一个安全的网络存储系统的设计与实现.docxVIP

第３１卷ｙｏｉ．３Ｉ第３期№３计算机工程Ｃｏｍｐｕｔｅｒ Ｅｎｇｉｎｅｅｒｉｎｇ２００５年２月Ｆｅｂｒｕａｒｙ ２００５?安全技术?文章编号；Ｉｏｏｏ－－３４２８（２∞５）０３—０１４０—０３文献标识码ｔＡ中圈分类号：ＴＰ３９３?０８一个安全的网络存储系统的设计与实现龙勤，曾凤萍，伍思廉（北京大学计算机科学技术研究所，北京ｌ ００８７ １）接要：开放式环境下，敏感数据的存储与传输很容易受到攻击。ＨｃｎｎｉｔＦＳ安全存储系统利用强加密算法与安全协议，对网络存储数据进行安全保护，并提供灵活的共享机制。实验表明，Ｈｅｎｌｌ．ｆＦｓ能够在开放式环境下防止未授权的信息访问，并达到较小的存储开销与”ｒ接受的性能。关健词：安全存储；机密性；完整性Ｄｅｓｉｇｎ ａｎｄ Ｉｍｐｌｅｍｅｎｔａｔｉｏｎ ｏｆ Ｓｅｃｕｒｅ Ｎｅｔｗｏｒｋ Ｓｔｏｒａｇｅ ＳｙｓｔｅｍＬｏＮＧ Ｑｉｎ，ＺＥＮＧ Ｆｅｎｇｐｉｎｇ，ＷＵ Ｓｉｌｉａｎ（Ｉｎｓｔｉｔｕｔｅ ｏｆＣｏｎｌｐｕｔｅｒ Ｓｃｉｅｎｃｅ ａｎｄ Ｔｅｃｌｍｏｌｏｇｙ．Ｐｅｋｉｎｇ Ｕｎｉｖｅｒｓｉｔｙ，Ｂｅｉｊｉｎｇ １００８７１）Ｉ Ａｂｓｔｒａｃｔ ｌＩｎａｎｏｐｅｎ ｅｎｖｉｒｏｎｍｅｎｔ，ｓｔｏｒｉｎｇ ａｎｄ ｔｒａｎｓｍｉｓｓｉｏｎ ｏｆ ｓｅｎｓｉｔｉｖｅ ｄａｔａａｒｅｅａｓｙｔｏｂｅ ａｔｔａｃｋｅｄ．ＨｅｒｍｉｔＦＳｕｓｅｓｓｔｒｏｎｇｃｅ＇ｐｔｏｇｒａｐｈｙ ａｌｇｏｒｉｔｈｍｓａｎｄａｓｅｃｕｒｅ ｐｒｏｔｏｃｏｌｔｏｓｅｃｕｒｅｔｈｅ ｓｔｏｒｅｄ ｄａｔａ ａｎｄ ｐｒｏｖｉｄｅ ｆｌｅｘｉｂｌｅ ｒｅｓｏｕｒｃｅ ｓｈａｒｉｎｇ．Ｅｘｐｅｒｉｍｅｎｔａｌ ｒｅｓｕｌｔｓ ｓｈｏｗ ｔｈａｔ ＨｅｒｍｉｔＦＳｃａｎｐｌ‘ｏｔｅｃｔｉｎｌｂｎｎａｔｉｏｎｆｒｏｍ ｕｎａｕｔｈｏｒｉｚｅｄａｃｃｅｓｓｉｎ ａｎｙ ｏｐｅｎ ｅｎｖｉｒｏｎｍｅｎｔ ｗｉｔｈ ｌｉｔｔｌｅ ｐｅｎａｌｔｙ ｏｆｄａｍ ｏｖｅｒｈｅａｄａｎｄ ａｃｃｅｐｔａｂｌｅ ｐｅｒｆｏｒｍａｎｃｅ．１ Ｋｅｙ ｗｏｒｄｓ ｌ Ｓｅｃｕｒｅ ｓｔｏｒａｇｅ；Ｃｏｎｆｉｄｅｎｔｉａｌｉｔｙ；Ｉｎｔｅｇｒｉｔｙｌ概谜‘’器上以明文形式存储文件，缺乏足够的安全性保证。随着网络技术的不断发展，面对一个越来越开放的网络环境，高效安全的信息存储与传输已经成为网络经济发展必不可少的特性。由于黑客入侵、内部人员泄密、管理员权限的滥用等原因，很容易发生文件或资料丢失泄漏，由此造成的重大后果将是无法弥补的，通过安全存储技术的应用，在相当程度上能够有效地防止此类事件的发生，避免由于资料泄漏所造成的严重损失。事实上，一些统计资剁”表明，由于数据丢失和泄露造成的经济损失远远超过了物理受灾损失。安全的信息存储技术在其中扮演了突出的角色。开放式环境下的安全存储技术研究旨在面向开放式的网络环境，利用加密技术、身份鉴别与认证技术、访问控制技术提供安全的存储与传输能力，获取强大的信息安全保证。开放式分布环境下的安全存储技术可被广泛应用于电子商务、电子政务及企事业内部资源管理等大量领域，本文介绍了一个面向开放环境的安全存储系统ＨｅｒｍｉｔＦＳ的设计与实现，并通过测试数据分析了其存储与访问性能。２相关工作计算机数据的安全存储近年来已成为国内外的一个研究热点，保证存储数据的安全性、完整性是其中的关键问题。早期一些安全存储系统采用基于磁盘卷或基于单文件的简单加密模式对存储信息进行保护，但在开放的网络环境下对于资源共享、细粒度的访问控制都缺乏支持。目前国内外对安全存储系统的研究主要基于文件系统加密模式，关注分布式网络环境下的数据安全，提供了端到端的数据加密能力。ＡＴ＆Ｔ开发的加密文件系统ＣＦＳＳＦＳｌ４１提供了服务器与用户的双向认证能力，数据传输安全通道内进行，但ＳＦＳ缺乏数据完整性的校验。同时ＳＦＳ采用的自验证路径（Ｓｅｌｆ－ｃｅｒｔｉｆｙｉｎｇ ｐａｔｈｎａｍｅ）一旦被用户获得，用户可以不使用任何密钥就直接访问资源。ＳＦＳ－ＲＯ提供只读的文件存储服务，保证了更多的安全性，但绝对禁止远程用户的写操作限制了其扩展能力和实用价值。ＴＣＦＳ【５１具有良好的透明性。但ＴＣＦＳ币ｔ｜用门限密钥分发机制进行数据共享，对用户的在线要求程度较高，同时，还存在较严重的性能问题。３系统设计ＨｅｒｍｉｔＦＳ安全存储系统的目标是在保留标准的分布式文件系统的弹性与性能基础上，解决其存在的安全性问题。３．１设计目标一个安全且实用的文件存储系统必须符合以下几个基本的目标。（１）支持数据的端到端加密。端到端的加密存储能够保证入侵者即使能够获取磁盘访问的超级权限，也因为缺乏必要的密钥信息，无法获取有价值的明文数据。解密的数据只存在于合法的授权用户的客户端。（２）支持数据的完整性校验