学位论文 > 优秀研究生学位论文题录展示

并行文件系统安全性研究

作 者: 牛中盈
导 师: 冯丹;周可
学 校: 华中科技大学
专 业: 计算机系统结构
关键词: 并行文件系统 对象存储系统 存储安全 分布式认证 非集中式访问控制 加密存储
分类号: TP393.08
类 型: 博士论文
年 份: 2010年
下 载: 229次
引 用: 2次
阅 读: 论文下载
 

内容摘要


计算机和网络技术的飞速发展极大地推动了分布式存储技术的进步,从早期以远程文件访问为目的客户机/服务器模式到今天提供数据存储和业务访问功能的云服务模式,分布式存储系统在体系结构、系统规模、性能以及可靠性等方面经历了较大变化,同时也面临着更大的挑战,日益增加的用户数量,更加广阔的数据分布空间,爆炸性增长的数据存储量以及越来越高的数据可靠性要求等,未来的分布式存储系统需满足大容量、高性能、可扩展、高可用、易管理、高安全和低能耗的需求。由于在满足大容量存储空间、跨平台数据共享以及高性能I/O等方面具有明显的优势,并行文件系统在各种存储架构的分布式系统中得到了广泛应用,当前,并行文件系统已成为超级计算机提高I/O带宽最常用的方法之一,并将成为未来高性能计算、海量信息存储的理想选择。而大规模高性能的并行文件系统需要可扩展和高性能的访问控制方法和加密存储方案。网络环境下的并行文件系统面对来自不同组织的大量用户,并为这些用户提供并发和突发的服务,因此,并行文件系统的认证机制必须能够为成千上万的用户提供可扩展的简单高效的认证方式。身份认证与文件服务相分离的两阶段分布式认证机制将认证过程分为身份认证和I/O认证两个阶段,系统使用若干个专用认证服务器并行地认证用户,经过认证的用户从认证服务器获取一个简单的身份证书,存储节点依据用户身份证书确认用户身份。两阶段分布式认证机制支持现有网络认证机制并实现了用户身份认证的可扩展性,存储节点认证I/O请求只需进行两次低开销的散列计算,实现了I/O认证的简单高效,从而,合理地解决了网络环境下并行文件系统在不同阶段对认证的不同需求。当前的并行文件系统采用集中式的访问控制,即基于权能证书的访问控制,客户在访问存储设备前必须向元数据服务器请求一个权能证书,存储设备依据客户提交的权能证书确认用户的权限,在拥有大量用户的并行文件系统中,请求证书操作易造成元数据服务器的性能瓶颈。具有中心决策支持的非集中式访问控制机制在一个中心决策服务器上存储全局访问控制列表,而将决策服务器的决策结果以预授权列表的形式预存储在存储设备上。从而,非集中式访问控制允许用户对全局访问控制列表设置任意访问控制策略甚至改变全局访问控制列表的设计而不需要升级或改变存储设备上的安全实现。通过本地存储的预授权列表,非集中式访问控制允许存储设备直接对I/O请求授权,而不是要求客户在进行关键的I/O时向集中的授权服务请求授权证书。传统共享加密文件系统使用在线或离线的方式将共享密钥分发给共享用户,并使用密码技术对存储和传送中的共享密钥加以保护,由于共享密钥被暴露给多个共享用户,该方案存在着共享开销高、密钥回收困难的缺点。加密文件的高效共享方法使用专用密钥服务器生成和存储文件密钥,使用多台加密机并行加解密文件,用户可以使用密钥服务器和加密机提供的加解密服务而不需要知道文件密钥,从而,避免了回收共享密钥造成的数据重加密和共享密钥的重发布。共享和撤销用户只需在组服务器上加以指定,避免了共享密钥的分发,实现了密钥的高效共享。作为最有希望的大规模和高性能存储或下一代存储的解决方案,对象存储技术在过去的几年得到了广泛关注和研究,而对象存储的标准化为对象存储技术的推广和应用起到了不可替代的推动作用。当前T10 OSD标准支持基于权能证书的集中式访问控制,而T10 OSD标准的安全扩展以最小的改动使当前标准支持非集中式的访问控制,即只需要增加一个扩展的身份证书、一个安全属性页和一个集合对象。采用扩展后的标准实现的非集中式的安全系统支持当前标准定义的NOSEC、CAPKEY、CMDRSP和ALLDATA四种安全方法的全部功能。在原型系统上的实验结果表明相对集中式访问控制,非集中式访问控制具有更高的性能和可扩展性。

全文目录


摘要  4-6
Abstract  6-9
目录  9-11
1 绪论  11-29
  1.1 分布式存储技术研究现状  11-16
  1.2 并行文件系统概述  16-21
  1.3 并行文件系统安全的紧迫性  21-26
  1.4 本文研究的主要内容及意义  26-29
2 分布式认证  29-50
  2.1 网络文件系统常用的认证方法  29-35
  2.2 两阶段分布式认证协议  35-38
  2.3 协议安全性证明  38-40
  2.4 身份认证  40-44
  2.5 I/O认证  44-49
  2.6 本章小结  49-50
3 非集中式访问控制  50-68
  3.1 现有并行文件系统的访问控制机制  50-52
  3.2 非集中式与集中式访问控制对比  52-54
  3.3 非集中式访问控制安全架构  54-57
  3.4 访问控制列表  57-65
  3.5 安全性分析  65-67
  3.6 本章小结  67-68
4 加密文件的高效共享  68-87
  4.1 加密存储技术  68-70
  4.2 现有加密文件系统  70-75
  4.3 加密文件的高效共享方法  75-80
  4.4 共享加密文件系统的设计要点  80-83
  4.5 性能分析  83-85
  4.6 本章小结  85-87
5 OSD安全扩展和协议  87-99
  5.1 OSD安全扩展  87-90
  5.2 安全方法和协议  90-96
  5.3 安全性分析  96-98
  5.4 本章小结  98-99
6 系统实现和评估  99-131
  6.1 系统实现  99-112
  6.2 实验平台  112-113
  6.3 两阶段分布式认证性能评估  113-114
  6.4 非集中式访问控制性能评估  114-125
  6.5 OSD安全协议性能评估  125-130
  6.6 本章小结  130-131
7 总结与展望  131-134
致谢  134-136
参考文献  136-144
附录1 攻读学位期间发表的学术论文  144-146
附录2 攻读学位期间参与项目及申请专利情况  146

相似论文

  1. 分布式存储系统安全关键技术研究与实现,TP333
  2. 基于P2P-SIP的VoIP关键技术研究,TN916.2
  3. 门限签名方案的设计及应用,TN918.1
  4. 可编程逻辑器件加密设计与实现,TP309.7
  5. Kylin分布式加密存储系统研究与实现,TP333
  6. 基于对象相关性的缓存策略的设计与实现,TP333
  7. 集中式I/O技术研究及数据再分配算法优化,TP334.7
  8. 数据库加密技术及在招投标系统中的应用研究,TP311.13
  9. 战术互联网中分布式CA的研究与设计,TP393.08
  10. SAN并行文件系统中文件布局的设计与实现,TP338.6
  11. 移动Ad Hoc网络分布式认证方案研究,TN929.5
  12. 分布式并行文件系统锁管理的研究与设计,TP316
  13. 面向服务器的分布式并行文件系统,TN915
  14. 分布式文件系统的研究——并发通信及网络互斥的设计与实现,TP316
  15. 分布式并行文件系统的日志管理,TP316
  16. 分布式并行文件系统安全的研究与实现,TP316
  17. 并行文件系统数据容错研究,TP316
  18. 并行文件系统元数据管理研究,TP316
  19. 分布式网络互斥锁的设计与实现,TP393
  20. 分布式并行文件系统的研究,TP316
  21. 基于Lustre文件系统的并行I/O技术研究,TP316

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com