發(fā)布時間：2020-05-06 16:35

【摘要】：隨著網(wǎng)絡(luò)技術(shù)的發(fā)展與進(jìn)步,存儲系統(tǒng)進(jìn)入網(wǎng)絡(luò)應(yīng)用,網(wǎng)絡(luò)的安全隱患也必然成為網(wǎng)絡(luò)存儲系統(tǒng)的威脅,安全的重要性不言而喻。而安全性與數(shù)據(jù)訪問效率是一對矛盾體,高安全性會降低數(shù)據(jù)訪問效率,高效的數(shù)據(jù)訪問需要以犧牲安全性為代價。如何在保障網(wǎng)絡(luò)存儲安全性的同時提高數(shù)據(jù)訪問效率成為一個極有意義的課題。 密碼技術(shù)在保護(hù)網(wǎng)絡(luò)存儲系統(tǒng)安全方面的作用舉足輕重。它不僅可以提供訪問控制安全、數(shù)據(jù)機(jī)密性、完整性保護(hù),使用數(shù)字簽名還可以提供不可否認(rèn)性。但密碼技術(shù)的開銷大,特別是公鑰密碼技術(shù),其計算開銷通常是對稱密碼技術(shù)開銷的指數(shù)級倍數(shù)。為了減少安全機(jī)制對數(shù)據(jù)訪問效率的影響,應(yīng)該盡量減少對公鑰密碼技術(shù)的使用。目前的文件系統(tǒng)加密方法一般是公鑰密碼技術(shù)與對稱密碼技術(shù)的混合,為了實現(xiàn)高效性,提出了一套基于非公鑰密碼技術(shù)的安全方案,設(shè)計并實現(xiàn)一個基于該安全方案的網(wǎng)絡(luò)存儲系統(tǒng),并對其進(jìn)行安全性與性能分析。分析與實驗結(jié)果表明在保障安全性的同時,該安全方案可較好地提高數(shù)據(jù)訪問效率。 在加密文件系統(tǒng)中撤消用戶時,需要重新生成文件密鑰、重新加密文件并重新發(fā)布密鑰,由此引入大量密碼計算和密鑰發(fā)布操作。撤消用戶時之所以需要重新加密數(shù)據(jù),是因為文件密鑰暴露給了被撤消的用戶;如果文件密鑰未暴露,則在撤消用戶時不需要重新加密。據(jù)此提出一個避免重加密的黑盒子模型,并使用FPGA/ASIC硬件模塊加以實現(xiàn),由該模塊存放所有的保密密鑰并執(zhí)行相關(guān)的密碼操作,以保證文件密鑰在任何時候都不會暴露給用戶,但用戶可以使用該密鑰解密文件。使用硬件實現(xiàn)密碼相關(guān)操作可以提高性能并簡化密鑰管理。避免重加密的方法可以以模塊的形式實現(xiàn),然后插入到任何可用的文件系統(tǒng)中。 網(wǎng)絡(luò)存儲的最終目的是提供文件服務(wù)。傳統(tǒng)的文件服務(wù)中,使用程序代碼來表現(xiàn)其安全與管理機(jī)制。當(dāng)系統(tǒng)的安全與管理機(jī)制發(fā)生變化時,重構(gòu)系統(tǒng)需要修改或重新編寫程序,而且系統(tǒng)往往忽略了用戶行為等外在因素的影響。這將導(dǎo)致系統(tǒng)在復(fù)雜多變的環(huán)境里缺乏自適應(yīng)性。策略可以實現(xiàn)動態(tài)性,使用策略將使系統(tǒng)具備適應(yīng)環(huán)境變化的能力。如果需要對系統(tǒng)的某些功能做出調(diào)整,不需要重新開發(fā),只需要更新策略,使系統(tǒng)的構(gòu)建更加靈活,同時還使在不同環(huán)境中重用某些策略成為可能。因此研究文件服務(wù)的安全策略,提出基于權(quán)限的文件服務(wù)框架,在此框架下使用形式化的方法分析與描述基于憑證的訪問控制策略與訪問權(quán)限定制策略。在基于憑證的安全策略中,討論了域間憑證傳遞策略,實現(xiàn)多域間的權(quán)限傳遞,并提出一個基于對稱憑證的域間文件共享策略,使用對稱憑證可以提高訪問效率�；诮巧c基于對象集合的憑證策略可以減輕憑證頒發(fā)機(jī)構(gòu)的負(fù)擔(dān)。職責(zé)分享策略不讓單個用戶執(zhí)行所有任務(wù),以減少偽造和欺騙。有限次訪問策略可以設(shè)置憑證的使用次數(shù)。討論這些策略的適用場合,以便高效地選擇合適的安全策略,并應(yīng)用于廣域網(wǎng)文件服務(wù)系統(tǒng)U-Stor中。 針對廣域網(wǎng)文件服務(wù)的安全威脅,設(shè)計并實現(xiàn)一個高效安全的廣域網(wǎng)文件服務(wù)系統(tǒng)U-Stor。U-Stor使用基于證書的訪問控制,針對其特點提出一種基于會話的訪問控制模型(SACM)�；跁挊�(biāo)識的證書具有簡單、直觀、時效性、安全等優(yōu)點。建立U-Stor文件服務(wù)安全協(xié)議,使用形式化的方法對其進(jìn)行描述與分析,證明該協(xié)議可以抵御各類常見的攻擊。最后對模型系統(tǒng)進(jìn)行性能測試與評估,將SACM方案與基于公鑰密碼技術(shù)的方案及基于非公鑰密碼技術(shù)的方案進(jìn)行比較。結(jié)果表明基于公鑰密碼技術(shù)的安全方案開銷較大,而SACM可以較好的改善性能。
【學(xué)位授予單位】：華中科技大學(xué)
【學(xué)位級別】：博士
【學(xué)位授予年份】：2009
【分類號】：TP333

【參考文獻(xiàn)】

相關(guān)期刊論文 前1條

1 苗勝,張新家,曹衛(wèi)兵,張開來,戴冠中;硬盤數(shù)據(jù)加密系統(tǒng)的設(shè)計及其FPGA實現(xiàn)[J];計算機(jī)應(yīng)用研究;2004年10期

，

本文編號：2651551