Kylin分布式加密存储系统研究与实现

发布时间：2020-09-09 17:33

　　 信息技术的广泛应用以及随之而来的信息爆炸是当今时代的显著特征。传统的加密文件系统在存储模式上还属于集中存储的范畴,面向的用户范围有限,体现的是以服务器为中心或者面向桌面用户的安全存储需求,在存储容量、I/O性能、扩展性等方面存在不足。我们认为开展以分布式存储为背景的加密存储技术研究,整合现有网络资源为用户提供安全、高效、可扩展的数据存储和访问服务是未来若干年数据存储技术的发展方向。 本文在主流的加密文件系统和分布式存储系统研究基础上,提出了分布存储、集中索引的Kylin分布式加密存储系统——Kylin Distributed Encrypting Storage System(KDESS)体系结构。KDESS以加密共享保险箱作为基本的数据存储单元,由单个元数据服务器集中索引保险箱并负责全局名字空间、保险箱映射关系、以及分布密钥的管理。元数据服务器不涉及任何形式的数据访问,用户与存储服务器之间可以进行高效的并行数据交换。 海量数据存储系统中的数据管理是影响整个系统性能和可扩展性的关键问题。KDESS通过建立两级保险箱元数据结构分离存储数据的逻辑视图和物理视图,为系统提供了一个基于用户的全局命名空间,实现了全局范围内的数据共享和访问控制。两级保险箱元数据结构将数据管理和文件数据访问相分离,更好地利用了存储系统中不同存储设备和传输网络的特性,有效地提高了系统的性能,降低了系统的成本。 分布式加密存储系统面临的另一个重要问题是用户数据分布以及分布数据的透明访问。在用户创建保险箱时,KDESS通过策略优先的存储服务器选择算法将保险箱合理地安排在各个存储服务器中,实现了尽量均匀的工作负载分配,提高存储系统数据的访问性能。在用户访问保险箱时,元数据服务器自动完成保险箱逻辑地址到物理地址的转换,实现访问位置的透明性;在用户访问文件数据时,底层加密文件系统自动为用户加解密数据,实现了数据加解密的透明性。为了保证系统只响应授权用户的数据访问请求和管理请求,在用户访问服务器时,服务器通过数字证书和Kerberos协议相结合的方式自动完成用户身份认证。 在关键技术研究的基础上,我们实现了KDESS原型系统。同时对KDESS的性能进行了测试,对KDESS的安全性进行了分析。测试结果说明,KDESS在吞吐率方面有不俗的表现;安全分析结果表明,KDESS能够防止恶意用户通过监听网络、攻击客户端、攻击服务器等手段获取机密数据的行为。
【学位单位】：国防科学技术大学
【学位级别】：硕士
【学位年份】：2009
【中图分类】：TP333
【部分图文】：

国防科学技术大学研究生院硕士学位论文tfs[8][9]、TransCrypt[10][11]等。dows 提供的加密文件系统，旨在解决 NTFS 文件码机制和 Crypto API 体系，为每一个文件生成一EK，通过加强型的数据加密标准算 DESX 对文件护文件密钥的安全性。EFS 和 Windows 操作系统受攻击，并且对用户是透明的。如果用户要访问个文件的私钥，那么用户能够打开这个文件，并用。没有该文件私钥的用户对文件的访问将被拒

国防科学技术大学研究生院硕士学位论文现文件级和用户级两级密钥。创建一个新文件时，ptLinux 上实现的企业级加密文件系统。它基成一个文件加密密钥 FEK，用来加密文件内容。令或用户公钥加密 FEK，密钥密文和其他元数据打开一个文件时，系统通过下层文件系统读取该FEK。eCryptfs 实现的安全性完全依赖于操作系统自同一个文件，但不支持目录级的加密共享。t 也是在可信的前提，采用内核空间维护密码算法和密钥管的安全，系统的超级用户和服务程序不能获得文的同时，TransCrypt 解决了多用户共享服务器的灵程访问等问题。

国防科学技术大学研究生院硕士学位论文 不安全的网络中实现安全访问的需求，因此它在位置透明、用统的兼容性等方面进行了特别设计。AFS 具有很好的扩展性，持数百个节点，甚至数千个节点的分布式环境。同时在大规模中，AFS 利用本地存储作为分布式文件的缓存，在远程文件无部分工作，提高了系统可用性。

【参考文献】

相关期刊论文 前1条

1 杨德志,黄华,张建刚,许鲁;大容量、高性能、高扩展能力的蓝鲸分布式文件系统[J];计算机研究与发展;2005年06期

本文编号：2815263