技术之后，发现它面临 的安全性问题及其它能够提供的安全机制，为此提出了种新的面向对象存储 系统安全模型，从系统的角度为网络存储系统的整体安全问题提供了揽子解 决方案，并在开放源码的对象存储文件系统l u s t r e 上实现了该模型并对其相关 性能进行了测试和比较。主要工作如下： ( 1 ) 通过网络存储技术产生背景、发展现状及安全需求等的分析和研究， 指出了网络存储安全研究的必要性；分析了网络存储安全研究现状，指出了其 面临的问题和需要进一步研究的内容。 ( 2 ) 提出了面向对象存储系统安全模型，并设计了相关的安全协议。针对 对象存储的体系结构特点和其所可能遭受的安全威胁，对基于该模型协议进行 了安全性分析；在此基础上，对存储模型的安全性进行了定性分析：通过与相 关工作的比较，说明了该模型具有较强的安全性。 ( 3 ) 提出了适用于对象存储系统的轻量级多变密钥对象文件加密算法。该 算法是异或运算的加解密，采用伪随机数的方法产生密钥序列，保证异或运算 密钥的一次一密钥，从而满足快速加解密和较高的安全性要求，非常适用于对 象存储系统。 ( 4 ) 利用开放源码的对象存储文件系统l u s t r e ，在实验室环境中实现了基于 对象接口的网络存储原型系统：在该原型系统上实现了本文提出的安全模型及 相关协议，并对其相关性能迸行了测试和比较分析。 关键词：强安全模型，网络存储安全，直接连接存储，网络附加存储，存储区 域网络，面向对象存储 江苏大学硕士研究生毕业论文 a b s t r a c t t h er e q u i r e m e n t sf o rm a s ss t o r a g et e c h n o l o g yb e c o m em o r ea n dm o r eh i 【g l ab y t h ea p p l i c a t i o ns y s t e m t h ec l a s s i c a ls t o r a g es y s t e m s u c ha sb l o c kb a s e ds a na n d f i l eb a s e dn a s ，h a sl a c k e dt h ea b i l i t yt od ow h a tt h e yw o u l dl i k e b u tt h en e w a d v e n to ft h en e t w o r ks t o r a g et e c h n o l o g ya c c e s s e db a s e do no b j e c tr e c e i v em o r ea n d m o r ew e l c o m ef r o mm a n ya p p l i c a t i o n s ，f o ri t sh i g hp e r f o r m a n c e 、h i g hs c a l a b i l i t y ， b e i n ge a s yt om a n a g ea n dc r o s sp l a t f o r ms h a r i n g h o w e v e r ，t h ec u r r e n ta p p l i c a t i o n s p r o p o s eah i g h e rr e q u e s tt ot h es e c u r i t yo ft h en e t w o r ks t o r a g e t h eo b j e c t b a s e d s t o r a g es t o r a g eh a so n l yp r o v i d e dt h ea c c e s sc o n t r o lm e c h a n i s mb a s e do no b j e c t a t t r i b u t em e r e l y , a n dh a sn o tb e e na b l et oc o n s i d e ri t sw h o l es e c u r i t yf r o mt h es y s t e m a n g l e a n a l y z i n gt h en e t w o r ks t o r a g et e c h n o l o g yb a s e do no b j e c td e e p i 弘w ef i n dt h e e x i s t i n gs e c u r eq u e s t i o na n ds e c u r em e c h a n i s m si tc a np r o v i d e s ow ep r o p o s e da n e wk i n do fs e c u r i t ym o d e lf o ro b j e c t b a s e ds t o r a g es y s t e m ，w h i c hp r o v i d st h e w h o l e s a l es o l u t i o nf o rt h eo v e r a l ls e c u r i t yp r o b l e mo fn e t w o r ks t o r a g es y s t e mf r o m t h es y s t e ma n g l e t h em o d e li si m p l e m e n t e di nl u s t r ef i l e s y s t e mw h i c hi sa no p e n i n g s o u r c ec o d e t h e nw et e s tt h em o d e la n dm a k ec o m p a r i s o n m a i nw o r ka sf o l l o w s ： ( 1 ) r e s e a r c h i n ga n da n a l y z i n gt h eb a c k g r o u n d 、t h ep r e s e n td e v e l o p m e n t s i t u a t i o nm a dt h es e c u r i t yr e q u i r e m e n t so ft h en e t w o r ks t o r a g et e c h n o l o g y , w ep o i n t o u tt h en e c e s s i t yo fr e s e a r c h a n a l y z i n gt h er e c e n tr e s e a r c hs i t u a t i o no fs t o r a g e s e c u r i t y , w ep o i n t so u tt h ee x i s t i n gp r o b l e m sa n dt h eq u e s t i o n sn e e d e dt ob es t u d i e d f u r t h e r l y ( 2 ) s e c u r i t ym o d e lf o ro b j e c t - b a s e ds t o r a g es y s t e m i sb e e np r o p o s e d ，a n d a s s o c i a t e ds e c u r ep r o t o c o l si s d e s i g n e d a i m i n g a ta r c h i t e c t u r ef e a t u r eo ft h e o b j e c t b a s e ds t o r a g es y s t e ma n dt h es a f e t yt h r e a ti tw i l lp r o b a b l ys u f f e r , w ea n a l y z e t h es a f e n e s so ft h ep r o t o c o l s a n dt h e nw em a k et h eq u a l i t a t i v ea n a l y s i so nt h e s e c u r i t ym o d e l t h r o u g hc o m p a r i n gw i t ht h ec o r r e l a t e dw o r k ，t h er e s u l t ss h o wt h a t t h i sm o d e lh a sa d v a n t a g e so v e ro t h e r so f t h es t r o n gs e c u r i t y ( 3 ) al i g h t w e i g h tc h a n g e a b l ek e yo b j e c tf i l ee n c r y p t i o na l g o r i t h m ，s u i t a b l ef o r t t 一兰蔓查兰堡主笪壅兰望些至圭 o b j e c t b a s e ds t o r a g es y s t e m ，i sp r o p o s e d t h i sa l g o r i t h mu s e se x c l u s i v eo ro p e r a t i o n t oe n c r y p ta n dd e c r y p t d a t a , e m p l o y st h ep s e u d o - r a n d o mf u n c t i o nt og e n e r a t et h ek e v s e q u e n c ew h i c he n s u r i n go n c ee x c l u s i v eo ro p e r a t i o no d c ed i f f e r e n tk e y t h i s a l g o r i t h ms a t i s f i e st h ef a s te n c r y p t i o na n dc o m p a r a t i v eh i g hs e c u r e r e q i r e m e n t s ， w h i c hi se x t r e m e l ys u i t a b l et b rt h eo b j e c t b a s e ds t o r a g es y s t e m ( 4 ) u t i l i z i n gt h eo b j e c t b a s e ds t o r a g ef i l e s y s t e ml u s t r ew h i c hi sa no p e n i n g s o u r c ec o d e ，t h en e t w o r ks t o r a g ep r o t o t y p es y s t e mb a s e do n o b j e c t - b a s e ds t o r a g ei s i m p l e m e n t e di nt h el a b o r a t o r ye n v i r o n m e n t s e c u r i t ym o d e lm a dt h ec o r r e 】a t e d p r o t o c o l si nt h em o d e li sr e a l i z e do nt h i sp r o t o t y p es y s t e m a tl a s tw et e s t e dt h e p r o t o t y p es y s t e ma n da n a l y z et h ee x p e r i m e n tr e s u l 括 k e y w o r d s ：s e c u r i t ym o d e l ，n e t w o r ks t o r a g es e c u r i t y , d a s ，n a s ，s a n ，o s d i i i 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同 意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许 论文被查阅和借阅。本人授权江苏大学可以将本学位论文的全部内容或 部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制 手段保存和汇编本学位论文。 本学位论文属于 保密口，在年解密后适用本授权书。 不保密曰。 学位论文作者签名：去燃 矽口绰二月厂日 勿1 指导教师签名：忽舟t 骂 存石月伯 独创性声明 y 1 0 1 3 9 9 3 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立 进行研究工作所取得的成果。除文中已注明引用的内容以外，本论文不 包含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究 做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意 识到本声明的法律结果由本人承担。 学位论文作者签名：起俊怒 目期：2 。形年歹月，日 江苏大学硕士研究生毕业论文 1 1 背景 第一章绪论 i n t e r n e t i n t r a n e t 的飞速发展，网络多媒体的广泛应用以及电子商务的迅 速推广，标志着人类社会步入了一个全新的时代信息时代。在信息时代，信 息的使用达到了前所未有的普遍，可以说与人们的生活息息相关。作为信息的载 体和表示方法，数据可以说是信息时代的中心，各个行业对于存储的要求越来越 高，管理企业存储内容的成本也越来越高，i d c 统计数据表明：企业对i t 方面 每1 0 0 美元投资中有5 0 美元花费在数据存储与备份上，企业为存储与保护数据 所花费的软硬件投资每年激增。过去的信息系统基本上都有后台作业时间，而今 天自每羽络服务却需要保证每周7 天、每天2 4 小时处于就绪状态。而且数据是跨 系统、跨部门，甚至是面向全世界的。数据的存取只应该受到安全机制的管理， 而不应该受到地域空间的约束。尤其是在一些关键应用服务部门，一个小时甚至 几分钟的服务中断都会带来巨大的损失。近年来存储行业市场增长率保持在 2 0 0 以上，远远超过i t 业的平均增长率。 当今对存储领域的研究主要集中在以下几个方面： 1 ) 性能 必须能够提供对于来自用户存储请求的快速响应，并以最有效的方式发送数 据，保持较高数据传输速率。 2 ) 可靠性 必须能够提供较高级的可靠性，通过强大的备份、容错等功能来保证数据的 可靠性。即使在存储设备出现故障或发生自然灾害的情况，也有能力保护数据的 安全。 3 ) 可扩展性 必须能够提供系统可扩展的解决方案，方便的扩充存储网络以及系统的平滑 升级，并允许在数据存储内容扩展的同时，服务无间断。 4 ) 易用性 必须能够提供完整的跨平台、跨系统、跨地区的数据存取和共享功能。同时， 江苏大学硕士研究生毕业论文 也应该能够快速的改变自身的系统配置，以支持新的数据存储要求。 5 ) 易管理性 面对分布、集中存储的海量数据，必须能够提供方便、可行的管理措施。 6 ) 安全性 提供存储安全的服务和适当的存储性能保证，能够根据不同用户的安全级别 为其提供相应级别的存储资源。 而传统的存储方式如d a s ，不能满足日益增长的存储容量尤其是存储共享的 要求，造成了存储空间的浪费。网络数据存储技术近年来已成为网络信息技术发 展的趋势，对当今存储领域有着强大的影响。它一方面能为网络上的应用系统提 供丰富、快速、简便的存储资源；另一方面又能对网上的存储资源实施集中统一 的管理，成为当今理想的存储管理和应用模式。 1 。2 网络存储技术现况与发展趋势 随着网络技术的飞速发展，计算机系统需要处理的数据大量增加。同时，这 些数据还需要有效地保存在存储系统中，为数据分析和处理提供保障和便利。网 络存储是全新的数据存储方式，随着技术的不断发展和创新，网络存储技术本身 也在飞速地发展。本节简要介绍几种常见的网络存储技术。 1 2 。1 传统数据存储技术 传统的存储模式中存储设备通过总线直接连接到服务器，称为直接连接存储 3 , 2 1 ( d i r e c t a t t a c h e ds t o r a g e ，d a s ) ，又称为b a s ，即b u s a c c e s ss t o r a g e 。这种 方式结构简单，其存储设备直接和服务器相连，结构如图1 1 所示。 图i 1 传统d a s 结构 d a s 以服务器为中心，在服务器周围连接一些可共享的设备，通过s c s i 接 营一 隔圆删 9 x， 禽凰 江苏大学硕士研究生毕业论文 口传输数据，在计算机和存储设备之间使用最常用的输入输出通信方式，网络 用户通过服务器间接访问数据及网络资源。d a s 设备和存储子系统从属于其连 接的主机。他们的身份、所进行的操作以及管理都由其连接的主机完全控制。用 户如果需要访问存储设备的数据，首先必须给服务器发送一个请求信息，服务器 提供的服务解析这个请求并访问d a s 存储设备进行读写数据，并将用户需要的 数据或结果通过网络再返回给用户。应用服务和数据存储管理功能集成在一台服 务器中，通过服务器运行的应用程序对外提供服务，通过服务器总线连接的存储 设备进行数据保存。管理模块将收集管理的信息，将服务信息与存储设备信息向 统一的管理中心节点汇报。 d a s 的最主要的缺点之一在于：它不能同时针对容量和性能的要求进行扩 展，已经不能够适应信息时代发展的需求。d a s 技术中连接到一台服务器上的 原始存储容量被三方面的因素所制约： 1 ) 服务器支持的外设的数量：由硬件中的插槽数量所限定，或由软件中操 作系统所能访问的i o 路径数限定。 2 ) 连接到服务器的存储设备i o 控制器上的设备或子系统数目。 3 ) 连接的设备和子系统的容量。 d a s 技术的性能扩展局限性主要是总线技术的限制造成的。首先，s c s i 总 线的速率有限制，目前最快的s c s i 总线为3 2 0 m b s 。其次，连接到一条总线的 所有s c s i 设备由s c s i 总线仲裁序列决定哪个设备可以进行数据操作的权限。 当多个设备同时使用总线时，必须通过基于总线地址的优先级策略进行竞争，低 优先级的设备可能需要等待相当长的时间才能获得总线控制权。 同时d a s 技术还存在的距离扩展限制，例如当并行s c s i 的速率达到 1 6 0 m b s 时，支持这种速度的传输距离只有1 2 米。数据保护限制，例如备份数 据时会占用服务器c p u ，导致对用户提供的服务性能下降。 1 2 2 网络附加存储技术 网络附加存储【2 , 3 1 ( n e t w o r ka t t a c h e ds t o r a g e ，n a s ) ，是一种基于文件的存储 结构。n a s 将传统的“以服务器为中心”的结构转变为“以数据为中一t l , ”的智 能网络存储结构，其存储设备直接连接在n a s 服务器上，系统服务器通过以太 网连接到n a s 服务器上，通过n a s 服务器访问磁盘。n a s 服务器与系统服务 江苏大学硕士研究生毕业论文 器之间通过n f s 协议连接，因此很好的保证了跨平台性，可以同时为n t 服务 器、s u n 服务器及l i n u x 服务器提供服务，而不影响后端磁盘数据的一致性。 n a s 是通过局域网接口和以太网之类的网络直接相连的存储设备，不仅提高了 文件服务器的速度，减轻了网络主机负担，而且可以在不间断网络运行的情况下 增加或设置存储，降低了设备投资和维护成本。典型的n a s 结构如图l - 2 所示。 客户端 m p ) 问题。所有的文件都被分段，并按照一 定的策略分别存放到n 个服务节点上，用户通过读取这i 1 个存储节点中的m 个 江苏大学硕士研究生毕业论文 存储节点( r i m ) ，就能够在客户端合成完整的文件，这样就实现了将安全控制分 散到文件服务节点上，实现了文件的保密性。即使有p 1 个( n m p ) 服务节 点被攻破，也不会造成任何文件信息泄漏。p a s i s 的主要优点具有很强的抗攻击 性，即使有个别的服务节点被攻破，也不影响用户的使用，具有很高的安全性能。 缺点是系统中有太多的消息通信，当用户要读写信息时，必须要向m 个服务节 点进行广播，接受到各个节点的响应后，还需要进行处理，当某个节点的响应错 误时，还需要重新对m 个节点进行广播。对阀值p - m n 的选择也比较困难，不 同的阈值在系统性能和安全性上有很大的差别。另外，对小文件来说，性能下降 的很快，对于大文件来说，性能影响较小。 k u b i a t o w i c z “”于2 0 0 0 年提出的o c e a n s t o r e 广域网环境中加密数据各份系 统。它的想法始于p 2 p 系统的发展，p 2 p 系统对于用户的假设是散落在世界各 地的用户，每人提供一些资源( 在共享系统中是共享的数据文件，在计算系统中 是空闲中的c p u 资源，在存储系统中是共享的存储空间) ，系统将这些众多的 零星资源集成为一个大的资源库，再为所有用户使用。它的运行环境有极多的结 点存在；每个结点能力较弱，如p c 机；结点的稳定性差，可能随时发生意外事 故：系统结构变化频繁，结点的进入和退出每时每亥4 可能在发生。我们一般称这 种广域存储系统为“共享型”广域存储系统，它是基于对象的广域网络的存储系 统，但o c e a n s t o r e 中的对象没有模式信息，只是带有标识的数据块，o c e a n s t o r e 实现用户接口的a p i ，并且在此a p i 基础上可以进一步开发文件系统、数据库 等接口方式。这类系统是以较多的数据冗余换取系统安全性，系统开销大，存储 效率低。 g o h “于2 0 0 3 年提出了可应用于网络存储系统中的中间件层安全系统 s i r i u s ，只在客户端的文件系统层上增加了一个中间件，来截获、转换访问数据 系统调用实现安全功能，使用多对不同权限者的公开密钥实现传输认证和授权。 s i r i u s 是在现有的不可信的网络文件系统( 如n f s ，c i f s 等) 上提供文件读写的 加密访问。通过软件线程，系统分别分析所有的文件访问系统调用并对他们进行 相应的转换。所有的文件在被存储到服务器之前就被在客户端加密，所以服务器 或者管理员都看不到没有加密过的数据。而且把比较耗费资源的加密运算放到负 载相对比较轻的客户端，而且由于数据在传输过程中都是加密的，这就不需要在 江苏大学硕士研究生毕业论文 用户和服务器端之间建立一个安全的数据通道。在s i r i u s 系统中，每个文件创 建者都有一个m e k 加密密钥( m a s t e re n c r y p t i o nk e y ) a n d 一个m s k 签名密钥 ( m a s t e rs i g n i n gk e y ) 。每个文件都个有一个独一无二的f e k ( f i l ee n c r y p t i o nk e y ) 文件加密密钥( 它可以提供给该文件的所有用户) 和f s k ( f i l es i g n i n gk e y ) 文件 签名密钥( 它提供可以修改该文件的用户) 。同时系统为每一个目录维持一个元 数据更新文件来保证数据的更新。s i r i u s 系统的最大优点在于它可以在不需要 对原有的网络文件系统的文件协议和文件服务器进行任何修改，就能通过加入了 访问控制，数据加密等安全控制的功能来加强现有网络存储系统的安全性。缺点 表现在加入了安全控制后，存储系统的性能比原有系统下降了很多，对于小文件 的读写性能下降了2 0 倍，对于1 m 多的文件读写性能下降了2 至6 倍。 2 2 2 智能存储设备安全性 磁盘设备是存储的主体，随着网络附属磁盘的出现，磁盘具有了一定的计算 能力和存储管理能力，应此赋予网络磁盘一定的安全功能是实现存储安全的又一 重要方面。 n a s d “。是c m u 的p d l 实验室于9 9 年提出的新型磁盘结构，通过增加 磁盘处理能力构成智能磁盘，使得磁盘能判别用户和加解密数据：主机和认证服 务器通信获得权限密钥，再和存储服务器通信获得加密密钥，最后直接和磁盘通 信；使用h a s h 和m a c ( m e s s a g e a u t h e n t i c a t i o nc o d e ) 混合加密算法减少加密对 性能的影响。n a s d 的设计中有两个服务器，一个用来对用户授权另一个是文件 服务器。授权服务器一般采用目前已有的一些已有的授权机制，比如p k i 或 k e r b e r o s 结构。当用户得到授权之后，用户向文件服务器发出访问请求，服务器 证实其身份后向用户传递个能力对象( 包括能力令牌和能力密钥，令牌包含了 授予请求访问权限，而密钥是由能力和文件服务器与磁盘之间的密钥组成的 m a c ) 。用户通过能力对象直接访问磁盘。磁盘解密令牌检查用户访问和服务权 限，同时对m a c 分析来验证命令的完整性。n a s d 的具有创新的概念在于将部 分的数据完整性的验证放到了磁盘上，磁盘分析能力对象、加密数据然后将结果 传给用户。同时使用m a c 并将其传给用户，能够让用户证实其传输过程中的完 整性。n a s d 的主要优点体现在客户端直接通过网络访问磁盘，提高了扩展性。 如果增加磁盘的数量，就能够线性的提高系统的吞吐量。缺点在于授权服务器和 江苏大学硕士研究生毕业论文 文件服务器易于受到攻击，一旦被攻破，则整个存储系统都要瘫痪，而且由于磁 盘要加密解密，系统负载比较重，对存储系统的性能有较大的影响。 p d l 于2 0 0 2 年提出了s e l f s e c u r i n gs t o r a g e ，以主动方式实现智能磁盘的安 全。结合审计建立多版本磁盘数据；不断监测访问记录，发现异常就回退操作， 增加对应的安全防护策略，并向其它磁盘发出安全威胁警告。“”。”。存储系统 不相信任何主机系统，它认为任何访问请求都有可能是非法访问，而且对所有的 存储系统来说，服务器随时都会被入侵，所以将研究重点放在如何防止黑客入侵 和损害存储的数据，检测和诊断入侵者的破坏行为，并能够恢复被损坏的数据， 从而保证存储数据的安全。系统中的磁盘自己有一套基本的操作来管理文件系 统，应此有一套内嵌入式的操作集用来进行文件版本内部控制管理和审计所有数 据( 包括文件数据和元数据) 。通过一种综合版本协议对每个文件访问都创建 一个新版本的文件元数据，设置检测窗口的时间，并在这段时间内对所有的文件 和元数据进行版本控制。除了对明显的改变数据内容写操作进行舨本控制，每一 次访问都要更新文件的日志，以便对所有的访问进行跟踪。该窗口的大小基本上 是由实际的用来备份的磁盘空间决定的。通过基于日志结构和多版本二叉树来高 效的管理所有备份的版本。旦系统发现有入侵行为之后，所有被入侵过的文件 都能可靠的恢复到入侵之前的状态，在系统被入侵之后和入侵行为被发现之前， 这段时间的一些合法的数据操作会丢失，当然将损失控制在最小的范围内。 y i n g w u z h u ”“2 0 0 3 年提出的s n a r e ，利用磁盘的计算能力，验证用户访问 请求的数字签名和访问权限对象的控制，数据对象在客户端加密解密，磁盘上存 储数据的密文，因此用很小的负载获得了很高的安全性能。 从系统的整个结构来看，每个存储设备是一个具有入侵检测的智能设备，当 用户端被攻破后，存储设备依然能够动态的检查用户的各种非法访问行为，确保 数据不被修改和破坏，并能在发现入侵行为后自动的恢复被修改的数据，为存储 安全的研究开拓了一个新的方向。缺点在于这类系统需要使用智能磁盘，实现困 难；安全措施只以磁盘为中心，不能保证整个存储系统的安全。 2 2 3 安全体系结构 采用非集中式系统安全与信任关系模型对于网络实体进行安全管理，从而实 现网络实体之问的有效协同，共同完成相应的存储服务。 江苏大学硕士研究生毕业论文 无论是加强文件系统的安全还是利用磁盘的计算能力来增强网络存储系统 的安全性能，都涉及密钥管理策略的问题，用来在存储系统中保证存储安全的密 钥存在着数量大、管理复杂、对系统性能影响大等特点，因此灵活高效的密钥管 理策略是提高存储安全系统效率的重要因素。 m i l l e r 在2 0 0 2 年提出s n a d 结构保证网络磁盘安全；是一个基于分布式文 件的存储系统，以对象为单位管理和分配密钥，给出了三种保证传输安全的算法 。2 2 ”。磁盘具有定的计算能力，能够进行一些基本的存储管理和用户认证 的功能。客户端对所有的数据用对称数据加密密钥进行加密解密，数据在传输过 程中和存储在盘上的数据都是经加密的数据，可以做到端到端的加密。密钥管理 方式是采用l o c k b o x 机制，所谓l o c k b o x 机制就是用一个密钥来加密另外一个密 钥，也就是用l o c k b o x 密钥来加密数据加密密钥，l o c k b o x 密钥也是一个对称加 密密钥，可以通过授权服务器来传送给合法的用户，共享用户得到l o c k b o x 密钥 后，解密从磁盘读取的加密的数据加密密钥，然后用得到的数据加密密钥解密从 磁盘上读出的加密数据。这样认证服务器只需要管理一个密钥，就解决了整个存 储系统密钥的分配的问题，大大减少了系统实现的复杂程度。 p l u t u s 和s n a d 类似，提出了高效灵活性的密钥管理策略，以分布式的 客户端密钥管理为基础，采用多层次的加密算法，以文件组为单位的密钥分配算 法减少了密钥数量。“。 层次复杂的体系结构是存储系统的显著特点，依据网络存储安全系统具体的 安全要求研究分层的存储安全系统具有非常重要意义。 a l a i n 。于2 0 0 3 年提出了对象存储网中的两层安全结构，传输安全和授权分 别在两个层次中实现，改变混杂多个密钥实现传输安全和授权的方法；给出了访 问控制传输中的认证算法。 s a n 系统中，可以使用分区的方法实现l u n 的安全，分别存在三个层次的 实现方法：主机中的实现“，基于交换机的实现。”和存储控制器中的实现1 。这 种方法实现简单，但和硬件密切相关、专用性强，不能应用于虚拟化网络存储系 统。 目前国内对网络存储安全系统的研究正处于起步阶段，韩德志”于2 0 0 4 年 提出了n a s 中的安全模型，它的体系结构类似于s n a d 项目中密钥管理的方法， 1 7 江苏大学硕士研究生毕业论文 依靠安全系统的数据结构来进行各类密钥的管理。 2 3 网络安全存储系统实现的关键技术 网络存储安全系统向用户提供和本地存储设备相同的访问接口，却可以让用 户访问存储网络上的任何存储设备节点。网络存储系统中的用户来自不同的节 点，它所管理的存储资源也可能分布在不同的存储节点上，同时在同一个存储节 点上同时给多个用户提供服务，复杂层次造成诸多的安全隐患。总的说来，网络 存储系统在安全设汁和实现主要解决的关键技术包括：访问控制和反入侵。 1 ) 访问控制 随着网络存储规模的逐渐增大，所储存的信息的日益膨胀，这就要求网络存 储系统能够对不同来源、不同角色所提出的访问请求进行控制，以确保存储设备 上存储的数据不受到非法的访问与篡改，这就要用到访问控制机制。 在设计安全网络存储系统，访问控制是进行安全防范和保护的核心策略，它 的主要任务是保证网络存储系统不被非法使用。为有效控制用户访问网络存储系 统，保证存储资源的安全，必须认真考虑并控制授予每个存储用户的访问级别， 然后设置相应的策略来保证合法用户获得资源的访问权。这是强健网络存储安全 系统的基础。 根据具体手段和目的的不同，通常可将访问控制技术划分为登录访i g 控制、 访问权限控制、目录级安全控制、属性安全控制等。 登录访问控制为网络访问提供了第一层访问控划。它控制哪些用户能够登录 到网络存储系统并获取存储资源。有基于用户名和口令的用户的登陆访问控制和 采用基于数字证书的验证方式。如a f s 、n a s d 系统就采用了第三方认证的认证 服务器。 访问权限控制是针对非法操作所提出的一种安全保护措施。将能够访问网络 的合法用户被划分为不同的用户组，用户和用户组被赋予一定的权限。访问控制 机制明确了用户和用户组可以访问存储系统的哪些目录、子目录、文件和其他资 源；以及指定用户对这些文件、目录、存储设备能够执行哪些操作。用户对存储 资源的访问权限可以用访问控制表来描述。比如c f s 系统就采用了用户分组的 访问权限控制。 江苏大学硕士研究生毕业论文 目录级安全控制是针对用户设置的访问控制，控制用户对目录、文件、存储 设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可以 进一步指定对目录下的子目录和文件的权限。 属性安全控制在权限安全控制的基础上提供更进一步的安全性。当用户访问 文件、目录和网络设备时，系统管理员应该给出文件、目录的访问属性，网络存 储系统上的资源都应预先标出安全属性，用户对存储资源的访问权限对应一张访 问控制表，用以表明用户对网络存储资源的访问能力。如n a s d 系统就部分采 用了这种安全控制机制。 2 ) 反入侵 保护主机与存储之间通信数据的安全性是必须要考虑的。在任一种安全策略 中，都需要对入侵者有所防范，制定相应的反入侵策略。在反入侵策略中，关键 问题是保证数据的机密性来保护数据不被入侵者获取，并能够判断数据在传输过 程中是否已被篡改的完整性。 为防止入侵者获得数据保证数据的机密性，最常用的方法是采用加密机制。 把原始数据加密后，如果没有密钥，则密文不可读，即使被窃也毫无意义，被窃 的数据仍然保持机密性。所有的加密协议都是为了使被窃数据不可读，从而保证 机密性的。在加密技术中，最主要的关键技术就是密钥的管理方法，在上面的各 类存储安全系统中采用了各种方式来进行密钥的管理，有集中管理和分布式的密 钥管理方式。比如c f s 、a f s 、s f s r o 、s i r i u s 、s n a d 、p l u t u s 系统都采用 了加密的方法。 数据的完整性指的是检验数据，以确保未被篡改。主要使用m d 5 、s h a 、 h m a c 等h a s h 数来验证数据的完整性，保证在传输过程中数据未被篡改。比如 n a s d 系统中使用了h m a c 来实现数据的完整性检查。 在存储网络中，入侵者通过攻破存储服务器来访问存储服务器，从而得到存 储设备上的数据，一般采用主动防护措簏和被动防护措旌，目前比较常用的主动 防护技术有各种防火墙技术和容错技术，比如p a s i s 系统采用了阈值方案的容 错技术。被动的防御措施有入侵检测技术，如s e l fs e c u r i n gs t o r a g e 系统中就采 用了入侵检测技术。 1 9 江苏大学硕士研究生毕业论文 2 4 研究方向展望 网络存储系统安全技术是存储技术与高速网络技术的结合，其安全问题涵盖 了网络安全和存储系统安全的各个方面，主要包括认证、授权、信息完整性保证 和信息保密等，涉及硬件层、传输层、用户识别层、用户管理层、数据管理层等 多个层次，各层次互相混杂、互为依赖、互相配合工作，同时网络存储系统中的 不安全的传输、假冒的合法用户、数据的非法泄露等安全问题，安全威胁种类多、 层次复杂、防范困难等特性。目前国内外的网络存储安全系统的研究均是在某一 特定条件下研究针对某一方面的安全问题，研究内容分散，相互的借鉴意思不大， 无法构成整体有效的存储安全机制，存储系统只具有部分安全功能而无法保证存 储系统整体的安全。整体安全模型的缺失是当前存储网安全研究中的重大缺陷。 总之，针对目前安全网络存储系统中存在的结构层次不清、安全策略混杂、 专用性不强和缺乏整体安全策略等缺点，未来网络存储安全系统的研究有三个发 展方向，即层次化、专用化和主动化。对网络存储系统结构分层，简化明确每层 完成的安全功能，每个层次的安全功能互相协同成为整个网络存储系统全局的安 全机制，改变以往各种安全技术和安全策略混杂冲突的情况：此外规范各类安全 策略之间的协同机制，实现各层次之间的通用接口，方便各类安全策略的集成和 实现，在层次化基础上，研究针对各层特点的专用安全策略，使其具有专用性强、 效率高和可靠性高等特点。另外，随着处理器技术的飞速发展和价格的急速下降， 通过增强磁盘的处理能力，在磁盘上设计实现各种高效的安全机制，实现磁盘数 据安全保护的主动。 2 0 江苏大学硕士研究生毕业论文 第三章基于对象存储的强安全模型 3 1 对象存储系统的体系结构及安全性分析 3 1 1 对象存储系统的体系结构 对象存储文件系统的核心是将数据通路( 数据读或写) 和控制通路( 元数据) 分离，并且基于对象存储设备( o b j e c t - b a s e ds t o r a g ed e v i c e ，o s d ) 构建存储系 统，每个对象存储设备具有一定的智能，能够自动管理其上的数据分布，对象存 储文件系统通常有以下几部分组成。 3 1 1 1 对象 对象是系统中数据存储的基本单位，一个对象实际上就是文件的数据和一组 属性的组合，这些属性可以定义基于文件的r a i d 参数、数据分布和服务质量等， 而传统的存储系统中用文件或块作为基本的存储单位，在块存储系统中还需要始 终追踪系统中每个块的属性，对象通过与存储系统通信维护自己的属性。在存储 设备中，所有对象都有一个对象标识，通过对象标识o s d 命令访问该对象。通 常有多种类型的对象，存储设备上的根对象标识存储设备和该设备的各种属性， 组对象是存储设备上共享资源管理策略的对象集合等。 3 1 1 2 对象存储设备 对象存储设备具有一定的智能，它有自己的c p u 、内存、网络和磁盘系统， 目前国际上通常采用刀片式结构实现对象存储设备。o s d 提供三个主要功能： 1 ) 数据存储：o s d 管理对象数据，并将它们放置在标准的磁盘系统上，o s d 不提供块接口访问方式，c l i e n t 请求数据时用对象i d 、偏移进行数据读 写。 2 ) 智能分布：o s d 用其自身的c p u 和内存优化数据分布，并支持数据的 预取。由于o s d 可以智能地支持对象的预取，从而可以优化磁盘的性能。 3 ) 每个对象元数据的管理：o s d 管理存储在其上对象的元数据，该元数据 与传统的i n o d e 元数据相似，通常包括对象的数据块和对象的长度。而 在传统的n a s 系统中，这些元数据是由文件服务器维护的，对象存储架 构将系统中主要的元数据管理工作由o s d 来完成，降低了c l i e n t 的开销。 江苏大学硕士研究生毕业论文 3 1 1 。3 元数据服务器( m e t a d a t as e r v e r ，m d s ) m d s 控制c l i e n t 与o s d 对象的交互，主要提供以下几个功能： 1 ) 对象存储访问。m d s 构造、管理描述每个文件分布的视图，允许c l i e n t 直接访问对象。m d s 为c l i e n t 提供访问该文件所含对象的能力，o s d 在接收到每个请求时将先验证该能力，然后才可以访问。 2 ) 文件和目录访问管理。m d s 在存储系统上构建一个文件结构，包括限额 控制、目录和文件的创建和删除、访问控制等。 3 ) c l i e n tc a c h e 一致性。为了提高c l i e n t 性能，在对象存储文件系统设计时 通常支持c l i e n t 方的c a c h e 。由于引入c l i e n t 方的c a c h e ，带来了c a c h e 一致性问题，m d s 支持基于c l i e n t 的文件c a c h e ，当c a c h e 的文件发生 改变时，将通知c l i e n t 刷新c a c h e ，从而防止c a c h e 不一致引发的问题。 3 1 1 4 对象存储文件系统的c l i e n t 为了有效支持c l i e n t 支持访问o s d 上的对象，需要在计算结点实现对象存 储文件系统的c l i e n t ，通常提供p o s i x 文件系统接口，允许应用程序像执行标准 的文件系统操作一样。 3 1 1 5 网络连接 网络连接是对象存储系统的重要组成部分。它将客户端、m d s 和o s d 连接 起来，构成了个完整的系统。网络技术的不断进步使网络连接的方式有了更多 选择。千兆以太网具有性能高、性价比高、易于管理等优点，因此成了构建对象 存储系统的首选。随着光纤通道技术的成熟及成本的降低，应用也越来越广泛。 此外，各种新的网络技术也不断出现，如m y r i n e t 、i n f m i b a n d 等，都具有较高的 性能。尤其是i n f i n i b a n d ，不断扩展的性能使其具有很强的竞争力。 图3 1 就是典型的对象存储系统，它由是由客户端( c l i e n t ) 、基于对象存储 设备o s d 和元数据服务器( m d s ) 三个主要部分组成。 当客户端要读取对象存储系统的某个存储对象时，它首先向m d s 发送访问 请求，获得访问该对象的位置信息，然后根据所的到的信息向对应的o s d 设备 发出访问请求，当请求到达o s d 后，o s d 对请求进行解释，并读取相关数据， 再返回给客户端。由此可以看出，在进行数据读写过程中，客户端同o s d 进行 直接通信，获取