对象存储系统中身份认证机制的设计与实现

发布时间：2020-04-05 23:45

【摘要】：随着信息的存储不断朝着网络化的方向发展,数据存储的安全性成为关注的重点。对数据进行安全性保护的第一道关卡,就是建立良好的身份认证机制。 目前应用广泛的存储系统中,对象存储系统(OBS)以对象为基本结构组织数据,克服了附网存储(NAS)的扩展性缺陷和存储区域网络(SAN)的共享限制,优化了数据的跨平台共享与高性能访问。在对象存储系统上建立的身份认证机制,采用第三方可信机构(TA)完成用户信息的注册、管理和身份证书的颁发、更新与撤销。在TA端设置用户名、口令校验,完成用户证书的颁发,并采用基于身份的签名认证完成证书的完整性验证。认证过程采用两阶段的双向认证机制,元数据服务器(MDS)执行第一阶段认证发放元数据,对象存储设备(OSD)执行第二阶段认证建立数据连接。 元数据服务器端身份认证的效率,成为影响整个存储系统性能的关键因素之一。在两阶段双向认证的基础上,提出了一种改进模型,即按照用户操作类型和元数据需求的不同,MDS可以有选择地进行认证。将MDS端的元数据划分为定位元数据和私密元数据,前者直接可获取,后者需要身份认证通过才能获取。为阻止非法用户通过定位元数据访问设备,在第二阶段,对象存储设备负责进行双向的身份认证。改进设计的目的在于减少MDS开销的同时保证其安全性。 针对两阶段身份认证技术和MDS改进认证技术进行综合测试。结果显示,采用口令认证和两阶段身份认证相结合的认证机制所带来的开销和吞吐率影响较小。采用MDS端的改进认证机制,可以进一步减少MDS端的安全开销,以较小的性能损耗提高了身份认证的效率。
【图文】：

图 2.1 对象存储系统安全模型象存储系统安全模型四部分的具体功能如下所述：1）可信机构(TrustedAuthority，TA)要实现生成系统参数，完成用户身份管理、口令认证、生成用户的更新、撤销与回收等功能。2）客户端（Client）要完成验证当前客户机上的用户身份并安全的存储用户证书和私钥，传送的数据进行安全参数封装和校验以实现相应的安全功能，如指数据加密操作等。3）元数据服务器（MetaData Server，MDS）责维护全局的访问控制列表、认证登录元数据服务器的用户或管理全局ACL进行权限检查并负责将管理员的权限操作指令转发至存储

程如下： TA 中心发送个人信息申请注册，，管理员核准通过则为并发送到客户端。用户发文件请求到元数据服务器端服务器通过认证验证用户的身份。通过则将对象元数息以及请求发送给对象存储设备，对象存储设备验证证通过则执行用户命令。的篇幅，将介绍各个子模块的功能与结构。模块A 主要设计成三个模块，如图 2.2 所示。
【学位授予单位】：华中科技大学
【学位级别】：硕士
【学位授予年份】：2011
【分类号】：TP333

【参考文献】

相关期刊论文 前6条

1 刘媛;涂晓东;张兵;;关于外包数据库完整性验证的研究[J];计算机技术与发展;2010年05期

2 邹冰玉;张焕国;郭曦;胡颖;加米拉·沙塔尔;;可信网络连接中一种基于可信度的细粒度授权模型[J];武汉大学学报(理学版);2010年02期

3 雷文;赵攀;张弘;;一种动态口令认证方案的研究与改进[J];四川理工学院学报(自然科学版);2009年05期

4 王芳;张顺达;冯丹;曾令仿;;基于LDAP的对象存储系统元数据的组织与管理[J];计算机工程与科学;2007年03期

5 陈云;高静;邓亚平;;Kerberos认证协议的研究及其优化[J];重庆邮电学院学报(自然科学版);2006年S1期

6 李中献,詹榜华,杨义先;认证理论与技术的发展[J];电子学报;1999年01期

相关博士学位论文 前2条

1 牛中盈;并行文件系统安全性研究[D];华中科技大学;2010年

2 胡兰兰;安全协议和方案的研究与设计[D];北京邮电大学;2008年

相关硕士学位论文 前5条

1 屈步云;基于身份的身份认证技术研究及应用[D];中南大学;2009年

2 张宏;基于PKI身份认证系统的研究与实现[D];西北大学;2008年

3 邓婕;身份认证方案的研究与设计[D];四川师范大学;2007年

4 陈江;计算机安全审计技术研究[D];广东工业大学;2005年

5 姚传茂;Kerberos认证系统的研究与改进[D];合肥工业大学;2003年

本文编号：2615681